網絡流量分析的方法精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡流量分析的方法主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡流量分析的方法范文

關鍵詞 流量；分類；檢測；統計；分析

中圖分類號 TN91 文獻標識碼 A 文章編號 1674-6708（2016）166-00104-01

近年來寬帶網絡一直保持高速增長，光纖到桌面已基本實現，但網絡中巨大的流量會對網絡產生怎樣的影響，這些流量是如何構成的，始終是一個問題。通過對寬帶流量的分析我們可以知道流量的源頭和目的、知道協議分布、知道端口情況、知道通信經營指標等、當然最重要的還有數據的安全性。

不同的網絡，不同觀察點，不同時間的網絡流量因網絡規模，業務種類，用戶構成和使用習慣的不同而不同，甚至受突發事件的影響，網絡流量在體量規模，構成成分和比例上都有所不同。一個好的流量分類分析系統，應滿足部署位置上的可移植性，流量規模的可伸縮性，時間演進的自適應性。這時系統不僅需要采用先進的分類技術，也需要代表性的訓練數據集來確定系統運行參數。數據集主要采用2種方式：PCAP格式和NETFLOW格式，前者捕獲的是包級記錄，后者則是關于流級得統計信息記錄。

寬帶流量的分析和檢測首先要進行流量的采集，這項工作可以通過交換機或路由器的鏡像端口實現，也可以通過光纜分光的方式實現。對捕獲的數據進行計算和統計，并把統計數據寫入數據庫，定期形成網絡性能和流量參數的報表，用作分析的依據，在形成足夠數量的報表數據后，可以分析數據和系統性能變化的趨勢，判斷網絡是否存在瓶頸，并依據經驗，形成經驗數據庫，使網管系統具備學習的基礎和能力。在出現告警或異常情況時，可用來分析對比，判斷是否出現了網絡的攻擊和入侵，判斷惡意數據出現的源頭和特征，足夠數量的數據報表也可以指導各類應急預案的制定，在出現異常情況時可按照事先擬定的規則進行處理。

對于寬帶流量的分析和分類，系統需要進行統計模型的學習，統計模型的學習可以分為監督學習和非監督學習方法。所謂的監督學習是需要使用已經標注過的數據集合作為經驗知識，對寬帶流量的參數和算法進行訓練；而非監督學習則不需要使用已經標注過的數據集進行訓練，只是根據相關算法對寬帶流量集進行匯聚。對數據集的訓練過程中需要由經驗豐富的專家參與，并進行大量的基礎數據分析工作，網絡經驗數據集是流量分析的重要構成因素。在實際分析過程中，由于寬帶核心網絡的流量巨大，所以高性能的預處理路由器和大規模刀片服務器必不可少。為了提高分析效率，可以只分析單向流量，并且在預處理過程中將IP數據報文的載荷去掉。但由于各種網絡協議不斷演進，加密的流量不斷增加，各種新應用不斷出現，網絡數據集的標注也變得越來越困難。

網絡流量的分類和分析中對于標準協議的分析最為準確，可根據TIP/IP協議簇中標準的服務端口號對流量報文進行匹配，并根據端口號的不同將流量對應為不同的應用。非標準協議可以使用DPI（深度包檢測）在應用層對流量進行特征字符串的分析匹配，由于不同的應用在TCP/UDP的數據包中包含特征字符串，因此在掌握的不同網絡應用的特征字符串后，可以將網絡流量精確的分類和匹配，缺點是需要消耗較多的系統資源。但很多網絡應用的特征字符串難找易變，代表性差及加密度高等問題，也導致誤檢率和檢全率下降。流量分析監控和網絡應用的發展一直是不斷演變的矛盾。

基于協議的分類方法需要分析每種協議的特定的行為特性，標準的通信協議易于掌握，私有協議比如P2P或VOIP等基于軟硬件客戶端的應用則會有較多的變化，或進行加密使用就會影響流量分析的效果，甚至無法識別。有時同一應用軟件的不同版本間也會出現不同的流量特征，即版本的變化會造成協議特征的變化。另外，網絡中的單向流量、數據的時延、抖動都會對流量分析的算法產生影響。以上這些因素都是流量分析的難點和痛點。

運營商的骨干網絡逐漸向扁平化發展，網絡出口的數量增加和結構日趨復雜，及動態路由算法的大量使用，使得網絡流量在多條鏈路或多個不同ISP之間動態調配，導致在某個觀察點只能得到部分流量，這對于依賴雙向流量特征的分析方法無法實施。基于P2P的應用目前也在不斷擴大，P2P的發展使得應用和傳輸分離，應用端點和傳輸分離，打破了原有的B/S或C/S的傳統傳輸模式，多源頭并發傳輸使得流量特征模糊化，使得數據采集的有效性無法保障。還有一些網絡應用為了逃避被檢測到，常常采用已知協議的方法，例如FTP、HTTP、POP3等，由于IP地址的區分，冒用已知協議并不會影響正常網絡通信，但給流量分析帶來很大難度。

寬帶網絡流量分析不僅可以使我們可以清楚的知道網絡流量的內容，還可以為網絡建設、網絡優化、運營管理、網絡安全保障提供依據和手段。同時，網絡應用在不斷推陳出新，各種私有化的協議和加密方法不斷出現，且由于用戶接入帶寬的不斷提高，核心網流量呈幾何速度增長，這些因素在客觀上也大大增加了網絡流量分析的難度和成本。現有的網絡流量分析再次面臨挑戰，網絡流量的分析研究工作需要不斷深入進行。

參考文獻

[1]Nader F.Mir.計算機與通信網絡[M].潘淑文，等，譯.北京：中國電力出版社，2010，1.

[2]余浩，徐明偉.P2P流檢測技術研究綜述[J].清華大學學報，2009（4）：610-620.

第2篇：網絡流量分析的方法范文

【關鍵詞】 分層網絡 交換機 設計規格

一、前沿

選擇交換機硬件時，應確定核心層、分布層和接入層分別需要何種交換機來滿足網絡帶寬需求，應考慮未來的帶寬需。應購買合適的交換機硬件來滿足當前及未來的帶寬需求。為了更準確地選擇合適的交換機，要定期執行和記錄流量分析。

二、流量分析

流量分析是測量網絡帶寬使用率并分析相關數據來調整性能、規劃容量并作出硬件升級決策的過程，流量分析是通過流量分析軟件來實現的。盡管對網絡流量并沒有確切的定義，但為了便于理解流量分析，可以理解為網絡流量是指在一定時間內通過網絡發送的數據量。所有的網絡數據無論來自何方，無論發往何處，都是流量的一部分。監控網絡流量的方法有許多種。可以手工監控各個交換機端口來收集一段時間內的帶寬利用率。在分析流量數據時，可能根據每天特定時段的流量以及大部分數據的來源和目的地來確定未來的流量需求。但是，為了獲得準確地結果，需要記錄足夠的數據。手工記錄流量數據是件費時費力的機械活，市面上有一些自動化的解決方案。

三、分析工具

現在市面上有許多流量分析攻擊可以將流量數據自動記錄到數據庫中，并執行趨勢分析。在大型網絡中，采用軟件收集解決方案是唯一有效的流量分析方式。通過軟件收集數據時，可以看到在給定的時間內網絡上每個接口的運行狀況。通過輸出的圖表，可以直觀的發現流量問題。比用柱狀表示的流量數據更容易理解。

四、用戶群分析

用戶群分析是確定各類用戶群體及其對網絡性能的影響的過程，用戶的分組方式會影響與端口密度和流量有關的問題，進而影響網絡交換機的選擇。

在典型的辦公樓中，一般根據終端用戶的職能對其進行分組，這是因為相同職能用戶所需訪問的資源和應用程序也大體相同。每個部門的用戶數、應用程序需求以及需要通過網絡訪問的可用數據資源各有不同。不僅要查看網絡中指定交換機上的設備數量，還應該調查終端用戶應用程序生產的網絡流量。有些用戶群使用產生大量網絡流量的應用程序，而其他用戶則不然，通過測量不同用戶群使用的所有應用程序所生成的網絡流量并確定數據源的位置，可以確定增加用戶對該用戶群的影響。

小企業中工作組大小的用戶群僅用幾臺交換機提供支持，通常連接到服務器所在的交換機上。在中型企業中，用戶群由許多交換機提供支持。中型企業用戶群所需的資源可能位于地理上分散的若干區域中。因此，用戶群的位置會影響數據存儲和服務器的位置。分析用戶群的應用程序使用率的難題之一是使用率并非純粹取決于用戶所在的部門或地理位置。還需要分析應用程序穿越多臺網絡交換機所帶來的負面影響。并據此確定總體影響。

五、數據存儲和數據服務器分析

在分析網絡流量時，應考慮數據存儲和服務器的位置，以便確定它們對網絡流量的影響。數據存儲可以是服務器、存儲區域網絡（SAN）、網絡連接存儲（NAS）、磁帶備份設備或任何其他存儲大量數據的設備或組件。

在考慮數據存儲和服務器的流量時，應同時考慮客戶端到服務器的流量和服務器到服務器的流量。通過觀察不同用戶群使用的各種應用程序的數據路徑，可以找到潛在的瓶頸，確定在哪些地方因為帶寬不足會影響應用程序的性能。為改善性能，可以聚合鏈路來提供帶寬，或者使用能夠處理流量負載的快速交換機來取代慢速交換機。

