緒論:在尋找寫作靈感嗎�?愛(ài)發(fā)表網(wǎng)為您精選了8篇網(wǎng)絡(luò)流量分析的方法,愿這些內(nèi)容能夠啟迪您的思維�,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享!
篇1
【關(guān)鍵詞】流量 分析 抽樣 分類 統(tǒng)計(jì)
路由器、交換機(jī)�、寬帶接入服務(wù)器是構(gòu)成寬帶網(wǎng)絡(luò)的主要網(wǎng)絡(luò)設(shè)備,一般數(shù)據(jù)網(wǎng)管系統(tǒng)可以看到每一臺(tái)設(shè)備的CPU、內(nèi)存、端口流量、路由數(shù)據(jù)庫(kù)等網(wǎng)絡(luò)信息�����,但這些流量是怎樣構(gòu)成的�����,會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生怎樣的影響�����,我們無(wú)從知曉���。對(duì)寬帶網(wǎng)絡(luò)流量的深入分析����,使網(wǎng)絡(luò)設(shè)備流量監(jiān)控系統(tǒng)可以監(jiān)測(cè)的數(shù)據(jù)包括:網(wǎng)絡(luò)流量構(gòu)成分析�����、使用的協(xié)議����、系統(tǒng)負(fù)載、端口分布情況�、數(shù)據(jù)應(yīng)用統(tǒng)計(jì)、數(shù)據(jù)安全性�、發(fā)送時(shí)間等。網(wǎng)絡(luò)流量分析應(yīng)用可以接收來(lái)自網(wǎng)絡(luò)的各種信息���,通過(guò)對(duì)這些數(shù)據(jù)的分析�����,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況�����。下面從幾個(gè)方面對(duì)寬帶網(wǎng)絡(luò)流量分析方法進(jìn)行探討:
1 數(shù)據(jù)抽樣
抽樣是指從原始數(shù)據(jù)集中按一定原則抽取部分實(shí)例���,構(gòu)成數(shù)據(jù)子集作為觀察對(duì)象。抽樣的目的是為了代表原始數(shù)據(jù)集特性的較小的數(shù)據(jù)集上獲得對(duì)原始數(shù)據(jù)集特性的推斷���。數(shù)據(jù)抽樣的方法包括簡(jiǎn)單隨機(jī)抽樣�,即按照1/k的頻率����,隨機(jī)進(jìn)行抽樣;系統(tǒng)抽樣按數(shù)據(jù)包生成的時(shí)間順序���,在抽取第一個(gè)數(shù)據(jù)包后����,每隔k個(gè)包抽取一個(gè)包;分層抽樣可對(duì)標(biāo)注過(guò)的每類應(yīng)用采用簡(jiǎn)單隨機(jī)抽樣或系統(tǒng)抽樣方式抽取數(shù)據(jù)包�;集群抽樣可從多個(gè)子數(shù)據(jù)集中再隨機(jī)抽取若干個(gè)子數(shù)據(jù)集。
為對(duì)數(shù)據(jù)分布進(jìn)行準(zhǔn)確的分析��,要用到幾個(gè)簡(jiǎn)單的度量指標(biāo)��,包括算數(shù)平均值Mean����、算數(shù)和S、計(jì)數(shù)C���、最小值Min��、最大值Max�、極差Ed����、中列數(shù)Mr、第一個(gè)四分位數(shù)Q1�����、第三個(gè)四分位數(shù)Q3、中位數(shù)Median��、眾數(shù)Mode�、離群點(diǎn)Outlier等�。設(shè)n個(gè)排序后的觀察:
C=n
Min=x1
Max=x1
Ed=Max-Min
Mr=(Max-Min)/2
Q1=xn/4
Q3=x3n/4
Median=(x[n/2]+x[(n+1)/2])/2
另外,眾數(shù)是指數(shù)據(jù)集中出現(xiàn)頻率最高的數(shù)�;離群點(diǎn)有時(shí)又稱為歧異值,通常是指數(shù)據(jù)集中與數(shù)據(jù)一般行為不一樣的樣本����。
2 流量分類
網(wǎng)絡(luò)流量分類是依據(jù)網(wǎng)絡(luò)應(yīng)用協(xié)議對(duì)應(yīng)的某些參數(shù)或特征,自動(dòng)將網(wǎng)絡(luò)流量分成不同流量種類的過(guò)程���。流量分類一般指將網(wǎng)絡(luò)流量分為多類,如果是二類分類���,則可以使用流量檢測(cè)����、流量識(shí)別���、流量鑒別等方法�。
從網(wǎng)絡(luò)流量分類針對(duì)的目標(biāo)粒度,由細(xì)到粗又可以進(jìn)一步分為包級(jí)(packer-level) ���、流級(jí)(flow-level)和會(huì)話級(jí)(session-level)����。包級(jí)分類基于網(wǎng)絡(luò)數(shù)據(jù)包所具有的特征��,如包長(zhǎng)�、包到達(dá)間隔時(shí)間等,對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分類����;流級(jí)分類基于五元組(源IP地址、源端口號(hào)���、目的IP地址�����、目的端口號(hào)和協(xié)議)進(jìn)行分類��,除關(guān)注包級(jí)特征外�����,通常會(huì)進(jìn)一步考慮流級(jí)得指紋特征���,統(tǒng)計(jì)特征或行為特征����;會(huì)話級(jí)分類基于三元組(源IP地址���、目的IP地址和協(xié)議)進(jìn)行分類,適用于簡(jiǎn)單網(wǎng)絡(luò)服務(wù)環(huán)境的流量粗分類���。
基于DPI(深度包檢測(cè))的流量分類方法通過(guò)分析特定應(yīng)用在通信過(guò)程中的傳輸協(xié)議特征串實(shí)現(xiàn)流量分類�����,DPI一般是在應(yīng)用層內(nèi)容搜索特征串���,如BitTorrent的某個(gè)TCP數(shù)據(jù)包中包含特征串”0x13BitTorrent”。在基于載荷進(jìn)行DPI的流量分類中��,DPI流量分類需要解決如下幾個(gè)問(wèn)題:非標(biāo)應(yīng)用和私有協(xié)議越來(lái)越多���,它們多缺乏公開可用的協(xié)議規(guī)范����,導(dǎo)致特征串難找易變;某些特征模式的代表性較差�,僅能匹配到部分流量,導(dǎo)致檢全率較低�����;隨機(jī)加密流可能匹配若干模式��,導(dǎo)致誤檢率較高�;基于協(xié)議語(yǔ)法或數(shù)據(jù)語(yǔ)義分析需要進(jìn)行大量計(jì)算�,導(dǎo)致系統(tǒng)時(shí)間和空間開銷較大����。
3 基于統(tǒng)計(jì)學(xué)習(xí)的流量分析
基于統(tǒng)計(jì)學(xué)習(xí)的流量分析方法通過(guò)計(jì)算特定應(yīng)用流量的統(tǒng)計(jì)信息,利用各種機(jī)器學(xué)習(xí)算法�����,包括有監(jiān)督學(xué)習(xí)算法和無(wú)監(jiān)督學(xué)習(xí)算法,對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行鑒別�。基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分類通常包含三個(gè)步驟:統(tǒng)計(jì)特性抽取���,單包特征如包長(zhǎng),復(fù)合流統(tǒng)計(jì)如均值或標(biāo)準(zhǔn)偏差�;分類器構(gòu)造及訓(xùn)練���;新流量分類。
基于機(jī)器學(xué)習(xí)的流量分類方法面臨以下幾個(gè)方面的問(wèn)題:難以確定最有效的特征集����,既要選擇最佳的n個(gè)特征,使分類算法得到最大的分類準(zhǔn)確率����,同時(shí)要求n的值最小��;高維特征導(dǎo)致某些算法收斂時(shí)間長(zhǎng)���,計(jì)算復(fù)雜性較高,若僅參考從數(shù)據(jù)包頭導(dǎo)出的分類特征�,如果每個(gè)流用于抽取特征的包數(shù)為n,則收集每個(gè)特征的計(jì)算成本將接近n.log2n��;某些算法模型可能陷入局部最優(yōu)�;分類準(zhǔn)確率高度依賴于樣本的先驗(yàn)概率,而訓(xùn)練和測(cè)試樣本對(duì)某類流量可能是有偏樣本���。
4 總結(jié)
寬帶網(wǎng)絡(luò)流量分析是網(wǎng)絡(luò)運(yùn)營(yíng)管理�����,網(wǎng)絡(luò)發(fā)展規(guī)劃�,網(wǎng)絡(luò)流量調(diào)度和高效能業(yè)務(wù)前瞻的依據(jù)���。網(wǎng)絡(luò)流量分析也是網(wǎng)絡(luò)攻擊和惡意代碼檢測(cè)以及流量清洗的重要手段����。隨著寬帶網(wǎng)絡(luò)流量的快速增長(zhǎng),骨干網(wǎng)體系架構(gòu)不斷演進(jìn)�、扁平化、網(wǎng)狀化���、動(dòng)態(tài)自適應(yīng)成為網(wǎng)絡(luò)發(fā)展的趨勢(shì)���,寬帶網(wǎng)絡(luò)流量分析再次面臨巨大挑戰(zhàn),包括:高速網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)無(wú)損采集�����、單向流�����、協(xié)議私有化�����、加密����、P2P、隧道傳輸�、缺乏可信數(shù)據(jù)集和評(píng)估標(biāo)準(zhǔn),網(wǎng)絡(luò)流量分析研究工作仍然需要不斷深入與創(chuàng)新���。
參考文獻(xiàn)
[1](美)Nader F.Mir���,潘淑文.計(jì)算機(jī)與通信網(wǎng)絡(luò)[M].北京:中國(guó)電力出版社,2010(01).
