时间:2022-05-04 05:49:29
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络流量监测范例。如需获取更多原创内容,可随时联系我们的客服老师。
Network Traffic Monitoring in Network Management
Wang Lei
(Hunan Women’s University,Changsha410004,China)
Abstract:This article study from the network traffic characteristics,internet traffic measurement,etc,so as to optimize some suggestions for traffic monitoring technologies.
Keywords:Network management;Network traffic;Monitoring
一、网络流量的特征
(一)数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
(二)大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。
(三)包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
(四)网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
二、网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
(一)基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
(二)主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
(三)在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
(四)协议级分类
对于不同的协议,例如以太网(Ethernet),帧中继(Frame Relay),异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
三、网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
(一)基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
(二)基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
(三)基于SNMP的流量监测技术
关键词 网络管理;流量监测;方法;
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)69-0174-02
自人类进入21世纪以来,以计算机为基础的互联网技术在我们生活中各个领域得到了不同程度的应用。因此,对网络的管理工作为保证其稳定、良好的运行有着十分重要的意义。在网络管理中,对于用户的各种应用我们难以进行强制限制。由此也可能带来管理上的难题与安全隐患,比如由于病毒、木马或其它流量导致网络的拥塞。因而科学的网络规划时前提,但对网络上的各种流量进行长期的监测,也是保障网络正常稳定的运行重要举措。
1 进行网络流量监测的现实意义
所谓网络流量监测是指通过对网络数据的连续采集,从而对网络的流量情况进行了解与监视,它是网络管理中最基础的工作之一。对于网络监测所获取的网络流量数据进行统计与和计算,从而得到网络重要成分的性能指标。网络管理员就可以根据已存储网络的相关数据结合当前所获取的网络性能数据指标,通过分析了解网络性能变化趋势。了解网络运行情况,分析制约网络性能的瓶颈问题,从而为科学规划网络、优化网络设置,为解决网络故障采取及时有效的措施,提供了重要信息,有着重要的现实意义。
2 网络流量的特性分析
在经过对互联网通信流量的长期监测与测量,从现有的技术水平来说,我们把网络流量的主要特性归结为以下4个方面:
1)数据流双向和非对称性:即,从互联网上的应用来看,其实质就是数据的双向交换,因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的,上行和下载的流量并不相同,而是表现出非对称性的特点。
2)大部分TCP会话是短期的。在互联网通信中,从时间的角度来看,TCP会话时间只有数秒十分之短,这是由于会话中交换的数据量超过90%的比例都是小于10K字节的。从研究来看,一些不是短期的TCP对话(如文件传输),不过由于80%的WWW文档传输都小于10K字节,WWW的快速增长从而使得TCP会话时间也是十分短暂。
3)包的到达过程不是泊松过程。在过去较长的时间内,传统的排队理论以及通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而随着技术的进步,研究发现这种理论解释存在着不足,它难以精确地描述包的到达过程,人们开始从网络通信量模型展开研究,进而来丰富网络流量的理论原理。
4)网络流量体现出局域性。从现有技术应用特点来看,网络通信量表现出在时间和空间两个维度的局域性。这主要是从互联网流量中数据包的时间和目的地址上,从而表现显时间局域性和空间局域性的特性。
3 网络管理中网络流量监测的方法
在对互联网通信特性有了深入的了解以后,我们就可以采取相应的技术措施来对网络流量进行监测。从当前实践用用来看,习惯上我们把当对流量监测的方法归为主动测量和被动测量两大类,他们各自的优势与特点主要表现如下:
3.1主动测量
主动测量是基于端到端的测量,通过测量设备向被测网络注入一些以探测网络特征或网络流量负载等信息为目的的探测流,进而了解被测网络目前的运行状态和提供数据传输的能力。
从上述分析我们可以看到,在进行网络流量的主动测量,我们构建的网络测量系统应当由测量节点、中心服务器、中心数据库、分析服务器这四个部分构成。
从主动测量的实践应用来看,其优势体现在主动性、可控性、灵活性三个方面。即,在进行网络流量监测时是主动发送测量数据,同时这个操作过程可以灵活把握,因而可控制性也比较高。此外,主动测量也便于对端到端的性能能够开展直观的统计。
不过从测试过程我们也可以看出,由于是主动对网络进行注入流量,因此,我们所获取的结果与实际情况存在偏差是在所难免的,这就是主动测量的不足之处。
3.2被动监测
