当今社会是个信息化的社会，网络信息化大潮正有力的推动着各行各业的发展。证券行业随着业务量，尤其是行情业务和股票实时交易业务的业务量的增加，如同城市中车辆增多引起交通拥堵一样，使得证券的业务网络一次又一次的遭受磨练，对网络的安全性和服务质量（QoS）方面的要求越来越高。
　　 一、证券的网络经常会面临这样的问题
　　 证券业务网络的服务质量现状如何？集中交易核心网点的性能如何？链路丢包率？链路延时？交易业务的平均带宽？最大带宽？最小带宽？行情查询的平均延时？最大延时？最小延时？
　　 整个证券业务网络中流量是如何构成的？除了行情和交易之外，还有没有别的流量？关键业务占据了多大带宽？非关键业务占据了多大带宽？
　　 各个营业部(服务部)至核心网的带宽占用如何？是否需要扩容？营业厅至核心网的链路通断如何？业务性能如何？
　　 营业部或网上交易业务中断，网管系统也无法找到故障源，故障到底在哪里？是电信专线问题？还是核心交换机广播风暴？
　　 应用中间件(AR/KCXP)的负载是否均衡？其数据转发性能如何？
　　 用户抱怨交易不成功，是营业部的网络问题？还是应用中间件的数据转发失败？
　　 近年来流量监测和分析设备成为了证券网络中不可或缺的管理设备，它和网络管理设备一起，相互弥补、相互支撑，共同构建安全、可靠、稳定、高效的网络。
　　 二、业务感知模型
　　 目前国外提出了很多流量识别的方法，大体分为五种。第一种方法是基于端口的流量识别方法。然而，随着端口动态变化业务的不断出现，以及诸多业务采用常规业务端口作为隧道穿越，这种方法也变得越来越低效和不准确。因此，人们提出第二种方法用于准确识别可变端口业务，即基于净荷特征的流量识别方法，这种方法通常采用DPI（Deep Packet Inspection）净荷深度检测技术来匹配各种应用特征，从而识别出不同的业务流量。然而，随着私有协议业务、加密或者VPN业务的不断出现，这种方法就不适用了。因此，人们又提出了第三种方法：基于流量统计特性的识别方法。这种方法不涉及具体业务内容，而是通过对业务流的各种统计信息的分析来区分不同业务流量。然而，流量统计特性的方法无法做到高准确率的识别，因此德国的Passau大学的Dedinski又提出了第四种方法，即综合净荷特征识别和流量特性统计方法的跨层业务识别方法。这种方法从一定程度上弥补了流量特性统计方法在准确性上的不足，然而对于新增业务或者业务特征变化的情况仍无法适用。因此，目前学术界越来越多的将智能计算的方法引入流量识别领域，于是出现了第五种方法：基于智能计算的流量识别方法。
　　 业务识别模型框架分为如下两个层面：协议分析层面、流量识别（业务感知）层面。
　　 协议分析层面通过对各层协议的分析，提供对于TCP/IP的协议解析。目的是通过对TCP/IP的协议解析，提取协议关键字段，向上层提供足够的分组信息，如头部和关键净荷信息，以满足上一层面流量识别层面对业务的识别和感知。其向上层提供的接口为流（flow）。流应当由一个五元组来确定，该流中还需要存放部分净荷，捕获的净荷大小可配置。因此，该流应该为五元组+关键净荷＝（源IP，目的IP，源端口，目的端口，协议类型，关键净荷）。
　　 流量识别层面是核心层面，主要通过可扩展的业务流量识别引擎，从多种角度，提供全面的流量识别的功能，如下所述：
　　 ·端口匹配识别引擎：完成固定端口的业务类型识别。通过取出流中的源端口或者目的端口，然后查找常用应用端口映射表，如存在，则识别成功，同时考虑伪端口的存在（如一些P2P为了伪装而借用常用端口），予以剔除；如不存在，则交由流量特性识别引擎处理。可利用端口匹配的方法，根据流媒体的RTP和RTCP的端口号来识别流媒体流。
　　 ·应用层深度检测（DPI）识别引擎：若通过静态的端口映射表无法识别，则表明这些流量是非标准协议或者动态端口的，需要采用应用层深度探测方法来识别这些业务或应用，即采用匹配净荷中特征字符串的方式。
　　 ·连接模式识别引擎：不同的业务其建立连接的方式有相应特征，可通过IP地址和端口的相应关系识别P2P、流媒体等业务。
　　 针对证券业务的识别和感知引擎是基于上述模型框架设计的。
　　 三、系统部署
　　 系统部署采用“并联镜像、终端告警、数据存储、信息发布、对外接口”的方式。
　　 “并联镜像”：接入方式是并联、被动的接入网络中，通过配置核心交换机的镜像功能，将流量复制到镜像端口，从而完成数据采集功能。并联接入网络，不改变拓朴，不会对网络带来任何不良影响；可以在cisco交换机上对镜像端口设备只收不发，这样监测设备就成为一台哑设备，不会向业务网络中发送任何数据，自然不会对业务网络产生任何影响。
　　 “终端告警”：系统提供客户端方式进行告警，同时呈现业务网络的监测信息、流量分布信息、带宽信息以及通信中间件运行状态信息等。
　　 “数据存储”：数据存储在主备两台服务器上，简化起见也可以仅存储在一台服务器上。
　　 “信息发布”：系统提供web信息发布接口，可以通过web浏览器了解到目前网络中的流量信息，导出报表等。
　　 “对外接口”：系统本身还对外提供数据库、web service接口供第三方开发使用。
　　四、结束语
　　 本文针对证券核心网络中关键业务的QoS问题，阐述了采用流量分析、异常检测以及性能指标监测等手段监控、分析和解决证券业务的服务质量劣化情况。通过在证券公司实际环境部署实施，有效的改善了证券业务网络故障响应时间MTTR以及平均无故障时间间隔MTBF等可用性指标。