（计算机科学与技术专业论文）ip网络业务行为分析.pdf

摘要 以i p 技术为核心的通信网络已经成为当今人类社会最重要的基 础设施之一，是人们工作、学习以及生活的重要组成部分。i p 网络最 重要的价值并不在于网络本身，而是在于网络上承载的业务，因此基 于业务的管理成为了网络管理的核心。随着i p 网络上的业务日益增 多，对i p 网络业务行为进行分析变得非常迫切。通过对网络业务行 为进行分析，有助于发现网络业务的运行规律，提高网络业务的服务 质量，提高网络的资源利用率。 本文的任务主要是对i p 网络上的业务行为进行分析研究，主要包 括如下研究内容： 1 ) 建立了i p 网络业务的定义、表示与分类体系； 2 ) 建立了i p 网络业务行为的概念与分类体系； 3 ) 确立了i p 网络业务行为的分析目标； 4 ) 根据确立的i p 网络业务行为分析目标研究了相应的分析方法 与实现技术，包括数据包深度特征值检测技术、n e t f l o w 技术、 回归分析方法和关联规则挖掘方法； 5 ) 在上述基础上设计了i p 网络用户行为分析系统的系统结构，并 实现了一些关键模块。 关键词网络管理业务管理业务行为分析q o s i pn e t w o r ks e r v i c e s b e h a v i o r sa n a l y s i s a bs t r a c t n o w a d a y s ，i pn e t w o r kh a sb e c o m eo n eo ft h em o s ti m p o r t a n tb a s i c e s t a b l i s h m e n t so fo u rs o c i e t y , a n da l s oa l li m p o r t a n tc o m p o n e n to fo u r w o r k i n g ，s t u d y i n ga n dl i v i n g t h ev a l u eo f i pn e t w o r ki sn o to nt h e n e t w o r ks e l f , b u to nt h es e r v i c e ss u p p o r t e db yi t ，s om a n a g e m e n tb a s e d o ns e r v i c eb e c o m et h ec e n t e ro fn e t w o r km a n a g e m e n t f o rt h es e r v i c eo n t h en e t w o r ki n c r e a s er a p i d l y , a n a l y s i so nt h es e r v i c e s b e h a v i o r sb e c o m e v e r yu r g e n t l y i t sv e r yh e l p f u lt of i n dr u l e so f n e t w o r kr u n ，t oi m p r o v e q o so fn e t w o r ks e r v i c ea n dt oh e i g h t e nu s i n gr a t eo fn e t w o r kr e s o u r c eb y a n a l y s i ss e r v i c e b e h a v i o r s t h ew o r ko ft h i st h e s i si sm a i n l yt oa n a l y z ea n dr e s e a r c ht h e b e h a v i o r so fs e r v i c e so nt h ei pn e t w o r k t ob es p e c i f i c ，i tf o c u s e so nt h e f o l l o w i n g s ： 1 e s t a b l i s ht h ed e f i n i t i o na n do fi pn e t w o r ks e r v i c e ； 2 e s t a b l i s ht h ed e f i n i t i o na n do fi pn e t w o r ks e r v i c e b e h a v i o r s ； 3 e s t a b l i s ht h ea n a l y s i st a r g e to fi pn e t w o r ks e r v i c e b e h a v i o r s ； 4 a c c o r d i n gt ot h ea n a l y s i st a r g e te s t a b l i s h e da b o v e ，r e s e a r c h c o r r e s p o n d i n gt e c h n o l o g ya n dm e t h o d s ，w h i c hi n c l u d