網絡流量監測范文

導語：如何才能寫好一篇網絡流量監測，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:網絡管理;網絡流量;監測

Network Traffic Monitoring in Network Management

Wang Lei

(Hunan Women’s University,Changsha410004,China)

Abstract:This article study from the network traffic characteristics,internet traffic measurement,etc,so as to optimize some suggestions for traffic monitoring technologies.

Keywords:Network management;Network traffic;Monitoring

一、網絡流量的特征

(一)數據流是雙向的,但通常是非對稱的

互聯網上大部分的應用都是雙向交換數據的,因此網絡的流是雙向的。但是兩個方向上的數據率有很大的差異,這是因為從網站下載時會導致從網站到客戶端方向的數據量比另外一個方向多。

(二)大部分TCP會話是短期的

超過90%的TCP會話交換的數據量小于10K字節,會話持續時間不超過幾秒。雖然文件傳輸和遠程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節,WWW的巨大增長使其在這方面產生了決定性的影響。

(三)包的到達過程不是泊松過程

大部分傳統的排隊理論和通信網絡設計都假設包的到達過程是泊松過程,即包到達的間斷時間的分布是獨立的指數分布。簡單的說,泊松到達過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發生。泊松模型因為指數分布的無記憶性也就是事件之間的非相關性而使其在應用上要比其他模型更加簡單。然而近年來對互聯網絡通信量的測量顯示包到達的過程不是泊松過程。包到達的間斷時間不僅不服從指數分布,而且不是獨立分布的。大部分時候是多個包連續到達,即包的到達是有突發性的。很明顯,泊松過程不足以精確地描述包的到達過程。造成這種非泊松結構的部分原因是數據傳輸所使用的協議。非泊松過程的現象迫使人們懷疑使用簡單的泊松模型研究網絡的可靠性,從而促進了網絡通信量模型的研究。

(四)網絡通信量具有局域性

互聯網流量的局域性包括時間局域性和空間局域性。用戶在應用層對互聯網的訪問反映在包的時間和源及目的地址上,從而顯示出基于時間的相關(時間局域性)和基于空間的相關(空間局域性)。

二、網絡流量的測量

網絡流量的測量是人們研究互聯網絡的一個工具,通過采集和分析互聯網的數據流,我們可以設計出更加符合實際的網絡設備和更加合理的網絡協議。計算機網絡不是永遠不會出錯的,設備的一小點故障都有可能使整個網絡癱瘓,或者使網絡性能明顯下降。例如廣播風暴、非法包長、錯誤地址、安全攻擊等。對互聯網流量的測量可以為網絡管理者提供詳細的信息以幫助發現和解決問題?；ヂ摼W流量的測量從不同的方面可以分為:

(一)基于硬件的測量和基于軟件的測量

基于硬件的測量通常指使用為采集和分析網絡數據而特別設計的專用硬件設備進行網絡流的測量,這些設備一般都比較昂貴,而且受網絡接口數量,網絡插件的類型,存儲能力和協議分析能力等諸多因素的限制?；谲浖臏y量通常依靠修改工作站的內核中的網絡接口部分,使其具備捕獲網絡數據包的功能。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網絡流量分析器。

(二)主動測量和被動測量

被動測量只是記錄網絡的數據流,不向網絡流中注入任何數據。大部分網絡流量測量都是被動的測量。主動測量使用由測量設備產生的數據流來探測網絡而獲知網絡的信息。例如使用ping來估計到某個目的地址的網絡延時。

(三)在線分析和離線分析

有的網絡流量分析器支持實時地收集和分析網絡數據,使用可視化手段在線地顯示流量數據和分析結果,大部分基于硬件的網絡分析器都具有這個能力。離線分析只是在線地收集網絡數據,把數據存儲下來,并不對數據進行實時的分析。

(四)協議級分類

對于不同的協議,例如以太網(Ethernet),幀中繼(Frame Relay),異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網絡插件來收集網絡數據,因此也就有了不同的通信量測試方法。

三、網絡流量的監測技術

根據對網絡流量的采集方式可將網絡流量監測技術分為:基于網絡流量全鏡像的監測技術、基于SNMP的監測技術和基于Netflow的監測技術三種常用技術。

(一)基于網絡流量全鏡像的監測技術

網絡流量全鏡像采集是目前IDS主要采用的網絡流量采集模式。其原理是通過交換機等網絡設備的端口鏡像或者通過分光器、網絡探針等附加設備,實現網絡流量的無損復制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應用層信息。

(二)基于Netflow的流量監測技術

Netflow流量信息采集是基于網絡設備提供的Netflow機制實現的網絡流量信息采集。

(三)基于SNMP的流量監測技術

篇2

關鍵詞:網絡 異常流量 檢測

一、異常流量監測基礎知識

異常流量有許多可能的來源,包括新的應用系統與業務上線、計算機病毒、黑客入侵、網絡蠕蟲、拒絕網絡服務、使用非法軟件、網絡設備故障、非法占用網絡帶寬等。網絡流量異常的檢測方法可以歸結為以下四類:統計異常檢測法、基于機器學習的異常檢測方法、基于數據挖掘的異常檢測法和基于神經網絡的異常檢測法等。用于異常檢測的5種統計模型有:①操作模型。該模型假設異常可通過測量結果和指標相比較得到,指標可以根據經驗或一段時間的統計平均得到。②方差。計算參數的方差,設定其置信區間,當測量值超出了置信區間的范圍時表明可能存在異常。③多元模型。操作模型的擴展,通過同時分析多個參數實現檢測。④馬爾可夫過程模型。將每種類型事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化。若對應于發生事件的狀態轉移矩陣概率較小,則該事件可能是異常事件。⑤時間序列模型。將測度按時間排序,如一新事件在該時間發生的概率較低,則該事件可能是異常事件。

二、系統介紹分析與設計

本系統運行在子網連接主干網的出口處,以旁路的方式接入邊界的交換設備中。從交換設備中流過的數據包,經由軟件捕獲,處理,分析和判斷,可以對以異常流量方式出現的攻擊行為告警。本系統需要檢測的基本的攻擊行為如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限于SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同于以特征、規則和策略為基礎的入侵檢測系統(Intrusion Detection Systems),本研究著眼于建立正常情況下網絡流量的模型,通過該模型,流量異常檢測系統可以實時地發現所觀測到的流量與正常流量模型之間的偏差。當偏差達到一定程度引發流量分配的變化時,產生系統告警(ALERT),并由網絡中的其他設備來完成對攻擊行為的阻斷。系統的核心技術包括網絡正常流量模型的獲取、及對所觀察流量的匯聚和分析。由于當前網絡以IPv4為主體,網絡通訊中的智能分布在主機上,而不是集中于網絡交換設備,而在TCP/IP協議中和主機操作系統中存在大量的漏洞,況且網絡的使用者的誤用(misuse)也時有發生,這就使得網絡正常流量模型的建立存在很大的難度。為達到保障子網的正常運行的最終目的,在本系統中,采用下列方式來建立多層次的網絡流量模型:

(1)會話正常行為模型。根據IP報文的五元組(源地址、源端口、目的地址、目的端口和協議),TCP和UDP報文可以構成流(flow)或偽流(pseudo-flow)。兩個五元組中源和目的相反的流可以構成一個會話。由于ICMP的特殊性,對于ICMP的報文,分別進行處理:ICMP(query)消息構成獨立會話,而ICMP錯誤(error)消息則根據報文中包含的IP報頭映射到由IP報頭所制定的會話中去。每一類協議(TCP/UDP/ICMP)的正常行為由一個有限狀態及刻畫。在這個狀態機中,如果一個事件的到來導致了錯誤狀態的出現,那么和狀態機關聯的計數器對錯誤累加。協議狀態機是一種相對嚴格的行為模型,累加的錯誤計數本身并不一定代表發現了攻擊行為。

(2)流量規則特征模型。在正常的網絡流量中,存在著穩定的規則特征。比如一個IP收到和發出的含SYN標志位和含FIN標志位的報文的比值、一個IP的出度和入度的比值以及一個IP的平均會話錯誤數等。這些網絡不變量是檢驗在一定時間區間內,一個IP是否行為異常的標準之一。這個模型要求對會話表中的會話摘要(一個含有會話特征的向量)進行匯聚,在會話正常行為模型基礎上增加攻擊行為判斷的準確程度。

(3)網絡流量關聯模型。把一些流量特征(如字節數、報文數、會話錯誤數等)在一定時間區間內的累加值記錄下來,可以看作時間序列。通過對序列的分析,可以找到長期的均值、方差、周期、趨勢等特征。當攻擊行為發生時,觀察到的一些流量特征會偏離其長期特征。這種特征偏離的相關性就提供了判斷是否攻擊已發生的一個依據。

三、大規模流量異常檢測框架

異常檢測通常需要描述正常網絡行為,網絡行為模型越準確,異常檢測算法效果越好。在大規模流量異常檢測中通常通過網絡探針了解單個實體或結點的行為來推測整個網絡行為,基于網絡斷層成像(network tomography)思想通過使用探針測量推斷網絡特征,這是檢測非協作(noncooperative)網絡異常和非直接管理控制網絡異常的有效手段。對于單個管理域,基于實體研究可以向網絡管理者提供有用信息,例如網絡拓撲。在單個結點使用一些基本的網絡設計和流量描述的方法,可以檢測網絡異常和性能瓶頸。然后觸發網絡管理系統的告警和恢復機制。為了對大規模網絡的性能和行為有一個基本的了解,需要收集和處理大量網絡信息。有時,全局網絡性能信息不能直接獲得,只有綜合所獲得的本地網絡信息才能對全局網絡行為有個大致的了解。因為不存在準確的正常網絡操作的統計模型,使得難以描述異常網絡模型的統計行為,也沒有單個變量或參數能包括正常網絡功能的各個方面。需要從多個統計特征完全不同的矩陣中合成信息的問題。為解決該問題,有人提出利用操作矩陣關聯單個參數信息。但導致算法的計算復雜度較高,為了滿足異常檢測的實時性要求,本文關聯本地和全局數據檢測網絡異常。盡管本章利用行為模型對IP Forwarding異常進行檢測,但該方法并不僅限于檢測本地異常。通過關聯多條網絡鏈路的時間序列數據,也可以檢測類似于空間的網絡異常。因此,該方法可以擴展到其他類型的大規模網絡數據和其他大規模網絡異常。

參考文獻:

[1]司偉紅.淺析網絡攻擊常用方法.科技廣場,2006,7:36-38.

篇3

關鍵詞：ITS 3G網絡 交通流量 數據傳輸

中圖分類號：TP368 文獻標識碼：A 文章編號：1007-9416(2012)07-0028-02

智能交通系統通過實時、準確、高效和多方位的檢測監控設備，檢測有關車道占有率、車流量、行車速度等交通流量信息，利用有線以及無線通信網絡傳輸檢測數據信息，使得交通主管部門能夠詳實的數據，處理交通流量數據，充分發揮現有交通基礎設施潛力，改善交通安全以及緩解交通擁擠，提高整個路網的運輸效率和通行能力；既能夠降低油耗，減少廢氣排放，降低、對環境的污染[2]，又能夠提高交通出行的方便性、安全性，節約運輸成本，提高社會效益和經濟效益。

1、交通流量檢測技術

交通流量檢測是智能交通系統的基礎部分，其在交通監控、交通誘導、交通應急指揮等研究應用中占有很重要的地位。主要是通過各種檢測設備對路面行駛車輛進行探測，獲取相關交通參數，包括各車道的車流量、車道占有率，車速、車型、車頭時距等，以達到對公路各路段交通狀況及異常事件的自動檢測、監控、報警等目的。交通流量檢測方式一種是接觸式[3][4]，其主要分為壓電、壓力管探測、環行線圈探測和磁力式探測，其特點是埋藏在路面之下，當汽車經過采集裝置上方時會引起相應的壓力、電場或磁場的變化，最后采集裝置將這些力和場的變化轉換為所需要的交通信息；另一種是非接觸式[5]，主要分為微波、超聲波和紅外、和視頻探測等，除了超聲波探測只能進行單車道交通信息采集外，其余都可同時進行多車道交通信息采集，其安裝維護簡單，發展非常迅速。

2、交通流量檢測需求分析

智能交通系統應用了計算機技術、信息技術、通信技術和控制技術等新技術，把人、車、路緊密聯系起來，通過對交通流信息進行實時檢測，掌握道路交通的運行情況，根據交通流的動態變化，迅速做出交通誘導控制，不僅有效的解決了交通阻塞問題，而且對交通事故的應急處理、環境的保護、能源的節約都有顯著的效果。它是以交通指揮中心為主體，并隨著科技發展和管理方法的改進在不斷完善中。交通流量檢測系統和通信系統是智能交通系統的關鍵。交通流量檢測系統主要完成提取流量數據所需的原始信息的采集工作，可通過地感線圈、激光、紅外或視頻方法，檢測與識別交通流、路況等實時監視，提取交通流信息(車流量、車道占有率、車速等)；通信系統是數據采集和數據處理的橋梁，它是將原始數據信息通過有線網絡或是無線網絡傳輸到交通監控中心，監控中心處理原始數據，進而對得到的信息進行進一步地分析，判斷該路段的交通擁塞狀況，監督異常事故的發生，在交通擁擠未發生時交通信息，及時采取分流措施，疏導交通，防止交通擁擠發生。智能交通系統的結構圖如圖1所示。

