网络行为学——我找你找了好久

找了N久，才发现国外似乎没有网络行为学这种叫法，国内从何时兴起的网络行为学也无从考究，最终就姑且把下边的当权威吧，哪位tx有特殊资料不要独享哦！

2000年11月6日

Internet网络行为学

清华大学 王继龙 吴建平

1. 网络行为研究的意义：
合理分配和利用资源

---- 以Internet为代表的信息网络是现代信息社会最重要的基础设施之一，它已渗透到社会的各 个领域，成为国家发展和社会进步的基本需求，是未来知识经济的基础载体和支撑环境。

----信息社会和正在逐渐形成的全球化知识经济形态对信息 网络管理提出了很高的要求。与此同时，Internet网络在管理方面逐渐暴露出许多缺陷。与 传统的电信网络相比，人们还欠缺管理大型Internet网络的技术和运营经验，对全网没有有 效的控制能力，难以实现统一的网络管理。这些客观问题限制了人们对Internet网络本身的 认知能力。因此，无论是针对单个节点，还是在各种规模的网络级别，目前人们还难以为 Internet这样的复杂系统建模。

----由于网络规模不断扩大，业务类型不断增加，异构性特 点越来越突出，因此传统的基于泊松过程的网络行为数学模型已不能反映实际的网络行为。 近年来国内外的有关研究大都是通过对大量业务数据进行分析研究，提炼出反映网络某些真 实特性的新的数学模型，如自相似模型等。但是由于现代网络信息传输的高突发性和随机性， 至今尚未发现令人满意的能全面反映网络状态和行为的理论和模型。因此迫切需要对现有的 信息网络进行新的思考和研究，探索新一代网络行为学。这些新的理论和方法必须突破传统 理论的限制，能够处理在规模和复杂性发生数量级变化的网络信息交换问题，适应超大规模 超高速信息网络的需要，满足更及时、更方便的服务需求，为新一代信息网络的建设和管理 提供理论基础和技术支撑。

----暂时出现的网络行为理论的真空，使得对网络的模型分 析和模拟分析遇到困难。与此同时，网络管理的任务却愈加艰巨。因此如何实现行为理论与 具体应用的同步发展或互动发展具有重大意义。

----网络行为可以一般性地理解为网络运行的动态变化规 律。其中，网络性能的动态变化是行为研究的主要内容。此外，网络在故障状态下的行为和 网络在遭受安全攻击时的行为也备受关注。当前Internet面临的最大问题是资源与需求之间 的矛盾：一方面，应用类型越来越多，应用领域越来越广，用户更多，网络规模更大；另一 方面，技术的提高似乎总是滞后于应用的发展，资源的增加似乎永远满足不了需求的增长。 对网络行为的了解对于Internet资源的合理分配和利用具有重要意义。而对网络行为的控制 能力则是网络资源管理策略得以实施的基础保障。

2. 网络行为研究的现状：
进展很快，问题依旧

----对于Internet网络动态特性的研究可以追溯到Kleinrock 和Naylor于1973年在ARPAnet所做的工作。在Internet的发展初期，通常可以用一个合适 的数学模型来合理地分析和预测网络的一些动态变化过程，如队列长度、延迟等。然而在目 前的Internet网络环境中，传统的数学模型技术，尤其是排队理论，在许多情况下已经难以 适用。与此同时，网络行为研究的需求却并未下降，而且恰恰相反，网络行为的分析和研究 方法对于Internet网络的发展起着重要的作用。因此，近年来对于一些特殊的Internet网络 行为，尤其是与性能相关的网络行为，人们给予了较多的关注，特别是流量和路由行为。

----路由行为指网络路由的实际过程，如路由协议的执行情 况。路由和路由协议方面的研究很多，如早在1980年人们就已开始研究网络的路由问题， 此后有一系列的路由算法和众多的路由协议。迄今为止，路由行为主要研究内容包括：路由 的稳定性、路由的对称性和路由过程中发生的一些错误，如路由循环。

----与网络流量(Traffic)相关的行为研究通常基于不同的粒 度：包（packet）、比特（bit）和流(flow)。基于比特主要研究流量的数量特征，如吞吐量 变化；基于包可以研究到达过程、延迟和丢包；流的划分主要依据地址或地址和应用（端口 号），基于流的行为研究包括流的到达过程、到达间隔及局部性。

