緒論:在尋找寫作靈感嗎�����?愛發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)流量分析的方法����,愿這些內(nèi)容能夠啟迪您的思維����,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享�!
篇1
【關(guān)鍵詞】流量 分析 抽樣 分類 統(tǒng)計
路由器��、交換機、寬帶接入服務(wù)器是構(gòu)成寬帶網(wǎng)絡(luò)的主要網(wǎng)絡(luò)設(shè)備�����,一般數(shù)據(jù)網(wǎng)管系統(tǒng)可以看到每一臺設(shè)備的CPU����、內(nèi)存�、端口流量、路由數(shù)據(jù)庫等網(wǎng)絡(luò)信息�����,但這些流量是怎樣構(gòu)成的��,會對網(wǎng)絡(luò)產(chǎn)生怎樣的影響��,我們無從知曉。對寬帶網(wǎng)絡(luò)流量的深入分析�����,使網(wǎng)絡(luò)設(shè)備流量監(jiān)控系統(tǒng)可以監(jiān)測的數(shù)據(jù)包括:網(wǎng)絡(luò)流量構(gòu)成分析�、使用的協(xié)議、系統(tǒng)負(fù)載、端口分布情況����、數(shù)據(jù)應(yīng)用統(tǒng)計��、數(shù)據(jù)安全性�、發(fā)送時間等����。網(wǎng)絡(luò)流量分析應(yīng)用可以接收來自網(wǎng)絡(luò)的各種信息,通過對這些數(shù)據(jù)的分析�����,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運行狀況����。下面從幾個方面對寬帶網(wǎng)絡(luò)流量分析方法進行探討:
1 數(shù)據(jù)抽樣
抽樣是指從原始數(shù)據(jù)集中按一定原則抽取部分實例��,構(gòu)成數(shù)據(jù)子集作為觀察對象����。抽樣的目的是為了代表原始數(shù)據(jù)集特性的較小的數(shù)據(jù)集上獲得對原始數(shù)據(jù)集特性的推斷����。數(shù)據(jù)抽樣的方法包括簡單隨機抽樣,即按照1/k的頻率,隨機進行抽樣���;系統(tǒng)抽樣按數(shù)據(jù)包生成的時間順序,在抽取第一個數(shù)據(jù)包后,每隔k個包抽取一個包;分層抽樣可對標(biāo)注過的每類應(yīng)用采用簡單隨機抽樣或系統(tǒng)抽樣方式抽取數(shù)據(jù)包��;集群抽樣可從多個子數(shù)據(jù)集中再隨機抽取若干個子數(shù)據(jù)集�。
為對數(shù)據(jù)分布進行準(zhǔn)確的分析,要用到幾個簡單的度量指標(biāo),包括算數(shù)平均值Mean����、算數(shù)和S��、計數(shù)C、最小值Min、最大值Max�����、極差Ed��、中列數(shù)Mr����、第一個四分位數(shù)Q1��、第三個四分位數(shù)Q3�、中位數(shù)Median�����、眾數(shù)Mode、離群點Outlier等���。設(shè)n個排序后的觀察:
C=n
Min=x1
Max=x1
Ed=Max-Min
Mr=(Max-Min)/2
Q1=xn/4
Q3=x3n/4
Median=(x[n/2]+x[(n+1)/2])/2
另外,眾數(shù)是指數(shù)據(jù)集中出現(xiàn)頻率最高的數(shù)�����;離群點有時又稱為歧異值���,通常是指數(shù)據(jù)集中與數(shù)據(jù)一般行為不一樣的樣本��。
2 流量分類
網(wǎng)絡(luò)流量分類是依據(jù)網(wǎng)絡(luò)應(yīng)用協(xié)議對應(yīng)的某些參數(shù)或特征�,自動將網(wǎng)絡(luò)流量分成不同流量種類的過程�。流量分類一般指將網(wǎng)絡(luò)流量分為多類,如果是二類分類�����,則可以使用流量檢測���、流量識別�、流量鑒別等方法。
從網(wǎng)絡(luò)流量分類針對的目標(biāo)粒度�,由細(xì)到粗又可以進一步分為包級(packer-level) �、流級(flow-level)和會話級(session-level)。包級分類基于網(wǎng)絡(luò)數(shù)據(jù)包所具有的特征,如包長、包到達(dá)間隔時間等�����,對每個數(shù)據(jù)包進行分類��;流級分類基于五元組(源IP地址����、源端口號��、目的IP地址、目的端口號和協(xié)議)進行分類��,除關(guān)注包級特征外��,通常會進一步考慮流級得指紋特征�,統(tǒng)計特征或行為特征����;會話級分類基于三元組(源IP地址、目的IP地址和協(xié)議)進行分類��,適用于簡單網(wǎng)絡(luò)服務(wù)環(huán)境的流量粗分類���。
基于DPI(深度包檢測)的流量分類方法通過分析特定應(yīng)用在通信過程中的傳輸協(xié)議特征串實現(xiàn)流量分類��,DPI一般是在應(yīng)用層內(nèi)容搜索特征串����,如BitTorrent的某個TCP數(shù)據(jù)包中包含特征串”0x13BitTorrent”����。在基于載荷進行DPI的流量分類中,DPI流量分類需要解決如下幾個問題:非標(biāo)應(yīng)用和私有協(xié)議越來越多��,它們多缺乏公開可用的協(xié)議規(guī)范�����,導(dǎo)致特征串難找易變�����;某些特征模式的代表性較差����,僅能匹配到部分流量,導(dǎo)致檢全率較低���;隨機加密流可能匹配若干模式,導(dǎo)致誤檢率較高;基于協(xié)議語法或數(shù)據(jù)語義分析需要進行大量計算,導(dǎo)致系統(tǒng)時間和空間開銷較大�����。
3 基于統(tǒng)計學(xué)習(xí)的流量分析
基于統(tǒng)計學(xué)習(xí)的流量分析方法通過計算特定應(yīng)用流量的統(tǒng)計信息����,利用各種機器學(xué)習(xí)算法,包括有監(jiān)督學(xué)習(xí)算法和無監(jiān)督學(xué)習(xí)算法,對捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進行鑒別���。基于機器學(xué)習(xí)的網(wǎng)絡(luò)流量分類通常包含三個步驟:統(tǒng)計特性抽取,單包特征如包長,復(fù)合流統(tǒng)計如均值或標(biāo)準(zhǔn)偏差�;分類器構(gòu)造及訓(xùn)練��;新流量分類。
基于機器學(xué)習(xí)的流量分類方法面臨以下幾個方面的問題:難以確定最有效的特征集���,既要選擇最佳的n個特征,使分類算法得到最大的分類準(zhǔn)確率����,同時要求n的值最?�。桓呔S特征導(dǎo)致某些算法收斂時間長���,計算復(fù)雜性較高,若僅參考從數(shù)據(jù)包頭導(dǎo)出的分類特征,如果每個流用于抽取特征的包數(shù)為n,則收集每個特征的計算成本將接近n.log2n;某些算法模型可能陷入局部最優(yōu)����;分類準(zhǔn)確率高度依賴于樣本的先驗概率���,而訓(xùn)練和測試樣本對某類流量可能是有偏樣本�。
4 總結(jié)
寬帶網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)運營管理���,網(wǎng)絡(luò)發(fā)展規(guī)劃�����,網(wǎng)絡(luò)流量調(diào)度和高效能業(yè)務(wù)前瞻的依據(jù)����。網(wǎng)絡(luò)流量分析也是網(wǎng)絡(luò)攻擊和惡意代碼檢測以及流量清洗的重要手段���。隨著寬帶網(wǎng)絡(luò)流量的快速增長����,骨干網(wǎng)體系架構(gòu)不斷演進、扁平化�����、網(wǎng)狀化��、動態(tài)自適應(yīng)成為網(wǎng)絡(luò)發(fā)展的趨勢��,寬帶網(wǎng)絡(luò)流量分析再次面臨巨大挑戰(zhàn),包括:高速網(wǎng)絡(luò)數(shù)據(jù)實時無損采集、單向流����、協(xié)議私有化����、加密����、P2P���、隧道傳輸�、缺乏可信數(shù)據(jù)集和評估標(biāo)準(zhǔn),網(wǎng)絡(luò)流量分析研究工作仍然需要不斷深入與創(chuàng)新�。
參考文獻
[1](美)Nader F.Mir�����,潘淑文.計算機與通信網(wǎng)絡(luò)[M].北京:中國電力出版社,2010(01).
