时间:2023-07-03 09:40:33
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇网络流量分析的方法,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
【关键词】流量 分析 抽样 分类 统计
路由器、交换机、宽带接入服务器是构成宽带网络的主要网络设备,一般数据网管系统可以看到每一台设备的CPU、内存、端口流量、路由数据库等网络信息,但这些流量是怎样构成的,会对网络产生怎样的影响,我们无从知晓。对宽带网络流量的深入分析,使网络设备流量监控系统可以监测的数据包括:网络流量构成分析、使用的协议、系统负载、端口分布情况、数据应用统计、数据安全性、发送时间等。网络流量分析应用可以接收来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况。下面从几个方面对宽带网络流量分析方法进行探讨:
1 数据抽样
抽样是指从原始数据集中按一定原则抽取部分实例,构成数据子集作为观察对象。抽样的目的是为了代表原始数据集特性的较小的数据集上获得对原始数据集特性的推断。数据抽样的方法包括简单随机抽样,即按照1/k的频率,随机进行抽样;系统抽样按数据包生成的时间顺序,在抽取第一个数据包后,每隔k个包抽取一个包;分层抽样可对标注过的每类应用采用简单随机抽样或系统抽样方式抽取数据包;集群抽样可从多个子数据集中再随机抽取若干个子数据集。
为对数据分布进行准确的分析,要用到几个简单的度量指标,包括算数平均值Mean、算数和S、计数C、最小值Min、最大值Max、极差Ed、中列数Mr、第一个四分位数Q1、第三个四分位数Q3、中位数Median、众数Mode、离群点Outlier等。设n个排序后的观察:
C=n
Min=x1
Max=x1
Ed=Max-Min
Mr=(Max-Min)/2
Q1=xn/4
Q3=x3n/4
Median=(x[n/2]+x[(n+1)/2])/2
另外,众数是指数据集中出现频率最高的数;离群点有时又称为歧异值,通常是指数据集中与数据一般行为不一样的样本。
2 流量分类
网络流量分类是依据网络应用协议对应的某些参数或特征,自动将网络流量分成不同流量种类的过程。流量分类一般指将网络流量分为多类,如果是二类分类,则可以使用流量检测、流量识别、流量鉴别等方法。
从网络流量分类针对的目标粒度,由细到粗又可以进一步分为包级(packer-level) 、流级(flow-level)和会话级(session-level)。包级分类基于网络数据包所具有的特征,如包长、包到达间隔时间等,对每个数据包进行分类;流级分类基于五元组(源IP地址、源端口号、目的IP地址、目的端口号和协议)进行分类,除关注包级特征外,通常会进一步考虑流级得指纹特征,统计特征或行为特征;会话级分类基于三元组(源IP地址、目的IP地址和协议)进行分类,适用于简单网络服务环境的流量粗分类。
基于DPI(深度包检测)的流量分类方法通过分析特定应用在通信过程中的传输协议特征串实现流量分类,DPI一般是在应用层内容搜索特征串,如BitTorrent的某个TCP数据包中包含特征串”0x13BitTorrent”。在基于载荷进行DPI的流量分类中,DPI流量分类需要解决如下几个问题:非标应用和私有协议越来越多,它们多缺乏公开可用的协议规范,导致特征串难找易变;某些特征模式的代表性较差,仅能匹配到部分流量,导致检全率较低;随机加密流可能匹配若干模式,导致误检率较高;基于协议语法或数据语义分析需要进行大量计算,导致系统时间和空间开销较大。
3 基于统计学习的流量分析
基于统计学习的流量分析方法通过计算特定应用流量的统计信息,利用各种机器学习算法,包括有监督学习算法和无监督学习算法,对捕获的网络数据包进行鉴别。基于机器学习的网络流量分类通常包含三个步骤:统计特性抽取,单包特征如包长,复合流统计如均值或标准偏差;分类器构造及训练;新流量分类。
基于机器学习的流量分类方法面临以下几个方面的问题:难以确定最有效的特征集,既要选择最佳的n个特征,使分类算法得到最大的分类准确率,同时要求n的值最小;高维特征导致某些算法收敛时间长,计算复杂性较高,若仅参考从数据包头导出的分类特征,如果每个流用于抽取特征的包数为n,则收集每个特征的计算成本将接近n.log2n;某些算法模型可能陷入局部最优;分类准确率高度依赖于样本的先验概率,而训练和测试样本对某类流量可能是有偏样本。
4 总结
宽带网络流量分析是网络运营管理,网络发展规划,网络流量调度和高效能业务前瞻的依据。网络流量分析也是网络攻击和恶意代码检测以及流量清洗的重要手段。随着宽带网络流量的快速增长,骨干网体系架构不断演进、扁平化、网状化、动态自适应成为网络发展的趋势,宽带网络流量分析再次面临巨大挑战,包括:高速网络数据实时无损采集、单向流、协议私有化、加密、P2P、隧道传输、缺乏可信数据集和评估标准,网络流量分析研究工作仍然需要不断深入与创新。
参考文献
[1](美)Nader F.Mir,潘淑文.计算机与通信网络[M].北京:中国电力出版社,2010(01).
