導(dǎo)言：作為寫作愛好者，不可錯(cuò)過為您精心挑選的10篇網(wǎng)絡(luò)流量監(jiān)測，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

Network Traffic Monitoring in Network Management

Wang Lei

(Hunan Women’s University,Changsha410004,China)

Abstract:This article study from the network traffic characteristics,internet traffic measurement,etc,so as to optimize some suggestions for traffic monitoring technologies.

Keywords:Network management;Network traffic;Monitoring

一、網(wǎng)絡(luò)流量的特征

(一)數(shù)據(jù)流是雙向的,但通常是非對稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的,因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異,這是因?yàn)閺木W(wǎng)站下載時(shí)會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

(二)大部分TCP會話是短期的

超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié),會話持續(xù)時(shí)間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響。

(三)包的到達(dá)過程不是泊松過程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過程是泊松過程,即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡單的說,泊松到達(dá)過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。然而近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布,而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá),即包的到達(dá)是有突發(fā)性的。很明顯,泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

(四)網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時(shí)間和源及目的地址上,從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

二、網(wǎng)絡(luò)流量的測量

網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具,通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯(cuò)的,設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長、錯(cuò)誤地址、安全攻擊等。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題?；ヂ?lián)網(wǎng)流量的測量從不同的方面可以分為:

(一)基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲能力和協(xié)議分析能力等諸多因素的限制?；谲浖臏y量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較,其費(fèi)用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

(二)主動(dòng)測量和被動(dòng)測量

被動(dòng)測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測量都是被動(dòng)的測量。主動(dòng)測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

(三)在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲下來,并不對數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

(四)協(xié)議級分類

對于不同的協(xié)議,例如以太網(wǎng)(Ethernet),幀中繼(Frame Relay),異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測試方法。

三、網(wǎng)絡(luò)流量的監(jiān)測技術(shù)

根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)。

(一)基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備,實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

(二)基于Netflow的流量監(jiān)測技術(shù)

Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇2

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)31-0000-0c

Application of WinPcap in the Network Traffic Monitoring

ZHANG Xue-jun,XU Yuan

(Internet of Things Department of Jiangnan University, Wuxi 214122, China)

Abstract: Introduction of computer network traffic monitoring technology and flow monitoring methods, the main study the WinPcap packet capture system structure and its main function, based on the WinPcap packet capture system with simple structure, fast data capture, protocol recognition rate, etc., which of the three modules complement each other to achieve the basic functions of data acquisition network, describes the network based on WinPcap packet capture and analysis methods and the main steps.

Key words: WinpCap; network traffic monitoring system; packet capture

目前互聯(lián)網(wǎng)已經(jīng)非常普及，有關(guān)網(wǎng)絡(luò)的應(yīng)用也越來越多，從瀏覽網(wǎng)頁和收發(fā)郵件，到打游戲，聊天，看電影，聽音樂，打電話包羅萬象。電視網(wǎng)和電話網(wǎng)能夠做的事情，現(xiàn)在寬帶網(wǎng)也能夠做到了，同時(shí)寬帶網(wǎng)還能夠做電視網(wǎng)，電話網(wǎng)以外的許多事情。而這一切，都是靠信息在網(wǎng)絡(luò)上的流動(dòng)來實(shí)現(xiàn)的。汽車在馬路上跑，常常會引起交通堵塞以及不遵守交通規(guī)則等現(xiàn)象，因此需要交通部門來實(shí)時(shí)監(jiān)測道路情況和處理突發(fā)事件。同樣網(wǎng)絡(luò)流量也需要監(jiān)測和控制，通過監(jiān)控可以對網(wǎng)絡(luò)狀態(tài)進(jìn)行合理調(diào)節(jié)或配置、保證網(wǎng)絡(luò)高效運(yùn)行、提高網(wǎng)絡(luò)資源的利用效率、也可以用于對網(wǎng)絡(luò)用戶行為和網(wǎng)絡(luò)業(yè)務(wù)的分析。網(wǎng)絡(luò)流量監(jiān)測是網(wǎng)絡(luò)管理的重要組成部分，而數(shù)據(jù)報(bào)捕獲又是網(wǎng)絡(luò)流量監(jiān)測的前提。

1 流量監(jiān)測與分析技術(shù)概述

1.1 網(wǎng)絡(luò)流量監(jiān)測

網(wǎng)絡(luò)流量指通過網(wǎng)絡(luò)的數(shù)據(jù)量，是衡量網(wǎng)絡(luò)性能的重要參數(shù)。網(wǎng)絡(luò)監(jiān)測就是通過一定的方法獲取網(wǎng)絡(luò)流量數(shù)據(jù)，而這些流量數(shù)據(jù)的采集是進(jìn)一步分析網(wǎng)絡(luò)負(fù)載性能以及網(wǎng)絡(luò)的安全性的前提。網(wǎng)絡(luò)流量的監(jiān)測是網(wǎng)絡(luò)測量中的重要技術(shù)之一，網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)大致上可以分為流量采集、流量分析和流量控制三個(gè)方面。

1.2 流量監(jiān)測分析的方法及分類

流量監(jiān)測系統(tǒng)通常是根據(jù)對網(wǎng)絡(luò)流量某個(gè)特定方面的分析來設(shè)計(jì)的，正是由于需要分析的內(nèi)容不同，就產(chǎn)生了各種網(wǎng)絡(luò)流量監(jiān)測方法，這些方法主要分為基于主機(jī)內(nèi)嵌軟件的方法、基于SNMP的流量監(jiān)測方法、基于Netflow的流量監(jiān)測方法、基于硬件探針的監(jiān)測方法等。

1.2.1 基于主機(jī)內(nèi)嵌軟件的方法

主機(jī)內(nèi)嵌軟件的方法是指在主機(jī)內(nèi)安裝流量檢測軟件來完成流量檢測任務(wù)。主機(jī)操作系統(tǒng)中，一般會把網(wǎng)絡(luò)通信功能功能實(shí)現(xiàn)在相對獨(dú)立的軟件模塊 ，例如設(shè)備驅(qū)動(dòng)程序中。主機(jī)與網(wǎng)絡(luò)的通信一般是通過對調(diào)用軟件套接字Socket來實(shí)現(xiàn)。因此在這個(gè)位置上嵌入一個(gè)軟件就可以通過檢測對通信模塊的調(diào)用來截獲往返通信的主要內(nèi)容，目前有許多軟件實(shí)現(xiàn)這一功能。Windows 操作系統(tǒng)下的檢測軟件WinPcap，實(shí)現(xiàn)了基本的報(bào)文截獲功能，可自由下載使用，成為了許多流量監(jiān)測軟件的基本組成部分。

1.2.2 基于SNMP的流量監(jiān)測方法

SNMP用于對網(wǎng)絡(luò)設(shè)備的管理，幾乎所有的網(wǎng)絡(luò)設(shè)備都具備該能力，基于SNMP的流量信息采集方法，實(shí)質(zhì)上是用軟件提取存儲在網(wǎng)絡(luò)設(shè)備上的流量信息，該方法配置簡單，成本較低，基于SNMP收集的網(wǎng)絡(luò)流量信息只包括字節(jié)數(shù)、報(bào)文數(shù)等基本的流量信息，不能滿足復(fù)雜的流量監(jiān)測要求。

1.2.3 基于Netflow的流量監(jiān)測方法

Netflow是Cisco公司提出的專業(yè)的流量監(jiān)測的技術(shù)標(biāo)準(zhǔn)，主要運(yùn)行在該公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備上，與基于SNMP的流量監(jiān)測方法相比，該方法能夠滿足復(fù)雜的流量監(jiān)測需要，目前應(yīng)用最普遍的是NetFlowV5。

1.2.4 基于硬件探針的監(jiān)測方法

硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它連接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號而獲取流量信息。 一個(gè)硬件探針通常只能監(jiān)視一條鏈路。而對于全網(wǎng)流量的監(jiān)測使用NetFlow更為合適。與其他的3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。

2 WinPcap包截獲系統(tǒng)

數(shù)據(jù)包的截獲是流量監(jiān)測系統(tǒng)中流量采集的主要技術(shù).在大多數(shù)Unix系統(tǒng)的內(nèi)核模塊本身就是截獲數(shù)據(jù)包的機(jī)制。而在Windows平臺下，系統(tǒng)提供很少的數(shù)據(jù)包捕獲接口，而提供的具有包截獲功能的API，也只能截獲IP數(shù)據(jù)包，很少能直接獲取數(shù)據(jù)鏈路層上數(shù)據(jù)幀。WinPcap是基于Win32平臺的開放源代碼網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析的系統(tǒng)。它彌補(bǔ)了Windows內(nèi)核在包捕獲方面的不足，該系統(tǒng)性能穩(wěn)定而且效率極高，利用它提供的豐富且功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包處理函數(shù)，可以滿足對數(shù)據(jù)包處理有嚴(yán)格要求的多數(shù)應(yīng)用。

2.1 WinPcap的體系結(jié)構(gòu)

WinPcap是由意大利人Fulvio Risso和Loris Degioanni等人提出的。是為Linux下的Libcap移植到Windows下而設(shè)計(jì)的，它的主要思想來源于Unix系統(tǒng)中最著名的伯克利軟件套件（Berkeley software Distribution,BSD)架構(gòu)，WinPcap的基本結(jié)構(gòu)如圖a所示。它由處于內(nèi)核級的網(wǎng)絡(luò)組包過濾器(Netgroup Packet Filter，NPF)、處于用戶級的動(dòng)態(tài)鏈接庫（Packet.dll）和高級動(dòng)態(tài)鏈接庫Wpcap.dll等3個(gè)模塊組成。

1) 網(wǎng)絡(luò)組包過濾器。它是WinPcap架構(gòu)的核心，屬于最底層的模塊，它與NIC驅(qū)動(dòng)交互，并向上提供一些函數(shù)組，從而能在讀取和寫入網(wǎng)絡(luò)數(shù)據(jù)包。它能獲取原始以太網(wǎng)數(shù)據(jù)包，并進(jìn)行相應(yīng)的過濾，然后傳給高層的應(yīng)用程序處理。NPF有著高效和處理迅速兩大特點(diǎn)，在流量很大的網(wǎng)絡(luò)中也能正常高效的工作。

2) 低級動(dòng)態(tài)鏈接庫。Packet.dll為Win32平臺上為數(shù)據(jù)包驅(qū)動(dòng)程序提供了一個(gè)公共的接口。不同的Windows版本在用戶態(tài)和內(nèi)核態(tài)之間提供互不相同的接口，而Packet.dll可以屏蔽這些接口區(qū)別，提供一個(gè)與系統(tǒng)無關(guān)的API，該API能夠直接訪問NPF驅(qū)動(dòng)程序?；赑acket.dll開發(fā)的數(shù)據(jù)包截獲程序可以不作任何修改運(yùn)行于不同的Win32平臺。Packet.dll具有如獲取適配器名稱、動(dòng)態(tài)驅(qū)動(dòng)器加載以及獲得主機(jī)掩碼及以太網(wǎng)沖突次數(shù)等附加功能。

3) 高級動(dòng)態(tài)鏈接庫。Wpcap.dll與Packet.dll不同，它處于更高層，且與操作系統(tǒng)無關(guān)，是對Packet.dll的高層封裝。它和應(yīng)用程序鏈接在一起，提供了一組功能強(qiáng)大且跨平臺的函數(shù)，利用這些函數(shù)，可以不去關(guān)心適配器和操作系統(tǒng)的類型。Wpcap.dll含有諸如產(chǎn)生過濾器、定義用戶級緩沖以及包注入等高級功能。編程人員既可以使用包含在Packet.dll中的低級函數(shù)直接進(jìn)入內(nèi)核級調(diào)用，也可以使用Wpcap.dll提供的高級函數(shù)調(diào)用，這樣功能更強(qiáng)，使用也更為方便。Wpcap.dll的函數(shù)調(diào)用會自動(dòng)調(diào)用Pactet.dll中的低級函數(shù)，并且可能被轉(zhuǎn)換成若干個(gè)NPF系統(tǒng)調(diào)用。

圖1

2.2 WinPcap的主要功能

在WinPcap包截獲系統(tǒng)中，整個(gè)包截獲架構(gòu)的基礎(chǔ)是網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范(NDIS)，它主要為網(wǎng)絡(luò)適配器和各種協(xié)議驅(qū)動(dòng)程序提供接接口函數(shù)，使得協(xié)議驅(qū)動(dòng)程序發(fā)送和接收數(shù)據(jù)包時(shí)不必考慮具體的適配器和Win32操作系統(tǒng)。WinPcap中的NPF正是通過回調(diào)函數(shù)Packet_tap（）調(diào)用這些接口函數(shù)來截取網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)而為用戶層提供了包截獲、數(shù)據(jù)包轉(zhuǎn)儲、包注入、網(wǎng)絡(luò)監(jiān)測等功能。

