CN115914141A - 一种基于p4硬件交换机的网络数据流分类预测方法 - Google Patents

Abstract

本发明公开了一种基于P4硬件交换机的网络数据流分类预测方法，包括以下步骤：在控制器上使用历史数据流量集提取数据流的信息和模型训练算法离线训练决策树预测模型；挑选由控制器中计算得到的预测模型并插入模型所转换的匹配‑动作表项；在P4硬件交换机流水线上实时提取并计算数据流的相关特征，以进行实时数据流分类预测功能；在P4硬件交换机流水线上进行内存管理，释放不活跃数据流占用的空间。本发明解决了在训练数据包分类预测模型时由于数据集中不同类别的数据样本量不平衡问题的存在导致模型准确率低，以及由于模型过大而无法满足交换机内存限制问题，同时提供实时的数据流分类预测功能并且能重复利用有限的内存资源以防止内存溢出。

Description

一种基于P4硬件交换机的网络数据流分类预测方法

本发明涉及网络数据流分类预测技术领域，具体涉及一种基于P4硬件交换机的网络数据流分类预测方法。

背景技术

在P4硬件交换机上直接部署基于决策树的分类预测网络功能的优点在于能提供高预测准确率、能及时地预测数据包分类从而做出相应的决策。然而P4硬件交换机的内存资源和计算能力通常有限，这限制了对基于决策树的分类预测网络功能的开发。例如，内存资源影响着能监控的数据流数量和能部署的决策树大小，而计算资源的限制影响着流水线的设计复杂度。另外，P4硬件交换机缺少内存管理机制，需要设计相应的内存管理机制以保证数据流能被正常监控。

因此，发明一种基于P4硬件交换机的网络数据流分类预测方法来解决上述问题很有必要。

发明内容

针对现有技术的不足，发明提供了一种基于P4硬件交换机的网络数据流分类预测方法，解决了在训练预测模型时由于数据集中不同类别的数据样本量不平衡问题的存在导致模型准确率低和模型过大从而无法满足交换机内存限制问题。

为实现以上目的，发明通过以下技术方案予以实现：一种基于P4硬件交换机的网络数据流分类预测方法，分类预测步骤具体为：

S1、在控制器上使用历史数据流量集提取数据流的信息和模型训练算法离线训练决策树预测模型；

S2、挑选由控制器中计算得到的预测模型并插入模型所转换的匹配-动作表项；

S3、在P4硬件交换机流水线上实时提取并计算数据流的相关特征，以进行实时数据流分类预测功能；

S4、在P4硬件交换机流水线上进行内存管理，释放不活跃数据流占用的空间。

优选的，S1中具体操作为：

S1.1、提取每条数据流前i个数据包的特征作为原始数据集，这些特征包括数据包最大、最小和总长度大小，最大、最小和总到达间隔时间，以及TCP标志位数量(例如ACK、SYN、PSH、ECE和RST标志)和端口号等，并将其分为训练集和验证集；

S1.2、如果某些流量分类占比较少，在生成训练集时通过OSS(One-SidedSelection)和随机采样(Random)等两种欠采样方法缩减数据数量，从而生成多个不同分类的数据样本相对平衡的训练集；

S1.3、使用C4.5决策树根据不同的训练集训练多颗决策树预测模型；

S1.4、根据预测准确率和决策树大小两个条件，挑选一颗同时满足准确率和决策树大小要求的决策树作为第i个数据包的预测模型，同时增加i的数值；

S1.5、重复S1.1、S1.2、S1.3和S1.4步骤，直到i大于阈值，以此得到不同i值下的多颗决策树。

优选的，S1.2中对原始训练集F使用OSS算法挑选数据集的规则为：

初始化集合f，按照每个分类下数据量占总数据量百分比的阈值(例如低于10％)将不同的分类区分为少数类和多数类，并要求f中包含所有的少数类数据和一个随机选择的多数类数据，同时对集合f训练一个k-近邻分类器(k＝1)，使用该分类器对原始训练集F进行分类并将错分的多数类数据加入集合f；

对集合f使用如下方法移除多数类数据：定义不存在第三个数据使得两个数据间的距离不为最短时，称该两个数据互为近邻关系，移除集合f中互为近邻关系的多数类数据即可得到该算法最终结果。

优选的，S1.2中对原始训练集F使用随机算法挑选数据集的规则为：

从OSS算法结果得到的集合f中，首先挑选所有少数类数据，再按照比例γ随机挑选多数类数据使得整个数据集中的各个分类的数据量保持相对平衡，其中，多数类的数据量可由如下公式计算：

