2018年 第55卷 第4期
摘要:
图灵奖得主Butler Lampson提出了“一切皆可计算”的概念,这一概念的实现不仅得益于数学模型的发展和计算、存储能力的提高,也离不开虚拟化的思想,它使得通用的计算机能够模拟出几乎任意一种专用计算设备。如今互联网技术的发展正在让时代迈入“万物皆可互联”的阶段,网络不再是简单的数据传输工具,丰富多彩的网络功能使得个性化、定制化、智能化的服务成为可能,如机器对机器通信、视频/直播服务、虚拟现实、增强现实、移动智能可穿戴技术、物联网技术等。使用专用的网络中间盒设备已难以满足日益增长的用户需求,而通过虚拟化技术在通用设备上实现高效、灵活、可扩展的网络功能部署已经成为新的趋势。全球几大电信运营商在2012年的SDN和OpenFlow大会上首次提出了网络功能虚拟化(NFV)的概念。在此后的短短几年时间里,NFV影响的范围已经不仅仅局限于电信领域,成为了设备提供商、云服务提供商、网络运营商和学术研究人员的新宠儿,相关标准化工作与研究工作正在迅速开展。
图灵奖得主Butler Lampson提出了“一切皆可计算”的概念,这一概念的实现不仅得益于数学模型的发展和计算、存储能力的提高,也离不开虚拟化的思想,它使得通用的计算机能够模拟出几乎任意一种专用计算设备。如今互联网技术的发展正在让时代迈入“万物皆可互联”的阶段,网络不再是简单的数据传输工具,丰富多彩的网络功能使得个性化、定制化、智能化的服务成为可能,如机器对机器通信、视频/直播服务、虚拟现实、增强现实、移动智能可穿戴技术、物联网技术等。使用专用的网络中间盒设备已难以满足日益增长的用户需求,而通过虚拟化技术在通用设备上实现高效、灵活、可扩展的网络功能部署已经成为新的趋势。全球几大电信运营商在2012年的SDN和OpenFlow大会上首次提出了网络功能虚拟化(NFV)的概念。在此后的短短几年时间里,NFV影响的范围已经不仅仅局限于电信领域,成为了设备提供商、云服务提供商、网络运营商和学术研究人员的新宠儿,相关标准化工作与研究工作正在迅速开展。
2018, 55(4): 675-688.
DOI: 10.7544/issn1000-1239.2018.20170937
摘要:
网络功能虚拟化(network function virtualization, NFV)基于虚拟化技术和标准的商业服务器、交换机、存储器来实现网络功能,用于替代网络中原本采用专用设备的中间盒,为运营商减少了搭建和运营网络的开销,提高了网络服务的灵活性、可扩展性,促进了新兴网络功能的开发和部署.目前NFV仍然处于发展阶段,在系统性能、管理编排、可靠性、可用性、安全性、可编程性等方面仍然存在很多问题,研究人员围绕这些问题展开了大量的研究.对NFV体系结构和基础技术进行了总结,提出了需要解决的关键问题.在此基础上,对已有的NFV研究成果提出了“四象限”的分类方法,并详细分析和比较了典型的解决方案,总结了各方案的优势和开销,对未来的研究趋势进行了展望.
网络功能虚拟化(network function virtualization, NFV)基于虚拟化技术和标准的商业服务器、交换机、存储器来实现网络功能,用于替代网络中原本采用专用设备的中间盒,为运营商减少了搭建和运营网络的开销,提高了网络服务的灵活性、可扩展性,促进了新兴网络功能的开发和部署.目前NFV仍然处于发展阶段,在系统性能、管理编排、可靠性、可用性、安全性、可编程性等方面仍然存在很多问题,研究人员围绕这些问题展开了大量的研究.对NFV体系结构和基础技术进行了总结,提出了需要解决的关键问题.在此基础上,对已有的NFV研究成果提出了“四象限”的分类方法,并详细分析和比较了典型的解决方案,总结了各方案的优势和开销,对未来的研究趋势进行了展望.
2018, 55(4): 689-703.
DOI: 10.7544/issn1000-1239.2018.20170923
摘要:
网络负载均衡器是实现网络功能虚拟化(network function virtualization, NFV)的重要功能组件,通过其准确的业务负载分担,运营商可以灵活、高效地实现业务能力增强和容量扩展.基于DPDK技术框架设计实现了面向NFV的高性能4层网络负载均衡机制及系统HVLB,能够灵活部署运行于主流虚拟化平台.HVLB整体采用软件定义网络(software defined networking, SDN)思想设计,实现调度策略制订和数据转发的有效分离.在转发端基于用户空间实现多核多队列高效数据处理架构,同时保证各处理队列间的数据访问隔离和任务处理均衡;在控制端基于网络链路和计算相结合的综合能力作为NF选择和转发策略的制订依据,在实施业务数据准确分发的基础上保障了网络性能.基于KVM的原型系统实验结果表明:与现有LVS系统相比,HVLB极大地提升了数据包处理与转发性能,并实现了64字节UDP数据包的线速转发.
