可生存性网络建模研究设计

2017-03-29 06:56薛辉邓军叶柏龙
现代计算机 2017年5期
关键词:网络流量数据包流量

薛辉,邓军,叶柏龙

(1.湖南涉外经济学院,长沙 410205;2.湖南科技职业学院,长沙 410004;3.湖南大学,长沙 410082)

可生存性网络建模研究设计

薛辉1,邓军2,3,叶柏龙3

(1.湖南涉外经济学院,长沙 410205;2.湖南科技职业学院,长沙 410004;3.湖南大学,长沙 410082)

应用的角度论述当前可生存性网络的状况出现的问题,提出一种网络可生存性模型,详细分析模型的建立过程,并给出模型的使用情况和未来的研究方向。

可生存性;网络协同;网络流量;数据包

0 引言

可生存性网络[1]是指受控网络在受到攻击、意外事故或故障时,仍然可以在规定时间内完成其主要功能的能力。在网络安全的基本属性中,网络可生存性更加关注网络系统的可用性。从信息安全学科的现状和发展趋势来看,提高网络的可生存性,是目前和未来应付一切攻击、入侵和破坏的最佳途径之一。其主要技术手段是网络控制和网络监测,其中监测是基础,控制是技术手段[2]。自上世纪90年代中期开始,国内外学术界就开始了对互联网进行大量的监测研究[3-5]。目前,在对数据包、流量监测和流量建模的采样以及流量压缩方面的研究比较火热,且取得了不少成果,但是综合起来仍然还存在许多不足。

1 可生存性网络现有的问题

(1)监测粒度不细。例如无法获得高层协议流量指标,对流级特别是业务流级的相关特征无法捕获,任然停留在数据包级和数据链路级。

(2)数据包级监测任然存在许多不足。特别是面对当前更高、更快的流量监测需求无法满足[6]。

(3)当前业务流级对实时流量监测无法实施[7]。例如基于H.323的VoIP业务[8]由多个协议共同协调完成。根据目前的业务流监测方法[8]在一个完整的VoIP会话过程中会得到8个相互独立的业务流,割裂了具体业务所产生的多个流之间的关系,这样将极大影响流量模型分析方法,无法有效指导实时流量控制的实施。

基于上述问题的分析,本文提出一种基于协同式的面向业务流的可生存性网络监测与控制系统模型。采用面向业务流级的监测、控制和监控协同等技术。从骨干网络上就开始实施监控分析,在汇聚接入层监测中获得来自终端的大量网络运行状态信息,直接对异常流量进行实时控制。

2 系统体系架构建模分析

可生存性网络是一个综合性的问题,例如在骨干层、汇聚层、接入层都存在不同分工,各个层次也有着不同的表征[9],以此可在各层之间给予不同分工,它们相互独立又相互协作,共同构成多层次、协同分工的综合解决方案。如图1所示。

由图1可以看出,在不同网络层次实现安全检测和控制,各层之间由控制管理中心来实施配置管理、任务调度和协同通信等,它们完成的功能及协作关系可分为三个层次:

图1 模型技术体系架构

(1)可生存性分析。在骨干网级别上可通过生存性分析监测整个网络的宏观流量的状态,得到全网安全评估态势;根据得到的具体业务信息实时调整受控网络的流量分布情况。具体负责业务识别,分析新业务产生机理、协议演进过程和协议的链接过程,运用反向工程的方法,分析公开的、未公开的新业务的协议特征(例如应用层载荷特征字符串等),学习并自动提取出新业务流量特征;在此基础上,将端口动态识别,有效载荷分析等手段结合神经网络、支持向量机等人工智能方法,实现智能可扩展的新业务流量识别引擎。

(2)可生存性控制。位于汇聚接入层。是建模的核心部件;主要用于评估多个分布式网络流量控制节点的协同控制和对业务的波及影响,设计面向业务的综合控制效果评估函数,使用多个控制节点控制协同算法,减少多个控制任务的控制代价。根据业务监控需求,使用自适应流量控制方法将网络测量获得的流量信息进行反馈调节。

