网络监测管理范文
时间:2023-06-06 11:01:29
网络监测管理范文第1篇
关键词:网络管理;网络流量;监测
中图分类号:TP
文献标识码:A
文章编号:1672-3198(2010)17-0348-01
1 网络流量的特征
1.1 数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
1.2 大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3 包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而,近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
1.4 网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
2.1 基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2.2 主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
2.3 在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
2.4 协议级分类
对于不同的协议,例如以太网(Ethernet)、帧中继(Frame Relay)、异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
3.1 基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
3.2 基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
3.3 基于SNMP的流量监测技术
基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。
网络监测管理范文第2篇
关键词:网络管理;网络流量;监测
Network Traffic Monitoring in Network Management
Wang Lei
(Hunan Women’s University,Changsha410004,China)
Abstract:This article study from the network traffic characteristics,internet traffic measurement,etc,so as to optimize some suggestions for traffic monitoring technologies.
Keywords:Network management;Network traffic;Monitoring
一、网络流量的特征
(一)数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
(二)大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。
(三)包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
(四)网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
二、网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
(一)基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
(二)主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
(三)在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
(四)协议级分类
对于不同的协议,例如以太网(Ethernet),帧中继(Frame Relay),异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
三、网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
(一)基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
(二)基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
(三)基于SNMP的流量监测技术
基于SNMP的流量信息采集,实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集一些具体设备及流量信息有关的变量。基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。在此基础上实现的流量信息采集效率和效果均能够满足网络流量监测的需求。
网络监测管理范文第3篇
关键词 网络管理;流量监测;方法;
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)69-0174-02
自人类进入21世纪以来,以计算机为基础的互联网技术在我们生活中各个领域得到了不同程度的应用。因此,对网络的管理工作为保证其稳定、良好的运行有着十分重要的意义。在网络管理中,对于用户的各种应用我们难以进行强制限制。由此也可能带来管理上的难题与安全隐患,比如由于病毒、木马或其它流量导致网络的拥塞。因而科学的网络规划时前提,但对网络上的各种流量进行长期的监测,也是保障网络正常稳定的运行重要举措。
1 进行网络流量监测的现实意义
所谓网络流量监测是指通过对网络数据的连续采集,从而对网络的流量情况进行了解与监视,它是网络管理中最基础的工作之一。对于网络监测所获取的网络流量数据进行统计与和计算,从而得到网络重要成分的性能指标。网络管理员就可以根据已存储网络的相关数据结合当前所获取的网络性能数据指标,通过分析了解网络性能变化趋势。了解网络运行情况,分析制约网络性能的瓶颈问题,从而为科学规划网络、优化网络设置,为解决网络故障采取及时有效的措施,提供了重要信息,有着重要的现实意义。
2 网络流量的特性分析
在经过对互联网通信流量的长期监测与测量,从现有的技术水平来说,我们把网络流量的主要特性归结为以下4个方面:
1)数据流双向和非对称性:即,从互联网上的应用来看,其实质就是数据的双向交换,因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的,上行和下载的流量并不相同,而是表现出非对称性的特点。
2)大部分TCP会话是短期的。在互联网通信中,从时间的角度来看,TCP会话时间只有数秒十分之短,这是由于会话中交换的数据量超过90%的比例都是小于10K字节的。从研究来看,一些不是短期的TCP对话(如文件传输),不过由于80%的WWW文档传输都小于10K字节,WWW的快速增长从而使得TCP会话时间也是十分短暂。
3)包的到达过程不是泊松过程。在过去较长的时间内,传统的排队理论以及通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而随着技术的进步,研究发现这种理论解释存在着不足,它难以精确地描述包的到达过程,人们开始从网络通信量模型展开研究,进而来丰富网络流量的理论原理。
4)网络流量体现出局域性。从现有技术应用特点来看,网络通信量表现出在时间和空间两个维度的局域性。这主要是从互联网流量中数据包的时间和目的地址上,从而表现显时间局域性和空间局域性的特性。
3 网络管理中网络流量监测的方法
在对互联网通信特性有了深入的了解以后,我们就可以采取相应的技术措施来对网络流量进行监测。从当前实践用用来看,习惯上我们把当对流量监测的方法归为主动测量和被动测量两大类,他们各自的优势与特点主要表现如下:
3.1主动测量
主动测量是基于端到端的测量,通过测量设备向被测网络注入一些以探测网络特征或网络流量负载等信息为目的的探测流,进而了解被测网络目前的运行状态和提供数据传输的能力。
从上述分析我们可以看到,在进行网络流量的主动测量,我们构建的网络测量系统应当由测量节点、中心服务器、中心数据库、分析服务器这四个部分构成。
