基于Netflow地流量分析技术研究.PDF

基于 Netflow 的流量分析技术研究 The Research of Netflow-Based Flow Analyzing Technology 1 2 (1.四川大学信息管理中心2.成都纺织高等专科学校电子信息与电气工程系）李兴国 费玲玲 LI XINGGUO ，FEI LINGLING 摘要：流量分析是统计用户通信量和检测异常流量的基础。传统的网络流量检测工具仅仅使用TCP/UDP/IP 包头信息，因为 TCP 或者 UDP 端口号可能被不同的应用使用，故它们不能有效地识别不同应用的流量。本 文论述了Netflow流量分析技术的特点和工作原理，并探讨了Netflow 的应用和发展。 关键词：网络管理；流量分析; Netflow 中图分类号：TP318 文献标识码：A Abstract: Traffic analyzing is essential for accounting user traffic and detecting anomaly traffic. Since conventional traffic analyzing tools use only TCP/UDP/IP header information, they cannot effectively classify diverse application traffic, because TCP or UDP port numbers could be used by different applications. This article discusses the characteristics and working theory of Netflow, and probes into the application and development of it. Key words: network management; traffic analysis; netflow 1 引言 随着网络技术的蓬勃发展，各种网络应用也越来越丰富，网络流量也急剧增长，改变了 传统网络流量的模型，从而导致网络管理的难度不断增大。网络攻击、病毒、恶意软件等已 成为因特网最大的安全隐患。对网络管理者而言, 迫切需要一种网络管理技术手段， 能够 对业务流向、应用模式以及异常流量进行系统地分析, 明确了解网络上各种应用的带宽占用 情况，分析用户流量行为，了解哪种网络应用是造成网络瓶颈的原因，不同的用户类型上网 的行为特性、产生的流量比重，并获取大量的原始数据为网络安全分析提供依据，以便合理 的规划和分配网络带宽，有效地保障网络的正常运行。 2 典型的流量分析技术 为克服现有网管系统对网络流量和流向分析功能的技术局限性，网络管理迫切需要寻找 一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造 和升级。新的流量信息采集和分析技术应具备对现有网络的运行影响小、无需对网络拓扑进 行改变就能平滑升级的技术特征，既可以对网络中各条链路的带宽使用率进行统计，又可以 对每条链路上不同类型业务的流量和流向进行分析和统计。 因此，专业的网络流量和协议分析软件也应运而生，它们帮助管理员具体了解当前的流 量组成、协议分布和用户行为。 网络流量分析是指捕捉网络中流动的数据包，并通过查看包内部数据以及进行相关的协 议、流量分析、统计等来发现网络运行过程中出现的问题，它是网络和系统管理人员进行网 络故障和性能诊断的有效工具。常用的网络流量和协议分析方法如下： （1）基于SNMP 该方法仅能对网络设备端口的整体流量进行分析，可以获得设备端口的实时或者历史的 流入/流出带宽、丢包、误包等性能指标，但无法分析具体的用户流量和协议组成。因其具 有实现简单、标准统一、接口开放的特点，被业界广泛采用。 李兴国：工程师 硕士 （2）基于网络探针 该方法的数据抓包、分析和统计等功能一般都在网络“探针”上以硬件方式实现，分析 的结果存储在探针的内存或磁盘之中，具体的前端展现依赖与之对应的专门软件。因此具有