申请/专利权人：西安电子科技大学

申请日：2018-03-27

公开（公告）日：2020-10-16

公开（公告）号：CN108566388B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L12/26(20060101);H04L12/851(20130101);H04L9/06(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.10.16#授权;2018.10.23#实质审查的生效;2018.09.21#公开

摘要：本发明属于软件定义网络领域，公开了一种基于布鲁姆过滤器的SDN流规则冲突检测方法及系统，首先对控制器中的流规则及新插入控制器的流规则进行预处理，包括流规则扩展、序号编排、匹配域模块哈希等步骤，在预处理之后对流规则的编码进行多重布鲁姆过滤器筛选，选择出有可能出现冲突的流规则集合，进而对该集合进行二次筛选，选择出匹配域相同的流规则集合，最后通过对该集合中流规则必备动作的比较最终检测出有冲突的流规则。本发明相较于现有的软件定义网络流规则冲突检测方法，能够快速地检测出数目巨大的流规则之间的冲突。

主权项：1.一种基于布鲁姆过滤器的SDN流规则冲突检测方法，其特征在于，所述基于布鲁姆过滤器的SDN流规则冲突检测方法包括：首先对控制器中的流规则及新插入控制器的流规则进行流规则扩展、序号编排、匹配域模块哈希预处理，预处理后对流规则的编码进行多重布鲁姆过滤器筛选，选择出出现冲突的流规则集合，对出现冲突的流规则集合进行二次筛选，选择出匹配域相同的流规则集合；最后通过对匹配域相同的集合中流规则必备动作的比较，最终检测出有冲突的流规则。

全文数据：基于布鲁姆过滤器的SDN流规则冲突检测方法及系统技术领域[0001]本发明属于软件定义网络领域，尤其涉及一种基于布鲁姆过滤器的SDN流规则冲突检测方法及系统。背景技术[0002]目前，业内常用的现有技术是这样的：[0003]随着互联网技术的高速发展，传统网络的体系架构逐渐显现出其缺点：1、网络功能的升级与扩展复杂、工作量巨大;2、网络设备的运行与维护繁琐。这些缺点使得传统网络难以满足新型网络服务的需求，特别是诸如云计算、网络功能虚拟化等网络服务。为了解决现有网络的不足，一种名为软件定义网络的新型网络架构应运而生。[0004]软件定义网络于2006年诞生在美国的斯坦福大学，该大学科研机构提出一种新型网络创新架构，通过将网络设备控制面与数据转发面分离开来，从而实现了网络流量的灵活控制，为核心网络及应用的创新提供了良好的平台。软件定义网络的架构主要分为三层，从上往下分别为:应用层，控制层和数据层。应用层由众多业务和应用软件所构成，主要负责制定网络策略，应用层通过北向接口与控制层通信。控制层是系统的控制中心，它会根据应用层下发的软件生成网络策略，同时它也会根据网络状态变化调整网络交换路径和业务路由。数据层也称基础设施层，它通过南向接口和控制层相连接，该层主要由诸如路由器、物理交换机等硬件设备构成，主要根据控制层下发的网络策略流表来转发网络数据包。得益于集中控制的特点，软件定义网络的出现使得管理员可以对网络设备进行集中统一的配置与管理，大大降低了网络管理的复杂性，同时，其可编程特性也使得网络新功能的扩展易于实现，通过软件定义网络提供的北向接口，新的网络应用可以快速的部署在控制器中从而实现特定的网络功能。然而可编程特性也为软件定义网络带来了新的安全问题，大量应用的涌入使得应用之间网络策略的冲突变得不可避免，这些网络策略的冲突在运行时最终体现为不同应用间的流规则冲突。在现有的软件定义网络的架构中，控制器并没有检测流规则冲突的能力，如果遇到有冲突的流规则，控制器会用插入时间比较晚的流规则覆盖早先的流规则，这种模式将会带来很多潜在的安全隐患，如果某些负责网络安全的流规则被覆盖，将会导致网络安全策略无法正常实行，甚至有可能引发整个网络的瘫痪。