導(dǎo)語：如何才能寫好一篇網(wǎng)絡(luò)流量分析的方法，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

【關(guān)鍵詞】IP網(wǎng)絡(luò)流量分析；互聯(lián)網(wǎng)；技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析是一個(gè)有助于網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)監(jiān)控、流量趨勢分析等工作的工具，進(jìn)而挖掘網(wǎng)絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基礎(chǔ)依據(jù)，企業(yè)需要及時(shí)了解到網(wǎng)絡(luò)中承載的業(yè)務(wù)，及時(shí)掌握網(wǎng)絡(luò)流量特征，及時(shí)解決網(wǎng)絡(luò)性能問題。從這些企業(yè)管理網(wǎng)絡(luò)中所經(jīng)常遇到的問題來看，需要有一種解決方案能讓網(wǎng)絡(luò)管理人員及時(shí)了解到詳細(xì)的網(wǎng)絡(luò)使用情形，使網(wǎng)絡(luò)管理人員及時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況，及時(shí)清楚網(wǎng)內(nèi)應(yīng)用的執(zhí)行情況。隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

1.網(wǎng)絡(luò)流量分析方法

網(wǎng)絡(luò)流量是單位時(shí)間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量。網(wǎng)絡(luò)流量分析根據(jù)不同的方法可以從不同的側(cè)面展開，目前，主要的分析方法有流量的統(tǒng)計(jì)分析和流量的粒度分析等。

1.1 網(wǎng)絡(luò)流量的統(tǒng)計(jì)分析

（1）基于軟件的流量統(tǒng)計(jì)

這種統(tǒng)計(jì)分析一般通過修改安裝于主機(jī)上的操作系統(tǒng)的網(wǎng)絡(luò)接口模塊，使之具有捕獲數(shù)據(jù)包的功能，以實(shí)現(xiàn)流量信息的收集和分析。基于硬件的流量統(tǒng)計(jì)效率很高，專用性強(qiáng)，但是價(jià)格昂貴對人員要求高，而基于軟件的流量統(tǒng)計(jì)有價(jià)格便宜，實(shí)現(xiàn)靈活，擴(kuò)展性強(qiáng)的優(yōu)點(diǎn)，但其性能要低于基于硬件的統(tǒng)計(jì)技術(shù)。因此，流量統(tǒng)計(jì)方法有待進(jìn)一步的提高，以適應(yīng)網(wǎng)絡(luò)快速發(fā)展的需求。

（2）基于硬件的流量統(tǒng)計(jì)

此類分析通常采用硬件測量設(shè)備，是一種為特定目的設(shè)計(jì)的用于收藏和分析流量數(shù)據(jù)的硬件設(shè)備。

1.2 網(wǎng)絡(luò)流量的粒度分析

網(wǎng)絡(luò)流量行為特征的分析還可以在不同測量粒度或者不同的層面上展開。

比特級（Bit-level）的流量分析，這種分析主要關(guān)注網(wǎng)絡(luò)流量的數(shù)據(jù)特征，如網(wǎng)絡(luò)線路的傳輸速率，吞吐量的變化等等。

分組級（Packet-level）的流量分析，此類分析主要關(guān)注的是IP分組的到達(dá)過程、延遲、抖動和丟包率等。

流級（Flow-level）的流量分析，F(xiàn)low的劃分主要依據(jù)地址和應(yīng)用協(xié)議而展開的，它主要關(guān)注流的到達(dá)過程、到達(dá)間隔及其局部的特征。

上面流量的粒度由小到大遞增，時(shí)間尺度也逐漸增大，不同時(shí)間尺度網(wǎng)絡(luò)流量往往表現(xiàn)出不同的行為規(guī)律。通常，網(wǎng)絡(luò)設(shè)備本身都提供基于IP分組頭的分析功能，因此，F(xiàn)low-level的流量分析成為發(fā)展趨勢。

2.網(wǎng)絡(luò)流量分析常用技術(shù)

隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)流量分析技術(shù)也與時(shí)俱進(jìn)。既有傳統(tǒng)的數(shù)據(jù)庫的網(wǎng)絡(luò)管理技術(shù)，也有面向開放式互聯(lián)網(wǎng)的網(wǎng)絡(luò)分析技術(shù)。目前，在網(wǎng)絡(luò)流量分析中占據(jù)主流的常用分析技術(shù)主要有：

2.1 RMON技術(shù)

RMON（遠(yuǎn)程監(jiān)控），是由IETF定義的一種遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)，RMON是對SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及網(wǎng)管站和遠(yuǎn)程監(jiān)控器之間的接口，實(shí)現(xiàn)對一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能。RMON監(jiān)控器叮用兩種方法收集數(shù)據(jù)：一種是通過專用的RMON探針（Probe），流量探針安裝方便，但是流量探針價(jià)格昂貴，不適合大面積部署。另一種方法是將RMON直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、HUB等），但這種方式受網(wǎng)絡(luò)設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集統(tǒng)計(jì)量、歷史、告警、事件等四個(gè)組的信息。

2.2 SNMP技術(shù)

SNMP是用標(biāo)準(zhǔn)化方法定義的，通常一個(gè)標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)包括三個(gè)組成部分：SNMP協(xié)議，這包括理解SNMP操作、SNMP消息的格式以及如何在應(yīng)用程序和設(shè)備之間交換信息；管理信息結(jié)構(gòu)，它是用于指定一個(gè)設(shè)備維護(hù)的管理信息的規(guī)則集；管理信息庫，它是設(shè)備所維護(hù)的全部被管理對象的結(jié)構(gòu)集合。基于SNMP的流量分析就是通過SNMP協(xié)議訪問設(shè)備獲取MIB庫中的端口流量信息，典型工具有MRTG，MRTG是一個(gè)使用的免費(fèi)軟件，通過SNMP協(xié)議從設(shè)備得到流量信息，將流量負(fù)載情況繪制成PNG格式圖片，并以WEB形式顯示給用戶。由于M RTG使用起來很方便，能夠直觀顯示端口流量負(fù)載，所以是各類網(wǎng)管人員常用的網(wǎng)絡(luò)監(jiān)視工具。但MRTG的功能比較單一，其收集到的流量信息僅是簡單的端口出、入流量統(tǒng)計(jì)信息，不能深入分析包的類型、流向等信息。

2.3 s Flow技術(shù)

s Flow是由InMon﹑HP和Foundry Networks于2001年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機(jī)采樣技術(shù)，可提供完整的第一層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量（如人于10Gbit/s）環(huán)境下的流量分析，讓用戶詳細(xì)、實(shí)時(shí)地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題。sFlow技術(shù)有很多優(yōu)點(diǎn)：成本低廉；在不斷發(fā)展升級當(dāng)中，能在沒有消耗額外資源的環(huán)境監(jiān)測萬兆網(wǎng)絡(luò)，不會帶來新的網(wǎng)絡(luò)沖突；有自己的一套準(zhǔn)確可靠的計(jì)量方式；數(shù)據(jù)信息量人。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使實(shí)現(xiàn)而向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。

3.網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用

網(wǎng)絡(luò)流量分析起著一個(gè)銜接的作用，主要利用網(wǎng)絡(luò)流量測量部分收集到的各種流量信息，通過運(yùn)用不同的方法對其進(jìn)行分析和建模，以發(fā)現(xiàn)流量的特性，對網(wǎng)絡(luò)性能做出客觀的評價(jià)，并以此作為對網(wǎng)絡(luò)進(jìn)行控制和優(yōu)化的依據(jù)。網(wǎng)絡(luò)流量分析技術(shù)的應(yīng)用主要包括以下兒個(gè)方面：

3.1 實(shí)施安全預(yù)警

網(wǎng)絡(luò)流量異常會嚴(yán)重影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)擁塞，嚴(yán)重的甚至?xí)W(wǎng)絡(luò)中斷，使網(wǎng)絡(luò)設(shè)備利用率達(dá)到100%無法響應(yīng)進(jìn)一步的指令。通過對網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流量，迅速分析出異常流量的具體屬性，并向網(wǎng)絡(luò)管理者進(jìn)行告警，判斷是否出現(xiàn)了入侵，并按照事先擬定的規(guī)則集進(jìn)行處理，記錄異常情況發(fā)生時(shí)的詳細(xì)網(wǎng)絡(luò)狀況，使入侵得到及時(shí)發(fā)現(xiàn)和處理。

3.2 分析用戶行為

根據(jù)分析結(jié)果，進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)！將用戶感興趣的熱點(diǎn)信息內(nèi)容放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。

3.3 節(jié)省運(yùn)營費(fèi)用

通過對網(wǎng)絡(luò)出口流量和流向的分析，可以統(tǒng)計(jì)出業(yè)務(wù)類型、服務(wù)等級、通信時(shí)間和時(shí)長、通信數(shù)據(jù)量等參數(shù)，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對其他外部網(wǎng)絡(luò)的訪問情況，為基于IP的計(jì)費(fèi)應(yīng)用和SLA的校驗(yàn)服務(wù)提供數(shù)據(jù)依據(jù)，從而有效地選擇與其他運(yùn)營商的互聯(lián)方式，節(jié)省費(fèi)用。

3.4 優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)

通過對網(wǎng)絡(luò)中一些特定流量的長期監(jiān)控，獲得網(wǎng)絡(luò)流量數(shù)據(jù)后對其進(jìn)行統(tǒng)計(jì)和計(jì)算。從而得到網(wǎng)絡(luò)及其主要成分的性能指標(biāo)，定期形成性能報(bào)表，并維護(hù)網(wǎng)絡(luò)流量數(shù)據(jù)庫或日志存儲網(wǎng)絡(luò)及其主要成分的性能的歷史數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，對網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理。通過數(shù)據(jù)分析獲得性能的變化趨勢，分析制約網(wǎng)絡(luò)性能的瓶頸問題。

3.5 評估網(wǎng)絡(luò)價(jià)

通過對各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)控，分析流量的大小﹑去向及內(nèi)容組成，了解各分支網(wǎng)絡(luò)占用帶寬的情況。從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè)務(wù)開展情況，并作出價(jià)值評估。

3.6 確定重點(diǎn)客戶

通過對重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析。掌握重要應(yīng)用和大客戶的流量狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析。有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得最佳平衡。

4.網(wǎng)絡(luò)流量分析的重要性

相對于網(wǎng)絡(luò)管理人員來說，理解用戶的網(wǎng)絡(luò)行為網(wǎng)絡(luò)流量的內(nèi)容是網(wǎng)絡(luò)管理的重要內(nèi)容，它為日常網(wǎng)絡(luò)管理﹑容量規(guī)劃與未來網(wǎng)絡(luò)升級等提供重要依據(jù)，通過網(wǎng)絡(luò)流量分析，可以提供大量詳盡的數(shù)據(jù)，供網(wǎng)管人員從很多方面進(jìn)行更好地維護(hù)﹑優(yōu)化網(wǎng)絡(luò)，并且提升網(wǎng)絡(luò)的性能；同時(shí)還能為業(yè)務(wù)應(yīng)用層面提供數(shù)據(jù)依據(jù)，為特定客戶提供流量分析服務(wù)。比如網(wǎng)站流量統(tǒng)計(jì)分析等；也可作為網(wǎng)絡(luò)安全的輔助手段，處理網(wǎng)絡(luò)病毒等異常事件。在病毒分析時(shí)，網(wǎng)絡(luò)管理員需要知道哪些端口發(fā)送的數(shù)據(jù)發(fā)生了較大變化，因此，對網(wǎng)絡(luò)流量的分析可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息和深層次的管理功能，很好地發(fā)揮網(wǎng)絡(luò)管理作用。對于網(wǎng)絡(luò)性能分析﹑異常監(jiān)測﹑鏈路狀態(tài)監(jiān)測﹑容量規(guī)劃等發(fā)揮著重要作用。為網(wǎng)絡(luò)發(fā)展和網(wǎng)絡(luò)優(yōu)化提供更優(yōu)質(zhì)﹑更有效的技術(shù)支撐和技術(shù)服務(wù)，可以預(yù)見，隨著網(wǎng)絡(luò)的發(fā)展，流量分析工作將在網(wǎng)絡(luò)管理中起到越來越重要的作用。

參考文獻(xiàn)

[1]李萬鵬.網(wǎng)絡(luò)流量控制及流量分析[D].北京郵電大學(xué)，2011.

篇2

1網(wǎng)絡(luò)流量監(jiān)測的必要性及意義

網(wǎng)絡(luò)管理中非常重要且非常基礎(chǔ)的一個(gè)環(huán)節(jié)就是網(wǎng)絡(luò)流量監(jiān)測，網(wǎng)絡(luò)流量監(jiān)測即是通過對網(wǎng)絡(luò)數(shù)據(jù)的連續(xù)采集，以此來監(jiān)測網(wǎng)絡(luò)的流量。網(wǎng)絡(luò)及其重要成分的性能指標(biāo)也是對網(wǎng)絡(luò)流量數(shù)據(jù)的統(tǒng)計(jì)和計(jì)算得到的。網(wǎng)絡(luò)管理員根據(jù)當(dāng)前的和歷史的存儲網(wǎng)絡(luò)及其重要成分的性能的數(shù)據(jù)數(shù)據(jù)，就可對網(wǎng)絡(luò)及其主要成分的性能進(jìn)行性能管理，通過數(shù)據(jù)分析獲得性能的變化趨勢。分析制約網(wǎng)絡(luò)性能的瓶頸問題。在網(wǎng)絡(luò)流量監(jiān)測的基礎(chǔ)上，管理員可對感興趣的網(wǎng)絡(luò)管理對象設(shè)置閾值范圍以配置網(wǎng)絡(luò)閾值對象，閾值對象監(jiān)控實(shí)時(shí)輪詢網(wǎng)絡(luò)獲取定義對象的當(dāng)前值。若超出閥值的上限和下限則報(bào)警，幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸，這樣即可實(shí)現(xiàn)一定程度上的故障管理，而網(wǎng)絡(luò)流量監(jiān)測本身也涉及到安全管理方面的內(nèi)容。所以，研究網(wǎng)絡(luò)流量監(jiān)測是非常有意義的。

2網(wǎng)絡(luò)流量的特性

2.1數(shù)據(jù)流是雙向的，但通常是非對稱的。互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2.2大部分TCP會話是短期的。超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié)，會話持續(xù)時(shí)間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響。1.3包的到達(dá)過程不是泊松過程大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過程是泊松過程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。然而近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

2.3網(wǎng)絡(luò)通信量具有局域性。互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)（時(shí)間局域性）和基于空間的相關(guān)（空間局域性）。

3網(wǎng)絡(luò)流量的監(jiān)測技術(shù)與方法

3.1網(wǎng)絡(luò)流量的監(jiān)測技術(shù)種類

（1）基于流量鏡像協(xié)議分析。流量鏡像（在線TAP）協(xié)議分析方式是把網(wǎng)絡(luò)設(shè)備的某個(gè)端口（鏈路）流量鏡像給協(xié)議分析儀，通過7層協(xié)議解碼對網(wǎng)絡(luò)流量進(jìn)行監(jiān)測。與其他3種方式相比，協(xié)議分析是網(wǎng)絡(luò)測試的最基本手段，特別適合網(wǎng)絡(luò)故障分析。缺點(diǎn)是流量鏡像（在線TAP）協(xié)議分析方式只針對單條鏈路，不適合全網(wǎng)監(jiān)測。

