摘 要： 在分析大量網(wǎng)絡(luò)流量數(shù)據(jù)的基礎(chǔ)上，從網(wǎng)絡(luò)工程和數(shù)學(xué)優(yōu)化的角度入手，建立了網(wǎng)絡(luò)安全和流量控制的數(shù)學(xué)模型，進(jìn)行了計(jì)算和評(píng)價(jià)，通過(guò)實(shí)驗(yàn)證明了此模型具有較好的控制效果，有較穩(wěn)定的安全性，同時(shí)易于實(shí)現(xiàn)。此研究方法也為解決類(lèi)似優(yōu)化問(wèn)題提供了參考。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； 流量控制； 評(píng)價(jià)； 方案

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）02-17-02

Research of network security and flow control model

Hu Ning， Xu Bing

（Chongqing Three Gorges University， Wanzhou， Chongqing 404000， China）

Abstract： Based on the analysis of a large number of network traffic data， the mathematical model on the network safety and flow control according to the network engineer and optimizations is built. A large amount of calculation and evaluation has been done. By experiments， this model is proved to have comparatively good control effect and stable safety. Meantime， it is easier to be realized. This research method provides a good reference for solving similar optimizing problems.

Key words： network security； flow control； evaluation； scheme

0 引言

在這個(gè)信息大爆炸的時(shí)代，信息安全顯得十分重要，占有突出的地位，采用合理的網(wǎng)絡(luò)安全模型和流量控制模型，對(duì)網(wǎng)絡(luò)進(jìn)行分析和控制無(wú)疑是維護(hù)信息安全的基本保障。

由于網(wǎng)絡(luò)設(shè)計(jì)之初，僅僅考慮到信息交流的便利性，對(duì)于保證信息安全和流量控制的規(guī)劃則非常有限，所以面對(duì)循環(huán)上升的攻擊技術(shù)和快速增加的網(wǎng)絡(luò)用戶(hù)量，安全和流量控制問(wèn)題顯得特別重要。本文根據(jù)某高校中大量網(wǎng)絡(luò)流量的數(shù)據(jù)的分析和統(tǒng)計(jì)，得出有效的流量控制模型，并對(duì)其進(jìn)行評(píng)價(jià)。

1 常用網(wǎng)絡(luò)安全和流量控制模型分析

目前我國(guó)相關(guān)單位基本上建立了適合自己的網(wǎng)絡(luò)安全和流量控制模型[4]，進(jìn)行如下簡(jiǎn)單概括。

以路由器為主要控制方式的流量控制模型：此模型中所有用戶(hù)流量記錄都是暫時(shí)存放在路由器的內(nèi)存中。流量控制系統(tǒng)使用網(wǎng)絡(luò)管理協(xié)議命令進(jìn)行控制。盡管后來(lái)采用物理地址靜態(tài)匹配技術(shù)來(lái)防止流量盜用，但仍然不能起到很好的防范作用。

基于網(wǎng)絡(luò)探聽(tīng)的控制模型：在中心交換機(jī)和中心路由器中設(shè)計(jì)一個(gè)探聽(tīng)程序，此程序能夠偵聽(tīng)到網(wǎng)卡上所有發(fā)送的數(shù)據(jù)包，并同時(shí)記錄下來(lái)。這樣的流量控制方式有很多不同的程序，但是在實(shí)際的控制過(guò)程中問(wèn)題依然存在。另外還有很多網(wǎng)絡(luò)流量控制模型，例如郵件流量控制模型等等，它們大多是被動(dòng)的，對(duì)于大批量的用戶(hù)缺乏行之有效的控制手段[3]。

以上的流量控制模型在很長(zhǎng)一段時(shí)間起到了很好的作用，但是這些流量控制模型都存在著很多問(wèn)題，還不能很好地滿(mǎn)足現(xiàn)階段我們國(guó)家信息技術(shù)高速發(fā)展的需求。

2 模型的建立

傳統(tǒng)的安全和流量控制模型與實(shí)際網(wǎng)絡(luò)需求有一定的相悖性，因此已不能很好地完全描述實(shí)際的流量特征。網(wǎng)絡(luò)自相似性主要表現(xiàn)出結(jié)構(gòu)的相似性，每一組成部分都在特征上與整體相似，并具有明顯的突發(fā)性[1]。

