网络流量分析的方法范文

时间:2023-06-04 10:03:58

导语:如何才能写好一篇网络流量分析的方法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络流量分析的方法

篇1

【关键词】IP网络流量分析;互联网;技术的应用

网络流量分析是一个有助于网络管理者进行网络优化、网络监控、流量趋势分析等工作的工具,进而挖掘网络资源潜力,控制网络互联成本,并为网络规划、优化调整和业务发展提供基础依据,企业需要及时了解到网络中承载的业务,及时掌握网络流量特征,及时解决网络性能问题。从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时了解网络运行状况,及时清楚网内应用的执行情况。随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。

1.网络流量分析方法

网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量分析根据不同的方法可以从不同的侧面展开,目前,主要的分析方法有流量的统计分析和流量的粒度分析等。

1.1 网络流量的统计分析

(1)基于软件的流量统计

这种统计分析一般通过修改安装于主机上的操作系统的网络接口模块,使之具有捕获数据包的功能,以实现流量信息的收集和分析。基于硬件的流量统计效率很高,专用性强,但是价格昂贵对人员要求高,而基于软件的流量统计有价格便宜,实现灵活,扩展性强的优点,但其性能要低于基于硬件的统计技术。因此,流量统计方法有待进一步的提高,以适应网络快速发展的需求。

(2)基于硬件的流量统计

此类分析通常采用硬件测量设备,是一种为特定目的设计的用于收藏和分析流量数据的硬件设备。

1.2 网络流量的粒度分析

网络流量行为特征的分析还可以在不同测量粒度或者不同的层面上展开。

比特级(Bit-level)的流量分析,这种分析主要关注网络流量的数据特征,如网络线路的传输速率,吞吐量的变化等等。

分组级(Packet-level)的流量分析,此类分析主要关注的是IP分组的到达过程、延迟、抖动和丢包率等。

流级(Flow-level)的流量分析,Flow的划分主要依据地址和应用协议而展开的,它主要关注流的到达过程、到达间隔及其局部的特征。

上面流量的粒度由小到大递增,时间尺度也逐渐增大,不同时间尺度网络流量往往表现出不同的行为规律。通常,网络设备本身都提供基于IP分组头的分析功能,因此,Flow-level的流量分析成为发展趋势。

2.网络流量分析常用技术

随着计算机技术的发展,网络流量分析技术也与时俱进。既有传统的数据库的网络管理技术,也有面向开放式互联网的网络分析技术。目前,在网络流量分析中占据主流的常用分析技术主要有:

2.1 RMON技术

RMON(远程监控),是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及网管站和远程监控器之间的接口,实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器叮用两种方法收集数据:一种是通过专用的RMON探针(Probe),流量探针安装方便,但是流量探针价格昂贵,不适合大面积部署。另一种方法是将RMON直接植入网络设备(路由器、交换机、HUB等),但这种方式受网络设备资源限制,一般不能获取RMONMIB的所有数据,大多数只收集统计量、历史、告警、事件等四个组的信息。

2.2 SNMP技术

SNMP是用标准化方法定义的,通常一个标准的网管系统包括三个组成部分:SNMP协议,这包括理解SNMP操作、SNMP消息的格式以及如何在应用程序和设备之间交换信息;管理信息结构,它是用于指定一个设备维护的管理信息的规则集;管理信息库,它是设备所维护的全部被管理对象的结构集合。基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息,典型工具有MRTG,MRTG是一个使用的免费软件,通过SNMP协议从设备得到流量信息,将流量负载情况绘制成PNG格式图片,并以WEB形式显示给用户。由于M RTG使用起来很方便,能够直观显示端口流量负载,所以是各类网管人员常用的网络监视工具。但MRTG的功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能深入分析包的类型、流向等信息。

2.3 s Flow技术

s Flow是由InMon﹑HP和Foundry Networks于2001年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第一层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如人于10Gbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。sFlow技术有很多优点:成本低廉;在不断发展升级当中,能在没有消耗额外资源的环境监测万兆网络,不会带来新的网络冲突;有自己的一套准确可靠的计量方式;数据信息量人。sFlow已经成为一项线速运行的“永远在线”技术,可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使实现而向每一个端口的全企业网络监视解决方案成为可能。

3.网络流量分析技术的应用

网络流量分析起着一个衔接的作用,主要利用网络流量测量部分收集到的各种流量信息,通过运用不同的方法对其进行分析和建模,以发现流量的特性,对网络性能做出客观的评价,并以此作为对网络进行控制和优化的依据。网络流量分析技术的应用主要包括以下儿个方面:

3.1 实施安全预警

网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%无法响应进一步的指令。通过对网络内流量的实时分析,有助于及时发现网络中出现的异常流量,迅速分析出异常流量的具体属性,并向网络管理者进行告警,判断是否出现了入侵,并按照事先拟定的规则集进行处理,记录异常情况发生时的详细网络状况,使入侵得到及时发现和处理。

3.2 分析用户行为

根据分析结果,进行相应网络内容的建设!将用户感兴趣的热点信息内容放到内部网络,减轻互联链路的压力。

3.3 节省运营费用

通过对网络出口流量和流向的分析,可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数,可以详细了解网络内部用户对其他外部网络的访问情况,为基于IP的计费应用和SLA的校验服务提供数据依据,从而有效地选择与其他运营商的互联方式,节省费用。

3.4 优化网络结构

通过对网络中一些特定流量的长期监控,获得网络流量数据后对其进行统计和计算。从而得到网络及其主要成分的性能指标,定期形成性能报表,并维护网络流量数据库或日志存储网络及其主要成分的性能的历史数据,可供网管人员正确分析网络使用状况,对网络及其主要成分的性能进行性能管理。通过数据分析获得性能的变化趋势,分析制约网络性能的瓶颈问题。

3.5 评估网络价

通过对各个分支网络出入流量的监控,分析流量的大小﹑去向及内容组成,了解各分支网络占用带宽的情况。从而反映其占用的网络成本,也可以了解其业务开展情况,并作出价值评估。

3.6 确定重点客户

通过对重要应用和大客户的流量进行统计分析。掌握重要应用和大客户的流量状况,进行网络带宽的成本分析。有助于在网络服务质量和网络成本之间取得最佳平衡。

4.网络流量分析的重要性

相对于网络管理人员来说,理解用户的网络行为网络流量的内容是网络管理的重要内容,它为日常网络管理﹑容量规划与未来网络升级等提供重要依据,通过网络流量分析,可以提供大量详尽的数据,供网管人员从很多方面进行更好地维护﹑优化网络,并且提升网络的性能;同时还能为业务应用层面提供数据依据,为特定客户提供流量分析服务。比如网站流量统计分析等;也可作为网络安全的辅助手段,处理网络病毒等异常事件。在病毒分析时,网络管理员需要知道哪些端口发送的数据发生了较大变化,因此,对网络流量的分析可以为网络的运行和维护提供重要信息和深层次的管理功能,很好地发挥网络管理作用。对于网络性能分析﹑异常监测﹑链路状态监测﹑容量规划等发挥着重要作用。为网络发展和网络优化提供更优质﹑更有效的技术支撑和技术服务,可以预见,随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。

参考文献

[1]李万鹏.网络流量控制及流量分析[D].北京邮电大学,2011.

篇2

1网络流量监测的必要性及意义

网络管理中非常重要且非常基础的一个环节就是网络流量监测,网络流量监测即是通过对网络数据的连续采集,以此来监测网络的流量。网络及其重要成分的性能指标也是对网络流量数据的统计和计算得到的。网络管理员根据当前的和历史的存储网络及其重要成分的性能的数据数据,就可对网络及其主要成分的性能进行性能管理,通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。在网络流量监测的基础上,管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象,阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警,帮助管理员发现网络瓶颈,这样即可实现一定程度上的故障管理,而网络流量监测本身也涉及到安全管理方面的内容。所以,研究网络流量监测是非常有意义的。

2网络流量的特性

2.1数据流是双向的,但通常是非对称的。互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

2.2大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3包的到达过程不是泊松过程大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。

2.3网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。

3网络流量的监测技术与方法

3.1网络流量的监测技术种类

(1)基于流量镜像协议分析。流量镜像(在线TAP)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。与其他3种方式相比,协议分析是网络测试的最基本手段,特别适合网络故障分析。缺点是流量镜像(在线TAP)协议分析方式只针对单条链路,不适合全网监测。

(2)基于硬件探针的监测技术。硬件探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。与其他的3种方式相比,基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率,一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析,Netflow更偏重全网流量的分析。

