(1)网络监控技术概述精品PPT课件

13
– 正常情况下曲线会按一定时间区间重复，具有一定的周期性。
– 将若干时间段的历史流量曲线对比，如果某个时间段的流量曲线 与其他时间段有较大差异，则说明在该时间段内网络有异常情况 出现 。
过滤和汇聚方法
– 提取重点关注的业务
– 将流量划分为流量类进行分析和统计
网络业务分析
按网外流向的流量分析和统计
2G和3G
手机、上网卡
手机和上网卡的不同型号
本地和漫游客户
网络业务分析
网站和服务提供商的识别和区分
对于网络流量进行网站和服务提供商的识别，可以了解网络的热 点应用及服务，便于进一步分析用户的喜好，并对服务提供商进 行评估。
识别方法：域名或URL到IP地址的映射和DNS报文分析。
域名和URL的关联信息查询：所有者、管理者、位置（网络、机
DPI识别：
6 – 对报文头部信息检测外，还可对净荷(Payload) 进行识别。
DFI识别：分析流的统计参特点，如端口数、包长度分 布、包到达间隔、流大小、流持续时间、流空闲时间等， 来对该流属于何种应用进行归类 。
网络业务分析
业务识别和区分
网络和封装要求：
– 加密报文。 – GRE、L2TP、MPLS等封装。 – 往返不同路由（非对称路由）。
网外流向一般分为运营商和地域两维。
不同网络也可能作为第三维。例如中国移动的CMNET和CMWAP，以及用户专 网等。
第四维：直连流量和透传流量。
按单维或多维组合。
汇聚和过滤：
14
– 汇聚：全部国际流量作为一个流向，或区分为若干地区，或区分到各个国家；国内区
分到各个省或大区。
– 过滤：若干重点国家、若干重点省市等。
– 国际/国内
– 国际：国家来自百度文库
– 国内：省市
流向和业务组合：对指定业务按流向进行分析，对指定流向按业务进行分析
网络业务分析
移动数据网中的小区和扇区的流量分析和统计
对全部GGSN（网关GPRS支持节点）和SGSN（服务 GPRS支持节点）分别进行流量统计。
把小区和扇区分为若干组，分别统计每个组的小区和扇区的 数量和流量。
网络监控技术
概述
宽带网络监控教研中心
目录
网络业务分析
1. 流量是什么 2. 流量分析的基本对象 3. 流量分析的内容和方法 4. 流量识别和监测的应用举例
2
5. 流量控制 6. 流量监控的相关技术 7. 常用的数据分析方法
网络业务分析
流量是什么
字节数
报文数
– 正常的IP报文平均长度在300字节左右，长报文与短报文的比例较为 固定
网络业务分析
用户识别和区分
网络用户上网的需求各异，需对用户进行分类以提供不同的服务 类型和质量
– 运营商CRM（Customer Relationship Management）系统用于客 户分类
大客户和普通客户
10
商企客户和家庭客户
不同业务、资费套餐客户
– 运营商CRM系统和协议携带信息用于移动客户分类：
流量分析的基本对象 业务-流向-用户-服务提供商
4
网络业务分析
业务识别和区分
网络中的常见业务：
– 一般业务：HTTP、FTP、POP3、SMTP等。 – 流媒体应用：MediaPlay、RealPlay、RTSP等。 – P2P下载：BT、eMule、eDonkey、迅雷（Thunder）等。 – P2P流媒体：PPLive、PPStream、QQLive、迅雷看看等。
7 对业务识别特征库的远程快速更新。 业务和业务类。
网络业务分析
流向识别和区分
网内流向则一般指本地网流向
网外流向：国际和国内、分省、分运营商的流量区分
AS域：
– 与BGP路由器建立会话关系，获取BGP路由信息
– 根据BGP路由表实现基于指定AS域的流量分析
8
– 按BGP区分对等网络，区分透传流量和直联流量
5
– VoIP应用： H.323、SIP、MGCP、H.248、私有协议等。 – 即时通信：MSN、QQ等。 – 网络游戏：魔兽、梦幻西游 、劲舞团等。 – 移动专有业务：WAP浏览/下载、彩信、飞信、手机视频等。
网络业务分析
业务识别和区分
互联网地址指派机构(IANA）把端口号与各种应用层对 应。根据源IP地址、目的IP地址、源端口、目的端口、 协议号五元组对流量进行识别。
移动数据网外部流向：如GPRS流量区分为CMNET、 CMWAP以及用户专网
移动数据网内部流向：
– SGSN （服务GPRS支持节点） 、GGSN （网关GPRS支持节点） 的出口流量
– 各小区（基站和扇区）的出口流量
网络业务分析
用户识别和区分
用户识别可以辨别网络流量是由哪些用户产生的
– 对一些对公共资源占用严重、可能影响到其他用户的用户进行管理 和控制。
– 当发生网络攻击时，报文通常为短报文，单位时间内的报文数迅速增
3
加
连接数（流数）
– 单位时间报文数或者连接数发生突变，往往也是意味着网络中出现了 某种问题。例如：发出大量连接请求、响应大量连接请求、在短时间 内迅速建立大量连接
点击数、图片数、邮件数… …
入向、出向
网络业务分析
流量分析的基本对象
– 对针对需要P2P等占用较大网络带宽资源的服务的用户提供有针对
性的服务收费。
9
– 研究不同用户的上网喜好、习惯和倾向等，便于运营商提供更好的
服务和管理。
动态IP地址用户和静态IP地址用户
动态IP地址用户的识别
– 固网用户认证协议Radius。按帐号区分用户。
– 移动用户认证协议GTP。按手机号码区分用户。
统计
12
4. 按用户群的流量分析和统计 5. 按用户的流量分析和统计 6. 网站和服务提供商的流量分析和统计
网络业务分析
按业务的流量分析和统计
统计任一时间段内各业务的流量值
时间段定义：秒、分、5分钟、小时、日、周
不同时间尺度的历史流量曲线
单一时间段内的流量值计算方法：平均、最大、最小
历史流量曲线的规律性
11
房、服务器）、是否备案、业务范围
需考虑的问题：
– 一个域名可能对应多个IP
– 一个服务提供商也可能有多个域名
– 域名对应的IP和服务提供商可能变化
– 同一域名下还可能有多个分类和频道
网络业务分析
流量分析的内容和方法
1. 按业务的流量分析和统计 2. 按网外流向的流量分析和统计 3. 移动数据网中的网元、小区和扇区的流量分析和