2011年2月 第17卷第1期 安庆师范学院学报(自然科学版) Journal of Anqing Teachem College(Natural Science Edition) Feb.2011 VOI.17 NO.1 网络流量监测技术及应用研究 万 钧 (安庆市人事考试培训中心,安徽安庆246000) 摘要:计算机网络技术的迅猛发展,网络规模越来越大,网络应用越来越复杂多样,网络流量监测已经成为计算 机网络应用的重要部分。它作为网络管理的一部分,在网络的性能分析、异常监测、状态监测、容量规划、负载均衡等方 面都具有重要的意义。 关键词:网络流量;网络监测;网络管理 中图分类号:TP393 文献标识码:A 文章编号:1007—4260(2011)01—0112—04 0 引言 网络结构的日趋复杂,网络规模的不断扩大,使得网络管理的要求越来越高,难度越来越大。网络 流量作为一记录和反映网络及其用户活动的重要载体,几乎可以跟所有与网络相关的活动联系在一起, 因此对网络流量进行分析是非常有意义的 j。然而目前在针对网络流量分析的具体应用中,主要是实 现对网络流量的实时查询与统计,且所监测的数据大多局限于流量的大小等原始状态,而进一步的深入 分析又会引起一定的滞后性,有悖于网络监测分析的实时性原则。这种局面使得网络管理人员很难获 取到深层次的信息,从而无法达到及时、准确地掌握网络状态的目的 。网络流量监测技术正是在此 基础上提出的一种有效的网络服务质量解决方案,其本质在于有效解决拥塞控制问题和合理调度网络 资源。这些资源包括网络节点的处理能力、缓存空间和通信链路带宽 。 1 网络管理与网络流量监测 ISO定义了网络管理的五大功能,即: 故障管理。故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当 网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故 障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起时。 计费管理。计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些 公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,及已经使用的资源。 配置管理。它初始化网络、并配置网络,以使其提供网络服务。配置管理是一组对辨别、定义、控制 和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到 最优。 性能管理。它估价系统资源的运行状况及通信效率等系统性能,其能力包括监视和分析被管网络 及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网 络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析l生能日志。 安全管理。安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全 管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性、授权、访问控制。相应的,网络安 收稿日期:2010—08—20 作者简介:万钧,男,安徽安庆人,安庆市人事考试培训中心助理工程师。 第1期 万钧:网络流量监删技术及应用研究 。1l3‘ 全管理应包括对授权机制、访问控制、加密和加密关键字的管理,另外还要维护和检查安全日志。 网络流量作为记录和反映网络及其用户活动的重要载体,几乎可以跟所有与网络相关的活动联系 在一起。对网络流量进行实时的监测和分析,及时地发现网络流量中可能存在的不同模式状况,是一个 关键性的问题,其对提高网络的可靠性和可用性有着重要作用,同时对网络流量进行分析也是管理和优 化各种网络资源的重要依据。例如,对网络流量进行统计分析,可以反映用户对于网络资源的使用情 况,是制定和执行网络计费的一项重要依据;对于异常网络流量的检测结果,则是入侵检测的重要组成 部分;根据对网络流量的预测结果进行带宽的动态分配,在保证服务质量的前提下,实现对于网络带宽 利用率的最大化等。 在科研领域,网络流量监测技术作为“测量仪”,是实现具体建模、分析的必要前提和手段。在网络 安全的研究方面,借助网络流量监测捕获流量数据是入侵监测系统中的必要一步。在互联网协议开发 方面,网络流量监测技术可以用来分析具体网络协议的性能。在互联网流量工程的研究方面,网络监测 提供了获取实际网络特性的手段,而网络模拟和理论分析则侧重于在真实的网络之上建立起抽象的分 析模型。 2网络流量监测 网络流量监测技术对网络流量行为描述、网络规划、设计和管理提供基本依据,对网络运行的QoS 保证和网络安全也产生很大影响。随着网络的发展,越来越多的网络应用程序需要了解流量等网络运 行参数,以支持可区分的服务。