網絡流量分析的方法精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇網絡流量分析的方法，期待它們能激發您的靈感。

篇1

關鍵詞：中小型網絡；流量控制；方法；應用

中圖分類號：TP393.06

近年來，隨著經濟社會的發展和科學技術的進步，計算機網絡技術得到了充分發展。在這種形勢背景下，網絡在人們生產生活中的應用越來越廣泛，比如，我們可以通過網絡瀏覽網頁、觀看視頻、網上聊天以及網上購物等。由此可見，網絡在人們生活中發揮著重要作用。在網絡的運行過程中，網絡流量直接關系著網絡的速度，對網絡功能的發揮具有重大意義。但是，從現實情況來看，在一些中小型網絡使用的過程中，由于服務器管理不當、惡意程序以及P2P下載等原因，導致網絡流量不斷增長，最終致使網絡出現堵塞，網頁打不開，影響人們的正常工作和學習。鑒于此，我們必須采取一些措施控制網絡流量，使它更好地為人們的生產生活提供服務。

1 中小型網絡流量控制方法

1.1 加強對P2P應用的管理。在很多中小型網絡應用的過程中，人們會運用到很多P2P應用，比如，快車下載、迅雷視頻播放器等。這些P2P應用在運行的過程中會占用大量的流量資源，給網速造成嚴重影響。針對這個問題，在中小型網絡運行中我們可以采取封禁P2P的應用端口或者對并發連接數進行限制等方法來控制網絡流量。首先，對P2P的應用端口進行封禁。正如上文所述，在中小型網路中各種下載工具和視頻播放工具等P2P占用了很多流量，我們可以使用電腦中的路由器或者防火墻等對P2P應用進行封禁。這種方法在運用的早期收到一定的成效，后來的流量控制效果并不是十分理想。其次，限制并發連接的數量。當我們在運用P2P軟件在網絡上查找資源的時候，會帶到很多的網絡連接，此時便會使網絡流量大量增加。如果我們對連接到主機上的并發連接數量進行控制，就可以有效限制它所占用的流量。這種方法有一定的成效，但會在一定程度上對網絡正常運行造成影響。

1.2 運用專業的流量控制設備。在中小型網絡運行中，我們還可以使用專業的流量控制設備對其進行流量控制。就目前的技術水平來看，主要的流量控制技術包括深度報文檢測（DPI）和深度流行為檢測（DFI）等。以此技術為基礎，現在應用比較多的專業流量控制設備廠商主要有華三、思科以及Allot等。這些廠商生產的專業流量控制設備具有良好的流量控制作用，但是，它也存在一定的缺陷，比如，專業流量控制設備的價格比較昂貴。

1.3 對網絡用戶的流量和寬帶進行限制。為了控制中小型網絡中的流量，我們還可以采用限制用戶流量和寬帶的方法進行控制。首先，限制用戶流量。我們可以使用城市熱點或者防火墻等設備對網絡中用戶的流量進行控制。這種方法確實發揮了控制流量的作用，但是，有時用戶正在使用網絡，由于流量限制導致無法上網，就會影響到用戶的工作和學習。其次，限制用戶寬帶使用數量。這種方法也在一定程度上發揮控制網絡流量的功效，但是，由于用戶無法得到全部寬帶，致使網絡運行的速度比較緩慢。

2 流量控制方法在中小型校園網絡中的應用

從上文的論述中，我們可以了解到，各種流量控制方法各有優劣，在實際的應用過程中，我們要從中小型網路的實際情況出發，綜合分析多方面因素，選擇科學合理的流量控制方法。下面，我們就結合某學校一中小型的校園網絡，對流量控制方法的具體應用進行分析。

2.1 校園網概況。某學校為了滿足教學工作需要，建設了一個校園網。在該校園網中，由2個10兆的互聯網與當地的教科網和電信網進行連接，依據教學的功能，校園網中被劃分成多個VLAN，從而為學校教學和教務工作的開展提供網絡服務。但是，從現實情況來看，校園網中存在客戶端安全問題、接入控制問題以及上網速度慢問題等，致使校園網在使用的過程中出現網頁打不開甚至斷網等問題，影響了校園網正常功能的發揮。

在上圖的校園網流量控制設備部署中，我們利用流量網絡開關，有效實現了對校園網的流量控制。具體來說，流量控制主要表現在以下幾個方面。（1）對P2P應用進行了控制。為了保證P2P應用的正常使用同時減少它對網速的影響，我們設立了P2P應用流量通道，對快車、迅雷等P2P應用軟件的流量限制在一定范圍之內，并根據網速變化作出一些動態調整。比如，在校園網高峰期，我們可以適當降低對P2P應用的限制，當校園網處于低谷期，我們可以調高對P2P應用的限制，從而保證校園網絡的有效利用。（2）對不同用戶實施不同部署。在校園網運行中，針對不同用戶的需求，我們制定了不同的網絡流量管理方法。比如，針對學校的辦公網絡，我們可以適當限制P2P應用的流量，而對于學校教學機房中的網絡，則要嚴格控制P2P應用的流量，盡量減少這些與教學無關的應用占用大量的流量，保證教學網絡速度。（3）加強校園網接入安全管理。在過去，由于缺乏相應的技術和管理設備，校園網中對客戶端接入缺乏安全管理，校外其他一些用戶可以隨意接入到校園網中，不僅占用了校園網的流量，而且給校園網安全造成嚴重威脅。針對這個問題，我們可以采取客戶端接入控制和安全性檢測等方法對校園網接入安全進行管理，這樣一來，只有符合要求的用戶才可以接入到校園網中，不僅提高了校園網的運行的安全性，而且對校園網流量控制具有一定的作用。

3 結束語

綜上所述，近年來，隨著經濟社會的發展，中小型網絡在我們生產生活中的作用越來越突出。鑒于此，我們要加強對中小型網絡的管理，使它更好地為人們提供網絡服務。但是，在現實中，由于多種原因導致中小型網絡流量增加，影響了網絡的正常運行。針對這個問題，我們在分析網絡實際情況的基礎上，選擇恰當的流量控制方法對網絡流量進行有效控制，促使中小型網絡資源得到合理利用。

參考文獻：

[1]鄭林江.基于交換機流量和網絡線路的監控系統[J].計算機應用，2009（S2）：18-19.

[2]胡俊，程瑾.網絡流量管理控制技術在校園網的應用研究[J].中國教育信息化，2009（21）：58-59.

[3]牛軍，余萍萍，李思恩.校園網流量控制初探[J].中國教育信息化，2009（04）：152-153.

[4]劉磊，李聞天，肖.校園網中P2P應用的管理策略及流量監控初探[J].昆明理工大學學報（理工版），2008（03）：48-49.

篇2

關鍵詞:網絡服務器;流量分析;流量監控

中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的數據網絡給我們的生活、工作和人與人之間的溝通帶來了極大的方便,網絡業務日趨豐富,網絡流量高速增長。同時,網絡運營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規模擴張的粗放型競爭模式已經不適應當前的形式。挖掘現有網絡資源潛力,控制網絡互聯成本,提供有吸引力的增值業務,提高網絡運維水平成為在激烈競爭中的制勝策而要實現這些,都離不開可靠、有效的網絡流量監控的有力支撐。

二、網絡流量監控和分析的意義

用戶現有的網絡管理系統在長期的網絡流量分析方面存在不足。主要表現在如下方面:

(一)長期的網絡和應用問題分析能力不足

現有的網絡管理系統無法長期的紀錄網絡和應用的運行狀態,無法長期的保存網絡流量信息,在出現網絡或應用問題時,不能為網絡技術人員提供有效的信息依據,問題往往是依靠網絡技術人員通過推斷來分析,這樣網絡問題的分析效率很低,同時很難得到確實的分析結論。

(二)缺乏對網絡和應用間歇性問題的分析能力

網絡或應用可能出現間歇性故障,這種故障的出現一般很難判斷,在出現后很難分析其產生原因,而再次出現的時間無法確定,因此難以解決,好像網絡中存在一個不定時的炸彈,使用戶網絡和應用時刻處于危險之中。

(三)對網絡安全問題的分析能力不足

在發生網絡安全問題時,缺乏有效的監控分析手段,導致網絡的安全性降低,例如蠕蟲病毒的爆發,應該能夠對蠕蟲病毒的傳播情況進行有效的分析。

三、網絡流量分析內容

流量分析系統主要從帶寬的網絡流量分析、網絡協議流量分析、基于網段的業務流量分析、網絡異常流量分析、應用服務異常流量分析等五個方面對網絡系統進行綜合流量分析。

(一)帶寬的網絡流量分析

復雜的網絡系統上面,不同的應用占用不同的帶寬,重要的應用是否得到了最佳的帶寬?它占的比例是多少?隊列設置和網絡優化是否生效?通過基于帶寬的網絡流量分析會使其更加明確。工具主要有MRTG等,它是一個監控網絡鏈路流量負載的工具軟件, 它通過snmp協議從設備得到設備的流量信息,并將流量負載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。

(二)網絡協議流量分析

對網絡流量進行協議劃分,真對不同的協議我們進行流量監控和分析,如果某一個協議在一個時間段內出現超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現。Cisco NetFlow V5可以根據不同的協議對網絡流量進行劃分,對不同協議流量進行分別匯總。

(三)基于網段的業務流量分析

流量分析系統可以針對不同的VLAN來進行網絡流量監控,大多數組織,都是不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。Cisco NetFlow V5可以針對不同的VLAN進行流量監控。

(四)網絡異常流量分析

異常流量分析系統,支持異常流量發現和報警,能夠通過對一個時間窗內歷史數據的自動學習,獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度,并自動建立當前流量的置信度區間作為流量異常監測的基礎。能把焦點放在組織的核心業務上。通過積極主動鑒定和防止針對網絡的安全威脅,保證了服務水平協議(SLA)并且改進顧客服務, 從而為組織節約成本。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺、PeakFlow Traffic流量管理平臺等。

(五)應用服務異常流量分析

當應用層出現異常流量時,通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析,并通過IPS的安全防護技術進行反擊。

四、網絡流量控制解決方案建議

對于目前運營商對網絡流量控制的需要,論文推薦的流量控制解決方案構架是:全網集中監視+重點控制。全網集中監視反映的是對整個網絡的性能監視和分析。重點控制是在網絡中的關鍵位置部署監控探針,在網絡中心設置管理系統,以實現運營商在遠程對重點地區進行更加細致的監視和控制作用。

(一)監控探針的放置點建議

國際出口、網絡互聯端口、骨干網的重要中繼、重要城市的城域網出口等位置。

(二)全網集中監視主要實現的功能

實時監測網絡狀況。能實時獲得網絡的當前運行狀況,減輕運維人員工作負擔。能在網絡出現故障或擁塞時自動告警,在網絡即將出現瓶頸前給出分析和預測。

合理規劃和優化網絡。通過對網絡流量的監視、數據采集和分析,給出詳細的鏈路和節點流量分析報告,獲得流量分布和流向分布、報文特性和協議協分布特性,為網絡規劃、路由策略、資源和容量升級提供依據。

引導提供網絡增值業務。通過對業務占用帶寬的分布、業務會話的統計分析,能夠了解和分析網絡特性和用戶使用偏好,引導開發和規劃新的網絡應用和業務平臺,進行增值業務的拓展和市場宣傳,引導用戶需求。

靈活的資費標準。通過對用戶上網時長、上網流量、網絡業務以及目的網站的數據分析,擺脫目前單一的包月制,實現基于時間段、帶寬、應用、服務質量等更加靈活的資費標準。

(三)重點控制實現的功能包括

提供主動的控制功能。不僅僅局限于對網絡流量狀況的獲得,還能夠提供基于網絡流量監測系統GATE 1000硬件平臺和業界領先算法的流量控制功能,主動改進網絡服務。

滿足重點監控需要。可以提供豐富的監控特征參數,可以進行靈活的復合設定,全面滿足運營商需要,也可以通過定制來實現特定要求。

降低互聯互通成本。獲得重點出口中繼鏈路的利用率、用戶和協議分布、源和目的網段間的流量分布和趨勢,提供運營和互聯成本分析。為網絡互通、租用中繼以及選擇商業戰略伙伴決策時提供科學依據,降低成本。

實現區分服務,保證服務質量。流量監控獲得的數據,可進行高低優先級客戶的網絡資源占用率分析、服務質量的監測。通過資費政策的調節、業務等級的區分、在中繼線路上實施流量控制,優先保證高優先客戶的服務質量。

網絡安全和抵御DOS攻擊。通過連接會話數的跟蹤,源目的地址對的分析,TCP流的分析,能夠及時發現網絡中的異常流量和異常連接,偵測和定位網絡潛在的安全問題和攻擊行為,保障網絡安全。

五、IPFIX與PSAMP標準

IPFIX(IP Flow Information Export,IP流動信息輸出)是IETF的技術人員2004年才制訂的一項規范,使得網絡中流量統計信息的格式趨于標準化。該協議工作于任何廠商的路由器和管理系統平臺之上,并用于輸出基于路由器的流量統計信息。

IPFIX定義的格式為Cisco的NetFlow Version 9數據輸出格式作為基礎,可使IP流量信息從一個輸出器(路由器或交換機)傳送到另一個收集器。因為IPFIX具有很強的可擴展性,因此網絡管理員們可以自由地添加或更改域(特定的參數和協議),以便更方便地監控IP流量信息。使用模板的方便之處在于網管和廠商不必為了用戶能夠查看流量統計信息,而每次都要更換軟件

為了完整地輸出數據,路由器一般以七個關鍵域來表示每股網絡流量:源IP地址、目的地IP地址、源端口、目的端口、三層協議類型、服務類型字節、輸入邏輯接口。如果不同的包中所有的七個關鍵域都匹配,那么所有這些包都將被視為屬于同一股流量。此外,一些系統中還有為了網絡統計進行跟蹤而附加的非關鍵域,包括源IP掩碼、目的地IP掩碼、源地址自治系統(autonomous system)、目的地自治系統、TCP flag、目的地接口以及IP next-hop等。按照IPFIX標準,如果網絡操作人員想以附加的非關鍵域來描述包,那么基于模板的格式會在輸出包的報頭之后插入一個新域,并新增新的模板記錄。

六、網絡監測系統框架

采用不同的檢測方法,通過分布式監測方式對通過高速IP網絡的數據包進行統計和分析。采集服務器搜集的數據包及統計數據被傳送到綜合服務器,經合并處理后存入數據庫,并進行進一步的分析處理。在這個過程中,可應用Netflow v9、IPFIX以及PSAMP等標準和協議,實現對采集數據的編碼與傳輸。與通常的SNMP、Netflow及其它網管標準不同的是,該框架采取了PSAMP標準及技術,在不降低監測與分析效果的情況下,盡量減少檢測數據量。

整個框架從總體看,可分為網絡流量數據采集和網絡數據分析兩大部分。

網絡流量數據采集:為適應不斷發展的高速網絡應用,框架中采用了分布式網絡流量數據采集方案,IP流數據可從不同的設備以不同的方法來獲取。利用路由器/交換機的數據流量采集功能或是從其他IPFIX/PSAMP數據采集設備,也可直接從網絡接口卡等網絡數據包攝入設備來得到網絡數據,然后再以不同的標準,最終由網絡流量數據采集服務器將所有傳來的不同格式的數據集中。

為體現現代計算機應用中的兼容性,框架中對網絡硬件接口的應用方面,突出了其應用多樣性。這樣,在原有硬件設備的基礎上,如普通的網卡(NIC)、基于硬件時間戳的Endace DAG卡或者其它的專用FPGA網絡接口設備,都可以在libpcap、winpcap等庫的支持下,由BPF虛擬處理器作為缺省的包捕獲工具。在包捕獲的軟件實現上,采用了多線程機制,使用不同形式的數據隊列和數據緩沖設備,以應對突發的大量數據包。

接下來對捕獲的數據包,分別交由兩種方法和途徑進行處理:在Netflow標準支持下,同步完成記帳業務。在這種操作模式下,傳送的總的數據量可以被統計下來。數據分析模塊利用PSAMP協議,根據不同的具體需求采取不同的取樣算法,對數據包進行過濾和抽取以進行分析處理。這樣就可以根據實際的需要來進行選擇,以減少傳輸和分析處理的數據量。

網絡數據分析:對采集來的網絡流量數據,根據不用的應用要進行詳細的分析處理。框架中這個部分的設計采用以SQL數據庫為中心的分布式數據集中和分析的方法。

以DBMS為中心的操作可以獲得更好的分析樣本以及統計粒度。此外,為便于網絡管理人員的操作,框架中應用基于Web的直觀的、圖形化的管理界面,所有數據輸出都以腳本語言(XML)的形式,直接在Web頁面中顯示。管理人員可以實時觀察網絡運行狀況,還可以對歷史數據進行瀏覽、分析,同時還可這些實時數據傳送到其他應用系統,如分布式入侵檢測系統、網絡跟蹤等。

七、結束語

總的來說,在網絡設備上配置網絡流量監控系統,對網絡流量進行分析和監控,好處還是顯而易見的。特別是對于網絡流量負荷比較大的網絡。可以有效的節省網絡帶寬和處理資源。也可以作為計費或者流量控制或者網絡規劃的參考。

參考文獻

[1]謝希仁.計算機網絡.大連理工大學出版社

篇3

關鍵詞 流量；分類；檢測；統計；分析

中圖分類號 TN91 文獻標識碼 A 文章編號 1674-6708（2016）166-00104-01

近年來寬帶網絡一直保持高速增長，光纖到桌面已基本實現，但網絡中巨大的流量會對網絡產生怎樣的影響，這些流量是如何構成的，始終是一個問題。通過對寬帶流量的分析我們可以知道流量的源頭和目的、知道協議分布、知道端口情況、知道通信經營指標等、當然最重要的還有數據的安全性。

不同的網絡，不同觀察點，不同時間的網絡流量因網絡規模，業務種類，用戶構成和使用習慣的不同而不同，甚至受突發事件的影響，網絡流量在體量規模，構成成分和比例上都有所不同。一個好的流量分類分析系統，應滿足部署位置上的可移植性，流量規模的可伸縮性，時間演進的自適應性。這時系統不僅需要采用先進的分類技術，也需要代表性的訓練數據集來確定系統運行參數。數據集主要采用2種方式：PCAP格式和NETFLOW格式，前者捕獲的是包級記錄，后者則是關于流級得統計信息記錄。

寬帶流量的分析和檢測首先要進行流量的采集，這項工作可以通過交換機或路由器的鏡像端口實現，也可以通過光纜分光的方式實現。對捕獲的數據進行計算和統計，并把統計數據寫入數據庫，定期形成網絡性能和流量參數的報表，用作分析的依據，在形成足夠數量的報表數據后，可以分析數據和系統性能變化的趨勢，判斷網絡是否存在瓶頸，并依據經驗，形成經驗數據庫，使網管系統具備學習的基礎和能力。在出現告警或異常情況時，可用來分析對比，判斷是否出現了網絡的攻擊和入侵，判斷惡意數據出現的源頭和特征，足夠數量的數據報表也可以指導各類應急預案的制定，在出現異常情況時可按照事先擬定的規則進行處理。

對于寬帶流量的分析和分類，系統需要進行統計模型的學習，統計模型的學習可以分為監督學習和非監督學習方法。所謂的監督學習是需要使用已經標注過的數據集合作為經驗知識，對寬帶流量的參數和算法進行訓練；而非監督學習則不需要使用已經標注過的數據集進行訓練，只是根據相關算法對寬帶流量集進行匯聚。對數據集的訓練過程中需要由經驗豐富的專家參與，并進行大量的基礎數據分析工作，網絡經驗數據集是流量分析的重要構成因素。在實際分析過程中，由于寬帶核心網絡的流量巨大，所以高性能的預處理路由器和大規模刀片服務器必不可少。為了提高分析效率，可以只分析單向流量，并且在預處理過程中將IP數據報文的載荷去掉。但由于各種網絡協議不斷演進，加密的流量不斷增加，各種新應用不斷出現，網絡數據集的標注也變得越來越困難。

網絡流量的分類和分析中對于標準協議的分析最為準確，可根據TIP/IP協議簇中標準的服務端口號對流量報文進行匹配，并根據端口號的不同將流量對應為不同的應用。非標準協議可以使用DPI（深度包檢測）在應用層對流量進行特征字符串的分析匹配，由于不同的應用在TCP/UDP的數據包中包含特征字符串，因此在掌握的不同網絡應用的特征字符串后，可以將網絡流量精確的分類和匹配，缺點是需要消耗較多的系統資源。但很多網絡應用的特征字符串難找易變，代表性差及加密度高等問題，也導致誤檢率和檢全率下降。流量分析監控和網絡應用的發展一直是不斷演變的矛盾。

基于協議的分類方法需要分析每種協議的特定的行為特性，標準的通信協議易于掌握，私有協議比如P2P或VOIP等基于軟硬件客戶端的應用則會有較多的變化，或進行加密使用就會影響流量分析的效果，甚至無法識別。有時同一應用軟件的不同版本間也會出現不同的流量特征，即版本的變化會造成協議特征的變化。另外，網絡中的單向流量、數據的時延、抖動都會對流量分析的算法產生影響。以上這些因素都是流量分析的難點和痛點。

運營商的骨干網絡逐漸向扁平化發展，網絡出口的數量增加和結構日趨復雜，及動態路由算法的大量使用，使得網絡流量在多條鏈路或多個不同ISP之間動態調配，導致在某個觀察點只能得到部分流量，這對于依賴雙向流量特征的分析方法無法實施。基于P2P的應用目前也在不斷擴大，P2P的發展使得應用和傳輸分離，應用端點和傳輸分離，打破了原有的B/S或C/S的傳統傳輸模式，多源頭并發傳輸使得流量特征模糊化，使得數據采集的有效性無法保障。還有一些網絡應用為了逃避被檢測到，常常采用已知協議的方法，例如FTP、HTTP、POP3等，由于IP地址的區分，冒用已知協議并不會影響正常網絡通信，但給流量分析帶來很大難度。

寬帶網絡流量分析不僅可以使我們可以清楚的知道網絡流量的內容，還可以為網絡建設、網絡優化、運營管理、網絡安全保障提供依據和手段。同時，網絡應用在不斷推陳出新，各種私有化的協議和加密方法不斷出現，且由于用戶接入帶寬的不斷提高，核心網流量呈幾何速度增長，這些因素在客觀上也大大增加了網絡流量分析的難度和成本。現有的網絡流量分析再次面臨挑戰，網絡流量的分析研究工作需要不斷深入進行。

參考文獻

[1]Nader F.Mir.計算機與通信網絡[M].潘淑文，等，譯.北京：中國電力出版社，2010，1.

[2]余浩，徐明偉.P2P流檢測技術研究綜述[J].清華大學學報，2009（4）：610-620.

篇4

[關鍵詞]網絡流量流(Flow)

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210099-01

隨著IT、網絡技術的迅猛發展和企業信息化程度的不斷提高,各種網絡應用越來越豐富。因此,如何保證網絡的可用性和關鍵業務的暢通運行,對網絡正常健康的發展將起到至關重要的作用。維持正常網絡運轉,就需要有相應的技術手段,明確了解網絡上各種應用的帶寬占用情況,分析用戶流量行為,以便合理的規劃和分配網絡帶寬,有效地保障關鍵業務應用的正常運行。尤其是在發生流量異常的同時,迅速有效的分離和抑制異常流量,對非法業務實行遏止,使網絡流量能保持其健壯性。

常用的網絡流量和協議分析有四種方法:

一、基于SNMP

MRTG是最常使用并且最典型的一種基于SNMP的產品。其安裝過程非常簡便,其結果輸出采用Web頁面方式,因此需要在相應的平臺上安裝系統,如NT上需要安裝IIS,UNIX則需要安裝apache。MRTG通常被網絡管理人員用來收集網絡節點端口流量統計信息,是典型的監視網絡鏈路流量負荷的工具。MRTG的定制非常方便,一般可以在網絡的重要節點端口和故障發生頻繁的網絡設備處利用MRTG進行監視,這些監視包括:關鍵鏈路流量和關鍵節點性能狀況。

MRTG的優點是安裝、定制簡單,結果采用Web方式輸出方便實用,而且是免費產品,在世界各地有很多的開發人員不斷對其升級和改進。MRTG的缺點是功能較單一,分析功能不強,其收集到的流量信息是端口的統計信息,不能用于復雜的分析。

二、基于網絡探針(Probe)

流量探針是一種用來獲取網絡流量的硬件設備,使用時將它串接在需要捕捉流量的鏈路中,通過分流鏈路上的數字信號而獲取流量信息,分析的結果存儲在探針的內存或磁盤之中,具體的前端展現依賴與之對應的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。流量探針安裝非常方便,可以實時將RMON II的流量信息完全記錄下來,這對分析網絡的性能和故障很有價值。如果將流量探針串接到Catalyst系列交換機端口,開啟端口映射(Span Port)功能,將各個端口的流量映射到安裝了流量探針的端口,則僅通過對一個端口的監測就可以收集到多個端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列設備上都可以實現。其它廠商如Foundry公司的交換機也提供端口映射的功能,但現在還不支持跨交換機的映射。

流量探針的安裝很簡單,可以用于高速(千兆)的網絡而不影響網絡性能,流量探針可以實時捕捉包,但其成本高,不同的物理鏈路,因其采樣方法也不同,而需要使用不同種探針。

三、基于實時抓包分析

基于實時抓包的分析技術提供詳細的從物理層到應用層的數據分析。但該方法主要側重于協議分析,而非用戶流量訪問統計和趨勢分析,僅能在短時間內對流經接口的數據包進行分析,無法滿足大流量、長期的抓包和趨勢分析的要求。常見的產品有NAI的Sniffer Pro,免費的tcpdump、ethereal等。

通過端口映射Sniffer Portable可以實時采集多種數據并保存到數據庫中,同時可以通過其分析部件實時監視和顯示這些數據的統計信息。利用Sniffer Portable的數據捕捉功能可以在短時間內對網絡流量進行實時采集,這些采集到的流量數據可以包含整個包的信息,也可以只是包的一部分。利用捕獲到的包可以進行協議分析、數據重組(如重組E-mail)等工作。對包的解碼和分析是Sniffer工具的一個最有特色的,也是最強大的功能。

當不采用廠家的特殊硬件系統,Sniffer Portable只能用于100Mbit/s

及以下速率鏈路,網絡中可以安裝多個Sniffer Portable,但它們都是相互獨立的,分別有各自的數據庫,收集到的數據獨立存放,這對于整個網絡的分析帶來一定難度,因此它特別適合小范圍內的性能維護和分析;Sniffer Portable分析能力特別強大,可以解析近370種協議。當要求對更高速(GE或POS 2.5Gbit/s)的鏈路采集流量,或者是全面收集大型網絡的流量時,可以采用Sniffer的硬件產品及其分布式系統,但其價格昂貴。

四、基于流(Flow)的流量分析

目前基于流的分析技術主要有兩種:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯合開發的一種網絡監測技術,它采用數據流隨機采樣技術,可以適應超大網絡流量(如大于2.5Gbps)環境下的流量分析,讓用戶詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和Extreme Networks等廠商的部分型號的交換機支持sFlow。NetFlow[13]是Cisco公司開發的技術,它既是一種交換技術,又是一種流量分析技術,同時也是業界主流的計費技術之一。它可以回答有關IP流量的如下問題:誰在什么時間、在什么地方、使用何種協議、訪問誰、具體的流量是多少等問題。NetFlow因為其技術和Cisco網絡產品的市場占有率優勢而成為當今主流的流量分析技術之一。NetFlow的配置非常方便、安裝簡單,除了需要在路由器上配置之外,只需要一臺UNIX工作站作為流的收集工作站,所有路由器或交換機上發送的NetFlow流都將送到此工作站集中,方便處理和分析。NetFlow流信息量特別豐富,可以為流量分布、業務分布等性能分析提供最充足的數據,但需要消耗一定的路由器資源(CPU和內存)且不能實時捕捉數據包。根據NetFlow的特點可知,其非常適用于大型的網絡,和流量探針、Sniffer等比較,NetFlow成本最低,實施最方便,而且不受速率的限制,是數據流量采集的發展方向。

基于Flow的分析方法將成為趨勢,在上面所提到的四種方法中,基于Flow的分析方法應該是網絡流量分析技術的趨勢。這是它的技術實現理論所決定的。

參考文獻:

[1]朱士瑞,基于小波分析的異常檢測系統[D].江蘇大學碩士學位論文,2006.

[2]陳寶鋼、張凌、許勇,基于P2P應用的網絡流量特征分析[J].計算機應用,2005,Vol.27,No.3.

[3]顧榮杰、晏蒲柳、鄒濤,基于統計方法的骨干網異常流量建模與預警方法研究[J].計算機科學,2006,Vol.33,No.2.

篇5

關鍵詞：校園網；流量異常分類；異常檢測與處理；流量清洗方法

中圖分類號： TP393 文獻標識碼：A

1 引 言

隨著校園網絡規模不斷擴大與復雜化，校園網絡服務同時呈現多樣化和復雜化，對網絡性能的要求也越來越高。校園網中有教育教學信息管理系統、網上教學、視頻會議、電子圖書、電子郵件服務、網上購物、網上游戲等各種應用諸全，稱得上多業務網絡，基本上實現與國際互聯網的完全接軌。多種應用基于p2p 、流媒體技術、云運算等新型技術，需占用大量的校園網絡有限資源。同時，校園網絡安全面臨著嚴峻挑戰，網絡流量異常時常發生，特別是DDOS、蠕蟲、惡意代碼、網絡掃描及黑客攻擊越來越多，這對網絡性能、安全管理及網管人員素養提出更高的要求。由于學校教學作息時間的規律性決定校園網絡行為特征及日常運行也具有規律，因此正常情況下校園網絡流量變化也具有規律性，這就使得網絡流量異常管理具有規律可循。本文針對校園網絡情況首先闡述了流量異常概念、分類；然后對校園網中引起各種流量異常的原因進行分析，并對各類異常提出了相應的解決辦法；接著針對目前解決網絡攻擊異常在方法上存在的不足，設計出一種異常流量檢測、清洗與回注的解決模型，并對其關鍵算法進行介紹，最后進行小結。2 校園網異常流量檢測及處理辦法2.1 流量異常與流量異常

網絡流量是單位時間內通過網絡設備或傳輸介質的信息量（報文數、包數或字節數）［1-2］。只有知道網絡正常情況下的行為特征，我們才能判斷什么是流量異常。我們把有限的帶寬資源承載著非預期的流量，定義為異常流量。異常流量的存在是網絡流量產生異常的重要情形。

2.2 校園網流量異常產生原因及分類

流量異常一般是指非用戶正常上網產生的流量，比如病毒、網絡攻擊等造成的流量異常。在校園中，由于資料的有限，一些熱門服務如網絡游戲或其他大量的P2P應用等，連接用戶數過多，使得核心設備不堪負載而出現異常情況比較頻繁。因此,從校園網絡用戶群體角度考慮,可把網絡流量異常分為三類：網絡故障引起的異常、連接數異常和網絡攻擊異常。

1)設備故障異常。因網絡設備自身出現故障而引起流量異常，例如校園網中各類服務器故障、路由器故障、交換機故障以及網線接口故障等。這些故障引網絡拓樸結構發生變化或鏈路中斷，從而引起流量異常。

2) 連接數異常。各用戶爭奪熱門服務或重要資源，發起的對外連接數過多,造成核心設備負載過大影響正常流量的使用。例如，網絡相關課程教學中學生同時訪問某一服務器；課余時段大量學生使用P2P服務；還有一年一度的高考招生填報志愿時段，客戶訪問量短期猛增而且不可預測引起網絡流量異常等多種情況。

3)網絡攻擊異常。是指網絡中出現惡意病毒，對網絡中某個目標進行攻擊時出現的異常［3］。校園網中常見的有蠕蟲病毒、DOS/DDOS攻擊和端口掃描攻擊。例如當校園網內某臺上網主機感染蠕蟲病毒時，導致該主機瘋狂地進行主機探測，這時網絡中會出現蠕蟲病毒特征包，網絡中會大量充斥這種包，從而引起業務數據丟失，網絡流量過載，或者網絡擁塞，是非用戶正常上網產生的流量┮斐！

2.3 流量異常檢測與處理

2.3.1 異常監控與檢測

在校園環境下，由于教學作息時間具有規律性，各種服務群體相對穩定，使得正常情況下學校教學樓、行政樓、學生公寓等各區域網絡流量也呈現出周期性規律，因此，校園網絡管理相對容易。

要解決網絡流量異常問題，重要的是通過監控與檢測發現異常。網絡輿情監測軟件有很多種，但是主要的流程還是差不多，包括信息采集、信息處理和信息服務三個流程。建議采用MRTG、Sniffer Pro軟件進行異常流量檢測與監控。MRTG［1］也是一個非常有用的網絡流量監控軟件，而且是免費的，應用方便；它是利用SNMP協議(對互連的網絡設備進行管理時遵循的標準協議)去偵測指定的運行有SNMP協議的網絡設備，每隔幾分鐘采樣并統計其設備流量。對于校園網絡的流量統計與分析，只要在一臺電腦上安裝MRTG軟件并進行相關設置，如進行snmpd配置允許mrtg讀取其interface(網絡接口) 流量數據，就可得實時可視化結果（圖1所示），從而使管理員可以方便的進行管理。Sniffer Pro是最著名的網絡流量分析工具之一，是一個具備完整傳統功能的網絡故障診斷與流量分析工具，不管是在有線網絡還是在無線網絡中，它都能夠給予網管管理人員實時的網絡監視、數據包捕獲以及故障診斷分析能力。基于便攜式軟件的解決方案具備最高的性價比，提供的主要功能包括監控、報表，捕獲、解碼、專家系統智能分析等。

我們通過觀察實時流量圖，結合查看日志服務器就能及時了解校園網的運行狀態，從而采取相應措施對網絡出現的問題進行及時調整和解除。

2.3.2 流量異常處理方法

解決流量異常就是隨時發現流量異常，及時定位引起網絡異常情況的源頭，解除異常或有效地控制異常流量的蔓延，及時有針對性地采取措施，保持網絡暢通、避免網絡阻塞，同時合理地分配帶寬，保障主要業務的正常開展。通過異常檢測與監控發現異常之后，就可針對不同異常類型采取相應措施予以解除。

對于設備故障異常的檢測與解決方法，通常首先采用Ping、tracert查看網絡連通性和速度，再結合查看日志進行定位，最后檢測端口與硬件，一般情況下此類異常問題均可解決。

對于連接數異常最簡單的方法可采用流量優化系統(如Skynet優化系統)，針對各種服務調節閥值［3］進行限流限速，最好對協議的連接數進行控制，直接刪除過多的連接數或發送阻斷報文，以保障主要的服務或重要的客戶流量。

對于網絡攻擊異常解決方法，主要采用主動預防和設備攔截等技術。安裝監視、日志或者其他流量分析系統, 攻擊發生時, 就可很快地診斷出攻擊的類型以及攻擊源，要盡可能地修正已發現的問題和系統漏洞, 識別、跟蹤或禁止這些機器或網絡對我們的訪問，如對異常流量的端口流量進行限制；把網絡分為多個子網, 并改變IP 地址和主機名，在拒絕服務攻擊中, 這種方法是一種較為有效的方法；應用包過濾的技術, 配置正確的路由器和防火墻，采用防火墻或網關等設備進行攔截；從保障主要業務不受影響方面考慮可采用異常流量的清洗與回注技術。

3 校園網異常流量的清洗與回注技術

目前面對各種入侵攻擊，傳統的防護手段采用防火墻或路由器等設備攔截。一方面由于防火墻或路由器等設備均是基于網絡層的檢測，而大多數DDOS攻擊可以采用合法協議進行攻擊，因此傳統的防護手段無法正確識別并加以防護。另一方面異常流量的攔截往往以犧牲服務質量為代價，用戶正常業務受到較大影響。鑒于這些不足，我們針對校園網絡設計一種異常流量清洗與回注的解決方案，模型如圖2所示。本方案處理過程包括流量采集模塊、異常流量檢測模塊、業務管理模塊、異常流量處理模塊。

1）流量采集模塊：采用流量鏡像或者分光的方式把被保護對象的流量復制緩存空間，或從主干交換機或核心交換機實時采集流量。

2）流量分析與檢測模塊：對實時流量采用深度數據包檢測技術（DPI），也可以通過分析網絡設備輸出的NetFlow/NetStream/SFlow流信息（DFI），從而深入識別隱藏在背景流量中的攻擊報文，識別攻擊類型及時并報告業務管理模塊。

圖2 校園網異常流量檢測與清洗模型

3）業務管理模塊：控制異常流量處理并報告管理信息：從流量分析與檢測模塊中獲取攻擊信息，通知流量處理開啟攻擊防御；攻擊停止或處理完畢時清除緩沖區和恢復相關狀態值；針對各種檢測和清洗的各種威脅流量，提供豐富的攻擊日志和報表統計功能，包括攻擊前流量信息、清洗后流量信息、攻擊流量大小、時間和排序等信息以及攻擊趨勢分析等各種報表信息，便于了解網絡流量純觥

4）流量清洗與回注模塊：發現攻擊報文時，迅速地將被攻擊用戶的流量牽引到異常流量處理模塊來，采用先進的“并行流過濾”、“智能流量檢測”等技術對其進行清洗。清洗可采用在線和旁路部署兩種方式。采用旁路部署的方法時，可以實現對流量的按需清洗，在任何情況下都不會影響正常流量。當采用在線部署模式下，可以實現實時清洗。清洗之后再通過策略路由、MPLS VPN、GRE VPN等方式將干凈回注給用戶，用戶正常業務不受任何影響。

流量清洗與回注算法如下：

步驟1 準備：利用BGPBorder協議（Border Gateway Protocol，邊界網關協議），首先和被保護域的旁路設備建立BGP Peer。

步驟2 清洗啟動：異常流量檢測系統通過鏡像或者分光的方式把被保護對象的流量復制過來，按照測試部件中的安全策略基線，判斷是否有攻擊發生，如果發現有攻擊發生，立即進入步驟3

步驟3 清洗與回注：發生攻擊時，業務中心通過BGP協議向旁路設備發送BGP更新路由通告，更新旁路設備上的路由策略，將流經所有旁路設備上的被保護對象的IP流量動態地牽引到清洗模塊進行清洗，并把清洗后的“干凈”流量回注給被保護對象。

步驟4清洗結束：當檢測模塊檢測到攻擊停止時，清洗模塊根據事先設置好的模式，選擇自動或手動停止牽引，棄放緩存空間，返回步驟2。

4 結束語

隨著校園網規模擴大和應用的復雜化，網絡攻擊異常和連接數異常較普遍，嚴重影響校園網絡服務質量和網絡性能，我們應該采用主動檢測、預防控制和設備攔截技術為主要處理手段。本文針對校園網提出的各種處理方法實用便捷，引入的流量清洗與回注方案具有一定的參考價值。在校園網絡中對于重要的業務服務我們建議啟用流量檢測與清洗方案，目前市場上已有異常流量清洗產品，由于實時清洗對預存容量與速度要求較高，因此一般以硬件產品為主，我們可以根據業務需要選擇┦褂謾

參考文獻

［1］ 史忠植.MRTG 的研究與部署［J］.計算機應用，2004,24(3).

［2］ 郝星文,李懷誠.網絡流量分析系統的設計與實現［D］.北京:北京郵電大學,2005.

［3］ 常莉.淺析校園網絡流量的監控策略［J］.信息與電腦(理論版)，2005，20（2）：21-25.

［4］ ERIC MAIWALD.網絡安全實用教程［M］.北京: 清華大學出版社, 2003.

［5］ DUFFIELD N,GROSSGLAUSER M. Trajectory sampling for direct traffic observation［J］.Preceedings of the ACM SIGCOMM 2000,271-282.

［6］ DUFFIELD N, LUND C, THORUP M. Charging from sampled network usage.in: ACM SIGCOMM Internet Measurement Workshop 2001, San Francisco, CA［J］.November 1-2,2001,245-256.

［7］ DUFFIELD N, LUND C, THORUP M. Properties and Prediction of Flow Statistics from Sampled Packet Streams.in: ACM SIGCOMM Internet Measurement Workshop 2002, Marseille, France［J］.November 6-8,2002,159-171.

［8］ 高傳善, 錢松榮, 毛迪林. 數據通信與計算機網絡［M］ . 北京: 高等教育出版社, 2003.