对于网络监控协同结构,借鉴自动控制中反馈控制的理论和技术,评估阶层式架构和直接式架构,制定以分布式网络监测为基础的网络流量监控协同结构。

在网络监控协同同步调度时,采用监测协同、控制协同中同步技术及网络时间协议(Network Time Protocol,NTP)等时间同步和减少时间误差的方法,实现综合面向网络监测协同、控制协同的同步需求。

(3)可生存性监测。用于监测用户终端和服务器,负责网络可生存性监测调度及协同。在面对复杂的网络拓扑覆盖时,可结合业务监测需求和业务逻辑拓扑特征,利用网络最优覆盖或冗余覆盖的流量监测调度算法和协同算法,找出最佳链路和节点;再根据得到的网络拓扑图中的节点和链路按其重要性进行评估和分析,综合节点合并和链路合并情况,采取最优或冗余的流量监测节点部署算法,捕获最佳监测点;当网络拓扑发生动态变化时,可使用流量监测节点的迁移机制及迁移技术动态实现。

由上可以看出,在三个层面上,每层都负有各自的职能,但彼此都必须协同和相互依赖才能完成,这样做的目的就是根据网络流量实时情况,相互协同参考,使受控网络系统在遭受攻击、故障和意外时仍能及时、高效地完成其主要任务。

3 模型的设计与实现

3.1 可生存性网络监测和可生存性分析子系统设计

本子系统采用三层的结构方式,即流量监测模块、控制协同模块和可生存性分析模块。分别负责对来自网络的业务数据进行采集、协同控制和网络可生存性分析等,为用户提供更优级的服务。如图2所示。

图2 流量监测和可生存性分析系统框架结构图

流量监测模块:受控网络在每个测量点部署专门的探针(Probe),其功能负责对业务数据的采集、测量和导入。将测量的结果经过数据加密后再传入可生存性控制子系统,如果测量的结果未及时上传则保留在本地的探针中。探针工具主要包括路由器、流量捕获器、业务仿真器和端到端测量器等。

控制协同模块:负责收集来自监测模块的业务数据和发送调度任务及测量命令;这些任务的收集、调度、控制以及数据的分析和可视化工作都由控制协同模块负责完成。由于流量监测时捕获的数据量大,因此要求将清洗后的各种业务数据和指令实时存入到业务数据库中,供以后分析控制使用。

可生存性分析模块:主要负责去掉与测量行为不相关的初始级业务数据,构造出各种行为指标数据集合。业务数据按任务进行分类,整体分析出受控网络的路由、流量状况、应用行为、性能和各种故障,最终以查询、可视化和告警的形式实时告知用户。

由上设计可以看出:网络可生存性监测与可行性分析分别由网络监测管理探针和监测管理分析子系统组成;根据监测管理任务部署与测试点部署算法,监测管理分析子系统可以向信息采集探针加载监测管理任务。而如何控制管理任务调度是本次设计的核心技术之一(详见3.2可生存性网络控制子系统)。本系统采用集中式控制和分布式测量的方式主要体现在采用分布式测量可以根据不同用户的需求部署实施时采用不同类型的探针方式可以增加系统的灵活性、可扩展性和开放性。使用可行性分析模块便于集中控制管理,通过该平台可以综合分析整个网络流量数据,评估系统整体性能,这也是本次建模的创新之处。

3.2 可生存性网络控制子系统设计

图3 控制系统体系结构图

可生存性网络控制系统负责管理日常管理业务调度,结构设计如图3所示。由图可以看出:系统设计成两个部分:业务控制样机和用户管理端,前者是受控系统,后者由用户操作管理。用户管理端负责业务控制样机的启动、配置信息的设置和管理策略的制定,以及日志的自动生成。业务控制样机部分主要负责数据包的捕获、识别、打标签,并进行流量整型和启动可生存性流量监测子系统。