[2]余浩�,徐明偉.P2P流檢測技術(shù)研究綜述[J].清華大學(xué)學(xué)報����,2009(49).
[3]彭蕓�,劉瓊.Internet 流分類方法的比較研究[J].計算機科學(xué),2007(34).
[4]汪立東�,錢麗萍.網(wǎng)絡(luò)流量分類方法與實踐[M].京:人民郵電出版社�,2013.
篇2
關(guān)鍵詞:IP包 流量分析 解析
0 引言
隨著社會的飛速發(fā)展和網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的擴展���,使得網(wǎng)絡(luò)通信問題日益成為人們關(guān)注的焦點����。當(dāng)前,人們對網(wǎng)絡(luò)的需要也日益增多��,人們對網(wǎng)絡(luò)通信也有了越來越高的要求����。通過Internet的迅速發(fā)展使社會經(jīng)濟結(jié)構(gòu)和人們的生活方式發(fā)生了巨大的變化,網(wǎng)絡(luò)服務(wù)越來越重要����,而IP流量正是網(wǎng)絡(luò)管理的重要數(shù)據(jù)基礎(chǔ),通過IP分析流量數(shù)據(jù)��,可以幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)各種惡意網(wǎng)絡(luò)攻擊�,對攻擊源進行追溯和定位,從而對網(wǎng)絡(luò)中的計算機進行有效的保護尤其在中小網(wǎng)絡(luò)中網(wǎng)絡(luò)安全起著至關(guān)重要的作用。IP分析中數(shù)據(jù)的統(tǒng)計是不允許出現(xiàn)任何錯誤的����。因為網(wǎng)管人員在做好防護的同時也要對IP包進行捕獲和流量分析��。網(wǎng)絡(luò)上的信息流量是通過計算機的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息展現(xiàn)出來的�,通過對流經(jīng)網(wǎng)卡的數(shù)據(jù)包的分析���,如果發(fā)現(xiàn)有惡意連接或是異常流量的時候�����,網(wǎng)絡(luò)管理員就可以及時的做出相應(yīng)的措施來保護網(wǎng)絡(luò)的通暢和安全�����,這也就是進行IP包流量分析的重要性。
1 IP包流量分析的研究
1.1 IP流量分析
每個網(wǎng)絡(luò)都有自身的運行規(guī)律���,對于每一個高級的網(wǎng)絡(luò)管理員,要管理好網(wǎng)絡(luò)上承載關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)����,首先要對自己所管理的網(wǎng)絡(luò)建立深入的了解�,提高自身的網(wǎng)絡(luò)管理技術(shù)水平��,掌握有效的IP流量分析技術(shù)并能夠在工作中靈活的運用��。網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的結(jié)構(gòu)、應(yīng)用特點等緊密相關(guān)�����,通過IP流量分析�,能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)系統(tǒng)運行的規(guī)律����。網(wǎng)絡(luò)上重要的應(yīng)用在運行時,如每一次訪問,每一個交易處理,數(shù)據(jù)都是通過網(wǎng)絡(luò)來傳輸?shù)模褪沁@些數(shù)據(jù)的傳輸導(dǎo)致了網(wǎng)絡(luò)流量的產(chǎn)生�。通過分析應(yīng)用運行所產(chǎn)生的網(wǎng)絡(luò)流量��,能夠清楚的了解應(yīng)用運行時對網(wǎng)絡(luò)通信的影響。通過IP流量分析程序可以獲取到數(shù)據(jù)包的內(nèi)容及其數(shù)量�����。在網(wǎng)絡(luò)帶寬一定的情況下�,每個用戶的網(wǎng)絡(luò)行為都將相互影響,同時會對整個網(wǎng)絡(luò)的運行產(chǎn)生影響�����。伴隨著每個用戶在網(wǎng)絡(luò)中的行為都有網(wǎng)絡(luò)流量的產(chǎn)生��,通過對網(wǎng)絡(luò)用戶的IP流量進行分析����,能夠直觀地了解網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)使用情況�����。IP流量分析可以為網(wǎng)絡(luò)和應(yīng)用問題的分析提供依據(jù)�,特別是數(shù)據(jù)包級的分析�����,因為這些依據(jù)是真實的���,有效的,它們是實實在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包����,這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問題分析效率的原因�。IP流量分析是有助于維護網(wǎng)絡(luò)持續(xù)�����、高效和安全運行的一種手段����,IP流量分析有助于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)運行管理、應(yīng)用運行管理和網(wǎng)絡(luò)應(yīng)用問題分析。
IP包流量分析的主要方法是通過實時連續(xù)地采集網(wǎng)絡(luò)數(shù)據(jù)并對其進行統(tǒng)計����,計算得到主要成分性能指標(biāo)�,結(jié)合網(wǎng)絡(luò)流量的原理����,通過統(tǒng)計出的性能指數(shù)觀察網(wǎng)絡(luò)狀態(tài),分析出網(wǎng)絡(luò)流量變化的趨勢,找出影響網(wǎng)絡(luò)性能的因素�。
1.2 系統(tǒng)總體設(shè)計
通過研究與分析簡單IP包流量分析程序的用戶需求可以發(fā)現(xiàn)���,用戶需要系統(tǒng)實現(xiàn)對本機基本信息的獲取��,如IP地址,主機名,MAC地址和子網(wǎng)掩碼等信息��;需要實現(xiàn)對網(wǎng)絡(luò)流量的監(jiān)控����,即對流入和流出網(wǎng)卡的數(shù)據(jù)包進行檢測并對數(shù)據(jù)包的長度進行累加,從而得到流量數(shù)據(jù),最后將網(wǎng)絡(luò)輸入流量�,網(wǎng)絡(luò)輸出流量���,網(wǎng)絡(luò)總流量能在對話框?qū)?yīng)的網(wǎng)格處顯示;需要實現(xiàn)捕獲流經(jīng)本計算機網(wǎng)卡的所有數(shù)據(jù)包��,對所獲取到的數(shù)據(jù)包進行解析��,從而得到相關(guān)信息���,如源地址��,源端口,目的地址����,目的端口�,數(shù)據(jù)包的協(xié)議類型�����,數(shù)據(jù)包大小�����,數(shù)據(jù)等信息。根據(jù)分析IP包流量分析系統(tǒng)可以具有三個主要功能部分:基本信息顯示�����、網(wǎng)絡(luò)流量監(jiān)控����、IP包解析。系統(tǒng)設(shè)計圖如圖1所示�����。
1.2.1 基本信息模塊
對于一臺計算機來說�����,一般只有一個計算機名稱,但是可以有多個IP地址��。例如當(dāng)計算機通過撥號上網(wǎng)的時候�,在驗證完用戶名和口令以后,就會動態(tài)分配一個IP地址�,此時計算機就擁有了兩個IP地址����,一個是自己設(shè)定的局域網(wǎng)用的IP地址���,另外一個就是撥號上網(wǎng)動態(tài)分配的IP地址了����。
基本信息模塊實現(xiàn)的主要功能是獲取本機的主機名和本機IP地址�����,并以對話框的形式顯示出來。此模塊中所獲取的IP地址是自己設(shè)定的局域網(wǎng)用的IP地址����,而不是撥號上網(wǎng)時動態(tài)分配的隨機IP地址����。它設(shè)計的主要目的是為了方便網(wǎng)絡(luò)管理人員快捷地了解本機的一些基本信息��。
1.2.2 網(wǎng)絡(luò)流量監(jiān)控模塊
網(wǎng)絡(luò)管理人員一般會根據(jù)計算機在不同時段的網(wǎng)絡(luò)流量變化情況來對計算機進行各項參數(shù)的優(yōu)化�����,以及了解是否存在異常流量��。而對于個人用戶來說���,實時了解本機網(wǎng)絡(luò)流量情況是很重要的�,尤其是對那些撥號上網(wǎng)的用戶���,對網(wǎng)絡(luò)流量的了解可以有效的幫助他們節(jié)約上網(wǎng)費用���。
網(wǎng)絡(luò)流量監(jiān)控程序的本質(zhì)是對流入和流出網(wǎng)卡(Modern)的數(shù)據(jù)包進行測量�����,在單位時間內(nèi)的流入量實際上就是在單位時間里流入網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)����,在單位時間內(nèi)的流出量實際上就是在單位時間內(nèi)流出網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)�。而總流量就是流入量和流出量之和。