网络负载均衡器是实现网络功能虚拟化(network function virtualization, NFV)的重要功能组件,通过其准确的业务负载分担,运营商可以灵活、高效地实现业务能力增强和容量扩展.基于DPDK技术框架设计实现了面向NFV的高性能4层网络负载均衡机制及系统HVLB,能够灵活部署运行于主流虚拟化平台.HVLB整体采用软件定义网络(software defined networking, SDN)思想设计,实现调度策略制订和数据转发的有效分离.在转发端基于用户空间实现多核多队列高效数据处理架构,同时保证各处理队列间的数据访问隔离和任务处理均衡;在控制端基于网络链路和计算相结合的综合能力作为NF选择和转发策略的制订依据,在实施业务数据准确分发的基础上保障了网络性能.基于KVM的原型系统实验结果表明:与现有LVS系统相比,HVLB极大地提升了数据包处理与转发性能,并实现了64字节UDP数据包的线速转发.
2018, 55(4): 704-716.
DOI: 10.7544/issn1000-1239.2018.20170941
摘要:
在大规模数据中心网络中,链路故障检测是保障网络连通性,确保线上业务正常运转的重要手段.当前链路故障检测功能一般由中间盒设备来提供或被直接整合到交换设备中.随着软件定义网络和网络功能虚拟化(network function virtualization, NFV)技术的发展,各项网络功能正逐渐从专用设备中分离出来,以服务的形式部署在云端为用户提供解决方案.然而,当前链路故障检测方法面临着单次探测用时过长、网络带宽占用率过高以及服务器负载过重等严峻挑战,并不适用于构建实时性需求较高的云服务.为此,需要对已有链路故障检测工作中存在的问题进行分析,提出探测矩阵的概念,以及基于探测矩阵优化的链路故障检测方法,并设计一个链路故障检测控制器与SDN控制器协同的服务架构,以此实现云端的链路故障实时检测即服务.最后,通过仿真实验的方式验证了该实时检测方法在单次探测用时、网络带宽占用以及端点负载3方面同之前工作相比具有显著优势,且优化探测矩阵所带来的开销是可容忍的.
在大规模数据中心网络中,链路故障检测是保障网络连通性,确保线上业务正常运转的重要手段.当前链路故障检测功能一般由中间盒设备来提供或被直接整合到交换设备中.随着软件定义网络和网络功能虚拟化(network function virtualization, NFV)技术的发展,各项网络功能正逐渐从专用设备中分离出来,以服务的形式部署在云端为用户提供解决方案.然而,当前链路故障检测方法面临着单次探测用时过长、网络带宽占用率过高以及服务器负载过重等严峻挑战,并不适用于构建实时性需求较高的云服务.为此,需要对已有链路故障检测工作中存在的问题进行分析,提出探测矩阵的概念,以及基于探测矩阵优化的链路故障检测方法,并设计一个链路故障检测控制器与SDN控制器协同的服务架构,以此实现云端的链路故障实时检测即服务.最后,通过仿真实验的方式验证了该实时检测方法在单次探测用时、网络带宽占用以及端点负载3方面同之前工作相比具有显著优势,且优化探测矩阵所带来的开销是可容忍的.
2018, 55(4): 717-728.
DOI: 10.7544/issn1000-1239.2018.20170927
摘要:
公有云中需要灵活地部署网络功能以实现多租户间的网络隔离、服务质量保证与安全防护.软件实现的网络功能具有较高的灵活性,但性能较低,并存在分组处理吞吐率较低、处理延时较高等不足.FPGA具有良好的可编程性及较高的处理性能.但如何使用FPGA实现可重构的网络功能缺乏统一的架构和方法.针对FPGA实现网络功能提出了一种可重构流水线模型——DrawerPipe.该模型将网络功能实现架构抽象为5个标准的“抽屉”,不同的“抽屉”可以根据需要装载不同的处理模块,通过组合这些处理模块实现各种网络功能.此外,DrawerPipe采用了一种协议无关的可编程模块接口,以实现不同模块接口之间的适配,从而解除模块间由特定接口信号定义而绑定的耦合性.最后,基于DrawerPipe实现了多种网络功能.实验结果表明DrawerPipe具有良好的可扩展性,以及线速处理性能、资源利用率高等优点,可用于网络功能的快速部署.
