网络流量采集分析解决方案技术白皮书
网络流量采集分析解决方案 (NSC&NDA)技术白皮书
华为技术有限公司 Huawei Technologies Co., Ltd.
网络流量采集分析方案(NSC&NDA)技术白皮书
目
1. 2.
录
前言..................................................................................................................................................1 NSC&NDA解决方案简介..............................................................................................................2 2.1. 2.2. NetStream概念 ........................................................................................................... 2 NSC&NDA解决方案组成 ............................................................................................ 4
3.
NSC&NDA解决方案关键特性......................................................................................................5 3.1. 3.2. 3.3. NDE关键特性.............................................................................................................. 5 NSC关键特性.............................................................................................................. 6 NDA关键特性.............................................................................................................. 7
4.
NSC&NDA解决方案典型应用......................................................................................................8 4.1. NSC&NDA解决方案部署策略 ..................................................................................... 8 NDE部署策略 .................................................................................................................9 NSC部署策略 ..................................................................................................................9 NDA部署策略 ...............................................................................................................10
4.1.1. 4.1.2. 4.1.3. 4.2. 4.3. 5.
NSC&NDA宽带公众网络运营商解决方案 ................................................................. 10 NSC&NDA承载网解决方案....................................................................................... 12
结束语............................................................................................................................................12
附录A 缩略语 .......................................................................................................................................12
Copyright ?2005 华为技术有限公司
版权所有, 侵权必究
i
网络流量采集分析方案(NSC&NDA)技术白皮书
图
表
图 1 网络中流的举例说明.....................................................................................................3 图 2 NSC&NDA解决方案组成图 ..........................................................................................5 图 3 宽带公众网络运营商全省网络结构示意图 ...............................................................10
表 1 NetStream不同版本特性说明.........................................................................................3 表 2 NDE部署策略说明..........................................................................................................9 表 3 NSC&NDA在运营宽带网络中的功能 ........................................................................10
Copyright ?2005 华为技术有限公司
版权所有, 侵权必究
ii
网络流量采集分析方案(NSC&NDA)技术白皮书
网络流量采集分析方案(NSC&NDA) 技术白皮书
摘 要:网络流量采集分析解决方案是一个有助于运营商进行客户行为分析、 价值网站/ICP 挖掘、网间结算、网络出口规划、网内规划、QoS策略规划、网络安全、网络流 量流向趋势分析等工作的工具,通过对流NetStream的采集分析辅助运营商得到 网络流量流向精细分析。本文档介绍了NSC&NDA解决方案的关键特性、典型应 用等。 关键词:NetStream、流、NDE、NSC、NDA。
1. 前言
宽带网络的低门槛,使得宽带网络在诞生之初就处于多运营商竞争的环境下,时至今 日,运营商仍仅采取单一的低价竞争策略是不可取的,必须根据市场的竞争情况,逐步优 化网络,并采用相应的业务发展策略——例如,注重发展大客户,主导宽带价值链,推动 内容建设,提供差异性特色服务等,才能在竞争中求生存。但运营商无论是规划新网络, 设计新业务,还是制订新策略,都需要建立在对现有网络使用状况、用户使用习惯、业务 盈利状况的精确分析基础之上的。换言之,只有在充分了解网络及业务现状后,宽带网络 运营商才可能由“粗放式经营”逐步转为“精细型经营” ,走上可持续发展的道路。因此, 运营商需要一套完整的解决方案来为市场策划、网络规划等提供有力的数据支撑。 另外,运营商为保证网络的盈利,还必须在网络安全方面下功夫,例如,能够及时捕获 发现网络的异常流量,并能够进一步跟踪分析。由于IP已取代了基于电路的技术而成为实际 的标准,当然我们在获益于IP本身固有的弹性、可扩展性及较低的部署成本的同时,运营商 的运维人员对网络传输情况也同时失去了相当程度的了解、控制。因此,要实现安全化网络 的目标,就必须借助于工具来实现。
