網絡流量監測范例6篇

前言：中文期刊網精心挑選了網絡流量監測范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡流量監測范文1

關鍵詞 網絡管理；流量監測；方法；

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2012）69-0174-02

自人類進入21世紀以來，以計算機為基礎的互聯網技術在我們生活中各個領域得到了不同程度的應用。因此，對網絡的管理工作為保證其穩定、良好的運行有著十分重要的意義。在網絡管理中，對于用戶的各種應用我們難以進行強制限制。由此也可能帶來管理上的難題與安全隱患，比如由于病毒、木馬或其它流量導致網絡的擁塞。因而科學的網絡規劃時前提，但對網絡上的各種流量進行長期的監測，也是保障網絡正常穩定的運行重要舉措。

1 進行網絡流量監測的現實意義

所謂網絡流量監測是指通過對網絡數據的連續采集，從而對網絡的流量情況進行了解與監視，它是網絡管理中最基礎的工作之一。對于網絡監測所獲取的網絡流量數據進行統計與和計算，從而得到網絡重要成分的性能指標。網絡管理員就可以根據已存儲網絡的相關數據結合當前所獲取的網絡性能數據指標，通過分析了解網絡性能變化趨勢。了解網絡運行情況，分析制約網絡性能的瓶頸問題，從而為科學規劃網絡、優化網絡設置，為解決網絡故障采取及時有效的措施，提供了重要信息，有著重要的現實意義。

2 網絡流量的特性分析

在經過對互聯網通信流量的長期監測與測量，從現有的技術水平來說，我們把網絡流量的主要特性歸結為以下4個方面：

1）數據流雙向和非對稱性：即，從互聯網上的應用來看，其實質就是數據的雙向交換，因此網絡流量體現出雙向性的特點；但同時這種雙向的數據交流并非是對等的，上行和下載的流量并不相同，而是表現出非對稱性的特點。

2）大部分TCP會話是短期的。在互聯網通信中，從時間的角度來看，TCP會話時間只有數秒十分之短，這是由于會話中交換的數據量超過90%的比例都是小于10K字節的。從研究來看，一些不是短期的TCP對話（如文件傳輸），不過由于80%的WWW文檔傳輸都小于10K字節，WWW的快速增長從而使得TCP會話時間也是十分短暫。

3）包的到達過程不是泊松過程。在過去較長的時間內，傳統的排隊理論以及通信網絡設計都假設包的到達過程是泊松過程，即包到達的間斷時間的分布是獨立的指數分布。然而隨著技術的進步，研究發現這種理論解釋存在著不足，它難以精確地描述包的到達過程，人們開始從網絡通信量模型展開研究，進而來豐富網絡流量的理論原理。

4）網絡流量體現出局域性。從現有技術應用特點來看，網絡通信量表現出在時間和空間兩個維度的局域性。這主要是從互聯網流量中數據包的時間和目的地址上，從而表現顯時間局域性和空間局域性的特性。

3 網絡管理中網絡流量監測的方法

在對互聯網通信特性有了深入的了解以后，我們就可以采取相應的技術措施來對網絡流量進行監測。從當前實踐用用來看，習慣上我們把當對流量監測的方法歸為主動測量和被動測量兩大類，他們各自的優勢與特點主要表現如下：

3.1主動測量

主動測量是基于端到端的測量，通過測量設備向被測網絡注入一些以探測網絡特征或網絡流量負載等信息為目的的探測流，進而了解被測網絡目前的運行狀態和提供數據傳輸的能力。

從上述分析我們可以看到，在進行網絡流量的主動測量，我們構建的網絡測量系統應當由測量節點、中心服務器、中心數據庫、分析服務器這四個部分構成。

從主動測量的實踐應用來看，其優勢體現在主動性、可控性、靈活性三個方面。即，在進行網絡流量監測時是主動發送測量數據，同時這個操作過程可以靈活把握，因而可控制性也比較高。此外，主動測量也便于對端到端的性能能夠開展直觀的統計。

不過從測試過程我們也可以看出，由于是主動對網絡進行注入流量，因此，我們所獲取的結果與實際情況存在偏差是在所難免的，這就是主動測量的不足之處。

3.2被動監測

被動測量是一種分布式的網絡監測技術的應用，其監測原理是對被測對象部署一定的監測點與網絡設備，從而通過這些點與設備來獲取網絡流量的相關信息與數據。因此，這種監測它是在不改變原有網絡流量的基礎上進行的。通過諸多的被動監測的實踐，也證明了這一點。

被動監測的優勢不僅如此，并且相對前文分析中的主動測量來說，被動測量方式得到的網絡數據與實際情況偏差更小一些。其缺點是被動測量是從單個設備或點實現相關信息的采集，這種實時采集往往信息數據量大，因此難以實現對網絡端對端的性能分析，還為數據泄露等安全問題留下了隱患。但總體來說，被動測量的優點遠大于其不足，因此被廣泛用于測量和分析網絡流量分布。