1) 包截獲。包截獲是NPF最重要的操作，它通過過濾從網(wǎng)卡中接收到數(shù)據(jù)包，并原封不動(dòng)地送往用戶層應(yīng)用程序。它主要依靠一個(gè)包過濾器和一個(gè)環(huán)緩沖器來實(shí)現(xiàn)。NPF中的包過濾器延用了Unix下BSD中的分組過濾器BPF，BPF是一個(gè)虛擬處理機(jī)，用于運(yùn)行用戶自定義的過濾程序。通過Wpcap.dll把用戶定義的包過濾規(guī)則編譯到BPF程序中，并把程序注入到內(nèi)核。當(dāng)有數(shù)據(jù)包到達(dá)的時(shí)候，NPF運(yùn)行該內(nèi)核程序進(jìn)行數(shù)據(jù)包的過濾。環(huán)緩沖器用來存儲數(shù)據(jù)包避免包丟失，數(shù)據(jù)包存儲時(shí)被加了一個(gè)包頭，記錄時(shí)問戳以及包大小等信息。使用緩沖器可以把一組數(shù)據(jù)包一起拷貝給應(yīng)用程序，這減少了讀寫的次數(shù)，提高了運(yùn)行速度。緩沖器的大小是非常重要的一個(gè)參數(shù)，因?yàn)樗鼪Q定了一次拷貝能送多少數(shù)據(jù)包給應(yīng)用程序。緩沖器設(shè)置比較大時(shí)，它需要等待一系列包到達(dá)后才往應(yīng)用程序送，由于減少拷貝次數(shù)節(jié)省了處理器的資源，如在嗅探器中就適合設(shè)置大的緩沖器。而有些實(shí)時(shí)性要求比較高的應(yīng)用程序(如ARP轉(zhuǎn)向器)，需要在應(yīng)用程序準(zhǔn)備好時(shí)就能得到數(shù)據(jù)，因而緩沖器設(shè)置較小。WinPcap庫中提供了專門設(shè)置緩沖器大小和讀包溢出時(shí)間的函數(shù)，它們的默認(rèn)值分別是16kB和ls。

2) 數(shù)據(jù)包轉(zhuǎn)儲。用傳統(tǒng)方法，把數(shù)據(jù)包保存到硬盤上通常需要3~4個(gè)緩沖器，每個(gè)數(shù)據(jù)包需要拷貝多次。當(dāng)網(wǎng)卡收到包以后，包會存放在內(nèi)核空間內(nèi)，這需要一個(gè)緩沖器。由于上層應(yīng)用運(yùn)行在用戶空問，無法直接訪問內(nèi)核空間，因此要通過系統(tǒng)調(diào)用往上層應(yīng)用系統(tǒng)送，這時(shí)會發(fā)生一次復(fù)制過程。用戶應(yīng)用程序有兩個(gè)緩沖器，一個(gè)用于暫存數(shù)據(jù)，一個(gè)用于標(biāo)準(zhǔn)輸出函數(shù)中向硬盤寫文件，還有一個(gè)緩沖器存在文件系統(tǒng)中。如果對一般的應(yīng)用來說，這樣的系統(tǒng)開銷還可以承受，但是對于大量讀取網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用來說，這樣的開銷就很難承受了。利用NPF提供的數(shù)據(jù)包轉(zhuǎn)儲功能，不需要用戶應(yīng)用程序的介入，在內(nèi)核層直接尋址文件系統(tǒng)。因?yàn)闇p少了兩個(gè)緩沖器。而且只要一次簡單的拷貝，大量減少了系統(tǒng)調(diào)用，提高了轉(zhuǎn)儲的效率。在轉(zhuǎn)儲之前，還可以進(jìn)行包過濾，只把需要的數(shù)據(jù)包保存到硬盤上面。

3) 包注入。NPF除了可以從網(wǎng)絡(luò)中截獲數(shù)據(jù)包，還可以往網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包。包注入時(shí)，NPF對數(shù)據(jù)包不進(jìn)行任何封裝，所以應(yīng)用程序需要針對不同應(yīng)用給每個(gè)數(shù)據(jù)包添加相應(yīng)的包頭。封裝時(shí)可以不計(jì)算幀校驗(yàn)序列，網(wǎng)卡驅(qū)動(dòng)程序會自動(dòng)計(jì)算它并添加到每個(gè)數(shù)據(jù)包的結(jié)尾。通常情況下每往網(wǎng)絡(luò)發(fā)送一個(gè)包，都要進(jìn)行一次系統(tǒng)調(diào)用(WriteFile（）)，而通過NPF可以實(shí)現(xiàn)一次系統(tǒng)調(diào)用重復(fù)發(fā)送同一個(gè)數(shù)據(jù)包，這提高了發(fā)送效率，適合應(yīng)用于網(wǎng)絡(luò)高速流量測試。

4) 網(wǎng)絡(luò)監(jiān)測。事實(shí)上，通過WinPcap提供的包截獲功能，在用戶層得到需要檢測的數(shù)據(jù)包后，通過簡單的分類統(tǒng)計(jì)就能實(shí)現(xiàn)網(wǎng)絡(luò)檢測。但是如果網(wǎng)絡(luò)流量很大，這可能會耗盡處理器資源。WipPcap提供了內(nèi)核層的監(jiān)測模塊，不需要把數(shù)據(jù)包送到應(yīng)用程序就能實(shí)現(xiàn)分類統(tǒng)計(jì)。該監(jiān)測模塊由分類器和計(jì)數(shù)器組成，在內(nèi)核層和用戶層不分配緩沖區(qū)，統(tǒng)計(jì)數(shù)據(jù)直接來源于適配器驅(qū)動(dòng)程序，這大大節(jié)省了內(nèi)存和處理器資源。

2.3 WinpCap 的主要優(yōu)點(diǎn)

1）高性能。WinPcap 實(shí)現(xiàn)了有關(guān)數(shù)據(jù)包捕獲文獻(xiàn)中描述的所有典型的優(yōu)化方法（如內(nèi)核級的過濾與緩沖、減少上下文交換、數(shù)據(jù)包部分內(nèi)容復(fù)制）,加上一些原創(chuàng)的優(yōu)化方法，如JIT 過濾器編輯（JIT filter compilation）與內(nèi)核級的統(tǒng)計(jì)過程,WinPcap 勝過其他類似的方法。

2）最終用戶易于使用WinPcap 作為單個(gè)小的可執(zhí)行文件，可運(yùn)行在每個(gè)所支持的操作系統(tǒng)上，開始使用這個(gè)可執(zhí)行文件后,Windows 就能捕獲與發(fā)送原始數(shù)據(jù)包，操作簡單。

3）程序員易于使用每個(gè)版本的WinPcap 帶有一個(gè)開發(fā)者包(developer's pack),包括文檔、庫與include 文件，是開發(fā)應(yīng)用程序所必需的。開發(fā)者包還包含一個(gè)示例程序集，可用Visual Studio 或Cygnus 編譯，用來作為一個(gè)極好的起點(diǎn)。

4）多平臺。WinPcap 在Windows NT、Windows2000、Windows XP 與Windows Server 2003 平臺上被積極地維護(hù)。對Windows Vista 具有初步的支持，但有一些特性并不具備。

5）可移植性。WinpCap與libpcap具有完全的兼容性。這意味著可將Unix 或Linux 下存在的工具移植到Windows下。也可把Windows應(yīng)用程序很方便地移植到Unix下使用。

2.4 WinPcap捕獲數(shù)據(jù)包過程

首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡，將其設(shè)置為混雜模式，還要設(shè)置好過濾器等參數(shù)；然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中；最后通過上層的調(diào)用，把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中，再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動(dòng)捕獲的數(shù)據(jù)幀其實(shí)是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀，因此可以對數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。

3 WinPcap捕獲數(shù)據(jù)包過程

WinPcap捕獲數(shù)據(jù)包分成以下幾個(gè)步驟，首先獲取網(wǎng)卡設(shè)備列表并選擇要監(jiān)聽的一塊網(wǎng)卡，將其設(shè)置為混雜模式，還要設(shè)置好過濾器等參數(shù)；然后把網(wǎng)卡上的數(shù)據(jù)包復(fù)制到內(nèi)核緩沖區(qū)中；最后通過上層的調(diào)用，把內(nèi)核緩沖區(qū)中的數(shù)據(jù)包拷貝到用戶緩沖區(qū)中，再交給應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加工提取出有用的信息。利用WinPcap驅(qū)動(dòng)捕獲的數(shù)據(jù)幀其實(shí)是經(jīng)過傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的封裝而生成的太網(wǎng)數(shù)據(jù)幀，因此可以對數(shù)據(jù)幀作進(jìn)一步解析得到有用信息。捕獲到了網(wǎng)絡(luò)數(shù)據(jù)幀，便可以進(jìn)一步完成網(wǎng)絡(luò)流量分析和網(wǎng)絡(luò)流量控制等任務(wù)，這些任務(wù)構(gòu)成了一個(gè)完整的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)。

4 結(jié)論

WinPcap系統(tǒng)是一個(gè)功能強(qiáng)大的用于網(wǎng)絡(luò)數(shù)據(jù)獲取開發(fā)包，它直接和網(wǎng)卡打交道，獲取數(shù)據(jù)鏈層的數(shù)據(jù)，能捕獲數(shù)據(jù)鏈路層的所有數(shù)據(jù)包。WinPcap的分層思想為Windows平臺提供了一個(gè)完整的、簡單的、系統(tǒng)無關(guān)的編程接口，為在Windows平臺下開發(fā)高性能的網(wǎng)絡(luò)數(shù)據(jù)獲取軟件提供了方便。WinPcap的兩級緩存的設(shè)計(jì)，極大地提高了數(shù)據(jù)包的捕獲率，使丟包率降到了很低的程度，尤其是它內(nèi)核級緩存的動(dòng)態(tài)循環(huán)存儲的思想，使它在數(shù)據(jù)捕獲的速度方面優(yōu)于UNIX中的Libpcap?？傊?，基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)實(shí)驗(yàn)方案具有結(jié)構(gòu)簡單、捕獲數(shù)據(jù)快、協(xié)議識別率高等特點(diǎn)，它的三個(gè)模塊的相互套用，實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)獲取的基本功能。本文就WinPcap的系統(tǒng)結(jié)構(gòu)及其功能原理進(jìn)行了介紹，最后闡述了WinPcap捕獲數(shù)據(jù)包過程。

參考文獻(xiàn)：

[1] 張偉,王韜.基于WinPcap的數(shù)據(jù)包捕獲及應(yīng)用[J].計(jì)算機(jī)工程與設(shè)計(jì),2008,29(7):1649-1651.

[2] 楊永.互聯(lián)網(wǎng)流量監(jiān)測系統(tǒng)研究[J].信息網(wǎng)絡(luò)安全,2010(7):22-28.

[3] 吳玉,李嵐.基于WinPcap 的網(wǎng)絡(luò)數(shù)據(jù)獲取系統(tǒng)的研究[J].研究與設(shè)計(jì),2007,23(6):10-12.

[4] 魏敏,奚茂龍,周陽花.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)解析系統(tǒng)[J].計(jì)算機(jī)安全,2010(11):49-51.

[5] 胡曉元,史涪山.WinPcap包截獲系統(tǒng)的分析及其應(yīng)用[J].計(jì)算機(jī)工程,2005,31(2):96-98.

篇3

中圖分類號：TP39

文獻(xiàn)標(biāo)識碼：A

文章編號：1007-3973（2012）003-075-02

1 WinPcap的功能

Winpcap(windows packet capture)是Windows平臺下一個(gè)免費(fèi)的SDK，它為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。Winpcap不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)報(bào)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報(bào)。

它提供了以下的各項(xiàng)功能：

(1)捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報(bào)；

(2)在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；

(3)在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；

(4)收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。

2 WPcap.dll

動(dòng)態(tài)鏈接庫wpcap.dll。它也是提供給開發(fā)者的API，它輸出一組與系統(tǒng)有關(guān)的函數(shù)，用來捕獲和分析網(wǎng)絡(luò)流量。

3 主要設(shè)計(jì)與開發(fā)的內(nèi)容

本系統(tǒng)實(shí)現(xiàn)的功能主要實(shí)現(xiàn)網(wǎng)絡(luò)流量監(jiān)測與統(tǒng)計(jì)分析。在用戶方面，該系統(tǒng)實(shí)現(xiàn)了計(jì)算網(wǎng)絡(luò)流量與網(wǎng)絡(luò)協(xié)議分析等具體功能；在整個(gè)項(xiàng)目方面，該系統(tǒng)作為網(wǎng)絡(luò)異常告警與智能分析的基礎(chǔ)模塊。

流量監(jiān)測是以圖形的方式實(shí)時(shí)顯示出流量的大小。

流量統(tǒng)計(jì)分析包括ARP數(shù)據(jù)包統(tǒng)計(jì)、TCP數(shù)據(jù)包統(tǒng)計(jì)、UDP數(shù)據(jù)統(tǒng)計(jì)、ICMP數(shù)據(jù)包統(tǒng)計(jì)、廣播數(shù)據(jù)包統(tǒng)計(jì)等。包括的子項(xiàng)有：

(1)每個(gè)數(shù)據(jù)包的時(shí)間、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口號、數(shù)據(jù)包大小。

(2)統(tǒng)計(jì)一段時(shí)間內(nèi)某種協(xié)議的數(shù)據(jù)包個(gè)數(shù)及總大小。

(3)按源IP和目的IP統(tǒng)計(jì)某個(gè)IP地址到另一個(gè)目的IP的某種協(xié)議的數(shù)據(jù)包時(shí)間、源IP地址、源MAC地址、目的IP地址、目的MAC地址、端口號、大小。

(4)按源IP或者目的IP統(tǒng)計(jì)某個(gè)IP地址的某種協(xié)議的數(shù)據(jù)包總大小及總大小。

4 總體設(shè)計(jì)方案

整個(gè)軟件分為三個(gè)子模塊。三個(gè)模塊為：數(shù)據(jù)包統(tǒng)計(jì)分析模塊、流量監(jiān)測模塊、用戶模塊(界面模塊)。

