3.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
網(wǎng)絡(luò)流量是單位時間內(nèi)通過網(wǎng)絡(luò)設(shè)備或傳輸介質(zhì)的信息量（報文數(shù)、數(shù)據(jù)包數(shù)或字節(jié)數(shù)）。對在網(wǎng)絡(luò)中不同位置通過不同方法采集不自空間粒度和不同時間粒度下的網(wǎng)絡(luò)流量，并借助于數(shù)理統(tǒng)計、隨機(jī)過程和時間序列等數(shù)學(xué)手段針對預(yù)先所定義的一系列網(wǎng)絡(luò)流量的相關(guān)屬性對網(wǎng)絡(luò)流量展開分析與研究，得到網(wǎng)絡(luò)流量的不同屬性在其構(gòu)成、分布、相關(guān)性和變化規(guī)律與趨勢等方富的特征，稱為流量監(jiān)測。網(wǎng)絡(luò)流量監(jiān)控就是通過分析和研究網(wǎng)絡(luò)上所運(yùn)載的流量特性，從中抽取能夠刻畫網(wǎng)絡(luò)流量特征的參數(shù)，進(jìn)而通過對網(wǎng)絡(luò)流量建模模擬和性能分析，尋找可調(diào)控的性能參數(shù)，對流量實(shí)施有效的控制、改進(jìn)和優(yōu)化網(wǎng)絡(luò)性能。
網(wǎng)絡(luò)流量狀況是網(wǎng)絡(luò)中的重要信息，利用流量監(jiān)測獲得的數(shù)據(jù)，可以實(shí)現(xiàn)棋下目標(biāo)：
（1）負(fù)載監(jiān)測：將流量監(jiān)測獲得的網(wǎng)絡(luò)流量數(shù)據(jù)作為輸入?yún)?shù)，利用統(tǒng)計方法和先驗(yàn)知識，通過負(fù)載特性分析過程，可以得到網(wǎng)絡(luò)的當(dāng)前負(fù)載狀態(tài)。
（2）性能分析：利用流量信息，可以分析得到網(wǎng)絡(luò)的性能狀況，例如鏈路利用率等，以定位和防止網(wǎng)絡(luò)中的性能瓶頸，提高網(wǎng)絡(luò)性能。
（3）網(wǎng)絡(luò)糾錯：復(fù)雜的網(wǎng)絡(luò)環(huán)境和豐富多樣的應(yīng)用類型，往往會導(dǎo)致網(wǎng)絡(luò)故障的發(fā)生。通過分析流量信息，可以判定故障發(fā)生的位置和導(dǎo)致的原因，例如廣播風(fēng)暴、非法操作等，并采取措施解決故障并避免再次發(fā)生。
（4）網(wǎng)絡(luò)優(yōu)化：流量工程的目的是為了優(yōu)化網(wǎng)絡(luò)性能，其前提是獲取網(wǎng)絡(luò)中的流量信息，在此基礎(chǔ)上通過網(wǎng)絡(luò)控制，例如資源分配、流量均衡等操作，實(shí)現(xiàn)網(wǎng)絡(luò)優(yōu)化的目標(biāo)。
（5）業(yè)務(wù)質(zhì)量監(jiān)視：現(xiàn)代網(wǎng)絡(luò)面臨的緊迫任務(wù)是為用戶提供可靠的業(yè)務(wù)質(zhì)量保障。而用戶獲得的服務(wù)質(zhì)量以及網(wǎng)絡(luò)供應(yīng)商可提供的服務(wù)能力都必須通過流量數(shù)據(jù)分析獲得。
（6）用戶流量計費(fèi)：如何在高速寬帶網(wǎng)絡(luò)中實(shí)現(xiàn)基于流量的用戶計費(fèi)是目前網(wǎng)絡(luò)管理領(lǐng)域的熱點(diǎn)問題，實(shí)現(xiàn)高效的流量計費(fèi)解決方案必須依靠流量監(jiān)測技術(shù)的進(jìn)步。
（7）入侵檢測：安全問題是網(wǎng)絡(luò)應(yīng)用中的一個重要方面，入侵檢測系統(tǒng)是目前保障網(wǎng)絡(luò)安全的重要手段。入侵檢測的一個重要內(nèi)容就是通過分析網(wǎng)絡(luò)流量，判定攻擊行為，以采取必要的防御措施。
（8）協(xié)議調(diào)測：在進(jìn)行協(xié)議設(shè)計和應(yīng)用開發(fā)時，必須經(jīng)過實(shí)際網(wǎng)絡(luò)環(huán)境檢驗(yàn)的過程。
當(dāng)新的協(xié)議或應(yīng)用加入到網(wǎng)絡(luò)中，必須觀測它們產(chǎn)生的數(shù)據(jù)流量，以判定協(xié)議或應(yīng)用的操作是否正常，是否會對網(wǎng)絡(luò)性能造成損傷。
【問題1】（1分）