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
1
网络流量采集分析方案(NSC&NDA)技术白皮书
2. NSC&NDA 解决方案简介
在理解NSC&NDA解决方案之前,首先需要了解NetStream概念,它是该解决方案的基 础。
2.1. NetStream 概念
NetStream技术是华为公司的专利技术,主要是基于“流”的概念,一个流是指来自相 同的子接口,有相同的源和目的IP地址,协议类型,相同的源和目的协议端口号,以及相同 的ToS的报文。具备NetStream特性的设备可以把各个流的统计信息不加额外处理,直接打 包输出,也可以把多个有相同特征的流信息聚合成一条记录,然后打包输出。 例如,下图中就包括四条流: 从 Client A 到 WWW Server 的 HTTP 请求流 从 WWW Server 到 Client A 的 HTTP 应答流 从 Client B 到 FTP Server 的 FTP 请求流 从 FTP Server 到 Client B 的 FTP 应答流
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
2
网络流量采集分析方案(NSC&NDA)技术白皮书
HTTP请求,Client A至WW Server HTTP请求,Client A至 HTTP应答,WWW Server至Client A HTTP应答,WWW Server至
Client A
WWW Server FTP Server
Client B
FTP请求,Client B至WW Server FTP请求,Client B至 FTP应答,WWW Server至Client B FTP应答,WWW Server至
图 1 网络中流的举例说明
从上例中可以很容易地理解,流是单向的,同时流也是基于协议的。形象地说,通过 NetStream流可以记录下来网络中Who what when where and how。 对于网络设备,它是通过转发IP数据包的七元组信息来识别一个流的: 源 IP 地址(Source IP address) 目的 IP 地址(Destination IP address) 源端口号(Source port number) 目的端口号(Destination port number) 协议类型(Protocol type) 服务类型(Type of service) 输入接口/输出接口(Input interface/Output interface)
表 1 NetStream不同版本特性说明
版本 NetStream V5
Copyright ?2005 华为技术有限公司
说明 标准且通用
版权所有,侵权必究 3
网络流量采集分析方案(NSC&NDA)技术白皮书
NetStream V8 NetStream V9
提供多种聚合策略 基于模板的
原有的NetStream V5用于把流的详细信息输出,NetStream V8用于将聚合后的流信息 输出;V5和V8共同的缺点是格式固定且不可扩展,随着用户新需求的提出,NDE需要扩展 输出信息,这时,还需要修改NSC&NDA的软件来适应NDE的变化。为了提高可扩展性,提 出了NetStream V9格式。 NetStream V9最显著特点是:它是基于模板(template)的,模板提供了灵活可扩展 的报文输出格式。这使得,在不改变基本记录格式的情况下,容易增加新的流统计服务。 灵活性, 允许单独输出需要的域统计信息, 而不需要把所有的 IP 流信息都输出给 NSC,减少了输出流的数据量和 NDE 和 NSC 的可能的内存需求以及带宽需求。 在不需要改变输出报文格式的情况下,在输出记录中可以增加新的域。与之相 反,之前版本,增加新的域意味着出现新版本的输出协议格式,为解析这种新 的格式,NSC 需要提供新的支持。 因为是以模板的形式输出信息,所以,即使 NSC 无法理解新增的域的真正语意, 它仍然可以解释流记录。
2.2. NSC&NDA 解决方案组成
NSC&NDA解决方案主要包括三个组成部分: NDE(NetStream Data Exporter):启动 NetStream 特性的网络设备(如,华 为公司的 NE 系列路由器),负责对设备各个端口进出的网络报文进行流分类统 计,可把各个流的统计信息不加额外处理,直接打包输出,也可把多个有相同 特征的流信息信息聚合成一条记录,然后打包输出 NSC(NetStream Collector):运行在工作站或 PC 机上的软件系统,负责收集 和存储 NDE 发来的数据信息 NDA(NetStream Data Analyzer):运行在工作站或 PC 机上的软件系统,负责 对 NSC 存储的数据进行更高层面的统计分析
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
4
网络流量采集分析方案(NSC&NDA)技术白皮书
Network Manager
Web Browser
Web Browser
Web Browser
NDA
DB DB
NetStream Data Analyzer
NSC
NSC
NetStream Collector
NDE NDE
NDE NDE
NDE NDE NDE NDE
NDE NDE
NetStream Data Exporter NDE NDE
图 2 NSC&NDA解决方案组成图
上图为NSC&NDA解决方案的组成图,网络管理人员根据需求,在适当的网络设备/接 口上启动NetStream特性(成为NDE)并配置适当的过滤规则及聚合方式,NDE将收集到的 数据发送给NSC(可视数据规模大小,设置多个NSC) ,在用户进行查询时,NDA取出NSC 中的数据,经NDA分析加工最后将更有意义的数据、图形报表呈现给网络管理人员。
3. NSC&NDA 解决方案关键特性
3.1. NDE 关键特性
NDE需具备的关键特性如下: 支持按 7 元组(源 IP、目的 IP、源端口号、目的端口号、IP 协议类型、IPTOS、 入接口信息)建立 NetStream 流 支持对流进行信息记录和统计,统计的信息有
Copyright ?2005 华为技术有限公司 版权所有,侵权必究 5
网络流量采集分析方案(NSC&NDA)技术白皮书
流量信息:包括包数、字节数 时间段信息:流起始时间、流结束时间 端口利用率信息:输入接口、输出接口 QoS 信息:ToS、协议类型、TCP 的连接标志 起至信息:源 IP、目的 IP 应用信息:源端口、目的端口 路由和对等体信息:下一跳地址、源 AS 号、目的 AS 号、源地址掩码、目 的地址掩码 支持对流统计信息进行格式化的报文输出,目前先支持 V5,V8,V9 支持 AS 聚合,KEY 值为:源 AS 号,目的 AS 号,输入接口,输出接口 支持 Protocol-Port 聚合,KEY 值为:协议号,输入接口,输出接口 支持 Source-Prefix 聚合,KEY 值为:源 AS 号,源掩码长度,源前缀,输入接 口 支持 Destiation-Prefix 聚合,KEY 值为:目的 AS 号,目的掩码长度,目的前 缀,输出接口 支持 Prefix 聚合,KEY 值为:源 AS 号,源掩码长度,源前缀,输入接口,目的 AS 号,目的掩码长度,目的前缀,输出接口 支持按 TOS 域进行聚合,KEY 值增加 TOS 字段 支持连接正常老化和强制老化 支持 TCP 链接状态监控 支持分片报文建流(第一片) 支持 NAT 的 NetStream 功能 支持 MPLS 出口方向 NetStream 支持按比例统计报文 支持多播数据流 支持 ATM、POS、ETH、VLAN 子接口统计和 FR 接口统计 支持服务器备份
