網絡流量分析的方法大全11篇
時間:2023-06-05 15:19:20緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇網絡流量分析的方法范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
1 多媒體流量分析的基礎
多媒體在應用層面對于用戶的強大支持,映射到其數據層面,必然是不容忽視的大量不同數據格式。而在這樣的環境之下,想要展開有效的網絡流量分析,實現對于通信資源的優化利用,首先必須展開對于多媒體報文的有效分類。每一個報文都會在這個過程中被分類到對應的類型,而后進一步依據運營商制定的傳輸優先策略對其展開傳輸處理。
多媒體流分類問題可抽象成從多媒體報文映射到流類型的過程,多媒體報文流經流分類器,即展開對于其的辨別并且添加相關的類型標識,通常會將該標志寫入報文頭部字段中,便于后續識別和處理。在識別的過程中,可供識別多媒體流的方法主要有三種,即基于報文頭部信息的分類方法、基于數據包載荷內容的分類方法以及基于流量統計模型的分類方法。其中基于報文頭部信息的分類方法,即依據報頭中的多元組信息展開工作,將其與預先定義的規則集進行比對匹配,并且確定出媒體流的對應分類進行標識。此種工作方式相對簡單,因此發展也趨于成熟,效率較高,但是在識別過程中由于多媒體應用使用的端口通常并不固定,因此針對而言準確率比較有限。而基于數據包載荷內容的分類方法則面向報文載荷信息展開識別和工作,進一步又可以針對應用層協議展開解析或針對載荷內容展開特征解析。此種識別方式工作準確率基本有所保證,但是對于某些私有協議以及加密數據流,會因為無法有效提取特征信息而導致識別失敗。最后,基于流量統計模型的分類方法主要是關注多媒體流量特征,通過流量來判斷多媒體數據的傳輸行為模式,諸如數據包的大小以及包與包之間的間隔時間等方面特征。此種方式能夠實現系統的自主學習,但是會存在一定的分類延時。
2 網絡流量分析技術淺議
對多媒體進行標識之后,可以在網絡環境中展開更為有效的網絡流量分析。已經被標記的信息流在傳輸過程中能夠表現出不同的對于資源的占用,以此作為依據展開更具有針對性的網絡流量分析,對于整體網絡數據傳輸資源和功能的優化都必然有著積極價值。
隨著計算機技術的不斷成熟,網絡流量分析技術也呈現出不斷發展的特征。當前的流量分析技術,主要是在傳統的數據庫技術基礎之上,以一種開放的態度構建起支持自學習的網絡流量分析系統,從而實現整個體系的智能化。就目前的狀況看,常見的幾種流量分析技術有以下幾種。小學德育論文
1)SNMP技術。此種技術主要用于實現面向網絡環境中多種類型設備展開監控和管理,并且對既有問題進行定位。該技術系統包括SNMP協議、管理信息結構以及管理信息庫三個部分構成,其中SNMP協議用于實現在應用程序和設備時間交換信息,而管理信息結構用于指定一個設備維護的管理信息的規則集,最后管理信息庫用于明確設備所維護的全部被管理對象的結構集合。
2)RMON技術。該項技術由IETF定義,本身是對于SNMP技術的一種深入。其對于標準功能以及網管站遠程監控器之間的接口進行了重新定義,使得其能夠實現更為順暢的數據交換,從而有助于展開對于網絡環境數據流量的更為有效監視。在RMON系統中,當探測器發現了一個非正常態的網絡段之后,會主動與網絡維護管理控制臺接通聯絡,并將對應的網絡信息進行發送,實現對于整體網絡流量的監控和分析。
3)SFlow技術。此種技術以隨機采樣作為主要的研究方式,并且能夠提供從第二層到第四層的相對完整的網絡流量分析信息,這種分析甚至可以擴展到整個網絡環境中,能夠實現面向大數據流量的適應,尤其是在面向以流媒體作為主要流量資源占用的網絡環境時,仍然能夠保持穩定的表現。此種技術成本較低且不會因為引入其技術為網絡環境帶來新的沖突,同時數據信息量大,能夠實現更為完善的網絡分析。
4)NetFlow技術。此種技術主要用于實現網絡層高性能交換,首先被用于對網絡設備的數據交換進行加速。但是其核心是對于流緩存進行進一步的整理,因此在工作的過程中必然會能夠得到很多依據匯聚方法而統計的數據,其中包括諸如源IP、目的IP以及源端口和目的端口以及相關傳輸協議與包數量等,這些信息和統計數據對于深入展開網絡流量分析有著不容忽視的積極價值。
3 結論
在多媒體應用的網絡環境中,深入可靠的網絡流量分析系統,對于切實提升網絡自身的數據傳輸能力,為多媒體用戶提供更為穩定的數據傳輸服務有著積極價值。實際工作中唯有不斷深入發現自身網絡環境特征,才能有的放矢展開有效的流量分析,實現網絡環境優化。
篇(2)
隨著網絡技術的不斷發展及網絡應用的不斷推廣,校園網規模日益擴大且網結構與應用日趨復雜,如何對校園網進行全面有效的監控是目前網絡管理面臨的巨大挑戰,這給校園網網絡監控技術帶來了廣闊的研究領域,網絡監控技術的核心技術就是對網絡中的流量進行即時準確的分析,本文首先對常用的流量分析技術進行簡單的介紹。又重點介紹了sFlow技術,針對sFlow的特點,在校園網中部署了一個基于sFlow技術與Juniper網絡設備的網絡監控系統,并對系統如何實現網絡監控進行了描述,此系統可實時有效的對校園網流量進行分析,對校園網管理有很大的實用價值。
1流量分析技術介紹
當前能對網絡的流量進行分析的類型主要有以下兩種:
1.1點接觸型流量分析
點接觸型流量分析技術的原理為:在網絡中的某個接入點上,利用探針檢測該接入點的每個pack-age,所利用的方法為逐個包拆分,并在檢測的同時完成統計。點接觸型流量分析的優點為:此技術中流量的采集只依賴于探針的包處理機制,與網絡中使用何種類型的交換機沒有關聯;由于本技術采用逐個包拆分的方法,所以可自主制定策略來滿足用戶的需求。缺點為:接入點的個數有限,只能對有限的點進行數據的采集,如果想在網絡的所有關鍵點布置接入點,成本較大;在關鍵接入點串入網絡流量采集設備,會增加網絡的故障點。采用點接觸型流量分析的代表設備為:IDS,FLUKE測試等。
1.2面接觸型流量分析
面接觸型流量分析技術的原理:利用交換機固有的流量采集來完成報文中關鍵信息的統計工作[1]。面接觸型流量分析的優點為:此技術不同于點接觸型流量分析,無需在網絡的關鍵接入點上布置探針,只需要布置一臺交換機設備用以流量采集統計,即可采集分析核心層流量,并不影響整個網絡的性能;此技術可在網絡的任一點上采集整個網絡的流量;整個校園網中,只需布置一套監控系統,成本低。缺點為:此技術采集的數據只局限于某種類型的package的采樣值,而不是包的全部,相較于點接觸型流量分析來說,采集的數據較少。采用面接觸型流量分析的代表設備為:NET-FLOW監控,sFlow監控等。當前CERNET校園網都是萬兆核心層網絡平臺,根據前面對兩種流量分析技術的介紹可知,相較于點接觸型流量分析技術,面接觸型在采集與分析如此巨大網絡流量時,有顯而易見不比擬的優勢。本文采用當前較主流的sFlow監控系統完成校園網網絡流量的采集與監控。
2sFlow技術應用
2.1sFlow技術介紹
