序論:在您撰寫網(wǎng)絡(luò)流量分析的方法時�,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:中小型網(wǎng)絡(luò)�����;流量控制��;方法;應(yīng)用
中圖分類號:TP393.06
近年來�,隨著經(jīng)濟社會的發(fā)展和科學(xué)技術(shù)的進步,計算機網(wǎng)絡(luò)技術(shù)得到了充分發(fā)展�。在這種形勢背景下,網(wǎng)絡(luò)在人們生產(chǎn)生活中的應(yīng)用越來越廣泛�����,比如��,我們可以通過網(wǎng)絡(luò)瀏覽網(wǎng)頁�、觀看視頻、網(wǎng)上聊天以及網(wǎng)上購物等���。由此可見�,網(wǎng)絡(luò)在人們生活中發(fā)揮著重要作用����。在網(wǎng)絡(luò)的運行過程中,網(wǎng)絡(luò)流量直接關(guān)系著網(wǎng)絡(luò)的速度�����,對網(wǎng)絡(luò)功能的發(fā)揮具有重大意義��。但是,從現(xiàn)實情況來看���,在一些中小型網(wǎng)絡(luò)使用的過程中�,由于服務(wù)器管理不當(dāng)���、惡意程序以及P2P下載等原因���,導(dǎo)致網(wǎng)絡(luò)流量不斷增長,最終致使網(wǎng)絡(luò)出現(xiàn)堵塞���,網(wǎng)頁打不開���,影響人們的正常工作和學(xué)習(xí)��。鑒于此���,我們必須采取一些措施控制網(wǎng)絡(luò)流量�,使它更好地為人們的生產(chǎn)生活提供服務(wù)�。
1 中小型網(wǎng)絡(luò)流量控制方法
1.1 加強對P2P應(yīng)用的管理。在很多中小型網(wǎng)絡(luò)應(yīng)用的過程中��,人們會運用到很多P2P應(yīng)用,比如��,快車下載�����、迅雷視頻播放器等��。這些P2P應(yīng)用在運行的過程中會占用大量的流量資源��,給網(wǎng)速造成嚴(yán)重影響�。針對這個問題,在中小型網(wǎng)絡(luò)運行中我們可以采取封禁P2P的應(yīng)用端口或者對并發(fā)連接數(shù)進行限制等方法來控制網(wǎng)絡(luò)流量����。首先,對P2P的應(yīng)用端口進行封禁�����。正如上文所述��,在中小型網(wǎng)路中各種下載工具和視頻播放工具等P2P占用了很多流量��,我們可以使用電腦中的路由器或者防火墻等對P2P應(yīng)用進行封禁��。這種方法在運用的早期收到一定的成效,后來的流量控制效果并不是十分理想��。其次�����,限制并發(fā)連接的數(shù)量��。當(dāng)我們在運用P2P軟件在網(wǎng)絡(luò)上查找資源的時候�,會帶到很多的網(wǎng)絡(luò)連接,此時便會使網(wǎng)絡(luò)流量大量增加�。如果我們對連接到主機上的并發(fā)連接數(shù)量進行控制,就可以有效限制它所占用的流量�����。這種方法有一定的成效�,但會在一定程度上對網(wǎng)絡(luò)正常運行造成影響。
1.2 運用專業(yè)的流量控制設(shè)備���。在中小型網(wǎng)絡(luò)運行中,我們還可以使用專業(yè)的流量控制設(shè)備對其進行流量控制�����。就目前的技術(shù)水平來看,主要的流量控制技術(shù)包括深度報文檢測(DPI)和深度流行為檢測(DFI)等����。以此技術(shù)為基礎(chǔ),現(xiàn)在應(yīng)用比較多的專業(yè)流量控制設(shè)備廠商主要有華三����、思科以及Allot等。這些廠商生產(chǎn)的專業(yè)流量控制設(shè)備具有良好的流量控制作用��,但是�����,它也存在一定的缺陷���,比如�����,專業(yè)流量控制設(shè)備的價格比較昂貴�。
1.3 對網(wǎng)絡(luò)用戶的流量和寬帶進行限制��。為了控制中小型網(wǎng)絡(luò)中的流量��,我們還可以采用限制用戶流量和寬帶的方法進行控制。首先�,限制用戶流量。我們可以使用城市熱點或者防火墻等設(shè)備對網(wǎng)絡(luò)中用戶的流量進行控制�。這種方法確實發(fā)揮了控制流量的作用,但是�,有時用戶正在使用網(wǎng)絡(luò),由于流量限制導(dǎo)致無法上網(wǎng)����,就會影響到用戶的工作和學(xué)習(xí)。其次�����,限制用戶寬帶使用數(shù)量����。這種方法也在一定程度上發(fā)揮控制網(wǎng)絡(luò)流量的功效,但是���,由于用戶無法得到全部寬帶���,致使網(wǎng)絡(luò)運行的速度比較緩慢�。
2 流量控制方法在中小型校園網(wǎng)絡(luò)中的應(yīng)用
從上文的論述中���,我們可以了解到,各種流量控制方法各有優(yōu)劣����,在實際的應(yīng)用過程中,我們要從中小型網(wǎng)路的實際情況出發(fā)���,綜合分析多方面因素�����,選擇科學(xué)合理的流量控制方法��。下面��,我們就結(jié)合某學(xué)校一中小型的校園網(wǎng)絡(luò)����,對流量控制方法的具體應(yīng)用進行分析��。
2.1 校園網(wǎng)概況�。某學(xué)校為了滿足教學(xué)工作需要,建設(shè)了一個校園網(wǎng)。在該校園網(wǎng)中��,由2個10兆的互聯(lián)網(wǎng)與當(dāng)?shù)氐慕炭凭W(wǎng)和電信網(wǎng)進行連接��,依據(jù)教學(xué)的功能�����,校園網(wǎng)中被劃分成多個VLAN���,從而為學(xué)校教學(xué)和教務(wù)工作的開展提供網(wǎng)絡(luò)服務(wù)��。但是���,從現(xiàn)實情況來看,校園網(wǎng)中存在客戶端安全問題�、接入控制問題以及上網(wǎng)速度慢問題等,致使校園網(wǎng)在使用的過程中出現(xiàn)網(wǎng)頁打不開甚至斷網(wǎng)等問題���,影響了校園網(wǎng)正常功能的發(fā)揮���。
在上圖的校園網(wǎng)流量控制設(shè)備部署中,我們利用流量網(wǎng)絡(luò)開關(guān)�����,有效實現(xiàn)了對校園網(wǎng)的流量控制。具體來說����,流量控制主要表現(xiàn)在以下幾個方面��。(1)對P2P應(yīng)用進行了控制��。為了保證P2P應(yīng)用的正常使用同時減少它對網(wǎng)速的影響�����,我們設(shè)立了P2P應(yīng)用流量通道���,對快車��、迅雷等P2P應(yīng)用軟件的流量限制在一定范圍之內(nèi)�����,并根據(jù)網(wǎng)速變化作出一些動態(tài)調(diào)整���。比如����,在校園網(wǎng)高峰期�����,我們可以適當(dāng)降低對P2P應(yīng)用的限制��,當(dāng)校園網(wǎng)處于低谷期���,我們可以調(diào)高對P2P應(yīng)用的限制����,從而保證校園網(wǎng)絡(luò)的有效利用����。(2)對不同用戶實施不同部署。在校園網(wǎng)運行中����,針對不同用戶的需求,我們制定了不同的網(wǎng)絡(luò)流量管理方法���。比如�,針對學(xué)校的辦公網(wǎng)絡(luò),我們可以適當(dāng)限制P2P應(yīng)用的流量�,而對于學(xué)校教學(xué)機房中的網(wǎng)絡(luò),則要嚴(yán)格控制P2P應(yīng)用的流量��,盡量減少這些與教學(xué)無關(guān)的應(yīng)用占用大量的流量��,保證教學(xué)網(wǎng)絡(luò)速度�。(3)加強校園網(wǎng)接入安全管理����。在過去,由于缺乏相應(yīng)的技術(shù)和管理設(shè)備�����,校園網(wǎng)中對客戶端接入缺乏安全管理����,校外其他一些用戶可以隨意接入到校園網(wǎng)中,不僅占用了校園網(wǎng)的流量���,而且給校園網(wǎng)安全造成嚴(yán)重威脅����。針對這個問題,我們可以采取客戶端接入控制和安全性檢測等方法對校園網(wǎng)接入安全進行管理�,這樣一來,只有符合要求的用戶才可以接入到校園網(wǎng)中��,不僅提高了校園網(wǎng)的運行的安全性�,而且對校園網(wǎng)流量控制具有一定的作用。
3 結(jié)束語
綜上所述����,近年來,隨著經(jīng)濟社會的發(fā)展�,中小型網(wǎng)絡(luò)在我們生產(chǎn)生活中的作用越來越突出。鑒于此����,我們要加強對中小型網(wǎng)絡(luò)的管理,使它更好地為人們提供網(wǎng)絡(luò)服務(wù)����。但是,在現(xiàn)實中��,由于多種原因?qū)е轮行⌒途W(wǎng)絡(luò)流量增加��,影響了網(wǎng)絡(luò)的正常運行���。針對這個問題�����,我們在分析網(wǎng)絡(luò)實際情況的基礎(chǔ)上�����,選擇恰當(dāng)?shù)牧髁靠刂品椒▽W(wǎng)絡(luò)流量進行有效控制����,促使中小型網(wǎng)絡(luò)資源得到合理利用���。
參考文獻:
[1]鄭林江.基于交換機流量和網(wǎng)絡(luò)線路的監(jiān)控系統(tǒng)[J].計算機應(yīng)用�����,2009(S2):18-19.
