网络流量分析

网络流量分析概述

摘要

Internet自60年代出现以来发展迅猛,网络规模飞速膨胀,网络流量越来越大,网络信息对人们生活的影响也越来越深远,然而网络中P2P等应用正在大量的消耗网络的带宽资源,从而影响了关键业务的正常展开。因此,通过对网络中的各种业务流量进行分析,建立合适的预测模型就成为网络发展的必要。通过分析,能及时的发现网络中的异常,从而使得网络管理更主动,为网络的持续高性能运行提供主要的保障,为规划、设计网络提供科学依据。

本文首先介绍网络流量数据采集方法，通过分析他们的优缺点让读者对网络数据采集技术有一个初步的了解。然后本文介绍了两种基于不同技术的网络流分类方法: 深度数据包检测技术（DPI）和深度/动态流检测技术(DFI)。在DPI中，主要介绍AC状态机模式匹配算法实现多关键字的快速匹配。而DFI是基于流特征向量的分类方法，本文主要介绍分析了朴素贝叶斯方法。在特征选择方面，介绍了运用相关度和快速的过滤器选择方法（FCBF）来对特征进行筛选,得出有利于分类的特征子集，同时还可以去掉不相关或冗余特征，增加分类的准确性。最后，本文介绍了如何把网络流量分析的结果应用到入侵检测中,以发现网络中的异常。

目录

摘要 (1)

一、网络流量分析概述 (3)

1.1网络流量分析背景 (3)

1.2网络流量分析定义 (3)

1.3网络流量分析目的 (4)

1.4网络流量分析意义 (5)

二、网络流量采集 (6)

2.1 网络流 (6)

2.2 网络流的特性 (6)

2.3 网络流量采集介绍 (6)

2.4 主流网络流量采集技术 (7)

2.4.1 基于网络流量全镜像的采集技术 (7)

2.4.2 基于SNMP的流量采集技术。 (7)

2.4.3 基于 Netflow/sFlow的流量采集技术。 (8)

2.4.4 基于干路中桥接设备的采集技术 (9)

2.4 网络流量采集技术的对比 (10)

三、网络流量分析 (11)

3.1 基于DPI的网络流量分析技术 (11)

3.1.1 DPI提出的背景 (11)

3.1.2 DPI技术研究 (11)

3.1.3 AC自动机算法 (13)

3.1.4 DPI总结 (15)

3.2 基于DFI的网络流量分析技术 (16)

3.2.1 DFI的提出 (16)

3.2.2 基于DFI技术的方法的基本原理 (16)

3.2.3朴素贝叶斯分类器 (16)

3.2.4改进贝叶斯—FCBF（A Fast Correlation-Based Fliter）： (17)

3.2.5其他应用DFI技术的模型 (18)

3.3 DPI和DFI的对比： (19)

四、网络流量分析之应用：入侵检测 (20)

4.1入侵检测的基本定义以及方法 (20)

4.2网络流量在异常检测系统中的应用 (21)

4.2.1 特征参数的选取 (21)

4.2.2特征参数变化的提取 (21)

4.2.3.网络流量异常的判断 (22)

五、全文总结 (23)

参考文献 (24)

一、网络流量分析概述

1.1网络流量分析背景

随着网络应用日趋复杂化,网络流量不断增长并且呈现多样化,如何更好的满足用户对各类Internet业务服务质量越来越精细的要求,这是目前面临的关键问题。因此,通过对网络中的各种业务流量进行分析,建立合适的预测模型就成为网络发展的必要[1]。

网络流量是记录和反映网络及其用户活动的重要载体。通过对网络流量的统计分析,可以间接掌握网络的使用情况，从而为做出决策提供有力依据。

1.2网络流量分析定义

网络流量是单位时间内通过网络设备或传输介质的信息量(报文数、数据包数或字节数)。网络流量分析指的就是根据不同的方法从不同的侧面对网络流量展开的分析。

网络的作用是传输应用数据，应用数据在网络中传输过程在OSI 协议模型中的描述如下图:

图1-1 OSI 传输模型

在OSI 传输模型中，发送方的应用数据由下层协议逐层处理，最后通过物理层传输，接收方则逐层向上处理从物理链路上接收的信号，最后还原成应用层数据。

一个Web 应用数据在OSI 模型中的网络数据传输处理过程如下图:

图1-2 Web 应用的数据处理

从上图我们可以看出，应用数据在应用层采用HTTP 协议，在传输层被分段，在网络层封包，在数据链路层封帧，由物理层传输，由每一层进行处理，按照相应的协议进行封装。

网络流量的分析就是对在网络中传输的实际数据流进行分析，网络数据流的分析包括从底层的数据流一直到应用层的数据的分析，有的时候也称之为网络协议分析。

1.3网络流量分析目的

简单的说，对网络流量进行分析的目的是了解、发现和证明。

了解，管理好一个网络最重要的就是对网络的了解，了解网络拓扑、设备、配置等是必须的，但要保证网络的服务质量，那是远远不够的，对网络流量的分析能使网络技术人员更深入地了解网络。

1. 网络运行规律的了解。

每个网络都有自身的运行规律，这和网络的结构、应用特点等紧密相关，通过流量的长期分析，能够了解网络系统运行的规律。

2. 网络应用运行规律的了解。

网络上重要的应用在运行时，每一个访问，每一个交易处理，数据都由网络来传输，通过分析应用的流量，能够清楚的了解应用运行的规律，访问量、交易处理数量、响应性能等数据，都可以通过流量分析手段获取。

3. 网络用户的网络行为。

每个网络用户的网络行为都是相互影响的，同时会对网络的运行产生影响，伴随每个用户在网络中的每个网络行为都有网络流量产生，通过对网络用户的网络流量进行分析，能够直观地了解网络用户的网络行为。

发现，主要是异常地发现是建立在了解的基础之上的，如果能做到及时地发现网络中的异常，将使网络管理更主动，将为网络的持续高性能运行提供重要的保障（异常流量丢包严重）。

1. 网络运行异常的发现。

网络中流量的异常，包括利用率、数据包数的异常。

2. 网络应用运行的异常发现。

连接数量、应用响应、应用流量的异常，都可以通过长期主动分析来及时发现。

3. 网络用户的异常网络行为。

异常的网络行为也都有明显的流量特征，如感染的蠕虫病毒、安装了后门程序等，长期流量分析能及时的发现网络用户的这些异常网络行为，及时发现网络用户的异常网络行为是避免其影响网络运行的关键。

证明，网络流量的分析可以为网络和应用问题的分析提供依据，特别是数据包级的分析，而这些依据是真实的，因为它们是实实在在的在网络中传输的数据包，这也是流量分析能够大大提高网络和应用问题分析效率的原因。

1.4网络流量分析意义

网络流量分析是有助于维护网络持续、高效和安全运行的一种手段，网络流量分析的意义在于取得对网络运行管理、应用运行管理和网络应用问题分析有意义的数据。这些数据多种多样，像是利用率、bps、pps 还是延迟、重传、连接数量等这些流量分析的数据，都要和我们实际的网络应用运行情况结合起来才有意义，因为不同的网络和不同的应用都有完全不同的流量数据。

网络流量分析的数据的意义是建立在了解的基础上的，只有对网络和应用的深入了解，才能使这些数据的价值得到真正的体现。

二、网络流量采集

2.1 网络流

网络流就是一组具有相同特性的IP包，这些特性包括源/目的IP，源/目的端口，传输层协议，TOS字段等。通常把前面5个特性成为5元组[2]。

网络流故名思议有一个持续的时间，网络流可以持续很长，也可以很短，而且同一个数据包可以属于不同的网络流。

2.2 网络流的特性

网络流的五大特性，分别是自相似性，长相关性，周期性，混沌性和多分形性。

自相似是指局部的结构与总体的结构相比具有某种程度的一致性,举个例子，有个人篮球打的很厉害，那么他打其他球应该也不错。

长相关性意味着未来的统计信息蕴含在过去和现在的信息之中，它反映了自相似过程中的持续现像。比如通过流量监控发现，一个人星期1，2，3都是晚上8点-10点上网，那么通过长相关性可以推断他星期4也是这个时间段上网。

周期性反映网络流量时间序列随时间变化而表现出来的一种季节性变化规律，它可能是由于流量数据的周期采集引起的,也可能是人们上网的行为习惯引起的。比如有个人每周1-4都是晚上8-10点上网，但周末都是9点上到12点，这可能就是这个人上网的习惯引起了网络流的周期性。

混沌性是指确定的、宏观的非线性系统在一定条件下所呈现出的不确定的或者不可预测的随机现象。比如小明每天都是8-10点上网，但也有时也会9点才上网，这就是确定中的不确定现象。在预测研究中只要能恢复出流量时间序列的混沌吸引子,就可以通过寻找预测状态点的邻域状态点与其后续状态点的函数关系,作为预测函数,实现流量预测。

