Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Red de computadoras
papel encuesta
Historia del artículo: Red de vigilancia de los operadores de redes de guías para entender el comportamiento actual de una red. Por lo tanto, la
Recibido el 22 de febrero de 2013 supervisión deficiente precisa y EF es vital para asegurar que la red funciona de acuerdo con el comportamiento previsto y
Recibida en forma de 4 revisado de marzo de 2014 aceptó 17 de
después de solucionar cualquier desviación. Sin embargo, la práctica actual de la red de monitoreo en gran medida depende
marzo de 2014 Disponible en Internet el 24 de marzo de 2014
de las operaciones manuales, y por lo tanto las empresas gastan una parte significativa de sus presupuestos en la mano de
obra que monitorean sus redes. Analizamos actuales tecnologías de monitorización de red, identificar problemas abiertos, y
sugerir futuras direcciones. En particular, nuestros hallazgos se basan en dos análisis diferentes. El primer análisis evalúa qué
palabras clave:
tan bien presentes tecnologías se integran con el ciclo completo de las operaciones de gestión de red: diseño, implementación
Red con fi guración Diseño
y monitoreo. Los operadores de redes primeros diseño con fi guraciones de red, dado un conjunto de requisitos, entonces desplegar
Las mediciones de
el nuevo diseño, y finalmente se verifican continuamente por supervisión El comportamiento de la red. Una de nuestras
monitorización de observaciones es que la e fi ciencia de este ciclo se puede mejorar en gran medida por la implementación automatizada de
gestión pre-diseñadas con fi guraciones, en respuesta a los cambios de comportamiento de la red monitorizada. Nuestro segundo
análisis se centra en las tecnologías de monitorización de red y los problemas de grupo en estas tecnologías en cinco
categorías. Tales cables de agrupación para la identificación de grupos problema importante en la vigilancia de la red, por
ejemplo, e fi gestión ciente de cantidades crecientes de mediciones para el almacenamiento, análisis y presentación. Se
argumenta que se necesita un esfuerzo continuo en la mejora de la red de monitoreo ya que los problemas que se presentan
serán aún más grave en el futuro, a medida que las redes crecen en tamaño y llevan más datos.
1. Introducción Ser mejorado. Por ejemplo, el operadores fi nd un aumento dramático de P2P tráfico c,
que comienza a caer la mayor parte de los otros paquetes. En respuesta a este
Supervisión de una red es crucial para las operaciones de gestión de la red, y se problema, los operadores inician limitante de la velocidad de P2P tráfico c. Los
utiliza para muchas tareas críticas. Una de las principales funciones de supervisión de la operadores pueden también encontramos que la vulnerabilidad de base de datos en
red es a principios de la identi fi cación de las tendencias y patrones, tanto en la red de servidores permite el acceso ilegítimo a información sensible, y luego comienzan a
trá fi co y dispositivos. De acuerdo con estas mediciones, los operadores de red a aplicar parches a los servidores de bases de datos. La detección tardía de este tipo de
entender el estado actual de una red y luego recon fi gura esta red de tal manera que la incidentes puede conducir a la interrupción prolongada a los servicios y las pérdidas
lata estado observado financieras hasta millones de dólares [1] . Debido a la significación de las operaciones de
vigilancia de la red, una gran cantidad de trabajo fue hecho para avanzar estas
operaciones. Sin embargo, los operadores de red todavía pasan la mayor parte de su
tiempo a la supervisión y resolución de problemas
⇑ Autor correspondiente. Tel .: +82 2 970 5608; Fax: +82 2 970 5974.
Correos electrónicos: sihyunglee@swu.ac.kr (S. Lee), kiki.levanti@gmail. com (K. Levanti), kim@ece.cmu.edu
(HS Kim).
http://dx.doi.org/10.1016/j.comnet.2014.03.007
1389-1286 / 2014 Elsevier Todos los derechos reservados.
S. Lee et al. / Redes de Computadores 65 (2014) 84-98 85
problemas en sus redes [2] . caídas de la red se siguen produciendo y evitan el acceso a esta relación y sugerir pautas que mejorar el seguimiento. secciones 3 y 4 ahondar en las
las redes durante varias horas. Por ejemplo, se registraron más de tres horas de operaciones de vigilancia y clasificar estas operaciones en cinco diferentes categorías de
interrupciones tanto en Amazon [3] y YouTube [4] redes. Como resultado, las redes de acuerdo con sus funciones. En particular, la Sección 3 describe los desafíos para cada
empresas gastan una cantidad cada vez mayor de su presupuesto de TI en la una de las cinco categorías, y la Sección 4 presenta los desafíos que son compartidos
supervisión de la red, en lugar de añadir nuevos servicios y equipos de valor añadido [5] . por múltiples categorías. Las dos secciones también destacan las soluciones existentes y
Teniendo en cuenta la significación y la complejidad de la supervisión de la red, futuras líneas de investigación. Por último, se resumen las líneas de investigación
identificamos desafíos en el monitoreo de red, un resumen de las soluciones existentes, propuestas y concluimos en la Sección 5 .
y sugerir futuras direcciones para hacer frente a los retos. Esto se realizó mediante el
análisis de las obras existentes publicados en 8 revistas y en los resúmenes de 13
conferencias 1 durante los últimos 15 años (es decir, desde enero de 1998 hasta
diciembre de 2013), y para entonces la selección de un conjunto de desafíos
significativos. Este papel se puede utilizar de varias maneras diferentes. Puede ayudar a 2. Monitoreo dentro del panorama de la gestión de la red
los investigadores a entender mejor los puntos que faltan en las prácticas actuales de
monitorización de la red y las nuevas ideas por lo tanto concebir que pueden mejorar el
status quo. Este documento también se puede utilizar para estudiar una amplia gama de En la sección 2.1 , Nos primera posición de la vigilancia en todo el
operaciones de control y de su relación con otras operaciones de gestión de red. ciclo de las operaciones de gestión de red. Este posicionamiento de la vigilancia se utiliza
Resumimos las directrices sugeridas en tabla 1 . a continuación en la Sección 2.2 para el análisis de las interacciones entre las otras
operaciones de gestión de red de monitoreo y. De acuerdo con este análisis, se sugiere
directrices para mejorar el ciclo operativo en su conjunto. El posicionamiento de la
vigilancia en la Sección 2.1 También puede servir como información de fondo sobre
supervisión de la red.
Mediciones y con fi guraciones son utilizados por los tres grupos operativos de la
siguiente manera. los supervisión
operaciones recogen las mediciones y los analizan, con el fin de inferir el
Las siguientes secciones están diseñadas para analizar el seguimiento de un par de
comportamiento actual de una red. Al tener en cuenta este comportamiento actual, el diseño
ángulos diferentes, con el fin de identificar diversas áreas que se pueden mejorar en el
operaciones crean cambios necesarios en la con fi guración y la infraestructura. Estos
seguimiento. En la sección 2 , Se presenta la posición de la vigilancia en relación con
cambios ayudan requisitos ll ful especificaciones fi c a la red (por ejemplo, distribuyen
otras operaciones de gestión de red. A continuación, utilizamos
uniformemente el tráfico c sobre N enlaces). 2 los
1 Las 8 revistas incluyen Springer JNSM, Wiley IJNM, ACM CCR, IEEE TNSM / ton / JSAC / Red / 2 Objetivos, requisitos y comportamiento previsto (y en consecuencia, configuraciones fi) son los
Communications.The 13 conferencias incluyen IFIP / IEEE IM / NOMS / CNSM, USENIX LISA / INDE, resultados del diseño de la red. El diseño de la red toma los requisitos de las aplicaciones y los asigna a
ACM SIGCOMM / conexto, IEEE POLÍTICA / INFOCOM / DSN / Globecom / CPI / VizSec. la configuración física de infraestructura, con fi guraciones, y los objetivos de las operaciones.
S. Lee et al. / Redes de Computadores 65 (2014) 84-98
tabla 1
Resumen de las directrices para los sistemas de vigilancia de la red en el futuro.