从主动测量的实践应用来看,其优势体现在主动性、可控性、灵活性三个方面。即,在进行网络流量监测时是主动发送测量数据,同时这个操作过程可以灵活把握,因而可控制性也比较高。此外,主动测量也便于对端到端的性能能够开展直观的统计。
不过从测试过程我们也可以看出,由于是主动对网络进行注入流量,因此,我们所获取的结果与实际情况存在偏差是在所难免的,这就是主动测量的不足之处。
3.2被动监测
被动测量是一种分布式的网络监测技术的应用,其监测原理是对被测对象部署一定的监测点与网络设备,从而通过这些点与设备来获取网络流量的相关信息与数据。因此,这种监测它是在不改变原有网络流量的基础上进行的。通过诸多的被动监测的实践,也证明了这一点。
被动监测的优势不仅如此,并且相对前文分析中的主动测量来说,被动测量方式得到的网络数据与实际情况偏差更小一些。其缺点是被动测量是从单个设备或点实现相关信息的采集,这种实时采集往往信息数据量大,因此难以实现对网络端对端的性能分析,还为数据泄露等安全问题留下了隐患。但总体来说,被动测量的优点远大于其不足,因此被广泛用于测量和分析网络流量分布。
4 结论
以计算机为基础的现代信息技术成为了当前事(企)业单位的科研生产的重要平台,一方提高了工作效率,另一方面也加大了人们对网络的依赖和需求,因此加强网络流量监测工作十分重要。本文对网络管理中的流量监测问题进行了阐述,并根据其中存在的问题进行总结与归纳,以对其进行改善和提高。这需要我们广大从事信息技术的工作者与管理员提高业务水平,加强对相关技术的研发与探索,创新管理手段,以促进网络的良好稳定运行。
参考文献
[1]李方敏,严华宇,金运清.基于IXP2400的流量监控技术研究[J].武汉理工大学学报(信息与管理工程版), 2007(10).
网络监测管理范文第4篇
关键词:网络流量;监测技术;具体应用
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
随着网络规模的日益扩大和网络结构的日益复杂,导致计算机网络管理的难度越来越大,相应的要求也变得越来越高。各种网络活动都离不开网络流量,网络流量作为网络用户活动的主要载体,发挥着较为重要的作用。通过监测分析网络流量,可以完成容量规划、链路状态监测、异常监测、网络性能分析等,对于计算机网络的维护和运行都能够发挥重要作用。如netcounter是一款简单易用的网络流量监控软件。它可以分别显示手机网络和wifi当天、本周、本月和所有时间的流量统计。本文就计算机网络管理中网络流量监测进行研究。
1 网络流量的特征
1.1 大部分TCP会话是短期的。对于TCP会话而言,超过90%的会话时间都不会超过几秒,交换数据量一般都在5-10K字节,很少有能够10K字节的。虽然远程登陆和文件传输之类的TCP会话是长期的,但是百分之八十多的WWW文档传输大小都是小于10K字节,而目前这种WWW文档传输大幅度增加,从而导致大部分TCP会话是短期的。
1.2 数据流是双向的,但通常是非对称的。对于计算机网络而言,大部分互联网应用都不采用单向交换,而是双向交换数据,所以,网络流量也自然都是双向的。但通常这两个方向的数据率存在很大的差异,主要原因就在于:网站到客户端的数据量会由于网站下载而比客户端到网站的数据量多。
1.3 网络通信量具有局域性。对于网络流量而言,一般都包括两种局域性,分别是空间局域性和时间局域性。用户通过互联网应用层来对网络进行访问,主要是在包的目的地址和时间上进行体现,从而显示出空间局域性(基于空间相关)和时间局域性(基于时间相关)。
1.4 包的到达过程不是泊松过程。按照传统的通信网络设计和排队理论都假设泊松过程就是包的到达过程,也就是说,包到达的间断时间的分布是独立的指数分布。
例如电话、交通事故、地震等事件都是独立地、按照一定的概率来发生的,这也就是泊松到达过程。但是根据近年来测量互联网络通信量的显示结果表明,泊松过程已经不再是包到达的过程。包的到达具有有突发性,在很多时候都会有多个包连续到达,包到达的间断时间不是独立分布的,同时也不服从指数分布。包的到达过程已经不能被泊松过程来精确描述。造成这样的原因部分在于数据传输所使用的协议。这种非泊松结构使得人们在研究网络的可靠性时不再采用简单的泊松模型,从而使得网络通信量模型的研究大大促进。
2 计算机网络管理中网络流量监测的方法
