一種基于統(tǒng)計(jì)指標(biāo)和 DBMS 的網(wǎng)絡(luò)監(jiān)測分析方法1.doc

精品論文大集合一種基于統(tǒng)計(jì)指標(biāo)和 dbms 的網(wǎng)絡(luò)監(jiān)測分析方法1鄢北軍 1，章洪良 1，曾彬 21 湖南大學(xué)軟件學(xué)院，湖南省長沙市(410082)2 湖南大學(xué)計(jì)算機(jī)與通信學(xué)院，湖南省長沙市(410082)e-mail：摘要：在網(wǎng)絡(luò)監(jiān)測中，對監(jiān)測生成的海量數(shù)據(jù)的進(jìn)行存儲和分析是網(wǎng)絡(luò)監(jiān)測的一大瓶頸， 如何在滿足監(jiān)測要求的前提下減少存儲的數(shù)據(jù)量并簡化分析過程是目前人們非常關(guān)注的問 題。本文從網(wǎng)絡(luò)監(jiān)測的實(shí)際需求出發(fā)，提出一中基于存儲統(tǒng)計(jì)指標(biāo)和 dbms 的網(wǎng)絡(luò)監(jiān)測分 析方法，并且在實(shí)際網(wǎng)絡(luò)中實(shí)現(xiàn)和部署了一個原型。實(shí)際應(yīng)用的效果表明，該方法很好的解 決了網(wǎng)絡(luò)監(jiān)測中的數(shù)據(jù)瓶頸問題。關(guān)鍵詞：網(wǎng)絡(luò)監(jiān)測，統(tǒng)計(jì)指標(biāo)，數(shù)據(jù)庫管理系統(tǒng) 中圖分類號：1引言網(wǎng)絡(luò)監(jiān)測是了解網(wǎng)絡(luò)流量，分析網(wǎng)絡(luò)業(yè)務(wù)性能的重要手段。一套監(jiān)測系統(tǒng)從功能上可以 分為數(shù)據(jù)采集和數(shù)據(jù)分析兩部分。目前對監(jiān)測采集到的數(shù)據(jù)有兩大類處理方法。一是利用平 面文件存儲數(shù)據(jù)，數(shù)據(jù)格式包括二進(jìn)制日志格式、ascii碼文本格式、html格式和xml等 格式。這種方法在數(shù)據(jù)量不大的短期監(jiān)測中適用。但在實(shí)際應(yīng)中對高速網(wǎng)絡(luò)進(jìn)行監(jiān)測，數(shù)據(jù) 量一天就能突破一個tbit1,2。平面文件系統(tǒng)難以對海量數(shù)據(jù)進(jìn)行有效的管理，同時在此基 礎(chǔ)上的后期分析困難，系統(tǒng)擴(kuò)展性差。另一種做法是簡單的利用數(shù)據(jù)庫管理（dbms）系統(tǒng) 存儲管理數(shù)據(jù)，利用數(shù)據(jù)庫系統(tǒng)能較好的解決了海量數(shù)據(jù)難管理的問題，而且分析性能較高， 系統(tǒng)具有一定可擴(kuò)展。但現(xiàn)有的基于dbms監(jiān)測系統(tǒng)消耗存儲空間更多，對硬件資源要求高， 導(dǎo)致監(jiān)測代價太大2,3。為了方便監(jiān)測數(shù)據(jù)的管理，同時簡化分析過程和節(jié)約監(jiān)測成本，本 文提一種基于統(tǒng)計(jì)指標(biāo)和dbms的網(wǎng)絡(luò)監(jiān)測分析方法。該方法對實(shí)時捕獲得到的數(shù)據(jù)包進(jìn)行 在線處理，生成預(yù)先定義好的一系列指標(biāo)，再依周期將這些指標(biāo)錄入關(guān)系數(shù)據(jù)庫；然后通過 關(guān)系數(shù)據(jù)庫完成管理和后續(xù)的分析處理工作。實(shí)際應(yīng)用的結(jié)果表明，本文所提出的方法能在滿足網(wǎng)絡(luò)監(jiān)測要求的前提下，大幅度減少 存儲開銷，并提高了網(wǎng)絡(luò)監(jiān)測系統(tǒng)的性能。