论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——ras,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,taras系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,oa,erp等关键业务与bt,qq等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据cncert/cc获得的数据表明,2006年上半年约有14万台中国大陆主机感染过beagle和slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。WWw、133229、COm
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(trafficanalysisandriskassessmentsystem,taras)。
当前,网络流量异常监测主要基于tcp/ip协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对subhabratasen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在linux环境下使用libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于linux下的netfilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对tcp报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个tcp连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:qq协议的服务器端口基本不会出现在80,8000,4000以外的端口;http协议基本不会出现在80,443,8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3、1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,p2p及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵a的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于tcp/ip协议的广泛应用,网络流量中的绝大部分使用基于tcp的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,lij表示第i台主机第j组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机ip地址,主机应用流分组名,应用流名称列表。
3、2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3、2、1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,a各节点应用分组流量的集合;l为网络连接的集合;h是各节点通信主机数集合;sij是各节点量化评估的结果集合。定义安全评估函数f(a,l,h)=sij(1≤i≤n,1≤j≤5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为f则该过程可用数学描述如下:
其中,sij为各网络节点中应用流分组的安全评分。
3、2、2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵th,将该过程用运算h表示为
其中,tij为第i台主机第j组应用流的安全等级。
4实验结果
4、1应用流的识别率
由于taras系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,taras系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,taras对各种协议的识别存在漏报和误报的情况。具体来看,emule应用由于大量使用udp传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被qq和msn2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4、2应用流的风险评估
为了测试taras系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用ftp执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2048kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用bt进行下载,并使其流量达到1536kb/s,根据风险评估策略,该主机的p2p及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为tetras系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,taras系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然taras系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——taras。该系统主要解决网络流量管理中的2个问题:
价格、、、、、、、、、、、、、、、、、、、、、、、、待定
网址 /ft_service/
设计参数
Flow分析:50,000 session/s
Flow 转发:1,000,000 session/s
最大检测tcp会话数:≥1,000,000
ip碎片重组:≥500,000
对于作为整体网络骨干的干线网而言,整个管理层面更为关注的不是单个简单攻击,而是那些针对性很强的、旨在破坏网络骨干和整体业务运营的异常网络行为。各种异常流量行为对网络骨干的充斥,极大地增加了网络资源的压力,过多消耗了网络资源,在很大程度上影响到正常业务的运行。严重时,这些异常网络行为会造成网络瘫痪以及正常业务的中断。
现有的防火墙、入侵检测、协议分析器等安全设备都无法很好地解决骨干网络的异常流量监测与响应问题。这些现有的安全设备一方面不能有效地检测和处理异常流量和攻击,另一方面对于在网内传播的异常流量和攻击也不能快速准确定位。如何智能化解决这个问题,成为骨干网络安全的基础。
东软软件公司推出的NetEye异常流量分析与响应系统(NTARS)即是针对这类需求而推出的针对性解决方案,可以协助管理员有效解决骨干网络中急需解决的安全问题:DoS/DDoS攻击、蠕虫与病毒、垃圾邮件、漏洞隐患、网络滥用等。