3.2. NSC 关键特性
NSC为一个或多个NDE的数据收集提供了快速、经济的解决方案,实现的功能包括以 下几项:
Copyright ?2005 华为技术有限公司 版权所有,侵权必究 6
网络流量采集分析方案(NSC&NDA)技术白皮书
数据采集: 支持对多个 NDE 流统计数据的收集, 支持 NetStream V5/V8/V9 版本 数据转发:二次汇聚、收集 采样还原:基于接口流向配置和采样率配置 设备过滤:NDA 配置授权 即配即用:配置下发无需重启后台,迅速生效 数据过滤:基于规则,高度的灵活性 数据预处理:基于规则,满足特殊流量分析 阈值告警:基于规则、总量和速率等 数据入库:不同粒度高速入库 数据转储:网络故障时自动转储 数据重入:简单配置即可恢复转储数据
3.3. NDA 关键特性
NDA对NSC生成的所有数据进行分析,对数据进行二次聚合、统计分析,分析的结果 以图表方式展示给用户,比较典型的统计方式如下: TopN 抽取 流量趋势分析 明细数据分析 NDA可以通过自定义聚合方式来进行分析,同时提供多种已定义的聚合方式可供数据 分析,如下: 基于源地址、目的地址、源 AS、目的 AS 的流量(包、Byte、流)统计 基于源 AS、目的 AS 的流量(包、Byte、流)统计 基于源地址、目的地址、源 AS、目的 AS、流入、流出、源端口、目的端口、协 议的流量(包、Byte、流)统计 基于源 AS、目的 AS、源端口、目的端口、协议的流量(包、Byte、流)统计 基于源 AS、目的 AS、源端口、目的端口、协议、TOS 的流量(包、Byte、流) 统计 基于源地址、 目的地址、 源端口、 目的端口、 流入、 流出、 协议、 TOS 的流量 (包、 Byte、流)统计 基于目的地址的流量(包、Byte、流)统计 基于目的地址、源端口、目的端口、协议的流量(包、Byte、流)统计
Copyright ?2005 华为技术有限公司 版权所有,侵权必究 7
网络流量采集分析方案(NSC&NDA)技术白皮书
基于源地址、目的地址、流入、流出、下一跳的流量(包、Byte、流)统计 基于目的端口的流量(包、Byte、流)统计 基于源地址、目的地址的流量(包、Byte、流)统计 基于源地址、目的地址、源端口、目的端口、协议的流量(包、Byte、流)统计 基于源地址、目的地址、流入、流出、协议的流量(包、Byte、流)统计 基于源地址、源子网掩码、流入、目的地址、目的子网掩码、流出的流量(包、 Byte、流)统计 基于协议的流量(包、Byte、流)统计 基于源 AS、目的 AS、流入、流出的流量(包、Byte、流)统计 基于目的子网、目的子网掩码、流入、目的 AS 的流量(包、Byte、流)统计 基于源子网、目的子网、源地址掩码、目的地址掩码、流入、流出、源 AS、目 的 AS 的流量(包、Byte、流)统计 基于源端口、目的端口、协议的流量(包、Byte、流)统计 基于源子网、源子网掩码、流入、目的 AS 的流量(包、Byte、流)统计 基于源地址的流量(包、Byte、流)统计 基于源地址、源端口、目的端口、协议的流量(包、Byte、流)统计 基于源端口的流量(包、Byte、流)统计
4. NSC&NDA 解决方案典型应用
4.1. NSC&NDA 解决方案部署策略
在部署NSC&NDA解决方案时,必须仔细规划部署,否则由于策划不周,很可能造成很 多不必要的网络流量、网络设备处理性能下降的后果,下面是一些部署策划中的关键点: 按需启动, 即在必要的时候, 在必要的设备上的必要接口上启动 NetStream 特性, 例如,若要满足运营商间计费结算的数据需求,则只需在出口路由器的入出接口 启动; 再例如, 若经过一段时间的监测已经掌握了正常的网络应用协议分布情况, 就可停掉 NetStream 特性 避免大面积路由器全部启动 避免采集重复的流信息
Copyright ?2005 华为技术有限公司 版权所有,侵权必究 8
网络流量采集分析方案(NSC&NDA)技术白皮书
逐步实施,例如,先小范围的启动,查看效果,若结果理想,再在大范围内启动
4.1.1. NDE 部署策略
通常,在网络的接入层、汇聚层、核心层,都可以部署NetStream,但建议根据流量流 向需求,采取相应的部署策略:
表 2 NDE部署策略说明
部署位置 接入层 汇聚层 核心层
应用 应用监测、攻击监测 计费、AS Peer监控 流量分析、流量工程
例如,在核心层的出口路由器的AS接入接口,启动NetStream特性,同时启动出接口、 入接口统计,根据需要配置流属性源/目标AS号为Original AS 或Peer AS。根据流量统计信 息为运营商间结算作为数据依据。 再例如,运营商在居民小区网络出口路由器,启动NetStream特性,并进行相关配置进 行用户应用协议分析、流量流向分析: 启动接口入流量统计;进行以目标地址为主键值的统计。确定内容服务提供者。 启动接口入流量统计;进行以目标端口(1024 以下)为主键值的统计。确定服 务知名端口。 根据服务知名端口,确定网络应用,并在 NSC 上进行知名应用协议的配置。 启动接口入/出流量统计;进行以协议为主键的统计。确定各种应用在网络上的使 用情况,及网络上下行不同流向流量的比较情况。
4.1.2. NSC 部署策略
NSC部署建议采取就近原则,在NDE附近部署,以减少网络带宽的占用;并根据NDE 上报的数据流量来配置相应的硬件设备,及配置NSC的套数。
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
9
网络流量采集分析方案(NSC&NDA)技术白皮书
4.1.3. NDA 部署策略
NDA配置一套即可,便于集中管理,若数据规模大,可考虑数据库服务器单独硬件配 置。
4.2. NSC&NDA 宽带公众网络运营商解决方案
下图为一个宽带公众网络运营商的全省网络结构示意图:
国干路由器
启动 NetStream 启动 NetStream
省干
按需启动 NetStream
地市1
地市2
地市3
地市4
地市5
地市6
图 3 宽带公众网络运营商全省网络结构示意图
若我们在两台省干路由器上或需监测的地市路由器上启动NetStream, 则可以为运营商 提供市场策划、计费结算、网络规划数据参考,并辅助完成网络运维中的一个工作。
表 3 NSC&NDA在运营宽带网络中的功能
领域 市场策划
适用于 客户行为分析
说明 通过分析大企业、校园网、网吧等大客户以及宽带上
版权所有,侵权必究
Copyright ?2005 华为技术有限公司
10
网络流量采集分析方案(NSC&NDA)技术白皮书
领域
适用于
说明 网普通客户行为,如,租用带宽实际占用率、最喜爱 应用TopN、流量的时间分布等,为标实出价值客户, 开发出新产品,制定出新资费提供数据参考 通过分析运营商网内/网外最受大众欢迎的VOD、 游戏
价值网站/ICP挖掘
等网站/地址TopN, 了解自己以及竞争对手的价值网站 /ICP,便于挖掘新的利润增长点
计费结算
网间结算
通过监控出口路由器的入出流量,为网间计费计算提 供数据参考 通过分析网间流量分布及应用协议分布情况,如,本 运营商与其他运营商之间数据量最大的TopN、本运营
网络出口规划
商与其他运营商总流量中应用协议所占比例TopN等, 为新网建设时出口设计提供数据来源,为现网络出口 扩容改造时提供依据 通过分析网内流量分布及应用协议分布情况,如,所
网络规划 网内规划
有下属地市之间互访数据量矩阵,下属地市占用整网 出口带宽TopN, 各地市某种应用的流量TopN, 掌握各 地市的流量分布和走向情况,为新网建设时网络设计 提供数据来源,为现网络扩容改造时提供依据 通过分析网络中不同优先级的带宽占用率、流量时间 QoS策略规划 分布、是否满足该优先级业务服务质量,为今后调整 QoS策略提供参考 因为掌握了正常情况下的网络流量流向的分布情况, 网络安全 当检测到突发异常流量时,可对该流量进行端口、协 议、IP等进行进一步分析
网络运维 网络流量流向趋 势分析
