浅谈IP网络流量分析

【摘要】随着互联网技术的迅速发展，网络覆盖的范围越来越广泛，人们的工作、生活也越来越离不开网络，各种网络业务的应用也得到了普及，网络流量分析技术也取得了长足的进步，本文通过网络流量分析方法的研究，对网络流量分析的特点﹑属性及工作原理来分析，并且阐述IP网络流量分析的重要性以及应用性。

【关键词】IP网络流量分析；互联网；技术的应用

网络流量分析是一个有助于网络管理者进行网络优化、网络监控、流量趋势分析等工作的工具，进而挖掘网络资源潜力，控制网络互联成本，并为网络规划、优化调整和业务发展提供基础依据，企业需要及时了解到网络中承载的业务，及时掌握网络流量特征，及时解决网络性能问题。从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时了解网络运行状况，及时清楚网内应用的执行情况。随着网络的发展，流量分析工作将在网络管理中起到越来越重要的作用。

1.网络流量分析方法

网络流量是单位时间内通过网络设备或传输介质的信息量。网络流量分析根据不同的方法可以从不同的侧面展开，目前，主要的分析方法有流量的统计分析和流量的粒度分析等。

1.1 网络流量的统计分析

（1）基于软件的流量统计

这种统计分析一般通过修改安装于主机上的操作系统的网络接口模块，使之具有捕获数据包的功能，以实现流量信息的收集和分析。基于硬件的流量统计效率很高，专用性强，但是价格昂贵对人员要求高，而基于软件的流量统计有价格便宜，实现灵活，扩展性强的优点，但其性能要低于基于硬件的统计技术。因此，流量统计方法有待进一步的提高，以适应网络快速发展的需求。

（2）基于硬件的流量统计

此类分析通常采用硬件测量设备，是一种为特定目的设计的用于收藏和分析流量数据的硬件设备。

1.2 网络流量的粒度分析

网络流量行为特征的分析还可以在不同测量粒度或者不同的层面上展开。

比特级（Bit-level）的流量分析，这种分析主要关注网络流量的数据特征，如网络线路的传输速率，吞吐量的变化等等。

分组级（Packet-level）的流量分析，此类分析主要关注的是IP分组的到达过程、延迟、抖动和丢包率等。

流级（Flow-level）的流量分析，Flow的划分主要依据地址和应用协议而展开的，它主要关注流的到达过程、到达间隔及其局部的特征。

上面流量的粒度由小到大递增，时间尺度也逐渐增大，不同时间尺度网络流量往往表现出不同的行为规律。通常，网络设备本身都提供基于IP分组头的分析功能，因此，Flow-level的流量分析成为发展趋势。

2.网络流量分析常用技术

随着计算机技术的发展，网络流量分析技术也与时俱进。既有传统的数据库的网络管理技术，也有面向开放式互联网的网络分析技术。目前，在网络流量分析中占据主流的常用分析技术主要有：

2.1 RMON技术

RMON（远程监控），是由IETF定义的一种远程监控标准，RMON是对SNMP标准的扩展，它定义了标准功能以及网管站和远程监控器之间的接口，实现对一个网段乃至整个网络的数据流量的监视功能。RMON监控器叮用两种方法收集数据：一种是通过专用的RMON探针（Probe），流量探针安装方便，但是流量探针价格昂贵，不适合大面积部署。另一种方法是将RMON直接植入网络设备（路由器、交换机、HUB等），但这种方式受网络设备资源限制，一般不能获取RMONMIB的所有数据，大多数只收集统计量、历史、告警、事件等四个组的信息。

2.2 SNMP技术

SNMP是用标准化方法定义的，通常一个标准的网管系统包括三个组成部分：SNMP协议，这包括理解SNMP操作、SNMP消息的格式以及如何在应用程序和设备之间交换信息；管理信息结构，它是用于指定一个设备维护的管理信息的规则集；管理信息库，它是设备所维护的全部被管理对象的结构集合。基于SNMP的流量分析就是通过SNMP协议访问设备获取MIB库中的端口流量信息，典型工具有MRTG，MRTG是一个使用的免费软件，通过SNMP协议从设备得到流量信息，将流量负载情况绘制成PNG格式图片，并以WEB形式显示给用户。由于M RTG使用起来很方便，能够直观显示端口流量负载，所以是各类网管人员常用的网络监视工具。但MRTG的功能比较单一，其收集到的流量信息仅是简单的端口出、入流量统计信息，不能深入分析包的类型、流向等信息。

