时间:2023-06-16 16:46:18
导言:作为写作爱好者,不可错过为您精心挑选的10篇网络流量分析的方法,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
网络流量分析是一个有助于网络管理者进行网络优化、网络监控、流量趋势分析等工作的工具,进而挖掘网络资源潜力,控制网络互联成本,并为网络规划、优化调整和业务发展提供基础依据,企业需要及时了解到网络中承载的业务,及时掌握网络流量特征,及时解决网络性能问题。从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时了解网络运行状况,及时清楚网内应用的执行情况。随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。
1.网络流量分析方法
网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量分析根据不同的方法可以从不同的侧面展开,目前,主要的分析方法有流量的统计分析和流量的粒度分析等。
1.1 网络流量的统计分析
(1)基于软件的流量统计
这种统计分析一般通过修改安装于主机上的操作系统的网络接口模块,使之具有捕获数据包的功能,以实现流量信息的收集和分析。基于硬件的流量统计效率很高,专用性强,但是价格昂贵对人员要求高,而基于软件的流量统计有价格便宜,实现灵活,扩展性强的优点,但其性能要低于基于硬件的统计技术。因此,流量统计方法有待进一步的提高,以适应网络快速发展的需求。
(2)基于硬件的流量统计
此类分析通常采用硬件测量设备,是一种为特定目的设计的用于收藏和分析流量数据的硬件设备。
1.2 网络流量的粒度分析
网络流量行为特征的分析还可以在不同测量粒度或者不同的层面上展开。
比特级(Bit-level)的流量分析,这种分析主要关注网络流量的数据特征,如网络线路的传输速率,吞吐量的变化等等。
分组级(Packet-level)的流量分析,此类分析主要关注的是IP分组的到达过程、延迟、抖动和丢包率等。
流级(Flow-level)的流量分析,Flow的划分主要依据地址和应用协议而展开的,它主要关注流的到达过程、到达间隔及其局部的特征。
上面流量的粒度由小到大递增,时间尺度也逐渐增大,不同时间尺度网络流量往往表现出不同的行为规律。通常,网络设备本身都提供基于IP分组头的分析功能,因此,Flow-level的流量分析成为发展趋势。
2.网络流量分析常用技术
随着计算机技术的发展,网络流量分析技术也与时俱进。既有传统的数据库的网络管理技术,也有面向开放式互联网的网络分析技术。目前,在网络流量分析中占据主流的常用分析技术主要有:
2.1 RMON技术
RMON(远程监控),是由IETF定义的一种远程监控标准,RMON是对SNMP标准的扩展,它定义了标准功能以及网管站和远程监控器之间的接口,实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器叮用两种方法收集数据:一种是通过专用的RMON探针(Probe),流量探针安装方便,但是流量探针价格昂贵,不适合大面积部署。另一种方法是将RMON直接植入网络设备(路由器、交换机、HUB等),但这种方式受网络设备资源限制,一般不能获取RMONMIB的所有数据,大多数只收集统计量、历史、告警、事件等四个组的信息。
2.2 SNMP技术
SNMP是用标准化方法定义的,通常一个标准的网管系统包括三个组成部分:SNMP协议,这包括理解SNMP操作、SNMP消息的格式以及如何在应用程序和设备之间交换信息;管理信息结构,它是用于指定一个设备维护的管理信息的规则集;管理信息库,它是设备所维护的全部被管理对象的结构集合。基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息,典型工具有MRTG,MRTG是一个使用的免费软件,通过SNMP协议从设备得到流量信息,将流量负载情况绘制成PNG格式图片,并以WEB形式显示给用户。由于M RTG使用起来很方便,能够直观显示端口流量负载,所以是各类网管人员常用的网络监视工具。但MRTG的功能比较单一,其收集到的流量信息仅是简单的端口出、入流量统计信息,不能深入分析包的类型、流向等信息。
2.3 s Flow技术
s Flow是由InMon﹑HP和Foundry Networks于2001年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第一层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如人于10Gbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。sFlow技术有很多优点:成本低廉;在不断发展升级当中,能在没有消耗额外资源的环境监测万兆网络,不会带来新的网络冲突;有自己的一套准确可靠的计量方式;数据信息量人。sFlow已经成为一项线速运行的“永远在线”技术,可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使实现而向每一个端口的全企业网络监视解决方案成为可能。
3.网络流量分析技术的应用
网络流量分析起着一个衔接的作用,主要利用网络流量测量部分收集到的各种流量信息,通过运用不同的方法对其进行分析和建模,以发现流量的特性,对网络性能做出客观的评价,并以此作为对网络进行控制和优化的依据。网络流量分析技术的应用主要包括以下儿个方面:
3.1 实施安全预警
网络流量异常会严重影响网络性能,造成网络拥塞,严重的甚至会网络中断,使网络设备利用率达到100%无法响应进一步的指令。通过对网络内流量的实时分析,有助于及时发现网络中出现的异常流量,迅速分析出异常流量的具体属性,并向网络管理者进行告警,判断是否出现了入侵,并按照事先拟定的规则集进行处理,记录异常情况发生时的详细网络状况,使入侵得到及时发现和处理。
3.2 分析用户行为
根据分析结果,进行相应网络内容的建设!将用户感兴趣的热点信息内容放到内部网络,减轻互联链路的压力。
3.3 节省运营费用
通过对网络出口流量和流向的分析,可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数,可以详细了解网络内部用户对其他外部网络的访问情况,为基于IP的计费应用和SLA的校验服务提供数据依据,从而有效地选择与其他运营商的互联方式,节省费用。