最后是多分形性，又称为多重分形测度。多分形还没有一个明确的定义。笼统的说，分形是大小碎片聚集的状态，是没有特征长度的图形构造以及现象的总称。我们的理解是：网络流往往是纷繁复杂的，我们很难单一用泊松或者正态函数来精确地描述这过程,多分形延伸了网络流量中的自相似(自相似即单分形)行为,多分形性质解释网络流许多令人困惑且杂乱无章的现象。描述局部时间内网络流量的不规则现象时更加灵活。

由于网络流具有上面的特性，我们进行网络流采集时要注意考虑网络流的特性，才能保证采集的正确性以及完整性。

2.3 网络流量采集介绍

网络流量的采集是网络研究的重要部分，它是网络流量分析的必要前提；同时，网络流量的采集使得网络管理员能够监控网络负载，发现网络故障的位置，从而制定网络管理策略。

理想的数据采集方式应该具备以下一些特点:

1．不影响数据流转发的速度

在整个数据流的采集过程中,不能有明显影响数据流转发速度的状况发生。如果在数据采集的过程中,数据流转发的速度明显下降,不能真实地反映网络流量状况,这违背数据采集的根本目的。

2．占用资源小

对数据流进行采集的过程中,可能需要在路由器(交换机)中进行流量统计,并且储存所采集数据。这会给路由器(交换机)带来额外的资源开销。理想的流量采集方法应该尽可能少占用资源,在采集效果和资源占用之间寻求一个平衡点。

3．完整的数据流监控

一个理想的数据采集方法应该具备完整的数据流监控能力。在网络发生拥塞的时候,能不能采集到完整的流量信息,是考察数据采集方法的一个重要标准。

4．分布式的数据采集

分布式的数据采集有利于实现校园网内部的数据流量监控和管理。

2.4 主流网络流量采集技术

现在的网络流采集方式主要分为四种:基于网络流量全镜像的采集技术、基于SNMP的采集技术和基于Netnow/sFlow等通过采样减少分析数据的采集技术以及基于干路中桥接设备的采集技术

2.4.1 基于网络流量全镜像的采集技术

网络流量全镜像采集是目前主要采用的网络流量采集模式，大部分的IDS(Intrusion Detection Systems 入侵检测系统)就是如此。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备，实现网络流量的无损复制和镜像采集。和其它的采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。

此方法的优点是实施最为简单,几乎不会对网络中数据传输的延时造成任何影响.缺点是由于数据采集机要捕获所有的数据流信息并对之加以分析,因此这种方法对数据采集机的处理能力要求很高。此外,由于这种方式是对整个IP数据包进行抓取后再进行处理,必然导致数据量过于庞大,对于后续的数据处理工作带来不便。

2.4.2 基于SNMP的流量采集技术。

基于SNMP的流量信息采集，实质上是通过提取网络设备Agent提供的MIB(管理对象信息库)中收集的一些具体设备及流量信息有关的变量。在路由器中启动流量统计功能,使其记录下所有流量的源地址、目标地址、数据包数量和字节数。另外一台采集数据的机器通过SNMP协议定期到路由器上去将流量统计信息读取回来,从而获得详细数据。

此方法的优点是流量信息准确,信息获取方便。同时,由于使用SNMP协议进行数据获取,具有很好的通用性和可移植性。因此这种方法的应用非常广泛。缺点是在路由器上运行流量统计功能,会影响路由器对数据包处理的效率,增加路由器的CPU和内存负载,不可避免的对网络性能带来一定的影响。因此,这种方法并不适合在网络和核心层部署,适合在网络的边界处进行流量采集。

MRTG是基于SNMP的免费软件，可以通过Web实时向用户提供多种统计时长的统计

图表及关键节点性能状况。图中就是MRTG统计的每个设备的流量情况（以报表形式输出）：

图2-1 基于SNMP的开源软件MRTG

可以看到基于SNMP的流量采集技术主要是在宏观的角度对网络流进行统计，使网络管理员可以掌握整个网络的运行状况。

2.4.3 基于 Netflow/sFlow的流量采集技术。

NetFlow是思科公司提出的一种数据交换标准，而sFlow是对NetFlow的改进，是基于标准的最新网络导出协议（RFC 3176）。他们的原理是：路由器和交换机中实现的基于流统计的方法。流量信息在路由器或交换机内部通过专门的模块生产流一记录，再将流一记录上报到设备外部的统计系统进行进一步统计和分析。Netflow和sFlow一般在实际应用时都进行采样统计。

优点：在进行数据交换的同时对数据流信息进行统计,并将统计信息以特定的格式输出。

缺点：必须进行一定的采样，否则对路由器和交换机设备的处理能力有较大压力。

NetFlow Analyzer是一款专业的带宽监控与流量协议分析软件，帮助用户了解网络流量构成、协议分布以及用户的行为。图1显示了各设备的速率的排行。

图2-2 基于Netflow的流量监控软件NetFlow Analyzer

2.4.4 基于干路中桥接设备的采集技术

基于干路中桥接设备的采集技术是在网络的出口链路中，串联具有数据过滤/转发功能的设备，例如：网关计费服务器、防火墙等

优点：对数据的捕获能力强并具有控制能力，可以捕获不同网段的数据，不需要主干交换设备支持

缺点：对设备的处理能力要求高，容易造成网络瓶颈，价格昂贵，不能用于底层网络内部数据流量的采集。

图1：IP5000是In-line（桥接）模式的专用硬件产品，以DPI（Deep Packet Inspect，深度包检测）技术为核心，提供了基于七层应用的带宽管理和应用优化功能。图中是它的管理界面。

图2-2 IP5000 MaxNet管理界面

2.4 网络流量采集技术的对比

下面我们对以上讲的4种技术做一个总结，列表如下：

表2-1 几种主流采集方式对比

1.由于SNMP和netflow主要通过协议以及软件来实现，因此他们的成本比较低。

2.SNMP由于协议本身的限制，因此不能区别主机以及协议。

3.基于干路中桥接设备的采集技术由于直接把采集设备直接串联在链路中，一旦出故

障，容易影响整个网络。

https://www.sodocs.net/doc/ff5184422.html,Flow和网络流量镜像都采用了采样的方式，因此都有漏捕数码的可能。

三、网络流量分析

网络流量分析根据不同的方法可以从不同的侧面展开, 目前, 主要的分析方法可以分为两类：基于包内容的分析方法（DPI）和基于流量特征的分析方法（DPI）。

3.1 基于DPI的网络流量分析技术

3.1.1 DPI提出的背景

传统的端口检测技术是根据TCP数据包或UDP数据包首部的源端口或目的端口号识别一些常见协议的流量。这种识别流量的方法最大的优点就是简单易行。端口检测是基于IANA 注册的知名的端口，例如，HTTP的端口是80，SSH的端口是22，Telnet的端口是23等。在传统的模式下，重要的端口一般是端口号小于1024的或者是在IANA注册的端口号。通过这些知名的端口，我们可以很轻易的检测出他们相应的应用程序名称。但是这种技术有一定的局限性。单一使用端口检测己经远远不能满足检测大多数应用程序的需要。因为现今的很多Intemet流量出现了新的特征，例如端口检测技术对使用动态端口的应用程序就无能为力，而且这种方法同样不能分辨两种应用程序同时使用相同的端口号的情况，例如，现在的很多软件的非HTTP数据流连接端口也会使用端口80，仅依靠端口识别HTTP协议已经不再可靠[3]。

图3-1 Kazaa数据包分析

例如，在上图中，显示了一个数据包的结构，如果只是通过常见的HTTP应用签名特征进行判断，就很容易将它误判为一个Web 访问的应用。因为如果只观察第一个签名特征样本（例如HTTP/1.1），那么它看上去很像是一个标准的HTTP协议。然而通过对数据包的负载部分的进一步深入考察，发现该数据包具有的第二个代码样本签名特征，即KaZaa，这样我们就能够了解这个数据包的真实身份和目的。

3.1.2 DPI技术研究

DPI是目前通过IP来识别和鉴定协议及应用(IP流)的最重要的技术。所谓“深度数据包检测”，“深度”是和标准数据包分析层次相比较而言的，“标准数据包检测”仅分析IP包的

4层以下的基础信息，包括源IP地址、目的IP地址、源端口、目的端口以及连接状态，这些信息保存在数据包的4层以下的包头内。如下图：

图3-2 传统端口检测

DPI除了对4层以下的基础信息进行分析外，还增加了应用层分析，识别各种应用及其内容。这是通过对一系列数据包的包头以及负载中的签名特征(Signature)进行分析，同时DPI 提供了对网络的利用率的分析，为网络性能优化提供了手段。如下图：

图3-3 深度数据包检测

不同的应用层协议有不同的协议信息，这些信息可以作为应用层协议的检测特征。例如以下是常见的P2P应用的特征值[4]：

表3-1 常用P2P协议特征值

3.1.3 AC自动机算法

知道了各种应用的协议信息的特征值后，下一步要解决的问题就是如何从报文中匹配出特征值。这里介绍一个比较常用的多模式匹配算法：AC自动机算法。

AC自动机算法的输入是多个关键字集，输出是关键字的匹配情况。自动机分3个阶段执行搜索：根据关键字建立状态转移图，然后对每个状态建立失败指针，最后根据这幅包含失败指针的完整的状态转移图进行匹配[5]。

