地发现 网络流量的异常对于解决这些问题有非常重大的意义。 本文采用Cisco公司的NetFlow技术实现网络流量的采集。通过分析校园网的流 量数据,设计了一个完整的网络流量数据采集、查询服务系统。该系统使用两级服务 器结构: 1)Linux流量服务器使用c语言采集网络流量数据并提供流量数据的查询服务 功能。本文提出了海量NetFlow流数据的具体存储方案,并进一步讨论了采用 分布式存储流量数据的利弊。本文对于数据的汇聚策略、存储结构以及检索策 略也进行了详细的论述。流量服务器还可以根据特定用户的网络流量自动生成 该用户的网络费用实现按流量计费的功能。 2)以Tomcat作为Web服务器,Web服务器接收用户通过浏览器提交的流量查 询请求,并提交给Linux流量服务器,并将查询结果返回用户,在提供友好交 互界面的同时实现了高效的流量数据查询统计功能。 在实现了网络流量的采集以及查询功能的基础上,本文进一步提出了基于流量数 据时间序列检测网络异常的一种新方法。该方法基于NetFlow流数据所生成的流连接 密度时间序列滑动窗口,通过分析网络的流量数据形成的流连接密度时间序列,能够 及时发现网络的异常波动,实现对网络异常流量实时报警,从而有利于提高网络的管 理质量。 当异常流量发生后,为了平抑异常流量造成的时间序列异常,需要对异常部分的 数据进行修正。为此,本文提出了一种利用神经网络模拟流量数据的自回归模型的方 法,可以根据异常发生之前的流量数据模拟生成异常部分的数据,提高数据修正的准 确性。另外,该模型也可用于网络流量的预测。 以上述方法构成的原型系统,已运行在济南大园网环境中,结果表明表明可 以有效地发现各种网络故障、网络病毒或网络攻击导致的网络异常。
I
基于NecFlow的网络流量监测研究与应用
关键词:NetFlow;网络流;流量监测:异常检测
n
济南大学硕士学位论文
ABSTRACT
Due to the development of computer network and the diversity of the network useL
network
anomalies take place more frequently than ever,anormal network t/afnc,such
as
DDoS attack、wornl,reduce kinds of
network
efficiency more seriously.Although there take effect through
are
many
anormal network
traffic,most of them
and causing
consuming
network
unacceptable network traffic
resources
network anomalies.Monitoring
to solve these problems.
and finding
paper
these anomalies is very
meaningful
nis
uses
Neff'low technique,which is developed by CISCO,to gather
to
network
a
traffic data.According
the analysis of traffic data of campus network,accomplish
system that gathers network traffic data and provides query service.Tllis system is made
up oftwo—grade
server
structure:
1)Network traffic data and
provides
service is established in
to
a
Linux server.It gathers traffic data
an
interface
receive traffic data retrieving request
and retum
retrieving result.Because of the great quantities of NetFlow data,binary files distributed in multi?-level-directory records instead of
a are
used to store fixed length network traffic
paper discusses the advantages
DBMS.Furthermore this
and
disadvantages
of distributed storage of NetFlow data.This paper also describes
the aggregation method,traffic data structure
and
retrieving strategy in detail.
Traffic data
server
also generates the
network
fee for curtain
network
us