IP网络流量监测技术研究及应用
发布时间:2024-11-10
发布时间:2024-11-10
网络攻击
北京邮电大学
硕士学位论文
IP网络流量监测技术研究及应用
姓名:罗玲
申请学位级别:硕士
专业:电子与通信工程
指导教师:李学明
20051020
网络攻击
IP网络流量监测技术的应用研究
摘要
网络流量是网络运营管理的重要基础数据,通过采集和分析流量数据,运营商可以了解整个网络的运行态势、网络负载状况、网络安全状况、流量发展趋势、用户行为模式、业务与站点的接受程度,为制定灵活的资费政策和计费方式提供依据。同时,网络流量监测还将有助发现网络病毒的蔓延或爆发,帮助管理员发现各种恶性网络攻击,对攻击源进行追溯和定位,进而有助于网络运营维护人员采取措施堵住安全漏洞,保证网络完全运行。
本文首先介绍了目前常用的几种流量监测技术:SNMP、NetFlow、数据探针等,比较了它们各自的特点,并简单阐述了流量监测的困难和局限性。接下来,本文深入分析了网络流量监测的层次和内容,包括:普通流量监测,异常流量监测,历史流量分析挖掘,并从电信运营的角度提出了流量监测系统应当满足的主要技术指标,比如:流量监测的有效性、可定制性、实时性、可靠性、可追踪性等。
基于上述分析,本文采用现有的流量监测设备搭建了基于Netflow和TMA的流量监视和测量平台,并在广西电信网上进行了实时测试,通过对测量结果的详细分析,获得广西电信骨干网、城域网、接入网的网络流量基本特征、不同业务所占比重及用户行为模式等一系列有价值的信息。
最后,本文从网络运行维护的角度给出了IP流量监测的典型应用:异常流量告警、网络病毒预警、网络攻击定位、非法业务追踪、潜在用户发掘、个性化用户服务等。关键词:IP网络流量监测Nefflow探针
网络攻击
THEAPPLICATIONRESEARCHFORIPNETWORK
TRAFFICMONITOR【NGANDM匝ASUREⅣ【ENT
ABSTRACT
Network
operationand
runnercantrafficiSoneofthemostimportantbasicdatafornetworkusemanagement.Makingofnetworktrafficdata,networkhavegeneralideaabouttheopermionstatusofwholenetwork,including:networkloading
networkstatus,network
cansafetystatus,developingtrendofflow,behaviormodeofsubscribers,degreeofacceptanceofservicesand
counting
managersWebsites.Italsoprovideguidancefordesigningflexibleaddition,itcanrulestoandpolices.Ineruptionalsohelpthenetworkdetecttheofcomputerviruses;viciousnetwork
andinvadingwhichwilIresultinlotsofservicescannotbe
accessed.Withthehelpofnetworktrafficmonitoringandmeasuringtechniques,networkmanagercantraceandlocatethesourcesofattacking,attackingandthenfindoutsafetysolutiontofixthebuginordertoguaranteethenetworkrunning.
Inthisthesis,several
asnetworktrafficmonitoringandprobeetc.,aremeasuringtechniques,suchSNMP,NetFlow,networkfirstintroduced
andcompared.Italsoexplainswhynetworkmonitoringandmeasuringisdifficult.Thenwegiveoutthelevelsandcontentrelatedtonetwork
netmonitoringandmeasuring,whichincludesdailymeasurement,abnormal
网络攻击
flowdetection.informationdiggingwithinlog
basicdata.Wetrafficalsodiscusssomerequirements
orforonesuccessfulnetworkmonitoringandmeasuringtooldevicefromthetelecomrunners’pointofview.A
canSUCCESSfult001shouldberealtime,effective,traceable,reliableandbe
customizedbyenduser.
ourtestInthenextpart,weexplainthestructureofplatformfor
networktrafficmonitoringandmeasuringinmoredetail.NetflowbasedsolutionandTMAsolutionareadoptedtoperformon—linetest.Afteranalyzingthetestresults,wegetsomeusefulinformationrelatedGuanxiTelecomnetwork,such
accessasdifferenttrafficpropertyofasbackbone,MANasuserandnetwork,thecontributionofeachservicewellbehavior.
