基于虛擬化的輕量級背景流量節(jié)點生成及部署算法研究①

解維崇 李正民 董開坤 沈英宏

(*哈爾濱工業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 150001)(**國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京100029)

基于虛擬化的輕量級背景流量節(jié)點生成及部署算法研究①

解維崇②*李正民**董開坤③*沈英宏*

(*哈爾濱工業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院 哈爾濱 150001)(**國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 北京100029)

進(jìn)行了網(wǎng)絡(luò)攻防分析，針對傳統(tǒng)的背景流量模擬技術(shù)在生成及部署方面存在背景流量大小受限、背景流量真實性不足、背景流量生成工具部署的數(shù)量和位置受限的問題，提出了一種基于虛擬化的輕量級背景流量節(jié)點生成及部署算法，該算法是一種基于資源量的目標(biāo)流量映射、基于最短路由的背景流量應(yīng)用添加、基于最少通信代價的節(jié)點映射的三階段算法，解決了背景流量節(jié)點在網(wǎng)絡(luò)攻防實驗中大規(guī)?？焖偕杉办`活部署的問題。實驗結(jié)果表明，使用輕量級背景流量節(jié)點，生成的背景流量滿足網(wǎng)絡(luò)自相似性，資源消耗小、啟動速度快，并且可根據(jù)實際網(wǎng)絡(luò)攻防實驗的需求進(jìn)行動態(tài)、靈活、快速的大規(guī)模部署。

背景流量， Docker， 自相似， 動態(tài)部署， 虛擬映射

0 引 言

目前，通過攻防實驗平臺模擬大規(guī)模網(wǎng)絡(luò)安全事件是一種高效方便的方法。網(wǎng)絡(luò)攻擊行為的研究是對網(wǎng)絡(luò)安全事件本身產(chǎn)生的攻擊流量[1]和網(wǎng)絡(luò)實際中存在的背景流量[2]疊加后的流量進(jìn)行分析，在缺少背景流量的前提下進(jìn)行網(wǎng)絡(luò)行為模擬的研究是難以取得實際效果的。因此，如何在攻防實驗平臺中快速生成及靈活部署背景流量是一項重要課題。

在生成及部署背景流量方面的研究工作主要包括使用網(wǎng)絡(luò)離散事件模擬器NS2[3]、使用流量生成工具以及采用多線程技術(shù)。來自哈爾濱工業(yè)大學(xué)的鄒天際[4]使用NS2網(wǎng)絡(luò)離散事件模擬器對自相似性[5]網(wǎng)絡(luò)ON/OFF流量模型進(jìn)行了深入研究，同時哈爾濱工業(yè)大學(xué)的李廣榮[6]等指出網(wǎng)絡(luò)模擬器生成的流量接入真實網(wǎng)絡(luò)環(huán)境存在虛擬網(wǎng)卡流量大小受限的問題。Sommers和Barford提出了一種自配置網(wǎng)絡(luò)流量生成工具Harpoon[7]， Abdo[8]等人基于FPGA實現(xiàn)了隨機(jī)快速分布網(wǎng)絡(luò)數(shù)據(jù)的模擬，這兩種工具生成的流量真實性強，但是部署的數(shù)量和位置受限。吉林大學(xué)的劉曜[9]使用多線程技術(shù)模擬了不同協(xié)議的網(wǎng)絡(luò)背景流量，并應(yīng)用于入侵檢測系統(tǒng)，不過使用多線程模擬多客戶端無法保證網(wǎng)絡(luò)空間隔離性和IP地址的真實性，同時在部署方面需要借助資源消耗較高的虛擬機(jī)[10]。

綜上，采用如NS2網(wǎng)絡(luò)模擬器的方式節(jié)點部署靈活、真實性較強，但是流量大小受限；采用流量生成工具的方式，流量真實性較強，但是部署流量生成工具的數(shù)量和位置受限；采用多線程的方式，資源消耗小，但是流量真實性不足且部署不方便；采用虛擬機(jī)的方法，流量真實性較強，但因其資源消耗大、資源粒度粗，部署節(jié)點的數(shù)量和位置受限。而許多網(wǎng)絡(luò)攻防實驗需要構(gòu)建真實的網(wǎng)絡(luò)環(huán)境，其中背景流量節(jié)點需要滿足大規(guī)?？焖偕杉办`活部署的特性。為解決上述問題，本文提出了一種基于虛擬化的輕量級背景流量節(jié)點生成及部署算法，其中部署算法采用一種基于資源量的目標(biāo)流量映射、基于最短路由的背景流量應(yīng)用添加、基于最少通信代價的節(jié)點映射的三階段算法，根據(jù)實際網(wǎng)絡(luò)攻防實驗的需求動態(tài)靈活快速地部署大規(guī)模背景流量節(jié)點。