NetEye Ntars主要用于骨干网络的监控检测和分析,通过对骨干网络流量信息和系统信息的收集,采用多种方法进行分析、检测,实时监控、检测骨干网络中DoS/DDoS攻击、蠕虫病毒、垃圾邮件及其他网络异常事件,提取异常特征,并启动报警和响应系统进行过滤、阻断和防御。
同时,面向管理员提供流量分布、流量排名、攻击来源和目标、应用层服务等各类关于骨干网络运行状况的统计分析数据,从而帮助管理员更好地监控和掌握骨干网络的使用情况。
关键词:网络性能测量技术性能指标分析与研究
1、引言
随着Internet技术和网络业务的飞速发展,用户对网络资源的需求空前增长,网络也变得越来越复杂。不断增加的网络用户和应用,导致网络负担沉重,网络设备超负荷运转,从而引起网络性能下降。这就需要对网络的性能指标进行提取与分析,对网络性能进行改善和提高。因此网络性能测量便应运而生。发现网络瓶颈,优化网络配置,并进一步发现网络中可能存在的潜在危险,更加有效地进行网络性能管理,提供网络服务质量的验证和控制,对服务提供商的服务质量指标进行量化、比较和验证,是网络性能测量的主要目的。
2、网络性能测量的概念
2、1网络性能的概念
网络性能可以采用以下方式定义[1]:网络性能是对一系列对于运营商有意义的,并可用于系统设计、配置、操作和维护的参数进行测量所得到的结果。可见,网络性能是与终端性能以及用户的操作无关的,是网络本身特性的体现,可以由一系列的性能参数来测量和描述。
2、2网络性能参数的概念
对网络性能进行度量和描述的工具就是网络性能参数。IETF和ITU-T都各自定义了一套性能参数,并且还在不断的补充和修订之中。
2、2、1性能参数的制定原则
网络性能参数的制定必须遵循如下几个原则:
1)性能参数必须是具体的和有明确定义的;
2)性能参数的测量方法对于同一参数必须具有可重复性,即在相同条件下多次使用该方法所获得的测量结果应该相同;
3)性能参数必须具有公平性,即对同种网络的测量结果不应有差异而对不同网络的测量结果则应出现差异;
4)性能参数必须有助于用户和运营商了解他们所使用或提供的IP网络性能;
5)性能参数必须排除人为因素;
2、2、2ITU-T定义的IP网络性能参数
ITU-T对IP网络性能参数的定义[2]包括:
1)IP包传输延迟(PacketTransferDelay,IPTD)
2)IP包时延变化(IPPacketDelayVariation,IPDV)
3)IP包误差率(IPPacketErrorRateIPER)
4)IP包丢失率(IPPacketLassRate,IPLR)
5)虚假IP包率(SpuriousIPPacketRate)
6)流量参数(Flowrelatedparameters)
7)业务可用性(IPServiceAvailability)
2、2、3IETF定义的IP网络性能参数
IETF将性能参数[3]称为“度量(Metric)。由IPPM(IPPerformanceMetrics)工作组来负责网络性能方面的研究及性能参数的制定。IETF对IP网络性能参数的定义包括:
1)IP连接性
2)IP包传送时延
3)IP包丢失率
4)IP包时延变化
5)流量参数
2、3网络性能结构模型
从空间的角度来看,网络整体性能可以分为两种结构:立体结构模型和水平结构模型。
2、3、1立体结构模型
IP网络就其协议栈来说是一个层次化的网络,因此,对IP网络性能的研究也可以按照一种自上而下的方法进行。可以以IP层的性能为基础,来研究IP层不同性能与上层不同应用性能之间的映射关系。
2、3、2水平结构模型
对于网络的性能,用户主要关心的是端到端的性能,因此从用户的角度来看,可以利用水平结构模型来对IP网络的端到端性能进行分析。
3、网络性能测量的方法
网络性能测量涉及到许多内容,如采用主动方式还是被动方式进行测量;发送测量包的类型;发送与截取测量包的采样方式;所采用的测量体系结构是集中式还是分布式等等。
3、1测量包
网络性能测量中,影响测量结果的一个重要因素就是测量数据包的类型。
3、1、1P类型包
类型P是对IP包类型的一种通用的声明。只要一个性能参数的值取决于对测量中采用的包的类型,那么参数的名称一定要包含一个具体的类型声明。
3、1、2标准形式的测量包
在定义一个网络性能参数时,应默认测量中使用的是标准类型的包。比如可以定义一个IP连通性度量为:“IP某字段为0的标准形式的P类型IP连通性”。在实际测量中,很多情况下包长会影响绝大多数性能参数的测量结果,包长的变化对于不同目的的测量来说影响也会不一样。
3、2主动测量与被动测量方式
最常见的IP网络性能测量方法有两类:主动测量和被动测量。这两种方法的作用和特点不同,可以相互作为补充。
3、2、1主动测量
主动测量是在选定的测量点上利用测量工具有目的地主动产生测量流量,注入网络,并根据测量数据流的传送情况来分析网络的性能。主动测量的优点是对测量过程的可控性比较高,灵活、机动,易于进行端到端的性能测量;缺点是注入的测量流量会改变网络本身的运行情况,使得测量的结果与实际情况存在一定的偏差,而且测量流量还会增加网络负担。主动测量在性能参数的测量中应用十分广泛,目前大多数测量系统都涉及到主动测量。
要对一个网络进行主动测量,需要一个测量系统,这种主动测量系统一般包括以下四个部分:测量节点(探针)、中心服务器、中心数据库和分析服务器。有中心服务器对测量节点进行控制,由测量节点执行测量任务,测量数据由中心数据库保存,数据分析则由分析服务器完成。
3、2、2被动测量
被动测量是指在链路或设备(如路由器,交换机等)上利用测量设备对网络进行监测,而不需要产生多余流量的测量方法。被动测量的优点在于理论上它不产生多余流量,不会增加网络负担;其缺点在于被动测量基本上是基于对单个设备的监测,很难对网络端到端的性能进行分析,并且可能实时采集的数据量过大,另外还存在用户数据泄漏等安全性和隐私问题。
被动测量非常适合用来进行流量测量。
3、2、3主动测量与被动测量的结合
主动测量与被动测量各有其优、缺点,而且对于不同的性能参数来说,主动测量和被动测量也都有其各自的用途。因此,将主动测量与被动测量相结合将会给网络性能测量带来新的发展。
3、3测量中的抽样
3、3、1抽样概念
抽样,也叫采样,抽样的特性是由抽样过程所服从的分布函数所决定的。研究抽样,主要就是研究其分布函数。对于主动测量,其抽样是指发送测量数据包的过程;对于被动测量来说,抽样则是指从业务流量中采集测量数据的过程。
3、3、2抽样方法
依据抽样时间间隔所服从的分布,抽样方法可分为很多种,目前比较常用的抽样方法是周期抽样、随机附加抽样和泊松抽样[4]。周期抽样是一种最简单的抽样方式,每隔固定时间产生一次抽样。因为简单,所以应用的很多。但它存在以下一些缺点:测量容易具有周期性、具有很强的可预测性、会使被测网络陷入一种同步状态。随机附加抽样的抽样间隔的产生是相互独立的,并服从某种分布函数,这种抽样方法的优劣取决于分布函数:当时间间隔以概率1取某个常数,那么该抽样就退化为周期抽样。随机附加抽样的主要优点在于其抽样间隔是随机产生的,因此可以避免对网络产生同步效应,它的主要缺点是由于抽样不是以固定间隔进行,从而导致频域分析复杂化。