4 結論

以計算機為基礎的現代信息技術成為了當前事（企）業單位的科研生產的重要平臺，一方提高了工作效率，另一方面也加大了人們對網絡的依賴和需求，因此加強網絡流量監測工作十分重要。本文對網絡管理中的流量監測問題進行了闡述，并根據其中存在的問題進行總結與歸納，以對其進行改善和提高。這需要我們廣大從事信息技術的工作者與管理員提高業務水平，加強對相關技術的研發與探索，創新管理手段，以促進網絡的良好穩定運行。

參考文獻

網絡流量監測范文2

關鍵詞：入侵檢測；異常檢測；時間序列分析

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)05-11229-02

1 引言

隨著科技進步和網絡技術的飛速發展，信息產業及其應用得到了巨大的發展，政府、金融、教育等企事業單位以及個人用戶等對網絡的依賴程度越來越高。同時也由此帶來了信息安全隱患，如何保障網絡與信息系統的安全已經成為高度重視的問題。作為一種主動安全防護技術，入侵檢測系統能夠檢測和識別來自外部或者內部的異?；顒踊蛘呷肭中袨?例如，對計算機和網絡資源的惡意使用或者破壞、內部用戶的未授權訪問等)，己經成為傳統計算機安全技術(如防火墻)的有益補充，是網絡安全領域研究的一個新熱點。

入侵檢測系統(Intrusion Detection System, IDS)是防火墻的合理補充。本文使用時間序列分析，設計和實現一個面向網絡流量異常的檢測系統，實時地監測和分析網絡中的異常流量，并采取相應措施(如與防火墻聯動)來避免或抑止網絡掃描、Dos/DDoS攻擊、網絡蠕蟲病毒、惡意下載等網絡攻擊對局域網安全的威脅，保障網絡的正常運行，最大限度地發揮網絡的作用。

2 常見的網絡流量異常

網絡流量異常會嚴重影響網絡性能，造成網絡擁塞，嚴重的甚至會網絡中斷，使網絡設備利用率達到100%，無法響應進一步的指令。造成網絡異常流量的原因可能有：網絡掃描、Ddos攻擊、網絡蠕蟲、惡意下載、用戶對網絡資源的不當使用以及物理鏈路損壞或者設備不能正常運轉等。

這些安全攻擊或威脅有一個共同點，即會引起網絡流量的急劇變化，它對網絡的影響主要體現在兩個方面：

(1)占用帶寬資源使網絡擁塞，造成網絡網絡丟包或時延增大，嚴重時可導致網絡不可用；

(2)占用網絡設備系統資源（CPU、內存等），使網絡不能正常的服務。

3 面向流量異常檢測的數學建模

本文設計和實現面向流量異常的網絡檢測系統，是在基于網絡行為學的研究結果。網絡行為學認為網絡的流量行為具有長期特征和短期特征。網絡長期特征表現在網絡行為具有一定的規律性和穩定性。能夠對局域網的流量或者某些關鍵主機的流量情況進行實時監測，及早發現和識別入侵攻擊的發生。

網絡流量模型依據的數學理論基礎的不同，大致可以分為4大類:馬爾可夫類模型、自回歸類模型、長程依賴類流量模型,漏桶類模型[1]。其中，自回歸模型定義下一個業務流量變量作為前一個變量的一個明確的函數，即利用前一段時間變量的數據來預測該變量的下一個時間的值，在一個時間窗口中，由目前向過去延伸。多個研究結果表明，它可以有效地用于網絡流量行為的實時預測和控制。因此，可以通過對統計的歷史統計量數據進行分析，為網絡流量建立合理的統計模型，并作為檢測系統的異常檢測引擎。

首先在局域網的總出口處連續的采集進出網絡的流量數據，觀測時間為4周（每周7個工作日），建立網絡的正常行為模式。從采集到的數據序列，可以看出，網絡的帶寬利用率(或者總流量)和單播/非單播包比率具有明顯的周期性特征，但它是一個不平穩的序列，可以采用時間序列分析的方法為它們建立統計模型[2]。

對帶寬利用率和單播/非單播包比率這兩個統計量的時間序列模型可以按如下步驟建立，并用于異常流量的檢測。

(1)原始數據處理

首先，采集4周28個工作日的數據作為基礎數據。數據采集系統在工作中有時會引入一些虛假數據，因此，在整個數據分析過程中，最好先進行異點的檢測和剔除，以便確保這些值是體現正常網絡行為。根據格拉布斯準則，如果x表示x1,x2,x3,x4的在一周內的某一時刻的平均值(4周數據的平均)，v表示它們的標準差，即，如果xi滿足|xi|>kv，則xi為異常值，應剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯準則系數，與置信區間為95%相對應的k=1.46。這樣，得到了4周歷史數據的10080個時刻的平均值。再采用方差分析的方法的方法對序列進行平穩化，這樣就可以把網絡流量的局部看成統計上近似的平穩。然后將這個局部作為一個滑動時間窗口，窗口的大小設為N。用這N個局部流量數據建立ARMA(n,n-1)模型，來判斷第N+1個數據是否異常(在實時異常檢測中，只需要將時間窗口不斷往前依次滑動[3]。

