王碩，柏軍，王佰玲，張旭，劉紅日

基于時間壓縮的流量加速回放方法

王碩，柏軍，王佰玲，張旭，劉紅日

（哈爾濱工業(yè)大學（威海）計算機科學與技術學院，山東 威海 264209）

隨著網絡流量的激增，在虛擬環(huán)境下對流量進行回放面臨著許多問題。為了滿足回放過程中流量完整性和準確性的需求，提出了一種基于時間壓縮的流量加速回放方法，實現(xiàn)了在虛擬環(huán)境下對真實網絡流量的加速回放。該方法優(yōu)先將時間間隔集合中最大的時間間隔進行壓縮，對間隔較小的時間減少壓縮，從而減少時間壓縮造成的單位時間流量猛增現(xiàn)象，進而降低流量的丟包率。從丟包率、時間間隔誤差、相似度3方面對其效果進行衡量。實驗表明，與等比壓縮方法相比，該方法在相似度上表現(xiàn)較差，但有著較低的丟包率和時間間隔誤差。

網絡安全；流量回放；最大優(yōu)先；時間間隔

1 引言

隨著網絡技術的不斷發(fā)展，網絡空間變得更加復雜，網絡上的攻擊類型不斷演化，安全問題隨之變得更加嚴峻。網絡安全在所有類型的網絡中扮演著至關重要的角色。即使使用多種類型的網絡安全系統(tǒng)，攻擊仍時有發(fā)生。當前，網絡安全缺乏一種可以提供可控環(huán)境的實驗平臺，網絡靶場（CR，cyber range）應運而生。

網絡靶場是一類網絡系統(tǒng)的仿真平臺，服務于網絡攻防、訓練、網絡攻防產品評測和網絡新技術驗證，用以提升和加強網絡系統(tǒng)的安全性、穩(wěn)定性和其他性能。網絡靶場可以檢驗新型網絡技術、進行網絡攻防演練，并可以提供安全且被隔離的虛擬網絡環(huán)境，可以制造出各種可能遭遇的網絡攻擊場景及模擬基本的用戶行為來還原真實的網絡環(huán)境。通過這種環(huán)境，實驗人員可以驗證某系統(tǒng)的安全性、新的攻擊類型、入侵檢測系統(tǒng)的防御能力等。各國高度重視網絡靶場建設，將其作為支撐網絡空間安全技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估的重要手段[1-3]。

林肯自適應實時信息保證測試平臺（LARIAT[4]）是一個開發(fā)完善的網絡靶場，它被設計為可部署的測試平臺，該平臺通過生成后臺流量，產生真實的攻擊并驗證成功或失敗來確保信息安全。英國的Breaking Point[5]商用設備在網絡靶場中的主要用途是模擬實際網絡的流量，其能夠對OSI模型中的7層都可進行配置來生成流量。該設備支持150多種流行的7層Web應用程序（如Facebook和Google地圖）的流量生成。日本的starBed[6]系統(tǒng)主要用于評估真實場景下的新技術，該系統(tǒng)現(xiàn)已發(fā)展到了starBed3，starBed3將研究領域擴展到了安全性和服務質量。在網絡靶場中，一項重要的技術是網絡流量、服務與用戶行為模擬，該技術是從用戶流量行為的角度模擬真實網絡環(huán)境中的流量行為。

據(jù)統(tǒng)計，近5年，全球流量增長了近三倍，從2005年到2021年將增長127倍。而且每天流量最大時段的增長幅度更大，在2016年至2021年，繁忙時段的互聯(lián)網流量將增長4.6倍。到2021年，全球固定寬帶速度（53.0 Mbit/s）將幾乎達到2016年（27.5 Mbit/s）的兩倍[7]。流量的劇增給真實的網絡環(huán)境和應用系統(tǒng)帶來了很大的挑戰(zhàn)。對于繁忙時的網絡空間性能測試，可以對流量進行加速回放以應對未來忙時劇增的網絡流量。如何在靶場中產生可控的流量成為一個值得研究的問題。流量的加速回放可用于軟硬件產品的測壓，發(fā)現(xiàn)系統(tǒng)瓶頸。因此，流量的加速回放具有很高的研究價值和廣闊的應用前景。