第一阶段：根据关键字建立状态转移图，又叫状态转移指针。

构造的思路是：开始时这个图只包含一个根状态R。然后，通过添加一条从起始状态出发的路径的方式，依次向图中输入每个关键字p。新的顶点和边被加入到图表中，以致于产生了一条能拼写出关键字p的路径。关键字p会被添加到这条路径的终止状态的输出函数中。当然只有必要时才会在图表中增加新的边。比如关键字{ she, he, say, shr, her, ayd }，构造过程如下：

1、向图中添加一个关键字“she”，结果下图所示，从状态R到状态e的路径拼写出了关键字“she”，我们把输出“she”和状态e相关联，图中用绿色圈表示。

2、添加第二个关键字“he”，状态转移图变为下图：

3、添加第三个关键字“say”，因为图中已存在一条从R状态到s状态的边了，所以不必在R状态处另外添加一条边，而是从s状态开始建立，状态转移图变为下图：

其他关键字如以上规则所述继续加到图中，最后构造的状态转移图为：

第二阶段：构造失败指针。

失败指针的作用是用于指示当某个状态匹配失败时，应该指向哪个状态。构造失败指针的过程为：R状态的失败指针指向自己，其余状态节点的失败指针为：设这个节点上的字母为C，沿着他父亲的失败指针走，直到走到一个节点，他的儿子中也有字母为C的节点。然

后把当前节点的失败指针指向那个字母也为C的儿子。如果一直走到了root都没找到，那就把失败指针指向root。

比如第一层的s状态、h状态和a状态，因为父节点都是R状态，而R状态的失败指针指向R状态本身，所以s状态、h状态和a状态的失败指针都指向R状态。

再考察第二层的状态。h状态的父节点是s状态，沿着s状态的失败指针走到R状态，而R状态有儿子节点是与h状态同一个字母，所以h状态的失败指针指向第一层的h状态。接着是a状态，同理，其失败指针指向第一层的a状态。接着考察e状态，沿着父状态的失败指针走到R，因为R状态下的儿子节点没有与e状态是相同的字母，所以第二层的e状态的失败指针指向R状态。按照这一规则，最后得出包含失败指针的完整状态转移图为：

图中没有用红色箭头标注的状态，其失败指针均指向R状态。

第三阶段：搜索。

如果搜索指针路过了一个红色圈的点，那么以这个点结尾的单词就算出现过了。或者如果搜索指针所在的点可以顺着失败指针走到一个红色圈的点，那么以这个点结尾的单词就算出现过了。

如待匹配字符串’yshersayd‘，首先匹配首字母y，因为R状态下没有y状态，所以按照R状态的失败指针，返回R状态；接着匹配字母s，因为R状态下有s状态，所以跳到s状态继续匹配；接着匹配字母h，因为s状态下有hs状态，所以跳到h状态继续匹配；接着匹配字母e，因为h状态下有e状态，所以跳到e状态继续匹配，因为e状态是用绿色圈标注，代表she关键字匹配成功，所以输出{she}；接着匹配字母r，因为e状态下没有节点，所以按照其失败指针，跳到第二层的e状态，由于这个e状态也是用绿色圈标注，所以代表关键字he匹配成功，所以输出{he}，然后这个e状态下匹配字母r成功，所以输出{her}。按此规则匹配，最后输出成功匹配的关键字为{she,her,say,ayd}。

3.1.4 DPI总结

DPI检测技术的优点是:

1、检测准确率比较高。

2、原理简单，分析起来也相对容易，并且能应付大多数的识别要求。

3、实现速度快，使用DPI技术不需要建立太多的关联表，也不需要在系统中缓存大量的数据，对系统性能的影响相对较低，匹配起来速度比较快。

DPI的缺点是:

1、各种协议软件都在不断的发展，因此协议特征信息也在不断的变化，当发生变化的时候，检测特征也要随之变化，比较被动。

2.、要采用特征检测技术，其特征必须足够复杂以便在概率上达到不可能误判的目的，虽然经过实践发现大多数的网络协议/应用都具有足够复杂的特征，但仍然有部分的协议不能够提取出足够复杂的特征来，特别是加密的协议，在面对这种情况时，DPI技术显得无能为力。

3.2 基于DFI的网络流量分析技术

3.2.1 DFI的提出

目前DPI技术的有效性正在逐步下降，这是因为DPI技术基于两个假设：

1．IP包的有效载荷可见性。（谁都能知道ip包里面装的是什么）

2．IP包能够被解释，分类器知道每个应用程序相应IP包的特征。

但是这两个假设成立的情况现在正在减弱，一个是由于应用程序对IP包有效载荷的加密（如skype），政府法规会保护用户的隐私权；另一个是运营的负担，设备需要频繁的更新特征库来应对应用程序IP包格式等的变化。

鉴于基于知名端口和有效载荷内容的方法的局限性，现阶段学术研究方面主要偏向于通过利用网络流的统计特征（DFI）来实现业务识别。

3.2.2 基于DFI技术的方法的基本原理

DFI主要是利用前面所说的流的一些特性，比如自相似性，周期性等。不同类型的应用一般来说在统计特征上也会有比较明显的差异，比如网上IP语音流量体现在流状态上的特征就非常明显：RTP流的包长相对固定，一般在130～220byte，连接速率较低，为20～84kbit/s，同时会话持续时间也相对较长；而基于P2P下载应用的流量模型的特点为平均包长都在450byte以上、下载时间长、连接速率高、首选传输层协议为TCP等。

在DFI方法中流是采用五元组定义，对与这种五元组定义的流常用分类方法的一般过程是选取流的适当参数，使用一个人工标注已知类别的数据作为输入，通过不同的机器学习方法进行训练得到分类器参数，从而实现对未知流的识别。

现阶段，采用DFI技术的分类方法大多是基于机器学习的：无指导学习（聚类方法），指导学习以及混合方法。

3.2.3朴素贝叶斯分类器

朴素贝叶斯分类器在网络流分类中的应用：

网络流量分类是一种典型的多元分类问题。在机器学习方法中,流量分类问题可以抽象为:已知流量类型集合C={c1,c2,…,ck}和网络流集合T={t1,t2,…,tn},其中,网络流ti是一个由网络流属性集合构成的属性向量(Ai1,Ai2,…,Aim),如何在类型已知的网络流集合上,利用机器学习算法构建流量分类模型f:T→C,并以此模型对类型未知的网络集合进行分类[6]。

贝叶斯方法：

用F={F 1， F 2，…， F i ，…，F n }表示流集合， n 表示样本流的个数， F i ={f i1， f i2，…，f ij ，…，f im }表示第i 条样本流，其中m 表示样本流的属性个数，f ij 表示第i 条流第j 个属性。设C={C 1， C 2，…，C h ，…，C k }表示流所属的类别标签集合，其中k 表示类别的数量，Ck 表示第k 类。

定有k 个类C 1， C 2，…，C h ，…，C k ， k 表示流量的应用类型的个数，给定一个未知的数据样本Fi ，分类法将预测Fi 属于具有最高后验概率（条件F i 下）的类，即朴素贝叶斯分类将未知的数据样本分配给类C h ，当且仅当P （C h |F i ）>P （C g |F i ）， 1

VNBC=arg max （P （C h |F i ））

其中：

P(C h |F i ) =P(F i |C h )P(C h )/P(F i )

由于P(F i )对于所有类为常数，只需计算最大P(F i |C h )P(C h )即可。计算P(C h )可以通过公式P(C h ) =S h /S 计算，其中,S h 是类C h 中的训练样本数，S 是训练样本总数。

但是在实际应用中，对于给定具有许多条件属性的数据集，计算最大后验概率P(F i |C h )P(C h )，计算的开销可能非常大。为了降低计算的开销，朴素贝叶斯分类器作了条件独立假设，假定各属性相互条件独立，即在属性间不存在依赖关系，假定各属性相互条件独立，即在属性间不存在依赖关系，因此：

P(F i |C h )=∏P(f ik |C h ) (k=1..n)

概率P (f ik |C h )可以由训练样本计算，即：

(|)ik ik h h

S P f C S = 其中S ik 是在属性f ik 上具有值i 类C h 的训练样本数，而S i 是C h 中的训练样本数，即比如是样本中属于ppstream 的流数量。

为测试未知样本 x 的分类，对于每个类C h ，计算每个P(F i |C h )P(C h )，样本F i 则被指派到P(F i |C h )P(C h )最大的类C h ，即：

V MAP =P(F i |C h )P(C h ) > P(C g |F i )P(C g )

3.2.4改进贝叶斯—FCBF （A Fast Correlation-Based Fliter ）：

特征的选取过程中的两个问题：

(1)怎样决定一个特征是否和类别相关(2)怎样决定这样一个与类别相关的特征是否与其它特征冗余[8]。

FCBF 的主要思想基于特定的相关性定义，逐个度量单个特征与类别标签的相关性，即单个特征的各自的分类能力，然后根据各特征的分类能力对特征进行降序排序，选出分类能力高的特征子集，从而在一定程度上消除与分类弱相关甚至无关的特征，实现降维。通过对称的不确定性SU （symmetric uncertainly ）理论来帮助找出主要相关属性[9]。

