网络流量监控与分析
网络流量监控与分析范文第1篇
互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。
在研究网络数据包捕获、 tcp/ip原理的基础上,采用面向对象的方法进行了需求分析与功能设计。该系统在visualc++6.0环境下进行开发,综合采用了socket-raw、注册表编程和ip助手api等vc编程技术,在系统需求分析的基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为网络管理员了解网络运行状态提供了参考。
关键词:网络管理;数据采集;流量统计;winsock2
1 引言
1.1 课题背景
随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。
1.2 网络安全管理的现状与需求
目前,在网络应用不断深入和技术频繁升级的同时,非法访问、恶意攻击等安全威胁也在不断推陈出新,愈演愈烈。防火墙、vpn、ids、防病毒、身份认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。从网络安全专业管理人员的角度来说,最直接的需求就是根据分类在统一的界面中监视网络中各种运行性能状态,获取相关数据信息、日志信息和报警信息等,并进行分类汇总、分析和审计;同时完成攻击事件报警、响应等功能。因此,用户的网络管理需要不断健全整体网络安全管理解决方案,从统一安全管理平台总体调控配置到多层面、分布式的安全系统,实现对各种网络安全资源的集中监控、策略管理、审计及多种安全功能模块之间的互动,从而有效简化网络安全管理工作,提升网络的安全水平和可用性、可控制性、可管理性。
1.3 网络流量监控的引入
网络安全管理体系中,流量监控和统计分析是整个管理的基础。
流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。
由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。
1.4 本文的目的与任务
该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计,得到主要成分性能指标,结合网络流量的理论,通过统计出的性能指数观察网络状态,分析出网络变化趋势,找出影响网络性能的因素。
本设计题目是教师自拟项目,前期任务主要是设计并完成系统的初步框架,实现网络数据的捕获,并解决相应问题,后期主要是通过一些api函数完成对各类数据信息的统计。
本系统实现以下功能:
(1)采用winsock编写原始套接字socket-raw对数据包进行采集捕获,并可实现分类及自定义范围进行捕获;
(2)对捕获的数据包进行一定的解析;
(3)访问操作系统提供的网络性能参数接口,得到网卡总流量、输入流量和输出流量;
(4)系统提供了多种方式显示结果,如曲线图、列表等;
(5)使用ip帮助api获取网络统计信息;
(6)实现对部分常见威胁的预警,可继续开发扩展其报警功能。
网络流量监控与分析范文第2篇
【关键词】通讯工程 网络服务质量 质量检测 质量控制
在网络信息技术高速发展的今天,计算机通讯技术已经成为人们生活工作中不可或缺的一部分,这种技术对于人们的日常生活与社会的发展进步发挥着重大的作用,带来了新时代的网络技术变革。而中国教育与研究计算机网(CERNET)这种技术是完全由我国的网络信息技术人员研究开发、自主设计出来的,在我国的互联网技术中发挥着领航的作用,拥有着其他网络技术无法匹敌的先进性。在网络系统建设的过程中,CERNET对于网络安全的要求极高,需要通过加强网络服务质量检测和控制来保障网络的正常运行秩序。同时,由于网络用户对于网络服务质量的要求越来越高,加强网络服务质量检测和控制已经成为当前网络技术研究中的一大课题。
1 网络性能监控体系概述
流量工程是计算机通讯工程的前提,也是网络系统中最为重要的组成部分,它与网络性能监控与优化有着直接的关系。流量工程的概念可以这样理解:从互联网运行方面来处理大型IP网络的质量检测与控制方面的工作。并且在检测与控制中有一个基本的准则。为了能够让互联网用户与流量供应商更为直观地了解到端与端之间的运作性能和信任度,这种网络性能监控与控制准则中制定了一系列特定的用于测量的术语和一系列最基本的测量方法,并且能够对检测与控制过程中出现的不定性的问题进行及时的处理,从而保证检测与控制的有效性,提高检测与控制的质量。