六、拓撲結構圖

拓撲結構圖是網絡基礎架構的圖形表現形式，拓撲結構圖顯示所有的交換機如何互連，乃至詳細到哪個交換機端口與設備互連。拓撲結構圖以圖形的形式顯示交換機之間用于提供災難恢復和性能增強的任何冗余路徑或聚合端口，顯示網絡中交換機的位置和數目并標出交換機的配置。通過拓撲結構圖，可以直觀地找到網絡流量的潛在瓶頸，可以抓住流量分析數據的要點，知道哪些網絡區域的改進能夠最有效地提高網絡的整體性能。

七、結語

對于中小型企業而言、基于數據、語音和視頻的數字通信至關重要。因此，正確設計局域網是企業日常運營的基本需求。作為網絡技術人員，必須能夠判斷什么才是設計合理的局域網，能夠選擇合適的設備來滿足中小型企業的網絡需求。

參 考 文 獻

[1] 郭利鋒，王勇，張磊，白焱. AFDX交換機的隊列整形調度研究[J]. 計算機工程，2011，（24）：58-60

第3篇：網絡流量分析的方法范文

關鍵詞：新型DPI；網絡安全態勢感知；網絡流量采集

經濟飛速發展的同時，科學技術也在不斷地進步，網絡已經成為當前社會生產生活中不可或缺的重要組成部分，給人們帶來了極大的便利。與此同時，網絡系統也遭受著一定的安全威脅，這給人們正常使用網絡系統帶來了不利影響。尤其是在大數據時代，無論是國家還是企業、個人，在網絡系統中均存儲著大量重要的信息，網絡系統一旦出現安全問題將會造成極大的損失。

1基本概念

1.1網絡安全態勢感知

網絡安全態勢感知是對網絡安全各要素進行綜合分析后，評估網絡安全整體情況，對其發展趨勢進行預測，最終以可視化系統展示給用戶，同時給出相應的統計報表和風險應對措施。網絡安全態勢感知包括五個方面1：（1）網絡安全要素數據采集：借助各種檢測工具，對影響網絡安全性的各類要素進行檢測，采集獲取相應數據；（2）網絡安全要素數據理解：對各種網絡安全要素數據進行分析、處理和融合，對數據進一步綜合分析，形成網絡安全整體情況報告；（3）網絡安全評估：對網絡安全整體情況報告中各項數據進行定性、定量分析，總結當前的安全概況和安全薄弱環節，針對安全薄弱環境提出相應的應對措施；（4）網絡安全態勢預測：通過對一段時間的網絡安全評估結果的分析，找出關鍵影響因素，并預測未來這些關鍵影響因素的發展趨勢，進而預測未來的安全態勢情況以及可以采取的應對措施。（5）網絡安全態勢感知報告：對網絡安全態勢以圖表統計、報表等可視化系統展示給用戶。報告要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性并提供應對措施。

1.2DPI技術

DPI（DeepPacketInspection）是一種基于數據包的深度檢測技術，針對不同的網絡傳輸協議（例如HTTP、DNS等）進行解析，根據協議載荷內容，分析對應網絡行為的技術。DPI技術廣泛應用于網絡流量分析的場景，比如網絡內容分析領域等。DPI技術應用于網絡安全態勢感知領域，通過DPI技術的應用識別能力，將網絡安全關注的網絡攻擊、威脅行為對應的流量進行識別，并形成網絡安全行為日志，實現網絡安全要素數據精準采集。DPI技術發展到現在，隨著后端業務應用的多元化，對DPI系統的能力也提出了更高的要求。傳統DPI技術的實現主要是基于知名協議的端口、特征字段等作為識別依據，比如基于HTTP、HTTPS、DNS、SMTP、POP3、FTP、SSH等協議特征的識別、基于源IP、目的IP、源端口和目的端口的五元組特征識別。但是隨著互聯網應用的發展，越來越多的應用采用加密手段和私有協議進行數據傳輸，網絡流量中能夠準確識別到應用層行為的占比呈現越來越低的趨勢。在當前網絡應用復雜多變的背景下，很多網絡攻擊行為具有隱蔽性，比如數據傳輸時采用知名網絡協議的端口，但是對傳輸流量內容進行定制，傳統DPI很容易根據端口特征，將流量識別為知名應用，但是實際上，網絡攻擊行為卻“瞞天過海”，繞過基于傳統DPI技術的IDS、防火墻等網絡安全屏障，在互聯網上肆意妄為。新型DPI技術在傳統DPI技術的基礎上，對流量的識別能力更強。基本實現原理是對接入的網絡流量根據網絡傳輸協議、內容、流特征等多元化特征融合分析，實現網絡流量精準識別。其目的是為了給后端的態勢感知系統提供準確的、可控的數據來源。新型DPI技術通過對流量中傳輸的不同應用的傳輸協議、應用層內容、協議特征、流特征等進行多維度的分析和打標，形成協議識別引擎。新型DPI的協議識別引擎除了支持標準、知名應用協議的識別，還可以對應用層進行深度識別。

2新型DPI技術在網絡安全態勢感知領域的應用

新型DPI技術主要應用于數據采集和數據理解環節。在網絡安全要素數據采集環節，應用新型DPI技術，可以實現網絡流量的精準采集，避免安全要素數據采集不全、漏采或者多采的現象。在網絡安全要素數據理解環節，在對數據進行分析時，需要基于新型DPI技術的特征知識庫，提供數據標準的說明，幫助態勢感知應用可以理解這些安全要素數據。新型DPI技術在進行網絡流量分析時主要有以下步驟，（1）需要對攻擊威脅的流量特征、協議特征等進行分析，將特征形成知識庫，協議識別引擎加載特征知識庫后，對實時流量進行打標，完成流量識別。這個步驟需要確保獲取的特征是有效且準確的，需要基于真實的數據進行測試統計，避免由于特征不準確誤判或者特征不全面漏判的情況出現。有了特征庫之后，（2）根據特征庫，對流量進行過濾、分發，識別流量中異常流量對應的攻擊威脅行為。這個步驟仍然要借助于協議識別特征知識庫，在協議識別知識庫中記錄了網絡異常流量和攻擊威脅行為的映射關系，使得系統可以根據異常流量對應的特征庫ID，進而得出攻擊威脅行為日志。攻擊威脅行為日志包含捕獲時間、攻擊者IP和端口、被攻擊者IP和端口、攻擊流量特征、攻擊流量的行為類型等必要的字段信息。（3）根據網絡流量進一步識別被攻擊的災損評估，同樣是基于協議識別知識庫中行為特征庫，判斷有哪些災損動作產生、災損波及的數據類型、數據范圍等。網絡安全態勢感知的分析是基于步驟2產生的攻擊威脅行為日志中記錄的流量、域名、報文和惡意代碼等多元數據入手,對來自互聯網探針、終端、云計算和大數據平臺的威脅數據進行處理,分析不同類型數據中潛藏的異常行為,對流量、域名、報文和惡意代碼等安全元素進行多層次的檢測。針對步驟1的協議識別特征庫，可以采用兩種實現技術：分別是協議識別特征庫技術和流量“白名單”技術。

2.1協議識別特征庫

在網絡流量識別時，協議識別特征庫是非常重要的，形成協議識別特征庫主要有兩種方式。一種是傳統方式，正向流量分析方法。這種方法是基于網絡攻擊者的視角分析，模擬攻擊者的攻擊行為，進而分析模擬網絡流量中的流量特征，獲取攻擊威脅的流量特征。這種方法準確度高，但是需要對逐個應用進行模擬和分析，研發成本高且效率低下，而且隨著互聯網攻擊行為的層出不窮和不斷升級，這種分析方法往往存在一定的滯后性。第二種方法是近年隨著人工智能技術的進步，逐漸應用的智能識別特征庫。這種方法可以基于威脅流量的流特征、已有網絡攻擊、威脅行為特征庫等，通過AI智能算法來進行訓練，獲取智能特征庫。這種方式采用AI智能識別算法實現，雖然在準確率方面要低于傳統方式，但是這種方法可以應對互聯網上層出不窮的新應用流量，效率更高。而且隨著特征庫的積累，算法本身具備更好的進化特性，正在逐步替代傳統方式。智能特征庫不僅僅可以識別已經出現的網絡攻擊行為，對于未來可能出現的網絡攻擊行為，也具備一定的適應性，其適應性更強。這種方式還有另一個優點，通過對新發現的網絡攻擊、威脅行為特征的不斷積累，完成樣本庫的自動化更新，基于自動化更新的樣本庫，實現自動化更新的流量智能識別特征庫，進而實現AI智能識別算法的自動升級能力。為了確保采集流量精準，新型DPI的協議識別特征庫具備更深度的協議特征識別能力，比如對于http協議能夠實現基于頭部信息特征的識別，包括Host、Cookie、Useragent、Re-fer、Contet-type、Method等頭部信息，對于https協議，也能夠實現基于SNI的特征識別。對于目前主流應用，支持識別的應用類型包括網絡購物、新聞、即時消息、微博、網絡游戲、應用市場、網絡視頻、網絡音頻、網絡直播、DNS、遠程控制等，新型DPI的協議特征識別庫更為強大。新型DPI的協議識別特征庫在應用時還可以結合其他外部知識庫，使得分析更具目的性。比如通過結合全球IP地址庫，實現對境外流量定APP、特定URL或者特定DNS請求流量的識別，分析其中可能存在的跨境網絡攻擊、安全威脅行為等。

2.2流量“白名單”