(2)模型的確定和模型參數的估計

在建模策略上，系統建模法采用ARMA(n，n-1)模型逼近序列{xt}，即

為使建模過程計算盡量簡單，降低階數，我們用直線擬合樣本數據的趨勢，然后提取趨勢項。對提取趨勢項后的數據進行建模研究。

文中建模時的初始猜測值采用逆函數方法確定。它的基本原理是：逆函數系數本身是ARMA模型無窮展開式的自回歸參數，所以對于一個ARMA，可以用無窮階AR模型去逼近。對于ARMA(2n，2n-1)，需要擬和一個AR(2n-1)模型。這一步可以通過求解Yule-Walker方程方法容易地估出AR的系數Φi。把這些AR模型的系數Φi作為ARMA(n，n-1)模型的逆函數系數Ii。逆函數系數的公式如下

將式(2)代入式(1)可以得到算子恒等式，再利用相應的系數相等的方法，得到ARMA(n，n-1)的滑動平均系數Φi，最后利用已知的Φi和Ii求出作為AR模型系數Φi的初始估計值。這樣可以得到ARMA(n，n-1)模型的初始參數Φi和θi。該方法的整個過程都僅涉及到線性方程組的求解，因而計算簡便易于實現，是對高階ARMA模型進行參數初估計的有效方法。這種參數初估計方法不但具有在計算機上容易實現的特點，而且與當前常用的參數初估計方法相比，在參數估計精度上有了較大的提高。

由于最終的ARMA模型方程對參數是非線性的，文章用非線性最小二乘法來逐步逼近的方式來實現殘差平方和的極小化。這個方法從諸參數的初始值開始，利用下式遞歸計算殘差并求得平方和

一旦在參數空間中達到平方和較小的那一點時，則以此點為初始值開始新一次的迭代，迭代一直持續到達到規定的允許誤差為止。文中利用全局收斂的Levenberg-Marquardt修正的高斯-牛頓法算法來迭代計算殘差。一旦達到誤差要求，就可以得到模型的參數和階數。這個方法還可利用局部線性的假設，借助線性最小二乘理論求得各估計參數的近似置信區間。

(3)模型適用性檢驗

文中所用的檢驗判據是F檢驗。 ，式中A0是不受限模型的平方和（較小），A1是受限模型的平方和（較大），F(s，N-r)是具有s和N-r個自由度的F-分布。其中殘差平方和的公式為：RSS=∑a 。用F檢驗來驗證在階數增加的過程中殘差的平方和是否顯著，從而確定在那個顯著性水平上，模型是否合適。同時F判據還可以作為擬合ARMA（2n，2n-1）系列時的停止判據。一旦決定停止在ARMA(2n，2n-1)模型上時，還可以進一步用F-判據判斷是否自回歸階次為奇數。在決定了最終的模型后，也可以用F-判據去判斷是否還有其他理想的模型形式是合適的。

在使用F-判據的同時，還必須使用殘差的自相關檢驗x2來作為進一步的實用性檢驗。x2分布是表征相互獨立的諸標準正態變量平方和的一個分布， 。使用殘差的自相關檢驗來判斷殘差的相互獨立性，從而確定殘差是否是白噪聲序列，進一步確定模型是否合理。

3 入侵檢測系統的功能模塊設計

根據系統的功能需求，可以將流量異常檢測原型系統分成5個基本模塊：流量采集模塊、流量統計模塊、流量異常檢測模塊，報警和響應模塊以及人機交互界面。系統的體系結構如圖1所示。

系統的工作原理是：在局域網的總出口(或被監控的核心主機附近的采集點)采集流量數據；對每個數據包進行分類并統計相關流量信息(如協議和端口使用量等)，將這些統計值保存到特定的存儲結構:并采用異常檢測模塊對這些流量數據進行分析；對于識別出的異常流量分析特征，并通過修改防火墻的規則或者受害主機隔離等方式來抑止和阻斷這些網絡攻擊的進一步發展。最后，安全管理人員可以通過人機交互模塊對查看系統的工作狀態并對系統進行配置和管理[4]。

圖1 系統的體系結構

圖1中的5個模塊的功能分別如下：

(1)流量采集模塊。局域網的總出口或者網絡中被監控的核心服務器附近設置流量采集點，采集所有流經該采集點的流量數據；

(2)流量統計模塊。對所有捕獲的網絡數據包進行拆分，統計各種協議的包的協議類型、源/目標地址、端口、大小、標識位等信息。然后，該模塊以分鐘為時間粒度，統計網絡帶寬利用率、單播/非單播包比率、應用層協議包數量、SYN(SYN+ACK)包比率等統計量進行存儲，等待進一步的處理；

(3)異常檢測模塊。該模塊通過分析網絡流量的幾個統計量來描述其正常的行為模式或者狀態。其中網絡帶寬利用率、單播/非單播包比率是與時間相關的統計量，采用時間序列分析的方法為它們建立ARMA(2,1)模型，并用于檢測這些統計量序列中的異常。通過綜合這些統計量的異常情況，識別出網絡流量中的異常情況，并產生安全事件消息；