2 网络性能检测与控制系统
2.1 系统设计需遵循的原则
系统设计过程中主要讲RFC作为最基本的准则,通过RFC,用户能够更为容易地了解到网络服务功能,从而针对自己对流量的需求而选择最适合自己的方式。另外,网络性能检测和控制系统在同一个网络主干道上对于流量的测量有一个基本的测量准则,从而保证测量出来的结果能够达到标准,在检测与控制中能够发挥其作用。运用网络性能检测与控制系统进行流量检测与控制时,应当避免该系统在主动测量时为网络带来的干扰,如果在测量时,主动测量的周期与被测量的网络通信流量的变动达到一致,就有可能只得到其中一个结果,除此之外,主动测量也会造成网络进入一种“同步状态”。
2.2 系统的整体结构
监控子系统:网络性能测量是对网络性能进行检测和控制的基础,网络性能检测与控制需要网络性能测量所得出的数据作为最根本的依据。监控子系统值得就是对于IP、TCP和UDP等方面所传输的数据进行测量。对网络系统的检测可以根据其检测方式氛围主动式检测以及被动式监控这两种形式。主动式检测就是在特定的时间里向被检测的主机传输数据包,从而检测其是否存在网络延迟、数据吞吐量多少等。这种检测方式能够及时地发现网络系统中存在的问题,并且通过准确的分析来解决这些问题。被动式监控则是在作为检测对象的主机或者站点上收集相关数据并根据一定的方式来进行分析,从而不间断地检测网络系统的运行情况。这种测量方法一方面能够完整地反映网络线路中的流量流通状态,另一方面则能够根据网络运作的规律发现其中的问题。
分析子系统:该子系统主要是根据检测系统提供的相关数据进行研究与分析,它分析的对象主要是以下几个方面:一是通过端与端之间的双向检测,分析端与端之间的路由联通是否存在阻塞、循环、摆动等问题;二是通过测量网络瓶颈之处的宽带流通量,从而分析网络瓶颈之处是否存在相关问题;三是检测系统中是否存在信息包丢失问题,通过向某一终端发送信息包,如果信息包丢失,那么就要针对这种情况进行分析,找出信息包丢失的原因。造成信息包丢失的原因有可能是网络系统负荷过大,也有可能是存在恶意程序将数据拦截下来,甚至也有可能是信息包的接受者并未发送与此相关的信息;四是检测信息包输送是否存在延迟的情况,从而分析出其最大与最小的延迟,是双向还是单向延迟,通过这项分析,还能够确定出网络宽带的流通量;五是综合性分析,通过对各种问题及原因的分析,查找不同问题、原因之间是否存在关联。
优化与控制子系统:该子系统的主要功能是根据监控子系统所得出的数据以及分析子系统所分析出的结果作为基本的参考和依据,对网络系统中出现的漏洞和存在的不足之处进行评估,并且针对这些问题进行优化和改良。通过优化网络系统,能够有效地减少网络阻塞问题,优化互联网系统提供给用户的流量服务,能够保证用户在较为安全、高效的环境下运用网络系统。该子系统对于网络的优化主要包括以下两个方面:一是对子系统进行实时优化,这种优化方式需要及时地找出网络系统运行过程中出现的问题,并且及时解决;二是对子系统进行不实时规划,该过程规划周期较长,需要更为精密高端的网络技术。
2.3 系统运作过程
网络性能检测与控制系统运作的过程主要包括以下几个环节:首先是网络性能检测与控制系统对CERNET的主干网节点(包括中国教育与研究计算机网与国际网络以及国内其他网络之间相关联的节点)进行实时的流量监控与统计;其次是以曲线图的形式将数量统计的结果显示在与此相连接的各个网络上;再次是对测量出的流量统计结果进行各个方面、全方位的详细分析;接下来则利用MPLS技术对那些网络性能存在问题的地方进行修复和优化;最后,则是根据提供的检测与控制相关服务收取相应的费用。
网络性能检测与控制系统能够对网络系统中不同的部分的流量服务进行实时的检测,并得出准确的结果,根据测量结果进行及时地分析,从而找出出现问题的部分和造成问题的原因,从而解决这些问题,为用户提供更为优良的网络服务。该系统加强了对网络系统的管理,对于网络设计者有着重要的参考价值。
参考文献
[1]徐博天.面向通讯工程的网络服务质量监测和控制系统[J].信息通信,2012(06).
[2]杨祥.流量控制系统原理分析[J].电子商务,2010(12):50-51.