en e t f l o w t e c h n o l o g y , r e g r e s s i o na n a l y s i sm e t h o da n dc o r r e l a t i o na n a l y s i s m e t h o d 5 f i n a l l y , d e s i g na ni pn e t w o r ks e r v i c e s b e h a v i o r sa n a l y s i ss y s t e m a n dd e s c r i b et h ei m p l e m e n t a t i o no fs o m ek e ym o d u l e s k e yw o r d s n e t w o r k m a n a g e m e n t ，s e r v i c em a n a g e m e n t ， s e r v i c e s b e h a v i o r sa n a l y s i s ，q o s 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我二同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名马良且回司 日期：刎；乡l 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 马骐矗气 日期： 棚多、弓1 日期：洲7 31 北京邮电大学硕士研究生毕业论文i p 网络业务行为分析 1 1 研究背景 第一章前言 口网络可以说是二十世纪最伟大的成就之一，它的发展可以追溯到7 0 年 代中期a r p a ( a d v a n c e dr e s e a r c hl r o j e c t a g e n c y ，美国国防部远景规划局) 为实 现异种网之间的互连与互通而进行的研究。早期的口网络只是为计算机间传输 数据提供连接，因而业务单一，只有基本的数据业务，后来随着技术的迅猛发 展，m 网络上的业务也日益丰富，出现了语音、多媒体等业务，下一代的口 网络将成为宽带接入、互联网增值应用、数字家庭等新兴业务的综合承载平台， i p t v 、v o d 、n g n 承载、视频监控、绿色上网等业务也将逐渐普及。 随着网络上的业务越来越多，如何让网络更好的为用户服务摆在了网络管 理者的面前，只有随时了解当前网络的运行状态，掌握网络中各种业务的情况， 并根据获得的信息对网络和业务进行适度的控制，这样才能使网络的性能达到 最好的状态，同时也能让用户更好的使用各种业务。 另一方面，由于网络业务种类的丰富多样和不同业务对q o s 的不同需求， 使得网络管理者必须更加有效合理的利用有限的网络资源，因为传统p 网络 对所有业务提供的是不分等级的q o s 保证机制，会造成网络资源在某处可能 过度利用，另外一些地方可能闲置不用的情况，不适应下一代网络q o s 发展 的趋势【i 】。在这样的情况下，基于业务的管理变成了网络管理的核心，而进行 管理的基础是要知道目前网络中有着那些具体的业务，对这些业务的行为进行 分析后才可以进行具体的管理。因此，对网络上的业务行为进行分析研究非 常必要。 1 2 课题任务 本课题的任务主要是对网络上的业务行为进行分析研究，具体来讲就是 从网络管理角度分析网络业务的构成、特点及其行为活动上所表现出来的规律。 本论文主要做了以下工作： 建立了口网络业务的定义、表示与分类体系； 建立了p 网络业务行为的概念与分类体系； 确立了m 网络业务行为的分析目标； 3 北京邮电人学硕上研究生毕业论文i p 网络业务行为分析 根据确立的口网络业务行为分析目标研究了相应的分析技术与方法； 在上述基础上设计了网络用户行为分析系统的结构。 1 3 论文结构 本文后续部分的内容安排如下： 第二章主要介绍了p 网络业务及p 网络业务行为的定义及分类方法，并 阐述了m 网络业务行为分析的意义。 第三章主要介绍了口网络业务行为的分析目标，首先介绍了业务静态行为 的分析目标，主要包括业务协议分析和业务部署分析，然后介绍了业务动态行 为分析目标，主要包括业务服务质量分析和业务流量行为分析，最后介绍了业 务间相互影响分析的分析目标。 第四章主要根据第三章提出的口网络业务行为的分析目标探讨了具体可 行的分析方法和技术。包括数据包深度特征值检测技术、n e t f l o w 技术、回归 分析方法、关联规则挖掘方法。其中数据包深度特征值检测技术主要应用于业 务协议分析和业务部署分析；n e t f l o w 技术主要应用于业务流量分析；回归分 析方法主要应用于业务服务质量分析；关联规则挖掘方法主要应用于业务间相 互影响分析。 第五章主要根据第三章提出的i p 网络业务行为的分析目标以及第四章提 出的分析方法和技术设计了m 网络业务行为分析系统。介绍了系统设计的基本 目标、基本原则以及基本功能，并给出了系统体系结构设计方案，然后介绍了 一些关键模块的实现。 第六章是结论和展望，主要总结了本论文的成果，并提出了下一步研究的 方向和需要解决的问题。 