網(wǎng)絡(luò)流量監(jiān)測精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網(wǎng)絡(luò)流量監(jiān)測主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：WinpCap；流量監(jiān)測；數(shù)據(jù)包捕獲

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)31-0000-0c

Application of WinPcap in the Network Traffic Monitoring

ZHANG Xue-jun,XU Yuan

(Internet of Things Department of Jiangnan University, Wuxi 214122, China)

Abstract: Introduction of computer network traffic monitoring technology and flow monitoring methods, the main study the WinPcap packet capture system structure and its main function, based on the WinPcap packet capture system with simple structure, fast data capture, protocol recognition rate, etc., which of the three modules complement each other to achieve the basic functions of data acquisition network, describes the network based on WinPcap packet capture and analysis methods and the main steps.

Key words: WinpCap; network traffic monitoring system; packet capture

目前互聯(lián)網(wǎng)已經(jīng)非常普及，有關(guān)網(wǎng)絡(luò)的應(yīng)用也越來越多，從瀏覽網(wǎng)頁和收發(fā)郵件，到打游戲，聊天，看電影，聽音樂，打電話包羅萬象。電視網(wǎng)和電話網(wǎng)能夠做的事情，現(xiàn)在寬帶網(wǎng)也能夠做到了，同時寬帶網(wǎng)還能夠做電視網(wǎng)，電話網(wǎng)以外的許多事情。而這一切，都是靠信息在網(wǎng)絡(luò)上的流動來實現(xiàn)的。汽車在馬路上跑，常常會引起交通堵塞以及不遵守交通規(guī)則等現(xiàn)象，因此需要交通部門來實時監(jiān)測道路情況和處理突發(fā)事件。同樣網(wǎng)絡(luò)流量也需要監(jiān)測和控制，通過監(jiān)控可以對網(wǎng)絡(luò)狀態(tài)進(jìn)行合理調(diào)節(jié)或配置、保證網(wǎng)絡(luò)高效運行、提高網(wǎng)絡(luò)資源的利用效率、也可以用于對網(wǎng)絡(luò)用戶行為和網(wǎng)絡(luò)業(yè)務(wù)的分析。網(wǎng)絡(luò)流量監(jiān)測是網(wǎng)絡(luò)管理的重要組成部分，而數(shù)據(jù)報捕獲又是網(wǎng)絡(luò)流量監(jiān)測的前提。

1 流量監(jiān)測與分析技術(shù)概述

1.1 網(wǎng)絡(luò)流量監(jiān)測

網(wǎng)絡(luò)流量指通過網(wǎng)絡(luò)的數(shù)據(jù)量，是衡量網(wǎng)絡(luò)性能的重要參數(shù)。網(wǎng)絡(luò)監(jiān)測就是通過一定的方法獲取網(wǎng)絡(luò)流量數(shù)據(jù)，而這些流量數(shù)據(jù)的采集是進(jìn)一步分析網(wǎng)絡(luò)負(fù)載性能以及網(wǎng)絡(luò)的安全性的前提。網(wǎng)絡(luò)流量的監(jiān)測是網(wǎng)絡(luò)測量中的重要技術(shù)之一，網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)大致上可以分為流量采集、流量分析和流量控制三個方面。

1.2 流量監(jiān)測分析的方法及分類

流量監(jiān)測系統(tǒng)通常是根據(jù)對網(wǎng)絡(luò)流量某個特定方面的分析來設(shè)計的，正是由于需要分析的內(nèi)容不同，就產(chǎn)生了各種網(wǎng)絡(luò)流量監(jiān)測方法，這些方法主要分為基于主機內(nèi)嵌軟件的方法、基于SNMP的流量監(jiān)測方法、基于Netflow的流量監(jiān)測方法、基于硬件探針的監(jiān)測方法等。

1.2.1 基于主機內(nèi)嵌軟件的方法

主機內(nèi)嵌軟件的方法是指在主機內(nèi)安裝流量檢測軟件來完成流量檢測任務(wù)。主機操作系統(tǒng)中，一般會把網(wǎng)絡(luò)通信功能功能實現(xiàn)在相對獨立的軟件模塊 ，例如設(shè)備驅(qū)動程序中。主機與網(wǎng)絡(luò)的通信一般是通過對調(diào)用軟件套接字Socket來實現(xiàn)。因此在這個位置上嵌入一個軟件就可以通過檢測對通信模塊的調(diào)用來截獲往返通信的主要內(nèi)容，目前有許多軟件實現(xiàn)這一功能。Windows 操作系統(tǒng)下的檢測軟件WinPcap，實現(xiàn)了基本的報文截獲功能，可自由下載使用，成為了許多流量監(jiān)測軟件的基本組成部分。

1.2.2 基于SNMP的流量監(jiān)測方法

SNMP用于對網(wǎng)絡(luò)設(shè)備的管理，幾乎所有的網(wǎng)絡(luò)設(shè)備都具備該能力，基于SNMP的流量信息采集方法，實質(zhì)上是用軟件提取存儲在網(wǎng)絡(luò)設(shè)備上的流量信息，該方法配置簡單，成本較低，基于SNMP收集的網(wǎng)絡(luò)流量信息只包括字節(jié)數(shù)、報文數(shù)等基本的流量信息，不能滿足復(fù)雜的流量監(jiān)測要求。

1.2.3 基于Netflow的流量監(jiān)測方法

Netflow是Cisco公司提出的專業(yè)的流量監(jiān)測的技術(shù)標(biāo)準(zhǔn)，主要運行在該公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備上，與基于SNMP的流量監(jiān)測方法相比，該方法能夠滿足復(fù)雜的流量監(jiān)測需要，目前應(yīng)用最普遍的是NetFlowV5。

1.2.4 基于硬件探針的監(jiān)測方法

硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時將它連接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號而獲取流量信息。 一個硬件探針通常只能監(jiān)視一條鏈路。而對于全網(wǎng)流量的監(jiān)測使用NetFlow更為合適。與其他的3種方式相比，基于硬件探針的最大特點是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。

2 WinPcap包截獲系統(tǒng)

數(shù)據(jù)包的截獲是流量監(jiān)測系統(tǒng)中流量采集的主要技術(shù).在大多數(shù)Unix系統(tǒng)的內(nèi)核模塊本身就是截獲數(shù)據(jù)包的機制。而在Windows平臺下，系統(tǒng)提供很少的數(shù)據(jù)包捕獲接口，而提供的具有包截獲功能的API，也只能截獲IP數(shù)據(jù)包，很少能直接獲取數(shù)據(jù)鏈路層上數(shù)據(jù)幀。WinPcap是基于Win32平臺的開放源代碼網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析的系統(tǒng)。它彌補了Windows內(nèi)核在包捕獲方面的不足，該系統(tǒng)性能穩(wěn)定而且效率極高，利用它提供的豐富且功能強大的網(wǎng)絡(luò)數(shù)據(jù)包處理函數(shù)，可以滿足對數(shù)據(jù)包處理有嚴(yán)格要求的多數(shù)應(yīng)用。

2.1 WinPcap的體系結(jié)構(gòu)

WinPcap是由意大利人Fulvio Risso和Loris Degioanni等人提出的。是為Linux下的Libcap移植到Windows下而設(shè)計的，它的主要思想來源于Unix系統(tǒng)中最著名的伯克利軟件套件（Berkeley software Distribution,BSD)架構(gòu)，WinPcap的基本結(jié)構(gòu)如圖a所示。它由處于內(nèi)核級的網(wǎng)絡(luò)組包過濾器(Netgroup Packet Filter，NPF)、處于用戶級的動態(tài)鏈接庫（Packet.dll）和高級動態(tài)鏈接庫Wpcap.dll等3個模塊組成。

1) 網(wǎng)絡(luò)組包過濾器。它是WinPcap架構(gòu)的核心，屬于最底層的模塊，它與NIC驅(qū)動交互，并向上提供一些函數(shù)組，從而能在讀取和寫入網(wǎng)絡(luò)數(shù)據(jù)包。它能獲取原始以太網(wǎng)數(shù)據(jù)包，并進(jìn)行相應(yīng)的過濾，然后傳給高層的應(yīng)用程序處理。NPF有著高效和處理迅速兩大特點，在流量很大的網(wǎng)絡(luò)中也能正常高效的工作。

2) 低級動態(tài)鏈接庫。Packet.dll為Win32平臺上為數(shù)據(jù)包驅(qū)動程序提供了一個公共的接口。不同的Windows版本在用戶態(tài)和內(nèi)核態(tài)之間提供互不相同的接口，而Packet.dll可以屏蔽這些接口區(qū)別，提供一個與系統(tǒng)無關(guān)的API，該API能夠直接訪問NPF驅(qū)動程序?；赑acket.dll開發(fā)的數(shù)據(jù)包截獲程序可以不作任何修改運行于不同的Win32平臺。Packet.dll具有如獲取適配器名稱、動態(tài)驅(qū)動器加載以及獲得主機掩碼及以太網(wǎng)沖突次數(shù)等附加功能。

3) 高級動態(tài)鏈接庫。Wpcap.dll與Packet.dll不同，它處于更高層，且與操作系統(tǒng)無關(guān)，是對Packet.dll的高層封裝。它和應(yīng)用程序鏈接在一起，提供了一組功能強大且跨平臺的函數(shù)，利用這些函數(shù)，可以不去關(guān)心適配器和操作系統(tǒng)的類型。Wpcap.dll含有諸如產(chǎn)生過濾器、定義用戶級緩沖以及包注入等高級功能。編程人員既可以使用包含在Packet.dll中的低級函數(shù)直接進(jìn)入內(nèi)核級調(diào)用，也可以使用Wpcap.dll提供的高級函數(shù)調(diào)用，這樣功能更強，使用也更為方便。Wpcap.dll的函數(shù)調(diào)用會自動調(diào)用Pactet.dll中的低級函數(shù)，并且可能被轉(zhuǎn)換成若干個NPF系統(tǒng)調(diào)用。

圖1

2.2 WinPcap的主要功能

在WinPcap包截獲系統(tǒng)中，整個包截獲架構(gòu)的基礎(chǔ)是網(wǎng)絡(luò)驅(qū)動器接口規(guī)范(NDIS)，它主要為網(wǎng)絡(luò)適配器和各種協(xié)議驅(qū)動程序提供接接口函數(shù)，使得協(xié)議驅(qū)動程序發(fā)送和接收數(shù)據(jù)包時不必考慮具體的適配器和Win32操作系統(tǒng)。WinPcap中的NPF正是通過回調(diào)函數(shù)Packet_tap（）調(diào)用這些接口函數(shù)來截取網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)而為用戶層提供了包截獲、數(shù)據(jù)包轉(zhuǎn)儲、包注入、網(wǎng)絡(luò)監(jiān)測等功能。

1) 包截獲。包截獲是NPF最重要的操作，它通過過濾從網(wǎng)卡中接收到數(shù)據(jù)包，并原封不動地送往用戶層應(yīng)用程序。它主要依靠一個包過濾器和一個環(huán)緩沖器來實現(xiàn)。NPF中的包過濾器延用了Unix下BSD中的分組過濾器BPF，BPF是一個虛擬處理機，用于運行用戶自定義的過濾程序。通過Wpcap.dll把用戶定義的包過濾規(guī)則編譯到BPF程序中，并把程序注入到內(nèi)核。當(dāng)有數(shù)據(jù)包到達(dá)的時候，NPF運行該內(nèi)核程序進(jìn)行數(shù)據(jù)包的過濾。環(huán)緩沖器用來存儲數(shù)據(jù)包避免包丟失，數(shù)據(jù)包存儲時被加了一個包頭，記錄時問戳以及包大小等信息。使用緩沖器可以把一組數(shù)據(jù)包一起拷貝給應(yīng)用程序，這減少了讀寫的次數(shù)，提高了運行速度。緩沖器的大小是非常重要的一個參數(shù)，因為它決定了一次拷貝能送多少數(shù)據(jù)包給應(yīng)用程序。緩沖器設(shè)置比較大時，它需要等待一系列包到達(dá)后才往應(yīng)用程序送，由于減少拷貝次數(shù)節(jié)省了處理器的資源，如在嗅探器中就適合設(shè)置大的緩沖器。而有些實時性要求比較高的應(yīng)用程序(如ARP轉(zhuǎn)向器)，需要在應(yīng)用程序準(zhǔn)備好時就能得到數(shù)據(jù)，因而緩沖器設(shè)置較小。WinPcap庫中提供了專門設(shè)置緩沖器大小和讀包溢出時間的函數(shù)，它們的默認(rèn)值分別是16kB和ls。