在網絡流量識別時也同時應用“流量白名單”功能，該功能通過對網絡訪問流量規模的統計，對流量較大的、且已知無害的TOPN的應用特征進行提取，同時將這些特征標記為“流量白名單”。由于“流量白名單”中的應用往往對應較高的網絡流量規模，在網絡流量識別時，可以優先對流量進行“流量白名單”特征比對，比對成功則直接標記為“安全”。使用“流量白名單”技術，可以大大提高識別效率，將更多的分析和計算能力留給未知的、可疑的流量。流量白名單通常是域名形式，這就要求新型DPI技術能夠支持域名類型的流量識別和過濾。隨著https的廣泛應用，也有很多流量較大的白名單網站采用https作為數據傳輸協議，新型DPI技術也必須能夠支持https證書類型的流量識別和過濾。流量白名單庫和協議識別特征庫對網絡流量的處理流程參考下圖1：

3新型DPI技術中數據標準

安全態勢感知系統在發展中，從各個廠商獨立作戰，到現在可以接入不同廠商的數據，實現多源數據的融合作戰，離不開新型DPI技術中的數據標準化。為了保證各個廠商采集到的安全要素數據能夠統一接入安全態勢感知系統，各廠商通過制定行業數據標準，一方面行業內部的安全數據采集、數據理解達成一致，另一方面安全態勢感知系統在和行業外部系統進行數據共享時，也能夠提供和接入標準化的數據。新型DPI技術中的數據標準包括三個部分，第一個部分是控制指令部分，安全態勢感知系統發送控制指令，新型DPI在接收到指令后，對采集的數據范圍進行調整，實現數據采集的可視化、可定制化。同時不同的廠商基于同一套控制指令，也可以實現不同廠商設備之間指令操作的暢通無阻。第二個部分是安全要素數據部分，新型DPI在輸出安全要素數據時，基于統一的數據標準，比如HTTP類型的數據，統一輸出頭域的URI、Host、Cookie、UserAgent、Refer、Authorization、Via、Proxy-Authorization、X-Forward、X-Requested-With、Content-Dispositon、Content-Language、Content-Type、Method等HTTP常見頭部和頭部關鍵內容。對于DNS類型的數據，統一輸出Querys-Name、Querys-Type、Answers-Name、Answers–Type等。通過定義數據描述文件，對輸出字段順序、字段說明進行描述。針對不同的協議數據，定義各自的數據輸出標準。數據輸出標準也可以從業務應用角度進行區分，比如針對網絡攻擊行為1定義該行為采集到安全要素數據的輸出標準。第三個部分是內容組織標準，也就是需要定義安全要素數據以什么形式記錄，如果是以文件形式記錄，標準中就需要約定文件內容組織形式、文件命名標準等，以及為了便于文件傳輸，文件的壓縮和加密標準等。安全態勢感知系統中安全要素數據標準構成參考下圖2：新型DPI技術的數據標準為安全態勢領域各類網絡攻擊、異常監測等數據融合應用提供了基礎支撐，為不同領域廠商之間數據互通互聯、不同系統之間數據共享提供便利。

4新型DPI技術面臨的挑戰

目前互聯網技術日新月異、各類網絡應用層出不窮的背景下，新型DPI技術在安全要素采集時，需要從互聯網流量中，將網絡攻擊、異常流量識別出來，這項工作難度越來越大。同時隨著5G應用越來越廣泛，萬物互聯離我們的生活越來越近，接入網絡的終端類型也多種多樣，針對不同類型終端的網絡攻擊也更為“個性化”。新型DPI技術需要從規模越來越大的互聯網流量中，將網絡安全相關的要素數據準確獲取到仍然有很長的路要走。基于新型DPI技術，完成網絡態勢感知系統中的安全要素數據采集，實現從網絡流量到數據的轉化，這只是網絡安全態勢感知的第一步。網絡安全態勢感知系統還需要基于網絡安全威脅評估實現從數據到信息、從信息到網絡安全威脅情報的完整轉化過程，對網絡異常行為、已知攻擊手段、組合攻擊手段、未知漏洞攻擊和未知代碼攻擊等多種類型的網絡安全威脅數據進行統計建模與評估，網絡安全態勢感知系統才能做到對攻擊行為、網絡系統異常等的及時發現與檢測，實現全貌還原攻擊事件、攻擊者意圖，客觀評估攻擊投入和防護效能，為威脅溯源提供必要的線索。

5結論

第4篇：網絡流量分析的方法范文

【關鍵詞】BOSS 10086短信業務平臺 業務流量 網絡流量

1 BOSS系統架構概述

業務支撐系統(以下簡稱為“BOSS系統”)是基于計算機技術,融合了計算機軟硬件以及移動通信的部分特點于一體,用于支撐移動通信業務運營和管理的IT系統。隨著移動通信業務運營內涵的極大豐富和服務對象群體外延的不斷擴大,BOSS系統無論是業務種類、業務規模還是業務流程,都變得非常龐大和復雜。要研究BOSS系統的應用業務和網絡流量相關性,必須首先對BOSS系統進行分類,然后比照網絡拓撲圖,按照業務邏輯分別對收斂的采樣點進行數據流的采集和分析,建立相關業務的數據模型,定量及定性分析業務邏輯流量和網絡流量的關聯關系,進而推理出相關業務邏輯數據流隨著業務量的變化對網絡資源開銷的影響程度。

BOSS系統分類方法很多,有按功能域分、按服務需求分、按安全域分等。BOSS系統的業務種類繁多,因而各業務系統網絡及性能管理是一項復雜而富挑戰性的工作,這當中包含了多項因素。本文選取一個典型的業務平臺――10086短信業務平臺,對短信業務的業務數據流和網絡流量做抽樣性分析,以此作為對BOSS應用系統研究和維護管理的方法論,進而推廣到整個BOSS系統業務維護和管理系統中。

210086短信業務平臺架構概述

2.1 BOSS短信業務平臺業務概況

上海移動10086短信業務平臺是BOSS系統向移動客戶提供基于短信交互方式的資費和業務查詢、業務定制和退定、手機功能開通和取消、套餐申請和轉換、積分兌換和促銷活動等個性化服務的E渠道之一。

上海移動10086短信業務系統是以計費信息中心BOSS系統為核心,利用運行維護中心的行業網關平臺,向移動客戶提供便捷的端到端服務的跨平臺、跨部門的業務系統。

2.2 BOSS短信業務平臺系統概況

BOSS短信業務平臺計費信息中心側由兩臺DELL2650 PC服務器做短信接口服務器,一臺IBM P650_1做短信中間件服務器,一臺IBM P650_2做短信數據庫服務器,此外還有兩臺BOSS營帳數據庫服務器。

BOSS短信業務平臺運行維護中心側由兩臺HP行業網關服務器做對應。

計費信息中心側與運行維護中心側通過10M城域網經由一臺CISCO3725路由器互連,2M數據鏈路做備用。

BOSS短信業務平臺提供多種短信業務,明細列舉如表1所示:

3 BOSS系統短信業務網絡和服務器流量捕獲研究

3.1 業務流量和網絡流量的對應關系

為了有效捕獲網絡流量,研究業務流量和網絡流量的對應關系,需要采用特定的流量分析設備,具體包括一臺NetScout 4端口百兆探針NGenius 9241硬件設備一臺,和NetScout nGenius Performance Manager軟件一套。

為收集網絡流量,在網絡中放置探針,通過交換機上的端口鏡像將業務流量端口鏡像到探針連接端口,流量經過探針處理后再傳送到集中的性能管理服務器(nGenius Performance Manager,簡稱PM),用于全局的網絡分析。

NetScout設備能夠自動識別常見網絡協議以及應用端口,如HTPP、FTP、Telnet等。為有效標明短信數據流,在詳細分析數據流的基礎上,根據IP地址以及應用端口定義了如下應用:

短信接口到短信中間件Upstream:10.10.169.30 10.10.167.13,TCP port:28500;

短信中間件到短信接口Downstream:10.10.169.1310.10.167.30,TCP port:28540,28518;

短信中間件到營帳數據庫YZ_DB:10.10.167.1310.9.215.24。

3.2 小結

(1)經過大量統計和運算,獲得流量特征值T的對應表和K值,以及流量推算公式:

F’XX=短信業務量*K*T

其中,XX是任意段的流量預估。

如行業網關到短信接口的流量=200,000*1754*3.78/小時=1326M/小時。

(2)短信業務量每小時峰值40萬是中間件環節處理和吞吐能力的預警線,因為此時短信中間件服務連接端口流量=短信中間件服務到短信數據庫的流量+短信中間件服務到營帳數據庫的流量+短信中間件服務到短信接口機的流量=47.6Mbps,達到網絡連接100M的近50%。對于網絡來講,50%的利用率是一個預警的尺度,需要考慮采取措施如升級處理性能和帶寬等。

4 應用拓展

4.1 網絡系統維護

流量和業務量分析模型,可以很好地運用到網絡和主機系統的日常運維中,包括日常系統及業務流量監控、故障診斷,還可以用于網絡規劃的輔助工具。如:

建立正常工作情況下的流量基線;

實時分析網絡流量,掌握流量的動態變化;

監控應用的響應時間,逐段分析系統延遲的組成;

確定時延導致根源,分析究竟是服務器、應用還是網絡造成的;

一旦發覺服務性能很差(響應時間太長),可以分析和比較Application Response Time 與Network Response Time,知道響應時間長是網絡造成還是Application Server本身造成的;

