网络流量分析的方法范文

前言：我们精心挑选了数篇优质网络流量分析的方法文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

【关键词】IP网络流量分析；互联网；技术的应用

网络流量分析是一个有助于网络管理者进行网络优化、网络监控、流量趋势分析等工作的工具，进而挖掘网络资源潜力，控制网络互联成本，并为网络规划、优化调整和业务发展提供基础依据，企业需要及时了解到网络中承载的业务，及时掌握网络流量特征，及时解决网络性能问题。从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时了解网络运行状况，及时清楚网内应用的执行情况。随着网络的发展，流量分析工作将在网络管理中起到越来越重要的作用。

1.网络流量分析方法

网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量分析根据不同的方法可以从不同的侧面展开，目前，主要的分析方法有流量的统计分析和流量的粒度分析等。

1.1 网络流量的统计分析

（1）基于软件的流量统计

这种统计分析一般通过修改安装于主机上的操作系统的网络接口模块，使之具有捕获数据包的功能，以实现流量信息的收集和分析。基于硬件的流量统计效率很高，专用性强，但是价格昂贵对人员要求高，而基于软件的流量统计有价格便宜，实现灵活，扩展性强的优点，但其性能要低于基于硬件的统计技术。因此，流量统计方法有待进一步的提高，以适应网络快速发展的需求。

（2）基于硬件的流量统计

此类分析通常采用硬件测量设备，是一种为特定目的设计的用于收藏和分析流量数据的硬件设备。

1.2 网络流量的粒度分析

网络流量行为特征的分析还可以在不同测量粒度或者不同的层面上展开。

比特级（Bit-level）的流量分析，这种分析主要关注网络流量的数据特征，如网络线路的传输速率，吞吐量的变化等等。

分组级（Packet-level）的流量分析，此类分析主要关注的是IP分组的到达过程、延迟、抖动和丢包率等。

流级（Flow-level）的流量分析，Flow的划分主要依据地址和应用协议而展开的，它主要关注流的到达过程、到达间隔及其局部的特征。

上面流量的粒度由小到大递增，时间尺度也逐渐增大，不同时间尺度网络流量往往表现出不同的行为规律。通常，网络设备本身都提供基于IP分组头的分析功能，因此，Flow-level的流量分析成为发展趋势。

2.网络流量分析常用技术

随着计算机技术的发展，网络流量分析技术也与时俱进。既有传统的数据库的网络管理技术，也有面向开放式互联网的网络分析技术。目前，在网络流量分析中占据主流的常用分析技术主要有：

2.1 RMON技术

RMON（远程监控），是由IETF定义的一种远程监控标准，RMON是对SNMP标准的扩展，它定义了标准功能以及网管站和远程监控器之间的接口，实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器叮用两种方法收集数据：一种是通过专用的RMON探针（Probe），流量探针安装方便，但是流量探针价格昂贵，不适合大面积部署。另一种方法是将RMON直接植入网络设备（路由器、交换机、HUB等），但这种方式受网络设备资源限制，一般不能获取RMONMIB的所有数据，大多数只收集统计量、历史、告警、事件等四个组的信息。

2.2 SNMP技术

SNMP是用标准化方法定义的，通常一个标准的网管系统包括三个组成部分：SNMP协议，这包括理解SNMP操作、SNMP消息的格式以及如何在应用程序和设备之间交换信息；管理信息结构，它是用于指定一个设备维护的管理信息的规则集；管理信息库，它是设备所维护的全部被管理对象的结构集合。基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息，典型工具有MRTG，MRTG是一个使用的免费软件，通过SNMP协议从设备得到流量信息，将流量负载情况绘制成PNG格式图片，并以WEB形式显示给用户。由于M RTG使用起来很方便，能够直观显示端口流量负载，所以是各类网管人员常用的网络监视工具。但MRTG的功能比较单一，其收集到的流量信息仅是简单的端口出、入流量统计信息，不能深入分析包的类型、流向等信息。

2.3 s Flow技术

s Flow是由InMon﹑HP和Foundry Networks于2001年联合开发的一种网络监测技术，它采用数据流随机采样技术，可提供完整的第一层到第四层，甚至全网络范围内的流量信息，可以适应超大网络流量（如人于10Gbit/s）环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。sFlow技术有很多优点：成本低廉；在不断发展升级当中，能在没有消耗额外资源的环境监测万兆网络，不会带来新的网络冲突；有自己的一套准确可靠的计量方式；数据信息量人。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使实现而向每一个端口的全企业网络监视解决方案成为可能。

3.网络流量分析技术的应用

网络流量分析起着一个衔接的作用，主要利用网络流量测量部分收集到的各种流量信息，通过运用不同的方法对其进行分析和建模，以发现流量的特性，对网络性能做出客观的评价，并以此作为对网络进行控制和优化的依据。网络流量分析技术的应用主要包括以下儿个方面：

3.1 实施安全预警

网络流量异常会严重影响网络性能，造成网络拥塞，严重的甚至会网络中断，使网络设备利用率达到100%无法响应进一步的指令。通过对网络内流量的实时分析，有助于及时发现网络中出现的异常流量，迅速分析出异常流量的具体属性，并向网络管理者进行告警，判断是否出现了入侵，并按照事先拟定的规则集进行处理，记录异常情况发生时的详细网络状况，使入侵得到及时发现和处理。

3.2 分析用户行为

根据分析结果，进行相应网络内容的建设！将用户感兴趣的热点信息内容放到内部网络，减轻互联链路的压力。

3.3 节省运营费用

通过对网络出口流量和流向的分析，可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数，可以详细了解网络内部用户对其他外部网络的访问情况，为基于IP的计费应用和SLA的校验服务提供数据依据，从而有效地选择与其他运营商的互联方式，节省费用。

3.4 优化网络结构

通过对网络中一些特定流量的长期监控，获得网络流量数据后对其进行统计和计算。从而得到网络及其主要成分的性能指标，定期形成性能报表，并维护网络流量数据库或日志存储网络及其主要成分的性能的历史数据，可供网管人员正确分析网络使用状况，对网络及其主要成分的性能进行性能管理。通过数据分析获得性能的变化趋势，分析制约网络性能的瓶颈问题。

3.5 评估网络价

通过对各个分支网络出入流量的监控，分析流量的大小﹑去向及内容组成，了解各分支网络占用带宽的情况。从而反映其占用的网络成本，也可以了解其业务开展情况，并作出价值评估。

3.6 确定重点客户

通过对重要应用和大客户的流量进行统计分析。掌握重要应用和大客户的流量状况，进行网络带宽的成本分析。有助于在网络服务质量和网络成本之间取得最佳平衡。

4.网络流量分析的重要性

相对于网络管理人员来说，理解用户的网络行为网络流量的内容是网络管理的重要内容，它为日常网络管理﹑容量规划与未来网络升级等提供重要依据，通过网络流量分析，可以提供大量详尽的数据，供网管人员从很多方面进行更好地维护﹑优化网络，并且提升网络的性能；同时还能为业务应用层面提供数据依据，为特定客户提供流量分析服务。比如网站流量统计分析等；也可作为网络安全的辅助手段，处理网络病毒等异常事件。在病毒分析时，网络管理员需要知道哪些端口发送的数据发生了较大变化，因此，对网络流量的分析可以为网络的运行和维护提供重要信息和深层次的管理功能，很好地发挥网络管理作用。对于网络性能分析﹑异常监测﹑链路状态监测﹑容量规划等发挥着重要作用。为网络发展和网络优化提供更优质﹑更有效的技术支撑和技术服务，可以预见，随着网络的发展，流量分析工作将在网络管理中起到越来越重要的作用。

参考文献

[1]李万鹏.网络流量控制及流量分析[D].北京邮电大学，2011.

第2篇

关键词:网络服务器;流量分析;流量监控

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的数据网络给我们的生活、工作和人与人之间的沟通带来了极大的方便,网络业务日趋丰富,网络流量高速增长。同时,网络运营商之间的竞争也逐渐激烈,以高投资为特征,追求简单规模扩张的粗放型竞争模式已经不适应当前的形式。挖掘现有网络资源潜力,控制网络互联成本,提供有吸引力的增值业务,提高网络运维水平成为在激烈竞争中的制胜策而要实现这些,都离不开可靠、有效的网络流量监控的有力支撑。

二、网络流量监控和分析的意义

用户现有的网络管理系统在长期的网络流量分析方面存在不足。主要表现在如下方面:

(一)长期的网络和应用问题分析能力不足

现有的网络管理系统无法长期的纪录网络和应用的运行状态,无法长期的保存网络流量信息,在出现网络或应用问题时,不能为网络技术人员提供有效的信息依据,问题往往是依靠网络技术人员通过推断来分析,这样网络问题的分析效率很低,同时很难得到确实的分析结论。

(二)缺乏对网络和应用间歇性问题的分析能力

网络或应用可能出现间歇性故障,这种故障的出现一般很难判断,在出现后很难分析其产生原因,而再次出现的时间无法确定,因此难以解决,好像网络中存在一个不定时的炸弹,使用户网络和应用时刻处于危险之中。

(三)对网络安全问题的分析能力不足

在发生网络安全问题时,缺乏有效的监控分析手段,导致网络的安全性降低,例如蠕虫病毒的爆发,应该能够对蠕虫病毒的传播情况进行有效的分析。

三、网络流量分析内容

流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。

(一)带宽的网络流量分析

复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过基于带宽的网络流量分析会使其更加明确。工具主要有MRTG等,它是一个监控网络链路流量负载的工具软件, 它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户,以非常直观的形式显示流量负载。

(二)网络协议流量分析

对网络流量进行协议划分,真对不同的协议我们进行流量监控和分析,如果某一个协议在一个时间段内出现超常暴涨,就有可能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。

(三)基于网段的业务流量分析

流量分析系统可以针对不同的VLAN来进行网络流量监控,大多数组织,都是不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN进行流量监控。

(四)网络异常流量分析

异常流量分析系统,支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。能把焦点放在组织的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务, 从而为组织节约成本。异常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平台、PeakFlow Traffic流量管理平台等。

(五)应用服务异常流量分析

当应用层出现异常流量时,通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析,并通过IPS的安全防护技术进行反击。

四、网络流量控制解决方案建议

对于目前运营商对网络流量控制的需要,论文推荐的流量控制解决方案构架是:全网集中监视+重点控制。全网集中监视反映的是对整个网络的性能监视和分析。重点控制是在网络中的关键位置部署监控探针,在网络中心设置管理系统,以实现运营商在远程对重点地区进行更加细致的监视和控制作用。

(一)监控探针的放置点建议

国际出口、网络互联端口、骨干网的重要中继、重要城市的城域网出口等位置。

(二)全网集中监视主要实现的功能

实时监测网络状况。能实时获得网络的当前运行状况,减轻运维人员工作负担。能在网络出现故障或拥塞时自动告警,在网络即将出现瓶颈前给出分析和预测。

合理规划和优化网络。通过对网络流量的监视、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议协分布特性,为网络规划、路由策略、资源和容量升级提供依据。

引导提供网络增值业务。通过对业务占用带宽的分布、业务会话的统计分析,能够了解和分析网络特性和用户使用偏好,引导开发和规划新的网络应用和业务平台,进行增值业务的拓展和市场宣传,引导用户需求。

灵活的资费标准。通过对用户上网时长、上网流量、网络业务以及目的网站的数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的资费标准。

(三)重点控制实现的功能包括

提供主动的控制功能。不仅仅局限于对网络流量状况的获得,还能够提供基于网络流量监测系统GATE 1000硬件平台和业界领先算法的流量控制功能,主动改进网络服务。

满足重点监控需要。可以提供丰富的监控特征参数,可以进行灵活的复合设定,全面满足运营商需要,也可以通过定制来实现特定要求。

降低互联互通成本。获得重点出口中继链路的利用率、用户和协议分布、源和目的网段间的流量分布和趋势,提供运营和互联成本分析。为网络互通、租用中继以及选择商业战略伙伴决策时提供科学依据,降低成本。

实现区分服务,保证服务质量。流量监控获得的数据,可进行高低优先级客户的网络资源占用率分析、服务质量的监测。通过资费政策的调节、业务等级的区分、在中继线路上实施流量控制,优先保证高优先客户的服务质量。

