萬 斌 李密娜

（國家電網(wǎng)公司景德鎮(zhèn)供電分公司 江西 333000）

0 引言

網(wǎng)絡(luò)使用過程中，確保網(wǎng)絡(luò)流量的正常是網(wǎng)絡(luò)健康有序運(yùn)行的基礎(chǔ)，是網(wǎng)絡(luò)可持續(xù)發(fā)展的重要因素，網(wǎng)絡(luò)流量異常檢測(cè)及分析是網(wǎng)絡(luò)及安全管理領(lǐng)域的重要研究?jī)?nèi)容。網(wǎng)絡(luò)流量異常是指對(duì)網(wǎng)絡(luò)正常使用造成不良影響的網(wǎng)絡(luò)流量模式，引起網(wǎng)絡(luò)流量異常的原因很多。主要包括：（1）網(wǎng)絡(luò)攻擊，如 DDoS攻擊、DoS攻擊、端口查看等。（2）導(dǎo)致數(shù)據(jù)量模式改變的網(wǎng)絡(luò)病毒，如蠕蟲病毒等。（3）網(wǎng)絡(luò)的使用問題，如大量的P2P的應(yīng)用模式對(duì)網(wǎng)絡(luò)流量造成影響。（4）網(wǎng)絡(luò)誤配置及網(wǎng)絡(luò)存儲(chǔ)耗盡等。

網(wǎng)絡(luò)流量的異常檢測(cè)是指在網(wǎng)絡(luò)流量的運(yùn)行過程中，針對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)，及時(shí)找出存在流量異常的情況，并明確網(wǎng)絡(luò)流量異常的時(shí)間節(jié)點(diǎn)及地點(diǎn)。網(wǎng)絡(luò)流量的異常檢測(cè)具有全局性、整體性、動(dòng)態(tài)性、連貫性等特點(diǎn)，網(wǎng)絡(luò)流量的異常檢測(cè)的目的在于及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常的情況，及時(shí)將風(fēng)險(xiǎn)進(jìn)行有效地排除，確保網(wǎng)絡(luò)流量運(yùn)行的安全性。網(wǎng)絡(luò)流量異常的分析是在網(wǎng)絡(luò)流量異常情況檢測(cè)的基礎(chǔ)上，根據(jù)檢測(cè)結(jié)果，有效地辨析導(dǎo)致異常情況的原因及所屬類型，有效地診斷網(wǎng)絡(luò)異常情況的類型。流量異常檢測(cè)及分析是網(wǎng)絡(luò)流量異常監(jiān)視及響應(yīng)應(yīng)用的基礎(chǔ)，便于網(wǎng)絡(luò)及安全管理人員排查網(wǎng)絡(luò)異常、維護(hù)網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)、保證網(wǎng)絡(luò)的安全。

1 網(wǎng)絡(luò)流量的概述

1.1 網(wǎng)絡(luò)流量數(shù)據(jù)

