IP网络流量分析和带宽控制.doc

题 目：IP网络流量分析和带宽控制 专 业： 学生姓名： 班级学号： 指导教师： 指导单位： 日期： 年 月 日至 年 月 日摘 要如今网络在不断的发展，为了保证网络的正常有序的运行，网络流量的分析监控与带宽的控制显得尤为重要。它关系到我们日常生活的各个方面，对社会的发展有着十分深远的影响。本文着重阐述了网络的流量分析的意义以及方法，对网络的业务构成进行了初步的介绍，并且对其进行有效的评估，分析出带宽的使用情形。同时对带宽的控制与监控进行了研究，阐述了定位网络性能瓶颈的方法，分析说明了检测异常流量的重要性以及对于网络安全事件预警的方法和意义。关键词：流量分析;带宽控制；安全预警；性能瓶颈ABSTRACTNow network in continuous development, in order to ensure the normal operation of the network, network traffic monitoring and analysis of bandwidth control is particularly important. It is related to all aspects of our daily life, has a very profound effect on social development.This article focuses on the significance and method of network traffic analysis, a preliminary introduction to the business structure of the network, and to effective assessment analysis bandwidth of use cases. Conducted a study of bandwidth control and monitoring at the same time, elaborated on the method of network performance bottlenecks, analysis of the importance of the detection of abnormal traffic and for the network security event alerting methods and significance.Key words：Traffic analysis；Bandwidth control；Security warning；Performance bottlenecks目 录第一章 绪论1.1课题的背景如今随着IT系统建设的基本完成和规模的扩大，对IT系统的管理也就变得越来越复杂，需要建立与之对应的运维管理系统来管理越来越庞大的IT系统，这样才能保证在IT系统出现故障的情况下，能够在最短时间内做出相应的处理，尽量减少损失。运维管理系统已成为目前企业信息化建设的重点，在对企业内部建立的网络管理中，网络监测是其中的基础部分，是网络管理人员的主要工作。众所周知，网络监测的目的是提高服务质量，提高资源利用率，在用户报告问题之前开始诊断或解决问题，提高网络的可靠性和可用性。网络流量异常检测是网络监测的重要组成部分，对于一个企业的内部网络来说，流量管理可以保证和提高网络可靠性和可用性。通过异常流量的探测和分析，用户可以及时发现网络中出现的异常流量，从而对病毒、网络攻击以及网络非法应用产生的网络流量进行监控。当异常检测出来后，用户可以根据异常流量分析得出网络遭受哪种攻击，从而采取较有针对性的解决措施，也可以定位出产生故障的问题主机，隔断该主机与网络的连接来保证网络运行的质量。网络的不断发展，时代的不停进步，也就突出显示了维护网络工作的重要性。选择这个课题可以让我更好的了解网络的流量分析和识别机制，从而可以研究网络中异常流量的检测方法，并且评估宽带IP网络的业务构成，定位网络性能瓶颈，实现网络安全事件预警和检测异常流量。