掌握網絡流量與業務量的對應關系,分析業務量的增長趨勢;

區分網絡傳輸時間與服務器響應時間等。

4.2 故障診斷及流量預測

流量和業務量分析模型,可以很好地運用到日常系統及業務流量預測、故障診斷,為更好的系統維護作業計劃打好基礎。如:

對網絡誤用、黑客入侵“錯誤!未找到引用源”、服務暫停、超時響應等做出實時告警;

提早獲得流量異常“錯誤!未找到引用源”(如病毒爆發)的提示,預防問題的發生,并得到導致告警的應用、主機和通信對,了解流量異常的根源;

根據總流量、廣播包占用量、包CRC Errors、Multicast包占用量、不同應用的時延設置門限告警;

24小時不停監視網絡異常,并發出告警,數據包捕獲,協議解碼分析;

實時了解網絡流量情況,及時獲得導致告警的根源;

得到異常占用網絡的用戶的行為、特征,如黑客入侵;

基于前期流量,分析未來走勢,對于可能產生的系統、網絡瓶頸,提前采取措施,滿足業務增長的需要;

通過趨勢分析預測過載發生時間,有助于規劃容量以應付未來需求。

5 結束語

本文通過抽樣選取10086短信業務作為研究的對象,比照10086短信業務的業務邏輯和受理流程,采用特定的流量分析設備,得出業務流量同網絡流量之間存在的對應關系,進而推理出短信業務邏輯數據流隨著短信業務量的變化對網絡資源開銷的影響度。流量和業務量分析模型可以很好地運用到網絡系統維護、故障診斷及流量預測等方面,并可作為網絡規劃的輔助工具,對3G時代的到來所帶來的網絡與業務架構變化有很好的借鑒意義。

參考文獻

[1]Vladimir Naumovich Vapnik. Statistical learning theory [M]. New York: Wiley,1998.

[2]Juha M Alho. Statistical Demography and Forecasting [M]. NY: Springer Science+Business Media,Inc,2008.

[3]Peter Hackl. Statistical analysis and forecasting of economic structural change [M]. Springer-Verlag,1989.

[4]Holger Kantz. Nonlinear time series analysis [M]. Cambridge Press,2003.

[5]Julien C Sprott. Chaos and time-series analysis [M]. Oxford University Press,2003.

[6]Zhongjie Xie. Case studies in time series analysis [M]. McGraw-Hill Osbome Media,2009.

[7]Michael Eugene Orshansky. Statistical models,methods and algorithms for computer-aided design for manufacturing [M]. 2001.

[8]Yair Wiseman, Song Jiang. Advanced operating systems and kernel applications: techniques and technologies, Hershey [M]. PA: Information Science Reference,2010.

[9]Jean Bacon. Operating systems: concurrent and distributed software design [M]. Publishing House of Electronics Industry,2003.

【作者簡介】

第5篇：網絡流量分析的方法范文

關鍵詞： 敏感圖像； 快速加密； 圖像注入技術； 網絡流量

中圖分類號： TN911.73?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）24?0088?04

Simulation of an image injection technology for sensitive image fast encryption

LI Yanqun， CHANG Zheng

（Department of Communication Technology， Shandong University of Technology， Zibo 255049， China）

Abstract： In order to improve the sensitive image encryption speed， and ensure the secure transmission of the sensitive image， an image injection technology used for sensitive image fast encryption is put forward. The principle diagram of the sensitive image fast encryption is given. The structure of the image injection technology is introduced. The logic control layer can analyze the current network traffic situation by means of the receiving end feedback information received by the TCP layer. The adjustment of packaging size and injection duration of UDP data packets can make the UDP layer inject the encryption sensitive image package safely and quickly. The control process of the network traffic is analyzed in detail. In simulation experiment， a sensitive image involving military was encrypted， and the analysis experiments of packet loss rate and injection image quality were performed successively. The analysis conclusion are as follows： the packet loss rate of this method is lower than that of the biorthogonal transform method， and the image injection result got by this method has higher reliability； the pixel correlation coefficient and encryption time consumption of the method are better than those of the biorthogonal transform method； the gray histogram and original image gray histogram are basically the same， and the image injection quality is better.

Keywords： sensitive image； fast encryption； image injection technology； network traffic

0 引 言

隨著網絡通信和信息交換的日趨頻繁，怎樣保護用戶信息，尤其是國家重要部門的敏感信息在傳輸、存儲和使用過程中不被非法者盜取，成為亟需解決的問題[1]。因此，研究用于敏感圖像快速加密的圖像注入技術非常有意義，為保障敏感圖像的安全傳輸提供重要技術支持[2?3]，已經變成有關學者探討的重要話題，受到越來越普遍的關注[4]。

現在，相關圖像注入的研究有很多，相關研究也取得了一定的成果。文獻[5]將人眼感興趣區視覺特性與漸進傳輸結合在一起，提出一種基于感興趣區漸進的圖像注入技術。該技術依據小波編碼的特點，利用碼流結構，在進行圖像注入時先漸進注入圖像中的感興趣區，然后注入圖像背景區，該方法保證了感興趣區的優先注入，但注入圖像所需的時間較長。文獻[6]設計了一種圖像注入系統，介紹了圖像傳輸、時序控制的實現過程，該系統基本能夠達到圖像注入速度的要求；但該系統不穩定，無法為不同平臺提供真實的圖像，適應性不高。文獻[7]提出一種復雜度相對較低的雙正交變換圖像注入技術，該技術首先對圖像進行壓縮，在此基礎上通過零樹編碼完成圖像注入，提高了圖像質量，但該方法所耗費的網絡能耗較高，而且實現過程過于復雜。本文提出一種用于敏感圖像快速加密的圖像注入技術。給出敏感圖像快速加密的原理圖，介紹了圖像注入技術的結構，詳細分析了網絡流量的控制過程。在進行仿真實驗時，對一幅涉及軍事的敏感圖像進行加密，依次進行了丟包率分析實驗和注入圖像質量分析實驗，給出分析結論。

1 一種用于敏感圖像快速加密的圖像注入技術

1.1 敏感圖像快速加密原理

圖像類信息數據量大，同時臨界數據間的相關性較高，對其加密具有更高的要求，為了快速實現敏感圖像的加密，本節引入圖像注入技術，將發送端信息直接傳輸至接收端。敏感圖像快速加密的原理圖如圖1所示。

1.2 圖像注入技術分析

1.2.1 加密敏感圖形注入技術設計

為了安全快速地實現加密敏感圖像的注入，本節提出一種TCP和UDP協議結合使用的圖像注入技術。如圖2所示，圖像注入技術構造區分為以下三層：頂層是邏輯控制層，其重要用在完成加密敏感圖像的分包重組、流量管制和丟包恢復，該層是圖像注入技術的重點；中間層是前向圖像注入層，主要負責控制輸送端向接收端輸送大量的圖像數據，該層主要根據UDP協議實現，以保障數據包的快速傳輸；底層是后向形狀信息輸送層，主要負責管理接收端向發送端反饋狀態信息，這層根據TCP協議達成，以保障狀態信息可靠、準確的傳輸。邏輯控制層經過從TCP層接收到的接收端反饋信息對目前的網絡流量狀況進行解析，通過調整UDP數據包的打包大小與注入時間，使UDP層可以安全、快速地注入加密敏感圖像包。根據上述進程，經過三層之間有機協作就能實現加密敏感圖像的注入。

1.2.2 圖像注入過程中的網絡流量控制

通過1.2.1節分析的過程可知，邏輯控制層對網絡流量的控制情況對加密敏感圖像的注入起到了至關重要的作用。因此，本節重點對網絡流量的控制進行分析。加密敏感圖像注入過程中的流量控制是通過發送端與接收端共同實現的，下面給出流量控制協議的數學模型。

流量控制把網絡劃分為以下三個情況分別進行治理：

（1） 網絡狀況差。發送端不能接收來自接收端的反饋信息，說明當前網絡無法進行圖像注入，停止注入加密敏感圖像。

（2） 網絡狀況好。這時圖像注入速度就可以達到設置的網絡可靠帶寬，無需對網絡流量實行調節管理，維持注入速度，直到單幀圖像不能完整接收，再次使用調節策略。

（3） 網絡狀況在上述兩種情況之間。這時可采用下述過程對網絡流量進行控制：注入第[n]幀加密敏感圖像時的平均速度可通過下式求出：

[Vnαn，βn，μn=0nDSi0nDTi=NCn-1?αn+DSn-1?μn-NFn-1μn+0n-1DSiDTn-1?μnμn-NFn-1-NCn-1?βn+0n-1DTi] （1）

式中：[αn]，[βn]，[μn]用于描述注入第[n]幀敏感加密圖像的速度調整因子，其值可經過網絡數據幀幀長可變長度設定；[DSi]和[DTi]分別用來表示注入第[i]幀加密敏感圖像時的數據包大小和數據包注入時間；[NCn]用來表示第[n]幀敏感加密圖像的注入狀況，成功注入則取1，反之取0；[NFn]用于描述第[n]幀加密名圖像中丟失數據包的數量。傳輸第[n]幀加密敏感圖像的瞬時速度可通過式（2）求出：