Inthelastpart,thepaperhasdiscussedsomepossibleapplicationofnetwork
networkmonitoringandmeasuring,especiallyinvirusthefollowingfield:sourceabnormaltrafficalarming,networkwarning,locatingtheofinvading,trackingillegalservice,discoveringpotentialsubscribers
users.andprovidingindividuationservicetoend
KEYWORDS:IPnetworktrafficmonitoringtrafficmeasuringnetflow
网络攻击
独创性(或创新性)声明
本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。
申请学位论文与资料若有不实之处,本人承担一切相关责任。
本人签名:适丝!日期:童竺』:尘12/
关于论文使用授权的说明
学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅:学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。(保密的学位论文在解密后遵守此规定)
保密论文注释:本学位论文属于保密在一年解密后适用本授权书。非保密论文注释:本学位论文不属于保密范围,适用本授权书。
本人签名
导师签名\里埘≥密嗡日期:—型l毕日期:兰堕!f!=L
网络攻击
IP网络流量监测技术的应用研究
第一章绪论
1.1问题的提出
1.1.1IP网络面临的问题
IP网络出现在中国已经十年有余,从通信技术上来讲可能已不是什么新概念了,但运营口网络,使之成长为运营商新的经济增长点,将涉及到网络的设计规划、决策支撑、运行维护、经营分析、客户服务、计费营帐等等诸多方面的课题,谁能尽快地回答这些问题,谁将在新一轮的信息产业革命中尽占先机,赢得市场竞争的优势。
传统电信网的运营被证实是一种成熟的商业模式,其以网络为基础、以提供话音业务、数据专线业务及其它增值业务为赢利点。从设计规划角度讲,有成熟的网络模型和一系列的网络运行基础数据作为决策的依据:从运维角度讲,整个网络可测、可控;从经营分析角度讲,以基础和增值业务为核心的业务体系相对简单,用户易于接受,局方易于分析和预测;从计费营帐角度讲,传统业务的计费方式单一,现网设备能够很好地提供计费的各种基础数据。
相对传统电信网的运营,现代电信级IP网络的运营管理过程将面临新的挑战:(1)没有建立成熟的网络运行模型。虽然IP技术已经出现很长一段时间了,学术界也对IP组网技术进行了长期的研究,但对网络模型的研究往往集中在一般性的网络结构分析或特殊情况下的流量建模,和运营商尤其是中国运营商网络的实际情况相去甚远,不足以作为网络规划的参考。运营商对网络运营模型的研究相对深入和具体,但也缺乏网络运行的足够流量数据加以验证和改进。
(2)缺乏采集网络运行基础数据和对数据进行深入分析的手段和工具。网络的规划依赖于对现网状况的分析,现网状况的分析又完全依赖于现网运行过程中的各种基础数据,例如设备运行负荷,线路利用率,线路忙时分析等等。虽然目前的网络设备或多或少能够提供一些数据,但这些数据不够全面,格式不统一,没有集中采集和长期存储的手段,没有对历史数据进行挖掘和分析的工具,所有这些问黟都导致目前网络中原本就不充足的数据处于杂散和缺失利用的境地。
网络攻击
北京邮电大学工程硕士论文
(3)被动运营维护方式。所谓被动运维是指现在广泛采用的“告障——问题发现——找出原因——解决问题”的运维流程,即在问题发生并引起用户告障后,才能够去查问题找原因,继而解决问题。IP网络相比传统电信网络技术复杂、设备类型繁多,在传输、交换、业务、控制、管理各个层面上都有出现问题的可能,并且往往一个故障背后牵扯一系列设备、跨越若干网络层次。亡羊补牢的运维方式将会成为影响客户满意度和忠诚度的重要原因。