一些成熟回放工具的加速回放功能主要通過控制帶寬、發(fā)包數(shù)量和時間等。通過控制時間進行加速的方式主要是將數(shù)據(jù)包之間的時間間隔進行等比壓縮。這種方法會導致原本密集（發(fā)包量大）的地方變得更密集，從而導致回放過程中產生丟包，損失回放的完整性。為此，本文提出了一種基于時間壓縮的流量加速方法。通過優(yōu)先將時間間隔較大的進行壓縮，來實現(xiàn)對整體時間的壓縮，該方法可以有效降低加速過程中的丟包率和時間間隔誤差。

2 相關工作

網絡流量生成器是網絡和安全領域中的重要工具[8-9]，可以在硬件和軟件平臺上實現(xiàn)。在硬件平臺更準確，可以實現(xiàn)更好的性能，但是，源代碼封閉并且在專用的高性能硬件上實現(xiàn)網絡流量生成的成本高[10]。軟件平臺上生成流量常用的方法可分為模擬生成流量和回放已有流量。

2.1 流量生成研究

目前比較成熟的流量生成工具主要有D-ITG、IPerf和Netperf。D-ITG能夠在數(shù)據(jù)包級別上生成流量，控制發(fā)送時間和數(shù)據(jù)包大小，該工具支持IPv4和IPv6流量生成，并且能夠在網絡層、傳輸層和應用程序層生成流量。D-ITG簡單地產生網絡流量，通常用來測試網絡設備的壓力。IPerf和Netperf主要通過生成數(shù)據(jù)包來衡量不同類型的網絡性能，可以用于評估網絡的最大吞吐量。Iperf主要用于測量最大TCP和UDP帶寬性能，它允許用戶調整各種參數(shù)和UDP特性，并報告帶寬、時延抖動、數(shù)據(jù)包丟失。Netperf主要關注單向數(shù)據(jù)傳輸和TCP或UDP請求或響應性能。

還有一些學者研究基于模型的流量生成方法，他們通過分析已有流量來提出符合一定特征的流量的方法。例如，Ring[11]等提出了一種基于流的流量生成方法，該方法首先使用3種不同的基于流的預處理方法，以便將流量轉換成連續(xù)性數(shù)據(jù)，然后使用GAN來生成流量，實驗表明3種方法中有兩種方法能夠產生高質量的數(shù)據(jù)。Hammer[12]是一個能夠模擬復雜和動態(tài)的網絡、用戶和服務器行為的端到端的流量模擬器，該工具主要促進產品穩(wěn)定性研究。

2.2 流量回放研究

流量回放方法使用已有的真實流量，通過捕獲、再生成的方式在目標網絡中實現(xiàn)流量的復現(xiàn)。Parry等[13]設計了一個捕獲并回放流量的網絡取證工具，該工具能夠保證回放的數(shù)據(jù)包時序與原始數(shù)據(jù)包一致。Lin等[14]提出了一種多端口流量回放機制，該機制支持設備自動切換在線或離線狀態(tài)。設備捕獲流量時處于在線狀態(tài)，當出現(xiàn)異常流量時切換為離線狀態(tài)，為了有效進行回放，文獻[14]提出了一種二分搜索算法來解決由有效載荷異常和過載引起的問題。Hussain等[15]了提出一種將網絡攻擊通過可控的方式回放到測試床的方法，該方法分析、檢測并捕獲旁路流量中的攻擊流量，然后將該流量回放到一臺或多臺機器中，用于模擬攻擊者行為。Li等[16]設計了一種面向虛擬網絡的流量回放方法，該方法首先計算虛擬網絡拓撲與真實網絡拓撲的相似性，從而尋找真實網絡流量與虛擬拓撲網絡的最佳映射方法，確保拓撲相似性最大，實驗表明，該方法能夠在虛擬網絡中較好地完成流量回放任務。Chu等[17]設計了一個面向交互式網絡場景再現(xiàn)的流速控制系統(tǒng)，實驗測試了真實網絡流量在不同網絡環(huán)境中流速控制方法的效果，并從平均誤差以及誤差方差等方面對系統(tǒng)的控制性能進行了分析。

