解維崇 李正民 董開坤 沈英宏

(*哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 150001)(**國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京100029)

基于虛擬化的輕量級(jí)背景流量節(jié)點(diǎn)生成及部署算法研究①

解維崇②*李正民**董開坤③*沈英宏*

(*哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 150001)(**國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京100029)

進(jìn)行了網(wǎng)絡(luò)攻防分析，針對(duì)傳統(tǒng)的背景流量模擬技術(shù)在生成及部署方面存在背景流量大小受限、背景流量真實(shí)性不足、背景流量生成工具部署的數(shù)量和位置受限的問(wèn)題，提出了一種基于虛擬化的輕量級(jí)背景流量節(jié)點(diǎn)生成及部署算法，該算法是一種基于資源量的目標(biāo)流量映射、基于最短路由的背景流量應(yīng)用添加、基于最少通信代價(jià)的節(jié)點(diǎn)映射的三階段算法，解決了背景流量節(jié)點(diǎn)在網(wǎng)絡(luò)攻防實(shí)驗(yàn)中大規(guī)?？焖偕杉办`活部署的問(wèn)題。實(shí)驗(yàn)結(jié)果表明，使用輕量級(jí)背景流量節(jié)點(diǎn)，生成的背景流量滿足網(wǎng)絡(luò)自相似性，資源消耗小、啟動(dòng)速度快，并且可根據(jù)實(shí)際網(wǎng)絡(luò)攻防實(shí)驗(yàn)的需求進(jìn)行動(dòng)態(tài)、靈活、快速的大規(guī)模部署。

背景流量， Docker， 自相似， 動(dòng)態(tài)部署， 虛擬映射

0 引 言

目前，通過(guò)攻防實(shí)驗(yàn)平臺(tái)模擬大規(guī)模網(wǎng)絡(luò)安全事件是一種高效方便的方法。網(wǎng)絡(luò)攻擊行為的研究是對(duì)網(wǎng)絡(luò)安全事件本身產(chǎn)生的攻擊流量[1]和網(wǎng)絡(luò)實(shí)際中存在的背景流量[2]疊加后的流量進(jìn)行分析，在缺少背景流量的前提下進(jìn)行網(wǎng)絡(luò)行為模擬的研究是難以取得實(shí)際效果的。因此，如何在攻防實(shí)驗(yàn)平臺(tái)中快速生成及靈活部署背景流量是一項(xiàng)重要課題。

在生成及部署背景流量方面的研究工作主要包括使用網(wǎng)絡(luò)離散事件模擬器NS2[3]、使用流量生成工具以及采用多線程技術(shù)。來(lái)自哈爾濱工業(yè)大學(xué)的鄒天際[4]使用NS2網(wǎng)絡(luò)離散事件模擬器對(duì)自相似性[5]網(wǎng)絡(luò)ON/OFF流量模型進(jìn)行了深入研究，同時(shí)哈爾濱工業(yè)大學(xué)的李廣榮[6]等指出網(wǎng)絡(luò)模擬器生成的流量接入真實(shí)網(wǎng)絡(luò)環(huán)境存在虛擬網(wǎng)卡流量大小受限的問(wèn)題。Sommers和Barford提出了一種自配置網(wǎng)絡(luò)流量生成工具Harpoon[7]， Abdo[8]等人基于FPGA實(shí)現(xiàn)了隨機(jī)快速分布網(wǎng)絡(luò)數(shù)據(jù)的模擬，這兩種工具生成的流量真實(shí)性強(qiáng)，但是部署的數(shù)量和位置受限。吉林大學(xué)的劉曜[9]使用多線程技術(shù)模擬了不同協(xié)議的網(wǎng)絡(luò)背景流量，并應(yīng)用于入侵檢測(cè)系統(tǒng)，不過(guò)使用多線程模擬多客戶端無(wú)法保證網(wǎng)絡(luò)空間隔離性和IP地址的真實(shí)性，同時(shí)在部署方面需要借助資源消耗較高的虛擬機(jī)[10]。

綜上，采用如NS2網(wǎng)絡(luò)模擬器的方式節(jié)點(diǎn)部署靈活、真實(shí)性較強(qiáng)，但是流量大小受限；采用流量生成工具的方式，流量真實(shí)性較強(qiáng)，但是部署流量生成工具的數(shù)量和位置受限；采用多線程的方式，資源消耗小，但是流量真實(shí)性不足且部署不方便；采用虛擬機(jī)的方法，流量真實(shí)性較強(qiáng)，但因其資源消耗大、資源粒度粗，部署節(jié)點(diǎn)的數(shù)量和位置受限。而許多網(wǎng)絡(luò)攻防實(shí)驗(yàn)需要構(gòu)建真實(shí)的網(wǎng)絡(luò)環(huán)境，其中背景流量節(jié)點(diǎn)需要滿足大規(guī)?？焖偕杉办`活部署的特性。為解決上述問(wèn)題，本文提出了一種基于虛擬化的輕量級(jí)背景流量節(jié)點(diǎn)生成及部署算法，其中部署算法采用一種基于資源量的目標(biāo)流量映射、基于最短路由的背景流量應(yīng)用添加、基于最少通信代價(jià)的節(jié)點(diǎn)映射的三階段算法，根據(jù)實(shí)際網(wǎng)絡(luò)攻防實(shí)驗(yàn)的需求動(dòng)態(tài)靈活快速地部署大規(guī)模背景流量節(jié)點(diǎn)。