作者简介
马寒啸,现为重庆大学学生。研究方向为通信工程专业。
网络流量监控与分析范文第3篇
关键词:网络安全,流量监控,数据备份,远程同步
1.引言
在互联网飞速发展的今天, 越来越多的公司关和企事业单位拥有了自己的网站。 网站不但是信息传播的工具, 也是非常好的商业运营方式。但由于互联网在安全方面的脆弱性,以及黑客对网站的攻击,使得网站的运行安全是我们设计网站时需要解决的问题。网站的安全不应仅依赖于防火墙和入侵检测, 也需要使用对网站的监控和恢复技术,力争使损失达到最小。而一些大型网站更是会在很多不同的地点建立分站点,一方面能提高用户的访问速度,分担负载,另一方面也是为了使得各分站的数据能够实现同步传输,防止因为各种原因造成的数据丢失所产生的损失。本文正是基于此目的,以12530网站系统为基本构架 ,Linux为操作系统 ,规划配置出一套能够对网站日常的运行进行监控与保护的相对安全的网络系统的方案。
2.网页监控和保护系统基本构架
如图1 所示 ,在本次12530网站建设中,我们将网站监控和保护系统基本构架设计成主要的三部分:(1)网络服务器。系统的主控台 , 拥有良好的人机界面 ,对静态网页和动态脚本进行校验。(2)备份服务器。对静态页面、动态脚本、静态网页和动态脚本的校验值及数据库数据进行备份。(3)Rsync-server服务器。将产生的数据与其他分站进行远程双向同步。
图1 网页监控和保护系统基本组成
3.实现对网络流量实时监控与异常报警
随着网络规模的不断扩大,容量不断增加,新的应用不断出现,网络环境变得更加复杂、多变和异构,对网络流量进行监控与分析已成为对网络行为分析的主要可行途径。通过对整个网络进行流量监测,获得网络设备及骨干网每时每刻的流量数据,并对其进行分析和研究,才能发现整个网络运行的规律,不断提高网络安全性能。目前在世界各地有许多公司和学术团体 , 根据不同的计算机系统与需要开发出不同的网络流量监控工具如Cacti, Sniffer Pro, ROM II, NetDetector,Netxray等相关软件。表1 列出了五种流量采集工具的主要性能比较。
网络流量监控与分析范文第4篇
【关键词】通信;技术网络;煤矿;管理系统
近几年,通信技术在煤矿生产方面的应用逐渐发展成熟,并为煤矿生产企业的发展做出了巨大的贡献。从理论层面分析,在煤矿生产企业的生产过程中,相关的技术人员必须利用一定的通信网络,通过通信设备,将确定的生产数据信息准确传达给生产人员,从而利用准确信息引导开采者进行煤矿生产作业。通信是煤矿生产企业在开采挖掘过程中必不可少的一个工作环节,是我们在煤矿生产工作中必须重视的工作。只有在确保煤矿开采信息的准确性的基础之上,才能有效的避免煤矿生产安全事故的发生。
一、关于通信技术建设发展的相关内容的分析
(一)通信技术的发展对煤矿生产的重要性
从目前煤矿生产企业的发展状况而言,现代化的煤矿在机械化生产以及自动化发展程度方面已经取得了突破式的发展。在实际生产活动中,由于煤矿生产环境相对复杂,矿井下的工作环境相对特殊,并且生产操作环节复杂,因此生产工作人员必须对每一道工序以及生产环节都进行严格的控制,因为一旦某个生产环节产生失误,都将引发重大的煤矿安全生产事故。因此,需要利用通信系统,对生产设备进行一定的统筹调度,确保煤矿生产的每个环节都能在安全的基础之上,平稳的进行下去。通信技术在煤矿生产过程中的应用,例如:在实际的生产工作中,矿井下的工作人员可以利用通信技术,将矿井下的地质情况、开采条件、可开采量、需要注意的相关问题,及时的反馈给地面工作者。地面工作者按照煤矿生产的具体需要,制定相关的技术施工方案,避免煤矿生产过程中出现严重的安全事故,从而帮助煤矿生产工作人员有效的排除生产中的故障以及问题,确保煤矿生产过程能够高效、平稳的前提下顺利开展。
(二)通信技术对煤矿网络发展的促进作用
