前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡流量分析的方法范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡流量分析的方法范文第1篇

【關鍵詞】流量 分析 抽樣 分類 統(tǒng)計

路由器、交換機、寬帶接入服務器是構成寬帶網(wǎng)絡的主要網(wǎng)絡設備，一般數(shù)據(jù)網(wǎng)管系統(tǒng)可以看到每一臺設備的CPU、內(nèi)存、端口流量、路由數(shù)據(jù)庫等網(wǎng)絡信息，但這些流量是怎樣構成的，會對網(wǎng)絡產(chǎn)生怎樣的影響，我們無從知曉。對寬帶網(wǎng)絡流量的深入分析，使網(wǎng)絡設備流量監(jiān)控系統(tǒng)可以監(jiān)測的數(shù)據(jù)包括：網(wǎng)絡流量構成分析、使用的協(xié)議、系統(tǒng)負載、端口分布情況、數(shù)據(jù)應用統(tǒng)計、數(shù)據(jù)安全性、發(fā)送時間等。網(wǎng)絡流量分析應用可以接收來自網(wǎng)絡的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡管理員可以深入了解網(wǎng)絡當前的運行狀況。下面從幾個方面對寬帶網(wǎng)絡流量分析方法進行探討：

1 數(shù)據(jù)抽樣

抽樣是指從原始數(shù)據(jù)集中按一定原則抽取部分實例，構成數(shù)據(jù)子集作為觀察對象。抽樣的目的是為了代表原始數(shù)據(jù)集特性的較小的數(shù)據(jù)集上獲得對原始數(shù)據(jù)集特性的推斷。數(shù)據(jù)抽樣的方法包括簡單隨機抽樣，即按照1/k的頻率，隨機進行抽樣；系統(tǒng)抽樣按數(shù)據(jù)包生成的時間順序，在抽取第一個數(shù)據(jù)包后，每隔k個包抽取一個包；分層抽樣可對標注過的每類應用采用簡單隨機抽樣或系統(tǒng)抽樣方式抽取數(shù)據(jù)包；集群抽樣可從多個子數(shù)據(jù)集中再隨機抽取若干個子數(shù)據(jù)集。

為對數(shù)據(jù)分布進行準確的分析，要用到幾個簡單的度量指標，包括算數(shù)平均值Mean、算數(shù)和S、計數(shù)C、最小值Min、最大值Max、極差Ed、中列數(shù)Mr、第一個四分位數(shù)Q1、第三個四分位數(shù)Q3、中位數(shù)Median、眾數(shù)Mode、離群點Outlier等。設n個排序后的觀察：

C=n

Min=x1

Max=x1

Ed=Max-Min

Mr=（Max-Min）/2

Q1=xn/4

Q3=x3n/4

Median=（x[n/2]+x[（n+1）/2]）/2

另外，眾數(shù)是指數(shù)據(jù)集中出現(xiàn)頻率最高的數(shù)；離群點有時又稱為歧異值，通常是指數(shù)據(jù)集中與數(shù)據(jù)一般行為不一樣的樣本。

2 流量分類

網(wǎng)絡流量分類是依據(jù)網(wǎng)絡應用協(xié)議對應的某些參數(shù)或特征，自動將網(wǎng)絡流量分成不同流量種類的過程。流量分類一般指將網(wǎng)絡流量分為多類，如果是二類分類，則可以使用流量檢測、流量識別、流量鑒別等方法。

從網(wǎng)絡流量分類針對的目標粒度，由細到粗又可以進一步分為包級（packer-level） 、流級（flow-level）和會話級（session-level）。包級分類基于網(wǎng)絡數(shù)據(jù)包所具有的特征，如包長、包到達間隔時間等，對每個數(shù)據(jù)包進行分類；流級分類基于五元組（源IP地址、源端口號、目的IP地址、目的端口號和協(xié)議）進行分類，除關注包級特征外，通常會進一步考慮流級得指紋特征，統(tǒng)計特征或行為特征；會話級分類基于三元組（源IP地址、目的IP地址和協(xié)議）進行分類，適用于簡單網(wǎng)絡服務環(huán)境的流量粗分類。

基于DPI（深度包檢測）的流量分類方法通過分析特定應用在通信過程中的傳輸協(xié)議特征串實現(xiàn)流量分類，DPI一般是在應用層內(nèi)容搜索特征串，如BitTorrent的某個TCP數(shù)據(jù)包中包含特征串”0x13BitTorrent”。在基于載荷進行DPI的流量分類中，DPI流量分類需要解決如下幾個問題：非標應用和私有協(xié)議越來越多，它們多缺乏公開可用的協(xié)議規(guī)范，導致特征串難找易變；某些特征模式的代表性較差，僅能匹配到部分流量，導致檢全率較低；隨機加密流可能匹配若干模式，導致誤檢率較高；基于協(xié)議語法或數(shù)據(jù)語義分析需要進行大量計算，導致系統(tǒng)時間和空間開銷較大。

3 基于統(tǒng)計學習的流量分析

基于統(tǒng)計學習的流量分析方法通過計算特定應用流量的統(tǒng)計信息，利用各種機器學習算法，包括有監(jiān)督學習算法和無監(jiān)督學習算法，對捕獲的網(wǎng)絡數(shù)據(jù)包進行鑒別?；跈C器學習的網(wǎng)絡流量分類通常包含三個步驟：統(tǒng)計特性抽取，單包特征如包長，復合流統(tǒng)計如均值或標準偏差；分類器構造及訓練；新流量分類。