1.2.3 IP包解析模塊
因為要捕獲經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包,需要將網(wǎng)卡設(shè)置為混雜模式。在實際編程的過程中���,通過使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式,并可實現(xiàn)對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。在網(wǎng)絡(luò)安全方面�����,網(wǎng)絡(luò)嗅探手段可以有效地探測在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息��,通過對這些信息的分析利用將有助于對網(wǎng)絡(luò)安全進行維護��。IP包解析模塊就是通過使用網(wǎng)絡(luò)嗅探器技術(shù)來實現(xiàn)完成的。
2 IP包解析模塊的實現(xiàn)
IP包解析模塊是系統(tǒng)實現(xiàn)的重要模塊,在實現(xiàn)中主要實現(xiàn)函數(shù)見表1���。
3 結(jié)束語
IP包流量分析系統(tǒng)是一個相對復(fù)雜的系統(tǒng),通過研究需求設(shè)計了系統(tǒng)的主體框架,通過編寫套接字、訪問注冊表等方法實現(xiàn)了系統(tǒng)部分主要功能,下一步準(zhǔn)備完成詳細(xì)指標(biāo)分析等功能。
參考文獻:
[1]楊延雙�,王全民.TCP/IP協(xié)議分析及應(yīng)用[M].北京:機械工業(yè)出版社,2009.
篇3
關(guān)鍵詞 流量�����;分類�����;檢測����;統(tǒng)計�;分析
中圖分類號 TN91 文獻標(biāo)識碼 A 文章編號 1674-6708(2016)166-00104-01
近年來寬帶網(wǎng)絡(luò)一直保持高速增長,光纖到桌面已基本實現(xiàn)�,但網(wǎng)絡(luò)中巨大的流量會對網(wǎng)絡(luò)產(chǎn)生怎樣的影響���,這些流量是如何構(gòu)成的���,始終是一個問題���。通過對寬帶流量的分析我們可以知道流量的源頭和目的��、知道協(xié)議分布���、知道端口情況��、知道通信經(jīng)營指標(biāo)等、當(dāng)然最重要的還有數(shù)據(jù)的安全性。
不同的網(wǎng)絡(luò)���,不同觀察點,不同時間的網(wǎng)絡(luò)流量因網(wǎng)絡(luò)規(guī)模,業(yè)務(wù)種類����,用戶構(gòu)成和使用習(xí)慣的不同而不同,甚至受突發(fā)事件的影響���,網(wǎng)絡(luò)流量在體量規(guī)模,構(gòu)成成分和比例上都有所不同����。一個好的流量分類分析系統(tǒng)�����,應(yīng)滿足部署位置上的可移植性,流量規(guī)模的可伸縮性����,時間演進的自適應(yīng)性����。這時系統(tǒng)不僅需要采用先進的分類技術(shù)���,也需要代表性的訓(xùn)練數(shù)據(jù)集來確定系統(tǒng)運行參數(shù)��。數(shù)據(jù)集主要采用2種方式:PCAP格式和NETFLOW格式��,前者捕獲的是包級記錄,后者則是關(guān)于流級得統(tǒng)計信息記錄���。
寬帶流量的分析和檢測首先要進行流量的采集,這項工作可以通過交換機或路由器的鏡像端口實現(xiàn)���,也可以通過光纜分光的方式實現(xiàn)。對捕獲的數(shù)據(jù)進行計算和統(tǒng)計�����,并把統(tǒng)計數(shù)據(jù)寫入數(shù)據(jù)庫��,定期形成網(wǎng)絡(luò)性能和流量參數(shù)的報表,用作分析的依據(jù)�,在形成足夠數(shù)量的報表數(shù)據(jù)后��,可以分析數(shù)據(jù)和系統(tǒng)性能變化的趨勢,判斷網(wǎng)絡(luò)是否存在瓶頸,并依據(jù)經(jīng)驗,形成經(jīng)驗數(shù)據(jù)庫��,使網(wǎng)管系統(tǒng)具備學(xué)習(xí)的基礎(chǔ)和能力�����。在出現(xiàn)告警或異常情況時����,可用來分析對比�,判斷是否出現(xiàn)了網(wǎng)絡(luò)的攻擊和入侵,判斷惡意數(shù)據(jù)出現(xiàn)的源頭和特征,足夠數(shù)量的數(shù)據(jù)報表也可以指導(dǎo)各類應(yīng)急預(yù)案的制定,在出現(xiàn)異常情況時可按照事先擬定的規(guī)則進行處理��。
對于寬帶流量的分析和分類��,系統(tǒng)需要進行統(tǒng)計模型的學(xué)習(xí)��,統(tǒng)計模型的學(xué)習(xí)可以分為監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)方法。所謂的監(jiān)督學(xué)習(xí)是需要使用已經(jīng)標(biāo)注過的數(shù)據(jù)集合作為經(jīng)驗知識�����,對寬帶流量的參數(shù)和算法進行訓(xùn)練�����;而非監(jiān)督學(xué)習(xí)則不需要使用已經(jīng)標(biāo)注過的數(shù)據(jù)集進行訓(xùn)練�����,只是根據(jù)相關(guān)算法對寬帶流量集進行匯聚�。對數(shù)據(jù)集的訓(xùn)練過程中需要由經(jīng)驗豐富的專家參與�����,并進行大量的基礎(chǔ)數(shù)據(jù)分析工作,網(wǎng)絡(luò)經(jīng)驗數(shù)據(jù)集是流量分析的重要構(gòu)成因素。在實際分析過程中,由于寬帶核心網(wǎng)絡(luò)的流量巨大���,所以高性能的預(yù)處理路由器和大規(guī)模刀片服務(wù)器必不可少。為了提高分析效率,可以只分析單向流量����,并且在預(yù)處理過程中將IP數(shù)據(jù)報文的載荷去掉�����。但由于各種網(wǎng)絡(luò)協(xié)議不斷演進,加密的流量不斷增加���,各種新應(yīng)用不斷出現(xiàn),網(wǎng)絡(luò)數(shù)據(jù)集的標(biāo)注也變得越來越困難�����。
網(wǎng)絡(luò)流量的分類和分析中對于標(biāo)準(zhǔn)協(xié)議的分析最為準(zhǔn)確�����,可根據(jù)TIP/IP協(xié)議簇中標(biāo)準(zhǔn)的服務(wù)端口號對流量報文進行匹配����,并根據(jù)端口號的不同將流量對應(yīng)為不同的應(yīng)用����。非標(biāo)準(zhǔn)協(xié)議可以使用DPI(深度包檢測)在應(yīng)用層對流量進行特征字符串的分析匹配,由于不同的應(yīng)用在TCP/UDP的數(shù)據(jù)包中包含特征字符串,因此在掌握的不同網(wǎng)絡(luò)應(yīng)用的特征字符串后��,可以將網(wǎng)絡(luò)流量精確的分類和匹配����,缺點是需要消耗較多的系統(tǒng)資源���。但很多網(wǎng)絡(luò)應(yīng)用的特征字符串難找易變����,代表性差及加密度高等問題,也導(dǎo)致誤檢率和檢全率下降����。流量分析監(jiān)控和網(wǎng)絡(luò)應(yīng)用的發(fā)展一直是不斷演變的矛盾�。
基于協(xié)議的分類方法需要分析每種協(xié)議的特定的行為特性�����,標(biāo)準(zhǔn)的通信協(xié)議易于掌握�����,私有協(xié)議比如P2P或VOIP等基于軟硬件客戶端的應(yīng)用則會有較多的變化,或進行加密使用就會影響流量分析的效果�����,甚至無法識別��。有時同一應(yīng)用軟件的不同版本間也會出現(xiàn)不同的流量特征��,即版本的變化會造成協(xié)議特征的變化。另外���,網(wǎng)絡(luò)中的單向流量、數(shù)據(jù)的時延����、抖動都會對流量分析的算法產(chǎn)生影響�����。以上這些因素都是流量分析的難點和痛點。
運營商的骨干網(wǎng)絡(luò)逐漸向扁平化發(fā)展��,網(wǎng)絡(luò)出口的數(shù)量增加和結(jié)構(gòu)日趨復(fù)雜�����,及動態(tài)路由算法的大量使用�����,使得網(wǎng)絡(luò)流量在多條鏈路或多個不同ISP之間動態(tài)調(diào)配,導(dǎo)致在某個觀察點只能得到部分流量��,這對于依賴雙向流量特征的分析方法無法實施�。基于P2P的應(yīng)用目前也在不斷擴大����,P2P的發(fā)展使得應(yīng)用和傳輸分離����,應(yīng)用端點和傳輸分離��,打破了原有的B/S或C/S的傳統(tǒng)傳輸模式����,多源頭并發(fā)傳輸使得流量特征模糊化��,使得數(shù)據(jù)采集的有效性無法保障����。還有一些網(wǎng)絡(luò)應(yīng)用為了逃避被檢測到����,常常采用已知協(xié)議的方法��,例如FTP����、HTTP��、POP3等�,由于IP地址的區(qū)分�����,冒用已知協(xié)議并不會影響正常網(wǎng)絡(luò)通信�����,但給流量分析帶來很大難度。
