基于动作编码的路由数据转发行为一致性验证方法及装置的制造方法
基于动作编码的路由数据转发行为一致性验证方法及装置的制造方法
【技术领域】
[0001] 本发明设及路由器技术领域,尤其设及一种基于动作编码的路由器数据转发行为 一致性验证方法及装置。
【背景技术】
[0002] 在路由器数据转发行为中,有一些行为属于正常动作,而一些行为则属于异常动 作。例如,转发过程中往往存在着丢包的概率,丢包行为中有些丢包动作是属于正常的行 为,比如网络阻塞而产生丢包行为,属于正常的拥塞控制行为,有的丢包动作是由于路由器 对包的处理就是丢弃,该种丢包动作也属于正常行为;丢包行为中还有一部分数据包本来 应该是转发动作的,由于种种原因路由器却将其丢弃,该种丢包动作属于异常丢包动作。
[0003] 然而,在路由器数据转发行为中,若路由器数据转发行为不一致的话,可能会导致 网络故障或网络安全隐患等问题。因此,数据在转发过程中,如何检测该转发行为是否存在 异常,W验证路由器数据转发行为是否一致性已成为亟待解决的问题。
【发明内容】
[0004] 本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
[0005] 为此,本发明的第一个目的在于提出一种基于动作编码的路由器数据转发行为一 致性验证方法。该方法充分考虑了可编程路由器各个功能模块之间的软件可编程性,利用 功能模块的动作序列和产生的条件序列来对异常行为进行检测,使得网络管理人员能够快 速有效地发现异常行为,及时地检测网络状态。
[0006] 本发明的第二个目的在于提出一种基于动作编码的路由器数据转发行为一致性 验证装置。
[0007] 为了实现上述目的,本发明第一方面实施例的基于动作编码的路由器数据转发行 为一致性验证方法,包括;S1、确定路由器多个功能模块的相关功能;S2、为所述路由器的 多个功能模块配置对应的动作编码,其中,所述每个功能模块在执行相应功能之后,将分配 的相应动作编码发送至控制层;S3、为所述路由器的多个功能模块配置对应的条件编码; S4、根据组合方式对所述多个功能模块中的部分或全部进行组合;S5、构造Trie树,其中, 所述Trie树的节点保存功能模块的动作编码;S6、根据所述Trie树和接收的数据包检测所 述数据包在转发过程中是否存在异常行为。
[000引根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证方法,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[0009] 为了实现上述目的,本发明第二方面实施例的基于动作编码的路由器数据转发行 为一致性验证装置,包括:确定模块,用于确定路由器多个功能模块的相应功能;第一配置 模块,用于为所述路由器的多个功能模块配置对应的动作编码,其中,所述每个功能模块在 执行相应功能之后,将分配的相应动作编码发送至控制层;第二配置模块,用于为所述路由 器的多个功能模块配置对应的条件编码;组合模块,用于根据组合方式对所述多个功能模 块中的部分或全部进行组合;构造模块,用于构造Trie树,其中,所述Trie树的节点保存功 能模块的动作编码;W及检测模块,用于根据所述Trie树和接收的数据包检测所述数据包 在转发过程中是否存在异常行为。
[0010] 根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证装置,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[0011] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0012] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中:
[0013]图1是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证方法的流程图;
[0014]图2是根据本发明另一个实施例的基于动作编码的路由器数据转发行为一致性 验证方法的流程图;
[0015]图3是根据本发明实施例的构造的正常丢包动作的Trie树的示例图;
[0016] 图4是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证装置的结构示意图;W及
[0017] 图5是根据本发明另一个实施例的基于动作编码的路由器数据转发行为一致性 验证装置的结构示意图。
【具体实施方式】
[001引下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0019] 下面参考附图描述根据本发明实施例的基于动作编码的路由器数据转发行为一 致性验证方法及装置。
[0020] 图1是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证方法的流程图。如图1所示,该基于动作编码的路由器数据转发行为一致性验证方法可 W包括:
[0021]S101,确定路由器多个功能模块的相关功能。
[0022] 本领域的技术人员均可理解,路由器是由多个功能模块构成的,每个功能模块 可实现相应的功能,该些功能可包括转发、路由表更新、丢包、自产生数据包、更改包头源 IP(InternetProtocol,网络之间互连的协议)、更改包头目的IP、更改数据包pa^oad(指 除去协议首部之外实际传输的数据)、校验等。需要说明的是,在确定路由器多个功能模块 的相关功能的过程中,还需对各个功能模块进行验证,由于功能模块比较简单,其验证工作 可由第=方厂商验证,W防止欺骗行为。
[0023] S102,为路由器的多个功能模块配置对应的动作编码,其中,每个功能模块在执行 相应功能之后,将分配的相应动作编码发送至控制层。
[0024] 具体地,由于编码的需要,所W每一个功能模块可负责一个相应的动作。在确定每 个功能模块在路由器中的功能(即作用)之后,可为每一个动作分配一个不同的英文字母, 其中,如果字母不够用时,则可用其他符号代替。该样可W使得当一个功能模块接收到一个 数据包后,就会将分配的相应动作的字母推送到控制层,并记录到该数据包相应的缓存中。 其中,当该数据包正常处理完毕之后,该缓存可自动释放空间。
[0025] S103,为路由器的多个功能模块配置对应的条件编码。