可以细粒度的了解网络流量内容,以及流向分布,并 可通过历史数据进行统计分析,得出趋势数据图表为 运营商管理人员作为参考,建立日常的网络流量流向 模型
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
11
网络流量采集分析方案(NSC&NDA)技术白皮书
4.3. NSC&NDA 承载网解决方案
对于宽带网络非主流业务的运营商,可能会采用IP网络作为业务承载网,例如,作为移 动软交换网络的承载网,对于业务承载网而言,为支撑上层业务,下层网络的安全可靠性尤 为重要。NSC&NDA可以帮助运营商监测正常网络的流量流向分布,并辅助业务拓展。
5. 结束语
华为公司以用户需求为导向, 积极倾听客户需求, 不断推进网络流量流向分析技术的发 展,推出贴近用户需求的分析统计工具和解决方案。希望的iManager N2000 DMS NSC&NDA解决方案,能够为广大运营商的市场策划、计费结算、网络规划、网络运维提供 数据支撑。
附录A 缩略语
NDE NSC NDA NetStream Data Exporter NetStream Collector NetStream Data Analyzer
Copyright ?2005 华为技术有限公司
版权所有,侵权必究
12
网络流量在线分析系统的设计与实现
综合实训报告 题目:网络流量在线分析系统的设计与实现
信息学院计算机科学系 目录 一、实训目的 (3) 二、实训内容 (3) 三、主要设备及环境 (3) 四、设计与步骤 (4) 五、过程与调试 (22) 六、整理与小结 (23) 七、参考文献 (24) 八、附录 (25)
一、实训目的 设计并实现一个网络流量的分析系统。该系统具有以下功能:(1)实时抓取网络数据。(2)网络协议分析与显示。(3)将网络数据包聚合成数据流,以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。(4)计算并显示固定时间间隔内网络连接(双向流)的统计量(如上行与下行的数据包数目,上行与下行的数据量大小等)。在这些统计数据的基础上分析不同网络应用的流量特征。 二、实训内容 (1)能够实时抓取网络中的数据包。并实时显示在程序界面上。用户可自定义过滤条件以抓取所需要的数据包。 (2)分析各个网络协议格式,能够显示各协议字段的实际意义。例如,能够通过该程序反映TCP三次握手的实现过程。 (3)采用Hash链表的形式将网络数据以连接(双向流)的形式存储。 (4)计算并显示固定时间间隔内网络连接(双向流)的统计量(如上行与下行的数据包数目,上行与下行的数据量大小等)。例如,抓取一段时间(如30分钟)的网络流量,将该段时间以固定时长(如1分钟)为单位分成若干个时间片,计算网络连接在每一个时间片内的相关统计量。并在上述统计数据的基础上分析不同应用如WEB、DNS、在线视频等服务的流量特征。注意,可根据实际的流量分析需要自己定义相关的统计量。 三、主要设备及环境 硬件设备: (1)台式计算机或笔记本计算机(含网络适配器) 软件设备: (2)Windows操作系统 (3)网络数据包捕获函数包,Windows平台为winpcap
网络流量分析解决方案
1 网络流量分析解决方案 方案简介 NTA网络流量分析系统为客户提供了一种可靠的、便利的网络流量分析解决 方案。客户可以使用支持NetStream技术的路由器和交换机提供网络流量信息, 也可以使用DIG探针采集器对网络流量信息进行采集。并且可根据需求,灵活启动不同层面(接入层、汇聚层、核心层)的网络设备进行流量信息采集,不需要改动现有的网络结构。 NTA网络流量分析系统可以为企业网、校园网、园区网等各种网络提供网络流量信息统计和分析功能,能够让客户及时了解各种网络应用占用的网络带宽,各种业务消耗的网络资源和网络应用中TopN流量的来源,可以帮助网络管理员及时发现网络瓶颈,防范网络病毒的攻击,并提供丰富的网络流量分析报表。帮助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。2方案特点 ● 多角度的网络流量分析 NTA网络流量分析系统可以统计设备接口、接口组、IP地址组、多链路接口的(准)实时流量信息,包括流入、流出速率以及当前速率相对于链路最大速率 的比例。 NTA网络流量分析系统可以从多个角度对网络流量进行分析,并生成报表,包 括基于接口的总体流量趋势分析报表、应用流量分析报表、节点(包括源、目 的IP)流量报表、会话流量报表等几大类报表。 ● 总体流量趋势分析 总体流量趋势报表可反映被监控对象(如一个接口、接口组、IP地 址组)的入、出流量随时间变化的趋势。 图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、 采样点速率最小值和平均速率的信息。对于设备接口,还可提供带宽 资源利用率的统计。 支持按主机统计流量Top5,显示给定时间段内的流量使用在前5位 的主机流量统计情况,以及每个主机使用的前5位的应用流量统计。 同时还支持流量明细报表,可提供各采样时间点上的流量和平均速率
流量分析系统方案
网络流量监控分析系统方案 网络流量监控分析系统方案 广州源典科技有限公司 Guangzhou U&D. T echnology Co.,LTD. 地址:广州市天河区天河东路155号骏源大厦7楼702室 2011年07月
网络流量监控分析系统方案 目录 1. 概述 (1) 2. 网络流量监控分析系统需求分析 (2) 2.1. 流量监控分析系统需求 (2) 2.2. 需求分析 (2) 3. NetScout nGenius网络流量监控分析解决方案 (4) 3.1. NetScout公司简介 (4) 3.2. nGenius企业级网络和应用性能管理系统 (5) 4. 系统方案 (7) 4.1. 系统部署示意图 (7) 4.2. 系统部署说明 (7) 4.3. 系统组成 (8) 4.4. 产品的主要功能 (13)
网络流量监控分析系统方案 1.概述 为了最大程度地提高网络的运行质量,实现管理的规范化、科学化,对网络的数据流量进行综合分析,对潜在隐患争取提前预警,对各种发生的故障进行及时定位、分析、处理,保障全网安全、高效、稳定的运行,合理有效地利用网络资源等就变得日趋重要。一个运行良好的网络系统,所产生的经济效益和节约的运行费用是非常可观的,而一个运行不好的网络系统,可能带来的损失是难以估量的。因此,网络监控和安全管理已成为一个倍受瞩目的焦点领域,越来越多的人认识到它是整个网络环境中必不可少而且非常重要的一个组成部分。 网络监控和维护就是在已运行的网络系统上叠加部分计算机网络资源,在不影响系统正常运行和不改变系统内核的情况下,完成对系统运行情况数据的采集、系统故障预警和告警、部分调整工作的实施并提供分析数据和部分参考解决方案等项功能。NetScout网络监控系统正是这样一种可以为流量监控与分析方面的需求提供最好的解决方案,是目前市面上唯一具备完整网络性能管理方案的厂家,产品包含硬件探针及软件系统。NetScout网络性能管理方案可为用户提供主动式的网络管理,通过7×24小时的网络监控,帮助用户了解网络带宽的使用情况,业务应用的行为规律,业务应用的响应时间,及时发现网络故障隐患,保证业务应用的正常。
基于时间序列分析的网络流量预测模型研究
万方数据
万方数据
万方数据