1 輕量級背景流量節(jié)點生成

背景流量是指在真實網(wǎng)絡(luò)環(huán)境中由網(wǎng)絡(luò)應(yīng)用程序生成的流量，在網(wǎng)絡(luò)攻擊行為中添加背景流量，可以提高網(wǎng)絡(luò)行為模擬結(jié)果的真實性和準(zhǔn)確性。輕量級背景流量節(jié)點是指將采用自相似流量模型編寫的網(wǎng)絡(luò)應(yīng)用加載到輕量級虛擬化容器而形成的節(jié)點，其生成的背景流量滿足網(wǎng)絡(luò)的自相似性。本文采用輕量級背景流量節(jié)點模擬普通用戶，使用輕量級虛擬化容器技術(shù)可以滿足背景流量節(jié)點大規(guī)?？焖偕?、靈活部署、資源消耗小等特性。

1.1 典型流量模型

真實的網(wǎng)絡(luò)流量是具有自相似的，流量建模的目標(biāo)是能夠更好地反映實際流量的特征并且用于更好地指導(dǎo)實際的應(yīng)用。當(dāng)前，網(wǎng)絡(luò)流量公認(rèn)的、最重要的統(tǒng)計特征是大時間尺度下的自相似性和小時間尺度下的多分形性。本文采用Pareto分布與逆高斯(Inverse Gaussian)分布相混合的ON/OFF過程模型來體現(xiàn)自相似性的特點。

基于Pareto分布的概率密度函數(shù)為

(1)

其中，α為形狀參數(shù)，表示Pareto分布的重尾程度，α取值越小，重尾的程度越強；β為最小截止參數(shù)，表示該隨機(jī)變量能夠取到的最小值。

基于InverseGaussian分布的概率密度函數(shù)為

x>0,μ>0,λ>0

(2)

其中，Wald分布是μ=λ=1時逆高斯分布的特例。

生成的背景流量來自于網(wǎng)絡(luò)應(yīng)用，在應(yīng)用層中，會綜合考慮多種流量特性參數(shù)。在OFF階段，模擬客戶處于空閑狀態(tài)，在ON階段，模擬客戶對WEB文件進(jìn)行訪問，ON和OFF的時間分布服從Pareto分布。在ON階段又進(jìn)一步劃分為若干文件傳輸階段和文件暫停階段。暫停階段是模擬用戶瀏覽一頁完整的WEB頁面時，傳輸組成該頁面的各個對象之間的間隔時間。文件請求的大小服從Pareto分布，每次請求頁面的數(shù)量服從InverseGaussian分布，瀏覽頁面的時間服從重尾分布。

將上述混合分布的流量模型應(yīng)用于容器節(jié)點中，產(chǎn)生的網(wǎng)絡(luò)流量服從網(wǎng)絡(luò)的自相似性，從而保證流量的真實性。

1.2 背景流量節(jié)點生成方案

針對背景流量節(jié)點大規(guī)?？焖俨渴鸬奶匦?，本文使用輕量級虛擬化技術(shù)。背景流量節(jié)點需要保證網(wǎng)絡(luò)資源的隔離，保證資源限制和進(jìn)程控制，因此選取Docker作為背景流量節(jié)點，使用Docker的Namespace和Cgroups技術(shù)。

Namespace是網(wǎng)絡(luò)名字空間，可以保證網(wǎng)絡(luò)資源的隔離。通過將網(wǎng)絡(luò)應(yīng)用集成到容器中，可以保證背景流量節(jié)點擁有真實的內(nèi)核協(xié)議棧，IP地址等網(wǎng)絡(luò)資源，可以作為真實的客戶端和服務(wù)端來大規(guī)模的生成。

Cgroups保證容器的資源限制和進(jìn)程控制。通過限制、隔離進(jìn)程組所使用的CPU、內(nèi)存等物理資源，可以保證背景流量節(jié)點資源的高效利用。通過對網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，可以保證背景流量的產(chǎn)生、掛起以及恢復(fù)操作，同時使用進(jìn)程管理器可以管理多個應(yīng)用的同時運行。