[2]胡俊���,程瑾.網(wǎng)絡(luò)流量管理控制技術(shù)在校園網(wǎng)的應(yīng)用研究[J].中國教育信息化,2009(21):58-59.
[3]牛軍�,余萍萍,李思恩.校園網(wǎng)流量控制初探[J].中國教育信息化�,2009(04):152-153.
[4]劉磊����,李聞天�,肖.校園網(wǎng)中P2P應(yīng)用的管理策略及流量監(jiān)控初探[J].昆明理工大學(xué)學(xué)報(理工版),2008(03):48-49.
第2篇
【關(guān)鍵詞】IP網(wǎng)絡(luò)流量分析���;互聯(lián)網(wǎng)�����;技術(shù)的應(yīng)用
網(wǎng)絡(luò)流量分析是一個有助于網(wǎng)絡(luò)管理者進行網(wǎng)絡(luò)優(yōu)化�、網(wǎng)絡(luò)監(jiān)控��、流量趨勢分析等工作的工具�,進而挖掘網(wǎng)絡(luò)資源潛力,控制網(wǎng)絡(luò)互聯(lián)成本���,并為網(wǎng)絡(luò)規(guī)劃����、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)�,企業(yè)需要及時了解到網(wǎng)絡(luò)中承載的業(yè)務(wù),及時掌握網(wǎng)絡(luò)流量特征,及時解決網(wǎng)絡(luò)性能問題�。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問題來看,需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時了解到詳細的網(wǎng)絡(luò)使用情形���,使網(wǎng)絡(luò)管理人員及時了解網(wǎng)絡(luò)運行狀況��,及時清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況����。隨著網(wǎng)絡(luò)的發(fā)展���,流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用��。
1.網(wǎng)絡(luò)流量分析方法
網(wǎng)絡(luò)流量是單位時間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量�����。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開,目前�,主要的分析方法有流量的統(tǒng)計分析和流量的粒度分析等。
1.1 網(wǎng)絡(luò)流量的統(tǒng)計分析
(1)基于軟件的流量統(tǒng)計
這種統(tǒng)計分析一般通過修改安裝于主機上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊����,使之具有捕獲數(shù)據(jù)包的功能,以實現(xiàn)流量信息的收集和分析����?���;谟布牧髁拷y(tǒng)計效率很高���,專用性強����,但是價格昂貴對人員要求高�����,而基于軟件的流量統(tǒng)計有價格便宜�����,實現(xiàn)靈活����,擴展性強的優(yōu)點,但其性能要低于基于硬件的統(tǒng)計技術(shù)����。因此����,流量統(tǒng)計方法有待進一步的提高�����,以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求���。
(2)基于硬件的流量統(tǒng)計
此類分析通常采用硬件測量設(shè)備����,是一種為特定目的設(shè)計的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備�。
1.2 網(wǎng)絡(luò)流量的粒度分析
網(wǎng)絡(luò)流量行為特征的分析還可以在不同測量粒度或者不同的層面上展開。
比特級(Bit-level)的流量分析�,這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征,如網(wǎng)絡(luò)線路的傳輸速率���,吞吐量的變化等等���。
分組級(Packet-level)的流量分析��,此類分析主要關(guān)注的是IP分組的到達過程、延遲���、抖動和丟包率等����。
流級(Flow-level)的流量分析�����,F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開的��,它主要關(guān)注流的到達過程�����、到達間隔及其局部的特征����。
上面流量的粒度由小到大遞增,時間尺度也逐漸增大�����,不同時間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律�����。通常,網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能����,因此,F(xiàn)low-level的流量分析成為發(fā)展趨勢��。
2.網(wǎng)絡(luò)流量分析常用技術(shù)
隨著計算機技術(shù)的發(fā)展�����,網(wǎng)絡(luò)流量分析技術(shù)也與時俱進��。既有傳統(tǒng)的數(shù)據(jù)庫的網(wǎng)絡(luò)管理技術(shù)�,也有面向開放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前�,在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有:
2.1 RMON技術(shù)
RMON(遠程監(jiān)控),是由IETF定義的一種遠程監(jiān)控標(biāo)準(zhǔn)���,RMON是對SNMP標(biāo)準(zhǔn)的擴展����,它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠程監(jiān)控器之間的接口���,實現(xiàn)對一個網(wǎng)段乃至整個網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能�。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù):一種是通過專用的RMON探針(Probe)��,流量探針安裝方便�,但是流量探針價格昂貴,不適合大面積部署�����。另一種方法是將RMON直接植入網(wǎng)絡(luò)設(shè)備(路由器����、交換機、HUB等)�,但這種方式受網(wǎng)絡(luò)設(shè)備資源限制,一般不能獲取RMONMIB的所有數(shù)據(jù)����,大多數(shù)只收集統(tǒng)計量、歷史�、告警、事件等四個組的信息�。
2.2 SNMP技術(shù)
SNMP是用標(biāo)準(zhǔn)化方法定義的,通常一個標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個組成部分:SNMP協(xié)議�����,這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息���;管理信息結(jié)構(gòu)�����,它是用于指定一個設(shè)備維護的管理信息的規(guī)則集�����;管理信息庫���,它是設(shè)備所維護的全部被管理對象的結(jié)構(gòu)集合?;赟NMP的流量分析就是通過SNMP協(xié)議訪問設(shè)備獲取MIB庫中的端口流量信息,典型工具有MRTG�,MRTG是一個使用的免費軟件,通過SNMP協(xié)議從設(shè)備得到流量信息����,將流量負(fù)載情況繪制成PNG格式圖片,并以WEB形式顯示給用戶�。由于M RTG使用起來很方便�,能夠直觀顯示端口流量負(fù)載����,所以是各類網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一�����,其收集到的流量信息僅是簡單的端口出�、入流量統(tǒng)計信息�����,不能深入分析包的類型����、流向等信息。
2.3 s Flow技術(shù)
s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)����,它采用數(shù)據(jù)流隨機采樣技術(shù),可提供完整的第一層到第四層����,甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息���,可以適應(yīng)超大網(wǎng)絡(luò)流量(如人于10Gbit/s)環(huán)境下的流量分析,讓用戶詳細�����、實時地分析網(wǎng)絡(luò)傳輸流的性能�、趨勢和存在的問題。sFlow技術(shù)有很多優(yōu)點:成本低廉���;在不斷發(fā)展升級當(dāng)中�����,能在沒有消耗額外資源的環(huán)境監(jiān)測萬兆網(wǎng)絡(luò)���,不會帶來新的網(wǎng)絡(luò)沖突;有自己的一套準(zhǔn)確可靠的計量方式���;數(shù)據(jù)信息量人���。sFlow已經(jīng)成為一項線速運行的“永遠在線”技術(shù),可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機ASIC芯片中。與使用鏡像端口�����、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比����,sFlow能夠明顯地降低實施費用,同時可以使實現(xiàn)而向每一個端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能��。
3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用
網(wǎng)絡(luò)流量分析起著一個銜接的作用����,主要利用網(wǎng)絡(luò)流量測量部分收集到的各種流量信息�����,通過運用不同的方法對其進行分析和建模���,以發(fā)現(xiàn)流量的特性�,對網(wǎng)絡(luò)性能做出客觀的評價����,并以此作為對網(wǎng)絡(luò)進行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個方面:
3.1 實施安全預(yù)警
網(wǎng)絡(luò)流量異常會嚴(yán)重影響網(wǎng)絡(luò)性能,造成網(wǎng)絡(luò)擁塞��,嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷����,使網(wǎng)絡(luò)設(shè)備利用率達到100%無法響應(yīng)進一步的指令。通過對網(wǎng)絡(luò)內(nèi)流量的實時分析����,有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量,迅速分析出異常流量的具體屬性����,并向網(wǎng)絡(luò)管理者進行告警,判斷是否出現(xiàn)了入侵��,并按照事先擬定的規(guī)則集進行處理����,記錄異常情況發(fā)生時的詳細網(wǎng)絡(luò)狀況,使入侵得到及時發(fā)現(xiàn)和處理��。
3.2 分析用戶行為
根據(jù)分析結(jié)果��,進行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)�!將用戶感興趣的熱點信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)���,減輕互聯(lián)鏈路的壓力。
3.3 節(jié)省運營費用
通過對網(wǎng)絡(luò)出口流量和流向的分析�,可以統(tǒng)計出業(yè)務(wù)類型、服務(wù)等級�����、通信時間和時長����、通信數(shù)據(jù)量等參數(shù),可以詳細了解網(wǎng)絡(luò)內(nèi)部用戶對其他外部網(wǎng)絡(luò)的訪問情況�,為基于IP的計費應(yīng)用和SLA的校驗服務(wù)提供數(shù)據(jù)依據(jù),從而有效地選擇與其他運營商的互聯(lián)方式���,節(jié)省費用。
3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)
通過對網(wǎng)絡(luò)中一些特定流量的長期監(jiān)控���,獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對其進行統(tǒng)計和計算��。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)��,定期形成性能報表�����,并維護網(wǎng)絡(luò)流量數(shù)據(jù)庫或日志存儲網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)�����,可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況�����,對網(wǎng)絡(luò)及其主要成分的性能進行性能管理�����。通過數(shù)據(jù)分析獲得性能的變化趨勢�,分析制約網(wǎng)絡(luò)性能的瓶頸問題。
3.5 評估網(wǎng)絡(luò)價
通過對各個分支網(wǎng)絡(luò)出入流量的監(jiān)控�,分析流量的大小﹑去向及內(nèi)容組成,了解各分支網(wǎng)絡(luò)占用帶寬的情況�。從而反映其占用的網(wǎng)絡(luò)成本,也可以了解其業(yè)務(wù)開展情況����,并作出價值評估。
3.6 確定重點客戶
通過對重要應(yīng)用和大客戶的流量進行統(tǒng)計分析�。掌握重要應(yīng)用和大客戶的流量狀況��,進行網(wǎng)絡(luò)帶寬的成本分析�����。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡��。
4.網(wǎng)絡(luò)流量分析的重要性
相對于網(wǎng)絡(luò)管理人員來說�,理解用戶的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容���,它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來網(wǎng)絡(luò)升級等提供重要依據(jù)��,通過網(wǎng)絡(luò)流量分析�,可以提供大量詳盡的數(shù)據(jù)�,供網(wǎng)管人員從很多方面進行更好地維護﹑優(yōu)化網(wǎng)絡(luò),并且提升網(wǎng)絡(luò)的性能��;同時還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)���,為特定客戶提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計分析等��;也可作為網(wǎng)絡(luò)安全的輔助手段�����,處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時��,網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化��,因此��,對網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運行和維護提供重要信息和深層次的管理功能���,很好地發(fā)揮網(wǎng)絡(luò)管理作用�����。對于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測﹑鏈路狀態(tài)監(jiān)測﹑容量規(guī)劃等發(fā)揮著重要作用�����。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)�����,可以預(yù)見���,隨著網(wǎng)絡(luò)的發(fā)展�,流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用���。
參考文獻
[1]李萬鵬.網(wǎng)絡(luò)流量控制及流量分析[D].北京郵電大學(xué)�,2011.