1 輕量級(jí)背景流量節(jié)點(diǎn)生成

背景流量是指在真實(shí)網(wǎng)絡(luò)環(huán)境中由網(wǎng)絡(luò)應(yīng)用程序生成的流量，在網(wǎng)絡(luò)攻擊行為中添加背景流量，可以提高網(wǎng)絡(luò)行為模擬結(jié)果的真實(shí)性和準(zhǔn)確性。輕量級(jí)背景流量節(jié)點(diǎn)是指將采用自相似流量模型編寫的網(wǎng)絡(luò)應(yīng)用加載到輕量級(jí)虛擬化容器而形成的節(jié)點(diǎn)，其生成的背景流量滿足網(wǎng)絡(luò)的自相似性。本文采用輕量級(jí)背景流量節(jié)點(diǎn)模擬普通用戶，使用輕量級(jí)虛擬化容器技術(shù)可以滿足背景流量節(jié)點(diǎn)大規(guī)?？焖偕伞㈧`活部署、資源消耗小等特性。

1.1 典型流量模型

真實(shí)的網(wǎng)絡(luò)流量是具有自相似的，流量建模的目標(biāo)是能夠更好地反映實(shí)際流量的特征并且用于更好地指導(dǎo)實(shí)際的應(yīng)用。當(dāng)前，網(wǎng)絡(luò)流量公認(rèn)的、最重要的統(tǒng)計(jì)特征是大時(shí)間尺度下的自相似性和小時(shí)間尺度下的多分形性。本文采用Pareto分布與逆高斯(Inverse Gaussian)分布相混合的ON/OFF過(guò)程模型來(lái)體現(xiàn)自相似性的特點(diǎn)。

基于Pareto分布的概率密度函數(shù)為

(1)

其中，α為形狀參數(shù)，表示Pareto分布的重尾程度，α取值越小，重尾的程度越強(qiáng)；β為最小截止參數(shù)，表示該隨機(jī)變量能夠取到的最小值。

基于InverseGaussian分布的概率密度函數(shù)為

x>0,μ>0,λ>0

(2)

其中，Wald分布是μ=λ=1時(shí)逆高斯分布的特例。

生成的背景流量來(lái)自于網(wǎng)絡(luò)應(yīng)用，在應(yīng)用層中，會(huì)綜合考慮多種流量特性參數(shù)。在OFF階段，模擬客戶處于空閑狀態(tài)，在ON階段，模擬客戶對(duì)WEB文件進(jìn)行訪問(wèn)，ON和OFF的時(shí)間分布服從Pareto分布。在ON階段又進(jìn)一步劃分為若干文件傳輸階段和文件暫停階段。暫停階段是模擬用戶瀏覽一頁(yè)完整的WEB頁(yè)面時(shí)，傳輸組成該頁(yè)面的各個(gè)對(duì)象之間的間隔時(shí)間。文件請(qǐng)求的大小服從Pareto分布，每次請(qǐng)求頁(yè)面的數(shù)量服從InverseGaussian分布，瀏覽頁(yè)面的時(shí)間服從重尾分布。

將上述混合分布的流量模型應(yīng)用于容器節(jié)點(diǎn)中，產(chǎn)生的網(wǎng)絡(luò)流量服從網(wǎng)絡(luò)的自相似性，從而保證流量的真實(shí)性。

1.2 背景流量節(jié)點(diǎn)生成方案

針對(duì)背景流量節(jié)點(diǎn)大規(guī)?？焖俨渴鸬奶匦裕疚氖褂幂p量級(jí)虛擬化技術(shù)。背景流量節(jié)點(diǎn)需要保證網(wǎng)絡(luò)資源的隔離，保證資源限制和進(jìn)程控制，因此選取Docker作為背景流量節(jié)點(diǎn)，使用Docker的Namespace和Cgroups技術(shù)。

Namespace是網(wǎng)絡(luò)名字空間，可以保證網(wǎng)絡(luò)資源的隔離。通過(guò)將網(wǎng)絡(luò)應(yīng)用集成到容器中，可以保證背景流量節(jié)點(diǎn)擁有真實(shí)的內(nèi)核協(xié)議棧，IP地址等網(wǎng)絡(luò)資源，可以作為真實(shí)的客戶端和服務(wù)端來(lái)大規(guī)模的生成。