[2]余浩�����,徐明偉.P2P流檢測(cè)技術(shù)研究綜述[J].清華大學(xué)學(xué)報(bào)����,2009(49).
[3]彭蕓,劉瓊.Internet 流分類方法的比較研究[J].計(jì)算機(jī)科學(xué)��,2007(34).
[4]汪立東���,錢麗萍.網(wǎng)絡(luò)流量分類方法與實(shí)踐[M].京:人民郵電出版社���,2013.
篇2
關(guān)鍵詞:IP包 流量分析 解析
0 引言
隨著社會(huì)的飛速發(fā)展和網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的擴(kuò)展�����,使得網(wǎng)絡(luò)通信問(wèn)題日益成為人們關(guān)注的焦點(diǎn)��。當(dāng)前��,人們對(duì)網(wǎng)絡(luò)的需要也日益增多�,人們對(duì)網(wǎng)絡(luò)通信也有了越來(lái)越高的要求�。通過(guò)Internet的迅速發(fā)展使社會(huì)經(jīng)濟(jì)結(jié)構(gòu)和人們的生活方式發(fā)生了巨大的變化,網(wǎng)絡(luò)服務(wù)越來(lái)越重要����,而IP流量正是網(wǎng)絡(luò)管理的重要數(shù)據(jù)基礎(chǔ),通過(guò)IP分析流量數(shù)據(jù)���,可以幫助網(wǎng)絡(luò)管理員發(fā)現(xiàn)各種惡意網(wǎng)絡(luò)攻擊�,對(duì)攻擊源進(jìn)行追溯和定位��,從而對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行有效的保護(hù)尤其在中小網(wǎng)絡(luò)中網(wǎng)絡(luò)安全起著至關(guān)重要的作用�。IP分析中數(shù)據(jù)的統(tǒng)計(jì)是不允許出現(xiàn)任何錯(cuò)誤的�����。因?yàn)榫W(wǎng)管人員在做好防護(hù)的同時(shí)也要對(duì)IP包進(jìn)行捕獲和流量分析。網(wǎng)絡(luò)上的信息流量是通過(guò)計(jì)算機(jī)的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息展現(xiàn)出來(lái)的��,通過(guò)對(duì)流經(jīng)網(wǎng)卡的數(shù)據(jù)包的分析�,如果發(fā)現(xiàn)有惡意連接或是異常流量的時(shí)候,網(wǎng)絡(luò)管理員就可以及時(shí)的做出相應(yīng)的措施來(lái)保護(hù)網(wǎng)絡(luò)的通暢和安全����,這也就是進(jìn)行IP包流量分析的重要性。
1 IP包流量分析的研究
1.1 IP流量分析
每個(gè)網(wǎng)絡(luò)都有自身的運(yùn)行規(guī)律�����,對(duì)于每一個(gè)高級(jí)的網(wǎng)絡(luò)管理員��,要管理好網(wǎng)絡(luò)上承載關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)��,首先要對(duì)自己所管理的網(wǎng)絡(luò)建立深入的了解����,提高自身的網(wǎng)絡(luò)管理技術(shù)水平,掌握有效的IP流量分析技術(shù)并能夠在工作中靈活的運(yùn)用��。網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的結(jié)構(gòu)��、應(yīng)用特點(diǎn)等緊密相關(guān)����,通過(guò)IP流量分析���,能夠幫助網(wǎng)絡(luò)管理人員掌握網(wǎng)絡(luò)系統(tǒng)運(yùn)行的規(guī)律。網(wǎng)絡(luò)上重要的應(yīng)用在運(yùn)行時(shí)��,如每一次訪問(wèn)��,每一個(gè)交易處理��,數(shù)據(jù)都是通過(guò)網(wǎng)絡(luò)來(lái)傳輸?shù)?�,就是這些數(shù)據(jù)的傳輸導(dǎo)致了網(wǎng)絡(luò)流量的產(chǎn)生�����。通過(guò)分析應(yīng)用運(yùn)行所產(chǎn)生的網(wǎng)絡(luò)流量�����,能夠清楚的了解應(yīng)用運(yùn)行時(shí)對(duì)網(wǎng)絡(luò)通信的影響�。通過(guò)IP流量分析程序可以獲取到數(shù)據(jù)包的內(nèi)容及其數(shù)量。在網(wǎng)絡(luò)帶寬一定的情況下���,每個(gè)用戶的網(wǎng)絡(luò)行為都將相互影響���,同時(shí)會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行產(chǎn)生影響。伴隨著每個(gè)用戶在網(wǎng)絡(luò)中的行為都有網(wǎng)絡(luò)流量的產(chǎn)生����,通過(guò)對(duì)網(wǎng)絡(luò)用戶的IP流量進(jìn)行分析,能夠直觀地了解網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)使用情況�。IP流量分析可以為網(wǎng)絡(luò)和應(yīng)用問(wèn)題的分析提供依據(jù),特別是數(shù)據(jù)包級(jí)的分析�����,因?yàn)檫@些依據(jù)是真實(shí)的�,有效的,它們是實(shí)實(shí)在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包����,這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問(wèn)題分析效率的原因。IP流量分析是有助于維護(hù)網(wǎng)絡(luò)持續(xù)����、高效和安全運(yùn)行的一種手段,IP流量分析有助于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)運(yùn)行管理����、應(yīng)用運(yùn)行管理和網(wǎng)絡(luò)應(yīng)用問(wèn)題分析���。
IP包流量分析的主要方法是通過(guò)實(shí)時(shí)連續(xù)地采集網(wǎng)絡(luò)數(shù)據(jù)并對(duì)其進(jìn)行統(tǒng)計(jì),計(jì)算得到主要成分性能指標(biāo)�,結(jié)合網(wǎng)絡(luò)流量的原理,通過(guò)統(tǒng)計(jì)出的性能指數(shù)觀察網(wǎng)絡(luò)狀態(tài)�,分析出網(wǎng)絡(luò)流量變化的趨勢(shì),找出影響網(wǎng)絡(luò)性能的因素���。
1.2 系統(tǒng)總體設(shè)計(jì)
通過(guò)研究與分析簡(jiǎn)單IP包流量分析程序的用戶需求可以發(fā)現(xiàn)���,用戶需要系統(tǒng)實(shí)現(xiàn)對(duì)本機(jī)基本信息的獲取,如IP地址���,主機(jī)名���,MAC地址和子網(wǎng)掩碼等信息;需要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的監(jiān)控����,即對(duì)流入和流出網(wǎng)卡的數(shù)據(jù)包進(jìn)行檢測(cè)并對(duì)數(shù)據(jù)包的長(zhǎng)度進(jìn)行累加,從而得到流量數(shù)據(jù)����,最后將網(wǎng)絡(luò)輸入流量�,網(wǎng)絡(luò)輸出流量����,網(wǎng)絡(luò)總流量能在對(duì)話框?qū)?yīng)的網(wǎng)格處顯示��;需要實(shí)現(xiàn)捕獲流經(jīng)本計(jì)算機(jī)網(wǎng)卡的所有數(shù)據(jù)包��,對(duì)所獲取到的數(shù)據(jù)包進(jìn)行解析��,從而得到相關(guān)信息�����,如源地址�,源端口,目的地址�����,目的端口�����,數(shù)據(jù)包的協(xié)議類型,數(shù)據(jù)包大小����,數(shù)據(jù)等信息。根據(jù)分析IP包流量分析系統(tǒng)可以具有三個(gè)主要功能部分:基本信息顯示�、網(wǎng)絡(luò)流量監(jiān)控、IP包解析��。系統(tǒng)設(shè)計(jì)圖如圖1所示�。
1.2.1 基本信息模塊
對(duì)于一臺(tái)計(jì)算機(jī)來(lái)說(shuō),一般只有一個(gè)計(jì)算機(jī)名稱��,但是可以有多個(gè)IP地址���。例如當(dāng)計(jì)算機(jī)通過(guò)撥號(hào)上網(wǎng)的時(shí)候�,在驗(yàn)證完用戶名和口令以后�����,就會(huì)動(dòng)態(tài)分配一個(gè)IP地址���,此時(shí)計(jì)算機(jī)就擁有了兩個(gè)IP地址�,一個(gè)是自己設(shè)定的局域網(wǎng)用的IP地址��,另外一個(gè)就是撥號(hào)上網(wǎng)動(dòng)態(tài)分配的IP地址了。
基本信息模塊實(shí)現(xiàn)的主要功能是獲取本機(jī)的主機(jī)名和本機(jī)IP地址�����,并以對(duì)話框的形式顯示出來(lái)����。此模塊中所獲取的IP地址是自己設(shè)定的局域網(wǎng)用的IP地址,而不是撥號(hào)上網(wǎng)時(shí)動(dòng)態(tài)分配的隨機(jī)IP地址����。它設(shè)計(jì)的主要目的是為了方便網(wǎng)絡(luò)管理人員快捷地了解本機(jī)的一些基本信息���。
1.2.2 網(wǎng)絡(luò)流量監(jiān)控模塊
網(wǎng)絡(luò)管理人員一般會(huì)根據(jù)計(jì)算機(jī)在不同時(shí)段的網(wǎng)絡(luò)流量變化情況來(lái)對(duì)計(jì)算機(jī)進(jìn)行各項(xiàng)參數(shù)的優(yōu)化�����,以及了解是否存在異常流量���。而對(duì)于個(gè)人用戶來(lái)說(shuō),實(shí)時(shí)了解本機(jī)網(wǎng)絡(luò)流量情況是很重要的���,尤其是對(duì)那些撥號(hào)上網(wǎng)的用戶��,對(duì)網(wǎng)絡(luò)流量的了解可以有效的幫助他們節(jié)約上網(wǎng)費(fèi)用����。
網(wǎng)絡(luò)流量監(jiān)控程序的本質(zhì)是對(duì)流入和流出網(wǎng)卡(Modern)的數(shù)據(jù)包進(jìn)行測(cè)量,在單位時(shí)間內(nèi)的流入量實(shí)際上就是在單位時(shí)間里流入網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)���,在單位時(shí)間內(nèi)的流出量實(shí)際上就是在單位時(shí)間內(nèi)流出網(wǎng)卡的數(shù)據(jù)包的字節(jié)數(shù)。而總流量就是流入量和流出量之和�。