公有云中需要灵活地部署网络功能以实现多租户间的网络隔离、服务质量保证与安全防护.软件实现的网络功能具有较高的灵活性,但性能较低,并存在分组处理吞吐率较低、处理延时较高等不足.FPGA具有良好的可编程性及较高的处理性能.但如何使用FPGA实现可重构的网络功能缺乏统一的架构和方法.针对FPGA实现网络功能提出了一种可重构流水线模型——DrawerPipe.该模型将网络功能实现架构抽象为5个标准的“抽屉”,不同的“抽屉”可以根据需要装载不同的处理模块,通过组合这些处理模块实现各种网络功能.此外,DrawerPipe采用了一种协议无关的可编程模块接口,以实现不同模块接口之间的适配,从而解除模块间由特定接口信号定义而绑定的耦合性.最后,基于DrawerPipe实现了多种网络功能.实验结果表明DrawerPipe具有良好的可扩展性,以及线速处理性能、资源利用率高等优点,可用于网络功能的快速部署.
2018, 55(4): 729-737.
DOI: 10.7544/issn1000-1239.2018.20170946
摘要:
路由器及转发路径的安全可信一直备受关注.不同厂商的网络设备或处于不同管理环境中的同一款网络设备,都具有不同的安全可信度.人们期望为不同安全需求的流量提供相应可信级别的转发路径,实现网络数据的可信传输.设计了多级可信传输机制(credible transmission with multiple levels, CETML),提出了基本的可信管理策略.所有路由节点和IP前缀都被指定可信级别,网络流量也基于源、目的IP被设置可信级别.CETML为不同可信级别的传输网络构建虚拟拓扑,确保网络中的报文必须通过不小于其可信级别的路由器进行转发.路由器转发项要包含多个下一跳信息,会引入极少量的存储开销.面向SDN网络环境,分析多级虚拟拓扑的关联,基于Floyd算法思想设计了可依次迭代的多关联拓扑路由计算方法,计算时间相对典型的路由算法显著降低.
路由器及转发路径的安全可信一直备受关注.不同厂商的网络设备或处于不同管理环境中的同一款网络设备,都具有不同的安全可信度.人们期望为不同安全需求的流量提供相应可信级别的转发路径,实现网络数据的可信传输.设计了多级可信传输机制(credible transmission with multiple levels, CETML),提出了基本的可信管理策略.所有路由节点和IP前缀都被指定可信级别,网络流量也基于源、目的IP被设置可信级别.CETML为不同可信级别的传输网络构建虚拟拓扑,确保网络中的报文必须通过不小于其可信级别的路由器进行转发.路由器转发项要包含多个下一跳信息,会引入极少量的存储开销.面向SDN网络环境,分析多级虚拟拓扑的关联,基于Floyd算法思想设计了可依次迭代的多关联拓扑路由计算方法,计算时间相对典型的路由算法显著降低.
2018, 55(4): 738-747.
DOI: 10.7544/issn1000-1239.2018.20170926
摘要:
网络功能虚拟化(network function virtualization, NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟网络资源分配等问题.虚拟网络功能调度问题本身为NP-hard,在虚拟网络功能资源调度延迟的特定问题上,为保证良好的用户体验,需要确保网络资源被合理地分配和协调以防止资源的过度供应和保持端到端低延迟.针对网络资源调度的延时问题建立了以最小化资源调度总体服务延迟为目标的整数线性规划模型.此外,为了满足网络动态性较高的特性,设计了一种基于贪婪的启发式算法,此算法首先构建辅助图,然后根据考虑到网络传播时延影响的不同业务链之间的时延影响分析来选择资源调度方案,并且对很多点处理功能采用了多路传输的方式.最终的实验结果表明:所提算法可以有效地指导模型的求解,在降低网络总体服务延时方面比之前相关研究有5%~15%的性能提升.
网络功能虚拟化(network function virtualization, NFV)旨在以软件的方式实现网络功能从而替代传统网络中的专有硬件设备.为了应对日益增长的资源密集型需求,面向软件的网络功能虚拟化带来了如虚拟网络功能的管理、低延迟的调度和虚拟网络资源分配等问题.虚拟网络功能调度问题本身为NP-hard,在虚拟网络功能资源调度延迟的特定问题上,为保证良好的用户体验,需要确保网络资源被合理地分配和协调以防止资源的过度供应和保持端到端低延迟.针对网络资源调度的延时问题建立了以最小化资源调度总体服务延迟为目标的整数线性规划模型.此外,为了满足网络动态性较高的特性,设计了一种基于贪婪的启发式算法,此算法首先构建辅助图,然后根据考虑到网络传播时延影响的不同业务链之间的时延影响分析来选择资源调度方案,并且对很多点处理功能采用了多路传输的方式.最终的实验结果表明:所提算法可以有效地指导模型的求解,在降低网络总体服务延时方面比之前相关研究有5%~15%的性能提升.
2018, 55(4): 748-767.
