資源描述:
《淺談IP網(wǎng)絡流量分析》由會員上傳分享�����,免費在線閱讀����,更多相關內(nèi)容在工程資料-天天文庫。
1����、淺談IP網(wǎng)絡流量分析【摘要】本文闡述了網(wǎng)絡流量的特性,網(wǎng)絡流量的分析預測模型���,同時����,重點分析了網(wǎng)絡流量分析的具體應用�,最后,介紹了網(wǎng)絡流量的識別的方法和和技術(shù),為更好的分析IP網(wǎng)絡流量提供了基礎��?�!娟P鍵詞】IP網(wǎng)絡流量�����;分析屮圖分類號:U467.4+6文獻標識碼:A文章編號:?�、八->A一、刖吞隨著網(wǎng)絡的普及�����,網(wǎng)站數(shù)量的增加����,對網(wǎng)絡流量的分析就變得更加的重要,這是確保網(wǎng)站健康運營的關鍵所在����,同時,也是維護互聯(lián)網(wǎng)健康的一個重要方面�,IP網(wǎng)絡流量的分析已經(jīng)成為了網(wǎng)絡快速發(fā)展必須重視的一個關鍵環(huán)節(jié)����。二����、網(wǎng)絡流量的特性分析在經(jīng)過對
2�����、互聯(lián)網(wǎng)通信流量的長期監(jiān)測與測量�,從現(xiàn)有的技術(shù)水平來說,我們把網(wǎng)絡流量的主要特性歸結(jié)為以下4個方面:1數(shù)據(jù)流雙向和非對稱性:即��,從互聯(lián)網(wǎng)上的應用來看�,其實質(zhì)就是數(shù)據(jù)的雙向交換,因此網(wǎng)絡流量體現(xiàn)出雙向性的特點�����;但同時這種雙向的數(shù)據(jù)交流并非是對等的�����,上行和下載的流量并不相同����,而是表現(xiàn)出非對稱性的特點。2大部分TCP會話是短期的。在互聯(lián)網(wǎng)通信中��,從時間的角度來看���,TCP會話時間只有數(shù)秒十分之短���,這是由于會話中交換的數(shù)據(jù)量超過90%的比例都是小于10K字節(jié)的。3包的到達過程不是泊松過程���。隨著技術(shù)的進步���,研究發(fā)現(xiàn)這種理論解釋存在著不足
3、����,它難以精確地描述包的到達過程,人們開始從網(wǎng)絡通信量模型展開研究����,進而來豐富網(wǎng)絡流量的理論原理。4網(wǎng)絡流量體現(xiàn)出局域性�。從現(xiàn)有技術(shù)應用特點來看,網(wǎng)絡通信量表現(xiàn)出在時間和空間兩個維度的局域性�。三�、網(wǎng)絡流量分析預測模型1確立預測對象某公司網(wǎng)絡中出口防火墻的流量信息是進行預測分析的基礎�����,我們采取對防火墻流量的流入和流出情況進行系統(tǒng)分析�,選用適合的方法進行預測����,進而產(chǎn)生預測結(jié)果。盡管導致網(wǎng)絡設備上實際帶寬變化的條件具有多重性和量化困難����,但是帶寬變化的態(tài)勢在時間上是一種逐步推進的過程,冇一定的規(guī)律可循�����?����;诰W(wǎng)絡流量帶寬的這一特征��,我
4�、們通過預測網(wǎng)絡節(jié)點端口帶寬占有率�����,從而間接達到網(wǎng)絡節(jié)點端口流量預測的0的���。2預測模型的構(gòu)造設計公司為了達到網(wǎng)絡管理的有效性,通常網(wǎng)絡流量模式是它們所運用的一個非常必要的方法���,因此����,準確�����、嚴格的數(shù)據(jù)采集方式����,是能夠建立一個很好的模型為網(wǎng)絡流量,這樣才能夠滿足模型對數(shù)據(jù)的釆集的需求�。以預測模型為例,它的核心網(wǎng)絡系統(tǒng)能夠分為三個獨立的模塊�,這是按照系統(tǒng)的功能來劃分,它們是:流量數(shù)據(jù)采集���、流量圖生成��、流量預測����。四�����、流量分析的應用NTE(NetTrafficExporter)負責流量的采集和發(fā)送�����;NTC(NetTrafficColl