[2]余浩,徐明伟.P2P流检测技术研究综述[J].清华大学学报,2009(49).
[3]彭芸,刘琼.Internet 流分类方法的比较研究[J].计算机科学,2007(34).
[4]汪立东,钱丽萍.网络流量分类方法与实践[M].京:人民邮电出版社,2013.
关键词:IP包 流量分析 解析
0 引言
随着社会的飞速发展和网络技术应用领域的扩展,使得网络通信问题日益成为人们关注的焦点。当前,人们对网络的需要也日益增多,人们对网络通信也有了越来越高的要求。通过Internet的迅速发展使社会经济结构和人们的生活方式发生了巨大的变化,网络服务越来越重要,而IP流量正是网络管理的重要数据基础,通过IP分析流量数据,可以帮助网络管理员发现各种恶意网络攻击,对攻击源进行追溯和定位,从而对网络中的计算机进行有效的保护尤其在中小网络中网络安全起着至关重要的作用。IP分析中数据的统计是不允许出现任何错误的。因为网管人员在做好防护的同时也要对IP包进行捕获和流量分析。网络上的信息流量是通过计算机的网卡转换把网上的信息展现出来的,通过对流经网卡的数据包的分析,如果发现有恶意连接或是异常流量的时候,网络管理员就可以及时的做出相应的措施来保护网络的通畅和安全,这也就是进行IP包流量分析的重要性。
1 IP包流量分析的研究
1.1 IP流量分析
每个网络都有自身的运行规律,对于每一个高级的网络管理员,要管理好网络上承载关键业务的网络系统,首先要对自己所管理的网络建立深入的了解,提高自身的网络管理技术水平,掌握有效的IP流量分析技术并能够在工作中灵活的运用。网络管理和网络的结构、应用特点等紧密相关,通过IP流量分析,能够帮助网络管理人员掌握网络系统运行的规律。网络上重要的应用在运行时,如每一次访问,每一个交易处理,数据都是通过网络来传输的,就是这些数据的传输导致了网络流量的产生。通过分析应用运行所产生的网络流量,能够清楚的了解应用运行时对网络通信的影响。通过IP流量分析程序可以获取到数据包的内容及其数量。在网络带宽一定的情况下,每个用户的网络行为都将相互影响,同时会对整个网络的运行产生影响。伴随着每个用户在网络中的行为都有网络流量的产生,通过对网络用户的IP流量进行分析,能够直观地了解网络用户的网络使用情况。IP流量分析可以为网络和应用问题的分析提供依据,特别是数据包级的分析,因为这些依据是真实的,有效的,它们是实实在在的在网络中传输的数据包,这也是流量分析能够大大提高网络和应用问题分析效率的原因。IP流量分析是有助于维护网络持续、高效和安全运行的一种手段,IP流量分析有助于网络管理员对网络运行管理、应用运行管理和网络应用问题分析。
IP包流量分析的主要方法是通过实时连续地采集网络数据并对其进行统计,计算得到主要成分性能指标,结合网络流量的原理,通过统计出的性能指数观察网络状态,分析出网络流量变化的趋势,找出影响网络性能的因素。
1.2 系统总体设计
通过研究与分析简单IP包流量分析程序的用户需求可以发现,用户需要系统实现对本机基本信息的获取,如IP地址,主机名,MAC地址和子网掩码等信息;需要实现对网络流量的监控,即对流入和流出网卡的数据包进行检测并对数据包的长度进行累加,从而得到流量数据,最后将网络输入流量,网络输出流量,网络总流量能在对话框对应的网格处显示;需要实现捕获流经本计算机网卡的所有数据包,对所获取到的数据包进行解析,从而得到相关信息,如源地址,源端口,目的地址,目的端口,数据包的协议类型,数据包大小,数据等信息。根据分析IP包流量分析系统可以具有三个主要功能部分:基本信息显示、网络流量监控、IP包解析。系统设计图如图1所示。
1.2.1 基本信息模块
对于一台计算机来说,一般只有一个计算机名称,但是可以有多个IP地址。例如当计算机通过拨号上网的时候,在验证完用户名和口令以后,就会动态分配一个IP地址,此时计算机就拥有了两个IP地址,一个是自己设定的局域网用的IP地址,另外一个就是拨号上网动态分配的IP地址了。
基本信息模块实现的主要功能是获取本机的主机名和本机IP地址,并以对话框的形式显示出来。此模块中所获取的IP地址是自己设定的局域网用的IP地址,而不是拨号上网时动态分配的随机IP地址。它设计的主要目的是为了方便网络管理人员快捷地了解本机的一些基本信息。
1.2.2 网络流量监控模块
网络管理人员一般会根据计算机在不同时段的网络流量变化情况来对计算机进行各项参数的优化,以及了解是否存在异常流量。而对于个人用户来说,实时了解本机网络流量情况是很重要的,尤其是对那些拨号上网的用户,对网络流量的了解可以有效的帮助他们节约上网费用。
网络流量监控程序的本质是对流入和流出网卡(Modern)的数据包进行测量,在单位时间内的流入量实际上就是在单位时间里流入网卡的数据包的字节数,在单位时间内的流出量实际上就是在单位时间内流出网卡的数据包的字节数。而总流量就是流入量和流出量之和。
1.2.3 IP包解析模块
