毕业论文-基于MRTG的网络流量监测

1、武汉理工大学毕业设计（论文）武汉理工大学毕业设计（论文）基于MRTG的网络流量监测学院（系）： 信息工程学院 专业班级：电子科学与技术0902班学生姓名： 指导教师： 本科生毕业设计（论文）任务书学生姓名: 专业班级: 电子0902班指导教师 工作单位: 武汉理工大学设计（论文）题目：基于MRTG的网络流量监测设计（论文）主要内容：1、学习和掌握网络流量监测技术的相关理论和技术，如简单网络管理协议SNMP协议，SNMP 协议的网络主要组成，构架方式等；2、学习和掌握MRTG的基本工作原理及组成，掌握MRTG的安装和应用方法；3、基于perl编写MRTG的相关程序；4、设计并实现网络流量监测系统

2、。要求完成的主要任务：1、学习和掌握网络流量监测技术的相关理论和技术，如简单网络协议SNMP协议及其配置，SNMP协议的组成部分和构架方式，SNMP协议的系统模型及工作原理；2、学习并掌握MRTG软件的基本工作原理及组成，掌握MRTG的安装配置和应用方法，了解perl语言，学会用perl编写MRTG的相关程序；3、熟悉和掌握用MRTG软件进行网络流量监测的方法，完成网络流量监测系统的设计与仿真；4、查阅相关文献15篇，其中外文文献不少于2篇，完成不少于2万（5000汉字）印刷符、且与选题相关的文献翻译工作；5、根据毕业设计有关规范，按时完成所有有关文档，并完成不少于3张1-2#图纸的绘制工作；

3、所有文档、论文、图纸一律用计算机打印，并遵守有关国标及规范，论文字数不少于1.5万字。必读参考资料：1Intemet2 Measurement Workmg Group Home Page 2Sunil Kalidindi，Matthew JZekauskas，”Surveyor：An Infrastructure for Intemet Performance Measurements”.3刘芳.网络流量监测与控制.北京邮电大学出版社，2009年.4王南方.LINUX环境下MRTG进行网络监测研究.电脑知识与技术.2011年11期.5罗肖辉.基于MRTG的校园网流量监控系统配置与应用.大众科

4、技.2010年06期.指导教师签名 系主任签名 院长签名（章）武汉理工大学 本科生毕业设计（论文）开题报告1、论文的目的及意义（含国内外的研究现状分析）1.1论文的目的及意义随着社会的迅速发展，宽带互联网也在快速发展，世界各大电信运营商的网络规模都在不断扩张，网络在人们的生活中应用也越来越广泛，网络结构日渐复杂，网络业务日趋丰富，网络流量也高速增长。电信运营商需要通过可靠、有效的网络流量监测系统对其网络以及网络所承载的各类业务进行及时、准确有效的流量测量和流向分析，进而挖掘网络资源潜力，控制网络互联成本，并为网络规划、优化调整和业务发展提供基础依据。本次毕业设计的根本目的是通过MRTG软件对网

5、络流量进行监测，设计并实现网络流量监测系统，了解MRTG在网络流量监测系统中的运用。通过对网络流量数据的监测，可以对网络设备进行管理，了解网络的详细运行情况，包括端口数据流量（如端口总速率，数据包速率），设备运行性能（如CPU利用率）网络健康状况（如网络时延）等各项指标，并将它们直观的表现出来并由此建立准确的流量模型，能够指导网络管理员及时排除问题，改善网络运行状况。因而研究网络流量测量技术具有以下两个方面的意义：（1）网络体系构架的需要从网络体系构架上来说，网络流量是一切网络研究的基础。所有对网络的应用和网络本身特点的研究都可以通过对网络流量的研究来获得。网络的行为特征可以通过其承载的流量的

6、动态特性来反映，所以有针对性地监测网络中流量的各种参数，就能从中分析和研究网络的运行特征。通过分析和研究网络上所运载的流量特性，有可能提供一条有效的探索网络内部运行机制的途径。（2）网络协议部署的需要根据监测的网络流量分布结果，可以更好地配置路由器的路由协议、负载均衡策略、实施流量工程、进行业务与协议的科学部署。而流量工程在传输业务时，能够优化资源利用率，提高应用性能。网络传输的流量与网络路由策略密切相关。流量测量还可以显示链路权重的改变对流量的影响。1.2国内外的研究现状分析国外在网络流量测量方面起步相对比中国早一些，是从互联网开始兴起时就己开始，有许多科研机构、大学、学术团体和企业组织了对

