TCP宏觀平衡性研究.pdf

1、本論文通過(guò)對(duì) TCP 協(xié)議交互的過(guò)程分析，定義了評(píng)價(jià) TCP 宏觀平衡性的測(cè)度體系，這些測(cè)度集從 TCP 的連接建立、拆除和數(shù)據(jù)傳輸三個(gè)過(guò)程對(duì)TCP的宏觀平衡性進(jìn)行了刻畫(huà)。通過(guò)分析幾種典型的 TCP 宏觀異常行為對(duì)測(cè)度的影響，證明了這些測(cè)度可以作為評(píng)價(jià) TCP 宏觀行為的有效工具。 論文通過(guò)對(duì) TCP 交互的長(zhǎng)度分布模型和到達(dá)模型等的分析，得到了TCP 宏觀平衡性在不同時(shí)間粒度下的測(cè)量誤差模型，發(fā)現(xiàn)時(shí)間粒度的選擇與測(cè)量誤差間近

2、似符合對(duì)數(shù)線性關(guān)系，另外誤差模型還與網(wǎng)絡(luò)里 TCP 流的RTT分布和流內(nèi)報(bào)文到達(dá)延時(shí)有關(guān)。對(duì)誤差模型的理論分析、模擬、仿真表明，選擇5-10min作為測(cè)量的時(shí)間粒度對(duì)于大多數(shù)測(cè)量的精度而言是可以接受的。 根據(jù)上述測(cè)量誤差模型，選擇恰當(dāng)?shù)臅r(shí)間粒度，以 TCP 協(xié)議標(biāo)準(zhǔn)規(guī)定的超時(shí)上限作為正常 TCP 交互的RTT和流內(nèi)報(bào)文到達(dá)延時(shí)的極限，可以得到各種 TCP 宏觀平衡性測(cè)度的正常取值的極限，并以此可確定用于評(píng)價(jià) TCP 宏觀平衡性

3、的測(cè)度及其正常/異常判斷的閾值。論文針對(duì)交互的次數(shù)一般不大于2的短流情形，例如路由循環(huán)發(fā)生時(shí)TCP的工作狀態(tài)，基于TCP的大規(guī)模掃描，DDoS攻擊和蠕蟲(chóng)擴(kuò)散等，定義了對(duì)應(yīng)的短流模型來(lái)確定時(shí)間粒度和正常/異常判斷的標(biāo)準(zhǔn)。給出的實(shí)例分析表明，TCP宏觀平衡性能夠從TCP連接建立到拆除的各個(gè)不同的階段宏觀地評(píng)價(jià)TCP的工作狀態(tài),并能檢測(cè)TCP宏觀異常行為的發(fā)生時(shí)間。 論文通過(guò)對(duì)hash函數(shù)聚類(lèi)特征的分析，給出了利用hash函數(shù)聚類(lèi)后

4、TCP宏觀平衡性，發(fā)現(xiàn)對(duì)不同的 TCP 控制報(bào)文進(jìn)行相同的聚類(lèi)變換后， TCP 宏觀平衡性保持不變。特別地，在使用Bloom Filter對(duì)TCP五元組進(jìn)行聚類(lèi)后，不同 TCP 控制報(bào)文在相同hash函數(shù)的同-hash串的命中率之間也應(yīng)該遵循 TCP 宏觀平衡性，此即 TCP 宏觀平衡性的聚類(lèi)不變性。 論文通過(guò)對(duì)Bloom Filter的誤差分析，放寬hash函數(shù)對(duì)映射均勻性的要求，使得hash函數(shù)可以使用任意類(lèi)型的映射。選擇