（2）基于硬件探針的監(jiān)測技術(shù)。硬件探針是一種用來獲取網(wǎng)絡(luò)流量的硬件設(shè)備，使用時(shí)將它串接在需要捕捉流量的鏈路中，通過分流鏈路上的數(shù)字信號而獲取流量信息。一個(gè)硬件探針監(jiān)視一個(gè)子網(wǎng)（通常是一條鏈路）的流量信息。對于全網(wǎng)流量的監(jiān)測需要采用分布式方案，在每條鏈路部署一個(gè)探針，再通過后臺服務(wù)器和數(shù)據(jù)庫，收集所有探針的數(shù)據(jù)，做全網(wǎng)的流量分析和長期報(bào)告。與其他的3種方式相比，基于硬件探針的最大特點(diǎn)是能夠提供豐富的從物理層到應(yīng)用層的詳細(xì)信息。但是硬件探針的監(jiān)測方式受限于探針的接口速率，一般只針對1000M以下的速率。而且探針方式重點(diǎn)是單條鏈路的流量分析，Netflow更偏重全網(wǎng)流量的分析。

（3）基于SNMP的流量監(jiān)測技術(shù)。基于SNMP的流量信息采集，實(shí)質(zhì)上是測試儀表通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對象信息庫）中收集一些具體設(shè)備及流量信息有關(guān)的變量。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監(jiān)測技術(shù)受到設(shè)備廠家的廣泛支持，使用方便，缺點(diǎn)是信息不夠豐富和準(zhǔn)確，分析集中在網(wǎng)絡(luò)的2、3層的信息和設(shè)備的消息。SNMP方式經(jīng)常集成在其他的3種方案中，如果單純采用SNMP做長期的、大型的網(wǎng)絡(luò)流量監(jiān)控，在測試儀表的基礎(chǔ)上，需要使用后臺數(shù)據(jù)庫。

（4）基于Netflow的流量監(jiān)測技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備（Cisco）提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。Netflow為Cisco之專屬協(xié)議，已經(jīng)標(biāo)準(zhǔn)化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機(jī)自身對網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，并且把結(jié)果發(fā)送到第3方流量報(bào)告生成器和長期數(shù)據(jù)庫。一旦收集到路由器、交換機(jī)上的詳細(xì)流量數(shù)據(jù)后，便可為網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)使用量計(jì)價(jià)、網(wǎng)絡(luò)規(guī)劃、病毒流量分析，網(wǎng)絡(luò)監(jiān)測等應(yīng)用提供計(jì)數(shù)根據(jù)。Netflow方式是網(wǎng)絡(luò)流量統(tǒng)計(jì)方式的發(fā)展趨勢。在綜合比較四種技術(shù)之后，不難得出以下結(jié)論：基于SNMP的流量監(jiān)測技術(shù)能夠滿足網(wǎng)絡(luò)流量分析的需要，且信息采集效率高，適合在各類網(wǎng)絡(luò)中應(yīng)用。

3.2網(wǎng)絡(luò)流量的監(jiān)測方法

流量監(jiān)測包括測量工具/系統(tǒng)的部署、流量數(shù)據(jù)的采集（包括數(shù)據(jù)包捕獲、歸并和采樣處理等）、數(shù)據(jù)包的解析和處理、測量實(shí)體量化數(shù)值的獲得與統(tǒng)計(jì)分析、流量特征化描述、流量存儲和查詢表示、流量建模等多個(gè)環(huán)節(jié)，具有相對復(fù)雜的處理和分析過程。目前存在有眾多種流量測量的實(shí)現(xiàn)方法，他們可適用不同的測量環(huán)境、滿足不同的測量要求，并且有著不同的實(shí)現(xiàn)方式。基于硬件的測量通常需要設(shè)計(jì)和應(yīng)用特定的硬件設(shè)備來對流量數(shù)據(jù)進(jìn)行采集和分析。被測量的流量并非由普通的商用計(jì)算機(jī)直接獲得，而是需要從服務(wù)器、交換機(jī)、路由器等特定的網(wǎng)絡(luò)設(shè)備上經(jīng)過一定處理后導(dǎo)出，然后再由普通的商用計(jì)算機(jī)完成后續(xù)的流量處理和統(tǒng)計(jì)分析等工作。不同形式的數(shù)據(jù)，對應(yīng)要求在普通的商用計(jì)算機(jī)上通過不同的程序或軟件實(shí)現(xiàn)相應(yīng)的流量處理和統(tǒng)計(jì)分析功能。

篇3

關(guān)鍵詞：流量監(jiān)測；winpcap；網(wǎng)絡(luò)數(shù)據(jù)流量分析

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量特征的研究近年來引起了人們廣泛關(guān)注。網(wǎng)絡(luò)數(shù)據(jù)流量分析系統(tǒng)的定位重點(diǎn)在對網(wǎng)絡(luò)流量的流量、流向、協(xié)議的細(xì)節(jié)監(jiān)視和分析，網(wǎng)絡(luò)安全監(jiān)視。在容量規(guī)劃、入侵檢測和路由優(yōu)化時(shí)，網(wǎng)絡(luò)管理員需要知道網(wǎng)絡(luò)的數(shù)據(jù)流量情況和盡量多的測量信息。

2 關(guān)鍵技術(shù)

⑴數(shù)據(jù)流。數(shù)據(jù)流是指輸入數(shù)據(jù)a1，a2，..按順序到達(dá)。這些數(shù)據(jù)描述了一個(gè)信號A。A是一個(gè)一維函數(shù)A：[1...N]R2。模型取決于ai如何描述A。本文把數(shù)據(jù)流技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)管理技術(shù)相結(jié)合， 取得了較好的應(yīng)用效果。

⑵流量監(jiān)測原理。網(wǎng)絡(luò)流量監(jiān)測有主動監(jiān)測和被動監(jiān)測兩種不同的實(shí)現(xiàn)方法。主動測量方法是向被測網(wǎng)絡(luò)中注入附加的“探測流量”并進(jìn)行返回?cái)?shù)據(jù)的采集來實(shí)現(xiàn)監(jiān)測的方法，該如果處理不當(dāng)，也會給網(wǎng)絡(luò)增加額外的負(fù)荷，影響測量結(jié)果的客觀性，甚至使測量結(jié)果不準(zhǔn)確，產(chǎn)生Heisenburg效應(yīng)。而被動測量方法是在網(wǎng)絡(luò)的某點(diǎn)采集、記錄并且分析網(wǎng)絡(luò)的流量信息來實(shí)現(xiàn)測量的方法。被動測量可以完全消除附加的“探測流量”和Heisenbutg 效應(yīng)，這是被動測量的優(yōu)點(diǎn)，但存在可能會涉及隱私和安全問題的不足。由于Internet上大多數(shù)數(shù)據(jù)傳輸是不加密的，鑒于被動監(jiān)測的優(yōu)點(diǎn)，本系統(tǒng)采用基于數(shù)據(jù)包捕獲的被動監(jiān)測技術(shù)。

⑶winpcap。在網(wǎng)絡(luò)管理與安全防護(hù)中，對網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，是非常重要的一個(gè)任務(wù)，從防火墻到攻擊檢測系統(tǒng)，都會用到類似功能。開發(fā)此類軟件過程相當(dāng)復(fù)雜。而winpcap （indows packet capture）是windows平臺下一個(gè)免費(fèi)公共的網(wǎng)絡(luò)訪問系統(tǒng)。它提供了以下的各項(xiàng)功能：

1>捕獲原始數(shù)據(jù)報(bào)；2>按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉；3>在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；4>收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。

3 系統(tǒng)架構(gòu)

無論是基于網(wǎng)絡(luò)安全，還是基于網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的改進(jìn)，網(wǎng)絡(luò)數(shù)據(jù)流量分析無疑是必要的，人們對網(wǎng)絡(luò)依賴很強(qiáng)。網(wǎng)絡(luò)數(shù)據(jù)流量系統(tǒng)的架構(gòu)包括三層：數(shù)據(jù)層（瀏覽統(tǒng)計(jì)、數(shù)據(jù)庫管理）、訪問應(yīng)用層、展現(xiàn)層（在線統(tǒng)計(jì)器、流量統(tǒng)計(jì)器、網(wǎng)絡(luò)速度監(jiān)視器）。

4 系統(tǒng)設(shè)計(jì)

⑴網(wǎng)絡(luò)監(jiān)視器。網(wǎng)絡(luò)監(jiān)視器是監(jiān)視網(wǎng)絡(luò)通信的，其主要工作有三項(xiàng)：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網(wǎng)絡(luò)包捕獲系統(tǒng)的實(shí)現(xiàn)中，采用的是WINPCAP包捕獲應(yīng)用系統(tǒng)框架。網(wǎng)絡(luò)監(jiān)聽模塊將網(wǎng)絡(luò)接口設(shè)置為混亂模式，將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包截取下來，供協(xié)議分析模塊使用。由于效率的需要，有時(shí)要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包等。網(wǎng)絡(luò)監(jiān)聽模塊的過濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽的關(guān)鍵，因?yàn)閷τ诰W(wǎng)絡(luò)上的每一數(shù)據(jù)包都會使用該模塊過濾，判斷是否符合過濾條件。

為提高效率，數(shù)據(jù)包過濾應(yīng)該在系統(tǒng)內(nèi)核里來實(shí)現(xiàn)。獲得數(shù)據(jù)包之后，如果在捕獲過程結(jié)束后創(chuàng)建了兩個(gè)線程實(shí)現(xiàn)對捕獲數(shù)據(jù)的實(shí)時(shí)性處理。

2）包分析。包分析指將捕捉來的數(shù)據(jù)報(bào)進(jìn)行分析。由于要進(jìn)行流量統(tǒng)計(jì)需要很多必要的信息，作為統(tǒng)計(jì)依據(jù)，如IP地址、協(xié)議類型等。其中，數(shù)據(jù)長度可由函數(shù)調(diào)用返回的內(nèi)容得到而且此時(shí)得到的是實(shí)際在網(wǎng)上的包長度。

3）記錄。通過包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數(shù)據(jù)長度、協(xié)議類型、以及為了統(tǒng)計(jì)方便需要的時(shí)間信息。

⑵流量統(tǒng)計(jì)器。流量統(tǒng)計(jì)器，是對流量監(jiān)視器的記錄結(jié)果進(jìn)行統(tǒng)計(jì)，將網(wǎng)絡(luò)監(jiān)視器的記錄文件內(nèi)容讀出，并根據(jù)網(wǎng)址分割標(biāo)準(zhǔn)及源和目的地分別統(tǒng)計(jì)出流向網(wǎng)外的國內(nèi)和國外流量，并將結(jié)果按照日期分別存儲在數(shù)據(jù)中。

5 系統(tǒng)實(shí)現(xiàn)

⑴捕捉包的實(shí)現(xiàn)。包捕捉作為一個(gè)獨(dú)立的應(yīng)用程序運(yùn)行，它從網(wǎng)上截獲包，并以文件形式將有用信息記錄下來，為流量統(tǒng)計(jì)準(zhǔn)備統(tǒng)計(jì)的原始依據(jù)。

⑵在線統(tǒng)計(jì)的實(shí)現(xiàn)。ping利用了原始套接口技術(shù)發(fā)送ICMP回射請求，并接收工CMP回射應(yīng)答。Socket是CP/IP編程的底層API（網(wǎng)絡(luò)編程接口）。在實(shí)現(xiàn)ping后可以將其作為一個(gè)函數(shù)調(diào)用，就很容易實(shí)現(xiàn)在線統(tǒng)計(jì)。

⑶圖形界面的實(shí)現(xiàn)。采用Visual C++.NET實(shí)現(xiàn)流量圖形化界面，主要是使用GDI函數(shù)畫圖，首先要得到一個(gè)設(shè)備描述句柄或一個(gè)可用的CDC設(shè)備描述表對象，WIN32API提供了BeginPaint（）和GetDC兩個(gè)函數(shù)，用于獲得指定窗口的設(shè)備描述句柄。MFC的窗口類CWnd類也提供了兩個(gè)當(dāng)前窗口的CDC對象的函數(shù)BeginPin（）和GETDC（）；也可以在窗口處理函數(shù)中直接用CDC的派生類，最終實(shí)現(xiàn)流量圖形化。

篇4

關(guān)鍵詞：網(wǎng)絡(luò)流量；監(jiān)測；網(wǎng)絡(luò)管理

1、網(wǎng)絡(luò)流量的特性

通過對互聯(lián)網(wǎng)通信量的測量，人們發(fā)現(xiàn)互聯(lián)網(wǎng)通信量的主要特性有:

1、數(shù)據(jù)流是雙向的，但通常是非對稱的

互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的，因此網(wǎng)絡(luò)的流是雙向的。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異，這是因?yàn)閺木W(wǎng)站下載時(shí)會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。

2、大部分TCP會話是短期的

超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié)，會話持續(xù)時(shí)間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的，但是由于80%的WWW文檔傳輸都小于10K字節(jié)，WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響。

3、包的到達(dá)過程不是泊松過程

大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過程是泊松過程，即包到達(dá)的間斷時(shí)間的分布是獨(dú)立的指數(shù)分布。簡單的說，泊松到達(dá)過程就是事件(例如地震，交通事故，電話等)按照一定的概率獨(dú)立的發(fā)生。泊松模型因?yàn)橹笖?shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。然而近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程。包到達(dá)的間斷時(shí)間不僅不服從指數(shù)分布，而且不是獨(dú)立分布的。大部分時(shí)候是多個(gè)包連續(xù)到達(dá)，即包的到達(dá)是有突發(fā)性的。很明顯，泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性，從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究。

4、網(wǎng)絡(luò)通信量具有局域性

互聯(lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時(shí)間和源及目的地址上，從而顯示出基于時(shí)間的相關(guān)(時(shí)間局域性)和基于空間的相關(guān)(空間局域性)。

2、 網(wǎng)絡(luò)流量的測量

網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具，通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流，我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯(cuò)的，設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓，或者使網(wǎng)絡(luò)性能明顯下降。例如廣播風(fēng)暴、非法包長、錯(cuò)誤地址、安全攻擊等。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題。互聯(lián)網(wǎng)流量的測量從不同的方面可以分為:

1、基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測量，這些設(shè)備一般都比較昂貴，而且受網(wǎng)絡(luò)接口數(shù)量，網(wǎng)絡(luò)插件的類型，存儲能力和協(xié)議分析能力等諸多因素的限制。基于軟件的測量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分，使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較，其費(fèi)用比較低廉，但是性能比不上專用的網(wǎng)絡(luò)流量分析器。

2、主動測量和被動測量

被動測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流，不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測量都是被動的測量。主動測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。

3、在線分析和離線分析

有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù)，使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果，大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù)，把數(shù)據(jù)存儲下來，并不對數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析。

4、協(xié)議級分類

對于不同的協(xié)議，例如以太網(wǎng)(Ethernet )，幀中繼(Frame Relay )，異步傳輸模式( Asynchronous Transfer Mode )，需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù)，因此也就有了不同的通信量測試方法。

3、 網(wǎng)絡(luò)流量的監(jiān)測技術(shù)

    根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)。

1、基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù):網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。

    2、基于Netflow的流量監(jiān)測技術(shù):Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。

篇5

關(guān)鍵詞：網(wǎng)絡(luò)性能；網(wǎng)絡(luò)狀態(tài)監(jiān)測；簡單網(wǎng)絡(luò)管理協(xié)議；NetFlow

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044(2008)22-670-03

A Survey and Analysis: Network State Monitoring Technology of Campus Network

ZHU Peng

(Computer Application Department，Research Institute of Petroleum Processing,Beijing 100083,China)

Abstract:The structure of Campus Network is becoming more and more complex together with its applications. New applications appear which are sensitive to network performance. Network state monitoring is becoming more and more important for network users and researchers. The article summarizes significance and analyzes the main theory，technology of network state monitoring.