其中，

为少数类i的数据，数据集中共有n个少数类别。优选的，S2中具体操作为：

S2.1、将决策树转换为支持三元运算符的匹配-动作表(使用TCAM资源保存表项)，其中匹配域为决策树节点的判断条件，动作域为修改数据包相应的元数据以保存决策树的预测结果，元数据内容包括预测类别和预测准确率；

S2.2、计算每种类别的预测准确率阈值τ_p：

当交换机接收到一条流上第i个数据包时会触发相应的决策树预测功能并得到分类类别p的预测准确率

当且仅当该预测准确率

超过一个阈值τ_p时，其相应的结果才能作为该条流的最终分类结果，分类类别p的阈值的计算方式为：

其中，c表示对一条流的前i个数据包进行预测时被分类到类别p的概率。

优选的，S3中具体操作为：

S3.1、数据包到达流水线的解析器(Parser)后将被用于提取包头以计算流特征；

S3.2、数据包根据其五元组信息哈希成相应的流，并根据条件进行不同的处理：

a、如果数据包附加有终止的TCP标志或超过最大到达间隔时间的限制，则其相应流的内存空间将被初始化；

b、如果流被决策树成功预测(即预测准确率超过阈值)，则将执行预定义的操作；

c、当满足特征更新条件时，将更新相应流的特征，此时判断是否触发决策树预测，如果是则使用对应的决策树进行预测；

S3.3、数据包在离开之前都需要进行逆解析(Deparser)，以便进行数据包构造。

优选的，S4中具体操作为：

S4.1、附加有TCP终止标志的数据包可以触发内存初始化，将标志变量end_f设置为1；

S4.2、使用寄存器Start记录该数据包是否为处理TCP终止数据包之后的第一个数据包，寄存器的值将赋值于标志变量start_f；

在Start寄存器动作中，如果end_f的值为1，则将寄存器的值设置为0；如果该寄存器中的值为0，则设置该值为1；

S4.3、使用寄存器Arrival记录数据流上一包到达的时间并以此为依据判断它是否触发内存初始化，如果超过了最大到达间隔时间的阈值，则在更新寄存器的值时，将标志变量arrival_f设置为1，并且此时该数据包是此服务器上新流的第一个数据包，否则，只更新寄存器的值；

S4.4、数据包在如上三个过程判断结束后，这三个标志变量的值将共同决定执行流特征的更新操作或内存初始化操作。

有益效果

发明提供了一种基于P4硬件交换机的网络数据流实时数据包分类预测预测方法，具备以下有益效果：

使用OSS算法和随机采样算法从原始数据集中生成多个不同分类的数据样本相对平衡的训练集，并使用C4.5决策树训练高准确率的预测模型；同时设计了基于P4硬件交换机的网络数据流分类预测的流水线，该流水线不仅提供实时的数据流分类预测功能，即提取数据包信息进行流特征的计算并在交换机上进行预测模型的判断，还提供了内存管理机制移除不活跃的数据流以重复利用有限的内存资源，通过决策树训练算法解决在训练分类预测模型时由于数据集中不同类别的数据样本量不平衡问题的存在导致模型准确率低和模型过大而无法满足交换机内存的限制问题。

附图说明

图1为本发明公开的系统流程图；

图2为本发明公开的决策树训练流程图；

图3为本发明公开的P4交换机流水线处理流程图。

具体实施方式

下面将结合发明实施例中的附图，对发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是发明一部分实施例，而不是全部的实施例。基于发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于发明保护的范围。

请参阅图1，发明提供一种技术方案：一种基于P4硬件交换机的网络数据流分类预测方法，分类预测步骤具体为：

S1、在控制器上使用历史数据流量集提取数据流的信息和模型训练算法离线训练决策树预测模型；

S2、挑选由控制器中计算得到的预测模型并插入模型所转换的匹配-动作表项；

S3、在P4硬件交换机流水线上实时提取并计算数据流的相关特征，以进行实时数据流分类预测功能；

S4、在P4硬件交换机流水线上进行内存管理，释放不活跃数据流占用的空间。

进一步地，S1中具体操作为：

S1.1、提取每条数据流前i个数据包的特征作为原始数据集，这些特征包括数据包最大、最小和总长度大小，最大、最小和总到达间隔时间，以及TCP标志位数量(例如ACK、SYN、PSH、ECE和RST标志)和端口号等，并将其分为训练集和验证集；