对称不确定理论是基于信息概念论，首先我们先了解一下信息理论念，变量X 的熵为：

()()log 2(())i i i

H x P x P x =-∑

在给定Y 的情况下X 的熵为

(|)()(|)log 2((|))j i j i j j i

H x y P y P x y P x y =-∑∑

P （x i ）表示对与X 中所有值的先验概率，P (x i |y i )是给定Y 值X 的后验概率，而信息增益IG (X |Y)被表示为: IG (X |Y )=H (X )-H (X |Y)，这些值都需要被分类化来保证可比性和具有同样的效果，因此使用SU ，定义

(|)(,)2[]()()

IG x y SU x y H x H y =+ 第一个问题通过设置一个阈值是SU(特征，类别)>阈值来解决。

第二个问题所有通过第一个问题阈值选出的特征，按SU 降序排列，然后通过循环计算F-correlation 来解决。

一个特征fij 与类别C h 的相关是主要的相关性：SUj ，h>δ并且不存在这样的特征f ik 使得SU j ，k >SU j ，h

3.2.5其他应用DFI 技术的模型

聚类里面有一种采用K-means 来识别基于TCP 协议应用的方法：主要思想应用TCP 流的前几个包，这个方法允许较早的识别网络流。为什么只采用前几个包，是基于这样子的事实，应用程序的协商信息往往包含在一个流的前几个包中，这些信息通常是应用预先定义好的消息序列，而且一般不同应用也不同。例如取前P 个包，那么可以设想有一个P 维空间，每一个流可以用前P 个包表示，P 维坐标分别对应于前P 个包的大小（或者其他特征），采用欧式距离来计算流之间的相似度。至于K 值的选择主要是通过使用不同的K 值实验。分类就是通过计算比较流与每个聚类中心的距离。（比较早期关于机器学习在流分类的应用，大概流分类准确率80%左右）[10]

为了进一步提高流量分类模型的实时性,2006 年澳大利亚斯温伯恩大学的 Nguyen 等人提出了多子流模型(multiple sub-flows model).该方法首先将网络流根据协议通信的不同阶段划分为若干条子流,然后分别为每条子流构造属性向量,并以此作为基本单元构造训练数据集.该方法通过子流属性提取摆脱了对网络流进行处理时必须等待网络流结束的限制,极大地提高了分类模型的实时性.但子流持续时间相对较短,其属性特征容易受到网络运行状态的影响而发生变化[11]

这个一个与上一个K-means 不同的摆脱必须要捕捉流前几个包的限制，只需要附近的N 个包。

训练过程采用一个分类滑动窗口（大小为N packet ），从每一个流中抽出2段或者更多的子流（比如抽取流的前端和中间部分）尽量抽取不同时间，使得子流统计特性能够尽可能的覆盖原始流的统计特性。然后通过从子流的前N 个包抽取出特征值，用这些子流去训练分类器。同样也可以采用上述贝叶斯的改进方法。（实验中是25个包，对一个UDP 网游的识别率达到了98%）

另外一个基于行为的模型:BLINC ，这个模型与前面不同主要是通过分析传输层主机行为来进行业务识别。它分三个行为层次分析，社会层（social level ）,功能层（function level ），应用层(application level)。比如分析社会层主要是从主机连接行为分析，在通信中，使用相同服务端口的相邻的ip 也许是提供相同的服务，有偏的通信可能是p2p 或者一个在线游戏。大多数客户端的IP 都只有少数的通信目的地址，这样可以通过识别那些产生大流里的服务器的类型来帮助识别客户端。[12]

3.3 DPI和DFI的对比：

DFI与DPI两种技术的设计基本目标都是为了实现业务识别，但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。从两种技术的对比情况看，两者互有优势，也都有短处，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于需要高效识别、粗放管理的环境。

从处理速度来看: DFI处理速度相对快，而采用DPI技术由于要逐包进行拆包操作，并与后台数据库进行匹配对比，处理速度会慢些。由于采用DFI技术进行流量分析仅需将流量特征与后台流量模型比较即可。

从维护成本来看: DFI维护成本相对较低，而基于DPI技术的带宽管理系统总是滞后新应用，需要紧跟新协议和新型应用的产生而不断升级后台应用数据库，否则就不能有效识别、管理新技术下的带宽，影响模式匹配效率; 而基于DFI技术的系统在管理维护上的工作量要少于DPI系统，因为同一类型的新应用与旧应用的流量特征不会出现大的变化，因此不需要频繁升级流量行为模型。

从识别准确率来看: 两种技术各有所长。由于DPI采用逐包分析、模式匹配技术，因此，可以对流量中的具体应用类型和协议做到比较准确的识别; 而DFI仅对流量行为分析，因此只能对应用类型进行笼统分类，如对满足P2P流量模型的应用统一识别为P2P流量，对符合网络语音流量模型的类型统一归类为VoIP流量，但是无法判断该流量是否采用H.323或其他协议。如果数据包是经过加密传输的，采用DPI方式的流控技术则不能识别其具体应用，而DFI方式的流控技术不受影响，因为应用流的状态行为特征不会因加密而根本改变。

四、网络流量分析之应用：入侵检测

4.1入侵检测的基本定义以及方法

入侵是指通过对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。

根据检测方法来区分，目前常用的入侵检测技术主要有两种：误用检测和异常检测[13]。误用检测系统一般采用的分析方法是DPI,它将已知的攻击特征和系统弱点进行编码，存入知识库中，入侵检测系统（OS1）将所监视的事件与知识库中的攻击模式进行匹配，当发现有匹配时，认为有入侵发生，从而触发相应机制，过程如图4.1所示。例如，存在以下一条rule: alert tcp any any->192.168.1.0／24 1 1l(content："134********f7272656e742070726f746f63 6f6e";msg:"bt service"),其中content中的字符串是bt服务的特征值"19Bit Torrentprotoco",

整条规则的含义是当存在流向192.168.1.0网络的bt流量时，想系统管理员发出信息，告知有bt service服务开启。这种技术的优点是可以有针对性地建立高效的入侵检测系统，虚警率低；缺点是对未知的入侵活动或已知入侵活动的变异无能为力，攻击特征提取困难，需要不断更新知识库。

图4-1 误用检测技术过程

异常检测基于DPI技术，并假定正常工作模式相对稳定，有入侵发生时，用户或系统的行为模式会发生一定程度的改变。通常是建立一个对应“正常活动”的系统或用户的正常轮廓，检测入侵活动时，异常检测程序产生当前的活动轮廓并同正常轮廓比较，当活动轮廓与正常轮廓发生显著偏离时即认为是入侵，从而触发相应机制，过程如图所示。异常检测与系统相对无关，通用性较强。它最大的优点是有可能检测出以前从未出现过的攻击方法，不像误用检测那样受已知脆弱性的限制.因此这种方法格外引起人们的兴趣.，下面主要以一个简单的实例说明网络流量方法在异常检测系统中的应用。

网络流量在线分析系统的设计与实现

综合实训报告 题目：网络流量在线分析系统的设计与实现

信息学院计算机科学系 目录 一、实训目的 (3) 二、实训内容 (3) 三、主要设备及环境 (3) 四、设计与步骤 (4) 五、过程与调试 (22) 六、整理与小结 (23) 七、参考文献 (24) 八、附录 (25)

一、实训目的 设计并实现一个网络流量的分析系统。该系统具有以下功能：（1）实时抓取网络数据。（2）网络协议分析与显示。（3）将网络数据包聚合成数据流，以源IP、目的IP、源端口、目的端口及协议等五元组的形式存储。（4）计算并显示固定时间间隔内网络连接（双向流）的统计量（如上行与下行的数据包数目，上行与下行的数据量大小等）。在这些统计数据的基础上分析不同网络应用的流量特征。 二、实训内容 （1）能够实时抓取网络中的数据包。并实时显示在程序界面上。用户可自定义过滤条件以抓取所需要的数据包。 （2）分析各个网络协议格式，能够显示各协议字段的实际意义。例如，能够通过该程序反映TCP三次握手的实现过程。 （3）采用Hash链表的形式将网络数据以连接（双向流）的形式存储。 （4）计算并显示固定时间间隔内网络连接（双向流）的统计量（如上行与下行的数据包数目，上行与下行的数据量大小等）。例如，抓取一段时间（如30分钟）的网络流量，将该段时间以固定时长（如1分钟）为单位分成若干个时间片，计算网络连接在每一个时间片内的相关统计量。并在上述统计数据的基础上分析不同应用如WEB、DNS、在线视频等服务的流量特征。注意，可根据实际的流量分析需要自己定义相关的统计量。 三、主要设备及环境 硬件设备： （1）台式计算机或笔记本计算机(含网络适配器) 软件设备： （2）Windows操作系统 （3）网络数据包捕获函数包，Windows平台为winpcap