业务控制样机主要包括数据帧过滤和标记模块、流量整形模块和控制命令解析模块。系统根据来自用户管理端的管理策略和配置信息,以指令的形式调用数据帧过滤和标记模块和流量整形模块分别进行数据包过滤、打标签和流量整形。首先来自网卡的原始数据帧进入控制系统后,分解成一个个数据包,再以数据包的形式捕获,网络数据包捕获是实现流量控制的基础。只有获得数据包才能进行下一步处理。然后当获取到数据包后,还需要对不同的包进行区分和过滤,打上不同的标记,形成不同的分类。不同分类有不同的带宽限制,再进入流量整形模块对不同队列进行调度和整形。不同的整形算法各有优缺点,综合比较后网络流量控制器调度合适的算法作为最终的整形算法。大量的网络流量控制命令构成控制规则库。控制规则库的实现方式将影响网络流量的响应时间和处理时间,采用基于XML的控制规则库配置模块负责完成,这样还可以方便记录、跟踪和修改。

用户在实际操作网络流量控制器时,用户管理端和流量控制器样机必然存在数据交互和指令发送,所以两者之间的通信通过通信模块进行加密,增加其安全性。在用户端的前台软件中由策略管理模块对可能发生冲突的流量控制策略进行合并,在流量控制样机上用心跳检测法控制流量进程的状态。

4 结语

该模型是在响应湖南省教育厅基金项目的要求下,由多家高校和企业共同完成研发。目前已经成功运行在多个企业或政府网络安全平台上,用户只需在管理端点击控制器按钮就可监控整个受控网络,因此具有较大的理论研究价值和广泛的市场前景。但是,随着网络规模的不断增大,特别是大数据时代的到来,当前网络还面临着许多挑战,如何将网络监测协同和控制协同更好地结合是我们课题组今后研究的重点。

[1]赵成丽.网络信息系统可生存性的若干关键技术研究[D].吉林大学,2013.

[2]杨威;谢永强;熊焕.网络可生存性技术研究综述[J].计算机工程与设计,2011,32(7)2298-2230.

[3]曾彬,张大方,黎文伟,等.面向网络行为特征分析的网络监测系统设计及实现[J].计算机科学2009,36(1)86-91.

[4]Katz D,Ward D.Bidirectional Forwarding Detection[R].Draft IETF-Bfd Base 02.Txt,2010

[5]邓军.一种多功能网络监控与防御平台设计与实现[J].网络安全技术与应用,2011,5(5):67-70.

[6]薛辉,邓军,叶柏龙,陆兰.一种分布式网络入侵防御系统[J].计算机系统应用,2011,20(7)22-25.

[7]曾彬.基于主动测试的网络性能监测技术研究[D].湖南大学,2009.

[8]毕夏安,张大方.基于H.323协议的VoIP语音流量识别[J].计算机应用,2014,9:23-25.

[9]邓军.一种分布式网站安全防护系统[J].计算机系统应用,2012,(21)3:42-45.

Research and Design of Survivability Network Modeling

XUE Hui1,DENG Jun2,3,YE Bai-long3
(1.Hunan International Economics University,Changsha 410205;2.Hunan Vocational College of Science and Technology, Changsha 410004;3.Hu'nan University,Changsha 410082)

Discusses the problems in current network survivability situation from the angle of application,proposes a network survivability model and detailed analysis of the establishing process of the model,presents the usage of the model and the future research direction.

Survivability;Network Coordination;Network Traffic;Network Packet

1007-1423(2017)05-0044-04

10.3969/j.issn.1007-1423.2017.05.011

薛辉(1974-),女,湖南益阳人,硕士,副教授,研究方向为软件方向、软件工程、网络安全

邓军(1973-),男,湖南永州人,硕士,副教授,研究方向为软件工程、网络安全、机器学习

叶柏龙(1964-),男,浙江诸暨人,硕士,教授,主要研究领域为软件工程、网络安全、大数据

2016-11-29

2017-02-10

湖南省教育厅一般基金资助项目(No.14C0651)

猜你喜欢
网络流量数据包流量
大数据驱动和分析的舰船通信网络流量智能估计
冰墩墩背后的流量密码
二维隐蔽时间信道构建的研究*
基于双向长短期记忆循环神经网络的网络流量预测
张晓明:流量决定胜负!三大流量高地裂变无限可能!
民用飞机飞行模拟机数据包试飞任务优化结合方法研究
基于大数据分析的非线性网络流量组合预测模型*
寻找书业新流量
大数据环境下的网络流量非线性预测建模
过去的一年开启了“流量”明星的凛冬时代?