寬帶網(wǎng)絡(luò)流量分析不僅可以使我們可以清楚的知道網(wǎng)絡(luò)流量的內(nèi)容,還可以為網(wǎng)絡(luò)建設(shè)�����、網(wǎng)絡(luò)優(yōu)化����、運營管理、網(wǎng)絡(luò)安全保障提供依據(jù)和手段。同時,網(wǎng)絡(luò)應(yīng)用在不斷推陳出新���,各種私有化的協(xié)議和加密方法不斷出現(xiàn),且由于用戶接入帶寬的不斷提高,核心網(wǎng)流量呈幾何速度增長���,這些因素在客觀上也大大增加了網(wǎng)絡(luò)流量分析的難度和成本?��,F(xiàn)有的網(wǎng)絡(luò)流量分析再次面臨挑戰(zhàn)�����,網(wǎng)絡(luò)流量的分析研究工作需要不斷深入進行����。
參考文獻
[1]Nader F.Mir.計算機與通信網(wǎng)絡(luò)[M].潘淑文,等,譯.北京:中國電力出版社,2010��,1.
[2]余浩�,徐明偉.P2P流檢測技術(shù)研究綜述[J].清華大學(xué)學(xué)報,2009(4):610-620.
篇4
關(guān)鍵詞:網(wǎng)絡(luò)管理;網(wǎng)絡(luò)流量���;監(jiān)測
中圖分類號:TP393 文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 14-0000-01
The Flow Monitoring Method of Network Management
Li Jiabin
(Ocean University of China,Qingdao266100,China)
Abstract:With the rapid development of modern network technology,by network flow monitoring,to detect traffic anomaly within the enterprise LAN host,or set the threshold according to the system early warning so as to better protect the normal course of business demand for network bandwidth ,is the inevitable requirement of the development of network technology.In this paper,the characteristics of network traffic,network traffic measurement has done a study,so as to optimize the traffic monitoring technology made a number of recommendations.
Keywords:Network management;Network flow;Monitoring
企業(yè)局域網(wǎng)的廣泛應(yīng)用為廣大企業(yè)帶來了快速的信息響應(yīng)、辦公效率的大幅提升、經(jīng)營成本的降低等眾多好處。但同時����,隨著網(wǎng)絡(luò)技術(shù)突飛猛進的發(fā)展����,網(wǎng)絡(luò)應(yīng)用五花八門�,企業(yè)也不得不面對越來越多的惡意網(wǎng)絡(luò)攻擊與黑客入侵。目前,企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全綜合應(yīng)用了防火墻��、入侵監(jiān)測��、漏洞掃描��、補丁分發(fā)等安全產(chǎn)品,致力于建設(shè)集訪問控制���、流量監(jiān)測、帶寬管理及終端管理等功能與一體的安全管理平臺。通過對網(wǎng)絡(luò)流量的監(jiān)測�����,及時發(fā)現(xiàn)企業(yè)局域網(wǎng)內(nèi)流量異常的主機�����,或者根據(jù)系統(tǒng)設(shè)置的閾值提前預(yù)警,從而更好的保護正常業(yè)務(wù)對網(wǎng)絡(luò)帶寬的需求����。所以��,網(wǎng)絡(luò)流量監(jiān)測是實現(xiàn)對企業(yè)局域網(wǎng)運行狀況掌握與管理的有效手段。
一���、網(wǎng)絡(luò)流量的特征
(一)數(shù)據(jù)流是雙向的,但通常是非對稱的�����?��;ヂ?lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的���,因此網(wǎng)絡(luò)的流是雙向的�。但是兩個方向上的數(shù)據(jù)率有很大的差異,這是因為從網(wǎng)站下載時會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個方向多�����。(二)大部分TCP會話是短期的�����。超過90%的TCP會話交換的數(shù)據(jù)量小于IOK字節(jié),會話持續(xù)時間不超過幾秒�。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的�����,但是由于80%的www文檔傳輸都小于IOK字節(jié),WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響�����。(三)包的到達(dá)過程不是泊松過程��。大部分傳統(tǒng)的排隊理論和通信網(wǎng)絡(luò)設(shè)計都假設(shè)包的到達(dá)過程是泊松過程��。簡單的說�,泊松到達(dá)過程就是事件按照一定的概率獨立的發(fā)生����。泊松模型因為指數(shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。(四)網(wǎng)絡(luò)通信量具有局域性���。互聯(lián)網(wǎng)流量的局域性包括時間局域性和空間局域性���。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時間和源及目的地址上,從而顯示出基于時間的相關(guān)和基于空間的相關(guān)���。
二、網(wǎng)絡(luò)流量的測量
網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個工具���,通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計出更加符合實際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議���。計算機網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯的,設(shè)備的一小點故障都有可能使整個網(wǎng)絡(luò)癱瘓����,或者使網(wǎng)絡(luò)性能明顯下降。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題��?;ヂ?lián)網(wǎng)流量的測量從不同的方面可以分為:
(一)基于硬件的測量和基于軟件的測量。基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計的專用硬件設(shè)備進行網(wǎng)絡(luò)流的測量����,這些設(shè)備一般都比較昂貴��,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲能力和協(xié)議分析能力等諸多因素的限制�?���;谲浖臏y量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分�����,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能���。與基于硬件的方法比較��,其費用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。(二)主動測量和被動測量��。被動測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流���,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)����。大部分網(wǎng)絡(luò)流量測量都是被動的測量。主動測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來估計到某個目的地址的網(wǎng)絡(luò)延時�����。(三)在線分析和離線分析�。有的網(wǎng)絡(luò)流量分析器支持實時地收集和分析網(wǎng)絡(luò)數(shù)據(jù)�����,使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果�,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個能力����。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲下來�����,并不對數(shù)據(jù)進行實時的分析���。(四)協(xié)議級分類�。對于不同的協(xié)議,例如以太網(wǎng)����,幀中繼�,異步傳輸模式,需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測試方法���。