因为要捕获经过网卡的所有数据包,需要将网卡设置为混杂模式。在实际编程的过程中,通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析。在网络安全方面,网络嗅探手段可以有效地探测在网络上传输的数据包信息,通过对这些信息的分析利用将有助于对网络安全进行维护。IP包解析模块就是通过使用网络嗅探器技术来实现完成的。
2 IP包解析模块的实现
IP包解析模块是系统实现的重要模块,在实现中主要实现函数见表1。
3 结束语
IP包流量分析系统是一个相对复杂的系统,通过研究需求设计了系统的主体框架,通过编写套接字、访问注册表等方法实现了系统部分主要功能,下一步准备完成详细指标分析等功能。
参考文献:
[1]杨延双,王全民.TCP/IP协议分析及应用[M].北京:机械工业出版社,2009.
关键词 流量;分类;检测;统计;分析
中图分类号 TN91 文献标识码 A 文章编号 1674-6708(2016)166-00104-01
近年来宽带网络一直保持高速增长,光纤到桌面已基本实现,但网络中巨大的流量会对网络产生怎样的影响,这些流量是如何构成的,始终是一个问题。通过对宽带流量的分析我们可以知道流量的源头和目的、知道协议分布、知道端口情况、知道通信经营指标等、当然最重要的还有数据的安全性。
不同的网络,不同观察点,不同时间的网络流量因网络规模,业务种类,用户构成和使用习惯的不同而不同,甚至受突发事件的影响,网络流量在体量规模,构成成分和比例上都有所不同。一个好的流量分类分析系统,应满足部署位置上的可移植性,流量规模的可伸缩性,时间演进的自适应性。这时系统不仅需要采用先进的分类技术,也需要代表性的训练数据集来确定系统运行参数。数据集主要采用2种方式:PCAP格式和NETFLOW格式,前者捕获的是包级记录,后者则是关于流级得统计信息记录。
宽带流量的分析和检测首先要进行流量的采集,这项工作可以通过交换机或路由器的镜像端口实现,也可以通过光缆分光的方式实现。对捕获的数据进行计算和统计,并把统计数据写入数据库,定期形成网络性能和流量参数的报表,用作分析的依据,在形成足够数量的报表数据后,可以分析数据和系统性能变化的趋势,判断网络是否存在瓶颈,并依据经验,形成经验数据库,使网管系统具备学习的基础和能力。在出现告警或异常情况时,可用来分析对比,判断是否出现了网络的攻击和入侵,判断恶意数据出现的源头和特征,足够数量的数据报表也可以指导各类应急预案的制定,在出现异常情况时可按照事先拟定的规则进行处理。
对于宽带流量的分析和分类,系统需要进行统计模型的学习,统计模型的学习可以分为监督学习和非监督学习方法。所谓的监督学习是需要使用已经标注过的数据集合作为经验知识,对宽带流量的参数和算法进行训练;而非监督学习则不需要使用已经标注过的数据集进行训练,只是根据相关算法对宽带流量集进行汇聚。对数据集的训练过程中需要由经验丰富的专家参与,并进行大量的基础数据分析工作,网络经验数据集是流量分析的重要构成因素。在实际分析过程中,由于宽带核心网络的流量巨大,所以高性能的预处理路由器和大规模刀片服务器必不可少。为了提高分析效率,可以只分析单向流量,并且在预处理过程中将IP数据报文的载荷去掉。但由于各种网络协议不断演进,加密的流量不断增加,各种新应用不断出现,网络数据集的标注也变得越来越困难。
网络流量的分类和分析中对于标准协议的分析最为准确,可根据TIP/IP协议簇中标准的服务端口号对流量报文进行匹配,并根据端口号的不同将流量对应为不同的应用。非标准协议可以使用DPI(深度包检测)在应用层对流量进行特征字符串的分析匹配,由于不同的应用在TCP/UDP的数据包中包含特征字符串,因此在掌握的不同网络应用的特征字符串后,可以将网络流量精确的分类和匹配,缺点是需要消耗较多的系统资源。但很多网络应用的特征字符串难找易变,代表性差及加密度高等问题,也导致误检率和检全率下降。流量分析监控和网络应用的发展一直是不断演变的矛盾。
基于协议的分类方法需要分析每种协议的特定的行为特性,标准的通信协议易于掌握,私有协议比如P2P或VOIP等基于软硬件客户端的应用则会有较多的变化,或进行加密使用就会影响流量分析的效果,甚至无法识别。有时同一应用软件的不同版本间也会出现不同的流量特征,即版本的变化会造成协议特征的变化。另外,网络中的单向流量、数据的时延、抖动都会对流量分析的算法产生影响。以上这些因素都是流量分析的难点和痛点。
运营商的骨干网络逐渐向扁平化发展,网络出口的数量增加和结构日趋复杂,及动态路由算法的大量使用,使得网络流量在多条链路或多个不同ISP之间动态调配,导致在某个观察点只能得到部分流量,这对于依赖双向流量特征的分析方法无法实施。基于P2P的应用目前也在不断扩大,P2P的发展使得应用和传输分离,应用端点和传输分离,打破了原有的B/S或C/S的传统传输模式,多源头并发传输使得流量特征模糊化,使得数据采集的有效性无法保障。还有一些网络应用为了逃避被检测到,常常采用已知协议的方法,例如FTP、HTTP、POP3等,由于IP地址的区分,冒用已知协议并不会影响正常网络通信,但给流量分析带来很大难度。