基于機器學習的流量分類方法面臨以下幾個方面的問題：難以確定最有效的特征集，既要選擇最佳的n個特征，使分類算法得到最大的分類準確率，同時要求n的值最??；高維特征導致某些算法收斂時間長，計算復雜性較高，若僅參考從數(shù)據(jù)包頭導出的分類特征，如果每個流用于抽取特征的包數(shù)為n，則收集每個特征的計算成本將接近n.log2n；某些算法模型可能陷入局部最優(yōu)；分類準確率高度依賴于樣本的先驗概率，而訓練和測試樣本對某類流量可能是有偏樣本。

4 總結

寬帶網(wǎng)絡流量分析是網(wǎng)絡運營管理，網(wǎng)絡發(fā)展規(guī)劃，網(wǎng)絡流量調度和高效能業(yè)務前瞻的依據(jù)。網(wǎng)絡流量分析也是網(wǎng)絡攻擊和惡意代碼檢測以及流量清洗的重要手段。隨著寬帶網(wǎng)絡流量的快速增長，骨干網(wǎng)體系架構不斷演進、扁平化、網(wǎng)狀化、動態(tài)自適應成為網(wǎng)絡發(fā)展的趨勢，寬帶網(wǎng)絡流量分析再次面臨巨大挑戰(zhàn)，包括：高速網(wǎng)絡數(shù)據(jù)實時無損采集、單向流、協(xié)議私有化、加密、P2P、隧道傳輸、缺乏可信數(shù)據(jù)集和評估標準，網(wǎng)絡流量分析研究工作仍然需要不斷深入與創(chuàng)新。

參考文獻

[1]（美）Nader F.Mir，潘淑文.計算機與通信網(wǎng)絡[M].北京：中國電力出版社，2010（01）.

[2]余浩，徐明偉.P2P流檢測技術研究綜述[J].清華大學學報，2009（49）.

[3]彭蕓，劉瓊.Internet 流分類方法的比較研究[J].計算機科學，2007（34）.

[4]汪立東，錢麗萍.網(wǎng)絡流量分類方法與實踐[M].京：人民郵電出版社，2013.

網(wǎng)絡流量分析的方法范文第2篇

關鍵詞：網(wǎng)絡管理；網(wǎng)絡流量；監(jiān)測

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2010) 14-0000-01

The Flow Monitoring Method of Network Management

Li Jiabin

(Ocean University of China,Qingdao266100,China)

Abstract:With the rapid development of modern network technology,by network flow monitoring,to detect traffic anomaly within the enterprise LAN host,or set the threshold according to the system early warning so as to better protect the normal course of business demand for network bandwidth ,is the inevitable requirement of the development of network technology.In this paper,the characteristics of network traffic,network traffic measurement has done a study,so as to optimize the traffic monitoring technology made a number of recommendations.

Keywords:Network management;Network flow;Monitoring

企業(yè)局域網(wǎng)的廣泛應用為廣大企業(yè)帶來了快速的信息響應、辦公效率的大幅提升、經(jīng)營成本的降低等眾多好處。但同時，隨著網(wǎng)絡技術突飛猛進的發(fā)展，網(wǎng)絡應用五花八門，企業(yè)也不得不面對越來越多的惡意網(wǎng)絡攻擊與黑客入侵。目前，企業(yè)局域網(wǎng)網(wǎng)絡安全綜合應用了防火墻、入侵監(jiān)測、漏洞掃描、補丁分發(fā)等安全產(chǎn)品，致力于建設集訪問控制、流量監(jiān)測、帶寬管理及終端管理等功能與一體的安全管理平臺。通過對網(wǎng)絡流量的監(jiān)測，及時發(fā)現(xiàn)企業(yè)局域網(wǎng)內(nèi)流量異常的主機，或者根據(jù)系統(tǒng)設置的閾值提前預警，從而更好的保護正常業(yè)務對網(wǎng)絡帶寬的需求。所以，網(wǎng)絡流量監(jiān)測是實現(xiàn)對企業(yè)局域網(wǎng)運行狀況掌握與管理的有效手段。

一、網(wǎng)絡流量的特征

（一）數(shù)據(jù)流是雙向的，但通常是非對稱的?；ヂ?lián)網(wǎng)上大部分的應用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡的流是雙向的。但是兩個方向上的數(shù)據(jù)率有很大的差異，這是因為從網(wǎng)站下載時會導致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個方向多。（二）大部分TCP會話是短期的。超過90%的TCP會話交換的數(shù)據(jù)量小于IOK字節(jié)，會話持續(xù)時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的，但是由于80%的www文檔傳輸都小于IOK字節(jié)，WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響。（三）包的到達過程不是泊松過程。大部分傳統(tǒng)的排隊理論和通信網(wǎng)絡設計都假設包的到達過程是泊松過程。簡單的說，泊松到達過程就是事件按照一定的概率獨立的發(fā)生。泊松模型因為指數(shù)分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。（四）網(wǎng)絡通信量具有局域性?；ヂ?lián)網(wǎng)流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯(lián)網(wǎng)的訪問反映在包的時間和源及目的地址上，從而顯示出基于時間的相關和基于空間的相關。

二、網(wǎng)絡流量的測量

網(wǎng)絡流量的測量是人們研究互聯(lián)網(wǎng)絡的一個工具，通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流，我們可以設計出更加符合實際的網(wǎng)絡設備和更加合理的網(wǎng)絡協(xié)議。計算機網(wǎng)絡不是永遠不會出錯的，設備的一小點故障都有可能使整個網(wǎng)絡癱瘓，或者使網(wǎng)絡性能明顯下降。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡管理者提供詳細的信息以幫助發(fā)現(xiàn)和解決問題?；ヂ?lián)網(wǎng)流量的測量從不同的方面可以分為：