基于时间序列分析的网络流量预测模型研究 作者:周德懋, 李舟军, 康荣雷, ZHOU Demao, LI Zhoujun, KANG Ronglei 作者单位:北京航空航天大学,计算机学院,北京,100191 刊名: 现代电子技术 英文刊名:MODERN ELECTRONICS TECHNIQUE 年,卷(期):2009,32(8) 被引用次数:2次 参考文献(17条) 1.Garrett M W;Wilhinger W Analysis,Modeling and Generation of Self-similar VBR Video Traffic 1994 2.Chen Borsen;Yang Yusuarg;Botekuen Lee Fuzzy Adaptive Predictive Flow Control of Network Traffic[外文期刊] 2003(04) 3.刘嘉琨;金志刚;薛飞基于FARIMA过程的网络业务预报与应用[期刊论文]-电子与信息学报 2001(04) 4.Chen Liang;Wang Xiaofan;Han Zhengzhi Controlling Bifurcation and Chaos in Internet Congestion Control Model 2004(05) 5.Joachim H;Werner L Lyapunov Exponents from a Time Series of Acausic Chaos 1989(04) 6.文兰动力系统简介[期刊论文]-数学进展 2002(04) 7.文成林;周东华多尺度估计理论及其应用 2002 8.杨福生小波变换的工程分析与应用 1999 9.雷霆;余镇危一种网络流量预测的小波神经网络模型[期刊论文]-计算机应用 2006(03) 10.陈振伟;郭拯危小波神经网络预测模型的仿真实现[期刊论文]-计算机仿真 2008(06) 11.文成林;周东华多尺度估计理论及其应用 2002 12.张传斌;王学孝;邓正隆非线性时间序列的RBF神经网络预测方法及其应用[期刊论文]-热能动力工程 2001(03) 13.张玉瑞;陈剑波基于RBF神经网络的时间序列预测[期刊论文]-计算机工程与应用 2005(11) 14.林天峰基于最大熵原理的网络流量预测综合模型[期刊论文]-微电子学与计算机 2006(08) 15.郭琳;张大方;黎文伟基于稳态模型的流异常检测算法[期刊论文]-计算机工程 2006(19) 16.余健;郭平基于改进小波神经网络的网络流量预测研究[期刊论文]-计算机应用 2007(12) 17.郑成兴网络流量预测方法和实际预测分析[期刊论文]-计算机工程与应用 2006(23) 本文读者也读过(10条) 1.潘乔.罗辛.王高丽.裴昌幸.PAN Qiao.LUO Xin.WANG Gao-li.PEI Chang-xing基于FARIMA模型的流量抽样测量方法[期刊论文]-计算机工程2010,36(15) 2.李林峰.裘正定时间序列分析在网络流量预测中的应用研究[会议论文]- 3.赵海阔.朱正平.ZHAO Hai-kuo.ZHU Zheng-ping基于非线性算法的网络业务流量预测[期刊论文]-自动化与仪器仪表2010(4) 4.何建基于时间序列的网络流量分析与预测[期刊论文]-中国科技信息2005,2(22) 5.段智彬.孙恩昌.张延华.董燕.DUAN Zhi-bin.SUN En-chang.ZHANG Yan-hua.DONG Yan基于ARMA模型的网络流量预测[期刊论文]-中国电子科学研究院学报2009,4(4) 6.闵洁.李潇.MIN Jie.LI Xiao基于最小二乘支持向量机的网络流量预测[期刊论文]-九江学院学报(自然科学版)2010,25(1) 7.韩志杰.王汝传.段晓阳.HAN Zhi-jie.WANG Ru-chuan.DUAN Xiao-yang一种基于小波卡尔曼滤波的MPLS流量预测算法[期刊论文]-计算机技术与发展2010,20(11)
基于物联网智能交通流量分析系统
物联网基础大作业 题目:基于物联网智能交通车流量分析系统的设计 学院(系部): 专业:班级: 学生姓名:学号: 成绩:□优秀□良好□中等□及格□不及格(注:方框打√) 2016年6月22日 一、作品设计目标及意义 (1)设计目标:通过物联网技术的运用,即城市交通与RFID(射频识别技术)的实际操作相结合,利用电磁反向散射耦合的特性,实现远距离的识别,从而达到
数据的传输和交换,逐步形成和完善智能车交通流量分析系统。改变传统交通管理模式,提高智能交通管理的效率,更好的改变现阶段大中城市的道路交通拥堵问题。 (2)意义:RFID技术的投入使用,与基础设施结合,一定程度上改善了大中城市的道路交通拥堵的现状,缓解了城市交通管理的压力,减少公路交通事故的发生几率,降低人民的生命和财产的损失。对与大部分司机而言,在路上等着红绿灯,无疑是一种漫长的乏味的事情。时间能创造一切可能,包括生命和金钱。RFID电子器件的安装使用,所能达到的效果:让返回医院的救护车比原先到达医院所用时间要早5分钟,或许能多挽救一条生命;让每天上下班的上班族能够比过去到达上班地点要提前20分钟,或许他能减少上班迟到的次数;让运输货物的司机比原来货送到客户手中要快上5个小时的时间,让顾客充分感受物流的快捷、方便,推动经济的发展。 二、相关现状分析 中国现阶段作为一个发展中国家,随着城镇化的推进,人民生活水平的提高,汽车作为一种交通工具,已经成为大多数人的不二之选,导致汽车的需求越来越大,这也势必导致道路交通拥堵等一系列问题。因此,解决城市交通问题成为当务之急。 高德地图在1月19号发布的《2015年度中国主要城市交通分析报告》显示,在高德地图交通大数据检测的45个主要城市中,只有南通市是唯一一个拥堵小幅度缓解的城市。其余大部分城市和地区拥堵都在进一步恶化。以北京为例,北京高峰拥堵延时指数为2.06,平均车速为22.61公里/小时,也就是说北京驾车出行的上班族要花费畅通下2倍的时间,才能到达目的地。种种迹象表明大中城市的交通拥堵现状依旧不容乐观。 目前,世界上智能交通系统应用最为广泛的地区要属日本,其技术相当完善和成熟,欧洲、美国等地区也普遍应用。就我国目前而言,北京、上海等大城市也已
网络流量、应用性能分析、故障定位分析方案
. XX省农信社 基于产品的网络流量、应用性能分析、故障定位分析项目 测试报告 2019年6月11日
目录
1概述 随着大量新兴技术和业务趋势的推动,用户的网络架构、业务系统和数据流量日趋庞大、复杂。为了保证网络和业务系统运行的稳定和畅通,我们需要对网络及业务系统进行全方位监测,以确保网络及应用系统可以正常、持续地运行。 应用性能管理是一个新兴的市场,其解决方案通过监控应用系统的性能、用户感知,在应用出现异常故障时,帮助用户快速的定位和解决故障,其标准的需求如下: ?通过网络流量分析工具,掌握各级网络运行的趋势和规律,主动、科学地进行网络规划和策略调整,将网络管理的模式从被动变为主动: ?通过网络流量分析工具,实时监控网络中出现的非法流量,及时采取管控措施,保障应用系统的安全运行; ?应用系统出现问题(如运行缓慢或意外中断时,)通过网络流量分析工具可回溯历史网络流量,快速找出问题的根本原因并及时解决。 ?网络拥堵时,通过网络流量分析工具快速判断是正常应用系统占用了带宽还是异常流量占用了带宽,立即执行相应、有效的控制措施。 ?从最终用户感知的角度,提供多维度的应用性能监控,实时掌握应用系统的性能状况; ?7×24小时实时监控各区域用户的真实使用体验,及时发现用户体验下降,并及时作出相应的处理,提升用户满意度。 ?当故障发生时,快速定位故障域,缩短故障分析时间,降低故障对最终用户造成的影响,提高系统的运维质量。 年APM市场全球分析报告与魔力象限分析,Riverbed(OPNET)公司已经成为全球这个领域的领导者。 OPNET公司的客户群体非常广泛,国的用户包括中国移动、中国网通、中国电信、信息产业部电信规划研究院,中国农业银行总行,民生银行,新华人寿,中国海关总署,银河证券,国信证券,电信设备供应商中包括华为、大唐电信、摩托罗拉、中兴电子及西门子等。
基于物联网智能交通流量分析系统
物联网基础大作业 基于物联网智能交通车流量分析系统的设计:题目 :)(系部学院 班级:专业: 学生姓名:学号: √)□不及格(□中等□及格优秀成绩□:□良好注:方框打
日年月22 2016 6 一、作品设计目标及意义 )1()设计目标:通过物联网技术的运用,即城市交通与RFID(射频识别技术 的实际操作相结合,利用电磁反向散射耦合的特性,实现远距离的识别,从而达 到数据的传输和交换,逐步形成和完善智能车交通流量分析系统。改变传统交通 管理模式,提高智能交通管理的效率,更好的改变现阶段大中城市的道路交通拥 堵问题。