----由于电话网络在流量方面有一套成熟的理论，包括统计 推断、数学模型、优化、排队和性能分析，因此人们曾试图把这些理论拓展到数据网络Internet 上。 “电话流量理论”的基础是假定通信请求的到达是互相独立的，而且到达的间隔是指 数分布的。即如果X=(Xk:k≥1)表示在连续的、不重叠的时间段Δt中的通信请求到达的数 量，那么X是一个Poisson过程。与话音流量相比，数据流量更加多变，它没有一个稳定的 到达率，而是具有很强的突发性，而且这种突发特性不能够用传统的基于Poisson过程的流 量模型来描述。从统计研究的角度，高时变性的流量过程具有长期的相关性。因而近来人们 开始热衷于研究网络流量的分形模型。然而仅仅认识到Internet流量的分形特性是不够的。 由于Internet变数太大，有许多无法估计的因素，使得目前对于Internet行为的分析和理解 仍然非常困难。在Internet上很难说什么是一种典型的网络行为，Internet的行为特性随不 同时间、不同节点以及网络的不同应用特点变化很大：

• Internet上不同节点间的行为特点差别很大。如果仅研究一个或某些节点，那么无论 多么精确，所得到的结果对于其他节点而言未必适用。
• Internet在不同时间段的行为特点变化很大。今天对于未来所做的任何推断都不是可靠 的。

----因此，如果要理解和预测Internet行为，则必须首先能够 把握Internet的发展和变化。遗憾的是，目前人们还难以为Internet这样的复杂系统建模。 针对Internet的多变性和异构性，一个解决策略是通过大规模的测量来了解不同时段、不同 节点和不同网络环境下的行为。

----研究Internet网络行为测量方法受到客观条件的限制。为 了得到真实可靠的运行数据，研究工作往往要依托网络运营商。网络行为分析没有得到ISP 足够的重视。主要原因在于网络运营机构往往疲于应付日常管理的诸多问题，投入到网络行 为研究方面的精力和资源都极为有限，因此缺乏系统规划的数据采集和数据管理，缺乏长期 的数据分析和建模研究。

----第二个原因在于不同的管理域间缺乏在网络管理及运行 数据共享方面的合作。这导致许多研究工作仅针对了一些局部问题，对于一些全局性的行为 仍然缺乏充分的研究。

----理论研究与实践的脱节是另一个原因。理论研究者与ISP 间建立联盟的障碍在于前者回答的问题通常并非后者所急于知道的。例如，目前情况下，对 运营商而言，研究端到端的性能是一种奢侈。对他们而言更重要的是经过其节点转发的流量 的整体特性，如总的流量特征、各类应用的流量特征。而理论研究往往忽视这样的问题，把 重点放在用排队理论研究稳定的队列长度和理想平均延迟。因此，这些理论研究通常只能在 规模很小的为了试验而构造的网络环境中，而且研究结论往往无法用实际网络环境中的数据 来证实，因为在一个实际运行的网络环境中一些数据采集需求难以实现。为了解决这些问题， 行为研究应立足于指导网络设施的建设、管理和改进。因此基于具体运行环境来考虑行为研 究意义重大，在运行中提出的课题可以保障理论研究对于实践的指导作用。

3.Internet网络行为研究的方法：
模型、模拟与测量分析

----Internet行为研究方法主要有如下三种：

----1. 模型分析

----模型分析主要是通过建立网络的数学模型，研究网络的 行为。如在分析业务量的传统模型方法中，网络系统被概括为由硬件和软件组成的资源集， 被由任务组成的任务集有竞争地使用。由此这一系统被表示成互相联系的队列模型。建立这 种模型的目的，就是要通过对此模型的分析，求得资源的利用率、队列长度及队列延迟。模 型分析方法是较为系统的数学方法，对模型分析方法的研究可以转变为对排队论的研究。模 型分析除排队论外，还有其他的一些模型，如Petri网、马尔可夫链等。

----对于Internet而言，模型分析方法的分析结果往往不 能概括影响网络行为的所有细节，由于网络变得越来越复杂，影响网络行为的因素越来越多， 而模型分析相应的理论没有与之相适应的发展，故在分析网络行为的能力上日渐不足。

