Lasttransformationen und ihre Nutzung zur Prognose und zum Verständnis von Verkehren in Netzen mit Sicherheitsanforderungen
Final Report Abstract
Moderne Rechnernetze konstituieren hochkomplexe verteilte Systeme mit einer Vielzahl von unterschiedlichen Netzkomponenten und über das Netz kommunizierenden Diensten und Anwendungen. Das LUPUS-Projekt hatte zum Ziel, das Verständnis des Verhaltens von Kommunikationsnetzen und des darüber transportiertem Verkehrs zu verbessern. Aufbauend auf den Ergebnissen der ersten Projektphase wurden auch im zweiten Projektabschnitt innovative Resultate in diesem wichtigen Forschungsbereich erzielt. Auf der Grundlage realer Messdaten wurden einerseits Modelle zur Lastprognose entwickelt und andererseits neuartige Mechanismen zur Verarbeitung und Analyse von Netzverkehr erarbeitet. Hierbei konnten die Projektbeteiligten insbesondere auch von der Verknüpfung der jeweils unterschiedlichen Forschungsschwerpunkte profitieren: Während der Fokus des Projektpartners an der TU München im Bereich Verkehrsmessung und –analyse liegt, befasst sich die Arbeitsgruppe TKRN (Univ. Hamburg) insbesondere mit Lastmodellierung und –generierung. Im Rahmen des Projektes konnten in beiden Forschungsbereichen gute Fortschritte erzielt werden. Die Arbeiten bezüglich des Konzeptes der Lasttransformation wurden im zweiten Projektabschnitt fortgeführt. Als Lasttransformation bezeichnen wir die Veränderung der Eigenschaften eines Auftragsstromes durch die in Rechnernetzen auftretenden Verarbeitungsvorgänge. Mithilfe von modellbasierten Transformationen kann der Zusammenhang zwischen Lasten, wie sie an den Eingangs- bzw. Ausgangsschnittstellen eines verarbeitenden Systems auftreten, beschrieben werden. Im Rahmen des LUPUS-Projektes konnten für Auftragsströme, welche sich als Batch Markovian Arrival Processes (BMAPs) charakterisieren lassen, Transformationsalgorithmen für eine Reihe von Verarbeitungsmechanismen entwickelt werden Hierdurch können die Lastmodifikationen direkt in der Lastbeschreibung berücksichtigt werden. In der zweiten Projektphase wurden Validationsstudien im realen Netz durchgeführt sowie Transformationsalgorithmen zur Modellierung von TCP-Segmentströmen entwickelt. Darüber hinaus wurden Untersuchungen von Transformationsvorgängen in realen Netzen durchgeführt, u.a. im Kontext von verschlüsseltem Verkehr. Im Bereich der Lastgenerierung wurden in der zweiten Projektphase Lastgeneratoren für die IP- sowie die HTTP-Dienstschnittstelle entwickelt und bewertet. Das im Projekt entwickelte System zur verteilten Lastgenerierung wurde zur Untersuchung der Übertragungsqualität im Bereich Video-Streaming- Anwendungen erfolgreich eingesetzt. Im Rahmen der beiden Projektphasen des LUPUS-Projektes wurden vielfältige Erweiterungen am Netzwerkmonitor VERMONT vorgenommen. Diese sind, wie der Monitor selbst, unter einer Open-Source-Lizenz veröffentlicht und stehen somit anderen Forschergruppen zur Verfügung. Für die Standardisierung relevante Erkenntnisse, die sich aus den Implementierungsarbeiten ergaben, wurden in die IPFIX-Arbeitsgruppe der IETF eingebracht. Um auch in Hochgeschwindigkeitsnetzwerken Messungen durchführen zu können wurde weiterhin untersucht, welche Betriebssysteme und welche betriebssystemspezifischen die geringsten Paketverluste