網絡流量監控分析范例6篇

前言：中文期刊網精心挑選了網絡流量監控分析范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡流量監控分析范文1

關鍵詞：計算機網絡；流量；監控技術

1 網絡流量監控的現狀及其意義

現階段的網絡結構更加復雜，其異構性也越來越高，網絡系統平臺也來越多，這對網絡要保持穩定的運行提出了更高的要求。網絡流量的監控是網絡管理中的一個重要組成部分，到目前為止，根據網絡流量的不同采集方式出現了三種不同的網絡流量監控技術。第一種是基于Netflow的流量監控技術，這種監控技術能夠對高速轉發IP數據流量進行測量和統計的同時對網絡設備的數據交換具有一定的加速作用。第二種是基于網絡流量全鏡像的一種流量監控技術，這種監控技術是IDS主要的網絡流量監控技術，其監控的原理是對鏡像流量進行分析，對網絡流量的分布狀況進行探測，能夠為網路的管理提供參考。第三種是基于SNMP的流量監控技術，其監控的實質是收集網絡設備Agent中所提供的管理對象信息庫中與流量信息相關的一些變量，這些流量信息包括了輸入字節數、輸入非廣播包數等，其主要的不足之處在于這種監控技術的監控范圍和對象十分有限。

目前最為有效的反映網絡真實狀態的一個指標就是網絡流量，對網絡流量進行檢測具有以下幾個方面的作用。①滿足了復雜網絡維護的需要，隨著網絡用戶規模的不斷擴大和網絡結構的日益復雜，網絡設備的數量逐漸增加使得網絡的維護難度也隨之增加，要維護網絡穩定的運行狀況，對網絡流量進行檢測是最重要的手段之一；②隨著網絡用戶的增加和越來越廣泛的網絡覆蓋范圍，不同地區和不同網絡用戶對帶寬需求各不相同，進行網絡流量的檢測能夠對用戶網絡的使用行為進行分析，對網絡的改善具有十分重要的意義；③為網絡運營商進行網絡的改造和擴大容量提供依據，網絡用戶數量和規模的不斷擴大使得網絡各個端口的流量需求也越來越大，從而極大的增加了網絡設備的壓力，通過流量監測能夠對現有的中繼容量進行分析，從而確定如何進行網絡的改造與擴容；④由于不同網絡用戶的使用習慣，不同的網絡帶寬需求和不同的網絡安全保障需求，通過流量的檢測對用戶的習慣和需求進行分析，從而使得運營商可以根據用戶的需求發展針對性的業務。

2 網絡流量的采集與測量

網絡流量的采集主要有四種方式：①從一個端口到另一個端口的IP流量，這個IP流量中包含了大量的信息，主要的采集方法有NetFlow；②完整的用戶業務數據流量，可以采用Net Detector進行采集；③網絡節點端口的流量，這個流量中包含著個數、字節數、包的大小和分布狀況等信息，可以采用MRTG 進行采集和監控；④業務層流量，可以采用Sniffer進行采集。對于網絡流量的測量

對計算機網絡的流量進行測量主要有主動測量和被動測量。主動測量主要是通過向被測流量網絡中注入附加的“探測流量”，并采集其返回數據的一種測量方式。被動測量，就是在網絡的某一點對網絡的流量信息進行采集、記錄與分析。被動測量的優勢在于能夠將附加的“探測流量”以及Heisenburg效應完全的消除，其不足之處在于對用戶的隱私和網絡安全具有一定的影響。

3 網絡流量監控的設計與實現

3.1 系統設計

一般來講，網絡流量的監控必須要對路由器、交換器等各種網絡主干設備接口的進出口原始流量進行采集和監控，為網絡管理員和監控部門提供不同時間段的流量情況，要求網絡流量的監控系統需要有數據采集子系統和Web管理子系統兩個部分。首先對網絡流量采集子系統進行分析和設計。該網絡流量監控系統是建立在SNMP協議的基礎之上的，因此，獲取不同類型的變量值時通過網絡設備中的SNMP響應報文來實現。在這個監控系統中，流量采集子系統擁有包括配置信息在內的各個網絡物理層接口的信息，對各個接口的進出口流量統計方式如公式1和公式2所示。