3.4 优化网络结构
通过对网络中一些特定流量的长期监控,获得网络流量数据后对其进行统计和计算。从而得到网络及其主要成分的性能指标,定期形成性能报表,并维护网络流量数据库或日志存储网络及其主要成分的性能的历史数据,可供网管人员正确分析网络使用状况,对网络及其主要成分的性能进行性能管理。通过数据分析获得性能的变化趋势,分析制约网络性能的瓶颈问题。
3.5 评估网络价
通过对各个分支网络出入流量的监控,分析流量的大小﹑去向及内容组成,了解各分支网络占用带宽的情况。从而反映其占用的网络成本,也可以了解其业务开展情况,并作出价值评估。
3.6 确定重点客户
通过对重要应用和大客户的流量进行统计分析。掌握重要应用和大客户的流量状况,进行网络带宽的成本分析。有助于在网络服务质量和网络成本之间取得最佳平衡。
4.网络流量分析的重要性
相对于网络管理人员来说,理解用户的网络行为网络流量的内容是网络管理的重要内容,它为日常网络管理﹑容量规划与未来网络升级等提供重要依据,通过网络流量分析,可以提供大量详尽的数据,供网管人员从很多方面进行更好地维护﹑优化网络,并且提升网络的性能;同时还能为业务应用层面提供数据依据,为特定客户提供流量分析服务。比如网站流量统计分析等;也可作为网络安全的辅助手段,处理网络病毒等异常事件。在病毒分析时,网络管理员需要知道哪些端口发送的数据发生了较大变化,因此,对网络流量的分析可以为网络的运行和维护提供重要信息和深层次的管理功能,很好地发挥网络管理作用。对于网络性能分析﹑异常监测﹑链路状态监测﹑容量规划等发挥着重要作用。为网络发展和网络优化提供更优质﹑更有效的技术支撑和技术服务,可以预见,随着网络的发展,流量分析工作将在网络管理中起到越来越重要的作用。
参考文献
中图分类号 TN91 文献标识码 A 文章编号 1674-6708(2016)166-00104-01
近年来宽带网络一直保持高速增长,光纤到桌面已基本实现,但网络中巨大的流量会对网络产生怎样的影响,这些流量是如何构成的,始终是一个问题。通过对宽带流量的分析我们可以知道流量的源头和目的、知道协议分布、知道端口情况、知道通信经营指标等、当然最重要的还有数据的安全性。
不同的网络,不同观察点,不同时间的网络流量因网络规模,业务种类,用户构成和使用习惯的不同而不同,甚至受突发事件的影响,网络流量在体量规模,构成成分和比例上都有所不同。一个好的流量分类分析系统,应满足部署位置上的可移植性,流量规模的可伸缩性,时间演进的自适应性。这时系统不仅需要采用先进的分类技术,也需要代表性的训练数据集来确定系统运行参数。数据集主要采用2种方式:PCAP格式和NETFLOW格式,前者捕获的是包级记录,后者则是关于流级得统计信息记录。
宽带流量的分析和检测首先要进行流量的采集,这项工作可以通过交换机或路由器的镜像端口实现,也可以通过光缆分光的方式实现。对捕获的数据进行计算和统计,并把统计数据写入数据库,定期形成网络性能和流量参数的报表,用作分析的依据,在形成足够数量的报表数据后,可以分析数据和系统性能变化的趋势,判断网络是否存在瓶颈,并依据经验,形成经验数据库,使网管系统具备学习的基础和能力。在出现告警或异常情况时,可用来分析对比,判断是否出现了网络的攻击和入侵,判断恶意数据出现的源头和特征,足够数量的数据报表也可以指导各类应急预案的制定,在出现异常情况时可按照事先拟定的规则进行处理。
对于宽带流量的分析和分类,系统需要进行统计模型的学习,统计模型的学习可以分为监督学习和非监督学习方法。所谓的监督学习是需要使用已经标注过的数据集合作为经验知识,对宽带流量的参数和算法进行训练;而非监督学习则不需要使用已经标注过的数据集进行训练,只是根据相关算法对宽带流量集进行汇聚。对数据集的训练过程中需要由经验丰富的专家参与,并进行大量的基础数据分析工作,网络经验数据集是流量分析的重要构成因素。在实际分析过程中,由于宽带核心网络的流量巨大,所以高性能的预处理路由器和大规模刀片服务器必不可少。为了提高分析效率,可以只分析单向流量,并且在预处理过程中将IP数据报文的载荷去掉。但由于各种网络协议不断演进,加密的流量不断增加,各种新应用不断出现,网络数据集的标注也变得越来越困难。
网络流量的分类和分析中对于标准协议的分析最为准确,可根据TIP/IP协议簇中标准的服务端口号对流量报文进行匹配,并根据端口号的不同将流量对应为不同的应用。非标准协议可以使用DPI(深度包检测)在应用层对流量进行特征字符串的分析匹配,由于不同的应用在TCP/UDP的数据包中包含特征字符串,因此在掌握的不同网络应用的特征字符串后,可以将网络流量精确的分类和匹配,缺点是需要消耗较多的系统资源。但很多网络应用的特征字符串难找易变,代表性差及加密度高等问题,也导致误检率和检全率下降。流量分析监控和网络应用的发展一直是不断演变的矛盾。
基于协议的分类方法需要分析每种协议的特定的行为特性,标准的通信协议易于掌握,私有协议比如P2P或VOIP等基于软硬件客户端的应用则会有较多的变化,或进行加密使用就会影响流量分析的效果,甚至无法识别。有时同一应用软件的不同版本间也会出现不同的流量特征,即版本的变化会造成协议特征的变化。另外,网络中的单向流量、数据的时延、抖动都会对流量分析的算法产生影响。以上这些因素都是流量分析的难点和痛点。
运营商的骨干网络逐渐向扁平化发展,网络出口的数量增加和结构日趋复杂,及动态路由算法的大量使用,使得网络流量在多条链路或多个不同ISP之间动态调配,导致在某个观察点只能得到部分流量,这对于依赖双向流量特征的分析方法无法实施。基于P2P的应用目前也在不断扩大,P2P的发展使得应用和传输分离,应用端点和传输分离,打破了原有的B/S或C/S的传统传输模式,多源头并发传输使得流量特征模糊化,使得数据采集的有效性无法保障。还有一些网络应用为了逃避被检测到,常常采用已知协议的方法,例如FTP、HTTP、POP3等,由于IP地址的区分,冒用已知协议并不会影响正常网络通信,但给流量分析带来很大难度。
宽带网络流量分析不仅可以使我们可以清楚的知道网络流量的内容,还可以为网络建设、网络优化、运营管理、网络安全保障提供依据和手段。同时,网络应用在不断推陈出新,各种私有化的协议和加密方法不断出现,且由于用户接入带宽的不断提高,核心网流量呈几何速度增长,这些因素在客观上也大大增加了网络流量分析的难度和成本。现有的网络流量分析再次面临挑战,网络流量的分析研究工作需要不断深入进行。
参考文献
[1]Nader F.Mir.计算机与通信网络[M].潘淑文,等,译.北京:中国电力出版社,2010,1.