网络流量论文：网络流量分析预测系统的设计与实现

网络流量论文：网络流量分析预测系统的设计与实现 【中文摘要】网络技术的发展导致了其应用和规模不断扩大,同时,大量不同类型的网络设备应用于网络的构建中,一方面扩展了网 络所提供的业务各类的能力,另一方面也使其更容易出现故障。通过网络流量的分析和预测,可以实现许多网络故障和性能问题的检测, 已经成为一个检测网络故障和性能问题的有效方法,是提高网络的质量。本文首先分析了网络流量行为的分析与预测相关的知识及技术,涉及到:数据采集、流量分析、流量预测以及数据挖掘等。其次,通过对Apriori和FT-Tree算法的分析,指出其应用的方法以及存在的问题,为了解决这些问题,利用聚类挖掘算法对网络流量进行分析,指出其优点。根据聚类算法的特点,设计了系统的体系结构以及部署方式,并根据网络流量研究的流程,从数据采集、流量分析、行为预测、决策响应等方面研究了系统的实现,最后,以系统测试的方式验证了本 文所研究的网络流量分析与预测系统的可用性及有效性。 【英文摘要】With the rapid development of internet technology and the wide application of network, the scale of network expands quickly. Meanwhile, a wide variety of network devices have been applied to the construction of network. It not only expanded the network capacity, but also increases the failure rate. However, with the purpose of improving the network quality, the analysis and prediction of Network traffic

带时钟功能的简易电子计算器设计

苏州经贸职业技术学院毕业设计 目录 摘要 (2) 前言 (3) 第一章时间显示计算器的简介 (4) 1.1课题描述和设计任务 (4) 1.2设计内容 (4) 1.3发展趋势 (4) 第二章时间显示计算器的方案设计 (5) 2.1 电源的方案选择 (5) 2.2 单片机的方案选择 (5) 2.3 键盘的方案选择 (6) 2.4显示器的方案选择 (6) 第三章简易计算器的设计 (7) 3.1 最小系统设计 (7) 3.2 键盘输入系统 (7) 3.3 计算器程序设计 (8) 3.4系统硬件设计 (9) 第四章时钟的设计 (11) 4.1系统功能实现总体设计思路 (11) 4.2各部分功能实现 (11) 4.3 显示电路设计 (12) 4.4 闹铃电路设计 (12) 4.5 系统工作原理 (13) 第五章软件总体设计方案 (15) 5.1 主程序流程图 (15) 5.2 简易计算器总流程图 (15) 5.3 秒表中断程序流程 (16) 第六章仿真效果测试 (17) 第七章总结 (22) 致谢 (23) 参考文献 (24) 附录一带时间显示功能的简易计算器设计的PROTUES图 (25) 附录二程序清单 (26)

摘要 本设计采用AT89C52单片机为主控制器，结合每个部件，复位电路，显示电路，报警电路组成带时间显示的简易电子计算器程序运行之后有一个开关是用来切换时间和计算的，还有闹铃的功能。从实用方便的角度出发,采用美国Atmel 公司的单片机AT89C52作为主控芯片和数据采集单元，结合外围的按键输入、数码管显示、报警等电路，用C语言编写主控芯片的控制程序，设计了一个可以将计算和时钟与一体并具有闹铃功能的时间显示计算器。 本设计采用KEIL编程软件进行C语言程序设计，并且结合仿真软件Proteus 进行仿真测试，从而节省开发时间，节省开放成本。 关键词： 8052单片机、计算器、时间显示、KEIL

基于STM32的简易电子计算器设计与实现(DOC)

四川师范大学成都学院通信工程学院 基于STM32的简易电子计算器设计与实现---实验综合设计报告 学生姓名陶龑 学号2016301033 所在学院通信工程学院 专业名称嵌入式系统课程设计 班级2014级软件班 指导教师刘强 成绩 四川师范大学成都学院 二○一六年十一月

基于STM32的简易电子计算器设计与实现内容摘要：电子计算器即将传统意义上的计算器进行电子化和数字化，为其减少时间误差和体积，并提供更多的扩展实用功能，从而使电子计算器的应用更加广泛。在经过资料的查找与收集后，本论文以该理念设计了一款基于STM32芯片作为核心控制器，使用Keil5平台，以C语言为基础进行软件编程的简易电子计算器，其内在TFT-LCD液晶屏进行输出，以四个按键进行输入，从而实现显示输入数据以及加减乘除运算的基本功能。 通过软件程序的编写、硬件电路原理的实现、电子计算器正常工作的流程、原理图仿真实现、硬件实物的安装制作与硬件实物的调试过程，该简易电子计算器现可用于日常生活和工作中。 关键词：简易电子计算器STM32 C语言Keil5

Design and implementation of Multi Function Electronic Clock based on STM32 Abstract: The traditional electronic calculator calculator for electronic and digital, to reduce the time error and volume, and provide more extended utility function, so that the more extensive application of electronic calculators. After searching and collecting data, in this paper, the concept of a design based on STM32 chip as the core controller, using Keil5 platform, simple electronic calculator based on C language software programming, the TFT-LCD LCD screen for input and output, with four keys, so as to realize the display of input data and the basic the function of add, subtract, multiply and divide operations. Through the software program, hardware circuit principle of the electronic calculator realization, normal work process and the principle of graph simulation, hardware installation and hardware debugging process, the simple electronic calculator is used in daily life and work. Key words: Simple electronic calculator STM32 language C Keil5

网络流量、应用性能分析、故障定位分析方案

. XX省农信社 基于产品的网络流量、应用性能分析、故障定位分析项目 测试报告 2019年6月11日

目录

1概述 随着大量新兴技术和业务趋势的推动，用户的网络架构、业务系统和数据流量日趋庞大、复杂。为了保证网络和业务系统运行的稳定和畅通，我们需要对网络及业务系统进行全方位监测，以确保网络及应用系统可以正常、持续地运行。 应用性能管理是一个新兴的市场，其解决方案通过监控应用系统的性能、用户感知，在应用出现异常故障时，帮助用户快速的定位和解决故障，其标准的需求如下： ?通过网络流量分析工具，掌握各级网络运行的趋势和规律，主动、科学地进行网络规划和策略调整，将网络管理的模式从被动变为主动： ?通过网络流量分析工具，实时监控网络中出现的非法流量，及时采取管控措施，保障应用系统的安全运行； ?应用系统出现问题（如运行缓慢或意外中断时，）通过网络流量分析工具可回溯历史网络流量，快速找出问题的根本原因并及时解决。 ?网络拥堵时，通过网络流量分析工具快速判断是正常应用系统占用了带宽还是异常流量占用了带宽，立即执行相应、有效的控制措施。 ?从最终用户感知的角度，提供多维度的应用性能监控，实时掌握应用系统的性能状况； ?7×24小时实时监控各区域用户的真实使用体验，及时发现用户体验下降，并及时作出相应的处理，提升用户满意度。 ?当故障发生时，快速定位故障域，缩短故障分析时间，降低故障对最终用户造成的影响，提高系统的运维质量。 年APM市场全球分析报告与魔力象限分析，Riverbed(OPNET)公司已经成为全球这个领域的领导者。 OPNET公司的客户群体非常广泛，国内的用户包括中国移动、中国网通、中国电信、信息产业部电信规划研究院，中国农业银行总行，民生银行，新华人寿，中国海关总署，银河证券，国信证券，电信设备供应商中包括华为、大唐电信、摩托罗拉、中兴电子及西门子等。

网站流量统计分析总结

网站流量统计分析总结 什么是网站流量分析？ 网站流量分析，是指我们在获得网站访问量基本数据的情况下，对有效数据进行统计、分析，从分析结果中发现用户访问门户网站的规律，并将这些规律与门户的运营策略相结合，从而发现目前门户运营活动中可能存在的问题，并且为我们进一步修正或重新制定门户运营策略提供依据。说得简单一些，就是通过网站的流量数据来分析我们前期门户运营的情况如何。 网站流量分析对网络营销有哪些作用？ 在网络营销评价方法中，网站访问统计分析是重要的方法之一。分析的结果，是形成一份网站访问统计报告。通过这份报告，我们不仅可以了解前期的网络运营所取得的效果，而且可以从统计数字中发现许多有说服力的问题。 如何进行流量统计分析？ 网站在上线后，需要通过对网站访问数据进行分析研究，诊断出网站优化、网站推广的效果，发现在网络营销中可能存在的一些问题，并进行网络营销策略的修改，这在网络营销中是不可或缺的一个环节。 在使用流量统计工具时应该做到每个页面都要放置流量统计代码，这样统计出来的数据才更完整，分析出来的结论才更科学。 网站的流量统计分析，大致可以从下面几个方面着手：

