网络流量分析的方法精选(五篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的5篇网络流量分析的方法，期待它们能激发您的灵感。

篇1

关键词：中小型网络；流量控制；方法；应用

中图分类号：TP393.06

近年来，随着经济社会的发展和科学技术的进步，计算机网络技术得到了充分发展。在这种形势背景下，网络在人们生产生活中的应用越来越广泛，比如，我们可以通过网络浏览网页、观看视频、网上聊天以及网上购物等。由此可见，网络在人们生活中发挥着重要作用。在网络的运行过程中，网络流量直接关系着网络的速度，对网络功能的发挥具有重大意义。但是，从现实情况来看，在一些中小型网络使用的过程中，由于服务器管理不当、恶意程序以及P2P下载等原因，导致网络流量不断增长，最终致使网络出现堵塞，网页打不开，影响人们的正常工作和学习。鉴于此，我们必须采取一些措施控制网络流量，使它更好地为人们的生产生活提供服务。

1 中小型网络流量控制方法

1.1 加强对P2P应用的管理。在很多中小型网络应用的过程中，人们会运用到很多P2P应用，比如，快车下载、迅雷视频播放器等。这些P2P应用在运行的过程中会占用大量的流量资源，给网速造成严重影响。针对这个问题，在中小型网络运行中我们可以采取封禁P2P的应用端口或者对并发连接数进行限制等方法来控制网络流量。首先，对P2P的应用端口进行封禁。正如上文所述，在中小型网路中各种下载工具和视频播放工具等P2P占用了很多流量，我们可以使用电脑中的路由器或者防火墙等对P2P应用进行封禁。这种方法在运用的早期收到一定的成效，后来的流量控制效果并不是十分理想。其次，限制并发连接的数量。当我们在运用P2P软件在网络上查找资源的时候，会带到很多的网络连接，此时便会使网络流量大量增加。如果我们对连接到主机上的并发连接数量进行控制，就可以有效限制它所占用的流量。这种方法有一定的成效，但会在一定程度上对网络正常运行造成影响。

1.2 运用专业的流量控制设备。在中小型网络运行中，我们还可以使用专业的流量控制设备对其进行流量控制。就目前的技术水平来看，主要的流量控制技术包括深度报文检测（DPI）和深度流行为检测（DFI）等。以此技术为基础，现在应用比较多的专业流量控制设备厂商主要有华三、思科以及Allot等。这些厂商生产的专业流量控制设备具有良好的流量控制作用，但是，它也存在一定的缺陷，比如，专业流量控制设备的价格比较昂贵。

1.3 对网络用户的流量和宽带进行限制。为了控制中小型网络中的流量，我们还可以采用限制用户流量和宽带的方法进行控制。首先，限制用户流量。我们可以使用城市热点或者防火墙等设备对网络中用户的流量进行控制。这种方法确实发挥了控制流量的作用，但是，有时用户正在使用网络，由于流量限制导致无法上网，就会影响到用户的工作和学习。其次，限制用户宽带使用数量。这种方法也在一定程度上发挥控制网络流量的功效，但是，由于用户无法得到全部宽带，致使网络运行的速度比较缓慢。

2 流量控制方法在中小型校园网络中的应用

从上文的论述中，我们可以了解到，各种流量控制方法各有优劣，在实际的应用过程中，我们要从中小型网路的实际情况出发，综合分析多方面因素，选择科学合理的流量控制方法。下面，我们就结合某学校一中小型的校园网络，对流量控制方法的具体应用进行分析。

2.1 校园网概况。某学校为了满足教学工作需要，建设了一个校园网。在该校园网中，由2个10兆的互联网与当地的教科网和电信网进行连接，依据教学的功能，校园网中被划分成多个VLAN，从而为学校教学和教务工作的开展提供网络服务。但是，从现实情况来看，校园网中存在客户端安全问题、接入控制问题以及上网速度慢问题等，致使校园网在使用的过程中出现网页打不开甚至断网等问题，影响了校园网正常功能的发挥。

在上图的校园网流量控制设备部署中，我们利用流量网络开关，有效实现了对校园网的流量控制。具体来说，流量控制主要表现在以下几个方面。（1）对P2P应用进行了控制。为了保证P2P应用的正常使用同时减少它对网速的影响，我们设立了P2P应用流量通道，对快车、迅雷等P2P应用软件的流量限制在一定范围之内，并根据网速变化作出一些动态调整。比如，在校园网高峰期，我们可以适当降低对P2P应用的限制，当校园网处于低谷期，我们可以调高对P2P应用的限制，从而保证校园网络的有效利用。（2）对不同用户实施不同部署。在校园网运行中，针对不同用户的需求，我们制定了不同的网络流量管理方法。比如，针对学校的办公网络，我们可以适当限制P2P应用的流量，而对于学校教学机房中的网络，则要严格控制P2P应用的流量，尽量减少这些与教学无关的应用占用大量的流量，保证教学网络速度。（3）加强校园网接入安全管理。在过去，由于缺乏相应的技术和管理设备，校园网中对客户端接入缺乏安全管理，校外其他一些用户可以随意接入到校园网中，不仅占用了校园网的流量，而且给校园网安全造成严重威胁。针对这个问题，我们可以采取客户端接入控制和安全性检测等方法对校园网接入安全进行管理，这样一来，只有符合要求的用户才可以接入到校园网中，不仅提高了校园网的运行的安全性，而且对校园网流量控制具有一定的作用。