宽带网络流量分析不仅可以使我们可以清楚的知道网络流量的内容,还可以为网络建设、网络优化、运营管理、网络安全保障提供依据和手段。同时,网络应用在不断推陈出新,各种私有化的协议和加密方法不断出现,且由于用户接入带宽的不断提高,核心网流量呈几何速度增长,这些因素在客观上也大大增加了网络流量分析的难度和成本。现有的网络流量分析再次面临挑战,网络流量的分析研究工作需要不断深入进行。
参考文献
[1]Nader F.Mir.计算机与通信网络[M].潘淑文,等,译.北京:中国电力出版社,2010,1.
[2]余浩,徐明伟.P2P流检测技术研究综述[J].清华大学学报,2009(4):610-620.
关键词:网络管理;网络流量;监测
中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 14-0000-01
The Flow Monitoring Method of Network Management
Li Jiabin
(Ocean University of China,Qingdao266100,China)
Abstract:With the rapid development of modern network technology,by network flow monitoring,to detect traffic anomaly within the enterprise LAN host,or set the threshold according to the system early warning so as to better protect the normal course of business demand for network bandwidth ,is the inevitable requirement of the development of network technology.In this paper,the characteristics of network traffic,network traffic measurement has done a study,so as to optimize the traffic monitoring technology made a number of recommendations.
Keywords:Network management;Network flow;Monitoring
企业局域网的广泛应用为广大企业带来了快速的信息响应、办公效率的大幅提升、经营成本的降低等众多好处。但同时,随着网络技术突飞猛进的发展,网络应用五花八门,企业也不得不面对越来越多的恶意网络攻击与黑客入侵。目前,企业局域网网络安全综合应用了防火墙、入侵监测、漏洞扫描、补丁分发等安全产品,致力于建设集访问控制、流量监测、带宽管理及终端管理等功能与一体的安全管理平台。通过对网络流量的监测,及时发现企业局域网内流量异常的主机,或者根据系统设置的阈值提前预警,从而更好的保护正常业务对网络带宽的需求。所以,网络流量监测是实现对企业局域网运行状况掌握与管理的有效手段。
一、网络流量的特征
(一)数据流是双向的,但通常是非对称的。互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。(二)大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于IOK字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的www文档传输都小于IOK字节,WWW的巨大增长使其在这方面产生了决定性的影响。(三)包的到达过程不是泊松过程。大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程。简单的说,泊松到达过程就是事件按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。(四)网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关和基于空间的相关。
二、网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
(一)基于硬件的测量和基于软件的测量。基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。(二)主动测量和被动测量。被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。(三)在线分析和离线分析。有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。(四)协议级分类。对于不同的协议,例如以太网,帧中继,异步传输模式,需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