5、源串的部分比特位作為hash函數(shù)的過(guò)程讓hash函數(shù)帶有源串的語(yǔ)義特征；這種直接比特映射的hash函數(shù)(DBSM)由于其hash串的比特來(lái)自于源串的比特，從hash串逆向推導(dǎo)源串的過(guò)程很直觀。在確定兩個(gè)由不同hash函數(shù)產(chǎn)生的hash串來(lái)自于同一個(gè)源串后，這兩個(gè)hash串可以組成更長(zhǎng)的hash串，反映了源串更多的信息。利用DBSM在hash串間重復(fù)上面的過(guò)程，可得到源串的所有比特。 論文建立了著色過(guò)程的概念，它利用兩個(gè)hash

6、函數(shù)間具有相同著色的特點(diǎn)來(lái)確定兩個(gè)不同hash函數(shù)產(chǎn)生的hash串是否來(lái)自于同一個(gè)源串，即確定兩個(gè)hash串是否同源，在商集映射的視角下發(fā)現(xiàn)其具有較高的精度。通過(guò)hash函數(shù)的商集映射和著色過(guò)程的分析，論文提出了自然著色的概念，在使用DBSM的聚類(lèi)過(guò)程中，保持兩個(gè)hash函數(shù)間有一定的比特串直接來(lái)自于原始比特串，即讓hash函數(shù)保持源串的“自然色”，同時(shí)也直觀地反映了源串部分比特的聚類(lèi)狀態(tài)。在此基礎(chǔ)上論文提出基于自然著色聚類(lèi)還原法的源串

7、聚類(lèi)信息還原，充分利用自然著色過(guò)程的聚類(lèi)特性和自然著色過(guò)程同源性判斷的優(yōu)勢(shì)，把具有相同聚類(lèi)特征的源串的比特串間的關(guān)系通過(guò)數(shù)量和自然色的橋梁，合并為源串的聚類(lèi)信息，完成從hash串構(gòu)成的存儲(chǔ)空間對(duì)源串的聚類(lèi)信息的還原。而把‘TCP宏觀平衡性的聚類(lèi)模型使用自然著色聚類(lèi)進(jìn)行分析，利用活躍IP報(bào)文的Pareto分布特性，只需對(duì)少量Top N的hash串進(jìn)行自然著色聚類(lèi)，就可以還原出TCP宏觀平衡性中占主導(dǎo)地位的各種成分的聚類(lèi)信息。而這些主成份的

8、聚類(lèi)信息仍然滿足TCP宏觀平衡性的要求，因此對(duì)這些主成分的聚類(lèi)后的TCP宏觀平衡性的分析將反映網(wǎng)絡(luò)里主要TCP流量的宏觀平衡性。如果這些主成分被TCP宏觀平衡性測(cè)度斷定為異常，則這些聚類(lèi)的信息就是異?；顒?dòng)主機(jī)的五元組的聚類(lèi)，可以直接用來(lái)進(jìn)行異常行為阻止。 在實(shí)例中進(jìn)行的檢驗(yàn)表明，使用自然著色聚類(lèi)還原的TCP宏觀平衡性能夠有效地揭示出各種TCP控制報(bào)文的聚類(lèi)信息，間接反映網(wǎng)絡(luò)里TCP的宏觀狀態(tài)，可以用于網(wǎng)絡(luò)管理。對(duì)自然著色聚類(lèi)還

9、原算法的復(fù)雜度分析表明，這個(gè)算法的時(shí)間和空間復(fù)雜度都接近于線性，并且由于只需分析Top N的數(shù)據(jù)，其規(guī)模非常小，適用于對(duì)時(shí)間和空間復(fù)雜度要求非常高的場(chǎng)合。 給出TCP宏觀平衡性和自然著色聚類(lèi)還原的綜合應(yīng)用表明，TCP宏觀平衡性的理論和自然著色聚類(lèi)還原工具對(duì)于檢測(cè)TCP宏觀異常行為如DDoS、掃描、蠕蟲(chóng)擴(kuò)散、病態(tài)路由等非常有效。這些TCP宏觀異常的不同行為特征使得他們?cè)赥CP宏觀平衡性和自然著色聚類(lèi)的框架下非常容易區(qū)分開(kāi)來(lái)。而自