流量節(jié)點客戶端和服務(wù)端使用OpenVSwitch來進(jìn)行底層通信，使用Docker的None網(wǎng)絡(luò)模式與Docker默認(rèn)網(wǎng)絡(luò)模式相比，這樣可以實現(xiàn)更加靈活復(fù)雜的網(wǎng)絡(luò)。Docker網(wǎng)絡(luò)通信的原理如圖1所示。

背景流量節(jié)點生成的流程如圖2所示。

在圖2中，首先從Docker倉庫拉取核心精簡鏡像，預(yù)裝編譯環(huán)境，然后判斷節(jié)點類型，如果是客戶端節(jié)點則將應(yīng)用程序加載到容器中，如果是服務(wù)端節(jié)點則配置特定協(xié)議的服務(wù)器，通過Dockerfile技術(shù)，對鏡像不斷提交，使用進(jìn)程管理器Supervisor來對應(yīng)用進(jìn)行管理，最后生成特定的背景流量節(jié)點。

圖1 Docker網(wǎng)絡(luò)通信原理圖

圖2 背景流量節(jié)點生成流程圖

2 背景流量節(jié)點動態(tài)部署算法

傳統(tǒng)的背景流量節(jié)點部署主要是通過將流量產(chǎn)生器接入到目標(biāo)路徑中，或者將使用多線程實現(xiàn)的網(wǎng)絡(luò)應(yīng)用程序拷貝到虛擬機(jī)中，然后將虛擬機(jī)部署到虛擬網(wǎng)絡(luò)拓?fù)渲小２捎蒙鲜龇椒?，?jié)點部署的數(shù)量和位置受限，無法滿足大規(guī)模動態(tài)靈活部署的要求。因此本文提出了一種三階段的背景流量節(jié)點動態(tài)部署算法，能滿足大規(guī)模動態(tài)靈活部署背景流量節(jié)點的需求。

為了便于說明背景流量節(jié)點動態(tài)部署算法，給出以下定義和描述：

定義1V：V(Nv,Lv,Bv)表示虛擬網(wǎng)絡(luò)拓?fù)?，其中Nv表示虛擬網(wǎng)絡(luò)節(jié)點集合，Lv表示虛擬網(wǎng)絡(luò)鏈路集合，Bv表示目標(biāo)流量路徑集合。

定義2P：P(Np,Lp)表示底層物理網(wǎng)絡(luò)拓?fù)?，其中Np表示物理服務(wù)器節(jié)點集合，Lp表示物理網(wǎng)絡(luò)鏈路集合。

定義3M：M(Sm,Rm)表示虛擬網(wǎng)絡(luò)到物理網(wǎng)絡(luò)映射關(guān)系，其中Sm表示虛擬節(jié)點映射到物理服務(wù)器的編號列表，Rm表示物理服務(wù)器剩余資源列表。

定義4D：D(Cd,Fd,Qd)表示流量節(jié)點信息，其中Cd表示流量節(jié)點消耗的資源，F(xiàn)d表示流量節(jié)點生成的流量大小，Qd表示服務(wù)端節(jié)點承載流量的能力。

三階段的背景流量節(jié)點部署算法原理如圖3所示。

圖3表示分別在目標(biāo)路徑1到4以及4到6上部署背景流量的結(jié)果。目標(biāo)路徑定義為終端路由器之間的路徑，V表示虛擬拓?fù)?，M表示虛擬映射關(guān)系，P表示物理拓?fù)?。圖3左半部分表示未部署背景流量節(jié)點的虛擬網(wǎng)絡(luò)拓?fù)浼暗讓佑成浞桨福瑘D3右半部分表示部署背景流量節(jié)點后的虛擬網(wǎng)絡(luò)拓?fù)湟约暗讓佑成浞桨浮?/p>

本文提出的背景流量節(jié)點部署算法分為三階段，按照先后順序執(zhí)行。算法輸入是四要素(V、P、M、D)，輸出是背景流量節(jié)點的部署方案。

三階段背景流量節(jié)點部署算法原理描述如下：

步驟1 根據(jù)流量節(jié)點信息D，對用戶需要的虛擬網(wǎng)絡(luò)V的目標(biāo)流量Bv進(jìn)行映射，計算出所需的流量節(jié)點數(shù)量以及消耗的資源。

