CN104767691B - 一种基于概率转发的Web防火墙拥塞控制方法 - Google Patents
一种基于概率转发的Web防火墙拥塞控制方法 Download PDFInfo
- Publication number
- CN104767691B CN104767691B CN201510152352.3A CN201510152352A CN104767691B CN 104767691 B CN104767691 B CN 104767691B CN 201510152352 A CN201510152352 A CN 201510152352A CN 104767691 B CN104767691 B CN 104767691B
- Authority
- CN
- China
- Prior art keywords
- queue
- length
- current
- forwarding
- avg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000005070 sampling Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000003139 buffering effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013401 experimental design Methods 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000010355 oscillation Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于Web防火墙领域,具体涉及一种基于概率转发的Web防火墙拥塞控制方法。本发明包括:每隔τ时间间隔,读取队列当前长度,统计k次,计算τ×k时间内的队列长度的平均值;根据队列的平均长度值lavg计算当前时刻队列对分组的转发或丢弃概率P;根据当前队列增长速度Δλ,对不同阶段的阈值T进行微调;本发明考虑了Web防火墙自身所具有的高速转发功能,采用概率转发的方式,可以提前对系统即将应对的高负载进行预防。避免了溢出造成的抖动性,同时提高了系统的吞吐量,降低了丢包率。
Description
技术领域
本发明属于Web防火墙领域,具体涉及一种基于概率转发的Web防火墙拥塞控制方法。
背景技术
作为现代互联网中重要的安全防护设施,Web防火墙在保证网络的安全性方面起着不可估量的作用。Web防火墙系统对网络流量的解析较为深入,其对数据处理的复杂性也导致其吞吐量低于一般的数据包级别和流级别的防火墙。面对互联网流量逐年增大的趋势,如何使得Web防火墙在负载过大时,及时调整自身策略,使得系统尽快恢复到正常工作状态,保证系统有较好的应对能力,显得格外重要。
目前关于应对大流量的拥塞控制策略主要是一种基于主动队列的管理算法,该类算法以概率性丢包为基础,提前预测网络可能出现的拥塞。利用TCP协议工作特点,采取选择性丢包的策略控制流量大小,对拥塞现象加以避免。
这种基于概率性丢包思想的做法被广泛应用于路由器这种主要负责分组转发功能的设备上,不适用于Web防火墙这种以内容还原检测为主要目的的系统。这种算法为缓冲区设定不同的阈值,标识出缓冲区分组数量在不同范围内时,系统应使用的丢包概率。这种方法避免了溢出法出现的队列抖动性现象,使得队列长度能够保持在一个较为平稳的范围。
由于Web防火墙主要处理部分在HTTP层处理上,驱动有较高的转发速率。当Web防火墙面对网络负载较大的情况时,采用概率丢弃思想虽然可以有效抑制网络流量,但是这样会造成用户上网缓慢,不能充分发挥Web防火墙的高速转发的功能。本发明基于Web防火墙自身性能瓶颈特点,结合主动队列思想,提出一种基于概率转发的拥塞控制方法。旨在提高Web防火墙吞吐量,降低系统的丢包率。
发明内容
本发明的目的在于提供一种旨在改善Web防火墙在高负载时的吞吐量,降低系统丢包率的基于概率转发的Web防火墙拥塞控制方法。
本发明的目的是这样实现的:
(1)每隔τ时间间隔,读取队列当前长度li,统计k次,计算τ×k时间内的队列长度的平均值lavg
(2)根据队列的平均长度值lavg计算当前时刻队列对分组的转发或丢弃概率P:
阈值集合{tr,le,drl,drh}中,le是个固定的值,为Web防火墙期望带宽下应分配的队列长度;
(3)根据当前队列增长速度Δλ,对不同阶段的阈值T进行微调
其中
T代表阈值,Δλ代表平均队列长度,k代表采样次数,τ代表两次采样间隔;
(3.1)根据当前队列增长率Δλ对阈值参数进行微调:
当前平均队列长度lavg<tr时,对队列中所有分组都进行正常处理,即所有分组都存入队列,并交由上层处理;当Δλ>0,近期系统的负载在增加阶段;当前平均队列长度tr<lavg<le时,队列长度超过转发阈值tr,对近期的新到分组采取概率性转发策略进行处理,根据当前队列增长速度Δλ,进行tr微调:
Δλ>0时,
令
Δλ<0时,
令
(3.2)当前队列平均长度le<lavg<drl时:
(3.2.1)Δλ>0时,
令
(3.2.2)Δλ<0时,
令
Δλ=0时,队列中分组数量没有变化,drl保持不变;
(3.3)当前平均队列长度drl<lavg<drh时:
(3.3.1)Δλ>0时,
令
(3.3.2)Δλ<0时,
令
Δλ=0时,队列长度未发生改变,drl保持不变。
本发明的有益效果在于:考虑了Web防火墙自身所具有的高速转发功能,采用概率转发的方式,可以提前对系统即将应对的高负载进行预防。避免了溢出造成的抖动性,同时提高了系统的吞吐量,降低了丢包率。