就目前煤矿生产发展状况而言,完整的煤矿生产网络的建立与发展都是相对复杂的。在煤矿生产网络中,应包含煤矿所有相关的生产信息,并且必须确定生产信息的准确性。在创建煤矿生产网络监控系统的工作时,必须重视链路的调控工作,以避免网络监控系统出现严重的故障。在实际工作中,相关管理人员必须做好监管的工作。在煤矿生产网络监控系统的链路中,主要的内容包括链路利用率监控、历史流量曲线、链路层错误监控、虚拟链路监控等环节。
通过NetScout链路监控,相关管理人员可以在事先的准备工作中,设定合理的利用率阀值,并检查相关通信设备是否运行良好。对比利用率阀值的标准,控制利用率的变化,当利用率达到阀值时系统会自动发警告,为技术工作人员提供相关线路的实时流量信息。例如:在工作中事先设置一个合理的阀值,当利用率低于阀值时,使报警系统发出提醒的声音。另外,在数据链路层方面,注意观察每小时、每日、每周、每月发生的流量显示数据链路吞吐量,并将其整理为资料。然后利用数据链路吞吐量与历史利率进行一定的对比,使技术人员可以通过对异常数据的分析,尽快的排查出生产故障。利用链路层错误代码监控实现对线路误码、误码率的控制,技术人员可以通过数据的异常变化情况,判断出现的问题以及问题出现的原因。在进行数据对比与分析时,历史流量曲线图发挥了重要的作用。因此,我们必须使用标准的历史流量曲线图,如下所示:
二、关于煤矿通信网络管理系统的相关分析
(一)网络流量控制与主动管理
从理论层面分析,通信网络管理系统中的流量控制工作是非常重要的,通信网络管理系统流量的控制工作贯穿于管理系统的各个环节。通过专门的计算机网络创建具有综合性的煤矿生产网络控制系统,同时准备将其与通信网络进行连接的工作,使之可以在专门的通讯设备的辅助下,最大程度的发挥应有的控制效果。在网络流量控制与主动管理工作中,对于注重长期监控分析、异常流量检测、应用性能监测以及主动警告等方面问题的应急预案准备是必不可少的。我们可以利用NetScout对煤矿生产过程进行不间断的监控分析,使技术人员利用正常情况下的网络数据模型,可以通过对比现有的生产数据,精确的分析煤矿生产网络的运行状况、流量分析工作环节的具体状况。例如:在实际工作中,对网络的应用性能进行相关的监控分析,并将应用响应设置在400ms以下的范围为正常值,当实际的应用响应达到400ms以上时,系统应自动产生警报声,用户可以采用NetScout流量分析的作用进行监控分析,从而得出网络性能下降时的具体网络状况。
(二)煤矿通信网络数据库的管理特点
在煤矿通信网络数据库的管理工作中,煤矿通信网络数据库的管理特点是必须要掌握的信息,主要包括安全性、可调性、完整性、独立性。重视煤矿通信网络数据库管理的安全性,是因为计算机系统在通信网络运行中经常会出现数据资源被盗、损坏等问题。为进一步强化用户增强煤矿通信网络数据库的数据安全意识,可以根据煤矿通信网络数据库发展与运行的状态,进行适当的调整。当煤矿通信网络数据库运行在安全、稳定状态下时,还应确保数据库数据的完整性,并避免数据之间出现混乱的状况,使煤矿通信网络数据库可以保持独特性,以保证可以在最短的时间内恢复相关的数据,促进煤矿生产效率的提升。
三、总结
随着我国社会经济的不断发展,煤矿成为促进经济发展的重要能源产业。因此,经济的发展对煤矿生产企业提出了更高的要求。另外,信息技术的发展,也为煤矿生产企业在开采过程中的信息采集与传递做出了巨大的贡献。在煤矿生产企业进行煤矿开采以及生产的相关工作时,应在技术人员的指导下,结合所有的生产因素,综合考虑通信技术的运用方式。在将通信技术用于煤矿生产的过程中,适时的建立通信技术与通信网络管理相联系的生产操控系统,之后利用计算机系统进行自动化的管理,使之可以为煤矿生产人员提供更为准确的生产信息。同时,要强化相关工作人员维护与控制的工作意识,定期对通信网络以及设备进行一定的检查与维护,使网络管理系统能够保持正常的运行状态。
参考文献:
[1]赵庆平.方观礼.煤矿井下通信系统的研究[J];科技信息,2009(13).
[2]王川.贾振旭.辜启刚.邹润.输油管线信息网络管理系统的开发研究[J].油气田地面工程,2006(12).
