SMART_基于数据流技术的电信网络流量监控系统
收稿日期:2007206220
基金项目:国家自然科学基金资助项目(60673134);上海市电信公司(Shanghai T elecom C o.,LT D )网络流量监测数据处理工具开发项目
作者简介:常建龙(19722 ),男,博士研究生,研究方向:数据流上查询处理.Email :jlchang @https://www.360docs.net/doc/c710646527.html,
文章编号:167129352(2007)1120027205
S MART:基于数据流技术的电信网络
流量监控系统
常建龙
1,2
,闫莺1,宫学庆1,戴岱2,周傲英
1
(1.复旦大学 计算机科学与工程学院,上海 200433;2.上海电信,上海 200120)
摘要:大多数国内电信运营商现有的网络流量监控系统的分析都是基于数据文件的操作模式,处理速度远跟不上大量数据到达的速度。基于这种情况,提出了基于数据流技术来实现在线网络流量监控系统S M ART 。S M ART 收集多个路由器发送的Netflow V 5或者V 9格式的数据,并将其转换成用户定义的监控流;以滑动窗口的方式查询输出流量构成中T op 2k 频繁数据信息;监测网络流量突变;以可视化的图形和报表形式显示结果。S M ART 先进的数据流算法技术基础和完整的系统框架设计使得它在上海电信高效稳定的7324h 运行。关键词:数据流系统;网络流量监控;电信中图分类号:TP311.13 文献标志码:A
S M ART:a system for online m onitoring large v olumes of netw ork traffic
CHANGJian 2long 1,2,Y AN Y ing 1,G ONG Xue 2qing 1,DAI Dai 2,ZHOU Ao 2ying 1
(1.C om puter Science and Engineer ,Fudan University ,Shanghai 200433,China ;
2.Shanghai T elecom ,Shanghai 200120,China )
Abstract :M onitoring systems deployed in telecom operators are usually too slow because of their disk 2based processing approach.T o address this problem ,an online netw ork traffic m onitoring system ,named S M ART ,was designed and developed.The system converts different formats of raw net flow data (Netflow V5or V9)to user 2defined control flows through combination and filtering.I t can com pute top 2k frequent flows with sliding window ,detect burst on arbitrary attributes ,and present results visually to users.The system could be used to replace the traditional offline m onitoring system used in Shanghai T elecom.The basis of advanced streaming alg orithms and the design of robust system architecture enable S M ART to achieve g ood per formance.K ey w ords :data stream system ;netw ork traffic m onitoring ;telecom
0 引言
随着宽带互联网迅速发展,各大电信运营商的
网络规模都在不断扩张,网络结构日渐复杂,网络业务日趋丰富,网络流量高速增长。电信运营商需要通过可靠、有效的网络业务流量分析工具对其网络以及网络所承载的各类业务进行及时、准确地流量和流向分析,进而挖掘网络资源潜力,控制网络互联成本,并为网络规划、优化调整和业务发展提供基础
依据。
网络监控的基本手段———简单网络管理协议(sim ple netw ork management protocol ,S NMP )很好地满足了网元性能监控需要,但在流量方面,只能提供粗糙、简略的流量统计资料。网络探针(sniffer )或是类似的监听工具可以弥补S NMP 的缺陷,但它的问题是数据庞大、资源消耗过大、难以适应高速网络的
要求。Cisco 公司于1996年开发的Netflow 技术[1]
,通过在路由器上提供高层的IP 流量原始统计信息,事实上已经成为网络流量监控方面的标准。目前主
第42卷 第11期 V ol.42 N o.11 山 东 大 学 学 报 (理 学 版)
Journal of Shandong University (Natural Science )
2007年11月 N ov.2007
要应用的Netflow协议为V5与V9版本,由于V9版本采用了与V5完全不同的一种新的方式———模板(tem plate)来表明Flow数据的格式与含义,这种方式在具有很高灵活性的同时大大增加了Netflow UDP 数据报文解析的难度;同时,由于支持V9版本的Cisco路由器没有V5版本的路由器应用广泛,所以,主流的Netflow采集分析软件(包括开源产品)基本上都没有实现对V9版本的支持。
目前,大多电信公司的Netflow分析系统使用基于数据文件处理的开源软件Flow2tools[2]。Flow2tools 处理模式是把接收的数据存储到硬盘,然后按需把数据再从硬盘读取到内存来计算聚合统计信息。很明显,这种处理方式的速度满足不了今天大量高速的网络数据需要的速度。经过精心设计的系统S MART(a system for Online m onitoring large V olumes of netw ork traffic)可以解决上述问题。S MART主要有如下特性:
(1)全面反映网络流量分布。为了理解整个网络流量构成的分布,最常用有效地查询是T op2k频繁查询。这类查询往往返回k个占用网络流量最大的端口,或是流量最多的AS对。频率的统计建立在由用户定义的一个或者多个属性的集合上面,频率的变化在更深层次可以用来进行流量分布突变检测。这些T op2k查询通常是用滑动窗口的[3]。在S MART中,滑动窗口大小有很大的跨度,从5min到24h。查询的类型包括连续查询和即时查询。
(2)基于可控的CPU和内存资源。S MART采用当今先进的数据流技术[4]以及本文的研究成果,文献[5,6]作为基础,对网络数据进行抽象和摘要。在控制内存消耗的同时保证很高的准确性。
(3)可扩展性。S MART的可扩展性主要表现在2个方面:一个是它能够接受并解析V5,V9以及任意形式的数据格式。另一个在于它系统中功能模块的设计便于新的模块随时添加。
(4)鲁棒性。S MART重视内存管理。它可以根据数据流量和可用内存的变化进行参数的自我调节。
(5)直观可视性。查询结果以图表的形式返回,使流量分析更加方便。
1 系统结构
S MART的系统结构如图1所示。它主要由3个功能模块构成:数据采集模块、任务管理模块和用户接口模块
。
图1 系统结构图
Fig.1 System architecture
1.1 数据采集模块
基于用户需求数据采集模块对采集到的Net2 flow原始数据进行分解过滤。这里涉及到3个基本概念:原始流、合并流、监控流。原始流定义为路由器一个插槽(slot)设备上发出的Netflow原始数据流;合并流则是一个或几个原始流的汇聚,即多个原始流“合并”为一个合并流;监控流则是某个合并流上经过“过滤条件”后产生的数据流的一个“子集”。数据模块主要包括以下3个子模块:
(1)属性抽取:收到一个UDP包,如果它的协议是V5的,则用预先定义好的固定的模板对象来解析原始Flow数据,如果是V9的,则从UDP报文中分离模板定义数据与原始Flow数据,如果是一个新的模板,则缓存起来,用对应的模板对象来解析原始Flow数据。由于访问Flow字段的速度很大程度上影响监控流的匹配速度以及以后的数据聚合过程,因此,本文设计了一种新颖的思路来达到这一目标: Netflow模板采用一个H ash Map来保存字段名称以及对应的起始位置(偏移)、长度(有几个字节)等信息; Flow的数据结构里存放这条Flow的原始字节数组,这样定义一个Flow字段的数值所需的时间为O(1)。
(2)合并:每个路由器通过不同的插槽编码(interface)发送数据,原始流聚集成合并流的时候可以根据IP或者插槽编码。例如,如路由器127.0.0. 1发送的Netflow原始数据可以按照插槽设备的不同分解为原始流127.0.0.1:8,127.0.0.1:15和127.0.0. 1:17(其中:8,:15,:17为路由器的3个插槽编码),如
28
山 东 大 学 学 报 (理 学 版)第42卷
果需要对插槽编码为8与15的原始流进行分析(比如这两个插槽上的端口都是网络核心层下联端口),则首先定义一个合并流来合并这两个原始流。
(3)过滤:可以过滤出感兴趣或者关注的数据集———监控流。例如,需要分析某个校园网发出的IP 数据,可以定义监控流的过滤条件为“srcIP ={xxx.xxx.xxx.xxx Πx}”,又如,分析网络内邮件的发送情况,则可定义监控流的过滤条件为“destP ort ={25}”。2.1 任务管理模块任务管理模块有3个主要功能:首先,当用户提交一个新任务,任务管理模块创建一个新的线程并且根据任务类型选择合适的算法。在S MART 中,有2种任务类型:(1)连续查询任务C 2T ask (continuous task ),主要用来处理连续的滑动窗口T op 2k 频繁查询和流量突变检测。(2)即时查询R 2T ask (real time
task ),用来处理ad 2hoc 滑动窗口T op 2k 频繁查询。C 2T ask 定时返回查询结果,R 2T ask 根据需要来完成
计算和返回结果。其次,它监控所有线程的运行情况和内存使用情况,当流速和内存发生变化时,能够自动地调节参数使系统保持高效运行。最后一个功能是返回查询结果并给用户提供接口模块。
任务管理模块的主要特征包括:
(1)所有的操作都是基于内存的,从而保证较高的效率。当然,内存管理就变得十分重要,它也是系统设计的重点。以C 2T ask 为例,它的流程如图2所示。在每一对线程和线程或者进程与进程之间都有缓存连接。缓存的作用可以实现多任务数据共享以及平衡不同线程或者进程处理速度的差异。当进入某个缓存的数据量突增而超过它最大容量的时候,将进行降载操作
。
图2 C 2T ask 流程图Fig.2 The diagram of C 2T ask
第11期常建龙,等:S M ART:基于数据流技术的电信网络流量监控系统
29
(2)能够处理长时间的滑动窗口的T op 2k 频繁查询,这也是传统数据文件分析的系统很难完成的任务。以往,对于连续的长时间滑动窗口查询,在有限的内存资源下是难以给出准确的结,而S MART 采用近似的数据流查询技术保证了很高的准确率。算法设计上采用文献[6]作为底层算法,而采用文献[4]的结构完成上层设计。对于短时间滑动窗口的查询,S MART 将会给出精确的查询结果。
(3)怎样对监控流上的Netflow 数据进行灵活而有效地分析,使这个系统尽可能满足用户日常监测工作和应付突发事件的需要,也是这个系统需要重视和解决的一个关键问题,而目前多数Netflow 分析软件都采用的是一种相对固定的数据分析模式,例如T op 2k 应用分析,T op 2k 对话分析,T op 2k 目的地址分析等,这种简单的模式很难满足用户的灵活多变的实际需求,因此本文设计并实现了一种高度灵活而又十分有效的数据分析任务模型———完全可定义的基于任意Flow 属性的聚合分析的任务模型。这种任务模型的关键在于“灵活定义的聚合项”,可以对Flow 纪录中的任意的字段(不仅仅是7个关键字)进行聚合,比如可以定义单独的聚合项{SrcIP},也可以定义复合的聚合项{SrcIP ,DstIP ,DstP ort}。以单独的聚合项{SrcIP}为例,Netflow 数据聚合过程如下:抽取Flow 中的srcIP 字段以及统计字段(in 2bytes ,inpackages ),以srcIP 为属性,统计字段为val 2ue ,采用HashMap 进行数据的聚合,其中对于同一个srcIP ,统计字段进行累加,5min 后,根据统计字段对srcIP 进行排序(T op 2k 部分排序
),最后输出T op 2k
结果。
(4)S MART 是自适应系统,可以调节参数来适应资源和数据量的变化。