（一）基于硬件的測量和基于軟件的測量。基于硬件的測量通常指使用為采集和分析網(wǎng)絡數(shù)據(jù)而特別設計的專用硬件設備進行網(wǎng)絡流的測量，這些設備一般都比較昂貴，而且受網(wǎng)絡接口數(shù)量，網(wǎng)絡插件的類型，存儲能力和協(xié)議分析能力等諸多因素的限制。基于軟件的測量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡接口部分，使其具備捕獲網(wǎng)絡數(shù)據(jù)包的功能。與基于硬件的方法比較，其費用比較低廉，但是性能比不上專用的網(wǎng)絡流量分析器。（二）主動測量和被動測量。被動測量只是記錄網(wǎng)絡的數(shù)據(jù)流，不向網(wǎng)絡流中注入任何數(shù)據(jù)。大部分網(wǎng)絡流量測量都是被動的測量。主動測量使用由測量設備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡而獲知網(wǎng)絡的信息。例如使用ping來估計到某個目的地址的網(wǎng)絡延時。（三）在線分析和離線分析。有的網(wǎng)絡流量分析器支持實時地收集和分析網(wǎng)絡數(shù)據(jù)，使用可視化手段在線地顯示流量數(shù)據(jù)和分析結果，大部分基于硬件的網(wǎng)絡分析器都具有這個能力。離線分析只是在線地收集網(wǎng)絡數(shù)據(jù)，把數(shù)據(jù)存儲下來，并不對數(shù)據(jù)進行實時的分析。（四）協(xié)議級分類。對于不同的協(xié)議，例如以太網(wǎng)，幀中繼，異步傳輸模式，需要使用不同的網(wǎng)絡插件來收集網(wǎng)絡數(shù)據(jù)，因此也就有了不同的通信量測試方法。

三、網(wǎng)絡流量的監(jiān)測技術

根據(jù)對網(wǎng)絡流量的采集方式可將網(wǎng)絡流量監(jiān)測技術分為：基于網(wǎng)絡流量全鏡像的監(jiān)測技術、基于SNMP的監(jiān)測技術和基于Netflow的監(jiān)測技術三種常用技術。

（一）基于網(wǎng)絡流量全鏡像的監(jiān)測技術。網(wǎng)絡流量全鏡像采集是目前IDS主要采用的網(wǎng)絡流量采集模式。其原理是通過交換機等網(wǎng)絡設備的端口鏡像或者通過分光器、網(wǎng)絡探針等附加設備，實現(xiàn)網(wǎng)絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應用層信息。（二）基于Netflow的流量監(jiān)測技術。Netflow流量信息采集是基于網(wǎng)絡設備提供的Netflow機制實現(xiàn)的網(wǎng)絡流量信息采集。（三）基于SN的流量監(jiān)測技術?；赟NMP的流量信息采集，實質上是通過提取網(wǎng)絡設備Agent提供的MIB中收集一些具體設備及流量信息有關的變量?；赟NMP收集的網(wǎng)絡流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等。在此基礎上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡流量監(jiān)測的需求。

在綜合比較三種技術之后，不難得出以下結論：基于SNMP的流量監(jiān)測技術能夠滿足網(wǎng)絡流量分析的需要，且信息采集效率高，適合在各類網(wǎng)絡中應用。

參考文獻：

網(wǎng)絡流量分析的方法范文第3篇

電力綜合數(shù)據(jù)網(wǎng)的深化應用對異常流量的檢測和分析提出了更高的要求。本文通過對電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結構進行分析，驗證了電力綜合數(shù)據(jù)網(wǎng)正常單位流量具有穩(wěn)定的信息熵。在此基礎上，提出了通過對數(shù)據(jù)流量五元組熵值的分析來判斷異常流量的方法，并對綜合數(shù)據(jù)網(wǎng)流量結構進行建模，提出應用支持向量機的算法對異常流量進行識別。

【關鍵詞】綜合數(shù)據(jù)網(wǎng) 異常流量 支持向量機

1 某電網(wǎng)綜合數(shù)據(jù)網(wǎng)流量分析現(xiàn)狀

目前某電網(wǎng)公司綜合業(yè)務數(shù)據(jù)網(wǎng)以主數(shù)據(jù)中心和同城災備中心為核心，與全省各地供電局的綜合數(shù)據(jù)網(wǎng)絡核心形成互聯(lián)，互聯(lián)鏈路采用萬兆以太網(wǎng)傳輸技術，形成一個電網(wǎng)綜合數(shù)據(jù)業(yè)務傳輸?shù)某休d網(wǎng)平臺。具體網(wǎng)絡拓撲如下所示：

該電網(wǎng)公司綜合數(shù)據(jù)網(wǎng)絡核心日常數(shù)據(jù)流量已超過1GB，流量監(jiān)控使用ARBOR流量分析設備來完成，通過Netflow的方式監(jiān)測骨干層各中心匯聚設備連接到省中心的端口。

目前，該電網(wǎng)公司流量分析系統(tǒng)具備的主要功能包括：

（1）能夠得到端到端用戶體檢的量化數(shù)據(jù)，包括端到端的全過程響應時間。

（2）能夠得到網(wǎng)絡傳輸時延的數(shù)據(jù)，并考慮到不同數(shù)據(jù)包大小情況的網(wǎng)絡傳輸時延。

（3）能夠得到應用系統(tǒng)各個交互過程的響應時間的數(shù)據(jù)。

（4）能夠根據(jù)時間迅速定位流量，并根據(jù)地址、端口等信息迅速將所需網(wǎng)絡流量數(shù)據(jù)包檢索并抽取出來進行分析。

由以上功能點的統(tǒng)計分析，可以得知，目前該電網(wǎng)的流量分析系統(tǒng)能做到對網(wǎng)絡流量的統(tǒng)計及性能分析，但對網(wǎng)絡流量異常的做不到良好的預警。