Cgroups保證容器的資源限制和進(jìn)程控制。通過(guò)限制、隔離進(jìn)程組所使用的CPU、內(nèi)存等物理資源，可以保證背景流量節(jié)點(diǎn)資源的高效利用。通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，可以保證背景流量的產(chǎn)生、掛起以及恢復(fù)操作，同時(shí)使用進(jìn)程管理器可以管理多個(gè)應(yīng)用的同時(shí)運(yùn)行。

流量節(jié)點(diǎn)客戶端和服務(wù)端使用OpenVSwitch來(lái)進(jìn)行底層通信，使用Docker的None網(wǎng)絡(luò)模式與Docker默認(rèn)網(wǎng)絡(luò)模式相比，這樣可以實(shí)現(xiàn)更加靈活復(fù)雜的網(wǎng)絡(luò)。Docker網(wǎng)絡(luò)通信的原理如圖1所示。

背景流量節(jié)點(diǎn)生成的流程如圖2所示。

在圖2中，首先從Docker倉(cāng)庫(kù)拉取核心精簡(jiǎn)鏡像，預(yù)裝編譯環(huán)境，然后判斷節(jié)點(diǎn)類型，如果是客戶端節(jié)點(diǎn)則將應(yīng)用程序加載到容器中，如果是服務(wù)端節(jié)點(diǎn)則配置特定協(xié)議的服務(wù)器，通過(guò)Dockerfile技術(shù)，對(duì)鏡像不斷提交，使用進(jìn)程管理器Supervisor來(lái)對(duì)應(yīng)用進(jìn)行管理，最后生成特定的背景流量節(jié)點(diǎn)。

圖1 Docker網(wǎng)絡(luò)通信原理圖

圖2 背景流量節(jié)點(diǎn)生成流程圖

2 背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法

傳統(tǒng)的背景流量節(jié)點(diǎn)部署主要是通過(guò)將流量產(chǎn)生器接入到目標(biāo)路徑中，或者將使用多線程實(shí)現(xiàn)的網(wǎng)絡(luò)應(yīng)用程序拷貝到虛擬機(jī)中，然后將虛擬機(jī)部署到虛擬網(wǎng)絡(luò)拓?fù)渲小２捎蒙鲜龇椒?，?jié)點(diǎn)部署的數(shù)量和位置受限，無(wú)法滿足大規(guī)模動(dòng)態(tài)靈活部署的要求。因此本文提出了一種三階段的背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法，能滿足大規(guī)模動(dòng)態(tài)靈活部署背景流量節(jié)點(diǎn)的需求。

為了便于說(shuō)明背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法，給出以下定義和描述：

定義1V：V(Nv,Lv,Bv)表示虛擬網(wǎng)絡(luò)拓?fù)?，其中Nv表示虛擬網(wǎng)絡(luò)節(jié)點(diǎn)集合，Lv表示虛擬網(wǎng)絡(luò)鏈路集合，Bv表示目標(biāo)流量路徑集合。

定義2P：P(Np,Lp)表示底層物理網(wǎng)絡(luò)拓?fù)?，其中Np表示物理服務(wù)器節(jié)點(diǎn)集合，Lp表示物理網(wǎng)絡(luò)鏈路集合。

定義3M：M(Sm,Rm)表示虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)映射關(guān)系，其中Sm表示虛擬節(jié)點(diǎn)映射到物理服務(wù)器的編號(hào)列表，Rm表示物理服務(wù)器剩余資源列表。

定義4D：D(Cd,Fd,Qd)表示流量節(jié)點(diǎn)信息，其中Cd表示流量節(jié)點(diǎn)消耗的資源，F(xiàn)d表示流量節(jié)點(diǎn)生成的流量大小，Qd表示服務(wù)端節(jié)點(diǎn)承載流量的能力。

三階段的背景流量節(jié)點(diǎn)部署算法原理如圖3所示。

圖3表示分別在目標(biāo)路徑1到4以及4到6上部署背景流量的結(jié)果。目標(biāo)路徑定義為終端路由器之間的路徑，V表示虛擬拓?fù)?，M表示虛擬映射關(guān)系，P表示物理拓?fù)?。圖3左半部分表示未部署背景流量節(jié)點(diǎn)的虛擬網(wǎng)絡(luò)拓?fù)浼暗讓佑成浞桨福瑘D3右半部分表示部署背景流量節(jié)點(diǎn)后的虛擬網(wǎng)絡(luò)拓?fù)湟约暗讓佑成浞桨浮?/p>

本文提出的背景流量節(jié)點(diǎn)部署算法分為三階段，按照先后順序執(zhí)行。算法輸入是四要素(V、P、M、D)，輸出是背景流量節(jié)點(diǎn)的部署方案。

三階段背景流量節(jié)點(diǎn)部署算法原理描述如下：

步驟1 根據(jù)流量節(jié)點(diǎn)信息D，對(duì)用戶需要的虛擬網(wǎng)絡(luò)V的目標(biāo)流量Bv進(jìn)行映射，計(jì)算出所需的流量節(jié)點(diǎn)數(shù)量以及消耗的資源。