三、网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
(一)基于网络流量全镜像的监测技术。网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。(二)基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。(三)基于SN的流量监测技术。基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。
在综合比较三种技术之后,不难得出以下结论:基于SNMP的流量监测技术能够满足网络流量分析的需要,且信息采集效率高,适合在各类网络中应用。
参考文献:
关键词: 流量分析;重要端口号;算法思想
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2012)1210095-01
1 两种不同网络类型的数据流量
在C/S(客户机/服务器)结构中,客户机发送一些请求,服务器为每个请求做出回复。在客户机间不直接传递信息,客户机必须通过服务器把信息发送给其它客户机。这种数据是定向流动的,几乎都是从服务器到客户机。然而在P2P网络结构中每台主机同时担任服务器和客户机角色,对等主机之间可以直接进行数据交换。
2 P2P网络应用的类型
在P2P网络应用程序中,可以分为两类:一是即时通信应用,如MSN和雅虎信使。实时通信程序的主要功能是信息传递,实现1对1或者1对多式用户交流和文件转存。二是文件共享应用,如Napster。文件共享程序的主要功能是查询和文件转存。然而P2P应用程序的联系分两种:一种是中心仲裁式,另一种是纯分布式。大多数实时通信应用程序系统使用中心仲裁,在这种联系方式中,一个或多个核心服务器存在,这些服务器包含所有主机的信息并且把信息发送给请求的主机。在纯分布式中没有中心服务器,在搜索效率和文件传输上都不是很好。实际在P2P网络应用程序使用中存在这两个不同类型的混合通信。
3 P2P网络数据流量分析算法的主要思想
传统的数据流量分析主要是以端口号为基础的分析和对有效载荷的检测分析,而在P2P网络中,这种方法不太适用。比如网络流量中,HTTP通常使用的端口号是80或8080,HTTPS使用端口号443,在P2P网络数据流量中,端口号检测不是那么简单,因为它们使用的端口号超过1024,通常是动态生成的端口号。
因此设想,如果所有的P2P数据流量可以在整个流量中分离出来,然后根据其应用程序的名称分组,那么就可以对P2P网络数据流量进行高精度地分析。基于此,我们提出了一种新的数据流量分析算法。
该算法不检查每个数据包的有效载荷,只使用每个数据包的头信息。主要包括四个过程,分别是应用端口表、重要端口号选择、流量关系图和数据流量分组。算法思想首先是构建应用端口表。它是通过离线穷举搜索方法和数据包分析工具对每个对等网应用程序进行检测与分析,包含应用程序的名称、其经常使用的端口号和协议。其次是重要端口号的选择。从捕获的数据包中分析信息:源地址、目的地址、源端口、目的端口号、协议号。因为源端口和目的端口号通常超过1024,从随机生成的端口号中区分对于P2P应用程序重要的端口号。
第三步是生成流量关系图。大多数P2P应用程序具有多个支持的功能,在相同P2P流量中有可能发现它们之间的关系。对前三个过程的结果进行分析,按照对等网应用程序的名称与关系确定流量分组。分组信息用于P2P应用程序决策,从而提高分析的精确度。
4 P2P数据流量分析系统的设计
根据以上算法,我们设想了P2P网络流量分析系统,用于实时流量的监控和分析。该系统主要包括三个模块,分别是应用端口表模块、重要端口选择模块和流量关系图模块。其中,重要端口选择模块由一个数据包捕获器、一个数据流发生器和一个同步分组表组成。数据包捕获器从一个网络链接接收原始数据包,并生成数据包的头信息,分组头信息被发送到数据流发生器里。如果一个数据包是同步数据包或准同步数据包则被存储在同步分组表中。数据流发生器查找同步分组表,并从每个数据流中选择一个重要端口号。重要端口选择模块依靠网络连接环境在一个单一的系统或多重系统中实现选择。假如数据包在一个单一系统中被捕获,重要端口选择器可以在一个单一的系统中实现;如果有多个捕获器被使用,那么重要端口选择器模块应分为高、低级两层次。最后,流量关系图模块对数据进行分析,并生成流量关系图。
5 总结
本文说明了P2P网络流量的特点和现有的分析机制不适于当前网络流量分析的原因,并提出了算法思想,其与过去相比复杂而精确。利用该算法设计了一个分析系统,使用该系统可以分析大量的未知的无法用传统分析方法进行监控的数据流量。另外,该算法还可以进一步改进,特别是数据流量关系中的算法。该算法还可以应用于其他网络类型中数据流量的监控与分析,比如网络游戏和网络流媒体等数据处理业务中。
参考文献:
[1]刘芳,网络流量监测与控制,北京邮电大学出版社,2009年9月.