S1.2、如果某些流量分类占比较少，在生成训练集时通过OSS(One-SidedSelection)和随机采样(Random)等两种欠采样方法缩减数据数量，从而生成多个不同分类的数据样本相对平衡的训练集；

S1.3、使用C4.5决策树根据不同的训练集训练多颗决策树预测模型；

S1.4、根据预测准确率和决策树大小两个条件，挑选一颗同时满足准确率和决策树大小要求的决策树作为第i个数据包的预测模型，同时增加i的数值；

S1.5、重复S1.1、S1.2、S1.3和S1.4步骤，直到i大于阈值，以此得到不同i值下的多颗决策树。

进一步地，S1.2中对原始训练集F使用OSS算法挑选数据集的规则为：

初始化集合f，按照每个分类下数据量占总数据量百分比的阈值(例如低于10％)将不同的分类区分为少数类和多数类，并要求f中包含所有的少数类数据和一个随机选择的多数类数据，同时对集合f训练一个k-近邻分类器(k＝1)，使用该分类器对原始训练集F进行分类并将错分的多数类数据加入集合f；

对集合f使用如下方法移除多数类数据：定义不存在第三个数据使得两个数据间的距离不为最短时，称该两个数据互为近邻关系，移除集合f中互为近邻关系的多数类数据即可得到该算法最终结果。

进一步地，S1.2中对原始训练集F使用随机算法挑选数据集的规则为：

从OSS算法结果得到的集合f中，首先挑选所有少数类数据，再按照比例γ随机挑选多数类数据使得整个数据集中的各个分类的数据量保持相对平衡，其中，多数类的数据量可由如下公式计算：

其中，

为少数类i的数据，数据集中共有n个少数类别。

进一步地，可参考图2所示，S2中具体操作为：

S2.1、将决策树转换为支持三元运算符的匹配-动作表(使用TCAM资源保存表项)，其中匹配域为决策树节点的判断条件，动作域为修改数据包相应的元数据以保存决策树的预测结果，元数据内容包括预测类别和预测准确率；

S2.2、计算每种类别的预测准确率阈值τ_p：

当交换机接收到一条流上第i个数据包时会触发相应的决策树预测功能并得到分类类别p的预测准确率

当且仅当该预测准确率

超过一个阈值τ_p时，其相应的结果才能作为该条流的最终分类结果，分类类别p的阈值的计算方式为：

其中，c表示对一条流的前i个数据包进行预测时被分类到类别p的概率。

进一步地，S3中具体操作为：

S3.1、数据包到达流水线的解析器(Parser)后将被用于提取包头以计算流特征；

S3.2、数据包根据其五元组信息哈希成相应的流，并根据条件进行不同的处理：

a、如果数据包附加有终止的TCP标志或超过最大到达间隔时间的限制，则其相应流的内存空间将被初始化；

b、如果流被决策树成功预测(即预测准确率超过阈值)，则将执行预定义的操作；

c、当满足特征更新条件时，将更新相应流的特征，此时判断是否触发决策树预测，如果是则使用对应的决策树进行预测；

S3.3、数据包在离开之前都需要进行逆解析(Deparser)，以便进行数据包构造。

进一步地，可参考图3所示，S4中具体操作为：

S4.1、附加有TCP终止标志的数据包可以触发内存初始化，将标志变量end_f设置为1；

S4.2、使用寄存器Start记录该数据包是否为处理TCP终止数据包之后的第一个数据包，寄存器的值将赋值于标志变量start_f；

在Start寄存器动作中，如果end_f的值为1，则将寄存器的值设置为0；如果该寄存器中的值为0，则设置该值为1；

S4.3、使用寄存器Arrival记录数据流上一包到达的时间并以此为依据判断它是否触发内存初始化，如果超过了最大到达间隔时间的阈值，则在更新寄存器的值时，将标志变量arrival_f设置为1，并且此时该数据包是此服务器上新流的第一个数据包，否则，只更新寄存器的值；

S4.4、数据包在如上三个过程判断结束后，这三个标志变量的值将共同决定执行流特征的更新操作或内存初始化操作。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