网络安全和抵御DOS攻击。通过连接会话数的跟踪,源目的地址对的分析,TCP流的分析,能够及时发现网络中的异常流量和异常连接,侦测和定位网络潜在的安全问题和攻击行为,保障网络安全。

五、IPFIX与PSAMP标准

IPFIX(IP Flow Information Export,IP流动信息输出)是IETF的技术人员2004年才制订的一项规范,使得网络中流量统计信息的格式趋于标准化。该协议工作于任何厂商的路由器和管理系统平台之上,并用于输出基于路由器的流量统计信息。

IPFIX定义的格式为Cisco的NetFlow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(路由器或交换机)传送到另一个收集器。因为IPFIX具有很强的可扩展性,因此网络管理员们可以自由地添加或更改域(特定的参数和协议),以便更方便地监控IP流量信息。使用模板的方便之处在于网管和厂商不必为了用户能够查看流量统计信息,而每次都要更换软件

为了完整地输出数据,路由器一般以七个关键域来表示每股网络流量:源IP地址、目的地IP地址、源端口、目的端口、三层协议类型、服务类型字节、输入逻辑接口。如果不同的包中所有的七个关键域都匹配,那么所有这些包都将被视为属于同一股流量。此外,一些系统中还有为了网络统计进行跟踪而附加的非关键域,包括源IP掩码、目的地IP掩码、源地址自治系统(autonomous system)、目的地自治系统、TCP flag、目的地接口以及IP next-hop等。按照IPFIX标准,如果网络操作人员想以附加的非关键域来描述包,那么基于模板的格式会在输出包的报头之后插入一个新域,并新增新的模板记录。

六、网络监测系统框架

采用不同的检测方法,通过分布式监测方式对通过高速IP网络的数据包进行统计和分析。采集服务器搜集的数据包及统计数据被传送到综合服务器,经合并处理后存入数据库,并进行进一步的分析处理。在这个过程中,可应用Netflow v9、IPFIX以及PSAMP等标准和协议,实现对采集数据的编码与传输。与通常的SNMP、Netflow及其它网管标准不同的是,该框架采取了PSAMP标准及技术,在不降低监测与分析效果的情况下,尽量减少检测数据量。

整个框架从总体看,可分为网络流量数据采集和网络数据分析两大部分。

网络流量数据采集:为适应不断发展的高速网络应用,框架中采用了分布式网络流量数据采集方案,IP流数据可从不同的设备以不同的方法来获取。利用路由器/交换机的数据流量采集功能或是从其他IPFIX/PSAMP数据采集设备,也可直接从网络接口卡等网络数据包摄入设备来得到网络数据,然后再以不同的标准,最终由网络流量数据采集服务器将所有传来的不同格式的数据集中。

为体现现代计算机应用中的兼容性,框架中对网络硬件接口的应用方面,突出了其应用多样性。这样,在原有硬件设备的基础上,如普通的网卡(NIC)、基于硬件时间戳的Endace DAG卡或者其它的专用FPGA网络接口设备,都可以在libpcap、winpcap等库的支持下,由BPF虚拟处理器作为缺省的包捕获工具。在包捕获的软件实现上,采用了多线程机制,使用不同形式的数据队列和数据缓冲设备,以应对突发的大量数据包。

接下来对捕获的数据包,分别交由两种方法和途径进行处理:在Netflow标准支持下,同步完成记帐业务。在这种操作模式下,传送的总的数据量可以被统计下来。数据分析模块利用PSAMP协议,根据不同的具体需求采取不同的取样算法,对数据包进行过滤和抽取以进行分析处理。这样就可以根据实际的需要来进行选择,以减少传输和分析处理的数据量。

网络数据分析:对采集来的网络流量数据,根据不用的应用要进行详细的分析处理。框架中这个部分的设计采用以SQL数据库为中心的分布式数据集中和分析的方法。

以DBMS为中心的操作可以获得更好的分析样本以及统计粒度。此外,为便于网络管理人员的操作,框架中应用基于Web的直观的、图形化的管理界面,所有数据输出都以脚本语言(XML)的形式,直接在Web页面中显示。管理人员可以实时观察网络运行状况,还可以对历史数据进行浏览、分析,同时还可这些实时数据传送到其他应用系统,如分布式入侵检测系统、网络跟踪等。

七、结束语

总的来说,在网络设备上配置网络流量监控系统,对网络流量进行分析和监控,好处还是显而易见的。特别是对于网络流量负荷比较大的网络。可以有效的节省网络带宽和处理资源。也可以作为计费或者流量控制或者网络规划的参考。

参考文献

[1]谢希仁.计算机网络.大连理工大学出版社

第3篇

论文关键词：多媒体,网络,流量,分析

1 多媒体流量分析的基础

多媒体在应用层面对于用户的强大支持，映射到其数据层面，必然是不容忽视的大量不同数据格式。而在这样的环境之下，想要展开有效的网络流量分析，实现对于通信资源的优化利用，首先必须展开对于多媒体报文的有效分类。每一个报文都会在这个过程中被分类到对应的类型，而后进一步依据运营商制定的传输优先策略对其展开传输处理。

多媒体流分类问题可抽象成从多媒体报文映射到流类型的过程，多媒体报文流经流分类器，即展开对于其的辨别并且添加相关的类型标识，通常会将该标志写入报文头部字段中，便于后续识别和处理。在识别的过程中，可供识别多媒体流的方法主要有三种，即基于报文头部信息的分类方法、基于数据包载荷内容的分类方法以及基于流量统计模型的分类方法。其中基于报文头部信息的分类方法，即依据报头中的多元组信息展开工作，将其与预先定义的规则集进行比对匹配，并且确定出媒体流的对应分类进行标识。此种工作方式相对简单，因此发展也趋于成熟，效率较高，但是在识别过程中由于多媒体应用使用的端口通常并不固定，因此针对而言准确率比较有限。而基于数据包载荷内容的分类方法则面向报文载荷信息展开识别和工作，进一步又可以针对应用层协议展开解析或针对载荷内容展开特征解析。此种识别方式工作准确率基本有所保证，但是对于某些私有协议以及加密数据流，会因为无法有效提取特征信息而导致识别失败。最后，基于流量统计模型的分类方法主要是关注多媒体流量特征，通过流量来判断多媒体数据的传输行为模式，诸如数据包的大小以及包与包之间的间隔时间等方面特征。此种方式能够实现系统的自主学习，但是会存在一定的分类延时。

2 网络流量分析技术浅议

对多媒体进行标识之后，可以在网络环境中展开更为有效的网络流量分析。已经被标记的信息流在传输过程中能够表现出不同的对于资源的占用，以此作为依据展开更具有针对性的网络流量分析，对于整体网络数据传输资源和功能的优化都必然有着积极价值。

随着计算机技术的不断成熟，网络流量分析技术也呈现出不断发展的特征。当前的流量分析技术，主要是在传统的数据库技术基础之上，以一种开放的态度构建起支持自学习的网络流量分析系统，从而实现整个体系的智能化。就目前的状况看，常见的几种流量分析技术有以下几种。小学德育论文

1）SNMP技术。此种技术主要用于实现面向网络环境中多种类型设备展开监控和管理，并且对既有问题进行定位。该技术系统包括SNMP协议、管理信息结构以及管理信息库三个部分构成，其中SNMP协议用于实现在应用程序和设备时间交换信息，而管理信息结构用于指定一个设备维护的管理信息的规则集，最后管理信息库用于明确设备所维护的全部被管理对象的结构集合。

2）RMON技术。该项技术由IETF定义，本身是对于SNMP技术的一种深入。其对于标准功能以及网管站远程监控器之间的接口进行了重新定义，使得其能够实现更为顺畅的数据交换，从而有助于展开对于网络环境数据流量的更为有效监视。在RMON系统中，当探测器发现了一个非正常态的网络段之后，会主动与网络维护管理控制台接通联络，并将对应的网络信息进行发送，实现对于整体网络流量的监控和分析。

3）SFlow技术。此种技术以随机采样作为主要的研究方式，并且能够提供从第二层到第四层的相对完整的网络流量分析信息，这种分析甚至可以扩展到整个网络环境中，能够实现面向大数据流量的适应，尤其是在面向以流媒体作为主要流量资源占用的网络环境时，仍然能够保持稳定的表现。此种技术成本较低且不会因为引入其技术为网络环境带来新的冲突，同时数据信息量大，能够实现更为完善的网络分析。

4）NetFlow技术。此种技术主要用于实现网络层高性能交换，首先被用于对网络设备的数据交换进行加速。但是其核心是对于流缓存进行进一步的整理，因此在工作的过程中必然会能够得到很多依据汇聚方法而统计的数据，其中包括诸如源IP、目的IP以及源端口和目的端口以及相关传输协议与包数量等，这些信息和统计数据对于深入展开网络流量分析有着不容忽视的积极价值。

3 结论

在多媒体应用的网络环境中，深入可靠的网络流量分析系统，对于切实提升网络自身的数据传输能力，为多媒体用户提供更为稳定的数据传输服务有着积极价值。实际工作中唯有不断深入发现自身网络环境特征，才能有的放矢展开有效的流量分析，实现网络环境优化。

参考文献

第4篇

1网络流量监测的必要性及意义

网络管理中非常重要且非常基础的一个环节就是网络流量监测，网络流量监测即是通过对网络数据的连续采集，以此来监测网络的流量。网络及其重要成分的性能指标也是对网络流量数据的统计和计算得到的。网络管理员根据当前的和历史的存储网络及其重要成分的性能的数据数据，就可对网络及其主要成分的性能进行性能管理，通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。在网络流量监测的基础上，管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象，阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警，帮助管理员发现网络瓶颈，这样即可实现一定程度上的故障管理，而网络流量监测本身也涉及到安全管理方面的内容。所以，研究网络流量监测是非常有意义的。

2网络流量的特性

2.1数据流是双向的，但通常是非对称的。互联网上大部分的应用都是双向交换数据的，因此网络的流是双向的。但是两个方向上的数据率有很大的差异，这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

2.2大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于10K字节，会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的，但是由于80%的WWW文档传输都小于10K字节，WWW的巨大增长使其在这方面产生了决定性的影响。1.3包的到达过程不是泊松过程大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程，即包到达的间断时间的分布是独立的指数分布。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布，而且不是独立分布的。大部分时候是多个包连续到达，即包的到达是有突发性的。很明显，泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性，从而促进了网络通信量模型的研究。

2.3网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上，从而显示出基于时间的相关（时间局域性）和基于空间的相关（空间局域性）。

3网络流量的监测技术与方法

3.1网络流量的监测技术种类

（1）基于流量镜像协议分析。流量镜像（在线TAP）协议分析方式是把网络设备的某个端口（链路）流量镜像给协议分析仪，通过7层协议解码对网络流量进行监测。与其他3种方式相比，协议分析是网络测试的最基本手段，特别适合网络故障分析。缺点是流量镜像（在线TAP）协议分析方式只针对单条链路，不适合全网监测。

（2）基于硬件探针的监测技术。硬件探针是一种用来获取网络流量的硬件设备，使用时将它串接在需要捕捉流量的链路中，通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网（通常是一条链路）的流量信息。对于全网流量的监测需要采用分布式方案，在每条链路部署一个探针，再通过后台服务器和数据库，收集所有探针的数据，做全网的流量分析和长期报告。与其他的3种方式相比，基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率，一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析，Netflow更偏重全网流量的分析。

（3）基于SNMP的流量监测技术。基于SNMP的流量信息采集，实质上是测试仪表通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些具体设备及流量信息有关的变量。相似的方式还包括RMON。与其他的方式相比，基于SNMP的流量监测技术受到设备厂家的广泛支持，使用方便，缺点是信息不够丰富和准确，分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的3种方案中，如果单纯采用SNMP做长期的、大型的网络流量监控，在测试仪表的基础上，需要使用后台数据库。