[0026] 具体地,由于有些数据包在处理过程中符合正常转发的序列,但是其并不符合正 常转发的条件,即触发模块动作行为的条件不满足。所W还需要给每一个功能模块配置相 应的转发到下一个功能模块的条件编码。可W理解,由于霍夫曼编码能够缩短总体编码的 长度,能够实现快速查找匹配的目的,所W在为功能模块配置对应的条件编码时,该编码信 息可使用霍夫曼编码,即使用频率高的条件编码长度最短,使用频率低的条件编码长度长。 例如,可根据使用频率的高低,从0开始编码,然后依次是1,00,01,000等。
[0027] 需要说明的是,在本发明的实施例中,各功能模块之间具有灵活的调用接口,并且 每执行一次功能,会发出两次信号推送,一次是将自身的动作编码信号推送到控制层进行 处理,然后将数据包转发到其他功能模块之前,向控制层推送相应的条件编码信息。
[002引 S104,根据组合方式对多个功能模块中的部分或全部进行组合。
[0029] 其中,在本发明的实施例中,组合方式可由路由器厂商确定,但是每个功能模块的 信号推送接口要接入上层控制层,各个功能模块之间的接口调用参数是控制层分配的行为 编码缓存。构件执行了自身的功能后将自身的编码信号推送到分配的编码缓存里,当数据 包正常处理完毕之后,该缓存可自动释放空间。
[0030] S105,构造Trie树(字典树),其中,Trie树的节点保存功能模块的动作编码。
[0031] 可W理解,由于Trie树能够快速方便的查找信息,所W可使用Trie树节点来保存 功能模块的动作编码,由于还需要添加功能模块的条件编码,所W可将Trie树的边也进行 编码,构成Trie树。具体地,首先可使用正常行为的数据包来构建表示动作集和条件集的 Trie树。当路由器接收到一个数据包后,触发一个相应的动作编码信息推送给控制层,控制 层将该信息缓存起来,路由器各功能模块在处理完数据包之后将数据包发送给其他功能模 块,并将发送条件推送到控制层,控制层将条件信息也加入到缓存中。该过程构造了一个既 包含功能模块触发条件的编码信息,又包含功能模块动作的编码信息的Trie树。需要说明 的是,在本发明的实施例中,Trie树中从根节点到第一个节点默认的边行为可为接收。
[0032] S106,根据Trie树和接收的数据包检测数据包在转发过程中是否存在异常行为。
[0033] 具体而言,在本发明的实施例中,可先获取路由器行为对应的数据包,并获取数据 包对应的行为和条件编码。之后,将数据包对应的行为和条件编码在路由器自身维护的 Trie树进行比对,如果在Trie树中找不到相应的编码序列,表明路由器行为为一次异常行 为。
[0034]举例而言,W转发功能模块或丢包功能模块为例,当转发功能模块或丢包功能模 块收到数据包时,表明该个数据包要进行转发或者丢包处理。在处理该数据包之前,转发或 丢包功能模块首先调用缓存中该数据包对应的行为和条件编码信息。然后取出行为条件编 码序列和自身维护的Trie树进行比对,如果该序列在Trie树中找不到相应的编码序列, 表明该转发或丢包行为是一次异常行为。例如,当一个数据包被转发到丢包功能模块时, 丢包功能模块首先调用缓存中的内容,构造正常丢弃数据包的Trie树,该Trie树的节点序 列表示的是所有正常数据包在丢包时的一系列条件和行为,然后丢包功能模块再完成丢包 过程,并清除相应的缓存。此外,丢包过程处理之后,丢包功能模块会推送相应的处理信号 (如重传信号等)。
[0035] 进一步的,在本发明的一个实施例中,如图2所示,在图1所示的基础上,该基于 动作编码的路由器数据转发行为一致性验证方法还可包括;判断是否有新的功能模块需 要加入到路由器中(S207),如果有新的功能模块需要加入到路由器中,则重复执行步骤 S102-S106。具体地,对于新的功能模块,需要在第=方厂商验证通过后,从步骤S102开始 加入路由器中。可W理解,在本发明的实施例中,如果新加入的功能模块属于路由器的硬件 更新,则需要短暂停用路由器。但如果功能模块是由软件实现,则在路由器正常运行的情况 下,可W实时将功能模块加入路由器。由此,由于支持新的功能模块的加入,所W提高了一 致性验证的可用性、可扩展性。
[0036] 综上所述,本发明提出的基于动作编码的路由器数据转发行为一致性验证方法的 主要原理是;首先,确定路由器中各个功能模块的相关功能。然后,利用正常行为的数据 包建立一棵扩展的Trie树,该棵树的节点表示动作,而边则表示该节点代表动作的发生条 件。从根节点到叶子节点的节点序列表示数据转发行为中的一系列动作,而从根到叶子节 点的边序列表示数据转发行为中一系列的发生条件,节点序列和对应的边序列构成了完整 的转发行为。然后根据建立的扩展Trie树,对于达到转发模块或丢包模块的所有包检测 Trie树,查看其行为是否符合正常行为,如果发现属于异常行为,则立即向应用层推送警告 信息。
[0037]根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证方法,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[003引下面可用具体的实例来演示基于动作编码的路由器数据转发行为一致性验证方 法的使用方法:第=方在验证模块功能唯一性和正确性后,给路由进行动作编码和条件编 码。由该些合法模块构成的路由器运行时,每执行一个模块功能时,该模块会提交自身的动 作编码和条件编码给上层控制层,按照执行的顺序,各个功能模块产生的编码会组合成一 个长编码,称为数据包的动作条件编码。由于路由器会同时接收多个端口的数据,同时产生 多个动作条件编码,该时可能需要分配一定的缓存空间留给动作条件编码。
[0039]假设常用路由器功能模块有9个,每个模块相应的功能,经过第=方厂商验证。其 中,各个模块的动作编码信息如下表1,各个功能模块转发时的条件编码信息如下表2。
[0040] 表1 ;各个功能模块的动作编码信息
[0041]
[0044] 由于需要检测异常丢包动作,所W只需要构建一个正常丢包动作的Trie树。如图 3所示,从根节点到叶子节点是一条包含动作编码信息和条件信息的编码序列,每一个编码 序列表示一个正常丢包的行为。当路由器的丢包功能模块接收到一个数据包时,就调用缓 存中的编码序列和Trie树进行对比,如果Trie中不包括数据包的编码序列,则表示该丢包 为异常丢包事件,并推送警告信息给控制层。 [0045] 为了实现上述实施例,本发明还提出了一种基于动作编码的路由器数据转发行为 一致性验证装置。
[0046] 图4是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证装置的结构示意图。如图4所示,该基于动作编码的路由器数据转发行为一致性验证装 置可W包括;确定模块10、第一配置模块20、第二配置模块30、组合模块40、构造模块50和 检测模块60。