2.3 流量的加速回放研究

對于加速流量回放問題，現(xiàn)有的研究較少，主要的工具有TCPCopy、GoReplay和Tcpreplay。上述工具除了能夠對流量進行加速回放外，還可以將流量按照原始速度回放。TCPCopy是一種請求復制工具，可以把在線流量中所有基于TCP的數(shù)據(jù)包引入測試系統(tǒng)中。該工具可以對在線服務器應用的流量按指定倍數(shù)復制，然后放入測試服務器中，放大引流主要用于線上壓力較小時，通過成倍引流達到對測試服務器進行壓力測試的目的。GoReplay通過控制請求發(fā)送的速度或指定每秒的請求數(shù)來進行加速回放。這兩種加速回放與其他流媒體的方式一樣，都是通過丟棄一部分信息來達到加速的效果，這種方式作用在流量上會導致一些數(shù)據(jù)包的丟失，而丟棄的數(shù)據(jù)包中可能含有重要的信息，因此存在一定的弊端。GoReplay回放的只是HTTP的流量并不支持對UDP流量的加速。Tcpreplay可用于編輯和重放以前捕獲的網絡流量，支持將重放速度修改為指定倍數(shù)，該方法通過等比控制時間間隔來實現(xiàn)回放速度的改變，在密集流量段實現(xiàn)加速時，時間間隔被壓縮，密集流量段會更密集，單位時間發(fā)送的數(shù)據(jù)包過多，從而造成丟包或時間間隔增大等問題。

綜上，可以發(fā)現(xiàn)流量生成技術和流量回放技術的研究已經取得了一定的成果。現(xiàn)有不少優(yōu)秀的流量生成工具，如Iperf 、Netperf和D-ITG；也有一些關于流量回放的工具，如TCPCopy、GoReplay和Tcpreplay，它們不僅有回放的功能也有加速回放的功能。

3 方法介紹

本節(jié)首先介紹流量文件預處理的方法，預處理的目的是為了去除一些與用戶行為無關的數(shù)據(jù)包。然后，詳細介紹流量加速回放方法的實現(xiàn)過程，該方法優(yōu)先將最大的時間間隔進行壓縮，避免了小時間間隔（密集段）的壓縮，從而降低了丟包率，該方法將大根堆作為基礎數(shù)據(jù)結構，提高了計算效率。

3.1 流量文件預處理

流量文件預處理主要是對流量的過濾。在流量捕獲的過程中，文件中包含了一些與回放時間無關的流量。例如，路由器等網絡設備之間通信產生的流量（ARP，RARP）、主機與路由器之間通信所產生的流量（ICMP，IGMP）。本文重點回放那些由用戶執(zhí)行網絡訪問操作而產生符合網絡協(xié)議語義的流量，因此需要對捕獲后的流量進行過濾操作，保留IP層的IP 協(xié)議、傳輸層的TCP和UDP協(xié)議。圖1為預處理的程序流程。

Figure 1 Flow chart of preprocessing

程序首先讀取pcap文件，然后遍歷該文件，依次獲得各層的頭部信息，判斷鏈路層是否含有IP層的數(shù)據(jù)包，如果沒有則讀取下一個數(shù)據(jù)包，如果有，則繼續(xù)判斷IP層是否含有TCP或UDP協(xié)議。如果含有TCP或UDP協(xié)議，則將該數(shù)據(jù)包存儲到新的文件，然后讀取下一個數(shù)據(jù)包。最終程序將得到用戶產生的TCP和UDP協(xié)議的流量文件。本節(jié)最終得到的文件將作為下一節(jié)的輸入。