directrices Sección
Figura 1. Clasificación de las operaciones de gestión de red en tres grupos: (i) supervisión del comportamiento de una red, (ii) diseño de con fi guración cambia según las necesidades, y (iii) el despliegue de con fi
cambios planificados están desplegados en la red por el despliegue operaciones. Como falta de correspondencia entre el comportamiento actual de la red y el comportamiento previsto de la red. Con el fin de
la mayoría de los cambios se implementan en una red activa, reduciendo al mínimo las hacer frente a estos desajustes, los operadores de redes volver a diseñar las con fi guraciones para restaurar el
interrupciones en el funcionamiento de la red es el objetivo principal de las operaciones comportamiento previsto de la red. Los desajustes se producen debido a (i) de hardware / software AWS fl en los
de despliegue. Al mismo tiempo, las operaciones de control supervisan el dispositivos de red, (ii) configuraciones defectuosa fi (a menudo creadas por los seres humanos), o (iii) los supuestos
comportamiento de la red con el fin de asegurarse de que funciona de acuerdo con el con fi guración que ninguna retención más largo. gurationassumptions con fi refieren a los supuestos sobre los
comportamiento previsto. estados de una red. Estas suposiciones se basan normalmente en las mediciones anteriores, y guían el diseño con fi
guración. Por ejemplo, una red es con fi gurado para distribuir uniformemente los flujos F1 y F2 entre dos caminos, de
El escenario en el Figura 1 ilustra las interacciones entre los tres grupos de acuerdo con la suposición de que los volúmenes de F1 y F2 no lo hacen fluctuar fl y siguen siendo similares. Si estos
operaciones. Un trá fi co aumento observado throughmonitoring resultados en un plan de volúmenes se desvían significativamente de la hipótesis, la con fi gurationmay causar un camino para ser más fuerte
cambios para la red. Los cambios previstos implementan el objetivo de operar la red sin que el otro utiliza. La falta de coincidencia puede ser eliminado mediante la modificación de fi guraciones, tales que los
congestión. Los operadores de red desplegar el nuevo diseño y verificar la efectividad de flujos son re-distribuido en las dos rutas, de acuerdo con el nuevo flujo de volúmenes. Los desajustes pueden también
los cambios introducidos a través del seguimiento. Tabla 2 presentes funciones de revelar amenazas a la seguridad de una red, desencadenando de ese modo alertas en intrusión y la anomalía
gestión de red básicos bajo los tres grupos de operaciones. sistemas de detección. De acuerdo con estas alertas, los operadores de redes volver a diseñar la con fi guración
tomitigate daños y también para evitar nuevas amenazas (por ejemplo, mediante la adición de nuevas reglas fi
cortafuego o la intrusión desencadenando de ese modo alertas en intrusión y la anomalía sistemas de detección. De
acuerdo con estas alertas, los operadores de redes volver a diseñar la con fi guración tomitigate daños y también para
Usamos el término modelo de red, cuando nos referimos al comportamiento actual evitar nuevas amenazas (por ejemplo, mediante la adición de nuevas reglas fi cortafuego o la intrusión
de una red se infiere de las operaciones de control. En otras palabras, las operaciones desencadenando de ese modo alertas en intrusión y la anomalía sistemas de detección. De acuerdo con estas alertas,
themonitoring construir un modelo de red mediante la recopilación y el análisis de las los operadores de redes volver a diseñar la con fi guración tomitigate daños y también para evitar nuevas amenazas
mediciones. Este modelo de red se utiliza ampliamente durante las operaciones de (por ejemplo, mediante la adición de nuevas reglas fi cortafuego o la intrusión
diseño de dos maneras. En primer lugar, el modelo se utiliza como referencia para el
diseño de fi guraciones cuando se reciben nuevos requisitos. En segundo lugar, se utiliza
para identificar cualquier
S. Lee et al. / Redes de Computadores 65 (2014) 84-98 87
Tabla 2 utilizado por las operaciones de diseño, o cómo un diseño propuesto se puede
Ejemplos de operaciones de gestión de red.
implementar con una interrupción mínima.
grupo de las funciones de gestión de red Mediante la automatización de las interacciones entre los tres grupos, las
operaciones operaciones pueden llevarse a cabo más eficientemente. Una forma de automatizar las
Supervisión Supervisar y solucionar problemas de una red interacciones es para uso if-then-else
Medir el comportamiento de la red cláusulas similares a las de los lenguajes de programación. Cada if-then-else es la
Identificar los patrones de uso y problemas se localizan en la red
cláusula especí fi (i) una serie de estados de red como las condiciones y (ii) un conjunto
de opciones de diseño como las acciones. Cuando una condición es satisfecha, la opción
Verificar la exactitud de los cambios con fi guración
de diseño correspondiente se despliega automáticamente. Este tipo de automatización
Diseño Los cambios de diseño con fi guración de acuerdo con los
se denomina gestión basada en políticas (PBM) [10] . Por ejemplo, la ruta pag UN se con fi
requisitos
Diseño comportamiento deseado de acuerdo a los gurado como el camino principal de una red de flujo. Si tráfico c mediciones muestran
requisitos que pag UN se ha utilizado en mayor medida que el camino secundario pag SI, los
Leen y comprenden existente con fi guraciones en el mapa los cambios en el interruptores de automatización pag UN y pag si con el fin de preferir el camino menos
comportamiento deseado con fi guración
congestionado. Los tráfico c medición corresponde a las operaciones de control, y el
Despliegue Implementar con fi guración cambia a la red siguiente modificador entre trayectorias se corresponde con el diseño y las operaciones
Segura entregar con fi guración cambios de rollo-volver a un estado anterior
de despliegue.
cuando los cambios no son satisfactorios
en la red. Un inconveniente de muchos sistemas de configuración-evaluación con fi es énfasis en la forma en que estos afectan a las funciones de operaciones de red
que están algo limitadas a la identificación de un prede definido conjunto de (Secciones 3,2-3,6 ). En la siguiente sección, se presentan dos cuestiones que desafían
inconsistencias y no pueden extenderse fácilmente a otros tipos de errores. Sin embargo, todas las operaciones de control (Sección 4 ).
el uso de una combinación de varios sistemas puede cubrir una amplia gama de errores,
y el esfuerzo por lo tanto, no puede signi fi se pueden guardar en las operaciones de
control. 3.1. Descripción general de las operaciones de vigilancia
El segundo método para mejorar las operaciones de diseño es con fi guración simpli Las operaciones de control a construir un modelo de comportamiento actual de la
fi cación, que elimina segmentos con fi guración obsoletos e innecesarios, con lo que la red. El modelo de red representa el estado operativo de la red. Se utiliza para la solución
comprensión de configuraciones fi más fácil para los operadores de redes [14,15] . En de problemas y la planificación futura, y que a menudo desencadena una newdesign.
comparación con la evaluación con fi guración, la simplificación es proactiva en el sentido Con el fin de capturar el modelo de red, necesitamos las cinco funciones de medición
de que se elimina con fi guración redundancias que aumentan los costos de lógicas ilustradas en Figura 2 : Recogida, representación, informes, análisis y
mantenimiento y los errores del operador. Simplificación es particularmente útil para presentación. Aunque muchos trabajos abordan problemas en más de una capa, esta
redes en las configuraciones fi han pasado por muchos cambios con el tiempo y por lo separación lógica de las diferentes funciones de vigilancia clari fi ca su funcionalidad y
tanto se han vuelto extremadamente complejo. las interacciones.
los colección capa recoge los datos de medición en bruto de la red. Estos datos se
Por último, las operaciones de diseño puede también se benefician de los sistemas procesa y se pone en un formato determinado por el representación capa. Este formato
de visualización mejoradas. operadores de sistemas de visualización ayudar a entender es a menudo independiente de la función de gestión de manera que los datos puedan ser
con fi guraciones existentes y el efecto de un cambio potencial [dieciséis] . Por que ilustra utilizados por muchas de las funciones de gestión diferentes. los reporte transferencias de
una combinación de fi guraciones red y los estados de red supervisados, así como la capa de datos de medición recogidos de un número de dispositivos de red a un conjunto
forma en que estos dos datos interactúan, los operadores canmore estimar con precisión más pequeño de estaciones de gestión donde las funciones de las capas superiores se
el efecto de un cambio con fi guración. colocan normalmente. los análisis capa analiza los datos de medición y los extractos de
las interpretaciones de alto nivel de los datos recogidos. Algunas funciones de análisis
comunes son tráfico c clasi fi cación y eliminación de fallos de detección. los presentación
presentes capas de medición de datos a operadores de red en diferentes formatos, tales
2.3. Resumen
como representaciones visuales y / o textuales.
En esta sección, red de control de posición dentro del panorama general de las
operaciones de gestión de red, y poner de relieve el papel de la supervisión entre las
operaciones. Este posicionamiento sirve como material de referencia para las siguientes
Tenga en cuenta que las cinco capas son capas lógicas. Los componentes de las
Secciones 3 y 4 , Que se centran en el seguimiento de la red y proporcionar un análisis
diferentes capas pueden ser implementadas ya sea en el mismo dispositivo físico o en
detallado.
diferentes dispositivos. Típicamente, las dos capas superiores se implementan en una o
más estaciones de administración y las dos capas inferiores son implementados por un
Sección 2.1 describe que las operaciones de gestión de red se clasifican fi ed en
mayor número de dispositivos de recogida. La funcionalidad de recogida se realiza
tres componentes, a saber, el diseño, despliegue, y operaciones de control. Estos
generalmente por los dispositivos de red que implementan funciones de red
componentes fuertemente interactúan entre sí, lo que requiere un trabajo extra para
fundamentales, tales como enrutamiento y la conmutación.
proceder. Por ejemplo, el seguimiento conduce a la siguiente serie de operaciones: (i)
operaciones de control identifica un problema de rendimiento; (Ii), este problema necesita
ser analizado a fondo, y se correlacionó con configuraciones fi, para identificar las causas
Una gran cantidad de trabajos anteriores se ha centrado en la mejora de la e fi
potenciales; (Iii) de acuerdo con las causas que se encuentran, las operaciones de
ciencia del proceso de seguimiento. Este es un problema difícil porque hay grandes
diseño puede modificar con fi guraciones. La etapa (ii) es un trabajo adicional necesario
cantidades de datos a recoger, analizar y almacenar. El problema se vuelve más
proceder de la etapa (i), la supervisión, la etapa (iii), el diseño. La serie de operaciones
importante como velocidades de enlace aumentan muy por encima Gbps, IPv6 sea
puede ser en gran medida simplificarse si automatizar la etapa (ii), como se muestra en
ampliamente desplegado, y el uso de Internet aumenta de forma espectacular [6] . Incluso
la Sección 2.2 . Para este tipo de automatización para ser ampliamente adoptada, es
cuando la potencia de procesamiento, los gastos generales de ancho de banda, y la
necesario desarrollar un lenguaje estándar que se pueden describir las políticas en
capacidad de almacenamiento ya no representan limitaciones críticas para el proceso de
diversos aspectos de las operaciones de la red.