3 结束语

综上所述，近年来，随着经济社会的发展，中小型网络在我们生产生活中的作用越来越突出。鉴于此，我们要加强对中小型网络的管理，使它更好地为人们提供网络服务。但是，在现实中，由于多种原因导致中小型网络流量增加，影响了网络的正常运行。针对这个问题，我们在分析网络实际情况的基础上，选择恰当的流量控制方法对网络流量进行有效控制，促使中小型网络资源得到合理利用。

参考文献：

[1]郑林江.基于交换机流量和网络线路的监控系统[J].计算机应用，2009（S2）：18-19.

[2]胡俊，程瑾.网络流量管理控制技术在校园网的应用研究[J].中国教育信息化，2009（21）：58-59.

[3]牛军，余萍萍，李思恩.校园网流量控制初探[J].中国教育信息化，2009（04）：152-153.

[4]刘磊，李闻天，肖.校园网中P2P应用的管理策略及流量监控初探[J].昆明理工大学学报（理工版），2008（03）：48-49.

篇2

关键词:网络服务器;流量分析;流量监控

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的数据网络给我们的生活、工作和人与人之间的沟通带来了极大的方便,网络业务日趋丰富,网络流量高速增长。同时,网络运营商之间的竞争也逐渐激烈,以高投资为特征,追求简单规模扩张的粗放型竞争模式已经不适应当前的形式。挖掘现有网络资源潜力,控制网络互联成本,提供有吸引力的增值业务,提高网络运维水平成为在激烈竞争中的制胜策而要实现这些,都离不开可靠、有效的网络流量监控的有力支撑。

二、网络流量监控和分析的意义

用户现有的网络管理系统在长期的网络流量分析方面存在不足。主要表现在如下方面:

(一)长期的网络和应用问题分析能力不足

现有的网络管理系统无法长期的纪录网络和应用的运行状态,无法长期的保存网络流量信息,在出现网络或应用问题时,不能为网络技术人员提供有效的信息依据,问题往往是依靠网络技术人员通过推断来分析,这样网络问题的分析效率很低,同时很难得到确实的分析结论。

(二)缺乏对网络和应用间歇性问题的分析能力

网络或应用可能出现间歇性故障,这种故障的出现一般很难判断,在出现后很难分析其产生原因,而再次出现的时间无法确定,因此难以解决,好像网络中存在一个不定时的炸弹,使用户网络和应用时刻处于危险之中。

(三)对网络安全问题的分析能力不足

在发生网络安全问题时,缺乏有效的监控分析手段,导致网络的安全性降低,例如蠕虫病毒的爆发,应该能够对蠕虫病毒的传播情况进行有效的分析。

三、网络流量分析内容

流量分析系统主要从带宽的网络流量分析、网络协议流量分析、基于网段的业务流量分析、网络异常流量分析、应用服务异常流量分析等五个方面对网络系统进行综合流量分析。

(一)带宽的网络流量分析

复杂的网络系统上面,不同的应用占用不同的带宽,重要的应用是否得到了最佳的带宽?它占的比例是多少?队列设置和网络优化是否生效?通过基于带宽的网络流量分析会使其更加明确。工具主要有MRTG等,它是一个监控网络链路流量负载的工具软件, 它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户,以非常直观的形式显示流量负载。

(二)网络协议流量分析

对网络流量进行协议划分,真对不同的协议我们进行流量监控和分析,如果某一个协议在一个时间段内出现超常暴涨,就有可能是攻击流量或蠕虫病毒出现。Cisco NetFlow V5可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。

(三)基于网段的业务流量分析

流量分析系统可以针对不同的VLAN来进行网络流量监控,大多数组织,都是不同的业务系统通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同的VLAN 来对不同的业务系统的业务流量进行监控。Cisco NetFlow V5可以针对不同的VLAN进行流量监控。

(四)网络异常流量分析

异常流量分析系统,支持异常流量发现和报警,能够通过对一个时间窗内历史数据的自动学习,获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度,并自动建立当前流量的置信度区间作为流量异常监测的基础。能把焦点放在组织的核心业务上。通过积极主动鉴定和防止针对网络的安全威胁,保证了服务水平协议(SLA)并且改进顾客服务, 从而为组织节约成本。异常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平台、PeakFlow Traffic流量管理平台等。