第3篇
關(guān)鍵詞:網(wǎng)絡(luò)服務(wù)器;流量分析;流量監(jiān)控
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 05-0000-02
Network Server Traffic Analysis
Zhu Ye
(TravelSky Technology Limited,Beijing100029,China)
Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9�����、IPFIX and PSAM.At last,proposes software framework design pattern.
KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control
一�����、前言
今天的數(shù)據(jù)網(wǎng)絡(luò)給我們的生活��、工作和人與人之間的溝通帶來了極大的方便,網(wǎng)絡(luò)業(yè)務(wù)日趨豐富,網(wǎng)絡(luò)流量高速增長����。同時,網(wǎng)絡(luò)運營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規(guī)模擴張的粗放型競爭模式已經(jīng)不適應(yīng)當(dāng)前的形式。挖掘現(xiàn)有網(wǎng)絡(luò)資源潛力,控制網(wǎng)絡(luò)互聯(lián)成本,提供有吸引力的增值業(yè)務(wù),提高網(wǎng)絡(luò)運維水平成為在激烈競爭中的制勝策而要實現(xiàn)這些,都離不開可靠���、有效的網(wǎng)絡(luò)流量監(jiān)控的有力支撐���。
二�����、網(wǎng)絡(luò)流量監(jiān)控和分析的意義
用戶現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)在長期的網(wǎng)絡(luò)流量分析方面存在不足。主要表現(xiàn)在如下方面:
(一)長期的網(wǎng)絡(luò)和應(yīng)用問題分析能力不足
現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)無法長期的紀(jì)錄網(wǎng)絡(luò)和應(yīng)用的運行狀態(tài),無法長期的保存網(wǎng)絡(luò)流量信息,在出現(xiàn)網(wǎng)絡(luò)或應(yīng)用問題時,不能為網(wǎng)絡(luò)技術(shù)人員提供有效的信息依據(jù),問題往往是依靠網(wǎng)絡(luò)技術(shù)人員通過推斷來分析,這樣網(wǎng)絡(luò)問題的分析效率很低,同時很難得到確實的分析結(jié)論����。
(二)缺乏對網(wǎng)絡(luò)和應(yīng)用間歇性問題的分析能力
網(wǎng)絡(luò)或應(yīng)用可能出現(xiàn)間歇性故障,這種故障的出現(xiàn)一般很難判斷,在出現(xiàn)后很難分析其產(chǎn)生原因,而再次出現(xiàn)的時間無法確定,因此難以解決,好像網(wǎng)絡(luò)中存在一個不定時的炸彈,使用戶網(wǎng)絡(luò)和應(yīng)用時刻處于危險之中。
(三)對網(wǎng)絡(luò)安全問題的分析能力不足
在發(fā)生網(wǎng)絡(luò)安全問題時,缺乏有效的監(jiān)控分析手段,導(dǎo)致網(wǎng)絡(luò)的安全性降低,例如蠕蟲病毒的爆發(fā),應(yīng)該能夠?qū)θ湎x病毒的傳播情況進行有效的分析����。
三、網(wǎng)絡(luò)流量分析內(nèi)容
流量分析系統(tǒng)主要從帶寬的網(wǎng)絡(luò)流量分析�����、網(wǎng)絡(luò)協(xié)議流量分析�、基于網(wǎng)段的業(yè)務(wù)流量分析、網(wǎng)絡(luò)異常流量分析���、應(yīng)用服務(wù)異常流量分析等五個方面對網(wǎng)絡(luò)系統(tǒng)進行綜合流量分析���。
(一)帶寬的網(wǎng)絡(luò)流量分析
復(fù)雜的網(wǎng)絡(luò)系統(tǒng)上面,不同的應(yīng)用占用不同的帶寬,重要的應(yīng)用是否得到了最佳的帶寬?它占的比例是多少?隊列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效?通過基于帶寬的網(wǎng)絡(luò)流量分析會使其更加明確。工具主要有MRTG等,它是一個監(jiān)控網(wǎng)絡(luò)鏈路流量負(fù)載的工具軟件, 它通過snmp協(xié)議從設(shè)備得到設(shè)備的流量信息,并將流量負(fù)載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負(fù)載���。
(二)網(wǎng)絡(luò)協(xié)議流量分析
對網(wǎng)絡(luò)流量進行協(xié)議劃分,真對不同的協(xié)議我們進行流量監(jiān)控和分析,如果某一個協(xié)議在一個時間段內(nèi)出現(xiàn)超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現(xiàn)�。Cisco NetFlow V5可以根據(jù)不同的協(xié)議對網(wǎng)絡(luò)流量進行劃分,對不同協(xié)議流量進行分別匯總。
(三)基于網(wǎng)段的業(yè)務(wù)流量分析
流量分析系統(tǒng)可以針對不同的VLAN來進行網(wǎng)絡(luò)流量監(jiān)控,大多數(shù)組織,都是不同的業(yè)務(wù)系統(tǒng)通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統(tǒng)針對不同的VLAN 來對不同的業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流量進行監(jiān)控�。Cisco NetFlow V5可以針對不同的VLAN進行流量監(jiān)控。
(四)網(wǎng)絡(luò)異常流量分析
異常流量分析系統(tǒng),支持異常流量發(fā)現(xiàn)和報警,能夠通過對一個時間窗內(nèi)歷史數(shù)據(jù)的自動學(xué)習(xí),獲取包括總體網(wǎng)絡(luò)流量水平�����、流量波動���、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測度,并自動建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎(chǔ)�����。能把焦點放在組織的核心業(yè)務(wù)上�。通過積極主動鑒定和防止針對網(wǎng)絡(luò)的安全威脅,保證了服務(wù)水平協(xié)議(SLA)并且改進顧客服務(wù), 從而為組織節(jié)約成本��。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺���、PeakFlow Traffic流量管理平臺等��。
(五)應(yīng)用服務(wù)異常流量分析
當(dāng)應(yīng)用層出現(xiàn)異常流量時,通過IDS&IPS的協(xié)議分析���、協(xié)議識別技術(shù)可以對應(yīng)用層進行深層的流量分析,并通過IPS的安全防護技術(shù)進行反擊。
四、網(wǎng)絡(luò)流量控制解決方案建議
對于目前運營商對網(wǎng)絡(luò)流量控制的需要,論文推薦的流量控制解決方案構(gòu)架是:全網(wǎng)集中監(jiān)視+重點控制����。全網(wǎng)集中監(jiān)視反映的是對整個網(wǎng)絡(luò)的性能監(jiān)視和分析����。重點控制是在網(wǎng)絡(luò)中的關(guān)鍵位置部署監(jiān)控探針,在網(wǎng)絡(luò)中心設(shè)置管理系統(tǒng),以實現(xiàn)運營商在遠程對重點地區(qū)進行更加細致的監(jiān)視和控制作用。
(一)監(jiān)控探針的放置點建議
國際出口�����、網(wǎng)絡(luò)互聯(lián)端口�、骨干網(wǎng)的重要中繼、重要城市的城域網(wǎng)出口等位置�。
(二)全網(wǎng)集中監(jiān)視主要實現(xiàn)的功能
實時監(jiān)測網(wǎng)絡(luò)狀況。能實時獲得網(wǎng)絡(luò)的當(dāng)前運行狀況,減輕運維人員工作負(fù)擔(dān)�。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時自動告警,在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和預(yù)測。
