超级网络分析工具Sniffer Pro详解
Sinffer Pro是美国Network Associates公司生产的一款网络分析软件,可用于网络故障与性能管理,在局域网领域应用非常广泛,占到网络分析软件市场的76%。
当一个网络出现故障时,就需要由网络管理员查找故障并及时进行修复。但局域网一般都有几十台到几百台计算机,以及多个服务器、交换机、路由器等设备,管理员需要检查这些设备,检查各个端口的连接等,检查是否是黑客或者木马所为,工作量非常大,而且排除故障也非常麻烦。有了Sniffer Pro,就可以很容易的找出问题所在。Sinffer Pro是美国Network Associates公司生产的一款网络分析软件,可用于网络故障与性能管理,在局域网领域应用非常广泛,占到网络分析软件市场的76%。
Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。它具有以下特点:
1. 可以解码至少450种协议。除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(W AN)等网络技术(包括高速与超高速以太网、令牌环、802.11b 无线网、SONET传递的数据包、T-1、帧延迟和A TM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。因为帧通常都是用8位的分界数组来校准,所以Sniffer Pro只能以字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。因此,建议Sniffer系统应该有一个速度尽可能快的处理器,以及至少512MB的物理内存。
1. Sniffer Pro计算机的连接
要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段,Sniffer 就不能正确抓取数据,而且有可能丢失重要的通信内容。一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
(1) 监控Internet连接共享
如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。
如果核心交换机为智能交换机,那么最好的方式是采用端口映射的方式,将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口,并将Sniffer Pro计算机连接至该映射端口。例如,在交换机上,与外部网络连接的端口设为A,连接笔记本电脑的端口设置为B,将笔记本电脑的网卡与B端口连接,然后将A和B做端口映射,使得A端口传输的数据可以从B端口监测到,这样,Sniffer就可以监测整个局域网中的数据了。
(2) 监控某个VLAN或者端口
若欲监控某个VLAN中的通信时,应将Sniffer Pro计算机添加至该VLAN,使其成为该VLAN中的一员,从而监控该VLAN中的所有通信。
若欲监控某个或者几个端口的通信时,可以采用端口映射的方式,将被监控的端口(或若干端口)映射为Sniffer Pro计算机所连接的端口。2. 设置监控网卡
如果计算机上安装了多个网卡,在首次运行Sniffer Pro时,需要选择要监控的网卡,应该选择代理网卡或者连接交换机端口的网卡。当下次运行时,Sniffer Pro就会自动选择同样的代理。
Sniffer安装完成以后,从“开始”菜单运行,显示“Settings”对话框,在“Select settings for monitoring”列表框中单击选择要监控的网卡,单击“确定”按钮,Sniffer就会监控该网卡中传输的数据,如图1所示。如果以后要改变监控设置,可以选择“File”菜单中的“Select Settings”选项,同样会出现该对话框,用来改变要监控的网卡。
图1 选择网卡
如果在“Settings”对话框中没有显示要监控的网卡,可以将其它网卡添加到该列表框中。单击“New”按钮,显示如图2所示“New Settings”对话框,可以设置新添加的网卡。
图2 添加新网卡
Description:为该网卡设置一个名称,可以是关于该网卡的描述。
Network:该下拉列表中列出了本地计算机上的所有网卡,可以选择要使用的网卡。
Netpod Configuration:在这里可以设置高速以太网Pod,为了使以太网可以以全双工模式工作,在“Netpod”下拉列表中选择“Full Duplex Pod(全双工Pod)”选项,在“Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。例如,Sniffer Pro IP地址为192.168.1.1,Netpod IP地址就必须设置为192.168.1.2。全双工Pod要求有静态IP地址,所以应该禁用DHCP。
Copy settings:在该下拉列表中显示了本地计算机中以前定义过的网卡设置,可以选择一种配置,将其复制到该新添加的网卡中。
设置完成以后单击“OK”按钮,添加到“Settings”对话框中,然后就可以选择监控该网卡了。
3. 监控网络状况
Sniffer的界面并不复杂,通过工具栏和菜单栏就可以完成大部分操作,并在当前窗口中显示出所监测的效果,如图3所示为Sniffer的主窗口。
图3 Sniffer主窗口
在Sniffer主窗口中,默认会显示Dashboard(仪表盘)窗口,共显示了三个仪表盘,即“Utilization%”“Packets/s”“Errors/s”,分别用来显示网络利用率、传输的数据和错误统计。
(1) Utilization%(利用率百分比)
用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表示警戒值,表盘下方有两个数字,第一个数字代表当前利用率百分比,第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。但是,网络数据流通常都是突发型的,一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率的理想方法要因网络不同而改变,而且很大程度上要取决于网络的拓扑结构。在以太网端口,利用率到40%,效率可能已经很高了,但是在全双工可转换端口,80%的利用率才是高效的。
(2) Packets/s(每秒传输的数据包)
显示当前数据包的传输速度。同样,红色区域表示警戒值,下方的数字显示当前的数据包传输速度及其峰值。根据数据包速率可以得出网络上流量类型的一些重要信息。例如,如果网络利用率很高,而数据包传输速度相对较低,则说明网络上的帧比较大;而如果网络利用率很高,数据包传输速率也很高,说明帧比较小。通过查看规模分布的统计结果,可以更详细的了解帧的大小。
(3) Errors/s(每秒产生的错误)
该表盘可显示当前出错率和最大出错率。不过,并非所有的错误都产生故障。例如,以太网中经常会发生冲突,并不一定会对网络造成影响,但过多的冲突就会带来问题。
如果要重新设定仪表盘的值,可以单击仪表盘窗口上方的Reset(重置)按钮。
在仪表盘窗口中,单击“Detail(详细)”,显示如图5所示窗口,以表格的形式显示了关于利用率、数据包传输速度和出错率的详细统计结果。在该窗口下方的“Network”窗口中,可以选择要显示的内容,如Packets/s(数据包/秒),每秒出现的数据包的总数;Utilization(利用率),网络利用率,这是Sniffer中最常用
的功能,可以查看哪一天中哪个时间利用率最高;Errors/s(错误/秒),每秒出现的整体错误的数目,若设定基准,可以看到一天中哪个时间段遗失的数据包最多;Bytes/s(字节/秒),每秒出现的数据的总字节数,这与数据包不同,字节预先设定好了长度,而数据包长度各不相同;Broadcasts/s(广播/秒),每秒产生的广播数据包数目。广播是从主机发往区段上所有其它主机的数据包;Multicasts/s(每秒组播的数据包的数目),是一个主机向特定的主机发送的数据包。
图4 详细信息
在“Network”列表中所显示的信息为:
Packets(数据包):网络中传输的数据包总数。
Drops(遗失):Sniffer Pro遗失的数据包数目(可能因为系统性能问题而遗失的帧的数量。在网络活动高峰期经常会遗失数据包)。
Broadcasts(广播):Sniffer Pro监测到的广播帧的数目。子网或者VLAN上所有的组件都必须处理所有的广播数据包,过多的广播会使网络上所有的系统性能整体下降。
Multicasts(组播):Sniffer Pro监测到的组播帧的数目。尽管组播帧影响到的网络设备数目要比广播的少,但是组播流量过大也会引起信息通过量出现问题。