这些可以将我大学中所学的一些知识运用到实践当中去，对我将来的工作也大有裨益。有效的流量管理一般分为两个步骤，第一步是系统发现网络性能问题或故障，第二步是提出性能问题和故障的解决办法。目前网络流量管理中对流量异常的告警多是采用基于阈值的方法，即由有经验的网络管理员人为的设定某条链路的流量阈值，当系统发现当前流量超过阈值时产生告警。这样的系统有一个缺点：网络流量存在突发性和随机性的特点，在实际网络运行中难以设定这个阈值，即如果设定的阈值太低，则系统可能出现告警风暴，其中误报的可能性很大；如果设定的阈值太高，则不易发现网络中存在的细微流量突变，这个时候可能就是某种攻击或病毒的出现，从而导致不能及时进行有效的网络管理。因此提出更加有效和更有针对性的网络流量异常检测模型对于IT管理系统的开发和建设具有重要的理论意义和应用价值。第二章 网络的业务构成2.1网络的业务构成计算机网络系统是由网络硬件和网络软件组成的。在网络系统中，硬件的选择对网络起着决定的作用，而网络软件则是挖掘网络潜力的工具。2.1.1网络硬件网络硬件是计算机网络系统的物质基础。要构成一个计算机网络系统，首先要将计算机及其附属硬件设备与网络中的其他计算机系统连接起来，实现物理连接。不同的计算机网络系统，在硬件方面是有差别的。随着计算机技术和网络技术的发展，网络硬件日趋多样化，且功能更强，更复杂。常见的网络硬件有服务器、工作站、网络接口卡、集中器、调制解调器、终端及传输介质等。以下将会逐一陈述：(1)服务器 在计算机网络中，分散在不同地点担负一定数据处理任务和提供资源的计算机被称为服务器。服务器是网络运行、管理和提供服务的中枢，它影响着网络的整体性能。一般在大型网络中采用大型机、中型机和小型机作为网络服务器，可以保证网络的可靠性。对于网点不多、网络通信量不大、数据的安全可靠性要求不高的网络，可以选用高档微机作网络服务器。(2)工作站 在计算机局域网中，网络工作站是通过网卡连接到网络上的一台个人计算机，它仍保持原有计算机的功能，作为独立的个人计算机为用户服务，同时它又可以按照被授予的一定权限访问服务器。工作站之间可以进行通信，可以共享网络的其他资源。(3)网络接口卡 网络接口卡也称为网卡或网板，是计算机与传输介质进行数据交互的中间部件，主要进行编码转换。在接收传输介质上传送的信息时，网卡把传来的信息按照网络上信号编码要求和帧的格式接受并交给主机处理。在主机向网络发送信息时，网卡把发送的信息按照网络传送的要求装配成帧的格式，然后采用网络编码信号向网络发送出去。(4)调制解调器 调制解调器(MODEM)是调制器和解调器的简称，是实现计算机通信的外部设备。调制解调器是一种进行数字信号与模拟信号转换的设备。计算机处理的是数字信号，而电话线传输的是模拟信号，在计算机和电话线之间需要一个连接设备，将计算机输出的数字信号变换为适合电话线传输的模拟信号，在接收端再将接收到的模拟信号变换为数字信号由计算机处理。因此，调制解调器成对使用。(5)终端 终端设备是用户进行网络操作所使用的设备，它的种类很多，可以是具有键盘及显示功能的一般终端，也可以是一台计算机。(6)传输介质 传输介质是传送信号的载体，在计算机网络中通常使用的传输介质有双绞线、同轴电缆、光纤、微波及卫星通信等。它们可以支持不同的网络类型，具有不同的传输速率和传输距离。2.1.2网络软件在网络系统中，网络中的每个用户都可享用系统中的各种资源，所以系统必须对用户进行控制，否则就会造成系统混乱，造成信息数据的破坏和丢失。为了协调系统资源，系统需要通过软件工具对网络资源进行全面的管理，进行合理的调度和分配，并采取一系列的保密安全措施，防止用户不合理的对数据和信息的访问，防止数据和信息的破坏与丢失。网络软件是实现网络功能所不可缺少的软环境。通常网络软件包括网络协议软件、网络通信软件和网络操作系统。2.1.3网络结构在不同的网络系统中，网络结构及所选择使用的网络软件是有差别的。