2 流量異常檢測方法

自Denning研究異常檢測模型以來，網(wǎng)絡異常檢測方法的研究就一直受到學術界的極大關注。白玉峰研究致力于利用流量大?。ㄈ缌鲾?shù)、分組數(shù)或字節(jié)數(shù)）來檢測網(wǎng)絡異常并獲得巨大成功，但是這類方法面臨的問題是：并非所有的異常都會引起流量大小的顯著變化；此外，采用不同的流量測度可能會識別出不同的流量異常，因此僅僅采用一種流量測度并不能識別蘊含在流量數(shù)據(jù)中的所有異常。

近年來的大量研究表明，不管是局域網(wǎng)還是廣域網(wǎng)，網(wǎng)絡流量都具有明顯的突發(fā)性和長相關性，而網(wǎng)絡的自相似性特性可以很好地描述流量這些特性，所以，自相似性已成為網(wǎng)絡流量的重要特性并以此作為流量異常檢測的基礎?，F(xiàn)今已有大量計算機學科領域的算法和模型被使用在網(wǎng)絡流量的異常檢測方面，文獻采用小波分析方法利用網(wǎng)絡流量在時間尺度上的多重分形，在小波域內(nèi)對網(wǎng)絡流量進行分解，通過計算網(wǎng)絡流量的Hurst指數(shù)，根據(jù)正常與異常流量Hurst指數(shù)的偏差來檢測異常，但該方法Hurst指數(shù)與時間尺度緊密相關，只對突發(fā)性的流量具有較好的檢測效果；文獻[1]提出一種融合k-means的聚類檢測算法，該文增量地構建流量矩陣，增量地使用PCA主成分進行異常檢測，這些方法在全網(wǎng)流量異常時檢測效果非常明顯，但算法相對過于復雜使其在實時性上較差；文獻[2] 使用一種基于信息熵的特征選擇算法，降低了檢測數(shù)據(jù)的維數(shù)，但增量學習的限制條件比較多，增量學習效率較低。

3 綜合數(shù)據(jù)網(wǎng)流量異常檢測

通過上述分析可以看出，數(shù)據(jù)流五元組的熵值較為穩(wěn)定，可以通過熵值的變化情況來區(qū)分正常流量和異常流量。因此綜合數(shù)據(jù)網(wǎng)異常流量的檢測問題也就是通過對數(shù)據(jù)流量五元組熵值的分析來做出正?；虍惓５呐袛?。

3.1 異常流量檢測模型

針對上文中對流量特性的分析，綜合數(shù)據(jù)網(wǎng)異常流量的檢測問題可以理解為通過已有的流量特征據(jù)，將現(xiàn)有的流量分類為正常或異常。模式識別理論是利用已有的信息，按照某種特定的規(guī)則確定未知的樣本的類別屬性，模式識別往往被看作是分類問題，讓機器自身從環(huán)境中分離出某種模式并對未知樣本的歸類做出合理的判斷。因此，可以將模式識別應用于綜合數(shù)據(jù)網(wǎng)的異常力量檢測，通過對己有的數(shù)據(jù)流量的熵值樣本進行學習，建立規(guī)律模型，利用該模型對未知樣本進行分類。

3.2 異常檢測算法

首先使用一定數(shù)量的正常流量和異常流量數(shù)據(jù)作為訓練樣本輸入到支持向量機之中，根據(jù)這些訓練數(shù)據(jù)輸出一個模型，這個模型實際上就是通過樣本構造的決策函數(shù)。然后將測試數(shù)據(jù)輸入該模型進行分類。

3.2.1 訓練階段

根據(jù)信息熵的定義，對樣本流量的五元組分別求熵，建立樣本流量的五維熵值向量。使用核函數(shù)將向量從五維變換到高位，再將數(shù)據(jù)作為訓練樣本輸入到支持向量機之中，根據(jù)這些訓練數(shù)據(jù)構造的一個決策函數(shù)。

3.2.2 檢測階段

將檢測流量輸入模型進行檢測，分類結果為1則為正常流量，分類結果為-1即為異常流量。

4 結束語

本文通過對電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結構進行分析，驗證了電力綜合數(shù)據(jù)網(wǎng)正常數(shù)據(jù)符合重尾分布，且正常單位流量具有穩(wěn)定的信息熵。在此基礎，對綜合數(shù)據(jù)網(wǎng)流量結構進行建模，采用支持向量機的識別算法對異常流量進行識別。實驗結果表明，在異常流量比例大于5%的條件下，算法能夠檢測出網(wǎng)絡中的異常數(shù)據(jù)。

下一步的工作是深入研究電力綜合數(shù)據(jù)網(wǎng)異常流量的類型以及各種異常流量對流量結構的影響，改進檢測算法，進一步提升算法的精度。

參考文獻

[1]DENNING D.An intrusion-detection model[J].IEEE Transactions on Software Engineering，1987，13（2）：222-232.

[2]TORRES R，HAJJAT M，RAO SG，et al.Inferring undesirable behavior from P2P traffic analysis[A].SIGMETRICS[C].USA，2009，231-242.

[3]GU G，PERDISCI R，ZHANG J，et al.BotMiner：clustering analysis of network traffic for protocol and structure-independent botnet detection[A].USENIX Security[C].USA.，2008，67-76.