7、网络流量测量的研究与监测。近些年来，许多大型研究项目组和研究人员在网络流量测量领域做出了很大的贡献，己经开发出了很多测量系统。如美国在1992年开始着手的Internet特征的研究。其中比较著名的项目包括UC Berkeley的科学家们对Intemet开展的两次长达三个月的大规模测量，其改进平台NIMI已经广泛设置于许多国家，产生了非常深远的影响。IEPM (Intemet EndtoEnd Performance Measurement，Intemet 端到端性能测量)主要来监视Intemet上的端到端性能；IPMA(Intemet Performance Measurementand An

8、alysis，Intemet性能测量和分析)主要研究局域网和广域网环境中的网络性能和网络协议。此外国内清华大学提出了大规模互联网络性能监控模型LIPM(Large scale Internet Performance Monitor model)，借鉴了ISO(The International Organization for Standardization)的层次结构思想，将整个模型分为数据采集、数据管理、数据分析、数据表示四个层次，融汇了TMN(Telecommunication Management Network)在对象管理方面的方法，易于实现和维护。西安交通大学提出了互联网应用性能

9、测量系NAPM(NetworkApplicationPerformanceMeasurement)，提出了应用探针和区域探针的分布式体系结构。2、基本内容和技术方案2.1基本内容 （1）学习和掌握网络流量监测技术的相关理论和技术：查询资料，结合国内外的情况，阐述研究网络流量测量的背景及研究现状，并说明研究网络流量测量技术的意义，以及其对社会的作用，了解简单网络管理协议（SNMP协议），如SNMP协议的基本内容和工作原理，了解SNMP的网络管理模型的四个关键元素，SNMP 协议的网络主要组成部分，构架方式，协议种类，协议结构等。（2）学习和掌握MRTG软件：知道MRTG软件的历史发展，了解MRT

10、G的特色性能如可移植性，可定制性，兼容性，自动配置功能等，学习并掌握MRTG软件的基本工作原理及组成，同时下载相应的软件，并进行安装，掌握MRTG的安装和应用方法。（3）基于perl编写MRTG的相关程序：查询资料，学习perl编程语言，了解perl的基本信息，知道perl的特点，学习并掌握perl的基本语法以及该语法的优缺点，学会用perl语言编写MRTG的相关程序并进行网络流量监测。（4）设计并实现网络流量监测系统：用MRTG软件设计一个网络流量监测系统，实现对网络流量的监测，对该系统进行仿真，根据仿真图，从各个方面进行分析，了解设计的监测系统的优缺点。2.2技术方案通过在图书馆和网络查阅

11、与网络流量监测有关的各种书籍期刊等资料，学习并掌握与此次毕业设计有关的各种理论知识，如简单网络管理协议（SNMP协议），perl编程语言，MRTG软件等。了解它们的基本工作原理和组成，同时也要做好相应的资料整理、外文翻译等工作。学习MRTG软件，熟练地运用和掌握MRTG软件。学习perl编程语言，学会用perl编写程序。利用相关的软件以及perl语言写出的MRTG相关程序，设计出基于MRTG的网络流量监测系统，并且对该系统进行仿真。同时，根据仿真结果，对监测系统在各个方面进行分析。最后梳理论文的写作思路，明确需要解决的关键问题以及可能取得的预期研究成果，拟定论文提纲，完成开题报告；在论文框架确

12、定之后，逐步充实文章内容撰写初稿，并反复修改最终定稿，完成毕业论文。3、进度安排 第1周第3周 查阅相关资料，写出文献检索摘要，并完成任务书和开题报告的撰写。 第4周第6周 下载并安装MRTG软件，了解简单网络管理协议，学习perl编程语言，学习并掌握MRTG软件。 第7周第8周 学习和掌握网络流量监测系统的组成及其基本原理，初步进行监测系统的总体设计。 第9周第11周 完成对基于MRTG网络流量监测系统的设计，并对设计出的系统仿真，对仿真结果进行分析。 第12周第14周 对设计出的网络流量监测系统进行优化，调试和运行，并拟定论文提纲。 第15周第17周 撰写论文并修改毕业论文，进行论文答辩。

