陜西省氣象廣域網絡流量應用分析

李 珍

(陜西省氣象信息中心,西安 710014)

陜西省氣象廣域網絡流量應用分析

李 珍

(陜西省氣象信息中心,西安 710014)

采用基于Netflow的流量監測方法,在省級電信MSTP線路安裝網絡監控設備,對陜西省氣象廣域網絡的網絡流量分別進行基于數據包和流量行為的分析。在了解網絡流量的構成和分布比例符合氣象業務基本特性的基礎上,發現當前臺站、地市級氣象部門在網絡應用中存在網絡資源釋放不及時和網絡防護中的漏洞,并提出相應措施,提高網絡帶寬的有效利用率和網絡性能。

氣象業務網絡;流量監測;流量分析

陜西省氣象廣域網由省-市和市-縣間的電信MSTP(多業務傳輸平臺)線路和廣電SDH (同步數字體系)線路組成,承擔省市縣三級氣象資料的匯集傳輸、氣象應用系統的數據交換和氣象辦公系統的數據傳輸業務,承載的業務包括氣象通信系統、氣象觀測系統、運行監控業務系統、視頻會商系統、辦公系統等多個業務系統[1]。為更加詳盡的掌握全省廣域網絡的使用情況,將網絡監控設備安裝在省級電信MSTP線路,全面監控網絡的使用情況,特別是網絡流量。通過對各類氣象業務流量監控結果進行分析研究,同時分析高流量用戶的信息,找到造成高網絡流量的原因并對其加以改進,改善和提高網絡性能。

1 網絡流量監測的方法

網絡流量監測的主要方法有基于簡單網絡管理協議(SNMP)的流量監測和基于Netflow的流量監測等。基于SNMP協議的流量監測,是通過提取網絡設備的管理信息庫(MIBII)中收集的一些與具體設備及流量信息有關的參數而實現。其優點是使用軟件方法實現,不需要對網絡進行改造或增加部件、配置簡單、費用低。缺點是只包括字節數、報文數等最基本的內容,不適于復雜的流量監測[2]。

NetFlow是一種數據交換方式,其利用標準的交換模式處理數據流的第一個IP包數據,生成NetFlow緩存,隨后同樣的數據基于緩存信息在同一數據流中進行傳輸,不再匹配相關的訪問控制等策略,NetFlow緩存同時包含隨后數據流的統計信息。一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流,所有數據包有共同的傳輸層源、目的端口號。

相對于基于SNMP的流量監測,基于Net-Flow的流量監測方法的優點是將提供的流量信息擴大到七個屬性(源IP地址、目標IP地址、源通信端口號、目標通信端口號、第三層協議類型、服務類型(TOS)字節、網絡設備輸入或輸出的邏輯網絡端口(iflndex)),可以區分各個邏輯通道上的流。缺點是由于功能的復雜性,支持Netflow需要在網絡設備上附加單獨的功能模塊[]。

2 流量分析方法

網絡流量分析指通過捕獲網絡流量數據對其進行深入量測和分析,來掌握網絡的流量特性(某種協議、應用服務的使用情況或者某些用戶的行為特征等),為精細化流量控制提供數據依據。

2.1 基于數據包的分析

對數據包的分析一般可分為:基于地址、端口的分析,基于特征碼的分析及深度數據包檢測。基于地址、端口的分析是通過識別IP、URL地址或應用服務的特定端口來檢測分類的方法。但隨著網絡技術的發展,越來越多的應用不再基于固定的地址、端口,使這種方法的使用范圍不斷縮小。基于特征碼的分析是通過檢測開放式系統互聯(OSI)模型中四層以下的內容中是否含有某些應用服務的特殊標示或使用的特定協議,來對數據包進行分類的方法,是一種使用較多的分析方法。深度數據包檢測(DPI)是一種對數據包深入到應用層協議檢測分析的方法。它通過逐包分析、模式匹配,并使用行為模式識別等技術,可對流量中的具體應用服務實現較為準確的識別[4]。

2.2 基于流量行為的分析

目前較為常見的是深度流行為檢測(DFI),這是通過對數據流的數據包長度、數據流持續時間、鏈接狀態、網絡層傳輸層信息等參數來對其進行統計分析的檢測方法,可以分析加密數據流,能對數據進行模糊分類[5]。

