網(wǎng)絡(luò)流量分析的方法大全11篇

緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)流量分析的方法范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1 多媒體流量分析的基礎(chǔ)

多媒體在應(yīng)用層面對于用戶的強(qiáng)大支持，映射到其數(shù)據(jù)層面，必然是不容忽視的大量不同數(shù)據(jù)格式。而在這樣的環(huán)境之下，想要展開有效的網(wǎng)絡(luò)流量分析，實現(xiàn)對于通信資源的優(yōu)化利用，首先必須展開對于多媒體報文的有效分類。每一個報文都會在這個過程中被分類到對應(yīng)的類型，而后進(jìn)一步依據(jù)運營商制定的傳輸優(yōu)先策略對其展開傳輸處理。

多媒體流分類問題可抽象成從多媒體報文映射到流類型的過程，多媒體報文流經(jīng)流分類器，即展開對于其的辨別并且添加相關(guān)的類型標(biāo)識，通常會將該標(biāo)志寫入報文頭部字段中，便于后續(xù)識別和處理。在識別的過程中，可供識別多媒體流的方法主要有三種，即基于報文頭部信息的分類方法、基于數(shù)據(jù)包載荷內(nèi)容的分類方法以及基于流量統(tǒng)計模型的分類方法。其中基于報文頭部信息的分類方法，即依據(jù)報頭中的多元組信息展開工作，將其與預(yù)先定義的規(guī)則集進(jìn)行比對匹配，并且確定出媒體流的對應(yīng)分類進(jìn)行標(biāo)識。此種工作方式相對簡單，因此發(fā)展也趨于成熟，效率較高，但是在識別過程中由于多媒體應(yīng)用使用的端口通常并不固定，因此針對而言準(zhǔn)確率比較有限。而基于數(shù)據(jù)包載荷內(nèi)容的分類方法則面向報文載荷信息展開識別和工作，進(jìn)一步又可以針對應(yīng)用層協(xié)議展開解析或針對載荷內(nèi)容展開特征解析。此種識別方式工作準(zhǔn)確率基本有所保證，但是對于某些私有協(xié)議以及加密數(shù)據(jù)流，會因為無法有效提取特征信息而導(dǎo)致識別失敗。最后，基于流量統(tǒng)計模型的分類方法主要是關(guān)注多媒體流量特征，通過流量來判斷多媒體數(shù)據(jù)的傳輸行為模式，諸如數(shù)據(jù)包的大小以及包與包之間的間隔時間等方面特征。此種方式能夠?qū)崿F(xiàn)系統(tǒng)的自主學(xué)習(xí)，但是會存在一定的分類延時。

2 網(wǎng)絡(luò)流量分析技術(shù)淺議

對多媒體進(jìn)行標(biāo)識之后，可以在網(wǎng)絡(luò)環(huán)境中展開更為有效的網(wǎng)絡(luò)流量分析。已經(jīng)被標(biāo)記的信息流在傳輸過程中能夠表現(xiàn)出不同的對于資源的占用，以此作為依據(jù)展開更具有針對性的網(wǎng)絡(luò)流量分析，對于整體網(wǎng)絡(luò)數(shù)據(jù)傳輸資源和功能的優(yōu)化都必然有著積極價值。

隨著計算機(jī)技術(shù)的不斷成熟，網(wǎng)絡(luò)流量分析技術(shù)也呈現(xiàn)出不斷發(fā)展的特征。當(dāng)前的流量分析技術(shù)，主要是在傳統(tǒng)的數(shù)據(jù)庫技術(shù)基礎(chǔ)之上，以一種開放的態(tài)度構(gòu)建起支持自學(xué)習(xí)的網(wǎng)絡(luò)流量分析系統(tǒng)，從而實現(xiàn)整個體系的智能化。就目前的狀況看，常見的幾種流量分析技術(shù)有以下幾種。小學(xué)德育論文

1）SNMP技術(shù)。此種技術(shù)主要用于實現(xiàn)面向網(wǎng)絡(luò)環(huán)境中多種類型設(shè)備展開監(jiān)控和管理，并且對既有問題進(jìn)行定位。該技術(shù)系統(tǒng)包括SNMP協(xié)議、管理信息結(jié)構(gòu)以及管理信息庫三個部分構(gòu)成，其中SNMP協(xié)議用于實現(xiàn)在應(yīng)用程序和設(shè)備時間交換信息，而管理信息結(jié)構(gòu)用于指定一個設(shè)備維護(hù)的管理信息的規(guī)則集，最后管理信息庫用于明確設(shè)備所維護(hù)的全部被管理對象的結(jié)構(gòu)集合。

2）RMON技術(shù)。該項技術(shù)由IETF定義，本身是對于SNMP技術(shù)的一種深入。其對于標(biāo)準(zhǔn)功能以及網(wǎng)管站遠(yuǎn)程監(jiān)控器之間的接口進(jìn)行了重新定義，使得其能夠?qū)崿F(xiàn)更為順暢的數(shù)據(jù)交換，從而有助于展開對于網(wǎng)絡(luò)環(huán)境數(shù)據(jù)流量的更為有效監(jiān)視。在RMON系統(tǒng)中，當(dāng)探測器發(fā)現(xiàn)了一個非正常態(tài)的網(wǎng)絡(luò)段之后，會主動與網(wǎng)絡(luò)維護(hù)管理控制臺接通聯(lián)絡(luò)，并將對應(yīng)的網(wǎng)絡(luò)信息進(jìn)行發(fā)送，實現(xiàn)對于整體網(wǎng)絡(luò)流量的監(jiān)控和分析。

3）SFlow技術(shù)。此種技術(shù)以隨機(jī)采樣作為主要的研究方式，并且能夠提供從第二層到第四層的相對完整的網(wǎng)絡(luò)流量分析信息，這種分析甚至可以擴(kuò)展到整個網(wǎng)絡(luò)環(huán)境中，能夠?qū)崿F(xiàn)面向大數(shù)據(jù)流量的適應(yīng)，尤其是在面向以流媒體作為主要流量資源占用的網(wǎng)絡(luò)環(huán)境時，仍然能夠保持穩(wěn)定的表現(xiàn)。此種技術(shù)成本較低且不會因為引入其技術(shù)為網(wǎng)絡(luò)環(huán)境帶來新的沖突，同時數(shù)據(jù)信息量大，能夠?qū)崿F(xiàn)更為完善的網(wǎng)絡(luò)分析。

4）NetFlow技術(shù)。此種技術(shù)主要用于實現(xiàn)網(wǎng)絡(luò)層高性能交換，首先被用于對網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)交換進(jìn)行加速。但是其核心是對于流緩存進(jìn)行進(jìn)一步的整理，因此在工作的過程中必然會能夠得到很多依據(jù)匯聚方法而統(tǒng)計的數(shù)據(jù)，其中包括諸如源IP、目的IP以及源端口和目的端口以及相關(guān)傳輸協(xié)議與包數(shù)量等，這些信息和統(tǒng)計數(shù)據(jù)對于深入展開網(wǎng)絡(luò)流量分析有著不容忽視的積極價值。

3 結(jié)論

在多媒體應(yīng)用的網(wǎng)絡(luò)環(huán)境中，深入可靠的網(wǎng)絡(luò)流量分析系統(tǒng)，對于切實提升網(wǎng)絡(luò)自身的數(shù)據(jù)傳輸能力，為多媒體用戶提供更為穩(wěn)定的數(shù)據(jù)傳輸服務(wù)有著積極價值。實際工作中唯有不斷深入發(fā)現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征，才能有的放矢展開有效的流量分析，實現(xiàn)網(wǎng)絡(luò)環(huán)境優(yōu)化。

篇（2）

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷推廣，校園網(wǎng)規(guī)模日益擴(kuò)大且網(wǎng)結(jié)構(gòu)與應(yīng)用日趨復(fù)雜，如何對校園網(wǎng)進(jìn)行全面有效的監(jiān)控是目前網(wǎng)絡(luò)管理面臨的巨大挑戰(zhàn)，這給校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)帶來了廣闊的研究領(lǐng)域，網(wǎng)絡(luò)監(jiān)控技術(shù)的核心技術(shù)就是對網(wǎng)絡(luò)中的流量進(jìn)行即時準(zhǔn)確的分析，本文首先對常用的流量分析技術(shù)進(jìn)行簡單的介紹。又重點介紹了sFlow技術(shù)，針對sFlow的特點，在校園網(wǎng)中部署了一個基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并對系統(tǒng)如何實現(xiàn)網(wǎng)絡(luò)監(jiān)控進(jìn)行了描述，此系統(tǒng)可實時有效的對校園網(wǎng)流量進(jìn)行分析，對校園網(wǎng)管理有很大的實用價值。

1流量分析技術(shù)介紹

當(dāng)前能對網(wǎng)絡(luò)的流量進(jìn)行分析的類型主要有以下兩種:

1．1點接觸型流量分析

點接觸型流量分析技術(shù)的原理為:在網(wǎng)絡(luò)中的某個接入點上，利用探針檢測該接入點的每個pack-age，所利用的方法為逐個包拆分，并在檢測的同時完成統(tǒng)計。點接觸型流量分析的優(yōu)點為:此技術(shù)中流量的采集只依賴于探針的包處理機(jī)制，與網(wǎng)絡(luò)中使用何種類型的交換機(jī)沒有關(guān)聯(lián);由于本技術(shù)采用逐個包拆分的方法，所以可自主制定策略來滿足用戶的需求。缺點為:接入點的個數(shù)有限，只能對有限的點進(jìn)行數(shù)據(jù)的采集，如果想在網(wǎng)絡(luò)的所有關(guān)鍵點布置接入點，成本較大;在關(guān)鍵接入點串入網(wǎng)絡(luò)流量采集設(shè)備，會增加網(wǎng)絡(luò)的故障點。采用點接觸型流量分析的代表設(shè)備為:IDS，F(xiàn)LUKE測試等。