公式1：入口實時網絡流量=（ifInOctetsy-ifInOctetsx）÷（y-x）

公式2：出口實時網絡流量=（ifOutOctetsy-ifOutOctetsx）÷（y-x）

其次對Web管理端子系統，在這個網絡流量監控系統當中，只要連接成功被監控的網絡設備，監控系統就能夠通過SNMP協議的每個接口，并將這些接口添加到流量庫當中，最后由網絡管理員根據每個接口的實際情況進行鏈路帶寬和報警閥值等進行重新配置，從而實現系統對網絡流量的監控。

網絡流量監控分析范文2

【關鍵詞】網絡流量監控；C#；SNMP協議；網絡數據

0.引言

空管信息網絡承擔著包括OA系統、共享服務以及相關業務系統在內的重要網絡業務，提供信息化的同時，給技術保障維護人員帶來一定的保障壓力。根據相關工作經驗及實際實驗數據，網絡設備端口流量異常是導致故障發生的重要原因，因此，對于網絡流量的監控顯得更加重要。隨著空管信息化要求的逐日提高，網絡規模也日益變大，對于網絡流量監控的工作也更加繁重。本文從空管網絡流量監控的實際情況出發，提出一種基于C#的網絡流量監控，能夠實現對網絡數據進行獲取、流量記錄與分析。系統在實際運行中效果良好，可以為相關網絡監控設計提供一種可行的借鑒。

1.總體設計

SNMP即網絡管理協議（Simple Network Management），在TCP/IP協議族中可以對網絡進行管理，這種管理既可以是本地的也可以是遠程的。而基于SNMP網絡協議的本系統，可以實現對網絡數據的獲取與實時監控的功能，實現上具有通用、實時、多線程、維護性強及擴展性強的特點。實現在數據鏈路層和網絡層上任意節點的數據獲取。加之記錄功能的輔助，系統能實現在應用層的數據回放，以滿足空管安全事件調查以及系統維護對歷史工作狀況的評估。

SNMP協議中，一個網管基站可以實現對所有支持SNMP協議的網絡設備的監控（隨著網絡技術的發展，目前絕大部分網絡設備是可支持的），包括監視網絡狀態、修改網絡配置、接收網絡事件告警等等網絡監控功能。在實現上主要包括遠程文件訪問、流量數據記錄、流量監視以及系統的IP定位。其中流量監視是系統實現的核心，將在下一部分進行介紹。另外，系統還提供了日志文件記錄實現對系統操作、監控數據以及告警信息的記錄。

2.C#的實現

對于系統的C#實現，主要采用的C/S模式，因此在系統的實現上盡量簡單、快捷、高效為主。因此自定義相關函數與類，在記錄數據和日志方面采用文本文件記錄。

2.1網絡監控類與網絡適配類的設計

為了提高系統的模塊化程度及軟件的封裝性，系統在實現過程中定義了兩個主要的類。分別是用于網絡監控的NetWorkMonitorClass以及網絡適配類NetWorkMatch，網絡監控類主要實現系統的網絡監控功能，而網絡適配類則提供了一個安裝在計算機上的網絡適配器，該類可用于獲取網絡中的流量。兩者功能及結構如下：

在實際工作中網絡監控類NetWorkMonitorClass通過定義一個Timer計時器進行計時器時間執行，以每隔2S刷新適配器，并與此同時刷新上傳下載速度。與此同時通過ArryList列表定義了所監控設備的適配器以及當前控制的適配器。在構造函數NetWorkMonitorClass（）中則通過，定義兩個ArrayList（），其中一個（adapterlist）來保存獲取到的計算機的適配器列表，一個（monitoradapters）代表有效的運行的適配器列表。