1.2.3 IP包解析模塊
因?yàn)橐东@經(jīng)過(guò)網(wǎng)卡的所有數(shù)據(jù)包,需要將網(wǎng)卡設(shè)置為混雜模式����。在實(shí)際編程的過(guò)程中,通過(guò)使用網(wǎng)絡(luò)嗅探器可以把網(wǎng)卡設(shè)置于混雜模式����,并可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包的捕獲與分析�。在網(wǎng)絡(luò)安全方面�����,網(wǎng)絡(luò)嗅探手段可以有效地探測(cè)在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包信息,通過(guò)對(duì)這些信息的分析利用將有助于對(duì)網(wǎng)絡(luò)安全進(jìn)行維護(hù)����。IP包解析模塊就是通過(guò)使用網(wǎng)絡(luò)嗅探器技術(shù)來(lái)實(shí)現(xiàn)完成的。
2 IP包解析模塊的實(shí)現(xiàn)
IP包解析模塊是系統(tǒng)實(shí)現(xiàn)的重要模塊�����,在實(shí)現(xiàn)中主要實(shí)現(xiàn)函數(shù)見(jiàn)表1����。
3 結(jié)束語(yǔ)
IP包流量分析系統(tǒng)是一個(gè)相對(duì)復(fù)雜的系統(tǒng)��,通過(guò)研究需求設(shè)計(jì)了系統(tǒng)的主體框架�,通過(guò)編寫套接字�、訪問(wèn)注冊(cè)表等方法實(shí)現(xiàn)了系統(tǒng)部分主要功能,下一步準(zhǔn)備完成詳細(xì)指標(biāo)分析等功能�。
參考文獻(xiàn):
[1]楊延雙,王全民.TCP/IP協(xié)議分析及應(yīng)用[M].北京:機(jī)械工業(yè)出版社�����,2009.
篇3
關(guān)鍵詞 流量�����;分類;檢測(cè)�;統(tǒng)計(jì);分析
中圖分類號(hào) TN91 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708(2016)166-00104-01
近年來(lái)寬帶網(wǎng)絡(luò)一直保持高速增長(zhǎng)��,光纖到桌面已基本實(shí)現(xiàn)���,但網(wǎng)絡(luò)中巨大的流量會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生怎樣的影響���,這些流量是如何構(gòu)成的,始終是一個(gè)問(wèn)題��。通過(guò)對(duì)寬帶流量的分析我們可以知道流量的源頭和目的�����、知道協(xié)議分布�、知道端口情況、知道通信經(jīng)營(yíng)指標(biāo)等�����、當(dāng)然最重要的還有數(shù)據(jù)的安全性���。
不同的網(wǎng)絡(luò)�,不同觀察點(diǎn),不同時(shí)間的網(wǎng)絡(luò)流量因網(wǎng)絡(luò)規(guī)模��,業(yè)務(wù)種類���,用戶構(gòu)成和使用習(xí)慣的不同而不同��,甚至受突發(fā)事件的影響��,網(wǎng)絡(luò)流量在體量規(guī)模�,構(gòu)成成分和比例上都有所不同�����。一個(gè)好的流量分類分析系統(tǒng)���,應(yīng)滿足部署位置上的可移植性,流量規(guī)模的可伸縮性�,時(shí)間演進(jìn)的自適應(yīng)性。這時(shí)系統(tǒng)不僅需要采用先進(jìn)的分類技術(shù)��,也需要代表性的訓(xùn)練數(shù)據(jù)集來(lái)確定系統(tǒng)運(yùn)行參數(shù)�。數(shù)據(jù)集主要采用2種方式:PCAP格式和NETFLOW格式�,前者捕獲的是包級(jí)記錄��,后者則是關(guān)于流級(jí)得統(tǒng)計(jì)信息記錄�。
寬帶流量的分析和檢測(cè)首先要進(jìn)行流量的采集,這項(xiàng)工作可以通過(guò)交換機(jī)或路由器的鏡像端口實(shí)現(xiàn)����,也可以通過(guò)光纜分光的方式實(shí)現(xiàn)。對(duì)捕獲的數(shù)據(jù)進(jìn)行計(jì)算和統(tǒng)計(jì)���,并把統(tǒng)計(jì)數(shù)據(jù)寫入數(shù)據(jù)庫(kù)����,定期形成網(wǎng)絡(luò)性能和流量參數(shù)的報(bào)表�,用作分析的依據(jù),在形成足夠數(shù)量的報(bào)表數(shù)據(jù)后�����,可以分析數(shù)據(jù)和系統(tǒng)性能變化的趨勢(shì)�,判斷網(wǎng)絡(luò)是否存在瓶頸,并依據(jù)經(jīng)驗(yàn)�,形成經(jīng)驗(yàn)數(shù)據(jù)庫(kù),使網(wǎng)管系統(tǒng)具備學(xué)習(xí)的基礎(chǔ)和能力�����。在出現(xiàn)告警或異常情況時(shí),可用來(lái)分析對(duì)比�,判斷是否出現(xiàn)了網(wǎng)絡(luò)的攻擊和入侵,判斷惡意數(shù)據(jù)出現(xiàn)的源頭和特征����,足夠數(shù)量的數(shù)據(jù)報(bào)表也可以指導(dǎo)各類應(yīng)急預(yù)案的制定,在出現(xiàn)異常情況時(shí)可按照事先擬定的規(guī)則進(jìn)行處理����。
對(duì)于寬帶流量的分析和分類���,系統(tǒng)需要進(jìn)行統(tǒng)計(jì)模型的學(xué)習(xí)���,統(tǒng)計(jì)模型的學(xué)習(xí)可以分為監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)方法。所謂的監(jiān)督學(xué)習(xí)是需要使用已經(jīng)標(biāo)注過(guò)的數(shù)據(jù)集合作為經(jīng)驗(yàn)知識(shí)��,對(duì)寬帶流量的參數(shù)和算法進(jìn)行訓(xùn)練���;而非監(jiān)督學(xué)習(xí)則不需要使用已經(jīng)標(biāo)注過(guò)的數(shù)據(jù)集進(jìn)行訓(xùn)練,只是根據(jù)相關(guān)算法對(duì)寬帶流量集進(jìn)行匯聚�。對(duì)數(shù)據(jù)集的訓(xùn)練過(guò)程中需要由經(jīng)驗(yàn)豐富的專家參與,并進(jìn)行大量的基礎(chǔ)數(shù)據(jù)分析工作���,網(wǎng)絡(luò)經(jīng)驗(yàn)數(shù)據(jù)集是流量分析的重要構(gòu)成因素��。在實(shí)際分析過(guò)程中,由于寬帶核心網(wǎng)絡(luò)的流量巨大�,所以高性能的預(yù)處理路由器和大規(guī)模刀片服務(wù)器必不可少���。為了提高分析效率����,可以只分析單向流量�,并且在預(yù)處理過(guò)程中將IP數(shù)據(jù)報(bào)文的載荷去掉。但由于各種網(wǎng)絡(luò)協(xié)議不斷演進(jìn)����,加密的流量不斷增加,各種新應(yīng)用不斷出現(xiàn)�,網(wǎng)絡(luò)數(shù)據(jù)集的標(biāo)注也變得越來(lái)越困難。
網(wǎng)絡(luò)流量的分類和分析中對(duì)于標(biāo)準(zhǔn)協(xié)議的分析最為準(zhǔn)確,可根據(jù)TIP/IP協(xié)議簇中標(biāo)準(zhǔn)的服務(wù)端口號(hào)對(duì)流量報(bào)文進(jìn)行匹配��,并根據(jù)端口號(hào)的不同將流量對(duì)應(yīng)為不同的應(yīng)用���。非標(biāo)準(zhǔn)協(xié)議可以使用DPI(深度包檢測(cè))在應(yīng)用層對(duì)流量進(jìn)行特征字符串的分析匹配�,由于不同的應(yīng)用在TCP/UDP的數(shù)據(jù)包中包含特征字符串����,因此在掌握的不同網(wǎng)絡(luò)應(yīng)用的特征字符串后,可以將網(wǎng)絡(luò)流量精確的分類和匹配����,缺點(diǎn)是需要消耗較多的系統(tǒng)資源。但很多網(wǎng)絡(luò)應(yīng)用的特征字符串難找易變�����,代表性差及加密度高等問(wèn)題���,也導(dǎo)致誤檢率和檢全率下降�����。流量分析監(jiān)控和網(wǎng)絡(luò)應(yīng)用的發(fā)展一直是不斷演變的矛盾��。
基于協(xié)議的分類方法需要分析每種協(xié)議的特定的行為特性�����,標(biāo)準(zhǔn)的通信協(xié)議易于掌握�,私有協(xié)議比如P2P或VOIP等基于軟硬件客戶端的應(yīng)用則會(huì)有較多的變化��,或進(jìn)行加密使用就會(huì)影響流量分析的效果����,甚至無(wú)法識(shí)別。有時(shí)同一應(yīng)用軟件的不同版本間也會(huì)出現(xiàn)不同的流量特征����,即版本的變化會(huì)造成協(xié)議特征的變化。另外����,網(wǎng)絡(luò)中的單向流量、數(shù)據(jù)的時(shí)延���、抖動(dòng)都會(huì)對(duì)流量分析的算法產(chǎn)生影響。以上這些因素都是流量分析的難點(diǎn)和痛點(diǎn)�����。
運(yùn)營(yíng)商的骨干網(wǎng)絡(luò)逐漸向扁平化發(fā)展,網(wǎng)絡(luò)出口的數(shù)量增加和結(jié)構(gòu)日趨復(fù)雜����,及動(dòng)態(tài)路由算法的大量使用,使得網(wǎng)絡(luò)流量在多條鏈路或多個(gè)不同ISP之間動(dòng)態(tài)調(diào)配����,導(dǎo)致在某個(gè)觀察點(diǎn)只能得到部分流量,這對(duì)于依賴雙向流量特征的分析方法無(wú)法實(shí)施�����?���;赑2P的應(yīng)用目前也在不斷擴(kuò)大,P2P的發(fā)展使得應(yīng)用和傳輸分離�,應(yīng)用端點(diǎn)和傳輸分離,打破了原有的B/S或C/S的傳統(tǒng)傳輸模式��,多源頭并發(fā)傳輸使得流量特征模糊化�,使得數(shù)據(jù)采集的有效性無(wú)法保障。還有一些網(wǎng)絡(luò)應(yīng)用為了逃避被檢測(cè)到,常常采用已知協(xié)議的方法��,例如FTP�、HTTP、POP3等��,由于IP地址的區(qū)分���,冒用已知協(xié)議并不會(huì)影響正常網(wǎng)絡(luò)通信��,但給流量分析帶來(lái)很大難度�����。