Bytes(字节):Sniffer Pro监控到的总字节数。把这个数乘以8就得到了二进制的位数。
Utilization(利用率):网络当前利用率。
Errors(错误):网络当前错误总数。“Size Distribution(数据包大小的分布)”列表中显示了网络中各种大小的据包(包括4Bytes的CRC)的分布情况,包括64Bytes,65~127Bytes,128~255Bytes,256~511Bytes,512~1023Bytes,1024~1518Bytes等各种不同字节数的数据包总数。
“Detail Errors(错误详细信息)”列表中显示了“Errors/s”表盘中显示的错误的详细情况,包括CRC、数据包过短(Runts)、溢出(Oversizes)、数据包碎片(Fragments)、数据包过长(Jabbers)、校准错误(Alignments)和网络冲突(Collisions)。过短的数据包指的是CRC值合理,但是大小低于标准(小于64kB)的数据包。数据包碎片指的是大小低于标准(小于64kB),而且CRC值不合理的数据包。
这三个仪表盘是非常有用的工具,用它们可以很容易地看到从运行捕获过程开始,有多少数据包经过你的网络,多少帧被过滤挑选出来(拒绝接收),以及你的计算机因没有足够的资源完成捕获而遗失了多少帧,可以看到从开始到当前时间内,网络的利用率、数据包数目和广播数。如果发现网络在每天的一定时间都会收到大量的组播数据包,这就可能出现了问题,就需要分析哪个应用程序在发送组播数据包。
广播往往导致网络拥塞和计算机性能下降。单播(一台计算机与另一台计算机通信)只会干扰一台计算机,这时目标计算机会中断来处理这些数据包,目标计算机就是单播的终点。如果是广播风暴,网络上的所有主机都必须中断来处理数据包,而且大多数情况下,网络不希望取消任何一个数据包。这种情况会导致延迟,但可以通过安装路由器将网络划分出广播域,或者通过移除广播风暴的来源来解决。因为广播对网络来说也是不可或缺的。
组播问题也很常见,而且很多程序都被设定可以进行组播,只有使用协议分析软件才会发现它们。
通过以下这六种情况可以知道,如何阻断网络上的广播流量:
与使用交换机或者桥接器的网络相比,基于Hub的网络中的节点会发现更多的流量。可以考虑在Hub 之间使用一个交换机,如果可能,应升级所有的交换机。
在Windows网络中,主浏览器服务和NetBIOS是最主要的。要保证将WINS服务器安置到正确的位置,可以将不需要的NetBIOS流量从网络设定和设备中删除,规划并正确安置主浏览器和后备浏览器,然后将允许网络上其它工作站参与选择浏览器的功能取消。Windows的TechNet网站会有这些步骤的详细介绍。
在Novell网络中,有三种情况会造成网络带宽不足:网络客户端被设置为自动探测服务器的帧类型;客户端被设置为用IPX/SPX和SAP来取代TCP/IP;NetWare服务器被设置来使用RIP,而不是默认路径。
如果网络上的接口与不必要的RIP(或者IPX RIP)或者SAP相连,网络就会产生不必要的广播数据包。
路由器可以用来减少广播的数量。在默认情况下,路由器不会通过广播数据包,除非你对它进行了这样的设置。
删除没有用的协议与设备之间的绑定关系。这样做会提高计算机的速度,因为它不会经受一个绑定命令,而且不需要的协议不会向VLAN发送广播。
这些提示可以消除网络上的一些流量。还有很多方法可以减少流量,但是如果用这些常用的方法,可以减少25%~50%或者更多的流量。至少有20%的网络流量是由广播或者组播造成的,这些流量应该作为问题标出来。
Sniffer Pro的很多网络分析结果都可以设定阀值,若超出阀值,报警记录就会生成一条信息,并在仪表盘上以红色来标记超过设定阀值的范围。另外需要注意的是,要记录下警告信息,并且必须查看系统超过了阀值多少次,以及超出阀值的频率是多少,这些信息可以帮助管理员确定网络是否有问题。
单击仪表盘上的“Set Thresholds(设定阀值)”按钮,显示如图6所示“Dashboard Properties”对话框,可查看或者修改这些值。Sniffer Pro预先设定了默认的阀值,通常都是网络一些流量平均值。另外,也可以在Sniffer Pro窗口中,选择“Tools”菜单中的“Options”选项,打开“Options”对话框,选择“MAC Threshold(MAC 阀值)”选项卡,同样也可以像该对话框一样查看或者修改其它阀值。
图5 Dashboard Properties
在“High Threshold”列表中,可以设置各项的阀值。在调整阀值时,仪表盘也随之改变。例如,利用率表盘默认为50%,如果将“Utilization %(利用率)”阀值改为30%,则表盘的红色阀值区域就会发生变化,如图7所示为利用率表盘设定前后的变化,可以看到红色阀值区域从50已经下降到30处。
图6 阀值设定前后的变化
阀值的设定要根据自己的网络状况,比如,管理员觉得网络利用率达到30%就已经很高了,就可以先设定为30%,当超出阀值时,警告记录中就会有信息显示。要查看警告记录,可以选择“Monitor”菜单中的“Alarm Log”选项,显示“Alarm Log”对话框,如图8所示,这里记录了所有超过阀值时的警告信息。另外,还需要注意查看是否始终都超过设定阀值,在“Log Time”中显示大约每隔不到10秒就会超过阀值,并记录到警告记录中,这说明需要提高阀值或者解决已存在的问题。
图7 警告日志
在检修故障时设定一个临时的阀值是很有帮助的。例如,正在监控来自路由器的流量,而且知道每秒钟组播的流量不应该多于两个帧,就可以把每秒组播的阀值设为“2”。当Sniffer Pro监控流量时,如果超过了这个值,警告记录中就会加入一条警告信息。不过要记住,当修复故障以后应把阀值改回原来的数值。
4.查看捕获数据
通过Sniffer Pro监控网络程序以进行网络和协议分析,需要先使Sniffer Pro捕获网络中的数据。在工具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图9所示“Expert”对话框,此时,Sniffer便开始捕获局域网与外部网络所传输的所有数据。
图9 Expert
要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口中显示所捕获数据的详细信息。此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成上下箭头时,向上拖动该横线,就可以看到所选择连接的详细信息,如图10所示。
图10 当前已捕获的数据
当缓冲器中积累了一定流量后,可以停止并查看所捕获的数据。单击主窗口工具栏上的“停止”按钮,或者选择“Capture”菜单中的“Stop”选项,停止捕获数据,再选择“Capture”菜单中的“Display”选项,就可以查看所捕获的内容了。单击窗口下方的“Decode(解码)”选项卡,如图11所示,该窗口共分为三个部分,由上到下依次为:总结、详细资料和Hex窗口的内容,可以查看所捕获的每个帧的详细信息。
图11 捕获的数据信息
在最上面的窗口中显示了捕获的帧和捕获的顺序、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框,然后就可以保存为新的捕获文件。选择“Display”菜单中的“Save Select”选项,即将选择的帧保存为新的捕获文件;选择“Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择,或者选择和取消任何一个范围的选择。“Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图12所示。最上面显示的就是DLC文件头信息,包括来源、目的地址、帧大小(以字节计)以及Ethertype(以太网类型)。在这里,以太网类型值为0800,表示为IPv4协议。
图12 DLC文件头信息
如果捕获的是HTTP协议,则DLC下面显示的是IP文件头的详细内容(如图13所示),
图13 IP文件头信息
包括:
V ersion(版本):版本序号为4,代表IPv4。
Header length:Internet文件头长度,为20个字节。Type of service(服务类型值):该值为00,我们会看到ToS下面一直到总长度部分都是0。这里可以提供服务质量(QoS)信息;每个二进制数位的意义都不同,这取决于最初的设定。例如,正常延迟设定为0,说明没有设定为低延迟,如果是低延迟,设定值应该为1。
Total length(总长度):显示该数据的总长度,为Internet文件头和数据的长度之和。
Identification:该数值是文件头的标识符部分,当数据包被划分成几段传送时,接收数据的主机可以用这个数值来重新组装数据。
Flag(标记):数据包的“标记”功能,例如,数据包分段用0标记,未分段用1标记。
Fragment offset(分段差距):分段差距为0个字节。可以设定0代表最后一段,或者设定1代表更多区段,这里该值为0。分段差距用来说明某个区段属于数据包的哪个部分。
Time to live(保存时间):表示TTL值的大小,说明一个数据包可以保存多久。
Protocol(协议):显示协议值,在Sniffer Pro中代表传输层协议。文件头的协议部分只说明要使用的下一个上层协议是什么,这里为UDP。
Header checksum(校验和):这里显示了校验和(只在这个头文件中使用)的值,并且已经做了标记,表明这个数值是正确的。
Source address(源地址):显示了数据的来源地址。
Destination address(目的地址):显示了数据访问的目的地址。
IP文件头下面为TCP或者UDP文件头,这里为UDP协议(如图14所示)。
图14 UDP文件头信息
UDP协议头包括下列信息:
Source port(源端口):显示了所使用的UDP协议的源端口。
Destination port(目的端口):显示了UDP协议的目的端口。
Length(长度):表示IP文件头的长度。
Checksum(校验和):显示了UDP协议的校验和。
Bytes of data:表示有多少字节的数据。
根据协议的不同,在详细资料窗口中有的还会显示ARP、HTTP、WINS等信息。通过这些信息,可以发现正在解析的协议中更多内容。
“Decode”窗口最下方为“Hex窗口”,这里显示的内容最直观,但也难以理解,如图15所示。“Hex 窗口”中的信息是16进制代码的信息集合。数据的传输是按照二进制系统为基本标准进行的,二进制数据还可以转换为十六进制、十进制和八进制的格式,在“Hex窗口”中查看数据时,看到的就是处于传输状态的原始ASCⅡ格式的数据。
图15 Hex窗口
5. 监控网络的几种模式
在Sniffer中,除了使用仪表盘表示网络的当前状况以外,还可以使用其它几种模式来查看网络当前的运行状况。
选择“Monitor”菜单中的“Host Table(主机列表)”选项,显示如图16所示“Host Table”对话框,该列表框中显示了当前与该主机连接通信信息,包括连接地址、通信量、通信时间等,例如,这里选择“IP”标签,可以看到与本机相连接的所有IP地址及其信息。在该对话框左侧,可以选择不同的按钮,使该主机列表以不同的图形显示,如柱形、圆形等。
图16 主机列表
选择“Monitor”菜单中的“Matrix”选项,显示“Matrix”窗口,该窗口会监控本地网络与外部网络的连接情况,并将源地址与目的地址的连接用直线表示。如图17所示该蓝色圆中的各点连线表明了当前处于活跃状态的本地计算机与目的地址的点对点连接,在这里,选择“IP”标签,可以看到源地址与目的IP地址的连接(如图17)。不过,由于连接点太多而过于密集,用户难以看清楚各连接点的源地址和目的地址,此时可在该窗口上单击右键,选择快捷菜单中的“Zoom”子菜单中的比例值来扩展大图形,如300%,500%等。
图17 “IP”标签
同样,如果选择“MAC”标签,则可以查看该计算机与哪些物理设备进行通信,从而便于排除其是否在大量进行广播。
选择“Monitor”菜单中的“Protocol Distribution”选项,显示如图18所示窗口,可以查看各种协议的分布状态,例如,我们选择“IP”标签,在“IP Protocol”中可以看到不同的网络协议以不同颜色的区块表示。
图18 Protocol Distribution选择“Monitor”菜单中“Global Statistics”选项,在“Size Distribution”标签中,可以查看网络上传输包的大小比例分配,显示如图19所示。而在“Utilization Dist”标签中,可以查看当前网络的利用率。
图19 Global Statistics
选择“Monitor”菜单中的“Application Response Time”选项,该列表中显示拉局域网内的通信及其响应速度列表,并将本地网的计算机名以NetBIOS名的形式解析出来。
6. 设置数据包过滤
在默认情况下,Sniffer会接收网络中所有传输的数据包,但我们在分析网络协议查找网络故障时,有许多数据包不是我们需要的,这就要对捕获的数据进行过滤,只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤规则和定义,过滤规则包括二、三层地址的定义和几百种协议的定义。这里介绍一下如何过滤通过本机发送的IP数据包。
在Sniffer Pro主窗口中,选择“Capture”菜单中的“Define Filter”选项,选择“Address”选项卡,如图20所示,在“Address”下拉列表中可以选择MAC,IP,IPX过滤,这里我们选择“IP”;在“Mode”中选择“Include(包含)”单选按钮,如果选择“Exclude”单选按钮,则表示捕获除此地址外所有的数据包;在Station列表中的一栏输入要过滤的IP地址,另一栏设置为“Any”,代表任何主机;在“Dir”列表中设置过滤条件,可以用逻辑关系如AND,OR,NOT等组合来设置。在Station列表中,可以设置多个条件,也就是可以过滤多个IP地址的连接。
图20 设置过滤的IP地址
选择“Advanced”选项卡,在这里可以定义要捕获哪些协议的数据包。例如,想捕获DNS,FTP,HTTP,NetBIOS等协议的数据包,可在TCP协议列表中,选中DNS,FTP,HTTP,NetBIOS等协议复选框;在“Packet Size”下拉列表中,可以选择要过滤的数据包的大小;在“Packet Type”列表框中,可以选择要捕获的数据包的类型,如图21所示。
图21 选择协议
选择“Buffer”选项卡,用来定义捕获包缓冲器,缓冲器占用的是计算机内存的一部分空间,如图22所示。在“Buffer size”中可以定义缓冲器的大小,默认为8MB;在“Packet size”中可以设置包的大小;在“When buffer is full(当缓冲器已满)”选项区域中,可以设置缓冲器满了以后,是“Stop capture(停止捕获)”还是“Wrap buffer(封装缓冲器)”;在“Capture buffer”选项区域可以设置捕获数据的自动保存功能。由于缓冲器会占用内存空间,如果计算机内存较小,要捕获的数据又很多,可以使用自动保存功能将捕获的数据直接保存硬盘,选中“Save to file(保存到文件)”复选框,在“Director”中设置要保存的文件路径,在“Filename”中设置文件名。
图22 设置缓冲器
如果没有使用自动保存功能,捕获数据后会自动显示出Expert对话框,用来分析数据;如果使用了自动保存功能,由于数据不再保存到缓冲器而是保存到文件,所以停止捕获以后再选择“Capture”菜单中的“Display”选项时,就要求选择打开的文件,此时需要选择在设置自动保存时的文件,才可打开。
完成以后单击“Profiles”按钮,显示“Capture Profiles”对话框,可以建立一个新的过滤器。默认已有一个名为“Default”的过滤器,单击“New”按钮显示“New Capture Profile”对话框,在“New Profile
Name”文本框中为该过滤器定义一个名称,如图23所示,完成以后单击“OK”按钮。
图23 新建过滤器
最后,单击“确定”按钮保存所做的设置。然后,需要将所设置的过滤规则应用于捕获中。在Sniffer Pro主窗口中,选择“Monitor”菜单中的“Select Filter”选项,显示“Select Filter”对话框,选中“Apply monitor filter”复选框应用,并在列表框中选择所设置的过滤规则,如图24所示。
图24 选择过滤器
完成以后单击“确定”按钮,然后在Sniffer Pro主窗口中选择“Capture”菜单中的“Start”选项,此时,Sniffer Pro将会只捕获与本机计算机(192.168.1.178)连接的数据包,没有与本地连接的数据包将不再捕获,这样,便于管理员分析网络中的数据并找出问题所在。
7. 分析网络协议