NetAdapterShow （）；

Timer = new System.Timers.Timer（2000）；

Timer.Elapsed += new ElapsedEventHandler（timer_ElapsedClick）；

其中，NetAdapterShow （）為列舉出安裝在該計算機上面的適配器，具體實現可以通過C#的foreach（）語句進行編寫如下：

PerformanceCounterCategoryPCCCategory=new PerformanceCounterCategory（"Network Interface"）；

foreach （string InstanceName in PCCCategory.GetInstanceNames（））

{

if （InstanceName == "MS TCP Loopback interface"）

continue；

// 創建一個實例Net workAdapter類別，并創建性能計數器它

MyNetWorkMatchClassmyMNWMadapter=new MyNetWorkMatch

Class（InstanceName）；myMNWMadapter.m_Performance_Down=new PerformanceCounter（"Network Interface"， "Bytes Received/sec"， InstanceName）；

myMNWMadapter.m_Performance_Up=newPerformanceCounter（"Network Interface"， "Bytes Sent/sec"， InstanceName）；

m_AdaptersList.Add（myMNWMadapter）；

}

當然，在類中也定義了StartWorking以及StopWorking等控制函數對類的工作狀態進行控制。另外timer事件也通過構造函數進行加入，如上所述。

網絡適配類NetWorkMatch則主要計算網絡的各種數據，如計算上傳速度、下載速度、控制適配器等函數的封裝，減少網絡監控類的功能耦合度。

2.2具體實現

在窗體加載函數中，系統首先做自我初始化如下：首先定義上述設計的網絡監控類，并實例化monitor = new NetWorkMonitorClass（）；與此同時通過類函數遍歷獲取所有計算機適配列表，m_MNWMadapters = monitor.Adapters； ，Adapters（）為網絡監控類封裝好的函數。并將函數返回結果通過Items.AddRange（）函數將其顯示在listbox控件中，以實現友好的人機交互界面。其次，在timer定時器中對選中監控的適配器進行獨立監控。至此，系統實現了獨立監控與全面監控的所有設計。

3.結語

本文提出一種基于SNMP協議分析的網絡監控系統，該系統應用于空管信息網絡。在實現過程，主要采用C#進行開發，通過編寫自我的網絡監控類和網絡適配類進行網絡數據的流量監控，可以推廣應用于信息網絡維護工作較為繁重的行業，提供一種智能網絡流量監控手段。

【參考文獻】

[1]宮婧，孫知信，陳二運.一種基于流量行為分析的P2P流媒體識別方法[J].計算機技術與發展，2009（09）.

[2]王珊，陳松，周明天.網絡流量分析系統的設計與實現[J].計算機工程與應用，2009（10）.

網絡流量監控分析范文3

論文關鍵詞：多媒體,網絡,流量,分析

1 多媒體流量分析的基礎

多媒體在應用層面對于用戶的強大支持，映射到其數據層面，必然是不容忽視的大量不同數據格式。而在這樣的環境之下，想要展開有效的網絡流量分析，實現對于通信資源的優化利用，首先必須展開對于多媒體報文的有效分類。每一個報文都會在這個過程中被分類到對應的類型，而后進一步依據運營商制定的傳輸優先策略對其展開傳輸處理。