对于实用的网络系统来说，选择什么硬件和软件是根据系统的规模、系统的结构决定的。比如Novell局域网，如果网络系统所涉及的地理范围小，同时系统所拥有的数据量和通信数据量不大，那么只要一台网络服务器，并具备系统所规定的工作站数，选择适当的通信介质和相匹配的网络接口卡、网络软件、网络操作系统就可以建立起一个完整的网络系统。在一个远程网络系统中所需要的设备和技术更为复杂。在远程通信网中，服务器与工作站、服务器通过集中器与工作站直接通信的部分是短程通信；而服务器与各工作站通信需要经过调制解调器或前端处理机的通信部分属于远程通信。计算机网络结构通常有星型结构、总线型结构、环型结构、树型结构和网状结构。(1)星型结构 星型结构是以一个节点为中心的处理系统，各种类型的入网机器均与该中心处理机有物理链路直接相连，与其他节点间不能直接通信，与其他节点通信时需要通过该中心处理机转发，因此中心节点必须有较强的功能和较高的可靠性。星型结构的优点是结构简单、建网容易、控制相对简单。其缺点是属集中控制，主机负载过重，可靠性低，通信线路利用率低。（2）总线结构 将所有的入网计算机均接入到一条通信传输线上，为防止信号反射，一般在总线两端连有终结器匹配线路阻抗。总线结构的优点是信道利用率较高，结构简单，价格相对便宜。缺点是同一时刻只能有两个网络节点在相互通信，网络延伸距离有限，网络容纳节点数有限。在总线上只要有一个节点连接出现问题，会影响整个网络的正常运行。目前在局域网中多采用此种结构。（3）环型结构 环型结构将各个连网的计算机由通信线路连接成一个闭合的环。在环型结构的网络中，信息按固定方向流动，或顺时针方向，或逆时针方向。其传输控制机制较为简单，实时性强，但可靠性较差，网络扩充复杂。（4）树型结构 树型结构实际上星型结构的一种变形，它将原来用单独链路直接连接的节点通过多级处理主机进行分级连接。这种结构与星型结构相比降低了通信线路的成本，但增加了网络复杂性。网络中除最低层节点及其连线外，任一节点活连线的故障均影响其所在支路网络的正常工作。（5）网状结构 网状结构其优点是节点间路径多，碰撞和阻塞可大大减少，局部的故障不会影响整个网络的正常工作，可靠性高；网络扩充和主机入网比较灵活、简单。但这种网络关系复杂，建网不易，网络控制机制复杂。广域网中一般用网状结构。2.1.4网络拓扑结构图常用的网络拓扑结构图如下，在组建局域网时常采用星型、环型、总线型和树型结构。树型和网状结构在广域网中比较常见。但是在一个实际的网络中，可能是上述几种网络构型的混合。图2.1星型结构图2.2 总线型结构图2.3 环型结构图2.4树形结构 图2.5网状结构图2.2常见网络业务2.2.1流行的P2P软件P2P技术主要提供了分布式交换数据的能力，由于个人用户PC的处理能力和硬盘空间逐步增大，资源分布存储已经变为可能。P2P技术现阶段最大的用途就是提供了在个人用户之间交换数据文件，通过集中资源服务器已经不在是资源存放的唯一途径。P2P技术主要带来了如下一些变化：t Internet上流量模型的变化，现在Internet上70的流量都是P2P的流量，而传统的HTTP流量已经不是Internet上的主要流量。t 个人用户的流量模型的变化。以前个人用户的下行流量（从Internet到个人用户）远远大于上行流量。而由于P2P技术在下载的同时，也需要上传。导致个人用户的下行流量和上行流量都很大。t P2P流量造成网络的极度拥塞。现在网络最常用的P2P软件主要有如下几种：t（1）BT全名叫BitTorrent。BitTorrent是一个多点下载的P2P软件，使用非常方便，就像一个浏览器插件，很适合新发布的热门下载。国内俗称“变态下载”，是使用最广泛的一个P2P下载软件。t （2）eDonkey国内俗称“电驴”，也是国内常用的一个P2P下载软件。t （3）eMule国内俗称“电骡”，也是国内常用的一个P2P下载软件。通过对网络的实际监测，现在Internet上的所有流量中，大约50是BT流量，20是eDonkey和eMule流量。