流量分析新贵:NetFlow （下）

相对于较老的V5而言，NetFlow V9作为最新版本，主要体现出了以下两个技术特色： 　　-Aggregation功能：在高端路由器上启用NetFlow时有可能产生较大的数据输出。为有效降低NetFlow报文对资源的占用，其中一个有效的方法就是利用Aggregation的聚合作用(另外一个方法就是提高Sampling抽样率)。NetFlow V9提供了11种Aggregation方案，分别基于AS、Destination_Prefix、Prefix、Protocol_Port、Source Prefix、AS_ToS、Destination_Prefix_ToS 、Prefix_ToS、Protocol_Port_ToS、Source Prefix_ToS、Prefix_Port进行数据汇总，能够有效降低NetFlow数据对传输带宽和处理主机的资源占用，提高了NetFlow在高端网络中的适用性； 　　-Template功能：NetFlow V9是首先对Template进行支持的版本，通过Template功能NetFlow V9获得了前所未有的扩展灵活性。Template描述了NetFlow输出记录的各字段定义，无需改变现有规范即可支持将来可能出现的增强功能，从而无需重新编译、修改流量采集分析系统即可快速支持新增功能特征。 　　NetFlow与SNMP的不同 　　无论是MIB还是后来的RMON，SNMP所针对的信息一般都围绕网元设备展开，如Interface吞吐率、接收到的坏帧数量、CPU/RAM利用率等。而NetFlow正如同它的名字一样，其所关注的重点在于网络链路上所传输流量的特征信息，并且这些信息能够更直接的反映出当前网络上访问行为分布以及合同客户此时所得到的真实的服务质量水平。 　　NetFlow与SNMP的主要差异可以从以下几点得到说明： 　　-NetFlow关注流量特征，SNMP关注设备状态； 　　-NetFlow直接围绕Session会话连接进行数据提取，而SNMP则以物理接口为基本单位进行数据统计； 　　-从Agent角度来看，NetFlow采用数据主动推送技术，SNMP则主要采取被动轮询机制； 　　-NetFlow数据信息更为丰富、描述能力更强； 　　-NetFlow支持抽样操作，具备良好的扩展弹性，能够更好适应高端网络实际需求； 　　-SNMP功能通常随着设备销售而免费提供，而在很多现有设备中，NetFlow作为增值功能则需要额外购买许可License或特定软件包。 　　因此，在网络流量测量及分析系统中，如异常流量分析系统，NetFlow已经成为一个重要的数据提取方式，为高端网络骨干链路的实时流量采集分析提供高效、准确的数据摘要提取服务，是网络流量分析阵营不可或缺的基础技术。 　　NetFlow在流量分析技术中的应用 　　正是由于Flow技术突出的技术优势，在东软公司NTars异常流量分析与响应系统中，NetFlow被作为基本的数据采集手段而获得支持，为NTars在电信运行商和其他高端行业用户流量分析市场的应用提供了重要的技术保障。 NTars异常流量分析与响应系统是综合了流量采集、行为分析、实时监控、蠕虫监测、垃圾邮件监测、网络管理、设备管理、安全响应、应用审计、内容检测、路由分析等功能的复合体，覆盖了安全检测系统(如IDS)、安全防护系统(如防火墙)、网络管理系统(如通用网管系统)多个传统职能范围，是面向高端骨干网络提供跨越安全体系与网管体系的综合运行维护系统。 　　NetFlow、Sflow、Cflowd、NetStream是NTars系统最基本的数据采集手段。得益于Flow技术的强大支持，NTars充分体现了其在高端网络骨干链路中实时流量分析的适用性： 　　-Flow提供了NTars与主流网络设备之间数据采集接口的规范性。无论是哪种Flow格式，都定义了数据交互的标准格式，NTars系统能够通过这些格式规范支持业内几乎所有的主流网络设备，如Cisco、Foundry、Extreme、Juniper、华为等，保证了对采集目标网元设备良好的兼容性； 　　-Flow使高速链路实时流量检测成为可能。相对于SNMP或者SPAN镜像方式，Flow允许对目标流量进行适当的抽样采集和汇总，如基于帧抽样、基于时间抽样、伪随机方式抽样以及Aggregation方案等，能够将原有高速流量进行几乎不失真的缩小处理，从而能够在不影响准确率的前提下有效降低对分析系统处理能力的要求，为NTars在高端网络10G以上链路的部署提供了可能； 　　-Flow可有效支持监测目标网络的平滑扩展。Flow通过Template实现了对未来功能扩展的支持，允许分析系统在无需重编译的情况下快捷的实现功能扩充，而且Flow可变的抽样率和不失真的采样操作，能够满足监测目标网络包括容量、功能在内的多方面升级扩展需求； 　　-Flow提供实现针对性应用内容检测的可行性。NTars在进行流量统计分析的同时，丝毫没有忽视对应用层内容安全的保护。SPAN是NTars进行应用层内容检测的主要数据来源。由于SPAN是与物理/逻辑端口相关联的，而Flow能够告诉NTars当前可疑会话的出入端口信息，从而为NTars调整SPAN策略提供了信息支持； 　　-Flow具备更详尽的会话描述能力。在NetFlow V9中，缺省提供了多达89种字段类型，并允许通过Template和Aggregation机制进行任意组合、汇聚，能够详细描述流量分布的各类特征，为NTars快速、准确的完成流量分析提供了坚实的数据基础。 　　虽然NTars系统可通过Flow、SPAN/TAP/分光、SNMP多种方式实现数据信息采集，但正是由于Flow技术的上述特点才使得NTars系统真正具备了高端网络骨干链路实时监测能力，尤其是在未进行应用层内容检测的情况下，Flow几乎可以提供Ntars所需的全部检测流量特征信息，已经成为异常流量分析系统运行最基本的技术要求。