网络流量监控与分析范文第5篇
【关键词】交换机 电力监控 数据分析
1实施方法
将移动工作站与正在运行的交换机空余端口进行连接;通过IE浏览器进入交换机内部配置界面,设置镜像将交换机其他正在运行端口的通讯数据全部映射到该端口;打开网络分析软件,设置对该端口的数据进行实时分析。
2结果分析
2.1总体分析
(1) 查询结果:截取了1分30秒内交换机端口总体通讯的实时流量,结果如图一所示。
(2)数据分析:分析图一可知,在此时间段内端口最大通讯流量未超过33.5KB,而该交换机端口采用的为10M端口,其最大通讯流量为10M=10240KB;由此可知,在此时间段交换机整个运行的利用率接近0.3%。
(3)分析小结:通过对交换机端口实时流量分析可得出结论:交换机在运行过程中端口负载较低,远远未达到其最大带宽,说明交换机实时通讯整体运行平稳,网络通讯中不存在异常大数据包和病毒攻击等现象。
2.2网络分析
(1)查询结果:截取整个测试22分钟内交换机端口与各设备实时通讯流量,结果如图二所示。
(2)数据分析:分析图二可知,在此时间段内通过交换机进行传输的设备均产生了不同程度的流量,占用了一定的网络带宽。其中两台通讯控制器(172.20.1.130为A网通讯控制器;172.20.1.131为B网通讯控制器)的流量最高,分别为21.79MB和11.70MB。通过命令查询发现,大部分通讯任务在A网通讯控制器上运行,因此两台通讯控制器在交换机网络实时通讯中存在较大流量差距是正常现象。
除通讯控制器外,主要产生较高流量的设备为间隔层通讯设备(172.20.1.140),在测试时间段内总流量为4.01MB,这与该设备下挂两条包括35KV1、2段通讯链路,通讯数据量较大相符合。其余记录的通过小交换机连接和直连交换机的设备流量相差不大,总体流量较小,几乎都不到1MB。
(3)分析小结:通过对交换机网络流量的结果分析可知:交换机网络通讯中,主要的带宽用于与通讯控制器的通讯中,其次为与间隔层通讯设备的通讯,真实反映了各设备通讯所占的比重。
2.3事件分析
(1) 查询结果:整个测试22分钟内产生了位于传输层的“TCP 重复连接尝试”和位于数据链路层的“ARP扫描”两种事件。
(2)数据分析:在进行测试期间,两台通讯控制器不停地尝试与间隔层通讯设备建立TCP连接。登陆间隔层通讯设备查询系统日志后发现,其3#串口与通讯控制器通讯存在异常现象。而现场间隔层通讯设备仅使用了1#、2#串口进行通讯,3#、4#串口未进行接线。查看通讯控制器配置发现,存在多余的与间隔层通讯设备3#串口的链路通讯配置。因此,“TCP 重复连接尝试”诊断事件反映了因通讯控制器存在多余链路配置,导致通讯控制器不停尝试与未进行物理连接的设备建立连接。
通讯控制器作为主机服务端,一定时间内会发出ARP扫描包,将下位机客户端的MAC地址转换为IP地址进行通讯。根据“ARP扫描”事件可知,在进行测试期间,两台通讯控制器共计进行了54次APR扫描,约为一台交换机49秒进行一次ARP扫描。此访问频率符合通讯控制器正常ARP地址扫描包的发送范围,且共计占用流量仅为102.95KB,对交换机的正常通讯不会造成任何不良影响。
(3)分析小结:通过对交换机诊断事件的结果分析可知:软件所记录的事件能直观地反映网络通讯中存在的现象,未发现影响网络正常通讯的事件。
3测评总结
本次开展交换机在地铁电力监控系统中的深度测评工作,旨在进一步对交换机的运行状态进行更深层次的解析,提前预判交换机可能存在的网络安全隐患,避免造成更大的危害。根据网络通讯分析结果,可得出结论:电力监控系统交换机在地铁网络中整体运行平稳、安全,未发现异常数据包或网络病毒攻击的现象;同时通过交换机进行转发的数据量远远未达到其端口的最大访问量,表明交换机带宽完全能满足运营需求。
4结语
目前地铁电力监控系统中运行的交换机完全满足运营的需求,通讯网络中不存在病毒或异常数据包。此次测评的方法可以作为交换机常态检修的方法,有效地对交换机的运行状态进行定期检查。
参考文献:
