引言

流量檢測(cè)是網(wǎng)絡(luò)領(lǐng)域進(jìn)行擁塞控制,、異常識(shí)別、負(fù)載均衡等工作的基礎(chǔ)［1-3］,。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱為流,，其中流ID通常是數(shù)據(jù)包頭部特定字段的組合，如源IP,、源端口,、目的IP、目的端口等,，集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對(duì)應(yīng)流的大小,。在現(xiàn)實(shí)網(wǎng)絡(luò)中,，流的大小通常服從重尾分布，即大多數(shù)流非常小,，這類流又稱為老鼠流,，而一小部分流非常大，這類流通常稱為大流或大象流［4-5］,。相比之下,，大流更容易造成網(wǎng)絡(luò)堵塞和負(fù)載不均衡等問題，故對(duì)大流進(jìn)行檢測(cè)識(shí)別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù),。

通常來說,，現(xiàn)代網(wǎng)絡(luò)為實(shí)現(xiàn)高速信息傳輸，所用的路由器主要使用SRAM之類具有低延遲特性的存儲(chǔ)器,。受SRAM的成本制約,，路由器的內(nèi)存往往有限，由此帶來的問題便是硬件處理速度難以滿足高速網(wǎng)絡(luò)流量測(cè)量的需要［6］,。這種情況下,，如何在有限的硬件條件下完成大流檢測(cè)成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點(diǎn)。針對(duì)這一需求,，目前已發(fā)展出不同類型的大流檢測(cè)方法,，這些檢測(cè)方法從策略上大致可分為三類：count-all策略、admit-all-count-some策略和其他策略,。其中count-all策略基于sketch計(jì)算所有流的大?。?］，這類方法更適用于均勻分布的數(shù)據(jù),，當(dāng)網(wǎng)絡(luò)流量不均勻時(shí),，其大流檢測(cè)結(jié)果中會(huì)含有大量的假陽性。Admit-all-count-some策略將所有新流都視為大流,，并只記錄部分流的信息以節(jié)省內(nèi)存空間［8-11］,，這類方法存在的問題在于對(duì)真正大流的漏檢率偏高。其他具有代表性的大流檢測(cè)策略包括：Cold Filter方法采用雙層sketch結(jié)構(gòu)對(duì)網(wǎng)絡(luò)流進(jìn)行過濾,，結(jié)合Space-Saving算法記錄大流［12］,，但其過早對(duì)流的類型做出判斷，將老鼠流誤識(shí)為大流：HeavyKeeper方法使用指數(shù)衰減的方式來剔除老鼠流并記錄大流［13］,，但其識(shí)別某些老鼠流的用時(shí)較長,，由此可能導(dǎo)致后續(xù)的大流無法被記錄下來；ActiveKeeper方法［14］則是在HeavyKeeper基礎(chǔ)上引入雙模式計(jì)數(shù)器,，通過不同的計(jì)數(shù)模式來分別對(duì)大流和老鼠流進(jìn)行計(jì)數(shù),，以此提升內(nèi)存使用效率。

針對(duì)現(xiàn)有方法的局限性，本文提出一種新的大流檢測(cè)策略,。該策略基于網(wǎng)絡(luò)流量在大小,、到達(dá)時(shí)間間隔方面的統(tǒng)計(jì)特性，在有限的內(nèi)存空間中重點(diǎn)記錄新的,、持續(xù)到達(dá)的流,，并及時(shí)拋棄舊流為記錄新流騰出空間。實(shí)驗(yàn)表明,，本文方法可以在有限的片上內(nèi)存條件下實(shí)現(xiàn)高精度和高吞吐量,，由此可為網(wǎng)絡(luò)監(jiān)控提供及時(shí)準(zhǔn)確的決策支持。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://forexkbc.com/resource/share/2000006104

作者信息：

趙亮1,，林櫟2

（1.西南科技大學(xué)信息工程學(xué)院,，四川綿陽621010；

2.新疆電子研究所股份有限公司,，新疆烏魯木齊830010）