随着网络技术的不断发展及网络应用的不断推广,校园网规模日益扩大且网结构与应用日趋复杂,如何对校园网进行全面有效的监控是目前网络管理面临的巨大挑战,这给校园网网络监控技术带来了广阔的研究领域,网络监控技术的核心技术就是对网络中的流量进行即时准确的分析,本文首先对常用的流量分析技术进行简单的介绍。又重点介绍了sFlow技术,针对sFlow的特点,在校园网中部署了一个基于sFlow技术与Juniper网络设备的网络监控系统,并对系统如何实现网络监控进行了描述,此系统可实时有效的对校园网流量进行分析,对校园网管理有很大的实用价值。
1流量分析技术介绍
当前能对网络的流量进行分析的类型主要有以下两种:
1.1点接触型流量分析
点接触型流量分析技术的原理为:在网络中的某个接入点上,利用探针检测该接入点的每个pack-age,所利用的方法为逐个包拆分,并在检测的同时完成统计。点接触型流量分析的优点为:此技术中流量的采集只依赖于探针的包处理机制,与网络中使用何种类型的交换机没有关联;由于本技术采用逐个包拆分的方法,所以可自主制定策略来满足用户的需求。缺点为:接入点的个数有限,只能对有限的点进行数据的采集,如果想在网络的所有关键点布置接入点,成本较大;在关键接入点串入网络流量采集设备,会增加网络的故障点。采用点接触型流量分析的代表设备为:IDS,FLUKE测试等。
1.2面接触型流量分析
面接触型流量分析技术的原理:利用交换机固有的流量采集来完成报文中关键信息的统计工作[1]。面接触型流量分析的优点为:此技术不同于点接触型流量分析,无需在网络的关键接入点上布置探针,只需要布置一台交换机设备用以流量采集统计,即可采集分析核心层流量,并不影响整个网络的性能;此技术可在网络的任一点上采集整个网络的流量;整个校园网中,只需布置一套监控系统,成本低。缺点为:此技术采集的数据只局限于某种类型的package的采样值,而不是包的全部,相较于点接触型流量分析来说,采集的数据较少。采用面接触型流量分析的代表设备为:NET-FLOW监控,sFlow监控等。当前CERNET校园网都是万兆核心层网络平台,根据前面对两种流量分析技术的介绍可知,相较于点接触型流量分析技术,面接触型在采集与分析如此巨大网络流量时,有显而易见不比拟的优势。本文采用当前较主流的sFlow监控系统完成校园网网络流量的采集与监控。
2sFlow技术应用
2.1sFlow技术介绍
sFlow,是由InMon公司于2001年提出的一种基于“统计采样”的网络流量监测技术[2],以RFC3176[3]文件的形式进行了。sFlow通过对校园网中网络设备处理的package进行采集来获取网络中流量的信息,之后把采集后的数据包发送给流量分析服务器进行分析,让用户详尽与实时地知道网络的性能与安全等问题[4]。目前,仅有Foundry和JuniperNetworks等厂商的部分型号的交换机支持sFlow。sFlow的主要优势在于:进行整个网络监视成本更低;拥有的“一直在线技术”能够对网络流量进行实时采集与分析能力;嵌入到ASIC中的强劲技术;全网的视图都是可看见的;采样的速率是可以自主配置的;整个网络的交换性能不受影响;网络带宽基本不受影响;包头的信息是完整的;第二到七层的详细信息是完整的并且支持多种协议。
2.2实现原理
sFlow的网络流量监测实现一般由两部分构成:sFlow(Agent)和sFlow流量采集器(Collector)[2]。sFlow系统的基本原理为:分布在校园网的sFlow把sFlow报文发送到Collector。
2.3sFlow技术
在校园网中的布署本文以Juniper交换机和PRTG软件为例部署系统。首先在校园网络的各个层级交换机(Agent)启用sFlow,通过收集设备上相关端口的流量转况并实时将整个校园网络的流量发送到服务器端(Collector)。服务器端部署PRTG软件,由PRTG分析软件来对从交换机收到的数据包进行全面、实时、丰富的流量及统计分析。
3结语
要实现对网络全面、实时的监控分析必须依靠先进有效的网络监控协议和技术来满足业务日益增长的需求。sFlow网络技术的出现可以很大程度满足当前及未来几年校园网络发展规模,为我们网络管理员的日常巡检维护带来了极大的方便,也为保障校园网络的安全、稳定、高效运行提供了很好的依据。
参考文献
网络管理中非常重要且非常基础的一个环节就是网络流量监测,网络流量监测即是通过对网络数据的连续采集,以此来监测网络的流量。网络及其重要成分的性能指标也是对网络流量数据的统计和计算得到的。网络管理员根据当前的和历史的存储网络及其重要成分的性能的数据数据,就可对网络及其主要成分的性能进行性能管理,通过数据分析获得性能的变化趋势。分析制约网络性能的瓶颈问题。在网络流量监测的基础上,管理员可对感兴趣的网络管理对象设置阈值范围以配置网络阈值对象,阈值对象监控实时轮询网络获取定义对象的当前值。若超出阀值的上限和下限则报警,帮助管理员发现网络瓶颈,这样即可实现一定程度上的故障管理,而网络流量监测本身也涉及到安全管理方面的内容。所以,研究网络流量监测是非常有意义的。
2网络流量的特性
2.1数据流是双向的,但通常是非对称的。互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
2.2大部分TCP会话是短期的。超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3包的到达过程不是泊松过程大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
2.3网络通信量具有局域性。互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
3网络流量的监测技术与方法
3.1网络流量的监测技术种类
