導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)流量分析的方法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】IP網(wǎng)絡(luò)流量分析；互聯(lián)網(wǎng)；技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢(shì)分析等工作的工具，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)，企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問題來看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

1.網(wǎng)絡(luò)流量分析方法

網(wǎng)絡(luò)流量是單位時(shí)間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開，目前，主要的分析方法有流量的統(tǒng)計(jì)分析和流量的粒度分析等。

1.1 網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

（1）基于軟件的流量統(tǒng)計(jì)

這種統(tǒng)計(jì)分析一般通過修改安裝于主機(jī)上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊，使之具有捕獲數(shù)據(jù)包的功能，以實(shí)現(xiàn)流量信息的收集和分析?；谟布牧髁拷y(tǒng)計(jì)效率很高，專用性強(qiáng)，但是價(jià)格昂貴對(duì)人員要求高，而基于軟件的流量統(tǒng)計(jì)有價(jià)格便宜，實(shí)現(xiàn)靈活，擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)，但其性能要低于基于硬件的統(tǒng)計(jì)技術(shù)。因此，流量統(tǒng)計(jì)方法有待進(jìn)一步的提高，以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求。

（2）基于硬件的流量統(tǒng)計(jì)

此類分析通常采用硬件測(cè)量設(shè)備，是一種為特定目的設(shè)計(jì)的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備。

1.2 網(wǎng)絡(luò)流量的粒度分析

網(wǎng)絡(luò)流量行為特征的分析還可以在不同測(cè)量粒度或者不同的層面上展開。

比特級(jí)（Bit-level）的流量分析，這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路的傳輸速率，吞吐量的變化等等。

分組級(jí)（Packet-level）的流量分析，此類分析主要關(guān)注的是IP分組的到達(dá)過程、延遲、抖動(dòng)和丟包率等。

流級(jí)（Flow-level）的流量分析，F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開的，它主要關(guān)注流的到達(dá)過程、到達(dá)間隔及其局部的特征。

上面流量的粒度由小到大遞增，時(shí)間尺度也逐漸增大，不同時(shí)間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律。通常，網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能，因此，F(xiàn)low-level的流量分析成為發(fā)展趨勢(shì)。

2.網(wǎng)絡(luò)流量分析常用技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量分析技術(shù)也與時(shí)俱進(jìn)。既有傳統(tǒng)的數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)管理技術(shù)，也有面向開放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前，在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有：

2.1 RMON技術(shù)

RMON（遠(yuǎn)程監(jiān)控），是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對(duì)SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù)：一種是通過專用的RMON探針（Probe），流量探針安裝方便，但是流量探針價(jià)格昂貴，不適合大面積部署。另一種方法是將RMON直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、HUB等），但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

2.2 SNMP技術(shù)

SNMP是用標(biāo)準(zhǔn)化方法定義的，通常一個(gè)標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個(gè)組成部分：SNMP協(xié)議，這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息；管理信息結(jié)構(gòu)，它是用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集；管理信息庫(kù)，它是設(shè)備所維護(hù)的全部被管理對(duì)象的結(jié)構(gòu)集合?；赟NMP的流量分析就是通過SNMP協(xié)議訪問設(shè)備獲取MIB庫(kù)中的端口流量信息，典型工具有MRTG，MRTG是一個(gè)使用的免費(fèi)軟件，通過SNMP協(xié)議從設(shè)備得到流量信息，將流量負(fù)載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶。由于M RTG使用起來很方便，能夠直觀顯示端口流量負(fù)載，所以是各類網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡(jiǎn)單的端口出、入流量統(tǒng)計(jì)信息，不能深入分析包的類型、流向等信息。

2.3 s Flow技術(shù)

s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第一層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量（如人于10Gbit/s）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢(shì)和存在的問題。sFlow技術(shù)有很多優(yōu)點(diǎn)：成本低廉；在不斷發(fā)展升級(jí)當(dāng)中，能在沒有消耗額外資源的環(huán)境監(jiān)測(cè)萬兆網(wǎng)絡(luò)，不會(huì)帶來新的網(wǎng)絡(luò)沖突；有自己的一套準(zhǔn)確可靠的計(jì)量方式；數(shù)據(jù)信息量人。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使實(shí)現(xiàn)而向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。

3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析起著一個(gè)銜接的作用，主要利用網(wǎng)絡(luò)流量測(cè)量部分收集到的各種流量信息，通過運(yùn)用不同的方法對(duì)其進(jìn)行分析和建模，以發(fā)現(xiàn)流量的特性，對(duì)網(wǎng)絡(luò)性能做出客觀的評(píng)價(jià)，并以此作為對(duì)網(wǎng)絡(luò)進(jìn)行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個(gè)方面：

3.1 實(shí)施安全預(yù)警

網(wǎng)絡(luò)流量異常會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷，使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%無法響應(yīng)進(jìn)一步的指令。通過對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性，并向網(wǎng)絡(luò)管理者進(jìn)行告警，判斷是否出現(xiàn)了入侵，并按照事先擬定的規(guī)則集進(jìn)行處理，記錄異常情況發(fā)生時(shí)的詳細(xì)網(wǎng)絡(luò)狀況，使入侵得到及時(shí)發(fā)現(xiàn)和處理。

3.2 分析用戶行為

根據(jù)分析結(jié)果，進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)！將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

3.3 節(jié)省運(yùn)營(yíng)費(fèi)用

通過對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對(duì)其他外部網(wǎng)絡(luò)的訪問情況，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)，從而有效地選擇與其他運(yùn)營(yíng)商的互聯(lián)方式，節(jié)省費(fèi)用。

3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

通過對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)控，獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對(duì)其進(jìn)行統(tǒng)計(jì)和計(jì)算。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)，定期形成性能報(bào)表，并維護(hù)網(wǎng)絡(luò)流量數(shù)據(jù)庫(kù)或日志存儲(chǔ)網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理。通過數(shù)據(jù)分析獲得性能的變化趨勢(shì)，分析制約網(wǎng)絡(luò)性能的瓶頸問題。

3.5 評(píng)估網(wǎng)絡(luò)價(jià)

通過對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小﹑去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況。從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開展情況，并作出價(jià)值評(píng)估。

3.6 確定重點(diǎn)客戶

通過對(duì)重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析。掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

4.網(wǎng)絡(luò)流量分析的重要性

相對(duì)于網(wǎng)絡(luò)管理人員來說，理解用戶的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容，它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來網(wǎng)絡(luò)升級(jí)等提供重要依據(jù)，通過網(wǎng)絡(luò)流量分析，可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從很多方面進(jìn)行更好地維護(hù)﹑優(yōu)化網(wǎng)絡(luò)，并且提升網(wǎng)絡(luò)的性能；同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計(jì)分析等；也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時(shí)，網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化，因此，對(duì)網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息和深層次的管理功能，很好地發(fā)揮網(wǎng)絡(luò)管理作用。對(duì)于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測(cè)﹑鏈路狀態(tài)監(jiān)測(cè)﹑容量規(guī)劃等發(fā)揮著重要作用。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)，可以預(yù)見，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

參考文獻(xiàn)

[1]李萬鵬.網(wǎng)絡(luò)流量控制及流量分析[D].北京郵電大學(xué)，2011.

篇2

1網(wǎng)絡(luò)流量監(jiān)測(cè)的必要性及意義

網(wǎng)絡(luò)管理中非常重要且非?；A(chǔ)的一個(gè)環(huán)節(jié)就是網(wǎng)絡(luò)流量監(jiān)測(cè)，網(wǎng)絡(luò)流量監(jiān)測(cè)即是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)采集，以此來監(jiān)測(cè)網(wǎng)絡(luò)的流量。網(wǎng)絡(luò)及其重要成分的性能指標(biāo)也是對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的統(tǒng)計(jì)和計(jì)算得到的。網(wǎng)絡(luò)管理員根據(jù)當(dāng)前的和歷史的存儲(chǔ)網(wǎng)絡(luò)及其重要成分的性能的數(shù)據(jù)數(shù)據(jù)，就可對(duì)網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理，通過數(shù)據(jù)分析獲得性能的變化趨勢(shì)。分析制約網(wǎng)絡(luò)性能的瓶頸問題。在網(wǎng)絡(luò)流量監(jiān)測(cè)的基礎(chǔ)上，管理員可對(duì)感興趣的網(wǎng)絡(luò)管理對(duì)象設(shè)置閾值范圍以配置網(wǎng)絡(luò)閾值對(duì)象，閾值對(duì)象監(jiān)控實(shí)時(shí)輪詢網(wǎng)絡(luò)獲取定義對(duì)象的當(dāng)前值。若超出閥值的上限和下限則報(bào)警，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，這樣即可實(shí)現(xiàn)一定程度上的故障管理，而網(wǎng)絡(luò)流量監(jiān)測(cè)本身也涉及到安全管理方面的內(nèi)容。所以，研究網(wǎng)絡(luò)流量監(jiān)測(cè)是非常有意義的。

2網(wǎng)絡(luò)流量的特性

2.1數(shù)據(jù)流是雙向的，但通常是非對(duì)稱的?；ヂ?lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2.2大部分TCP會(huì)話是短期的。超過90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié)，會(huì)話持續(xù)時(shí)間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。1.3包的到達(dá)過程不是泊松過程大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過程是泊松過程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。然而近年來對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

2.3網(wǎng)絡(luò)通信量具有局域性。互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)（時(shí)間局域性）和基于空間的相關(guān)（空間局域性）。

3網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)與方法

3.1網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)種類

（1）基于流量鏡像協(xié)議分析。流量鏡像（在線TAP）協(xié)議分析方式是把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過7層協(xié)議解碼對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)。與其他3種方式相比，協(xié)議分析是網(wǎng)絡(luò)測(cè)試的最基本手段，特別適合網(wǎng)絡(luò)故障分析。缺點(diǎn)是流量鏡像（在線TAP）協(xié)議分析方式只針對(duì)單條鏈路，不適合全網(wǎng)監(jiān)測(cè)。

（2）基于硬件探針的監(jiān)測(cè)技術(shù)。硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號(hào)而獲取流量信息。一個(gè)硬件探針監(jiān)視一個(gè)子網(wǎng)（通常是一條鏈路）的流量信息。對(duì)于全網(wǎng)流量的監(jiān)測(cè)需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過后臺(tái)服務(wù)器和數(shù)據(jù)庫(kù)，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長(zhǎng)期報(bào)告。與其他的3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但是硬件探針的監(jiān)測(cè)方式受限于探針的接口速率，一般只針對(duì)1000M以下的速率。而且探針方式重點(diǎn)是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。

（3）基于SNMP的流量監(jiān)測(cè)技術(shù)?；赟NMP的流量信息采集，實(shí)質(zhì)上是測(cè)試儀表通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫(kù)）中收集一些具體設(shè)備及流量信息有關(guān)的變量。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監(jiān)測(cè)技術(shù)受到設(shè)備廠家的廣泛支持，使用方便，缺點(diǎn)是信息不夠豐富和準(zhǔn)確，分析集中在網(wǎng)絡(luò)的2、3層的信息和設(shè)備的消息。SNMP方式經(jīng)常集成在其他的3種方案中，如果單純采用SNMP做長(zhǎng)期的、大型的網(wǎng)絡(luò)流量監(jiān)控，在測(cè)試儀表的基礎(chǔ)上，需要使用后臺(tái)數(shù)據(jù)庫(kù)。

（4）基于Netflow的流量監(jiān)測(cè)技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專屬協(xié)議，已經(jīng)標(biāo)準(zhǔn)化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機(jī)自身對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，并且把結(jié)果發(fā)送到第3方流量報(bào)告生成器和長(zhǎng)期數(shù)據(jù)庫(kù)。一旦收集到路由器、交換機(jī)上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、病毒流量分析，網(wǎng)絡(luò)監(jiān)測(cè)等應(yīng)用提供計(jì)數(shù)根據(jù)。Netflow方式是網(wǎng)絡(luò)流量統(tǒng)計(jì)方式的發(fā)展趨勢(shì)。在綜合比較四種技術(shù)之后，不難得出以下結(jié)論：基于SNMP的流量監(jiān)測(cè)技術(shù)能夠滿足網(wǎng)絡(luò)流量分析的需要，且信息采集效率高，適合在各類網(wǎng)絡(luò)中應(yīng)用。

3.2網(wǎng)絡(luò)流量的監(jiān)測(cè)方法

流量監(jiān)測(cè)包括測(cè)量工具/系統(tǒng)的部署、流量數(shù)據(jù)的采集（包括數(shù)據(jù)包捕獲、歸并和采樣處理等）、數(shù)據(jù)包的解析和處理、測(cè)量實(shí)體量化數(shù)值的獲得與統(tǒng)計(jì)分析、流量特征化描述、流量存儲(chǔ)和查詢表示、流量建模等多個(gè)環(huán)節(jié)，具有相對(duì)復(fù)雜的處理和分析過程。目前存在有眾多種流量測(cè)量的實(shí)現(xiàn)方法，他們可適用不同的測(cè)量環(huán)境、滿足不同的測(cè)量要求，并且有著不同的實(shí)現(xiàn)方式?；谟布臏y(cè)量通常需要設(shè)計(jì)和應(yīng)用特定的硬件設(shè)備來對(duì)流量數(shù)據(jù)進(jìn)行采集和分析。被測(cè)量的流量并非由普通的商用計(jì)算機(jī)直接獲得，而是需要從服務(wù)器、交換機(jī)、路由器等特定的網(wǎng)絡(luò)設(shè)備上經(jīng)過一定處理后導(dǎo)出，然后再由普通的商用計(jì)算機(jī)完成后續(xù)的流量處理和統(tǒng)計(jì)分析等工作。不同形式的數(shù)據(jù)，對(duì)應(yīng)要求在普通的商用計(jì)算機(jī)上通過不同的程序或軟件實(shí)現(xiàn)相應(yīng)的流量處理和統(tǒng)計(jì)分析功能。

篇3

關(guān)鍵詞：流量監(jiān)測(cè)；winpcap；網(wǎng)絡(luò)數(shù)據(jù)流量分析

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量特征的研究近年來引起了人們廣泛關(guān)注。網(wǎng)絡(luò)數(shù)據(jù)流量分析系統(tǒng)的定位重點(diǎn)在對(duì)網(wǎng)絡(luò)流量的流量、流向、協(xié)議的細(xì)節(jié)監(jiān)視和分析，網(wǎng)絡(luò)安全監(jiān)視。在容量規(guī)劃、入侵檢測(cè)和路由優(yōu)化時(shí)，網(wǎng)絡(luò)管理員需要知道網(wǎng)絡(luò)的數(shù)據(jù)流量情況和盡量多的測(cè)量信息。

2 關(guān)鍵技術(shù)

⑴數(shù)據(jù)流。數(shù)據(jù)流是指輸入數(shù)據(jù)a1，a2，..按順序到達(dá)。這些數(shù)據(jù)描述了一個(gè)信號(hào)A。A是一個(gè)一維函數(shù)A：[1...N]R2。模型取決于ai如何描述A。本文把數(shù)據(jù)流技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)相結(jié)合， 取得了較好的應(yīng)用效果。

⑵流量監(jiān)測(cè)原理。網(wǎng)絡(luò)流量監(jiān)測(cè)有主動(dòng)監(jiān)測(cè)和被動(dòng)監(jiān)測(cè)兩種不同的實(shí)現(xiàn)方法。主動(dòng)測(cè)量方法是向被測(cè)網(wǎng)絡(luò)中注入附加的“探測(cè)流量”并進(jìn)行返回?cái)?shù)據(jù)的采集來實(shí)現(xiàn)監(jiān)測(cè)的方法，該如果處理不當(dāng)，也會(huì)給網(wǎng)絡(luò)增加額外的負(fù)荷，影響測(cè)量結(jié)果的客觀性，甚至使測(cè)量結(jié)果不準(zhǔn)確，產(chǎn)生Heisenburg效應(yīng)。而被動(dòng)測(cè)量方法是在網(wǎng)絡(luò)的某點(diǎn)采集、記錄并且分析網(wǎng)絡(luò)的流量信息來實(shí)現(xiàn)測(cè)量的方法。被動(dòng)測(cè)量可以完全消除附加的“探測(cè)流量”和Heisenbutg 效應(yīng)，這是被動(dòng)測(cè)量的優(yōu)點(diǎn)，但存在可能會(huì)涉及隱私和安全問題的不足。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，鑒于被動(dòng)監(jiān)測(cè)的優(yōu)點(diǎn)，本系統(tǒng)采用基于數(shù)據(jù)包捕獲的被動(dòng)監(jiān)測(cè)技術(shù)。

⑶winpcap。在網(wǎng)絡(luò)管理與安全防護(hù)中，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，是非常重要的一個(gè)任務(wù)，從防火墻到攻擊檢測(cè)系統(tǒng)，都會(huì)用到類似功能。開發(fā)此類軟件過程相當(dāng)復(fù)雜。而winpcap （indows packet capture）是windows平臺(tái)下一個(gè)免費(fèi)公共的網(wǎng)絡(luò)訪問系統(tǒng)。它提供了以下的各項(xiàng)功能：

1>捕獲原始數(shù)據(jù)報(bào)；2>按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；3>在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；4>收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。

3 系統(tǒng)架構(gòu)

無論是基于網(wǎng)絡(luò)安全，還是基于網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的改進(jìn)，網(wǎng)絡(luò)數(shù)據(jù)流量分析無疑是必要的，人們對(duì)網(wǎng)絡(luò)依賴很強(qiáng)。網(wǎng)絡(luò)數(shù)據(jù)流量系統(tǒng)的架構(gòu)包括三層：數(shù)據(jù)層（瀏覽統(tǒng)計(jì)、數(shù)據(jù)庫(kù)管理）、訪問應(yīng)用層、展現(xiàn)層（在線統(tǒng)計(jì)器、流量統(tǒng)計(jì)器、網(wǎng)絡(luò)速度監(jiān)視器）。

4 系統(tǒng)設(shè)計(jì)

⑴網(wǎng)絡(luò)監(jiān)視器。網(wǎng)絡(luò)監(jiān)視器是監(jiān)視網(wǎng)絡(luò)通信的，其主要工作有三項(xiàng)：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網(wǎng)絡(luò)包捕獲系統(tǒng)的實(shí)現(xiàn)中，采用的是WINPCAP包捕獲應(yīng)用系統(tǒng)框架。網(wǎng)絡(luò)監(jiān)聽模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。由于效率的需要，有時(shí)要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包等。網(wǎng)絡(luò)監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過濾，判斷是否符合過濾條件。

為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實(shí)現(xiàn)。獲得數(shù)據(jù)包之后，如果在捕獲過程結(jié)束后創(chuàng)建了兩個(gè)線程實(shí)現(xiàn)對(duì)捕獲數(shù)據(jù)的實(shí)時(shí)性處理。

2）包分析。包分析指將捕捉來的數(shù)據(jù)報(bào)進(jìn)行分析。由于要進(jìn)行流量統(tǒng)計(jì)需要很多必要的信息，作為統(tǒng)計(jì)依據(jù)，如IP地址、協(xié)議類型等。其中，數(shù)據(jù)長(zhǎng)度可由函數(shù)調(diào)用返回的內(nèi)容得到而且此時(shí)得到的是實(shí)際在網(wǎng)上的包長(zhǎng)度。

3）記錄。通過包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數(shù)據(jù)長(zhǎng)度、協(xié)議類型、以及為了統(tǒng)計(jì)方便需要的時(shí)間信息。

⑵流量統(tǒng)計(jì)器。流量統(tǒng)計(jì)器，是對(duì)流量監(jiān)視器的記錄結(jié)果進(jìn)行統(tǒng)計(jì)，將網(wǎng)絡(luò)監(jiān)視器的記錄文件內(nèi)容讀出，并根據(jù)網(wǎng)址分割標(biāo)準(zhǔn)及源和目的地分別統(tǒng)計(jì)出流向網(wǎng)外的國(guó)內(nèi)和國(guó)外流量，并將結(jié)果按照日期分別存儲(chǔ)在數(shù)據(jù)中。

5 系統(tǒng)實(shí)現(xiàn)

⑴捕捉包的實(shí)現(xiàn)。包捕捉作為一個(gè)獨(dú)立的應(yīng)用程序運(yùn)行，它從網(wǎng)上截獲包，并以文件形式將有用信息記錄下來，為流量統(tǒng)計(jì)準(zhǔn)備統(tǒng)計(jì)的原始依據(jù)。

⑵在線統(tǒng)計(jì)的實(shí)現(xiàn)。ping利用了原始套接口技術(shù)發(fā)送ICMP回射請(qǐng)求，并接收工CMP回射應(yīng)答。Socket是CP/IP編程的底層API（網(wǎng)絡(luò)編程接口）。在實(shí)現(xiàn)ping后可以將其作為一個(gè)函數(shù)調(diào)用，就很容易實(shí)現(xiàn)在線統(tǒng)計(jì)。

⑶圖形界面的實(shí)現(xiàn)。采用Visual C++.NET實(shí)現(xiàn)流量圖形化界面，主要是使用GDI函數(shù)畫圖，首先要得到一個(gè)設(shè)備描述句柄或一個(gè)可用的CDC設(shè)備描述表對(duì)象，WIN32API提供了BeginPaint（）和GetDC兩個(gè)函數(shù)，用于獲得指定窗口的設(shè)備描述句柄。MFC的窗口類CWnd類也提供了兩個(gè)當(dāng)前窗口的CDC對(duì)象的函數(shù)BeginPin（）和GETDC（）；也可以在窗口處理函數(shù)中直接用CDC的派生類，最終實(shí)現(xiàn)流量圖形化。

篇4

關(guān)鍵詞：網(wǎng)絡(luò)流量；監(jiān)測(cè)；網(wǎng)絡(luò)管理

1、網(wǎng)絡(luò)流量的特性

通過對(duì)互聯(lián)網(wǎng)通信量的測(cè)量，人們發(fā)現(xiàn)互聯(lián)網(wǎng)通信量的主要特性有:

1、數(shù)據(jù)流是雙向的，但通常是非對(duì)稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2、大部分TCP會(huì)話是短期的

超過90%的TCP會(huì)話交換的數(shù)據(jù)量小于10K字節(jié)，會(huì)話持續(xù)時(shí)間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響。

3、包的到達(dá)過程不是泊松過程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過程是泊松過程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡(jiǎn)單的說，泊松到達(dá)過程就是事件(例如地震，交通事故，電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡(jiǎn)單。然而近年來對(duì)互聯(lián)網(wǎng)絡(luò)通信量的測(cè)量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡(jiǎn)單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

4、網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

2、 網(wǎng)絡(luò)流量的測(cè)量

網(wǎng)絡(luò)流量的測(cè)量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具，通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流，我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會(huì)出錯(cuò)的，設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓，或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長(zhǎng)、錯(cuò)誤地址、安全攻擊等。對(duì)互聯(lián)網(wǎng)流量的測(cè)量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題?；ヂ?lián)網(wǎng)流量的測(cè)量從不同的方面可以分為:

1、基于硬件的測(cè)量和基于軟件的測(cè)量

基于硬件的測(cè)量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測(cè)量，這些設(shè)備一般都比較昂貴，而且受網(wǎng)絡(luò)接口數(shù)量，網(wǎng)絡(luò)插件的類型，存儲(chǔ)能力和協(xié)議分析能力等諸多因素的限制?；谲浖臏y(cè)量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分，使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較，其費(fèi)用比較低廉，但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2、主動(dòng)測(cè)量和被動(dòng)測(cè)量

被動(dòng)測(cè)量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流，不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測(cè)量都是被動(dòng)的測(cè)量。主動(dòng)測(cè)量使用由測(cè)量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測(cè)網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

3、在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù)，使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果，大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù)，把數(shù)據(jù)存儲(chǔ)下來，并不對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

4、協(xié)議級(jí)分類

對(duì)于不同的協(xié)議，例如以太網(wǎng)(Ethernet )，幀中繼(Frame Relay )，異步傳輸模式( Asynchronous Transfer Mode )，需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù)，因此也就有了不同的通信量測(cè)試方法。

3、 網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)

    根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于Netflow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。

1、基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù):網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

    2、基于Netflow的流量監(jiān)測(cè)技術(shù):Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇5

關(guān)鍵詞：網(wǎng)絡(luò)性能；網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)；簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；NetFlow

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)的意義

近年來，隨著各單位計(jì)算機(jī)應(yīng)用水平的整體提高、內(nèi)部園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)的日漸完善，以及實(shí)驗(yàn)儀器設(shè)備的網(wǎng)絡(luò)自動(dòng)化程度提高和發(fā)展，越來越多的日常學(xué)習(xí)、工作和科研、實(shí)驗(yàn)活動(dòng)依賴計(jì)算機(jī)和網(wǎng)絡(luò)來開展運(yùn)行，這就要求各單位內(nèi)部的園區(qū)網(wǎng)網(wǎng)絡(luò)環(huán)境有很高的穩(wěn)定性和運(yùn)行效率，并能針對(duì)不同網(wǎng)絡(luò)內(nèi)部科研應(yīng)用需求提供相應(yīng)的網(wǎng)絡(luò)質(zhì)量保障。園區(qū)網(wǎng)連接著各個(gè)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備及系統(tǒng)設(shè)備、試驗(yàn)裝置、儀器儀表，通過交換信息使之成為一個(gè)高效運(yùn)行的有機(jī)整體，為確保各項(xiàng)依賴園區(qū)網(wǎng)的科研活動(dòng)順利進(jìn)行，必須保障園區(qū)網(wǎng)的正常運(yùn)行和性能穩(wěn)定。

同時(shí)，不斷進(jìn)行的信息化建設(shè)使得各項(xiàng)商業(yè)、科研活動(dòng)對(duì)園區(qū)網(wǎng)絡(luò)日漸依賴，這也帶來了新的信息安全隱患，如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為需要被高度重視的問題。隨著園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，越來越多的攻擊和安全隱患來自于園區(qū)網(wǎng)內(nèi)部，使得傳統(tǒng)的基于網(wǎng)關(guān)的安全架構(gòu)在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統(tǒng)的安全防護(hù)手段多屬于被動(dòng)形式,只能簡(jiǎn)單過濾或丟棄攻擊數(shù)據(jù),而無法在攻擊源發(fā)起攻擊時(shí)或之后的較短時(shí)間內(nèi)即時(shí)響應(yīng)，將內(nèi)部網(wǎng)絡(luò)中可疑的攻擊源主機(jī)斷開，使其無法通過內(nèi)網(wǎng)連接進(jìn)行攻擊。在這種情況下，主動(dòng)對(duì)園區(qū)網(wǎng)內(nèi)部的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并根據(jù)網(wǎng)絡(luò)流量異常信息采取相應(yīng)的質(zhì)量控制和防范乃至隔離控制，將可以成為傳統(tǒng)計(jì)算機(jī)安全技術(shù)(如網(wǎng)關(guān)防火墻)的有益補(bǔ)充。

2 園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)技術(shù)

2.1 網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)概述

網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個(gè)重要組成部分，網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)為園區(qū)網(wǎng)的運(yùn)行和維護(hù)提供了重要信息，這些數(shù)據(jù)對(duì)調(diào)控網(wǎng)絡(luò)資源分布、規(guī)劃網(wǎng)絡(luò)容量、網(wǎng)絡(luò)服務(wù)質(zhì)量分析、網(wǎng)絡(luò)故障檢測(cè)與隔離、網(wǎng)絡(luò)安全管理都非常重要。目前，根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)、基于SNMP的監(jiān)測(cè)技術(shù)和基于NetFlow的監(jiān)測(cè)技術(shù)三種常用技術(shù)。

2.2 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)。

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。 但采用端口流量鏡像方式將增加網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)，對(duì)網(wǎng)絡(luò)設(shè)備性能的影響較大。而若使用探針等附加設(shè)備實(shí)現(xiàn)流量鏡像，安裝時(shí)對(duì)網(wǎng)絡(luò)影響較大，安裝完成后雖對(duì)網(wǎng)絡(luò)設(shè)備的影響較小，但為網(wǎng)絡(luò)結(jié)構(gòu)增加了新的單點(diǎn)失效點(diǎn)，在大型網(wǎng)絡(luò)環(huán)境下，可能會(huì)影響網(wǎng)絡(luò)的穩(wěn)定性。故基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)較少用于園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中。

2.3 基于SNMP的流量監(jiān)測(cè)技術(shù)

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，得到很大范圍的應(yīng)用。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，它簡(jiǎn)單明了，占用系統(tǒng)資源少，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SNMP提供了從網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)管理信息的方法，并為設(shè)備提供了向網(wǎng)絡(luò)管理端報(bào)告故障和錯(cuò)誤的途徑。SNMP是協(xié)議和規(guī)范族，包括MIB（管理對(duì)象信息庫(kù)）、SMI（管理信息結(jié)構(gòu)）和SNM協(xié)議。同時(shí)，SNMP被設(shè)計(jì)成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他傳輸協(xié)議上被使用。

基于SNMP的流量信息采集，實(shí)質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對(duì)象信息庫(kù)）中收集一些與具體設(shè)備及流量信息有關(guān)的變量?；赟NMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長(zhǎng)等。 基于SNMP的網(wǎng)絡(luò)流量信息采集可以以極小的代價(jià)實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)流量相關(guān)信息的收集，但其收集的信息多是出于網(wǎng)絡(luò)管理的需要，無法提供足夠豐富的網(wǎng)絡(luò)流量信息。利用其實(shí)現(xiàn)網(wǎng)絡(luò)總流量的定期監(jiān)控、觀察網(wǎng)絡(luò)設(shè)備端口的流量和使用狀況可以滿足網(wǎng)絡(luò)管理的基本需求。

SNMP采用‘管理者―’模型來監(jiān)測(cè)各種可管理的網(wǎng)絡(luò)設(shè)備，利用無連接的UDP協(xié)議在管理者和之間進(jìn)行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關(guān)系。一個(gè)SNMP管理者可以向SNMP發(fā)送請(qǐng)求，讀?。℅et）或設(shè)置（Set）一個(gè)或多個(gè)MIB變量數(shù)值。SNMP可以應(yīng)答這些請(qǐng)求。除了這種交互式通信方式，SNMP還可以主動(dòng)向SNMP管理者發(fā)送通知（Trap或Inform Request）以提示管理者一個(gè)設(shè)備或網(wǎng)絡(luò)的狀態(tài)。

■

圖1 SNMP管理者與SNMP間的通信示意圖

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中采用SNMP機(jī)制有以下優(yōu)勢(shì)：1）可以隨時(shí)隨地收集網(wǎng)絡(luò)流量信息，及時(shí)獲取當(dāng)前園區(qū)網(wǎng)絡(luò)的運(yùn)行情況；2）能夠即時(shí)收集到網(wǎng)絡(luò)中大量設(shè)備的同步流量信息；3）采用方法基于IP層，不受底層網(wǎng)絡(luò)物理類型的限制；4）能夠收集到網(wǎng)絡(luò)設(shè)備自身的工作信息、端口狀態(tài)。并可根據(jù)需要遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備的相關(guān)參數(shù)；5）基于SNMP的流量監(jiān)測(cè)所需費(fèi)用較少，對(duì)現(xiàn)有的網(wǎng)絡(luò)性能影響較小，且易于集成到各種網(wǎng)管系統(tǒng)中去。

在此基礎(chǔ)上，如果配合后臺(tái)數(shù)據(jù)庫(kù)記錄收集到的網(wǎng)絡(luò)流量、性能數(shù)據(jù)，就可以實(shí)現(xiàn)對(duì)整個(gè)園區(qū)網(wǎng)絡(luò)進(jìn)行有效的監(jiān)視，并能在網(wǎng)絡(luò)發(fā)生故障時(shí)及時(shí)發(fā)現(xiàn)并通知相關(guān)人員處理，從而提高網(wǎng)絡(luò)可靠運(yùn)轉(zhuǎn)的時(shí)間，減少因網(wǎng)絡(luò)故障造成的中斷時(shí)間。

2.1.基于NetFlow的流量監(jiān)測(cè)技術(shù)

NetFlow是Cisco公司提出的一項(xiàng)網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)標(biāo)準(zhǔn)，利用NetFlow技術(shù)，路由器可以輸出流經(jīng)路由的包的統(tǒng)計(jì)信息，從而監(jiān)測(cè)網(wǎng)絡(luò)上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理、流量計(jì)費(fèi)和病毒檢測(cè)等等，NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測(cè)的需求。它可以實(shí)時(shí)提取大量流量的特征,實(shí)現(xiàn)對(duì)流量的宏觀統(tǒng)計(jì)分析。目前，NetFlow技術(shù)已經(jīng)成為網(wǎng)絡(luò)設(shè)備流量信息采集事實(shí)上的標(biāo)準(zhǔn)，一些大型的網(wǎng)絡(luò)設(shè)備廠商均在其主流的路由設(shè)備中實(shí)現(xiàn)了對(duì)NetFlow主要版本的支持。

表1主流廠商網(wǎng)絡(luò)流技術(shù)對(duì)比

■

NetFlow的實(shí)現(xiàn)由路由器、數(shù)據(jù)采集設(shè)備和流量分析工具三部分構(gòu)成，如圖2所示。

路由器啟動(dòng)NetFlow功能，負(fù)責(zé)抓取路由器上發(fā)生的流量信息，當(dāng)Cache表超時(shí)后，網(wǎng)絡(luò)設(shè)備中的NetFlow Agent 將通過規(guī)范的報(bào)文格式將表項(xiàng)數(shù)據(jù)以UDP方式向NetFlow數(shù)據(jù)采集設(shè)備發(fā)送。NetFlow數(shù)據(jù)采集設(shè)備可以是商業(yè)系統(tǒng)或是采用開放源代碼的工作站，它負(fù)責(zé)實(shí)時(shí)處理收到的報(bào)文，提取出流量數(shù)據(jù)，進(jìn)行過濾和聚合后記錄在數(shù)據(jù)庫(kù)中。NetFlow流量分析工具根據(jù)數(shù)據(jù)采集設(shè)備數(shù)據(jù)庫(kù)中記錄的網(wǎng)絡(luò)流量信息進(jìn)行網(wǎng)絡(luò)規(guī)劃、流量計(jì)費(fèi)和各種網(wǎng)絡(luò)管理應(yīng)用，并產(chǎn)生各類報(bào)表等。

■

圖2NetFlow的工作原理示意圖

由于NetFlow技術(shù)所產(chǎn)生的信息詳盡且趨近于即時(shí)，可讓網(wǎng)管人員深入地了解數(shù)據(jù)包中的信息，獲得很多網(wǎng)絡(luò)運(yùn)行情況的細(xì)節(jié)。依據(jù)NetFlow信息進(jìn)行網(wǎng)絡(luò)規(guī)劃，將大大提高規(guī)劃的效率，減少盲目性。

（上接第671頁(yè)）

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)中采用NetFlow機(jī)制有以下優(yōu)勢(shì)：

1) 對(duì)源及目的業(yè)務(wù)端口號(hào)的統(tǒng)計(jì)、分析，可以科學(xué)地估算出各種業(yè)務(wù)在網(wǎng)絡(luò)總流量中所占的比重和在各條鏈路上的分布，對(duì)網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行精細(xì)化分析，包括網(wǎng)絡(luò)間數(shù)據(jù)流中各個(gè)具體業(yè)務(wù)的流量及百分比；同時(shí)，也可以根據(jù)應(yīng)用層數(shù)據(jù)參數(shù)Protocol、Port、Bytes對(duì)各個(gè)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行排行，進(jìn)而科學(xué)地預(yù)測(cè)各類業(yè)務(wù)流量的增長(zhǎng)規(guī)律。

2) 通過對(duì)整網(wǎng)流量的長(zhǎng)期監(jiān)測(cè)，可以建立園區(qū)網(wǎng)流量基線，了解網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)的即時(shí)與歷史網(wǎng)絡(luò)流量狀態(tài)，掌握網(wǎng)絡(luò)應(yīng)用及發(fā)展趨勢(shì)，從而提高網(wǎng)絡(luò)的管理維護(hù)能力。

3) 通過統(tǒng)計(jì)分析，我們還可以獲知那些業(yè)務(wù)是目前網(wǎng)絡(luò)上最受歡迎的業(yè)務(wù)，進(jìn)而對(duì)相關(guān)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的建設(shè)和規(guī)劃提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù)；對(duì)于業(yè)務(wù)流量大的端點(diǎn)，分析其增長(zhǎng)規(guī)律，可以指導(dǎo)對(duì)其合理及時(shí)的擴(kuò)容，從而提高整個(gè)網(wǎng)絡(luò)的運(yùn)行質(zhì)量。

4) 利用NetFlow產(chǎn)生的流量記錄與統(tǒng)計(jì)分析系統(tǒng)配合，還可以記錄網(wǎng)絡(luò)平常在不同時(shí)間的流量或服務(wù)器連接使用情況，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)或某服務(wù)器流量異常，或是服務(wù)器連接情況異常大量增加或減少時(shí)，在第一時(shí)間發(fā)出警報(bào)，讓網(wǎng)絡(luò)管理員可以立即采取相應(yīng)措施，盡快確定異常流量源地址及目的地址、端口號(hào)等多種信息，針對(duì)不同的情況，分別利用切斷連接、ACL過濾、靜態(tài)空路由過濾、異常流量限定等多種手段，對(duì)異常流量進(jìn)行有效控制、處理，從而在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。這在防范病毒，尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時(shí)尤為有效。

3 結(jié)束語

當(dāng)前，隨著信息化建設(shè)步伐的加快，各單位都在不斷地建設(shè)和改造內(nèi)部的園區(qū)網(wǎng)絡(luò)，園區(qū)網(wǎng)絡(luò)的不斷擴(kuò)展使得網(wǎng)絡(luò)的拓?fù)渥兊迷絹碓綇?fù)雜和不規(guī)則。而網(wǎng)絡(luò)新應(yīng)用的涌現(xiàn)和網(wǎng)絡(luò)用戶的快速增長(zhǎng)也使得網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)應(yīng)用日益復(fù)雜。采用一種或混合使用多種技術(shù)監(jiān)測(cè)園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)的重要性和迫切性越來越突出。園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測(cè)技術(shù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)研究中一個(gè)重要的課題方向。

參考文獻(xiàn)：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陳秀蘭,吳軍華.通用網(wǎng)絡(luò)流量監(jiān)測(cè)報(bào)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 微計(jì)算機(jī)應(yīng)用, 2006(4):47-50.

[4] 何豐,靳娜.基于NetFlow的IP網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J] . 通信技術(shù), 2007(8):36-38.

篇6

作者：馬知也 單位：蘭州職業(yè)技術(shù)學(xué)院

網(wǎng)絡(luò)流量采集方法

對(duì)經(jīng)過該鏈路的流量進(jìn)行監(jiān)聽和捕獲，按一定格式將流量數(shù)據(jù)進(jìn)行編碼，或者將其匯聚為流數(shù)據(jù)，發(fā)送給后臺(tái)的接受存儲(chǔ)設(shè)備．IPFIX工作組［3］定義了采集設(shè)備將流量發(fā)送給后臺(tái)接受設(shè)備的協(xié)議及數(shù)據(jù)格式．?dāng)?shù)據(jù)存儲(chǔ)模塊對(duì)采集并初步處理后的數(shù)據(jù)在存儲(chǔ)設(shè)備中進(jìn)行存儲(chǔ)以備進(jìn)行下一步數(shù)據(jù)分析．小型測(cè)量系統(tǒng)存儲(chǔ)數(shù)據(jù)到本地采集系統(tǒng)的硬盤上，并實(shí)時(shí)的進(jìn)行分析處理和應(yīng)用．而在大型測(cè)量系統(tǒng)中一般有專用的中心存儲(chǔ)設(shè)備來存儲(chǔ)數(shù)據(jù)，通過專用或普通鏈路接受各個(gè)測(cè)量結(jié)點(diǎn)捕獲的數(shù)據(jù)．?dāng)?shù)據(jù)分析部分對(duì)流量特征進(jìn)行分析，并將這些數(shù)據(jù)用于計(jì)費(fèi)、異常檢測(cè)等應(yīng)用．網(wǎng)絡(luò)設(shè)備支持的流量采集有些路由器或交換機(jī)本身具有流量采集的功能，在進(jìn)行路由轉(zhuǎn)發(fā)等功能的同時(shí)，它們可以通過專用的硬件設(shè)備采集網(wǎng)絡(luò)流量數(shù)據(jù)，并進(jìn)行初步處理，然后將其轉(zhuǎn)發(fā)到后臺(tái)專用流量接收設(shè)備．目前網(wǎng)絡(luò)設(shè)備中應(yīng)用廣泛的Cisco公司的Netflow和基于網(wǎng)絡(luò)設(shè)備流量采集標(biāo)準(zhǔn)的sFlow兩種流量采集技術(shù)．Netflow通過采集數(shù)據(jù)分組，根據(jù)配置對(duì)其進(jìn)行抽樣，并對(duì)具有相同“流關(guān)鍵字”的分組聚合形成為流信息，然后通過定義的格式把流信息發(fā)送到后臺(tái)的流量接收服務(wù)器，再由后臺(tái)服務(wù)器對(duì)流信息進(jìn)行存儲(chǔ)、分析等工作，從而實(shí)現(xiàn)完整的流量測(cè)量．而sFlow流量采集技術(shù)是將sFlowAgent嵌入在交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備中，它負(fù)責(zé)對(duì)流量進(jìn)行監(jiān)視，并將采集的信息發(fā)送給后臺(tái)的接收服務(wù)器．sFlowAgent通過對(duì)數(shù)據(jù)進(jìn)行抽樣而減少向后臺(tái)服務(wù)器發(fā)送數(shù)據(jù)量．基于網(wǎng)絡(luò)設(shè)備支持的流量采集技術(shù)一般被用于計(jì)費(fèi)和流量分析等領(lǐng)域．隨著網(wǎng)絡(luò)速度的提高，流量采集功能的使用會(huì)對(duì)路由器、交換機(jī)本身的轉(zhuǎn)發(fā)性能產(chǎn)生一定程度的影響，另一方面這種粗粒度的信息對(duì)于某些需要詳細(xì)分組信息的應(yīng)用也存在著不足．基于網(wǎng)卡采集在正常應(yīng)用中，網(wǎng)卡從網(wǎng)絡(luò)接口接收數(shù)據(jù)分組，然后將它傳遞到上層應(yīng)用．基于網(wǎng)卡的流量采集方法有正常應(yīng)用模式和混雜模式兩種．在正常應(yīng)用模式下，網(wǎng)卡只接收發(fā)送給自己的數(shù)據(jù)分組．而在混雜模式下，網(wǎng)卡可以接收所有到達(dá)的數(shù)據(jù)分組，硬件不對(duì)分組進(jìn)行過濾，所有分組都會(huì)進(jìn)入系統(tǒng)的內(nèi)核．因此，當(dāng)一個(gè)網(wǎng)卡專門用于流量數(shù)據(jù)采集時(shí)，一般應(yīng)設(shè)置為混雜模式．專用設(shè)備進(jìn)行采集雖然通過一系列技術(shù)改進(jìn)措施，普通網(wǎng)卡結(jié)合計(jì)算機(jī)的網(wǎng)絡(luò)流量采集技術(shù)可以對(duì)普通鏈路進(jìn)行流量數(shù)據(jù)采集．但對(duì)于高帶寬的鏈路，應(yīng)該采用專用的硬件設(shè)備進(jìn)行流量數(shù)據(jù)采集．一些公司推出了專用的流量采集設(shè)備，如Endace公司的DAG卡［4］，NetScout公司的nGeniusProbes、nGeniusInfiniS-tream產(chǎn)品［5］，以及一些基于網(wǎng)絡(luò)處理器的流量采集方案等．這些專用設(shè)備使用高性能專用硬件實(shí)現(xiàn)數(shù)據(jù)采集工作，性能上較前兩種采集方法有了很大的提高．并行采集隨著網(wǎng)絡(luò)速度的高速發(fā)展，單個(gè)設(shè)備的采集能力已經(jīng)很難適應(yīng)流量數(shù)據(jù)的采集．因此，利用多個(gè)采集設(shè)備并行完成流量采集任務(wù)成為一個(gè)較好的選擇．但為了保證各個(gè)采集設(shè)備的負(fù)載均衡，必須對(duì)分流設(shè)備的分流策略進(jìn)行仔細(xì)設(shè)計(jì)．如果分組被分到多個(gè)流量采集設(shè)備，那么將會(huì)給后續(xù)的匯總處理程序帶來一定的困難．為了使多個(gè)采集系統(tǒng)在數(shù)據(jù)采集上一致，并保證數(shù)據(jù)集的完整性，多個(gè)采集系統(tǒng)之間必須解決時(shí)間同步等問題．

網(wǎng)絡(luò)流量測(cè)量模型

在現(xiàn)實(shí)中許多比較難以解決的問題，一般解決方法是先建立問題模型，模擬一定的場(chǎng)景和條件，然后在這些場(chǎng)景和條件下對(duì)問題進(jìn)行模擬解決．由于互聯(lián)網(wǎng)絡(luò)的異構(gòu)型和網(wǎng)絡(luò)高突發(fā)性業(yè)務(wù)量使得網(wǎng)絡(luò)呈現(xiàn)復(fù)雜的非線性，為了有效的對(duì)網(wǎng)絡(luò)流量進(jìn)行測(cè)量，就需要建立一定的網(wǎng)絡(luò)流量測(cè)量模型，而且這種模型的建立也是非常有必要的．首先建立仿真模型對(duì)真實(shí)網(wǎng)絡(luò)流量進(jìn)行描述，這種模型還能夠?qū)W(wǎng)絡(luò)流量將來的行為趨勢(shì)有效地進(jìn)行預(yù)測(cè)．傳統(tǒng)的網(wǎng)絡(luò)流量模型多以泊松過程為基礎(chǔ)，其中有泊松模型、馬爾科夫模型、自回歸模型、自回歸移動(dòng)平均模型和自回歸合成移動(dòng)平均模型等，這些模型同屬于短期相關(guān)性模型，即若測(cè)量時(shí)間的間隔足夠大的時(shí)候，當(dāng)前時(shí)刻所采集到的業(yè)務(wù)流量與過去時(shí)間所采集到的業(yè)務(wù)流量不具有相關(guān)性．從時(shí)間的角度來看，這些模型所采集的數(shù)據(jù)流量具有短相關(guān)性，隨著測(cè)量時(shí)間間隔的變大，網(wǎng)絡(luò)流量會(huì)趨于一個(gè)恒定的常量，也就是說，網(wǎng)絡(luò)流量突發(fā)性得到了一定的緩和，因此，傳統(tǒng)網(wǎng)絡(luò)流量測(cè)量模型并不能描述網(wǎng)絡(luò)性能的長(zhǎng)相關(guān)性．對(duì)網(wǎng)絡(luò)流量自相似性進(jìn)行深入研究后發(fā)現(xiàn)，自相似網(wǎng)絡(luò)中業(yè)務(wù)流量在較大的時(shí)間間隔具有突發(fā)性，并且這種業(yè)務(wù)流量的長(zhǎng)相關(guān)性比較明顯．因此，傳統(tǒng)流量模型一般不適合用來進(jìn)行自相似流量的模型建立．所以，目前對(duì)網(wǎng)絡(luò)流量的描述逐漸采用自相似模型，這種模型能夠表征長(zhǎng)相關(guān)性與突發(fā)性．自相似性網(wǎng)絡(luò)流量模型以自相似過程為基礎(chǔ)而建立，模型在精度和靈活性方面與統(tǒng)計(jì)特性下建立的模型比較并沒有什么優(yōu)勢(shì)，甚至沒有統(tǒng)計(jì)特性下建立的模型好，但其具有明確的物理意義，有助于理解網(wǎng)絡(luò)流量產(chǎn)生自相似的原理．在自相似性網(wǎng)絡(luò)流量模型中流疊加算法使用較多．ON/OFF流疊加模型定義疊加大量的ON/OFF源，每個(gè)源都有兩個(gè)周期交替的ON和OFF狀態(tài)．在ON狀態(tài)時(shí)，數(shù)據(jù)源通過連續(xù)的速率發(fā)送數(shù)據(jù)包;在OFF狀態(tài)時(shí)，數(shù)據(jù)源不發(fā)送任何數(shù)據(jù)包．在這一過程中，所有發(fā)送源都出于ON或OFF狀態(tài)的時(shí)長(zhǎng)獨(dú)立地附和重尾分布．對(duì)于網(wǎng)絡(luò)流量統(tǒng)計(jì)模型是以其統(tǒng)計(jì)特性下表現(xiàn)出的性質(zhì)為基礎(chǔ)而建立模型，這一類模型相比其它模型雖然在靈活性和精確方面占有一定優(yōu)勢(shì)，但其并沒有具體明確的物理意義．分形布朗運(yùn)動(dòng)、分形ARIMA過程、多重分形小波模型和小波域獨(dú)立高斯模型都屬于這一類模型．雖然自相似性測(cè)量模型以網(wǎng)絡(luò)特征為基礎(chǔ)而建立的模型，它可以對(duì)業(yè)務(wù)流量的自相似特性和流量突發(fā)性與長(zhǎng)相關(guān)性進(jìn)行描述，可以全面認(rèn)識(shí)網(wǎng)絡(luò)業(yè)務(wù)流各個(gè)方面的內(nèi)在規(guī)律，在一定條件下能夠取得較好的預(yù)測(cè)效果．但實(shí)際的網(wǎng)絡(luò)業(yè)務(wù)流中，既有短相關(guān)特性，又有長(zhǎng)相關(guān)特性，這種短相關(guān)特性與長(zhǎng)相關(guān)特性并存的多種特性給網(wǎng)絡(luò)業(yè)務(wù)流量精確預(yù)測(cè)帶來很大的挑戰(zhàn)．因此，自相似網(wǎng)絡(luò)流量模型對(duì)網(wǎng)絡(luò)流量的所有特性也不能完全描述．

篇7

【關(guān)鍵詞】云計(jì)算技術(shù)；大數(shù)據(jù)；網(wǎng)絡(luò)異常流量檢測(cè)

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于生活中，許多公共場(chǎng)所布設(shè)移動(dòng)WiFi接入點(diǎn)，為人們獲取信息提供便捷條件。人們應(yīng)用網(wǎng)絡(luò)服務(wù)時(shí)將個(gè)人信息、銀行賬戶等敏感數(shù)據(jù)存儲(chǔ)到網(wǎng)絡(luò)中，重要數(shù)據(jù)傳遞帶來安全隱患造成網(wǎng)絡(luò)安全問題突出。本文利用云計(jì)算技術(shù)對(duì)大數(shù)據(jù)下網(wǎng)絡(luò)異常流量進(jìn)行檢測(cè)，并測(cè)試檢測(cè)效果。

1大數(shù)據(jù)下網(wǎng)絡(luò)異常流量檢測(cè)方法研究

光纖網(wǎng)絡(luò)利用光在玻璃纖維實(shí)現(xiàn)光波通信，大數(shù)據(jù)集成調(diào)度，然后通過交換機(jī)分配IP。光纖通信傳輸距離遠(yuǎn)，云計(jì)算環(huán)境通過波分復(fù)用技術(shù)使光強(qiáng)度變化，通信中受到干擾導(dǎo)致通信信道配置失衡，需要對(duì)云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載優(yōu)化檢測(cè)，提高網(wǎng)絡(luò)通信的輸出保真性[1]。云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測(cè)模型研究需要提取大數(shù)據(jù)負(fù)載異常特征，實(shí)現(xiàn)異常負(fù)載檢測(cè)。

2網(wǎng)絡(luò)異常數(shù)據(jù)檢測(cè)大數(shù)據(jù)分析平臺(tái)

網(wǎng)絡(luò)異常流量分為DDoS、NetworkScan等類型，異常流量類型可從目的IP地址、源IP地址、字節(jié)數(shù)等特征區(qū)分[2]。DDos異常流量可通過特征二四五七檢測(cè)；NetworkScan異常流量可采用多個(gè)網(wǎng)絡(luò)地址對(duì)主機(jī)端口掃描動(dòng)作；FlashCrowd異常流量由異常用戶對(duì)訪問資源申請(qǐng)動(dòng)作。本文以影響網(wǎng)絡(luò)安全異常流量檢測(cè)為研究?jī)?nèi)容，運(yùn)用現(xiàn)有數(shù)據(jù)樣本對(duì)建立檢測(cè)模型訓(xùn)練，對(duì)訓(xùn)練后識(shí)別分析模型檢驗(yàn)[3]。研究異常流量類型包括U2R攻擊類型、Probing攻擊類型等，需要對(duì)數(shù)據(jù)特征提取分析，對(duì)入侵事件進(jìn)行分類[4]。應(yīng)用多種入侵事件特征數(shù)據(jù)，包括離散不間斷協(xié)議、離散常規(guī)行為、離散接點(diǎn)狀態(tài)、不間斷數(shù)據(jù)源到目標(biāo)數(shù)據(jù)比特?cái)?shù)、持續(xù)創(chuàng)建新文件個(gè)數(shù)等。為避免兩種衡量標(biāo)準(zhǔn)相互干擾，需對(duì)離散數(shù)據(jù)采用連續(xù)化操作。云計(jì)算平臺(tái)迅速占領(lǐng)市場(chǎng)，目前應(yīng)用廣泛的是Apache開源分布式平臺(tái)Hadoop，Hadoop云計(jì)算平臺(tái)由文件系統(tǒng)、分布式并行計(jì)算等部分組成[5]。MapReduce將傳統(tǒng)數(shù)據(jù)處理任務(wù)分為多個(gè)任務(wù)，提高計(jì)算效率（見圖1）。MapReduce編程核心內(nèi)容是對(duì)Map函數(shù)進(jìn)行特定動(dòng)作定義，Map核心任務(wù)是對(duì)數(shù)據(jù)值讀取，InputFormat類將輸入樣本轉(zhuǎn)換為key/value對(duì)。發(fā)現(xiàn)tasktracker模塊處于空閑狀態(tài)，平臺(tái)把相應(yīng)數(shù)據(jù)Split分配到Map動(dòng)作中，采用createRecordReader法讀取數(shù)據(jù)信息，tasktracker處于工作狀態(tài)程序進(jìn)入等待。

3大數(shù)據(jù)分析模型

隨著待處理數(shù)據(jù)規(guī)模劇增，單臺(tái)計(jì)算機(jī)處理數(shù)據(jù)速度過于緩慢，云計(jì)算系統(tǒng)以Hadoop為平臺(tái)基礎(chǔ)，提高計(jì)算效率。基于Hadoop平臺(tái)對(duì)網(wǎng)絡(luò)異常流量操作，向平臺(tái)提交網(wǎng)絡(luò)流量檢測(cè)請(qǐng)求，工程JAR包運(yùn)行，通過JobClient指令把作業(yè)發(fā)送到JobTracker中，從HDFS中獲取作業(yè)分類情況。JobTracker模塊執(zhí)行任務(wù)初始化操作，運(yùn)用作業(yè)調(diào)度器可實(shí)現(xiàn)對(duì)任務(wù)調(diào)度動(dòng)作。任務(wù)分配后進(jìn)入Map階段，所需數(shù)據(jù)在本地磁盤中進(jìn)行存儲(chǔ)，依靠計(jì)算機(jī)Java虛擬機(jī)執(zhí)行實(shí)現(xiàn)JAR文件加載，TaskTracker對(duì)作業(yè)任務(wù)處理，需要對(duì)文件庫(kù)網(wǎng)絡(luò)流量特征測(cè)試，Map動(dòng)作結(jié)果在本地計(jì)算機(jī)磁盤中存儲(chǔ)。系統(tǒng)獲得Map動(dòng)作階段計(jì)算結(jié)果后對(duì)網(wǎng)絡(luò)流量分類，中間結(jié)果鍵值相同會(huì)與對(duì)應(yīng)網(wǎng)絡(luò)流量特征向量整合，ReduceTask模塊對(duì)MapTask輸出結(jié)果排序。Reduce動(dòng)作完成后，操作者通過JobTracker模塊獲取任務(wù)運(yùn)行結(jié)果參數(shù)，刪除Map動(dòng)作產(chǎn)生相應(yīng)中間數(shù)據(jù)。BP神經(jīng)網(wǎng)絡(luò)用于建立網(wǎng)絡(luò)流量檢測(cè)模型，MapReduce平臺(tái)具有高效計(jì)算優(yōu)勢(shì)，最優(yōu)參數(shù)結(jié)果獲得需多次反復(fù)計(jì)算優(yōu)化，MapReduce平臺(tái)單詞不能實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)計(jì)算任務(wù)，采用BP神經(jīng)網(wǎng)絡(luò)算法建立網(wǎng)絡(luò)流量檢測(cè)模型會(huì)加長(zhǎng)計(jì)算時(shí)間。本文采用支持向量機(jī)算法建立網(wǎng)絡(luò)流量檢測(cè)模型。支持向量機(jī)以統(tǒng)計(jì)學(xué)理論為基礎(chǔ)，達(dá)到經(jīng)驗(yàn)風(fēng)險(xiǎn)最小目的，算法可實(shí)現(xiàn)從少數(shù)樣本中獲得最優(yōu)統(tǒng)計(jì)規(guī)律。設(shè)定使用向量機(jī)泛化能力訓(xùn)練樣本為（xi,yi），i=1，2，…，I，最優(yōu)分類平面為wx+b=0，簡(jiǎn)化為s.t.yi（w?xi+b）-1≥0，求解問題最優(yōu)決策函數(shù)f(x)=sgn[∑i=1lyiai(x?xi)+b]，支持向量SVM把樣本x轉(zhuǎn)化到特定高維空間H，對(duì)應(yīng)最優(yōu)決策函數(shù)處理為f(x)=sgn[∑i=1lyiaiK(x?xi)+b]。云計(jì)算Hadoop平臺(tái)為建立網(wǎng)絡(luò)異常流量檢測(cè)模型提供便捷。MapReduce模型通過Reduce獲得整體支持向量AIISVs，通過Reduce操作對(duì)SVs收集，測(cè)試操作流量先運(yùn)用Map操作對(duì)測(cè)試數(shù)據(jù)子集計(jì)算，運(yùn)用Reduce操作對(duì)分量結(jié)果Rs統(tǒng)計(jì)。

4仿真實(shí)驗(yàn)分析

為測(cè)試實(shí)現(xiàn)云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載檢測(cè)應(yīng)用性能，采用MATLAB7進(jìn)行負(fù)載檢測(cè)算法設(shè)計(jì)進(jìn)行云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測(cè)，數(shù)據(jù)樣本長(zhǎng)度為1024，網(wǎng)絡(luò)傳輸信道均衡器階數(shù)為24，迭代步長(zhǎng)為0.01。采用時(shí)頻分析法提取異常負(fù)載統(tǒng)計(jì)特征量進(jìn)行大數(shù)據(jù)異常負(fù)載檢測(cè)，重疊干擾得到有效抑制。采用不同方法進(jìn)行負(fù)載異常檢測(cè)，隨著干擾信噪比增大，檢測(cè)的準(zhǔn)確性提高。所以設(shè)計(jì)的方法可以有效檢測(cè)大數(shù)據(jù)中異常負(fù)載，并且輸出誤碼率比傳統(tǒng)方法降低。單機(jī)網(wǎng)絡(luò)異常流量檢測(cè)平臺(tái)使用相同配置計(jì)算機(jī)，調(diào)取實(shí)測(cè)數(shù)據(jù)為檢驗(yàn)訓(xùn)練源數(shù)據(jù)，選取典型異常流量200條數(shù)據(jù)樣本用于測(cè)試訓(xùn)練。采用反饋率參量衡量方法好壞，表達(dá)式為precision=TP/FP+FN×100%，其中，F(xiàn)N為未識(shí)別動(dòng)作A特征樣本數(shù)量；TP為準(zhǔn)確識(shí)別動(dòng)作A特征樣本數(shù)量；FP為錯(cuò)誤識(shí)別動(dòng)作A特征樣本數(shù)量。提出檢測(cè)方法平均準(zhǔn)確率提高17.08%，具有較好檢測(cè)性能。對(duì)提出網(wǎng)絡(luò)異常流量檢測(cè)方法進(jìn)行檢測(cè)耗時(shí)對(duì)比，使用提出網(wǎng)絡(luò)異常流量檢測(cè)方法耗時(shí)為常規(guī)方法的8.81%，由于使用檢測(cè)方法建立在大數(shù)據(jù)云計(jì)算平臺(tái)，將檢測(cè)任務(wù)分配給多個(gè)子任務(wù)計(jì)算平臺(tái)。使用KDDCUP99集中的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)異常流量檢測(cè)分析，選取R2L攻擊，Probing攻擊異常流量數(shù)據(jù)用于檢測(cè)分析，采用準(zhǔn)確率參數(shù)衡量檢測(cè)方法宏觀評(píng)價(jià)網(wǎng)絡(luò)流量檢測(cè)識(shí)別方法：r=TP/FP+FN×100%。使用單機(jī)平臺(tái)下SVM算法建立網(wǎng)絡(luò)異常檢測(cè)模型對(duì)比分析，本文研究檢測(cè)模型平均識(shí)別率為68.5%，研究網(wǎng)絡(luò)異常流量檢測(cè)模型檢測(cè)準(zhǔn)確率提高28.3%。多次試驗(yàn)對(duì)比檢測(cè)耗時(shí)，使用本文提出網(wǎng)絡(luò)異常流量檢測(cè)耗時(shí)較短。

【參考文獻(xiàn)】

[1]林昕，呂峰，姜亞光，等.網(wǎng)絡(luò)異常流量智能感知模型構(gòu)建[J].工業(yè)技術(shù)創(chuàng)新，2021（3）：7-14.

[2]武海龍，武海艷.云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測(cè)模型[J].激光雜志，2019（6）：207-211.

[3]農(nóng)婷.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)流量異常檢測(cè)研究[J].科技風(fēng)，2019（17）：84.

[4]馬曉亮.基于Hadoop的網(wǎng)絡(luò)異常流量分布式檢測(cè)研究[D].重慶：西南大學(xué)，2019.

篇8

關(guān)鍵詞：公用機(jī)房；網(wǎng)絡(luò)帶寬；流量控制

中圖分類號(hào)：TP393.18

機(jī)房網(wǎng)絡(luò)應(yīng)用中，占用帶寬較大的常見應(yīng)用是網(wǎng)絡(luò)視頻和基于P2P的下載軟件，特別是隨著P2P技術(shù)的迅速發(fā)展，使得P2P技術(shù)的應(yīng)用越來越多，網(wǎng)絡(luò)視頻播放軟件、BT下載軟件和其他各類軟件的更新與升級(jí)等大部分軟件都通過P2P技術(shù)進(jìn)行，特別是網(wǎng)絡(luò)視頻播放軟件的發(fā)展，越來越趨向于傳統(tǒng)的BT下載軟件，采用P2P技術(shù)，在大流量下載網(wǎng)絡(luò)視頻的同時(shí)也進(jìn)行著大流量的上傳，使得校園網(wǎng)的出口通道中充斥著大量的P2P流量，機(jī)房的出口帶寬被這些P2P流量大量占用，網(wǎng)絡(luò)出現(xiàn)擁擠現(xiàn)象，嚴(yán)重時(shí)核心設(shè)備負(fù)擔(dān)過重?zé)o法處理過多的數(shù)據(jù)包，設(shè)備的轉(zhuǎn)發(fā)速度迅速下降，甚至出現(xiàn)設(shè)備死機(jī)而導(dǎo)致網(wǎng)絡(luò)中斷。

P2P技術(shù)的分布式特性使得P2P應(yīng)用的控制難以被監(jiān)管和控制，如何對(duì)P2P流量進(jìn)行有效的管理已經(jīng)成為網(wǎng)絡(luò)管理人員的重要任務(wù)，本文通過分析學(xué)校機(jī)房網(wǎng)絡(luò)流量的應(yīng)用分布，主要通過部署Panabit流量控制系統(tǒng)，針對(duì)占用網(wǎng)絡(luò)帶寬較大的基于P2P技術(shù)的網(wǎng)絡(luò)視頻和BT下載軟件進(jìn)行監(jiān)控和管理，通過限速或者阻斷基于P2P技術(shù)應(yīng)用的方法來實(shí)現(xiàn)降低P2P流量在教學(xué)時(shí)間中對(duì)網(wǎng)絡(luò)出口帶寬的占用，以達(dá)到控制非教學(xué)業(yè)務(wù)流量，合理利用網(wǎng)絡(luò)出口帶寬和保證機(jī)房網(wǎng)絡(luò)使用順暢的效果。

1機(jī)房網(wǎng)絡(luò)帶寬管理難點(diǎn)

1.1上網(wǎng)行為的多樣化：機(jī)房?jī)?nèi)計(jì)算機(jī)數(shù)量眾多，導(dǎo)致機(jī)房用戶上網(wǎng)行為的多樣化，BT/電驢下載、在線游戲、在線視頻和在線歌曲、IM聊天等，這些上網(wǎng)行為大部分都會(huì)對(duì)帶寬占用要求特別高，特別是BT/電驢下載、在線視頻和在線音頻。

1.2網(wǎng)絡(luò)應(yīng)用的多樣化：除了傳統(tǒng)的迅雷、電驢等BT下載軟件采用P2P技術(shù)之外，越來越多的網(wǎng)絡(luò)應(yīng)用軟件也采用了P2P技術(shù)。例如各大視頻網(wǎng)站開發(fā)的網(wǎng)絡(luò)播放器、各大音樂網(wǎng)站開發(fā)的播放器以及大部分傳統(tǒng)的應(yīng)用軟件（例如安全軟件、輸入法軟件等）的更新模塊都采用了P2P應(yīng)用。這些采用P2P技術(shù)的軟件運(yùn)行時(shí)不僅占用下行帶寬，還不斷地通過P2P特有的上傳機(jī)制占用上行帶寬，使得網(wǎng)絡(luò)的出口帶寬可以在很快的時(shí)間內(nèi)被迅速無限地占用。

1.3P2P流量應(yīng)用的多樣化：P2P應(yīng)用流量主要的特點(diǎn)表現(xiàn)為：搶占空閑帶寬、上下行流量對(duì)稱、一對(duì)多點(diǎn)鏈接、大部分端口可變、協(xié)議相對(duì)固定、流量特征不明顯。這些特征導(dǎo)致P2P在采集分析、識(shí)別和管理方面比較困難。

1.4P2P技術(shù)的多樣化：P2P特有的點(diǎn)對(duì)點(diǎn)傳輸機(jī)制使得P2P的監(jiān)控和管理越來越難，以傳統(tǒng)的迅雷、網(wǎng)際快車為首的BT軟件不斷地更新其P2P技術(shù)，甚至在現(xiàn)有P2P技術(shù)的基礎(chǔ)上自主開發(fā)新的私有P2P協(xié)議（例如迅雷自主開發(fā)的PS2P技術(shù)），這些自主的P2P有的還采用了加密技術(shù)，使得這軟件產(chǎn)生的應(yīng)用流量更加難以被監(jiān)控和管理。

2Panabit流量控制系統(tǒng)

Panabit是基于X86硬件構(gòu)架的協(xié)議識(shí)別和管理平臺(tái)，協(xié)議識(shí)別精確，流量控制精準(zhǔn)，具有強(qiáng)大的協(xié)議識(shí)別和控制功能，自主研發(fā)的國(guó)內(nèi)最專業(yè)的網(wǎng)絡(luò)應(yīng)用層流量監(jiān)控和管理引擎，實(shí)現(xiàn)基于應(yīng)用層的流量管理或帶寬分配。采用雙OS主備機(jī)制保障了在X86平臺(tái)上具有高性能和高穩(wěn)定性。Panabit有專業(yè)版、標(biāo)準(zhǔn)版和網(wǎng)吧版本，標(biāo)準(zhǔn)版為免費(fèi)提供版本（本文所部署的Panabit為標(biāo)準(zhǔn)版本）。

3部署Panaibit流控系統(tǒng)

Panabit可以安裝在普通的X86電腦上，安裝Panabit的電腦需要有三張網(wǎng)卡，Panabit的部署主要采用網(wǎng)橋模式，部署結(jié)構(gòu)如下圖所示：

4Panabit的管理和配置

Panabit的管理配置：安裝Panabit的計(jì)算機(jī)必須安裝有三張網(wǎng)卡，在三張網(wǎng)卡中選擇一個(gè)網(wǎng)卡接口作為管理借口，其余兩張網(wǎng)卡配置為網(wǎng)橋的內(nèi)網(wǎng)接口與外網(wǎng)接口，并為管理接口配置IP地址（例如本文將IP地址配置為192.168.2.24），可以通過瀏覽器或者通過HTTPS方式直接訪問該管理IP地址進(jìn)入Panabit的登錄管理界面。

Panabit的策略配置：

4.1定義限速對(duì)象。可在IP群組里添加要限速或者放行的IP地址或者IP地址段，也可在編輯策略時(shí)直接添加。

4.2創(chuàng)建策略組并自定義策略組的名稱。

4.3在策略組添加相應(yīng)的策略并編輯策略。在策略編輯頁(yè)面選擇相關(guān)的參數(shù)，例如下圖

其中執(zhí)行動(dòng)作主要分為：允許、阻斷、數(shù)據(jù)通道

4.4在策略調(diào)度中添加計(jì)劃調(diào)用策略組的時(shí)間段。

4.5在計(jì)劃的時(shí)間段，Panabit開始調(diào)用策略組并使之開始監(jiān)控或者管理網(wǎng)絡(luò)帶寬。

5Panabit流量控制系統(tǒng)的應(yīng)用

5.1調(diào)用策略組限速前―系統(tǒng)流量圖分析圖。通過Panabit流控的系統(tǒng)流量圖（圖5-1）可以看到，在沒有調(diào)用限速策略組的時(shí)候，機(jī)房從8：10開放開始，整個(gè)機(jī)房網(wǎng)絡(luò)流量的基本情況。

圖 5-1調(diào)用策略組前的系統(tǒng)流量圖

流量趨勢(shì)分析：機(jī)房網(wǎng)絡(luò)的下行流量迅猛飆升到60Mbps，并穩(wěn)定在60Mbps左右。

協(xié)議組流量分析：HTTP協(xié)議的下行流量最大，達(dá)到了49.37Mbps，在HTTP協(xié)議中包含HTTP分塊傳輸、偽IE下載、其他下載、Web音樂、網(wǎng)頁(yè)瀏覽、WEB視頻，其中WEB視頻所占的速率最大；P2P下載速度為8.21Mbps，網(wǎng)絡(luò)電視的下載速度為4.9Mbps。

10分鐘流量分布分析：HTTP協(xié)議下行流量分布中的比例為70.91%，所占的比例是最大的；P2P下載流量分布中的比例為10.98%，網(wǎng)絡(luò)電視所占比例為11.15%；

機(jī)房帶寬使用情況：機(jī)房網(wǎng)絡(luò)帶寬使用已接近出口帶寬上限，網(wǎng)絡(luò)出口出現(xiàn)嚴(yán)重?fù)頂D，機(jī)房?jī)?nèi)的電腦瀏覽網(wǎng)頁(yè)緩慢。

5.2調(diào)用策略組限速后―系統(tǒng)流量圖分析。通過建立相關(guān)的策略組，并在教學(xué)時(shí)間內(nèi)調(diào)用策略組，策略組開始生效并對(duì)定義的機(jī)房IP群組進(jìn)行帶寬使用監(jiān)控和限制，圖5-2為調(diào)用策略組進(jìn)行帶寬限制后的系統(tǒng)流量分析圖。

圖5-2調(diào)用策略組后的系統(tǒng)流量圖

（1）流量趨勢(shì)分析：網(wǎng)絡(luò)下行流量從限速前的66Mbps左右迅速降低到了20Mbps左右。

（2）協(xié)議組流量分析：HTTP協(xié)議的流量降到了16.3Mbps，P2P、網(wǎng)絡(luò)電視的流量排名已經(jīng)跌落到流量排名后面，并且流量速度為非常低，甚至P2P流量的速度已經(jīng)降到0

（3）10分鐘流量分布：HTTP協(xié)議的比例不變，但是HTTP協(xié)議的流量已經(jīng)大大地降低了，P2P、網(wǎng)絡(luò)電視的流量比例已經(jīng)明顯降低，甚至P2P流量的比例已經(jīng)處于忽略不計(jì)的程度。

機(jī)房帶寬使用情況：機(jī)房網(wǎng)絡(luò)帶寬使用已迅速回落，網(wǎng)絡(luò)出口的嚴(yán)重?fù)頂D得到了非常大的緩解，機(jī)房?jī)?nèi)的電腦瀏覽網(wǎng)頁(yè)迅速。

6結(jié)語

針對(duì)難以監(jiān)控和管理的P2P應(yīng)用，通過采用Panabit流量控制系統(tǒng)的精準(zhǔn)監(jiān)控和可視化管理，對(duì)機(jī)房網(wǎng)絡(luò)用戶的上網(wǎng)行為進(jìn)行引導(dǎo)、管理和規(guī)范，減少了機(jī)房網(wǎng)絡(luò)出口帶寬的壓力，使非教學(xué)和學(xué)習(xí)業(yè)務(wù)的網(wǎng)絡(luò)流量得到有效的限制，使得機(jī)房網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量的得到有效的監(jiān)控和管理，提高了機(jī)房網(wǎng)絡(luò)流量帶寬的有效利用，使得學(xué)校在網(wǎng)絡(luò)帶寬租用方面的支出得到有效的利用，節(jié)省了學(xué)校在網(wǎng)絡(luò)帶寬方面的無限制投入。同時(shí)，通過采用X86構(gòu)架的Panabit，節(jié)省了采用其他專業(yè)硬件的流量控制系統(tǒng)的購(gòu)買與軟件授權(quán)費(fèi)用，大大地節(jié)省了學(xué)校在流量控制設(shè)備方面的支出，采用流量控制系統(tǒng)只是學(xué)校對(duì)網(wǎng)絡(luò)行為進(jìn)行管理和規(guī)范的一個(gè)手段，主要的目的是通過流量控制系統(tǒng)規(guī)范機(jī)房網(wǎng)絡(luò)用戶的上網(wǎng)行為，從而引導(dǎo)合理地利用網(wǎng)絡(luò)帶寬，創(chuàng)建良好的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]劉文超,陳琳.P2P流量檢測(cè)技術(shù)與分析[J].現(xiàn)代電子技術(shù),2011,22.

[2]張巖.使用Panabit管理校園網(wǎng)[J].科技信息,2011,16.

[3]趙更強(qiáng).Panabit在校園網(wǎng)中的應(yīng)用[J].中國(guó)電子商務(wù),2011,2.

篇9

[關(guān)鍵詞]信息計(jì)量學(xué) 網(wǎng)絡(luò)計(jì)量學(xué)　文獻(xiàn)計(jì)量學(xué)

[分類號(hào)]G350

1　引言

“信息計(jì)量學(xué)(Informetrie)”這一學(xué)科名稱首次由德國(guó)學(xué)者O.Nacke在1979年提出，與之對(duì)應(yīng)的英文術(shù)語“Informetrics”則最早見于1980年美國(guó)科學(xué)基金會(huì)公布的年度研究項(xiàng)目的標(biāo)題中，并隨后得到了國(guó)際文獻(xiàn)聯(lián)合會(huì)的認(rèn)可。1984年，B.C.Brookes撰文提出要大力發(fā)展信息計(jì)量學(xué)，并就信息計(jì)量學(xué)的一些基本理論問題進(jìn)行了較詳細(xì)的論述。1987年，在第一屆“文獻(xiàn)計(jì)量學(xué)與信息檢索理論”國(guó)際研討會(huì)上，布魯克斯又提議將術(shù)語“Informetrics”補(bǔ)充到第二屆會(huì)議的名稱中去，得到了與會(huì)學(xué)者的普遍贊同，自此每?jī)赡昱e辦一屆的國(guó)際學(xué)術(shù)會(huì)議及其出版的會(huì)議論文集都在名稱中使用了“信息計(jì)量學(xué)”。1995年起，會(huì)議名稱被正式確定為“科學(xué)計(jì)量學(xué)與信息計(jì)量學(xué)國(guó)際會(huì)議”，由“國(guó)際科學(xué)計(jì)量學(xué)和信息計(jì)量學(xué)學(xué)會(huì)”(ISSI)負(fù)責(zé)主辦。1997年，T.C.Almind和P.Ingwersen首次提出用“Webometrics”一詞來描述將傳統(tǒng)文獻(xiàn)與信息計(jì)量學(xué)方法應(yīng)用于WWW信息計(jì)量研究，使信息計(jì)量學(xué)的研究活動(dòng)拓展到了網(wǎng)絡(luò)空間。2007年1月，由L.Egg―he擔(dān)任主編的《Journal of Informetrics》創(chuàng)刊，為新世紀(jì)更趨繁榮的學(xué)術(shù)研究提供了獨(dú)立和更加專業(yè)化的國(guó)際學(xué)術(shù)交流平臺(tái)。

從1979年學(xué)科名詞的提出，到1987年成為國(guó)際學(xué)術(shù)會(huì)議的主題、奠定自身的學(xué)科地位，再到1997年“Webometrics”的出現(xiàn)，信息計(jì)量學(xué)終于從早期對(duì)文獻(xiàn)計(jì)量學(xué)和科學(xué)計(jì)量學(xué)的依賴、繼承與交流中獲得了長(zhǎng)足的進(jìn)步，并在21世紀(jì)的網(wǎng)絡(luò)化環(huán)境中開辟出更為廣闊的學(xué)科發(fā)展空間。本文試圖對(duì)新世紀(jì)以來信息計(jì)量學(xué)的研究活動(dòng)進(jìn)行較為全面的概括和評(píng)述，但限于篇幅，重點(diǎn)討論的內(nèi)容主要包括信息計(jì)量學(xué)在理論、方法和應(yīng)用方面取得的重要研究進(jìn)展，以及當(dāng)前所面臨的問題與挑戰(zhàn)。

2　理論研究進(jìn)展

2.1網(wǎng)絡(luò)信息計(jì)量學(xué)研究的全面推進(jìn)

自1997年“Webometrics”被提出后，基于Web的網(wǎng)絡(luò)信息計(jì)量問題即廣受關(guān)注。根據(jù)作者對(duì)中國(guó)期刊網(wǎng)全文數(shù)據(jù)庫(kù)(2000―2008年)的文獻(xiàn)調(diào)查，在以“信息計(jì)量學(xué)”為標(biāo)題關(guān)鍵詞的檢索結(jié)果中，超過90％的中文文獻(xiàn)都是關(guān)于網(wǎng)絡(luò)信息計(jì)量的內(nèi)容。而在2007年4月對(duì)Web of Science數(shù)據(jù)庫(kù)進(jìn)行的國(guó)外文獻(xiàn)調(diào)研中發(fā)現(xiàn)，網(wǎng)絡(luò)信息計(jì)量主題的核心文獻(xiàn)數(shù)量呈現(xiàn)逐年激增趨勢(shì)，其中高品質(zhì)的學(xué)術(shù)文獻(xiàn)約占18.5％，被同行引用的次數(shù)普遍超過了30次?？梢哉f，網(wǎng)絡(luò)信息計(jì)量領(lǐng)域的確立及各項(xiàng)研究活動(dòng)的全面推進(jìn)，已成為新世紀(jì)以來信息計(jì)量學(xué)理論研究取得的一個(gè)最令人矚目的重要成就。

目前，大量的網(wǎng)絡(luò)信息計(jì)量研究活動(dòng)又以“網(wǎng)絡(luò)鏈接分析”為中心議題。由于網(wǎng)絡(luò)鏈接與傳統(tǒng)學(xué)術(shù)期刊文獻(xiàn)之間的引用關(guān)系具有某種天然的相似性，研究人員不僅將文獻(xiàn)計(jì)量學(xué)的引文分析思想廣泛移植、應(yīng)用到了網(wǎng)絡(luò)信息計(jì)量研究中，而且賦予了相應(yīng)的研究工作和成果以極其鮮明的引文分析“烙印”。這種“烙印”從以下網(wǎng)絡(luò)計(jì)量指標(biāo)的設(shè)計(jì)和使用上即可得到充分的印證，例如“Sitation”、“Web Impact Factor”、“Webcoupling”、“Co-citation”、“Co-link”、“Co-authorship”、“Self-linking”、“Self-linked”等。另外，在具體的研究成果方面，例如網(wǎng)絡(luò)鏈接分析與引文分析的異同、網(wǎng)絡(luò)鏈接的目的與類型、網(wǎng)絡(luò)影響因子的定義與應(yīng)用、核心網(wǎng)站測(cè)定等，也都表現(xiàn)出了與傳統(tǒng)引文分析的緊密映射關(guān)系。

除借用引文分析法外，近年來網(wǎng)絡(luò)鏈接分析開始采用另一種重要研究方法――來自社會(huì)學(xué)的社會(huì)網(wǎng)絡(luò)分析(SNA)，并在具體應(yīng)用中取得了一定進(jìn)展。

隨著研究活動(dòng)的深入，Web環(huán)境下更多更具挑戰(zhàn)性的信息計(jì)量問題正在不斷被提出，并賦予信息計(jì)量學(xué)新的研究使命。例如，(具商業(yè)價(jià)值的)網(wǎng)絡(luò)流量分析及其軟件工具的研制；各種網(wǎng)絡(luò)用戶行為(例如瀏覽、查詢、下載、標(biāo)注、訂閱等)的跟蹤、計(jì)量與分析；虛擬社區(qū)(包括成員角色、社區(qū)結(jié)構(gòu)、主題／話題及其態(tài)度／傾向性等)的發(fā)展、監(jiān)測(cè)和演變趨勢(shì)分析；網(wǎng)絡(luò)空間的知識(shí)結(jié)構(gòu)及相關(guān)站點(diǎn)群落的識(shí)別等。面對(duì)這些問題與挑戰(zhàn)，信息計(jì)量學(xué)的研究?jī)?nèi)容將更具交叉性和豐富性。

2.2“信息基本循環(huán)圖式”的構(gòu)建及對(duì)信息計(jì)量學(xué)理論基礎(chǔ)的探討

1967年，布魯克斯曾將情報(bào)學(xué)的研究任務(wù)抽象為如下的基本知識(shí)方程：K[S]+I=K[S+S]。2005年，國(guó)內(nèi)學(xué)者王宏鑫基于該知識(shí)方程，提出“信息基本循環(huán)圖式”的構(gòu)建：

圖式中各元素含義分別是：W表示人們認(rèn)識(shí)和改造的對(duì)象；K’[S]表示社會(huì)／他人的主觀／客觀的知識(shí)結(jié)構(gòu)；K[S]表示個(gè)人／團(tuán)體的知識(shí)結(jié)構(gòu)；I表示個(gè)人／團(tuán)體從社會(huì)實(shí)踐活動(dòng)中得到的信息；而K[S+S]則表示吸收I后形成的新的知識(shí)結(jié)構(gòu)；“+”表示作用與聯(lián)系。

這一“信息基本循環(huán)圖式”的提出，不僅具有較為完善的哲學(xué)基礎(chǔ)和情報(bào)學(xué)理論基礎(chǔ)，而且為研究人員對(duì)信息計(jì)量學(xué)邏輯起點(diǎn)的認(rèn)知與理解以及規(guī)范、定義、預(yù)測(cè)信息計(jì)量學(xué)的研究?jī)?nèi)容、研究方法、發(fā)展方向、學(xué)科增長(zhǎng)點(diǎn)等提供了較為有效的觀察視角。此外，該信息基本循環(huán)圖式對(duì)于形成信息計(jì)量學(xué)更加多元化的研究范式也很具啟發(fā)性。例如，可據(jù)此分別從傳播學(xué)、認(rèn)知科學(xué)、經(jīng)濟(jì)學(xué)、決策學(xué)等不同視角展開相應(yīng)的研究工作。

3　研究方法／工具的集成與創(chuàng)新

在長(zhǎng)期的發(fā)展過程中，信息計(jì)量學(xué)逐漸建立了三大核心研究方法：指標(biāo)計(jì)量法、引文分析法和數(shù)學(xué)模型法。其中，指標(biāo)計(jì)量法簡(jiǎn)單實(shí)用，通過統(tǒng)計(jì)某一項(xiàng)或多項(xiàng)指標(biāo)的數(shù)量(累積)值，經(jīng)數(shù)學(xué)處理后即可得出不同指標(biāo)值的關(guān)系或指標(biāo)值的頻率、時(shí)間等分布規(guī)律；引文分析法形成于20世紀(jì)50年代，它通過對(duì)科學(xué)文獻(xiàn)之間存在的引用與被引用現(xiàn)象的分析來揭示文獻(xiàn)集合的數(shù)量特征和內(nèi)在規(guī)律，是信息計(jì)量學(xué)獨(dú)有的高效研究方法；而數(shù)學(xué)模型法則是現(xiàn)代科學(xué)的核心方法，并成為研究各種復(fù)雜系統(tǒng)和社會(huì)問題的關(guān)鍵性方法。在信息計(jì)量學(xué)中，對(duì)“布－齊－洛分布”問題已基于數(shù)學(xué)模型法取得了一系列重要研究成果，包括：西蒙的斜分布函數(shù)組(1955年)；普賴斯的累積優(yōu)勢(shì)分布(1976年)；布魯克斯的混合泊松模型(1977年)；西切爾的通用逆高斯-泊松分布模型(1982年)；巴瑞爾的貝塔－負(fù)二項(xiàng)分布(1988年)；布克斯坦的經(jīng)驗(yàn)負(fù)冪分布(1990年)

等。它們對(duì)于完善信息計(jì)量學(xué)的理論基礎(chǔ)，有效解釋、預(yù)測(cè)文獻(xiàn)流、信息流的變化及相關(guān)現(xiàn)象均具有重要的理論意義。

進(jìn)入新世紀(jì)以來，信息計(jì)量學(xué)在研究方法和研究工具方面不斷取得新的進(jìn)展，以下主要從4個(gè)方面進(jìn)行說明。

3.1對(duì)傳統(tǒng)研究方法的綜合與集成

不可否認(rèn)，每一種研究方法都有自身的優(yōu)缺點(diǎn)。以引文分析法為例，由于文獻(xiàn)引用具有一定的滯后性，通過文獻(xiàn)之間的共引關(guān)系來研究、分析學(xué)科發(fā)展的前沿與熱點(diǎn)問題時(shí)，結(jié)果很可能會(huì)有所遺漏；而隨著作者合著現(xiàn)象的日益普及，只針對(duì)第一作者進(jìn)行作者共引分析，研究結(jié)論的失真程度也將會(huì)日益嚴(yán)重。因此，在近期所進(jìn)行的文獻(xiàn)引文分析研究中，研究人員已越來越多地考慮將多種不同的引文分析方法加以綜合利用，例如把共引分析和文獻(xiàn)耦合分析、共詞聚類、詞頻統(tǒng)計(jì)等方法結(jié)合起來；或者同時(shí)運(yùn)用第一作者共引分析和全作者共引分析等。

由于不同方法之間的較強(qiáng)互補(bǔ)性以及不同方法形成結(jié)果的可比較性，多種方法的綜合運(yùn)用和集成可以得到更準(zhǔn)確可靠的研究結(jié)果。調(diào)查發(fā)現(xiàn)，國(guó)內(nèi)外近年來進(jìn)行的引文分析研究中，基于不同引文分析指標(biāo)、集成多種不同引文分析方法的文獻(xiàn)占據(jù)了大多數(shù)，引文分析已進(jìn)入了一個(gè)具有更大規(guī)模和復(fù)雜性的研究階段。

3.2社會(huì)網(wǎng)絡(luò)分析方法的引進(jìn)

社會(huì)網(wǎng)絡(luò)分析(SNA)是20世紀(jì)70年代以來在社會(huì)學(xué)、心理學(xué)、人類學(xué)、數(shù)學(xué)、通信科學(xué)等領(lǐng)域逐步發(fā)展起來的一個(gè)新的研究分支。作為一種新的方法論和研究范式，SNA主要使用社群圖、矩陣等形式化表達(dá)工具和所定義的中心性、權(quán)力指數(shù)、聚類簇／派系、網(wǎng)絡(luò)結(jié)構(gòu)、社會(huì)角色等基本概念(或指標(biāo))，從整體網(wǎng)絡(luò)分析、自我中心網(wǎng)絡(luò)分析等不同方向開展研究工作。

目前，信息計(jì)量學(xué)研究對(duì)SNA方法的引進(jìn)和應(yīng)用，主要表現(xiàn)在對(duì)Web環(huán)境下較大范圍內(nèi)的網(wǎng)站超鏈接的分析與計(jì)算上，并與基于傳統(tǒng)引文分析法建立起來的網(wǎng)絡(luò)鏈接分析研究模式形成一種對(duì)照和互補(bǔ)。概括起來，基于SNA方法開展的主要研究活動(dòng)有：基于網(wǎng)站之問的超鏈接分析，識(shí)別社會(huì)系統(tǒng)之間的各種聯(lián)系；基于政府組織、非政府組織和私人公司之間網(wǎng)站的超鏈接網(wǎng)絡(luò)分析，發(fā)現(xiàn)組織間聯(lián)合的意向；對(duì)某一特殊專題不同類型網(wǎng)站之間的超鏈接追溯，用以理解問題解決過程、辨別社會(huì)熱點(diǎn)問題等；基于網(wǎng)站主頁(yè)內(nèi)容、鏈接結(jié)構(gòu)和E-mail成員列表等，預(yù)測(cè)社會(huì)成員之間的聯(lián)系等。

SNA方法通常涉及大范圍內(nèi)社群網(wǎng)絡(luò)結(jié)構(gòu)的分析問題，指標(biāo)計(jì)算和數(shù)據(jù)處理比較復(fù)雜，不過相應(yīng)的軟件工具開發(fā)已取得了很多成果。以下是幾個(gè)較為重要的社會(huì)網(wǎng)絡(luò)分析軟件：Pajek、Ucinet、NEGOPY、Sociometryplus、Socio Metrica Suite。它們可在SPSS、SAS等統(tǒng)計(jì)分析軟件功能之外提供更多的專項(xiàng)分析功能。例如，Ucinet軟件能夠讀取多種不同形式的數(shù)據(jù)，可處理32767個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，同時(shí)還能計(jì)算各種SNA測(cè)度指標(biāo)值，并能進(jìn)行凝聚子群和核心一邊緣結(jié)構(gòu)分析等。

3.3可視化工具的廣泛應(yīng)用

在早期的信息計(jì)量學(xué)研究工作中，研究人員為了把經(jīng)過繁雜數(shù)據(jù)處理后得到的計(jì)量分析結(jié)果，進(jìn)行直觀和形象的展示比較重視各種可視化方法(或手段)的運(yùn)用。MDS散點(diǎn)圖、基于等級(jí)聚類的樹狀圖、雷達(dá)圖、切諾夫臉(Chernoff-face)等，都是一些比較常見的可視化展示方法。1997年，T.Braun等人就利用一個(gè)4維的切諾夫臉，把多維空間的科學(xué)計(jì)量指標(biāo)數(shù)據(jù)(活動(dòng)指數(shù)、吸引指數(shù)、平均期望引文率、相對(duì)引文率等)用一個(gè)由計(jì)算機(jī)繪制的卡通臉的面部特征表示出來，成功地完成了對(duì)1990―1994年間世界科學(xué)發(fā)展?fàn)顩r的分析和說明。

各種可視化方法(或工具)充分利用了人類對(duì)可視模式快速識(shí)別的自然能力，可將人類對(duì)信息閱讀、判別和理解等認(rèn)知負(fù)擔(dān)轉(zhuǎn)變?yōu)楹?jiǎn)單、直觀的視覺感知，對(duì)于科學(xué)研究工作的重要性日益凸顯。特別是近年來由于問題研究規(guī)模和復(fù)雜性的日益增長(zhǎng)，在對(duì)研究結(jié)論和成果進(jìn)行展示、說明時(shí)，普遍存在著對(duì)各種可視化工具的迫切需求。

當(dāng)前，各種功能豐富的可視化工具在信息計(jì)量學(xué)研究中已得到廣泛使用，并漸成趨勢(shì)。如Pathfinder、CiteSpace Ⅱ、HistCiteTM、VxInsight等以及Pajek和Uci―net的使用都是比較流行的。

3.4網(wǎng)絡(luò)引文分析工具的研制

根據(jù)國(guó)內(nèi)學(xué)者以Web of Science(WOS)和Google　Scholar作為引文分析工具進(jìn)行的實(shí)證研究和結(jié)果對(duì)照，未來的引文分析研究再單純依賴傳統(tǒng)的WOS等工具，將越來越難以獲得全面、真實(shí)的引文數(shù)據(jù)，并會(huì)導(dǎo)致引文分析結(jié)果產(chǎn)生日益嚴(yán)重的偏差。為此，各種新型的網(wǎng)絡(luò)化引文索引工具的編制逐漸被提上了議事日程，以適應(yīng)e-Science時(shí)代引文分析的研究需求。

1998年，第一個(gè)網(wǎng)絡(luò)引文索引CiteSeer開始研制，并于1999年正式投入使用。作為一個(gè)主要面向計(jì)算機(jī)和信息科學(xué)領(lǐng)域?qū)W術(shù)資源的網(wǎng)絡(luò)引文索引與檢索工具，CiteSeer主要基于自動(dòng)引文索引(ACI)技術(shù)編制而成。2004年，Google Scholar也在學(xué)術(shù)搜索服務(wù)中成功引入引文分析方法，并提供功能完善的引文鏈接服務(wù)。同年，全球最大規(guī)模的文摘和引文數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)Elservier’s Scopus正式推出，它涵蓋了由4000余家出版商出版發(fā)行的科技、醫(yī)學(xué)和社會(huì)科學(xué)方面的15100多種期刊資源，并基于文獻(xiàn)計(jì)量學(xué)原理開發(fā)、整合了豐富的學(xué)術(shù)計(jì)量評(píng)價(jià)功能，可廣泛服務(wù)于科研人員、圖書館員、編輯和審稿人、學(xué)術(shù)機(jī)構(gòu)管理者等。

伴隨著CiteSeer、Scopus等新型引文分析工具的出現(xiàn)，2004年以來，比較它們和傳統(tǒng)WOS工具之間異同的各類研究活動(dòng)十分踴躍，而目前多數(shù)的研究結(jié)論是：它們要完全取代WOS或者作為一種權(quán)威性的引文分析工具來使用，都面臨著一定的困難或障礙，例如：收錄范圍的不明確；覆蓋的學(xué)術(shù)資源領(lǐng)域受限；回溯年代較短；各學(xué)科開放獲取運(yùn)動(dòng)發(fā)展的不平衡；ACI技術(shù)與網(wǎng)絡(luò)搜索技術(shù)的缺陷等。

4　主要應(yīng)用實(shí)踐及進(jìn)展

信息計(jì)量學(xué)的傳統(tǒng)應(yīng)用領(lǐng)域主要涉及文獻(xiàn)管理、學(xué)科發(fā)展分析與評(píng)價(jià)、科研管理等，而近年來取得的應(yīng)用進(jìn)展則大量集中于網(wǎng)絡(luò)環(huán)境，以下選取幾個(gè)較有影響的網(wǎng)絡(luò)應(yīng)用予以說明。

4.1網(wǎng)絡(luò)流量分析

隨著網(wǎng)絡(luò)發(fā)展及其對(duì)社會(huì)生活的全面滲透，商業(yè)網(wǎng)站為擴(kuò)大自身影響力，吸引更多網(wǎng)絡(luò)廣告客戶和電子商務(wù)客戶，都非常注意對(duì)自身網(wǎng)站訪問流量進(jìn)行計(jì)量和宣傳。早期，網(wǎng)站通常采用自行統(tǒng)計(jì)、網(wǎng)絡(luò)流量分析報(bào)告的方式，但由于日志文件數(shù)據(jù)比較容易篡改，廣告客戶常常對(duì)網(wǎng)站提供的流量數(shù)據(jù)心存疑慮。另外，各網(wǎng)站在流量分析過程中所采用的標(biāo)準(zhǔn)、計(jì)量指

標(biāo)和工具等的不同，也使得各網(wǎng)站的流量統(tǒng)計(jì)結(jié)果之間缺乏可比性。為此，制定網(wǎng)絡(luò)流量分析的行業(yè)標(biāo)準(zhǔn)和報(bào)告規(guī)范，并由此提供第三方流量認(rèn)證服務(wù)，成為隨后網(wǎng)絡(luò)流量分析的發(fā)展主流。

目前，市場(chǎng)上專門提供對(duì)網(wǎng)站流量和日志數(shù)據(jù)計(jì)量分析的相關(guān)軟件以及流量認(rèn)證服務(wù)的提供商越來越多，如WebTrends Log Analyzer、FlashStats、AcessWatch、OneStatPro和BPA International、Nielsen//NetRatings等。商業(yè)化軟件和第三方流量認(rèn)證服務(wù)的推出有效促進(jìn)并形成了信息計(jì)量學(xué)的一個(gè)網(wǎng)絡(luò)化新興應(yīng)用領(lǐng)域。

4.2核心網(wǎng)站評(píng)測(cè)

對(duì)“核心”問題的研究始終得到信息計(jì)量學(xué)的高度關(guān)注，例如早期對(duì)學(xué)術(shù)期刊、文獻(xiàn)作者、詞頻等分布的集中與離散現(xiàn)象的研究以及由此建立起來的一系列經(jīng)典定律。進(jìn)入21世紀(jì)以來，對(duì)“核心”問題的研究仍在繼續(xù)，其中尤以核心網(wǎng)站評(píng)測(cè)最具代表性。

核心網(wǎng)站評(píng)測(cè)主要由核心期刊評(píng)選活動(dòng)引發(fā)而來。除了全面分析和比較核心期刊與核心網(wǎng)站評(píng)選方法的異同外，如何建立合理的核心網(wǎng)站評(píng)選程序進(jìn)而形成關(guān)于核心網(wǎng)站評(píng)選的理論與方法體系更為重要。2005年，國(guó)內(nèi)學(xué)者袁毅經(jīng)過系統(tǒng)、深入的研究，提出了“發(fā)現(xiàn)、過濾、評(píng)價(jià)、擴(kuò)展和更新”的核心網(wǎng)站評(píng)選基本流程，并對(duì)該流程進(jìn)行了實(shí)證研究和分析，初步驗(yàn)證了其合理性和有效性。

4.3 網(wǎng)絡(luò)標(biāo)簽分布的計(jì)量分析

網(wǎng)絡(luò)自由分類法出現(xiàn)于2004年，而大量使用則在2005年以后?；谧杂煞诸惙ㄔ硖峁￤eb2.0服務(wù)的眾多新興網(wǎng)站中用戶標(biāo)簽的使用及數(shù)量、頻率等分布狀況逐漸成為網(wǎng)絡(luò)信息計(jì)量研究的一個(gè)熱點(diǎn)領(lǐng)域。

目前，網(wǎng)絡(luò)標(biāo)簽計(jì)量分析研究主要以Del.icio.us、Flickr、Connotea、CiteUlike、Bibsonomy等網(wǎng)站作為實(shí)例，從中抽取一定時(shí)間范圍內(nèi)的標(biāo)簽樣本數(shù)據(jù)，利用統(tǒng)計(jì)描述、聚類、共詞分析等方法進(jìn)行計(jì)量分析，試圖揭示、說明自由分類法及其網(wǎng)絡(luò)協(xié)作標(biāo)注系統(tǒng)的運(yùn)行機(jī)制、用戶標(biāo)注行為規(guī)律及行為模式以及互聯(lián)網(wǎng)環(huán)境下新興的長(zhǎng)尾分布現(xiàn)象等。已實(shí)施的網(wǎng)絡(luò)標(biāo)簽計(jì)量分析研究主要有：①標(biāo)簽、用戶、資源三者之間的關(guān)聯(lián)分析；②各種標(biāo)簽的頻率和比例分布分析(包括高頻標(biāo)簽與低頻標(biāo)簽、規(guī)范詞與非規(guī)范詞、拼寫變化等)；③標(biāo)簽共現(xiàn)分析；④標(biāo)簽詞語集合的規(guī)模及增長(zhǎng)變化；⑤基于標(biāo)簽的用戶標(biāo)注行為和用戶相似性分析等。

5　面臨的問題與挑戰(zhàn)

5.1基本概念缺乏清晰定義，研究?jī)?nèi)容龐雜，學(xué)科邊界模糊

信息計(jì)量學(xué)的基本計(jì)量分析對(duì)象應(yīng)是“信息”，但由于“信息”概念的難以定義，時(shí)至今日，實(shí)際研究工作中大都是以各種各樣的信息“替身”為計(jì)量對(duì)象的。另外，信息(尤其是數(shù)字信息)所具備的一些特性，例如無窮性、載體依附性、易復(fù)制易傳播性、脆弱性等，也為計(jì)量分析帶來更多的困難。

“信息基本循環(huán)圖式”對(duì)信息計(jì)量學(xué)理論基礎(chǔ)的建立雖然有所貢獻(xiàn)，但也存在著明顯的缺陷，例如對(duì)信息計(jì)量與知識(shí)計(jì)量的關(guān)系、各組成要素之間具體的聯(lián)系與作用方式(即“+”)等都缺乏明確的定義和說明。此外，基于基本循環(huán)圖式而形成的眾多不同的研究范式，也會(huì)導(dǎo)致信息計(jì)量學(xué)研究?jī)?nèi)容的日益龐雜，并使學(xué)科邊界相對(duì)模糊。如果多元研究范式長(zhǎng)期并存不能形成主流(或核心)的研究體系，則有可能使學(xué)科研究主題進(jìn)一步出現(xiàn)被模糊或被淡化的危險(xiǎn)。

5.2研究方法有待繼續(xù)創(chuàng)新，專用研究工具比較缺乏

雖然目前信息計(jì)量學(xué)在研究方法、工具和指標(biāo)設(shè)計(jì)等方面已取得不少進(jìn)展，研究視野得到拓展，但對(duì)傳統(tǒng)方法的依賴依然較為嚴(yán)重，尤其是在新興的網(wǎng)絡(luò)鏈接分析方面，引文分析的“烙印”十分明顯，而針對(duì)網(wǎng)絡(luò)特性所進(jìn)行的創(chuàng)新和改進(jìn)遠(yuǎn)遠(yuǎn)不如繼承的成分更多。繼承之上如何超越正成為信息計(jì)量學(xué)急需解決的一個(gè)方法論難題。

研究工具方面，不論是網(wǎng)絡(luò)抽樣、原始數(shù)據(jù)下載還是網(wǎng)絡(luò)鏈接解析與統(tǒng)計(jì)，都還缺乏較為有效的專用工具，很多情況下只能依靠搜索引擎來獲取樣本數(shù)據(jù)，由此造成研究中存在種種偏差。

5.3應(yīng)用研究活躍，但影響力和應(yīng)用效果都比較局限

與信息計(jì)量學(xué)研究中存在的理論基礎(chǔ)薄弱、方法／工具創(chuàng)新不足形成鮮明對(duì)照的是當(dāng)前各種應(yīng)用研究活動(dòng)十分活躍。不過，大部分的應(yīng)用活動(dòng)不僅研究方法簡(jiǎn)單，而且應(yīng)用效果不確定，難以形成較強(qiáng)的示范效應(yīng)或者對(duì)理論基礎(chǔ)和研究方法的完善形成有益的促進(jìn)。而影響力較大的少數(shù)研究活動(dòng)則仍較多局限于教育、科研等學(xué)術(shù)性領(lǐng)域，這與網(wǎng)絡(luò)對(duì)當(dāng)今社會(huì)的全方位影響、滲透相比，研究思路還顯得過于狹窄。

篇10

關(guān)鍵詞：IP城域網(wǎng)絡(luò)流量預(yù)測(cè)方法

中圖分類號(hào): P332.4文獻(xiàn)標(biāo)識(shí)碼：A

做好網(wǎng)絡(luò)的可用性與關(guān)鍵業(yè)務(wù)的暢通運(yùn)行,對(duì)網(wǎng)絡(luò)正常健康的發(fā)展有著相關(guān)重大的作用。維持正常的網(wǎng)絡(luò)操作,就須要有相應(yīng)的技術(shù)手法,清晰的認(rèn)識(shí)網(wǎng)絡(luò)上各種應(yīng)用的帶寬占用情況,分析用戶流量行為,有效地保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運(yùn)行，以便合理的規(guī)劃和分配網(wǎng)絡(luò)帶寬。特別是在發(fā)生流量異常的同時(shí),快速有效的分離與抑制異常流量,對(duì)非法業(yè)務(wù)實(shí)行遏止,使網(wǎng)絡(luò)流量可以保持其健壯性。

1、城域網(wǎng)絡(luò)的特點(diǎn)

可靠性：城域網(wǎng)的信息系統(tǒng)能夠在規(guī)定條件下與規(guī)定的時(shí)間內(nèi)完成規(guī)定功效的特點(diǎn)?？煽啃允腔谙到y(tǒng)安全的最基于要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測(cè)度主要有三種：抗毀性、生存性和有效性。可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。

可用性:是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性?？捎眯允蔷W(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能?？捎眯赃€滿足身份識(shí)別與確認(rèn)、訪問控制，防止或限制經(jīng)隱蔽通道的非法訪問。

2、網(wǎng)絡(luò)流量的分類

2.1網(wǎng)絡(luò)節(jié)點(diǎn)端口流量：是網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備端口流入和流出的數(shù)據(jù)包的信息統(tǒng)計(jì)，包括數(shù)據(jù)包的個(gè)數(shù)、字節(jié)數(shù)、包大小分布、丟包數(shù)等非常多的統(tǒng)計(jì)信息。監(jiān)視節(jié)點(diǎn)端口流量的典型工具是MRTG（ Multi Router TrafficGrapher），另外現(xiàn)網(wǎng)許多網(wǎng)管也提供這些功能。MRTG的功能單一，它使用SNMP協(xié)議訪問網(wǎng)絡(luò)節(jié)點(diǎn)攻取MIB信息（包括網(wǎng)絡(luò)節(jié)端口流量），然后通過WEB方式輸出結(jié)果。

2.2端到端的IP流量：是在網(wǎng)絡(luò)層從一個(gè)源到一個(gè)目的IP包的統(tǒng)計(jì)信息。相對(duì)于網(wǎng)絡(luò)節(jié)點(diǎn)端口流量而言，端到端的IP流量包含了更為豐富的信息，通過對(duì)它的分析，可以了解到網(wǎng)絡(luò)中的用戶都訪問了哪些目的網(wǎng)絡(luò)，是網(wǎng)絡(luò)分析、規(guī)劃、設(shè)計(jì)和優(yōu)化的重要依據(jù)。目前采用端到端IP流量的典型工具包括SNIFFER、FLOW和流量探針等，根據(jù)其不同的特點(diǎn)，分別適用于不同范圍的流量采集。

2.3業(yè)務(wù)層流量：該流量除了包含端到端IP流量的信息外，還包含了第四層（TCP層）的端口信息。顯而易見，它包含了應(yīng)用服務(wù)的種類信息，利用這些信息可以做更詳細(xì)的分析。SNIFFER、FLOW和流量探針等工具也實(shí)現(xiàn)了這個(gè)層面的流量信息采集。

2.4完整的用戶業(yè)務(wù)數(shù)據(jù)流量：該流量對(duì)于安全、性能等方面的分析非常有效。例如捕捉黑客的來訪數(shù)據(jù)包可以制止某些犯罪行為或得到重要的證據(jù)。由于捕捉完成的用戶業(yè)務(wù)數(shù)據(jù)需要超強(qiáng)的捕獲能力和超高的硬盤存儲(chǔ)速度和容量，需提供長(zhǎng)時(shí)間的完整的用戶業(yè)務(wù)數(shù)據(jù)流量采集。

3、IP 城域網(wǎng)業(yè)務(wù)流量預(yù)測(cè)方法

運(yùn)營(yíng)商在完成用戶預(yù)測(cè)的基礎(chǔ)上，便可進(jìn)行網(wǎng)絡(luò)流量及帶寬的預(yù)測(cè)。

1）寬帶業(yè)務(wù)流量

寬帶業(yè)務(wù)流量= 寬帶用戶數(shù)× 用戶并發(fā)率× 用戶平均業(yè)務(wù)帶寬(Mbps)× 寬帶用戶帶寬占用率。其中，各項(xiàng)指標(biāo)如下：

a. 寬帶用戶數(shù)：（含DSLAM 用戶、LAN 折算用戶、xPON 用戶、WLAN 用戶）：為預(yù)計(jì)達(dá)到的用戶數(shù)。

b. 用戶并發(fā)率：應(yīng)為峰值的用戶并發(fā)率。

c. 寬帶用戶平均帶寬：應(yīng)根據(jù)本地預(yù)計(jì)的不同帶寬用戶發(fā)展比例進(jìn)行計(jì)算，公式為：用戶平均業(yè)務(wù)帶寬=2M×2M 接入用戶占比＋ 4M×4M 接入用戶占比＋8M×8M 接入用戶占比＋……。

d. 寬帶用戶帶寬占用率= 寬帶用戶實(shí)際平均流量/ 寬帶用戶平均帶寬。例如，按照某運(yùn)營(yíng)商市場(chǎng)部預(yù)測(cè)，4M接入用戶占比取定參考值為55%，8M 接入用戶占比取定參考值為40%，8M 以上接入用戶占比取定參考值為5%。由此計(jì)算出接入用戶平均帶寬為5.8M。

2）互聯(lián)網(wǎng)專線業(yè)務(wù)流量

互聯(lián)網(wǎng)專線業(yè)務(wù)流量= 專線用戶數(shù)× 平均用戶流量。

3）IPTV 業(yè)務(wù)流量

IPTV 業(yè)務(wù)流量，包括中心節(jié)點(diǎn)點(diǎn)播業(yè)務(wù)流量和中心節(jié)點(diǎn)直播業(yè)務(wù)流量。

a. 中心節(jié)點(diǎn)點(diǎn)播業(yè)務(wù)流量=IPTV 用戶數(shù)× 開機(jī)并發(fā)率× 點(diǎn)播并發(fā)率× 中心命中率×（標(biāo)清并發(fā)率× 標(biāo)清碼流+高清并發(fā)率× 高清碼流）× 帶寬冗余系數(shù)。

b. 中心節(jié)點(diǎn)直播業(yè)務(wù)流量=（標(biāo)清頻道數(shù)× 標(biāo)清碼流+ 高清頻道數(shù)× 高清碼流）× 帶寬冗余系數(shù)。其中，開機(jī)并發(fā)率參考值為50%，點(diǎn)播并發(fā)率參考值為50%，中心命中率參考值為20%，標(biāo)清并發(fā)率參考值為50%，標(biāo)清碼流參考值為2M，高清并發(fā)率參考值為50%，高清碼流參考值為8M，標(biāo)清頻道數(shù)參考值為100 個(gè)，高清頻道數(shù)參考值為20 個(gè)，帶寬冗余系數(shù)參考值為1.2。

4）VoIP 業(yè)務(wù)流量

VoIP 業(yè)務(wù)流量=VoIP 用戶數(shù)× 平均用戶流量。

5）IDC 業(yè)務(wù)流量

IDC 業(yè)務(wù)流量=IDC 出口寬帶×IDC業(yè)務(wù)流量系數(shù)。

6）3G 業(yè)務(wù)流量

3G 業(yè)務(wù)流量=3G 用戶數(shù)× 平均用戶流量。

7）業(yè)務(wù)控制層流量

BRAS 上行流量= 寬帶業(yè)務(wù)流量。SR 上行流量=IPTV 業(yè)務(wù)流量+ 專線業(yè)務(wù)流量。

4、IP城域網(wǎng)流量過濾技術(shù)

城域網(wǎng)流量的安全過濾主要可以分為兩種方式:旁路方式和串接方式。

5.1 旁路方式

旁路方式是將流量清洗設(shè)備旁掛在城域網(wǎng)核心層，同時(shí)將流量監(jiān)控設(shè)備旁掛在城域網(wǎng)匯聚層對(duì)匯聚層流量進(jìn)行監(jiān)控。當(dāng)流量無異常時(shí)，從核心層至匯聚層的流量不經(jīng)過流量清洗設(shè)備。當(dāng)流量監(jiān)控設(shè)備發(fā)現(xiàn)匯聚層流量出現(xiàn)異常時(shí)，由其通知流量清洗設(shè)備，并由流量清洗設(shè)備向網(wǎng)絡(luò)流量重定向的路由公告，將異常流量牽引至流量清洗設(shè)備，由其對(duì)異常流量進(jìn)行安全過濾后，再把正常流量轉(zhuǎn)發(fā)至匯聚層，實(shí)現(xiàn)流量過濾。而其他正常流量則不受影響，仍使用原路由。當(dāng)異常流量消失后，再公告恢復(fù)原路由，使流量恢復(fù)原正常路由。

路由方式的主要優(yōu)點(diǎn)是不會(huì)因?yàn)榘踩^濾設(shè)備故障而導(dǎo)致的網(wǎng)絡(luò)不通，對(duì)業(yè)務(wù)無任何影響，避免網(wǎng)絡(luò)故障點(diǎn)的增加。其只對(duì)異常流量進(jìn)行過濾清洗，無需對(duì)全部流量進(jìn)行處理，避免了由于安全過濾設(shè)備的性能原因影響網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力，從而有效避免了網(wǎng)絡(luò)延時(shí)增加、丟包、傳輸性能下降的問題。但由于需要通過流量監(jiān)控設(shè)備檢測(cè)，因此需要對(duì)核心層至匯聚層流量進(jìn)行分光，監(jiān)控設(shè)備需要與匯聚層每臺(tái)設(shè)備進(jìn)行互聯(lián)，占用資源。同時(shí)由于需要先檢測(cè)，發(fā)現(xiàn)流量異常后才對(duì)流量進(jìn)行牽引過濾，使其對(duì)攻擊的控制力度較弱,對(duì)攻擊的反映較慢，對(duì)于某些實(shí)時(shí)發(fā)生的網(wǎng)絡(luò)攻擊效果不明顯。

5.2 串接方式

串接方式是將流量清洗設(shè)備串接在城域網(wǎng)核心層與匯聚層之間，網(wǎng)絡(luò)全部流量都經(jīng)過流量清洗設(shè)備分析過濾，之后再轉(zhuǎn)發(fā)至匯聚層。然后再轉(zhuǎn)發(fā)至匯聚層。其網(wǎng)絡(luò)結(jié)構(gòu)。

串接方式的主要優(yōu)點(diǎn)是流量實(shí)時(shí)進(jìn)行分析過濾，能及時(shí)對(duì)網(wǎng)絡(luò)攻擊等異常流量進(jìn)行過濾，對(duì)攻擊的控制力度強(qiáng)。但由于其串接在網(wǎng)絡(luò)中，增加了網(wǎng)絡(luò)的故障點(diǎn)，對(duì)流量清洗設(shè)備的性能要求較高。如果網(wǎng)絡(luò)擴(kuò)容，則需要對(duì)流量清洗設(shè)備進(jìn)行相應(yīng)的擴(kuò)容，投資成本較高。