網(wǎng)絡流量分析的方法范文第4篇

結合校園網(wǎng)絡實際面臨到的問題,我們應借助網(wǎng)絡應用層監(jiān)測技術,使用相關流控設備,做好流量管控,既可讓教育公眾雙網(wǎng)運作順暢、有限帶寬資源得到有效應用,又可提高網(wǎng)絡性能。

關鍵詞:DPI;智能流量管理系統(tǒng);管理策略

Campus Network Application Layer Traffic Monitoring and Flow Control Equipment to Study

TAO Wei-tian

(Network Management Center of Traditional Chinese Medicine in Gansu, Lanzhou 730000, China)

Abstract: With exports of campus network bandwidth increases and new applications development, the traditional port and IP-based traffic management difficult to meet the requirements, and has brought various problems. With quantitative analysis based on network planning and optimization is particularly important and urgent.

With the actual faces to the campus network, we should draw the network application-level monitoring technology, use-related flow control equipment, good flow control, only to allow the smooth operation of the dual network to educate the public, limited bandwidth, the effective application of resources, but also improve the network performance.

Key words: DPI; intelligent traffic management system; management strategy

隨著大學校園上網(wǎng)規(guī)模的增加,BT、P2P、視頻下載等應用風行,盡管已經(jīng)多次升級線路帶寬,卻發(fā)現(xiàn)上網(wǎng)還是卡,帶寬還是不夠用。各式病毒攻擊也伴隨而來,更是惱人的問題。使得校園網(wǎng)流量管理變得異常困難,大量帶寬被非核心業(yè)務占用,而傳統(tǒng)的基于端口和IP的流量管理難以滿足要求;面對眾多的用戶及復雜多元的網(wǎng)絡應用,給校園網(wǎng)絡管理帶來很大的威脅,網(wǎng)絡管理人員經(jīng)常遭遇下列問題:網(wǎng)絡占用率較高不能查明原因、帶寬不足需優(yōu)化而缺乏統(tǒng)計數(shù)據(jù)、網(wǎng)絡突然中斷不能查明原因等、希望獲得詳細的網(wǎng)絡管理報表用來網(wǎng)絡優(yōu)化或升級需要而沒有現(xiàn)成資料。

針對上述校園網(wǎng)絡實際面臨到的問題,我認為追根究底是要做好流量管控,使用應用層流量分析管理技術和產(chǎn)品,即可實現(xiàn)這方面的管理效果,這就需要做到:1) 了解網(wǎng)絡應用流量監(jiān)測技術;2) 合理的使用流量管理產(chǎn)品。下面,分別就這兩方面做以闡述:

1 網(wǎng)絡應用流量監(jiān)測原理及辦法

我們知道,傳統(tǒng)的流量和帶寬管理是基于OSI L2～L4層,通過IP包頭的五元組(源地址、目的地址、源端口、目的端口以及協(xié)議類型)信息進行分析,通常我們稱此為“普通報文檢測”?！捌胀▓笪臋z測”僅分析IP包的4層以下的內(nèi)容,通過端口號來識別應用類型。而當前網(wǎng)絡上的一些應用會采用隱藏或假冒端口號的方式躲避檢測和監(jiān)管,造成仿冒合法報文的數(shù)據(jù)流侵蝕著網(wǎng)絡(例如P2P下載軟件大多采用動態(tài)協(xié)商端口機制),此時采用L2～L4層的傳統(tǒng)檢測方法就無能為力了。

為了識別諸如基于開放端口、隨機端口甚至采用加密方式等進行傳輸?shù)膽妙愋?網(wǎng)絡流量應用識別基本技術DPI、DFI技術應運而生。也有文獻稱之為業(yè)務識別技術。

1.1網(wǎng)絡流量應用識別基本技術

1.1.1 DPI

DPI全稱為“Deep Packet Inspection”,稱為“深度包檢測”。DPI技術在分析包頭的基礎上,增加了對應用層的分析,是一種基于應用層的流量檢測和控制技術。當IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流經(jīng)過基于DPI技術的流量管理系統(tǒng)時,該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容,來對OSI 7層協(xié)議中的應用層信息進行重組,從而得到整個應用程序的內(nèi)容,然后按照系統(tǒng)定義的管理策略對流量進行整形操作。

DPI技術通常采用如下的數(shù)據(jù)包分析方法:

傳輸層端口分析。許多應用使用默認的傳輸層端口號,例如HTTP協(xié)議使用80端口。

特征字匹配分析。一些應用在應用層協(xié)議頭,或者應用層負荷中的特定位置中包含特征字段,通過特征字段的識別實現(xiàn)數(shù)據(jù)包檢查、監(jiān)控和分析。

通信交互過程分析。對多個會話的事務交互過程進行監(jiān)控分析,包括包長度、發(fā)送的包數(shù)目等,實現(xiàn)對網(wǎng)絡業(yè)務的檢查、監(jiān)控和分析。

DPI技術是達到應用層流控目標的基本方法,通過DPI技術,把流細分為對應具體的應用流,在分離流量的基礎上,定義帶寬通道,從而使網(wǎng)絡中的流量根據(jù)應用各行其道,優(yōu)化寬帶服務,提高網(wǎng)絡運行效率和服務品質,保障關鍵應用,獲得更好的用戶體驗。