步驟2 根據(jù)最短路由策略確定背景流量應(yīng)用在虛擬網(wǎng)絡(luò)V中添加的位置，同時保證應(yīng)用添加數(shù)量最少。

步驟3 根據(jù)M將流量節(jié)點映射到物理拓?fù)銹中，如果映射到不屬于M對應(yīng)的服務(wù)器，則需要計算到原來服務(wù)器的隧道連接，同時保證通信代價最少。

圖3 背景流量節(jié)點部署算法原理圖

2.1 基于資源量的目標(biāo)流量映射算法

為滿足流量的多樣性，本文實現(xiàn)了HTTP、FTP、TFTP、SMTP、DNS、SSH、TELNET、NTP八種協(xié)議的客戶端和服務(wù)器節(jié)點，并且提出了一種基于資源量的目標(biāo)流量映射算法(resource mapping algorithm，RMA)。

資源量是指流量節(jié)點消耗的CPU和內(nèi)存。首先統(tǒng)計每種協(xié)議流量節(jié)點的資源量，取結(jié)果中資源量最小的節(jié)點作為標(biāo)準(zhǔn)流量節(jié)點，記為標(biāo)準(zhǔn)資源量{CPU0,MEM0}。

流量節(jié)點分為客戶端和服務(wù)端兩種類型，需要統(tǒng)計每種協(xié)議流量節(jié)點產(chǎn)生的流量大小以及每種協(xié)議的服務(wù)端所能承載的最大流量，目標(biāo)流量若超過最大流量，則需要對目標(biāo)流量進(jìn)行拆分，保證服務(wù)端能正常運行。

基于資源量的目標(biāo)流量映射算法首先判斷目標(biāo)流量是否超過服務(wù)端最大流量，如果超過則需要對流量進(jìn)行拆分；然后通過目標(biāo)流量計算出需要的流量節(jié)點數(shù)量，根據(jù)節(jié)點數(shù)量計算出節(jié)點消耗的資源量?；谫Y源量的目標(biāo)流量映射算法RMA描述如下：

Input

虛擬拓?fù)銿、流量節(jié)點信息D、目標(biāo)流量路徑集合Bv

Output

流量節(jié)點的數(shù)量、流量節(jié)點消耗的資源

BEGIN

background←NULL //構(gòu)建目標(biāo)流量的路徑列表

for link inBvdo

if link對應(yīng)的流量大小>Qddo

根據(jù)Qd對目標(biāo)流量進(jìn)行切分，添加到background中

else直接添加到background中

end if

end for

for link in background do

Client_amount = link對應(yīng)的流量大小/Fd

Server_amount=1

Client_resource=Client_amount×Cd中客戶端資源量

Server_resource=Server_amount×Cd中服務(wù)端資源量

end for

END

2.2 基于最短路由的背景流量應(yīng)用添加算法

在虛擬路徑上添加背景流量最簡單的方法是將每條路徑兩邊的節(jié)點都綁定一對流量節(jié)點，一個作為流量的發(fā)送端，一個作為流量的接受端。在網(wǎng)絡(luò)行為模擬中，每一對流量節(jié)點都需要消耗一定的系統(tǒng)資源。對于小規(guī)模網(wǎng)絡(luò)拓?fù)洌朔椒óa(chǎn)生的資源開銷可以接受，但對于大規(guī)模的網(wǎng)絡(luò)，此開銷是難以接受的。所以必須保證在目標(biāo)鏈路上存在一定流量的基礎(chǔ)上，減少添加應(yīng)用程序的個數(shù)。

本文使用基于最短路由的應(yīng)用添加算法(shortest routing application adding algorithm， SR-AAA)。數(shù)據(jù)包從發(fā)送端到接收端沿著最短路徑傳輸。如果在發(fā)送端和接收端添加流量節(jié)點，則數(shù)據(jù)包沿著最短路徑到達(dá)接收端，途中經(jīng)過的每條鏈路都會達(dá)到目標(biāo)流量，這樣與每條鏈路兩端都添加流量節(jié)點相比，不僅僅可以減少應(yīng)用程序的個數(shù)還會減少流量節(jié)點產(chǎn)生的系統(tǒng)開銷。

