2011年7月情报探索第7期(总165期)网络流量监控技术及其应用研究综述琚根贵李艳艳(安徽财经大学管理科学与工程学院蚌埠233041)(安徽大学管理学院合肥230601)摘要:对网络漉量监控的原理和内客。网络流量监测技术以及网络流量监控系统的组成、形式、主要用途及应用现状进行总结,并提出进一步研究的方向。关键词:硒络流量监控流量监测技术监控系统中图分类号:G353.1l文献标识码:Adoi:10.3969/j-is叭.1005—8095.2011.07.030随着现代信息技术的迅猛发展.各企事业单位的信息化程度不断提高,网络环境日趋复杂。在互联网络中,各种网络应用越来越丰富,无论是业务种类还是流量规模都在飞速发展。这些应用时刻都在争夺有限的网络带宽,增大了网络管理的难度[1】。因此。在网络的发展和建设过程中,需要实施网络流量的监控,便于优化网络管理,以满足用户更高质量的业务需求。1流量测量中所测量的流量通常采集自主机节点、服务器、路由器的接口、链路和路径等。所测量流量的实体。即流量测量过程中所需要关注的可以量化表示的基本参数【I】。主要包括:(1)流量大小。即在不同的聚合层次上、特定时间间隔下采集得到的比特数/字节数或者是数据包数所表示的流量大小。主要包括其在网络正常负载或高负载下的流量数值、最大值、中值、平均值、最小值和方差等。(2)吞吐量。即单位时间内的比特数/字节数或者数据包数。一般也用流量速率表示。根据测量目的的不同.单位时间的时间粒度的选取具有较宽的范围,可以是微秒、纳秒,也可以是日、周、月或年等。(3)带宽情况。可描述网络的使用状况,其主要包括特定链路或者路径的容量带宽、可用带宽等。(4)时间计数。指的是网络流量在时间结构上的属性,通过时间来刻画网络流量的动态变化情况,主要包括流量速率的高峰、低谷、突发和抖动等所出现的时刻:并发连接/会话/应用的高峰、低谷、突发和抖动等所出现的时刻;数据包到达的时间间隔、特定协议完成特定功能的数据包(例如ICMP的主机不可达和网络不可达、TCP的sYN包和RsT包,等等)到达的间隔、流到达的时间间隔、会话/A话建立的时间间隔;流的持续时间、会话/应用的持续时间和MPLS路径的持续时间。等等。(5)延迟情况。主要包括数据包通过路由器时的排队延迟、节点对之间的单向延迟、往返延迟、延迟变化等。(6)流量故障。指的是流量本身中的意外和错网络流量监控的原理和内容网络流量监控的原理网络流量是单位时间内通过网络设备或传输介1.1质的信息量(报文数、数据包数或字节数)。对在网络中不同位置通过不同方法采集不同空间粒度和不同时间粒度下的网络流量,并借助于数理统计、随机过程和时间序列等数学手段针对预先所定义的一系列网络流量的相关属性对网络流量展开分析与研究。得到网络流量的不同属性在其构成、分布、相关性和变化规律与趋势等方面的特征,称为流量测量[2】。网络流量监控就是通过分析和研究网络上所运载的流量特性。从中抽取能够刻廊J网络流量特征的参数。进而通过对网络流量建模模拟和性能分析,寻找可的性能参数。对流量实施有效的控制、改进和优化网络性能口】。网络为大多数用户的应用提供连通性的媒介。以TCP/m协议栈为基础和核心的网络遵循并实现了信息隐藏的原则。将具体的用户级的网络应用抽象为底层的数据帧/包的发送和接收。网络管理人员通过关注和研究数据包/帧形成的网络流量数据.可以了解整个网络的运行态势、网络负载状况、网络安全状况、流量发展趋势、用户行为模式、业务与站点的接受程度。为网络的运行和维护提供重要依据。因此流量监控对于网络性能分析、异常检测、链路状态误,主要包括错误数据包封装、数据包重传和数据包丢包等的比例、速率和突发模式等。2网络流量监测技术网络流量监测技术主要包括:基于流量镜像(在线1’AP)的协议分析技术、基于硬件探针的分布式监监测、容量规划等发挥着重要作用。1.2网络流量监控的内容收稿日期:2010一11—25作者简介:琚根贵(1987一),女。2009级硕士研究生,研究方向为信息组织与数据挖掘;李艳艳(1985一),女,2010级硕士研究生,研究方向为信息资源管理。86万方数据2011年7月琚根贵等:网络流量监控技术及其应用研究综述第7期(总165期)测技术、基于SNMP的监测技术、基于Netfl洲的监测技术这4种常用技术。2.1基于流量镜像协议分析流量镜像(在线n心)协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。协议分析是网络测试的最基本手段.特别适合网络故障分析。缺点是流量镜像(在线’n”)协议分析方式只针对单条链路,不适合全网监测。