DPI實現(xiàn)應用粒度控制的流程是:識別分析控制報告,其中識別準確度是關鍵,是評估流控產(chǎn)品的重要指標。

1.1.2 DFI

DFI(Deep/Dynamic Flow Inspection,深度/動態(tài)流檢測)與DPI進行應用層的載荷匹配不同,采用的是一種基于流量行為的應用識別技術,即不同的應用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。DFI更關注于網(wǎng)絡流量特征的通用性,因此,DFI技術并不對網(wǎng)絡流量進行深度的報文檢測,而僅通過對網(wǎng)絡流量的狀態(tài)、網(wǎng)絡層和傳輸層信息、業(yè)務流持續(xù)時間、平均流速率、字節(jié)長度分布等參數(shù)的統(tǒng)計分析,來獲取業(yè)務類型、業(yè)務狀態(tài)。

2 網(wǎng)絡流量管理產(chǎn)品

2.1 智能管理

早期的網(wǎng)絡流量管理方式是在路由器、防火墻或局域網(wǎng)交換機上使用簡單的帶寬管理或QOS來實現(xiàn)(至今一些單位的簡易流控需求仍沿用這種方式),但這種控制方式需要人為干涉,操作復雜,無法做到智能管理,所以不能滿足網(wǎng)絡管理中復雜策略的精細程度和靈活程度需要。

智能流量管理系統(tǒng)是一款專業(yè)的L7應用層流量管理產(chǎn)品,適用于大中型企業(yè)、校園網(wǎng)、城域網(wǎng)等流量大、應用復雜的網(wǎng)絡化境;通過監(jiān)控網(wǎng)絡流量,分析流量行為,設置流控策略,分時段、按用戶、按應用實現(xiàn)流量控制和帶寬保障,全面提升帶寬利用價值。智能流量管理系統(tǒng)融合了DPI和DFI兩種技術,具有四個顯著特征。

1) 精確而廣泛的應用識別能力:對應用的識別是進行流量控制的基礎。智能流量管理系統(tǒng)應用識別庫能覆蓋各種主流應用,特別是結合國內(nèi)網(wǎng)絡應用的實際情況,提供對迅雷、QQ等本土應用的識別。另外,智能流量管理系統(tǒng)能夠對諸如QQ這種具有即時消息、文件傳輸、音頻視頻、游戲等多種子協(xié)議的網(wǎng)絡應用,提供精細化的子應用識別。

2) 優(yōu)異的產(chǎn)品性能及安全性保障:智能流量管理系統(tǒng)對用戶網(wǎng)絡中的所有流量進行處理,能夠承受巨大的流量壓力,特別是在配置復雜策略情況下,不會造成設備性能的下降。另外,設備是以串接方式接入用戶網(wǎng)絡,具有良好的安全性,在設備出現(xiàn)運行斷電或異常情況時,能夠保障用戶業(yè)務的暢通。

3) 強大的控制能力:智能流量管理系統(tǒng)能夠根據(jù)用戶的實際需求,提供強大而完善的控制手段。通過不同時間段、不同用戶、不同網(wǎng)絡應用、不同控制動作等條件,實現(xiàn)不同情景下的策略配置。我們知道任何網(wǎng)絡流量的使用都和人的因素密不可分,智能流量管理系統(tǒng)能夠對用戶進行靈活的分類管理,從而使控制策略更加符合實際需要。

4) 清晰而全面的信息查詢:智能流量管理系統(tǒng)不僅能實現(xiàn)對網(wǎng)絡流量的控制,而且能幫助網(wǎng)絡管理者對異常問題進行定位,以及通過網(wǎng)絡應用現(xiàn)狀的分析實現(xiàn)對網(wǎng)絡的優(yōu)化。智能流量管理系統(tǒng)通過柱狀圖、餅狀圖、走勢圖等圖表,以及從不同的分析角度,可向用戶提供清晰而全面的實時信息查詢、歷史日志查詢、以及自動生成報表等功能。

2.2 國內(nèi)外產(chǎn)品介紹

國外廠商,以Cisco SCE、Allot、Packteer、Sendvine、 ACENET、Maxnet。產(chǎn)品特性能好,解決方案和產(chǎn)品成熟,均有用戶管理系統(tǒng)(可能為動態(tài)IP環(huán)境中使用,將用戶帳號和流量策略結合來控制流量),除ACENET外,其主流產(chǎn)品功能相對單一,但非常專業(yè)。

國內(nèi)廠商中,比較優(yōu)秀的有暢訊信通的QQSG、南京信風、寬廣、華為SIG、金御等,國內(nèi)產(chǎn)品適合國情,國內(nèi)應用的識別率相對國外產(chǎn)品高,存在問題是產(chǎn)品性能宣傳強,但實際使用,尤其是在策略較多情況下性能差,個別產(chǎn)品有POS接口(適合部分國內(nèi)運營商),價格較國外廠商有較大優(yōu)勢,功能較多,但在流量管理領域,屬于發(fā)展期,不夠成熟。

2.3 設備的選擇

2.3.1 硬件技術

流量管理設備硬件技術主要有三種:Intel X86架構、ASIC技術和NP技術,由于X86架構處理速度相對較慢,單個芯片的可擴展性較差,所以大部分廠家的低端產(chǎn)品采用X86架構,高端產(chǎn)品采用ASIC或NP技術,以適用于不同的網(wǎng)絡環(huán)境需求。

2.3.2 工作模式

1) 路由模式:通過網(wǎng)關模式串接在用戶網(wǎng)絡鏈路中,所有流量都通過網(wǎng)關處理,對內(nèi)網(wǎng)用戶上網(wǎng)行為和數(shù)據(jù)包實施控制、攔截、流量管理等功能。若將設備作為Internet 出口網(wǎng)關,設備的防火墻功能保障組織網(wǎng)絡安全,NAT功能內(nèi)網(wǎng)用戶上網(wǎng),實現(xiàn)基本的路由功能等。

2) 網(wǎng)橋模式:同樣串接在用戶網(wǎng)絡鏈路中,如同連接在出口網(wǎng)關和內(nèi)網(wǎng)交換機之間的“智能網(wǎng)線”,對流經(jīng)流控設備的所有數(shù)據(jù)流進行控制、攔截、流量管理等操作。網(wǎng)橋模式主要適用于不希望更改網(wǎng)絡結構、路由配置、IP 配置的用戶。

3) 旁路模式:即在出換機中配置鏡像端口,將流控設備的廣域網(wǎng)口同鏡像端口相連,實現(xiàn)對內(nèi)網(wǎng)數(shù)據(jù)包的監(jiān)聽。

采用旁路模式部署的流控設備,將與交換機的鏡像端口相連,部署實施簡單,完全不影響原有的網(wǎng)絡結構,降低了網(wǎng)絡單點故障的發(fā)生概率。

2.3.3 性能要求

1) 應用協(xié)議的識別與分類(種類和準確性),流控策略的普適性及長效性;

有些通過應用層特征碼來控制P2P的流控策略,如果不能及時更新特征碼或特征碼變得不可知,就可能導致流控失敗,一個近期的例子:BT通訊協(xié)議加密及迅雷通訊協(xié)議發(fā)生變化導致專門的P2P流控設備失效。好的流控設備不依賴于應用的特征碼,因此可以經(jīng)得起時間及應用軟件協(xié)議變化的考驗。

2) 流控策略的全面性

普通設備的只對P2P應用做控制,好的設備對所有流量的帶寬、會話數(shù)、總流量和應用做控制。由于流量的多樣性,單靠一兩種策略是不能管理好的,必須實行全面的流控策略才能達到流量管理的目的。

3) 看監(jiān)控對象及流控策略的精細度

好的設備既可以監(jiān)控出口網(wǎng)關處的流量又可以監(jiān)控來源網(wǎng)絡的流量分布;

普通設備的控制精度只能達到IP一級或網(wǎng)關一級,好的設備可以對每一源IP的不同應用分別做帶寬及會話數(shù)的控制,而且只有這樣才能保障關鍵應用及其它應用的服務質量以及相同等級用戶上網(wǎng)體驗的一致性。

4) 看流量數(shù)據(jù)存儲及處理方式

好的設備可以將流量數(shù)據(jù)輸出到專門的流量分析工作站,將流量存儲、分析、統(tǒng)計、查詢功能和流量捕捉功能分開,保證了流量分析設備的運行效率和流量數(shù)據(jù)存儲的可持續(xù)性。

5) 應盡可能使用性能可靠、管理方便、特別是在有故障時能夠自動旁路的設備,避免故障點的出現(xiàn)。

2.4 設備優(yōu)缺點

流控設備不是萬能的,還要了解其缺點。

首先,因為它的工作原理和防病毒一樣屬于事后起作用,所以其優(yōu)點是精準,其缺點是:1) 總有部分(10～30%)流量不可識別,例如IP碎片、加密流量等;2) 性能會持續(xù)下降,當特征碼越來越多時,性能就會越來越低,這種趨勢發(fā)展到一定程度就會使流控設備成為網(wǎng)絡中新的性能瓶頸;3) 由于要頻繁更新特征碼,因此一、設備后期維護難度大,總體擁有成本高;二、對廠家的依賴程度高,廠家停產(chǎn)、倒閉等不可抗力因素使得購買其產(chǎn)品成為一種賭博行為。其次,要區(qū)別對待基于應用層的帶寬分析技術和控制技術,確定有未知流量的存在對于7層帶寬分析技術來說是一種間接的成果,但是對于基于其上的帶寬控制技術來說就是現(xiàn)實的噩夢,因為它要先識別再做控制,所以這部分流量永遠無法得到有效的控制,當某種未知流量短期內(nèi)突然增大時,流控措施就會馬上失效,例如,08年新版迅雷的快速普及就導致了不少流控設備失效,特別是一些國外的設備。

3 總結

綜上所述,只有做到網(wǎng)絡應用流量監(jiān)測技術和網(wǎng)絡流量管理設備的深入了解,才能針對校園網(wǎng)所面臨的問題,選擇好適合自己需要的網(wǎng)絡流量管理設備,做到“心中有數(shù)、有的放矢”。

參考文獻:

[1] 聶瑞華.基于DPI技術的校園網(wǎng)絡帶寬管理[J].計算機技術與發(fā)展,2009(4).

[2] 馬科.業(yè)務識別與管理系統(tǒng)和網(wǎng)絡流量的管理[J].現(xiàn)代電信科技,2008(4).

網(wǎng)絡流量分析的方法范文第5篇

關鍵詞：IP；網(wǎng)絡；流量控制；應用

對寬帶信息流量進行必要的控制能夠保障整個網(wǎng)絡平穩(wěn)、高速的運轉，也是開展各種高質網(wǎng)絡服務的前提。目前互聯(lián)網(wǎng)上的大多數(shù)流量是基于TCP協(xié)議和UDP協(xié)議進行傳輸?shù)?，TCP是一種面向連接的傳輸協(xié)議，具有安全可信的特點，而UDP協(xié)議是一種無連接的傳輸協(xié)議，適用于一些高效的信息傳送任務。UDP因為缺乏傳輸層的流量管控體制，容易導致對寬帶資源的不合理的使用，對TCP傳輸性能也造成了一定影響。通過IP流量控制技術可以有效的做好基于TCP及UDP協(xié)議的流量管理工作，維護信息網(wǎng)絡的良好秩序。

1 IP流量去向的分析

IP流量的控制與IP流量的分析密切相關，只有做到良好的流量分析，才能實現(xiàn)對流量的有效管理和控制。目前主要有以下幾種常用的流量分析方法。一是以簡單網(wǎng)絡管理協(xié)議為基礎的流量分析，這是目前最普遍的一種流量統(tǒng)計手段，它借助于收集網(wǎng)絡節(jié)點等關鍵位置的數(shù)據(jù)流量信息，得知網(wǎng)絡重要節(jié)點的數(shù)據(jù)流量的大小，對流量大小的掌握較為精確，但是對數(shù)據(jù)的出處和流向無法進行有效地監(jiān)控。二是以DFI為基礎的流量分析，它是通過抽樣的手段，以一定的比例來采集和記錄網(wǎng)絡流量信息，可以準確得到各流向數(shù)據(jù)的比例關系，其缺陷是需要設備開放某些特殊的功能，并在一定程度上降低了設備的性能；三是以DPI為基礎的流量分析，它是通過廣泛布置的DPI設備獲得全面、豐富的流量統(tǒng)計信息，其缺點是投入的成本太高、統(tǒng)計的信息比較繁雜。通過以上三種手段，可以對網(wǎng)絡流量的分布、流向和大小都有一個比較具體的了解。

2 IP流量控制的方法

目前存在多種IP流量控制技術，但是根據(jù)作用對象的不同，可以將其分為宏層控制和微層控制兩大類，宏層控制是一種對全網(wǎng)資源的統(tǒng)籌調控，其技術手段復雜，觸及的層面較多，本文著重對微層控制的相關技術手段和原理進行講述。微層控制面向的對象是數(shù)據(jù)包，它通過對網(wǎng)絡中各節(jié)點數(shù)據(jù)的調動、舍棄和攔截，實現(xiàn)對流量的有效控制。

2.1 對數(shù)據(jù)的調動

在網(wǎng)絡信息傳輸中，每個端口對信息的吞吐速率都是有限的，當多個數(shù)據(jù)流共享同一端口時，可能出現(xiàn)輸入的數(shù)據(jù)總量超過端口容納上限的情況，此時端口對信息的輸出速率落后于數(shù)據(jù)的輸入速率，便會采取一種排隊處理的機制對數(shù)據(jù)進行有效的管理。在傳統(tǒng)的IP流量控制中，對數(shù)據(jù)采取的是先來先服務的調動模式，即以時間的先后順序為優(yōu)先級對數(shù)據(jù)進行劃分，對先到達的信息進行優(yōu)先處理，這是一種籠統(tǒng)的數(shù)據(jù)管理模式，存在一定的缺陷。首先它無法兼顧數(shù)據(jù)的重要性，如果后到達的數(shù)據(jù)中包含重要信息，會因為排隊等待而增加其延遲，降低數(shù)據(jù)處理的效率，其次這種數(shù)據(jù)管理模式對有害數(shù)據(jù)的侵襲缺乏有效的抵抗力。目前比較流行的是一種基于數(shù)據(jù)優(yōu)先級的排隊處理機制，這是一種對數(shù)據(jù)進行“插隊”的靈活處理方式，是對傳統(tǒng)列隊處理機制的一種改進，他在對數(shù)據(jù)進行排隊管理的基礎上兼顧數(shù)據(jù)的重要性。當一些數(shù)據(jù)包進入端口之后，端口設備首先根據(jù)各數(shù)據(jù)包的重要性確定他們的優(yōu)先級，然后根據(jù)優(yōu)先情況將他們放至隊列中不同的位置，排隊等待處理。在這種模式下，優(yōu)先級越高的數(shù)據(jù)包越靠前，其延遲就越低，傳輸性能越高，從而實現(xiàn)了對寬帶資源的充分利用。雖然采用優(yōu)先級的排隊處理機制仍然尋在一定的缺陷，但經(jīng)過不斷的技術改進和創(chuàng)新之后，它已經(jīng)越來越完善和合理，能夠實現(xiàn)對網(wǎng)絡IP流量的有效控制。

2.2 對數(shù)據(jù)的攔截和丟棄

在數(shù)據(jù)的排隊處理機制中，隊列的長度是有上限的，即端口對數(shù)據(jù)的緩存能力是有限的。當網(wǎng)絡阻塞的情況比較嚴重時，排隊等候的數(shù)據(jù)總量有可能超過端口的最大緩存，此時端口必須攔截和舍棄部分的數(shù)據(jù)來維持正常的數(shù)據(jù)隊列。一般會舍去優(yōu)先級較低的數(shù)據(jù)，保留優(yōu)先級較高的數(shù)據(jù)，雖然這種情況造成了部分數(shù)據(jù)的丟失和浪費，但是從整體上講，它維護了網(wǎng)絡的暢通，有效保障了整個網(wǎng)絡的良好運轉。

3 總結

隨著信息網(wǎng)絡突飛猛進的發(fā)展，網(wǎng)絡信息流量呈爆炸式的增長，又因為IP網(wǎng)絡無固定連接的特性，使得整個寬帶信息資源的流動充滿無序性和混亂性，寬帶資源的合理利用和通訊信息的正常傳輸正面臨著巨大的挑戰(zhàn)。本文就IP流量控制技術在寬帶中的應用進行了分析，希望能夠對我國的寬帶網(wǎng)絡建設起到一定的指引和幫助作用。

[參考文獻]

[1]歐亮，陳迅，沈晨，黃曉瑩，呂屹.IP網(wǎng)絡流量流向分析與預測技術研究[J].電信科學，2013（07）.