尽管已经示出和描述了发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：分类预测步骤具体为：

S1、在控制器上使用历史数据流量集提取数据流的信息和模型训练算法离线训练决策树预测模型；

S2、挑选由控制器中计算得到的预测模型并插入模型所转换的匹配-动作表项；

S3、在P4硬件交换机流水线上实时提取并计算数据流的相关特征，以进行实时数据流分类预测功能；

S4、在P4硬件交换机流水线上进行内存管理，释放不活跃数据流占用的空间。

2.根据权利要求1所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S1中具体操作为：

S1.1、提取每条数据流前i个数据包的特征作为原始数据集，这些特征包括数据包最大、最小和总长度大小，最大、最小和总到达间隔时间，以及TCP标志位数量和端口号等，并将其分为训练集和验证集；

S1.2、如果某些流量分类占比较少，在生成训练集时通过OSS和随机采样等两种欠采样方法缩减数据数量，从而生成多个不同分类的数据样本相对平衡的训练集；

S1.3、使用C4.5决策树根据不同的训练集训练多颗决策树预测模型；

S1.4、根据预测准确率和决策树大小两个条件，挑选一颗同时满足准确率和决策树大小要求的决策树作为第i个数据包的预测模型，同时增加i的数值；

S1.5、重复S1.1、S1.2、S1.3和S1.4步骤，直到i大于阈值，以此得到不同i值下的多颗决策树。

3.根据权利要求2所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S1.2中对原始训练集F使用OSS算法挑选数据集的规则为：

初始化集合f，按照每个分类下数据量占总数据量百分比的阈值将不同的分类区分为少数类和多数类，并要求f中包含所有的少数类数据和一个随机选择的多数类数据，同时对集合f训练一个k-近邻分类器，使用该分类器对原始训练集F进行分类并将错分的多数类数据加入集合f；

对集合f使用如下方法移除多数类数据：定义不存在第三个数据使得两个数据间的距离不为最短时，称该两个数据互为近邻关系，移除集合f中互为近邻关系的多数类数据即可得到该算法最终结果。

4.根据权利要求2所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S1.2中对原始训练集F使用随机算法挑选数据集的规则为：

从OSS算法结果得到的集合f中，首先挑选所有少数类数据，再按照比例γ随机挑选多数类数据使得整个数据集中的各个分类的数据量保持相对平衡，其中，多数类的数据量可由如下公式计算：

其中，

为少数类i的数据，数据集中共有n个少数类别。

5.根据权利要求1所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S2中具体操作为：

S2.1、将决策树转换为支持三元运算符的匹配-动作表，其中匹配域为决策树节点的判断条件，动作域为修改数据包相应的元数据以保存决策树的预测结果，元数据内容包括预测类别和预测准确率；

S2.2、计算每种类别的预测准确率阈值τ_p：

当交换机接收到一条流上第i个数据包时会触发相应的决策树预测功能并得到分类类别p的预测准确率

当且仅当该预测准确率

超过一个阈值τ_p时，其相应的结果才能作为该条流的最终分类结果，分类类别p的阈值的计算方式为：

其中，c表示对一条流的前i个数据包进行预测时被分类到类别p的概率。

6.根据权利要求1所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S3中具体操作为：

S3.1、数据包到达流水线的解析器后将被用于提取包头以计算流特征；

S3.2、数据包根据其五元组信息哈希成相应的流，并根据条件进行不同的处理：

a、如果数据包附加有终止的TCP标志或超过最大到达间隔时间的限制，则其相应流的内存空间将被初始化；

b、如果流被决策树成功预测，则将执行预定义的操作；

c、当满足特征更新条件时，将更新相应流的特征，此时判断是否触发决策树预测，如果是则使用对应的决策树进行预测；

S3.3、数据包在离开之前都需要进行逆解析，以便进行数据包构造。

7.根据权利要求1所述的一种基于P4硬件交换机的网络数据流分类预测方法，其特征在于：S4中具体操作为：

S4.1、附加有TCP终止标志的数据包可以触发内存初始化，将标志变量end_f设置为1；

S4.2、使用寄存器Start记录该数据包是否为处理TCP终止数据包之后的第一个数据包，寄存器的值将赋值于标志变量start_f；

在Start寄存器动作中，如果end_f的值为1，则将寄存器的值设置为0；如果该寄存器中的值为0，则设置该值为1；

S4.3、使用寄存器Arrival记录数据流上一包到达的时间并以此为依据判断它是否触发内存初始化，如果超过了最大到达间隔时间的阈值，则在更新寄存器的值时，将标志变量arrival_f设置为1，并且此时该数据包是此服务器上新流的第一个数据包，否则，只更新寄存器的值；

S4.4、数据包在如上三个过程判断结束后，这三个标志变量的值将共同决定执行流特征的更新操作或内存初始化操作。

Images