[2]高彦刚,实用网络流量分析技术,电子工业出版社,2009年7月.
【关键词】 分层网络 交换机 设计规格
一、前沿
选择交换机硬件时,应确定核心层、分布层和接入层分别需要何种交换机来满足网络带宽需求,应考虑未来的带宽需。应购买合适的交换机硬件来满足当前及未来的带宽需求。为了更准确地选择合适的交换机,要定期执行和记录流量分析。
二、流量分析
流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并作出硬件升级决策的过程,流量分析是通过流量分析软件来实现的。尽管对网络流量并没有确切的定义,但为了便于理解流量分析,可以理解为网络流量是指在一定时间内通过网络发送的数据量。所有的网络数据无论来自何方,无论发往何处,都是流量的一部分。监控网络流量的方法有许多种。可以手工监控各个交换机端口来收集一段时间内的带宽利用率。在分析流量数据时,可能根据每天特定时段的流量以及大部分数据的来源和目的地来确定未来的流量需求。但是,为了获得准确地结果,需要记录足够的数据。手工记录流量数据是件费时费力的机械活,市面上有一些自动化的解决方案。
三、分析工具
现在市面上有许多流量分析攻击可以将流量数据自动记录到数据库中,并执行趋势分析。在大型网络中,采用软件收集解决方案是唯一有效的流量分析方式。通过软件收集数据时,可以看到在给定的时间内网络上每个接口的运行状况。通过输出的图表,可以直观的发现流量问题。比用柱状表示的流量数据更容易理解。
四、用户群分析
用户群分析是确定各类用户群体及其对网络性能的影响的过程,用户的分组方式会影响与端口密度和流量有关的问题,进而影响网络交换机的选择。
在典型的办公楼中,一般根据终端用户的职能对其进行分组,这是因为相同职能用户所需访问的资源和应用程序也大体相同。每个部门的用户数、应用程序需求以及需要通过网络访问的可用数据资源各有不同。不仅要查看网络中指定交换机上的设备数量,还应该调查终端用户应用程序生产的网络流量。有些用户群使用产生大量网络流量的应用程序,而其他用户则不然,通过测量不同用户群使用的所有应用程序所生成的网络流量并确定数据源的位置,可以确定增加用户对该用户群的影响。
小企业中工作组大小的用户群仅用几台交换机提供支持,通常连接到服务器所在的交换机上。在中型企业中,用户群由许多交换机提供支持。中型企业用户群所需的资源可能位于地理上分散的若干区域中。因此,用户群的位置会影响数据存储和服务器的位置。分析用户群的应用程序使用率的难题之一是使用率并非纯粹取决于用户所在的部门或地理位置。还需要分析应用程序穿越多台网络交换机所带来的负面影响。并据此确定总体影响。
五、数据存储和数据服务器分析
在分析网络流量时,应考虑数据存储和服务器的位置,以便确定它们对网络流量的影响。数据存储可以是服务器、存储区域网络(SAN)、网络连接存储(NAS)、磁带备份设备或任何其他存储大量数据的设备或组件。
在考虑数据存储和服务器的流量时,应同时考虑客户端到服务器的流量和服务器到服务器的流量。通过观察不同用户群使用的各种应用程序的数据路径,可以找到潜在的瓶颈,确定在哪些地方因为带宽不足会影响应用程序的性能。为改善性能,可以聚合链路来提供带宽,或者使用能够处理流量负载的快速交换机来取代慢速交换机。
六、拓扑结构图
拓扑结构图是网络基础架构的图形表现形式,拓扑结构图显示所有的交换机如何互连,乃至详细到哪个交换机端口与设备互连。拓扑结构图以图形的形式显示交换机之间用于提供灾难恢复和性能增强的任何冗余路径或聚合端口,显示网络中交换机的位置和数目并标出交换机的配置。通过拓扑结构图,可以直观地找到网络流量的潜在瓶颈,可以抓住流量分析数据的要点,知道哪些网络区域的改进能够最有效地提高网络的整体性能。
七、结语
对于中小型企业而言、基于数据、语音和视频的数字通信至关重要。因此,正确设计局域网是企业日常运营的基本需求。作为网络技术人员,必须能够判断什么才是设计合理的局域网,能够选择合适的设备来满足中小型企业的网络需求。
参 考 文 献
[1] 郭利锋,王勇,张磊,白焱. AFDX交换机的队列整形调度研究[J]. 计算机工程,2011,(24):58-60
电力综合数据网的深化应用对异常流量的检测和分析提出了更高的要求。本文通过对电力综合数据网的流量数据结构进行分析,验证了电力综合数据网正常单位流量具有稳定的信息熵。在此基础上,提出了通过对数据流量五元组熵值的分析来判断异常流量的方法,并对综合数据网流量结构进行建模,提出应用支持向量机的算法对异常流量进行识别。
【关键词】综合数据网 异常流量 支持向量机
1 某电网综合数据网流量分析现状