多媒體流分類問題可抽象成從多媒體報文映射到流類型的過程，多媒體報文流經流分類器，即展開對于其的辨別并且添加相關的類型標識，通常會將該標志寫入報文頭部字段中，便于后續識別和處理。在識別的過程中，可供識別多媒體流的方法主要有三種，即基于報文頭部信息的分類方法、基于數據包載荷內容的分類方法以及基于流量統計模型的分類方法。其中基于報文頭部信息的分類方法，即依據報頭中的多元組信息展開工作，將其與預先定義的規則集進行比對匹配，并且確定出媒體流的對應分類進行標識。此種工作方式相對簡單，因此發展也趨于成熟，效率較高，但是在識別過程中由于多媒體應用使用的端口通常并不固定，因此針對而言準確率比較有限。而基于數據包載荷內容的分類方法則面向報文載荷信息展開識別和工作，進一步又可以針對應用層協議展開解析或針對載荷內容展開特征解析。此種識別方式工作準確率基本有所保證，但是對于某些私有協議以及加密數據流，會因為無法有效提取特征信息而導致識別失敗。最后，基于流量統計模型的分類方法主要是關注多媒體流量特征，通過流量來判斷多媒體數據的傳輸行為模式，諸如數據包的大小以及包與包之間的間隔時間等方面特征。此種方式能夠實現系統的自主學習，但是會存在一定的分類延時。

2 網絡流量分析技術淺議

對多媒體進行標識之后，可以在網絡環境中展開更為有效的網絡流量分析。已經被標記的信息流在傳輸過程中能夠表現出不同的對于資源的占用，以此作為依據展開更具有針對性的網絡流量分析，對于整體網絡數據傳輸資源和功能的優化都必然有著積極價值。

隨著計算機技術的不斷成熟，網絡流量分析技術也呈現出不斷發展的特征。當前的流量分析技術，主要是在傳統的數據庫技術基礎之上，以一種開放的態度構建起支持自學習的網絡流量分析系統，從而實現整個體系的智能化。就目前的狀況看，常見的幾種流量分析技術有以下幾種。小學德育論文

1）SNMP技術。此種技術主要用于實現面向網絡環境中多種類型設備展開監控和管理，并且對既有問題進行定位。該技術系統包括SNMP協議、管理信息結構以及管理信息庫三個部分構成，其中SNMP協議用于實現在應用程序和設備時間交換信息，而管理信息結構用于指定一個設備維護的管理信息的規則集，最后管理信息庫用于明確設備所維護的全部被管理對象的結構集合。

2）RMON技術。該項技術由IETF定義，本身是對于SNMP技術的一種深入。其對于標準功能以及網管站遠程監控器之間的接口進行了重新定義，使得其能夠實現更為順暢的數據交換，從而有助于展開對于網絡環境數據流量的更為有效監視。在RMON系統中，當探測器發現了一個非正常態的網絡段之后，會主動與網絡維護管理控制臺接通聯絡，并將對應的網絡信息進行發送，實現對于整體網絡流量的監控和分析。

3）SFlow技術。此種技術以隨機采樣作為主要的研究方式，并且能夠提供從第二層到第四層的相對完整的網絡流量分析信息，這種分析甚至可以擴展到整個網絡環境中，能夠實現面向大數據流量的適應，尤其是在面向以流媒體作為主要流量資源占用的網絡環境時，仍然能夠保持穩定的表現。此種技術成本較低且不會因為引入其技術為網絡環境帶來新的沖突，同時數據信息量大，能夠實現更為完善的網絡分析。

4）NetFlow技術。此種技術主要用于實現網絡層高性能交換，首先被用于對網絡設備的數據交換進行加速。但是其核心是對于流緩存進行進一步的整理，因此在工作的過程中必然會能夠得到很多依據匯聚方法而統計的數據，其中包括諸如源IP、目的IP以及源端口和目的端口以及相關傳輸協議與包數量等，這些信息和統計數據對于深入展開網絡流量分析有著不容忽視的積極價值。

3 結論

在多媒體應用的網絡環境中，深入可靠的網絡流量分析系統，對于切實提升網絡自身的數據傳輸能力，為多媒體用戶提供更為穩定的數據傳輸服務有著積極價值。實際工作中唯有不斷深入發現自身網絡環境特征，才能有的放矢展開有效的流量分析，實現網絡環境優化。

參考文獻

網絡流量監控分析范文4

關鍵詞：網絡安全，流量監控，數據備份，遠程同步

 