附图说明
图1吞吐量变化;
图2丢包率变化;
图3算法流程图。
具体实施方式
下面通过在局域网真实环境中实施本发明进行详细描述。
本发明针对Web现有的队列管理方法在遭遇大流量时出现的丢包率严重,直接丢弃法或全转发模式不能提前预防,从而造成在大流量时性能较差的缺点而提出。该方法参照了路由器的主动队列管理思想,依据Web防火墙的工作层次,利用其高速转发的特点,而引入了概率转发的处理方式。同时针对阈值管理,根据Web防火墙系统分组积压情况而动态调整,对经常波动的网络流具有较好的适应性。
本发明的实现方案如下:
本算法针对传统Web防火墙溢出法不能有效利用自身高效的转发功能而提出,利用主动队列管理思想,提出一种基于概率转发的拥塞控制算法。旨在改善Web防火墙在高负载时的吞吐量,降低系统丢包率。
本发明的一种基于概率转发的Web防火墙拥塞控制方法具体包括以下几个部分。
①缓冲区的平均队列长度(即缓冲区中分组个数)计算
②分组处理决策
③算法阈值调整
本发明的一种基于概率转发的Web防火墙拥塞控制实施方法为:
(1)每隔τ时间间隔,读取队列当前长度li,统计k次,计算τ×k时间内的队列长度的平均值lavg
(2)根据队列的平均长度值lavg计算当前时刻队列对分组的转发或丢弃概率P
当平均队列长度属于第一种情况时,分组全部被上层正常处理;当长度位于第二种情况时,分组按照该概率进行转发,该分组所属流也被转发;当位于第三种情况时,队列处于全转发模式,此时,对到达的分组无条件转发;当位于第四种情况时,进入拥塞模式,开始按照计算出的概率值丢弃分组;当队列长度超过最大丢弃阈值时,对分组采取全部丢弃的策略。
这里的阈值集合{tr,le,drl,drh}中,le是个固定的值,为Web防火墙期望带宽下应分配的队列长度。
(3)根据当前队列增长速度Δλ,对不同阶段的阈值T进行微调
其中
T代表(1-2)中的各个阈值,Δλ代表平均队列长度,k代表采样次数,τ代表两次采样间隔。
于是,针对不同的平均队列长度,对阈值进行微调的方式如下:
(1)根据当前队列增长率Δλ对阈值参数进行微调。
当前平均队列长度lavg<tr时,此时根据式(1-2),对队列中所有分组都进行
正常处理,即所有分组都存入队列,并交由上层处理。如果Δλ>0,表明近期系统的负载在增加阶段。
当前平均队列长度tr<lavg<le时,此时根据式(1-2),队列长度超过转发阈
值tr,上层的处理与网络流入带宽不匹配,队列出现拥塞现象,对近期的新到分组采取概率性转发策略进行处理。同时根据当前队列增长速度Δλ,对进行tr微调。方法如下:
(a)Δλ>0时,此时队列仍在增长
令采用这种策略,可以降低概率转发阈值,使得流量提前转发,以减小系统负载增大的影响。
(b)Δλ<0时,此时队列长度正在减小,说明系统负载减弱,可以将概率转发阈值适当提升。
令采用这种策略,降低概率转发阈值,减少被转发流的数量。
当前队列平均长度le<lavg<drl时,此时长度超过了队列长度最大期望值le,根据式(1-2),此时,上层对分组的处理已经不能协同整个网络正常工作,
故采用全转发模式。考虑到此时,模式已与Web防火墙的主要功能有较大出入,对阈值参数进行调整。为了使当前网络状况有所改善,考虑降低丢弃分组使的最小阈值drl。调整方式如下:
(1)Δλ>0时,此时队列长度仍呈现增长趋势。
令采取这种策略,可以快速抑制队列增长的趋势
(2)Δλ<0时,此时队列长度呈现减小现象。
令采取这种策略,增大全转发区间范围,认同全转发策略
Δλ=0时,队列中分组数量没有变化,drl保持不变。
当前平均队列长度drl<lavg<drh时,根据式(1-2),此时系统的转发性能开始
遇到瓶颈,工作在类似路由器模式,系统性能受低层硬件限制,如CPU,网卡等。采用概率性丢弃分组从而抑制源端发送速率,使得Web防火墙尽快恢复到正常工作状态。同全转发模式类似,在此种工作模式下,参数调整策略如下:
(1)Δλ>0时,此时队列长度仍呈现增长趋势。
令减小概率丢包的阈值,使得队列尽早采用丢包策略,增大概率丢弃区间。
(2)Δλ<0,此时队列长度呈现变短趋势,说明概率丢包起到作用,此时可以将丢包区间适当缩小,降低开始丢包阈值。
令
Δλ=0时,队列长度未发生改变,drl保持不变。
当前平均队列长度lavg>drh时,此时系统已无法满足纯转发功能,设备无
法适应此时的网络状况,采用全部丢弃的策略,拒绝提供服务。一般drh设置为队列最大可能的长度值。
(1)检测实例
为了验证算法的合理性正确性和有效性,实验将本算法(DQM)与Web防火墙原有的TD算法进行了参数对比。实验设计着重考察算法的正确性。
实验环境具体参见表1。
其中Apache服务器的网络带宽为1000Mbps,存放Web文档。客户端利用Apache压力测试工具测试Apache服务器。客户端流量经过交换机、Web防火墙到达Apache,然后服务器将文档经Web防火墙、交换机返回给客户机。
(2)实验及分析
在该实验中,客户端采用专用HTTP压力测试工具http_load对Web防火墙的拥塞控制进行测试。该软件是针对Web服务器的一种性能测试工具,以并行的方式运行,用以测试Web服务器的最大吞吐量和对客户并发量的支持性能。本试验中,测试机的系统平台为Windows,客户端测试工具http_load版本为2.0。利用该工具可以测试Web网站并发能力,控制访问流量大小。如
http_load-parallel 5-s 60–f urls.txt
urls.txt存放了要测试的url地址,即网页存放位置。这段命令同时开启5个并发线程,访问地址列表中的url地址,访问时长为60s。