在RFC2330中,推荐泊松抽样,它的时间间隔符合泊松分布,它的优点是:能够实现对测量结果的无偏估计、测量结果不可预测、不会产生同步现象。但是,由于指数函数是无界的,因此泊松抽样有可能产生很长的抽样间隔,因此,实际应用中可以限定一个最大间隔值,以加速抽样过程的收敛。
4、性能指标的测量与分析
4、1连接性
连接性[5]也称可用性、连通性或者可达性,严格说应该是网络的基本能力或属性,不能称为性能,但ITU-T建议可以用一些方法进行定量的测量。目前还提出了连通率的概念,根据连通率的分布状况建立拟合模型。
4、2延迟
延迟的定义是[6]:IP包穿越一个或多个网段所经历的时间。延迟由固定延迟和可变延迟两部分组成[7][8]。固定延迟基本不变,由传播延迟和传输延迟构成;可变延迟由中间路由器处理延迟和排队等待延迟两部分构成。对于单向延迟测量要求时钟严格同步,这在实际的测量中很难做到,许多测量方案都采用往返延迟,以避开时钟同步问题。
往返延迟的测量方法是:入口路由器将测量包打上时戳后,发送到出口路由器。出口路由器一接收到测量包便打上时戳,随后立即使该数据包原路返回。入口路由器接收到返回的数据包之后就可以评估路径的端到端时延。
4、3丢包率
丢包率的定义是[9]:丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。
为了评估网络的丢包率,一般采用直接发送测量包来进行测量。对丢包率进行准确的评估与预测则需要一定的数学模型。目前评估网络丢包率的模型主要有贝努利模型、马尔可夫模型和隐马尔可夫模型等等[10]。贝努利模型是基于独立同分布的,即假定每个数据包在网络上传输时被丢弃的概率是不相关的,因此它比较简单但预测的准确度以及可靠性都不太理想。但是,由于先进先出的排队方式的采用,使得包丢失之间有很强的相关性,即在传输过程中,包被丢失受上一个包丢失的影响相当大。假定用随机变量Xi代表包的丢失事件,Xi=0表示包丢失,而Xi=1表
示包未丢失。则第i个包丢失的概率为P[Xi|Xi-1,Xi-2,…Xi-n],Xi-1,Xi-2,、、、Xi-n取所有的组合情况。当N=2时,该Markov链退化为著名的Gilbert模型。隐马尔可夫模型是对马尔可夫模型的改进。
MayaYajnik等人所作的172小时的测量试验[11]结果表明,在不同的数据采样间隔下(20ms,40ms,80ms,160ms)采用三种不同的丢包率分析模型进行分析得到的结果完全不同,在不同的估计精确度的要求下实验结果也各有不同。因此,目前需要能够精确描述丢包率的数学模型。
4、4带宽
带宽一般分为瓶颈带宽和可用带宽。瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。对瓶颈带宽的测量一般采用包对(packetpair)技术,但是由于交叉流量的存在会出现“时间压缩”或“时间延伸”现象,从而会引起瓶颈带宽的高估或低估。另外,还有包列等其它测量技术。
可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。因为背景流量的出现与否及其占用的带宽都是随机的,所以可用带宽的测量比较困难。一般采用根据单向延迟变化情况可用带宽进行逼近。其基本思想是:当以大于可用带宽的速率发送测量包时,单向延迟会呈现增大趋势,而以小于可用带宽的速率发送测量包时,单向延迟不会变化。所以,发送端可以根据上一次发送测量包时单向延迟的变化情况动态调整此次发送测量包的速率,直到单向延迟不再发生增大趋势为止,然后用最近两次发送测量包速率的平均值来估计可用带宽
瓶颈带宽反映了路径的静态特征,而可用带宽真正反映了在某一段时间内链路的实际通信能力,所以可用带宽的测量具有更重要的意义。
4、5流量参数
ITU-T提出两种流量参数作为参考:一种是以一段时间间隔内在测量点上观测到的所有传输成功的IP包数量除以时间间隔,即包吞吐量;另一种是基于字节吞吐量:用传输成功的IP包中总字节数除以时间间隔。
Internet业务量的高突发性以及网络的异构性,使得网络呈现复杂的非线性,建立流量模型越发变得重要。早期的网络流量模型,是经典流量模型,也即借鉴PSTN的流量模型,用poisson模型描述数据网络的流量,以及后来的分组火车模型,Markov模型等等。随着网络流量子相似性的发现,基于自相似模型的流量建模研究也取得了不少进展和得到了广泛的应用,譬如分形布朗运动模型和分形高斯噪声模型以及小波理论分析等等。高速网络技术的发展使得对巨大的网络流量进行直接测量几乎不可能,同时,大量的流量日志也使流量分析变得相当困难。为了解决这一问题,近几年,流量抽样测量研究已成为高速网络流量测量的研究重点。
5、网络性能测量的展望
网络性能测量中还有许多关键技术值得研究。例如:单向测量中的时钟同步问题;主动测量与被动测量的抽样算法研究;多种测量工具之间的协同工作;网络测量体系结构的搭建;性能指标的量化问题;性能指标的模型化分析[12]~[16];对网络未来状况进行趋势预测;对海量测量数据进行数据挖掘或者利用已有的模型(Petri网、自相似性、排队论)研究其自相似性特征[17]~[19];测量与分析结果的可视化,以及由测量所引起的安全性问题等等都是目前和今后所要研究的重要内容。随着网络性能相关理论、测量方法、分析模型研究的逐渐深入、各种测量工具的不断出现以及大型测量项目的不断开展,人们对网络的认识会越来越深刻,从而不断地推动网络技术向前发展。
6、结束语:
本文对目前网络性能测量技术的主要方面进行了介绍和分析并对未来网络性能测量的研究重点进行了展望。
参考文献
[1]ITU-T建议1、350
[2]ITU-T,建议Y1540
[3]IETF,RFC2330,"FrameworkforIPPerformanceMetrics"TableofContents6
[4]IETF,RFC2330,"FrameworkforIPPerformanceMetrics"TableofContents11
[5]IETF,RFC2678,"IPPMMetricsMeasuringConnectivity"
[5]IETF,RFC2679,"AOne-wayDelayMetricforIPPM"
[6]IETF,RFC2681,"ARound-tripDelayMetricforIPPM"
[7]IETF、RFC3393,"IPPacketDelayVariationMetricforIPPM"
PDF文件使用"pdfFactoryPro"试用版本创建
[8]IETF,RFC2680,"AOne-wayPacketLossMetricforIPPM"
[9]H、SanneckandG、CarleGMDFokus,Kaiserin-Augusta-Allee31,D-10589Berlin,Germany,"AFramework
ModelforPacketLossMetricsBasedonLossRunlengths"
[10]MayaYajnik,SueMoon,JimKuroseandDonTowsley,"MeasurementandModellingoftheTemporal