最后为参考文献和致谢部分。 4 北京邮电大学硕士研究生毕业论文口网络业务行为分析 第二章i p 网络业务行为 本章主要讨论了网络业务及业务行为的相关概念，包括口网络业务的 定义及其分类、口网络业务行为的定义及其分类，在此基础上根据课题研究的 需要建立了网络业务及业务行为分类体系，最后阐述了口网络业务行为分 析的意义。 2 1i p 网络业务概述 2 1 1i p 网络业务的定义及其特征 所谓网络业务是指运行在p 网络上，能够提供某种功能或服务的业务。 可从以下五个特征来定义一个网络业务的具体内涵，即 环境、功能、结 果、资源、行为) ，这五个特征的关系如下图所示： 产生 完成 图2 1 口网络业务特征关系图 5 北京邮电大学硕上研究生毕业论文 i p 网络业务行为分析 从上图可以看到业务特征的一些具体关系： 1 ) 行为处于特定的环境下； 2 ) 行为利用资源，如网络带宽、内存、存储器等等； 3 ) 行为产生某些结果； 4 ) 行为完成某些功能。 可以看出，行为是业务的核心。 2 1 2i p 网络业务分类方法介绍 要对i p 网络业务行为进行分析，首先要对i p 网络业务进行分类，只有通 过恰当的分类，才能够为业务行为分析打好基础。因此，网络业务分类对于网 络业务行为分析具有非常重要的意义。 目前对于i p 网络中的业务有很多种分类方法，一般常用的有如下几种：按 照网络中传输数据的类型进行分类，可以分成视频业务、音频业务和数据业务； 按照网络服务进行分类，一种服务就是一类业务，如e m a i l 服务就是e m a i l 业 务，f t p 服务就是f t p 业务。为了对网络中的业务进行一个标准的分类，一些 国际组织在对网络业务进行大量研究的基础上，提出了一些比较成熟的网络业 务分类方法。 1 ) 基于a t m 的网络业务分类方法 在对a t m 进行的研究中，人们把网络上传输的业务分为c b r ，r t - v b r ， n r t - v b r ，a b r 和u b r 五类业务，并对此进行了大量的研究乜1 ，提出了各种 各样的业务模型。但a t m 只是当今i p 网络的一种承载形式，在它上面进行 的分析只是具有某种借鉴作用。a 1 m 的五类业务如下表所示。 类别描述示例 c b r 恒定比特率t l 电路 r t - v b r 可变比特率实时电视会议 n r t - v b r 可变比特率一非实时多媒体电子函件 a b r 可用比特率 w e b 浏览 u b r未指定比特率 文件传送 2 ) 基于i p v 6 的网络业务分类方法 在i p v 6 的包头中有两个字段是关于业务处理的，分别为8 - b i t 的业务 类型( t r a f f i cc l a s s ) 字段和2 0 - b i t 的流标志( f l o wl a b e l ) 字段口1 。 i p v 6 包头中的流标志字段是用于把单个包作为一系列源地址和目的地 址相同的包流的一部分，同一个流中的所有包具有相同的流标签。不支持 流标志字段功能的主机和路由器初始化包时将这个字段设为0 ，转发时不改 6 北京邮电大学硕士研究生毕业论文i p 网络业务行为分析 变这个字段，接收时忽略这个字段。 i p v 6 包头的业务类型字段是用来让转发路由器识别和区分不同类型或 者不同优先级的i p v 6 包。在编写i p v 6 时，人们已经有了使用i p v 4 服务类 型和优先字段提供各种形式i p 包的区分服务的经验。因此，i p v 6 包头中的 业务类型字段是为了允许在i p v 6 中支持相似的功能，希望凭借这些经验最 终导致各种业务分类能应用于i p 包上。 i p v 6 中业务类型字段的第一位用来表示延迟敏感业务，第- - n 四位表 示网络优先级，用于实现区分服务，最后四位保留。同时也有用后四位中 的前两位来表示拥塞避免控制的，具体表示为：第一位表示拥塞经历，第二 位标识发送者和接收者准备采用拥塞信号的包。 3 ) 基于网络业务是否对等分类方法 非对等网络业务 非对等网络业务主要基于传统的c 1 i e n t s e r v e r 模式，在业务网络中存 在服务器节点和客户端节点，节点的地位是不对等的，服务器节点处于中 心主导地位，如果服务器节点发生故障，整个业务便处于瘫痪状态。从流 量上看，非对等网络业务的上行流量和下行流量是不对称的，上行流量主 要是一些控制流量，包括访问请求和少量数据，流量非常小，下行流量则 占据流量的绝大部分。 该类业务主要是一些传统的i p 网络业务，包括w e b 浏览、文件传输( f t p ) ， 电子邮件( e m a i l ) 等。这些业务对分组传输的时延并不敏感，即使在发生分 组丢失的情况下，也能够通过上层协议( t c p ) 来加以解决。此外，在支持q o s 的网络中，由于为了保证某些业务的服务质量，而给与这些业务的数据流 以更高的处理优先级，从而使得上述这些业务因为优先级较低而无法得到 应有的服务质量。 