13、 4、指导教师意见 指导教师签名： 年 月 日 目 录摘 要IAbstractII1 绪论11.1 网络流量测量背景及目的意义11.2 网络流量测量的国内外研究现状21.3 本文的主要研究内容及主题结构32 网络流量监测技术52.1 网络流量分类52.2 流量采集的体系结构62.3 流量采集技术研究72.3.1 基于Sniffer的流量采集82.3.2 基于SNMP的流量采集92.3.3 基于Sflow的流量采集92.4 几种流量采集技术的比较102.5 流量分析要点112.6 流量监测技术应用123 网络流量监测软件143.1 简单网络协议143.1.1 SNMP的构造143.1.2 SNM

14、P管理模型概述153.1.3 SNMP的工作原理163.1.4 管理信息库163.1.5 SNMP的作用183.1.6 SNMP收集数据的基本方法193.2 perl语言193.2.1 perl的特点193.2.2 perl的优缺点20 3.3 MRTG203.3.1 MRTG的历史发展213.3.2 MRTG的工作原理223.3.3 MRTG的组成223.3.4 MRTG的特色223.3.5 MRTG的分析233.3.6 MRTG的应用234 基于MRTG的网络流量监测244.1 软件的安装与配置244.1.1 IIS的安装244.1.2 Activeperl的安装264.1.3 SNMP协

15、议的安装与配置274.1.4 MRTG的安装与配置304.2 网络流量监测图的分析314.2.1 日流量监测图的分析324.2.2 周流量监测图的分析32 4.2.3 月流量监测图的分析334.3 MRTG与操作系统的兼容性344.4 本章小结345 总结与展望36 5.1 总结36 5.2 展望37参考文献39致 谢40武汉理工大学毕业设计（论文）摘 要本文学习了网络流量测试软件MRTG，并用MRTG设计了一个网络流量监测系统。通过对计算机网络流量进行检测，得出网络流量的日流量图，周流量图，月流量图。对流量图进行分析，可以得出该计算机的网络流量特点，详细了解网络的运行情况。知道网络的端口数据

16、流量（如端口总速率，数据包速率），设备运行性能（如CPU利用率），网络健康状况（如网络时延）等各项指标，并将它们直观的表现出来并由此建立准确的流量模型。得出的结果能够指导网络管理员及时排除问题，改善网络运行状况，以便更好的保护网络。同时，也可以通过异常流量及时发现网络问题，对判断计算机是否有黑客入侵或病毒危机具有重要的指导意义。作者的主要研究工作如下： 1、学习和掌握网络流量监测技术的相关理论和技术：通过查询资料，了解网络流量测量的背景及研究现状，并说明研究网络流量测量技术的目的和意义。了解简单网络管理协议（SNMP协议），如SNMP协议的基本内容和工作原理，了解SNMP的网络管理模型的四个关

17、键元素，SNMP 协议的网络主要组成部分，构架方式，协议种类，协议结构等。 2、学习和掌握MRTG软件：知道MRTG软件的历史发展和特色性能，如可移植性，可定制性，兼容性等。知道MRTG软件的功能，学习并掌握MRTG软件的基本工作原理及组成。下载相应的软件安装包，并进行安装配置。掌握MRTG的安装和应用方法，能够用MRTG软件测量出网络流量。 3、基于perl编写MRTG的相关程序：查询资料，学习perl编程语言，了解perl的基本信息，知道perl的特点，学习并掌握perl的基本语法以及该语法的优缺点，学会用perl语言编写MRTG的相关程序并进行网络流量监测。4、设计并实现网络流量监测系统

18、：利用MRTG软件建立了一个采用被动监测方式的的流量监测系统。该系统可以通过收集网络上路由器、交换机或者需要被检测设备上的状态数据，并直观的生成网络流量图。从各个方面对流量图进行分析，得出网络流量的特点，了解设计的监测系统的优缺点。关键词：流量监测；SNMP；MRTGAbstractThis paper studied the network traffic measurement software MRTG, and using MRTG to design a network traffic monitoring system. By testing for computer networ

19、k traffic, flow chart, the network traffic flow chart, week, month flow chart.Analysis of the flow chart, network traffic characteristics can be obtained with this computer, details about the operation of the network. Know the port data flow network (such as port rate, packet rate), performance of e

20、quipment (such as CPU utilization), network health status (such as network delay) and other indicators, and they will be shown directly and thus establish an accurate flow model.The results can guide the network administrator resolves the problem in time, to improve the operating conditions of the n