網(wǎng)絡(luò)流量監(jiān)控的內(nèi)容包括有流量大小、吞吐量、帶寬情況、時間計數(shù)、延遲情況、流量故障等。在不同的聚合層次上、特定時間間隔下來集得到的比特數(shù)/字節(jié)數(shù)或者是數(shù)據(jù)包數(shù)所表示的流最大小是屬于網(wǎng)絡(luò)流量監(jiān)控的哪個內(nèi)容？
【問題2】（4分）(P631)
網(wǎng)絡(luò)流量監(jiān)測技術(shù)主要包括：基于數(shù)據(jù)采集探針的流量監(jiān)控技術(shù)、基于SNMP/RMON 的流量監(jiān)控技術(shù)、基于NetFlow/sFlow 的流量監(jiān)控技術(shù)以及基于實(shí)時抓包的流量監(jiān)控技術(shù)等常用技術(shù)。根據(jù)下面的描述將其正確地填入到括號內(nèi)。
1、提供詳細(xì)的從物理層到應(yīng)用層的數(shù)據(jù)分析。該方法主要側(cè)重于協(xié)議分析，而非用戶流量訪問統(tǒng)計和趨勢分析，僅能在短時間內(nèi)對流經(jīng)接口的數(shù)據(jù)包進(jìn)行分析，無法滿足大流量、長期的抓包和趨勢分析的要求。（ ）
2、基于SNMP和RMON這兩個協(xié)議進(jìn)行流量監(jiān)控。（ ）
3、通過交換機(jī)流量鏡像端口或直接將其串接在待觀測的鏈路上，對鏈路上所有的數(shù)據(jù)報文進(jìn)行處理，提取流量監(jiān)測所需的協(xié)議字段甚至全部報文內(nèi)容。（  ）
4、采用三層體系結(jié)構(gòu)(數(shù)據(jù)輸出設(shè)備、數(shù)據(jù)收集器和數(shù)據(jù)分析器)完成流數(shù)據(jù)信息從采集、匯聚、輸出、接收、過濾、存錨到分析的過程。（    ）
【問題3】（5分）
（1） 流量監(jiān)控系統(tǒng)的評價標(biāo)準(zhǔn)包括哪幾個方面？（3分）
（2） 根據(jù)下面的描述，將其所描述的協(xié)議行為分析技術(shù)填寫到括號內(nèi)。（2分）
A、以流為基本研究對象，從龐大網(wǎng)絡(luò)流數(shù)據(jù)中提取流的特征，如流大小、流速率等，從而判斷一個流是否正常的技術(shù)。（   ）
B、通過相關(guān)技術(shù)檢測數(shù)據(jù)包的有用載荷，可以用端口識別法、字符串匹配法、數(shù)值屬性法、行為和啟發(fā)式方法等多種分析方法來識別和分類數(shù)據(jù)流量。（    ）
【問題4】（5分）
Sniffer ，也可以稱為嗅探器，它是一種基于“被動偵昕”原理的網(wǎng)絡(luò)分析方式，能夠快速定位網(wǎng)絡(luò)故障，并能捕獲網(wǎng)絡(luò)故障數(shù)據(jù)包，幫助網(wǎng)管人員分析和處理故撞數(shù)據(jù)包，有效提高網(wǎng)絡(luò)管理水平。
Sniffer一般由4部分組成：（1）網(wǎng)絡(luò)硬件設(shè)備。（2）實(shí)時分析程序。該數(shù)據(jù)幀中所包含的數(shù)據(jù)，是為了發(fā)現(xiàn)網(wǎng)絡(luò)性能問題及故障，不同于入侵檢測系統(tǒng)之處在于它側(cè)重于網(wǎng)絡(luò)的性能和故障方面，而非側(cè)重發(fā)現(xiàn)黑客行為。（3）監(jiān)昕驅(qū)動程序。首先截獲數(shù)據(jù)流，然后進(jìn)行過濾并將數(shù)據(jù)存入緩沖區(qū)。（4）解碼程序。把接故到的加密數(shù)據(jù)進(jìn)行解密，同時構(gòu)造自己加密數(shù)據(jù)包并發(fā)送到網(wǎng)絡(luò)中。
Sniffer 一般具有的功能模塊及其作用如下圖所示。

Sniffer 具有如下特點(diǎn):
（1）高性能的網(wǎng)絡(luò)流量捕獲能力，能夠記錄網(wǎng)絡(luò)鏈路上的網(wǎng)絡(luò)流量信息；
（2）流量的高級統(tǒng)計分析能力，能以協(xié)議、數(shù)據(jù)包大小等來統(tǒng)計流量分布；
（3）強(qiáng)大的協(xié)議解碼能力和專家分析能力，能夠解析各種數(shù)據(jù)包；
（4）Sniffer 通常運(yùn)行在路由器或有路由功能的主機(jī)上，以方便截獲數(shù)據(jù)；
（5）Sniffer 既可以是硬件，也可以是軟件，實(shí)現(xiàn)了 Sniffer 技術(shù)的硬件或軟件就成為一個 Sniffer (即網(wǎng)絡(luò)嗅探器)。
根據(jù)說明將Sniffer功能模塊及其作用圖中空缺（1）—（5）補(bǔ)充完整。