[0005]现有的流规则冲突检测方法如下:Porras等在文献【1】中提出了一种名为FortNOX的NOX控制器扩展应用，它可以检测NOX控制器中的流规则冲突，其原理主要是利用了别名简化规则将所有的流规则简化成了一个别名规则集合，然后在这个集合上对比流规则中的源和目的地址来检测流规则之间的冲突，同时FortNox在冲突检测的过程中会将流规则按可选动作Set-Field展开以避免对其流规则的修改所造成的隐藏冲突;王等在文献【2】中提出了一种基于Flowpath的流规则冲突监测方案，通过实时获取SDN的网络状态以及流规则展开，该方法可以形成一条数据转发链表，对比该链表可以检测出防火墙规则和交换机中流表规则的直接或间接冲突;Hu等在文献【3】中提出了FL0WGUARD方案，该方案可以在网络状态更新时实时地检测防火墙的安全规则是否被违反，基于HeaderSpaceAnalysis方法，将变化的流规则路径条目成为转移流路径，转移流路径组成了一个名为：ShiftedFlowGraph的图，用同时防火墙中的规则建立一个AuthorizationSpace的图，通过比较ShiftedFlowGraph和DenyAuthorizationSpace两个空间来判断是否有冲突的策略;Natarajan等在文献【4】中提出了两种软件定义网络中流规则冲突检测方法，一种是基于散列树的方法，这种方案将流表匹配域中的值分为两组，然后将两组值的结果通过堆成矩阵来进行分析，判断是否有冲突。另一种方法是将流规则换一种表述形式，例如将掩码表示的IP地址转化成由一个最大值和一个最小值表示的范围。然后在这个范围内对各个流表进行冲突检测。[0006]【l】PorrasP,ShinS,YegneswaranV,etal.AsecurityenforcementkernelforOpenFlownetworks[C]ProceedingsofthefirstworkshoponHottopicsinsoftwaredefinednetworks.ACM,2012:121-126.[0007]【2】王鹃，王江，焦虹阳，等.一种基于OpenFIow的SDN访问控制策略实时冲突检测与解决方法[J].计算机学报，2015，38⑷：872-883.[0008]【3】HuH，HanW，AhnGJ，etal.FL0WGUARD:buildingrobustfirewallsforsoftware-definednetworks[C]ProceedingsofthethirdworkshoponHottopicsinsoftwaredefinednetworking.ACM,2014:97-102.[0009]【4】NatarajanS，HuangX，WolfT.Efficientconflictdetectioninflow-basedvirtualizednetworks[C]Computing,NetworkingandCommunicationsICNC,2012InternationalConferenceon.IEEE,2012:690-696.[0010]综上所述，现有的冲突检测技术都是通过对流规则的扩展、聚合或者变换数学模型表示来检测冲突，大多都是针对流表数目比较小的情况下来进行的，而在面对数目巨大的流规则时，现有的方法的效率不高，会消耗大量的时间，因此，急需一种能够在流表规模巨大的情况下快速检测流规则之间冲突的方法。[0011]解决上述技术问题的意义：对于SDN未来的部署，尤其是在规模很大的网络环境下，流规则的数量将会十分巨大，在这样一种情境下，如果不能快速地检测流规则之间的冲突，一些特定的网络功能就无法及时实现，将会大大降低网络的服务质量，更为危险的是它很有可能威胁到网络的安全。[0012]本发明借助布鲁姆过滤器作为一种精简的信息表示方案与高速数据关系查找等特点可以有效地提高流规则冲突的检测效率，大大降低查找大量流规则之间冲突的时间消耗。发明内容[0013]针对现有技术存在的问题，本发明提供了一种基于布鲁姆过滤器的SDN流规则冲突检测方法及系统。[0014]本发明是这样实现的，一种基于布鲁姆过滤器的软件定义网络流规则冲突检测方法，所述基于串并行结构网络安全数据处理方法包括:所述基于布鲁姆过滤器的软件定义网络流规则冲突检测方法包括以下步骤：[0015]步骤一:对控制器流表中的所有流规则进行流规则扩展、序号编排、匹配域模块哈希等数据预处理。