DOI: 10.7544/issn1000-1239.2018.20170938
摘要:
针对在底层网络可能发生单点和单链路故障情况下的服务功能链(service function chain, SFC)映射问题,提出一种区分等级的可生存SFC映射方法,为提供重要服务的关键SFC预先分配备用资源,为提供普通服务的普通SFC快速重映射失效部分,从而兼顾提高SFC可生存能力和降低底层网络资源开销的需求.首先,在考虑最小化SFC服务时延的条件下,分别为关键SFC和普通SFC的可生存映射问题建立混合整数线性规划模型.其次,提出2种启发式的模型求解算法,其中,面向关键SFC的主备服务路径构建算法采用贪心思想交替进行节点和链路映射,以减小SFC服务时延,并在主备服务路径之间建立桥接路径,以提高路径切换速度和降低路径切换过程的丢包率;面向普通SFC的失效服务路径重建算法引入最大流问题求解失效节点的最佳重映射位置,以提高成功恢复的失效普通SFC数目,并利用改进的Dijkstra最短路径算法选择时延低的重映射路径.最后,在不同网络条件下实验验证了启发式算法的性能,并且在模拟网络环境中所提可生存SFC映射方法能保证SFC的成功运行率在592%以上.
针对在底层网络可能发生单点和单链路故障情况下的服务功能链(service function chain, SFC)映射问题,提出一种区分等级的可生存SFC映射方法,为提供重要服务的关键SFC预先分配备用资源,为提供普通服务的普通SFC快速重映射失效部分,从而兼顾提高SFC可生存能力和降低底层网络资源开销的需求.首先,在考虑最小化SFC服务时延的条件下,分别为关键SFC和普通SFC的可生存映射问题建立混合整数线性规划模型.其次,提出2种启发式的模型求解算法,其中,面向关键SFC的主备服务路径构建算法采用贪心思想交替进行节点和链路映射,以减小SFC服务时延,并在主备服务路径之间建立桥接路径,以提高路径切换速度和降低路径切换过程的丢包率;面向普通SFC的失效服务路径重建算法引入最大流问题求解失效节点的最佳重映射位置,以提高成功恢复的失效普通SFC数目,并利用改进的Dijkstra最短路径算法选择时延低的重映射路径.最后,在不同网络条件下实验验证了启发式算法的性能,并且在模拟网络环境中所提可生存SFC映射方法能保证SFC的成功运行率在592%以上.
2018, 55(4): 768-781.
DOI: 10.7544/issn1000-1239.2018.20170942
摘要:
针对网络功能虚拟化(network function virtualization, NFV)环境下安全服务链(security service chain, SSC)故障问题,提出一种基于比例资源预留的备份恢复机制.该方法采用前摄性处理思想,预先在物理网络中按比例划分主备用资源并构造节点/链路候选集合;当发生节点故障时,从候选集合中选取重映射目标并为其分配预留的备用资源,利用改进的离散粒子群(discrete particle swarm optimization, DPSO)算法及时地解决节点故障重映射问题,在降低资源占用的同时提高故障修复率;当发生链路故障时,通过改变底层物理路径流量分割比例,将受影响流量迁移到候选集合的可用链路中,设计动态路径分割算法有效解决了链路故障重定向问题,实现底层物理网络资源剩余价值最大化.仿真实验验证了算法在不同物理网络环境下的适应性和不同故障模型下的有效性,此外,还初步探索了主用比例的取值对所提备份恢复机制的影响.
针对网络功能虚拟化(network function virtualization, NFV)环境下安全服务链(security service chain, SSC)故障问题,提出一种基于比例资源预留的备份恢复机制.该方法采用前摄性处理思想,预先在物理网络中按比例划分主备用资源并构造节点/链路候选集合;当发生节点故障时,从候选集合中选取重映射目标并为其分配预留的备用资源,利用改进的离散粒子群(discrete particle swarm optimization, DPSO)算法及时地解决节点故障重映射问题,在降低资源占用的同时提高故障修复率;当发生链路故障时,通过改变底层物理路径流量分割比例,将受影响流量迁移到候选集合的可用链路中,设计动态路径分割算法有效解决了链路故障重定向问题,实现底层物理网络资源剩余价值最大化.仿真实验验证了算法在不同物理网络环境下的适应性和不同故障模型下的有效性,此外,还初步探索了主用比例的取值对所提备份恢复机制的影响.
2018, 55(4): 782-790.
DOI: 10.7544/issn1000-1239.2018.20170016
摘要:
基于模型诊断(model-based diagnosis, MBD)是人工智能领域一个极富有挑战性的问题.近年来,SAT求解器发展十分迅速,且已被应用于求解基于模型诊断问题并取得了显著成果.在对基于模型诊断问题求解方法LLBRS-Tree深入研究的基础上,根据电路组件的拓扑结构信息、系统的观测行为和预期行为之间的差异以及集合枚举树的特点,首次提出了组件静态伪故障度和动态伪故障度的概念.计算所有组件的静态伪故障度,并根据静态伪故障度从大到小对组件重新排序,生成新的枚举树;并且在遍历到新的极小诊断解时,更新相关组件的动态伪故障度,动态建立新的枚举树,从而能较快地搜索到极小诊断解,删除大量冗余解,较大程度地减少SAT求解器的调用次数.实验结果表明:随着诊断系统中组件个数的增多以及极小诊断解长度的增加,提出的方法较LLBRS-Tree方法效率提升明显.