2.2.2支持流行的网络游戏业务网络游戏是一种依靠计算机网络作为通信方式的典型的分布式系统,它具有信息双向交流、速度快、不受空间限制等优势,从根本上提高了游戏的互动性、仿真性和竞技性,近年来受到众多商家和社会各个阶层人士的重视。当前商业化的MMOG(巨量多玩家网络游戏,Massively Multiplayer Online Games)通常采用C/S模式,由服务器保存共享状态信息和协调玩家之间的通信,客户端只是一个接收命令的终端系统。其伸缩性面临着体系结构本身带来的固有的限制,致使网络游戏系统受限于服务器的计算能力,不能支持大量的玩家。为了解决服务器的计算和带宽瓶颈问题,通常采用服务器集群或网格技术以支持一定的伸缩性。但是,这种提供伸缩性的代价往往是高昂的。 P2P作为一种分布式计算模式可以提供很好的伸缩性,它可以将终端系统的资源边缘化,弱化甚至是消除传统服务器的功能。P2P覆盖网络的自组织特性使创建一个动态适应玩家数量变化的网络游戏系统成为可能。 第三章 网络流量的分析与监控网络流量监控是网络管理的重要组成部分。随着计算机网络应用技术的发展，BT下载、视频流、IP电话、P2P点对点传输、多播网络、Web网络游戏、多媒体、在线视频等应用业务的出现以及网络规模越来越大，网络数据传输量的也大规模的增加。不少单位由于没有合适的网络访问流量监控管理软件，而造成单位的局域网在访问互连网时出现网络拥塞、网络速度极慢。因此有效的监控单位局域的网络流量，对提高网络管理能力具有重要意义，同时通过监控网络流量也可以有效防止网络攻击，网络木马病毒等等。开发设计一个单位局域网的网络流量监控软件是单位网络规划和优化的基础，不仅可以采集网络传输数据，还可以持续地监控网络，通过产生的网络信息日志来研究和分析网络，控制网络行为，并有效防止网络攻击和网络木马病毒等等。3.1对网络流量的分析 对网络流量的分析早在2000年就已经出现了，最早是美国的Packteer公司研发。但是由于网络带宽问题还没有显著，所以企业IT部门对带宽的重视程度还不够，随着各种网络新技术的应用以及网络多媒体技术的发展，网络带宽紧缺的问题越来越明显。尤其是2005年来，P2P应用更是对带宽的管理带来了严重威胁，所以带宽管理器的市场在近3年来得到了很大的发展。据不完全统计，这个市场已经超过了近25亿美元。中国的带宽管理市场从2004年才开始逐渐受到重视，2007年中国带宽管理市场份额也在2亿人民币，预计中国带宽管理市场将以20%以上的速度增长。而具有带宽管理设备提供商的除了国外Packteer、Allot公司外，国内的北京英智兴达,畅讯科技等厂商，国外厂商带宽管理设备还没有实现界面的本地化，都是以授权代理的形式进入中国；国内的厂商在经历了3到4年的产品研发攻坚，产品才日益稳定，市场、技术、产品的竞争将在2008年展开。 带宽管理器的基本功能非常简单，就是根据应用和用户进行带宽的分配与监控。由于是七层的网络管理设备，所以网络管理人员无需具备较高的网络知识就能直接对应用和用户进行带宽的分配，这在一定程度上降低了网络管理人员的投入。虽然功能很简单，但是能够实现的各种应用却很多，只是大部分用户对带宽管理的应用没有得到很好的认识。国外的带宽管理设备昂贵，且不支持中文展示所以Packteer和Allot的应用主要集中在电信和金融，国内的北京英智兴达等厂商虽然在教育、政府、能源与医疗行业有所斩获，但是产品系列才成型一年，所以在市场应用的推广各厂商没有过多投入，导致用户对带宽管理的应用处于初级阶段。 在电信和金融领域带宽应用主要表现在SLA（服务等级协议）上，通过带宽管理设备给不同等级的用户提供不同等级的带宽服务，从而保障核心客户的投资回报率。 在教育、政府等应用，带宽管理器主要应用集中在对P2P的管理方面，尤其是BT的管理。同时带宽管理设备也开始作为视频会议的QoS的保障设备出现。由于P2P等应用的客户端不断升级，所以只有具有自主研发的国内产品才能实现快速根据新版本推出管理策略，在这个应用上国际厂商不具有优势。 当然作为带宽管理器，还具有更多的应用方式。