1、来路统计分析 来路统计分析主要是对用户通过什么途径来到网站进行统计，包括下面几种情况：搜索引擎、直接点击量、推介网站、广告系列等。 2、关键字分析 关键字分析主要是对关键字来源，关键词分类，搜索引擎通过什么关键字来到网站，这些关键字是否包括网站的核心关键字，关键字的排名等进行分析，找出哪些网站核心关键字还没有带来访问量，哪些关键字可以进行排列组合扩展出新的关键字等。 3、访问者分析 访问者分析是网络营销效果最直接的表现形式之一，其中包括访问次数、独立IP、综合浏览量、平均综合流量量、网站停留时间、新访者和回访者、访问者忠诚度等。 （1）独立 IP 表示，拥有特定唯一 IP 地址的计算机访问您网站的次数。一般情况下，同一级别的网络（例如某个局域网、社区网、教学楼网）范围内的 IP 很有可能是唯一的。 （2）独立访客数量（UV）表示包括一天中多次来访的访客在内的次数，而且是根据 IP 和 Cookies 两个属性来进行判断的。比如说张三今天访问你的网站三次，那么张三算做一个独立访客。如果张三在你的门户上注册了一个会员，他的弟弟看了看，注册了另一个会员。由于两个人的 IP 相同，但根据 Cookies 可以判断这是属于两个不同的用户，因此算做两个独立访客。

简易计算器

单片机课程设计题目：简易计算器的设计 专业：06电子信息科学与技术 姓名：倪耀兴 学号：060303008 指导老师：蔡植善 理工学院电信系 设计日期：2009年5月 12日

简易计算器的设计 1.引言------------------------------------------------2 2. 设计任务和要求-------------------------------------2 2.1设计要求-------------------------------------------0 2.2设计方案的确定-------------------------------------2 2.3主要元器件介绍--------------------------------------------------------3 3.简易计算器的硬件设计--------------------------------4 3.1键盘电路的设计----------------------------------4 3.2显示电路的设计---------------------------------4 4.简易计算器的软件设计-------------------------------6 4.1简易计算器的软件规则--------------------------------6 4.2中断查键的按键程序设计-------------------------------7 4.3显示模块程序的设计----------------------------7 4.4主程序的设计---------------------------------------7 5.调试及性能分析--------------------------------------7 5.1硬件调试--------------------------------------------7 5.2软件调试--------------------------------------------7 5.3相关可靠性软件设计----------------------------------7 5.4完整的源程序---------------------------------------------------------8- 6.关键程序的流程图-------------------------------------17 7.设计心得------------------------------------------19 8. 参考文献-----------------------------------------19

网站分析中常见的流量变化原因

网站分析中常见的流量变化原因 本篇文章我们将讨论网站流量变化背后的原因。我们将深入到各个细分流量中，如：直接流量，付费搜索品牌词等等。针对每一组细分流量背后可能的原因进行分析。下面我们就开始逐一列举分析。 一，直接流量 直接流量通常是指访问者直接输入网址或从收藏夹中访问网站的流量，但在现实中情况要复杂的多，所有无法获得引荐来源的流量都被归为直接流量，例如：来自聊天工具QQ，MSN 的流量，或者来自邮件客户端的流量都会因为没有来源信息而被归为直接流量。了解了直接流量的组成后，我们来分析下可能引起直接流量变化4种原因。 1品牌广告 品牌广告是造成直接流量变化的第一个原因。所谓品牌广告，我的理解就是除了网站名称或网址外啥信息也没有的那种。 场景分析：品牌广告最直接的目的就是让用户记住并访问网站，如果网址简洁又好记的话，用户会直接记住网站地址访问网站。这就造成了直接流量的增长。而如果网址较长那么用户会记住网站名称或某个slogan然后通过搜索引擎访问网站，这与直接访问无关，是我们后面要介绍的内容。 2热点事件 热点事件是造成直接流量变化的第二个原因。这里的热点事件既包括正面事件也包括负面事件。无论是网站自己制造的病毒营销还是因某个失误被网友发现并放大。当网站因为热点事件被广泛关注时，流量肯定也会随之增长。 场景分析：热点事件引起直接流量变化的理由很简单，想一下我们平时都是如何获得这类信息的，又是如何将这些信息分享给朋友的。是的，聊天工具QQ或者MSN。当我们在QQ群里看到带有链接的信息，并点击访问时。这次访问将被记录为了直接流量。 3内部访问 内部访问是造成直接流量变化的第三个原因。内部访问是指网站或公司内部人员访问网站产生的流量。通常网站都会屏蔽掉来自内部IP的访问量，但如何没有屏蔽或者因为某种原因无法屏蔽时，内部访问就成了影响直接流量的主要原因了。 场景分析：网站或公司内部员工会如何访问自己的网站？去搜索引擎搜公司名称？去找网站广告点进来？他们一定是直接输入网址访问网站，最差也是把网站放在收藏夹里然后点击访问的。大部分浏览器都有网站提醒功能，并且内部员工每天都需要频繁的访问网站，所以直接输入网站域名首字母，然后选择网址访问已经是最方便的一种方法了。所以，内部员工的访问量大部分都属于直接流量。 这里要特别说明下，如果你网站的内部员工数量少，不会对流量和指标造成太大影响，但如 1

网络流量分析解决方案

1 网络流量分析解决方案 方案简介 NTA网络流量分析系统为客户提供了一种可靠的、便利的网络流量分析解决 方案。客户可以使用支持NetStream技术的路由器和交换机提供网络流量信息， 也可以使用DIG探针采集器对网络流量信息进行采集。并且可根据需求，灵活启动不同层面（接入层、汇聚层、核心层）的网络设备进行流量信息采集，不需要改动现有的网络结构。 NTA网络流量分析系统可以为企业网、校园网、园区网等各种网络提供网络流量信息统计和分析功能，能够让客户及时了解各种网络应用占用的网络带宽，各种业务消耗的网络资源和网络应用中TopN流量的来源，可以帮助网络管理员及时发现网络瓶颈，防范网络病毒的攻击，并提供丰富的网络流量分析报表。帮助客户在网络规划、网络监控、网络优化、故障诊断等方面做出客观准确的决策。2方案特点 ● 多角度的网络流量分析 NTA网络流量分析系统可以统计设备接口、接口组、IP地址组、多链路接口的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率 的比例。 NTA网络流量分析系统可以从多个角度对网络流量进行分析，并生成报表，包 括基于接口的总体流量趋势分析报表、应用流量分析报表、节点（包括源、目 的IP）流量报表、会话流量报表等几大类报表。 ● 总体流量趋势分析 总体流量趋势报表可反映被监控对象（如一个接口、接口组、IP地 址组）的入、出流量随时间变化的趋势。 图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、 采样点速率最小值和平均速率的信息。对于设备接口，还可提供带宽 资源利用率的统计。 支持按主机统计流量Top5，显示给定时间段内的流量使用在前5位 的主机流量统计情况，以及每个主机使用的前5位的应用流量统计。 同时还支持流量明细报表，可提供各采样时间点上的流量和平均速率

简易计算器

辽宁工业大学 数字电子技术基础课程设计（论文）题目：简易计算器 院（系）：电子与信息工程学院 专业班级： 学号： 学生姓名： 指导教师： 教师职称： 起止时间：2012.12.17---2012.12.28

课程设计（论文）任务及评语

摘要 这次的课程设计的任务是设计一个具备加减乘运算功能的电路，能够通过开关控制进行加减法计算和乘法计算，并利用LED灯显示计算结果。 本次设计通过开关的闭合和开通来代表电平的高地位继而代表0和1来输入所要计算的十进制数字。加减运算电路主要由74LS283的级联电路组成。通过异或门将原码全部转换为补码，然后采用个位和个位相加，十位和十位的相加的原则，将两个的个位的代码送入到一个加法器中，将进位依次传递。但是加法器只可以做加法运算，不满足我们的设计要求，于是我们将减法也变成加法进行运算，运算都为补码，最后再将结果在转换为原码，通过LED灯显示出来。乘法运算电路主要由移位寄存器74LS194和加法器74LS283组成。 显示电路主要由7段显示译码器构成，将加减和乘法运算电路计算所得的运算结果每4为输入到一块7448芯片中，按高低位排列就得到了我们所需要的十进制的运算结果了。 关键词：运算；反码；LED显示；移位寄存器

目录 第1章绪论 (1) 1.1简易计算器概况 (1) 1.2本文设计要求 (2) 1.3方案论证 (2) 1.4总体设计方案 (3) 第2章简易计算器各单元电路设计 (4) 2.1简易计算加法电路设计 (4) 2.2简易计算器减法电路设计 (5) 2.3乘法运算电路设计 (6) 2.4译码显示电路设计 (7) 第3章简易计算器整体电路设计 (8) 3.1系统原理图 (8) 3.2部分电路仿真 (9) 3.2.1 加法电路仿真 (9) 3.2.2 减法电路仿真 (10) 第4章设计总结 (11) 参考文献 (12) 附录 (13)