步驟2 根據(jù)最短路由策略確定背景流量應(yīng)用在虛擬網(wǎng)絡(luò)V中添加的位置，同時(shí)保證應(yīng)用添加數(shù)量最少。

步驟3 根據(jù)M將流量節(jié)點(diǎn)映射到物理拓?fù)銹中，如果映射到不屬于M對(duì)應(yīng)的服務(wù)器，則需要計(jì)算到原來(lái)服務(wù)器的隧道連接，同時(shí)保證通信代價(jià)最少。

圖3 背景流量節(jié)點(diǎn)部署算法原理圖

2.1 基于資源量的目標(biāo)流量映射算法

為滿足流量的多樣性，本文實(shí)現(xiàn)了HTTP、FTP、TFTP、SMTP、DNS、SSH、TELNET、NTP八種協(xié)議的客戶端和服務(wù)器節(jié)點(diǎn)，并且提出了一種基于資源量的目標(biāo)流量映射算法(resource mapping algorithm，RMA)。

資源量是指流量節(jié)點(diǎn)消耗的CPU和內(nèi)存。首先統(tǒng)計(jì)每種協(xié)議流量節(jié)點(diǎn)的資源量，取結(jié)果中資源量最小的節(jié)點(diǎn)作為標(biāo)準(zhǔn)流量節(jié)點(diǎn)，記為標(biāo)準(zhǔn)資源量{CPU0,MEM0}。

流量節(jié)點(diǎn)分為客戶端和服務(wù)端兩種類型，需要統(tǒng)計(jì)每種協(xié)議流量節(jié)點(diǎn)產(chǎn)生的流量大小以及每種協(xié)議的服務(wù)端所能承載的最大流量，目標(biāo)流量若超過(guò)最大流量，則需要對(duì)目標(biāo)流量進(jìn)行拆分，保證服務(wù)端能正常運(yùn)行。

基于資源量的目標(biāo)流量映射算法首先判斷目標(biāo)流量是否超過(guò)服務(wù)端最大流量，如果超過(guò)則需要對(duì)流量進(jìn)行拆分；然后通過(guò)目標(biāo)流量計(jì)算出需要的流量節(jié)點(diǎn)數(shù)量，根據(jù)節(jié)點(diǎn)數(shù)量計(jì)算出節(jié)點(diǎn)消耗的資源量?；谫Y源量的目標(biāo)流量映射算法RMA描述如下：

Input

虛擬拓?fù)銿、流量節(jié)點(diǎn)信息D、目標(biāo)流量路徑集合Bv

Output

流量節(jié)點(diǎn)的數(shù)量、流量節(jié)點(diǎn)消耗的資源

BEGIN

background←NULL //構(gòu)建目標(biāo)流量的路徑列表

for link inBvdo

if link對(duì)應(yīng)的流量大小>Qddo

根據(jù)Qd對(duì)目標(biāo)流量進(jìn)行切分，添加到background中

else直接添加到background中

end if

end for

for link in background do

Client_amount = link對(duì)應(yīng)的流量大小/Fd

Server_amount=1

Client_resource=Client_amount×Cd中客戶端資源量

Server_resource=Server_amount×Cd中服務(wù)端資源量

end for

END

2.2 基于最短路由的背景流量應(yīng)用添加算法

在虛擬路徑上添加背景流量最簡(jiǎn)單的方法是將每條路徑兩邊的節(jié)點(diǎn)都綁定一對(duì)流量節(jié)點(diǎn)，一個(gè)作為流量的發(fā)送端，一個(gè)作為流量的接受端。在網(wǎng)絡(luò)行為模擬中，每一對(duì)流量節(jié)點(diǎn)都需要消耗一定的系統(tǒng)資源。對(duì)于小規(guī)模網(wǎng)絡(luò)拓?fù)洌朔椒óa(chǎn)生的資源開銷可以接受，但對(duì)于大規(guī)模的網(wǎng)絡(luò)，此開銷是難以接受的。所以必須保證在目標(biāo)鏈路上存在一定流量的基礎(chǔ)上，減少添加應(yīng)用程序的個(gè)數(shù)。

本文使用基于最短路由的應(yīng)用添加算法(shortest routing application adding algorithm， SR-AAA)。數(shù)據(jù)包從發(fā)送端到接收端沿著最短路徑傳輸。如果在發(fā)送端和接收端添加流量節(jié)點(diǎn)，則數(shù)據(jù)包沿著最短路徑到達(dá)接收端，途中經(jīng)過(guò)的每條鏈路都會(huì)達(dá)到目標(biāo)流量，這樣與每條鏈路兩端都添加流量節(jié)點(diǎn)相比，不僅僅可以減少應(yīng)用程序的個(gè)數(shù)還會(huì)減少流量節(jié)點(diǎn)產(chǎn)生的系統(tǒng)開銷。