----2. 模拟分析

----模拟分析是通过建立实际网络的模拟系统，来研究 网络的多种行为。由于Internet环境的复杂性、多变性和异构性，如何建立Internet的模拟 系统仍然是一个相当大的挑战。

----3. 测量分析

----测量分析基于实际的网络环境测量网络的行为变 化。其主要方法是收集网络运行数据，通过统计方法分析网络行为的规律；同时还可以监视 网络行为的变化，对网络状态做出判断，发现网络中存在的问题。因此测量分析不仅对网络 的运行管理具有重要意义，而且已成为Internet行为研究的主要途径。

4.研究领域：
多而不乱 丰富多采

----1. Internet网络的测量技术

----Internet网络测量主要有两种方式：被动式测量和主 动式测量。

----被动测量方法（Passive Measurement）具体实现可 以有两种方式：一种是利用专用的测量设备，如OCXmon；另一种方法是利用软件实现， 如TcpDump。此外，也可以采用其他替代方案，如利用Cisco的NetFlow机制，但这类方 法会影响到路由器的性能。

----主动的性能测量主要用来研究丢包、吞吐量、延迟 等行为。主动测量的应用范围相当广泛，因为通常可以方便地进行一些主动测量，不必安装、 配备额外的软硬件，如用ping来测量丢包和延迟。为了进行大规模和精确的主动测量，有 时也需要开发专用的软硬件系统。目前Internet上的大规模主动测量工程有：Internet 2 的 Surveyor，有55个监控点，可以在1883条路径上进行单程延迟的测量；NLANR的AMP； DOE的PingER，有18个监控点，可以监控1261条路径；RIPE的TestTraffic，有43 个监控点；NIMI有25个监控点。

----2. 数据的分析和预测技术

----对于数据有定性分析和定量分析两种方法。

----定性分析指直观性分析，主要依据分析者的经验及 判断力。特别适用于缺乏统计数据和原始资料以及对许多相关因素作出判断的场合。主要方 法有：专家系统、主观概率法、交叉概率法、领先指标法、类推法。

----定量分析方法主要有以下几种：

----(1) 确定型时间序列分析方法　时间序列指把各变 量的历史数据按时间先后顺序排列起来的数列。一个时间序列往往在各种不同因素作用下形 成。通常可把作用于时间序列的各种因素划分为四类：长期变动因素、周期变动因素、循环 变动因素和不规则变动因素。时间序列分析预测方法就是通过对时间序列本身及其影响因素 的分析，找出变化规律，建立数学模型，并进行预测。

----(2) 回归分析预测方法　回归分析的主要内容有：

----从一组原始数据出发，确定变量之间的定量关系 式，即统计回归模型的具体形式和模型参数的估计值；

• 对这些定量关系式的可信程度进行统计检验；
• 从影响某一个变量的许多变量中，判断哪些变量的影响是显著的，即判别和选择诸 因素中最重要的影响因素；
• 对目标的活动进行分析、预测和模拟控制，并给出预测精度估计。

----运用回归分析进行预测，必须满足以下几个条件：

• 预测对象与影响因素之间必须存在因果关系，且数量不能太少(>20)；
• 过去和现在的数据的规律性能适用于未来；
• 数据分布若有线性趋势，可用线性回归求解，否则需采用非线性回归求解。

----回归分析方法有：一元线性回归法、二元线性回归 法、多元线性回归法及非线性回归法。

----(3) 概率分析预测技术　研究某一事件在预测时期 发生的概率，如马尔可夫过程分析、蒙特卡罗模拟。

----(4) 判断分析预测技术，具体包括最优分割分析，判 断分析预测。当前常用的各类方法多是基于数值分析的方法，难以把网络的各种行为间的相 互作用关系体现出来，因而还不够科学和精确。