3.2 流量加速回放方法

本文的目標是實現(xiàn)流量的加速回放，因此需要考慮如下兩個問題：如何保證流量的高準確度；如何保證數(shù)據(jù)包的較低丟包率。針對以上兩個問題，本文提出了一種基于時間壓縮的流量加速回放方法，通過優(yōu)先壓縮最大的時間間隔實現(xiàn)對整體的加速。該方法是通過壓縮數(shù)據(jù)包之間的時間間隔來達到加速效果，而不是通過丟棄一些數(shù)據(jù)包的方式來加速，因此極大限度地降低了丟包率。當加速比例達到一定數(shù)值時，不可避免地會出現(xiàn)某單位時間內需要發(fā)送大量的數(shù)據(jù)包的情況，這種情況便可能導致數(shù)據(jù)包丟失。而本文提出的最大優(yōu)先壓縮算法（MPCA，maximum priority compression algorithm）可以降低上述情況的發(fā)生概率。

本文提出的方法需要不斷尋找集合中的最大值，如果使用遍歷搜索，則時間復雜度為(2)，耗時很大。為了減少計算時間，本文使用大根堆作為基礎的數(shù)據(jù)結構來提高計算效率。大根堆通常是可以被看作一棵完全二叉樹的數(shù)組。大根堆堆滿足下列性質：

（1）大根堆中某個節(jié)點的值總小于其父節(jié)點的值；

（2）大根堆是一棵完全二叉樹。

如果大根堆的根節(jié)點從數(shù)組的1開始編號，則數(shù)組滿足如下關系：

向大根堆中插入一個元素后需要對堆結構進行調整以保持其性質，因此插入一個數(shù)據(jù)的時間復雜度為(log)。堆頂元素為最大值，因此尋找最大值的時間復雜度為(1)。刪除一個數(shù)據(jù)時需要調整以保持其性質，因此刪除元素的時間復雜度為(log)。本文方法需要將堆頂元素壓縮后進行堆調整，這相當于刪除了一個元素后添加一個新元素。實際操作中只需要修改堆頂元素，然后自頂向下調整即可，因此其時間復雜度為(log)。該程序的偽代碼如算法1所示。

算法1 最大優(yōu)先壓縮算法

輸入 pcap文件

輸出 new pcap file

最大優(yōu)先壓縮算法的流程如下：

Step1 讀取pcap文件，然后獲取文件中每一個數(shù)據(jù)包的時間戳、包序列和內容；

Step2 利用Step1獲取的信息構建大根堆；

Step3 取出大根堆中的堆頂元素；

Step 4 將堆頂元素壓縮后調整大根堆；

Step5 計算壓縮后的時間；

Step 6 判斷總時間是否滿足壓縮后的條件，如果不滿足，重復Step 3～Step 5，如果滿足，執(zhí)行Step 7；

Step 7 依照包序和對應的時間間隔以及內容生成新的pcap文件；

Step 8 利用libnet對數(shù)據(jù)包重構并按照時間間隔進行回放。

4 實驗

本節(jié)主要驗證本文提出的基于時間壓縮的流量加速方法的性能以及效果。首先介紹實驗條件，然后介紹4個對比實驗。實驗1比較MPCA與GCA在不同倍數(shù)下的帶寬變化，實驗2比較MPCA與GCA在不同倍數(shù)下的丟包情況，實驗3分析加速前后的時間間隔誤差，實驗4分析加速后流量與原始流量的相似度。