（4）基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备（Cisco）提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议，已经标准化，并且Juniper、extreme、华为等厂家也逐渐支持，Netflow由路由器、交换机自身对网络流量进行统计，并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后，便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析，网络监测等应用提供计数根据。Netflow方式是网络流量统计方式的发展趋势。在综合比较四种技术之后，不难得出以下结论：基于SNMP的流量监测技术能够满足网络流量分析的需要，且信息采集效率高，适合在各类网络中应用。

3.2网络流量的监测方法

流量监测包括测量工具/系统的部署、流量数据的采集（包括数据包捕获、归并和采样处理等）、数据包的解析和处理、测量实体量化数值的获得与统计分析、流量特征化描述、流量存储和查询表示、流量建模等多个环节，具有相对复杂的处理和分析过程。目前存在有众多种流量测量的实现方法，他们可适用不同的测量环境、满足不同的测量要求，并且有着不同的实现方式。基于硬件的测量通常需要设计和应用特定的硬件设备来对流量数据进行采集和分析。被测量的流量并非由普通的商用计算机直接获得，而是需要从服务器、交换机、路由器等特定的网络设备上经过一定处理后导出，然后再由普通的商用计算机完成后续的流量处理和统计分析等工作。不同形式的数据，对应要求在普通的商用计算机上通过不同的程序或软件实现相应的流量处理和统计分析功能。

第5篇

关键词：校园网；流量异常分类；异常检测与处理；流量清洗方法

中图分类号： TP393 文献标识码：A

1 引 言

随着校园网络规模不断扩大与复杂化，校园网络服务同时呈现多样化和复杂化，对网络性能的要求也越来越高。校园网中有教育教学信息管理系统、网上教学、视频会议、电子图书、电子邮件服务、网上购物、网上游戏等各种应用诸全，称得上多业务网络，基本上实现与国际互联网的完全接轨。多种应用基于p2p 、流媒体技术、云运算等新型技术，需占用大量的校园网络有限资源。同时，校园网络安全面临着严峻挑战，网络流量异常时常发生，特别是DDOS、蠕虫、恶意代码、网络扫描及黑客攻击越来越多，这对网络性能、安全管理及网管人员素养提出更高的要求。由于学校教学作息时间的规律性决定校园网络行为特征及日常运行也具有规律，因此正常情况下校园网络流量变化也具有规律性，这就使得网络流量异常管理具有规律可循。本文针对校园网络情况首先阐述了流量异常概念、分类；然后对校园网中引起各种流量异常的原因进行分析，并对各类异常提出了相应的解决办法；接着针对目前解决网络攻击异常在方法上存在的不足，设计出一种异常流量检测、清洗与回注的解决模型，并对其关键算法进行介绍，最后进行小结。2 校园网异常流量检测及处理办法2.1 流量异常与流量异常

网络流量是单位时间内通过网络设备或传输介质的信息量（报文数、包数或字节数）［1-2］。只有知道网络正常情况下的行为特征，我们才能判断什么是流量异常。我们把有限的带宽资源承载着非预期的流量，定义为异常流量。异常流量的存在是网络流量产生异常的重要情形。

2.2 校园网流量异常产生原因及分类

流量异常一般是指非用户正常上网产生的流量，比如病毒、网络攻击等造成的流量异常。在校园中，由于资料的有限，一些热门服务如网络游戏或其他大量的P2P应用等，连接用户数过多，使得核心设备不堪负载而出现异常情况比较频繁。因此,从校园网络用户群体角度考虑,可把网络流量异常分为三类：网络故障引起的异常、连接数异常和网络攻击异常。

1)设备故障异常。因网络设备自身出现故障而引起流量异常，例如校园网中各类服务器故障、路由器故障、交换机故障以及网线接口故障等。这些故障引网络拓朴结构发生变化或链路中断，从而引起流量异常。

2) 连接数异常。各用户争夺热门服务或重要资源，发起的对外连接数过多,造成核心设备负载过大影响正常流量的使用。例如，网络相关课程教学中学生同时访问某一服务器；课余时段大量学生使用P2P服务；还有一年一度的高考招生填报志愿时段，客户访问量短期猛增而且不可预测引起网络流量异常等多种情况。

3)网络攻击异常。是指网络中出现恶意病毒，对网络中某个目标进行攻击时出现的异常［3］。校园网中常见的有蠕虫病毒、DOS/DDOS攻击和端口扫描攻击。例如当校园网内某台上网主机感染蠕虫病毒时，导致该主机疯狂地进行主机探测，这时网络中会出现蠕虫病毒特征包，网络中会大量充斥这种包，从而引起业务数据丢失，网络流量过载，或者网络拥塞，是非用户正常上网产生的流量┮斐！

2.3 流量异常检测与处理

2.3.1 异常监控与检测

在校园环境下，由于教学作息时间具有规律性，各种服务群体相对稳定，使得正常情况下学校教学楼、行政楼、学生公寓等各区域网络流量也呈现出周期性规律，因此，校园网络管理相对容易。

要解决网络流量异常问题，重要的是通过监控与检测发现异常。网络舆情监测软件有很多种，但是主要的流程还是差不多，包括信息采集、信息处理和信息服务三个流程。建议采用MRTG、Sniffer Pro软件进行异常流量检测与监控。MRTG［1］也是一个非常有用的网络流量监控软件，而且是免费的，应用方便；它是利用SNMP协议(对互连的网络设备进行管理时遵循的标准协议)去侦测指定的运行有SNMP协议的网络设备，每隔几分钟采样并统计其设备流量。对于校园网络的流量统计与分析，只要在一台电脑上安装MRTG软件并进行相关设置，如进行snmpd配置允许mrtg读取其interface(网络接口) 流量数据，就可得实时可视化结果（图1所示），从而使管理员可以方便的进行管理。Sniffer Pro是最著名的网络流量分析工具之一，是一个具备完整传统功能的网络故障诊断与流量分析工具，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。基于便携式软件的解决方案具备最高的性价比，提供的主要功能包括监控、报表，捕获、解码、专家系统智能分析等。

我们通过观察实时流量图，结合查看日志服务器就能及时了解校园网的运行状态，从而采取相应措施对网络出现的问题进行及时调整和解除。

2.3.2 流量异常处理方法

解决流量异常就是随时发现流量异常，及时定位引起网络异常情况的源头，解除异常或有效地控制异常流量的蔓延，及时有针对性地采取措施，保持网络畅通、避免网络阻塞，同时合理地分配带宽，保障主要业务的正常开展。通过异常检测与监控发现异常之后，就可针对不同异常类型采取相应措施予以解除。

对于设备故障异常的检测与解决方法，通常首先采用Ping、tracert查看网络连通性和速度，再结合查看日志进行定位，最后检测端口与硬件，一般情况下此类异常问题均可解决。

对于连接数异常最简单的方法可采用流量优化系统(如Skynet优化系统)，针对各种服务调节阀值［3］进行限流限速，最好对协议的连接数进行控制，直接删除过多的连接数或发送阻断报文，以保障主要的服务或重要的客户流量。

对于网络攻击异常解决方法，主要采用主动预防和设备拦截等技术。安装监视、日志或者其他流量分析系统, 攻击发生时, 就可很快地诊断出攻击的类型以及攻击源，要尽可能地修正已发现的问题和系统漏洞, 识别、跟踪或禁止这些机器或网络对我们的访问，如对异常流量的端口流量进行限制；把网络分为多个子网, 并改变IP 地址和主机名，在拒绝服务攻击中, 这种方法是一种较为有效的方法；应用包过滤的技术, 配置正确的路由器和防火墙，采用防火墙或网关等设备进行拦截；从保障主要业务不受影响方面考虑可采用异常流量的清洗与回注技术。

3 校园网异常流量的清洗与回注技术

目前面对各种入侵攻击，传统的防护手段采用防火墙或路由器等设备拦截。一方面由于防火墙或路由器等设备均是基于网络层的检测，而大多数DDOS攻击可以采用合法协议进行攻击，因此传统的防护手段无法正确识别并加以防护。另一方面异常流量的拦截往往以牺牲服务质量为代价，用户正常业务受到较大影响。鉴于这些不足，我们针对校园网络设计一种异常流量清洗与回注的解决方案，模型如图2所示。本方案处理过程包括流量采集模块、异常流量检测模块、业务管理模块、异常流量处理模块。

1）流量采集模块：采用流量镜像或者分光的方式把被保护对象的流量复制缓存空间，或从主干交换机或核心交换机实时采集流量。

2）流量分析与检测模块：对实时流量采用深度数据包检测技术（DPI），也可以通过分析网络设备输出的NetFlow/NetStream/SFlow流信息（DFI），从而深入识别隐藏在背景流量中的攻击报文，识别攻击类型及时并报告业务管理模块。

图2 校园网异常流量检测与清洗模型

3）业务管理模块：控制异常流量处理并报告管理信息：从流量分析与检测模块中获取攻击信息，通知流量处理开启攻击防御；攻击停止或处理完毕时清除缓冲区和恢复相关状态值；针对各种检测和清洗的各种威胁流量，提供丰富的攻击日志和报表统计功能，包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间和排序等信息以及攻击趋势分析等各种报表信息，便于了解网络流量纯觥

4）流量清洗与回注模块：发现攻击报文时，迅速地将被攻击用户的流量牵引到异常流量处理模块来，采用先进的“并行流过滤”、“智能流量检测”等技术对其进行清洗。清洗可采用在线和旁路部署两种方式。采用旁路部署的方法时，可以实现对流量的按需清洗，在任何情况下都不会影响正常流量。当采用在线部署模式下，可以实现实时清洗。清洗之后再通过策略路由、MPLS VPN、GRE VPN等方式将干净回注给用户，用户正常业务不受任何影响。

流量清洗与回注算法如下：

步骤1 准备：利用BGPBorder协议（Border Gateway Protocol，边界网关协议），首先和被保护域的旁路设备建立BGP Peer。

步骤2 清洗启动：异常流量检测系统通过镜像或者分光的方式把被保护对象的流量复制过来，按照测试部件中的安全策略基线，判断是否有攻击发生，如果发现有攻击发生，立即进入步骤3

步骤3 清洗与回注：发生攻击时，业务中心通过BGP协议向旁路设备发送BGP更新路由通告，更新旁路设备上的路由策略，将流经所有旁路设备上的被保护对象的IP流量动态地牵引到清洗模块进行清洗，并把清洗后的“干净”流量回注给被保护对象。

步骤4清洗结束：当检测模块检测到攻击停止时，清洗模块根据事先设置好的模式，选择自动或手动停止牵引，弃放缓存空间，返回步骤2。

4 结束语

随着校园网规模扩大和应用的复杂化，网络攻击异常和连接数异常较普遍，严重影响校园网络服务质量和网络性能，我们应该采用主动检测、预防控制和设备拦截技术为主要处理手段。本文针对校园网提出的各种处理方法实用便捷，引入的流量清洗与回注方案具有一定的参考价值。在校园网络中对于重要的业务服务我们建议启用流量检测与清洗方案，目前市场上已有异常流量清洗产品，由于实时清洗对预存容量与速度要求较高，因此一般以硬件产品为主，我们可以根据业务需要选择┦褂谩

参考文献

［1］ 史忠植.MRTG 的研究与部署［J］.计算机应用，2004,24(3).

［2］ 郝星文,李怀诚.网络流量分析系统的设计与实现［D］.北京:北京邮电大学,2005.

［3］ 常莉.浅析校园网络流量的监控策略［J］.信息与电脑(理论版)，2005，20（2）：21-25.

［4］ ERIC MAIWALD.网络安全实用教程［M］.北京: 清华大学出版社, 2003.

［5］ DUFFIELD N,GROSSGLAUSER M. Trajectory sampling for direct traffic observation［J］.Preceedings of the ACM SIGCOMM 2000,271-282.

［6］ DUFFIELD N, LUND C, THORUP M. Charging from sampled network usage.in: ACM SIGCOMM Internet Measurement Workshop 2001, San Francisco, CA［J］.November 1-2,2001,245-256.

［7］ DUFFIELD N, LUND C, THORUP M. Properties and Prediction of Flow Statistics from Sampled Packet Streams.in: ACM SIGCOMM Internet Measurement Workshop 2002, Marseille, France［J］.November 6-8,2002,159-171.