图3对从原始流合并过滤成监控流,再进行多属性定义的T op 2k 查询过程进行完整描述。
图3 Netflow
数据聚合过程
Fig.3 The procedure of data aggregation
2.2 用户接口模块
用户接口模块接收用户提交的添加、删除任务
或者添加、删除一条控制流的命令
,并且对结果进行可视化表示。图4和图5是对流量进行分布情况和趋势性展现。
图4 图表结果显示(趋势)Fig.4 Visualized results (trend )
图5 图表结果显示(分布情况)Fig.5 Visualized results (proportion )
2 试验
S MART 用JAVA 实现,现在运行在Dell 6850服
务器上面,系统配置是3.16G H z CPU 和8G B 内存。操作系统是Red hat linux AS4。本文用2组真实数据来测试它的准确程度。与S MART 结果相比较的准确值由Flow 2tools 计算出来。
实验1测试于2006年11月11日,没有过滤条件,滑动窗口为24h ,查询T op 220flow 数频繁的Dst ΠSrc AS 对。观察表1所示的结果,除了最后的第19
和第20的排名和与准确结果不同外,其它结果的排
名都是正确的。由于第19和第20的流数比较接近,在近似算法中对它们flow 数目的统计有误差。
30
山 东 大 学 学 报 (理 学 版)第42卷
然而在实际中,如果本身flow数差别不大,那么它们的排名先后也并不重要。对于flow数差别大的数据的排序S MART可以保证是准确的。
表1 试验1结果
T able1 Results of Experiment21
Rank
S M ART
目的Π源AS流数
Exact(Flow2tools)
目的Π源AS流数
10Π4134687171650Π413474777136 20Π4837163295860Π483717715702 30Π481269307310Π48127542362 40Π6474042224390Π647404597567 50Π481437434460Π48144053821 60Π6522026064240Π652202832969 70Π6521023047290Π652102505078 80Π346219953380Π34622161943 90Π483515717960Π48351706539 100Π6474115254020Π647411658145 110Π6452115041350Π645211635590 120Π1763314766660Π176331604287 130Π1778514666770Π177851593602 140Π6466014520170Π646601578549 150Π476013639340Π47601476418 160Π1767212976740Π176721411110 170Π980012835500Π98001392965 180Π6521112673580Π652111373438 190Π6475712146320Π237241323944 200Π2372412132310Π647571320641
实验2测试于2006年5月25日,过滤条件是目的端口等于25,查询滑动窗口为24h时的T op210流数频繁的源IP。如表2,S MART得到了与准确结果完全一致的前10个频繁的SrcIP。
表2 试验2结果
T able2 Results of Experiment22
Rank
S M ART
源IP流数
Exact(Flow2tools)
源IP流数
1218.1.66.9166321218.1.66.9164457 2218.1.66.8949388218.1.66.8947588 3218.1.66.8715041218.1.66.8714531 4218.1.113.1766224218.1.113.176**** ****.1.14.774597218.1.14.774416 6218.1.115.91346218.1.115.91306 7222.71.50.20818222.71.50.20809 8218.1.66.207750218.1.66.207710 9222.66.20.58708222.66.20.58708 10218.81.171.49573218.81.171.49574
3 结论和展望
本文介绍了新颖高效的网络流量监控系统S MART。它基于Java多线程技术、适应多种平台环境,目前在上海电信用于IP城域网的流量分析领域,拥有对海量网络流量信息的实时分析能力,先进的数据流算法进行24h的T op2k数据分析,可以进行网络流量的突变检测,能够合并不同路由器的原始流,实现了基于任意Flow字段的组合过滤条件,能够完成对任意组合的Flow字段进行聚合并获取T op2k任务、指定输出任务的分析,能够实现自定义Flow字段的T op2k任务,统一处理V5和V9格式的Netflow数据,T op2k结果可以通过UDP输出到指定的地址,处理能力达到每秒30000个流。更多的功能模块如,流量模式监控、P2P流量检测以及分布式流量分析系统正在设计之中。S MART作为高效的网络流量分析手段,有可能成为更多电信运营商的网络流量监控工具。
参考文献:
[1]Cisco.Cisco I OS Netflow introduction[E BΠO].(2006204205)
[2006204215].http:ΠΠw w https://www.360docs.net/doc/c710646527.html,Πg oΠnetflow.
[2]Mark Fullmer.Flow2tools[E BΠO L].(2006203201)[20062042
15].http:ΠΠw w https://www.360docs.net/doc/c710646527.html,Πs wΠflow2toolsΠdocsΠflow2tools.
html.
[3]C ARNEYD,QETI NTE ME L U,CHERNI ACKM,et al.M oni2
toring streams2a new class of data management applications
[C]ΠΠProceedings of28th International C on ference on Very
Large Data Bases,August20223,2002.H ong K ong,China: M organ K au fmann,2002:2152226.
[4]ARAS U A,M ANK U G S.Approximate counts and quantiles
over sliding windows[C]ΠΠA.Deutsch.Proceedings of the T wenty2third AC M SIG ACT2SIG M OD2SIG ART Sym posium on Principles of Database Systems,June14216,2004.Paris, France:AC M,2004:2862296.
[5]QI N S,QI AN W,ZH OU A.Approximately processing multi2
granularity aggregate queries over data streams[C]ΠΠProceed2 ings of the22nd International C on ference on Data Engineering, IC DE2006,328April2006,Atlanta,G A,US A:IEEE C om2 puter S ociety,2006:67.
[6]Y U J X,CH ONG Z,LU H,et al.False positive or false neg2
ative:M ining frequent itemsets from high speed transactional data streams[C]ΠΠProceedings of the Thirtieth International
C on ference on Very Large Data Bases,August312September3
2004.T oronto,Canada:M organ K au fmann,2004:2042215.
(编辑:孙培芹)
第11期常建龙,等:S M ART:基于数据流技术的电信网络流量监控系统31
视频系统网络流量的监测与控制
视频系统网络流量的监测与控制 摘要:视频系统的应用给网络容量带来巨大压力,为避免网络阻塞,对视频系统网络流量的监测与控制非常重要。使用开源监控软件Cacti,可以搭建一个出色的网络流量监测平台。使用流媒体技术传输视频,能够降低视频系统流量。在交换机上使用ACL限制视频的访问,既能达到控制网络流量的目的,又能为视频系统安全提供保障。组播技术在视频传输上有绝对优势,使用组播进行视频传输是流量控制的最佳方案。 关键词:视频系统,网络流量,Cacti,流媒体,组播技术 The network traffic Monitoring and control of Video system LI Chao LU Huaqing (Daqing oilfield co., LTD. The first production plant's the information center 163001,lichao_a @https://www.360docs.net/doc/c710646527.html,) (Daqing oilfield co., LTD. The first production plant's the information center 163001luhuaqinga @https://www.360docs.net/doc/c710646527.html,) Abstract: The application of video system bring great pressure to network capacity, to avoid network congestion, network traffic monitoring and control of video system is very important. Using open source monitoring software Cacti, can build a good platform for the network traffic https://www.360docs.net/doc/c710646527.html,ing Streaming Media Technology, can reduce network traffic video https://www.360docs.net/doc/c710646527.html,ing acl Technology restricted access to video on switches, can not only achieve the goal of control network traffic, and to provide assurance that video system security.Multicast technology in video transmission has absolute advantages, the use of multicast transmission of video is the best solution for network flow control. Keywords: video system, network flow, Cacti, Streaming Media, Multicast technology. 1、引言
网络监控流量及存储算法.doc
1080P、720P、4CI F、CIF所需要的理论带宽【转】 在视频监控系统中,对存储空间容量的大小需求是与画面质量的高低、及 视频线路等都有很大关系。下面对视频存储空间大小与传输带宽的之间的计算 方法做以先容。 比特率是指每秒传送的比特 (bit)数。单位为 bps(BitPerSecond),比特率越高,传送的数据越大。比特率表示经过编码 (压缩 )后的音、视频数据每秒钟需要用多少个比特来表示,而比特就是二进制里面最小的单位,要么是 0,要么是1。比特率与音、视频压缩的关系,简单的说就是比特率越高,音、视频的质量 就越好,但编码后的文件就越大;假如比特率越少则情况恰好相反。 码流 (DataRate)是指视频文件在单位时间内使用的数据流量,也叫码率, 是视频编码中画面质量控制中最重要的部分。同样分辨率下,视频文件的码流 越大,压缩比就越小,画面质量就越高。 上行带宽就是本地上传信息到网络上的带宽。上行速率是指用户电脑向网络发送信息时的数据传输速率,比如用 FTP上传文件到网上往,影响上传速度的 就是“上行速率”。 下行带宽就是从网络上下载信息的带宽。下行速率是指用户电脑从网络下载信息时的数据传输速率,比如从 FTP服务器上文件下载到用户电脑,影响下传 速度的就是“下行速率”。 不同的格式的比特率和码流的大小定义表: 传输带宽计算: 比特率大小×摄像机的路数 =网络带宽至少大小; 注: 监控点的带宽是要求上行的最小限度带宽(监控点将视频信息上传到监控中心);监控中心的带宽是要求下行的最小限度带宽 (将监控点的视频信息下载到监控中心 );例:
电信 2Mbps 的 ADSL宽带, 50 米红外摄像机理论上其上行带宽 是512kbps=64kb/s,其下行带宽是 2Mbps=256kb/。 例: 监控分布在 5 个不同的地方,各地方的摄像机的路数: n=10(20 路)1 个监控中心,远程监看及存储视频信息,存储时间为30 天。不同视频格式的带宽及存储空间大小计算如下: 地方监控点: CIF视频格式每路摄像头的比特率为 512Kbps,即每路摄像头所需的数据传 输带宽为 512Kbps,10 路摄像机所需的数据传输带宽为: 512Kbps(视频格式的比特率 ) × 10(摄像机的路数 ) ≈ 5120Kbps=5Mbps(上行带宽 ) 即: 采用 CIF视频格式各地方监控所需的网络上行带宽至少为 5Mbps;D1 视频格式每路摄像头的比特率为 1.5Mbps,即每路摄像头所需的数据传输带宽为 1.5Mbps,10 路摄像机所需的数据传输带宽为: 1.5Mbps(视频格式的比特率 ) × 10(摄像机的路数 )=15Mbps(上行带宽 )即: 采用 D1 视频格式各地方监控所需的网络上行带宽至少为 15Mbps;720P(100万像素 )的视频格式每路摄像头的比特率为 2Mbps,即每路摄像头所需的数据传输带宽为 2Mbps,10 路摄像机所需的数据传输带宽为: 2Mbps(视频格式的比特率 ) × 10(摄像机的路数 )=20Mbps(上行带宽 ) 即: 采用 720P的视频格式各地方监控所需的网络上行带宽至少为 20Mbps;1080P(200 万像素 )的视频格式每路摄像头的比特率为 4Mbps,浙江监控批发网
车载车流量监控系统方案
车载车流量监控系统使用说明书
1. 车载车流量监控系统 随着现代社会人民生活水平的提高,经济的快速发展,交通拥挤、道路阻塞频繁发生,为了阻止交通拥堵现象的进一步恶化,各国政府启动智能交通计划。 智能交通系统的关键在于交通信息的采集,开发成本低、可大量布设到各个路口的基于无线传感器网络的车流量监控系统,通过控制交叉口合适的信号参数,使不同方向的车流在时间上隔离,控制车流的运行秩序,实现交叉口车辆运行的安全、有序,是解决交通拥挤的一种基本手段。 2.车载车流量监控系统编写背景、目的及意义 2.1编写背景 在汽车内安装无线通信模块,使汽车通过自身安装的传感器节点或道路基础设施上安装的无线传感器节点感知行驶途中的各种信息,已经成为提高行驶安全和城市的交通性能的一种重要手段。[1]大量的车辆传感器节点通过车上以及道路基础设施上安装的无线通信设备,可构成车载无线传感器网络[2],通过车辆之间的中继传输得到全面的城市交通信息。 车载无线网络可以让行驶者或交管部门得到车辆的状态数据和城市的交通数据。车辆状态数据包括行驶时的各种内在状态、比如位置或快慢等;交通数据包括交通流量或路面状况等。除了车上安装的传感装置外,驾驶员也可以通过对道路和交通的观察,获知复杂事件,如发生的交通事故、比较危险的路段等即时事件。 世界各国的研究机构在近年来对车载无线传感器网络持续关注,美国联邦通信委员会(FCC)1999年在5.9GHz的频谱上为智能交通通信分配了75MHz的带宽[3],并制定了DSRC协议。这个75MHz的频带包括了7个10MHz的信道,另外还提供了1个信道用于传递控制信息和6个信道传递服务信息。DSRC协议是一个
网络流量监测管理系统的研究与实现
龙源期刊网 https://www.360docs.net/doc/c710646527.html, 网络流量监测管理系统的研究与实现 作者:何荣毅 来源:《硅谷》2008年第09期 [摘要]通过应用MRTG软件,搭建一个基于SNMP协议和NETFLOW技术的网络流量监测管理系统。运用信息过滤技术和数据库管理设计,解决数据拥堵和数据查询方式单一的问题。 [关键词]流量监测S NMP协议 NETFLOW技术 中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)0510020-01 一、引言 随着通信技术和网络的快速发展,各种信息网络形成了一个信息爆炸的网络空间。为了更好地利用丰富的网络资源,网络管理得到越来越多的重视。流量监测对于网络管理有着重要意义,是网络管理系统中一个重要的部分。利用合适的网络工具监测网络的流量和性能,能够及时发现网络存在的瓶颈,了解网络的运行状态,从而优化网络结构,提高网络服务质量。高效的网络流量监测不仅能够让网络管理人员及时了解网络的运行状态,对网络出现的问题做出及时调整或排除,也可作为网络规划和排除网络故障的依据。MRTG(Multi Router Traffic Grapher)是一个监控网络链路流量负载的工具软件,它通过SNMP(Simple Network Management Protocol)协议从设备得到网络的流量信息,并将流量负载以HTML文档方式显示给用户,以非常直观 的形式显示流量负载,能起到很好的流量监测管理作用。 二、网络流量监测管理系统方案 提出一种应用MRTG软件工具,利用SNMP与NETFLOW技术相组合,采用信息过滤模块,实现数据库便捷访问,最后达到高效率的流量监测目的的网络流量监测系统。系统设计采用了基于SNMP、NEWFLOW的网络管理框架模型,进而开发和实现了在操作系统平台上运 行的信息采集系统。系统可以根据网络管理人员的需求提供详细的信息查询定位到某一自治域、路由器及其端口、设定IP地址的流量出入情况。基于SNMP、NEWFLOW的路由器采集到与其它互联单位的流量出入数据,并根据需要存入数据库。同时监测程序可以对互联单位的
流量监控软件常见问题解答——天易成网络管理软件
===天易成网管软件常见问题解答(FAQ)=== 问题1:关于5种模式的说明 解答:参见论坛置顶的帖子。 https://www.360docs.net/doc/c710646527.html,/tycbbs/showtopic-6.aspx 问题2:适用的操作系统 解答:Windows XP / Windows Vista / Windows Server 2003 / Windows 7 问题3:出现"与监控端连接失败"的提示,如何解决? 解答: 根据以下步骤检查: 1.登录时,勾选通过IP登录,IP输入127.0.0.1。 2.如果是XP系统,点击开始菜单->控制面板->管理工具/性能和维护->服务,找到TYCNetManageService,查看其状态; 如果是win7系统,点我的电脑--右键--管理--服务和应用程序--服务,找到TYCNetManageService,查看其状态,状态必须为"已启动",如果没有该服务程序就重装一次软件。 问题4:开始管理后,局域网内机器不能上网了,如何解决? 解答:
1.如果是ARP网关模式,并且在全局设置里开启了"阻止运行ARP防火墙或ARP静态绑定的主机上网",而被监控的主机又运行了arp防火墙的话(比如360安全卫士),那么程序是会阻止其上网的。解决办法:a.让被监控的机器关闭arp防火墙并重启电脑。b.改用网桥方式,这里有相关模式的详细设置介绍 https://www.360docs.net/doc/c710646527.html,/tycbbs/showtopic-6-1.aspx#9 2.检查监控机上是否安装了防火墙,将其关闭或卸载试试!可能有影响的防火墙有ESET nod32,瑞星等。 3.检测监控机是否打有ARP补丁,比如操作系统安装的是绿茶系统,就会默认打上ARP补丁。 4.查看路由器或者交换日志,看看其是否有防ARP的功能,若有则关闭。 问题5:设置了策略,限制了速度,比如20k/s,但显示速度还是很大,远远大于20k/s,如何解决? 解答:在全局设置中,将限速方法设为精确方法。 问题6:为什么在同事的电脑上会报告我对他电脑的ARP攻击呢? 解答:正常的,因为我们的ARP网关模式需要使用ARP进行管理。若想不出现arp攻击的提示,请配置我们的网桥模式, https://www.360docs.net/doc/c710646527.html,/tycbbs/showtopic-6-1.aspx#9这是模式的设置步骤。
网络流量监控软件的设计与实现设计
网络流量监控软件的设计与实现设计
长沙理工大学 《网络协议编程》课程设计报告 网络流量监控软件的设计与实现 xxx 学 院 计算机与通信工程 专 业 网络工程 班 级 网络12-1 学 号 20125808** 学生姓名 xxxxxx 指导教师 xxxxx 课程成绩 完成日期 2015年9月25日
课程设计成绩评定 院系计算机与通信工程专业网络工程 班级网络1201 学号xxxxxx 学生姓名xxxxxx指导教师xxxxxx 指导教师对学生在课程设计中的评价 指导教师成绩指导教师签字年月日课程设计答辩组对学生在课程设计中的评价 答辩组成绩答辩组长签字年月日
课程设计综合成绩 注:课程设计综合成绩=指导教师成绩×60%+答辩组成绩×40% 课程设计任务书 计算机与通信工程学院网络工程专业
网络流量监控软件的设计与实现 学生姓名:xxxxxx 指导老师:xxxxxx 摘要互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。在研究网络数据包捕获、 TCP/IP原理的基础上,采用面向对象的方法进行了需求分析与功能设计。该系统在VisualC++6.0环境下进行开发,综合采用了Socket-Raw、注册表编程和IP助手API等VC编程技术,在系统需求分析的基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为网络管理员了解网络运行状态提供了参考。 关键词网络管理;数据采集;流量统计;Winsock2
基于大数据的人流量监控系统研究
基于大数据的人流量监控系统研究 大数据应用是目前最热门的IT发展应用方向,大数据应用已经成为改变未来社会生活和城市管理方式的基石。文章重点研究基于运营商网络信令大数据的人流量监控系统构建,阐述了系统架构及主要的业务流程,并探讨了该系统为行业管理解决的问题,帮助行业管理部门实现智慧管理提供支撑服务。 标签:大数据;人流量监控;智慧旅游;智慧安保 1 概述 近年来,踩踏事件等群体聚集性安全事故频发,特别是上海外滩踩踏事件造成了大量人员伤亡,带来巨大的社会影响。社会各界和各级政府高度重视各类活动和热点地区的安保工作。但传统安保手段单一,无法准确量化现场人数,存在较大安全隐患。此外,旅游行业企业及政府部门长期以来缺乏准确的行业数据及景区精细化数据。既不能整体把握行业的发展情况,也无法对景区各区域的人数进行有效控制。 2 功能简介 大数据人流量监控系统能为安保部门、大型活动现场指挥部等政府机构提供热点地区的人流量分析及监控,通过量化的数据和热力图、直方图等直观的形式实时展现目标区域的拥挤情况和现场人数。同时,对于旅游景区,大数据人流量监控系统除景点人数监控外,还能结合运营商现有数据为旅游相关企业、展会主办部门及各类政府部门提供目标区域客户画像、来源地分析、驻留时长分析、运动轨迹分析等功能。 3 系统技术实现 3.1 系统架构 大数据人流量监控系统的功能结构包括获取层、数据层、功能层、展现层、接口层等五大部分,获取层:利用大数据采集技术,获取运营商网络系统中基础的网络及用户数据。数据层:利用大数据计算技术,进行各个系统数据的处理,通过统计分析全量用户、流入/流出、驻留时长等数据信息,形成用户个性化标签、区域全量用户和区域新增用户等数据视图。功能层:提供整体分析、来源分析、聚集密度、用户标签、异常预警等功能,实现不同维度、不同视角的价值应用。展现层:在大数据门户基础展现组件及趋势对比图形展现之上,通过热力图展示手段,实现多样化展示。接口层:为第三方应用提供实时的数据分析接口,以及事后的数据分析报告等。 3.2 业务流程
一种网络流量监控系统的设计与实现
