導(dǎo)言：作為寫作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇網(wǎng)絡(luò)流量分析的方法，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析等工作的工具，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)，企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問(wèn)題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問(wèn)題來(lái)看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來(lái)越重要的作用。

1.網(wǎng)絡(luò)流量分析方法

網(wǎng)絡(luò)流量是單位時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開(kāi)，目前，主要的分析方法有流量的統(tǒng)計(jì)分析和流量的粒度分析等。

1.1 網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

（1）基于軟件的流量統(tǒng)計(jì)

這種統(tǒng)計(jì)分析一般通過(guò)修改安裝于主機(jī)上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊，使之具有捕獲數(shù)據(jù)包的功能，以實(shí)現(xiàn)流量信息的收集和分析?；谟布牧髁拷y(tǒng)計(jì)效率很高，專用性強(qiáng)，但是價(jià)格昂貴對(duì)人員要求高，而基于軟件的流量統(tǒng)計(jì)有價(jià)格便宜，實(shí)現(xiàn)靈活，擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)，但其性能要低于基于硬件的統(tǒng)計(jì)技術(shù)。因此，流量統(tǒng)計(jì)方法有待進(jìn)一步的提高，以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求。

（2）基于硬件的流量統(tǒng)計(jì)

此類分析通常采用硬件測(cè)量設(shè)備，是一種為特定目的設(shè)計(jì)的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備。

1.2 網(wǎng)絡(luò)流量的粒度分析

網(wǎng)絡(luò)流量行為特征的分析還可以在不同測(cè)量粒度或者不同的層面上展開(kāi)。

比特級(jí)（Bit-level）的流量分析，這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路的傳輸速率，吞吐量的變化等等。

分組級(jí)（Packet-level）的流量分析，此類分析主要關(guān)注的是IP分組的到達(dá)過(guò)程、延遲、抖動(dòng)和丟包率等。

流級(jí)（Flow-level）的流量分析，F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開(kāi)的，它主要關(guān)注流的到達(dá)過(guò)程、到達(dá)間隔及其局部的特征。

上面流量的粒度由小到大遞增，時(shí)間尺度也逐漸增大，不同時(shí)間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律。通常，網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能，因此，F(xiàn)low-level的流量分析成為發(fā)展趨勢(shì)。

2.網(wǎng)絡(luò)流量分析常用技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量分析技術(shù)也與時(shí)俱進(jìn)。既有傳統(tǒng)的數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)管理技術(shù)，也有面向開(kāi)放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前，在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有：

2.1 RMON技術(shù)

RMON（遠(yuǎn)程監(jiān)控），是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對(duì)SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù)：一種是通過(guò)專用的RMON探針（Probe），流量探針安裝方便，但是流量探針價(jià)格昂貴，不適合大面積部署。另一種方法是將RMON直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、HUB等），但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

2.2 SNMP技術(shù)

SNMP是用標(biāo)準(zhǔn)化方法定義的，通常一個(gè)標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個(gè)組成部分：SNMP協(xié)議，這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息；管理信息結(jié)構(gòu)，它是用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集；管理信息庫(kù)，它是設(shè)備所維護(hù)的全部被管理對(duì)象的結(jié)構(gòu)集合。基于SNMP的流量分析就是通過(guò)SNMP協(xié)議訪問(wèn)設(shè)備獲取MIB庫(kù)中的端口流量信息，典型工具有MRTG，MRTG是一個(gè)使用的免費(fèi)軟件，通過(guò)SNMP協(xié)議從設(shè)備得到流量信息，將流量負(fù)載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶。由于M RTG使用起來(lái)很方便，能夠直觀顯示端口流量負(fù)載，所以是各類網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡(jiǎn)單的端口出、入流量統(tǒng)計(jì)信息，不能深入分析包的類型、流向等信息。

2.3 s Flow技術(shù)

s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開(kāi)發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第一層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量（如人于10Gbit/s）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問(wèn)題。sFlow技術(shù)有很多優(yōu)點(diǎn)：成本低廉；在不斷發(fā)展升級(jí)當(dāng)中，能在沒(méi)有消耗額外資源的環(huán)境監(jiān)測(cè)萬(wàn)兆網(wǎng)絡(luò)，不會(huì)帶來(lái)新的網(wǎng)絡(luò)沖突；有自己的一套準(zhǔn)確可靠的計(jì)量方式；數(shù)據(jù)信息量人。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使實(shí)現(xiàn)而向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。

3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析起著一個(gè)銜接的作用，主要利用網(wǎng)絡(luò)流量測(cè)量部分收集到的各種流量信息，通過(guò)運(yùn)用不同的方法對(duì)其進(jìn)行分析和建模，以發(fā)現(xiàn)流量的特性，對(duì)網(wǎng)絡(luò)性能做出客觀的評(píng)價(jià)，并以此作為對(duì)網(wǎng)絡(luò)進(jìn)行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個(gè)方面：

3.1 實(shí)施安全預(yù)警

網(wǎng)絡(luò)流量異常會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷，使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%無(wú)法響應(yīng)進(jìn)一步的指令。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性，并向網(wǎng)絡(luò)管理者進(jìn)行告警，判斷是否出現(xiàn)了入侵，并按照事先擬定的規(guī)則集進(jìn)行處理，記錄異常情況發(fā)生時(shí)的詳細(xì)網(wǎng)絡(luò)狀況，使入侵得到及時(shí)發(fā)現(xiàn)和處理。

3.2 分析用戶行為

根據(jù)分析結(jié)果，進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)！將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

3.3 節(jié)省運(yùn)營(yíng)費(fèi)用

通過(guò)對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對(duì)其他外部網(wǎng)絡(luò)的訪問(wèn)情況，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)，從而有效地選擇與其他運(yùn)營(yíng)商的互聯(lián)方式，節(jié)省費(fèi)用。

3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

通過(guò)對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)控，獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對(duì)其進(jìn)行統(tǒng)計(jì)和計(jì)算。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)，定期形成性能報(bào)表，并維護(hù)網(wǎng)絡(luò)流量數(shù)據(jù)庫(kù)或日志存儲(chǔ)網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理。通過(guò)數(shù)據(jù)分析獲得性能的變化趨勢(shì)，分析制約網(wǎng)絡(luò)性能的瓶頸問(wèn)題。

3.5 評(píng)估網(wǎng)絡(luò)價(jià)

通過(guò)對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小﹑去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況。從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開(kāi)展情況，并作出價(jià)值評(píng)估。

3.6 確定重點(diǎn)客戶

通過(guò)對(duì)重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析。掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

4.網(wǎng)絡(luò)流量分析的重要性

相對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，理解用戶的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容，它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來(lái)網(wǎng)絡(luò)升級(jí)等提供重要依據(jù)，通過(guò)網(wǎng)絡(luò)流量分析，可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從很多方面進(jìn)行更好地維護(hù)﹑優(yōu)化網(wǎng)絡(luò)，并且提升網(wǎng)絡(luò)的性能；同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計(jì)分析等；也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時(shí)，網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化，因此，對(duì)網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息和深層次的管理功能，很好地發(fā)揮網(wǎng)絡(luò)管理作用。對(duì)于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測(cè)﹑鏈路狀態(tài)監(jiān)測(cè)﹑容量規(guī)劃等發(fā)揮著重要作用。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)，可以預(yù)見(jiàn)，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來(lái)越重要的作用。

參考文獻(xiàn)

篇2

中圖分類號(hào) TN91 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2016）166-00104-01

近年來(lái)寬帶網(wǎng)絡(luò)一直保持高速增長(zhǎng)，光纖到桌面已基本實(shí)現(xiàn)，但網(wǎng)絡(luò)中巨大的流量會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生怎樣的影響，這些流量是如何構(gòu)成的，始終是一個(gè)問(wèn)題。通過(guò)對(duì)寬帶流量的分析我們可以知道流量的源頭和目的、知道協(xié)議分布、知道端口情況、知道通信經(jīng)營(yíng)指標(biāo)等、當(dāng)然最重要的還有數(shù)據(jù)的安全性。

不同的網(wǎng)絡(luò)，不同觀察點(diǎn)，不同時(shí)間的網(wǎng)絡(luò)流量因網(wǎng)絡(luò)規(guī)模，業(yè)務(wù)種類，用戶構(gòu)成和使用習(xí)慣的不同而不同，甚至受突發(fā)事件的影響，網(wǎng)絡(luò)流量在體量規(guī)模，構(gòu)成成分和比例上都有所不同。一個(gè)好的流量分類分析系統(tǒng)，應(yīng)滿足部署位置上的可移植性，流量規(guī)模的可伸縮性，時(shí)間演進(jìn)的自適應(yīng)性。這時(shí)系統(tǒng)不僅需要采用先進(jìn)的分類技術(shù)，也需要代表性的訓(xùn)練數(shù)據(jù)集來(lái)確定系統(tǒng)運(yùn)行參數(shù)。數(shù)據(jù)集主要采用2種方式：PCAP格式和NETFLOW格式，前者捕獲的是包級(jí)記錄，后者則是關(guān)于流級(jí)得統(tǒng)計(jì)信息記錄。

寬帶流量的分析和檢測(cè)首先要進(jìn)行流量的采集，這項(xiàng)工作可以通過(guò)交換機(jī)或路由器的鏡像端口實(shí)現(xiàn)，也可以通過(guò)光纜分光的方式實(shí)現(xiàn)。對(duì)捕獲的數(shù)據(jù)進(jìn)行計(jì)算和統(tǒng)計(jì)，并把統(tǒng)計(jì)數(shù)據(jù)寫入數(shù)據(jù)庫(kù)，定期形成網(wǎng)絡(luò)性能和流量參數(shù)的報(bào)表，用作分析的依據(jù)，在形成足夠數(shù)量的報(bào)表數(shù)據(jù)后，可以分析數(shù)據(jù)和系統(tǒng)性能變化的趨勢(shì)，判斷網(wǎng)絡(luò)是否存在瓶頸，并依據(jù)經(jīng)驗(yàn)，形成經(jīng)驗(yàn)數(shù)據(jù)庫(kù)，使網(wǎng)管系統(tǒng)具備學(xué)習(xí)的基礎(chǔ)和能力。在出現(xiàn)告警或異常情況時(shí)，可用來(lái)分析對(duì)比，判斷是否出現(xiàn)了網(wǎng)絡(luò)的攻擊和入侵，判斷惡意數(shù)據(jù)出現(xiàn)的源頭和特征，足夠數(shù)量的數(shù)據(jù)報(bào)表也可以指導(dǎo)各類應(yīng)急預(yù)案的制定，在出現(xiàn)異常情況時(shí)可按照事先擬定的規(guī)則進(jìn)行處理。