本文后續(xù)章節(jié)分為研究背景和相關(guān)工作、方法描 述和原型實(shí)現(xiàn)、功能及性能評估和結(jié)論這四個部分。首先，在研究背景和相關(guān)工作部分簡單 介紹了現(xiàn)有的典型網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)處理方法并分析了他們的不足，解釋網(wǎng)絡(luò)監(jiān)中測數(shù)據(jù)瓶頸的 成因及影響；接下來，在方法描述和原型實(shí)現(xiàn)部分，介紹了本文所提出的新方法的基本思想 和功能流程，并一個原型實(shí)現(xiàn)為例進(jìn)行詳細(xì)說明；第三部分根據(jù)實(shí)際應(yīng)用效果對原型系統(tǒng)進(jìn) 行功能和性能評價；最后，結(jié)論部分總結(jié)本文所提出的方法。2相關(guān)工作目前網(wǎng)絡(luò)監(jiān)測分析系統(tǒng)有很多，大多采用平面文件系統(tǒng)也就是操作系統(tǒng)自帶的文件系統(tǒng) 存儲數(shù)據(jù)，snort4系統(tǒng)就是這樣的典型。snort 基于 libcap5抓包，可以輸出包括二進(jìn)制、 文本、xml 等在內(nèi)的多種格式的記錄文件。其中二進(jìn)制格式也稱為 tcpdump6格式，在網(wǎng) 絡(luò)監(jiān)測中最為普及。該記錄格式將網(wǎng)絡(luò)數(shù)據(jù)包的信息以原始二進(jìn)制形式保存。下面截取了一 個 tcpdump 格式文件的開頭片斷做簡單分析：1本課題得到國家自然科學(xué)基金 (60673155, 60703097)的資助。-2-0008: a1 b2 c3 d4 00 02 00 040008: 00 00 00 00 00 00 00 000016: 00 00 ff ff 00 00 00 010024: 3f 44 32 28 00 0c 2d af0032: 00 00 00 96 00 00 00 960040: 00 06 25 60 f4 c0 00 030048: 93 a7 09 38 08 00 45 000056: 00 88 8e 53 00 00 80 110064: 9d 9d c0 a8 01 66 ca 680072: 81 fd c2 34 1f 40 00 740080: c3 ad 02 08 16 00 22 000088: 10 01 82 5d 90 6f 30 fd0096: 96 3b b1 0f e5 ff 8e 3e其中開始的 24 字節(jié)為文件頭信息，表明該文件是 tcpdump 格式文件。后面就是一連串封裝了的數(shù)據(jù)包，封裝格式從上到下為“應(yīng)用層包-tcp 包-ip 包-鏈路層封裝-tcpdump 格 式文件”。tcpdump 格式的文件非常緊湊，包含的內(nèi)容也很豐富，但對存儲空間的消耗大的 驚人。 在一條滿負(fù)載的 oc-192 鏈路中，按平均包大小 550byte,存儲包頭 28byte 計(jì)算。 tcpdump 格式文件理論上將以 130mbyte/s 速度增長。雖然實(shí)際網(wǎng)絡(luò)流量不會這么大，但即 使以 1m/s 的速率增長也太快了,一天的監(jiān)測數(shù)據(jù)就需要消耗掉一個普通硬盤的存儲空間。其 它基于平面文件的存儲格式如文本格式，xml 格式只是對 tcpdump 格式內(nèi)容做了簡單“翻 譯”，對存儲空間的要求甚至還高一些。利用平面文件存儲監(jiān)測數(shù)據(jù)除了消耗存儲空間巨大 外，數(shù)據(jù)管理分析性能也成問題，因?yàn)樗形募拿痛娣怕窂竭x擇往往需要人工參與。 隨著監(jiān)測的持續(xù)，數(shù)據(jù)文件越來越多，文件重復(fù)命名路徑錯誤等人工出錯的概率也隨之增 大。