实验验证了,对于采用本发明的Web防火墙在面对系统拥塞时具有较好的适应能力,比起采用TD式管理的队列,具有更高的吞吐量和更低的丢包率。
实验设备参数配置
Claims (1)
1.一种基于概率转发的Web防火墙拥塞控制方法,其特征在于,包括如下步骤:
(1)每隔τ时间间隔,读取队列当前长度l i,统计k次,计算τ×k时间内的队列长度的平均值l avg
(2)根据队列的平均长度值l avg计算当前时刻队列对分组的转发或丢弃概率P:
阈值集合{tr,l e,dr l ,dr h }中,l e是个固定的值,为Web防火墙期望带宽下应分配的队列长度;转发阈值tr,队列长度最大期望值l e,丢弃分组时的最小阈值dr l , dr h 设置为队列最大可能的长度值
(3)根据当前队列增长速度Δλ,对不同阶段的阈值T进行微调
其中
T代表阈值,Δλ代表平均队列长度,k代表采样次数,τ代表两次采样间隔;
(3.1)根据当前队列增长率Δλ对阈值参数进行微调:
当前平均队列长度l avg<tr时,对队列中所有分组都进行正常处理,即所有分组都存入队列,并交由上层处理;当Δλ>0,近期系统的负载在增加阶段;当前平均队列长度tr<l avg< l e时,队列长度超过转发阈值tr,对近期的新到分组采取概率性转发策略进行处理,根据当前队列增长速度Δλ,进行tr微调:
Δλ>0时,
令
Δλ<0时,
令
(3.2)当前队列平均长度l e <l avg< dr l 时:
(3.2.1)Δλ>0时,
令
(3.2.2)Δλ<0时,
令
Δλ=0时,队列中分组数量没有变化,dr l 保持不变;
(3.3)当前平均队列长度dr l <l avg< dr h 时:
(3.3.1)Δλ>0时,
令
(3.3.2)Δλ<0时,
令
Δλ=0时,队列长度未发生改变,dr l 保持不变。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510152352.3A CN104767691B (zh) | 2015-04-02 | 2015-04-02 | 一种基于概率转发的Web防火墙拥塞控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510152352.3A CN104767691B (zh) | 2015-04-02 | 2015-04-02 | 一种基于概率转发的Web防火墙拥塞控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104767691A CN104767691A (zh) | 2015-07-08 |
| CN104767691B true CN104767691B (zh) | 2017-11-28 |
Family
ID=53649313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510152352.3A Expired - Fee Related CN104767691B (zh) | 2015-04-02 | 2015-04-02 | 一种基于概率转发的Web防火墙拥塞控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104767691B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187238B (zh) * | 2015-08-13 | 2018-07-31 | 湖南天冠电子信息技术有限公司 | 一种局域网随机服务系统的响应质量控制方法 |
| CN109167735B (zh) * | 2018-11-12 | 2021-04-06 | 四川长虹电器股份有限公司 | 一种基于nginx请求转发的Web防火墙拥塞控制方法 |
| CN111163016B (zh) * | 2019-12-09 | 2023-09-29 | 杭州迪普科技股份有限公司 | 一种队列管理的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056259A (zh) * | 2007-05-21 | 2007-10-17 | 中南大学 | 一种用于高速网络中的协同工作式拥塞控制方法 |
| CN102882803A (zh) * | 2012-10-11 | 2013-01-16 | 四川大学 | 一种基于丢包和时延的混合拥塞控制方法 |
| CN103457871A (zh) * | 2013-09-18 | 2013-12-18 | 中南大学 | Dcn中基于延迟约束的拥塞避免阶段的增窗方法 |
| CN104009931A (zh) * | 2014-06-13 | 2014-08-27 | 中南大学 | 数据中心网络中基于通告窗口和多流协同的拥塞控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100411447B1 (ko) * | 2001-12-26 | 2003-12-18 | 엘지전자 주식회사 | 티씨피 혼잡 제어 방법 |
-
2015
- 2015-04-02 CN CN201510152352.3A patent/CN104767691B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056259A (zh) * | 2007-05-21 | 2007-10-17 | 中南大学 | 一种用于高速网络中的协同工作式拥塞控制方法 |