目前智能交通系統中使用的有線傳輸主要采用標準RS-232或是光纖通信等，在距離監控中心較遠且供電不便利的重點路段、橋隧等地區，或者一些臨時性的設備通信，傳統的有線連接便顯得十分不方便，因此希望以一種低成本、高可靠性的無線傳輸方案來代替傳統的有線方式。3G網絡技術可以方便實現設備之間的無線連接，具有低成本、低功耗、高速率、組網靈活等特點，其通信架設方便，供電可以采用蓄電池或太陽能電池板等，是實現無線數據采集系統的理想選擇。

3、3G網絡技術傳輸架構

第三代移動通信技術（3rd-generation，3G）[6]，主要是支持高速數據傳輸的蜂窩移動通訊技術。目前3G標準分別是WCDMA、CDMA2000和TD-SCDMA。3G網絡架構由無線接入網絡（RAN）和核心網絡（CN）組成。其中，RAN用于處理所有與無線有關的功能，而CN則處理3G系統內所有的話音呼叫和數據連接，并實現與外部網絡的交換和路由功能，CN從邏輯上可分為電路交換域（CS）和分組交換域（PS）。3G網絡分為核心網和接入網，UMTS 陸地無線接入網（UTRAN）、CN與用戶設備（UE）一起構成了整個無線系統[7]，如圖2所示，體現出分層建設的特點：骨干層傳輸設備位于網絡的骨干或核心節點，具有大容量的業務調度功能，強調業務的中繼和傳送能力；接入層傳輸設備覆蓋在城域的各熱點地區，完成業務的接入，體現出低成本、業務處理能力弱的特點；匯聚層設備連接骨干層和接入層，完成MADM之間的業務整合和匯聚功能。

4、智能交通檢測系統架構及連接拓撲圖

智能交通檢測系統的結構分為交通信息采集系統、交通信息數據傳輸和交通信息處理整合審核管理三大子系統，分為二層結構，信息數據層和信息應用基礎層。具體結構如圖3所示。

交通信息采集是整個系統的基石，其采集主要是通過設置在公路上交通流量檢測器、視頻監控的信息采集設備以及其他方式，獲得真實的、可靠及時的交通流量狀況、突發事件等有關交通的信息，同時與其他相關部門的數據共享，及時動態獲得各種信息。

交通通信系統是將現場的交通流量的檢測設備檢測到的信息，通過有線或者無線傳輸系統，傳輸到監控中心，在那里進行集合與整理。如距離比較近，可以采用光纖與標準RS-232等進行傳輸；當檢測設備距離監控中心較遠，布設數據線與供電不方便處，就可以采用3G網絡進行無線數據傳輸，同時采用蓄電池或是太陽能電池板進行供電。

交通信息處理整合是集合與整理，去偽存真，而這些是需要大量人力、物力以及先進的網絡設備和技術。將與交通流量有關的信息自動統計匯總，通過人工智能決策系統，或是人工分析處理的方法，確定暢通路線、擁擠路段、交通的氣象信息等，并且存儲到數據庫中。

根據交通部門的對交通流量需求，對交通數據進行采集，同時集成其他有關交通的部門有關交通流量的信息，通過無線或是3G網絡進行傳輸，傳輸到交通監控指揮中心，進而進行數據集合和整理，其連接拓撲圖如圖4。

5、結語

目前，智能交通系統發展應用的時期，建立和完善交通流量數據采集與傳輸系統來滿通出、交通管理以及應急指揮的需要是當務之急。隨著智能交通系統的實施及應用的逐步發展，充分利用新技術先進設備建設的高標準高質量的3G網絡傳輸技術，其多樣化的數據傳輸設置，有利于智能交通系統更大的應用，它的建成以及所采用的各類設施設備各種技術為交通運輸和交通管理的安全暢通發揮了十分重要的作用，將會在實際使用中取得了很好的效果，達到了預期的建設目標。

參考文獻

[1]夏勁,郭紅衛.國內外城市智能交通系統的發展概況與趨勢及其啟示[J].科技進步與對策.2003年01期.P176-179.

[2]葉文進.高速公路出行綜合信息服務系統分析[J].中國交通信息化，2010(6):125-128.

[3]MARGRIT BETKE,ESIN HARITAOGLU, LARRY S DAVIS. Multiple Vehicle Detection and Tracking in Hard Real-Time[J].IEEE,1996,(9):351～356.

[4]JUNG SOH, BYUNG TAE CHUN, MIN WANG. Analysis of Road Image Sequences for Vehicle Counting,[J].IEEE International Conferenceon,1995,(1):679～683.

[5]劉東.ITS中的車輛檢測技術[J]北京:公安大學學報(自然科學版),2000,20(4):35～39.

篇4

【論文摘要摘要：網絡流量性能測量是網絡管理和系統管理的一個重要組成部分，為網絡的運行和維護提供了重要信息，問時也是網絡流量具體建模、分析的必要前提和手段。網絡流量的測量方法分為主動測量和被動測量。兩種測量方法各有優缺點，分別用于不同的場合。針對網絡流量的測量展開系統性的探究將對Internet行為學方面的探究取得理論突破具有重要意。

網絡流量性能測量和分析涉及許多關鍵技術，如單向測量中的時鐘同步新問題，主動測量和被動測量的抽樣算法探究，多種測量工具之間的協同工作，網絡測量體系結構的搭建，性能指標的量化，性能指標的模型化分析，對網絡未來狀態進行趨向猜測，對海量測量數據進行數據挖掘或者利用已有的模型（petri網、自相似性、排隊論）探究其自相似特征，測量和分析結果的可視化，以及由測量所引起的平安性新問題等等。

1.在IP網絡中采用網絡性能監測技術，可以實現

1.1合理規劃和優化網絡性能

為更好的管理和改善網絡的運行，網絡管理者需要知道其網絡的流量情況和盡量多的流量信息。通過對網絡流量的監測、數據采集和分析，給出具體的鏈路和節點流量分析報告，獲得流量分布和流向分布、報文特性和協議分布特性，為網絡規劃、路由策略、資源和容量升級提供依據。

1.2基于流量的計費

現在lSP對網絡用戶提供服務絕大多數還是采用固定租費的形式，這對一般用戶和ISP來說，都不是一個好的選擇。采用這一形式的很大原因就是網絡提供者不能夠統計全部用戶的準確流量情況。這就需要有方便的手段對用戶的流量進行檢測。通過對用戶上網時長、上網流量、網絡業務以及目的網站數據分析，擺脫目前單一的包月制，實現基于時間段、帶寬、應用、服務質量等更加靈活的交費標準。

1.3網絡應用狀況監測和分析

了解網絡的應用狀況，對探究者和網絡提供者都很重要。通過網絡應用監測，可以了解網絡上各種協議的使用情況（如www，pop3，ftp，rtp等協議），以及網絡應用的使用情況，探究者可以據此探究新的協議和應用，網絡提供者也可以據此更好的規劃網絡。