sFlow,是由InMon公司于2001年提出的一種基于“統計采樣”的網絡流量監測技術[2],以RFC3176[3]文件的形式進行了。sFlow通過對校園網中網絡設備處理的package進行采集來獲取網絡中流量的信息,之后把采集后的數據包發送給流量分析服務器進行分析,讓用戶詳盡與實時地知道網絡的性能與安全等問題[4]。目前,僅有Foundry和JuniperNetworks等廠商的部分型號的交換機支持sFlow。sFlow的主要優勢在于:進行整個網絡監視成本更低;擁有的“一直在線技術”能夠對網絡流量進行實時采集與分析能力;嵌入到ASIC中的強勁技術;全網的視圖都是可看見的;采樣的速率是可以自主配置的;整個網絡的交換性能不受影響;網絡帶寬基本不受影響;包頭的信息是完整的;第二到七層的詳細信息是完整的并且支持多種協議。
2.2實現原理
sFlow的網絡流量監測實現一般由兩部分構成:sFlow(Agent)和sFlow流量采集器(Collector)[2]。sFlow系統的基本原理為:分布在校園網的sFlow把sFlow報文發送到Collector。
2.3sFlow技術
在校園網中的布署本文以Juniper交換機和PRTG軟件為例部署系統。首先在校園網絡的各個層級交換機(Agent)啟用sFlow,通過收集設備上相關端口的流量轉況并實時將整個校園網絡的流量發送到服務器端(Collector)。服務器端部署PRTG軟件,由PRTG分析軟件來對從交換機收到的數據包進行全面、實時、豐富的流量及統計分析。
3結語
要實現對網絡全面、實時的監控分析必須依靠先進有效的網絡監控協議和技術來滿足業務日益增長的需求。sFlow網絡技術的出現可以很大程度滿足當前及未來幾年校園網絡發展規模,為我們網絡管理員的日常巡檢維護帶來了極大的方便,也為保障校園網絡的安全、穩定、高效運行提供了很好的依據。
參考文獻
篇(3)
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)02-0160-02
1、引言
隨著信息化建設的高速發展,校園網作為數字信息的基本載體在數字校園的建設中具有非常重要的作用。但是,由于各種網絡應用的不斷涌現,消耗了大量網絡帶寬,導致網絡擁堵、性能降低,干擾了教學科研等關鍵業務的正常運行。為了優化網絡環境,保證數字校園的正常運行,我們有必要對網絡流量進行深入的分析與研究,對占用大量網絡帶寬的流量、環節采取針對性的手段進行調整與控制,保障數字校園高效穩定安全的運行。
2、流量分析的常用方法
網絡流量分析指通過捕獲網絡流量數據對其進行深入量測和分析,來掌握網絡的流量特性,例如某種協議、應用服務的使用情況或者某些用戶的行為特征等,為精細化流量控制提供數據依據。目前采用的網絡流量分析方法按照分析的對象有:
2.1 基于地理位置的分析
基于地理位置的分析是通過獲取已知位置、用戶群的相關網絡設備的運行情況來進行分析。常見的是使用簡單網絡管理協議(SNMP)來實現信息獲取,這種方法優點在于需要的設備及人員較少,能夠獲得流量的相互關系。
2.2 基于數據包的分析
對數據包的分析一般可以分為:基于地址、端口的分析,基于特征碼的分析以及深度數據包檢測。
基于地址、端口的分析是通過識別IP、URL地址或者應用服務的特定端口來檢測分類的方法。但是隨著網絡技術的發展,越來越多的應用不再基于固定的地址、端口,使得這種方法的使用范圍不斷縮小。
基于特征碼的分析是通過檢測OSI模型中四層以下的內容中是否含有某些應用服務的特殊標示或使用的特定協議來對數據包進行分類的方法,是一種使用較多的分析方法。
深度數據包檢測(DPI)是一種對數據包深入到應用層協議檢測分析的方法。它通過逐包分析、模式匹配,并且使用行為模式識別等技術,可以對流量中的具體應用服務實現較為準確的識別,例如鑒別P2P數據應用,雖然它的分析速度較慢而且需要不斷的根據新的協議和新的應用來升級后臺應用數據庫,但仍不失為一種使用較為廣泛的方法。
2.3 基于流量行為的分析
目前較為常見的是深度流行為檢測(DFI),這是通過對數據流的數據包長度、數據流持續時間、鏈接狀態、網絡層傳輸層信息等參數來對其進行統計分析的檢測方法,速度快于深度數據包檢測方法,可以分析加密數據流,但僅能對數據進行模糊分類,例如將滿足P2P流量模型的應用統一識別為P2P流量,因為一般新型應用都是由某些舊應用發展而來,其流量特征變化較小,所以不需要頻繁升級流量模型數據庫就可以較為準確的分辨類別。
3、流量控制的常用方法
在對網絡流量進行深入分析了解數據構成后,就可以針對性的使用適當的方法來控制網絡流量,常用方法有“限”、“封”、“分級”:
(1)限:指對帶寬、連接數等設置門限,是流量控制中最常用的方法,一般有基于用戶的帶寬限制、基于服務的帶寬限制、基于時間段的帶寬限制以及基于并發連接數的限制等。
(2)封:也就是通過封堵特定應用、行為的IP地址、端口號的連接,來禁止使用的目的。但是隨著技術的發展,很多軟件可以自動協商通訊端口甚至可以使用80端口,所以在單獨使用時效果并不理想。
(3)分級:也就是劃分應用服務等級,讓關鍵應用獲得最高級優先權,讓重要應用獲得較高優先權,從而使網絡流量有序化。
4、校園網流量控制策略的實施
4.1 流控設備的部署
筆者所在學校是在外網防火墻和骨干網交換機之間部署銳捷ACE2000來實現內網至外網主干線路的流量控制。
ACE2000是銳捷專門針對國內市場定制和優化的流控設備,可以對網絡流量、用戶上網行為進行深入分析,為用戶提供網絡應用和流量趨勢報表,還運用深度包檢測(DPI)和深度流檢測(DFI)技術,能夠全面識別和控制各種應用,從而有效的檢測和防止某些應用對帶寬資源的非正常消耗,保證關鍵應用帶寬,保障整體網絡應用的服務質量。
4.2 流量分析
通過ACE2000對校園網出口流量監控分析發現在我校校園網內主要是P2P數據流泛濫,導致關鍵網絡應用延時較大、丟包較多。在工作時間以及晚上繁忙時段,P2P下載、P2P應用占據了超過80%的網絡帶寬,流出流量超過流入流量,在線會話數遠大于在線IP數,某些用戶數據流量異常。
4.3 管理策略
考慮到校園網需要滿足全校師生在日常辦公學習、實驗教學、網絡視頻教學以及業余時間休閑娛樂等方面的需求,根據長期流量分析數據,從以下四個方面制定控制策略:
(1)按IP段劃分:我校為辦公用戶、教學用戶、學生用戶、家屬用戶,分配了不同的IP段,根據各用戶群不同的功能定位來分配帶寬。
(2)按時間劃分:按節假日、工作日以及每天的高低峰時段分配帶寬。
(3)按應用設置優先級別:設定應用服務等級,優先保障關鍵應用、關鍵區域的網絡資源。
(4)智能分配帶寬:在各個參數允許范圍內,靈活分配最大帶寬,提高網絡帶寬利用率。
4.4 應用策略后的效果
在出口部署的銳捷ACE2000上應用策略后,出入口的流量下降近一半(如圖1),P2P下載、應用等也減少近半(如圖2),在線會話數減為原來的0.65%,基于校園網的辦公、教學、遠程等應用可以流暢使用。(如圖1圖2)
5、結語
通過對網絡流量的分析,結合各個方面的需求,制定了具有針對性的網絡策略,初步獲得了顯著的效果。但是還有不足之處,主要是各類型用戶帶寬限制值、并發連接數的合適點不容易找,智能帶寬分配的各個參數的合適值不容易找。因此需要我們對網絡流量進行長期研究、深入分析,不斷調整網絡管理策略,合理利用網絡帶寬,滿足各種用戶、應用的需求,確保網絡的通暢,營造一個良好的數字校園。
參考文獻
[1]林維鏘.中小型校園網流量的控制方法,武漢工程大學學報,2011(4):97-99.