目前某电网公司综合业务数据网以主数据中心和同城灾备中心为核心,与全省各地供电局的综合数据网络核心形成互联,互联链路采用万兆以太网传输技术,形成一个电网综合数据业务传输的承载网平台。具体网络拓扑如下所示:
该电网公司综合数据网络核心日常数据流量已超过1GB,流量监控使用ARBOR流量分析设备来完成,通过Netflow的方式监测骨干层各中心汇聚设备连接到省中心的端口。
目前,该电网公司流量分析系统具备的主要功能包括:
(1)能够得到端到端用户体检的量化数据,包括端到端的全过程响应时间。
(2)能够得到网络传输时延的数据,并考虑到不同数据包大小情况的网络传输时延。
(3)能够得到应用系统各个交互过程的响应时间的数据。
(4)能够根据时间迅速定位流量,并根据地址、端口等信息迅速将所需网络流量数据包检索并抽取出来进行分析。
由以上功能点的统计分析,可以得知,目前该电网的流量分析系统能做到对网络流量的统计及性能分析,但对网络流量异常的做不到良好的预警。
2 流量异常检测方法
自Denning研究异常检测模型以来,网络异常检测方法的研究就一直受到学术界的极大关注。白玉峰研究致力于利用流量大小(如流数、分组数或字节数)来检测网络异常并获得巨大成功,但是这类方法面临的问题是:并非所有的异常都会引起流量大小的显著变化;此外,采用不同的流量测度可能会识别出不同的流量异常,因此仅仅采用一种流量测度并不能识别蕴含在流量数据中的所有异常。
近年来的大量研究表明,不管是局域网还是广域网,网络流量都具有明显的突发性和长相关性,而网络的自相似性特性可以很好地描述流量这些特性,所以,自相似性已成为网络流量的重要特性并以此作为流量异常检测的基础。现今已有大量计算机学科领域的算法和模型被使用在网络流量的异常检测方面,文献采用小波分析方法利用网络流量在时间尺度上的多重分形,在小波域内对网络流量进行分解,通过计算网络流量的Hurst指数,根据正常与异常流量Hurst指数的偏差来检测异常,但该方法Hurst指数与时间尺度紧密相关,只对突发性的流量具有较好的检测效果;文献[1]提出一种融合k-means的聚类检测算法,该文增量地构建流量矩阵,增量地使用PCA主成分进行异常检测,这些方法在全网流量异常时检测效果非常明显,但算法相对过于复杂使其在实时性上较差;文献[2] 使用一种基于信息熵的特征选择算法,降低了检测数据的维数,但增量学习的限制条件比较多,增量学习效率较低。
3 综合数据网流量异常检测
通过上述分析可以看出,数据流五元组的熵值较为稳定,可以通过熵值的变化情况来区分正常流量和异常流量。因此综合数据网异常流量的检测问题也就是通过对数据流量五元组熵值的分析来做出正常或异常的判断。
3.1 异常流量检测模型
针对上文中对流量特性的分析,综合数据网异常流量的检测问题可以理解为通过已有的流量特征据,将现有的流量分类为正常或异常。模式识别理论是利用已有的信息,按照某种特定的规则确定未知的样本的类别属性,模式识别往往被看作是分类问题,让机器自身从环境中分离出某种模式并对未知样本的归类做出合理的判断。因此,可以将模式识别应用于综合数据网的异常力量检测,通过对己有的数据流量的熵值样本进行学习,建立规律模型,利用该模型对未知样本进行分类。
3.2 异常检测算法
首先使用一定数量的正常流量和异常流量数据作为训练样本输入到支持向量机之中,根据这些训练数据输出一个模型,这个模型实际上就是通过样本构造的决策函数。然后将测试数据输入该模型进行分类。
3.2.1 训练阶段
根据信息熵的定义,对样本流量的五元组分别求熵,建立样本流量的五维熵值向量。使用核函数将向量从五维变换到高位,再将数据作为训练样本输入到支持向量机之中,根据这些训练数据构造的一个决策函数。
3.2.2 检测阶段
将检测流量输入模型进行检测,分类结果为1则为正常流量,分类结果为-1即为异常流量。
4 结束语
本文通过对电力综合数据网的流量数据结构进行分析,验证了电力综合数据网正常数据符合重尾分布,且正常单位流量具有稳定的信息熵。在此基础,对综合数据网流量结构进行建模,采用支持向量机的识别算法对异常流量进行识别。实验结果表明,在异常流量比例大于5%的条件下,算法能够检测出网络中的异常数据。
下一步的工作是深入研究电力综合数据网异常流量的类型以及各种异常流量对流量结构的影响,改进检测算法,进一步提升算法的精度。
参考文献
[1]DENNING D.An intrusion-detection model[J].IEEE Transactions on Software Engineering,1987,13(2):222-232.
[2]TORRES R,HAJJAT M,RAO SG,et al.Inferring undesirable behavior from P2P traffic analysis[A].SIGMETRICS[C].USA,2009,231-242.
[3]GU G,PERDISCI R,ZHANG J,et al.BotMiner:clustering analysis of network traffic for protocol and structure-independent botnet detection[A].USENIX Security[C].USA.,2008,67-76.
【关键词】 电力通信 负载均衡 拓扑优化 流量分析
一、电力通信业务流量特征
电力通信网络在我国电网系统中占据重要位置,其在电力生产、运行和管理等各方面的业务中发挥重要支撑作用,大量的电力信息需要电力通信网络来完成收集、传输与存储。随着我国电力系统建设的不断深入,以及电力业务的不断扩大,网络流量呈几何级数增长,业务类型也日趋复杂,这给电力通信网络的安全、可靠、实时运行提出了更大的挑战。在这种背景下,建立有效的流量分析和预测方法,可以为网络规划、协议设计、路由精确控制提供决策依据,对电力通信网络性能的分析和优化具有积极的意义。
通常来说,智能电网中的电力通信网络可划分为三类子网,即电力通信综合业务数据网、电力通信调度数据网、变电站站内通信网。对各类子网的承载业务进行分析可知,当前我国电力通信网络业务可归纳为三种类型,即视频类业务、数据类业务、语音类业务。电力通信网络的流量具有重要的特征,比如自相似性和长相关性、多重分形性、周期性等。此外,基于我国电力通信系统的基本情况,对视频业务、语音业务和数据业务的速率、丢包率、抖动幅度、时延、频率飘移要求等方面进行相关的规定。
二、I务流量分析和预测
电力系统的日趋庞大使得电力通信网络流量呈现几何级增长的趋势,而且业务类型也日趋复杂,以网络为载体传输的电力信息的传输形式也更加多样化,这给电力通信网络的安全、可靠、实时运行提出了新的的要求。在对当前电力通信网络情况下,对网络流量进行分析和预测是电力通信研究的关键核心问题,对电力通信网络、电力网络的安全可靠运行具有积极的意义。对于电力通信网络的相关研究而言,常用的网络流量模型有:ARIMA模型、重尾分布的ON/OFF模型、马尔可夫/半马尔可夫模型、泊松模型、离散小波模型等。但结合当前我国电力通信系统的实际要求对各种模型进行分析可知,传统的泊松模型、马儿可夫模型只具有短相关性,难以描述流量的突发性和自相似特性,而ARIMA模型则相对较为高效。
三、基于ARIMA的建模分析
3.1 ARIMA建模分析
3.2残差检验和预测
在建立电力通信业务流量分析与预测模型之后,还需要结合电力通信系统的实际情况对其适应性进行检验。模型的适应性是指模型已经完全或基本上反应了系统的动态性,从而模型中的残差εt是白噪声序列,即完成了εt的独立性检验。目前残差检验法主要有两种,即判断残差的自相关和偏自相关函数图、Ljung-Box检验法。计算LB(Ljung-Box)统计量为:
经过残差检验的ARIMA模型就可以用来对电力通信网络业务流量进行预测,从优化网络性能,提高网络服务质量。
3.3基于ARIMA模型的电力通信业务流量分析与预测
在电力通信网络系统中,传输的信息类型主要包括视频、语音与数据类,其中语音类业务在逐步萎缩,其数据量较小,而数据业务与视频业务的数据量大,传输质量要求高,因此需对视频类与数据类业务流量进行建模分析。
对于生产数据承载业务流量而言,主要包含运行信息类业务与运行控制类业务,对这类业务数据的采集需要24小时时段数据,在采集到相关数据之后,利用自相关函数和偏自相关函数图分析可知其不是稳定的序列,那么需要对其进行周期性和趋势性设计,进而得到平稳的时间序列。获得平稳的时间序列之后建立模型,需确定p、d、q、P、D、Q参数,并利用SPSS软件建立ARIMA(p,d,q)(P,D,Q)模型,之后进行残差检验和预测,最终得到符合要求的模型。对于视频类业务流量的建模分析流程与数据类业务流量建模流程相似,其具体流程为:数据承载业务分析数据采集与预处理模型参数确立建立模型残差检验和预测。
参 考 文 献