合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)�����。通過對網(wǎng)絡(luò)流量的監(jiān)視�、數(shù)據(jù)采集和分析,給出詳細的鏈路和節(jié)點流量分析報告,獲得流量分布和流向分布、報文特性和協(xié)議協(xié)分布特性,為網(wǎng)絡(luò)規(guī)劃���、路由策略��、資源和容量升級提供依據(jù)���。
引導(dǎo)提供網(wǎng)絡(luò)增值業(yè)務(wù)���。通過對業(yè)務(wù)占用帶寬的分布、業(yè)務(wù)會話的統(tǒng)計分析,能夠了解和分析網(wǎng)絡(luò)特性和用戶使用偏好,引導(dǎo)開發(fā)和規(guī)劃新的網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)平臺,進行增值業(yè)務(wù)的拓展和市場宣傳,引導(dǎo)用戶需求����。
靈活的資費標(biāo)準(zhǔn)。通過對用戶上網(wǎng)時長��、上網(wǎng)流量��、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站的數(shù)據(jù)分析,擺脫目前單一的包月制,實現(xiàn)基于時間段���、帶寬��、應(yīng)用��、服務(wù)質(zhì)量等更加靈活的資費標(biāo)準(zhǔn)��。
(三)重點控制實現(xiàn)的功能包括
提供主動的控制功能���。不僅僅局限于對網(wǎng)絡(luò)流量狀況的獲得,還能夠提供基于網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)GATE 1000硬件平臺和業(yè)界領(lǐng)先算法的流量控制功能,主動改進網(wǎng)絡(luò)服務(wù)�����。
滿足重點監(jiān)控需要���?���?梢蕴峁┴S富的監(jiān)控特征參數(shù),可以進行靈活的復(fù)合設(shè)定,全面滿足運營商需要,也可以通過定制來實現(xiàn)特定要求。
降低互聯(lián)互通成本�����。獲得重點出口中繼鏈路的利用率�、用戶和協(xié)議分布、源和目的網(wǎng)段間的流量分布和趨勢,提供運營和互聯(lián)成本分析�����。為網(wǎng)絡(luò)互通��、租用中繼以及選擇商業(yè)戰(zhàn)略伙伴決策時提供科學(xué)依據(jù),降低成本�����。
實現(xiàn)區(qū)分服務(wù),保證服務(wù)質(zhì)量。流量監(jiān)控獲得的數(shù)據(jù),可進行高低優(yōu)先級客戶的網(wǎng)絡(luò)資源占用率分析���、服務(wù)質(zhì)量的監(jiān)測�。通過資費政策的調(diào)節(jié)�、業(yè)務(wù)等級的區(qū)分、在中繼線路上實施流量控制,優(yōu)先保證高優(yōu)先客戶的服務(wù)質(zhì)量���。
網(wǎng)絡(luò)安全和抵御DOS攻擊���。通過連接會話數(shù)的跟蹤,源目的地址對的分析,TCP流的分析,能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和異常連接,偵測和定位網(wǎng)絡(luò)潛在的安全問題和攻擊行為,保障網(wǎng)絡(luò)安全。
五����、IPFIX與PSAMP標(biāo)準(zhǔn)
IPFIX(IP Flow Information Export,IP流動信息輸出)是IETF的技術(shù)人員2004年才制訂的一項規(guī)范,使得網(wǎng)絡(luò)中流量統(tǒng)計信息的格式趨于標(biāo)準(zhǔn)化。該協(xié)議工作于任何廠商的路由器和管理系統(tǒng)平臺之上,并用于輸出基于路由器的流量統(tǒng)計信息�。
IPFIX定義的格式為Cisco的NetFlow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ),可使IP流量信息從一個輸出器(路由器或交換機)傳送到另一個收集器。因為IPFIX具有很強的可擴展性,因此網(wǎng)絡(luò)管理員們可以自由地添加或更改域(特定的參數(shù)和協(xié)議),以便更方便地監(jiān)控IP流量信息��。使用模板的方便之處在于網(wǎng)管和廠商不必為了用戶能夠查看流量統(tǒng)計信息,而每次都要更換軟件
為了完整地輸出數(shù)據(jù),路由器一般以七個關(guān)鍵域來表示每股網(wǎng)絡(luò)流量:源IP地址���、目的地IP地址�����、源端口���、目的端口�����、三層協(xié)議類型����、服務(wù)類型字節(jié)��、輸入邏輯接口�����。如果不同的包中所有的七個關(guān)鍵域都匹配,那么所有這些包都將被視為屬于同一股流量�。此外,一些系統(tǒng)中還有為了網(wǎng)絡(luò)統(tǒng)計進行跟蹤而附加的非關(guān)鍵域,包括源IP掩碼�����、目的地IP掩碼��、源地址自治系統(tǒng)(autonomous system)、目的地自治系統(tǒng)�����、TCP flag�����、目的地接口以及IP next-hop等�。按照IPFIX標(biāo)準(zhǔn),如果網(wǎng)絡(luò)操作人員想以附加的非關(guān)鍵域來描述包,那么基于模板的格式會在輸出包的報頭之后插入一個新域,并新增新的模板記錄。
六�����、網(wǎng)絡(luò)監(jiān)測系統(tǒng)框架
采用不同的檢測方法,通過分布式監(jiān)測方式對通過高速IP網(wǎng)絡(luò)的數(shù)據(jù)包進行統(tǒng)計和分析�����。采集服務(wù)器搜集的數(shù)據(jù)包及統(tǒng)計數(shù)據(jù)被傳送到綜合服務(wù)器,經(jīng)合并處理后存入數(shù)據(jù)庫,并進行進一步的分析處理�����。在這個過程中,可應(yīng)用Netflow v9�、IPFIX以及PSAMP等標(biāo)準(zhǔn)和協(xié)議,實現(xiàn)對采集數(shù)據(jù)的編碼與傳輸。與通常的SNMP�、Netflow及其它網(wǎng)管標(biāo)準(zhǔn)不同的是,該框架采取了PSAMP標(biāo)準(zhǔn)及技術(shù),在不降低監(jiān)測與分析效果的情況下,盡量減少檢測數(shù)據(jù)量����。
整個框架從總體看,可分為網(wǎng)絡(luò)流量數(shù)據(jù)采集和網(wǎng)絡(luò)數(shù)據(jù)分析兩大部分�����。
網(wǎng)絡(luò)流量數(shù)據(jù)采集:為適應(yīng)不斷發(fā)展的高速網(wǎng)絡(luò)應(yīng)用,框架中采用了分布式網(wǎng)絡(luò)流量數(shù)據(jù)采集方案,IP流數(shù)據(jù)可從不同的設(shè)備以不同的方法來獲取�����。利用路由器/交換機的數(shù)據(jù)流量采集功能或是從其他IPFIX/PSAMP數(shù)據(jù)采集設(shè)備,也可直接從網(wǎng)絡(luò)接口卡等網(wǎng)絡(luò)數(shù)據(jù)包攝入設(shè)備來得到網(wǎng)絡(luò)數(shù)據(jù),然后再以不同的標(biāo)準(zhǔn),最終由網(wǎng)絡(luò)流量數(shù)據(jù)采集服務(wù)器將所有傳來的不同格式的數(shù)據(jù)集中�����。
為體現(xiàn)現(xiàn)代計算機應(yīng)用中的兼容性,框架中對網(wǎng)絡(luò)硬件接口的應(yīng)用方面,突出了其應(yīng)用多樣性�。這樣,在原有硬件設(shè)備的基礎(chǔ)上,如普通的網(wǎng)卡(NIC)���、基于硬件時間戳的Endace DAG卡或者其它的專用FPGA網(wǎng)絡(luò)接口設(shè)備,都可以在libpcap�����、winpcap等庫的支持下,由BPF虛擬處理器作為缺省的包捕獲工具���。在包捕獲的軟件實現(xiàn)上,采用了多線程機制,使用不同形式的數(shù)據(jù)隊列和數(shù)據(jù)緩沖設(shè)備,以應(yīng)對突發(fā)的大量數(shù)據(jù)包���。
接下來對捕獲的數(shù)據(jù)包,分別交由兩種方法和途徑進行處理:在Netflow標(biāo)準(zhǔn)支持下,同步完成記帳業(yè)務(wù)。在這種操作模式下,傳送的總的數(shù)據(jù)量可以被統(tǒng)計下來���。數(shù)據(jù)分析模塊利用PSAMP協(xié)議,根據(jù)不同的具體需求采取不同的取樣算法,對數(shù)據(jù)包進行過濾和抽取以進行分析處理�。這樣就可以根據(jù)實際的需要來進行選擇,以減少傳輸和分析處理的數(shù)據(jù)量����。
