CN110912767B - 一种网络流量的单点测量方法 - Google Patents

一种网络流量的单点测量方法 Download PDF

Info

Publication number
CN110912767B
CN110912767B CN201911022141.2A CN201911022141A CN110912767B CN 110912767 B CN110912767 B CN 110912767B CN 201911022141 A CN201911022141 A CN 201911022141A CN 110912767 B CN110912767 B CN 110912767B
Authority
CN
China
Prior art keywords
flow
sketch
tcam
network
recording
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911022141.2A
Other languages
English (en)
Other versions
CN110912767A (zh
Inventor
王雄
邓琪
郑昊天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201911022141.2A priority Critical patent/CN110912767B/zh
Publication of CN110912767A publication Critical patent/CN110912767A/zh
Application granted granted Critical
Publication of CN110912767B publication Critical patent/CN110912767B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络流量的单点测量方法,在被测网络中,将网络中的每个交换机上部署sketch数据结构,并安装TCAM硬件设施,设定sketch的统计阈值,然后在保证所有数据包被统计的前提下,使用sketch对流量进行测量记录,同时动态分配TCAM资源,精确地测量出单个流量,最后将记录结果按照流量ID进行统计,得到最终的测量结果。

Description

一种网络流量的单点测量方法
技术领域
本发明属于网络管理技术领域,更为具体地讲,涉及一种网络流量的单点测量方法。
背景技术
现有的网络流量测量方法中,主要从提高单个节点的测量精度入手,通过数据压缩的方法实现使用较少的存储与计算资源测量流量的目的。现有方法大致可以分为两类:基于sketch的方法与基于counter的方法。
基于sketch的方法中,不记录流量的具体ID,转而通过流量矩阵对其进行记录与估计,而基于counter的方法中,记录流量的ID,通过动态的方法来准确地记录并测量大流。
TCAM(ternary content addressable memory),是一种三态内容寻址存储器,主要用于快速查找ACL、路由等表项。TCAM提供了键值对的记录、更新、查找等功能,并且可以实现常数时间内的键值查找。
发明内容
本发明的目的在于克服现有技术的不足,提供一种网络流量的单点测量方法,利用TCAM快速准确的查找与记录能力,灵活地为分配流量,在提升流量测量速度的同时,提高了网络流量的单点测量精度。
为实现上述发明目的,本发明一种网络流量的单点测量方法,其特征在于,包括以下步骤:
(1)、被测网络的硬件处理
在被测网络中,将网络中的每个交换机上部署sketch数据结构,并安装TCAM硬件设施,设定sketch的统计阈值θ;
(2)、网络流量的单点测量
(2.1)、设置测量周期T;依次记录测量周期T内所有经过交换机的数据包,并依次提取数据包中的流量标识字段,即流量ID;
(2.2)、在TCAM中查询该流量ID,若存在,则使用对应的TCAM进行流量记录操作,得到该流量ID的记录值,然后跳转至步骤(2.5),否则进行步骤(2.3);
(2.3)、利用sketch记录该流量ID,并获取其在sketch中的统计值,判断该统计值是否大于θ,若小于θ,则跳转至步骤(2.5),否则进行步骤(2.4);
(2.4)、查询是否存在空闲的TCAM,若存在,则将该流量ID及其在sketch中的统计值记录到TCAM中,然后进入步骤(2.5);
(2.5)、判断测量周期T内所有的流量ID是否处理完成,如果处理完成,则进入步骤(3),否则,返回步骤(2.2),进行下一条流量ID的单点测量;
(3)、流量统计
(3.1)、检查某一流量ID是否存在于TCAM内,若存在,则将该流量ID的测量值记为TCAM中的记录值,并结束,否则执行步骤(3.2);
(3.2)、在sketch中查询该流量ID的统计值,并将该统计值记录为该流量ID的测量值。
本发明的发明目的是这样实现的:
本发明一种网络流量的单点测量方法,在被测网络中,将网络中的每个交换机上部署sketch数据结构,并安装TCAM硬件设施,设定sketch的统计阈值,然后在保证所有数据包被统计的前提下,使用sketch对流量进行测量记录,同时动态分配TCAM资源,精确地测量出单个流量,最后将记录结果按照流量ID进行统计,得到最终的测量结果。
同时,本发明一种网络流量的单点测量方法还具有以下有益效果:
(1)、本发明通过在交换机上部署sketch数据结构,并安装TCAM硬件设施,增加了在交换机上的测量效率,具体来说就是降低了测量单个数据包所需要的测量时间;
(2)、利用TCAM快速准确的查找与记录能力,灵活地为分配流量,在提升流量测量速度的同时,提高了网络流量的单点测量精度。
附图说明
图1是本发明一种网络流量的单点测量测量方法流程图;
图2是某一单点的流量测量示意图;
图3是另外一单点的流量测量示意图;
图4是不同单点测量方法流量测量误差对比图;
图5是不同单点测量方法大流检测准确率对比图;
图6是不同单点测量方法吞吐量对比图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
图1是本发明一种网络流量的单点测量测量方法流程图。
在本实施例中,如图1所示,本发明一种网络流量的单点测量方法,包括以下步骤:
S1、被测网络的硬件处理
在被测网络中,将网络中的每个交换机上部署sketch数据结构,sketch采用CountMin Sketch(CM Sketch),并安装TCAM硬件设施,设定sketch的统计阈值θ;
S2、网络流量的单点测量
S2.1、设置测量周期T;依次记录测量周期T内所有经过交换机的数据包,并依次提取数据包中的流量标识字段,即流量ID;
S2.2、在TCAM中查询该流量ID,若存在,则使用对应的TCAM进行流量记录操作,得到该流量ID的记录值,然后跳转至步骤S2.5,否则进行步骤S2.3;
S2.3、利用sketch记录该流量ID,并获取其在sketch中的统计值,判断该统计值是否大于θ,若小于θ,则跳转至步骤S2.5,否则进行步骤S2.4;
S2.4、查询是否存在空闲的TCAM,若存在,则将该流量ID及其在sketch中的统计值记录到TCAM中,然后进入步骤S2.5;
S2.5、判断测量周期T内所有的流量ID是否处理完成,如果处理完成,则进入步骤S3,否则,返回步骤S2.2,进行下一条流量ID的单点测量;
在本实施例中,如图2所示,当数据包B到达时,先通过它的流量ID在TCAM中查找匹配项,如果有匹配项,则直接在相应的表项上进行计数,得到该流量ID的记录值;
如图3所示,当一个数据包C到达时,如果在TCAM中没有找到匹配项,则将它插入到CM Sketch中,插入完成后,并查询它在CM Sketch中的统计值即v=min(c1,c2,c3,c4),如果v>θ,那么就将数据包C的流量ID和它的统计值v添加到TCAM中。
S3、流量统计
S3.1、检查某一流量ID是否存在于TCAM内,若存在,则将该流量ID的测量值记为TCAM中的记录值,并结束,否则执行步骤S3.2;
S3.2、在sketch中查询该流量ID的统计值,并将该统计值记录为该流量ID的测量值。
实例
从CAIDA上下载下一个约10万条流的网络流数据集,将每个数据包插入单点测量系统中,按照本发明进行测量,同时采用CMSketch、Elastic Sketch方法进行测量;通过将3种单点测量方案估计出的流量矩阵与真实流量矩阵进行比较,统计出误差、吞吐量和大流检测准确度,其中误差由图4所示,大流检测准确度由图5所示,吞吐量由图6所示。其中heavy part表示本发明中的TCAM个数或Elastic Sketch中的heavy part个数,light part表示CM Sketch中计数器的总数;另外CM表示只采用CM Sketch的测量方案,ES表示ElasticSketch使用的测量方案,TCAM表示本发明使用的测量方案。
图4统计了所有流中前20%大的流(因为大流的误差是流量测量中更加关注的点)的相对均方根误差RRMSE,(a)表示heavy part固定为20000时,变化light part的测量误差曲线,(b)表示light part固定为400000时,变化heavy part的测量误差曲线。
图5统计了所有流中大流检测的准确度,(a)表示heavy part固定为20000时,变化light part的大流检测准确度曲线,(b)表示light part固定为400000时,变化heavy part的大流检测准确度曲线。
图6统计了三种方法的吞吐量,(a)表示heavy part固定为20000时,变化lightpart的吞吐量曲线,(b)表示light part固定为400000时,变化heavy part的吞吐量曲线。
从图4-图6中可以看出只使用CM Sketch的测量方案在测量误差和吞吐量方面都是最差的,而Elastic Sketch和本发明的测量方案在误差上相差不多,但是吞吐量方面,本发明的测量方案就大得多。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。