如以下的应用： 一、网络应用透明度问题，通过带宽管理器可以让以前未知的网络应用的状况能够详细查看。 二、防范突发的流量激增和未知应用的攻击，如DoS攻击等，保障网络安全。 三、评估核心应用的价值，通过对核心应用流量的监查，了解核心应用的使用率与效率。 四、保证关键应用（如：CRM、VPN、无线网络、视频会议、VoIP、等）所需的带宽，保证任何时候关键应用不受阻 五、准确评估网络的负载能力以及新应用上线对整体网络应用的影响，保证客户的IT投资合理性。 六、实现按照用户的等级提供不同的网络资源配给，保障客户核心用户的网络价值。 七、降低网络管理人员的重复操作，并提供应用的量化数据，便于管理层根据应用状况做出决策。 这些应用只是在一些具体案例中出现，大部分用户还没有将带宽管理与自身的网络管理进行有效的融合。应用的前景很大。3.2对网络流量的监控为了保证单位局域网的网络畅通，出色的完成网络管理任务，对局域网的流量监控系统进行设计。局域网的流量监控系统由系统管理模块、实时流量及性能监控模块、站点流量管理模块、P2P流量管理模块、流量分析统计模块组成。系统的组成结构如图l所示。图1流量监控系统组成结构图。图2系统实现模块图。 图3.2.1 流量监控系统组成结构图图3.2.2 系统实现模块关系图3.2.1系统管理模块系统管理模块是系统的基础模块。本模块包括用户管理功能、系统配置功能。用户管理功能通过用户和密码管理限制非系统人员使用或误操作流量监控系统。这里的用户包括超级管理员和系统管理员两级用户。超级管理员可以增加管理员用户、删除管理员用户、修改管理员用户的使用权限、修改自身密码。管理员用户可以修改自身密码及对履行超级管理员分配的权限对系统进行管理。系统配置功能主要完成系统的使用设置、监控的网关地址等配置。3.2.2流量采集模块流量采集模块是系统的核心模块。它负责对从网络设备采集流量数据，将采集的原始流量数据进行预处理，并将指定的采集数据保存到服务器的数据库中。3.2.3实时流量及性能监控模块实时流量及性能监控模块是系统的核心模块。它基于端口流量监控进行监控管理。以流量采集模块为基础，可以实时地监控端口流量情况，并通过图表的形式直观的选定的端口流量情况。监控包括：(1)指定IP、或指定IP区段间的流量监控。(2)指定协议端口的流量监控。(3)指定AS或指定AS间的流量监控。同时，该模块还可以对网络的性能进行监控报警。报警分为2类：(1)流量拥塞报警。当流量陡增，达到设定的域值。(2)网络拥塞报警。当流量陡增，发生丢包或设备(路由器或交换机)的CPU和内存处理能力出现严重问题。报警对整个性能管理、故障管理、安全管理都其到重要作用。3.2.4 站点流量管理模块站点流量管理模块以站点管理为基本单位。将访问的站点按娱乐类站点、新闻类站点、聊天类站点、影视站点等为分类。可以分时段对网络进行流量监测及限制访问。并将这些站点设置信息保存到数据库实现分类监控管理。3.2.5 P2P流量监控模块主要针对下载及P2P监控。有一些P2P软件如BT等严重占用网络带宽，因此需要对P2P的流量进行监控，网络管理员最希望做到的就是封锁一切的BT软件，或者控制该软件的占用网络带宽率。在以前BT服务一般使用TCPIP协议的16881到16889端口，近几年来了，为了跨越封锁，不少BT工具开始修改链接的端口，这样使得封锁BT软件越来越困难。现在通用的方式是监视每台局域网中计算机的下载速率，如果某台计算机严重占用带宽，网络管理员将封锁到达该台计算机的IP报文，使得该台电脑不能下载。同时为了保证正常工作的P2P软件的使用，一般情况下，使用P2P软件的计算机需要在使用前向网络管理员申请，同时最好在不影响其他同事工作的时候进行下载。3.2.6流量分析统计模块流量分析统计模块以包括在数据库里的监测数据为基础，对数据进行分析。通过分析表格饼状图、柱状图的形式提供时段采集监控图形、站点列表和图形、统计报表和趋势图形、站点流人和流出流量统计报表和趋势图形、区域网访问网站TOP列表图、协议流量统计图。