在深入了解互联网通信特性之后,我们在监测网络流量的时候就可以采取相应的技术措施。从目前的实践经验来看,计算机网络管理中网络流量监测的方法主要有两种,分别是被动测量和主动测量。
2.1 主动测量。主动测量的工作原理就是通过测量设备来测量端到端的网络流量和网络特征,进而了解被测网络当前提供数据传输的能力和具体的运行状态。在主动测量网络流量的过程中,网络测量系统应当由四个部分构成,分别是分析服务器、中心数据库、中心服务器、测量节点。
主动测量网络流量的最大优点就在于三个方面,分别是灵活性、可控性、主动性都较好,而且还能够直观地统计端到端的性能。但是主动测量网络流量的方法也存在着不足之处,那就是实际情况与我们所获得的结果存在着一定的偏差,主要原因在于主动测量是主动对网络注入流量。
2.2 被动监测。被动测量其监测原理是通过部署一定的网络设备和监测点来被动地获取网络流量的数据和相关信息,这是一种典型的分布式网络监测技术。被动监测恰恰弥补了主动监测的缺点和不足,它不会对原有网络流量进行改变,自然也就不会如主动监测一样造成这样大的偏差,实践也证明了这一点。但是被动监测也存在着自身的不足,主要就是它采集数据和相关信息是从单个点或设备进行的,这种实时采集的方式很有可能会泄露数据,也很难有效分析网络端对端的性能看,采集信息数据量过大,但是总的来说,被动测量的优点是占主导地位的,所以被动测量比主动测量应用更为广泛,正在被大量地应用在对网络流量分布进行分析和测量中。
3 网络流量监测技术的具体应用
3.1 为网络出口互联链路的设置提供决策支持。通过有效地分析网络出口流向和流量,能够有效地掌握网络内部用户对于网络的访问情况,从而可以有效的决策,减少互联链路中的浪费现象,有效地节约开支。同时,通过网络流量监测与分析,能够为各种网络优化措施,如路由选择、重要链路带宽设置、多出口流量负载均衡等提供正确的数据依据。
3.2 网络流量监测可以对网络运行商提供大客户统计分析和重要应用的统计分析。通过对这些流量进行统计分析,可以有效地分析网络带宽成本,有助于在网络成本和网络服务质量二者之间取得最佳平衡点,既让大客户满意,又能够让网络运行商有较好的盈利。同时,通过监控分析大客户接入电路上的流量,能够有效地统计出通信数据量、通信时间、服务等级、业务类型等多个参数,为基于服务等级协议(SLA)和IP的计费应用的校验服务提供正确的数据依据。
3.3 通过对各个分支网络出入流量的监控,分析流量的大小、方向及内容组成,了解各分支网络占用带宽的情况,从而反映其占用的网络成本,作出价值评估。
3.4 掌握网络内部用户对其他运营商的网络访问情况。通过监控网络内部用户对其他运营商的网络访问情况,可以有效地掌握用户对于那些网站有兴趣,也可以准确地分析网络内部用户访问外网主要流量方向及业务特点,根据分析结果来有的放矢,找到广大网络用户感兴趣的热点信息,然后对自己的网络内容进行相应的补充和建设,减轻用户流失。同时,长期监控一些特定网络流量,有助于网络流量模型被网络管理人员所了解、所掌握,网络管理人员可以通过所掌握的基准数据来对网络使用状况进行正确的分析,在网络安全存在隐患的时候就能够及时异常警讯,采取相应的防御措施,从而使得整个网络的整体效能和整体质量都得到大幅度的提升。
4 结语
随着网络流量监测技术的完善,必将为提高计算机网络管理的管理水平和服务质量发挥更为重要的作用。
[基金项目]吉林省教育厅“十二五”科学技术研究(吉教科[2012]381);吉林省教育厅“十二五”科学技术研究(吉教科[2011]397)。
网络监测管理范文第5篇
[关键词]网络安全、木马僵尸
中图分类号:TP 文献标识码:A 文章编号:1009-914X(2014)31-0374-01
一、背景
工信部保[2009]157号《木马和僵尸网络监测与处置机制》指出,木马是指由攻击者安装在受害者计算机上秘密运行并用于窃取信息及远程控制的程序。僵尸网络是指由攻击者通过控制服务器控制受害计算集群。木马和僵尸网络通常都包括控制端和被控端两部分。木马和僵尸网络是造成个人隐私泄露、泄密、垃圾邮件和大规模拒绝服务攻击的重要原因。2009年2月,一款名为“猫藓”的恶性木马下载器在我国境内大肆传播,感染了数百万台主机。该病毒通过下载一些热门网游、QQ以及网上银行的盗号木马,盗窃用户网游及网上银行的账号和密码,对互联网个人隐私和财产造成严重危害。木马和僵尸网络的存在不仅侵害了用户利益,造成经济损失和用户隐私信息泄露,并且严重威胁运营商网络安全稳定和日常业务开展,严重影响了企业的品牌形象。因此,在日常网络运行维护管理和定期的自检自查中加强对木马的监测与评估,防止木马窃取敏感信息,保护重要数据,不仅成为当前信息网络安全监管或维护部门的重中之重,也应该成为运营商的首要任务。