(4)報警和響應模塊。如果檢測到異常流量，首先需要報警，使系統和系統管理員可以根據情況選擇不同的處理方法。然后，系統根據報警級別和安全響應策略采取兩種更為主動的響應方式，即防火墻聯動和主機隔離；

(5)人機交互界面。采用基于Web的用戶管理，通過該交互界面可以實現信息查看、闡值設定以及處理報警等功能。系統應該對于檢測出的異常主機進行標記，標記異常的類型、統計量、閡值指標、消息以及異常發生的時間等情況，給系統管理員報告一個異常信息。

4 系統實現與測試

原型系統在Windows 2000環境采用VC++6.0開發，采用SQL Sever 2000作為安全事件數據庫、安全日志、安全響應策略庫等的后臺數據庫。

實驗結果表明，本文設計和實現的網絡流量異常檢測原型系統對于網絡掃描、Dos/Ddos、蠕蟲等類型的網絡攻擊和入侵具有明顯的檢測效果。但是，相對于紛繁變化的網絡攻擊手段，限于軟硬件環境和統計分析技術的缺陷，系統的異常檢測能力還不是很完善，存在著一些不足之處這些都還有待改進。因此，本文的主要目的是希望為同類型的入侵檢測系統或者網絡異常檢測系統的設計和開發提供一種思路和模式，也為建立局域網的立體縱深、多層次防御系統進行一些有益的嘗試。

參考文獻：

[1]宋獻濤.等.入侵檢測系統的分類學研究[J].計算機工程與應用,2002,38(8):132-13.

[2]孫欽東,張德運,高鵬.并行入侵檢測系統的負載均衡算法[J].小型微型計算機,2004,25(12): 2215-2217.

[3]李信滿,趙大哲,趙宏.基于應用的高速網絡入侵檢測系統研究[J].通信學報，2002, 23(9):1-7.

網絡流量監測范文3

1網絡流量監測的必要性及意義

網絡管理中非常重要且非常基礎的一個環節就是網絡流量監測，網絡流量監測即是通過對網絡數據的連續采集，以此來監測網絡的流量。網絡及其重要成分的性能指標也是對網絡流量數據的統計和計算得到的。網絡管理員根據當前的和歷史的存儲網絡及其重要成分的性能的數據數據，就可對網絡及其主要成分的性能進行性能管理，通過數據分析獲得性能的變化趨勢。分析制約網絡性能的瓶頸問題。在網絡流量監測的基礎上，管理員可對感興趣的網絡管理對象設置閾值范圍以配置網絡閾值對象，閾值對象監控實時輪詢網絡獲取定義對象的當前值。若超出閥值的上限和下限則報警，幫助管理員發現網絡瓶頸，這樣即可實現一定程度上的故障管理，而網絡流量監測本身也涉及到安全管理方面的內容。所以，研究網絡流量監測是非常有意義的。

2網絡流量的特性

2.1數據流是雙向的，但通常是非對稱的。互聯網上大部分的應用都是雙向交換數據的，因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異，這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。

2.2大部分TCP會話是短期的。超過90%的TCP會話交換的數據量小于10K字節，會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節，WWW的巨大增長使其在這方面產生了決定性的影響。1.3包的到達過程不是泊松過程大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程，即包到達的間斷時間的分布是獨立的指數分布。然而近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布，而且不是獨立分布的。大部分時候是多個包連續到達，即包的到達是有突發性的。很明顯，泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性，從而促進了網絡通信量模型的研究。

2.3網絡通信量具有局域性。互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和源及目的地址上，從而顯示出基于時間的相關（時間局域性）和基于空間的相關（空間局域性）。

3網絡流量的監測技術與方法

3.1網絡流量的監測技術種類

（1）基于流量鏡像協議分析。流量鏡像（在線TAP）協議分析方式是把網絡設備的某個端口（鏈路）流量鏡像給協議分析儀，通過7層協議解碼對網絡流量進行監測。與其他3種方式相比，協議分析是網絡測試的最基本手段，特別適合網絡故障分析。缺點是流量鏡像（在線TAP）協議分析方式只針對單條鏈路，不適合全網監測。

（2）基于硬件探針的監測技術。硬件探針是一種用來獲取網絡流量的硬件設備，使用時將它串接在需要捕捉流量的鏈路中，通過分流鏈路上的數字信號而獲取流量信息。一個硬件探針監視一個子網（通常是一條鏈路）的流量信息。對于全網流量的監測需要采用分布式方案，在每條鏈路部署一個探針，再通過后臺服務器和數據庫，收集所有探針的數據，做全網的流量分析和長期報告。與其他的3種方式相比，基于硬件探針的最大特點是能夠提供豐富的從物理層到應用層的詳細信息。但是硬件探針的監測方式受限于探針的接口速率，一般只針對1000M以下的速率。而且探針方式重點是單條鏈路的流量分析，Netflow更偏重全網流量的分析。

