对互联网流量分析技术研究 李炎东 张 影(中国联合网络通信有限公司邢台市分公司,河北邢台05400 ̄ 网络地带・ 摘 要:随着硬件设施的提高,电子计算机技术的进步,互联网得到了快速的普及,互联网几乎覆盖了各行各业 互联网业务越来越多,承 载的业务量也是呈爆发式发展,这时就需要我们对互联网流量进行准确科学的测量和深入分析研究,制定科学的技术支持,拓展互联网应 用潜力,缩减互联网流量成本。本文就此问题展开讨论,首先对我国目前的互联网流量应用的分析技术现状进行了深入分析,接着深入探讨 了具体的技术解决方案。 关键词:互联网;流量分析;技术研究 我国的互联网业务发展特别快速,并且规模也在迅速发 正常基线作比较,迅速准确的判断它是不是互联网恶意攻击, 展,涉及的行业也越来越多,结构也日趋繁杂,互联网流量快速 并明确这种攻击的类型,并对这次攻击所带来的危害结果以及 增多,在这种形式下必须有一个科学高效的互联网业务流量监 对互联网形成的影响范围进行大致的确定,并根据攻击的形式 测系统来对整个互联网上承载的各项业务来实行准确实时的 流量与流向监控分析,从而进一步开发互联网的资源潜力,缩 减互联网的流量成本,且为互联网优化整合,详细规划和业务 拓展给以基础支持。 1互联网流量分析技术的应用及现状 1.1为互联网出口互联链路的设置提供决策支持 经过长期对互联网的出口流量以及流向的分析研究,能够 看出互联网的内部用户和其他一些外部互联网的访问情况,这 样我们就可以合理的有针对性的选择和其他网络运营商的互联 方式,从而达到节约成本提高效率。 1.2掌握用户对其他运营商的访问情况 认真研究和探讨网内用户对其他外部互联网的访问业务特 点,以及研究其主要流量的去向,能够掌握每位用户对互联网 的兴趣点在哪里,可以找到最热门最常用的热点信息,能够建 成符合实际要求满足用户需求的互联网内容,减少互联链路的 巨大压力。 1.3评估分支互联网的成本和价值 经过对互联网流量的多少,去向,以及这些内容的组成,充 分了解每个支路网络所占据的带宽情形,进而知道其所占用的 互联网成本,这样就可以开展有针对性的业务,了解其进展情 况,最后做出价值评估。 1.4提供主要应用以及大客户统计分析 了解和分析重大客户以及主要应用的流量状态可以有助于 互联网带宽的成本分析和研究,有利于在互联网的服务质量以 及互联网成本之间找到最好的平衡点。 1.5制定长时间的监控。掌握特定流量。帮助网络管理人员 分析和掌握网络流量模型 制定一个长期监控措施,对于特定流量进行特别监控,对 取得的数据进行分析和研究,帮助网络管理人员分析和掌握网 络流量模型,及时的了解当前互联网的应用状况,但发现异常 时能够马上发表警讯,在故障事故发生之前或者是事态扩大爆 发之前就能够采取有效的防治措施,保证整个网络的安全,提 高整个互联网的服务质量和效能。 1.6经常实行互联网异常通信检测,主要防治分布式拒绝服 务的攻击以及大范围的蠕虫病毒发作 通过实时检测,要能够及时快速的发现互联网中出现的异 常流量,并对这些异常流量进行研究和分类,找到其异常的原 因和这些异常流量所具备的基础属性,并把它们和互联网通信 和特点制定有针对性的措施和防治技术手段,来消灭这种攻击 或让攻击消失在萌芽状态。 2互联网流量分析技术研究 2.1基于NetStream技术方案 NetStream是华为公司基于“流”的概念,定义的一种用于 路由器或交换机输出互联网流量的统计数据方法。路由器或交 换机对通过其的I P数据包进行统计和分析,并上报给网流采 集器,网流采集器把搜集的数据包及统计数据传送到网流分析 器,经合并后存入数据库进行分析处理。 2.2基于NetFlow技术方案 NetFlow是Cisco公司开发的技术,它既是一种交换技术, 又是一种流量分析技术,同时也是业界主流的计费技术之一。 NetFlow因为其技术 ̄DCisco互联网产品的市场占有率的优势, 而成为当今主流的流量分析技术。铁通北京分公司本次制定的 基于NetFlow技术互联网流量采集方案是通过增加一台配置互 联网分析模块实现的。NAM是CiSCO公司集成的通信流监视解 决方案,它使用交换端口分析器或远程sPAN来接收来自物理端 口、虚拟LAN、以太通道和NetFlow数据输出帧的数据。NE80A、 NE80B所有的互联网出口均通过Cisco6506桥接到出口网关设备 上,互联网分析模块NAM使用流量镜像机制sPAN,从cisco6506 主干上获得数据来源,采集NetFlow数据,或者从交换引擎的统 计数据中获得数据来源。由于是通过NAM模块实现NetFlow 数据采集而不是由ISO完成的,因此对Cisco6506整机的性能影 响非常小。 2.3基于sFlow技术方案 sFlow技术采用数据流随机采样技术,可以适应超大互联 网流量环境下的流量分析,让用户详细、实时地分析互联网传输 流的性能、趋势和存在的问题。sFlow不需要在互联网各处部署 成本昂贵的探测器。sFlow代理被嵌入在互联网交换机或路由 器的ASIC中,对互联网传输流进行采样。sFlow管理信息库控制 sFlow代理,后者则捕获和格式化数据包样本,并将其转发给一 个中央RFC3176数据采集器来生成数据报。以统计方式对互联 网传输流采样,互联网管理人员可以在系统范围内观察互联网 上的传输流、互联网安全性和应用传输流来源。RFC3176没有增 加沉重的互联网负载,这点与基于软件的专有传输流监测方法 形成了鲜明对比。在设 ̄ ̄sFlow数据包采样工作是一些简单的 查找,将数据编排到数据报中并送入队列等待传输。