統(tǒng)計(jì)分析模塊主要基于WinPcap捕包原理，通過截獲整個(gè)網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機(jī)，目標(biāo)主機(jī)，服務(wù)協(xié)議端口等信息按照ARP、TCP、UDP、ICMP、廣播協(xié)議過濾分析、統(tǒng)計(jì)。

本模塊要將網(wǎng)絡(luò)中各種層次中的協(xié)議進(jìn)行對比分析，對已知數(shù)據(jù)字段進(jìn)行分析，這種分析是逐層進(jìn)行的。因?yàn)閿?shù)據(jù)包的結(jié)構(gòu)都是自頂向下層層的添加數(shù)據(jù)包頭，而且每層的包頭都有固定的長度，所以根據(jù)特定位置來判斷協(xié)議類型也就變得簡單。在本系統(tǒng)中，采用的是網(wǎng)絡(luò)中的OSI標(biāo)準(zhǔn)，即網(wǎng)絡(luò)的七層結(jié)構(gòu)。

流量監(jiān)測是流量的短期分析。該模塊主要實(shí)現(xiàn)如下功能：網(wǎng)絡(luò)總流量的實(shí)時(shí)查看，網(wǎng)絡(luò)輸出流量的實(shí)時(shí)查看，網(wǎng)絡(luò)輸入流量的實(shí)時(shí)查看。

用戶模塊（界面模塊）本系統(tǒng)主要采用Visual studio 2008平臺來設(shè)計(jì)用戶界面，使其界面與Windows保持最大的一致。

5 統(tǒng)計(jì)分析模塊詳細(xì)設(shè)計(jì)

編寫WinPcap應(yīng)用程序首先獲得主機(jī)的所有網(wǎng)卡。WinPcap用函數(shù)pcap_findalldevs()來實(shí)現(xiàn)，該函數(shù)返回一個(gè)pcap_if的鏈表，鏈表中包含了每一個(gè)網(wǎng)卡的詳細(xì)信息。

打開設(shè)備的函數(shù)是pcap_open()，它有三個(gè)參數(shù)snaplen、flags和to_ms。snaplen參數(shù)用來制定捕獲包的特定部分。如果網(wǎng)卡設(shè)置成混雜模式，Winpcap能獲得其他主機(jī)的數(shù)據(jù)包。to_ms 參數(shù)指定讀數(shù)據(jù)的超時(shí)控制，超時(shí)以毫秒計(jì)算。當(dāng)在超時(shí)時(shí)間內(nèi)網(wǎng)卡上沒有數(shù)據(jù)到來時(shí)，對網(wǎng)卡的讀操作將返回。

當(dāng)設(shè)備被打開，調(diào)用函數(shù)pcap_dispatch()來捕獲數(shù)據(jù)包。pcap_dispatch()可以不被阻塞。這個(gè)函數(shù)都有返回的參數(shù)，一個(gè)指向某個(gè)函數(shù)的指針，Libpcap調(diào)用該函數(shù)對每個(gè)從網(wǎng)上到來的數(shù)據(jù)包進(jìn)行處理和接收數(shù)據(jù)包。另一個(gè)參數(shù)帶有時(shí)間戳和數(shù)據(jù)包長度等信息，最后一個(gè)是含有所有協(xié)議頭部數(shù)據(jù)包的實(shí)際數(shù)據(jù)。MAC的冗余校驗(yàn)碼一般不出現(xiàn)，因?yàn)楫?dāng)一個(gè)幀到達(dá)并被確認(rèn)后網(wǎng)卡就將它刪除。

當(dāng)對網(wǎng)絡(luò)數(shù)據(jù)包的分析的時(shí)候，必須先分析鏈路層，其次分析網(wǎng)絡(luò)層，之后是傳輸層，最后分析應(yīng)用層。

由于本程序只分析以太網(wǎng)的協(xié)議，所以去掉以太網(wǎng)協(xié)議的部分，剩下的就是IP協(xié)議的數(shù)據(jù)；IP協(xié)議部分包括 TCP和UDP協(xié)議的數(shù)據(jù)包；之后分析TCP和UDP等傳輸層的協(xié)議，將傳輸層協(xié)議部分舍去，留下來的是應(yīng)用層協(xié)議；最后解析應(yīng)用層協(xié)議。

基于以太網(wǎng)協(xié)議內(nèi)容的進(jìn)行分析，判斷以太網(wǎng)類型的值：如果是0x0806，表示ARP協(xié)議，則分析ARP協(xié)議；如果是0x0800，表示協(xié)議為IP協(xié)議，則分析IP協(xié)議,在分析IP協(xié)議時(shí)，根據(jù)協(xié)議類型的值判斷傳輸層協(xié)議類型：如果IP協(xié)議類型字段的值是6，表示協(xié)議為TCP協(xié)議，則分析TCP協(xié)議。

統(tǒng)計(jì)分析模塊將分為五個(gè)功能的詳細(xì)設(shè)計(jì)分別是ARP數(shù)據(jù)包統(tǒng)計(jì)、TCP數(shù)據(jù)包統(tǒng)計(jì)、UDP數(shù)據(jù)統(tǒng)計(jì)、ICMP數(shù)據(jù)包統(tǒng)計(jì)、廣播數(shù)據(jù)包統(tǒng)計(jì)。

6 流量監(jiān)測模塊詳細(xì)設(shè)計(jì)

網(wǎng)絡(luò)流量監(jiān)測的思想是：對流入和流出網(wǎng)卡的數(shù)據(jù)包進(jìn)行檢測并對數(shù)據(jù)包的長度進(jìn)行累加，從而得到流量數(shù)據(jù)。由于Windows NT/2000/XP/7提供了一個(gè)系統(tǒng)性能的接口（注冊表），所以需要做的就是訪問這個(gè)接口，得到數(shù)據(jù)流量。

具體實(shí)現(xiàn)通過PDH和讀取注冊表中的系統(tǒng)性能數(shù)據(jù)來實(shí)現(xiàn)流量的監(jiān)測模塊。PDH是英文Performance Data Helper的縮寫。隨著PDH逐漸成熟，為了使該數(shù)據(jù)庫的使用變得容易，Microsoft開發(fā)了一組Performance Data的API函數(shù)，包含在PDH.DLL文件中。使用PDH API基本上包括5個(gè)步驟。

創(chuàng)建一個(gè)查詢；向查詢中添加計(jì)數(shù)器；搜集性能數(shù)據(jù)；處理性能數(shù)據(jù)；關(guān)閉查詢。

在本系統(tǒng)中將采用查詢注冊表的方式完成PD的查詢。本系統(tǒng)中用到了一個(gè)注冊表函數(shù)RegQueryValueEx，該函數(shù)根據(jù)一個(gè)開放的注冊表鍵值和一個(gè)具體的名字值查找相關(guān)的類型和數(shù)據(jù)。

參考文獻(xiàn)：

[1]　劉敏,過曉冰,伍衛(wèi)國,等.針對網(wǎng)絡(luò)掃描的監(jiān)測系統(tǒng)[J].計(jì)算機(jī)工程,2002,28(2):77-78.省略/Class/winpcap/index.html.

篇4

一、異常流量監(jiān)測基礎(chǔ)知識

異常流量有許多可能的來源,包括新的應(yīng)用系統(tǒng)與業(yè)務(wù)上線、計(jì)算機(jī)病毒、黑客入侵、網(wǎng)絡(luò)蠕蟲、拒絕網(wǎng)絡(luò)服務(wù)、使用非法軟件、網(wǎng)絡(luò)設(shè)備故障、非法占用網(wǎng)絡(luò)帶寬等。網(wǎng)絡(luò)流量異常的檢測方法可以歸結(jié)為以下四類:統(tǒng)計(jì)異常檢測法、基于機(jī)器學(xué)習(xí)的異常檢測方法、基于數(shù)據(jù)挖掘的異常檢測法和基于神經(jīng)網(wǎng)絡(luò)的異常檢測法等。用于異常檢測的5種統(tǒng)計(jì)模型有:①操作模型。該模型假設(shè)異常可通過測量結(jié)果和指標(biāo)相比較得到,指標(biāo)可以根據(jù)經(jīng)驗(yàn)或一段時(shí)間的統(tǒng)計(jì)平均得到。②方差。計(jì)算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測量值超出了置信區(qū)間的范圍時(shí)表明可能存在異常。③多元模型。操作模型的擴(kuò)展,通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測。④馬爾可夫過程模型。將每種類型事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化。若對應(yīng)于發(fā)生事件的狀態(tài)轉(zhuǎn)移矩陣概率較小,則該事件可能是異常事件。⑤時(shí)間序列模型。將測度按時(shí)間排序,如一新事件在該時(shí)間發(fā)生的概率較低,則該事件可能是異常事件。

二、系統(tǒng)介紹分析與設(shè)計(jì)

本系統(tǒng)運(yùn)行在子網(wǎng)連接主干網(wǎng)的出口處,以旁路的方式接入邊界的交換設(shè)備中。從交換設(shè)備中流過的數(shù)據(jù)包,經(jīng)由軟件捕獲,處理,分析和判斷,可以對以異常流量方式出現(xiàn)的攻擊行為告警。本系統(tǒng)需要檢測的基本的攻擊行為如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限于SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同于以特征、規(guī)則和策略為基礎(chǔ)的入侵檢測系統(tǒng)(Intrusion Detection Systems),本研究著眼于建立正常情況下網(wǎng)絡(luò)流量的模型,通過該模型,流量異常檢測系統(tǒng)可以實(shí)時(shí)地發(fā)現(xiàn)所觀測到的流量與正常流量模型之間的偏差。當(dāng)偏差達(dá)到一定程度引發(fā)流量分配的變化時(shí),產(chǎn)生系統(tǒng)告警(ALERT),并由網(wǎng)絡(luò)中的其他設(shè)備來完成對攻擊行為的阻斷。系統(tǒng)的核心技術(shù)包括網(wǎng)絡(luò)正常流量模型的獲取、及對所觀察流量的匯聚和分析。由于當(dāng)前網(wǎng)絡(luò)以IPv4為主體,網(wǎng)絡(luò)通訊中的智能分布在主機(jī)上,而不是集中于網(wǎng)絡(luò)交換設(shè)備,而在TCP/IP協(xié)議中和主機(jī)操作系統(tǒng)中存在大量的漏洞,況且網(wǎng)絡(luò)的使用者的誤用(misuse)也時(shí)有發(fā)生,這就使得網(wǎng)絡(luò)正常流量模型的建立存在很大的難度。為達(dá)到保障子網(wǎng)的正常運(yùn)行的最終目的,在本系統(tǒng)中,采用下列方式來建立多層次的網(wǎng)絡(luò)流量模型:

(1)會話正常行為模型。根據(jù)IP報(bào)文的五元組(源地址、源端口、目的地址、目的端口和協(xié)議),TCP和UDP報(bào)文可以構(gòu)成流(flow)或偽流(pseudo-flow)。兩個(gè)五元組中源和目的相反的流可以構(gòu)成一個(gè)會話。由于ICMP的特殊性,對于ICMP的報(bào)文,分別進(jìn)行處理:ICMP(query)消息構(gòu)成獨(dú)立會話,而ICMP錯(cuò)誤(error)消息則根據(jù)報(bào)文中包含的IP報(bào)頭映射到由IP報(bào)頭所制定的會話中去。每一類協(xié)議(TCP/UDP/ICMP)的正常行為由一個(gè)有限狀態(tài)及刻畫。在這個(gè)狀態(tài)機(jī)中,如果一個(gè)事件的到來導(dǎo)致了錯(cuò)誤狀態(tài)的出現(xiàn),那么和狀態(tài)機(jī)關(guān)聯(lián)的計(jì)數(shù)器對錯(cuò)誤累加。協(xié)議狀態(tài)機(jī)是一種相對嚴(yán)格的行為模型,累加的錯(cuò)誤計(jì)數(shù)本身并不一定代表發(fā)現(xiàn)了攻擊行為。

(2)流量規(guī)則特征模型。在正常的網(wǎng)絡(luò)流量中,存在著穩(wěn)定的規(guī)則特征。比如一個(gè)IP收到和發(fā)出的含SYN標(biāo)志位和含F(xiàn)IN標(biāo)志位的報(bào)文的比值、一個(gè)IP的出度和入度的比值以及一個(gè)IP的平均會話錯(cuò)誤數(shù)等。這些網(wǎng)絡(luò)不變量是檢驗(yàn)在一定時(shí)間區(qū)間內(nèi),一個(gè)IP是否行為異常的標(biāo)準(zhǔn)之一。這個(gè)模型要求對會話表中的會話摘要(一個(gè)含有會話特征的向量)進(jìn)行匯聚,在會話正常行為模型基礎(chǔ)上增加攻擊行為判斷的準(zhǔn)確程度。

(3)網(wǎng)絡(luò)流量關(guān)聯(lián)模型。把一些流量特征(如字節(jié)數(shù)、報(bào)文數(shù)、會話錯(cuò)誤數(shù)等)在一定時(shí)間區(qū)間內(nèi)的累加值記錄下來,可以看作時(shí)間序列。通過對序列的分析,可以找到長期的均值、方差、周期、趨勢等特征。當(dāng)攻擊行為發(fā)生時(shí),觀察到的一些流量特征會偏離其長期特征。這種特征偏離的相關(guān)性就提供了判斷是否攻擊已發(fā)生的一個(gè)依據(jù)。