在數(shù)據(jù)分析過程中，分析往往程序需要某個特定數(shù)據(jù)段。而文件系統(tǒng)是數(shù)據(jù)流的形式記 錄數(shù)據(jù)的，定位數(shù)據(jù)需要一次線性掃描，加上文件數(shù)量多又沒有組織，使分析過程開銷增大， 降低整體分析性能。針對平面文件系統(tǒng)難以管理海量數(shù)據(jù)等問題。近年來有不少監(jiān)測系統(tǒng)開始利用數(shù)據(jù)庫管 理系統(tǒng)（dbms）替代平面文件系統(tǒng)。其中 intrabase3是一種全基于 dbms 的網(wǎng)絡(luò)監(jiān)測分 析方法。它將 tcpdump 格式等形式的文件經(jīng)過一個過慮模塊轉(zhuǎn)換成關(guān)系數(shù)據(jù)表記錄的形式， 然后錄入數(shù)據(jù)庫。數(shù)據(jù)表是事先計(jì)好的，過濾模塊根據(jù)數(shù)據(jù)表的設(shè)計(jì)來轉(zhuǎn)換數(shù)據(jù)。下圖 1 展示了轉(zhuǎn)換 tcpdump 數(shù)圖 1 intrabase 核心表fig1 intrabase kernel table據(jù)文件時的數(shù)據(jù)庫的核心數(shù)據(jù)表設(shè)計(jì)。其中表 connect 用來保存鏈路連接信息，該表由一個四元組(源地址 ip，目的地址 ip，源端口和目的端口)確定一個連接，id 主鍵同時作為packets 表的外鍵。表 packets 以時間戳做主鍵，余下字段除 connid 之外，分別對應(yīng) tcp 包頭中的序列號，數(shù)據(jù)長度，標(biāo)志符，窗口，ack 信息等內(nèi)容。以這種方式，網(wǎng)絡(luò)中每一個tcp 包對應(yīng)于 packets 表中的一條記錄。除了核心數(shù)據(jù)表外，還可以根據(jù)需要增加其他輔助 表。intrabase 完全將數(shù)據(jù)由數(shù)據(jù)庫系統(tǒng)來托管。同時，可以利用聚簇，索引，并行檢索， 數(shù)據(jù)表分區(qū)等數(shù)據(jù)庫優(yōu)化技術(shù)，使得數(shù)據(jù)的查找分析能在短時間內(nèi)完成。一定程度上解決了 監(jiān)測數(shù)據(jù)不便管理的問題。同基于平面文件的監(jiān)測系統(tǒng)比較，intrabase 的分析過程不需要 額外的工具，簡單的編寫 sql 語句就能得到在在二進(jìn)制格式下不能直接獲得的信息。例如 統(tǒng)計(jì) tcp 包總流量，interbase 系統(tǒng)中只要一個簡單的“selecet sum(nnbyte) from packets”語句。又因?yàn)?sql 是國際標(biāo)準(zhǔn)化的，系統(tǒng)可以在各種數(shù)據(jù)庫間移植，有良好的 通用性和擴(kuò)展性。不過 interbase 的作者也指出，保存同等信息的情況下，interbase 系統(tǒng)占 用的存儲空間是二進(jìn)制格式文件的 1.5 倍左右。所以目前簡單的應(yīng)用 dbms 只能一定程度 上緩解海量監(jiān)測數(shù)據(jù)管理困難的問題。綜上所述，非常需要一種方法，可以在保證滿足網(wǎng)絡(luò)監(jiān)測分析要求的前提下，大幅減少 監(jiān)測數(shù)據(jù)，使系統(tǒng)便于管理，提高監(jiān)測性能。3.改進(jìn)方法和原型系統(tǒng)3.1 基于統(tǒng)計(jì)指標(biāo)和 dbms 的方法本文的方法也是是基于數(shù)據(jù)庫的，數(shù)據(jù)庫在數(shù)據(jù)存儲管理方面有一般文件系統(tǒng)不具備的 優(yōu)勢。首先文件系統(tǒng)的管理人工參與程度較高，管理自動化程度底，容易出現(xiàn)數(shù)據(jù)訛誤。