(1)基于流量镜像协议分析。流量镜像(在线TAP)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。与其他3种方式相比,协议分析是网络测试的最基本手段,特别适合网络故障分析。缺点是流量镜像(在线TAP)协议分析方式只针对单条链路,不适合全网监测。
(2)基于硬件探针的监测技术。硬件探针是一种用来获取网络流量的硬件设备,使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据,做全网的流量分析和长期报告。与其他的3种方式相比,基于硬件探针的最大特点是能够提供丰富的从物理层到应用层的详细信息。但是硬件探针的监测方式受限于探针的接口速率,一般只针对1000M以下的速率。而且探针方式重点是单条链路的流量分析,Netflow更偏重全网流量的分析。
(3)基于SNMP的流量监测技术。基于SNMP的流量信息采集,实质上是测试仪表通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。相似的方式还包括RMON。与其他的方式相比,基于SNMP的流量监测技术受到设备厂家的广泛支持,使用方便,缺点是信息不够丰富和准确,分析集中在网络的2、3层的信息和设备的消息。SNMP方式经常集成在其他的3种方案中,如果单纯采用SNMP做长期的、大型的网络流量监控,在测试仪表的基础上,需要使用后台数据库。
(4)基于Netflow的流量监测技术。Netflow流量信息采集是基于网络设备(Cisco)提供的Netflow机制实现的网络流量信息采集。Netflow为Cisco之专属协议,已经标准化,并且Juniper、extreme、华为等厂家也逐渐支持,Netflow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后,便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供计数根据。Netflow方式是网络流量统计方式的发展趋势。在综合比较四种技术之后,不难得出以下结论:基于SNMP的流量监测技术能够满足网络流量分析的需要,且信息采集效率高,适合在各类网络中应用。
3.2网络流量的监测方法
一、前沿
选择交换机硬件时,应确定核心层、分布层和接入层分别需要何种交换机来满足网络带宽需求,应考虑未来的带宽需。应购买合适的交换机硬件来满足当前及未来的带宽需求。为了更准确地选择合适的交换机,要定期执行和记录流量分析。
二、流量分析
流量分析是测量网络带宽使用率并分析相关数据来调整性能、规划容量并作出硬件升级决策的过程,流量分析是通过流量分析软件来实现的。尽管对网络流量并没有确切的定义,但为了便于理解流量分析,可以理解为网络流量是指在一定时间内通过网络发送的数据量。所有的网络数据无论来自何方,无论发往何处,都是流量的一部分。监控网络流量的方法有许多种。可以手工监控各个交换机端口来收集一段时间内的带宽利用率。在分析流量数据时,可能根据每天特定时段的流量以及大部分数据的来源和目的地来确定未来的流量需求。但是,为了获得准确地结果,需要记录足够的数据。手工记录流量数据是件费时费力的机械活,市面上有一些自动化的解决方案。
三、分析工具
现在市面上有许多流量分析攻击可以将流量数据自动记录到数据库中,并执行趋势分析。在大型网络中,采用软件收集解决方案是唯一有效的流量分析方式。通过软件收集数据时,可以看到在给定的时间内网络上每个接口的运行状况。通过输出的图表,可以直观的发现流量问题。比用柱状表示的流量数据更容易理解。
四、用户群分析
用户群分析是确定各类用户群体及其对网络性能的影响的过程,用户的分组方式会影响与端口密度和流量有关的问题,进而影响网络交换机的选择。
在典型的办公楼中,一般根据终端用户的职能对其进行分组,这是因为相同职能用户所需访问的资源和应用程序也大体相同。每个部门的用户数、应用程序需求以及需要通过网络访问的可用数据资源各有不同。不仅要查看网络中指定交换机上的设备数量,还应该调查终端用户应用程序生产的网络流量。有些用户群使用产生大量网络流量的应用程序,而其他用户则不然,通过测量不同用户群使用的所有应用程序所生成的网络流量并确定数据源的位置,可以确定增加用户对该用户群的影响。
小企业中工作组大小的用户群仅用几台交换机提供支持,通常连接到服务器所在的交换机上。在中型企业中,用户群由许多交换机提供支持。中型企业用户群所需的资源可能位于地理上分散的若干区域中。因此,用户群的位置会影响数据存储和服务器的位置。分析用户群的应用程序使用率的难题之一是使用率并非纯粹取决于用户所在的部门或地理位置。还需要分析应用程序穿越多台网络交换机所带来的负面影响。并据此确定总体影响。
五、数据存储和数据服务器分析
在分析网络流量时,应考虑数据存储和服务器的位置,以便确定它们对网络流量的影响。数据存储可以是服务器、存储区域网络(SAN)、网络连接存储(NAS)、磁带备份设备或任何其他存储大量数据的设备或组件。
在考虑数据存储和服务器的流量时,应同时考虑客户端到服务器的流量和服务器到服务器的流量。通过观察不同用户群使用的各种应用程序的数据路径,可以找到潜在的瓶颈,确定在哪些地方因为带宽不足会影响应用程序的性能。为改善性能,可以聚合链路来提供带宽,或者使用能够处理流量负载的快速交换机来取代慢速交换机。
六、拓扑结构图
拓扑结构图是网络基础架构的图形表现形式,拓扑结构图显示所有的交换机如何互连,乃至详细到哪个交换机端口与设备互连。拓扑结构图以图形的形式显示交换机之间用于提供灾难恢复和性能增强的任何冗余路径或聚合端口,显示网络中交换机的位置和数目并标出交换机的配置。通过拓扑结构图,可以直观地找到网络流量的潜在瓶颈,可以抓住流量分析数据的要点,知道哪些网络区域的改进能够最有效地提高网络的整体性能。
七、结语
对于中小型企业而言、基于数据、语音和视频的数字通信至关重要。因此,正确设计局域网是企业日常运营的基本需求。作为网络技术人员,必须能够判断什么才是设计合理的局域网,能够选择合适的设备来满足中小型企业的网络需求。
