陜西省氣象廣域網(wǎng)絡(luò)流量應(yīng)用分析

李 珍

(陜西省氣象信息中心,西安 710014)

陜西省氣象廣域網(wǎng)絡(luò)流量應(yīng)用分析

李 珍

(陜西省氣象信息中心,西安 710014)

采用基于Netflow的流量監(jiān)測方法,在省級電信MSTP線路安裝網(wǎng)絡(luò)監(jiān)控設(shè)備,對陜西省氣象廣域網(wǎng)絡(luò)的網(wǎng)絡(luò)流量分別進行基于數(shù)據(jù)包和流量行為的分析。在了解網(wǎng)絡(luò)流量的構(gòu)成和分布比例符合氣象業(yè)務(wù)基本特性的基礎(chǔ)上,發(fā)現(xiàn)當前臺站、地市級氣象部門在網(wǎng)絡(luò)應(yīng)用中存在網(wǎng)絡(luò)資源釋放不及時和網(wǎng)絡(luò)防護中的漏洞,并提出相應(yīng)措施,提高網(wǎng)絡(luò)帶寬的有效利用率和網(wǎng)絡(luò)性能。

氣象業(yè)務(wù)網(wǎng)絡(luò);流量監(jiān)測;流量分析

陜西省氣象廣域網(wǎng)由省-市和市-縣間的電信MSTP(多業(yè)務(wù)傳輸平臺)線路和廣電SDH (同步數(shù)字體系)線路組成,承擔省市縣三級氣象資料的匯集傳輸、氣象應(yīng)用系統(tǒng)的數(shù)據(jù)交換和氣象辦公系統(tǒng)的數(shù)據(jù)傳輸業(yè)務(wù),承載的業(yè)務(wù)包括氣象通信系統(tǒng)、氣象觀測系統(tǒng)、運行監(jiān)控業(yè)務(wù)系統(tǒng)、視頻會商系統(tǒng)、辦公系統(tǒng)等多個業(yè)務(wù)系統(tǒng)[1]。為更加詳盡的掌握全省廣域網(wǎng)絡(luò)的使用情況,將網(wǎng)絡(luò)監(jiān)控設(shè)備安裝在省級電信MSTP線路,全面監(jiān)控網(wǎng)絡(luò)的使用情況,特別是網(wǎng)絡(luò)流量。通過對各類氣象業(yè)務(wù)流量監(jiān)控結(jié)果進行分析研究,同時分析高流量用戶的信息,找到造成高網(wǎng)絡(luò)流量的原因并對其加以改進,改善和提高網(wǎng)絡(luò)性能。

1 網(wǎng)絡(luò)流量監(jiān)測的方法

網(wǎng)絡(luò)流量監(jiān)測的主要方法有基于簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的流量監(jiān)測和基于Netflow的流量監(jiān)測等。基于SNMP協(xié)議的流量監(jiān)測,是通過提取網(wǎng)絡(luò)設(shè)備的管理信息庫(MIBII)中收集的一些與具體設(shè)備及流量信息有關(guān)的參數(shù)而實現(xiàn)。其優(yōu)點是使用軟件方法實現(xiàn),不需要對網(wǎng)絡(luò)進行改造或增加部件、配置簡單、費用低。缺點是只包括字節(jié)數(shù)、報文數(shù)等最基本的內(nèi)容,不適于復(fù)雜的流量監(jiān)測[2]。

NetFlow是一種數(shù)據(jù)交換方式,其利用標準的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù),生成NetFlow緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一數(shù)據(jù)流中進行傳輸,不再匹配相關(guān)的訪問控制等策略,NetFlow緩存同時包含隨后數(shù)據(jù)流的統(tǒng)計信息。一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,所有數(shù)據(jù)包有共同的傳輸層源、目的端口號。

相對于基于SNMP的流量監(jiān)測,基于Net-Flow的流量監(jiān)測方法的優(yōu)點是將提供的流量信息擴大到七個屬性(源IP地址、目標IP地址、源通信端口號、目標通信端口號、第三層協(xié)議類型、服務(wù)類型(TOS)字節(jié)、網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口(iflndex)),可以區(qū)分各個邏輯通道上的流。缺點是由于功能的復(fù)雜性,支持Netflow需要在網(wǎng)絡(luò)設(shè)備上附加單獨的功能模塊[]。