基于模型诊断(model-based diagnosis, MBD)是人工智能领域一个极富有挑战性的问题.近年来,SAT求解器发展十分迅速,且已被应用于求解基于模型诊断问题并取得了显著成果.在对基于模型诊断问题求解方法LLBRS-Tree深入研究的基础上,根据电路组件的拓扑结构信息、系统的观测行为和预期行为之间的差异以及集合枚举树的特点,首次提出了组件静态伪故障度和动态伪故障度的概念.计算所有组件的静态伪故障度,并根据静态伪故障度从大到小对组件重新排序,生成新的枚举树;并且在遍历到新的极小诊断解时,更新相关组件的动态伪故障度,动态建立新的枚举树,从而能较快地搜索到极小诊断解,删除大量冗余解,较大程度地减少SAT求解器的调用次数.实验结果表明:随着诊断系统中组件个数的增多以及极小诊断解长度的增加,提出的方法较LLBRS-Tree方法效率提升明显.
2018, 55(4): 791-801.
DOI: 10.7544/issn1000-1239.2018.20160900
摘要:
在基于模型诊断(model-based diagnosis, MBD)中,因为所有极小冲突集的极小碰集就是待诊断系统的诊断结果,所以利用所有极小冲突集构造极小冲突集合簇,并基于极小冲突集合簇计算极小碰集是诊断的关键步骤.提出一种基于动态极大元素覆盖值求解极小碰集的新算法.该算法按照元素的元素覆盖值从大到小的顺序依次处理元素,并在求解碰集的过程中加入启发式策略和剪枝策略,使得搜索空间极大减少;利用邻接链表存储输入的极小冲突集合簇,邻接链表相对于用矩阵作为存储结构有较好的空间开销且通过邻接指向能快速地找到元素可以覆盖的集合簇中的元素;每得到一个碰集便使用极小碰集判定规则进行筛选,因此算法结束时可以产生而且仅产生所有的极小碰集.实验结果表明该算法有较高的计算效率.
在基于模型诊断(model-based diagnosis, MBD)中,因为所有极小冲突集的极小碰集就是待诊断系统的诊断结果,所以利用所有极小冲突集构造极小冲突集合簇,并基于极小冲突集合簇计算极小碰集是诊断的关键步骤.提出一种基于动态极大元素覆盖值求解极小碰集的新算法.该算法按照元素的元素覆盖值从大到小的顺序依次处理元素,并在求解碰集的过程中加入启发式策略和剪枝策略,使得搜索空间极大减少;利用邻接链表存储输入的极小冲突集合簇,邻接链表相对于用矩阵作为存储结构有较好的空间开销且通过邻接指向能快速地找到元素可以覆盖的集合簇中的元素;每得到一个碰集便使用极小碰集判定规则进行筛选,因此算法结束时可以产生而且仅产生所有的极小碰集.实验结果表明该算法有较高的计算效率.
2018, 55(4): 802-814.
DOI: 10.7544/issn1000-1239.2018.20160919
摘要:
特征选择是数据预处理中一项很重要的技术,主要从原始数据集的特征中选出一些最有效的特征以降低数据集的维度,从而提高学习算法性能.目前基于邻域粗糙集模型的特征选择算法中,由于没有考虑数据分布不均的问题,对象的邻域存在一定的缺陷.为了解决这个问题,采用方差来度量数据的分布情况,重新定义二元邻域空间,基于此提出自适应二元邻域空间的粗糙集模型,并将该模型与邻域直觉模糊熵结合作为特征评估的方式,进而构造相应的特征选择算法.UCI实验结果表明:所提出的算法能够选出更小且具有更高分类精度的特征子集,同时算法拥有更少的时间消耗.因此所提的特征选择算法具有更强的优越性.
特征选择是数据预处理中一项很重要的技术,主要从原始数据集的特征中选出一些最有效的特征以降低数据集的维度,从而提高学习算法性能.目前基于邻域粗糙集模型的特征选择算法中,由于没有考虑数据分布不均的问题,对象的邻域存在一定的缺陷.为了解决这个问题,采用方差来度量数据的分布情况,重新定义二元邻域空间,基于此提出自适应二元邻域空间的粗糙集模型,并将该模型与邻域直觉模糊熵结合作为特征评估的方式,进而构造相应的特征选择算法.UCI实验结果表明:所提出的算法能够选出更小且具有更高分类精度的特征子集,同时算法拥有更少的时间消耗.因此所提的特征选择算法具有更强的优越性.