| CN102882803A (zh) * | 2012-10-11 | 2013-01-16 | 四川大学 | 一种基于丢包和时延的混合拥塞控制方法 |
| CN103457871A (zh) * | 2013-09-18 | 2013-12-18 | 中南大学 | Dcn中基于延迟约束的拥塞避免阶段的增窗方法 |
| CN104009931A (zh) * | 2014-06-13 | 2014-08-27 | 中南大学 | 数据中心网络中基于通告窗口和多流协同的拥塞控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104767691A (zh) | 2015-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9065721B2 (en) | Dynamic network load rebalancing | |
| Zhang et al. | Fair quantized congestion notification in data center networks | |
| US9667556B2 (en) | Adjusting connection validating control signals in response to changes in network traffic | |
| EP2425592A2 (en) | Adaptive rate control based on overload signals | |
| CN104767691B (zh) | 一种基于概率转发的Web防火墙拥塞控制方法 | |
| CN109167735A (zh) | 一种基于nginx请求转发的Web防火墙拥塞控制方法 | |
| Liu et al. | A cubic-based explicit congestion control mechanism in named data networking | |
| Shan et al. | Micro-burst in data centers: Observations, implications, and applications | |
| de Santi et al. | Design of optimal Active Queue Management controllers for HSTCP in large bandwidth-delay product networks | |
| Muhammad et al. | Study on performance of AQM schemes over TCP variants in different network environments | |
| Chen et al. | Fluid-flow Analysis of TCP Westwood with RED | |
| Tsugawa et al. | Background TCP data transfer with inline network measurement | |
| Chang et al. | Software defined backpressure mechanism for edge router | |
| Hua et al. | Analysis of TCP BIC congestion control implementation | |
| Divakaran | A spike-detecting AQM to deal with elephants | |
| Ruan et al. | PTCP: A priority-based transport control protocol for timeout mitigation in commodity data center | |
| Dijkstra et al. | Modeling active queue management algorithms using stochastic Petri nets | |
| Lafta et al. | Performance evaluation of heterogeneous network based on RED and WRED | |
| Zhang et al. | Performance analysis and improvement of HighSpeed TCP with TailDrop/RED routers | |
| Divakaran et al. | Size-based flow-scheduling using spike-detection | |
| Briscoe | PI $^ 2$ Parameters | |
| Zhang et al. | Adaptive fast TCP | |
| McAlpine et al. | An architecture for congestion management in ethernet clusters | |
| Kai | A Logarithmic Slow-Start Algorithm of TCP Vegas in IP networks | |
| Yokota et al. | A load reduction system to mitigate flash crowds on web server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171128 |