三、大規(guī)模流量異常檢測框架

異常檢測通常需要描述正常網(wǎng)絡(luò)行為,網(wǎng)絡(luò)行為模型越準(zhǔn)確,異常檢測算法效果越好。在大規(guī)模流量異常檢測中通常通過網(wǎng)絡(luò)探針了解單個(gè)實(shí)體或結(jié)點(diǎn)的行為來推測整個(gè)網(wǎng)絡(luò)行為,基于網(wǎng)絡(luò)斷層成像(network tomography)思想通過使用探針測量推斷網(wǎng)絡(luò)特征,這是檢測非協(xié)作(noncooperative)網(wǎng)絡(luò)異常和非直接管理控制網(wǎng)絡(luò)異常的有效手段。對于單個(gè)管理域,基于實(shí)體研究可以向網(wǎng)絡(luò)管理者提供有用信息,例如網(wǎng)絡(luò)拓?fù)?。在單個(gè)結(jié)點(diǎn)使用一些基本的網(wǎng)絡(luò)設(shè)計(jì)和流量描述的方法,可以檢測網(wǎng)絡(luò)異常和性能瓶頸。然后觸發(fā)網(wǎng)絡(luò)管理系統(tǒng)的告警和恢復(fù)機(jī)制。為了對大規(guī)模網(wǎng)絡(luò)的性能和行為有一個(gè)基本的了解,需要收集和處理大量網(wǎng)絡(luò)信息。有時(shí),全局網(wǎng)絡(luò)性能信息不能直接獲得,只有綜合所獲得的本地網(wǎng)絡(luò)信息才能對全局網(wǎng)絡(luò)行為有個(gè)大致的了解。因?yàn)椴淮嬖跍?zhǔn)確的正常網(wǎng)絡(luò)操作的統(tǒng)計(jì)模型,使得難以描述異常網(wǎng)絡(luò)模型的統(tǒng)計(jì)行為,也沒有單個(gè)變量或參數(shù)能包括正常網(wǎng)絡(luò)功能的各個(gè)方面。需要從多個(gè)統(tǒng)計(jì)特征完全不同的矩陣中合成信息的問題。為解決該問題,有人提出利用操作矩陣關(guān)聯(lián)單個(gè)參數(shù)信息。但導(dǎo)致算法的計(jì)算復(fù)雜度較高,為了滿足異常檢測的實(shí)時(shí)性要求,本文關(guān)聯(lián)本地和全局?jǐn)?shù)據(jù)檢測網(wǎng)絡(luò)異常。盡管本章利用行為模型對IP Forwarding異常進(jìn)行檢測,但該方法并不僅限于檢測本地異常。通過關(guān)聯(lián)多條網(wǎng)絡(luò)鏈路的時(shí)間序列數(shù)據(jù),也可以檢測類似于空間的網(wǎng)絡(luò)異常。因此,該方法可以擴(kuò)展到其他類型的大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)和其他大規(guī)模網(wǎng)絡(luò)異常。

參考文獻(xiàn):

篇5

中圖分類號： TN711?34； TP393 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2017）09?0093?03

Abstract： With the development of information technology， the peer?to?peer （P2P） network information traffic often deviates from the normal range. The detection technology for P2P traffic detection and abnormal traffic is studied on the basis of the decision tree algorithm. The P2P traffic detection model based on improved C4.5 decision tree is used to train the massive training datasets by means of the P2P anomaly traffic detection model to modify the error gradually. The simulation test in laboratory was performed. The P2P network traffic classifier based on improved C4.5 decision tree has perfect classification effect after selecting the characteristics of the network traffic. The classification detection rate is 94.6%～96.7%， which shows that the improved C4.5 decision tree algorithm can detect the P2P traffic effectively， and provide the reference for studying the P2P anomaly traffic detection technology in future.

Keywords： P2P； traffic information； abnormal structure； decision tree； detection technology

0 引 言

目前，S著信息技術(shù)的發(fā)展，對等網(wǎng)絡(luò)（P2P）信息流量增長越來越快[1?3]。根據(jù)國內(nèi)互聯(lián)網(wǎng)流量模式報(bào)告顯示，在整個(gè)互聯(lián)網(wǎng)流量中，P2P流量占到70%左右[4]。近年來，經(jīng)常出現(xiàn)網(wǎng)絡(luò)流量偏離正常范圍的異常情況，導(dǎo)致流量出現(xiàn)異常主要是由惡意網(wǎng)絡(luò)攻擊造成的，如DOS攻擊、蠕蟲傳播、僵尸網(wǎng)絡(luò)等攻擊，同時(shí)由于網(wǎng)絡(luò)偶發(fā)性線路中斷、配置失誤也會引起流量的異常，這就會造成網(wǎng)絡(luò)服務(wù)質(zhì)量下降，嚴(yán)重時(shí)會直接導(dǎo)致網(wǎng)絡(luò)癱瘓[5]。

P2P大量占用互聯(lián)網(wǎng)帶寬，影響用戶上網(wǎng)正常運(yùn)行，檢測管控P2P流量是網(wǎng)絡(luò)管理難題[6]。因而在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對網(wǎng)絡(luò)異常進(jìn)行檢測，同時(shí)對網(wǎng)絡(luò)異常提供預(yù)警信息，對維護(hù)網(wǎng)絡(luò)正常運(yùn)行意義十分重大[7]。本文以決策樹算法為基礎(chǔ)，對P2P流量檢測和流量異常時(shí)的檢測技術(shù)進(jìn)行研究。

1 對等網(wǎng)絡(luò)P2P概況

對等網(wǎng)絡(luò)P2P實(shí)質(zhì)上屬于分布式網(wǎng)絡(luò)，參與者均可共享使用公共部分的一些硬件資源，如硬件處理和存儲能力，共享資源的服務(wù)、內(nèi)容由網(wǎng)絡(luò)提供，節(jié)點(diǎn)可對這些資源進(jìn)行直接訪問，不需要經(jīng)過任何中間實(shí)體。P2P最具有代表性的應(yīng)用是進(jìn)行文件共享，同時(shí)P2P的共享還有P2P計(jì)算、P2P形式的通信網(wǎng)絡(luò)等。P2P與客戶/服務(wù)器模型的區(qū)別是網(wǎng)絡(luò)中節(jié)點(diǎn)可對其他節(jié)點(diǎn)資源或服務(wù)進(jìn)行獲取，還可提供資源或服務(wù)，這是P2P的基本思想。在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)具有對等的權(quán)利、義務(wù)、服務(wù)、通信、資源消費(fèi)。

2 P2P流量監(jiān)控系統(tǒng)結(jié)構(gòu)

P2P流量監(jiān)控系統(tǒng)功能包括檢測網(wǎng)絡(luò)流量、控制網(wǎng)絡(luò)流量兩部分。對網(wǎng)絡(luò)流量進(jìn)行控制的前提是準(zhǔn)確檢測網(wǎng)絡(luò)流量。在進(jìn)行流量檢測時(shí)，流量特征和協(xié)議特征要進(jìn)行相互匹配，在未知流量匹配上以后，對其分類才能進(jìn)行識別，P2P流量檢測中必須具有協(xié)議特征庫的建立。同時(shí)，進(jìn)行流量控制操作必須具備前臺管理界面，以便進(jìn)行人機(jī)交互、流量控制策略的下發(fā)、流量識別結(jié)果的觀察等，并在數(shù)據(jù)庫中存儲檢測結(jié)果、控制策略信息、協(xié)議特征等，P2P流量監(jiān)控系統(tǒng)整體結(jié)構(gòu)如圖1所示。

P2P流量監(jiān)控系統(tǒng)工作流程：首先對網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)進(jìn)行全面采集，其次是建立協(xié)議特征庫，對數(shù)據(jù)報(bào)文進(jìn)行離線分析，同時(shí)提取其特征碼，并建立協(xié)議特征庫。然后檢測網(wǎng)絡(luò)流量，對經(jīng)過流量監(jiān)控系統(tǒng)的未知流量，通過匹配算法將未知流量特征與協(xié)議規(guī)則相匹配，如匹配成功，則作為該協(xié)議識別給流量。最后對已識別流量進(jìn)行控制操作，完成阻斷訪問、限制流量速率。

3 基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識別算法

基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識別算法需要訓(xùn)練數(shù)據(jù)，訓(xùn)練主要有兩步：訓(xùn)練進(jìn)行集中學(xué)習(xí)，然后進(jìn)行構(gòu)造分類模型的測試；采用訓(xùn)練階段模型進(jìn)行未知數(shù)據(jù)的分類，計(jì)算識別準(zhǔn)確率，令訓(xùn)練集為：

式中：表示輸出類值。

在訓(xùn)練集中，找出輸入和輸出間的關(guān)系函數(shù)，這就是分類的目的，通過函數(shù)，輸入可輸出得到基于監(jiān)督的機(jī)器學(xué)習(xí)P2P流量識別分類器如圖2所示。

監(jiān)督學(xué)習(xí)是訓(xùn)練決策樹最常見的技術(shù)之一。這種決策樹技術(shù)對事先確定分類系統(tǒng)給出的信息高度依賴。對于決策樹來說，可通過分類系統(tǒng)辨別哪類屬性提供的信息最多，可用決策樹解決分類系統(tǒng)問題。

4 算法設(shè)計(jì)

4.1 C4.5多決策樹分類算法

經(jīng)過數(shù)據(jù)預(yù)處理模塊，訓(xùn)練數(shù)據(jù)集生成決策樹可處理屬性的二維表形式。設(shè)訓(xùn)練數(shù)據(jù)集全部屬性集合為。整個(gè)屬性集PE，分成個(gè)小屬性集，每個(gè)小屬性集各自獨(dú)立。屬性所有不同取值集合為。生成的棵決策樹為，數(shù)據(jù)分類為。表示數(shù)據(jù)集合，集合中第條記錄用表示。表示訓(xùn)練數(shù)據(jù)及測試數(shù)據(jù)，第條記錄用表示。系統(tǒng)分辨矩陣用對角矩陣表示，每項(xiàng)定義如下：

4.2 P2P流量異常檢測

P2P流量異常檢測的實(shí)質(zhì)是通過訓(xùn)練大量數(shù)據(jù)，逐步對錯(cuò)誤進(jìn)行修正，形成精確預(yù)測模型。決策樹建立完后進(jìn)行數(shù)據(jù)集訓(xùn)練。訓(xùn)練數(shù)據(jù)集為TA，保存經(jīng)過某節(jié)點(diǎn)P2P類訓(xùn)練數(shù)據(jù)的數(shù)量為；保存經(jīng)過該節(jié)點(diǎn)類訓(xùn)練數(shù)據(jù)的數(shù)量為。

4.3 P2P屬性關(guān)鍵度決策樹分類算法

決策樹生成后，經(jīng)訓(xùn)練后，形成檢測模型，原始TCP/IP數(shù)據(jù)包被從網(wǎng)絡(luò)上截獲，經(jīng)過數(shù)據(jù)預(yù)處理后，TCP/IP數(shù)據(jù)由每棵子決策樹對其進(jìn)行判斷，對判斷結(jié)果進(jìn)行加權(quán)處理，得到最優(yōu)結(jié)果。第棵子決策樹用表示，存儲內(nèi)部節(jié)點(diǎn)數(shù)據(jù)訓(xùn)練的P2P類統(tǒng)計(jì)數(shù)，存儲內(nèi)部節(jié)點(diǎn)數(shù)據(jù)訓(xùn)練的類統(tǒng)計(jì)數(shù)，第棵子決策樹比率用表示，數(shù)據(jù)包在整個(gè)屬性集的比率用表示，關(guān)鍵度多決策樹分類算法流程圖如圖3所示。

根據(jù)屬性差異，可建立棵子決策樹，綜合考慮全部子決策樹屬性對分類的影響，能對整個(gè)問題進(jìn)行較好地反映，可使誤報(bào)率降低，檢測率提高。

5 仿真實(shí)驗(yàn)

本文的實(shí)驗(yàn)數(shù)據(jù)通過試驗(yàn)室仿真試驗(yàn)得到，仿真試驗(yàn)采用的軟件為Sniffer，在實(shí)驗(yàn)室PC（CPU為Athlon64 X2；雙核處理器4000+2.11 GHz；內(nèi)存2 GB）對網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行實(shí)時(shí)采集。在訓(xùn)練分類器實(shí)驗(yàn)中，采用定時(shí)定量的P2P流量Data1，Data1數(shù)據(jù)量較小，實(shí)驗(yàn)數(shù)據(jù)集見表1。

在測試分類器實(shí)驗(yàn)中，采用Data2～Data5對虛警率、漏警率進(jìn)行嚴(yán)格測試，實(shí)驗(yàn)數(shù)據(jù)集見表2。

由表2可以看出，選擇網(wǎng)絡(luò)流量特征后，基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實(shí)現(xiàn)較好的分類效果，分類檢測率在94.6%～96.7%。

6 結(jié) 語

本文以決策樹算法為基礎(chǔ)，對P2P流量檢測和流量異常時(shí)的檢測技術(shù)進(jìn)行研究。通過試驗(yàn)室仿真試驗(yàn)，選擇網(wǎng)絡(luò)流量特征后，基于改進(jìn)的C4.5決策樹的P2P網(wǎng)絡(luò)流量分類器能實(shí)現(xiàn)較好的分類效果，分類檢測率在94.6%～96.7%，較高的檢測率說明采用改進(jìn)的C4.5決策樹算法能有效地對P2P流量進(jìn)行檢測，為今后研究P2P流量異常檢測技術(shù)提供了參考。

參考文獻(xiàn)

[1] 柴琦，曹旭東，王洪蕾，等.P2P流量監(jiān)測系統(tǒng)的設(shè)計(jì)[J].電子設(shè)計(jì)工程，2016，24（11）：64?67.