DependenceinPacketLoss",DepartmentofComputerScienceUniversityofMassachusettsAmherst,MA01003
USA
[11]JacobsonV,"PathcharATooltoInferCharacteristicsofInternetPaths、"
[12]LOPRESTIF,DUFFIELDNG,HOROWITZJ,etal、“Multicast-basedInferenceofNetworkInternet-Delay
Distributions”、UniversityofMassachusetts,Amherst,ComputerScience,TechnicalReportUM-CS-1999-055,
1999、
[13]DUFFIELDNG,LOPRESTIF、“Multicastinferenceofpacketdelayvarianceatinteriornetworklinks”、
IEEEINFOCOM2000[C]、TelAvivIsrael,2000、
[14]HUANGL,SEZAKIK、“End-to-endInternetDelayDynamics”、IEICETechnicalReportofCQWG,May
2000、
[15]OHSAKIH,MURATAM,MIYAHARAH,“Modelingend-to-endpacketdelaydynamicsoftheInternet”
usingsystemidentification[A]、InternationalTeletrafficCongress17[C]、SalvadordaBahia,Brazil,2001、
[16]SueB、Moon,"MeasurementandAnalysisofEnd-to-EndDelayandLossinTheInternet"
[17]J、-C、Bolot、“End-to-endpacketdelayandlossbehaviorintheInternet”、InProceedingsofACMSIGCOMM,
SanFrancisco,August1993、
[18]V、Paxson,“MeasurementsandAnalysisofEnd-to-EndInternetDynamics”,Ph、D、dissertation,1997、
网络营销策划方案范文是学习网络营销方案策划的捷径,网络营销方案撰写的内容包括网站运营状况分析、网优化方案、网站推广方案、网络营销人员培训等内容。
网络营销策划方案详细撰写内容
一、网站分析
1、网站流量分析
安装一套流量统计系统(如礼氏物语高档礼品网站底部公共栏目下方51yes统计图标所示),可以清晰的判断网站目前所有营销手段的效果,并且还可以分析到:
1、流量来路统计
可以清晰的统计到每年、每月、每日、客流是通过什么渠道来到网站的。可以清晰判断各种推广方法的效果。
(2)浏览页面和入口分析
可以判断网站中那个页面被流量的次数多,并且可以分析出客流是从那个页面进入网站的。
(3)客流地区分布
清晰的分析出,网站浏览者的地区分布,并且以图表方式显示出各个地区流浪者的比例。
(4)搜索引擎与关键词分析
分析通过各个搜索引擎所带来的流量比例,并且可以分析出客流是通过搜索什么关键词来到网站的。
(5)客户端分析
可以分析出客户端使用的操作系统等信息。
2、站点页面分析
(1)主页面整体分析
(2)页面标签分析
(3)超链接检查
(4)浏览速度分析
(5)源代码设计分析
3、网站运用技术和设计分析
(1)分析目前技术是否采用合理
(2)分析网站构架是否合理
(3)分析网站设计是否有亲和力、是否容易阅读
4、网络营销基础分析
(1)关键词分析
(2)搜索引擎登记状况分析
(3)搜索引擎排名状况分析
(4)交换链接相关性
(5)网络营销主要方法分析
5、网站运营分析
(1)网络投资分析
(2)网站运营策略分析
二、网站优化
1、网站结构优化
网站导航、页面布局优化
2、网页标签优化
网页TITIEL关键词标签、网页简介标签,图片注释、等方面的优化
3、网页减肥压缩
专门的网页减肥压缩软件对网页系统的进行压缩,提高页面流量速度。
4、超链接优化
超连接结构、超链接注释、超连接路径优化
5、页面内容优化
对主要页面内容进行调整、排版进行优化,让内容更容易阅读。
三、网站推广
通过对网站进行综合的分析后,选择网络推广方法,在众多网络推广方法当中,最重要的方法就是搜索引擎排名。因为其他的方法都是比较花钱而且效果短暂的,而搜索引擎排名做好以后,它可以长期为你带来高质量的流量。一个网站的流量80%都是由搜索引擎带来的。
1、搜索引擎排名
(1)关键词选择
(2)搜索引擎登陆
包括GOOGLE、yahoo、MSN等国内外几百个搜索引擎。
(3)搜索引擎排名
通过我们专长的SEO优化技术对网站整体进行优化,使尽可能多的词在各个搜索引擎的排名提升,以提高网站的流量。
2、相关链接交换
与相关网站进行友情链接交换。
3、网络广告投放
在网站运作过程之中,建议投放一些有效的网络广告。
四、网络营销培训
随着网络应用的不断发展,以因特网为代表的IP网络规模不断扩大,各种各样的网络设备、流量规模不同的业务应用的创造性出现使得网络拓扑结构、网络流量及网络管理日益纷繁复杂,网络通信、网络规划、网络流量设计、故障诊断和性能优化是保障网络稳定可靠、低延时、低丢包、高命中和降低人工操作劳动强度的基础。
1网络流量分析的内容
网络通信流量分析的目的是了解网络工况,及早发现可能存在的数据流量问题和应对措施。需明确的是,计算机网络通信的核心作用是传输数据,而网络流量的分析就是采集和分析计算机网络中传输的海量数据流,网络数据流的分析从计算机及传输相关的物理硬件底层的数据流到应用层的数据流分析,也称为网络通信协议分析。网络管理人员若想了解和管控好一个网络,其最重要的就是对网络的了解,所谓知己知彼,包括并不限于了解网络的拓扑结构、配置参数和设备类型等,但要保证网络通信的服务质量,这样的认知是还是远远不够。对网络通信流量的分析能使网管更深入地了解计算机网络,包括计算机网络运行规律、网络运行模式和用户的上网行为。
2网络异常的行为
计算机网络异常的发现是建立在充分认知和网络阀值为基础的,一旦网络流量突破了网管人员预设的网络流量阀值,就需要通过发现、询因、流控等技术手段,以防止网络流量的无限暴增,进而能为网络通信保持一定的高性能运行提供重要的保障。通常的网络异常情况如下:(1)网络运行异常:网络中流量的异常,包括资源利用率、数据包数的异常。(2)网络应用异常:进程连接数量、用户应用响应、应用程序流量的异常,都能通过长期的主动分析来及时预警和发现。(3)用户的异常上网行为:异常的上网行为也有鲜明的流量特征,如被蠕虫病毒感染、不知情的情况下安装了后门程序等,长期的数据流量分析能及时发现上网用户的这些异常网络行为,如何及时发现网络用户的异常上网行为是解决其影响网络正常高效运行的关键。
二建立机器学习的计算机网络通信流量分析