虛擬拓?fù)洳捎没谧疃搪窂降撵o態(tài)路由。傳統(tǒng)的路由計算方法Dijkstra算法需要遍歷每一對節(jié)點，算法的時間復(fù)雜度高。本文使用一種基于終端路由器洪范傳播的路由算法。該算法通過遍歷虛擬網(wǎng)絡(luò)拓?fù)涞慕K端路由器，采用廣度優(yōu)先搜索，將終端路由器本身路由表以洪范方式發(fā)送到網(wǎng)絡(luò)中的其他路由器，每個路由器在收到洪范消息時將得到的路由信息加入到自身路由表中，最終使每個路由器都正確的保存了路由信息。

基于最短路由的背景流量應(yīng)用添加算法SR-AAA的描述如下：

Input

虛擬拓?fù)銿、目標(biāo)流量路徑集合Bv

Output

流量節(jié)點的掛載位置、流量節(jié)點間的路由信息

BEGIN

v←根據(jù)V生成虛擬拓?fù)鋱D

RT←v中的終端路由器

RI←NULL//路由信息

forrinRTdo

把與路由器r直連的主機(jī)路由加入到r.RI中

end for

forrinRTdo

BFS(r，v)//對r進(jìn)行BFS并將本身RI發(fā)送到遇到的新路由器r_n

r_n.RI+=r.RI

end for

for Link inBvdo

Client_position = Link.src

Server_position = Link.dst

Client路由信息 = Client_position.RI

Server路由信息 =Server_position.RI

end for

END

2.3 基于最少通信代價的節(jié)點映射算法

通信代價定義為物理服務(wù)器的使用數(shù)量以及真實的路由跳數(shù)。最小通信代價即要保證背景流量節(jié)點映射所需的服務(wù)器數(shù)量最少且底層路由跳數(shù)最少。

通過目標(biāo)流量映射，確定了所需的流量節(jié)點數(shù)量以及消耗的資源。通過背景流量應(yīng)用添加算法，確定了流量節(jié)點在虛擬拓?fù)渲械膾燧d位置。部署算法的第三階段是將流量節(jié)點映射到底層的物理網(wǎng)絡(luò)。

虛擬路由器掛載的流量節(jié)點應(yīng)當(dāng)盡量映射到此虛擬路由器對應(yīng)的物理服務(wù)器，因此本文使用基于貪心算法的背包模型來實現(xiàn)背景流量節(jié)點映射。

如果虛擬路由器掛載的流量節(jié)點不能夠完全映射到此虛擬路由器對應(yīng)的物理服務(wù)器，則需要進(jìn)行二次映射。二次映射需要保證路由跳數(shù)最少，因此本文采取對第一次未映射成功的流量節(jié)點分別使用廣度優(yōu)先搜索策略，將其映射到離原來的服務(wù)器路由跳數(shù)最少的目標(biāo)服務(wù)器。

基于最少通信代價的節(jié)點映射算法(least communication cost node mapping algorithm，LLC-NMA)描述如下：

Input

虛擬拓?fù)銿、物理拓?fù)銹、虛擬網(wǎng)絡(luò)映射關(guān)系M、背景流量節(jié)點掛載位置、背景流量節(jié)點消耗資源、流量節(jié)點間的路由信息

Output

背景流量節(jié)點的底層物理映射結(jié)果

BEGIN

v←根據(jù)V生成虛擬拓?fù)鋱D

p←根據(jù)P生成物理拓?fù)鋱D

need_dict←NULL

for link in background do

client =M.link.src

server =M.link.dst

need_dict.client+=(resource, amount)

need_dict.server+=(resource, amount)

end for

need_to_map = need_dict

forp_node in need_dict do

Sort (need_dict.p_node)

maped.p_node = NULL

forv_node in need_dict.p_node do

ifRm.p_node>v_node do

maped.p_node +=v_node

need_to_map.p_node-=v_node

end if

end for

end for

for node in need_to_map do

bfs(p, node)

p_node = 將背景流量節(jié)點放入到離node最近的服務(wù)器中

Vxlan += (node,p_node) //添加遠(yuǎn)程隧道并對背景流量節(jié)點添加路由信息

maped.p_node += node

need_to_map.p_node -= node

end for

3 實驗及結(jié)果說明

為驗證背景流量節(jié)點的真實性和背景流量節(jié)點動態(tài)部署算法的有效性，總共進(jìn)行兩組測試。背景流量節(jié)點真實性測試，用來表明使用本文的背景流量模型生成的網(wǎng)絡(luò)流量符合自相似性；背景流量節(jié)點動態(tài)部署算法測試，用來表明使用輕量級虛擬化容器生成的流量節(jié)點資源消耗小，生成速度快，可以滿足大規(guī)模部署，以及驗證算法運行結(jié)果的正確性與可行性。同時使用單個輕量級背景流量節(jié)點來模擬單個普通用戶。實驗環(huán)境如表1所示。