[2] 謝生鋒.基于數(shù)據(jù)挖掘的P2P流量檢測技術(shù)研究[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2015（13）：71?73.

[3] 閆佳，應(yīng)凌云，劉海峰，等.結(jié)構(gòu)化對等網(wǎng)測量方法研究[J].軟件學(xué)報(bào)，2014，25（6）：1301?1315.

[4] 王菁菁，林琛，陳珂，等.基于MapReduce的Flash P2P VoD系統(tǒng)異常監(jiān)測[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，52（4）：459?465.

篇6

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于生活中，許多公共場所布設(shè)移動(dòng)WiFi接入點(diǎn)，為人們獲取信息提供便捷條件。人們應(yīng)用網(wǎng)絡(luò)服務(wù)時(shí)將個(gè)人信息、銀行賬戶等敏感數(shù)據(jù)存儲到網(wǎng)絡(luò)中，重要數(shù)據(jù)傳遞帶來安全隱患造成網(wǎng)絡(luò)安全問題突出。本文利用云計(jì)算技術(shù)對大數(shù)據(jù)下網(wǎng)絡(luò)異常流量進(jìn)行檢測，并測試檢測效果。

1大數(shù)據(jù)下網(wǎng)絡(luò)異常流量檢測方法研究

光纖網(wǎng)絡(luò)利用光在玻璃纖維實(shí)現(xiàn)光波通信，大數(shù)據(jù)集成調(diào)度，然后通過交換機(jī)分配IP。光纖通信傳輸距離遠(yuǎn)，云計(jì)算環(huán)境通過波分復(fù)用技術(shù)使光強(qiáng)度變化，通信中受到干擾導(dǎo)致通信信道配置失衡，需要對云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載優(yōu)化檢測，提高網(wǎng)絡(luò)通信的輸出保真性[1]。云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測模型研究需要提取大數(shù)據(jù)負(fù)載異常特征，實(shí)現(xiàn)異常負(fù)載檢測。

2網(wǎng)絡(luò)異常數(shù)據(jù)檢測大數(shù)據(jù)分析平臺

網(wǎng)絡(luò)異常流量分為DDoS、NetworkScan等類型，異常流量類型可從目的IP地址、源IP地址、字節(jié)數(shù)等特征區(qū)分[2]。DDos異常流量可通過特征二四五七檢測；NetworkScan異常流量可采用多個(gè)網(wǎng)絡(luò)地址對主機(jī)端口掃描動(dòng)作；FlashCrowd異常流量由異常用戶對訪問資源申請動(dòng)作。本文以影響網(wǎng)絡(luò)安全異常流量檢測為研究內(nèi)容，運(yùn)用現(xiàn)有數(shù)據(jù)樣本對建立檢測模型訓(xùn)練，對訓(xùn)練后識別分析模型檢驗(yàn)[3]。研究異常流量類型包括U2R攻擊類型、Probing攻擊類型等，需要對數(shù)據(jù)特征提取分析，對入侵事件進(jìn)行分類[4]。應(yīng)用多種入侵事件特征數(shù)據(jù)，包括離散不間斷協(xié)議、離散常規(guī)行為、離散接點(diǎn)狀態(tài)、不間斷數(shù)據(jù)源到目標(biāo)數(shù)據(jù)比特?cái)?shù)、持續(xù)創(chuàng)建新文件個(gè)數(shù)等。為避免兩種衡量標(biāo)準(zhǔn)相互干擾，需對離散數(shù)據(jù)采用連續(xù)化操作。云計(jì)算平臺迅速占領(lǐng)市場，目前應(yīng)用廣泛的是Apache開源分布式平臺Hadoop，Hadoop云計(jì)算平臺由文件系統(tǒng)、分布式并行計(jì)算等部分組成[5]。MapReduce將傳統(tǒng)數(shù)據(jù)處理任務(wù)分為多個(gè)任務(wù)，提高計(jì)算效率（見圖1）。MapReduce編程核心內(nèi)容是對Map函數(shù)進(jìn)行特定動(dòng)作定義，Map核心任務(wù)是對數(shù)據(jù)值讀取，InputFormat類將輸入樣本轉(zhuǎn)換為key/value對。發(fā)現(xiàn)tasktracker模塊處于空閑狀態(tài)，平臺把相應(yīng)數(shù)據(jù)Split分配到Map動(dòng)作中，采用createRecordReader法讀取數(shù)據(jù)信息，tasktracker處于工作狀態(tài)程序進(jìn)入等待。

3大數(shù)據(jù)分析模型

隨著待處理數(shù)據(jù)規(guī)模劇增，單臺計(jì)算機(jī)處理數(shù)據(jù)速度過于緩慢，云計(jì)算系統(tǒng)以Hadoop為平臺基礎(chǔ)，提高計(jì)算效率?；贖adoop平臺對網(wǎng)絡(luò)異常流量操作，向平臺提交網(wǎng)絡(luò)流量檢測請求，工程JAR包運(yùn)行，通過JobClient指令把作業(yè)發(fā)送到JobTracker中，從HDFS中獲取作業(yè)分類情況。JobTracker模塊執(zhí)行任務(wù)初始化操作，運(yùn)用作業(yè)調(diào)度器可實(shí)現(xiàn)對任務(wù)調(diào)度動(dòng)作。任務(wù)分配后進(jìn)入Map階段，所需數(shù)據(jù)在本地磁盤中進(jìn)行存儲，依靠計(jì)算機(jī)Java虛擬機(jī)執(zhí)行實(shí)現(xiàn)JAR文件加載，TaskTracker對作業(yè)任務(wù)處理，需要對文件庫網(wǎng)絡(luò)流量特征測試，Map動(dòng)作結(jié)果在本地計(jì)算機(jī)磁盤中存儲。系統(tǒng)獲得Map動(dòng)作階段計(jì)算結(jié)果后對網(wǎng)絡(luò)流量分類，中間結(jié)果鍵值相同會與對應(yīng)網(wǎng)絡(luò)流量特征向量整合，ReduceTask模塊對MapTask輸出結(jié)果排序。Reduce動(dòng)作完成后，操作者通過JobTracker模塊獲取任務(wù)運(yùn)行結(jié)果參數(shù)，刪除Map動(dòng)作產(chǎn)生相應(yīng)中間數(shù)據(jù)。BP神經(jīng)網(wǎng)絡(luò)用于建立網(wǎng)絡(luò)流量檢測模型，MapReduce平臺具有高效計(jì)算優(yōu)勢，最優(yōu)參數(shù)結(jié)果獲得需多次反復(fù)計(jì)算優(yōu)化，MapReduce平臺單詞不能實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)計(jì)算任務(wù)，采用BP神經(jīng)網(wǎng)絡(luò)算法建立網(wǎng)絡(luò)流量檢測模型會加長計(jì)算時(shí)間。本文采用支持向量機(jī)算法建立網(wǎng)絡(luò)流量檢測模型。支持向量機(jī)以統(tǒng)計(jì)學(xué)理論為基礎(chǔ)，達(dá)到經(jīng)驗(yàn)風(fēng)險(xiǎn)最小目的，算法可實(shí)現(xiàn)從少數(shù)樣本中獲得最優(yōu)統(tǒng)計(jì)規(guī)律。設(shè)定使用向量機(jī)泛化能力訓(xùn)練樣本為（xi,yi），i=1，2，…，I，最優(yōu)分類平面為wx+b=0，簡化為s.t.yi（w?xi+b）-1≥0，求解問題最優(yōu)決策函數(shù)f(x)=sgn[∑i=1lyiai(x?xi)+b]，支持向量SVM把樣本x轉(zhuǎn)化到特定高維空間H，對應(yīng)最優(yōu)決策函數(shù)處理為f(x)=sgn[∑i=1lyiaiK(x?xi)+b]。云計(jì)算Hadoop平臺為建立網(wǎng)絡(luò)異常流量檢測模型提供便捷。MapReduce模型通過Reduce獲得整體支持向量AIISVs，通過Reduce操作對SVs收集，測試操作流量先運(yùn)用Map操作對測試數(shù)據(jù)子集計(jì)算，運(yùn)用Reduce操作對分量結(jié)果Rs統(tǒng)計(jì)。

4仿真實(shí)驗(yàn)分析

為測試實(shí)現(xiàn)云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載檢測應(yīng)用性能，采用MATLAB7進(jìn)行負(fù)載檢測算法設(shè)計(jì)進(jìn)行云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測，數(shù)據(jù)樣本長度為1024，網(wǎng)絡(luò)傳輸信道均衡器階數(shù)為24，迭代步長為0.01。采用時(shí)頻分析法提取異常負(fù)載統(tǒng)計(jì)特征量進(jìn)行大數(shù)據(jù)異常負(fù)載檢測，重疊干擾得到有效抑制。采用不同方法進(jìn)行負(fù)載異常檢測，隨著干擾信噪比增大，檢測的準(zhǔn)確性提高。所以設(shè)計(jì)的方法可以有效檢測大數(shù)據(jù)中異常負(fù)載，并且輸出誤碼率比傳統(tǒng)方法降低。單機(jī)網(wǎng)絡(luò)異常流量檢測平臺使用相同配置計(jì)算機(jī)，調(diào)取實(shí)測數(shù)據(jù)為檢驗(yàn)訓(xùn)練源數(shù)據(jù)，選取典型異常流量200條數(shù)據(jù)樣本用于測試訓(xùn)練。采用反饋率參量衡量方法好壞，表達(dá)式為precision=TP/FP+FN×100%，其中，F(xiàn)N為未識別動(dòng)作A特征樣本數(shù)量；TP為準(zhǔn)確識別動(dòng)作A特征樣本數(shù)量；FP為錯(cuò)誤識別動(dòng)作A特征樣本數(shù)量。提出檢測方法平均準(zhǔn)確率提高17.08%，具有較好檢測性能。對提出網(wǎng)絡(luò)異常流量檢測方法進(jìn)行檢測耗時(shí)對比，使用提出網(wǎng)絡(luò)異常流量檢測方法耗時(shí)為常規(guī)方法的8.81%，由于使用檢測方法建立在大數(shù)據(jù)云計(jì)算平臺，將檢測任務(wù)分配給多個(gè)子任務(wù)計(jì)算平臺。使用KDDCUP99集中的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)異常流量檢測分析，選取R2L攻擊，Probing攻擊異常流量數(shù)據(jù)用于檢測分析，采用準(zhǔn)確率參數(shù)衡量檢測方法宏觀評價(jià)網(wǎng)絡(luò)流量檢測識別方法：r=TP/FP+FN×100%。使用單機(jī)平臺下SVM算法建立網(wǎng)絡(luò)異常檢測模型對比分析，本文研究檢測模型平均識別率為68.5%，研究網(wǎng)絡(luò)異常流量檢測模型檢測準(zhǔn)確率提高28.3%。多次試驗(yàn)對比檢測耗時(shí)，使用本文提出網(wǎng)絡(luò)異常流量檢測耗時(shí)較短。

【參考文獻(xiàn)】

[1]林昕，呂峰，姜亞光，等.網(wǎng)絡(luò)異常流量智能感知模型構(gòu)建[J].工業(yè)技術(shù)創(chuàng)新，2021（3）：7-14.

[2]武海龍，武海艷.云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測模型[J].激光雜志，2019（6）：207-211.

[3]農(nóng)婷.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)流量異常檢測研究[J].科技風(fēng)，2019（17）：84.

篇7

中圖分類號：TP368 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416(2012)07-0028-02

智能交通系統(tǒng)通過實(shí)時(shí)、準(zhǔn)確、高效和多方位的檢測監(jiān)控設(shè)備，檢測有關(guān)車道占有率、車流量、行車速度等交通流量信息，利用有線以及無線通信網(wǎng)絡(luò)傳輸檢測數(shù)據(jù)信息，使得交通主管部門能夠詳實(shí)的數(shù)據(jù)，處理交通流量數(shù)據(jù)，充分發(fā)揮現(xiàn)有交通基礎(chǔ)設(shè)施潛力，改善交通安全以及緩解交通擁擠，提高整個(gè)路網(wǎng)的運(yùn)輸效率和通行能力；既能夠降低油耗，減少廢氣排放，降低、對環(huán)境的污染[2]，又能夠提高交通出行的方便性、安全性，節(jié)約運(yùn)輸成本，提高社會效益和經(jīng)濟(jì)效益。

1、交通流量檢測技術(shù)

交通流量檢測是智能交通系統(tǒng)的基礎(chǔ)部分，其在交通監(jiān)控、交通誘導(dǎo)、交通應(yīng)急指揮等研究應(yīng)用中占有很重要的地位。主要是通過各種檢測設(shè)備對路面行駛車輛進(jìn)行探測，獲取相關(guān)交通參數(shù)，包括各車道的車流量、車道占有率，車速、車型、車頭時(shí)距等，以達(dá)到對公路各路段交通狀況及異常事件的自動(dòng)檢測、監(jiān)控、報(bào)警等目的。交通流量檢測方式一種是接觸式[3][4]，其主要分為壓電、壓力管探測、環(huán)行線圈探測和磁力式探測，其特點(diǎn)是埋藏在路面之下，當(dāng)汽車經(jīng)過采集裝置上方時(shí)會引起相應(yīng)的壓力、電場或磁場的變化，最后采集裝置將這些力和場的變化轉(zhuǎn)換為所需要的交通信息；另一種是非接觸式[5]，主要分為微波、超聲波和紅外、和視頻探測等，除了超聲波探測只能進(jìn)行單車道交通信息采集外，其余都可同時(shí)進(jìn)行多車道交通信息采集，其安裝維護(hù)簡單，發(fā)展非常迅速。