實驗表明，在丟包率方面，MPCA能夠有效降低丟包率，在加速幅度為20時，比GCA減少3.55%的丟包率。在時間間隔誤差方面，MPCA的誤差均值優(yōu)于GCA，前者整體小于后者，且呈現(xiàn)下降趨勢，后者反之。兩者的標準方差比較平穩(wěn)且基本一致。但在流量相似度方面，GCA回放的流量與原始流量基本一致，達到了99.99%的相似度，而MPCA的相似度較低。

4.1 實驗條件

本文實驗的回放場景是虛擬環(huán)境，因此首先使用OpenStack[18]云計算平臺生成虛擬拓撲和虛擬主機；然后構建虛擬機客戶端（接收端）和虛擬機服務端（發(fā)送端）；最后構建一個虛擬控制端用于存儲數(shù)據(jù)包、處理數(shù)據(jù)以及控制流量加速回放過程。

虛擬機的配置信息如下：CPU型號為Intel Xeon E312xx （Sandy Bridge），內存大小為1.8 GB，磁盤大小為20 GB，網卡類型為Virtio network device，操作系統(tǒng)為CentOS Linux release 7.5.1804 （Core）。其中Virtio network device是虛擬以太網卡，它支持TX/RX的多隊列。

本文實驗回放的流量是通過tcpdump[24]在實驗室的出口采集的。共捕獲了大約10 min的流量。實際流量每秒發(fā)送數(shù)據(jù)包變化曲線如圖2所示。

圖2 10 min流量每秒發(fā)送數(shù)量包數(shù)量

Figure 2 Number of packets sent per second for 10 minutes of traffic

在測試環(huán)境中，本文實驗的流量是在實際生活中抓取的，且其網絡傳輸帶寬為100 Mbit/s，為了使測試環(huán)境與真實環(huán)境一致，將虛擬網卡的帶寬限制為100 Mbit/s。本文實驗中的加速幅度分別使用2、4、8、10、20。

4.2 實驗結果

（1）實驗1：帶寬情況對比

實驗1的目的是驗證MPCA在壓縮過程中對帶寬帶來的影響，圖3為使用MPCA和GCA在不同加速幅度下流量的帶寬。

從圖3可以看出，在小幅度加速時，大部分較大的時間間隔被壓縮，MPCA的整體趨勢與GCA一致，當加速倍數(shù)達到8倍時，GCA出現(xiàn)了3個高峰點，而MPCA基本處于平穩(wěn)狀態(tài)，但也有幾次小高峰的出現(xiàn)。加速幅度達到8倍以后，在回放的后期，兩種方法出現(xiàn)了不同的趨勢，造成該現(xiàn)象的原因是原始流量的后期時間間隔較大，發(fā)送的數(shù)據(jù)包較少，MPCA進行加速回放時候，可能進行了多次壓縮，從而導致了帶寬的上漲。而GCA按照原始比例只進行了一次壓縮，故在這段時間發(fā)送的數(shù)據(jù)包總量增幅不大。當加速幅度達到20倍時，兩種算法都出現(xiàn)3個高峰，整體上趨勢相同。不同的是GCA的波動幅度大于MPCA，高峰值與低峰值之差遠大于MPCA。

（2）實驗2：丟包情況對比

實驗2的目的是驗證加速策略和加速幅度對丟包帶來的影響，圖4為使用MPCA和GCA在不同加速幅度下回放流量的丟包率。實驗表明，丟包率與繁忙程度、加速比成正相關。

從圖4中可知，不管哪種算法，隨著加速幅度的增加，丟包率都會增加，這是因為加速幅度增加需要削減兩個數(shù)據(jù)包之間的時間間隔，這就導致了單位時間內數(shù)據(jù)包數(shù)量增加，而虛擬機在單位時間內可發(fā)包的數(shù)量受限，因此丟包率上升。在加速幅度相同的情況下，MPCA在丟包率上明顯優(yōu)于GCA。在小幅度加速（8倍以下）中，MPCA丟包率較小，相對GCA具有明顯優(yōu)勢。這是因為原始流量中存在一些時間間隔大的數(shù)據(jù)包，大間隔的時間可能不止一次被壓縮，經過幾次壓縮后便可以達到整體的加速幅度，因而對該時段中間隔短的數(shù)據(jù)包影響較小，因此丟包率較小。隨著加速幅度的增加，兩種算法的丟包率的差值逐漸增大，在加速幅度為20時，MPCA比GCA減少了3.55%的丟包率。