1．2面接觸型流量分析

面接觸型流量分析技術(shù)的原理:利用交換機(jī)固有的流量采集來完成報文中關(guān)鍵信息的統(tǒng)計工作［1］。面接觸型流量分析的優(yōu)點為:此技術(shù)不同于點接觸型流量分析，無需在網(wǎng)絡(luò)的關(guān)鍵接入點上布置探針，只需要布置一臺交換機(jī)設(shè)備用以流量采集統(tǒng)計，即可采集分析核心層流量，并不影響整個網(wǎng)絡(luò)的性能;此技術(shù)可在網(wǎng)絡(luò)的任一點上采集整個網(wǎng)絡(luò)的流量;整個校園網(wǎng)中，只需布置一套監(jiān)控系統(tǒng)，成本低。缺點為:此技術(shù)采集的數(shù)據(jù)只局限于某種類型的package的采樣值，而不是包的全部，相較于點接觸型流量分析來說，采集的數(shù)據(jù)較少。采用面接觸型流量分析的代表設(shè)備為:NET-FLOW監(jiān)控，sFlow監(jiān)控等。當(dāng)前CERNET校園網(wǎng)都是萬兆核心層網(wǎng)絡(luò)平臺，根據(jù)前面對兩種流量分析技術(shù)的介紹可知，相較于點接觸型流量分析技術(shù)，面接觸型在采集與分析如此巨大網(wǎng)絡(luò)流量時，有顯而易見不比擬的優(yōu)勢。本文采用當(dāng)前較主流的sFlow監(jiān)控系統(tǒng)完成校園網(wǎng)網(wǎng)絡(luò)流量的采集與監(jiān)控。

2sFlow技術(shù)應(yīng)用

2．1sFlow技術(shù)介紹

sFlow，是由InMon公司于2001年提出的一種基于“統(tǒng)計采樣”的網(wǎng)絡(luò)流量監(jiān)測技術(shù)［2］，以RFC3176［3］文件的形式進(jìn)行了。sFlow通過對校園網(wǎng)中網(wǎng)絡(luò)設(shè)備處理的package進(jìn)行采集來獲取網(wǎng)絡(luò)中流量的信息，之后把采集后的數(shù)據(jù)包發(fā)送給流量分析服務(wù)器進(jìn)行分析，讓用戶詳盡與實時地知道網(wǎng)絡(luò)的性能與安全等問題［4］。目前，僅有Foundry和JuniperNetworks等廠商的部分型號的交換機(jī)支持sFlow。sFlow的主要優(yōu)勢在于:進(jìn)行整個網(wǎng)絡(luò)監(jiān)視成本更低;擁有的“一直在線技術(shù)”能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實時采集與分析能力;嵌入到ASIC中的強(qiáng)勁技術(shù);全網(wǎng)的視圖都是可看見的;采樣的速率是可以自主配置的;整個網(wǎng)絡(luò)的交換性能不受影響;網(wǎng)絡(luò)帶寬基本不受影響;包頭的信息是完整的;第二到七層的詳細(xì)信息是完整的并且支持多種協(xié)議。

2．2實現(xiàn)原理

sFlow的網(wǎng)絡(luò)流量監(jiān)測實現(xiàn)一般由兩部分構(gòu)成:sFlow(Agent)和sFlow流量采集器(Collector)［2］。sFlow系統(tǒng)的基本原理為:分布在校園網(wǎng)的sFlow把sFlow報文發(fā)送到Collector。

2．3sFlow技術(shù)

在校園網(wǎng)中的布署本文以Juniper交換機(jī)和PRTG軟件為例部署系統(tǒng)。首先在校園網(wǎng)絡(luò)的各個層級交換機(jī)(Agent)啟用sFlow，通過收集設(shè)備上相關(guān)端口的流量轉(zhuǎn)況并實時將整個校園網(wǎng)絡(luò)的流量發(fā)送到服務(wù)器端(Collector)。服務(wù)器端部署PRTG軟件，由PRTG分析軟件來對從交換機(jī)收到的數(shù)據(jù)包進(jìn)行全面、實時、豐富的流量及統(tǒng)計分析。

3結(jié)語

要實現(xiàn)對網(wǎng)絡(luò)全面、實時的監(jiān)控分析必須依靠先進(jìn)有效的網(wǎng)絡(luò)監(jiān)控協(xié)議和技術(shù)來滿足業(yè)務(wù)日益增長的需求。sFlow網(wǎng)絡(luò)技術(shù)的出現(xiàn)可以很大程度滿足當(dāng)前及未來幾年校園網(wǎng)絡(luò)發(fā)展規(guī)模，為我們網(wǎng)絡(luò)管理員的日常巡檢維護(hù)帶來了極大的方便，也為保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運行提供了很好的依據(jù)。

參考文獻(xiàn)

篇（3）

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416(2012)02-0160-02

1、引言

隨著信息化建設(shè)的高速發(fā)展，校園網(wǎng)作為數(shù)字信息的基本載體在數(shù)字校園的建設(shè)中具有非常重要的作用。但是，由于各種網(wǎng)絡(luò)應(yīng)用的不斷涌現(xiàn)，消耗了大量網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁堵、性能降低，干擾了教學(xué)科研等關(guān)鍵業(yè)務(wù)的正常運行。為了優(yōu)化網(wǎng)絡(luò)環(huán)境，保證數(shù)字校園的正常運行，我們有必要對網(wǎng)絡(luò)流量進(jìn)行深入的分析與研究，對占用大量網(wǎng)絡(luò)帶寬的流量、環(huán)節(jié)采取針對性的手段進(jìn)行調(diào)整與控制，保障數(shù)字校園高效穩(wěn)定安全的運行。

2、流量分析的常用方法

網(wǎng)絡(luò)流量分析指通過捕獲網(wǎng)絡(luò)流量數(shù)據(jù)對其進(jìn)行深入量測和分析，來掌握網(wǎng)絡(luò)的流量特性，例如某種協(xié)議、應(yīng)用服務(wù)的使用情況或者某些用戶的行為特征等，為精細(xì)化流量控制提供數(shù)據(jù)依據(jù)。目前采用的網(wǎng)絡(luò)流量分析方法按照分析的對象有：

2.1 基于地理位置的分析

基于地理位置的分析是通過獲取已知位置、用戶群的相關(guān)網(wǎng)絡(luò)設(shè)備的運行情況來進(jìn)行分析。常見的是使用簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）來實現(xiàn)信息獲取，這種方法優(yōu)點在于需要的設(shè)備及人員較少，能夠獲得流量的相互關(guān)系。

2.2 基于數(shù)據(jù)包的分析

對數(shù)據(jù)包的分析一般可以分為：基于地址、端口的分析，基于特征碼的分析以及深度數(shù)據(jù)包檢測。

基于地址、端口的分析是通過識別IP、URL地址或者應(yīng)用服務(wù)的特定端口來檢測分類的方法。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來越多的應(yīng)用不再基于固定的地址、端口，使得這種方法的使用范圍不斷縮小。

基于特征碼的分析是通過檢測OSI模型中四層以下的內(nèi)容中是否含有某些應(yīng)用服務(wù)的特殊標(biāo)示或使用的特定協(xié)議來對數(shù)據(jù)包進(jìn)行分類的方法，是一種使用較多的分析方法。

深度數(shù)據(jù)包檢測（DPI）是一種對數(shù)據(jù)包深入到應(yīng)用層協(xié)議檢測分析的方法。它通過逐包分析、模式匹配，并且使用行為模式識別等技術(shù)，可以對流量中的具體應(yīng)用服務(wù)實現(xiàn)較為準(zhǔn)確的識別，例如鑒別P2P數(shù)據(jù)應(yīng)用，雖然它的分析速度較慢而且需要不斷的根據(jù)新的協(xié)議和新的應(yīng)用來升級后臺應(yīng)用數(shù)據(jù)庫，但仍不失為一種使用較為廣泛的方法。

2.3 基于流量行為的分析

目前較為常見的是深度流行為檢測（DFI），這是通過對數(shù)據(jù)流的數(shù)據(jù)包長度、數(shù)據(jù)流持續(xù)時間、鏈接狀態(tài)、網(wǎng)絡(luò)層傳輸層信息等參數(shù)來對其進(jìn)行統(tǒng)計分析的檢測方法，速度快于深度數(shù)據(jù)包檢測方法，可以分析加密數(shù)據(jù)流，但僅能對數(shù)據(jù)進(jìn)行模糊分類，例如將滿足P2P流量模型的應(yīng)用統(tǒng)一識別為P2P流量，因為一般新型應(yīng)用都是由某些舊應(yīng)用發(fā)展而來，其流量特征變化較小，所以不需要頻繁升級流量模型數(shù)據(jù)庫就可以較為準(zhǔn)確的分辨類別。

3、流量控制的常用方法

在對網(wǎng)絡(luò)流量進(jìn)行深入分析了解數(shù)據(jù)構(gòu)成后，就可以針對性的使用適當(dāng)?shù)姆椒▉砜刂凭W(wǎng)絡(luò)流量，常用方法有“限”、“封”、“分級”：

(1)限：指對帶寬、連接數(shù)等設(shè)置門限，是流量控制中最常用的方法，一般有基于用戶的帶寬限制、基于服務(wù)的帶寬限制、基于時間段的帶寬限制以及基于并發(fā)連接數(shù)的限制等。

(2)封：也就是通過封堵特定應(yīng)用、行為的IP地址、端口號的連接，來禁止使用的目的。但是隨著技術(shù)的發(fā)展，很多軟件可以自動協(xié)商通訊端口甚至可以使用80端口，所以在單獨使用時效果并不理想。

(3)分級：也就是劃分應(yīng)用服務(wù)等級，讓關(guān)鍵應(yīng)用獲得最高級優(yōu)先權(quán)，讓重要應(yīng)用獲得較高優(yōu)先權(quán)，從而使網(wǎng)絡(luò)流量有序化。

4、校園網(wǎng)流量控制策略的實施

4.1 流控設(shè)備的部署

筆者所在學(xué)校是在外網(wǎng)防火墻和骨干網(wǎng)交換機(jī)之間部署銳捷ACE2000來實現(xiàn)內(nèi)網(wǎng)至外網(wǎng)主干線路的流量控制。

ACE2000是銳捷專門針對國內(nèi)市場定制和優(yōu)化的流控設(shè)備，可以對網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析，為用戶提供網(wǎng)絡(luò)應(yīng)用和流量趨勢報表，還運用深度包檢測（DPI）和深度流檢測（DFI）技術(shù)，能夠全面識別和控制各種應(yīng)用，從而有效的檢測和防止某些應(yīng)用對帶寬資源的非正常消耗，保證關(guān)鍵應(yīng)用帶寬，保障整體網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。