（3）基于SNMP的流量監測技術?；赟NMP的流量信息采集，實質上是測試儀表通過提取網絡設備Agent提供的MIB（管理對象信息庫）中收集一些具體設備及流量信息有關的變量。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監測技術受到設備廠家的廣泛支持，使用方便，缺點是信息不夠豐富和準確，分析集中在網絡的2、3層的信息和設備的消息。SNMP方式經常集成在其他的3種方案中，如果單純采用SNMP做長期的、大型的網絡流量監控，在測試儀表的基礎上，需要使用后臺數據庫。

（4）基于Netflow的流量監測技術。Netflow流量信息采集是基于網絡設備（Cisco）提供的Netflow機制實現的網絡流量信息采集。Netflow為Cisco之專屬協議，已經標準化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機自身對網絡流量進行統計，并且把結果發送到第3方流量報告生成器和長期數據庫。一旦收集到路由器、交換機上的詳細流量數據后，便可為網絡流量統計、網絡使用量計價、網絡規劃、病毒流量分析，網絡監測等應用提供計數根據。Netflow方式是網絡流量統計方式的發展趨勢。在綜合比較四種技術之后，不難得出以下結論：基于SNMP的流量監測技術能夠滿足網絡流量分析的需要，且信息采集效率高，適合在各類網絡中應用。

3.2網絡流量的監測方法

流量監測包括測量工具/系統的部署、流量數據的采集（包括數據包捕獲、歸并和采樣處理等）、數據包的解析和處理、測量實體量化數值的獲得與統計分析、流量特征化描述、流量存儲和查詢表示、流量建模等多個環節，具有相對復雜的處理和分析過程。目前存在有眾多種流量測量的實現方法，他們可適用不同的測量環境、滿足不同的測量要求，并且有著不同的實現方式。基于硬件的測量通常需要設計和應用特定的硬件設備來對流量數據進行采集和分析。被測量的流量并非由普通的商用計算機直接獲得，而是需要從服務器、交換機、路由器等特定的網絡設備上經過一定處理后導出，然后再由普通的商用計算機完成后續的流量處理和統計分析等工作。不同形式的數據，對應要求在普通的商用計算機上通過不同的程序或軟件實現相應的流量處理和統計分析功能。

網絡流量監測范文4

關鍵詞：網絡流量；監控；意義

中圖分類號：TP393.06 文獻標識碼：A 文章編號：1007-9599 (2012) 09-0000-01

一、網絡流量監視與控制策略

（一）對網絡流量的捕捉與分類。對網絡流量的捕捉與分類是實現網絡流量管理的第一步。要事先設置好捕捉點，對網絡流量加以捕捉與分類，只有這樣才可以做后續的分析及控制工作。更需要進行說明的是，網絡流量分類要實現宏觀化，還可以做到細化。例如TCP、UDP、ICMP的分類方法具有宏觀特點，而其中的HTTP、FTP包括Kazza、Skype之類的P2P流量在分類及識別方面還要進一步對其細化。比如我們的日常工作，網管人員可以借助于Wireshark、TCPDump等進行報文捕捉與分析軟件對流量做捕捉與分類工作。（二）對網絡流量的監視。監視網絡流量的大小，可以找到問題的原因與狀況，然后按照相應的管理策略執行有關的操作。應用程序與網絡管理對各類信息進行收集與分類，并對收集的信息進行展示，所展示的內容主要有對帶寬的利用率、活躍的主機與網絡效率及相關的應用程序。這一目標主要是利用了市面上的可視化分析管理工具NTOP來實現這一管理的，對網絡管理員進行協助。（三）對網絡流量的控制策略。對網絡流量的分析主要是因優先級別不同而分配一定的帶寬資源。這些分配主要是對主機及應用進行的等等，我們要對所消耗資源的P2P程序及音頻視頻下載等程序做進一步的分析。它的具體操作時間主要以常用的流量控制工具對其實現，比如采取的分類監視與網絡流量的控制，這樣，我們可以對網絡流量做有效的管理，將無序的網絡流量變成有序的網絡流量。

二、網絡流量測量方法與選擇

當前，我們通常使用的網絡流量的測量方式包括以下兩種。

（一）利用計算機對網絡進行偵聽，比如利用“嗅控器”進行偵聽的Sniffer工具，這種方式不能使所有對象的流量都被監聽到，比如對路由器的要求主要是達到路由器與偵聽計算機同屬于一個物理網段。（二）在網絡對象中直接獲取流量，在使用SNMP協議時，對它所提供的基本功能中的Get2Re2quest與Get2NextReq都屬于一個M IB數據庫表，并從中可以獲取所需相關信息。比如利用免費工具軟件METG對其進行分析，它得到的監控結果主要是一個GIF或者PNG格式的圖形文件，再把這些圖形文件植入到標準的HTML頁面之中。