對(duì)于寬帶流量的分析和分類，系統(tǒng)需要進(jìn)行統(tǒng)計(jì)模型的學(xué)習(xí)，統(tǒng)計(jì)模型的學(xué)習(xí)可以分為監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)方法。所謂的監(jiān)督學(xué)習(xí)是需要使用已經(jīng)標(biāo)注過(guò)的數(shù)據(jù)集合作為經(jīng)驗(yàn)知識(shí)，對(duì)寬帶流量的參數(shù)和算法進(jìn)行訓(xùn)練；而非監(jiān)督學(xué)習(xí)則不需要使用已經(jīng)標(biāo)注過(guò)的數(shù)據(jù)集進(jìn)行訓(xùn)練，只是根據(jù)相關(guān)算法對(duì)寬帶流量集進(jìn)行匯聚。對(duì)數(shù)據(jù)集的訓(xùn)練過(guò)程中需要由經(jīng)驗(yàn)豐富的專家參與，并進(jìn)行大量的基礎(chǔ)數(shù)據(jù)分析工作，網(wǎng)絡(luò)經(jīng)驗(yàn)數(shù)據(jù)集是流量分析的重要構(gòu)成因素。在實(shí)際分析過(guò)程中，由于寬帶核心網(wǎng)絡(luò)的流量巨大，所以高性能的預(yù)處理路由器和大規(guī)模刀片服務(wù)器必不可少。為了提高分析效率，可以只分析單向流量，并且在預(yù)處理過(guò)程中將IP數(shù)據(jù)報(bào)文的載荷去掉。但由于各種網(wǎng)絡(luò)協(xié)議不斷演進(jìn)，加密的流量不斷增加，各種新應(yīng)用不斷出現(xiàn)，網(wǎng)絡(luò)數(shù)據(jù)集的標(biāo)注也變得越來(lái)越困難。

網(wǎng)絡(luò)流量的分類和分析中對(duì)于標(biāo)準(zhǔn)協(xié)議的分析最為準(zhǔn)確，可根據(jù)TIP/IP協(xié)議簇中標(biāo)準(zhǔn)的服務(wù)端口號(hào)對(duì)流量報(bào)文進(jìn)行匹配，并根據(jù)端口號(hào)的不同將流量對(duì)應(yīng)為不同的應(yīng)用。非標(biāo)準(zhǔn)協(xié)議可以使用DPI（深度包檢測(cè)）在應(yīng)用層對(duì)流量進(jìn)行特征字符串的分析匹配，由于不同的應(yīng)用在TCP/UDP的數(shù)據(jù)包中包含特征字符串，因此在掌握的不同網(wǎng)絡(luò)應(yīng)用的特征字符串后，可以將網(wǎng)絡(luò)流量精確的分類和匹配，缺點(diǎn)是需要消耗較多的系統(tǒng)資源。但很多網(wǎng)絡(luò)應(yīng)用的特征字符串難找易變，代表性差及加密度高等問(wèn)題，也導(dǎo)致誤檢率和檢全率下降。流量分析監(jiān)控和網(wǎng)絡(luò)應(yīng)用的發(fā)展一直是不斷演變的矛盾。

基于協(xié)議的分類方法需要分析每種協(xié)議的特定的行為特性，標(biāo)準(zhǔn)的通信協(xié)議易于掌握，私有協(xié)議比如P2P或VOIP等基于軟硬件客戶端的應(yīng)用則會(huì)有較多的變化，或進(jìn)行加密使用就會(huì)影響流量分析的效果，甚至無(wú)法識(shí)別。有時(shí)同一應(yīng)用軟件的不同版本間也會(huì)出現(xiàn)不同的流量特征，即版本的變化會(huì)造成協(xié)議特征的變化。另外，網(wǎng)絡(luò)中的單向流量、數(shù)據(jù)的時(shí)延、抖動(dòng)都會(huì)對(duì)流量分析的算法產(chǎn)生影響。以上這些因素都是流量分析的難點(diǎn)和痛點(diǎn)。

運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)逐漸向扁平化發(fā)展，網(wǎng)絡(luò)出口的數(shù)量增加和結(jié)構(gòu)日趨復(fù)雜，及動(dòng)態(tài)路由算法的大量使用，使得網(wǎng)絡(luò)流量在多條鏈路或多個(gè)不同ISP之間動(dòng)態(tài)調(diào)配，導(dǎo)致在某個(gè)觀察點(diǎn)只能得到部分流量，這對(duì)于依賴雙向流量特征的分析方法無(wú)法實(shí)施?；赑2P的應(yīng)用目前也在不斷擴(kuò)大，P2P的發(fā)展使得應(yīng)用和傳輸分離，應(yīng)用端點(diǎn)和傳輸分離，打破了原有的B/S或C/S的傳統(tǒng)傳輸模式，多源頭并發(fā)傳輸使得流量特征模糊化，使得數(shù)據(jù)采集的有效性無(wú)法保障。還有一些網(wǎng)絡(luò)應(yīng)用為了逃避被檢測(cè)到，常常采用已知協(xié)議的方法，例如FTP、HTTP、POP3等，由于IP地址的區(qū)分，冒用已知協(xié)議并不會(huì)影響正常網(wǎng)絡(luò)通信，但給流量分析帶來(lái)很大難度。

寬帶網(wǎng)絡(luò)流量分析不僅可以使我們可以清楚的知道網(wǎng)絡(luò)流量的內(nèi)容，還可以為網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)優(yōu)化、運(yùn)營(yíng)管理、網(wǎng)絡(luò)安全保障提供依據(jù)和手段。同時(shí)，網(wǎng)絡(luò)應(yīng)用在不斷推陳出新，各種私有化的協(xié)議和加密方法不斷出現(xiàn)，且由于用戶接入帶寬的不斷提高，核心網(wǎng)流量呈幾何速度增長(zhǎng)，這些因素在客觀上也大大增加了網(wǎng)絡(luò)流量分析的難度和成本?，F(xiàn)有的網(wǎng)絡(luò)流量分析再次面臨挑戰(zhàn)，網(wǎng)絡(luò)流量的分析研究工作需要不斷深入進(jìn)行。

參考文獻(xiàn)

[1]Nader F.Mir.計(jì)算機(jī)與通信網(wǎng)絡(luò)[M].潘淑文，等，譯.北京：中國(guó)電力出版社，2010，1.

篇3

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展及網(wǎng)絡(luò)應(yīng)用的不斷推廣，校園網(wǎng)規(guī)模日益擴(kuò)大且網(wǎng)結(jié)構(gòu)與應(yīng)用日趨復(fù)雜，如何對(duì)校園網(wǎng)進(jìn)行全面有效的監(jiān)控是目前網(wǎng)絡(luò)管理面臨的巨大挑戰(zhàn)，這給校園網(wǎng)網(wǎng)絡(luò)監(jiān)控技術(shù)帶來(lái)了廣闊的研究領(lǐng)域，網(wǎng)絡(luò)監(jiān)控技術(shù)的核心技術(shù)就是對(duì)網(wǎng)絡(luò)中的流量進(jìn)行即時(shí)準(zhǔn)確的分析，本文首先對(duì)常用的流量分析技術(shù)進(jìn)行簡(jiǎn)單的介紹。又重點(diǎn)介紹了sFlow技術(shù)，針對(duì)sFlow的特點(diǎn)，在校園網(wǎng)中部署了一個(gè)基于sFlow技術(shù)與Juniper網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，并對(duì)系統(tǒng)如何實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控進(jìn)行了描述，此系統(tǒng)可實(shí)時(shí)有效的對(duì)校園網(wǎng)流量進(jìn)行分析，對(duì)校園網(wǎng)管理有很大的實(shí)用價(jià)值。

1流量分析技術(shù)介紹

當(dāng)前能對(duì)網(wǎng)絡(luò)的流量進(jìn)行分析的類型主要有以下兩種:

1．1點(diǎn)接觸型流量分析

點(diǎn)接觸型流量分析技術(shù)的原理為:在網(wǎng)絡(luò)中的某個(gè)接入點(diǎn)上，利用探針檢測(cè)該接入點(diǎn)的每個(gè)pack-age，所利用的方法為逐個(gè)包拆分，并在檢測(cè)的同時(shí)完成統(tǒng)計(jì)。點(diǎn)接觸型流量分析的優(yōu)點(diǎn)為:此技術(shù)中流量的采集只依賴于探針的包處理機(jī)制，與網(wǎng)絡(luò)中使用何種類型的交換機(jī)沒(méi)有關(guān)聯(lián);由于本技術(shù)采用逐個(gè)包拆分的方法，所以可自主制定策略來(lái)滿足用戶的需求。缺點(diǎn)為:接入點(diǎn)的個(gè)數(shù)有限，只能對(duì)有限的點(diǎn)進(jìn)行數(shù)據(jù)的采集，如果想在網(wǎng)絡(luò)的所有關(guān)鍵點(diǎn)布置接入點(diǎn)，成本較大;在關(guān)鍵接入點(diǎn)串入網(wǎng)絡(luò)流量采集設(shè)備，會(huì)增加網(wǎng)絡(luò)的故障點(diǎn)。采用點(diǎn)接觸型流量分析的代表設(shè)備為:IDS，F(xiàn)LUKE測(cè)試等。

