网络流量监测
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络流量监测范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络流量监测范文第1篇
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
随着网络规模的日益扩大和网络结构的日益复杂,导致计算机网络管理的难度越来越大,相应的要求也变得越来越高。各种网络活动都离不开网络流量,网络流量作为网络用户活动的主要载体,发挥着较为重要的作用。通过监测分析网络流量,可以完成容量规划、链路状态监测、异常监测、网络性能分析等,对于计算机网络的维护和运行都能够发挥重要作用。如netcounter是一款简单易用的网络流量监控软件。它可以分别显示手机网络和wifi当天、本周、本月和所有时间的流量统计。本文就计算机网络管理中网络流量监测进行研究。
1 网络流量的特征
1.1 大部分TCP会话是短期的。对于TCP会话而言,超过90%的会话时间都不会超过几秒,交换数据量一般都在5-10K字节,很少有能够10K字节的。虽然远程登陆和文件传输之类的TCP会话是长期的,但是百分之八十多的WWW文档传输大小都是小于10K字节,而目前这种WWW文档传输大幅度增加,从而导致大部分TCP会话是短期的。
1.2 数据流是双向的,但通常是非对称的。对于计算机网络而言,大部分互联网应用都不采用单向交换,而是双向交换数据,所以,网络流量也自然都是双向的。但通常这两个方向的数据率存在很大的差异,主要原因就在于:网站到客户端的数据量会由于网站下载而比客户端到网站的数据量多。
1.3 网络通信量具有局域性。对于网络流量而言,一般都包括两种局域性,分别是空间局域性和时间局域性。用户通过互联网应用层来对网络进行访问,主要是在包的目的地址和时间上进行体现,从而显示出空间局域性(基于空间相关)和时间局域性(基于时间相关)。
1.4 包的到达过程不是泊松过程。按照传统的通信网络设计和排队理论都假设泊松过程就是包的到达过程,也就是说,包到达的间断时间的分布是独立的指数分布。
例如电话、交通事故、地震等事件都是独立地、按照一定的概率来发生的,这也就是泊松到达过程。但是根据近年来测量互联网络通信量的显示结果表明,泊松过程已经不再是包到达的过程。包的到达具有有突发性,在很多时候都会有多个包连续到达,包到达的间断时间不是独立分布的,同时也不服从指数分布。包的到达过程已经不能被泊松过程来精确描述。造成这样的原因部分在于数据传输所使用的协议。这种非泊松结构使得人们在研究网络的可靠性时不再采用简单的泊松模型,从而使得网络通信量模型的研究大大促进。
2 计算机网络管理中网络流量监测的方法
在深入了解互联网通信特性之后,我们在监测网络流量的时候就可以采取相应的技术措施。从目前的实践经验来看,计算机网络管理中网络流量监测的方法主要有两种,分别是被动测量和主动测量。
2.1 主动测量。主动测量的工作原理就是通过测量设备来测量端到端的网络流量和网络特征,进而了解被测网络当前提供数据传输的能力和具体的运行状态。在主动测量网络流量的过程中,网络测量系统应当由四个部分构成,分别是分析服务器、中心数据库、中心服务器、测量节点。
主动测量网络流量的最大优点就在于三个方面,分别是灵活性、可控性、主动性都较好,而且还能够直观地统计端到端的性能。但是主动测量网络流量的方法也存在着不足之处,那就是实际情况与我们所获得的结果存在着一定的偏差,主要原因在于主动测量是主动对网络注入流量。
2.2 被动监测。被动测量其监测原理是通过部署一定的网络设备和监测点来被动地获取网络流量的数据和相关信息,这是一种典型的分布式网络监测技术。被动监测恰恰弥补了主动监测的缺点和不足,它不会对原有网络流量进行改变,自然也就不会如主动监测一样造成这样大的偏差,实践也证明了这一点。但是被动监测也存在着自身的不足,主要就是它采集数据和相关信息是从单个点或设备进行的,这种实时采集的方式很有可能会泄露数据,也很难有效分析网络端对端的性能看,采集信息数据量过大,但是总的来说,被动测量的优点是占主导地位的,所以被动测量比主动测量应用更为广泛,正在被大量地应用在对网络流量分布进行分析和测量中。