通过对网络流量分析与监管技术的相关网络管理业务,可以对网络进行 监视,包括对网络运行情况的监视、网络资源的监视和网络性能(如业务吞吐量、时延、丢包率、RT、带宽 利用率、网络伸缩性等)的监视等。网络流量监测主要包括流量数据的采集、精简、存储、传输、分析、应 用和发布等环节。准确有效的获取网络流量和性能数据是网络流量监测的前提。 网络流量监测作为一种控制技术,其目的就是通过网络设备的配置达到基于用户、网段、应用或端 口的流量控制。它是一种使得目的端实体可以调节源端实体协议数据单元流量的控制机制,同时它也 是为了防止网络拥塞以及死锁的出现而采取的一种措施。流量控制按照一系列标准区分用户流量,然 后为每种数据包或者会话指定不同的优先级,最后按照优先级来传输。同时它能够跟踪每个应用程序 所使用的实际带宽,并对每种流量模式可以使用的带宽进行限制或保证。当前广泛部署的网络流量控 制系统主要包括四部分:流量分类、队列管理、分组调度和流量整形。 Internet流量数据有三种形式:被动数据(指定链路数据)、主动数据(端至端数据)和BGP路由数 据,由此涉及到两种网络流量监测方法:主动测量和被动测量。 2.1 主动测量 主动测量是基于端到端的测量,通过测量设备向被测网络注入一些以探测网络特征或网络流量负 载等信息为目的的探测流,并根据这些探测流在网络中传输时反映出来的属性来理解被测网络的模型 特征参数,如rrrL、时延、丢包率等,进而了解被测网络目前的运行状态和提供数据传输的能力,以此来 作为对被测网络进行流量信息统计、网络状态获取等应用的指导。 要对一个网络进行主动测量,则需要一个面向网络的测量系统,这种主动测量系统应包括以下几个 部分: 测量节点:它们分布在网络的不同端点上,进行测量数据包的发送和接收,若要进行单向性能的测 量,则它们之间应进行严格的时钟同步; 中心服务器:它与各个测量节点通信,进行整个测量的控制以及测量节点的配置工作; 中心数据库:存储各个节点所收集的测量数据; 分析服务器:对中心数据库中的数据进行分析,得到网络整体的或具体节点间的性能状况。 在实际中,中心服务器,中心数据库和分析服务器可能位于同一台主机中。 主动测量法依赖于向网络注入测量包,利用这些包测量网络的性能,因此这种方法肯定会产生额外 的流量。另一方面,测量中所使用的流量大小以及其他参数都是可调的。主动测量法能够明确地控制 测量中所产生的流量的特征,如流量的大小、抽样方法、发包频率、测量包大小和类型(以仿真各种应 ・1 14・ 友 帅范学院学报(自然科学版) 用)等,并且实际上利用很小的流量就可以获得很有意义的测量结果。主动测量意味着测量可以按测 量者的意图进行,容易进行场景的仿真,检验网络是否满足QoS或SIA非常简单明了。 总之,主动测量的优点在于可以主动发送测量数据,对测量过程的可控制性比较高,比较灵活机动, 并易于对端到端的性能进行直观的统计;其缺点是注入测量流量本身就改变了网络的运行情况,即改变 了被测对象本身,使得测量的结果与实际情况存在一定的偏差,而且注入网络的测量流量还可能会增加 网络的负担。 2.2被动监测 被动测量是一种分布式的网络监测技术,它是在被测网络的一些离散观测点上部署一些以观测网 络流量为目的的设备或网络组件,并通过对该点的数据流进行收集、分类和提取,然后对记录数据进行 归并和处理。观测点一般位于网络中流量聚合的地方。被动测量几乎不会对原有网络流量造成影响, 它可以完全取消附加流量和Heisenberg效应,测量得到的网络数据能真实反映当前网络的流量分布特 点,这些优点使得被动测量方式被广泛用于测量和分析网络流量分布,大量用于网络流量分析等应用。 被动测量利用测量设备监视经过它的流量。这些设备可以是专用的,如Sniffer,也可以是嵌人在其 他设备(如路由器、防火墙、交换机和主机)之中的,如RMON,SNMP和netlfow使能设备等。控制者周 期性地轮询被动监测设备并采集信息(在SNMP方式时,从MIB中采集),以判断网络性能和状态。被 动测量主要有三种方式: 1)通过SNMP协议采集网络上的数据信息,并提交至服务器进行处理。 2)在一条指定的链路上进行数据监测,此时数据的采集和分析是两个独立的处理过程。这种方法 的问题是0C48(2.5Gbit/s)以上的链路速度超过了PCI总线(64bit,33MHz)的能力,因此对这些高速链 路的数据采集只能采用数据压缩、聚合等方式,这样会损失一定的准确性。 3)在一台主机上有选择性的进行数据的采集和分析。这种工具只是用来采集分析网络上数据包 的内容特性,并不能进行性能参数的测量,如Ethereal等工具。 被动测量非常适合用来测量和统计链路或设备上的流量,但它并不是一个真正的QoS参数,因为 流量只是当前网络(设备)上负载情况的一个反映,通过它并不能得到网络实际的性能情况,如果要通 过被动测量的方法得到终端用户所关心的时延、丢包、时延抖动等性能参数,只能采用在被测路径的两 个端点上同时进行被动测量,并进行数据分析,但这种分析将是十分复杂的,并且由于网络上数据流量 特征的不确定性,这种分析在一定程度上也是不够准确的。