寬帶網(wǎng)絡(luò)流量分析不僅可以使我們可以清楚的知道網(wǎng)絡(luò)流量的內(nèi)容���,還可以為網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)優(yōu)化���、運(yùn)營(yíng)管理���、網(wǎng)絡(luò)安全保障提供依據(jù)和手段���。同時(shí),網(wǎng)絡(luò)應(yīng)用在不斷推陳出新����,各種私有化的協(xié)議和加密方法不斷出現(xiàn),且由于用戶接入帶寬的不斷提高���,核心網(wǎng)流量呈幾何速度增長(zhǎng)�,這些因素在客觀上也大大增加了網(wǎng)絡(luò)流量分析的難度和成本。現(xiàn)有的網(wǎng)絡(luò)流量分析再次面臨挑戰(zhàn)��,網(wǎng)絡(luò)流量的分析研究工作需要不斷深入進(jìn)行����。
參考文獻(xiàn)
[1]Nader F.Mir.計(jì)算機(jī)與通信網(wǎng)絡(luò)[M].潘淑文����,等����,譯.北京:中國(guó)電力出版社,2010��,1.
[2]余浩�,徐明偉.P2P流檢測(cè)技術(shù)研究綜述[J].清華大學(xué)學(xué)報(bào)�����,2009(4):610-620.
篇4
關(guān)鍵詞:網(wǎng)絡(luò)管理�;網(wǎng)絡(luò)流量;監(jiān)測(cè)
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 14-0000-01
The Flow Monitoring Method of Network Management
Li Jiabin
(Ocean University of China,Qingdao266100,China)
Abstract:With the rapid development of modern network technology,by network flow monitoring,to detect traffic anomaly within the enterprise LAN host,or set the threshold according to the system early warning so as to better protect the normal course of business demand for network bandwidth ,is the inevitable requirement of the development of network technology.In this paper,the characteristics of network traffic,network traffic measurement has done a study,so as to optimize the traffic monitoring technology made a number of recommendations.
Keywords:Network management;Network flow;Monitoring
企業(yè)局域網(wǎng)的廣泛應(yīng)用為廣大企業(yè)帶來(lái)了快速的信息響應(yīng)�、辦公效率的大幅提升��、經(jīng)營(yíng)成本的降低等眾多好處�。但同時(shí)��,隨著網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)的發(fā)展����,網(wǎng)絡(luò)應(yīng)用五花八門����,企業(yè)也不得不面對(duì)越來(lái)越多的惡意網(wǎng)絡(luò)攻擊與黑客入侵���。目前,企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全綜合應(yīng)用了防火墻���、入侵監(jiān)測(cè)、漏洞掃描��、補(bǔ)丁分發(fā)等安全產(chǎn)品�����,致力于建設(shè)集訪問(wèn)控制���、流量監(jiān)測(cè)��、帶寬管理及終端管理等功能與一體的安全管理平臺(tái)。通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)��,及時(shí)發(fā)現(xiàn)企業(yè)局域網(wǎng)內(nèi)流量異常的主機(jī)���,或者根據(jù)系統(tǒng)設(shè)置的閾值提前預(yù)警����,從而更好的保護(hù)正常業(yè)務(wù)對(duì)網(wǎng)絡(luò)帶寬的需求。所以��,網(wǎng)絡(luò)流量監(jiān)測(cè)是實(shí)現(xiàn)對(duì)企業(yè)局域網(wǎng)運(yùn)行狀況掌握與管理的有效手段�。
一、網(wǎng)絡(luò)流量的特征
(一)數(shù)據(jù)流是雙向的����,但通常是非對(duì)稱的��?����;ヂ?lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的���,因此網(wǎng)絡(luò)的流是雙向的�����。但是兩個(gè)方向上的數(shù)據(jù)率有很大的差異�,這是因?yàn)閺木W(wǎng)站下載時(shí)會(huì)導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個(gè)方向多。(二)大部分TCP會(huì)話是短期的����。超過(guò)90%的TCP會(huì)話交換的數(shù)據(jù)量小于IOK字節(jié)��,會(huì)話持續(xù)時(shí)間不超過(guò)幾秒��。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對(duì)話都不是短期的,但是由于80%的www文檔傳輸都小于IOK字節(jié)����,WWW的巨大增長(zhǎng)使其在這方面產(chǎn)生了決定性的影響�����。(三)包的到達(dá)過(guò)程不是泊松過(guò)程��。大部分傳統(tǒng)的排隊(duì)理論和通信網(wǎng)絡(luò)設(shè)計(jì)都假設(shè)包的到達(dá)過(guò)程是泊松過(guò)程�。簡(jiǎn)單的說(shuō)���,泊松到達(dá)過(guò)程就是事件按照一定的概率獨(dú)立的發(fā)生���。泊松模型因?yàn)橹笖?shù)分布的無(wú)記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡(jiǎn)單�。(四)網(wǎng)絡(luò)通信量具有局域性����?�;ヂ?lián)網(wǎng)流量的局域性包括時(shí)間局域性和空間局域性��。用戶在應(yīng)用層對(duì)互聯(lián)網(wǎng)的訪問(wèn)反映在包的時(shí)間和源及目的地址上�����,從而顯示出基于時(shí)間的相關(guān)和基于空間的相關(guān)。
二��、網(wǎng)絡(luò)流量的測(cè)量
網(wǎng)絡(luò)流量的測(cè)量是人們研究互聯(lián)網(wǎng)絡(luò)的一個(gè)工具��,通過(guò)采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計(jì)出更加符合實(shí)際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議���。計(jì)算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會(huì)出錯(cuò)的,設(shè)備的一小點(diǎn)故障都有可能使整個(gè)網(wǎng)絡(luò)癱瘓��,或者使網(wǎng)絡(luò)性能明顯下降����。對(duì)互聯(lián)網(wǎng)流量的測(cè)量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問(wèn)題����。互聯(lián)網(wǎng)流量的測(cè)量從不同的方面可以分為:
(一)基于硬件的測(cè)量和基于軟件的測(cè)量。基于硬件的測(cè)量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計(jì)的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測(cè)量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量����,網(wǎng)絡(luò)插件的類型,存儲(chǔ)能力和協(xié)議分析能力等諸多因素的限制�����?���;谲浖臏y(cè)量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分�,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能�。與基于硬件的方法比較,其費(fèi)用比較低廉�,但是性能比不上專用的網(wǎng)絡(luò)流量分析器。(二)主動(dòng)測(cè)量和被動(dòng)測(cè)量�����。被動(dòng)測(cè)量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流���,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測(cè)量都是被動(dòng)的測(cè)量����。主動(dòng)測(cè)量使用由測(cè)量設(shè)備產(chǎn)生的數(shù)據(jù)流來(lái)探測(cè)網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息。例如使用ping來(lái)估計(jì)到某個(gè)目的地址的網(wǎng)絡(luò)延時(shí)。(三)在線分析和離線分析��。有的網(wǎng)絡(luò)流量分析器支持實(shí)時(shí)地收集和分析網(wǎng)絡(luò)數(shù)據(jù)�����,使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果��,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個(gè)能力�����。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù)�,把數(shù)據(jù)存儲(chǔ)下來(lái),并不對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)的分析���。(四)協(xié)議級(jí)分類。對(duì)于不同的協(xié)議��,例如以太網(wǎng)����,幀中繼���,異步傳輸模式����,需要使用不同的網(wǎng)絡(luò)插件來(lái)收集網(wǎng)絡(luò)數(shù)據(jù)�,因此也就有了不同的通信量測(cè)試方法����。