Key words:network performance; network state monitoring; SNMP; NetFlow

1 園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測的意義

近年來，隨著各單位計(jì)算機(jī)應(yīng)用水平的整體提高、內(nèi)部園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)的日漸完善，以及實(shí)驗(yàn)儀器設(shè)備的網(wǎng)絡(luò)自動化程度提高和發(fā)展，越來越多的日常學(xué)習(xí)、工作和科研、實(shí)驗(yàn)活動依賴計(jì)算機(jī)和網(wǎng)絡(luò)來開展運(yùn)行，這就要求各單位內(nèi)部的園區(qū)網(wǎng)網(wǎng)絡(luò)環(huán)境有很高的穩(wěn)定性和運(yùn)行效率，并能針對不同網(wǎng)絡(luò)內(nèi)部科研應(yīng)用需求提供相應(yīng)的網(wǎng)絡(luò)質(zhì)量保障。園區(qū)網(wǎng)連接著各個(gè)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備及系統(tǒng)設(shè)備、試驗(yàn)裝置、儀器儀表，通過交換信息使之成為一個(gè)高效運(yùn)行的有機(jī)整體，為確保各項(xiàng)依賴園區(qū)網(wǎng)的科研活動順利進(jìn)行，必須保障園區(qū)網(wǎng)的正常運(yùn)行和性能穩(wěn)定。

同時(shí)，不斷進(jìn)行的信息化建設(shè)使得各項(xiàng)商業(yè)、科研活動對園區(qū)網(wǎng)絡(luò)日漸依賴，這也帶來了新的信息安全隱患，如何保障網(wǎng)絡(luò)與信息系統(tǒng)的安全已經(jīng)成為需要被高度重視的問題。隨著園區(qū)網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，越來越多的攻擊和安全隱患來自于園區(qū)網(wǎng)內(nèi)部，使得傳統(tǒng)的基于網(wǎng)關(guān)的安全架構(gòu)在新一代的攻擊手段面前顯得非常脆弱。而且這些傳統(tǒng)的安全防護(hù)手段多屬于被動形式,只能簡單過濾或丟棄攻擊數(shù)據(jù),而無法在攻擊源發(fā)起攻擊時(shí)或之后的較短時(shí)間內(nèi)即時(shí)響應(yīng)，將內(nèi)部網(wǎng)絡(luò)中可疑的攻擊源主機(jī)斷開，使其無法通過內(nèi)網(wǎng)連接進(jìn)行攻擊。在這種情況下，主動對園區(qū)網(wǎng)內(nèi)部的網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行監(jiān)控，并根據(jù)網(wǎng)絡(luò)流量異常信息采取相應(yīng)的質(zhì)量控制和防范乃至隔離控制，將可以成為傳統(tǒng)計(jì)算機(jī)安全技術(shù)(如網(wǎng)關(guān)防火墻)的有益補(bǔ)充。

2 園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)監(jiān)測技術(shù)

2.1 網(wǎng)絡(luò)監(jiān)測技術(shù)概述

網(wǎng)絡(luò)狀態(tài)監(jiān)測是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個(gè)重要組成部分，網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)為園區(qū)網(wǎng)的運(yùn)行和維護(hù)提供了重要信息，這些數(shù)據(jù)對調(diào)控網(wǎng)絡(luò)資源分布、規(guī)劃網(wǎng)絡(luò)容量、網(wǎng)絡(luò)服務(wù)質(zhì)量分析、網(wǎng)絡(luò)故障檢測與隔離、網(wǎng)絡(luò)安全管理都非常重要。目前，根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)監(jiān)測技術(shù)分為：基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于NetFlow的監(jiān)測技術(shù)三種常用技術(shù)。

2.2 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)。

網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比，流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息。 但采用端口流量鏡像方式將增加網(wǎng)絡(luò)設(shè)備負(fù)擔(dān)，對網(wǎng)絡(luò)設(shè)備性能的影響較大。而若使用探針等附加設(shè)備實(shí)現(xiàn)流量鏡像，安裝時(shí)對網(wǎng)絡(luò)影響較大，安裝完成后雖對網(wǎng)絡(luò)設(shè)備的影響較小，但為網(wǎng)絡(luò)結(jié)構(gòu)增加了新的單點(diǎn)失效點(diǎn)，在大型網(wǎng)絡(luò)環(huán)境下，可能會影響網(wǎng)絡(luò)的穩(wěn)定性。故基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)較少用于園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中。

2.3 基于SNMP的流量監(jiān)測技術(shù)

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)已經(jīng)成為事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，得到很大范圍的應(yīng)用。SNMP首先是由Internet工程任務(wù)組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP是基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，它簡單明了，占用系統(tǒng)資源少，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。SNMP提供了從網(wǎng)絡(luò)設(shè)備收集網(wǎng)絡(luò)管理信息的方法，并為設(shè)備提供了向網(wǎng)絡(luò)管理端報(bào)告故障和錯(cuò)誤的途徑。SNMP是協(xié)議和規(guī)范族，包括MIB（管理對象信息庫）、SMI（管理信息結(jié)構(gòu)）和SNM協(xié)議。同時(shí)，SNMP被設(shè)計(jì)成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他傳輸協(xié)議上被使用。

基于SNMP的流量信息采集，實(shí)質(zhì)上是通過提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB（管理對象信息庫）中收集一些與具體設(shè)備及流量信息有關(guān)的變量。基于SNMP收集的網(wǎng)絡(luò)流量信息包括：輸入字節(jié)數(shù)、輸入非廣播包數(shù)、輸入廣播包數(shù)、輸入包丟棄數(shù)、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)、輸出字節(jié)數(shù)、輸出非廣播包數(shù)、輸出廣播包數(shù)、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)、輸出隊(duì)長等。 基于SNMP的網(wǎng)絡(luò)流量信息采集可以以極小的代價(jià)實(shí)現(xiàn)一定程度的網(wǎng)絡(luò)流量相關(guān)信息的收集，但其收集的信息多是出于網(wǎng)絡(luò)管理的需要，無法提供足夠豐富的網(wǎng)絡(luò)流量信息。利用其實(shí)現(xiàn)網(wǎng)絡(luò)總流量的定期監(jiān)控、觀察網(wǎng)絡(luò)設(shè)備端口的流量和使用狀況可以滿足網(wǎng)絡(luò)管理的基本需求。

SNMP采用‘管理者―’模型來監(jiān)測各種可管理的網(wǎng)絡(luò)設(shè)備，利用無連接的UDP協(xié)議在管理者和之間進(jìn)行信息的傳遞。圖1勾畫出了SNMP管理者和SNMP間的通信關(guān)系。一個(gè)SNMP管理者可以向SNMP發(fā)送請求，讀取（Get）或設(shè)置（Set）一個(gè)或多個(gè)MIB變量數(shù)值。SNMP可以應(yīng)答這些請求。除了這種交互式通信方式，SNMP還可以主動向SNMP管理者發(fā)送通知（Trap或Inform Request）以提示管理者一個(gè)設(shè)備或網(wǎng)絡(luò)的狀態(tài)。

■

圖1 SNMP管理者與SNMP間的通信示意圖

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用SNMP機(jī)制有以下優(yōu)勢：1）可以隨時(shí)隨地收集網(wǎng)絡(luò)流量信息，及時(shí)獲取當(dāng)前園區(qū)網(wǎng)絡(luò)的運(yùn)行情況；2）能夠即時(shí)收集到網(wǎng)絡(luò)中大量設(shè)備的同步流量信息；3）采用方法基于IP層，不受底層網(wǎng)絡(luò)物理類型的限制；4）能夠收集到網(wǎng)絡(luò)設(shè)備自身的工作信息、端口狀態(tài)。并可根據(jù)需要遠(yuǎn)程配置修改網(wǎng)絡(luò)設(shè)備的相關(guān)參數(shù)；5）基于SNMP的流量監(jiān)測所需費(fèi)用較少，對現(xiàn)有的網(wǎng)絡(luò)性能影響較小，且易于集成到各種網(wǎng)管系統(tǒng)中去。

在此基礎(chǔ)上，如果配合后臺數(shù)據(jù)庫記錄收集到的網(wǎng)絡(luò)流量、性能數(shù)據(jù)，就可以實(shí)現(xiàn)對整個(gè)園區(qū)網(wǎng)絡(luò)進(jìn)行有效的監(jiān)視，并能在網(wǎng)絡(luò)發(fā)生故障時(shí)及時(shí)發(fā)現(xiàn)并通知相關(guān)人員處理，從而提高網(wǎng)絡(luò)可靠運(yùn)轉(zhuǎn)的時(shí)間，減少因網(wǎng)絡(luò)故障造成的中斷時(shí)間。

2.1.基于NetFlow的流量監(jiān)測技術(shù)

NetFlow是Cisco公司提出的一項(xiàng)網(wǎng)絡(luò)數(shù)據(jù)流統(tǒng)計(jì)標(biāo)準(zhǔn)，利用NetFlow技術(shù)，路由器可以輸出流經(jīng)路由的包的統(tǒng)計(jì)信息，從而監(jiān)測網(wǎng)絡(luò)上的IP 流( IP flow) 。采集到的NetFlow流量信息可以幫助進(jìn)行網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理、流量計(jì)費(fèi)和病毒檢測等等，NetFlow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的NetFlow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集，在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量異常監(jiān)測的需求。它可以實(shí)時(shí)提取大量流量的特征,實(shí)現(xiàn)對流量的宏觀統(tǒng)計(jì)分析。目前，NetFlow技術(shù)已經(jīng)成為網(wǎng)絡(luò)設(shè)備流量信息采集事實(shí)上的標(biāo)準(zhǔn)，一些大型的網(wǎng)絡(luò)設(shè)備廠商均在其主流的路由設(shè)備中實(shí)現(xiàn)了對NetFlow主要版本的支持。

表1主流廠商網(wǎng)絡(luò)流技術(shù)對比

■

NetFlow的實(shí)現(xiàn)由路由器、數(shù)據(jù)采集設(shè)備和流量分析工具三部分構(gòu)成，如圖2所示。

路由器啟動NetFlow功能，負(fù)責(zé)抓取路由器上發(fā)生的流量信息，當(dāng)Cache表超時(shí)后，網(wǎng)絡(luò)設(shè)備中的NetFlow Agent 將通過規(guī)范的報(bào)文格式將表項(xiàng)數(shù)據(jù)以UDP方式向NetFlow數(shù)據(jù)采集設(shè)備發(fā)送。NetFlow數(shù)據(jù)采集設(shè)備可以是商業(yè)系統(tǒng)或是采用開放源代碼的工作站，它負(fù)責(zé)實(shí)時(shí)處理收到的報(bào)文，提取出流量數(shù)據(jù)，進(jìn)行過濾和聚合后記錄在數(shù)據(jù)庫中。NetFlow流量分析工具根據(jù)數(shù)據(jù)采集設(shè)備數(shù)據(jù)庫中記錄的網(wǎng)絡(luò)流量信息進(jìn)行網(wǎng)絡(luò)規(guī)劃、流量計(jì)費(fèi)和各種網(wǎng)絡(luò)管理應(yīng)用，并產(chǎn)生各類報(bào)表等。

■

圖2NetFlow的工作原理示意圖

由于NetFlow技術(shù)所產(chǎn)生的信息詳盡且趨近于即時(shí)，可讓網(wǎng)管人員深入地了解數(shù)據(jù)包中的信息，獲得很多網(wǎng)絡(luò)運(yùn)行情況的細(xì)節(jié)。依據(jù)NetFlow信息進(jìn)行網(wǎng)絡(luò)規(guī)劃，將大大提高規(guī)劃的效率，減少盲目性。

（上接第671頁）

在園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測中采用NetFlow機(jī)制有以下優(yōu)勢：

1) 對源及目的業(yè)務(wù)端口號的統(tǒng)計(jì)、分析，可以科學(xué)地估算出各種業(yè)務(wù)在網(wǎng)絡(luò)總流量中所占的比重和在各條鏈路上的分布，對網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行精細(xì)化分析，包括網(wǎng)絡(luò)間數(shù)據(jù)流中各個(gè)具體業(yè)務(wù)的流量及百分比；同時(shí)，也可以根據(jù)應(yīng)用層數(shù)據(jù)參數(shù)Protocol、Port、Bytes對各個(gè)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行排行，進(jìn)而科學(xué)地預(yù)測各類業(yè)務(wù)流量的增長規(guī)律。

2) 通過對整網(wǎng)流量的長期監(jiān)測，可以建立園區(qū)網(wǎng)流量基線，了解網(wǎng)絡(luò)內(nèi)各節(jié)點(diǎn)的即時(shí)與歷史網(wǎng)絡(luò)流量狀態(tài)，掌握網(wǎng)絡(luò)應(yīng)用及發(fā)展趨勢，從而提高網(wǎng)絡(luò)的管理維護(hù)能力。

3) 通過統(tǒng)計(jì)分析，我們還可以獲知那些業(yè)務(wù)是目前網(wǎng)絡(luò)上最受歡迎的業(yè)務(wù)，進(jìn)而對相關(guān)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的建設(shè)和規(guī)劃提供準(zhǔn)確的基礎(chǔ)數(shù)據(jù)；對于業(yè)務(wù)流量大的端點(diǎn)，分析其增長規(guī)律，可以指導(dǎo)對其合理及時(shí)的擴(kuò)容，從而提高整個(gè)網(wǎng)絡(luò)的運(yùn)行質(zhì)量。

4) 利用NetFlow產(chǎn)生的流量記錄與統(tǒng)計(jì)分析系統(tǒng)配合，還可以記錄網(wǎng)絡(luò)平常在不同時(shí)間的流量或服務(wù)器連接使用情況，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)或某服務(wù)器流量異常，或是服務(wù)器連接情況異常大量增加或減少時(shí)，在第一時(shí)間發(fā)出警報(bào)，讓網(wǎng)絡(luò)管理員可以立即采取相應(yīng)措施，盡快確定異常流量源地址及目的地址、端口號等多種信息，針對不同的情況，分別利用切斷連接、ACL過濾、靜態(tài)空路由過濾、異常流量限定等多種手段，對異常流量進(jìn)行有效控制、處理，從而在最短時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。這在防范病毒，尤其是蠕蟲或木馬等造成的DoS與DDoS攻擊時(shí)尤為有效。

3 結(jié)束語

當(dāng)前，隨著信息化建設(shè)步伐的加快，各單位都在不斷地建設(shè)和改造內(nèi)部的園區(qū)網(wǎng)絡(luò)，園區(qū)網(wǎng)絡(luò)的不斷擴(kuò)展使得網(wǎng)絡(luò)的拓?fù)渥兊迷絹碓綇?fù)雜和不規(guī)則。而網(wǎng)絡(luò)新應(yīng)用的涌現(xiàn)和網(wǎng)絡(luò)用戶的快速增長也使得網(wǎng)絡(luò)流量不斷增大、網(wǎng)絡(luò)應(yīng)用日益復(fù)雜。采用一種或混合使用多種技術(shù)監(jiān)測園區(qū)網(wǎng)網(wǎng)絡(luò)狀態(tài)的重要性和迫切性越來越突出。園區(qū)網(wǎng)網(wǎng)絡(luò)監(jiān)測技術(shù)已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)研究中一個(gè)重要的課題方向。

參考文獻(xiàn)：

[1] Cisco. System , NetFlow Services Solutions Guide[S], 2003.