21、etwork, in order to better protect the network. At the same time, can also through the abnormal flow timely detection of network problems, whether there is a hacker or virus crisis has important directive significance to judge the computer.Author's main work is as follows：First，The related theor

22、y and technology to study and master the network traffic monitoring technology: through the query information, background and current research on network traffic measurement about, and explain the research goal and the significance of network flow measurement technology. To understand the simple net

23、work management protocol (SNMP protocol), the basic content and the working principle of protocols such as SNMP, to understand the four key elements of the SNMP network management model, the SNMP network protocol main component, architecture, protocol type, protocol structure.Second，To learn and mas

24、ter the MRTG software: know the historical development and the performance characteristics of MRTG software, such as portability, configurability, compatibility. Know the function of MRTG software, and the basic operation principle of learning and mastering MRTG software. Download the corresponding

25、software package, the installation and configuration. Master installation and application method of MRTG, can use MRTG software to measure network traffic.Third，Correlation program written in Perl based on MRTG: query information, learning Perl programming language, understand the basic information

26、of Perl, know the characteristics of Perl, learning and mastering the basic syntax of Perl and the advantages and disadvantages of the grammar, learn to write MRTG using perl language program and network traffic monitoring.Fourth，The design and implementation of network traffic monitoring system: es

27、tablishing a traffic monitoring system using passive monitoring mode using MRTG software. The system can collect the network router, switch or need to be detected state data on the device, and intuitive network traffic generated maps. From the analysis of various aspects of flow chart, the character

28、istics of network traffic, understand the advantages and disadvantages of monitoring system design.Keywords: flow monitoring；SNMP；MRTG411 绪论1.1 网络流量测量背景及目的意义随着Internet重要性的日益提高和网络结构的日益复杂，越来越有必要对网络的拓扑结构和网络行为进行深入的了解、分析，以利发现网络瓶颈，优化网络配置，进一步发现网络中可能存在的危险。为此，需要对大规模网络结构进行动态描述，并根据网络流量的变化分析网络的性能，为加强网络管理、提高网络利用

29、率、防范大规模网络攻击提供技术平台1。人们在计算机系统中的资源管理方面己经做了许多工作，这样的系统通常包括通过一个或多个计算机网络和许多实时应用程序连接起来的大量的计算机。这些程序的服务质量对于整个计算机系统的性能而言是至关重要的。为应用程序维持合适的服务质量需要资源管理中间件对计算机资源进行管理，这些资源包括计算资源和网络资源。计算资源是实现诸如计算机，CPU时间，内存等在内的一些计算机性能的应用程序，直接关系到某个应用的服务质量；网络资源则提供了个体计算机和其它计算机之间彼此互联的方式，比如网络连接，接口，带宽等等2。通过对业务流量数据的监测，可以获取网络性能特征参数，并由此建立准确的流量

30、模型，能够指导网络管理员及时排除问题，改善网络运行状况。因而研究网络流量测量技术具有以下几个方面意义3： 1)网络体系架构的需要从网络体系架构来说，网络流量是一切研究的基础。所有对网络的应用和网络本身的行为特点的研究都可以通过对网络流量的研究来获得。网络的行为特征可以通过其承载的流量的动态特性来反映，所以有针对性地监测网络中流量的各种参数(如packet interarrival,packet length，packet loss rate,packet delay，etc)，就能从中分析和研究网络的运行特征。通过分析和研究网络上所运载的流量特性，有可能提供一条有效的探索网络内部运行机制的途径

31、。 2）网络协议部署的需要根据监测的流量分布，可以配置路由器的路由协议、负载均衡策略、实施流量工程、进行业务与协议的科学部署。而流量工程在传输业务时，能够优化资源利用率，提高应用性能。网络传输的流量与网络路由策略密切相关。流量测量还可以显示链路权重的改变对流量的影响。 3)网络性能监控的需要网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据。在网络中，如果网络所接收的流量超过其实际运载能力，就会引起网络性能下降。吞吐量是表征网络性能的重要标志。在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降，网络性能降低4。通过流量测量不仅能反映网络设备(如路由器、交

