淺談IP網(wǎng)絡(luò)流量分析

【摘要】隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)覆蓋的范圍越來越廣泛，人們的工作、生活也越來越離不開網(wǎng)絡(luò)，各種網(wǎng)絡(luò)業(yè)務(wù)的應(yīng)用也得到了普及，網(wǎng)絡(luò)流量分析技術(shù)也取得了長足的進(jìn)步，本文通過網(wǎng)絡(luò)流量分析方法的研究，對網(wǎng)絡(luò)流量分析的特點(diǎn)﹑屬性及工作原理來分析，并且闡述IP網(wǎng)絡(luò)流量分析的重要性以及應(yīng)用性。

【關(guān)鍵詞】IP網(wǎng)絡(luò)流量分析；互聯(lián)網(wǎng)；技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢分析等工作的工具，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)，企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問題來看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

1.網(wǎng)絡(luò)流量分析方法

網(wǎng)絡(luò)流量是單位時(shí)間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開，目前，主要的分析方法有流量的統(tǒng)計(jì)分析和流量的粒度分析等。

1.1 網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

（1）基于軟件的流量統(tǒng)計(jì)

這種統(tǒng)計(jì)分析一般通過修改安裝于主機(jī)上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊，使之具有捕獲數(shù)據(jù)包的功能，以實(shí)現(xiàn)流量信息的收集和分析?；谟布牧髁拷y(tǒng)計(jì)效率很高，專用性強(qiáng)，但是價(jià)格昂貴對人員要求高，而基于軟件的流量統(tǒng)計(jì)有價(jià)格便宜，實(shí)現(xiàn)靈活，擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)，但其性能要低于基于硬件的統(tǒng)計(jì)技術(shù)。因此，流量統(tǒng)計(jì)方法有待進(jìn)一步的提高，以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求。

（2）基于硬件的流量統(tǒng)計(jì)

此類分析通常采用硬件測量設(shè)備，是一種為特定目的設(shè)計(jì)的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備。

1.2 網(wǎng)絡(luò)流量的粒度分析

網(wǎng)絡(luò)流量行為特征的分析還可以在不同測量粒度或者不同的層面上展開。

比特級（Bit-level）的流量分析，這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路的傳輸速率，吞吐量的變化等等。

分組級（Packet-level）的流量分析，此類分析主要關(guān)注的是IP分組的到達(dá)過程、延遲、抖動(dòng)和丟包率等。

流級（Flow-level）的流量分析，F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開的，它主要關(guān)注流的到達(dá)過程、到達(dá)間隔及其局部的特征。

上面流量的粒度由小到大遞增，時(shí)間尺度也逐漸增大，不同時(shí)間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律。通常，網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能，因此，F(xiàn)low-level的流量分析成為發(fā)展趨勢。

2.網(wǎng)絡(luò)流量分析常用技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量分析技術(shù)也與時(shí)俱進(jìn)。既有傳統(tǒng)的數(shù)據(jù)庫的網(wǎng)絡(luò)管理技術(shù)，也有面向開放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前，在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有：

2.1 RMON技術(shù)

RMON（遠(yuǎn)程監(jiān)控），是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù)：一種是通過專用的RMON探針（Probe），流量探針安裝方便，但是流量探針價(jià)格昂貴，不適合大面積部署。另一種方法是將RMON代理直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、HUB等），但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

2.2 SNMP技術(shù)

SNMP是用標(biāo)準(zhǔn)化方法定義的，通常一個(gè)標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個(gè)組成部分：SNMP協(xié)議，這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息；管理信息結(jié)構(gòu)，它是用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集；管理信息庫，它是設(shè)備所維護(hù)的全部被管理對象的結(jié)構(gòu)集合?；赟NMP的流量分析就是通過SNMP協(xié)議訪問設(shè)備獲取MIB庫中的端口流量信息，典型工具有MRTG，MRTG是一個(gè)使用的免費(fèi)軟件，通過SNMP協(xié)議從設(shè)備得到流量信息，將流量負(fù)載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶。由于M RTG使用起來很方便，能夠直觀顯示端口流量負(fù)載，所以是各類網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡單的端口出、入流量統(tǒng)計(jì)信息，不能深入分析包的類型、流向等信息。