一种网络流量监控系统的设计与实现 【摘要】提出一种能够适用于空管信息网络的网络流量监控系统,该系统基于TCP/IP网络的SNMP管理协议,通过visual2010平台进行C#设计,能够实现对网络数据的获取、流量分析与记录,并以此同时提供记录文件进行数据记录。 【关键词】网络流量监控;C#;SNMP协议;网络数据 0.引言 空管信息网络承担着包括OA系统、共享服务以及相关业务系统在内的重要网络业务,提供信息化的同时,给技术保障维护人员带来一定的保障压力。根据相关工作经验及实际实验数据,网络设备端口流量异常是导致故障发生的重要原因,因此,对于网络流量的监控显得更加重要。随着空管信息化要求的逐日提高,网络规模也日益变大,对于网络流量监控的工作也更加繁重。本文从空管网络流量监控的实际情况出发,提出一种基于C#的网络流量监控,能够实现对网络数据进行获取、流量记录与分析。系统在实际运行中效果良好,可以为相关网络监控设计提供一种可行的借鉴。 1.总体设计 SNMP即网络管理协议(Simple Network Management),在TCP/IP协议族中可以对网络进行管理,这种管理既可以是本地的也可以是远程的。而基于SNMP 网络协议的本系统,可以实现对网络数据的获取与实时监控的功能,实现上具有通用、实时、多线程、维护性强及扩展性强的特点。实现在数据链路层和网络层上任意节点的数据获取。加之记录功能的辅助,系统能实现在应用层的数据回放,以满足空管安全事件调查以及系统维护对历史工作状况的评估。 SNMP协议中,一个网管基站可以实现对所有支持SNMP协议的网络设备的监控(随着网络技术的发展,目前绝大部分网络设备是可支持的),包括监视网络状态、修改网络配置、接收网络事件告警等等网络监控功能。在实现上主要包括远程文件访问、流量数据记录、流量监视以及系统的IP定位。其中流量监视是系统实现的核心,将在下一部分进行介绍。另外,系统还提供了日志文件记录实现对系统操作、监控数据以及告警信息的记录。 2.C#的实现 对于系统的C#实现,主要采用的C/S模式,因此在系统的实现上尽量简单、快捷、高效为主。因此自定义相关函数与类,在记录数据和日志方面采用文本文件记录。 2.1网络监控类与网络适配类的设计
SMART_基于数据流技术的电信网络流量监控系统
收稿日期:2007206220 基金项目:国家自然科学基金资助项目(60673134);上海市电信公司(Shanghai T elecom C o.,LT D )网络流量监测数据处理工具开发项目 作者简介:常建龙(19722 ),男,博士研究生,研究方向:数据流上查询处理.Email :jlchang @https://www.360docs.net/doc/c710646527.html, 文章编号:167129352(2007)1120027205 S MART:基于数据流技术的电信网络 流量监控系统 常建龙 1,2 ,闫莺1,宫学庆1,戴岱2,周傲英 1 (1.复旦大学 计算机科学与工程学院,上海 200433;2.上海电信,上海 200120) 摘要:大多数国内电信运营商现有的网络流量监控系统的分析都是基于数据文件的操作模式,处理速度远跟不上大量数据到达的速度。基于这种情况,提出了基于数据流技术来实现在线网络流量监控系统S M ART 。S M ART 收集多个路由器发送的Netflow V 5或者V 9格式的数据,并将其转换成用户定义的监控流;以滑动窗口的方式查询输出流量构成中T op 2k 频繁数据信息;监测网络流量突变;以可视化的图形和报表形式显示结果。S M ART 先进的数据流算法技术基础和完整的系统框架设计使得它在上海电信高效稳定的7324h 运行。关键词:数据流系统;网络流量监控;电信中图分类号:TP311.13 文献标志码:A S M ART:a system for online m onitoring large v olumes of netw ork traffic CHANGJian 2long 1,2,Y AN Y ing 1,G ONG Xue 2qing 1,DAI Dai 2,ZHOU Ao 2ying 1 (1.C om puter Science and Engineer ,Fudan University ,Shanghai 200433,China ; 2.Shanghai T elecom ,Shanghai 200120,China ) Abstract :M onitoring systems deployed in telecom operators are usually too slow because of their disk 2based processing approach.T o address this problem ,an online netw ork traffic m onitoring system ,named S M ART ,was designed and developed.The system converts different formats of raw net flow data (Netflow V5or V9)to user 2defined control flows through combination and filtering.I t can com pute top 2k frequent flows with sliding window ,detect burst on arbitrary attributes ,and present results visually to users.The system could be used to replace the traditional offline m onitoring system used in Shanghai T elecom.The basis of advanced streaming alg orithms and the design of robust system architecture enable S M ART to achieve g ood per formance.K ey w ords :data stream system ;netw ork traffic m onitoring ;telecom 0 引言 随着宽带互联网迅速发展,各大电信运营商的 网络规模都在不断扩张,网络结构日渐复杂,网络业务日趋丰富,网络流量高速增长。电信运营商需要通过可靠、有效的网络业务流量分析工具对其网络以及网络所承载的各类业务进行及时、准确地流量和流向分析,进而挖掘网络资源潜力,控制网络互联成本,并为网络规划、优化调整和业务发展提供基础 依据。 网络监控的基本手段———简单网络管理协议(sim ple netw ork management protocol ,S NMP )很好地满足了网元性能监控需要,但在流量方面,只能提供粗糙、简略的流量统计资料。网络探针(sniffer )或是类似的监听工具可以弥补S NMP 的缺陷,但它的问题是数据庞大、资源消耗过大、难以适应高速网络的 要求。Cisco 公司于1996年开发的Netflow 技术[1] ,通过在路由器上提供高层的IP 流量原始统计信息,事实上已经成为网络流量监控方面的标准。目前主 第42卷 第11期 V ol.42 N o.11 山 东 大 学 学 报 (理 学 版) Journal of Shandong University (Natural Science ) 2007年11月 N ov.2007
