NetworkFlow

利⽤神经⽹络进⾏⽹络流量识别——特征提取的⽅法是（1）直接原始报⽂提取前24字节，24个报。

国外的⽂献汇总：《Network Traffic Classification via Neural Networks》使⽤的是全连接⽹络，传统机器学习特征⼯程的技术。

top10特征如下：List of AttributesPort number server Minimum segment size client→server First quartile of number of control bytes in each packet client→server Maximum number of bytes in IP packets server→client Maximum number of bytes in Ethernet package server→client Maximum segment sizeserver→client Mean segment size server→client Median number of control bytes in each packet bidirectional Number of bytes sent in initial window client→server Minimum segment size server→clientTable 7: Top 10 attributes as determined by connection weights《Deep Learning for Encrypted Traffic Classification: An Overview》2018年⽂章，⾥⾯提到流量分类技术的发展历程：案例：流量识别流量识别任务（Skype, WeChat, BT等类别）1. 最简单的⽅法是使⽤端⼝号。

但是，它的准确性⼀直在下降，因为较新的应⽤程序要么使⽤众所周知的端⼝号来掩盖其流量，要么不使⽤标准的注册端⼝号。

网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。

而NetFlow协议作为其中一种流量分析的关键工具，在网络管理领域中被广泛应用。

本文将对NetFlow协议进行详细解析，介绍其原理、功能和应用。

一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。

它能够提供流量统计、流量分析和流量监控等功能。

NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据，为网络管理员提供实时的流量信息和网络性能的评估。

二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段：数据收集、数据处理和数据导出。

1. 数据收集在网络中的路由器和交换机上，通过配置使其能够将经过设备的流量数据进行收集。

NetFlow支持两种收集方式：Full Flow和Sampled Flow。

Full Flow是指完整地收集每一个流量数据进行处理；Sampled Flow是指以一定的频率采样流量数据进行处理，减少处理开销。

2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。

处理引擎会提取关键信息，如源IP地址、目的IP地址、源端口、目的端口、协议类型等，并基于这些信息生成流记录。

3. 数据导出处理后的流记录会根据配置的规则进行导出。

导出方式有两种：NetFlow v5和NetFlow v9。

NetFlow v5是早期版本，具有广泛的兼容性；NetFlow v9则是最新版本，支持更多的字段，并且具有灵活的配置能力。

三、NetFlow协议的功能NetFlow协议具有以下几个主要功能：1. 流量统计NetFlow可以对流量进行实时统计，包括流量量、带宽利用率、流量峰值等。

这些统计数据可以帮助网络管理员了解网络的负载情况，有助于进行容量规划和性能优化。

2. 流量分析通过对收集到的流量数据进行分析，NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。

流量分析新贵:NetFlow/networks/ 2006年09月29日15：54 来源：厂商稿件作者:东软:姚伟栋字号：小 | 大【文章摘要】IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。

IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。

在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务中。

以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。

什么是Flow在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。

在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。

每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。

作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。

NetFlow是一种数据交换方式。

Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。

也许它不能象tcpdump那样提供网络流量的完整记录，但是当汇集起来时，它更加易于管理和易读。

Netflow由Cisco创造。

工作原理：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。

NetFlow有两个核心的组件：NetFlow缓存，存储IP流信息；NetFlow的数据导出或传输机制，NetFlow利用此机制将数据发送到网络管理采集器。

概念：一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。

确定Flow的标识：SIP+DIP+SPORT+DPORT +Layer 3 protocol type + TOS byte() + Router or switch interface数据采集格式NFC(Cisco NetFlow Collector) 可以定制多种NetFlow数据采集格式，下例为NFC2.0采集的一种流量数据实例，本文的分析都基于这种格式。

61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1数据中各字段的含义如下：源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量cache缓存空间可配置的Cache维护机制一般情况下Cache空间的占用是与所监控的Flow数量呈正比的，但是当链路中充斥着大量的短连接Session时，Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。

为此，NetFlow 提供了一种非常复杂、高效的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项，并且通过管理员给定的阀值进行各类表项的超时导出，从而及时释放老的表项以容纳新建Flow信息。