網(wǎng)絡(luò)在運(yùn)行過程中，勢(shì)必會(huì)產(chǎn)生流量數(shù)據(jù)，這是網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)，也是網(wǎng)絡(luò)流量異常檢測(cè)的載體。如果網(wǎng)絡(luò)運(yùn)行不產(chǎn)生數(shù)據(jù)，那么就不會(huì)需要網(wǎng)絡(luò)流量的異常檢測(cè)。網(wǎng)絡(luò)流量數(shù)據(jù)源可以分成數(shù)據(jù)包分析、網(wǎng)絡(luò)流和SNMP統(tǒng)計(jì)數(shù)據(jù)。數(shù)據(jù)包分析是指流經(jīng)網(wǎng)絡(luò)或網(wǎng)絡(luò)鏈路上的IP數(shù)據(jù)包進(jìn)行解碼分析、統(tǒng)計(jì)分析；網(wǎng)絡(luò)流是在特定的源和目的端點(diǎn)之間的某一單向應(yīng)用數(shù)據(jù)包序列的聚合，由支持網(wǎng)絡(luò)流功能的路由器按照所轉(zhuǎn)發(fā)的數(shù)據(jù)包的屬性進(jìn)行聚集所產(chǎn)生。一個(gè)網(wǎng)絡(luò)流由一組屬性唯一識(shí)別：源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、服務(wù)類型、路由器輸入接口等。網(wǎng)絡(luò)流對(duì)數(shù)據(jù)包的信息缺乏感知能力，也就是說網(wǎng)絡(luò)流并不涵蓋信息內(nèi)容，網(wǎng)絡(luò)流也不會(huì)因?yàn)樾畔?nèi)容的不同而產(chǎn)生不同的流量，網(wǎng)絡(luò)流只會(huì)針對(duì)信息內(nèi)容的數(shù)據(jù)大小及特征來有效地辨析網(wǎng)絡(luò)流的運(yùn)行情況。這是網(wǎng)絡(luò)流運(yùn)行的主要特點(diǎn)，也是網(wǎng)絡(luò)流的主要運(yùn)行標(biāo)準(zhǔn)?？傮w來看，數(shù)據(jù)包分析是一種網(wǎng)路流量數(shù)據(jù)的最典型的類型，在實(shí)踐過程中，這種數(shù)據(jù)類型的運(yùn)行標(biāo)準(zhǔn)較高，粒度最細(xì)，涉及到的內(nèi)容非常廣泛，在這種類型下，網(wǎng)絡(luò)流量中的任何數(shù)據(jù)及相關(guān)細(xì)節(jié)都能被網(wǎng)絡(luò)流量感應(yīng)。與數(shù)據(jù)包分析相反，SNMP的數(shù)據(jù)要粗大很多，這種流量數(shù)據(jù)類型的包含內(nèi)容也相對(duì)較窄，在實(shí)踐過程中，這種數(shù)據(jù)類型僅僅包括一些轉(zhuǎn)發(fā)性質(zhì)的流量統(tǒng)計(jì)信息，而不像數(shù)據(jù)包分析一樣可以包含全面的數(shù)據(jù)信息。而且在數(shù)據(jù)信息的運(yùn)行過程中，這種流量數(shù)據(jù)類型并不會(huì)對(duì)數(shù)據(jù)信息的特點(diǎn)進(jìn)行記錄，更無法體現(xiàn)數(shù)據(jù)信息的內(nèi)容及相關(guān)細(xì)節(jié)。網(wǎng)絡(luò)流的粒度大小相對(duì)均衡，它實(shí)際上的大小應(yīng)該是在上述兩種網(wǎng)絡(luò)流量數(shù)據(jù)之間，與數(shù)據(jù)包分析類似，網(wǎng)絡(luò)流的內(nèi)容主要是指網(wǎng)絡(luò)數(shù)據(jù)的特點(diǎn)及特質(zhì)，但對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息的內(nèi)容涉及不深。這三種網(wǎng)絡(luò)流量數(shù)據(jù)在實(shí)踐運(yùn)用過程中各有特色，一般而言，在網(wǎng)絡(luò)流量異常檢測(cè)時(shí)，數(shù)據(jù)包分析及網(wǎng)絡(luò)流的作用會(huì)得到體現(xiàn)，這兩種類型可以在網(wǎng)絡(luò)流量出現(xiàn)異常情況時(shí)，可以通過對(duì)異常情況的分析與追蹤，及時(shí)地診斷網(wǎng)絡(luò)異常情況的類型。而SNMP則不具備這方面的功能，它的主要作用在于數(shù)據(jù)信息的統(tǒng)計(jì)工作?？傊?，在以上三種網(wǎng)絡(luò)流量數(shù)據(jù)的類型中，數(shù)據(jù)包分析的作用是相對(duì)較大的，數(shù)據(jù)包分析可以較好地運(yùn)用到網(wǎng)絡(luò)流量異常情況的檢測(cè)過程中，對(duì)網(wǎng)絡(luò)流量異常情況的檢測(cè)效率較高，檢測(cè)方法相對(duì)科學(xué)合理，能夠有效地檢測(cè)到網(wǎng)絡(luò)流量中存在的異常情況。因此在網(wǎng)絡(luò)流量異常檢測(cè)中，多采用網(wǎng)絡(luò)流數(shù)據(jù)包分析技術(shù)。

1.2 網(wǎng)絡(luò)流量的異常分類

網(wǎng)絡(luò)是一個(gè)開放性的系統(tǒng)，在網(wǎng)絡(luò)運(yùn)行過程中，造成網(wǎng)絡(luò)流量異常情況的類型非常豐富。網(wǎng)絡(luò)流量一旦出現(xiàn)異常情況，極有可能影響網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)流量造成嚴(yán)重的浪費(fèi)。因此在網(wǎng)絡(luò)流量的檢測(cè)與分析中，應(yīng)該有效地辨析網(wǎng)絡(luò)流量的異常情況，做好網(wǎng)絡(luò)流量異常情況的分類與整理工作。