[0016]步骤二:将步骤一输出的所有流规则匹配域哈希值放入多个并联的布鲁姆过滤器中进行过滤，并将这些流规则的编号分别存入各级布鲁姆过滤器中对应的存储位置上。[0017]步骤三:对新插入的流规则按步骤一和步骤二进行操作，之后提取出每条新插入流规则所在各级布鲁姆过滤器存储位置中的序号集，进一步对这些序号集取交集选择出有可能出现冲突的流规则编号集合。[0018]步骤四：对步骤三输出的每个有可能出现冲突的流规则编号集进行二次筛选，比较每个序号集中对应流规则的匹配域，筛选出匹配域相同的流规则集合。[0019]步骤五:对步骤四输出的所有匹配域相同的流规则集合进行最终判断，对比每个集合中流规则的动作域，如果必备动作相同，则判定这个集合的流规则无冲突，反之，则判定这个集合的流规则有冲突，最后输出所有检测到的有冲突流规则集合。[0020]进一步，所述的步骤一对控制器中所有流规则进行数据预处理，按如下步骤进行：[0021]1将控制器中的流规则按其动作域展开，如果一条流规则可选动作为Set-Field更改匹配域中的匹配内容），则将该条流规则扩充成包含更改前和更改后匹配域的多条流规则。[0022]2对扩充后的流规则进行排序编号，从1开始顺序编号直至为控制器中所有的流规则添加序号1〜N。[0023]3选取扩充后流规则匹配域中的关键位（如IP地址、MAC地址等），将第一条流规则关键位的数据按固定比特长度划分为!!块^〜知，之后用不同的哈希函数IuX〜hnX计算出Xl〜Xn的哈希值hiXl〜hnXn，最后将这些哈希值连接起来得到该条流规则匹配域的整体哈希值m，如此循环直至得到所有流规则的匹配域整体哈希值m〜mN。[0024]进一步，所述步骤二对进行过数据预处理的控制器中的流规则进行多级布鲁姆过滤器过滤，其具体过程为:将进行过数据预处理的流规则输入多级布鲁姆过滤器中，按照各级布鲁姆过滤器不同的模哈希算法ViX〜h'X计算出第一条流规则在各级布鲁姆过滤器中的存储位置Hl1〜VnHl1，并将该流规则的编号1存入其对应的存储位置中，如此循环直至控制器中所有的流规则都存入其对应的各级布鲁姆过滤器的存储位置中。[0025]进一步，所述步骤三筛选出可能与新插入流规则有冲突的流规则集合S'，按如下步骤进行：[0026]1将新插入的流规则扩展为M条，并从N+1开始顺序编号至N+M，对扩展后的每条流规则的匹配域进行分块哈希并得到它们匹配域的整体哈希值。[0027]2对进行过数据预处理的每条新插入流规则按步骤二操作，直至所有的新插入流规则的编号都存入对应的各级布鲁姆过滤器的存储位置中。[0028]3从第一条新插入的流规则开始，提取出该流规则所在各级布鲁姆过滤器存储位置上的流规则编号集Si〜SN'Ν'为多级布鲁姆过滤器的个数），并对这些集合取交集S1ηη...nsN，得到有可能与第一条流规则有可能有冲突的流规则集合s，如此重复直至得到所有与新插入流规则有可能有冲突的流规则集合。[0029]本发明的另一目的在于提供一种利用所述基于布鲁姆过滤器的SDN流规则冲突检测方法的控制器。[0030]本发明的另一目的在于提供一种利用所述基于布鲁姆过滤器的SDN流规则冲突检测方法的布鲁姆过滤器。[0031]本发明的另一目的在于提供一种实现所述基于布鲁姆过滤器的SDN流规则冲突检测方法的计算机程序。[0032]本发明的另一目的在于提供一种实现所述基于布鲁姆过滤器的SDN流规则冲突检测方法的信息数据处理终端。[0033]本发明的另一目的在于提供一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行所述基于布鲁姆过滤器的SDN流规则冲突检测方法。[0034]本发明的另一目的在于提供一种基于布鲁姆过滤器的软件定义网络流规则冲突检测方法的流规则冲突检测系统，所述流规则冲突检测系统包括：[0035]流规则数据预处理模块:用于对输入的流规则进行扩展、编号、匹配域分块哈希等操作；[0036]多级布鲁姆过滤器:用于筛选出有可能出现冲突的流规则编号集合。[0037]冲突检测模块：用于对有可能出现冲突的流规则编号集合进行二次筛选、比对动作域等操作，以检测出有冲突的流规则集合。[0038]本发明的另一目的在于提供一种应用所述基于布鲁姆过滤器的软件定义网络流规则冲突检测方法的软件定义网络系统。