5�����、ector)設備負責收集和存儲NTE發(fā)來的流量統(tǒng)計數(shù)據(jù)信息���;NTP(NetTrafficProcessor)從數(shù)據(jù)庫中獲取收集到的數(shù)據(jù)�,經(jīng)分析加工后以直觀的圖表���、報表等方式為網(wǎng)絡規(guī)劃����、網(wǎng)絡優(yōu)化、網(wǎng)絡監(jiān)控��、流量趨勢分析��、異常檢測等提供直接的數(shù)據(jù)依據(jù)���。各組成部分的關系如下圖所示:1.流量監(jiān)控網(wǎng)管人員可按照系統(tǒng)提供的參數(shù)來設定監(jiān)控條件�,系統(tǒng)根據(jù)設定的監(jiān)控條件過濾得來流量記錄(FlowRecord)并將符合監(jiān)控條件的統(tǒng)計資料存入系統(tǒng)數(shù)據(jù)庫中����。最后,系統(tǒng)便可以從數(shù)據(jù)庫里讀取數(shù)據(jù)做成各種圖表(Report)o因此���,網(wǎng)絡管理員可針對網(wǎng)絡
6�、的重要鏈路進行流量監(jiān)控�,掌握不同鏈路的流量基線,及時了解鏈路的負載和發(fā)現(xiàn)問題。2?流量分析網(wǎng)管人員可以開啟實時監(jiān)控功能��,針對所設定的范圍做流量數(shù)據(jù)的收集與分析��。在同一時間里���,可以開啟多個實時監(jiān)控窗口���,每一窗口獨立監(jiān)控一項設定,并根據(jù)搜集得來的資料自動排序���,做成各種報表。3?異常流量分析現(xiàn)在隨著IP網(wǎng)絡不斷擴大����,網(wǎng)絡中也經(jīng)常會出現(xiàn)黑客攻擊�、病毒泛濫的情況,而這些網(wǎng)絡突發(fā)事件從設備和網(wǎng)管的角度看卻很難發(fā)現(xiàn)問題�����,經(jīng)常也讓網(wǎng)絡管理員感到棘手��,因此�,針對網(wǎng)絡中突發(fā)性的異常流量分析將有助于網(wǎng)絡管理員發(fā)現(xiàn)和解決問題。五����、常見流量識別方法
7、與技術(shù)1針對網(wǎng)絡帶寬消耗大戶P2P的DPI技術(shù)DeepPacketInspection簡稱DPI技術(shù)�����,中文意思是深度報文檢測。由于傳統(tǒng)的檢測技術(shù)獲得的業(yè)務應用信息很少��,只是包括協(xié)議號�����、源/H的IP地址���、底層的連接狀態(tài)�����、源/目的傳輸層端口號等這些存放于數(shù)據(jù)包當中網(wǎng)絡層和傳輸層的基本信息�����,而這些檢測出的參數(shù)對現(xiàn)行的P2P(點對點)和VOIP(網(wǎng)絡語音)���、IPTV(網(wǎng)絡電視)等已經(jīng)不再適用和滿足檢測管理的需要了。DPI作為一種先進的包檢測技術(shù)�����,不僅僅能夠識別P2P,還能夠檢測上述的VOIP、IPTV和在線游戲���、流量封裝協(xié)議�、流媒
8���、體以及在線游戲等大部分主流應用協(xié)議����、流控設備�����。對P2P應用進行判定如果僅僅通過端口對其進行判斷是不足的�,因為通常P2P是技術(shù)常盜用一些常用的協(xié)議端口或者使用端口跳變技術(shù)來傳輸數(shù)據(jù)����,因此進行P2P應用樣本查找時不能疏忽大意,要使用第7層協(xié)議對網(wǎng)絡中所有的數(shù)據(jù)進行探測����,那樣不管它使用的是那個端口話都逃部出檢