1.2.1 網(wǎng)絡(luò)操作不良

在網(wǎng)絡(luò)流量的使用過程中，因網(wǎng)絡(luò)操作存在的故障或網(wǎng)絡(luò)操作存在異常等情況，使網(wǎng)絡(luò)流量出現(xiàn)異常。如在網(wǎng)絡(luò)流量的運(yùn)行過程中，由于網(wǎng)絡(luò)設(shè)備的變化，特別是網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備的改變等因素，都會(huì)影響網(wǎng)絡(luò)流量的變化，使網(wǎng)絡(luò)流量在運(yùn)行過程中出現(xiàn)異常情況。如原來的網(wǎng)絡(luò)設(shè)備出現(xiàn)故障，需要更換網(wǎng)絡(luò)設(shè)備，在新的網(wǎng)絡(luò)設(shè)備增加后，會(huì)在一定程度上影響網(wǎng)絡(luò)流量的大小。因網(wǎng)絡(luò)操作不良等造成的網(wǎng)絡(luò)流量異常情況具備一定的特點(diǎn)，在網(wǎng)絡(luò)操作的初始階段，網(wǎng)絡(luò)流量的異常變化是特別明顯的，流量的變化也是非常急劇的，但在網(wǎng)絡(luò)流量異常情況的初始階段結(jié)束后，網(wǎng)絡(luò)流量恢復(fù)了平穩(wěn)，即便存在變化，其變化也是微小的，也是相對(duì)平穩(wěn)的，更是不容易被人直觀發(fā)現(xiàn)的。

1.2.2 網(wǎng)絡(luò)突發(fā)流量

當(dāng)某個(gè)網(wǎng)絡(luò)信息或內(nèi)容的興趣點(diǎn)較高，吸引力較大，那么網(wǎng)站的訪問量就會(huì)突然增大。對(duì)于很多站點(diǎn)而言，它們的網(wǎng)絡(luò)容量是有限的，網(wǎng)絡(luò)的帶寬和處理能力也是有限的，當(dāng)服務(wù)器處于繁忙狀態(tài)或者網(wǎng)絡(luò)堵塞時(shí)，網(wǎng)站的性能就會(huì)下降。網(wǎng)絡(luò)突發(fā)流量的特征是指它們會(huì)在網(wǎng)絡(luò)中存在一定的時(shí)限，在這個(gè)時(shí)限內(nèi)，新的網(wǎng)絡(luò)用戶不斷地進(jìn)入網(wǎng)絡(luò)系統(tǒng)，從而引發(fā)了網(wǎng)絡(luò)流量的巨大變化?？傻冗@個(gè)時(shí)限過了之后，網(wǎng)路的流量恢復(fù)平穩(wěn)，很多網(wǎng)絡(luò)站點(diǎn)的服務(wù)器為了應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)流量，往往會(huì)在突發(fā)流量到來之際，提升服務(wù)器的性能，增加帶寬的處理能力。不過由于網(wǎng)絡(luò)突發(fā)流量具有非常明顯的時(shí)間性，因此網(wǎng)絡(luò)站點(diǎn)提升服務(wù)器規(guī)格及進(jìn)行拓展帶寬的應(yīng)對(duì)方式，實(shí)質(zhì)上浪費(fèi)了處理能力。一般內(nèi)容分發(fā)網(wǎng)絡(luò)或者按需要計(jì)算處理設(shè)施，能夠有效地應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)流量。

1.2.3 網(wǎng)絡(luò)濫用

直接導(dǎo)致網(wǎng)絡(luò)流量存在異常情況的行為還包括網(wǎng)絡(luò)濫用，網(wǎng)絡(luò)濫用不是指網(wǎng)絡(luò)的隨意使用，而是指在網(wǎng)絡(luò)運(yùn)用中，存在著DoS/DDoS攻擊和端口查看。這種網(wǎng)絡(luò)流量的異常行為在實(shí)踐中并不容易被檢測(cè)出來，運(yùn)用傳統(tǒng)的網(wǎng)絡(luò)流量檢測(cè)技術(shù)，很難有效地提升檢測(cè)的質(zhì)量，也很難保障全面有效地網(wǎng)絡(luò)檢測(cè)。不過運(yùn)用其他的網(wǎng)絡(luò)流量檢測(cè)技術(shù)能夠科學(xué)有效地將網(wǎng)絡(luò)流量異常情況檢測(cè)出來，一般往往運(yùn)用網(wǎng)絡(luò)流數(shù)據(jù)中按流計(jì)數(shù)的異常特征進(jìn)行檢測(cè)。