2、交通流量檢測需求分析

智能交通系統(tǒng)應(yīng)用了計(jì)算機(jī)技術(shù)、信息技術(shù)、通信技術(shù)和控制技術(shù)等新技術(shù)，把人、車、路緊密聯(lián)系起來，通過對交通流信息進(jìn)行實(shí)時(shí)檢測，掌握道路交通的運(yùn)行情況，根據(jù)交通流的動(dòng)態(tài)變化，迅速做出交通誘導(dǎo)控制，不僅有效的解決了交通阻塞問題，而且對交通事故的應(yīng)急處理、環(huán)境的保護(hù)、能源的節(jié)約都有顯著的效果。它是以交通指揮中心為主體，并隨著科技發(fā)展和管理方法的改進(jìn)在不斷完善中。交通流量檢測系統(tǒng)和通信系統(tǒng)是智能交通系統(tǒng)的關(guān)鍵。交通流量檢測系統(tǒng)主要完成提取流量數(shù)據(jù)所需的原始信息的采集工作，可通過地感線圈、激光、紅外或視頻方法，檢測與識別交通流、路況等實(shí)時(shí)監(jiān)視，提取交通流信息(車流量、車道占有率、車速等)；通信系統(tǒng)是數(shù)據(jù)采集和數(shù)據(jù)處理的橋梁，它是將原始數(shù)據(jù)信息通過有線網(wǎng)絡(luò)或是無線網(wǎng)絡(luò)傳輸?shù)浇煌ūO(jiān)控中心，監(jiān)控中心處理原始數(shù)據(jù)，進(jìn)而對得到的信息進(jìn)行進(jìn)一步地分析，判斷該路段的交通擁塞狀況，監(jiān)督異常事故的發(fā)生，在交通擁擠未發(fā)生時(shí)交通信息，及時(shí)采取分流措施，疏導(dǎo)交通，防止交通擁擠發(fā)生。智能交通系統(tǒng)的結(jié)構(gòu)圖如圖1所示。

目前智能交通系統(tǒng)中使用的有線傳輸主要采用標(biāo)準(zhǔn)RS-232或是光纖通信等，在距離監(jiān)控中心較遠(yuǎn)且供電不便利的重點(diǎn)路段、橋隧等地區(qū)，或者一些臨時(shí)性的設(shè)備通信，傳統(tǒng)的有線連接便顯得十分不方便，因此希望以一種低成本、高可靠性的無線傳輸方案來代替?zhèn)鹘y(tǒng)的有線方式。3G網(wǎng)絡(luò)技術(shù)可以方便實(shí)現(xiàn)設(shè)備之間的無線連接，具有低成本、低功耗、高速率、組網(wǎng)靈活等特點(diǎn)，其通信架設(shè)方便，供電可以采用蓄電池或太陽能電池板等，是實(shí)現(xiàn)無線數(shù)據(jù)采集系統(tǒng)的理想選擇。

3、3G網(wǎng)絡(luò)技術(shù)傳輸架構(gòu)

第三代移動(dòng)通信技術(shù)（3rd-generation，3G）[6]，主要是支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通訊技術(shù)。目前3G標(biāo)準(zhǔn)分別是WCDMA、CDMA2000和TD-SCDMA。3G網(wǎng)絡(luò)架構(gòu)由無線接入網(wǎng)絡(luò)（RAN）和核心網(wǎng)絡(luò)（CN）組成。其中，RAN用于處理所有與無線有關(guān)的功能，而CN則處理3G系統(tǒng)內(nèi)所有的話音呼叫和數(shù)據(jù)連接，并實(shí)現(xiàn)與外部網(wǎng)絡(luò)的交換和路由功能，CN從邏輯上可分為電路交換域（CS）和分組交換域（PS）。3G網(wǎng)絡(luò)分為核心網(wǎng)和接入網(wǎng)，UMTS 陸地?zé)o線接入網(wǎng)（UTRAN）、CN與用戶設(shè)備（UE）一起構(gòu)成了整個(gè)無線系統(tǒng)[7]，如圖2所示，體現(xiàn)出分層建設(shè)的特點(diǎn)：骨干層傳輸設(shè)備位于網(wǎng)絡(luò)的骨干或核心節(jié)點(diǎn)，具有大容量的業(yè)務(wù)調(diào)度功能，強(qiáng)調(diào)業(yè)務(wù)的中繼和傳送能力；接入層傳輸設(shè)備覆蓋在城域的各熱點(diǎn)地區(qū)，完成業(yè)務(wù)的接入，體現(xiàn)出低成本、業(yè)務(wù)處理能力弱的特點(diǎn)；匯聚層設(shè)備連接骨干層和接入層，完成MADM之間的業(yè)務(wù)整合和匯聚功能。

4、智能交通檢測系統(tǒng)架構(gòu)及連接拓?fù)鋱D

智能交通檢測系統(tǒng)的結(jié)構(gòu)分為交通信息采集系統(tǒng)、交通信息數(shù)據(jù)傳輸和交通信息處理整合審核管理三大子系統(tǒng)，分為二層結(jié)構(gòu)，信息數(shù)據(jù)層和信息應(yīng)用基礎(chǔ)層。具體結(jié)構(gòu)如圖3所示。

交通信息采集是整個(gè)系統(tǒng)的基石，其采集主要是通過設(shè)置在公路上交通流量檢測器、視頻監(jiān)控的信息采集設(shè)備以及其他方式，獲得真實(shí)的、可靠及時(shí)的交通流量狀況、突發(fā)事件等有關(guān)交通的信息，同時(shí)與其他相關(guān)部門的數(shù)據(jù)共享，及時(shí)動(dòng)態(tài)獲得各種信息。

交通通信系統(tǒng)是將現(xiàn)場的交通流量的檢測設(shè)備檢測到的信息，通過有線或者無線傳輸系統(tǒng)，傳輸?shù)奖O(jiān)控中心，在那里進(jìn)行集合與整理。如距離比較近，可以采用光纖與標(biāo)準(zhǔn)RS-232等進(jìn)行傳輸；當(dāng)檢測設(shè)備距離監(jiān)控中心較遠(yuǎn)，布設(shè)數(shù)據(jù)線與供電不方便處，就可以采用3G網(wǎng)絡(luò)進(jìn)行無線數(shù)據(jù)傳輸，同時(shí)采用蓄電池或是太陽能電池板進(jìn)行供電。

交通信息處理整合是集合與整理，去偽存真，而這些是需要大量人力、物力以及先進(jìn)的網(wǎng)絡(luò)設(shè)備和技術(shù)。將與交通流量有關(guān)的信息自動(dòng)統(tǒng)計(jì)匯總，通過人工智能決策系統(tǒng)，或是人工分析處理的方法，確定暢通路線、擁擠路段、交通的氣象信息等，并且存儲到數(shù)據(jù)庫中。

根據(jù)交通部門的對交通流量需求，對交通數(shù)據(jù)進(jìn)行采集，同時(shí)集成其他有關(guān)交通的部門有關(guān)交通流量的信息，通過無線或是3G網(wǎng)絡(luò)進(jìn)行傳輸，傳輸?shù)浇煌ūO(jiān)控指揮中心，進(jìn)而進(jìn)行數(shù)據(jù)集合和整理，其連接拓?fù)鋱D如圖4。

5、結(jié)語

目前，智能交通系統(tǒng)發(fā)展應(yīng)用的時(shí)期，建立和完善交通流量數(shù)據(jù)采集與傳輸系統(tǒng)來滿通出、交通管理以及應(yīng)急指揮的需要是當(dāng)務(wù)之急。隨著智能交通系統(tǒng)的實(shí)施及應(yīng)用的逐步發(fā)展，充分利用新技術(shù)先進(jìn)設(shè)備建設(shè)的高標(biāo)準(zhǔn)高質(zhì)量的3G網(wǎng)絡(luò)傳輸技術(shù)，其多樣化的數(shù)據(jù)傳輸設(shè)置，有利于智能交通系統(tǒng)更大的應(yīng)用，它的建成以及所采用的各類設(shè)施設(shè)備各種技術(shù)為交通運(yùn)輸和交通管理的安全暢通發(fā)揮了十分重要的作用，將會在實(shí)際使用中取得了很好的效果，達(dá)到了預(yù)期的建設(shè)目標(biāo)。

參考文獻(xiàn)

[1]夏勁,郭紅衛(wèi).國內(nèi)外城市智能交通系統(tǒng)的發(fā)展概況與趨勢及其啟示[J].科技進(jìn)步與對策.2003年01期.P176-179.

[2]葉文進(jìn).高速公路出行綜合信息服務(wù)系統(tǒng)分析[J].中國交通信息化，2010(6):125-128.

[3]MARGRIT BETKE,ESIN HARITAOGLU, LARRY S DAVIS. Multiple Vehicle Detection and Tracking in Hard Real-Time[J].IEEE,1996,(9):351～356.

[4]JUNG SOH, BYUNG TAE CHUN, MIN WANG. Analysis of Road Image Sequences for Vehicle Counting,[J].IEEE International Conferenceon,1995,(1):679～683.

篇8

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測的意義

近年來，隨著各單位計(jì)算機(jī)應(yīng)用水平的整體提高、內(nèi)部園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)的日漸完善，以及實(shí)驗(yàn)儀器設(shè)備的網(wǎng)絡(luò)自動(dòng)化程度提高和發(fā)展，越來越多的日常學(xué)習(xí)、工作和科研、實(shí)驗(yàn)活動(dòng)依賴計(jì)算機(jī)和網(wǎng)絡(luò)來開展運(yùn)行，這就要求各單位內(nèi)部的園區(qū)網(wǎng)網(wǎng)絡(luò)環(huán)境有很高的穩(wěn)定性和運(yùn)行效率，并能針對不同網(wǎng)絡(luò)內(nèi)部科研應(yīng)用需求提供相應(yīng)的網(wǎng)絡(luò)質(zhì)量保障。園區(qū)網(wǎng)連接著各個(gè)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備及系統(tǒng)設(shè)備、試驗(yàn)裝置、儀器儀表，通過交換信息使之成為一個(gè)高效運(yùn)行的有機(jī)整體，為確保各項(xiàng)依賴園區(qū)網(wǎng)的科研活動(dòng)順利進(jìn)行，必須保障園區(qū)網(wǎng)的正常運(yùn)行和性能穩(wěn)定。

同時(shí)，不斷進(jìn)行的信息化建設(shè)使得各項(xiàng)商業(yè)、科研活動(dòng)對園區(qū)網(wǎng)絡(luò)日漸依賴，這也帶來了新的信息安全隱患，如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為需要被高度重視的問題。隨著園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，越來越多的攻擊和安全隱患來自于園區(qū)網(wǎng)內(nèi)部，使得傳統(tǒng)的基于網(wǎng)關(guān)的安全架構(gòu)在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統(tǒng)的安全防護(hù)手段多屬于被動(dòng)形式,只能簡單過濾或丟棄攻擊數(shù)據(jù),而無法在攻擊源發(fā)起攻擊時(shí)或之后的較短時(shí)間內(nèi)即時(shí)響應(yīng)，將內(nèi)部網(wǎng)絡(luò)中可疑的攻擊源主機(jī)斷開，使其無法通過內(nèi)網(wǎng)連接進(jìn)行攻擊。在這種情況下，主動(dòng)對園區(qū)網(wǎng)內(nèi)部的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并根據(jù)網(wǎng)絡(luò)流量異常信息采取相應(yīng)的質(zhì)量控制和防范乃至隔離控制，將可以成為傳統(tǒng)計(jì)算機(jī)安全技術(shù)(如網(wǎng)關(guān)防火墻)的有益補(bǔ)充。

2 園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)監(jiān)測技術(shù)

2.1 網(wǎng)絡(luò)監(jiān)測技術(shù)概述

網(wǎng)絡(luò)狀態(tài)監(jiān)測是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個(gè)重要組成部分，網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)為園區(qū)網(wǎng)的運(yùn)行和維護(hù)提供了重要信息，這些數(shù)據(jù)對調(diào)控網(wǎng)絡(luò)資源分布、規(guī)劃網(wǎng)絡(luò)容量、網(wǎng)絡(luò)服務(wù)質(zhì)量分析、網(wǎng)絡(luò)故障檢測與隔離、網(wǎng)絡(luò)安全管理都非常重要。目前，根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)監(jiān)測技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于NetFlow的監(jiān)測技術(shù)三種常用技術(shù)。

2.2 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)。

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。 但采用端口流量鏡像方式將增加網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)，對網(wǎng)絡(luò)設(shè)備性能的影響較大。而若使用探針等附加設(shè)備實(shí)現(xiàn)流量鏡像，安裝時(shí)對網(wǎng)絡(luò)影響較大，安裝完成后雖對網(wǎng)絡(luò)設(shè)備的影響較小，但為網(wǎng)絡(luò)結(jié)構(gòu)增加了新的單點(diǎn)失效點(diǎn)，在大型網(wǎng)絡(luò)環(huán)境下，可能會影響網(wǎng)絡(luò)的穩(wěn)定性。故基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)較少用于園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中。

2.3 基于SNMP的流量監(jiān)測技術(shù)