虛擬拓?fù)洳捎没谧疃搪窂降撵o態(tài)路由。傳統(tǒng)的路由計(jì)算方法Dijkstra算法需要遍歷每一對(duì)節(jié)點(diǎn)，算法的時(shí)間復(fù)雜度高。本文使用一種基于終端路由器洪范傳播的路由算法。該算法通過(guò)遍歷虛擬網(wǎng)絡(luò)拓?fù)涞慕K端路由器，采用廣度優(yōu)先搜索，將終端路由器本身路由表以洪范方式發(fā)送到網(wǎng)絡(luò)中的其他路由器，每個(gè)路由器在收到洪范消息時(shí)將得到的路由信息加入到自身路由表中，最終使每個(gè)路由器都正確的保存了路由信息。

基于最短路由的背景流量應(yīng)用添加算法SR-AAA的描述如下：

Input

虛擬拓?fù)銿、目標(biāo)流量路徑集合Bv

Output

流量節(jié)點(diǎn)的掛載位置、流量節(jié)點(diǎn)間的路由信息

BEGIN

v←根據(jù)V生成虛擬拓?fù)鋱D

RT←v中的終端路由器

RI←NULL//路由信息

forrinRTdo

把與路由器r直連的主機(jī)路由加入到r.RI中

end for

forrinRTdo

BFS(r，v)//對(duì)r進(jìn)行BFS并將本身RI發(fā)送到遇到的新路由器r_n

r_n.RI+=r.RI

end for

for Link inBvdo

Client_position = Link.src

Server_position = Link.dst

Client路由信息 = Client_position.RI

Server路由信息 =Server_position.RI

end for

END

2.3 基于最少通信代價(jià)的節(jié)點(diǎn)映射算法

通信代價(jià)定義為物理服務(wù)器的使用數(shù)量以及真實(shí)的路由跳數(shù)。最小通信代價(jià)即要保證背景流量節(jié)點(diǎn)映射所需的服務(wù)器數(shù)量最少且底層路由跳數(shù)最少。

通過(guò)目標(biāo)流量映射，確定了所需的流量節(jié)點(diǎn)數(shù)量以及消耗的資源。通過(guò)背景流量應(yīng)用添加算法，確定了流量節(jié)點(diǎn)在虛擬拓?fù)渲械膾燧d位置。部署算法的第三階段是將流量節(jié)點(diǎn)映射到底層的物理網(wǎng)絡(luò)。

虛擬路由器掛載的流量節(jié)點(diǎn)應(yīng)當(dāng)盡量映射到此虛擬路由器對(duì)應(yīng)的物理服務(wù)器，因此本文使用基于貪心算法的背包模型來(lái)實(shí)現(xiàn)背景流量節(jié)點(diǎn)映射。

如果虛擬路由器掛載的流量節(jié)點(diǎn)不能夠完全映射到此虛擬路由器對(duì)應(yīng)的物理服務(wù)器，則需要進(jìn)行二次映射。二次映射需要保證路由跳數(shù)最少，因此本文采取對(duì)第一次未映射成功的流量節(jié)點(diǎn)分別使用廣度優(yōu)先搜索策略，將其映射到離原來(lái)的服務(wù)器路由跳數(shù)最少的目標(biāo)服務(wù)器。

基于最少通信代價(jià)的節(jié)點(diǎn)映射算法(least communication cost node mapping algorithm，LLC-NMA)描述如下：

Input

虛擬拓?fù)銿、物理拓?fù)銹、虛擬網(wǎng)絡(luò)映射關(guān)系M、背景流量節(jié)點(diǎn)掛載位置、背景流量節(jié)點(diǎn)消耗資源、流量節(jié)點(diǎn)間的路由信息

Output

背景流量節(jié)點(diǎn)的底層物理映射結(jié)果

BEGIN

v←根據(jù)V生成虛擬拓?fù)鋱D

p←根據(jù)P生成物理拓?fù)鋱D

need_dict←NULL

for link in background do

client =M.link.src

server =M.link.dst

need_dict.client+=(resource, amount)

need_dict.server+=(resource, amount)

end for

need_to_map = need_dict

forp_node in need_dict do

Sort (need_dict.p_node)

maped.p_node = NULL

forv_node in need_dict.p_node do

ifRm.p_node>v_node do

maped.p_node +=v_node

need_to_map.p_node-=v_node

end if

end for

end for

for node in need_to_map do

bfs(p, node)