IxNetwork5.30 --------使用指南目录IxNetwork5.30使用指南摘要IxNetwork是IXIA公司在路由、交换、接入领域最重要的测试软件，随着今年7月份IxNetwork5.30版的正式发布，众多新颖的测试特性得以面世，为了使更多人尽快掌握和了解IxNetwork的基本使用方法和一些操作技巧，本文从实战的角度，以样例的形式进行了有针对性的阐述，由于内容很多，本文将以分册形式进行发布。

端口及配置管理1. IxNetwork可以进行脱机配置，并在联机后通过端口赋予的方式完成配置的实际下发。

在上图中，占击右边的，再直接点击右边的，注意这一步的目的就是创建脱机端口，因为现在没有对机框进行操作。

之后，得到如下上图显示目前的4个端口均处于”Unassigned”状态。

接着是对这些脱机端口进行一系列的配置，包括协议、流量等，当需要将配置下发到实际的物理端口时，只需简单地添加机框，并将可用的物理端口赋予到上述脱机端口上。

赋予的方式有三种：Assign and add new ports，表示忽略以前的脱机端口及配置，重新创建新的脱机端口并直接关联到选中的物理端口。

Assign to selected ports，表示将左边的物理端口赋予到右边选定的脱机端口上。

Assign to remaining ports，表示将左边的物理端口赋予到右边未被选定的脱机端口上。

2. 清空某一端口的配置在脱机状态下，先删除相应脱机端口，再创建脱机端口即可。

在联机状态下，最简单快速的办法是”Set Factory Defaults”3. 端口模式IXIA的物理端口分别有两种发送和接收模式。

发送模式有顺序发送和交错发送两种，顺序发送的好处是，可以精确控制不同类型报文的出现时间，持续时间；而且对于突发报文的脉冲控制及变化能精确设定。

接收模式有抓包和流分析两种，抓包模式主要用于对进出端口的控制报文和流入端口的数据报文进行捕获；只有在该模式下，下图的配置才有效。

Ixia IxExplore使用小窍门How-to 1. 怎样使用IxExplorer进行大量Flows的测试当需要进行大量Flows（比如10K）测试，统计每个Flow的延迟、丢包的时候，需要使用IXIA的Packet Group方式进行测试。

测试原理如下：发送端口：在发送帧中加入Signature和Packet Group ID，其偏移量由Signature Offset和Group ID Offset决定，一般来说通过两个偏移量将这两个字段放置在Payload部分。

在发送帧中加入Signature的目的是表明这个帧是IXIA仪表发出来的，而不是被测网络或设备中的协议报文或其他流量报文。

Packet Group ID定义了我们需要进行统计的Flow ID，在统计的时候是根据这个ID来分别统计每个Flow的。

接收端口：在接收端口的Receive 模式中也要定义相关的参数，让接收端口知道Signature和Packet Group ID在什么位置。

下面我们以从Port1――>Port2发出1000个Flows并对他们进行统计为例，双向的流量类推。

1．在Port1上我们定义1000个Flows，我们以Mac地址变化1000次为例，Enable “Time_____________________________________________________________________Stamp”和“Packet Group Signature”。

点击“Edit”，进入下面的对话框。

在其中定义了Signature的偏移量、Signature的数值以及Group ID的偏移量。

这些数值需要和后面介绍的接收端口上的Receive Mode中的配置对应起来，缺省的数值已经是对应的，一般不需要进行修改。

_____________________________________________________________________2．在Port1的Stream中，通过UDF（用户自定义区域）来定义和MAC地址一起变化的PGID，也就是用UDF来做PGID。

网络流算法（NetworkFlow）网络流算法，是指寻找网络流问题的解的算法，它是一类重要的组合优化问题，被广泛应用于计算机科学及工程领域。

网络流是个有向图，它模拟了许多实际问题，如输电方案、货物运输、油管输送和信息传输等。

网络流算法的目的是在给定的网络流中，尽可能地将流量从源点流向汇点，同时满足各个节点的容量约束和流量平衡约束。

本文将介绍网络流模型的构建和基本算法。

一、网络流模型的构建网络流模型是一个有向图G=(V,E)，其中V表示节点集合，E表示边集合。

每条边都有一个容量c(e)表示其流量的最大值。

设源点为s，汇点为t，则网络流模型可以表示为一个三元组(N,s,t)，即：N=(V,E) s∈V t∈V s≠t在网络流模型中，源点始终是起点，汇点始终是终点。

我们在模型中引入一个源汇节点s'和汇源节点t'，并连接源点和汇点，得到源汇图G'=(V,E')，其中：E'=E∪{(s',s,c(s,t))}∪{(t,t',c(s,t))}即，在原图的基础上，加入两个新的虚拟节点s'和t'，并连接到源点和汇点。

