引用格式:趙亮,,林櫟.基于數(shù)據(jù)到達(dá)間隔的網(wǎng)絡(luò)大流檢測(cè)方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2024,43(8):40-43.
引言
流量檢測(cè)是網(wǎng)絡(luò)領(lǐng)域進(jìn)行擁塞控制,、異常識(shí)別、負(fù)載均衡等工作的基礎(chǔ)[1-3],。網(wǎng)絡(luò)領(lǐng)域中具有相同流ID的數(shù)據(jù)包集合被稱為流,,其中流ID通常是數(shù)據(jù)包頭部特定字段的組合,如源IP,、源端口,、目的IP、目的端口等,,集合中數(shù)據(jù)包總數(shù)或字節(jié)總數(shù)對(duì)應(yīng)流的大小,。在現(xiàn)實(shí)網(wǎng)絡(luò)中,,流的大小通常服從重尾分布,即大多數(shù)流非常小,,這類流又稱為老鼠流,,而一小部分流非常大,這類流通常稱為大流或大象流[4-5],。相比之下,,大流更容易造成網(wǎng)絡(luò)堵塞和負(fù)載不均衡等問題,故對(duì)大流進(jìn)行檢測(cè)識(shí)別是網(wǎng)絡(luò)監(jiān)控的重要任務(wù),。
通常來說,,現(xiàn)代網(wǎng)絡(luò)為實(shí)現(xiàn)高速信息傳輸,所用的路由器主要使用SRAM之類具有低延遲特性的存儲(chǔ)器,。受SRAM的成本制約,,路由器的內(nèi)存往往有限,由此帶來的問題便是硬件處理速度難以滿足高速網(wǎng)絡(luò)流量測(cè)量的需要[6],。這種情況下,,如何在有限的硬件條件下完成大流檢測(cè)成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點(diǎn)。針對(duì)這一需求,,目前已發(fā)展出不同類型的大流檢測(cè)方法,,這些檢測(cè)方法從策略上大致可分為三類:count-all策略、admit-all-count-some策略和其他策略,。其中count-all策略基于sketch計(jì)算所有流的大?。?],這類方法更適用于均勻分布的數(shù)據(jù),,當(dāng)網(wǎng)絡(luò)流量不均勻時(shí),,其大流檢測(cè)結(jié)果中會(huì)含有大量的假陽性。Admit-all-count-some策略將所有新流都視為大流,,并只記錄部分流的信息以節(jié)省內(nèi)存空間[8-11],,這類方法存在的問題在于對(duì)真正大流的漏檢率偏高。其他具有代表性的大流檢測(cè)策略包括:Cold Filter方法采用雙層sketch結(jié)構(gòu)對(duì)網(wǎng)絡(luò)流進(jìn)行過濾,,結(jié)合Space-Saving算法記錄大流[12],,但其過早對(duì)流的類型做出判斷,將老鼠流誤識(shí)為大流:HeavyKeeper方法使用指數(shù)衰減的方式來剔除老鼠流并記錄大流[13],,但其識(shí)別某些老鼠流的用時(shí)較長,,由此可能導(dǎo)致后續(xù)的大流無法被記錄下來;ActiveKeeper方法[14]則是在HeavyKeeper基礎(chǔ)上引入雙模式計(jì)數(shù)器,,通過不同的計(jì)數(shù)模式來分別對(duì)大流和老鼠流進(jìn)行計(jì)數(shù),,以此提升內(nèi)存使用效率。
針對(duì)現(xiàn)有方法的局限性,本文提出一種新的大流檢測(cè)策略,。該策略基于網(wǎng)絡(luò)流量在大小,、到達(dá)時(shí)間間隔方面的統(tǒng)計(jì)特性,在有限的內(nèi)存空間中重點(diǎn)記錄新的,、持續(xù)到達(dá)的流,,并及時(shí)拋棄舊流為記錄新流騰出空間。實(shí)驗(yàn)表明,,本文方法可以在有限的片上內(nèi)存條件下實(shí)現(xiàn)高精度和高吞吐量,,由此可為網(wǎng)絡(luò)監(jiān)控提供及時(shí)準(zhǔn)確的決策支持。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://forexkbc.com/resource/share/2000006104
作者信息:
趙亮1,,林櫟2
(1.西南科技大學(xué)信息工程學(xué)院,,四川綿陽621010;
2.新疆電子研究所股份有限公司,,新疆烏魯木齊830010)