[0047] 具体地,确定模块10可用于确定路由器多个功能模块的相应功能。本领域的技术 人员均可理解,路由器是由多个功能模块构成的,每个功能模块可实现相应的功能,该些功 能可包括转发、路由表更新、丢包、自产生数据包、更改包头源IP、更改包头目的IP、更改数 据包payloat校验等。需要说明的是,在确定路由器多个功能模块的相关功能的过程中,还 需对各个功能模块进行验证,由于功能模块比较简单,其验证工作可由第=方厂商验证,W 防止欺骗行为。
[0048] 第一配置模块20可用于为路由器的多个功能模块配置对应的动作编码,其中,每 个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层。更具体地,由于编 码的需要,所W每一个功能模块可负责一个相应的动作。在确定模块10确定每个功能模块 在路由器中的功能(即作用)之后,第一配置模块20可为每一个动作分配一个不同的英文 字母,其中,如果字母不够用时,则可用其他符号代替。该样可W使得当一个功能模块接收 到一个数据包后,就会将分配的相应动作的字母推送到控制层,并记录到该数据包相应的 缓存中。其中,当该数据包正常处理完毕之后,该缓存可自动释放空间。
[0049]第二配置模块30可用于为路由器的多个功能模块配置对应的条件编码。更具体 地,由于有些数据包在处理过程中符合正常转发的序列,但是其并不符合正常转发的条件, 即触发模块动作行为的条件不满足。所W第二配置模块30需要给每一个功能模块配置相 应的转发到下一个功能模块的条件编码。可W理解,由于霍夫曼编码能够缩短总体编码的 长度,能够实现快速查找匹配的目的,所W第二配置模块30在为功能模块配置对应的条件 编码时,该编码信息可使用霍夫曼编码,即使用频率高的条件编码长度最短,使用频率低的 条件编码长度长。例如,可根据使用频率的高低,从0开始编码,然后依次是1,〇〇,〇1,〇〇〇 等。
[0化0] 需要说明的是,在本发明的实施例中,各功能模块之间具有灵活的调用接口,并且 每执行一次功能,会发出两次信号推送,一次是将自身的动作编码信号推送到控制层进行 处理,然后将数据包转发到其他功能模块之前,向控制层推送相应的条件编码信息。
[0化1]组合模块40可用于根据组合方式对多个功能模块中的部分或全部进行组合。其 中,在本发明的实施例中,组合方式可由路由器厂商确定,但是每个功能模块的信号推送接 口要接入上层控制层,各个功能模块之间的接口调用参数是控制层分配的行为编码缓存。 构件执行了自身的功能后将自身的编码信号推送到分配的编码缓存里,当数据包正常处理 完毕之后,该缓存可自动释放空间。
[0化2]构造模块50可用于构造Trie树,其中,Trie树的节点保存功能模块的动作编码。 可W理解,由于Trie树能够快速方便的查找信息,所W可使用Trie树节点来保存功能模块 的动作编码,由于还需要添加功能模块的条件编码,所W可将Trie树的边也进行编码,构 成Trie树。更具体地,构造模块50可使用正常行为的数据包来构建表示动作集和条件集 的Trie树。当路由器接收到一个数据包后,触发一个相应的动作编码信息推送给控制层, 控制层将该信息缓存起来,路由器各功能模块在处理完数据包之后将数据包发送给其他功 能模块,并将发送条件推送到控制层,控制层将条件信息也加入到缓存中。该过程构造了一 个既包含功能模块触发条件的编码信息,又包含功能模块动作的编码信息的Trie树。需要 说明的是,在本发明的实施例中,Trie树中从根节点到第一个节点默认的边行为可为接收。 [0化3]检测模块60可用于根据Trie树和接收的数据包检测数据包在转发过程中是否存 在异常行为。具体而言,在本发明的实施例中,检测模块60可先获取路由器行为对应的数 据包,并获取数据包对应的行为和条件编码,之后,将数据包对应的行为和条件编码在路由 器自身维护的Trie树进行比对,如果在Trie树中找不到相应的编码序列,表明路由器行为 为一次异常行为。
[0054]举例而言,W转发功能模块或丢包功能模块为例,当转发功能模块或丢包功能模 块收到数据包时,表明该个数据包要进行转发或者丢包处理。在处理该数据包之前,检测模 块60首先调用缓存中该数据包对应的行为和条件编码信息,然后取出行为条件编码序列 和自身维护的Trie树进行比对,如果该序列在Trie树中找不到相应的编码序列,表明该转 发或丢包行为是一次异常行为。例如,当一个数据包被转发到丢包功能模块时,丢包功能模 块首先调用缓存中的内容,构造正常丢弃数据包的Trie树,该Trie树的节点序列表示的是 所有正常数据包在丢包时的一系列条件和行为,然后丢包功能模块再完成丢包过程,并清 除相应的缓存。此外,丢包过程处理之后,丢包功能模块会推送相应的处理信号(如重传信 号等)。
[0化5]进一步的,在本发明的一个实施例中,如图5所示,该基于动作编码的路由器数据 转发行为一致性验证装置还可包括:判断模块70和加入模块80。具体地,判断模块70可 用于判断是否有新的功能模块需要加入到路由器中。加入模块80可用于在有新的功能模 块需要加入时,将新的功能模块加入至路由器中。
[0化6] 更具体地,在判断有新的功能模块需要加入到路由器中时,可对该新的功能模块 进行第=方厂商验证,并在验证通过之后将其加入到路由器中。第一配置模块20、第二配置 模块30、组合模块40、构造模块50和检测模块60依次对该新的功能模块进行操作W检测 该新的功能模块的数据转发行为是否存在异常。可W理解,在本发明的实施例中,如果新加 入的功能模块属于路由器的硬件更新,则需要短暂停用路由器。但如果功能模块是由软件 实现,则在路由器正常运行的情况下,可W实时将功能模块加入路由器。由此,由于支持新 的功能模块的加入,所W提高了一致性验证的可用性、可扩展性。
[0057]根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证装置,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[005引在本发明的描述中,需要理解的是,术语"第一"、"第二"仅用于描述目的,而不能 理解为指示或暗示相对重要性或 者隐含指明所指示的技术特征的数量。由此,限定有"第 一"、"第二"的特征可W明示或者隐含地包括至少一个该特征。在本发明的描述中,"多个" 的含义是至少两个,例如两个,=个等,除非另有明确具体的限定。