网站流量各类指标分析

网站流量各类指标分析 UV(独立访客)：即Unique Visitor,访问您网站的一台电脑客户端为一个访客。00:00-24:00内相同的客户端只被计算一次。 PV(访问量)：即Page View, 即页面浏览量或点击量，用户每次刷新即被计算一次。IP(独立IP)：指独立IP数。00:00-24:00内相同IP地址只被计算一次。 雅虎统计指数(YSR)： 通过来源带来的PV、UV、IP，以及用户停留时间、访问情况、用户行为等因素综合分析按不同权重计算得到的，评判来源质量的指数，指数越高，表明来源质量越高。 现在大多数的统计工具只统计到IP和PV的层面上，因为在大多情况下IP与UV数相差不大。但由于校园网络、企业机关等一些部门的特殊性，IP已经很难真实的反映网站的实际情况，所以引入了更加精确的UV这个概念。所有UV与IP对于是使用真实IP上网的用户，数值是相同的。但是如果访问你的站点中有通过“网络地址转换”（NAT）上网的用户，那么这两个值就不同的。所有对于国内站长来说，这个UV值还是很有意义的。那么什么情况下UV 会比IP少? 一般情况下，统计UV数应该大于等于IP数，但有些情况下，有可能UV数会小于IP数： 1)IP地址是绝对的，从TCP链路上取的，真实的，不唯一的； 2) UV设置的cookie，随机设置的，可重复的，只是重复概率足够小； 3) 移动笔记本不时的更换IP，可以导致这种问题； 4) 客户端禁用cookie或者客户端安全级别高会导致cookie设置不上，会出现这种问题； 5) 如果采用的图片统计，由于拿不到cookie会出现这种问题； 雅虎统计指数(YSR)：通过来源带来的pv、uv,ip，以及用户停留时间、访问情况、用户行为等因素综合分析按不同权重计算得到的，评判来源质量的指数，指数越高，表明来源质量越高。 新访客：某客户端首次访问为一个新访客。 最近访客：最近一段时间内访问您网站的客户端。目前显示50条。 当前在线人数：15分钟内在线访问的UV数。 24小时独立IP：指每小时独立的IP地址。因为该数据每个小时是独立的，所以叫24小时独立的IP。例如192.168.1.1 0点-1点访问了您网站在这个时段算一个IP。如果192.168.1.1 0点-1点再次访问您的网站去重不计算IP。如果192.168.1.1 1点-2点又访问您的网站在这个时段也算一个IP。 最高IP : 指选择时间段范围内，某日访问IP最多的数值。 最高PV：指选择时间段范围内，某日访问量最高的数值。 日均流量：指选择时间范围内，平均每日流量。(日均流量=总访问量/总天数) 人均访问量：指选择时间范围内，每个访客访问网站的PV数。(计算公式：人均访问量=访问量/唯一访客数)。 访问过程：每个访问者从进入您的网站开始访问，一直到最后离开您的网站，整个过程中发生的一切点击访问行为，称为一次访问过程。 访问入口：每次访问过程中，用户进入的第一个页面为访问入口页面。 访问出口：每次访问过程中，用户结束访问，离开前点击的最后一个页面为访问出口页面。平均停留时间：所有访客的访问过程，访问持续时间的平均值。 平均访问页数：所有访客的访问过程，连续访问页面数的平均值。

[整理]H3C网络流量分析解决方案.

方案背景 随着网络的应用越来越广泛，规模也随之日渐增长，网络中承载的业务也越来越丰富。企业需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前企业在管理网络当中普遍遭遇到了如下的问题： 1、网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？ 2、应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？企业内部重要应用执行状况如何？ 3、用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？ 从这些企业管理网络中所经常遇到的问题来看，需要有一种解决方案能让网络管理人员及时了解到详细的网络使用情形，使网络管理人员及时洞察网络运行状况、及时了解网内应用的执行情况。 为了应对企业网络管理中的这些问题，于是，H3C公司的NTA（Network Traffic Analysis）解决方案应运而生！ 所谓的工欲善其事，必先利其器，NTA解决方案可以帮助网络管理人员了解企业内部网络之运行状况，及时发现并解决网络中的性能瓶颈问题、网络异常现象，也能方便用户进行网络优化、网络设备投资、网络带宽优化等的参考，并方便网络管理员及时解决网络异常问题。 NetStream技术介绍 在理解Network Traffic Analysis解决方案之前，首先需要了解NetStream的一些基本概念，它们是该解决方案的基础。

“流”概念 NetStream的流定义为：由源到目的方向的一系列单向的数据包。 NetStream流是通过7元组来标识的，即通过接口索引、源IP地址、目的IP地址、源端口号、目的端口号、协议号和ToS组成的七元组确定一个NetStream流，设备根据七元组信息对过往的数据包进行NetStream统计。 下图中就包括四条流： 从Client A到WWW Server方向通信时产生的流； 从WWW Server到Client A方向通信时产生的流； 从Client B到FTP Server方向通信时产生的流； 从FTP Server到Client B方向通信时产生的流； 图1 网络中流的举例说明 从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过NetStream流可以记录下来网络中who、what、when、where、how。

基于STM32的简易计算器

基于STM32的简易计算器 一．总体方案设计 1.任务要求 （1）在开发板的显示屏上设计并显示一个简易的计算器界面，包括结果显示窗、0～9数字键、＋、－、×、÷、X2、√、＝、Del等按键； （2）可使用开发板上的键盘或触摸屏输入上述按键，并在显示窗中显示计算结果； （3）支持基本的整数加减乘除运算； 2.设计方案 设计的整体思路：选用意法半导体基于ARM Cortex—M3内核的STM32F103ZET6芯片来处理计算器中加减乘除运算，选用3.5寸的TFT-LCD电阻触摸屏模块来进行控制输入并同时将输入参数及运算结果显示出来，同时通过移植emWin，优化计算器界面，使计算器在视觉上效果上更为人性化。 二．系统硬件设计 系统主要器件包括ALIENTEK精英STM32F103V1开发板，3.5寸TFTLCD触摸屏。 1.最小系统开发板 1.1 微控制器 Cortex-M3采用ARM V7构架，不仅支持Thumb-2指令集，而且拥有很多新特性。较之ARM7 TDMI，Cortex-M3拥有更强劲的性能、更高的代码密度、位带操作、可嵌套中断、低成本、低功耗等众多优势。 STM32的优异性体现在如下几个方面： 1. 超低的价格。以8位机的价格，得到32位机，是STM32最大的优势。 2. 超多的外设。STM32拥有包括：FSMC、TIMER、SPI、IIC、USB、CAN、IIS、SDIO、ADC、DAC、RTC、DMA等众多外设及功能，具有极高的集成度。 3. 丰富的型号。STM32仅M3内核就拥有F100、F101、F102、F103、F105、F107、F207、F217等8个系列上百种型号，具有QFN、LQFP、BGA等封装可供选择。同时STM32还推出了STM32L和STM32W等超低功耗和无线应用型的M3芯片。 4. 优异的实时性能。84个中断，16级可编程优先级，并且所有的引脚都可以作为中断输入。 5. 杰出的功耗控制。STM32各个外设都有自己的独立时钟开关，可以通过关闭相应外设的时钟来降低功耗。 6. 极低的开发成本。STM32的开发不需要昂贵的仿真器，只需要一个串口即可下载代码，并且支持SWD和JTAG两种调试口。SWD调试可以为你的设计带来跟多的方便，只需要2个IO口，即可实现仿真调试。 MCU部分原理图如图1-1所示：

网络流量监控及分析工具的设计与实现毕业设计论文

网络流量监控及分析工具的设计与实现 摘要 互联网迅速发展的同时，网络安全问题日益成为人们关注的焦点，病毒、恶意攻击、非法访问等都容易影响网络的正常运行，多种网络防御技术被综合应用到网络安全管理体系中，流量监控系统便是其中一种分析网络状况的有效方法，它从数据包流量分析角度，通过实时地收集和监视网络数据包信息，来检查是否有违反安全策略的行为和网络工作异常的迹象。 在研究网络数据包捕获、 TCP/IP原理的基础上，采用面向对象的方法进行了需求分析与功能设计。该系统在VisualC++6.0环境下进行开发，综合采用了Socket-Raw、注册表编程和IP助手API等VC编程技术，在系统需求分析的基础上，对主要功能的实现方案和技术细节进行了详细分析与设计，并通过测试，最终实现了数据包捕获、流量监视与统计主要功能，达到了预定要求，为网络管理员了解网络运行状态提供了参考。 关键词：网络管理；数据采集；流量统计；Winsock2

The Design and Implementation of Monitoring and Analyzing Tool for Network Traffic Abstract With the rapid development of Internet, network safety has become people’s concern, virus, vigorous attack, illegal visit and so on can easily affect the normal network performance. Various kinds of network defending technology have been comprehensively applied into the management system of network safety. Network traffic system is one of the effective measures to analysis network condition. From the angle of analyzing packet traffic, it can examine the safety violation and the abnormal performance of network by timely collecting and monitoring packets information. By using the way of object-oriented, this design makes a needs analysis and ability designing based on the study of network packet collecting and TCP/IP theory. Under the environment of Visual C++6.0, this system adopts VC program technologies of Socket-Raw, Windows register and IpHelper API. On the basis of system analysis, it makes a deliberate analysis and test of plans and details to implement packets collecting, traffic monitoring and statistics. So this meets our needs and makes a reference for managers to get to know the network conditions. Key words:network management; data collection; traffic analysis; Winsock2

简易计算器的设计与实现(1)