(2)意义:RFID技术的投入使用,与基础设施结合,一定程度上改善了大中 城市的道路交通拥堵的现状,缓解了城市交通管理的压力,减少公路交通事故的 发生几率,降低人民的生命和财产的损失。对与大部分司机而言,在路上等着红 绿灯,无疑是一种漫长的乏味的事情。时间能创造一切可能,包括生命和金钱。 RFID电子器件的安装使用,所能达到的效果:让返回医院的救护车比原先到达医 院所用时间要早5分钟,或许能多挽救一条生命;让每天上下班的上班族能够比 过去到达上班地点要提前20分钟,或许他能减少上班迟到的次数;让运输货物的 司机比原来货送到客户手中要快上5个小时的时间,让顾客充分感
受物流的快捷、 方便,推动经济的发展。 二、相关现状分析 中国现阶段作为一个发展中国家,随着城镇化的推进,人民生活水平的提高, 汽车作为一种交通工具,已经成为大多数人的不二之选,导致汽车的需求越来越 大,这也势必导致道路交通拥堵等一系列问题。因此,解决城市交通问题成为当 务之急。 高德地图在1月19号发布的《2015年度中国主要城市交通分析报告》显示, 在高德地图交通大数据检测的45个主要城市中,只有南通市是唯一一个拥堵小幅
H3C网络流量分析解决方案
方案背景 随着网络的应用越来越广泛,规模也随之日渐增长,网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务,及时的掌握网络流量特征,以便使网络带宽配置最优化,及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题: 1、网络的可视性:网络利用率如何?什么样的程序在网络中运行?主要用户有哪些?网络中是否产生异常流量?有没有长期的趋势数据用作网络带宽规划? 2、应用的可视性:当前网内有哪些应用?分别产生了多少流量?网络中应用使用的模式是什么?企业内部重要应用执行状况如何? 3、用户使用网络模式的可视性:哪些用户产生的流量最多?哪些服务器接收的流量最多?哪些会话产生了流量?分别使用了哪些应用? 从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。 为了应对企业网络管理中的这些问题,于是,H3C公司的NTA(Network Traffic Analysis)解决方案应运而生! 所谓的工欲善其事,必先利其器,NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况,及时发现并解决网络中的性能瓶颈问题、网络异常现象,也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考,并方便网络管理员及时解决网络异常问题。 NetStream技术介绍 在理解Network Traffic Analysis解决方案之前,首先需要了解NetStream的一些基本概念,它们是该解决方案的基础。
“流”概念 NetStream的流定义为:由源到目的方向的一系列单向的数据包。 NetStream流是通过7元组来标识的,即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流,设备根据七元组信息对过往的数据包进行NetStream统计。 下图中就包括四条流: 从Client A到WWW Server方向通信时产生的流; 从WWW Server到Client A方向通信时产生的流; 从Client B到FTP Server方向通信时产生的流; 从FTP Server到Client B方向通信时产生的流; 图1 网络中流的举例说明 从上例中可以很容易地理解,流是单向的,同时流也是基于协议的。形象地说,通过NetStream流可以记录下来网络中who、what、when、where、how。
东华流量分析系统技术白皮书v3.0
东华流量分析系统技术白皮书 东华网智 https://www.wendangku.net/doc/4b2700463.html,
目录 1前言 (3) 2流量分析的目的 (4) 2.1业务分析决策支持5 2.2网络运维支持5 3流量分析的原理 (6) 3.1数据采集的机制6 3.2流量数据所含的信息7 3.3流量统计分析的过程8 3.4异常流量检测的原理8 4流量分析的技术实现 (9) 5东华流量分析系统 (11) 5.1系统介绍11 5.2功能特点12 5.3流量实时采集监控14 5.4流量分析15 5.5流量拓扑视图16 5.6异常流量告警16 5.7流量报表展现17 5.8系统优势17 5.9系统效益18 6结论 (19)
1前言 随着信息技术和网络的深入发展,网络已经成为人们日常工作生活中不可或缺的信息承载工具。网络规模的日渐增长,网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务,及时的掌握网络流量特征,以便使网络带宽配置最优化,及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题: ? 网络的可视性:网络利用率如何?什么样的程序在网络中运行?主要用户有哪 些?网络中是否产生异常流量?有没有长期的趋势数据用作网络带宽规划? ?应用的可视性:当前网内有哪些应用?分别产生了多少流量?网络中应用使用的 模式是什么?企业内部重要应用执行状况如何? ?用户使用网络模式的可视性:哪些用户产生的流量最多?哪些服务器接收的流量 最多?哪些会话产生了流量?分别使用了哪些应用? 从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。 另一方面,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,网络中经常出现的DOS/DDOS攻击,Red Code、SQL Slammer、冲击波、振荡波等网络蠕虫病毒泛滥对全世界网络造成的影响至今仍记忆犹新。各种网络扫描工具产生的大量异常网络流量大量占用网络设备系统资源(CPU、内存等)和网络带宽资源,使网络产生拥塞,造成网络丢包、时延增大,最终造成整个网络瘫痪。 为保障网络系统的正常运行,对于网络流量的统计、网络的安全控制就显得尤为重要。因此我们建议建设一套完整的流量管理平台,实现对流量系统的综合监控管理,并建设一个流量管理平台,规范信息中心的运行维护流程。 东华流量分析系统是东华软件股份公司结合网管领域的多年丰富经验推出的一套基于xFlow(包括NetFlow、NetStream、sFlow、cFlow、IPFIX等)数据流的网络数据实时监控与
流量监测分析系统技术白皮书
目录 一、前言 (2) 二、以业务应用为中心的监测分析技术 (3) 2.1 需求背景 (3) 2.2 异常流量分析系统简介 (4) 2.3 系统架构与流程 (5) 2.4 系统特点与优势 (5) 三、功能 (7) 3.1核心功能 (7) 3.1.1流量统计分析 (8) 3.1.2异常流量分析 (8) 3.1.3报警与追踪取证 (9) 3.1.4统计报表 (9) 3.2特色技术 (10) 3.2.1快速流量数据处理技术 (10) 3.2.3先进的流量分析技术 (11) 3.2.3灵活高效的异常分析 (12) 3.2.4及时有效的处理机制 (12) 3.2.5智能的跟踪分析技术 (13) 3.3产品部署 (13) 3.4产品技术参数 (15) 四、硬件配置参数 (16) 五、总结 (17)
一、前言 业务安全是政府和企业安全需求的核心。在信息化时代,越来越多的政府和企业业务由网络化应用系统承载。我们就不难理解,保障应用系统的安全稳定和高效运行是IT管理部门的主要工作内容和目标。 随着信息化工作的推进,越来越多的应用系统交叉部署于网络。从关键应用(如PKI、基础资源库综合查询等)、一般应用(如OA系统等)到未批准的应用(如网络游戏、P2P程序)。未批准的应用对网络、服务器等基础设施资源的非受控使用导致网络系统鱼龙混杂、性能难以提高、资源浪费严重;并导致关键应用系统对基础设施的使用权被侵占,系统运行的稳定性和高效性难以保障,甚至故障频发。 随着网络规模的扩大和复杂化,网络行为越来越复杂且不易控制。对应用系统的网络访问操作的合规性难以得到保障,窃取、破坏数据等攻击行为难以被检测和发现。政府和企业的业务安全受到严重威胁。 为保障应用系统的安全、稳定和高效运行,IT管理部门需要监测各个应用系统流量和网络行为,准确把握各应用系统的底层网络状况和内部运行情况,进而评估应用系统的健康状况。当异常发生时,还需要进行追踪审计、报警处理、联动阻断等进一步的操作。“异常流量监测分析系统”正是根据这些需求而设计。