1．2面接觸型流量分析

面接觸型流量分析技術(shù)的原理:利用交換機(jī)固有的流量采集來(lái)完成報(bào)文中關(guān)鍵信息的統(tǒng)計(jì)工作［1］。面接觸型流量分析的優(yōu)點(diǎn)為:此技術(shù)不同于點(diǎn)接觸型流量分析，無(wú)需在網(wǎng)絡(luò)的關(guān)鍵接入點(diǎn)上布置探針，只需要布置一臺(tái)交換機(jī)設(shè)備用以流量采集統(tǒng)計(jì)，即可采集分析核心層流量，并不影響整個(gè)網(wǎng)絡(luò)的性能;此技術(shù)可在網(wǎng)絡(luò)的任一點(diǎn)上采集整個(gè)網(wǎng)絡(luò)的流量;整個(gè)校園網(wǎng)中，只需布置一套監(jiān)控系統(tǒng)，成本低。缺點(diǎn)為:此技術(shù)采集的數(shù)據(jù)只局限于某種類型的package的采樣值，而不是包的全部，相較于點(diǎn)接觸型流量分析來(lái)說(shuō)，采集的數(shù)據(jù)較少。采用面接觸型流量分析的代表設(shè)備為:NET-FLOW監(jiān)控，sFlow監(jiān)控等。當(dāng)前CERNET校園網(wǎng)都是萬(wàn)兆核心層網(wǎng)絡(luò)平臺(tái)，根據(jù)前面對(duì)兩種流量分析技術(shù)的介紹可知，相較于點(diǎn)接觸型流量分析技術(shù)，面接觸型在采集與分析如此巨大網(wǎng)絡(luò)流量時(shí)，有顯而易見(jiàn)不比擬的優(yōu)勢(shì)。本文采用當(dāng)前較主流的sFlow監(jiān)控系統(tǒng)完成校園網(wǎng)網(wǎng)絡(luò)流量的采集與監(jiān)控。

2sFlow技術(shù)應(yīng)用

2．1sFlow技術(shù)介紹

sFlow，是由InMon公司于2001年提出的一種基于“統(tǒng)計(jì)采樣”的網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)［2］，以RFC3176［3］文件的形式進(jìn)行了。sFlow通過(guò)對(duì)校園網(wǎng)中網(wǎng)絡(luò)設(shè)備處理的package進(jìn)行采集來(lái)獲取網(wǎng)絡(luò)中流量的信息，之后把采集后的數(shù)據(jù)包發(fā)送給流量分析服務(wù)器進(jìn)行分析，讓用戶詳盡與實(shí)時(shí)地知道網(wǎng)絡(luò)的性能與安全等問(wèn)題［4］。目前，僅有Foundry和JuniperNetworks等廠商的部分型號(hào)的交換機(jī)支持sFlow。sFlow的主要優(yōu)勢(shì)在于:進(jìn)行整個(gè)網(wǎng)絡(luò)監(jiān)視成本更低;擁有的“一直在線技術(shù)”能夠?qū)W(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)采集與分析能力;嵌入到ASIC中的強(qiáng)勁技術(shù);全網(wǎng)的視圖都是可看見(jiàn)的;采樣的速率是可以自主配置的;整個(gè)網(wǎng)絡(luò)的交換性能不受影響;網(wǎng)絡(luò)帶寬基本不受影響;包頭的信息是完整的;第二到七層的詳細(xì)信息是完整的并且支持多種協(xié)議。

2．2實(shí)現(xiàn)原理

sFlow的網(wǎng)絡(luò)流量監(jiān)測(cè)實(shí)現(xiàn)一般由兩部分構(gòu)成:sFlow(Agent)和sFlow流量采集器(Collector)［2］。sFlow系統(tǒng)的基本原理為:分布在校園網(wǎng)的sFlow把sFlow報(bào)文發(fā)送到Collector。

2．3sFlow技術(shù)

在校園網(wǎng)中的布署本文以Juniper交換機(jī)和PRTG軟件為例部署系統(tǒng)。首先在校園網(wǎng)絡(luò)的各個(gè)層級(jí)交換機(jī)(Agent)啟用sFlow，通過(guò)收集設(shè)備上相關(guān)端口的流量轉(zhuǎn)況并實(shí)時(shí)將整個(gè)校園網(wǎng)絡(luò)的流量發(fā)送到服務(wù)器端(Collector)。服務(wù)器端部署PRTG軟件，由PRTG分析軟件來(lái)對(duì)從交換機(jī)收到的數(shù)據(jù)包進(jìn)行全面、實(shí)時(shí)、豐富的流量及統(tǒng)計(jì)分析。

3結(jié)語(yǔ)

要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)全面、實(shí)時(shí)的監(jiān)控分析必須依靠先進(jìn)有效的網(wǎng)絡(luò)監(jiān)控協(xié)議和技術(shù)來(lái)滿足業(yè)務(wù)日益增長(zhǎng)的需求。sFlow網(wǎng)絡(luò)技術(shù)的出現(xiàn)可以很大程度滿足當(dāng)前及未來(lái)幾年校園網(wǎng)絡(luò)發(fā)展規(guī)模，為我們網(wǎng)絡(luò)管理員的日常巡檢維護(hù)帶來(lái)了極大的方便，也為保障校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行提供了很好的依據(jù)。

參考文獻(xiàn)

篇4

網(wǎng)絡(luò)管理中非常重要且非?；A(chǔ)的一個(gè)環(huán)節(jié)就是網(wǎng)絡(luò)流量監(jiān)測(cè)，網(wǎng)絡(luò)流量監(jiān)測(cè)即是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)采集，以此來(lái)監(jiān)測(cè)網(wǎng)絡(luò)的流量。網(wǎng)絡(luò)及其重要成分的性能指標(biāo)也是對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的統(tǒng)計(jì)和計(jì)算得到的。網(wǎng)絡(luò)管理員根據(jù)當(dāng)前的和歷史的存儲(chǔ)網(wǎng)絡(luò)及其重要成分的性能的數(shù)據(jù)數(shù)據(jù)，就可對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理，通過(guò)數(shù)據(jù)分析獲得性能的變化趨勢(shì)。分析制約網(wǎng)絡(luò)性能的瓶頸問(wèn)題。在網(wǎng)絡(luò)流量監(jiān)測(cè)的基礎(chǔ)上，管理員可對(duì)感興趣的網(wǎng)絡(luò)管理對(duì)象設(shè)置閾值范圍以配置網(wǎng)絡(luò)閾值對(duì)象，閾值對(duì)象監(jiān)控實(shí)時(shí)輪詢網(wǎng)絡(luò)獲取定義對(duì)象的當(dāng)前值。若超出閥值的上限和下限則報(bào)警，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，這樣即可實(shí)現(xiàn)一定程度上的故障管理，而網(wǎng)絡(luò)流量監(jiān)測(cè)本身也涉及到安全管理方面的內(nèi)容。所以，研究網(wǎng)絡(luò)流量監(jiān)測(cè)是非常有意義的。

2網(wǎng)絡(luò)流量的特性

2.1數(shù)據(jù)流是雙向的，但通常是非對(duì)稱的?；ヂ?lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2.2大部分TCP會(huì)話是短期的。超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié)，會(huì)話持續(xù)時(shí)間不超過(guò)幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。1.3包的到達(dá)過(guò)程不是泊松過(guò)程大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。然而近年來(lái)對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過(guò)程不是泊松過(guò)程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過(guò)程不足以精確地描述包的到達(dá)過(guò)程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過(guò)程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

2.3網(wǎng)絡(luò)通信量具有局域性。互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)（時(shí)間局域性）和基于空間的相關(guān)（空間局域性）。

3網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)與方法

3.1網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)種類

（1）基于流量鏡像協(xié)議分析。流量鏡像（在線TAP）協(xié)議分析方式是把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過(guò)7層協(xié)議解碼對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)。與其他3種方式相比，協(xié)議分析是網(wǎng)絡(luò)測(cè)試的最基本手段，特別適合網(wǎng)絡(luò)故障分析。缺點(diǎn)是流量鏡像（在線TAP）協(xié)議分析方式只針對(duì)單條鏈路，不適合全網(wǎng)監(jiān)測(cè)。

（2）基于硬件探針的監(jiān)測(cè)技術(shù)。硬件探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過(guò)分流鏈路上的數(shù)字信號(hào)而獲取流量信息。一個(gè)硬件探針監(jiān)視一個(gè)子網(wǎng)（通常是一條鏈路）的流量信息。對(duì)于全網(wǎng)流量的監(jiān)測(cè)需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過(guò)后臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長(zhǎng)期報(bào)告。與其他的3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但是硬件探針的監(jiān)測(cè)方式受限于探針的接口速率，一般只針對(duì)1000M以下的速率。而且探針?lè)绞街攸c(diǎn)是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。

（3）基于SNMP的流量監(jiān)測(cè)技術(shù)?；赟NMP的流量信息采集，實(shí)質(zhì)上是測(cè)試儀表通過(guò)提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫(kù)）中收集一些具體設(shè)備及流量信息有關(guān)的變量。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監(jiān)測(cè)技術(shù)受到設(shè)備廠家的廣泛支持，使用方便，缺點(diǎn)是信息不夠豐富和準(zhǔn)確，分析集中在網(wǎng)絡(luò)的2、3層的信息和設(shè)備的消息。SNMP方式經(jīng)常集成在其他的3種方案中，如果單純采用SNMP做長(zhǎng)期的、大型的網(wǎng)絡(luò)流量監(jiān)控，在測(cè)試儀表的基礎(chǔ)上，需要使用后臺(tái)數(shù)據(jù)庫(kù)。

（4）基于Netflow的流量監(jiān)測(cè)技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專屬協(xié)議，已經(jīng)標(biāo)準(zhǔn)化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機(jī)自身對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，并且把結(jié)果發(fā)送到第3方流量報(bào)告生成器和長(zhǎng)期數(shù)據(jù)庫(kù)。一旦收集到路由器、交換機(jī)上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、病毒流量分析，網(wǎng)絡(luò)監(jiān)測(cè)等應(yīng)用提供計(jì)數(shù)根據(jù)。Netflow方式是網(wǎng)絡(luò)流量統(tǒng)計(jì)方式的發(fā)展趨勢(shì)。在綜合比較四種技術(shù)之后，不難得出以下結(jié)論：基于SNMP的流量監(jiān)測(cè)技術(shù)能夠滿足網(wǎng)絡(luò)流量分析的需要，且信息采集效率高，適合在各類網(wǎng)絡(luò)中應(yīng)用。