对等网络业务 对等网络业务打破了传统的c l i c n t s c r v e r 模式，每个节点的地位都是相 同的，具备客户端和服务器双重特性，个别节点的故障对整个业务影响的 很小，节点既能够充当服务的使用者，使用其它节点提供的资源与服务， 又能够充当服务的提供者，对其它计算机的请求做出响应，提供资源与服 务。通常这些资源与服务包括：信息的共享与交换、计算资源( 如c p l d 的共 享使用、存储资源( 如缓存和磁盘空间) 的使用等。这直接引导了网络计算模 式从集中式向分布式偏移，使得人们在口网络上的共享行为被提到了一个 更高的层次，使人们以更主动深刻的方式参与到网络中去。从流量上看， 对等网络业务的上行流量和下行流量基本是对称的。 该类业务主要是p 2 p 类业务。p 2 p 是p e e r - t o p e e r 的缩写，称为对等联 7 北京邮电大学硕士研究生毕业论文 i p 网络业务行为分析 网。p 2 p 业务充分挖掘了p c 终端的空闲的强大计算能力，采用了应用层的 拓扑管理、快速的节点查找服务、多点同时下载和上传的快速传输机制， 能够为用户提供更便捷、更快速的服务。其提供的分布式网络结构能有效 均衡负载，充分利用带宽，实现信息资源的最大化共享，但同时大大增加 了网络流量，有关调查表明p 2 p 流量己悄然占据了口网络流量总量的5 0 一7 0 之间，已然成为了“带宽杀手 ，这造成了网络带宽的巨大消耗，甚 至引起网络拥塞，降低其它业务的性能，妨碍了正常的网络业务的开展和 关键应用的普及h 1 。 2 i j 课题对i p 网络业务的分类 根据课题研究的需要，并借鉴上述其他的分类方法，本课题主要从管理角 度，按照是否要求实时传输和高可靠性两个标准对i p 网络上的业务进行分类， 所谓实时传输，说明业务对网络时延比较敏感，所谓高可靠性，说明业务对丢 包率、错误包率比较敏感。按照该分类方法，可以把i p 网络上的业务分为4 类： 1 ) 非实时非高可靠性业务 也即是我们常说的尽力而为业务，最常见的就是w e b 业务，即网页浏览。 2 ) 实时非高可靠性业务 这一类业务最常见的例如v o l p 业务。 3 ) 非实时高可靠性业务 这一类业务的种类较多，如f t p 、t e l n e t 、t f t p 、e m a i l 、p 2 p 文件共享 业务等。 4 ) 实时高可靠性业务 这一类业务常见的如p 2 p 流媒体业务、i p t v 业务等。 2 2i p 网络业务行为概述 由上一节中对i p 网络业务的介绍可以看出，业务的行为是业务的核心，因 此对业务行为进行分析显得十分重要，本节主要介绍i p 网络业务行为并对其进 行分类。 2 2 1 i p 网络业务行为的定义及其特点 网络业务行为是网络业务的特点、构成及其在运行过程中所表现出来的规 北京邮电大学硕上研究生毕业论文i p 网络业务行为分析 律，是一个广义的概念。换句话说，网络业务行为就是网络上的业务在运行过 程中所表现的一切活动。 网络业务行为有如下属性： 目的性 网络业务行为可以到达一定的目的，产生相应的结果： 一 能动性 网络业务行为可以对网络和其它业务产生一定的影响； 预见性 网络业务行为的方式和结果是可以预见的，因为网络业务行为具有一定的 规律可循； 一 多样性 网络业务行为的性质不同，持续时间长短不同，影响范围不同等区别； 可度性 网络业务行为可以通过各种手段进行计划、控制、组织和测度。 2 2 2i p 网络业务行为的分类方法介绍 因为i p 网络业务行为的模糊性和复杂性，对i p 网络业务行为的分类也是 仁者见仁、智者见智，没有一个统一的标准，从不同的角度看有不同的分类方 法。 _ 共有行为和专有行为 共有行为是指所有网络业务都具有的行为，而专有行为则是归属于特殊的 网络业务。 _ 主动行为和被动行为 主动行为是指业务基于自身的特点或者功能特性主动发生的一些活动，被 动行为是指业务在网络环境的改变或者其它业务的影响下，被动发生一些活动。 正常行为和异常行为 正常行为就是业务在正常的运行中表现出来的合乎业务运行规律与特征的 行为，而异常行为就是正常行为在某些条件下的异化。 2 2 3 课题对i p 网络业务行为的分类及其意义 根据网络管理研究分析的需要，本课题针对i p 网络业务行为提出了如下的 分类方法，即把网络业务行为分为静态行为和动态行为两大类。 所谓静态行为是指在网络业务运行过程中所表现出的一些预设定的活动。 9 北京邮电大学硕十研究生毕业论文i p 网络业务行为分析 如业务使用那些协议，业务何种部署方式。 动态行为是指在网络业务运行的过程所表现出的频繁发生变化的活动。如 随着网络环境的变化，业务的性能会发生一些变化，又比如随着用户的变化， 业务的流量也会发生一些改变，再比如网络中可能部署了多种业务，这些业务 之间可能会有相互的影响，某种业务的使用量突然增加，占用大量的网络带宽， 其它业务就会受到影响。 这样分类的意义在于从管理的本质上划分了网络业务行为，因为静态行为 的相对不变性和预知性，可以通过对静态行为的分析达到对业务进行识别、定 位的目的，又因为动态行为的频繁变化，可以通过对动态行为的分析获取业务 运行的规律，并可根据这些规律来对业务的运行状况进行管理、预测和控制。 总之，这样分类可以有效地提高对网络业务行为的分析能力。 