[0039]综上所述，本发明的优点及积极效果为：[0040]本发明冲突检测速度快，借助布鲁姆过滤器能够快速查询海量数据之间关系的特点，本方法可以快速地检测出软件定义网络中流规则的冲突。举例来说，将A条流规则插入一个具有B条流规则的控制器中时，如果用传统的查找算法，将会对比A*B次，而本方法在将控制器中原有的流规则存入N级布鲁姆过滤器后，需要对进行A*N次的对比，当控制器中流规则数目特别大时，B的值将远远大于N，因此使用本方法的对比次数大大降低，从而提高了效率例如，控制器中原有一万条流规则，新插入一百条，如果用传统算法，需要对比一百万次，而采用本方法，在使用八级布鲁姆过滤器的情况下，仅仅需要对比八百次）；[0041]本发明通用性好，适用于检测各种软件定义网络控制器中流规则的冲突，同时适用于检测各种数量级别的流规则冲突，尤其是当检测数量巨大的流规则之间的冲突时，可以大大降低冲突对比的次数；[0042]本发明准确性高，在本方法中会根据流规则可选动作Set-Field将其扩展，因此可以检测出隐藏的流规则冲突；[0043]本发明易于实现，本发明中没有采取复杂的算法，流程简便，可以作为独立的软件模块直接添加到现有软件定义网络的控制器中，实时地检测新插入控制器的流规则和控制器中已有的流规则之间的冲突。[0044]本发明和现有工作的对比如表1所示：附图说明[0046]图1是本发明实施例提供的基于布鲁姆过滤器的SDN流规则冲突检测方法流程图。[0047]图2是本发明实施例提供的基于布鲁姆过滤器的软件定义网络流规则冲突检测系统示意图。[0048]图3是本发明实施例提供的控制器已有流规则处理阶段流程图。[0049]图4是本发明实施例提供的新插入流规则冲突检测阶段流程图。[0050]图5是本发明实施例提供的流规则匹配域分块哈希过程流程图。具体实施方式[0051]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。[0052]本发明相较于现有的软件定义网络流规则冲突检测方法，能够快速地检测出数目巨大的流规则之间的冲突。[0053]如图1所示，本发明实施例提供的基于布鲁姆过滤器的软件定义网络流规则冲突检测方法包括以下步骤：[0054]S101:对控制器流表中的所有流规则进行流规则扩展、序号编排、匹配域模块哈希等数据预处理；[0055]S102:将SlOl输出的所有流规则匹配域哈希值放入多个并联的布鲁姆过滤器中进行过滤，并将这些流规则的编号分别存入各级布鲁姆过滤器中对应的存储位置上；[0056]S103:对新插入的流规则按SlOl和S102进行操作，之后提取出每条新插入流规则所在各级布鲁姆过滤器存储位置中的序号集，进一步对这些序号集取交集选择出有可能出现冲突的流规则编号集合；[0057]S104:对S103输出的每个有可能出现冲突的流规则编号集进行二次筛选，比较每个序号集中对应流规则的匹配域，筛选出匹配域相同的流规则集合；[0058]S105:对S104输出的所有匹配域相同的流规则集合进行最终判断，对比每个集合中流规则的动作域，如果必备动作相同，则判定这个集合的流规则无冲突，反之，则判定这个集合的流规则有冲突，最后输出所有检测到的有冲突流规则集合。[0059]本发明一共包含两个工作阶段:控制器已有流规则处理阶段和新插入流规则冲突检测阶段。其中SlOl〜S102为控制器已有流规则处理阶段，S103〜S105为新插入流规则冲突检测阶段。[0060]下面结合具体分析对本发明的应用原理作进一步的描述。[0061]如图2所示，本发明实施例提供的基于布鲁姆过滤器的软件定义网络流规则冲突检测系统，[0062]主要分为三个模块：[0063]流规则数据预处理模块，用于对输入的流规则进行扩展、编号、匹配域分块哈希等操作；[0064]多级布鲁姆过滤器:用于筛选出有可能出现冲突的流规则编号集合；[0065]冲突检测模块：用于对有可能出现冲突的流规则编号集合进行二次筛选、比对动作域等操作，以检测出有冲突的流规则集合。[0066]如图3所示，控制器已有流规则处理阶段具体步骤程如下：[0067]la将控制器中所有流规则放入数据预处理模块，从第一条流规则开始操作。[0068]Ib对该条流规则进行扩展，查询其动作域有无可选动作Set-Field，如果有转向Ic，如果没有，转向（Id。