3.2網(wǎng)絡(luò)流量的監(jiān)測(cè)方法

篇5

一、前沿

選擇交換機(jī)硬件時(shí)，應(yīng)確定核心層、分布層和接入層分別需要何種交換機(jī)來(lái)滿足網(wǎng)絡(luò)帶寬需求，應(yīng)考慮未來(lái)的帶寬需。應(yīng)購(gòu)買合適的交換機(jī)硬件來(lái)滿足當(dāng)前及未來(lái)的帶寬需求。為了更準(zhǔn)確地選擇合適的交換機(jī)，要定期執(zhí)行和記錄流量分析。

二、流量分析

流量分析是測(cè)量網(wǎng)絡(luò)帶寬使用率并分析相關(guān)數(shù)據(jù)來(lái)調(diào)整性能、規(guī)劃容量并作出硬件升級(jí)決策的過(guò)程，流量分析是通過(guò)流量分析軟件來(lái)實(shí)現(xiàn)的。盡管對(duì)網(wǎng)絡(luò)流量并沒(méi)有確切的定義，但為了便于理解流量分析，可以理解為網(wǎng)絡(luò)流量是指在一定時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)量。所有的網(wǎng)絡(luò)數(shù)據(jù)無(wú)論來(lái)自何方，無(wú)論發(fā)往何處，都是流量的一部分。監(jiān)控網(wǎng)絡(luò)流量的方法有許多種?？梢允止けO(jiān)控各個(gè)交換機(jī)端口來(lái)收集一段時(shí)間內(nèi)的帶寬利用率。在分析流量數(shù)據(jù)時(shí)，可能根據(jù)每天特定時(shí)段的流量以及大部分?jǐn)?shù)據(jù)的來(lái)源和目的地來(lái)確定未來(lái)的流量需求。但是，為了獲得準(zhǔn)確地結(jié)果，需要記錄足夠的數(shù)據(jù)。手工記錄流量數(shù)據(jù)是件費(fèi)時(shí)費(fèi)力的機(jī)械活，市面上有一些自動(dòng)化的解決方案。

三、分析工具

現(xiàn)在市面上有許多流量分析攻擊可以將流量數(shù)據(jù)自動(dòng)記錄到數(shù)據(jù)庫(kù)中，并執(zhí)行趨勢(shì)分析。在大型網(wǎng)絡(luò)中，采用軟件收集解決方案是唯一有效的流量分析方式。通過(guò)軟件收集數(shù)據(jù)時(shí)，可以看到在給定的時(shí)間內(nèi)網(wǎng)絡(luò)上每個(gè)接口的運(yùn)行狀況。通過(guò)輸出的圖表，可以直觀的發(fā)現(xiàn)流量問(wèn)題。比用柱狀表示的流量數(shù)據(jù)更容易理解。

四、用戶群分析

用戶群分析是確定各類用戶群體及其對(duì)網(wǎng)絡(luò)性能的影響的過(guò)程，用戶的分組方式會(huì)影響與端口密度和流量有關(guān)的問(wèn)題，進(jìn)而影響網(wǎng)絡(luò)交換機(jī)的選擇。

在典型的辦公樓中，一般根據(jù)終端用戶的職能對(duì)其進(jìn)行分組，這是因?yàn)橄嗤毮苡脩羲柙L問(wèn)的資源和應(yīng)用程序也大體相同。每個(gè)部門的用戶數(shù)、應(yīng)用程序需求以及需要通過(guò)網(wǎng)絡(luò)訪問(wèn)的可用數(shù)據(jù)資源各有不同。不僅要查看網(wǎng)絡(luò)中指定交換機(jī)上的設(shè)備數(shù)量，還應(yīng)該調(diào)查終端用戶應(yīng)用程序生產(chǎn)的網(wǎng)絡(luò)流量。有些用戶群使用產(chǎn)生大量網(wǎng)絡(luò)流量的應(yīng)用程序，而其他用戶則不然，通過(guò)測(cè)量不同用戶群使用的所有應(yīng)用程序所生成的網(wǎng)絡(luò)流量并確定數(shù)據(jù)源的位置，可以確定增加用戶對(duì)該用戶群的影響。

小企業(yè)中工作組大小的用戶群僅用幾臺(tái)交換機(jī)提供支持，通常連接到服務(wù)器所在的交換機(jī)上。在中型企業(yè)中，用戶群由許多交換機(jī)提供支持。中型企業(yè)用戶群所需的資源可能位于地理上分散的若干區(qū)域中。因此，用戶群的位置會(huì)影響數(shù)據(jù)存儲(chǔ)和服務(wù)器的位置。分析用戶群的應(yīng)用程序使用率的難題之一是使用率并非純粹取決于用戶所在的部門或地理位置。還需要分析應(yīng)用程序穿越多臺(tái)網(wǎng)絡(luò)交換機(jī)所帶來(lái)的負(fù)面影響。并據(jù)此確定總體影響。

五、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)服務(wù)器分析

在分析網(wǎng)絡(luò)流量時(shí)，應(yīng)考慮數(shù)據(jù)存儲(chǔ)和服務(wù)器的位置，以便確定它們對(duì)網(wǎng)絡(luò)流量的影響。數(shù)據(jù)存儲(chǔ)可以是服務(wù)器、存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）、網(wǎng)絡(luò)連接存儲(chǔ)（NAS）、磁帶備份設(shè)備或任何其他存儲(chǔ)大量數(shù)據(jù)的設(shè)備或組件。

在考慮數(shù)據(jù)存儲(chǔ)和服務(wù)器的流量時(shí)，應(yīng)同時(shí)考慮客戶端到服務(wù)器的流量和服務(wù)器到服務(wù)器的流量。通過(guò)觀察不同用戶群使用的各種應(yīng)用程序的數(shù)據(jù)路徑，可以找到潛在的瓶頸，確定在哪些地方因?yàn)閹挷蛔銜?huì)影響應(yīng)用程序的性能。為改善性能，可以聚合鏈路來(lái)提供帶寬，或者使用能夠處理流量負(fù)載的快速交換機(jī)來(lái)取代慢速交換機(jī)。

六、拓?fù)浣Y(jié)構(gòu)圖

拓?fù)浣Y(jié)構(gòu)圖是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的圖形表現(xiàn)形式，拓?fù)浣Y(jié)構(gòu)圖顯示所有的交換機(jī)如何互連，乃至詳細(xì)到哪個(gè)交換機(jī)端口與設(shè)備互連。拓?fù)浣Y(jié)構(gòu)圖以圖形的形式顯示交換機(jī)之間用于提供災(zāi)難恢復(fù)和性能增強(qiáng)的任何冗余路徑或聚合端口，顯示網(wǎng)絡(luò)中交換機(jī)的位置和數(shù)目并標(biāo)出交換機(jī)的配置。通過(guò)拓?fù)浣Y(jié)構(gòu)圖，可以直觀地找到網(wǎng)絡(luò)流量的潛在瓶頸，可以抓住流量分析數(shù)據(jù)的要點(diǎn)，知道哪些網(wǎng)絡(luò)區(qū)域的改進(jìn)能夠最有效地提高網(wǎng)絡(luò)的整體性能。

七、結(jié)語(yǔ)

對(duì)于中小型企業(yè)而言、基于數(shù)據(jù)、語(yǔ)音和視頻的數(shù)字通信至關(guān)重要。因此，正確設(shè)計(jì)局域網(wǎng)是企業(yè)日常運(yùn)營(yíng)的基本需求。作為網(wǎng)絡(luò)技術(shù)人員，必須能夠判斷什么才是設(shè)計(jì)合理的局域網(wǎng)，能夠選擇合適的設(shè)備來(lái)滿足中小型企業(yè)的網(wǎng)絡(luò)需求。

參 考 文 獻(xiàn)

篇6

中圖分類號(hào):TP

文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1672-3198(2010)17-0348-01

1 網(wǎng)絡(luò)流量的特征

1.1 數(shù)據(jù)流是雙向的,但通常是非對(duì)稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的,因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異,這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

1.2 大部分TCP會(huì)話是短期的

超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié),會(huì)話持續(xù)時(shí)間不超過(guò)幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。1.3 包的到達(dá)過(guò)程不是泊松過(guò)程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程,即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡(jiǎn)單的說(shuō),泊松到達(dá)過(guò)程就是事件(例如地震,交通事故,電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無(wú)記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡(jiǎn)單。然而,近年來(lái)對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過(guò)程不是泊松過(guò)程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布,而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá),即包的到達(dá)是有突發(fā)性的。很明顯,泊松過(guò)程不足以精確地描述包的到達(dá)過(guò)程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過(guò)程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

1.4 網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和目的地址上,從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

2 網(wǎng)絡(luò)流量的測(cè)量

網(wǎng)絡(luò)流量的測(cè)量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具,通過(guò)采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會(huì)出錯(cuò)的,設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長(zhǎng)、錯(cuò)誤地址、安全攻擊等。對(duì)互聯(lián)網(wǎng)流量的測(cè)量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問(wèn)題?；ヂ?lián)網(wǎng)流量的測(cè)量從不同的方面可以分為:

2.1 基于硬件的測(cè)量和基于軟件的測(cè)量

基于硬件的測(cè)量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測(cè)量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲(chǔ)能力和協(xié)議分析能力等諸多因素的限制?；谲浖臏y(cè)量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較,其費(fèi)用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2.2 主動(dòng)測(cè)量和被動(dòng)測(cè)量

被動(dòng)測(cè)量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測(cè)量都是被動(dòng)的測(cè)量。主動(dòng)測(cè)量使用由測(cè)量設(shè)備產(chǎn)生的數(shù)據(jù)流來(lái)探測(cè)網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來(lái)估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

2.3 在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線顯示流量數(shù)據(jù)和分析結(jié)果,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲(chǔ)下來(lái),并不對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

2.4 協(xié)議級(jí)分類

對(duì)于不同的協(xié)議,例如以太網(wǎng)(Ethernet)、幀中繼(Frame Relay)、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網(wǎng)絡(luò)插件來(lái)收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測(cè)試方法。

3 網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)

根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于Netflow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。

3.1 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過(guò)分光器、網(wǎng)絡(luò)探針等附加設(shè)備,實(shí)現(xiàn)網(wǎng)絡(luò)流量的無(wú)損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

