網絡流量分析的方法范文

序論：在您撰寫網絡流量分析的方法時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

關鍵詞：中小型網絡；流量控制；方法；應用

中圖分類號：TP393.06

近年來，隨著經濟社會的發展和科學技術的進步，計算機網絡技術得到了充分發展。在這種形勢背景下，網絡在人們生產生活中的應用越來越廣泛，比如，我們可以通過網絡瀏覽網頁、觀看視頻、網上聊天以及網上購物等。由此可見，網絡在人們生活中發揮著重要作用。在網絡的運行過程中，網絡流量直接關系著網絡的速度，對網絡功能的發揮具有重大意義。但是，從現實情況來看，在一些中小型網絡使用的過程中，由于服務器管理不當、惡意程序以及P2P下載等原因，導致網絡流量不斷增長，最終致使網絡出現堵塞，網頁打不開，影響人們的正常工作和學習。鑒于此，我們必須采取一些措施控制網絡流量，使它更好地為人們的生產生活提供服務。

1 中小型網絡流量控制方法

1.1 加強對P2P應用的管理。在很多中小型網絡應用的過程中，人們會運用到很多P2P應用，比如，快車下載、迅雷視頻播放器等。這些P2P應用在運行的過程中會占用大量的流量資源，給網速造成嚴重影響。針對這個問題，在中小型網絡運行中我們可以采取封禁P2P的應用端口或者對并發連接數進行限制等方法來控制網絡流量。首先，對P2P的應用端口進行封禁。正如上文所述，在中小型網路中各種下載工具和視頻播放工具等P2P占用了很多流量，我們可以使用電腦中的路由器或者防火墻等對P2P應用進行封禁。這種方法在運用的早期收到一定的成效，后來的流量控制效果并不是十分理想。其次，限制并發連接的數量。當我們在運用P2P軟件在網絡上查找資源的時候，會帶到很多的網絡連接，此時便會使網絡流量大量增加。如果我們對連接到主機上的并發連接數量進行控制，就可以有效限制它所占用的流量。這種方法有一定的成效，但會在一定程度上對網絡正常運行造成影響。

1.2 運用專業的流量控制設備。在中小型網絡運行中，我們還可以使用專業的流量控制設備對其進行流量控制。就目前的技術水平來看，主要的流量控制技術包括深度報文檢測（DPI）和深度流行為檢測（DFI）等。以此技術為基礎，現在應用比較多的專業流量控制設備廠商主要有華三、思科以及Allot等。這些廠商生產的專業流量控制設備具有良好的流量控制作用，但是，它也存在一定的缺陷，比如，專業流量控制設備的價格比較昂貴。

1.3 對網絡用戶的流量和寬帶進行限制。為了控制中小型網絡中的流量，我們還可以采用限制用戶流量和寬帶的方法進行控制。首先，限制用戶流量。我們可以使用城市熱點或者防火墻等設備對網絡中用戶的流量進行控制。這種方法確實發揮了控制流量的作用，但是，有時用戶正在使用網絡，由于流量限制導致無法上網，就會影響到用戶的工作和學習。其次，限制用戶寬帶使用數量。這種方法也在一定程度上發揮控制網絡流量的功效，但是，由于用戶無法得到全部寬帶，致使網絡運行的速度比較緩慢。

2 流量控制方法在中小型校園網絡中的應用

從上文的論述中，我們可以了解到，各種流量控制方法各有優劣，在實際的應用過程中，我們要從中小型網路的實際情況出發，綜合分析多方面因素，選擇科學合理的流量控制方法。下面，我們就結合某學校一中小型的校園網絡，對流量控制方法的具體應用進行分析。

2.1 校園網概況。某學校為了滿足教學工作需要，建設了一個校園網。在該校園網中，由2個10兆的互聯網與當地的教科網和電信網進行連接，依據教學的功能，校園網中被劃分成多個VLAN，從而為學校教學和教務工作的開展提供網絡服務。但是，從現實情況來看，校園網中存在客戶端安全問題、接入控制問題以及上網速度慢問題等，致使校園網在使用的過程中出現網頁打不開甚至斷網等問題，影響了校園網正常功能的發揮。

在上圖的校園網流量控制設備部署中，我們利用流量網絡開關，有效實現了對校園網的流量控制。具體來說，流量控制主要表現在以下幾個方面。（1）對P2P應用進行了控制。為了保證P2P應用的正常使用同時減少它對網速的影響，我們設立了P2P應用流量通道，對快車、迅雷等P2P應用軟件的流量限制在一定范圍之內，并根據網速變化作出一些動態調整。比如，在校園網高峰期，我們可以適當降低對P2P應用的限制，當校園網處于低谷期，我們可以調高對P2P應用的限制，從而保證校園網絡的有效利用。（2）對不同用戶實施不同部署。在校園網運行中，針對不同用戶的需求，我們制定了不同的網絡流量管理方法。比如，針對學校的辦公網絡，我們可以適當限制P2P應用的流量，而對于學校教學機房中的網絡，則要嚴格控制P2P應用的流量，盡量減少這些與教學無關的應用占用大量的流量，保證教學網絡速度。（3）加強校園網接入安全管理。在過去，由于缺乏相應的技術和管理設備，校園網中對客戶端接入缺乏安全管理，校外其他一些用戶可以隨意接入到校園網中，不僅占用了校園網的流量，而且給校園網安全造成嚴重威脅。針對這個問題，我們可以采取客戶端接入控制和安全性檢測等方法對校園網接入安全進行管理，這樣一來，只有符合要求的用戶才可以接入到校園網中，不僅提高了校園網的運行的安全性，而且對校園網流量控制具有一定的作用。

3 結束語

綜上所述，近年來，隨著經濟社會的發展，中小型網絡在我們生產生活中的作用越來越突出。鑒于此，我們要加強對中小型網絡的管理，使它更好地為人們提供網絡服務。但是，在現實中，由于多種原因導致中小型網絡流量增加，影響了網絡的正常運行。針對這個問題，我們在分析網絡實際情況的基礎上，選擇恰當的流量控制方法對網絡流量進行有效控制，促使中小型網絡資源得到合理利用。

參考文獻：

[1]鄭林江.基于交換機流量和網絡線路的監控系統[J].計算機應用，2009（S2）：18-19.