2.3 s Flow技术

s Flow是由InMon﹑HP和Foundry Networks于2001年联合开发的一种网络监测技术，它采用数据流随机采样技术，可提供完整的第一层到第四层，甚至全网络范围内的流量信息，可以适应超大网络流量（如人于10Gbit/s）环境下的流量分析，让用户详细、实时地分析网络传输流的性能、趋势和存在的问题。sFlow技术有很多优点：成本低廉；在不断发展升级当中，能在没有消耗额外资源的环境监测万兆网络，不会带来新的网络冲突；有自己的一套准确可靠的计量方式；数据信息量人。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使实现而向每一个端口的全企业网络监视解决方案成为可能。

3.网络流量分析技术的应用

网络流量分析起着一个衔接的作用，主要利用网络流量测量部分收集到的各种流量信息，通过运用不同的方法对其进行分析和建模，以发现流量的特性，对网络性能做出客观的评价，并以此作为对网络进行控制和优化的依据。网络流量分析技术的应用主要包括以下儿个方面：

3.1 实施安全预警

网络流量异常会严重影响网络性能，造成网络拥塞，严重的甚至会网络中断，使网络设备利用率达到100%无法响应进一步的指令。通过对网络内流量的实时分析，有助于及时发现网络中出现的异常流量，迅速分析出异常流量的具体属性，并向网络管理者进行告警，判断是否出现了入侵，并按照事先拟定的规则集进行处理，记录异常情况发生时的详细网络状况，使入侵得到及时发现和处理。

3.2 分析用户行为

根据分析结果，进行相应网络内容的建设！将用户感兴趣的热点信息内容放到内部网络，减轻互联链路的压力。

3.3 节省运营费用

通过对网络出口流量和流向的分析，可以统计出业务类型、服务等级、通信时间和时长、通信数据量等参数，可以详细了解网络内部用户对其他外部网络的访问情况，为基于IP的计费应用和SLA的校验服务提供数据依据，从而有效地选择与其他运营商的互联方式，节省费用。

3.4 优化网络结构

通过对网络中一些特定流量的长期监控，获得网络流量数据后对其进行统计和计算。从而得到网络及其主要成分的性能指标，定期形成性能报表，并维护网络流量数据库或日志存储网络及其主要成分的性能的历史数据，可供网管人员正确分析网络使用状况，对网络及其主要成分的性能进行性能管理。通过数据分析获得性能的变化趋势，分析制约网络性能的瓶颈问题。

3.5 评估网络价

通过对各个分支网络出入流量的监控，分析流量的大小﹑去向及内容组成，了解各分支网络占用带宽的情况。从而反映其占用的网络成本，也可以了解其业务开展情况，并作出价值评估。

3.6 确定重点客户

通过对重要应用和大客户的流量进行统计分析。掌握重要应用和大客户的流量状况，进行网络带宽的成本分析。有助于在网络服务质量和网络成本之间取得最佳平衡。

4.网络流量分析的重要性

相对于网络管理人员来说，理解用户的网络行为网络流量的内容是网络管理的重要内容，它为日常网络管理﹑容量规划与未来网络升级等提供重要依据，通过网络流量分析，可以提供大量详尽的数据，供网管人员从很多方面进行更好地维护﹑优化网络，并且提升网络的性能；同时还能为业务应用层面提供数据依据，为特定客户提供流量分析服务。比如网站流量统计分析等；也可作为网络安全的辅助手段，处理网络病毒等异常事件。在病毒分析时，网络管理员需要知道哪些端口发送的数据发生了较大变化，因此，对网络流量的分析可以为网络的运行和维护提供重要信息和深层次的管理功能，很好地发挥网络管理作用。对于网络性能分析﹑异常监测﹑链路状态监测﹑容量规划等发挥着重要作用。为网络发展和网络优化提供更优质﹑更有效的技术支撑和技术服务，可以预见，随着网络的发展，流量分析工作将在网络管理中起到越来越重要的作用。

参考文献

[1]李万鹏.网络流量控制及流量分析[D].北京邮电大学，2011.

[2]童行行.基于机器学习的网络流量分析研究[D].清华大学，2005.

[3]林平.网络流量的离线分析[D].北京邮电大学，2010.