在 數(shù)據(jù)庫技術(shù)中，用戶無需關(guān)心數(shù)據(jù)存儲管理的底層細(xì)節(jié)，可以集中精力在網(wǎng)絡(luò)監(jiān)測業(yè)務(wù)本身。 其二，文件系統(tǒng)用字節(jié)流形式保存數(shù)據(jù)，不知道數(shù)據(jù)間的關(guān)系，查找和插入的效率底。而數(shù) 據(jù)庫用多叉樹的結(jié)構(gòu)組織數(shù)據(jù)，并提供索引、分區(qū)等技術(shù)大大提高了數(shù)據(jù)操作效率。關(guān)系數(shù) 據(jù)庫技術(shù)已經(jīng)發(fā)展了 40 多年，既有完備的理論體系又有很多成熟的商業(yè)產(chǎn)品，是目前應(yīng)用 最廣和最可靠的數(shù)據(jù)存儲技術(shù)。雖然本文所提出方法基于關(guān)系數(shù)據(jù)庫，但是在 dbms 中所保存的并非是傳統(tǒng)方法中的 數(shù)據(jù)包記錄信息，而是預(yù)先定義好的周期性統(tǒng)計(jì)信息。圖 2 展示了基于統(tǒng)計(jì)指標(biāo)和 dbms 監(jiān)測系統(tǒng)的框架。圖 2 改進(jìn)方案架構(gòu)圖fig2 improved sketch diagram其中，探針直接接入被測鏈路，以被動監(jiān)測的方式偵聽數(shù)據(jù)表，并根據(jù)控制臺下達(dá)的命令來捕包，然后將處理結(jié)果傳回給控制臺。探針可以同時有很多個，一般是一個被測鏈路 對應(yīng)一個探針?？刂婆_是用戶與系統(tǒng)交換的接口，負(fù)責(zé)向探針下達(dá)監(jiān)測任務(wù)，接受監(jiān)測數(shù)據(jù) 并寫入數(shù)據(jù)庫。控制臺同時兼有實(shí)時顯示和數(shù)據(jù)分析功能。數(shù)據(jù)庫存儲并管理監(jiān)測數(shù)據(jù)和系 統(tǒng)的全局信息。-7-進(jìn)行監(jiān)測時，首先由用戶根據(jù)監(jiān)測需求確定相關(guān)的統(tǒng)計(jì)指標(biāo)和統(tǒng)計(jì)周期的時長，向控制臺輸入?yún)?shù)。控制臺選擇正確的探針并向它下達(dá)監(jiān)測指令。探針接受指令將每一個指標(biāo)映射 為內(nèi)存變量，在統(tǒng)計(jì)周期開始時這些變量歸零。探針解析所有捕的數(shù)據(jù)包并將結(jié)果累加到對 應(yīng)的變量上。一個周期結(jié)束時，將指標(biāo)的累計(jì)值傳回控制臺，然后指標(biāo)歸零開始下一輪周期。 控制臺對接受的數(shù)據(jù)簡單整理后直接寫入數(shù)據(jù)庫。數(shù)據(jù)總量只與指標(biāo)數(shù)據(jù)和周期時長有關(guān)。 分析過程也相當(dāng)簡單，用戶通過控制臺或其它 sql 工具向數(shù)據(jù)庫發(fā)送命令和 sql 語句就能 得到結(jié)果。3.2 實(shí)現(xiàn)原型基于上述的方法，采用 oracle9i 數(shù)據(jù)庫，我們實(shí)際開發(fā)了一套基于統(tǒng)計(jì)指標(biāo)和 dbms 的網(wǎng)絡(luò)監(jiān)測分析系統(tǒng)。它可以完成一些網(wǎng)絡(luò)監(jiān)測的簡單功能，其主要用于監(jiān)測和分 析實(shí)際網(wǎng)絡(luò)中依據(jù)各層協(xié)議的流量構(gòu)成和變化趨勢情況。其中，具體的協(xié)議層次包括數(shù)據(jù)鏈 路層（mac），網(wǎng)絡(luò)層（ip），傳輸層（tcp 和 udp）。