[2]胡俊，程瑾.網絡流量管理控制技術在校園網的應用研究[J].中國教育信息化，2009（21）：58-59.

[3]牛軍，余萍萍，李思恩.校園網流量控制初探[J].中國教育信息化，2009（04）：152-153.

[4]劉磊，李聞天，肖.校園網中P2P應用的管理策略及流量監控初探[J].昆明理工大學學報（理工版），2008（03）：48-49.

第2篇

【關鍵詞】IP網絡流量分析；互聯網；技術的應用

網絡流量分析是一個有助于網絡管理者進行網絡優化、網絡監控、流量趨勢分析等工作的工具，進而挖掘網絡資源潛力，控制網絡互聯成本，并為網絡規劃、優化調整和業務發展提供基礎依據，企業需要及時了解到網絡中承載的業務，及時掌握網絡流量特征，及時解決網絡性能問題。從這些企業管理網絡中所經常遇到的問題來看，需要有一種解決方案能讓網絡管理人員及時了解到詳細的網絡使用情形，使網絡管理人員及時了解網絡運行狀況，及時清楚網內應用的執行情況。隨著網絡的發展，流量分析工作將在網絡管理中起到越來越重要的作用。

1.網絡流量分析方法

網絡流量是單位時間內通過網絡設備或傳輸介質的信息量。網絡流量分析根據不同的方法可以從不同的側面展開，目前，主要的分析方法有流量的統計分析和流量的粒度分析等。

1.1 網絡流量的統計分析

（1）基于軟件的流量統計

這種統計分析一般通過修改安裝于主機上的操作系統的網絡接口模塊，使之具有捕獲數據包的功能，以實現流量信息的收集和分析?；谟布牧髁拷y計效率很高，專用性強，但是價格昂貴對人員要求高，而基于軟件的流量統計有價格便宜，實現靈活，擴展性強的優點，但其性能要低于基于硬件的統計技術。因此，流量統計方法有待進一步的提高，以適應網絡快速發展的需求。

（2）基于硬件的流量統計

此類分析通常采用硬件測量設備，是一種為特定目的設計的用于收藏和分析流量數據的硬件設備。

1.2 網絡流量的粒度分析

網絡流量行為特征的分析還可以在不同測量粒度或者不同的層面上展開。

比特級（Bit-level）的流量分析，這種分析主要關注網絡流量的數據特征，如網絡線路的傳輸速率，吞吐量的變化等等。

分組級（Packet-level）的流量分析，此類分析主要關注的是IP分組的到達過程、延遲、抖動和丟包率等。

流級（Flow-level）的流量分析，Flow的劃分主要依據地址和應用協議而展開的，它主要關注流的到達過程、到達間隔及其局部的特征。

上面流量的粒度由小到大遞增，時間尺度也逐漸增大，不同時間尺度網絡流量往往表現出不同的行為規律。通常，網絡設備本身都提供基于IP分組頭的分析功能，因此，Flow-level的流量分析成為發展趨勢。

2.網絡流量分析常用技術

隨著計算機技術的發展，網絡流量分析技術也與時俱進。既有傳統的數據庫的網絡管理技術，也有面向開放式互聯網的網絡分析技術。目前，在網絡流量分析中占據主流的常用分析技術主要有：

2.1 RMON技術

RMON（遠程監控），是由IETF定義的一種遠程監控標準，RMON是對SNMP標準的擴展，它定義了標準功能以及網管站和遠程監控器之間的接口，實現對一個網段乃至整個網絡的數據流量的監視功能。RMON監控器叮用兩種方法收集數據：一種是通過專用的RMON探針（Probe），流量探針安裝方便，但是流量探針價格昂貴，不適合大面積部署。另一種方法是將RMON直接植入網絡設備（路由器、交換機、HUB等），但這種方式受網絡設備資源限制，一般不能獲取RMONMIB的所有數據，大多數只收集統計量、歷史、告警、事件等四個組的信息。

2.2 SNMP技術

SNMP是用標準化方法定義的，通常一個標準的網管系統包括三個組成部分：SNMP協議，這包括理解SNMP操作、SNMP消息的格式以及如何在應用程序和設備之間交換信息；管理信息結構，它是用于指定一個設備維護的管理信息的規則集；管理信息庫，它是設備所維護的全部被管理對象的結構集合。基于SNMP的流量分析就是通過SNMP協議訪問設備獲取MIB庫中的端口流量信息，典型工具有MRTG，MRTG是一個使用的免費軟件，通過SNMP協議從設備得到流量信息，將流量負載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶。由于M RTG使用起來很方便，能夠直觀顯示端口流量負載，所以是各類網管人員常用的網絡監視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡單的端口出、入流量統計信息，不能深入分析包的類型、流向等信息。

2.3 s Flow技術

s Flow是由InMon﹑HP和Foundry Networks于2001年聯合開發的一種網絡監測技術，它采用數據流隨機采樣技術，可提供完整的第一層到第四層，甚至全網絡范圍內的流量信息，可以適應超大網絡流量（如人于10Gbit/s）環境下的流量分析，讓用戶詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。sFlow技術有很多優點：成本低廉；在不斷發展升級當中，能在沒有消耗額外資源的環境監測萬兆網絡，不會帶來新的網絡沖突；有自己的一套準確可靠的計量方式；數據信息量人。sFlow已經成為一項線速運行的“永遠在線”技術，可以將sFlow技術嵌入到網絡路由器和交換機ASIC芯片中。與使用鏡像端口、探針和旁路監測技術的傳統網絡監視解決方案相比，sFlow能夠明顯地降低實施費用，同時可以使實現而向每一個端口的全企業網絡監視解決方案成為可能。

3.網絡流量分析技術的應用

網絡流量分析起著一個銜接的作用，主要利用網絡流量測量部分收集到的各種流量信息，通過運用不同的方法對其進行分析和建模，以發現流量的特性，對網絡性能做出客觀的評價，并以此作為對網絡進行控制和優化的依據。網絡流量分析技術的應用主要包括以下兒個方面：