表1 實驗環(huán)境配置表

3.1 背景流量節(jié)點真實性測試

本文使用單個輕量級背景流量節(jié)點來模擬單個普通用戶。因此采用單個HTTP協(xié)議背景流量客戶端節(jié)點向服務(wù)端節(jié)點發(fā)送WEB請求，在服務(wù)端節(jié)點捕獲生成的網(wǎng)絡(luò)流量，結(jié)果如圖4中柱形條所示。

采用單個普通用戶訪問天貓www.tmall.com的官方主頁，捕獲生成的網(wǎng)絡(luò)流量，結(jié)果如圖4中的曲線所示。

圖4 流量結(jié)果對比圖

從圖4中可以看出，單個普通用戶訪問天貓主頁生產(chǎn)的流量滿足自相似性，使用單個背景流量節(jié)點生成的流量在網(wǎng)絡(luò)特性上也滿足網(wǎng)絡(luò)的自相似性，從而保證流量的真實性。

3.2 背景流量節(jié)點動態(tài)部署算法測試

實驗使用的KVM虛擬機(jī)節(jié)點和Docker容器節(jié)點配置相同，如表1所示。兩種客戶端節(jié)點生成的HTTP、SMTP、FTP協(xié)議流量大小分別為400、300、400，單位kB/s。服務(wù)器端節(jié)點最大承載流量分別為20、15、30，單位MB/s。

通過docker stats命令統(tǒng)計，本文三種協(xié)議的背景流量客戶端節(jié)點的資源量分別為(0.02MB, 40MB)、(0.02MB, 30MB)、(0.04MB, 40MB)，服務(wù)端節(jié)點的資源量分別為(0.8MB,500MB)、(0.6MB, 300MB)、(1.0MB, 500MB)。標(biāo)準(zhǔn)客戶端資源量為(0.01MB, 20MB)。根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法，得知三種協(xié)議客戶端節(jié)點分別消耗2、2、4個標(biāo)準(zhǔn)資源量，服務(wù)端節(jié)點分別消耗40、30、50個標(biāo)準(zhǔn)資源量。通過top命令進(jìn)行統(tǒng)計，三種協(xié)議虛擬機(jī)客戶端節(jié)點分別消耗20、20、20個標(biāo)準(zhǔn)資源量，服務(wù)端節(jié)點分別消耗50、40、50個標(biāo)準(zhǔn)資源量。

背景流量節(jié)點動態(tài)部署算法實驗拓?fù)淙鐖D5所示。

圖5 背景流量節(jié)點動態(tài)部署算法實驗拓?fù)鋱D

在圖5的實驗拓?fù)渲?，需要在目?biāo)路徑2到5上分別生成40、70、100(單位MB/s)的混合協(xié)議背景流量，HTTP、SMTP、FTP流量大小比例關(guān)系為2:1:2，根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法，生成40、70、100(單位MB/s)的混合協(xié)議背景流量，需要的HTTP、SMTP、FTP協(xié)議客戶端節(jié)點數(shù)量分別為(40,70,100) 、(27,47,66) 、(40,70,100)，服務(wù)端節(jié)點數(shù)量分別為(1,2,2) 、(1,1,2) 、(1,1,2)。實驗所使用的三臺服務(wù)器分別剩余600、2400、2800個標(biāo)準(zhǔn)資源量。

常見的三種背景流量節(jié)點部署方案包括隨機(jī)部署、貪心部署以及虛擬機(jī)部署。隨機(jī)部署指的是背景流量節(jié)點隨機(jī)的挑選服務(wù)器進(jìn)行動態(tài)部署；貪心部署指的是背景流量節(jié)點每次選擇剩余資源最大的服務(wù)器進(jìn)行動態(tài)部署；虛擬機(jī)部署指的是使用虛擬機(jī)作為背景流量節(jié)點來進(jìn)行三階段動態(tài)部署算法。

