一种基于概率转发的Web防火墙拥塞控制方法
【技术领域】
[0001] 本发明属于Web防火墙领域,具体设及一种基于概率转发的Web防火墙拥塞控制 方法。
【背景技术】
[0002] 作为现代互联网中重要的安全防护设施,Web防火墙在保证网络的安全性方面起 着不可估量的作用。Web防火墙系统对网络流量的解析较为深入,其对数据处理的复杂性 也导致其吞吐量低于一般的数据包级别和流级别的防火墙。面对互联网流量逐年增大的趋 势,如何使得Web防火墙在负载过大时,及时调整自身策略,使得系统尽快恢复到正常工作 状态,保证系统有较好的应对能力,显得格外重要。
[0003]目前关于应对大流量的拥塞控制策略主要是一种基于主动队列的管理算法,该类 算法W概率性丢包为基础,提前预测网络可能出现的拥塞。利用TCP协议工作特点,采取选 择性丢包的策略控制流量大小,对拥塞现象加W避免。
[0004] 该种基于概率性丢包思想的做法被广泛应用于路由器该种主要负责分组转发功 能的设备上,不适用于Web防火墙该种W内容还原检测为主要目的的系统。该种算法为缓 冲区设定不同的阔值,标识出缓冲区分组数量在不同范围内时,系统应使用的丢包概率。该 种方法避免了溢出法出现的队列抖动性现象,使得队列长度能够保持在一个较为平稳的范 围。
[0005] 由于Web防火墙主要处理部分在HTTP层处理上,驱动有较高的转发速率。当Web 防火墙面对网络负载较大的情况时,采用概率丢弃思想虽然可W有效抑制网络流量,但是 该样会造成用户上网缓慢,不能充分发挥Web防火墙的高速转发的功能。本发明基于Web 防火墙自身性能瓶颈特点,结合主动队列思想,提出一种基于概率转发的拥塞控制方法。旨 在提高Web防火墙吞吐量,降低系统的丢包率。
【发明内容】
[0006] 本发明的目的在于提供一种旨在改善Web防火墙在高负载时的吞吐量,降低系统 丢包率的基于概率转发的Web防火墙拥塞控制方法。
[0007] 本发明的目的是该样实现的:
[000引 (1)每隔T时间间隔,读取队列当前长度li,统计k次,计算TXk时间内的队列 长度的平均值law
[0009]
【主权项】
1. 一种基于概率转发的Web防火墙拥塞控制方法,其特征在于,包括如下步骤: (1) 每隔τ时间间隔,读取队列当前长度Ii,统计k次,计算τ Xk时间内的队列长度 的平均值Iavg
(2) 根据队列的平均长度值Iavg计算当前时刻队列对分组的转发或丢弃概率P :
阈值集合{tr,le,(Ir1, drh}中,Ie是个固定的值,为Web防火墙期望带宽下应分配的队 列长度; (3) 根据当前队列增长速度△ λ,对不同阶段的阈值T进行微调
T代表阈值,△ λ代表平均队列长度,k代表采样次数,τ代表两次采样间隔; (3. 1)根据当前队列增长率Λ λ对阈值参数进行微调: 当前平均队列长度lavg〈tr时,对队列中所有分组都进行正常处理,即所有分组都存 入队列,并交由上层处理;当△ λ >0,近期系统的负载在增加阶段;当前平均队列长度 壮〈1^〈1。时,队列长度超过转发阈值壮,对近期的新到分组采取概率性转发策略进行处 理,根据当前队列增长速度△ λ,进行tr微调: Δ λ>〇 时,
(3. 2)当前队列平均长度le〈lavg〈dr^ : (3. 2. 1) Δ λ >〇 时,
Δ λ = O时,队列中分组数量没有变化,(Ir1保持不变; (3. 3)当前平均队列长度(Ir1Udrh时: (3. 3. 1) Δ λ >〇 时,
Δ λ = 〇时,队列长度未发生改变,Clr1保持不变。
【专利摘要】本发明属于Web防火墙领域,具体涉及一种基于概率转发的Web防火墙拥塞控制方法。本发明包括:每隔τ时间间隔,读取队列当前长度,统计k次,计算τ×k时间内的队列长度的平均值;根据队列的平均长度值lavg计算当前时刻队列对分组的转发或丢弃概率P;根据当前队列增长速度Δλ,对不同阶段的阈值T进行微调;本发明考虑了Web防火墙自身所具有的高速转发功能,采用概率转发的方式,可以提前对系统即将应对的高负载进行预防。避免了溢出造成的抖动性,同时提高了系统的吞吐量,降低了丢包率。
【IPC分类】H04L12-801, H04L29-06
【公开号】CN104767691
【申请号】CN201510152352
【发明人】玄世昌, 杨武, 王巍, 苘大鹏, 安凯歌, 常飞
【申请人】哈尔滨工程大学
【公开日】2015年7月8日
【申请日】2015年4月2日