3.2 基于Netflow的流量監(jiān)測(cè)技術(shù)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇7

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量特征的研究近年來(lái)引起了人們廣泛關(guān)注。網(wǎng)絡(luò)數(shù)據(jù)流量分析系統(tǒng)的定位重點(diǎn)在對(duì)網(wǎng)絡(luò)流量的流量、流向、協(xié)議的細(xì)節(jié)監(jiān)視和分析，網(wǎng)絡(luò)安全監(jiān)視。在容量規(guī)劃、入侵檢測(cè)和路由優(yōu)化時(shí)，網(wǎng)絡(luò)管理員需要知道網(wǎng)絡(luò)的數(shù)據(jù)流量情況和盡量多的測(cè)量信息。

2 關(guān)鍵技術(shù)

⑴數(shù)據(jù)流。數(shù)據(jù)流是指輸入數(shù)據(jù)a1，a2，..按順序到達(dá)。這些數(shù)據(jù)描述了一個(gè)信號(hào)A。A是一個(gè)一維函數(shù)A：[1...N]R2。模型取決于ai如何描述A。本文把數(shù)據(jù)流技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)相結(jié)合， 取得了較好的應(yīng)用效果。

⑵流量監(jiān)測(cè)原理。網(wǎng)絡(luò)流量監(jiān)測(cè)有主動(dòng)監(jiān)測(cè)和被動(dòng)監(jiān)測(cè)兩種不同的實(shí)現(xiàn)方法。主動(dòng)測(cè)量方法是向被測(cè)網(wǎng)絡(luò)中注入附加的“探測(cè)流量”并進(jìn)行返回?cái)?shù)據(jù)的采集來(lái)實(shí)現(xiàn)監(jiān)測(cè)的方法，該如果處理不當(dāng)，也會(huì)給網(wǎng)絡(luò)增加額外的負(fù)荷，影響測(cè)量結(jié)果的客觀性，甚至使測(cè)量結(jié)果不準(zhǔn)確，產(chǎn)生Heisenburg效應(yīng)。而被動(dòng)測(cè)量方法是在網(wǎng)絡(luò)的某點(diǎn)采集、記錄并且分析網(wǎng)絡(luò)的流量信息來(lái)實(shí)現(xiàn)測(cè)量的方法。被動(dòng)測(cè)量可以完全消除附加的“探測(cè)流量”和Heisenbutg 效應(yīng)，這是被動(dòng)測(cè)量的優(yōu)點(diǎn)，但存在可能會(huì)涉及隱私和安全問(wèn)題的不足。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，鑒于被動(dòng)監(jiān)測(cè)的優(yōu)點(diǎn)，本系統(tǒng)采用基于數(shù)據(jù)包捕獲的被動(dòng)監(jiān)測(cè)技術(shù)。

⑶winpcap。在網(wǎng)絡(luò)管理與安全防護(hù)中，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，是非常重要的一個(gè)任務(wù)，從防火墻到攻擊檢測(cè)系統(tǒng)，都會(huì)用到類似功能。開(kāi)發(fā)此類軟件過(guò)程相當(dāng)復(fù)雜。而winpcap （indows packet capture）是windows平臺(tái)下一個(gè)免費(fèi)公共的網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。它提供了以下的各項(xiàng)功能：

1>捕獲原始數(shù)據(jù)報(bào)；2>按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉；3>在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；4>收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。

3 系統(tǒng)架構(gòu)

無(wú)論是基于網(wǎng)絡(luò)安全，還是基于網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的改進(jìn)，網(wǎng)絡(luò)數(shù)據(jù)流量分析無(wú)疑是必要的，人們對(duì)網(wǎng)絡(luò)依賴很強(qiáng)。網(wǎng)絡(luò)數(shù)據(jù)流量系統(tǒng)的架構(gòu)包括三層：數(shù)據(jù)層（瀏覽統(tǒng)計(jì)、數(shù)據(jù)庫(kù)管理）、訪問(wèn)應(yīng)用層、展現(xiàn)層（在線統(tǒng)計(jì)器、流量統(tǒng)計(jì)器、網(wǎng)絡(luò)速度監(jiān)視器）。

4 系統(tǒng)設(shè)計(jì)

⑴網(wǎng)絡(luò)監(jiān)視器。網(wǎng)絡(luò)監(jiān)視器是監(jiān)視網(wǎng)絡(luò)通信的，其主要工作有三項(xiàng)：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網(wǎng)絡(luò)包捕獲系統(tǒng)的實(shí)現(xiàn)中，采用的是WINPCAP包捕獲應(yīng)用系統(tǒng)框架。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來(lái)，供協(xié)議分析模塊使用。由于效率的需要，有時(shí)要根據(jù)設(shè)置過(guò)濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包等。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。

為提高效率，數(shù)據(jù)包過(guò)濾應(yīng)該在系統(tǒng)內(nèi)核里來(lái)實(shí)現(xiàn)。獲得數(shù)據(jù)包之后，如果在捕獲過(guò)程結(jié)束后創(chuàng)建了兩個(gè)線程實(shí)現(xiàn)對(duì)捕獲數(shù)據(jù)的實(shí)時(shí)性處理。

2）包分析。包分析指將捕捉來(lái)的數(shù)據(jù)報(bào)進(jìn)行分析。由于要進(jìn)行流量統(tǒng)計(jì)需要很多必要的信息，作為統(tǒng)計(jì)依據(jù)，如IP地址、協(xié)議類型等。其中，數(shù)據(jù)長(zhǎng)度可由函數(shù)調(diào)用返回的內(nèi)容得到而且此時(shí)得到的是實(shí)際在網(wǎng)上的包長(zhǎng)度。

3）記錄。通過(guò)包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數(shù)據(jù)長(zhǎng)度、協(xié)議類型、以及為了統(tǒng)計(jì)方便需要的時(shí)間信息。

⑵流量統(tǒng)計(jì)器。流量統(tǒng)計(jì)器，是對(duì)流量監(jiān)視器的記錄結(jié)果進(jìn)行統(tǒng)計(jì)，將網(wǎng)絡(luò)監(jiān)視器的記錄文件內(nèi)容讀出，并根據(jù)網(wǎng)址分割標(biāo)準(zhǔn)及源和目的地分別統(tǒng)計(jì)出流向網(wǎng)外的國(guó)內(nèi)和國(guó)外流量，并將結(jié)果按照日期分別存儲(chǔ)在數(shù)據(jù)中。

5 系統(tǒng)實(shí)現(xiàn)

⑴捕捉包的實(shí)現(xiàn)。包捕捉作為一個(gè)獨(dú)立的應(yīng)用程序運(yùn)行，它從網(wǎng)上截獲包，并以文件形式將有用信息記錄下來(lái)，為流量統(tǒng)計(jì)準(zhǔn)備統(tǒng)計(jì)的原始依據(jù)。

⑵在線統(tǒng)計(jì)的實(shí)現(xiàn)。ping利用了原始套接口技術(shù)發(fā)送ICMP回射請(qǐng)求，并接收工CMP回射應(yīng)答。Socket是CP/IP編程的底層API（網(wǎng)絡(luò)編程接口）。在實(shí)現(xiàn)ping后可以將其作為一個(gè)函數(shù)調(diào)用，就很容易實(shí)現(xiàn)在線統(tǒng)計(jì)。

篇8

經(jīng)濟(jì)飛速發(fā)展的同時(shí)，科學(xué)技術(shù)也在不斷地進(jìn)步，網(wǎng)絡(luò)已經(jīng)成為當(dāng)前社會(huì)生產(chǎn)生活中不可或缺的重要組成部分，給人們帶來(lái)了極大的便利。與此同時(shí)，網(wǎng)絡(luò)系統(tǒng)也遭受著一定的安全威脅，這給人們正常使用網(wǎng)絡(luò)系統(tǒng)帶來(lái)了不利影響。尤其是在大數(shù)據(jù)時(shí)代，無(wú)論是國(guó)家還是企業(yè)、個(gè)人，在網(wǎng)絡(luò)系統(tǒng)中均存儲(chǔ)著大量重要的信息，網(wǎng)絡(luò)系統(tǒng)一旦出現(xiàn)安全問(wèn)題將會(huì)造成極大的損失。

1基本概念

1.1網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是對(duì)網(wǎng)絡(luò)安全各要素進(jìn)行綜合分析后，評(píng)估網(wǎng)絡(luò)安全整體情況，對(duì)其發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，最終以可視化系統(tǒng)展示給用戶，同時(shí)給出相應(yīng)的統(tǒng)計(jì)報(bào)表和風(fēng)險(xiǎn)應(yīng)對(duì)措施。網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括五個(gè)方面1：（1）網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集：借助各種檢測(cè)工具，對(duì)影響網(wǎng)絡(luò)安全性的各類要素進(jìn)行檢測(cè)，采集獲取相應(yīng)數(shù)據(jù)；（2）網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解：對(duì)各種網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)進(jìn)行分析、處理和融合，對(duì)數(shù)據(jù)進(jìn)一步綜合分析，形成網(wǎng)絡(luò)安全整體情況報(bào)告；（3）網(wǎng)絡(luò)安全評(píng)估：對(duì)網(wǎng)絡(luò)安全整體情況報(bào)告中各項(xiàng)數(shù)據(jù)進(jìn)行定性、定量分析，總結(jié)當(dāng)前的安全概況和安全薄弱環(huán)節(jié)，針對(duì)安全薄弱環(huán)境提出相應(yīng)的應(yīng)對(duì)措施；（4）網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)：通過(guò)對(duì)一段時(shí)間的網(wǎng)絡(luò)安全評(píng)估結(jié)果的分析，找出關(guān)鍵影響因素，并預(yù)測(cè)未來(lái)這些關(guān)鍵影響因素的發(fā)展趨勢(shì)，進(jìn)而預(yù)測(cè)未來(lái)的安全態(tài)勢(shì)情況以及可以采取的應(yīng)對(duì)措施。（5）網(wǎng)絡(luò)安全態(tài)勢(shì)感知報(bào)告：對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)以圖表統(tǒng)計(jì)、報(bào)表等可視化系統(tǒng)展示給用戶。報(bào)告要做到深度和廣度兼?zhèn)洌瑥亩鄬哟?、多角度、多粒度分析系統(tǒng)的安全性并提供應(yīng)對(duì)措施。