2) 數(shù)據(jù)包轉(zhuǎn)儲。用傳統(tǒng)方法，把數(shù)據(jù)包保存到硬盤上通常需要3~4個緩沖器，每個數(shù)據(jù)包需要拷貝多次。當(dāng)網(wǎng)卡收到包以后，包會存放在內(nèi)核空間內(nèi)，這需要一個緩沖器。由于上層應(yīng)用運行在用戶空問，無法直接訪問內(nèi)核空間，因此要通過系統(tǒng)調(diào)用往上層應(yīng)用系統(tǒng)送，這時會發(fā)生一次復(fù)制過程。用戶應(yīng)用程序有兩個緩沖器，一個用于暫存數(shù)據(jù)，一個用于標(biāo)準(zhǔn)輸出函數(shù)中向硬盤寫文件，還有一個緩沖器存在文件系統(tǒng)中。如果對一般的應(yīng)用來說，這樣的系統(tǒng)開銷還可以承受，但是對于大量讀取網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用來說，這樣的開銷就很難承受了。利用NPF提供的數(shù)據(jù)包轉(zhuǎn)儲功能，不需要用戶應(yīng)用程序的介入，在內(nèi)核層直接尋址文件系統(tǒng)。因為減少了兩個緩沖器。而且只要一次簡單的拷貝，大量減少了系統(tǒng)調(diào)用，提高了轉(zhuǎn)儲的效率。在轉(zhuǎn)儲之前，還可以進(jìn)行包過濾，只把需要的數(shù)據(jù)包保存到硬盤上面。

3) 包注入。NPF除了可以從網(wǎng)絡(luò)中截獲數(shù)據(jù)包，還可以往網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。包注入時，NPF對數(shù)據(jù)包不進(jìn)行任何封裝，所以應(yīng)用程序需要針對不同應(yīng)用給每個數(shù)據(jù)包添加相應(yīng)的包頭。封裝時可以不計算幀校驗序列，網(wǎng)卡驅(qū)動程序會自動計算它并添加到每個數(shù)據(jù)包的結(jié)尾。通常情況下每往網(wǎng)絡(luò)發(fā)送一個包，都要進(jìn)行一次系統(tǒng)調(diào)用(WriteFile（）)，而通過NPF可以實現(xiàn)一次系統(tǒng)調(diào)用重復(fù)發(fā)送同一個數(shù)據(jù)包，這提高了發(fā)送效率，適合應(yīng)用于網(wǎng)絡(luò)高速流量測試。

4) 網(wǎng)絡(luò)監(jiān)測。事實上，通過WinPcap提供的包截獲功能，在用戶層得到需要檢測的數(shù)據(jù)包后，通過簡單的分類統(tǒng)計就能實現(xiàn)網(wǎng)絡(luò)檢測。但是如果網(wǎng)絡(luò)流量很大，這可能會耗盡處理器資源。WipPcap提供了內(nèi)核層的監(jiān)測模塊，不需要把數(shù)據(jù)包送到應(yīng)用程序就能實現(xiàn)分類統(tǒng)計。該監(jiān)測模塊由分類器和計數(shù)器組成，在內(nèi)核層和用戶層不分配緩沖區(qū)，統(tǒng)計數(shù)據(jù)直接來源于適配器驅(qū)動程序，這大大節(jié)省了內(nèi)存和處理器資源。

2.3 WinpCap 的主要優(yōu)點

1）高性能。WinPcap 實現(xiàn)了有關(guān)數(shù)據(jù)包捕獲文獻(xiàn)中描述的所有典型的優(yōu)化方法（如內(nèi)核級的過濾與緩沖、減少上下文交換、數(shù)據(jù)包部分內(nèi)容復(fù)制）,加上一些原創(chuàng)的優(yōu)化方法，如JIT 過濾器編輯（JIT filter compilation）與內(nèi)核級的統(tǒng)計過程,WinPcap 勝過其他類似的方法。

2）最終用戶易于使用WinPcap 作為單個小的可執(zhí)行文件，可運行在每個所支持的操作系統(tǒng)上，開始使用這個可執(zhí)行文件后,Windows 就能捕獲與發(fā)送原始數(shù)據(jù)包，操作簡單。

3）程序員易于使用每個版本的WinPcap 帶有一個開發(fā)者包(developer's pack),包括文檔、庫與include 文件，是開發(fā)應(yīng)用程序所必需的。開發(fā)者包還包含一個示例程序集，可用Visual Studio 或Cygnus 編譯，用來作為一個極好的起點。

4）多平臺。WinPcap 在Windows NT、Windows2000、Windows XP 與Windows Server 2003 平臺上被積極地維護(hù)。對Windows Vista 具有初步的支持，但有一些特性并不具備。

5）可移植性。WinpCap與libpcap具有完全的兼容性。這意味著可將Unix 或Linux 下存在的工具移植到Windows下。也可把Windows應(yīng)用程序很方便地移植到Unix下使用。

2.4 WinPcap捕獲數(shù)據(jù)包過程

首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡，將其設(shè)置為混雜模式，還要設(shè)置好過濾器等參數(shù)；然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中；最后通過上層的調(diào)用，把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中，再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動捕獲的數(shù)據(jù)幀其實是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀，因此可以對數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。

3 WinPcap捕獲數(shù)據(jù)包過程

WinPcap捕獲數(shù)據(jù)包分成以下幾個步驟，首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡，將其設(shè)置為混雜模式，還要設(shè)置好過濾器等參數(shù)；然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中；最后通過上層的調(diào)用，把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中，再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動捕獲的數(shù)據(jù)幀其實是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀，因此可以對數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。捕獲到了網(wǎng)絡(luò)數(shù)據(jù)幀，便可以進(jìn)一步完成網(wǎng)絡(luò)流量分析和網(wǎng)絡(luò)流量控制等任務(wù)，這些任務(wù)構(gòu)成了一個完整的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)。

4 結(jié)論

WinPcap系統(tǒng)是一個功能強大的用于網(wǎng)絡(luò)數(shù)據(jù)獲取開發(fā)包，它直接和網(wǎng)卡打交道，獲取數(shù)據(jù)鏈層的數(shù)據(jù)，能捕獲數(shù)據(jù)鏈路層的所有數(shù)據(jù)包。WinPcap的分層思想為Windows平臺提供了一個完整的、簡單的、系統(tǒng)無關(guān)的編程接口，為在Windows平臺下開發(fā)高性能的網(wǎng)絡(luò)數(shù)據(jù)獲取軟件提供了方便。WinPcap的兩級緩存的設(shè)計，極大地提高了數(shù)據(jù)包的捕獲率，使丟包率降到了很低的程度，尤其是它內(nèi)核級緩存的動態(tài)循環(huán)存儲的思想，使它在數(shù)據(jù)捕獲的速度方面優(yōu)于UNIX中的Libpcap?？傊?，基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)實驗方案具有結(jié)構(gòu)簡單、捕獲數(shù)據(jù)快、協(xié)議識別率高等特點，它的三個模塊的相互套用，實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)獲取的基本功能。本文就WinPcap的系統(tǒng)結(jié)構(gòu)及其功能原理進(jìn)行了介紹，最后闡述了WinPcap捕獲數(shù)據(jù)包過程。

參考文獻(xiàn)：

[1] 張偉,王韜.基于WinPcap的數(shù)據(jù)包捕獲及應(yīng)用[J].計算機工程與設(shè)計,2008,29(7):1649-1651.

[2] 楊永.互聯(lián)網(wǎng)流量監(jiān)測系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全,2010(7):22-28.

[3] 吳玉,李嵐.基于WinPcap 的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)的研究[J].研究與設(shè)計,2007,23(6):10-12.

[4] 魏敏,奚茂龍,周陽花.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)解析系統(tǒng)[J].計算機安全,2010(11):49-51.

[5] 胡曉元,史涪山.WinPcap包截獲系統(tǒng)的分析及其應(yīng)用[J].計算機工程,2005,31(2):96-98.

[6] 劉芳.網(wǎng)絡(luò)流量監(jiān)測與控制[M].北京:北京郵電大學(xué)出版社,2009.

第2篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞： P2P； 流量信息； 結(jié)構(gòu)異常； 決策樹； 檢測技術(shù)

中圖分類號： TN711?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）09?0093?03

Abstract： With the development of information technology， the peer?to?peer （P2P） network information traffic often deviates from the normal range. The detection technology for P2P traffic detection and abnormal traffic is studied on the basis of the decision tree algorithm. The P2P traffic detection model based on improved C4.5 decision tree is used to train the massive training datasets by means of the P2P anomaly traffic detection model to modify the error gradually. The simulation test in laboratory was performed. The P2P network traffic classifier based on improved C4.5 decision tree has perfect classification effect after selecting the characteristics of the network traffic. The classification detection rate is 94.6%～96.7%， which shows that the improved C4.5 decision tree algorithm can detect the P2P traffic effectively， and provide the reference for studying the P2P anomaly traffic detection technology in future.

Keywords： P2P； traffic information； abnormal structure； decision tree； detection technology

0 引 言

目前，S著信息技術(shù)的發(fā)展，對等網(wǎng)絡(luò)（P2P）信息流量增長越來越快[1?3]。根據(jù)國內(nèi)互聯(lián)網(wǎng)流量模式報告顯示，在整個互聯(lián)網(wǎng)流量中，P2P流量占到70%左右[4]。近年來，經(jīng)常出現(xiàn)網(wǎng)絡(luò)流量偏離正常范圍的異常情況，導(dǎo)致流量出現(xiàn)異常主要是由惡意網(wǎng)絡(luò)攻擊造成的，如DOS攻擊、蠕蟲傳播、僵尸網(wǎng)絡(luò)等攻擊，同時由于網(wǎng)絡(luò)偶發(fā)性線路中斷、配置失誤也會引起流量的異常，這就會造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降，嚴(yán)重時會直接導(dǎo)致網(wǎng)絡(luò)癱瘓[5]。

P2P大量占用互聯(lián)網(wǎng)帶寬，影響用戶上網(wǎng)正常運行，檢測管控P2P流量是網(wǎng)絡(luò)管理難題[6]。因而在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對網(wǎng)絡(luò)異常進(jìn)行檢測，同時對網(wǎng)絡(luò)異常提供預(yù)警信息，對維護(hù)網(wǎng)絡(luò)正常運行意義十分重大[7]。本文以決策樹算法為基礎(chǔ)，對P2P流量檢測和流量異常時的檢測技術(shù)進(jìn)行研究。

1 對等網(wǎng)絡(luò)P2P概況

對等網(wǎng)絡(luò)P2P實質(zhì)上屬于分布式網(wǎng)絡(luò)，參與者均可共享使用公共部分的一些硬件資源，如硬件處理和存儲能力，共享資源的服務(wù)、內(nèi)容由網(wǎng)絡(luò)提供，節(jié)點可對這些資源進(jìn)行直接訪問，不需要經(jīng)過任何中間實體。P2P最具有代表性的應(yīng)用是進(jìn)行文件共享，同時P2P的共享還有P2P計算、P2P形式的通信網(wǎng)絡(luò)等。P2P與客戶/服務(wù)器模型的區(qū)別是網(wǎng)絡(luò)中節(jié)點可對其他節(jié)點資源或服務(wù)進(jìn)行獲取，還可提供資源或服務(wù)，這是P2P的基本思想。在P2P網(wǎng)絡(luò)中，每個節(jié)點具有對等的權(quán)利、義務(wù)、服務(wù)、通信、資源消費。

2 P2P流量監(jiān)控系統(tǒng)結(jié)構(gòu)

P2P流量監(jiān)控系統(tǒng)功能包括檢測網(wǎng)絡(luò)流量、控制網(wǎng)絡(luò)流量兩部分。對網(wǎng)絡(luò)流量進(jìn)行控制的前提是準(zhǔn)確檢測網(wǎng)絡(luò)流量。在進(jìn)行流量檢測時，流量特征和協(xié)議特征要進(jìn)行相互匹配，在未知流量匹配上以后，對其分類才能進(jìn)行識別，P2P流量檢測中必須具有協(xié)議特征庫的建立。同時，進(jìn)行流量控制操作必須具備前臺管理界面，以便進(jìn)行人機交互、流量控制策略的下發(fā)、流量識別結(jié)果的觀察等，并在數(shù)據(jù)庫中存儲檢測結(jié)果、控制策略信息、協(xié)議特征等，P2P流量監(jiān)控系統(tǒng)整體結(jié)構(gòu)如圖1所示。