網(wǎng)絡(luò)數(shù)據(jù)分析:對采集來的網(wǎng)絡(luò)流量數(shù)據(jù),根據(jù)不用的應(yīng)用要進行詳細的分析處理?����?蚣苤羞@個部分的設(shè)計采用以SQL數(shù)據(jù)庫為中心的分布式數(shù)據(jù)集中和分析的方法���。
以DBMS為中心的操作可以獲得更好的分析樣本以及統(tǒng)計粒度���。此外,為便于網(wǎng)絡(luò)管理人員的操作,框架中應(yīng)用基于Web的直觀的、圖形化的管理界面,所有數(shù)據(jù)輸出都以腳本語言(XML)的形式,直接在Web頁面中顯示����。管理人員可以實時觀察網(wǎng)絡(luò)運行狀況,還可以對歷史數(shù)據(jù)進行瀏覽、分析,同時還可這些實時數(shù)據(jù)傳送到其他應(yīng)用系統(tǒng),如分布式入侵檢測系統(tǒng)、網(wǎng)絡(luò)跟蹤等��。
七����、結(jié)束語
總的來說,在網(wǎng)絡(luò)設(shè)備上配置網(wǎng)絡(luò)流量監(jiān)控系統(tǒng),對網(wǎng)絡(luò)流量進行分析和監(jiān)控,好處還是顯而易見的。特別是對于網(wǎng)絡(luò)流量負(fù)荷比較大的網(wǎng)絡(luò)�����?�?梢杂行У墓?jié)省網(wǎng)絡(luò)帶寬和處理資源����。也可以作為計費或者流量控制或者網(wǎng)絡(luò)規(guī)劃的參考。
參考文獻
[1]謝希仁.計算機網(wǎng)絡(luò).大連理工大學(xué)出版社
第4篇
論文關(guān)鍵詞:多媒體,網(wǎng)絡(luò),流量,分析
1 多媒體流量分析的基礎(chǔ)
多媒體在應(yīng)用層面對于用戶的強大支持�����,映射到其數(shù)據(jù)層面���,必然是不容忽視的大量不同數(shù)據(jù)格式。而在這樣的環(huán)境之下���,想要展開有效的網(wǎng)絡(luò)流量分析�,實現(xiàn)對于通信資源的優(yōu)化利用,首先必須展開對于多媒體報文的有效分類�����。每一個報文都會在這個過程中被分類到對應(yīng)的類型��,而后進一步依據(jù)運營商制定的傳輸優(yōu)先策略對其展開傳輸處理�����。
多媒體流分類問題可抽象成從多媒體報文映射到流類型的過程�,多媒體報文流經(jīng)流分類器,即展開對于其的辨別并且添加相關(guān)的類型標(biāo)識�,通常會將該標(biāo)志寫入報文頭部字段中,便于后續(xù)識別和處理�����。在識別的過程中��,可供識別多媒體流的方法主要有三種��,即基于報文頭部信息的分類方法��、基于數(shù)據(jù)包載荷內(nèi)容的分類方法以及基于流量統(tǒng)計模型的分類方法。其中基于報文頭部信息的分類方法�����,即依據(jù)報頭中的多元組信息展開工作�,將其與預(yù)先定義的規(guī)則集進行比對匹配,并且確定出媒體流的對應(yīng)分類進行標(biāo)識�。此種工作方式相對簡單,因此發(fā)展也趨于成熟���,效率較高�����,但是在識別過程中由于多媒體應(yīng)用使用的端口通常并不固定�����,因此針對而言準(zhǔn)確率比較有限���。而基于數(shù)據(jù)包載荷內(nèi)容的分類方法則面向報文載荷信息展開識別和工作,進一步又可以針對應(yīng)用層協(xié)議展開解析或針對載荷內(nèi)容展開特征解析�����。此種識別方式工作準(zhǔn)確率基本有所保證��,但是對于某些私有協(xié)議以及加密數(shù)據(jù)流�����,會因為無法有效提取特征信息而導(dǎo)致識別失敗�����。最后��,基于流量統(tǒng)計模型的分類方法主要是關(guān)注多媒體流量特征���,通過流量來判斷多媒體數(shù)據(jù)的傳輸行為模式�����,諸如數(shù)據(jù)包的大小以及包與包之間的間隔時間等方面特征�����。此種方式能夠?qū)崿F(xiàn)系統(tǒng)的自主學(xué)習(xí)�,但是會存在一定的分類延時�����。
2 網(wǎng)絡(luò)流量分析技術(shù)淺議
對多媒體進行標(biāo)識之后,可以在網(wǎng)絡(luò)環(huán)境中展開更為有效的網(wǎng)絡(luò)流量分析�����。已經(jīng)被標(biāo)記的信息流在傳輸過程中能夠表現(xiàn)出不同的對于資源的占用��,以此作為依據(jù)展開更具有針對性的網(wǎng)絡(luò)流量分析��,對于整體網(wǎng)絡(luò)數(shù)據(jù)傳輸資源和功能的優(yōu)化都必然有著積極價值���。
隨著計算機技術(shù)的不斷成熟�����,網(wǎng)絡(luò)流量分析技術(shù)也呈現(xiàn)出不斷發(fā)展的特征����。當(dāng)前的流量分析技術(shù)�,主要是在傳統(tǒng)的數(shù)據(jù)庫技術(shù)基礎(chǔ)之上,以一種開放的態(tài)度構(gòu)建起支持自學(xué)習(xí)的網(wǎng)絡(luò)流量分析系統(tǒng)�,從而實現(xiàn)整個體系的智能化。就目前的狀況看��,常見的幾種流量分析技術(shù)有以下幾種。小學(xué)德育論文
1)SNMP技術(shù)�����。此種技術(shù)主要用于實現(xiàn)面向網(wǎng)絡(luò)環(huán)境中多種類型設(shè)備展開監(jiān)控和管理���,并且對既有問題進行定位。該技術(shù)系統(tǒng)包括SNMP協(xié)議�、管理信息結(jié)構(gòu)以及管理信息庫三個部分構(gòu)成,其中SNMP協(xié)議用于實現(xiàn)在應(yīng)用程序和設(shè)備時間交換信息��,而管理信息結(jié)構(gòu)用于指定一個設(shè)備維護的管理信息的規(guī)則集���,最后管理信息庫用于明確設(shè)備所維護的全部被管理對象的結(jié)構(gòu)集合��。
2)RMON技術(shù)�����。該項技術(shù)由IETF定義�����,本身是對于SNMP技術(shù)的一種深入���。其對于標(biāo)準(zhǔn)功能以及網(wǎng)管站遠程監(jiān)控器之間的接口進行了重新定義�����,使得其能夠?qū)崿F(xiàn)更為順暢的數(shù)據(jù)交換�����,從而有助于展開對于網(wǎng)絡(luò)環(huán)境數(shù)據(jù)流量的更為有效監(jiān)視����。在RMON系統(tǒng)中��,當(dāng)探測器發(fā)現(xiàn)了一個非正常態(tài)的網(wǎng)絡(luò)段之后�,會主動與網(wǎng)絡(luò)維護管理控制臺接通聯(lián)絡(luò),并將對應(yīng)的網(wǎng)絡(luò)信息進行發(fā)送�,實現(xiàn)對于整體網(wǎng)絡(luò)流量的監(jiān)控和分析。
3)SFlow技術(shù)�。此種技術(shù)以隨機采樣作為主要的研究方式,并且能夠提供從第二層到第四層的相對完整的網(wǎng)絡(luò)流量分析信息���,這種分析甚至可以擴展到整個網(wǎng)絡(luò)環(huán)境中��,能夠?qū)崿F(xiàn)面向大數(shù)據(jù)流量的適應(yīng)�,尤其是在面向以流媒體作為主要流量資源占用的網(wǎng)絡(luò)環(huán)境時,仍然能夠保持穩(wěn)定的表現(xiàn)��。此種技術(shù)成本較低且不會因為引入其技術(shù)為網(wǎng)絡(luò)環(huán)境帶來新的沖突��,同時數(shù)據(jù)信息量大�����,能夠?qū)崿F(xiàn)更為完善的網(wǎng)絡(luò)分析�。
4)NetFlow技術(shù)�。此種技術(shù)主要用于實現(xiàn)網(wǎng)絡(luò)層高性能交換,首先被用于對網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)交換進行加速�。但是其核心是對于流緩存進行進一步的整理,因此在工作的過程中必然會能夠得到很多依據(jù)匯聚方法而統(tǒng)計的數(shù)據(jù)����,其中包括諸如源IP、目的IP以及源端口和目的端口以及相關(guān)傳輸協(xié)議與包數(shù)量等�,這些信息和統(tǒng)計數(shù)據(jù)對于深入展開網(wǎng)絡(luò)流量分析有著不容忽視的積極價值。
3 結(jié)論
在多媒體應(yīng)用的網(wǎng)絡(luò)環(huán)境中�,深入可靠的網(wǎng)絡(luò)流量分析系統(tǒng),對于切實提升網(wǎng)絡(luò)自身的數(shù)據(jù)傳輸能力����,為多媒體用戶提供更為穩(wěn)定的數(shù)據(jù)傳輸服務(wù)有著積極價值�����。實際工作中唯有不斷深入發(fā)現(xiàn)自身網(wǎng)絡(luò)環(huán)境特征�,才能有的放矢展開有效的流量分析���,實現(xiàn)網(wǎng)絡(luò)環(huán)境優(yōu)化��。
