网络流量检测分析技术研究

查黄英

(西安文理学院，陕西 西安 710065)

网络流量检测分析技术研究

查黄英

(西安文理学院，陕西 西安 710065)

摘要：随着社会的不断发展与进步，互联网已经在人们的生产生活中逐渐普及，经常会需要了解网络的运行情况，所以网络流量分析技术应运而生。在复杂多变的网络环境中，需选用网络流量分析技术对网络进行检测和管理，特研究了几种不同的网络流量分析关键技术。

关键词：网络；流量分析；流量采集

当今世界，互联网技术飞速发展，利用网络漏洞对网络进行攻击、篡改的事件也频频发生，需要对网络数据流进行监测和分析，查找出网络异常，进而解决网络中存在的问题，所以本文研究了几种不同的网络流量检测技术。

1网络流量采集技术[1-5]

1.1Sflow 技术

Sflow是由InMon、HP和Foundry Networks于2001年联合开发的一种网络监测技术，它能够对实时提供的采样数据进行分析，从而在整个网络中以连续实时的方式完全监视每一个端口，但不需要镜像监视端口，且基本上不会对网络性能造成巨大的影响。这种方式主要通过Sflow 数据采集器或者分析器和Sflow 代理2个主要组成部分来实现，其中，Sflow 代理通常是以嵌入到网络设备芯片中的方式进行网络数据流采集(不需要再安装部署额外的探测器)，再将采集的数据传输到 Sflow分析器，Sflow 分析器对其数据进行处理便可以实现网络流量的分析与统计。采集的信息包括：MAC地址、IP地址、服务类型和端口统计等。Sflow还能使用不同的采样率，对交换机或仅对其中一些端口实施监视，保证了设计管理方案时的灵活性。

1.2SNMP 协议

SNMP属于基于TCP/IP的互联网网管协议，它对承载信息的消息格式等进行了标准化的定义。由于基于SNMP的流量采集分析就是通过SNMP协议访问设备获取信息，所以要求网络设备支持 SNMP 协议。目前，大多数厂商的产品都兼容 SNMP 标准，包括IBM和HP等大公司，它能对互联网上不同厂家、不同类型的设备进行监控和管理，已成为网络管理信息交换事实上的工业标准。SNMP 协议主要通过GetSetTrap 3种服务获取相关信息，Get服务的作用是获得特定的网络管理信息；Set服务的作用是对信息进行设置；Trap服务作用是对重要的事件进行报告。

1.3Netflow 协议

NetFlow协议由Cisco公司开发推出，它是Cisco设备NLOS软件中内嵌的一种功能，是Cisco私有协议，目前已经在很多Cisco 路由器上得到部署，随着Cisco产品在业界的广泛使用，Netflow逐渐成为业界认可的一种标准，很多厂家也对Netflow进行了兼容。

在 Netflow 协议中的Flow 被定义为一个源IP地址A和目的IP地址B间的单一方向连续的数据流，也就是说，A、B两点之间的网络连接会有2条Flow记录，一条是由A到B的单向Flow记录，另一条是由B到A的单向Flow记录。网络设备通过以下的7个参数对Flow进行区分，即源 IP 地址、目的IP地址、源端口号、目的端口号、路由器输入接口、协议种类和服务种类。

Netflow检测数据包的过程如图1所示，Netflow技术能对区分出的每个Flow进行单独的跟踪，记录其信息。Netflow将网络流量记录到设备的高速缓存中，进而提供网络流量检测。因为设备内的高速缓存空间是有一定限制的，而Flow 记录却是持续增加的，它不能容纳Flow 记录的无限制增加；因此，为能够更好地维护网络设备中储存 Flow 信息的空间，要对Netflow 协议实施终结 Flow 记录机制。这种方法实际上是对Flow记录缓存来进行管理。

图1　Netflow检测数据流过程

笔者查阅相关文献发现还提及到2种检测技术。第1种是RMON技术，其由SNMP MIB扩展而来，有2个版本：RMONⅠ和RMONⅡ。这2个版本并不矛盾，RMONⅡ是对RMONⅠ进行了补充，RMONⅠ只检测MAC及以下的数据包，RMONⅡ增加了检测的内容，扩大了检测的范围。RMON技术的实现方式有2种：一种是将RMON代理植入到网络设备中，另一种是成为一种单独的网络设备——探针。本文不单独将这种技术列出阐述。第2种是主机系统中的采集技术，包括基于零拷贝的报文捕获技术和于网络协议栈的报文捕获技术，它们分别通过其支撑接口PF_RING和libpcap来实现。该技术不能看到全网范围的流量情况，故本文也不做具体阐述。此外还有经常提及和使用的MRTG，它是一种基于SNMP协议的网络流量监控管理软件，不能和上述几种技术并列讨论。