[Vnαn，βn，μn=DSnDTn =NCn-1×αn+DSn-1?μn-NFn-1μnDTn-1×μnμn-NFn-1-NCn-1?βn] （2）

式中：[αn]及[βn]是加速因子；[μn]是減速因子，它們的取值關鍵取決于網絡的穩定水平。瞬時速度的值主要取決于調節因子、丟包情況和前一幀加密敏感圖像注入的速度。在網絡狀態較好時，加速因子[αn]和[βn]的取值要讓圖像注入速度平穩提高，同時禁止注入速度到達網絡的穩定帶寬后產生頻繁震蕩；減速因子[μn]的取值要適合下述要求：當網絡產生瞬間抖動使得少量丟包的狀況下需小幅度的減少流量；當網絡產生較大水平的擁塞時需立即減少流量。最終，讓流量快速地跟隨網絡帶寬的改變而改變。

根據反饋信息，接收端及發送端一起完成流量管理。當接收端完整地接收到一幀圖像時，通過調整UDP數據包的打包大小和注入時間，讓UDP層可以安全、快速地注入加密敏感圖像包。

2 用于敏感圖像快速加密的圖像注入技術仿真

實驗

2.1 加密敏感圖像

在進行仿真實驗時，首先對一幅數據是320×240的涉及軍事的敏感圖像進行加密，圖像深度是18，幀頻為150 f/s，敏感圖像和加密后圖像如圖3所示。

2.2 丟包率分析

為了驗證所分析圖像注入技術的可靠性，將雙正交變換方法作為對比，將圖像丟包率作為衡量標準進行分析。在對加密的敏感圖像進行注入的過程中，為了能夠觀察敏感圖像數據包總數，同時區別敏感圖像每包數據，需在每包數據之前添加2個字節。第一個字節代表加密敏感圖像的總包數；第二個字節代表每包數據的ID號。將圖像總包數、每包ID號和每包圖像數據打印出來，從而直觀地分析出每幅圖像的數據丟失狀態，打印結果如圖4所示。

依據打印的圖像數據，通過觀察每包數據的ID號來對丟包數量進行統計，從而求出該圖像的丟包率。為了避免偶然誤差，分別連續打印10幅采用本文方法和雙正交變換方法注入的加密敏感圖像數據，得到的測試結果如圖5所示。

分析圖5可知，采用本文方法的最高丟包率為0.16%左右，而采用雙正交變換方法的最高丟包率為0.72%左右，最低丟包率也在0.1%左右，說明采用本文方法進行圖像注入得到的結果具有較高的可靠性。

2.3 注入圖像質量分析

為了驗證注入圖像的質量，本文將相鄰像素相關系數作為衡量指標進行實驗分析，圖像像素相關系數越大，說明注入圖像質量越高，像素[x，y]相關系數的計算公式如下：

[Rxy=COVx，yDx?Dy] （3）

式中，[COVx，y]用于描述[x]，[y]之間的協方差，公式如下：

[COVx，y=Ex-Exy-Ey] （4）

式中：[Ex]為[x]的數學期望；[Dx]為[x]的方差。

公式描述如下：

[Ex=1ni=1nxi] （5）

[Dx=1ni=1nxi-Ex2] （6）

為了更加直觀地驗證本文方法的有效性，引入敏感圖像加密速度指標，將其和相關系數指標共同作為衡量注入圖像質量的標準。分別采用本文方法和雙正交變換方法對如圖6所示的像素關系進行相鄰像素相關系數及加密所需時間進行比較，得到的結果如表1所示。

由表1可知，本文方法和雙正交變換法從總體上看有顯著的提高，從相鄰像素相關系數指標進行分析，本文方法注入圖像和原始圖像的相似性更高，像素相關系數趨近于1，而雙正交變換法注入圖像卻和原始圖像相差較多，像素相關系數趨近于0。從加密時間的角度分析，本文方法的加密耗時明顯低于雙正交變換法，且一直低于雙正交變換法。因此，采用本文方法進行圖像注入的圖像質量更改，最終所需的加密時間更少。為了更加直觀地看出本文方法、雙正交變換方法下注入圖像與原圖的相關性，給出原圖灰度直方圖和兩種方法下注入圖像的灰度直方圖，如圖7～圖9所示。

分析圖7～圖9可以看出，本文方法下注入圖像的灰度直方圖和原圖灰度直方圖基本相同，而雙正交變換方法下的注入圖像灰度直方圖與原圖相差較大，說明本文方法的圖像注入性能更高。

3 結 論

在進行丟包率分析實驗時，采用本文方法的最高丟包率為0.16%左右，而采用雙正交變換方法的最高丟包率為0.72%左右，最低丟包率也在0.1%左右，說明采用本文方法進行圖像注入得到的結果具有較高的可靠性。在進行注入圖像質量分析實驗時，從相鄰像素相關系數指標進行分析，本文方法注入圖像和原始圖像的相似性更高，而雙正交變換法注入圖像卻和原始圖像相差較多。從加密時間的角度分析，本文方法的加密耗時明顯低于雙正交變換法，且一直低于雙正交變換法。因此，采用本文方法進行圖像注入的圖像質量更改，最終所需的加密時間更少。本文方法下注入圖像的灰度直方圖和原圖灰度直方圖基本相同，而雙正交變換方法下的注入圖像灰度直方圖與原圖相差較大，說明本文方法的圖像注入性能更高。

參考文獻

[1] 張牧，濮存來.一種新的圖像加密融合算法仿真研究[J].計算機仿真，2014，31（4）：402?406.

[2] 張玉明，劉家保.基于復合混沌及LSB的圖像加密和隱藏技術[J].重慶工商大學學報（自然科學版），2014，31（11）：50?55.

[3] 樊博，王延杰，孫宏海.基于PCIe的高速圖像注入式仿真系統[J].計算機工程與設計，2014，35（3）：1056?1060.

[4] 朱薇，楊庚，陳蕾，等.基于混沌的改進雙隨機相位編碼圖像加密算法[J].光學學報，2014（6）：58?68.

[5] 張昊，湯心溢，李爭，等.基于USB 2.0的紅外數字圖像注入式仿真器設計[J].激光與紅外，2014（3）：269?272.

第6篇：網絡流量分析的方法范文

1.1總體架構

層次化保護控制系統從體系架構上劃分為就地層、站域層和廣域層，如圖1所示。三層保護協調配合，構成以就地層保護為基礎，站域層保護與廣域層保護為補充的多維度層次化繼電保護系統。就地層保護是面向被保護對象分布配置的“貼身防護”，保護功能配置遵循現有的繼電保護相關規范，其接入信息僅來自被保護對象所在間隔，強調的是保護相關回路簡潔可靠和保護的速動性。站域保護控制系統配置單套保護的冗余保護、部分公用保護及相鄰變電站元件后備保護。它能夠充分利用全站信息，快速、可靠判別故障區域，加速后備保護動作，并可不經就地級保護及測控裝置直接作用于斷路器智能終端。同時，根據電壓等級的不同及變電站承擔任務的不同，站域保護也配置一些控制功能，包括備用自投、小電流接地選線、低頻/低壓減負荷等。此外，站域保護還作為廣域保護服務子站為廣域保護提供站內采樣值和開關量信息，并接收、轉發廣域保護主站發出的控制命令。廣域保護系統包括繼電保護和安全自動控制兩方面。廣域保護基于廣域信息實現廣域后備保護；接收區域內及同步相量測量單元（PMU）數據，進行安全穩定評估分析；并依據穩態數據進行潮流分析、切負荷策略制定。

1.2各層次配合關系

如圖2所示，當電力系統發生故障時，就地層保護作為第一時限保護，保護的速動性好，相關聯回路少。就地保護整組動作時間一般為0~20ms。在就地保護工作的同時，站域保護與廣域保護同時進入程序判別階段，如果故障能夠成功切除，則站域保護和廣域保護自動返回；若就地保護未動作，站域保護基于站域信息的判斷實現故障切除。在時間配合上，站域保護處理一般會增加一定延時。若站域保護仍未動作，則由廣域保護實現故障切除。廣域保護的跳閘延時較站域保護動作時間更長。根據國際大電網會議（CIGRE）的規定，廣域控制的時間限定在0.1~100s的范圍內。在極端情況下，如變電站直流消失，站域就地全部失效時，由廣域保護通過跳其他變電站實現故障切除。

2層次化保護系統通信系統分析

2.1站域保護

站域保護裝置涉及變電站的多個間隔信息，如：各間隔的采樣值、GOOSE和對時信息等。因此對過程層通信系統有著較高的要求，包括網絡流量、網絡延遲。本文以某220kV典型配置為例進行分析。（1）網絡流量分析根據文獻[9]所述的計算方法，對于采樣值流量，按照20個模擬量通道，以典型的每周波80點采樣、每幀1個ASDU進行計算；再加上GOOSE流量最大約為1.2Mb/s，可以計算出每個間隔流量可達到8.33Mbps。220kV側按9個間隔、110kV側13個間隔、35kV側3個間隔，共25個計算，可得到總帶寬達到208.2Mbps。若帶寬占有率不超過40%，過程層交換機帶寬需達到520.5M。對于220kV電壓等級(含35kV等級)，可以得到帶寬為99.96Mbps，對于110kV間隔，總帶寬為108.29Mbps，需要多百兆網口或采用千兆網絡。（2）網絡時延分析根據文獻[10]所述的計算方法，以圖3所示的交換機配置方案，間隔交換機采用百兆光口，主干交換機采用千兆光口，考慮最極端的情況，站域保護裝置連接的間隔數為25個來計算網絡時延。一個IEC61850-9-2SV采樣數據幀的最好和最壞情況下延時、抖動分別是27.992μs、71.24μs和43μs；一個GOOSE數據幀的最好和最壞情況延時、抖動分別是22.448μs、48.56μs和26μs。文獻[11]規定微波通道（光纖通道參照執行）傳輸主保護信息時傳輸時延應不大于5ms。對于保護裝置來講，這樣的延時和抖動在可接受的范圍內。因此，從網絡流量分析和網絡時延分析兩方面確定：對于一個典型的220kV的變電站，站域保護按全站配置或按照電壓等級配置均可；但對于電壓等級較高或者間隔較多的變電站來說，可采用按電壓等級配置站域保護的方式，以保證充分的網絡帶寬。且在兩種情況下，百兆口都難以滿足數據傳輸的要求，均應采用千兆口以滿足全站數據采集的需求。同時，由于就地保護已經備有主后備功能完善的保護，因此站域保護只需單配即可。