如圖 3 所示，其給出了在關(guān)系數(shù)據(jù)庫 中 tcp 層所包含指標(biāo)對應(yīng)的數(shù)據(jù)表設(shè)計(jì)。tcp_protlinkinfopk p_time pk linkid pk prot_idperiod in_packet out_packet in_byte out_bytepk linkidsorce_ip des_ip sorce_prot des_ip bandidth otherstcp_prot_listpkprot_idprot_name others圖 3 tcp 層數(shù)據(jù)表設(shè)計(jì)fig3 the design of tcp data table表 linkinfo 保存全部被監(jiān)測的網(wǎng)絡(luò)鏈路信息，是一個全局表。表 tcp_prot_list 是輔助表，一個協(xié)議 id 對應(yīng)一個具體的 tcp 上層協(xié)議。表 tcp_prot 是用來保存 tcp 層以上協(xié)議流量 信息的主表，由時間戳和鏈路 id，協(xié)議 id 組成聯(lián)合主鍵。其中鏈路 id 和協(xié)議 id 是外鍵， 分別與 linkinfo 表和 tcp_prot_list 表關(guān)聯(lián)。每條記錄表示一個 tcp 層上具體協(xié)議在一個統(tǒng) 計(jì)周期內(nèi)的流量累計(jì)值。mca 層，ip 層，udp 層數(shù)據(jù)表設(shè)計(jì)與圖 2 類似，所以對應(yīng)還有數(shù) 據(jù)表 mac_prot, ip_prot,udp_prot, mac_prot_list, ip_prot_list, udp _prot_lis。所有 list 表中的每 個記錄將在數(shù)據(jù)采集過程中對應(yīng)一個指標(biāo),數(shù)據(jù)采集流程如下圖 4，表 1 列出了確定的具體 的統(tǒng)計(jì)指標(biāo)。圖 4 數(shù)據(jù)采集流程圖fig4 data capture process表 1 原型統(tǒng)計(jì)指標(biāo)tab.1 system metricslist 表確定的指標(biāo)mac_prot_listip,arp,mpls,gsmp,x25,ppp,802.1ip_prot_listtcp,udp,icmp,ospf,isis,egp,gre,mtp,sp,igrp,micptcp_prot_listhttp,ssh,ftp,smtp,rap,telnet,h323,sockets,httpsudp _prot_lissnmp,udns,nfs,netbios,rip,tftp,uldp,uwins為了便于理解，我們以一個封裝了 http 協(xié)議內(nèi)容的數(shù)據(jù)包來演示該流程。該包的封裝形式如下：負(fù)載http 頭tcp 頭mac 頭探針捕包后由外向內(nèi)進(jìn)行解析，首先分析 mac 包頭信息，得知這個 ip 包，在統(tǒng)計(jì)指標(biāo)中，將 ip 包個數(shù)加 1，將 ip 協(xié)議流量加上對應(yīng)得值。然后分析 ip 頭并將 tcp 包個數(shù)加 1，tcp 協(xié)議流量加上對于得值。最后分析 tcp 頭，并累加 http 協(xié)議指標(biāo)的信息。到此對這個數(shù)據(jù)包 的在線處理結(jié)束，拋棄該包接著處理下一個。周期結(jié)束時，由探針將各個統(tǒng)計(jì)指標(biāo)值發(fā)給控 制臺?？刂婆_在接受到數(shù)據(jù)后打上時間戳并加上鏈路 id 和協(xié)議 id，然后分別錄入數(shù)據(jù)表 mac_prot_list，ip_prot_list，tcp_prot_lis。