2 3i p 网络业务行为分析的意义 从用户角度来看，i p 网络的价值并不在网络的本身，而是在于其承载的业 务。i p 网络建设的目的，也是为了通过向最终用户提供网络业务而获取利润。 因此，通过对i p 网络业务行为进行分析，研究网络业务行为的规律性，借以控 制并预测网络业务行为，有着非常重要的意义。 2 3 1 网络优化 通过对网络业务行为进行分析，可以为网络流量的负载均衡、重要链路的 带宽设置和设定q o s 等网络优化措施提供决策依据。 2 3 2 网络安全 通过对网络业务行为的分析，有助于及时发现网络业务出现的异常状况， 迅速分析出异常状况的相关属性。管理员对出现的业务异常状况可以快速判定 是否为网络安全攻击，评估本次攻击的危险程度及可能造成的影响范围，并采 用相应技术手段实施事故应急处理。 2 3 3 网络资源利用 通过对网络业务行为的分析，找出网络业务的差异化，促使网络利用不同 的网络资源提供差异化服务，提高网络资源的有效利用率，创造更高的价值。 1 0 北京邮电大学硕士研究生毕业论文 口网络业务行为分析 2 3 4 网络规划 为了更好的管理网络和改善网络的运行，网络管理员需要了解网络上有哪 些业务在运行，这些业务的流量分布如何、占用多少带宽、网络的负荷情况等 等。通过对网络业务行为的分析，可以跟踪、预测业务的流量的增长趋势，了 解整体网络流量和重要应用带宽的占用状况及其变化趋势，用户的使用模式等 信息，为今后的网络规划和升级提供决策参考。 2 3 5 网络业务质量保证 如果对所有业务提供的是同样的q o s 保证机制，会让网络上所有的业务、 所有的用户均受到无差别的对待，因此，必然造成紧急业务、核心业务、重点 用户的资源总是无法进行优先保障，会造成网络资源在某处可能过度利用，另 外一些地方可能闲置不用的情况，导致网络资源有效利用率低下，不适应网络 q o s 发展的趋势。通过对i p 网络业务行为的分析，得到网络业务不同的特征表 现，可以对不同的业务采取不同的质量保证措施，保证网络业务的质量。 北京邮电大学硕士研究生毕业论文 i p 网络业务行为分析 第三章i p 网络业务行为分析 在上一章i p 网络业务行为分类的基础上，本章主要阐述口网络业务行为 分析的目标，包括业务静态行为分析、业务动态行为分析以及多业务间相互影 响分析。 3 1 业务静态行为分析 业务静态行为就是业务在运行过程中所表现出的一些不变或者基本不变的 活动。本节主要介绍课题对网络业务静态行为的分析目标，主要包括业务协议 分析和业务部署分析。 3 1 1 业务协议分析 业务协议是业务最显著的静态行为，也是业务最重要的一个属性。业务协 议分析是指捕捉到网络业务的数据包后，按照有关协议规则，将网络业务数据 转换成具有可读意义数据来进行综合分析的过程晦1 。 i p 网络上的业务依赖的是t c p i p 协议栈，它共分为四层，从上到下依次为 应用层、传输层、网络层、数据链路层和物理层哺1 。t c p i p 协议栈模型和i s o o s i 协议栈参考模型的对应关系如下图所示： 图3 1 t c p i p 协议栈示意图 1 2 北京邮电人学硕士研究生毕业论文 i p 网络业务行为分析 根据研究的需要，课题对业务协议的分析目标主要包括应用层协议和传输 层协议。 1 应用层协议 i p 网络的应用层是网络应用程序和它们的应用层协议存在的地方。应用层 包含很多协议，如w e b 业务使用的超文本传输协议( h t t p ：h y p e r t e x tt r a n s f e r p r o t o c 0 1 ) ；f t p 文件服务业务使用的文件传输协议( f t p ：f i l et r a n s f e r p r o t o c 0 1 ) ；邮件业务使用的简单邮件传输协议( s m t p ：s i m p l em a i lt r a n s f e r p r o t o c 0 1 ) 和邮局协议( p o p p o p 3 ：p o s to f f i c ep r o t o c 0 1 ) 等等。上述这 些协议都是标准协议，还有很多应用层协议是非标准协议，如p 2 p 业务使用的 大多是非标准协议，像在我国使用比较频繁的b i t t o r r e n t ( 比特洪流) 协议，在 美国使用较多的k a z a a 协议，在欧洲使用较多的e d o n k e y ( 电驴) 协议。 2 传输层协议 i p 网络的传输层负责在应用程序的客户端和服务器之间传递应用层消息， 在这一层有两种主要的协议。 一种是面向连接的协议t c p ( t r a n s m i s s i o nc o n t r o lp r o t o c o l ，传输控制协 议) ，它为应用程序提供可靠的、端到端的通信连接，它允许源于一个机器的字 节流被无误地传输到i p 网络上的任何其他机器。t c p 将上层应用层传递的 字节流分成封包，再接着传递到它的下层网络层。在接收方，t c p 重新集 合接收到的封包，将其转化成为输出流。t c p 也处理流控制，以确保一个快的 发送者不会发送太多的封包而淹没接收者。 