模型计算机网络流量的突变性、弱耦合性和影响的非线性等特性,对传统计算机网络通信理论提出了新的挑战,导致对网络流量和协议概率分布的准确建模变得异常困难。
1模型拟解决的问题
针对计算机网络通信流量分析的特点,提出了一个基于机器学习的计算机网络通信的流量分析概念模型。提出该模型的真正目的在于:最大限度地利用获得的流量数据和网管人员的监测信息,自动完成流量分析的各个任务,自适应各种上层应用及对网络的性能优化。同时,模型通过计算机主动学习,指导主动式监测的进行。从通信流量分析的具体任务而言,如果已经较好地获得了数据流量的概率分布特性,有两个基本的问题:(1)正常情况,计算机监控程序能否利用已得到的概率统计特性来预测可能发生未知的数据流量情况;(2)数据流量的特性突变之时,计算机监控程序能否快速、有效地发现这种流量突变。这分别对应于网络数据流量预测和异常网络数据流量检测,可以通过具有自学习能力的计算机程序自动实现上述预测和检测。
2机器学习的概念
模型所谓机器学习的本质是计算机程序的性能随着经验的累积能自我完善。恰当选择计算机的机器学习算法,可最大限度地使用上述经验和监测信息,从而完成流量分析各任务的自动化处理,并根据应用环境对网络的性能进行优化。为此,机器算法是处理上述问题的理想选择。首先给出基于机器学习的网络流量分析模型,接着从机器学习的角度,阐明基于改进Boosting的机器学习算法。机器学习的本质是将人类的经验积累和长期的监测到的统计数据通过计算机程序以自动提高其性能,根据计算机通信网络分析的一般流程,提出机器学习模型。此类模型利用网络监测算法测量获得的流量数据,然后利用机器学习的方法,自动完成流量分析的各项作业任务,支持各种上层应用对网络的性能优化。当网络管理人的监督信息可以获得的时候,该数据信息可以作为机器学习算法的储备和先验知识,结合人类的智慧以进一步提高算法的性能,如此往复,循环提升,不断提高系统的数据流量分智能。
3改进Boosting算法
改进Boosting算法是一类使得学习算法的性能得以提高的学习策略。基于Boosting的学习算法的思路:找到许多简单粗略的判断准则要比找到一条非常准确的准则容易得多。通过不断调用这种算法,每次用训练样本的不同子集对它进行训练,循环多次后,这些准则就会结合成一条基本学习规则。
三计算机网络通信流量分析的意义
论文关键词:多媒体,网络,流量,分析
1 多媒体流量分析的基础
多媒体在应用层面对于用户的强大支持,映射到其数据层面,必然是不容忽视的大量不同数据格式。而在这样的环境之下,想要展开有效的网络流量分析,实现对于通信资源的优化利用,首先必须展开对于多媒体报文的有效分类。每一个报文都会在这个过程中被分类到对应的类型,而后进一步依据运营商制定的传输优先策略对其展开传输处理。
多媒体流分类问题可抽象成从多媒体报文映射到流类型的过程,多媒体报文流经流分类器,即展开对于其的辨别并且添加相关的类型标识,通常会将该标志写入报文头部字段中,便于后续识别和处理。在识别的过程中,可供识别多媒体流的方法主要有三种,即基于报文头部信息的分类方法、基于数据包载荷内容的分类方法以及基于流量统计模型的分类方法。其中基于报文头部信息的分类方法,即依据报头中的多元组信息展开工作,将其与预先定义的规则集进行比对匹配,并且确定出媒体流的对应分类进行标识。此种工作方式相对简单,因此发展也趋于成熟,效率较高,但是在识别过程中由于多媒体应用使用的端口通常并不固定,因此针对而言准确率比较有限。而基于数据包载荷内容的分类方法则面向报文载荷信息展开识别和工作,进一步又可以针对应用层协议展开解析或针对载荷内容展开特征解析。此种识别方式工作准确率基本有所保证,但是对于某些私有协议以及加密数据流,会因为无法有效提取特征信息而导致识别失败。最后,基于流量统计模型的分类方法主要是关注多媒体流量特征,通过流量来判断多媒体数据的传输行为模式,诸如数据包的大小以及包与包之间的间隔时间等方面特征。此种方式能够实现系统的自主学习,但是会存在一定的分类延时。
2 网络流量分析技术浅议
对多媒体进行标识之后,可以在网络环境中展开更为有效的网络流量分析。已经被标记的信息流在传输过程中能够表现出不同的对于资源的占用,以此作为依据展开更具有针对性的网络流量分析,对于整体网络数据传输资源和功能的优化都必然有着积极价值。
随着计算机技术的不断成熟,网络流量分析技术也呈现出不断发展的特征。当前的流量分析技术,主要是在传统的数据库技术基础之上,以一种开放的态度构建起支持自学习的网络流量分析系统,从而实现整个体系的智能化。就目前的状况看,常见的几种流量分析技术有以下几种。小学德育论文
1)SNMP技术。此种技术主要用于实现面向网络环境中多种类型设备展开监控和管理,并且对既有问题进行定位。该技术系统包括SNMP协议、管理信息结构以及管理信息库三个部分构成,其中SNMP协议用于实现在应用程序和设备时间交换信息,而管理信息结构用于指定一个设备维护的管理信息的规则集,最后管理信息库用于明确设备所维护的全部被管理对象的结构集合。
2)RMON技术。该项技术由IETF定义,本身是对于SNMP技术的一种深入。其对于标准功能以及网管站远程监控器之间的接口进行了重新定义,使得其能够实现更为顺畅的数据交换,从而有助于展开对于网络环境数据流量的更为有效监视。在RMON系统中,当探测器发现了一个非正常态的网络段之后,会主动与网络维护管理控制台接通联络,并将对应的网络信息进行发送,实现对于整体网络流量的监控和分析。
3)SFlow技术。此种技术以随机采样作为主要的研究方式,并且能够提供从第二层到第四层的相对完整的网络流量分析信息,这种分析甚至可以扩展到整个网络环境中,能够实现面向大数据流量的适应,尤其是在面向以流媒体作为主要流量资源占用的网络环境时,仍然能够保持稳定的表现。此种技术成本较低且不会因为引入其技术为网络环境带来新的冲突,同时数据信息量大,能够实现更为完善的网络分析。
4)NetFlow技术。此种技术主要用于实现网络层高性能交换,首先被用于对网络设备的数据交换进行加速。但是其核心是对于流缓存进行进一步的整理,因此在工作的过程中必然会能够得到很多依据汇聚方法而统计的数据,其中包括诸如源IP、目的IP以及源端口和目的端口以及相关传输协议与包数量等,这些信息和统计数据对于深入展开网络流量分析有着不容忽视的积极价值。
3 结论
在多媒体应用的网络环境中,深入可靠的网络流量分析系统,对于切实提升网络自身的数据传输能力,为多媒体用户提供更为稳定的数据传输服务有着积极价值。实际工作中唯有不断深入发现自身网络环境特征,才能有的放矢展开有效的流量分析,实现网络环境优化。
参考文献
【摘要题】企业信息建设
【关键词】社会网络/社会资本/社会网络分析/知识管理/隐性知识共享
【正文】