(3)运营分析和资费方式面临新的挑战。和传统电信网不同,IP网络在经历了初期骨干网络建设,接入网络、终端设备充分发展的过程后,进入到了以内容服务为核心的新的业务拓展时期。“网络铺路、内容赚钱”已逐步成为业界的统一看法,很多运营商都在沿着这条思路重新审视网络基础结构,并采取各种不同的手段促进新业务模式的发展。新的业务模式催生了新的互联网价值链,在这条价值链上,设备厂商、运营商、内容服务提供商和最终用户形成了上下游环环相扣的共生状态,其中又以运营商的位置最为重要,它是维持整个价值链平稳运行的平台。在这个平台上,运营商集合了上游厂商、下游ICP组成战略合作联盟,提供平台基础设施,打通互联网运营过程中的重要环节,使互联网的业务以赢利的方式送达最终用户。在这个过程中,运营商需要必要的手段和工具帮助其获得和分析网络基础数据,以实现:1)了解最终用户的网络行为模式和消费倾向;2)选择作为战略合作伙伴的ICP,评估其贡献以确定其资质;3)提供制定资费策略的依据;4)提供灵活计费的手段等等。
(4)客户服务受到挑战。随着我国信息产业的健康发展,已逐步形成了若干大运营商共存、中小运营商补充的竞争局面。竞争说到底是对市场份额、对客户的竞争,谁能保有最大的市场份额、最多的客户就能在竞争中获胜。为此,运营商都在客户服务这一环节上投入巨大的资金和人力,出现了客户经理一对一服务的模式,出现了一站式服务的承诺,不一而足。另一方面,客户的意识和水平也在不断提高,随着他们对网络和业务认识的加深,提出了越来越多,越复杂的需求,例如要求局方提供网络运行状态报告,要求局方协助解决网络问题等等,现有的手段不足以支持前方客户经理快速满足客户的各类需求。
1.1.2流量监测对于电信级IP网络的意义
流量数据是IP网络运营管理的重要基础数据,透过采集和分析流量数据,运营商可以了解到整个网络的运行态势、网络负载状况、网路安全状况、流量发展趋
网络攻击
IP网络流量监测技术的应用研究
势、用户的行为模式、业务与站点的接受程度,还可以为制定灵活的资费策略和计费方式提供依据。
(1)辅助建立和修正网络运行模型。网络的结构分析建立在设备和链路的基础上,呈现的是一个静态的结构,需要在上面叠加动态的流量信息才能够准确分析网络运行的状况,以及网络基础结构的调整对网络健康状况的影响。这些都是运营商进行科学的网络规划所必须的。流量监测设备可以持续地采集网络中的流量信息,并长期存储,提供必要的分析工具,对存储的历史流量数据进行深度挖掘,产生网络规划所需的关键指标,使规划部门能够获得准确的现网信息,作为决策的科学依据。流量监测系统还可以分析和对等网络间流量变化的规律,评估互联成本,作为选择对等合作网络的依据。
(2)变被动为主动的运维模式。所谓主动运维是指基于全面准确的流量数据,即时预测到可能发生的网络拥塞,把问题消灭在发生之前,从本质上提高网络运维水平。在采用了流量监测系统后,运维人员通过流量实时监测和历史分析工具,通过分析网络流量及组成成分随时间变化的规律和趋势,提前发现可能的问题。此外,流量监测系统的异常流预警、告警机制更能协助运维人员及早发现、尽快定位故障原因。局方的运维流程将逐步过渡到主动运维的流程:“分析流量基线和实时流量数据——预测或尽早发现问题——迅速查找原因——解决问题”。
(3)成为互联网价值链上运营分析,ICP评估的手段。通过分析不同业务类型的流量变化趋势和用户访问业务的行为模式,可以了解用户对各种业务的接受程度,也为开拓新的增值业务提供参考;局方开展新的增值业务后,也需要通过流量监测系统即时评估新业务的运营状态,客户的接受程度等等的信息;流量监测系统可以分析网内、网外内容服务的流量变化趋势,在局方进行内容服务部署或ICP合作伙伴选择时发挥重要作用。
(4)提高客户服务水平,增加客户价值。一方面,局方的客户经理配合运维人员通过对重点大客户的流量进行深入的监测,即时发现客户网络中存在的隐患,帮助客户解决网络问题;此外,定期给客户提供其需要的各种流量报表,帮助客户完成其企业信息化的工作。这些工作都将成为维系客户关系的纽带。另一方面,通过分析客户的行为模式、流量变化规律,找到需要扩容的客户,了解客户需求,开拓用户需要的新业务,通过这些工作,可以有效提高客户ARPU值。