其中，协议流量统计包括WWW 、MAIL、ICMP、IGMP、TEIJNET、UDP、YIP、TCPX、TCPBGP、TCPNNTP等常用协议。第四章 网络异常检测技术本章对现有的网络异常检测技术进行较为详细地描述和分析。首先根据网络流量出现异常的原因对网络异常流量进行了分类，然后根据不同的角度将检测方法分为两个大类进行描述，其中静态检测方法包括固定阈值方法和自适应阈值调整方法；动态检测方法包括基于指数平滑技术的检测方法、GLR检测方法、Amy Ward等人提出的检测方法等。4.1网络异常分类网络流量异常的产生有多种原因造成，总结起来产生网络流量异常的主要原因有：(1)网络设备自身发生故障，例如在网络中由于路由器或是交换机的故障导致网络拓扑结构的变化或是网络的中断都会发生网络流量的变化，导致某些链路的流量异常增加，某些链路流量异常减小。在企业内部构建的IT支撑系统包括多种支撑服务，如数据库服务器，邮件服务器，WEB服务器等等，当这些服务器出现故障的时候也会导致网络流量出现异常的变化。(2)当网络中存在恶意攻击的时候，网络也会出现异常流量，例如当系统中某台主机感染了蠕虫病毒，导致该主机疯狂的进行主机探测，这时候网络中会出现具有蠕虫病毒特征的ICMP Ping包和TCP SYN，FIN，RST及ACK包。当企业内部网络中的部分主机感染了这种病毒的时候，网络就会大量充斥着这种包，导致其他业务数据丢失，网络流量过载，或是网络拥塞。根据网络异常流量引起的不同原因可以把网络异常分为三类：网络故障引起的异常、瞬间大量访问异常和网络攻击异常。网络故障异常是指由于网络设备的故障或是链接到网络上的承载一些关键业务的服务器的故障，从而引起的网络流量异常。例如在企业内部构建的IT支撑系统中，由于某个运行一项支撑服务(例如：邮件服务)的服务器发生故障，导致这项服务的暂停，可以很清楚的看到企业网络由于邮件服务的停止会使网络流量大幅下降，导致流量的异常减小。再例如企业内部网络由两个核心路由器组成和外界信息交互的消息转发，当某一个路由器发生故障的时候，另一个路由器上的端口会比平时接到更多的数据发送和接收的请求，有可能导致网络过载和拥塞，从而使得网络服务质量变差，关键业务数据丢失等等。这种情况会导致观测路由器端口转发的数据流量会突然大幅增加，导致流量异常变大。瞬间大量访问异常是指由于在短时间内对网络中某个服务器请求的大量发起导致服务器过载，业务不能处理，响应不及时等情况导致的异常。这种异常跟网络故障异常引起的网络流量异常增大有相似的地方，但是它们属于不同的分类。网络故障导致的网络流量异常增大是由于硬件设备的故障使得网络拓扑结构的改变从而引起的异常，而瞬间大量访问则是由于用户行为的变化导致了网络流量异常，例如，过年期间的短消息发送量较平时会有几倍甚至几十倍，几百倍的增长，这种可以预期的用户行为导致网络异常和硬件故障引起的异常需要不同的区分和解决。网络攻击异常是指网络中出现恶意的对网络中某个目标进行攻击。例如DoS攻击和蠕虫病毒端口扫描攻击。这种网络异常情况的出现是由于企业内部网络感染病毒造成。当部分主机感染了这个病毒以后，会导致这些主机大量不断向内网中其他主机发送端口扫描的数据包，由于网络的承载设备不能区分网络中的业务组成所以会将病毒包和正常的业务数据包做相同的处理，即在网络设备负载过重的情况下会丢弃大量的数据包。当这种情况出现以后，业务质量将会大幅下降，网络会由于大量存在于网络中的病毒数据包而拥塞和过载，严重的损坏了企业网络和业务的运行。4.2静态检测方法静态检测方法是指由网络管理人员根据自己在管理网络过程中的经验来设定阈值检测网络是否出现异常。静态检测方法包括固定阈值和自适应阈值设定两种。静态检测方法完全依赖于网络管理人员对整个网络流量的熟悉程度和他自己对这个网络流量行为的认识和理解。网络管理员根据自己管理网络的经验来设定阈值，使得网络异常流量检测阈值不能随着网络流量时刻的变化来及时的调整，产生很多的误报事件和漏报事件。改变阈值由人工设定固定的值到网络根据流量随时调整到自适应的阈值设定是网络流量异常检测的一种进步，这样使得人工维护阈值的成本降低，依赖于系统的自适应。