篇(4)
DOIDOI:10.11907/rjdk.162346
中圖分類號:TP309
文獻標識碼:A 文章編號文章編號:16727800(2016)011018402
0 引言
異常流量相對于平穩的網絡流量有著顯著變化,它來自于網絡中的擁塞和路由器上的資源過載。網絡運營商必須及時準確地檢測異常流量,否則網絡無法有效、可靠地運行[1]。研究人員采用了各種分析技術,從基于體積分布的分析到基于網絡流量分布的分析來研究流量異常檢測。而最近研究表明,基于熵的異常檢測具有更好的效果。該方法是在流量分布中捕捉細粒度的模式,使用熵來跟蹤流量分布的變化具有兩方面優勢:①利用熵可以提高檢測靈敏度,異常事件的發生可能未表現出存儲量異常;②使用流量特征可以診斷信息異常事件的性質(如區分蠕蟲、DDoS攻擊或掃描)[2]。
一般而言,大多數研究者認為Flow頭的功能(如IP地址、端口和流量大小)可作為基于熵的異常檢測的備用選擇[3]。然而,端口和地址分布的兩兩相關性大于0.95,異常檢測到的端口和地址分布明顯重疊,這是產生深層流量模式的本質原因。此外,異常掃描、DoS和P2P事件都不能通過端口和地址分布進行精確檢測,或只有在顯著的網絡流量異常事件發生時才能檢測出異常。考慮到端口和地址分布的有限作用,應選擇流量分布作為基于熵的異常檢測指標。
本文提出一種利用度分布提高端口和地址分布檢測能力的異常檢測機制。使用入度和出度分布來估算每個主機通信的目的/源IP地址,對于每個入度值(出度值),通過計算熵來診斷異常。其中,選擇目的/源IP地址作為唯一備用指標,而不是兩個地址和端口,不需要使用具有相同底層屬性的不同分布來增加計算開銷。同時,為了捕捉動態網絡流量的本質,引入了一個固定時間寬度的滑動窗口機制。
1 相關研究
網絡流量的異常檢測是保證網絡正常有效運行的重要手段。網絡流量異常檢測技術自提出以來,經過多年發展,誕生了多種檢測方法,但這些方法通常都存在一定缺陷。因此,如何進一步提高檢測準確性、減少誤報率仍然是國內外學者的研究熱點。其中,許多方法都集中在使用流量分布來診斷異常,如Thottan[4]使用單獨的MIB變量的統計分布來檢測網絡流量的突然變化。在各種異常統計檢測技術中,基于熵的方法已被證明在檢測異常的流量矩陣時間序列中的準確性和效率。張航等[5]利用最大值和相對熵建立了一種基于行為的異常檢測方法。以最大熵為基礎的基線分布由預先標記的訓練數據構成,但該基線適應網絡流量動態變化的機制仍然不清楚。本文提出一個機制,根據動態網絡流量在測量期間的變化來構建自適應基線,并調整基線在一個特定的時間跨度內。
在線檢測異常受大流量數據的實時統計影響。吳靜等[6]采用五元組流分布(即源地址、目的地址、源端口、目的端口、協議)進行流量分析,導致內存和處理能力的高開銷。一些網絡入侵檢測系統,如FlowMatrix與Snort匹配數據包到一個預定義的規則集,使它們無法檢測未知異常[7]。本文認為地址和端口具有高相關性,并使用地址作為獨特的度量來代替元組,用于檢測異常度分布的熵,不僅可減輕計算過程中在線分析階段的開銷,而且在發現新的異常類型方面比常規方法效果更好。
2 基礎理論
大多數流量異常都有一個共同特點,它們誘導流量頭特征分布的異常變化,如源地址、目的地址與端口,一般顯示出分散或集中分布的現象[8]。
例如,圖1顯示了3種類型攻擊的流量特征分布。圖1(a)顯示了一個典型的分布式拒絕服務(DDoS)攻擊。在這種情況下,大量主機發送信息到一個特定主機。同樣,許多網絡蠕蟲通過發送隨機探測,即到隨機區域產生大量目的地IP地址,從而使受感染的計算機繼續感染其它脆弱的計算機,如圖1(b)所示。在一些掃描事件中,一個源IP地址隨機掃描多個IP地址,如圖1(c)所示。
從以上分析得知,網絡流量發生異常時,會使源/目的地址、源/目的端口分布出現變化(見表1)。接下來需要研究:①采用什么指標可以準確配置這些異常流量特征,并明確表明上述攻擊的發生;②如何有效地量化異常大小,并揭示非正常的流量行為。
3 診斷方法
3.1 系統模型
總體架構包括3個主要功能部分:處理引擎(后端)、數據庫和WebGUI(前端)。處理引擎執行顯式算法WebGUI和數據庫之間的通信。引擎主要實現以下幾方面任務:①接收NetFlow記錄的數據,如路由器、交換機、防火墻等,并以一個特定方式將數據通過緩沖存儲到數據庫;②獲得相關參數后,可通過使用SQL查詢來計算熵值度分布的原始流量數據;③根據測量期間的網絡狀態自動調整檢測閾值。流量統計數據庫提供了結構化存儲,簡化了熵值的分布程度計算。WebGUI前端可通過圖形方式顯示檢測結果。
3.2 算法設計
進行在線流量分析時,要提高異常檢測精度,減少計算時的開銷,異常檢測的流程與算法必須是輕量級的。首先,設計一個數據源和數據庫之間的緩沖區進行存儲和檢索。其次,考慮到許多攻擊一般只有幾分鐘時間,如DDoS攻擊一般只持續兩分鐘,因此要設置一個有限的時間段作為一個基本測量時間窗口的度量單位。
從概念上講,該算法可以分為3個階段:在第一階段,配置Netflow在特定時間段內的頁面流量統計,根據訓練數據和預定義的閾值熵排除異常值,以便在測量期間準確校準基線。自適應閾值在檢測過程中生效;第二階段為處理階段,滑動時間窗口時,計算該窗口中流量特征的熵值;第三階段為后處理階段,設置閾值為下一個檢測過程的計算均值熵和方差。該算法的偽代碼如下:
4 結語
本文介紹了基于度分布的流量異常在線檢測方法,該方法具有以下優點:①可以準確、高效地使用流量頭特征捕捉細粒度的流量模式分布,不僅減少了在線處理時間,也提高了檢測能力;②利用熵可以提高檢測靈敏度的特點來發現已知或未知的流量異常,并將其量化;③具備一種可降低誤警率的自適應閾值。下一步工作是進一步分析流量異常特征,尋找診斷網絡異常的方法。此外,降低報警延遲也是需要考慮的問題之一。
參考文獻:
[1] 王秀英,邵志清,陳麗瓊.異常流量檢測中的特征選擇[J].計算機工程與應用,2010(28):129131.