东华天鹰网络流量分析系统
东华天鹰网络流量分析系统 ForceView? FlowAnalyzer | for service providers 为运营商提供全网流量分析与路由管理的解决方案 东华天鹰流量分析系统(ForceView?FlowAnalyzer)是东华软件股份公司结合网管领域的多年丰富经验推出的一套基于Netflow数据流的网络数据实时监测分析产品。特别用来帮助运营商对全网络流量实施监测并以图像化展现,把全面深入的低成本、高效益的可视性,和深入的应用透视能力,以及对关键网络的流量、服务和应用的分析有效地结合在一起,达到智能化流量工程、保护和管理包括语音、视频、数据、信息、文件共享、网页和邮件等关键业务应用,检测和报告应用流量的异常情况,从而有效的保护他们的网络,改善骨干网络的健康状况,优化网络业务的服务质量、业务的种类,很好的保障网络可靠性和安全性等。 “网络流量分析精细化”的要求 电信业务的发展日新月异,随着语音、数据和信息技术的融合,服务提供商面临着各种新的挑战,对网络带宽资源、业务流量、用户访问量等方面都缺乏可见性和可控性。为了提升电信网络的运维水平,优化电信业务服务质量,提高用户上网体验(QoE)和满意度,需要对网络出口流量进行更精细 的分析。另一方面,国内电信运营市场的竞争正日趋激烈,网络服务提供商(ISP)和网站企业(IDC) 都需要一个功能更为强大的管理系统,来整合不同层面的流量信息,包含流量、应用以及BGP路由等 信息的整合分析,以提供运营决策的参考依据。此外,日益猖獗的网络蠕虫与阻断式网络攻击 DoS/DDoS,对于网络服务的性能已经造成严重威胁与挑战;而防火墙(Firewall)、IDP/IDS、防毒产 品等,却不能符合大规模网络架构、高带宽骨干网络环境下的性能需求,也无法提供对于BGP相关安 全性的异常侦测。 ForceView?FlowAnalyzer使用xFlow流技术,提供对网络的实时流量分析、历史流量统计、流量 异常告警、流量趋势分析等功能,以加强网络的可视性与可控性, 实现带宽成本分析、用户流量日志、流量基线、DOS/DDoS攻击检测、蠕虫病毒监测、异常流量检测、网络带宽优化等。系统采用Web的界面,可随时随地分析处理并生成报表,帮助用户更清晰地掌握流量流向和流量成分的分布,它通过统计流经网络的数据业务类型、用户来源、流量流向、区域分布等信息,掌握流量基线,网站访问量和应用排名、路由负载分析、以及业务带宽成本分析、网络带宽成本分析,为网络优化以及业务发展策略的制定提供科学的决策数据依据。并实时侦测异常流量(如蠕虫、DoS/DDoS攻击等),有效监控用 户上网行为,能够快速提升运营商网络的服务品质。
实用网络流量分析技术
实用网络流量分析技术 ——高级网络技术人员的必备技术 高彦刚
实用网络流量分析技术第5章危害网络的异常流量 本章主要介绍针对一些对网络运行危害较大的异常网络流量的分析。 5.1. 危害网络的异常流量 危害网络的异常流量是指能对网络的正常运行造成危害的异常流量,这些异常流量对网络运行的危害主要分为以下几种。 1. 大量的流量导致网络拥塞,从而出现丢包,导致网络服务质量下降。 2. 大量的数据包导致网络设备处理性能下降,从而导致网络服务质量下降。 3. 不正常的数据报文影响网络的正常访问,破坏网络的正常拓扑结构。 5.2. 异常流量的产生 异常的网络流量产生的原因很多,一般来讲目前用户网络中危害最大的异常网络流量产生的原因主要有: 1. 病毒引起的异常网络流量 目前网络中计算机病毒的传播主要是依靠网络系统,Internet的飞速发展同样给病毒的传播提供了非常好的传播途径,而病毒在传播过程中往往会产生大量的网络流量,严重时会大大影响网络的正常运行。CodeRed、Nimda、冲击波等蠕虫病毒造成网络的瘫痪就是由于这些病毒在传播时产生大量的网络流量而影响网络设备的正常运行造成的。 一些病毒如ARP病毒在感染主机后会伪造发送大量的ARP数据报文,破坏正常的网 81
https://www.wendangku.net/doc/4b2700463.html, 络传输通讯,危害网络的可用性。 2. 网络攻击引起的异常网络流量 拒绝服务攻击(DOS)攻击会产生大量的异常网络流量,有时会造成网络系统瘫痪,目前网络中分布式DOS攻击也越来越多了,这给网络造成不小的影响。目前随着用户计算机系统和网络系统的能力越来越强,在攻击时产生的网络流量也越来越大,大量的网络攻击不但会影响应用,也会造成网络系统的瘫痪。 3. 不当的网络配置引起的异常网络流量 不正当的网络配置,如物理环路或路由环路的形成,在网络中引起环路会在瞬间产生大量的流量,直至网络的崩溃。 4. 不正当的应用 有些网络应用采用不正当的数据传输方式,在数据传输时能够挤占大部分有效的网络带宽,从而影响其它重要应用的正常运行。 异常的网络流量存在于每个用户的网络中,这些流量会同用户正常的网络应用争抢有限的网络带宽,甚至会造成用户的网络崩溃。 5.3. 危害网络的异常流量分析 危害网络的异常网络流量是影响网络性能和可用性的重要因素,目前越来越多的网络异常是网络中异常流量引起的或是同网络中异常流量相关的,对网络中异常流量的及时发现和分析对避免网络性能下降或宕机以及及时发现并解决网络故障具有重要的意义。 我们对异常网络流量的分析手段主要分以下两种。 1. 通过流量的异常分析网络行为的异常和异常的流量 这种手段是以异常流量的发现为基础的,异常流量指同网络正常运行时的流量特点不符,包括前几章我们讲到的利用率的异常、每秒数据包数的异常、包大小分布的异常、应用协议分布的异常等等,如何能监控更多的流量异常参数也是标志网络流量分析工具能力的重要参数。如何通过各种流量参数的异常分析网络行为的异常我们在前几章也有详细的阐述。 2. 通过网络行为的流量特征来分析异常网络行为和异常流量
基于流量特征建模的网络异常行为检测技术
第8卷第4期2019年7月Vol. 8 No. 4Jul. 2019网络新媒体技术 基于流量特征建模的网络异常行为检测技术* *本文于2018 -05 -09收到。 *中科院率先行动计划项目:端到端关键技术研究与系统研发(编号:SXJH201609)。黄河▽邓浩江3陈君I C 中国科学院声学研究所国家网络新媒体工程技术研究中心北京100190 2中国科学院大学北京100190)摘要:基于流量特征建模的网络异常行为检测技术通过对网络流量进行特征匹配与模式识别,进而检测岀潜在的、恶意入侵 的网络流量,是网络异常行为检测的有效手段。根据检测数据来源的不同,传统检测方法可以分为基于传输层信息、载荷信 息、主机行为特征等三类,而近年来兴起的深度学习方法已经开始应用于这三类数据,并可以综合应用三类数据,本文从技术 原理与特点、实验方式、取得的成果等方面对上述技术路线进行了综述,并分析了存在的主要问题和发展趋势。关键词:网络异常行为,异常检测,模式识别,流量特征建模,深度学习 Network Abnormal Behavior Detection Technologies Based on Traffic - feature Modeling HUANG He 1'2, DENG Haojiang 1'2, CHEN Jun 1 (1 National Network New Media Engineering Research Center, Institute of Acoustics , Beijing, 100190, China , 2University of Chinese Academy of Science , Beijing, 100190, China) Abstract : The network abnormal behavior detection technology based on traffic - feature modeling can detect potential and malicious intrusion of network traffic by feature matching and pattern