1.2DPI技術(shù)

DPI（DeepPacketInspection）是一種基于數(shù)據(jù)包的深度檢測(cè)技術(shù)，針對(duì)不同的網(wǎng)絡(luò)傳輸協(xié)議（例如HTTP、DNS等）進(jìn)行解析，根據(jù)協(xié)議載荷內(nèi)容，分析對(duì)應(yīng)網(wǎng)絡(luò)行為的技術(shù)。DPI技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)流量分析的場(chǎng)景，比如網(wǎng)絡(luò)內(nèi)容分析領(lǐng)域等。DPI技術(shù)應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域，通過(guò)DPI技術(shù)的應(yīng)用識(shí)別能力，將網(wǎng)絡(luò)安全關(guān)注的網(wǎng)絡(luò)攻擊、威脅行為對(duì)應(yīng)的流量進(jìn)行識(shí)別，并形成網(wǎng)絡(luò)安全行為日志，實(shí)現(xiàn)網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)精準(zhǔn)采集。DPI技術(shù)發(fā)展到現(xiàn)在，隨著后端業(yè)務(wù)應(yīng)用的多元化，對(duì)DPI系統(tǒng)的能力也提出了更高的要求。傳統(tǒng)DPI技術(shù)的實(shí)現(xiàn)主要是基于知名協(xié)議的端口、特征字段等作為識(shí)別依據(jù)，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協(xié)議特征的識(shí)別、基于源IP、目的IP、源端口和目的端口的五元組特征識(shí)別。但是隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展，越來(lái)越多的應(yīng)用采用加密手段和私有協(xié)議進(jìn)行數(shù)據(jù)傳輸，網(wǎng)絡(luò)流量中能夠準(zhǔn)確識(shí)別到應(yīng)用層行為的占比呈現(xiàn)越來(lái)越低的趨勢(shì)。在當(dāng)前網(wǎng)絡(luò)應(yīng)用復(fù)雜多變的背景下，很多網(wǎng)絡(luò)攻擊行為具有隱蔽性，比如數(shù)據(jù)傳輸時(shí)采用知名網(wǎng)絡(luò)協(xié)議的端口，但是對(duì)傳輸流量?jī)?nèi)容進(jìn)行定制，傳統(tǒng)DPI很容易根據(jù)端口特征，將流量識(shí)別為知名應(yīng)用，但是實(shí)際上，網(wǎng)絡(luò)攻擊行為卻“瞞天過(guò)海”，繞過(guò)基于傳統(tǒng)DPI技術(shù)的IDS、防火墻等網(wǎng)絡(luò)安全屏障，在互聯(lián)網(wǎng)上肆意妄為。新型DPI技術(shù)在傳統(tǒng)DPI技術(shù)的基礎(chǔ)上，對(duì)流量的識(shí)別能力更強(qiáng)?；緦?shí)現(xiàn)原理是對(duì)接入的網(wǎng)絡(luò)流量根據(jù)網(wǎng)絡(luò)傳輸協(xié)議、內(nèi)容、流特征等多元化特征融合分析，實(shí)現(xiàn)網(wǎng)絡(luò)流量精準(zhǔn)識(shí)別。其目的是為了給后端的態(tài)勢(shì)感知系統(tǒng)提供準(zhǔn)確的、可控的數(shù)據(jù)來(lái)源。新型DPI技術(shù)通過(guò)對(duì)流量中傳輸?shù)牟煌瑧?yīng)用的傳輸協(xié)議、應(yīng)用層內(nèi)容、協(xié)議特征、流特征等進(jìn)行多維度的分析和打標(biāo)，形成協(xié)議識(shí)別引擎。新型DPI的協(xié)議識(shí)別引擎除了支持標(biāo)準(zhǔn)、知名應(yīng)用協(xié)議的識(shí)別，還可以對(duì)應(yīng)用層進(jìn)行深度識(shí)別。

2新型DPI技術(shù)在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的應(yīng)用

新型DPI技術(shù)主要應(yīng)用于數(shù)據(jù)采集和數(shù)據(jù)理解環(huán)節(jié)。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)采集環(huán)節(jié)，應(yīng)用新型DPI技術(shù)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的精準(zhǔn)采集，避免安全要素?cái)?shù)據(jù)采集不全、漏采或者多采的現(xiàn)象。在網(wǎng)絡(luò)安全要素?cái)?shù)據(jù)理解環(huán)節(jié)，在對(duì)數(shù)據(jù)進(jìn)行分析時(shí)，需要基于新型DPI技術(shù)的特征知識(shí)庫(kù)，提供數(shù)據(jù)標(biāo)準(zhǔn)的說(shuō)明，幫助態(tài)勢(shì)感知應(yīng)用可以理解這些安全要素?cái)?shù)據(jù)。新型DPI技術(shù)在進(jìn)行網(wǎng)絡(luò)流量分析時(shí)主要有以下步驟，（1）需要對(duì)攻擊威脅的流量特征、協(xié)議特征等進(jìn)行分析，將特征形成知識(shí)庫(kù)，協(xié)議識(shí)別引擎加載特征知識(shí)庫(kù)后，對(duì)實(shí)時(shí)流量進(jìn)行打標(biāo)，完成流量識(shí)別。這個(gè)步驟需要確保獲取的特征是有效且準(zhǔn)確的，需要基于真實(shí)的數(shù)據(jù)進(jìn)行測(cè)試統(tǒng)計(jì)，避免由于特征不準(zhǔn)確誤判或者特征不全面漏判的情況出現(xiàn)。有了特征庫(kù)之后，（2）根據(jù)特征庫(kù)，對(duì)流量進(jìn)行過(guò)濾、分發(fā)，識(shí)別流量中異常流量對(duì)應(yīng)的攻擊威脅行為。這個(gè)步驟仍然要借助于協(xié)議識(shí)別特征知識(shí)庫(kù)，在協(xié)議識(shí)別知識(shí)庫(kù)中記錄了網(wǎng)絡(luò)異常流量和攻擊威脅行為的映射關(guān)系，使得系統(tǒng)可以根據(jù)異常流量對(duì)應(yīng)的特征庫(kù)ID，進(jìn)而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時(shí)間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據(jù)網(wǎng)絡(luò)流量進(jìn)一步識(shí)別被攻擊的災(zāi)損評(píng)估，同樣是基于協(xié)議識(shí)別知識(shí)庫(kù)中行為特征庫(kù)，判斷有哪些災(zāi)損動(dòng)作產(chǎn)生、災(zāi)損波及的數(shù)據(jù)類型、數(shù)據(jù)范圍等。網(wǎng)絡(luò)安全態(tài)勢(shì)感知的分析是基于步驟2產(chǎn)生的攻擊威脅行為日志中記錄的流量、域名、報(bào)文和惡意代碼等多元數(shù)據(jù)入手,對(duì)來(lái)自互聯(lián)網(wǎng)探針、終端、云計(jì)算和大數(shù)據(jù)平臺(tái)的威脅數(shù)據(jù)進(jìn)行處理,分析不同類型數(shù)據(jù)中潛藏的異常行為,對(duì)流量、域名、報(bào)文和惡意代碼等安全元素進(jìn)行多層次的檢測(cè)。針對(duì)步驟1的協(xié)議識(shí)別特征庫(kù)，可以采用兩種實(shí)現(xiàn)技術(shù)：分別是協(xié)議識(shí)別特征庫(kù)技術(shù)和流量“白名單”技術(shù)。

2.1協(xié)議識(shí)別特征庫(kù)

在網(wǎng)絡(luò)流量識(shí)別時(shí)，協(xié)議識(shí)別特征庫(kù)是非常重要的，形成協(xié)議識(shí)別特征庫(kù)主要有兩種方式。一種是傳統(tǒng)方式，正向流量分析方法。這種方法是基于網(wǎng)絡(luò)攻擊者的視角分析，模擬攻擊者的攻擊行為，進(jìn)而分析模擬網(wǎng)絡(luò)流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準(zhǔn)確度高，但是需要對(duì)逐個(gè)應(yīng)用進(jìn)行模擬和分析，研發(fā)成本高且效率低下，而且隨著互聯(lián)網(wǎng)攻擊行為的層出不窮和不斷升級(jí)，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術(shù)的進(jìn)步，逐漸應(yīng)用的智能識(shí)別特征庫(kù)。這種方法可以基于威脅流量的流特征、已有網(wǎng)絡(luò)攻擊、威脅行為特征庫(kù)等，通過(guò)AI智能算法來(lái)進(jìn)行訓(xùn)練，獲取智能特征庫(kù)。這種方式采用AI智能識(shí)別算法實(shí)現(xiàn)，雖然在準(zhǔn)確率方面要低于傳統(tǒng)方式，但是這種方法可以應(yīng)對(duì)互聯(lián)網(wǎng)上層出不窮的新應(yīng)用流量，效率更高。而且隨著特征庫(kù)的積累，算法本身具備更好的進(jìn)化特性，正在逐步替代傳統(tǒng)方式。智能特征庫(kù)不僅僅可以識(shí)別已經(jīng)出現(xiàn)的網(wǎng)絡(luò)攻擊行為，對(duì)于未來(lái)可能出現(xiàn)的網(wǎng)絡(luò)攻擊行為，也具備一定的適應(yīng)性，其適應(yīng)性更強(qiáng)。這種方式還有另一個(gè)優(yōu)點(diǎn)，通過(guò)對(duì)新發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、威脅行為特征的不斷積累，完成樣本庫(kù)的自動(dòng)化更新，基于自動(dòng)化更新的樣本庫(kù)，實(shí)現(xiàn)自動(dòng)化更新的流量智能識(shí)別特征庫(kù)，進(jìn)而實(shí)現(xiàn)AI智能識(shí)別算法的自動(dòng)升級(jí)能力。為了確保采集流量精準(zhǔn)，新型DPI的協(xié)議識(shí)別特征庫(kù)具備更深度的協(xié)議特征識(shí)別能力，比如對(duì)于http協(xié)議能夠?qū)崿F(xiàn)基于頭部信息特征的識(shí)別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對(duì)于https協(xié)議，也能夠?qū)崿F(xiàn)基于SNI的特征識(shí)別。對(duì)于目前主流應(yīng)用，支持識(shí)別的應(yīng)用類型包括網(wǎng)絡(luò)購(gòu)物、新聞、即時(shí)消息、微博、網(wǎng)絡(luò)游戲、應(yīng)用市場(chǎng)、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)音頻、網(wǎng)絡(luò)直播、DNS、遠(yuǎn)程控制等，新型DPI的協(xié)議特征識(shí)別庫(kù)更為強(qiáng)大。新型DPI的協(xié)議識(shí)別特征庫(kù)在應(yīng)用時(shí)還可以結(jié)合其他外部知識(shí)庫(kù)，使得分析更具目的性。比如通過(guò)結(jié)合全球IP地址庫(kù)，實(shí)現(xiàn)對(duì)境外流量定APP、特定URL或者特定DNS請(qǐng)求流量的識(shí)別，分析其中可能存在的跨境網(wǎng)絡(luò)攻擊、安全威脅行為等。