[0069]Ic将该条流规则按照Set-Field的说明扩充成多条流规则（例如一条流规则的匹配域为IP地址A到IP地址C，其可选动作为Set-Field将源IP地址改为B，则该条流规则扩充成匹配域为IP地址A到IP地址C和IP地址B到IP地址C的两条流规则），并转向下一步操作。[0070]Id将该条流规则的匹配域进行分块哈希，并且对该条流规则顺序编号。[0071]Ie将该条流规则的匹配域哈希值和编号放入多级布鲁姆过滤器中，用每一级布鲁姆过滤器的哈希函数对该流规则的匹配域哈希值进行计算确定它在每一级布鲁姆过滤器中的存储位置，并它的编号存入对应的存储位置。[0072]If判断控制器还有没有剩余的流规则，如果有，对下一条流规则进行操作转向Ib，如果没有，则该阶段工作结束。[0073]如图4所示，新插入流规则冲突检测阶段具体步骤如下：[0074]2a将新插入控制器的所有流规则放入数据预处理模块，从第一条流规则开始操作。[0075]2b对该条流规则进行扩展，查询其动作域有无可选动作Set-Field，如果有转向2c，如果没有，转向（2d。[0076]2c将该条流规则按照Set-Field的说明扩充成多条流规则，并转向下一步操作。[0077]2d将该条流规则的匹配域进行分块哈希，并且对该条流规则顺序编号假设在控制器已有流规则处理阶段编号已经到N，那么新插入控制器的流规则就从N+1开始顺序编号。[0078]2e将该条流规则的匹配域哈希值和编号放入多级布鲁姆过滤器中，用每一级布鲁姆过滤器的哈希函数对该流规则的匹配域哈希值进行计算确定它在每一级布鲁姆过滤器中的存储位置，并它的编号存入对应的存储位置。[0079]2f取出该条流规则在每一级布鲁姆过滤器存储位置上的编号集合，并取交集。[0080]2g判断该交集中编号对应流规则的匹配域是否相同，如果相同转向（2h，如果不同转向（2j。[0081]2h判断该交集中编号对应流规则的匹配域是否相同，如果相同转向（2j，如果不同转向（2i。[0082]2i所得交集集合即为有冲突的流规则集合。[0083]2j判断控制器还有没有剩余的流规则，如果有，对下一条流规则进行操作转向2b，如果没有，则冲突检测结束。[0084]如图5所示，流规则匹配域分块哈希过程的具体步骤如下：[0085]3a取出流规则匹配域中的关键数据如源和目的IP地址、MAC地址、端口地址、协议等）。[0086]3b将选择的关键数据顺序连接起来，并按照同一比特长度划分为η段数据，并从第i=l段开始进行下一步的操作。[0087]3c用哈希函数hiX对第i段数据进行哈希运算得到它的哈希值Xi，并且i=i+1〇[0088]3d判断i是否小于等于n，如果是，则转向（3c，如果不是则进行下一步。[0089]3e将得到的匹配域关键数据分块哈希值^〜连接起来得到该流规则匹配域的整体哈希值m。[0090]在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现，所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线DSL或无线例如红外、无线、微波等方式向另一个网站站点、计算机、服务器或数据中心进行传输）。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，（例如，软盘、硬盘、磁带）、光介质（例如，DVD、或者半导体介质（例如固态硬盘SoIidStateDiskSSD等。[0091]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

