一种基于增量的流量监测机制在网络监控中的应用

宋亚兰

摘 要：随着各类业务对网络需求的不断增加，网络监控工作在运维中所起的作用愈发明显。传统的流量监控多是从电路的峰值流量、均值流量、最小值流量等几个维度进行监测的，虽然能对电路利用率提出有效预警，但是无法实现实时网络性能监控。本文提出了一种基于增量的流量监测机制，同时结合自动告警平台触发告警工单提醒，能及时发现流量异常情况，实现对网络运行情况及网络安全性监控。

关键词：流量增量;网络安全;网络性能;网络监控

中图分类号：TP393.08文献标识码：A文章编号：1003-5168（2020）22-0023-02

Abstract： With the increasing demand of various services for network， network monitoring plays an increasingly important role in operation and maintenance. Traditional traffic monitoring is based on the monitoring of the circuit's peak flow， average flow， minimum flow and other dimensions. Although it can provide an effective warning of circuit utilization， it cannot achieve real-time network performance monitoring. This paper proposed a traffic monitoring mechanism based on increment. Combined with the automatic alarm platform to trigger the alarm work order， it can detect the abnormal traffic in time and realize the monitoring of network operation and network security.

Keywords： traffic increment;network security;network performance;network monitoring

1 研究背景

随着通信技术的发展，人们日常活动对网络的依赖性逐渐增强，对网络运行质量以及维护工作的要求越来越高。当前，网络监控工作从被动式的故障通报向主动故障发现、自动化维护转变。网络流量监控作为网络性能监控的重要手段，为网络运行情况及网络安全分析提供了重要依据。传统的网络流量性能监控方式，多是对电路的峰值流量、均值流量、最小值流量等维度进行监测，无法对电路运行情况进行实时监控[1]。本文提出一种基于增量的流量监测机制。该机制能实时发现流量增量变化，通过设定增量阈值，当增量达到阈值时产生告警，并将告警信息通过短信发送给维护人员，从而实现对网络运行稳定性以及网络安全的有效监控。

2 方法介绍

基于增量的流量监测机制，主要是通过对比前后两个周期内电路流量均值信息，以流量增量作为监测目标，后台服务器自动采集并对比流量信息，当流量增量大于设定阈值时，触发告警。例如，以5 min为一个采集对比周期，当前统计周期为[T1]，流量均值为[F1]，上一个统计周期为[T2]，流量均值为[F2]，监测目标值的计算公式为[2-4]：

设定告警阈值最大值为[Г]，最小值为[-Г]。

当流量增量[Δ>Г]时，说明流量存在突增现象。后台服务器将告警信息自动发送给维护人员，维护人员要分析突增原因为正常访问流量还是网络攻击，主动排查网络性能是否受到影响，实现网络异常状态主动发现。

当流量增量[Δ<-Г]时，说明流量出现突降现象。后台服务器将告警信息发送维护人员后，维护人员要主动排查电路状态，并联系客户排查内网，以及时发现故障、解决故障[5]。

3 具体应用

基于增量的流量监测机制在运营商网络出口流量监控、重要客户电路流量监控中得到应用，后台服务器通过对流量增量数据进行记录、比对，及时发现流量异常情况。当后台流量增量超阈值后，主动触发告警，向维护人员派发工单。维护人员根据工单内容，具体分析流量走势，预判故障类型，提前进行隐患排查。目前，洛阳电信已在城域网出口电路、IDC业务监控中应用了流量增量监控功能，有助于发现网络攻击以及流量异常的情况，通过提前制定网络策略、排查链路情况，有效提升了故障主动发现比例，缩短了故障处理时间。

城域网出口电路流量相对较大，从数据上看，波动情况不太明显;但是通过分析异常流量发现存在网络攻击现象。IDC单一电路业务流量相对来说较小。由于用户业务差异，流量存在正常波动。因此，具体应用中流量阈值设置要结合业务需求进行调整，针对不同类型的业务专门设置阈值，才能起到监控作用。

4 效果分析

以某客户IDC电路为例，设定电路阈值[Г]=50%（该项指标可以设置为任意值，根据维护与测试经验值暂定50%），统计周期为5 min。若当前统计周期内流量均值高于前5 min流量均值的50%，服务器会记录当前时间、流量状态并产生告警，并向网络维护人员派发工单，维护人员收到工单后，主动排查网络性能、设备日志，及时发现网络攻击以及设备性能拥塞问题;若当前流量均值低于前5 min流量均值的50%，后台服务器会记录当前时间、流量状态并产生告警，并向监控值班人员派发工单，维护人员收到工单后主动排查电路性能，及时联系客户处理故障。流量突降超阈值的情况和工单如图1和图2所示。

整个过程無须人工干预，自动进行7×24 h监控，提升了故障主动发现率。当收到工单后，维护人员先排查侧链路状态，如果电信侧电路正常，可继续观察流量走向，若流量持续下降，可提醒用户排查用户内网是否存在异常。这不仅有效提升了网络故障发现效率，缩短了障碍发现时长，而且为网络攻击监测提供了有效手段。

参考文献：

[1]孙斌，任喆.基于流量监控数据的IPRAN网络分析及诊断方法概述[J].科学与信息化，2017（27）：23-26，29.

[2] Ji Zhang， Shaoqing Meng. A design of NetFlow traffic statistic and analysis system for process of the transition of commercialization of IPV6[C]//International Conference on Computer Science & Service System. IEEE， 2011.

[3]魏平.利用开源网管软件对网络设备进行监控管理探究[J].通信管理与技术，2016（3）：40-42.

[4]季莹，赵志远，章继刚.全流量监控：科来全流量分析实现数据中心智能运维[J].网络安全和信息化，2018（5）：40.

[5]李春，王之一，杨爽，等.网络流量实时监控及安全分析系统的开发应用[J].电子技术与软件工程，2018（2）：47-48.