32、换机等)工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措旌和进行相关的业务部署，提高网络的性能。 4）网络安全的需要 随着Intemet的应用领域和应用规模的快速增长，通过网络传播计算机病毒的种类越来越多，传播速度更快，感染面积更广，全球信息安全受到了严重的威胁。例如网络蠕虫病毒，其传播速度快、传播面积广、破坏性强，大量占用路由器和交换机的带宽，导致网络阻塞甚至瘫痪。因而对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪，源目的地址对的分析，TCP流的分析，能够及时发现网络中的异常流量，进行实时告警，保障网络安全5。根据网

33、络流量在网络运行各个环节中的关键地位，对网络流量进行研究，采取一定的方法，科学地测量和分析流量特征成为一项艰巨而有意义的工作。1.2 网络流量测量的国内外研究现状国外在网络流量测量方面起步较早，自从互联网开始兴起时就己开始，有许多科研机构、大学、学术团体和企业组织了网络测量的研究。自从美国国家科学基金会NSF在二十世纪八十年代中期确立它的网络计划以来，高质量的访问因特网对教学、科研以及日常的生活都起着越来越重要的作用。但这些年来，因特网变得越来越复杂，即使是经验丰富的网络工程师对数据传输服务的路径、可靠性和性能等也只能有一个非常模糊的认识。没有准确的Internet性能方面的数据，以及收集和分

34、析这些数据的有效工具，教育、科研机构，以及其他需要这些性能数据的用户或组织6，就很难对网络的建立、管理和应用等作出正确决策。为了解决诸如此类的问题，Internet工程任务组IETF(Internet Engineering Task Force)7专门成立了一个IPPM(IP Performance Metrics)工作组，专门负责发展一套用于衡量Internet数据传输服务的质量、性能、可靠性等方面的度量标准。同时许多组织、团体、机构或公司纷纷建立了它们的测量项目8。近些年来，许多大型研究项目组和研究人员在网络测量领域己经开发出了很多测量系统。美国在1992年开始着手Internet特征的

35、研究。其中比较著名的项目包括UC Berkeley的科学家们对Internet开展的两次长达三个月的大规模测量，其改进平台NIMI已经广泛设置于许多国家，产生了非常深远的影响9。IEPM(Internet End-to-End Performance Measurement，Internet端到端性能测量)主要来监视Intemet上的端到端性能；IPMA(Intemet Performance Measurement and Analysis， Internet性能测量和分析)主要研究局域网和广域网环境中的网络性能和网络协议。MOAT of NLANR(Measurement&Oper

36、ations Analysis Team of National Laboratory for Applied NetworkResearch)：主要研究高性能网络的行为特征，并开发了一个网络测量平台。测量平台研究核心主要由两个项目组成：被动测量分析项目组PMA(Passive Measurement and Analysis Project)和主动测量测量项目组AMP (Active Measurement project)。PMA在测量点被动捕获数据包，分析数据包头得到负载信息；AMP项目的目的是为了增强参与站点和用户对高性能网络运行情况的理解10，帮助网络用户和服务提供商分析问题。AMP

37、项目使用的测量工具有ping，traceroute等，测量包括：端到端的RTT，包丢失、拓扑以及吞吐量等性能指标。Surveyor是一个能够在Internet路径上测量单向延迟，包丢失和路由信息的测量体系结构；其他项目还包括NLANR，和Skitter(CAIDA)。除美国外，其他国家也展开了对Internet的大规模测量和研究，如：加拿大的TRIUMF网络监视(主要目的是对国家Internet路径上的丢包情况和路由特征进行测量)和新西兰的WAND (Waikato Applied Network Dynamic)WlTS(Waikato Intemet Traffic Storage)11(

38、主要目的是创建用于统计分析和创建模拟模型的Intemet流量模型)等。欧洲于1995年也展开了对Internet的测量，其中PPNCG(粒子物理网络协作组)是在这方面做得较为成功的一个组织。Internet2 Measurement working Group：正在开发一个Internet2的分布测量平台。该平台将用来分析端到端的网络性能，研究QoS性能特征等。并采用NetFlow，MRTG， SNMP等技术提供每天，每周，每月及每年的流量和性能分析报告。国内清华大学提出了大规模互联网络性能监控模型LIPM(Large scale Internet Performance Monitor mo