2018, 55(4): 815-830.
DOI: 10.7544/issn1000-1239.2018.20160970
摘要:
目前IDC数据中心内部由于网络攻击或网络配置等原因路由会经常变化,然而由于缺乏有效的监控软件,路由异常、路由抖动难以发现,故障难以定位.数据中心业务出现网络故障时无法确认故障点导致修复时间延长、用户体验降低和运营收入减少等问题.分析了当前主流数据中心的网络架构、通信协议和路由计算原理,提出了一种基于链路状态数据库(link state database, LSDB)的数据中心网络异常检测方法LSAP,该方法通过搜集LSDB,使用改进路由算法计算全网路由形成路由择域信息库(routing information base, RIB),根据LSDB快照和RIB快照比对准确关联链路变化和路由变化,发现链路异常、路由异常,能够定位故障.LSAP基于大数据分析平台实时计算路由表,能够实现秒级处理上亿条路由信息,满足当前数据中心对于分析速率的要求.通过在数据中心网络中部署试用,LSAP能够快速发现拓扑变化、复原路由表,统计分析所有路由变化,先于业务发现路由异常、路由攻击,且对网络改动很少,被动搜集数据不影响网络自身稳定性,适用对稳定性要求较高的数据中心部署.
目前IDC数据中心内部由于网络攻击或网络配置等原因路由会经常变化,然而由于缺乏有效的监控软件,路由异常、路由抖动难以发现,故障难以定位.数据中心业务出现网络故障时无法确认故障点导致修复时间延长、用户体验降低和运营收入减少等问题.分析了当前主流数据中心的网络架构、通信协议和路由计算原理,提出了一种基于链路状态数据库(link state database, LSDB)的数据中心网络异常检测方法LSAP,该方法通过搜集LSDB,使用改进路由算法计算全网路由形成路由择域信息库(routing information base, RIB),根据LSDB快照和RIB快照比对准确关联链路变化和路由变化,发现链路异常、路由异常,能够定位故障.LSAP基于大数据分析平台实时计算路由表,能够实现秒级处理上亿条路由信息,满足当前数据中心对于分析速率的要求.通过在数据中心网络中部署试用,LSAP能够快速发现拓扑变化、复原路由表,统计分析所有路由变化,先于业务发现路由异常、路由攻击,且对网络改动很少,被动搜集数据不影响网络自身稳定性,适用对稳定性要求较高的数据中心部署.
2018, 55(4): 831-845.
DOI: 10.7544/issn1000-1239.2018.20170087
摘要:
入侵意图和路径预测对于安全管理员深入理解攻击者可能的威胁行为具有重要意义.现有研究主要集中于理想攻击场景中的路径预测,然而理想攻击路径并不都是入侵者采取的真实路径.为了准确全面地预测网络入侵的路径信息,提出基于吸收Markov链的多步攻击路径预测方法.首先利用吸收Markov链中状态转移的无后效性和吸收性设计节点状态转移概率归一化算法,并证明完整攻击图可以映射为吸收Markov链,进而给出了基于通用漏洞评分标准的状态转移概率度量方法,最后提出攻击状态节点访问次数和路径长度的期望值预测步骤流程.实例分析结果表明:该方法可以量化不同长度攻击路径的概率分布、计算路径长度的期望值、预测实现既定攻击目标所需的原子攻击次数,并对节点威胁进行排序,为及时应对网络攻击威胁提供更多安全防护指导.
入侵意图和路径预测对于安全管理员深入理解攻击者可能的威胁行为具有重要意义.现有研究主要集中于理想攻击场景中的路径预测,然而理想攻击路径并不都是入侵者采取的真实路径.为了准确全面地预测网络入侵的路径信息,提出基于吸收Markov链的多步攻击路径预测方法.首先利用吸收Markov链中状态转移的无后效性和吸收性设计节点状态转移概率归一化算法,并证明完整攻击图可以映射为吸收Markov链,进而给出了基于通用漏洞评分标准的状态转移概率度量方法,最后提出攻击状态节点访问次数和路径长度的期望值预测步骤流程.实例分析结果表明:该方法可以量化不同长度攻击路径的概率分布、计算路径长度的期望值、预测实现既定攻击目标所需的原子攻击次数,并对节点威胁进行排序,为及时应对网络攻击威胁提供更多安全防护指导.
2018, 55(4): 846-853.
