Прогнозирование сетевых перегрузок на основе анализа временных рядов Соколов А. С., гр Руководитель – Гирик А.В., аспирант кафедры МиПЧС
Предмет, цель, задачи работы Предмет исследования – трафик в компьютерных сетях Цель работы – предложить подход к мониторингу сетевого оборудования и прогнозированию перегрузок Задачи: анализ существующих методов мониторинга и прогнозирования выбор подхода к мониторингу и прогнозированию экспериментальная проверка подхода обработка полученных измерений
Сетевой мониторинг контроль загрузки каналов связи обнаружение перегрузок обнаружение выхода из строя оборудования или программных сервисов выявление активности пользователей, приложений, обнаружение атак выявление узких мест сети, неоптимальности конфигурации сетевого оборудования определение характеристик сетевого трафика прогнозирование состояния сети
Пример структуры сети
Характеристики сетевого трафика К основным характеристикам трафика можно отнести: значения трафика (мгновенное, максимальное, пиковое, среднее, минимальное), бит/с; коэффициент пачечности трафика (пульсация); средняя длительность пикового трафика средняя длительность сеанса связи максимальный, средний, минимальный размеры пакетов; интенсивность запросов количество потерянных пакетов длительность межпакетных задержек (максимальная, средняя, минимальная) Перегрузка - это превышение интенсивности трафика пропускной способности канала
Традиционный подход к мониторингу вычислительных сетей SNMP - это протокол, используемый для получения от сетевых устройств информации об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных SNMP является наиболее распространенным протоколом управления сетями Протокол SNMP разработан для управления маршрутизаторами в сети Internet и является частью стека TCP/IP
Альтернативный подход к мониторингу Альтернативным методом является отклики протокола ICMP (эхо-запрос, эхо-ответ)
ICMP, ping, traceroute ICMP сетевой протокол, входящий в стек протоколов TCP/IP ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции К основным утилитам, использующим протокол ICMP можно отнести ping и traceroute Ping - это процедура, которая базируется на IP- и ICMP-протоколах пересылки дейтаграмм и служит для трассировки маршрутов и проверки работоспособности каналов и узлов
Прогнозирование трафика в вычислительных сетях Выявление Аномалий Атак Узких мест и т.д. Оценка качества обслуживания Построение прогнозов Долгосрочные Среднесрочные Краткосрочные
Методы прогнозирования К основным методам прогнозирования относятся: Статистические методы Анализ временных рядов Экспертные оценки Моделирование Математическое Имитационное
Анализ временных рядов Цели: описание осбенностей ряда; подбор статической модели; прогноз на основе прошлых наблюдений; управление процессом, порождающим временной ряд Стадии: графическое представление ряда; выделение и удаление закономерных составляющих временного ряда, зависящих от времени: тренда, сезонных и циклических составляющих; фильтрация; исследование случайной составляющей; построение математической модели для описания случайной составляющей; прогнозирование будущего развития процесса Методы: корреляционный анализ; спектральный анализ; сглаживание и фильтрация; модели авторегрессии и скользящего среднего; прогнозирование
Метод скользящих средних способ сглаживания временного ряда основан на переходе от начальных значений ряда к их средним значениям на интервале времени, длина которого выбрана заранее. При этом сам выбранный интервал времени скользит вдоль ряда
Описание выбранного подхода к мониторингу, как и где собирались данные Данные собирались в течение нескольких дней в часы, когда возникновение перегрузок было наиболее вероятно (по вечерам и в праздничные дни). Измерения выполнялись путем запуска нескольких экземпляров утилиты ping на одном из серверов провайдера со следующими параметрами: - Различная задержка между отправкой запросов– 0.5c, 1 c, 2 c. - Различный размер пакетов – 64 байта, 512 байтов, 1450 байтов. - Различное значение бита приорита
Как обрабатывались данные :46:54Replay from : bytes=32 time=10ms TTL= – 10с
Результаты мониторинга Свитч 8; ; 22:00-06:40
Участки с перегрузками
Тренд на основе скользящих средних
Результаты работы. Выводы По результатам работы можно сделать следующие выводы: Мониторинг на основе ping является хорошим дополнением к традиционному SNMP-мониторингу Мониторинг на основе ping может быть организован более простым способом, чем мониторинг на основе SNMP.Данные об изменении времени двойного оборота пакета с течением времени могут быть использованы для прогнозирования изменения интенсивности трафика
Спасибо за внимание!