网络攻击
北京邮电大学工程硕士论文
1.2本论文完成的工作
本文介绍了目前常用的几种流量监测技术,比较了它们各自的特点。在此基础上,本文深入分析了网络流量的各种特征,进而从电信运营的角度提出了流量监测系统应当满足的主要技术指标,比如:实时、可靠、可追踪等。基于上述分析,本文采用现有的流量监测设备搭建了流量监视和测量平台,并在广西电信网上进行了实时测试,验证了网络流量的特征及网络流量监测对网络运行的重要作用。
本论文的章节安排如下:
第一章,绪论。简单介绍了目前IP网络面临的问题,从而提出了流量监测,以及该技术对于电信级D网络的意义。
第二章,流量监测技术。具体介绍了流量监测的各类技术及其比较分析。
第三章,流量监测的层次与内容。具体介绍所能监测的层次及内容,并对其指标进行分析。
第四章,广西流量监测系统。介绍了两种流量监测系统在广西的测试情况,以及流量监测与网络运维,流量监测在为了规划和业务规划中的应用,运用流量监测提供客户服务水平,及流量监测和计费的关系。
第五章,两种不同系统的应用分析。分析了两种技术的测试数据,并做了两种技术的应用范围及技术比较。第六章,结束语。
网络攻击
口网络流量监测技术的应用研究
第二章流量监测技术
2.1流量监测技术综述
流量数据是网络运营管理的重要基础数据,通过采集和分析流量数据,运营商可以了解整个网络的运行态势、网络负载状况、网络安全状况、流量发展趋势、用户行为模式、业务与站点的接受程度,还可以为制定灵活的资费政策和计费方式提供依据。因此,网络流量监测受到业界的极端重视[1】。目前常用的流量监测技术有以下四种:
2.1.1SNⅣUJ,R.MON
简单网络管理协议SNMP是TCP/IP的标准网络管理协议,其定义了传送管理信息的协议消息格式及管理站和设备代理相互之间进行消息传送的规程[12]。网管系统通过轮询远程运行在节点设备上的SNMP代理来收集设备信息和统计数据,管理信息库MIB是一个信息存储库,它包含了管理代理中的有关配置和性能的数据,有一个组织体系和公共结构,其中包含分属不同组的许多个数据对象,它定义了节点设备的对象标识树,每个对象表示设备的一种状态或一个数据,例如接口发送和接收的报文数和字节数。
RMON协议是对SNMP标准的扩展,定义了远程监视的标准功能以及远程监控代理的接口,主要对一个网段乃至整个网络的性能数据进行采集和测量。RMON关注链路层的统计、分析和告警1241,而RMONII关注网络层和应用的性能监测,在RMON基础上增加了协议分布和探针配置等项目。RMON标准使SNMP更有效、更积极主动地监测远程设备,网络管理员可以更快地跟踪网络、网段或设备出现的故障。RMONMIB的实现可以记录某些网络事件,可以记录网络性能数据和故障历史,可以在任何时候访问故障历史数据以有利于进行有效地故障诊断。使用这种方法减少了管理工作站同代理(Agent)间的数据流量,使简单而有力地管理大型网络成为可能。
RMON通过两种方法收集数据,一种是通过专用的RMON探测器‘probe),网管工作站直接从探测器获取管理信息并控制网络资源,这种方式可以囊戡R。f—jN
网络攻击
北京邮电大学工程硕士论文
MIB的全部信息;另一种方法是将RMON代理直接植入网络设备(路由器、交换机、HUB等)使它们成为带RMONprobe功能的网络设旋,网管工作站用SNMP的基本命令与其交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMONMIB的所有数据,大多数只收集四个组的信息。
MRTG(MultiRouterTrafficGrapher)是~个监控网络链路流量的免费工具软件,它通过SNMP协议定时轮询网络设备的流量统计信息,并将其转换成包含PNG图形格式的H州L文档呈现给用户[9]。通过MRTG能直观了解网络流量状况,包括出入境速率和链路利用率,也可进行网络故障和异常的初步监测和节点定位,目前已成为应用最广泛的因特网流量监测工具。