但是自适应的阈值设定检测方法同样是基于静态检测的方法，对于网络存在那种流量突变的情况同样存在漏报的情况。4.2.1固定阈值的检测方法固定阈值的检测方法，是目前网络监测中最常见的方法。该方法简单易行，实时性强，但是需要网络维护和监测人员需要有丰富的网络管理经验，阈值的选择必须合适当前网络情况。当选择阈值过高时，如果网络这个时候发生异常，而异常的变化在阈值以下，则可能检测不出这种流量异常。如果设置的阈值过低，由于网络的不稳定性则会造成过的虚假告警，产生告警风暴，从而掩盖真实的有用的告警，使得网络管理人员很难维护。固定阈值的检测方法对某个网络参数给出确定的阈值，如果在某个采样时刻发现采集的该参数值超过预定的阈值，则发出流量异常告警。 图4-2-1 固定阈值检测方法示意图起伏的线表示采集一段时间采集到的网络流量数据，水平线表示预先设定的阈值。采样点为每五分钟一次，如果预先设定的阈值为一个常数，则由上图我们可以看到当采集到的流量大于阈值(本例中我们假设为5000)的时候，系统就会自动产生一个流量异常告警。这种方法简便易行，但是需要丰富的网络管理经验，阈值的选择必须适当。这种方法存在三个问题：一，如何设定一个合适的阈值是一个难点；二，难以发现一些在可以接受阈值内，流量细微变化的异常行为：三，由于网络中流量在不同的时间呈现出不同的流量趋势，对不同时自J采用同一个阈值显然不太利用异常的发现，导致发生较高的误报率或是较高的漏报率。4.2.2自适应阈值的检测方法自适应的阈值设定检测方法是对固定阈值检测方法的一种改进。由于上面所说的情况，对于不同时间段的网络流量采用同样一个阈值来判断网络是否出现异常是不合理的。企业内部的IT系统网络呈现出一个周期性和突发性明显的特征，例如在工作时间的流量占总流量的绝大部分，而工作时间外，除了网络本身维护自身需要的流量外，人为参与导致流量变动的情况很少，这些自身又组成一个相似的网络流量曲线。工作日的流量则又呈现出一个工作时间和非工作时间流量突变的一种情况。自适应的阈值检测方法，对于某个流量参数，不再采用同一不变的阈值来检测，而是根据网络实际流量在不同时间段内的流量趋势，在不同的采集时刻点设置不同的阈值来判断流量是否异常。这样的检测方法比固定阈值的检测方法更能符合网络监测的实际需求。自适应的阈值检测方法可以分为两个步骤：第一，模型化正常行为(称作基线建立)。第二，根据基线建立一个网络行为容许的变化范围边界，这个边界就是用来区分网络正常行为与异常行为的界线。第五章 带宽控制和网络性能瓶颈5.1关于网络性能瓶颈的分析 网络瓶颈指的是影响网络传输性能及稳定性的一些相关因素，如网络拓扑结构，网线，网卡，服务器配置，网络连接设备等，下面我们逐一加以简单分析： 1、组网前选择适当的网络拓扑结构是网络性能的重要保障，这里有两个原则应该把握：一是应把性能较高的设备放在数据交换的最高层，即交换机与集线器组成的网络，应把交换机放在第一层并连接服务器，二是尽可能减少网络的级数，如四个交换机级联不要分为四级，应把一个交换机做一级，另三个同时级联在第一级做为第二级； 2、网线的做法及质量也是影响网络性能的重要因素，对于100M设备(包括交换机，集线器和网卡)，要充分发挥设备的性能，应保证网线支持100M，具体是网线应是五类以上线且质量有保障，并严格按照100M网线标准(即568B和568A)做线； 3、网卡质量不过关或芯片老化也容易引起网络传输性能下降或工作不稳定，选择知名品牌可有很好的保障； 4、对某些如无盘网络，游戏网络等对服务器的数据交换频繁且大量的网络环境，服务器的硬件配置(主要是CPU处理速度，内存，硬盘，网卡)往往成为影响网络性能的最大瓶颈，提升网络性能须从此入手； 5、选择适当的网络连接设备(交换机和集线器)同样也是网络性能的重要保障，除选择知名品牌外，网络扩充导致性能下降时应考虑设备升级的必要性。5.2网络带宽网络带宽是指端到端的可用带宽，绝对不是简单的认为就是自己出口的带宽数值。