1.4實時監測網絡狀況

針對網絡流量變化的突發性特性，通過實時監測網絡狀況，能實時獲得網絡的當前運行狀況，減輕維護人員的工作負擔。能在網絡出現故障或擁塞時發出自動告警，在網絡即將出現瓶頸前給出分析和猜測?，F在隨著Internet網絡不斷擴大，網絡中也經常會出現黑客攻擊、病毒泛濫的情況。而這些網絡突發事件從設備和網管的角度看卻很難發現，經常讓網絡管理員感到棘手。因此，針對網絡中突發性的異常流量分析將有助于網絡管理員發現和解決新問題。

1.5網絡用戶行為監測和分析

這對于網絡提供者來說非常重要，通過監測訪問網絡的用戶的行為，可以了解到摘要：

1）某一段時間有多少用戶在訪問我的網絡。

2）訪問我的網絡最多的用戶是哪些。

3）這些用戶停留了多長時間。

4）他們來自什么地方。

5）他們到過我的網絡的哪些部分。

通過這些信息，網絡提供者可以更好的為用戶提供服務，從而也獲得更大的收益。

2.網絡流量測量有5個要素摘要：

測量時間、測量對象、測量目的、測量位置和測量方法。網絡流量的測量實體，即性能指標主要包括以下幾項。2.1連接性

連接性也稱可用性、連通性或可達性，嚴格說應該是網絡的基本能力或屬性，不能稱為性能，但ITU-T建議可以用一些方法進行定量的測量。

2.2延遲

對于單向延遲測量要求時鐘嚴格同步，這在實際的測量中很難做到，許多測量方案都采用往返延遲，以避開時鐘同步新問題。

2.3丟包率

為了評估網絡的丟包率，一般采用直接發送測量包來進行測量。目前評估網絡丟包率的模型主要有貝努利模型、馬爾可夫模型和隱馬爾可夫模型等等。

2.4帶寬

帶寬一股分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當一條路徑（通路）中沒有其他背景流量時，網絡能夠提供的最大的吞吐量。

2.5流量參數

ITU－T提出兩種流量參數作為參考摘要：一種是以一段時間間隔內在測量點上觀測到的所有傳輸成功的IP包數量除以時間間隔，即包吞吐量；另一種是基于字節吞吐量摘要：用傳輸成功的IP包中總字節數除以時間間隔。

3.測量方法

Internet流量數據有三種形式摘要：被動數據（指定鏈路數據）、主動數據（端至端數據）和BGP路由數據，由此涉及兩種測量方法摘要：被動測量方法和主動測量方法然而，近幾年來，主動測量技術被網絡用戶或網絡探究人員用來分析指定網絡路徑的流量行為。

3.1主動測量

主動測量的方法是指主動發送數據包去探測被測量的對象。以被測對象的響應作為性能評分的結果來分析。測量者一般采用模擬現實的流量（如WebServer的請求、FTP下載、DNS反應時間等）來測量一個應用的性能或者網絡的性能。由于測量點一般都靠近終究端，所以這種方法能夠代表從監測者的角度反映的性能。

3.2被動測量

被動測量是在網絡中的一點收集流量信息，如使用路由器或交換機收渠數據或者一個獨立的設備被動地監測網絡鏈路的流量。被動測量可以完全取消附加流量和Heisenberg效應，這些優點使人們更愿意使用被動測量技術。有些測度使用被動測量獲得相當困難摘要：如決定分縮手縮腳一所經過的路由。但被動測量的優點使得決定測量之前應該首先考慮被動測量。被動測量技術碰到的另一個重要新問題是目前提出的要求確保隱私和平安新問題。

3.3網絡流量抽樣測量技術

選擇部分報文，當采樣時間間隔較大時，細微的網絡行為變化就無法精確探測到。反之，抽樣間隔過小時，又會占用過多的帶寬及需要更大的存儲能力。采樣方法隨采樣策略的不同而不同，如系統采樣或隨機采樣；也隨觸發采樣事件的不同而不同。如由報文到達時間觸發（基于時間采樣），由報文在流中所處的位置觸發（基于數目采樣）或由報文的內容觸發（基于內容采樣）。為了在減少采樣樣本和獲取更精確的流量數據之間達到平衡。

篇5

關鍵詞：流量監測；winpcap；網絡數據流量分析

1 引言

隨著互聯網絡的迅速發展，網絡數據流量特征的研究近年來引起了人們廣泛關注。網絡數據流量分析系統的定位重點在對網絡流量的流量、流向、協議的細節監視和分析，網絡安全監視。在容量規劃、入侵檢測和路由優化時，網絡管理員需要知道網絡的數據流量情況和盡量多的測量信息。

2 關鍵技術

⑴數據流。數據流是指輸入數據a1，a2，..按順序到達。這些數據描述了一個信號A。A是一個一維函數A：[1...N]R2。模型取決于ai如何描述A。本文把數據流技術和傳統的網絡管理技術相結合， 取得了較好的應用效果。

⑵流量監測原理。網絡流量監測有主動監測和被動監測兩種不同的實現方法。主動測量方法是向被測網絡中注入附加的“探測流量”并進行返回數據的采集來實現監測的方法，該如果處理不當，也會給網絡增加額外的負荷，影響測量結果的客觀性，甚至使測量結果不準確，產生Heisenburg效應。而被動測量方法是在網絡的某點采集、記錄并且分析網絡的流量信息來實現測量的方法。被動測量可以完全消除附加的“探測流量”和Heisenbutg 效應，這是被動測量的優點，但存在可能會涉及隱私和安全問題的不足。由于Internet上大多數數據傳輸是不加密的，鑒于被動監測的優點，本系統采用基于數據包捕獲的被動監測技術。

⑶winpcap。在網絡管理與安全防護中，對網絡數據流量進行分析，是非常重要的一個任務，從防火墻到攻擊檢測系統，都會用到類似功能。開發此類軟件過程相當復雜。而winpcap （indows packet capture）是windows平臺下一個免費公共的網絡訪問系統。它提供了以下的各項功能：

1>捕獲原始數據報；2>按照自定義的規則將某些特殊的數據報過濾掉；3>在網絡上發送原始的數據報；4>收集網絡通信過程中的統計信息。

3 系統架構

無論是基于網絡安全，還是基于網絡計費系統的改進，網絡數據流量分析無疑是必要的，人們對網絡依賴很強。網絡數據流量系統的架構包括三層：數據層（瀏覽統計、數據庫管理）、訪問應用層、展現層（在線統計器、流量統計器、網絡速度監視器）。

4 系統設計

⑴網絡監視器。網絡監視器是監視網絡通信的，其主要工作有三項：winpcap捕捉包、包分析、記錄。

1）winpcap捕捉包。在網絡包捕獲系統的實現中，采用的是WINPCAP包捕獲應用系統框架。網絡監聽模塊將網絡接口設置為混亂模式，將網絡上傳輸的數據包截取下來，供協議分析模塊使用。由于效率的需要，有時要根據設置過濾網絡上的一些數據包，如特定IP，特定MAC地址、特定協議的數據包等。網絡監聽模塊的過濾功能的效率是該網絡監聽的關鍵，因為對于網絡上的每一數據包都會使用該模塊過濾，判斷是否符合過濾條件。