1.引言

在互聯網飛速發展的今天， 越來越多的公司關和企事業單位擁有了自己的網站。 網站不但是信息傳播的工具， 也是非常好的商業運營方式。但由于互聯網在安全方面的脆弱性，以及黑客對網站的攻擊，使得網站的運行安全是我們設計網站時需要解決的問題。網站的安全不應僅依賴于防火墻和入侵檢測， 也需要使用對網站的監控和恢復技術，力爭使損失達到最小。而一些大型網站更是會在很多不同的地點建立分站點，一方面能提高用戶的訪問速度，分擔負載，另一方面也是為了使得各分站的數據能夠實現同步傳輸，防止因為各種原因造成的數據丟失所產生的損失。本文正是基于此目的，以12530網站系統為基本構架 ，Linux為操作系統 ，規劃配置出一套能夠對網站日常的運行進行監控與保護的相對安全的網絡系統的方案。

2.網頁監控和保護系統基本構架

如圖1 所示 ，在本次12530網站建設中，我們將網站監控和保護系統基本構架設計成主要的三部分:（1）網絡服務器。系統的主控臺 ， 擁有良好的人機界面 ，對靜態網頁和動態腳本進行校驗。（2）備份服務器。對靜態頁面、動態腳本、靜態網頁和動態腳本的校驗值及數據庫數據進行備份。（3）Rsync-server服務器。將產生的數據與其他分站進行遠程雙向同步。

圖1 網頁監控和保護系統基本組成

3.實現對網絡流量實時監控與異常報警

隨著網絡規模的不斷擴大，容量不斷增加，新的應用不斷出現，網絡環境變得更加復雜、多變和異構，對網絡流量進行監控與分析已成為對網絡行為分析的主要可行途徑。通過對整個網絡進行流量監測，獲得網絡設備及骨干網每時每刻的流量數據，并對其進行分析和研究，才能發現整個網絡運行的規律，不斷提高網絡安全性能。目前在世界各地有許多公司和學術團體 ， 根據不同的計算機系統與需要開發出不同的網絡流量監控工具如Cacti, Sniffer Pro, ROM II, NetDetector,Netxray等相關軟件。表1 列出了五種流量采集工具的主要性能比較。

網絡流量監控分析范文5

隨著網絡應用的不斷發展，以因特網為代表的IP網絡規模不斷擴大，各種各樣的網絡設備、流量規模不同的業務應用的創造性出現使得網絡拓撲結構、網絡流量及網絡管理日益紛繁復雜，網絡通信、網絡規劃、網絡流量設計、故障診斷和性能優化是保障網絡穩定可靠、低延時、低丟包、高命中和降低人工操作勞動強度的基礎。

1網絡流量分析的內容

網絡通信流量分析的目的是了解網絡工況，及早發現可能存在的數據流量問題和應對措施。需明確的是，計算機網絡通信的核心作用是傳輸數據，而網絡流量的分析就是采集和分析計算機網絡中傳輸的海量數據流，網絡數據流的分析從計算機及傳輸相關的物理硬件底層的數據流到應用層的數據流分析，也稱為網絡通信協議分析。網絡管理人員若想了解和管控好一個網絡，其最重要的就是對網絡的了解，所謂知己知彼，包括并不限于了解網絡的拓撲結構、配置參數和設備類型等，但要保證網絡通信的服務質量，這樣的認知是還是遠遠不夠。對網絡通信流量的分析能使網管更深入地了解計算機網絡，包括計算機網絡運行規律、網絡運行模式和用戶的上網行為。