DOI: 10.7544/issn1000-1239.2018.20161043
摘要:
针对云环境中用户敏感信息的保护,提出一种支持隐私保护的多机构属性基加密(attribute based encryption, ABE)方案.该方案采用半策略隐藏方式,将属性分为属性名和属性值2部分,通过对用户的属性值进行隐藏,实现对用户的隐私保护,避免用户的具体属性值泄露给其他任何第三方.另外,加密时仅对与访问策略相关的属性名进行加密,而不是对系统所有属性进行加密,改变了已有的隐私保护属性基加密方式,大大减短了密文长度.方案的安全性依赖于DBDH假设,并且在标准模型下满足自适应选择明文攻击安全.同时,通过与其他方案的对比,方案计算代价和存储代价都有明显优势,尤其是密文长度仅与访问策略设置的属性相关,更加适用于实际应用中用户属性规模远远小于系统属性规模的情况.
针对云环境中用户敏感信息的保护,提出一种支持隐私保护的多机构属性基加密(attribute based encryption, ABE)方案.该方案采用半策略隐藏方式,将属性分为属性名和属性值2部分,通过对用户的属性值进行隐藏,实现对用户的隐私保护,避免用户的具体属性值泄露给其他任何第三方.另外,加密时仅对与访问策略相关的属性名进行加密,而不是对系统所有属性进行加密,改变了已有的隐私保护属性基加密方式,大大减短了密文长度.方案的安全性依赖于DBDH假设,并且在标准模型下满足自适应选择明文攻击安全.同时,通过与其他方案的对比,方案计算代价和存储代价都有明显优势,尤其是密文长度仅与访问策略设置的属性相关,更加适用于实际应用中用户属性规模远远小于系统属性规模的情况.
2018, 55(4): 854-863.
DOI: 10.7544/issn1000-1239.2018.20161042
摘要:
网络语音电话(voice over IP, VoIP)已成为目前人们沟通交流的普遍选择.相比文本、图像等传统隐写载体,网络语音数据流隐蔽性好,隐藏空间更大,因而得到越来越多的关注.目前的网络语音隐写研究围绕算法设计展开,已有成果的抗检测性有待进一步加强,且缺乏安全性理论指导.为此,首先分析语音帧的时序性特点,以相对熵的形式定义了基于贝叶斯网络模型的隐写安全性.通过分析语音编码过程,建立了固定码本参数的贝叶斯网络模型并将参数分为二元载体和三元载体2类.应用矩阵嵌入技术确定载体的修改位置,减少修改量;以最小化安全性测度为目标确定三元载体元素的修改方向,降低隐写对载体统计特性的影响.实验表明:在不显著增加计算复杂度的前提下,所提算法取得了比已有算法更好的感知透明性和抗检测能力.
网络语音电话(voice over IP, VoIP)已成为目前人们沟通交流的普遍选择.相比文本、图像等传统隐写载体,网络语音数据流隐蔽性好,隐藏空间更大,因而得到越来越多的关注.目前的网络语音隐写研究围绕算法设计展开,已有成果的抗检测性有待进一步加强,且缺乏安全性理论指导.为此,首先分析语音帧的时序性特点,以相对熵的形式定义了基于贝叶斯网络模型的隐写安全性.通过分析语音编码过程,建立了固定码本参数的贝叶斯网络模型并将参数分为二元载体和三元载体2类.应用矩阵嵌入技术确定载体的修改位置,减少修改量;以最小化安全性测度为目标确定三元载体元素的修改方向,降低隐写对载体统计特性的影响.实验表明:在不显著增加计算复杂度的前提下,所提算法取得了比已有算法更好的感知透明性和抗检测能力.
2018, 55(4): 864-874.
DOI: 10.7544/issn1000-1239.2018.20160890
摘要:
内存对象缓存系统在通信方面受制于传统以太网的高延迟,在存储方面受限于服务器内可部署的内存规模,亟需融合新一代高性能I/O技术来提升性能、扩展容量.以广泛应用的Memcached为例,聚焦内存对象缓存系统的数据通路并基于高性能I/O对其进行通信加速与存储扩展.首先,基于日益流行的高性能远程直接内存访问(remote direct memory access, RDMA)语义重新设计通信协议,并针对不同的Memcached操作及消息大小设计不同的策略,降低了通信延迟.其次,利用高性能NVMe SSD来扩展Memcached存储,采用日志结构管理内存与外存2级存储,并通过用户级驱动实现对SSD的直接访问,降低了软件开销.最终,实现了支持JVM环境的高性能缓存系统U2cache.U2cache通过旁路操作系统内核和JVM运行时与内存拷贝、RDMA通信、SSD访问交叠流水的方法,显著降低了数据访问开销.实验结果表明,U2cache通信延迟接近RDMA底层硬件性能;对大消息而言,相较无优化版本,性能提高超过20%;访问SSD中的数据时,相比通过内核I/O软件栈的方式,访问延迟最高降低了31%.
