对互联网流量分析技术研究

李炎东 张影

摘 要：随着硬件设施的提高，电子计算机技术的进步，互联网得到了快速的普及，互联网几乎覆盖了各行各业。互联网业务越来越多，承载的业务量也是呈爆发式发展，这时就需要我们对互联网流量进行准确科学的测量和深入分析研究，制定科学的技术支持，拓展互联网应用潜力，缩减互联网流量成本。本文就此问题展开讨论，首先对我国目前的互联网流量应用的分析技术现状进行了深入分析，接着深入探讨了具体的技术解决方案。

关键词：互联网；流量分析；技术研究

我国的互联网业务发展特别快速，并且规模也在迅速发展，涉及的行业也越来越多，结构也日趋繁杂，互联网流量快速增多，在这种形式下必须有一个科学高效的互联网业务流量监测系统来对整个互联网上承载的各项业务来实行准确实时的流量与流向监控分析，从而进一步开发互联网的资源潜力，缩减互联网的流量成本，且为互联网优化整合，详细规划和业务拓展给以基础支持。

1 互联网流量分析技术的应用及现状

1.1 为互联网出口互联链路的设置提供决策支持

经过长期对互联网的出口流量以及流向的分析研究，能够看出互联网的内部用户和其他一些外部互联网的访问情况，这样我们就可以合理的有针对性的选择和其他网络运营商的互联方式，从而达到节约成本提高效率。

1.2 掌握用户对其他运营商的访问情况

认真研究和探讨网内用户对其他外部互联网的访问业务特点，以及研究其主要流量的去向，能够掌握每位用户对互联网的兴趣点在哪里，可以找到最热门最常用的热点信息，能够建成符合实际要求满足用户需求的互联网内容，减少互联链路的巨大压力。

1.3 评估分支互联网的成本和价值

经过对互联网流量的多少，去向，以及这些内容的组成，充分了解每个支路网络所占据的带宽情形，进而知道其所占用的互联网成本，这样就可以开展有针对性的业务，了解其进展情况，最后做出价值评估。

1.4 提供主要应用以及大客户统计分析

了解和分析重大客户以及主要应用的流量状态可以有助于互联网带宽的成本分析和研究，有利于在互联网的服务质量以及互联网成本之间找到最好的平衡点。

1.5 制定长时间的监控，掌握特定流量，帮助网络管理人员分析和掌握网络流量模型

制定一个长期监控措施，对于特定流量进行特别监控，对取得的数据进行分析和研究，帮助网络管理人员分析和掌握网络流量模型，及时的了解当前互联网的应用状况，但发现异常时能够马上发表警讯，在故障事故发生之前或者是事态扩大爆发之前就能够采取有效的防治措施，保证整个网络的安全，提高整个互联网的服务质量和效能。

1.6 经常实行互联网异常通信检测，主要防治分布式拒绝服务的攻击以及大范围的蠕虫病毒发作

通过实时检测，要能够及时快速的发现互联网中出现的异常流量，并对这些异常流量进行研究和分类，找到其异常的原因和这些异常流量所具备的基础属性，并把它们和互联网通信正常基线作比较，迅速准确的判断它是不是互联网恶意攻击，并明确这种攻击的类型，并对这次攻击所带来的危害结果以及对互联网形成的影响范围进行大致的确定，并根据攻击的形式和特点制定有针对性的措施和防治技术手段，来消灭这种攻击或让攻击消失在萌芽状态。

2 互联网流量分析技术研究

2.1 基于NetStream技术方案

NetStream是华为公司基于“流”的概念，定义的一种用于路由器或交换机输出互联网流量的统计数据方法。路由器或交换机对通过其的IP数据包进行统计和分析，并上报给网流采集器，网流采集器把搜集的数据包及统计数据传送到网流分析器，经合并后存入数据库进行分析处理。

2.2 基于NetFlow技术方案

NetFlow是Cisco公司开发的技术，它既是一种交换技术，又是一种流量分析技术，同时也是业界主流的计费技术之一。NetFlow因为其技术和Cisco互联网产品的市场占有率的优势，而成为当今主流的流量分析技术。铁通北京分公司本次制定的基于NetFlow技术互联网流量采集方案是通过增加一台配置互联网分析模块实现的。NAM是Cisco公司集成的通信流监视解决方案，它使用交换端口分析器或远程SPAN来接收来自物理端口、虚拟LAN、以太通道和NetFlow数据输出帧的数据。NE80A、NE80B所有的互联网出口均通过Cisco6506桥接到出口网关设备上，互联网分析模块NAM使用流量镜像机制SPAN，从Cisco6506主干上获得数据来源，采集NetFlow数据，或者从交换引擎的统计数据中获得数据来源。由于是通过NAM模块实现NetFlow数据采集而不是由ISO完成的，因此对Cisco6506整机的性能影响非常小。

2.3 基于sFlow技术方案

sFlow技术采用数据流随机采样技术，可以适应超大互联网流量环境下的流量分析，让用户详细、实时地分析互联网传输流的性能、趋势和存在的问题。sFlow不需要在互联网各处部署成本昂贵的探测器。sFlow代理被嵌入在互联网交换机或路由器的ASIC中，对互联网传输流进行采样。sFlow管理信息库控制sFlow代理，后者则捕获和格式化数据包样本，并将其转发给一个中央RFC3176数据采集器来生成数据报。以统计方式对互联网传输流采样，互联网管理人员可以在系统范围内观察互联网上的传输流、互联网安全性和应用传输流来源。RFC3176没有增加沉重的互联网负载，这点与基于软件的专有传输流监测方法形成了鲜明对比。在设备上sFlow数据包采样工作是一些简单的查找，将数据编排到数据报中并送入队列等待传输。