網絡流量監測技術主要方法分析

閃德勝，錢葉魁（.347部隊，河南鄭州，45000；.鄭州防空兵學院，河南鄭州，45000）

網絡流量監測技術主要方法分析

閃德勝1，錢葉魁2
（1.32147部隊，河南鄭州，450100；2.鄭州防空兵學院，河南鄭州，450100）

目前網絡流量監測的方法有很多種，但是對于獲取高速網絡流量信息的可行性方法主要有3種：第一種方法是利用高性能的專用硬件例如TCAM，ASIC等，第二種方法是對具有代表性的網絡流量數據進行采集處理，第三種方法是利用數據流技術對所有網絡流量數據進行處理。

網絡監測；技術分析

1 基于硬件探針的流量監測技術

網絡探針是一種利用高性能硬件來獲取網絡流量的設備。使用硬件探針進行網絡流量監測是將探針串聯在需要捕獲流量的鏈路上，通過分流出鏈路上的信號來獲取流量信息。一個硬件探針利用分光器或網絡節點設備的流復制能力，來獲取原始流數據，檢測一條鏈路上的流量信息。而對于在全網情況下的流量監測則采用分布式的方法，需在每條鏈路上都部署一個探針，然后再通過總服務器和數據庫對采集的數據進行統計和分析，這樣對于大規模的網絡不僅需要大量的探針，且采集到的數據還會出現重復。因此，雖然這種基于專用硬件探針的方法可以獲取網絡中詳細的流信息，但是這種方法用到的硬件探針不僅受限于硬件條件，同時花銷也昂貴，且如果是大型網絡，鏈路復雜，需要的探針數量也會很多，而且每個探針最終獲得的只是單鏈路上流量信息，要分析全網情況還需要對其匯總和整合，造成了資源的浪費。

2 基于采樣原理的流量監測技術

流采樣的方法是實現高速網絡流量檢測的關鍵技術之一，IETF的PSAMP工作組就數據包采樣技術做出了相關的標準化工作，并定義了一種數據包采樣的框架，這個框架包括數據包的選擇過程、分析報告產生過程以及數據導出過程。除此框架的采樣文檔之外，該工作組還對數據包采樣及過濾技術進行了定義，同時還對數據包采樣相關的MIB進行了定義，對基于數據包采樣的數據包導出過程的協議進行了敘述等。該組織的另一工作組也對流采樣的相關信息進行了標準化和定義。因此使得對于網絡中的流量進行采樣原理的技術得到了廣泛的應用。例如1989年，Paul首先將抽樣技術引入網絡測量中。1993年，Claffy研究了在網絡流量統計分析中抽樣技術的應用，分析了各種不同抽樣技術，比如系統抽樣、簡單隨機抽樣和分層抽樣技術。1994年，Drobise又在Claffy的工作基礎上，提出了一種新的自適應抽樣技術。2000年，Duffield使用抽樣技術用于尋找網絡中分組流的路徑。2001和2002年抽樣技術又應用到新的方面，Tanja將抽樣技術應用到被動測量中時測量到了端到端的單項延遲測度。Duffield和Cristian分別研究了抽樣測量。但是，雖然這種采樣的方法在大型高速的網絡中大大的降低了系統的負荷及工作量，但是相對的因為是采樣而不是對全部信息的采集，就會存在較大的信息誤差，對于后期進行分析時有一定的影響。

3 基于流級的流量監測技術

當前最常用的流級網絡流量監測方法為基于NetFlow技術。NetFlow技術是由Cisco公司Darren Kerr和Barry Bruins于1996年提出的一種網絡流量監測技術。NetFlow技術最開始應用于網絡設備對數據交換進行加速，并同步實現對高速轉發的IP數據流(Flow)進行測量和統計。經過多年的技術進步，NetFlow成為國際上一個熱門的研究領域。同時在2004年和2005年在SIGCOMM(Special Inerest Group on Data Communication)上對NetFlow技術改進的研究文章都有發表和研究。NetFlow技術可以提供流的統計信息，因此成為網絡流量統計和安全分析的重要手段。基于NetFlow技術的應用很多，其中包括著名的CAIDA（The Cooperative Association for Internet Data Analysis）組織的Cflowd、Cisco公司的NetFlow FlowCollector和Network Data Analyzer、Hewlett-Packard公司的Internet Usage Manager和HP OpenView trend performance manager、InfoVista公司的InfoVista、Wisconsin大學的FlowScan、Texas大學的MultiHost Traffic Grapher等等，這些產品都支持NetFlow技術，應用基于NetFlow技術進行流量數據采集。例如美國Crannog Software公司的NetFlow Tracker也應用NetFlow技術的一種產品，其主要實現的功能是對LAN和WAN的帶寬分析、實時流量分析、完全基于Web頁面、預算網絡成本并提出解決方案，并能夠與Crannog Software公司的網絡告警和監測軟件NetWatch良好融合。

國內近年也有關于NetFlow技術的研究成果和文獻。其中華為公司就在NetFlow技術的基礎上，研究出了一種新的NetStream技術在華為系列的交換機及路由器等網絡設備中實現。中國科技學院在2003年利用NetFlow技術設計并實現了中國科技網網絡計費系統的數據采集與處理子系統。臺灣地區同時也對NetFlow技術的實際應用進行了研究，如臺中市教育網絡中心的NetFlow Daily Statistics和交通大學網絡流量分析。還有Ntop 是一種以無探針的方法采集NetFlow數據并對其進行分析的流量分析工具集。

NetFlow技術的主要原理是網絡管理者將路由器或交換機的接口配置NetFlow功能后，設備會在接收數據包時根據其包頭信息來獲得流量的信息資料，并將不同的數據包的流量信息整理成為不同的流記錄。由于記錄的流是單方向的，所以對于網絡中的流的信息及其方向都完整的記錄下來了。Cisco公司的NetFlow技術利用分析數據包的7個屬性：源IP地址、目的IP地址、源端口、目的端口、通訊協議服務類型、網絡設備的輸入輸出的邏輯端口來區分和分析各種不同類型的流記錄。

與其他的流量檢測方法相比，基于NetFlow的流量監測技術可以獲取到豐富的流量信息，很適合對大型網絡進行網絡流量監測，同時可以對其網路性能進行分析。基于NetFlow的流量監測技術成本較低，安裝也方便，而且還不受網絡中速率的限制，使得其成為目前運營商最為常用的一種網路性能監測手段。

4 結語

近幾年隨著各種技術的發展和人們對于流量監測原理的靈活運用，采用取長補短的方法，對于幾種主流方法進行和結合使用，使得流量監測技術不斷地進步和完善。采用在流級監測技術上對其進行基于Hash的流抽取，并將其設計到專用硬件之中完成流量監測任務，是一種較為可行的創新發展思路。

[1]孫知信.網絡異常流量識別與監控技術研究[M].北京:清華大學出版社, 2010.

[2]蒲天銀, 秦拯.基于Netflow的流量異常檢測技術研究[J].計算機與數字工程,2009(7).

The main analysis method of network traffic monitoring technology

Shan Desheng1,Qian Yekui2

At present, there are many methods of network traffic monitoring, but for the feasibility of high-speed network traffic information acquisition method mainly has 3 kinds: the first method is to use high performance special hardware such as TCAM, ASIC, second kinds of methods of network traffic data is representative of the acquisition and processing, is the use of third methods the data stream technology of all network traffic data.

network monitoring; technical analysis

(1.The army of 32147,Zhengzhou Henan,450100;2.Zhengzhou Air Defense Corps college,Zhengzhou Henan,450100)