recognition of network traffic , and is an effective measure of network abnor - mal behavior detection. According to the different sources of detection data , traditional detection methods can be classified into three categories based on transport layer information , on load information , and on host behavior characteristics. In recent years , the deep learning method that has emerged has begun to be applied to these three types of data , and can be comprehensively applied. This paper summarizes the above technical routes in terms of technical principles and characteristics , experimental methods , and achievements , and analyzes the major problems and development trends.. Keywords : Network abnormal behavior, Anomaly detection , Pattern recognition , Traffic - feature modeling, Deep learning 0引言 “互联网是第一种由人类建造,但不为人类所理解之物,它是有史以来我们对无序状态最疯狂的实 验。”⑴Google 公司前首席执行官Eric Schmidt 在2010年的这段公开谈话直观揭示了因特网的混沌性与复 杂性,其背后的逻辑在于因特网用户行为的多元化。时至2018年,全球因特网的接入用户数量与数据总量 和2010年相比已经不可同日而语⑵,网络安全牵涉到信息社会中公共安全和个人隐私、财产的方方面面,网 络安全问题正成为学术研究和工程应用中亟待解决的难题。本文涉及的是基于流量特征建模的网络异常 行为检测技术,这是网络安全技术的一个分支,它的核心思想是通过对网络流量进行特征匹配与模式识别,
流量图分析
网络流量分析解决方案技术白皮书 关键词:DIG、NetStream、NTA、网络流量、网流分析 摘要:网络流量分析是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具,通过对网络信息流(NetStream)的采集并分析可帮助网络管理者得到网络流量的准确信息,为网络的正常、稳定、可靠运行提供保障。本文档介绍了H3C公司的网络流量分析(Network Traffic Analysis)解决方案的结构组成、功能、以及部署建议,有助于用户更好的理解H3C的网络流量分析解决方案的功能和特点。 缩略语清单: 1 方案背景 网络应用越来越广泛、网络规模日渐增大,网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务,及时的掌握网络流量特征,以便使网络带宽配置最优化,及时解决网络性能问题。 目前企业在管理网络当中普遍遭遇到了如下的问题: ●网络的可视性:网络利用率如何?什么样的程序在网络中运行?主要用户有哪些?网络中是否产生异常流量?有没有长期的趋势数据用作网络带宽规划? ●应用的可视性:当前网内有哪些应用?分别产生了多少流量?网络中应用使用的模式是什么?企业内部重要应用执行状况如何? ●用户使用网络模式的可视性:哪些用户产生的流量最多?哪些服务器接收的流量最多?哪些会话产生了流量?分别使用了哪些应用? 从这些企业管理网络中所经常遇到的问题来看,需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形,使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。 为了应对企业网络管理中的这些问题,H3C公司的网络流量分析(NTA)解决方案应运而生。 所谓的工欲善其事,必先利其器。NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况,及时发现并解决网络中的性能瓶颈问题、网络异常现象。相关信息可以作为用户进行网络优化、网络设备投资、网络带宽优化等的参考。 2 NetStream技术介绍 在理解NTA解决方案之前,首先需要了解NetStream的一些基本概念,它们是该解决方案的基础。 2.1 “流”概念 NetStream流的定义为:一系列的由源到目的的单向数据包。 NetStream流是通过7元组来标识的,即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流。设备根据七元组信息对过往的数据包进行NetStream 统计。
网络流量分析
网络流量分析概述 摘要 Internet自60年代出现以来发展迅猛,网络规模飞速膨胀,网络流量越来越大,网络信息对人们生活的影响也越来越深远,然而网络中P2P等应用正在大量的消耗网络的带宽资源,从而影响了关键业务的正常展开。因此,通过对网络中的各种业务流量进行分析,建立合适的预测模型就成为网络发展的必要。通过分析,能及时的发现网络中的异常,从而使得网络管理更主动,为网络的持续高性能运行提供主要的保障,为规划、设计网络提供科学依据。 本文首先介绍网络流量数据采集方法,通过分析他们的优缺点让读者对网络数据采集技术有一个初步的了解。然后本文介绍了两种基于不同技术的网络流分类方法: 深度数据包检测技术(DPI)和深度/动态流检测技术(DFI)。在DPI中,主要介绍AC状态机模式匹配算法实现多关键字的快速匹配。而DFI是基于流特征向量的分类方法,本文主要介绍分析了朴素贝叶斯方法。在特征选择方面,介绍了运用相关度和快速的过滤器选择方法(FCBF)来对特征进行筛选,得出有利于分类的特征子集,同时还可以去掉不相关或冗余特征,增加分类的准确性。最后,本文介绍了如何把网络流量分析的结果应用到入侵检测中,以发现网络中的异常。
目录 摘要 (1) 一、网络流量分析概述 (3) 1.1网络流量分析背景 (3) 1.2网络流量分析定义 (3) 1.3网络流量分析目的 (4) 1.4网络流量分析意义 (5) 二、网络流量采集 (6) 2.1 网络流 (6) 2.2 网络流的特性 (6) 2.3 网络流量采集介绍 (6) 2.4 主流网络流量采集技术 (7) 2.4.1 基于网络流量全镜像的采集技术 (7) 2.4.2 基于SNMP的流量采集技术。 (7) 2.4.3 基于 Netflow/sFlow的流量采集技术。 (8) 2.4.4 基于干路中桥接设备的采集技术 (9) 2.4 网络流量采集技术的对比 (10) 三、网络流量分析 (11) 3.1 基于DPI的网络流量分析技术 (11) 3.1.1 DPI提出的背景 (11) 3.1.2 DPI技术研究 (11) 3.1.3 AC自动机算法 (13) 3.1.4 DPI总结 (15) 3.2 基于DFI的网络流量分析技术 (16) 3.2.1 DFI的提出 (16) 3.2.2 基于DFI技术的方法的基本原理 (16) 3.2.3朴素贝叶斯分类器 (16) 3.2.4改进贝叶斯—FCBF(A Fast Correlation-Based Fliter): (17) 3.2.5其他应用DFI技术的模型 (18) 3.3 DPI和DFI的对比: (19) 四、网络流量分析之应用:入侵检测 (20) 4.1入侵检测的基本定义以及方法 (20) 4.2网络流量在异常检测系统中的应用 (21) 4.2.1 特征参数的选取 (21) 4.2.2特征参数变化的提取 (21) 4.2.3.网络流量异常的判断 (22) 五、全文总结 (23) 参考文献 (24)