網絡安全與流量控制模型的研究

摘 要： 在分析大量網絡流量數據的基礎上，從網絡工程和數學優化的角度入手，建立了網絡安全和流量控制的數學模型，進行了計算和評價，通過實驗證明了此模型具有較好的控制效果，有較穩定的安全性，同時易于實現。此研究方法也為解決類似優化問題提供了參考。

關鍵詞： 網絡安全； 流量控制； 評價； 方案

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2013）02-17-02

Research of network security and flow control model

Hu Ning， Xu Bing

（Chongqing Three Gorges University， Wanzhou， Chongqing 404000， China）

Abstract： Based on the analysis of a large number of network traffic data， the mathematical model on the network safety and flow control according to the network engineer and optimizations is built. A large amount of calculation and evaluation has been done. By experiments， this model is proved to have comparatively good control effect and stable safety. Meantime， it is easier to be realized. This research method provides a good reference for solving similar optimizing problems.

Key words： network security； flow control； evaluation； scheme

0 引言

在這個信息大爆炸的時代，信息安全顯得十分重要，占有突出的地位，采用合理的網絡安全模型和流量控制模型，對網絡進行分析和控制無疑是維護信息安全的基本保障。

由于網絡設計之初，僅僅考慮到信息交流的便利性，對于保證信息安全和流量控制的規劃則非常有限，所以面對循環上升的攻擊技術和快速增加的網絡用戶量，安全和流量控制問題顯得特別重要。本文根據某高校中大量網絡流量的數據的分析和統計，得出有效的流量控制模型，并對其進行評價。

1 常用網絡安全和流量控制模型分析

目前我國相關單位基本上建立了適合自己的網絡安全和流量控制模型[4]，進行如下簡單概括。

以路由器為主要控制方式的流量控制模型：此模型中所有用戶流量記錄都是暫時存放在路由器的內存中。流量控制系統使用網絡管理協議命令進行控制。盡管后來采用物理地址靜態匹配技術來防止流量盜用，但仍然不能起到很好的防范作用。

基于網絡探聽的控制模型：在中心交換機和中心路由器中設計一個探聽程序，此程序能夠偵聽到網卡上所有發送的數據包，并同時記錄下來。這樣的流量控制方式有很多不同的程序，但是在實際的控制過程中問題依然存在。另外還有很多網絡流量控制模型，例如郵件流量控制模型等等，它們大多是被動的，對于大批量的用戶缺乏行之有效的控制手段[3]。

以上的流量控制模型在很長一段時間起到了很好的作用，但是這些流量控制模型都存在著很多問題，還不能很好地滿足現階段我們國家信息技術高速發展的需求。

2 模型的建立

傳統的安全和流量控制模型與實際網絡需求有一定的相悖性，因此已不能很好地完全描述實際的流量特征。網絡自相似性主要表現出結構的相似性，每一組成部分都在特征上與整體相似，并具有明顯的突發性[1]。

定義：xt為相關隨即變量；aj為實數；et為相關變量；B為流量帶寬；t0為連接最大延遲時間；U為連接單元容量；S為連接業務最小傳輸速率；N0為線路可同時支持的用戶最大連接數；n為時間段的數目，時段不同價格也不同；δi為第i時間段內擁塞發生的重視因子；fi（pi）為在第i時間段內用戶實際業務連接數概率；gs（ps）在第i時間段內計費價格為pi時用戶實際業務量；kj為第j端口可以上網的人數。

xk為一般路由器計費模式下的值：

xt=a1xt-1+a2xt-2+…+apxt-p+et

在每一個通信端口中如果有2x端口，則在同一個時刻內只能有2x用戶上網。也就是在一個端口中不能再分出給多名用戶使用，線路調節后，一名用戶可以使用多個通信端口，用戶一天最多只能上網16個小時[10]。我們可以建立如下模型：