参 考 文 献
中图分类号:TP
文献标识码:A
文章编号:1672-3198(2010)17-0348-01
1 网络流量的特征
1.1 数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
1.2 大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3 包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而,近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
1.4 网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
2.1 基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2.2 主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
2.3 在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
2.4 协议级分类
对于不同的协议,例如以太网(Ethernet)、帧中继(Frame Relay)、异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
3.1 基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
3.2 基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
1 引言
随着互联网络的迅速发展,网络数据流量特征的研究近年来引起了人们广泛关注。网络数据流量分析系统的定位重点在对网络流量的流量、流向、协议的细节监视和分析,网络安全监视。在容量规划、入侵检测和路由优化时,网络管理员需要知道网络的数据流量情况和尽量多的测量信息。
2 关键技术
⑴数据流。数据流是指输入数据a1,a2,..按顺序到达。这些数据描述了一个信号A。A是一个一维函数A:[1...N]R2。模型取决于ai如何描述A。本文把数据流技术和传统的网络管理技术相结合, 取得了较好的应用效果。
⑵流量监测原理。网络流量监测有主动监测和被动监测两种不同的实现方法。主动测量方法是向被测网络中注入附加的“探测流量”并进行返回数据的采集来实现监测的方法,该如果处理不当,也会给网络增加额外的负荷,影响测量结果的客观性,甚至使测量结果不准确,产生Heisenburg效应。而被动测量方法是在网络的某点采集、记录并且分析网络的流量信息来实现测量的方法。被动测量可以完全消除附加的“探测流量”和Heisenbutg 效应,这是被动测量的优点,但存在可能会涉及隐私和安全问题的不足。由于Internet上大多数数据传输是不加密的,鉴于被动监测的优点,本系统采用基于数据包捕获的被动监测技术。
⑶winpcap。在网络管理与安全防护中,对网络数据流量进行分析,是非常重要的一个任务,从防火墙到攻击检测系统,都会用到类似功能。开发此类软件过程相当复杂。而winpcap (indows packet capture)是windows平台下一个免费公共的网络访问系统。它提供了以下的各项功能:
1>捕获原始数据报;2>按照自定义的规则将某些特殊的数据报过滤掉;3>在网络上发送原始的数据报;4>收集网络通信过程中的统计信息。
3 系统架构
无论是基于网络安全,还是基于网络计费系统的改进,网络数据流量分析无疑是必要的,人们对网络依赖很强。网络数据流量系统的架构包括三层:数据层(浏览统计、数据库管理)、访问应用层、展现层(在线统计器、流量统计器、网络速度监视器)。
4 系统设计
⑴网络监视器。网络监视器是监视网络通信的,其主要工作有三项:winpcap捕捉包、包分析、记录。
1)winpcap捕捉包。在网络包捕获系统的实现中,采用的是WINPCAP包捕获应用系统框架。网络监听模块将网络接口设置为混乱模式,将网络上传输的数据包截取下来,供协议分析模块使用。由于效率的需要,有时要根据设置过滤网络上的一些数据包,如特定IP,特定MAC地址、特定协议的数据包等。网络监听模块的过滤功能的效率是该网络监听的关键,因为对于网络上的每一数据包都会使用该模块过滤,判断是否符合过滤条件。
为提高效率,数据包过滤应该在系统内核里来实现。获得数据包之后,如果在捕获过程结束后创建了两个线程实现对捕获数据的实时性处理。
2)包分析。包分析指将捕捉来的数据报进行分析。由于要进行流量统计需要很多必要的信息,作为统计依据,如IP地址、协议类型等。其中,数据长度可由函数调用返回的内容得到而且此时得到的是实际在网上的包长度。
3)记录。通过包的分析后,将有用的信息记录到文件中去。其中包括目的IP、源IP,数据长度、协议类型、以及为了统计方便需要的时间信息。
⑵流量统计器。流量统计器,是对流量监视器的记录结果进行统计,将网络监视器的记录文件内容读出,并根据网址分割标准及源和目的地分别统计出流向网外的国内和国外流量,并将结果按照日期分别存储在数据中。
5 系统实现
⑴捕捉包的实现。包捕捉作为一个独立的应用程序运行,它从网上截获包,并以文件形式将有用信息记录下来,为流量统计准备统计的原始依据。
⑵在线统计的实现。ping利用了原始套接口技术发送ICMP回射请求,并接收工CMP回射应答。Socket是CP/IP编程的底层API(网络编程接口)。在实现ping后可以将其作为一个函数调用,就很容易实现在线统计。
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给人们带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,无论是国家还是企业、个人,在网络系统中均存储着大量重要的信息,网络系统一旦出现安全问题将会造成极大的损失。