4功能和性能評估我們從存儲空間開銷、數(shù)據(jù)分析和數(shù)據(jù)管理、通用性可擴(kuò)展性這三方面分析對我們的系 統(tǒng)進(jìn)行評估。4.1 存儲空間開銷應(yīng)用基于統(tǒng)計(jì)指標(biāo)和 dbms 的方法能有效減少數(shù)據(jù)冗余，減少存儲空間的開銷，從而 解決網(wǎng)絡(luò)監(jiān)測中因數(shù)據(jù)量大引起的存儲處理困難的問題。首先從理論上分析，以往不利用統(tǒng)計(jì)指標(biāo)的方法，無論時基于平面文件還時數(shù)據(jù)庫，本 質(zhì)上都是對數(shù)據(jù)包逐一記錄。我們把存儲空間消耗記為 space,網(wǎng)絡(luò)速率記為 traffic，網(wǎng)絡(luò)數(shù) 據(jù)包個數(shù)記為 pacekts_count,監(jiān)測持續(xù)時間為 t。數(shù)學(xué)符號 表示正比例的線性關(guān)系，則有 列關(guān)系存在：spacepacekts_counts pacekts_counttraffictspacetraffict由前面兩個關(guān)系可以推導(dǎo)出第三個關(guān)系，即監(jiān)測數(shù)據(jù)所占存儲空間與網(wǎng)絡(luò)總流量成正 比。如果使用統(tǒng)計(jì)指標(biāo)的方法，假設(shè)統(tǒng)計(jì)周期時長為 period,統(tǒng)計(jì)指標(biāo)個數(shù)為 number,則有：spacenumbert/period存儲空間與網(wǎng)絡(luò)帶寬無關(guān)，與指標(biāo)個數(shù)和統(tǒng)計(jì)頻率成正比。圖 5 是一天的實(shí)際監(jiān)測結(jié)果， 可印證上述分析。1008060402001:00 5:00 9:00 15:0017:0021:00線3 線2線1圖 5 實(shí)際監(jiān)測結(jié)果fig5 actual measurement result圖中 x 軸表示時間，y 軸表示數(shù)據(jù)量。其中矩形的點(diǎn)表示某個時刻被測鏈路的實(shí)際流量，所以線 2 代表鏈路實(shí)際網(wǎng)絡(luò)流量。菱形點(diǎn)表示某個時間點(diǎn)后監(jiān)測 60 秒生成的 tcpdump 格式數(shù)據(jù)文件大小，線 3 可以表示 tcpdump 格式文件存儲空間消耗速率。這兩條線變化情況 一致，說明存儲空間與網(wǎng)絡(luò)流量呈線性正比例關(guān)系。圖中三角行的點(diǎn)表示我們的原型系統(tǒng)在 某個時間點(diǎn)占據(jù)的累計(jì)存儲空間大小，它呈直線緩慢增長且不受網(wǎng)絡(luò)流量波動影響。3.2 數(shù)據(jù)分析和數(shù)據(jù)管理已實(shí)現(xiàn)的原型系統(tǒng)具有較強(qiáng)的分析功能，而且分析過程簡單。目前已具備的功能有：分析表 1 中列出的全部協(xié)議的網(wǎng)絡(luò)流量隨時間變化情況。分析網(wǎng)絡(luò)流量組成，各個協(xié)議流量百分比。分析被測鏈路總流量分布情況，帶寬利用率變化情況。比較各鏈路流量情況。此外我們打算擴(kuò)展熱點(diǎn)協(xié)議分析，如對 p2p 和 voip 協(xié)議和業(yè)務(wù)流分析等功能。并朝著 監(jiān)控發(fā)展，不僅僅能監(jiān)測網(wǎng)絡(luò)，而且能根據(jù)監(jiān)測分析結(jié)果自動對網(wǎng)絡(luò)進(jìn)行調(diào)整。分析過程不需要第三方工具，全部用標(biāo)準(zhǔn) sql 語句實(shí)現(xiàn)。部分分析代碼以存儲過程的 形象駐留在數(shù)據(jù)庫上，可減少編譯次數(shù)，提高分析性能。