----3. Internet网络管理系统

----(1) 体系结构

----网络管理从80年代起逐渐受到重视，许多国际组织 开发了体系结构标准来指导网络管理功能的设计，其中最重要的三个是：

• ISO制定了“OSI Management Framework”、“OSI Systems Management Overview”、“Common Management Information Protocol(CMIP)”，提出了五大功能划分 的思想FCAPS。ISO的体系结构实现效率较低，不适用于Internet的网络管理，一般仅作为 理论上的参考。
• ISO的立足点是数据通信网络。电信网络管理的标准则主要由ITU制定。 CCITT(ITU前身)从1985年起开始电信网管的标准化工作，颁布了“Telecommunication Management Network Recommendations”。TMN的概念由M3010建议定义。根椐M3010， TMN是一个独立的网络，与电信网络在不同的点上存在接口。TMN参考模型最初与OSI 是相对独立的，但从1988年～1992年，TMN修订中加入了OSI的思想，因此如今可以说 OSI与TMN互为补充。
• 在网管协议和技术的开发中，90年代Internet的成长起到了关键作用。IAB (Internet Architecture Board)曾试图采纳OSI的管理方案，但当时Internet的规模增长使得其 对管理机制的需求非常紧迫，而OSI的管理框架尚在讨论中。由于不可能在短期内实现OSI 管理，IAB要求IETF制定一个暂时的标准。IETF在一年以后完成了SNMP。之后各厂商 开始开发兼容SNMP的产品。虽然SNMP在许多方面效率低下，但是它已成为网络管理事 实上的工业标准。然而，IETF没有提供网络管理体系结构标准的精确定义。

----通过以上分析，我们看到，当前主要的网管标准和 协议都源于ISO的思想和定义。ISO主要在其7层网络体系结构上研究管理信息的交换，目 的是为网络管理提供最基本的数据支持。ISO把如何实现面向具体问题的网络管理留给了 应用软件研发机构。缺乏透视全局的体系结构标准的指导是当前网络管理各个领域普遍面临 的问题。

----(2) 软件系统

----· 平台　网络管理的传统解决方案基于“网管平台 /应用程序"模式。在这个模式中，网管平台实现网络管理所必须的一些基本功能，主要包括 网管协议、数据采集、拓扑发现，及利用这些功能进行后续开发的应用程序接口(API)。真 正意义的网络管理任务由用户或第三方软件厂商提供的应用程序来完成。

----由于要考虑对各种可能的应用需求提供支持，因此 网管平台通常应具备丰富的功能。此外还要具备开放性，以适应开发平台的角色。由于网络 管理涉及到许多的设备实现细节和设备厂商不愿公开的技术，使得开发网管平台的重任似乎 只能落在软硬件方面都极具实力的厂商身上。

----· 基于Web的系统　90年代中期WWW技术的兴 起带动了网络管理技术的一场变革。WWW技术强大的应用集成能力使得基于“肿件"技术 的传统网管方案受到挑战。在网管中采用Web技术的一个主要目的是希望获得可以在任何 平台下访问的支持分布式管理的简单而功能强大的工具。

----基于Web的网管系统的兴起体现了网络管理模式从 集中管理到分布式管理的趋势。Web技术和Java语言为分布式应用系统的集成和智能代理 软件的开发提供了便利。以Web服务器为中心，由各自独立运行的实用工具组成的，不要 求专用客户端应用程序的、支持分布式管理的、可以动态扩展和更新的、基于Web的、独 立于平台的网络管理系统将成为当前网管系统研究的一个热点。

5. 网络行为学：
新的领域 新的挑战

----近年来，网络行为所涉及的若干领域取得了不同 程度的进展，然而对于网络运行的客观物理规律的研究并没有建立系统的概念和方法，迫切 需要建立一个专门的学科，系统地开展网络行为研究。

----网络行为学是研究网络运行规律的科学，我们把其 研究内容界定为以下几个方面：

----（1）行为描述　指网络行为的定量描述。为了用 数学方法研究网络行为，必须建立一套网络行为的定量描述体系。在确定行为描述机制的基 础上，记录行为并得到行为样本，作为进一步研究和分析的基础。

----（2）行为观测　则是获取行为样本的过程。一个 完全的行为观测对应一个理想样本，即对网络行为的完整纪录。一般情况下，行为观测是对 网络运行状态在时间和空间的采样。行为观测建立在网络测量的基础上。行为观测会引入误 差。

----（3）行为分析　对行为观测所得到的行为样本进 行计算，评价网络运行的状态，预测行为变化的趋势，从而揭示网络运行的规律。

----（4）行为监控　基于网络行为的特征估计来辨识 网络状态和特性变化的活动。行为监控的目的是自动发现对网络运行产生负面影响的网络行 为，获取对网络行为进行调节的依据，减少操作员的监督负担，辅助提高网络运行的效率， 保持网络良好运行，同时获得各类网络研究所需要的宝贵的运行数据。