P2P流量監(jiān)控系統(tǒng)工作流程：首先對網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)進(jìn)行全面采集，其次是建立協(xié)議特征庫，對數(shù)據(jù)報文進(jìn)行離線分析，同時提取其特征碼，并建立協(xié)議特征庫。然后檢測網(wǎng)絡(luò)流量，對經(jīng)過流量監(jiān)控系統(tǒng)的未知流量，通過匹配算法將未知流量特征與協(xié)議規(guī)則相匹配，如匹配成功，則作為該協(xié)議識別給流量。最后對已識別流量進(jìn)行控制操作，完成阻斷訪問、限制流量速率。

3 基于監(jiān)督的機器學(xué)習(xí)P2P流量識別算法

基于監(jiān)督的機器學(xué)習(xí)P2P流量識別算法需要訓(xùn)練數(shù)據(jù)，訓(xùn)練主要有兩步：訓(xùn)練進(jìn)行集中學(xué)習(xí)，然后進(jìn)行構(gòu)造分類模型的測試；采用訓(xùn)練階段模型進(jìn)行未知數(shù)據(jù)的分類，計算識別準(zhǔn)確率，令訓(xùn)練集為：

式中：表示輸出類值。

在訓(xùn)練集中，找出輸入和輸出間的關(guān)系函數(shù)，這就是分類的目的，通過函數(shù)，輸入可輸出得到基于監(jiān)督的機器學(xué)習(xí)P2P流量識別分類器如圖2所示。

監(jiān)督學(xué)習(xí)是訓(xùn)練決策樹最常見的技術(shù)之一。這種決策樹技術(shù)對事先確定分類系統(tǒng)給出的信息高度依賴。對于決策樹來說，可通過分類系統(tǒng)辨別哪類屬性提供的信息最多，可用決策樹解決分類系統(tǒng)問題。

4 算法設(shè)計

4.1 C4.5多決策樹分類算法

經(jīng)過數(shù)據(jù)預(yù)處理模塊，訓(xùn)練數(shù)據(jù)集生成決策樹可處理屬性的二維表形式。設(shè)訓(xùn)練數(shù)據(jù)集全部屬性集合為。整個屬性集PE，分成個小屬性集，每個小屬性集各自獨立。屬性所有不同取值集合為。生成的棵決策樹為，數(shù)據(jù)分類為。表示數(shù)據(jù)集合，集合中第條記錄用表示。表示訓(xùn)練數(shù)據(jù)及測試數(shù)據(jù)，第條記錄用表示。系統(tǒng)分辨矩陣用對角矩陣表示，每項定義如下：

4.2 P2P流量異常檢測

P2P流量異常檢測的實質(zhì)是通過訓(xùn)練大量數(shù)據(jù)，逐步對錯誤進(jìn)行修正，形成精確預(yù)測模型。決策樹建立完后進(jìn)行數(shù)據(jù)集訓(xùn)練。訓(xùn)練數(shù)據(jù)集為TA，保存經(jīng)過某節(jié)點P2P類訓(xùn)練數(shù)據(jù)的數(shù)量為；保存經(jīng)過該節(jié)點類訓(xùn)練數(shù)據(jù)的數(shù)量為。

4.3 P2P屬性關(guān)鍵度決策樹分類算法

決策樹生成后，經(jīng)訓(xùn)練后，形成檢測模型，原始TCP/IP數(shù)據(jù)包被從網(wǎng)絡(luò)上截獲，經(jīng)過數(shù)據(jù)預(yù)處理后，TCP/IP數(shù)據(jù)由每棵子決策樹對其進(jìn)行判斷，對判斷結(jié)果進(jìn)行加權(quán)處理，得到最優(yōu)結(jié)果。第棵子決策樹用表示，存儲內(nèi)部節(jié)點數(shù)據(jù)訓(xùn)練的P2P類統(tǒng)計數(shù)，存儲內(nèi)部節(jié)點數(shù)據(jù)訓(xùn)練的類統(tǒng)計數(shù)，第棵子決策樹比率用表示，數(shù)據(jù)包在整個屬性集的比率用表示，關(guān)鍵度多決策樹分類算法流程圖如圖3所示。

根據(jù)屬性差異，可建立棵子決策樹，綜合考慮全部子決策樹屬性對分類的影響，能對整個問題進(jìn)行較好地反映，可使誤報率降低，檢測率提高。

5 仿真實驗

本文的實驗數(shù)據(jù)通過試驗室仿真試驗得到，仿真試驗采用的軟件為Sniffer，在實驗室PC（CPU為Athlon64 X2；雙核處理器4000+2.11 GHz；內(nèi)存2 GB）對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行實時采集。在訓(xùn)練分類器實驗中，采用定時定量的P2P流量Data1，Data1數(shù)據(jù)量較小，實驗數(shù)據(jù)集見表1。

在測試分類器實驗中，采用Data2～Data5對虛警率、漏警率進(jìn)行嚴(yán)格測試，實驗數(shù)據(jù)集見表2。

由表2可以看出，選擇網(wǎng)絡(luò)流量特征后，基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實現(xiàn)較好的分類效果，分類檢測率在94.6%～96.7%。

6 結(jié) 語

本文以決策樹算法為基礎(chǔ)，對P2P流量檢測和流量異常時的檢測技術(shù)進(jìn)行研究。通過試驗室仿真試驗，選擇網(wǎng)絡(luò)流量特征后，基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實現(xiàn)較好的分類效果，分類檢測率在94.6%～96.7%，較高的檢測率說明采用改進(jìn)的C4.5決策樹算法能有效地對P2P流量進(jìn)行檢測，為今后研究P2P流量異常檢測技術(shù)提供了參考。

參考文獻(xiàn)

[1] 柴琦，曹旭東，王洪蕾，等.P2P流量監(jiān)測系統(tǒng)的設(shè)計[J].電子設(shè)計工程，2016，24（11）：64?67.

[2] 謝生鋒.基于數(shù)據(jù)挖掘的P2P流量檢測技術(shù)研究[J].計算機與網(wǎng)絡(luò)，2015（13）：71?73.

[3] 閆佳，應(yīng)凌云，劉海峰，等.結(jié)構(gòu)化對等網(wǎng)測量方法研究[J].軟件學(xué)報，2014，25（6）：1301?1315.

[4] 王菁菁，林琛，陳珂，等.基于MapReduce的Flash P2P VoD系統(tǒng)異常監(jiān)測[J].廈門大學(xué)學(xué)報（自然科學(xué)版），2013，52（4）：459?465.

[5] 李建.基于流量的P2P僵尸W絡(luò)檢測[J].計算機時代，2016（5）：45?48.

第3篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：網(wǎng)絡(luò)性能；網(wǎng)絡(luò)狀態(tài)監(jiān)測；簡單網(wǎng)絡(luò)管理協(xié)議；NetFlow

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測的意義

近年來，隨著各單位計算機應(yīng)用水平的整體提高、內(nèi)部園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)的日漸完善，以及實驗儀器設(shè)備的網(wǎng)絡(luò)自動化程度提高和發(fā)展，越來越多的日常學(xué)習(xí)、工作和科研、實驗活動依賴計算機和網(wǎng)絡(luò)來開展運行，這就要求各單位內(nèi)部的園區(qū)網(wǎng)網(wǎng)絡(luò)環(huán)境有很高的穩(wěn)定性和運行效率，并能針對不同網(wǎng)絡(luò)內(nèi)部科研應(yīng)用需求提供相應(yīng)的網(wǎng)絡(luò)質(zhì)量保障。園區(qū)網(wǎng)連接著各個計算機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備及系統(tǒng)設(shè)備、試驗裝置、儀器儀表，通過交換信息使之成為一個高效運行的有機整體，為確保各項依賴園區(qū)網(wǎng)的科研活動順利進(jìn)行，必須保障園區(qū)網(wǎng)的正常運行和性能穩(wěn)定。

同時，不斷進(jìn)行的信息化建設(shè)使得各項商業(yè)、科研活動對園區(qū)網(wǎng)絡(luò)日漸依賴，這也帶來了新的信息安全隱患，如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為需要被高度重視的問題。隨著園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，越來越多的攻擊和安全隱患來自于園區(qū)網(wǎng)內(nèi)部，使得傳統(tǒng)的基于網(wǎng)關(guān)的安全架構(gòu)在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統(tǒng)的安全防護(hù)手段多屬于被動形式,只能簡單過濾或丟棄攻擊數(shù)據(jù),而無法在攻擊源發(fā)起攻擊時或之后的較短時間內(nèi)即時響應(yīng)，將內(nèi)部網(wǎng)絡(luò)中可疑的攻擊源主機斷開，使其無法通過內(nèi)網(wǎng)連接進(jìn)行攻擊。在這種情況下，主動對園區(qū)網(wǎng)內(nèi)部的網(wǎng)絡(luò)運行狀態(tài)進(jìn)行監(jiān)控，并根據(jù)網(wǎng)絡(luò)流量異常信息采取相應(yīng)的質(zhì)量控制和防范乃至隔離控制，將可以成為傳統(tǒng)計算機安全技術(shù)(如網(wǎng)關(guān)防火墻)的有益補充。

2 園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)監(jiān)測技術(shù)

2.1 網(wǎng)絡(luò)監(jiān)測技術(shù)概述

網(wǎng)絡(luò)狀態(tài)監(jiān)測是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個重要組成部分，網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)為園區(qū)網(wǎng)的運行和維護(hù)提供了重要信息，這些數(shù)據(jù)對調(diào)控網(wǎng)絡(luò)資源分布、規(guī)劃網(wǎng)絡(luò)容量、網(wǎng)絡(luò)服務(wù)質(zhì)量分析、網(wǎng)絡(luò)故障檢測與隔離、網(wǎng)絡(luò)安全管理都非常重要。目前，根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)監(jiān)測技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于NetFlow的監(jiān)測技術(shù)三種常用技術(shù)。

2.2 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)。

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點是能夠提供豐富的應(yīng)用層信息。 但采用端口流量鏡像方式將增加網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)，對網(wǎng)絡(luò)設(shè)備性能的影響較大。而若使用探針等附加設(shè)備實現(xiàn)流量鏡像，安裝時對網(wǎng)絡(luò)影響較大，安裝完成后雖對網(wǎng)絡(luò)設(shè)備的影響較小，但為網(wǎng)絡(luò)結(jié)構(gòu)增加了新的單點失效點，在大型網(wǎng)絡(luò)環(huán)境下，可能會影響網(wǎng)絡(luò)的穩(wěn)定性。故基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)較少用于園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中。

2.3 基于SNMP的流量監(jiān)測技術(shù)

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)已經(jīng)成為事實上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，得到很大范圍的應(yīng)用。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，它簡單明了，占用系統(tǒng)資源少，已成為事實上的工業(yè)標(biāo)準(zhǔn)。SNMP提供了從網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)管理信息的方法，并為設(shè)備提供了向網(wǎng)絡(luò)管理端報告故障和錯誤的途徑。SNMP是協(xié)議和規(guī)范族，包括MIB（管理對象信息庫）、SMI（管理信息結(jié)構(gòu)）和SNM協(xié)議。同時，SNMP被設(shè)計成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他傳輸協(xié)議上被使用。

基于SNMP的流量信息采集，實質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對象信息庫）中收集一些與具體設(shè)備及流量信息有關(guān)的變量?；赟NMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等。 基于SNMP的網(wǎng)絡(luò)流量信息采集可以以極小的代價實現(xiàn)一定程度的網(wǎng)絡(luò)流量相關(guān)信息的收集，但其收集的信息多是出于網(wǎng)絡(luò)管理的需要，無法提供足夠豐富的網(wǎng)絡(luò)流量信息。利用其實現(xiàn)網(wǎng)絡(luò)總流量的定期監(jiān)控、觀察網(wǎng)絡(luò)設(shè)備端口的流量和使用狀況可以滿足網(wǎng)絡(luò)管理的基本需求。

SNMP采用‘管理者―’模型來監(jiān)測各種可管理的網(wǎng)絡(luò)設(shè)備，利用無連接的UDP協(xié)議在管理者和之間進(jìn)行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關(guān)系。一個SNMP管理者可以向SNMP發(fā)送請求，讀取（Get）或設(shè)置（Set）一個或多個MIB變量數(shù)值。SNMP可以應(yīng)答這些請求。除了這種交互式通信方式，SNMP還可以主動向SNMP管理者發(fā)送通知（Trap或Inform Request）以提示管理者一個設(shè)備或網(wǎng)絡(luò)的狀態(tài)。