為提高效率，數據包過濾應該在系統內核里來實現。獲得數據包之后，如果在捕獲過程結束后創建了兩個線程實現對捕獲數據的實時性處理。

2）包分析。包分析指將捕捉來的數據報進行分析。由于要進行流量統計需要很多必要的信息，作為統計依據，如IP地址、協議類型等。其中，數據長度可由函數調用返回的內容得到而且此時得到的是實際在網上的包長度。

3）記錄。通過包的分析后，將有用的信息記錄到文件中去。其中包括目的IP、源IP，數據長度、協議類型、以及為了統計方便需要的時間信息。

⑵流量統計器。流量統計器，是對流量監視器的記錄結果進行統計，將網絡監視器的記錄文件內容讀出，并根據網址分割標準及源和目的地分別統計出流向網外的國內和國外流量，并將結果按照日期分別存儲在數據中。

5 系統實現

⑴捕捉包的實現。包捕捉作為一個獨立的應用程序運行，它從網上截獲包，并以文件形式將有用信息記錄下來，為流量統計準備統計的原始依據。

⑵在線統計的實現。ping利用了原始套接口技術發送ICMP回射請求，并接收工CMP回射應答。Socket是CP/IP編程的底層API（網絡編程接口）。在實現ping后可以將其作為一個函數調用，就很容易實現在線統計。

⑶圖形界面的實現。采用Visual C++.NET實現流量圖形化界面，主要是使用GDI函數畫圖，首先要得到一個設備描述句柄或一個可用的CDC設備描述表對象，WIN32API提供了BeginPaint（）和GetDC兩個函數，用于獲得指定窗口的設備描述句柄。MFC的窗口類CWnd類也提供了兩個當前窗口的CDC對象的函數BeginPin（）和GETDC（）；也可以在窗口處理函數中直接用CDC的派生類，最終實現流量圖形化。

篇6

【關鍵詞】網絡流量；預測；時間序列；自回歸模型

一、引言

現代科學技術的不斷發展也帶動了網絡技術的發展，網絡規模增長速度非?？欤鞣N網絡信息在網絡動態中交互傳遞，對此必須保證網絡信息傳遞的安全，網絡管理員只要掌握好各個網絡節點中的流量數據，就可以對整個網絡進行有效的調控。網絡工作者在網絡設計時必須要考慮到網絡流量特性的問題，很多網絡流量模型近幾年也在不斷的被研究出來，網絡流量預測模型的研究也受到很大程度的重視。例如幾種比較有名的預測模型：馬爾科夫模型、泊松過程模型，近幾年開始有學者提出自回歸模型的概念。由于網絡的不斷發展，規模不斷增大，網絡流量本身已經發展成為一種具有多種特性的事物，這給傳統網絡流量預測模型的預測造成了困難，因為傳統模型預測方法很難捕捉到流量的時變性、以及高度自私性等特征。本文介紹的ARIMA模型，是一種同其他類型預測模型相比具有明顯優勢的新型預測模型。

二、網絡流量預測原理

網絡流量的內涵是指網絡上傳輸的數據總量，在采集網絡流量的原始數據時，間隔采集就可以獲得一組組時間序列。通常情況下，可以采用下面這種方式來對網絡流量數據進行描述：

由于網絡的快速發展，網絡的規模越來越大，網絡流量的各種特征也越來越難以捕捉到，傳統預測手段很難呈現數據之間的時間關系，因此現代的網絡流量預測變成了復雜時間序列回歸系統問題。ARIMA模型能夠很好的捕捉到網絡流量的各種特征，對時間序列性數據的研究具有很好的效果，因此在經濟時間序列得到了很廣泛的應用，解決了許多傳統預測模型無法解決的難題，本文將會介紹ARIMA模型預測的基本方法。

三、基于 ARIMA模型的網絡流量預測

1、ARIMA模型的描述

ARIMA模型之所以能很好的提高預測精度，在于其相對于傳統預測模型而言，很好的捕捉到了網絡流量的幾種特征，把采集到得數據通過處理，然后通過建立好的最佳預測模型，來對網絡流量數據進行仿真預測。模擬預測結果很好的說明ARIMA模型比其他類型的模型預測的精度要高，并且把網絡流量的規律呈現的更加直觀。

對某一滿足ARIMA（ p， q）模型的樣本數據集{w t= 0， 1， ， }，取自然對數并對其進行d次差分（差分算子階數d通常取0或1，最多取2），可以得到平穩的ARIMA（ p， q）序列，在確定模型參數并進行擬合和檢驗后，就可以進行網絡數據流量的預測，利用希伯特空間上線性算子的基本理論，可以證明對于離散的、連續的、標量以及向量的情況，用一個ARIMA（n，n-1）模型可以把任一平穩隨機系統逼近到所要求的精確程度，而在實際應用中，大量的隨機系統可以恰當地用ARIMA（2，1）模型來模擬。

對其參數的估計和定階有很多種方法，幾種常見的例如矩估計、線性建模、HDW、極大似然估計等方法，其中“矩估計方法”精度不高，一般作為其它更好方法的迭代初值，另幾種方法各有所長，本篇論文選擇的方法則是線性建模，一次來確定ARMA模型的參數。

根據最后 AIC和 SBC值最小化原則得到 AR IMA（ p， q，d）的參數達到最優， 對于用不同參數模型計算的結果也可以采用真實數據對其進行相似系數和擬合度的分析， 如果相似系數和擬合度最大， 則該模型就最優模。

四、仿真分析

1、采集數據

為了對本文提出模型的效果進行擬合和檢驗， 本文采集對 CERNET山西主節點一臺 CISCO6509設備某端口流出流量進行監測， 采樣時間間隔為 5分鐘， 如圖所示：

2、數據處理

從上圖可以看出，該模型在初始階段擬合效果不太好， 但經過大量數據的計算后， 在最后 48小時模型得到了較好的擬合效果， 與原始流量曲線的走勢基本相符。

4、網絡流量的預測

使用上述所到的 AR IMA 模型對未來 24小時的網絡流量進行預測， 預測結果如圖所示：

上述部分是基于ARIMA模型對在網絡流量預測中的應用介紹，ARIMA模型作為一種新型預測模型，同過去的幾種模型相比較起來，預測效果非常的直觀。與其他預測模型相比，優越性可見一般，具體預測指標如下表所示：

五、總結

傳統的網絡流量預測方法的預測基礎是建立在流量滿足線性關系，但實際上，這種關系式并不是始終都是成立的，實際網絡流量數據中包含了很多的非線性因素，它的表現規律并不很直觀，因此運用傳統的方法對網絡流量的預測，其預測精度并不高，為了解決傳統預測手段精度不高的問題，本文圍繞如何準確預測網絡流量模型這一目標， 提出了基于 ARIMA 的網絡流量時間序列模型， 本文詳細闡述了模型的數學算法和實現方法。仿真結果表明， 在實際的網絡流量環境中， ARI-MA模型降低了預測誤差， 提高了預測精確度， 具有較強的適應能力。

參考文獻：

[1]張冉，趙成龍. ARIMA模型在網絡流量預測中的應用研究[J]. 計算機仿真，2011，02：171-174.