另外，网络带宽是分两个方向分别来看的，目前大部分骨干以下的链路上下行两个方向可用带宽明显不对称，一般是下行大于上行，而在骨干以上及出口链路上两个方向数据链路的可用带宽比较接近。因此，区别不同方向的链路带宽是必要的。如何得到不同方向的链路在不同的时段还有多少剩余的带宽可供使用、是否拥塞、链路带宽是否可以满足当前业务和将来新业务的开展的基本需要。（1）不要过分相信“命令”细想一下，我们才发现，广域网里数据包所经过的路由器或交换机的机会会大大增多。而这些路由器或交换机对数据包的转发会形成微小的延迟，多次的微小延迟就会形成积累作用。另外，在广域网上TCP/IP 协议的效率极为低下，比如，分支机构的用户打开存储在总部服务器上一个演示文稿时，这需要在客户端和服务器之间进行多次的重复“握手机制”，即使在高速的广域网联路上，TCP协议的表现也不能让人满意。因为通过三个重复的ACK来判断分组丢失的情况要比超时对网络的影响更多，因此TCP连接会花费大多数时间在拥塞避免算法上。我们测试网络连通性的命令主要有ping或tracert，他们往往会受到防火墙和路由设置的限制而无法解决指标测量问题。即使没有这些限制，这些命令结果反映的双向时延也不能说明问题的本质，因为只有上下行两个方向分别单独测量的结果才能表明问题的真实情况。 （2）服务器和程序设计问题带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径（通路）中没有其它背景流量时，网络能够提供的最大的吞吐量。可用带宽是指在网络路径（通路）存在背景流量的情况下，能够提供给某个业务的最大吞吐量。我们通常把这两种带宽的数值表述当作网络管理的要点来看，殊不知很多问题出在服务器和程序设计方面。很多企业的Web服务器低效运行的主要原因不是服务器的系统配置不到位，而是Web服务系统没有优化。在连接数量较少的情况下，客户端和服务器都不会有明显感觉，但在数百条同时连接的情况下，Web服务进程的性能局限性就变得非常明显。比较明显的就是许多企业设计用于支持业务流程的Web服务内容，但这些服务都是运行在通用操作系统上，（ OS本身并没有优化），而在程序开发阶段也没有对Web服务的功能充分测试，进而限制了Web服务器处理数千条TCP连接的能力。问题的根源在于与输入/输出（I/O）相关的软件架构，而不是RAM容量或CPU的时钟频率。（3）病毒对带宽的干扰近段时间以来，很多局域网出现了大范围的网络中断现象，这大多是因为个别用户计算机感染某种ARP病毒导致。而这种病毒的危害的影响程度往往超出了网管人员的预期，很多ARP病毒可能已衍生新的变种，这些病毒发作时，其他用户不能再通过arp命令查看网关的物理地址，使用相关的Antiarp软件也无法起到相应的作用。以财政专网为例，如果网络突然缓慢，在重要数据往来的时间段，留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。而且，蠕虫病毒对网络速度的影响越来越严重，例如“网络天空”等邮件蠕虫病毒，它们导致被感染的用户只要一连上网就不停地往外发邮件，病毒选择用户个人电脑中的随机文档附加在用户的通讯簿上，通过随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批地被退回来堆在服务器上。这都造成个骨干线路出现明显拥塞，甚至在蠕虫泛滥的局域网中，瘫痪的事件屡有发生。由此可见，我们在增加带宽之前最好要排除病毒问题。（4）网络中的压缩技术除去增加网络带宽之外，还有一些比较实际的解决办法，例如“压缩技术”。在电信术语中，压缩的定义是：“通过消除相同的或在后续的采样间隔中没有变化的位串，来减少对信息或信号编码时所需的位数量或带宽的技术”。与增加带宽作用相同的包括比较典型的MSR（分子序列压缩）技术。MSR技术在广域网数据加速的主要表现为：数据包压缩以后才进行转发。它可以把很多压缩的信息包封装在特定输出信息包中，用来进行广域网传递。通过信息压缩处理，需要传输的数据包的数量大量减少。