三、網(wǎng)絡(luò)流量的監(jiān)測技術(shù)
根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)����。
(一)基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)�����。網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備��,實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集��。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應(yīng)用層信息��。(二)基于Netflow的流量監(jiān)測技術(shù)����。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機制實現(xiàn)的網(wǎng)絡(luò)流量信息采集。(三)基于SN的流量監(jiān)測技術(shù)�?;赟NMP的流量信息采集����,實質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB中收集一些具體設(shè)備及流量信息有關(guān)的變量?����;赟NMP收集的網(wǎng)絡(luò)流量信息包括:輸入字節(jié)數(shù)��、輸入非廣播包數(shù)��、輸入廣播包數(shù)、輸入包丟棄數(shù)�、輸入包錯誤數(shù)����、輸入未知協(xié)議包數(shù)�、輸出字節(jié)數(shù)、輸出非廣播包數(shù)���、輸出廣播包數(shù)、輸出包丟棄數(shù)�、輸出包錯誤數(shù)�����、輸出隊長等。在此基礎(chǔ)上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量監(jiān)測的需求���。
在綜合比較三種技術(shù)之后���,不難得出以下結(jié)論:基于SNMP的流量監(jiān)測技術(shù)能夠滿足網(wǎng)絡(luò)流量分析的需要�����,且信息采集效率高����,適合在各類網(wǎng)絡(luò)中應(yīng)用����。
參考文獻:
篇5
關(guān)鍵詞: 流量分析;重要端口號�;算法思想
中圖分類號:TP311 文獻標(biāo)識碼:A 文章編號:1671-7597(2012)1210095-01
1 兩種不同網(wǎng)絡(luò)類型的數(shù)據(jù)流量
在C/S(客戶機/服務(wù)器)結(jié)構(gòu)中�,客戶機發(fā)送一些請求��,服務(wù)器為每個請求做出回復(fù)����。在客戶機間不直接傳遞信息���,客戶機必須通過服務(wù)器把信息發(fā)送給其它客戶機��。這種數(shù)據(jù)是定向流動的�����,幾乎都是從服務(wù)器到客戶機�����。然而在P2P網(wǎng)絡(luò)結(jié)構(gòu)中每臺主機同時擔(dān)任服務(wù)器和客戶機角色�,對等主機之間可以直接進行數(shù)據(jù)交換。
2 P2P網(wǎng)絡(luò)應(yīng)用的類型
在P2P網(wǎng)絡(luò)應(yīng)用程序中,可以分為兩類:一是即時通信應(yīng)用��,如MSN和雅虎信使����。實時通信程序的主要功能是信息傳遞,實現(xiàn)1對1或者1對多式用戶交流和文件轉(zhuǎn)存。二是文件共享應(yīng)用�,如Napster�����。文件共享程序的主要功能是查詢和文件轉(zhuǎn)存。然而P2P應(yīng)用程序的聯(lián)系分兩種:一種是中心仲裁式���,另一種是純分布式。大多數(shù)實時通信應(yīng)用程序系統(tǒng)使用中心仲裁,在這種聯(lián)系方式中�����,一個或多個核心服務(wù)器存在��,這些服務(wù)器包含所有主機的信息并且把信息發(fā)送給請求的主機���。在純分布式中沒有中心服務(wù)器����,在搜索效率和文件傳輸上都不是很好�����。實際在P2P網(wǎng)絡(luò)應(yīng)用程序使用中存在這兩個不同類型的混合通信�。
3 P2P網(wǎng)絡(luò)數(shù)據(jù)流量分析算法的主要思想
傳統(tǒng)的數(shù)據(jù)流量分析主要是以端口號為基礎(chǔ)的分析和對有效載荷的檢測分析�,而在P2P網(wǎng)絡(luò)中,這種方法不太適用。比如網(wǎng)絡(luò)流量中,HTTP通常使用的端口號是80或8080�����,HTTPS使用端口號443�,在P2P網(wǎng)絡(luò)數(shù)據(jù)流量中���,端口號檢測不是那么簡單��,因為它們使用的端口號超過1024���,通常是動態(tài)生成的端口號��。
因此設(shè)想,如果所有的P2P數(shù)據(jù)流量可以在整個流量中分離出來�,然后根據(jù)其應(yīng)用程序的名稱分組�,那么就可以對P2P網(wǎng)絡(luò)數(shù)據(jù)流量進行高精度地分析�����?;诖?�,我們提出了一種新的數(shù)據(jù)流量分析算法��。
該算法不檢查每個數(shù)據(jù)包的有效載荷,只使用每個數(shù)據(jù)包的頭信息���。主要包括四個過程,分別是應(yīng)用端口表��、重要端口號選擇����、流量關(guān)系圖和數(shù)據(jù)流量分組。算法思想首先是構(gòu)建應(yīng)用端口表���。它是通過離線窮舉搜索方法和數(shù)據(jù)包分析工具對每個對等網(wǎng)應(yīng)用程序進行檢測與分析��,包含應(yīng)用程序的名稱����、其經(jīng)常使用的端口號和協(xié)議。其次是重要端口號的選擇���。從捕獲的數(shù)據(jù)包中分析信息:源地址、目的地址���、源端口、目的端口號�����、協(xié)議號�。因為源端口和目的端口號通常超過1024,從隨機生成的端口號中區(qū)分對于P2P應(yīng)用程序重要的端口號��。
第三步是生成流量關(guān)系圖�����。大多數(shù)P2P應(yīng)用程序具有多個支持的功能���,在相同P2P流量中有可能發(fā)現(xiàn)它們之間的關(guān)系���。對前三個過程的結(jié)果進行分析�,按照對等網(wǎng)應(yīng)用程序的名稱與關(guān)系確定流量分組����。分組信息用于P2P應(yīng)用程序決策,從而提高分析的精確度��。
4 P2P數(shù)據(jù)流量分析系統(tǒng)的設(shè)計
根據(jù)以上算法�����,我們設(shè)想了P2P網(wǎng)絡(luò)流量分析系統(tǒng),用于實時流量的監(jiān)控和分析�����。該系統(tǒng)主要包括三個模塊����,分別是應(yīng)用端口表模塊、重要端口選擇模塊和流量關(guān)系圖模塊。其中���,重要端口選擇模塊由一個數(shù)據(jù)包捕獲器、一個數(shù)據(jù)流發(fā)生器和一個同步分組表組成。數(shù)據(jù)包捕獲器從一個網(wǎng)絡(luò)鏈接接收原始數(shù)據(jù)包,并生成數(shù)據(jù)包的頭信息�,分組頭信息被發(fā)送到數(shù)據(jù)流發(fā)生器里��。如果一個數(shù)據(jù)包是同步數(shù)據(jù)包或準(zhǔn)同步數(shù)據(jù)包則被存儲在同步分組表中。數(shù)據(jù)流發(fā)生器查找同步分組表,并從每個數(shù)據(jù)流中選擇一個重要端口號��。重要端口選擇模塊依靠網(wǎng)絡(luò)連接環(huán)境在一個單一的系統(tǒng)或多重系統(tǒng)中實現(xiàn)選擇��。假如數(shù)據(jù)包在一個單一系統(tǒng)中被捕獲����,重要端口選擇器可以在一個單一的系統(tǒng)中實現(xiàn)�����;如果有多個捕獲器被使用����,那么重要端口選擇器模塊應(yīng)分為高��、低級兩層次���。最后,流量關(guān)系圖模塊對數(shù)據(jù)進行分析,并生成流量關(guān)系圖���。
5 總結(jié)
本文說明了P2P網(wǎng)絡(luò)流量的特點和現(xiàn)有的分析機制不適于當(dāng)前網(wǎng)絡(luò)流量分析的原因,并提出了算法思想��,其與過去相比復(fù)雜而精確。利用該算法設(shè)計了一個分析系統(tǒng),使用該系統(tǒng)可以分析大量的未知的無法用傳統(tǒng)分析方法進行監(jiān)控的數(shù)據(jù)流量����。另外���,該算法還可以進一步改進�,特別是數(shù)據(jù)流量關(guān)系中的算法�����。該算法還可以應(yīng)用于其他網(wǎng)絡(luò)類型中數(shù)據(jù)流量的監(jiān)控與分析���,比如網(wǎng)絡(luò)游戲和網(wǎng)絡(luò)流媒體等數(shù)據(jù)處理業(yè)務(wù)中���。
參考文獻:
[1]劉芳����,網(wǎng)絡(luò)流量監(jiān)測與控制���,北京郵電大學(xué)出版社���,2009年9月.