p_node = 將背景流量節(jié)點(diǎn)放入到離node最近的服務(wù)器中

Vxlan += (node,p_node) //添加遠(yuǎn)程隧道并對(duì)背景流量節(jié)點(diǎn)添加路由信息

maped.p_node += node

need_to_map.p_node -= node

end for

3 實(shí)驗(yàn)及結(jié)果說(shuō)明

為驗(yàn)證背景流量節(jié)點(diǎn)的真實(shí)性和背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法的有效性，總共進(jìn)行兩組測(cè)試。背景流量節(jié)點(diǎn)真實(shí)性測(cè)試，用來(lái)表明使用本文的背景流量模型生成的網(wǎng)絡(luò)流量符合自相似性；背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法測(cè)試，用來(lái)表明使用輕量級(jí)虛擬化容器生成的流量節(jié)點(diǎn)資源消耗小，生成速度快，可以滿足大規(guī)模部署，以及驗(yàn)證算法運(yùn)行結(jié)果的正確性與可行性。同時(shí)使用單個(gè)輕量級(jí)背景流量節(jié)點(diǎn)來(lái)模擬單個(gè)普通用戶。實(shí)驗(yàn)環(huán)境如表1所示。

表1 實(shí)驗(yàn)環(huán)境配置表

3.1 背景流量節(jié)點(diǎn)真實(shí)性測(cè)試

本文使用單個(gè)輕量級(jí)背景流量節(jié)點(diǎn)來(lái)模擬單個(gè)普通用戶。因此采用單個(gè)HTTP協(xié)議背景流量客戶端節(jié)點(diǎn)向服務(wù)端節(jié)點(diǎn)發(fā)送WEB請(qǐng)求，在服務(wù)端節(jié)點(diǎn)捕獲生成的網(wǎng)絡(luò)流量，結(jié)果如圖4中柱形條所示。

采用單個(gè)普通用戶訪問(wèn)天貓www.tmall.com的官方主頁(yè)，捕獲生成的網(wǎng)絡(luò)流量，結(jié)果如圖4中的曲線所示。

圖4 流量結(jié)果對(duì)比圖

從圖4中可以看出，單個(gè)普通用戶訪問(wèn)天貓主頁(yè)生產(chǎn)的流量滿足自相似性，使用單個(gè)背景流量節(jié)點(diǎn)生成的流量在網(wǎng)絡(luò)特性上也滿足網(wǎng)絡(luò)的自相似性，從而保證流量的真實(shí)性。

3.2 背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法測(cè)試

實(shí)驗(yàn)使用的KVM虛擬機(jī)節(jié)點(diǎn)和Docker容器節(jié)點(diǎn)配置相同，如表1所示。兩種客戶端節(jié)點(diǎn)生成的HTTP、SMTP、FTP協(xié)議流量大小分別為400、300、400，單位kB/s。服務(wù)器端節(jié)點(diǎn)最大承載流量分別為20、15、30，單位MB/s。

通過(guò)docker stats命令統(tǒng)計(jì)，本文三種協(xié)議的背景流量客戶端節(jié)點(diǎn)的資源量分別為(0.02MB, 40MB)、(0.02MB, 30MB)、(0.04MB, 40MB)，服務(wù)端節(jié)點(diǎn)的資源量分別為(0.8MB,500MB)、(0.6MB, 300MB)、(1.0MB, 500MB)。標(biāo)準(zhǔn)客戶端資源量為(0.01MB, 20MB)。根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法，得知三種協(xié)議客戶端節(jié)點(diǎn)分別消耗2、2、4個(gè)標(biāo)準(zhǔn)資源量，服務(wù)端節(jié)點(diǎn)分別消耗40、30、50個(gè)標(biāo)準(zhǔn)資源量。通過(guò)top命令進(jìn)行統(tǒng)計(jì)，三種協(xié)議虛擬機(jī)客戶端節(jié)點(diǎn)分別消耗20、20、20個(gè)標(biāo)準(zhǔn)資源量，服務(wù)端節(jié)點(diǎn)分別消耗50、40、50個(gè)標(biāo)準(zhǔn)資源量。

背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法實(shí)驗(yàn)拓?fù)淙鐖D5所示。

圖5 背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法實(shí)驗(yàn)拓?fù)鋱D

在圖5的實(shí)驗(yàn)拓?fù)渲校枰谀繕?biāo)路徑2到5上分別生成40、70、100(單位MB/s)的混合協(xié)議背景流量，HTTP、SMTP、FTP流量大小比例關(guān)系為2:1:2，根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法，生成40、70、100(單位MB/s)的混合協(xié)議背景流量，需要的HTTP、SMTP、FTP協(xié)議客戶端節(jié)點(diǎn)數(shù)量分別為(40,70,100) 、(27,47,66) 、(40,70,100)，服務(wù)端節(jié)點(diǎn)數(shù)量分別為(1,2,2) 、(1,1,2) 、(1,1,2)。實(shí)驗(yàn)所使用的三臺(tái)服務(wù)器分別剩余600、2400、2800個(gè)標(biāo)準(zhǔn)資源量。