[2] Stewart A J. Network State Monitoring: A Network Security Assessment Concept[EB/OL]. /papers/nsm/network_state_monitoring.txt, 2000

[3] 陳秀蘭,吳軍華.通用網(wǎng)絡(luò)流量監(jiān)測報(bào)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 微計(jì)算機(jī)應(yīng)用, 2006(4):47-50.

[4] 何豐,靳娜.基于NetFlow的IP網(wǎng)絡(luò)狀態(tài)監(jiān)測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J] . 通信技術(shù), 2007(8):36-38.

篇6

作者：馬知也 單位：蘭州職業(yè)技術(shù)學(xué)院

網(wǎng)絡(luò)流量采集方法

對經(jīng)過該鏈路的流量進(jìn)行監(jiān)聽和捕獲，按一定格式將流量數(shù)據(jù)進(jìn)行編碼，或者將其匯聚為流數(shù)據(jù)，發(fā)送給后臺的接受存儲設(shè)備．IPFIX工作組［3］定義了采集設(shè)備將流量發(fā)送給后臺接受設(shè)備的協(xié)議及數(shù)據(jù)格式．?dāng)?shù)據(jù)存儲模塊對采集并初步處理后的數(shù)據(jù)在存儲設(shè)備中進(jìn)行存儲以備進(jìn)行下一步數(shù)據(jù)分析．小型測量系統(tǒng)存儲數(shù)據(jù)到本地采集系統(tǒng)的硬盤上，并實(shí)時(shí)的進(jìn)行分析處理和應(yīng)用．而在大型測量系統(tǒng)中一般有專用的中心存儲設(shè)備來存儲數(shù)據(jù)，通過專用或普通鏈路接受各個(gè)測量結(jié)點(diǎn)捕獲的數(shù)據(jù)．?dāng)?shù)據(jù)分析部分對流量特征進(jìn)行分析，并將這些數(shù)據(jù)用于計(jì)費(fèi)、異常檢測等應(yīng)用．網(wǎng)絡(luò)設(shè)備支持的流量采集有些路由器或交換機(jī)本身具有流量采集的功能，在進(jìn)行路由轉(zhuǎn)發(fā)等功能的同時(shí)，它們可以通過專用的硬件設(shè)備采集網(wǎng)絡(luò)流量數(shù)據(jù)，并進(jìn)行初步處理，然后將其轉(zhuǎn)發(fā)到后臺專用流量接收設(shè)備．目前網(wǎng)絡(luò)設(shè)備中應(yīng)用廣泛的Cisco公司的Netflow和基于網(wǎng)絡(luò)設(shè)備流量采集標(biāo)準(zhǔn)的sFlow兩種流量采集技術(shù)．Netflow通過采集數(shù)據(jù)分組，根據(jù)配置對其進(jìn)行抽樣，并對具有相同“流關(guān)鍵字”的分組聚合形成為流信息，然后通過定義的格式把流信息發(fā)送到后臺的流量接收服務(wù)器，再由后臺服務(wù)器對流信息進(jìn)行存儲、分析等工作，從而實(shí)現(xiàn)完整的流量測量．而sFlow流量采集技術(shù)是將sFlowAgent嵌入在交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備中，它負(fù)責(zé)對流量進(jìn)行監(jiān)視，并將采集的信息發(fā)送給后臺的接收服務(wù)器．sFlowAgent通過對數(shù)據(jù)進(jìn)行抽樣而減少向后臺服務(wù)器發(fā)送數(shù)據(jù)量．基于網(wǎng)絡(luò)設(shè)備支持的流量采集技術(shù)一般被用于計(jì)費(fèi)和流量分析等領(lǐng)域．隨著網(wǎng)絡(luò)速度的提高，流量采集功能的使用會對路由器、交換機(jī)本身的轉(zhuǎn)發(fā)性能產(chǎn)生一定程度的影響，另一方面這種粗粒度的信息對于某些需要詳細(xì)分組信息的應(yīng)用也存在著不足．基于網(wǎng)卡采集在正常應(yīng)用中，網(wǎng)卡從網(wǎng)絡(luò)接口接收數(shù)據(jù)分組，然后將它傳遞到上層應(yīng)用．基于網(wǎng)卡的流量采集方法有正常應(yīng)用模式和混雜模式兩種．在正常應(yīng)用模式下，網(wǎng)卡只接收發(fā)送給自己的數(shù)據(jù)分組．而在混雜模式下，網(wǎng)卡可以接收所有到達(dá)的數(shù)據(jù)分組，硬件不對分組進(jìn)行過濾，所有分組都會進(jìn)入系統(tǒng)的內(nèi)核．因此，當(dāng)一個(gè)網(wǎng)卡專門用于流量數(shù)據(jù)采集時(shí)，一般應(yīng)設(shè)置為混雜模式．專用設(shè)備進(jìn)行采集雖然通過一系列技術(shù)改進(jìn)措施，普通網(wǎng)卡結(jié)合計(jì)算機(jī)的網(wǎng)絡(luò)流量采集技術(shù)可以對普通鏈路進(jìn)行流量數(shù)據(jù)采集．但對于高帶寬的鏈路，應(yīng)該采用專用的硬件設(shè)備進(jìn)行流量數(shù)據(jù)采集．一些公司推出了專用的流量采集設(shè)備，如Endace公司的DAG卡［4］，NetScout公司的nGeniusProbes、nGeniusInfiniS-tream產(chǎn)品［5］，以及一些基于網(wǎng)絡(luò)處理器的流量采集方案等．這些專用設(shè)備使用高性能專用硬件實(shí)現(xiàn)數(shù)據(jù)采集工作，性能上較前兩種采集方法有了很大的提高．并行采集隨著網(wǎng)絡(luò)速度的高速發(fā)展，單個(gè)設(shè)備的采集能力已經(jīng)很難適應(yīng)流量數(shù)據(jù)的采集．因此，利用多個(gè)采集設(shè)備并行完成流量采集任務(wù)成為一個(gè)較好的選擇．但為了保證各個(gè)采集設(shè)備的負(fù)載均衡，必須對分流設(shè)備的分流策略進(jìn)行仔細(xì)設(shè)計(jì)．如果分組被分到多個(gè)流量采集設(shè)備，那么將會給后續(xù)的匯總處理程序帶來一定的困難．為了使多個(gè)采集系統(tǒng)在數(shù)據(jù)采集上一致，并保證數(shù)據(jù)集的完整性，多個(gè)采集系統(tǒng)之間必須解決時(shí)間同步等問題．

網(wǎng)絡(luò)流量測量模型

在現(xiàn)實(shí)中許多比較難以解決的問題，一般解決方法是先建立問題模型，模擬一定的場景和條件，然后在這些場景和條件下對問題進(jìn)行模擬解決．由于互聯(lián)網(wǎng)絡(luò)的異構(gòu)型和網(wǎng)絡(luò)高突發(fā)性業(yè)務(wù)量使得網(wǎng)絡(luò)呈現(xiàn)復(fù)雜的非線性，為了有效的對網(wǎng)絡(luò)流量進(jìn)行測量，就需要建立一定的網(wǎng)絡(luò)流量測量模型，而且這種模型的建立也是非常有必要的．首先建立仿真模型對真實(shí)網(wǎng)絡(luò)流量進(jìn)行描述，這種模型還能夠?qū)W(wǎng)絡(luò)流量將來的行為趨勢有效地進(jìn)行預(yù)測．傳統(tǒng)的網(wǎng)絡(luò)流量模型多以泊松過程為基礎(chǔ)，其中有泊松模型、馬爾科夫模型、自回歸模型、自回歸移動平均模型和自回歸合成移動平均模型等，這些模型同屬于短期相關(guān)性模型，即若測量時(shí)間的間隔足夠大的時(shí)候，當(dāng)前時(shí)刻所采集到的業(yè)務(wù)流量與過去時(shí)間所采集到的業(yè)務(wù)流量不具有相關(guān)性．從時(shí)間的角度來看，這些模型所采集的數(shù)據(jù)流量具有短相關(guān)性，隨著測量時(shí)間間隔的變大，網(wǎng)絡(luò)流量會趨于一個(gè)恒定的常量，也就是說，網(wǎng)絡(luò)流量突發(fā)性得到了一定的緩和，因此，傳統(tǒng)網(wǎng)絡(luò)流量測量模型并不能描述網(wǎng)絡(luò)性能的長相關(guān)性．對網(wǎng)絡(luò)流量自相似性進(jìn)行深入研究后發(fā)現(xiàn)，自相似網(wǎng)絡(luò)中業(yè)務(wù)流量在較大的時(shí)間間隔具有突發(fā)性，并且這種業(yè)務(wù)流量的長相關(guān)性比較明顯．因此，傳統(tǒng)流量模型一般不適合用來進(jìn)行自相似流量的模型建立．所以，目前對網(wǎng)絡(luò)流量的描述逐漸采用自相似模型，這種模型能夠表征長相關(guān)性與突發(fā)性．自相似性網(wǎng)絡(luò)流量模型以自相似過程為基礎(chǔ)而建立，模型在精度和靈活性方面與統(tǒng)計(jì)特性下建立的模型比較并沒有什么優(yōu)勢，甚至沒有統(tǒng)計(jì)特性下建立的模型好，但其具有明確的物理意義，有助于理解網(wǎng)絡(luò)流量產(chǎn)生自相似的原理．在自相似性網(wǎng)絡(luò)流量模型中流疊加算法使用較多．ON/OFF流疊加模型定義疊加大量的ON/OFF源，每個(gè)源都有兩個(gè)周期交替的ON和OFF狀態(tài)．在ON狀態(tài)時(shí)，數(shù)據(jù)源通過連續(xù)的速率發(fā)送數(shù)據(jù)包;在OFF狀態(tài)時(shí)，數(shù)據(jù)源不發(fā)送任何數(shù)據(jù)包．在這一過程中，所有發(fā)送源都出于ON或OFF狀態(tài)的時(shí)長獨(dú)立地附和重尾分布．對于網(wǎng)絡(luò)流量統(tǒng)計(jì)模型是以其統(tǒng)計(jì)特性下表現(xiàn)出的性質(zhì)為基礎(chǔ)而建立模型，這一類模型相比其它模型雖然在靈活性和精確方面占有一定優(yōu)勢，但其并沒有具體明確的物理意義．分形布朗運(yùn)動、分形ARIMA過程、多重分形小波模型和小波域獨(dú)立高斯模型都屬于這一類模型．雖然自相似性測量模型以網(wǎng)絡(luò)特征為基礎(chǔ)而建立的模型，它可以對業(yè)務(wù)流量的自相似特性和流量突發(fā)性與長相關(guān)性進(jìn)行描述，可以全面認(rèn)識網(wǎng)絡(luò)業(yè)務(wù)流各個(gè)方面的內(nèi)在規(guī)律，在一定條件下能夠取得較好的預(yù)測效果．但實(shí)際的網(wǎng)絡(luò)業(yè)務(wù)流中，既有短相關(guān)特性，又有長相關(guān)特性，這種短相關(guān)特性與長相關(guān)特性并存的多種特性給網(wǎng)絡(luò)業(yè)務(wù)流量精確預(yù)測帶來很大的挑戰(zhàn)．因此，自相似網(wǎng)絡(luò)流量模型對網(wǎng)絡(luò)流量的所有特性也不能完全描述．

篇7

【關(guān)鍵詞】云計(jì)算技術(shù)；大數(shù)據(jù)；網(wǎng)絡(luò)異常流量檢測

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于生活中，許多公共場所布設(shè)移動WiFi接入點(diǎn)，為人們獲取信息提供便捷條件。人們應(yīng)用網(wǎng)絡(luò)服務(wù)時(shí)將個(gè)人信息、銀行賬戶等敏感數(shù)據(jù)存儲到網(wǎng)絡(luò)中，重要數(shù)據(jù)傳遞帶來安全隱患造成網(wǎng)絡(luò)安全問題突出。本文利用云計(jì)算技術(shù)對大數(shù)據(jù)下網(wǎng)絡(luò)異常流量進(jìn)行檢測，并測試檢測效果。

1大數(shù)據(jù)下網(wǎng)絡(luò)異常流量檢測方法研究

光纖網(wǎng)絡(luò)利用光在玻璃纖維實(shí)現(xiàn)光波通信，大數(shù)據(jù)集成調(diào)度，然后通過交換機(jī)分配IP。光纖通信傳輸距離遠(yuǎn)，云計(jì)算環(huán)境通過波分復(fù)用技術(shù)使光強(qiáng)度變化，通信中受到干擾導(dǎo)致通信信道配置失衡，需要對云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載優(yōu)化檢測，提高網(wǎng)絡(luò)通信的輸出保真性[1]。云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測模型研究需要提取大數(shù)據(jù)負(fù)載異常特征，實(shí)現(xiàn)異常負(fù)載檢測。