被动测量是一种分布式的网络监测技术的应用,其监测原理是对被测对象部署一定的监测点与网络设备,从而通过这些点与设备来获取网络流量的相关信息与数据。因此,这种监测它是在不改变原有网络流量的基础上进行的。通过诸多的被动监测的实践,也证明了这一点。
被动监测的优势不仅如此,并且相对前文分析中的主动测量来说,被动测量方式得到的网络数据与实际情况偏差更小一些。其缺点是被动测量是从单个设备或点实现相关信息的采集,这种实时采集往往信息数据量大,因此难以实现对网络端对端的性能分析,还为数据泄露等安全问题留下了隐患。但总体来说,被动测量的优点远大于其不足,因此被广泛用于测量和分析网络流量分布。
4 结论
以计算机为基础的现代信息技术成为了当前事(企)业单位的科研生产的重要平台,一方提高了工作效率,另一方面也加大了人们对网络的依赖和需求,因此加强网络流量监测工作十分重要。本文对网络管理中的流量监测问题进行了阐述,并根据其中存在的问题进行总结与归纳,以对其进行改善和提高。这需要我们广大从事信息技术的工作者与管理员提高业务水平,加强对相关技术的研发与探索,创新管理手段,以促进网络的良好稳定运行。
参考文献
本文就网络流量监测的作用和移动互联网的研究现状进行分析,探讨CDMA移动互联网的特征,以便更好的对网络流量进行监测。
【关键词】
网络流量;监测;移动互联网
0 引言
随着互联网规模的不断扩大,其应用领域越来越广泛,因此,急需要对网络流量进行实时、在线的监控和管理。对网络流量特征进行研究,有利于有效的管理、规划、发展网络。其中网络流量监测是网络测量技术之一,通过对网络流量进行监测和分析研究,能够较好的掌握网络流量的特征,了解网络的状况,并能够根据详细的流量信息,对故障进行定位和修复,能够获取网络所承载的业务的大小,及时了解用户应用强度、频度等行为模型。
1 网络流量监测的作用
其一,有利于网络规划。在移动网络中出现拥堵的现象时,传统的做法通常为网络扩容。如果借助网络流量监测技术,能够及时的掌握当前的移动网络的流量趋势,有效的解决网络中出现的问题,并运用科学合理的方式进行规划。
其二,提高网络资源的利用率。由于移动网络的流量比较复杂多变,目前还有大多数网络特征未被外界认知,通过网络流量监测技术,能够及时的了解当前网络流量的情况和移动网络业务的特征。
其三,便于移动网络安全维护。随着网络的普及,越来越多的恶意程序通过网络传播,严重影响到用户的隐私和财产安全。充分运用网络流量监测技术,能够对网络流量进行分析,制定出不同移动平台的移动网络安全策略。
2 移动互联网的现状
近年来,随着社交网络、微博、微信等新型网络应用的发展,使得互联网行业的发展充满生机和活力。移动通信技术和互联网技术的紧密结合形成了一种新的网络,即移动互联网。移动互联网指的是通过使用手机网络、平板电脑等移动终端,基于移动网络联网获取图像、语音、文字等用户需求的随时可接入的网络。根据通讯世界网讯全球技术研究和咨询公司的最新研究报告表明,我国手机用户在2013年突破10亿,预测在2014年,我国手机市场将销售4.436亿部手机,使用手机将超过10.76亿部。网民人数达到6.15亿,移动互联网用户数已达到8.38亿。我国的移动互联网用户人数将会呈现持续增长的趋势,同时,伴随着平板电脑、智能手机的发展,国内移动互联网络用户群将会逐渐扩大。另外,在移动互联网迅猛发展的同时,也会带来一定的风险和挑战。首先随着移动互联网内容不断的丰富,产生了各种宽带负荷较大的业务,例如基于P2P业务。传统的互联网监控方式不一定适用于移动互联网,缺乏有针对性的移动互联网监控平台。目前移动互联网的监控制度还不够完善,限制了网络服务质量的提高,对未来网络的发展具有严重的影响作用。其次,移动网络运营商虽然为各种内容提供商业支持,推广了各种业务,但多种业务的流量特征研究不够完善,运行质量没有进行深入的研究,大多互联网基础指标在移动互联网的场景下分布比较异常。
3 CDMA移动互联网特征研究
3.1网络流量原始流量采集
本文使用的网络数据是由本研究团队自行研发的检测设备TMS进行采集的。原始网络流量均采用我国某大城市的骨干网节点。在采集CDMA实验数据时,部署了4个采集探针在同一个城市的链路上,位于分组数据服务节点和城市核心节点之间并行的链路上。详情如图1所示。
另外,网络流量分类技术主要包括深度包检测和深度流检测技术。分类时,首先使用深度包检测技术,通常能够达到较高的分类效果。针对不同的网络应用,比较适合使用深度流检测技术。本文的算法中就引入了深度流检测的技术。
3.2网络流量建模
由于采集的网络宽带较大,运算和存贮资源比较有限,需要选取一个适合的时间段,采集数据子集后为后续分析充当样本。网络流量建模的原理指的是充分利用统计获取的网络流量特征,对其进行数学推导后得出的符合统计规律的模型来模拟实际网络流量趋势。网络流量建模通常采用ARIMA模型[3]。其指的是分差整合移动平均自回归模型,通常用于进行平稳序列和分差后平稳序列的建模分析。ARIMA模型分析的一般步骤为:(1)根据序列的自相关函数分布图和偏相关函数分布图,分析序列的平稳性。(2)对非平稳性序列进行平稳化处理;根据时间序列的识别规定,对ARIMA模型的相关参数进行识别,建立相应模型。建立分析后,需要对参数进行评估,并对参数进行检验,其中参数检验通常会采用AIC准则。AIC的计算公式为:
其中T为可使用的观测值,RSS指的是参差平方根和,n为待估参数个数。比较不同参数时,需要采用AIC值更小的模型。
3.3网络流量基本特征
其一,网络协议。在互联网中使用的TCP/IP协议族为传输层明确了两个主要的协议,分别为TCP协议和UDP协议。TCP协议需要在两个TCP之间建立一个虚连接,在运输层中使用流量控制和差错控制机制,即为面向连接的、可靠的传输协议。UDP协议为无连接、不可靠传输协议。本文对两种网络协议进行研究,如表1所示。
其二,网络流长(字节)分布。网络中的流量实际时由IP流来承担的,IP流的长度在一定程度上反映了网络负载的情况。图2为CDMA网络中的流长分布情况。
其三,网络流持续时间分布。IP流持续的时间为IP流第一个报文达到的时间和最后一个报文达到的时间差值。对IP流持续的时间分布进行研究,可以从宏观的角度反映出IP流在网络中分布的时间,根据其他网络特征,可以综合对网络流的各种行为特点进行研究。根据统计可知,CDMA网络中平均UDP流持续的时间为62.15秒,在TCP流中持续的时间为17.85秒。
4 总结
随着移动互联网络的飞速发展,多种移动互联网络的应用成为人们生活中不可或缺的一部分。由于移动互联网场景复杂,使得流量的多种特征还没被发现。网络流量监测技术和移动互联网特征的研究,能够对移动网络流量进行保存,可以有效的规划网络,充分利用网络资源,维护移动互联网的安全。
【参考文献】
[1]王华奎.移动通信原理与技术[M].清华大学出版社,2010.