39、del)，借鉴了ISO(The International Organization for Standardization)的层次结构思想，将整个模型分为数据采集、数据管理、数据分析、数据表示四个层次，融汇了TMN(Telecommunication Management Network)在对象管理方面的方法，易于实现和维护。西安交通大学 提出了互联网应用性能测量系统NAPM(Network Application Performance Measurement)，提出了应用探针和区域探针的分布式体系结构。随着网络性能测试的研究与发12展，许多公司、组织或团体等开发出大量的网络性能测试方面的

40、工具，其中应用或电子商务方面的有CompuWare EcoScope Optimal Application Expert，Clevertools WebBoy等；带宽吞吐量方面的有bing，Clink，Netperf, Neaimer，Pathchar，Pchar，Treno，ttcp and nttcp等；延迟方面的有Ping，Fping，Traceping等；连接的利用率方面的有IPTraf,Libpcap等。1.3 本文的主要研究内容及组织结构本文的主要研究内容是首先要通过查阅资料学习和掌握网络流量监测技术的相关理论和技术，知道一些网络流量监测的方法，了解简单网络管理协议SNMP协议，

41、知道SNMP 协议的网络主要组成，构架方式等；同时要学习MRTG软件，掌握MRTG的基本工作原理及组成，掌握MRTG的安装和应用方法；此外由于MRTG的运行要使用perl语言，所以也需要学习perl语言，并学会用perl编写MRTG的相关程序；设计并实现网络流量监测系统。本文的主题结构是根据毕业设计的进度，从理论到实践依次完成论文的各个章节。章节的内容如下：第1章 ，绪论，包括本次论文研究目的意义研究现状以及本文的主要研究内容及主体结构等。第二章，研究的基础，包括网络流量的基本理论，几种网络流量监测技术的原理和比较。 第三章，毕业设计所用软件的介绍，包括MRTG，SNMP，perl软件的原理，

42、特点。第四章，是本次设计的过程，就是软件安装及系统设计部分，及对系统的运行以及结果分析。 第五章，总结及展望。2 网络流量监测技术要真实了解网络的运行情况，发现网络运行中存在的问题，必须对网络中的流量状况有一个全面了解。面对复杂多变的规模庞大的网络环境，这就需要一个能够适应不同场合和快速分析处理数据的流量监测系统；而如何采集异构环境下的网络流量是系统实现的关键所在。下面我们重点讨论网络流量采集技术，并对不同的采集技术各自的优缺点分析比较，为设计基于多模式的流量采集技术提供理论依据。2.1 网络流量分类如今国外很多知名的公司或学校，已经大规模开展了对网络流量的分析研究和应用。运用这些技术，运营商

43、可以科学地估算出各种业务在网络总流量中所占的比重和在各条链路上的分布，能够科学地预测链路流量和业务流量的变化规律，从而客观地评价各类用户的上网特性。同时可预测当上网用户增多的情况下对网络可能造成的影响，用以指导网络建设，合理规划网络资源分布。以下根据网络流量包含的信息内容对网络流量进行分类13，同时对当前技术成熟的流量采集工具进行描述。以期对本文的网络流量监测系统的设计有一个指导性作用。 a网络节点端口流量14网络节点端口流量指网络节点设备端口流入和流出数据包的信息统计。它包括数据包的个数、字节数、包大小分布、丢包数等非常多的统计信息。在网络上，网络监听效果最好的地方是在网关、路由器、防火墙一

44、类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，它可以在不同的操作平台上进行监听。目前有许多能实现监听功能的优秀软件：1)Sniffit：由Lawrence Berkeley实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可选择监听的端口、协议和网络接口等。2)NetXRay：在Windows9X和WindowsNT上，NetXRay是一个功能强大、使用方便的协议分析和网络监控工具。它是一个优秀的软件，能监控多个网段，并且允许多监控实例存在，同时还能捕捉所需要对饿任何类型的报文。使用NetXRay还可以设置许

45、多过滤条件，而且其操作界面也比较漂亮。3)Tcpdump：Tcpdump是网络管理员的强大监听工具。它是从应用程序中读入网络上有关的大量分组信息，与指定准则进行匹配来过滤这些分组信息。但是UNIX平台上的监听软件，界面都不是很友好，操作性不强。4)监视节点端口流量的典型工具是Multi Router Traffic Grapher(MRTG)它，是一款监测网络连接上网络流量加载情况的软件，它通过生成包含PNG图形的HTML页面来呈现出实时的网络流量状况。MRTG可以工作在大多数的UNIX和windowsNT平台上，它是用Perl语言编写的源代码。MRTG利用一个完全用Perl语言编写的极便携的