2.2廣域保護

廣域保護裝置涉及多個變電站的信息，如：參與廣域差動的各間隔的采樣值、GOOSE和對時信息等。因此對廣域通信系統有著更高的要求。按照本文的層次化保護系統方案，廣域保護通過站域保護間接接收采樣值信息，且站域保護將站內數據打包以24點上送到廣域網絡。本文仍然從網絡流量與網絡延遲兩方面進行分析。它們與廣域保護監管范圍大小直接相關。本文以圖4所示的區域范圍為例進行分析。（1）網絡流量分析廣域保護實現基于差動原理和方向比較原理的站與站之間的后備保護。因此，它只需要接入差動區域內各個變電站與其他變電站相連間隔的信息形成廣域保護的信息來源。接入廣域網絡的間隔數量=220kV站A3個間隔+220kV站B6個間隔+110kV站A1個間隔+110kV站B2個間隔+110kV站C1個間隔+110kV站D2個間隔+110kV站E2個間隔+110kV站F1個間隔=18個。按上節描述的計算方法，每個間隔的采樣值流量S=223字節×8bit/字節×50周波/s×24幀/周波=2.14Mbps。GOOSE流量最大約為1.2Mb/s。每個間隔的總流量為3.34Mbps。按照18個間隔計算，廣域網絡的總流量可達到60.12Mbps。（2）網絡時延分析由于站域保護送出的數據已根據廣域時鐘系統的時間將采樣信息打上時間標簽，然后通過廣域通信網絡轉發至廣域保護系統。因此，在計算網絡時延時只需要計算從站域保護裝置—廣域保護裝置之間的網絡時延。此時，以平均傳輸100km，經過一級交換機設備計算。同樣按照參考文獻[10]所述的計算方法，可得網絡延遲，計算結果滿足廣域保護對延時的技術要求。綜上所述，從網絡流量分析和網絡時延分析兩方面確定：按照每個間隔3.34Mbps流量分析，廣域保護宜采用千兆網絡。同時，由于廣域保護控制系統的網絡時延主要體現在各變電站信息的遠距離傳輸上，在選擇廣域保護控制系統的配置地點時應考慮全局物理距離最近的變電站或調控中心。

3網絡報文時延可測技術及應用

站域保護、廣域保護需要采集多個間隔甚至整個變電站模擬量和相關開關量信息，宜采用網采網跳的實現方案。常見的同步解決方案是，跨間隔保護依賴于統一的外部時鐘來保證采樣數據的同步性，當失去外部時鐘時，跨間隔保護將退出運行甚至誤動，這也是網采方案被質疑的重要原因。根據交換機的存儲轉發特性，報文進入交換網絡由交換機根據資源情況進行隨機交換，交換路徑隨時可能發生變化，物理資源的競爭增加了報文在交換網絡中時延的不確定性，難以滿足同步的要求。如果交換機可以測量傳輸延時并將此延時發送給保護裝置，保護裝置再基于該延時通過軟件重新采樣來實現各路模擬量的同步，就可以實現保護裝置不依賴于對時實現裝置同步的目標。

3.1交換延時的計算方法

本文提出一種傳輸延時可測的技術，可準確獲得交換機的延時，并寫入SV報文，站域保護、廣域保護可進行讀取并補償。以圖3所示的間隔1的數據到達站域保護為例說明該技術的具體實現方式，如圖5所示。交換機擁有硬件接收時間戳記錄模塊、硬件發送時間戳記錄模塊和駐留時間計算模塊，用于記錄報文接收和發送時的時間點和報文在當前交換機的駐留時間。當間隔1的報文第一比特進入間隔交換機1的P1端口時，交換機的硬件接收時間戳記錄模塊記錄下此時的時間t1，然后硬件發送時間戳記錄模塊記錄下此比特離開間隔交換機1的P2端口時的時間t2，駐留時間計算模塊求得此時的駐留時間t1=t2-t1，并寫入該報文中；同理，可得到該報文在過程層主干交換機中的駐留時間t2=t4-t3，并將其與在間隔交換機1中的駐留時間t1疊加得到當前報文總傳輸時延t=t1+t2。此時終端的保護裝置可解析報文，從而得到網絡總時延，并根據此時延計算出采樣報文的原始時刻，然后通過重采樣進行同步。多級交換機級聯情況如上述步驟依次疊加報文在新交換機的駐留時間值并轉發，直到報文到達保護或測控裝置。

3.2交換延時的標記位置

智能變電站采樣值報文采用以太網幀格式承載，交換延時的標記位置有兩種方案，如圖6所示。（1）采樣值報文的保留字段（方案1）根據最新的第二版IEC61850協議規定，在報文中，SV和GOOSE報文以太網幀格式有4個字節的保留字段，分別為Reserved1和Reserved2，其中保留位1（Reserved1）0字節的第8個比特已經被定義，本方案使用了其余31個保留位之中的30個，因此可在不影響規范中定義的功能的基礎上，使用該保留字段存儲報文網絡傳輸時延數值。存儲方法是將t值轉換為二進制數值，由最低位向最高位依次寫入傳輸時延數值，如圖7所示。該方案所存儲的延時數值位置相對固定，交換機無需對整幀報文解碼，資源開銷小，不影響交換機的性能指標，但未來可能會與IEC62351標準的使用產生沖突。（2）通道延時的品質位（方案2）如圖6所示，在報文中SavPdu中有4個字節的通道延遲品質位。本方案將延時值報文按照相同的方式寫入報文中。但由于采樣值不固定，導致延時數值的位置不固定，交換機需要對每個報文解碼，資源開銷大，但可通過改善交換機的性能來滿足對時精度10μs的要求。本文推薦方案2，它具有更好的靈活性，且不會與IEC62351標準的使用產生沖突。

4結語

第7篇：網絡流量分析的方法范文

系統各部分功能①流量采集儀：安裝在專用PC服務器上，通過端口鏡像的方式采集分析網絡流量，自動發現IP子網和主機設備，并將主機上網日志保存到數據庫，將實時流量監控數據發送到應用服務器；②數據庫服務器：接收流量采集儀發來的所需存儲的數據信息，并將信息存入數據庫中，同時提供給監控終端所需的流量日志、網絡拓撲結構和網絡行為記錄等歷史數據信息；③應用服務器：接收流量采集儀發來的流量監控信息，并將信息分發給監控終端，如果采用分布式結構，該服務器還要將各個流量采集儀所測得的各項流量指標匯聚成宏觀的指標，并以直觀的方式顯示；④監控終端：監控終端安裝在各個工作站上，訪問數據庫服務器，對流量日志進行查詢，并從應用服務器實時讀取監控數據，并依據所得數據繪制成各種圖形。