网络流量监控
网络流量监控 组长:李天翼 组员: 网络流量监控:主要实现了在局域网中,使用路由器上网,能够把整个局域网的计算机的据 包,截获然后转发,根据截获的数据包,来进行流量的监控。进一步能够实现对流量的控制。 在java 程序中要实现数据包截获,转发等操作必须了解一下JPCAP 。 JPCAP : 1.Jpcap 类库介绍 1.1 Jpcap 的使用 Jpcap 是2003年日本开发的一套能够捕获、发送网络数据包的java 类库。因为核心Java API 不能访问底层的网络数据,但Jpcap 是一种提供在Windows 或UNIX 系统上进行这种访问的Java API 。Jpcap 不是一种纯粹的Java 解决方案,它依赖本地库的使用。在Windows 或 UNIX 上,你必须有必要的第三方库,分别是WinPcap 或libpcap 。要在java 中使用Jpcap 类库需要安装Jpcap 的运行和开发环境。 1.2 Jpcap 介绍 Jpcap 类库的基本结构如下图: Jpcap 类库结构 1.2.1 Packet 基类及其子类 Packet 这个类是所有被捕获的数据包的基类,可以提供被捕获数据包的长度,被捕获数 据包的时间标记等基本信息。 ARPPacket 和IPPacket 是继承Packet 的子类,它们将被捕获包分成两类。 ARPPacket
按照ARP数据报的内容,将其各数据段的数据取出。IPPacket则被分得更细。这两个类主要与是与数据链路层密切相关的,其与MAC地址相关的信息在EthemetPacket类中表示出来。EthemetPacket是从DatalinkPacket继承而来的。 IPPacket下有三个子类,分别是ICMPPacket、TCPPacket、UDPPacket。这三个类分别表示的是被存储在IP数据报的报文中发送的ICMP、TCP、UDP报文。 1.2.2 Jpcap的主要功能 Jpcap提供了十分方便的数据包捕获方法。Jpcap使用一个事件模型来处理包。首先,必须创建一个执行接口jpcap.JpcapHandler的类。 public class Jpcaphandler implements JpcapHandler { public void handlePacket(Packet packet){ System.out.println(packet); } } 为了捕获包,需要让Jpcap知道要用哪个网络设备来监听。API提供了jpcap.Jpcap.getDeviceList()方法以满足这一目的。这个方法返回一列字符串,可以按一下方法如下使用它: String[] devices = Jpcap.getDeviceList(); 一旦有了一个设备名称的目录,只要从其中选取一个用来监听: String deviceName = devices[0]; 选择一个设备之后,通过Jpcap.openDevice()方法打开它。openDevice()方法需要四个参数:即将打开的设备名,从设备上一次读取的最大字节数,说明是否将设备设为混杂模式的Boolean值,和以后调用processPacket()方法要使用到的超时值。 Jpcapjpcap = Jpcap.openDevice(deviceName, 1024, false, 10000); openDevice()方法将一个参数返回到用以捕获的Jpcap对象。既然有了Jpcap实例,你可以调用processPacket() 或loopPacket()开始监听了。这两种方式都带有两个参数:捕获的最大包数可以是-1(说明没有限制);执行JpcapHandler的一个类的实例。 如果你调用processPacket(),那么Jpcap将一直捕获包,直到超过openDevice中规定的时限
网络流量监控及分析工具的设计与实现
目录 1 引言 (1) 1.1课题背景 (1) 1.2网络流量监控的引入 (1) 1.3课程设计的目的与任务 (1) 2 相关的概念与技术 (2) 2.1TCP/IP体系结构 (2) 2.2原始套接字 (3) 3 网络数据的采集技术分析 (4) 3.1Windows下原始数据包捕获的实现 (4) 3.2原始数据包捕获的关键函数 (5) 4 网络流量监控系统各模块的设计与实现 (6) 4.1总体结构设计 (6) 4.2流程图设计 (7) 4.3各模块功能概述与实现 (8) 4.3.1 数据包采集中各类的关系 (8) 4.3.2 数据包捕获与分析模块 (9) 4.3.3 流量获取模块 (10) 4.3.4 数据统计模块 (13) 5 分析工具测试 (13) 5.1测试环境 (13) 5.2测试步骤 (13) 5.3测试结果评价 (13) 6 结束语 (15) 参考文献: (16)
1引言 1.1课题背景 随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。 1.2网络流量监控的引入 网络安全管理体系中,流量监控和统计分析是整个管理的基础。 流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。 由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。 1.3课程设计的目的与任务 该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计,