[2]薛可，李增智，劉瀏，宋承謙. 基于ARIMA模型的網絡流量預測[J]. 微電子學與計算機，2004，07：84-87.

[3]崔文亮. 基于ARIMA模型的網絡流量預測[J]. 軟件，2012，11：221-223.

[4]郝占軍. 網絡流量分析與預測模型研究[D].西北師范大學，2011.

[5]李菁菲. 基于小波技術和ARIMA模型的網絡流量預測研究[D].山東大學，2010.

篇7

互聯網迅速發展的同時，網絡安全問題日益成為人們關注的焦點，病毒、惡意攻擊、非法訪問等都容易影響網絡的正常運行，多種網絡防御技術被綜合應用到網絡安全管理體系中，流量監控系統便是其中一種分析網絡狀況的有效方法，它從數據包流量分析角度，通過實時地收集和監視網絡數據包信息，來檢查是否有違反安全策略的行為和網絡工作異常的跡象。

在研究網絡數據包捕獲、 TCP/IP原理的基礎上，采用面向對象的方法進行了需求分析與功能設計。該系統在VisualC++6.0環境下進行開發，綜合采用了Socket-Raw、注冊表編程和IP助手API等VC編程技術，在系統需求分析的基礎上，對主要功能的實現方案和技術細節進行了詳細分析與設計，并通過測試，最終實現了數據包捕獲、流量監視與統計主要功能，達到了預定要求，為網絡管理員了解網絡運行狀態提供了參考。

關鍵詞：網絡管理；數據采集；流量統計；Winsock2

1 引言

1.1 課題背景

隨著構建網絡基礎技術和網絡應用的迅速發展以及用戶對網絡性能要求的提高，使得網絡管理成為迫切需要解決的問題，有效的網絡管理能夠保證網絡的穩定運行和持續發展，更重要的是，隨著網絡規模的擴大和黑客技術的發展，入侵和攻擊的案例日益增多，對穩定的網絡服務、信息安全、互聯網秩序都提出了嚴峻的挑戰，網絡安全管理在整個網絡管理系統里扮演起更為重要的角色。

1.2 網絡安全管理的現狀與需求

目前，在網絡應用不斷深入和技術頻繁升級的同時，非法訪問、惡意攻擊等安全威脅也在不斷推陳出新，愈演愈烈。防火墻、VPN、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在網絡中得到了廣泛應用。從網絡安全專業管理人員的角度來說，最直接的需求就是根據分類在統一的界面中監視網絡中各種運行性能狀態，獲取相關數據信息、日志信息和報警信息等，并進行分類匯總、分析和審計；同時完成攻擊事件報警、響應等功能。因此，用戶的網絡管理需要不斷健全整體網絡安全管理解決方案，從統一安全管理平臺總體調控配置到多層面、分布式的安全系統，實現對各種網絡安全資源的集中監控、策略管理、審計及多種安全功能模塊之間的互動，從而有效簡化網絡安全管理工作，提升網絡的安全水平和可用性、可控制性、可管理性。

1.3 網絡流量監控的引入

網絡安全管理體系中，流量監控和統計分析是整個管理的基礎。

流量檢測主要目的是通過對網絡數據進行實時連續的采集監測網絡流量，對獲得的流量數據進行統計計算，從而得到網絡主要成分的性能指標。網絡管理員根據流量數據就可以對網絡主要成分進行性能分析管理，發現性能變化趨勢，并分析出影響網絡性能的因素及問題所在。此外，在網絡流量異常的情況下，通過擴展的流量檢測報警系統還可以向管理人員報警，及時發現故障加以處理。在網絡流量檢測的基礎上，管理員還可對感興趣的網絡管理對象設置審查值范圍及配置網絡性能對象，監控實時輪詢網絡獲取定義對象的當前值，若超出審查值的正常預定值則報警，協助管理員發現網絡瓶頸，這樣就能實現一定程度上的故障管理。而網絡流量檢測本身也涉及到安全管理方面的內容。

由此可見，對于一個有效的網絡安全管理系統來說，功能的實現都或多或少的依賴于流量信息的獲取。因此網絡流量信息的采集可以說是網絡安全管理系統得以實現的核心基石。它的應用可以在一定程度上檢測到入侵攻擊，可以有效地幫助管理人員進行網絡性能管理，并利用報警機制協助網管人員采取對應的安全策略與防護措施，從而減少入侵攻擊所造成的損失。

1.4 本文的目的與任務

該網絡流量監控及分析工具主要用途是通過實時連續地采集網絡數據并對其進行統計，得到主要成分性能指標，結合網絡流量的理論，通過統計出的性能指數觀察網絡狀態，分析出網絡變化趨勢，找出影響網絡性能的因素。

本設計題目是教師自擬項目，前期任務主要是設計并完成系統的初步框架，實現網絡數據的捕獲，并解決相應問題，后期主要是通過一些API函數完成對各類數據信息的統計。

本系統實現以下功能：

（1）采用Winsock編寫原始套接字Socket-Raw對數據包進行采集捕獲，并可實現分類及自定義范圍進行捕獲；

（2）對捕獲的數據包進行一定的解析；

（3）訪問操作系統提供的網絡性能參數接口，得到網卡總流量、輸入流量和輸出流量；

（4）系統提供了多種方式顯示結果，如曲線圖、列表等；

（5）使用IP幫助API獲取網絡統計信息；

（6）實現對部分常見威脅的預警，可繼續開發擴展其報警功能。

篇8

關鍵詞：云資源池；安全；網絡堵塞；網絡防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）07-1401-02

云計算的興起，數據中心作為云端的核心，承載了越來越多的業務。和傳統網絡相比，在需求和規劃上有著極大的差異性。這些差異也直接催生了網絡的變化，也給數據中心網絡安全帶來了新挑戰。

網絡堵塞是目前遇到的最為常見的網絡攻擊故障，表現為網絡鏈路鏈接被云主機在某一時間大量發包，占用了幾乎所有的網絡帶寬。當網絡負載接近網絡容量時，延時急劇增大，當網絡負載大于網絡容量時，延時為無窮大，導致網絡無法使用。云數據中心網絡與傳統網絡的差異性，增加了故障排查的難度。

1 網絡堵塞監測

2.3 查看對應物理主機和承載的虛擬機異常流量

發現192.168.254.11服務器上的流量有異常，該物理主機的流量比正常情況下出現了很大變化，說明運行在該物理主機上的虛擬機有流量問題。查看每個虛擬機的流量變化情況。發現有個iTV-100的虛擬機的流量出現了異常：

