网络流量监控及分析工具的探究

开篇：润墨网以专业的文秘视角，为您筛选了一篇网络流量监控及分析工具的探究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：在塔里木油田网络迅速发展的同时，网络安全问题日益成为油田内部网络关注的焦点，非法访问、病毒扩散、恶意攻击等都容易影响网络的正常运行，现塔里木油田多种网络防御技术被综合应用到网络安全管理体系中，包括防火墙、访问策略控、SEP安全准入、流量监控等等，其中流量监控是分析网络状况的有效方法，它从数据包流量分析角度，通过实时地收集和监视网络数据包信息，来检查是否有违反安全策略的行为和网络工作异常的迹象。

关键词：网络管理；数据采集；流量控制；流量统计；

Abstract: in the rapid development of the network of Tarim oil field at the same time, the problem of network security has increasingly become the focus of attention of the internal network of oil field, the normal operation of the illegal access, the spread of the virus, malicious attacks are easy to affect network, the Tarim oil field a variety of network defense technology has been applied to network security management system, including firewall, access control, SEP security access, traffic monitoring, traffic monitoring, which is a efficient method to analyze the network status, it from the data flow analysis, through data collection and monitoring network real-time packet information, to check whether there are signs of behavior and network security policy violations and abnormal.

Keywords: network management; data acquisition; flow control; flow statistics;

中图分类号：TM711文献标识码：A

一、引言

随着油田网络不断发展和诸多办公、勘探软件应用的广泛应用，对网络性能稳定性要求日益提高，也是前线广域网网络管理迫切需要解决的问题，有效的网络管理能够保证网络的稳定运行和持续发展。

二、相关的概念与技术

（一）OSI参考模型

开放系统互联参考模型OSI是由国际标准化组织ISO制定的标准化开放式的计算机网络层次结构模型,其结构如图1所示。

可以看出，该结构共有七层，各层主要实现如下功能：

1、物理层，利用传输介质实现相邻节点间的物理连接，主要对机械、电气、功能和规程四个方面及信号传输速率方面进行规定；

2、数据链路层，完成管理数据的传输，提供差错检测和恢复，并且提供流量控制，最终实现向上一层提供无差错、高可靠性的传输链路；

3、网络层，执行路由算法和流量控制算法，完成数据分组传输，它是通信子网的最高层；

4、传输层，提供端到端的无差错传输，同时，它也提供属于局通信网络接口，比如SOCKET；

5、会话层，完成用户之间会话的组织、协调、分配用户名等；

6、表示层，解决数据格式问题，规定编码方式；

7、应用层，OSI的最高层，利用应用进程提供网络访问手段。

（二）TCP/IP体系结构

由于TCP/IP比其之前的OSI模型更具体实现，随着互联网的不断发展，遵循TCP/IP结构的网络不断普及，因此现在通常采用TCP/IP代表Internet体系结构。TCP/IP的目的是在网络标准不同的情况下解决互联问题，可以说，网络互联是TCP/IP的核心。TCP/IP的体系结构如图2所示。

TCP/IP在设计时重点并没有放在具体通信的实现上，所以对最后两层没有做出具体规定，同时表明它允许不同类型的通信网络参与通信。它的四个层次功能如下。

1、应用层，提供常用的应用程序及自定义的应用程序，数据传输时用TCP/IP协议来进行；

2、传输层，提供端到端的应用程序之间的通信，可以使用传输控制协议TCP（Transmission Control Protocol）或用户数据报协议UDP（User Datagram Protocol）协议，前者提供可靠传输，传送单位是报文段，后者提供不可靠服务，传输单位是数据报，即分组。此外，传输层另外一个功能就是区别应用程序；

3、网际层，负责计算机之间的通信，采用的协议是IP协议，数据传送单位是分组，向上提供不可靠的传输服务；

4、网络接口层，负责接收数据报，并实现发送，或者接收帧，提取IP数据报，交给互联网层。

（三）OSI模型与TCP/IP体系结构的区别

从前面的分析可以看出OSI模型和TCP/IP体系有许多不同之处，主要体现在问题的处理上面，例如：

1、TCP/IP一开始就考虑的是异构网络的互联问题，并将IP看作是整个体系的重要组成部分，而ISO并没有认识到网际协议IP的重要性，导致最后只能单独划分一个子层来完成IP的作用。

2、OSI最开始只注意到了面向连接的服务，而TCP/IP一开始就注意了面向连接和无连接的并重。相比起来，TCP/IP更注重了数据传输的效率，而OSI则注重了传输的可靠性。

三、传输层的编程接口—Socket编程

（一）Windows套接字的概念

Windows套接字—SOCKET，是为Windows系统开发的一套标准通用支持网络协议数据通信的API，它是网络通信的基础，即TCP/IP的网络编程接口，1994年被定为网络编程标准后，主要经历了Winsock1.1和Winsock2.0两种版本，它产生最终目的是可以适应应用程序开发者、网络服务商的需求，进程通过套接字的通信域来完成通信。需要指出的是，套接字主要负责控制数据的输入与输出，主要在传输层和网络层，屏蔽了数据链路层和物理层[2]。

（二)套接字类型

根据通信性质把套接字主要分为流式套接字和数据报套接字两种。它们的区别在于流式套接字提供双向、有序、无重复的数据流服务，但相对于数据报套接字来说系统开销较大。数据报套接字也支持双向数据流，但并不注重传输可靠性、无重复性和有序性，但它保留了记录边界，由于数据报传输效率较高，所以还是得到了比较广泛的应用。

(三）涉及的几个基本概念

1、字节顺序，不同的计算机采用不同的自己顺序存储数据，所以在这些数据进行通信时需要进行字节顺序的转换，所有传送给网络上套接字函数的IP地址和端口号均按照网络顺序安排，主要由sockaddr_in这个结构规范。特别要注意的是，应用程序建立地址结构之前，用户输入需要将主机序列转换为网络序列（使用htons函数，反之使用ntohs函数）。