［8］ 高传善, 钱松荣, 毛迪林. 数据通信与计算机网络［M］ . 北京: 高等教育出版社, 2003.

第6篇

关键词：异常检测；在线检测；度分布；熵；流量特征

DOIDOI：10.11907/rjdk.162346

中图分类号：TP309

文献标识码：A 文章编号文章编号：16727800（2016）011018402

0 引言

异常流量相对于平稳的网络流量有着显著变化，它来自于网络中的拥塞和路由器上的资源过载。网络运营商必须及时准确地检测异常流量，否则网络无法有效、可靠地运行[1]。研究人员采用了各种分析技术，从基于体积分布的分析到基于网络流量分布的分析来研究流量异常检测。而最近研究表明，基于熵的异常检测具有更好的效果。该方法是在流量分布中捕捉细粒度的模式，使用熵来跟踪流量分布的变化具有两方面优势：①利用熵可以提高检测灵敏度，异常事件的发生可能未表现出存储量异常；②使用流量特征可以诊断信息异常事件的性质（如区分蠕虫、DDoS攻击或扫描）[2]。

一般而言，大多数研究者认为Flow头的功能（如IP地址、端口和流量大小）可作为基于熵的异常检测的备用选择[3]。然而，端口和地址分布的两两相关性大于0.95，异常检测到的端口和地址分布明显重叠，这是产生深层流量模式的本质原因。此外，异常扫描、DoS和P2P事件都不能通过端口和地址分布进行精确检测，或只有在显著的网络流量异常事件发生时才能检测出异常。考虑到端口和地址分布的有限作用，应选择流量分布作为基于熵的异常检测指标。

本文提出一种利用度分布提高端口和地址分布检测能力的异常检测机制。使用入度和出度分布来估算每个主机通信的目的/源IP地址，对于每个入度值（出度值），通过计算熵来诊断异常。其中，选择目的/源IP地址作为唯一备用指标，而不是两个地址和端口，不需要使用具有相同底层属性的不同分布来增加计算开销。同时，为了捕捉动态网络流量的本质，引入了一个固定时间宽度的滑动窗口机制。

1 相关研究

网络流量的异常检测是保证网络正常有效运行的重要手段。网络流量异常检测技术自提出以来，经过多年发展，诞生了多种检测方法，但这些方法通常都存在一定缺陷。因此，如何进一步提高检测准确性、减少误报率仍然是国内外学者的研究热点。其中，许多方法都集中在使用流量分布来诊断异常，如Thottan[4]使用单独的MIB变量的统计分布来检测网络流量的突然变化。在各种异常统计检测技术中，基于熵的方法已被证明在检测异常的流量矩阵时间序列中的准确性和效率。张航等[5]利用最大值和相对熵建立了一种基于行为的异常检测方法。以最大熵为基础的基线分布由预先标记的训练数据构成，但该基线适应网络流量动态变化的机制仍然不清楚。本文提出一个机制，根据动态网络流量在测量期间的变化来构建自适应基线，并调整基线在一个特定的时间跨度内。

在线检测异常受大流量数据的实时统计影响。吴静等[6]采用五元组流分布（即源地址、目的地址、源端口、目的端口、协议）进行流量分析，导致内存和处理能力的高开销。一些网络入侵检测系统，如FlowMatrix与Snort匹配数据包到一个预定义的规则集，使它们无法检测未知异常[7]。本文认为地址和端口具有高相关性，并使用地址作为独特的度量来代替元组，用于检测异常度分布的熵，不仅可减轻计算过程中在线分析阶段的开销，而且在发现新的异常类型方面比常规方法效果更好。

2 基础理论

大多数流量异常都有一个共同特点，它们诱导流量头特征分布的异常变化，如源地址、目的地址与端口，一般显示出分散或集中分布的现象[8]。

例如，图1显示了3种类型攻击的流量特征分布。图1（a）显示了一个典型的分布式拒绝服务（DDoS）攻击。在这种情况下，大量主机发送信息到一个特定主机。同样，许多网络蠕虫通过发送随机探测，即到随机区域产生大量目的地IP地址，从而使受感染的计算机继续感染其它脆弱的计算机，如图1（b）所示。在一些扫描事件中，一个源IP地址随机扫描多个IP地址，如图1（c）所示。

从以上分析得知，网络流量发生异常时，会使源/目的地址、源/目的端口分布出现变化（见表1）。接下来需要研究：①采用什么指标可以准确配置这些异常流量特征，并明确表明上述攻击的发生；②如何有效地量化异常大小，并揭示非正常的流量行为。

3 诊断方法

3.1 系统模型

总体架构包括3个主要功能部分：处理引擎（后端）、数据库和WebGUI（前端）。处理引擎执行显式算法WebGUI和数据库之间的通信。引擎主要实现以下几方面任务：①接收NetFlow记录的数据，如路由器、交换机、防火墙等，并以一个特定方式将数据通过缓冲存储到数据库；②获得相关参数后，可通过使用SQL查询来计算熵值度分布的原始流量数据；③根据测量期间的网络状态自动调整检测阈值。流量统计数据库提供了结构化存储，简化了熵值的分布程度计算。WebGUI前端可通过图形方式显示检测结果。

3.2 算法设计

进行在线流量分析时，要提高异常检测精度，减少计算时的开销，异常检测的流程与算法必须是轻量级的。首先，设计一个数据源和数据库之间的缓冲区进行存储和检索。其次，考虑到许多攻击一般只有几分钟时间，如DDoS攻击一般只持续两分钟，因此要设置一个有限的时间段作为一个基本测量时间窗口的度量单位。

从概念上讲，该算法可以分为3个阶段：在第一阶段，配置Netflow在特定时间段内的页面流量统计，根据训练数据和预定义的阈值熵排除异常值，以便在测量期间准确校准基线。自适应阈值在检测过程中生效；第二阶段为处理阶段，滑动时间窗口时，计算该窗口中流量特征的熵值；第三阶段为后处理阶段，设置阈值为下一个检测过程的计算均值熵和方差。该算法的伪代码如下：

4 结语

本文介绍了基于度分布的流量异常在线检测方法，该方法具有以下优点：①可以准确、高效地使用流量头特征捕捉细粒度的流量模式分布，不仅减少了在线处理时间，也提高了检测能力；②利用熵可以提高检测灵敏度的特点来发现已知或未知的流量异常，并将其量化；③具备一种可降低误警率的自适应阈值。下一步工作是进一步分析流量异常特征，寻找诊断网络异常的方法。此外，降低报警延迟也是需要考虑的问题之一。

参考文献：

[1] 王秀英，邵志清，陈丽琼.异常流量检测中的特征选择[J].计算机工程与应用，2010（28）：129131.

[2] 崔锡鑫，苏伟，刘颖.基于熵的流量分析和异常检测技术研究与实现[J].计算机技术与发展，2013（5）：126129.

[3] 郑黎明，邹鹏，韩伟红.基于多维熵值分类的骨干网流量异常检测研究[J].计算机研究与发展，2012（9）：154163.

[4] THOTTAN M，JI C.Anomaly detection in IP networks[J].IEEE Transation on Signal Processing，2003，51（8）：21912204.

[5] 赵飞翔，张航，何小海.基于多层分块的异常行为检测算法[J].科学技术与工程，2015（10）：112116.

[6] 孟凡雪，刘衍珩，吴静.基于分布式统计时间序列的网络流量分析[J].计算机科学，2010（7）：116120.

第7篇

关键词：流量监测；winpcap；网络数据流量分析

1 引言

随着互联网络的迅速发展，网络数据流量特征的研究近年来引起了人们广泛关注。网络数据流量分析系统的定位重点在对网络流量的流量、流向、协议的细节监视和分析，网络安全监视。在容量规划、入侵检测和路由优化时，网络管理员需要知道网络的数据流量情况和尽量多的测量信息。

2 关键技术

⑴数据流。数据流是指输入数据a1，a2，..按顺序到达。这些数据描述了一个信号A。A是一个一维函数A：[1...N]R2。模型取决于ai如何描述A。本文把数据流技术和传统的网络管理技术相结合， 取得了较好的应用效果。

⑵流量监测原理。网络流量监测有主动监测和被动监测两种不同的实现方法。主动测量方法是向被测网络中注入附加的“探测流量”并进行返回数据的采集来实现监测的方法，该如果处理不当，也会给网络增加额外的负荷，影响测量结果的客观性，甚至使测量结果不准确，产生Heisenburg效应。而被动测量方法是在网络的某点采集、记录并且分析网络的流量信息来实现测量的方法。被动测量可以完全消除附加的“探测流量”和Heisenbutg 效应，这是被动测量的优点，但存在可能会涉及隐私和安全问题的不足。由于Internet上大多数数据传输是不加密的，鉴于被动监测的优点，本系统采用基于数据包捕获的被动监测技术。

⑶winpcap。在网络管理与安全防护中，对网络数据流量进行分析，是非常重要的一个任务，从防火墙到攻击检测系统，都会用到类似功能。开发此类软件过程相当复杂。而winpcap （indows packet capture）是windows平台下一个免费公共的网络访问系统。它提供了以下的各项功能：

1>捕获原始数据报；2>按照自定义的规则将某些特殊的数据报过滤掉；3>在网络上发送原始的数据报；4>收集网络通信过程中的统计信息。

3 系统架构

无论是基于网络安全，还是基于网络计费系统的改进，网络数据流量分析无疑是必要的，人们对网络依赖很强。网络数据流量系统的架构包括三层：数据层（浏览统计、数据库管理）、访问应用层、展现层（在线统计器、流量统计器、网络速度监视器）。

4 系统设计

⑴网络监视器。网络监视器是监视网络通信的，其主要工作有三项：winpcap捕捉包、包分析、记录。

1）winpcap捕捉包。在网络包捕获系统的实现中，采用的是WINPCAP包捕获应用系统框架。网络监听模块将网络接口设置为混乱模式，将网络上传输的数据包截取下来，供协议分析模块使用。由于效率的需要，有时要根据设置过滤网络上的一些数据包，如特定IP，特定MAC地址、特定协议的数据包等。网络监听模块的过滤功能的效率是该网络监听的关键，因为对于网络上的每一数据包都会使用该模块过滤，判断是否符合过滤条件。

为提高效率，数据包过滤应该在系统内核里来实现。获得数据包之后，如果在捕获过程结束后创建了两个线程实现对捕获数据的实时性处理。

2）包分析。包分析指将捕捉来的数据报进行分析。由于要进行流量统计需要很多必要的信息，作为统计依据，如IP地址、协议类型等。其中，数据长度可由函数调用返回的内容得到而且此时得到的是实际在网上的包长度。

3）记录。通过包的分析后，将有用的信息记录到文件中去。其中包括目的IP、源IP，数据长度、协议类型、以及为了统计方便需要的时间信息。

⑵流量统计器。流量统计器，是对流量监视器的记录结果进行统计，将网络监视器的记录文件内容读出，并根据网址分割标准及源和目的地分别统计出流向网外的国内和国外流量，并将结果按照日期分别存储在数据中。

5 系统实现

⑴捕捉包的实现。包捕捉作为一个独立的应用程序运行，它从网上截获包，并以文件形式将有用信息记录下来，为流量统计准备统计的原始依据。

⑵在线统计的实现。ping利用了原始套接口技术发送ICMP回射请求，并接收工CMP回射应答。Socket是CP/IP编程的底层API（网络编程接口）。在实现ping后可以将其作为一个函数调用，就很容易实现在线统计。

⑶图形界面的实现。采用Visual C++.NET实现流量图形化界面，主要是使用GDI函数画图，首先要得到一个设备描述句柄或一个可用的CDC设备描述表对象，WIN32API提供了BeginPaint（）和GetDC两个函数，用于获得指定窗口的设备描述句柄。MFC的窗口类CWnd类也提供了两个当前窗口的CDC对象的函数BeginPin（）和GETDC（）；也可以在窗口处理函数中直接用CDC的派生类，最终实现流量图形化。