高速網絡管理系統中的關鍵技術

高速流采集技術在大規模流量環境中，基于軟件（主要是基于Libpcap抓包工具）的測量方案一直被認為是效率不高的一種方案，基于PC服務器和抓包軟件的流量分析系統存在嚴重的性能問題，比如丟包嚴重、分析不及時、誤報漏報等問題。因此，又采取一些特殊方式來提高效率，最直接的方式，也是國內外研究成果最多的方式，就是采用基于硬件的流量分析設備。但是，由于硬件設備大多基于微系統/嵌入式系統，在緩存、總線、CPU計算能力方面均遠遠低于普通PC服務器，因此無法完成一些高級分析功能，只能完成一些相對固定的協議分析、流量統計功能。這些限制導致基于硬件的測量系統功能非常有限，而難以擴展和進行二次開發。針對上述問題，提出并開發完成了一種新的流量測量工具TMTK（TrafficMeasurementToolKit）[9]，該程序基于Windows操作系統內核，使用PC服務器的純軟件架構來實現Gbps級的高速流量采集和實時處理。其主要實現原理如下圖2所示。TMTK能夠從如下方面提升流量測量系統的性能：①內部采用了拷貝技術，節省了內存拷貝帶來的開銷；②數據幀不再被傳遞到應用程序，系統不再頻繁地在核心態和用戶態之間切換；③取消timestamp功能可提高抓包效率；④對網絡幀的實時分析功能全部在核心態完成，不再受操作系統進程調度的約束，其性能非常穩定。為了驗證設計性能，將同一套流量分析代碼分別加入不同的編譯工程，分別以“TMK+管理器”方式和“Libpcap+應用程序”方式編譯，在900Mbps峰值的網絡流量環境下同時運行并進行對比觀測，同時部署流量生成工具，生成測試流量以驗證丟包率。用于試驗的硬件平臺為GCPU的PC服務器，內存為2G，操作系統為WindowsXPProfessional，開發編譯工具為VC6.0。經過連續測試，高速流分類技術對實現對網絡的動態管理，即IP子網的自動發現，主機的自動識別，流量統計，均需要以流分類算法為基礎。該算法的目的是對網絡包進行分類、整理，并進一步分析網絡，同時，流量分類問題是被動模式網絡測量和分析的基礎。在測量系統中，為了實現分析和協議解釋功能，往往需要對單個TCP連接進行狀態跟蹤，這就需要為每個TCP連接建立跟蹤數據結構，為了實現快速查找和定位，目前通常采取的技術手段是哈希鏈表。文章提出了“回溯式二階段統計”方法[9]。其主要數據結構。所有TCP連接仍以HASH鏈表的方式建立協議跟蹤數據結構，在多規則集合并的基礎上，為所有流量分類表建立一個公用的中間階段統計表T，每個TCP連接都可以通過分類ID，回溯到統計表T中的某個單元，修改其統計數據，這樣，對每個數據包，都可以O(1)的時間開銷來完成初步的流量指標統計。統計表各單元存放的臨時統計結果，又可以被回溯到流量分類表中，根據需要被再次統計，從而成為不同流量分類的匯總統計結果。回溯式二階段統計方法的空間復雜度僅為O(M*K)，其中M為統計指標數量，K為流分類規則集合并后的子域數量；時間復雜度也較低，第一階段為O(1)，第二階段為O(M*K)，適合于被動測量環境。高速流跟蹤技術針對網絡流量的跟蹤問題，提出一種基于動態Hash樹的流量跟蹤算法DHT（DynamicHashTree）[10]。根據IP流的本地特性，網絡流量可視為由“本地網絡流量”和“遠程網絡流量”組成，事實上絕大部分網絡流量其實是由少部分“本地網絡”上的主機產生的。DHT算法利用以上特性，首先按照雙方IP子網的不同，建立靜態的“根Hash表”（簡稱RH）以統計各個子網間的流量；然后依據網絡會話的長時穩定性，學習實際環境流量，為一些活動頻繁、網絡會話數較多的本地子網生成動態的子Hash表（簡稱CH），形成一個具有明顯本地化特征的動態Hash樹，避免某個RH表目對應的沖突鏈表IC過長。DHT算法通過以下4個步驟來完成：①建立RH：首先建立靜態的RH，大小為1K，Hash值為雙方IP地址中某些位累加的結果（根據實際情況不同，可以調整位的選擇窗口，取第14-23位用于大致標識兩個IP子網之間的流量）。根Hash函數定義為：F(SA,DA)=((SA>>8)&0x03FF+(DA>>8)&0x03FF)&0x03FF所有網絡會話都可以通過一次Hash運算，被定位到RH內的某個表目，并在表目對應的會話鏈表中保持一個node。每個RH表目中包含三個字段：沖突數量（簡稱IN）、指向下級Hash表CH的指針（PCH）、指向沖突鏈表的指針（PIC）、指針描述符；②RH學習：一旦RH被建立后，就可以在實際環境中進行學習，學習目的是為各個表目填寫沖突數量字段IN。根據在一段時間內某個表目中新增的網絡會話數量（aps），來估算正常狀態下各個RH表目所應有的沖突數量。計算公式為：IN=aps×pat其中aps定義為每秒命中某個RH表目的新網絡會話，pat為經過統計學習得到的網絡會話平均持續時間長度，以秒為單位。經過試驗證明，RH學習時間越長，得到的aps值越趨于穩定，而pat值在經過一個穩定期后會緩慢增長。得到的IN值表示該RH表目應該能夠維護的平均并發會話數量，當某個RH表目的IN值較大，則說明該表目是“高沖突點”，將會持續產生大量并發網絡會話，應該參考IN值為其建立相應的子Hash表CH；反之，則說明該表目利用頻度不高，可以直接掛接沖突鏈表，而不必為其建立CH；③建立CH：當RH通過一段時間的學習，絕大部分表目的IN值趨于穩定的時候，就可以為IN值比較大的表目建立CH。考慮到網絡上存在大量的長時會話和半關閉會話，一個RH表目對應的CH，其大小應該大于該表目所記載的IN值。CH采用雙方端口與IP地址低位混合的結果作為Hash值，Hash函數定義為：F(SA,DA,SP,DP)=(SA&0x00FF×DA&0X00FF+SP&0x00FF×DP&0x00FF)&(length)其中length值就是CH的大小，由本CH對應RH表目的IN值乘以調整因子而來：length=IN×adjust根據環境的不同，adjust有所變化，經過在Cernet網上的反復試驗，adjust取值為4-5比較合適；④建立與維護IC：通過以上3個步驟，由RH和CH構成的Hash樹已經能夠在較大程度上減少Hash沖突，但Hash沖突仍然存在，解決方式仍然是沖突鏈表IC。實驗表明，DHT算法的空間復雜度和時間復雜度均優于Hash鏈表算法，由于Hash樹的構造符合網絡實際環境，因此在網絡并發會話數量較高的情況下，可以減少IC鏈表檢索開銷。在骨干網絡環境下，丟包率很低，其綜合效率是傳統算法的數倍。

系統部署及應用結果

系統在電信運營管理中心得到正式應用，電信IDC中心的部署按照方式，增加一個流量采集儀，系統通過對網絡流量的分布式測量，了解和挖掘網絡中的流量流向情況、網絡應用情況、用戶分布、安全態勢、性能狀況等，為網絡管理提供多層次的基礎數據，從而實現網絡的精細化運營。

第8篇：網絡流量分析的方法范文

價格........................待定

網址 /ft_service/

設計參數

Flow分析:50，000 session/s

Flow 轉發:1,000,000 session/s

最大檢測tcp會話數:≥1,000,000

ip碎片重組:≥500，000

對于作為整體網絡骨干的干線網而言，整個管理層面更為關注的不是單個簡單攻擊，而是那些針對性很強的、旨在破壞網絡骨干和整體業務運營的異常網絡行為。各種異常流量行為對網絡骨干的充斥，極大地增加了網絡資源的壓力，過多消耗了網絡資源，在很大程度上影響到正常業務的運行。嚴重時，這些異常網絡行為會造成網絡癱瘓以及正常業務的中斷。

現有的防火墻、入侵檢測、協議分析器等安全設備都無法很好地解決骨干網絡的異常流量監測與響應問題。這些現有的安全設備一方面不能有效地檢測和處理異常流量和攻擊，另一方面對于在網內傳播的異常流量和攻擊也不能快速準確定位。如何智能化解決這個問題，成為骨干網絡安全的基礎。

東軟軟件公司推出的NetEye異常流量分析與響應系統(NTARS)即是針對這類需求而推出的針對性解決方案，可以協助管理員有效解決骨干網絡中急需解決的安全問題：DoS/DDoS攻擊、蠕蟲與病毒、垃圾郵件、漏洞隱患、網絡濫用等。

NetEye Ntars主要用于骨干網絡的監控檢測和分析，通過對骨干網絡流量信息和系統信息的收集，采用多種方法進行分析、檢測，實時監控、檢測骨干網絡中DoS/DDoS攻擊、蠕蟲病毒、垃圾郵件及其他網絡異常事件，提取異常特征，并啟動報警和響應系統進行過濾、阻斷和防御。

同時，面向管理員提供流量分布、流量排名、攻擊來源和目標、應用層服務等各類關于骨干網絡運行狀況的統計分析數據，從而幫助管理員更好地監控和掌握骨干網絡的使用情況。

第9篇：網絡流量分析的方法范文

1．1數據流的概念

MonikaRauchHenzinger等人提出了數據流的概念。數據流是指按指定的順序只能被一次讀取的、連續的、無界的、隨時間變化的數據項序列，用戶無法任意訪問很久以前的歷史數據，也無法訪問當前時刻以后的數據。數據項可以是關系元組，也可以是對象實例。數據流形式化描述如下:DS=t1，t2，t3，．．．，ti，{}．．．，其中ti為i時刻的數據項，t為元組S的時間戳。與傳統的靜態數據相比，數據流具有以下特征:1)無限性:數據流常常是無界或者近似無界，隨著時間的推移，數據元素不斷產生直至數據流結束。2)廣域性:數據元素屬性(維)的取值范圍非常大，并且可以取的值也非常多，如網絡節點、地域、手機號碼等。3)動態性:數據流中的數據實時、連續、有序到達，整個數據集呈現動態特征。4)實效性:數據一旦被處理，可能被丟棄或歸檔，無法實現多次處理，無法對數據任意訪問。

1．2數據流模型

基于數據流的網絡異常行為檢測，從流的角度，就是研究網絡節點之間的通訊模式，研究數據流征值的分布規律，不同的檢測方法需要構建不同的檢測模型，不同的數據流模型采用的算法不同。目前在數據流研究領域存在多種數據流模型，按照處理時所選取的時序范圍劃分，主要有滑動窗口模型、界標窗口模型和快照模型三種。滑動窗口模型:數據流上的滑動窗口是指數據流上設定的區間，滑動窗口的大小可以由窗口所包含的數據項的數量定義，也可以由時間區間定義，隨著數據的不斷到達，窗口內的數據不斷變換，新的數據不斷代替舊的數據。假設數據流按照時間戳的先后次序進入滑動窗口。用戶可以對數據執行插入、刪除操作，滑動窗口模型適用于僅對最近時間段的數據處理的情況。界標窗口模型:建立在滑動窗口模型之上［1］，處理的范圍為一個已知的時間點到當前時刻所包含的n個數據，其中0＜n≤N，n可以根據查詢的要求而變化，僅僅允許對數據執行插入操作。快照模型:操作限制在兩個預定義的時間戳之間［2］，表示為{as，…，ae}，其效率取決于時間戳以及數據量的大小，比較適合勻速到達的數據流。