三、網(wǎng)絡(luò)流量的監(jiān)測(cè)技術(shù)
根據(jù)對(duì)網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)����、基于SNMP的監(jiān)測(cè)技術(shù)和基于Netflow的監(jiān)測(cè)技術(shù)三種常用技術(shù)��。
(一)基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測(cè)技術(shù)�����。網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過(guò)交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過(guò)分光器、網(wǎng)絡(luò)探針等附加設(shè)備���,實(shí)現(xiàn)網(wǎng)絡(luò)流量的無(wú)損復(fù)制和鏡像采集。和其它兩種流量采集方式相比���,流量鏡像采集的最大特點(diǎn)是能夠提供豐富的應(yīng)用層信息�。(二)基于Netflow的流量監(jiān)測(cè)技術(shù)。Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實(shí)現(xiàn)的網(wǎng)絡(luò)流量信息采集。(三)基于SN的流量監(jiān)測(cè)技術(shù)��。基于SNMP的流量信息采集�����,實(shí)質(zhì)上是通過(guò)提取網(wǎng)絡(luò)設(shè)備Agent提供的MIB中收集一些具體設(shè)備及流量信息有關(guān)的變量��。基于SNMP收集的網(wǎng)絡(luò)流量信息包括:輸入字節(jié)數(shù)�����、輸入非廣播包數(shù)��、輸入廣播包數(shù)��、輸入包丟棄數(shù)�、輸入包錯(cuò)誤數(shù)、輸入未知協(xié)議包數(shù)���、輸出字節(jié)數(shù)����、輸出非廣播包數(shù)�、輸出廣播包數(shù)��、輸出包丟棄數(shù)��、輸出包錯(cuò)誤數(shù)����、輸出隊(duì)長(zhǎng)等�。在此基礎(chǔ)上實(shí)現(xiàn)的流量信息采集效率和效果均能夠滿足網(wǎng)絡(luò)流量監(jiān)測(cè)的需求�����。
在綜合比較三種技術(shù)之后�,不難得出以下結(jié)論:基于SNMP的流量監(jiān)測(cè)技術(shù)能夠滿足網(wǎng)絡(luò)流量分析的需要,且信息采集效率高�����,適合在各類網(wǎng)絡(luò)中應(yīng)用��。
參考文獻(xiàn):
篇5
關(guān)鍵詞: 流量分析��;重要端口號(hào)�����;算法思想
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671-7597(2012)1210095-01
1 兩種不同網(wǎng)絡(luò)類型的數(shù)據(jù)流量
在C/S(客戶機(jī)/服務(wù)器)結(jié)構(gòu)中,客戶機(jī)發(fā)送一些請(qǐng)求�����,服務(wù)器為每個(gè)請(qǐng)求做出回復(fù)�����。在客戶機(jī)間不直接傳遞信息���,客戶機(jī)必須通過(guò)服務(wù)器把信息發(fā)送給其它客戶機(jī)����。這種數(shù)據(jù)是定向流動(dòng)的���,幾乎都是從服務(wù)器到客戶機(jī)�。然而在P2P網(wǎng)絡(luò)結(jié)構(gòu)中每臺(tái)主機(jī)同時(shí)擔(dān)任服務(wù)器和客戶機(jī)角色�����,對(duì)等主機(jī)之間可以直接進(jìn)行數(shù)據(jù)交換���。
2 P2P網(wǎng)絡(luò)應(yīng)用的類型
在P2P網(wǎng)絡(luò)應(yīng)用程序中�����,可以分為兩類:一是即時(shí)通信應(yīng)用�����,如MSN和雅虎信使�。實(shí)時(shí)通信程序的主要功能是信息傳遞,實(shí)現(xiàn)1對(duì)1或者1對(duì)多式用戶交流和文件轉(zhuǎn)存��。二是文件共享應(yīng)用�����,如Napster�����。文件共享程序的主要功能是查詢和文件轉(zhuǎn)存���。然而P2P應(yīng)用程序的聯(lián)系分兩種:一種是中心仲裁式,另一種是純分布式�。大多數(shù)實(shí)時(shí)通信應(yīng)用程序系統(tǒng)使用中心仲裁,在這種聯(lián)系方式中�����,一個(gè)或多個(gè)核心服務(wù)器存在,這些服務(wù)器包含所有主機(jī)的信息并且把信息發(fā)送給請(qǐng)求的主機(jī)���。在純分布式中沒(méi)有中心服務(wù)器��,在搜索效率和文件傳輸上都不是很好��。實(shí)際在P2P網(wǎng)絡(luò)應(yīng)用程序使用中存在這兩個(gè)不同類型的混合通信�。
3 P2P網(wǎng)絡(luò)數(shù)據(jù)流量分析算法的主要思想
傳統(tǒng)的數(shù)據(jù)流量分析主要是以端口號(hào)為基礎(chǔ)的分析和對(duì)有效載荷的檢測(cè)分析���,而在P2P網(wǎng)絡(luò)中��,這種方法不太適用�。比如網(wǎng)絡(luò)流量中�,HTTP通常使用的端口號(hào)是80或8080,HTTPS使用端口號(hào)443�����,在P2P網(wǎng)絡(luò)數(shù)據(jù)流量中����,端口號(hào)檢測(cè)不是那么簡(jiǎn)單,因?yàn)樗鼈兪褂玫亩丝谔?hào)超過(guò)1024����,通常是動(dòng)態(tài)生成的端口號(hào)。
因此設(shè)想����,如果所有的P2P數(shù)據(jù)流量可以在整個(gè)流量中分離出來(lái),然后根據(jù)其應(yīng)用程序的名稱分組����,那么就可以對(duì)P2P網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行高精度地分析?���;诖?���,我們提出了一種新的數(shù)據(jù)流量分析算法。
該算法不檢查每個(gè)數(shù)據(jù)包的有效載荷�,只使用每個(gè)數(shù)據(jù)包的頭信息��。主要包括四個(gè)過(guò)程����,分別是應(yīng)用端口表����、重要端口號(hào)選擇、流量關(guān)系圖和數(shù)據(jù)流量分組�����。算法思想首先是構(gòu)建應(yīng)用端口表���。它是通過(guò)離線窮舉搜索方法和數(shù)據(jù)包分析工具對(duì)每個(gè)對(duì)等網(wǎng)應(yīng)用程序進(jìn)行檢測(cè)與分析�����,包含應(yīng)用程序的名稱����、其經(jīng)常使用的端口號(hào)和協(xié)議。其次是重要端口號(hào)的選擇���。從捕獲的數(shù)據(jù)包中分析信息:源地址��、目的地址�����、源端口����、目的端口號(hào)�����、協(xié)議號(hào)�。因?yàn)樵炊丝诤湍康亩丝谔?hào)通常超過(guò)1024,從隨機(jī)生成的端口號(hào)中區(qū)分對(duì)于P2P應(yīng)用程序重要的端口號(hào)�����。
第三步是生成流量關(guān)系圖�����。大多數(shù)P2P應(yīng)用程序具有多個(gè)支持的功能��,在相同P2P流量中有可能發(fā)現(xiàn)它們之間的關(guān)系����。對(duì)前三個(gè)過(guò)程的結(jié)果進(jìn)行分析,按照對(duì)等網(wǎng)應(yīng)用程序的名稱與關(guān)系確定流量分組���。分組信息用于P2P應(yīng)用程序決策����,從而提高分析的精確度��。
4 P2P數(shù)據(jù)流量分析系統(tǒng)的設(shè)計(jì)
根據(jù)以上算法��,我們?cè)O(shè)想了P2P網(wǎng)絡(luò)流量分析系統(tǒng)����,用于實(shí)時(shí)流量的監(jiān)控和分析。該系統(tǒng)主要包括三個(gè)模塊��,分別是應(yīng)用端口表模塊��、重要端口選擇模塊和流量關(guān)系圖模塊�。其中,重要端口選擇模塊由一個(gè)數(shù)據(jù)包捕獲器��、一個(gè)數(shù)據(jù)流發(fā)生器和一個(gè)同步分組表組成。數(shù)據(jù)包捕獲器從一個(gè)網(wǎng)絡(luò)鏈接接收原始數(shù)據(jù)包��,并生成數(shù)據(jù)包的頭信息���,分組頭信息被發(fā)送到數(shù)據(jù)流發(fā)生器里�����。如果一個(gè)數(shù)據(jù)包是同步數(shù)據(jù)包或準(zhǔn)同步數(shù)據(jù)包則被存儲(chǔ)在同步分組表中����。數(shù)據(jù)流發(fā)生器查找同步分組表�����,并從每個(gè)數(shù)據(jù)流中選擇一個(gè)重要端口號(hào)�����。重要端口選擇模塊依靠網(wǎng)絡(luò)連接環(huán)境在一個(gè)單一的系統(tǒng)或多重系統(tǒng)中實(shí)現(xiàn)選擇�����。假如數(shù)據(jù)包在一個(gè)單一系統(tǒng)中被捕獲��,重要端口選擇器可以在一個(gè)單一的系統(tǒng)中實(shí)現(xiàn)����;如果有多個(gè)捕獲器被使用,那么重要端口選擇器模塊應(yīng)分為高����、低級(jí)兩層次。最后��,流量關(guān)系圖模塊對(duì)數(shù)據(jù)進(jìn)行分析��,并生成流量關(guān)系圖�����。
5 總結(jié)
本文說(shuō)明了P2P網(wǎng)絡(luò)流量的特點(diǎn)和現(xiàn)有的分析機(jī)制不適于當(dāng)前網(wǎng)絡(luò)流量分析的原因��,并提出了算法思想��,其與過(guò)去相比復(fù)雜而精確����。利用該算法設(shè)計(jì)了一個(gè)分析系統(tǒng),使用該系統(tǒng)可以分析大量的未知的無(wú)法用傳統(tǒng)分析方法進(jìn)行監(jiān)控的數(shù)據(jù)流量��。另外,該算法還可以進(jìn)一步改進(jìn)��,特別是數(shù)據(jù)流量關(guān)系中的算法�。該算法還可以應(yīng)用于其他網(wǎng)絡(luò)類型中數(shù)據(jù)流量的監(jiān)控與分析,比如網(wǎng)絡(luò)游戲和網(wǎng)絡(luò)流媒體等數(shù)據(jù)處理業(yè)務(wù)中�����。
參考文獻(xiàn):
[1]劉芳�,網(wǎng)絡(luò)流量監(jiān)測(cè)與控制,北京郵電大學(xué)出版社�����,2009年9月.