■

圖1 SNMP管理者與SNMP間的通信示意圖

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用SNMP機制有以下優(yōu)勢：1）可以隨時隨地收集網(wǎng)絡(luò)流量信息，及時獲取當(dāng)前園區(qū)網(wǎng)絡(luò)的運行情況；2）能夠即時收集到網(wǎng)絡(luò)中大量設(shè)備的同步流量信息；3）采用方法基于IP層，不受底層網(wǎng)絡(luò)物理類型的限制；4）能夠收集到網(wǎng)絡(luò)設(shè)備自身的工作信息、端口狀態(tài)。并可根據(jù)需要遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備的相關(guān)參數(shù)；5）基于SNMP的流量監(jiān)測所需費用較少，對現(xiàn)有的網(wǎng)絡(luò)性能影響較小，且易于集成到各種網(wǎng)管系統(tǒng)中去。

在此基礎(chǔ)上，如果配合后臺數(shù)據(jù)庫記錄收集到的網(wǎng)絡(luò)流量、性能數(shù)據(jù)，就可以實現(xiàn)對整個園區(qū)網(wǎng)絡(luò)進(jìn)行有效的監(jiān)視，并能在網(wǎng)絡(luò)發(fā)生故障時及時發(fā)現(xiàn)并通知相關(guān)人員處理，從而提高網(wǎng)絡(luò)可靠運轉(zhuǎn)的時間，減少因網(wǎng)絡(luò)故障造成的中斷時間。

2.1.基于NetFlow的流量監(jiān)測技術(shù)

NetFlow是Cisco公司提出的一項網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計標(biāo)準(zhǔn)，利用NetFlow技術(shù)，路由器可以輸出流經(jīng)路由的包的統(tǒng)計信息，從而監(jiān)測網(wǎng)絡(luò)上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理、流量計費和病毒檢測等等，NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機制實現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測的需求。它可以實時提取大量流量的特征,實現(xiàn)對流量的宏觀統(tǒng)計分析。目前，NetFlow技術(shù)已經(jīng)成為網(wǎng)絡(luò)設(shè)備流量信息采集事實上的標(biāo)準(zhǔn)，一些大型的網(wǎng)絡(luò)設(shè)備廠商均在其主流的路由設(shè)備中實現(xiàn)了對NetFlow主要版本的支持。

表1主流廠商網(wǎng)絡(luò)流技術(shù)對比

■

NetFlow的實現(xiàn)由路由器、數(shù)據(jù)采集設(shè)備和流量分析工具三部分構(gòu)成，如圖2所示。

路由器啟動NetFlow功能，負(fù)責(zé)抓取路由器上發(fā)生的流量信息，當(dāng)Cache表超時后，網(wǎng)絡(luò)設(shè)備中的NetFlow Agent 將通過規(guī)范的報文格式將表項數(shù)據(jù)以UDP方式向NetFlow數(shù)據(jù)采集設(shè)備發(fā)送。NetFlow數(shù)據(jù)采集設(shè)備可以是商業(yè)系統(tǒng)或是采用開放源代碼的工作站，它負(fù)責(zé)實時處理收到的報文，提取出流量數(shù)據(jù)，進(jìn)行過濾和聚合后記錄在數(shù)據(jù)庫中。NetFlow流量分析工具根據(jù)數(shù)據(jù)采集設(shè)備數(shù)據(jù)庫中記錄的網(wǎng)絡(luò)流量信息進(jìn)行網(wǎng)絡(luò)規(guī)劃、流量計費和各種網(wǎng)絡(luò)管理應(yīng)用，并產(chǎn)生各類報表等。

■

圖2NetFlow的工作原理示意圖

由于NetFlow技術(shù)所產(chǎn)生的信息詳盡且趨近于即時，可讓網(wǎng)管人員深入地了解數(shù)據(jù)包中的信息，獲得很多網(wǎng)絡(luò)運行情況的細(xì)節(jié)。依據(jù)NetFlow信息進(jìn)行網(wǎng)絡(luò)規(guī)劃，將大大提高規(guī)劃的效率，減少盲目性。

（上接第671頁）

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用NetFlow機制有以下優(yōu)勢：

1) 對源及目的業(yè)務(wù)端口號的統(tǒng)計、分析，可以科學(xué)地估算出各種業(yè)務(wù)在網(wǎng)絡(luò)總流量中所占的比重和在各條鏈路上的分布，對網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行精細(xì)化分析，包括網(wǎng)絡(luò)間數(shù)據(jù)流中各個具體業(yè)務(wù)的流量及百分比；同時，也可以根據(jù)應(yīng)用層數(shù)據(jù)參數(shù)Protocol、Port、Bytes對各個網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行排行，進(jìn)而科學(xué)地預(yù)測各類業(yè)務(wù)流量的增長規(guī)律。

2) 通過對整網(wǎng)流量的長期監(jiān)測，可以建立園區(qū)網(wǎng)流量基線，了解網(wǎng)絡(luò)內(nèi)各節(jié)點的即時與歷史網(wǎng)絡(luò)流量狀態(tài)，掌握網(wǎng)絡(luò)應(yīng)用及發(fā)展趨勢，從而提高網(wǎng)絡(luò)的管理維護(hù)能力。

3) 通過統(tǒng)計分析，我們還可以獲知那些業(yè)務(wù)是目前網(wǎng)絡(luò)上最受歡迎的業(yè)務(wù)，進(jìn)而對相關(guān)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的建設(shè)和規(guī)劃提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù)；對于業(yè)務(wù)流量大的端點，分析其增長規(guī)律，可以指導(dǎo)對其合理及時的擴容，從而提高整個網(wǎng)絡(luò)的運行質(zhì)量。

4) 利用NetFlow產(chǎn)生的流量記錄與統(tǒng)計分析系統(tǒng)配合，還可以記錄網(wǎng)絡(luò)平常在不同時間的流量或服務(wù)器連接使用情況，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)或某服務(wù)器流量異常，或是服務(wù)器連接情況異常大量增加或減少時，在第一時間發(fā)出警報，讓網(wǎng)絡(luò)管理員可以立即采取相應(yīng)措施，盡快確定異常流量源地址及目的地址、端口號等多種信息，針對不同的情況，分別利用切斷連接、ACL過濾、靜態(tài)空路由過濾、異常流量限定等多種手段，對異常流量進(jìn)行有效控制、處理，從而在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運行。這在防范病毒，尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時尤為有效。

3 結(jié)束語

當(dāng)前，隨著信息化建設(shè)步伐的加快，各單位都在不斷地建設(shè)和改造內(nèi)部的園區(qū)網(wǎng)絡(luò)，園區(qū)網(wǎng)絡(luò)的不斷擴展使得網(wǎng)絡(luò)的拓?fù)渥兊迷絹碓綇?fù)雜和不規(guī)則。而網(wǎng)絡(luò)新應(yīng)用的涌現(xiàn)和網(wǎng)絡(luò)用戶的快速增長也使得網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)應(yīng)用日益復(fù)雜。采用一種或混合使用多種技術(shù)監(jiān)測園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)的重要性和迫切性越來越突出。園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測技術(shù)已經(jīng)成為計算機網(wǎng)絡(luò)研究中一個重要的課題方向。

參考文獻(xiàn)：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陳秀蘭,吳軍華.通用網(wǎng)絡(luò)流量監(jiān)測報警系統(tǒng)的設(shè)計與實現(xiàn)[J]. 微計算機應(yīng)用, 2006(4):47-50.

[4] 何豐,靳娜.基于NetFlow的IP網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)[J] . 通信技術(shù), 2007(8):36-38.

第4篇：網(wǎng)絡(luò)流量監(jiān)測范文

流量可控

云計算、大數(shù)據(jù)、虛擬化、移動化的興起，對于數(shù)據(jù)中心架構(gòu)尤其是網(wǎng)絡(luò)的管理、分析和安全產(chǎn)生了重大影響。用戶對于網(wǎng)絡(luò)效率、安全性和可靠性的追求永無止境，而傳統(tǒng)的網(wǎng)絡(luò)管理和監(jiān)控方式則有些捉襟見肘。Gigamon的網(wǎng)絡(luò)流量可視化解決方案采用帶外方式，可以在不影響網(wǎng)絡(luò)本身性能和可靠性的情況下，對流量進(jìn)行監(jiān)控。

網(wǎng)絡(luò)流量的提取、分類、優(yōu)先級劃分等并不容易。傳統(tǒng)的流量監(jiān)控和分析往往要通過大規(guī)模添加新的工具和系統(tǒng)，或者變更以太網(wǎng)交換機的用途，或借助鏡像端口復(fù)制流量，以及通過網(wǎng)絡(luò)分路器分拆流量等方式實現(xiàn)。上述方式通常只借助一臺交換機或一個分路器的有限過濾功能實現(xiàn)，功能和可視化都受到了限制，而且擴展和管理難度大，成本高。

能不能通過一種可靠的一體化的設(shè)計方式，沖破傳統(tǒng)方式在性能、成本和管理方面的局限性，實現(xiàn)對網(wǎng)絡(luò)流量的有效監(jiān)控與管理呢？正是基于這種考慮，Gigamon推出了流量可視化矩陣（Traffic Visibility Fabric），它采用創(chuàng)新的架構(gòu)，可以全方位實現(xiàn)流量的可視化與控制，提升擴展性和吞吐能力，同時增強網(wǎng)絡(luò)的可靠性，提高網(wǎng)絡(luò)效率并簡化部署和使用。

統(tǒng)一可視化

在網(wǎng)絡(luò)由簡單的、靜態(tài)的逐漸向復(fù)雜的、動態(tài)化的方向發(fā)展時，Gigamon流量可視化矩陣的優(yōu)勢就顯現(xiàn)出來了，它為網(wǎng)絡(luò)架構(gòu)的設(shè)計師、管理員提供了全面的流量可視性，在不影響生產(chǎn)網(wǎng)絡(luò)的性能和穩(wěn)定性的情況下，可以對通過物理網(wǎng)和虛擬網(wǎng)的流量進(jìn)行監(jiān)控。許多大型企業(yè)、數(shù)據(jù)中心和服務(wù)供應(yīng)商都采用了Gigamon流量可視化矩陣。

在可視化矩陣的基礎(chǔ)上，Gigamon又進(jìn)一步提出了統(tǒng)一可視化結(jié)構(gòu)的理念，它可以提供跨平臺的流量可視化功能，讓用戶原有的監(jiān)測工具，可以監(jiān)測和分析來自物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)或軟件定義網(wǎng)絡(luò)的流量，從而提升網(wǎng)絡(luò)流量監(jiān)控的智能化程度。統(tǒng)一可視化結(jié)構(gòu)的好處顯而易見：具有智能化的全面可視性，可以對遠(yuǎn)程站點提供實時、深入的監(jiān)控；實現(xiàn)集中監(jiān)控，為多種工具和IT部門提供可視性，從而簡化運作；減少遠(yuǎn)程站點的維護(hù)人員和監(jiān)測工具，節(jié)省成本。

精確分發(fā)與智能過濾

第5篇：網(wǎng)絡(luò)流量監(jiān)測范文

流量監(jiān)測是網(wǎng)絡(luò)管理的基礎(chǔ)。從網(wǎng)絡(luò)體系架構(gòu)來說，網(wǎng)絡(luò)流量是一切研究的基礎(chǔ)；它能直接反映網(wǎng)絡(luò)性能的好壞；更能幫助判斷網(wǎng)絡(luò)故障及網(wǎng)絡(luò)安全等狀況。隨著Ineernet重要性的日益提高和網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜．人們經(jīng)常會遇到網(wǎng)絡(luò)擁塞和服務(wù)質(zhì)量低等一系列問題．越來越有必要對網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)行為進(jìn)行深入的了解、分析，以利于發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，優(yōu)化網(wǎng)絡(luò)配置，并進(jìn)一步發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的潛在危險。為此。需要對大規(guī)模網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行動態(tài)描述，并根據(jù)網(wǎng)絡(luò)流量的變化分析網(wǎng)絡(luò)的性能，為加強網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)利用率．因此網(wǎng)絡(luò)流量的測量與分析一直為人們所關(guān)注。

2.課題名稱和課題來源

網(wǎng)絡(luò)測量技術(shù)始于上世紀(jì)70年代初，發(fā)展于80年代．90年代已漸成體系．在網(wǎng)絡(luò)測量的方法、工具及流量的測量模型等方面取得了長足的發(fā)展。美國在1992年開始著手IIltemet特征的研究．其中比較著名的項目有NIMIⅢationalIntemetMea．surementInfrastnlctu商。它是一個完整的網(wǎng)絡(luò)測量基礎(chǔ)框架，并且是第一個執(zhí)行大規(guī)模端到端ntemet行為測量的軟件．NIMI主要采用主動測量技術(shù)．主要目的是要測量全球的Intemet．致力于建立一個總體的可擴展的網(wǎng)絡(luò)測量基礎(chǔ)框架．而不是為特定的分析目標(biāo)做一組特定的測量操作。

網(wǎng)絡(luò)流量簡而言之就是網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量。就象要根據(jù)來往車輛的多少和流向來設(shè)計道路的寬度和連接方式一樣，根據(jù)網(wǎng)絡(luò)流量設(shè)計網(wǎng)絡(luò)是十分必要的。在網(wǎng)絡(luò)中不同的位置通過不同的方法采集不同空間粒度和不同時間粒度下的網(wǎng)絡(luò)流量，并借助于數(shù)理統(tǒng)計、隨機過程和時間序列等數(shù)學(xué)手段針對預(yù)先所定義的一系列的網(wǎng)絡(luò)流量的相關(guān)屬性對網(wǎng)絡(luò)流量展開分析與研究，得到網(wǎng)絡(luò)流量的不同屬性在其構(gòu)成、分布、相關(guān)性和變化規(guī)律與趨勢等方面的特征，簡稱流量測量；并且所得到的"特征"叫做網(wǎng)絡(luò)流量特征，簡稱流量特征。

網(wǎng)絡(luò)流量貫穿整個網(wǎng)絡(luò)，沒有網(wǎng)絡(luò)流量，網(wǎng)絡(luò)應(yīng)用也就無從存在。如果把TCP/IP協(xié)議棧比作成為網(wǎng)絡(luò)的靈魂，通過網(wǎng)線等連接起來計算機、交換機和路由器等網(wǎng)絡(luò)設(shè)備比作成為網(wǎng)絡(luò)的骨架，那么網(wǎng)絡(luò)流量可以看作成是網(wǎng)絡(luò)中流動的血液。這樣，對于研究網(wǎng)絡(luò)的可用性、可靠性和穩(wěn)定性而言，研究網(wǎng)絡(luò)流量顯然是獲得第一手有效參數(shù)的最為直接和最為基礎(chǔ)的手段之一。應(yīng)用各種主要基于硬件或者軟件或者硬軟件相結(jié)合所實現(xiàn)的流量測量與分析系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)流量的監(jiān)測，并根據(jù)你的應(yīng)用情況對網(wǎng)絡(luò)流量進(jìn)行一定的干預(yù)，以保證關(guān)鍵性的應(yīng)用。

3.前人在本課題研究領(lǐng)域的成果簡介

流量監(jiān)測包括測量工具/系統(tǒng)的部署、流量數(shù)據(jù)的采集（包括數(shù)據(jù)包捕獲、歸并和采樣處理等）、數(shù)據(jù)包的解析和處理（包括協(xié)議解析、按照協(xié)議、流和應(yīng)用等不同聚合層次進(jìn)行聚合表示和流量識別與分類等）、測量實體量化數(shù)值的獲得與統(tǒng)計分析、流量特征化描述、流量存儲和查詢表示、流量建模等多個環(huán)節(jié)，具有相對復(fù)雜的處理和分析過程。目前存在有眾多種流量測量的實現(xiàn)方法，他們可適用不同的測量環(huán)境、滿足不同的測量要求，并且有著不同的實現(xiàn)方式。概括來看，現(xiàn)有的這些實現(xiàn)方法大致可以依據(jù)如下幾個方面進(jìn)行分類：根據(jù)測量時所依賴工具的實現(xiàn)主體是硬件還是軟件，流量測量可以被分成基于硬件的測量和基于軟件的測量兩種?；谟布臏y量通常需要設(shè)計和應(yīng)用特定的硬件設(shè)備來對流量數(shù)據(jù)進(jìn)行采集和分析。如IPMON、OCxMON、InMonsFlowProbe、NavTelIW5000ATMTrafficAnalyzer等，這些硬件設(shè)備通常被稱為流量采集探針（Probe），需要配置有網(wǎng)絡(luò)處理器（NP，NetworkProcessor）或?qū)Ｓ玫牧髁坎东@板卡采用串接（in-line）、鏡像（Mirror）或者分光（OpticalTap/Splitter）等方式捕獲被測量的流量。而基于軟件的測量一般是指通過普通的商用計算機（commoditycomputer）即所完成的流量測量。這類測量的主要特點就是被測流量的采集通常是借助于現(xiàn)有的硬件（如市面上可隨便購買到網(wǎng)絡(luò)接口卡（NIC，NetworkInterfaceCard，如以太網(wǎng)卡（EthernetCard））或者現(xiàn)有的網(wǎng)絡(luò)設(shè)備（如網(wǎng)絡(luò)中已經(jīng)部署且正在工作的服務(wù)器、交換機和路由器）來完成。

它主要包括兩個類別：一類是通過對操作系統(tǒng)內(nèi)核和網(wǎng)絡(luò)協(xié)議棧的增改（由于代碼開放性等的限制，操作系統(tǒng)內(nèi)核和網(wǎng)絡(luò)協(xié)議棧的增改通常是在開源的Linux下進(jìn)行），借助普通的網(wǎng)絡(luò)接口卡（如將普通的以太網(wǎng)卡置于混雜模式（promiscuousmode）并借助于BPF完成對感興趣數(shù)據(jù)包的過濾）等將一般的商用計算機轉(zhuǎn)換成為具有數(shù)據(jù)包捕獲和分析處理能力的流量測量系統(tǒng)。另一類則是被測量的流量并非由普通的商用計算機直接獲得，而是需要從服務(wù)器、交換機、路由器等特定的網(wǎng)絡(luò)設(shè)備上經(jīng)過一定處理后導(dǎo)出，然后再由普通的商用計算機完成后續(xù)的流量處理和統(tǒng)計分析等工作。需要說明的是，特定設(shè)備上所導(dǎo)出的流量通常并非是詳細(xì)的網(wǎng)絡(luò)級的原始數(shù)據(jù)包，而是根據(jù)特定設(shè)備的不同，可能是SNMP/RMON統(tǒng)計數(shù)據(jù)，可能是經(jīng)過聚合處理后的flow數(shù)據(jù)，也可能是服務(wù)器日志，等等。不同形式的數(shù)據(jù)，對應(yīng)要求在普通的商用計算機上通過不同的程序或軟件實現(xiàn)相應(yīng)的流量處理和統(tǒng)計分析功能。

對于大多數(shù)的網(wǎng)絡(luò)用戶而言，網(wǎng)絡(luò)僅僅是為這些用戶的應(yīng)用，如WEB網(wǎng)頁瀏覽、BT電影下載、QQ聊天程序、Skype網(wǎng)絡(luò)電話、PPLive在線視頻等等，提供連通性的媒介。以TCP/IP協(xié)議棧為基礎(chǔ)和核心的網(wǎng)絡(luò)遵循并實現(xiàn)了信息隱藏的原則，將具體的用戶級的網(wǎng)絡(luò)應(yīng)用抽象為底層的數(shù)據(jù)幀/包的發(fā)送和接收，而終端的用戶無需了解網(wǎng)絡(luò)工作的底層細(xì)節(jié)。例如，用戶在Youtube的主頁面上點擊網(wǎng)頁上的超鏈接觀看所感興趣的在線視頻的時候，他不需要知道和關(guān)心會有多少個網(wǎng)絡(luò)數(shù)據(jù)包生成，也無需了解這些數(shù)據(jù)包是如何在網(wǎng)絡(luò)中進(jìn)行路由的、IP協(xié)議是如何完成尋址定位功能的、TCP協(xié)議是如何提供了可靠的端到端的數(shù)據(jù)傳輸功能的、HTTP協(xié)議是如何應(yīng)用超文本表示和描述頁面上不同元素的、Youtube服務(wù)器上FlashMediaServer是如何實現(xiàn)自動位速率選擇和動態(tài)緩沖的，等等。用戶關(guān)心的可能僅僅是：他們所想要看到的視頻內(nèi)容是否能夠快速的被呈現(xiàn)出來？視頻內(nèi)容的播放是否能夠一直都很流暢？視頻內(nèi)容是否能夠下載保存到自己的電腦上來？總而言之，用戶所最為關(guān)注的是應(yīng)用，可以為他們帶來更為輕松和簡便的、更為豐富和優(yōu)質(zhì)的網(wǎng)絡(luò)應(yīng)用。然而，對于網(wǎng)絡(luò)管理人員而言，由數(shù)據(jù)包/幀這一最基本元素所形成的網(wǎng)絡(luò)流量卻是我們應(yīng)該關(guān)注和研究的對象。這是因為網(wǎng)絡(luò)本身并無任何價值，其關(guān)鍵在于它所承載的業(yè)務(wù)，即人們?nèi)粘Ｋ鶓?yīng)用到的網(wǎng)絡(luò)應(yīng)用。而不管哪一方面、什么類型、遵從什么架構(gòu)、應(yīng)用哪種協(xié)議、通過何種方式所實現(xiàn)的網(wǎng)絡(luò)應(yīng)用都會產(chǎn)生流量，也必須要產(chǎn)生流量。這些流量會流經(jīng)作為最終的發(fā)送端和接收端的計算機、完成尋址和路由功能的交換機與路由器、提供安全檢查和防護(hù)的IDS和IPS系統(tǒng)等網(wǎng)絡(luò)設(shè)備。而正是這些具有不同能力和不同功能、處在不同層次和結(jié)構(gòu)上的網(wǎng)絡(luò)設(shè)備憑借各種形式互相連接起來構(gòu)成了整個網(wǎng)絡(luò)。

4.研究的主要內(nèi)容和方法

（1）利用QoS優(yōu)化技術(shù)，按照不同網(wǎng)絡(luò)設(shè)備上不同的網(wǎng)絡(luò)應(yīng)用進(jìn)行網(wǎng)絡(luò)帶寬的分配，通過分類確定流量的優(yōu)先權(quán)，并對較高的優(yōu)先權(quán)提供優(yōu)先服務(wù)。由于行政網(wǎng)段是網(wǎng)路的一個重要服務(wù)對象，必須首先保證其服務(wù)質(zhì)量，所以將網(wǎng)路內(nèi)部行政網(wǎng)段流量設(shè)為最高的優(yōu)先級。

（2）通過交換機管理設(shè)置，利用VLAN技術(shù)，將不同位置上的交換機和IP地址管理集中在某個管理網(wǎng)段，把網(wǎng)絡(luò)劃分為若干子網(wǎng)，對訪問管理網(wǎng)段的流量進(jìn)行限制。

（3）利用組播優(yōu)化技術(shù)，在網(wǎng)路中的網(wǎng)站上動態(tài)的直播、VOD和網(wǎng)絡(luò)電視等均采用組播技術(shù)，在網(wǎng)絡(luò)上建立一個視頻服務(wù)器，點擊視頻等即可觀看。訪問網(wǎng)內(nèi)FTP、VOD和網(wǎng)絡(luò)電視服務(wù)器的多媒體流應(yīng)用流量，此類流量較大，在播放時段對多媒體流設(shè)置相應(yīng)的優(yōu)先級。

5、預(yù)期達(dá)到的目的和應(yīng)用前景

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化在優(yōu)化過程中應(yīng)盡量減少節(jié)點匯聚，原先的節(jié)點可擴展為新匯聚，從核心到匯聚都采用直接邏輯連接，不再設(shè)置中間有源節(jié)點。采用以高速路由交換機為核心，多層交換機作為匯聚層，可管理換機作為接入層的網(wǎng)絡(luò)設(shè)計。在實際應(yīng)用中，重要骨干設(shè)備采用雙線路連接到核心設(shè)備上，核心層至匯聚層交換機也采用雙千兆光纖做鏈路聚合（Trunking）的冗余組網(wǎng)方案，在加大帶寬的同時冗余了骨干鏈路，然后根據(jù)鏈路的長短來確定使用光纖鏈路，還是使用雙絞線從匯聚層交換機聯(lián)到接入層交換機，并且接入層設(shè)備采用線路捆綁連接到匯聚層，這樣在設(shè)備或物理鏈路出現(xiàn)故障時均可自動轉(zhuǎn)換，進(jìn)而提高網(wǎng)絡(luò)的帶寬和穩(wěn)定性。

網(wǎng)絡(luò)應(yīng)用優(yōu)化在網(wǎng)絡(luò)應(yīng)用優(yōu)化前，先對網(wǎng)絡(luò)內(nèi)所有終端全面殺毒，檢測各種蠕蟲和Ddos的攻擊，實現(xiàn)網(wǎng)絡(luò)安全，凈化網(wǎng)絡(luò)運行環(huán)境。

第6篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：網(wǎng)絡(luò)技術(shù) 網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)性能 網(wǎng)絡(luò)配置

中圖分類號：TP393.0 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2013）07-0071-01

1 引言

網(wǎng)絡(luò)性能從20世紀(jì)80年代逐漸受到重視。網(wǎng)絡(luò)測量研究大致可劃分為三部分，端到端性能測量、路由/路由器相關(guān)測量、應(yīng)用層測量。

2 網(wǎng)絡(luò)性能測量方法

網(wǎng)絡(luò)性能測量作為分析網(wǎng)絡(luò)行為、了解網(wǎng)絡(luò)狀況和定位網(wǎng)絡(luò)故障的有效手段，需要服務(wù)于各種不同目的的測量要求，根據(jù)獲取數(shù)據(jù)的方式和技術(shù)特征不同可以歸分為兩類：被動測量和主動測量。

2.1 主動測量

主動測量是利用測量工具，有目的地主動產(chǎn)生測量流量，并再次注入網(wǎng)絡(luò)。主動測量的優(yōu)點是對測量過程可控性比較高、靈活、機動，易于進(jìn)行端到端的性能測量；缺點是注入的測量流量會改變網(wǎng)絡(luò)本身的運行情況，使得測量的結(jié)果與實際情況存偏差，并且測量流量還會增加網(wǎng)絡(luò)負(fù)擔(dān)。主動測量在性能參數(shù)的測量中應(yīng)用十分廣泛，目前大多數(shù)測量系統(tǒng)都涉及到主動測量。主動測量需要發(fā)出測量數(shù)據(jù)包，通過測量數(shù)據(jù)包在網(wǎng)絡(luò)中的處理和響應(yīng)結(jié)果獲知網(wǎng)絡(luò)的流量狀態(tài)信息。

2.2 被動測量

被動測量是指在鏈路或設(shè)備（如路由器，防火墻、交換機等）上對網(wǎng)絡(luò)進(jìn)行監(jiān)測，觀察和記錄的分組，不注入流量測量方法。被動測量的優(yōu)點在于理論上它不產(chǎn)生多余流量，不會增加網(wǎng)絡(luò)負(fù)擔(dān)；其缺點在于被動測量基本上是基于對單個設(shè)備監(jiān)測，很難對網(wǎng)絡(luò)端到端的性能進(jìn)行分析，并且可能實時采集的數(shù)據(jù)量過大，被動測量非常適合用來進(jìn)行流量測量。被動測量在網(wǎng)絡(luò)中的某點收集流量信息，如使用路由器或交換機收集數(shù)據(jù)或者一個獨立的設(shè)備被動地監(jiān)測網(wǎng)絡(luò)鏈路流量，它可以完全取消附加流量和Heisenberg效應(yīng)。網(wǎng)絡(luò)流量是采用大小不一的報文傳送，收集到的數(shù)據(jù)可以進(jìn)行各種流量分析。

3 延時的測量分析

目前能夠進(jìn)行雙向延時測量的工具很多，常見的測試工具有scantools、NetMedic、Internet Anywhere Toolkit等，其中典型延時應(yīng)用“Ping”命令。Ping是基于ICMP請求應(yīng)答的應(yīng)用軟件，Ping發(fā)送ICMP的請求回應(yīng)數(shù)據(jù)，當(dāng)接收方收到該報文后，會返回一個回應(yīng)數(shù)據(jù)，這樣發(fā)送方收到反饋數(shù)據(jù)后就可以計算出網(wǎng)絡(luò)的傳輸延時。設(shè)在局域網(wǎng)內(nèi)，通過改變數(shù)據(jù)包大小對網(wǎng)內(nèi)核心交換機進(jìn)行撥打測試，包的大小從100B字節(jié)增至1000B字節(jié)，增長步長設(shè)為100B字節(jié)，每次測試32個包，若網(wǎng)絡(luò)比較忙，也可以采用128個數(shù)據(jù)包進(jìn)行統(tǒng)計。

4 流量的測量分析

從網(wǎng)絡(luò)體系架構(gòu)來說，網(wǎng)絡(luò)流量是一切研究的基礎(chǔ)。所有的網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)本身的行為特點，都可以通過對網(wǎng)絡(luò)流量測量數(shù)據(jù)的分析來獲得。目前，流量測量分析模式基本上有三種：一種是專門使用一臺計算機在網(wǎng)絡(luò)中偵聽，另一種方法是直接從網(wǎng)絡(luò)對象獲取數(shù)據(jù)。網(wǎng)絡(luò)流量可以反映網(wǎng)絡(luò)性能的好壞，如果網(wǎng)絡(luò)所接受的流量超過它實際的運載能力，就會引起網(wǎng)絡(luò)性能大幅下降。為了使網(wǎng)絡(luò)性能得到進(jìn)一步的改善，必須得對網(wǎng)絡(luò)流量進(jìn)行測量。并根據(jù)最終分析結(jié)果，對網(wǎng)絡(luò)流量實施有效的控制，改進(jìn)和優(yōu)化網(wǎng)絡(luò)性能。通過觀察一周流量變化情況，得出一周中相鄰的各天流量的大小和變化具有明顯的自相似性，當(dāng)高峰期出現(xiàn)擁塞現(xiàn)象時，可采取適當(dāng)限制措施，如限制端口速度，或?qū)2P應(yīng)用限速等，常用的辦法是限制每個交換機端口的速率，分時段控制或者總流量限制。

5 網(wǎng)絡(luò)優(yōu)化

網(wǎng)絡(luò)優(yōu)化是指根據(jù)對網(wǎng)絡(luò)性能測量數(shù)據(jù)的分析，找出影響網(wǎng)絡(luò)性能的因素，通過采取技術(shù)手段，從而使網(wǎng)絡(luò)達(dá)到最佳狀態(tài)，使網(wǎng)絡(luò)資源獲得最佳使用效率。在進(jìn)行網(wǎng)絡(luò)優(yōu)化時，應(yīng)結(jié)合網(wǎng)絡(luò)的實際狀況，利用已有網(wǎng)絡(luò)設(shè)備支持的相關(guān)協(xié)議和標(biāo)準(zhǔn)。

5.1 網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化

在優(yōu)化過程中應(yīng)盡量減少節(jié)點匯聚，將匯聚層直接設(shè)置內(nèi)部，原先的節(jié)點可擴展為新匯聚，從核心到匯聚都采用直接邏輯連接，不再設(shè)置中間有源節(jié)點。采用以高速路由交換機為核心，多層交換機作為匯聚層，可管理換機作為接入層的網(wǎng)絡(luò)設(shè)計。重要骨干設(shè)備采用雙線路連接到核心設(shè)備上，核心層至匯聚層交換機也采用雙千兆光纖做鏈路聚合（Trunking）的冗余組網(wǎng)方案，在加大帶寬的同時冗余了骨干鏈路，然后根據(jù)鏈路的長短來確定使用光纖鏈路，還是使用雙絞線從匯聚層交換機聯(lián)到接入層交換機，并且接入層設(shè)備采用線路捆綁連接到匯聚層。

5.2 網(wǎng)絡(luò)應(yīng)用優(yōu)化

在網(wǎng)絡(luò)應(yīng)用優(yōu)化前，先對內(nèi)網(wǎng)所有終端全面殺毒，檢測各種掃描、蠕蟲和Ddos的攻擊。

（1）利用QoS優(yōu)化技術(shù)，按照不同網(wǎng)絡(luò)設(shè)備上不同網(wǎng)絡(luò)應(yīng)用進(jìn)行網(wǎng)絡(luò)帶寬的分配，通過分類確定流量優(yōu)先權(quán)，并對較高的優(yōu)先權(quán)提供最好的性能服務(wù)。由于學(xué)校辦公網(wǎng)段是校園網(wǎng)的一個重要服務(wù)對象，必須首先保證其服務(wù)質(zhì)量。（2）通過交換機管理設(shè)置，利用VLAN技術(shù)，將不同位置上的交換機和IP地址管理集中在某個管理網(wǎng)段，把網(wǎng)絡(luò)劃分為若干子網(wǎng)，對訪問管理網(wǎng)段的流量進(jìn)行限制。（3）利用組播優(yōu)化技術(shù)，在校園網(wǎng)中的遠(yuǎn)程教學(xué)網(wǎng)站上動態(tài)的直播課堂、VOD和網(wǎng)絡(luò)電視等均采用組播技術(shù)，在網(wǎng)絡(luò)上建立一個視頻服務(wù)器，點擊視頻等即可觀看。

6 結(jié)語

通過優(yōu)化，數(shù)據(jù)傳輸成功率得到提升，當(dāng)發(fā)包和收包的數(shù)相同時，響應(yīng)時間明顯降低。經(jīng)過優(yōu)化以后，對教學(xué)應(yīng)用中比較廣泛的網(wǎng)頁和視頻等進(jìn)行重新測量，應(yīng)用效果明顯得到改善。

參考文獻(xiàn)

[1]王海濤，付鷹.網(wǎng)絡(luò)測量方法和關(guān)鍵技術(shù)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2010年07期.

[2]蔣序平，陳鳴，趙金.網(wǎng)絡(luò)測量系統(tǒng)研究中亟待解決的若干問題[J].電信科學(xué).2003年08期.

第7篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：網(wǎng)絡(luò)安全，流量監(jiān)控，數(shù)據(jù)備份，遠(yuǎn)程同步

 

1.引言

在互聯(lián)網(wǎng)飛速發(fā)展的今天， 越來越多的公司關(guān)和企事業(yè)單位擁有了自己的網(wǎng)站。 網(wǎng)站不但是信息傳播的工具， 也是非常好的商業(yè)運營方式。但由于互聯(lián)網(wǎng)在安全方面的脆弱性，以及黑客對網(wǎng)站的攻擊，使得網(wǎng)站的運行安全是我們設(shè)計網(wǎng)站時需要解決的問題。網(wǎng)站的安全不應(yīng)僅依賴于防火墻和入侵檢測， 也需要使用對網(wǎng)站的監(jiān)控和恢復(fù)技術(shù)，力爭使損失達(dá)到最小。而一些大型網(wǎng)站更是會在很多不同的地點建立分站點，一方面能提高用戶的訪問速度，分擔(dān)負(fù)載，另一方面也是為了使得各分站的數(shù)據(jù)能夠?qū)崿F(xiàn)同步傳輸，防止因為各種原因造成的數(shù)據(jù)丟失所產(chǎn)生的損失。本文正是基于此目的，以12530網(wǎng)站系統(tǒng)為基本構(gòu)架 ，Linux為操作系統(tǒng) ，規(guī)劃配置出一套能夠?qū)W(wǎng)站日常的運行進(jìn)行監(jiān)控與保護(hù)的相對安全的網(wǎng)絡(luò)系統(tǒng)的方案。

2.網(wǎng)頁監(jiān)控和保護(hù)系統(tǒng)基本構(gòu)架

如圖1 所示 ，在本次12530網(wǎng)站建設(shè)中，我們將網(wǎng)站監(jiān)控和保護(hù)系統(tǒng)基本構(gòu)架設(shè)計成主要的三部分:（1）網(wǎng)絡(luò)服務(wù)器。系統(tǒng)的主控臺 ， 擁有良好的人機界面 ，對靜態(tài)網(wǎng)頁和動態(tài)腳本進(jìn)行校驗。（2）備份服務(wù)器。對靜態(tài)頁面、動態(tài)腳本、靜態(tài)網(wǎng)頁和動態(tài)腳本的校驗值及數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。（3）Rsync-server服務(wù)器。將產(chǎn)生的數(shù)據(jù)與其他分站進(jìn)行遠(yuǎn)程雙向同步。

圖1 網(wǎng)頁監(jiān)控和保護(hù)系統(tǒng)基本組成

3.實現(xiàn)對網(wǎng)絡(luò)流量實時監(jiān)控與異常報警

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，容量不斷增加，新的應(yīng)用不斷出現(xiàn)，網(wǎng)絡(luò)環(huán)境變得更加復(fù)雜、多變和異構(gòu)，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控與分析已成為對網(wǎng)絡(luò)行為分析的主要可行途徑。通過對整個網(wǎng)絡(luò)進(jìn)行流量監(jiān)測，獲得網(wǎng)絡(luò)設(shè)備及骨干網(wǎng)每時每刻的流量數(shù)據(jù)，并對其進(jìn)行分析和研究，才能發(fā)現(xiàn)整個網(wǎng)絡(luò)運行的規(guī)律，不斷提高網(wǎng)絡(luò)安全性能。目前在世界各地有許多公司和學(xué)術(shù)團(tuán)體 ， 根據(jù)不同的計算機系統(tǒng)與需要開發(fā)出不同的網(wǎng)絡(luò)流量監(jiān)控工具如Cacti, Sniffer Pro, ROM II, NetDetector,Netxray等相關(guān)軟件。表1 列出了五種流量采集工具的主要性能比較。

第8篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：流量檢測；DPI；VoIP

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）27-6094-05

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可分割的組成部分，通過網(wǎng)絡(luò)人們的工作、生活都變得便捷，欣欣向榮的寬帶業(yè)務(wù)，給運營商帶來機遇的同時也帶來了挑戰(zhàn)。大量非法VOIP運營充斥著正規(guī)電信市場，導(dǎo)致合法運營商話務(wù)量流失，利潤減少。造成這些結(jié)果的主要原因是運營商對網(wǎng)絡(luò)流量缺少一個有效的技術(shù)監(jiān)管方案，對網(wǎng)絡(luò)上的流量沒有進(jìn)行有效的分析。技術(shù)的進(jìn)步是由市場的需求推動的，在這種情況下，深度包檢測技術(shù)（DPI）就隨后產(chǎn)生了，DPI是一種基于應(yīng)用層的流量檢測和控制技術(shù)。

本文研究的目的就是提出一種基于深度包檢測技術(shù)的網(wǎng)絡(luò)流量識別方案，并在此基礎(chǔ)上實現(xiàn)一個網(wǎng)絡(luò)流量識別系統(tǒng)，該系統(tǒng)可以滿足對網(wǎng)絡(luò)中各種流量的識別和記錄。

1 VoIP協(xié)議簡介

自從1995年以色列的VocalTec公司開發(fā)出了世界上第一個可以實時通話的軟件“Internet Phone”后，VoIP技術(shù)經(jīng)過十幾年的快速發(fā)展，這項技術(shù)已經(jīng)得到了廣泛的應(yīng)用。在網(wǎng)絡(luò)上出現(xiàn)了大量的VoIP軟件，例如騰訊QQ、YY語音、Skype、MSN、KC網(wǎng)絡(luò)電話、UUCall網(wǎng)絡(luò)電話等。當(dāng)前大部分VoIP軟件的呼叫控制協(xié)議都遵循H.323協(xié)議和SIP協(xié)議。例如：SIP通話主要包括3個過程：終端注冊過程、呼叫建立過程和呼叫釋放過程。檢測過程為，首先采集用戶的流量，分析流量中的信令流，采集SIP發(fā)送方的呼叫建立信令信息和響應(yīng)方的同意建立通話信令信息，就可以通過這些信令信息分析是否有用戶在使用或者提供基于SIP協(xié)議的VoIP服務(wù)。采集呼叫釋放的信令就可以知道用戶是否已經(jīng)結(jié)束通話。H.323協(xié)議的檢測過程和SIP協(xié)議類似。主流的VoIP軟件的通話的網(wǎng)絡(luò)流量都可以通過這種方法被檢測出來是否屬于VoIP協(xié)議。但是，這種檢測方法在現(xiàn)在的環(huán)境下已經(jīng)不具有普遍性。為了逃避監(jiān)管部門的監(jiān)管，一些非法經(jīng)營者經(jīng)常會采取一些改變協(xié)議的方式來逃避管控，如改變標(biāo)準(zhǔn)通信端口、修改協(xié)議內(nèi)容或制定私有協(xié)議等。這就使通過SIP協(xié)議和H.323協(xié)議的檢測方法不能檢測出非標(biāo)準(zhǔn)和私有協(xié)議的VoIP業(yè)務(wù)，這就需要通過系統(tǒng)抓包分析，分析出VoIP協(xié)議特征之后就可以實現(xiàn)對該標(biāo)準(zhǔn)協(xié)議的監(jiān)測?，F(xiàn)在DPI檢測技術(shù)的出現(xiàn)可以實現(xiàn)對各種標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)VoIP業(yè)務(wù)的檢測。

2 VoIP流量檢測技術(shù)

2.1 端口檢測法

大多數(shù)早期的VoIP應(yīng)用程序使用的都是固定端口號，比如：

1） RTSP服務(wù)器的缺省端口是554；

2） RTP/UDP/16384-32768；

3）H.323協(xié)議棧需使用的端口號：RAS/UDP/1719；H225.0/TCP/1720；H245/TCP/1800-1820；

這種檢測方法需要在網(wǎng)絡(luò)中收集數(shù)據(jù)流量并進(jìn)行分組，然后檢查報文的運輸層首部信息，將端口信息和特定的協(xié)議的端口進(jìn)行匹配。如果匹配上，就可以證明該分流量即為VoIP類流量，便可以按照識別的結(jié)果對VoIP流量進(jìn)行管理控制。

這種檢測方法的優(yōu)點是簡單和識別效率高，但是隨著VoIP應(yīng)用技術(shù)的快速發(fā)展，一些VoIP應(yīng)用改變了端口信息，這種方法開始變得不再普遍適用，但是針對一些特殊的VoIP協(xié)議還存在一定的適用性。這就需要更具有普遍性的DPI檢測技術(shù)。

2.2 基于深度報文的流量檢測技術(shù)

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，一種檢測性能更加強大的檢測技術(shù)DPI技術(shù)出現(xiàn)了。DPI全稱為“Deep Packet Inspection”，稱為“深度包檢測”。所謂“深度”是和普通的報文分析層次相比較而言的，“普通報文檢測"僅分析IP包的層4以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型，而DPI除了對前面的層次分析外，還增加了應(yīng)用層分析，就是通過對應(yīng)用流中的數(shù)據(jù)報文內(nèi)容進(jìn)行探測，從而確定數(shù)據(jù)報文的真正應(yīng)用。DPI的識別技術(shù)可以分為以下幾大類：

1） 基于“特征字"的識別技術(shù)

基于“特征字"的識別技術(shù)這是一種簡單而又高效的網(wǎng)絡(luò)流量檢測技術(shù)。不同網(wǎng)絡(luò)應(yīng)用的協(xié)議都有獨特的特征，這些特征一般被稱為“特征字”。該檢測技術(shù)就是通過模式匹配算法（Pattern-Matching）對數(shù)據(jù)流中數(shù)據(jù)負(fù)載部分的“特征字”進(jìn)行匹配，然后識別出某種網(wǎng)絡(luò)流量。只要通過對這些“特征字"信息的不斷更新升級，該檢測技術(shù)就會很方便有效地實現(xiàn)對各種協(xié)議（包括新出現(xiàn)協(xié)議的檢測識別）的檢測識別。

基于VoIP協(xié)議的應(yīng)用軟件有很多，而且也很優(yōu)秀。每種應(yīng)用層協(xié)議和軟件都在應(yīng)用層數(shù)據(jù)中有它標(biāo)志性的特征，其中，有些特征是比較容易發(fā)現(xiàn)的，把各種應(yīng)用層協(xié)議和軟件已經(jīng)發(fā)現(xiàn)并且驗證的“特征字”用一定的格式集中統(tǒng)一放在一個文件當(dāng)中，就形成了DPI特征庫。表1是常見部分應(yīng)用層協(xié)議的“特征字”信息。

2） 應(yīng)用層網(wǎng)關(guān)識別技術(shù)

一些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的，業(yè)務(wù)流不包含任何有效的特征。在這種情況下，我們就應(yīng)該采用應(yīng)用層網(wǎng)關(guān)識別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要首先識別出控制流，并根據(jù)控制流的協(xié)議通過某種特定的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行分析，從它的協(xié)議內(nèi)容中識別出相對應(yīng)的業(yè)務(wù)流。對于每一種協(xié)議，都需要有不一樣的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行解析。例如SIP、H.323協(xié)議都屬于該種類型。SIP/H.323協(xié)議通過信令交互過程，協(xié)商從而得到其數(shù)據(jù)通道進(jìn)行通信，通常是RTP格式封裝的語音流。換句話說，僅僅檢測RTP流并不能得出這條RTP流是屬于哪種協(xié)議。只有通過檢測SIP/H.323的協(xié)議交互，然后對其中的信令信息的通信特征進(jìn)行分析，才能得出它完整的結(jié)果。

3） 行為模式識別技術(shù)

行為模式識別技術(shù)基于對終端已經(jīng)執(zhí)行的行為的分析，從而判斷出用戶正在執(zhí)行的動作或者將要實施的動作。行為模式識別技術(shù)一般用于無法通過協(xié)議判斷分析的業(yè)務(wù)的識別。例如：垃圾郵件（SPAM）業(yè)務(wù)流和普通的電子郵件（Email）業(yè)務(wù)流從電子郵件（Email）的內(nèi)容上看是完全一致的，只有通過對用戶行為的分析，才能較為準(zhǔn)確的判斷出是否為垃圾郵件，從而識別出SPAM業(yè)務(wù)。

（1）優(yōu)點：檢測準(zhǔn)確率比基于端口和流量模式的方法高，端口的變化不會影響檢測率。能夠檢測使用最廣泛的應(yīng)用，適合流量的精確檢測。

（2） 缺點：無法識別新出現(xiàn)的和經(jīng)過加密的應(yīng)用，對無法識別的應(yīng)用會出現(xiàn)漏判。協(xié)議分析和特征搜尋需要投入大量的人力及時間，難以獲取加密協(xié)議的特征，特征的選擇對檢測性能有很大影響。系統(tǒng)檢測模塊需要不定期地進(jìn)行更新和升級，查看應(yīng)用層的內(nèi)容會涉及到隱私的問題，對檢測設(shè)備的處理能力要求較高。

3 DPI系統(tǒng)工作原理概述

3.1 基于VOIP的DPI系統(tǒng)設(shè)計

系統(tǒng)對經(jīng)過網(wǎng)絡(luò)分光/鏡像的數(shù)據(jù)報文，拆包并標(biāo)記頭指針，然后將經(jīng)過預(yù)處理的報文送到協(xié)議識別引擎進(jìn)行匹配識別，最后返回識別結(jié)果。整個DPI系統(tǒng)的工作流程如圖2所示。

第一步：對抓取的數(shù)據(jù)包進(jìn)行分流，首先檢查入口條件：入口條件通常包括關(guān)聯(lián)表中的條件，數(shù)據(jù)包的長度，特征字，IP地址，端口號。如果符合條件則進(jìn)入第二步，不符合條件則進(jìn)入第三步進(jìn)行識別處理。

第二步：如果滿足上面的入口條件，就會進(jìn)入與它相對應(yīng)的協(xié)議識別方法中去，這些方法通常為代碼識別，需要對報文當(dāng)中一段特殊的代碼進(jìn)行一系列的特殊處理以及判定。例如應(yīng)用層網(wǎng)關(guān)識別技術(shù)，在通過特征庫的識別成信令流之后，就會需要交給與之對應(yīng)的代碼字段，通過使用正則表達(dá)式等匹配算法找出信令流的負(fù)載內(nèi)容當(dāng)中的交互的信息，然后將這個信息存入關(guān)聯(lián)表當(dāng)中，如果后續(xù)的流量符合這個關(guān)聯(lián)表當(dāng)中的內(nèi)容，

就可以判定為所對應(yīng)信令流命中的協(xié)議。

第三步：若沒有命中入口條件，就需要通過與特征庫當(dāng)中的規(guī)則進(jìn)行模式匹配處理，如果與之匹配成功，就需要檢查此協(xié)議是否打開了懷疑功能，如果打開了懷疑功能，則就需要繼續(xù)進(jìn)行檢查，否則返回識別的結(jié)果。如果沒有命征庫當(dāng)中的規(guī)則，則需要繼續(xù)檢查這條流的下一個數(shù)據(jù)包，直到達(dá)到了系統(tǒng)能夠檢查的數(shù)據(jù)包個數(shù)的限度。若到最后都沒有命中任何規(guī)則，則返回的結(jié)果為unknown。

從上面整個DPI系統(tǒng)對于如VoIP類數(shù)據(jù)報文的處理工作原理可以看出，整個系統(tǒng)中最為核心的一個組成部分就是其中的流量識別模塊的設(shè)計。該部分的好壞直接影響整個DPI系統(tǒng)工作的效率。

3.2 流量識別模塊

VOIP應(yīng)用軟件的流量識別是由DPI識別模塊來實現(xiàn)的。該模塊包含協(xié)議識別引擎程序和DPI特征庫兩部分。圖1是基于DPI的流量識別系統(tǒng)工作原理圖。

從上圖中可以看出，網(wǎng)絡(luò)流量經(jīng)過處理后送入DPI識別模塊，DPI模塊將識別出的流量交給后續(xù)處理，DPI識別模塊通過特征庫升級系統(tǒng)并與遠(yuǎn)程升級服務(wù)器連接進(jìn)行升級DPI特征庫，并保持定期升級特征庫。

具體的處理方式如下描述：

網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)入預(yù)處理模塊，每當(dāng)一個網(wǎng)絡(luò)報文通過流量識別模塊，就會先將每一個報文放入內(nèi)存當(dāng)中進(jìn)行排序，每次從緩存隊列中取出報文進(jìn)行分析。在流節(jié)點鏈表中查找是否有這個報文對應(yīng)的流節(jié)點，若沒有的話就為該報文創(chuàng)建一個流節(jié)點，如果有的話，就需要根據(jù)這個流節(jié)點的狀態(tài)來決定該流是否需要繼續(xù)進(jìn)行識別。流節(jié)點的狀態(tài)有OK，Continue和Unknown。若流節(jié)點的狀態(tài)為OK或者Unknown，就需要釋放這個報文所占用的資源，如果是Continue就把該報文放入等待處理的隊列，然后送給協(xié)議識別引擎進(jìn)行下一步的識別。需要被繼續(xù)進(jìn)行識別的數(shù)據(jù)報文傳給協(xié)議識別引擎，協(xié)議引擎識別完后返回識別結(jié)果，如果能夠匹配成功，則返回協(xié)議類型，釋放這個報文所占用的空間并把該報文所在的流節(jié)點的狀態(tài)改寫為OK。若所屬的數(shù)據(jù)流還需要繼續(xù)進(jìn)行識別，釋放該報文所占的空間并且把該報文所屬的流節(jié)點狀態(tài)修改為Continue。如果判斷報文所屬的數(shù)據(jù)流已經(jīng)確定為無法識別，則把對應(yīng)的流節(jié)點狀態(tài)寫為Unknown，并且釋放報文所占用的內(nèi)存空間。

4 系統(tǒng)測試及結(jié)果分析

為了驗證DPI系統(tǒng)對于VOIP類應(yīng)用軟件的監(jiān)控和識別，該文通過設(shè)計一個基于DPI系統(tǒng)的拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)如圖3所示的實驗，實驗設(shè)備包括有模擬公司或者集體的內(nèi)部網(wǎng)絡(luò)用戶網(wǎng)絡(luò)，加載有DPI系統(tǒng)配置的設(shè)備處于內(nèi)部網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間。經(jīng)過內(nèi)部網(wǎng)絡(luò)用戶連接該DPI識別系統(tǒng)然后獲取網(wǎng)上資源。

在通過網(wǎng)絡(luò)流量監(jiān)測網(wǎng)關(guān)上網(wǎng)的PC上分別用QQ、YY、MSN、Skype等VoIP軟件進(jìn)行通話，并且同時使用wireshark軟件抓取網(wǎng)絡(luò)流量包。然后把使用這些語音通話的網(wǎng)絡(luò)流量包跑識別率。大部分常用VoIP應(yīng)用軟件的識別率都在85%以上，漏報率在5%以下，誤報率很少。在某實驗室里對幾種常用的VoIP軟件進(jìn)行抓包跑識別率，經(jīng)過測試統(tǒng)計，得出表2中的幾種常用的VoIP網(wǎng)絡(luò)應(yīng)用軟件的檢測結(jié)果。

5 結(jié)束語

本文對運用DPI技術(shù)進(jìn)行VoIP流量監(jiān)測進(jìn)行了深入的研究，在此基礎(chǔ)上設(shè)計出一個流量監(jiān)控系統(tǒng)，并對VoIP流量監(jiān)測的準(zhǔn)確性進(jìn)行了驗證。這個系統(tǒng)對VoIP流量的識別率達(dá)到85%以上，誤報率很低。測試結(jié)果表明，該實現(xiàn)對VoIP流量的識別很有效果。這個系統(tǒng)可以對檢測出正規(guī)和非法的VoIP流量，可以對非法的VoIP流量進(jìn)行識別記錄和管理，這對監(jiān)管VoIP運營市場有很大的幫助，也有利于該市場的健康發(fā)展。

參考文獻(xiàn)：

[1] Sen. S， Wang Jia. Analyzing Peer-to-Peer Traffic across Large Networks[C].IEEE/ACM Transactions on Net2 working. NJ： IEEE Press， 2004： 219-23.

[2] Elisa Bertino， Elena Ferran and Allna Squieeiarini， Trust Negotiations： Concepts， Systems， and Language[C].P27-34， July/August， 2004， IEEE.

[3] 韓耀明.基于DPI技術(shù)的VoIP流量檢測系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2010.

[4] 米淑云.IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的研究與實現(xiàn)[D].北京：北京郵電大學(xué)，2009.

[5] 聶瑞華，黃偉強，吳仕毅，羅輝瓊.基于DPI技術(shù)的校園網(wǎng)絡(luò)帶寬管理[J].計算機技術(shù)與發(fā)展，2009.

[6] 匡琳.P2P網(wǎng)絡(luò)流量監(jiān)控技術(shù)探討[J].科技廣場，2008.

第9篇：網(wǎng)絡(luò)流量監(jiān)測范文

關(guān)鍵詞：SNMP；RRDTOOL；CACTI；流量監(jiān)控

1引言

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和各種網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的普及,用戶對網(wǎng)絡(luò)資源的需求不斷增長,網(wǎng)絡(luò)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具,同時人們對網(wǎng)絡(luò)性能的要求也越高,在眾多影響網(wǎng)絡(luò)性能的因素中網(wǎng)絡(luò)流量是最為重要的因素之一,它包含了用戶利用網(wǎng)絡(luò)進(jìn)行活動的所有的信息。通過對網(wǎng)絡(luò)流量的監(jiān)測分析，可以為網(wǎng)絡(luò)的運行和維護(hù)提供重要信息,對于網(wǎng)絡(luò)性能分析、異常監(jiān)測、鏈路狀態(tài)監(jiān)測、容量規(guī)劃等發(fā)揮著重要作用。

SNMP(簡單網(wǎng)絡(luò)維護(hù)管理協(xié)議)是Internet工程任務(wù)組(IETF)在SGMP基礎(chǔ)上開發(fā)的,SNMP是由一系列協(xié)議組和規(guī)范組成的,SNMP的體系結(jié)構(gòu)包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息庫(MIB)。每個支持SNMP的網(wǎng)絡(luò)設(shè)備中都包含一個,不斷地收集統(tǒng)計數(shù)據(jù),并把這些數(shù)據(jù)記錄到一個管理信息庫(MIB)中,網(wǎng)絡(luò)維護(hù)管理程序再通過SNMP通信協(xié)議查詢或修改所紀(jì)錄的信息。從被管理設(shè)備中收集數(shù)據(jù)有兩種方法:輪詢方法和基于中斷的方法。SNMP最大的特點是簡單性,容易實現(xiàn)且成本低,利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個網(wǎng)絡(luò)端口輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯誤數(shù)、輸出隊長等進(jìn)行采集。

2RRDTOOL的工作原理

RRDTOOL代表“RoundRobinDatabasetool”，是TobiasOetiker設(shè)計的一個基于Perl的功能強大的數(shù)據(jù)儲存和圖形生成工具,最初設(shè)計目的是為流量統(tǒng)計分析工具M(jìn)RTG提供更好的數(shù)據(jù)存儲性能和更強的圖形生成功能。所謂的“RoundRobin”其實是一種存儲數(shù)據(jù)的方式，使用固定大小的空間來存儲數(shù)據(jù)，并有一個指針指向最新的數(shù)據(jù)的位置。我們可以把用于存儲數(shù)據(jù)的數(shù)據(jù)庫的空間看成一個圓，上面有很多刻度。這些刻度所在的位置就代表用于存儲數(shù)據(jù)的地方。所謂指針，可以認(rèn)為是從圓心指向這些刻度的一條直線。指針會隨著數(shù)據(jù)的讀寫操作自動移動。要注意的是，這個圓沒有起點和終點，所以指針可以一直移動，而不用擔(dān)心到達(dá)終點后就無法前進(jìn)的問題。在一段時間后，當(dāng)所有的空間都存滿了數(shù)據(jù)，就又從頭開始存放。這樣整個存儲空間的大小就是一個固定的數(shù)值。所以RRDtool就是使用類似的方式來存放數(shù)據(jù)的工具，RRDtool所使用的數(shù)據(jù)庫文件的后綴名是''''.rrd''''。

和其它數(shù)據(jù)庫工具相比，它具有如下特點：

首先RRDtool存儲數(shù)據(jù)，扮演了一個后臺工具的角色。但同時RRDtool又允許創(chuàng)建圖表，這使得RRDtool看起來又像是前端工具。其他的數(shù)據(jù)庫只能存儲數(shù)據(jù)，不能創(chuàng)建圖表。

RRDtool的每個rrd文件的大小是固定的，而普通的數(shù)據(jù)庫文件的大小是隨著時間而增加的。

其他數(shù)據(jù)庫只是被動的接受數(shù)據(jù)，RRDtool可以對收到的數(shù)據(jù)進(jìn)行計算，例如前后兩個數(shù)據(jù)的變化程度（rateofchange），并存儲該結(jié)果。

RRDtool要求定時獲取數(shù)據(jù)，其他數(shù)據(jù)庫則沒有該要求。如果在一個時間間隔內(nèi)（heartbeat）沒有收到值，則會用UNKN代替，其他數(shù)據(jù)庫則不會這樣做。

3監(jiān)測系統(tǒng)的安裝與配置

(1)配置路由器和交換機：

開始配置RRDTool之前,必須對需要監(jiān)測的網(wǎng)絡(luò)及設(shè)備進(jìn)行良好的規(guī)劃、設(shè)計與配置,包括配置設(shè)備互聯(lián)地址、網(wǎng)管地址及路由,保證流量監(jiān)測計算機可以與被監(jiān)測設(shè)備網(wǎng)絡(luò)層的互通;配置SNMP通信字符串和端口號,掌握需要的監(jiān)測對象號(SNMPOID),確保流量監(jiān)測計算機可以獲取正確的SNMP信息。在路由器和交換機上啟動SNMP,并設(shè)置只讀團(tuán)體名。命令如下：

(config)#snmp-serverenabletraps

(config)#snmp-servercommunitytestro

(2)安裝配置RRDTool：

我們以Debian平臺來安裝配置RRDTOOL系統(tǒng),在安裝RRDTOOL前首先要安裝支持RRDTOOL運行的環(huán)境：Zlib、libart_lgpl、cgilib、Libpng、freetype軟件包。

①安裝apache、mysql、php：apt-getinstallapache2php4mysql-serverphp4-mysql；安裝成功后通過瀏覽器訪問客戶器，可以得到“Itworks！”的提示；利用mysqladmin工具給mysql添加好管理員密碼。

②安裝RRDTOOL：apt-getinstallrrdtool。

③安裝NET-SNMP：apt-getinstallsnmp。

④安裝Cacti：apt-getinstallcacti，在安裝過程中會提示你輸入mysql管理員密碼和cacti數(shù)據(jù)庫管理員密碼。

(3)系統(tǒng)配置：

安裝好系統(tǒng)后就要進(jìn)行簡單的初始化和配置，步驟如下：

①訪問x.x.x.x/cacti，按照向?qū)崾具M(jìn)行cacti的初始化安裝；

②利用crontab-e添加計劃任務(wù)：

*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1

③利用cacti進(jìn)行設(shè)備的添加；

④利用cacti進(jìn)行繪圖管理。

cacti其實是一套php程序，它運用snmpget采集數(shù)據(jù)，使用rrdtool繪圖。它的界面非常漂亮，能讓你根本無需明白rrdtool的參數(shù)能輕易的繪出漂亮的圖形。更難能可貴的是，它提供了強大的數(shù)據(jù)管理和用戶管理功能，一張圖是屬于一個host的，每一個host又可以掛載到一個樹狀的結(jié)構(gòu)上。用戶的管理上，作為一個開源軟件，它居然做到為指定一個用戶能查看的“樹”、host、甚至每一張圖，還可以與LDAP結(jié)合進(jìn)行用戶的驗證！我不由得佩服作者考慮的周到！Cacti還提供自己增加模板的功能，讓你添加自己的snmp_query和script！可以說，cacti將rrdtool的所有“缺點”都補足了！

網(wǎng)絡(luò)地圖