内存对象缓存系统在通信方面受制于传统以太网的高延迟,在存储方面受限于服务器内可部署的内存规模,亟需融合新一代高性能I/O技术来提升性能、扩展容量.以广泛应用的Memcached为例,聚焦内存对象缓存系统的数据通路并基于高性能I/O对其进行通信加速与存储扩展.首先,基于日益流行的高性能远程直接内存访问(remote direct memory access, RDMA)语义重新设计通信协议,并针对不同的Memcached操作及消息大小设计不同的策略,降低了通信延迟.其次,利用高性能NVMe SSD来扩展Memcached存储,采用日志结构管理内存与外存2级存储,并通过用户级驱动实现对SSD的直接访问,降低了软件开销.最终,实现了支持JVM环境的高性能缓存系统U2cache.U2cache通过旁路操作系统内核和JVM运行时与内存拷贝、RDMA通信、SSD访问交叠流水的方法,显著降低了数据访问开销.实验结果表明,U2cache通信延迟接近RDMA底层硬件性能;对大消息而言,相较无优化版本,性能提高超过20%;访问SSD中的数据时,相比通过内核I/O软件栈的方式,访问延迟最高降低了31%.
2018, 55(4): 875-884.
DOI: 10.7544/issn1000-1239.2018.20160871
摘要:
神威“太湖之光”是最新一期Top500榜单上排名第一的超级计算机,实测峰值性能约93PFLOPS.该系统提供了基于指导语句的并行编程工具OpenACC,兼容OpenACC 2.0编程标准,并添加了部分定制化功能.GTC-P是一个具有重要物理意义的科学应用,算法基于高性能计算领域中被广泛使用的PIC(particle-in-cell)方法.利用神威OpenACC并行编程模型在“太湖之光”上成功移植了GTC-P应用.在移植过程中,鉴于OpenACC编译器尚无法解决的性能瓶颈,提出了3种基于中间代码二次开发的优化方法:1)消除原子操作;2)避免低效的全局访存操作;3)手动添加SIMD intrinsics指令.实验结果表明,在64个从核上相比1个主核,优化后的函数charge和push分别实现了1.6倍和86倍的加速比,同时GTC-P代码整体取得了2.5倍的加速比.优化结果证明了基于中间代码的手动优化对利用神威OpenACC移植的PIC算法在“太湖之光”上的性能提升非常重要.
神威“太湖之光”是最新一期Top500榜单上排名第一的超级计算机,实测峰值性能约93PFLOPS.该系统提供了基于指导语句的并行编程工具OpenACC,兼容OpenACC 2.0编程标准,并添加了部分定制化功能.GTC-P是一个具有重要物理意义的科学应用,算法基于高性能计算领域中被广泛使用的PIC(particle-in-cell)方法.利用神威OpenACC并行编程模型在“太湖之光”上成功移植了GTC-P应用.在移植过程中,鉴于OpenACC编译器尚无法解决的性能瓶颈,提出了3种基于中间代码二次开发的优化方法:1)消除原子操作;2)避免低效的全局访存操作;3)手动添加SIMD intrinsics指令.实验结果表明,在64个从核上相比1个主核,优化后的函数charge和push分别实现了1.6倍和86倍的加速比,同时GTC-P代码整体取得了2.5倍的加速比.优化结果证明了基于中间代码的手动优化对利用神威OpenACC移植的PIC算法在“太湖之光”上的性能提升非常重要.
2018, 55(4): 885-892.
DOI: 10.7544/issn1000-1239.2018.20160875
摘要:
Sort-last并行绘制方法广泛应用于大规模科学数据的并行可视化过程,而并行图像合成方法直接决定了Sort-last方法的总体绘制性能.针对目前Direct Send图像合成方法中存在的不足,提出一种通信开销最小的Direct Send并行图像合成方法,该方法首先使用GPU多线程方式统计各个绘制节点图像的有效像素前缀和,再利用动态规划方法计算有效像素前缀和列表的最佳分割位置,使并行图像合成的通信开销最小.该方法改变了传统Direct Send方法中静态均匀分配图像子块的合成模式,实验表明:所提出的Direct Send方法在并行图像合成性能方面明显优于现有方法,为后续以Direct Send方法为基石构建更高效的大规模并行图像合成方法奠定了基础.
Sort-last并行绘制方法广泛应用于大规模科学数据的并行可视化过程,而并行图像合成方法直接决定了Sort-last方法的总体绘制性能.针对目前Direct Send图像合成方法中存在的不足,提出一种通信开销最小的Direct Send并行图像合成方法,该方法首先使用GPU多线程方式统计各个绘制节点图像的有效像素前缀和,再利用动态规划方法计算有效像素前缀和列表的最佳分割位置,使并行图像合成的通信开销最小.该方法改变了传统Direct Send方法中静态均匀分配图像子块的合成模式,实验表明:所提出的Direct Send方法在并行图像合成性能方面明显优于现有方法,为后续以Direct Send方法为基石构建更高效的大规模并行图像合成方法奠定了基础.
本刊虚拟专辑J-CRAD Transactions on系列更新,欢迎阅读!