另一种是无连接的协议u d p ( u s e rd a t a g r a mp r o t o c o l ，用户数据包协议) ， 它是一个简单的面向数据报的传输层协议，不对传送包进行可靠的保证，可靠 性则由应用层来负责。 通过对业务协议进行分析，可以达到对业务的类型进行识别的目的，帮助 网络管理员了解目前网络中有哪些业务，这些业务应用的协议种类，每种协议 所占的比例，哪些设备应用哪些协议进行通讯，同时可以帮助管理员分析协议 应用的合理性与有效性，从而合理地选择协议节约有限的网络带宽，提高网络 传输效率。 3 1 2 业务部署分析 业务部署主要是分析业务的使用者和提供者的位置，业务部署的分析目标 主要是分析业务节点的位置( 以i p 地址来标示) ，即业务的服务器节点部署在那 里，在监控网络的内部还是外部，使用该服务的客户端节点有哪些，分布情况 怎么样。如对w e b 业务，了解w e b 服务器的位置及访问该w e b 服务器的客户端， 1 3 北京邮电大学硕上研究生毕业论文口网络业务行为分析 对f t p 业务了解f t p 服务器的位置及使用该f t p 服务的客户端。通过对业务部 署进行分析，可以识别网络上的业务节点和使用情况。 3 2 业务动态行为分析 业务动态行为就是业务在运行过程中所表现出的一些频繁发生变化的活 动。动态行为受网络环境变化的影响、受用户数量的影响、受用户行为的影响。 本节主要介绍课题对业务动态行为的分析目标，主要包括业务服务质量和业务 流量行为。 3 2 1 业务服务质量分析 影响业务服务质量的因素有很多，如网络环境，用户数量，用户行为等等。 根据研究需要，课题只对业务服务质量在不同网络环境下的表现进行分析，通 过这种分析，有助于对网络进行规划并对网络业务服务质量提供保证。 网络环境的变化外在的直接体现就是网络性能的变化，网络性能可以通过 一系列的网络性能参数来衡量，这些性能参数可以通过具体的测量以及一定的 运算获得。业务服务质量的变化则主要体现在业务服务质量参数的变化，这些 参数同样也是可以通过具体的测量和计算来获取的。 下面分别介绍对网络性能参数的选取和业务服务质量参数的选取。 3 2 1 1 网络性能参数的选取 衡量i p 网络性能的参数有很多，常用的一些i p 网络性能参数如下口1 ： 1 i p 包传输时延( i p t d ) 定义为i p 包穿过一个基本段或网络段集合所经历的时间，与该包传送 成功与否无关。 2 i p 包时延变化( i p d v ) 定义为端到端两点间i p 包时延变化( v k ) 是i p 包k 通过源节点s r c ( m p l ) 和目的节点d s t ( m p 2 ) 的实际时延( x k ) 与通过相同节点间定义的参考i p 包 传送时延( d 1 ，2 ) 的差，即：v k = x k - d l ，2 。i p 包时延变化参数非常重要。在 数据包传送应用中，利用i p 包时延变化范围的信息可以避免出现节点缓冲 的溢出和读空；i p 包时延变化会引起t c p 层重传定时器门限的增高，也可 能引起数据包重传的时延或造成没有必要的数据包重传。 3 i p 包误差率( i p e r ) 1 4 北京邮电大学硕上研究生毕业论文 i p 网络业务行为分析 定义为错误i p 包传送结果与成功i p 包传送加错误i p 包传送结果之和 的比值。 4 i p 包丢失率( i p l r ) 定义为丢失的i p 包传送结果与所有i p 包的比值。 5 虚假i p 包率( s p r ) 一个出口节点的虚假i p 包率指在一个特定时间间隔内在该节点上观测 到的虚假i p 包数量除以该时间间隔。 6 i p 包吞吐量( i p p t ) 出口节点的i p 包吞吐量等于一个特定时间间隔内在该节点上观测到的 所有成功i p 包数量除以该时间间隔。 7 基于字节的i p 包吞吐量( i p o t ) 出口节点的基于字节i p 包吞吐量等于一个特定时间间隔内在该节点上 观测到的成功i p 包中所有字节数量除以该时间间隔。 上面列举的多种i p 网络性能参数并非都是课题研究必须关注的。本课题研 究对网络性能参数的选取考虑几方面的因素： 1 所选参数必须和课题对业务的分类标准相关； 2 所选参数必须能和业务的服务质量相联系； 3 所选参数必须能通过一定的技术手段观测和控制，并且不能过于复杂， 否则会加大获取与分析工作作的难度和工作量； 因此，课题从以下两个方面对i p 网络的性能状况进行测评：网络的连接性 和网络的流量特性。 1 网络连接性参数 在网络连接性参数中，非常关键的是时间透明性参数、语意透明性参数 和语意正确性参数。 时间透明性参数 最为可取的时间参数包括网络时延( 单向时延和双向时延) 参数和时延 抖动参数。这里的网络时延( 区别与业务时延) 是指i p 包经过特定网段所 经历的时长，而由于互联网业务选路的特性，决定了i p 包往返所经过的实 际路由往往有所不同，因此双向网络时延更能够反映交互性较强的业务使 用效果，而单向时延对数据传送等单向互联网业务有一定的反映。时延抖 动对于某些特定的业务是比时延参数更为重要的指标。 