Claims (1)

1.一种网络流量的单点测量方法,其特征在于,包括以下步骤:
(1)、被测网络的硬件处理
在被测网络中,将网络中的每个交换机上部署sketch数据结构,并安装TCAM硬件设施,设定sketch的统计阈值θ;
(2)、网络流量的单点测量
(2.1)、设置测量周期T;依次记录测量周期T内所有经过交换机的数据包,并依次提取数据包中的流量标识字段,即流量ID;
(2.2)、在TCAM中查询该流量ID,若存在,则使用对应的TCAM进行流量记录操作,得到该流量ID的记录值,然后跳转至步骤(2.5),否则进行步骤(2.3);
(2.3)、利用sketch记录该流量ID,并获取其在sketch中的统计值,判断该统计值是否大于θ,若小于θ,则跳转至步骤(2.5),否则进行步骤(2.4);
(2.4)、查询是否存在空闲的TCAM,若存在,则将该流量ID及其在sketch中的统计值记录到TCAM中,然后进入步骤(2.5);
(2.5)、判断测量周期T内所有的流量ID是否处理完成,如果处理完成,则进入步骤(3),否则,返回步骤(2.2),进行下一条流量ID的单点测量;
(3)、流量统计
(3.1)、检查某一流量ID是否存在于TCAM内,若存在,则将该流量ID的测量值记为TCAM中的记录值,并结束,否则执行步骤(3.2);
(3.2)、在sketch中查询该流量ID的统计值,并将该统计值记录为该流量ID的测量值。
CN201911022141.2A 2019-10-25 2019-10-25 一种网络流量的单点测量方法 Active CN110912767B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911022141.2A CN110912767B (zh) 2019-10-25 2019-10-25 一种网络流量的单点测量方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911022141.2A CN110912767B (zh) 2019-10-25 2019-10-25 一种网络流量的单点测量方法

Publications (2)

Publication Number Publication Date
CN110912767A CN110912767A (zh) 2020-03-24
CN110912767B true CN110912767B (zh) 2022-03-25

Family

ID=69815837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911022141.2A Active CN110912767B (zh) 2019-10-25 2019-10-25 一种网络流量的单点测量方法

Country Status (1)

Country Link
CN (1) CN110912767B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115484157B (zh) * 2022-09-14 2023-06-02 浙江大学 一种基于可编程交换机的sketch通用配置方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010088861A1 (en) * 2009-02-06 2010-08-12 The Chinese University Of Hong Kong System and method for catching top hosts
CN106657038A (zh) * 2016-12-08 2017-05-10 西安交通大学 一种基于对称度Sketch的网络流量异常检测与定位方法
CN107566206A (zh) * 2017-08-04 2018-01-09 华为技术有限公司 一种流量测量方法、设备及系统
CN109861881A (zh) * 2019-01-24 2019-06-07 大连理工大学 一种基于三层Sketch架构的大象流检测方法
CN110351166A (zh) * 2019-08-12 2019-10-18 电子科技大学 一种基于流量统计特性的网络级细粒度流测量方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI437850B (zh) * 2012-05-30 2014-05-11 中原大學 網路流量異常偵測系統及其方法
TWI635726B (zh) * 2017-06-14 2018-09-11 中原大學 巨網路流量偵測方法與軟體定義網路交換器