第8篇

论文关健词：应用流分析；风险评估；流量分组

1概述

基于互联网的新技术、新应用模式及需求，为网络的管理带来了挑战:(1)关键应用得不到保障，OA,ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素，据CNCERT/CC获得的数据表明，2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用，使得传统的基于端口的流量监控方法失去了作用。

如何有效地掌握网络运行状态、合理分配网络资源，成为网络管理者们的当务之急。针对以上需求，作者设计并实现了一套网络应用流分析与风险评估系统(TrafficAnalysisandRiskAssessmentSystem,TARAS)。

当前，网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术，这是目前应用流分析最新技术。然而，简单的流量分析并不能确定网络运行状态是否安全。因此，在流量分析的基础上，本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估，使网络运行状态安全与杏这个不确定性问题得到定性评估，这是当前网络管理领域需要的。

2流量分析模型

目前应用流识别技术有很多，本文提出的流量识别方法是对SubhabrataSen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构，提高效率。

应用识别模块在Linux环境下使用Libpcap开发库，通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率，采用了类似于Linux下的NetFilter框架的设计方法，结构见图1。

采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法，提高了效率;(2)借鉴状态防火墙的技术，使用面向流(flow)的识别技术，对每个TCP连接的只分析识别前10个报文，对于该连接后续的数据报文则直接查找哈希表进行分类，这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。

在匹配模块设计过程中，笔者发现如果所有的协议都按照基于协议特征的方式匹配，那么随着协议数量的增大，效率又会成为一个需要解决的问题。

因此，在设计应用流识别模块时，笔者首先考虑到传输层端口与网络应用流之间的联系，虽然两者之间没有绝对固定的对应关系，但是它们之间存在着制约，比如:QQ协议的服务器端口基本不会出现在80,8000,4000以外的端口;HTTP协议基本不会出现在80,443,8080以外的端口等，因此，本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类，提高匹配效率。

对于端口不固定的应用流识别，采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面，这样可以提高查找的速度。另外，不同的网络环境所常用的网络应用流也不同，因此，也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性，它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略，但不降低匹配效率。应用流识别子模块的设计具体结构见图2。

3风险评估模型

本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。

3.1应用流的分组

网络应用种类多、变化频度高，这给应用流的评估带来了麻烦，如果要综合考虑每一种应用流对网络带来的影响，显然工作量是难以完成的。因此，本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑，将识别后的流量进行归类分组。笔者在长期实验过程中，根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则，即将网络流量分为:关键业务，传统流量，P2P及流媒体，攻击流，其他5类。应用流分组确定了流量评估的维度，这样有利于提高评估的效率。表1列举了部分应用流的分组。

应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类，并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息，并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时，向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小，而输出有2个:

(1)整个网络的流量分布矩阵。

(2)异常主机流量分组中的成份。

笔者引入流量矩阵的概念。流量矩阵A的数学定义为

其中，aij表示第i台主机的第j组流量的大小，aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。

由于TCP/IP协议的广泛应用，网络流量中的绝大部分使用基于TCP的传输层协议，因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为

其中，Lij表示第i台主机第J组应用流的网络连接数。

在网络通信过程中，每个流量分组的通信主机数量具有参考价值，在此引入通信主机数量矩阵，数学描述为

其中，hij为表示某一分组流量的通信主机数目。

另外，流量分组模块在接收到安全响应模块的请求时，会向其发送该异常网络节点的应用流类别信息。

信息内容为:主机IP地址，主机应用流分组名，应用流名称列表。

3.2应用流的风险评估

网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。

本节首先确定该模型的评估的对象、指标和目标，评估的具体方法如下:

(1)流量安全评估的对象是每个网络节点的应用流分组。

(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。

(3)评价的目标是确定各应用流的安全性。

(4)评估方法是以先定量后定性的方法为原则，具体方法如下:

1)制定各分组流量的安全评估规则，为量化评估提供依据。

2)参照安全评估规则，根据3个量化指标评价网络用户流量的安全性，并得到安全评分。

3)根据安全性评价集，将量化后的安全评分指标定性化。另外，对于攻击流进行特别评估，并且当出现攻击流时，攻击流安全等级代表主机安全等级。

安全评估子模型的结构如图3所示。

3.2.1各分组流量的安全定量评价

对于不同分组的通信行为和流量特点，本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。

对于各流量安全评估节点，A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤i≤n,1≤j≤5)，用于表示目标节点流量安全评估的量化结果，从而实现对目标安全状况的定量分析。

将该评价方法设为F则该过程可用数学描述如下:

其中，Sij为各网络节点中应用流分组的安全评分。

3.2.2流量安全定性评价

量化后的安全评分对与安全程度的描述仍然有很大的不确定性，因此，需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。

以上5个安全等级对于流量的安全性的区分如下:

(1)安全状态表明该分组流量属于正常情况;

(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;

(3)威胁状态表明该类流量威胁到网络的正常运行和使用;

(4)危险状态主要指该分组流量危害网络的正常运行;

(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。

量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th，将该过程用运算h表示为

其中，Tij为第i台主机第j组应用流的安全等级。

4实验结果

4.1应用流的识别率

由于TARAS系统能够识别多种应用流量，因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因，TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到，TARAS对各种协议的识别存在漏报和误报的情况。具体来看，eMule应用由于大量使用UDP传输数据，因此识别率不高。另外，http协议通常使用传输层80端口，但这个端口也被QQ和MSN2个聊天软件使用，除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口，因此，在识别过程中http协议会产生误报，即将非http协议数据也当作http协议计算。

4.2应用流的风险评估

为了测试TARAS系统风险评估的准确性，笔者在拥有8台主机的局域网中做相关测试，并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。

主机17使用传统应用FTP执行下载任务，其他流量分组中无或只有极少流量，从表7可以看出，该主机的传统应用分组流量达到2Mb/s，此时传统应用流量分组应该达到威胁级别，而其他分组应该都是安全级别，主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击，从表7可以发现，该主机高危分组的流量为2048kb/s，此时该分组应该达到高危级别，而其他分组由于流量为0因此为安全，主机的总体评价为高危。主机177使用BT进行下载，并使其流量达到1536kb/s，根据风险评估策略，该主机的P2P及流媒体分组应该达到威胁级别，其他分组应该都是安全级别，主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。

对比表7和表8可以发现，TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差，但是该误差没有严重影响网络运行状况和风险级别安全，误差在可接受范围内。

5结束语

本文针对当前网络管理面临的问题，将应用流成份分析和风险评估引入到网络流量分析和评估领域中，设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:

第9篇

关键词：网络带宽 网络流量分析及控制 DPI、Panabit

中图分类号：TP393.1 文献标识码：A 文章编号：1672-3791（2013）05（b）-0249-02

随着高等教育信息化的发展，高等教育对于网络的依赖日渐增加，同时高校校园网的出口带宽要求也越来越高。但是受到资金、出口建设成本和网络技术等方面的限制，高校校园网出口带宽不可能无限提高，由此导致了高校校内用户日益增长的网络需求与出口带宽限制网络流量之间的矛盾。而通过对出口网络数据进行深层次应用分析制定相关策略能够在一定程度上缓解这一矛盾。

1 网络流量分析及控制的关键技术

网络流量分析及控制是指对数据包进行检测，并通过制定的策略对网络应用实现放行、限制或阻塞的技术。现今P2P类下载应用占用了大量的带宽资源，导致网络的拥堵和服务质量的下降。为了保证用户能够平等的使用网络带宽，需要采取必要的技术对P2P等应用进行一定程度的检测与调控。目前主要的分析控制技术如下。

1.1 传统防火墙对网络流量的分析及控制

传统防火墙都工作在OSI参考模型的第2、3、4层，通过对TCP/UDP端口、数据包的源/目的IP地址、MAC地址等进行过滤，实现对网络流量的监视。一般都是对数据包的包头来做策略，并不关心整个数据包的信息。传统防火墙对网络流量的处理方法一般都是阻塞某种协议常用端口，或者阻断客户端与服务器的连接等。由于不能有效的分析数据包内部信息，不能有效的了解用户应用层的信息，也就不能有效的限制用户的应用。采用传统防火墙阻断服务器与客户端连接的方法也已经不能准确的识别与控制。

1.2 DPI技术

深度报文检测技术DPI（Deep Packet Inspectio）是在分析数据包包头的基础上，增加了对OSI参考模型第七层即应用层的分析。当IP数据包、TCP、UDP数据流经过基于DPI技术的流量控制系统时，通过深入读取数据包的内容来对应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。DPI技术可以分为两大类：（1）使用特征字与掩码相结合进行协议识别的DPI技术；（2）使用正则表达式库进行协议识别的DPI技术。

2 高校校园网络的现状

目前大部分高校都已建成完善的园区网，普遍采用传统的三层结构（核心层、汇聚层和接入层），并租用运营商电路实现与互联网的高速对接。

校园网的主要特点是学生是网络的主要用户。随着网络技术的发展，学生作为社会最活跃的团体，对于网络新兴服务需求迫切，尤其是视频服务。造成的结果是对网络带宽的占用比例极高，造成传统服务的服务质量下降。

以我院为例，我院校园网络始建于2008年，网络已覆盖教学、办公、生活等区域，其中学生宿舍网络出口带宽所占比例达到80%以上，其中多以视频、P2P应用为主。

3 采用流量控制技术调整出口应用

在具体实现方面，采用了Panabit软件。Panabit是北京派网软件公司开发的免费的应用层流量控制系统，是基于稳定性极高的FreeBSD开发的。可在浏览器中对系统进行图形化管理，界面友好，操作简便。

3.1 Panabit流量控制系统的部署

（1）安装。

Panabit需要独立安装在一台计算机中，硬件配置要求如表1。

由表1可见，对于目前PC的硬件水平完全可以满足安装需要，只需要在计算机中多加装两块网卡即可。

Panabit的硬件部署在网络出口上。配置的3块网卡，1块用于管理Panabit管理系统，另外2块分别用于采集上传和下载流量的数据。

（2）Panabit系统的初始化配置。

①首先配置系统的IP地址等基础信息（在此全部都采用校园网内部私有地址），以便远程管理（采用HTTPS协议）。

②选择网络配置下的“数据接口”选项，两块网卡的“应用模式”均选择为“透明网桥”。

3.2 Panabit系统的流量控制策略的配置

（1）分配带宽。

Panabit对带宽的分配有三种模式：即带宽限制，带宽保证，带宽预留。根据我院对网络需求的实际情况，采用了带宽保证模式。下面对带宽保证模式进行详细的说明：首先，带宽保证模式也具有带宽预留模式的功能，即对特定IP组、特定协议预留出足够的带宽。例如教学、办公IP组，教务系统的ITSP协议等。在此基础上，带宽保证在其预留的带宽不能满足应用要求的时候，会从剩余的总带宽里借用所需带宽。例如每学期开学和学期末，学生大量选课，可以对选课系统的SSL等协议进行带宽保证设置。

（2）建立策略组。

可以根据数据包的源地址、目的地址、应用协议等建立策略组。

3.3 系统测试与分析

4 结语

为了提高网络带宽的利用率，使高校校园网络的使用更趋合理，网络流量分析及控制势在必行，同时也是非常有效的手段。互联网飞速发展，网络流量分析及控制也随之快速发展，为高校的教学等工作提供了稳定的网络基础，使教学信息管理系统和教学资源共享平台的搭建更为安全、高效。为高校的信息化教学做出了贡献。

参考文献

[1] 刘剑锋.部署运维管理平台提高校园网运维水平[J].中国教育技术装备，2011（10）.

[2] 韩宁.浅议高校校园网建设与管理[J].科技创业月刊，2011（8）.

