关键技术
(1)SNMP技术
SNMP是目前应用最为广泛的网络管理协议,其管理信息库(management information base,MIB)含有网络流量数据的变量。
(2)Netflow/netstream技术
网络流量(Netflow/netstream)是一套网络流量监测技术,它运行在路由器中动态地收集经过路由器的流的信息,并向指定的目的端吐出这些数据。目前在流量分析模型中有广泛应用。
(3)DPI探针技术
DPI(Deep packet inspection)探针技术是一种就应用层的流量检测,当IP数据包、TCP或UDP数据流通过基于DPI技术的分析时,通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得出整个应用程序的内容,实现不同应用层的有效识别。
建模思路
监测模型从区域、时间、业务、链路四个维度,利用SNMP、netflow/netstream、DPI探针网络流量监测工具,形成不同维度下的流量特征,从而可根据实际需求,制定精细化的网络流量分析方案。四维度流量检测模型如图1所示。
建立步骤
采集单元部署:根据实际运行需求,本模型将采集单元部署数据网络特定的链路上,从而通过网络探针对流量信息进行收集。
流量特征分析:本模型基于动态基线的制定理念,将一天分成多个时段,结合数据网络中每天相同时段的正常流量,计算其平均值,并利用这些连续不同时段的流量平均值制定出流量基线特征,从而可以客观地反映正常行为下网络流量所呈现的变化趋势。