(3)基于SNMP的流量监测技术。基于SNMP的流量信息采集,实质上是测试仪表通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。相似的方式还包括RMON。与其他的方式相比,基于SNMP的流量监测技术受到设备厂家的广泛支持,使用方便,缺点是信息不够丰富和准确,分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的3种方案中,如果单纯采用SNMP做长期的、大型的网络流量监控,在测试仪表的基础上,需要使用后台数据库。

(4)基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备(Cisco)提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议,已经标准化,并且Juniper、extreme、华为等厂家也逐渐支持,Netflow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后,便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供计数根据。Netflow方式是网络流量统计方式的发展趋势。在综合比较四种技术之后,不难得出以下结论:基于SNMP的流量监测技术能够满足网络流量分析的需要,且信息采集效率高,适合在各类网络中应用。

3.2网络流量的监测方法

流量监测包括测量工具/系统的部署、流量数据的采集(包括数据包捕获、归并和采样处理等)、数据包的解析和处理、测量实体量化数值的获得与统计分析、流量特征化描述、流量存储和查询表示、流量建模等多个环节,具有相对复杂的处理和分析过程。目前存在有众多种流量测量的实现方法,他们可适用不同的测量环境、满足不同的测量要求,并且有着不同的实现方式。基于硬件的测量通常需要设计和应用特定的硬件设备来对流量数据进行采集和分析。被测量的流量并非由普通的商用计算机直接获得,而是需要从服务器、交换机、路由器等特定的网络设备上经过一定处理后导出,然后再由普通的商用计算机完成后续的流量处理和统计分析等工作。不同形式的数据,对应要求在普通的商用计算机上通过不同的程序或软件实现相应的流量处理和统计分析功能。

篇3

关键词:流量监测;winpcap;网络数据流量分析

1 引言

随着互联网络的迅速发展,网络数据流量特征的研究近年来引起了人们广泛关注。网络数据流量分析系统的定位重点在对网络流量的流量、流向、协议的细节监视和分析,网络安全监视。在容量规划、入侵检测和路由优化时,网络管理员需要知道网络的数据流量情况和尽量多的测量信息。

2 关键技术

⑴数据流。数据流是指输入数据a1,a2,..按顺序到达。这些数据描述了一个信号A。A是一个一维函数A:[1...N]R2。模型取决于ai如何描述A。本文把数据流技术和传统的网络管理技术相结合, 取得了较好的应用效果。

⑵流量监测原理。网络流量监测有主动监测和被动监测两种不同的实现方法。主动测量方法是向被测网络中注入附加的“探测流量”并进行返回数据的采集来实现监测的方法,该如果处理不当,也会给网络增加额外的负荷,影响测量结果的客观性,甚至使测量结果不准确,产生Heisenburg效应。而被动测量方法是在网络的某点采集、记录并且分析网络的流量信息来实现测量的方法。被动测量可以完全消除附加的“探测流量”和Heisenbutg 效应,这是被动测量的优点,但存在可能会涉及隐私和安全问题的不足。由于Internet上大多数数据传输是不加密的,鉴于被动监测的优点,本系统采用基于数据包捕获的被动监测技术。

⑶winpcap。在网络管理与安全防护中,对网络数据流量进行分析,是非常重要的一个任务,从防火墙到攻击检测系统,都会用到类似功能。开发此类软件过程相当复杂。而winpcap (indows packet capture)是windows平台下一个免费公共的网络访问系统。它提供了以下的各项功能:

1>捕获原始数据报;2>按照自定义的规则将某些特殊的数据报过滤掉;3>在网络上发送原始的数据报;4>收集网络通信过程中的统计信息。

3 系统架构

无论是基于网络安全,还是基于网络计费系统的改进,网络数据流量分析无疑是必要的,人们对网络依赖很强。网络数据流量系统的架构包括三层:数据层(浏览统计、数据库管理)、访问应用层、展现层(在线统计器、流量统计器、网络速度监视器)。

4 系统设计

⑴网络监视器。网络监视器是监视网络通信的,其主要工作有三项:winpcap捕捉包、包分析、记录。

1)winpcap捕捉包。在网络包捕获系统的实现中,采用的是WINPCAP包捕获应用系统框架。网络监听模块将网络接口设置为混乱模式,将网络上传输的数据包截取下来,供协议分析模块使用。由于效率的需要,有时要根据设置过滤网络上的一些数据包,如特定IP,特定MAC地址、特定协议的数据包等。网络监听模块的过滤功能的效率是该网络监听的关键,因为对于网络上的每一数据包都会使用该模块过滤,判断是否符合过滤条件。

为提高效率,数据包过滤应该在系统内核里来实现。获得数据包之后,如果在捕获过程结束后创建了两个线程实现对捕获数据的实时性处理。

2)包分析。包分析指将捕捉来的数据报进行分析。由于要进行流量统计需要很多必要的信息,作为统计依据,如IP地址、协议类型等。其中,数据长度可由函数调用返回的内容得到而且此时得到的是实际在网上的包长度。

3)记录。通过包的分析后,将有用的信息记录到文件中去。其中包括目的IP、源IP,数据长度、协议类型、以及为了统计方便需要的时间信息。

⑵流量统计器。流量统计器,是对流量监视器的记录结果进行统计,将网络监视器的记录文件内容读出,并根据网址分割标准及源和目的地分别统计出流向网外的国内和国外流量,并将结果按照日期分别存储在数据中。

5 系统实现

⑴捕捉包的实现。包捕捉作为一个独立的应用程序运行,它从网上截获包,并以文件形式将有用信息记录下来,为流量统计准备统计的原始依据。

⑵在线统计的实现。ping利用了原始套接口技术发送ICMP回射请求,并接收工CMP回射应答。Socket是CP/IP编程的底层API(网络编程接口)。在实现ping后可以将其作为一个函数调用,就很容易实现在线统计。

⑶图形界面的实现。采用Visual C++.NET实现流量图形化界面,主要是使用GDI函数画图,首先要得到一个设备描述句柄或一个可用的CDC设备描述表对象,WIN32API提供了BeginPaint()和GetDC两个函数,用于获得指定窗口的设备描述句柄。MFC的窗口类CWnd类也提供了两个当前窗口的CDC对象的函数BeginPin()和GETDC();也可以在窗口处理函数中直接用CDC的派生类,最终实现流量图形化。

篇4

关键词:网络流量;监测;网络管理

1、网络流量的特性

通过对互联网通信量的测量,人们发现互联网通信量的主要特性有:

1、数据流是双向的,但通常是非对称的

互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

2、大部分TCP会话是短期的

超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。

3、包的到达过程不是泊松过程

大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。

4、网络通信量具有局域性

互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。

2、 网络流量的测量

网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:

1、基于硬件的测量和基于软件的测量

基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。

2、主动测量和被动测量

被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。

3、在线分析和离线分析

有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。

4、协议级分类

对于不同的协议,例如以太网(Ethernet ),帧中继(Frame Relay ),异步传输模式( Asynchronous Transfer Mode ),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。

3、 网络流量的监测技术

    根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

1、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。

    2、基于Netflow的流量监测技术:Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。

篇5

关键词:网络性能;网络状态监测;简单网络管理协议;NetFlow

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department,Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory,technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 园区网网络监测的意义

近年来,随着各单位计算机应用水平的整体提高、内部园区网网络建设的日渐完善,以及实验仪器设备的网络自动化程度提高和发展,越来越多的日常学习、工作和科研、实验活动依赖计算机和网络来开展运行,这就要求各单位内部的园区网网络环境有很高的稳定性和运行效率,并能针对不同网络内部科研应用需求提供相应的网络质量保障。园区网连接着各个计算机、服务器、网络设备、存储设备及系统设备、试验装置、仪器仪表,通过交换信息使之成为一个高效运行的有机整体,为确保各项依赖园区网的科研活动顺利进行,必须保障园区网的正常运行和性能稳定。

同时,不断进行的信息化建设使得各项商业、科研活动对园区网络日渐依赖,这也带来了新的信息安全隐患,如何保障网络与信息系统的安全已经成为需要被高度重视的问题。随着园区网内部网络应用的迅速发展,越来越多的攻击和安全隐患来自于园区网内部,使得传统的基于网关的安全架构在新一代的攻击手段面前显得非常脆弱。而且这些传统的安全防护手段多属于被动形式,只能简单过滤或丢弃攻击数据,而无法在攻击源发起攻击时或之后的较短时间内即时响应,将内部网络中可疑的攻击源主机断开,使其无法通过内网连接进行攻击。在这种情况下,主动对园区网内部的网络运行状态进行监控,并根据网络流量异常信息采取相应的质量控制和防范乃至隔离控制,将可以成为传统计算机安全技术(如网关防火墙)的有益补充。