(五)应用服务异常流量分析

当应用层出现异常流量时,通过IDS&IPS的协议分析、协议识别技术可以对应用层进行深层的流量分析,并通过IPS的安全防护技术进行反击。

四、网络流量控制解决方案建议

对于目前运营商对网络流量控制的需要,论文推荐的流量控制解决方案构架是:全网集中监视+重点控制。全网集中监视反映的是对整个网络的性能监视和分析。重点控制是在网络中的关键位置部署监控探针,在网络中心设置管理系统,以实现运营商在远程对重点地区进行更加细致的监视和控制作用。

(一)监控探针的放置点建议

国际出口、网络互联端口、骨干网的重要中继、重要城市的城域网出口等位置。

(二)全网集中监视主要实现的功能

实时监测网络状况。能实时获得网络的当前运行状况,减轻运维人员工作负担。能在网络出现故障或拥塞时自动告警,在网络即将出现瓶颈前给出分析和预测。

合理规划和优化网络。通过对网络流量的监视、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议协分布特性,为网络规划、路由策略、资源和容量升级提供依据。

引导提供网络增值业务。通过对业务占用带宽的分布、业务会话的统计分析,能够了解和分析网络特性和用户使用偏好,引导开发和规划新的网络应用和业务平台,进行增值业务的拓展和市场宣传,引导用户需求。

灵活的资费标准。通过对用户上网时长、上网流量、网络业务以及目的网站的数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的资费标准。

(三)重点控制实现的功能包括

提供主动的控制功能。不仅仅局限于对网络流量状况的获得,还能够提供基于网络流量监测系统GATE 1000硬件平台和业界领先算法的流量控制功能,主动改进网络服务。

满足重点监控需要。可以提供丰富的监控特征参数,可以进行灵活的复合设定,全面满足运营商需要,也可以通过定制来实现特定要求。

降低互联互通成本。获得重点出口中继链路的利用率、用户和协议分布、源和目的网段间的流量分布和趋势,提供运营和互联成本分析。为网络互通、租用中继以及选择商业战略伙伴决策时提供科学依据,降低成本。

实现区分服务,保证服务质量。流量监控获得的数据,可进行高低优先级客户的网络资源占用率分析、服务质量的监测。通过资费政策的调节、业务等级的区分、在中继线路上实施流量控制,优先保证高优先客户的服务质量。

网络安全和抵御DOS攻击。通过连接会话数的跟踪,源目的地址对的分析,TCP流的分析,能够及时发现网络中的异常流量和异常连接,侦测和定位网络潜在的安全问题和攻击行为,保障网络安全。

五、IPFIX与PSAMP标准

IPFIX(IP Flow Information Export,IP流动信息输出)是IETF的技术人员2004年才制订的一项规范,使得网络中流量统计信息的格式趋于标准化。该协议工作于任何厂商的路由器和管理系统平台之上,并用于输出基于路由器的流量统计信息。

IPFIX定义的格式为Cisco的NetFlow Version 9数据输出格式作为基础,可使IP流量信息从一个输出器(路由器或交换机)传送到另一个收集器。因为IPFIX具有很强的可扩展性,因此网络管理员们可以自由地添加或更改域(特定的参数和协议),以便更方便地监控IP流量信息。使用模板的方便之处在于网管和厂商不必为了用户能够查看流量统计信息,而每次都要更换软件

为了完整地输出数据,路由器一般以七个关键域来表示每股网络流量:源IP地址、目的地IP地址、源端口、目的端口、三层协议类型、服务类型字节、输入逻辑接口。如果不同的包中所有的七个关键域都匹配,那么所有这些包都将被视为属于同一股流量。此外,一些系统中还有为了网络统计进行跟踪而附加的非关键域,包括源IP掩码、目的地IP掩码、源地址自治系统(autonomous system)、目的地自治系统、TCP flag、目的地接口以及IP next-hop等。按照IPFIX标准,如果网络操作人员想以附加的非关键域来描述包,那么基于模板的格式会在输出包的报头之后插入一个新域,并新增新的模板记录。

六、网络监测系统框架

采用不同的检测方法,通过分布式监测方式对通过高速IP网络的数据包进行统计和分析。采集服务器搜集的数据包及统计数据被传送到综合服务器,经合并处理后存入数据库,并进行进一步的分析处理。在这个过程中,可应用Netflow v9、IPFIX以及PSAMP等标准和协议,实现对采集数据的编码与传输。与通常的SNMP、Netflow及其它网管标准不同的是,该框架采取了PSAMP标准及技术,在不降低监测与分析效果的情况下,尽量减少检测数据量。

整个框架从总体看,可分为网络流量数据采集和网络数据分析两大部分。

网络流量数据采集:为适应不断发展的高速网络应用,框架中采用了分布式网络流量数据采集方案,IP流数据可从不同的设备以不同的方法来获取。利用路由器/交换机的数据流量采集功能或是从其他IPFIX/PSAMP数据采集设备,也可直接从网络接口卡等网络数据包摄入设备来得到网络数据,然后再以不同的标准,最终由网络流量数据采集服务器将所有传来的不同格式的数据集中。

