《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于數據到達間隔的網絡大流檢測方法
基于數據到達間隔的網絡大流檢測方法
網絡安全與數據治理
趙亮1,林櫟2
1.西南科技大學信息工程學院;2.新疆電子研究所股份有限公司
摘要: 大流檢測是網絡監(jiān)管中的重要任務?,F(xiàn)有的檢測方法主要圍繞流的大小來進行篩選評判。然而,真實的大流往往與數量眾多的老鼠流混合在一起,尤其是當路由器存儲空間有限時,依靠所能記錄下來的流大小信息通常不能準確實現(xiàn)大流檢測。為此提出一種新的大流檢測方法,該方法根據流的新舊及數據到達間隔來濾除老鼠流。實驗顯示該方法在有限的存儲空間條件下,表現(xiàn)出良好的檢測準確性。
中圖分類號:TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.08.007
引用格式:趙亮,林櫟.基于數據到達間隔的網絡大流檢測方法[J].網絡安全與數據治理,2024,43(8):40-43.
Elephant flow detection method based on data arrival interval
Zhao Liang1,Lin Li2
1.School of Information Engineering, Southwest University of Science & Technology; 2.Xinjiang Electronics Research Institute Company
Abstract: Detecting elephant flows is a critical task in network monitoring and management. The existing detection methods mainly focus on the size of the flows, where they filter the elephant flows by size. However, the real elephant flows in high-speed network tend to be swamped by a large number of mouse flows, especially under limited memory size, resulting in the algorithm not being able to correctly detect elephant flows by size. In this paper, we propose a novel method which separates the elephant flows from the mouse flows by expelling the oldest flow which also takes on big arrival interval of data. Experimental results show that the new method achieves good precision with limited memory size.
Key words : network monitoring and management; elephant flow detection; memory size; data arrival interval

引言

流量檢測是網絡領域進行擁塞控制、異常識別、負載均衡等工作的基礎[1-3]。網絡領域中具有相同流ID的數據包集合被稱為流,其中流ID通常是數據包頭部特定字段的組合,如源IP、源端口、目的IP、目的端口等,集合中數據包總數或字節(jié)總數對應流的大小。在現(xiàn)實網絡中,流的大小通常服從重尾分布,即大多數流非常小,這類流又稱為老鼠流,而一小部分流非常大,這類流通常稱為大流或大象流[4-5]。相比之下,大流更容易造成網絡堵塞和負載不均衡等問題,故對大流進行檢測識別是網絡監(jiān)控的重要任務。

通常來說,現(xiàn)代網絡為實現(xiàn)高速信息傳輸,所用的路由器主要使用SRAM之類具有低延遲特性的存儲器。受SRAM的成本制約,路由器的內存往往有限,由此帶來的問題便是硬件處理速度難以滿足高速網絡流量測量的需要[6]。這種情況下,如何在有限的硬件條件下完成大流檢測成為了網絡領域的研究熱點。針對這一需求,目前已發(fā)展出不同類型的大流檢測方法,這些檢測方法從策略上大致可分為三類:count-all策略、admit-all-count-some策略和其他策略。其中count-all策略基于sketch計算所有流的大小[7],這類方法更適用于均勻分布的數據,當網絡流量不均勻時,其大流檢測結果中會含有大量的假陽性。Admit-all-count-some策略將所有新流都視為大流,并只記錄部分流的信息以節(jié)省內存空間[8-11],這類方法存在的問題在于對真正大流的漏檢率偏高。其他具有代表性的大流檢測策略包括:Cold Filter方法采用雙層sketch結構對網絡流進行過濾,結合Space-Saving算法記錄大流[12],但其過早對流的類型做出判斷,將老鼠流誤識為大流:HeavyKeeper方法使用指數衰減的方式來剔除老鼠流并記錄大流[13],但其識別某些老鼠流的用時較長,由此可能導致后續(xù)的大流無法被記錄下來;ActiveKeeper方法[14]則是在HeavyKeeper基礎上引入雙模式計數器,通過不同的計數模式來分別對大流和老鼠流進行計數,以此提升內存使用效率。

針對現(xiàn)有方法的局限性,本文提出一種新的大流檢測策略。該策略基于網絡流量在大小、到達時間間隔方面的統(tǒng)計特性,在有限的內存空間中重點記錄新的、持續(xù)到達的流,并及時拋棄舊流為記錄新流騰出空間。實驗表明,本文方法可以在有限的片上內存條件下實現(xiàn)高精度和高吞吐量,由此可為網絡監(jiān)控提供及時準確的決策支持。


本文詳細內容請下載:

http://ihrv.cn/resource/share/2000006104


作者信息:

趙亮1,林櫟2

(1.西南科技大學信息工程學院,四川綿陽621010;

2.新疆電子研究所股份有限公司,新疆烏魯木齊830010)


Magazine.Subscription.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。