1基本概念
1.1网络安全态势感知
网络安全态势感知是对网络安全各要素进行综合分析后,评估网络安全整体情况,对其发展趋势进行预测,最终以可视化系统展示给用户,同时给出相应的统计报表和风险应对措施。网络安全态势感知包括五个方面1:(1)网络安全要素数据采集:借助各种检测工具,对影响网络安全性的各类要素进行检测,采集获取相应数据;(2)网络安全要素数据理解:对各种网络安全要素数据进行分析、处理和融合,对数据进一步综合分析,形成网络安全整体情况报告;(3)网络安全评估:对网络安全整体情况报告中各项数据进行定性、定量分析,总结当前的安全概况和安全薄弱环节,针对安全薄弱环境提出相应的应对措施;(4)网络安全态势预测:通过对一段时间的网络安全评估结果的分析,找出关键影响因素,并预测未来这些关键影响因素的发展趋势,进而预测未来的安全态势情况以及可以采取的应对措施。(5)网络安全态势感知报告:对网络安全态势以图表统计、报表等可视化系统展示给用户。报告要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施。
1.2DPI技术
DPI(DeepPacketInspection)是一种基于数据包的深度检测技术,针对不同的网络传输协议(例如HTTP、DNS等)进行解析,根据协议载荷内容,分析对应网络行为的技术。DPI技术广泛应用于网络流量分析的场景,比如网络内容分析领域等。DPI技术应用于网络安全态势感知领域,通过DPI技术的应用识别能力,将网络安全关注的网络攻击、威胁行为对应的流量进行识别,并形成网络安全行为日志,实现网络安全要素数据精准采集。DPI技术发展到现在,随着后端业务应用的多元化,对DPI系统的能力也提出了更高的要求。传统DPI技术的实现主要是基于知名协议的端口、特征字段等作为识别依据,比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等协议特征的识别、基于源IP、目的IP、源端口和目的端口的五元组特征识别。但是随着互联网应用的发展,越来越多的应用采用加密手段和私有协议进行数据传输,网络流量中能够准确识别到应用层行为的占比呈现越来越低的趋势。在当前网络应用复杂多变的背景下,很多网络攻击行为具有隐蔽性,比如数据传输时采用知名网络协议的端口,但是对传输流量内容进行定制,传统DPI很容易根据端口特征,将流量识别为知名应用,但是实际上,网络攻击行为却“瞒天过海”,绕过基于传统DPI技术的IDS、防火墙等网络安全屏障,在互联网上肆意妄为。新型DPI技术在传统DPI技术的基础上,对流量的识别能力更强。基本实现原理是对接入的网络流量根据网络传输协议、内容、流特征等多元化特征融合分析,实现网络流量精准识别。其目的是为了给后端的态势感知系统提供准确的、可控的数据来源。新型DPI技术通过对流量中传输的不同应用的传输协议、应用层内容、协议特征、流特征等进行多维度的分析和打标,形成协议识别引擎。新型DPI的协议识别引擎除了支持标准、知名应用协议的识别,还可以对应用层进行深度识别。
2新型DPI技术在网络安全态势感知领域的应用
新型DPI技术主要应用于数据采集和数据理解环节。在网络安全要素数据采集环节,应用新型DPI技术,可以实现网络流量的精准采集,避免安全要素数据采集不全、漏采或者多采的现象。在网络安全要素数据理解环节,在对数据进行分析时,需要基于新型DPI技术的特征知识库,提供数据标准的说明,帮助态势感知应用可以理解这些安全要素数据。新型DPI技术在进行网络流量分析时主要有以下步骤,(1)需要对攻击威胁的流量特征、协议特征等进行分析,将特征形成知识库,协议识别引擎加载特征知识库后,对实时流量进行打标,完成流量识别。这个步骤需要确保获取的特征是有效且准确的,需要基于真实的数据进行测试统计,避免由于特征不准确误判或者特征不全面漏判的情况出现。有了特征库之后,(2)根据特征库,对流量进行过滤、分发,识别流量中异常流量对应的攻击威胁行为。这个步骤仍然要借助于协议识别特征知识库,在协议识别知识库中记录了网络异常流量和攻击威胁行为的映射关系,使得系统可以根据异常流量对应的特征库ID,进而得出攻击威胁行为日志。攻击威胁行为日志包含捕获时间、攻击者IP和端口、被攻击者IP和端口、攻击流量特征、攻击流量的行为类型等必要的字段信息。(3)根据网络流量进一步识别被攻击的灾损评估,同样是基于协议识别知识库中行为特征库,判断有哪些灾损动作产生、灾损波及的数据类型、数据范围等。网络安全态势感知的分析是基于步骤2产生的攻击威胁行为日志中记录的流量、域名、报文和恶意代码等多元数据入手,对来自互联网探针、终端、云计算和大数据平台的威胁数据进行处理,分析不同类型数据中潜藏的异常行为,对流量、域名、报文和恶意代码等安全元素进行多层次的检测。针对步骤1的协议识别特征库,可以采用两种实现技术:分别是协议识别特征库技术和流量“白名单”技术。
2.1协议识别特征库
在网络流量识别时,协议识别特征库是非常重要的,形成协议识别特征库主要有两种方式。一种是传统方式,正向流量分析方法。这种方法是基于网络攻击者的视角分析,模拟攻击者的攻击行为,进而分析模拟网络流量中的流量特征,获取攻击威胁的流量特征。这种方法准确度高,但是需要对逐个应用进行模拟和分析,研发成本高且效率低下,而且随着互联网攻击行为的层出不穷和不断升级,这种分析方法往往存在一定的滞后性。第二种方法是近年随着人工智能技术的进步,逐渐应用的智能识别特征库。这种方法可以基于威胁流量的流特征、已有网络攻击、威胁行为特征库等,通过AI智能算法来进行训练,获取智能特征库。这种方式采用AI智能识别算法实现,虽然在准确率方面要低于传统方式,但是这种方法可以应对互联网上层出不穷的新应用流量,效率更高。而且随着特征库的积累,算法本身具备更好的进化特性,正在逐步替代传统方式。