2網(wǎng)絡(luò)異常數(shù)據(jù)檢測大數(shù)據(jù)分析平臺

網(wǎng)絡(luò)異常流量分為DDoS、NetworkScan等類型，異常流量類型可從目的IP地址、源IP地址、字節(jié)數(shù)等特征區(qū)分[2]。DDos異常流量可通過特征二四五七檢測；NetworkScan異常流量可采用多個(gè)網(wǎng)絡(luò)地址對主機(jī)端口掃描動作；FlashCrowd異常流量由異常用戶對訪問資源申請動作。本文以影響網(wǎng)絡(luò)安全異常流量檢測為研究內(nèi)容，運(yùn)用現(xiàn)有數(shù)據(jù)樣本對建立檢測模型訓(xùn)練，對訓(xùn)練后識別分析模型檢驗(yàn)[3]。研究異常流量類型包括U2R攻擊類型、Probing攻擊類型等，需要對數(shù)據(jù)特征提取分析，對入侵事件進(jìn)行分類[4]。應(yīng)用多種入侵事件特征數(shù)據(jù)，包括離散不間斷協(xié)議、離散常規(guī)行為、離散接點(diǎn)狀態(tài)、不間斷數(shù)據(jù)源到目標(biāo)數(shù)據(jù)比特?cái)?shù)、持續(xù)創(chuàng)建新文件個(gè)數(shù)等。為避免兩種衡量標(biāo)準(zhǔn)相互干擾，需對離散數(shù)據(jù)采用連續(xù)化操作。云計(jì)算平臺迅速占領(lǐng)市場，目前應(yīng)用廣泛的是Apache開源分布式平臺Hadoop，Hadoop云計(jì)算平臺由文件系統(tǒng)、分布式并行計(jì)算等部分組成[5]。MapReduce將傳統(tǒng)數(shù)據(jù)處理任務(wù)分為多個(gè)任務(wù)，提高計(jì)算效率（見圖1）。MapReduce編程核心內(nèi)容是對Map函數(shù)進(jìn)行特定動作定義，Map核心任務(wù)是對數(shù)據(jù)值讀取，InputFormat類將輸入樣本轉(zhuǎn)換為key/value對。發(fā)現(xiàn)tasktracker模塊處于空閑狀態(tài)，平臺把相應(yīng)數(shù)據(jù)Split分配到Map動作中，采用createRecordReader法讀取數(shù)據(jù)信息，tasktracker處于工作狀態(tài)程序進(jìn)入等待。

3大數(shù)據(jù)分析模型

隨著待處理數(shù)據(jù)規(guī)模劇增，單臺計(jì)算機(jī)處理數(shù)據(jù)速度過于緩慢，云計(jì)算系統(tǒng)以Hadoop為平臺基礎(chǔ)，提高計(jì)算效率。基于Hadoop平臺對網(wǎng)絡(luò)異常流量操作，向平臺提交網(wǎng)絡(luò)流量檢測請求，工程JAR包運(yùn)行，通過JobClient指令把作業(yè)發(fā)送到JobTracker中，從HDFS中獲取作業(yè)分類情況。JobTracker模塊執(zhí)行任務(wù)初始化操作，運(yùn)用作業(yè)調(diào)度器可實(shí)現(xiàn)對任務(wù)調(diào)度動作。任務(wù)分配后進(jìn)入Map階段，所需數(shù)據(jù)在本地磁盤中進(jìn)行存儲，依靠計(jì)算機(jī)Java虛擬機(jī)執(zhí)行實(shí)現(xiàn)JAR文件加載，TaskTracker對作業(yè)任務(wù)處理，需要對文件庫網(wǎng)絡(luò)流量特征測試，Map動作結(jié)果在本地計(jì)算機(jī)磁盤中存儲。系統(tǒng)獲得Map動作階段計(jì)算結(jié)果后對網(wǎng)絡(luò)流量分類，中間結(jié)果鍵值相同會與對應(yīng)網(wǎng)絡(luò)流量特征向量整合，ReduceTask模塊對MapTask輸出結(jié)果排序。Reduce動作完成后，操作者通過JobTracker模塊獲取任務(wù)運(yùn)行結(jié)果參數(shù)，刪除Map動作產(chǎn)生相應(yīng)中間數(shù)據(jù)。BP神經(jīng)網(wǎng)絡(luò)用于建立網(wǎng)絡(luò)流量檢測模型，MapReduce平臺具有高效計(jì)算優(yōu)勢，最優(yōu)參數(shù)結(jié)果獲得需多次反復(fù)計(jì)算優(yōu)化，MapReduce平臺單詞不能實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)計(jì)算任務(wù)，采用BP神經(jīng)網(wǎng)絡(luò)算法建立網(wǎng)絡(luò)流量檢測模型會加長計(jì)算時(shí)間。本文采用支持向量機(jī)算法建立網(wǎng)絡(luò)流量檢測模型。支持向量機(jī)以統(tǒng)計(jì)學(xué)理論為基礎(chǔ)，達(dá)到經(jīng)驗(yàn)風(fēng)險(xiǎn)最小目的，算法可實(shí)現(xiàn)從少數(shù)樣本中獲得最優(yōu)統(tǒng)計(jì)規(guī)律。設(shè)定使用向量機(jī)泛化能力訓(xùn)練樣本為（xi,yi），i=1，2，…，I，最優(yōu)分類平面為wx+b=0，簡化為s.t.yi（w?xi+b）-1≥0，求解問題最優(yōu)決策函數(shù)f(x)=sgn[∑i=1lyiai(x?xi)+b]，支持向量SVM把樣本x轉(zhuǎn)化到特定高維空間H，對應(yīng)最優(yōu)決策函數(shù)處理為f(x)=sgn[∑i=1lyiaiK(x?xi)+b]。云計(jì)算Hadoop平臺為建立網(wǎng)絡(luò)異常流量檢測模型提供便捷。MapReduce模型通過Reduce獲得整體支持向量AIISVs，通過Reduce操作對SVs收集，測試操作流量先運(yùn)用Map操作對測試數(shù)據(jù)子集計(jì)算，運(yùn)用Reduce操作對分量結(jié)果Rs統(tǒng)計(jì)。

4仿真實(shí)驗(yàn)分析

為測試實(shí)現(xiàn)云計(jì)算光纖網(wǎng)絡(luò)大數(shù)據(jù)異常負(fù)載檢測應(yīng)用性能，采用MATLAB7進(jìn)行負(fù)載檢測算法設(shè)計(jì)進(jìn)行云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測，數(shù)據(jù)樣本長度為1024，網(wǎng)絡(luò)傳輸信道均衡器階數(shù)為24，迭代步長為0.01。采用時(shí)頻分析法提取異常負(fù)載統(tǒng)計(jì)特征量進(jìn)行大數(shù)據(jù)異常負(fù)載檢測，重疊干擾得到有效抑制。采用不同方法進(jìn)行負(fù)載異常檢測，隨著干擾信噪比增大，檢測的準(zhǔn)確性提高。所以設(shè)計(jì)的方法可以有效檢測大數(shù)據(jù)中異常負(fù)載，并且輸出誤碼率比傳統(tǒng)方法降低。單機(jī)網(wǎng)絡(luò)異常流量檢測平臺使用相同配置計(jì)算機(jī)，調(diào)取實(shí)測數(shù)據(jù)為檢驗(yàn)訓(xùn)練源數(shù)據(jù)，選取典型異常流量200條數(shù)據(jù)樣本用于測試訓(xùn)練。采用反饋率參量衡量方法好壞，表達(dá)式為precision=TP/FP+FN×100%，其中，F(xiàn)N為未識別動作A特征樣本數(shù)量；TP為準(zhǔn)確識別動作A特征樣本數(shù)量；FP為錯(cuò)誤識別動作A特征樣本數(shù)量。提出檢測方法平均準(zhǔn)確率提高17.08%，具有較好檢測性能。對提出網(wǎng)絡(luò)異常流量檢測方法進(jìn)行檢測耗時(shí)對比，使用提出網(wǎng)絡(luò)異常流量檢測方法耗時(shí)為常規(guī)方法的8.81%，由于使用檢測方法建立在大數(shù)據(jù)云計(jì)算平臺，將檢測任務(wù)分配給多個(gè)子任務(wù)計(jì)算平臺。使用KDDCUP99集中的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)異常流量檢測分析，選取R2L攻擊，Probing攻擊異常流量數(shù)據(jù)用于檢測分析，采用準(zhǔn)確率參數(shù)衡量檢測方法宏觀評價(jià)網(wǎng)絡(luò)流量檢測識別方法：r=TP/FP+FN×100%。使用單機(jī)平臺下SVM算法建立網(wǎng)絡(luò)異常檢測模型對比分析，本文研究檢測模型平均識別率為68.5%，研究網(wǎng)絡(luò)異常流量檢測模型檢測準(zhǔn)確率提高28.3%。多次試驗(yàn)對比檢測耗時(shí)，使用本文提出網(wǎng)絡(luò)異常流量檢測耗時(shí)較短。

【參考文獻(xiàn)】

[1]林昕，呂峰，姜亞光，等.網(wǎng)絡(luò)異常流量智能感知模型構(gòu)建[J].工業(yè)技術(shù)創(chuàng)新，2021（3）：7-14.

[2]武海龍，武海艷.云計(jì)算光纖網(wǎng)絡(luò)中大數(shù)據(jù)異常負(fù)載檢測模型[J].激光雜志，2019（6）：207-211.

[3]農(nóng)婷.大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)流量異常檢測研究[J].科技風(fēng)，2019（17）：84.

[4]馬曉亮.基于Hadoop的網(wǎng)絡(luò)異常流量分布式檢測研究[D].重慶：西南大學(xué)，2019.

篇8

關(guān)鍵詞：公用機(jī)房；網(wǎng)絡(luò)帶寬；流量控制

中圖分類號：TP393.18

機(jī)房網(wǎng)絡(luò)應(yīng)用中，占用帶寬較大的常見應(yīng)用是網(wǎng)絡(luò)視頻和基于P2P的下載軟件，特別是隨著P2P技術(shù)的迅速發(fā)展，使得P2P技術(shù)的應(yīng)用越來越多，網(wǎng)絡(luò)視頻播放軟件、BT下載軟件和其他各類軟件的更新與升級等大部分軟件都通過P2P技術(shù)進(jìn)行，特別是網(wǎng)絡(luò)視頻播放軟件的發(fā)展，越來越趨向于傳統(tǒng)的BT下載軟件，采用P2P技術(shù)，在大流量下載網(wǎng)絡(luò)視頻的同時(shí)也進(jìn)行著大流量的上傳，使得校園網(wǎng)的出口通道中充斥著大量的P2P流量，機(jī)房的出口帶寬被這些P2P流量大量占用，網(wǎng)絡(luò)出現(xiàn)擁擠現(xiàn)象，嚴(yán)重時(shí)核心設(shè)備負(fù)擔(dān)過重?zé)o法處理過多的數(shù)據(jù)包，設(shè)備的轉(zhuǎn)發(fā)速度迅速下降，甚至出現(xiàn)設(shè)備死機(jī)而導(dǎo)致網(wǎng)絡(luò)中斷。

P2P技術(shù)的分布式特性使得P2P應(yīng)用的控制難以被監(jiān)管和控制，如何對P2P流量進(jìn)行有效的管理已經(jīng)成為網(wǎng)絡(luò)管理人員的重要任務(wù)，本文通過分析學(xué)校機(jī)房網(wǎng)絡(luò)流量的應(yīng)用分布，主要通過部署Panabit流量控制系統(tǒng)，針對占用網(wǎng)絡(luò)帶寬較大的基于P2P技術(shù)的網(wǎng)絡(luò)視頻和BT下載軟件進(jìn)行監(jiān)控和管理，通過限速或者阻斷基于P2P技術(shù)應(yīng)用的方法來實(shí)現(xiàn)降低P2P流量在教學(xué)時(shí)間中對網(wǎng)絡(luò)出口帶寬的占用，以達(dá)到控制非教學(xué)業(yè)務(wù)流量，合理利用網(wǎng)絡(luò)出口帶寬和保證機(jī)房網(wǎng)絡(luò)使用順暢的效果。

1機(jī)房網(wǎng)絡(luò)帶寬管理難點(diǎn)

1.1上網(wǎng)行為的多樣化：機(jī)房內(nèi)計(jì)算機(jī)數(shù)量眾多，導(dǎo)致機(jī)房用戶上網(wǎng)行為的多樣化，BT/電驢下載、在線游戲、在線視頻和在線歌曲、IM聊天等，這些上網(wǎng)行為大部分都會對帶寬占用要求特別高，特別是BT/電驢下載、在線視頻和在線音頻。

1.2網(wǎng)絡(luò)應(yīng)用的多樣化：除了傳統(tǒng)的迅雷、電驢等BT下載軟件采用P2P技術(shù)之外，越來越多的網(wǎng)絡(luò)應(yīng)用軟件也采用了P2P技術(shù)。例如各大視頻網(wǎng)站開發(fā)的網(wǎng)絡(luò)播放器、各大音樂網(wǎng)站開發(fā)的播放器以及大部分傳統(tǒng)的應(yīng)用軟件（例如安全軟件、輸入法軟件等）的更新模塊都采用了P2P應(yīng)用。這些采用P2P技術(shù)的軟件運(yùn)行時(shí)不僅占用下行帶寬，還不斷地通過P2P特有的上傳機(jī)制占用上行帶寬，使得網(wǎng)絡(luò)的出口帶寬可以在很快的時(shí)間內(nèi)被迅速無限地占用。

1.3P2P流量應(yīng)用的多樣化：P2P應(yīng)用流量主要的特點(diǎn)表現(xiàn)為：搶占空閑帶寬、上下行流量對稱、一對多點(diǎn)鏈接、大部分端口可變、協(xié)議相對固定、流量特征不明顯。這些特征導(dǎo)致P2P在采集分析、識別和管理方面比較困難。

1.4P2P技術(shù)的多樣化：P2P特有的點(diǎn)對點(diǎn)傳輸機(jī)制使得P2P的監(jiān)控和管理越來越難，以傳統(tǒng)的迅雷、網(wǎng)際快車為首的BT軟件不斷地更新其P2P技術(shù)，甚至在現(xiàn)有P2P技術(shù)的基礎(chǔ)上自主開發(fā)新的私有P2P協(xié)議（例如迅雷自主開發(fā)的PS2P技術(shù)），這些自主的P2P有的還采用了加密技術(shù)，使得這軟件產(chǎn)生的應(yīng)用流量更加難以被監(jiān)控和管理。

2Panabit流量控制系統(tǒng)

Panabit是基于X86硬件構(gòu)架的協(xié)議識別和管理平臺，協(xié)議識別精確，流量控制精準(zhǔn)，具有強(qiáng)大的協(xié)議識別和控制功能，自主研發(fā)的國內(nèi)最專業(yè)的網(wǎng)絡(luò)應(yīng)用層流量監(jiān)控和管理引擎，實(shí)現(xiàn)基于應(yīng)用層的流量管理或帶寬分配。采用雙OS主備機(jī)制保障了在X86平臺上具有高性能和高穩(wěn)定性。Panabit有專業(yè)版、標(biāo)準(zhǔn)版和網(wǎng)吧版本，標(biāo)準(zhǔn)版為免費(fèi)提供版本（本文所部署的Panabit為標(biāo)準(zhǔn)版本）。

3部署Panaibit流控系統(tǒng)

Panabit可以安裝在普通的X86電腦上，安裝Panabit的電腦需要有三張網(wǎng)卡，Panabit的部署主要采用網(wǎng)橋模式，部署結(jié)構(gòu)如下圖所示：

4Panabit的管理和配置

Panabit的管理配置：安裝Panabit的計(jì)算機(jī)必須安裝有三張網(wǎng)卡，在三張網(wǎng)卡中選擇一個(gè)網(wǎng)卡接口作為管理借口，其余兩張網(wǎng)卡配置為網(wǎng)橋的內(nèi)網(wǎng)接口與外網(wǎng)接口，并為管理接口配置IP地址（例如本文將IP地址配置為192.168.2.24），可以通過瀏覽器或者通過HTTPS方式直接訪問該管理IP地址進(jìn)入Panabit的登錄管理界面。