[2]高彥剛���,實用網(wǎng)絡(luò)流量分析技術(shù)�,電子工業(yè)出版社,2009年7月.
篇6
【關(guān)鍵詞】 分層網(wǎng)絡(luò) 交換機 設(shè)計規(guī)格
一、前沿
選擇交換機硬件時���,應(yīng)確定核心層�、分布層和接入層分別需要何種交換機來滿足網(wǎng)絡(luò)帶寬需求,應(yīng)考慮未來的帶寬需�。應(yīng)購買合適的交換機硬件來滿足當(dāng)前及未來的帶寬需求���。為了更準(zhǔn)確地選擇合適的交換機����,要定期執(zhí)行和記錄流量分析�。
二、流量分析
流量分析是測量網(wǎng)絡(luò)帶寬使用率并分析相關(guān)數(shù)據(jù)來調(diào)整性能���、規(guī)劃容量并作出硬件升級決策的過程,流量分析是通過流量分析軟件來實現(xiàn)的����。盡管對網(wǎng)絡(luò)流量并沒有確切的定義�����,但為了便于理解流量分析,可以理解為網(wǎng)絡(luò)流量是指在一定時間內(nèi)通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)量����。所有的網(wǎng)絡(luò)數(shù)據(jù)無論來自何方�,無論發(fā)往何處����,都是流量的一部分。監(jiān)控網(wǎng)絡(luò)流量的方法有許多種�����?�?梢允止けO(jiān)控各個交換機端口來收集一段時間內(nèi)的帶寬利用率。在分析流量數(shù)據(jù)時����,可能根據(jù)每天特定時段的流量以及大部分?jǐn)?shù)據(jù)的來源和目的地來確定未來的流量需求��。但是,為了獲得準(zhǔn)確地結(jié)果�,需要記錄足夠的數(shù)據(jù)��。手工記錄流量數(shù)據(jù)是件費時費力的機械活,市面上有一些自動化的解決方案。
三�����、分析工具
現(xiàn)在市面上有許多流量分析攻擊可以將流量數(shù)據(jù)自動記錄到數(shù)據(jù)庫中,并執(zhí)行趨勢分析����。在大型網(wǎng)絡(luò)中�����,采用軟件收集解決方案是唯一有效的流量分析方式。通過軟件收集數(shù)據(jù)時����,可以看到在給定的時間內(nèi)網(wǎng)絡(luò)上每個接口的運行狀況�。通過輸出的圖表���,可以直觀的發(fā)現(xiàn)流量問題��。比用柱狀表示的流量數(shù)據(jù)更容易理解�����。
四�、用戶群分析
用戶群分析是確定各類用戶群體及其對網(wǎng)絡(luò)性能的影響的過程,用戶的分組方式會影響與端口密度和流量有關(guān)的問題,進而影響網(wǎng)絡(luò)交換機的選擇。
在典型的辦公樓中�,一般根據(jù)終端用戶的職能對其進行分組�,這是因為相同職能用戶所需訪問的資源和應(yīng)用程序也大體相同��。每個部門的用戶數(shù)���、應(yīng)用程序需求以及需要通過網(wǎng)絡(luò)訪問的可用數(shù)據(jù)資源各有不同���。不僅要查看網(wǎng)絡(luò)中指定交換機上的設(shè)備數(shù)量����,還應(yīng)該調(diào)查終端用戶應(yīng)用程序生產(chǎn)的網(wǎng)絡(luò)流量�。有些用戶群使用產(chǎn)生大量網(wǎng)絡(luò)流量的應(yīng)用程序,而其他用戶則不然,通過測量不同用戶群使用的所有應(yīng)用程序所生成的網(wǎng)絡(luò)流量并確定數(shù)據(jù)源的位置��,可以確定增加用戶對該用戶群的影響����。
小企業(yè)中工作組大小的用戶群僅用幾臺交換機提供支持,通常連接到服務(wù)器所在的交換機上��。在中型企業(yè)中�����,用戶群由許多交換機提供支持�����。中型企業(yè)用戶群所需的資源可能位于地理上分散的若干區(qū)域中。因此,用戶群的位置會影響數(shù)據(jù)存儲和服務(wù)器的位置�。分析用戶群的應(yīng)用程序使用率的難題之一是使用率并非純粹取決于用戶所在的部門或地理位置��。還需要分析應(yīng)用程序穿越多臺網(wǎng)絡(luò)交換機所帶來的負(fù)面影響。并據(jù)此確定總體影響。
五��、數(shù)據(jù)存儲和數(shù)據(jù)服務(wù)器分析
在分析網(wǎng)絡(luò)流量時�,應(yīng)考慮數(shù)據(jù)存儲和服務(wù)器的位置����,以便確定它們對網(wǎng)絡(luò)流量的影響。數(shù)據(jù)存儲可以是服務(wù)器���、存儲區(qū)域網(wǎng)絡(luò)(SAN)、網(wǎng)絡(luò)連接存儲(NAS)��、磁帶備份設(shè)備或任何其他存儲大量數(shù)據(jù)的設(shè)備或組件�����。
在考慮數(shù)據(jù)存儲和服務(wù)器的流量時���,應(yīng)同時考慮客戶端到服務(wù)器的流量和服務(wù)器到服務(wù)器的流量����。通過觀察不同用戶群使用的各種應(yīng)用程序的數(shù)據(jù)路徑,可以找到潛在的瓶頸,確定在哪些地方因為帶寬不足會影響應(yīng)用程序的性能����。為改善性能����,可以聚合鏈路來提供帶寬�,或者使用能夠處理流量負(fù)載的快速交換機來取代慢速交換機。
六、拓?fù)浣Y(jié)構(gòu)圖
拓?fù)浣Y(jié)構(gòu)圖是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的圖形表現(xiàn)形式����,拓?fù)浣Y(jié)構(gòu)圖顯示所有的交換機如何互連���,乃至詳細(xì)到哪個交換機端口與設(shè)備互連��。拓?fù)浣Y(jié)構(gòu)圖以圖形的形式顯示交換機之間用于提供災(zāi)難恢復(fù)和性能增強的任何冗余路徑或聚合端口���,顯示網(wǎng)絡(luò)中交換機的位置和數(shù)目并標(biāo)出交換機的配置�����。通過拓?fù)浣Y(jié)構(gòu)圖���,可以直觀地找到網(wǎng)絡(luò)流量的潛在瓶頸�,可以抓住流量分析數(shù)據(jù)的要點�,知道哪些網(wǎng)絡(luò)區(qū)域的改進能夠最有效地提高網(wǎng)絡(luò)的整體性能。
七���、結(jié)語
對于中小型企業(yè)而言、基于數(shù)據(jù)��、語音和視頻的數(shù)字通信至關(guān)重要���。因此��,正確設(shè)計局域網(wǎng)是企業(yè)日常運營的基本需求�。作為網(wǎng)絡(luò)技術(shù)人員���,必須能夠判斷什么才是設(shè)計合理的局域網(wǎng)�����,能夠選擇合適的設(shè)備來滿足中小型企業(yè)的網(wǎng)絡(luò)需求���。
參 考 文 獻
[1] 郭利鋒���,王勇�,張磊�����,白焱. AFDX交換機的隊列整形調(diào)度研究[J]. 計算機工程,2011,(24):58-60
篇7
電力綜合數(shù)據(jù)網(wǎng)的深化應(yīng)用對異常流量的檢測和分析提出了更高的要求。本文通過對電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結(jié)構(gòu)進行分析,驗證了電力綜合數(shù)據(jù)網(wǎng)正常單位流量具有穩(wěn)定的信息熵。在此基礎(chǔ)上����,提出了通過對數(shù)據(jù)流量五元組熵值的分析來判斷異常流量的方法����,并對綜合數(shù)據(jù)網(wǎng)流量結(jié)構(gòu)進行建模�����,提出應(yīng)用支持向量機的算法對異常流量進行識別�����。