一般而言,所有的网络设备都提供标准的SNMP功能,通过MRTG或专用网管系统可提供固定时长的流量曲线和重要数据,能够满足一般的端口链路流量监视的要求,但其相对其他技术而言功能单一,信息量少,而且无法进行流向和组分的详细分析和历史分析。
主要的厂商和厂品包括:HPOpenView、CiscoWorks2000、Nortel0ptivity。
2.1。2NetFIow/sF!OW
NetFlow是Cisco公司开发的专用流交换技术[101,同时用于记录流量统计信息。NetFlow集成在Cisco的各类路由器和交换机内,广泛应用于网络监视、流量计费、设计规划和故障定位。
NetFlow采用三层体系结构:数据输出设备(NDE)、数据收集器(NFC)和数据分析器(NDA)完成流数据信息从采集、汇聚、输出、接收、过滤、存储到分析的过程。一般NetFlow采用集中的工作站或服务器同时收集多个路由设备的上报数据。
NetFlow中定义流为从特定的源主机到目的主机的单向数据报集合,由以下七个参数标识数据流:源IP地址、目的P地址、协议类型、源传输层端口、目的传输层端口、业务类型TOS以及设备的输入接口。上报数据中含有流的起止时间、报文数和字节数等信息,还包括AS域或路由信息。
由于NetFlow功能内嵌于路由或交换设备,配置方便安装简单,不需要增加新的网络设备,在许多运营商和企业网得到应用【11】,为流向、流量以及业务分布等分析提供详细数据,与其他技术相比成本较低,部署方便,适合于各类网络的流量监测和分析。但开启NetFlow功能需要占用路由器的CPU和存储资源,对设备的转发性能
网络攻击
P网络流量监测技术的应用研究
有较大影响,对于汇聚层或骨干层的GE或2.5GPOS接口尤为明显。而且基于连接上报的流数据量很大,给传输、处理和存储造成极大困难。目前一般采用抽样技术[14],针对不同的应用采用100到1000的抽样比,但势必损失流量的许多细节信息。
sFlow也是一种嵌入在路由器或交换机内的基于抽样的流量监测技术[231,sFlow的目标是为了实现高速网络中多设备多端口的基于应用的流量测量,sFlow代理软件采用数据采样机制,将抽样流的流量信息以sFlow报文格式发送给流量收集器进行流量分析,系统同时支持大量的sFlow代理。
有些厂商开发专用的针对流数据的采集探针,接收neff!low和sFlow的上报数据进行处理,主要功能是进行流数据的汇聚、压缩和数据转换,将分析结果上传给分析软件。还有的直接将分析结果存储在探针内通过Web页面提供用户界面进行查询和分析。
支持neff!low的厂商包括Cisco、Juniper、Extreme,支持sFlow的厂商包括Foundry,inMona
主要的厂商和厂品包括:CiscoFlow
FlowScan、GenieCollector,ArborPeakflow,CAIDAcflowd,NTG等。
2.1.3数据采集探针
数据采集探针是专门用于获取网络链路流量数据的硬件设备,按实现方式又可分为软件架构和硬件架构。使用时通过分光分路设备、交换机流量镜像端口或直接将其串接在待观测链路上,对链路上所有的数据报文进行处理,能够提取流量监测所需的协议字段甚至全部报文内容。
流量探针[2】可以实时对流量数据进行采集记录,经过汇聚和预处理将流量信息发送到后端数据库,通过分析软件进行实时监视,通过图表显示分析统计结果或导出报表文件。通过条件设置还能够利用流量探针的数据捕获功能对网络流量进行实时采集或流量镜像,进行报文的协议分析。
硬件架构的数据采集探针是为流量监测目的专门设计的技术方案,能够做到高速端口的线速流量采集,提供对GE甚至2.5GPOS链路的支持。探针采用无源分光器或镜像方式接入网络,不影响原有设备的传输和性能。流量采集过程不需要现网设备的参与,路由器交换机可全力用于路由和转发,探针技术也不依赖于设备本身的流量统计功能,能够精确记录所有报文的流量信息,还可根据用户要求定制灵活高效的数据采集策略最终满足用户对流量监测的需求。