网络问题对管理员来说很常见,因此管理员必须选择最好的方法来识别不同的网络故障,进行分析并解决。Sniffer Pro可以帮助管理员捕获网络流量,全面了解网络状况、分析捕获的信息。使用Sniffer Pro 捕获的流量都会直接到达捕获缓冲器,捕获的数据还可以保存在硬盘,以备将来使用。在捕获流量时,既可以捕获所有数据,又可以过滤数据。如果捕获所有流量,可对网络所有数据有全面了解,但也可能因每秒通过网络的数据包过多,网络需要承载较大的数据量。因此,比较好的方法是定义一个过滤器,只捕获与管理员正在分析的问题有关的数据包。下面我们就介绍一下如何使用Sniffer Pro来捕获并分析ARP协议和ICMP协议。
(1) 捕获并分析ARP协议
ARP协议即地址识别协议,是网络中最重要的协议之一,它的作用是将网络设备的物理地址(MAC地址)自动映射成IP地址。
现在我们先定义一个过滤器,只捕获ARP数据包。在Sniffer Pro窗口中,选择“Capture”菜单中的“Define Filter”选项,显示“Define Filter”对话框,单击“Profiles”按钮来添加一个新过滤器,并命名为“ARP”,如图25所示。
图25 Define Filter
选择“Define Filter”对话框的“Advanced”选项卡,在协议列表中框中只选中“ARP”复选框。完成以后单击“确定”按钮,关闭过滤器定义窗口,一个ARP过滤器就设置成功了。现在就使用它来捕获一些数据。在Sniffer Pro窗口中选择“Capture”菜单中的“Start”选项开始捕获网络中的数据,经过一段时间后选择“Capture”菜单中的“Stop”选项停止捕获,并选择“Display”选项打开代码窗口,现在就可以开始分析捕获结果了。
(2) 分析ICMP协议来报告错误
ICMP协议即Internet控制信息协议,而且是TCP/IP协议的一部分,它是网络设备间报告错误的基于控制的协议。ICMP是一种非常强大的工具,允许我们报告20种以上不同的网络状况。
首先需要定义一个新的ICMP过滤器。在Sniffer Pro主窗口中,选择“Capture”菜单中的“Define Filter(定义过滤器)”选项,显示“Define Filter”对话框,单击“Profiles”按钮显示“Capture Profiles”对话框,单击“New”按钮定义一个名为ICMP的过滤器。完成以后在“Define Filter”对话框的“Advanced”选项卡中,只选中“IP”列表中的“ICMP”协议,最后单击“确定”按钮保存。
在Sniffer Pro主窗口中,选择“Capture”菜单中的“Start”选项开始捕获过程,向默认网关发送ping 命令。选择“Stop”选项则可停止捕获。
由于ICMP信息是封装在IP数据包中的,而IP数据包又会封装在以太网帧中,因此,如果要彻底分析一个ICMP数据包,就必须查看这个数据包的所有部分,理解三种不同的文件头:DLC文件头,IP文件头和ICMP文件头。
当捕获数据完成以后,在“Expert”对话框中选择下面的“Decode”标签,展开“ICMP”列表,显示如图26所示。
图26 ICMP文件头
现在来分析各项内容:
Type=8(Echo):ICMP Echo有两种类型,类型8是请求,而类型0是响应。
Code:该代码现在在ICMP Echo信息中并不常用,经常设定为0。
Checksum:IP文件头检验和不能用来证明高层协议数据的完整性,所以ICMP信息用自己的检验和来确保数据在传输过程中没有被中断。
Identifier与Sequence number:这些数字由发送方式生成,用来将响应与请求匹配在一起
8. Sniffer Pro的其它工具
Sniffer Pro内置了一些其它的网络工具,可以对网络管理起到辅助作用。打开Sniffer Pro的“Tools”菜单,可以看到这里有ping,trace route,DNS lookup,finger,who is等,这些工具和Windows系统中相应的命令类似,管理员使用它们可测试连接,追踪路由等,而且使用起来更简单。例如,选择“ping”选项来使用ping命令,会显示如图27所示对话框,在“Host”框中输入要ping的IP地址或者域名,单击“OK”按钮就会自动ping了,并将结果显示在“Ping”窗口中。如果想再ping其它的地址,选择“Command”菜单中的“Ping”选项即可。
图27 Ping命
MATLAB软件中包含MATLAB神经网络工具箱,工具箱以人工神经网络为基础,只要根据自己需要调用相关函数,就可以完成网络设计、权值初始化、网络训练等,MATLAB神经网络工具箱包括的网络有感知器、线性网络、BP神经网络、径向基网络、自组织网络和回归网络,BP神经网络工具箱主要包括newff,sim和train三个神经网络函数各函数的解释如下:1 newff::::BP神经网络参数设置函数神经网络参数设置函数神经网络参数设置函数神经网络参数设置函数 函数功能:构建一个BP神经网络。 函数形式:net = newff(P,T,S,TF,BTF,BLF,PF,IPF,OPF,DDF) P:输入数据矩阵 T:输出数据矩阵 S:隐含层节点数 TF:节点传递函数,包括硬限幅传递函数hardlim,对称硬限幅传递函数hardlims,线性传递函数purelin,正切S型传递函数tansig,对数S型传递函数logsig BTF:训练函数,包括梯度下降BP算法训练函数traingd,动量反传的梯度下降BP算法训练函数traingdm,动态自适应学习率的梯度下降BP算法训练函数traingda,动量反传和动态自适应学习率的梯度下降BP算法训练函数traingdx,Levenberg_Marquardt 的BP算法训练函数trainlm BLF:网络学习函数,包括BP学习规则learngd,带动量项的BP学习规则learngdm PF:性能分析函数,包括均值绝对误差性能分析函数mae,均方差性能分析函数mse IPF:输入处理函数 OPF:输出处理函数 DDF:验证数据划分函数 一般在使用过程中设置前六个参数,后四个参数采用系统默认参数。 2 train::::BP神经网络训练函数神经网络训练函数神经网络训练函数神经网络训练函数函数功能:用训练数据训练BP神经网络。 函数形式:[net,tr] = train(NET,X,T,Pi,Ai) NET:待训练网络 X:输入数据矩阵 T:输出数据矩阵 Pi:初始化输入层条件 Ai:初始化输出层条件 net:训练好的网络 tr:训练过程记录 一般在使用过程中设置前三个参数,后两个参数采用系统默认参数。 3 sim::::BP神经网络预测函数神经网络预测函数神经网络预测函数神经网络预测函数 函数功能:用训练好的BP神经网络预测函数输出 函数形式:y=sim(net,x) net:训练好的网络 x:输入数据 y:网络预测数据 只要我们能够熟练掌握上述三个函数,就可以完整的编写一个BP神经网络预测或者分类的程序。
如何使用贝叶斯网络工具箱 2004-1-7版 翻译:By 斑斑(QQ:23920620) 联系方式:banban23920620@https://www.doczj.com/doc/e72779638.html, 安装 安装Matlab源码 安装C源码 有用的Matlab提示 创建你的第一个贝叶斯网络 手工创建一个模型 从一个文件加载一个模型 使用GUI创建一个模型 推断 处理边缘分布 处理联合分布 虚拟证据 最或然率解释 条件概率分布 列表(多项式)节点 Noisy-or节点 其它(噪音)确定性节点 Softmax(多项式 分对数)节点 神经网络节点 根节点 高斯节点 广义线性模型节点 分类 / 回归树节点 其它连续分布 CPD类型摘要 模型举例 高斯混合模型 PCA、ICA等 专家系统的混合 专家系统的分等级混合 QMR 条件高斯模型 其它混合模型
参数学习 从一个文件里加载数据 从完整的数据中进行最大似然参数估计 先验参数 从完整的数据中(连续)更新贝叶斯参数 数据缺失情况下的最大似然参数估计(EM算法) 参数类型 结构学习 穷举搜索 K2算法 爬山算法 MCMC 主动学习 结构上的EM算法 肉眼观察学习好的图形结构 基于约束的方法 推断函数 联合树 消元法 全局推断方法 快速打分 置信传播 采样(蒙特卡洛法) 推断函数摘要 影响图 / 制定决策 DBNs、HMMs、Kalman滤波器等等
安装 安装Matlab代码 1.下载FullBNT.zip文件。 2.解压文件。 3.编辑"FullBNT/BNT/add_BNT_to_path.m"让它包含正确的工作路径。 4.BNT_HOME = 'FullBNT的工作路径'; 5.打开Matlab。 6.运行BNT需要Matlab版本在V5.2以上。 7.转到BNT的文件夹例如在windows下,键入 8.>> cd C:\kpmurphy\matlab\FullBNT\BNT 9.键入"add_BNT_to_path",执行这个命令。添加路径。添加所有的文件夹在Matlab的路 径下。 10.键入"test_BNT",看看运行是否正常,这时可能产生一些数字和一些警告信息。(你可 以忽视它)但是没有错误信息。 11.仍有问题?你是否编辑了文件?仔细检查上面的步骤。
神经网络工具箱的使用 本章主要介绍神经网络工具箱的使用,使用nntool可以使得原本用编程来创建神经网络变得容易,而且不容易出错。 1 神经网络的创建与训练 神经网络的创建主要分为以下四步: 1)在命令窗口键入nntool命令打开神经网络工具箱。如图1: 图 1 2)点击Import按钮两次,分别把输入向量和目标输出加入到对应的窗口([Inputs]和[Targets])中,有两种可供选择的加入对象(点击Import后可以看见),一种是把当前工作区中的某个矩阵加入,另一种是通过.mat文件读入。如图2和图3:
图 2 图 3 3)点击[New Network]按钮,填入各参数:(以最常用的带一个隐层的3层神经网络为例说明,下面没有列出的参数表示使用默认值就可以了,例如Network Type为默认的BP神经网络);
i)Input Range——这个通过点击Get From Input下拉框选择你加入的输入向量便可自动完成,当然也可以自己手动添加。 ii) Training Function——最好使用TRAINSCG,即共轭梯度法,其好处是当训练不收敛时,它会自动停止训练,而且耗时较其他算法(TRAINLM,TRAINGD)少,也就是收敛很快(如果收敛的话),而且Train Parameters输入不多,也不用太多的技巧调整,一般指定迭代次数、结果显示频率和目标误差就可以了(详见下文)。 iii) Layer 1 Number of Neurons——隐层的神经元个数,这是需要经验慢慢尝试并调整的,大致上由输入向量的维数、样本的数量和输出层(Layer2)的神经元个数决定。一般来说,神经元越多,输出的数值与目标值越接近,但所花费的训练时间也越长,反之,神经元越少,输出值与目标值相差越大,但训练时间会相应地减少,这是由于神经元越多其算法越复杂造成的,所以需要自己慢慢尝试,找到一个合适的中间点。比如输入是3行5000列的0-9的随机整数矩阵,在一开始选择1000个神经元,虽然精度比较高,但是花费的训练时间较长,而且这样神经网络的结构与算法都非常复杂,不容易在实际应用中实现,尝试改为100个,再调整为50个,如果发现在50个以下时精度较差,则可最后定为50个神经元,等等。 iv)Layer 1 Transfer Function——一般用TANSIG(当然也可以LOGSIG),即表示隐层输出是[-1,1]之间的实数,与LOGSIG相比范围更大。 v) Layer 2 Number of Neurons——输出层的神经元个数,需要与输出的矩阵行数对应,比如设置为3,等等。 vi) Layer 2 Transfer Function——如果是模式识别的两类(或者多类)问题,一般用LOGSIG,即表示输出层的输出是[0,1]之间的实数;如果输出超过[0,1]则可选择PURELIN。如图4和图5。
网络管理中需要用到的工具介绍 对于网络管理员来说,故障诊断工具多种多样,这些工具难于掌握,但是对它们的需要却是勿庸置疑的.缺乏合适的工具往往会阻碍工作的正常进行.本节将讨论一些工具以及它们的特征,你应该将这些工具添加到 你的“箭筒”中以支持你的技术故障检修工作. 1、管理信息库浏览器(MIB browsers) 如第一章所阐述,管理信息库(MIB)一个存储网络设备特征的数据库.这些数据库由厂商发布,管理员可以对其中的网络设备的配置和状态信息进行读、写操作.管理信息库浏览器是一种特殊的工具,使用该工具能观察到管理信息库中的数据并提取相关的对象ID(OID)信息.需要注意的是,OID不仅仅是用于表示设 备数据唯一地址的一串数字.一个设计良好的管理信息库浏览器应该包含一个预存的已知OID和相关数据 的数据库.管理信息库浏览器还具有“走访管理信息库树”的能力,能够收集管理信息库所有的已知数据并将 其呈现给管理员. 一个有效的管理信息库浏览器的强大之处在于,它能够观察和搜索管理信息库的相关信息并使得管理员能够根据需要修改和定制这些信息.一个设计良好的管理信息库浏览器一般包含以下功能: 支持远程设备 已知OID的大型数据库 通过树型视图观察/搜索/遍历功能 编辑功能 支持读/写功能 支持多个设备 管理信息库浏览器主要是作为一种定制工具将基于SNMP的设备嵌入到你的网络管理系统中. 2、远程登陆(Telnet)和安全命令行解释(SSH) Telnet,原本是“TELetype NETwork”的缩写,现在成了一个适合自己的名称,这是一种最常见的将一个系统的命令行控制台会话转发到一个远程主机的机制.Telnet是完全文本式的和命令行驱动的,对新的网络管理员来说,使用起来会有一定的难度.Telnet几乎被所有的UNIX主机和网络设备用于设备配置和管理. SSH或者“安全命令行解释(Secure Shell)”是一种类似的协议,用于实现和Telnet相同的目标,但是具有内在的安全因素.SSH使用公共密钥加密算法来对系统用户进行验证,并为SSH客户端和服务器之间的数据传输提供了机密和完整性机制.由于协议附加的内在安全性,SSH迅速成为了远程终端应用的标准. 对于任何一种协议,Telnet或者SSH客户端软件都是你的故障检修工具箱中必不可少的一种工具.当前存在很多的客户端软件,而且其中一些客户端软件比其它的软件具有更多的特征.当你寻找一个好的Telnet 或者SSH客户端软件时,可能需要考虑的一些功能有: 文本色化处理功能 函数密钥映射 远程文件复制支持 服务器连接配置 警报生成功能 脚本记录和重现功能 会话监视功能 安全密码缓存 通常,如果你的网络设备支持,总是优先选择SSH而非Telnet.Telnet以纯文本方式在网络中发送数据和密 码,这样就使得网络攻击者可以很容易地“监听”到你的通信.当你通过互联网进行设备连接时,情况尤其如此. 串口工具(Serial port tools)
1. 打开MATLAB,在命令行输入nntool,将出现如下界面: 图1 神经网络工具箱主界面 其中最主要的分为6个部分:第1部分中显示的是系统的输入数据;第2部分是系统的期望输出;第3部分是网络的计算输出;第4部分是网络的误差,即2 和3之间的差异;第5部分呈现的是已经建立的神经网络实例;第6部分的两个按钮分别负责数据的导入和网络模型的建立。 2. 点击“Import”按钮,分别导入输入数据与目标输出数据(数据可从工作区导入,也可从文件导入): 图2 导入输入数据集
图3 导入期望输出数据集 导入数据后主界面的情况如下: 图4 导入数据后的情况 重要说明:神经网络的数据是以列为基本单位的,即输入与输出数据的列数必须相同,否则将报错!如果原先数据是以行为单位组织的话,可以先在MATLAB 中实现转置然后再导入,即B = A’。
3.现在需要的数据已经有了,下一步就是建立一个神经网络模型对数据集进行学习。以下步骤以BP网络为例,首先点击“New”按钮,出现如下界面: 几个重要部分已在上图中框出:1处用于定义该神经网络的名称;2处用于选择神经网络的类型;3处用于选择网络的输入数据;4处用于确定网络的期望输出数据;5、6、7处分别对神经网络的主要机制函数进行设置;8处设置网络层数;9处用于选择各网络层(需要说明的是:第1层指的是隐含层而不是输入层),从而在10和11处可以对该层的神经元个数和传递函数进行设置;12处按钮可以用于查看当前所设置的神经网络的结构图(下附图);点击13处按钮即可生成对应的神经网络模型。前面只是简单地介绍了各个部分的作用,具体参数应该如何设置就只有各位自行去学习相关的文献了,此处不再多言。
社会网络分析方法 SNA分析软件 ●第一类为自由可视化SNA 软件,共有Agna 等9 种软件,位于图1 的右上角,这类软件可以自 由下载使用,成本低,但一般这类软件的一个共同缺点是缺乏相应的如在线帮助等技术支持; ●第二类为商业可视化SNA 软件,如InFlow 等3种,这类软件大都有良好的技术支持;(3)第 三类为可视化SNA 软件,如KliqFinder 等4 种,这类软件一般都是商业软件,但他们都有可以通过下载试用版的软件,来使用其中的绝大部分功能 ●第四类为自由非可视化SNA 软件,如FATCAT 等7 种,这类软件的特点是免费使用,但对SNA 的分析结果以数据表等形式输出,不具有可视化分析结果的功能; ●第五类为商业非可视化SNA 软件,只有GRADAP 一种,该软件以图表分析为主,不具有可 视化的功能。在23 种SNA 软件中,有16 种SNA 软件,即近70%的SNA 软件,具有可视化功能。 SNA分析方法 使用SNA 软件进行社会网络分析时,一般需要按准备数据、数据处理和数据分析三个步骤进行。尽管因不同的SNA 软件的具体操作不同,但这三个步骤基本是一致的。 1.准备数据,建立关系矩阵 准备数据是指将使用问卷或其他调查方法,或直接从网络教学支撑平台自带的后台数据库中所获得的用于研究的关系数据,经过整理后按照规定格式形成关系矩阵,以备数据处理时使用。这个步骤也是SNA 分析的重要的基础性工作。SNA 中共有三种关系矩阵:邻接矩(AdjacencyMatrix)、发生阵(Incidence Matrix)和隶属关系矩阵(Affiliation Matrix)。邻接矩阵为正方阵,其行和列都代表完全相同的行动者,如果邻接矩阵的值为二值矩阵,则其中的“0”表示两个行动者之间没有关系,而“1”则表示两个行动者之间存在关系。然而我们
matlab贝叶斯网络工具箱使用 2010-12-18 02:16:44| 分类:默认分类| 标签:bnet 节点叶斯matlab cpd |字号大中小订阅 生成上面的简单贝叶斯网络,需要设定以下几个指标:节点,有向边和CPT表。 给定节点序,则只需给定无向边,节点序自然给出方向。 以下是matlab命令: N = 4; %给出节点数 dag = false(N,N); %初始化邻接矩阵为全假,表示无边图C = 1; S = 2; R = 3; W = 4; %给出节点序 dag(C,[R,S])=true; %给出有向边C-R,C-S dag([R,S],W)=true; %给出有向边R-W,S-W discrete_nodes = 1:N; %给各节点标号 node_sizes = 2*ones(1,N); %设定每个节点只有两个值 bnet = mk_bnet(dag, node_sizes); %定义贝叶斯网络bnet %bnet结构定义之后,接下来需要设定其参数。 bnet.CPD{C} = tabular_CPD(bnet, C, [0.5 0.5]); bnet.CPD{R} = tabular_CPD(bnet, R, [0.8 0.2 0.2 0.8]); bnet.CPD{S} = tabular_CPD(bnet, S, [0.5 0.9 0.5 0.1]); bnet.CPD{W} = tabular_CPD(bnet, W, [1 0.1 0.1 0.01 0 0.9 0.9 0.99]); 至此完成了手工输入一个简单的贝叶斯网络的全过程。 要画结构图的话可以输入如下命令: G=bnet.dag; draw_graph(G); 得到:
3.1 贝叶斯网络构建算法 算法3.1:构建完全连接图算法 输入:样本数据D ;一组n 个变量V={V l ,V 2,…,V n }变量。 输出:一个完全连接图S 算法: 1、 连接任意两个节点,即连接边 L ij=1,i ≠j 。 2、 为任一节点V i 邻接点集合赋值,B i= V\{V i }。 算法3.2:构建最小无向图算法 输入:样本数据D ;一组n 个变量V={V l ,V 2,…,V n }变量。及算法3.1中得到的邻接点集B i ,连接边集 L ij 先验知识:节点V i ,V j 间连接边是否存在 变量说明:L 为连接边,|L|=n(n –1)/2为连接边的数量,B i 表示变量V i 的直接邻近集,|B i |表示与变量B i 相邻的变量数。(V i ⊥V j |Z)表示V i 和V j 在Z 条件下条件独立,设∧(X ,Y)表示变量X 和Y 的最小d-分离集。 输出:最小无向图S 1、根据先验知识,如果V i 和V j 不相连接,则L ij =0 . 2、对任一相连接边,即L ij ≠0,根据式(3-12)计算互信息I (V i ,V j ) ),(Y X I =))()(|),((y p x P y x p D =????? ?)()(),(log ),(Y p X p Y X p E y x P (3-12) if I (V i ,V j )ε≤ then { L ij =0 //V i 和V j 不相连接 B i= V\{V j }, B j= V\{V i } //调整V i 和V j 邻接集 } else I ij = I (V i ,V j ) //节点V i 和V j 互信息值 3、对所有连接边,并按I ij 升序排序 4、如果连接边集L ij 不为空,那么按序选取连接边L ij ,否则 goto 10 if |B i |≥ |B j |,令Z= B i else Z= B j //为后面叙述方便,这里先假设|B i |≥ |B j | 5、逐一计算L ij 的一阶条件互信息I(V i ,V j |Z 1),Z 1={Y k }, Y k ∈Z, if I(V i ,V j |Z 1)ε≤ then { L ij =0 //V i 和V j 关于Z 1条件独立 B i= V\{V j }, B j= V\{V i } //调整V i 和V j 邻接集 d ij = Z 1 //L ij 最小d 分离集为Z 1 goto 4
Matlab的神经网络工具箱实用指南 文章摘要:第一章是神经网络的基本介绍,第二章包括了由工具箱指定的有关网络结构和符号的基本材料以及建立神经网络的一些基本函数,例如new、init、adapt和train。第三章以反向传播网络为例讲解了反向传播网络的原理和应用的基本过程。 第一章介绍 1.神经网络 神经网络是单个并行处理元素的集合,我们从生物学神经系统得到启发。在自然界,网络功能主要由神经节决定,我们可以通过改变连接点的权重来训练神经网络完成特定的功能。 一般的神经网络都是可调节的,或者说可训练的,这样一个特定的输入便可得到要求的输出。如下图所示。这里,网络根据输出和目标的比较而调整,直到网络输出和目标匹配。作为典型,许多输入/目标对应的方法已被用在有监督模式中来训练神经网络。 神经网络已经在各个领域中应用,以实现各种复杂的功能。这些领域包括:模式识别、鉴定、分类、语音、翻译和控制系统。 如今神经网络能够用来解决常规计算机和人难以解决的问题。我们主要通过这个工具箱来建立示范的神经网络系统,并应用到工程、金融和其他实际项目中去。 一般普遍使用有监督训练方法,但是也能够通过无监督的训练方法或者直接设计得到其他的神经网络。无监督网络可以被应用在数据组的辨别上。一些线形网络和Hopfield网络是直接设计的。总的来说,有各种各样的设计和学习方法来增强用户的选择。 神经网络领域已经有50年的历史了,但是实际的应用却是在最近15年里,如今神经网络仍快速发展着。因此,它显然不同与控制系统和最优化系统领域,它们的术语、数学理论和设计过程都已牢固的建立和应用了好多年。我们没有把神经网络工具箱仅看作一个能正常运行的建好的处理轮廓。我们宁愿希望它能成为一个有用的工业、教育和研究工具,一个能够帮助用户找到什么能够做什么不能做的工具,一个能够帮助发展和拓宽神经网络领域的工具。因为这个领域和它的材料是如此新,这个工具箱将给我们解释处理过程,讲述怎样运用它们,并且举例说明它们的成功和失败。我们相信要成功和满意的使用这个工具箱,对范例
常州信息职业技术学院 实习报告 课程名:网络管理工具使用详解 一、实习目的: 对常用、好用的网络管理工具进行全面深入的了解,包括IP/MAC地址工具,IP链路测试工具、网络查看与搜索工具、网络监管诊断工具、网络设备管理工具、Cisco网络设备管理工具、网络性能测试工具、流量监控与分析工具等,能够熟练地使用各种各样的网络常用工具,当遇到网络故障时,能够灵活运用这些工具,将网络故障排除。 二、实习过程: 1、Windows系统内置工具—ipconfig Ipconfig是内置于Windows的TCP/IP应用程序,用于显示本地计算机网络适配器的物理地址和IP地址等配置信息,这些信息一般用来检验手动配置的TCP/IP设置是否正确。当在网络中使用DHCP服务时,ipconfig可以检测计算机中分配到了什么IP地址,是否配置正确,并且可以释放、重新获取IP地址。 2、IP地址管理工具—IPMaster IPMaster是进行ip地址管理的工具软件,它提供可视化的ip地址分配、自动子网计算、掩码计算、子网划分、网段扫描、主机监控、Ping、TraceRoute、Telnet、netsend等功能,可以提高网管人员的工作效率和减少失误,本软件的目的是为了有序和高效地实现大中小型企业网IP地址的分配和管理。 3、MAC地址解析工具—Arp ARP(Address Resolution Protocol,地址解析协议)是获取物理地址的一个TCP/IP协议。某节点的IP地址的ARP请求被广播到网络上后,这个节点会收到确认其物理地址的应答,这样的数据包才能被传送出去。RARP(逆向ARP)经常在无盘工作站上使用,以获得它的逻辑IP地址。 4、IP网络连通性测试—Ping PING (Packet Internet Groper),因特网包探索器,用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol)即因特网信报控制协议;回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。 它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:利用网络上机器IP地址的唯一性,给目标IP地址发送一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通,时延是多少。
六个主要的社会网络分析软件的比较UCINET简介 UCINET为菜单驱动的Windows程序,可能是最知名和最经常被使用的处理社会网络数据和其他相似性数据的综合性分析程序。与UCINET捆绑在一起的还有Pajek、Mage和NetDraw 等三个软件。UCINET能够处理的原始数据为矩阵格式,提供了大量数据管理和转化工具。该程序本身不包含网络可视化的图形程序,但可将数据和处理结果输出至NetDraw、Pajek、Mage 和KrackPlot等软件作图。UCINET包含大量包括探测凝聚子群(cliques, clans, plexes)和区域(components, cores)、中心性分析(centrality)、个人网络分析和结构洞分析在内的网络分析程序。UCINET还包含为数众多的基于过程的分析程序,如聚类分析、多维标度、二模标度(奇异值分解、因子分析和对应分析)、角色和地位分析(结构、角色和正则对等性)和拟合中心-边缘模型。此外,UCINET 提供了从简单统计到拟合p1模型在内的多种统计程序。 Pajek简介 Pajek 是一个特别为处理大数据集而设计的网络分析和可视化程序。Pajek可以同时处理多个网络,也可以处理二模网络和时间事件网络(时间事件网络包括了某一网络随时间的流逝而发生的网络的发展或进化)。Pajek提供了纵向网络分析的工具。数据文件中可以包含指示行动者在某一观察时刻的网络位置的时间标志,因而可以生成一系列交叉网络,可以对这些网络进行分析并考察网络的演化。不过这些分析是非统计性的;如果要对网络演化进行统计分析,需要使用StOCNET 软件的SIENA模块。Pajek可以分析多于一百万个节点的超大型网络。Pajek提供了多种数据输入方式,例如,可以从网络文件(扩展名NET)中引入ASCII格式的网络数据。网络文件中包含节点列表和弧/边(arcs/edges)列表,只需指定存在的联系即可,从而高效率地输入大型网络数据。图形功能是Pajek的强项,可以方便地调整图形以及指定图形所代表的含义。由于大型网络难于在一个视图中显示,因此Pajek会区分不同的网络亚结构分别予以可视化。每种数据类型在Pajek中都有自己的描述方法。Pajek提供的基于过程的分析方法包括探测结构平衡和聚集性(clusterability),分层分解和团块模型(结构、正则对等性)等。Pajek只包含少数基本的统计程序。 NetMiner 简介 NetMiner 是一个把社会网络分析和可视化探索技术结合在一起的软件工具。它允许使用者以可视化和交互的方式探查网络数据,以找出网络潜在的模式和结构。NetMiner采用了一种为把分析和可视化结合在一起而优化了的网络数据类型,包括三种类型的变量:邻接矩阵(称作层)、联系变量和行动者属性数据。与Pajek和NetDraw相似,NetMiner也具有高级的图形特性,尤其是几乎所有的结果都是以文本和图形两种方式呈递的。NetMiner提供的网络描述方法和基于过程的分析方法也较为丰富,统计方面则支持一些标准的统计过程:描述性统计、ANOVA、相关和回归。 STRUCTURE 简介 STRUCTURE 是一个命令驱动的DOS程序,需要在输入文件中包含数据管理和网络分析的命令。STRUCTURE支持五种网络分析类型中的网络模型:自主性(结构洞分析)、凝聚性(识别派系)、扩散性、对等性(结构或角色对等性分析和团块模型分析)和权力(网络中心与均质分析)。STRUCTURE提供的大多数分析功能是独具的,在其他分析软件中找不到。MultiNet简介 MultiNet 是一个适于分析大型和稀疏网络数据的程序。由于MultiNet是为大型网络的分析而专门设计的,因而像Pajek那样,数据输入也使用节点和联系列表,而非邻接矩阵。对于分析程序产生的几乎所有输出结果都可以以图形化方式展现。MultiNet可以计算degree, betweenness, closeness and components statistic,以及这些统计量的频数分布。通过MultiNet,可以使用几种本征空间(eigenspace)的方法来分析网络的结构。MultiNet包含四种统计技术:交叉表和卡方检验,ANOVA,相关和p*指数随机图模型。
如何用MA TLAB的神经网络工具箱实现三层BP网络? % 读入训练数据和测试数据 Input = []; Output = []; str = {'Test','Check'}; Data = textread([str{1},'.txt']); % 读训练数据 Input = Data(:,1:end-1); % 取数据表的前五列(主从成分) Output = Data(:,end); % 取数据表的最后一列(输出值) Data = textread([str{2},'.txt']); % 读测试数据 CheckIn = Data(:,1:end-1); % 取数据表的前五列(主从成分) CheckOut = Data(:,end); % 取数据表的最后一列(输出值) Input = Input'; Output = Output'; CheckIn = CheckIn'; CheckOut = CheckOut'; % 矩阵赚置 [Input,minp,maxp,Output,mint,maxt] = premnmx(Input,Output); % 标准化数据 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% %%%% % 神经网络参数设置 %====可以修正处 Para.Goal = 0.0001; % 网络训练目标误差 Para.Epochs = 800; % 网络训练代数 Para.LearnRate = 0.1; % 网络学习速率 %==== Para.Show = 5; % 网络训练显示间隔 Para.InRange = repmat([-1 1],size(Input,1),1); % 网络的输入变量区间 Para.Neurons = [size(Input,1)*2+1 1]; % 网络后两层神经元配置
实验八、网络分析(道路网络分析) —xxxxxxx xxx 一、实验目的 通过对本实习的学习,应达到以下几个目的: (1)加深对网络分析基本原理、方法的认识; (2)熟练掌握ARCGIS下进行道路网络分析的技术方法。 (3)结合实际、掌握利用网络分析方法解决地学空间分析问题的能力。 二、实验准备 软件准备:ArcMap, 要求有网络分析扩展模块的许可授权 数据准备: Shape文件创建网络数据集(高速公路:Highways, 主要街道:Major Streets, 公园:Parks,湖泊:Lakes,街道:Streets) Geodatabase网络数据集:NetworkAnalysis.mdb:包含:街道图层:Streets 仓库图层:Warehouses 商店图层:Stores 在ArcMap中加载启用NetWork Anylyst网络分析模块: 三、实验内容及步骤 3.1 最佳路径分析 3.1.1 数据准备 (1)双击ArcMap工程,或从ArcMap中打开工程EX8_1.mxd. (2)如果网络分析扩展模块(Network Analyst Extension)已经启用(参考实验准备中的步骤) (3)如果网络分析工具栏没有出现,则在工具栏显区点右键打开或执行菜单命令[View-视图]>>[Toolbars-工具栏],并点击[Network Analyst]以显示网络分析工具栏。
3.1.2 创建路径分析图层 在网络分析工具栏[ Network Analyst]上点击下拉菜单[Network Analyst],然后点击[New Route]菜单项.