第10篇

关键词：网络流量；监测；网络管理

1、网络流量的特性

通过对互联网通信量的测量，人们发现互联网通信量的主要特性有:

1、数据流是双向的，但通常是非对称的

互联网上大部分的应用都是双向交换数据的，因此网络的流是双向的。但是两个方向上的数据率有很大的差异，这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

2、大部分TCP会话是短期的

超过90%的TCP会话交换的数据量小于10K字节，会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的，但是由于80%的WWW文档传输都小于10K字节，WWW的巨大增长使其在这方面产生了决定性的影响。

3、包的到达过程不是泊松过程

大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程，即包到达的间断时间的分布是独立的指数分布。简单的说，泊松到达过程就是事件(例如地震，交通事故，电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布，而且不是独立分布的。大部分时候是多个包连续到达，即包的到达是有突发性的。很明显，泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性，从而促进了网络通信量模型的研究。

4、网络通信量具有局域性

互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上，从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。

2、 网络流量的测量

网络流量的测量是人们研究互联网络的一个工具，通过采集和分析互联网的数据流，我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的，设备的一小点故障都有可能使整个网络瘫痪，或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:

1、基于硬件的测量和基于软件的测量

基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量，这些设备一般都比较昂贵，而且受网络接口数量，网络插件的类型，存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分，使其具备捕获网络数据包的功能。与基于硬件的方法比较，其费用比较低廉，但是性能比不上专用的网络流量分析器。

2、主动测量和被动测量

被动测量只是记录网络的数据流，不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。

3、在线分析和离线分析

有的网络流量分析器支持实时地收集和分析网络数据，使用可视化手段在线地显示流量数据和分析结果，大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据，把数据存储下来，并不对数据进行实时的分析。

4、协议级分类

对于不同的协议，例如以太网(Ethernet )，帧中继(Frame Relay )，异步传输模式( Asynchronous Transfer Mode )，需要使用不同的网络插件来收集网络数据，因此也就有了不同的通信量测试方法。

3、 网络流量的监测技术

    根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

1、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。

    2、基于Netflow的流量监测技术:Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。

第11篇

关键词：网络管理；流量分析；NetFlow

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)22-5337-03

Research of Flow Analysis Technology and Application Based on Campus Network

LIU Chen-Guang1,3，LIU Wei-Hui2

(1.Information & Network Center, Xuzhou Normal University, Xuzhou 221116, China; 2.Xuzhou Normal University Library, Xuzhou 221116, China;; 3.School of Computer Science and Technology, China University of Mining and Technology, XuZhou 221000, China)

Abstract: Along with the construction and development of campus network, higher request for the network management are proposed. By contrast and analyzed three technique of SNMP, RMON, and NetFlow, and introduce the application of NetFlow management in campus, the conclusion was get that it is good to satisfy the user to overall control of network flow, monitor the abnormal flow in time, trace and analyze of the abnormal host, and provide a good solution for the campus network flow supervision.

Key words: network management; flow analysis; NetFlow

随着网络应用的普及和发展，校园网络建设的规模也在不断壮大，基于网络的教学与办公等应用也在不断增加，用户对网络的依赖也越来越强。用户数量的不断增加、网络流量的日益剧增、业务类型的复杂多样都给网络的安全、速度和稳定带来了很大的压力，而保障网络高效稳定的运行，则是现今网络管理的重要内容，了解网络带宽的利用情况、网络流量的内容以及用户的网络行为是网络管理的首要工作，为网络管理、网络升级与规划等提供重要依据。网络流量分析，可以提供大量详细的数据，供网管人员从多个方面进行分析，更好地维护、优化网络，提升网络的性能；也可作为网络安全管理的辅助手段，处理网络病毒等异常事件。因此，网络流量分析对于网络性能、异常监测、链路状态监测、升级规划等发挥着重要作用，为网络发展和网络优化提供更优质、更有效的技术支撑和服务。

1 常用网络流量监测技术介绍

1.1 简单网络管理协议SNMP技术

简单网络管理协议SNMP（Simple Network Management Protocol）是基于TCP／IP的网络管理管协议，它定义了传送管理信息的消息格式及管理设备和被管理设备之间进行消息传送的规程。它能对网络中不同类型的设备进行监控和管理，对网络中存在的问题进行定位。

完整的SNMP管理系统包括三个组成部分：⑴SNMP协议，包括理解SNMP操作、SNMP消息的格式以及在应用程序和设备之间交换信息的方式；⑵管理信息结构（Structure of Management Information，SMI），它是用于指定一个设备维护的管理信息的规则集；⑶管理信息库（Management Information Base，MIB），它是设备所维护的全部被管理对象的结构集合。SNMP的流量分析就是通过SNMP协议访问设备，并获取MIB库中的端口流量信息。使用该协议的软件有MRTG（Multi Router Traffic Grapher）、CACTI等。

CACTI是共享、开源和免费使用的软件，它使用SNMP协议、通过轮询设备的方法，获得流量信息，由服务器端软件生成PNG格式图片，并以WEB形式提供给用户查询。由于CACTI使用起来很方便，能够直观显示端口流量负载，所以是各类网管人员常用的网络监视工具。但CACTI收集到的流量信息仅是简单的端口流量的出、入统计信息，不能深入分析包的类型、流向等信息，但可以通过大量的插件，来扩充CACTI的其它各项功能。

1.2 远程监控RMON技术

远程监控RMON（Remote Monitoring）是由Internet工程任务组IETF（Internet Engineering Task Force）定义的一种远程监控标准，是对SNMP标准的扩展，包括RMON和RMONII两种标准。RMON定义了网管设备和远程监控设备之间的接口标准，使得监控设备和网管设备之间可以进行网络监控数据的交换，从而实现了对一个网段乃至整个网络的数据流量的监视功能。RMONII标准是IETF在RMON基础上提出的，它能将网络的监控层次提高到应用层。RMON的MIB数据库是由统计数据、分析数据和诊断数据等三个部分构成，有标准的数据格式，具有独立于设备供应商的远程网络分析功能。如思科、锐捷、Juniper、3COM、华为等网络设备都具有该功能。

1.3 NetFlow技术

NetFlow技术最早是在1996年由Cisco公司提出的，是Cisco IOS软件中内嵌的一种功能，用来将网络流量记录到设备的高速缓存中，以便进行精确的流量测量。其工作原理是 NetFlow利用标准的交换模式，处理数据流的第一个IP包数据，生成NetFlow缓存；随后，同样的数据基于缓存信息，在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。一个NetFlow流定义为在一个源IP地址和目的IP地址之间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。NetFlow流量统计数据项包括： ⑴数据流时间戳；⑵源和目的IP地址；⑶源和目的端口号；⑷ Input和Output接口号；⑸下一跳IP地址；⑹信息流中的总字节数；⑺信息流中的数据包数量；⑻信息流中的第一个和最后一个数据包时间戳；⑼源和目的AS号及PrefixMask；⑽Type ofService(TOS)等。

完整的NetFlow系统由收集器、存储器和分析器三个部分组成。收集器仅用来收集IP数据流的统计信息，数据分析由分析器来完成。数据存储由专门的数据库服务器来完成，如Sql server 或Mysql。NetFlow数据可以用于蠕虫、病毒、网络攻击或其他异常流量的检测，由于这些行为都涉及到特定的、有规律的端口、地址和数据长度等方面，所以我们可以充分利用NetFlow的数据检测及分析功能，以便尽早发现网络中的异常现象，及时解决。

2 NetFlow监控技术的应用

目前，NetFlow技术被大多数路由器和三层交换机支持。一般是在核心交换机或在边界路由器上进行数据采集。我校的校园网经过10多年的发展，目前覆盖4个校区，入网计算机超过10000台。目前的网络主要包括三个层次：边界网，主要负责校园网的出口，实施各种策略，如负载均衡、防火墙、流控、VPN、NAT等工作；核心网，主要负责各校区之间的数据交换；园区网，主要负责各园区内的数据接入工作。

2.1 NetFlow的布署

我校虽然有流控设备来管理整个校园网的出口流量，但对于校园内部互相访问的各种数据流是难以监控及管理的，为此，我校选用NetFlow来监控网络流量，在核心交换机6509上布署NetFlow，简单的拓扑结构如图1。

2.2 异常流量的监测及解决方案

通过定期对NetFlow流数据进行统计及分析，建立常规的网络流量模型，将此模型应用于网络流量的异常监测，对检测到的异常数据作进一步分析，综合判断异常流量的性质，并追踪定位到异常数据的来源，制定应急方案并实施，主要步骤如下：

1）常规模型的建立：定期对NetFlow数据做Top N统计，包括接口、IP的利用率和速率，及时掌握网络流量特征，建立常规的网络流量模型；

2）异常流量的检测：如果发现某时刻网络流量的统计值超出常规模型，则说明网络上出现异常情况；

3）异常流量分析：对异常流量的NetFlow数据进行分析，统计出相关的源/目的地址、端口、协议类型等数据；

4）异常主机的定位：根据统计出来的数据，综合判断异常流量的性质（如攻击、蠕虫病毒等），追踪、定位导致异常流量产生的主机来源（如IP地址）；

5）应急方案的制定：根据异常流量的情况，制定并实施防范措施（譬如安全策略、QoS、负载均衡等），防止所有来源对网络产生类似的威胁；

6）方案实施与改进：应急方案制定以后，根据常规模型对网络进行监测，并进一步验证及改进模型的性能，以便提升网络异常情况检测的准确性。。

3 流量监控结果分析

通过NetFlow的监控，对以下几个方面进行掌握：

1）了解当前网络的输入输出情况。通过NetFlow监控图可以直观的看出当前的网络总体运行状况，如网络端口的输入和输出数据量，全网的网络流量状况等，能及时的发现异常流量的爆发，并做进一步的定位与分析，如图2。

2）各协议应用分布情况

通过NetFlow可以对网络中正在运行的各种应用协议进行分析，对网络中带宽消耗大的应用协议进行筛选分析，并进一步对可疑端口进行跟踪追查，如图3。

3）查找异常主机

通过对占有用带宽严重的几种应用进行排序，可以追踪到应用了特定协议的主机。当网络中出现异常流量爆发时，通过对流量的筛选，可以定位到流量异常的主机,并对该主机的详细通讯情况做进一步的追查和分析。

4 结束语

将流量监控技术布署在校园网内，对网络中的流量数据进行采集分析，实现了对网络运行情况的实时掌握，出现异常网络流量时能够及时定位异常主机，为校园网络管理以及有关策略的制定提供了重要的参考依据。

参考文献：

[1] IEFT IPPM(IP Performance Metrics) Working Group./.

[2] Paxson V.End-to-End routing behavior in the Internet[J].IEEE/ACM Transactions on Networking,1997,5(5):601-615.

[3] 赵海.路由器级Internet拓扑特征量的对比分析[J].东北大学学报:自然科学版,2010,31(4):507-510.

[4] 张文杰,钱德沛.互联网应用性能测量系统的研究实现[J].计算机研究与发展,2003,40(1):60-67.

[5] Thottan M,Li L,Yao B,et,al.Distributed network monitoring for evolving IP networks[C].Proceedings of the 24th International Conference on Distributed Computing Systems (ICDCS);IEEE,2004:712-719.

[6] Sunil Kalidindi.Surveyor:An infrastructure for Internet performance measurements[J].INET 99,Stockholm Sweden,1999./inet99/.

[7] 孟晓蓓.基于NetFlow的网络流量采集技术和应用[J].武汉理工大学学报,2009,31(23):155-158.

[8] 陈宁,徐同阁.NetFlow流量采集与存储技术的研究实现[J].计算机应用研究,2008,25(2):559-564.