3.1 實施安全預警

網絡流量異常會嚴重影響網絡性能，造成網絡擁塞，嚴重的甚至會網絡中斷，使網絡設備利用率達到100%無法響應進一步的指令。通過對網絡內流量的實時分析，有助于及時發現網絡中出現的異常流量，迅速分析出異常流量的具體屬性，并向網絡管理者進行告警，判斷是否出現了入侵，并按照事先擬定的規則集進行處理，記錄異常情況發生時的詳細網絡狀況，使入侵得到及時發現和處理。

3.2 分析用戶行為

根據分析結果，進行相應網絡內容的建設！將用戶感興趣的熱點信息內容放到內部網絡，減輕互聯鏈路的壓力。

3.3 節省運營費用

通過對網絡出口流量和流向的分析，可以統計出業務類型、服務等級、通信時間和時長、通信數據量等參數，可以詳細了解網絡內部用戶對其他外部網絡的訪問情況，為基于IP的計費應用和SLA的校驗服務提供數據依據，從而有效地選擇與其他運營商的互聯方式，節省費用。

3.4 優化網絡結構

通過對網絡中一些特定流量的長期監控，獲得網絡流量數據后對其進行統計和計算。從而得到網絡及其主要成分的性能指標，定期形成性能報表，并維護網絡流量數據庫或日志存儲網絡及其主要成分的性能的歷史數據，可供網管人員正確分析網絡使用狀況，對網絡及其主要成分的性能進行性能管理。通過數據分析獲得性能的變化趨勢，分析制約網絡性能的瓶頸問題。

3.5 評估網絡價

通過對各個分支網絡出入流量的監控，分析流量的大小﹑去向及內容組成，了解各分支網絡占用帶寬的情況。從而反映其占用的網絡成本，也可以了解其業務開展情況，并作出價值評估。

3.6 確定重點客戶

通過對重要應用和大客戶的流量進行統計分析。掌握重要應用和大客戶的流量狀況，進行網絡帶寬的成本分析。有助于在網絡服務質量和網絡成本之間取得最佳平衡。

4.網絡流量分析的重要性

相對于網絡管理人員來說，理解用戶的網絡行為網絡流量的內容是網絡管理的重要內容，它為日常網絡管理﹑容量規劃與未來網絡升級等提供重要依據，通過網絡流量分析，可以提供大量詳盡的數據，供網管人員從很多方面進行更好地維護﹑優化網絡，并且提升網絡的性能；同時還能為業務應用層面提供數據依據，為特定客戶提供流量分析服務。比如網站流量統計分析等；也可作為網絡安全的輔助手段，處理網絡病毒等異常事件。在病毒分析時，網絡管理員需要知道哪些端口發送的數據發生了較大變化，因此，對網絡流量的分析可以為網絡的運行和維護提供重要信息和深層次的管理功能，很好地發揮網絡管理作用。對于網絡性能分析﹑異常監測﹑鏈路狀態監測﹑容量規劃等發揮著重要作用。為網絡發展和網絡優化提供更優質﹑更有效的技術支撐和技術服務，可以預見，隨著網絡的發展，流量分析工作將在網絡管理中起到越來越重要的作用。

參考文獻

[1]李萬鵬.網絡流量控制及流量分析[D].北京郵電大學，2011.

第3篇

關鍵詞:網絡服務器;流量分析;流量監控

中圖分類號:TP393 文獻標識碼:A文章編號:1007-9599 (2010) 05-0000-02

Network Server Traffic Analysis

Zhu Ye

(TravelSky Technology Limited,Beijing100029,China)

Abstract:This article analyzes the current status of the network server traffic analysis.discusses the significance of monitoring and analysis on the server traffic and summarizes main content.Then,the article provides solutions on the server traffic based on the agreement of Net flow v9、IPFIX and PSAM.At last,proposes software framework design pattern.

KeyWord:Network Server;Server Traffic Analysis;Server Traffic Control

一、前言

今天的數據網絡給我們的生活、工作和人與人之間的溝通帶來了極大的方便,網絡業務日趨豐富,網絡流量高速增長。同時,網絡運營商之間的競爭也逐漸激烈,以高投資為特征,追求簡單規模擴張的粗放型競爭模式已經不適應當前的形式。挖掘現有網絡資源潛力,控制網絡互聯成本,提供有吸引力的增值業務,提高網絡運維水平成為在激烈競爭中的制勝策而要實現這些,都離不開可靠、有效的網絡流量監控的有力支撐。

二、網絡流量監控和分析的意義

用戶現有的網絡管理系統在長期的網絡流量分析方面存在不足。主要表現在如下方面:

(一)長期的網絡和應用問題分析能力不足

現有的網絡管理系統無法長期的紀錄網絡和應用的運行狀態,無法長期的保存網絡流量信息,在出現網絡或應用問題時,不能為網絡技術人員提供有效的信息依據,問題往往是依靠網絡技術人員通過推斷來分析,這樣網絡問題的分析效率很低,同時很難得到確實的分析結論。

(二)缺乏對網絡和應用間歇性問題的分析能力

網絡或應用可能出現間歇性故障,這種故障的出現一般很難判斷,在出現后很難分析其產生原因,而再次出現的時間無法確定,因此難以解決,好像網絡中存在一個不定時的炸彈,使用戶網絡和應用時刻處于危險之中。

(三)對網絡安全問題的分析能力不足

在發生網絡安全問題時,缺乏有效的監控分析手段,導致網絡的安全性降低,例如蠕蟲病毒的爆發,應該能夠對蠕蟲病毒的傳播情況進行有效的分析。

三、網絡流量分析內容

流量分析系統主要從帶寬的網絡流量分析、網絡協議流量分析、基于網段的業務流量分析、網絡異常流量分析、應用服務異常流量分析等五個方面對網絡系統進行綜合流量分析。

(一)帶寬的網絡流量分析

復雜的網絡系統上面,不同的應用占用不同的帶寬,重要的應用是否得到了最佳的帶寬?它占的比例是多少?隊列設置和網絡優化是否生效?通過基于帶寬的網絡流量分析會使其更加明確。工具主要有MRTG等,它是一個監控網絡鏈路流量負載的工具軟件, 它通過snmp協議從設備得到設備的流量信息,并將流量負載以包含PNG格式的圖形的HTML 文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。