2 园区网网络状态监测技术

2.1 网络监测技术概述

网络状态监测是网络管理和系统管理的一个重要组成部分,网络状态数据为园区网的运行和维护提供了重要信息,这些数据对调控网络资源分布、规划网络容量、网络服务质量分析、网络故障检测与隔离、网络安全管理都非常重要。目前,根据对网络流量的采集方式可将网络监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于NetFlow的监测技术三种常用技术。

2.2 基于网络流量全镜像的监测技术。

网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。 但采用端口流量镜像方式将增加网络设备负担,对网络设备性能的影响较大。而若使用探针等附加设备实现流量镜像,安装时对网络影响较大,安装完成后虽对网络设备的影响较小,但为网络结构增加了新的单点失效点,在大型网络环境下,可能会影响网络的稳定性。故基于网络流量全镜像的监测技术较少用于园区网网络监测中。

2.3 基于SNMP的流量监测技术

简单网络管理协议(SNMP)已经成为事实上的网络管理标准,得到很大范围的应用。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。SNMP是基于TCP/IP协议的网络管理标准,它简单明了,占用系统资源少,已成为事实上的工业标准。SNMP提供了从网络设备收集网络管理信息的方法,并为设备提供了向网络管理端报告故障和错误的途径。SNMP是协议和规范族,包括MIB(管理对象信息库)、SMI(管理信息结构)和SNM协议。同时,SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他传输协议上被使用。

基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些与具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。 基于SNMP的网络流量信息采集可以以极小的代价实现一定程度的网络流量相关信息的收集,但其收集的信息多是出于网络管理的需要,无法提供足够丰富的网络流量信息。利用其实现网络总流量的定期监控、观察网络设备端口的流量和使用状况可以满足网络管理的基本需求。

SNMP采用‘管理者―’模型来监测各种可管理的网络设备,利用无连接的UDP协议在管理者和之间进行信息的传递。图1勾画出了SNMP管理者和SNMP间的通信关系。一个SNMP管理者可以向SNMP发送请求,读取(Get)或设置(Set)一个或多个MIB变量数值。SNMP可以应答这些请求。除了这种交互式通信方式,SNMP还可以主动向SNMP管理者发送通知(Trap或Inform Request)以提示管理者一个设备或网络的状态。

图1 SNMP管理者与SNMP间的通信示意图

在园区网网络监测中采用SNMP机制有以下优势:1)可以随时随地收集网络流量信息,及时获取当前园区网络的运行情况;2)能够即时收集到网络中大量设备的同步流量信息;3)采用方法基于IP层,不受底层网络物理类型的限制;4)能够收集到网络设备自身的工作信息、端口状态。并可根据需要远程配置修改网络设备的相关参数;5)基于SNMP的流量监测所需费用较少,对现有的网络性能影响较小,且易于集成到各种网管系统中去。

在此基础上,如果配合后台数据库记录收集到的网络流量、性能数据,就可以实现对整个园区网络进行有效的监视,并能在网络发生故障时及时发现并通知相关人员处理,从而提高网络可靠运转的时间,减少因网络故障造成的中断时间。

2.1.基于NetFlow的流量监测技术

NetFlow是Cisco公司提出的一项网络数据流统计标准,利用NetFlow技术,路由器可以输出流经路由的包的统计信息,从而监测网络上的IP 流( IP flow) 。采集到的NetFlow流量信息可以帮助进行网络规划、网络管理、流量计费和病毒检测等等,NetFlow流量信息采集是基于网络设备提供的NetFlow机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。它可以实时提取大量流量的特征,实现对流量的宏观统计分析。目前,NetFlow技术已经成为网络设备流量信息采集事实上的标准,一些大型的网络设备厂商均在其主流的路由设备中实现了对NetFlow主要版本的支持。

表1主流厂商网络流技术对比

NetFlow的实现由路由器、数据采集设备和流量分析工具三部分构成,如图2所示。

路由器启动NetFlow功能,负责抓取路由器上发生的流量信息,当Cache表超时后,网络设备中的NetFlow Agent 将通过规范的报文格式将表项数据以UDP方式向NetFlow数据采集设备发送。NetFlow数据采集设备可以是商业系统或是采用开放源代码的工作站,它负责实时处理收到的报文,提取出流量数据,进行过滤和聚合后记录在数据库中。NetFlow流量分析工具根据数据采集设备数据库中记录的网络流量信息进行网络规划、流量计费和各种网络管理应用,并产生各类报表等。

图2NetFlow的工作原理示意图

由于NetFlow技术所产生的信息详尽且趋近于即时,可让网管人员深入地了解数据包中的信息,获得很多网络运行情况的细节。依据NetFlow信息进行网络规划,将大大提高规划的效率,减少盲目性。

(上接第671页)

在园区网网络监测中采用NetFlow机制有以下优势:

1) 对源及目的业务端口号的统计、分析,可以科学地估算出各种业务在网络总流量中所占的比重和在各条链路上的分布,对网络业务流量进行精细化分析,包括网络间数据流中各个具体业务的流量及百分比;同时,也可以根据应用层数据参数Protocol、Port、Bytes对各个网络业务进行排行,进而科学地预测各类业务流量的增长规律。

2) 通过对整网流量的长期监测,可以建立园区网流量基线,了解网络内各节点的即时与历史网络流量状态,掌握网络应用及发展趋势,从而提高网络的管理维护能力。

3) 通过统计分析,我们还可以获知那些业务是目前网络上最受欢迎的业务,进而对相关网络应用业务的建设和规划提供准确的基础数据;对于业务流量大的端点,分析其增长规律,可以指导对其合理及时的扩容,从而提高整个网络的运行质量。

4) 利用NetFlow产生的流量记录与统计分析系统配合,还可以记录网络平常在不同时间的流量或服务器连接使用情况,当发现网络或某服务器流量异常,或是服务器连接情况异常大量增加或减少时,在第一时间发出警报,让网络管理员可以立即采取相应措施,尽快确定异常流量源地址及目的地址、端口号等多种信息,针对不同的情况,分别利用切断连接、ACL过滤、静态空路由过滤、异常流量限定等多种手段,对异常流量进行有效控制、处理,从而在最短时间内恢复网络的正常运行。这在防范病毒,尤其是蠕虫或木马等造成的DoS与DDoS攻击时尤为有效。

3 结束语

当前,随着信息化建设步伐的加快,各单位都在不断地建设和改造内部的园区网络,园区网络的不断扩展使得网络的拓扑变得越来越复杂和不规则。而网络新应用的涌现和网络用户的快速增长也使得网络流量不断增大、网络应用日益复杂。采用一种或混合使用多种技术监测园区网网络状态的重要性和迫切性越来越突出。园区网网络监测技术已经成为计算机网络研究中一个重要的课题方向。

参考文献:

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陈秀兰,吴军华.通用网络流量监测报警系统的设计与实现[J]. 微计算机应用, 2006(4):47-50.

[4] 何丰,靳娜.基于NetFlow的IP网络状态监测系统的设计与实现[J] . 通信技术, 2007(8):36-38.

篇6

作者:马知也 单位:兰州职业技术学院

网络流量采集方法

对经过该链路的流量进行监听和捕获,按一定格式将流量数据进行编码,或者将其汇聚为流数据,发送给后台的接受存储设备.IPFIX工作组[3]定义了采集设备将流量发送给后台接受设备的协议及数据格式.数据存储模块对采集并初步处理后的数据在存储设备中进行存储以备进行下一步数据分析.小型测量系统存储数据到本地采集系统的硬盘上,并实时的进行分析处理和应用.而在大型测量系统中一般有专用的中心存储设备来存储数据,通过专用或普通链路接受各个测量结点捕获的数据.数据分析部分对流量特征进行分析,并将这些数据用于计费、异常检测等应用.网络设备支持的流量采集有些路由器或交换机本身具有流量采集的功能,在进行路由转发等功能的同时,它们可以通过专用的硬件设备采集网络流量数据,并进行初步处理,然后将其转发到后台专用流量接收设备.目前网络设备中应用广泛的Cisco公司的Netflow和基于网络设备流量采集标准的sFlow两种流量采集技术.Netflow通过采集数据分组,根据配置对其进行抽样,并对具有相同“流关键字”的分组聚合形成为流信息,然后通过定义的格式把流信息发送到后台的流量接收服务器,再由后台服务器对流信息进行存储、分析等工作,从而实现完整的流量测量.而sFlow流量采集技术是将sFlowAgent嵌入在交换机和路由器等网络设备中,它负责对流量进行监视,并将采集的信息发送给后台的接收服务器.sFlowAgent通过对数据进行抽样而减少向后台服务器发送数据量.基于网络设备支持的流量采集技术一般被用于计费和流量分析等领域.随着网络速度的提高,流量采集功能的使用会对路由器、交换机本身的转发性能产生一定程度的影响,另一方面这种粗粒度的信息对于某些需要详细分组信息的应用也存在着不足.基于网卡采集在正常应用中,网卡从网络接口接收数据分组,然后将它传递到上层应用.基于网卡的流量采集方法有正常应用模式和混杂模式两种.在正常应用模式下,网卡只接收发送给自己的数据分组.而在混杂模式下,网卡可以接收所有到达的数据分组,硬件不对分组进行过滤,所有分组都会进入系统的内核.因此,当一个网卡专门用于流量数据采集时,一般应设置为混杂模式.专用设备进行采集虽然通过一系列技术改进措施,普通网卡结合计算机的网络流量采集技术可以对普通链路进行流量数据采集.但对于高带宽的链路,应该采用专用的硬件设备进行流量数据采集.一些公司推出了专用的流量采集设备,如Endace公司的DAG卡[4],NetScout公司的nGeniusProbes、nGeniusInfiniS-tream产品[5],以及一些基于网络处理器的流量采集方案等.这些专用设备使用高性能专用硬件实现数据采集工作,性能上较前两种采集方法有了很大的提高.并行采集随着网络速度的高速发展,单个设备的采集能力已经很难适应流量数据的采集.因此,利用多个采集设备并行完成流量采集任务成为一个较好的选择.但为了保证各个采集设备的负载均衡,必须对分流设备的分流策略进行仔细设计.如果分组被分到多个流量采集设备,那么将会给后续的汇总处理程序带来一定的困难.为了使多个采集系统在数据采集上一致,并保证数据集的完整性,多个采集系统之间必须解决时间同步等问题.

网络流量测量模型

在现实中许多比较难以解决的问题,一般解决方法是先建立问题模型,模拟一定的场景和条件,然后在这些场景和条件下对问题进行模拟解决.由于互联网络的异构型和网络高突发性业务量使得网络呈现复杂的非线性,为了有效的对网络流量进行测量,就需要建立一定的网络流量测量模型,而且这种模型的建立也是非常有必要的.首先建立仿真模型对真实网络流量进行描述,这种模型还能够对网络流量将来的行为趋势有效地进行预测.传统的网络流量模型多以泊松过程为基础,其中有泊松模型、马尔科夫模型、自回归模型、自回归移动平均模型和自回归合成移动平均模型等,这些模型同属于短期相关性模型,即若测量时间的间隔足够大的时候,当前时刻所采集到的业务流量与过去时间所采集到的业务流量不具有相关性.从时间的角度来看,这些模型所采集的数据流量具有短相关性,随着测量时间间隔的变大,网络流量会趋于一个恒定的常量,也就是说,网络流量突发性得到了一定的缓和,因此,传统网络流量测量模型并不能描述网络性能的长相关性.对网络流量自相似性进行深入研究后发现,自相似网络中业务流量在较大的时间间隔具有突发性,并且这种业务流量的长相关性比较明显.因此,传统流量模型一般不适合用来进行自相似流量的模型建立.所以,目前对网络流量的描述逐渐采用自相似模型,这种模型能够表征长相关性与突发性.自相似性网络流量模型以自相似过程为基础而建立,模型在精度和灵活性方面与统计特性下建立的模型比较并没有什么优势,甚至没有统计特性下建立的模型好,但其具有明确的物理意义,有助于理解网络流量产生自相似的原理.在自相似性网络流量模型中流叠加算法使用较多.ON/OFF流叠加模型定义叠加大量的ON/OFF源,每个源都有两个周期交替的ON和OFF状态.在ON状态时,数据源通过连续的速率发送数据包;在OFF状态时,数据源不发送任何数据包.在这一过程中,所有发送源都出于ON或OFF状态的时长独立地附和重尾分布.对于网络流量统计模型是以其统计特性下表现出的性质为基础而建立模型,这一类模型相比其它模型虽然在灵活性和精确方面占有一定优势,但其并没有具体明确的物理意义.分形布朗运动、分形ARIMA过程、多重分形小波模型和小波域独立高斯模型都属于这一类模型.虽然自相似性测量模型以网络特征为基础而建立的模型,它可以对业务流量的自相似特性和流量突发性与长相关性进行描述,可以全面认识网络业务流各个方面的内在规律,在一定条件下能够取得较好的预测效果.但实际的网络业务流中,既有短相关特性,又有长相关特性,这种短相关特性与长相关特性并存的多种特性给网络业务流量精确预测带来很大的挑战.因此,自相似网络流量模型对网络流量的所有特性也不能完全描述.

篇7

【关键词】云计算技术;大数据;网络异常流量检测

随着互联网的发展,网络技术广泛应用于生活中,许多公共场所布设移动WiFi接入点,为人们获取信息提供便捷条件。人们应用网络服务时将个人信息、银行账户等敏感数据存储到网络中,重要数据传递带来安全隐患造成网络安全问题突出。本文利用云计算技术对大数据下网络异常流量进行检测,并测试检测效果。

1大数据下网络异常流量检测方法研究

光纤网络利用光在玻璃纤维实现光波通信,大数据集成调度,然后通过交换机分配IP。光纤通信传输距离远,云计算环境通过波分复用技术使光强度变化,通信中受到干扰导致通信信道配置失衡,需要对云计算光纤网络大数据异常负载优化检测,提高网络通信的输出保真性[1]。云计算光纤网络中大数据异常负载检测模型研究需要提取大数据负载异常特征,实现异常负载检测。

2网络异常数据检测大数据分析平台

网络异常流量分为DDoS、NetworkScan等类型,异常流量类型可从目的IP地址、源IP地址、字节数等特征区分[2]。DDos异常流量可通过特征二四五七检测;NetworkScan异常流量可采用多个网络地址对主机端口扫描动作;FlashCrowd异常流量由异常用户对访问资源申请动作。本文以影响网络安全异常流量检测为研究内容,运用现有数据样本对建立检测模型训练,对训练后识别分析模型检验[3]。研究异常流量类型包括U2R攻击类型、Probing攻击类型等,需要对数据特征提取分析,对入侵事件进行分类[4]。应用多种入侵事件特征数据,包括离散不间断协议、离散常规行为、离散接点状态、不间断数据源到目标数据比特数、持续创建新文件个数等。为避免两种衡量标准相互干扰,需对离散数据采用连续化操作。云计算平台迅速占领市场,目前应用广泛的是Apache开源分布式平台Hadoop,Hadoop云计算平台由文件系统、分布式并行计算等部分组成[5]。MapReduce将传统数据处理任务分为多个任务,提高计算效率(见图1)。MapReduce编程核心内容是对Map函数进行特定动作定义,Map核心任务是对数据值读取,InputFormat类将输入样本转换为key/value对。发现tasktracker模块处于空闲状态,平台把相应数据Split分配到Map动作中,采用createRecordReader法读取数据信息,tasktracker处于工作状态程序进入等待。

3大数据分析模型

随着待处理数据规模剧增,单台计算机处理数据速度过于缓慢,云计算系统以Hadoop为平台基础,提高计算效率。基于Hadoop平台对网络异常流量操作,向平台提交网络流量检测请求,工程JAR包运行,通过JobClient指令把作业发送到JobTracker中,从HDFS中获取作业分类情况。JobTracker模块执行任务初始化操作,运用作业调度器可实现对任务调度动作。任务分配后进入Map阶段,所需数据在本地磁盘中进行存储,依靠计算机Java虚拟机执行实现JAR文件加载,TaskTracker对作业任务处理,需要对文件库网络流量特征测试,Map动作结果在本地计算机磁盘中存储。系统获得Map动作阶段计算结果后对网络流量分类,中间结果键值相同会与对应网络流量特征向量整合,ReduceTask模块对MapTask输出结果排序。Reduce动作完成后,操作者通过JobTracker模块获取任务运行结果参数,删除Map动作产生相应中间数据。BP神经网络用于建立网络流量检测模型,MapReduce平台具有高效计算优势,最优参数结果获得需多次反复计算优化,MapReduce平台单词不能实现神经网络计算任务,采用BP神经网络算法建立网络流量检测模型会加长计算时间。本文采用支持向量机算法建立网络流量检测模型。支持向量机以统计学理论为基础,达到经验风险最小目的,算法可实现从少数样本中获得最优统计规律。设定使用向量机泛化能力训练样本为(xi,yi),i=1,2,…,I,最优分类平面为wx+b=0,简化为s.t.yi(w⋅xi+b)-1≥0,求解问题最优决策函数f(x)=sgn[∑i=1lyiai(x⋅xi)+b],支持向量SVM把样本x转化到特定高维空间H,对应最优决策函数处理为f(x)=sgn[∑i=1lyiaiK(x⋅xi)+b]。云计算Hadoop平台为建立网络异常流量检测模型提供便捷。MapReduce模型通过Reduce获得整体支持向量AIISVs,通过Reduce操作对SVs收集,测试操作流量先运用Map操作对测试数据子集计算,运用Reduce操作对分量结果Rs统计。

4仿真实验分析

为测试实现云计算光纤网络大数据异常负载检测应用性能,采用MATLAB7进行负载检测算法设计进行云计算光纤网络中大数据异常负载检测,数据样本长度为1024,网络传输信道均衡器阶数为24,迭代步长为0.01。采用时频分析法提取异常负载统计特征量进行大数据异常负载检测,重叠干扰得到有效抑制。采用不同方法进行负载异常检测,随着干扰信噪比增大,检测的准确性提高。所以设计的方法可以有效检测大数据中异常负载,并且输出误码率比传统方法降低。单机网络异常流量检测平台使用相同配置计算机,调取实测数据为检验训练源数据,选取典型异常流量200条数据样本用于测试训练。采用反馈率参量衡量方法好坏,表达式为precision=TP/FP+FN×100%,其中,FN为未识别动作A特征样本数量;TP为准确识别动作A特征样本数量;FP为错误识别动作A特征样本数量。提出检测方法平均准确率提高17.08%,具有较好检测性能。对提出网络异常流量检测方法进行检测耗时对比,使用提出网络异常流量检测方法耗时为常规方法的8.81%,由于使用检测方法建立在大数据云计算平台,将检测任务分配给多个子任务计算平台。使用KDDCUP99集中的数据进行网络异常流量检测分析,选取R2L攻击,Probing攻击异常流量数据用于检测分析,采用准确率参数衡量检测方法宏观评价网络流量检测识别方法:r=TP/FP+FN×100%。使用单机平台下SVM算法建立网络异常检测模型对比分析,本文研究检测模型平均识别率为68.5%,研究网络异常流量检测模型检测准确率提高28.3%。多次试验对比检测耗时,使用本文提出网络异常流量检测耗时较短。

【参考文献】

[1]林昕,吕峰,姜亚光,等.网络异常流量智能感知模型构建[J].工业技术创新,2021(3):7-14.

[2]武海龙,武海艳.云计算光纤网络中大数据异常负载检测模型[J].激光杂志,2019(6):207-211.

[3]农婷.大数据环境下的网络流量异常检测研究[J].科技风,2019(17):84.

[4]马晓亮.基于Hadoop的网络异常流量分布式检测研究[D].重庆:西南大学,2019.

篇8

关键词:公用机房;网络带宽;流量控制

中图分类号:TP393.18

机房网络应用中,占用带宽较大的常见应用是网络视频和基于P2P的下载软件,特别是随着P2P技术的迅速发展,使得P2P技术的应用越来越多,网络视频播放软件、BT下载软件和其他各类软件的更新与升级等大部分软件都通过P2P技术进行,特别是网络视频播放软件的发展,越来越趋向于传统的BT下载软件,采用P2P技术,在大流量下载网络视频的同时也进行着大流量的上传,使得校园网的出口通道中充斥着大量的P2P流量,机房的出口带宽被这些P2P流量大量占用,网络出现拥挤现象,严重时核心设备负担过重无法处理过多的数据包,设备的转发速度迅速下降,甚至出现设备死机而导致网络中断。

P2P技术的分布式特性使得P2P应用的控制难以被监管和控制,如何对P2P流量进行有效的管理已经成为网络管理人员的重要任务,本文通过分析学校机房网络流量的应用分布,主要通过部署Panabit流量控制系统,针对占用网络带宽较大的基于P2P技术的网络视频和BT下载软件进行监控和管理,通过限速或者阻断基于P2P技术应用的方法来实现降低P2P流量在教学时间中对网络出口带宽的占用,以达到控制非教学业务流量,合理利用网络出口带宽和保证机房网络使用顺畅的效果。

1机房网络带宽管理难点

1.1上网行为的多样化:机房内计算机数量众多,导致机房用户上网行为的多样化,BT/电驴下载、在线游戏、在线视频和在线歌曲、IM聊天等,这些上网行为大部分都会对带宽占用要求特别高,特别是BT/电驴下载、在线视频和在线音频。

1.2网络应用的多样化:除了传统的迅雷、电驴等BT下载软件采用P2P技术之外,越来越多的网络应用软件也采用了P2P技术。例如各大视频网站开发的网络播放器、各大音乐网站开发的播放器以及大部分传统的应用软件(例如安全软件、输入法软件等)的更新模块都采用了P2P应用。这些采用P2P技术的软件运行时不仅占用下行带宽,还不断地通过P2P特有的上传机制占用上行带宽,使得网络的出口带宽可以在很快的时间内被迅速无限地占用。

1.3P2P流量应用的多样化:P2P应用流量主要的特点表现为:抢占空闲带宽、上下行流量对称、一对多点链接、大部分端口可变、协议相对固定、流量特征不明显。这些特征导致P2P在采集分析、识别和管理方面比较困难。

1.4P2P技术的多样化:P2P特有的点对点传输机制使得P2P的监控和管理越来越难,以传统的迅雷、网际快车为首的BT软件不断地更新其P2P技术,甚至在现有P2P技术的基础上自主开发新的私有P2P协议(例如迅雷自主开发的PS2P技术),这些自主的P2P有的还采用了加密技术,使得这软件产生的应用流量更加难以被监控和管理。

2Panabit流量控制系统

Panabit是基于X86硬件构架的协议识别和管理平台,协议识别精确,流量控制精准,具有强大的协议识别和控制功能,自主研发的国内最专业的网络应用层流量监控和管理引擎,实现基于应用层的流量管理或带宽分配。采用双OS主备机制保障了在X86平台上具有高性能和高稳定性。Panabit有专业版、标准版和网吧版本,标准版为免费提供版本(本文所部署的Panabit为标准版本)。

3部署Panaibit流控系统

Panabit可以安装在普通的X86电脑上,安装Panabit的电脑需要有三张网卡,Panabit的部署主要采用网桥模式,部署结构如下图所示:

4Panabit的管理和配置

Panabit的管理配置:安装Panabit的计算机必须安装有三张网卡,在三张网卡中选择一个网卡接口作为管理借口,其余两张网卡配置为网桥的内网接口与外网接口,并为管理接口配置IP地址(例如本文将IP地址配置为192.168.2.24),可以通过浏览器或者通过HTTPS方式直接访问该管理IP地址进入Panabit的登录管理界面。

Panabit的策略配置:

4.1定义限速对象。可在IP群组里添加要限速或者放行的IP地址或者IP地址段,也可在编辑策略时直接添加。

4.2创建策略组并自定义策略组的名称。

4.3在策略组添加相应的策略并编辑策略。在策略编辑页面选择相关的参数,例如下图

其中执行动作主要分为:允许、阻断、数据通道

4.4在策略调度中添加计划调用策略组的时间段。

4.5在计划的时间段,Panabit开始调用策略组并使之开始监控或者管理网络带宽。

5Panabit流量控制系统的应用

5.1调用策略组限速前―系统流量图分析图。通过Panabit流控的系统流量图(图5-1)可以看到,在没有调用限速策略组的时候,机房从8:10开放开始,整个机房网络流量的基本情况。

图 5-1调用策略组前的系统流量图

流量趋势分析:机房网络的下行流量迅猛飙升到60Mbps,并稳定在60Mbps左右。

协议组流量分析:HTTP协议的下行流量最大,达到了49.37Mbps,在HTTP协议中包含HTTP分块传输、伪IE下载、其他下载、Web音乐、网页浏览、WEB视频,其中WEB视频所占的速率最大;P2P下载速度为8.21Mbps,网络电视的下载速度为4.9Mbps。

10分钟流量分布分析:HTTP协议下行流量分布中的比例为70.91%,所占的比例是最大的;P2P下载流量分布中的比例为10.98%,网络电视所占比例为11.15%;

机房带宽使用情况:机房网络带宽使用已接近出口带宽上限,网络出口出现严重拥挤,机房内的电脑浏览网页缓慢。

5.2调用策略组限速后―系统流量图分析。通过建立相关的策略组,并在教学时间内调用策略组,策略组开始生效并对定义的机房IP群组进行带宽使用监控和限制,图5-2为调用策略组进行带宽限制后的系统流量分析图。

图5-2调用策略组后的系统流量图

(1)流量趋势分析:网络下行流量从限速前的66Mbps左右迅速降低到了20Mbps左右。

(2)协议组流量分析:HTTP协议的流量降到了16.3Mbps,P2P、网络电视的流量排名已经跌落到流量排名后面,并且流量速度为非常低,甚至P2P流量的速度已经降到0

(3)10分钟流量分布:HTTP协议的比例不变,但是HTTP协议的流量已经大大地降低了,P2P、网络电视的流量比例已经明显降低,甚至P2P流量的比例已经处于忽略不计的程度。

机房带宽使用情况:机房网络带宽使用已迅速回落,网络出口的严重拥挤得到了非常大的缓解,机房内的电脑浏览网页迅速。

6结语

针对难以监控和管理的P2P应用,通过采用Panabit流量控制系统的精准监控和可视化管理,对机房网络用户的上网行为进行引导、管理和规范,减少了机房网络出口带宽的压力,使非教学和学习业务的网络流量得到有效的限制,使得机房网络的互联网流量的得到有效的监控和管理,提高了机房网络流量带宽的有效利用,使得学校在网络带宽租用方面的支出得到有效的利用,节省了学校在网络带宽方面的无限制投入。同时,通过采用X86构架的Panabit,节省了采用其他专业硬件的流量控制系统的购买与软件授权费用,大大地节省了学校在流量控制设备方面的支出,采用流量控制系统只是学校对网络行为进行管理和规范的一个手段,主要的目的是通过流量控制系统规范机房网络用户的上网行为,从而引导合理地利用网络带宽,创建良好的网络环境。

参考文献:

[1]刘文超,陈琳.P2P流量检测技术与分析[J].现代电子技术,2011,22.

[2]张岩.使用Panabit管理校园网[J].科技信息,2011,16.

[3]赵更强.Panabit在校园网中的应用[J].中国电子商务,2011,2.

篇9

[关键词]信息计量学 网络计量学 文献计量学

[分类号]G350

1 引言

“信息计量学(Informetrie)”这一学科名称首次由德国学者O.Nacke在1979年提出,与之对应的英文术语“Informetrics”则最早见于1980年美国科学基金会公布的年度研究项目的标题中,并随后得到了国际文献联合会的认可。1984年,B.C.Brookes撰文提出要大力发展信息计量学,并就信息计量学的一些基本理论问题进行了较详细的论述。1987年,在第一届“文献计量学与信息检索理论”国际研讨会上,布鲁克斯又提议将术语“Informetrics”补充到第二届会议的名称中去,得到了与会学者的普遍赞同,自此每两年举办一届的国际学术会议及其出版的会议论文集都在名称中使用了“信息计量学”。1995年起,会议名称被正式确定为“科学计量学与信息计量学国际会议”,由“国际科学计量学和信息计量学学会”(ISSI)负责主办。1997年,T.C.Almind和P.Ingwersen首次提出用“Webometrics”一词来描述将传统文献与信息计量学方法应用于WWW信息计量研究,使信息计量学的研究活动拓展到了网络空间。2007年1月,由L.Egg―he担任主编的《Journal of Informetrics》创刊,为新世纪更趋繁荣的学术研究提供了独立和更加专业化的国际学术交流平台。

从1979年学科名词的提出,到1987年成为国际学术会议的主题、奠定自身的学科地位,再到1997年“Webometrics”的出现,信息计量学终于从早期对文献计量学和科学计量学的依赖、继承与交流中获得了长足的进步,并在21世纪的网络化环境中开辟出更为广阔的学科发展空间。本文试图对新世纪以来信息计量学的研究活动进行较为全面的概括和评述,但限于篇幅,重点讨论的内容主要包括信息计量学在理论、方法和应用方面取得的重要研究进展,以及当前所面临的问题与挑战。

2 理论研究进展

2.1网络信息计量学研究的全面推进

自1997年“Webometrics”被提出后,基于Web的网络信息计量问题即广受关注。根据作者对中国期刊网全文数据库(2000―2008年)的文献调查,在以“信息计量学”为标题关键词的检索结果中,超过90%的中文文献都是关于网络信息计量的内容。而在2007年4月对Web of Science数据库进行的国外文献调研中发现,网络信息计量主题的核心文献数量呈现逐年激增趋势,其中高品质的学术文献约占18.5%,被同行引用的次数普遍超过了30次。可以说,网络信息计量领域的确立及各项研究活动的全面推进,已成为新世纪以来信息计量学理论研究取得的一个最令人瞩目的重要成就。

目前,大量的网络信息计量研究活动又以“网络链接分析”为中心议题。由于网络链接与传统学术期刊文献之间的引用关系具有某种天然的相似性,研究人员不仅将文献计量学的引文分析思想广泛移植、应用到了网络信息计量研究中,而且赋予了相应的研究工作和成果以极其鲜明的引文分析“烙印”。这种“烙印”从以下网络计量指标的设计和使用上即可得到充分的印证,例如“Sitation”、“Web Impact Factor”、“Webcoupling”、“Co-citation”、“Co-link”、“Co-authorship”、“Self-linking”、“Self-linked”等。另外,在具体的研究成果方面,例如网络链接分析与引文分析的异同、网络链接的目的与类型、网络影响因子的定义与应用、核心网站测定等,也都表现出了与传统引文分析的紧密映射关系。

除借用引文分析法外,近年来网络链接分析开始采用另一种重要研究方法――来自社会学的社会网络分析(SNA),并在具体应用中取得了一定进展。

随着研究活动的深入,Web环境下更多更具挑战性的信息计量问题正在不断被提出,并赋予信息计量学新的研究使命。例如,(具商业价值的)网络流量分析及其软件工具的研制;各种网络用户行为(例如浏览、查询、下载、标注、订阅等)的跟踪、计量与分析;虚拟社区(包括成员角色、社区结构、主题/话题及其态度/倾向性等)的发展、监测和演变趋势分析;网络空间的知识结构及相关站点群落的识别等。面对这些问题与挑战,信息计量学的研究内容将更具交叉性和丰富性。

2.2“信息基本循环图式”的构建及对信息计量学理论基础的探讨

1967年,布鲁克斯曾将情报学的研究任务抽象为如下的基本知识方程:K[S]+I=K[S+S]。2005年,国内学者王宏鑫基于该知识方程,提出“信息基本循环图式”的构建:

图式中各元素含义分别是:W表示人们认识和改造的对象;K’[S]表示社会/他人的主观/客观的知识结构;K[S]表示个人/团体的知识结构;I表示个人/团体从社会实践活动中得到的信息;而K[S+S]则表示吸收I后形成的新的知识结构;“+”表示作用与联系。

这一“信息基本循环图式”的提出,不仅具有较为完善的哲学基础和情报学理论基础,而且为研究人员对信息计量学逻辑起点的认知与理解以及规范、定义、预测信息计量学的研究内容、研究方法、发展方向、学科增长点等提供了较为有效的观察视角。此外,该信息基本循环图式对于形成信息计量学更加多元化的研究范式也很具启发性。例如,可据此分别从传播学、认知科学、经济学、决策学等不同视角展开相应的研究工作。

3 研究方法/工具的集成与创新

在长期的发展过程中,信息计量学逐渐建立了三大核心研究方法:指标计量法、引文分析法和数学模型法。其中,指标计量法简单实用,通过统计某一项或多项指标的数量(累积)值,经数学处理后即可得出不同指标值的关系或指标值的频率、时间等分布规律;引文分析法形成于20世纪50年代,它通过对科学文献之间存在的引用与被引用现象的分析来揭示文献集合的数量特征和内在规律,是信息计量学独有的高效研究方法;而数学模型法则是现代科学的核心方法,并成为研究各种复杂系统和社会问题的关键性方法。在信息计量学中,对“布-齐-洛分布”问题已基于数学模型法取得了一系列重要研究成果,包括:西蒙的斜分布函数组(1955年);普赖斯的累积优势分布(1976年);布鲁克斯的混合泊松模型(1977年);西切尔的通用逆高斯-泊松分布模型(1982年);巴瑞尔的贝塔-负二项分布(1988年);布克斯坦的经验负幂分布(1990年)

等。它们对于完善信息计量学的理论基础,有效解释、预测文献流、信息流的变化及相关现象均具有重要的理论意义。

进入新世纪以来,信息计量学在研究方法和研究工具方面不断取得新的进展,以下主要从4个方面进行说明。

3.1对传统研究方法的综合与集成

不可否认,每一种研究方法都有自身的优缺点。以引文分析法为例,由于文献引用具有一定的滞后性,通过文献之间的共引关系来研究、分析学科发展的前沿与热点问题时,结果很可能会有所遗漏;而随着作者合著现象的日益普及,只针对第一作者进行作者共引分析,研究结论的失真程度也将会日益严重。因此,在近期所进行的文献引文分析研究中,研究人员已越来越多地考虑将多种不同的引文分析方法加以综合利用,例如把共引分析和文献耦合分析、共词聚类、词频统计等方法结合起来;或者同时运用第一作者共引分析和全作者共引分析等。

由于不同方法之间的较强互补性以及不同方法形成结果的可比较性,多种方法的综合运用和集成可以得到更准确可靠的研究结果。调查发现,国内外近年来进行的引文分析研究中,基于不同引文分析指标、集成多种不同引文分析方法的文献占据了大多数,引文分析已进入了一个具有更大规模和复杂性的研究阶段。

3.2社会网络分析方法的引进

社会网络分析(SNA)是20世纪70年代以来在社会学、心理学、人类学、数学、通信科学等领域逐步发展起来的一个新的研究分支。作为一种新的方法论和研究范式,SNA主要使用社群图、矩阵等形式化表达工具和所定义的中心性、权力指数、聚类簇/派系、网络结构、社会角色等基本概念(或指标),从整体网络分析、自我中心网络分析等不同方向开展研究工作。

目前,信息计量学研究对SNA方法的引进和应用,主要表现在对Web环境下较大范围内的网站超链接的分析与计算上,并与基于传统引文分析法建立起来的网络链接分析研究模式形成一种对照和互补。概括起来,基于SNA方法开展的主要研究活动有:基于网站之问的超链接分析,识别社会系统之间的各种联系;基于政府组织、非政府组织和私人公司之间网站的超链接网络分析,发现组织间联合的意向;对某一特殊专题不同类型网站之间的超链接追溯,用以理解问题解决过程、辨别社会热点问题等;基于网站主页内容、链接结构和E-mail成员列表等,预测社会成员之间的联系等。

SNA方法通常涉及大范围内社群网络结构的分析问题,指标计算和数据处理比较复杂,不过相应的软件工具开发已取得了很多成果。以下是几个较为重要的社会网络分析软件:Pajek、Ucinet、NEGOPY、Sociometryplus、Socio Metrica Suite。它们可在SPSS、SAS等统计分析软件功能之外提供更多的专项分析功能。例如,Ucinet软件能够读取多种不同形式的数据,可处理32767个网络节点,同时还能计算各种SNA测度指标值,并能进行凝聚子群和核心一边缘结构分析等。

3.3可视化工具的广泛应用

在早期的信息计量学研究工作中,研究人员为了把经过繁杂数据处理后得到的计量分析结果,进行直观和形象的展示比较重视各种可视化方法(或手段)的运用。MDS散点图、基于等级聚类的树状图、雷达图、切诺夫脸(Chernoff-face)等,都是一些比较常见的可视化展示方法。1997年,T.Braun等人就利用一个4维的切诺夫脸,把多维空间的科学计量指标数据(活动指数、吸引指数、平均期望引文率、相对引文率等)用一个由计算机绘制的卡通脸的面部特征表示出来,成功地完成了对1990―1994年间世界科学发展状况的分析和说明。

各种可视化方法(或工具)充分利用了人类对可视模式快速识别的自然能力,可将人类对信息阅读、判别和理解等认知负担转变为简单、直观的视觉感知,对于科学研究工作的重要性日益凸显。特别是近年来由于问题研究规模和复杂性的日益增长,在对研究结论和成果进行展示、说明时,普遍存在着对各种可视化工具的迫切需求。

当前,各种功能丰富的可视化工具在信息计量学研究中已得到广泛使用,并渐成趋势。如Pathfinder、CiteSpace Ⅱ、HistCiteTM、VxInsight等以及Pajek和Uci―net的使用都是比较流行的。

3.4网络引文分析工具的研制

根据国内学者以Web of Science(WOS)和Google Scholar作为引文分析工具进行的实证研究和结果对照,未来的引文分析研究再单纯依赖传统的WOS等工具,将越来越难以获得全面、真实的引文数据,并会导致引文分析结果产生日益严重的偏差。为此,各种新型的网络化引文索引工具的编制逐渐被提上了议事日程,以适应e-Science时代引文分析的研究需求。

1998年,第一个网络引文索引CiteSeer开始研制,并于1999年正式投入使用。作为一个主要面向计算机和信息科学领域学术资源的网络引文索引与检索工具,CiteSeer主要基于自动引文索引(ACI)技术编制而成。2004年,Google Scholar也在学术搜索服务中成功引入引文分析方法,并提供功能完善的引文链接服务。同年,全球最大规模的文摘和引文数据库服务系统Elservier’s Scopus正式推出,它涵盖了由4000余家出版商出版发行的科技、医学和社会科学方面的15100多种期刊资源,并基于文献计量学原理开发、整合了丰富的学术计量评价功能,可广泛服务于科研人员、图书馆员、编辑和审稿人、学术机构管理者等。

伴随着CiteSeer、Scopus等新型引文分析工具的出现,2004年以来,比较它们和传统WOS工具之间异同的各类研究活动十分踊跃,而目前多数的研究结论是:它们要完全取代WOS或者作为一种权威性的引文分析工具来使用,都面临着一定的困难或障碍,例如:收录范围的不明确;覆盖的学术资源领域受限;回溯年代较短;各学科开放获取运动发展的不平衡;ACI技术与网络搜索技术的缺陷等。

4 主要应用实践及进展

信息计量学的传统应用领域主要涉及文献管理、学科发展分析与评价、科研管理等,而近年来取得的应用进展则大量集中于网络环境,以下选取几个较有影响的网络应用予以说明。

4.1网络流量分析

随着网络发展及其对社会生活的全面渗透,商业网站为扩大自身影响力,吸引更多网络广告客户和电子商务客户,都非常注意对自身网站访问流量进行计量和宣传。早期,网站通常采用自行统计、网络流量分析报告的方式,但由于日志文件数据比较容易篡改,广告客户常常对网站提供的流量数据心存疑虑。另外,各网站在流量分析过程中所采用的标准、计量指

标和工具等的不同,也使得各网站的流量统计结果之间缺乏可比性。为此,制定网络流量分析的行业标准和报告规范,并由此提供第三方流量认证服务,成为随后网络流量分析的发展主流。

目前,市场上专门提供对网站流量和日志数据计量分析的相关软件以及流量认证服务的提供商越来越多,如WebTrends Log Analyzer、FlashStats、AcessWatch、OneStatPro和BPA International、Nielsen//NetRatings等。商业化软件和第三方流量认证服务的推出有效促进并形成了信息计量学的一个网络化新兴应用领域。

4.2核心网站评测

对“核心”问题的研究始终得到信息计量学的高度关注,例如早期对学术期刊、文献作者、词频等分布的集中与离散现象的研究以及由此建立起来的一系列经典定律。进入21世纪以来,对“核心”问题的研究仍在继续,其中尤以核心网站评测最具代表性。

核心网站评测主要由核心期刊评选活动引发而来。除了全面分析和比较核心期刊与核心网站评选方法的异同外,如何建立合理的核心网站评选程序进而形成关于核心网站评选的理论与方法体系更为重要。2005年,国内学者袁毅经过系统、深入的研究,提出了“发现、过滤、评价、扩展和更新”的核心网站评选基本流程,并对该流程进行了实证研究和分析,初步验证了其合理性和有效性。

4.3 网络标签分布的计量分析

网络自由分类法出现于2004年,而大量使用则在2005年以后。基于自由分类法原理提供Web2.0服务的众多新兴网站中用户标签的使用及数量、频率等分布状况逐渐成为网络信息计量研究的一个热点领域。

目前,网络标签计量分析研究主要以Del.icio.us、Flickr、Connotea、CiteUlike、Bibsonomy等网站作为实例,从中抽取一定时间范围内的标签样本数据,利用统计描述、聚类、共词分析等方法进行计量分析,试图揭示、说明自由分类法及其网络协作标注系统的运行机制、用户标注行为规律及行为模式以及互联网环境下新兴的长尾分布现象等。已实施的网络标签计量分析研究主要有:①标签、用户、资源三者之间的关联分析;②各种标签的频率和比例分布分析(包括高频标签与低频标签、规范词与非规范词、拼写变化等);③标签共现分析;④标签词语集合的规模及增长变化;⑤基于标签的用户标注行为和用户相似性分析等。

5 面临的问题与挑战

5.1基本概念缺乏清晰定义,研究内容庞杂,学科边界模糊

信息计量学的基本计量分析对象应是“信息”,但由于“信息”概念的难以定义,时至今日,实际研究工作中大都是以各种各样的信息“替身”为计量对象的。另外,信息(尤其是数字信息)所具备的一些特性,例如无穷性、载体依附性、易复制易传播性、脆弱性等,也为计量分析带来更多的困难。

“信息基本循环图式”对信息计量学理论基础的建立虽然有所贡献,但也存在着明显的缺陷,例如对信息计量与知识计量的关系、各组成要素之间具体的联系与作用方式(即“+”)等都缺乏明确的定义和说明。此外,基于基本循环图式而形成的众多不同的研究范式,也会导致信息计量学研究内容的日益庞杂,并使学科边界相对模糊。如果多元研究范式长期并存不能形成主流(或核心)的研究体系,则有可能使学科研究主题进一步出现被模糊或被淡化的危险。

5.2研究方法有待继续创新,专用研究工具比较缺乏

虽然目前信息计量学在研究方法、工具和指标设计等方面已取得不少进展,研究视野得到拓展,但对传统方法的依赖依然较为严重,尤其是在新兴的网络链接分析方面,引文分析的“烙印”十分明显,而针对网络特性所进行的创新和改进远远不如继承的成分更多。继承之上如何超越正成为信息计量学急需解决的一个方法论难题。

研究工具方面,不论是网络抽样、原始数据下载还是网络链接解析与统计,都还缺乏较为有效的专用工具,很多情况下只能依靠搜索引擎来获取样本数据,由此造成研究中存在种种偏差。

5.3应用研究活跃,但影响力和应用效果都比较局限

与信息计量学研究中存在的理论基础薄弱、方法/工具创新不足形成鲜明对照的是当前各种应用研究活动十分活跃。不过,大部分的应用活动不仅研究方法简单,而且应用效果不确定,难以形成较强的示范效应或者对理论基础和研究方法的完善形成有益的促进。而影响力较大的少数研究活动则仍较多局限于教育、科研等学术性领域,这与网络对当今社会的全方位影响、渗透相比,研究思路还显得过于狭窄。

篇10

关键词:IP城域网络流量预测方法

中图分类号: P332.4文献标识码:A

做好网络的可用性与关键业务的畅通运行,对网络正常健康的发展有着相关重大的作用。维持正常的网络操作,就须要有相应的技术手法,清晰的认识网络上各种应用的带宽占用情况,分析用户流量行为,有效地保障关键业务应用的正常运行,以便合理的规划和分配网络带宽。特别是在发生流量异常的同时,快速有效的分离与抑制异常流量,对非法业务实行遏止,使网络流量可以保持其健壮性。

1、城域网络的特点

可靠性:城域网的信息系统能够在规定条件下与规定的时间内完成规定功效的特点。可靠性是基于系统安全的最基于要求之一,是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种:抗毁性、生存性和有效性。可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方面。

可用性:是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。可用性还满足身份识别与确认、访问控制,防止或限制经隐蔽通道的非法访问。

2、网络流量的分类

2.1网络节点端口流量:是网络节点设备端口流入和流出的数据包的信息统计,包括数据包的个数、字节数、包大小分布、丢包数等非常多的统计信息。监视节点端口流量的典型工具是MRTG( Multi Router TrafficGrapher),另外现网许多网管也提供这些功能。MRTG的功能单一,它使用SNMP协议访问网络节点攻取MIB信息(包括网络节端口流量),然后通过WEB方式输出结果。

2.2端到端的IP流量:是在网络层从一个源到一个目的IP包的统计信息。相对于网络节点端口流量而言,端到端的IP流量包含了更为丰富的信息,通过对它的分析,可以了解到网络中的用户都访问了哪些目的网络,是网络分析、规划、设计和优化的重要依据。目前采用端到端IP流量的典型工具包括SNIFFER、FLOW和流量探针等,根据其不同的特点,分别适用于不同范围的流量采集。

2.3业务层流量:该流量除了包含端到端IP流量的信息外,还包含了第四层(TCP层)的端口信息。显而易见,它包含了应用服务的种类信息,利用这些信息可以做更详细的分析。SNIFFER、FLOW和流量探针等工具也实现了这个层面的流量信息采集。

2.4完整的用户业务数据流量:该流量对于安全、性能等方面的分析非常有效。例如捕捉黑客的来访数据包可以制止某些犯罪行为或得到重要的证据。由于捕捉完成的用户业务数据需要超强的捕获能力和超高的硬盘存储速度和容量,需提供长时间的完整的用户业务数据流量采集。

3、IP 城域网业务流量预测方法

运营商在完成用户预测的基础上,便可进行网络流量及带宽的预测。

1)宽带业务流量

宽带业务流量= 宽带用户数× 用户并发率× 用户平均业务带宽(Mbps)× 宽带用户带宽占用率。其中,各项指标如下:

a. 宽带用户数:(含DSLAM 用户、LAN 折算用户、xPON 用户、WLAN 用户):为预计达到的用户数。

b. 用户并发率:应为峰值的用户并发率。

c. 宽带用户平均带宽:应根据本地预计的不同带宽用户发展比例进行计算,公式为:用户平均业务带宽=2M×2M 接入用户占比+ 4M×4M 接入用户占比+8M×8M 接入用户占比+……。

d. 宽带用户带宽占用率= 宽带用户实际平均流量/ 宽带用户平均带宽。例如,按照某运营商市场部预测,4M接入用户占比取定参考值为55%,8M 接入用户占比取定参考值为40%,8M 以上接入用户占比取定参考值为5%。由此计算出接入用户平均带宽为5.8M。

2)互联网专线业务流量

互联网专线业务流量= 专线用户数× 平均用户流量。

3)IPTV 业务流量

IPTV 业务流量,包括中心节点点播业务流量和中心节点直播业务流量。

a. 中心节点点播业务流量=IPTV 用户数× 开机并发率× 点播并发率× 中心命中率×(标清并发率× 标清码流+高清并发率× 高清码流)× 带宽冗余系数。

b. 中心节点直播业务流量=(标清频道数× 标清码流+ 高清频道数× 高清码流)× 带宽冗余系数。其中,开机并发率参考值为50%,点播并发率参考值为50%,中心命中率参考值为20%,标清并发率参考值为50%,标清码流参考值为2M,高清并发率参考值为50%,高清码流参考值为8M,标清频道数参考值为100 个,高清频道数参考值为20 个,带宽冗余系数参考值为1.2。

4)VoIP 业务流量

VoIP 业务流量=VoIP 用户数× 平均用户流量。

5)IDC 业务流量

IDC 业务流量=IDC 出口宽带×IDC业务流量系数。

6)3G 业务流量

3G 业务流量=3G 用户数× 平均用户流量。

7)业务控制层流量

BRAS 上行流量= 宽带业务流量。SR 上行流量=IPTV 业务流量+ 专线业务流量。

4、IP城域网流量过滤技术

城域网流量的安全过滤主要可以分为两种方式:旁路方式和串接方式。

5.1 旁路方式

旁路方式是将流量清洗设备旁挂在城域网核心层,同时将流量监控设备旁挂在城域网汇聚层对汇聚层流量进行监控。当流量无异常时,从核心层至汇聚层的流量不经过流量清洗设备。当流量监控设备发现汇聚层流量出现异常时,由其通知流量清洗设备,并由流量清洗设备向网络流量重定向的路由公告,将异常流量牵引至流量清洗设备,由其对异常流量进行安全过滤后,再把正常流量转发至汇聚层,实现流量过滤。而其他正常流量则不受影响,仍使用原路由。当异常流量消失后,再公告恢复原路由,使流量恢复原正常路由。

路由方式的主要优点是不会因为安全过滤设备故障而导致的网络不通,对业务无任何影响,避免网络故障点的增加。其只对异常流量进行过滤清洗,无需对全部流量进行处理,避免了由于安全过滤设备的性能原因影响网络转发能力,从而有效避免了网络延时增加、丢包、传输性能下降的问题。但由于需要通过流量监控设备检测,因此需要对核心层至汇聚层流量进行分光,监控设备需要与汇聚层每台设备进行互联,占用资源。同时由于需要先检测,发现流量异常后才对流量进行牵引过滤,使其对攻击的控制力度较弱,对攻击的反映较慢,对于某些实时发生的网络攻击效果不明显。

5.2 串接方式

串接方式是将流量清洗设备串接在城域网核心层与汇聚层之间,网络全部流量都经过流量清洗设备分析过滤,之后再转发至汇聚层。然后再转发至汇聚层。其网络结构。

串接方式的主要优点是流量实时进行分析过滤,能及时对网络攻击等异常流量进行过滤,对攻击的控制力度强。但由于其串接在网络中,增加了网络的故障点,对流量清洗设备的性能要求较高。如果网络扩容,则需要对流量清洗设备进行相应的扩容,投资成本较高。