网络流量监控分析
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络流量监控分析范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
网络流量监控分析范文第1篇
关键词: 流量分析;重要端口号;算法思想
中图分类号:TP311 文献标识码:A 文章编号:1671-7597(2012)1210095-01
1 两种不同网络类型的数据流量
在C/S(客户机/服务器)结构中,客户机发送一些请求,服务器为每个请求做出回复。在客户机间不直接传递信息,客户机必须通过服务器把信息发送给其它客户机。这种数据是定向流动的,几乎都是从服务器到客户机。然而在P2P网络结构中每台主机同时担任服务器和客户机角色,对等主机之间可以直接进行数据交换。
2 P2P网络应用的类型
在P2P网络应用程序中,可以分为两类:一是即时通信应用,如MSN和雅虎信使。实时通信程序的主要功能是信息传递,实现1对1或者1对多式用户交流和文件转存。二是文件共享应用,如Napster。文件共享程序的主要功能是查询和文件转存。然而P2P应用程序的联系分两种:一种是中心仲裁式,另一种是纯分布式。大多数实时通信应用程序系统使用中心仲裁,在这种联系方式中,一个或多个核心服务器存在,这些服务器包含所有主机的信息并且把信息发送给请求的主机。在纯分布式中没有中心服务器,在搜索效率和文件传输上都不是很好。实际在P2P网络应用程序使用中存在这两个不同类型的混合通信。
3 P2P网络数据流量分析算法的主要思想
传统的数据流量分析主要是以端口号为基础的分析和对有效载荷的检测分析,而在P2P网络中,这种方法不太适用。比如网络流量中,HTTP通常使用的端口号是80或8080,HTTPS使用端口号443,在P2P网络数据流量中,端口号检测不是那么简单,因为它们使用的端口号超过1024,通常是动态生成的端口号。
因此设想,如果所有的P2P数据流量可以在整个流量中分离出来,然后根据其应用程序的名称分组,那么就可以对P2P网络数据流量进行高精度地分析。基于此,我们提出了一种新的数据流量分析算法。
该算法不检查每个数据包的有效载荷,只使用每个数据包的头信息。主要包括四个过程,分别是应用端口表、重要端口号选择、流量关系图和数据流量分组。算法思想首先是构建应用端口表。它是通过离线穷举搜索方法和数据包分析工具对每个对等网应用程序进行检测与分析,包含应用程序的名称、其经常使用的端口号和协议。其次是重要端口号的选择。从捕获的数据包中分析信息:源地址、目的地址、源端口、目的端口号、协议号。因为源端口和目的端口号通常超过1024,从随机生成的端口号中区分对于P2P应用程序重要的端口号。
第三步是生成流量关系图。大多数P2P应用程序具有多个支持的功能,在相同P2P流量中有可能发现它们之间的关系。对前三个过程的结果进行分析,按照对等网应用程序的名称与关系确定流量分组。分组信息用于P2P应用程序决策,从而提高分析的精确度。
4 P2P数据流量分析系统的设计
根据以上算法,我们设想了P2P网络流量分析系统,用于实时流量的监控和分析。该系统主要包括三个模块,分别是应用端口表模块、重要端口选择模块和流量关系图模块。其中,重要端口选择模块由一个数据包捕获器、一个数据流发生器和一个同步分组表组成。数据包捕获器从一个网络链接接收原始数据包,并生成数据包的头信息,分组头信息被发送到数据流发生器里。如果一个数据包是同步数据包或准同步数据包则被存储在同步分组表中。数据流发生器查找同步分组表,并从每个数据流中选择一个重要端口号。重要端口选择模块依靠网络连接环境在一个单一的系统或多重系统中实现选择。假如数据包在一个单一系统中被捕获,重要端口选择器可以在一个单一的系统中实现;如果有多个捕获器被使用,那么重要端口选择器模块应分为高、低级两层次。最后,流量关系图模块对数据进行分析,并生成流量关系图。
5 总结
本文说明了P2P网络流量的特点和现有的分析机制不适于当前网络流量分析的原因,并提出了算法思想,其与过去相比复杂而精确。利用该算法设计了一个分析系统,使用该系统可以分析大量的未知的无法用传统分析方法进行监控的数据流量。另外,该算法还可以进一步改进,特别是数据流量关系中的算法。该算法还可以应用于其他网络类型中数据流量的监控与分析,比如网络游戏和网络流媒体等数据处理业务中。
参考文献:
[1]刘芳,网络流量监测与控制,北京邮电大学出版社,2009年9月.
[2]高彦刚,实用网络流量分析技术,电子工业出版社,2009年7月.
网络流量监控分析范文第2篇
【关键词】IP网络流量分析;互联网;技术的应用
网络流量分析是一个有助于网络管理者进行网络优化、网络监控、流量趋势分析等工作的工具,进而挖掘网络资源潜力,控制网络互联成本,并为网络规划、优化调整和业务发展提供基础依据,企业需要及时了解到网络中承载的业务,及时掌握网络流量特征,及时解决网络性能问题。从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时了解网络运行状况,及时清楚网内应用的执行情况。随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。
1.网络流量分析方法
网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量分析根据不同的方法可以从不同的侧面展开,目前,主要的分析方法有流量的统计分析和流量的粒度分析等。
1.1 网络流量的统计分析
(1)基于软件的流量统计
这种统计分析一般通过修改安装于主机上的操作系统的网络接口模块,使之具有捕获数据包的功能,以实现流量信息的收集和分析。基于硬件的流量统计效率很高,专用性强,但是价格昂贵对人员要求高,而基于软件的流量统计有价格便宜,实现灵活,扩展性强的优点,但其性能要低于基于硬件的统计技术。因此,流量统计方法有待进一步的提高,以适应网络快速发展的需求。
(2)基于硬件的流量统计
此类分析通常采用硬件测量设备,是一种为特定目的设计的用于收藏和分析流量数据的硬件设备。
1.2 网络流量的粒度分析
网络流量行为特征的分析还可以在不同测量粒度或者不同的层面上展开。
比特级(Bit-level)的流量分析,这种分析主要关注网络流量的数据特征,如网络线路的传输速率,吞吐量的变化等等。
分组级(Packet-level)的流量分析,此类分析主要关注的是IP分组的到达过程、延迟、抖动和丢包率等。
流级(Flow-level)的流量分析,Flow的划分主要依据地址和应用协议而展开的,它主要关注流的到达过程、到达间隔及其局部的特征。
上面流量的粒度由小到大递增,时间尺度也逐渐增大,不同时间尺度网络流量往往表现出不同的行为规律。通常,网络设备本身都提供基于IP分组头的分析功能,因此,Flow-level的流量分析成为发展趋势。
2.网络流量分析常用技术
随着计算机技术的发展,网络流量分析技术也与时俱进。既有传统的数据库的网络管理技术,也有面向开放式互联网的网络分析技术。目前,在网络流量分析中占据主流的常用分析技术主要有:
2.1 RMON技术
RMON(远程监控),是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及网管站和远程监控器之间的接口,实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器叮用两种方法收集数据:一种是通过专用的RMON探针(Probe),流量探针安装方便,但是流量探针价格昂贵,不适合大面积部署。另一种方法是将RMON直接植入网络设备(路由器、交换机、HUB等),但这种方式受网络设备资源限制,一般不能获取RMONMIB的所有数据,大多数只收集统计量、历史、告警、事件等四个组的信息。
2.2 SNMP技术
SNMP是用标准化方法定义的,通常一个标准的网管系统包括三个组成部分:SNMP协议,这包括理解SNMP操作、SNMP消息的格式以及如何在应用程序和设备之间交换信息;管理信息结构,它是用于指定一个设备维护的管理信息的规则集;管理信息库,它是设备所维护的全部被管理对象的结构集合。基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息,典型工具有MRTG,MRTG是一个使用的免费软件,通过SNMP协议从设备得到流量信息,将流量负载情况绘制成PNG格式图片,并以WEB形式显示给用户。由于M RTG使用起来很方便,能够直观显示端口流量负载,所以是各类网管人员常用的网络监视工具。但MRTG的功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能深入分析包的类型、流向等信息。
2.3 s Flow技术
s Flow是由InMon﹑HP和Foundry Networks于2001年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第一层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如人于10Gbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。sFlow技术有很多优点:成本低廉;在不断发展升级当中,能在没有消耗额外资源的环境监测万兆网络,不会带来新的网络冲突;有自己的一套准确可靠的计量方式;数据信息量人。sFlow已经成为一项线速运行的“永远在线”技术,可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使实现而向每一个端口的全企业网络监视解决方案成为可能。
3.网络流量分析技术的应用
网络流量分析起着一个衔接的作用,主要利用网络流量测量部分收集到的各种流量信息,通过运用不同的方法对其进行分析和建模,以发现流量的特性,对网络性能做出客观的评价,并以此作为对网络进行控制和优化的依据。网络流量分析技术的应用主要包括以下儿个方面:
3.1 实施安全预警
网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%无法响应进一步的指令。通过对网络内流量的实时分析,有助于及时发现网络中出现的异常流量,迅速分析出异常流量的具体属性,并向网络管理者进行告警,判断是否出现了入侵,并按照事先拟定的规则集进行处理,记录异常情况发生时的详细网络状况,使入侵得到及时发现和处理。
3.2 分析用户行为
根据分析结果,进行相应网络内容的建设!将用户感兴趣的热点信息内容放到内部网络,减轻互联链路的压力。
3.3 节省运营费用
通过对网络出口流量和流向的分析,可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数,可以详细了解网络内部用户对其他外部网络的访问情况,为基于IP的计费应用和SLA的校验服务提供数据依据,从而有效地选择与其他运营商的互联方式,节省费用。
3.4 优化网络结构
通过对网络中一些特定流量的长期监控,获得网络流量数据后对其进行统计和计算。从而得到网络及其主要成分的性能指标,定期形成性能报表,并维护网络流量数据库或日志存储网络及其主要成分的性能的历史数据,可供网管人员正确分析网络使用状况,对网络及其主要成分的性能进行性能管理。通过数据分析获得性能的变化趋势,分析制约网络性能的瓶颈问题。
3.5 评估网络价
通过对各个分支网络出入流量的监控,分析流量的大小﹑去向及内容组成,了解各分支网络占用带宽的情况。从而反映其占用的网络成本,也可以了解其业务开展情况,并作出价值评估。
3.6 确定重点客户
通过对重要应用和大客户的流量进行统计分析。掌握重要应用和大客户的流量状况,进行网络带宽的成本分析。有助于在网络服务质量和网络成本之间取得最佳平衡。
4.网络流量分析的重要性
相对于网络管理人员来说,理解用户的网络行为网络流量的内容是网络管理的重要内容,它为日常网络管理﹑容量规划与未来网络升级等提供重要依据,通过网络流量分析,可以提供大量详尽的数据,供网管人员从很多方面进行更好地维护﹑优化网络,并且提升网络的性能;同时还能为业务应用层面提供数据依据,为特定客户提供流量分析服务。比如网站流量统计分析等;也可作为网络安全的辅助手段,处理网络病毒等异常事件。在病毒分析时,网络管理员需要知道哪些端口发送的数据发生了较大变化,因此,对网络流量的分析可以为网络的运行和维护提供重要信息和深层次的管理功能,很好地发挥网络管理作用。对于网络性能分析﹑异常监测﹑链路状态监测﹑容量规划等发挥着重要作用。为网络发展和网络优化提供更优质﹑更有效的技术支撑和技术服务,可以预见,随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。
参考文献
[1]李万鹏.网络流量控制及流量分析[D].北京邮电大学,2011.
网络流量监控分析范文第3篇
关键词:局域网;网络流量;控制;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-9063-02
现在的网络带宽不断增加,但是网络速度却经常出现问题,很多企业和运营商都面临这样的困境,因为网速变慢,增加带宽,可是投入越来越大,网速却越来越慢。其实造成宽带拥塞的原因有很多,出口带宽永远低于桌面带宽是最根本的原因。而且由于网络的快速发展,人们对网络的要求越来越高,特别是近年P2P等下载软件和网络电视的流行,更使本来就不多的网络资源捉襟见肘。要想改善网络环境,提高网速,最主要的还是要控制P2P、网络视频等软件,做好网络流量的监控和管理。
1 局域网网络流量监控方法
网络流量监控主要的目的是通过对网络数据进行实时连续的采集监测,对获得的数据进行统计分析,从而得出网络的主要性能指标,根据流量数据对网络进行分析管理。网络流量监控一般可以使用网络监控设备或网络流量监控软件。由于目前局域网中原有的网络设备大多是基于三层IP管理的设备,对新兴的以P2P模式为主流的新型应用管理无能为力,无法阻止如BT这类P2P软件的泛滥成灾,进而导致重要的网络应用带宽无法保证,要解决这一问题,就必须使用面向应用的网络流量控制软件,对整个网络进行全面管理与优化。由于目前网络应用的多样性发展,网络流量的种类也越来越多,最为常见的网络流量有以下几种:
1) P2P流量:P2P文件共享是网络带宽的消耗大户,特别是在夜间,这个时间段网络带宽竟有95%被P2P占据。
2) FTP流量:FTP是从互联网刚开始出现时就一直被用户频繁使用的服务,它的重要性仅次于HTTP和SMTP。目前因为出现了P2P应用,FTP的重要性有所降低,但它仍然是不可缺少的下载文件途径之一。
3) SMTP流量:电子邮件无疑是网络应用的重要组成部分,统计显示有3/4以上的用户上网的目的主要就是收发邮件,而因为电子邮件的免费使用,被人们当成了散发自己广告信息的有效工具,从而导致了互联网中大量的垃圾邮件泛滥。
4) VoIP流量:2006年全球IP电话用户从1030万增长到1870万,增幅达83%。2007年VoIP通话量已达到全部通话量的75%。因此,互联网上VoIP的流量也是非常值得管理员关注的。
5) HTTP流量:HTTP是互联网上使用最为广泛的协议,目前已经取代传统文件下载的主要应用层协议FTP,而现在随着视频共享网站的拉动,HTTP协议的网络流量大大增加,已经超过了P2P应用的流量。
6) Streaming流量:随着PPLive、PPStream等视频软件的出现,广大互联网用户已经习惯于通过视频直播和点播观看节目,其流量也在不断地增加。
针对以上这些流量种类,我们可以分别采取不同的措施进行控制。当然,不论是什么网络症状,我们都需要根据自身的情况对症下药,这样才会事半功倍!
2 局域网流量控制与管理策略
流量控制通常的做法是在输出端口处建立一个队列进行流量控制,控制的方式是基于路由,亦即基于目的IP地址或目的子网的网络号。
2.1 通过路由控制流量
当前,很多路由器也具有流量控制功能,最近TP-Link TL-R410+、TL-R460+等桌面型型号路由器进行了升级,新增了“流量控制”功能,可有效控制局域网内每一台电脑所占用的带宽大小,合理管控部分P2P软件的下载速度,防止少数用户过度占用带宽,解决大多数用户网速慢、上网卡等问题。
2.2 禁止P2P下载
P2P下载是抢占流量带宽的罪魁祸首,其方法主要是:
使用注册表禁止P2P下载软件编辑一个名字为KillP2P.reg的注册表文件,内容如下:
WindowsRegistryEditorVersion5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="BT.exe"
"2"="Thunder.exe"
"3"="bitcomet.exe"
"4"="………."
"5"="………."
想限制哪种P2P软件,只需将P2P下载软件的可执行文件填写到1、2后面即可。将KillP2P.reg文件导入注册表后,重新启动机器,KillP2P.reg中限制的P2P软件将无法运行了。
其实,在控制P2P下载这方面,效果较好的要属国内的聚生网管这款软件,它是根据P2P软件的协议特征来进行控制,最为严格最为有效。如果对注册表不是很熟悉,可以直接去使用此软件控制。
2.3 进行时间段管理
现在有些宽带(无线)路由器也具有时间限制功能,目的是针对某参数某功能采取时间调度进程的方式管理其开与关,就是符合时间段内则开启,不符合时间段内就关闭。一般来说在路由器管理界面中有专门的所谓“调度进程”的选项,这个就是时间管理与控制的最基本要素,通过调度进程实现制定时间规则的目的。
时间管理存在于各个厂商各个品牌的宽带(无线)路由器中,他也是无线路由器未来功能发展的趋势,随着技术的发展,会有越来越多的参数与功能打上“调度进程”的标签,让我们根据自己的实际需要选择开关的时间段以及不同时间段下不同的参数值。总之,控制好时间,可以让网络更好的为我们服务。
2.4 限定局域网主机速度
限制局域网主机上传和下载的速度,允许其进行P2P软件下载,但是将其下载的速度限制在合理的范围内,使其不至于影响其他人正常浏览网页或下载,但是,一定要注意上传带宽不超过下载带宽。
以上解决方案部署、操作都比较麻烦、技术性要求较高,如果想彻底解决局域网带宽流量问题,我们可以借助网络管理软件进行管理。国内这方面的软件众多,比如聚生网管,这款软件操作非常简单,可以从聚生网管的官方网站下载试用。
3 局域网流量异常发现与处理
借助网络监控软件,网管能轻松监控局域网的流量异常的电脑,既保证局域网的畅通高效,又能确保局域网安全运转。
异常流量可能导致局域网运行缓慢,甚至可能造成局域网全面瘫痪,那么到底是什么原因造成这种现象呢?对于局域网中的每台主机,网管员不可能全部监视或者逐一排查,那么有什么办法能够解决这个问题呢?
3.1 找出流量过大的电脑
要想解决局域网流量异常的问题,首先要找出局域网中流量异常的主机,它是造成整个局域网异常的元凶。通常我们可以借助网络监控软件,使用很简单,只需在局域网中任意一台主机安装,就可以监控整个局域网。包括对网页、QQ、MSN、FTP、收发邮件等进行监控,还可以进行流量统计、控制上网、冲突警告、连接探测、IP绑定等功能。
在安装网络监控软件之前,会提示网管安装WinPcap程序,如果不进行安装,则不能捕获局域网中的数据。当软件第一次运行时,会提示网管选择网卡,这一步非常重要,如果选错了网卡,那么将不能获取局域网的相关数据。不过,有些监控软件有自动检测功能,默认就能正确识别网卡。正确选择了网卡,相应的IP地址、MAC地址、子网掩码等也会自动显示。
借助软件网管可以对整个网段进行监控,我们可以更改设置,比如只监视某个IP范围的几台机器,网管还可以看到每台机器的流量记录、网页记录、QQ聊天、MSN数据流量、FTP数据流量、收发邮件数据等,根据这些流量记录,找出哪台电脑占用带宽多,抢占局域网资源,从而找到流量异常的电脑。
3.2 对异常主机发出警告
借助网络监控软件,网管可以非常轻松地找到流量异常的主机,接下来,网管有必要对之进行警告。当然,网管不是到他们的办公室逐一警告,网管只需要借助监控软件的消息发送功能即可。要注意的是,网络监控软件是调用系统的信使服务发送消息,因此只有对方电脑的信使服务开启才能收到网管的警告。
如果通过上面的警告方式没有起到成效,那么可以选中问题主机,采取“禁止上网”措施,这时对方将马上断开网络。此外,针对病毒木马导致的网络流量过大,网管还可以进行远程关机或者重启。
除了监控功能外,功能比较强大的网络监控软件还针对用户随意更改IP地址的情况提供了IP-MAC绑定功能,一旦绑定后,用户将无法更改其IP地址了。
总的来说,网络监控软件提供了非常丰富的网络管理和安全管理功能,是企业局域网中不可或缺的管理工具,网管借助这个软件可以高效地管理局域网。
值得注意的是,网管员在部署网络监控软件前,务必和主管领导沟通好监控的范围和方式,切忌用监控软件干超过自己权限的事情,以免引来不必要的麻烦。
4 结语
目前对于网络流量监控最有效的方法是使用流量监控软件,选择一款有效的流量监控工具,网管能够清楚的看到哪个用户使用网络资源最多,使整个网络使用情况变成透明。让管理者一目了然,是进行有效管理的前提。当然,光靠外来的方法永远不可能彻底解决问题,想要进行有效的网络管理,首先一定要通过管理层的决策,建立合理的上网管理制度。只有这样,才能有效的进行局域网流量的控制与管理。
参考文献:
[1] 李晟,甘勇.网络流量测量与分析研究现状及发展趋势[J].郑州轻工业学院学报(自然科学版),2005年02期.
[2] 王立梅,朱海涛.局域网流量分析及性能评价[J].中国科技信息,2008年12期.
[3 ]林川,胡波.网络性能测试与分析[M].北京:高等教育出版社,2009.
网络流量监控分析范文第4篇
【关键字】 对等网络 流量 识别
一、引言
近年来,随着对等网络(Peer-to-peer,P2P)技术的不断发展,P2P流量也迅猛增长,给网络带宽造成了沉重的负担,甚至引起网络拥塞,降低了其他网络应用的性能;同时,基于P2P的恶意流量也频繁出现在互联网上,大量的非法连接加快了带宽的消耗,甚至导致拒绝服务攻击。因此,对于P2P流量监控已经逐渐成为人们研究的热点问题,而流量识别显然是其中最关键的环节:因为只有对P2P流量进行有效识别,才能对它们进行有效的控制。
二、对等网络流量识别的实现方式
2.1基于端口号的识别方式
基于端口号的识别方法是P2P流量识别领域中最早提出的一种方法,其是通过截取网络流量,识别数据流的源端口号或者目的端口号,将识别出的端口号和预设的常用P2P软件端口映射表中的端口号进行匹配,如果找到匹配项就表示该流量属于P2P流量,如果没找到匹配项就表示不是P2P流量。
这种基于端口的P2P流量识别技术,简单易行,计算开销小,不需要进行复杂的分组处理即可得出结论,在P2P应用初期十分快速、有效。
然而,随着P2P的发展,各P2P应用为了躲避流量审计和过滤等,纷纷采用随机动态端口(如用户自定义端口,端口跳跃),甚至是伪端口(如将端口设置为80、8080、443等),同时,网络中大量采用地址转换技术(NAT,Network Addresses Translation),使得基于端口检测方法的识别效率越来越低。
2.2基于应用层特征字匹配的识别方式
通过分析各类应用的协议找出各类应用自己的特征字符串生成常用P2P软件协议映射表,深度分析数据包所携带的特征字符串,与常用P2P软件协议映射表中的字符串进行匹配,来检测该数据包是否是P2P流量[1]。
这类方法需对数据包进行负载分析,所以也Q为深度数据包识别方法(DPI,Deep Packet Inspection),由于是针对应用层特征字段的,因此也称为应用签名技术或净荷检测技术。
但是,它也存在着一定的局限性,主要表现为以下几点:相关协议特征字符串的获取是通过分析数据包内容获得的,这关系到数据隐私和法律的问题,一旦遇到采用加密用户数据的手段来避免被解析和深层检测的P2P应用(如Skype,QQ,迅雷),这种方法就不再有效了;由于对P2P流量中的每个数据包均需要进行字符串识别,因此增加了P2P流量的识别时间,并且对识别系统的配置要求较高; DPI仅能够做到流级别的识别,还没有做到文件级别的识别,无法识别出P2P流传输的具体文件信息。
2.3基于传输层特征的识别方式
P2P应用作为一种充分利用客户端资源的新型应用,在传输层表现出来的流量特征相对于其它应用,如HTTP、FTP、DNS等,有许多不同的地方。基于传输层特征的识别技术就是通过检测这些流量特征来发现P2P应用。基于流量特征检测方法的理论依据是采用基于流量行为和流统计的应用识别技术,它不对网络流量进行深度报文检测,而只通过对数据包的大小分布、发送数据包的频率、上下行流量的比例关系等行为特征进行监控,属于一种统计分析识别方法。这类方法不需要任何关于应用层协议的信息。
2.4基于双重特征的识别方式
基于应用层特征字匹配的 P2P 流量识别技术进行的是特征字符串的匹配,能够识别出具体的应用类型但是无法识别未知和加密的数据流,基于传输层特征的 P2P 流量识别技术不需要解析和还原协议,能够识别未知和加密的数据流,但是无法识别出具体的应用类型,因此有人提出综合这两种技术的优点,即所谓的基于双重特征的 P2P 流量识别技术,由于两种特征分别属于应用层和传输层,也称之为跨层流量识别方法。
2.5基于机器学习的识别方式
要进行实时的流量检测就需要提取更为有效的P2P内在行为特征,随着数据挖掘技术的不断发展,机器学习中的贝叶斯分类等常用分类方法已经应用到流量识别的研究当中。
三、结束语
根据上述对实现对等网络流量识别的各种方式的分析,可以看到各方式的优缺点,具体如何选择实现方式应结合具体工作的实际情况,确保安全、精确、高效地识别对等网络流量。
网络流量监控分析范文第5篇
对网络管理者来说,传统的被动式网络监控和维护方式已经无法满足要求,校园网的管理人员希望能找到更合适的分析工具来对网络进行有效的监控分析,并能找出对网络性影响最大的因素及用户和业务的增长规律,在网络出现故障或即将出现瓶颈之前给出科学的预测,及时对网络进行优化、升级和改造,以满足不断增长的用户和业务需求。
流量统计和分析是网络管理中的一个重要内容,它不但可以及时发现网络流量的过载,攻击等异常情况,还可以对正常流量进行分析,帮助网络管理者了解各种级别的用户对于网络的使用情况,为采用合适的商业模式提供决策依据。
流量透明化的现状分析
随着校园网的规模越来越大,IT服务的完善,网络管理者也会提出以下问题。
一、当前的上网流量占用多大带宽?这些带宽主要谁在占用?这些占用是允许的吗?在WWW访问之外,是不是有大量的FTP等下载?是允许的吗?
二、DMZ区的服务器有多少是内网用户在访问,有多少是外网用户在访问?如果是内网用户访问多,是不是考虑将其迁移到服务器区?外网用户的访问有时间规律吗?
三、外联的服务器是提供特定用户访问吗?哪个访问流量最大?最大流量占用的用户是合法的吗?服务器是否该扩容了?有非法用户访问这些服务器吗?
四、这些关键的业务服务器的带宽够用吗?是不是考虑一台服务器提供多个业务服务或多台服务器提供一个业务服务?除生产业务外,这些服务器是不是还提供其它无关的业务,导致影响性能?谁访问这些服务器更多一些?这些服务器哪个时间段最繁忙?
五、教职工和学生用于的流量分别有多大?用于上网的流量有多大?谁更多地使用互联网?是必要的吗?谁占用的网络带宽最大?这些占用是必要的吗?哪个用户在非法扫描网络?是否有用户提供非法的下载(WWW/FTP)服务?
要解决这些流量问题,不是一件容易的事情,常规的方法有以下几种。
其中一种是网管方式。网管方式通过启动SNMP来获取流量信息。但SNMP只能获取流量的字节数,无法获取字节的构成,更无法获取流量的发起方。该方法可解决流量的分布问题,无法解决流量的构成问题。该方式主要用于设备的管理,而不适用于精细的流量分析。
另外一种是数据包监听方式。该方法是将关注的流量串联到或镜像到分析仪器;通过分析仪器来获取流量的构成和细节。该方法可做到流量的精细化分析,做到2~7层的流量分析,但缺点也很明显,只有在部署分析仪器的地方进行流量分析,如果做到全网多节点流量监控,必须部署多个分析仪器,导致部署成本急剧上升。该
方式可很好解决流量的构成问题,但几乎无法解决流量的分布问题。该方式适用于对少量关键点的监控,不适合大规模日常使用。
最后一种是基于流技术的方式。该方式是让网络设备在转发数据流量的同时,生成特定的流量信息,然后将流量信息发送到特定的分析模块,进而实现对流量的分析。理想情况下,如果让网络中的每台网络设备均发出流量信息,那么就可以轻松解决流量的分布问题,同时解决流量的构成问题。缺点是各厂商提供的流分析技术都是私有技术无法通用。
网管方式无法进行流量构成分析,不再讨论。由于分析仪器的昂贵,监听方式不适用于大规模部署,而且分析到7层应用后,容易使用户隐私受到侵犯。而流技术的分析方式功能均衡而强大,对流量的分析只到业务字节,不涉及应用级,无隐私顾虑。
流技术方式更适合网络流量分析。但由于各厂商之间流技术方式大多采用的是厂商的私有协议,就导致了不同厂商设备在组网后流技术方式不兼容的问题。正是由于这个原因国际化流量监控标准技术IPFIX(IP Information flowExport)应运而生。
校园网流量透明化管理
我校在进行流量透明化管理之前,整个网络接入用户的类型比较复杂,本来就不富裕的网络流量常被消
耗殆尽。在经过几次互联网出口和校园网骨干带宽进行扩容后,情况仍得不到解决,为了搞清楚这些流量都被哪些用户和哪些应用占用了,我们引进了锐捷网络的校园网解决方案,根据国际化流量监控标准技术IPFIX来对校园网的流量使用情况进行审计和评估。
网络透明化解决方案包括流量采样设备、流量采集设备、数据分析处理设备(如图1)。利用IPFIX日志,网络透明化解决方案提供了一种网络监测、分析的方式,直接从支持IPFIX功能的路由器和交换机中收集流量信息,可以灵活启动不同层面(接人层、汇聚层、核心层)的网络设备进行IPFIX流量日志收集,并将收集的内容以IPFIX格式的日志输出给Collerctor设备分析。管理员使用Analyser的分析功能,可做网络使用状况监控、用户行为追踪、异常流量检测等,同时基于功能丰富的报表,可做网络规划方面的决策。(如图3)
主要实现了以下功能。首先是网络得到优化。可以使网络管理员及时掌握网络负载状况,网内应用资源使用情况,对核心网络的重点链路进行统计,各类TOP应用百分比,使用各类应用的网内用户、服务器的流量趋势
及统计值,迅速发现网络当前的使用状况和不同链路的使用率变化趋势,尽早发现网络结构的不合理或网络性能瓶颈,尽快作出网络优化方面的决断,最终实现网络的优化使用。
其次是网络规划参考方面。利用IPFIX流日志以及网络透明化长期监控网络带宽而形成的各类趋势报表,如基于设备接口的长期流量入出趋势,长期流量入出趋势分析,各类应用百分比,有助于网络管理员跟踪和预测网络链路流量的增长,从而能有效的规划网络升级。
第三是网络流量异常监测方面。利用网络透明化解决方案提供的某段时间内的流量、应用趋势分析,可非常直观的看到网络流量是否有突然增长或突然下降的现象,并进一步分析出是哪些用户产生了最多的流量、使用了哪些应用以至于网络运转出现性能问题。
第四是广域网流量监测方面。对于发展中的六盘水师范学院来说,WAN带宽是非常有限的,如果WAN链路流量增大,通常我们的做法就是进行投资以升级WAN链路,但如果我们能掌握WAN流量的特征,制定相应的策略,就能使WAN带宽得到最合理最充分的使用,避免进行不必要的升级投资。