3 网络流量监测技术的具体应用
3.1 为网络出口互联链路的设置提供决策支持。通过有效地分析网络出口流向和流量,能够有效地掌握网络内部用户对于网络的访问情况,从而可以有效的决策,减少互联链路中的浪费现象,有效地节约开支。同时,通过网络流量监测与分析,能够为各种网络优化措施,如路由选择、重要链路带宽设置、多出口流量负载均衡等提供正确的数据依据。
3.2 网络流量监测可以对网络运行商提供大客户统计分析和重要应用的统计分析。通过对这些流量进行统计分析,可以有效地分析网络带宽成本,有助于在网络成本和网络服务质量二者之间取得最佳平衡点,既让大客户满意,又能够让网络运行商有较好的盈利。同时,通过监控分析大客户接入电路上的流量,能够有效地统计出通信数据量、通信时间、服务等级、业务类型等多个参数,为基于服务等级协议(SLA)和IP的计费应用的校验服务提供正确的数据依据。
3.3 通过对各个分支网络出入流量的监控,分析流量的大小、方向及内容组成,了解各分支网络占用带宽的情况,从而反映其占用的网络成本,作出价值评估。
3.4 掌握网络内部用户对其他运营商的网络访问情况。通过监控网络内部用户对其他运营商的网络访问情况,可以有效地掌握用户对于那些网站有兴趣,也可以准确地分析网络内部用户访问外网主要流量方向及业务特点,根据分析结果来有的放矢,找到广大网络用户感兴趣的热点信息,然后对自己的网络内容进行相应的补充和建设,减轻用户流失。同时,长期监控一些特定网络流量,有助于网络流量模型被网络管理人员所了解、所掌握,网络管理人员可以通过所掌握的基准数据来对网络使用状况进行正确的分析,在网络安全存在隐患的时候就能够及时异常警讯,采取相应的防御措施,从而使得整个网络的整体效能和整体质量都得到大幅度的提升。
4 结语
随着网络流量监测技术的完善,必将为提高计算机网络管理的管理水平和服务质量发挥更为重要的作用。
网络流量监测范文第2篇
【 关键词 】 模糊相对熵;网络异常行为;网络异常流量检测
【 中图分类号 】 TP309.05 【 文献标识码 】 A
1 引言
IP网络具有体系架构开放、信息共享灵活等优点,但是因其系统开放也极易遭受各种网络攻击的入侵。网络异常流量检测属于入侵检测方法的一种,它通过统计发现网络流量偏离正常行为的情形,及时检测发现网络中出现的攻击行为,为网络安全防护提供保障。在网络异常流量检测方法中,基于统计分析的检测方法通过分析网络参数生成网络正常行为轮廓,然后度量比较网络当前主体行为与正常行为轮廓的偏离程度,根据决策规则判定网络中是否存在异常流量,具有统计合理全面、检测准确率高等优点。基于相对熵的异常检测方法属于非参数统计分析方法,在检测过程中无须数据源的先验知识,可对样本分布特征进行假设检验,可在缺乏历史流量数据的情况下实现对网络异常行为的检测与发现。本文系统研究了模糊相对熵理论在网络异常流量检测中的应用,并搭建模拟实验环境对基于模糊相对熵的网络异常流量检测方法进行了测试验证。
2 基于模糊相对熵的多测度网络异常流量检测方法
2.1 模糊相对熵的概念
相对熵(Relative Entropy)又称为K-L距离(Kullback-Leibler divergence),常被用作网络异常流量的检测方法。本文引入模糊相对熵的概念,假定可用来度量两个概率分布P={p1,p2,...,...,pn}和Q={q1,q2,...,...,qn}的差别,其中,P、Q是描述同一随机过程的两个过程分布,P、Q的模糊相对熵定义为:
S(P,Q)=[Pi ln+(1-pi)ln] (1)
上式中qi可以接近0或1,这会造成部分分式分母为零,因此对(1)式重新定义:
S'(P,Q)=[Pi ln+(1-pi)ln](2)
模糊相对熵为两种模糊概率分布的偏差提供判断依据,值越小说明越一致,反之亦然。
2.2 多测度网络异常流量检测方法流程
基于模糊相对熵理论的多测度网络异常检测具体实施分为系统训练和实际检测两个阶段。系统训练阶段通过样本数据或监测网络正常状态流量获取测度的经验分布,实际检测阶段将实测数据获取的测度分布与正常测度分布计算模糊相对熵,并计算多个测度的加权模糊相对熵,根据阈值判定网络异常情况,方法流程如下:
Step1:获取网络特征正常流量的参数分布。通过样本数据或监测网络正常状态流量获取各测度的经验分布。
Step2:获取网络特征异常常流量的参数分布。对选取网络特征参数异常流量进行检测获取各种测度的概率分布。
Step3:依据公式(2)计算单测度正常流量和异常流量间模糊相对熵Si。
Step4:计算多测度加权模糊相对熵S。
S=α1S1+α2S2+…+αkSk (3)
式中αk表示第k个测度的权重系数,由测评数据集统计分析获得。
最终,根据S建立不同的等级阈值来表征网络异常情况。S越大,表示网络流量特征参数分布偏离正常状态越多,网络中出现异常流量的概率越大;S越小,表示网络流量特征参数分布与正常状态吻合度越好,网络中出现异常流量的概率越小。
3 测试验证
为测试方法的有效性,搭建如图1所示的实验环境,模拟接入层网络拓扑结构、流量类型和流量负载情况。测试环境流量按业务域类型分类,主要分为视频、语音、数据三种业务域,按每个业务单路带宽需求计算,总带宽需求约为2368kbps~3200kbps。
(1)检测系统接入交换机镜像端口,系统部署环境。
①硬件环境:Intel(R) Core(TM) 2 Duo CPU 2.00GHz,2.0G内存;②操作系统环境:Windows XP,.NET Framework 3.5;③数据库系统:Microsoft SQL Server 2005 9.00.1399.06 (Build 2600: Service Pack 3)。
测试环境交换机采用华为S3050C,用户主机接入点配置如表1所示。
测试网络正常流量状态方案配置。
①1号主机架设视频服务器模拟视频业务域,单路平均带宽需求2.59Mbps;②2、3号主机架设音频服务器模拟语音业务域,单路平均带宽需求128kbps;③4、5、6号主机采用应用层专用协议和传输UDP协议模拟发包程序模拟数据业务域,单路平均带宽需求64kbps。
按上述方案配置网络环境,交换机网络流量负载约为2.996Mbps。
3.1 测试用例设计
网络中的异常行为主要包括非法网络接入、合法用户的违规通信行为、网络攻击及未知的异常流量类型等,系统将其定义为四类:带宽占用、非法IP地址、非法IP会话、模糊相对熵异常四类异常事件,其中模糊相对熵异常可根据经验数据设定多个阈值等级。测试用例以网络正常流量为背景流量,根据测试目的添加异常流量事件。测试用例设计及实验测试过程如表2所示。
3.2 结果分析
测试用例持续监测网络两小时。根据模糊相对熵数据输出,绘制ROC曲线,检测率与误警率的关系如图2所示。通过ROC曲线,能够准确反映模糊相对熵异常流量检测方法检测率与误警率的关系。权衡检测率与误警率,选择合适的阈值。当模糊相对熵阈值设定为39.6时,系统检测率为84.36%,误警率为3.86%,表明检测系统对未知异常流量具有较好的检测效果。
4 结束语
基于模糊相对熵的网络异常流量检测方法可以在不具备网络历史流量信息的情况下,通过对网络流量特征进行假设检验,实现对网络异常行为的检测发现。实验测试结果表明,设定合理的模糊相对熵阈值,该方法的检测率可达84.36%。在下一步的工作中,将研究自学习式阈值设定方法,以及对模糊相对熵方法进一步优化,提升方法的准确性和效率。
参考文献
[1] 蒋建春,冯登国等.网络入侵检测原理与技术[M].北京: 国防工业出版社,2001.
[2] 蔡明,嵇海进.基于ISP网络的DDoS攻击防御方法研究[J].计算机工程与设计,2008, 29(7):1644-1646.
[3] Francois Bavaud. Relative Entropy and Statistics[EB/OL].http://unil.ch/webdav/site/imm/users/ fbavaud/private/IT_statistics_bavaud.pdf.,2011-05-16.
[4] 张亚玲,韩照国,任姣霞.基于相对熵理论的多测度网络异常检测方法[J].计算机应用,2010, 30(7):1771-1774.
[5] 李涵秋,马艳,雷磊.基于相对熵理论的网络Dos攻击检测方法[J].电讯技术, 2011, 51(3):89-92.
[6] 张登银,廖建飞.基于相对熵理论网络流量异常检测方法[J].南京邮电大学学报(自然科学版),2012, 32(5):26-31.
[7] 胡为,胡静涛.加权模糊相对熵在电机转子故障模糊识别中的应用[J].信息与控制,2009, 38(3):326-331.
作者简介:
姚宏林(1974-),男,硕士,副教授,从事信息安全教学与研究。
网络流量监测范文第3篇
关键词:最优质量传输,神经网络,视频检测,监督式分类
中图分类号:TP183 文献标志码:A 文章编号:1007-2683(2017)01-0086-05
0 引言
目前,火焰检测大多是通过使用点式光电感烟探测技术来执行的。这些方法在大的,开放空间和有固定延时的情况下检测效果不好,这是因为燃烧粒子所到达传感器所用时间的影响。文仅使用像素的颜色信息最为特征来检测。文中的检测方法使用傅里叶描述符来描述火焰的边界。在文中,使用小波分析来解决FFT执行时窗口的选择问题。这种方法依赖于小波能量,寻找小波能量最低且对噪声是敏感的点。文中,作者提出一种系统,这种系统建模火焰像素作为一种固定空间像素小波系数的隐马尔科夫模型,这种固定空间像素是在三中状态之间变化的变量。此外,他们使用边界区域光滑作为分类变量。这两个属性相结合作为一个弱分类器。在文中非烟区域使用背景估计和颜色信息进行滤波。然后,计算Lucas-Ka-nade光流并且使用流的统计信息来训练神经网络。
这些方法有一个共同点,就是不试图区分类独立的像素。本文为了检测火焰和烟雾,同样不去使用独立的像素,以利于与火焰、火灾烟雾颜色相近的实物的区分。基于该主要研究目的,提出了基于最优质量传输光流法的检测算法,并结合神经网络,对火焰和烟雾进行检测。
1 分类器特征选择
目前大多数的检测方法都是基于启发式模型,这种模型描绘火或者烟的大约特征,但这往往不是最优的。一个最基本的方法是从描述烟或者火的训练数据中学习,训练一个分类器如神经网络等。训练和测试的原理如图1所示。
计算一个图像序列的光流,而不是简单的帧差,这允许考虑成像过程所期望的属性;接下来会讨论原因,基于最优质量传输的光流被计算用于火的分类,Horn-Schunck光流用于烟雾区域的分类。
图1(a)通过人工标记样本图像序列创建训练数据。样本含有时空像素邻域,这个邻域被标记是否含有火,烟或者二者都没有。通过系数矩阵有限差分求解器来计算最优质量传输光流。特征矢量是由含有R、G、B颜色通道和光流速度形成的,且特征矢量通过一个反向传播神经网络分类器进行分类处理。
图1(b)在一个新的视频帧中使用训练的分类器权重为每个像素邻域创建特征适量测试分类器。最终的输出含有每个像素类成员的概率(烟、火都没有)。
1.1 最优质量传输
最优质量传输问题起初是由Gaspar Monge在1781年提出的,且关注寻找将一堆土从一个地点移动到另一个地点最优的方式,其意义在于最小化传输成本。这个问题在Kantorovich研究中被给出一种数学构造,这就是熟知的Monge-Kantorovich问题。
我们现在给出Monge-Kantorovich问题的构造。令Ω0和Ω1是Rd的两个子域,拥有光滑的边界,每个有一个正的密度函数,分别是μ0和μ1。我们假设
这项总的相同质量是与Ω0和Ω1有关的。我们认为微分同胚映射u是从(Ω0,μ0)到(Ω1,μ1),微分同胚映射的意义是映射一个密度到其他的密度
(1)
也许有许多这样的映射,并且从某种意义上来说我们想要选择一种最优的。因此,定义LPKantorovich-Wasserstein度量标准如下:
(2)
(3)式中|Hω|表示ω的海森行列式。
因此,Kantorovich-Wasserstein度量定义两个质量密度的距离,通过考虑式(2)给出的公式计算从一个域到另一个域最便宜的方式,最优传输映射在p=2是情况下,是某一种函数的梯度。这个结果的新颖之处在于,它像平面上的Riemann映射理论,这个过程指出一个特定的偏爱几何学的映射。
1.2 光流法
光流是一种计算方法来计算在很短时间差内一组图像间运动。主要的思想是每个图像的灰度值在两帧图像间是不变的。这导出光流约束方程
(4)
(5)
注意方程(5)的一个潜在的假设是亮度恒定。在这种假设下,一个物体的亮度从一帧到另一帧是恒定的。这个假设适用于一个朗伯表面刚性物体但不是用于气体和液体材料。在计算机视觉中,这些通过所谓的动态纹理建模。烟和火的典型的动态纹理具有内在动态,所以不能通过标准光流方法来进行捕获。同时,烟/火区域流的速度比周围地区的速度快的多,通过公式(5)给出的模型可能又会产生很多错误结果。
这篇文章的目耸腔竦酶好的光流场模型用于火和烟雾检测。这样做的一个方法是基于在这些过程中物理属性的光流。一个简单的属性是火和烟大约使亮度守恒作为一个广义质量并且以文中的最优方法进行移动。因此,一个恰当的数学上的光约束不是强度守恒而且质量守恒或者亮度守恒。这个模型被写为
(6)
理由如下:
这意味着区域强度的总的变化率仅通过一个光流表示(边界上进入或者出去的)。这是一个守恒定律。但是通过散度定理
这是一个精确无穷小亮度(质量)守恒条件。
下面是前面部分的解释,本文提出了用于动态纹理分割的光流:
第一项是优化问题,代表移动图像的总质量,第二项是质量守恒光流方程。
2 神经网络分类分类器
烟雾检测可以抽象为两种模型,其检测结果由给定的像素决定属于有烟的情况或是无烟的情况。神经网络的最小二乘计算模型满足贝叶斯判别式。输出的结果是关于一个像素属于某一特定类的概率,因此决定像素属于有烟情况或是无烟情况的阈值是使用者根据其期望设定的。根据贝叶斯定理,多个事件的后验概率公式可以写成如下形式:
(8)
上式中的x由Ck类满足判别式yk(x,w)具有最大值时确定。如果x属于Ck则目标值tk(x)=l,否则都为零。神经网络每次输出的误差如下式所示:
(9)
当样本数量趋近无限大时,在文中可以看出,反向传播算法最小化下面的式(10)来缩小由神经网络来产生的误差
(10)式中的n代表类的数量。上式表明当数据点的数量趋近与无穷时,输出的结果的判别式等价于后验概率中)yk(x,ω)≈P(Ck|x)。因此,把x指定给类Ck,也就是映射具有最大值的判别式函数,相当于把x指定为具有最大后验概率的这个类。
根据贝叶斯原理,确定判别式的形式。后验概率如下式:
(11)
将文中ak=ln(p(x|Ck)p(Ck))的替换,式(11)也称为softmax函数。此式恰恰是神经网络使用的激励函数。
假设类的条件概率密度p(x|Ck)属于分布的限制指数族,则采用下面的形式:
(12)
将上式的密度代入式(11),得到的等式是关于ak(x)与x成线性关系:
(13)
因此,判别式采用激励函数的形式,当非线性函数φ(x)的线性组合为变量时如下:
(14)式中f(・)为激励函数。
在神经网络中的非线性函数组成了隐藏单元,这些非线性函数是根据具体情况选择的,而且它们是关于输入的线性组合的函数。
(15)其中h(・)是一个柔性最大值(softmax)函数。本文所使用的神经网络是完全被连接的,并且由一个含有20个隐藏单元的单隐层构成的,这个隐藏单元在隐藏层和输出使用softmax非线性。
3 实验结果
为了获得如下结果,只需要6帧图片来训练神经网络分类器。包括手动描绘的有火、无火、有烟和无烟的区域。样本的数量要小并且出自同一视频中。通过提供更多明显的样本,例如来自不同的视频资源的有用和没用的数据样本。可以使分类器检测更多的视频。
神经网络分类器的输出结果为每个像素的后验概率p(Ck|x),这里的类Ck指的是有火或烟和无火或烟,x是给定像素的特征向量,图2中显示了分类器的一个样本输出中一帧图像的所有像素。根据阈值可以选择像素的类,图2显示的是烟,图3显示的是火。
对图2所示的图片进行特征向量提取和相邻时空像素最优质量传输光流速度值计算,并提供给神经网络分类器。输出的每个像素的概率属于烟的类。如图2(b)所示,这种选择是根据阈值概率做出的。可见白烟是从白墙中区分出来的。
将图3所示的一组图像序列提供给神经网络分类器,这个分类器已经通过有火和无火的图像训练过。这时,分类器通过给定的阈值概率来标记图像中火焰。
网络流量监测范文第4篇
【关键词】:主动测量 被动测量 抽样测量
网络流量性能测量与分析涉及许多关键技术,如单向测量中的时钟同步问题,主动测量与被动测量的抽样算法研究,多种测量工具之间的协同工作,网络测量体系结构的搭建,性能指标的量化,性能指标的模型化分析,对网络未来状态进行趋势预测,对海量测量数据进行数据挖掘或者利用已有的模型(petri网、自相似性、排队论)研究其自相似特征,测量与分析结果的可视化,以及由测量所引起的安全性问题等等。
1.在IP网络中采用网络性能监测技术,可以实现
1.1 合理规划和优化网络性能
为更好的管理和改善网络的运行,网络管理者需要知道其网络的流量情况和尽量多的流量信息。通过对网络流量的监测、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议分布特性,为网络规划、路由策略、资源和容量升级提供依据。
1.2 基于流量的计费
现在lSP对网络用户提供服务绝大多数还是采用固定租费的形式,这对一般用户和ISP来说,都不是一个好的选择。采用这一形式的很大原因就是网络提供者不能够统计全部用户的准确流量情况。这就需要有方便的手段对用户的流量进行检测。通过对用户上网时长、上网流量、网络业务以及目的网站数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的交费标准。
1.3 网络应用状况监测与分析
了解网络的应用状况,对研究者和网络提供者都很重要。通过网络应用监测,可以了解网络上各种协议的使用情况(如www,pop3,ftp,rtp等协议),以及网络应用的使用情况,研究者可以据此研究新的协议与应用,网络提供者也可以据此更好的规划网络。
1.4 实时监测网络状况
针对网络流量变化的突发性特性,通过实时监测网络状况,能实时获得网络的当前运行状况,减轻维护人员的工作负担。能在网络出现故障或拥塞时发出自动告警,在网络即将出现瓶颈前给出分析和预测。现在随着Internet网络不断扩大,网络中也经常会出现黑客攻击、病毒泛滥的情况。而这些网络突发事件从设备和网管的角度看却很难发现,经常让网络管理员感到棘手。因此,针对网络中突发性的异常流量分析将有助于网络管理员发现和解决问题。
1.5 网络用户行为监测与分析
这对于网络提供者来说非常重要,通过监测访问网络的用户的行为,可以了解到:
1)某一段时间有多少用户在访问我的网络。
2)访问我的网络最多的用户是哪些。
3)这些用户停留了多长时间。
4)他们来自什么地方。
5)他们到过我的网络的哪些部分。
通过这些信息,网络提供者可以更好的为用户提供服务,从而也获得更大的收益。
2.网络流量测量有5个要素:
测量时间、测量对象、测量目的、测量位置和测量方法。网络流量的测量实体,即性能指标主要包括以下几项。
2.1 连接性
连接性也称可用性、连通性或可达性,严格说应该是网络的基本能力或属性,不能称为性能,但ITU-T建议可以用一些方法进行定量的测量。
2.2 延迟
对于单向延迟测量要求时钟严格同步,这在实际的测量中很难做到,许多测量方案都采用往返延迟,以避开时钟同步问题。
2.3 丢包率
为了评估网络的丢包率,一般采用直接发送测量包来进行测量。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等。
2.4 带宽
带宽一股分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其他背景流量时,网络能够提供的最大的吞吐量。
2.5 流量参数
ITU-T提出两种流量参数作为参考:一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔,即包吞吐量;另一种是基于字节吞吐量:用传输成功的IP包中总字节数除以时间间隔。
3.测量方法
Internet流量数据有三种形式:被动数据(指定链路数据)、主动数据(端至端数据)和BGP路由数据,由此涉及两种测量方法:被动测量方法和主动测量方法然而,近几年来,主动测量技术被网络用户或网络研究人员用来分析指定网络路径的流量行为。
3.1 主动测量
主动测量的方法是指主动发送数据包去探测被测量的对象。以被测对象的响应作为性能评分的结果来分析。测量者一般采用模拟现实的流量(如Web Server的请求、FTP下载、DNS反应时间等)来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终究端,所以这种方法能够代表从监测者的角度反映的性能。
3.2 被动测量
被动测量是在网络中的一点收集流量信息,如使用路由器或交换机收渠数据或者一个独立的设备被动地监测网络链路的流量。被动测量可以完全取消附加流量和Heisenberg效应,这些优点使人们更愿意使用被动测量技术。有些测度使用被动测量获得相当困难:如决定分缩手缩脚一所经过的路由。但被动测量的优点使得决定测量之前应该首先考虑被动测量。被动测量技术遇到的另一个重要问题是目前提出的要求确保隐私和安全问题。
3.3 网络流量抽样测量技术
选择部分报文,当采样时间间隔较大时,细微的网络行为变化就无法精确探测到。反之,抽样间隔过小时,又会占用过多的带宽及需要更大的存储能力。采样方法随采样策略的不同而不同,如系统采样或随机采样;也随触发采样事件的不同而不同。如由报文到达时间触发(基于时间采样),由报文在流中所处的位置触发(基于数目采样)或由报文的内容触发(基于内容采样)。为了在减少采样样本和获取更精确的流量数据之间达到平衡。
网络流量监测范文第5篇
【关键词】公司信息 在线监测 应用实践
随着供电公司信息化建设的不断推进,电力信息网络规模迅速扩大,各类业务应用进一步普及,主机的运行状态监测、性能监测和网络运行维护也愈发重要[1,2]。供电公司目前主机服务器主要是Windows服务器,对主机的服务、进程、事件日志、性能、存储、网络流量、应用系统、基本配置等对象的运行监控基本上采用人工巡检和手工监测的方式,既耗费大量人力时间,又很难及时准确有效地发现主机的潜在隐患和故障,难以适应对信息网络运行维护一体化、自动化、精细化管理的需要,因此开发应用了一套专用主机监测系统工具,已成为公司实现主机运维一体化管理和自动化管理的必然手段。
1 主机监控实现
主机监控工具主要功能包括主机服务检测[3]、主机状态监测、关键进程监测、CPU利用率监测、CPU峰值监测、CPU阶段利用率监测、内存使用监测、内存阶段利用率监测、磁盘数量扫描、磁盘空间监测、主机网络流量监测、主机网络丢包率监测、主机网络延迟率监测、IIS状态监测、IIS应用监测、数据库连接监测、服务程序名采集等多项实用化监测指标采集以及各类采集策略配置、采集数据告警配置,并需要与地市公司信息专业统一监控工具的集成应用。
工具技术架构见图1。
主机监控工具是主要包括主机网络监控、主机监控、应用监控,通过监控网络的流量、延迟率、丢包率、主机服务、进程、事件日志、性能变化、硬盘可用空间、指定文件使用概况、WEB服务器、数据库服务器、数据库空间使用等来实时掌握主机的运行情况,确保主机和网络的正常运行。
工具完全由软件来实现,部署简单,集中部署,无需更改网络配置,不影响网络的正常运行。其中管理平台采用WEB架构,部署在应用服务器中。采集服务程序通过主动和被动的方式来获取主机和网络信息。 工具基础数据库采用MYSQL数据库 ,存储主机基础台帐信息、初始化配置信息、网络采集信息、主机采集信息等。
主机监测的参数采集及计算方式如下:
(1)通过Snmp协议对Windows服务器监测,检测Windows进程、Windows主机磁盘剩余容量和接口信息。
(2)编写WMI脚本实现自动任务管理,通过C++程序接口、.Net类等方法获取Windows操作系统的对象信息。
(3)通过WMI获取远程主机的Windows机基本信息。
(4)采用平均值算法计算网络流量、网络的延迟率和网络的丢包率。
2 实现效果
图2为主机运行状态监测展示界面,运维人员可快速掌握主机在线状态、CPU及内存使用情况等基本主机信息。
3 结语
通过主机在线监测工具的开发和应用解决了地市供电公司日常运维过程中对主机的服务、进程、事件日志、性能、存储、网络流量、应用系统、基本配置等对象的运行监控采用落后的人工巡检和手工监测的方式,既避免了耗费大量人力时间,又达到及时准确有效地发现主机的潜在隐患和故障的目的。
参考文献:
[1]兰建容.基于Windows 2000主机监控系统的设计与实现.江西理工大学学报,2006, 27(3):38-42.