2.3 s Flow技術(shù)

s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第一層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量（如人于10Gbit/s）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。sFlow技術(shù)有很多優(yōu)點(diǎn)：成本低廉；在不斷發(fā)展升級當(dāng)中，能在沒有消耗額外資源的環(huán)境監(jiān)測萬兆網(wǎng)絡(luò)，不會帶來新的網(wǎng)絡(luò)沖突；有自己的一套準(zhǔn)確可靠的計(jì)量方式；數(shù)據(jù)信息量人。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使實(shí)現(xiàn)而向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。

3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析起著一個(gè)銜接的作用，主要利用網(wǎng)絡(luò)流量測量部分收集到的各種流量信息，通過運(yùn)用不同的方法對其進(jìn)行分析和建模，以發(fā)現(xiàn)流量的特性，對網(wǎng)絡(luò)性能做出客觀的評價(jià)，并以此作為對網(wǎng)絡(luò)進(jìn)行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個(gè)方面：

3.1 實(shí)施安全預(yù)警

網(wǎng)絡(luò)流量異常會嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷，使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%無法響應(yīng)進(jìn)一步的指令。通過對網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性，并向網(wǎng)絡(luò)管理者進(jìn)行告警，判斷是否出現(xiàn)了入侵，并按照事先擬定的規(guī)則集進(jìn)行處理，記錄異常情況發(fā)生時(shí)的詳細(xì)網(wǎng)絡(luò)狀況，使入侵得到及時(shí)發(fā)現(xiàn)和處理。

3.2 分析用戶行為

根據(jù)分析結(jié)果，進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)！將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

3.3 節(jié)省運(yùn)營費(fèi)用

通過對網(wǎng)絡(luò)出口流量和流向的分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級、通信時(shí)間和時(shí)長、通信數(shù)據(jù)量等參數(shù)，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對其他外部網(wǎng)絡(luò)的訪問情況，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)，從而有效地選擇與其他運(yùn)營商的互聯(lián)方式，節(jié)省費(fèi)用。

3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

通過對網(wǎng)絡(luò)中一些特定流量的長期監(jiān)控，獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對其進(jìn)行統(tǒng)計(jì)和計(jì)算。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)，定期形成性能報(bào)表，并維護(hù)網(wǎng)絡(luò)流量數(shù)據(jù)庫或日志存儲網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，對網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理。通過數(shù)據(jù)分析獲得性能的變化趨勢，分析制約網(wǎng)絡(luò)性能的瓶頸問題。

3.5 評估網(wǎng)絡(luò)價(jià)

通過對各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小﹑去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況。從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開展情況，并作出價(jià)值評估。

3.6 確定重點(diǎn)客戶

通過對重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析。掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

4.網(wǎng)絡(luò)流量分析的重要性

相對于網(wǎng)絡(luò)管理人員來說，理解用戶的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容，它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來網(wǎng)絡(luò)升級等提供重要依據(jù)，通過網(wǎng)絡(luò)流量分析，可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從很多方面進(jìn)行更好地維護(hù)﹑優(yōu)化網(wǎng)絡(luò)，并且提升網(wǎng)絡(luò)的性能；同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計(jì)分析等；也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時(shí)，網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化，因此，對網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息和深層次的管理功能，很好地發(fā)揮網(wǎng)絡(luò)管理作用。對于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測﹑鏈路狀態(tài)監(jiān)測﹑容量規(guī)劃等發(fā)揮著重要作用。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)，可以預(yù)見，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

參考文獻(xiàn)

[1]李萬鵬.網(wǎng)絡(luò)流量控制及流量分析[D].北京郵電大學(xué)，2011.

[2]童行行.基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析研究[D].清華大學(xué)，2005.

[3]林平.網(wǎng)絡(luò)流量的離線分析[D].北京郵電大學(xué)，2010.