2概要數據技術

為了有效處理數據流，需要建立遠小于數據集的數據結構，從而在有限的內存中對數據進行處理，應用概要數據技術可以生成比當前數據流小得多的數據結構(概要數據結構)，一般情況下，概要數據結構在大多的應用領域可以滿足實際需要，常用的概要數據技術有抽樣、Hash方法、直方圖和小波。

2．1抽樣

抽樣從整個數據集中抽取小部分數據來表征整個數據集，可以根據小數據集得到對總體數據的近似結果，是界標窗口模型和滑動窗口模型常用的概要數據技術。根據各個數據項被選中的概率是否一樣，抽樣方法可以分為均勻抽樣和偏移抽樣。伯努利和水庫抽樣是兩種經典均勻抽樣設計，伯努利抽樣用概率q∈(0，1］包含到達的數據元素，用概率1－q排除其他數據元素，取樣過程簡單、時間成本低。水庫抽樣中數據流中的數據以K/n的概率被選中，其中K為樣本集的大小，n是當前到達的元素序號，且n＞K，水庫抽樣適用于界標窗口模型，但對過期數據不能有效刪除，不適用于滑動窗口模型。鏈式抽樣是一種改進的水庫抽樣，能夠獲得整個滑動窗口上的一個樣本集，利用多個數據元組的“鏈”來處理過期數據。

2．2Hash方法

Hash方法基于降維技術，對到達的數據項在一組隨機向量上做投影，可以適用于多種數據流模型。Alon等人采用多組相互獨立的投影，取所有估值的中值作為最終估值，降低了誤差。

2．3直方圖

直方圖根據大數據集的分布將數據劃為多個連續的桶，每個桶都有一個數字代表其特征，因此直方圖能夠反映大數據集中數據值的分布情況，簡潔地表達大數據集的輪廓。根據桶內數據的分布情況，直方圖一般可分為等寬、變寬等類型。等寬直方圖中各個桶中包含的數據量較平均，能較好地模擬數據集，但是當某些數據項所占比例較大時，等寬直方圖則表示不夠準確，此時可以采用壓縮直方圖，壓縮直方圖單獨為活躍的元素創建桶，其他元素仍用等寬法。指數直方圖按照數據到達的次序構建桶，桶的數量按照不同的級別呈指數方式遞增，用于生成基于滑動窗口模型下的概要數據，但是指數直方圖只能處理滑動窗口中具有一元值和時間戳的數據。

2．4小波

小波分析把輸入的原始模擬信號，變換成一系列的小波參數，這些小波參數保留了原始數據的大部分特征，根據內存空間的大小選取頂端的n個高能量參數即可近似地還原原始數據信息。

3網絡異常行為檢測

網絡異常行為檢測目前主要有兩種途徑:網絡流量分析和網絡協議分析［3］。網絡流量分析檢測網絡異常的一般步驟是:采集流量信息、分析流量信息;建立正常行為流量模型;檢測網絡流量，發現異常行為。網絡協議分析檢測網絡異常的一般步驟是:分解網絡協議，提取特征參數，依據特征參數，檢測異常行為。網絡異常行為檢測的過程分為三個階段:數據預處理、概要信息提取、網絡異常模式發現。數據預處理的目標是提高網絡數據流的質量。網絡檢測中采集的數據可能含有噪聲、不完整或者不一致，必須對原始數據進行清洗，更正或刪除錯誤的、不一致的數據，糾正無效的、缺失的數據，規范數據格式，選取具有代表性的屬性，并對有關屬性進行合并和離散化處理。常見的網絡用戶行為發現模式有統計分析、分類、聚類等。統計分析一般通過分析會話文件，根據頁面瀏覽時間、導航路徑等，獲取不同的統計信息，如頻度、中值、均值等。統計分析方法可以實現對未知異常的檢測，但是誤報率高;分類是將一個數據項映射到預先給定的幾個類別中的某一個，利用歷史數據推導到給定數據的推廣描述，應用較為廣泛，主要包括神經網絡、貝葉斯網絡、決策樹等分類算法;聚類是將數據集分組成多個簇，同一簇中的數據相似度較高，不同簇中的數據差別較大，聚類廣泛應用在模式識別、趨勢分析、相似搜索等領域。

4校園網絡異常行為檢測

4．1校園網面臨的威脅

TCP/IP協議和網絡物理鏈路帶來的不安全是網絡常見網絡威脅，校園網除了面臨這些威脅外，還受到特殊的安全威脅———用戶濫用網絡資源［4］，如無節制通過BT、迅雷進行游戲、在線觀看視頻以及下載資源，導致網絡帶寬被部分人占用，不僅影響了他人的網速，而且造成網絡資源的浪費。濫用網絡資源將會表現出接收或者發送大量的數據包、對特定的IP地址請求的連接次數較多、對特定的IP地址發出有規律的連接請求等特征。因此，檢測校園網濫用網絡等異常行為，可以通過檢測網絡流量以及連接頻率來實現。

4．2網絡數據采集

數據采集一般使用采樣技術，通常基于時間或者基于數據包采集，網絡數據采集主要有基于sniffer流量、基于硬件探針、基于SNMP的流量以及基于Netflow的流量四種方法［5］。基于SNMP的流量采集方法部署簡單，采集程序定時取出路由器內存中的IPAccounting記錄，并清空相應的內存記錄，這影響到路由器的性能，取得的數據只包含口層的數據，沒有MAC地址信息，無法獲取細節的變化;基于Net-flow的流量采集方法配置簡單，可以獲得比SNMP更詳細的數據流信息，但是路由器或者交換機由于Net-flow功能的開啟，性能受到影響，會損失一些數據流的細節信息;基于sniffer流量和硬件探針的采集方法可以獲取較全面的數據流信息，但是采用硬件探針需要增加硬件成本，本文采用基于sniffer的流量采集方式。基于sniffer的采集有基于原始套節字的數據包和Winpcap開發包兩種方式，本文的數據采集使用Winpcap開發包。為了保證檢測數據的準確性和有效性，避免采集數據環節造成的漏檢，采用一種隨機可變時長的數據采集策略［5］。數據采集周期為時間間隔T，數據采集時長為t，其中0≤t≤T，隨機確定t在T中的位置，避免由固定的采集時間造成的異常漏檢，若發現了用戶異常行為，則增大t，若增大t之后，未發現異常行為，則減少t，直至到指定的初始值為止。校園網中的數據很多，但能夠反映網絡用戶行為的數據才是有價值的。目前的校園網絡一般都把用戶的IP地址與MAC地址捆綁，當用戶上網時，憑借MAC地址與IP地址的對應關系即找到該用戶的信息。檢測網絡異常行為主要通過檢測源IP的網絡流量、連接到同一目的IP的流量以及同一源IP、目的IP的連接頻率是否正常，考慮到校園網網絡異常網絡的實際情況，選取源IP地址、目標IP地址、網絡連接流量、連接開始時間和連接結束時間源IP地址連接頻率、目標IP地址連接頻率作為網絡行為的特征值，其中源IP地址連接頻率、目標IP地址連接頻率是屬于構造屬性，其他屬于原始屬性。

4．3網絡數據預處理

實際網絡中的數據流并不是一致的、完整的，它具有突發性，這樣的數據不宜直接用于后續處理，必須要進行預處理。數據預處理主要包括網絡行為屬性的選取和屬性值的合并以及離散化。根據校園網絡異常行為檢測的目標，采用K－means聚類算法填充缺失值。4．4概要信息獲取本文采用混合指數直方圖獲取概要數據信息。其中每一個指數直方圖被進一步劃分為基于時間的桶，這樣每個指數直方圖不僅與時間范圍聯系，而且與數據值的范圍也有聯系。對任意時刻到達的數據流增設權值wi，愈早到達的數據流wi愈大，而愈遲到達的數據流wi愈小;同時為每個活動直方圖增設平 均時間戳TAi和平均權值wAi。

(1)混合直方圖初始化。選擇初始滑動窗口內的數據，應用數據模型聚類并放在不同的桶內，每一個桶建立一個指數直方圖，桶內的數據按照時間戳和權值分類，每一個初始直方圖都是活動的。

(2)更新混合指數直方圖。①當新的數據到達時，更新所有的活動直方圖，并查看、判斷桶是否過期。②計算機活動直方圖在數值范圍內的數據項的個數，根據是否達到滑動窗口長度的極大值，若到達，則挑選合適的活動直方圖并處理，構建新的活動直方圖;若未到達，則將鄰接的活動直方圖合并整理，構建新的活動直方圖。其中判斷桶是否過期并進行刪除更新的策略如下:①沒有達到滑動窗口長度的極大值。計算每個活動窗口的平均時間戳TAi和平均權值wAi，比較所有直方圖的平均時間戳TAi和平均權值wAi，若存在平均權值wAi最大且平均時間戳TAi最小的桶則認為過期，刪除該桶;若不存在，則認為平均權值wAi最大的桶過期，刪除該桶。②達到滑動窗口長度的極大值。認為平均時間戳TAi最小的桶則過期，刪除該桶。

5結語