2.2流量“白名單”

在網(wǎng)絡(luò)流量識(shí)別時(shí)也同時(shí)應(yīng)用“流量白名單”功能，該功能通過(guò)對(duì)網(wǎng)絡(luò)訪問(wèn)流量規(guī)模的統(tǒng)計(jì)，對(duì)流量較大的、且已知無(wú)害的TOPN的應(yīng)用特征進(jìn)行提取，同時(shí)將這些特征標(biāo)記為“流量白名單”。由于“流量白名單”中的應(yīng)用往往對(duì)應(yīng)較高的網(wǎng)絡(luò)流量規(guī)模，在網(wǎng)絡(luò)流量識(shí)別時(shí)，可以優(yōu)先對(duì)流量進(jìn)行“流量白名單”特征比對(duì)，比對(duì)成功則直接標(biāo)記為“安全”。使用“流量白名單”技術(shù)，可以大大提高識(shí)別效率，將更多的分析和計(jì)算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術(shù)能夠支持域名類型的流量識(shí)別和過(guò)濾。隨著https的廣泛應(yīng)用，也有很多流量較大的白名單網(wǎng)站采用https作為數(shù)據(jù)傳輸協(xié)議，新型DPI技術(shù)也必須能夠支持https證書(shū)類型的流量識(shí)別和過(guò)濾。流量白名單庫(kù)和協(xié)議識(shí)別特征庫(kù)對(duì)網(wǎng)絡(luò)流量的處理流程參考下圖1：

3新型DPI技術(shù)中數(shù)據(jù)標(biāo)準(zhǔn)

安全態(tài)勢(shì)感知系統(tǒng)在發(fā)展中，從各個(gè)廠商獨(dú)立作戰(zhàn)，到現(xiàn)在可以接入不同廠商的數(shù)據(jù)，實(shí)現(xiàn)多源數(shù)據(jù)的融合作戰(zhàn)，離不開(kāi)新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)化。為了保證各個(gè)廠商采集到的安全要素?cái)?shù)據(jù)能夠統(tǒng)一接入安全態(tài)勢(shì)感知系統(tǒng)，各廠商通過(guò)制定行業(yè)數(shù)據(jù)標(biāo)準(zhǔn)，一方面行業(yè)內(nèi)部的安全數(shù)據(jù)采集、數(shù)據(jù)理解達(dá)成一致，另一方面安全態(tài)勢(shì)感知系統(tǒng)在和行業(yè)外部系統(tǒng)進(jìn)行數(shù)據(jù)共享時(shí)，也能夠提供和接入標(biāo)準(zhǔn)化的數(shù)據(jù)。新型DPI技術(shù)中的數(shù)據(jù)標(biāo)準(zhǔn)包括三個(gè)部分，第一個(gè)部分是控制指令部分，安全態(tài)勢(shì)感知系統(tǒng)發(fā)送控制指令，新型DPI在接收到指令后，對(duì)采集的數(shù)據(jù)范圍進(jìn)行調(diào)整，實(shí)現(xiàn)數(shù)據(jù)采集的可視化、可定制化。同時(shí)不同的廠商基于同一套控制指令，也可以實(shí)現(xiàn)不同廠商設(shè)備之間指令操作的暢通無(wú)阻。第二個(gè)部分是安全要素?cái)?shù)據(jù)部分，新型DPI在輸出安全要素?cái)?shù)據(jù)時(shí)，基于統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，比如HTTP類型的數(shù)據(jù)，統(tǒng)一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見(jiàn)頭部和頭部關(guān)鍵內(nèi)容。對(duì)于DNS類型的數(shù)據(jù)，統(tǒng)一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過(guò)定義數(shù)據(jù)描述文件，對(duì)輸出字段順序、字段說(shuō)明進(jìn)行描述。針對(duì)不同的協(xié)議數(shù)據(jù)，定義各自的數(shù)據(jù)輸出標(biāo)準(zhǔn)。數(shù)據(jù)輸出標(biāo)準(zhǔn)也可以從業(yè)務(wù)應(yīng)用角度進(jìn)行區(qū)分，比如針對(duì)網(wǎng)絡(luò)攻擊行為1定義該行為采集到安全要素?cái)?shù)據(jù)的輸出標(biāo)準(zhǔn)。第三個(gè)部分是內(nèi)容組織標(biāo)準(zhǔn)，也就是需要定義安全要素?cái)?shù)據(jù)以什么形式記錄，如果是以文件形式記錄，標(biāo)準(zhǔn)中就需要約定文件內(nèi)容組織形式、文件命名標(biāo)準(zhǔn)等，以及為了便于文件傳輸，文件的壓縮和加密標(biāo)準(zhǔn)等。安全態(tài)勢(shì)感知系統(tǒng)中安全要素?cái)?shù)據(jù)標(biāo)準(zhǔn)構(gòu)成參考下圖2：新型DPI技術(shù)的數(shù)據(jù)標(biāo)準(zhǔn)為安全態(tài)勢(shì)領(lǐng)域各類網(wǎng)絡(luò)攻擊、異常監(jiān)測(cè)等數(shù)據(jù)融合應(yīng)用提供了基礎(chǔ)支撐，為不同領(lǐng)域廠商之間數(shù)據(jù)互通互聯(lián)、不同系統(tǒng)之間數(shù)據(jù)共享提供便利。

4新型DPI技術(shù)面臨的挑戰(zhàn)

目前互聯(lián)網(wǎng)技術(shù)日新月異、各類網(wǎng)絡(luò)應(yīng)用層出不窮的背景下，新型DPI技術(shù)在安全要素采集時(shí)，需要從互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)攻擊、異常流量識(shí)別出來(lái)，這項(xiàng)工作難度越來(lái)越大。同時(shí)隨著5G應(yīng)用越來(lái)越廣泛，萬(wàn)物互聯(lián)離我們的生活越來(lái)越近，接入網(wǎng)絡(luò)的終端類型也多種多樣，針對(duì)不同類型終端的網(wǎng)絡(luò)攻擊也更為“個(gè)性化”。新型DPI技術(shù)需要從規(guī)模越來(lái)越大的互聯(lián)網(wǎng)流量中，將網(wǎng)絡(luò)安全相關(guān)的要素?cái)?shù)據(jù)準(zhǔn)確獲取到仍然有很長(zhǎng)的路要走?；谛滦虳PI技術(shù)，完成網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)中的安全要素?cái)?shù)據(jù)采集，實(shí)現(xiàn)從網(wǎng)絡(luò)流量到數(shù)據(jù)的轉(zhuǎn)化，這只是網(wǎng)絡(luò)安全態(tài)勢(shì)感知的第一步。網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)還需要基于網(wǎng)絡(luò)安全威脅評(píng)估實(shí)現(xiàn)從數(shù)據(jù)到信息、從信息到網(wǎng)絡(luò)安全威脅情報(bào)的完整轉(zhuǎn)化過(guò)程，對(duì)網(wǎng)絡(luò)異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網(wǎng)絡(luò)安全威脅數(shù)據(jù)進(jìn)行統(tǒng)計(jì)建模與評(píng)估，網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)才能做到對(duì)攻擊行為、網(wǎng)絡(luò)系統(tǒng)異常等的及時(shí)發(fā)現(xiàn)與檢測(cè)，實(shí)現(xiàn)全貌還原攻擊事件、攻擊者意圖，客觀評(píng)估攻擊投入和防護(hù)效能，為威脅溯源提供必要的線索。

篇9

面向服務(wù)架構(gòu)(SOA)將應(yīng)用程序的不同功能單元包裝成“服務(wù)(Service)”，通過(guò)這些服務(wù)之間定義良好的接口和協(xié)議聯(lián)系起來(lái)。接口采用中立的方式定義，獨(dú)立于具體實(shí)現(xiàn)服務(wù)的硬件平臺(tái)、操作系統(tǒng)和編程語(yǔ)言，使得構(gòu)建在各種這樣系統(tǒng)中的服務(wù)可以使用統(tǒng)一和通用的方式進(jìn)行通信。這種具有中立接口定義的特征稱為服務(wù)之間的松耦合。面向服務(wù)架構(gòu)是一種軟件體系結(jié)構(gòu)的思想，它需要依賴具體的實(shí)現(xiàn)技術(shù)。本文采用Web服務(wù)分布式管理(WSDM)標(biāo)準(zhǔn)來(lái)支持面向服務(wù)架構(gòu)的實(shí)現(xiàn)。

為了解決網(wǎng)絡(luò)環(huán)境下管理系統(tǒng)和基礎(chǔ)設(shè)施的協(xié)同工作以及管理集成問(wèn)題，OASIS組織在IBM、HP、CA等著名公司的大力支持下，于2005年3月推出了Web服務(wù)分布式管理(Web services distributed manage-ment，WSDM)標(biāo)準(zhǔn)，對(duì)Web Service管理提供標(biāo)準(zhǔn)化的支持，通過(guò)使用Web Service來(lái)實(shí)現(xiàn)對(duì)不同平臺(tái)的管理。