3 結果分析

2012年5—6月,采用基于Netflow的流量監測方法對陜西省氣象廣域網絡進行監測,并對監測資料分別進行了基于數據包和基于流量行為的分析。

3.1 業務流量歸類分析

表1為業務流量的24h平均分布情況。從表1可以看出,在網絡業務流量中所占比例最大的為FTP-DATA服務,占44.4%;其次為HTTP服務、RTST服務、MS-SQL服務,分別占19.2%、9.4%和2.3%。FTP-DATA服務的業務類型為地市級、縣級氣象部門上行至省級氣象部門和省級下行至地市級、縣級的FTP傳輸業務,這種上、下行的FTP業務為省內業務網絡承載的最主要的業務,所占比例也最大;HTTP服務為省級各部門對外提供服務的各類網站,是僅次于FTP業務的重要業務,所占比例也僅次于FTPDATA服務;RTST服務的業務類型為省內實景監測系統的流媒體服務,MS-SQL服務的業務類型為省級對外提供數據共享的數據庫服務,均為省內的主要業務,所占比例也較大。從業務流量分布可以看出,陜西省氣象業務網絡的流量分布基本符合陜西省氣象業務的特點。

表1 業務流量分布表

3.2 業務流量前十用戶IP分析

為更加詳細的分析業務網絡流量,對24h平均發送和接收的總流量位于前十位的用戶IP進行了分析研究。分析發現,在業務總流量中排在前十位的用戶IP中,省級氣象部門的用戶IP僅占不到30%,其余均為地市級和臺站級氣象部門。地市級、臺站級氣象部門應用較為單一的服務器的網絡流量與省級氣象部門一對多提供服務的省級服務器的網絡流量相比,兩者相差不多甚至前者遠高于后者。從網絡業務流量的優化統籌方面來講,這種現象是極不合理的。

造成這種現象的原因有:①縣級、地市級氣象部門自行開發的應用軟件或程序的設計不合理,程序頻繁上連省級服務器后未及時斷開網絡連接釋放網絡資源,從而造成高網絡會話。高網絡會話可能會帶來網絡震蕩和網絡流量過大,對全省業務網絡和服務器造成很大的壓力。當網絡流量大到一定程度時,就會造成整個業務網絡的堵塞。②縣級、地市級氣象部門的服務器由于防護不到位,感染計算機病毒、遭受網絡攻擊或被加掛木馬程序,短期內產生大量的訪問需求,從而造成網絡流量過大。

針對上述原因可行的有效方法有:①對不合理的軟件或程序進行優化,在交互結束之后及時自動斷開網絡連接,再一次進行交互時再建立新的網絡會話,合理利用網絡資源;②加強對縣級、地市級服務器的防護工作,在互聯網接口安裝防火在服務器上安裝殺毒軟件。

4 結論

陜西省氣象業務網絡的流量分布基本符合陜西省氣象業務的特點,同時也存在一定問題。主要表現在縣級、地市級氣象部門服務器的網絡流量遠大于一對多提供服務的省級服務器。而造成這一問題的主要原因一方面是由于廣域網絡存在病毒,另一方面是由于對網絡資源的使用不合理,沒有及時釋放網絡資源從而造成網絡過度浪費。只有將這些問題妥善解決,才能進一步提高網絡帶寬的有效利用率和網絡性能。

[1] 趙立成,沈文海,周林,等.氣象信息系統[M].北京:氣象出版社,2011:22-24.

[2] 謝喜秋,梁潔,彭巍,等.網絡流量采集工具的分析和比較[J].電信科學,2002(4):63-66.

[3] 穆斌,武俊喜,樊莉.網絡流量監測及異常流量分析技術[J].信息系統工程,2011(9):82-80.

[4] 楊祥.流量控制系統原理分析[J].電子商務, 2010(12):50-51.

[5] 夏中林.校園網流量分析與控制策略應用[J].數字技術與應用,2012(2):160-162.

TP393

:B

1006-4354(2013)02-0030-03

2012-08-23

李珍(1983—),女,甘肅玉門人,碩士,工程師,從事氣象信息業務。