关键词:网络 异常流量 检测
一、异常流量监测基础知识
异常流量有许多可能的来源,包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测方法可以归结为以下四类:统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种统计模型有:①操作模型。该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。②方差。计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明可能存在异常。③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。④马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化。若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。⑤时间序列模型。将测度按时间排序,如一新事件在该时间发生的概率较低,则该事件可能是异常事件。
二、系统介绍分析与设计
本系统运行在子网连接主干网的出口处,以旁路的方式接入边界的交换设备中。从交换设备中流过的数据包,经由软件捕获,处理,分析和判断,可以对以异常流量方式出现的攻击行为告警。本系统需要检测的基本的攻击行为如下:(1)ICMP攻击(2)TCP攻击,包括但不限于SYN Flood、RST Flood(3)IP NULL攻击(4)IP Fragmentation攻击(5)IP Private Address Space攻击(6)UDP Flood攻击(7)扫描攻击不同于以特征、规则和策略为基础的入侵检测系统(Intrusion Detection Systems),本研究着眼于建立正常情况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量与正常流量模型之间的偏差。当偏差达到一定程度引发流量分配的变化时,产生系统告警(ALERT),并由网络中的其他设备来完成对攻击行为的阻断。系统的核心技术包括网络正常流量模型的获取、及对所观察流量的汇聚和分析。由于当前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络交换设备,而在TCP/IP协议中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用(misuse)也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运行的最终目的,在本系统中,采用下列方式来建立多层次的网络流量模型:
(1)会话正常行为模型。根据IP报文的五元组(源地址、源端口、目的地址、目的端口和协议),TCP和UDP报文可以构成流(flow)或伪流(pseudo-flow)。两个五元组中源和目的相反的流可以构成一个会话。由于ICMP的特殊性,对于ICMP的报文,分别进行处理:ICMP(query)消息构成独立会话,而ICMP错误(error)消息则根据报文中包含的IP报头映射到由IP报头所制定的会话中去。每一类协议(TCP/UDP/ICMP)的正常行为由一个有限状态及刻画。在这个状态机中,如果一个事件的到来导致了错误状态的出现,那么和状态机关联的计数器对错误累加。协议状态机是一种相对严格的行为模型,累加的错误计数本身并不一定代表发现了攻击行为。
(2)流量规则特征模型。在正常的网络流量中,存在着稳定的规则特征。比如一个IP收到和发出的含SYN标志位和含FIN标志位的报文的比值、一个IP的出度和入度的比值以及一个IP的平均会话错误数等。这些网络不变量是检验在一定时间区间内,一个IP是否行为异常的标准之一。这个模型要求对会话表中的会话摘要(一个含有会话特征的向量)进行汇聚,在会话正常行为模型基础上增加攻击行为判断的准确程度。
(3)网络流量关联模型。把一些流量特征(如字节数、报文数、会话错误数等)在一定时间区间内的累加值记录下来,可以看作时间序列。通过对序列的分析,可以找到长期的均值、方差、周期、趋势等特征。当攻击行为发生时,观察到的一些流量特征会偏离其长期特征。这种特征偏离的相关性就提供了判断是否攻击已发生的一个依据。
三、大规模流量异常检测框架
异常检测通常需要描述正常网络行为,网络行为模型越准确,异常检测算法效果越好。在大规模流量异常检测中通常通过网络探针了解单个实体或结点的行为来推测整个网络行为,基于网络断层成像(network tomography)思想通过使用探针测量推断网络特征,这是检测非协作(noncooperative)网络异常和非直接管理控制网络异常的有效手段。对于单个管理域,基于实体研究可以向网络管理者提供有用信息,例如网络拓扑。在单个结点使用一些基本的网络设计和流量描述的方法,可以检测网络异常和性能瓶颈。然后触发网络管理系统的告警和恢复机制。为了对大规模网络的性能和行为有一个基本的了解,需要收集和处理大量网络信息。有时,全局网络性能信息不能直接获得,只有综合所获得的本地网络信息才能对全局网络行为有个大致的了解。因为不存在准确的正常网络操作的统计模型,使得难以描述异常网络模型的统计行为,也没有单个变量或参数能包括正常网络功能的各个方面。需要从多个统计特征完全不同的矩阵中合成信息的问题。为解决该问题,有人提出利用操作矩阵关联单个参数信息。但导致算法的计算复杂度较高,为了满足异常检测的实时性要求,本文关联本地和全局数据检测网络异常。尽管本章利用行为模型对IP Forwarding异常进行检测,但该方法并不仅限于检测本地异常。通过关联多条网络链路的时间序列数据,也可以检测类似于空间的网络异常。因此,该方法可以扩展到其他类型的大规模网络数据和其他大规模网络异常。
参考文献:
[1]司伟红.浅析网络攻击常用方法.科技广场,2006,7:36-38.