Panabit的策略配置：

4.1定義限速對象。可在IP群組里添加要限速或者放行的IP地址或者IP地址段，也可在編輯策略時(shí)直接添加。

4.2創(chuàng)建策略組并自定義策略組的名稱。

4.3在策略組添加相應(yīng)的策略并編輯策略。在策略編輯頁面選擇相關(guān)的參數(shù)，例如下圖

其中執(zhí)行動作主要分為：允許、阻斷、數(shù)據(jù)通道

4.4在策略調(diào)度中添加計(jì)劃調(diào)用策略組的時(shí)間段。

4.5在計(jì)劃的時(shí)間段，Panabit開始調(diào)用策略組并使之開始監(jiān)控或者管理網(wǎng)絡(luò)帶寬。

5Panabit流量控制系統(tǒng)的應(yīng)用

5.1調(diào)用策略組限速前―系統(tǒng)流量圖分析圖。通過Panabit流控的系統(tǒng)流量圖（圖5-1）可以看到，在沒有調(diào)用限速策略組的時(shí)候，機(jī)房從8：10開放開始，整個(gè)機(jī)房網(wǎng)絡(luò)流量的基本情況。

圖 5-1調(diào)用策略組前的系統(tǒng)流量圖

流量趨勢分析：機(jī)房網(wǎng)絡(luò)的下行流量迅猛飆升到60Mbps，并穩(wěn)定在60Mbps左右。

協(xié)議組流量分析：HTTP協(xié)議的下行流量最大，達(dá)到了49.37Mbps，在HTTP協(xié)議中包含HTTP分塊傳輸、偽IE下載、其他下載、Web音樂、網(wǎng)頁瀏覽、WEB視頻，其中WEB視頻所占的速率最大；P2P下載速度為8.21Mbps，網(wǎng)絡(luò)電視的下載速度為4.9Mbps。

10分鐘流量分布分析：HTTP協(xié)議下行流量分布中的比例為70.91%，所占的比例是最大的；P2P下載流量分布中的比例為10.98%，網(wǎng)絡(luò)電視所占比例為11.15%；

機(jī)房帶寬使用情況：機(jī)房網(wǎng)絡(luò)帶寬使用已接近出口帶寬上限，網(wǎng)絡(luò)出口出現(xiàn)嚴(yán)重?fù)頂D，機(jī)房內(nèi)的電腦瀏覽網(wǎng)頁緩慢。

5.2調(diào)用策略組限速后―系統(tǒng)流量圖分析。通過建立相關(guān)的策略組，并在教學(xué)時(shí)間內(nèi)調(diào)用策略組，策略組開始生效并對定義的機(jī)房IP群組進(jìn)行帶寬使用監(jiān)控和限制，圖5-2為調(diào)用策略組進(jìn)行帶寬限制后的系統(tǒng)流量分析圖。

圖5-2調(diào)用策略組后的系統(tǒng)流量圖

（1）流量趨勢分析：網(wǎng)絡(luò)下行流量從限速前的66Mbps左右迅速降低到了20Mbps左右。

（2）協(xié)議組流量分析：HTTP協(xié)議的流量降到了16.3Mbps，P2P、網(wǎng)絡(luò)電視的流量排名已經(jīng)跌落到流量排名后面，并且流量速度為非常低，甚至P2P流量的速度已經(jīng)降到0

（3）10分鐘流量分布：HTTP協(xié)議的比例不變，但是HTTP協(xié)議的流量已經(jīng)大大地降低了，P2P、網(wǎng)絡(luò)電視的流量比例已經(jīng)明顯降低，甚至P2P流量的比例已經(jīng)處于忽略不計(jì)的程度。

機(jī)房帶寬使用情況：機(jī)房網(wǎng)絡(luò)帶寬使用已迅速回落，網(wǎng)絡(luò)出口的嚴(yán)重?fù)頂D得到了非常大的緩解，機(jī)房內(nèi)的電腦瀏覽網(wǎng)頁迅速。

6結(jié)語

針對難以監(jiān)控和管理的P2P應(yīng)用，通過采用Panabit流量控制系統(tǒng)的精準(zhǔn)監(jiān)控和可視化管理，對機(jī)房網(wǎng)絡(luò)用戶的上網(wǎng)行為進(jìn)行引導(dǎo)、管理和規(guī)范，減少了機(jī)房網(wǎng)絡(luò)出口帶寬的壓力，使非教學(xué)和學(xué)習(xí)業(yè)務(wù)的網(wǎng)絡(luò)流量得到有效的限制，使得機(jī)房網(wǎng)絡(luò)的互聯(lián)網(wǎng)流量的得到有效的監(jiān)控和管理，提高了機(jī)房網(wǎng)絡(luò)流量帶寬的有效利用，使得學(xué)校在網(wǎng)絡(luò)帶寬租用方面的支出得到有效的利用，節(jié)省了學(xué)校在網(wǎng)絡(luò)帶寬方面的無限制投入。同時(shí)，通過采用X86構(gòu)架的Panabit，節(jié)省了采用其他專業(yè)硬件的流量控制系統(tǒng)的購買與軟件授權(quán)費(fèi)用，大大地節(jié)省了學(xué)校在流量控制設(shè)備方面的支出，采用流量控制系統(tǒng)只是學(xué)校對網(wǎng)絡(luò)行為進(jìn)行管理和規(guī)范的一個(gè)手段，主要的目的是通過流量控制系統(tǒng)規(guī)范機(jī)房網(wǎng)絡(luò)用戶的上網(wǎng)行為，從而引導(dǎo)合理地利用網(wǎng)絡(luò)帶寬，創(chuàng)建良好的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]劉文超,陳琳.P2P流量檢測技術(shù)與分析[J].現(xiàn)代電子技術(shù),2011,22.

[2]張巖.使用Panabit管理校園網(wǎng)[J].科技信息,2011,16.

[3]趙更強(qiáng).Panabit在校園網(wǎng)中的應(yīng)用[J].中國電子商務(wù),2011,2.

篇9

[關(guān)鍵詞]信息計(jì)量學(xué) 網(wǎng)絡(luò)計(jì)量學(xué)　文獻(xiàn)計(jì)量學(xué)

[分類號]G350

1　引言

“信息計(jì)量學(xué)(Informetrie)”這一學(xué)科名稱首次由德國學(xué)者O.Nacke在1979年提出，與之對應(yīng)的英文術(shù)語“Informetrics”則最早見于1980年美國科學(xué)基金會公布的年度研究項(xiàng)目的標(biāo)題中，并隨后得到了國際文獻(xiàn)聯(lián)合會的認(rèn)可。1984年，B.C.Brookes撰文提出要大力發(fā)展信息計(jì)量學(xué)，并就信息計(jì)量學(xué)的一些基本理論問題進(jìn)行了較詳細(xì)的論述。1987年，在第一屆“文獻(xiàn)計(jì)量學(xué)與信息檢索理論”國際研討會上，布魯克斯又提議將術(shù)語“Informetrics”補(bǔ)充到第二屆會議的名稱中去，得到了與會學(xué)者的普遍贊同，自此每兩年舉辦一屆的國際學(xué)術(shù)會議及其出版的會議論文集都在名稱中使用了“信息計(jì)量學(xué)”。1995年起，會議名稱被正式確定為“科學(xué)計(jì)量學(xué)與信息計(jì)量學(xué)國際會議”，由“國際科學(xué)計(jì)量學(xué)和信息計(jì)量學(xué)學(xué)會”(ISSI)負(fù)責(zé)主辦。1997年，T.C.Almind和P.Ingwersen首次提出用“Webometrics”一詞來描述將傳統(tǒng)文獻(xiàn)與信息計(jì)量學(xué)方法應(yīng)用于WWW信息計(jì)量研究，使信息計(jì)量學(xué)的研究活動拓展到了網(wǎng)絡(luò)空間。2007年1月，由L.Egg―he擔(dān)任主編的《Journal of Informetrics》創(chuàng)刊，為新世紀(jì)更趨繁榮的學(xué)術(shù)研究提供了獨(dú)立和更加專業(yè)化的國際學(xué)術(shù)交流平臺。

從1979年學(xué)科名詞的提出，到1987年成為國際學(xué)術(shù)會議的主題、奠定自身的學(xué)科地位，再到1997年“Webometrics”的出現(xiàn)，信息計(jì)量學(xué)終于從早期對文獻(xiàn)計(jì)量學(xué)和科學(xué)計(jì)量學(xué)的依賴、繼承與交流中獲得了長足的進(jìn)步，并在21世紀(jì)的網(wǎng)絡(luò)化環(huán)境中開辟出更為廣闊的學(xué)科發(fā)展空間。本文試圖對新世紀(jì)以來信息計(jì)量學(xué)的研究活動進(jìn)行較為全面的概括和評述，但限于篇幅，重點(diǎn)討論的內(nèi)容主要包括信息計(jì)量學(xué)在理論、方法和應(yīng)用方面取得的重要研究進(jìn)展，以及當(dāng)前所面臨的問題與挑戰(zhàn)。

2　理論研究進(jìn)展

2.1網(wǎng)絡(luò)信息計(jì)量學(xué)研究的全面推進(jìn)

自1997年“Webometrics”被提出后，基于Web的網(wǎng)絡(luò)信息計(jì)量問題即廣受關(guān)注。根據(jù)作者對中國期刊網(wǎng)全文數(shù)據(jù)庫(2000―2008年)的文獻(xiàn)調(diào)查，在以“信息計(jì)量學(xué)”為標(biāo)題關(guān)鍵詞的檢索結(jié)果中，超過90％的中文文獻(xiàn)都是關(guān)于網(wǎng)絡(luò)信息計(jì)量的內(nèi)容。而在2007年4月對Web of Science數(shù)據(jù)庫進(jìn)行的國外文獻(xiàn)調(diào)研中發(fā)現(xiàn)，網(wǎng)絡(luò)信息計(jì)量主題的核心文獻(xiàn)數(shù)量呈現(xiàn)逐年激增趨勢，其中高品質(zhì)的學(xué)術(shù)文獻(xiàn)約占18.5％，被同行引用的次數(shù)普遍超過了30次。可以說，網(wǎng)絡(luò)信息計(jì)量領(lǐng)域的確立及各項(xiàng)研究活動的全面推進(jìn)，已成為新世紀(jì)以來信息計(jì)量學(xué)理論研究取得的一個(gè)最令人矚目的重要成就。

目前，大量的網(wǎng)絡(luò)信息計(jì)量研究活動又以“網(wǎng)絡(luò)鏈接分析”為中心議題。由于網(wǎng)絡(luò)鏈接與傳統(tǒng)學(xué)術(shù)期刊文獻(xiàn)之間的引用關(guān)系具有某種天然的相似性，研究人員不僅將文獻(xiàn)計(jì)量學(xué)的引文分析思想廣泛移植、應(yīng)用到了網(wǎng)絡(luò)信息計(jì)量研究中，而且賦予了相應(yīng)的研究工作和成果以極其鮮明的引文分析“烙印”。這種“烙印”從以下網(wǎng)絡(luò)計(jì)量指標(biāo)的設(shè)計(jì)和使用上即可得到充分的印證，例如“Sitation”、“Web Impact Factor”、“Webcoupling”、“Co-citation”、“Co-link”、“Co-authorship”、“Self-linking”、“Self-linked”等。另外，在具體的研究成果方面，例如網(wǎng)絡(luò)鏈接分析與引文分析的異同、網(wǎng)絡(luò)鏈接的目的與類型、網(wǎng)絡(luò)影響因子的定義與應(yīng)用、核心網(wǎng)站測定等，也都表現(xiàn)出了與傳統(tǒng)引文分析的緊密映射關(guān)系。

除借用引文分析法外，近年來網(wǎng)絡(luò)鏈接分析開始采用另一種重要研究方法――來自社會學(xué)的社會網(wǎng)絡(luò)分析(SNA)，并在具體應(yīng)用中取得了一定進(jìn)展。

隨著研究活動的深入，Web環(huán)境下更多更具挑戰(zhàn)性的信息計(jì)量問題正在不斷被提出，并賦予信息計(jì)量學(xué)新的研究使命。例如，(具商業(yè)價(jià)值的)網(wǎng)絡(luò)流量分析及其軟件工具的研制；各種網(wǎng)絡(luò)用戶行為(例如瀏覽、查詢、下載、標(biāo)注、訂閱等)的跟蹤、計(jì)量與分析；虛擬社區(qū)(包括成員角色、社區(qū)結(jié)構(gòu)、主題／話題及其態(tài)度／傾向性等)的發(fā)展、監(jiān)測和演變趨勢分析；網(wǎng)絡(luò)空間的知識結(jié)構(gòu)及相關(guān)站點(diǎn)群落的識別等。面對這些問題與挑戰(zhàn)，信息計(jì)量學(xué)的研究內(nèi)容將更具交叉性和豐富性。

2.2“信息基本循環(huán)圖式”的構(gòu)建及對信息計(jì)量學(xué)理論基礎(chǔ)的探討

1967年，布魯克斯曾將情報(bào)學(xué)的研究任務(wù)抽象為如下的基本知識方程：K[S]+I=K[S+S]。2005年，國內(nèi)學(xué)者王宏鑫基于該知識方程，提出“信息基本循環(huán)圖式”的構(gòu)建：

圖式中各元素含義分別是：W表示人們認(rèn)識和改造的對象；K’[S]表示社會／他人的主觀／客觀的知識結(jié)構(gòu)；K[S]表示個(gè)人／團(tuán)體的知識結(jié)構(gòu)；I表示個(gè)人／團(tuán)體從社會實(shí)踐活動中得到的信息；而K[S+S]則表示吸收I后形成的新的知識結(jié)構(gòu)；“+”表示作用與聯(lián)系。

這一“信息基本循環(huán)圖式”的提出，不僅具有較為完善的哲學(xué)基礎(chǔ)和情報(bào)學(xué)理論基礎(chǔ)，而且為研究人員對信息計(jì)量學(xué)邏輯起點(diǎn)的認(rèn)知與理解以及規(guī)范、定義、預(yù)測信息計(jì)量學(xué)的研究內(nèi)容、研究方法、發(fā)展方向、學(xué)科增長點(diǎn)等提供了較為有效的觀察視角。此外，該信息基本循環(huán)圖式對于形成信息計(jì)量學(xué)更加多元化的研究范式也很具啟發(fā)性。例如，可據(jù)此分別從傳播學(xué)、認(rèn)知科學(xué)、經(jīng)濟(jì)學(xué)、決策學(xué)等不同視角展開相應(yīng)的研究工作。