[0059] 流程图中或在此W其他方式描述的任何过程或方法描述可W被理解为,表示包括 一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部 分,并且本发明的优选实施方式的范围包括另外的实现,其中可W不按所示出或讨论的顺 序,包括根据所设及的功能按基本同时的方式或按相反的顺序,来执行功能,该应被本发明 的实施例所属技术领域的技术人员所理解。
[0060] 应当理解,本发明的各部分可W用硬件、软件、固件或它们的组合来实现。在上述 实施方式中,多个步骤或方法可W用存储在存储器中且由合适的指令执行系统执行的软件 或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下 列技术中的任一项或他们的组合来实现;具有用于对数据信号实现逻辑功能的逻辑口电路 的离散逻辑电路,具有合适的组合逻辑口电路的专用集成电路,可编程口阵列(PGA),现场 可编程口阵列(FPGA)等。
[0061] 本技术领域的普通技术人员可W理解实现上述实施例方法携带的全部或部分步 骤是可W通过程序来指令相关的硬件完成,所述的程序可W存储于一种计算机可读存储介 质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0062] 此外,在本发明各个实施例中的各功能单元可W集成在一个处理模块中,也可W 是各个单元单独物理存在,也可W两个或两个W上单元集成在一个模块中。上述集成的模 块既可W采用硬件的形式实现,也可W采用软件功能模块的形式实现。所述集成的模块如 果W软件功能模块的形式实现并作为独立的产品销售或使用时,也可W存储在一个计算机 可读取存储介质中。
[0063] 上述提到的存储介质可W是只读存储器,磁盘或光盘等。
[0064] 在本说明书的描述中,参考术语"一个实施例"、"一些实施例"、"示例"、"具体示 例"、或"一些示例"等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特 点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不 必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可W在任 一个或多个实施例或示例中W合适的方式结合。此外,在不相互矛盾的情况下,本领域的技 术人员可W将本说明书中描述的不同实施例或示例W及不同实施例或示例的特征进行结 合和组合。
[0065] 尽管上面已经示出和描述了本发明的实施例,可W理解的是,上述实施例是示例 性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可W对上述 实施例进行变化、修改、替换和变型。
【主权项】
1. 一种基于动作编码的路由器数据转发行为一致性验证方法,其特征在于,包括以下 步骤: 51、 确定路由器多个功能模块的相关功能; 52、 为所述路由器的多个功能模块配置对应的动作编码,其中,所述每个功能模块在执 行相应功能之后,将分配的相应动作编码发送至控制层; 53、 为所述路由器的多个功能模块配置对应的条件编码; 54、 根据组合方式对所述多个功能模块中的部分或全部进行组合; 55、 构造Trie树,其中,所述Trie树的节点保存功能模块的动作编码; 56、 根据所述Trie树和接收的数据包检测所述数据包在转发过程中是否存在异常行 为。2. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,所述步骤S6具体包括: 获取路由器行为对应的数据包,并获取所述数据包对应的行为和条件编码; 将所述数据包对应的行为和条件编码在所述路由器自身维护的Trie树进行比对,如 果在所述Trie树中找不到相应的编码序列,表明所述路由器行为为一次异常行为。3. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,还包括: 57、 如果有新的功能模块需要加入到所述路由器中,重复执行所述步骤S2-S6。4. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,所述组合方式由路由器厂商确定。5. -种基于动作编码的路由器数据转发行为一致性验证装置,其特征在于,包括: 确定模块,用于确定路由器多个功能模块的相应功能; 第一配置模块,用于为所述路由器的多个功能模块配置对应的动作编码,其中,所述每 个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层; 第二配置模块,用于为所述路由器的多个功能模块配置对应的条件编码; 组合模块,用于根据组合方式对所述多个功能模块中的部分或全部进行组合; 构造模块,用于构造Trie树,其中,所述Trie树的节点保存功能模块的动作编码;以及 检测模块,用于根据所述Trie树和接收的数据包检测所述数据包在转发过程中是否 存在异常行为。6. 如权利要求5所述的基于动作编码的路由器数据转发行为一致性验证装置,其特征 在于,所述检测模块具体用于: 获取路由器行为对应的数据包,并获取所述数据包对应的行为和条件编码; 将所述数据包对应的行为和条件编码在所述路由器自身维护的Trie树进行比对,如 果在所述Trie树中找不到相应的编码序列,表明所述路由器行为为一次异常行为。7. 如权利要求5所述的基于动作编码的路由器数据转发行为一致性验证装置,其特征 在于,还包括: 判断模块,用于判断是否有新的功能模块需要加入到所述路由器中; 加入模块,用于在有新的功能模块需要加入时,将所述新的功能模块加入至所述路由 器中。
【专利摘要】本发明公开了一种基于动作编码的路由器数据转发行为一致性验证方法和装置,其中该方法包括:确定路由器多个功能模块的相关功能;为路由器的多个功能模块配置对应的动作编码,其中,每个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层;为路由器的多个功能模块配置对应的条件编码;根据组合方式对多个功能模块中的部分或全部进行组合;构造Trie树,其中,Trie树的节点保存功能模块的动作编码;根据Trie树和接收的数据包检测数据包在转发过程中是否存在异常行为。该方法利用功能模块的动作序列和产生的条件序列来对异常行为进行检测,使得网络管理人员能够快速有效的发现异常行为,及时的检测网络状态。
【IPC分类】H04L12/26, H04L12/24
【公开号】CN104901829
【申请号】CN201510165810
【发明人】徐恪, 陈艳毓, 沈蒙, 江勇, 马东超
【申请人】清华大学