下面將使用三階段背景流量節(jié)點動態(tài)部署算法與常見的三種部署方案從部署結(jié)果進(jìn)行比較，如表2所示。表中的數(shù)字表示三種協(xié)議節(jié)點的數(shù)量。

表2 節(jié)點部署方案

根據(jù)2.1節(jié)的基于資源量的目標(biāo)流量映射算法以及表2結(jié)果可以看出，在目標(biāo)流量大小為100MB/s時，將目標(biāo)流量切割為5份。其中，(100、40、80)表示HTTP、SMTP、FTP協(xié)議客戶端節(jié)點數(shù)量分別為100、40、80個。

下面將三階段背景流量節(jié)點動態(tài)部署算法與常見的三種部署方案從隧道條數(shù)、路由跳數(shù)、部署時間三個方面進(jìn)行比較，結(jié)果如圖6所示。

根據(jù)圖6中的結(jié)果可知，隨機(jī)部署方案：優(yōu)點是算法速度快，每臺服務(wù)器隨機(jī)部署一定數(shù)量的背景流量節(jié)點，但是使用的服務(wù)器數(shù)量多，沒有考慮路由跳數(shù)，且隧道條數(shù)多，網(wǎng)絡(luò)通信代價高。

(a) 隧道數(shù)量比較圖 (b) 路由跳數(shù)比較圖 (c) 部署時間比較圖

貪心部署方案：優(yōu)點是使用的服務(wù)器數(shù)量最少，但是沒有考慮底層的路由跳數(shù)，且隧道條數(shù)多，網(wǎng)絡(luò)通信代價高。

三階段背景流量節(jié)點動態(tài)部署方案：優(yōu)點為充分考慮到物理拓?fù)涞倪B接關(guān)系，優(yōu)先將節(jié)點映射到其對應(yīng)的服務(wù)器中，如果對應(yīng)的服務(wù)器資源不夠，則會映射到離原來服務(wù)器跳數(shù)最少的服務(wù)器，網(wǎng)絡(luò)通信代價低、部署靈活且執(zhí)行速度快。

虛擬機(jī)節(jié)點部署方案：優(yōu)點為虛擬機(jī)真實，可以保證完全隔離的網(wǎng)絡(luò)環(huán)境且安全性高，但是不能滿足大規(guī)模靈活快速部署的需求，并且在部署的數(shù)量和位置上都會受限。

通過在目標(biāo)路徑2到5上部署100MB/s的混合協(xié)議背景流量，分別從內(nèi)存消耗量、CPU使用率兩方面對背景流量節(jié)點和KVM虛擬機(jī)節(jié)點的部署方案進(jìn)行比較，結(jié)果如圖7所示。

(a)內(nèi)存消耗量比較圖 (b)CPU使用率比較圖

從上述結(jié)果中可以看出，使用輕量級虛擬機(jī)容器作為背景流量部署方案，在系統(tǒng)資源消耗方面，明顯低于KVM虛擬機(jī)節(jié)點。雖然KVM虛擬機(jī)采用外置磁盤快照生成，但在啟動時間上，輕量級虛擬化容器明顯快于KVM虛擬機(jī)，因此使用輕量級虛擬化容器作為背景流量節(jié)點的部署是一種很好的方案。

圖5中的節(jié)點2到節(jié)點5的目標(biāo)路徑上部署40MB/s的HTTP協(xié)議流量。根據(jù)背景流量節(jié)點動態(tài)部署算法的結(jié)果，測試算法的可行性。

啟動背景流量節(jié)點同時使用nload命令統(tǒng)計目標(biāo)路徑流量大小，實驗結(jié)果如表3所示。

表3 HTTP協(xié)議流量大小統(tǒng)計表

從表3可以看出目標(biāo)鏈路生成的流量大小符合預(yù)期目標(biāo)流量大小，驗證了部署算法的可行性。

4 結(jié) 論

本文通過對輕量級背景流量節(jié)點生成以及部署算法的研究，提出了一種使用輕量級虛擬化技術(shù)生成背景流量節(jié)點的方案及一種流量節(jié)點動態(tài)部署算法。實驗結(jié)果證明，使用混合分布的背景流量模型生成的背景流量滿足自相似性，使用輕量級虛擬化容器生成流量節(jié)點與采用NS2網(wǎng)絡(luò)模擬器的方式相比，流量大小不會受限；與采用將流量生成工具或者多線程應(yīng)用程序整合到虛擬機(jī)的部署方式相比，資源消耗更小，啟動時間更快，節(jié)點部署的規(guī)模更大更靈活。最后通過算法運行結(jié)果以及統(tǒng)計目標(biāo)鏈路流量大小證明了動態(tài)部署算法的正確性與可行性。