1.2.4 蠕蟲傳播

導(dǎo)致網(wǎng)絡(luò)流量存在異常情況的原因還包括病毒傳播，這是一種常見的網(wǎng)絡(luò)流量異常情況。網(wǎng)絡(luò)流量在使用的過程中，會(huì)產(chǎn)生一種蠕蟲的病毒，這種病毒具備一定的生長功能，可以存在病毒的網(wǎng)絡(luò)流量進(jìn)行一定的復(fù)制，從而使得病毒在網(wǎng)絡(luò)流量中不斷地傳播與擴(kuò)散。這種病毒的檢測(cè)在實(shí)踐運(yùn)用中一般很難有效地檢測(cè)出來，因?yàn)椴《緜鞑サ乃俣容^快，病毒傳播的范圍較廣，如果未采用科學(xué)全面的檢測(cè)技術(shù)很難將蠕蟲病毒快速有效地檢測(cè)出來。因此在蠕蟲病毒的檢測(cè)工作中，應(yīng)該在全網(wǎng)范圍內(nèi)進(jìn)行安全檢測(cè)，對(duì)全網(wǎng)的流量實(shí)行逐一的檢測(cè)，并根據(jù)網(wǎng)絡(luò)流量的特點(diǎn)分析，有效地辨析網(wǎng)絡(luò)流量特點(diǎn)變化，對(duì)比不同的網(wǎng)絡(luò)流量變化來有效地剔除網(wǎng)絡(luò)流量中的異常情況。

網(wǎng)絡(luò)流量異常檢測(cè)及分析是建立在網(wǎng)絡(luò)流量的概述的基礎(chǔ)上的，只有明確網(wǎng)絡(luò)流量的特征及網(wǎng)絡(luò)流量異常情況的分類，才能有效地真正地實(shí)行網(wǎng)絡(luò)流量的異常檢測(cè)及分析工作。

2 網(wǎng)絡(luò)流量異常檢測(cè)與分析

2.1 網(wǎng)絡(luò)流量異常檢測(cè)的范圍

網(wǎng)絡(luò)流量異常檢測(cè)的范圍不是固定的，而應(yīng)該根據(jù)網(wǎng)絡(luò)流量異常情況的特質(zhì)及檢測(cè)難易程度來有效地運(yùn)用網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)，從而確定網(wǎng)絡(luò)流量異常檢測(cè)的范圍。

2.1.1 全網(wǎng)異常檢測(cè)

全網(wǎng)異常檢測(cè)是一種相對(duì)復(fù)雜相對(duì)系統(tǒng)的檢測(cè)工程，在全網(wǎng)異常檢測(cè)中，應(yīng)該根據(jù)全網(wǎng)流量的異常情況，有效地運(yùn)用檢測(cè)技術(shù)。因?yàn)槿W(wǎng)異常檢測(cè)的標(biāo)準(zhǔn)比較高，如果在實(shí)踐中未能有效地運(yùn)用相應(yīng)的檢測(cè)技術(shù)，那么全網(wǎng)異常檢測(cè)的功用自然難以發(fā)揮，還會(huì)造成全網(wǎng)檢測(cè)技術(shù)及資金的巨大浪費(fèi)。因此在全網(wǎng)異常檢測(cè)中，應(yīng)該注重科學(xué)合理地選擇數(shù)據(jù)采集點(diǎn)，由根據(jù)分析實(shí)際異常情況采集、分析全網(wǎng)的通訊數(shù)據(jù)包，實(shí)行全面的網(wǎng)絡(luò)異常檢測(cè)。

2.1.2 鏈路異常檢測(cè)

