前言:中文期刊网精心挑选了网络流量监测范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络流量监测范文1
关键词 网络管理;流量监测;方法;
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)69-0174-02
自人类进入21世纪以来,以计算机为基础的互联网技术在我们生活中各个领域得到了不同程度的应用。因此,对网络的管理工作为保证其稳定、良好的运行有着十分重要的意义。在网络管理中,对于用户的各种应用我们难以进行强制限制。由此也可能带来管理上的难题与安全隐患,比如由于病毒、木马或其它流量导致网络的拥塞。因而科学的网络规划时前提,但对网络上的各种流量进行长期的监测,也是保障网络正常稳定的运行重要举措。
所谓网络流量监测是指通过对网络数据的连续采集,从而对网络的流量情况进行了解与监视,它是网络管理中最基础的工作之一。对于网络监测所获取的网络流量数据进行统计与和计算,从而得到网络重要成分的性能指标。网络管理员就可以根据已存储网络的相关数据结合当前所获取的网络性能数据指标,通过分析了解网络性能变化趋势。了解网络运行情况,分析制约网络性能的瓶颈问题,从而为科学规划网络、优化网络设置,为解决网络故障采取及时有效的措施,提供了重要信息,有着重要的现实意义。
2 网络流量的特性分析
在经过对互联网通信流量的长期监测与测量,从现有的技术水平来说,我们把网络流量的主要特性归结为以下4个方面:
1)数据流双向和非对称性:即,从互联网上的应用来看,其实质就是数据的双向交换,因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的,上行和下载的流量并不相同,而是表现出非对称性的特点。
2)大部分TCP会话是短期的。在互联网通信中,从时间的角度来看,TCP会话时间只有数秒十分之短,这是由于会话中交换的数据量超过90%的比例都是小于10K字节的。从研究来看,一些不是短期的TCP对话(如文件传输),不过由于80%的WWW文档传输都小于10K字节,WWW的快速增长从而使得TCP会话时间也是十分短暂。
3)包的到达过程不是泊松过程。在过去较长的时间内,传统的排队理论以及通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而随着技术的进步,研究发现这种理论解释存在着不足,它难以精确地描述包的到达过程,人们开始从网络通信量模型展开研究,进而来丰富网络流量的理论原理。
4)网络流量体现出局域性。从现有技术应用特点来看,网络通信量表现出在时间和空间两个维度的局域性。这主要是从互联网流量中数据包的时间和目的地址上,从而表现显时间局域性和空间局域性的特性。
3 网络管理中网络流量监测的方法
在对互联网通信特性有了深入的了解以后,我们就可以采取相应的技术措施来对网络流量进行监测。从当前实践用用来看,习惯上我们把当对流量监测的方法归为主动测量和被动测量两大类,他们各自的优势与特点主要表现如下:
3.1主动测量
主动测量是基于端到端的测量,通过测量设备向被测网络注入一些以探测网络特征或网络流量负载等信息为目的的探测流,进而了解被测网络目前的运行状态和提供数据传输的能力。
从上述分析我们可以看到,在进行网络流量的主动测量,我们构建的网络测量系统应当由测量节点、中心服务器、中心数据库、分析服务器这四个部分构成。
从主动测量的实践应用来看,其优势体现在主动性、可控性、灵活性三个方面。即,在进行网络流量监测时是主动发送测量数据,同时这个操作过程可以灵活把握,因而可控制性也比较高。此外,主动测量也便于对端到端的性能能够开展直观的统计。
不过从测试过程我们也可以看出,由于是主动对网络进行注入流量,因此,我们所获取的结果与实际情况存在偏差是在所难免的,这就是主动测量的不足之处。
3.2被动监测
被动测量是一种分布式的网络监测技术的应用,其监测原理是对被测对象部署一定的监测点与网络设备,从而通过这些点与设备来获取网络流量的相关信息与数据。因此,这种监测它是在不改变原有网络流量的基础上进行的。通过诸多的被动监测的实践,也证明了这一点。
被动监测的优势不仅如此,并且相对前文分析中的主动测量来说,被动测量方式得到的网络数据与实际情况偏差更小一些。其缺点是被动测量是从单个设备或点实现相关信息的采集,这种实时采集往往信息数据量大,因此难以实现对网络端对端的性能分析,还为数据泄露等安全问题留下了隐患。但总体来说,被动测量的优点远大于其不足,因此被广泛用于测量和分析网络流量分布。
4 结论
以计算机为基础的现代信息技术成为了当前事(企)业单位的科研生产的重要平台,一方提高了工作效率,另一方面也加大了人们对网络的依赖和需求,因此加强网络流量监测工作十分重要。本文对网络管理中的流量监测问题进行了阐述,并根据其中存在的问题进行总结与归纳,以对其进行改善和提高。这需要我们广大从事信息技术的工作者与管理员提高业务水平,加强对相关技术的研发与探索,创新管理手段,以促进网络的良好稳定运行。
参考文献
网络流量监测范文2
关键词:入侵检测;异常检测;时间序列分析
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)05-11229-02
1 引言
随着科技进步和网络技术的飞速发展,信息产业及其应用得到了巨大的发展,政府、金融、教育等企事业单位以及个人用户等对网络的依赖程度越来越高。同时也由此带来了信息安全隐患,如何保障网络与信息系统的安全已经成为高度重视的问题。作为一种主动安全防护技术,入侵检测系统能够检测和识别来自外部或者内部的异常活动或者入侵行为(例如,对计算机和网络资源的恶意使用或者破坏、内部用户的未授权访问等),己经成为传统计算机安全技术(如防火墙)的有益补充,是网络安全领域研究的一个新热点。
入侵检测系统(Intrusion Detection System, IDS)是防火墙的合理补充。本文使用时间序列分析,设计和实现一个面向网络流量异常的检测系统,实时地监测和分析网络中的异常流量,并采取相应措施(如与防火墙联动)来避免或抑止网络扫描、Dos/DDoS攻击、网络蠕虫病毒、恶意下载等网络攻击对局域网安全的威胁,保障网络的正常运行,最大限度地发挥网络的作用。
2 常见的网络流量异常
网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%,无法响应进一步的指令。造成网络异常流量的原因可能有:网络扫描、Ddos攻击、网络蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路损坏或者设备不能正常运转等。
这些安全攻击或威胁有一个共同点,即会引起网络流量的急剧变化,它对网络的影响主要体现在两个方面:
(1)占用带宽资源使网络拥塞,造成网络网络丢包或时延增大,严重时可导致网络不可用;
(2)占用网络设备系统资源(CPU、内存等),使网络不能正常的服务。
3 面向流量异常检测的数学建模
本文设计和实现面向流量异常的网络检测系统,是在基于网络行为学的研究结果。网络行为学认为网络的流量行为具有长期特征和短期特征。网络长期特征表现在网络行为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时监测,及早发现和识别入侵攻击的发生。
网络流量模型依据的数学理论基础的不同,大致可以分为4大类:马尔可夫类模型、自回归类模型、长程依赖类流量模型,漏桶类模型[1]。其中,自回归模型定义下一个业务流量变量作为前一个变量的一个明确的函数,即利用前一段时间变量的数据来预测该变量的下一个时间的值,在一个时间窗口中,由目前向过去延伸。多个研究结果表明,它可以有效地用于网络流量行为的实时预测和控制。因此,可以通过对统计的历史统计量数据进行分析,为网络流量建立合理的统计模型,并作为检测系统的异常检测引擎。
首先在局域网的总出口处连续的采集进出网络的流量数据,观测时间为4周(每周7个工作日),建立网络的正常行为模式。从采集到的数据序列,可以看出,网络的带宽利用率(或者总流量)和单播/非单播包比率具有明显的周期性特征,但它是一个不平稳的序列,可以采用时间序列分析的方法为它们建立统计模型[2]。
对带宽利用率和单播/非单播包比率这两个统计量的时间序列模型可以按如下步骤建立,并用于异常流量的检测。
(1)原始数据处理
首先,采集4周28个工作日的数据作为基础数据。数据采集系统在工作中有时会引入一些虚假数据,因此,在整个数据分析过程中,最好先进行异点的检测和剔除,以便确保这些值是体现正常网络行为。根据格拉布斯准则,如果x表示x1,x2,x3,x4的在一周内的某一时刻的平均值(4周数据的平均),v表示它们的标准差,即,如果xi满足|xi|>kv,则xi为异常值,应剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯准则系数,与置信区间为95%相对应的k=1.46。这样,得到了4周历史数据的10080个时刻的平均值。再采用方差分析的方法的方法对序列进行平稳化,这样就可以把网络流量的局部看成统计上近似的平稳。然后将这个局部作为一个滑动时间窗口,窗口的大小设为N。用这N个局部流量数据建立ARMA(n,n-1)模型,来判断第N+1个数据是否异常(在实时异常检测中,只需要将时间窗口不断往前依次滑动[3]。
(2)模型的确定和模型参数的估计
在建模策略上,系统建模法采用ARMA(n,n-1)模型逼近序列{xt},即
为使建模过程计算尽量简单,降低阶数,我们用直线拟合样本数据的趋势,然后提取趋势项。对提取趋势项后的数据进行建模研究。
文中建模时的初始猜测值采用逆函数方法确定。它的基本原理是:逆函数系数本身是ARMA模型无穷展开式的自回归参数,所以对于一个ARMA,可以用无穷阶AR模型去逼近。对于ARMA(2n,2n-1),需要拟和一个AR(2n-1)模型。这一步可以通过求解Yule-Walker方程方法容易地估出AR的系数Φi。把这些AR模型的系数Φi作为ARMA(n,n-1)模型的逆函数系数Ii。逆函数系数的公式如下
将式(2)代入式(1)可以得到算子恒等式,再利用相应的系数相等的方法,得到ARMA(n,n-1)的滑动平均系数Φi,最后利用已知的Φi和Ii求出作为AR模型系数Φi的初始估计值。这样可以得到ARMA(n,n-1)模型的初始参数Φi和θi。该方法的整个过程都仅涉及到线性方程组的求解,因而计算简便易于实现,是对高阶ARMA模型进行参数初估计的有效方法。这种参数初估计方法不但具有在计算机上容易实现的特点,而且与当前常用的参数初估计方法相比,在参数估计精度上有了较大的提高。
由于最终的ARMA模型方程对参数是非线性的,文章用非线性最小二乘法来逐步逼近的方式来实现残差平方和的极小化。这个方法从诸参数的初始值开始,利用下式递归计算残差并求得平方和
一旦在参数空间中达到平方和较小的那一点时,则以此点为初始值开始新一次的迭代,迭代一直持续到达到规定的允许误差为止。文中利用全局收敛的Levenberg-Marquardt修正的高斯-牛顿法算法来迭代计算残差。一旦达到误差要求,就可以得到模型的参数和阶数。这个方法还可利用局部线性的假设,借助线性最小二乘理论求得各估计参数的近似置信区间。
(3)模型适用性检验
文中所用的检验判据是F检验。 ,式中A0是不受限模型的平方和(较小),A1是受限模型的平方和(较大),F(s,N-r)是具有s和N-r个自由度的F-分布。其中残差平方和的公式为:RSS=∑a 。用F检验来验证在阶数增加的过程中残差的平方和是否显著,从而确定在那个显著性水平上,模型是否合适。同时F判据还可以作为拟合ARMA(2n,2n-1)系列时的停止判据。一旦决定停止在ARMA(2n,2n-1)模型上时,还可以进一步用F-判据判断是否自回归阶次为奇数。在决定了最终的模型后,也可以用F-判据去判断是否还有其他理想的模型形式是合适的。
在使用F-判据的同时,还必须使用残差的自相关检验x2来作为进一步的实用性检验。x2分布是表征相互独立的诸标准正态变量平方和的一个分布, 。使用残差的自相关检验来判断残差的相互独立性,从而确定残差是否是白噪声序列,进一步确定模型是否合理。
3 入侵检测系统的功能模块设计
根据系统的功能需求,可以将流量异常检测原型系统分成5个基本模块:流量采集模块、流量统计模块、流量异常检测模块,报警和响应模块以及人机交互界面。系统的体系结构如图1所示。
系统的工作原理是:在局域网的总出口(或被监控的核心主机附近的采集点)采集流量数据;对每个数据包进行分类并统计相关流量信息(如协议和端口使用量等),将这些统计值保存到特定的存储结构:并采用异常检测模块对这些流量数据进行分析;对于识别出的异常流量分析特征,并通过修改防火墙的规则或者受害主机隔离等方式来抑止和阻断这些网络攻击的进一步发展。最后,安全管理人员可以通过人机交互模块对查看系统的工作状态并对系统进行配置和管理[4]。
图1 系统的体系结构
图1中的5个模块的功能分别如下:
(1)流量采集模块。局域网的总出口或者网络中被监控的核心服务器附近设置流量采集点,采集所有流经该采集点的流量数据;
(2)流量统计模块。对所有捕获的网络数据包进行拆分,统计各种协议的包的协议类型、源/目标地址、端口、大小、标识位等信息。然后,该模块以分钟为时间粒度,统计网络带宽利用率、单播/非单播包比率、应用层协议包数量、SYN(SYN+ACK)包比率等统计量进行存储,等待进一步的处理;
(3)异常检测模块。该模块通过分析网络流量的几个统计量来描述其正常的行为模式或者状态。其中网络带宽利用率、单播/非单播包比率是与时间相关的统计量,采用时间序列分析的方法为它们建立ARMA(2,1)模型,并用于检测这些统计量序列中的异常。通过综合这些统计量的异常情况,识别出网络流量中的异常情况,并产生安全事件消息;
(4)报警和响应模块。如果检测到异常流量,首先需要报警,使系统和系统管理员可以根据情况选择不同的处理方法。然后,系统根据报警级别和安全响应策略采取两种更为主动的响应方式,即防火墙联动和主机隔离;
(5)人机交互界面。采用基于Web的用户管理,通过该交互界面可以实现信息查看、阐值设定以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统计量、阂值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
4 系统实现与测试
原型系统在Windows 2000环境采用VC++6.0开发,采用SQL Sever 2000作为安全事件数据库、安全日志、安全响应策略库等的后台数据库。
实验结果表明,本文设计和实现的网络流量异常检测原型系统对于网络扫描、Dos/Ddos、蠕虫等类型的网络攻击和入侵具有明显的检测效果。但是,相对于纷繁变化的网络攻击手段,限于软硬件环境和统计分析技术的缺陷,系统的异常检测能力还不是很完善,存在着一些不足之处这些都还有待改进。因此,本文的主要目的是希望为同类型的入侵检测系统或者网络异常检测系统的设计和开发提供一种思路和模式,也为建立局域网的立体纵深、多层次防御系统进行一些有益的尝试。
参考文献:
[1]宋献涛.等.入侵检测系统的分类学研究[J].计算机工程与应用,2002,38(8):132-13.
[2]孙钦东,张德运,高鹏.并行入侵检测系统的负载均衡算法[J].小型微型计算机,2004,25(12): 2215-2217.
[3]李信满,赵大哲,赵宏.基于应用的高速网络入侵检测系统研究[J].通信学报,2002, 23(9):1-7.
网络流量监测范文3
1网络流量监测的必要性及意义
网络管理中非常重要且非常基础的一个环节就是网络流量监测,网络流量监测即是通过对网络数据的连续采集,以此来监测网络的流量。网络及其重要成分的性能指标也是对网络流量数据的统计和计算得到的。网络管理员根据当前的和历史的存储网络及其重要成分的性能的数据数据,就可对网络及其主要成分的性能进行性能管理,通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。在网络流量监测的基础上,管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象,阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警,帮助管理员发现网络瓶颈,这样即可实现一定程度上的故障管理,而网络流量监测本身也涉及到安全管理方面的内容。所以,研究网络流量监测是非常有意义的。
2网络流量的特性
2.1数据流是双向的,但通常是非对称的。互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
2.2大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3包的到达过程不是泊松过程大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
2.3网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
3网络流量的监测技术与方法
3.1网络流量的监测技术种类
(1)基于流量镜像协议分析。流量镜像(在线TAP)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。与其他3种方式相比,协议分析是网络测试的最基本手段,特别适合网络故障分析。缺点是流量镜像(在线TAP)协议分析方式只针对单条链路,不适合全网监测。
(2)基于硬件探针的监测技术。硬件探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。与其他的3种方式相比,基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率,一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析,Netflow更偏重全网流量的分析。
(3)基于SNMP的流量监测技术。基于SNMP的流量信息采集,实质上是测试仪表通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。相似的方式还包括RMON。与其他的方式相比,基于SNMP的流量监测技术受到设备厂家的广泛支持,使用方便,缺点是信息不够丰富和准确,分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的3种方案中,如果单纯采用SNMP做长期的、大型的网络流量监控,在测试仪表的基础上,需要使用后台数据库。
(4)基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备(Cisco)提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议,已经标准化,并且Juniper、extreme、华为等厂家也逐渐支持,Netflow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后,便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供计数根据。Netflow方式是网络流量统计方式的发展趋势。在综合比较四种技术之后,不难得出以下结论:基于SNMP的流量监测技术能够满足网络流量分析的需要,且信息采集效率高,适合在各类网络中应用。
3.2网络流量的监测方法
流量监测包括测量工具/系统的部署、流量数据的采集(包括数据包捕获、归并和采样处理等)、数据包的解析和处理、测量实体量化数值的获得与统计分析、流量特征化描述、流量存储和查询表示、流量建模等多个环节,具有相对复杂的处理和分析过程。目前存在有众多种流量测量的实现方法,他们可适用不同的测量环境、满足不同的测量要求,并且有着不同的实现方式。基于硬件的测量通常需要设计和应用特定的硬件设备来对流量数据进行采集和分析。被测量的流量并非由普通的商用计算机直接获得,而是需要从服务器、交换机、路由器等特定的网络设备上经过一定处理后导出,然后再由普通的商用计算机完成后续的流量处理和统计分析等工作。不同形式的数据,对应要求在普通的商用计算机上通过不同的程序或软件实现相应的流量处理和统计分析功能。
网络流量监测范文4
关键词:网络流量;监控;意义
中图分类号:TP393.06 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-01
一、网络流量监视与控制策略
(一)对网络流量的捕捉与分类。对网络流量的捕捉与分类是实现网络流量管理的第一步。要事先设置好捕捉点,对网络流量加以捕捉与分类,只有这样才可以做后续的分析及控制工作。更需要进行说明的是,网络流量分类要实现宏观化,还可以做到细化。例如TCP、UDP、ICMP的分类方法具有宏观特点,而其中的HTTP、FTP包括Kazza、Skype之类的P2P流量在分类及识别方面还要进一步对其细化。比如我们的日常工作,网管人员可以借助于Wireshark、TCPDump等进行报文捕捉与分析软件对流量做捕捉与分类工作。(二)对网络流量的监视。监视网络流量的大小,可以找到问题的原因与状况,然后按照相应的管理策略执行有关的操作。应用程序与网络管理对各类信息进行收集与分类,并对收集的信息进行展示,所展示的内容主要有对带宽的利用率、活跃的主机与网络效率及相关的应用程序。这一目标主要是利用了市面上的可视化分析管理工具NTOP来实现这一管理的,对网络管理员进行协助。(三)对网络流量的控制策略。对网络流量的分析主要是因优先级别不同而分配一定的带宽资源。这些分配主要是对主机及应用进行的等等,我们要对所消耗资源的P2P程序及音频视频下载等程序做进一步的分析。它的具体操作时间主要以常用的流量控制工具对其实现,比如采取的分类监视与网络流量的控制,这样,我们可以对网络流量做有效的管理,将无序的网络流量变成有序的网络流量。
二、网络流量测量方法与选择
当前,我们通常使用的网络流量的测量方式包括以下两种。
(一)利用计算机对网络进行侦听,比如利用“嗅控器”进行侦听的Sniffer工具,这种方式不能使所有对象的流量都被监听到,比如对路由器的要求主要是达到路由器与侦听计算机同属于一个物理网段。(二)在网络对象中直接获取流量,在使用SNMP协议时,对它所提供的基本功能中的Get2Re2quest与Get2NextReq都属于一个M IB数据库表,并从中可以获取所需相关信息。比如利用免费工具软件METG对其进行分析,它得到的监控结果主要是一个GIF或者PNG格式的图形文件,再把这些图形文件植入到标准的HTML页面之中。
三、网络流量测量的实现
(一)对数据采集与存储主要是通过流量监控管理系统来实现的,利用Linux AS4. 0这一操作系统,通过C语言编程完成这一功能,借助ucd-snmp软件包完成对网络设备MIB信息的获取。比如UCD-SNMP软件具有多个SNMP工具,它具有可扩展、SNMP库、对SNMP消息的查询及设置、对SNMP陷阱工具的产生与处理、利用SNMP的netstat命令、实现管理系统库浏览器Tk/Perl的作用。对ucd-snmp软件包的安装调试以后,可以在shell下面使用/usr/local/snmp/sbin/snmpd,也可以加在/etc/rc. d/rc. Local之中,实现开机后的自动启动功能。(二)Web服务器具有用户查询及交互模传统方式,它主要是一种基于C/S架构的管理模式,在Web技术不断走向成熟以及被大面积应用的基础上,一种基于Web的全新的网络管理WBM(Web-BasedManagement),具有灵活性、易操作性的服务产生。我们利用本系统的设计,对网络管理信息的数据经SNMP在MIB库中进行收集,在网络管理系统所做的过滤、分析、加工处理以后,在Web服务器做好数据的存储。管理员利用Web技术借助于浏览器本地或者远程访问流量监控系统,对WBM技术与传统的网络及设备管理系统进行对比,利用分布性、用户界面各种不同的操作优势,在动态网页PHP的函数集中对台戏SNMP协议应用于网管函数的接口中。在使用PHP时,不断完成轮询操作。而PHP所提供的网管函数库与数据采集模块的Agent通过交互对流量进行监控。它还利用PHP语言与Ajax技术对Web管理页面进行了创建,利用标准的接口,将用户的HTTP格式的请求再做进一步的转换工作,使其成为了一种SNMP协议的格式,再将SNMP协议数据单元进行转换,使其成为HTTP格式,对用户的浏览器界面进行显示。还要对Ajax(“Asynchronous JavaScriXML”,即异步JavaScript和XML)窗体技术加以利用。主要是将XMLHttpRequ应用于JavaScript脚本所提供的页面之内,再通过服务器通信的手段,使JavaScript不用刷新页面就可以实现对数据的获取,而不用对整个页面进行刷新。
四、网络流量监控的意义
P2P技术用以通讯,仅一到两台电脑的P2P软件就可以对整个局域网的所有带宽资源加以抢占。因此,要保证企业网络的能够稳定运行,还要对流量进行监控与限制。对局域网流量的监控限制主要有以下解决方案:
(一)对每台机器进行流量的分配。在Linux操作系统中有流量控制的作用,它主要是利用输出端口的一个队列完成流量的控制。借助于linux的网关,就可以对每台机器的流量进行设置。我们还可以利用局域网的流量监控软件对流量进行监控。这一方案主要是对网关或者网桥的连接方式加以设置,所以在提高网速方面有一定的影响。(二)到网络流量管理中使用流量控制,主要是使网络管理者实现对网络资源与业务资源的带宽加以控制,并对其资源加以调度,可以通过HTTP、FTP、SMTP以及P2P的应用加以管理,特别是对通过对P2P流量进行抑制以提升传统数据业务的用户体验度。另一方面,流量控制对网络流量管理具有一定的作用,可以对业务资源进行调度,并对业务资源进行使用,对业务状态进行实时监控。(三)对流量进行控制主要是在输出端口对一个队列进行流量的控制,控制的方式可以通过路由,也就是通过IP地址或者目的子网的网络号进行设计。对流量进行控制主要是对功能模块以队列、分类及过滤的方式实现。因为网络流量的种类较多,网络管理员的管理要以分类的方式完成。在城域网网络规划和扩容可以参考网络流量模型来实现,xFlow与探针能获得流量模型的控制,困为探针具有应用协议的分析能力,可以深入分析流量。然后在城域网接入层、汇聚层以及在城域网出口的每个层面安装探针,对流量进行监测与分析,从而得到相对完整的流量模型。我们所提出的P2P应用是网络带宽的一种主要的消耗者,对P2P流量进行疏导,可以实现它的本地化,可以对承载网络流量流向进行优化,另外还可以对用户感知进行提升,它也城域网的未来发展方向之一。
参考文献:
网络流量监测范文5
关键词: 网络测量;网络性能指标;网络流量测量仪
0 引言
随着现代科学技术的发展,人们的生活越来越依赖于计算机网络,借助于网络人们可进行工作、娱乐、购物等等,渗入到生活的各个方面。同时,计算机网络的发展也是日新月异,网络的复杂度也越来越高,所以网络性能的测量,有助于对网络性能有效的预报和控制,及时发现网络出现的问题并找到解决方法。网络测量可以这样理解,使用的软、硬件测量工具或者软硬件结合的工具,对网络性能的的各项指标进行测量,并对网络性能的状况作出客观的分析。
1 网络测量分类和主要研究领域
目前,对网络测量的分类有很多。根据测量的内容可以分为拓扑测量与性能测量;根据测量方式可以分为主动测量和被动测量;根据测量点的多少可分为单点测量与多点测量;根据测量采用的协议可分为基于BGP(Border Gateway Protocol,边界网关协议)协议的测量、基于TCP/IP协议的测量以及基于SNMP协议的测量。在主动测量方式中,需要短暂断网,向网络中发送数据,通过观察收到的数据,对网络性能进行分析。被动测量不需要断网,通过镜像或者串接的模式连接到网络中,记录网络中产生的数据,并进行分析。
一般的网络测量的主要参数包括RTT(往返时延)、路径数据、带宽、延迟、拥塞程度、吞吐量、带宽利用率、丢包率、服务器和网络设备的响应时间、最大的网络流量、网络服务质量QoS等。
2 网络流量测量
目前,上网用户日益增多,随之而来的是用户对自己上网产生的流量并不透明,上网产生的流量精度与否,用户也是不甚明了,由此而产生的争议不断上演。通过对网络流量的测量,不仅可以对计算机网络的动态使用情况进行掌握,而且对流量的准确监测,对用户的合法权益维护也具有重要的意义。对网络流量性能可以通过网络流量模型进行预测,流量测量不仅仅是用在流量的测量上,还能够应用在安全管理、性能管理、计费管理等方面。
3 网络流量测量仪的设计
3.1 网络流量测试仪的设计思路
针对目前没有一款网络流量测量仪是从计量方面来进行网络流量监控,此款网络流量测量仪主要是从用户端进行流量计量,能够在一定时间内对用户产生的流量进行精确统计,精度是现行电信运营商的精度的0.3倍。
网络流量测试仪采用串联的方式连接在线路中,仪器的一个端口连接电信运营商的网络,另一个端口连接用户电脑,连接方式。
3.2 网络流量测量仪的硬软件结构
网络流量测量仪是由一块FPGA,在物理层有两个RJ45网卡接口、存储器、LCD和控制面板等组成,其硬件结构。
网络流量测量仪依据的标准是IEEE802.3以太网络通讯协议,通过计算MAC层的数据来统计流量大小。网络流量测量仪的软件结构三个模块组成:实时数据处理和分析模块、流量统计和计量模块和LCD显示模块。
3.3 网络流量测量仪的工作流程
网络流量测量仪的主要功能就是对上网流量进行计量,这也是设计此仪器的核心所在,所以仪器的首要功能是精确可靠的统计上网产生的数据,通过帧的接收、验证、计算,数据包括上下行流量,然后通过查询功能对得到的数据在LCD上显示出来。
4 结论
网络流量测量仪采用软硬件结合的方法,在用户端进行网络流量统计,从模拟验证来看,可以精确对用户的上网流量进行测量,填补了我国在网络流量计量方面的空白,维护了消费者的合法权益,具有一定的社会和经济效益。
参考文献:
[1]王宁、罗军勇,一种关于重叠服务网络的可用带宽测量技术[J].微计算机信息,2005(23).
[2]王存立、吴捷,服务质量测量技术及其应用[J].中兴通讯技术,2003(04).
网络流量监测范文6
[关键词]网络流量流(Flow)
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210099-01
随着IT、网络技术的迅猛发展和企业信息化程度的不断提高,各种网络应用越来越丰富。因此,如何保证网络的可用性和关键业务的畅通运行,对网络正常健康的发展将起到至关重要的作用。维持正常网络运转,就需要有相应的技术手段,明确了解网络上各种应用的带宽占用情况,分析用户流量行为,以便合理的规划和分配网络带宽,有效地保障关键业务应用的正常运行。尤其是在发生流量异常的同时,迅速有效的分离和抑制异常流量,对非法业务实行遏止,使网络流量能保持其健壮性。
常用的网络流量和协议分析有四种方法:
一、基于SNMP
MRTG是最常使用并且最典型的一种基于SNMP的产品。其安装过程非常简便,其结果输出采用Web页面方式,因此需要在相应的平台上安装系统,如NT上需要安装IIS,UNIX则需要安装apache。MRTG通常被网络管理人员用来收集网络节点端口流量统计信息,是典型的监视网络链路流量负荷的工具。MRTG的定制非常方便,一般可以在网络的重要节点端口和故障发生频繁的网络设备处利用MRTG进行监视,这些监视包括:关键链路流量和关键节点性能状况。
MRTG的优点是安装、定制简单,结果采用Web方式输出方便实用,而且是免费产品,在世界各地有很多的开发人员不断对其升级和改进。MRTG的缺点是功能较单一,分析功能不强,其收集到的流量信息是端口的统计信息,不能用于复杂的分析。
二、基于网络探针(Probe)
流量探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息,分析的结果存储在探针的内存或磁盘之中,具体的前端展现依赖与之对应的专门软件。因此具有效率高、可靠性高、高速运行不丢包的特点。流量探针安装非常方便,可以实时将RMON II的流量信息完全记录下来,这对分析网络的性能和故障很有价值。如果将流量探针串接到Catalyst系列交换机端口,开启端口映射(Span Port)功能,将各个端口的流量映射到安装了流量探针的端口,则仅通过对一个端口的监测就可以收集到多个端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列设备上都可以实现。其它厂商如Foundry公司的交换机也提供端口映射的功能,但现在还不支持跨交换机的映射。
流量探针的安装很简单,可以用于高速(千兆)的网络而不影响网络性能,流量探针可以实时捕捉包,但其成本高,不同的物理链路,因其采样方法也不同,而需要使用不同种探针。
三、基于实时抓包分析
基于实时抓包的分析技术提供详细的从物理层到应用层的数据分析。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。常见的产品有NAI的Sniffer Pro,免费的tcpdump、ethereal等。
通过端口映射Sniffer Portable可以实时采集多种数据并保存到数据库中,同时可以通过其分析部件实时监视和显示这些数据的统计信息。利用Sniffer Portable的数据捕捉功能可以在短时间内对网络流量进行实时采集,这些采集到的流量数据可以包含整个包的信息,也可以只是包的一部分。利用捕获到的包可以进行协议分析、数据重组(如重组E-mail)等工作。对包的解码和分析是Sniffer工具的一个最有特色的,也是最强大的功能。
当不采用厂家的特殊硬件系统,Sniffer Portable只能用于100Mbit/s
及以下速率链路,网络中可以安装多个Sniffer Portable,但它们都是相互独立的,分别有各自的数据库,收集到的数据独立存放,这对于整个网络的分析带来一定难度,因此它特别适合小范围内的性能维护和分析;Sniffer Portable分析能力特别强大,可以解析近370种协议。当要求对更高速(GE或POS 2.5Gbit/s)的链路采集流量,或者是全面收集大型网络的流量时,可以采用Sniffer的硬件产品及其分布式系统,但其价格昂贵。
四、基于流(Flow)的流量分析
目前基于流的分析技术主要有两种:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks联合开发的一种网络监测技术,它采用数据流随机采样技术,可以适应超大网络流量(如大于2.5Gbps)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。目前,仅有HP、Foundry和Extreme Networks等厂商的部分型号的交换机支持sFlow。NetFlow[13]是Cisco公司开发的技术,它既是一种交换技术,又是一种流量分析技术,同时也是业界主流的计费技术之一。它可以回答有关IP流量的如下问题:谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等问题。NetFlow因为其技术和Cisco网络产品的市场占有率优势而成为当今主流的流量分析技术之一。NetFlow的配置非常方便、安装简单,除了需要在路由器上配置之外,只需要一台UNIX工作站作为流的收集工作站,所有路由器或交换机上发送的NetFlow流都将送到此工作站集中,方便处理和分析。NetFlow流信息量特别丰富,可以为流量分布、业务分布等性能分析提供最充足的数据,但需要消耗一定的路由器资源(CPU和内存)且不能实时捕捉数据包。根据NetFlow的特点可知,其非常适用于大型的网络,和流量探针、Sniffer等比较,NetFlow成本最低,实施最方便,而且不受速率的限制,是数据流量采集的发展方向。
基于Flow的分析方法将成为趋势,在上面所提到的四种方法中,基于Flow的分析方法应该是网络流量分析技术的趋势。这是它的技术实现理论所决定的。
参考文献:
[1]朱士瑞,基于小波分析的异常检测系统[D].江苏大学硕士学位论文,2006.
[2]陈宝钢、张凌、许勇,基于P2P应用的网络流量特征分析[J].计算机应用,2005,Vol.27,No.3.
[3]顾荣杰、晏蒲柳、邹涛,基于统计方法的骨干网异常流量建模与预警方法研究[J].计算机科学,2006,Vol.33,No.2.