语意透明性参数 网络的语意透明性在一定程度上反映了许多业务的可用性，因此考核网 络性能一定要选取适当的语意透明性参数。最重要的语意透明性参数应为 1 5 北京邮电大学硕士研究生毕业论文 i p 网络业务行为分析 丢包率。 语意正确性参数 网络的语意正确性在一定程度上反映了网络传输的性能，因此考核网络 性能一定要选取适当的语意正确性参数。最重要的语意正确性参数应为误 包率。 2 网络流量参数 在网络流量参数中，非常关键的是流量流向参数和利用率参数： 流量流向参数 描述特定链路上流量流向情况，包括流入数据包字节数、流出数据包 字节数等。 利用率参数 利用率是最为直接地描述网络流量状况的参数，包括最大带宽利用率， 最小带宽利用率，平均带宽利用率等。 3 212 业务服务质量参数的选取 网络环境的变化对业务服务质量的影响是多方面的，不同的业务受不同的 网络性能参数变化的影响也是不一样的，如实时性业务就受时延的影响较大， 而高可靠性业务就受丢包率、误包率的影响较大。尽管不同业务受影响的方式 不同，但是受到影响后的外在表现基本还是一致的，主要体现在以下两个参数 上面： 1 吞吐量 单位时间传输某业务的数量。 2 用户数 单位时间内使用该业务的用户的数量。 因为业务服务质量的变化直接的体现就是使用该业务用户的数量，在不考 虑其它因素的影响下，业务服务质量高，则用户数多，业务的吞吐量也会多， 反之，则用户数少，业务的吞吐量也会减少。 3 2 2 业务流量行为分析 业务在网络上运行必然会产生网络流量，业务流量行为是业务重要的动态 行为，对业务流量行为的分析主要包括： 1 业务流量突发特征 业务流量最大的特点就是具有突发性，因为使用业务的用户的数量、行 1 6 北京邮电大学硕士研究生毕业论文 口网络业务行为分析 为等是随机的，不可预知的，有可能一段时间内没有用户使用该业务，突 然几秒后大批用户就会使用该业务，造成业务服务质量急剧降低，这些都 是很有可能发生的。业务流量的突发特征一般来说有如下四种：平稳变化 型、单个突发型、持续突发型和间隔突发型，这四种突发特征实际上反映 出使用该业务的用户的行为特征。 平稳变化型 指在一段时间内业务流量曲线平稳地变化，不存在某一时刻流量突增 数倍的情况。这种流量行为发生的原因可能是使用该业务的用户数量比较 平稳。 单个突发型 指在平稳变化过程中，某一时刻业务流量突增数倍的情况。这种流量行 为发生的原因可能是某一瞬间使用该业务的用户数量激增。 持续突发型 指在一段时间内业务流量持续产生剧烈的起伏。这种流量行为发生的原 因可能是该段时间内使用该业务的用户数量极不稳定。 间隔突发型 指业务的流量曲线周期性地出现高峰低谷交替的情况。这种流量行为发 生的原因可能是使用该业务的用户具有周期性，在一段时间内，或者都使用 该业务，或者都不使用该业务。 2 业务流量的自相似特征 上世纪九十年代初期美国贝尔实验室的研究人员在经过了几年对高速 以太网业务的测量和分析后，发现其业务具有统计上的自相似特性。此后国 外研究人员对w w w ，f t p 等不同网络业务的传输进行了研究，发现这些业务 都具有自相似特性协1 。自相似过程与传统的p o i s s o n 或m a r k o v 业务模型相 比具有许多不同的统计性质，其中最主要的一点是它能够反映业务流量在任 意时间范围内的长相关特性。本课题对网络业务流量的自相似特征的分析主 要是研究业务流量在不同的时间范围内的周期相关性。如以8 ：0 0 - 1 8 ：0 0 为正常工作日，研究今天和上个工作日、上周的同一工作日、上个月的同一 工作日之间的业务流量的相关性。 3 业务流量的分布特征 业务流量的分布特征可以从不同的角度来进行分析，本文对业务流量的 分布特征的分析主要包括基于时间段的流量分布，基于用户的流量分布以 及基于源目的网络的流量分布等。 基于时间段的流量分布 按照时间段( 如每小时) 统计业务流量的分布，掌握业务流量的分布 1 7 北京邮电人学硕上研究生毕业论文 i p 网络业务行为分析 规律，流量峰值及出现的时间。如果某业务上班时间内的流量较大，则说 明该业务在上班时间内可能被较多的使用，如果该业务不是和工作相关的， 那么说明使用该业务会影响正常的工作，有必要对业务进行限制，对使用 该业务的用户进行警告或处罚； 基于用户的流量分布 这儿所说的用户实际上指的是一个i p 地址，尽管有些时候i p 地址和 用户之间并不是一一对应的关系，但就对网络业务的所有使用者这一整体 而言，这种对应是一种有效的处理办法。 按照用户来统计用户使用业务产生的流量，如总流数、总字节数、包 个数，掌握使用该业务的用户的流量特征。 基于源( 目的) 网络的流量分布 按照源目的网络来统计业务流量的分布，以要进行业务分析的内部网 络为源网络，其他外部网络为目的网络，统计流量来自何方，去向何处。 如果运行在内部网络上的某业务流向外部网络的流量比较多，说明该外部 网络的用户在大量使用该业务。 