4.2 流量分析

通過ACE2000對校園網(wǎng)出口流量監(jiān)控分析發(fā)現(xiàn)在我校校園網(wǎng)內(nèi)主要是P2P數(shù)據(jù)流泛濫，導(dǎo)致關(guān)鍵網(wǎng)絡(luò)應(yīng)用延時較大、丟包較多。在工作時間以及晚上繁忙時段，P2P下載、P2P應(yīng)用占據(jù)了超過80%的網(wǎng)絡(luò)帶寬，流出流量超過流入流量，在線會話數(shù)遠(yuǎn)大于在線IP數(shù)，某些用戶數(shù)據(jù)流量異常。

4.3 管理策略

考慮到校園網(wǎng)需要滿足全校師生在日常辦公學(xué)習(xí)、實驗教學(xué)、網(wǎng)絡(luò)視頻教學(xué)以及業(yè)余時間休閑娛樂等方面的需求，根據(jù)長期流量分析數(shù)據(jù)，從以下四個方面制定控制策略：

(1)按IP段劃分：我校為辦公用戶、教學(xué)用戶、學(xué)生用戶、家屬用戶，分配了不同的IP段，根據(jù)各用戶群不同的功能定位來分配帶寬。

(2)按時間劃分：按節(jié)假日、工作日以及每天的高低峰時段分配帶寬。

(3)按應(yīng)用設(shè)置優(yōu)先級別：設(shè)定應(yīng)用服務(wù)等級，優(yōu)先保障關(guān)鍵應(yīng)用、關(guān)鍵區(qū)域的網(wǎng)絡(luò)資源。

(4)智能分配帶寬：在各個參數(shù)允許范圍內(nèi)，靈活分配最大帶寬，提高網(wǎng)絡(luò)帶寬利用率。

4.4 應(yīng)用策略后的效果

在出口部署的銳捷ACE2000上應(yīng)用策略后，出入口的流量下降近一半（如圖1），P2P下載、應(yīng)用等也減少近半（如圖2），在線會話數(shù)減為原來的0.65%，基于校園網(wǎng)的辦公、教學(xué)、遠(yuǎn)程等應(yīng)用可以流暢使用。(如圖1圖2)

5、結(jié)語

通過對網(wǎng)絡(luò)流量的分析，結(jié)合各個方面的需求，制定了具有針對性的網(wǎng)絡(luò)策略，初步獲得了顯著的效果。但是還有不足之處，主要是各類型用戶帶寬限制值、并發(fā)連接數(shù)的合適點不容易找，智能帶寬分配的各個參數(shù)的合適值不容易找。因此需要我們對網(wǎng)絡(luò)流量進(jìn)行長期研究、深入分析，不斷調(diào)整網(wǎng)絡(luò)管理策略，合理利用網(wǎng)絡(luò)帶寬，滿足各種用戶、應(yīng)用的需求，確保網(wǎng)絡(luò)的通暢，營造一個良好的數(shù)字校園。

參考文獻(xiàn)

[1]林維鏘.中小型校園網(wǎng)流量的控制方法,武漢工程大學(xué)學(xué)報,2011(4):97-99.

篇（4）

DOIDOI：10.11907/rjdk.162346

中圖分類號：TP309

文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：16727800（2016）011018402

0 引言

異常流量相對于平穩(wěn)的網(wǎng)絡(luò)流量有著顯著變化，它來自于網(wǎng)絡(luò)中的擁塞和路由器上的資源過載。網(wǎng)絡(luò)運營商必須及時準(zhǔn)確地檢測異常流量，否則網(wǎng)絡(luò)無法有效、可靠地運行[1]。研究人員采用了各種分析技術(shù)，從基于體積分布的分析到基于網(wǎng)絡(luò)流量分布的分析來研究流量異常檢測。而最近研究表明，基于熵的異常檢測具有更好的效果。該方法是在流量分布中捕捉細(xì)粒度的模式，使用熵來跟蹤流量分布的變化具有兩方面優(yōu)勢：①利用熵可以提高檢測靈敏度，異常事件的發(fā)生可能未表現(xiàn)出存儲量異常；②使用流量特征可以診斷信息異常事件的性質(zhì)（如區(qū)分蠕蟲、DDoS攻擊或掃描）[2]。

一般而言，大多數(shù)研究者認(rèn)為Flow頭的功能（如IP地址、端口和流量大小）可作為基于熵的異常檢測的備用選擇[3]。然而，端口和地址分布的兩兩相關(guān)性大于0.95，異常檢測到的端口和地址分布明顯重疊，這是產(chǎn)生深層流量模式的本質(zhì)原因。此外，異常掃描、DoS和P2P事件都不能通過端口和地址分布進(jìn)行精確檢測，或只有在顯著的網(wǎng)絡(luò)流量異常事件發(fā)生時才能檢測出異常。考慮到端口和地址分布的有限作用，應(yīng)選擇流量分布作為基于熵的異常檢測指標(biāo)。

本文提出一種利用度分布提高端口和地址分布檢測能力的異常檢測機(jī)制。使用入度和出度分布來估算每個主機(jī)通信的目的/源IP地址，對于每個入度值（出度值），通過計算熵來診斷異常。其中，選擇目的/源IP地址作為唯一備用指標(biāo)，而不是兩個地址和端口，不需要使用具有相同底層屬性的不同分布來增加計算開銷。同時，為了捕捉動態(tài)網(wǎng)絡(luò)流量的本質(zhì)，引入了一個固定時間寬度的滑動窗口機(jī)制。

1 相關(guān)研究

網(wǎng)絡(luò)流量的異常檢測是保證網(wǎng)絡(luò)正常有效運行的重要手段。網(wǎng)絡(luò)流量異常檢測技術(shù)自提出以來，經(jīng)過多年發(fā)展，誕生了多種檢測方法，但這些方法通常都存在一定缺陷。因此，如何進(jìn)一步提高檢測準(zhǔn)確性、減少誤報率仍然是國內(nèi)外學(xué)者的研究熱點。其中，許多方法都集中在使用流量分布來診斷異常，如Thottan[4]使用單獨的MIB變量的統(tǒng)計分布來檢測網(wǎng)絡(luò)流量的突然變化。在各種異常統(tǒng)計檢測技術(shù)中，基于熵的方法已被證明在檢測異常的流量矩陣時間序列中的準(zhǔn)確性和效率。張航等[5]利用最大值和相對熵建立了一種基于行為的異常檢測方法。以最大熵為基礎(chǔ)的基線分布由預(yù)先標(biāo)記的訓(xùn)練數(shù)據(jù)構(gòu)成，但該基線適應(yīng)網(wǎng)絡(luò)流量動態(tài)變化的機(jī)制仍然不清楚。本文提出一個機(jī)制，根據(jù)動態(tài)網(wǎng)絡(luò)流量在測量期間的變化來構(gòu)建自適應(yīng)基線，并調(diào)整基線在一個特定的時間跨度內(nèi)。

在線檢測異常受大流量數(shù)據(jù)的實時統(tǒng)計影響。吳靜等[6]采用五元組流分布（即源地址、目的地址、源端口、目的端口、協(xié)議）進(jìn)行流量分析，導(dǎo)致內(nèi)存和處理能力的高開銷。一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，如FlowMatrix與Snort匹配數(shù)據(jù)包到一個預(yù)定義的規(guī)則集，使它們無法檢測未知異常[7]。本文認(rèn)為地址和端口具有高相關(guān)性，并使用地址作為獨特的度量來代替元組，用于檢測異常度分布的熵，不僅可減輕計算過程中在線分析階段的開銷，而且在發(fā)現(xiàn)新的異常類型方面比常規(guī)方法效果更好。

2 基礎(chǔ)理論

大多數(shù)流量異常都有一個共同特點，它們誘導(dǎo)流量頭特征分布的異常變化，如源地址、目的地址與端口，一般顯示出分散或集中分布的現(xiàn)象[8]。

例如，圖1顯示了3種類型攻擊的流量特征分布。圖1（a）顯示了一個典型的分布式拒絕服務(wù)（DDoS）攻擊。在這種情況下，大量主機(jī)發(fā)送信息到一個特定主機(jī)。同樣，許多網(wǎng)絡(luò)蠕蟲通過發(fā)送隨機(jī)探測，即到隨機(jī)區(qū)域產(chǎn)生大量目的地IP地址，從而使受感染的計算機(jī)繼續(xù)感染其它脆弱的計算機(jī)，如圖1（b）所示。在一些掃描事件中，一個源IP地址隨機(jī)掃描多個IP地址，如圖1（c）所示。

從以上分析得知，網(wǎng)絡(luò)流量發(fā)生異常時，會使源/目的地址、源/目的端口分布出現(xiàn)變化（見表1）。接下來需要研究：①采用什么指標(biāo)可以準(zhǔn)確配置這些異常流量特征，并明確表明上述攻擊的發(fā)生；②如何有效地量化異常大小，并揭示非正常的流量行為。

3 診斷方法

3.1 系統(tǒng)模型

總體架構(gòu)包括3個主要功能部分：處理引擎（后端）、數(shù)據(jù)庫和WebGUI（前端）。處理引擎執(zhí)行顯式算法WebGUI和數(shù)據(jù)庫之間的通信。引擎主要實現(xiàn)以下幾方面任務(wù)：①接收NetFlow記錄的數(shù)據(jù)，如路由器、交換機(jī)、防火墻等，并以一個特定方式將數(shù)據(jù)通過緩沖存儲到數(shù)據(jù)庫；②獲得相關(guān)參數(shù)后，可通過使用SQL查詢來計算熵值度分布的原始流量數(shù)據(jù)；③根據(jù)測量期間的網(wǎng)絡(luò)狀態(tài)自動調(diào)整檢測閾值。流量統(tǒng)計數(shù)據(jù)庫提供了結(jié)構(gòu)化存儲，簡化了熵值的分布程度計算。WebGUI前端可通過圖形方式顯示檢測結(jié)果。

3.2 算法設(shè)計

進(jìn)行在線流量分析時，要提高異常檢測精度，減少計算時的開銷，異常檢測的流程與算法必須是輕量級的。首先，設(shè)計一個數(shù)據(jù)源和數(shù)據(jù)庫之間的緩沖區(qū)進(jìn)行存儲和檢索。其次，考慮到許多攻擊一般只有幾分鐘時間，如DDoS攻擊一般只持續(xù)兩分鐘，因此要設(shè)置一個有限的時間段作為一個基本測量時間窗口的度量單位。