3　研究方法／工具的集成與創(chuàng)新

在長期的發(fā)展過程中，信息計(jì)量學(xué)逐漸建立了三大核心研究方法：指標(biāo)計(jì)量法、引文分析法和數(shù)學(xué)模型法。其中，指標(biāo)計(jì)量法簡單實(shí)用，通過統(tǒng)計(jì)某一項(xiàng)或多項(xiàng)指標(biāo)的數(shù)量(累積)值，經(jīng)數(shù)學(xué)處理后即可得出不同指標(biāo)值的關(guān)系或指標(biāo)值的頻率、時(shí)間等分布規(guī)律；引文分析法形成于20世紀(jì)50年代，它通過對科學(xué)文獻(xiàn)之間存在的引用與被引用現(xiàn)象的分析來揭示文獻(xiàn)集合的數(shù)量特征和內(nèi)在規(guī)律，是信息計(jì)量學(xué)獨(dú)有的高效研究方法；而數(shù)學(xué)模型法則是現(xiàn)代科學(xué)的核心方法，并成為研究各種復(fù)雜系統(tǒng)和社會問題的關(guān)鍵性方法。在信息計(jì)量學(xué)中，對“布－齊－洛分布”問題已基于數(shù)學(xué)模型法取得了一系列重要研究成果，包括：西蒙的斜分布函數(shù)組(1955年)；普賴斯的累積優(yōu)勢分布(1976年)；布魯克斯的混合泊松模型(1977年)；西切爾的通用逆高斯-泊松分布模型(1982年)；巴瑞爾的貝塔－負(fù)二項(xiàng)分布(1988年)；布克斯坦的經(jīng)驗(yàn)負(fù)冪分布(1990年)

等。它們對于完善信息計(jì)量學(xué)的理論基礎(chǔ)，有效解釋、預(yù)測文獻(xiàn)流、信息流的變化及相關(guān)現(xiàn)象均具有重要的理論意義。

進(jìn)入新世紀(jì)以來，信息計(jì)量學(xué)在研究方法和研究工具方面不斷取得新的進(jìn)展，以下主要從4個(gè)方面進(jìn)行說明。

3.1對傳統(tǒng)研究方法的綜合與集成

不可否認(rèn)，每一種研究方法都有自身的優(yōu)缺點(diǎn)。以引文分析法為例，由于文獻(xiàn)引用具有一定的滯后性，通過文獻(xiàn)之間的共引關(guān)系來研究、分析學(xué)科發(fā)展的前沿與熱點(diǎn)問題時(shí)，結(jié)果很可能會有所遺漏；而隨著作者合著現(xiàn)象的日益普及，只針對第一作者進(jìn)行作者共引分析，研究結(jié)論的失真程度也將會日益嚴(yán)重。因此，在近期所進(jìn)行的文獻(xiàn)引文分析研究中，研究人員已越來越多地考慮將多種不同的引文分析方法加以綜合利用，例如把共引分析和文獻(xiàn)耦合分析、共詞聚類、詞頻統(tǒng)計(jì)等方法結(jié)合起來；或者同時(shí)運(yùn)用第一作者共引分析和全作者共引分析等。

由于不同方法之間的較強(qiáng)互補(bǔ)性以及不同方法形成結(jié)果的可比較性，多種方法的綜合運(yùn)用和集成可以得到更準(zhǔn)確可靠的研究結(jié)果。調(diào)查發(fā)現(xiàn)，國內(nèi)外近年來進(jìn)行的引文分析研究中，基于不同引文分析指標(biāo)、集成多種不同引文分析方法的文獻(xiàn)占據(jù)了大多數(shù)，引文分析已進(jìn)入了一個(gè)具有更大規(guī)模和復(fù)雜性的研究階段。

3.2社會網(wǎng)絡(luò)分析方法的引進(jìn)

社會網(wǎng)絡(luò)分析(SNA)是20世紀(jì)70年代以來在社會學(xué)、心理學(xué)、人類學(xué)、數(shù)學(xué)、通信科學(xué)等領(lǐng)域逐步發(fā)展起來的一個(gè)新的研究分支。作為一種新的方法論和研究范式，SNA主要使用社群圖、矩陣等形式化表達(dá)工具和所定義的中心性、權(quán)力指數(shù)、聚類簇／派系、網(wǎng)絡(luò)結(jié)構(gòu)、社會角色等基本概念(或指標(biāo))，從整體網(wǎng)絡(luò)分析、自我中心網(wǎng)絡(luò)分析等不同方向開展研究工作。

目前，信息計(jì)量學(xué)研究對SNA方法的引進(jìn)和應(yīng)用，主要表現(xiàn)在對Web環(huán)境下較大范圍內(nèi)的網(wǎng)站超鏈接的分析與計(jì)算上，并與基于傳統(tǒng)引文分析法建立起來的網(wǎng)絡(luò)鏈接分析研究模式形成一種對照和互補(bǔ)。概括起來，基于SNA方法開展的主要研究活動有：基于網(wǎng)站之問的超鏈接分析，識別社會系統(tǒng)之間的各種聯(lián)系；基于政府組織、非政府組織和私人公司之間網(wǎng)站的超鏈接網(wǎng)絡(luò)分析，發(fā)現(xiàn)組織間聯(lián)合的意向；對某一特殊專題不同類型網(wǎng)站之間的超鏈接追溯，用以理解問題解決過程、辨別社會熱點(diǎn)問題等；基于網(wǎng)站主頁內(nèi)容、鏈接結(jié)構(gòu)和E-mail成員列表等，預(yù)測社會成員之間的聯(lián)系等。

SNA方法通常涉及大范圍內(nèi)社群網(wǎng)絡(luò)結(jié)構(gòu)的分析問題，指標(biāo)計(jì)算和數(shù)據(jù)處理比較復(fù)雜，不過相應(yīng)的軟件工具開發(fā)已取得了很多成果。以下是幾個(gè)較為重要的社會網(wǎng)絡(luò)分析軟件：Pajek、Ucinet、NEGOPY、Sociometryplus、Socio Metrica Suite。它們可在SPSS、SAS等統(tǒng)計(jì)分析軟件功能之外提供更多的專項(xiàng)分析功能。例如，Ucinet軟件能夠讀取多種不同形式的數(shù)據(jù)，可處理32767個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，同時(shí)還能計(jì)算各種SNA測度指標(biāo)值，并能進(jìn)行凝聚子群和核心一邊緣結(jié)構(gòu)分析等。

3.3可視化工具的廣泛應(yīng)用

在早期的信息計(jì)量學(xué)研究工作中，研究人員為了把經(jīng)過繁雜數(shù)據(jù)處理后得到的計(jì)量分析結(jié)果，進(jìn)行直觀和形象的展示比較重視各種可視化方法(或手段)的運(yùn)用。MDS散點(diǎn)圖、基于等級聚類的樹狀圖、雷達(dá)圖、切諾夫臉(Chernoff-face)等，都是一些比較常見的可視化展示方法。1997年，T.Braun等人就利用一個(gè)4維的切諾夫臉，把多維空間的科學(xué)計(jì)量指標(biāo)數(shù)據(jù)(活動指數(shù)、吸引指數(shù)、平均期望引文率、相對引文率等)用一個(gè)由計(jì)算機(jī)繪制的卡通臉的面部特征表示出來，成功地完成了對1990―1994年間世界科學(xué)發(fā)展?fàn)顩r的分析和說明。

各種可視化方法(或工具)充分利用了人類對可視模式快速識別的自然能力，可將人類對信息閱讀、判別和理解等認(rèn)知負(fù)擔(dān)轉(zhuǎn)變?yōu)楹唵巍⒅庇^的視覺感知，對于科學(xué)研究工作的重要性日益凸顯。特別是近年來由于問題研究規(guī)模和復(fù)雜性的日益增長，在對研究結(jié)論和成果進(jìn)行展示、說明時(shí)，普遍存在著對各種可視化工具的迫切需求。

當(dāng)前，各種功能豐富的可視化工具在信息計(jì)量學(xué)研究中已得到廣泛使用，并漸成趨勢。如Pathfinder、CiteSpace Ⅱ、HistCiteTM、VxInsight等以及Pajek和Uci―net的使用都是比較流行的。

3.4網(wǎng)絡(luò)引文分析工具的研制

根據(jù)國內(nèi)學(xué)者以Web of Science(WOS)和Google　Scholar作為引文分析工具進(jìn)行的實(shí)證研究和結(jié)果對照，未來的引文分析研究再單純依賴傳統(tǒng)的WOS等工具，將越來越難以獲得全面、真實(shí)的引文數(shù)據(jù)，并會導(dǎo)致引文分析結(jié)果產(chǎn)生日益嚴(yán)重的偏差。為此，各種新型的網(wǎng)絡(luò)化引文索引工具的編制逐漸被提上了議事日程，以適應(yīng)e-Science時(shí)代引文分析的研究需求。

1998年，第一個(gè)網(wǎng)絡(luò)引文索引CiteSeer開始研制，并于1999年正式投入使用。作為一個(gè)主要面向計(jì)算機(jī)和信息科學(xué)領(lǐng)域?qū)W術(shù)資源的網(wǎng)絡(luò)引文索引與檢索工具，CiteSeer主要基于自動引文索引(ACI)技術(shù)編制而成。2004年，Google Scholar也在學(xué)術(shù)搜索服務(wù)中成功引入引文分析方法，并提供功能完善的引文鏈接服務(wù)。同年，全球最大規(guī)模的文摘和引文數(shù)據(jù)庫服務(wù)系統(tǒng)Elservier’s Scopus正式推出，它涵蓋了由4000余家出版商出版發(fā)行的科技、醫(yī)學(xué)和社會科學(xué)方面的15100多種期刊資源，并基于文獻(xiàn)計(jì)量學(xué)原理開發(fā)、整合了豐富的學(xué)術(shù)計(jì)量評價(jià)功能，可廣泛服務(wù)于科研人員、圖書館員、編輯和審稿人、學(xué)術(shù)機(jī)構(gòu)管理者等。

伴隨著CiteSeer、Scopus等新型引文分析工具的出現(xiàn)，2004年以來，比較它們和傳統(tǒng)WOS工具之間異同的各類研究活動十分踴躍，而目前多數(shù)的研究結(jié)論是：它們要完全取代WOS或者作為一種權(quán)威性的引文分析工具來使用，都面臨著一定的困難或障礙，例如：收錄范圍的不明確；覆蓋的學(xué)術(shù)資源領(lǐng)域受限；回溯年代較短；各學(xué)科開放獲取運(yùn)動發(fā)展的不平衡；ACI技術(shù)與網(wǎng)絡(luò)搜索技術(shù)的缺陷等。

4　主要應(yīng)用實(shí)踐及進(jìn)展

信息計(jì)量學(xué)的傳統(tǒng)應(yīng)用領(lǐng)域主要涉及文獻(xiàn)管理、學(xué)科發(fā)展分析與評價(jià)、科研管理等，而近年來取得的應(yīng)用進(jìn)展則大量集中于網(wǎng)絡(luò)環(huán)境，以下選取幾個(gè)較有影響的網(wǎng)絡(luò)應(yīng)用予以說明。

4.1網(wǎng)絡(luò)流量分析

隨著網(wǎng)絡(luò)發(fā)展及其對社會生活的全面滲透，商業(yè)網(wǎng)站為擴(kuò)大自身影響力，吸引更多網(wǎng)絡(luò)廣告客戶和電子商務(wù)客戶，都非常注意對自身網(wǎng)站訪問流量進(jìn)行計(jì)量和宣傳。早期，網(wǎng)站通常采用自行統(tǒng)計(jì)、網(wǎng)絡(luò)流量分析報(bào)告的方式，但由于日志文件數(shù)據(jù)比較容易篡改，廣告客戶常常對網(wǎng)站提供的流量數(shù)據(jù)心存疑慮。另外，各網(wǎng)站在流量分析過程中所采用的標(biāo)準(zhǔn)、計(jì)量指

標(biāo)和工具等的不同，也使得各網(wǎng)站的流量統(tǒng)計(jì)結(jié)果之間缺乏可比性。為此，制定網(wǎng)絡(luò)流量分析的行業(yè)標(biāo)準(zhǔn)和報(bào)告規(guī)范，并由此提供第三方流量認(rèn)證服務(wù)，成為隨后網(wǎng)絡(luò)流量分析的發(fā)展主流。

目前，市場上專門提供對網(wǎng)站流量和日志數(shù)據(jù)計(jì)量分析的相關(guān)軟件以及流量認(rèn)證服務(wù)的提供商越來越多，如WebTrends Log Analyzer、FlashStats、AcessWatch、OneStatPro和BPA International、Nielsen//NetRatings等。商業(yè)化軟件和第三方流量認(rèn)證服務(wù)的推出有效促進(jìn)并形成了信息計(jì)量學(xué)的一個(gè)網(wǎng)絡(luò)化新興應(yīng)用領(lǐng)域。

4.2核心網(wǎng)站評測

對“核心”問題的研究始終得到信息計(jì)量學(xué)的高度關(guān)注，例如早期對學(xué)術(shù)期刊、文獻(xiàn)作者、詞頻等分布的集中與離散現(xiàn)象的研究以及由此建立起來的一系列經(jīng)典定律。進(jìn)入21世紀(jì)以來，對“核心”問題的研究仍在繼續(xù)，其中尤以核心網(wǎng)站評測最具代表性。

核心網(wǎng)站評測主要由核心期刊評選活動引發(fā)而來。除了全面分析和比較核心期刊與核心網(wǎng)站評選方法的異同外，如何建立合理的核心網(wǎng)站評選程序進(jìn)而形成關(guān)于核心網(wǎng)站評選的理論與方法體系更為重要。2005年，國內(nèi)學(xué)者袁毅經(jīng)過系統(tǒng)、深入的研究，提出了“發(fā)現(xiàn)、過濾、評價(jià)、擴(kuò)展和更新”的核心網(wǎng)站評選基本流程，并對該流程進(jìn)行了實(shí)證研究和分析，初步驗(yàn)證了其合理性和有效性。

4.3 網(wǎng)絡(luò)標(biāo)簽分布的計(jì)量分析

網(wǎng)絡(luò)自由分類法出現(xiàn)于2004年，而大量使用則在2005年以后。基于自由分類法原理提供Web2.0服務(wù)的眾多新興網(wǎng)站中用戶標(biāo)簽的使用及數(shù)量、頻率等分布狀況逐漸成為網(wǎng)絡(luò)信息計(jì)量研究的一個(gè)熱點(diǎn)領(lǐng)域。

目前，網(wǎng)絡(luò)標(biāo)簽計(jì)量分析研究主要以Del.icio.us、Flickr、Connotea、CiteUlike、Bibsonomy等網(wǎng)站作為實(shí)例，從中抽取一定時(shí)間范圍內(nèi)的標(biāo)簽樣本數(shù)據(jù)，利用統(tǒng)計(jì)描述、聚類、共詞分析等方法進(jìn)行計(jì)量分析，試圖揭示、說明自由分類法及其網(wǎng)絡(luò)協(xié)作標(biāo)注系統(tǒng)的運(yùn)行機(jī)制、用戶標(biāo)注行為規(guī)律及行為模式以及互聯(lián)網(wǎng)環(huán)境下新興的長尾分布現(xiàn)象等。已實(shí)施的網(wǎng)絡(luò)標(biāo)簽計(jì)量分析研究主要有：①標(biāo)簽、用戶、資源三者之間的關(guān)聯(lián)分析；②各種標(biāo)簽的頻率和比例分布分析(包括高頻標(biāo)簽與低頻標(biāo)簽、規(guī)范詞與非規(guī)范詞、拼寫變化等)；③標(biāo)簽共現(xiàn)分析；④標(biāo)簽詞語集合的規(guī)模及增長變化；⑤基于標(biāo)簽的用戶標(biāo)注行為和用戶相似性分析等。