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010088861A1 (en) * 2009-02-06 2010-08-12 The Chinese University Of Hong Kong System and method for catching top hosts
CN106657038A (zh) * 2016-12-08 2017-05-10 西安交通大学 一种基于对称度Sketch的网络流量异常检测与定位方法
CN107566206A (zh) * 2017-08-04 2018-01-09 华为技术有限公司 一种流量测量方法、设备及系统
CN109861881A (zh) * 2019-01-24 2019-06-07 大连理工大学 一种基于三层Sketch架构的大象流检测方法
CN110351166A (zh) * 2019-08-12 2019-10-18 电子科技大学 一种基于流量统计特性的网络级细粒度流测量方法

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
COSTA:Cross-layer Optimization for Sketch-based Software Defined Measurement Task Assignment;Zhiyang Su,Ting Wang;《2015 IEEE 23rd International Symposium on Quality of Service》;20160211;全文 *
Hits和Holds:识别大象流的两种算法;王宏等;《软件学报》;20100615(第06期);全文 *
SDN网络测量技术综述;张恒等;《中国科学:信息科学》;20180320(第03期);全文 *
一种大象流两级识别方法;严军荣等;《电信科学》;20170320(第03期);全文 *
一种高效的网络流记录表示方法;张广兴等;《计算机研究与发展》;20130415(第04期);全文 *
互联网流采样技术综述;赵小欢等;《小型微型计算机系统》;20130815(第08期);全文 *
应用交互式网络流模型的高速网络异常行为检测与控制;杨柳静等;《西安交通大学学报》;20120610(第06期);全文 *
流量测量的关键技术分析与研究;张震等;《计算机应用研究》;20090915(第09期);全文 *
软件定义网络流量监测方法综述;李燕等;《无线通信技术》;20180315(第01期);全文 *

Also Published As

Publication number Publication date
CN110912767A (zh) 2020-03-24

Similar Documents

Publication Publication Date Title
CN109561322B (zh) 一种视频审核的方法、装置、设备和存储介质
CN110677324B (zh) 基于sFlow采样与控制器主动更新列表的大象流两级检测方法
US10097464B1 (en) Sampling based on large flow detection for network visibility monitoring
US9979624B1 (en) Large flow detection for network visibility monitoring
US10536360B1 (en) Counters for large flow detection
US20070171824A1 (en) Sampling rate-limited traffic
CN111159243B (zh) 用户类型识别方法、装置、设备及存储介质
US9160639B2 (en) Network flow abnormality detection system and a method of the same
US10003515B1 (en) Network visibility monitoring
CN113645232A (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
CN106817712B (zh) 一种定位方法及装置和一种服务器
CN111209960B (zh) 一种基于改进随机森林算法的csi系统多径分类方法
CN110912767B (zh) 一种网络流量的单点测量方法
CN112101765A (zh) 一种配电网运行指标数据异常数据处理方法及系统
CN110798463A (zh) 基于信息熵的网络隐蔽信道的检测方法及装置
CN114422379B (zh) 一种多平台设备无线组网的分析方法
CN111339211B (zh) 网络问题分析的方法、装置、设备及介质
CN109977328A (zh) 一种url分类方法及装置
CN111835599B (zh) 一种基于SketchLearn的混合网络测量方法、装置及介质
CN110225025B (zh) 异常网络数据行为模型的获取方法、装置、电子设备及存储介质
US20110019581A1 (en) Method for identifying packets and apparatus using the same
CN103746867A (zh) 一种基于基函数的网络协议分析方法
CN110336817B (zh) 一种基于TextRank的未知协议帧定位方法
CN114020471A (zh) 一种基于草图的轻量级大象流检测方法及平台
CN112422360A (zh) 一种报文采样方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant