引言：易發(fā)表網(wǎng)憑借豐富的文秘實(shí)踐，為您精心挑選了九篇網(wǎng)絡(luò)流量分析的方法范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時(shí)聯(lián)系我們的客服老師。

第1篇

【關(guān)鍵詞】IP網(wǎng)絡(luò)流量分析；互聯(lián)網(wǎng)；技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析等工作的工具，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)，企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問(wèn)題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問(wèn)題來(lái)看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來(lái)越重要的作用。

1.網(wǎng)絡(luò)流量分析方法

網(wǎng)絡(luò)流量是單位時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開(kāi)，目前，主要的分析方法有流量的統(tǒng)計(jì)分析和流量的粒度分析等。

1.1 網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

（1）基于軟件的流量統(tǒng)計(jì)

這種統(tǒng)計(jì)分析一般通過(guò)修改安裝于主機(jī)上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊，使之具有捕獲數(shù)據(jù)包的功能，以實(shí)現(xiàn)流量信息的收集和分析。基于硬件的流量統(tǒng)計(jì)效率很高，專(zhuān)用性強(qiáng)，但是價(jià)格昂貴對(duì)人員要求高，而基于軟件的流量統(tǒng)計(jì)有價(jià)格便宜，實(shí)現(xiàn)靈活，擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)，但其性能要低于基于硬件的統(tǒng)計(jì)技術(shù)。因此，流量統(tǒng)計(jì)方法有待進(jìn)一步的提高，以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求。

（2）基于硬件的流量統(tǒng)計(jì)

此類(lèi)分析通常采用硬件測(cè)量設(shè)備，是一種為特定目的設(shè)計(jì)的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備。

1.2 網(wǎng)絡(luò)流量的粒度分析

網(wǎng)絡(luò)流量行為特征的分析還可以在不同測(cè)量粒度或者不同的層面上展開(kāi)。

比特級(jí)（Bit-level）的流量分析，這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路的傳輸速率，吞吐量的變化等等。

分組級(jí)（Packet-level）的流量分析，此類(lèi)分析主要關(guān)注的是IP分組的到達(dá)過(guò)程、延遲、抖動(dòng)和丟包率等。

流級(jí)（Flow-level）的流量分析，F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開(kāi)的，它主要關(guān)注流的到達(dá)過(guò)程、到達(dá)間隔及其局部的特征。

上面流量的粒度由小到大遞增，時(shí)間尺度也逐漸增大，不同時(shí)間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律。通常，網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能，因此，F(xiàn)low-level的流量分析成為發(fā)展趨勢(shì)。

2.網(wǎng)絡(luò)流量分析常用技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量分析技術(shù)也與時(shí)俱進(jìn)。既有傳統(tǒng)的數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)管理技術(shù)，也有面向開(kāi)放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前，在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有：

2.1 RMON技術(shù)

RMON（遠(yuǎn)程監(jiān)控），是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對(duì)SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù)：一種是通過(guò)專(zhuān)用的RMON探針（Probe），流量探針安裝方便，但是流量探針價(jià)格昂貴，不適合大面積部署。另一種方法是將RMON直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、HUB等），但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

2.2 SNMP技術(shù)

SNMP是用標(biāo)準(zhǔn)化方法定義的，通常一個(gè)標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個(gè)組成部分：SNMP協(xié)議，這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息；管理信息結(jié)構(gòu)，它是用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集；管理信息庫(kù)，它是設(shè)備所維護(hù)的全部被管理對(duì)象的結(jié)構(gòu)集合。基于SNMP的流量分析就是通過(guò)SNMP協(xié)議訪問(wèn)設(shè)備獲取MIB庫(kù)中的端口流量信息，典型工具有MRTG，MRTG是一個(gè)使用的免費(fèi)軟件，通過(guò)SNMP協(xié)議從設(shè)備得到流量信息，將流量負(fù)載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶(hù)。由于M RTG使用起來(lái)很方便，能夠直觀顯示端口流量負(fù)載，所以是各類(lèi)網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡(jiǎn)單的端口出、入流量統(tǒng)計(jì)信息，不能深入分析包的類(lèi)型、流向等信息。

2.3 s Flow技術(shù)

s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開(kāi)發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第一層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量（如人于10Gbit/s）環(huán)境下的流量分析，讓用戶(hù)詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問(wèn)題。sFlow技術(shù)有很多優(yōu)點(diǎn)：成本低廉；在不斷發(fā)展升級(jí)當(dāng)中，能在沒(méi)有消耗額外資源的環(huán)境監(jiān)測(cè)萬(wàn)兆網(wǎng)絡(luò)，不會(huì)帶來(lái)新的網(wǎng)絡(luò)沖突；有自己的一套準(zhǔn)確可靠的計(jì)量方式；數(shù)據(jù)信息量人。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使實(shí)現(xiàn)而向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。

3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析起著一個(gè)銜接的作用，主要利用網(wǎng)絡(luò)流量測(cè)量部分收集到的各種流量信息，通過(guò)運(yùn)用不同的方法對(duì)其進(jìn)行分析和建模，以發(fā)現(xiàn)流量的特性，對(duì)網(wǎng)絡(luò)性能做出客觀的評(píng)價(jià)，并以此作為對(duì)網(wǎng)絡(luò)進(jìn)行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個(gè)方面：

3.1 實(shí)施安全預(yù)警

網(wǎng)絡(luò)流量異常會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷，使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%無(wú)法響應(yīng)進(jìn)一步的指令。通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性，并向網(wǎng)絡(luò)管理者進(jìn)行告警，判斷是否出現(xiàn)了入侵，并按照事先擬定的規(guī)則集進(jìn)行處理，記錄異常情況發(fā)生時(shí)的詳細(xì)網(wǎng)絡(luò)狀況，使入侵得到及時(shí)發(fā)現(xiàn)和處理。

3.2 分析用戶(hù)行為

根據(jù)分析結(jié)果，進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)！將用戶(hù)感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

3.3 節(jié)省運(yùn)營(yíng)費(fèi)用

通過(guò)對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以統(tǒng)計(jì)出業(yè)務(wù)類(lèi)型、服務(wù)等級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶(hù)對(duì)其他外部網(wǎng)絡(luò)的訪問(wèn)情況，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)，從而有效地選擇與其他運(yùn)營(yíng)商的互聯(lián)方式，節(jié)省費(fèi)用。

3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

通過(guò)對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)控，獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對(duì)其進(jìn)行統(tǒng)計(jì)和計(jì)算。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)，定期形成性能報(bào)表，并維護(hù)網(wǎng)絡(luò)流量數(shù)據(jù)庫(kù)或日志存儲(chǔ)網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理。通過(guò)數(shù)據(jù)分析獲得性能的變化趨勢(shì)，分析制約網(wǎng)絡(luò)性能的瓶頸問(wèn)題。

3.5 評(píng)估網(wǎng)絡(luò)價(jià)

通過(guò)對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小﹑去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況。從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開(kāi)展情況，并作出價(jià)值評(píng)估。

3.6 確定重點(diǎn)客戶(hù)

通過(guò)對(duì)重要應(yīng)用和大客戶(hù)的流量進(jìn)行統(tǒng)計(jì)分析。掌握重要應(yīng)用和大客戶(hù)的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

4.網(wǎng)絡(luò)流量分析的重要性

相對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，理解用戶(hù)的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容，它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來(lái)網(wǎng)絡(luò)升級(jí)等提供重要依據(jù)，通過(guò)網(wǎng)絡(luò)流量分析，可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從很多方面進(jìn)行更好地維護(hù)﹑優(yōu)化網(wǎng)絡(luò)，并且提升網(wǎng)絡(luò)的性能；同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶(hù)提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計(jì)分析等；也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時(shí)，網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化，因此，對(duì)網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息和深層次的管理功能，很好地發(fā)揮網(wǎng)絡(luò)管理作用。對(duì)于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測(cè)﹑鏈路狀態(tài)監(jiān)測(cè)﹑容量規(guī)劃等發(fā)揮著重要作用。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)，可以預(yù)見(jiàn)，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來(lái)越重要的作用。

參考文獻(xiàn)

[1]李萬(wàn)鵬.網(wǎng)絡(luò)流量控制及流量分析[D].北京郵電大學(xué)，2011.

第2篇

關(guān)鍵詞：IP包 流量分析 解析

0 引言

隨著社會(huì)的飛速發(fā)展和網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的擴(kuò)展，使得網(wǎng)絡(luò)通信問(wèn)題日益成為人們關(guān)注的焦點(diǎn)。當(dāng)前，人們對(duì)網(wǎng)絡(luò)的需要也日益增多，人們對(duì)網(wǎng)絡(luò)通信也有了越來(lái)越高的要求。通過(guò)Internet的迅速發(fā)展使社會(huì)經(jīng)濟(jì)結(jié)構(gòu)和人們的生活方式發(fā)生了巨大的變化，網(wǎng)絡(luò)服務(wù)越來(lái)越重要，而IP流量正是網(wǎng)絡(luò)管理的重要數(shù)據(jù)基礎(chǔ)，通過(guò)IP分析流量數(shù)據(jù)，可以幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)各種惡意網(wǎng)絡(luò)攻擊，對(duì)攻擊源進(jìn)行追溯和定位，從而對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行有效的保護(hù)尤其在中小網(wǎng)絡(luò)中網(wǎng)絡(luò)安全起著至關(guān)重要的作用。IP分析中數(shù)據(jù)的統(tǒng)計(jì)是不允許出現(xiàn)任何錯(cuò)誤的。因?yàn)榫W(wǎng)管人員在做好防護(hù)的同時(shí)也要對(duì)IP包進(jìn)行捕獲和流量分析。網(wǎng)絡(luò)上的信息流量是通過(guò)計(jì)算機(jī)的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息展現(xiàn)出來(lái)的，通過(guò)對(duì)流經(jīng)網(wǎng)卡的數(shù)據(jù)包的分析，如果發(fā)現(xiàn)有惡意連接或是異常流量的時(shí)候，網(wǎng)絡(luò)管理員就可以及時(shí)的做出相應(yīng)的措施來(lái)保護(hù)網(wǎng)絡(luò)的通暢和安全，這也就是進(jìn)行IP包流量分析的重要性。

1 IP包流量分析的研究

1.1 IP流量分析

每個(gè)網(wǎng)絡(luò)都有自身的運(yùn)行規(guī)律，對(duì)于每一個(gè)高級(jí)的網(wǎng)絡(luò)管理員，要管理好網(wǎng)絡(luò)上承載關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)，首先要對(duì)自己所管理的網(wǎng)絡(luò)建立深入的了解，提高自身的網(wǎng)絡(luò)管理技術(shù)水平，掌握有效的IP流量分析技術(shù)并能夠在工作中靈活的運(yùn)用。網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的結(jié)構(gòu)、應(yīng)用特點(diǎn)等緊密相關(guān)，通過(guò)IP流量分析，能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)系統(tǒng)運(yùn)行的規(guī)律。網(wǎng)絡(luò)上重要的應(yīng)用在運(yùn)行時(shí)，如每一次訪問(wèn)，每一個(gè)交易處理，數(shù)據(jù)都是通過(guò)網(wǎng)絡(luò)來(lái)傳輸?shù)模褪沁@些數(shù)據(jù)的傳輸導(dǎo)致了網(wǎng)絡(luò)流量的產(chǎn)生。通過(guò)分析應(yīng)用運(yùn)行所產(chǎn)生的網(wǎng)絡(luò)流量，能夠清楚的了解應(yīng)用運(yùn)行時(shí)對(duì)網(wǎng)絡(luò)通信的影響。通過(guò)IP流量分析程序可以獲取到數(shù)據(jù)包的內(nèi)容及其數(shù)量。在網(wǎng)絡(luò)帶寬一定的情況下，每個(gè)用戶(hù)的網(wǎng)絡(luò)行為都將相互影響，同時(shí)會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行產(chǎn)生影響。伴隨著每個(gè)用戶(hù)在網(wǎng)絡(luò)中的行為都有網(wǎng)絡(luò)流量的產(chǎn)生，通過(guò)對(duì)網(wǎng)絡(luò)用戶(hù)的IP流量進(jìn)行分析，能夠直觀地了解網(wǎng)絡(luò)用戶(hù)的網(wǎng)絡(luò)使用情況。IP流量分析可以為網(wǎng)絡(luò)和應(yīng)用問(wèn)題的分析提供依據(jù)，特別是數(shù)據(jù)包級(jí)的分析，因?yàn)檫@些依據(jù)是真實(shí)的，有效的，它們是實(shí)實(shí)在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問(wèn)題分析效率的原因。IP流量分析是有助于維護(hù)網(wǎng)絡(luò)持續(xù)、高效和安全運(yùn)行的一種手段，IP流量分析有助于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)運(yùn)行管理、應(yīng)用運(yùn)行管理和網(wǎng)絡(luò)應(yīng)用問(wèn)題分析。

IP包流量分析的主要方法是通過(guò)實(shí)時(shí)連續(xù)地采集網(wǎng)絡(luò)數(shù)據(jù)并對(duì)其進(jìn)行統(tǒng)計(jì)，計(jì)算得到主要成分性能指標(biāo)，結(jié)合網(wǎng)絡(luò)流量的原理，通過(guò)統(tǒng)計(jì)出的性能指數(shù)觀察網(wǎng)絡(luò)狀態(tài)，分析出網(wǎng)絡(luò)流量變化的趨勢(shì)，找出影響網(wǎng)絡(luò)性能的因素。

1.2 系統(tǒng)總體設(shè)計(jì)

通過(guò)研究與分析簡(jiǎn)單IP包流量分析程序的用戶(hù)需求可以發(fā)現(xiàn)，用戶(hù)需要系統(tǒng)實(shí)現(xiàn)對(duì)本機(jī)基本信息的獲取，如IP地址，主機(jī)名，MAC地址和子網(wǎng)掩碼等信息；需要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的監(jiān)控，即對(duì)流入和流出網(wǎng)卡的數(shù)據(jù)包進(jìn)行檢測(cè)并對(duì)數(shù)據(jù)包的長(zhǎng)度進(jìn)行累加，從而得到流量數(shù)據(jù)，最后將網(wǎng)絡(luò)輸入流量，網(wǎng)絡(luò)輸出流量，網(wǎng)絡(luò)總流量能在對(duì)話框?qū)?yīng)的網(wǎng)格處顯示；需要實(shí)現(xiàn)捕獲流經(jīng)本計(jì)算機(jī)網(wǎng)卡的所有數(shù)據(jù)包，對(duì)所獲取到的數(shù)據(jù)包進(jìn)行解析，從而得到相關(guān)信息，如源地址，源端口，目的地址，目的端口，數(shù)據(jù)包的協(xié)議類(lèi)型，數(shù)據(jù)包大小，數(shù)據(jù)等信息。根據(jù)分析IP包流量分析系統(tǒng)可以具有三個(gè)主要功能部分：基本信息顯示、網(wǎng)絡(luò)流量監(jiān)控、IP包解析。系統(tǒng)設(shè)計(jì)圖如圖1所示。

1.2.1 基本信息模塊

對(duì)于一臺(tái)計(jì)算機(jī)來(lái)說(shuō)，一般只有一個(gè)計(jì)算機(jī)名稱(chēng)，但是可以有多個(gè)IP地址。例如當(dāng)計(jì)算機(jī)通過(guò)撥號(hào)上網(wǎng)的時(shí)候，在驗(yàn)證完用戶(hù)名和口令以后，就會(huì)動(dòng)態(tài)分配一個(gè)IP地址，此時(shí)計(jì)算機(jī)就擁有了兩個(gè)IP地址，一個(gè)是自己設(shè)定的局域網(wǎng)用的IP地址，另外一個(gè)就是撥號(hào)上網(wǎng)動(dòng)態(tài)分配的IP地址了。

基本信息模塊實(shí)現(xiàn)的主要功能是獲取本機(jī)的主機(jī)名和本機(jī)IP地址，并以對(duì)話框的形式顯示出來(lái)。此模塊中所獲取的IP地址是自己設(shè)定的局域網(wǎng)用的IP地址，而不是撥號(hào)上網(wǎng)時(shí)動(dòng)態(tài)分配的隨機(jī)IP地址。它設(shè)計(jì)的主要目的是為了方便網(wǎng)絡(luò)管理人員快捷地了解本機(jī)的一些基本信息。

1.2.2 網(wǎng)絡(luò)流量監(jiān)控模塊

網(wǎng)絡(luò)管理人員一般會(huì)根據(jù)計(jì)算機(jī)在不同時(shí)段的網(wǎng)絡(luò)流量變化情況來(lái)對(duì)計(jì)算機(jī)進(jìn)行各項(xiàng)參數(shù)的優(yōu)化，以及了解是否存在異常流量。而對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)，實(shí)時(shí)了解本機(jī)網(wǎng)絡(luò)流量情況是很重要的，尤其是對(duì)那些撥號(hào)上網(wǎng)的用戶(hù)，對(duì)網(wǎng)絡(luò)流量的了解可以有效的幫助他們節(jié)約上網(wǎng)費(fèi)用。

網(wǎng)絡(luò)流量監(jiān)控程序的本質(zhì)是對(duì)流入和流出網(wǎng)卡（Modern）的數(shù)據(jù)包進(jìn)行測(cè)量，在單位時(shí)間內(nèi)的流入量實(shí)際上就是在單位時(shí)間里流入網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)，在單位時(shí)間內(nèi)的流出量實(shí)際上就是在單位時(shí)間內(nèi)流出網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)。而總流量就是流入量和流出量之和。

1.2.3 IP包解析模塊

因?yàn)橐东@經(jīng)過(guò)網(wǎng)卡的所有數(shù)據(jù)包，需要將網(wǎng)卡設(shè)置為混雜模式。在實(shí)際編程的過(guò)程中，通過(guò)使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式，并可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析。在網(wǎng)絡(luò)安全方面，網(wǎng)絡(luò)嗅探手段可以有效地探測(cè)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息，通過(guò)對(duì)這些信息的分析利用將有助于對(duì)網(wǎng)絡(luò)安全進(jìn)行維護(hù)。IP包解析模塊就是通過(guò)使用網(wǎng)絡(luò)嗅探器技術(shù)來(lái)實(shí)現(xiàn)完成的。

2 IP包解析模塊的實(shí)現(xiàn)

IP包解析模塊是系統(tǒng)實(shí)現(xiàn)的重要模塊，在實(shí)現(xiàn)中主要實(shí)現(xiàn)函數(shù)見(jiàn)表1。

3 結(jié)束語(yǔ)

IP包流量分析系統(tǒng)是一個(gè)相對(duì)復(fù)雜的系統(tǒng)，通過(guò)研究需求設(shè)計(jì)了系統(tǒng)的主體框架，通過(guò)編寫(xiě)套接字、訪問(wèn)注冊(cè)表等方法實(shí)現(xiàn)了系統(tǒng)部分主要功能，下一步準(zhǔn)備完成詳細(xì)指標(biāo)分析等功能。

參考文獻(xiàn)：

[1]楊延雙，王全民.TCP/IP協(xié)議分析及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2009.

第3篇

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)管理 流量分析 流量控制

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416(2012)02-0160-02

1、引言

隨著信息化建設(shè)的高速發(fā)展，校園網(wǎng)作為數(shù)字信息的基本載體在數(shù)字校園的建設(shè)中具有非常重要的作用。但是，由于各種網(wǎng)絡(luò)應(yīng)用的不斷涌現(xiàn)，消耗了大量網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁堵、性能降低，干擾了教學(xué)科研等關(guān)鍵業(yè)務(wù)的正常運(yùn)行。為了優(yōu)化網(wǎng)絡(luò)環(huán)境，保證數(shù)字校園的正常運(yùn)行，我們有必要對(duì)網(wǎng)絡(luò)流量進(jìn)行深入的分析與研究，對(duì)占用大量網(wǎng)絡(luò)帶寬的流量、環(huán)節(jié)采取針對(duì)性的手段進(jìn)行調(diào)整與控制，保障數(shù)字校園高效穩(wěn)定安全的運(yùn)行。

2、流量分析的常用方法

網(wǎng)絡(luò)流量分析指通過(guò)捕獲網(wǎng)絡(luò)流量數(shù)據(jù)對(duì)其進(jìn)行深入量測(cè)和分析，來(lái)掌握網(wǎng)絡(luò)的流量特性，例如某種協(xié)議、應(yīng)用服務(wù)的使用情況或者某些用戶(hù)的行為特征等，為精細(xì)化流量控制提供數(shù)據(jù)依據(jù)。目前采用的網(wǎng)絡(luò)流量分析方法按照分析的對(duì)象有：

2.1 基于地理位置的分析

基于地理位置的分析是通過(guò)獲取已知位置、用戶(hù)群的相關(guān)網(wǎng)絡(luò)設(shè)備的運(yùn)行情況來(lái)進(jìn)行分析。常見(jiàn)的是使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）來(lái)實(shí)現(xiàn)信息獲取，這種方法優(yōu)點(diǎn)在于需要的設(shè)備及人員較少，能夠獲得流量的相互關(guān)系。

2.2 基于數(shù)據(jù)包的分析

對(duì)數(shù)據(jù)包的分析一般可以分為：基于地址、端口的分析，基于特征碼的分析以及深度數(shù)據(jù)包檢測(cè)。

基于地址、端口的分析是通過(guò)識(shí)別IP、URL地址或者應(yīng)用服務(wù)的特定端口來(lái)檢測(cè)分類(lèi)的方法。但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，越來(lái)越多的應(yīng)用不再基于固定的地址、端口，使得這種方法的使用范圍不斷縮小。

基于特征碼的分析是通過(guò)檢測(cè)OSI模型中四層以下的內(nèi)容中是否含有某些應(yīng)用服務(wù)的特殊標(biāo)示或使用的特定協(xié)議來(lái)對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)的方法，是一種使用較多的分析方法。

深度數(shù)據(jù)包檢測(cè)（DPI）是一種對(duì)數(shù)據(jù)包深入到應(yīng)用層協(xié)議檢測(cè)分析的方法。它通過(guò)逐包分析、模式匹配，并且使用行為模式識(shí)別等技術(shù)，可以對(duì)流量中的具體應(yīng)用服務(wù)實(shí)現(xiàn)較為準(zhǔn)確的識(shí)別，例如鑒別P2P數(shù)據(jù)應(yīng)用，雖然它的分析速度較慢而且需要不斷的根據(jù)新的協(xié)議和新的應(yīng)用來(lái)升級(jí)后臺(tái)應(yīng)用數(shù)據(jù)庫(kù)，但仍不失為一種使用較為廣泛的方法。

2.3 基于流量行為的分析

目前較為常見(jiàn)的是深度流行為檢測(cè)（DFI），這是通過(guò)對(duì)數(shù)據(jù)流的數(shù)據(jù)包長(zhǎng)度、數(shù)據(jù)流持續(xù)時(shí)間、鏈接狀態(tài)、網(wǎng)絡(luò)層傳輸層信息等參數(shù)來(lái)對(duì)其進(jìn)行統(tǒng)計(jì)分析的檢測(cè)方法，速度快于深度數(shù)據(jù)包檢測(cè)方法，可以分析加密數(shù)據(jù)流，但僅能對(duì)數(shù)據(jù)進(jìn)行模糊分類(lèi)，例如將滿(mǎn)足P2P流量模型的應(yīng)用統(tǒng)一識(shí)別為P2P流量，因?yàn)橐话阈滦蛻?yīng)用都是由某些舊應(yīng)用發(fā)展而來(lái)，其流量特征變化較小，所以不需要頻繁升級(jí)流量模型數(shù)據(jù)庫(kù)就可以較為準(zhǔn)確的分辨類(lèi)別。

3、流量控制的常用方法

在對(duì)網(wǎng)絡(luò)流量進(jìn)行深入分析了解數(shù)據(jù)構(gòu)成后，就可以針對(duì)性的使用適當(dāng)?shù)姆椒▉?lái)控制網(wǎng)絡(luò)流量，常用方法有“限”、“封”、“分級(jí)”：

(1)限：指對(duì)帶寬、連接數(shù)等設(shè)置門(mén)限，是流量控制中最常用的方法，一般有基于用戶(hù)的帶寬限制、基于服務(wù)的帶寬限制、基于時(shí)間段的帶寬限制以及基于并發(fā)連接數(shù)的限制等。

(2)封：也就是通過(guò)封堵特定應(yīng)用、行為的IP地址、端口號(hào)的連接，來(lái)禁止使用的目的。但是隨著技術(shù)的發(fā)展，很多軟件可以自動(dòng)協(xié)商通訊端口甚至可以使用80端口，所以在單獨(dú)使用時(shí)效果并不理想。

(3)分級(jí)：也就是劃分應(yīng)用服務(wù)等級(jí)，讓關(guān)鍵應(yīng)用獲得最高級(jí)優(yōu)先權(quán)，讓重要應(yīng)用獲得較高優(yōu)先權(quán)，從而使網(wǎng)絡(luò)流量有序化。

4、校園網(wǎng)流量控制策略的實(shí)施

4.1 流控設(shè)備的部署

筆者所在學(xué)校是在外網(wǎng)防火墻和骨干網(wǎng)交換機(jī)之間部署銳捷ACE2000來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)至外網(wǎng)主干線路的流量控制。

ACE2000是銳捷專(zhuān)門(mén)針對(duì)國(guó)內(nèi)市場(chǎng)定制和優(yōu)化的流控設(shè)備，可以對(duì)網(wǎng)絡(luò)流量、用戶(hù)上網(wǎng)行為進(jìn)行深入分析，為用戶(hù)提供網(wǎng)絡(luò)應(yīng)用和流量趨勢(shì)報(bào)表，還運(yùn)用深度包檢測(cè)（DPI）和深度流檢測(cè)（DFI）技術(shù)，能夠全面識(shí)別和控制各種應(yīng)用，從而有效的檢測(cè)和防止某些應(yīng)用對(duì)帶寬資源的非正常消耗，保證關(guān)鍵應(yīng)用帶寬，保障整體網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量。

4.2 流量分析

通過(guò)ACE2000對(duì)校園網(wǎng)出口流量監(jiān)控分析發(fā)現(xiàn)在我校校園網(wǎng)內(nèi)主要是P2P數(shù)據(jù)流泛濫，導(dǎo)致關(guān)鍵網(wǎng)絡(luò)應(yīng)用延時(shí)較大、丟包較多。在工作時(shí)間以及晚上繁忙時(shí)段，P2P下載、P2P應(yīng)用占據(jù)了超過(guò)80%的網(wǎng)絡(luò)帶寬，流出流量超過(guò)流入流量，在線會(huì)話數(shù)遠(yuǎn)大于在線IP數(shù)，某些用戶(hù)數(shù)據(jù)流量異常。

4.3 管理策略

考慮到校園網(wǎng)需要滿(mǎn)足全校師生在日常辦公學(xué)習(xí)、實(shí)驗(yàn)教學(xué)、網(wǎng)絡(luò)視頻教學(xué)以及業(yè)余時(shí)間休閑娛樂(lè)等方面的需求，根據(jù)長(zhǎng)期流量分析數(shù)據(jù)，從以下四個(gè)方面制定控制策略：

(1)按IP段劃分：我校為辦公用戶(hù)、教學(xué)用戶(hù)、學(xué)生用戶(hù)、家屬用戶(hù)，分配了不同的IP段，根據(jù)各用戶(hù)群不同的功能定位來(lái)分配帶寬。

(2)按時(shí)間劃分：按節(jié)假日、工作日以及每天的高低峰時(shí)段分配帶寬。

(3)按應(yīng)用設(shè)置優(yōu)先級(jí)別：設(shè)定應(yīng)用服務(wù)等級(jí)，優(yōu)先保障關(guān)鍵應(yīng)用、關(guān)鍵區(qū)域的網(wǎng)絡(luò)資源。

(4)智能分配帶寬：在各個(gè)參數(shù)允許范圍內(nèi)，靈活分配最大帶寬，提高網(wǎng)絡(luò)帶寬利用率。

4.4 應(yīng)用策略后的效果

在出口部署的銳捷ACE2000上應(yīng)用策略后，出入口的流量下降近一半（如圖1），P2P下載、應(yīng)用等也減少近半（如圖2），在線會(huì)話數(shù)減為原來(lái)的0.65%，基于校園網(wǎng)的辦公、教學(xué)、遠(yuǎn)程等應(yīng)用可以流暢使用。(如圖1圖2)

5、結(jié)語(yǔ)

通過(guò)對(duì)網(wǎng)絡(luò)流量的分析，結(jié)合各個(gè)方面的需求，制定了具有針對(duì)性的網(wǎng)絡(luò)策略，初步獲得了顯著的效果。但是還有不足之處，主要是各類(lèi)型用戶(hù)帶寬限制值、并發(fā)連接數(shù)的合適點(diǎn)不容易找，智能帶寬分配的各個(gè)參數(shù)的合適值不容易找。因此需要我們對(duì)網(wǎng)絡(luò)流量進(jìn)行長(zhǎng)期研究、深入分析，不斷調(diào)整網(wǎng)絡(luò)管理策略，合理利用網(wǎng)絡(luò)帶寬，滿(mǎn)足各種用戶(hù)、應(yīng)用的需求，確保網(wǎng)絡(luò)的通暢，營(yíng)造一個(gè)良好的數(shù)字校園。

參考文獻(xiàn)

[1]林維鏘.中小型校園網(wǎng)流量的控制方法,武漢工程大學(xué)學(xué)報(bào),2011(4):97-99.

[2]楊祥.流量控制系統(tǒng)原理分析,電子商務(wù),2010(12):50-51.

第4篇

1網(wǎng)絡(luò)流量監(jiān)測(cè)的必要性及意義

網(wǎng)絡(luò)管理中非常重要且非常基礎(chǔ)的一個(gè)環(huán)節(jié)就是網(wǎng)絡(luò)流量監(jiān)測(cè)，網(wǎng)絡(luò)流量監(jiān)測(cè)即是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)采集，以此來(lái)監(jiān)測(cè)網(wǎng)絡(luò)的流量。網(wǎng)絡(luò)及其重要成分的性能指標(biāo)也是對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的統(tǒng)計(jì)和計(jì)算得到的。網(wǎng)絡(luò)管理員根據(jù)當(dāng)前的和歷史的存儲(chǔ)網(wǎng)絡(luò)及其重要成分的性能的數(shù)據(jù)數(shù)據(jù)，就可對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理，通過(guò)數(shù)據(jù)分析獲得性能的變化趨勢(shì)。分析制約網(wǎng)絡(luò)性能的瓶頸問(wèn)題。在網(wǎng)絡(luò)流量監(jiān)測(cè)的基礎(chǔ)上，管理員可對(duì)感興趣的網(wǎng)絡(luò)管理對(duì)象設(shè)置閾值范圍以配置網(wǎng)絡(luò)閾值對(duì)象，閾值對(duì)象監(jiān)控實(shí)時(shí)輪詢(xún)網(wǎng)絡(luò)獲取定義對(duì)象的當(dāng)前值。若超出閥值的上限和下限則報(bào)警，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，這樣即可實(shí)現(xiàn)一定程度上的故障管理，而網(wǎng)絡(luò)流量監(jiān)測(cè)本身也涉及到安全管理方面的內(nèi)容。所以，研究網(wǎng)絡(luò)流量監(jiān)測(cè)是非常有意義的。

2網(wǎng)絡(luò)流量的特性

2.1數(shù)據(jù)流是雙向的，但通常是非對(duì)稱(chēng)的。互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶(hù)端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2.2大部分TCP會(huì)話是短期的。超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié)，會(huì)話持續(xù)時(shí)間不超過(guò)幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。1.3包的到達(dá)過(guò)程不是泊松過(guò)程大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。然而近年來(lái)對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過(guò)程不是泊松過(guò)程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過(guò)程不足以精確地描述包的到達(dá)過(guò)程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過(guò)程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

2.3網(wǎng)絡(luò)通信量具有局域性。互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶(hù)在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)（時(shí)間局域性）和基于空間的相關(guān)（空間局域性）。

3網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)與方法

3.1網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)種類(lèi)

（1）基于流量鏡像協(xié)議分析。流量鏡像（在線TAP）協(xié)議分析方式是把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過(guò)7層協(xié)議解碼對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)。與其他3種方式相比，協(xié)議分析是網(wǎng)絡(luò)測(cè)試的最基本手段，特別適合網(wǎng)絡(luò)故障分析。缺點(diǎn)是流量鏡像（在線TAP）協(xié)議分析方式只針對(duì)單條鏈路，不適合全網(wǎng)監(jiān)測(cè)。

（2）基于硬件探針的監(jiān)測(cè)技術(shù)。硬件探針是一種用來(lái)獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過(guò)分流鏈路上的數(shù)字信號(hào)而獲取流量信息。一個(gè)硬件探針監(jiān)視一個(gè)子網(wǎng)（通常是一條鏈路）的流量信息。對(duì)于全網(wǎng)流量的監(jiān)測(cè)需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過(guò)后臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長(zhǎng)期報(bào)告。與其他的3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但是硬件探針的監(jiān)測(cè)方式受限于探針的接口速率，一般只針對(duì)1000M以下的速率。而且探針?lè)绞街攸c(diǎn)是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。

（3）基于SNMP的流量監(jiān)測(cè)技術(shù)。基于SNMP的流量信息采集，實(shí)質(zhì)上是測(cè)試儀表通過(guò)提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫(kù)）中收集一些具體設(shè)備及流量信息有關(guān)的變量。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監(jiān)測(cè)技術(shù)受到設(shè)備廠家的廣泛支持，使用方便，缺點(diǎn)是信息不夠豐富和準(zhǔn)確，分析集中在網(wǎng)絡(luò)的2、3層的信息和設(shè)備的消息。SNMP方式經(jīng)常集成在其他的3種方案中，如果單純采用SNMP做長(zhǎng)期的、大型的網(wǎng)絡(luò)流量監(jiān)控，在測(cè)試儀表的基礎(chǔ)上，需要使用后臺(tái)數(shù)據(jù)庫(kù)。

（4）基于Netflow的流量監(jiān)測(cè)技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專(zhuān)屬協(xié)議，已經(jīng)標(biāo)準(zhǔn)化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機(jī)自身對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，并且把結(jié)果發(fā)送到第3方流量報(bào)告生成器和長(zhǎng)期數(shù)據(jù)庫(kù)。一旦收集到路由器、交換機(jī)上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、病毒流量分析，網(wǎng)絡(luò)監(jiān)測(cè)等應(yīng)用提供計(jì)數(shù)根據(jù)。Netflow方式是網(wǎng)絡(luò)流量統(tǒng)計(jì)方式的發(fā)展趨勢(shì)。在綜合比較四種技術(shù)之后，不難得出以下結(jié)論：基于SNMP的流量監(jiān)測(cè)技術(shù)能夠滿(mǎn)足網(wǎng)絡(luò)流量分析的需要，且信息采集效率高，適合在各類(lèi)網(wǎng)絡(luò)中應(yīng)用。

3.2網(wǎng)絡(luò)流量的監(jiān)測(cè)方法

流量監(jiān)測(cè)包括測(cè)量工具/系統(tǒng)的部署、流量數(shù)據(jù)的采集（包括數(shù)據(jù)包捕獲、歸并和采樣處理等）、數(shù)據(jù)包的解析和處理、測(cè)量實(shí)體量化數(shù)值的獲得與統(tǒng)計(jì)分析、流量特征化描述、流量存儲(chǔ)和查詢(xún)表示、流量建模等多個(gè)環(huán)節(jié)，具有相對(duì)復(fù)雜的處理和分析過(guò)程。目前存在有眾多種流量測(cè)量的實(shí)現(xiàn)方法，他們可適用不同的測(cè)量環(huán)境、滿(mǎn)足不同的測(cè)量要求，并且有著不同的實(shí)現(xiàn)方式。基于硬件的測(cè)量通常需要設(shè)計(jì)和應(yīng)用特定的硬件設(shè)備來(lái)對(duì)流量數(shù)據(jù)進(jìn)行采集和分析。被測(cè)量的流量并非由普通的商用計(jì)算機(jī)直接獲得，而是需要從服務(wù)器、交換機(jī)、路由器等特定的網(wǎng)絡(luò)設(shè)備上經(jīng)過(guò)一定處理后導(dǎo)出，然后再由普通的商用計(jì)算機(jī)完成后續(xù)的流量處理和統(tǒng)計(jì)分析等工作。不同形式的數(shù)據(jù)，對(duì)應(yīng)要求在普通的商用計(jì)算機(jī)上通過(guò)不同的程序或軟件實(shí)現(xiàn)相應(yīng)的流量處理和統(tǒng)計(jì)分析功能。

第5篇

關(guān)鍵詞： 流量分析；重要端口號(hào)；算法思想

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2012）1210095－01

1 兩種不同網(wǎng)絡(luò)類(lèi)型的數(shù)據(jù)流量

在C/S（客戶(hù)機(jī)/服務(wù)器）結(jié)構(gòu)中，客戶(hù)機(jī)發(fā)送一些請(qǐng)求，服務(wù)器為每個(gè)請(qǐng)求做出回復(fù)。在客戶(hù)機(jī)間不直接傳遞信息，客戶(hù)機(jī)必須通過(guò)服務(wù)器把信息發(fā)送給其它客戶(hù)機(jī)。這種數(shù)據(jù)是定向流動(dòng)的，幾乎都是從服務(wù)器到客戶(hù)機(jī)。然而在P2P網(wǎng)絡(luò)結(jié)構(gòu)中每臺(tái)主機(jī)同時(shí)擔(dān)任服務(wù)器和客戶(hù)機(jī)角色，對(duì)等主機(jī)之間可以直接進(jìn)行數(shù)據(jù)交換。

2 P2P網(wǎng)絡(luò)應(yīng)用的類(lèi)型

在P2P網(wǎng)絡(luò)應(yīng)用程序中，可以分為兩類(lèi)：一是即時(shí)通信應(yīng)用，如MSN和雅虎信使。實(shí)時(shí)通信程序的主要功能是信息傳遞，實(shí)現(xiàn)1對(duì)1或者1對(duì)多式用戶(hù)交流和文件轉(zhuǎn)存。二是文件共享應(yīng)用，如Napster。文件共享程序的主要功能是查詢(xún)和文件轉(zhuǎn)存。然而P2P應(yīng)用程序的聯(lián)系分兩種：一種是中心仲裁式，另一種是純分布式。大多數(shù)實(shí)時(shí)通信應(yīng)用程序系統(tǒng)使用中心仲裁，在這種聯(lián)系方式中，一個(gè)或多個(gè)核心服務(wù)器存在，這些服務(wù)器包含所有主機(jī)的信息并且把信息發(fā)送給請(qǐng)求的主機(jī)。在純分布式中沒(méi)有中心服務(wù)器，在搜索效率和文件傳輸上都不是很好。實(shí)際在P2P網(wǎng)絡(luò)應(yīng)用程序使用中存在這兩個(gè)不同類(lèi)型的混合通信。

3 P2P網(wǎng)絡(luò)數(shù)據(jù)流量分析算法的主要思想

傳統(tǒng)的數(shù)據(jù)流量分析主要是以端口號(hào)為基礎(chǔ)的分析和對(duì)有效載荷的檢測(cè)分析，而在P2P網(wǎng)絡(luò)中，這種方法不太適用。比如網(wǎng)絡(luò)流量中，HTTP通常使用的端口號(hào)是80或8080，HTTPS使用端口號(hào)443，在P2P網(wǎng)絡(luò)數(shù)據(jù)流量中，端口號(hào)檢測(cè)不是那么簡(jiǎn)單，因?yàn)樗鼈兪褂玫亩丝谔?hào)超過(guò)1024，通常是動(dòng)態(tài)生成的端口號(hào)。

因此設(shè)想，如果所有的P2P數(shù)據(jù)流量可以在整個(gè)流量中分離出來(lái)，然后根據(jù)其應(yīng)用程序的名稱(chēng)分組，那么就可以對(duì)P2P網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行高精度地分析。基于此，我們提出了一種新的數(shù)據(jù)流量分析算法。

該算法不檢查每個(gè)數(shù)據(jù)包的有效載荷，只使用每個(gè)數(shù)據(jù)包的頭信息。主要包括四個(gè)過(guò)程，分別是應(yīng)用端口表、重要端口號(hào)選擇、流量關(guān)系圖和數(shù)據(jù)流量分組。算法思想首先是構(gòu)建應(yīng)用端口表。它是通過(guò)離線窮舉搜索方法和數(shù)據(jù)包分析工具對(duì)每個(gè)對(duì)等網(wǎng)應(yīng)用程序進(jìn)行檢測(cè)與分析，包含應(yīng)用程序的名稱(chēng)、其經(jīng)常使用的端口號(hào)和協(xié)議。其次是重要端口號(hào)的選擇。從捕獲的數(shù)據(jù)包中分析信息：源地址、目的地址、源端口、目的端口號(hào)、協(xié)議號(hào)。因?yàn)樵炊丝诤湍康亩丝谔?hào)通常超過(guò)1024，從隨機(jī)生成的端口號(hào)中區(qū)分對(duì)于P2P應(yīng)用程序重要的端口號(hào)。

第三步是生成流量關(guān)系圖。大多數(shù)P2P應(yīng)用程序具有多個(gè)支持的功能，在相同P2P流量中有可能發(fā)現(xiàn)它們之間的關(guān)系。對(duì)前三個(gè)過(guò)程的結(jié)果進(jìn)行分析，按照對(duì)等網(wǎng)應(yīng)用程序的名稱(chēng)與關(guān)系確定流量分組。分組信息用于P2P應(yīng)用程序決策，從而提高分析的精確度。

4 P2P數(shù)據(jù)流量分析系統(tǒng)的設(shè)計(jì)

根據(jù)以上算法，我們?cè)O(shè)想了P2P網(wǎng)絡(luò)流量分析系統(tǒng)，用于實(shí)時(shí)流量的監(jiān)控和分析。該系統(tǒng)主要包括三個(gè)模塊，分別是應(yīng)用端口表模塊、重要端口選擇模塊和流量關(guān)系圖模塊。其中，重要端口選擇模塊由一個(gè)數(shù)據(jù)包捕獲器、一個(gè)數(shù)據(jù)流發(fā)生器和一個(gè)同步分組表組成。數(shù)據(jù)包捕獲器從一個(gè)網(wǎng)絡(luò)鏈接接收原始數(shù)據(jù)包，并生成數(shù)據(jù)包的頭信息，分組頭信息被發(fā)送到數(shù)據(jù)流發(fā)生器里。如果一個(gè)數(shù)據(jù)包是同步數(shù)據(jù)包或準(zhǔn)同步數(shù)據(jù)包則被存儲(chǔ)在同步分組表中。數(shù)據(jù)流發(fā)生器查找同步分組表，并從每個(gè)數(shù)據(jù)流中選擇一個(gè)重要端口號(hào)。重要端口選擇模塊依靠網(wǎng)絡(luò)連接環(huán)境在一個(gè)單一的系統(tǒng)或多重系統(tǒng)中實(shí)現(xiàn)選擇。假如數(shù)據(jù)包在一個(gè)單一系統(tǒng)中被捕獲，重要端口選擇器可以在一個(gè)單一的系統(tǒng)中實(shí)現(xiàn)；如果有多個(gè)捕獲器被使用，那么重要端口選擇器模塊應(yīng)分為高、低級(jí)兩層次。最后，流量關(guān)系圖模塊對(duì)數(shù)據(jù)進(jìn)行分析，并生成流量關(guān)系圖。

5 總結(jié)

本文說(shuō)明了P2P網(wǎng)絡(luò)流量的特點(diǎn)和現(xiàn)有的分析機(jī)制不適于當(dāng)前網(wǎng)絡(luò)流量分析的原因，并提出了算法思想，其與過(guò)去相比復(fù)雜而精確。利用該算法設(shè)計(jì)了一個(gè)分析系統(tǒng)，使用該系統(tǒng)可以分析大量的未知的無(wú)法用傳統(tǒng)分析方法進(jìn)行監(jiān)控的數(shù)據(jù)流量。另外，該算法還可以進(jìn)一步改進(jìn)，特別是數(shù)據(jù)流量關(guān)系中的算法。該算法還可以應(yīng)用于其他網(wǎng)絡(luò)類(lèi)型中數(shù)據(jù)流量的監(jiān)控與分析，比如網(wǎng)絡(luò)游戲和網(wǎng)絡(luò)流媒體等數(shù)據(jù)處理業(yè)務(wù)中。

參考文獻(xiàn)：

[1]劉芳，網(wǎng)絡(luò)流量監(jiān)測(cè)與控制，北京郵電大學(xué)出版社，2009年9月.

[2]高彥剛，實(shí)用網(wǎng)絡(luò)流量分析技術(shù)，電子工業(yè)出版社，2009年7月.

第6篇

【關(guān)鍵詞】 流量分析 netflow/sflow 網(wǎng)絡(luò) 視頻監(jiān)控

一、現(xiàn)狀和問(wèn)題

油田公司提出“百兆到作業(yè)區(qū)，十兆到井站”的網(wǎng)絡(luò)架構(gòu)，但現(xiàn)在很多井站都實(shí)現(xiàn)了百兆接入，同時(shí)計(jì)算機(jī)主干網(wǎng)頁(yè)實(shí)現(xiàn)了廣域網(wǎng)雙2.5G，核心萬(wàn)兆互聯(lián)，帶寬的快速增加加快了業(yè)務(wù)數(shù)據(jù)傳送的速度，從公司管理角度出發(fā)很多很多應(yīng)用從井站直接到公司管理部門(mén)的核心網(wǎng)絡(luò)，業(yè)務(wù)的可靠傳輸是對(duì)網(wǎng)絡(luò)運(yùn)維部門(mén)提出的新的要求。公司主干網(wǎng)流量組成，對(duì)于各個(gè)方向的網(wǎng)絡(luò)流量大小，公司應(yīng)用系統(tǒng)如視頻會(huì)議、生產(chǎn)指揮、應(yīng)急預(yù)警、財(cái)務(wù)系統(tǒng)、OA辦公系統(tǒng)、A1A2系統(tǒng)，集團(tuán)公司的應(yīng)用系統(tǒng)的流量情況，需要對(duì)業(yè)務(wù)進(jìn)行深入分析，獲取相關(guān)流量。二級(jí)單位從井站到單位核心，數(shù)字化應(yīng)用系統(tǒng)占有大量的網(wǎng)絡(luò)鏈路流量，但管理者不能掌握，具體各類(lèi)應(yīng)用系統(tǒng)流量的大小、流向以及各類(lèi)網(wǎng)絡(luò)接口流量組成，需要采集網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)流量，進(jìn)而對(duì)應(yīng)用系統(tǒng)進(jìn)行詳細(xì)的分析，將流量與應(yīng)用系統(tǒng)進(jìn)行有效結(jié)合，達(dá)到應(yīng)用系統(tǒng)流量的深度分析。

二、流量分析技術(shù)應(yīng)用

2.1流量分析技術(shù)

2.1.1基于SNMP

該方法僅能對(duì)網(wǎng)絡(luò)設(shè)備端口的整體流量進(jìn)行分析，可以獲得設(shè)備端口的實(shí)時(shí)或者歷史的流入/流出帶寬、丟包、誤包等性能指標(biāo)，但無(wú)法分析具體的用戶(hù)流量和協(xié)議組成。因其具有實(shí)現(xiàn)簡(jiǎn)單、標(biāo)準(zhǔn)統(tǒng)一、接口開(kāi)放的特點(diǎn)，被業(yè)界廣泛采用。

2.1.2基于網(wǎng)絡(luò)探針

該方法的數(shù)據(jù)抓包、分析和統(tǒng)計(jì)等功能一般都在網(wǎng)絡(luò)“探針”上以硬件方式實(shí)現(xiàn)，分析的結(jié)果存儲(chǔ)在探針的內(nèi)存或磁盤(pán)之中，具體的前端展現(xiàn)依賴(lài)與之對(duì)應(yīng)的專(zhuān)門(mén)軟件。因此具有效率高、可靠性高、高速運(yùn)行不丟包的特點(diǎn)。

2.1.3基于網(wǎng)絡(luò)流

相對(duì)于會(huì)話（Session）而言，流（Flow）具備更細(xì)致的標(biāo)識(shí)特征，在傳統(tǒng)的 TCP/IP 五元組的基礎(chǔ)上增加了一些新的域值，至少包括以下幾個(gè)字段：源IP地址、目的IP地址、源端口、目的端口、IP層協(xié)議類(lèi)型、ToS服務(wù)類(lèi)型、輸入物理端口。以上七個(gè)字段可以唯一地確定任意一個(gè)數(shù)據(jù)包屬于哪個(gè)特定的流，換言之任何一個(gè)字段出現(xiàn)了差異都意味著一個(gè)新的流產(chǎn)生。sFlow是基于端口的流量分析：按照一定的采樣比從特定端口上采集報(bào)文，由Agent設(shè)備對(duì)報(bào)文進(jìn)行分析（包括報(bào)文內(nèi)容、報(bào)文轉(zhuǎn)發(fā)規(guī)則信息等等），并將分析結(jié)果以及原始報(bào)文通告給Collector進(jìn)行統(tǒng)一分析（Flow采樣）；并且支持周期性統(tǒng)計(jì)端口的流量計(jì)數(shù)以及設(shè)備CPU、內(nèi)存等信息（Counter采樣）。sFlow關(guān)注的是接口的流量情況、轉(zhuǎn)況以及設(shè)備整體運(yùn)行狀況，因此適合于網(wǎng)絡(luò)異常監(jiān)控以及網(wǎng)絡(luò)異常定位，通過(guò)Collector可以以報(bào)表的方式將情況反應(yīng)出來(lái)，極大的方便了網(wǎng)絡(luò)管理人員日常巡檢維護(hù)，保證企業(yè)網(wǎng)絡(luò)的正常穩(wěn)定運(yùn)行。

2.2部署方式

利用公司網(wǎng)絡(luò)監(jiān)控平臺(tái)系統(tǒng)，結(jié)合交換機(jī)及路由器的FLOW流量采集功能，對(duì)油田主干網(wǎng)及試點(diǎn)二級(jí)單位的網(wǎng)絡(luò)流量進(jìn)行采集，其中計(jì)算機(jī)主干網(wǎng)，主要采集核心交換機(jī)8905和核心路由器t1200設(shè)備的流量情況，試點(diǎn)二級(jí)單位通過(guò)核心交換機(jī)軟件升級(jí)，及試點(diǎn)作業(yè)區(qū)井站的設(shè)備替換，采集內(nèi)網(wǎng)的流量情況。

2.3流量分析

2.3.1主干網(wǎng)流量分析

通過(guò)對(duì)流量采集和分析技術(shù)進(jìn)行研究搭建流量分析系統(tǒng)，實(shí)現(xiàn)對(duì)主要生產(chǎn)辦公業(yè)務(wù)流量分析，重要應(yīng)用性能追蹤。并開(kāi)展油田計(jì)算機(jī)終端應(yīng)用的自動(dòng)化監(jiān)控。具體研究?jī)?nèi)容主要包括一下幾點(diǎn)：

通過(guò)s-flow、netflow等技術(shù)搭建流量分析系統(tǒng)，對(duì)區(qū)域中心出口、生產(chǎn)指揮中心、應(yīng)急預(yù)警中心、公司視頻會(huì)議系統(tǒng)及蘇里格大廈數(shù)信部等重要業(yè)務(wù)和部門(mén)實(shí)現(xiàn)業(yè)務(wù)流量集中統(tǒng)計(jì)分析；

通過(guò)定制業(yè)務(wù)模型對(duì)主要生產(chǎn)辦公流量進(jìn)行全面分析，包括：視頻會(huì)議，辦公OA系統(tǒng)，生產(chǎn)網(wǎng)中的三端二系統(tǒng)等網(wǎng)絡(luò)業(yè)務(wù)；

平均流入速率：450～465Mbps，平均流出速率：30～40Mbps，應(yīng)用構(gòu)成為：上網(wǎng)占77%，未知應(yīng)用占13%，HTTP應(yīng)用占2%。

2.3.2生產(chǎn)指揮流量分析

公司生產(chǎn)指揮系統(tǒng)流量很小，基本沒(méi)有流入流量，只有流出流量，平均流出速率為1.08Mbps，平均流出速率波動(dòng)較大，HTTP應(yīng)用為主包含codasrv和raventbs等生產(chǎn)系統(tǒng)流量。

三、總結(jié)

系統(tǒng)采用Netflow及Sflow方式提取流量，系統(tǒng)旁路部署，對(duì)網(wǎng)絡(luò)無(wú)影響，被采集系統(tǒng)只需要支持標(biāo)準(zhǔn)FLOW協(xié)議即可，流量采集設(shè)備只需與流量分析系統(tǒng)路由可達(dá)，即可實(shí)現(xiàn)所需網(wǎng)絡(luò)流量數(shù)據(jù)的采集，采集顆粒度可自由選擇，系統(tǒng)支持多臺(tái)設(shè)備流量數(shù)據(jù)的同時(shí)采集，可以實(shí)現(xiàn)流量數(shù)據(jù)的靈活組合

第7篇

關(guān)鍵詞：流量監(jiān)測(cè)；winpcap；網(wǎng)絡(luò)數(shù)據(jù)流量分析

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量特征的研究近年來(lái)引起了人們廣泛關(guān)注。網(wǎng)絡(luò)數(shù)據(jù)流量分析系統(tǒng)的定位重點(diǎn)在對(duì)網(wǎng)絡(luò)流量的流量、流向、協(xié)議的細(xì)節(jié)監(jiān)視和分析，網(wǎng)絡(luò)安全監(jiān)視。在容量規(guī)劃、入侵檢測(cè)和路由優(yōu)化時(shí)，網(wǎng)絡(luò)管理員需要知道網(wǎng)絡(luò)的數(shù)據(jù)流量情況和盡量多的測(cè)量信息。

2 關(guān)鍵技術(shù)

⑴數(shù)據(jù)流。數(shù)據(jù)流是指輸入數(shù)據(jù)a1，a2，..按順序到達(dá)。這些數(shù)據(jù)描述了一個(gè)信號(hào)A。A是一個(gè)一維函數(shù)A：[1...N]R2。模型取決于ai如何描述A。本文把數(shù)據(jù)流技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)相結(jié)合， 取得了較好的應(yīng)用效果。

⑵流量監(jiān)測(cè)原理。網(wǎng)絡(luò)流量監(jiān)測(cè)有主動(dòng)監(jiān)測(cè)和被動(dòng)監(jiān)測(cè)兩種不同的實(shí)現(xiàn)方法。主動(dòng)測(cè)量方法是向被測(cè)網(wǎng)絡(luò)中注入附加的“探測(cè)流量”并進(jìn)行返回?cái)?shù)據(jù)的采集來(lái)實(shí)現(xiàn)監(jiān)測(cè)的方法，該如果處理不當(dāng)，也會(huì)給網(wǎng)絡(luò)增加額外的負(fù)荷，影響測(cè)量結(jié)果的客觀性，甚至使測(cè)量結(jié)果不準(zhǔn)確，產(chǎn)生Heisenburg效應(yīng)。而被動(dòng)測(cè)量方法是在網(wǎng)絡(luò)的某點(diǎn)采集、記錄并且分析網(wǎng)絡(luò)的流量信息來(lái)實(shí)現(xiàn)測(cè)量的方法。被動(dòng)測(cè)量可以完全消除附加的“探測(cè)流量”和Heisenbutg 效應(yīng)，這是被動(dòng)測(cè)量的優(yōu)點(diǎn)，但存在可能會(huì)涉及隱私和安全問(wèn)題的不足。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，鑒于被動(dòng)監(jiān)測(cè)的優(yōu)點(diǎn)，本系統(tǒng)采用基于數(shù)據(jù)包捕獲的被動(dòng)監(jiān)測(cè)技術(shù)。

⑶winpcap。在網(wǎng)絡(luò)管理與安全防護(hù)中，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，是非常重要的一個(gè)任務(wù)，從防火墻到攻擊檢測(cè)系統(tǒng)，都會(huì)用到類(lèi)似功能。開(kāi)發(fā)此類(lèi)軟件過(guò)程相當(dāng)復(fù)雜。而winpcap （indows packet capture）是windows平臺(tái)下一個(gè)免費(fèi)公共的網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。它提供了以下的各項(xiàng)功能：

1>捕獲原始數(shù)據(jù)報(bào)；2>按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉；3>在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；4>收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。

3 系統(tǒng)架構(gòu)

無(wú)論是基于網(wǎng)絡(luò)安全，還是基于網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的改進(jìn)，網(wǎng)絡(luò)數(shù)據(jù)流量分析無(wú)疑是必要的，人們對(duì)網(wǎng)絡(luò)依賴(lài)很強(qiáng)。網(wǎng)絡(luò)數(shù)據(jù)流量系統(tǒng)的架構(gòu)包括三層：數(shù)據(jù)層（瀏覽統(tǒng)計(jì)、數(shù)據(jù)庫(kù)管理）、訪問(wèn)應(yīng)用層、展現(xiàn)層（在線統(tǒng)計(jì)器、流量統(tǒng)計(jì)器、網(wǎng)絡(luò)速度監(jiān)視器）。

4 系統(tǒng)設(shè)計(jì)

⑴網(wǎng)絡(luò)監(jiān)視器。網(wǎng)絡(luò)監(jiān)視器是監(jiān)視網(wǎng)絡(luò)通信的，其主要工作有三項(xiàng)：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網(wǎng)絡(luò)包捕獲系統(tǒng)的實(shí)現(xiàn)中，采用的是WINPCAP包捕獲應(yīng)用系統(tǒng)框架。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來(lái)，供協(xié)議分析模塊使用。由于效率的需要，有時(shí)要根據(jù)設(shè)置過(guò)濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包等。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。

為提高效率，數(shù)據(jù)包過(guò)濾應(yīng)該在系統(tǒng)內(nèi)核里來(lái)實(shí)現(xiàn)。獲得數(shù)據(jù)包之后，如果在捕獲過(guò)程結(jié)束后創(chuàng)建了兩個(gè)線程實(shí)現(xiàn)對(duì)捕獲數(shù)據(jù)的實(shí)時(shí)性處理。

2）包分析。包分析指將捕捉來(lái)的數(shù)據(jù)報(bào)進(jìn)行分析。由于要進(jìn)行流量統(tǒng)計(jì)需要很多必要的信息，作為統(tǒng)計(jì)依據(jù)，如IP地址、協(xié)議類(lèi)型等。其中，數(shù)據(jù)長(zhǎng)度可由函數(shù)調(diào)用返回的內(nèi)容得到而且此時(shí)得到的是實(shí)際在網(wǎng)上的包長(zhǎng)度。

3）記錄。通過(guò)包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數(shù)據(jù)長(zhǎng)度、協(xié)議類(lèi)型、以及為了統(tǒng)計(jì)方便需要的時(shí)間信息。

⑵流量統(tǒng)計(jì)器。流量統(tǒng)計(jì)器，是對(duì)流量監(jiān)視器的記錄結(jié)果進(jìn)行統(tǒng)計(jì)，將網(wǎng)絡(luò)監(jiān)視器的記錄文件內(nèi)容讀出，并根據(jù)網(wǎng)址分割標(biāo)準(zhǔn)及源和目的地分別統(tǒng)計(jì)出流向網(wǎng)外的國(guó)內(nèi)和國(guó)外流量，并將結(jié)果按照日期分別存儲(chǔ)在數(shù)據(jù)中。

5 系統(tǒng)實(shí)現(xiàn)

⑴捕捉包的實(shí)現(xiàn)。包捕捉作為一個(gè)獨(dú)立的應(yīng)用程序運(yùn)行，它從網(wǎng)上截獲包，并以文件形式將有用信息記錄下來(lái)，為流量統(tǒng)計(jì)準(zhǔn)備統(tǒng)計(jì)的原始依據(jù)。

⑵在線統(tǒng)計(jì)的實(shí)現(xiàn)。ping利用了原始套接口技術(shù)發(fā)送ICMP回射請(qǐng)求，并接收工CMP回射應(yīng)答。Socket是CP/IP編程的底層API（網(wǎng)絡(luò)編程接口）。在實(shí)現(xiàn)ping后可以將其作為一個(gè)函數(shù)調(diào)用，就很容易實(shí)現(xiàn)在線統(tǒng)計(jì)。

⑶圖形界面的實(shí)現(xiàn)。采用Visual C++.NET實(shí)現(xiàn)流量圖形化界面，主要是使用GDI函數(shù)畫(huà)圖，首先要得到一個(gè)設(shè)備描述句柄或一個(gè)可用的CDC設(shè)備描述表對(duì)象，WIN32API提供了BeginPaint（）和GetDC兩個(gè)函數(shù)，用于獲得指定窗口的設(shè)備描述句柄。MFC的窗口類(lèi)CWnd類(lèi)也提供了兩個(gè)當(dāng)前窗口的CDC對(duì)象的函數(shù)BeginPin（）和GETDC（）；也可以在窗口處理函數(shù)中直接用CDC的派生類(lèi)，最終實(shí)現(xiàn)流量圖形化。

第8篇

【關(guān)鍵詞】 電力通信 負(fù)載均衡 拓?fù)鋬?yōu)化 流量分析

一、電力通信業(yè)務(wù)流量特征

電力通信網(wǎng)絡(luò)在我國(guó)電網(wǎng)系統(tǒng)中占據(jù)重要位置，其在電力生產(chǎn)、運(yùn)行和管理等各方面的業(yè)務(wù)中發(fā)揮重要支撐作用，大量的電力信息需要電力通信網(wǎng)絡(luò)來(lái)完成收集、傳輸與存儲(chǔ)。隨著我國(guó)電力系統(tǒng)建設(shè)的不斷深入，以及電力業(yè)務(wù)的不斷擴(kuò)大，網(wǎng)絡(luò)流量呈幾何級(jí)數(shù)增長(zhǎng)，業(yè)務(wù)類(lèi)型也日趨復(fù)雜，這給電力通信網(wǎng)絡(luò)的安全、可靠、實(shí)時(shí)運(yùn)行提出了更大的挑戰(zhàn)。在這種背景下，建立有效的流量分析和預(yù)測(cè)方法，可以為網(wǎng)絡(luò)規(guī)劃、協(xié)議設(shè)計(jì)、路由精確控制提供決策依據(jù)，對(duì)電力通信網(wǎng)絡(luò)性能的分析和優(yōu)化具有積極的意義。

通常來(lái)說(shuō)，智能電網(wǎng)中的電力通信網(wǎng)絡(luò)可劃分為三類(lèi)子網(wǎng)，即電力通信綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)、電力通信調(diào)度數(shù)據(jù)網(wǎng)、變電站站內(nèi)通信網(wǎng)。對(duì)各類(lèi)子網(wǎng)的承載業(yè)務(wù)進(jìn)行分析可知，當(dāng)前我國(guó)電力通信網(wǎng)絡(luò)業(yè)務(wù)可歸納為三種類(lèi)型，即視頻類(lèi)業(yè)務(wù)、數(shù)據(jù)類(lèi)業(yè)務(wù)、語(yǔ)音類(lèi)業(yè)務(wù)。電力通信網(wǎng)絡(luò)的流量具有重要的特征，比如自相似性和長(zhǎng)相關(guān)性、多重分形性、周期性等。此外，基于我國(guó)電力通信系統(tǒng)的基本情況，對(duì)視頻業(yè)務(wù)、語(yǔ)音業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)的速率、丟包率、抖動(dòng)幅度、時(shí)延、頻率飄移要求等方面進(jìn)行相關(guān)的規(guī)定。

二、I務(wù)流量分析和預(yù)測(cè)

電力系統(tǒng)的日趨龐大使得電力通信網(wǎng)絡(luò)流量呈現(xiàn)幾何級(jí)增長(zhǎng)的趨勢(shì)，而且業(yè)務(wù)類(lèi)型也日趨復(fù)雜，以網(wǎng)絡(luò)為載體傳輸?shù)碾娏π畔⒌膫鬏斝问揭哺佣鄻踊@給電力通信網(wǎng)絡(luò)的安全、可靠、實(shí)時(shí)運(yùn)行提出了新的的要求。在對(duì)當(dāng)前電力通信網(wǎng)絡(luò)情況下，對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和預(yù)測(cè)是電力通信研究的關(guān)鍵核心問(wèn)題，對(duì)電力通信網(wǎng)絡(luò)、電力網(wǎng)絡(luò)的安全可靠運(yùn)行具有積極的意義。對(duì)于電力通信網(wǎng)絡(luò)的相關(guān)研究而言，常用的網(wǎng)絡(luò)流量模型有：ARIMA模型、重尾分布的ON/OFF模型、馬爾可夫/半馬爾可夫模型、泊松模型、離散小波模型等。但結(jié)合當(dāng)前我國(guó)電力通信系統(tǒng)的實(shí)際要求對(duì)各種模型進(jìn)行分析可知，傳統(tǒng)的泊松模型、馬兒可夫模型只具有短相關(guān)性，難以描述流量的突發(fā)性和自相似特性，而ARIMA模型則相對(duì)較為高效。

三、基于ARIMA的建模分析

3.1 ARIMA建模分析

3.2殘差檢驗(yàn)和預(yù)測(cè)

在建立電力通信業(yè)務(wù)流量分析與預(yù)測(cè)模型之后，還需要結(jié)合電力通信系統(tǒng)的實(shí)際情況對(duì)其適應(yīng)性進(jìn)行檢驗(yàn)。模型的適應(yīng)性是指模型已經(jīng)完全或基本上反應(yīng)了系統(tǒng)的動(dòng)態(tài)性，從而模型中的殘差εt是白噪聲序列，即完成了εt的獨(dú)立性檢驗(yàn)。目前殘差檢驗(yàn)法主要有兩種，即判斷殘差的自相關(guān)和偏自相關(guān)函數(shù)圖、Ljung-Box檢驗(yàn)法。計(jì)算LB（Ljung-Box）統(tǒng)計(jì)量為：

經(jīng)過(guò)殘差檢驗(yàn)的ARIMA模型就可以用來(lái)對(duì)電力通信網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行預(yù)測(cè)，從優(yōu)化網(wǎng)絡(luò)性能，提高網(wǎng)絡(luò)服務(wù)質(zhì)量。

3.3基于ARIMA模型的電力通信業(yè)務(wù)流量分析與預(yù)測(cè)

在電力通信網(wǎng)絡(luò)系統(tǒng)中，傳輸?shù)男畔㈩?lèi)型主要包括視頻、語(yǔ)音與數(shù)據(jù)類(lèi)，其中語(yǔ)音類(lèi)業(yè)務(wù)在逐步萎縮，其數(shù)據(jù)量較小，而數(shù)據(jù)業(yè)務(wù)與視頻業(yè)務(wù)的數(shù)據(jù)量大，傳輸質(zhì)量要求高，因此需對(duì)視頻類(lèi)與數(shù)據(jù)類(lèi)業(yè)務(wù)流量進(jìn)行建模分析。

對(duì)于生產(chǎn)數(shù)據(jù)承載業(yè)務(wù)流量而言，主要包含運(yùn)行信息類(lèi)業(yè)務(wù)與運(yùn)行控制類(lèi)業(yè)務(wù)，對(duì)這類(lèi)業(yè)務(wù)數(shù)據(jù)的采集需要24小時(shí)時(shí)段數(shù)據(jù)，在采集到相關(guān)數(shù)據(jù)之后，利用自相關(guān)函數(shù)和偏自相關(guān)函數(shù)圖分析可知其不是穩(wěn)定的序列，那么需要對(duì)其進(jìn)行周期性和趨勢(shì)性設(shè)計(jì)，進(jìn)而得到平穩(wěn)的時(shí)間序列。獲得平穩(wěn)的時(shí)間序列之后建立模型，需確定p、d、q、P、D、Q參數(shù)，并利用SPSS軟件建立ARIMA（p，d，q）（P，D，Q）模型，之后進(jìn)行殘差檢驗(yàn)和預(yù)測(cè)，最終得到符合要求的模型。對(duì)于視頻類(lèi)業(yè)務(wù)流量的建模分析流程與數(shù)據(jù)類(lèi)業(yè)務(wù)流量建模流程相似，其具體流程為：數(shù)據(jù)承載業(yè)務(wù)分析數(shù)據(jù)采集與預(yù)處理模型參數(shù)確立建立模型殘差檢驗(yàn)和預(yù)測(cè)。

