引用格式:趙亮,林櫟.基于數(shù)據(jù)到達間隔的網(wǎng)絡(luò)大流檢測方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2024,,43(8):40-43.
引言
流量檢測是網(wǎng)絡(luò)領(lǐng)域進行擁塞控制,、異常識別,、負載均衡等工作的基礎(chǔ)[1-3]。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱為流,,其中流ID通常是數(shù)據(jù)包頭部特定字段的組合,,如源IP,、源端口、目的IP,、目的端口等,,集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對應(yīng)流的大小。在現(xiàn)實網(wǎng)絡(luò)中,,流的大小通常服從重尾分布,,即大多數(shù)流非常小,這類流又稱為老鼠流,,而一小部分流非常大,,這類流通常稱為大流或大象流[4-5]。相比之下,,大流更容易造成網(wǎng)絡(luò)堵塞和負載不均衡等問題,,故對大流進行檢測識別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù)。
通常來說,,現(xiàn)代網(wǎng)絡(luò)為實現(xiàn)高速信息傳輸,,所用的路由器主要使用SRAM之類具有低延遲特性的存儲器。受SRAM的成本制約,,路由器的內(nèi)存往往有限,,由此帶來的問題便是硬件處理速度難以滿足高速網(wǎng)絡(luò)流量測量的需要[6]。這種情況下,,如何在有限的硬件條件下完成大流檢測成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點,。針對這一需求,目前已發(fā)展出不同類型的大流檢測方法,,這些檢測方法從策略上大致可分為三類:count-all策略,、admit-all-count-some策略和其他策略。其中count-all策略基于sketch計算所有流的大?。?],,這類方法更適用于均勻分布的數(shù)據(jù),當網(wǎng)絡(luò)流量不均勻時,,其大流檢測結(jié)果中會含有大量的假陽性,。Admit-all-count-some策略將所有新流都視為大流,并只記錄部分流的信息以節(jié)省內(nèi)存空間[8-11],,這類方法存在的問題在于對真正大流的漏檢率偏高,。其他具有代表性的大流檢測策略包括:Cold Filter方法采用雙層sketch結(jié)構(gòu)對網(wǎng)絡(luò)流進行過濾,結(jié)合Space-Saving算法記錄大流[12],,但其過早對流的類型做出判斷,,將老鼠流誤識為大流:HeavyKeeper方法使用指數(shù)衰減的方式來剔除老鼠流并記錄大流[13],但其識別某些老鼠流的用時較長,,由此可能導(dǎo)致后續(xù)的大流無法被記錄下來,;ActiveKeeper方法[14]則是在HeavyKeeper基礎(chǔ)上引入雙模式計數(shù)器,,通過不同的計數(shù)模式來分別對大流和老鼠流進行計數(shù),以此提升內(nèi)存使用效率,。
針對現(xiàn)有方法的局限性,本文提出一種新的大流檢測策略,。該策略基于網(wǎng)絡(luò)流量在大小,、到達時間間隔方面的統(tǒng)計特性,在有限的內(nèi)存空間中重點記錄新的,、持續(xù)到達的流,,并及時拋棄舊流為記錄新流騰出空間。實驗表明,,本文方法可以在有限的片上內(nèi)存條件下實現(xiàn)高精度和高吞吐量,,由此可為網(wǎng)絡(luò)監(jiān)控提供及時準確的決策支持。
本文詳細內(nèi)容請下載:
http://forexkbc.com/resource/share/2000006104
作者信息:
趙亮1,,林櫟2
(1.西南科技大學(xué)信息工程學(xué)院,,四川綿陽621010;
2.新疆電子研究所股份有限公司,,新疆烏魯木齊830010)