WSDM是一個(gè)用于描述特定設(shè)備、應(yīng)用程序或者組件的管理信息和功能的標(biāo)準(zhǔn)。所有描述都是通過(guò)Web服務(wù)描述語(yǔ)言進(jìn)行的。WSDM標(biāo)準(zhǔn)實(shí)際上是由兩個(gè)不同的標(biāo)準(zhǔn)組成的，WSDM-MUWS標(biāo)準(zhǔn)以及WS-DM-MOWS標(biāo)準(zhǔn)。

圖1是WSDM的工作模式，可管理用戶發(fā)現(xiàn)這個(gè)Web Service端點(diǎn)，然后，通過(guò)與端點(diǎn)交換消息，從而獲取信息、定制事件以及控制與端點(diǎn)相關(guān)聯(lián)的可管理資源。WSDM規(guī)范側(cè)重于提供對(duì)可管理資源的訪問(wèn)。管理是資源的一個(gè)可能具有的特性，可管理資源的實(shí)現(xiàn)是通過(guò)Web Service端點(diǎn)提供一組管理功能。WSDM架構(gòu)不限制可管理資源的實(shí)現(xiàn)策略，實(shí)現(xiàn)方式包括直接訪問(wèn)資源、用非方法、用管理等，實(shí)現(xiàn)細(xì)節(jié)對(duì)于管理消費(fèi)者來(lái)說(shuō)都是透明的。

WSDM作為一種功能強(qiáng)大的分布式系統(tǒng)集成解決方案，其主要特點(diǎn)如下：

(1)面向資源。WSDM的關(guān)注點(diǎn)是資源，因?yàn)橐粋€(gè)資源就代表了多個(gè)Web服務(wù)，因此在該標(biāo)準(zhǔn)中，對(duì)資源屬性和功能的詳細(xì)描述顯得尤為重要。為此，WSDM采用了專門的Web標(biāo)準(zhǔn)(如WS-Resource)對(duì)資源相關(guān)信息進(jìn)行定義。

(2)實(shí)現(xiàn)分離。由于采用與實(shí)現(xiàn)操作無(wú)關(guān)的WSDL語(yǔ)言定義接口，使得接口與服務(wù)實(shí)現(xiàn)了分離，所以無(wú)論Web服務(wù)其內(nèi)在實(shí)現(xiàn)細(xì)節(jié)如何改變都不會(huì)對(duì)客戶端的操作方式有任何影響。這樣做不但較好地封裝了管理方法的實(shí)現(xiàn)細(xì)節(jié)，而且實(shí)現(xiàn)了對(duì)已有資源的重用。

(3)服務(wù)的可組合性。WSDM能隨著應(yīng)用環(huán)境規(guī)模的變化而變化，首先，WSDM標(biāo)準(zhǔn)的自身實(shí)現(xiàn)只需定義較少的屬性和操作，使得其在小規(guī)模的系統(tǒng)中可以得到穩(wěn)定的應(yīng)用：其次，對(duì)于大規(guī)模應(yīng)用環(huán)境而言，WSDM可以隨著應(yīng)用需求的變化靈活地添加某些服務(wù)。從而在使用者和部署人員之間起很好的協(xié)調(diào)作用。

(4)模型的兼容性。主要表現(xiàn)在WSDM能描述和封裝任何資源模型(如cIM、SM-NP、SID等)，并為其提供相應(yīng)的Web服務(wù)接口。

2　系統(tǒng)設(shè)計(jì)方案

網(wǎng)絡(luò)流量采集使用了三種技術(shù)：

(1)基于網(wǎng)管設(shè)備MIB的SNMP模式；

(2)基于網(wǎng)絡(luò)探針技術(shù)的IP流量數(shù)據(jù)捕獲模式；

(3)基于NetFlow技術(shù)的數(shù)據(jù)流捕獲模式。

針對(duì)基于SNMP模式，實(shí)現(xiàn)基于WSDM的SNMP網(wǎng)關(guān)，通過(guò)該網(wǎng)關(guān)收集SNMP設(shè)備上的MIB信息；針對(duì)基于網(wǎng)絡(luò)探針技術(shù)模式，可實(shí)現(xiàn)基于WSDM的網(wǎng)絡(luò)探針?lè)?wù)；針對(duì)基于NetFlow技術(shù)模式，流量數(shù)據(jù)是通過(guò)NetFlow的主動(dòng)式數(shù)據(jù)推送機(jī)制獲得的，網(wǎng)絡(luò)設(shè)備中的NetFlow是通過(guò)規(guī)范的報(bào)文格式將流量數(shù)據(jù)送往指定主機(jī)，WSDM服務(wù)提供了接收和傳輸NetFlow流量數(shù)據(jù)的功能。

2.1　系統(tǒng)架構(gòu)

流量監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)可劃分為三個(gè)層次，即資源層、管理服務(wù)層、展示層，如圖2所示。

(1)資源層

資源層由提供流量采集服務(wù)的分布式流量采集器(WSDM Agent)組成，它們通過(guò)調(diào)用管理服務(wù)層的WSDM Agent注冊(cè)服務(wù)實(shí)行自主注冊(cè)，具備向管理服務(wù)層主動(dòng)匯報(bào)、自主管理和主動(dòng)服務(wù)等功能。

(2)管理服務(wù)層

管理服務(wù)層包括應(yīng)用組件、服務(wù)組件、管理平臺(tái)以及數(shù)據(jù)庫(kù)。其中應(yīng)用組件是對(duì)展示層提供支持的各種

管理服務(wù)，包括策略管理模塊、WSDM Agent管理模塊、流量數(shù)據(jù)管理模塊以及流量分析模塊等系統(tǒng)功能實(shí)現(xiàn)的模塊。服務(wù)組件是對(duì)資源層的各種WSDMAgent資源的支持，包括安全審計(jì)、日志服務(wù)、異常服務(wù)、自主管理等，主要是管理服務(wù)器自主實(shí)現(xiàn)的一些功能。數(shù)據(jù)庫(kù)部分是應(yīng)用組件中各模塊對(duì)應(yīng)的數(shù)據(jù)存儲(chǔ)。中間層的管理平臺(tái)是管理服務(wù)層的核心，是對(duì)應(yīng)用組件、服務(wù)組件以及數(shù)據(jù)庫(kù)的支持，包括Web服務(wù)、WSDM服務(wù)的引擎和API等。

(3)展示層

展示層實(shí)現(xiàn)流量狀態(tài)顯示。可以從流量數(shù)據(jù)庫(kù)中取得所要查詢的網(wǎng)絡(luò)流量歷史信息，也可以調(diào)用管理服務(wù)層提供的服務(wù)觸發(fā)流量信息更新采集實(shí)時(shí)的流量數(shù)據(jù)，還可以通過(guò)服務(wù)將合法用戶的操作信息送到管理服務(wù)層。根據(jù)用戶需求采用圖形用戶界面將流量態(tài)勢(shì)分析的結(jié)果展示出來(lái)。可提供多種格式的流量報(bào)表。

2.2　流量分析系統(tǒng)設(shè)計(jì)

流量分析系統(tǒng)是整個(gè)流量監(jiān)測(cè)系統(tǒng)的核心。如圖3所示，該系統(tǒng)分為五個(gè)模塊：流量采集模塊、數(shù)據(jù)接收模塊、數(shù)據(jù)傳輸模塊、流量分析模塊、數(shù)據(jù)存儲(chǔ)與管理模塊。對(duì)照流量監(jiān)測(cè)系統(tǒng)架構(gòu)，流量分析系統(tǒng)結(jié)構(gòu)中的這五個(gè)功能模塊分別位于總體架構(gòu)的各個(gè)層次。

篇10

1、網(wǎng)絡(luò)流量的特性

通過(guò)對(duì)互聯(lián)網(wǎng)通信量的測(cè)量，人們發(fā)現(xiàn)互聯(lián)網(wǎng)通信量的主要特性有:

1、數(shù)據(jù)流是雙向的，但通常是非對(duì)稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2、大部分TCP會(huì)話是短期的

超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié)，會(huì)話持續(xù)時(shí)間不超過(guò)幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。

3、包的到達(dá)過(guò)程不是泊松過(guò)程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡(jiǎn)單的說(shuō)，泊松到達(dá)過(guò)程就是事件(例如地震，交通事故，電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無(wú)記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡(jiǎn)單。然而近年來(lái)對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過(guò)程不是泊松過(guò)程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過(guò)程不足以精確地描述包的到達(dá)過(guò)程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過(guò)程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

4、網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

2、 網(wǎng)絡(luò)流量的測(cè)量

網(wǎng)絡(luò)流量的測(cè)量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具，通過(guò)采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流，我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會(huì)出錯(cuò)的，設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓，或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長(zhǎng)、錯(cuò)誤地址、安全攻擊等。對(duì)互聯(lián)網(wǎng)流量的測(cè)量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問(wèn)題。互聯(lián)網(wǎng)流量的測(cè)量從不同的方面可以分為:

1、基于硬件的測(cè)量和基于軟件的測(cè)量

基于硬件的測(cè)量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測(cè)量，這些設(shè)備一般都比較昂貴，而且受網(wǎng)絡(luò)接口數(shù)量，網(wǎng)絡(luò)插件的類型，存儲(chǔ)能力和協(xié)議分析能力等諸多因素的限制。基于軟件的測(cè)量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分，使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較，其費(fèi)用比較低廉，但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2、主動(dòng)測(cè)量和被動(dòng)測(cè)量

被動(dòng)測(cè)量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流，不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測(cè)量都是被動(dòng)的測(cè)量。主動(dòng)測(cè)量使用由測(cè)量設(shè)備產(chǎn)生的數(shù)據(jù)流來(lái)探測(cè)網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來(lái)估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

3、在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù)，使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果，大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù)，把數(shù)據(jù)存儲(chǔ)下來(lái)，并不對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

4、協(xié)議級(jí)分類

對(duì)于不同的協(xié)議，例如以太網(wǎng)(Ethernet )，幀中繼(Frame Relay )，異步傳輸模式( Asynchronous Transfer Mode )，需要使用不同的網(wǎng)絡(luò)插件來(lái)收集網(wǎng)絡(luò)數(shù)據(jù)，因此也就有了不同的通信量測(cè)試方法。

3、 網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)

    根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于Netflow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。

1、基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù):網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過(guò)分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無(wú)損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。