[2] 崔錫鑫,蘇偉,劉穎.基于熵的流量分析和異常檢測技術研究與實現[J].計算機技術與發展,2013(5):126129.
[3] 鄭黎明,鄒鵬,韓偉紅.基于多維熵值分類的骨干網流量異常檢測研究[J].計算機研究與發展,2012(9):154163.
[4] THOTTAN M,JI C.Anomaly detection in IP networks[J].IEEE Transation on Signal Processing,2003,51(8):21912204.
[5] 趙飛翔,張航,何小海.基于多層分塊的異常行為檢測算法[J].科學技術與工程,2015(10):112116.
篇(5)
中圖分類號:TP
文獻標識碼:A
文章編號:1672-3198(2010)17-0348-01
1 網絡流量的特征
1.1 數據流是雙向的,但通常是非對稱的
互聯網上大部分的應用都是雙向交換數據的,因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異,這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。
1.2 大部分TCP會話是短期的
超過90%的TCP會話交換的數據量小于10K字節,會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節,WWW的巨大增長使其在這方面產生了決定性的影響。1.3 包的到達過程不是泊松過程
大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程,即包到達的間斷時間的分布是獨立的指數分布。簡單的說,泊松到達過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發生。泊松模型因為指數分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。然而,近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布,而且不是獨立分布的。大部分時候是多個包連續到達,即包的到達是有突發性的。很明顯,泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性,從而促進了網絡通信量模型的研究。
1.4 網絡通信量具有局域性
互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和目的地址上,從而顯示出基于時間的相關(時間局域性)和基于空間的相關(空間局域性)。
2 網絡流量的測量
網絡流量的測量是人們研究互聯網絡的一個工具,通過采集和分析互聯網的數據流,我們可以設計出更加符合實際的網絡設備和更加合理的網絡協議。計算機網絡不是永遠不會出錯的,設備的一小點故障都有可能使整個網絡癱瘓,或者使網絡性能明顯下降。例如廣播風暴、非法包長、錯誤地址、安全攻擊等。對互聯網流量的測量可以為網絡管理者提供詳細的信息以幫助發現和解決問題。互聯網流量的測量從不同的方面可以分為:
2.1 基于硬件的測量和基于軟件的測量
基于硬件的測量通常指使用為采集和分析網絡數據而特別設計的專用硬件設備進行網絡流的測量,這些設備一般都比較昂貴,而且受網絡接口數量,網絡插件的類型,存儲能力和協議分析能力等諸多因素的限制。基于軟件的測量通常依靠修改工作站的內核中的網絡接口部分,使其具備捕獲網絡數據包的功能。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網絡流量分析器。
2.2 主動測量和被動測量
被動測量只是記錄網絡的數據流,不向網絡流中注入任何數據。大部分網絡流量測量都是被動的測量。主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。例如使用ping來估計到某個目的地址的網絡延時。
2.3 在線分析和離線分析
有的網絡流量分析器支持實時地收集和分析網絡數據,使用可視化手段在線顯示流量數據和分析結果,大部分基于硬件的網絡分析器都具有這個能力。離線分析只是在線地收集網絡數據,把數據存儲下來,并不對數據進行實時的分析。
2.4 協議級分類
對于不同的協議,例如以太網(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網絡插件來收集網絡數據,因此也就有了不同的通信量測試方法。
3 網絡流量的監測技術
根據對網絡流量的采集方式可將網絡流量監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于Netflow的監測技術三種常用技術。
3.1 基于網絡流量全鏡像的監測技術
網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備,實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應用層信息。
3.2 基于Netflow的流量監測技術
Netflow流量信息采集是基于網絡設備提供的Netflow機制實現的網絡流量信息采集。
篇(6)
一、現狀和問題
油田公司提出“百兆到作業區,十兆到井站”的網絡架構,但現在很多井站都實現了百兆接入,同時計算機主干網頁實現了廣域網雙2.5G,核心萬兆互聯,帶寬的快速增加加快了業務數據傳送的速度,從公司管理角度出發很多很多應用從井站直接到公司管理部門的核心網絡,業務的可靠傳輸是對網絡運維部門提出的新的要求。公司主干網流量組成,對于各個方向的網絡流量大小,公司應用系統如視頻會議、生產指揮、應急預警、財務系統、OA辦公系統、A1A2系統,集團公司的應用系統的流量情況,需要對業務進行深入分析,獲取相關流量。二級單位從井站到單位核心,數字化應用系統占有大量的網絡鏈路流量,但管理者不能掌握,具體各類應用系統流量的大小、流向以及各類網絡接口流量組成,需要采集網絡中各個節點的網絡流量,進而對應用系統進行詳細的分析,將流量與應用系統進行有效結合,達到應用系統流量的深度分析。
二、流量分析技術應用
2.1流量分析技術
2.1.1基于SNMP
該方法僅能對網絡設備端口的整體流量進行分析,可以獲得設備端口的實時或者歷史的流入/流出帶寬、丟包、誤包等性能指標,但無法分析具體的用戶流量和協議組成。因其具有實現簡單、標準統一、接口開放的特點,被業界廣泛采用。
2.1.2基于網絡探針
該方法的數據抓包、分析和統計等功能一般都在網絡“探針”上以硬件方式實現,分析的結果存儲在探針的內存或磁盤之中,具體的前端展現依賴與之對應的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。
2.1.3基于網絡流
