网络透视技术

网络透视技术

1.1网络透视技术概念

网络透视技术（Network Tomography）是一门新兴的兼具网络测试与网络预警的技术,旨在通过发送特定的数据包（我们也称其为探测包）并将其发送到某特定网络，利用P2P的方法得到链联级的性能特性,比如:丢包率、平均延迟、吞吐量、背靠背缓冲能力等.将所得的信息进行统计、综合分析。

网络透视在原理上和医学上的CT等原理相象，它是基于一种端对端的技术来获取网络中那些不能直接观察到的信息，它通过发送多种探测包给指定的接收器（服务器），观察并分析接受器所获得的信息，最后通过统计和推断来获得各种网络信息【8】。

网络透视技术也称为网络层析成像技术、推理性的网络监视技术，他们都是基于对大规模网络中有限个节点的传输测量，使用统计学的原理来估算或推断网络的性能参数。

1.2目前相关的研究内容

目前网络透视技术相关的研究内容有很多其重点需解决的问题有，怎样通过了解网络的内部特征以及网络拓扑的结构向特定网络发送探测包，探测包怎样发送、怎样做才比较合适。怎样对探测包反馈的信息进行综合统计和分析。我们可以将目前相关的研究内容分为以下三部分。

第一部分为数据的获取，其中主要研究如何获取网络内部的相关有用信息。一种方法如上所述采用发送各种探测包的技术，称为主动方法。另一种方法不发送专门的探测包，而依赖于观察发生在某一个服务器的各种请求来推断各种网络相关信息。这两种方法各有优缺点，主动方法有着可控制的优点，但是需要发送探测包，因此需要使用一定带宽，被动方法则恰恰相反【8】。

第二部分为网络连接的研究，它是基于当今网络结构的复杂性、地域的分制性、性能的多样性，来研究网络拓扑以及网络的链路特征，是网络透视技术在各种应用中得以实现的主要依据。

第三部分为统计推断，它主要是根据通过第一、二部分获取的数据和网络拓扑结构来发现网络内部的信息和规律。

1.3网络透视技术所涉及到的相关知识

1.3.1多接点链接延迟估算【17】

探包从组播树的根节点发出，在节点1处进行复制并向下游发送，在接收节点2、3处观察时延(Y)。通过推演得到内部链路时延(X)。

Y=AX,

where 1's in the i throw of A specify the links that the ith component Y travels through.

1.3.2网络层析成像【17】

Yt =AXt +ε,

此处Yt是在时间t对网络中不同的节点所测量的关于包计数或端到端延迟等的向量；A是一个路由矩阵；ε是噪音向量；Xt是时间相关的包参数，如传输延迟、一个链路上包传输率的对数或者是随机的源/目的传输向量等。

在基于层析成像技术对拓扑进行估算的方法中，只在网络边缘进行测量，不需要网络内部设备间的合作。网络的物理拓扑可以用直观的图形来表示，每一个节点表示一个物理设备（如一个路由器），边线表示对应设备之间的连接。依靠网络传输和排队的一些特性，可以判别得到的网络的逻辑拓扑。

物理与逻辑拓扑间的差别，暗色的节点为没有产生传输分支的网络设备，不出现在逻辑拓扑中

(a)物理拓扑(b)对应的逻辑拓扑

1.3.3网络拓扑探测技术【17】

三明治探测的测量方案

由三个包组成，源节点发送“一大两小”三个数据报探针。较大的探测包发给节点2，两个小的探测包发给节点3。由于小探测包p2排列在大的包后面（大包的尺寸由每个链路的带宽限制决定），两个小的探测包间的初始间隔d将随着在从节点0到1这段共享路径传送而增加。增加的延迟是由第二个小的包在大的

包后面在所共享路径上的链路中排队而导致的。在理想的网络环境中[6]，共享路径上的每个链路产生不同的平均延迟是和其带宽相关的，而测量值是随着共享路径增长而增大的。一般，为准确起见，在测量Δd的时候往往取多次测试的平均值。

1.3.4网络拓扑推断【17】

1.3.4.1 基本原理

xij ～N(γij,σij2)

R是测试中接收节点的集合，xij为对节点i,j(i,j∈ R, i≠j)多次不同延迟的采样平均

交叉传输在测量时间段是稳定的，且初始的两个小包的间隔d足够大，以保证大些的包和第二个小包在任何时候都是排队在第一个小包的后面。发出探针保持足够的间隔，这样可假定每次测量是相互独立的。假设测量是统计上独立的而且测量值是有限的，因此经验平均趋向于正态分布。

1.3.4.2如何判定逻辑拓扑【17】

我们可以对树中每个内部的节点指定一度量值dk。考虑度量有单调性：一个内部节点有一个比其子孙节点小的度量值（如在图1中d5>d2)）。由于拓扑未知，我们不能直接得出度量值，但可以间接估算出它们。用a(i,j)表示一对接收者i,j∈R的共同祖先，如a(4,9)=2,定义dij≡da(i,j)。值dij认为是从根到节点i和j路径中共同部分的特性。

这个模型中有一个强制的对称性：dij=dji。根据成对的度量值和单调特性，我们完全可以判别出逻辑拓扑。

由于在网络中探测往往会受到网络流量的干扰，所以在实际测量中不能够得到准确的成对度量值。如果采用一个统计模型可以将未知的度量值和测量结果关联起来，就可以把拓扑判定问题作为一个极大似然估计（Maximum Likelihood Estimation）的过程。

1.3.4.3系统聚类树算法【17】

考虑一个有N个叶节点的树，则最小的森林大小是N!/2。结合上面对网络拓扑所作测量得到的结果xij，其对节点成对测量的结果反映的就是两两节点间的相似程度的统计值，令γ为xij的算术平均值Dij。为了进行逻辑拓扑的判

断，我们使用了系统聚类树（System Clustering Tree, SCT）算法，可以作为MLT的近似。

SCT算法中先将n个节点各自看成一类，共有n类。然后规定节点之间的距离。开始时，由于n个节点各自成一类，在这里选择最大距离作为分类距离，将满足分类距离的一对合并成一个新类，计算新类与其他类的距离，再将距离满足分类距离的类进行合并，直至满足聚类的要求（只剩下一个节点）为止.

1.3.4.4 SCT实验【17】

在实验中使用模拟数据采用SCT算法进行逻辑拓扑推断。对左图所示的拓扑，算法得出的逻辑拓扑如右图（注意：得到的节点编号与左图中的编号不同）所示：

由图中可以看出使用SCT算法得到的逻辑拓扑，它非常接近于左图中所示的物理拓扑。

1.4网络透视技术的发展与前景

网络透视作为一种新兴领域受到越来越多的重视，它的应用领域也在不断扩大和延伸，比如广泛地应用到网络安全。从一些观察点，有可能发现某些观察点，有可能发现某些Distributed Denial of Service(DDOS)的踪迹，最终找到攻击者。然而目前网络透视还处于起步阶段，很多研究还是刚刚起步，需要我们进一步努力。随着互联网的飞速发展,网络已成为人们生活不可缺少的一部分,同时网