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，得到很大范圍的應(yīng)用。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，它簡單明了，占用系統(tǒng)資源少，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SNMP提供了從網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)管理信息的方法，并為設(shè)備提供了向網(wǎng)絡(luò)管理端報(bào)告故障和錯(cuò)誤的途徑。SNMP是協(xié)議和規(guī)范族，包括MIB（管理對象信息庫）、SMI（管理信息結(jié)構(gòu)）和SNM協(xié)議。同時(shí)，SNMP被設(shè)計(jì)成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他傳輸協(xié)議上被使用。

基于SNMP的流量信息采集，實(shí)質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對象信息庫）中收集一些與具體設(shè)備及流量信息有關(guān)的變量。基于SNMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長等。 基于SNMP的網(wǎng)絡(luò)流量信息采集可以以極小的代價(jià)實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)流量相關(guān)信息的收集，但其收集的信息多是出于網(wǎng)絡(luò)管理的需要，無法提供足夠豐富的網(wǎng)絡(luò)流量信息。利用其實(shí)現(xiàn)網(wǎng)絡(luò)總流量的定期監(jiān)控、觀察網(wǎng)絡(luò)設(shè)備端口的流量和使用狀況可以滿足網(wǎng)絡(luò)管理的基本需求。

SNMP采用‘管理者―’模型來監(jiān)測各種可管理的網(wǎng)絡(luò)設(shè)備，利用無連接的UDP協(xié)議在管理者和之間進(jìn)行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關(guān)系。一個(gè)SNMP管理者可以向SNMP發(fā)送請求，讀?。℅et）或設(shè)置（Set）一個(gè)或多個(gè)MIB變量數(shù)值。SNMP可以應(yīng)答這些請求。除了這種交互式通信方式，SNMP還可以主動(dòng)向SNMP管理者發(fā)送通知（Trap或Inform Request）以提示管理者一個(gè)設(shè)備或網(wǎng)絡(luò)的狀態(tài)。

■

圖1 SNMP管理者與SNMP間的通信示意圖

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用SNMP機(jī)制有以下優(yōu)勢：1）可以隨時(shí)隨地收集網(wǎng)絡(luò)流量信息，及時(shí)獲取當(dāng)前園區(qū)網(wǎng)絡(luò)的運(yùn)行情況；2）能夠即時(shí)收集到網(wǎng)絡(luò)中大量設(shè)備的同步流量信息；3）采用方法基于IP層，不受底層網(wǎng)絡(luò)物理類型的限制；4）能夠收集到網(wǎng)絡(luò)設(shè)備自身的工作信息、端口狀態(tài)。并可根據(jù)需要遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備的相關(guān)參數(shù)；5）基于SNMP的流量監(jiān)測所需費(fèi)用較少，對現(xiàn)有的網(wǎng)絡(luò)性能影響較小，且易于集成到各種網(wǎng)管系統(tǒng)中去。

在此基礎(chǔ)上，如果配合后臺數(shù)據(jù)庫記錄收集到的網(wǎng)絡(luò)流量、性能數(shù)據(jù)，就可以實(shí)現(xiàn)對整個(gè)園區(qū)網(wǎng)絡(luò)進(jìn)行有效的監(jiān)視，并能在網(wǎng)絡(luò)發(fā)生故障時(shí)及時(shí)發(fā)現(xiàn)并通知相關(guān)人員處理，從而提高網(wǎng)絡(luò)可靠運(yùn)轉(zhuǎn)的時(shí)間，減少因網(wǎng)絡(luò)故障造成的中斷時(shí)間。

2.1.基于NetFlow的流量監(jiān)測技術(shù)

NetFlow是Cisco公司提出的一項(xiàng)網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)標(biāo)準(zhǔn)，利用NetFlow技術(shù)，路由器可以輸出流經(jīng)路由的包的統(tǒng)計(jì)信息，從而監(jiān)測網(wǎng)絡(luò)上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理、流量計(jì)費(fèi)和病毒檢測等等，NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測的需求。它可以實(shí)時(shí)提取大量流量的特征,實(shí)現(xiàn)對流量的宏觀統(tǒng)計(jì)分析。目前，NetFlow技術(shù)已經(jīng)成為網(wǎng)絡(luò)設(shè)備流量信息采集事實(shí)上的標(biāo)準(zhǔn)，一些大型的網(wǎng)絡(luò)設(shè)備廠商均在其主流的路由設(shè)備中實(shí)現(xiàn)了對NetFlow主要版本的支持。

表1主流廠商網(wǎng)絡(luò)流技術(shù)對比

■

NetFlow的實(shí)現(xiàn)由路由器、數(shù)據(jù)采集設(shè)備和流量分析工具三部分構(gòu)成，如圖2所示。

路由器啟動(dòng)NetFlow功能，負(fù)責(zé)抓取路由器上發(fā)生的流量信息，當(dāng)Cache表超時(shí)后，網(wǎng)絡(luò)設(shè)備中的NetFlow Agent 將通過規(guī)范的報(bào)文格式將表項(xiàng)數(shù)據(jù)以UDP方式向NetFlow數(shù)據(jù)采集設(shè)備發(fā)送。NetFlow數(shù)據(jù)采集設(shè)備可以是商業(yè)系統(tǒng)或是采用開放源代碼的工作站，它負(fù)責(zé)實(shí)時(shí)處理收到的報(bào)文，提取出流量數(shù)據(jù)，進(jìn)行過濾和聚合后記錄在數(shù)據(jù)庫中。NetFlow流量分析工具根據(jù)數(shù)據(jù)采集設(shè)備數(shù)據(jù)庫中記錄的網(wǎng)絡(luò)流量信息進(jìn)行網(wǎng)絡(luò)規(guī)劃、流量計(jì)費(fèi)和各種網(wǎng)絡(luò)管理應(yīng)用，并產(chǎn)生各類報(bào)表等。

■

圖2NetFlow的工作原理示意圖

由于NetFlow技術(shù)所產(chǎn)生的信息詳盡且趨近于即時(shí)，可讓網(wǎng)管人員深入地了解數(shù)據(jù)包中的信息，獲得很多網(wǎng)絡(luò)運(yùn)行情況的細(xì)節(jié)。依據(jù)NetFlow信息進(jìn)行網(wǎng)絡(luò)規(guī)劃，將大大提高規(guī)劃的效率，減少盲目性。

（上接第671頁）

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用NetFlow機(jī)制有以下優(yōu)勢：

1) 對源及目的業(yè)務(wù)端口號的統(tǒng)計(jì)、分析，可以科學(xué)地估算出各種業(yè)務(wù)在網(wǎng)絡(luò)總流量中所占的比重和在各條鏈路上的分布，對網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行精細(xì)化分析，包括網(wǎng)絡(luò)間數(shù)據(jù)流中各個(gè)具體業(yè)務(wù)的流量及百分比；同時(shí)，也可以根據(jù)應(yīng)用層數(shù)據(jù)參數(shù)Protocol、Port、Bytes對各個(gè)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行排行，進(jìn)而科學(xué)地預(yù)測各類業(yè)務(wù)流量的增長規(guī)律。

2) 通過對整網(wǎng)流量的長期監(jiān)測，可以建立園區(qū)網(wǎng)流量基線，了解網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)的即時(shí)與歷史網(wǎng)絡(luò)流量狀態(tài)，掌握網(wǎng)絡(luò)應(yīng)用及發(fā)展趨勢，從而提高網(wǎng)絡(luò)的管理維護(hù)能力。

3) 通過統(tǒng)計(jì)分析，我們還可以獲知那些業(yè)務(wù)是目前網(wǎng)絡(luò)上最受歡迎的業(yè)務(wù)，進(jìn)而對相關(guān)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的建設(shè)和規(guī)劃提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù)；對于業(yè)務(wù)流量大的端點(diǎn)，分析其增長規(guī)律，可以指導(dǎo)對其合理及時(shí)的擴(kuò)容，從而提高整個(gè)網(wǎng)絡(luò)的運(yùn)行質(zhì)量。

4) 利用NetFlow產(chǎn)生的流量記錄與統(tǒng)計(jì)分析系統(tǒng)配合，還可以記錄網(wǎng)絡(luò)平常在不同時(shí)間的流量或服務(wù)器連接使用情況，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)或某服務(wù)器流量異常，或是服務(wù)器連接情況異常大量增加或減少時(shí)，在第一時(shí)間發(fā)出警報(bào)，讓網(wǎng)絡(luò)管理員可以立即采取相應(yīng)措施，盡快確定異常流量源地址及目的地址、端口號等多種信息，針對不同的情況，分別利用切斷連接、ACL過濾、靜態(tài)空路由過濾、異常流量限定等多種手段，對異常流量進(jìn)行有效控制、處理，從而在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。這在防范病毒，尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時(shí)尤為有效。

3 結(jié)束語

當(dāng)前，隨著信息化建設(shè)步伐的加快，各單位都在不斷地建設(shè)和改造內(nèi)部的園區(qū)網(wǎng)絡(luò)，園區(qū)網(wǎng)絡(luò)的不斷擴(kuò)展使得網(wǎng)絡(luò)的拓?fù)渥兊迷絹碓綇?fù)雜和不規(guī)則。而網(wǎng)絡(luò)新應(yīng)用的涌現(xiàn)和網(wǎng)絡(luò)用戶的快速增長也使得網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)應(yīng)用日益復(fù)雜。采用一種或混合使用多種技術(shù)監(jiān)測園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)的重要性和迫切性越來越突出。園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測技術(shù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)研究中一個(gè)重要的課題方向。

參考文獻(xiàn)：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陳秀蘭,吳軍華.通用網(wǎng)絡(luò)流量監(jiān)測報(bào)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 微計(jì)算機(jī)應(yīng)用, 2006(4):47-50.

篇9

中圖分類號：TP393.06 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2015）12-0000-00

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)[1]已經(jīng)被運(yùn)用到千家萬戶，實(shí)時(shí)以及多媒體的傳播技術(shù)也在不斷普及，網(wǎng)絡(luò)流量將不斷增加，這對于現(xiàn)階段的網(wǎng)絡(luò)管理、維護(hù)以及檢測技術(shù)來說是一個(gè)不小的挑戰(zhàn)。有挑戰(zhàn)就存在一定的機(jī)遇，網(wǎng)絡(luò)流量監(jiān)控是網(wǎng)絡(luò)管理中的一個(gè)重要組成部分，更是網(wǎng)絡(luò)性能分析以及網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的根基，為網(wǎng)絡(luò)管理者的網(wǎng)絡(luò)實(shí)施運(yùn)行提供了技術(shù)平臺，并且能正確處理網(wǎng)絡(luò)出現(xiàn)的異常問題。

1 基于SNMP流量的監(jiān)測技術(shù)

近幾年來，以NETFLOW以及SFLOW技術(shù)為代表的網(wǎng)絡(luò)流量監(jiān)測技術(shù)的運(yùn)用憑借其準(zhǔn)確、高效等優(yōu)勢在網(wǎng)絡(luò)管理中頗受寵愛，但是其部署也存在一定的局限性，主要表現(xiàn)在以下幾個(gè)方面：（1）該技術(shù)消耗網(wǎng)絡(luò)設(shè)備資源。（2）在大中型網(wǎng)絡(luò)中，該技術(shù)在每一個(gè)節(jié)點(diǎn)全面部署會產(chǎn)生大量的數(shù)據(jù)，如何高效便捷地處理這些數(shù)據(jù)對于網(wǎng)絡(luò)管理來說至關(guān)重要。即使利用提高采樣率來減少數(shù)據(jù)流量，但是隨著采樣率的不斷上升，很多有價(jià)值的信息也會隨之丟失。

綜上所示，現(xiàn)階段使用的NETFLOW以及SFLOW技術(shù)只適用于邊緣路由器的單獨(dú)部署。為了解決校園網(wǎng)方案中存在的一些問題，本文就提出了適用于校園區(qū)的網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，此方案使用基于SNMP技術(shù)，在現(xiàn)階段的校園網(wǎng)絡(luò)上能夠較為廉價(jià)以及便捷地解決上述問題。

1.1 SNMP簡介

SNMP的全稱是簡單網(wǎng)絡(luò)管理協(xié)議，此協(xié)議是一種基于TCP/IP參考模型[2]的應(yīng)用層互聯(lián)網(wǎng)網(wǎng)絡(luò)管理協(xié)議，能對于互聯(lián)網(wǎng)中的各式各樣的設(shè)備進(jìn)行監(jiān)控以及管理，它主要還包含了網(wǎng)絡(luò)管理站以及被管的網(wǎng)絡(luò)設(shè)備這兩個(gè)部分。被管的設(shè)備端運(yùn)行者稱為設(shè)備的運(yùn)用進(jìn)程，其實(shí)現(xiàn)階段對于被管設(shè)備的各種被管對象的信息，例如流量等的收集以及對于這些被管對象的訪問支持。利用SNMP實(shí)現(xiàn)的網(wǎng)絡(luò)管理一般包含：管理進(jìn)程利用定時(shí)來向各個(gè)設(shè)備的設(shè)備進(jìn)程發(fā)送可查詢請求信息，，以便于跟蹤每一個(gè)設(shè)備的狀態(tài)。SNMP的作用是幫助網(wǎng)絡(luò)管理員提升網(wǎng)絡(luò)管理的主要性能，及時(shí)快速地發(fā)現(xiàn)并且解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)的增長。網(wǎng)絡(luò)管理員還可以利用SNMP接收網(wǎng)絡(luò)節(jié)點(diǎn)的通知消息，來告警事件報(bào)告等來獲知網(wǎng)絡(luò)出現(xiàn)的問題。

