一种基于网络业务流的流量监测分析算法 谢鲲’.张大方".谢高岗+.文吉刚’.黎文伟’ ’(湖南大学计算机与通信学院.湖南长沙$’##&", "(湖南大学软件学院.湖南长沙$’##&", +(中科院计算技术研究所.信息网络研究室.北京.’####&, 4%5678!97:;<=>?=<-@= 摘要!基于业务流的统计信息直接反映用户行为.最繁忙业务流获取与分析.对于网络流量分析和故障定位有指导作用-文 章通过分析数据帧到来对哈希表的影响.借助一个记录表.对哈希表中的业务流进行排序.大大减少排序中的比较次数.提高监 控系统处理性能- 关键词!业务流0排序0网络监测 中图分类号!A3+/+文献标识码!B文章编号!’###%’""#("##),#’%##$)%#$ CDEFFGHIJKGLJDGKMEKNOKEPQRGROPMJDGLSTUERVNJKCDEFFGHWPJX YZ4[<=’.\]B^_‘6%a6=b".YZ4_6c%b6=b+.d4^e7%b6=b’.fZd:=%g:7’ ’(hijkklkmnkopqrstuvwnkooqvxiurxkv.yqvuvzvx{st|xr}.njuv~|ju$’##&".njxvu, "(hijkklkmhkmr!uts.yqvuvzvx{st|xr}.njuv~|ju$’##&".njxvu, +("vmktourxkv#$sr!kt%&u’."v|rxrqrskmnkopqrxv~(sijvklk~}.njxvs|s)iuwso}kmhixsvis|.*s+xv~’####&.njxvu, O,RLDEHL!A?:-.6.7-.7@7=ac/56.7c=06-:1c=./6aa7@a8cg17/:@.82/:a8:@.-.?:=:.gc/;<-:/3-0:?647c/-A?:6@5<7/:5:=.6=1 6=682-7-ca./6aa7@a8cgAc6A68;:/6/:b<71:ac/./6aa7@6=682-7-6=1./c<08:-?cc.7=b-A?7-666:/6=682-:-.?::aa:@.ca6//747=b 66@;:.-.c.?:?6-?.608:.<-:6/:@c/16//62.c-c/..?:./6aa7@a8cg.g?7@?b/:6.82/:1<@:.?:@c566/7=b.75:-6=1756/c4:.?: 5c=7.c/-2-.:56:/ac/56=@:- 7VQXJDNR!./6aa7@a8cg0-c/.7=b0=:.gc/;5c=7.c/7=b 8引言=业务流的定义 业务流是被观测数据帧组的人为定义.相当于一次呼叫 随着网络的不断发展.网络用户迅猛增加.各种新的网络 或者一次连接-选择合适的业务流规范是一种挑战- 应用2服务2标准和协议层出不迭.网络行为如路由2丢包2排 ;A>?9’*:定义了很多流规范;><.<86aa29/:定义业务流参数 队等使得网络流量机制呈现极度复杂化-传统的以数据帧9’%): 主要有 为基础网络分析已经不能满足基于应用的网络流量分析的需! 6-业务流的方向性.可以是单方向的(B%@A,.规定(B% 求.尤其是不能满足高速网络协议分析9*:的要求-基于业务流 @A,的数据帧属于同一个业务流.也可以定义为双方向(B% 的网络分析是网络监测技术发展的新方向-业务流是从数据 @A0A%@B,.两个方向的数据帧属于同一个业务流- 帧中抽象而来的概念.是被观测数据帧组的人为定义.相当于 0-业务流的端点粒度.可以是某项具体的应用2端用户2 一次呼叫或者一次连接-该概念最早来源于e67=6=1;c<.?7:/ 主机名2网络Z3地址2自制域(B‘,2甚至是网络服务提供商 的令牌环66@;:../67=9&:-<86aa29/:将业务流定义为符合一定规 (ZB3,- 范的数据帧集合和超时时间戳-关于业务流的研究主要集中 @-协议特征!具有明显协议特征的连接流如A<3(开始 在业务流结束判定算法9’#.’’:通过采样后业务流来进行原始 .BC^.结束>Z^,- 流评估和预计9’".’+:而对于业务流的计数和统计算法的研究 .基于业务流的网络分析方法.是基于数据帧的分析方法 较少文中提出了一种根据统计需要的个最大流量业务流 .=的抽象.用一种结构的观念将符合条件的一组数据帧进行观 排序算法该算法在业务流哈希匹配的基础上针对每到来一 ..测.这种参数化和高弹性业务流可以进行用户行为2专门应用 个新的数据帧只改动业务流哈希表中一条记录借助一个记 ..的分析- 录数组.进行最繁忙的业务流排序-除了上面的业务流参数.还需要定义业务流结束判定原 收稿日期!"##$%#&%’&基金项目!国家自然科学基金项目()#"*+#*#,资助-作者简介!