參考文獻
第5篇
【關(guān)鍵詞】流量 分析 抽樣 分類 統(tǒng)計
路由器����、交換機����、寬帶接入服務(wù)器是構(gòu)成寬帶網(wǎng)絡(luò)的主要網(wǎng)絡(luò)設(shè)備,一般數(shù)據(jù)網(wǎng)管系統(tǒng)可以看到每一臺設(shè)備的CPU���、內(nèi)存����、端口流量�、路由數(shù)據(jù)庫等網(wǎng)絡(luò)信息,但這些流量是怎樣構(gòu)成的,會對網(wǎng)絡(luò)產(chǎn)生怎樣的影響���,我們無從知曉�����。對寬帶網(wǎng)絡(luò)流量的深入分析�����,使網(wǎng)絡(luò)設(shè)備流量監(jiān)控系統(tǒng)可以監(jiān)測的數(shù)據(jù)包括:網(wǎng)絡(luò)流量構(gòu)成分析�����、使用的協(xié)議、系統(tǒng)負(fù)載�����、端口分布情況��、數(shù)據(jù)應(yīng)用統(tǒng)計��、數(shù)據(jù)安全性����、發(fā)送時間等����。網(wǎng)絡(luò)流量分析應(yīng)用可以接收來自網(wǎng)絡(luò)的各種信息����,通過對這些數(shù)據(jù)的分析,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運行狀況���。下面從幾個方面對寬帶網(wǎng)絡(luò)流量分析方法進行探討:
1 數(shù)據(jù)抽樣
抽樣是指從原始數(shù)據(jù)集中按一定原則抽取部分實例�����,構(gòu)成數(shù)據(jù)子集作為觀察對象����。抽樣的目的是為了代表原始數(shù)據(jù)集特性的較小的數(shù)據(jù)集上獲得對原始數(shù)據(jù)集特性的推斷�����。數(shù)據(jù)抽樣的方法包括簡單隨機抽樣�����,即按照1/k的頻率,隨機進行抽樣�����;系統(tǒng)抽樣按數(shù)據(jù)包生成的時間順序���,在抽取第一個數(shù)據(jù)包后���,每隔k個包抽取一個包;分層抽樣可對標(biāo)注過的每類應(yīng)用采用簡單隨機抽樣或系統(tǒng)抽樣方式抽取數(shù)據(jù)包����;集群抽樣可從多個子數(shù)據(jù)集中再隨機抽取若干個子數(shù)據(jù)集。
為對數(shù)據(jù)分布進行準(zhǔn)確的分析��,要用到幾個簡單的度量指標(biāo)��,包括算數(shù)平均值Mean����、算數(shù)和S����、計數(shù)C、最小值Min、最大值Max���、極差Ed�、中列數(shù)Mr��、第一個四分位數(shù)Q1���、第三個四分位數(shù)Q3���、中位數(shù)Median、眾數(shù)Mode�����、離群點Outlier等�。設(shè)n個排序后的觀察:
C=n
Min=x1
Max=x1
Ed=Max-Min
Mr=(Max-Min)/2
Q1=xn/4
Q3=x3n/4
Median=(x[n/2]+x[(n+1)/2])/2
另外,眾數(shù)是指數(shù)據(jù)集中出現(xiàn)頻率最高的數(shù)����;離群點有時又稱為歧異值,通常是指數(shù)據(jù)集中與數(shù)據(jù)一般行為不一樣的樣本�。
2 流量分類
網(wǎng)絡(luò)流量分類是依據(jù)網(wǎng)絡(luò)應(yīng)用協(xié)議對應(yīng)的某些參數(shù)或特征,自動將網(wǎng)絡(luò)流量分成不同流量種類的過程��。流量分類一般指將網(wǎng)絡(luò)流量分為多類,如果是二類分類�,則可以使用流量檢測、流量識別���、流量鑒別等方法���。
從網(wǎng)絡(luò)流量分類針對的目標(biāo)粒度,由細到粗又可以進一步分為包級(packer-level) ��、流級(flow-level)和會話級(session-level)�。包級分類基于網(wǎng)絡(luò)數(shù)據(jù)包所具有的特征,如包長�、包到達間隔時間等,對每個數(shù)據(jù)包進行分類����;流級分類基于五元組(源IP地址、源端口號�����、目的IP地址����、目的端口號和協(xié)議)進行分類,除關(guān)注包級特征外����,通常會進一步考慮流級得指紋特征,統(tǒng)計特征或行為特征��;會話級分類基于三元組(源IP地址�����、目的IP地址和協(xié)議)進行分類��,適用于簡單網(wǎng)絡(luò)服務(wù)環(huán)境的流量粗分類�����。
基于DPI(深度包檢測)的流量分類方法通過分析特定應(yīng)用在通信過程中的傳輸協(xié)議特征串實現(xiàn)流量分類�����,DPI一般是在應(yīng)用層內(nèi)容搜索特征串����,如BitTorrent的某個TCP數(shù)據(jù)包中包含特征串”0x13BitTorrent”。在基于載荷進行DPI的流量分類中��,DPI流量分類需要解決如下幾個問題:非標(biāo)應(yīng)用和私有協(xié)議越來越多,它們多缺乏公開可用的協(xié)議規(guī)范��,導(dǎo)致特征串難找易變��;某些特征模式的代表性較差��,僅能匹配到部分流量��,導(dǎo)致檢全率較低�����;隨機加密流可能匹配若干模式���,導(dǎo)致誤檢率較高����;基于協(xié)議語法或數(shù)據(jù)語義分析需要進行大量計算���,導(dǎo)致系統(tǒng)時間和空間開銷較大��。
3 基于統(tǒng)計學(xué)習(xí)的流量分析
基于統(tǒng)計學(xué)習(xí)的流量分析方法通過計算特定應(yīng)用流量的統(tǒng)計信息���,利用各種機器學(xué)習(xí)算法���,包括有監(jiān)督學(xué)習(xí)算法和無監(jiān)督學(xué)習(xí)算法���,對捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進行鑒別���。基于機器學(xué)習(xí)的網(wǎng)絡(luò)流量分類通常包含三個步驟:統(tǒng)計特性抽取��,單包特征如包長�����,復(fù)合流統(tǒng)計如均值或標(biāo)準(zhǔn)偏差�;分類器構(gòu)造及訓(xùn)練;新流量分類���。
基于機器學(xué)習(xí)的流量分類方法面臨以下幾個方面的問題:難以確定最有效的特征集���,既要選擇最佳的n個特征,使分類算法得到最大的分類準(zhǔn)確率����,同時要求n的值最?����?�;高維特征導(dǎo)致某些算法收斂時間長���,計算復(fù)雜性較高,若僅參考從數(shù)據(jù)包頭導(dǎo)出的分類特征����,如果每個流用于抽取特征的包數(shù)為n,則收集每個特征的計算成本將接近n.log2n���;某些算法模型可能陷入局部最優(yōu)�����;分類準(zhǔn)確率高度依賴于樣本的先驗概率���,而訓(xùn)練和測試樣本對某類流量可能是有偏樣本。
4 總結(jié)
寬帶網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)運營管理����,網(wǎng)絡(luò)發(fā)展規(guī)劃���,網(wǎng)絡(luò)流量調(diào)度和高效能業(yè)務(wù)前瞻的依據(jù)。網(wǎng)絡(luò)流量分析也是網(wǎng)絡(luò)攻擊和惡意代碼檢測以及流量清洗的重要手段�。隨著寬帶網(wǎng)絡(luò)流量的快速增長���,骨干網(wǎng)體系架構(gòu)不斷演進�、扁平化�、網(wǎng)狀化、動態(tài)自適應(yīng)成為網(wǎng)絡(luò)發(fā)展的趨勢�����,寬帶網(wǎng)絡(luò)流量分析再次面臨巨大挑戰(zhàn)�����,包括:高速網(wǎng)絡(luò)數(shù)據(jù)實時無損采集��、單向流�����、協(xié)議私有化、加密�����、P2P���、隧道傳輸��、缺乏可信數(shù)據(jù)集和評估標(biāo)準(zhǔn)�����,網(wǎng)絡(luò)流量分析研究工作仍然需要不斷深入與創(chuàng)新����。
參考文獻
[1](美)Nader F.Mir����,潘淑文.計算機與通信網(wǎng)絡(luò)[M].北京:中國電力出版社,2010(01).
[2]余浩�,徐明偉.P2P流檢測技術(shù)研究綜述[J].清華大學(xué)學(xué)報,2009(49).
[3]彭蕓����,劉瓊.Internet 流分類方法的比較研究[J].計算機科學(xué)��,2007(34).
[4]汪立東���,錢麗萍.網(wǎng)絡(luò)流量分類方法與實踐[M].京:人民郵電出版社,2013.