verursachen. Die daraus gewonnen Erkenntnisse halfen dabei eine geeignete Messumgebung für Untersuchungen an echten Verkehrsmessdaten zu betreiben. Das bereits in der ersten Projektphase entwickelte Sampling-Verfahren wurde im Rahmen der zweiten Projektphase verbessert. Mit Hilfe dieser Messumgebung konnten Daten für Untersuchungen mit Verkehrsklassifikationsalgorithmen gewonnen werden. Im Rahmen der zweiten Projektphase wurde das Verfahren verbessert und mit den neu gewonnenen Daten ausführlich evaluiert. Weitere Arbeiten im Bereich der Analyse und Erkennung von Schadsoftware führten zur Entwicklung bzw. wesentlichen Weiterentwicklung zweier Werkzeuge: Die TrumanBox erlaubt es, Schadsoftware in einer kontrollierten Netzwerkumgebung auszuführen und den dabei entstehenden Netzwerkverkehrs dynamisch zu verändern, umzuleiten und zu untersuchen. Das Werkzeug ccSpy erlaubt eine verteilte, flexible aktive Untersuchung verschiedener Botnetze und bietet somit anderen Wissenschaftlern die Möglichkeit, neue Erkenntnisse über Botnetze zu gewinnen. Beide Werkzeuge sind ebenfalls unter einer Open-Source Lizenz frei verfügbar.
Publications
- Reconstructing arrival processes to discrete queueing systems by inverse load transformation. Simulation Journal
Stephan Heckmüller, Bernd E. Wolfinger
(See online at https://doi.org/10.1177/0037549710385835) - Using Load Transformations for the Specification of Arrival Processes in Simulation and Analysis. Special Issue of SIMULATION, Juli 2009
Stephan Heckmüller, Bernd. E. Wolfinger
- Analytical Load Transformations of Video Streams: Validation Using Measured Traffic. In Proceedings of SPECTS 2010, Ottawa, Kanada, Juni 2010, p. 202-209
Stephan Heckmüller, Bernd E. Wolfinger
- Comparing and improving current packet capturing solutions based on commodity hardware. Proceedings of the Internet Measurement Conference (IMC 2010), Melbourne, Australia, November 2010
Lothar Braun, Alexander Didebulidze, Nils Kammenhuber, Georg Carle
- Lasttransformation durch Rekonstruktion von Auftragslängen anhand von Paketdaten. Zeitschrift Praxis der Informationsverarbeitung und Kommunikation (PIK), Vol. 33, No. 2, Juni 2010, 113-120
Stephan Heckmüller, Gerhard Münz, Lothar Braun, Aaron Kunde, Bernd E. Wolfinger, Georg Carle
- Packet sampling for worm and botnet detection in TCP connections. In Proceedings of IEEE/IFIP Network Operations and Management Symposium (NOMS) 2010, Osaka, Japan, April 2010
Lothar Braun, Gerhard Münz, Georg Carle
- TCP traffic classification using Markov models. In Proceedings of Traffic Monitoring and Analysis Workshop (TMA) 2010, Zurich, Switzerland, April 2010
Gerhard Münz, Hui Dai, Lothar Braun, Georg Carle
- TCP-Verkehrsklassifizierung mit Markov- Modellen. Zeitschrift Praxis der Informationsverarbeitung und Kommunikation (PIK), Vol. 33, No. 2, Juni 2010, 121-129
Gerhard Münz, Lothar Braun, Hui Dai, Georg Carle
- “Improving Markov-based TCP Traffic Classification”, in Proc. of the 17th Conference on Communication in Distributed Systems (KiVS’11), Kiel, March, 8-11, 2011, pp. 61-72
G. Münz, S. Heckmüller, L. Braun, G. Carle
- “Web Workload Generation According to the UniLoG Approach”, in Proc. of the 17th Conference on Communication in Distributed Systems (KiVS’11), Kiel, March, 8-11, 2011, pp. 49-6
A. Kolesnikov, B. E. Wolfinger