三、網絡流量測量的實現

（一）對數據采集與存儲主要是通過流量監控管理系統來實現的，利用Linux AS4. 0這一操作系統，通過C語言編程完成這一功能，借助ucd-snmp軟件包完成對網絡設備MIB信息的獲取。比如UCD-SNMP軟件具有多個SNMP工具，它具有可擴展、SNMP庫、對SNMP消息的查詢及設置、對SNMP陷阱工具的產生與處理、利用SNMP的netstat命令、實現管理系統庫瀏覽器Tk/Perl的作用。對ucd-snmp軟件包的安裝調試以后，可以在shell下面使用/usr/local/snmp/sbin/snmpd，也可以加在/etc/rc. d/rc. Local之中，實現開機后的自動啟動功能。（二）Web服務器具有用戶查詢及交互模傳統方式，它主要是一種基于C/S架構的管理模式，在Web技術不斷走向成熟以及被大面積應用的基礎上，一種基于Web的全新的網絡管理WBM(Web-BasedManagement)，具有靈活性、易操作性的服務產生。我們利用本系統的設計，對網絡管理信息的數據經SNMP在MIB庫中進行收集，在網絡管理系統所做的過濾、分析、加工處理以后，在Web服務器做好數據的存儲。管理員利用Web技術借助于瀏覽器本地或者遠程訪問流量監控系統，對WBM技術與傳統的網絡及設備管理系統進行對比，利用分布性、用戶界面各種不同的操作優勢，在動態網頁PHP的函數集中對臺戲SNMP協議應用于網管函數的接口中。在使用PHP時，不斷完成輪詢操作。而PHP所提供的網管函數庫與數據采集模塊的Agent通過交互對流量進行監控。它還利用PHP語言與Ajax技術對Web管理頁面進行了創建，利用標準的接口，將用戶的HTTP格式的請求再做進一步的轉換工作，使其成為了一種SNMP協議的格式，再將SNMP協議數據單元進行轉換，使其成為HTTP格式，對用戶的瀏覽器界面進行顯示。還要對Ajax(“Asynchronous JavaScriXML”，即異步JavaScript和XML)窗體技術加以利用。主要是將XMLHttpRequ應用于JavaScript腳本所提供的頁面之內，再通過服務器通信的手段，使JavaScript不用刷新頁面就可以實現對數據的獲取，而不用對整個頁面進行刷新。

四、網絡流量監控的意義

P2P技術用以通訊，僅一到兩臺電腦的P2P軟件就可以對整個局域網的所有帶寬資源加以搶占。因此，要保證企業網絡的能夠穩定運行，還要對流量進行監控與限制。對局域網流量的監控限制主要有以下解決方案：

（一）對每臺機器進行流量的分配。在Linux操作系統中有流量控制的作用，它主要是利用輸出端口的一個隊列完成流量的控制。借助于linux的網關，就可以對每臺機器的流量進行設置。我們還可以利用局域網的流量監控軟件對流量進行監控。這一方案主要是對網關或者網橋的連接方式加以設置，所以在提高網速方面有一定的影響。（二）到網絡流量管理中使用流量控制，主要是使網絡管理者實現對網絡資源與業務資源的帶寬加以控制，并對其資源加以調度，可以通過HTTP、FTP、SMTP以及P2P的應用加以管理，特別是對通過對P2P流量進行抑制以提升傳統數據業務的用戶體驗度。另一方面，流量控制對網絡流量管理具有一定的作用，可以對業務資源進行調度，并對業務資源進行使用，對業務狀態進行實時監控。（三）對流量進行控制主要是在輸出端口對一個隊列進行流量的控制，控制的方式可以通過路由，也就是通過IP地址或者目的子網的網絡號進行設計。對流量進行控制主要是對功能模塊以隊列、分類及過濾的方式實現。因為網絡流量的種類較多，網絡管理員的管理要以分類的方式完成。在城域網網絡規劃和擴容可以參考網絡流量模型來實現，xFlow與探針能獲得流量模型的控制，困為探針具有應用協議的分析能力，可以深入分析流量。然后在城域網接入層、匯聚層以及在城域網出口的每個層面安裝探針，對流量進行監測與分析，從而得到相對完整的流量模型。我們所提出的P2P應用是網絡帶寬的一種主要的消耗者，對P2P流量進行疏導，可以實現它的本地化，可以對承載網絡流量流向進行優化，另外還可以對用戶感知進行提升，它也城域網的未來發展方向之一。

參考文獻：

網絡流量監測范文5

關鍵詞： 網絡測量；網絡性能指標；網絡流量測量儀

0 引言

隨著現代科學技術的發展，人們的生活越來越依賴于計算機網絡，借助于網絡人們可進行工作、娛樂、購物等等，滲入到生活的各個方面。同時，計算機網絡的發展也是日新月異，網絡的復雜度也越來越高，所以網絡性能的測量，有助于對網絡性能有效的預報和控制，及時發現網絡出現的問題并找到解決方法。網絡測量可以這樣理解，使用的軟、硬件測量工具或者軟硬件結合的工具，對網絡性能的的各項指標進行測量，并對網絡性能的狀況作出客觀的分析。