3.1.3 添加停靠点 (1) 在网络分析窗口[Network Analyst Window]中点选Stops(0). (2). 在网络分析工具栏[Network Analyst]上点击“新建网络位置”[Create Network Location]工具。 (3) 在地图的街道网络图层的任意位置上点击以定义一个新的停靠点。 程序将在街道网络上自动的计算并得到一个距离给定位置最近的停靠点,已定义的停靠点会以特别的符号进行显示。停靠点会保持被选中的状态,除非它被明确地反选(Unselected)或者又新增了一个另外的停靠点。停靠点的所在的位置会同时显示一个数字“1”,数字表示经停的顺序。 (4)再添加4 个停靠点。新增加的停靠点的编号为2,3,4,5。经停的顺序可以在网络分析窗口[Network Analyst Window]中更改。第一个停靠点被认定为出发点,最后一个停靠点被认定为是目的地。
贝叶斯网络 2007-12-27 15:13 贝叶斯网络 贝叶斯网络亦称信念网络(Belief Network),于1985 年由Judea Pearl 首先提出。它是一种模拟人类推理过程中因果关系的不确定性处理模型,其网络拓朴结构是一个有向无环图(DAG)。它的节点用随机变量或命题来标识,认为有直接关系的命题或变量则用弧来连接。例如,假设结点E 直接影响到结点H,即E→H,则建立结点E 到结点H 的有向弧(E,H),权值(即连接强度)用条件概率P(H/E)来表示,如图所示: 一般来说,有 n 个命题 x1,x2,,xn 之间相互关系的一般知识可用联合概率分布来描述。但是,这样处理使得问题过于复杂。Pearl 认为人类在推理过程中,知识并不是以联合概率分布形表现的,而是以变量之间的相关性和条件相关性表现的,即可以用条件概率表示。如 例如,对如图所示的 6 个节点的贝叶斯网络,有 一旦命题之间的相关性由有向弧表示,条件概率由弧的权值来表示,则命题之间静态结构关系的有关知识就表示出来了。当获取某个新的证据事实时,要对每个命题的可能取值加以综合考查,进而对每个结点定义一个信任度,记作 Bel(x)。可规定 Bel(x) = P(x=xi / D) 来表示当前所具有的所有事实和证据 D 条件下,命题 x 取值为 xi 的可信任程度,然后再基于 Bel 计算的证据和事实下各命题
的可信任程度。 团队作战目标选择 在 Robocode 中,特别在团队作战中。战场上同时存在很多机器人,在你附近的机器人有可能是队友,也有可能是敌人。如何从这些复杂的信息中选择目标机器人,是团队作战的一大问题,当然我们可以人工做一些简单的判断,但是战场的信息是变化的,人工假定的条件并不是都能成立,所以让机器人能自我选择,自我推理出最优目标才是可行之首。而贝叶斯网络在处理概率问题上面有很大的优势。首先,贝叶斯网络在联合概率方面有一个紧凑的表示法,这样比较容易根据一些事例搜索到可能的目标。另一方面,目标选择很容易通过贝叶斯网络建立起模型,而这种模型能依据每个输入变量直接影响到目标选择。 贝叶斯网络是一个具有概率分布的有向弧段(DAG)。它是由节点和有向弧段组成的。节点代表事件或变量,弧段代表节点之间的因果关系或概率关系,而弧段是有向的,不构成回路。下图所示为一个简单的贝叶斯网络模型。它有 5 个节 点和 5 个弧段组成。图中没有输入的 A1 节 点称为根节点,一段弧的起始节点称为其末节点的母节点,而后者称为前者的子节点。 简单的贝叶斯网络模型 贝叶斯网络能够利用简明的图形方式定性地表示事件之间复杂的因果关系或概率关系,在给定某些先验信息后,还可以定量地表示这些关系。网络的拓扑结构通常是根据具体的研究对象和问题来确定的。目前贝叶斯网络的研究热点之一就是如何通过学习自动确定和优化网络的拓扑结构。 变量 由上面贝叶斯网络模型要想得到理想的目标机器人,我们就必须知道需要哪些输入变量。如果想得到最好的结果,就要求我们在 Robocode 中每一个可知的数据块都要模拟为变量。但是如果这样做,在贝叶斯网络结束计算时,我们会得到一个很庞大的完整概率表,而维护如此庞大的概率表将会花费我们很多的系统资源和计算时间。所以在开始之前我们必须要选择最重要的变量输入。这样从比赛中得到的关于敌人的一些有用信息有可能不会出现在贝叶斯网络之内,比如速
神经网络工具箱 版本6.0.4(R2010a版本)25-JAN-2010 图形用户界面的功能。 nctool - 神经网络分类的工具。 nftool - 神经网络拟合工具。 nprtool - 神经网络模式识别工具。 nntool - 神经网络工具箱的图形用户界面。 nntraintool - 神经网络训练工具。 视图- 查看一个神经网络。 分析功能。 混乱- 分类混淆矩阵。 errsurf - 单输入神经元的误差表面。 maxlinlr - 最大的学习率的线性层。 鹏- 受试者工作特征。 距离函数。 boxdist - 箱距离函数。 DIST - 欧氏距离权重函数。 mandist - 曼哈顿距离权重函数。 linkdist - 链路距离函数。 格式化数据。 combvec - 创建载体的所有组合。 con2seq - 转换并行向量连续载体。 同意- 创建并发偏载体。 dividevec - 创建载体的所有组合。 ind2vec - 转换指数为载体。 最小最大- 矩阵行范围。 nncopy - 复印基质或细胞阵列。 normc - 规格化矩阵的列。 normr - 规格化行的矩阵的。 pnormc - 矩阵的伪规格化列。 定量- 值离散化作为数量的倍数。 seq2con - 转换顺序向量并发载体。 vec2ind - 将矢量转换成指数。 初始化网络功能。 initlay - 层- 层网络初始化函数。 初始化层功能。
initnw - 阮层的Widrow初始化函数。 initwb - 从重量和- 偏置层初始化函数。 初始化的重量和偏见的功能。 initcon - 良心的偏见初始化函数。 initzero - 零重量/偏置初始化函数。 initsompc - 初始化SOM的权重与主要成分。 中点- 中点重初始化函数。 randnc - 归一列重初始化函数。 randnr - 归行重初始化函数。 兰特- 对称随机重量/偏置初始化函数。 学习功能。 learncon - 良心的偏见学习功能。 learngd - 梯度下降重量/偏置学习功能。 learngdm - 梯度下降W /气势重量/偏置学习功能。 learnh - 赫布重学习功能。 learnhd - 赫布衰变重学习功能。 learnis - 重量龄学习功能。 learnk - Kohonen的重量学习功能。 learnlv1 - LVQ1重学习功能。 learnlv2 - LVQ2重学习功能。 learnos - Outstar重学习功能。 learnsomb - 批自组织映射权重学习功能。 learnp - 感知重量/偏置学习功能。 learnpn - 归感知重量/偏置学习功能。 learnsom - 自组织映射权重学习功能。 learnwh - 的Widrow - 霍夫重量/偏置学习规则。 在线搜索功能。 srchbac - 回溯搜索。 srchbre - 布伦特的结合黄金分割/二次插值。 srchcha - Charalambous“三次插值。 srchgol - 黄金分割。 srchhyb - 混合二分/立方搜索。 净输入功能。 netprod - 产品净输入功能。 netsum - 求和净输入功能。 网络创造的功能。 网络- 创建一个自定义的神经网络。 NEWC - 创建一个有竞争力的层。 newcf - 创建级联转发传播网络。
1. TCPDump介绍 TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具,尤其其提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。 我们用尽量简单的话来定义tcpdump,就是:dump the traffice on anetwork.,根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的东西之一。tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。 2. TcpDump的使用 普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。 # tcpdump tcpdump: listening on fxp0 11:58:47.873028 https://www.doczj.com/doc/e72779638.html,bios-ns > https://www.doczj.com/doc/e72779638.html,bios-ns: udp 50 11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43 0000 0000 0080 0000 1007 cf08 0900 0000 0e80 0000 902b 4695 0980 8701 0014 0002 000f 0000 902b 4695 0008 00 11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97 ffff 0060 0004 ffff ffff ffff ffff ffff 0452 ffff ffff 0000 e85b 6d85 4008 0002 0640 4d41 5354 4552 5f57 4542 0000 0000 0000 00tcpdump支持相当多的不同参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。 然而更复杂的tcpdump参数是用于过滤目的,这是因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,充分利用这些过滤规则就能达到迅速定位故障的目的。请使用man tcpdump查看这些过滤规则的具体用法。
贝叶斯网络 提纲: 最近工作: B-COURSE工具学习 BNT研究与学习 BNT相关实验及结果 手动建立贝叶斯网及简单推理 参数学习 结构学习 下一步工作安排 最近工作: 1. B-COURSE 工具学习 B-COURSE是一个供教育者和研究者免费使用的web贝叶斯网络工具。主要分为依赖关系建模和分类器模型设计。输入自己的研究数据,就可以利用该工具在线建立模型,并依据建立好的模型进行简单推理。 B-COURSE要求数据格式是ASCII txt格式的离散数据,其中第一行是各种数据属性变量,其余各行则是采集的样本,属性变量值可以是字符串也可以是数据,属性变量之间用制表符分割,缺失属性变量值用空格代替。读入数据后,在进行结构学习前,可以手动的选择需
要考虑的数据属性!生成过程中,可以手动确定模型,确定好模型后,可以选择JAVA playgroud,看到一个java applet程序,可以手动输入相应证据,从而进行简单推理。 B-COURSE的详细使用介绍,可详见 [url]http://b-course.cs.helsinki.fi/obc/[/url]。 B-COURSE工具隐藏了数据处理,算法实现等技术难点,所以对初学者来说,容易上手。但是却不能够针对不同的应用进行自主编程,缺乏灵活性。 2.贝叶斯网工具箱BNT的研究与学习 基于matlab的贝叶斯网络工具箱BNT是kevin p.murphy基于matlab语言开发的关于贝叶斯网络学习的开源软件包,提供了许多贝叶斯网络学习的底层基础函数库,支持多种类型的节点(概率分布)、精确推理和近似推理、参数学习及结构学习、静态模型和动态模型。 贝叶斯网络表示:BNT中使用矩阵方式表示贝叶斯网络,即若节点i到j有一条弧,则对应矩阵中(i,j)值为1,否则为0。 结构学习算法函数:BNT中提供了较为丰富的结构学习函数,都有: 1. 学习树扩展贝叶斯网络结构的TANC算法learn_struct_tan(). 2. 数据完整条件下学习一般贝叶斯网络结构的K2算法 learn_struct_k2()、贪婪搜索GS(greedy search)算法