⑴

若B的解在單位圓外，則xt是平穩過程，即是一個平衡點， n0是線路可支持的用戶的連接數目，此時為了控制流量，減少擁堵，可建立如下函數模型：

⑵

其中：p=（p1，p2，…，pn）T

雖然此函數模型便于進行參數估計[6]，產生回歸數列，但因為其函數以指數級遞減，不能很好地模擬自相關函數的流量控制。

定義bt為隨機擾動，B為滑動平均項，則新的模型如下：

xt=a1xt-1+a2xt-2+…+apxt-p+et-g1bt-1-g2bt-2-…gqbt-q ⑶

其自協方差為：

⑷

自相關函數為：

sk=f1sk-1+f2sk-2+…+fpsk-p ⑸

將一個幀分成n個時間段，則第m個時間的信元到達可表示為：

⑹

我們根據實際應用中測量的非單播數據的記錄值，并運用方差分析法平穩化時間序列，由此可得到約束函數：其中pt是第i時段的概率值， pt∈（0，1）

⑺

因此我們給出均衡流量控制的目標函數：

⑻

另外關于網絡中的抱怨度[2]：這里我們假設第i用戶上網的時間是一定的，也即上網的時間長度是一定的，設為ti想上網的時刻為mi，實際上網的時刻為ni。

當用戶i想上網的時候，因為用戶i-1還沒有下網，所以他只能等待，等待的時間為ni-mi，則用戶i產生的抱怨的程度可表示為：

⑼

對于不同的用戶產生的流量不同，所以我們可以用一個總的平均流量來衡量這一個信息網受用戶的依賴程度[11]，如果該端口可以上網的人數為k，則一個端口的用戶流量模型為：

（10）

我們通過調研的方式征求全校師生用戶承受的價位pmax，調查情況如表1所示。

表1 最高價調研表

[價格＼＼＼＼＼＼數量＼m1＼m2＼m3＼m4＼m5＼]

由表1我們可以得到體現用戶在各時段承受力的最高限價均值，于是我們給出如下約束條件：

f（pi）≤pm i=1，2，…，n （11）

其中：pm為經驗常數，代表在第i時間內流量為pi時用戶實際連接數目在n0以上的概率。

根據以上約束條件，再通過曲線擬合模擬，并有歷史統計數據我們可得到在不同時段多用戶的概率曲線。

圖1 概率曲線

由此，我們令：x=gs（ps），這時就可將通信端口數n和用戶數m做如下的關系：

n/m=1.5/（16*2x）=3/2x+5

其中x≥4為待確定的數字。實際上，當模型收斂時我們得出：

由此得出網絡安全和流量控制模型，對于不同的地區當然有不同的控制方法，根據它們的不同，用分時方案同樣可以得出一個較為合理的控制模型。

3 仿真測試與分析

在網絡流量分析中，我們側重宏觀分析，如容量、吞吐量、利用率，抱怨度等等[5]，這樣能夠使我們對網絡的整體運行狀況有很好的了解，本文通過對流量數據的分析，建立了模型，并通過Matlab仿真[7]，用隨即模型和我們建立的模型進行質量優化對比，得出以下圖形（如圖2所示），可以看出，目標模型的網絡質量明顯好于我們的隨機模型。

圖2 隨機模型和目標模型的對比情況

因此我們可以得出主干網絡的流量需求[9]，取決于存儲節點的位置、使用時間高峰、計時長、包月方式等，以及所設計的分段開通的控制模式。如果存儲節點在中心節點，那么每個訪問用戶都要建立鏈路去訪問中心節點的內容，帶寬需求與同時訪問的用戶、頻道的傳輸碼率等等。如果存儲節點處于邊緣節點，則主干網絡上的業務流量需求可以消除，但對邊緣節點的處理能力有了更高的要求，進而提高了網絡部署的成本[8]。

4 結束語

實驗證明，我們所得到的網絡安全和流量模型具有較好的控制效果和較穩定的安全性，同時易于實現，并且用最小的代價獲得了最優質的網絡服務。關于網絡安全與流量控制問題的優化研究，目前，還沒有一種萬能的數學模型能夠適用于所有的情況，在一定意義上所建立的模型只適合于特定的網絡環境。本文只涉及到流量模式等方面的討論，而在對模型的建立、因素的選取等優化問題的定量分析上還有待于進一步去研究。

參考文獻：

[1] Dell R.McKeown N and Varaiya P.Billing Users and Pricing forTCP[M].IEEE Journal on Selected Areas in Communications，1995.7：1162

[2] Mackie-Mason J K and Varian H Resume FAQs aboutUsage-based pricing[M].Computer Networks and ISDN systems，1995.1-2：257

[3] 傅曉明.Internet網絡服務定價研究現狀與展望[J].計算機與現代化，1999.2.

[4] 張文鉞.一種基于計費管理的網絡服務質量控制法[J].計算機工程與應用，1999.6.

[5] 陳寶林.最優化理論與算法[M].清華大學出版社，2005.

[6] K.安斯倫.數學計算機用的數學方法統計方法[M].上?？萍汲霭嫔?，1981.

[7] 易芝，黃穎，鄒永貴.基于IPv6的局域網通信系統的設計和實現[J].重慶郵電大學學報，2005.17（2）：238-24

[8] 謝希仁.計算機網絡[M].電子工業出版社，2003.

[9] 張裔智.基于Intranet開發方案的量化評價[J].浙江大學碩士學位論文，2002.

[10] 張新寶.互聯網上的侵權問題研究[M].中國人民大學出版社，2003.

[11] 李芳，李艾華，吳朝軍.神經網絡改進算法在超聲波流量測量中的應用[J].計算機測量與控制，2008.16（2）：163-165