闪德胜，钱叶魁（.347部队，河南郑州，45000；.郑州防空兵学院，河南郑州，45000）

网络流量监测技术主要方法分析

闪德胜1，钱叶魁2
（1.32147部队，河南郑州，450100；2.郑州防空兵学院，河南郑州，450100）

目前网络流量监测的方法有很多种，但是对于获取高速网络流量信息的可行性方法主要有3种：第一种方法是利用高性能的专用硬件例如TCAM，ASIC等，第二种方法是对具有代表性的网络流量数据进行采集处理，第三种方法是利用数据流技术对所有网络流量数据进行处理。

网络监测；技术分析

1 基于硬件探针的流量监测技术

网络探针是一种利用高性能硬件来获取网络流量的设备。使用硬件探针进行网络流量监测是将探针串联在需要捕获流量的链路上，通过分流出链路上的信号来获取流量信息。一个硬件探针利用分光器或网络节点设备的流复制能力，来获取原始流数据，检测一条链路上的流量信息。而对于在全网情况下的流量监测则采用分布式的方法，需在每条链路上都部署一个探针，然后再通过总服务器和数据库对采集的数据进行统计和分析，这样对于大规模的网络不仅需要大量的探针，且采集到的数据还会出现重复。因此，虽然这种基于专用硬件探针的方法可以获取网络中详细的流信息，但是这种方法用到的硬件探针不仅受限于硬件条件，同时花销也昂贵，且如果是大型网络，链路复杂，需要的探针数量也会很多，而且每个探针最终获得的只是单链路上流量信息，要分析全网情况还需要对其汇总和整合，造成了资源的浪费。

2 基于采样原理的流量监测技术

流采样的方法是实现高速网络流量检测的关键技术之一，IETF的PSAMP工作组就数据包采样技术做出了相关的标准化工作，并定义了一种数据包采样的框架，这个框架包括数据包的选择过程、分析报告产生过程以及数据导出过程。除此框架的采样文档之外，该工作组还对数据包采样及过滤技术进行了定义，同时还对数据包采样相关的MIB进行了定义，对基于数据包采样的数据包导出过程的协议进行了叙述等。该组织的另一工作组也对流采样的相关信息进行了标准化和定义。因此使得对于网络中的流量进行采样原理的技术得到了广泛的应用。例如1989年，Paul首先将抽样技术引入网络测量中。1993年，Claffy研究了在网络流量统计分析中抽样技术的应用，分析了各种不同抽样技术，比如系统抽样、简单随机抽样和分层抽样技术。1994年，Drobise又在Claffy的工作基础上，提出了一种新的自适应抽样技术。2000年，Duffield使用抽样技术用于寻找网络中分组流的路径。2001和2002年抽样技术又应用到新的方面，Tanja将抽样技术应用到被动测量中时测量到了端到端的单项延迟测度。Duffield和Cristian分别研究了抽样测量。但是，虽然这种采样的方法在大型高速的网络中大大的降低了系统的负荷及工作量，但是相对的因为是采样而不是对全部信息的采集，就会存在较大的信息误差，对于后期进行分析时有一定的影响。

3 基于流级的流量监测技术

当前最常用的流级网络流量监测方法为基于NetFlow技术。NetFlow技术是由Cisco公司Darren Kerr和Barry Bruins于1996年提出的一种网络流量监测技术。NetFlow技术最开始应用于网络设备对数据交换进行加速，并同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术进步，NetFlow成为国际上一个热门的研究领域。同时在2004年和2005年在SIGCOMM(Special Inerest Group on Data Communication)上对NetFlow技术改进的研究文章都有发表和研究。NetFlow技术可以提供流的统计信息，因此成为网络流量统计和安全分析的重要手段。基于NetFlow技术的应用很多，其中包括著名的CAIDA（The Cooperative Association for Internet Data Analysis）组织的Cflowd、Cisco公司的NetFlow FlowCollector和Network Data Analyzer、Hewlett-Packard公司的Internet Usage Manager和HP OpenView trend performance manager、InfoVista公司的InfoVista、Wisconsin大学的FlowScan、Texas大学的MultiHost Traffic Grapher等等，这些产品都支持NetFlow技术，应用基于NetFlow技术进行流量数据采集。例如美国Crannog Software公司的NetFlow Tracker也应用NetFlow技术的一种产品，其主要实现的功能是对LAN和WAN的带宽分析、实时流量分析、完全基于Web页面、预算网络成本并提出解决方案，并能够与Crannog Software公司的网络告警和监测软件NetWatch良好融合。

国内近年也有关于NetFlow技术的研究成果和文献。其中华为公司就在NetFlow技术的基础上，研究出了一种新的NetStream技术在华为系列的交换机及路由器等网络设备中实现。中国科技学院在2003年利用NetFlow技术设计并实现了中国科技网网络计费系统的数据采集与处理子系统。台湾地区同时也对NetFlow技术的实际应用进行了研究，如台中市教育网络中心的NetFlow Daily Statistics和交通大学网络流量分析。还有Ntop 是一种以无探针的方法采集NetFlow数据并对其进行分析的流量分析工具集。

NetFlow技术的主要原理是网络管理者将路由器或交换机的接口配置NetFlow功能后，设备会在接收数据包时根据其包头信息来获得流量的信息资料，并将不同的数据包的流量信息整理成为不同的流记录。由于记录的流是单方向的，所以对于网络中的流的信息及其方向都完整的记录下来了。Cisco公司的NetFlow技术利用分析数据包的7个属性：源IP地址、目的IP地址、源端口、目的端口、通讯协议服务类型、网络设备的输入输出的逻辑端口来区分和分析各种不同类型的流记录。

与其他的流量检测方法相比，基于NetFlow的流量监测技术可以获取到丰富的流量信息，很适合对大型网络进行网络流量监测，同时可以对其网路性能进行分析。基于NetFlow的流量监测技术成本较低，安装也方便，而且还不受网络中速率的限制，使得其成为目前运营商最为常用的一种网路性能监测手段。

4 结语

近几年随着各种技术的发展和人们对于流量监测原理的灵活运用，采用取长补短的方法，对于几种主流方法进行和结合使用，使得流量监测技术不断地进步和完善。采用在流级监测技术上对其进行基于Hash的流抽取，并将其设计到专用硬件之中完成流量监测任务，是一种较为可行的创新发展思路。

[1]孙知信.网络异常流量识别与监控技术研究[M].北京:清华大学出版社, 2010.

[2]蒲天银, 秦拯.基于Netflow的流量异常检测技术研究[J].计算机与数字工程,2009(7).

The main analysis method of network traffic monitoring technology

Shan Desheng1,Qian Yekui2

At present, there are many methods of network traffic monitoring, but for the feasibility of high-speed network traffic information acquisition method mainly has 3 kinds: the first method is to use high performance special hardware such as TCAM, ASIC, second kinds of methods of network traffic data is representative of the acquisition and processing, is the use of third methods the data stream technology of all network traffic data.

network monitoring; technical analysis

(1.The army of 32147,Zhengzhou Henan,450100;2.Zhengzhou Air Defense Corps college,Zhengzhou Henan,450100)