第12篇

【论文摘要摘要：网络流量性能测量是网络管理和系统管理的一个重要组成部分，为网络的运行和维护提供了重要信息，问时也是网络流量具体建模、分析的必要前提和手段。网络流量的测量方法分为主动测量和被动测量。两种测量方法各有优缺点，分别用于不同的场合。针对网络流量的测量展开系统性的探究将对Internet行为学方面的探究取得理论突破具有重要意。

网络流量性能测量和分析涉及许多关键技术，如单向测量中的时钟同步新问题，主动测量和被动测量的抽样算法探究，多种测量工具之间的协同工作，网络测量体系结构的搭建，性能指标的量化，性能指标的模型化分析，对网络未来状态进行趋向猜测，对海量测量数据进行数据挖掘或者利用已有的模型（petri网、自相似性、排队论）探究其自相似特征，测量和分析结果的可视化，以及由测量所引起的平安性新问题等等。

1.在IP网络中采用网络性能监测技术，可以实现

1.1合理规划和优化网络性能

为更好的管理和改善网络的运行，网络管理者需要知道其网络的流量情况和尽量多的流量信息。通过对网络流量的监测、数据采集和分析，给出具体的链路和节点流量分析报告，获得流量分布和流向分布、报文特性和协议分布特性，为网络规划、路由策略、资源和容量升级提供依据。

1.2基于流量的计费

现在lSP对网络用户提供服务绝大多数还是采用固定租费的形式，这对一般用户和ISP来说，都不是一个好的选择。采用这一形式的很大原因就是网络提供者不能够统计全部用户的准确流量情况。这就需要有方便的手段对用户的流量进行检测。通过对用户上网时长、上网流量、网络业务以及目的网站数据分析，摆脱目前单一的包月制，实现基于时间段、带宽、应用、服务质量等更加灵活的交费标准。

1.3网络应用状况监测和分析

了解网络的应用状况，对探究者和网络提供者都很重要。通过网络应用监测，可以了解网络上各种协议的使用情况（如www，pop3，ftp，rtp等协议），以及网络应用的使用情况，探究者可以据此探究新的协议和应用，网络提供者也可以据此更好的规划网络。

1.4实时监测网络状况

针对网络流量变化的突发性特性，通过实时监测网络状况，能实时获得网络的当前运行状况，减轻维护人员的工作负担。能在网络出现故障或拥塞时发出自动告警，在网络即将出现瓶颈前给出分析和猜测。现在随着Internet网络不断扩大，网络中也经常会出现黑客攻击、病毒泛滥的情况。而这些网络突发事件从设备和网管的角度看却很难发现，经常让网络管理员感到棘手。因此，针对网络中突发性的异常流量分析将有助于网络管理员发现和解决新问题。

1.5网络用户行为监测和分析

这对于网络提供者来说非常重要，通过监测访问网络的用户的行为，可以了解到摘要：

1）某一段时间有多少用户在访问我的网络。

2）访问我的网络最多的用户是哪些。

3）这些用户停留了多长时间。

4）他们来自什么地方。

5）他们到过我的网络的哪些部分。

通过这些信息，网络提供者可以更好的为用户提供服务，从而也获得更大的收益。

2.网络流量测量有5个要素摘要：

测量时间、测量对象、测量目的、测量位置和测量方法。网络流量的测量实体，即性能指标主要包括以下几项。2.1连接性

连接性也称可用性、连通性或可达性，严格说应该是网络的基本能力或属性，不能称为性能，但ITU-T建议可以用一些方法进行定量的测量。

2.2延迟

对于单向延迟测量要求时钟严格同步，这在实际的测量中很难做到，许多测量方案都采用往返延迟，以避开时钟同步新问题。

2.3丢包率

为了评估网络的丢包率，一般采用直接发送测量包来进行测量。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等。

2.4带宽

带宽一股分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径（通路）中没有其他背景流量时，网络能够提供的最大的吞吐量。

2.5流量参数

ITU－T提出两种流量参数作为参考摘要：一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔，即包吞吐量；另一种是基于字节吞吐量摘要：用传输成功的IP包中总字节数除以时间间隔。

3.测量方法

Internet流量数据有三种形式摘要：被动数据（指定链路数据）、主动数据（端至端数据）和BGP路由数据，由此涉及两种测量方法摘要：被动测量方法和主动测量方法然而，近几年来，主动测量技术被网络用户或网络探究人员用来分析指定网络路径的流量行为。

3.1主动测量

主动测量的方法是指主动发送数据包去探测被测量的对象。以被测对象的响应作为性能评分的结果来分析。测量者一般采用模拟现实的流量（如WebServer的请求、FTP下载、DNS反应时间等）来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终究端，所以这种方法能够代表从监测者的角度反映的性能。

3.2被动测量

被动测量是在网络中的一点收集流量信息，如使用路由器或交换机收渠数据或者一个独立的设备被动地监测网络链路的流量。被动测量可以完全取消附加流量和Heisenberg效应，这些优点使人们更愿意使用被动测量技术。有些测度使用被动测量获得相当困难摘要：如决定分缩手缩脚一所经过的路由。但被动测量的优点使得决定测量之前应该首先考虑被动测量。被动测量技术碰到的另一个重要新问题是目前提出的要求确保隐私和平安新问题。

3.3网络流量抽样测量技术

选择部分报文，当采样时间间隔较大时，细微的网络行为变化就无法精确探测到。反之，抽样间隔过小时，又会占用过多的带宽及需要更大的存储能力。采样方法随采样策略的不同而不同，如系统采样或随机采样；也随触发采样事件的不同而不同。如由报文到达时间触发（基于时间采样），由报文在流中所处的位置触发（基于数目采样）或由报文的内容触发（基于内容采样）。为了在减少采样样本和获取更精确的流量数据之间达到平衡。

第13篇

关键词：网络性能；网络状态监测；简单网络管理协议；NetFlow

中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 园区网网络监测的意义

近年来，随着各单位计算机应用水平的整体提高、内部园区网网络建设的日渐完善，以及实验仪器设备的网络自动化程度提高和发展，越来越多的日常学习、工作和科研、实验活动依赖计算机和网络来开展运行，这就要求各单位内部的园区网网络环境有很高的稳定性和运行效率，并能针对不同网络内部科研应用需求提供相应的网络质量保障。园区网连接着各个计算机、服务器、网络设备、存储设备及系统设备、试验装置、仪器仪表，通过交换信息使之成为一个高效运行的有机整体，为确保各项依赖园区网的科研活动顺利进行，必须保障园区网的正常运行和性能稳定。

同时，不断进行的信息化建设使得各项商业、科研活动对园区网络日渐依赖，这也带来了新的信息安全隐患，如何保障网络与信息系统的安全已经成为需要被高度重视的问题。随着园区网内部网络应用的迅速发展，越来越多的攻击和安全隐患来自于园区网内部，使得传统的基于网关的安全架构在新一代的攻击手段面前显得非常脆弱。而且这些传统的安全防护手段多属于被动形式,只能简单过滤或丢弃攻击数据,而无法在攻击源发起攻击时或之后的较短时间内即时响应，将内部网络中可疑的攻击源主机断开，使其无法通过内网连接进行攻击。在这种情况下，主动对园区网内部的网络运行状态进行监控，并根据网络流量异常信息采取相应的质量控制和防范乃至隔离控制，将可以成为传统计算机安全技术(如网关防火墙)的有益补充。

2 园区网网络状态监测技术

2.1 网络监测技术概述

网络状态监测是网络管理和系统管理的一个重要组成部分，网络状态数据为园区网的运行和维护提供了重要信息，这些数据对调控网络资源分布、规划网络容量、网络服务质量分析、网络故障检测与隔离、网络安全管理都非常重要。目前，根据对网络流量的采集方式可将网络监测技术分为：基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于NetFlow的监测技术三种常用技术。

2.2 基于网络流量全镜像的监测技术。

网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。 但采用端口流量镜像方式将增加网络设备负担，对网络设备性能的影响较大。而若使用探针等附加设备实现流量镜像，安装时对网络影响较大，安装完成后虽对网络设备的影响较小，但为网络结构增加了新的单点失效点，在大型网络环境下，可能会影响网络的稳定性。故基于网络流量全镜像的监测技术较少用于园区网网络监测中。

2.3 基于SNMP的流量监测技术

简单网络管理协议(SNMP)已经成为事实上的网络管理标准，得到很大范围的应用。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP是基于TCP/IP协议的网络管理标准，它简单明了，占用系统资源少，已成为事实上的工业标准。SNMP提供了从网络设备收集网络管理信息的方法，并为设备提供了向网络管理端报告故障和错误的途径。SNMP是协议和规范族，包括MIB（管理对象信息库）、SMI（管理信息结构）和SNM协议。同时，SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他传输协议上被使用。

基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB（管理对象信息库）中收集一些与具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。 基于SNMP的网络流量信息采集可以以极小的代价实现一定程度的网络流量相关信息的收集，但其收集的信息多是出于网络管理的需要，无法提供足够丰富的网络流量信息。利用其实现网络总流量的定期监控、观察网络设备端口的流量和使用状况可以满足网络管理的基本需求。

SNMP采用‘管理者―’模型来监测各种可管理的网络设备，利用无连接的UDP协议在管理者和之间进行信息的传递。图1勾画出了SNMP管理者和SNMP间的通信关系。一个SNMP管理者可以向SNMP发送请求，读取（Get）或设置（Set）一个或多个MIB变量数值。SNMP可以应答这些请求。除了这种交互式通信方式，SNMP还可以主动向SNMP管理者发送通知（Trap或Inform Request）以提示管理者一个设备或网络的状态。

■

图1 SNMP管理者与SNMP间的通信示意图

在园区网网络监测中采用SNMP机制有以下优势：1）可以随时随地收集网络流量信息，及时获取当前园区网络的运行情况；2）能够即时收集到网络中大量设备的同步流量信息；3）采用方法基于IP层，不受底层网络物理类型的限制；4）能够收集到网络设备自身的工作信息、端口状态。并可根据需要远程配置修改网络设备的相关参数；5）基于SNMP的流量监测所需费用较少，对现有的网络性能影响较小，且易于集成到各种网管系统中去。

在此基础上，如果配合后台数据库记录收集到的网络流量、性能数据，就可以实现对整个园区网络进行有效的监视，并能在网络发生故障时及时发现并通知相关人员处理，从而提高网络可靠运转的时间，减少因网络故障造成的中断时间。

2.1.基于NetFlow的流量监测技术

NetFlow是Cisco公司提出的一项网络数据流统计标准，利用NetFlow技术，路由器可以输出流经路由的包的统计信息，从而监测网络上的IP 流( IP flow) 。采集到的NetFlow流量信息可以帮助进行网络规划、网络管理、流量计费和病毒检测等等，NetFlow流量信息采集是基于网络设备提供的NetFlow机制实现的网络流量信息采集，在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。它可以实时提取大量流量的特征,实现对流量的宏观统计分析。目前，NetFlow技术已经成为网络设备流量信息采集事实上的标准，一些大型的网络设备厂商均在其主流的路由设备中实现了对NetFlow主要版本的支持。

表1主流厂商网络流技术对比

■

NetFlow的实现由路由器、数据采集设备和流量分析工具三部分构成，如图2所示。

路由器启动NetFlow功能，负责抓取路由器上发生的流量信息，当Cache表超时后，网络设备中的NetFlow Agent 将通过规范的报文格式将表项数据以UDP方式向NetFlow数据采集设备发送。NetFlow数据采集设备可以是商业系统或是采用开放源代码的工作站，它负责实时处理收到的报文，提取出流量数据，进行过滤和聚合后记录在数据库中。NetFlow流量分析工具根据数据采集设备数据库中记录的网络流量信息进行网络规划、流量计费和各种网络管理应用，并产生各类报表等。

■

图2NetFlow的工作原理示意图

由于NetFlow技术所产生的信息详尽且趋近于即时，可让网管人员深入地了解数据包中的信息，获得很多网络运行情况的细节。依据NetFlow信息进行网络规划，将大大提高规划的效率，减少盲目性。

（上接第671页）

在园区网网络监测中采用NetFlow机制有以下优势：

1) 对源及目的业务端口号的统计、分析，可以科学地估算出各种业务在网络总流量中所占的比重和在各条链路上的分布，对网络业务流量进行精细化分析，包括网络间数据流中各个具体业务的流量及百分比；同时，也可以根据应用层数据参数Protocol、Port、Bytes对各个网络业务进行排行，进而科学地预测各类业务流量的增长规律。

2) 通过对整网流量的长期监测，可以建立园区网流量基线，了解网络内各节点的即时与历史网络流量状态，掌握网络应用及发展趋势，从而提高网络的管理维护能力。

3) 通过统计分析，我们还可以获知那些业务是目前网络上最受欢迎的业务，进而对相关网络应用业务的建设和规划提供准确的基础数据；对于业务流量大的端点，分析其增长规律，可以指导对其合理及时的扩容，从而提高整个网络的运行质量。

4) 利用NetFlow产生的流量记录与统计分析系统配合，还可以记录网络平常在不同时间的流量或服务器连接使用情况，当发现网络或某服务器流量异常，或是服务器连接情况异常大量增加或减少时，在第一时间发出警报，让网络管理员可以立即采取相应措施，尽快确定异常流量源地址及目的地址、端口号等多种信息，针对不同的情况，分别利用切断连接、ACL过滤、静态空路由过滤、异常流量限定等多种手段，对异常流量进行有效控制、处理，从而在最短时间内恢复网络的正常运行。这在防范病毒，尤其是蠕虫或木马等造成的DoS与DDoS攻击时尤为有效。

3 结束语

当前，随着信息化建设步伐的加快，各单位都在不断地建设和改造内部的园区网络，园区网络的不断扩展使得网络的拓扑变得越来越复杂和不规则。而网络新应用的涌现和网络用户的快速增长也使得网络流量不断增大、网络应用日益复杂。采用一种或混合使用多种技术监测园区网网络状态的重要性和迫切性越来越突出。园区网网络监测技术已经成为计算机网络研究中一个重要的课题方向。

参考文献：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陈秀兰,吴军华.通用网络流量监测报警系统的设计与实现[J]. 微计算机应用, 2006(4):47-50.