第6篇
關(guān)鍵詞:IP包 流量分析 解析
0 引言
隨著社會的飛速發(fā)展和網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的擴展��,使得網(wǎng)絡(luò)通信問題日益成為人們關(guān)注的焦點��。當(dāng)前��,人們對網(wǎng)絡(luò)的需要也日益增多�����,人們對網(wǎng)絡(luò)通信也有了越來越高的要求�����。通過Internet的迅速發(fā)展使社會經(jīng)濟結(jié)構(gòu)和人們的生活方式發(fā)生了巨大的變化�,網(wǎng)絡(luò)服務(wù)越來越重要����,而IP流量正是網(wǎng)絡(luò)管理的重要數(shù)據(jù)基礎(chǔ),通過IP分析流量數(shù)據(jù)���,可以幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)各種惡意網(wǎng)絡(luò)攻擊���,對攻擊源進行追溯和定位�,從而對網(wǎng)絡(luò)中的計算機進行有效的保護尤其在中小網(wǎng)絡(luò)中網(wǎng)絡(luò)安全起著至關(guān)重要的作用���。IP分析中數(shù)據(jù)的統(tǒng)計是不允許出現(xiàn)任何錯誤的��。因為網(wǎng)管人員在做好防護的同時也要對IP包進行捕獲和流量分析���。網(wǎng)絡(luò)上的信息流量是通過計算機的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息展現(xiàn)出來的,通過對流經(jīng)網(wǎng)卡的數(shù)據(jù)包的分析���,如果發(fā)現(xiàn)有惡意連接或是異常流量的時候����,網(wǎng)絡(luò)管理員就可以及時的做出相應(yīng)的措施來保護網(wǎng)絡(luò)的通暢和安全�����,這也就是進行IP包流量分析的重要性�����。
1 IP包流量分析的研究
1.1 IP流量分析
每個網(wǎng)絡(luò)都有自身的運行規(guī)律,對于每一個高級的網(wǎng)絡(luò)管理員�����,要管理好網(wǎng)絡(luò)上承載關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)����,首先要對自己所管理的網(wǎng)絡(luò)建立深入的了解,提高自身的網(wǎng)絡(luò)管理技術(shù)水平���,掌握有效的IP流量分析技術(shù)并能夠在工作中靈活的運用����。網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的結(jié)構(gòu)����、應(yīng)用特點等緊密相關(guān)�,通過IP流量分析,能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)系統(tǒng)運行的規(guī)律����。網(wǎng)絡(luò)上重要的應(yīng)用在運行時,如每一次訪問����,每一個交易處理�����,數(shù)據(jù)都是通過網(wǎng)絡(luò)來傳輸?shù)?����,就是這些數(shù)據(jù)的傳輸導(dǎo)致了網(wǎng)絡(luò)流量的產(chǎn)生�����。通過分析應(yīng)用運行所產(chǎn)生的網(wǎng)絡(luò)流量���,能夠清楚的了解應(yīng)用運行時對網(wǎng)絡(luò)通信的影響。通過IP流量分析程序可以獲取到數(shù)據(jù)包的內(nèi)容及其數(shù)量��。在網(wǎng)絡(luò)帶寬一定的情況下�����,每個用戶的網(wǎng)絡(luò)行為都將相互影響��,同時會對整個網(wǎng)絡(luò)的運行產(chǎn)生影響�。伴隨著每個用戶在網(wǎng)絡(luò)中的行為都有網(wǎng)絡(luò)流量的產(chǎn)生�,通過對網(wǎng)絡(luò)用戶的IP流量進行分析�,能夠直觀地了解網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)使用情況。IP流量分析可以為網(wǎng)絡(luò)和應(yīng)用問題的分析提供依據(jù)��,特別是數(shù)據(jù)包級的分析�����,因為這些依據(jù)是真實的���,有效的�,它們是實實在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包�����,這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問題分析效率的原因��。IP流量分析是有助于維護網(wǎng)絡(luò)持續(xù)��、高效和安全運行的一種手段���,IP流量分析有助于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)運行管理、應(yīng)用運行管理和網(wǎng)絡(luò)應(yīng)用問題分析����。
IP包流量分析的主要方法是通過實時連續(xù)地采集網(wǎng)絡(luò)數(shù)據(jù)并對其進行統(tǒng)計�����,計算得到主要成分性能指標(biāo)��,結(jié)合網(wǎng)絡(luò)流量的原理��,通過統(tǒng)計出的性能指數(shù)觀察網(wǎng)絡(luò)狀態(tài)���,分析出網(wǎng)絡(luò)流量變化的趨勢,找出影響網(wǎng)絡(luò)性能的因素�����。
1.2 系統(tǒng)總體設(shè)計
通過研究與分析簡單IP包流量分析程序的用戶需求可以發(fā)現(xiàn)����,用戶需要系統(tǒng)實現(xiàn)對本機基本信息的獲取,如IP地址�����,主機名�����,MAC地址和子網(wǎng)掩碼等信息;需要實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)控����,即對流入和流出網(wǎng)卡的數(shù)據(jù)包進行檢測并對數(shù)據(jù)包的長度進行累加,從而得到流量數(shù)據(jù)��,最后將網(wǎng)絡(luò)輸入流量�,網(wǎng)絡(luò)輸出流量,網(wǎng)絡(luò)總流量能在對話框?qū)?yīng)的網(wǎng)格處顯示�;需要實現(xiàn)捕獲流經(jīng)本計算機網(wǎng)卡的所有數(shù)據(jù)包,對所獲取到的數(shù)據(jù)包進行解析��,從而得到相關(guān)信息���,如源地址��,源端口���,目的地址,目的端口�,數(shù)據(jù)包的協(xié)議類型�����,數(shù)據(jù)包大小,數(shù)據(jù)等信息����。根據(jù)分析IP包流量分析系統(tǒng)可以具有三個主要功能部分:基本信息顯示、網(wǎng)絡(luò)流量監(jiān)控�����、IP包解析��。系統(tǒng)設(shè)計圖如圖1所示���。
1.2.1 基本信息模塊
對于一臺計算機來說����,一般只有一個計算機名稱�,但是可以有多個IP地址。例如當(dāng)計算機通過撥號上網(wǎng)的時候�,在驗證完用戶名和口令以后,就會動態(tài)分配一個IP地址�,此時計算機就擁有了兩個IP地址,一個是自己設(shè)定的局域網(wǎng)用的IP地址,另外一個就是撥號上網(wǎng)動態(tài)分配的IP地址了����。
基本信息模塊實現(xiàn)的主要功能是獲取本機的主機名和本機IP地址,并以對話框的形式顯示出來����。此模塊中所獲取的IP地址是自己設(shè)定的局域網(wǎng)用的IP地址,而不是撥號上網(wǎng)時動態(tài)分配的隨機IP地址��。它設(shè)計的主要目的是為了方便網(wǎng)絡(luò)管理人員快捷地了解本機的一些基本信息��。
1.2.2 網(wǎng)絡(luò)流量監(jiān)控模塊
網(wǎng)絡(luò)管理人員一般會根據(jù)計算機在不同時段的網(wǎng)絡(luò)流量變化情況來對計算機進行各項參數(shù)的優(yōu)化��,以及了解是否存在異常流量���。而對于個人用戶來說�����,實時了解本機網(wǎng)絡(luò)流量情況是很重要的�,尤其是對那些撥號上網(wǎng)的用戶���,對網(wǎng)絡(luò)流量的了解可以有效的幫助他們節(jié)約上網(wǎng)費用�。
網(wǎng)絡(luò)流量監(jiān)控程序的本質(zhì)是對流入和流出網(wǎng)卡(Modern)的數(shù)據(jù)包進行測量,在單位時間內(nèi)的流入量實際上就是在單位時間里流入網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)����,在單位時間內(nèi)的流出量實際上就是在單位時間內(nèi)流出網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)����。而總流量就是流入量和流出量之和。
1.2.3 IP包解析模塊
因為要捕獲經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包���,需要將網(wǎng)卡設(shè)置為混雜模式��。在實際編程的過程中���,通過使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式,并可實現(xiàn)對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析����。在網(wǎng)絡(luò)安全方面,網(wǎng)絡(luò)嗅探手段可以有效地探測在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息����,通過對這些信息的分析利用將有助于對網(wǎng)絡(luò)安全進行維護。IP包解析模塊就是通過使用網(wǎng)絡(luò)嗅探器技術(shù)來實現(xiàn)完成的�。
2 IP包解析模塊的實現(xiàn)
IP包解析模塊是系統(tǒng)實現(xiàn)的重要模塊���,在實現(xiàn)中主要實現(xiàn)函數(shù)見表1。
3 結(jié)束語
IP包流量分析系統(tǒng)是一個相對復(fù)雜的系統(tǒng)���,通過研究需求設(shè)計了系統(tǒng)的主體框架��,通過編寫套接字���、訪問注冊表等方法實現(xiàn)了系統(tǒng)部分主要功能,下一步準(zhǔn)備完成詳細指標(biāo)分析等功能�。
參考文獻:
[1]楊延雙,王全民.TCP/IP協(xié)議分析及應(yīng)用[M].北京:機械工業(yè)出版社����,2009.