46、SNMP实现机制来进行工作，且不用安装任何额外的SNMP数据包15，而且他还能够读取最新的SNMPv2 64位计数器。另外，MRTG也能以周期(最近7天、最近5周、最近12个月)为单位来建立一种直观的流量表达方式，这是因为MRTG可以保留来则路由器的所有数据情况的日志，这个日志能够自动整理以便其不会因时间的推移而日益臃肿，但它仍可以保存最近两年的所有流量数据的相关情况。因此，我们能够监测200个甚至更多网络链路的使用情况。另外其他厂商的网管工具也提供监视网络节点端口流量的功能。如HP公司的orIenView平台，Agilent平台的Firehunter等。可以考虑用这些工具的强大分析功能与MR

47、TG结合起来使用。 b端到端的IP流量端到端的IP流量指的是在网络层从一个源地址到一个目的地址的IP包统计信息；通过对其分析，可以了解到网络中的用户都访问了哪些目的网络，是网络分析、规划、设计和优化的重要依据。采集端到端口流量的典型工具包括Sniffe、Netflow和流量探针等，根据其不同特点，它们分别适用于不同范围的流量采集。 c业务层流量业务层流量除了包含端到端口流量的信息之外，还包含了第四层(TCP层)的端口信息。显而易见，它包含了应用服务的种类信息，利用这些信息可以做更详细的分析。Sniffer，Netflow和流量探针等工具也实现了这个层次的流量信息采集。 d完整的用户业务数据流量

48、完整的用户业务流量对于安全、性能等方面的分析非常有效251。例如，捕获黑客的来访数据包可以制止某些犯罪行为或得到重要证据：由于捕获完整的用户业务数据需要超强的硬盘存储速度和容量，而利用Sniffer和流量探针等实现短时间内数据包的捕获和跟踪。Niksun(猎信)都只能公司在这个方面却有自己独到之处，其NetDetector产品能提供长时间的完整的用户业务流量采集。通过上述对网络流量分类的了解，可以在本文拟设计的网络流量监测系统中充分全面地考虑系统可扩展性，使得设计的系统能够适应不同的网络环境，采集到不同类别的数据流量，使得系统的可用性大大增强。2.2 流量采集的体系结构流量采集系统16一般分为

49、三个模块：监听模块、读取模块、控制模块。流量监听模块是流量测量体系的核心部分，它通常是要设置在测量点上根据系统相关配置来记录网络上的活动。在数据存储之前，它可以对监听到的数据进行聚类，变形等进一步处理。监听模块需要计量流量数据的属性如字节数、包数，并且根据其他属性例如源地址，目的地址确定的计量实体进行分类。计量实体可以是主机、子网，甚至是一组子网，它的粒度由监听模块的配置决定。流量的数据信息存储在监听模块的流量表中，流量表是一个流量数据记录的数组。读取模块可以根据网络的实际状况，采取任何合适的方式采集数据，例如可以通过下载整张流量表等。读取模块允许读取流量属性值的一个子集，而不需要读出所有的流

50、量数据记录。读取模块可以从多个监听模块中采集数据，而且这些采集之间不需要同步。读取模块将数据传送给分析模块。控制模块负责配置监听模块和控制读取模块的流量采集，包括：(1)流的确定，如哪些流量被记录，它们如何聚类以及采集哪些数据；(2)监听模块的控制参数，如流量表的大小(3)抽样率，通常每个包都被监测，但是在一些情况下必须抽样监测。读取模块在从每个监听模块读取采集数据前，需要确定以下几点：(1)监听模块的唯一的ID(2)采集的间隔(3)需要采集哪些流量记录(4)需要采集流量记录的属性值(所有属性，或者仅仅是一部分)强调一点：一旦流量数据被监听模块采集后，就可以用于分析模块。但是，分析模块的细节不

51、属于流量测量体系。2.3 流量采集技术研究传统的方法是使用SNMP(Simple Network Management Protocol，简单网络管理协议)进行流量采集17，从开启了SNMP服务的网络设备的流量计数器(traffic counters读取流量信息。网络监控的基本手段是简单网络管理协议（SNMP），它很好地满足了网元性能监控需要，但在流量方面，只能提供粗糙、简略的流量统计资料。较为普遍的用于入侵检测和协议分析的包嗅探法(packet sniffer)也被广泛使用。而NetFlow技术正迅速发展起来，NetFlow版本9己经作为IETF的标准之一向外发布。越来越多的厂商都使自己的设