相對于會話(Session)而言,流(Flow)具備更細致的標識特征,在傳統的 TCP/IP 五元組的基礎上增加了一些新的域值,至少包括以下幾個字段:源IP地址、目的IP地址、源端口、目的端口、IP層協議類型、ToS服務類型、輸入物理端口。以上七個字段可以唯一地確定任意一個數據包屬于哪個特定的流,換言之任何一個字段出現了差異都意味著一個新的流產生。sFlow是基于端口的流量分析:按照一定的采樣比從特定端口上采集報文,由Agent設備對報文進行分析(包括報文內容、報文轉發規則信息等等),并將分析結果以及原始報文通告給Collector進行統一分析(Flow采樣);并且支持周期性統計端口的流量計數以及設備CPU、內存等信息(Counter采樣)。sFlow關注的是接口的流量情況、轉況以及設備整體運行狀況,因此適合于網絡異常監控以及網絡異常定位,通過Collector可以以報表的方式將情況反應出來,極大的方便了網絡管理人員日常巡檢維護,保證企業網絡的正常穩定運行。
2.2部署方式
利用公司網絡監控平臺系統,結合交換機及路由器的FLOW流量采集功能,對油田主干網及試點二級單位的網絡流量進行采集,其中計算機主干網,主要采集核心交換機8905和核心路由器t1200設備的流量情況,試點二級單位通過核心交換機軟件升級,及試點作業區井站的設備替換,采集內網的流量情況。
2.3流量分析
2.3.1主干網流量分析
通過對流量采集和分析技術進行研究搭建流量分析系統,實現對主要生產辦公業務流量分析,重要應用性能追蹤。并開展油田計算機終端應用的自動化監控。具體研究內容主要包括一下幾點:
通過s-flow、netflow等技術搭建流量分析系統,對區域中心出口、生產指揮中心、應急預警中心、公司視頻會議系統及蘇里格大廈數信部等重要業務和部門實現業務流量集中統計分析;
通過定制業務模型對主要生產辦公流量進行全面分析,包括:視頻會議,辦公OA系統,生產網中的三端二系統等網絡業務;
平均流入速率:450~465Mbps,平均流出速率:30~40Mbps,應用構成為:上網占77%,未知應用占13%,HTTP應用占2%。
2.3.2生產指揮流量分析
公司生產指揮系統流量很小,基本沒有流入流量,只有流出流量,平均流出速率為1.08Mbps,平均流出速率波動較大,HTTP應用為主包含codasrv和raventbs等生產系統流量。
三、總結
篇(7)
中圖分類號:TP393.1 文獻標識碼:A 文章編號:1672-3791(2013)05(b)-0249-02
隨著高等教育信息化的發展,高等教育對于網絡的依賴日漸增加,同時高校校園網的出口帶寬要求也越來越高。但是受到資金、出口建設成本和網絡技術等方面的限制,高校校園網出口帶寬不可能無限提高,由此導致了高校校內用戶日益增長的網絡需求與出口帶寬限制網絡流量之間的矛盾。而通過對出口網絡數據進行深層次應用分析制定相關策略能夠在一定程度上緩解這一矛盾。
1 網絡流量分析及控制的關鍵技術
網絡流量分析及控制是指對數據包進行檢測,并通過制定的策略對網絡應用實現放行、限制或阻塞的技術。現今P2P類下載應用占用了大量的帶寬資源,導致網絡的擁堵和服務質量的下降。為了保證用戶能夠平等的使用網絡帶寬,需要采取必要的技術對P2P等應用進行一定程度的檢測與調控。目前主要的分析控制技術如下。
1.1 傳統防火墻對網絡流量的分析及控制
傳統防火墻都工作在OSI參考模型的第2、3、4層,通過對TCP/UDP端口、數據包的源/目的IP地址、MAC地址等進行過濾,實現對網絡流量的監視。一般都是對數據包的包頭來做策略,并不關心整個數據包的信息。傳統防火墻對網絡流量的處理方法一般都是阻塞某種協議常用端口,或者阻斷客戶端與服務器的連接等。由于不能有效的分析數據包內部信息,不能有效的了解用戶應用層的信息,也就不能有效的限制用戶的應用。采用傳統防火墻阻斷服務器與客戶端連接的方法也已經不能準確的識別與控制。
1.2 DPI技術
深度報文檢測技術DPI(Deep Packet Inspectio)是在分析數據包包頭的基礎上,增加了對OSI參考模型第七層即應用層的分析。當IP數據包、TCP、UDP數據流經過基于DPI技術的流量控制系統時,通過深入讀取數據包的內容來對應用層信息進行重組,從而得到整個應用程序的內容,然后按照系統定義的管理策略對流量進行整形操作。DPI技術可以分為兩大類:(1)使用特征字與掩碼相結合進行協議識別的DPI技術;(2)使用正則表達式庫進行協議識別的DPI技術。
2 高校校園網絡的現狀
目前大部分高校都已建成完善的園區網,普遍采用傳統的三層結構(核心層、匯聚層和接入層),并租用運營商電路實現與互聯網的高速對接。
校園網的主要特點是學生是網絡的主要用戶。隨著網絡技術的發展,學生作為社會最活躍的團體,對于網絡新興服務需求迫切,尤其是視頻服務。造成的結果是對網絡帶寬的占用比例極高,造成傳統服務的服務質量下降。
以我院為例,我院校園網絡始建于2008年,網絡已覆蓋教學、辦公、生活等區域,其中學生宿舍網絡出口帶寬所占比例達到80%以上,其中多以視頻、P2P應用為主。
3 采用流量控制技術調整出口應用
在具體實現方面,采用了Panabit軟件。Panabit是北京派網軟件公司開發的免費的應用層流量控制系統,是基于穩定性極高的FreeBSD開發的。可在瀏覽器中對系統進行圖形化管理,界面友好,操作簡便。
3.1 Panabit流量控制系統的部署
(1)安裝。
Panabit需要獨立安裝在一臺計算機中,硬件配置要求如表1。
由表1可見,對于目前PC的硬件水平完全可以滿足安裝需要,只需要在計算機中多加裝兩塊網卡即可。
Panabit的硬件部署在網絡出口上。配置的3塊網卡,1塊用于管理Panabit管理系統,另外2塊分別用于采集上傳和下載流量的數據。
(2)Panabit系統的初始化配置。
①首先配置系統的IP地址等基礎信息(在此全部都采用校園網內部私有地址),以便遠程管理(采用HTTPS協議)。
②選擇網絡配置下的“數據接口”選項,兩塊網卡的“應用模式”均選擇為“透明網橋”。
3.2 Panabit系統的流量控制策略的配置
(1)分配帶寬。
Panabit對帶寬的分配有三種模式:即帶寬限制,帶寬保證,帶寬預留。根據我院對網絡需求的實際情況,采用了帶寬保證模式。下面對帶寬保證模式進行詳細的說明:首先,帶寬保證模式也具有帶寬預留模式的功能,即對特定IP組、特定協議預留出足夠的帶寬。例如教學、辦公IP組,教務系統的ITSP協議等。在此基礎上,帶寬保證在其預留的帶寬不能滿足應用要求的時候,會從剩余的總帶寬里借用所需帶寬。例如每學期開學和學期末,學生大量選課,可以對選課系統的SSL等協議進行帶寬保證設置。
(2)建立策略組。
可以根據數據包的源地址、目的地址、應用協議等建立策略組。
3.3 系統測試與分析
4 結語
為了提高網絡帶寬的利用率,使高校校園網絡的使用更趨合理,網絡流量分析及控制勢在必行,同時也是非常有效的手段。互聯網飛速發展,網絡流量分析及控制也隨之快速發展,為高校的教學等工作提供了穩定的網絡基礎,使教學信息管理系統和教學資源共享平臺的搭建更為安全、高效。為高校的信息化教學做出了貢獻。
參考文獻
[1] 劉劍鋒.部署運維管理平臺提高校園網運維水平[J].中國教育技術裝備,2011(10).