[ 1] Pietro A D, Vasseur J P, Cruz Mota J. Verifying network attack detector effectiveness. US patent: 20160028753, 2016

[ 2] Qian Y X, Guan X, Jiang M, et al. Modeling and generating realistic background traffic by hybrid approach.WirelessCommunicationOverZigbeeforAutomotiveInclinationMeasurementChinaCommunications, 2015,12(10): 147-157

[ 3] 李婁久, 李秀坤. NS2平臺的TCP/IP網(wǎng)絡(luò)擁塞控制算法仿真. 實驗室研究與探索, 2015, 34(2):81-83

[ 4] 鄒天際. 網(wǎng)絡(luò)模擬中背景流量模型的研究:[碩士論文]. 哈爾濱: 哈爾濱工業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院, 2010. 16-31

[ 5] 張賓, 楊家海, 吳建平. Internet流量模型分析與評述. 軟件學(xué)報, 2011, 22(1):115-131

[ 6] 李廣榮, 王琨, 張兆心. 基于NS-3構(gòu)建網(wǎng)絡(luò)環(huán)境的虛實結(jié)合技術(shù)的研究. 高技術(shù)通訊, 2015, 25(7):685-693

[ 7] Sommers J, Barford P. Self-configuring network traffic generation. In: Proceedings of the ACM SIGCOMM Conference on Internet Measurement 2004, Taormina, Sicily, Italy, 2004. 68-81

[ 8] Abdo A, Hall T. FPGA-based testbed for packet switch performance measurement. In: Proceedings of the Conference Record-IEEE Instrumentation and Measurement Technology Conference, San Francisco, USA, 2006. 347-352

[ 9] 劉曜. 用于測試入侵檢測系統(tǒng)的網(wǎng)絡(luò)背景流量模擬:[碩士論文]. 長春：吉林大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院, 2009. 22-34

[10] 康辰, 朱志祥. 基于云計算技術(shù)的網(wǎng)絡(luò)攻防實驗平臺. 西安郵電大學(xué)學(xué)報, 2013, 18(3):87-91

doi：10.3772/j.issn.1002-0470.2016.12.007

Study of an algorithm for generation and deployment of background traffic nodes based on virtualization

Xie Weichong*, Li Zhengmin**, Dong Kaikun*, Shen Yinghong*

(*School of Computer Science and Technology,Harbin Institute of Technology, Harbin 150001)(**The National Computer Network Emergency Response Technical Team Coordination Center of China, Beijing 100029)

The analysis of network attack and defense was conducted, and aiming at the traditional background traffic simulation technology’s problems in generation and deployment of traffic nodes such as size limitation of background traffic, authenticity limitation of background traffic, and number and position limitations of the tools for background traffic generation and deployment, an algorithm for generation and deployment of lightweight background traffic nodes based on virtualization was proposed. This is a three-phase algorithm that consists of the target traffic mapping based on resource amount, the adding of background traffic application based on the shortest route, and the node mapping based on the least communication cost, aiming to solve the problems of massive, rapid generation of background traffic nodes and flexible deployment of them in network attack and defense experiments. The experimental results show that using the proposed lightweight background traffic nodes to generate the background traffic can satisfy the self-similarity of networks, the small consumption of resource, the fast starting speed, and the massive, flexible and quick deployment according to the actual network attack and defense experiment.

background traffic, Docker, self-similarity, dynamic deployment, virtual mapping

10.3772/j.issn.1002-0470.2016.12.006

①國家科技支撐計劃(2012BAH45B01)，國家自然科學(xué)基金(61100189,61370215,61370211)和國家信息安全計劃(2014A085，2015A072)資助項目。

2016-04-20)

②男，1991年生，碩士生；研究方向：網(wǎng)絡(luò)安全；E-mail: xc123hit@gmail.com

③通訊作者，E-mail: kaikun.dong@gmail.com