2網絡異常的行為

計算機網絡異常的發現是建立在充分認知和網絡閥值為基礎的，一旦網絡流量突破了網管人員預設的網絡流量閥值，就需要通過發現、詢因、流控等技術手段，以防止網絡流量的無限暴增，進而能為網絡通信保持一定的高性能運行提供重要的保障。通常的網絡異常情況如下：(1)網絡運行異常：網絡中流量的異常，包括資源利用率、數據包數的異常。(2)網絡應用異常：進程連接數量、用戶應用響應、應用程序流量的異常，都能通過長期的主動分析來及時預警和發現。(3)用戶的異常上網行為：異常的上網行為也有鮮明的流量特征，如被蠕蟲病毒感染、不知情的情況下安裝了后門程序等，長期的數據流量分析能及時發現上網用戶的這些異常網絡行為，如何及時發現網絡用戶的異常上網行為是解決其影響網絡正常高效運行的關鍵。

二建立機器學習的計算機網絡通信流量分析

模型計算機網絡流量的突變性、弱耦合性和影響的非線性等特性，對傳統計算機網絡通信理論提出了新的挑戰，導致對網絡流量和協議概率分布的準確建模變得異常困難。

1模型擬解決的問題

針對計算機網絡通信流量分析的特點，提出了一個基于機器學習的計算機網絡通信的流量分析概念模型。提出該模型的真正目的在于：最大限度地利用獲得的流量數據和網管人員的監測信息，自動完成流量分析的各個任務，自適應各種上層應用及對網絡的性能優化。同時，模型通過計算機主動學習，指導主動式監測的進行。從通信流量分析的具體任務而言，如果已經較好地獲得了數據流量的概率分布特性，有兩個基本的問題：（1）正常情況，計算機監控程序能否利用已得到的概率統計特性來預測可能發生未知的數據流量情況；（2）數據流量的特性突變之時，計算機監控程序能否快速、有效地發現這種流量突變。這分別對應于網絡數據流量預測和異常網絡數據流量檢測，可以通過具有自學習能力的計算機程序自動實現上述預測和檢測。

2機器學習的概念

模型所謂機器學習的本質是計算機程序的性能隨著經驗的累積能自我完善。恰當選擇計算機的機器學習算法，可最大限度地使用上述經驗和監測信息，從而完成流量分析各任務的自動化處理，并根據應用環境對網絡的性能進行優化。為此，機器算法是處理上述問題的理想選擇。首先給出基于機器學習的網絡流量分析模型，接著從機器學習的角度，闡明基于改進Boosting的機器學習算法。機器學習的本質是將人類的經驗積累和長期的監測到的統計數據通過計算機程序以自動提高其性能，根據計算機通信網絡分析的一般流程，提出機器學習模型。此類模型利用網絡監測算法測量獲得的流量數據，然后利用機器學習的方法，自動完成流量分析的各項作業任務，支持各種上層應用對網絡的性能優化。當網絡管理人的監督信息可以獲得的時候，該數據信息可以作為機器學習算法的儲備和先驗知識，結合人類的智慧以進一步提高算法的性能，如此往復，循環提升，不斷提高系統的數據流量分智能。

3改進Boosting算法

改進Boosting算法是一類使得學習算法的性能得以提高的學習策略?；贐oosting的學習算法的思路：找到許多簡單粗略的判斷準則要比找到一條非常準確的準則容易得多。通過不斷調用這種算法，每次用訓練樣本的不同子集對它進行訓練，循環多次后，這些準則就會結合成一條基本學習規則。

三計算機網絡通信流量分析的意義

網絡流量監控分析范文6

關鍵詞:流量;面向應用;WinPcap

中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2010)03-593-04

The Design and Implementation for Application Intranet flow Monitoring System

MA Xiang

(Pianzhuan Group Information Center, Xianyang 712000, China)

Abstract: To deal with the Intranet flow monitor prpblem,after comparing several popular flow data collection methods and analysising netwrok's business characters, this paper resents a novel framework data collection model. Based on this modle, using the WinPcap's library, we give a detial introduction of the system's design and Implementation.