52、备支持NetFlow。网络探针（sniffer）或是类似的监听工具可以弥补SNMP的缺陷，但它的问题是数据庞大，对CPU、内存等资源消耗过大，难以适应高速网络的要求。Cisco公司于1996年开发的NetFlow技术，现在有很多路由器支持，它利用路由器上提供高层的IP流量统计信息，其特性是通常基于软件架构，对主机间流量的描述精确性接近100%，但问题是当数据包流量很大时，可能会给采集器带来负担。而sFlow技术(RFC3176)是一种”统计采样技术”，可提供完整的第2层到第7层、全网络范围内的流量信息。sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很

53、多问题。可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全网络监视解决方案成为可能，其不足是对网络传输流的描述不如NetFlow精确。SNMP为基于TCPIP的网络环境提供了一种基本的网络管理工具。协议的细节性描述可见RFC 1157。尽管SNMP被广泛应用于网络监测，但是他仍旧滞后于快速进化的计算机网络的发展速度。2.3.1 基于Sniffer的流量采集 网络探针的思想源于传统Ethernet总线结构。传统的Ethernet采用总线的形式进行网络连接，网络通信

54、采用广播的形式，一台主机可以监听到位于同一物理子网的任何一台主机参与的通信。用于IP流量采集的网络探针的方法，相当于利用传统的Ethemet的通信原理，安插网络探针，监听并接收所有其他通信，记录通过本总线的每一次通信，进一步整理成IP流量的统计。探针必须具有对网络底层通信方式进行控制的能力，使系统网络接口适配器的工作方式变为Pro-mi2ciouse方式，并且将网络底层接收的数据传送到应用层进行分析处理。探针的实现技术一般包括数据包捕获、包过滤模块、会话跟踪模块、协议跟踪、监控模式匹配及用户规则匹配及规则库维护等。为了完成网络流量统计的要求，网络探针应该放在最接近出口路由器的网段基于Sniff

55、er的监测方式。其原理是通过交换机、路由器等网络节点设备的端口（链路）镜像到协议分析仪，从而实现网络流量的无损复制和映像采集。在Ntop系统实现的平台Linux一9.03上，Libpcap是通过Packet Socket实现的。Packet Socket是被设计为用来在设备驱动层(OSILayer2)即数据链路层收发原始数据包，它能让用户在物理层上在用户空间实现协议模块。在Linux内核网络包处理流程中，Packet Socket的实现是处于网卡驱动程序和TCPIP协议栈处理代码之间18。Packet Socket是通过如下的形式调用socket函数来获得的：Socket(PF PACKET，

56、SOCK RAW，htons(ETH-PALL)用户应用程序TCP/IP作用层Socket 接口IP作用层协议簇操作网卡驱动LPF图2.1 Libpcap 网络包处理流程第一个参数表示建立的是Packet协议簇，这个协议簇使应用程序能够从网卡接收和通过网卡发送数据，这样就绕过了传统的TC协议栈的处理。第二个参数指出了选择的协议簇中使用的socket的类型。对于Packet协议簇，有两种类型可以使用：SOCK DGRAM和SOCK RAW。SOCK DGRAM是将处理链路层包头的任务留给了内核，而SOCK RAW可以让应用程序直接处理链路层包头。最后一个参数表示接受所有协议的包。Libpcap的

57、过滤功能是对Packet Socket设置过滤选项来获得的。Packet Socket的包过滤功能在Linux内核中的实现被称为LPF(Linux Packct Filter)。它在整个Linux网络包处理流程中所处的位置如下图2.1所示：可以看到LPF所处的位置是协议簇处理阶段，在这里的原因是希望包过滤能尽可能早进行，因为越早将不需要的包丢弃，无谓的开销也就越少，系统的整体效率也就越高。为了使过滤的实现尽可能的高效灵活，LPF采用的是BPF过滤模型。2.3.2 基于SNMP的流量采集简单网络管理协议SNMP(Simple Network Management Protoc01)，是由互联网工程任务组定义的一套网络管理协议19，它提供了一种远程管理所有支持SNMP协议的网络设备、监视网络状态、从网络设备中收集网络管理信息的方法SNMP己成为网络管理信息交换事实上的工业标准，几乎所有