定義：xt為相關(guān)隨即變量；aj為實(shí)數(shù)；et為相關(guān)變量；B為流量帶寬；t0為連接最大延遲時(shí)間；U為連接單元容量；S為連接業(yè)務(wù)最小傳輸速率；N0為線(xiàn)路可同時(shí)支持的用戶(hù)最大連接數(shù)；n為時(shí)間段的數(shù)目，時(shí)段不同價(jià)格也不同；δi為第i時(shí)間段內(nèi)擁塞發(fā)生的重視因子；fi（pi）為在第i時(shí)間段內(nèi)用戶(hù)實(shí)際業(yè)務(wù)連接數(shù)概率；gs（ps）在第i時(shí)間段內(nèi)計(jì)費(fèi)價(jià)格為pi時(shí)用戶(hù)實(shí)際業(yè)務(wù)量；kj為第j端口可以上網(wǎng)的人數(shù)。

xk為一般路由器計(jì)費(fèi)模式下的值：

xt=a1xt-1+a2xt-2+…+apxt-p+et

在每一個(gè)通信端口中如果有2x端口，則在同一個(gè)時(shí)刻內(nèi)只能有2x用戶(hù)上網(wǎng)。也就是在一個(gè)端口中不能再分出給多名用戶(hù)使用，線(xiàn)路調(diào)節(jié)后，一名用戶(hù)可以使用多個(gè)通信端口，用戶(hù)一天最多只能上網(wǎng)16個(gè)小時(shí)[10]。我們可以建立如下模型：

⑴

若B的解在單位圓外，則xt是平穩(wěn)過(guò)程，即是一個(gè)平衡點(diǎn)， n0是線(xiàn)路可支持的用戶(hù)的連接數(shù)目，此時(shí)為了控制流量，減少擁堵，可建立如下函數(shù)模型：

⑵

其中：p=（p1，p2，…，pn）T

雖然此函數(shù)模型便于進(jìn)行參數(shù)估計(jì)[6]，產(chǎn)生回歸數(shù)列，但因?yàn)槠浜瘮?shù)以指數(shù)級(jí)遞減，不能很好地模擬自相關(guān)函數(shù)的流量控制。

定義bt為隨機(jī)擾動(dòng)，B為滑動(dòng)平均項(xiàng)，則新的模型如下：

xt=a1xt-1+a2xt-2+…+apxt-p+et-g1bt-1-g2bt-2-…gqbt-q ⑶

其自協(xié)方差為：

⑷

自相關(guān)函數(shù)為：

sk=f1sk-1+f2sk-2+…+fpsk-p ⑸

將一個(gè)幀分成n個(gè)時(shí)間段，則第m個(gè)時(shí)間的信元到達(dá)可表示為：

⑹

我們根據(jù)實(shí)際應(yīng)用中測(cè)量的非單播數(shù)據(jù)的記錄值，并運(yùn)用方差分析法平穩(wěn)化時(shí)間序列，由此可得到約束函數(shù)：其中pt是第i時(shí)段的概率值， pt∈（0，1）

⑺

因此我們給出均衡流量控制的目標(biāo)函數(shù)：

⑻

另外關(guān)于網(wǎng)絡(luò)中的抱怨度[2]：這里我們假設(shè)第i用戶(hù)上網(wǎng)的時(shí)間是一定的，也即上網(wǎng)的時(shí)間長(zhǎng)度是一定的，設(shè)為ti想上網(wǎng)的時(shí)刻為mi，實(shí)際上網(wǎng)的時(shí)刻為ni。

當(dāng)用戶(hù)i想上網(wǎng)的時(shí)候，因?yàn)橛脩?hù)i-1還沒(méi)有下網(wǎng)，所以他只能等待，等待的時(shí)間為ni-mi，則用戶(hù)i產(chǎn)生的抱怨的程度可表示為：

⑼

對(duì)于不同的用戶(hù)產(chǎn)生的流量不同，所以我們可以用一個(gè)總的平均流量來(lái)衡量這一個(gè)信息網(wǎng)受用戶(hù)的依賴(lài)程度[11]，如果該端口可以上網(wǎng)的人數(shù)為k，則一個(gè)端口的用戶(hù)流量模型為：

（10）

我們通過(guò)調(diào)研的方式征求全校師生用戶(hù)承受的價(jià)位pmax，調(diào)查情況如表1所示。

表1 最高價(jià)調(diào)研表

[價(jià)格＼＼＼＼＼＼數(shù)量＼m1＼m2＼m3＼m4＼m5＼]

由表1我們可以得到體現(xiàn)用戶(hù)在各時(shí)段承受力的最高限價(jià)均值，于是我們給出如下約束條件：

f（pi）≤pm i=1，2，…，n （11）

其中：pm為經(jīng)驗(yàn)常數(shù)，代表在第i時(shí)間內(nèi)流量為pi時(shí)用戶(hù)實(shí)際連接數(shù)目在n0以上的概率。

根據(jù)以上約束條件，再通過(guò)曲線(xiàn)擬合模擬，并有歷史統(tǒng)計(jì)數(shù)據(jù)我們可得到在不同時(shí)段多用戶(hù)的概率曲線(xiàn)。

圖1 概率曲線(xiàn)

由此，我們令：x=gs（ps），這時(shí)就可將通信端口數(shù)n和用戶(hù)數(shù)m做如下的關(guān)系：

n/m=1.5/（16*2x）=3/2x+5

其中x≥4為待確定的數(shù)字。實(shí)際上，當(dāng)模型收斂時(shí)我們得出：

由此得出網(wǎng)絡(luò)安全和流量控制模型，對(duì)于不同的地區(qū)當(dāng)然有不同的控制方法，根據(jù)它們的不同，用分時(shí)方案同樣可以得出一個(gè)較為合理的控制模型。