Key words: flow; application-oriented; winpcap

隨著Internet的迅速普及和廣泛使用,Intranet的部署和使用也不斷發展。Intranet即內部網絡,也叫內聯網,是將Internet的成熟技術如TCP/IP、SMTP、HTML、HTTP、WWW等應用于企業或政府部門的內部專用網絡。以Intranet為基礎,一方面,可以將基于Internet成熟技術的服務如Web服務、Mail服務、FTP服務等網絡應用遷移到企業內部;另一方面,企業根據自己的業務特點,針對企業內部人員或客戶,開展新的網絡應用業務,如企業內部數據庫系統、辦公自動化系統及MIS應用等。

隨著Intranet中多種網絡應用業務的開展,對網絡的承載能力是一個考驗。如何清楚地了解不同網絡應用業務網絡的使用情況;如何為每種網絡應用業務分配合理的網絡帶寬,逐漸成為眾多企業開展網絡應用業務后關心的一個問題。

1 常用的流量數據采集方法

實現對Intranet流量的監測,就要選擇流量數據采集點,并且采集的流量數據完整且不重復。下面對常用的流量數據采集方法[1]進行分析。

1.1 基于SNMP的網絡流量統計分析模式

根據SNMP[2]的工作原理,需要流量統計服務器和路由器相配合來完成網絡流量的采集和統計,如圖1所示。流量統計服務器和路由器分別扮演SNMP的Manager和Agent角色,服務器定期向路由器發送SNMPWALK(SNMP請求),當路由器接收到請求后將所要采集的數據發送給流量統計服務器。這一“請求-響應-處理-發送”的過程每隔一段指定的時間執行一次。

實現基于SNMP模式的網絡流量數據采集對所使用的路由器也有一定的要求。首先,路由器必須是企業網中心節點的路由器,這樣采集的網絡流量數據才會完整;其次,路由器除了擁有一般路由器的路由選擇和數據包轉發功能外,還須提供過往包的統計功能。這種模式原理簡單,容易實現。但工作效率較低,對網絡帶寬有影響且會加重路由器的負擔。另外,流量采集的時間間隔比較難把握,容易造成數據的丟失。

1.2 基于安插網絡探針技術的流量數據捕獲模式

探針(PROBE)技術是依靠傳統的以太網(Ethernet)總線結構的通信原理,在靠近出口路由器的網段上安插網絡探針,以監聽其他的通信,并記錄通過該網段的每一次通信,進而整理成流量統計數據。

這種模式最大的優點就是不需要路由器的參與,對路由器的影響很小;且占用很少的帶寬,不需要額外的網絡開銷。但要實現這種基于PROBE技術的流量采集統計,必須有很大的緩存器(Cache),以便記錄下所有的網絡通信。這給流量統計主機的性能和硬件配置提出了很高的要求。

網絡探針截獲的是網絡上的數據流,通過對這些數據進行分析,可以統計出對應IP地址的流量數據或者是基于某種協議的網絡應用業務的流量數據。

1.3 基于網絡數據流(NetFlow)技術的IP數據流捕獲模式

它是采用流作為網絡數據傳輸的單位。網絡設備(路由器和帶三層交換的交換機)為其提供一個專有的緩存器。在數據轉發期間,對于屬于同一個數據流的數據包,交換機只處理其第一個包,并根據第一個包的情況在netflow cache中建立一個記錄,屬于同一個流的數據包將根據netflow cache中的記錄直接作二層轉發而不再作三層處理。這樣,便可以大大加快網絡設備的數據處理速度。

在NetFlow[3]方法中,流量監控統計服務器使用專門的軟件,每時每刻處于監聽狀態。路由器和帶三層交換的交換機待某個流傳輸完畢后,把netflow cache中對該流的統計信息一次性地發送給流量監控統計服務器的監聽進程,并由流量統計分析程序進行整理,生成流量統計記錄,NetFlow技術的流量采集模型如圖2所示。