这样构造的网络流模型中，所有的节点都满足容量和流量平衡约束。

在网络流问题中，我们需要求解最大流或最小割，以满足约束条件，并且尽可能地提高网络的利用率。

二、网络流的基本概念和算法1. 流量和容量网络流图中，首先需要确定每条边的容量和流量。

流量指的是通过该边的流量大小，容量指的是该边能够承受的最大流量。

在网络流模型中，每条边的容量是一个正实数，而流量可以是任意实数。

流量和容量通常表示为f(e)和c(e)。

2. 割在网络流模型中，割是一种对源汇图做出的划分，其中源点s和汇点t被分为两个集合S和T。

网络流通过割的概念来定义障碍物，即对流量的限制。

在网络流图中，割C(S,T)是指将源点s和汇点t割成两部分的划分，C(S,T)满足：s∈S t∈T S∩T=∅根据割的定义，可将所有割分为最小割和最大割。

1.图论Graph Theory1.1.定义与术语Definition and Glossary1.1.1.图与网络Graph and Network1.1.2.图的术语Glossary of Graph1.1.3.路径与回路Path and Cycle1.1.4.连通性Connectivity1.1.5.图论中特殊的集合Sets in graph1.1.6.匹配Matching1.1.7.树Tree1.1.8.组合优化Combinatorial optimization1.2.图的表示Expressions of graph1.2.1.邻接矩阵Adjacency matrix1.2.2.关联矩阵Incidence matrix1.2.3.邻接表Adjacency list1.2.4.弧表Arc list1.2.5.星形表示Star1.3.图的遍历Traveling in graph1.3.1.深度优先搜索Depth first search (DFS)1.3.1.1.概念1.3.1.2.求无向连通图中的桥Finding bridges in undirected graph1.3.2.广度优先搜索Breadth first search (BFS)1.4.拓扑排序Topological sort1.5.路径与回路Paths and circuits1.5.1.欧拉路径或回路Eulerian path1.5.1.1.无向图1.5.1.2.有向图1.5.1.3.混合图1.5.1.4.无权图Unweighted1.5.1.5.有权图Weighed —中国邮路问题The Chinese post problem1.5.2.Hamiltonian Cycle 哈氏路径与回路1.5.2.1.无权图Unweighted1.5.2.2.有权图Weighed —旅行商问题The travelling salesman problem1.6.网络优化Network optimization1.6.1.最小生成树Minimum spanning trees1.6.1.1.基本算法Basic algorithms1.6.1.1.1.Prim1.6.1.1.2.Kruskal1.6.1.1.3.Sollin（Boruvka）1.6.1.2.扩展模型Extended models1.6.1.2.1.度限制生成树Minimum degree-bounded spanning trees1.6.1.2.2.k小生成树The k minimum spanning tree problem(k-MST)1.6.2.最短路Shortest paths1.6.2.1.单源最短路Single-source shortest paths1.6.2.1.1.基本算法Basic algorithms1.6.2.1.1.1. ..................................................................................................... D ijkstra1.6.2.1.1.2. .......................................................................................... B ellman-Ford1.6.2.1.1.2.1.....................................Shortest path faster algorithm(SPFA)1.6.2.1.2.应用Applications1.6.2.1.2.1. ........................... 差分约束系统System of difference constraints1.6.2.1.2.2. .......................... 有向无环图上的最短路Shortest paths in DAG1.6.2.2.所有顶点对间最短路All-pairs shortest paths1.6.2.2.1.基本算法Basic algorithms1.6.2.2.1.1. ....................................................................................... F loyd-Warshall1.6.2.2.1.2. .................................................................................................... Johnson 1.6.3.网络流Flow network1.6.3.1.最大流Maximum flow1.6.3.1.1.基本算法Basic algorithms1.6.3.1.1.1. ........................................................................ Ford-Fulkerson method1.6.3.1.1.1.1.......................................................... E dmonds-Karp algorithm1.6.3.1.1.1.1.1. ................................................... M inimum length path1.6.3.1.1.1.1.2. ........................................... Maximum capability path1.6.3.1.1.2. ............................................... 预流推进算法Preflow push method1.6.3.1.1.2.1.................................................................................. P ush-relabel1.6.3.1.1.2.2........................................................................... Relabel-to-front1.6.3.1.1.3. .......................................................................................... Dinic method1.6.3.1.2.扩展模型Extended models1.6.3.1.2.1. ............................................................................... 有上下界的流问题1.6.3.2.最小费用流Minimum cost flow1.6.3.2.1.找最小费用路Finding minimum cost path1.6.3.2.2.找负权圈Finding negative circle1.6.3.2.3.网络单纯形Network simplex algorithm1.6.4.匹配Matching1.6.4.1.二分图Bipartite Graph1.6.4.1.1.无权图-匈牙利算法Unweighted - Hopcroft and Karp algorithm1.6.4.1.2.带权图-KM算法Weighted –Kuhn-Munkres(KM) algorithm1.6.4.2.一般图General Graph1.6.4.2.1.无权图-带花树算法Unweighted - Blossom (Edmonds)1.图论Graph Theory1.1. 定义与术语Definition and Glossary1.1.1.图与网络Graph and Network二元组(),V E称为图(graph)。