seguimiento, La identificación de los eventos importantes entre grandes cantidades de
datos de medición y la visualización de estos datos seguirá siendo un reto.
capacidad para soportar nuevos servicios de valor añadido tales como VoIP e IPTV. Muchos trabajos sobre la vigilancia activa estimar la latencia, la tasa de pérdida, la
Esperamos que las funciones de análisis de capas seguirán dominando las operaciones capacidad y el rendimiento de los enlaces [17,18] o lugares de cuello de botella en forma
de control que aparecen nuevas aplicaciones y las aplicaciones existentes evolucionan de puntos [19-22] monitores cómo fallos son manejadas por la red mediante la inyección
en el tiempo. de defectos en la forma de paquetes fi modi. UAMA [23] es una arquitectura de
gestión-sonda activa para la recogida y gestión de información de muchos tipos
diferentes de sondas activas. Works que realizan la vigilancia pasiva incluyen los
3.2. capa de colección relacionados con el muestreo de los paquetes y la recolección de dispositivo específico c
estadísticas, tales como la CPU y la utilización de la memoria. Algunos trabajos utilizan la
Aquí se presentan temas que se refieren a la recogida de datos de medición. Los supervisión activa y pasiva. En [24] , Cada nodo de red inserta un único paquete de
operadores de red pueden recoger datos de medición de una manera activa o pasiva. marcado en proporción a su tráfico c de carga, y luego nodos de borde estimar tráfico c
También pueden elegir entre varios métodos de muestreo de los datos de medición. de carga de la red mediante la observación de estas marcas.
3.2.1. la vigilancia pasiva contra activo Unos trabajos sugieren la adición de funciones a los routers existentes con el fin de
La mayoría de las funciones de la capa de recogida puede clasificarse en el monitoreo activo o pasivo. El realizar una vigilancia activa más fácil y precisa. [25,26] proponer que los dispositivos de
control activo es el monitoreo que implica la inyección de prueba de tráfico c, y por lo general se ejecuta en un recogida de inserto más información en paquetes de sondeo. Por ejemplo, las marcas de
sistema de extremo. La supervisión activa puede medir directamente lo que los operadores quieren observar sin tiempo fi ner resolución permitirían la medición de grano-ne fi del comportamiento de
esperar a que un evento en particular ocurra. Sin embargo, se necesita minimizar el impacto en el puesta en cola y simplificar la inferencia de propiedades tales como la capacidad de
funcionamiento normal de la red en curso de trá fi co y. El tamaño y la frecuencia del sondeo activo son los dos enlace y ancho de banda disponible. [27,28] sugieren que los routers envían paquetes de
parámetros que determinan el impacto de vigilancia activa en el funcionamiento de la red. Además, la prueba de medida con prioridad ajustable. los paquetes ICMP se tratan de manera diferente por los
trá fi co necesita para parecerse verdadera trá fi co tanto como sea posible. De lo contrario, el comportamiento enrutadores, mientras que los operadores de red pueden desear paquetes ICMP a ser
de la red observada puede no coincidir plenamente con el comportamiento de la red con propiedades de trá fi tratados de la misma como paquetes de datos para algunas mediciones particulares.
co. monitoreo pasivo es el control que depende de los dispositivos de red para observar y medir el Para otras medidas, los operadores pueden querer paquetes de medida que tienen la
comportamiento de la red. monitoreo pasivo o bien se ejecuta en dispositivos dedicados o se lleva a cabo por más alta prioridad para que estos paquetes no experimentan ninguna demora de espera.
medio de dispositivos de red tales como enrutadores y conmutadores. vigilancia pasiva no es intrusivo y afecta
red. Sin embargo, los operadores pueden tener que esperar mucho tiempo hasta que se observe un evento
particular de interés. Dadas las características de supervisión activa y pasiva, los operadores de redes hacen
uso de ambos métodos de acuerdo con lo que fi ts mejor a sus objetivos de control. los operadores pueden
tener que esperar mucho tiempo hasta que se observe un evento particular de interés. Dadas las características 3.2.2. Muestreo
de supervisión activa y pasiva, los operadores de redes hacen uso de ambos métodos de acuerdo con lo que fi El muestreo es una forma de reducir la sobrecarga en el seguimiento de los nodos y
ts mejor a sus objetivos de control. los operadores pueden tener que esperar mucho tiempo hasta que se la realización de la vigilancia fi ciente. Dado que la información no muestreada se pierde,
observe un evento particular de interés. Dadas las características de supervisión activa y pasiva, los operadores la mayor parte de los trabajos en el muestreo de enfoque en la mejora de la precisión de
de redes hacen uso de ambos métodos de acuerdo con lo que fi ts mejor a sus objetivos de control. las mediciones. Algunas obras balance de seguimiento de precisión y e fi ciencia
ajustando dinámicamente las relaciones de muestreo. Por ejemplo,
de paquetes cabeceras primera para inferir el número de paquetes que no se muestrean y pérdida de paquetes superior al 1% son reportados como un agregado.
luego para inferir el tamaño relativo de los diferentes flujos de paquetes fl. RRDtool [32] direcciones [43] lotes de las mismas solicitudes de sondeo de diferentes aplicaciones en una sola
de las pérdidas de la muestra y los retrasos por la interpolación de los valores perdidos, de petición. Otra forma de mejorar la e fi ciencia de los informes de medición es utilizar
modo que aparezcan a intervalos de tiempo constantes. codificaciones de ahorro de ancho de banda de las mediciones. IPFIX [40] fi ne de dichas
codificaciones.
Un puñado de trabajos anteriores propondrá el muestreo con el uso de una función
hash consistente en toda la red. Un paquete se muestrea sólo cuando su valor hash cae Otro factor que afecta la cantidad de mediciones transferidos es la frecuencia de
en un rango de hash particular. Esta gama se establece por los operadores. De esta sondeo para los datos de medición. solicitudes periódicas de votación para mediciones
manera, se pueden controlar con precisión el conjunto de paquetes a la muestra de con una frecuencia fi Ned prede, generalmente en el orden de minutos. Activadas por
acuerdo con diferentes objetivos de monitoreo. trayectoria de muestreo [33,34] sugiere el eventos peticiones de sondeo para mediciones sólo cuando un evento ocurre prede fi
uso de la misma gama de hash en toda la red. De esta manera, el operador puede nido. Estos dos métodos presentan un equilibrio entre la supervisión e fi ciencia y la
reconstruir la trayectoria completa de paquetes muestreados sin la necesidad de precisión. sondeo periódico es menos e fi ciente pero permite la identificación de nuevos
información de enrutamiento. La trayectoria completa se puede utilizar ya sea para eventos inde fi nidas. sondeo cuando se cumpla es más e fi ciente, pero los hechos que
estimar trá fi co demandas de diferentes enlaces o para localizar problemas de desvío deben notificarse debe ser cuidadosamente definida debido a eventos inde fi nidas pasan
tales como bucles de reenvío. cSamp [35] cesionarios diferentes rangos de hash más de desapercibidos.
diferentes dispositivos de recogida de forma que se satisfagan dos objetivos: minimizar
muestreo redundante en los dispositivos de captación, mientras que ser capaz de
observar y probar todos fl red OWS.
Los datos de medición pueden ser distribuidos y consumidos por múltiples entidades
administrativas. Esto es a menudo el caso cuando varios clientes comparten un conjunto
de máquinas físicas en infraestructura virtualizada. En tales situaciones, los mecanismos
de información necesitan para asegurarse de que cierta información de vigilancia sólo se
3.3. capa de representación distribuye a las entidades que accedieron a compartir la información. Para un mejor
soporte a los estándares de integridad y confidencialidad de los datos transportados,
Hay tres aspectos importantes relacionados con la capa de representación. En monitoreo implementar la autenticación y el cifrado. Por ejemplo, IPFIX proporciona
primer lugar, la representación de las necesidades de mediciones para ser estandarizado métodos estándar de fl firma OW registros y firmas que verifican [121] . También especi fi
de modo que cada función de análisis no convierte las mediciones recogidas en formas ca un formato de encapsulación que puede ser utilizada para el cifrado, así como las
intermedias distintas de representación y que las diferentes funciones de análisis puede firmas digitales.