基于NetFlow的流量采集模型可以有效地節省網絡帶寬,減少網絡設備的額外負擔。但對網絡設備的要求較高,并且不適合用于某個精確時段的網絡流量統計。

基于NetFlow技術的網絡流量監控,可以根據源和目的IP地址及其子網掩碼,甚至TCP/UDP端口號進行流量數據統計,并且可以列出指定時間內的IP包數、字節數、IP包大小分布情況等流量信息。

2 面向應用的流量數據采集模型

通過對常用的網絡流量數據采集方法的分析和比較,結合Intranet中網絡應用業務的特點,提出了面向應用的流量數據采集模型,如圖3所示。

本模型需要網絡流量監控服務器(運行管理進程)和安裝在網絡應用業務服務器上的流量統計程序(即進程)相配合來完成流量數據采集工作。具體實現中,管理進程根據WinPcap的過濾表達式語法對進程需要進行流量統計數據采集的網絡應用業務信息和流量數據采集的周期進行配置。進程根據配置的參數信息,進行周期性的流量數據的采集工作,并隨時將采集的流量數據以一定的格式發送給管理進程。管理進程一直運行接收流量數據的監聽線程,將接收到的流量數據存入數據庫中,用于實時流量數據顯示和歷史流量數據分析。

面向應用的流量數據采集模型具有以下特點:

1)數據采集的完整性

Intranet中運行的網絡應用業務根據其實現模式可以歸為C/S模式和B/S模式,無論是何種模式,Server端處理所有Client的請求,并作相應的響應處理。因此對某種網絡應用業務而言,Server端是此種網絡應用業務流量的匯接點。從網絡應用業務的Server端采集此種網絡應用業務的流量數據具有完整性。

調用pcap_lookupdev(),獲取可用設備,再調用pcap_open_live()獲得唯一的包捕獲實例描述,并且設置回調函數的執行周期。

2)設置過濾規則

給定過濾表達式,調用pcap_compile()進行編譯,并用pcap_setfilter()設置包捕獲實例描述的內核過濾器。

3)設置數據采集模式

調用pcap_setmode()設置該包捕獲實例描述為統計模式。

4)獲取數據

執行pcap_loop()函數,利用回調函數dispatcher_handler()處理采集的流量數據。

回調函數dispatcher_handler()中,具體實時流速的計算和流量的計算如下代碼所示。dispatcher_handler()的參數一傳遞時間戳,用于計算此次調用與上一次調用之間的延時delay,Kbps表示實時流速,單位是K比特每秒,KB表示實時流量,單位是K字節。

struct timeval *old_ts = (struct timeval *)state;

u_int delay;

LARGE_INTEGER Kbps,KB;

delay = (header->ts.tv_sec - old_ts->tv_sec) * 1000000 + (header->ts.tv_usec - old_ts->tv_usec);

Kbps.QuadPart = (((*(LONGLONG *)(pkt_data + 8)) * 8 * 1000000) / (delay) /1024);

KB.QuadPart = ((*(LONGLONG *)(pkt_data + 8)) / 1024)

old_ts->tx_sec = header->ts.tv_sec;

old_ts->tv_usec = header->ts.tv_usec;

流速Kbps和流量KB是本系統需要的數據,因此計算出這兩個數據后,直接將采集的流速和流量數據發送給管理進程。

5 結束語

面向應用的Intranet流量監測系統應用于Intranet中不同網絡應用業務流量的監測。通過對以網絡應用業務為單位的流量數據的監測和分析,為Intranet中不同網絡應用業務網絡帶寬的合理利用和分配提供了重要參考依據。

參考文獻:

[1] 劉特,徐迎曉,吳建軍,等.基于Java Servlet的網絡流量采集與監控技術[J].計算機工程,2002,28(5):167-170.

[2] 曾凡鋒.基于SNMP的網絡流量統計分析系統[J].北方工業大學學報,2003,15(1).

[3] 夢學軍,吳黎兵,石崗.基于NetFlow網絡流量分析的研究及應用[J].華中科技大學學報(自然科學版),2003,31(234):253-255.