2流量采集的特点

1)适应性强。由于网络具有多样性和异构性的特点，且报文类型也多种多样，这就要求流量采集技术能适应不同的网络，对各种网络数据都能进行检测和分析。

2)快速高效。采集不是最终目的，最终目的是通过流量采集分析网络中存在的问题，并能进行防御处理，这就要求采集技术快速高效；同时，进行流量采集是为了对网络进行分析，不能影响原有网络的性能和速度。

33种流量采集技术对比分析

Sflow不具备实时分析能力，它是通过设置一定的采样率进行捕获，对网络性能影响较小。SNMP配置简单，费用低，但无法进行深层次的收集分析，且对网络性能会产生影响，不适合复杂的网络。Netflow是Cisco公司的私有协议，分析的范围有限，且费用较贵，会对网络性能造成影响。在实际工作中，应根据网络自身情况和工作要求选择合适的采集技术，对数据流进行采集后，下一步就要进行分析，从而判断这种网络行为是否合法，会不会对网络造成影响，下述就来探讨一下网络流量分析技术。

4网络流量分析技术

4.1DPI 技术

DPI(deep packct inspection，深度包检测)不仅分析IP包的4层以下的内容,包括源端口、目的端口、目的地址、源地址,而且还增加了应用层分析,通过分析识别各种应用甚至是用户的行为,如图2所示。由于只有在应用层才有表示协议信息的数据，且DPI可以对多数协议进行识别，所以它实际上是一种基于应用层的流量检测和控制技术，运用DPI 技术进行网络流量分析时，在准确读取了 IP 包载荷内容的基础上，重组 OSI 7层协议中的应用层信息，并由此得到整个应用程序内容。

图2　DPI概念图

基于 DPI 技术拥有一个应用特征的数据库和扫描方法，每当采集到数据，它都会进行分析并和应用数据库进行比对，如果存在就能确定应用类型，不存在则要更新数据库；所以，这种技术需要长期对应用数据库进行更新、维护，且要进行逐包拆包操作，并和特征数据库进行对比，可以对流量中的具体应用类型和协议做到较为准确的识别，但缺点是处理速度较慢。

4.2DFI 技术

DFI(deep flow inspection，深度流行为检测)也是一种典型的业务识别技术，它与DPI的差别在于DFI采用的是一种基于流量行为的应用识别技术。通过对包长序列、包长范围、包长重复、包数统计和报文收发比等进行统计分析， 并和流量模型进行比对，从而鉴别出应用类型。

根据一系列流量的行为特征，建立了流量特征模型，在对话连接流的包长、连接速率等进行分析的基础上，将其与流量模型进行对比，从而鉴别出应用类型。如果接收到的数据流平均包长>450 b，连接速率高，通过分析比对，可以判断它是P2P流，而不是RTP流。这是根据不同应用类型在会话连接或数据流上的状态也存在差异而进行的判断，但是这种鉴别只能是笼统分类，对该流量采用何种协议无法判断，且受网络情况影响较大，如果网络拥塞，出现错误，则需要重传，包长、会话时间将发生变化，从而影响DFI的判断，可能会出现偏差、失误，优点是速度快，效率高。

5结语

网络流量采集技术为网络流量分析的实现提供了重要的数据资源，为能够更好的分析当前复杂网络环境中的网络流量情况，本研究主要分析了3种网络流量采集方法及2种具体的网络流量分析技术，望能够为有效实现对互联网流量分析与控制提供参考。

参考文献

[1] 闫晓艳.分布式网络流量分析系统的研究与实现[D].济南：山东大学， 2014.

[2] 董超.基于网络流量监测的移动互联网特征研究[D].北京：北京邮电大学，2013.

[3] 刘岩.网络流量控制若干关键技术研究[D].上海：复旦大学,2004.

[4] 陈晓天.基于软计算的IP网络流量监测和控制关键技术研究[D].南京：南京邮电大学,2013.

[5] 蒋红艳.基于流量监控的网络性能优化关键技术研究[D].长沙：湖南大学,2010.

责任编辑李思文

Analysis of Network Traffic Detection Technology

ZHA Huangying

(Xi’an University, Xi’an 710065, China)

Abstract:With the continuous development and progress of society, the Internet has been increasingly widely used in people's production and life, it is necessary to understand the operation of the network, so network traffic analysis technology was introduced. In the complex network environment, often need choose the network traffic analysis techniques to detect and manage it, the paper studied several different network traffic analysis of key technologies.

Key words:network, traffic analysis, traffic collection

收稿日期：2014-12-03

作者简介：查黄英(1981-)，女，硕士，主要从事计算机网络等方面的研究。

中图分类号：TP 393

文献标志码：A