二、系统建设必要性
根据工信部保[2009]157号《木马和僵尸网络监测与处置机制》,国家计算机网络应急技术处理协调中心(以下简称CNCERT)受工业和信息化部委托,负责对木马和僵尸网络进行检测、分析、通报,协调处置传播服务器、控制服务器和攻击源。
2.1CNCERT对木马和僵尸网络的监测和通报
1、CNCERT、基础电信运营企业负责对木马和僵尸网络进行监测。
2、基础电信运营企业按照本机制第七条对监测到的事件进行分级,特别重大、重大、较大事件应在发现后2小时内报送通信保障局,同时抄报CNCERT;一般事件应在发现后5个工作日内报送CNCERT。报送内容包括:控制端IP地址、端口、发现时间及其使用的恶意域名。
3、CNCERT汇总自主监测、基础电信运营企业报送和从其他渠道收集的事件,进行综合分析、分级。对于特别重大、重大、较大事件,CNCERT应在2小时内向通信保障局报告,并及时通报相关通信管理局。通信保障局认为必要时,组织有关单位和专家进行研判。事件情况及研判结果由通信保障局直接或委托
CNCERT通报相关单位。对于一般事件,CNCERT应在发现后5个工作日内通报相关单位。事件通报内容包括:
(1)威胁较大的木马和僵尸网络IP地址、端口、发现时间、所属基础电信运营企业。
(2)木马和僵尸网络使用的恶意域名。
(3)木马和僵尸网络的规模和潜在危害。
2.2对木马和僵尸网络的处置和反馈
基础电信运营企业、互联网域名注册管理机构、互联网域名注册服务机构接到CNCERT木马和僵尸网络事件通报后,应按如下流程处理:
1、通知与木马和僵尸网络IP地址和恶意域名相关的具体用户进行清除,并跟踪用户处置情况。对于域名注册信息不真实、不准确、不完整的,互联网域名注册管理机构、互联网域名注册服务机构根据《中国互联网域名管理办法》有关规定进行处置。
2、反馈用户的处置情况。特别重大、重大、较大事件的处置情况应在接到事件通报后4小时内向CNCERT反馈,一般事件的处置情况应在5个工作日内向CNCERT反馈。反馈内容包括:用户已处置的IP地址和恶意域名、单位名称、用户未处置的IP地址和恶意域名及未处置的原因。
3、监测单位验证处置情况:
(1)对于CNCERT自主监测的事件,由CNCERT对处置情况进行验证。特别重大、重大、较大事件应在接到处置单位反馈后2小时内向处置单位反馈验证结果,
一般事件应在5个工作日内反馈验证结果。
(2)对于基础电信运营企业监测到的事件由基础电信运营企业自行验证。特别重大、重大、较大事件应在接到CNCERT事件通报后6小时内向CNCERT反馈
验证结果,一般事件应在10个工作日内向CNCERT反馈验证结果。
4、对于未处置或经验证仍存在恶意连接的木马和僵尸网络IP地址和恶意域名,按如下方式处置:对于重要信息系统单位,向通信保障局反馈用户相关情况,抄报CNCERT,由通信保障局或当地通信管理局书面通知其主管部门。对于其他单位用户和个人用户,应依据与用户签署的服务协议、合同等进行处置。
5、对于特别重大、重大、较大事件的处置情况,CNCERT应在接到处置单位反馈后2小时内向通信保障局和相关通信管理局反馈处置结果,一般事件处置情况由CNCERT每月汇总,按照互联网网络安全信息通报有关办法通报监测和处置情况。
三、系统建设目的和原则
3.1系统建设目的
通过木马和僵尸网络监控系统建设,逐步实现对互联网中木马和僵尸网络的实时监测预警、趋势分析等,具备覆盖互联网内的木马和僵尸网络监测能力。
3.2系统建设原则
木马和僵尸网络防治系统的建设采用统一规划、集中部署、逐步推进的原则,实现对全网的集中分析和处置。具体来说,系统建设包括如下要求:
(1)先进性
木马和僵尸网络防治系统在技术构架、选用技术标准方面,应该充分考虑技术和方案的先进性。
(2)安全性
木马和僵尸网络防治系统对中国电信互联网安全起到至关重要的作用,其建设和维护必须考虑系统自身的安全性。
(3)开放性木马和僵尸网络防治系统必须采用功能模块化、接口开放化的策略。
(4)高可靠性
木马和僵尸网络防治系统在规划和建设中必须考虑高可靠性。
(5)可扩展性
木马和僵尸网络防治系统的建设需充分考虑在结构、容量、通信能力、产品升级、处理能力、数据库、软件开发等方面具备良好的可扩展性和灵活性。
(6)快速开发,易于维护
木马和僵尸网络防治系统的建设应易于实施和维护,具有高品质、高效率、高扩展性与高重用性。
(7)分阶段逐步建设
木马和僵尸网络防治系统是个系统性、长期性的工程,分阶段逐步建设,初期部分检测,后期根据检测效果及防治需要,可逐步实现全部流量检测。
四、系统架构
木马和僵尸网络防治系统可采取两级建设,第一级在集团总部建设集中管理平台,同时,根据各省的具体情况,在各省建设相应的监测分析模块,两级之间通过IP网络进行连接。其中,集中管理平台实现策略的统一管理和、资源的集中调度;各省的监测模块通过对各省的恶意代码事件进行有效的监测,从而对各省的木马和僵尸网络恶意事件进行监测。在各省省出口链路侧部署分光器,以实现对原始流量数据的采集。原始流量数据经由监测分析模块处理后,监测分析模块将病毒样本以及日志文件通过骨干路由器、CN2上传至集团的集中管理平台。集中管理平台建设方案。本次工程在集团建设一个木马和僵尸网络监测系统集中管理平台,负责对收集省份的恶意事件统计数据,同时负责与CNCERT平台的接口,保存病毒库以及日常的分析报表数据。新建的集中管理平台与省里设置的监测分析模块通过CN2进行互联。
作者简介
网络监测管理范文第6篇
自人类进入21世纪以来,以计算机为基础的互联网技术在我们生活中各个领域得到了不同程度的应用。因此,对网络的管理工作为保证其稳定、良好的运行有着十分重要的意义。在网络管理中,对于用户的各种应用我们难以进行强制限制。由此也可能带来管理上的难题与安全隐患,比如由于病毒、木马或其它流量导致网络的拥塞。因而科学的网络规划时前提,但对网络上的各种流量进行长期的监测,也是保障网络正常稳定的运行重要举措。 1进行网络流量监测的现实意义 所谓网络流量监测是指通过对网络数据的连续采集,从而对网络的流量情况进行了解与监视,它是网络管理中最基础的工作之一。对于网络监测所获取的网络流量数据进行统计与和计算,从而得到网络重要成分的性能指标。网络管理员就可以根据已存储网络的相关数据结合当前所获取的网络性能数据指标,通过分析了解网络性能变化趋势。了解网络运行情况,分析制约网络性能的瓶颈问题,从而为科学规划网络、优化网络设置,为解决网络故障采取及时有效的措施,提供了重要信息,有着重要的现实意义。 2网络流量的特性分析 在经过对互联网通信流量的长期监测与测量,从现有的技术水平来说,我们把网络流量的主要特性归结为以下4个方面: 1)数据流双向和非对称性:即,从互联网上的应用来看,其实质就是数据的双向交换,因此网络流量体现出双向性的特点;但同时这种双向的数据交流并非是对等的,上行和下载的流量并不相同,而是表现出非对称性的特点。 2)大部分TCP会话是短期的。在互联网通信中,从时间的角度来看,TCP会话时间只有数秒十分之短,这是由于会话中交换的数据量超过90%的比例都是小于10K字节的。从研究来看,一些不是短期的TCP对话(如文件传输),不过由于80%的WWW文档传输都小于10K字节,WWW的快速增长从而使得TCP会话时间也是十分短暂。 3)包的到达过程不是泊松过程。在过去较长的时间内,传统的排队理论以及通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。然而随着技术的进步,研究发现这种理论解释存在着不足,它难以精确地描述包的到达过程,人们开始从网络通信量模型展开研究,进而来丰富网络流量的理论原理。 4)网络流量体现出局域性。从现有技术应用特点来看,网络通信量表现出在时间和空间两个维度的局域性。这主要是从互联网流量中数据包的时间和目的地址上,从而表现显时间局域性和空间局域性的特性。 3网络管理中网络流量监测的方法 在对互联网通信特性有了深入的了解以后,我们就可以采取相应的技术措施来对网络流量进行监测。从当前实践用用来看,习惯上我们把当对流量监测的方法归为主动测量和被动测量两大类,他们各自的优势与特点主要表现如下: 3.1主动测量 主动测量是基于端到端的测量,通过测量设备向被测网络注入一些以探测网络特征或网络流量负载等信息为目的的探测流,进而了解被测网络目前的运行状态和提供数据传输的能力。从上述分析我们可以看到,在进行网络流量的主动测量,我们构建的网络测量系统应当由测量节点、中心服务器、中心数据库、分析服务器这四个部分构成。从主动测量的实践应用来看,其优势体现在主动性、可控性、灵活性三个方面。即,在进行网络流量监测时是主动发送测量数据,同时这个操作过程可以灵活把握,因而可控制性也比较高。此外,主动测量也便于对端到端的性能能够开展直观的统计。不过从测试过程我们也可以看出,由于是主动对网络进行注入流量,因此,我们所获取的结果与实际情况存在偏差是在所难免的,这就是主动测量的不足之处。 3.2被动监测 被动测量是一种分布式的网络监测技术的应用,其监测原理是对被测对象部署一定的监测点与网络设备,从而通过这些点与设备来获取网络流量的相关信息与数据。因此,这种监测它是在不改变原有网络流量的基础上进行的。通过诸多的被动监测的实践,也证明了这一点。被动监测的优势不仅如此,并且相对前文分析中的主动测量来说,被动测量方式得到的网络数据与实际情况偏差更小一些。其缺点是被动测量是从单个设备或点实现相关信息的采集,这种实时采集往往信息数据量大,因此难以实现对网络端对端的性能分析,还为数据泄露等安全问题留下了隐患。但总体来说,被动测量的优点远大于其不足,因此被广泛用于测量和分析网络流量分布。 4结论 以计算机为基础的现代信息技术成为了当前事(企)业单位的科研生产的重要平台,一方提高了工作效率,另一方面也加大了人们对网络的依赖和需求,因此加强网络流量监测工作十分重要。本文对网络管理中的流量监测问题进行了阐述,并根据其中存在的问题进行总结与归纳,以对其进行改善和提高。这需要我们广大从事信息技术的工作者与管理员提高业务水平,加强对相关技术的研发与探索,创新管理手段,以促进网络的良好稳定运行。
网络监测管理范文第7篇
【关键词】光缆,监测,网络管理
【中图分类号】 TN915.07【文献标识码】 A【文章编号】1672-5158(2013)07-0020-02
1.引言
随着网络技术的飞速发展,人们对带宽的需求也迅猛增长,因此容量大、抗干扰能力强的光纤通信技术得到了越来越广泛地应用。但随之而来的,光缆故障在通信故障中所占的比例也逐年提高,使用传统的人工巡线方式,显然不能有效预防故障发生,故障产生后也很难及时排除,因此越来越多的运维单位开始重视对光缆故障的有效监测[1]。
目前部分外国光通信设备提供商已开始提供一些较为成熟的光纤在线监测系统解决方案,但这些系统往往价格昂贵,引进成本极高,而且用户后期维护升级也带来不少困难。因此各运维单位急需一套能适合其线路维护需求、使用方便、维护简单、成本相对较低的光缆监测系统。
2.常见监测模式
2.1在线监测
在线监测是采用波分复用技术,通过波分复用器、滤光器以及光开关等器件来实现对工作中的光纤的运行状态进行监测。光传输设备发出的1550nm的工作光首先发送到光功率检测单元,然后通过分光器把光源发出的工作光分出百分之三输入到告警监测模块,从而实时反映出光纤的传输特性,并能及时掌握传输质量的变化[2]。
这种监测方式能够准确反映被监测光纤的状态,但由于与通信光源使用的是同一根光纤,并且引入了WDM和FILTER等器件,因此整个系统的可靠性会有所降低,但会使成本有所提高。
2.2备纤监测
备纤监测是利用光缆中富余的光纤实施监测,因为备纤上没有光信号,若要实时监测光功率必须提供光源,给测试备纤提供光信号;光源可以采用光端机富余的光源模块,也可以使用专门的光源设备[2]。这种方式由于不需要介入正在运行的设备和线路,因此其可靠性较高,成本较低;但由于测试的是备纤,因此并不能完全反映在线光纤的真实状态。
2.3跨段监测
一般OTDR的测试距离在100km左右,而实际的光缆传输网络结构十分复杂,比如市话网,两局间距离一般不超过20km,并且相互串接等等。而OTDR是比较昂贵的激光发生和后向散射光分析器件,为了充分利用其长距离测试性能,可以在设计上利用WDM进行跨段连接[3]。
3.设计思路
一套完整的光缆监测管理系统,应该能对通信网中每一条光缆都能实时监控,对于各种故障信息应进行相应的故障等级分类,发生故障时在监控中心屏幕上发出声光报警,并在电子地图上突出显示故障点的具置,同时自动呼叫值班电话或给执勤人员发送短信,进而由监控中心通知维护人员立即排除故障。采用该系统能大大地压缩故障持续时间,预报线路隐患,分析网络性能,为上级管理部门提供决策依据。