2 流量分析方法

網(wǎng)絡(luò)流量分析指通過捕獲網(wǎng)絡(luò)流量數(shù)據(jù)對其進行深入量測和分析,來掌握網(wǎng)絡(luò)的流量特性(某種協(xié)議、應(yīng)用服務(wù)的使用情況或者某些用戶的行為特征等),為精細化流量控制提供數(shù)據(jù)依據(jù)。

2.1 基于數(shù)據(jù)包的分析

對數(shù)據(jù)包的分析一般可分為:基于地址、端口的分析,基于特征碼的分析及深度數(shù)據(jù)包檢測。基于地址、端口的分析是通過識別IP、URL地址或應(yīng)用服務(wù)的特定端口來檢測分類的方法。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,越來越多的應(yīng)用不再基于固定的地址、端口,使這種方法的使用范圍不斷縮小?；谔卣鞔a的分析是通過檢測開放式系統(tǒng)互聯(lián)(OSI)模型中四層以下的內(nèi)容中是否含有某些應(yīng)用服務(wù)的特殊標示或使用的特定協(xié)議,來對數(shù)據(jù)包進行分類的方法,是一種使用較多的分析方法。深度數(shù)據(jù)包檢測(DPI)是一種對數(shù)據(jù)包深入到應(yīng)用層協(xié)議檢測分析的方法。它通過逐包分析、模式匹配,并使用行為模式識別等技術(shù),可對流量中的具體應(yīng)用服務(wù)實現(xiàn)較為準確的識別[4]。

2.2 基于流量行為的分析

目前較為常見的是深度流行為檢測(DFI),這是通過對數(shù)據(jù)流的數(shù)據(jù)包長度、數(shù)據(jù)流持續(xù)時間、鏈接狀態(tài)、網(wǎng)絡(luò)層傳輸層信息等參數(shù)來對其進行統(tǒng)計分析的檢測方法,可以分析加密數(shù)據(jù)流,能對數(shù)據(jù)進行模糊分類[5]。

3 結(jié)果分析

2012年5—6月,采用基于Netflow的流量監(jiān)測方法對陜西省氣象廣域網(wǎng)絡(luò)進行監(jiān)測,并對監(jiān)測資料分別進行了基于數(shù)據(jù)包和基于流量行為的分析。

3.1 業(yè)務(wù)流量歸類分析

表1為業(yè)務(wù)流量的24h平均分布情況。從表1可以看出,在網(wǎng)絡(luò)業(yè)務(wù)流量中所占比例最大的為FTP-DATA服務(wù),占44.4%;其次為HTTP服務(wù)、RTST服務(wù)、MS-SQL服務(wù),分別占19.2%、9.4%和2.3%。FTP-DATA服務(wù)的業(yè)務(wù)類型為地市級、縣級氣象部門上行至省級氣象部門和省級下行至地市級、縣級的FTP傳輸業(yè)務(wù),這種上、下行的FTP業(yè)務(wù)為省內(nèi)業(yè)務(wù)網(wǎng)絡(luò)承載的最主要的業(yè)務(wù),所占比例也最大;HTTP服務(wù)為省級各部門對外提供服務(wù)的各類網(wǎng)站,是僅次于FTP業(yè)務(wù)的重要業(yè)務(wù),所占比例也僅次于FTPDATA服務(wù);RTST服務(wù)的業(yè)務(wù)類型為省內(nèi)實景監(jiān)測系統(tǒng)的流媒體服務(wù),MS-SQL服務(wù)的業(yè)務(wù)類型為省級對外提供數(shù)據(jù)共享的數(shù)據(jù)庫服務(wù),均為省內(nèi)的主要業(yè)務(wù),所占比例也較大。從業(yè)務(wù)流量分布可以看出,陜西省氣象業(yè)務(wù)網(wǎng)絡(luò)的流量分布基本符合陜西省氣象業(yè)務(wù)的特點。