1 網絡測量分類和主要研究領域

目前，對網絡測量的分類有很多。根據測量的內容可以分為拓撲測量與性能測量；根據測量方式可以分為主動測量和被動測量；根據測量點的多少可分為單點測量與多點測量；根據測量采用的協議可分為基于BGP（Border Gateway Protocol，邊界網關協議）協議的測量、基于TCP/IP協議的測量以及基于SNMP協議的測量。在主動測量方式中，需要短暫斷網，向網絡中發送數據，通過觀察收到的數據，對網絡性能進行分析。被動測量不需要斷網，通過鏡像或者串接的模式連接到網絡中，記錄網絡中產生的數據，并進行分析。

一般的網絡測量的主要參數包括RTT（往返時延）、路徑數據、帶寬、延遲、擁塞程度、吞吐量、帶寬利用率、丟包率、服務器和網絡設備的響應時間、最大的網絡流量、網絡服務質量QoS等。

2 網絡流量測量

目前，上網用戶日益增多，隨之而來的是用戶對自己上網產生的流量并不透明，上網產生的流量精度與否，用戶也是不甚明了，由此而產生的爭議不斷上演。通過對網絡流量的測量，不僅可以對計算機網絡的動態使用情況進行掌握，而且對流量的準確監測，對用戶的合法權益維護也具有重要的意義。對網絡流量性能可以通過網絡流量模型進行預測，流量測量不僅僅是用在流量的測量上，還能夠應用在安全管理、性能管理、計費管理等方面。

3 網絡流量測量儀的設計

3.1 網絡流量測試儀的設計思路

針對目前沒有一款網絡流量測量儀是從計量方面來進行網絡流量監控，此款網絡流量測量儀主要是從用戶端進行流量計量，能夠在一定時間內對用戶產生的流量進行精確統計，精度是現行電信運營商的精度的0.3倍。

網絡流量測試儀采用串聯的方式連接在線路中，儀器的一個端口連接電信運營商的網絡，另一個端口連接用戶電腦，連接方式。

3.2 網絡流量測量儀的硬軟件結構

網絡流量測量儀是由一塊FPGA，在物理層有兩個RJ45網卡接口、存儲器、LCD和控制面板等組成，其硬件結構。

網絡流量測量儀依據的標準是IEEE802.3以太網絡通訊協議，通過計算MAC層的數據來統計流量大小。網絡流量測量儀的軟件結構三個模塊組成：實時數據處理和分析模塊、流量統計和計量模塊和LCD顯示模塊。

3.3 網絡流量測量儀的工作流程

網絡流量測量儀的主要功能就是對上網流量進行計量，這也是設計此儀器的核心所在，所以儀器的首要功能是精確可靠的統計上網產生的數據，通過幀的接收、驗證、計算，數據包括上下行流量，然后通過查詢功能對得到的數據在LCD上顯示出來。

4 結論

網絡流量測量儀采用軟硬件結合的方法，在用戶端進行網絡流量統計，從模擬驗證來看，可以精確對用戶的上網流量進行測量，填補了我國在網絡流量計量方面的空白，維護了消費者的合法權益，具有一定的社會和經濟效益。

參考文獻：

[1]王寧、羅軍勇，一種關于重疊服務網絡的可用帶寬測量技術[J].微計算機信息，2005（23）.

[2]王存立、吳捷，服務質量測量技術及其應用[J].中興通訊技術，2003（04）.

網絡流量監測范文6

[關鍵詞]網絡流量流(Flow)

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210099-01

隨著IT、網絡技術的迅猛發展和企業信息化程度的不斷提高,各種網絡應用越來越豐富。因此,如何保證網絡的可用性和關鍵業務的暢通運行,對網絡正常健康的發展將起到至關重要的作用。維持正常網絡運轉,就需要有相應的技術手段,明確了解網絡上各種應用的帶寬占用情況,分析用戶流量行為,以便合理的規劃和分配網絡帶寬,有效地保障關鍵業務應用的正常運行。尤其是在發生流量異常的同時,迅速有效的分離和抑制異常流量,對非法業務實行遏止,使網絡流量能保持其健壯性。

常用的網絡流量和協議分析有四種方法:

一、基于SNMP

MRTG是最常使用并且最典型的一種基于SNMP的產品。其安裝過程非常簡便,其結果輸出采用Web頁面方式,因此需要在相應的平臺上安裝系統,如NT上需要安裝IIS,UNIX則需要安裝apache。MRTG通常被網絡管理人員用來收集網絡節點端口流量統計信息,是典型的監視網絡鏈路流量負荷的工具。MRTG的定制非常方便,一般可以在網絡的重要節點端口和故障發生頻繁的網絡設備處利用MRTG進行監視,這些監視包括:關鍵鏈路流量和關鍵節點性能狀況。

MRTG的優點是安裝、定制簡單,結果采用Web方式輸出方便實用,而且是免費產品,在世界各地有很多的開發人員不斷對其升級和改進。MRTG的缺點是功能較單一,分析功能不強,其收集到的流量信息是端口的統計信息,不能用于復雜的分析。