參 考 文 獻(xiàn)

第9篇

【關(guān)鍵詞】網(wǎng)絡(luò)流量監(jiān)控；C#；SNMP協(xié)議；網(wǎng)絡(luò)數(shù)據(jù)

0.引言

空管信息網(wǎng)絡(luò)承擔(dān)著包括OA系統(tǒng)、共享服務(wù)以及相關(guān)業(yè)務(wù)系統(tǒng)在內(nèi)的重要網(wǎng)絡(luò)業(yè)務(wù)，提供信息化的同時(shí)，給技術(shù)保障維護(hù)人員帶來(lái)一定的保障壓力。根據(jù)相關(guān)工作經(jīng)驗(yàn)及實(shí)際實(shí)驗(yàn)數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備端口流量異常是導(dǎo)致故障發(fā)生的重要原因，因此，對(duì)于網(wǎng)絡(luò)流量的監(jiān)控顯得更加重要。隨著空管信息化要求的逐日提高，網(wǎng)絡(luò)規(guī)模也日益變大，對(duì)于網(wǎng)絡(luò)流量監(jiān)控的工作也更加繁重。本文從空管網(wǎng)絡(luò)流量監(jiān)控的實(shí)際情況出發(fā)，提出一種基于C#的網(wǎng)絡(luò)流量監(jiān)控，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取、流量記錄與分析。系統(tǒng)在實(shí)際運(yùn)行中效果良好，可以為相關(guān)網(wǎng)絡(luò)監(jiān)控設(shè)計(jì)提供一種可行的借鑒。

1.總體設(shè)計(jì)

SNMP即網(wǎng)絡(luò)管理協(xié)議（Simple Network Management），在TCP/IP協(xié)議族中可以對(duì)網(wǎng)絡(luò)進(jìn)行管理，這種管理既可以是本地的也可以是遠(yuǎn)程的。而基于SNMP網(wǎng)絡(luò)協(xié)議的本系統(tǒng)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的獲取與實(shí)時(shí)監(jiān)控的功能，實(shí)現(xiàn)上具有通用、實(shí)時(shí)、多線程、維護(hù)性強(qiáng)及擴(kuò)展性強(qiáng)的特點(diǎn)。實(shí)現(xiàn)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上任意節(jié)點(diǎn)的數(shù)據(jù)獲取。加之記錄功能的輔助，系統(tǒng)能實(shí)現(xiàn)在應(yīng)用層的數(shù)據(jù)回放，以滿(mǎn)足空管安全事件調(diào)查以及系統(tǒng)維護(hù)對(duì)歷史工作狀況的評(píng)估。

SNMP協(xié)議中，一個(gè)網(wǎng)管基站可以實(shí)現(xiàn)對(duì)所有支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備的監(jiān)控（隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，目前絕大部分網(wǎng)絡(luò)設(shè)備是可支持的），包括監(jiān)視網(wǎng)絡(luò)狀態(tài)、修改網(wǎng)絡(luò)配置、接收網(wǎng)絡(luò)事件告警等等網(wǎng)絡(luò)監(jiān)控功能。在實(shí)現(xiàn)上主要包括遠(yuǎn)程文件訪問(wèn)、流量數(shù)據(jù)記錄、流量監(jiān)視以及系統(tǒng)的IP定位。其中流量監(jiān)視是系統(tǒng)實(shí)現(xiàn)的核心，將在下一部分進(jìn)行介紹。另外，系統(tǒng)還提供了日志文件記錄實(shí)現(xiàn)對(duì)系統(tǒng)操作、監(jiān)控?cái)?shù)據(jù)以及告警信息的記錄。

2.C#的實(shí)現(xiàn)

對(duì)于系統(tǒng)的C#實(shí)現(xiàn)，主要采用的C/S模式，因此在系統(tǒng)的實(shí)現(xiàn)上盡量簡(jiǎn)單、快捷、高效為主。因此自定義相關(guān)函數(shù)與類(lèi)，在記錄數(shù)據(jù)和日志方面采用文本文件記錄。

2.1網(wǎng)絡(luò)監(jiān)控類(lèi)與網(wǎng)絡(luò)適配類(lèi)的設(shè)計(jì)

為了提高系統(tǒng)的模塊化程度及軟件的封裝性，系統(tǒng)在實(shí)現(xiàn)過(guò)程中定義了兩個(gè)主要的類(lèi)。分別是用于網(wǎng)絡(luò)監(jiān)控的NetWorkMonitorClass以及網(wǎng)絡(luò)適配類(lèi)NetWorkMatch，網(wǎng)絡(luò)監(jiān)控類(lèi)主要實(shí)現(xiàn)系統(tǒng)的網(wǎng)絡(luò)監(jiān)控功能，而網(wǎng)絡(luò)適配類(lèi)則提供了一個(gè)安裝在計(jì)算機(jī)上的網(wǎng)絡(luò)適配器，該類(lèi)可用于獲取網(wǎng)絡(luò)中的流量。兩者功能及結(jié)構(gòu)如下：

在實(shí)際工作中網(wǎng)絡(luò)監(jiān)控類(lèi)NetWorkMonitorClass通過(guò)定義一個(gè)Timer計(jì)時(shí)器進(jìn)行計(jì)時(shí)器時(shí)間執(zhí)行，以每隔2S刷新適配器，并與此同時(shí)刷新上傳下載速度。與此同時(shí)通過(guò)ArryList列表定義了所監(jiān)控設(shè)備的適配器以及當(dāng)前控制的適配器。在構(gòu)造函數(shù)NetWorkMonitorClass（）中則通過(guò)，定義兩個(gè)ArrayList（），其中一個(gè)（adapterlist）來(lái)保存獲取到的計(jì)算機(jī)的適配器列表，一個(gè)（monitoradapters）代表有效的運(yùn)行的適配器列表。

NetAdapterShow （）；

Timer = new System.Timers.Timer（2000）；

Timer.Elapsed += new ElapsedEventHandler（timer_ElapsedClick）；

其中，NetAdapterShow （）為列舉出安裝在該計(jì)算機(jī)上面的適配器，具體實(shí)現(xiàn)可以通過(guò)C#的foreach（）語(yǔ)句進(jìn)行編寫(xiě)如下：

PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory（"Network Interface"）；

foreach （string InstanceName in PCCCategory.GetInstanceNames（））

{

if （InstanceName == "MS TCP Loopback interface"）

continue；

// 創(chuàng)建一個(gè)實(shí)例Net workAdapter類(lèi)別，并創(chuàng)建性能計(jì)數(shù)器它

MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch

Class（InstanceName）；myMNWMadapter.m_Performance_Down=new PerformanceCounter（"Network Interface"， "Bytes Received/sec"， InstanceName）；

myMNWMadapter.m_Performance_Up=newPerformanceCounter（"Network Interface"， "Bytes Sent/sec"， InstanceName）；

m_AdaptersList.Add（myMNWMadapter）；

}

當(dāng)然，在類(lèi)中也定義了StartWorking以及StopWorking等控制函數(shù)對(duì)類(lèi)的工作狀態(tài)進(jìn)行控制。另外timer事件也通過(guò)構(gòu)造函數(shù)進(jìn)行加入，如上所述。

網(wǎng)絡(luò)適配類(lèi)NetWorkMatch則主要計(jì)算網(wǎng)絡(luò)的各種數(shù)據(jù)，如計(jì)算上傳速度、下載速度、控制適配器等函數(shù)的封裝，減少網(wǎng)絡(luò)監(jiān)控類(lèi)的功能耦合度。

2.2具體實(shí)現(xiàn)

在窗體加載函數(shù)中，系統(tǒng)首先做自我初始化如下：首先定義上述設(shè)計(jì)的網(wǎng)絡(luò)監(jiān)控類(lèi)，并實(shí)例化monitor = new NetWorkMonitorClass（）；與此同時(shí)通過(guò)類(lèi)函數(shù)遍歷獲取所有計(jì)算機(jī)適配列表，m_MNWMadapters = monitor.Adapters； ，Adapters（）為網(wǎng)絡(luò)監(jiān)控類(lèi)封裝好的函數(shù)。并將函數(shù)返回結(jié)果通過(guò)Items.AddRange（）函數(shù)將其顯示在listbox控件中，以實(shí)現(xiàn)友好的人機(jī)交互界面。其次，在timer定時(shí)器中對(duì)選中監(jiān)控的適配器進(jìn)行獨(dú)立監(jiān)控。至此，系統(tǒng)實(shí)現(xiàn)了獨(dú)立監(jiān)控與全面監(jiān)控的所有設(shè)計(jì)。

3.結(jié)語(yǔ)

本文提出一種基于SNMP協(xié)議分析的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，該系統(tǒng)應(yīng)用于空管信息網(wǎng)絡(luò)。在實(shí)現(xiàn)過(guò)程，主要采用C#進(jìn)行開(kāi)發(fā)，通過(guò)編寫(xiě)自我的網(wǎng)絡(luò)監(jiān)控類(lèi)和網(wǎng)絡(luò)適配類(lèi)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的流量監(jiān)控，可以推廣應(yīng)用于信息網(wǎng)絡(luò)維護(hù)工作較為繁重的行業(yè)，提供一種智能網(wǎng)絡(luò)流量監(jiān)控手段。

【參考文獻(xiàn)】

[1]宮婧，孫知信，陳二運(yùn).一種基于流量行為分析的P2P流媒體識(shí)別方法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2009（09）.

[2]王珊，陳松，周明天.網(wǎng)絡(luò)流量分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用，2009（10）.