正常情況下，流量在50M左右，流量突然增加到900M以上，高峰時刻達到了1200M，超過了防火墻的網絡出口上限1000M，可以判斷，該虛擬機是引起網絡堵塞的原因。

3 安全加固

造成網絡堵塞大部分是由于DDOS攻擊引起的。這種攻擊就是要阻止合法用戶對正常網絡資源的訪問，它通過很多“僵尸主機”向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務，導致合法用戶無法正常訪問服務器的網絡資源。

3.1 攻擊防范配置

攻擊防范是一個重要的網絡安全特性，它通過分析經過設備的報文的內容和行為，判斷報文是否具有攻擊特征，并根據配置對具有攻擊特征的報文執行一定的防范措施。防火墻都提供了一些防御能力，華為防護墻的防范網絡攻擊的配置如下。

3.2 虛擬應用流量限制

在云平臺下，由于部署了眾多的業務平臺，為安全起見，每個業務平臺都有各自獨立使用的Vlan，在調研階段，就需要對業務平臺使用的網絡帶寬情況進行規劃。部署時，進行網絡帶寬限制。Vmware提供了對一個Vlan進行網絡流量限制的方法。在Vlan屬性對話框中，開啟流量調整策略，設置平均帶寬、帶寬峰值、突發大小的值。

4 結束語

云資源池的安全性一方面依賴于服務器虛擬化本身的安全性能，另一方面，需要采用傳統的安全技術和云資源池下的特性結合起來，在現有的網絡設備上進行配置，減少網絡遭受攻擊的可能性。該文介紹的網絡在遭受攻擊后的檢測，通過分析防火墻、交換機、物理機的網絡流量、虛擬機的網絡流量幾個層面的特性，定位到網絡攻擊的根源，并提供了幾個加固防范的措施。

參考文獻：

篇9

關鍵詞：SNMP；RRDTOOL；CACTI；流量監控

1引言

隨著網絡技術的迅速發展和各種網絡業務應用的普及,用戶對網絡資源的需求不斷增長,網絡已成為人們日常工作生活中不可或缺的信息承載工具,同時人們對網絡性能的要求也越高,在眾多影響網絡性能的因素中網絡流量是最為重要的因素之一,它包含了用戶利用網絡進行活動的所有的信息。通過對網絡流量的監測分析，可以為網絡的運行和維護提供重要信息,對于網絡性能分析、異常監測、鏈路狀態監測、容量規劃等發揮著重要作用。

SNMP(簡單網絡維護管理協議)是Internet工程任務組(IETF)在SGMP基礎上開發的,SNMP是由一系列協議組和規范組成的,SNMP的體系結構包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息庫(MIB)。每個支持SNMP的網絡設備中都包含一個,不斷地收集統計數據,并把這些數據記錄到一個管理信息庫(MIB)中,網絡維護管理程序再通過SNMP通信協議查詢或修改所紀錄的信息。從被管理設備中收集數據有兩種方法:輪詢方法和基于中斷的方法。SNMP最大的特點是簡單性,容易實現且成本低,利用SNMP協議能夠對被監視的各個網絡端口輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等進行采集。

2RRDTOOL的工作原理

RRDTOOL代表“RoundRobinDatabasetool”，是TobiasOetiker設計的一個基于Perl的功能強大的數據儲存和圖形生成工具,最初設計目的是為流量統計分析工具MRTG提供更好的數據存儲性能和更強的圖形生成功能。所謂的“RoundRobin”其實是一種存儲數據的方式，使用固定大小的空間來存儲數據，并有一個指針指向最新的數據的位置。我們可以把用于存儲數據的數據庫的空間看成一個圓，上面有很多刻度。這些刻度所在的位置就代表用于存儲數據的地方。所謂指針，可以認為是從圓心指向這些刻度的一條直線。指針會隨著數據的讀寫操作自動移動。要注意的是，這個圓沒有起點和終點，所以指針可以一直移動，而不用擔心到達終點后就無法前進的問題。在一段時間后，當所有的空間都存滿了數據，就又從頭開始存放。這樣整個存儲空間的大小就是一個固定的數值。所以RRDtool就是使用類似的方式來存放數據的工具，RRDtool所使用的數據庫文件的后綴名是''''.rrd''''。

和其它數據庫工具相比，它具有如下特點：

首先RRDtool存儲數據，扮演了一個后臺工具的角色。但同時RRDtool又允許創建圖表，這使得RRDtool看起來又像是前端工具。其他的數據庫只能存儲數據，不能創建圖表。

RRDtool的每個rrd文件的大小是固定的，而普通的數據庫文件的大小是隨著時間而增加的。

其他數據庫只是被動的接受數據，RRDtool可以對收到的數據進行計算，例如前后兩個數據的變化程度（rateofchange），并存儲該結果。

RRDtool要求定時獲取數據，其他數據庫則沒有該要求。如果在一個時間間隔內（heartbeat）沒有收到值，則會用UNKN代替，其他數據庫則不會這樣做。

3監測系統的安裝與配置

(1)配置路由器和交換機：

開始配置RRDTool之前,必須對需要監測的網絡及設備進行良好的規劃、設計與配置,包括配置設備互聯地址、網管地址及路由,保證流量監測計算機可以與被監測設備網絡層的互通;配置SNMP通信字符串和端口號,掌握需要的監測對象號(SNMPOID),確保流量監測計算機可以獲取正確的SNMP信息。在路由器和交換機上啟動SNMP,并設置只讀團體名。命令如下：

(config)#snmp-serverenabletraps

(config)#snmp-servercommunitytestro

(2)安裝配置RRDTool：

我們以Debian平臺來安裝配置RRDTOOL系統,在安裝RRDTOOL前首先要安裝支持RRDTOOL運行的環境：Zlib、libart_lgpl、cgilib、Libpng、freetype軟件包。

①安裝apache、mysql、php：apt-getinstallapache2php4mysql-serverphp4-mysql；安裝成功后通過瀏覽器訪問客戶器，可以得到“Itworks！”的提示；利用mysqladmin工具給mysql添加好管理員密碼。

②安裝RRDTOOL：apt-getinstallrrdtool。

③安裝NET-SNMP：apt-getinstallsnmp。

④安裝Cacti：apt-getinstallcacti，在安裝過程中會提示你輸入mysql管理員密碼和cacti數據庫管理員密碼。

(3)系統配置：

安裝好系統后就要進行簡單的初始化和配置，步驟如下：

①訪問x.x.x.x/cacti，按照向導提示進行cacti的初始化安裝；

②利用crontab-e添加計劃任務：

*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1

③利用cacti進行設備的添加；

④利用cacti進行繪圖管理。

cacti其實是一套php程序，它運用snmpget采集數據，使用rrdtool繪圖。它的界面非常漂亮，能讓你根本無需明白rrdtool的參數能輕易的繪出漂亮的圖形。更難能可貴的是，它提供了強大的數據管理和用戶管理功能，一張圖是屬于一個host的，每一個host又可以掛載到一個樹狀的結構上。用戶的管理上，作為一個開源軟件，它居然做到為指定一個用戶能查看的“樹”、host、甚至每一張圖，還可以與LDAP結合進行用戶的驗證！我不由得佩服作者考慮的周到！Cacti還提供自己增加模板的功能，讓你添加自己的snmp_query和script！可以說，cacti將rrdtool的所有“缺點”都補足了網絡地圖

