《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 基于數(shù)據(jù)到達間隔的網(wǎng)絡(luò)大流檢測方法
基于數(shù)據(jù)到達間隔的網(wǎng)絡(luò)大流檢測方法
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
趙亮1,林櫟2
1.西南科技大學(xué)信息工程學(xué)院;2.新疆電子研究所股份有限公司
摘要: 大流檢測是網(wǎng)絡(luò)監(jiān)管中的重要任務(wù)?,F(xiàn)有的檢測方法主要圍繞流的大小來進行篩選評判。然而,真實的大流往往與數(shù)量眾多的老鼠流混合在一起,尤其是當(dāng)路由器存儲空間有限時,依靠所能記錄下來的流大小信息通常不能準(zhǔn)確實現(xiàn)大流檢測。為此提出一種新的大流檢測方法,該方法根據(jù)流的新舊及數(shù)據(jù)到達間隔來濾除老鼠流。實驗顯示該方法在有限的存儲空間條件下,表現(xiàn)出良好的檢測準(zhǔn)確性。
中圖分類號:TP393文獻標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.08.007
引用格式:趙亮,林櫟.基于數(shù)據(jù)到達間隔的網(wǎng)絡(luò)大流檢測方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(8):40-43.
Elephant flow detection method based on data arrival interval
Zhao Liang1,Lin Li2
1.School of Information Engineering, Southwest University of Science & Technology; 2.Xinjiang Electronics Research Institute Company
Abstract: Detecting elephant flows is a critical task in network monitoring and management. The existing detection methods mainly focus on the size of the flows, where they filter the elephant flows by size. However, the real elephant flows in high-speed network tend to be swamped by a large number of mouse flows, especially under limited memory size, resulting in the algorithm not being able to correctly detect elephant flows by size. In this paper, we propose a novel method which separates the elephant flows from the mouse flows by expelling the oldest flow which also takes on big arrival interval of data. Experimental results show that the new method achieves good precision with limited memory size.
Key words : network monitoring and management; elephant flow detection; memory size; data arrival interval

引言

流量檢測是網(wǎng)絡(luò)領(lǐng)域進行擁塞控制、異常識別、負(fù)載均衡等工作的基礎(chǔ)[1-3]。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱為流,其中流ID通常是數(shù)據(jù)包頭部特定字段的組合,如源IP、源端口、目的IP、目的端口等,集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對應(yīng)流的大小。在現(xiàn)實網(wǎng)絡(luò)中,流的大小通常服從重尾分布,即大多數(shù)流非常小,這類流又稱為老鼠流,而一小部分流非常大,這類流通常稱為大流或大象流[4-5]。相比之下,大流更容易造成網(wǎng)絡(luò)堵塞和負(fù)載不均衡等問題,故對大流進行檢測識別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù)。

通常來說,現(xiàn)代網(wǎng)絡(luò)為實現(xiàn)高速信息傳輸,所用的路由器主要使用SRAM之類具有低延遲特性的存儲器。受SRAM的成本制約,路由器的內(nèi)存往往有限,由此帶來的問題便是硬件處理速度難以滿足高速網(wǎng)絡(luò)流量測量的需要[6]。這種情況下,如何在有限的硬件條件下完成大流檢測成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點。針對這一需求,目前已發(fā)展出不同類型的大流檢測方法,這些檢測方法從策略上大致可分為三類:count-all策略、admit-all-count-some策略和其他策略。其中count-all策略基于sketch計算所有流的大?。?],這類方法更適用于均勻分布的數(shù)據(jù),當(dāng)網(wǎng)絡(luò)流量不均勻時,其大流檢測結(jié)果中會含有大量的假陽性。Admit-all-count-some策略將所有新流都視為大流,并只記錄部分流的信息以節(jié)省內(nèi)存空間[8-11],這類方法存在的問題在于對真正大流的漏檢率偏高。其他具有代表性的大流檢測策略包括:Cold Filter方法采用雙層sketch結(jié)構(gòu)對網(wǎng)絡(luò)流進行過濾,結(jié)合Space-Saving算法記錄大流[12],但其過早對流的類型做出判斷,將老鼠流誤識為大流:HeavyKeeper方法使用指數(shù)衰減的方式來剔除老鼠流并記錄大流[13],但其識別某些老鼠流的用時較長,由此可能導(dǎo)致后續(xù)的大流無法被記錄下來;ActiveKeeper方法[14]則是在HeavyKeeper基礎(chǔ)上引入雙模式計數(shù)器,通過不同的計數(shù)模式來分別對大流和老鼠流進行計數(shù),以此提升內(nèi)存使用效率。

針對現(xiàn)有方法的局限性,本文提出一種新的大流檢測策略。該策略基于網(wǎng)絡(luò)流量在大小、到達時間間隔方面的統(tǒng)計特性,在有限的內(nèi)存空間中重點記錄新的、持續(xù)到達的流,并及時拋棄舊流為記錄新流騰出空間。實驗表明,本文方法可以在有限的片上內(nèi)存條件下實現(xiàn)高精度和高吞吐量,由此可為網(wǎng)絡(luò)監(jiān)控提供及時準(zhǔn)確的決策支持。


本文詳細(xì)內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006104


作者信息:

趙亮1,林櫟2

(1.西南科技大學(xué)信息工程學(xué)院,四川綿陽621010;

2.新疆電子研究所股份有限公司,新疆烏魯木齊830010)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。