[4] 何丰,靳娜.基于NetFlow的IP网络状态监测系统的设计与实现[J] . 通信技术, 2007(8):36-38.

第14篇

关键词：网络监控；网络异常；系统攻击；计算机系统；流量

1 从一次流量异常谈起

网络流量的异常，能够为网络故障的发生、安全的攻击提供良好的信息来实现监控、报警。当前网络的安全问题是不能忽视的。在2013年的5月19日，就在我国的互联网世界碰到了严重的故障。一直自晚上10点到第二天凌晨，包括江苏、安徽、广西、海南、甘肃、浙江六省在内所有网民都感到了网速奇慢，然后无法访问internet。一直第二天情况才得到好转，网络恢复正常。通过调查发现原来两家游戏网站的商业不道德内斗，一家雇黑客向竞争对手的DNS域名托管商DNSPod发起攻击的，使得对手陷入瘫痪。在操作过程中，多台木马电脑向DNSPod进行狂轰滥炸，目的达到了，然而服务器顺带托管着的国内13万家网站域名也受到了攻击，最终一连串的连锁反应导致了这场悲剧。

网络流量的异常引发了人们深深的思考，这是最后一次吗？事情远没有画上一个休止符，那么网络使用者、管理者以及技术开发人员，到底应该如何防范这来势凶猛的异常流量攻击，才能保证信息的安全，这是一个极为重要的问题。

2 异常流量种类与数据包

2.1 异常流量

总的看来，能够使得网络发生重大问题的异常网络流量有下面的一些方面：首先是拒绝服务攻击，这是危害极大，也极为常见的一种，称为DoS。再者，还有一种是分布式的拒绝服务攻击，也被称作是DDoS。其次是网络蠕虫病毒流量，以及相应别的异常流量。这些网络的异常流量，能够引发骨干网络的减速、瘫痪，有着巨大的危害和破坏力，主要表现形式是带宽的占用、网络的阻塞，无法发送正常数据而导致的经常性的丢包现象等等。除了对于网络，针对各个服务器计算机乃至终端系统来说，网络异常流量会导致大量CPU时间片和内存空间的占用，无法正常响应需求服务。针对这个问题，需要构建网络流量异常的分析系统，进行良好的预警、报警和流量处理功能。

2.2 异常流量数据包构成

从理论上来讲，任何正常的数据包形式如果被大量滥用，都会产生异常流量，例如DNS正常访问请求数据包（协议类型53）如果大量发生，就会产生对DNS服务器的DoS攻击。但相关异常流量数据，构成上一般有如下方面：TCP SYN flood，典型特征是数据包协议类型为6（TCP），数据流大小为40字节。ICMP flood，他们是数据包协议类型为1（ICMP），单个数据流字节数达218M字节。UDP flood，出现特点在于数据包协议类型为17（UDP），数据流有大有小。除此以外，仍然存在一些不是特别常见的异常流量数据。

3 网络流量分析的主要功能

3.1 基本分析

对于其承担的主要，应该包含有网络流量中信息包的抓取，而且应该能依照相关的技术标准、协议，数据来源与去向进行多广度和多维度的分析，而这些数据采集能够依靠相关NetFlower、sFlow、NetStream、端口镜像等的。具体说来，流量的异常分析中应该涵盖如下的方面：⑴提供流向分析、协议层次分析、应用分析等功能；⑵提供终端流量矩阵视图、TCP连接会话矩阵视图；⑶支持对P2P、IM（即时消息）、VoIP等应用层协议进行分析。⑷提供各种排名分析。

3.2 全面分析

对于高级使用者，还应该支持SNMP、BGP、SPAN、CLI、NAP 等方式，对路由设备状态、路由表项、动态路由协议交互、IP/MAC影射、MAC/Port影射、原始报文内容等进行实时采集，把链路流量图式和网元节点状态同时纳入到系统分析基础数据库中并在二者之间进行高度关联分析，不仅大幅度提高流量分析结果的准确率（如通过流量分析得出的“流量异常”表象往往有可能是由于网元设备错误策略配置等内在因素所诱发的），而且通过对网元设备的主动分析/调节还可较精确的定位异常流量来源并有效缓解其影响。如果是一个成熟的商业分析产品，更是应该能够通过这些分析过程自动生成设备接通率、设备性能趋势、设备故障、设备总流量、设备接通率、服务器存活率、线路连通率等日、周、月、季、年报表。特别存在异常流量，能够保证分析的速度特性，第一时间找到存在着ARP病毒湖综合蠕虫以及BT等等多种异常流量的数据流，这样就能防止破坏损失的进一步发展。

4 实现方式

实现上应该划分为收集器以及控制器等不同部分。前者通过流量收集，进一步达到特征提取/建模。而这个功能模块隶属于系统的低层，是系统面向网元设备的接口单元并进行数据上收和格式转换、特征提取等预处理操作；后者通过模式分析、策略响应来为机交互打下基础，属于用户层面。具体可以划分为如下模块：⑴流量流向分析：提供客户网络范围内的流量及成分统计、数据流向分析、信息热点排名等基础数据；⑵异常流量检测：可按照客户指定基线进行异常流量检测；⑶异常流量抑制：在异常流量检测服务的基础之上，系统将对检测到的异常流量进行自动干预；⑷异常流量净化：过滤网关之间按照指定接口协议进行交互，以获得过滤网关对被牵引流量的处理。

[参考文献]

[1]舒炎泰，王雷，张连芳，薛飞，金志刚.OliverYang.基于FARIMA模型的Internet网络业务预报[J].计算机学报，2001（01）.

[2]Marina Thottan，Chuanyi Ji.Statistical Detection of Enterprise Network Problems[J].Journal of Network and Systems Management，1999（1）.

第15篇

【关键词】网络流量；预测；时间序列；自回归模型

一、引言

现代科学技术的不断发展也带动了网络技术的发展，网络规模增长速度非常快，各种网络信息在网络动态中交互传递，对此必须保证网络信息传递的安全，网络管理员只要掌握好各个网络节点中的流量数据，就可以对整个网络进行有效的调控。网络工作者在网络设计时必须要考虑到网络流量特性的问题，很多网络流量模型近几年也在不断的被研究出来，网络流量预测模型的研究也受到很大程度的重视。例如几种比较有名的预测模型：马尔科夫模型、泊松过程模型，近几年开始有学者提出自回归模型的概念。由于网络的不断发展，规模不断增大，网络流量本身已经发展成为一种具有多种特性的事物，这给传统网络流量预测模型的预测造成了困难，因为传统模型预测方法很难捕捉到流量的时变性、以及高度自私性等特征。本文介绍的ARIMA模型，是一种同其他类型预测模型相比具有明显优势的新型预测模型。

二、网络流量预测原理

网络流量的内涵是指网络上传输的数据总量，在采集网络流量的原始数据时，间隔采集就可以获得一组组时间序列。通常情况下，可以采用下面这种方式来对网络流量数据进行描述：

由于网络的快速发展，网络的规模越来越大，网络流量的各种特征也越来越难以捕捉到，传统预测手段很难呈现数据之间的时间关系，因此现代的网络流量预测变成了复杂时间序列回归系统问题。ARIMA模型能够很好的捕捉到网络流量的各种特征，对时间序列性数据的研究具有很好的效果，因此在经济时间序列得到了很广泛的应用，解决了许多传统预测模型无法解决的难题，本文将会介绍ARIMA模型预测的基本方法。

三、基于 ARIMA模型的网络流量预测

1、ARIMA模型的描述

ARIMA模型之所以能很好的提高预测精度，在于其相对于传统预测模型而言，很好的捕捉到了网络流量的几种特征，把采集到得数据通过处理，然后通过建立好的最佳预测模型，来对网络流量数据进行仿真预测。模拟预测结果很好的说明ARIMA模型比其他类型的模型预测的精度要高，并且把网络流量的规律呈现的更加直观。

对某一满足ARIMA（ p， q）模型的样本数据集{w t= 0， 1， ， }，取自然对数并对其进行d次差分（差分算子阶数d通常取0或1，最多取2），可以得到平稳的ARIMA（ p， q）序列，在确定模型参数并进行拟合和检验后，就可以进行网络数据流量的预测，利用希伯特空间上线性算子的基本理论，可以证明对于离散的、连续的、标量以及向量的情况，用一个ARIMA（n，n-1）模型可以把任一平稳随机系统逼近到所要求的精确程度，而在实际应用中，大量的随机系统可以恰当地用ARIMA（2，1）模型来模拟。

对其参数的估计和定阶有很多种方法，几种常见的例如矩估计、线性建模、HDW、极大似然估计等方法，其中“矩估计方法”精度不高，一般作为其它更好方法的迭代初值，另几种方法各有所长，本篇论文选择的方法则是线性建模，一次来确定ARMA模型的参数。

根据最后 AIC和 SBC值最小化原则得到 AR IMA（ p， q，d）的参数达到最优， 对于用不同参数模型计算的结果也可以采用真实数据对其进行相似系数和拟合度的分析， 如果相似系数和拟合度最大， 则该模型就最优模。

四、仿真分析

1、采集数据

为了对本文提出模型的效果进行拟合和检验， 本文采集对 CERNET山西主节点一台 CISCO6509设备某端口流出流量进行监测， 采样时间间隔为 5分钟， 如图所示：

2、数据处理

从上图可以看出，该模型在初始阶段拟合效果不太好， 但经过大量数据的计算后， 在最后 48小时模型得到了较好的拟合效果， 与原始流量曲线的走势基本相符。

4、网络流量的预测

使用上述所到的 AR IMA 模型对未来 24小时的网络流量进行预测， 预测结果如图所示：

上述部分是基于ARIMA模型对在网络流量预测中的应用介绍，ARIMA模型作为一种新型预测模型，同过去的几种模型相比较起来，预测效果非常的直观。与其他预测模型相比，优越性可见一般，具体预测指标如下表所示：

五、总结

传统的网络流量预测方法的预测基础是建立在流量满足线性关系，但实际上，这种关系式并不是始终都是成立的，实际网络流量数据中包含了很多的非线性因素，它的表现规律并不很直观，因此运用传统的方法对网络流量的预测，其预测精度并不高，为了解决传统预测手段精度不高的问题，本文围绕如何准确预测网络流量模型这一目标， 提出了基于 ARIMA 的网络流量时间序列模型， 本文详细阐述了模型的数学算法和实现方法。仿真结果表明， 在实际的网络流量环境中， ARI-MA模型降低了预测误差， 提高了预测精确度， 具有较强的适应能力。

参考文献：

[1]张冉，赵成龙. ARIMA模型在网络流量预测中的应用研究[J]. 计算机仿真，2011，02：171-174.

[2]薛可，李增智，刘浏，宋承谦. 基于ARIMA模型的网络流量预测[J]. 微电子学与计算机，2004，07：84-87.

[3]崔文亮. 基于ARIMA模型的网络流量预测[J]. 软件，2012，11：221-223.

[4]郝占军. 网络流量分析与预测模型研究[D].西北师范大学，2011.

[5]李菁菲. 基于小波技术和ARIMA模型的网络流量预测研究[D].山东大学，2010.