從概念上講，該算法可以分為3個階段：在第一階段，配置Netflow在特定時間段內(nèi)的頁面流量統(tǒng)計，根據(jù)訓(xùn)練數(shù)據(jù)和預(yù)定義的閾值熵排除異常值，以便在測量期間準(zhǔn)確校準(zhǔn)基線。自適應(yīng)閾值在檢測過程中生效；第二階段為處理階段，滑動時間窗口時，計算該窗口中流量特征的熵值；第三階段為后處理階段，設(shè)置閾值為下一個檢測過程的計算均值熵和方差。該算法的偽代碼如下：

4 結(jié)語

本文介紹了基于度分布的流量異常在線檢測方法，該方法具有以下優(yōu)點：①可以準(zhǔn)確、高效地使用流量頭特征捕捉細(xì)粒度的流量模式分布，不僅減少了在線處理時間，也提高了檢測能力；②利用熵可以提高檢測靈敏度的特點來發(fā)現(xiàn)已知或未知的流量異常，并將其量化；③具備一種可降低誤警率的自適應(yīng)閾值。下一步工作是進(jìn)一步分析流量異常特征，尋找診斷網(wǎng)絡(luò)異常的方法。此外，降低報警延遲也是需要考慮的問題之一。

參考文獻(xiàn)：

[1] 王秀英，邵志清，陳麗瓊.異常流量檢測中的特征選擇[J].計算機(jī)工程與應(yīng)用，2010（28）：129131.

[2] 崔錫鑫，蘇偉，劉穎.基于熵的流量分析和異常檢測技術(shù)研究與實現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展，2013（5）：126129.

[3] 鄭黎明，鄒鵬，韓偉紅.基于多維熵值分類的骨干網(wǎng)流量異常檢測研究[J].計算機(jī)研究與發(fā)展，2012（9）：154163.

[4] THOTTAN M，JI C.Anomaly detection in IP networks[J].IEEE Transation on Signal Processing，2003，51（8）：21912204.

[5] 趙飛翔，張航，何小海.基于多層分塊的異常行為檢測算法[J].科學(xué)技術(shù)與工程，2015（10）：112116.

篇（5）

中圖分類號:TP

文獻(xiàn)標(biāo)識碼:A

文章編號:1672-3198(2010)17-0348-01

1 網(wǎng)絡(luò)流量的特征

1.1 數(shù)據(jù)流是雙向的,但通常是非對稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的,因此網(wǎng)絡(luò)的流是雙向的。但是兩個方向上的數(shù)據(jù)率有很大的差異,這是因為從網(wǎng)站下載時會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個方向多。

1.2 大部分TCP會話是短期的

超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié),會話持續(xù)時間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響。1.3 包的到達(dá)過程不是泊松過程

大部分傳統(tǒng)的排隊理論和通信網(wǎng)絡(luò)設(shè)計都假設(shè)包的到達(dá)過程是泊松過程,即包到達(dá)的間斷時間的分布是獨立的指數(shù)分布。簡單的說,泊松到達(dá)過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發(fā)生。泊松模型因為指數(shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。然而,近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時間不僅不服從指數(shù)分布,而且不是獨立分布的。大部分時候是多個包連續(xù)到達(dá),即包的到達(dá)是有突發(fā)性的。很明顯,泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

1.4 網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時間局域性和空間局域性。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時間和目的地址上,從而顯示出基于時間的相關(guān)(時間局域性)和基于空間的相關(guān)(空間局域性)。

2 網(wǎng)絡(luò)流量的測量

網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個工具,通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計出更加符合實際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯的,設(shè)備的一小點故障都有可能使整個網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長、錯誤地址、安全攻擊等。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題。互聯(lián)網(wǎng)流量的測量從不同的方面可以分為:

2.1 基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲能力和協(xié)議分析能力等諸多因素的限制。基于軟件的測量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2.2 主動測量和被動測量

被動測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測量都是被動的測量。主動測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來估計到某個目的地址的網(wǎng)絡(luò)延時。

2.3 在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實時地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線顯示流量數(shù)據(jù)和分析結(jié)果,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲下來,并不對數(shù)據(jù)進(jìn)行實時的分析。

2.4 協(xié)議級分類

對于不同的協(xié)議,例如以太網(wǎng)(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測試方法。

3 網(wǎng)絡(luò)流量的監(jiān)測技術(shù)

根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)。

3.1 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備,實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應(yīng)用層信息。

3.2 基于Netflow的流量監(jiān)測技術(shù)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇（6）

一、現(xiàn)狀和問題

油田公司提出“百兆到作業(yè)區(qū)，十兆到井站”的網(wǎng)絡(luò)架構(gòu)，但現(xiàn)在很多井站都實現(xiàn)了百兆接入，同時計算機(jī)主干網(wǎng)頁實現(xiàn)了廣域網(wǎng)雙2.5G，核心萬兆互聯(lián)，帶寬的快速增加加快了業(yè)務(wù)數(shù)據(jù)傳送的速度，從公司管理角度出發(fā)很多很多應(yīng)用從井站直接到公司管理部門的核心網(wǎng)絡(luò)，業(yè)務(wù)的可靠傳輸是對網(wǎng)絡(luò)運維部門提出的新的要求。公司主干網(wǎng)流量組成，對于各個方向的網(wǎng)絡(luò)流量大小，公司應(yīng)用系統(tǒng)如視頻會議、生產(chǎn)指揮、應(yīng)急預(yù)警、財務(wù)系統(tǒng)、OA辦公系統(tǒng)、A1A2系統(tǒng)，集團(tuán)公司的應(yīng)用系統(tǒng)的流量情況，需要對業(yè)務(wù)進(jìn)行深入分析，獲取相關(guān)流量。二級單位從井站到單位核心，數(shù)字化應(yīng)用系統(tǒng)占有大量的網(wǎng)絡(luò)鏈路流量，但管理者不能掌握，具體各類應(yīng)用系統(tǒng)流量的大小、流向以及各類網(wǎng)絡(luò)接口流量組成，需要采集網(wǎng)絡(luò)中各個節(jié)點的網(wǎng)絡(luò)流量，進(jìn)而對應(yīng)用系統(tǒng)進(jìn)行詳細(xì)的分析，將流量與應(yīng)用系統(tǒng)進(jìn)行有效結(jié)合，達(dá)到應(yīng)用系統(tǒng)流量的深度分析。

二、流量分析技術(shù)應(yīng)用

2.1流量分析技術(shù)

2.1.1基于SNMP

該方法僅能對網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，可以獲得設(shè)備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，但無法分析具體的用戶流量和協(xié)議組成。因其具有實現(xiàn)簡單、標(biāo)準(zhǔn)統(tǒng)一、接口開放的特點，被業(yè)界廣泛采用。

2.1.2基于網(wǎng)絡(luò)探針

該方法的數(shù)據(jù)抓包、分析和統(tǒng)計等功能一般都在網(wǎng)絡(luò)“探針”上以硬件方式實現(xiàn)，分析的結(jié)果存儲在探針的內(nèi)存或磁盤之中，具體的前端展現(xiàn)依賴與之對應(yīng)的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。

2.1.3基于網(wǎng)絡(luò)流

相對于會話（Session）而言，流（Flow）具備更細(xì)致的標(biāo)識特征，在傳統(tǒng)的 TCP/IP 五元組的基礎(chǔ)上增加了一些新的域值，至少包括以下幾個字段：源IP地址、目的IP地址、源端口、目的端口、IP層協(xié)議類型、ToS服務(wù)類型、輸入物理端口。以上七個字段可以唯一地確定任意一個數(shù)據(jù)包屬于哪個特定的流，換言之任何一個字段出現(xiàn)了差異都意味著一個新的流產(chǎn)生。sFlow是基于端口的流量分析：按照一定的采樣比從特定端口上采集報文，由Agent設(shè)備對報文進(jìn)行分析（包括報文內(nèi)容、報文轉(zhuǎn)發(fā)規(guī)則信息等等），并將分析結(jié)果以及原始報文通告給Collector進(jìn)行統(tǒng)一分析（Flow采樣）；并且支持周期性統(tǒng)計端口的流量計數(shù)以及設(shè)備CPU、內(nèi)存等信息（Counter采樣）。sFlow關(guān)注的是接口的流量情況、轉(zhuǎn)況以及設(shè)備整體運行狀況，因此適合于網(wǎng)絡(luò)異常監(jiān)控以及網(wǎng)絡(luò)異常定位，通過Collector可以以報表的方式將情況反應(yīng)出來，極大的方便了網(wǎng)絡(luò)管理人員日常巡檢維護(hù)，保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運行。

2.2部署方式

利用公司網(wǎng)絡(luò)監(jiān)控平臺系統(tǒng)，結(jié)合交換機(jī)及路由器的FLOW流量采集功能，對油田主干網(wǎng)及試點二級單位的網(wǎng)絡(luò)流量進(jìn)行采集，其中計算機(jī)主干網(wǎng)，主要采集核心交換機(jī)8905和核心路由器t1200設(shè)備的流量情況，試點二級單位通過核心交換機(jī)軟件升級，及試點作業(yè)區(qū)井站的設(shè)備替換，采集內(nèi)網(wǎng)的流量情況。

2.3流量分析

2.3.1主干網(wǎng)流量分析

通過對流量采集和分析技術(shù)進(jìn)行研究搭建流量分析系統(tǒng)，實現(xiàn)對主要生產(chǎn)辦公業(yè)務(wù)流量分析，重要應(yīng)用性能追蹤。并開展油田計算機(jī)終端應(yīng)用的自動化監(jiān)控。具體研究內(nèi)容主要包括一下幾點：

通過s-flow、netflow等技術(shù)搭建流量分析系統(tǒng)，對區(qū)域中心出口、生產(chǎn)指揮中心、應(yīng)急預(yù)警中心、公司視頻會議系統(tǒng)及蘇里格大廈數(shù)信部等重要業(yè)務(wù)和部門實現(xiàn)業(yè)務(wù)流量集中統(tǒng)計分析；