常見(jiàn)的三種背景流量節(jié)點(diǎn)部署方案包括隨機(jī)部署、貪心部署以及虛擬機(jī)部署。隨機(jī)部署指的是背景流量節(jié)點(diǎn)隨機(jī)的挑選服務(wù)器進(jìn)行動(dòng)態(tài)部署；貪心部署指的是背景流量節(jié)點(diǎn)每次選擇剩余資源最大的服務(wù)器進(jìn)行動(dòng)態(tài)部署；虛擬機(jī)部署指的是使用虛擬機(jī)作為背景流量節(jié)點(diǎn)來(lái)進(jìn)行三階段動(dòng)態(tài)部署算法。

下面將使用三階段背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法與常見(jiàn)的三種部署方案從部署結(jié)果進(jìn)行比較，如表2所示。表中的數(shù)字表示三種協(xié)議節(jié)點(diǎn)的數(shù)量。

表2 節(jié)點(diǎn)部署方案

根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法以及表2結(jié)果可以看出，在目標(biāo)流量大小為100MB/s時(shí)，將目標(biāo)流量切割為5份。其中，(100、40、80)表示HTTP、SMTP、FTP協(xié)議客戶端節(jié)點(diǎn)數(shù)量分別為100、40、80個(gè)。

下面將三階段背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法與常見(jiàn)的三種部署方案從隧道條數(shù)、路由跳數(shù)、部署時(shí)間三個(gè)方面進(jìn)行比較，結(jié)果如圖6所示。

根據(jù)圖6中的結(jié)果可知，隨機(jī)部署方案：優(yōu)點(diǎn)是算法速度快，每臺(tái)服務(wù)器隨機(jī)部署一定數(shù)量的背景流量節(jié)點(diǎn)，但是使用的服務(wù)器數(shù)量多，沒(méi)有考慮路由跳數(shù)，且隧道條數(shù)多，網(wǎng)絡(luò)通信代價(jià)高。

(a) 隧道數(shù)量比較圖 (b) 路由跳數(shù)比較圖 (c) 部署時(shí)間比較圖

貪心部署方案：優(yōu)點(diǎn)是使用的服務(wù)器數(shù)量最少，但是沒(méi)有考慮底層的路由跳數(shù)，且隧道條數(shù)多，網(wǎng)絡(luò)通信代價(jià)高。

三階段背景流量節(jié)點(diǎn)動(dòng)態(tài)部署方案：優(yōu)點(diǎn)為充分考慮到物理拓?fù)涞倪B接關(guān)系，優(yōu)先將節(jié)點(diǎn)映射到其對(duì)應(yīng)的服務(wù)器中，如果對(duì)應(yīng)的服務(wù)器資源不夠，則會(huì)映射到離原來(lái)服務(wù)器跳數(shù)最少的服務(wù)器，網(wǎng)絡(luò)通信代價(jià)低、部署靈活且執(zhí)行速度快。

虛擬機(jī)節(jié)點(diǎn)部署方案：優(yōu)點(diǎn)為虛擬機(jī)真實(shí)，可以保證完全隔離的網(wǎng)絡(luò)環(huán)境且安全性高，但是不能滿足大規(guī)模靈活快速部署的需求，并且在部署的數(shù)量和位置上都會(huì)受限。

通過(guò)在目標(biāo)路徑2到5上部署100MB/s的混合協(xié)議背景流量，分別從內(nèi)存消耗量、CPU使用率兩方面對(duì)背景流量節(jié)點(diǎn)和KVM虛擬機(jī)節(jié)點(diǎn)的部署方案進(jìn)行比較，結(jié)果如圖7所示。

(a)內(nèi)存消耗量比較圖 (b)CPU使用率比較圖

從上述結(jié)果中可以看出，使用輕量級(jí)虛擬機(jī)容器作為背景流量部署方案，在系統(tǒng)資源消耗方面，明顯低于KVM虛擬機(jī)節(jié)點(diǎn)。雖然KVM虛擬機(jī)采用外置磁盤快照生成，但在啟動(dòng)時(shí)間上，輕量級(jí)虛擬化容器明顯快于KVM虛擬機(jī)，因此使用輕量級(jí)虛擬化容器作為背景流量節(jié)點(diǎn)的部署是一種很好的方案。

圖5中的節(jié)點(diǎn)2到節(jié)點(diǎn)5的目標(biāo)路徑上部署40MB/s的HTTP協(xié)議流量。根據(jù)背景流量節(jié)點(diǎn)動(dòng)態(tài)部署算法的結(jié)果，測(cè)試算法的可行性。

啟動(dòng)背景流量節(jié)點(diǎn)同時(shí)使用nload命令統(tǒng)計(jì)目標(biāo)路徑流量大小，實(shí)驗(yàn)結(jié)果如表3所示。