1.2 流量數(shù)據(jù)的采集

為了達(dá)到網(wǎng)絡(luò)流量的采集，設(shè)計(jì)了運(yùn)用SNMP協(xié)議采集網(wǎng)絡(luò)設(shè)備MIB的方法，程序以輪詢的方式進(jìn)行訪問MIB相對應(yīng)的葉節(jié)點(diǎn)。SNMP是由三個(gè)部分組成的，分別是管理者、以及MIB，其中被管設(shè)備一定要啟動(dòng)SNMP服務(wù)，管理者利用SNMP的相應(yīng)操作通過獲得以及設(shè)置MIB變量的參數(shù)值，此處涉及到的一個(gè)共同體名是客戶進(jìn)行提供的，與此同時(shí)，要能被服務(wù)器進(jìn)程所識別的一個(gè)口令密碼，也正是管理進(jìn)程請求的權(quán)限標(biāo)志。MIB變量有簡單變量以及表格變量，對于簡單變量的訪問，通過對其對象標(biāo)識符后面添加“0”來處理，利用get-request報(bào)文請求即可。

2 網(wǎng)絡(luò)流量監(jiān)測技術(shù)的現(xiàn)狀及其發(fā)展趨勢

根據(jù)現(xiàn)階段的網(wǎng)絡(luò)流量的采集方式可以將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為以下三個(gè)部分，分別是基于網(wǎng)絡(luò)流量全鏡像的檢測技術(shù)、基于SNMP的監(jiān)測技術(shù)以及基于NETFLOW的監(jiān)測技術(shù)。

網(wǎng)絡(luò)流量全鏡像的監(jiān)測：它是現(xiàn)階段IDS主要使用的是網(wǎng)絡(luò)流量采集模式，其工作原理是利用交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者是通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)了網(wǎng)絡(luò)流量的無損復(fù)制以及鏡像采集，該技術(shù)的主要特征是可以為管理者提供應(yīng)用層的信息。

目前，網(wǎng)絡(luò)流量監(jiān)測技術(shù)正在朝著迅猛提升的方向發(fā)展，其技術(shù)以及產(chǎn)品也正在不斷更新，也有朝著智能化發(fā)展的趨勢，主要表現(xiàn)在：流量自主學(xué)習(xí)，為判斷異樣流量提供強(qiáng)有力的證據(jù)。

3 采集過程中需要考慮的問題

3.1時(shí)間間隔的正確選擇

Cisco路由器[3]為IP Accounting Table 中建立了一個(gè)緩沖區(qū)，缺省設(shè)置為512行，如果超出了已經(jīng)限定的行數(shù)，那么全新的數(shù)據(jù)就會丟失。所以，在采集數(shù)據(jù)的時(shí)候要選擇正確合適的時(shí)間間隔。假如兩次采集的時(shí)間間隔過長，就會使得數(shù)據(jù)庫中的數(shù)據(jù)溢出，之前的數(shù)據(jù)就會被覆蓋，最終造成數(shù)據(jù)的丟失；假如采集時(shí)間間隔過短的話，又會導(dǎo)致訪問路由器以及寫入的數(shù)據(jù)庫過于頻繁，最終造成整個(gè)系統(tǒng)的性能下降。

3.2 Trap技術(shù)的應(yīng)用

假如在采集程序運(yùn)行之前，計(jì)費(fèi)信息就會超過路由器保留計(jì)費(fèi)信息的緩沖區(qū)的大小，就會造成計(jì)費(fèi)信息的丟失。為了防止此類情況的出現(xiàn)，我們就要運(yùn)用SNMP中的事件驅(qū)動(dòng)技術(shù)，也就是Trap技術(shù)。

3.3準(zhǔn)確安全性的考慮

考慮到整個(gè)系統(tǒng)的健壯性能，設(shè)計(jì)方案就會引入主從式的設(shè)計(jì)，在整個(gè)系統(tǒng)中，引入一個(gè)從計(jì)費(fèi)服務(wù)器作為主服務(wù)器的備份。從服務(wù)器上采集而來的數(shù)據(jù)過程是實(shí)時(shí)的，全天運(yùn)行的。其系統(tǒng)要根據(jù)已經(jīng)設(shè)定好的固定的時(shí)間間隔輪詢路由器IPAccountingTable表的讀寫情況，假如表的更新時(shí)間超過設(shè)定的最大更新周期，就會出現(xiàn)主服務(wù)器發(fā)生故障的狀況，根據(jù)服務(wù)器將進(jìn)行數(shù)據(jù)的采集工作，為了防止數(shù)據(jù)的丟失。

本文利用分析了常見流量監(jiān)控系統(tǒng)，提出了在校園中網(wǎng)絡(luò)上運(yùn)用SNMP協(xié)議實(shí)現(xiàn)在網(wǎng)絡(luò)流量上的監(jiān)控，本系統(tǒng)是架構(gòu)于SNMP模式的管理者以及結(jié)構(gòu)之上。此設(shè)計(jì)方案是在校園網(wǎng)上有較強(qiáng)的推廣價(jià)值，也被廣泛運(yùn)用于其他網(wǎng)絡(luò)管理功能模塊的設(shè)計(jì)。

參考文獻(xiàn)

篇10

網(wǎng)絡(luò)流量性能測量和分析涉及許多關(guān)鍵技術(shù)，如單向測量中的時(shí)鐘同步新問題，主動(dòng)測量和被動(dòng)測量的抽樣算法探究，多種測量工具之間的協(xié)同工作，網(wǎng)絡(luò)測量體系結(jié)構(gòu)的搭建，性能指標(biāo)的量化，性能指標(biāo)的模型化分析，對網(wǎng)絡(luò)未來狀態(tài)進(jìn)行趨向猜測，對海量測量數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘或者利用已有的模型（petri網(wǎng)、自相似性、排隊(duì)論）探究其自相似特征，測量和分析結(jié)果的可視化，以及由測量所引起的平安性新問題等等。

1.在IP網(wǎng)絡(luò)中采用網(wǎng)絡(luò)性能監(jiān)測技術(shù)，可以實(shí)現(xiàn)

1.1合理規(guī)劃和優(yōu)化網(wǎng)絡(luò)性能

為更好的管理和改善網(wǎng)絡(luò)的運(yùn)行，網(wǎng)絡(luò)管理者需要知道其網(wǎng)絡(luò)的流量情況和盡量多的流量信息。通過對網(wǎng)絡(luò)流量的監(jiān)測、數(shù)據(jù)采集和分析，給出具體的鏈路和節(jié)點(diǎn)流量分析報(bào)告，獲得流量分布和流向分布、報(bào)文特性和協(xié)議分布特性，為網(wǎng)絡(luò)規(guī)劃、路由策略、資源和容量升級提供依據(jù)。

1.2基于流量的計(jì)費(fèi)

現(xiàn)在lSP對網(wǎng)絡(luò)用戶提供服務(wù)絕大多數(shù)還是采用固定租費(fèi)的形式，這對一般用戶和ISP來說，都不是一個(gè)好的選擇。采用這一形式的很大原因就是網(wǎng)絡(luò)提供者不能夠統(tǒng)計(jì)全部用戶的準(zhǔn)確流量情況。這就需要有方便的手段對用戶的流量進(jìn)行檢測。通過對用戶上網(wǎng)時(shí)長、上網(wǎng)流量、網(wǎng)絡(luò)業(yè)務(wù)以及目的網(wǎng)站數(shù)據(jù)分析，擺脫目前單一的包月制，實(shí)現(xiàn)基于時(shí)間段、帶寬、應(yīng)用、服務(wù)質(zhì)量等更加靈活的交費(fèi)標(biāo)準(zhǔn)。

1.3網(wǎng)絡(luò)應(yīng)用狀況監(jiān)測和分析

了解網(wǎng)絡(luò)的應(yīng)用狀況，對探究者和網(wǎng)絡(luò)提供者都很重要。通過網(wǎng)絡(luò)應(yīng)用監(jiān)測，可以了解網(wǎng)絡(luò)上各種協(xié)議的使用情況（如www，pop3，ftp，rtp等協(xié)議），以及網(wǎng)絡(luò)應(yīng)用的使用情況，探究者可以據(jù)此探究新的協(xié)議和應(yīng)用，網(wǎng)絡(luò)提供者也可以據(jù)此更好的規(guī)劃網(wǎng)絡(luò)。

1.4實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)狀況

針對網(wǎng)絡(luò)流量變化的突發(fā)性特性，通過實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)狀況，能實(shí)時(shí)獲得網(wǎng)絡(luò)的當(dāng)前運(yùn)行狀況，減輕維護(hù)人員的工作負(fù)擔(dān)。能在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時(shí)發(fā)出自動(dòng)告警，在網(wǎng)絡(luò)即將出現(xiàn)瓶頸前給出分析和猜測?，F(xiàn)在隨著Internet網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)絡(luò)中也經(jīng)常會出現(xiàn)黑客攻擊、病毒泛濫的情況。而這些網(wǎng)絡(luò)突發(fā)事件從設(shè)備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)，經(jīng)常讓網(wǎng)絡(luò)管理員感到棘手。因此，針對網(wǎng)絡(luò)中突發(fā)性的異常流量分析將有助于網(wǎng)絡(luò)管理員發(fā)現(xiàn)和解決新問題。

1.5網(wǎng)絡(luò)用戶行為監(jiān)測和分析

這對于網(wǎng)絡(luò)提供者來說非常重要，通過監(jiān)測訪問網(wǎng)絡(luò)的用戶的行為，可以了解到摘要：

1）某一段時(shí)間有多少用戶在訪問我的網(wǎng)絡(luò)。

2）訪問我的網(wǎng)絡(luò)最多的用戶是哪些。

3）這些用戶停留了多長時(shí)間。

4）他們來自什么地方。

5）他們到過我的網(wǎng)絡(luò)的哪些部分。

通過這些信息，網(wǎng)絡(luò)提供者可以更好的為用戶提供服務(wù)，從而也獲得更大的收益。

2.網(wǎng)絡(luò)流量測量有5個(gè)要素摘要：

測量時(shí)間、測量對象、測量目的、測量位置和測量方法。網(wǎng)絡(luò)流量的測量實(shí)體，即性能指標(biāo)主要包括以下幾項(xiàng)。2.1連接性

連接性也稱可用性、連通性或可達(dá)性，嚴(yán)格說應(yīng)該是網(wǎng)絡(luò)的基本能力或?qū)傩裕荒芊Q為性能，但I(xiàn)TU-T建議可以用一些方法進(jìn)行定量的測量。

2.2延遲

對于單向延遲測量要求時(shí)鐘嚴(yán)格同步，這在實(shí)際的測量中很難做到，許多測量方案都采用往返延遲，以避開時(shí)鐘同步新問題。

2.3丟包率

為了評估網(wǎng)絡(luò)的丟包率，一般采用直接發(fā)送測量包來進(jìn)行測量。目前評估網(wǎng)絡(luò)丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等。

2.4帶寬

帶寬一股分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒有其他背景流量時(shí)，網(wǎng)絡(luò)能夠提供的最大的吞吐量。

2.5流量參數(shù)

ITU－T提出兩種流量參數(shù)作為參考摘要：一種是以一段時(shí)間間隔內(nèi)在測量點(diǎn)上觀測到的所有傳輸成功的IP包數(shù)量除以時(shí)間間隔，即包吞吐量；另一種是基于字節(jié)吞吐量摘要：用傳輸成功的IP包中總字節(jié)數(shù)除以時(shí)間間隔。

3.測量方法

Internet流量數(shù)據(jù)有三種形式摘要：被動(dòng)數(shù)據(jù)（指定鏈路數(shù)據(jù)）、主動(dòng)數(shù)據(jù)（端至端數(shù)據(jù)）和BGP路由數(shù)據(jù)，由此涉及兩種測量方法摘要：被動(dòng)測量方法和主動(dòng)測量方法然而，近幾年來，主動(dòng)測量技術(shù)被網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)探究人員用來分析指定網(wǎng)絡(luò)路徑的流量行為。

3.1主動(dòng)測量

主動(dòng)測量的方法是指主動(dòng)發(fā)送數(shù)據(jù)包去探測被測量的對象。以被測對象的響應(yīng)作為性能評分的結(jié)果來分析。測量者一般采用模擬現(xiàn)實(shí)的流量（如WebServer的請求、FTP下載、DNS反應(yīng)時(shí)間等）來測量一個(gè)應(yīng)用的性能或者網(wǎng)絡(luò)的性能。由于測量點(diǎn)一般都靠近終究端，所以這種方法能夠代表從監(jiān)測者的角度反映的性能。

3.2被動(dòng)測量

被動(dòng)測量是在網(wǎng)絡(luò)中的一點(diǎn)收集流量信息，如使用路由器或交換機(jī)收渠數(shù)據(jù)或者一個(gè)獨(dú)立的設(shè)備被動(dòng)地監(jiān)測網(wǎng)絡(luò)鏈路的流量。被動(dòng)測量可以完全取消附加流量和Heisenberg效應(yīng)，這些優(yōu)點(diǎn)使人們更愿意使用被動(dòng)測量技術(shù)。有些測度使用被動(dòng)測量獲得相當(dāng)困難摘要：如決定分縮手縮腳一所經(jīng)過的路由。但被動(dòng)測量的優(yōu)點(diǎn)使得決定測量之前應(yīng)該首先考慮被動(dòng)測量。被動(dòng)測量技術(shù)碰到的另一個(gè)重要新問題是目前提出的要求確保隱私和平安新問題。

3.3網(wǎng)絡(luò)流量抽樣測量技術(shù)