（3）實驗3：時間間隔誤差分析

(6)

Figure 3 Bandwidth under different acceleration amplitudes using MPCA and GCA

根據(jù)式(5)得到的不同加速幅度下的誤差均值如圖5所示。

從圖5中可知，GCA的誤差均值隨著加速幅度的增加緩慢增加，而MPCA的誤差均值逐漸減小，主要原因是當時間間隔被壓縮到一定程度后，系統(tǒng)將難以控制其準確性。

根據(jù)式(5)和式(6)得到不同加速幅度下兩種算法的標準方差如表1所示。

圖4 不同加速幅度下兩種方法的丟包率

Figure 4 The packet loss rate of the two methods under different speedup ratios

圖5 不同加速幅度下兩種方法的誤差均值

Figure 5 Mean error values of the two methods under different acceleration amplitudes

表1 不同加速幅度下兩種算法的標準方差

從表1中可以看出GCA在加速幅度為2倍時標準方差較大，之后穩(wěn)定在50 μs左右，而MPCA的方差基本穩(wěn)定在50 μs左右。原因是使用GCA后的時間間隔波動幅度較大，而MPCA的時間間隔的波動幅度較小。

（4）實驗4：流量回放相似性分析

實驗4的目的是分析加速回放前后流量的相似性，流量相似性分析主要通過內容、變化幅度等特性來驗證，本文提出的方法是基于原始流量的加速方式，因此在內容上是一致的。本節(jié)通過衡量變化幅度來驗證回放的相似性。

不同倍數(shù)下時間間隔變化曲線如圖6（比例尺不同）所示。

從圖6中可以發(fā)現(xiàn)，對于GCA，無論加速倍數(shù)是多少，時間間隔整體的變化趨勢保持不變。對于MPCA，時間間隔的變化范圍逐漸減小，在小倍數(shù)下有許多間隔大于GCA的間隔，這是由于該算法只壓縮了少數(shù)大的時間間隔便使整體時間達到相應倍數(shù)，因此許多小的時間間隔并沒有被壓縮，故保持原樣。在1 750個數(shù)據(jù)包以后兩種算法的得到的時間間隔差距最大。這是由于這些時間間隔較大，MPCA對其壓縮了不止一次。該現(xiàn)象充分顯示了MPCA的正確性。

利用式（7）計算兩種加速算法在時間間隔維度上的相似度，結果如表2所示。

表2 兩種加速算法在時間間隔上的相似度

從表2中可以得出使用GCA的流量與原始流量有著較高的相似性，且不會因加速幅度的增加而下降，基本保持在99.9%。而MPCA的相似度隨著加速幅度的增加，相似度呈下降趨勢。這是因為GCA在削減時間的過程中對每個間隔都進行了等比例的壓縮，從整體上保留了原始的特性，故相似性較高，而MPCA優(yōu)先壓縮間隔最大的時間間隔，有的時間間隔可能被壓縮不止一次，有些時間間隔可能不會被壓縮，故相似性低一些。因此，在相似性方面，GCA要優(yōu)于MPCA。

圖6 不同加速幅度下的時間間隔

Figure 6 Time interal under different acceleration amplitudes

5 結束語

現(xiàn)有等比壓縮時間間隔加速回放流量方法隨著加速幅度的增加，會造成較高的丟包率，從而損失了回放的完整性。為了解決上述問題，本文提出了一種新的基于時間壓縮的流量加速方法。通過優(yōu)先將時間間隔較大的進行壓縮來實現(xiàn)對整體時間的壓縮，方法采用大跟堆作為基礎數(shù)據(jù)結構，提高了計算效率，不斷尋找并更新最大值和調整時間間隔集合以實現(xiàn)整體時間的壓縮。