2.2基于硬件探针的监测技术硬件探针是一种用来获取网络流量的硬件设备。使用时将它串接在需要捕捉流量的链路中,通过分流链路上的数字信号而获取流量信息。一个硬件探针监视一个子网(通常是一条链路)的流量信息。对于全网流量的监测需要采用分布式方案,在每条链路部署一个探针,再通过后台服务器和数据库,收集所有探针的数据.做全网的流量分析和长期报告。2.3基于SNMP的流量监测技术简单网络管理协议(SNMP)首先是由Imemet工程任务组织(IETF)的研究小组为了解决htemet上的路由器管理问题而提出的.是一种基于TC踟参考模型的应用层互联网络管理协议.能对互联网中各种不同类型的设备进行监控和管理。基于sNMP的流量信息采集.实质上是测试仪表通过提取网络设备Agent提供的管理对象信息库(MIB)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。相似的方式还包括RMON。2.4基于Nemow的流量监测技术Netflow流量信息采集是基于网络设备(Cisco)提供的Ne母0w机制实现的网络流量信息采集。Ne咀ow为Cisco之专属协议,已经标准化。并且Ju.正per、Ex骶me、华为等厂家也逐渐支持,Ne饪law由路由器、交换机自身对网络流量进行统计。并且把结果发送到第3方流量报告生成器和长期数据库。一旦收集到路由器、交换机上的详细流量数据后.便可为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供计数根据。同时,Net.丑ow也提供针对QoS(QualityofseⅣice)的测量基准,能够捕捉到每笔数据流的流量分类或优先性特性,而能够迸一步根据QoS进行分级收费。3网络流置监控系统概述3.1网络流量监控系统的组成网络流量监控系统由原始数据收集硬件和数据处理分析软件构成【4】。原始数据收集硬件可以是单万方数据独的探针式设备.也可以是网络路由器等设备的一部分.其作用是将所关心的链路的流量基本信息收集起来。以特定格式发送给数据处理分析软件;数据处理分析软件可以对原始的流量数据进行分析处理,以统计的形式呈现出来,使网络管理者对网络的当前使用情况一目了然。监控系统也可以分为数据采集、数据传输、数据处理和数据查询4个部分。3.2网络流量监控系统的形式根据原始数据收集硬件和数据处理分析软件这两个模块之间传递数据的形式不同。网络流量监控系统可以归纳为4种形式。下面简单介绍这4种形式并分析各自的主要优点。3.2.1SNMP形式多路由流量图示仪(MR’I℃)就是SNMP形式的一个代表。M砌畦通过SNMP协议读取路由器等网络设备的流量信息。并将流量负载以包含PNG格式的图形的HrML文档方式显示给用户.以非常直观的形式显示流量负载。由于M砌陋一般是用来监控网络链路链路负载的.因此仅提供流量的负载大小信息。而不会对流量的组成做进一步的分析。M砌略具有灵活易用、配置简单、源代码开放、界面可定制的优点。3.2.2RMON形式远端网络监控(RMON)协议是由IETF以RFC的形式定义的。RMON是属于SNMP的一个管理信息库(MIB)。RMON形式使用探针式设备目的是收集网络各个分段的流量统计情况。除基本流量统计外,可以对流量做进一步的分类分析,还可以根据设定上报告警。RMON的优点取决于其标准性和兼容性。并且定义了丰富的功能。3.2.3私有协议形式私有协议形式与RMON形式类似。也使用探针式设备。但是它更加灵活,除实现RMON的一些必要功能外.还根据目前网络上的实际情况添加了新的功能。如具有对病毒、攻击等异常流的检测.具有对某种特征业务如P2P、voIP流量的检测等功能。私有形式的最大缺点就是兼容性差。不过它功能灵活,定义细致入微,更能迎合用户的需求。3.2.4FLOW形式流(nDW)形式主要指思科的Netnow和Ju.1liper的snow,路由器以FLoW的定义方式将原始流量信息向上报告,经过数据预处理,然后进行分析。与RMON相对比。FLOW形式在某种意义上也是私有协议形式,不过随着时间的推移。思科的NetFLoW等应用逐渐广泛.而且思科的NetFLOWver8ion9已经被IETF采纳为新的RFC,所以单独2011年7月情报探索第7期(总165期)定义一种FLOW形式非常必要。sFLOW是由InMon公司提出的一种基于“统计采样方式”的高速交换网络流量监控技术,2001年成为了互联网的一项标准(RFC3176)。3.3网络流量监控系统的主要用途3.3.1监控流量的大小监控系统主要将中继器等骨干链路监控起来。因为中继器链路直接涉及到使用成本问题.其利用率也是网络利用率的直接体现。