5　面臨的問題與挑戰(zhàn)

5.1基本概念缺乏清晰定義，研究內(nèi)容龐雜，學(xué)科邊界模糊

信息計(jì)量學(xué)的基本計(jì)量分析對象應(yīng)是“信息”，但由于“信息”概念的難以定義，時(shí)至今日，實(shí)際研究工作中大都是以各種各樣的信息“替身”為計(jì)量對象的。另外，信息(尤其是數(shù)字信息)所具備的一些特性，例如無窮性、載體依附性、易復(fù)制易傳播性、脆弱性等，也為計(jì)量分析帶來更多的困難。

“信息基本循環(huán)圖式”對信息計(jì)量學(xué)理論基礎(chǔ)的建立雖然有所貢獻(xiàn)，但也存在著明顯的缺陷，例如對信息計(jì)量與知識計(jì)量的關(guān)系、各組成要素之間具體的聯(lián)系與作用方式(即“+”)等都缺乏明確的定義和說明。此外，基于基本循環(huán)圖式而形成的眾多不同的研究范式，也會導(dǎo)致信息計(jì)量學(xué)研究內(nèi)容的日益龐雜，并使學(xué)科邊界相對模糊。如果多元研究范式長期并存不能形成主流(或核心)的研究體系，則有可能使學(xué)科研究主題進(jìn)一步出現(xiàn)被模糊或被淡化的危險(xiǎn)。

5.2研究方法有待繼續(xù)創(chuàng)新，專用研究工具比較缺乏

雖然目前信息計(jì)量學(xué)在研究方法、工具和指標(biāo)設(shè)計(jì)等方面已取得不少進(jìn)展，研究視野得到拓展，但對傳統(tǒng)方法的依賴依然較為嚴(yán)重，尤其是在新興的網(wǎng)絡(luò)鏈接分析方面，引文分析的“烙印”十分明顯，而針對網(wǎng)絡(luò)特性所進(jìn)行的創(chuàng)新和改進(jìn)遠(yuǎn)遠(yuǎn)不如繼承的成分更多。繼承之上如何超越正成為信息計(jì)量學(xué)急需解決的一個(gè)方法論難題。

研究工具方面，不論是網(wǎng)絡(luò)抽樣、原始數(shù)據(jù)下載還是網(wǎng)絡(luò)鏈接解析與統(tǒng)計(jì)，都還缺乏較為有效的專用工具，很多情況下只能依靠搜索引擎來獲取樣本數(shù)據(jù)，由此造成研究中存在種種偏差。

5.3應(yīng)用研究活躍，但影響力和應(yīng)用效果都比較局限

與信息計(jì)量學(xué)研究中存在的理論基礎(chǔ)薄弱、方法／工具創(chuàng)新不足形成鮮明對照的是當(dāng)前各種應(yīng)用研究活動十分活躍。不過，大部分的應(yīng)用活動不僅研究方法簡單，而且應(yīng)用效果不確定，難以形成較強(qiáng)的示范效應(yīng)或者對理論基礎(chǔ)和研究方法的完善形成有益的促進(jìn)。而影響力較大的少數(shù)研究活動則仍較多局限于教育、科研等學(xué)術(shù)性領(lǐng)域，這與網(wǎng)絡(luò)對當(dāng)今社會的全方位影響、滲透相比，研究思路還顯得過于狹窄。

篇10

關(guān)鍵詞：IP城域網(wǎng)絡(luò)流量預(yù)測方法

中圖分類號: P332.4文獻(xiàn)標(biāo)識碼：A

做好網(wǎng)絡(luò)的可用性與關(guān)鍵業(yè)務(wù)的暢通運(yùn)行,對網(wǎng)絡(luò)正常健康的發(fā)展有著相關(guān)重大的作用。維持正常的網(wǎng)絡(luò)操作,就須要有相應(yīng)的技術(shù)手法,清晰的認(rèn)識網(wǎng)絡(luò)上各種應(yīng)用的帶寬占用情況,分析用戶流量行為,有效地保障關(guān)鍵業(yè)務(wù)應(yīng)用的正常運(yùn)行，以便合理的規(guī)劃和分配網(wǎng)絡(luò)帶寬。特別是在發(fā)生流量異常的同時(shí),快速有效的分離與抑制異常流量,對非法業(yè)務(wù)實(shí)行遏止,使網(wǎng)絡(luò)流量可以保持其健壯性。

1、城域網(wǎng)絡(luò)的特點(diǎn)

可靠性：城域網(wǎng)的信息系統(tǒng)能夠在規(guī)定條件下與規(guī)定的時(shí)間內(nèi)完成規(guī)定功效的特點(diǎn)。可靠性是基于系統(tǒng)安全的最基于要求之一，是所有網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。網(wǎng)絡(luò)信息系統(tǒng)的可靠性測度主要有三種：抗毀性、生存性和有效性。可靠性主要表現(xiàn)在硬件可靠性、軟件可靠性、人員可靠性、環(huán)境可靠性等方面。

可用性:是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性。即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性。可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。可用性還滿足身份識別與確認(rèn)、訪問控制，防止或限制經(jīng)隱蔽通道的非法訪問。

2、網(wǎng)絡(luò)流量的分類

2.1網(wǎng)絡(luò)節(jié)點(diǎn)端口流量：是網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備端口流入和流出的數(shù)據(jù)包的信息統(tǒng)計(jì)，包括數(shù)據(jù)包的個(gè)數(shù)、字節(jié)數(shù)、包大小分布、丟包數(shù)等非常多的統(tǒng)計(jì)信息。監(jiān)視節(jié)點(diǎn)端口流量的典型工具是MRTG（ Multi Router TrafficGrapher），另外現(xiàn)網(wǎng)許多網(wǎng)管也提供這些功能。MRTG的功能單一，它使用SNMP協(xié)議訪問網(wǎng)絡(luò)節(jié)點(diǎn)攻取MIB信息（包括網(wǎng)絡(luò)節(jié)端口流量），然后通過WEB方式輸出結(jié)果。

2.2端到端的IP流量：是在網(wǎng)絡(luò)層從一個(gè)源到一個(gè)目的IP包的統(tǒng)計(jì)信息。相對于網(wǎng)絡(luò)節(jié)點(diǎn)端口流量而言，端到端的IP流量包含了更為豐富的信息，通過對它的分析，可以了解到網(wǎng)絡(luò)中的用戶都訪問了哪些目的網(wǎng)絡(luò)，是網(wǎng)絡(luò)分析、規(guī)劃、設(shè)計(jì)和優(yōu)化的重要依據(jù)。目前采用端到端IP流量的典型工具包括SNIFFER、FLOW和流量探針等，根據(jù)其不同的特點(diǎn)，分別適用于不同范圍的流量采集。

2.3業(yè)務(wù)層流量：該流量除了包含端到端IP流量的信息外，還包含了第四層（TCP層）的端口信息。顯而易見，它包含了應(yīng)用服務(wù)的種類信息，利用這些信息可以做更詳細(xì)的分析。SNIFFER、FLOW和流量探針等工具也實(shí)現(xiàn)了這個(gè)層面的流量信息采集。

2.4完整的用戶業(yè)務(wù)數(shù)據(jù)流量：該流量對于安全、性能等方面的分析非常有效。例如捕捉黑客的來訪數(shù)據(jù)包可以制止某些犯罪行為或得到重要的證據(jù)。由于捕捉完成的用戶業(yè)務(wù)數(shù)據(jù)需要超強(qiáng)的捕獲能力和超高的硬盤存儲速度和容量，需提供長時(shí)間的完整的用戶業(yè)務(wù)數(shù)據(jù)流量采集。

3、IP 城域網(wǎng)業(yè)務(wù)流量預(yù)測方法

運(yùn)營商在完成用戶預(yù)測的基礎(chǔ)上，便可進(jìn)行網(wǎng)絡(luò)流量及帶寬的預(yù)測。

1）寬帶業(yè)務(wù)流量

寬帶業(yè)務(wù)流量= 寬帶用戶數(shù)× 用戶并發(fā)率× 用戶平均業(yè)務(wù)帶寬(Mbps)× 寬帶用戶帶寬占用率。其中，各項(xiàng)指標(biāo)如下：

a. 寬帶用戶數(shù)：（含DSLAM 用戶、LAN 折算用戶、xPON 用戶、WLAN 用戶）：為預(yù)計(jì)達(dá)到的用戶數(shù)。

b. 用戶并發(fā)率：應(yīng)為峰值的用戶并發(fā)率。

c. 寬帶用戶平均帶寬：應(yīng)根據(jù)本地預(yù)計(jì)的不同帶寬用戶發(fā)展比例進(jìn)行計(jì)算，公式為：用戶平均業(yè)務(wù)帶寬=2M×2M 接入用戶占比＋ 4M×4M 接入用戶占比＋8M×8M 接入用戶占比＋……。

d. 寬帶用戶帶寬占用率= 寬帶用戶實(shí)際平均流量/ 寬帶用戶平均帶寬。例如，按照某運(yùn)營商市場部預(yù)測，4M接入用戶占比取定參考值為55%，8M 接入用戶占比取定參考值為40%，8M 以上接入用戶占比取定參考值為5%。由此計(jì)算出接入用戶平均帶寬為5.8M。

2）互聯(lián)網(wǎng)專線業(yè)務(wù)流量

互聯(lián)網(wǎng)專線業(yè)務(wù)流量= 專線用戶數(shù)× 平均用戶流量。

3）IPTV 業(yè)務(wù)流量

IPTV 業(yè)務(wù)流量，包括中心節(jié)點(diǎn)點(diǎn)播業(yè)務(wù)流量和中心節(jié)點(diǎn)直播業(yè)務(wù)流量。

a. 中心節(jié)點(diǎn)點(diǎn)播業(yè)務(wù)流量=IPTV 用戶數(shù)× 開機(jī)并發(fā)率× 點(diǎn)播并發(fā)率× 中心命中率×（標(biāo)清并發(fā)率× 標(biāo)清碼流+高清并發(fā)率× 高清碼流）× 帶寬冗余系數(shù)。

b. 中心節(jié)點(diǎn)直播業(yè)務(wù)流量=（標(biāo)清頻道數(shù)× 標(biāo)清碼流+ 高清頻道數(shù)× 高清碼流）× 帶寬冗余系數(shù)。其中，開機(jī)并發(fā)率參考值為50%，點(diǎn)播并發(fā)率參考值為50%，中心命中率參考值為20%，標(biāo)清并發(fā)率參考值為50%，標(biāo)清碼流參考值為2M，高清并發(fā)率參考值為50%，高清碼流參考值為8M，標(biāo)清頻道數(shù)參考值為100 個(gè)，高清頻道數(shù)參考值為20 個(gè)，帶寬冗余系數(shù)參考值為1.2。

4）VoIP 業(yè)務(wù)流量

VoIP 業(yè)務(wù)流量=VoIP 用戶數(shù)× 平均用戶流量。

5）IDC 業(yè)務(wù)流量

IDC 業(yè)務(wù)流量=IDC 出口寬帶×IDC業(yè)務(wù)流量系數(shù)。

6）3G 業(yè)務(wù)流量

3G 業(yè)務(wù)流量=3G 用戶數(shù)× 平均用戶流量。

7）業(yè)務(wù)控制層流量

BRAS 上行流量= 寬帶業(yè)務(wù)流量。SR 上行流量=IPTV 業(yè)務(wù)流量+ 專線業(yè)務(wù)流量。

4、IP城域網(wǎng)流量過濾技術(shù)

城域網(wǎng)流量的安全過濾主要可以分為兩種方式:旁路方式和串接方式。

5.1 旁路方式

旁路方式是將流量清洗設(shè)備旁掛在城域網(wǎng)核心層，同時(shí)將流量監(jiān)控設(shè)備旁掛在城域網(wǎng)匯聚層對匯聚層流量進(jìn)行監(jiān)控。當(dāng)流量無異常時(shí)，從核心層至匯聚層的流量不經(jīng)過流量清洗設(shè)備。當(dāng)流量監(jiān)控設(shè)備發(fā)現(xiàn)匯聚層流量出現(xiàn)異常時(shí)，由其通知流量清洗設(shè)備，并由流量清洗設(shè)備向網(wǎng)絡(luò)流量重定向的路由公告，將異常流量牽引至流量清洗設(shè)備，由其對異常流量進(jìn)行安全過濾后，再把正常流量轉(zhuǎn)發(fā)至匯聚層，實(shí)現(xiàn)流量過濾。而其他正常流量則不受影響，仍使用原路由。當(dāng)異常流量消失后，再公告恢復(fù)原路由，使流量恢復(fù)原正常路由。

路由方式的主要優(yōu)點(diǎn)是不會因?yàn)榘踩^濾設(shè)備故障而導(dǎo)致的網(wǎng)絡(luò)不通，對業(yè)務(wù)無任何影響，避免網(wǎng)絡(luò)故障點(diǎn)的增加。其只對異常流量進(jìn)行過濾清洗，無需對全部流量進(jìn)行處理，避免了由于安全過濾設(shè)備的性能原因影響網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力，從而有效避免了網(wǎng)絡(luò)延時(shí)增加、丟包、傳輸性能下降的問題。但由于需要通過流量監(jiān)控設(shè)備檢測，因此需要對核心層至匯聚層流量進(jìn)行分光，監(jiān)控設(shè)備需要與匯聚層每臺設(shè)備進(jìn)行互聯(lián)，占用資源。同時(shí)由于需要先檢測，發(fā)現(xiàn)流量異常后才對流量進(jìn)行牽引過濾，使其對攻擊的控制力度較弱,對攻擊的反映較慢，對于某些實(shí)時(shí)發(fā)生的網(wǎng)絡(luò)攻擊效果不明顯。

5.2 串接方式

串接方式是將流量清洗設(shè)備串接在城域網(wǎng)核心層與匯聚層之間，網(wǎng)絡(luò)全部流量都經(jīng)過流量清洗設(shè)備分析過濾，之后再轉(zhuǎn)發(fā)至匯聚層。然后再轉(zhuǎn)發(fā)至匯聚層。其網(wǎng)絡(luò)結(jié)構(gòu)。

串接方式的主要優(yōu)點(diǎn)是流量實(shí)時(shí)進(jìn)行分析過濾，能及時(shí)對網(wǎng)絡(luò)攻擊等異常流量進(jìn)行過濾，對攻擊的控制力度強(qiáng)。但由于其串接在網(wǎng)絡(luò)中，增加了網(wǎng)絡(luò)的故障點(diǎn)，對流量清洗設(shè)備的性能要求較高。如果網(wǎng)絡(luò)擴(kuò)容，則需要對流量清洗設(shè)備進(jìn)行相應(yīng)的擴(kuò)容，投資成本較高。