专利名称:一种网络数据流量监测方法和装置的制作方法
技术领域:
本发明涉及一种网络数据监测统计的技术。
背景技术:
快速发展的IP网络技术促使大量新兴的商业应用、服务涌现。这些新 兴的服务以及需求促使用户们对网络带宽、性能、服务质量、安全性提出 了更高的要求。汇聚层交换机,需要对大量的用户报文做转发,合理的分 配带宽,监控网络数据流显得尤为关键。通过数据流量的分类、分析可以 有效的检测设备状态以及用户信息,根据这些统计信息,网管可以用来规 划网络和应用资源来满足客户的需求。同时,可以侦测用户状态,获取到
详细的客户所使用的网络和应用资源;实现对凄丈据流的实时识別和分类; 防止D0S (Denial of Service拒绝服务)攻击,病毒和网络蠕虫等。这些 数据有助于了解和反馈安全事故。
网络中不同类型业务的通信可能是任意 一 台终端设备向另 一 台终端设 备发送的一组数据包,这组数据包实际上就构成了运营商网络中某种业务 的一个数据流。如果管理系统能对全网传送的所有流进行区分,准确记录 每个流的传送时间、占用的交换机端口、传送源/目的地址和数据流的大小, 就可以对运营商全网所有通信的流量和流向进行分析和统计,进而计算出 正常通信的基线以及发现突发的异常通信流量。
现有的数据流分析大多采用随机报文上送的方式来分析网络数据流。 但是网络上存在大量的报文所以这种统计方式很难反映实际的网络状况, 这种统计报文的方式不具备统计特性,很难得出比较完整的分析结果同时 会造成设备内存资源的损耗。网络工程师更关注的是一段时间内交换机转 发的报文信息。现有技术中还缺少一种能够才艮据事先的灵活配置进行网络 数据监测的技术,经过专利检索,也没有发现这方面的专利申请。
发明内容
本发明解决的技术问题是提出了 一种网络数据流量监测的方法和装 置,实现了根据用户的配置过滤掉用户并不关心的无关报文信息。
本发明采用的技术方案是
一种网络数据流量监测方法,包括以下处理过程对接收到的数据报 文进行分类,确定报文的类型;如果数据报文为二、三层报文,则对报文 进行特征信息解析;将解析出的特征信息作为数据报文类的区分标识在数 据库中进行查找,如果该数据报文类存在统计记录历史,则自增该数据报 文类的计数值;否则,在数据库中产生一条反映该数据报文类的计数情况 的新记录;对数据库中的统计记录进行老化处理。
进一步的,对报文的特征信息解析还包括以下处理过程对三层报文 的DSCP (差分服务代码点)值进行映射处理,并将映射后的值作为三层报 文的一项特征信息。
进一步的,在所述对报文进行分类之前还包括以下处理过程判断接 收的报文为正常转发的报文还是要丢弃报文;对于要丢弃的报文进行丢弃 处理;对于正常转发的报文则读取系统设置的要求,设置需要进行统计的 报文则转后续步骤进行处理,否则直接转发报文。
优选的,所述二层报文的特征信息包括至少一种以下信息出/入端口 、 源MAC ( i某体访问控制)地址、目的MAC地址、VLAN (Virtual Local Area Network,虚拟局域网)ID、 VLAN优先级、以太网类型、转发状态;所述三 层报文的特征信息包括至少一种以下信息出/入端口、源IP地址、目的 IP地址、源端口号、目的端口号、三层协议类型、报文DSCP值、转发状 态。
优选的,所述的老化处理过程具体包括对于在设置的最大空闲时间 内计数值一直没有更新的记录,将该记录予以老化;对于计数值达到设定 的阔值的记录,把记录信息发送给网管服务器。
一种网络数据流量监测装置,包括分类模块,用于将接收到的数据 报文进行分类,确定报文的类型;解析模块,用于对二、三层报文进行特征信息解析,获得报文的特征信息;记录处理才莫块,用于根据解析出的特 征信息作为数据报文类的区分标识在数据库中进行查找,对于存在统计记 录历史的,则自增该数据报文类的计数值;否则,在数据库中产生一条反 映该数据报文类的计数情况的新记录;老化处理模块,用于对数据库中的 统计记录进行老化处理。
进一步的,所述的解析模块还用于对三层才艮文的DSCP值进行映射处 理,并将映射后的值作为三层报文的一项特征信息。
