引用格式:趙亮,林櫟.基于數(shù)據(jù)到達間隔的網(wǎng)絡(luò)大流檢測方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(8):40-43.
引言
流量檢測是網(wǎng)絡(luò)領(lǐng)域進行擁塞控制、異常識別、負(fù)載均衡等工作的基礎(chǔ)[1-3]。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱為流,其中流ID通常是數(shù)據(jù)包頭部特定字段的組合,如源IP、源端口、目的IP、目的端口等,集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對應(yīng)流的大小。在現(xiàn)實網(wǎng)絡(luò)中,流的大小通常服從重尾分布,即大多數(shù)流非常小,這類流又稱為老鼠流,而一小部分流非常大,這類流通常稱為大流或大象流[4-5]。相比之下,大流更容易造成網(wǎng)絡(luò)堵塞和負(fù)載不均衡等問題,故對大流進行檢測識別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù)。
通常來說,現(xiàn)代網(wǎng)絡(luò)為實現(xiàn)高速信息傳輸,所用的路由器主要使用SRAM之類具有低延遲特性的存儲器。受SRAM的成本制約,路由器的內(nèi)存往往有限,由此帶來的問題便是硬件處理速度難以滿足高速網(wǎng)絡(luò)流量測量的需要[6]。這種情況下,如何在有限的硬件條件下完成大流檢測成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點。針對這一需求,目前已發(fā)展出不同類型的大流檢測方法,這些檢測方法從策略上大致可分為三類:count-all策略、admit-all-count-some策略和其他策略。其中count-all策略基于sketch計算所有流的大?。?],這類方法更適用于均勻分布的數(shù)據(jù),當(dāng)網(wǎng)絡(luò)流量不均勻時,其大流檢測結(jié)果中會含有大量的假陽性。Admit-all-count-some策略將所有新流都視為大流,并只記錄部分流的信息以節(jié)省內(nèi)存空間[8-11],這類方法存在的問題在于對真正大流的漏檢率偏高。其他具有代表性的大流檢測策略包括:Cold Filter方法采用雙層sketch結(jié)構(gòu)對網(wǎng)絡(luò)流進行過濾,結(jié)合Space-Saving算法記錄大流[12],但其過早對流的類型做出判斷,將老鼠流誤識為大流:HeavyKeeper方法使用指數(shù)衰減的方式來剔除老鼠流并記錄大流[13],但其識別某些老鼠流的用時較長,由此可能導(dǎo)致后續(xù)的大流無法被記錄下來;ActiveKeeper方法[14]則是在HeavyKeeper基礎(chǔ)上引入雙模式計數(shù)器,通過不同的計數(shù)模式來分別對大流和老鼠流進行計數(shù),以此提升內(nèi)存使用效率。
針對現(xiàn)有方法的局限性,本文提出一種新的大流檢測策略。該策略基于網(wǎng)絡(luò)流量在大小、到達時間間隔方面的統(tǒng)計特性,在有限的內(nèi)存空間中重點記錄新的、持續(xù)到達的流,并及時拋棄舊流為記錄新流騰出空間。實驗表明,本文方法可以在有限的片上內(nèi)存條件下實現(xiàn)高精度和高吞吐量,由此可為網(wǎng)絡(luò)監(jiān)控提供及時準(zhǔn)確的決策支持。
本文詳細(xì)內(nèi)容請下載:
http://ihrv.cn/resource/share/2000006104
作者信息:
趙亮1,林櫟2
(1.西南科技大學(xué)信息工程學(xué)院,四川綿陽621010;
2.新疆電子研究所股份有限公司,新疆烏魯木齊830010)