[2]高彥剛��,實(shí)用網(wǎng)絡(luò)流量分析技術(shù)����,電子工業(yè)出版社,2009年7月.
篇6
【關(guān)鍵詞】 分層網(wǎng)絡(luò) 交換機(jī) 設(shè)計(jì)規(guī)格
一�、前沿
選擇交換機(jī)硬件時(shí),應(yīng)確定核心層�����、分布層和接入層分別需要何種交換機(jī)來(lái)滿足網(wǎng)絡(luò)帶寬需求,應(yīng)考慮未來(lái)的帶寬需�����。應(yīng)購(gòu)買合適的交換機(jī)硬件來(lái)滿足當(dāng)前及未來(lái)的帶寬需求���。為了更準(zhǔn)確地選擇合適的交換機(jī),要定期執(zhí)行和記錄流量分析���。
二�����、流量分析
流量分析是測(cè)量網(wǎng)絡(luò)帶寬使用率并分析相關(guān)數(shù)據(jù)來(lái)調(diào)整性能���、規(guī)劃容量并作出硬件升級(jí)決策的過(guò)程,流量分析是通過(guò)流量分析軟件來(lái)實(shí)現(xiàn)的�����。盡管對(duì)網(wǎng)絡(luò)流量并沒(méi)有確切的定義���,但為了便于理解流量分析��,可以理解為網(wǎng)絡(luò)流量是指在一定時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)量�。所有的網(wǎng)絡(luò)數(shù)據(jù)無(wú)論來(lái)自何方,無(wú)論發(fā)往何處�,都是流量的一部分。監(jiān)控網(wǎng)絡(luò)流量的方法有許多種���??梢允止けO(jiān)控各個(gè)交換機(jī)端口來(lái)收集一段時(shí)間內(nèi)的帶寬利用率����。在分析流量數(shù)據(jù)時(shí),可能根據(jù)每天特定時(shí)段的流量以及大部分?jǐn)?shù)據(jù)的來(lái)源和目的地來(lái)確定未來(lái)的流量需求����。但是,為了獲得準(zhǔn)確地結(jié)果�����,需要記錄足夠的數(shù)據(jù)���。手工記錄流量數(shù)據(jù)是件費(fèi)時(shí)費(fèi)力的機(jī)械活����,市面上有一些自動(dòng)化的解決方案。
三�、分析工具
現(xiàn)在市面上有許多流量分析攻擊可以將流量數(shù)據(jù)自動(dòng)記錄到數(shù)據(jù)庫(kù)中,并執(zhí)行趨勢(shì)分析����。在大型網(wǎng)絡(luò)中����,采用軟件收集解決方案是唯一有效的流量分析方式。通過(guò)軟件收集數(shù)據(jù)時(shí)����,可以看到在給定的時(shí)間內(nèi)網(wǎng)絡(luò)上每個(gè)接口的運(yùn)行狀況。通過(guò)輸出的圖表���,可以直觀的發(fā)現(xiàn)流量問(wèn)題����。比用柱狀表示的流量數(shù)據(jù)更容易理解�。
四、用戶群分析
用戶群分析是確定各類用戶群體及其對(duì)網(wǎng)絡(luò)性能的影響的過(guò)程����,用戶的分組方式會(huì)影響與端口密度和流量有關(guān)的問(wèn)題�,進(jìn)而影響網(wǎng)絡(luò)交換機(jī)的選擇����。
在典型的辦公樓中,一般根據(jù)終端用戶的職能對(duì)其進(jìn)行分組�,這是因?yàn)橄嗤毮苡脩羲柙L問(wèn)的資源和應(yīng)用程序也大體相同。每個(gè)部門的用戶數(shù)���、應(yīng)用程序需求以及需要通過(guò)網(wǎng)絡(luò)訪問(wèn)的可用數(shù)據(jù)資源各有不同��。不僅要查看網(wǎng)絡(luò)中指定交換機(jī)上的設(shè)備數(shù)量�,還應(yīng)該調(diào)查終端用戶應(yīng)用程序生產(chǎn)的網(wǎng)絡(luò)流量���。有些用戶群使用產(chǎn)生大量網(wǎng)絡(luò)流量的應(yīng)用程序���,而其他用戶則不然,通過(guò)測(cè)量不同用戶群使用的所有應(yīng)用程序所生成的網(wǎng)絡(luò)流量并確定數(shù)據(jù)源的位置�����,可以確定增加用戶對(duì)該用戶群的影響��。
小企業(yè)中工作組大小的用戶群僅用幾臺(tái)交換機(jī)提供支持,通常連接到服務(wù)器所在的交換機(jī)上�����。在中型企業(yè)中����,用戶群由許多交換機(jī)提供支持。中型企業(yè)用戶群所需的資源可能位于地理上分散的若干區(qū)域中���。因此����,用戶群的位置會(huì)影響數(shù)據(jù)存儲(chǔ)和服務(wù)器的位置����。分析用戶群的應(yīng)用程序使用率的難題之一是使用率并非純粹取決于用戶所在的部門或地理位置��。還需要分析應(yīng)用程序穿越多臺(tái)網(wǎng)絡(luò)交換機(jī)所帶來(lái)的負(fù)面影響��。并據(jù)此確定總體影響���。
五��、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)服務(wù)器分析
在分析網(wǎng)絡(luò)流量時(shí)�����,應(yīng)考慮數(shù)據(jù)存儲(chǔ)和服務(wù)器的位置���,以便確定它們對(duì)網(wǎng)絡(luò)流量的影響���。數(shù)據(jù)存儲(chǔ)可以是服務(wù)器、存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)��、網(wǎng)絡(luò)連接存儲(chǔ)(NAS)�、磁帶備份設(shè)備或任何其他存儲(chǔ)大量數(shù)據(jù)的設(shè)備或組件。
在考慮數(shù)據(jù)存儲(chǔ)和服務(wù)器的流量時(shí)�,應(yīng)同時(shí)考慮客戶端到服務(wù)器的流量和服務(wù)器到服務(wù)器的流量。通過(guò)觀察不同用戶群使用的各種應(yīng)用程序的數(shù)據(jù)路徑���,可以找到潛在的瓶頸�,確定在哪些地方因?yàn)閹挷蛔銜?huì)影響應(yīng)用程序的性能�����。為改善性能�,可以聚合鏈路來(lái)提供帶寬,或者使用能夠處理流量負(fù)載的快速交換機(jī)來(lái)取代慢速交換機(jī)。
六�、拓?fù)浣Y(jié)構(gòu)圖
拓?fù)浣Y(jié)構(gòu)圖是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的圖形表現(xiàn)形式,拓?fù)浣Y(jié)構(gòu)圖顯示所有的交換機(jī)如何互連�����,乃至詳細(xì)到哪個(gè)交換機(jī)端口與設(shè)備互連���。拓?fù)浣Y(jié)構(gòu)圖以圖形的形式顯示交換機(jī)之間用于提供災(zāi)難恢復(fù)和性能增強(qiáng)的任何冗余路徑或聚合端口����,顯示網(wǎng)絡(luò)中交換機(jī)的位置和數(shù)目并標(biāo)出交換機(jī)的配置��。通過(guò)拓?fù)浣Y(jié)構(gòu)圖����,可以直觀地找到網(wǎng)絡(luò)流量的潛在瓶頸����,可以抓住流量分析數(shù)據(jù)的要點(diǎn),知道哪些網(wǎng)絡(luò)區(qū)域的改進(jìn)能夠最有效地提高網(wǎng)絡(luò)的整體性能���。
七����、結(jié)語(yǔ)
對(duì)于中小型企業(yè)而言、基于數(shù)據(jù)�、語(yǔ)音和視頻的數(shù)字通信至關(guān)重要。因此�����,正確設(shè)計(jì)局域網(wǎng)是企業(yè)日常運(yùn)營(yíng)的基本需求。作為網(wǎng)絡(luò)技術(shù)人員�����,必須能夠判斷什么才是設(shè)計(jì)合理的局域網(wǎng)�,能夠選擇合適的設(shè)備來(lái)滿足中小型企業(yè)的網(wǎng)絡(luò)需求��。
參 考 文 獻(xiàn)
[1] 郭利鋒�����,王勇�����,張磊�,白焱. AFDX交換機(jī)的隊(duì)列整形調(diào)度研究[J]. 計(jì)算機(jī)工程�,2011��,(24):58-60
篇7
電力綜合數(shù)據(jù)網(wǎng)的深化應(yīng)用對(duì)異常流量的檢測(cè)和分析提出了更高的要求�。本文通過(guò)對(duì)電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結(jié)構(gòu)進(jìn)行分析,驗(yàn)證了電力綜合數(shù)據(jù)網(wǎng)正常單位流量具有穩(wěn)定的信息熵�。在此基礎(chǔ)上,提出了通過(guò)對(duì)數(shù)據(jù)流量五元組熵值的分析來(lái)判斷異常流量的方法����,并對(duì)綜合數(shù)據(jù)網(wǎng)流量結(jié)構(gòu)進(jìn)行建模,提出應(yīng)用支持向量機(jī)的算法對(duì)異常流量進(jìn)行識(shí)別�����。