知识成为21世纪企业持续竞争优势的一切来源。其中,隐性知识的交流和共享是知识创造的基础,因此,隐性知识是企业财富的最主要源泉,隐性知识的有效交流和共享成为企业知识化运营、发展的关键。但隐性知识的内隐性、复杂性以及隐性知识共享中的障碍性因素使隐性知识共享的可操作度大大降低。知识管理研究领域开始分析知识共享的机理和对策,并且形成以下较为成熟的研究领域:隐性知识共享的组织结构分析、隐性知识共享的组织文化分析、隐性知识共享的技术支持分析和隐性知识共享的激励制度分析。但知识管理理论的价值在于其在组织中的应用,有关隐性知识共享的各种分析和结论也必须以实践为最终目的,这恰恰是目前研究中的弱点,甚至是盲点。研究者将目光过多地投向定性和理论分析上,忽略了隐性知识共享必须依靠有效的操作工具和实践指导,造成理论无法提升实践绩效。本文在以往研究的支撑下,借助“社会网络分析”这一具体工具,提出一种有效的组织隐性知识共享操作工具,解决目前研究中面临的“说和做”的两难境地。本文与以往研究的不同之处在于其定量方法基础上的分析方法构建,试图为组织隐性知识共享提供具体的操作工具。
1社会网络理论与知识管理
社会网络理论20世纪50-60年代开始出现,长期以来主要被用于社会学问题的研究。目前已有学者将社会网络理论的研究从纯社会学的范畴扩大到企业,利用社会网络的理论来解释企业资源获取和企业成长的问题,利用社会网络理论协助企业开展竞争情报活动。本文的主旨不是单纯的阐述社会网络理论和社会网络分析方法,而是探讨社会网络理论与知识管理的关系,探讨社会网络理论如何应用在隐性知识共享中。
1、1社会网络理论与方法
所谓社会网络(socialnetwork),实质上就是为达到特定目的,人与人之间进行信息交流的关系网。它基本上由结点和联系两大部分构成。结点是网络中的人或机构;联系则是交流的方式和内容。[1]社会网络理论就是研究行为者(Actor)彼此之间的关系(Borgatti,1998),所谓的行为者可以是个人、组织或是家庭,通过对行为者之间的关系与联结情况进行分析,能够显露出行为者的社会网络信息,甚至进一步了解行为者的社会网络特征。而透过社会网络除了能显示个人的社会网络特征以外,还可以了解许多社会现象,因为社会网络在实体组织中扮演着相当重要的无形角色,当人们在解决问题或是寻求合作伙伴时都是依循所拥有的社会网络来寻找最可能帮助的对象(Kautz,1997)[2]。
社会网络分析(socialnetworkanalysis)是社会网络理论中的一个具体工具,就是对人与人之间、群体之间、组织之间、计算机之间,或者是其他信息、知识处理实体之间的关系进行描述,并对其价值进行估量的这么一个过程。[3]网络中的结点(nodes)是人或群体,网络中的联系(links)表示结点之间的关系或者是相互之间的流动方向。社会网络分析为人与人之间的关系提供了视觉上的和数学上的分析工具,管理者将这种方法应用于商业客户,进而称之为“组织网络分析”(organizationalnetworkanalysis)。了解网络及其参与者的方法之一就是对行为者(Actor)在网络中的位置进行评价,进而得出一个结点的中心性(centrality),而中心性决定着结点在网络中的地位和权力大小。程度中心性(degreecentrality)、中介中心性(betweencentrality)和靠近中心性(closenesscentrality)是社会网络中心性分析的三个主要指标。程度中心性指结点拥有的直接联系数量;中介中心性指失去此结点,结点之间将失去联系;靠近中心性指结点之间距离的远近程度。社会网络分析通过定量计算得出各个结点的中心性,以此作为分析的基础。
社会网络理论将人际关系上升到科学的高度,为该领域的研究提供了科学严谨的理论指导,更有利于人们从中找到解决问题的方法。人际网络分析则是在此理论指导下的一个定量分析工具,具有极强的分析性和图示性。目前社会网络分析的应用领域包括:[4]发现区域经济的创新网络;分析图书销售模式来对新书进行市场定位;发现组织内各领域的知识专家;提高项目团队的绩效;帮助大型组织安排员工工作位置;通过电子邮件得出经理人的人际交往圈;定位技术工程组织中的技术专家和联系专家的途径;分析因特网的有用浏览模式;以研究出版物为基础揭示跨领域知识流动。
1、2社会网络理论与方法在知识管理中的应用
目前,许多研究知识管理的学者把研究的注意力放在了知识的产生、传递和应用所赖以存在的组织网络之上,通过对这些组织网络的观察与分析来认识知识活动的基本规律。把知识共享纳入到社会网络中进行观察的重要依据是知识共享行为主体都嵌入在一个具体、实时的联系系统中,并且知识也是包容在网络与社区之中。知识管理的主体是人,知识交流、知识共享都离不开人的参与。一个组织能否完全实现其知识的交流和共享,取决于其成员之间联系的强弱。人、人与人之间的联系成为知识管理的隐形网络。目前组织知识共享,尤其是隐性知识共享中最大的难题就是缺乏有力的工具和方法。社会网络理论与方法从知识管理的隐形网络入手,为知识管理,主要是知识管理中隐性知识共享提供了理论和方法上的指导。
社会网络理论认为,组织的创新能力、生产力和员工满意度依赖于其成员之间关系的强弱;人与人之间的联系、规则、价值观以及共享的理念统称为“社会资本(socialcapital)”。对于企业成功而言,社会资本与结构资本、顾客资本和智力资本具有同样的重要性。[5]社会网络分析是收集、分析组织内人际关系模式的数据的一种图表工具。应用于知识管理,SNA可以确立组织内各种关系的模式,包括人与人之间的平均联系数量、亚群体的数量和质量、信息瓶颈和知识经纪人。SNA对于人际网络的分析视角为知识管理者提供了以下工具:改善知识和信息的流动;确认思想领导者和关键的信息瓶颈;找到最具影响力的增强知识流动的机会。
社会网络分析不是传统的知识管理工具的替代品,比如知识库、知识门户。它的意义在于为企业更好地实施知识管理提供一个蓝图和出发点,作为知识管理战略规划的组成部分,社会网络分析能够帮助企业找到核心人员并建立各种机制——实践社区等,从而使核心人员能够将知识向其他员工传递。
综上,社会网络理论赋予人际关系新的含义和价值,认为以人际关系为主要内容的社会资本是企业的重要财富,与结构资本、顾客资本和智力资本共同构成了组织的知识资本。社会网络分析解决了如何提升组织内部知识流动的问题,为隐性知识共享提供了实践操作的蓝图。而且,社会网络分析可以使组织对内部交流中存在的“鸿沟”有清楚的了解,同时有效地预防知识流失(DisappearingKnowledge)。[10]
2社会网络分析方法在隐性知识共享中的应用
2、1社会网络分析方法步骤
社会网络分析项目首先要有问题陈述,即设定目标,明确要从社会网络分析中获得什么。典型的SNA目标有以下三个:[5](1)增强组织创新、应对挑战以及提升产品和服务质量的能力。对现有社会网络的分析可以使组织意识到可以提高知识共享和人际交流的措施。(2)评价组织重组前后组织结构的效率。对非正式结构的观察能够揭示知识如何在不同群体间的流动,有助于发现能使组织重组顺利进行的关键人员。(3)优化项目团队或组织的人员结构。找到网络中信息流动的关键人物,分配其合适的职位或角色人物体现其“中介角色”,以此提升其员工满意度和忠诚度。
明确目标有助于确定参与社会网络分析项目的群体以及调查问题的设计。比如想要构建一个有利于隐性知识共享的紧密的知识网络——在此网络中,组织成员之间能够快速、便捷地找到所需知识的拥有者并进行交流,那么问题设计就应该与知识有关,例如:你对他人的技能和经验知晓、了解如何?此人拥有的知识对你的工作是否重要?当你需要帮助时是否能够方便与之沟通?