表1 業(yè)務(wù)流量分布表

3.2 業(yè)務(wù)流量前十用戶IP分析

為更加詳細的分析業(yè)務(wù)網(wǎng)絡(luò)流量,對24h平均發(fā)送和接收的總流量位于前十位的用戶IP進行了分析研究。分析發(fā)現(xiàn),在業(yè)務(wù)總流量中排在前十位的用戶IP中,省級氣象部門的用戶IP僅占不到30%,其余均為地市級和臺站級氣象部門。地市級、臺站級氣象部門應(yīng)用較為單一的服務(wù)器的網(wǎng)絡(luò)流量與省級氣象部門一對多提供服務(wù)的省級服務(wù)器的網(wǎng)絡(luò)流量相比,兩者相差不多甚至前者遠高于后者。從網(wǎng)絡(luò)業(yè)務(wù)流量的優(yōu)化統(tǒng)籌方面來講,這種現(xiàn)象是極不合理的。

造成這種現(xiàn)象的原因有:①縣級、地市級氣象部門自行開發(fā)的應(yīng)用軟件或程序的設(shè)計不合理,程序頻繁上連省級服務(wù)器后未及時斷開網(wǎng)絡(luò)連接釋放網(wǎng)絡(luò)資源,從而造成高網(wǎng)絡(luò)會話。高網(wǎng)絡(luò)會話可能會帶來網(wǎng)絡(luò)震蕩和網(wǎng)絡(luò)流量過大,對全省業(yè)務(wù)網(wǎng)絡(luò)和服務(wù)器造成很大的壓力。當網(wǎng)絡(luò)流量大到一定程度時,就會造成整個業(yè)務(wù)網(wǎng)絡(luò)的堵塞。②縣級、地市級氣象部門的服務(wù)器由于防護不到位,感染計算機病毒、遭受網(wǎng)絡(luò)攻擊或被加掛木馬程序,短期內(nèi)產(chǎn)生大量的訪問需求,從而造成網(wǎng)絡(luò)流量過大。

針對上述原因可行的有效方法有:①對不合理的軟件或程序進行優(yōu)化,在交互結(jié)束之后及時自動斷開網(wǎng)絡(luò)連接,再一次進行交互時再建立新的網(wǎng)絡(luò)會話,合理利用網(wǎng)絡(luò)資源;②加強對縣級、地市級服務(wù)器的防護工作,在互聯(lián)網(wǎng)接口安裝防火在服務(wù)器上安裝殺毒軟件。

4 結(jié)論

陜西省氣象業(yè)務(wù)網(wǎng)絡(luò)的流量分布基本符合陜西省氣象業(yè)務(wù)的特點,同時也存在一定問題。主要表現(xiàn)在縣級、地市級氣象部門服務(wù)器的網(wǎng)絡(luò)流量遠大于一對多提供服務(wù)的省級服務(wù)器。而造成這一問題的主要原因一方面是由于廣域網(wǎng)絡(luò)存在病毒,另一方面是由于對網(wǎng)絡(luò)資源的使用不合理,沒有及時釋放網(wǎng)絡(luò)資源從而造成網(wǎng)絡(luò)過度浪費。只有將這些問題妥善解決,才能進一步提高網(wǎng)絡(luò)帶寬的有效利用率和網(wǎng)絡(luò)性能。

[1] 趙立成,沈文海,周林,等.氣象信息系統(tǒng)[M].北京:氣象出版社,2011:22-24.

[2] 謝喜秋,梁潔,彭巍,等.網(wǎng)絡(luò)流量采集工具的分析和比較[J].電信科學(xué),2002(4):63-66.

[3] 穆斌,武俊喜,樊莉.網(wǎng)絡(luò)流量監(jiān)測及異常流量分析技術(shù)[J].信息系統(tǒng)工程,2011(9):82-80.

[4] 楊祥.流量控制系統(tǒng)原理分析[J].電子商務(wù), 2010(12):50-51.

[5] 夏中林.校園網(wǎng)流量分析與控制策略應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用,2012(2):160-162.

TP393

:B

1006-4354(2013)02-0030-03

2012-08-23

李珍(1983—),女,甘肅玉門人,碩士,工程師,從事氣象信息業(yè)務(wù)。