NetFlow教程1NetFlow介绍1.1 NetFlow的产生原因●由网络设备进行原始统计信息的汇聚可以大大减少网络设备输出的数据量，降低对上层管理服务器的配置要求，提高上层管理系统的扩展性和工作效率。

●虽然SNMP有助于容量规划，但无法提取流量特征，而只有了解了特征，才能保证业务连续性，确定是否需要增加容量才能提高利用率保证，以及评估QoS参数是否符合目标服务水平要求等●流量特征提取遇到的另一个困难是，许多新应用每次使用的端口都不相同，它们每次都动态选择新端口使用。

1.2 NetFlow技术的起源NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667。

NetFlow技术首先被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。

经过多年的技术演进，NetFlow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现，而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟，成为了当今互联网领域公认的最主要的IP/MPLS流量分析和计量行业标准，同时也被广泛用于网络安全管理。

利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。

1.3 什么是NetFlow●通过分析网络中不同Flow间的差别，可以发现判断任何两个IP数据包是否属于同一个Flow。

实际上可以通过分析IP数据包的以下7个属性来实现：➢源IP地址（Source IP address）➢目的IP地址（Destination IP address）➢源端口号（Source port number）➢目的端口号（Destination port number）➢协议类型（Protocol type）➢服务类型（Type of service）➢输入/输出接口（Input/Output interface）将路由器的所有数据包分成很多有以上信息的7字段值的单向IP 数据流，称为网流（NetFlow）。

flow的用法及搭配"Flow"是一个多义词，可用作名词或动词。

作为名词，"flow"指的是液体、气体或其他物质的流动，也可指连贯性强的语言、音乐或艺术表演等。

在这种情况下，它的常见搭配有：1. Blood flow (血流): a measure of how well blood circulates in the body2. Water flow (水流): the movement of water in a river, pipe, or other conduit3. Traffic flow (交通流): the movement of vehicles on a road or highway4. Data flow (数据流): the movement of information within a computer system or network5. Creative flow (创造力迸发): the state of being fully absorbed and focused in a creative activity作为动词，"flow"指的是液体、气体或其他物质的流动，也可指思想、信息或话语的连贯性流动。

在这种情况下，它的常见搭配有：1. Flow of water (水流): the movement of water in a specific direction2. Flow of traffic (交通流量): the movement of vehicles in a specific direction on a road or highway3. Flow of information (信息流): the movement of information from one place to another4. Flow of ideas (思想流畅): the continuous generation and exchange of ideas5. Flow of conversation (交谈流畅): the smooth and uninterrupted exchange of dialogue无论作为名词还是动词，"flow"都表示物质、信息或思想的连续性和顺畅性。