實驗結果表明，在丟包率方面，與GCA相比，MPCA可以有效減少丟包率。加速幅度越大，優(yōu)勢越明顯。MPCA可以避免等比壓縮造成某些時間段發(fā)包量巨大而造成的丟包現(xiàn)象。在時間間隔方面，MPCA的誤差均值要優(yōu)于GCA，前者整體小于后者，且呈現(xiàn)下降趨勢，后者反之。兩者的標準方差都表現(xiàn)平穩(wěn)且基本一致，但在相似度上MPCA表現(xiàn)較差。

綜上，本文提出的基于時間壓縮的最大優(yōu)先流量加速方法能夠在低丟包率和低時間間隔誤差的情況下實現(xiàn)單機與單機之間的流量加速回放，但相似度較低。下一步，將研究在多臺機器之間進行加速回放并研究如何將原始流量合理劃分到多臺主機進行聯(lián)動回放，更逼真地還原真實網絡的流量交互場景。

[1] 方濱興, 賈焰, 李愛平, 等. 網絡空間靶場技術研究[J]. 信息安全學報, 2016, 1(3): 1-9.

FANG B X, JIA Y, LI A P, et al. Cyber Ranges: state-of-the-art and research challenges[J]. Journal of Cyber Security, 2016, 1(3): 1-9.

[2] FERGUSON B, TALL A, OLSEN D. National cyber range overview[C]//Proceedings of 2014 IEEE Military Communications Conference. 2014: 123-128

[3] WABISZEWSKI JR M G, ANDEL T R, MULLINS B E, et al. Enhancing realistic hands-on network training in a virtual environment[C]//Proceedings of the 2009 Spring Simulation Multiconference. 2009: 1-8.

[4] ROSSEY L M, CUNNINGHAM R K, FRIED D J, et al. LARIAT: Lincoln adaptable real-time information assurance testbed[C]// Proceedings of, IEEE Aerospace Conference. 2002: 6.

[5] AN B. Network Testing with Simulated Traffic. Does Realism Matter[R]. 2014.

[6] MIYACHI T, MIWA S, HASEGAWA S, et al. Hands-on environments for network technologies on StarBED[J]. Educational Technology Research, 2011, 34(1/2): 107-118.

[7] INDEX C V N. Global mobile data traffic forecast update, 2016-2021[R]. 2017.

[8] ANGRISANI L, BOTTA A, MIELE G, et al. Experiment-driven modeling of open-source Internet traffic generators[J]. IEEE Transactions on Instrumentation and Measurement, 2014, 63(11): 2529-2538.

[9] MOLNáR S, MEGYESI P, SZABó G. How to validate traffic generators [C]//Proceedings of 2013 IEEE International Conference on Communications Workshops (ICC). 2013: 1340-1344.

[10] EMMERICH P, GALLENMüLLER S, ANTICHI G, et al. Mind the gap - A comparison of software packet generators[C]//Proceedings of 2017 ACM/IEEE Symposium on Architectures for Networking and Communications Systems (ANCS). 2017: 191-203.

[11] RING M, SCHL?R D, LANDES D, et al. Flow-based network traffic generation using Generative Adversarial Networks[J]. Computers & Security, 2019, 82: 156-172.

[12] PREVEZANOS I, ANGELOU A, TSELIOS C, et al. Hammer: a real-world end-to-end network traffic simulator[C]//Proceedings of 2017 IEEE 22nd International Workshop on Computer Aided Modeling and Design of Communication Links and Networks (CAMAD). 2017: 1-6.