郑州科技学院 《单片机原理及应用》课程设计 题目基于单片机简易设计与实现 学生姓名 专业班级 学号 院（系） 指导老师 完成时间年月日

目录 0.引言 (1) 1. 设计方案 (3) 1.1 方案论证 (3) 1.2 方案比较与选择 (4) 2. 系统设计 (4) 2.1系统组成及总体框图 (5) 2.2硬件原理 (5) 2.2.1.单片机最小系统 (6) 2.2.2键盘电路 (14) 2.2.3显示电路 (16) 2.3.软件流程 (18) 2.3.1主程序控制流程 (18) 2.3.2键盘扫描子程序 (19) 2.3.3LCD1602显示控制流程 (21) 2.4仿真与实物制作 (26) 3.结论 (27) 参考文献 (28) 附录一：总体电路原理图 (29)

附录二: 元器件 (29) 附录三：源程序 (30)

基于单片机简易设计与实现 0.引言 随着社会的发展，科学的进步，人们的生活水平在逐步的提高，尤其是微电子技术的发展，犹如雨后春笋般的变化。电子产品的更新速度快就不足惊奇了。计算器在人们的日常中是比较的常见的电子产品之一。如何使计算器技术更加的成熟，充分利用已有的软件和硬件条件，设计出更出色的计算器，使其更好的为各个行业服务，成了如今电子领域重要的研究课题[1]。 今天，人们的日常生活中已经离不开计算器了，社会的各个角落都有它的身影，比如商店，办公室，学校……。因此设计一款简单实用的计算器会有很大的实际意义。 本设计对字符液晶显示模块的工作原理，如初始化、清屏、显示、调用及外特性有较清楚的认识，并会使用LCD（液晶显示模块）实现计算结果的显示；掌握液晶显示模块的驱动和编程，设计LCD和单片机的接口电路，以及利用单片机对液晶模块的驱动和操作；在充分分析内部逻辑的概念，进行软件和调试，学会使用，并能够以其为平台设计出具有四则运算能力简易计算器的硬件电路和软件程序。 同时在进一步掌握单片机理论知识，理解嵌入式单片机系统的硬软件设计，加强对实际应用系统设计的能力。通过本设计的学习，使我掌

基于时间序列分析的网络流量预测模型研究

万方数据

万方数据

万方数据

基于时间序列分析的网络流量预测模型研究 作者：周德懋， 李舟军， 康荣雷， ZHOU Demao， LI Zhoujun， KANG Ronglei 作者单位：北京航空航天大学,计算机学院,北京,100191 刊名： 现代电子技术 英文刊名：MODERN ELECTRONICS TECHNIQUE 年，卷(期)：2009,32(8) 被引用次数：2次 参考文献(17条) 1.Garrett M W;Wilhinger W Analysis,Modeling and Generation of Self-similar VBR Video Traffic 1994 2.Chen Borsen;Yang Yusuarg;Botekuen Lee Fuzzy Adaptive Predictive Flow Control of Network Traffic[外文期刊] 2003(04) 3.刘嘉琨;金志刚;薛飞基于FARIMA过程的网络业务预报与应用[期刊论文]-电子与信息学报 2001(04) 4.Chen Liang;Wang Xiaofan;Han Zhengzhi Controlling Bifurcation and Chaos in Internet Congestion Control Model 2004(05) 5.Joachim H;Werner L Lyapunov Exponents from a Time Series of Acausic Chaos 1989(04) 6.文兰动力系统简介[期刊论文]-数学进展 2002(04) 7.文成林;周东华多尺度估计理论及其应用 2002 8.杨福生小波变换的工程分析与应用 1999 9.雷霆;余镇危一种网络流量预测的小波神经网络模型[期刊论文]-计算机应用 2006(03) 10.陈振伟;郭拯危小波神经网络预测模型的仿真实现[期刊论文]-计算机仿真 2008(06) 11.文成林;周东华多尺度估计理论及其应用 2002 12.张传斌;王学孝;邓正隆非线性时间序列的RBF神经网络预测方法及其应用[期刊论文]-热能动力工程 2001(03) 13.张玉瑞;陈剑波基于RBF神经网络的时间序列预测[期刊论文]-计算机工程与应用 2005(11) 14.林天峰基于最大熵原理的网络流量预测综合模型[期刊论文]-微电子学与计算机 2006(08) 15.郭琳;张大方;黎文伟基于稳态模型的流异常检测算法[期刊论文]-计算机工程 2006(19) 16.余健;郭平基于改进小波神经网络的网络流量预测研究[期刊论文]-计算机应用 2007(12) 17.郑成兴网络流量预测方法和实际预测分析[期刊论文]-计算机工程与应用 2006(23) 本文读者也读过(10条) 1.潘乔.罗辛.王高丽.裴昌幸.PAN Qiao.LUO Xin.WANG Gao-li.PEI Chang-xing基于FARIMA模型的流量抽样测量方法[期刊论文]-计算机工程2010,36(15) 2.李林峰.裘正定时间序列分析在网络流量预测中的应用研究[会议论文]- 3.赵海阔.朱正平.ZHAO Hai-kuo.ZHU Zheng-ping基于非线性算法的网络业务流量预测[期刊论文]-自动化与仪器仪表2010(4) 4.何建基于时间序列的网络流量分析与预测[期刊论文]-中国科技信息2005,2(22) 5.段智彬.孙恩昌.张延华.董燕.DUAN Zhi-bin.SUN En-chang.ZHANG Yan-hua.DONG Yan基于ARMA模型的网络流量预测[期刊论文]-中国电子科学研究院学报2009,4(4) 6.闵洁.李潇.MIN Jie.LI Xiao基于最小二乘支持向量机的网络流量预测[期刊论文]-九江学院学报（自然科学版）2010,25(1) 7.韩志杰.王汝传.段晓阳.HAN Zhi-jie.WANG Ru-chuan.DUAN Xiao-yang一种基于小波卡尔曼滤波的MPLS流量预测算法[期刊论文]-计算机技术与发展2010,20(11)

网络流量分析

网络流量分析概述 摘要 Internet自60年代出现以来发展迅猛,网络规模飞速膨胀,网络流量越来越大,网络信息对人们生活的影响也越来越深远,然而网络中P2P等应用正在大量的消耗网络的带宽资源,从而影响了关键业务的正常展开。因此,通过对网络中的各种业务流量进行分析,建立合适的预测模型就成为网络发展的必要。通过分析,能及时的发现网络中的异常,从而使得网络管理更主动,为网络的持续高性能运行提供主要的保障,为规划、设计网络提供科学依据。 本文首先介绍网络流量数据采集方法，通过分析他们的优缺点让读者对网络数据采集技术有一个初步的了解。然后本文介绍了两种基于不同技术的网络流分类方法: 深度数据包检测技术（DPI）和深度/动态流检测技术(DFI)。在DPI中，主要介绍AC状态机模式匹配算法实现多关键字的快速匹配。而DFI是基于流特征向量的分类方法，本文主要介绍分析了朴素贝叶斯方法。在特征选择方面，介绍了运用相关度和快速的过滤器选择方法（FCBF）来对特征进行筛选,得出有利于分类的特征子集，同时还可以去掉不相关或冗余特征，增加分类的准确性。最后，本文介绍了如何把网络流量分析的结果应用到入侵检测中,以发现网络中的异常。

目录 摘要 (1) 一、网络流量分析概述 (3) 1.1网络流量分析背景 (3) 1.2网络流量分析定义 (3) 1.3网络流量分析目的 (4) 1.4网络流量分析意义 (5) 二、网络流量采集 (6) 2.1 网络流 (6) 2.2 网络流的特性 (6) 2.3 网络流量采集介绍 (6) 2.4 主流网络流量采集技术 (7) 2.4.1 基于网络流量全镜像的采集技术 (7) 2.4.2 基于SNMP的流量采集技术。 (7) 2.4.3 基于 Netflow/sFlow的流量采集技术。 (8) 2.4.4 基于干路中桥接设备的采集技术 (9) 2.4 网络流量采集技术的对比 (10) 三、网络流量分析 (11) 3.1 基于DPI的网络流量分析技术 (11) 3.1.1 DPI提出的背景 (11) 3.1.2 DPI技术研究 (11) 3.1.3 AC自动机算法 (13) 3.1.4 DPI总结 (15) 3.2 基于DFI的网络流量分析技术 (16) 3.2.1 DFI的提出 (16) 3.2.2 基于DFI技术的方法的基本原理 (16) 3.2.3朴素贝叶斯分类器 (16) 3.2.4改进贝叶斯—FCBF（A Fast Correlation-Based Fliter）： (17) 3.2.5其他应用DFI技术的模型 (18) 3.3 DPI和DFI的对比： (19) 四、网络流量分析之应用：入侵检测 (20) 4.1入侵检测的基本定义以及方法 (20) 4.2网络流量在异常检测系统中的应用 (21) 4.2.1 特征参数的选取 (21) 4.2.2特征参数变化的提取 (21) 4.2.3.网络流量异常的判断 (22) 五、全文总结 (23) 参考文献 (24)