智能特征库不仅仅可以识别已经出现的网络攻击行为,对于未来可能出现的网络攻击行为,也具备一定的适应性,其适应性更强。这种方式还有另一个优点,通过对新发现的网络攻击、威胁行为特征的不断积累,完成样本库的自动化更新,基于自动化更新的样本库,实现自动化更新的流量智能识别特征库,进而实现AI智能识别算法的自动升级能力。为了确保采集流量精准,新型DPI的协议识别特征库具备更深度的协议特征识别能力,比如对于http协议能够实现基于头部信息特征的识别,包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等头部信息,对于https协议,也能够实现基于SNI的特征识别。对于目前主流应用,支持识别的应用类型包括网络购物、新闻、即时消息、微博、网络游戏、应用市场、网络视频、网络音频、网络直播、DNS、远程控制等,新型DPI的协议特征识别库更为强大。新型DPI的协议识别特征库在应用时还可以结合其他外部知识库,使得分析更具目的性。比如通过结合全球IP地址库,实现对境外流量定APP、特定URL或者特定DNS请求流量的识别,分析其中可能存在的跨境网络攻击、安全威胁行为等。
2.2流量“白名单”
在网络流量识别时也同时应用“流量白名单”功能,该功能通过对网络访问流量规模的统计,对流量较大的、且已知无害的TOPN的应用特征进行提取,同时将这些特征标记为“流量白名单”。由于“流量白名单”中的应用往往对应较高的网络流量规模,在网络流量识别时,可以优先对流量进行“流量白名单”特征比对,比对成功则直接标记为“安全”。使用“流量白名单”技术,可以大大提高识别效率,将更多的分析和计算能力留给未知的、可疑的流量。流量白名单通常是域名形式,这就要求新型DPI技术能够支持域名类型的流量识别和过滤。随着https的广泛应用,也有很多流量较大的白名单网站采用https作为数据传输协议,新型DPI技术也必须能够支持https证书类型的流量识别和过滤。流量白名单库和协议识别特征库对网络流量的处理流程参考下图1:
3新型DPI技术中数据标准
安全态势感知系统在发展中,从各个厂商独立作战,到现在可以接入不同厂商的数据,实现多源数据的融合作战,离不开新型DPI技术中的数据标准化。为了保证各个厂商采集到的安全要素数据能够统一接入安全态势感知系统,各厂商通过制定行业数据标准,一方面行业内部的安全数据采集、数据理解达成一致,另一方面安全态势感知系统在和行业外部系统进行数据共享时,也能够提供和接入标准化的数据。新型DPI技术中的数据标准包括三个部分,第一个部分是控制指令部分,安全态势感知系统发送控制指令,新型DPI在接收到指令后,对采集的数据范围进行调整,实现数据采集的可视化、可定制化。同时不同的厂商基于同一套控制指令,也可以实现不同厂商设备之间指令操作的畅通无阻。第二个部分是安全要素数据部分,新型DPI在输出安全要素数据时,基于统一的数据标准,比如HTTP类型的数据,统一输出头域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常见头部和头部关键内容。对于DNS类型的数据,统一输出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通过定义数据描述文件,对输出字段顺序、字段说明进行描述。针对不同的协议数据,定义各自的数据输出标准。数据输出标准也可以从业务应用角度进行区分,比如针对网络攻击行为1定义该行为采集到安全要素数据的输出标准。第三个部分是内容组织标准,也就是需要定义安全要素数据以什么形式记录,如果是以文件形式记录,标准中就需要约定文件内容组织形式、文件命名标准等,以及为了便于文件传输,文件的压缩和加密标准等。安全态势感知系统中安全要素数据标准构成参考下图2:新型DPI技术的数据标准为安全态势领域各类网络攻击、异常监测等数据融合应用提供了基础支撑,为不同领域厂商之间数据互通互联、不同系统之间数据共享提供便利。
4新型DPI技术面临的挑战
目前互联网技术日新月异、各类网络应用层出不穷的背景下,新型DPI技术在安全要素采集时,需要从互联网流量中,将网络攻击、异常流量识别出来,这项工作难度越来越大。同时随着5G应用越来越广泛,万物互联离我们的生活越来越近,接入网络的终端类型也多种多样,针对不同类型终端的网络攻击也更为“个性化”。新型DPI技术需要从规模越来越大的互联网流量中,将网络安全相关的要素数据准确获取到仍然有很长的路要走。基于新型DPI技术,完成网络态势感知系统中的安全要素数据采集,实现从网络流量到数据的转化,这只是网络安全态势感知的第一步。网络安全态势感知系统还需要基于网络安全威胁评估实现从数据到信息、从信息到网络安全威胁情报的完整转化过程,对网络异常行为、已知攻击手段、组合攻击手段、未知漏洞攻击和未知代码攻击等多种类型的网络安全威胁数据进行统计建模与评估,网络安全态势感知系统才能做到对攻击行为、网络系统异常等的及时发现与检测,实现全貌还原攻击事件、攻击者意图,客观评估攻击投入和防护效能,为威胁溯源提供必要的线索。
面向服务架构(SOA)将应用程序的不同功能单元包装成“服务(Service)”,通过这些服务之间定义良好的接口和协议联系起来。接口采用中立的方式定义,独立于具体实现服务的硬件平台、操作系统和编程语言,使得构建在各种这样系统中的服务可以使用统一和通用的方式进行通信。这种具有中立接口定义的特征称为服务之间的松耦合。面向服务架构是一种软件体系结构的思想,它需要依赖具体的实现技术。本文采用Web服务分布式管理(WSDM)标准来支持面向服务架构的实现。
为了解决网络环境下管理系统和基础设施的协同工作以及管理集成问题,OASIS组织在IBM、HP、CA等著名公司的大力支持下,于2005年3月推出了Web服务分布式管理(Web services distributed manage-ment,WSDM)标准,对Web Service管理提供标准化的支持,通过使用Web Service来实现对不同平台的管理。