【公开日】2015年9月9日
【申请日】2015年4月9日
【技术领域】
[0001] 本发明设及路由器技术领域,尤其设及一种基于动作编码的路由器数据转发行为 一致性验证方法及装置。
【背景技术】
[0002] 在路由器数据转发行为中,有一些行为属于正常动作,而一些行为则属于异常动 作。例如,转发过程中往往存在着丢包的概率,丢包行为中有些丢包动作是属于正常的行 为,比如网络阻塞而产生丢包行为,属于正常的拥塞控制行为,有的丢包动作是由于路由器 对包的处理就是丢弃,该种丢包动作也属于正常行为;丢包行为中还有一部分数据包本来 应该是转发动作的,由于种种原因路由器却将其丢弃,该种丢包动作属于异常丢包动作。
[0003] 然而,在路由器数据转发行为中,若路由器数据转发行为不一致的话,可能会导致 网络故障或网络安全隐患等问题。因此,数据在转发过程中,如何检测该转发行为是否存在 异常,W验证路由器数据转发行为是否一致性已成为亟待解决的问题。
【发明内容】
[0004] 本发明的目的旨在至少在一定程度上解决上述的技术问题之一。
[0005] 为此,本发明的第一个目的在于提出一种基于动作编码的路由器数据转发行为一 致性验证方法。该方法充分考虑了可编程路由器各个功能模块之间的软件可编程性,利用 功能模块的动作序列和产生的条件序列来对异常行为进行检测,使得网络管理人员能够快 速有效地发现异常行为,及时地检测网络状态。
[0006] 本发明的第二个目的在于提出一种基于动作编码的路由器数据转发行为一致性 验证装置。
[0007] 为了实现上述目的,本发明第一方面实施例的基于动作编码的路由器数据转发行 为一致性验证方法,包括;S1、确定路由器多个功能模块的相关功能;S2、为所述路由器的 多个功能模块配置对应的动作编码,其中,所述每个功能模块在执行相应功能之后,将分配 的相应动作编码发送至控制层;S3、为所述路由器的多个功能模块配置对应的条件编码; S4、根据组合方式对所述多个功能模块中的部分或全部进行组合;S5、构造Trie树,其中, 所述Trie树的节点保存功能模块的动作编码;S6、根据所述Trie树和接收的数据包检测所 述数据包在转发过程中是否存在异常行为。
[000引根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证方法,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[0009] 为了实现上述目的,本发明第二方面实施例的基于动作编码的路由器数据转发行 为一致性验证装置,包括:确定模块,用于确定路由器多个功能模块的相应功能;第一配置 模块,用于为所述路由器的多个功能模块配置对应的动作编码,其中,所述每个功能模块在 执行相应功能之后,将分配的相应动作编码发送至控制层;第二配置模块,用于为所述路由 器的多个功能模块配置对应的条件编码;组合模块,用于根据组合方式对所述多个功能模 块中的部分或全部进行组合;构造模块,用于构造Trie树,其中,所述Trie树的节点保存功 能模块的动作编码;W及检测模块,用于根据所述Trie树和接收的数据包检测所述数据包 在转发过程中是否存在异常行为。
[0010] 根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证装置,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[0011] 本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变 得明显,或通过本发明的实践了解到。
【附图说明】
[0012] 本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变 得明显和容易理解,其中:
[0013]图1是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证方法的流程图;
[0014]图2是根据本发明另一个实施例的基于动作编码的路由器数据转发行为一致性 验证方法的流程图;
[0015]图3是根据本发明实施例的构造的正常丢包动作的Trie树的示例图;
[0016] 图4是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证装置的结构示意图;W及
[0017] 图5是根据本发明另一个实施例的基于动作编码的路由器数据转发行为一致性 验证装置的结构示意图。
【具体实施方式】
[001引下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
[0019] 下面参考附图描述根据本发明实施例的基于动作编码的路由器数据转发行为一 致性验证方法及装置。
[0020] 图1是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证方法的流程图。如图1所示,该基于动作编码的路由器数据转发行为一致性验证方法可 W包括:
[0021]S101,确定路由器多个功能模块的相关功能。
[0022] 本领域的技术人员均可理解,路由器是由多个功能模块构成的,每个功能模块 可实现相应的功能,该些功能可包括转发、路由表更新、丢包、自产生数据包、更改包头源 IP(InternetProtocol,网络之间互连的协议)、更改包头目的IP、更改数据包pa^oad(指 除去协议首部之外实际传输的数据)、校验等。需要说明的是,在确定路由器多个功能模块 的相关功能的过程中,还需对各个功能模块进行验证,由于功能模块比较简单,其验证工作 可由第=方厂商验证,W防止欺骗行为。
[0023] S102,为路由器的多个功能模块配置对应的动作编码,其中,每个功能模块在执行 相应功能之后,将分配的相应动作编码发送至控制层。
[0024] 具体地,由于编码的需要,所W每一个功能模块可负责一个相应的动作。在确定每 个功能模块在路由器中的功能(即作用)之后,可为每一个动作分配一个不同的英文字母, 其中,如果字母不够用时,则可用其他符号代替。该样可W使得当一个功能模块接收到一个 数据包后,就会将分配的相应动作的字母推送到控制层,并记录到该数据包相应的缓存中。 其中,当该数据包正常处理完毕之后,该缓存可自动释放空间。
[0025] S103,为路由器的多个功能模块配置对应的条件编码。