通过对业务流量行为进行分析，有如下意义： 1 不同时段的不同业务的流量占用带宽的比例和流向是不同的，分析业务 占用的带宽以及占用的比例，可以了解不同业务的使用情况和占用网络资源的 信息，并据此制定合适的q o s 或负载均衡策略，使资源获得最佳配置： 2 跟踪、预测业务的流量的增长趋势，以便及时扩充网络资源( 比如，增 加服务器的数目或容量，提高d m z 区接口的带宽等) ，以保证对业务的使用不会 因容量的限制而受到影响； 3 根据较长一段时间内的统计数据，以建立网络业务常规流量特征模型， 然后可以根据这些特征值调整网络的q o s 或安全策略，使网络带宽分配最优化， 并且当某种业务流量与流量特征模型明显不符时，可以判断出网络可能出现异 常，并及时采取相关措施，将网络风险降到最低。 3 3 业务间相互影响分析 现在的i p 网络是一个承载着多种业务的网络，在这些业务运行的过程中存 在着相互间的影响，业务间相互影响分析就是找出不同业务间相互影响的规律， 业务间相互影响也是业务动态行为在业务间的体现。 因为网络资源对于网络上的所有业务是共享的，那么由于对网络资源的竞 争使用，业务间就会产生冲突。以p 2 p 业务为例，因为p 2 p 业务不仅在下行而 北京邮电大学硕士研究生毕业论文i p 网络业务行为分析 且在上行也产生流量，这样就使用了更多潜在的网络带宽，产生了更多的流量。 由于带宽是有限的，使用p 2 p 就减少了其它业务( 如w e b 业务，多媒体业务等) 可以使用的带宽，由此增加了网络阻塞的概率，严重的时候甚至导致其他业务处 于不可用状态，因为高阻塞率可以显著地增加网络的时延和业务的响应时间， 降低业务的性能。 通过对业务间相互影响进行分析，可以找到业务间影响的规律，然后就可 以对网络状况及相关业务进行预测和控制。如找出哪种业务对其他业务影响较 大等，就可以让网络管理员采取相应的措施对该业务进行控制，保证其他业务 的正常使用。 1 9 北京邮电大学硕士研究生毕业论文i p 网络业务行为分析 第四章i p 网络业务行为分析技术与方法 本章主要针对第三章提出的i p 网络业务行为分析的目标提出相应的技术 和解决办法。包括数据包深度特征值检测技术、n e t f l o w 技术、回归分析方法 及业务间相互影响分析方法。 4 1 数据包深度特征值检测技术 不管网络业务的类型与提供的服务有何不同，任何网络业务产生的网络流 量实际上就是一个个在网络上传输的i p 数据包，通过对这些数据包的深度特征 值检测，就可以分析网络业务应用的协议，同理可知，当有一个比较好的知识 库的时候，就可以通过对数据包的深度特征检测来判别该数据包是由何种业务 产生的网络流量。 课题通过网络探针技术，来捕获进行业务协议分析所需的数据包，并对其 进行深度特征值检测。 4 i 1 网络探针 网络探针的指导思想就是在网络上设置一个观测点，监听并接受所有通过 该观测点的网络流量，即一个个的i p 数据包。它所部署的位置是由网络业务行 为分析的功能来决定的，这个位置要确保网络探针可以监听该网络的全部数据 报文，基于具体网络情况的不同，有如下几种不同的部署方式来监听整个网络。 基于共享式h u b 的网络探针 计算机网络可以分为两类：采用点到点连接的网络和采用广播信道的网 络。在所有广播网络中，网上的站点共享信道，一个站点发出的数据报， 其他站点均能收到。这也就是说，任何一台计算机都可以接收到网络中同 一个共享域的所有的通讯数据。 若想对基于共享式h u b 的网络进行监听与分析，则只需将网络探针放 于共享式h u b 网络中的任何一个位置，然后将网卡设备设置为混杂模式即 可。这样，网络探针便可以获得该网络的全部通信数据。 基于交换式h u b 的网络探针 由于共享式网络物理上是广播的，就是一个机器a 发给另一个机器b 的数据，h u b 会把它接收到的数据发给除a 外的所有其它网络接口。但交换 式h u b 能记住每个网络接口的m a c 地址，以后该哪个机器接收的通讯数据 就发往哪个网络接口，当然广播包还是发往所有网络接口。基于上面的论 北京邮电丈学硕士研究生毕业论文 口网络业务行为分析 述，要想在交换式h u b 的网络中进行监听与分析并且把网络探针放于网络 中的任何一个位置，只能通过m a c 欺骗与a r p 欺骗等方式来获得网络中的 通信数据，这会给网络探针的部署带来很大的不便，并且监听性能会受到 一定的影响。 基于端口镜像的网络探针 端口镜像通过在网络的核心层或汇聚层交换机上设置端口镜像，可以 让用户将指定端口、指定v l a n 或所有的流量复制到一个指定的镜像端口， 这样就可以方便的将所需要采集的流量镜像一份到采集机器上，绝大部分 中高端交换机均支持端口镜像功能。由于采取的是镜像的方式，即旁路的 形式，所以该功能可以在不干扰用户的情况下监控各端口的传输情况，全 盘掌握网络的状态。 采取端口镜像的方式进行网络监听，只需将网络探针部署在那个镜像端 口即可，这样可以方便、高效的获取整个网络或者网络中部分主机的通信 数据，这种方式对整个网络的正常通信没有任何影响。 经过上述的比较，课题决定采用基于端口镜像的网络探针，它的优点在于 不仅可以提供详细、丰富的从物理层到应用层的数据分析，而且对路由器( 交换 机) 等网络设备的影响基本没有，并且对网络带宽的影响也较小，除了正常的网 络传输外，并没有任何额外的传输在网络