WSDM是一个用于描述特定设备、应用程序或者组件的管理信息和功能的标准。所有描述都是通过Web服务描述语言进行的。WSDM标准实际上是由两个不同的标准组成的,WSDM-MUWS标准以及WS-DM-MOWS标准。
图1是WSDM的工作模式,可管理用户发现这个Web Service端点,然后,通过与端点交换消息,从而获取信息、定制事件以及控制与端点相关联的可管理资源。WSDM规范侧重于提供对可管理资源的访问。管理是资源的一个可能具有的特性,可管理资源的实现是通过Web Service端点提供一组管理功能。WSDM架构不限制可管理资源的实现策略,实现方式包括直接访问资源、用非方法、用管理等,实现细节对于管理消费者来说都是透明的。
WSDM作为一种功能强大的分布式系统集成解决方案,其主要特点如下:
(1)面向资源。WSDM的关注点是资源,因为一个资源就代表了多个Web服务,因此在该标准中,对资源属性和功能的详细描述显得尤为重要。为此,WSDM采用了专门的Web标准(如WS-Resource)对资源相关信息进行定义。
(2)实现分离。由于采用与实现操作无关的WSDL语言定义接口,使得接口与服务实现了分离,所以无论Web服务其内在实现细节如何改变都不会对客户端的操作方式有任何影响。这样做不但较好地封装了管理方法的实现细节,而且实现了对已有资源的重用。
(3)服务的可组合性。WSDM能随着应用环境规模的变化而变化,首先,WSDM标准的自身实现只需定义较少的属性和操作,使得其在小规模的系统中可以得到稳定的应用:其次,对于大规模应用环境而言,WSDM可以随着应用需求的变化灵活地添加某些服务。从而在使用者和部署人员之间起很好的协调作用。
(4)模型的兼容性。主要表现在WSDM能描述和封装任何资源模型(如cIM、SM-NP、SID等),并为其提供相应的Web服务接口。
2 系统设计方案
网络流量采集使用了三种技术:
(1)基于网管设备MIB的SNMP模式;
(2)基于网络探针技术的IP流量数据捕获模式;
(3)基于NetFlow技术的数据流捕获模式。
针对基于SNMP模式,实现基于WSDM的SNMP网关,通过该网关收集SNMP设备上的MIB信息;针对基于网络探针技术模式,可实现基于WSDM的网络探针服务;针对基于NetFlow技术模式,流量数据是通过NetFlow的主动式数据推送机制获得的,网络设备中的NetFlow是通过规范的报文格式将流量数据送往指定主机,WSDM服务提供了接收和传输NetFlow流量数据的功能。
2.1 系统架构
流量监测系统结构可划分为三个层次,即资源层、管理服务层、展示层,如图2所示。
(1)资源层
资源层由提供流量采集服务的分布式流量采集器(WSDM Agent)组成,它们通过调用管理服务层的WSDM Agent注册服务实行自主注册,具备向管理服务层主动汇报、自主管理和主动服务等功能。
(2)管理服务层
管理服务层包括应用组件、服务组件、管理平台以及数据库。其中应用组件是对展示层提供支持的各种
管理服务,包括策略管理模块、WSDM Agent管理模块、流量数据管理模块以及流量分析模块等系统功能实现的模块。服务组件是对资源层的各种WSDMAgent资源的支持,包括安全审计、日志服务、异常服务、自主管理等,主要是管理服务器自主实现的一些功能。数据库部分是应用组件中各模块对应的数据存储。中间层的管理平台是管理服务层的核心,是对应用组件、服务组件以及数据库的支持,包括Web服务、WSDM服务的引擎和API等。
(3)展示层
展示层实现流量状态显示。可以从流量数据库中取得所要查询的网络流量历史信息,也可以调用管理服务层提供的服务触发流量信息更新采集实时的流量数据,还可以通过服务将合法用户的操作信息送到管理服务层。根据用户需求采用图形用户界面将流量态势分析的结果展示出来。可提供多种格式的流量报表。
2.2 流量分析系统设计
流量分析系统是整个流量监测系统的核心。如图3所示,该系统分为五个模块:流量采集模块、数据接收模块、数据传输模块、流量分析模块、数据存储与管理模块。对照流量监测系统架构,流量分析系统结构中的这五个功能模块分别位于总体架构的各个层次。
1、网络流量的特性
通过对互联网通信量的测量,人们发现互联网通信量的主要特性有:
1、数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
2、大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。
3、包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
4、网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2、 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
1、基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2、主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
3、在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
4、协议级分类
对于不同的协议,例如以太网(Ethernet ),帧中继(Frame Relay ),异步传输模式( Asynchronous Transfer Mode ),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3、 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
1、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。