第7篇
關(guān)鍵詞 流量;分類�;檢測;統(tǒng)計��;分析
中圖分類號 TN91 文獻標(biāo)識碼 A 文章編號 1674-6708(2016)166-00104-01
近年來寬帶網(wǎng)絡(luò)一直保持高速增長��,光纖到桌面已基本實現(xiàn)�����,但網(wǎng)絡(luò)中巨大的流量會對網(wǎng)絡(luò)產(chǎn)生怎樣的影響,這些流量是如何構(gòu)成的���,始終是一個問題����。通過對寬帶流量的分析我們可以知道流量的源頭和目的���、知道協(xié)議分布、知道端口情況����、知道通信經(jīng)營指標(biāo)等、當(dāng)然最重要的還有數(shù)據(jù)的安全性���。
不同的網(wǎng)絡(luò)��,不同觀察點���,不同時間的網(wǎng)絡(luò)流量因網(wǎng)絡(luò)規(guī)模,業(yè)務(wù)種類����,用戶構(gòu)成和使用習(xí)慣的不同而不同���,甚至受突發(fā)事件的影響,網(wǎng)絡(luò)流量在體量規(guī)模����,構(gòu)成成分和比例上都有所不同。一個好的流量分類分析系統(tǒng)��,應(yīng)滿足部署位置上的可移植性��,流量規(guī)模的可伸縮性�����,時間演進的自適應(yīng)性�����。這時系統(tǒng)不僅需要采用先進的分類技術(shù)���,也需要代表性的訓(xùn)練數(shù)據(jù)集來確定系統(tǒng)運行參數(shù)����。數(shù)據(jù)集主要采用2種方式:PCAP格式和NETFLOW格式����,前者捕獲的是包級記錄����,后者則是關(guān)于流級得統(tǒng)計信息記錄���。
寬帶流量的分析和檢測首先要進行流量的采集��,這項工作可以通過交換機或路由器的鏡像端口實現(xiàn)�����,也可以通過光纜分光的方式實現(xiàn)。對捕獲的數(shù)據(jù)進行計算和統(tǒng)計����,并把統(tǒng)計數(shù)據(jù)寫入數(shù)據(jù)庫,定期形成網(wǎng)絡(luò)性能和流量參數(shù)的報表��,用作分析的依據(jù)�����,在形成足夠數(shù)量的報表數(shù)據(jù)后�,可以分析數(shù)據(jù)和系統(tǒng)性能變化的趨勢�,判斷網(wǎng)絡(luò)是否存在瓶頸���,并依據(jù)經(jīng)驗�����,形成經(jīng)驗數(shù)據(jù)庫����,使網(wǎng)管系統(tǒng)具備學(xué)習(xí)的基礎(chǔ)和能力���。在出現(xiàn)告警或異常情況時�����,可用來分析對比���,判斷是否出現(xiàn)了網(wǎng)絡(luò)的攻擊和入侵,判斷惡意數(shù)據(jù)出現(xiàn)的源頭和特征���,足夠數(shù)量的數(shù)據(jù)報表也可以指導(dǎo)各類應(yīng)急預(yù)案的制定�����,在出現(xiàn)異常情況時可按照事先擬定的規(guī)則進行處理�。
對于寬帶流量的分析和分類,系統(tǒng)需要進行統(tǒng)計模型的學(xué)習(xí)���,統(tǒng)計模型的學(xué)習(xí)可以分為監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)方法��。所謂的監(jiān)督學(xué)習(xí)是需要使用已經(jīng)標(biāo)注過的數(shù)據(jù)集合作為經(jīng)驗知識����,對寬帶流量的參數(shù)和算法進行訓(xùn)練����;而非監(jiān)督學(xué)習(xí)則不需要使用已經(jīng)標(biāo)注過的數(shù)據(jù)集進行訓(xùn)練,只是根據(jù)相關(guān)算法對寬帶流量集進行匯聚�����。對數(shù)據(jù)集的訓(xùn)練過程中需要由經(jīng)驗豐富的專家參與�,并進行大量的基礎(chǔ)數(shù)據(jù)分析工作��,網(wǎng)絡(luò)經(jīng)驗數(shù)據(jù)集是流量分析的重要構(gòu)成因素���。在實際分析過程中����,由于寬帶核心網(wǎng)絡(luò)的流量巨大,所以高性能的預(yù)處理路由器和大規(guī)模刀片服務(wù)器必不可少����。為了提高分析效率,可以只分析單向流量����,并且在預(yù)處理過程中將IP數(shù)據(jù)報文的載荷去掉。但由于各種網(wǎng)絡(luò)協(xié)議不斷演進����,加密的流量不斷增加,各種新應(yīng)用不斷出現(xiàn)�����,網(wǎng)絡(luò)數(shù)據(jù)集的標(biāo)注也變得越來越困難���。
網(wǎng)絡(luò)流量的分類和分析中對于標(biāo)準(zhǔn)協(xié)議的分析最為準(zhǔn)確�����,可根據(jù)TIP/IP協(xié)議簇中標(biāo)準(zhǔn)的服務(wù)端口號對流量報文進行匹配�,并根據(jù)端口號的不同將流量對應(yīng)為不同的應(yīng)用。非標(biāo)準(zhǔn)協(xié)議可以使用DPI(深度包檢測)在應(yīng)用層對流量進行特征字符串的分析匹配��,由于不同的應(yīng)用在TCP/UDP的數(shù)據(jù)包中包含特征字符串�����,因此在掌握的不同網(wǎng)絡(luò)應(yīng)用的特征字符串后����,可以將網(wǎng)絡(luò)流量精確的分類和匹配,缺點是需要消耗較多的系統(tǒng)資源���。但很多網(wǎng)絡(luò)應(yīng)用的特征字符串難找易變����,代表性差及加密度高等問題�����,也導(dǎo)致誤檢率和檢全率下降�����。流量分析監(jiān)控和網(wǎng)絡(luò)應(yīng)用的發(fā)展一直是不斷演變的矛盾����。
基于協(xié)議的分類方法需要分析每種協(xié)議的特定的行為特性,標(biāo)準(zhǔn)的通信協(xié)議易于掌握��,私有協(xié)議比如P2P或VOIP等基于軟硬件客戶端的應(yīng)用則會有較多的變化���,或進行加密使用就會影響流量分析的效果����,甚至無法識別����。有時同一應(yīng)用軟件的不同版本間也會出現(xiàn)不同的流量特征,即版本的變化會造成協(xié)議特征的變化����。另外,網(wǎng)絡(luò)中的單向流量�����、數(shù)據(jù)的時延�、抖動都會對流量分析的算法產(chǎn)生影響��。以上這些因素都是流量分析的難點和痛點�。
運營商的骨干網(wǎng)絡(luò)逐漸向扁平化發(fā)展���,網(wǎng)絡(luò)出口的數(shù)量增加和結(jié)構(gòu)日趨復(fù)雜�����,及動態(tài)路由算法的大量使用���,使得網(wǎng)絡(luò)流量在多條鏈路或多個不同ISP之間動態(tài)調(diào)配,導(dǎo)致在某個觀察點只能得到部分流量�����,這對于依賴雙向流量特征的分析方法無法實施��?;赑2P的應(yīng)用目前也在不斷擴大,P2P的發(fā)展使得應(yīng)用和傳輸分離���,應(yīng)用端點和傳輸分離��,打破了原有的B/S或C/S的傳統(tǒng)傳輸模式����,多源頭并發(fā)傳輸使得流量特征模糊化���,使得數(shù)據(jù)采集的有效性無法保障�����。還有一些網(wǎng)絡(luò)應(yīng)用為了逃避被檢測到�����,常常采用已知協(xié)議的方法�,例如FTP����、HTTP、POP3等�,由于IP地址的區(qū)分,冒用已知協(xié)議并不會影響正常網(wǎng)絡(luò)通信��,但給流量分析帶來很大難度����。
寬帶網(wǎng)絡(luò)流量分析不僅可以使我們可以清楚的知道網(wǎng)絡(luò)流量的內(nèi)容�����,還可以為網(wǎng)絡(luò)建設(shè)�����、網(wǎng)絡(luò)優(yōu)化�����、運營管理����、網(wǎng)絡(luò)安全保障提供依據(jù)和手段����。同時,網(wǎng)絡(luò)應(yīng)用在不斷推陳出新�����,各種私有化的協(xié)議和加密方法不斷出現(xiàn)���,且由于用戶接入帶寬的不斷提高����,核心網(wǎng)流量呈幾何速度增長,這些因素在客觀上也大大增加了網(wǎng)絡(luò)流量分析的難度和成本?����,F(xiàn)有的網(wǎng)絡(luò)流量分析再次面臨挑戰(zhàn)����,網(wǎng)絡(luò)流量的分析研究工作需要不斷深入進行��。
參考文獻
[1]Nader F.Mir.計算機與通信網(wǎng)絡(luò)[M].潘淑文�����,等�,譯.北京:中國電力出版社,2010��,1.
[2]余浩�,徐明偉.P2P流檢測技術(shù)研究綜述[J].清華大學(xué)學(xué)報,2009(4):610-620.