只有链路带宽这个流量参数可以通过被动 测量估算出来。 被动测量法在测量时并不增加网络上的流量,测量的是网络上的实际业务流量,理论上说不会增加 网络的负担。但是被动测量设备需要用轮询的方法采集数据、陷阱(trap)和告警(利用SNMP时),所有 这些都会产生网络流量,因此实际测量中产生的流量开销可能并不小。 总之,被动测量的优点在于理论上它不产生流量,不会增加网络的负担;其缺点在于被动测量基本 上是基于对单个设备的监测,很难对网络端到端的性能进行分析,并且可能实时采集的数据量过大,且 存在用户数据泄漏等安全性问题。 3 网络流量监测技术的具体应用 网络流量监测技术的应用目前主要包括以下几个方面: (1)为网络出口互联链路的设置提供决策支持。通过对网络出口流量和流向的分析,可以详细了 解网络内部用户对其他外部网络的访问情况,从而有效决策与其他网络的互联方式和地点,节约互联链 路开支,减少互联链路中不必要的浪费。 (2)掌握用户对其他运营商的网络访问情况。通过对与其他网络互联流量的监控,分析网络内部 用户访问其他外部网络的业务特点和主要流量的方向,准确掌握内部用户对外网的兴趣点,找到用户最 多应用的热点信息。根据分析结果进行相应网络内容的建设和补充,将用户感兴趣的热点内容放到内 部网络,减轻互联链路的压力。 (3)评估各个分支网络的成本和价值。通过对各个分支网络出入流量的监控,分析流量的大小、方 第1期 万钧:网络流量监测技术及应用研究 。115。 向及内容组成,了解各分支网络占用带宽的情况,从而反映其占用的网络成本,也可以了解其业务发展 情况,并作出价值评估。 (4)提供重要应用和大客户统计分析。通过对大客户和主要应用的流量进行统计分析,掌握他们 的流量状况,以及进行网络带宽的成本分析,有助于在网络服务质量和网络成本之间取得最佳平衡。 (5)基于IP的计费应用和服务等级协议(SEA)的校验服务。通过对大客户及主要应用接人电路上 的流量进行监控分析,可以统计出业务类型、服务等级、通信时间、通信数据量等参数,为基于IP的计费 应用和服务等级协议(SEA)的校验服务提供数据依据。 (6)掌握网络安全状况。通过对网络中一些特定流量的长期监控,有助于网络管理人员了解该网 络的流量模型,所形成的基准数据可供网络管理人员正确分析网络使用状况,并可及时发布异常警讯, 在故障事件爆发前采取相应的防范措施,进而提升网络的整体质量及效能。 (7)实现对网络异常通信的检测,重点防范分布式拒绝服务的攻击和大范围的蠕虫病毒发作。通 过对网络内流量的实时分析,有助于及时发现网络中出现的异常流量,迅速分析出异常流量的具体属 性。管理员可以通过对比网络通信的正常基线,对出现的异常通信快速定性是否为网络安全攻击,确定 安全攻击的类型,评估本次攻击的危险程度及可能造成的影响范围,并采用相应技术手段实施事故应急 处理。 (8)为网络优化提供数据依据。通过流量分析,可以为多出口的流量负载均衡、重要链路的带宽设 置、路由选择等网络优化措施提供相应的数据依据。 参考文献: [1]张峰,雷振明.高速网络流测量及模型研究[J].计算机工程与应用,20o4(17):28—34 [2]刘卫江,龚俭,丁伟.程光.流测量算法综述[J].计算机工程与应用,2005(29):1—3. [3]谢希仁.计算机网络(第4版)[M].电子工业出版社,2003. Studying on the Network Trafic Monitforing Technology and Its Applications WAN Jun (The Examination Training Cenffe of Anqing Municipal Personnel Bureau,Anqing 246000,China) Abstract:The rapid development of computer network technique makes network scale larger and larger,its印plication more nd more complaicated.Monitoring of network flowrate has became most importnta part of network application,which plays the role of network supervision,and has great signiifcance in performance analysis,singularity nd phaase monitoring,volume progrm and aload balnce,aetc.. Key words:network flowrate,network traffic monitoring,network management