由于该系统的受众对象较少,使用人员一般都具备较专业的计算机、网络知识,因此系统软件考虑采用C/S架构,其中监测中心端即Server端主要完成数据的处理、存储、下发以及管理辖区内所有监测站;而各监测站即Client端主要完成数据的采集及其他简单命令,各站点按照监测中心所设置的监测模式、监测周期等控制指令运行,可实现实时监测、定时监测以及人工监测等各类监测需求。
4.功能设计
系统主要分即监测中心端和各监测站点端两部分:
4.1监测中心功能
监控中心功能模块划分如图1所示:
(1)地理信息显示功能:以图形化操作方式,在电子地图上按光缆级别分层显示各类线路信息,突出显示故障点位置和告警段光缆,可对图上元素进行查询、编辑等操作。
(2)故障告警功能:光缆发生故障时,光功率监测单元能够及时、精确定位故障点位置,远端监测站点启动OTDR对告警光纤进行测试并将测试结果上报监测中心,监测中心在收到远端监测站点上传的测试数据后,及时完成故障分析,精确定位故障点位置,并自动记录故障的发生时间及简要故障情况,发出本地及远程告警,通知值班室并打印故障通知单。
(3)数据处理、存储和下发功能:接收各监测站点上传的光功率超限报警、OTDR测试曲线,并对这些数据进行汇总处理、保存,并将产生报警的光功率数据存入数据库供今后分析使用。
(4)网元管理功能:支持对各类网元的详细信息可视化显示,即在网络管理拓扑图中,这些对象只是用简单的图标来表示,而把其整个复杂结构隐藏起来,同时准确反映出各网元的相关属性。
(5)系统管理功能:包括用户管理、日志管理以及数据的备份与恢复:
①用户登陆系统需要输入正确的用户名及密码,密码在数据库中采用密文存储;考虑到系统用户的需求及系统安全,系统将置用户级别,不同等级的用户拥有不同的操作权限,普通用户只拥有浏览的权限,操作员可以进行网元管理,超级管理员用户才具有系统全部权限。②日志管理主要是记录用户登陆后所进行的所有操作,以便系统管理员掌握系统的使用情况。③数据的备份与恢复主要是提供对系统数据进行定期自动备份或由管理员手动备份,用户可选择数据库完全备份和增量备份的方式。
4.2监测站点功能
监测站点包括远程终端控制单元、OTDR模块、光功率监测模块以及光开关模块。
监测站点的主要功能及部分指标如下:
(1) 远程控制功能:该功能通过远程控制单元实现,可接收来自监测中心的控制指令,执行参数配置、线路测试等操作。
(2)光功率采集功能:通过光功率采集单元获取光功率数据,并分析判断光缆状态,若数值超过预设门限值则进行告警并启动OTDR进行线路测试。一个光功率单元最多可同时采集32路光功率数据,对0.5db~5db的光功率实现三级门限预警,采集速率可调,告警门限也可更改。
(3)故障定位功能:能对大于0.05db的光功率变化进行精确定位,分辨精度可达米级。
(4)告警监测、上报功能:若采集到的光功率变化超过预设门限,远程控制单元将通过OTDR自带的接口程序实现对OTDR的控制,包括测试启动、数据接收等;测试完成后,初步判断故障原因和类型并进行故障定位,同时向监测中心上传告警数据,并自动拨打值班电话或发送短消息通知值班人员。
(5)受控测试功能:各站点按预设周期定时采集光功率数据,分析光纤运行情况,建立光纤特性档案,并与参考曲线进行比对,提前发现潜在的故障点。
(6)系统自检功能:监测中心按预设周期定期对监测站点
的软硬件情况及网络连接情况进行自检,若发现有软件故障可远程复位或远程升级,若发现硬件故障则向用户发出设备故障告警。
5.总结
本系统能够对光纤网络的运行情况进行实时自动监测,方便了运维信息的管理以及运行参数配置,能够对线路故障实现快速定位,并根据OTDR提供的测试曲线给出测试结果并进行定量分析,通过GIS地图可以直观地展示网络拓扑结构以及故障点位置。但系统仍存在一些问题有待解决,比如突发大量告警的应对以及系统长时间运行后海量数据的处理等,这些都需要我们在今后的运维工作实践中逐步寻求解决方法。
参考文献
[1] 张引发、王宏科、邓小鹏,光缆线路工程设计施工与维护,2002. 8
[2] 尹婧,光缆监测系统的三种监测方式.山东通信技术2001.4