在數(shù)據(jù)管理方面，由 oracle 數(shù)據(jù)庫管理組織數(shù)據(jù)并自動生成索引。索引用樹的數(shù)據(jù)結(jié)構(gòu) 組織，定位數(shù)據(jù)的代價與數(shù)據(jù)量是的關(guān)系。同時通過對幾個數(shù)據(jù)量大主表按時間分區(qū)，可 以進(jìn)一步減少分析過程中的數(shù)據(jù)掃描時間。3.3 通用性和擴(kuò)展性該系統(tǒng)是一個通用監(jiān)測平臺，具有良好的可擴(kuò)展性。整個系統(tǒng)基于數(shù)據(jù)表和指標(biāo)統(tǒng)計(jì)值， 各個指標(biāo)之間沒有直接的依賴關(guān)系。所以當(dāng)有新的監(jiān)測任務(wù)或監(jiān)測內(nèi)容有所更改時，只需更 改或增加新的指標(biāo)即可。在分析階段，編寫新的 sql 語言也是非常簡單的。綜上所述，基于統(tǒng)計(jì)指標(biāo)和數(shù)據(jù)庫的監(jiān)測分析方法能在滿足監(jiān)測需求的前提下，解決網(wǎng)絡(luò)長期監(jiān)測中數(shù)量過大的問題，并簡化分析過程，節(jié)約監(jiān)測成本。4總結(jié)本文針對網(wǎng)絡(luò)長期監(jiān)測中數(shù)據(jù)量過大導(dǎo)致存儲和處理困難的問題，提出一種基于統(tǒng)計(jì)指標(biāo)和 dbms 的網(wǎng)絡(luò)監(jiān)測分析方法。與已有方法相比具有如下優(yōu)勢：需求驅(qū)動，保存統(tǒng)計(jì) 指標(biāo)信息的做法大幅度減少數(shù)據(jù)冗余方便數(shù)據(jù)管理，簡化分析過程，可以建立一個通用網(wǎng) 絡(luò)監(jiān)測平臺，在其基礎(chǔ)上可以進(jìn)一步實(shí)現(xiàn)監(jiān)控功能降低網(wǎng)絡(luò)監(jiān)測的硬件成本。當(dāng)然我們的 方法要求系統(tǒng)有很強(qiáng)的在線抓包和處理能力，我們也在做這方面的努力并有了一定的進(jìn)展。 總的來說，基于統(tǒng)計(jì)指標(biāo)和 dbms 的方法能夠在中低端磁盤和內(nèi)存配置的情況下完成對網(wǎng) 絡(luò)進(jìn)行長期的持續(xù)監(jiān)測，降低了監(jiān)測成本。參考文獻(xiàn)1 v.paxson, “experience with internet traffic measurement and analysis”, lecture at nttresearch, february2004.2s.b.moon and t.roscoe, “metadata management of terabyte datasets from an ip backbone network: experience andchallenges”, in processing of workshop on network-related data management (nrdm), 2001.3 m.siekkinen, e.w.biersack, g.urvoy-keller, v.goebel and t.plagemann “intrabase: integrated trafficanalysis based on database management system” inforcom 2005. 4 snort: 5 libcap: 6 tcpdump:a measure and analysis method for network based onstatistical information and dbmsyan beijun 1，zhang hong-liang 1，zeng bin 21 software college of hunan univer