篇10

關鍵詞： 網絡流量檢測； 群智能算法； RBF神經網絡； 網絡安全

中圖分類號： TN926?34； TP393 文獻標識碼： A 文章編號： 1004?373X（2016）20?0012?03

Abstract： The application of swarm intelligence optimizing neural network in network security and a network traffic detection model based on neural network algorithm are studied in this paper. QAPSO algorithm is used to optimize the basis function center and base function width of RBF neural network， and the connection weights of the output layer and the hidden layer as well. The detection model studied in this paper is analyzed by means of an example. The collected data is used to train the network traffic identification system and test its performance. The method researched in this paper is compared with the algorithms based on the conventional PSO and HPSO. The results show that the detection method has a faster recognition speed and better recognition accuracy， and can avoid the occurrence of local optimal solutions.

Keywords： network traffic detection； swarm intelligence algorithm； RBF neural network； network security

0 引 言

隨著互聯網技術不斷發展和普及，互聯網絡中的應用和服務類型不斷增加，為了提高網絡安全，保護網民、公司企業以及政府部門等的財產與利益，需要對網絡流量進行高效的監測[1?2]。

RBF神經網絡具有強大的非線性擬合能力，即非線性映射能力，以及自學能力，同時便于計算機實現，因而在網絡流量檢測等網絡安全領域得到了廣泛應用。但是RBF神經網絡的性能特別依賴網絡參數選取的好壞，而傳統RBF神經網絡參數通常由人為按經驗或隨機選取，因此網絡的性能具有較強的隨機性[3?4]。

近年來，群智能優化算法逐漸發展并得到較為廣泛的應用，其中粒子群優化算法是一種能夠全局優化，具有建模速度快、收斂效率高的群智能優化算法，然而使用常規PSO算法優化神經網絡仍然存在收斂速度和全局優化能力不能夠達到平衡等問題[5?7]。因此本文研究一種基于量子自適應粒子群優化算法（QAPSO），對RBF神經網絡的基函數中心[Ci]、基函數的寬度[σi]以及輸出層與隱含層的連接權值[wi]進行優化。

1 基于群智能優化的神經網絡算法

本文研究的QAPSO優化算法主要分為4部分，分別為初始化種群、估計進化狀態、控制參數自適應以及處理變異[8]。

1.1 初始化種群

2 實例分析

為驗證本文建立基于QAPSO優化RBF神經網絡的網絡流量檢測模型的性能，使用基于Libsvm軟件包的C#程序并結合數值計算軟件Matlab R2014對網絡流量進行采集、計算以及分類。網絡流量檢測類型如表2所示。

表2 網絡流量檢測類型

使用常規PSO優化算法及HPSO優化算法對RBF神經網絡進行優化，并建立同樣的網絡流量檢測模型，使用同樣的訓練數據樣本進行訓練，使用同樣的測試數據樣本進行性能測試。常規PSO優化算法的參數為空間維度[D=24]，粒子數量[N=30]，最大迭代次數[tmax=200]，連接權值[w=0.9～0.4]，加速系數[c1]和[c2]均為2。HPSO優化算法的參數為空間維度[D=24]，粒子數量[N=30]，最大迭代次數[tmax=200]，連接權值[w=0.8～0.2]，加速系數[c1]和[c2]均為2.5，[Vmaxd=0.5×Range]。QAPSO算法的參數為空間維度[D=24]，粒子數量[N=30]，最大迭代次數[tmax=200]，連接權值[w=0.8～0.2]，加速系數[c1]和[c2]為1.5～2.5，[Vmaxd=Range]，[r1d]和[r2d]為0～1之間的隨機數。

從圖1可以看出，常規PSO優化算法使得適應度函數收斂到穩定值時的迭代次數為171次，HPSO優化算法使用了112次，而本文研究的QAPSO優化算法只使用了76次。同時，本文研究的QAPSO優化算法的收斂值更低，適應度函數的值即為RBF神經網絡的訓練誤差，因此適應度函數越小，RBF神經網絡的訓練誤差越小，性能越好。因此，本文研究的QAPSO優化算法相比另外兩種PSO優化算法具有更快的收斂速度和更高的收斂精度，極大地提高了RBF神經網絡的泛化能力。使用本文研究的QAPSO?RBF檢測模型及常規PSO和HPSO優化RBF算法的檢測模型對實驗數據進行識別。表3為三種檢測模型的檢測準確率與反饋率對比。圖2為三種模型的平均檢測率和反饋率對比。

通過表3的數據可以看出，本文研究的QAPSO?RBF檢測模型對12種類型網絡服務與應用均有較好的識別準確率和反饋率，平均識別準確率達到了92.81%，比HPSO?RBF算法的平均識別準確率高出3.49%，比PSO?RBF算法的平均識別準確率高出6.99%。QAPSO?RBF識別算法的平均識別反饋率達到了94.81%，比HPSO?RBF算法的平均識別反饋率高出3.51%，比PSO?RBF算法的平均識別反饋率高出7.28%?？杀砻飨啾绕渌Ｗ尤簝灮惴?，本文研究的QAPSO優化算法在進行多次迭代后仍然具有較好的活躍性，跳出局部最優解，對最佳值的全局搜索能力具有非常顯著的提高，加快了算法收斂速率，提高了識別準確率。

3 結 論

本文研究一種群智能優化神經網絡算法的網絡流量檢測模型。通過實際測試驗證，相比其他粒子群優化算法，本文研究的QAPSO優化算法在進行多次迭代后仍然具有較好的活躍性，跳出局部最優解，對最佳值的全局搜索能力具有非常顯著的提高，加快了算法收斂速率，提高了識別準確率。

參考文獻

[1] 盧金娜.基于優化算法的徑向基神經網絡模型的改進及應用[D].太原：中北大學，2015.

[2] 鐘建坤，周永福.群智能算法優化神經網絡在網絡安全的應用研究[J].激光雜志，2015，36（4）：143?146.

[3] 李博.粒子群優化算法及其在神經網絡中的應用[D].大連：大連理工大學，2005.

[4] 蔣林利.改進的PSO算法優化神經網絡模型及其應用研究[D].廈門：廈門大學，2014.

[5] 陳偉.基于群體智能算法的人工神經網絡優化及其應用[D].無錫：江南大學，2007.

[6] 劉曉剛.群體智能算法在RBF神經網絡中的應用[D].青島：青島大學，2008.

[7] 馬汝輝.基于網絡流量異常檢測的網絡安全技術研究[D].無錫：江南大學，2008.