utilizar las mismas mediciones recogidas. SNMP MIB [36] , la CIM [39] , IPFIX [40] ,
NETCONF
[37] Y YANG [38] proporcionar normas para este propósito. SNMP MIB es el estándar de
facto para la recuperación de información de medición de los dispositivos de red; 3.5. capa de análisis
NETCONF y Yang proporciona una representación común y extensible de dos medidas y
con fi guraciones, y esta representación se basa en XML. CIM cubre una gama más Las operaciones clasifican en este extracto capa interpretaciones de alto nivel de
amplia de objetos tales como servidores, ordenadores de sobremesa y sistemas estado de la red mediante el análisis de los datos de medición recogidos. Aunque existe
operativos, y los modelos de objetos están diseñados de acuerdo con el paradigma una variedad de funciones de análisis, se presentan los seis mayoría de las funciones
orientado a objetos; IPFIX define un estándar para el flujo de la información recogida de comunes de análisis: (1) de propósito general tráfico c análisis, (2) la estimación de
los dispositivos de red. El segundo problema con la capa de representación es que las tráfico c demandas, (3) tráfico c clasi fi cación por aplicación, (4) la minería de patrones
mediciones de los dispositivos de recogida heterogéneos y distribuidos necesitan de comunicación, (5) la gestión de fallos y (6) la actualización automática de la
sincronizarse en el tiempo. Por ejemplo, [41] sincroniza las dos mediciones en cada documentación de la red. Los resultados de estas funciones de análisis se utilizan
extremo de un camino con el fin de estimar el retardo de la trayectoria. La última cuestión ampliamente para el diseño de cambios con fi guración. Explicamos los detalles de las
relativa a la representación de las mediciones es que las mediciones deben ser concisos, seis funciones de análisis de las Secciones 3.5.1-3.5.6 .
con el fin de ahorrar espacio de almacenamiento y ancho de banda de red. Esto se
consigue mediante la identificación y eliminación de las mediciones por duplicado y
también mediante la combinación de valores para crear un valor derivado.
la historia y un algoritmo de previsión de serie temporal. Se fl ags mediciones que se limitante de la velocidad en base a la aplicación, y (iii) fi ltrado ataques y contenidos con
apartan de la tendencia prevista como posibles anomalías. derechos de autor. La forma naïve para realizar tráfico c clasi fi cación se basa en el
número de puerto de capa de transporte, que ha sido un discriminador de clave para las
La agregación de mediciones redundantes reduce la cantidad de datos a ser aplicaciones [56] . Sin embargo, número-puerto-basado clasi fi cación sólo identifica las
analizados. Típicamente, dos mediciones METRO 1 y METRO 2 pueden agregarse si METRO aplicaciones fi ca que utilizan los puertos conocidos registrados en la Internet Assigned
1y METRO 2 tienen características similares y si el siguiente análisis requiere sólo la Numbers Authority (IANA). Adicionalmente,
frecuencia de tales características. Por ejemplo, fl mediciones OW a las mismas redes de
origen pueden ser combinadas, cuando se analiza sólo el número de dichos flujos pero cada vez más aplicaciones
los registros no individual [40] . Las mediciones se pueden combinar de acuerdo con dinámicamente puertos asignar o el uso de otras aplicaciones de puertos bien conocidos.
diversos dimensiones, como la dirección IP, número de puerto, el protocolo, y las marcas
de tiempo. Tal elección de las necesidades de dimensión que sea consistente a través de El método más común y exacta de tráfico c clasi fi cación es el enfoque basado en la
una red, cuando la agregación se produce en múltiples, dispositivos distribuidos (por carga útil. Este enfoque utiliza firmas de carga útil, además de los números de puerto
ejemplo, la agregación con el mismo conjunto de dimensiones en los mismos niveles de
granularidad). Un conjunto coherente de dimensiones permite que una estación de [57-59] . La mayoría de los productos comerciales se basan en este enfoque. tráfico c
gestión central para realizar el análisis de toda la red de agregados [45] . clasi fi cación Sin embargo, basado en la carga útil tiene varias limitaciones. En primer
lugar, es computacionalmente caro, ya que necesita para inspeccionar la carga útil de
cada paquete [60] . En segundo lugar, con el fin de inspeccionar la carga útil del paquete,
los operadores de redes necesitan instalar herramientas adicionales de paquetes de
captura. Esto se debe a la inspección de carga útil no es compatible con NetFlow y
SNMP, las herramientas de supervisión de la mayoría de los populares disponibles en la
3.5.2. Estimación de tráfico c demandas mayoría de los routers. Por último, la inspección de la carga útil del paquete se está
demandas tráfico C representan volúmenes de tráfico c que fluye entre cada par convirtiendo cada vez más difícil por razones tanto técnicas como no técnicas: el cifrado
entrada-salida en una red. Estas c volúmenes tráfico pueden estimarse a través del de paquetes se vuelve más frecuente [61] e inspección de carga útil del paquete plantea
procesamiento de tráfico c y mediciones de enrutamiento. Tra fi co estimaciones de la problemas de privacidad.
demanda se utilizan para el trá fi co-ingeniería, la capacidad de aprovisionamiento,
facturación y detección de anomalías.
Otra forma de clasificar trá fi co por aplicación se basa en el comportamiento del
El mayor grupo de trabajos anteriores está dirigido a la estimación precisa de trá fi sistema. Este enfoque utiliza los patrones de comunicación entre los hosts, junto con los
co, dadas las demandas de trá fi co mediciones limitados [50-52] . Las mediciones están números de puerto [62-64] . Por ejemplo, el modelo de servidor-cliente de Web tráfico c
limitadas porque los paquetes se muestrean y no todos los puntos de vista de una red sigue el patrón de comunicación de uno a muchos, mientras P2P tráfico c sigue el patrón
están equipados con tráfico c monitoreo. [50] de muchos a muchos. Estas interacciones son observables incluso con carga útil cifrada.
Una limitación de la clasificacion basado en host-comportamiento es que no es tan
compensa falta de información mediante el uso de la información de enrutamiento y para preciso como el enfoque basado en la carga útil porque un solo patrón de comunicación
entonces la estimación de un conjunto de posibles puntos de salida para cada una de puede atribuirse a múltiples aplicaciones.
flujo entrante. Este modelo también puede estimar tráfico c demandas en '' qué pasaría si
'' escenarios, tales como fallos de enlace o cambios con fi guración. [51] recoge
mediciones adicionales por deliberadamente cambiantes métricas de enlace y utiliza esta
información adicional para estimar los datos que faltan con más precisión. [52] reconstruye Para aumentar aún más la exactitud de catión tráfico c clasi fi, podemos utilizar otras
los valores que faltan mediante el aprovechamiento de una técnica de procesamiento de funciones de paquetes, tales como el protocolo, tamaño de paquete, ags TCP fl, y flujo de
señales de llamada de detección de compresión. La compresión de detección identi fi características; características flujo incluyen flujo duración, los tiempos entre llegadas de
estructuras embrionarias en las mediciones y luego interpola los datos que faltan de paquetes, y el número de paquetes por fl ow [56] . La mayoría de los enfoques basados en las
acuerdo con las estructuras fi cados. características aprender las matrices de operaciones para cada clase de trá fi co mediante el
uso de minería de datos o técnicas de aprendizaje automático [65- 68] .
3.5.3. Traf fi c clasi fi cación por aplicación 3.5.4. La minería de los patrones de comunicación
Esta función clasi fi ca trá fi co en diferentes aplicaciones. Los tres mayoría de los Los patrones de comunicación muestran grupos de hosts y sus patrones de uso de
usos comunes de tráfico c clasi fi cación son: (i) la optimización de tráfico c rendimiento Internet, tanto en lo espacial y la dimensión temporal. Ellos proporcionan conocimiento
de acuerdo con la distribución de tráfico c entre las aplicaciones, (ii) la fijación de precios sobre el uso real de los vínculos, protocolos, servidores y aplicaciones.
y
92 S. Lee et al. / Redes de Computadores 65 (2014) 84-98
Este conocimiento le da una visión de la causa raíz de los posibles problemas en la red. Por ejemplo, [72] detecta destinos inalcanzables en backbone MPLS sobre IP con el uso
La identificación de los patrones de comunicación es posible ya que la ejecución de casi de extremo a extremo de sondeo y la topología de la red.
todas las aplicaciones de negocio deja una huella en la red de trá fi co. Esto es debido a
que la ejecución de la aplicación por lo general implica el acceso y la comunicación entre
los recursos en red. [69,70] identificar grupos de trá fi co y sus características basadas en 3.5.5.2. De fallo de localización. Fault localización se lleva a cabo después de que se
las técnicas de minería de datos. Estas características incluyen protocolo, números de observó un fracaso. La mayor parte de las obras en la localización de fallos gráficos de
puerto, las fuentes y los destinos del tráfico c, y el uso de ancho de banda de red. Por construcción que representan las dependencias entre los diferentes componentes de la
ejemplo, un clúster representa un fi aplicación de intercambio P2P le corriendo entre un red. Estas dependencias muestran el camino fracasos se propagan a través de una red.
pequeño conjunto de hosts y consumir el 70% del ancho de banda. Este cúmulo P2P Sobre la base de los gráficos de dependencia, los operadores de redes parten de los
puede explicar un reciente aumento dramático en la red de trá fi co. síntomas de insuficiencia y pueden rastrear de nuevo a la causa de los fracasos. El
gráfico de la construcción se puede realizar en varios niveles de granularidad, desde la
granularidad de máquinas [74] a la granularidad de los procesos de software que se
ejecutan en las máquinas [75] . Avería de localización en una granularidad más fina
puntitos la fuente de fallo con mayor precisión, pero requiere más tiempo y esfuerzos
[71] identi fi ca temporalmente correlacionado grupos de flujos. Por ejemplo, un clúster para construir el gráfico de dependencia y para buscar la fuente.
representa la siguiente correlación temporal: si se establece la conexión A, B conexión
también es probable que se ha establecido. Este patrón de comunicación temporal puede
exponer mensajes de latido de corazón entre un host comprometido por un troyano y
otras máquinas de la red. Un enfoque para la construcción de gráficos de dependencia es la de insertar
manualmente las dependencias, basado en la topología de red andprotocol especí fi
caciones. Sin embargo, las dependencias descripciónde manual podría ser abrumador
3.5.5. Gestión de fallos para los operadores de redes, especialmente en redes grandes, donde las dependencias
Gestión de fallos incluye criticar identi fi cación y localización de fallos. Fallo identi continúan cambiando con el tiempo. Para reducir la dificultad del trabajo manual,
infiere fi cación la existencia de un fallo de la red, y entonces la causa de este defecto es Sherlock [74] y NetMedic [75] extrae automáticamente las dependencias observando el
identificado por la localización de averías. Según la causa se encuentra, el fallo se comportamiento externallyvisible de systemcomponents (por ejemplo, la red de tráfico c
repara, típicamente a través de cambios con fi guración. generada por un sistema de aplicación y estados) y mediante el uso de información de
tiempo de tal comportamiento. Por ejemplo, si el acceso a un servidor web se presenta
en una gran proximidad en el tiempo con el acceso a un servidor DNS para un número
Actualmente, la solución de problemas operacional puede pasar por tres grupos de signi fi cativo de ocasiones, se concluye que los dos servicios están relacionados. El
personas: (i) las ofertas de personal de operaciones con llamadas de los clientes y sistema de comportamiento analizado puede ser recogido de varias maneras, tales como
resuelve un subconjunto de problemas que son fáciles de localizar; (Ii) los problemas de mediante la captura de paquetes, seguimiento de conexiones por proceso, y el registro
los ingenieros de red Solucionar problemas que se originan en las máquinas y servicios de eventos de la red (por ejemplo, syslog [76] ). En una red grande con un alto grado de
bajo su vigilancia; y (iii) la red diseñadores se ocupan de los problemas que los grupos las interacciones entre los diferentes componentes, el gráfico de la dependencia
anteriores no podían manejar debido a que estos problemas requieren la comprensión en correspondiente está altamente conectado. En tales gráfico de un complicado, una
profundidad de la red con fi guraciones y también pueden implicar interacciones entre búsqueda ingenua de las causas fundamentales puede conducir fácilmente a una serie
múltiples dispositivos. A medida que avanzamos de un grupo a otro grupo, el número de de falsas alarmas, es decir, fuentes de problemas potenciales que no están relacionados
problemas sin resolver disminuye, pero el tiempo necesario para localizar su raíz causa con el fracaso. Para reducir las falsas alarmas, NICE [77] análisis de los síntomas de
aumentos. Un método para reducir este tiempo es automatizar identi fallo fi cación, insuficiencia y luego permite que un operador limitar el alcance de la búsqueda en un
localización y reparación, como un solo proceso, como se muestra en la Sección 2.2 . área más probable, tal como dentro de un router, en un camino, en el mismo enlace, y en
la misma área OSPF.
3.5.5.1. Fallo identificación. Una gran cantidad de los trabajos previos sobre la gestión de
fallos se centra en la localización de averías, teniendo por sentado que los operadores de Los fallos en una capa de red se pueden propagar a las capas de red superior y el
red tienen identi fi có la existencia de un fallo ya. En realidad, los operadores supervisan proceso de localización de averías complican. PUNTUACIÓN [78] y Shrink [79] construir
trá fi co volúmenes principalmente y luego tomar conciencia de los problemas que se un modelo de capa de cruz, uno que incluye la propagación de fallos de enlaces ópticos
manifiestan a través de un aumento o disminución en el volumen de trá fi co. Sin a la capa IP. Cuando se observa un fallo en la capa de IP, los operadores de red pueden
embargo, los operadores no pueden identificar fácilmente los fallos que no tienen un utilizar este modelo para rastrear de nuevo a las causas de raíz, es decir, fallos de enlace
efecto evidente en c volúmenes supervisados tráfico, e incluso después de examinar ópticos.
otros tipos de registros (por ejemplo, syslog [76] ), Los operadores pueden no notar ciertos
fallos. Un ejemplo común de tal problema es la degradación del rendimiento. Con el fin Por último, a diferencia de otros sistemas de gestión de fallos, NetPilot [80] No está
de identificar este tipo de fallo, muchas redes todavía se basan en llamadas de los dirigido a la localización de problemas. Tiene la intención de aliviar los síntomas de un
clientes. Esto demuestra que las redes tienen que analizar más diversos tipos de fracaso hasta que se repare este fracaso. Tal alivio de se lleva a cabo a través de un
mediciones para mejorar de fallos identificación. investigación activa es una manera de desvío de tráfico de red fi c alrededor de ancho de banda de repuesto y dispositivos
identificar las averías que no desencadenan cambios visibles en el volumen de trá fi co [72,73] redundantes. Usando NetPilot en combinación con sistemas de fallas de localización
. reduce interrupciones a servicios de red, en particular cuando se requiere una cantidad
de tiempo prolongado para recuperarse de la falla.
S. Lee et al. / Redes de Computadores 65 (2014) 84-98 93
3.5.6. Actualización automática de la documentación los datos. En tercer lugar, la capa de informe se refiere a los métodos de transferencia de datos medidos a partir
documentación de la red incluye la topología de una red, las políticas, y con fi de dispositivos de recogida a las estaciones de administración. Estos métodos se aseguran de que las estaciones
guraciones. Todos estos cambios con frecuencia como evolucionan los requisitos de red, de administración fetchmeasured de datos a tiempo y mantenerse al día. Al mismo tiempo, este movimiento de
trá fi co patrones de cambio, y fallos se fi ja. Documentaciones se utilizan ampliamente datos no deben CONGEST enlaces de red mediante la supresión de informes redundantes. En cuarto lugar, la
cuando los operadores de redes cambios de diseño en red con fi guraciones. Sin capa de análisis incluye funciones que analizan mediciones y luego extraer interpretaciones de alto nivel de los
embargo, en muchas redes, documentaciones se actualizan manualmente sólo de vez en estados de la red. Estas interpretaciones pueden ser alimentados en otro análisis o se pueden utilizar para
cuando ya que esta tarea es engorroso y de baja prioridad. Por lo tanto, cambiar los ajustes actuales con fi guración. Por ejemplo, La identificación de bandwidthusage extrema por una
documentaciones menudo no están totalmente al día, y esto puede obstaculizar las aplicación en particular puede conducir a la con fi guración de un newpolicy que la velocidad limita la aplicación.
operaciones de gestión de red que requieren el conocimiento de la topología y las Por último, la capa de presentación presenta los resultados del análisis en formatos humanos amable, tales como
políticas de la red. Las herramientas existentes actualizar la documentación de aspectos mesas y visualización. Tales operadores de redes presentaciones ayudar a estimar rápidamente importancia
particulares, tales como la topología en diferentes capas [81,82] , las políticas de relativa de las diferentes mediciones y por lo tanto centrar su tiempo en cuestiones de mayor prioridad. Aunque
enrutamiento cada uno de los cinco capas pueden ser mejorados de forma independiente, ciertas mejoras en uno cambios de
activación layermay en las otras capas también. Por ejemplo, la adición de un nuevo análisis requiere la recogida
de mediciones adicionales. Tal colección conduce entonces a la estandarización de los métodos para recoger,
[83-85] y versiones de componentes de software [86] . representar, e informar de todos juntos. En la sección ciertas mejoras en uno cambios de activación layermay en
las otras capas también. Por ejemplo, la adición de un nuevo análisis requiere la recogida de mediciones
3.6. Capa de presentación adicionales. Tal colección conduce entonces a la estandarización de los métodos para recoger, representar, e
informar de todos juntos. En la sección ciertas mejoras en uno cambios de activación layermay en las otras capas
Los operadores de red les resulta más fácil de controlar una red a través de también. Por ejemplo, la adición de un nuevo análisis requiere la recogida de mediciones adicionales. Tal
representaciones visuales, en lugar de a través de los datos numéricos. El Multi Router colección conduce entonces a la estandarización de los métodos para recoger, representar, e informar de todos
Traf fi c Grapher (MRTG) [87] y el Paquete de Análisis y Presentación de red SNMP juntos. En la sección 4 , Que describemore detalles acerca de las cuestiones relacionadas con múltiples capas.
intrusos o advertencias públicas, y también representa fluir entre los anfitriones y socios monitoreo, se destacan dos cuestiones principales que se relacionan con múltiples capas 3
externos de comunicación interna. Tal visualización ayuda a revelar los patrones de :( i) la mejora simultánea de la supervisión e fi ciencia, precisión y flexibilidad, y (ii) el
comunicación de bothmalicious y legítimo tráfico de red fi co, tales como ataques almacenamiento, análisis y presentación de grandes cantidades de datos de medición.
distribuidos masivos y comunicaciones P2P. [92] ES identificaciones correlacionan También elaboramos sobre un tema emergente - (iii) el seguimiento de las redes de
eventos y presenta estos eventos como un grupo, por lo que los operadores pueden e fi centros de datos (nube).
cientemente juzgar la relevancia de las alertas. Llegará a ser aún más importante para
resumir y presentar eventos importantes entre grandes cantidades de datos de medición,
a medida que aumenta el uso de Internet rápidamente y más datos se recogen.