通過定制業(yè)務(wù)模型對主要生產(chǎn)辦公流量進(jìn)行全面分析，包括：視頻會議，辦公OA系統(tǒng)，生產(chǎn)網(wǎng)中的三端二系統(tǒng)等網(wǎng)絡(luò)業(yè)務(wù)；

平均流入速率：450～465Mbps，平均流出速率：30～40Mbps，應(yīng)用構(gòu)成為：上網(wǎng)占77%，未知應(yīng)用占13%，HTTP應(yīng)用占2%。

2.3.2生產(chǎn)指揮流量分析

公司生產(chǎn)指揮系統(tǒng)流量很小，基本沒有流入流量，只有流出流量，平均流出速率為1.08Mbps，平均流出速率波動較大，HTTP應(yīng)用為主包含codasrv和raventbs等生產(chǎn)系統(tǒng)流量。

三、總結(jié)

篇（7）

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2013）05（b）-0249-02

隨著高等教育信息化的發(fā)展，高等教育對于網(wǎng)絡(luò)的依賴日漸增加，同時高校校園網(wǎng)的出口帶寬要求也越來越高。但是受到資金、出口建設(shè)成本和網(wǎng)絡(luò)技術(shù)等方面的限制，高校校園網(wǎng)出口帶寬不可能無限提高，由此導(dǎo)致了高校校內(nèi)用戶日益增長的網(wǎng)絡(luò)需求與出口帶寬限制網(wǎng)絡(luò)流量之間的矛盾。而通過對出口網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深層次應(yīng)用分析制定相關(guān)策略能夠在一定程度上緩解這一矛盾。

1 網(wǎng)絡(luò)流量分析及控制的關(guān)鍵技術(shù)

網(wǎng)絡(luò)流量分析及控制是指對數(shù)據(jù)包進(jìn)行檢測，并通過制定的策略對網(wǎng)絡(luò)應(yīng)用實現(xiàn)放行、限制或阻塞的技術(shù)。現(xiàn)今P2P類下載應(yīng)用占用了大量的帶寬資源，導(dǎo)致網(wǎng)絡(luò)的擁堵和服務(wù)質(zhì)量的下降。為了保證用戶能夠平等的使用網(wǎng)絡(luò)帶寬，需要采取必要的技術(shù)對P2P等應(yīng)用進(jìn)行一定程度的檢測與調(diào)控。目前主要的分析控制技術(shù)如下。

1.1 傳統(tǒng)防火墻對網(wǎng)絡(luò)流量的分析及控制

傳統(tǒng)防火墻都工作在OSI參考模型的第2、3、4層，通過對TCP/UDP端口、數(shù)據(jù)包的源/目的IP地址、MAC地址等進(jìn)行過濾，實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)視。一般都是對數(shù)據(jù)包的包頭來做策略，并不關(guān)心整個數(shù)據(jù)包的信息。傳統(tǒng)防火墻對網(wǎng)絡(luò)流量的處理方法一般都是阻塞某種協(xié)議常用端口，或者阻斷客戶端與服務(wù)器的連接等。由于不能有效的分析數(shù)據(jù)包內(nèi)部信息，不能有效的了解用戶應(yīng)用層的信息，也就不能有效的限制用戶的應(yīng)用。采用傳統(tǒng)防火墻阻斷服務(wù)器與客戶端連接的方法也已經(jīng)不能準(zhǔn)確的識別與控制。

1.2 DPI技術(shù)

深度報文檢測技術(shù)DPI（Deep Packet Inspectio）是在分析數(shù)據(jù)包包頭的基礎(chǔ)上，增加了對OSI參考模型第七層即應(yīng)用層的分析。當(dāng)IP數(shù)據(jù)包、TCP、UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的流量控制系統(tǒng)時，通過深入讀取數(shù)據(jù)包的內(nèi)容來對應(yīng)用層信息進(jìn)行重組，從而得到整個應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。DPI技術(shù)可以分為兩大類：（1）使用特征字與掩碼相結(jié)合進(jìn)行協(xié)議識別的DPI技術(shù)；（2）使用正則表達(dá)式庫進(jìn)行協(xié)議識別的DPI技術(shù)。

2 高校校園網(wǎng)絡(luò)的現(xiàn)狀

目前大部分高校都已建成完善的園區(qū)網(wǎng)，普遍采用傳統(tǒng)的三層結(jié)構(gòu)（核心層、匯聚層和接入層），并租用運營商電路實現(xiàn)與互聯(lián)網(wǎng)的高速對接。

校園網(wǎng)的主要特點是學(xué)生是網(wǎng)絡(luò)的主要用戶。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，學(xué)生作為社會最活躍的團(tuán)體，對于網(wǎng)絡(luò)新興服務(wù)需求迫切，尤其是視頻服務(wù)。造成的結(jié)果是對網(wǎng)絡(luò)帶寬的占用比例極高，造成傳統(tǒng)服務(wù)的服務(wù)質(zhì)量下降。

以我院為例，我院校園網(wǎng)絡(luò)始建于2008年，網(wǎng)絡(luò)已覆蓋教學(xué)、辦公、生活等區(qū)域，其中學(xué)生宿舍網(wǎng)絡(luò)出口帶寬所占比例達(dá)到80%以上，其中多以視頻、P2P應(yīng)用為主。

3 采用流量控制技術(shù)調(diào)整出口應(yīng)用

在具體實現(xiàn)方面，采用了Panabit軟件。Panabit是北京派網(wǎng)軟件公司開發(fā)的免費的應(yīng)用層流量控制系統(tǒng)，是基于穩(wěn)定性極高的FreeBSD開發(fā)的。可在瀏覽器中對系統(tǒng)進(jìn)行圖形化管理，界面友好，操作簡便。

3.1 Panabit流量控制系統(tǒng)的部署

（1）安裝。

Panabit需要獨立安裝在一臺計算機(jī)中，硬件配置要求如表1。

由表1可見，對于目前PC的硬件水平完全可以滿足安裝需要，只需要在計算機(jī)中多加裝兩塊網(wǎng)卡即可。

Panabit的硬件部署在網(wǎng)絡(luò)出口上。配置的3塊網(wǎng)卡，1塊用于管理Panabit管理系統(tǒng)，另外2塊分別用于采集上傳和下載流量的數(shù)據(jù)。

（2）Panabit系統(tǒng)的初始化配置。

①首先配置系統(tǒng)的IP地址等基礎(chǔ)信息（在此全部都采用校園網(wǎng)內(nèi)部私有地址），以便遠(yuǎn)程管理（采用HTTPS協(xié)議）。

②選擇網(wǎng)絡(luò)配置下的“數(shù)據(jù)接口”選項，兩塊網(wǎng)卡的“應(yīng)用模式”均選擇為“透明網(wǎng)橋”。

3.2 Panabit系統(tǒng)的流量控制策略的配置

（1）分配帶寬。

Panabit對帶寬的分配有三種模式：即帶寬限制，帶寬保證，帶寬預(yù)留。根據(jù)我院對網(wǎng)絡(luò)需求的實際情況，采用了帶寬保證模式。下面對帶寬保證模式進(jìn)行詳細(xì)的說明：首先，帶寬保證模式也具有帶寬預(yù)留模式的功能，即對特定IP組、特定協(xié)議預(yù)留出足夠的帶寬。例如教學(xué)、辦公I(xiàn)P組，教務(wù)系統(tǒng)的ITSP協(xié)議等。在此基礎(chǔ)上，帶寬保證在其預(yù)留的帶寬不能滿足應(yīng)用要求的時候，會從剩余的總帶寬里借用所需帶寬。例如每學(xué)期開學(xué)和學(xué)期末，學(xué)生大量選課，可以對選課系統(tǒng)的SSL等協(xié)議進(jìn)行帶寬保證設(shè)置。

（2）建立策略組。

可以根據(jù)數(shù)據(jù)包的源地址、目的地址、應(yīng)用協(xié)議等建立策略組。

3.3 系統(tǒng)測試與分析

4 結(jié)語

為了提高網(wǎng)絡(luò)帶寬的利用率，使高校校園網(wǎng)絡(luò)的使用更趨合理，網(wǎng)絡(luò)流量分析及控制勢在必行，同時也是非常有效的手段。互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)絡(luò)流量分析及控制也隨之快速發(fā)展，為高校的教學(xué)等工作提供了穩(wěn)定的網(wǎng)絡(luò)基礎(chǔ)，使教學(xué)信息管理系統(tǒng)和教學(xué)資源共享平臺的搭建更為安全、高效。為高校的信息化教學(xué)做出了貢獻(xiàn)。

參考文獻(xiàn)

[1] 劉劍鋒.部署運維管理平臺提高校園網(wǎng)運維水平[J].中國教育技術(shù)裝備，2011（10）.

篇（8）

面向服務(wù)架構(gòu)(SOA)將應(yīng)用程序的不同功能單元包裝成“服務(wù)(Service)”，通過這些服務(wù)之間定義良好的接口和協(xié)議聯(lián)系起來。接口采用中立的方式定義，獨立于具體實現(xiàn)服務(wù)的硬件平臺、操作系統(tǒng)和編程語言，使得構(gòu)建在各種這樣系統(tǒng)中的服務(wù)可以使用統(tǒng)一和通用的方式進(jìn)行通信。這種具有中立接口定義的特征稱為服務(wù)之間的松耦合。面向服務(wù)架構(gòu)是一種軟件體系結(jié)構(gòu)的思想，它需要依賴具體的實現(xiàn)技術(shù)。本文采用Web服務(wù)分布式管理(WSDM)標(biāo)準(zhǔn)來支持面向服務(wù)架構(gòu)的實現(xiàn)。

為了解決網(wǎng)絡(luò)環(huán)境下管理系統(tǒng)和基礎(chǔ)設(shè)施的協(xié)同工作以及管理集成問題，OASIS組織在IBM、HP、CA等著名公司的大力支持下，于2005年3月推出了Web服務(wù)分布式管理(Web services distributed manage-ment，WSDM)標(biāo)準(zhǔn)，對Web Service管理提供標(biāo)準(zhǔn)化的支持，通過使用Web Service來實現(xiàn)對不同平臺的管理。