鏈路異常檢測(cè)是一種局部檢測(cè)，與全網(wǎng)異常檢測(cè)不同，鏈路異常檢測(cè)只注重在某一鏈路中存在的網(wǎng)路流量異常情況進(jìn)行針對(duì)性地檢測(cè)。這種檢測(cè)的目的性較強(qiáng)，檢測(cè)技術(shù)的標(biāo)準(zhǔn)相對(duì)較低，在確定的范圍內(nèi)，只需要運(yùn)用一定的檢測(cè)技術(shù)，就可以順利地辨析網(wǎng)絡(luò)流量的異常情況，并根據(jù)網(wǎng)絡(luò)流量的異常情況，及時(shí)地診斷網(wǎng)絡(luò)流量異常情況的類型。

2.2 流量異常分析的深度

2.2.1 異常檢測(cè)

網(wǎng)絡(luò)流量的異常檢測(cè)是指在網(wǎng)絡(luò)流量的運(yùn)行過程中，有效地確定網(wǎng)絡(luò)流量的異常情況，并及時(shí)地檢測(cè)出網(wǎng)絡(luò)異常情況的時(shí)間及發(fā)生異常點(diǎn)及異常原因。針對(duì)網(wǎng)絡(luò)流量異常檢測(cè)的技術(shù)標(biāo)準(zhǔn)，并不一致，在網(wǎng)絡(luò)流量的檢測(cè)過程中，根據(jù)異常情況的特點(diǎn)，在未診斷出異常情況的類型時(shí)，根據(jù)特點(diǎn)來針對(duì)性地選擇運(yùn)用哪種網(wǎng)絡(luò)流量檢測(cè)技術(shù)。一般采用數(shù)據(jù)包深度分析來進(jìn)行網(wǎng)絡(luò)流量的全網(wǎng)檢測(cè)，這種檢測(cè)方法能夠?qū)⒕W(wǎng)絡(luò)流量的異常情況精準(zhǔn)地確定異常點(diǎn)、異常原因，在什么時(shí)間節(jié)點(diǎn)發(fā)生了網(wǎng)絡(luò)流量的異常情況。

2.2.2 異常確定

在網(wǎng)絡(luò)流量出現(xiàn)異常情況后，異常確定能夠有效地辨析網(wǎng)絡(luò)流量異常情況的特征。網(wǎng)絡(luò)流量的異常情況往往都具備各自的特征，這種特征是網(wǎng)絡(luò)流量異常檢測(cè)的重點(diǎn)內(nèi)容，因?yàn)榫W(wǎng)絡(luò)流量的異常檢測(cè)的目的不在于精準(zhǔn)地找出異常情況，而是根據(jù)異常情況的特質(zhì)及特點(diǎn)，來診斷網(wǎng)絡(luò)流量異常情況的類型，以便做出及時(shí)地針對(duì)性地解決措施，保障網(wǎng)絡(luò)流量數(shù)據(jù)的安全性，保障網(wǎng)絡(luò)運(yùn)行的科學(xué)與高效。

2.2.3 異常診斷

異常診斷是網(wǎng)絡(luò)流量異常檢測(cè)中的核心內(nèi)容，在異常檢測(cè)、異常確定等基礎(chǔ)上，人們掌握了網(wǎng)絡(luò)流量異常情況發(fā)生的時(shí)間、發(fā)生的地點(diǎn)、發(fā)生的特征，即可以對(duì)網(wǎng)絡(luò)異常情況進(jìn)行科學(xué)的診斷。異常診斷可以辨別異常情況的類型，同時(shí)還可以根據(jù)異常情況的類型，有效地找出出現(xiàn)網(wǎng)絡(luò)流量異常情況的原因。在網(wǎng)絡(luò)流量的使用過程中，導(dǎo)致網(wǎng)絡(luò)流量出現(xiàn)異常情況的原因是多方面的，既有網(wǎng)絡(luò)配置的原因，同時(shí)也包括蠕蟲病毒等攻擊。通過異常診斷后，人們可以獲知網(wǎng)絡(luò)流量異常情況的原因，然后針對(duì)性地采取措施來解決網(wǎng)絡(luò)流量的異常情況。

2.3 實(shí)時(shí)檢測(cè)與回溯檢測(cè)