网络攻击
北京邮电大学工程硕士论文
流量探针适合部署在汇聚层,或某些网间互连的重要或关键链路,如果价格合理也可以部署在接入层到汇聚层的边缘。由于探针必须放置在物理链路上,因此不同类型的端1:3需要不同接口的探针,目前主要有FE、GE、OC一3POS/ATM、2.5GPOS等。探针方法需要部署新的设备,并且一个探针同时只能监测一条或几条链路。
主要的厂商和厂品包括:NetScoutProbe,Sniffer硬件探针。北京宽广电信高技术发展有限公司在多年研究流量监测技术的基础上,也推出了自己的流量监测设备和解决方案TMA。
2.1-4协议分析仪表
协议分析仪表可以对网络流量的全部数据进行短时的实时采剿13】,数据量的多少与报文缓存的大小相关,既能捕获整个数据报也可捕获数据报的片段,既能进行实时解码也能离线分析。许多协议分析仪还支持设定条件的数据捕获和后分析。通过捕获的数据可以进行2~7层的协议解码、报文或会话重组,进行详细的分析和诊断。协议分析仪具有强大的协议解析能力,能够提供非常详细的协议和信令交互分析,广泛的应用于网络调试诊断、故障定位和内容分析。部分协议分析软件也提供诸如排名分析,分类统计,关联分析等功能。
协议分析仪的产品功能定位于专用的分析和故障处理,一般在具有故障申告或网络出现异常告警后由运维人员到现场处理。也可用于对特定业务、网络拥塞和入侵分析的详细分析。
一般而言,协议分析仪适用于100Mbps及以下速率的链路监视,可通过分光器和端口镜像进行灵活部署。当要求对高速链路(GE或2.5GPOS)采集流量或者全面收集网络流量时,部分厂商也可提供硬件产品或分布式系统,但一般价格极其昂贵。
由于捕获的数据量相对较少,无法进行长期的监测和历史分析。价格昂贵也导致无法在网络运维部分大规模适用。而且协议分析仪对网络运维人员要求高,需要精通各类协议细节和掌握复杂的使用分析方法。
主要的代表厂商:NAISniffer、Agilent、Fluke,Anritsu等。
2.1.5常用监测技术比较
通常情况下,人们通过一系列指标来衡量监测技术的优劣[16】,表1~1、l一2对几种常用的监测技术的功能进行了比较。
网络攻击
IP网络流量监测技术的应用研究
表1—1四种流量监测技术的指标比较表
指标
网络适用层次
网络监视范围
数据采集协议层次SNM呼删oN各个层次多设各多端口链路层,网络层RMON
可基于应用netFlow/sFIow协议分析仪表接八层基于链路2~7层网络流量探针接八层辟[聚层基于链路主要网络/传输也支持5~7层汇聚层/骨干层多设备多端口网络层,传输层
适用的设备和链路各种设备
各种速率特定厂商低速端口高速端口需要采样
较多
否
全面
入方向
6元组
能不依赖于设备100Mbps以下否是较全面双向无流概念能不依赖于设备各种速率否是是否占用设备资源是否增加新的设备流量数据全面程度流量监测的方向支持数据流的定义流量组成的分析
(源/目的,协议,业务)
是否支持非IP业务很少否较少双向不支持最全面般向灵活定义能SNⅦ’不能RMON能SNMP不能
RMON能否能能
实时流量的分析
历史数据的存储
数据的传递方式
解决方案的部署
解决方案的费用
数据存储方式
是否支持协议解码
支持设定条件的流量
采集较差否Pull/Trap较差一般Push最好很少Capture较好较多PushandPull简单免费集中否否较复杂适中集中否较少较简单最高分布是是复杂较高集中,分布部分是
表1—2四种流量监测技术的功能比较表
功能
流量计费
网络监视
网络规划
故障分析SNⅣⅡ们刚ⅥONnetFlow/sFlow协议分析仪表否网络流量探针是是是是否是是否是是是是否是是
9
网络攻击
北京邮电大学工程硕士论文
用户分析否是是是
业务分析否是是是
对等分析否是否是
流量工程否是否是
网络安全否是是是
业务质量否否是是
2.2流量监测的相关标准RTFM/IPFIX