【關(guān)鍵詞】綜合數(shù)據(jù)網(wǎng) 異常流量 支持向量機
1 某電網(wǎng)綜合數(shù)據(jù)網(wǎng)流量分析現(xiàn)狀
目前某電網(wǎng)公司綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)以主數(shù)據(jù)中心和同城災(zāi)備中心為核心,與全省各地供電局的綜合數(shù)據(jù)網(wǎng)絡(luò)核心形成互聯(lián),互聯(lián)鏈路采用萬兆以太網(wǎng)傳輸技術(shù)�����,形成一個電網(wǎng)綜合數(shù)據(jù)業(yè)務(wù)傳輸?shù)某休d網(wǎng)平臺。具體網(wǎng)絡(luò)拓?fù)淙缦滤荆?/p>
該電網(wǎng)公司綜合數(shù)據(jù)網(wǎng)絡(luò)核心日常數(shù)據(jù)流量已超過1GB�����,流量監(jiān)控使用ARBOR流量分析設(shè)備來完成���,通過Netflow的方式監(jiān)測骨干層各中心匯聚設(shè)備連接到省中心的端口�。
目前,該電網(wǎng)公司流量分析系統(tǒng)具備的主要功能包括:
(1)能夠得到端到端用戶體檢的量化數(shù)據(jù)��,包括端到端的全過程響應(yīng)時間�。
(2)能夠得到網(wǎng)絡(luò)傳輸時延的數(shù)據(jù)��,并考慮到不同數(shù)據(jù)包大小情況的網(wǎng)絡(luò)傳輸時延��。
(3)能夠得到應(yīng)用系統(tǒng)各個交互過程的響應(yīng)時間的數(shù)據(jù)。
(4)能夠根據(jù)時間迅速定位流量,并根據(jù)地址、端口等信息迅速將所需網(wǎng)絡(luò)流量數(shù)據(jù)包檢索并抽取出來進行分析。
由以上功能點的統(tǒng)計分析���,可以得知,目前該電網(wǎng)的流量分析系統(tǒng)能做到對網(wǎng)絡(luò)流量的統(tǒng)計及性能分析����,但對網(wǎng)絡(luò)流量異常的做不到良好的預(yù)警�����。
2 流量異常檢測方法
自Denning研究異常檢測模型以來,網(wǎng)絡(luò)異常檢測方法的研究就一直受到學(xué)術(shù)界的極大關(guān)注。白玉峰研究致力于利用流量大小(如流數(shù)���、分組數(shù)或字節(jié)數(shù))來檢測網(wǎng)絡(luò)異常并獲得巨大成功,但是這類方法面臨的問題是:并非所有的異常都會引起流量大小的顯著變化;此外�����,采用不同的流量測度可能會識別出不同的流量異常���,因此僅僅采用一種流量測度并不能識別蘊含在流量數(shù)據(jù)中的所有異常����。
近年來的大量研究表明,不管是局域網(wǎng)還是廣域網(wǎng),網(wǎng)絡(luò)流量都具有明顯的突發(fā)性和長相關(guān)性,而網(wǎng)絡(luò)的自相似性特性可以很好地描述流量這些特性,所以,自相似性已成為網(wǎng)絡(luò)流量的重要特性并以此作為流量異常檢測的基礎(chǔ)。現(xiàn)今已有大量計算機學(xué)科領(lǐng)域的算法和模型被使用在網(wǎng)絡(luò)流量的異常檢測方面,文獻采用小波分析方法利用網(wǎng)絡(luò)流量在時間尺度上的多重分形�,在小波域內(nèi)對網(wǎng)絡(luò)流量進行分解�,通過計算網(wǎng)絡(luò)流量的Hurst指數(shù)��,根據(jù)正常與異常流量Hurst指數(shù)的偏差來檢測異常�����,但該方法Hurst指數(shù)與時間尺度緊密相關(guān)���,只對突發(fā)性的流量具有較好的檢測效果�����;文獻[1]提出一種融合k-means的聚類檢測算法�,該文增量地構(gòu)建流量矩陣���,增量地使用PCA主成分進行異常檢測�,這些方法在全網(wǎng)流量異常時檢測效果非常明顯,但算法相對過于復(fù)雜使其在實時性上較差����;文獻[2] 使用一種基于信息熵的特征選擇算法��,降低了檢測數(shù)據(jù)的維數(shù),但增量學(xué)習(xí)的限制條件比較多����,增量學(xué)習(xí)效率較低����。
3 綜合數(shù)據(jù)網(wǎng)流量異常檢測
通過上述分析可以看出����,數(shù)據(jù)流五元組的熵值較為穩(wěn)定�����,可以通過熵值的變化情況來區(qū)分正常流量和異常流量。因此綜合數(shù)據(jù)網(wǎng)異常流量的檢測問題也就是通過對數(shù)據(jù)流量五元組熵值的分析來做出正?���;虍惓5呐袛唷?/p>
3.1 異常流量檢測模型
針對上文中對流量特性的分析�,綜合數(shù)據(jù)網(wǎng)異常流量的檢測問題可以理解為通過已有的流量特征據(jù)��,將現(xiàn)有的流量分類為正常或異常�。模式識別理論是利用已有的信息��,按照某種特定的規(guī)則確定未知的樣本的類別屬性,模式識別往往被看作是分類問題���,讓機器自身從環(huán)境中分離出某種模式并對未知樣本的歸類做出合理的判斷。因此�,可以將模式識別應(yīng)用于綜合數(shù)據(jù)網(wǎng)的異常力量檢測����,通過對己有的數(shù)據(jù)流量的熵值樣本進行學(xué)習(xí)��,建立規(guī)律模型�,利用該模型對未知樣本進行分類���。
3.2 異常檢測算法
首先使用一定數(shù)量的正常流量和異常流量數(shù)據(jù)作為訓(xùn)練樣本輸入到支持向量機之中��,根據(jù)這些訓(xùn)練數(shù)據(jù)輸出一個模型���,這個模型實際上就是通過樣本構(gòu)造的決策函數(shù)��。然后將測試數(shù)據(jù)輸入該模型進行分類。
3.2.1 訓(xùn)練階段
根據(jù)信息熵的定義����,對樣本流量的五元組分別求熵����,建立樣本流量的五維熵值向量�����。使用核函數(shù)將向量從五維變換到高位,再將數(shù)據(jù)作為訓(xùn)練樣本輸入到支持向量機之中��,根據(jù)這些訓(xùn)練數(shù)據(jù)構(gòu)造的一個決策函數(shù)��。
3.2.2 檢測階段
將檢測流量輸入模型進行檢測����,分類結(jié)果為1則為正常流量�,分類結(jié)果為-1即為異常流量。
4 結(jié)束語
本文通過對電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結(jié)構(gòu)進行分析,驗證了電力綜合數(shù)據(jù)網(wǎng)正常數(shù)據(jù)符合重尾分布�,且正常單位流量具有穩(wěn)定的信息熵��。在此基礎(chǔ),對綜合數(shù)據(jù)網(wǎng)流量結(jié)構(gòu)進行建模,采用支持向量機的識別算法對異常流量進行識別。實驗結(jié)果表明,在異常流量比例大于5%的條件下�����,算法能夠檢測出網(wǎng)絡(luò)中的異常數(shù)據(jù)��。
下一步的工作是深入研究電力綜合數(shù)據(jù)網(wǎng)異常流量的類型以及各種異常流量對流量結(jié)構(gòu)的影響����,改進檢測算法��,進一步提升算法的精度�����。
參考文獻
[1]DENNING D.An intrusion-detection model[J].IEEE Transactions on Software Engineering,1987�,13(2):222-232.
