Estudo de anomalias no tráfego internet

1Estudo de Anomalias no Tráfego Internet

Estudo de Anomalias no Tráfego InternetEstudo de Anomalias no Tráfego Internet

Aluno: Márcio de Freitas MiniczAluno: Márcio de Freitas MiniczOrientador: Alessandro AnzaloniOrientador: Alessandro Anzaloni

São José dos Campos, 02 de Agosto de 2005.São José dos Campos, 02 de Agosto de 2005.


RoteiroRoteiro● Motivação e objetivo● O que é qualidade de serviço (QoS)● Causas das anomalias● Cenários estudados● Influência das anomalias em modelamento

de tráfego: um exemplo modelo ARIMA● Conclusões● Contribuições● Futuros trabalhos


Motivação e Objetivo IMotivação e Objetivo I● A medida e a caracterização da Qualidade

de Serviço (QoS) na Internet são cada dia mais importantes pois mais serviços que exigem características especiais são oferecidos;

● A partir da medida e da caracterização é possível fazer várias análises como, por exemplo, verificar se um SLA (acordo de nível de serviço) esta sendo cumprido pelo provedor de serviço;


Motivação e Objetivo IIMotivação e Objetivo II● A caracterização é feita através de

parâmetros que podem sofrer grandes variações. Essas grandes variações são vistas como anomalias nas medidas;

● Estudo das anomalias no tráfego Internet para:– Identificar as fontes de anomalias;– Caracterizar o comportamento ou formato das

anomalias;– Avaliar a influência das anomalias no

modelamento de tráfego.


Qualidade de Serviço IQualidade de Serviço I● “É a capacidade de controlar o mecanismo

de tratamento de tráfego da rede de maneira que esta proveja as necessidades de serviço para certa aplicação e usuário em conformidade com as políticas de rede.” – Bernet;

● Não implica na criação de recursos, mas sim na otimização dos recursos disponíveis;

● Implica na maximização da utilização da rede por todas as aplicações e usuários.


Qualidade de Serviço IIQualidade de Serviço II● Parâmetros de QoS:

– Atraso (ou retardo);– Variação de atraso (IPDV);– Perda de pacotes;– Largura de banda.

● Os parâmetros de QoS podem ser aditivos ou nãoaditivos;

● As aplicações podem ser elásticas e nãoelásticas.


Causas das Anomalias ICausas das Anomalias I● Definição:

– Anomalias são valores de um determinado parâmetro de QoS que mostram desvios acentuados dos demais valores da série temporal que caracteriza a medida desse parâmetro.


Causas das Anomalias IICausas das Anomalias II● Por que é importante identificar as

anomalias:– Possibilidade de identificar as causas a partir da

observação da anomalia;– Detectar e eliminar as anomalias a fim de

minimizar o seu impacto no modelamento de tráfego;

– Avaliar o desempenho de algoritmos de controle e recuperação de falhas observando o intervalo de duração da anomalia.


Causas das Anomalias IIICausas das Anomalias III● Fontes de Anomalias:

– Congestionamento em algum ponto da Internet;– Falhas de enlaces;– Instabilidade de roteamento;– Ataques de hackers (negação de serviço DoS).


Causas das Anomalias IVCausas das Anomalias IV● Tipos de Anomalias:

– Vazio:● São intervalos de tempo nos quais não existem

valores medidos;● Causas: falha de enlace ou instabilidade de

roteamento.– Valor Extremo:

● Ocorre quando o valor do parâmetro de QoS ultrapassa um determinado linear;

● Causa: congestionamento.


Causas das Anomalias VCausas das Anomalias V● Exemplo das Anomalias Vazio e Valor

Extremo:

VazioValor Extremo


Cenários Estudados ICenários Estudados I● Simulação:

– Através do software Modeler da Opnet;– Simulador de eventos discretos;– Permite especificar: topologia da rede,

protocolos de roteamentos, endereços IP e número de sistema autônomo, característica dos tráfegos, etc;

– Mede: largura de banda, atrasos, utilizações de enlaces, número de pacotes perdidos, variação de atraso, etc.


Cenários Estudados IICenários Estudados II

Cenário Simulado


Cenários Estudados IIICenários Estudados III

IPDV do Cenário Simulado


Cenários Estudados IVCenários Estudados IV● Experimentação:

– Através do framework CMToolSet – desenvolvido por Salzburg Research (Áustria);

– Permite fazer medidas de QoS na Internet ou em laboratório;

– Definimos: protocolo de transporte, intervalo entre pacotes, comprimento dos pacotes, duração, etc;

– Mede: largura de banda, atrasos, número de pacotes perdidos, variação de atraso, etc.