二、基于網絡探針(Probe)

流量探針是一種用來獲取網絡流量的硬件設備,使用時將它串接在需要捕捉流量的鏈路中,通過分流鏈路上的數字信號而獲取流量信息,分析的結果存儲在探針的內存或磁盤之中,具體的前端展現依賴與之對應的專門軟件。因此具有效率高、可靠性高、高速運行不丟包的特點。流量探針安裝非常方便,可以實時將RMON II的流量信息完全記錄下來,這對分析網絡的性能和故障很有價值。如果將流量探針串接到Catalyst系列交換機端口,開啟端口映射(Span Port)功能,將各個端口的流量映射到安裝了流量探針的端口,則僅通過對一個端口的監測就可以收集到多個端口的流量信息。端口映射(Span Port)是由Cisco公司提出的概念,在其Catalyst系列設備上都可以實現。其它廠商如Foundry公司的交換機也提供端口映射的功能,但現在還不支持跨交換機的映射。

流量探針的安裝很簡單,可以用于高速(千兆)的網絡而不影響網絡性能,流量探針可以實時捕捉包,但其成本高,不同的物理鏈路,因其采樣方法也不同,而需要使用不同種探針。

三、基于實時抓包分析

基于實時抓包的分析技術提供詳細的從物理層到應用層的數據分析。但該方法主要側重于協議分析,而非用戶流量訪問統計和趨勢分析,僅能在短時間內對流經接口的數據包進行分析,無法滿足大流量、長期的抓包和趨勢分析的要求。常見的產品有NAI的Sniffer Pro,免費的tcpdump、ethereal等。

通過端口映射Sniffer Portable可以實時采集多種數據并保存到數據庫中,同時可以通過其分析部件實時監視和顯示這些數據的統計信息。利用Sniffer Portable的數據捕捉功能可以在短時間內對網絡流量進行實時采集,這些采集到的流量數據可以包含整個包的信息,也可以只是包的一部分。利用捕獲到的包可以進行協議分析、數據重組(如重組E-mail)等工作。對包的解碼和分析是Sniffer工具的一個最有特色的,也是最強大的功能。

當不采用廠家的特殊硬件系統,Sniffer Portable只能用于100Mbit/s

及以下速率鏈路,網絡中可以安裝多個Sniffer Portable,但它們都是相互獨立的,分別有各自的數據庫,收集到的數據獨立存放,這對于整個網絡的分析帶來一定難度,因此它特別適合小范圍內的性能維護和分析;Sniffer Portable分析能力特別強大,可以解析近370種協議。當要求對更高速(GE或POS 2.5Gbit/s)的鏈路采集流量,或者是全面收集大型網絡的流量時,可以采用Sniffer的硬件產品及其分布式系統,但其價格昂貴。

四、基于流(Flow)的流量分析

目前基于流的分析技術主要有兩種:sFlow和NetFlow。sFlow是由InMon、HP和Foundry Networks聯合開發的一種網絡監測技術,它采用數據流隨機采樣技術,可以適應超大網絡流量(如大于2.5Gbps)環境下的流量分析,讓用戶詳細、實時地分析網絡傳輸流的性能、趨勢和存在的問題。目前,僅有HP、Foundry和Extreme Networks等廠商的部分型號的交換機支持sFlow。NetFlow[13]是Cisco公司開發的技術,它既是一種交換技術,又是一種流量分析技術,同時也是業界主流的計費技術之一。它可以回答有關IP流量的如下問題:誰在什么時間、在什么地方、使用何種協議、訪問誰、具體的流量是多少等問題。NetFlow因為其技術和Cisco網絡產品的市場占有率優勢而成為當今主流的流量分析技術之一。NetFlow的配置非常方便、安裝簡單,除了需要在路由器上配置之外,只需要一臺UNIX工作站作為流的收集工作站,所有路由器或交換機上發送的NetFlow流都將送到此工作站集中,方便處理和分析。NetFlow流信息量特別豐富,可以為流量分布、業務分布等性能分析提供最充足的數據,但需要消耗一定的路由器資源(CPU和內存)且不能實時捕捉數據包。根據NetFlow的特點可知,其非常適用于大型的網絡,和流量探針、Sniffer等比較,NetFlow成本最低,實施最方便,而且不受速率的限制,是數據流量采集的發展方向。

基于Flow的分析方法將成為趨勢,在上面所提到的四種方法中,基于Flow的分析方法應該是網絡流量分析技術的趨勢。這是它的技術實現理論所決定的。

參考文獻:

[1]朱士瑞,基于小波分析的異常檢測系統[D].江蘇大學碩士學位論文,2006.

[2]陳寶鋼、張凌、許勇,基于P2P應用的網絡流量特征分析[J].計算機應用,2005,Vol.27,No.3.

[3]顧榮杰、晏蒲柳、鄒濤,基于統計方法的骨干網異常流量建模與預警方法研究[J].計算機科學,2006,Vol.33,No.2.