[2]TORRES R����,HAJJAT M,RAO SG��,et al.Inferring undesirable behavior from P2P traffic analysis[A].SIGMETRICS[C].USA���,2009�����,231-242.
[3]GU G,PERDISCI R,ZHANG J,et al.BotMiner:clustering analysis of network traffic for protocol and structure-independent botnet detection[A].USENIX Security[C].USA.����,2008���,67-76.
篇8
【關(guān)鍵詞】 電力通信 負(fù)載均衡 拓?fù)鋬?yōu)化 流量分析
一�、電力通信業(yè)務(wù)流量特征
電力通信網(wǎng)絡(luò)在我國電網(wǎng)系統(tǒng)中占據(jù)重要位置�,其在電力生產(chǎn)、運行和管理等各方面的業(yè)務(wù)中發(fā)揮重要支撐作用,大量的電力信息需要電力通信網(wǎng)絡(luò)來完成收集��、傳輸與存儲�。隨著我國電力系統(tǒng)建設(shè)的不斷深入,以及電力業(yè)務(wù)的不斷擴大,網(wǎng)絡(luò)流量呈幾何級數(shù)增長,業(yè)務(wù)類型也日趨復(fù)雜��,這給電力通信網(wǎng)絡(luò)的安全��、可靠�、實時運行提出了更大的挑戰(zhàn)�。在這種背景下,建立有效的流量分析和預(yù)測方法�����,可以為網(wǎng)絡(luò)規(guī)劃�����、協(xié)議設(shè)計����、路由精確控制提供決策依據(jù)�,對電力通信網(wǎng)絡(luò)性能的分析和優(yōu)化具有積極的意義�。
通常來說,智能電網(wǎng)中的電力通信網(wǎng)絡(luò)可劃分為三類子網(wǎng)�,即電力通信綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)�����、電力通信調(diào)度數(shù)據(jù)網(wǎng)、變電站站內(nèi)通信網(wǎng)�。對各類子網(wǎng)的承載業(yè)務(wù)進行分析可知���,當(dāng)前我國電力通信網(wǎng)絡(luò)業(yè)務(wù)可歸納為三種類型����,即視頻類業(yè)務(wù)��、數(shù)據(jù)類業(yè)務(wù)����、語音類業(yè)務(wù)��。電力通信網(wǎng)絡(luò)的流量具有重要的特征����,比如自相似性和長相關(guān)性���、多重分形性�����、周期性等�����。此外���,基于我國電力通信系統(tǒng)的基本情況,對視頻業(yè)務(wù)�、語音業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)的速率����、丟包率��、抖動幅度�����、時延、頻率飄移要求等方面進行相關(guān)的規(guī)定���。
二、I務(wù)流量分析和預(yù)測
電力系統(tǒng)的日趨龐大使得電力通信網(wǎng)絡(luò)流量呈現(xiàn)幾何級增長的趨勢����,而且業(yè)務(wù)類型也日趨復(fù)雜�,以網(wǎng)絡(luò)為載體傳輸?shù)碾娏π畔⒌膫鬏斝问揭哺佣鄻踊?���,這給電力通信網(wǎng)絡(luò)的安全、可靠��、實時運行提出了新的的要求�����。在對當(dāng)前電力通信網(wǎng)絡(luò)情況下��,對網(wǎng)絡(luò)流量進行分析和預(yù)測是電力通信研究的關(guān)鍵核心問題�����,對電力通信網(wǎng)絡(luò)��、電力網(wǎng)絡(luò)的安全可靠運行具有積極的意義。對于電力通信網(wǎng)絡(luò)的相關(guān)研究而言,常用的網(wǎng)絡(luò)流量模型有:ARIMA模型、重尾分布的ON/OFF模型��、馬爾可夫/半馬爾可夫模型�、泊松模型、離散小波模型等。但結(jié)合當(dāng)前我國電力通信系統(tǒng)的實際要求對各種模型進行分析可知��,傳統(tǒng)的泊松模型��、馬兒可夫模型只具有短相關(guān)性�����,難以描述流量的突發(fā)性和自相似特性,而ARIMA模型則相對較為高效�����。
三�����、基于ARIMA的建模分析
3.1 ARIMA建模分析
3.2殘差檢驗和預(yù)測
在建立電力通信業(yè)務(wù)流量分析與預(yù)測模型之后���,還需要結(jié)合電力通信系統(tǒng)的實際情況對其適應(yīng)性進行檢驗����。模型的適應(yīng)性是指模型已經(jīng)完全或基本上反應(yīng)了系統(tǒng)的動態(tài)性�����,從而模型中的殘差εt是白噪聲序列,即完成了εt的獨立性檢驗����。目前殘差檢驗法主要有兩種����,即判斷殘差的自相關(guān)和偏自相關(guān)函數(shù)圖�、Ljung-Box檢驗法。計算LB(Ljung-Box)統(tǒng)計量為:
經(jīng)過殘差檢驗的ARIMA模型就可以用來對電力通信網(wǎng)絡(luò)業(yè)務(wù)流量進行預(yù)測�����,從優(yōu)化網(wǎng)絡(luò)性能,提高網(wǎng)絡(luò)服務(wù)質(zhì)量。
3.3基于ARIMA模型的電力通信業(yè)務(wù)流量分析與預(yù)測
在電力通信網(wǎng)絡(luò)系統(tǒng)中�����,傳輸?shù)男畔㈩愋椭饕ㄒ曨l���、語音與數(shù)據(jù)類�����,其中語音類業(yè)務(wù)在逐步萎縮��,其數(shù)據(jù)量較小,而數(shù)據(jù)業(yè)務(wù)與視頻業(yè)務(wù)的數(shù)據(jù)量大,傳輸質(zhì)量要求高�����,因此需對視頻類與數(shù)據(jù)類業(yè)務(wù)流量進行建模分析��。
對于生產(chǎn)數(shù)據(jù)承載業(yè)務(wù)流量而言�,主要包含運行信息類業(yè)務(wù)與運行控制類業(yè)務(wù)���,對這類業(yè)務(wù)數(shù)據(jù)的采集需要24小時時段數(shù)據(jù)��,在采集到相關(guān)數(shù)據(jù)之后,利用自相關(guān)函數(shù)和偏自相關(guān)函數(shù)圖分析可知其不是穩(wěn)定的序列���,那么需要對其進行周期性和趨勢性設(shè)計,進而得到平穩(wěn)的時間序列�。獲得平穩(wěn)的時間序列之后建立模型��,需確定p、d��、q���、P�、D、Q參數(shù)�,并利用SPSS軟件建立ARIMA(p�,d�����,q)(P���,D��,Q)模型,之后進行殘差檢驗和預(yù)測��,最終得到符合要求的模型�����。對于視頻類業(yè)務(wù)流量的建模分析流程與數(shù)據(jù)類業(yè)務(wù)流量建模流程相似�����,其具體流程為:數(shù)據(jù)承載業(yè)務(wù)分析數(shù)據(jù)采集與預(yù)處理模型參數(shù)確立建立模型殘差檢驗和預(yù)測���。
參 考 文 獻