[0026] 具体地,由于有些数据包在处理过程中符合正常转发的序列,但是其并不符合正 常转发的条件,即触发模块动作行为的条件不满足。所W还需要给每一个功能模块配置相 应的转发到下一个功能模块的条件编码。可W理解,由于霍夫曼编码能够缩短总体编码的 长度,能够实现快速查找匹配的目的,所W在为功能模块配置对应的条件编码时,该编码信 息可使用霍夫曼编码,即使用频率高的条件编码长度最短,使用频率低的条件编码长度长。 例如,可根据使用频率的高低,从0开始编码,然后依次是1,00,01,000等。
[0027] 需要说明的是,在本发明的实施例中,各功能模块之间具有灵活的调用接口,并且 每执行一次功能,会发出两次信号推送,一次是将自身的动作编码信号推送到控制层进行 处理,然后将数据包转发到其他功能模块之前,向控制层推送相应的条件编码信息。
[002引 S104,根据组合方式对多个功能模块中的部分或全部进行组合。
[0029] 其中,在本发明的实施例中,组合方式可由路由器厂商确定,但是每个功能模块的 信号推送接口要接入上层控制层,各个功能模块之间的接口调用参数是控制层分配的行为 编码缓存。构件执行了自身的功能后将自身的编码信号推送到分配的编码缓存里,当数据 包正常处理完毕之后,该缓存可自动释放空间。
[0030] S105,构造Trie树(字典树),其中,Trie树的节点保存功能模块的动作编码。
[0031] 可W理解,由于Trie树能够快速方便的查找信息,所W可使用Trie树节点来保存 功能模块的动作编码,由于还需要添加功能模块的条件编码,所W可将Trie树的边也进行 编码,构成Trie树。具体地,首先可使用正常行为的数据包来构建表示动作集和条件集的 Trie树。当路由器接收到一个数据包后,触发一个相应的动作编码信息推送给控制层,控制 层将该信息缓存起来,路由器各功能模块在处理完数据包之后将数据包发送给其他功能模 块,并将发送条件推送到控制层,控制层将条件信息也加入到缓存中。该过程构造了一个既 包含功能模块触发条件的编码信息,又包含功能模块动作的编码信息的Trie树。需要说明 的是,在本发明的实施例中,Trie树中从根节点到第一个节点默认的边行为可为接收。
[0032] S106,根据Trie树和接收的数据包检测数据包在转发过程中是否存在异常行为。
[0033] 具体而言,在本发明的实施例中,可先获取路由器行为对应的数据包,并获取数据 包对应的行为和条件编码。之后,将数据包对应的行为和条件编码在路由器自身维护的 Trie树进行比对,如果在Trie树中找不到相应的编码序列,表明路由器行为为一次异常行 为。
[0034]举例而言,W转发功能模块或丢包功能模块为例,当转发功能模块或丢包功能模 块收到数据包时,表明该个数据包要进行转发或者丢包处理。在处理该数据包之前,转发或 丢包功能模块首先调用缓存中该数据包对应的行为和条件编码信息。然后取出行为条件编 码序列和自身维护的Trie树进行比对,如果该序列在Trie树中找不到相应的编码序列, 表明该转发或丢包行为是一次异常行为。例如,当一个数据包被转发到丢包功能模块时, 丢包功能模块首先调用缓存中的内容,构造正常丢弃数据包的Trie树,该Trie树的节点序 列表示的是所有正常数据包在丢包时的一系列条件和行为,然后丢包功能模块再完成丢包 过程,并清除相应的缓存。此外,丢包过程处理之后,丢包功能模块会推送相应的处理信号 (如重传信号等)。
[0035] 进一步的,在本发明的一个实施例中,如图2所示,在图1所示的基础上,该基于 动作编码的路由器数据转发行为一致性验证方法还可包括;判断是否有新的功能模块需 要加入到路由器中(S207),如果有新的功能模块需要加入到路由器中,则重复执行步骤 S102-S106。具体地,对于新的功能模块,需要在第=方厂商验证通过后,从步骤S102开始 加入路由器中。可W理解,在本发明的实施例中,如果新加入的功能模块属于路由器的硬件 更新,则需要短暂停用路由器。但如果功能模块是由软件实现,则在路由器正常运行的情况 下,可W实时将功能模块加入路由器。由此,由于支持新的功能模块的加入,所W提高了一 致性验证的可用性、可扩展性。
[0036] 综上所述,本发明提出的基于动作编码的路由器数据转发行为一致性验证方法的 主要原理是;首先,确定路由器中各个功能模块的相关功能。然后,利用正常行为的数据 包建立一棵扩展的Trie树,该棵树的节点表示动作,而边则表示该节点代表动作的发生条 件。从根节点到叶子节点的节点序列表示数据转发行为中的一系列动作,而从根到叶子节 点的边序列表示数据转发行为中一系列的发生条件,节点序列和对应的边序列构成了完整 的转发行为。然后根据建立的扩展Trie树,对于达到转发模块或丢包模块的所有包检测 Trie树,查看其行为是否符合正常行为,如果发现属于异常行为,则立即向应用层推送警告 信息。
[0037]根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证方法,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[003引下面可用具体的实例来演示基于动作编码的路由器数据转发行为一致性验证方 法的使用方法:第=方在验证模块功能唯一性和正确性后,给路由进行动作编码和条件编 码。由该些合法模块构成的路由器运行时,每执行一个模块功能时,该模块会提交自身的动 作编码和条件编码给上层控制层,按照执行的顺序,各个功能模块产生的编码会组合成一 个长编码,称为数据包的动作条件编码。由于路由器会同时接收多个端口的数据,同时产生 多个动作条件编码,该时可能需要分配一定的缓存空间留给动作条件编码。
[0039]假设常用路由器功能模块有9个,每个模块相应的功能,经过第=方厂商验证。其 中,各个模块的动作编码信息如下表1,各个功能模块转发时的条件编码信息如下表2。
[0040] 表1 ;各个功能模块的动作编码信息
[0041]
[0044] 由于需要检测异常丢包动作,所W只需要构建一个正常丢包动作的Trie树。如图 3所示,从根节点到叶子节点是一条包含动作编码信息和条件信息的编码序列,每一个编码 序列表示一个正常丢包的行为。当路由器的丢包功能模块接收到一个数据包时,就调用缓 存中的编码序列和Trie树进行对比,如果Trie中不包括数据包的编码序列,则表示该丢包 为异常丢包事件,并推送警告信息给控制层。 [0045] 为了实现上述实施例,本发明还提出了一种基于动作编码的路由器数据转发行为 一致性验证装置。
[0046] 图4是根据本发明一个实施例的基于动作编码的路由器数据转发行为一致性验 证装置的结构示意图。如图4所示,该基于动作编码的路由器数据转发行为一致性验证装 置可W包括;确定模块10、第一配置模块20、第二配置模块30、组合模块40、构造模块50和 检测模块60。