在明确目标、设计问题之后,根据结果进行分析,并按照分析结果制成图示。
2、2实例分析
以A公司为背景,项目组Q(人员:q12q3q4q5q6q7q8)、客户服务部门M(m1m2m3m4)、技术支持部门N(nln2)为群体分析对象,应用社会网络分析方法分析其中隐性知识交流、共享的情况。目的是分析隐性知识共享现状,找到提升知识共享和人际交流的措施。前期调查的问题设计包括:交流对象、交流途径、交流内容。沟通对象分析得出图1。2、3分析结果
本文在进行图表和数据设计分析时,为了方便解释和计算,简化了实际可能存在的结点数和联系。实际上,现实组织中人际关系要比上文描述的复杂得多。从以上分析得出以下结论:
(1)项目组内部的人际网络中,Q1的程度中心性最高,他处在网络的中心,从某种意义上讲,他是该网络的知识和权利的中心;Q8的中介中心性最高,没有Q8项目组与技术部就失去了联系,尽管他不是知识和权利的中心,但是却处在网络最具战略意义的位置,没有这个结点,该网络就与外部失去了联系;Q5和Q6的靠近中心性最高,他们与其他结点之间的距离最近,这表明他们可以最快地和网络中的其他成员联系,在第一时间获得有关他们的信息。
(2)对于项目组Q、客户服务部门M和技术部门N而言,各个网络内部的联系都是较为紧密的;但网络之间的联系较为松散,项目组、客户服务部门和技术部门之间缺乏经常性和专门性的联系,实际上组织任何一个项目都应以客户的需求为导向,技术部门更应该主动于其他部门联系,使其技术知识和技能迅速有效的传递给其他组织成员。
(3)各个网络内部以及之间的联系多为自发性的、间断性的非正式联系,如交谈、电子邮件、MSN等即时通讯方式。交流的内容具有多样性:个人信息、工作信息、组织群体信息、外部信息等。
2、4基于实例的组织隐性知识共享策略分析
组织内显性知识共享较为容易,可以依靠各种文档和数据库;隐性知识共享却存在着诸多的困难,其中最为突出的是路径和对象问题。组织内社会网络分析为解决路径和对象问题提供了新的研究思路。通过对现有网络的分析,揭示现有隐形知识交流网络结构,发现其中的瓶颈和制约因素,进而为改善组织的隐形知识共享提供有效的改进方法。结合上文实例分析提出以下策略:
(1)确认网络中的关键人物(如Q1),分析其掌握的知识和技能,尽可能将其显性化,避免因为核心人物的离开而造成组织内交流的瘫痪以及组织知识资本的流失;优化其他成员与之交流的途径,扩大其隐性知识在网络内的扩散;采取相应的绩效评估和激励制度,鼓励核心人员于其他成员进行知识交流,提升其员工忠诚度。
(2)确认网络与外部联系的节点(如Q8),分析其与外部交流的渠道、内容和紧密程度,并以此为依据扩大对外联系的强度,包括增加对外联系的结点、内容、频率和方式,促进知识在不同网络群体中流动。
(3)确认网络中的“灵活人物”(如Q5和Q6),他们是加快网络知识流动的催化剂,他们与其他成员的交流活动可以大大促进网络内隐性知识的交流。对于这类结点,应通过职位或工作性质的安排来充分实现其价值,并可以将其交流技巧和方式进行推广。
(4)找到网络中的盲点,即没有与其它结点发生联系的结点,帮助其实现对外的知识交流,进而理顺网络路径,最大限度上实现结点间的最短联系和无盲点联系,缩短知识交流的路径。
(5)对于网络之间的联系,可以从任务和流程两个角度进行分析。从具体的任务出发,比如上文中的项目组与客户服务部门和技术部门,这三个网络之间的交流就主要应以任务为导向,知识的交流以满足特定的任务需求为目标。网络联系方式可以作如下设计:任务支持部门(如客户服务、技术)在任务执行部门(如项目组)派驻长期成员,随时解决相关问题;任务执行部门和支持部门之间定期召开联合会议,对有关问题进行集中讨论和解决;部门之间建立日常联系机制,部门之间开放相关的信息和知识来源。
(6)鼓励成员之间进行多种形式的非正式交流,并为这种非正式交流提供便利条件,如设立专门的讨论区、创建相关议题的博客,鼓励跨部门之间的员工交流。
3组织社会网络中隐性知识共享的成本分析
研究表明,组织中人们更偏好向其他人求助,而不是文本信息。这样,组织中的社会网络就变成了行为主体进行知识搜寻的主要路径与平台。因此,主体间知识的交流和共享就受社会网络中各因素的制约。[7]
在组织的社会网络中,发生关联的行为主体间的伙伴依赖性、双方的交流能力、接触的频率、知识交流的经验、相互信任程度、个人关系、知识存量的相容性及互补性、双方核心业务的相似性等构成了隐性知识共享的认知成本。而隐性知识共享的激励、相关的酬薪体系、共享的意愿、寻求知识互惠、树立声誉地位、消除防范心理、提高信任等则构成知识共享的激励成本。另外,因双方的背景不同,知识的编码和解码产生了差异,导致了双方的误解,因此需要双方沟通和额外的检查,并产生了沟通成本和额外的检查费用。并且激励知识共享双方还需依赖时间的过程,产生时间成本。以上这几种成本之间是相互关联的。组织中不同行为主体处理网络结点关系和知识共享方面的问题时具有不同的意图,由此造成了组织内解决不同知识共享认知成本问题的不同方法,而这些不同的方法造成了激励成本。
一般来讲,组织中社会网络的规模越大,联结时间越长,网络紧密程度越高,网络的文化距离就会越小,知识的复杂性会越小,部门网络间合作协调经验会越丰富,知识共享的成本就会降低。总之,社会网络的联系渠道、网络结构、网络中的制度文化因素、人力资源活动及流动、知识产权保护等共同构成组织社会网络中知识共享所产生的各种情境成本。[7]
【参考文献】
1包昌火,谢新洲,申宁、人际网络分析、情报学报,2003(6):365-374
2张秀仪、利用全国博硕士论文资料库自动化建构知识来源映射图、高雄:国立中山大学资讯管理研究所硕士论文,2004:11
/sna、html[2005-9-24]
/sna、html[2005-9-24]
【关键词】云计算技术;大数据;网络异常流量检测
随着互联网的发展,网络技术广泛应用于生活中,许多公共场所布设移动WiFi接入点,为人们获取信息提供便捷条件。人们应用网络服务时将个人信息、银行账户等敏感数据存储到网络中,重要数据传递带来安全隐患造成网络安全问题突出。本文利用云计算技术对大数据下网络异常流量进行检测,并测试检测效果。
1大数据下网络异常流量检测方法研究