[13] PARRY J, HUNTER D, RADKE K, et al. A network forensics tool for precise data packet capture and replay in cyber-physical systems[C]//Proceedings of the Australasian Computer Science Week Multiconference. 2016: 1-10.

[14] LIN Y D, LIN P C, LIN Y, et al. On-the-fly capture and replay mechanisms for multi-port network devices in operational networks[J]. IEEE Transactions on Network and Service Management, 2014, 11(2): 158-171.

[15] HUSSAIN A, PRADKIN Y, HEIDEMANN J. Replay of malicious traffic in network testbeds[C]//Proceedings of 2013 IEEE International Conference on Technologies for Homeland Security (HST). 2013: 322-327.

[16] LI L, HAO Z Y, ZHANG Y Z, et al. Traffic replay in virtual network based on IP-mapping[M]//Algorithms and Architectures for Parallel Processing. Cham: Springer, 2015: 697-713.

[17] CHU W B, GUAN X H, CAI Z M, et al. Real-time volume control for interactive network traffic replay[J]. Computer Networks, 2013, 57(7): 1611-1629.

[18] CALLEGATI F, CERRONI W, CONTOLI C, et al. Performance of Network Virtualization in cloud computing infrastructures: the OpenStack case[C]//Proceedings of 2014 IEEE 3rd International Conference on Cloud Networking (CloudNet). 2014: 132-137.

Accelerated traffic replay method based on time compression

WANG Shuo, BAI Jun, WANG Bailing, ZHANG Xu, LIU Hongri

School of Computer Science and Technology, Harbin Institute of Technology (Weihai), Weihai 264209, China

With the proliferation of network traffic, replaying traffic in a virtual environment faces many problems. In order to meet the requirements of traffic integrity and accuracy in the replay process, an accelerated traffic replay method based on time-compressed was proposed to achieve accelerated replay of real network traffic in a virtual environment. The method prioritized the compression of the largest time interval in the set of time intervals, and reduced the compression of the smaller intervals, thus reducing the traffic spike per unit time caused by time compression, and reducing the packet loss rate of traffic. The effect was measured in terms of packet loss rate, time interval error and similarity. The experiments show that this method has a lower packet loss rate and lower time interval error compared with the isometric compression method, although it performs worse in similarity.

cyber security, traffic replay, maximum priority, time interval

TP393

A

10.11959/j.issn.2096?109x.2021082

2021?03?15；

2021?08?31

劉紅日，liuhr@hit.edu.cn

國家重點研發(fā)計劃（2018YFB2004200）

The National Key R&D Program of China(2018YFB2004200)

王碩, 柏軍, 王佰玲, 等. 基于時間壓縮的流量加速回放方法[J]. 網絡與信息安全學報, 2021, 7(5): 178-188.

WAGN S, BAI J, WANG B L, et al. Accelerated traffic replay method based on time compression[J]. Chinese Journal of Network and Information Security, 2021, 7(5): 178-188.

王碩（1996? ），男，山東東營人，哈爾濱工業(yè)大學（威海）碩士生，主要研究方向為網絡安全、流量回放、用戶行為模擬。

柏軍（1969? ），男，遼寧鞍山人，哈爾濱工業(yè)大學（威海）副教授，主要研究方向為物聯(lián)網應用技術、計算機體系結構、嵌入式系統(tǒng)等。

王佰玲（1978?），男，黑龍江哈爾濱人，哈爾濱工業(yè)大學（威海）教授、博士生導師，主要研究方向為工業(yè)互聯(lián)網安全、信息對抗、信息安全、信息搜索、金融安全。

張旭（1995? ），男，安徽合肥人，哈爾濱工業(yè)大學（威海）碩士生，主要研究方向為網絡安全、用戶行為模擬。

劉紅日（1982? ），男，山東煙臺人，博士，哈爾濱工業(yè)大學（威海）助理研究員，主要研究方向為網絡行為模擬、工業(yè)控制系統(tǒng)的流量審計和網絡安全互聯(lián)。