3.3.2监控流量的组成网络流量监控系统会将各种流量分门别类.并且标识出每种流量占总流量的比例,使人们对网络中传送的信息流一目了然。一般地。每种网络流量监控系统都会提供我们比较熟悉的m’IP、FIP、DNS、POP3、S1MP等业务的情况.而对于非正规定义的TCP、UDP业务往往用其他代替。目前互联网络中的监测热点是P2P、vo口等较难识别的业务。它们占总流量的比例正不断提高。3.3.3异常流量的检测网络中的蠕虫病毒,拒绝服务(DoS)攻击类的异常流量等都是网络流量监控系统监控的重要内容。采用有效的检测方法.就能够迅速定位和隔离病毒源,解决网络中的流量冲击问题。3.3-4业务质量参数的统计与业务质量有关的参数。如IP报头中的业务类型(ToS)字段,VLAN帧头中的优先级(P砌)字段,都是网络流量监控系统统计的对象。另外.在一些网络流量监控系统中还进行具体业务质量的统计。如TCP的重传包和字节的数量、TCP连接双方往返延时。3.3.5历史记录的检索网络流量监控系统将原始流量数据压缩后以文件形式保存,以备日后查阅,最长时间的记录可以保存一年以上。能根据年、月、日进行检索。针对这些数据进行再加工.可以为网络规划提供详实的数据参考。3.4网络流量监控系统的应用现状网络流量监控系统作为一种可靠、有效的网络业务流量分析工具。目前已广泛应用于各大高校的校园网络管理和企事业单位的信息化建设过程中。支持网络流量负载分析的软件工具也在快速的发展,更新换代。常建龙等人在文献【剐中提出了SMART这一种基于数据流技术的电信网络流量监控系统,其数据流算法技术先进并且拥有完整的系统框架设实际工程为背景.突破以往网络流量解析系统设计系统的设计思想:胥京宇在文献忉介绍了IDT推出万方数据的一款创新的统计引擎产品,其智能化的网络架构全面迎合了功能强、安全性高以及成本低的要求,加强了网络流量的监控管理;王培发等在文献嘲中结合中国科技网带宽管理系统描述了生成SvG(scal—ableVectorGmpllic8)格式的网络流量分析图形的协议分析工具中用到的一些技术以及实现的方法,并分析该方案的诸多优点以及SVG的发展趋势;另外.作为网络流量监控技术的一个重要应用——校园网络的流量监控。其方法技术更是呈现多样化,文献附21介绍了Cac6技术、Cac碰Z技术、MRl'G技术以及SFLoW技术。通过这些技术的应用,可以对路由器、交换机等设备端口流量进行监控,直观了解网络中各个部分的带宽使用情况,及时发现异常网络流量。有效防范黑客和病毒的攻击,提高网络的安全性与运行效率。总之.通过对网络流量监控相关文献的研究分析.可以看出目前网络流量监控技术的进步十分迅速.网络流量监控系统在诸多领域都得到具体的应用。正是由于网络的的快速发展,网络流量监控的方法、工具以及流量测量的模型等方面都有许多问题还需要进一步研究。随着P2P应用的发展,网络规模的扩大和网络流量高速增长,网络带宽吞噬问题愈加突出,如何设计更加合理有效的监控技术,平衡网络带宽.提高网络资源利用率将是网络管理中需要进一步研究的方向。参考文献[1]郭春宇.基于应用层网络流量监控的研究[D].上海:复旦大学。2008[2】夏卫锋.网络流量监测研究[J】.电脑知识与技术,20019,5(9):209l一2092[3]于磊.网络流量的测量与分析的关键技术研究[D].哈尔滨:哈尔滨工业大学.2008[4]何大中。赵柏隽.优化网络的工具——网络流量监控系统[J].现代电信科技,2005(3):62.64[5】常建龙,闫莺,等.SMART:基于数据流技术的电信网络流量监控系统[J].山东大学学报,2007。42(11):27—3l[6]周玮.基于uBPcAP的网络流量监控系统设计思想与技巧的探讨[J].科技信息,2009,5:467却0[7]胥京宇.高性能统计引擎加强网络流量的监控管[8]王培发,张世维,李俊.svG在网络流量监控中的[9】李向龙,刘晓龙.ca砸在校园网络流量监控中的应[10】宋进红,沈云琴.使用Cac龃Z轻松构建校园网络[11】张永波,尚大影.M砌旧在校园网络流量监控中的[12]黄伟强,林南晖,盂克勋.校园网上snDW网络理[J].世界电子元器件,2006(3):109应用与实现[J】.微电子学与计算机,2005,22(4):162-165用[J].中国教育网络,2007。12:52-53.流量监控系统[J].河南城建学院学报。2009,18(4):57-59应用[J].计算机与信息技术,200r7(1):5l流量监控设计[J】.华南师范大学学报。2007(3):57-6l计,已在上海电信高效稳定的运行;文献【6】中周玮以方法的思路.探讨了基于UBPCAP的网络流量监控