篇(8)
面向服務架構(SOA)將應用程序的不同功能單元包裝成“服務(Service)”,通過這些服務之間定義良好的接口和協議聯系起來。接口采用中立的方式定義,獨立于具體實現服務的硬件平臺、操作系統和編程語言,使得構建在各種這樣系統中的服務可以使用統一和通用的方式進行通信。這種具有中立接口定義的特征稱為服務之間的松耦合。面向服務架構是一種軟件體系結構的思想,它需要依賴具體的實現技術。本文采用Web服務分布式管理(WSDM)標準來支持面向服務架構的實現。
為了解決網絡環境下管理系統和基礎設施的協同工作以及管理集成問題,OASIS組織在IBM、HP、CA等著名公司的大力支持下,于2005年3月推出了Web服務分布式管理(Web services distributed manage-ment,WSDM)標準,對Web Service管理提供標準化的支持,通過使用Web Service來實現對不同平臺的管理。
WSDM是一個用于描述特定設備、應用程序或者組件的管理信息和功能的標準。所有描述都是通過Web服務描述語言進行的。WSDM標準實際上是由兩個不同的標準組成的,WSDM-MUWS標準以及WS-DM-MOWS標準。
圖1是WSDM的工作模式,可管理用戶發現這個Web Service端點,然后,通過與端點交換消息,從而獲取信息、定制事件以及控制與端點相關聯的可管理資源。WSDM規范側重于提供對可管理資源的訪問。管理是資源的一個可能具有的特性,可管理資源的實現是通過Web Service端點提供一組管理功能。WSDM架構不限制可管理資源的實現策略,實現方式包括直接訪問資源、用非方法、用管理等,實現細節對于管理消費者來說都是透明的。
WSDM作為一種功能強大的分布式系統集成解決方案,其主要特點如下:
(1)面向資源。WSDM的關注點是資源,因為一個資源就代表了多個Web服務,因此在該標準中,對資源屬性和功能的詳細描述顯得尤為重要。為此,WSDM采用了專門的Web標準(如WS-Resource)對資源相關信息進行定義。
(2)實現分離。由于采用與實現操作無關的WSDL語言定義接口,使得接口與服務實現了分離,所以無論Web服務其內在實現細節如何改變都不會對客戶端的操作方式有任何影響。這樣做不但較好地封裝了管理方法的實現細節,而且實現了對已有資源的重用。
(3)服務的可組合性。WSDM能隨著應用環境規模的變化而變化,首先,WSDM標準的自身實現只需定義較少的屬性和操作,使得其在小規模的系統中可以得到穩定的應用:其次,對于大規模應用環境而言,WSDM可以隨著應用需求的變化靈活地添加某些服務。從而在使用者和部署人員之間起很好的協調作用。
(4)模型的兼容性。主要表現在WSDM能描述和封裝任何資源模型(如cIM、SM-NP、SID等),并為其提供相應的Web服務接口。
2 系統設計方案
網絡流量采集使用了三種技術:
(1)基于網管設備MIB的SNMP模式;
(2)基于網絡探針技術的IP流量數據捕獲模式;
(3)基于NetFlow技術的數據流捕獲模式。
針對基于SNMP模式,實現基于WSDM的SNMP網關,通過該網關收集SNMP設備上的MIB信息;針對基于網絡探針技術模式,可實現基于WSDM的網絡探針服務;針對基于NetFlow技術模式,流量數據是通過NetFlow的主動式數據推送機制獲得的,網絡設備中的NetFlow是通過規范的報文格式將流量數據送往指定主機,WSDM服務提供了接收和傳輸NetFlow流量數據的功能。
2.1 系統架構
流量監測系統結構可劃分為三個層次,即資源層、管理服務層、展示層,如圖2所示。
(1)資源層
資源層由提供流量采集服務的分布式流量采集器(WSDM Agent)組成,它們通過調用管理服務層的WSDM Agent注冊服務實行自主注冊,具備向管理服務層主動匯報、自主管理和主動服務等功能。
(2)管理服務層
管理服務層包括應用組件、服務組件、管理平臺以及數據庫。其中應用組件是對展示層提供支持的各種
管理服務,包括策略管理模塊、WSDM Agent管理模塊、流量數據管理模塊以及流量分析模塊等系統功能實現的模塊。服務組件是對資源層的各種WSDMAgent資源的支持,包括安全審計、日志服務、異常服務、自主管理等,主要是管理服務器自主實現的一些功能。數據庫部分是應用組件中各模塊對應的數據存儲。中間層的管理平臺是管理服務層的核心,是對應用組件、服務組件以及數據庫的支持,包括Web服務、WSDM服務的引擎和API等。
(3)展示層
展示層實現流量狀態顯示。可以從流量數據庫中取得所要查詢的網絡流量歷史信息,也可以調用管理服務層提供的服務觸發流量信息更新采集實時的流量數據,還可以通過服務將合法用戶的操作信息送到管理服務層。根據用戶需求采用圖形用戶界面將流量態勢分析的結果展示出來。可提供多種格式的流量報表。
2.2 流量分析系統設計
流量分析系統是整個流量監測系統的核心。如圖3所示,該系統分為五個模塊:流量采集模塊、數據接收模塊、數據傳輸模塊、流量分析模塊、數據存儲與管理模塊。對照流量監測系統架構,流量分析系統結構中的這五個功能模塊分別位于總體架構的各個層次。
篇(9)
0.引言
空管信息網絡承擔著包括OA系統、共享服務以及相關業務系統在內的重要網絡業務,提供信息化的同時,給技術保障維護人員帶來一定的保障壓力。根據相關工作經驗及實際實驗數據,網絡設備端口流量異常是導致故障發生的重要原因,因此,對于網絡流量的監控顯得更加重要。隨著空管信息化要求的逐日提高,網絡規模也日益變大,對于網絡流量監控的工作也更加繁重。本文從空管網絡流量監控的實際情況出發,提出一種基于C#的網絡流量監控,能夠實現對網絡數據進行獲取、流量記錄與分析。系統在實際運行中效果良好,可以為相關網絡監控設計提供一種可行的借鑒。
1.總體設計
SNMP即網絡管理協議(Simple Network Management),在TCP/IP協議族中可以對網絡進行管理,這種管理既可以是本地的也可以是遠程的。而基于SNMP網絡協議的本系統,可以實現對網絡數據的獲取與實時監控的功能,實現上具有通用、實時、多線程、維護性強及擴展性強的特點。實現在數據鏈路層和網絡層上任意節點的數據獲取。加之記錄功能的輔助,系統能實現在應用層的數據回放,以滿足空管安全事件調查以及系統維護對歷史工作狀況的評估。
SNMP協議中,一個網管基站可以實現對所有支持SNMP協議的網絡設備的監控(隨著網絡技術的發展,目前絕大部分網絡設備是可支持的),包括監視網絡狀態、修改網絡配置、接收網絡事件告警等等網絡監控功能。在實現上主要包括遠程文件訪問、流量數據記錄、流量監視以及系統的IP定位。其中流量監視是系統實現的核心,將在下一部分進行介紹。另外,系統還提供了日志文件記錄實現對系統操作、監控數據以及告警信息的記錄。
2.C#的實現
對于系統的C#實現,主要采用的C/S模式,因此在系統的實現上盡量簡單、快捷、高效為主。因此自定義相關函數與類,在記錄數據和日志方面采用文本文件記錄。
2.1網絡監控類與網絡適配類的設計
為了提高系統的模塊化程度及軟件的封裝性,系統在實現過程中定義了兩個主要的類。分別是用于網絡監控的NetWorkMonitorClass以及網絡適配類NetWorkMatch,網絡監控類主要實現系統的網絡監控功能,而網絡適配類則提供了一個安裝在計算機上的網絡適配器,該類可用于獲取網絡中的流量。兩者功能及結構如下:
在實際工作中網絡監控類NetWorkMonitorClass通過定義一個Timer計時器進行計時器時間執行,以每隔2S刷新適配器,并與此同時刷新上傳下載速度。與此同時通過ArryList列表定義了所監控設備的適配器以及當前控制的適配器。在構造函數NetWorkMonitorClass()中則通過,定義兩個ArrayList(),其中一個(adapterlist)來保存獲取到的計算機的適配器列表,一個(monitoradapters)代表有效的運行的適配器列表。
NetAdapterShow ();
Timer = new System.Timers.Timer(2000);
Timer.Elapsed += new ElapsedEventHandler(timer_ElapsedClick);
其中,NetAdapterShow ()為列舉出安裝在該計算機上面的適配器,具體實現可以通過C#的foreach()語句進行編寫如下:
PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory("Network Interface");
foreach (string InstanceName in PCCCategory.GetInstanceNames())
{
if (InstanceName == "MS TCP Loopback interface")
continue;
// 創建一個實例Net workAdapter類別,并創建性能計數器它
MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch
Class(InstanceName);myMNWMadapter.m_Performance_Down=new PerformanceCounter("Network Interface", "Bytes Received/sec", InstanceName);
myMNWMadapter.m_Performance_Up=newPerformanceCounter("Network Interface", "Bytes Sent/sec", InstanceName);
m_AdaptersList.Add(myMNWMadapter);
}
當然,在類中也定義了StartWorking以及StopWorking等控制函數對類的工作狀態進行控制。另外timer事件也通過構造函數進行加入,如上所述。
網絡適配類NetWorkMatch則主要計算網絡的各種數據,如計算上傳速度、下載速度、控制適配器等函數的封裝,減少網絡監控類的功能耦合度。
2.2具體實現
在窗體加載函數中,系統首先做自我初始化如下:首先定義上述設計的網絡監控類,并實例化monitor = new NetWorkMonitorClass();與此同時通過類函數遍歷獲取所有計算機適配列表,m_MNWMadapters = monitor.Adapters; ,Adapters()為網絡監控類封裝好的函數。并將函數返回結果通過Items.AddRange()函數將其顯示在listbox控件中,以實現友好的人機交互界面。其次,在timer定時器中對選中監控的適配器進行獨立監控。至此,系統實現了獨立監控與全面監控的所有設計。
3.結語
本文提出一種基于SNMP協議分析的網絡監控系統,該系統應用于空管信息網絡。在實現過程,主要采用C#進行開發,通過編寫自我的網絡監控類和網絡適配類進行網絡數據的流量監控,可以推廣應用于信息網絡維護工作較為繁重的行業,提供一種智能網絡流量監控手段。
【參考文獻】
[1]宮婧,孫知信,陳二運.一種基于流量行為分析的P2P流媒體識別方法[J].計算機技術與發展,2009(09).
篇(10)
網絡流量性能測量和分析涉及許多關鍵技術,如單向測量中的時鐘同步新問題,主動測量和被動測量的抽樣算法探究,多種測量工具之間的協同工作,網絡測量體系結構的搭建,性能指標的量化,性能指標的模型化分析,對網絡未來狀態進行趨向猜測,對海量測量數據進行數據挖掘或者利用已有的模型(petri網、自相似性、排隊論)探究其自相似特征,測量和分析結果的可視化,以及由測量所引起的平安性新問題等等。
1.在IP網絡中采用網絡性能監測技術,可以實現
1.1合理規劃和優化網絡性能
為更好的管理和改善網絡的運行,網絡管理者需要知道其網絡的流量情況和盡量多的流量信息。通過對網絡流量的監測、數據采集和分析,給出具體的鏈路和節點流量分析報告,獲得流量分布和流向分布、報文特性和協議分布特性,為網絡規劃、路由策略、資源和容量升級提供依據。
1.2基于流量的計費
現在lSP對網絡用戶提供服務絕大多數還是采用固定租費的形式,這對一般用戶和ISP來說,都不是一個好的選擇。采用這一形式的很大原因就是網絡提供者不能夠統計全部用戶的準確流量情況。這就需要有方便的手段對用戶的流量進行檢測。通過對用戶上網時長、上網流量、網絡業務以及目的網站數據分析,擺脫目前單一的包月制,實現基于時間段、帶寬、應用、服務質量等更加靈活的交費標準。
1.3網絡應用狀況監測和分析
了解網絡的應用狀況,對探究者和網絡提供者都很重要。通過網絡應用監測,可以了解網絡上各種協議的使用情況(如www,pop3,ftp,rtp等協議),以及網絡應用的使用情況,探究者可以據此探究新的協議和應用,網絡提供者也可以據此更好的規劃網絡。
1.4實時監測網絡狀況
針對網絡流量變化的突發性特性,通過實時監測網絡狀況,能實時獲得網絡的當前運行狀況,減輕維護人員的工作負擔。能在網絡出現故障或擁塞時發出自動告警,在網絡即將出現瓶頸前給出分析和猜測。現在隨著Internet網絡不斷擴大,網絡中也經常會出現黑客攻擊、病毒泛濫的情況。而這些網絡突發事件從設備和網管的角度看卻很難發現,經常讓網絡管理員感到棘手。因此,針對網絡中突發性的異常流量分析將有助于網絡管理員發現和解決新問題。
1.5網絡用戶行為監測和分析
這對于網絡提供者來說非常重要,通過監測訪問網絡的用戶的行為,可以了解到摘要:
1)某一段時間有多少用戶在訪問我的網絡。
2)訪問我的網絡最多的用戶是哪些。
3)這些用戶停留了多長時間。
4)他們來自什么地方。
5)他們到過我的網絡的哪些部分。
通過這些信息,網絡提供者可以更好的為用戶提供服務,從而也獲得更大的收益。
2.網絡流量測量有5個要素摘要:
測量時間、測量對象、測量目的、測量位置和測量方法。網絡流量的測量實體,即性能指標主要包括以下幾項。2.1連接性
連接性也稱可用性、連通性或可達性,嚴格說應該是網絡的基本能力或屬性,不能稱為性能,但ITU-T建議可以用一些方法進行定量的測量。
2.2延遲
對于單向延遲測量要求時鐘嚴格同步,這在實際的測量中很難做到,許多測量方案都采用往返延遲,以避開時鐘同步新問題。
2.3丟包率
為了評估網絡的丟包率,一般采用直接發送測量包來進行測量。目前評估網絡丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等。
2.4帶寬
帶寬一股分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當一條路徑(通路)中沒有其他背景流量時,網絡能夠提供的最大的吞吐量。
2.5流量參數
ITU-T提出兩種流量參數作為參考摘要:一種是以一段時間間隔內在測量點上觀測到的所有傳輸成功的IP包數量除以時間間隔,即包吞吐量;另一種是基于字節吞吐量摘要:用傳輸成功的IP包中總字節數除以時間間隔。
3.測量方法
Internet流量數據有三種形式摘要:被動數據(指定鏈路數據)、主動數據(端至端數據)和BGP路由數據,由此涉及兩種測量方法摘要:被動測量方法和主動測量方法然而,近幾年來,主動測量技術被網絡用戶或網絡探究人員用來分析指定網絡路徑的流量行為。
3.1主動測量
主動測量的方法是指主動發送數據包去探測被測量的對象。以被測對象的響應作為性能評分的結果來分析。測量者一般采用模擬現實的流量(如WebServer的請求、FTP下載、DNS反應時間等)來測量一個應用的性能或者網絡的性能。由于測量點一般都靠近終究端,所以這種方法能夠代表從監測者的角度反映的性能。
3.2被動測量
被動測量是在網絡中的一點收集流量信息,如使用路由器或交換機收渠數據或者一個獨立的設備被動地監測網絡鏈路的流量。被動測量可以完全取消附加流量和Heisenberg效應,這些優點使人們更愿意使用被動測量技術。有些測度使用被動測量獲得相當困難摘要:如決定分縮手縮腳一所經過的路由。但被動測量的優點使得決定測量之前應該首先考慮被動測量。被動測量技術碰到的另一個重要新問題是目前提出的要求確保隱私和平安新問題。
3.3網絡流量抽樣測量技術
篇(11)
流量統計和分析是網絡管理中的一個重要內容,它不但可以及時發現網絡流量的過載,攻擊等異常情況,還可以對正常流量進行分析,幫助網絡管理者了解各種級別的用戶對于網絡的使用情況,為采用合適的商業模式提供決策依據。
流量透明化的現狀分析
隨著校園網的規模越來越大,IT服務的完善,網絡管理者也會提出以下問題。
一、當前的上網流量占用多大帶寬?這些帶寬主要誰在占用?這些占用是允許的嗎?在WWW訪問之外,是不是有大量的FTP等下載?是允許的嗎?