[0047] 具体地,确定模块10可用于确定路由器多个功能模块的相应功能。本领域的技术 人员均可理解,路由器是由多个功能模块构成的,每个功能模块可实现相应的功能,该些功 能可包括转发、路由表更新、丢包、自产生数据包、更改包头源IP、更改包头目的IP、更改数 据包payloat校验等。需要说明的是,在确定路由器多个功能模块的相关功能的过程中,还 需对各个功能模块进行验证,由于功能模块比较简单,其验证工作可由第=方厂商验证,W 防止欺骗行为。
[0048] 第一配置模块20可用于为路由器的多个功能模块配置对应的动作编码,其中,每 个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层。更具体地,由于编 码的需要,所W每一个功能模块可负责一个相应的动作。在确定模块10确定每个功能模块 在路由器中的功能(即作用)之后,第一配置模块20可为每一个动作分配一个不同的英文 字母,其中,如果字母不够用时,则可用其他符号代替。该样可W使得当一个功能模块接收 到一个数据包后,就会将分配的相应动作的字母推送到控制层,并记录到该数据包相应的 缓存中。其中,当该数据包正常处理完毕之后,该缓存可自动释放空间。
[0049]第二配置模块30可用于为路由器的多个功能模块配置对应的条件编码。更具体 地,由于有些数据包在处理过程中符合正常转发的序列,但是其并不符合正常转发的条件, 即触发模块动作行为的条件不满足。所W第二配置模块30需要给每一个功能模块配置相 应的转发到下一个功能模块的条件编码。可W理解,由于霍夫曼编码能够缩短总体编码的 长度,能够实现快速查找匹配的目的,所W第二配置模块30在为功能模块配置对应的条件 编码时,该编码信息可使用霍夫曼编码,即使用频率高的条件编码长度最短,使用频率低的 条件编码长度长。例如,可根据使用频率的高低,从0开始编码,然后依次是1,〇〇,〇1,〇〇〇 等。
[0化0] 需要说明的是,在本发明的实施例中,各功能模块之间具有灵活的调用接口,并且 每执行一次功能,会发出两次信号推送,一次是将自身的动作编码信号推送到控制层进行 处理,然后将数据包转发到其他功能模块之前,向控制层推送相应的条件编码信息。
[0化1]组合模块40可用于根据组合方式对多个功能模块中的部分或全部进行组合。其 中,在本发明的实施例中,组合方式可由路由器厂商确定,但是每个功能模块的信号推送接 口要接入上层控制层,各个功能模块之间的接口调用参数是控制层分配的行为编码缓存。 构件执行了自身的功能后将自身的编码信号推送到分配的编码缓存里,当数据包正常处理 完毕之后,该缓存可自动释放空间。
[0化2]构造模块50可用于构造Trie树,其中,Trie树的节点保存功能模块的动作编码。 可W理解,由于Trie树能够快速方便的查找信息,所W可使用Trie树节点来保存功能模块 的动作编码,由于还需要添加功能模块的条件编码,所W可将Trie树的边也进行编码,构 成Trie树。更具体地,构造模块50可使用正常行为的数据包来构建表示动作集和条件集 的Trie树。当路由器接收到一个数据包后,触发一个相应的动作编码信息推送给控制层, 控制层将该信息缓存起来,路由器各功能模块在处理完数据包之后将数据包发送给其他功 能模块,并将发送条件推送到控制层,控制层将条件信息也加入到缓存中。该过程构造了一 个既包含功能模块触发条件的编码信息,又包含功能模块动作的编码信息的Trie树。需要 说明的是,在本发明的实施例中,Trie树中从根节点到第一个节点默认的边行为可为接收。 [0化3]检测模块60可用于根据Trie树和接收的数据包检测数据包在转发过程中是否存 在异常行为。具体而言,在本发明的实施例中,检测模块60可先获取路由器行为对应的数 据包,并获取数据包对应的行为和条件编码,之后,将数据包对应的行为和条件编码在路由 器自身维护的Trie树进行比对,如果在Trie树中找不到相应的编码序列,表明路由器行为 为一次异常行为。
[0054]举例而言,W转发功能模块或丢包功能模块为例,当转发功能模块或丢包功能模 块收到数据包时,表明该个数据包要进行转发或者丢包处理。在处理该数据包之前,检测模 块60首先调用缓存中该数据包对应的行为和条件编码信息,然后取出行为条件编码序列 和自身维护的Trie树进行比对,如果该序列在Trie树中找不到相应的编码序列,表明该转 发或丢包行为是一次异常行为。例如,当一个数据包被转发到丢包功能模块时,丢包功能模 块首先调用缓存中的内容,构造正常丢弃数据包的Trie树,该Trie树的节点序列表示的是 所有正常数据包在丢包时的一系列条件和行为,然后丢包功能模块再完成丢包过程,并清 除相应的缓存。此外,丢包过程处理之后,丢包功能模块会推送相应的处理信号(如重传信 号等)。
[0化5]进一步的,在本发明的一个实施例中,如图5所示,该基于动作编码的路由器数据 转发行为一致性验证装置还可包括:判断模块70和加入模块80。具体地,判断模块70可 用于判断是否有新的功能模块需要加入到路由器中。加入模块80可用于在有新的功能模 块需要加入时,将新的功能模块加入至路由器中。
[0化6] 更具体地,在判断有新的功能模块需要加入到路由器中时,可对该新的功能模块 进行第=方厂商验证,并在验证通过之后将其加入到路由器中。第一配置模块20、第二配置 模块30、组合模块40、构造模块50和检测模块60依次对该新的功能模块进行操作W检测 该新的功能模块的数据转发行为是否存在异常。可W理解,在本发明的实施例中,如果新加 入的功能模块属于路由器的硬件更新,则需要短暂停用路由器。但如果功能模块是由软件 实现,则在路由器正常运行的情况下,可W实时将功能模块加入路由器。由此,由于支持新 的功能模块的加入,所W提高了一致性验证的可用性、可扩展性。
[0057]根据本发明实施例的基于动作编码的路由器数据转发行为一致性验证装置,充分 考虑了可编程路由器各个功能模块之间的软件可编程性,利用功能模块的动作序列和产生 的条件序列来快速有效的检测路由器异常行为,并且通过引入Trie编码和霍夫曼编码,提 高了编码的效率和查询的效率,从而尽可能不影响路由性能的情况下维护网络安全。
[005引在本发明的描述中,需要理解的是,术语"第一"、"第二"仅用于描述目的,而不能 理解为指示或暗示相对重要性或 者隐含指明所指示的技术特征的数量。由此,限定有"第 一"、"第二"的特征可W明示或者隐含地包括至少一个该特征。在本发明的描述中,"多个" 的含义是至少两个,例如两个,=个等,除非另有明确具体的限定。