表3 HTTP協(xié)議流量大小統(tǒng)計(jì)表

從表3可以看出目標(biāo)鏈路生成的流量大小符合預(yù)期目標(biāo)流量大小，驗(yàn)證了部署算法的可行性。

4 結(jié) 論

本文通過(guò)對(duì)輕量級(jí)背景流量節(jié)點(diǎn)生成以及部署算法的研究，提出了一種使用輕量級(jí)虛擬化技術(shù)生成背景流量節(jié)點(diǎn)的方案及一種流量節(jié)點(diǎn)動(dòng)態(tài)部署算法。實(shí)驗(yàn)結(jié)果證明，使用混合分布的背景流量模型生成的背景流量滿足自相似性，使用輕量級(jí)虛擬化容器生成流量節(jié)點(diǎn)與采用NS2網(wǎng)絡(luò)模擬器的方式相比，流量大小不會(huì)受限；與采用將流量生成工具或者多線程應(yīng)用程序整合到虛擬機(jī)的部署方式相比，資源消耗更小，啟動(dòng)時(shí)間更快，節(jié)點(diǎn)部署的規(guī)模更大更靈活。最后通過(guò)算法運(yùn)行結(jié)果以及統(tǒng)計(jì)目標(biāo)鏈路流量大小證明了動(dòng)態(tài)部署算法的正確性與可行性。

[ 1] Pietro A D, Vasseur J P, Cruz Mota J. Verifying network attack detector effectiveness. US patent: 20160028753, 2016

[ 2] Qian Y X, Guan X, Jiang M, et al. Modeling and generating realistic background traffic by hybrid approach.WirelessCommunicationOverZigbeeforAutomotiveInclinationMeasurementChinaCommunications, 2015,12(10): 147-157

[ 3] 李?yuàn)渚? 李秀坤. NS2平臺(tái)的TCP/IP網(wǎng)絡(luò)擁塞控制算法仿真. 實(shí)驗(yàn)室研究與探索, 2015, 34(2):81-83

[ 4] 鄒天際. 網(wǎng)絡(luò)模擬中背景流量模型的研究:[碩士論文]. 哈爾濱: 哈爾濱工業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 2010. 16-31

[ 5] 張賓, 楊家海, 吳建平. Internet流量模型分析與評(píng)述. 軟件學(xué)報(bào), 2011, 22(1):115-131

[ 6] 李廣榮, 王琨, 張兆心. 基于NS-3構(gòu)建網(wǎng)絡(luò)環(huán)境的虛實(shí)結(jié)合技術(shù)的研究. 高技術(shù)通訊, 2015, 25(7):685-693

[ 7] Sommers J, Barford P. Self-configuring network traffic generation. In: Proceedings of the ACM SIGCOMM Conference on Internet Measurement 2004, Taormina, Sicily, Italy, 2004. 68-81

[ 8] Abdo A, Hall T. FPGA-based testbed for packet switch performance measurement. In: Proceedings of the Conference Record-IEEE Instrumentation and Measurement Technology Conference, San Francisco, USA, 2006. 347-352

[ 9] 劉曜. 用于測(cè)試入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)背景流量模擬:[碩士論文]. 長(zhǎng)春：吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 2009. 22-34

[10] 康辰, 朱志祥. 基于云計(jì)算技術(shù)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái). 西安郵電大學(xué)學(xué)報(bào), 2013, 18(3):87-91

doi：10.3772/j.issn.1002-0470.2016.12.007

Study of an algorithm for generation and deployment of background traffic nodes based on virtualization

Xie Weichong*, Li Zhengmin**, Dong Kaikun*, Shen Yinghong*

(*School of Computer Science and Technology,Harbin Institute of Technology, Harbin 150001)(**The National Computer Network Emergency Response Technical Team Coordination Center of China, Beijing 100029)

The analysis of network attack and defense was conducted, and aiming at the traditional background traffic simulation technology’s problems in generation and deployment of traffic nodes such as size limitation of background traffic, authenticity limitation of background traffic, and number and position limitations of the tools for background traffic generation and deployment, an algorithm for generation and deployment of lightweight background traffic nodes based on virtualization was proposed. This is a three-phase algorithm that consists of the target traffic mapping based on resource amount, the adding of background traffic application based on the shortest route, and the node mapping based on the least communication cost, aiming to solve the problems of massive, rapid generation of background traffic nodes and flexible deployment of them in network attack and defense experiments. The experimental results show that using the proposed lightweight background traffic nodes to generate the background traffic can satisfy the self-similarity of networks, the small consumption of resource, the fast starting speed, and the massive, flexible and quick deployment according to the actual network attack and defense experiment.

background traffic, Docker, self-similarity, dynamic deployment, virtual mapping

10.3772/j.issn.1002-0470.2016.12.006

①國(guó)家科技支撐計(jì)劃(2012BAH45B01)，國(guó)家自然科學(xué)基金(61100189,61370215,61370211)和國(guó)家信息安全計(jì)劃(2014A085，2015A072)資助項(xiàng)目。

2016-04-20)

②男，1991年生，碩士生；研究方向：網(wǎng)絡(luò)安全；E-mail: xc123hit@gmail.com

③通訊作者，E-mail: kaikun.dong@gmail.com