根據(jù)網(wǎng)絡(luò)流量存在的異常情況，還可以運(yùn)用實(shí)時(shí)檢測(cè)或者回溯檢測(cè)的方式。所謂的實(shí)時(shí)檢測(cè)，就是在網(wǎng)絡(luò)運(yùn)行的過程中，根據(jù)網(wǎng)絡(luò)流量存在的異常情況，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的異常檢測(cè)，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)流量的異常情況，并及時(shí)地運(yùn)用相應(yīng)的措施來解決網(wǎng)絡(luò)流量中存在的問題。運(yùn)用實(shí)時(shí)檢測(cè)需要注意的是在檢測(cè)過程中，要實(shí)時(shí)地對(duì)網(wǎng)絡(luò)流量的數(shù)據(jù)進(jìn)行采集與分析。不過現(xiàn)階段實(shí)時(shí)檢測(cè)的方法并不系統(tǒng)，檢測(cè)的效果與質(zhì)量也較難得到保障。因此為提升網(wǎng)絡(luò)流量異常檢測(cè)的科學(xué)性，應(yīng)該積極地改良網(wǎng)絡(luò)流量在線檢測(cè)技術(shù)?；厮輽z測(cè)是針對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)檢測(cè)技術(shù)發(fā)展起來的?；厮輽z測(cè)時(shí)，無需網(wǎng)絡(luò)運(yùn)行，只需要對(duì)網(wǎng)絡(luò)運(yùn)行中的歷史痕跡及相關(guān)信息數(shù)據(jù)的日志、保存的原始數(shù)據(jù)內(nèi)容進(jìn)行分析，就可以實(shí)現(xiàn)回溯檢測(cè)?；厮輽z測(cè)與實(shí)時(shí)檢測(cè)的側(cè)重點(diǎn)不一樣，在具體的檢測(cè)過程中，所依據(jù)的數(shù)據(jù)信息也不一致，但兩種檢測(cè)方式都可以較好地檢測(cè)網(wǎng)絡(luò)流量中存在的異常情況。

3 總結(jié)

在網(wǎng)絡(luò)的運(yùn)行過程中，因系統(tǒng)故障、設(shè)備原因、病毒原因、操作原因等會(huì)導(dǎo)致網(wǎng)絡(luò)流量出現(xiàn)異常情況。在網(wǎng)絡(luò)流量出現(xiàn)異常情況時(shí)，應(yīng)該及時(shí)地運(yùn)用網(wǎng)絡(luò)流量的異常檢測(cè)技術(shù)，分門別類地進(jìn)行全網(wǎng)檢測(cè)或者鏈路檢測(cè)，然后分析異常情況的特點(diǎn)及特質(zhì)，分析異常情況的產(chǎn)生原因，進(jìn)行異常情況的確定，并診斷異常情況的類型，采取積極的措施來解決網(wǎng)絡(luò)流量的異常情況，確保網(wǎng)絡(luò)的高速穩(wěn)定地運(yùn)行。在網(wǎng)絡(luò)流量的檢測(cè)過程中，還可以根據(jù)網(wǎng)絡(luò)流量異常情況的特點(diǎn)，選擇在線檢測(cè)或離線檢測(cè)的方式。

[1]夏正敏.基于分形的網(wǎng)絡(luò)流量分析及異常檢測(cè)技術(shù)研究[J].上海交通大學(xué).2012.

[2]王樹瑾.改進(jìn) QoS實(shí)時(shí)監(jiān)測(cè)動(dòng)態(tài)模型的研究[D].黑龍江大學(xué).2013.

[3]陳明兵,劉知貴.用于網(wǎng)絡(luò)流量異常檢測(cè)的數(shù)據(jù)采集方法的研究[J].電腦知識(shí)與技術(shù).2009.

[4]任志良,鄧志東,帥典勛，孫增圻.計(jì)算機(jī)網(wǎng)絡(luò)模型中的復(fù)雜性現(xiàn)象分析[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版).2002.

[5]楊強(qiáng),谷利澤.基于模糊綜合評(píng)判的入侵檢測(cè)告警處置模型[A].2009通信理論與技術(shù)新發(fā)展——第十四屆全國青年通信學(xué)術(shù)會(huì)議論文集[C].2009.

[6]王建榮.基于自相似特性的片上網(wǎng)絡(luò)流量分析與建模[D].電子科技大學(xué).2011.

[7][美]Chris Sanders.譯：諸葛建偉,陳霖,許偉林.Wireshark 數(shù)據(jù)包分析實(shí)戰(zhàn).人民郵電出版社.2013.