二、DMZ區的服務器有多少是內網用戶在訪問,有多少是外網用戶在訪問?如果是內網用戶訪問多,是不是考慮將其遷移到服務器區?外網用戶的訪問有時間規律嗎?
三、外聯的服務器是提供特定用戶訪問嗎?哪個訪問流量最大?最大流量占用的用戶是合法的嗎?服務器是否該擴容了?有非法用戶訪問這些服務器嗎?
四、這些關鍵的業務服務器的帶寬夠用嗎?是不是考慮一臺服務器提供多個業務服務或多臺服務器提供一個業務服務?除生產業務外,這些服務器是不是還提供其它無關的業務,導致影響性能?誰訪問這些服務器更多一些?這些服務器哪個時間段最繁忙?
五、教職工和學生用于的流量分別有多大?用于上網的流量有多大?誰更多地使用互聯網?是必要的嗎?誰占用的網絡帶寬最大?這些占用是必要的嗎?哪個用戶在非法掃描網絡?是否有用戶提供非法的下載(WWW/FTP)服務?
要解決這些流量問題,不是一件容易的事情,常規的方法有以下幾種。
其中一種是網管方式。網管方式通過啟動SNMP來獲取流量信息。但SNMP只能獲取流量的字節數,無法獲取字節的構成,更無法獲取流量的發起方。該方法可解決流量的分布問題,無法解決流量的構成問題。該方式主要用于設備的管理,而不適用于精細的流量分析。
另外一種是數據包監聽方式。該方法是將關注的流量串聯到或鏡像到分析儀器;通過分析儀器來獲取流量的構成和細節。該方法可做到流量的精細化分析,做到2~7層的流量分析,但缺點也很明顯,只有在部署分析儀器的地方進行流量分析,如果做到全網多節點流量監控,必須部署多個分析儀器,導致部署成本急劇上升。該
方式可很好解決流量的構成問題,但幾乎無法解決流量的分布問題。該方式適用于對少量關鍵點的監控,不適合大規模日常使用。
最后一種是基于流技術的方式。該方式是讓網絡設備在轉發數據流量的同時,生成特定的流量信息,然后將流量信息發送到特定的分析模塊,進而實現對流量的分析。理想情況下,如果讓網絡中的每臺網絡設備均發出流量信息,那么就可以輕松解決流量的分布問題,同時解決流量的構成問題。缺點是各廠商提供的流分析技術都是私有技術無法通用。
網管方式無法進行流量構成分析,不再討論。由于分析儀器的昂貴,監聽方式不適用于大規模部署,而且分析到7層應用后,容易使用戶隱私受到侵犯。而流技術的分析方式功能均衡而強大,對流量的分析只到業務字節,不涉及應用級,無隱私顧慮。
流技術方式更適合網絡流量分析。但由于各廠商之間流技術方式大多采用的是廠商的私有協議,就導致了不同廠商設備在組網后流技術方式不兼容的問題。正是由于這個原因國際化流量監控標準技術IPFIX(IP Information flowExport)應運而生。
校園網流量透明化管理
我校在進行流量透明化管理之前,整個網絡接入用戶的類型比較復雜,本來就不富裕的網絡流量常被消
耗殆盡。在經過幾次互聯網出口和校園網骨干帶寬進行擴容后,情況仍得不到解決,為了搞清楚這些流量都被哪些用戶和哪些應用占用了,我們引進了銳捷網絡的校園網解決方案,根據國際化流量監控標準技術IPFIX來對校園網的流量使用情況進行審計和評估。
網絡透明化解決方案包括流量采樣設備、流量采集設備、數據分析處理設備(如圖1)。利用IPFIX日志,網絡透明化解決方案提供了一種網絡監測、分析的方式,直接從支持IPFIX功能的路由器和交換機中收集流量信息,可以靈活啟動不同層面(接人層、匯聚層、核心層)的網絡設備進行IPFIX流量日志收集,并將收集的內容以IPFIX格式的日志輸出給Collerctor設備分析。管理員使用Analyser的分析功能,可做網絡使用狀況監控、用戶行為追蹤、異常流量檢測等,同時基于功能豐富的報表,可做網絡規劃方面的決策。(如圖3)
主要實現了以下功能。首先是網絡得到優化。可以使網絡管理員及時掌握網絡負載狀況,網內應用資源使用情況,對核心網絡的重點鏈路進行統計,各類TOP應用百分比,使用各類應用的網內用戶、服務器的流量趨勢
及統計值,迅速發現網絡當前的使用狀況和不同鏈路的使用率變化趨勢,盡早發現網絡結構的不合理或網絡性能瓶頸,盡快作出網絡優化方面的決斷,最終實現網絡的優化使用。
其次是網絡規劃參考方面。利用IPFIX流日志以及網絡透明化長期監控網絡帶寬而形成的各類趨勢報表,如基于設備接口的長期流量入出趨勢,長期流量入出趨勢分析,各類應用百分比,有助于網絡管理員跟蹤和預測網絡鏈路流量的增長,從而能有效的規劃網絡升級。
第三是網絡流量異常監測方面。利用網絡透明化解決方案提供的某段時間內的流量、應用趨勢分析,可非常直觀的看到網絡流量是否有突然增長或突然下降的現象,并進一步分析出是哪些用戶產生了最多的流量、使用了哪些應用以至于網絡運轉出現性能問題。
