1、浅谈 IP 网络流量分析【摘要】本文阐述了网络流量的特性,网络流量的分析预测模型,同时,重点分析了网络流量分析的具体应用,最后,介绍了网络流量的识别的方法和和技术,为更好的分析 IP 网络流量提供了基础。 【关键词】IP 网络流量;分析 中图分类号: U467.4+6 文献标识码: A 文章编号: 一、前言 随着网络的普及,网站数量的增加,对网络流量的分析就变得更加的重要,这是确保网站健康运营的关键所在,同时,也是维护互联网健康的一个重要方面,IP 网络流量的分析已经成为了网络快速发展必须重视的一个关键环节。 二、网络流量的特性分析 在经过对互联网通信流量的长期监测与测量,从现有的技术水平来说
2、,我们把网络流量的主要特性归结为以下 4 个方面: 1 数据流双向和非对称性:即,从互联网上的应用来看,其实质就是数据的双向交换,因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的,上行和下载的流量并不相同,而是表现出非对称性的特点。 2 大部分 TCP 会话是短期的。在互联网通信中,从时间的角度来看,TCP 会话时间只有数秒十分之短,这是由于会话中交换的数据量超过 90%的比例都是小于 10K 字节的。3 包的到达过程不是泊松过程。随着技术的进步,研究发现这种理论解释存在着不足,它难以精确地描述包的到达过程,人们开始从网络通信量模型展开研究,进而来丰富网络流量的理论原理。
3、4 网络流量体现出局域性。从现有技术应用特点来看,网络通信量表现出在时间和空间两个维度的局域性。 三、网络流量分析预测模型 1 确立预测对象 某公司网络中出口防火墙的流量信息是进行预测分析的基础,我们采取对防火墙流量的流入和流出情况进行系统分析,选用适合的方法进行预测,进而产生预测结果。 尽管导致网络设备上实际带宽变化的条件具有多重性和量化困难,但是带宽变化的态势在时间上是一种逐步推进的过程,有一定的规律可循。基于网络流量带宽的这一特征,我们通过预测网络节点端口带宽占有率,从而间接达到网络节点端口流量预测的目的。 2 预测模型的构造设计 公司为了达到网络管理的有效性,通常网络流量模式是它们所运
4、用的一个非常必要的方法,因此,准确、严格的数据采集方式,是能够建立一个很好的模型为网络流量,这样才能够满足模型对数据的采集的需求。 以预测模型为例,它的核心网络系统能够分为三个独立的模块,这是按照系统的功能来划分,它们是:流量数据采集、流量图生成、流量预测。 四、流量分析的应用 NTE(NetTraffic Exporter)负责流量的采集和发送;NTC(NetTraffic Collector)设备负责收集和存储 NTE 发来的流量统计数据信息;NTP(NetTraffic Processor)从数据库中获取收集到的数据,经分析加工后以直观的图表、报表等方式为网络规划、网络优化、网络监控、流
5、量趋势分析、异常检测等提供直接的数据依据。 各组成部分的关系如下图所示: 1.流量监控 网管人员可按照系统提供的参数来设定监控条件,系统根据设定的监控条件过滤得来流量记录(Flow Record)并将符合监控条件的统计资料存入系统数据库中。最后,系统便可以从数据库里读取数据做成各种图表(Report)。因此,网络管理员可针对网络的重要链路进行流量监控, 掌握不同链路的流量基线,及时了解链路的负载和发现问题。 2.流量分析 网管人员可以开启实时监控功能, 针对所设定的范围做流量数据的收集与分析。在同一时间里,可以开启多个实时监控窗口,每一窗口独立监控一项设定,并根据搜集得来的资料自动排序,做成各