Cenários Estudados VCenários Estudados V

Estrutura do CMToolSet


Cenários Estudados VICenários Estudados VI

Estrutura do CMToolSet (Áustria)


Cenários Estudados VIICenários Estudados VII

Estrutura do CMToolSet (Áustria)


Cenários Estudados VIIICenários Estudados VIII● Medida Experimental:

– Tráfego unidirecional do ITA para o Salzburg Research;

– Taxa constante de 6400 bps (pacotes de 60 bytes a cada 75 milisegundos);

– Protocolo de transporte UDP;– Medida agregada a cada hora;– Duração 120 horas.


Cenários Estudados IXCenários Estudados IX

IPDV do Cenário Experimental


Influência das Anomalias IInfluência das Anomalias I● Etapas para o estudo da influência das

anomalias em modelos de tráfego:1. Coleta de dados;

2. Detecção e eliminação das anomalias;

3. Avaliação da influência de anomalias no modelo de tráfego escolhido.


Influência das Anomalias IIInfluência das Anomalias II

1 – Coleta de dados

2 – Detecção e elimi-nação das anomalias

3 – Avaliação da influência deanomalias no modelo de tráfego escolhido


Influência das Anomalias IIIInfluência das Anomalias III● Detecção das Anomalias:

– Vazio: pela inexistência de valores;– Valor Extremo:

● Calcular o desvio padrão () das medidas até o instante de análise e verificar se a atual medida está no intervalo [média2, média+2], senão é um valor extremo.

● Eliminação das Anomalias:– Substituição pelo valor médio considerando as

medidas anteriores.


Influência das Anomalias IVInfluência das Anomalias IV● O Modelo ARIMA:

– É um modelo linear para séries temporais;– A partir do modelo avaliase de uma maneira

quantitativa as propriedades estocásticas e podese fazer predição;

– Por que usar esse modelo?● Com ele é possível fazer uma predição razoável de

curta e média memória;● Trata de processos estocásticos (fracamente)

estacionários ou nãoestacionários homogêneos.


Influência das Anomalias VInfluência das Anomalias V● ARIMA – Autoregressivo Integrado de

Médias Móveis:– Médias Móveis – considera a média ponderada

das perturbações aleatórias dos q períodos anteriores;

– Autoregressivo – considera a média ponderada das observações dos p períodos anteriores;

– Integrado – através da diferenciação transforma um processos estocástico nãoestacionário homogêneo em um processo estocástico (fracamente) estacionário.


Influência das Anomalias VIInfluência das Anomalias VI● Matematicamente:

ppBφBφBφ=BΦ 2

211

ttd εBΘ+δ=wBΦ

onde

qqBθBθBθ=BΘ 2

211


Influência das Anomalias VIIInfluência das Anomalias VII● Erro Médio Quadrático:

– É uma medida do desvio dos valores estimados pelo modelo em relação aos valores medidos;

2ˆ1

tt wwn

=EMQ

● O melhor modelo (ARIMA1 ou ARIMA

2) é o que

apresenta menor EMQ.


Influência das Anomalias VIIIInfluência das Anomalias VIII

IPDV do Cenário Simulado


Influência das Anomalias IXInfluência das Anomalias IX

Cenário Simulado – EMQ dos últimos 20 pontos do IPDV


Influência das Anomalias XInfluência das Anomalias X

IPDV do Cenário Experimental


Influência das Anomalias XIInfluência das Anomalias XI

Cenário Experimental – EMQ dos últimos 20 pontos do IPDV


ConclusõesConclusões● Deste trabalho podemos concluir:

–

– É necessário detectar e eliminar essas anomalias ao utilizar modelos de tráfegos.

Causa Anomalia (Efeito)

Congestionamento Valor ExtremoFalha de Enlace VazioInstabilidade de

RoteamentoVazio


ContribuiçõesContribuições● As principais contribuições são:

– Estabelecimento de um método para a caracterização das anomalias no tráfego da Internet obtido tanto através de simulação como experimentalmente;

– Introdução de novas funcionalidades no CMToolSet.


Futuros TrabalhosFuturos Trabalhos

– Caracterizar as fontes das anomalias utilizandose o modelo ARIMA multivariável;

– Verificar o efeito de longa memória no tráfego Internet. Ex. FARIMA;

– Técnicas de detecção de anomalias alternativas como o cumulative sum;

– Análise de desempenho de algoritmos de controle e recuperação de falhas em redes óticas através do estudo das anomalias presentes nos parâmetros de QoS em conexões TCP.


Obrigado.Obrigado.

Engineering

Estudo de anomalias no tráfego internet