WSDM是一個用于描述特定設(shè)備、應(yīng)用程序或者組件的管理信息和功能的標(biāo)準(zhǔn)。所有描述都是通過Web服務(wù)描述語言進(jìn)行的。WSDM標(biāo)準(zhǔn)實際上是由兩個不同的標(biāo)準(zhǔn)組成的，WSDM-MUWS標(biāo)準(zhǔn)以及WS-DM-MOWS標(biāo)準(zhǔn)。

圖1是WSDM的工作模式，可管理用戶發(fā)現(xiàn)這個Web Service端點，然后，通過與端點交換消息，從而獲取信息、定制事件以及控制與端點相關(guān)聯(lián)的可管理資源。WSDM規(guī)范側(cè)重于提供對可管理資源的訪問。管理是資源的一個可能具有的特性，可管理資源的實現(xiàn)是通過Web Service端點提供一組管理功能。WSDM架構(gòu)不限制可管理資源的實現(xiàn)策略，實現(xiàn)方式包括直接訪問資源、用非方法、用管理等，實現(xiàn)細(xì)節(jié)對于管理消費者來說都是透明的。

WSDM作為一種功能強(qiáng)大的分布式系統(tǒng)集成解決方案，其主要特點如下：

(1)面向資源。WSDM的關(guān)注點是資源，因為一個資源就代表了多個Web服務(wù)，因此在該標(biāo)準(zhǔn)中，對資源屬性和功能的詳細(xì)描述顯得尤為重要。為此，WSDM采用了專門的Web標(biāo)準(zhǔn)(如WS-Resource)對資源相關(guān)信息進(jìn)行定義。

(2)實現(xiàn)分離。由于采用與實現(xiàn)操作無關(guān)的WSDL語言定義接口，使得接口與服務(wù)實現(xiàn)了分離，所以無論Web服務(wù)其內(nèi)在實現(xiàn)細(xì)節(jié)如何改變都不會對客戶端的操作方式有任何影響。這樣做不但較好地封裝了管理方法的實現(xiàn)細(xì)節(jié)，而且實現(xiàn)了對已有資源的重用。

(3)服務(wù)的可組合性。WSDM能隨著應(yīng)用環(huán)境規(guī)模的變化而變化，首先，WSDM標(biāo)準(zhǔn)的自身實現(xiàn)只需定義較少的屬性和操作，使得其在小規(guī)模的系統(tǒng)中可以得到穩(wěn)定的應(yīng)用：其次，對于大規(guī)模應(yīng)用環(huán)境而言，WSDM可以隨著應(yīng)用需求的變化靈活地添加某些服務(wù)。從而在使用者和部署人員之間起很好的協(xié)調(diào)作用。

(4)模型的兼容性。主要表現(xiàn)在WSDM能描述和封裝任何資源模型(如cIM、SM-NP、SID等)，并為其提供相應(yīng)的Web服務(wù)接口。

2　系統(tǒng)設(shè)計方案

網(wǎng)絡(luò)流量采集使用了三種技術(shù)：

(1)基于網(wǎng)管設(shè)備MIB的SNMP模式；

(2)基于網(wǎng)絡(luò)探針技術(shù)的IP流量數(shù)據(jù)捕獲模式；

(3)基于NetFlow技術(shù)的數(shù)據(jù)流捕獲模式。

針對基于SNMP模式，實現(xiàn)基于WSDM的SNMP網(wǎng)關(guān)，通過該網(wǎng)關(guān)收集SNMP設(shè)備上的MIB信息；針對基于網(wǎng)絡(luò)探針技術(shù)模式，可實現(xiàn)基于WSDM的網(wǎng)絡(luò)探針服務(wù)；針對基于NetFlow技術(shù)模式，流量數(shù)據(jù)是通過NetFlow的主動式數(shù)據(jù)推送機(jī)制獲得的，網(wǎng)絡(luò)設(shè)備中的NetFlow是通過規(guī)范的報文格式將流量數(shù)據(jù)送往指定主機(jī)，WSDM服務(wù)提供了接收和傳輸NetFlow流量數(shù)據(jù)的功能。

2.1　系統(tǒng)架構(gòu)

流量監(jiān)測系統(tǒng)結(jié)構(gòu)可劃分為三個層次，即資源層、管理服務(wù)層、展示層，如圖2所示。

(1)資源層

資源層由提供流量采集服務(wù)的分布式流量采集器(WSDM Agent)組成，它們通過調(diào)用管理服務(wù)層的WSDM Agent注冊服務(wù)實行自主注冊，具備向管理服務(wù)層主動匯報、自主管理和主動服務(wù)等功能。

(2)管理服務(wù)層

管理服務(wù)層包括應(yīng)用組件、服務(wù)組件、管理平臺以及數(shù)據(jù)庫。其中應(yīng)用組件是對展示層提供支持的各種

管理服務(wù)，包括策略管理模塊、WSDM Agent管理模塊、流量數(shù)據(jù)管理模塊以及流量分析模塊等系統(tǒng)功能實現(xiàn)的模塊。服務(wù)組件是對資源層的各種WSDMAgent資源的支持，包括安全審計、日志服務(wù)、異常服務(wù)、自主管理等，主要是管理服務(wù)器自主實現(xiàn)的一些功能。數(shù)據(jù)庫部分是應(yīng)用組件中各模塊對應(yīng)的數(shù)據(jù)存儲。中間層的管理平臺是管理服務(wù)層的核心，是對應(yīng)用組件、服務(wù)組件以及數(shù)據(jù)庫的支持，包括Web服務(wù)、WSDM服務(wù)的引擎和API等。

(3)展示層

展示層實現(xiàn)流量狀態(tài)顯示。可以從流量數(shù)據(jù)庫中取得所要查詢的網(wǎng)絡(luò)流量歷史信息，也可以調(diào)用管理服務(wù)層提供的服務(wù)觸發(fā)流量信息更新采集實時的流量數(shù)據(jù)，還可以通過服務(wù)將合法用戶的操作信息送到管理服務(wù)層。根據(jù)用戶需求采用圖形用戶界面將流量態(tài)勢分析的結(jié)果展示出來。可提供多種格式的流量報表。

2.2　流量分析系統(tǒng)設(shè)計

流量分析系統(tǒng)是整個流量監(jiān)測系統(tǒng)的核心。如圖3所示，該系統(tǒng)分為五個模塊：流量采集模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)傳輸模塊、流量分析模塊、數(shù)據(jù)存儲與管理模塊。對照流量監(jiān)測系統(tǒng)架構(gòu)，流量分析系統(tǒng)結(jié)構(gòu)中的這五個功能模塊分別位于總體架構(gòu)的各個層次。

篇（9）

0.引言

空管信息網(wǎng)絡(luò)承擔(dān)著包括OA系統(tǒng)、共享服務(wù)以及相關(guān)業(yè)務(wù)系統(tǒng)在內(nèi)的重要網(wǎng)絡(luò)業(yè)務(wù)，提供信息化的同時，給技術(shù)保障維護(hù)人員帶來一定的保障壓力。根據(jù)相關(guān)工作經(jīng)驗及實際實驗數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備端口流量異常是導(dǎo)致故障發(fā)生的重要原因，因此，對于網(wǎng)絡(luò)流量的監(jiān)控顯得更加重要。隨著空管信息化要求的逐日提高，網(wǎng)絡(luò)規(guī)模也日益變大，對于網(wǎng)絡(luò)流量監(jiān)控的工作也更加繁重。本文從空管網(wǎng)絡(luò)流量監(jiān)控的實際情況出發(fā)，提出一種基于C#的網(wǎng)絡(luò)流量監(jiān)控，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取、流量記錄與分析。系統(tǒng)在實際運行中效果良好，可以為相關(guān)網(wǎng)絡(luò)監(jiān)控設(shè)計提供一種可行的借鑒。

1.總體設(shè)計

SNMP即網(wǎng)絡(luò)管理協(xié)議（Simple Network Management），在TCP/IP協(xié)議族中可以對網(wǎng)絡(luò)進(jìn)行管理，這種管理既可以是本地的也可以是遠(yuǎn)程的。而基于SNMP網(wǎng)絡(luò)協(xié)議的本系統(tǒng)，可以實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的獲取與實時監(jiān)控的功能，實現(xiàn)上具有通用、實時、多線程、維護(hù)性強(qiáng)及擴(kuò)展性強(qiáng)的特點。實現(xiàn)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上任意節(jié)點的數(shù)據(jù)獲取。加之記錄功能的輔助，系統(tǒng)能實現(xiàn)在應(yīng)用層的數(shù)據(jù)回放，以滿足空管安全事件調(diào)查以及系統(tǒng)維護(hù)對歷史工作狀況的評估。

SNMP協(xié)議中，一個網(wǎng)管基站可以實現(xiàn)對所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備的監(jiān)控（隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，目前絕大部分網(wǎng)絡(luò)設(shè)備是可支持的），包括監(jiān)視網(wǎng)絡(luò)狀態(tài)、修改網(wǎng)絡(luò)配置、接收網(wǎng)絡(luò)事件告警等等網(wǎng)絡(luò)監(jiān)控功能。在實現(xiàn)上主要包括遠(yuǎn)程文件訪問、流量數(shù)據(jù)記錄、流量監(jiān)視以及系統(tǒng)的IP定位。其中流量監(jiān)視是系統(tǒng)實現(xiàn)的核心，將在下一部分進(jìn)行介紹。另外，系統(tǒng)還提供了日志文件記錄實現(xiàn)對系統(tǒng)操作、監(jiān)控數(shù)據(jù)以及告警信息的記錄。

2.C#的實現(xiàn)

對于系統(tǒng)的C#實現(xiàn)，主要采用的C/S模式，因此在系統(tǒng)的實現(xiàn)上盡量簡單、快捷、高效為主。因此自定義相關(guān)函數(shù)與類，在記錄數(shù)據(jù)和日志方面采用文本文件記錄。

2.1網(wǎng)絡(luò)監(jiān)控類與網(wǎng)絡(luò)適配類的設(shè)計

為了提高系統(tǒng)的模塊化程度及軟件的封裝性，系統(tǒng)在實現(xiàn)過程中定義了兩個主要的類。分別是用于網(wǎng)絡(luò)監(jiān)控的NetWorkMonitorClass以及網(wǎng)絡(luò)適配類NetWorkMatch，網(wǎng)絡(luò)監(jiān)控類主要實現(xiàn)系統(tǒng)的網(wǎng)絡(luò)監(jiān)控功能，而網(wǎng)絡(luò)適配類則提供了一個安裝在計算機(jī)上的網(wǎng)絡(luò)適配器，該類可用于獲取網(wǎng)絡(luò)中的流量。兩者功能及結(jié)構(gòu)如下：