RTFM(RealtimeTrafficFlowMeaSurelnent)[5】是IETF的实时流量测量标准,定义了描述和测量网络流的通用框架。RTFM的基本构件包括计量器(Meter),读取器(MeterReader)和管理器(Manager)。采集的数据由数据分析应用程序进行处理。
计量器是整个RTFM结构的核心部件,标准详细定义了计量器的管理信息库,信息库可作为SNMP管理的标准部件集成在设备中。RTFM的特点是具有强大灵活的计量器,支持可编程的规则设置,能够同时为多个读取器提供数据。采用RTFM的结构及管理信息库可以提供较完备的流量测量功能,NeTraMet为支持RTFM的免费应用软件。但由于功能复杂目前未得到广泛应用。
不同的厂商和设各具备不同的流量采集方式和流量信息输出格式,业界难以开发出通用的流量信息分析工具。为制定统一的IP设备输出流量信息的工业标准,IETF于2001年10月成立了IPFIX工组。IPFIX在进行计费、流量分析、流量工程、入侵监测和质量监视等提供了详尽的指导性建议。
IPFIX协议具有规范化和扩展性强的特点。它抽象了通用的信息输出模型,规定了标准的信息输出格式,选取了可靠的消息传输协议,适用于任何厂商的路由器和管理系统平台。另一方面通过可扩展的模板技术,网络管理员可以自由的添加或修改一些域(具体的参数和协议),并参照这些域来监视IP流量的变化情况,网络管理员和厂商不再需要对软件进行频繁的修改和升级。
IPFIX定义了标准的系统模型、流模型、信息模型(协议域、流量属性、扩展方式)和数据模型,在IPFIX消息中,流模板记录规定了流数据记录的格式及各个域的含义,采集器必须根据流模板记录从流数据记录中提取相应的信息。流模板记录的保存格式为:输出过程、观测域、模板ID、模板定义、更新时间等。IPFIX还采用SCTP传输协议和信息加密技术保证流量信息的可靠和安全传输。
网络攻击
IP网络流量监测技术的应用研究
简言之,RTFM侧重于对网络流量测量的架构,而IPFIX工作组侧重于IP网络流量测量的输出格式。IPFIX将逐渐成为流量监测技术的统一标准。但是,目前IPFIX还仅仅是一个流量信息输出的协议标准,其广泛被采用也还有待时日_。2.3流量监测的技术困难和局限性
众所周知,因特网的流量包含着大量的连接和业务信息,以干兆接口为例每秒中将收发上百万的数据报文,存在着大量的源和目的的主机通信,活跃的连接数更是数以万计。流量监测方案能够进行详细的数据采集并进行一定程度的fj息归并,但对于如此大量的原始信息,即使是存储描述数据流的特征数据也难以胜任。如果完全存储一个千兆接口的流量,仅原始数据一天就将高达几十吉字节,任何一个解决方案都难以传递和存储如此庞大的数据,而且即使能够存储电难以进行快速.j检索分析。各种流量监测技术都会根据系统的限制和监测的需要进行流量信息的汇聚、过滤、合并和压缩,如何保证提供给用户全局的、重要的、有实用价值的流量信息是衡量系统优劣的关键因素。
2.4流量监测的进展
目前,流量监测是国际上一个研究热点,人们希望能通过监涮使得IP网络也能同传统的电信网一样可测可控。在这个背景下,很多国际组织!z厶,j都在积“、一展与流量监测有关的工作。当前,国际上有关流量监测的项目有:
受美国国家科学基金会NSF资助的美国应用网络研究国家实验窒洲{ANR)的测量项目PMA(passivemeasurementandanalysis)[3],该项同旨存为高级网络(如vBNS,Abliene)提供协作性的服务支持。它采用OC3mon数据搜集系统,包括亨门的群机系统、装有FOREATMcards和OpticalSplitters(分光器),采集ATM的势钾.流,使用CoralReef根据一定的规则集进行数据采集,并可使用perl等语言对数据进行分析。
Berkerley
performanceUniversity和IBM共同开发的SPAND(sharedpassivenetworkdiscovery)项目,它通过对捕捉到的UDP/TCP分组进行分析得到连接带宽、丢包率等性能,等等。