3 仿真測(cè)試與分析

在網(wǎng)絡(luò)流量分析中，我們側(cè)重宏觀分析，如容量、吞吐量、利用率，抱怨度等等[5]，這樣能夠使我們對(duì)網(wǎng)絡(luò)的整體運(yùn)行狀況有很好的了解，本文通過(guò)對(duì)流量數(shù)據(jù)的分析，建立了模型，并通過(guò)Matlab仿真[7]，用隨即模型和我們建立的模型進(jìn)行質(zhì)量?jī)?yōu)化對(duì)比，得出以下圖形（如圖2所示），可以看出，目標(biāo)模型的網(wǎng)絡(luò)質(zhì)量明顯好于我們的隨機(jī)模型。

圖2 隨機(jī)模型和目標(biāo)模型的對(duì)比情況

因此我們可以得出主干網(wǎng)絡(luò)的流量需求[9]，取決于存儲(chǔ)節(jié)點(diǎn)的位置、使用時(shí)間高峰、計(jì)時(shí)長(zhǎng)、包月方式等，以及所設(shè)計(jì)的分段開(kāi)通的控制模式。如果存儲(chǔ)節(jié)點(diǎn)在中心節(jié)點(diǎn)，那么每個(gè)訪問(wèn)用戶(hù)都要建立鏈路去訪問(wèn)中心節(jié)點(diǎn)的內(nèi)容，帶寬需求與同時(shí)訪問(wèn)的用戶(hù)、頻道的傳輸碼率等等。如果存儲(chǔ)節(jié)點(diǎn)處于邊緣節(jié)點(diǎn)，則主干網(wǎng)絡(luò)上的業(yè)務(wù)流量需求可以消除，但對(duì)邊緣節(jié)點(diǎn)的處理能力有了更高的要求，進(jìn)而提高了網(wǎng)絡(luò)部署的成本[8]。

4 結(jié)束語(yǔ)

實(shí)驗(yàn)證明，我們所得到的網(wǎng)絡(luò)安全和流量模型具有較好的控制效果和較穩(wěn)定的安全性，同時(shí)易于實(shí)現(xiàn)，并且用最小的代價(jià)獲得了最優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。關(guān)于網(wǎng)絡(luò)安全與流量控制問(wèn)題的優(yōu)化研究，目前，還沒(méi)有一種萬(wàn)能的數(shù)學(xué)模型能夠適用于所有的情況，在一定意義上所建立的模型只適合于特定的網(wǎng)絡(luò)環(huán)境。本文只涉及到流量模式等方面的討論，而在對(duì)模型的建立、因素的選取等優(yōu)化問(wèn)題的定量分析上還有待于進(jìn)一步去研究。

參考文獻(xiàn)：

[1] Dell R.McKeown N and Varaiya P.Billing Users and Pricing forTCP[M].IEEE Journal on Selected Areas in Communications，1995.7：1162

[2] Mackie-Mason J K and Varian H Resume FAQs aboutUsage-based pricing[M].Computer Networks and ISDN systems，1995.1-2：257

[3] 傅曉明.Internet網(wǎng)絡(luò)服務(wù)定價(jià)研究現(xiàn)狀與展望[J].計(jì)算機(jī)與現(xiàn)代化，1999.2.

[4] 張文鉞.一種基于計(jì)費(fèi)管理的網(wǎng)絡(luò)服務(wù)質(zhì)量控制法[J].計(jì)算機(jī)工程與應(yīng)用，1999.6.

[5] 陳寶林.最優(yōu)化理論與算法[M].清華大學(xué)出版社，2005.

[6] K.安斯倫.數(shù)學(xué)計(jì)算機(jī)用的數(shù)學(xué)方法統(tǒng)計(jì)方法[M].上?？萍汲霭嫔纾?981.

[7] 易芝，黃穎，鄒永貴.基于IPv6的局域網(wǎng)通信系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J].重慶郵電大學(xué)學(xué)報(bào)，2005.17（2）：238-24

[8] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].電子工業(yè)出版社，2003.

[9] 張裔智.基于Intranet開(kāi)發(fā)方案的量化評(píng)價(jià)[J].浙江大學(xué)碩士學(xué)位論文，2002.

[10] 張新寶.互聯(lián)網(wǎng)上的侵權(quán)問(wèn)題研究[M].中國(guó)人民大學(xué)出版社，2003.

[11] 李芳，李艾華，吳朝軍.神經(jīng)網(wǎng)絡(luò)改進(jìn)算法在超聲波流量測(cè)量中的應(yīng)用[J].計(jì)算機(jī)測(cè)量與控制，2008.16（2）：163-165