在實際工作中網(wǎng)絡(luò)監(jiān)控類NetWorkMonitorClass通過定義一個Timer計時器進(jìn)行計時器時間執(zhí)行，以每隔2S刷新適配器，并與此同時刷新上傳下載速度。與此同時通過ArryList列表定義了所監(jiān)控設(shè)備的適配器以及當(dāng)前控制的適配器。在構(gòu)造函數(shù)NetWorkMonitorClass（）中則通過，定義兩個ArrayList（），其中一個（adapterlist）來保存獲取到的計算機(jī)的適配器列表，一個（monitoradapters）代表有效的運行的適配器列表。

NetAdapterShow （）；

Timer = new System.Timers.Timer（2000）；

Timer.Elapsed += new ElapsedEventHandler（timer_ElapsedClick）；

其中，NetAdapterShow （）為列舉出安裝在該計算機(jī)上面的適配器，具體實現(xiàn)可以通過C#的foreach（）語句進(jìn)行編寫如下：

PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory（"Network Interface"）；

foreach （string InstanceName in PCCCategory.GetInstanceNames（））

{

if （InstanceName == "MS TCP Loopback interface"）

continue；

// 創(chuàng)建一個實例Net workAdapter類別，并創(chuàng)建性能計數(shù)器它

MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch

Class（InstanceName）；myMNWMadapter.m_Performance_Down=new PerformanceCounter（"Network Interface"， "Bytes Received/sec"， InstanceName）；

myMNWMadapter.m_Performance_Up=newPerformanceCounter（"Network Interface"， "Bytes Sent/sec"， InstanceName）；

m_AdaptersList.Add（myMNWMadapter）；

}

當(dāng)然，在類中也定義了StartWorking以及StopWorking等控制函數(shù)對類的工作狀態(tài)進(jìn)行控制。另外timer事件也通過構(gòu)造函數(shù)進(jìn)行加入，如上所述。

網(wǎng)絡(luò)適配類NetWorkMatch則主要計算網(wǎng)絡(luò)的各種數(shù)據(jù)，如計算上傳速度、下載速度、控制適配器等函數(shù)的封裝，減少網(wǎng)絡(luò)監(jiān)控類的功能耦合度。

2.2具體實現(xiàn)

在窗體加載函數(shù)中，系統(tǒng)首先做自我初始化如下：首先定義上述設(shè)計的網(wǎng)絡(luò)監(jiān)控類，并實例化monitor = new NetWorkMonitorClass（）；與此同時通過類函數(shù)遍歷獲取所有計算機(jī)適配列表，m_MNWMadapters = monitor.Adapters； ，Adapters（）為網(wǎng)絡(luò)監(jiān)控類封裝好的函數(shù)。并將函數(shù)返回結(jié)果通過Items.AddRange（）函數(shù)將其顯示在listbox控件中，以實現(xiàn)友好的人機(jī)交互界面。其次，在timer定時器中對選中監(jiān)控的適配器進(jìn)行獨立監(jiān)控。至此，系統(tǒng)實現(xiàn)了獨立監(jiān)控與全面監(jiān)控的所有設(shè)計。

3.結(jié)語

本文提出一種基于SNMP協(xié)議分析的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，該系統(tǒng)應(yīng)用于空管信息網(wǎng)絡(luò)。在實現(xiàn)過程，主要采用C#進(jìn)行開發(fā)，通過編寫自我的網(wǎng)絡(luò)監(jiān)控類和網(wǎng)絡(luò)適配類進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)控，可以推廣應(yīng)用于信息網(wǎng)絡(luò)維護(hù)工作較為繁重的行業(yè)，提供一種智能網(wǎng)絡(luò)流量監(jiān)控手段。

【參考文獻(xiàn)】

[1]宮婧，孫知信，陳二運.一種基于流量行為分析的P2P流媒體識別方法[J].計算機(jī)技術(shù)與發(fā)展，2009（09）.

篇（10）

網(wǎng)絡(luò)流量性能測量和分析涉及許多關(guān)鍵技術(shù)，如單向測量中的時鐘同步新問題，主動測量和被動測量的抽樣算法探究，多種測量工具之間的協(xié)同工作，網(wǎng)絡(luò)測量體系結(jié)構(gòu)的搭建，性能指標(biāo)的量化，性能指標(biāo)的模型化分析，對網(wǎng)絡(luò)未來狀態(tài)進(jìn)行趨向猜測，對海量測量數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘或者利用已有的模型（petri網(wǎng)、自相似性、排隊論）探究其自相似特征，測量和分析結(jié)果的可視化，以及由測量所引起的平安性新問題等等。

1.在IP網(wǎng)絡(luò)中采用網(wǎng)絡(luò)性能監(jiān)測技術(shù)，可以實現(xiàn)

1.1合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)性能

為更好的管理和改善網(wǎng)絡(luò)的運行，網(wǎng)絡(luò)管理者需要知道其網(wǎng)絡(luò)的流量情況和盡量多的流量信息。通過對網(wǎng)絡(luò)流量的監(jiān)測、數(shù)據(jù)采集和分析，給出具體的鏈路和節(jié)點流量分析報告，獲得流量分布和流向分布、報文特性和協(xié)議分布特性，為網(wǎng)絡(luò)規(guī)劃、路由策略、資源和容量升級提供依據(jù)。

1.2基于流量的計費

現(xiàn)在lSP對網(wǎng)絡(luò)用戶提供服務(wù)絕大多數(shù)還是采用固定租費的形式，這對一般用戶和ISP來說，都不是一個好的選擇。采用這一形式的很大原因就是網(wǎng)絡(luò)提供者不能夠統(tǒng)計全部用戶的準(zhǔn)確流量情況。這就需要有方便的手段對用戶的流量進(jìn)行檢測。通過對用戶上網(wǎng)時長、上網(wǎng)流量、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站數(shù)據(jù)分析，擺脫目前單一的包月制，實現(xiàn)基于時間段、帶寬、應(yīng)用、服務(wù)質(zhì)量等更加靈活的交費標(biāo)準(zhǔn)。

1.3網(wǎng)絡(luò)應(yīng)用狀況監(jiān)測和分析

了解網(wǎng)絡(luò)的應(yīng)用狀況，對探究者和網(wǎng)絡(luò)提供者都很重要。通過網(wǎng)絡(luò)應(yīng)用監(jiān)測，可以了解網(wǎng)絡(luò)上各種協(xié)議的使用情況（如www，pop3，ftp，rtp等協(xié)議），以及網(wǎng)絡(luò)應(yīng)用的使用情況，探究者可以據(jù)此探究新的協(xié)議和應(yīng)用，網(wǎng)絡(luò)提供者也可以據(jù)此更好的規(guī)劃網(wǎng)絡(luò)。

1.4實時監(jiān)測網(wǎng)絡(luò)狀況

針對網(wǎng)絡(luò)流量變化的突發(fā)性特性，通過實時監(jiān)測網(wǎng)絡(luò)狀況，能實時獲得網(wǎng)絡(luò)的當(dāng)前運行狀況，減輕維護(hù)人員的工作負(fù)擔(dān)。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時發(fā)出自動告警，在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和猜測。現(xiàn)在隨著Internet網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)絡(luò)中也經(jīng)常會出現(xiàn)黑客攻擊、病毒泛濫的情況。而這些網(wǎng)絡(luò)突發(fā)事件從設(shè)備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)，經(jīng)常讓網(wǎng)絡(luò)管理員感到棘手。因此，針對網(wǎng)絡(luò)中突發(fā)性的異常流量分析將有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)和解決新問題。

1.5網(wǎng)絡(luò)用戶行為監(jiān)測和分析

這對于網(wǎng)絡(luò)提供者來說非常重要，通過監(jiān)測訪問網(wǎng)絡(luò)的用戶的行為，可以了解到摘要：

1）某一段時間有多少用戶在訪問我的網(wǎng)絡(luò)。

2）訪問我的網(wǎng)絡(luò)最多的用戶是哪些。

3）這些用戶停留了多長時間。

4）他們來自什么地方。

5）他們到過我的網(wǎng)絡(luò)的哪些部分。

通過這些信息，網(wǎng)絡(luò)提供者可以更好的為用戶提供服務(wù)，從而也獲得更大的收益。

2.網(wǎng)絡(luò)流量測量有5個要素摘要：

測量時間、測量對象、測量目的、測量位置和測量方法。網(wǎng)絡(luò)流量的測量實體，即性能指標(biāo)主要包括以下幾項。2.1連接性

連接性也稱可用性、連通性或可達(dá)性，嚴(yán)格說應(yīng)該是網(wǎng)絡(luò)的基本能力或?qū)傩裕荒芊Q為性能，但I(xiàn)TU-T建議可以用一些方法進(jìn)行定量的測量。

2.2延遲

對于單向延遲測量要求時鐘嚴(yán)格同步，這在實際的測量中很難做到，許多測量方案都采用往返延遲，以避開時鐘同步新問題。

2.3丟包率

為了評估網(wǎng)絡(luò)的丟包率，一般采用直接發(fā)送測量包來進(jìn)行測量。目前評估網(wǎng)絡(luò)丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等。

2.4帶寬

帶寬一股分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒有其他背景流量時，網(wǎng)絡(luò)能夠提供的最大的吞吐量。

2.5流量參數(shù)

ITU－T提出兩種流量參數(shù)作為參考摘要：一種是以一段時間間隔內(nèi)在測量點上觀測到的所有傳輸成功的IP包數(shù)量除以時間間隔，即包吞吐量；另一種是基于字節(jié)吞吐量摘要：用傳輸成功的IP包中總字節(jié)數(shù)除以時間間隔。

3.測量方法

Internet流量數(shù)據(jù)有三種形式摘要：被動數(shù)據(jù)（指定鏈路數(shù)據(jù)）、主動數(shù)據(jù)（端至端數(shù)據(jù)）和BGP路由數(shù)據(jù)，由此涉及兩種測量方法摘要：被動測量方法和主動測量方法然而，近幾年來，主動測量技術(shù)被網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)探究人員用來分析指定網(wǎng)絡(luò)路徑的流量行為。