4.1. La mejora de la e fi ciencia, precisión y fl exibilidad
Este objetivo se puede lograr a través de mediciones programables. estadísticas de extremo a extremo, como per- flujo de retardo y jitter. ProgME [104] permite
exiblemeasurements más fl que Cisco NetFlow. Por ejemplo, tráfico c cantidades se
Los tres objetivos son compensaciones interdependientes y pose. El objetivo es pueden medir por tanto pre destino fi x y tipo de servicio, en lugar de por uno solo de
lograr un equilibrio entre los tres objetivos. Los siguientes ejemplos ilustran las estos dos flujo atributos. Otros trabajos permiten a los operadores a owmeasurements fl
compensaciones entre e fi ciencia, precisión y flexibilidad. Mediante la recopilación de programa de manera que las mediciones se adaptan dinámicamente a la dinámica de la
datos con más frecuencia, podemos identificar más problemas, pero la carga de la CPU red. [105106]
en los dispositivos de captación aumenta. Además, mediante el despliegue de más
dispositivos de recolección, se aumenta la precisión de la monitorización pero identificar un peso pesado flujo y los paquetes más a continuación, la muestra de este
consumimos más esfuerzo para con fi gurar estos dispositivos y para asegurarse de que flujo mediante el aumento de su tasa de muestreo. Otro enfoque para aumentar la
funcionan correctamente. Luego, mediante la recopilación de más diversos tipos de vigilancia flexibilidad es proporcionar lenguajes de script de alto nivel para la fácil
datos, aumentamos la flexibilidad en el análisis de la medición pero también aumentan la programación de nuevas aplicaciones de monitoreo [107108] . Para resumir, la flexibilidad
carga de la CPU en los dispositivos de captación. puede incrementarse permitiendo el seguimiento de objetivos para ser programable. Los
niveles elevados de fl exibilidad enablemore diversos tipos de análisis. Flexiblemonitoring
también puede mejorar la vigilancia de la e fi ciencia y precisión, permitiendo el cambio
Unos trabajos satisfacen más de un objetivo. cSamp de la medición de foco a los eventos más importantes de la red.
[35] controla la gama de paquetes a la muestra en cada dispositivo de recogida. Esta
metodología aumenta la precisión de la vigilancia por con fi gurar los dispositivos para
recoger más paquetes desde el flujo de interés. También aumenta el monitoreo e fi
ciencia evitando muestreo redundante. [93]
4.2. La gestión de grandes cantidades de datos almacenados, analizados y
realiza retrasan la vigilancia para los ISP seleccionando métricas y los intervalos de presentados
Flexibilidad aumenta en la recogida de más diversos tipos de datos. [102103] extender Unos trabajos recientes adoptan un enfoque diferente. En lugar de reducir el tamaño
el SNMP MIB para incluir de datos, que aceleran el análisis de gran escala
S. Lee et al. / Redes de Computadores 65 (2014) 84-98 95
mediciones mediante el aprovechamiento de las plataformas de hardware también las interacciones entre las aplicaciones y los anfitriones. Por ejemplo, la
parallelismand-computación distribuida. PFQ [110] utiliza múltiples núcleos en las CPUs y sobrecarga puede ocurrir debido a la contención y la interferencia entre las aplicaciones [119]
también múltiples colas de hardware de NIC (Network Interface Cards). Los paquetes . Otra de las características de la infraestructura virtualizada es que las diferentes
son capturados y analizados a través de trayectorias paralelas de NIC de hasta aplicaciones no entren en compartir información por razones de seguridad, pero
aplicaciones. Varias soluciones se inspiran en el análisis de grandes volúmenes de datos compartir cierta información de monitoreo pueden bene fi t rendimiento. Si las
aplicaciones comparten información sobre los malos resultados de un almacenamiento
[111] . tareas de supervisión se asignan a grupos de máquinas, y esta asignación se basa compartido, el programador puede posponer el acceso a este almacenamiento y no
principalmente en la lógica y MapReduce Hadoop [112] . Para mejorar aún más la agravar el problema
puntualidad de análisis, BlockMon [113] , Apache S4 [114] , Y la tormenta [115] aplicar el
paradigma de flujo de procesamiento de supervisión de la red. Estos enfoques [120] . En resumen, a mejores centros de datos del monitor, es necesario entender las
mediciones del proceso a medida que se producen, y no hay necesidad de almacenar los diferencias entre la infraestructura virtualizada y la infraestructura tradicional, dedicado y
resultados intermedios. luego utilizar estas diferencias.
mucho menos problemas que la superficie durante el seguimiento y por lo tanto puede [20] RS Prasad, M. Murray, C. Dovrolis, k. estimación Claffy, Ancho de banda: métricas, técnicas de
medición y herramientas, IEEE Red Mag. 17 (6) (2003) 27-35. Noviembre / Diciembre de 2003 .
reducir el tiempo necesario a los problemas a solucionar problemas. Una forma de
mejorar la precisión del diseño es desarrollar un sistema que evalúa la exactitud de los [21] S. Saroiu, PK Gummadi, SD Gribble, Sprobe: una técnica rápida para
cambios de diseño antes de que estos cambios se implementan en una red. Tal un la medición de ancho de banda de cuello de botella en entornos que no cooperan, en: Proc.
IEEE INFOCOM, junio de 2002. [22] B. floering, B. Brothers, Z. Kalbarczyk, RK Iyer, An adaptativo
sistema de evaluación debe ser flexible de manera que la exactitud de varios
guración-componentes con fi puede ser veri fi con una intervención mínima por parte de arquitectura para el seguimiento y el análisis de fallos de redes de alta velocidad, en: Proc.
los operadores de red (por ejemplo, cortafuego, enrutamiento, VPN, VLAN, y ACL IEEE / IFIP DSN, 2002. [23] GL dos Santos, VT Guimaraes, JG Silveira, AT Vieira, JA de
Reconocimiento arquitectura, en: Proc. ACM SIGCOMM Taller sobre INM, 2006. [28] P. Papageorge,
J. McCann, M. Hicks, pasivo agresivo
la medición con MGRP, ACM SIGCOMM Comput. Commun. Rev. 39 (4) (2009) 279-290 .
Este trabajo fue apoyado por una beca de investigación especial de la Universidad
de Mujeres de Seúl (2014). [29] C. Estan, K. Keys, D. Moore, G. Varghese, construcción de un mejor NetFlow,
en: Proc. ACM SIGCOMM, 2004. [30] EA Hernandez, MC Chidester, AD George '', muestreo
adaptativo para la gestión de la red '', J. Netw. Syst. Gestionar. 9 (4) (2001) .
referencias
[31] C. Barakat, G. Iannaccone, C. Diot, Clasificación flujos de muestreado
[1] La evaluación de los mecanismos de alta disponibilidad, Agilent Technologies tráfico c, en Proc. ACM conexto, 2005. [32] RRDtool. < http://oss.oetiker.ch/rrdtool/ > (Visitada
Papel blanco, 2005. < http://cp.literature.agilent.com/litweb/pdf/ 12/8/13). [33] N. Duf campo, M. Grossglauser, toma de muestras de trayectoria con la presentación
5989-4388EN.pdf > (Visitada 12/8/13). de informes poco fiable, IEEE / ACM Trans. Networking 16 (1) (2008) 37-50 .
Amazon EC2 y Amazon RDS Servicio IEEE / ACM Trans. Networking 9 (3) (2001) 280-292 .
La interrupción de la Región Este de Estados Unidos, de abril de 2011. < http: // [35] V. Sekar, MK Reiter, W. Willinger, H. Zhang, RR Kompella, DG
aws.amazon.com/ko/message/65648/ > (Visitada 12/8/13). Andersen, CSAMP: un sistema para toda la red flujo de vigilancia, en: Proc. USENIX INDE,
[4] MA Brown, T. Underwood, E. Zmijewski, El día en que el Youtube muere, NANOG 43 (2008). 2008.
[5] Z. Kerravala, como el valor de la empresa Redes intensifica, también lo hace 1990.
la necesidad de con fi guración de Gestión, empresa informática y las redes de Yankee Group, [37] Red de Protocolo de Con fi guración (NETCONF), RFC-6241, junio de 2011. [38] YANG - A Datos
2004. [6] A. La clase, X. Dimitropoulos, S. Denazis, B. Claise, monitoreo de red avanzada Lenguaje de Modelado para la fi guración de la red de Con
permite que la vida al plano de la conciencia, IEEE Commun. revista 46 (10) (2008) 140-146 . Protocolo (NETCONF), RFC-6020, octubre de 2010. [39] Normas CIM, < http://www.dmtf.org/standards/cim/
> (Visitada
12.08.13).
[7] M. Steinder, AS Sethi, Un estudio de las técnicas de localización de fallos en redes de [40] Información flujo IP de exportación (ip fi x), < http://datatracker.ietf.org/wg/
ordenadores, Elsevier Sci. Comput. Programación 53 (2) (2004) 165-194 . ip fi x / Carta / > (Visitada 12/8/13).
[41] C. Fraleigh, S. Luna, B. Lyles, C. Cotton, M. Khan, D. Moll, R. Rockell,
[8] A. Pras, J. Schonwalder, M. Burgess, O. Festor, GM Pérez, R. Stadler, T. Seely, SC Diot, Packet-nivel tráfico c mediciones de la columna vertebral Sprint IP, IEEE
B. Stiller, desafíos de investigación clave en la gestión de la red, IEEE Commun. revista 45 (10) Red Mag. 17 (6) (2003) 6-16 .