为体现现代计算机应用中的兼容性,框架中对网络硬件接口的应用方面,突出了其应用多样性。这样,在原有硬件设备的基础上,如普通的网卡(NIC)、基于硬件时间戳的Endace DAG卡或者其它的专用FPGA网络接口设备,都可以在libpcap、winpcap等库的支持下,由BPF虚拟处理器作为缺省的包捕获工具。在包捕获的软件实现上,采用了多线程机制,使用不同形式的数据队列和数据缓冲设备,以应对突发的大量数据包。

接下来对捕获的数据包,分别交由两种方法和途径进行处理:在Netflow标准支持下,同步完成记帐业务。在这种操作模式下,传送的总的数据量可以被统计下来。数据分析模块利用PSAMP协议,根据不同的具体需求采取不同的取样算法,对数据包进行过滤和抽取以进行分析处理。这样就可以根据实际的需要来进行选择,以减少传输和分析处理的数据量。

网络数据分析:对采集来的网络流量数据,根据不用的应用要进行详细的分析处理。框架中这个部分的设计采用以SQL数据库为中心的分布式数据集中和分析的方法。

以DBMS为中心的操作可以获得更好的分析样本以及统计粒度。此外,为便于网络管理人员的操作,框架中应用基于Web的直观的、图形化的管理界面,所有数据输出都以脚本语言(XML)的形式,直接在Web页面中显示。管理人员可以实时观察网络运行状况,还可以对历史数据进行浏览、分析,同时还可这些实时数据传送到其他应用系统,如分布式入侵检测系统、网络跟踪等。

七、结束语

总的来说,在网络设备上配置网络流量监控系统,对网络流量进行分析和监控,好处还是显而易见的。特别是对于网络流量负荷比较大的网络。可以有效的节省网络带宽和处理资源。也可以作为计费或者流量控制或者网络规划的参考。

参考文献

[1]谢希仁.计算机网络.大连理工大学出版社

篇3

关键词 流量；分类；检测；统计；分析

中图分类号 TN91 文献标识码 A 文章编号 1674-6708（2016）166-00104-01

近年来宽带网络一直保持高速增长，光纤到桌面已基本实现，但网络中巨大的流量会对网络产生怎样的影响，这些流量是如何构成的，始终是一个问题。通过对宽带流量的分析我们可以知道流量的源头和目的、知道协议分布、知道端口情况、知道通信经营指标等、当然最重要的还有数据的安全性。

不同的网络，不同观察点，不同时间的网络流量因网络规模，业务种类，用户构成和使用习惯的不同而不同，甚至受突发事件的影响，网络流量在体量规模，构成成分和比例上都有所不同。一个好的流量分类分析系统，应满足部署位置上的可移植性，流量规模的可伸缩性，时间演进的自适应性。这时系统不仅需要采用先进的分类技术，也需要代表性的训练数据集来确定系统运行参数。数据集主要采用2种方式：PCAP格式和NETFLOW格式，前者捕获的是包级记录，后者则是关于流级得统计信息记录。

宽带流量的分析和检测首先要进行流量的采集，这项工作可以通过交换机或路由器的镜像端口实现，也可以通过光缆分光的方式实现。对捕获的数据进行计算和统计，并把统计数据写入数据库，定期形成网络性能和流量参数的报表，用作分析的依据，在形成足够数量的报表数据后，可以分析数据和系统性能变化的趋势，判断网络是否存在瓶颈，并依据经验，形成经验数据库，使网管系统具备学习的基础和能力。在出现告警或异常情况时，可用来分析对比，判断是否出现了网络的攻击和入侵，判断恶意数据出现的源头和特征，足够数量的数据报表也可以指导各类应急预案的制定，在出现异常情况时可按照事先拟定的规则进行处理。

对于宽带流量的分析和分类，系统需要进行统计模型的学习，统计模型的学习可以分为监督学习和非监督学习方法。所谓的监督学习是需要使用已经标注过的数据集合作为经验知识，对宽带流量的参数和算法进行训练；而非监督学习则不需要使用已经标注过的数据集进行训练，只是根据相关算法对宽带流量集进行汇聚。对数据集的训练过程中需要由经验丰富的专家参与，并进行大量的基础数据分析工作，网络经验数据集是流量分析的重要构成因素。在实际分析过程中，由于宽带核心网络的流量巨大，所以高性能的预处理路由器和大规模刀片服务器必不可少。为了提高分析效率，可以只分析单向流量，并且在预处理过程中将IP数据报文的载荷去掉。但由于各种网络协议不断演进，加密的流量不断增加，各种新应用不断出现，网络数据集的标注也变得越来越困难。

网络流量的分类和分析中对于标准协议的分析最为准确，可根据TIP/IP协议簇中标准的服务端口号对流量报文进行匹配，并根据端口号的不同将流量对应为不同的应用。非标准协议可以使用DPI（深度包检测）在应用层对流量进行特征字符串的分析匹配，由于不同的应用在TCP/UDP的数据包中包含特征字符串，因此在掌握的不同网络应用的特征字符串后，可以将网络流量精确的分类和匹配，缺点是需要消耗较多的系统资源。但很多网络应用的特征字符串难找易变，代表性差及加密度高等问题，也导致误检率和检全率下降。流量分析监控和网络应用的发展一直是不断演变的矛盾。

基于协议的分类方法需要分析每种协议的特定的行为特性，标准的通信协议易于掌握，私有协议比如P2P或VOIP等基于软硬件客户端的应用则会有较多的变化，或进行加密使用就会影响流量分析的效果，甚至无法识别。有时同一应用软件的不同版本间也会出现不同的流量特征，即版本的变化会造成协议特征的变化。另外，网络中的单向流量、数据的时延、抖动都会对流量分析的算法产生影响。以上这些因素都是流量分析的难点和痛点。

运营商的骨干网络逐渐向扁平化发展，网络出口的数量增加和结构日趋复杂，及动态路由算法的大量使用，使得网络流量在多条链路或多个不同ISP之间动态调配，导致在某个观察点只能得到部分流量，这对于依赖双向流量特征的分析方法无法实施。基于P2P的应用目前也在不断扩大，P2P的发展使得应用和传输分离，应用端点和传输分离，打破了原有的B/S或C/S的传统传输模式，多源头并发传输使得流量特征模糊化，使得数据采集的有效性无法保障。还有一些网络应用为了逃避被检测到，常常采用已知协议的方法，例如FTP、HTTP、POP3等，由于IP地址的区分，冒用已知协议并不会影响正常网络通信，但给流量分析带来很大难度。

宽带网络流量分析不仅可以使我们可以清楚的知道网络流量的内容，还可以为网络建设、网络优化、运营管理、网络安全保障提供依据和手段。同时，网络应用在不断推陈出新，各种私有化的协议和加密方法不断出现，且由于用户接入带宽的不断提高，核心网流量呈几何速度增长，这些因素在客观上也大大增加了网络流量分析的难度和成本。现有的网络流量分析再次面临挑战，网络流量的分析研究工作需要不断深入进行。

参考文献

[1]Nader F.Mir.计算机与通信网络[M].潘淑文，等，译.北京：中国电力出版社，2010，1.

[2]余浩，徐明伟.P2P流检测技术研究综述[J].清华大学学报，2009（4）：610-620.

篇4

[关键词]网络流量流(Flow)

中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1210099-01

随着IT、网络技术的迅猛发展和企业信息化程度的不断提高,各种网络应用越来越丰富。因此,如何保证网络的可用性和关键业务的畅通运行,对网络正常健康的发展将起到至关重要的作用。维持正常网络运转,就需要有相应的技术手段,明确了解网络上各种应用的带宽占用情况,分析用户流量行为,以便合理的规划和分配网络带宽,有效地保障关键业务应用的正常运行。尤其是在发生流量异常的同时,迅速有效的分离和抑制异常流量,对非法业务实行遏止,使网络流量能保持其健壮性。

常用的网络流量和协议分析有四种方法:

一、基于SNMP

MRTG是最常使用并且最典型的一种基于SNMP的产品。其安装过程非常简便,其结果输出采用Web页面方式,因此需要在相应的平台上安装系统,如NT上需要安装IIS,UNIX则需要安装apache。MRTG通常被网络管理人员用来收集网络节点端口流量统计信息,是典型的监视网络链路流量负荷的工具。MRTG的定制非常方便,一般可以在网络的重要节点端口和故障发生频繁的网络设备处利用MRTG进行监视,这些监视包括:关键链路流量和关键节点性能状况。

MRTG的优点是安装、定制简单,结果采用Web方式输出方便实用,而且是免费产品,在世界各地有很多的开发人员不断对其升级和改进。MRTG的缺点是功能较单一,分析功能不强,其收集到的流量信息是端口的统计信息,不能用于复杂的分析。

二、基于网络探针(Probe)

流量探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息,分析的结果存储在探针的内存或磁盘之中,具体的前端展现依赖与之对应的专门软件。因此具有效率高、可靠性高、高速运行不丢包的特点。流量探针安装非常方便,可以实时将RMON II的流量信息完全记录下来,这对分析网络的性能和故障很有价值。如果将流量探针串接到Catalyst系列交换机端口,开启端口映射(Span Port)功能,将各个端口的流量映射到安装了流量探针的端口,则仅通过对一个端口的监测就可以收集到多个端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列设备上都可以实现。其它厂商如Foundry公司的交换机也提供端口映射的功能,但现在还不支持跨交换机的映射。

流量探针的安装很简单,可以用于高速(千兆)的网络而不影响网络性能,流量探针可以实时捕捉包,但其成本高,不同的物理链路,因其采样方法也不同,而需要使用不同种探针。

三、基于实时抓包分析

基于实时抓包的分析技术提供详细的从物理层到应用层的数据分析。但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。常见的产品有NAI的Sniffer Pro,免费的tcpdump、ethereal等。

通过端口映射Sniffer Portable可以实时采集多种数据并保存到数据库中,同时可以通过其分析部件实时监视和显示这些数据的统计信息。利用Sniffer Portable的数据捕捉功能可以在短时间内对网络流量进行实时采集,这些采集到的流量数据可以包含整个包的信息,也可以只是包的一部分。利用捕获到的包可以进行协议分析、数据重组(如重组E-mail)等工作。对包的解码和分析是Sniffer工具的一个最有特色的,也是最强大的功能。

当不采用厂家的特殊硬件系统,Sniffer Portable只能用于100Mbit/s

及以下速率链路,网络中可以安装多个Sniffer Portable,但它们都是相互独立的,分别有各自的数据库,收集到的数据独立存放,这对于整个网络的分析带来一定难度,因此它特别适合小范围内的性能维护和分析;Sniffer Portable分析能力特别强大,可以解析近370种协议。当要求对更高速(GE或POS 2.5Gbit/s)的链路采集流量,或者是全面收集大型网络的流量时,可以采用Sniffer的硬件产品及其分布式系统,但其价格昂贵。

四、基于流(Flow)的流量分析

目前基于流的分析技术主要有两种:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks联合开发的一种网络监测技术,它采用数据流随机采样技术,可以适应超大网络流量(如大于2.5Gbps)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。目前,仅有HP、Foundry和Extreme Networks等厂商的部分型号的交换机支持sFlow。NetFlow[13]是Cisco公司开发的技术,它既是一种交换技术,又是一种流量分析技术,同时也是业界主流的计费技术之一。它可以回答有关IP流量的如下问题:谁在什么时间、在什么地方、使用何种协议、访问谁、具体的流量是多少等问题。NetFlow因为其技术和Cisco网络产品的市场占有率优势而成为当今主流的流量分析技术之一。NetFlow的配置非常方便、安装简单,除了需要在路由器上配置之外,只需要一台UNIX工作站作为流的收集工作站,所有路由器或交换机上发送的NetFlow流都将送到此工作站集中,方便处理和分析。NetFlow流信息量特别丰富,可以为流量分布、业务分布等性能分析提供最充足的数据,但需要消耗一定的路由器资源(CPU和内存)且不能实时捕捉数据包。根据NetFlow的特点可知,其非常适用于大型的网络,和流量探针、Sniffer等比较,NetFlow成本最低,实施最方便,而且不受速率的限制,是数据流量采集的发展方向。

基于Flow的分析方法将成为趋势,在上面所提到的四种方法中,基于Flow的分析方法应该是网络流量分析技术的趋势。这是它的技术实现理论所决定的。

参考文献:

[1]朱士瑞,基于小波分析的异常检测系统[D].江苏大学硕士学位论文,2006.

[2]陈宝钢、张凌、许勇,基于P2P应用的网络流量特征分析[J].计算机应用,2005,Vol.27,No.3.

[3]顾荣杰、晏蒲柳、邹涛,基于统计方法的骨干网异常流量建模与预警方法研究[J].计算机科学,2006,Vol.33,No.2.

篇5

关键词：校园网；流量异常分类；异常检测与处理；流量清洗方法

中图分类号： TP393 文献标识码：A

1 引 言

随着校园网络规模不断扩大与复杂化，校园网络服务同时呈现多样化和复杂化，对网络性能的要求也越来越高。校园网中有教育教学信息管理系统、网上教学、视频会议、电子图书、电子邮件服务、网上购物、网上游戏等各种应用诸全，称得上多业务网络，基本上实现与国际互联网的完全接轨。多种应用基于p2p 、流媒体技术、云运算等新型技术，需占用大量的校园网络有限资源。同时，校园网络安全面临着严峻挑战，网络流量异常时常发生，特别是DDOS、蠕虫、恶意代码、网络扫描及黑客攻击越来越多，这对网络性能、安全管理及网管人员素养提出更高的要求。由于学校教学作息时间的规律性决定校园网络行为特征及日常运行也具有规律，因此正常情况下校园网络流量变化也具有规律性，这就使得网络流量异常管理具有规律可循。本文针对校园网络情况首先阐述了流量异常概念、分类；然后对校园网中引起各种流量异常的原因进行分析，并对各类异常提出了相应的解决办法；接着针对目前解决网络攻击异常在方法上存在的不足，设计出一种异常流量检测、清洗与回注的解决模型，并对其关键算法进行介绍，最后进行小结。2 校园网异常流量检测及处理办法2.1 流量异常与流量异常

网络流量是单位时间内通过网络设备或传输介质的信息量（报文数、包数或字节数）［1-2］。只有知道网络正常情况下的行为特征，我们才能判断什么是流量异常。我们把有限的带宽资源承载着非预期的流量，定义为异常流量。异常流量的存在是网络流量产生异常的重要情形。

2.2 校园网流量异常产生原因及分类

流量异常一般是指非用户正常上网产生的流量，比如病毒、网络攻击等造成的流量异常。在校园中，由于资料的有限，一些热门服务如网络游戏或其他大量的P2P应用等，连接用户数过多，使得核心设备不堪负载而出现异常情况比较频繁。因此,从校园网络用户群体角度考虑,可把网络流量异常分为三类：网络故障引起的异常、连接数异常和网络攻击异常。

1)设备故障异常。因网络设备自身出现故障而引起流量异常，例如校园网中各类服务器故障、路由器故障、交换机故障以及网线接口故障等。这些故障引网络拓朴结构发生变化或链路中断，从而引起流量异常。

2) 连接数异常。各用户争夺热门服务或重要资源，发起的对外连接数过多,造成核心设备负载过大影响正常流量的使用。例如，网络相关课程教学中学生同时访问某一服务器；课余时段大量学生使用P2P服务；还有一年一度的高考招生填报志愿时段，客户访问量短期猛增而且不可预测引起网络流量异常等多种情况。

3)网络攻击异常。是指网络中出现恶意病毒，对网络中某个目标进行攻击时出现的异常［3］。校园网中常见的有蠕虫病毒、DOS/DDOS攻击和端口扫描攻击。例如当校园网内某台上网主机感染蠕虫病毒时，导致该主机疯狂地进行主机探测，这时网络中会出现蠕虫病毒特征包，网络中会大量充斥这种包，从而引起业务数据丢失，网络流量过载，或者网络拥塞，是非用户正常上网产生的流量┮斐！

2.3 流量异常检测与处理

2.3.1 异常监控与检测

在校园环境下，由于教学作息时间具有规律性，各种服务群体相对稳定，使得正常情况下学校教学楼、行政楼、学生公寓等各区域网络流量也呈现出周期性规律，因此，校园网络管理相对容易。

要解决网络流量异常问题，重要的是通过监控与检测发现异常。网络舆情监测软件有很多种，但是主要的流程还是差不多，包括信息采集、信息处理和信息服务三个流程。建议采用MRTG、Sniffer Pro软件进行异常流量检测与监控。MRTG［1］也是一个非常有用的网络流量监控软件，而且是免费的，应用方便；它是利用SNMP协议(对互连的网络设备进行管理时遵循的标准协议)去侦测指定的运行有SNMP协议的网络设备，每隔几分钟采样并统计其设备流量。对于校园网络的流量统计与分析，只要在一台电脑上安装MRTG软件并进行相关设置，如进行snmpd配置允许mrtg读取其interface(网络接口) 流量数据，就可得实时可视化结果（图1所示），从而使管理员可以方便的进行管理。Sniffer Pro是最著名的网络流量分析工具之一，是一个具备完整传统功能的网络故障诊断与流量分析工具，不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。基于便携式软件的解决方案具备最高的性价比，提供的主要功能包括监控、报表，捕获、解码、专家系统智能分析等。

我们通过观察实时流量图，结合查看日志服务器就能及时了解校园网的运行状态，从而采取相应措施对网络出现的问题进行及时调整和解除。

2.3.2 流量异常处理方法

解决流量异常就是随时发现流量异常，及时定位引起网络异常情况的源头，解除异常或有效地控制异常流量的蔓延，及时有针对性地采取措施，保持网络畅通、避免网络阻塞，同时合理地分配带宽，保障主要业务的正常开展。通过异常检测与监控发现异常之后，就可针对不同异常类型采取相应措施予以解除。

对于设备故障异常的检测与解决方法，通常首先采用Ping、tracert查看网络连通性和速度，再结合查看日志进行定位，最后检测端口与硬件，一般情况下此类异常问题均可解决。

对于连接数异常最简单的方法可采用流量优化系统(如Skynet优化系统)，针对各种服务调节阀值［3］进行限流限速，最好对协议的连接数进行控制，直接删除过多的连接数或发送阻断报文，以保障主要的服务或重要的客户流量。

对于网络攻击异常解决方法，主要采用主动预防和设备拦截等技术。安装监视、日志或者其他流量分析系统, 攻击发生时, 就可很快地诊断出攻击的类型以及攻击源，要尽可能地修正已发现的问题和系统漏洞, 识别、跟踪或禁止这些机器或网络对我们的访问，如对异常流量的端口流量进行限制；把网络分为多个子网, 并改变IP 地址和主机名，在拒绝服务攻击中, 这种方法是一种较为有效的方法；应用包过滤的技术, 配置正确的路由器和防火墙，采用防火墙或网关等设备进行拦截；从保障主要业务不受影响方面考虑可采用异常流量的清洗与回注技术。

3 校园网异常流量的清洗与回注技术

目前面对各种入侵攻击，传统的防护手段采用防火墙或路由器等设备拦截。一方面由于防火墙或路由器等设备均是基于网络层的检测，而大多数DDOS攻击可以采用合法协议进行攻击，因此传统的防护手段无法正确识别并加以防护。另一方面异常流量的拦截往往以牺牲服务质量为代价，用户正常业务受到较大影响。鉴于这些不足，我们针对校园网络设计一种异常流量清洗与回注的解决方案，模型如图2所示。本方案处理过程包括流量采集模块、异常流量检测模块、业务管理模块、异常流量处理模块。

1）流量采集模块：采用流量镜像或者分光的方式把被保护对象的流量复制缓存空间，或从主干交换机或核心交换机实时采集流量。

2）流量分析与检测模块：对实时流量采用深度数据包检测技术（DPI），也可以通过分析网络设备输出的NetFlow/NetStream/SFlow流信息（DFI），从而深入识别隐藏在背景流量中的攻击报文，识别攻击类型及时并报告业务管理模块。

图2 校园网异常流量检测与清洗模型

3）业务管理模块：控制异常流量处理并报告管理信息：从流量分析与检测模块中获取攻击信息，通知流量处理开启攻击防御；攻击停止或处理完毕时清除缓冲区和恢复相关状态值；针对各种检测和清洗的各种威胁流量，提供丰富的攻击日志和报表统计功能，包括攻击前流量信息、清洗后流量信息、攻击流量大小、时间和排序等信息以及攻击趋势分析等各种报表信息，便于了解网络流量纯觥

4）流量清洗与回注模块：发现攻击报文时，迅速地将被攻击用户的流量牵引到异常流量处理模块来，采用先进的“并行流过滤”、“智能流量检测”等技术对其进行清洗。清洗可采用在线和旁路部署两种方式。采用旁路部署的方法时，可以实现对流量的按需清洗，在任何情况下都不会影响正常流量。当采用在线部署模式下，可以实现实时清洗。清洗之后再通过策略路由、MPLS VPN、GRE VPN等方式将干净回注给用户，用户正常业务不受任何影响。

流量清洗与回注算法如下：

步骤1 准备：利用BGPBorder协议（Border Gateway Protocol，边界网关协议），首先和被保护域的旁路设备建立BGP Peer。

步骤2 清洗启动：异常流量检测系统通过镜像或者分光的方式把被保护对象的流量复制过来，按照测试部件中的安全策略基线，判断是否有攻击发生，如果发现有攻击发生，立即进入步骤3

步骤3 清洗与回注：发生攻击时，业务中心通过BGP协议向旁路设备发送BGP更新路由通告，更新旁路设备上的路由策略，将流经所有旁路设备上的被保护对象的IP流量动态地牵引到清洗模块进行清洗，并把清洗后的“干净”流量回注给被保护对象。

步骤4清洗结束：当检测模块检测到攻击停止时，清洗模块根据事先设置好的模式，选择自动或手动停止牵引，弃放缓存空间，返回步骤2。

4 结束语

随着校园网规模扩大和应用的复杂化，网络攻击异常和连接数异常较普遍，严重影响校园网络服务质量和网络性能，我们应该采用主动检测、预防控制和设备拦截技术为主要处理手段。本文针对校园网提出的各种处理方法实用便捷，引入的流量清洗与回注方案具有一定的参考价值。在校园网络中对于重要的业务服务我们建议启用流量检测与清洗方案，目前市场上已有异常流量清洗产品，由于实时清洗对预存容量与速度要求较高，因此一般以硬件产品为主，我们可以根据业务需要选择┦褂谩

参考文献

［1］ 史忠植.MRTG 的研究与部署［J］.计算机应用，2004,24(3).

［2］ 郝星文,李怀诚.网络流量分析系统的设计与实现［D］.北京:北京邮电大学,2005.

［3］ 常莉.浅析校园网络流量的监控策略［J］.信息与电脑(理论版)，2005，20（2）：21-25.

［4］ ERIC MAIWALD.网络安全实用教程［M］.北京: 清华大学出版社, 2003.

［5］ DUFFIELD N,GROSSGLAUSER M. Trajectory sampling for direct traffic observation［J］.Preceedings of the ACM SIGCOMM 2000,271-282.

［6］ DUFFIELD N, LUND C, THORUP M. Charging from sampled network usage.in: ACM SIGCOMM Internet Measurement Workshop 2001, San Francisco, CA［J］.November 1-2,2001,245-256.

［7］ DUFFIELD N, LUND C, THORUP M. Properties and Prediction of Flow Statistics from Sampled Packet Streams.in: ACM SIGCOMM Internet Measurement Workshop 2002, Marseille, France［J］.November 6-8,2002,159-171.

［8］ 高传善, 钱松荣, 毛迪林. 数据通信与计算机网络［M］ . 北京: 高等教育出版社, 2003.