3.1主動測量

主動測量的方法是指主動發(fā)送數(shù)據(jù)包去探測被測量的對象。以被測對象的響應(yīng)作為性能評分的結(jié)果來分析。測量者一般采用模擬現(xiàn)實的流量（如WebServer的請求、FTP下載、DNS反應(yīng)時間等）來測量一個應(yīng)用的性能或者網(wǎng)絡(luò)的性能。由于測量點一般都靠近終究端，所以這種方法能夠代表從監(jiān)測者的角度反映的性能。

3.2被動測量

被動測量是在網(wǎng)絡(luò)中的一點收集流量信息，如使用路由器或交換機(jī)收渠數(shù)據(jù)或者一個獨立的設(shè)備被動地監(jiān)測網(wǎng)絡(luò)鏈路的流量。被動測量可以完全取消附加流量和Heisenberg效應(yīng)，這些優(yōu)點使人們更愿意使用被動測量技術(shù)。有些測度使用被動測量獲得相當(dāng)困難摘要：如決定分縮手縮腳一所經(jīng)過的路由。但被動測量的優(yōu)點使得決定測量之前應(yīng)該首先考慮被動測量。被動測量技術(shù)碰到的另一個重要新問題是目前提出的要求確保隱私和平安新問題。

3.3網(wǎng)絡(luò)流量抽樣測量技術(shù)

篇（11）

流量統(tǒng)計和分析是網(wǎng)絡(luò)管理中的一個重要內(nèi)容，它不但可以及時發(fā)現(xiàn)網(wǎng)絡(luò)流量的過載，攻擊等異常情況，還可以對正常流量進(jìn)行分析，幫助網(wǎng)絡(luò)管理者了解各種級別的用戶對于網(wǎng)絡(luò)的使用情況，為采用合適的商業(yè)模式提供決策依據(jù)。

流量透明化的現(xiàn)狀分析

隨著校園網(wǎng)的規(guī)模越來越大，IT服務(wù)的完善，網(wǎng)絡(luò)管理者也會提出以下問題。

一、當(dāng)前的上網(wǎng)流量占用多大帶寬?這些帶寬主要誰在占用?這些占用是允許的嗎?在WWW訪問之外，是不是有大量的FTP等下載?是允許的嗎?

二、DMZ區(qū)的服務(wù)器有多少是內(nèi)網(wǎng)用戶在訪問，有多少是外網(wǎng)用戶在訪問?如果是內(nèi)網(wǎng)用戶訪問多，是不是考慮將其遷移到服務(wù)器區(qū)?外網(wǎng)用戶的訪問有時間規(guī)律嗎?

三、外聯(lián)的服務(wù)器是提供特定用戶訪問嗎?哪個訪問流量最大?最大流量占用的用戶是合法的嗎?服務(wù)器是否該擴(kuò)容了?有非法用戶訪問這些服務(wù)器嗎?

四、這些關(guān)鍵的業(yè)務(wù)服務(wù)器的帶寬夠用嗎?是不是考慮一臺服務(wù)器提供多個業(yè)務(wù)服務(wù)或多臺服務(wù)器提供一個業(yè)務(wù)服務(wù)?除生產(chǎn)業(yè)務(wù)外，這些服務(wù)器是不是還提供其它無關(guān)的業(yè)務(wù)，導(dǎo)致影響性能?誰訪問這些服務(wù)器更多一些?這些服務(wù)器哪個時間段最繁忙?

五、教職工和學(xué)生用于的流量分別有多大?用于上網(wǎng)的流量有多大?誰更多地使用互聯(lián)網(wǎng)?是必要的嗎?誰占用的網(wǎng)絡(luò)帶寬最大?這些占用是必要的嗎?哪個用戶在非法掃描網(wǎng)絡(luò)?是否有用戶提供非法的下載(WWW／FTP)服務(wù)?

要解決這些流量問題，不是一件容易的事情，常規(guī)的方法有以下幾種。

其中一種是網(wǎng)管方式。網(wǎng)管方式通過啟動SNMP來獲取流量信息。但SNMP只能獲取流量的字節(jié)數(shù)，無法獲取字節(jié)的構(gòu)成，更無法獲取流量的發(fā)起方。該方法可解決流量的分布問題，無法解決流量的構(gòu)成問題。該方式主要用于設(shè)備的管理，而不適用于精細(xì)的流量分析。

另外一種是數(shù)據(jù)包監(jiān)聽方式。該方法是將關(guān)注的流量串聯(lián)到或鏡像到分析儀器；通過分析儀器來獲取流量的構(gòu)成和細(xì)節(jié)。該方法可做到流量的精細(xì)化分析，做到2～7層的流量分析，但缺點也很明顯，只有在部署分析儀器的地方進(jìn)行流量分析，如果做到全網(wǎng)多節(jié)點流量監(jiān)控，必須部署多個分析儀器，導(dǎo)致部署成本急劇上升。該

方式可很好解決流量的構(gòu)成問題，但幾乎無法解決流量的分布問題。該方式適用于對少量關(guān)鍵點的監(jiān)控，不適合大規(guī)模日常使用。

最后一種是基于流技術(shù)的方式。該方式是讓網(wǎng)絡(luò)設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)流量的同時，生成特定的流量信息，然后將流量信息發(fā)送到特定的分析模塊，進(jìn)而實現(xiàn)對流量的分析。理想情況下，如果讓網(wǎng)絡(luò)中的每臺網(wǎng)絡(luò)設(shè)備均發(fā)出流量信息，那么就可以輕松解決流量的分布問題，同時解決流量的構(gòu)成問題。缺點是各廠商提供的流分析技術(shù)都是私有技術(shù)無法通用。

網(wǎng)管方式無法進(jìn)行流量構(gòu)成分析，不再討論。由于分析儀器的昂貴，監(jiān)聽方式不適用于大規(guī)模部署，而且分析到7層應(yīng)用后，容易使用戶隱私受到侵犯。而流技術(shù)的分析方式功能均衡而強(qiáng)大，對流量的分析只到業(yè)務(wù)字節(jié)，不涉及應(yīng)用級，無隱私顧慮。

流技術(shù)方式更適合網(wǎng)絡(luò)流量分析。但由于各廠商之間流技術(shù)方式大多采用的是廠商的私有協(xié)議，就導(dǎo)致了不同廠商設(shè)備在組網(wǎng)后流技術(shù)方式不兼容的問題。正是由于這個原因國際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX(IP Information flowExport)應(yīng)運而生。

校園網(wǎng)流量透明化管理

我校在進(jìn)行流量透明化管理之前，整個網(wǎng)絡(luò)接入用戶的類型比較復(fù)雜，本來就不富裕的網(wǎng)絡(luò)流量常被消

耗殆盡。在經(jīng)過幾次互聯(lián)網(wǎng)出口和校園網(wǎng)骨干帶寬進(jìn)行擴(kuò)容后，情況仍得不到解決，為了搞清楚這些流量都被哪些用戶和哪些應(yīng)用占用了，我們引進(jìn)了銳捷網(wǎng)絡(luò)的校園網(wǎng)解決方案，根據(jù)國際化流量監(jiān)控標(biāo)準(zhǔn)技術(shù)IPFIX來對校園網(wǎng)的流量使用情況進(jìn)行審計和評估。

網(wǎng)絡(luò)透明化解決方案包括流量采樣設(shè)備、流量采集設(shè)備、數(shù)據(jù)分析處理設(shè)備(如圖1)。利用IPFIX日志，網(wǎng)絡(luò)透明化解決方案提供了一種網(wǎng)絡(luò)監(jiān)測、分析的方式，直接從支持IPFIX功能的路由器和交換機(jī)中收集流量信息，可以靈活啟動不同層面(接人層、匯聚層、核心層)的網(wǎng)絡(luò)設(shè)備進(jìn)行IPFIX流量日志收集，并將收集的內(nèi)容以IPFIX格式的日志輸出給Collerctor設(shè)備分析。管理員使用Analyser的分析功能，可做網(wǎng)絡(luò)使用狀況監(jiān)控、用戶行為追蹤、異常流量檢測等，同時基于功能豐富的報表，可做網(wǎng)絡(luò)規(guī)劃方面的決策。(如圖3)

主要實現(xiàn)了以下功能。首先是網(wǎng)絡(luò)得到優(yōu)化。可以使網(wǎng)絡(luò)管理員及時掌握網(wǎng)絡(luò)負(fù)載狀況，網(wǎng)內(nèi)應(yīng)用資源使用情況，對核心網(wǎng)絡(luò)的重點鏈路進(jìn)行統(tǒng)計，各類TOP應(yīng)用百分比，使用各類應(yīng)用的網(wǎng)內(nèi)用戶、服務(wù)器的流量趨勢

及統(tǒng)計值，迅速發(fā)現(xiàn)網(wǎng)絡(luò)當(dāng)前的使用狀況和不同鏈路的使用率變化趨勢，盡早發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)的不合理或網(wǎng)絡(luò)性能瓶頸，盡快作出網(wǎng)絡(luò)優(yōu)化方面的決斷，最終實現(xiàn)網(wǎng)絡(luò)的優(yōu)化使用。

其次是網(wǎng)絡(luò)規(guī)劃參考方面。利用IPFIX流日志以及網(wǎng)絡(luò)透明化長期監(jiān)控網(wǎng)絡(luò)帶寬而形成的各類趨勢報表，如基于設(shè)備接口的長期流量入出趨勢，長期流量入出趨勢分析，各類應(yīng)用百分比，有助于網(wǎng)絡(luò)管理員跟蹤和預(yù)測網(wǎng)絡(luò)鏈路流量的增長，從而能有效的規(guī)劃網(wǎng)絡(luò)升級。

第三是網(wǎng)絡(luò)流量異常監(jiān)測方面。利用網(wǎng)絡(luò)透明化解決方案提供的某段時間內(nèi)的流量、應(yīng)用趨勢分析，可非常直觀的看到網(wǎng)絡(luò)流量是否有突然增長或突然下降的現(xiàn)象，并進(jìn)一步分析出是哪些用戶產(chǎn)生了最多的流量、使用了哪些應(yīng)用以至于網(wǎng)絡(luò)運轉(zhuǎn)出現(xiàn)性能問題。