(2007) . [42] Y. Lin, MC Chan, Un enfoque monitoreo escalable basado en la agregación y refinamiento, IEEE
[9] J. Schonwalder, A. Pras, JP Martin-Flatin, Sobre el futuro de las tecnologías de administración de J. Sel. Las zonas comunes. 20 (4) (2002) 677-690 .
[11] R. Mahajan, D. Wetherall, T. Anderson, Understanding BGP [44] D. Plonka, Flowscan: una red de tráfico c flujo de informes y
configuraciones fi Miscon, en: Proc. ACM SIGCOMM, agosto de 2002, pp. 3-16. [12] A. herramienta de visualización, en: Proc. USENIX LISA, 2000. [45] B. Trammell, C. Gates, NAF: el
Feldmann, J. Rexford, IP con la red fi guración para intradominio tráfico c-ingeniería, IEEE Red agregada flujo conjunto de herramientas NetSA, en:
[13] N. Feamster, H. Balakrishnan, Detección de BGP con fi fallos guración [46] S. Romig, The fl paquete OW-herramientas OSU y CISCO NetFlow registros, en:
con el análisis estático, en: Proc. USENIX INDE, mayo de 2005, pp. 43-56. [14] S. Lee, T. Proc. USENIX LISA, 2000.
Wong, HS Kim, NetPiler: detección de configuraciones fi enrutador estafadores ineficaces, IEEE [47] J. Sellens, Thresh - un poller umbral SNMP datos dirigida, en: Proc.
J. Sel. Las zonas comunes. Número especial Red Inf. Conf. 27 (3) (2009) 291-301 . USENIX LISA, 2000.
[48] SS Kim, AL Reddy, NetViewer: una visualización tráfico de red fi c y
[15] S. Lee, T. Wong, HS Kim, Mejora de gestión a través de la reorganización de la política de herramienta de análisis, en: Proc. USENIX LISA, 2005. [49] R. Beverly, RTG: Estadísticas
enrutamiento con fi guraciones, Elsevier Comput. Redes 56 (14) (2012) 3192-3205 . Arquitectura escalable Un servicio SNMP para
Los proveedores, en: Proc. USENIX LISA, 2002. [50] A. Feldmann, A. Greenberg, C. Lund, N.
[dieciséis] S. Lee, HS Kim, correlación, visualización y análisis de usabilidad de enrutamiento con fi Reingold, J. Rexford, F. Verdadero, derivando tráfico c demandas de redes IP operacionales:
guraciones política, IEEE Trans. Netw. Serv. Gestionar. 7 (1) (2010) 28-41 . metodología y experiencia, IEEE Trans ACM /. Networking 9 (3) (2001) 265-279 .
[17] KG Anagnostakis, M. Greenwald, RS Ryger, cing: medición [51] A. Soule, A. Nucci, RL Cruz, E. Leonardi, N. Taft, dinámico Estimación de tráfico c matrices mediante
retrasos en la red interna utilizando solamente la infraestructura existente, en: Proc. IEEE el uso de cambios de enrutamiento viables, IEEE / ACM Trans. Networking 15 (3) (2007) 485-498 .
[54] K. Papagiannaki, N. Taft, ZL Zhang, C. Diot, la predicción a largo plazo [84] D. Caldwell, A. Gilbert, J. Gottlieb, A. Greenberg, G. Hjalmtysson, J.
de columna vertebral de Internet tráfico c: observaciones y modelos iniciales, en: Proc. IEEE Rexford, el borde de corte de enrutador con IP fi guración, en: Proc. Taller sobre Hot Topics in
INFOCOM 2003. Networks (HotNets), de noviembre de 2003. [85] K. Levanti, HS Kim, T. Wong, NetPolis:
[55] Y. Zhang, Z. Ge, Encontrar crítico tráfico c matrices, en: Proc. IEEE / IFIP Modelización de inter-dominio
Sistemas fiables y Redes, 2005. directivas de enrutamiento, en: Proc. IEEE Globecom, 2008. [86] M. Soni, VR Madduri, M.
[56] H. Kim, K. Claffy, M. Fomenkov, D. Barman, M. Faloutsos, K. Lee, Gupta, P. De, Tracking con fi guración
Internet trá fi co clasi fi cación fi cada demysti: mitos, advertencias, y las mejores prácticas, en: cambia de forma proactiva en grandes entornos de TI, en: Proc. IEEE IFIP NOMS /, abril de
Proc. ACM Conext de 2008. 2012.
[57] A. Moore, K Papagiannaki, Hacia el Accurate identificación de [87] T. Oetiker, MRTG: la fi Multi Router Traf c Grapher, en: Proc.
Las aplicaciones de red, en: Proc. PAM, marzo de 2001. [58] TS Choi, CH Kim, S. Yoon, JS USENIX LISA, 1998. [88] SNAPP, < http://sourceforge.net/projects/snapp/ > (Visitada 12/8/13).
Park, BJ Lee, Kim HH, SA Chung, [89] J. Oberheide, M. Goff, M. Karir, Flamenco: la visualización de internet tráfico c,
TS Jeong, aplicación de Internet basada en el contenido tráfico c medición y análisis, en: Proc.
IEEE IFIP NOMS / 2004. en: Proc. IEEE IFIP NOMS / 2006.
[59] S. Sen, O. Spatscheck, D. Wang, Accurate, escalable dentro de la red [90] W. Yurcik, visualizando Netflows para la seguridad a velocidad de línea: la SIFT
identificación de p2p tráfico C utilizando firmas de aplicación, en: Proc. WWW, 2004. conjunto de herramientas, en: Proc. USENIX LISA, 2005. [91] F. Fischer, F. Mansmann, DA Keim,
S. Pietzko, M. Waldvogel, a gran
[60] F. Risso, M. Baldi, O. Morandi, A. Baldini, P. Monclus, ligero, red escala monitoreo para el análisis visual de los ataques, en: Proc. IEEE Simposio sobre
basada en la carga útil tráfico c clasi fi cación: una evaluación experimental, en: Proc. IEEE ICC Visualización de Seguridad Cibernética (VizSec), 2008. [92] A. Yelizarov, D. Gamayunov,
2008. Visualización de ataques complejos y
[61] L. Bernaille, R. Teixeira, reconocimiento precoz de aplicación cifrado, Estado de red atacada, en: Proc. IEEE Simposio sobre
en: Proc. PAM, 2007. Visualización para Cyber Seguridad (VizSec), 2009. [93] B. Choi, S. Luna, R. Cruz, Z. Zhang,
[62] T. Karagiannis, K. Papagiannaki, M. Faloutsos, BLINC: multinivel C. Diot, retraso Practical
tráfico c clasi fi cación en la oscuridad, en: Proc. ACM SIGCOMM, 2005. [63] K. Xu, Z. Zhang, monitoreo para ISPs, en: Proc. ACM Conext, 2005. [94] AG Prieto, R. Stadler, A-GAP: un
S. Bhattacharyya, Pro fi ling red troncal de Internet protocolo de adaptación para la monitorización de red continua con los objetivos de precisión,
tráfico c: modelos de comportamiento y aplicaciones, en: Proc. ACM SIGCOMM, IEEE Trans. Netw. Serv. Gestionar. 4 (1) (2007) 2-12 .
2005.
[64] M. Iliofotou, P. Pappu, M. Faloutsos, M. Mitzenmacher, S. Singh, G. [95] M. Dilman, D. Raz, Ef fi ciente supervisión reactiva, IEEE J. Sel. Las zonas comunes. 20 (4)
Varghese, supervisión de la red usando tráfico c dispersión gráficos (TDGS), en: Proc. IMC, (2002) 668-676 .
2007. [65] T. Nguyen, G. Armitage, Un estudio de las técnicas de Internet tráfico c clasi fi cación [96] J. Jiao, S. Naqvi, D. Raz, B. Sugla, Hacia monitoreo fi ciente, IEEE J. Sel. Las zonas comunes. 18
utilizando el aprendizaje de máquina, IEEE Commun. Surv. Tutoriales 10 (4) (2008) 56-76 . (5) (2000) 723-732 .
[97] D. Breitgand, D. Dolev, D. Raz, G. Shaviner, facilitando e fi ciente y
fiable monitoreo a través de HAMSA, en: Proc. IEEE / IFIP IM, 2003. [98] Y. Bejerano, R.
[66] J. Zhang, Y. Xiang, Y. Wang, W. Zhou, Y. Xiang, Y. Guan, Red tráfico c clasi fi cación usando Rastogi, el seguimiento robusto de los retrasos y fallos de enlace en las redes IP, IEEE Trans ACM
información de correlación, IEEE Trans. Paralelo Distrib. Syst. 24 (1) (2013) . /. Networking 14 (5) (2006) 1092-1103 .
[99] C. Chaudet, E. Fleury, IG Lassous, H. Rivano, M. Voge, Optimal
[67] Z. Li, R. Yuan, X. Guan, Accurate Clasificación de la Internet tráfico c posicionamiento de los dispositivos de vigilancia activa y pasiva, en: Proc. ACM conexto de 2005.