(二)網絡協議流量分析

對網絡流量進行協議劃分,真對不同的協議我們進行流量監控和分析,如果某一個協議在一個時間段內出現超常暴漲,就有可能是攻擊流量或蠕蟲病毒出現。Cisco NetFlow V5可以根據不同的協議對網絡流量進行劃分,對不同協議流量進行分別匯總。

(三)基于網段的業務流量分析

流量分析系統可以針對不同的VLAN來進行網絡流量監控,大多數組織,都是不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。Cisco NetFlow V5可以針對不同的VLAN進行流量監控。

(四)網絡異常流量分析

異常流量分析系統,支持異常流量發現和報警,能夠通過對一個時間窗內歷史數據的自動學習,獲取包括總體網絡流量水平、流量波動、流量跳變等在內的多種網絡流量測度,并自動建立當前流量的置信度區間作為流量異常監測的基礎。能把焦點放在組織的核心業務上。通過積極主動鑒定和防止針對網絡的安全威脅,保證了服務水平協議(SLA)并且改進顧客服務, 從而為組織節約成本。異常流量分析工具主要有Arbor公司的 PeakFlow DoS安全管理平臺、PeakFlow Traffic流量管理平臺等。

(五)應用服務異常流量分析

當應用層出現異常流量時,通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析,并通過IPS的安全防護技術進行反擊。

四、網絡流量控制解決方案建議

對于目前運營商對網絡流量控制的需要,論文推薦的流量控制解決方案構架是:全網集中監視+重點控制。全網集中監視反映的是對整個網絡的性能監視和分析。重點控制是在網絡中的關鍵位置部署監控探針,在網絡中心設置管理系統,以實現運營商在遠程對重點地區進行更加細致的監視和控制作用。

(一)監控探針的放置點建議

國際出口、網絡互聯端口、骨干網的重要中繼、重要城市的城域網出口等位置。

(二)全網集中監視主要實現的功能

實時監測網絡狀況。能實時獲得網絡的當前運行狀況,減輕運維人員工作負擔。能在網絡出現故障或擁塞時自動告警,在網絡即將出現瓶頸前給出分析和預測。

合理規劃和優化網絡。通過對網絡流量的監視、數據采集和分析,給出詳細的鏈路和節點流量分析報告,獲得流量分布和流向分布、報文特性和協議協分布特性,為網絡規劃、路由策略、資源和容量升級提供依據。

引導提供網絡增值業務。通過對業務占用帶寬的分布、業務會話的統計分析,能夠了解和分析網絡特性和用戶使用偏好,引導開發和規劃新的網絡應用和業務平臺,進行增值業務的拓展和市場宣傳,引導用戶需求。

靈活的資費標準。通過對用戶上網時長、上網流量、網絡業務以及目的網站的數據分析,擺脫目前單一的包月制,實現基于時間段、帶寬、應用、服務質量等更加靈活的資費標準。

(三)重點控制實現的功能包括

提供主動的控制功能。不僅僅局限于對網絡流量狀況的獲得,還能夠提供基于網絡流量監測系統GATE 1000硬件平臺和業界領先算法的流量控制功能,主動改進網絡服務。

滿足重點監控需要?？梢蕴峁┴S富的監控特征參數,可以進行靈活的復合設定,全面滿足運營商需要,也可以通過定制來實現特定要求。

降低互聯互通成本。獲得重點出口中繼鏈路的利用率、用戶和協議分布、源和目的網段間的流量分布和趨勢,提供運營和互聯成本分析。為網絡互通、租用中繼以及選擇商業戰略伙伴決策時提供科學依據,降低成本。

實現區分服務,保證服務質量。流量監控獲得的數據,可進行高低優先級客戶的網絡資源占用率分析、服務質量的監測。通過資費政策的調節、業務等級的區分、在中繼線路上實施流量控制,優先保證高優先客戶的服務質量。

網絡安全和抵御DOS攻擊。通過連接會話數的跟蹤,源目的地址對的分析,TCP流的分析,能夠及時發現網絡中的異常流量和異常連接,偵測和定位網絡潛在的安全問題和攻擊行為,保障網絡安全。

五、IPFIX與PSAMP標準

IPFIX(IP Flow Information Export,IP流動信息輸出)是IETF的技術人員2004年才制訂的一項規范,使得網絡中流量統計信息的格式趨于標準化。該協議工作于任何廠商的路由器和管理系統平臺之上,并用于輸出基于路由器的流量統計信息。

IPFIX定義的格式為Cisco的NetFlow Version 9數據輸出格式作為基礎,可使IP流量信息從一個輸出器(路由器或交換機)傳送到另一個收集器。因為IPFIX具有很強的可擴展性,因此網絡管理員們可以自由地添加或更改域(特定的參數和協議),以便更方便地監控IP流量信息。使用模板的方便之處在于網管和廠商不必為了用戶能夠查看流量統計信息,而每次都要更換軟件

為了完整地輸出數據,路由器一般以七個關鍵域來表示每股網絡流量:源IP地址、目的地IP地址、源端口、目的端口、三層協議類型、服務類型字節、輸入邏輯接口。如果不同的包中所有的七個關鍵域都匹配,那么所有這些包都將被視為屬于同一股流量。此外,一些系統中還有為了網絡統計進行跟蹤而附加的非關鍵域,包括源IP掩碼、目的地IP掩碼、源地址自治系統(autonomous system)、目的地自治系統、TCP flag、目的地接口以及IP next-hop等。按照IPFIX標準,如果網絡操作人員想以附加的非關鍵域來描述包,那么基于模板的格式會在輸出包的報頭之后插入一個新域,并新增新的模板記錄。

六、網絡監測系統框架

采用不同的檢測方法,通過分布式監測方式對通過高速IP網絡的數據包進行統計和分析。采集服務器搜集的數據包及統計數據被傳送到綜合服務器,經合并處理后存入數據庫,并進行進一步的分析處理。在這個過程中,可應用Netflow v9、IPFIX以及PSAMP等標準和協議,實現對采集數據的編碼與傳輸。與通常的SNMP、Netflow及其它網管標準不同的是,該框架采取了PSAMP標準及技術,在不降低監測與分析效果的情況下,盡量減少檢測數據量。

整個框架從總體看,可分為網絡流量數據采集和網絡數據分析兩大部分。

網絡流量數據采集:為適應不斷發展的高速網絡應用,框架中采用了分布式網絡流量數據采集方案,IP流數據可從不同的設備以不同的方法來獲取。利用路由器/交換機的數據流量采集功能或是從其他IPFIX/PSAMP數據采集設備,也可直接從網絡接口卡等網絡數據包攝入設備來得到網絡數據,然后再以不同的標準,最終由網絡流量數據采集服務器將所有傳來的不同格式的數據集中。

為體現現代計算機應用中的兼容性,框架中對網絡硬件接口的應用方面,突出了其應用多樣性。這樣,在原有硬件設備的基礎上,如普通的網卡(NIC)、基于硬件時間戳的Endace DAG卡或者其它的專用FPGA網絡接口設備,都可以在libpcap、winpcap等庫的支持下,由BPF虛擬處理器作為缺省的包捕獲工具。在包捕獲的軟件實現上,采用了多線程機制,使用不同形式的數據隊列和數據緩沖設備,以應對突發的大量數據包。

接下來對捕獲的數據包,分別交由兩種方法和途徑進行處理:在Netflow標準支持下,同步完成記帳業務。在這種操作模式下,傳送的總的數據量可以被統計下來。數據分析模塊利用PSAMP協議,根據不同的具體需求采取不同的取樣算法,對數據包進行過濾和抽取以進行分析處理。這樣就可以根據實際的需要來進行選擇,以減少傳輸和分析處理的數據量。

網絡數據分析:對采集來的網絡流量數據,根據不用的應用要進行詳細的分析處理?？蚣苤羞@個部分的設計采用以SQL數據庫為中心的分布式數據集中和分析的方法。

以DBMS為中心的操作可以獲得更好的分析樣本以及統計粒度。此外,為便于網絡管理人員的操作,框架中應用基于Web的直觀的、圖形化的管理界面,所有數據輸出都以腳本語言(XML)的形式,直接在Web頁面中顯示。管理人員可以實時觀察網絡運行狀況,還可以對歷史數據進行瀏覽、分析,同時還可這些實時數據傳送到其他應用系統,如分布式入侵檢測系統、網絡跟蹤等。

七、結束語

總的來說,在網絡設備上配置網絡流量監控系統,對網絡流量進行分析和監控,好處還是顯而易見的。特別是對于網絡流量負荷比較大的網絡?？梢杂行У墓澥【W絡帶寬和處理資源。也可以作為計費或者流量控制或者網絡規劃的參考。

參考文獻

[1]謝希仁.計算機網絡.大連理工大學出版社

第4篇

論文關鍵詞：多媒體,網絡,流量,分析

1 多媒體流量分析的基礎

多媒體在應用層面對于用戶的強大支持，映射到其數據層面，必然是不容忽視的大量不同數據格式。而在這樣的環境之下，想要展開有效的網絡流量分析，實現對于通信資源的優化利用，首先必須展開對于多媒體報文的有效分類。每一個報文都會在這個過程中被分類到對應的類型，而后進一步依據運營商制定的傳輸優先策略對其展開傳輸處理。

多媒體流分類問題可抽象成從多媒體報文映射到流類型的過程，多媒體報文流經流分類器，即展開對于其的辨別并且添加相關的類型標識，通常會將該標志寫入報文頭部字段中，便于后續識別和處理。在識別的過程中，可供識別多媒體流的方法主要有三種，即基于報文頭部信息的分類方法、基于數據包載荷內容的分類方法以及基于流量統計模型的分類方法。其中基于報文頭部信息的分類方法，即依據報頭中的多元組信息展開工作，將其與預先定義的規則集進行比對匹配，并且確定出媒體流的對應分類進行標識。此種工作方式相對簡單，因此發展也趨于成熟，效率較高，但是在識別過程中由于多媒體應用使用的端口通常并不固定，因此針對而言準確率比較有限。而基于數據包載荷內容的分類方法則面向報文載荷信息展開識別和工作，進一步又可以針對應用層協議展開解析或針對載荷內容展開特征解析。此種識別方式工作準確率基本有所保證，但是對于某些私有協議以及加密數據流，會因為無法有效提取特征信息而導致識別失敗。最后，基于流量統計模型的分類方法主要是關注多媒體流量特征，通過流量來判斷多媒體數據的傳輸行為模式，諸如數據包的大小以及包與包之間的間隔時間等方面特征。此種方式能夠實現系統的自主學習，但是會存在一定的分類延時。

2 網絡流量分析技術淺議

對多媒體進行標識之后，可以在網絡環境中展開更為有效的網絡流量分析。已經被標記的信息流在傳輸過程中能夠表現出不同的對于資源的占用，以此作為依據展開更具有針對性的網絡流量分析，對于整體網絡數據傳輸資源和功能的優化都必然有著積極價值。

隨著計算機技術的不斷成熟，網絡流量分析技術也呈現出不斷發展的特征。當前的流量分析技術，主要是在傳統的數據庫技術基礎之上，以一種開放的態度構建起支持自學習的網絡流量分析系統，從而實現整個體系的智能化。就目前的狀況看，常見的幾種流量分析技術有以下幾種。小學德育論文

1）SNMP技術。此種技術主要用于實現面向網絡環境中多種類型設備展開監控和管理，并且對既有問題進行定位。該技術系統包括SNMP協議、管理信息結構以及管理信息庫三個部分構成，其中SNMP協議用于實現在應用程序和設備時間交換信息，而管理信息結構用于指定一個設備維護的管理信息的規則集，最后管理信息庫用于明確設備所維護的全部被管理對象的結構集合。

2）RMON技術。該項技術由IETF定義，本身是對于SNMP技術的一種深入。其對于標準功能以及網管站遠程監控器之間的接口進行了重新定義，使得其能夠實現更為順暢的數據交換，從而有助于展開對于網絡環境數據流量的更為有效監視。在RMON系統中，當探測器發現了一個非正常態的網絡段之后，會主動與網絡維護管理控制臺接通聯絡，并將對應的網絡信息進行發送，實現對于整體網絡流量的監控和分析。

3）SFlow技術。此種技術以隨機采樣作為主要的研究方式，并且能夠提供從第二層到第四層的相對完整的網絡流量分析信息，這種分析甚至可以擴展到整個網絡環境中，能夠實現面向大數據流量的適應，尤其是在面向以流媒體作為主要流量資源占用的網絡環境時，仍然能夠保持穩定的表現。此種技術成本較低且不會因為引入其技術為網絡環境帶來新的沖突，同時數據信息量大，能夠實現更為完善的網絡分析。

4）NetFlow技術。此種技術主要用于實現網絡層高性能交換，首先被用于對網絡設備的數據交換進行加速。但是其核心是對于流緩存進行進一步的整理，因此在工作的過程中必然會能夠得到很多依據匯聚方法而統計的數據，其中包括諸如源IP、目的IP以及源端口和目的端口以及相關傳輸協議與包數量等，這些信息和統計數據對于深入展開網絡流量分析有著不容忽視的積極價值。

3 結論

在多媒體應用的網絡環境中，深入可靠的網絡流量分析系統，對于切實提升網絡自身的數據傳輸能力，為多媒體用戶提供更為穩定的數據傳輸服務有著積極價值。實際工作中唯有不斷深入發現自身網絡環境特征，才能有的放矢展開有效的流量分析，實現網絡環境優化。

參考文獻

第5篇

【關鍵詞】流量 分析 抽樣 分類 統計

路由器、交換機、寬帶接入服務器是構成寬帶網絡的主要網絡設備，一般數據網管系統可以看到每一臺設備的CPU、內存、端口流量、路由數據庫等網絡信息，但這些流量是怎樣構成的，會對網絡產生怎樣的影響，我們無從知曉。對寬帶網絡流量的深入分析，使網絡設備流量監控系統可以監測的數據包括：網絡流量構成分析、使用的協議、系統負載、端口分布情況、數據應用統計、數據安全性、發送時間等。網絡流量分析應用可以接收來自網絡的各種信息，通過對這些數據的分析，網絡管理員可以深入了解網絡當前的運行狀況。下面從幾個方面對寬帶網絡流量分析方法進行探討：

1 數據抽樣

抽樣是指從原始數據集中按一定原則抽取部分實例，構成數據子集作為觀察對象。抽樣的目的是為了代表原始數據集特性的較小的數據集上獲得對原始數據集特性的推斷。數據抽樣的方法包括簡單隨機抽樣，即按照1/k的頻率，隨機進行抽樣；系統抽樣按數據包生成的時間順序，在抽取第一個數據包后，每隔k個包抽取一個包；分層抽樣可對標注過的每類應用采用簡單隨機抽樣或系統抽樣方式抽取數據包；集群抽樣可從多個子數據集中再隨機抽取若干個子數據集。

為對數據分布進行準確的分析，要用到幾個簡單的度量指標，包括算數平均值Mean、算數和S、計數C、最小值Min、最大值Max、極差Ed、中列數Mr、第一個四分位數Q1、第三個四分位數Q3、中位數Median、眾數Mode、離群點Outlier等。設n個排序后的觀察：

C=n

Min=x1

Max=x1

Ed=Max-Min

Mr=（Max-Min）/2

Q1=xn/4

Q3=x3n/4

Median=（x[n/2]+x[（n+1）/2]）/2

另外，眾數是指數據集中出現頻率最高的數；離群點有時又稱為歧異值，通常是指數據集中與數據一般行為不一樣的樣本。

2 流量分類

網絡流量分類是依據網絡應用協議對應的某些參數或特征，自動將網絡流量分成不同流量種類的過程。流量分類一般指將網絡流量分為多類，如果是二類分類，則可以使用流量檢測、流量識別、流量鑒別等方法。

從網絡流量分類針對的目標粒度，由細到粗又可以進一步分為包級（packer-level） 、流級（flow-level）和會話級（session-level）。包級分類基于網絡數據包所具有的特征，如包長、包到達間隔時間等，對每個數據包進行分類；流級分類基于五元組（源IP地址、源端口號、目的IP地址、目的端口號和協議）進行分類，除關注包級特征外，通常會進一步考慮流級得指紋特征，統計特征或行為特征；會話級分類基于三元組（源IP地址、目的IP地址和協議）進行分類，適用于簡單網絡服務環境的流量粗分類。

基于DPI（深度包檢測）的流量分類方法通過分析特定應用在通信過程中的傳輸協議特征串實現流量分類，DPI一般是在應用層內容搜索特征串，如BitTorrent的某個TCP數據包中包含特征串”0x13BitTorrent”。在基于載荷進行DPI的流量分類中，DPI流量分類需要解決如下幾個問題：非標應用和私有協議越來越多，它們多缺乏公開可用的協議規范，導致特征串難找易變；某些特征模式的代表性較差，僅能匹配到部分流量，導致檢全率較低；隨機加密流可能匹配若干模式，導致誤檢率較高；基于協議語法或數據語義分析需要進行大量計算，導致系統時間和空間開銷較大。

3 基于統計學習的流量分析

基于統計學習的流量分析方法通過計算特定應用流量的統計信息，利用各種機器學習算法，包括有監督學習算法和無監督學習算法，對捕獲的網絡數據包進行鑒別?；跈C器學習的網絡流量分類通常包含三個步驟：統計特性抽取，單包特征如包長，復合流統計如均值或標準偏差；分類器構造及訓練；新流量分類。

基于機器學習的流量分類方法面臨以下幾個方面的問題：難以確定最有效的特征集，既要選擇最佳的n個特征，使分類算法得到最大的分類準確率，同時要求n的值最??；高維特征導致某些算法收斂時間長，計算復雜性較高，若僅參考從數據包頭導出的分類特征，如果每個流用于抽取特征的包數為n，則收集每個特征的計算成本將接近n.log2n；某些算法模型可能陷入局部最優；分類準確率高度依賴于樣本的先驗概率，而訓練和測試樣本對某類流量可能是有偏樣本。

4 總結

寬帶網絡流量分析是網絡運營管理，網絡發展規劃，網絡流量調度和高效能業務前瞻的依據。網絡流量分析也是網絡攻擊和惡意代碼檢測以及流量清洗的重要手段。隨著寬帶網絡流量的快速增長，骨干網體系架構不斷演進、扁平化、網狀化、動態自適應成為網絡發展的趨勢，寬帶網絡流量分析再次面臨巨大挑戰，包括：高速網絡數據實時無損采集、單向流、協議私有化、加密、P2P、隧道傳輸、缺乏可信數據集和評估標準，網絡流量分析研究工作仍然需要不斷深入與創新。

參考文獻

[1]（美）Nader F.Mir，潘淑文.計算機與通信網絡[M].北京：中國電力出版社，2010（01）.

[2]余浩，徐明偉.P2P流檢測技術研究綜述[J].清華大學學報，2009（49）.

[3]彭蕓，劉瓊.Internet 流分類方法的比較研究[J].計算機科學，2007（34）.

[4]汪立東，錢麗萍.網絡流量分類方法與實踐[M].京：人民郵電出版社，2013.

第6篇

關鍵詞：IP包 流量分析 解析

0 引言

隨著社會的飛速發展和網絡技術應用領域的擴展，使得網絡通信問題日益成為人們關注的焦點。當前，人們對網絡的需要也日益增多，人們對網絡通信也有了越來越高的要求。通過Internet的迅速發展使社會經濟結構和人們的生活方式發生了巨大的變化，網絡服務越來越重要，而IP流量正是網絡管理的重要數據基礎，通過IP分析流量數據，可以幫助網絡管理員發現各種惡意網絡攻擊，對攻擊源進行追溯和定位，從而對網絡中的計算機進行有效的保護尤其在中小網絡中網絡安全起著至關重要的作用。IP分析中數據的統計是不允許出現任何錯誤的。因為網管人員在做好防護的同時也要對IP包進行捕獲和流量分析。網絡上的信息流量是通過計算機的網卡轉換把網上的信息展現出來的，通過對流經網卡的數據包的分析，如果發現有惡意連接或是異常流量的時候，網絡管理員就可以及時的做出相應的措施來保護網絡的通暢和安全，這也就是進行IP包流量分析的重要性。

1 IP包流量分析的研究

1.1 IP流量分析

每個網絡都有自身的運行規律，對于每一個高級的網絡管理員，要管理好網絡上承載關鍵業務的網絡系統，首先要對自己所管理的網絡建立深入的了解，提高自身的網絡管理技術水平，掌握有效的IP流量分析技術并能夠在工作中靈活的運用。網絡管理和網絡的結構、應用特點等緊密相關，通過IP流量分析，能夠幫助網絡管理人員掌握網絡系統運行的規律。網絡上重要的應用在運行時，如每一次訪問，每一個交易處理，數據都是通過網絡來傳輸的，就是這些數據的傳輸導致了網絡流量的產生。通過分析應用運行所產生的網絡流量，能夠清楚的了解應用運行時對網絡通信的影響。通過IP流量分析程序可以獲取到數據包的內容及其數量。在網絡帶寬一定的情況下，每個用戶的網絡行為都將相互影響，同時會對整個網絡的運行產生影響。伴隨著每個用戶在網絡中的行為都有網絡流量的產生，通過對網絡用戶的IP流量進行分析，能夠直觀地了解網絡用戶的網絡使用情況。IP流量分析可以為網絡和應用問題的分析提供依據，特別是數據包級的分析，因為這些依據是真實的，有效的，它們是實實在在的在網絡中傳輸的數據包，這也是流量分析能夠大大提高網絡和應用問題分析效率的原因。IP流量分析是有助于維護網絡持續、高效和安全運行的一種手段，IP流量分析有助于網絡管理員對網絡運行管理、應用運行管理和網絡應用問題分析。

IP包流量分析的主要方法是通過實時連續地采集網絡數據并對其進行統計，計算得到主要成分性能指標，結合網絡流量的原理，通過統計出的性能指數觀察網絡狀態，分析出網絡流量變化的趨勢，找出影響網絡性能的因素。

1.2 系統總體設計

通過研究與分析簡單IP包流量分析程序的用戶需求可以發現，用戶需要系統實現對本機基本信息的獲取，如IP地址，主機名，MAC地址和子網掩碼等信息；需要實現對網絡流量的監控，即對流入和流出網卡的數據包進行檢測并對數據包的長度進行累加，從而得到流量數據，最后將網絡輸入流量，網絡輸出流量，網絡總流量能在對話框對應的網格處顯示；需要實現捕獲流經本計算機網卡的所有數據包，對所獲取到的數據包進行解析，從而得到相關信息，如源地址，源端口，目的地址，目的端口，數據包的協議類型，數據包大小，數據等信息。根據分析IP包流量分析系統可以具有三個主要功能部分：基本信息顯示、網絡流量監控、IP包解析。系統設計圖如圖1所示。

1.2.1 基本信息模塊

對于一臺計算機來說，一般只有一個計算機名稱，但是可以有多個IP地址。例如當計算機通過撥號上網的時候，在驗證完用戶名和口令以后，就會動態分配一個IP地址，此時計算機就擁有了兩個IP地址，一個是自己設定的局域網用的IP地址，另外一個就是撥號上網動態分配的IP地址了。

基本信息模塊實現的主要功能是獲取本機的主機名和本機IP地址，并以對話框的形式顯示出來。此模塊中所獲取的IP地址是自己設定的局域網用的IP地址，而不是撥號上網時動態分配的隨機IP地址。它設計的主要目的是為了方便網絡管理人員快捷地了解本機的一些基本信息。

1.2.2 網絡流量監控模塊

網絡管理人員一般會根據計算機在不同時段的網絡流量變化情況來對計算機進行各項參數的優化，以及了解是否存在異常流量。而對于個人用戶來說，實時了解本機網絡流量情況是很重要的，尤其是對那些撥號上網的用戶，對網絡流量的了解可以有效的幫助他們節約上網費用。

網絡流量監控程序的本質是對流入和流出網卡（Modern）的數據包進行測量，在單位時間內的流入量實際上就是在單位時間里流入網卡的數據包的字節數，在單位時間內的流出量實際上就是在單位時間內流出網卡的數據包的字節數。而總流量就是流入量和流出量之和。

1.2.3 IP包解析模塊

因為要捕獲經過網卡的所有數據包，需要將網卡設置為混雜模式。在實際編程的過程中，通過使用網絡嗅探器可以把網卡設置于混雜模式，并可實現對網絡上傳輸的數據包的捕獲與分析。在網絡安全方面，網絡嗅探手段可以有效地探測在網絡上傳輸的數據包信息，通過對這些信息的分析利用將有助于對網絡安全進行維護。IP包解析模塊就是通過使用網絡嗅探器技術來實現完成的。

2 IP包解析模塊的實現

IP包解析模塊是系統實現的重要模塊，在實現中主要實現函數見表1。

3 結束語

IP包流量分析系統是一個相對復雜的系統，通過研究需求設計了系統的主體框架，通過編寫套接字、訪問注冊表等方法實現了系統部分主要功能，下一步準備完成詳細指標分析等功能。

參考文獻：

[1]楊延雙，王全民.TCP/IP協議分析及應用[M].北京：機械工業出版社，2009.

第7篇

關鍵詞 流量；分類；檢測；統計；分析

中圖分類號 TN91 文獻標識碼 A 文章編號 1674-6708（2016）166-00104-01

近年來寬帶網絡一直保持高速增長，光纖到桌面已基本實現，但網絡中巨大的流量會對網絡產生怎樣的影響，這些流量是如何構成的，始終是一個問題。通過對寬帶流量的分析我們可以知道流量的源頭和目的、知道協議分布、知道端口情況、知道通信經營指標等、當然最重要的還有數據的安全性。

不同的網絡，不同觀察點，不同時間的網絡流量因網絡規模，業務種類，用戶構成和使用習慣的不同而不同，甚至受突發事件的影響，網絡流量在體量規模，構成成分和比例上都有所不同。一個好的流量分類分析系統，應滿足部署位置上的可移植性，流量規模的可伸縮性，時間演進的自適應性。這時系統不僅需要采用先進的分類技術，也需要代表性的訓練數據集來確定系統運行參數。數據集主要采用2種方式：PCAP格式和NETFLOW格式，前者捕獲的是包級記錄，后者則是關于流級得統計信息記錄。

寬帶流量的分析和檢測首先要進行流量的采集，這項工作可以通過交換機或路由器的鏡像端口實現，也可以通過光纜分光的方式實現。對捕獲的數據進行計算和統計，并把統計數據寫入數據庫，定期形成網絡性能和流量參數的報表，用作分析的依據，在形成足夠數量的報表數據后，可以分析數據和系統性能變化的趨勢，判斷網絡是否存在瓶頸，并依據經驗，形成經驗數據庫，使網管系統具備學習的基礎和能力。在出現告警或異常情況時，可用來分析對比，判斷是否出現了網絡的攻擊和入侵，判斷惡意數據出現的源頭和特征，足夠數量的數據報表也可以指導各類應急預案的制定，在出現異常情況時可按照事先擬定的規則進行處理。

對于寬帶流量的分析和分類，系統需要進行統計模型的學習，統計模型的學習可以分為監督學習和非監督學習方法。所謂的監督學習是需要使用已經標注過的數據集合作為經驗知識，對寬帶流量的參數和算法進行訓練；而非監督學習則不需要使用已經標注過的數據集進行訓練，只是根據相關算法對寬帶流量集進行匯聚。對數據集的訓練過程中需要由經驗豐富的專家參與，并進行大量的基礎數據分析工作，網絡經驗數據集是流量分析的重要構成因素。在實際分析過程中，由于寬帶核心網絡的流量巨大，所以高性能的預處理路由器和大規模刀片服務器必不可少。為了提高分析效率，可以只分析單向流量，并且在預處理過程中將IP數據報文的載荷去掉。但由于各種網絡協議不斷演進，加密的流量不斷增加，各種新應用不斷出現，網絡數據集的標注也變得越來越困難。

網絡流量的分類和分析中對于標準協議的分析最為準確，可根據TIP/IP協議簇中標準的服務端口號對流量報文進行匹配，并根據端口號的不同將流量對應為不同的應用。非標準協議可以使用DPI（深度包檢測）在應用層對流量進行特征字符串的分析匹配，由于不同的應用在TCP/UDP的數據包中包含特征字符串，因此在掌握的不同網絡應用的特征字符串后，可以將網絡流量精確的分類和匹配，缺點是需要消耗較多的系統資源。但很多網絡應用的特征字符串難找易變，代表性差及加密度高等問題，也導致誤檢率和檢全率下降。流量分析監控和網絡應用的發展一直是不斷演變的矛盾。

基于協議的分類方法需要分析每種協議的特定的行為特性，標準的通信協議易于掌握，私有協議比如P2P或VOIP等基于軟硬件客戶端的應用則會有較多的變化，或進行加密使用就會影響流量分析的效果，甚至無法識別。有時同一應用軟件的不同版本間也會出現不同的流量特征，即版本的變化會造成協議特征的變化。另外，網絡中的單向流量、數據的時延、抖動都會對流量分析的算法產生影響。以上這些因素都是流量分析的難點和痛點。

運營商的骨干網絡逐漸向扁平化發展，網絡出口的數量增加和結構日趨復雜，及動態路由算法的大量使用，使得網絡流量在多條鏈路或多個不同ISP之間動態調配，導致在某個觀察點只能得到部分流量，這對于依賴雙向流量特征的分析方法無法實施?；赑2P的應用目前也在不斷擴大，P2P的發展使得應用和傳輸分離，應用端點和傳輸分離，打破了原有的B/S或C/S的傳統傳輸模式，多源頭并發傳輸使得流量特征模糊化，使得數據采集的有效性無法保障。還有一些網絡應用為了逃避被檢測到，常常采用已知協議的方法，例如FTP、HTTP、POP3等，由于IP地址的區分，冒用已知協議并不會影響正常網絡通信，但給流量分析帶來很大難度。

寬帶網絡流量分析不僅可以使我們可以清楚的知道網絡流量的內容，還可以為網絡建設、網絡優化、運營管理、網絡安全保障提供依據和手段。同時，網絡應用在不斷推陳出新，各種私有化的協議和加密方法不斷出現，且由于用戶接入帶寬的不斷提高，核心網流量呈幾何速度增長，這些因素在客觀上也大大增加了網絡流量分析的難度和成本?，F有的網絡流量分析再次面臨挑戰，網絡流量的分析研究工作需要不斷深入進行。

參考文獻

[1]Nader F.Mir.計算機與通信網絡[M].潘淑文，等，譯.北京：中國電力出版社，2010，1.

[2]余浩，徐明偉.P2P流檢測技術研究綜述[J].清華大學學報，2009（4）：610-620.