《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于數(shù)據(jù)到達(dá)間隔的網(wǎng)絡(luò)大流檢測(cè)方法
基于數(shù)據(jù)到達(dá)間隔的網(wǎng)絡(luò)大流檢測(cè)方法
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
趙亮1,林櫟2
1.西南科技大學(xué)信息工程學(xué)院;2.新疆電子研究所股份有限公司
摘要: 大流檢測(cè)是網(wǎng)絡(luò)監(jiān)管中的重要任務(wù)?,F(xiàn)有的檢測(cè)方法主要圍繞流的大小來(lái)進(jìn)行篩選評(píng)判。然而,真實(shí)的大流往往與數(shù)量眾多的老鼠流混合在一起,尤其是當(dāng)路由器存儲(chǔ)空間有限時(shí),依靠所能記錄下來(lái)的流大小信息通常不能準(zhǔn)確實(shí)現(xiàn)大流檢測(cè)。為此提出一種新的大流檢測(cè)方法,該方法根據(jù)流的新舊及數(shù)據(jù)到達(dá)間隔來(lái)濾除老鼠流。實(shí)驗(yàn)顯示該方法在有限的存儲(chǔ)空間條件下,表現(xiàn)出良好的檢測(cè)準(zhǔn)確性。
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.08.007
引用格式:趙亮,林櫟.基于數(shù)據(jù)到達(dá)間隔的網(wǎng)絡(luò)大流檢測(cè)方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(8):40-43.
Elephant flow detection method based on data arrival interval
Zhao Liang1,Lin Li2
1.School of Information Engineering, Southwest University of Science & Technology; 2.Xinjiang Electronics Research Institute Company
Abstract: Detecting elephant flows is a critical task in network monitoring and management. The existing detection methods mainly focus on the size of the flows, where they filter the elephant flows by size. However, the real elephant flows in high-speed network tend to be swamped by a large number of mouse flows, especially under limited memory size, resulting in the algorithm not being able to correctly detect elephant flows by size. In this paper, we propose a novel method which separates the elephant flows from the mouse flows by expelling the oldest flow which also takes on big arrival interval of data. Experimental results show that the new method achieves good precision with limited memory size.
Key words : network monitoring and management; elephant flow detection; memory size; data arrival interval

引言

流量檢測(cè)是網(wǎng)絡(luò)領(lǐng)域進(jìn)行擁塞控制、異常識(shí)別、負(fù)載均衡等工作的基礎(chǔ)[1-3]。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱(chēng)為流,其中流ID通常是數(shù)據(jù)包頭部特定字段的組合,如源IP、源端口、目的IP、目的端口等,集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對(duì)應(yīng)流的大小。在現(xiàn)實(shí)網(wǎng)絡(luò)中,流的大小通常服從重尾分布,即大多數(shù)流非常小,這類(lèi)流又稱(chēng)為老鼠流,而一小部分流非常大,這類(lèi)流通常稱(chēng)為大流或大象流[4-5]。相比之下,大流更容易造成網(wǎng)絡(luò)堵塞和負(fù)載不均衡等問(wèn)題,故對(duì)大流進(jìn)行檢測(cè)識(shí)別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù)。

通常來(lái)說(shuō),現(xiàn)代網(wǎng)絡(luò)為實(shí)現(xiàn)高速信息傳輸,所用的路由器主要使用SRAM之類(lèi)具有低延遲特性的存儲(chǔ)器。受SRAM的成本制約,路由器的內(nèi)存往往有限,由此帶來(lái)的問(wèn)題便是硬件處理速度難以滿(mǎn)足高速網(wǎng)絡(luò)流量測(cè)量的需要[6]。這種情況下,如何在有限的硬件條件下完成大流檢測(cè)成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點(diǎn)。針對(duì)這一需求,目前已發(fā)展出不同類(lèi)型的大流檢測(cè)方法,這些檢測(cè)方法從策略上大致可分為三類(lèi):count-all策略、admit-all-count-some策略和其他策略。其中count-all策略基于sketch計(jì)算所有流的大小[7],這類(lèi)方法更適用于均勻分布的數(shù)據(jù),當(dāng)網(wǎng)絡(luò)流量不均勻時(shí),其大流檢測(cè)結(jié)果中會(huì)含有大量的假陽(yáng)性。Admit-all-count-some策略將所有新流都視為大流,并只記錄部分流的信息以節(jié)省內(nèi)存空間[8-11],這類(lèi)方法存在的問(wèn)題在于對(duì)真正大流的漏檢率偏高。其他具有代表性的大流檢測(cè)策略包括:Cold Filter方法采用雙層sketch結(jié)構(gòu)對(duì)網(wǎng)絡(luò)流進(jìn)行過(guò)濾,結(jié)合Space-Saving算法記錄大流[12],但其過(guò)早對(duì)流的類(lèi)型做出判斷,將老鼠流誤識(shí)為大流:HeavyKeeper方法使用指數(shù)衰減的方式來(lái)剔除老鼠流并記錄大流[13],但其識(shí)別某些老鼠流的用時(shí)較長(zhǎng),由此可能導(dǎo)致后續(xù)的大流無(wú)法被記錄下來(lái);ActiveKeeper方法[14]則是在HeavyKeeper基礎(chǔ)上引入雙模式計(jì)數(shù)器,通過(guò)不同的計(jì)數(shù)模式來(lái)分別對(duì)大流和老鼠流進(jìn)行計(jì)數(shù),以此提升內(nèi)存使用效率。

針對(duì)現(xiàn)有方法的局限性,本文提出一種新的大流檢測(cè)策略。該策略基于網(wǎng)絡(luò)流量在大小、到達(dá)時(shí)間間隔方面的統(tǒng)計(jì)特性,在有限的內(nèi)存空間中重點(diǎn)記錄新的、持續(xù)到達(dá)的流,并及時(shí)拋棄舊流為記錄新流騰出空間。實(shí)驗(yàn)表明,本文方法可以在有限的片上內(nèi)存條件下實(shí)現(xiàn)高精度和高吞吐量,由此可為網(wǎng)絡(luò)監(jiān)控提供及時(shí)準(zhǔn)確的決策支持。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000006104


作者信息:

趙亮1,林櫟2

(1.西南科技大學(xué)信息工程學(xué)院,四川綿陽(yáng)621010;

2.新疆電子研究所股份有限公司,新疆烏魯木齊830010)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。