权利要求：1.一种基于布鲁姆过滤器的SDN流规则冲突检测方法，其特征在于，所述基于布鲁姆过滤器的SDN流规则冲突检测方法包括：首先对控制器中的流规则及新插入控制器的流规则进行流规则扩展、序号编排、匹配域模块哈希预处理，预处理后对流规则的编码进行多重布鲁姆过滤器筛选，选择出出现冲突的流规则集合，对出现冲突的流规则集合进行二次筛选，选择出匹配域相同的流规则集合；最后通过对匹配域相同的集合中流规则必备动作的比较，最终检测出有冲突的流规则。2.如权利要求1所述的基于布鲁姆过滤器的SDN流规则冲突检测方法，其特征在于，所述基于布鲁姆过滤器的SDN流规则冲突检测方法具体包括：步骤一，对控制器流表中的所有流规则进行流规则扩展、序号编排、匹配域模块哈希的数据预处理；步骤二，将步骤一输出的所有流规则匹配域哈希值放入多个并联的布鲁姆过滤器中进行过滤，并将这些流规则的编号分别存入各级布鲁姆过滤器中对应的存储位置上；步骤三，对新插入的流规则按步骤一和步骤二进行操作后提取出每条新插入流规则所在各级布鲁姆过滤器存储位置中的序号集，进一步对这些序号集取交集选择出出现冲突的流规则编号集合；步骤四，对步骤三输出的每个出现冲突的流规则编号集进行二次筛选，比较每个序号集中对应流规则的匹配域，筛选出匹配域相同的流规则集合；步骤五，对步骤四输出的所有匹配域相同的流规则集合进行最终判断，对比每个集合中流规则的动作域;必备动作相同，则判定这个集合的流规则无冲突，反之，则判定这个集合的流规则有冲突，最后输出所有检测到的有冲突流规则集合。3.如权利要求2所述的基于布鲁姆过滤器的SDN流规则冲突检测方法，其特征在于，所述步骤一对控制器中所有流规则进行数据预处理，包括：1将控制器中的流规则的动作域展开，扩充成包含更改前和更改后匹配域的多条流规则；2对扩充后的流规则进行排序编号，从1开始顺序编号直至为控制器中所有的流规则添加序号1〜N;3选取扩充后流规则匹配域中的关键位，将第一条流规则关键位的数据按固定比特长度划分为η块Xl〜Xn后用不同的哈希函数hiX〜hnX计算出Xl〜Xn的哈希值hiXl〜hnXn;最后将这些哈希值连接起来得到第一条流规则匹配域的整体哈希值m，进行循环直至得到所有流规则的匹配域整体哈希值m〜mN;所述步骤二对进行过数据预处理的控制器中的流规则进行多级布鲁姆过滤器过滤，具体包括:将进行过数据预处理的流规则输入多级布鲁姆过滤器中，按照各级布鲁姆过滤器不同的模哈希算法V1X〜VnX计算出第一条流规则在各级布鲁姆过滤器中的存储位置V1Hl1〜VnHl1，并将该流规则的编号1存入其对应的存储位置中，如此循环直至控制器中所有的流规则都存入对应的各级布鲁姆过滤器的存储位置中；步骤三筛选出与新插入流规则有冲突的流规则集合S，具体包括：a将新插入的流规则扩展为M条，并从N+1开始顺序编号至N+M，对扩展后的每条流规则的匹配域进行分块哈希并得到分块匹配域的整体哈希值；b对进行过数据预处理的每条新插入流规则按步骤二操作，直至所有的新插入流规则的编号都存入对应的各级布鲁姆过滤器的存储位置中；C从第一条新插入的流规则开始，提取出该流规则所在各级布鲁姆过滤器存储位置上的流规则编号集S1-Sn，其中，N为多级布鲁姆过滤器的个数，并对这些集合取交集51nS2η...nsN，得到与第一条流规则有冲突的流规则集合S，进行重复直至得到所有与新插入流规则有冲突的流规则集合。4.一种利用如权利要求1所述基于布鲁姆过滤器的SDN流规则冲突检测方法的控制器。5.—种利用如权利要求1所述基于布鲁姆过滤器的SDN流规则冲突检测方法的布鲁姆过滤器。6.—种实现权利要求1〜2任意一项所述基于布鲁姆过滤器的SDN流规则冲突检测方法的计算机程序。7.—种实现权利要求1〜2任意一项所述基于布鲁姆过滤器的SDN流规则冲突检测方法的信息数据处理终端。8.—种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1-7任意一项所述基于布鲁姆过滤器的SDN流规则冲突检测方法。9.一种如权利要求1所述基于布鲁姆过滤器的软件定义网络流规则冲突检测方法的流规则冲突检测系统，其特征在于，所述流规则冲突检测系统包括：流规则数据预处理模块，用于对输入的流规则进行扩展、编号、匹配域分块哈希操作；多级布鲁姆过滤器，用于筛选出有出现冲突的流规则编号集合；冲突检测模块:用于对有出现冲突的流规则编号集合进行二次筛选、比对动作域操作，检测出有冲突的流规则集合。10.—种应用权利要求1所述基于布鲁姆过滤器的软件定义网络流规则冲突检测方法的软件定义网络系统。

百度查询： 西安电子科技大学 基于布鲁姆过滤器的SDN流规则冲突检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD