网络流量监测范文

导语：如何才能写好一篇网络流量监测，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

关键词:网络管理;网络流量;监测

Network Traffic Monitoring in Network Management

Wang Lei

(Hunan Women’s University,Changsha410004,China)

Abstract:This article study from the network traffic characteristics,internet traffic measurement,etc,so as to optimize some suggestions for traffic monitoring technologies.

Keywords:Network management;Network traffic;Monitoring

一、网络流量的特征

(一)数据流是双向的,但通常是非对称的

互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。

(二)大部分TCP会话是短期的

超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。

(三)包的到达过程不是泊松过程

大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。

(四)网络通信量具有局域性

互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。

二、网络流量的测量

网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:

(一)基于硬件的测量和基于软件的测量

基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。

(二)主动测量和被动测量

被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。

(三)在线分析和离线分析

有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。

(四)协议级分类

对于不同的协议,例如以太网(Ethernet),帧中继(Frame Relay),异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。

三、网络流量的监测技术

根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。

(一)基于网络流量全镜像的监测技术

网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。

(二)基于Netflow的流量监测技术

Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。

(三)基于SNMP的流量监测技术

篇2

关键词:网络 异常流量 检测

一、异常流量监测基础知识

异常流量有许多可能的来源,包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测方法可以归结为以下四类:统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种统计模型有:①操作模型。该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。②方差。计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明可能存在异常。③多元模型。操作模型的扩展,通过同时分析多个参数实现检测。④马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化。若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。⑤时间序列模型。将测度按时间排序,如一新事件在该时间发生的概率较低,则该事件可能是异常事件。

二、系统介绍分析与设计

本系统运行在子网连接主干网的出口处,以旁路的方式接入边界的交换设备中。从交换设备中流过的数据包,经由软件捕获,处理,分析和判断,可以对以异常流量方式出现的攻击行为告警。本系统需要检测的基本的攻击行为如下:(1)ICMP攻击(2)TCP攻击,包括但不限于SYN Flood、RST Flood(3)IP NULL攻击(4)IP Fragmentation攻击(5)IP Private Address Space攻击(6)UDP Flood攻击(7)扫描攻击不同于以特征、规则和策略为基础的入侵检测系统(Intrusion Detection Systems),本研究着眼于建立正常情况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量与正常流量模型之间的偏差。当偏差达到一定程度引发流量分配的变化时,产生系统告警(ALERT),并由网络中的其他设备来完成对攻击行为的阻断。系统的核心技术包括网络正常流量模型的获取、及对所观察流量的汇聚和分析。由于当前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络交换设备,而在TCP/IP协议中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用(misuse)也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运行的最终目的,在本系统中,采用下列方式来建立多层次的网络流量模型:

(1)会话正常行为模型。根据IP报文的五元组(源地址、源端口、目的地址、目的端口和协议),TCP和UDP报文可以构成流(flow)或伪流(pseudo-flow)。两个五元组中源和目的相反的流可以构成一个会话。由于ICMP的特殊性,对于ICMP的报文,分别进行处理:ICMP(query)消息构成独立会话,而ICMP错误(error)消息则根据报文中包含的IP报头映射到由IP报头所制定的会话中去。每一类协议(TCP/UDP/ICMP)的正常行为由一个有限状态及刻画。在这个状态机中,如果一个事件的到来导致了错误状态的出现,那么和状态机关联的计数器对错误累加。协议状态机是一种相对严格的行为模型,累加的错误计数本身并不一定代表发现了攻击行为。

(2)流量规则特征模型。在正常的网络流量中,存在着稳定的规则特征。比如一个IP收到和发出的含SYN标志位和含FIN标志位的报文的比值、一个IP的出度和入度的比值以及一个IP的平均会话错误数等。这些网络不变量是检验在一定时间区间内,一个IP是否行为异常的标准之一。这个模型要求对会话表中的会话摘要(一个含有会话特征的向量)进行汇聚,在会话正常行为模型基础上增加攻击行为判断的准确程度。

(3)网络流量关联模型。把一些流量特征(如字节数、报文数、会话错误数等)在一定时间区间内的累加值记录下来,可以看作时间序列。通过对序列的分析,可以找到长期的均值、方差、周期、趋势等特征。当攻击行为发生时,观察到的一些流量特征会偏离其长期特征。这种特征偏离的相关性就提供了判断是否攻击已发生的一个依据。

三、大规模流量异常检测框架

异常检测通常需要描述正常网络行为,网络行为模型越准确,异常检测算法效果越好。在大规模流量异常检测中通常通过网络探针了解单个实体或结点的行为来推测整个网络行为,基于网络断层成像(network tomography)思想通过使用探针测量推断网络特征,这是检测非协作(noncooperative)网络异常和非直接管理控制网络异常的有效手段。对于单个管理域,基于实体研究可以向网络管理者提供有用信息,例如网络拓扑。在单个结点使用一些基本的网络设计和流量描述的方法,可以检测网络异常和性能瓶颈。然后触发网络管理系统的告警和恢复机制。为了对大规模网络的性能和行为有一个基本的了解,需要收集和处理大量网络信息。有时,全局网络性能信息不能直接获得,只有综合所获得的本地网络信息才能对全局网络行为有个大致的了解。因为不存在准确的正常网络操作的统计模型,使得难以描述异常网络模型的统计行为,也没有单个变量或参数能包括正常网络功能的各个方面。需要从多个统计特征完全不同的矩阵中合成信息的问题。为解决该问题,有人提出利用操作矩阵关联单个参数信息。但导致算法的计算复杂度较高,为了满足异常检测的实时性要求,本文关联本地和全局数据检测网络异常。尽管本章利用行为模型对IP Forwarding异常进行检测,但该方法并不仅限于检测本地异常。通过关联多条网络链路的时间序列数据,也可以检测类似于空间的网络异常。因此,该方法可以扩展到其他类型的大规模网络数据和其他大规模网络异常。

参考文献:

[1]司伟红.浅析网络攻击常用方法.科技广场,2006,7:36-38.

篇3

关键词：ITS 3G网络 交通流量 数据传输

中图分类号：TP368 文献标识码：A 文章编号：1007-9416(2012)07-0028-02

智能交通系统通过实时、准确、高效和多方位的检测监控设备，检测有关车道占有率、车流量、行车速度等交通流量信息，利用有线以及无线通信网络传输检测数据信息，使得交通主管部门能够详实的数据，处理交通流量数据，充分发挥现有交通基础设施潜力，改善交通安全以及缓解交通拥挤，提高整个路网的运输效率和通行能力；既能够降低油耗，减少废气排放，降低、对环境的污染[2]，又能够提高交通出行的方便性、安全性，节约运输成本，提高社会效益和经济效益。

1、交通流量检测技术

交通流量检测是智能交通系统的基础部分，其在交通监控、交通诱导、交通应急指挥等研究应用中占有很重要的地位。主要是通过各种检测设备对路面行驶车辆进行探测，获取相关交通参数，包括各车道的车流量、车道占有率，车速、车型、车头时距等，以达到对公路各路段交通状况及异常事件的自动检测、监控、报警等目的。交通流量检测方式一种是接触式[3][4]，其主要分为压电、压力管探测、环行线圈探测和磁力式探测，其特点是埋藏在路面之下，当汽车经过采集装置上方时会引起相应的压力、电场或磁场的变化，最后采集装置将这些力和场的变化转换为所需要的交通信息；另一种是非接触式[5]，主要分为微波、超声波和红外、和视频探测等，除了超声波探测只能进行单车道交通信息采集外，其余都可同时进行多车道交通信息采集，其安装维护简单，发展非常迅速。

2、交通流量检测需求分析

智能交通系统应用了计算机技术、信息技术、通信技术和控制技术等新技术，把人、车、路紧密联系起来，通过对交通流信息进行实时检测，掌握道路交通的运行情况，根据交通流的动态变化，迅速做出交通诱导控制，不仅有效的解决了交通阻塞问题，而且对交通事故的应急处理、环境的保护、能源的节约都有显著的效果。它是以交通指挥中心为主体，并随着科技发展和管理方法的改进在不断完善中。交通流量检测系统和通信系统是智能交通系统的关键。交通流量检测系统主要完成提取流量数据所需的原始信息的采集工作，可通过地感线圈、激光、红外或视频方法，检测与识别交通流、路况等实时监视，提取交通流信息(车流量、车道占有率、车速等)；通信系统是数据采集和数据处理的桥梁，它是将原始数据信息通过有线网络或是无线网络传输到交通监控中心，监控中心处理原始数据，进而对得到的信息进行进一步地分析，判断该路段的交通拥塞状况，监督异常事故的发生，在交通拥挤未发生时交通信息，及时采取分流措施，疏导交通，防止交通拥挤发生。智能交通系统的结构图如图1所示。

目前智能交通系统中使用的有线传输主要采用标准RS-232或是光纤通信等，在距离监控中心较远且供电不便利的重点路段、桥隧等地区，或者一些临时性的设备通信，传统的有线连接便显得十分不方便，因此希望以一种低成本、高可靠性的无线传输方案来代替传统的有线方式。3G网络技术可以方便实现设备之间的无线连接，具有低成本、低功耗、高速率、组网灵活等特点，其通信架设方便，供电可以采用蓄电池或太阳能电池板等，是实现无线数据采集系统的理想选择。

3、3G网络技术传输架构

第三代移动通信技术（3rd-generation，3G）[6]，主要是支持高速数据传输的蜂窝移动通讯技术。目前3G标准分别是WCDMA、CDMA2000和TD-SCDMA。3G网络架构由无线接入网络（RAN）和核心网络（CN）组成。其中，RAN用于处理所有与无线有关的功能，而CN则处理3G系统内所有的话音呼叫和数据连接，并实现与外部网络的交换和路由功能，CN从逻辑上可分为电路交换域（CS）和分组交换域（PS）。3G网络分为核心网和接入网，UMTS 陆地无线接入网（UTRAN）、CN与用户设备（UE）一起构成了整个无线系统[7]，如图2所示，体现出分层建设的特点：骨干层传输设备位于网络的骨干或核心节点，具有大容量的业务调度功能，强调业务的中继和传送能力；接入层传输设备覆盖在城域的各热点地区，完成业务的接入，体现出低成本、业务处理能力弱的特点；汇聚层设备连接骨干层和接入层，完成MADM之间的业务整合和汇聚功能。

4、智能交通检测系统架构及连接拓扑图

智能交通检测系统的结构分为交通信息采集系统、交通信息数据传输和交通信息处理整合审核管理三大子系统，分为二层结构，信息数据层和信息应用基础层。具体结构如图3所示。

交通信息采集是整个系统的基石，其采集主要是通过设置在公路上交通流量检测器、视频监控的信息采集设备以及其他方式，获得真实的、可靠及时的交通流量状况、突发事件等有关交通的信息，同时与其他相关部门的数据共享，及时动态获得各种信息。

交通通信系统是将现场的交通流量的检测设备检测到的信息，通过有线或者无线传输系统，传输到监控中心，在那里进行集合与整理。如距离比较近，可以采用光纤与标准RS-232等进行传输；当检测设备距离监控中心较远，布设数据线与供电不方便处，就可以采用3G网络进行无线数据传输，同时采用蓄电池或是太阳能电池板进行供电。

交通信息处理整合是集合与整理，去伪存真，而这些是需要大量人力、物力以及先进的网络设备和技术。将与交通流量有关的信息自动统计汇总，通过人工智能决策系统，或是人工分析处理的方法，确定畅通路线、拥挤路段、交通的气象信息等，并且存储到数据库中。

根据交通部门的对交通流量需求，对交通数据进行采集，同时集成其他有关交通的部门有关交通流量的信息，通过无线或是3G网络进行传输，传输到交通监控指挥中心，进而进行数据集合和整理，其连接拓扑图如图4。

5、结语

目前，智能交通系统发展应用的时期，建立和完善交通流量数据采集与传输系统来满通出、交通管理以及应急指挥的需要是当务之急。随着智能交通系统的实施及应用的逐步发展，充分利用新技术先进设备建设的高标准高质量的3G网络传输技术，其多样化的数据传输设置，有利于智能交通系统更大的应用，它的建成以及所采用的各类设施设备各种技术为交通运输和交通管理的安全畅通发挥了十分重要的作用，将会在实际使用中取得了很好的效果，达到了预期的建设目标。

参考文献

[1]夏劲,郭红卫.国内外城市智能交通系统的发展概况与趋势及其启示[J].科技进步与对策.2003年01期.P176-179.

[2]叶文进.高速公路出行综合信息服务系统分析[J].中国交通信息化，2010(6):125-128.

[3]MARGRIT BETKE,ESIN HARITAOGLU, LARRY S DAVIS. Multiple Vehicle Detection and Tracking in Hard Real-Time[J].IEEE,1996,(9):351～356.

[4]JUNG SOH, BYUNG TAE CHUN, MIN WANG. Analysis of Road Image Sequences for Vehicle Counting,[J].IEEE International Conferenceon,1995,(1):679～683.

[5]刘东.ITS中的车辆检测技术[J]北京:公安大学学报(自然科学版),2000,20(4):35～39.

篇4

【论文摘要摘要：网络流量性能测量是网络管理和系统管理的一个重要组成部分，为网络的运行和维护提供了重要信息，问时也是网络流量具体建模、分析的必要前提和手段。网络流量的测量方法分为主动测量和被动测量。两种测量方法各有优缺点，分别用于不同的场合。针对网络流量的测量展开系统性的探究将对Internet行为学方面的探究取得理论突破具有重要意。

网络流量性能测量和分析涉及许多关键技术，如单向测量中的时钟同步新问题，主动测量和被动测量的抽样算法探究，多种测量工具之间的协同工作，网络测量体系结构的搭建，性能指标的量化，性能指标的模型化分析，对网络未来状态进行趋向猜测，对海量测量数据进行数据挖掘或者利用已有的模型（petri网、自相似性、排队论）探究其自相似特征，测量和分析结果的可视化，以及由测量所引起的平安性新问题等等。

1.在IP网络中采用网络性能监测技术，可以实现

1.1合理规划和优化网络性能

为更好的管理和改善网络的运行，网络管理者需要知道其网络的流量情况和尽量多的流量信息。通过对网络流量的监测、数据采集和分析，给出具体的链路和节点流量分析报告，获得流量分布和流向分布、报文特性和协议分布特性，为网络规划、路由策略、资源和容量升级提供依据。

1.2基于流量的计费

现在lSP对网络用户提供服务绝大多数还是采用固定租费的形式，这对一般用户和ISP来说，都不是一个好的选择。采用这一形式的很大原因就是网络提供者不能够统计全部用户的准确流量情况。这就需要有方便的手段对用户的流量进行检测。通过对用户上网时长、上网流量、网络业务以及目的网站数据分析，摆脱目前单一的包月制，实现基于时间段、带宽、应用、服务质量等更加灵活的交费标准。

1.3网络应用状况监测和分析

了解网络的应用状况，对探究者和网络提供者都很重要。通过网络应用监测，可以了解网络上各种协议的使用情况（如www，pop3，ftp，rtp等协议），以及网络应用的使用情况，探究者可以据此探究新的协议和应用，网络提供者也可以据此更好的规划网络。

1.4实时监测网络状况

针对网络流量变化的突发性特性，通过实时监测网络状况，能实时获得网络的当前运行状况，减轻维护人员的工作负担。能在网络出现故障或拥塞时发出自动告警，在网络即将出现瓶颈前给出分析和猜测。现在随着Internet网络不断扩大，网络中也经常会出现黑客攻击、病毒泛滥的情况。而这些网络突发事件从设备和网管的角度看却很难发现，经常让网络管理员感到棘手。因此，针对网络中突发性的异常流量分析将有助于网络管理员发现和解决新问题。

1.5网络用户行为监测和分析

这对于网络提供者来说非常重要，通过监测访问网络的用户的行为，可以了解到摘要：

1）某一段时间有多少用户在访问我的网络。

2）访问我的网络最多的用户是哪些。

3）这些用户停留了多长时间。

4）他们来自什么地方。

5）他们到过我的网络的哪些部分。

通过这些信息，网络提供者可以更好的为用户提供服务，从而也获得更大的收益。

2.网络流量测量有5个要素摘要：

测量时间、测量对象、测量目的、测量位置和测量方法。网络流量的测量实体，即性能指标主要包括以下几项。2.1连接性

连接性也称可用性、连通性或可达性，严格说应该是网络的基本能力或属性，不能称为性能，但ITU-T建议可以用一些方法进行定量的测量。

2.2延迟

对于单向延迟测量要求时钟严格同步，这在实际的测量中很难做到，许多测量方案都采用往返延迟，以避开时钟同步新问题。

2.3丢包率

为了评估网络的丢包率，一般采用直接发送测量包来进行测量。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等。

2.4带宽

带宽一股分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径（通路）中没有其他背景流量时，网络能够提供的最大的吞吐量。

2.5流量参数

ITU－T提出两种流量参数作为参考摘要：一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔，即包吞吐量；另一种是基于字节吞吐量摘要：用传输成功的IP包中总字节数除以时间间隔。

3.测量方法

Internet流量数据有三种形式摘要：被动数据（指定链路数据）、主动数据（端至端数据）和BGP路由数据，由此涉及两种测量方法摘要：被动测量方法和主动测量方法然而，近几年来，主动测量技术被网络用户或网络探究人员用来分析指定网络路径的流量行为。

3.1主动测量

主动测量的方法是指主动发送数据包去探测被测量的对象。以被测对象的响应作为性能评分的结果来分析。测量者一般采用模拟现实的流量（如WebServer的请求、FTP下载、DNS反应时间等）来测量一个应用的性能或者网络的性能。由于测量点一般都靠近终究端，所以这种方法能够代表从监测者的角度反映的性能。

3.2被动测量

被动测量是在网络中的一点收集流量信息，如使用路由器或交换机收渠数据或者一个独立的设备被动地监测网络链路的流量。被动测量可以完全取消附加流量和Heisenberg效应，这些优点使人们更愿意使用被动测量技术。有些测度使用被动测量获得相当困难摘要：如决定分缩手缩脚一所经过的路由。但被动测量的优点使得决定测量之前应该首先考虑被动测量。被动测量技术碰到的另一个重要新问题是目前提出的要求确保隐私和平安新问题。

3.3网络流量抽样测量技术

选择部分报文，当采样时间间隔较大时，细微的网络行为变化就无法精确探测到。反之，抽样间隔过小时，又会占用过多的带宽及需要更大的存储能力。采样方法随采样策略的不同而不同，如系统采样或随机采样；也随触发采样事件的不同而不同。如由报文到达时间触发（基于时间采样），由报文在流中所处的位置触发（基于数目采样）或由报文的内容触发（基于内容采样）。为了在减少采样样本和获取更精确的流量数据之间达到平衡。

篇5

关键词：流量监测；winpcap；网络数据流量分析

1 引言

随着互联网络的迅速发展，网络数据流量特征的研究近年来引起了人们广泛关注。网络数据流量分析系统的定位重点在对网络流量的流量、流向、协议的细节监视和分析，网络安全监视。在容量规划、入侵检测和路由优化时，网络管理员需要知道网络的数据流量情况和尽量多的测量信息。

2 关键技术

⑴数据流。数据流是指输入数据a1，a2，..按顺序到达。这些数据描述了一个信号A。A是一个一维函数A：[1...N]R2。模型取决于ai如何描述A。本文把数据流技术和传统的网络管理技术相结合， 取得了较好的应用效果。

⑵流量监测原理。网络流量监测有主动监测和被动监测两种不同的实现方法。主动测量方法是向被测网络中注入附加的“探测流量”并进行返回数据的采集来实现监测的方法，该如果处理不当，也会给网络增加额外的负荷，影响测量结果的客观性，甚至使测量结果不准确，产生Heisenburg效应。而被动测量方法是在网络的某点采集、记录并且分析网络的流量信息来实现测量的方法。被动测量可以完全消除附加的“探测流量”和Heisenbutg 效应，这是被动测量的优点，但存在可能会涉及隐私和安全问题的不足。由于Internet上大多数数据传输是不加密的，鉴于被动监测的优点，本系统采用基于数据包捕获的被动监测技术。

⑶winpcap。在网络管理与安全防护中，对网络数据流量进行分析，是非常重要的一个任务，从防火墙到攻击检测系统，都会用到类似功能。开发此类软件过程相当复杂。而winpcap （indows packet capture）是windows平台下一个免费公共的网络访问系统。它提供了以下的各项功能：

1>捕获原始数据报；2>按照自定义的规则将某些特殊的数据报过滤掉；3>在网络上发送原始的数据报；4>收集网络通信过程中的统计信息。

3 系统架构

无论是基于网络安全，还是基于网络计费系统的改进，网络数据流量分析无疑是必要的，人们对网络依赖很强。网络数据流量系统的架构包括三层：数据层（浏览统计、数据库管理）、访问应用层、展现层（在线统计器、流量统计器、网络速度监视器）。

4 系统设计

⑴网络监视器。网络监视器是监视网络通信的，其主要工作有三项：winpcap捕捉包、包分析、记录。

1）winpcap捕捉包。在网络包捕获系统的实现中，采用的是WINPCAP包捕获应用系统框架。网络监听模块将网络接口设置为混乱模式，将网络上传输的数据包截取下来，供协议分析模块使用。由于效率的需要，有时要根据设置过滤网络上的一些数据包，如特定IP，特定MAC地址、特定协议的数据包等。网络监听模块的过滤功能的效率是该网络监听的关键，因为对于网络上的每一数据包都会使用该模块过滤，判断是否符合过滤条件。

为提高效率，数据包过滤应该在系统内核里来实现。获得数据包之后，如果在捕获过程结束后创建了两个线程实现对捕获数据的实时性处理。

2）包分析。包分析指将捕捉来的数据报进行分析。由于要进行流量统计需要很多必要的信息，作为统计依据，如IP地址、协议类型等。其中，数据长度可由函数调用返回的内容得到而且此时得到的是实际在网上的包长度。

3）记录。通过包的分析后，将有用的信息记录到文件中去。其中包括目的IP、源IP，数据长度、协议类型、以及为了统计方便需要的时间信息。

⑵流量统计器。流量统计器，是对流量监视器的记录结果进行统计，将网络监视器的记录文件内容读出，并根据网址分割标准及源和目的地分别统计出流向网外的国内和国外流量，并将结果按照日期分别存储在数据中。

5 系统实现

⑴捕捉包的实现。包捕捉作为一个独立的应用程序运行，它从网上截获包，并以文件形式将有用信息记录下来，为流量统计准备统计的原始依据。

⑵在线统计的实现。ping利用了原始套接口技术发送ICMP回射请求，并接收工CMP回射应答。Socket是CP/IP编程的底层API（网络编程接口）。在实现ping后可以将其作为一个函数调用，就很容易实现在线统计。

⑶图形界面的实现。采用Visual C++.NET实现流量图形化界面，主要是使用GDI函数画图，首先要得到一个设备描述句柄或一个可用的CDC设备描述表对象，WIN32API提供了BeginPaint（）和GetDC两个函数，用于获得指定窗口的设备描述句柄。MFC的窗口类CWnd类也提供了两个当前窗口的CDC对象的函数BeginPin（）和GETDC（）；也可以在窗口处理函数中直接用CDC的派生类，最终实现流量图形化。

篇6

【关键词】网络流量；预测；时间序列；自回归模型

一、引言

现代科学技术的不断发展也带动了网络技术的发展，网络规模增长速度非常快，各种网络信息在网络动态中交互传递，对此必须保证网络信息传递的安全，网络管理员只要掌握好各个网络节点中的流量数据，就可以对整个网络进行有效的调控。网络工作者在网络设计时必须要考虑到网络流量特性的问题，很多网络流量模型近几年也在不断的被研究出来，网络流量预测模型的研究也受到很大程度的重视。例如几种比较有名的预测模型：马尔科夫模型、泊松过程模型，近几年开始有学者提出自回归模型的概念。由于网络的不断发展，规模不断增大，网络流量本身已经发展成为一种具有多种特性的事物，这给传统网络流量预测模型的预测造成了困难，因为传统模型预测方法很难捕捉到流量的时变性、以及高度自私性等特征。本文介绍的ARIMA模型，是一种同其他类型预测模型相比具有明显优势的新型预测模型。

二、网络流量预测原理

网络流量的内涵是指网络上传输的数据总量，在采集网络流量的原始数据时，间隔采集就可以获得一组组时间序列。通常情况下，可以采用下面这种方式来对网络流量数据进行描述：

由于网络的快速发展，网络的规模越来越大，网络流量的各种特征也越来越难以捕捉到，传统预测手段很难呈现数据之间的时间关系，因此现代的网络流量预测变成了复杂时间序列回归系统问题。ARIMA模型能够很好的捕捉到网络流量的各种特征，对时间序列性数据的研究具有很好的效果，因此在经济时间序列得到了很广泛的应用，解决了许多传统预测模型无法解决的难题，本文将会介绍ARIMA模型预测的基本方法。

三、基于 ARIMA模型的网络流量预测

1、ARIMA模型的描述

ARIMA模型之所以能很好的提高预测精度，在于其相对于传统预测模型而言，很好的捕捉到了网络流量的几种特征，把采集到得数据通过处理，然后通过建立好的最佳预测模型，来对网络流量数据进行仿真预测。模拟预测结果很好的说明ARIMA模型比其他类型的模型预测的精度要高，并且把网络流量的规律呈现的更加直观。

对某一满足ARIMA（ p， q）模型的样本数据集{w t= 0， 1， ， }，取自然对数并对其进行d次差分（差分算子阶数d通常取0或1，最多取2），可以得到平稳的ARIMA（ p， q）序列，在确定模型参数并进行拟合和检验后，就可以进行网络数据流量的预测，利用希伯特空间上线性算子的基本理论，可以证明对于离散的、连续的、标量以及向量的情况，用一个ARIMA（n，n-1）模型可以把任一平稳随机系统逼近到所要求的精确程度，而在实际应用中，大量的随机系统可以恰当地用ARIMA（2，1）模型来模拟。

对其参数的估计和定阶有很多种方法，几种常见的例如矩估计、线性建模、HDW、极大似然估计等方法，其中“矩估计方法”精度不高，一般作为其它更好方法的迭代初值，另几种方法各有所长，本篇论文选择的方法则是线性建模，一次来确定ARMA模型的参数。

根据最后 AIC和 SBC值最小化原则得到 AR IMA（ p， q，d）的参数达到最优， 对于用不同参数模型计算的结果也可以采用真实数据对其进行相似系数和拟合度的分析， 如果相似系数和拟合度最大， 则该模型就最优模。

四、仿真分析

1、采集数据

为了对本文提出模型的效果进行拟合和检验， 本文采集对 CERNET山西主节点一台 CISCO6509设备某端口流出流量进行监测， 采样时间间隔为 5分钟， 如图所示：

2、数据处理

从上图可以看出，该模型在初始阶段拟合效果不太好， 但经过大量数据的计算后， 在最后 48小时模型得到了较好的拟合效果， 与原始流量曲线的走势基本相符。

4、网络流量的预测

使用上述所到的 AR IMA 模型对未来 24小时的网络流量进行预测， 预测结果如图所示：

上述部分是基于ARIMA模型对在网络流量预测中的应用介绍，ARIMA模型作为一种新型预测模型，同过去的几种模型相比较起来，预测效果非常的直观。与其他预测模型相比，优越性可见一般，具体预测指标如下表所示：

五、总结

传统的网络流量预测方法的预测基础是建立在流量满足线性关系，但实际上，这种关系式并不是始终都是成立的，实际网络流量数据中包含了很多的非线性因素，它的表现规律并不很直观，因此运用传统的方法对网络流量的预测，其预测精度并不高，为了解决传统预测手段精度不高的问题，本文围绕如何准确预测网络流量模型这一目标， 提出了基于 ARIMA 的网络流量时间序列模型， 本文详细阐述了模型的数学算法和实现方法。仿真结果表明， 在实际的网络流量环境中， ARI-MA模型降低了预测误差， 提高了预测精确度， 具有较强的适应能力。

参考文献：

[1]张冉，赵成龙. ARIMA模型在网络流量预测中的应用研究[J]. 计算机仿真，2011，02：171-174.

[2]薛可，李增智，刘浏，宋承谦. 基于ARIMA模型的网络流量预测[J]. 微电子学与计算机，2004，07：84-87.

[3]崔文亮. 基于ARIMA模型的网络流量预测[J]. 软件，2012，11：221-223.

[4]郝占军. 网络流量分析与预测模型研究[D].西北师范大学，2011.

[5]李菁菲. 基于小波技术和ARIMA模型的网络流量预测研究[D].山东大学，2010.

篇7

互联网迅速发展的同时，网络安全问题日益成为人们关注的焦点，病毒、恶意攻击、非法访问等都容易影响网络的正常运行，多种网络防御技术被综合应用到网络安全管理体系中，流量监控系统便是其中一种分析网络状况的有效方法，它从数据包流量分析角度，通过实时地收集和监视网络数据包信息，来检查是否有违反安全策略的行为和网络工作异常的迹象。

在研究网络数据包捕获、 TCP/IP原理的基础上，采用面向对象的方法进行了需求分析与功能设计。该系统在VisualC++6.0环境下进行开发，综合采用了Socket-Raw、注册表编程和IP助手API等VC编程技术，在系统需求分析的基础上，对主要功能的实现方案和技术细节进行了详细分析与设计，并通过测试，最终实现了数据包捕获、流量监视与统计主要功能，达到了预定要求，为网络管理员了解网络运行状态提供了参考。

关键词：网络管理；数据采集；流量统计；Winsock2

1 引言

1.1 课题背景

随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高，使得网络管理成为迫切需要解决的问题，有效的网络管理能够保证网络的稳定运行和持续发展，更重要的是，随着网络规模的扩大和黑客技术的发展，入侵和攻击的案例日益增多，对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战，网络安全管理在整个网络管理系统里扮演起更为重要的角色。

1.2 网络安全管理的现状与需求

目前，在网络应用不断深入和技术频繁升级的同时，非法访问、恶意攻击等安全威胁也在不断推陈出新，愈演愈烈。防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。从网络安全专业管理人员的角度来说，最直接的需求就是根据分类在统一的界面中监视网络中各种运行性能状态，获取相关数据信息、日志信息和报警信息等，并进行分类汇总、分析和审计；同时完成攻击事件报警、响应等功能。因此，用户的网络管理需要不断健全整体网络安全管理解决方案，从统一安全管理平台总体调控配置到多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、策略管理、审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可用性、可控制性、可管理性。

1.3 网络流量监控的引入

网络安全管理体系中，流量监控和统计分析是整个管理的基础。

流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量，对获得的流量数据进行统计计算，从而得到网络主要成分的性能指标。网络管理员根据流量数据就可以对网络主要成分进行性能分析管理，发现性能变化趋势，并分析出影响网络性能的因素及问题所在。此外，在网络流量异常的情况下，通过扩展的流量检测报警系统还可以向管理人员报警，及时发现故障加以处理。在网络流量检测的基础上，管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象，监控实时轮询网络获取定义对象的当前值，若超出审查值的正常预定值则报警，协助管理员发现网络瓶颈，这样就能实现一定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。

由此可见，对于一个有效的网络安全管理系统来说，功能的实现都或多或少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击，可以有效地帮助管理人员进行网络性能管理，并利用报警机制协助网管人员采取对应的安全策略与防护措施，从而减少入侵攻击所造成的损失。

1.4 本文的目的与任务

该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计，得到主要成分性能指标，结合网络流量的理论，通过统计出的性能指数观察网络状态，分析出网络变化趋势，找出影响网络性能的因素。

本设计题目是教师自拟项目，前期任务主要是设计并完成系统的初步框架，实现网络数据的捕获，并解决相应问题，后期主要是通过一些API函数完成对各类数据信息的统计。

本系统实现以下功能：

（1）采用Winsock编写原始套接字Socket-Raw对数据包进行采集捕获，并可实现分类及自定义范围进行捕获；

（2）对捕获的数据包进行一定的解析；

（3）访问操作系统提供的网络性能参数接口，得到网卡总流量、输入流量和输出流量；

（4）系统提供了多种方式显示结果，如曲线图、列表等；

（5）使用IP帮助API获取网络统计信息；

（6）实现对部分常见威胁的预警，可继续开发扩展其报警功能。

篇8

关键词：云资源池；安全；网络堵塞；网络防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）07-1401-02

云计算的兴起，数据中心作为云端的核心，承载了越来越多的业务。和传统网络相比，在需求和规划上有着极大的差异性。这些差异也直接催生了网络的变化，也给数据中心网络安全带来了新挑战。

网络堵塞是目前遇到的最为常见的网络攻击故障，表现为网络链路链接被云主机在某一时间大量发包，占用了几乎所有的网络带宽。当网络负载接近网络容量时，延时急剧增大，当网络负载大于网络容量时，延时为无穷大，导致网络无法使用。云数据中心网络与传统网络的差异性，增加了故障排查的难度。

1 网络堵塞监测

2.3 查看对应物理主机和承载的虚拟机异常流量

发现192.168.254.11服务器上的流量有异常，该物理主机的流量比正常情况下出现了很大变化，说明运行在该物理主机上的虚拟机有流量问题。查看每个虚拟机的流量变化情况。发现有个iTV-100的虚拟机的流量出现了异常：

正常情况下，流量在50M左右，流量突然增加到900M以上，高峰时刻达到了1200M，超过了防火墙的网络出口上限1000M，可以判断，该虚拟机是引起网络堵塞的原因。

3 安全加固

造成网络堵塞大部分是由于DDOS攻击引起的。这种攻击就是要阻止合法用户对正常网络资源的访问，它通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，导致合法用户无法正常访问服务器的网络资源。

3.1 攻击防范配置

攻击防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施。防火墙都提供了一些防御能力，华为防护墙的防范网络攻击的配置如下。

3.2 虚拟应用流量限制

在云平台下，由于部署了众多的业务平台，为安全起见，每个业务平台都有各自独立使用的Vlan，在调研阶段，就需要对业务平台使用的网络带宽情况进行规划。部署时，进行网络带宽限制。Vmware提供了对一个Vlan进行网络流量限制的方法。在Vlan属性对话框中，开启流量调整策略，设置平均带宽、带宽峰值、突发大小的值。

4 结束语

云资源池的安全性一方面依赖于服务器虚拟化本身的安全性能，另一方面，需要采用传统的安全技术和云资源池下的特性结合起来，在现有的网络设备上进行配置，减少网络遭受攻击的可能性。该文介绍的网络在遭受攻击后的检测，通过分析防火墙、交换机、物理机的网络流量、虚拟机的网络流量几个层面的特性，定位到网络攻击的根源，并提供了几个加固防范的措施。

参考文献：

篇9

关键词：SNMP；RRDTOOL；CACTI；流量监控

1引言

随着网络技术的迅速发展和各种网络业务应用的普及,用户对网络资源的需求不断增长,网络已成为人们日常工作生活中不可或缺的信息承载工具,同时人们对网络性能的要求也越高,在众多影响网络性能的因素中网络流量是最为重要的因素之一,它包含了用户利用网络进行活动的所有的信息。通过对网络流量的监测分析，可以为网络的运行和维护提供重要信息,对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。

SNMP(简单网络维护管理协议)是Internet工程任务组(IETF)在SGMP基础上开发的,SNMP是由一系列协议组和规范组成的,SNMP的体系结构包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息库(MIB)。每个支持SNMP的网络设备中都包含一个,不断地收集统计数据,并把这些数据记录到一个管理信息库(MIB)中,网络维护管理程序再通过SNMP通信协议查询或修改所纪录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。SNMP最大的特点是简单性,容易实现且成本低,利用SNMP协议能够对被监视的各个网络端口输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等进行采集。

2RRDTOOL的工作原理

RRDTOOL代表“RoundRobinDatabasetool”，是TobiasOetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具,最初设计目的是为流量统计分析工具MRTG提供更好的数据存储性能和更强的图形生成功能。所谓的“RoundRobin”其实是一种存储数据的方式，使用固定大小的空间来存储数据，并有一个指针指向最新的数据的位置。我们可以把用于存储数据的数据库的空间看成一个圆，上面有很多刻度。这些刻度所在的位置就代表用于存储数据的地方。所谓指针，可以认为是从圆心指向这些刻度的一条直线。指针会随着数据的读写操作自动移动。要注意的是，这个圆没有起点和终点，所以指针可以一直移动，而不用担心到达终点后就无法前进的问题。在一段时间后，当所有的空间都存满了数据，就又从头开始存放。这样整个存储空间的大小就是一个固定的数值。所以RRDtool就是使用类似的方式来存放数据的工具，RRDtool所使用的数据库文件的后缀名是''''.rrd''''。

和其它数据库工具相比，它具有如下特点：

首先RRDtool存储数据，扮演了一个后台工具的角色。但同时RRDtool又允许创建图表，这使得RRDtool看起来又像是前端工具。其他的数据库只能存储数据，不能创建图表。

RRDtool的每个rrd文件的大小是固定的，而普通的数据库文件的大小是随着时间而增加的。

其他数据库只是被动的接受数据，RRDtool可以对收到的数据进行计算，例如前后两个数据的变化程度（rateofchange），并存储该结果。

RRDtool要求定时获取数据，其他数据库则没有该要求。如果在一个时间间隔内（heartbeat）没有收到值，则会用UNKN代替，其他数据库则不会这样做。

3监测系统的安装与配置

(1)配置路由器和交换机：

开始配置RRDTool之前,必须对需要监测的网络及设备进行良好的规划、设计与配置,包括配置设备互联地址、网管地址及路由,保证流量监测计算机可以与被监测设备网络层的互通;配置SNMP通信字符串和端口号,掌握需要的监测对象号(SNMPOID),确保流量监测计算机可以获取正确的SNMP信息。在路由器和交换机上启动SNMP,并设置只读团体名。命令如下：

(config)#snmp-serverenabletraps

(config)#snmp-servercommunitytestro

(2)安装配置RRDTool：

我们以Debian平台来安装配置RRDTOOL系统,在安装RRDTOOL前首先要安装支持RRDTOOL运行的环境：Zlib、libart_lgpl、cgilib、Libpng、freetype软件包。

①安装apache、mysql、php：apt-getinstallapache2php4mysql-serverphp4-mysql；安装成功后通过浏览器访问客户器，可以得到“Itworks！”的提示；利用mysqladmin工具给mysql添加好管理员密码。

②安装RRDTOOL：apt-getinstallrrdtool。

③安装NET-SNMP：apt-getinstallsnmp。

④安装Cacti：apt-getinstallcacti，在安装过程中会提示你输入mysql管理员密码和cacti数据库管理员密码。

(3)系统配置：

安装好系统后就要进行简单的初始化和配置，步骤如下：

①访问x.x.x.x/cacti，按照向导提示进行cacti的初始化安装；

②利用crontab-e添加计划任务：

*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1

③利用cacti进行设备的添加；

④利用cacti进行绘图管理。

cacti其实是一套php程序，它运用snmpget采集数据，使用rrdtool绘图。它的界面非常漂亮，能让你根本无需明白rrdtool的参数能轻易的绘出漂亮的图形。更难能可贵的是，它提供了强大的数据管理和用户管理功能，一张图是属于一个host的，每一个host又可以挂载到一个树状的结构上。用户的管理上，作为一个开源软件，它居然做到为指定一个用户能查看的“树”、host、甚至每一张图，还可以与LDAP结合进行用户的验证！我不由得佩服作者考虑的周到！Cacti还提供自己增加模板的功能，让你添加自己的snmp_query和script！可以说，cacti将rrdtool的所有“缺点”都补足了网络地图

篇10

关键词： 网络流量检测； 群智能算法； RBF神经网络； 网络安全

中图分类号： TN926?34； TP393 文献标识码： A 文章编号： 1004?373X（2016）20?0012?03

Abstract： The application of swarm intelligence optimizing neural network in network security and a network traffic detection model based on neural network algorithm are studied in this paper. QAPSO algorithm is used to optimize the basis function center and base function width of RBF neural network， and the connection weights of the output layer and the hidden layer as well. The detection model studied in this paper is analyzed by means of an example. The collected data is used to train the network traffic identification system and test its performance. The method researched in this paper is compared with the algorithms based on the conventional PSO and HPSO. The results show that the detection method has a faster recognition speed and better recognition accuracy， and can avoid the occurrence of local optimal solutions.

Keywords： network traffic detection； swarm intelligence algorithm； RBF neural network； network security

0 引 言

随着互联网技术不断发展和普及，互联网络中的应用和服务类型不断增加，为了提高网络安全，保护网民、公司企业以及政府部门等的财产与利益，需要对网络流量进行高效的监测[1?2]。

RBF神经网络具有强大的非线性拟合能力，即非线性映射能力，以及自学能力，同时便于计算机实现，因而在网络流量检测等网络安全领域得到了广泛应用。但是RBF神经网络的性能特别依赖网络参数选取的好坏，而传统RBF神经网络参数通常由人为按经验或随机选取，因此网络的性能具有较强的随机性[3?4]。

近年来，群智能优化算法逐渐发展并得到较为广泛的应用，其中粒子群优化算法是一种能够全局优化，具有建模速度快、收敛效率高的群智能优化算法，然而使用常规PSO算法优化神经网络仍然存在收敛速度和全局优化能力不能够达到平衡等问题[5?7]。因此本文研究一种基于量子自适应粒子群优化算法（QAPSO），对RBF神经网络的基函数中心[Ci]、基函数的宽度[σi]以及输出层与隐含层的连接权值[wi]进行优化。

1 基于群智能优化的神经网络算法

本文研究的QAPSO优化算法主要分为4部分，分别为初始化种群、估计进化状态、控制参数自适应以及处理变异[8]。

1.1 初始化种群

2 实例分析

为验证本文建立基于QAPSO优化RBF神经网络的网络流量检测模型的性能，使用基于Libsvm软件包的C#程序并结合数值计算软件Matlab R2014对网络流量进行采集、计算以及分类。网络流量检测类型如表2所示。

表2 网络流量检测类型

使用常规PSO优化算法及HPSO优化算法对RBF神经网络进行优化，并建立同样的网络流量检测模型，使用同样的训练数据样本进行训练，使用同样的测试数据样本进行性能测试。常规PSO优化算法的参数为空间维度[D=24]，粒子数量[N=30]，最大迭代次数[tmax=200]，连接权值[w=0.9～0.4]，加速系数[c1]和[c2]均为2。HPSO优化算法的参数为空间维度[D=24]，粒子数量[N=30]，最大迭代次数[tmax=200]，连接权值[w=0.8～0.2]，加速系数[c1]和[c2]均为2.5，[Vmaxd=0.5×Range]。QAPSO算法的参数为空间维度[D=24]，粒子数量[N=30]，最大迭代次数[tmax=200]，连接权值[w=0.8～0.2]，加速系数[c1]和[c2]为1.5～2.5，[Vmaxd=Range]，[r1d]和[r2d]为0～1之间的随机数。

从图1可以看出，常规PSO优化算法使得适应度函数收敛到稳定值时的迭代次数为171次，HPSO优化算法使用了112次，而本文研究的QAPSO优化算法只使用了76次。同时，本文研究的QAPSO优化算法的收敛值更低，适应度函数的值即为RBF神经网络的训练误差，因此适应度函数越小，RBF神经网络的训练误差越小，性能越好。因此，本文研究的QAPSO优化算法相比另外两种PSO优化算法具有更快的收敛速度和更高的收敛精度，极大地提高了RBF神经网络的泛化能力。使用本文研究的QAPSO?RBF检测模型及常规PSO和HPSO优化RBF算法的检测模型对实验数据进行识别。表3为三种检测模型的检测准确率与反馈率对比。图2为三种模型的平均检测率和反馈率对比。

通过表3的数据可以看出，本文研究的QAPSO?RBF检测模型对12种类型网络服务与应用均有较好的识别准确率和反馈率，平均识别准确率达到了92.81%，比HPSO?RBF算法的平均识别准确率高出3.49%，比PSO?RBF算法的平均识别准确率高出6.99%。QAPSO?RBF识别算法的平均识别反馈率达到了94.81%，比HPSO?RBF算法的平均识别反馈率高出3.51%，比PSO?RBF算法的平均识别反馈率高出7.28%。可表明相比其他粒子群优化算法，本文研究的QAPSO优化算法在进行多次迭代后仍然具有较好的活跃性，跳出局部最优解，对最佳值的全局搜索能力具有非常显著的提高，加快了算法收敛速率，提高了识别准确率。

3 结 论

本文研究一种群智能优化神经网络算法的网络流量检测模型。通过实际测试验证，相比其他粒子群优化算法，本文研究的QAPSO优化算法在进行多次迭代后仍然具有较好的活跃性，跳出局部最优解，对最佳值的全局搜索能力具有非常显著的提高，加快了算法收敛速率，提高了识别准确率。

参考文献

[1] 卢金娜.基于优化算法的径向基神经网络模型的改进及应用[D].太原：中北大学，2015.

[2] 钟建坤，周永福.群智能算法优化神经网络在网络安全的应用研究[J].激光杂志，2015，36（4）：143?146.

[3] 李博.粒子群优化算法及其在神经网络中的应用[D].大连：大连理工大学，2005.

[4] 蒋林利.改进的PSO算法优化神经网络模型及其应用研究[D].厦门：厦门大学，2014.

[5] 陈伟.基于群体智能算法的人工神经网络优化及其应用[D].无锡：江南大学，2007.

[6] 刘晓刚.群体智能算法在RBF神经网络中的应用[D].青岛：青岛大学，2008.

[7] 马汝辉.基于网络流量异常检测的网络安全技术研究[D].无锡：江南大学，2008.