6、种报表。 3.异常流量分析 现在随着 IP 网络不断扩大 , 网络中也经常会出现黑客攻击、病毒泛滥的情况,而这些网络突发事件从设备和网管的角度看却很难发现问题,经常也让网络管理员感到棘手,因此,针对网络中突发性的异常流量分析将有助于网络管理员发现和解决问题。 五、常见流量识别方法与技术 1 针对网络带宽消耗大户 P2P 的 DPI 技术 Deep Packet Inspection简称 DPI 技术,中文意思是深度报文检测。由于传统的检测技术获得的业务应用信息很少,只是包括协议号、源/目的 IP 地址、底层的连接状态、源/目的传输层端口号等这些存放于数据包当中网络层和传输层的基本信息,而这些检
7、测出的参数对现行的 P2P(点对点)和 VOIP(网络语音) 、IPTV(网络电视)等已经不再适用和满足检测管理的需要了。DPI作为一种先进的包检测技术,不仅仅能够识别 P2P,还能够检测上述的VOIP、IPTV 和在线游戏、流量封装协议、流媒体以及在线游戏等大部分主流应用协议、流控设备。 对 P2P 应用进行判定如果仅仅通过端口对其进行判断是不足的,因为通常 P2P 是技术常盗用一些常用的协议端口或者使用端口跳变技术来传输数据,因此进行 P2P 应用样本查找时不能疏忽大意,要使用第 7 层协议对网络中所有的数据进行探测,那样不管它使用的是那个端口话都逃部出检测;而要检测 P2P 可以检测其某
8、种特征的应用识别,要检测一种应用识别有时要检测它是否匹配多个代码样本的特征,而这些样本特征的取得可以通过对传输协议的载荷部分进行检查,即让所有的数据包在应用层进行检查的复杂的第 7 层识别技术来实现。 当网络中使用 P2P 时,就相当于产生了一个新的会话,那么其会话的一个唯一的协议签名如果能被找到并且和已知的协议代码样本匹配,就当表我们对 P2P 的检测初步成功,因为 P2P 一般不会只是单一的连接和会话,这需要我们能够聪多个会话中提出信息并关联相关代码样本,如果匹配的则是 P2P 的连接。而此方法的实现基础是因为第 7 层的协议代码样本能够进行会话标记的请求并且标识好会话中所有的数据包。只要
9、能够识别好第 7 层的数据流,那么对 P2P 的判断和控制都是很简单的了。 2DFI 技术 Deep Flow Inspection 是 DFI 的简称,中文翻译是深度流行为检测,其也是一种典型的业务识别技术。针对于 DPI 技术的升级频繁、加密流量识别难、执行效率不高等问题,DFI 的出现更符合用户的要求,其获取业务类型、业务状态的方法是通过对网络层和传输层信息、平均流速率、网络流量的状态、字节长度分布、业务流持续时间等参数的统计分析来获得,如此 DFI 技术不用网络流量深度报文检测,而更关注于网络流量特征的通用性。 3 流量控制 在流量控制方式上,LotWan 流量管理系统(行为特征检测技
10、术)虽然仍有部分网络流量不能做到精确识别,但还是能让校园流量上下行基本实现均衡,而 Panabit 流控系统(报文特征字检测技术)主要是对视频点播、多进程下载的 P2P 技术进行抑制,并且能够很好的对网络的上行流量进行更好的控制。 具体实现上,笔者对校园网内部流量控制理论、控制机制进行了一定的研究,并结合工作实际,分析了我院校园网流量产生的因素及控制方面存在的一些问题,针对我院自身特点,提出了一套适用的流量控制方法。譬如,为了减轻核心设备的负载,我们对应的制定了多层次的流量控制策略,在各楼栋普遍使用了流量控制服务器或其它简单的流量控制设备,将每个单独的 IP 都进行了初步的流量限制,在核心流控设备上再对这些已经初步处理过的数据进行具体的类别鉴定及策略匹配,解决了核心设备负载过大的问题,合理的分配了流量资源。 六、结束语 IP 网络流量的分析需要在掌握了 IP 网络流量的基础上才能够科学的展开,与此同时,对于 IP 网络流量的分析,相关人员需要采用先进科学的方法进行分析,这样才能够取得更好的分析效果。 参考文献 1 谢希仁.计算机网络(第 4 版).电子工业出版社,2003. 2 W.Richard Stevens.任守奎,等,译.TCP/IP 详解(第一卷 协议).北京大学出版社,1999. 3陈亚辉.网络流量管理J.邮电设计技术,2009,5.