光纤网络利用光在玻璃纤维实现光波通信,大数据集成调度,然后通过交换机分配IP。光纤通信传输距离远,云计算环境通过波分复用技术使光强度变化,通信中受到干扰导致通信信道配置失衡,需要对云计算光纤网络大数据异常负载优化检测,提高网络通信的输出保真性[1]。云计算光纤网络中大数据异常负载检测模型研究需要提取大数据负载异常特征,实现异常负载检测。
2网络异常数据检测大数据分析平台
网络异常流量分为DDoS、NetworkScan等类型,异常流量类型可从目的IP地址、源IP地址、字节数等特征区分[2]。DDos异常流量可通过特征二四五七检测;NetworkScan异常流量可采用多个网络地址对主机端口扫描动作;FlashCrowd异常流量由异常用户对访问资源申请动作。本文以影响网络安全异常流量检测为研究内容,运用现有数据样本对建立检测模型训练,对训练后识别分析模型检验[3]。研究异常流量类型包括U2R攻击类型、Probing攻击类型等,需要对数据特征提取分析,对入侵事件进行分类[4]。应用多种入侵事件特征数据,包括离散不间断协议、离散常规行为、离散接点状态、不间断数据源到目标数据比特数、持续创建新文件个数等。为避免两种衡量标准相互干扰,需对离散数据采用连续化操作。云计算平台迅速占领市场,目前应用广泛的是Apache开源分布式平台Hadoop,Hadoop云计算平台由文件系统、分布式并行计算等部分组成[5]。MapReduce将传统数据处理任务分为多个任务,提高计算效率(见图1)。MapReduce编程核心内容是对Map函数进行特定动作定义,Map核心任务是对数据值读取,InputFormat类将输入样本转换为key/value对。发现tasktracker模块处于空闲状态,平台把相应数据Split分配到Map动作中,采用createRecordReader法读取数据信息,tasktracker处于工作状态程序进入等待。
3大数据分析模型
随着待处理数据规模剧增,单台计算机处理数据速度过于缓慢,云计算系统以Hadoop为平台基础,提高计算效率。基于Hadoop平台对网络异常流量操作,向平台提交网络流量检测请求,工程JAR包运行,通过JobClient指令把作业发送到JobTracker中,从HDFS中获取作业分类情况。JobTracker模块执行任务初始化操作,运用作业调度器可实现对任务调度动作。任务分配后进入Map阶段,所需数据在本地磁盘中进行存储,依靠计算机Java虚拟机执行实现JAR文件加载,TaskTracker对作业任务处理,需要对文件库网络流量特征测试,Map动作结果在本地计算机磁盘中存储。系统获得Map动作阶段计算结果后对网络流量分类,中间结果键值相同会与对应网络流量特征向量整合,ReduceTask模块对MapTask输出结果排序。Reduce动作完成后,操作者通过JobTracker模块获取任务运行结果参数,删除Map动作产生相应中间数据。BP神经网络用于建立网络流量检测模型,MapReduce平台具有高效计算优势,最优参数结果获得需多次反复计算优化,MapReduce平台单词不能实现神经网络计算任务,采用BP神经网络算法建立网络流量检测模型会加长计算时间。本文采用支持向量机算法建立网络流量检测模型。支持向量机以统计学理论为基础,达到经验风险最小目的,算法可实现从少数样本中获得最优统计规律。设定使用向量机泛化能力训练样本为(xi,yi),i=1,2,…,I,最优分类平面为wx+b=0,简化为s、t、yi(w⋅xi+b)-1≥0,求解问题最优决策函数f(x)=sgn[∑i=1lyiai(x⋅xi)+b],支持向量SVM把样本x转化到特定高维空间H,对应最优决策函数处理为f(x)=sgn[∑i=1lyiaiK(x⋅xi)+b]。云计算Hadoop平台为建立网络异常流量检测模型提供便捷。MapReduce模型通过Reduce获得整体支持向量AIISVs,通过Reduce操作对SVs收集,测试操作流量先运用Map操作对测试数据子集计算,运用Reduce操作对分量结果Rs统计。
4仿真实验分析
为测试实现云计算光纤网络大数据异常负载检测应用性能,采用MATLAB7进行负载检测算法设计进行云计算光纤网络中大数据异常负载检测,数据样本长度为1024,网络传输信道均衡器阶数为24,迭代步长为0、01。采用时频分析法提取异常负载统计特征量进行大数据异常负载检测,重叠干扰得到有效抑制。采用不同方法进行负载异常检测,随着干扰信噪比增大,检测的准确性提高。所以设计的方法可以有效检测大数据中异常负载,并且输出误码率比传统方法降低。单机网络异常流量检测平台使用相同配置计算机,调取实测数据为检验训练源数据,选取典型异常流量200条数据样本用于测试训练。采用反馈率参量衡量方法好坏,表达式为precision=TP/FP+FN×100%,其中,FN为未识别动作A特征样本数量;TP为准确识别动作A特征样本数量;FP为错误识别动作A特征样本数量。提出检测方法平均准确率提高17、08%,具有较好检测性能。对提出网络异常流量检测方法进行检测耗时对比,使用提出网络异常流量检测方法耗时为常规方法的8、81%,由于使用检测方法建立在大数据云计算平台,将检测任务分配给多个子任务计算平台。使用KDDCUP99集中的数据进行网络异常流量检测分析,选取R2L攻击,Probing攻击异常流量数据用于检测分析,采用准确率参数衡量检测方法宏观评价网络流量检测识别方法:r=TP/FP+FN×100%。使用单机平台下SVM算法建立网络异常检测模型对比分析,本文研究检测模型平均识别率为68、5%,研究网络异常流量检测模型检测准确率提高28、3%。多次试验对比检测耗时,使用本文提出网络异常流量检测耗时较短。
【参考文献】
[1]林昕,吕峰,姜亚光,等、网络异常流量智能感知模型构建[J]、工业技术创新,2021(3):7-14、
[2]武海龙,武海艳、云计算光纤网络中大数据异常负载检测模型[J]、激光杂志,2019(6):207-211、
[3]农婷、大数据环境下的网络流量异常检测研究[J]、科技风,2019(17):84、
[4]马晓亮、基于Hadoop的网络异常流量分布式检测研究[D]、重庆:西南大学,2019、