【關(guān)鍵詞】綜合數(shù)據(jù)網(wǎng) 異常流量 支持向量機(jī)
1 某電網(wǎng)綜合數(shù)據(jù)網(wǎng)流量分析現(xiàn)狀
目前某電網(wǎng)公司綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)以主數(shù)據(jù)中心和同城災(zāi)備中心為核心��,與全省各地供電局的綜合數(shù)據(jù)網(wǎng)絡(luò)核心形成互聯(lián)����,互聯(lián)鏈路采用萬(wàn)兆以太網(wǎng)傳輸技術(shù),形成一個(gè)電網(wǎng)綜合數(shù)據(jù)業(yè)務(wù)傳輸?shù)某休d網(wǎng)平臺(tái)���。具體網(wǎng)絡(luò)拓?fù)淙缦滤荆?/p>
該電網(wǎng)公司綜合數(shù)據(jù)網(wǎng)絡(luò)核心日常數(shù)據(jù)流量已超過(guò)1GB,流量監(jiān)控使用ARBOR流量分析設(shè)備來(lái)完成����,通過(guò)Netflow的方式監(jiān)測(cè)骨干層各中心匯聚設(shè)備連接到省中心的端口。
目前����,該電網(wǎng)公司流量分析系統(tǒng)具備的主要功能包括:
(1)能夠得到端到端用戶體檢的量化數(shù)據(jù),包括端到端的全過(guò)程響應(yīng)時(shí)間��。
(2)能夠得到網(wǎng)絡(luò)傳輸時(shí)延的數(shù)據(jù)��,并考慮到不同數(shù)據(jù)包大小情況的網(wǎng)絡(luò)傳輸時(shí)延���。
(3)能夠得到應(yīng)用系統(tǒng)各個(gè)交互過(guò)程的響應(yīng)時(shí)間的數(shù)據(jù)��。
(4)能夠根據(jù)時(shí)間迅速定位流量�����,并根據(jù)地址�、端口等信息迅速將所需網(wǎng)絡(luò)流量數(shù)據(jù)包檢索并抽取出來(lái)進(jìn)行分析�。
由以上功能點(diǎn)的統(tǒng)計(jì)分析�����,可以得知����,目前該電網(wǎng)的流量分析系統(tǒng)能做到對(duì)網(wǎng)絡(luò)流量的統(tǒng)計(jì)及性能分析����,但對(duì)網(wǎng)絡(luò)流量異常的做不到良好的預(yù)警��。
2 流量異常檢測(cè)方法
自Denning研究異常檢測(cè)模型以來(lái)��,網(wǎng)絡(luò)異常檢測(cè)方法的研究就一直受到學(xué)術(shù)界的極大關(guān)注���。白玉峰研究致力于利用流量大小(如流數(shù)��、分組數(shù)或字節(jié)數(shù))來(lái)檢測(cè)網(wǎng)絡(luò)異常并獲得巨大成功���,但是這類方法面臨的問(wèn)題是:并非所有的異常都會(huì)引起流量大小的顯著變化�����;此外���,采用不同的流量測(cè)度可能會(huì)識(shí)別出不同的流量異常,因此僅僅采用一種流量測(cè)度并不能識(shí)別蘊(yùn)含在流量數(shù)據(jù)中的所有異常�。
近年來(lái)的大量研究表明,不管是局域網(wǎng)還是廣域網(wǎng)�����,網(wǎng)絡(luò)流量都具有明顯的突發(fā)性和長(zhǎng)相關(guān)性��,而網(wǎng)絡(luò)的自相似性特性可以很好地描述流量這些特性���,所以,自相似性已成為網(wǎng)絡(luò)流量的重要特性并以此作為流量異常檢測(cè)的基礎(chǔ)?����,F(xiàn)今已有大量計(jì)算機(jī)學(xué)科領(lǐng)域的算法和模型被使用在網(wǎng)絡(luò)流量的異常檢測(cè)方面����,文獻(xiàn)采用小波分析方法利用網(wǎng)絡(luò)流量在時(shí)間尺度上的多重分形,在小波域內(nèi)對(duì)網(wǎng)絡(luò)流量進(jìn)行分解��,通過(guò)計(jì)算網(wǎng)絡(luò)流量的Hurst指數(shù)���,根據(jù)正常與異常流量Hurst指數(shù)的偏差來(lái)檢測(cè)異常��,但該方法Hurst指數(shù)與時(shí)間尺度緊密相關(guān)����,只對(duì)突發(fā)性的流量具有較好的檢測(cè)效果;文獻(xiàn)[1]提出一種融合k-means的聚類檢測(cè)算法��,該文增量地構(gòu)建流量矩陣���,增量地使用PCA主成分進(jìn)行異常檢測(cè)�����,這些方法在全網(wǎng)流量異常時(shí)檢測(cè)效果非常明顯���,但算法相對(duì)過(guò)于復(fù)雜使其在實(shí)時(shí)性上較差;文獻(xiàn)[2] 使用一種基于信息熵的特征選擇算法�,降低了檢測(cè)數(shù)據(jù)的維數(shù),但增量學(xué)習(xí)的限制條件比較多�,增量學(xué)習(xí)效率較低。
3 綜合數(shù)據(jù)網(wǎng)流量異常檢測(cè)
通過(guò)上述分析可以看出�����,數(shù)據(jù)流五元組的熵值較為穩(wěn)定,可以通過(guò)熵值的變化情況來(lái)區(qū)分正常流量和異常流量���。因此綜合數(shù)據(jù)網(wǎng)異常流量的檢測(cè)問(wèn)題也就是通過(guò)對(duì)數(shù)據(jù)流量五元組熵值的分析來(lái)做出正常或異常的判斷����。
3.1 異常流量檢測(cè)模型
針對(duì)上文中對(duì)流量特性的分析,綜合數(shù)據(jù)網(wǎng)異常流量的檢測(cè)問(wèn)題可以理解為通過(guò)已有的流量特征據(jù)���,將現(xiàn)有的流量分類為正?��;虍惓!DJ阶R(shí)別理論是利用已有的信息����,按照某種特定的規(guī)則確定未知的樣本的類別屬性,模式識(shí)別往往被看作是分類問(wèn)題��,讓機(jī)器自身從環(huán)境中分離出某種模式并對(duì)未知樣本的歸類做出合理的判斷�����。因此,可以將模式識(shí)別應(yīng)用于綜合數(shù)據(jù)網(wǎng)的異常力量檢測(cè)��,通過(guò)對(duì)己有的數(shù)據(jù)流量的熵值樣本進(jìn)行學(xué)習(xí)����,建立規(guī)律模型,利用該模型對(duì)未知樣本進(jìn)行分類�����。
3.2 異常檢測(cè)算法
首先使用一定數(shù)量的正常流量和異常流量數(shù)據(jù)作為訓(xùn)練樣本輸入到支持向量機(jī)之中��,根據(jù)這些訓(xùn)練數(shù)據(jù)輸出一個(gè)模型�����,這個(gè)模型實(shí)際上就是通過(guò)樣本構(gòu)造的決策函數(shù)�。然后將測(cè)試數(shù)據(jù)輸入該模型進(jìn)行分類。
3.2.1 訓(xùn)練階段
根據(jù)信息熵的定義�����,對(duì)樣本流量的五元組分別求熵��,建立樣本流量的五維熵值向量�。使用核函數(shù)將向量從五維變換到高位����,再將數(shù)據(jù)作為訓(xùn)練樣本輸入到支持向量機(jī)之中����,根據(jù)這些訓(xùn)練數(shù)據(jù)構(gòu)造的一個(gè)決策函數(shù)。
3.2.2 檢測(cè)階段
將檢測(cè)流量輸入模型進(jìn)行檢測(cè)���,分類結(jié)果為1則為正常流量,分類結(jié)果為-1即為異常流量�。
4 結(jié)束語(yǔ)
本文通過(guò)對(duì)電力綜合數(shù)據(jù)網(wǎng)的流量數(shù)據(jù)結(jié)構(gòu)進(jìn)行分析,驗(yàn)證了電力綜合數(shù)據(jù)網(wǎng)正常數(shù)據(jù)符合重尾分布����,且正常單位流量具有穩(wěn)定的信息熵。在此基礎(chǔ)�����,對(duì)綜合數(shù)據(jù)網(wǎng)流量結(jié)構(gòu)進(jìn)行建模�,采用支持向量機(jī)的識(shí)別算法對(duì)異常流量進(jìn)行識(shí)別。實(shí)驗(yàn)結(jié)果表明���,在異常流量比例大于5%的條件下�����,算法能夠檢測(cè)出網(wǎng)絡(luò)中的異常數(shù)據(jù)�����。
下一步的工作是深入研究電力綜合數(shù)據(jù)網(wǎng)異常流量的類型以及各種異常流量對(duì)流量結(jié)構(gòu)的影響��,改進(jìn)檢測(cè)算法����,進(jìn)一步提升算法的精度。
參考文獻(xiàn)
[1]DENNING D.An intrusion-detection model[J].IEEE Transactions on Software Engineering�����,1987���,13(2):222-232.