关键词:入侵检测;异常检测;时间序列分析
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)05-11229-02
1 引言
随着科技进步和网络技术的飞速发展,信息产业及其应用得到了巨大的发展,政府、金融、教育等企事业单位以及个人用户等对网络的依赖程度越来越高。同时也由此带来了信息安全隐患,如何保障网络与信息系统的安全已经成为高度重视的问题。作为一种主动安全防护技术,入侵检测系统能够检测和识别来自外部或者内部的异常活动或者入侵行为(例如,对计算机和网络资源的恶意使用或者破坏、内部用户的未授权访问等),己经成为传统计算机安全技术(如防火墙)的有益补充,是网络安全领域研究的一个新热点。
入侵检测系统(Intrusion Detection System, IDS)是防火墙的合理补充。本文使用时间序列分析,设计和实现一个面向网络流量异常的检测系统,实时地监测和分析网络中的异常流量,并采取相应措施(如与防火墙联动)来避免或抑止网络扫描、Dos/DDoS攻击、网络蠕虫病毒、恶意下载等网络攻击对局域网安全的威胁,保障网络的正常运行,最大限度地发挥网络的作用。
2 常见的网络流量异常
网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%,无法响应进一步的指令。造成网络异常流量的原因可能有:网络扫描、Ddos攻击、网络蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路损坏或者设备不能正常运转等。
这些安全攻击或威胁有一个共同点,即会引起网络流量的急剧变化,它对网络的影响主要体现在两个方面:
(1)占用带宽资源使网络拥塞,造成网络网络丢包或时延增大,严重时可导致网络不可用;
(2)占用网络设备系统资源(CPU、内存等),使网络不能正常的服务。
3 面向流量异常检测的数学建模
本文设计和实现面向流量异常的网络检测系统,是在基于网络行为学的研究结果。网络行为学认为网络的流量行为具有长期特征和短期特征。网络长期特征表现在网络行为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时监测,及早发现和识别入侵攻击的发生。
网络流量模型依据的数学理论基础的不同,大致可以分为4大类:马尔可夫类模型、自回归类模型、长程依赖类流量模型,漏桶类模型[1]。其中,自回归模型定义下一个业务流量变量作为前一个变量的一个明确的函数,即利用前一段时间变量的数据来预测该变量的下一个时间的值,在一个时间窗口中,由目前向过去延伸。多个研究结果表明,它可以有效地用于网络流量行为的实时预测和控制。因此,可以通过对统计的历史统计量数据进行分析,为网络流量建立合理的统计模型,并作为检测系统的异常检测引擎。
首先在局域网的总出口处连续的采集进出网络的流量数据,观测时间为4周(每周7个工作日),建立网络的正常行为模式。从采集到的数据序列,可以看出,网络的带宽利用率(或者总流量)和单播/非单播包比率具有明显的周期性特征,但它是一个不平稳的序列,可以采用时间序列分析的方法为它们建立统计模型[2]。
对带宽利用率和单播/非单播包比率这两个统计量的时间序列模型可以按如下步骤建立,并用于异常流量的检测。
(1)原始数据处理
首先,采集4周28个工作日的数据作为基础数据。数据采集系统在工作中有时会引入一些虚假数据,因此,在整个数据分析过程中,最好先进行异点的检测和剔除,以便确保这些值是体现正常网络行为。根据格拉布斯准则,如果x表示x1,x2,x3,x4的在一周内的某一时刻的平均值(4周数据的平均),v表示它们的标准差,即,如果xi满足|xi|>kv,则xi为异常值,应剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯准则系数,与置信区间为95%相对应的k=1.46。这样,得到了4周历史数据的10080个时刻的平均值。再采用方差分析的方法的方法对序列进行平稳化,这样就可以把网络流量的局部看成统计上近似的平稳。然后将这个局部作为一个滑动时间窗口,窗口的大小设为N。用这N个局部流量数据建立ARMA(n,n-1)模型,来判断第N+1个数据是否异常(在实时异常检测中,只需要将时间窗口不断往前依次滑动[3]。
(2)模型的确定和模型参数的估计
在建模策略上,系统建模法采用ARMA(n,n-1)模型逼近序列{xt},即
为使建模过程计算尽量简单,降低阶数,我们用直线拟合样本数据的趋势,然后提取趋势项。对提取趋势项后的数据进行建模研究。
文中建模时的初始猜测值采用逆函数方法确定。它的基本原理是:逆函数系数本身是ARMA模型无穷展开式的自回归参数,所以对于一个ARMA,可以用无穷阶AR模型去逼近。对于ARMA(2n,2n-1),需要拟和一个AR(2n-1)模型。这一步可以通过求解Yule-Walker方程方法容易地估出AR的系数Φi。把这些AR模型的系数Φi作为ARMA(n,n-1)模型的逆函数系数Ii。逆函数系数的公式如下
将式(2)代入式(1)可以得到算子恒等式,再利用相应的系数相等的方法,得到ARMA(n,n-1)的滑动平均系数Φi,最后利用已知的Φi和Ii求出作为AR模型系数Φi的初始估计值。这样可以得到ARMA(n,n-1)模型的初始参数Φi和θi。该方法的整个过程都仅涉及到线性方程组的求解,因而计算简便易于实现,是对高阶ARMA模型进行参数初估计的有效方法。这种参数初估计方法不但具有在计算机上容易实现的特点,而且与当前常用的参数初估计方法相比,在参数估计精度上有了较大的提高。
由于最终的ARMA模型方程对参数是非线性的,文章用非线性最小二乘法来逐步逼近的方式来实现残差平方和的极小化。这个方法从诸参数的初始值开始,利用下式递归计算残差并求得平方和
一旦在参数空间中达到平方和较小的那一点时,则以此点为初始值开始新一次的迭代,迭代一直持续到达到规定的允许误差为止。文中利用全局收敛的Levenberg-Marquardt修正的高斯-牛顿法算法来迭代计算残差。一旦达到误差要求,就可以得到模型的参数和阶数。这个方法还可利用局部线性的假设,借助线性最小二乘理论求得各估计参数的近似置信区间。
(3)模型适用性检验
文中所用的检验判据是F检验。 ,式中A0是不受限模型的平方和(较小),A1是受限模型的平方和(较大),F(s,N-r)是具有s和N-r个自由度的F-分布。其中残差平方和的公式为:RSS=∑a 。用F检验来验证在阶数增加的过程中残差的平方和是否显著,从而确定在那个显著性水平上,模型是否合适。同时F判据还可以作为拟合ARMA(2n,2n-1)系列时的停止判据。一旦决定停止在ARMA(2n,2n-1)模型上时,还可以进一步用F-判据判断是否自回归阶次为奇数。在决定了最终的模型后,也可以用F-判据去判断是否还有其他理想的模型形式是合适的。
在使用F-判据的同时,还必须使用残差的自相关检验x2来作为进一步的实用性检验。x2分布是表征相互独立的诸标准正态变量平方和的一个分布, 。使用残差的自相关检验来判断残差的相互独立性,从而确定残差是否是白噪声序列,进一步确定模型是否合理。
3 入侵检测系统的功能模块设计
根据系统的功能需求,可以将流量异常检测原型系统分成5个基本模块:流量采集模块、流量统计模块、流量异常检测模块,报警和响应模块以及人机交互界面。系统的体系结构如图1所示。
系统的工作原理是:在局域网的总出口(或被监控的核心主机附近的采集点)采集流量数据;对每个数据包进行分类并统计相关流量信息(如协议和端口使用量等),将这些统计值保存到特定的存储结构:并采用异常检测模块对这些流量数据进行分析;对于识别出的异常流量分析特征,并通过修改防火墙的规则或者受害主机隔离等方式来抑止和阻断这些网络攻击的进一步发展。最后,安全管理人员可以通过人机交互模块对查看系统的工作状态并对系统进行配置和管理[4]。
图1 系统的体系结构
图1中的5个模块的功能分别如下:
(1)流量采集模块。局域网的总出口或者网络中被监控的核心服务器附近设置流量采集点,采集所有流经该采集点的流量数据;
(2)流量统计模块。对所有捕获的网络数据包进行拆分,统计各种协议的包的协议类型、源/目标地址、端口、大小、标识位等信息。然后,该模块以分钟为时间粒度,统计网络带宽利用率、单播/非单播包比率、应用层协议包数量、SYN(SYN+ACK)包比率等统计量进行存储,等待进一步的处理;
(3)异常检测模块。该模块通过分析网络流量的几个统计量来描述其正常的行为模式或者状态。其中网络带宽利用率、单播/非单播包比率是与时间相关的统计量,采用时间序列分析的方法为它们建立ARMA(2,1)模型,并用于检测这些统计量序列中的异常。通过综合这些统计量的异常情况,识别出网络流量中的异常情况,并产生安全事件消息;
(4)报警和响应模块。如果检测到异常流量,首先需要报警,使系统和系统管理员可以根据情况选择不同的处理方法。然后,系统根据报警级别和安全响应策略采取两种更为主动的响应方式,即防火墙联动和主机隔离;
(5)人机交互界面。采用基于Web的用户管理,通过该交互界面可以实现信息查看、阐值设定以及处理报警等功能。系统应该对于检测出的异常主机进行标记,标记异常的类型、统计量、阂值指标、消息以及异常发生的时间等情况,给系统管理员报告一个异常信息。
4 系统实现与测试
原型系统在Windows 2000环境采用VC++6.0开发,采用SQL Sever 2000作为安全事件数据库、安全日志、安全响应策略库等的后台数据库。
实验结果表明,本文设计和实现的网络流量异常检测原型系统对于网络扫描、Dos/Ddos、蠕虫等类型的网络攻击和入侵具有明显的检测效果。但是,相对于纷繁变化的网络攻击手段,限于软硬件环境和统计分析技术的缺陷,系统的异常检测能力还不是很完善,存在着一些不足之处这些都还有待改进。因此,本文的主要目的是希望为同类型的入侵检测系统或者网络异常检测系统的设计和开发提供一种思路和模式,也为建立局域网的立体纵深、多层次防御系统进行一些有益的尝试。
参考文献:
[1]宋献涛.等.入侵检测系统的分类学研究[J].计算机工程与应用,2002,38(8):132-13.
[2]孙钦东,张德运,高鹏.并行入侵检测系统的负载均衡算法[J].小型微型计算机,2004,25(12): 2215-2217.
[3]李信满,赵大哲,赵宏.基于应用的高速网络入侵检测系统研究[J].通信学报,2002, 23(9):1-7.
>> 基于支持向量机的网络流量分类方法 一种基于多维支持向量机的P2P网络流量识别模型 基于支持向量机的地铁客流量预测 支持向量机的半监督网络流量分类方法 基于组合优化理论的无线网络流量建模与预测 基于支持向量机的Freegate软件流量检测研究 基于小波神经网络的网络流量预测 基于径向基神经网络的网络流量预测 基于小波神经网络的网络流量预测研究 基于改进Elman神经网络的网络流量预测 基于改进小波神经网络的网络流量预测研究 基于BP神经网络的非线性网络流量预测 一种基于神经网络的网络流量组合预测模型 基于支持向量机的股指期货合约价格预测 基于支持向量机的债券时间序列预测 基于支持向量机回归的中国CPI预测研究 基于免疫支持向量机预测模型的研究 基于支持向量机的短期负荷预测 基于支持向量机的短期电力负荷预测 基于长相关网络流量预测分析 常见问题解答 当前所在位置:l上获得),按5分钟的时间尺度对该流量序列做聚集操作,获得了用于建模的流量序列,记为TSb,长度为250。
核函数选择径向基函数,动态调整法选取参数后,流量预测结果如图1所示,预测RMSE为2.5136,RRMSE为0.021。各项误差指标对比如表1所列,在参数优化后, RMSE和RRMSE都少了,表明参数优化后的效果优于优化前。
5 结论
网络流量工程对于大规模网络的规划设计、网络资源管理以及实现网络入侵检测等方面都具有积极的意义,而流量建模与预测是网络流量工程的重要组成部分。传统的流量时间序列模型只适合于分析平稳过程及特殊的非平稳过程,难以刻画大规模网络的复杂流量行为。文中采用支持向量机回归方法进行网络流量预测,首先对观测序列进行归一化预处理,根据训练样本动态调整参数后,再进行预测。从实际预测结果来看,该方法具有较好的预测效果。
参考文献:
[1] Kantz H.非线性时间序列分析[M].北京:清华大学出版社,2000.
[2] Chen Bor-Sen ,Peng Sen-Chueh,Wang Ku-Chen. Traffic Modeling,Prediction,and Congestion Control for High-Speed Networks:A Fuzzy AR Approach[J].IEEE Transaction on Fuzzy Systems,2000 ,8(5)
[3] Vapnik V N. Statistical Learning Theory [M].New York Wiley,1998.
[4] 刘胜,李妍妍.自适应GA-SVM 参数选择算法研究[J]. 哈尔滨工程大学学报,2007,28(4).
[5] 魏海坤.神经网络结构设计的理论与方法[M].北京:国防工业出版社,2005.
关键词:ITS 3G网络 交通流量 数据传输
中图分类号:TP368 文献标识码:A 文章编号:1007-9416(2012)07-0028-02
智能交通系统通过实时、准确、高效和多方位的检测监控设备,检测有关车道占有率、车流量、行车速度等交通流量信息,利用有线以及无线通信网络传输检测数据信息,使得交通主管部门能够详实的数据,处理交通流量数据,充分发挥现有交通基础设施潜力,改善交通安全以及缓解交通拥挤,提高整个路网的运输效率和通行能力;既能够降低油耗,减少废气排放,降低、对环境的污染[2],又能够提高交通出行的方便性、安全性,节约运输成本,提高社会效益和经济效益。
1、交通流量检测技术
交通流量检测是智能交通系统的基础部分,其在交通监控、交通诱导、交通应急指挥等研究应用中占有很重要的地位。主要是通过各种检测设备对路面行驶车辆进行探测,获取相关交通参数,包括各车道的车流量、车道占有率,车速、车型、车头时距等,以达到对公路各路段交通状况及异常事件的自动检测、监控、报警等目的。交通流量检测方式一种是接触式[3][4],其主要分为压电、压力管探测、环行线圈探测和磁力式探测,其特点是埋藏在路面之下,当汽车经过采集装置上方时会引起相应的压力、电场或磁场的变化,最后采集装置将这些力和场的变化转换为所需要的交通信息;另一种是非接触式[5],主要分为微波、超声波和红外、和视频探测等,除了超声波探测只能进行单车道交通信息采集外,其余都可同时进行多车道交通信息采集,其安装维护简单,发展非常迅速。
2、交通流量检测需求分析
智能交通系统应用了计算机技术、信息技术、通信技术和控制技术等新技术,把人、车、路紧密联系起来,通过对交通流信息进行实时检测,掌握道路交通的运行情况,根据交通流的动态变化,迅速做出交通诱导控制,不仅有效的解决了交通阻塞问题,而且对交通事故的应急处理、环境的保护、能源的节约都有显著的效果。它是以交通指挥中心为主体,并随着科技发展和管理方法的改进在不断完善中。交通流量检测系统和通信系统是智能交通系统的关键。交通流量检测系统主要完成提取流量数据所需的原始信息的采集工作,可通过地感线圈、激光、红外或视频方法,检测与识别交通流、路况等实时监视,提取交通流信息(车流量、车道占有率、车速等);通信系统是数据采集和数据处理的桥梁,它是将原始数据信息通过有线网络或是无线网络传输到交通监控中心,监控中心处理原始数据,进而对得到的信息进行进一步地分析,判断该路段的交通拥塞状况,监督异常事故的发生,在交通拥挤未发生时交通信息,及时采取分流措施,疏导交通,防止交通拥挤发生。智能交通系统的结构图如图1所示。
目前智能交通系统中使用的有线传输主要采用标准RS-232或是光纤通信等,在距离监控中心较远且供电不便利的重点路段、桥隧等地区,或者一些临时性的设备通信,传统的有线连接便显得十分不方便,因此希望以一种低成本、高可靠性的无线传输方案来代替传统的有线方式。3G网络技术可以方便实现设备之间的无线连接,具有低成本、低功耗、高速率、组网灵活等特点,其通信架设方便,供电可以采用蓄电池或太阳能电池板等,是实现无线数据采集系统的理想选择。
3、3G网络技术传输架构
第三代移动通信技术(3rd-generation,3G)[6],主要是支持高速数据传输的蜂窝移动通讯技术。目前3G标准分别是WCDMA、CDMA2000和TD-SCDMA。3G网络架构由无线接入网络(RAN)和核心网络(CN)组成。其中,RAN用于处理所有与无线有关的功能,而CN则处理3G系统内所有的话音呼叫和数据连接,并实现与外部网络的交换和路由功能,CN从逻辑上可分为电路交换域(CS)和分组交换域(PS)。3G网络分为核心网和接入网,UMTS 陆地无线接入网(UTRAN)、CN与用户设备(UE)一起构成了整个无线系统[7],如图2所示,体现出分层建设的特点:骨干层传输设备位于网络的骨干或核心节点,具有大容量的业务调度功能,强调业务的中继和传送能力;接入层传输设备覆盖在城域的各热点地区,完成业务的接入,体现出低成本、业务处理能力弱的特点;汇聚层设备连接骨干层和接入层,完成MADM之间的业务整合和汇聚功能。
4、智能交通检测系统架构及连接拓扑图
智能交通检测系统的结构分为交通信息采集系统、交通信息数据传输和交通信息处理整合审核管理三大子系统,分为二层结构,信息数据层和信息应用基础层。具体结构如图3所示。
交通信息采集是整个系统的基石,其采集主要是通过设置在公路上交通流量检测器、视频监控的信息采集设备以及其他方式,获得真实的、可靠及时的交通流量状况、突发事件等有关交通的信息,同时与其他相关部门的数据共享,及时动态获得各种信息。
交通通信系统是将现场的交通流量的检测设备检测到的信息,通过有线或者无线传输系统,传输到监控中心,在那里进行集合与整理。如距离比较近,可以采用光纤与标准RS-232等进行传输;当检测设备距离监控中心较远,布设数据线与供电不方便处,就可以采用3G网络进行无线数据传输,同时采用蓄电池或是太阳能电池板进行供电。
交通信息处理整合是集合与整理,去伪存真,而这些是需要大量人力、物力以及先进的网络设备和技术。将与交通流量有关的信息自动统计汇总,通过人工智能决策系统,或是人工分析处理的方法,确定畅通路线、拥挤路段、交通的气象信息等,并且存储到数据库中。
根据交通部门的对交通流量需求,对交通数据进行采集,同时集成其他有关交通的部门有关交通流量的信息,通过无线或是3G网络进行传输,传输到交通监控指挥中心,进而进行数据集合和整理,其连接拓扑图如图4。
5、结语
目前,智能交通系统发展应用的时期,建立和完善交通流量数据采集与传输系统来满通出、交通管理以及应急指挥的需要是当务之急。随着智能交通系统的实施及应用的逐步发展,充分利用新技术先进设备建设的高标准高质量的3G网络传输技术,其多样化的数据传输设置,有利于智能交通系统更大的应用,它的建成以及所采用的各类设施设备各种技术为交通运输和交通管理的安全畅通发挥了十分重要的作用,将会在实际使用中取得了很好的效果,达到了预期的建设目标。
参考文献
[1]夏劲,郭红卫.国内外城市智能交通系统的发展概况与趋势及其启示[J].科技进步与对策.2003年01期.P176-179.
[2]叶文进.高速公路出行综合信息服务系统分析[J].中国交通信息化,2010(6):125-128.
[3]MARGRIT BETKE,ESIN HARITAOGLU, LARRY S DAVIS. Multiple Vehicle Detection and Tracking in Hard Real-Time[J].IEEE,1996,(9):351~356.
[4]JUNG SOH, BYUNG TAE CHUN, MIN WANG. Analysis of Road Image Sequences for Vehicle Counting,[J].IEEE International Conferenceon,1995,(1):679~683.
[5]刘东.ITS中的车辆检测技术[J]北京:公安大学学报(自然科学版),2000,20(4):35~39.
1网络流量监测的必要性及意义
网络管理中非常重要且非常基础的一个环节就是网络流量监测,网络流量监测即是通过对网络数据的连续采集,以此来监测网络的流量。网络及其重要成分的性能指标也是对网络流量数据的统计和计算得到的。网络管理员根据当前的和历史的存储网络及其重要成分的性能的数据数据,就可对网络及其主要成分的性能进行性能管理,通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。在网络流量监测的基础上,管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象,阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警,帮助管理员发现网络瓶颈,这样即可实现一定程度上的故障管理,而网络流量监测本身也涉及到安全管理方面的内容。所以,研究网络流量监测是非常有意义的。
2网络流量的特性
2.1数据流是双向的,但通常是非对称的。互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
2.2大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3包的到达过程不是泊松过程大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
2.3网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
3网络流量的监测技术与方法
3.1网络流量的监测技术种类
(1)基于流量镜像协议分析。流量镜像(在线TAP)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。与其他3种方式相比,协议分析是网络测试的最基本手段,特别适合网络故障分析。缺点是流量镜像(在线TAP)协议分析方式只针对单条链路,不适合全网监测。
(2)基于硬件探针的监测技术。硬件探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。与其他的3种方式相比,基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率,一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析,Netflow更偏重全网流量的分析。
(3)基于SNMP的流量监测技术。基于SNMP的流量信息采集,实质上是测试仪表通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。相似的方式还包括RMON。与其他的方式相比,基于SNMP的流量监测技术受到设备厂家的广泛支持,使用方便,缺点是信息不够丰富和准确,分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的3种方案中,如果单纯采用SNMP做长期的、大型的网络流量监控,在测试仪表的基础上,需要使用后台数据库。
(4)基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备(Cisco)提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议,已经标准化,并且Juniper、extreme、华为等厂家也逐渐支持,Netflow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后,便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供计数根据。Netflow方式是网络流量统计方式的发展趋势。在综合比较四种技术之后,不难得出以下结论:基于SNMP的流量监测技术能够满足网络流量分析的需要,且信息采集效率高,适合在各类网络中应用。
3.2网络流量的监测方法
流量监测包括测量工具/系统的部署、流量数据的采集(包括数据包捕获、归并和采样处理等)、数据包的解析和处理、测量实体量化数值的获得与统计分析、流量特征化描述、流量存储和查询表示、流量建模等多个环节,具有相对复杂的处理和分析过程。目前存在有众多种流量测量的实现方法,他们可适用不同的测量环境、满足不同的测量要求,并且有着不同的实现方式。基于硬件的测量通常需要设计和应用特定的硬件设备来对流量数据进行采集和分析。被测量的流量并非由普通的商用计算机直接获得,而是需要从服务器、交换机、路由器等特定的网络设备上经过一定处理后导出,然后再由普通的商用计算机完成后续的流量处理和统计分析等工作。不同形式的数据,对应要求在普通的商用计算机上通过不同的程序或软件实现相应的流量处理和统计分析功能。
【论文摘要】:网络流量性能测量是网络管理和系统管理的一个重要组成部分,为网络的运行和维护提供了重要信息,问时也是网络流量具体建模、分析的必要前提和手段。网络流量的测量方法分为主动测量和被动测量。两种测量方法各有优缺点,分别用于不同的场合。针对网络流量的测量展开系统性的研究将对Internet行为学方面的研究取得理论突破具有重要意。
网络流量性能测量与分析涉及许多关键技术,如单向测量中的时钟同步问题,主动测量与被动测量的抽样算法研究,多种测量工具之间的协同工作,网络测量体系结构的搭建,性能指标的量化,性能指标的模型化分析,对网络未来状态进行趋势预测,对海量测量数据进行数据挖掘或者利用已有的模型(petri网、自相似性、排队论)研究其自相似特征,测量与分析结果的可视化,以及由测量所引起的安全性问题等等。
1.在IP网络中采用网络性能监测技术,可以实现
1.1 合理规划和优化网络性能
为更好的管理和改善网络的运行,网络管理者需要知道其网络的流量情况和尽量多的流量信息。通过对网络流量的监测、数据采集和分析,给出详细的链路和节点流量分析报告,获得流量分布和流向分布、报文特性和协议分布特性,为网络规划、路由策略、资源和容量升级提供依据。
1.2 基于流量的计费
现在lSP对网络用户提供服务绝大多数还是采用固定租费的形式,这对一般用户和ISP来说,都不是一个好的选择。采用这一形式的很大原因就是网络提供者不能够统计全部用户的准确流量情况。这就需要有方便的手段对用户的流量进行检测。通过对用户上网时长、上网流量、网络业务以及目的网站数据分析,摆脱目前单一的包月制,实现基于时间段、带宽、应用、服务质量等更加灵活的交费标准。
1.3 网络应用状况监测与分析
了解网络的应用状况,对研究者和网络提供者都很重要。通过网络应用监测,可以了解网络上各种协议的使用情况(如www,pop3,ftp,rtp等协议),以及网络应用的使用情况,研究者可以据此研究新的协议与应用,网络提供者也可以据此更好的规划网络。
1.4 实时监测网络状况
针对网络流量变化的突发性特性,通过实时监测网络状况,能实时获得网络的当前运行状况,减轻维护人员的工作负担。能在网络出现故障或拥塞时发出自动告警,在网络即将出现瓶颈前给出分析和预测。现在随着Internet网络不断扩大,网络中也经常会出现黑客攻击、病毒泛滥的情况。而这些网络突发事件从设备和网管的角度看却很难发现,经常让网络管理员感到棘手。因此,针对网络中突发性的异常流量分析将有助于网络管理员发现和解决问题。
1.5 网络用户行为监测与分析
这对于网络提供者来说非常重要,通过监测访问网络的用户的行为,可以了解到:
1)某一段时间有多少用户在访问我的网络。
2)访问我的网络最多的用户是哪些。
3)这些用户停留了多长时间。
4)他们来自什么地方。
5)他们到过我的网络的哪些部分。
通过这些信息,网络提供者可以更好的为用户提供服务,从而也获得更大的收益。
2.网络流量测量有5个要素:
测量时间、测量对象、测量目的、测量位置和测量方法。网络流量的测量实体,即性能指标主要包括以下几项。 2.1 连接性
连接性也称可用性、连通性或可达性,严格说应该是网络的基本能力或属性,不能称为性能,但ITU-T建议可以用一些方法进行定量的测量。
2.2 延迟
对于单向延迟测量要求时钟严格同步,这在实际的测量中很难做到,许多测量方案都采用往返延迟,以避开时钟同步问题。
2.3 丢包率
为了评估网络的丢包率,一般采用直接发送测量包来进行测量。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等。
2.4 带宽
带宽一股分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其他背景流量时,网络能够提供的最大的吞吐量。
2.5 流量参数
ITU-T提出两种流量参数作为参考:一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔,即包吞吐量;另一种是基于字节吞吐量:用传输成功的IP包中总字节数除以时间间隔。
3.测量方法
Internet流量数据有三种形式:被动数据(指定链路数据)、主动数据(端至端数据)和BGP路由数据,由此涉及两种测量方法:被动测量方法和主动测量方法然而,近几年来,主动测量技术被网络用户或网络研究人员用来分析指定网络路径的流量行为。
3.1 主动测量
主动测量的方法是指主动发送数据包去探测被测量的对象。以被测对象的响应作为性能评分的结果来分析。测量者一般采用模拟现实的流量(如Web Server的请求、FTP下载、DNS反应时间等)来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终究端,所以这种方法能够代表从监测者的角度反映的性能。
3.2 被动测量
被动测量是在网络中的一点收集流量信息,如使用路由器或交换机收渠数据或者一个独立的设备被动地监测网络链路的流量。被动测量可以完全取消附加流量和Heisenberg效应,这些优点使人们更愿意使用被动测量技术。有些测度使用被动测量获得相当困难:如决定分缩手缩脚一所经过的路由。但被动测量的优点使得决定测量之前应该首先考虑被动测量。被动测量技术遇到的另一个重要问题是目前提出的要求确保隐私和安全问题。
3.3 网络流量抽样测量技术
选择部分报文,当采样时间间隔较大时,细微的网络行为变化就无法精确探测到。反之,抽样间隔过小时,又会占用过多的带宽及需要更大的存储能力。采样方法随采样策略的不同而不同,如系统采样或随机采样;也随触发采样事件的不同而不同。如由报文到达时间触发(基于时间采样),由报文在流中所处的位置触发(基于数目采样)或由报文的内容触发(基于内容采样)。为了在减少采样样本和获取更精确的流量数据之间达到平衡。
4.结语