[0059] 流程图中或在此W其他方式描述的任何过程或方法描述可W被理解为,表示包括 一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部 分,并且本发明的优选实施方式的范围包括另外的实现,其中可W不按所示出或讨论的顺 序,包括根据所设及的功能按基本同时的方式或按相反的顺序,来执行功能,该应被本发明 的实施例所属技术领域的技术人员所理解。
[0060] 应当理解,本发明的各部分可W用硬件、软件、固件或它们的组合来实现。在上述 实施方式中,多个步骤或方法可W用存储在存储器中且由合适的指令执行系统执行的软件 或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下 列技术中的任一项或他们的组合来实现;具有用于对数据信号实现逻辑功能的逻辑口电路 的离散逻辑电路,具有合适的组合逻辑口电路的专用集成电路,可编程口阵列(PGA),现场 可编程口阵列(FPGA)等。
[0061] 本技术领域的普通技术人员可W理解实现上述实施例方法携带的全部或部分步 骤是可W通过程序来指令相关的硬件完成,所述的程序可W存储于一种计算机可读存储介 质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0062] 此外,在本发明各个实施例中的各功能单元可W集成在一个处理模块中,也可W 是各个单元单独物理存在,也可W两个或两个W上单元集成在一个模块中。上述集成的模 块既可W采用硬件的形式实现,也可W采用软件功能模块的形式实现。所述集成的模块如 果W软件功能模块的形式实现并作为独立的产品销售或使用时,也可W存储在一个计算机 可读取存储介质中。
[0063] 上述提到的存储介质可W是只读存储器,磁盘或光盘等。
[0064] 在本说明书的描述中,参考术语"一个实施例"、"一些实施例"、"示例"、"具体示 例"、或"一些示例"等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特 点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不 必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可W在任 一个或多个实施例或示例中W合适的方式结合。此外,在不相互矛盾的情况下,本领域的技 术人员可W将本说明书中描述的不同实施例或示例W及不同实施例或示例的特征进行结 合和组合。
[0065] 尽管上面已经示出和描述了本发明的实施例,可W理解的是,上述实施例是示例 性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可W对上述 实施例进行变化、修改、替换和变型。
【主权项】
1. 一种基于动作编码的路由器数据转发行为一致性验证方法,其特征在于,包括以下 步骤: 51、 确定路由器多个功能模块的相关功能; 52、 为所述路由器的多个功能模块配置对应的动作编码,其中,所述每个功能模块在执 行相应功能之后,将分配的相应动作编码发送至控制层; 53、 为所述路由器的多个功能模块配置对应的条件编码; 54、 根据组合方式对所述多个功能模块中的部分或全部进行组合; 55、 构造Trie树,其中,所述Trie树的节点保存功能模块的动作编码; 56、 根据所述Trie树和接收的数据包检测所述数据包在转发过程中是否存在异常行 为。2. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,所述步骤S6具体包括: 获取路由器行为对应的数据包,并获取所述数据包对应的行为和条件编码; 将所述数据包对应的行为和条件编码在所述路由器自身维护的Trie树进行比对,如 果在所述Trie树中找不到相应的编码序列,表明所述路由器行为为一次异常行为。3. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,还包括: 57、 如果有新的功能模块需要加入到所述路由器中,重复执行所述步骤S2-S6。4. 如权利要求1所述的基于动作编码的路由器数据转发行为一致性验证方法,其特征 在于,所述组合方式由路由器厂商确定。5. -种基于动作编码的路由器数据转发行为一致性验证装置,其特征在于,包括: 确定模块,用于确定路由器多个功能模块的相应功能; 第一配置模块,用于为所述路由器的多个功能模块配置对应的动作编码,其中,所述每 个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层; 第二配置模块,用于为所述路由器的多个功能模块配置对应的条件编码; 组合模块,用于根据组合方式对所述多个功能模块中的部分或全部进行组合; 构造模块,用于构造Trie树,其中,所述Trie树的节点保存功能模块的动作编码;以及 检测模块,用于根据所述Trie树和接收的数据包检测所述数据包在转发过程中是否 存在异常行为。6. 如权利要求5所述的基于动作编码的路由器数据转发行为一致性验证装置,其特征 在于,所述检测模块具体用于: 获取路由器行为对应的数据包,并获取所述数据包对应的行为和条件编码; 将所述数据包对应的行为和条件编码在所述路由器自身维护的Trie树进行比对,如 果在所述Trie树中找不到相应的编码序列,表明所述路由器行为为一次异常行为。7. 如权利要求5所述的基于动作编码的路由器数据转发行为一致性验证装置,其特征 在于,还包括: 判断模块,用于判断是否有新的功能模块需要加入到所述路由器中; 加入模块,用于在有新的功能模块需要加入时,将所述新的功能模块加入至所述路由 器中。
【专利摘要】本发明公开了一种基于动作编码的路由器数据转发行为一致性验证方法和装置,其中该方法包括:确定路由器多个功能模块的相关功能;为路由器的多个功能模块配置对应的动作编码,其中,每个功能模块在执行相应功能之后,将分配的相应动作编码发送至控制层;为路由器的多个功能模块配置对应的条件编码;根据组合方式对多个功能模块中的部分或全部进行组合;构造Trie树,其中,Trie树的节点保存功能模块的动作编码;根据Trie树和接收的数据包检测数据包在转发过程中是否存在异常行为。该方法利用功能模块的动作序列和产生的条件序列来对异常行为进行检测,使得网络管理人员能够快速有效的发现异常行为,及时的检测网络状态。
【IPC分类】H04L12/26, H04L12/24
【公开号】CN104901829
【申请号】CN201510165810
【发明人】徐恪, 陈艳毓, 沈蒙, 江勇, 马东超
【申请人】清华大学
【公开日】2015年9月9日
【申请日】2015年4月9日
最新回复(0)