Basado en el método SVM, en: Proc. IEEE ICC, 2007. [68] AW Moore, D. Zuev, Internet tráfico
c clasi fi cación utilizando Bayesiano [100] L. Li, M. Thottan, B. Yao, S. Paul, monitoreo de red distribuida
técnicas de análisis, en: Proc. ACM Sigmetrics, 2005. [69] C. Estan, S. Savage, G. Varghese, con la utilización del enlace delimitada en redes IP, en: Proc. IEEE INFOCOM, 2003. [101] G.
inferir automáticamente patrones de Huang, C. Chang, C. Chuah, B. Lin, la colocación del monitor Medición-consciente y
el consumo de recursos en el tráfico de red fi c, en: Proc. ACM SIGCOMM, enrutamiento: un enfoque optimización conjunta para mediciones de toda la red, IEEE Trans.
2003. Netw. Serv. Gestionar. 9 (1) (2012) 48-59 .
[70] M. Baldi, E. Baralis, F. Risso, técnicas de minería de datos para la eficaz
y escalable tráfico c análisis, en: Proc. IEEE / IFIP IM, 2005. [71] S. Kandula, R. Chandra, D. [102] Y. Choi, I. Hwang, En el servicio de calidad de servicio de monitoreo de tiempo real
Katabi, ¿Qué está pasando? Aprendizaje aplicaciones que utilizan SM MIB, Int. Administrar J. Red. 15 (1) (2005) 31-42 .
comunicación gobierna en redes EDGE, en: Proc. ACMSIGCOMM, 2008. [72] RR Kompella, J.
Yates, A. Greenberg, AC Snoeren, detección y [103] GA Winters, DA Muntz, TJ Teorey, Uso de extensiones de grupo matriz RMON para analizar los
la localización de la red de agujeros negros, en: Proc. IEEE INFOCOM, 2007. [73] I. Cunha, R. problemas de internetworking, J. Netw. Syst. Gestionar. 6 (2) (1998) 179-196 .
Teixeira, N. Feamster, C. Diot, métodos de medición
para una rápida y precisa blackhole identificación con la tomografía binario, en: Proc. ACM [104] L. Yuan, C.-N. Chuah, P. Mohapatra, ProgME: hacia programable
IMC, 2009. [74] P. Bahl, R. Chandra, A. Greenberg, S. Kandula, D. Maltz, M. Zhang, Hacia los medición de la red, en: Proc. ACM SIGCOMM, 2007. [105] P. de Meer, A. La Corte, A. Pulia fi
servicios de red de la empresa de gran fiabilidad a través de la inferencia de dependencias a, O. Tomarchio, agentes programables para la gestión de calidad de servicio fl exibles en redes
multi-nivel, ACM. SIGCOMM CCR 37 (4) (2007) 13-24 . IP, IEEE J. Sel. Las zonas comunes. 18 (2) (2000) 256-267 .
[75] S. Kandula, R. Mahajan, P. Verkaik, S. Agarwal, J. Padhye, P. Bahl, diagnóstico detallado en [106] A. Liotta, G. Pavlou, G. Knight, explotando la movilidad agente de supervisión de la red a gran
redes de empresa, ACM SIGCOMM CCR 39 (4) (2009) 243-254 . escala, IEEE Red Mag. 16 (3) (2002) 3-15 .
[107] N. Spring, D. Wetherall, T. Anderson, Scriptroute: a internet público
[76] A. Turner, HS Kim, T. Wong, la detección automática de relaciones dispositivo de medición, en: Proc. USITS, 2002. [108] EP Duarte, MA Musicante, HH
a través de múltiples capas de la red, en: Proc. ACM SIGCOMMWorkshop el INM, 2007. Fernandes, ANEMONA: un lenguaje de programación para aplicaciones de monitorización de red,
Int.
[77] A. Mahimkar, J. Yates, Y. Zhang, A. Shaikh, J. Wang, Z. Ge, CT Ee, Administrar J. Red. 18 (4) (2008) .
Solución de problemas de las enfermedades crónicas en las redes IP de gran tamaño, en: Proc. ACM Conext de [109] J. Francois, C. Wagner, R. Estado, T. Engel, SAFEM: análisis escalable de
2008. flujos con medidas entrópicos y SVM, en: Proc. IEEE IFIP NOMS /, abril de 2012.
[78] RR Kompella, J. Yates, A. Greenberg, AC Snoeren, culpa IP
la localización a través de modelos de riesgo, en: Proc. USENIX INDE, 2005. [79] S. Kandula, D. Katabi, J. [110] N. Bonelli, AD Pietro, S. Giordano, G. Procissi, En multigigabit
Vasseur, encogen: una herramienta para diagnóstico de fallos de paquetes captura con hardware multi-núcleo de los productos básicos, en: Proc. PAM, 2012.
en las redes IP, en: Proc. ACM SIGCOMM MineNet, 2005. [80] X. Wu, D. Turner, C. Chen, DA
Maltz, X. Yang, L. Yuan, M. Zhang, [111] T. Samak, D. Gunter, V. Hendrix, análisis escalable de red
NetPilot: la automatización de centro de datos mitigación fallo de la red, en: Proc. ACM mediciones con Hadoop y Pig, en: Proc. IEEE / IFIP NOMS, abril de 2012. [112] J. Dean, S.
SIGCOMM, Agosto de 2012. Ghemawat, mapreduce: simpli fi ed procesamiento de datos en grandes grupos, Commun. ACM
[81] CJ Tengi, JM Roberts, JR Crouthamel, CM Miller, CM Sánchez, 51 (1) (2008) 107-113 .
AUTOMAC: una herramienta para la automatización de la red movimientos, adiciones y cambios, en: Proc.
USENIX LISA, noviembre de 2004. [113] D. Simoncelli, M. Dusi, F. Gringoli, S. Niccolini '', Stream-monitoreo con BlockMon: convergencia
[82] JR Crouthamel, JM Roberts, CM Sánchez, CJ Tengi, PatchMaker: de mediciones de red y los datos de análisis de Plataformas '', ACM SIGCOMM CCR 43 (2)
una herramienta física del gestor del parche de la red, en: Proc. USENIX LISA, noviembre de 2004. (2013) 30-35. abril 2013 .
[83] RM Oliveira, S. Lee, HS Kim, la detección automática de fi cortafuegos [114] L. Neumeyer, B. Robbins, A. Nair, A. Kesari, S4: corriente distribuida
Miscon configuraciones Fi utilizando fi cortafuegos de red y enrutamiento de las políticas, en: IEEE el cálculo de la plataforma, en: Proc. Conferencia Internacional IEEE sobre Talleres de minería
Taller sobre DSN proactiva La falta de evitación, Recuperación y Mantenimiento (PFARM), Lisboa, de datos (ICDMW), 2010. [115] tormenta, < http://storm-project.net > (Visitada 12/8/13).
Portugal, junio de 2009.
98 S. Lee et al. / Redes de Computadores 65 (2014) 84-98
[116] SA Baset, L. Wang, C. Tang, Hacia una comprensión de estado trabajando con la producción a la red con fi guraciones y datos de medición durante más de 7
sobresuscripción en la nube, en: Actas del Taller sobre USENIX Hot Topics in Gestión de años.
Internet, la nube, y la Empresa redes y servicios (Hot-ICE), 2012.
[117] P. Singh, M. Lee, S. Kumar, RR Kompella, Habilitación de flujo de nivel kyriaki Levanti recibió el grado Diploma en Ingeniería Eléctrica e
mediciones de latencia a través de routers en centros de datos, en: Informática de la Universidad Técnica Nacional de Atenas
Actas de USENIX Hot-ICE, 2011.
(NTUA), Grecia, en 2005, y un Ph.D. grado en Ingeniería
[118] S. Sarkar, R. Mahindru, RA Hosn, N. Vogl, HV Ramasamy,
Eléctrica e Informática de la Universidad Carnegie Mellon (CMU),
Automatizado de gestión de incidencias de una nube plataforma-como-un-servicio, en: Actas
Pittsburgh, PA, en 2012. Trabajó en el Grupo de Sistemas
de USENIX Hot-ICE, 2011. [119] H. Kang, X. Zhu,
Distribuidos en IBM TJ Watson Research Center, Hawthorne,
JL Wong, DAPA: el diagnóstico de aplicación
Nueva York, en el verano de 2008. En la actualidad está
anomalías de funcionamiento para la infraestructura virtualizada, en:
Actas de USENIX Hot-ICE, 2012. trabajando en Amazon, Seattle, como ingeniero de software. Su
[120] F. Dinu, TS Eugene Ng, Synergy2Cloud: introducir el intercambio de cruz investigación se incluyen los intereses de enrutamiento de
de experiencias de aplicación en el ciclo de gestión de la nube, en: Actas de USENIX Hot-ICE, Internet,
2012.
[121] B. Trammell, E. Boschi, L. Marcos, T. Zseby, A. Wagner, Speci fi cación de
el formato de archivo de información de flujo IP de exportación (IPFIX), RFC-5655, octubre. 2009. gestión de redes y medición.
2004, respectivamente, y un Ph.D. grado en Ingeniería Eléctrica desde 1990, donde actualmente es el Profesor Drew D. Perkins
e Informática de la Carnegie Mellon University (CMU) en 2010. Presidido de Ingeniería Eléctrica e Informática. Sus principales
Luego trabajó en IBM TJ Watson Research Center como un áreas de investigación son las arquitecturas avanzadas de
investigador post-doctoral. En la actualidad es profesor asistente conmutación, tolerante a fallos, fiable y segura a la red
en la Universidad de Seúl mujeres en el Departamento de
Seguridad de la Información. Sus líneas de investigación arquitecturas y gestión y control de la red.