[2]TORRES R����,HAJJAT M�,RAO SG,et al.Inferring undesirable behavior from P2P traffic analysis[A].SIGMETRICS[C].USA��,2009,231-242.
[3]GU G����,PERDISCI R,ZHANG J�,et al.BotMiner:clustering analysis of network traffic for protocol and structure-independent botnet detection[A].USENIX Security[C].USA.,2008�����,67-76.
篇8
【關(guān)鍵詞】 電力通信 負(fù)載均衡 拓?fù)鋬?yōu)化 流量分析
一�、電力通信業(yè)務(wù)流量特征
電力通信網(wǎng)絡(luò)在我國(guó)電網(wǎng)系統(tǒng)中占據(jù)重要位置,其在電力生產(chǎn)�、運(yùn)行和管理等各方面的業(yè)務(wù)中發(fā)揮重要支撐作用�����,大量的電力信息需要電力通信網(wǎng)絡(luò)來(lái)完成收集��、傳輸與存儲(chǔ)��。隨著我國(guó)電力系統(tǒng)建設(shè)的不斷深入�,以及電力業(yè)務(wù)的不斷擴(kuò)大,網(wǎng)絡(luò)流量呈幾何級(jí)數(shù)增長(zhǎng)���,業(yè)務(wù)類型也日趨復(fù)雜���,這給電力通信網(wǎng)絡(luò)的安全��、可靠��、實(shí)時(shí)運(yùn)行提出了更大的挑戰(zhàn)�����。在這種背景下�,建立有效的流量分析和預(yù)測(cè)方法�,可以為網(wǎng)絡(luò)規(guī)劃、協(xié)議設(shè)計(jì)�����、路由精確控制提供決策依據(jù)�,對(duì)電力通信網(wǎng)絡(luò)性能的分析和優(yōu)化具有積極的意義。
通常來(lái)說(shuō)�,智能電網(wǎng)中的電力通信網(wǎng)絡(luò)可劃分為三類子網(wǎng),即電力通信綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)�����、電力通信調(diào)度數(shù)據(jù)網(wǎng)、變電站站內(nèi)通信網(wǎng)�。對(duì)各類子網(wǎng)的承載業(yè)務(wù)進(jìn)行分析可知,當(dāng)前我國(guó)電力通信網(wǎng)絡(luò)業(yè)務(wù)可歸納為三種類型����,即視頻類業(yè)務(wù)、數(shù)據(jù)類業(yè)務(wù)��、語(yǔ)音類業(yè)務(wù)�����。電力通信網(wǎng)絡(luò)的流量具有重要的特征��,比如自相似性和長(zhǎng)相關(guān)性�����、多重分形性��、周期性等���。此外,基于我國(guó)電力通信系統(tǒng)的基本情況����,對(duì)視頻業(yè)務(wù)���、語(yǔ)音業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)的速率、丟包率�、抖動(dòng)幅度、時(shí)延����、頻率飄移要求等方面進(jìn)行相關(guān)的規(guī)定。
二���、I務(wù)流量分析和預(yù)測(cè)
電力系統(tǒng)的日趨龐大使得電力通信網(wǎng)絡(luò)流量呈現(xiàn)幾何級(jí)增長(zhǎng)的趨勢(shì)�,而且業(yè)務(wù)類型也日趨復(fù)雜����,以網(wǎng)絡(luò)為載體傳輸?shù)碾娏π畔⒌膫鬏斝问揭哺佣鄻踊@給電力通信網(wǎng)絡(luò)的安全�����、可靠�、實(shí)時(shí)運(yùn)行提出了新的的要求。在對(duì)當(dāng)前電力通信網(wǎng)絡(luò)情況下���,對(duì)網(wǎng)絡(luò)流量進(jìn)行分析和預(yù)測(cè)是電力通信研究的關(guān)鍵核心問(wèn)題��,對(duì)電力通信網(wǎng)絡(luò)��、電力網(wǎng)絡(luò)的安全可靠運(yùn)行具有積極的意義�����。對(duì)于電力通信網(wǎng)絡(luò)的相關(guān)研究而言���,常用的網(wǎng)絡(luò)流量模型有:ARIMA模型���、重尾分布的ON/OFF模型、馬爾可夫/半馬爾可夫模型����、泊松模型、離散小波模型等��。但結(jié)合當(dāng)前我國(guó)電力通信系統(tǒng)的實(shí)際要求對(duì)各種模型進(jìn)行分析可知�,傳統(tǒng)的泊松模型�、馬兒可夫模型只具有短相關(guān)性,難以描述流量的突發(fā)性和自相似特性�����,而ARIMA模型則相對(duì)較為高效。
三��、基于ARIMA的建模分析
3.1 ARIMA建模分析
3.2殘差檢驗(yàn)和預(yù)測(cè)
在建立電力通信業(yè)務(wù)流量分析與預(yù)測(cè)模型之后��,還需要結(jié)合電力通信系統(tǒng)的實(shí)際情況對(duì)其適應(yīng)性進(jìn)行檢驗(yàn)��。模型的適應(yīng)性是指模型已經(jīng)完全或基本上反應(yīng)了系統(tǒng)的動(dòng)態(tài)性��,從而模型中的殘差εt是白噪聲序列����,即完成了εt的獨(dú)立性檢驗(yàn)。目前殘差檢驗(yàn)法主要有兩種��,即判斷殘差的自相關(guān)和偏自相關(guān)函數(shù)圖����、Ljung-Box檢驗(yàn)法。計(jì)算LB(Ljung-Box)統(tǒng)計(jì)量為:
經(jīng)過(guò)殘差檢驗(yàn)的ARIMA模型就可以用來(lái)對(duì)電力通信網(wǎng)絡(luò)業(yè)務(wù)流量進(jìn)行預(yù)測(cè)�,從優(yōu)化網(wǎng)絡(luò)性能,提高網(wǎng)絡(luò)服務(wù)質(zhì)量��。
3.3基于ARIMA模型的電力通信業(yè)務(wù)流量分析與預(yù)測(cè)
在電力通信網(wǎng)絡(luò)系統(tǒng)中,傳輸?shù)男畔㈩愋椭饕ㄒ曨l��、語(yǔ)音與數(shù)據(jù)類����,其中語(yǔ)音類業(yè)務(wù)在逐步萎縮,其數(shù)據(jù)量較小�����,而數(shù)據(jù)業(yè)務(wù)與視頻業(yè)務(wù)的數(shù)據(jù)量大�����,傳輸質(zhì)量要求高�����,因此需對(duì)視頻類與數(shù)據(jù)類業(yè)務(wù)流量進(jìn)行建模分析���。
對(duì)于生產(chǎn)數(shù)據(jù)承載業(yè)務(wù)流量而言�����,主要包含運(yùn)行信息類業(yè)務(wù)與運(yùn)行控制類業(yè)務(wù)����,對(duì)這類業(yè)務(wù)數(shù)據(jù)的采集需要24小時(shí)時(shí)段數(shù)據(jù)�����,在采集到相關(guān)數(shù)據(jù)之后�,利用自相關(guān)函數(shù)和偏自相關(guān)函數(shù)圖分析可知其不是穩(wěn)定的序列,那么需要對(duì)其進(jìn)行周期性和趨勢(shì)性設(shè)計(jì)��,進(jìn)而得到平穩(wěn)的時(shí)間序列���。獲得平穩(wěn)的時(shí)間序列之后建立模型����,需確定p�、d、q���、P��、D���、Q參數(shù)�����,并利用SPSS軟件建立ARIMA(p�,d��,q)(P����,D,Q)模型�,之后進(jìn)行殘差檢驗(yàn)和預(yù)測(cè),最終得到符合要求的模型����。對(duì)于視頻類業(yè)務(wù)流量的建模分析流程與數(shù)據(jù)類業(yè)務(wù)流量建模流程相似,其具體流程為:數(shù)據(jù)承載業(yè)務(wù)分析數(shù)據(jù)采集與預(yù)處理模型參數(shù)確立建立模型殘差檢驗(yàn)和預(yù)測(cè)����。
參 考 文 獻(xiàn)