优选的,所述二层报文的特征信息包括至少一种以下信息出/入端口 、 源MAC地址、目的MAC地址、VLAN ID、 VLAN优先级、以太网类型、转发 状态;所述三层报文的特征信息包括至少一种以下信息出/入端口、源 IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、才艮文DSCP 值、转发状态。
优选的,所述老化处理;漠块具体用于对以下两类记录进^f亍不同的老化 处理对于在设置的最大空闲时间内计数值一直没有更新的记录,所述老 化处理模块将该记录予以老化;对于计数值达到设定的阈值的记录,所述 老化处理模块将记录信息发送给网管服务器。
采用本发明提出的一种网络数据流量监测方法和装置,可以灵活的设 置用户关心的特征信息参数,在统计监测时,只针对设置的特征信息值做 比较,对于不同的特征信息值用不同的记录进行统计。本发明提出的这种 可配置的统计监测机制可以大大简化网管的工作量,降低系统的内存消耗。
图1是本发明网络数据流量监测方法流程原理图2是本发明网络数据流量监测装置原理图3是本发明网络数据流量监测方法实施例流程图。
具体实施例方式
以下结合附图,详细说明本发明技术方案的具体实现。
如图1所示为本发明网络数据流量监测方法流程,包括以下处理过程1) 对待监测统计的数据包进行报文分类处理,确定^Jl的类型。
2) 对于确定出报文为二层报文或者三层报文的,对报文进行特征 信息解析,提取出报文的特征信息。
所述二层报文的特征信息包括至少一种以下信息出/入端口、源 媒体访问控制地址、目的媒体访问控制地址、虚拟局域网标识、虛拟 局域网优先级、以太网类型、转发状态。
所述三层报文的特征信息包括至少一种以下信息出/入端口、源 IP地址、目的IP地址、源端口号、目的端口号、三层协议类型、报文 差分服务代码点值、转发状态
3) 将特征信息作为索引信息在数据库中的记录进行检索,并更新 数据库的记录;数据库的记录更新包括增加新记录和记录的 计数值自增。
4) 对数据库中的记录进行老化处理,老化的记录被发送到服务器 或者被删除。
如图2所示的本发明网络数据流量监测装置原理,装置中包括三个基 本处理模块分类模块、解析模块和记录处理模块。其中分类模块,用于 将报文信息进行分类,确定报文的类型,例如才艮文类型为二层才艮文或者 三层报文;解析模块,用于对二、三层报文进行特征信息解析,获得报文 的特征信息;记录处理模块,用于根据解析出的特征信息作为数据报文类 的区分标识在数据库中进行查找,对该数据报文类存在统计记录历史,则 该数据报文类的计数值进行自增;否则,在数据库中产生一条新记录以记 录该数据报文类的计数情况。
此外装置中还可以设置老化处理模块,用于对数据库中的统计记录进 行老化处理,其老化处理过程可以为对于在设置的最大空闲时间内计数 值一直没有更新的记录,将该记录予以老化;对于计数值达到设定的阈值 的记录,将记录信息发送给网管服务器。
如图3所示为本发明网络数据流量监测方法实施例流程图,处理过程 如下
1)启动数据检测的端口,并接收报文,对接收的报文做第一次分类,判断是正常转发的报文还是要丟弃的报文,对于要丢弃的报文进行
丟弃处理,否则查询系统配置确定该报文是否需要做统计处理;
2) 对收到并需要进行统计的数据报文进行第二次分类,确认其报文类 型;如果确定报文类型是二层报文或者三层报文,然后根据报文类 型对二层或三层特征信息进行提取;
3) 如果是三层报文,还可以检测用户配置,判断是否要做DSCP值的 映射;配置了映射选项的就把原始报文的DSCP值映射为用户配置 的映射值,但不改变原始报文DSCP值;
4) 根据用户配置信息,对步骤1)-步骤3)提取的报文特征信息做 过滤,保留用户所关心的特征信息;
5) 根据经过步骤4)处理的报文特征信息,检索数据库,判断是否存 在这类报文的记录,如果存在则更新它的计数值(即对计数值进行 自增),不存在就生成一个新的记录来统计计数这类报文;
6) 当某种报文的记录达到用户设置的最大空闲时间内计数一直没有 被更新,或者计数值达到最大值时,那么这条记录就会老化,然后,
根据用户配置信息将记录删除或者把记录发送给网管服务器。 根据上述的处理流程,下面再举两个监测统计的实例来说明报文在数 据库中的记录过程。
一、 监测统计二层报文
假设网管服务器需要监测二层报文中的源MAC地址、目的MAC地址、 VLAN ID的情况,交换机对于转发来的各个二层报文的源MAC地址、目的 MAC地址、VLAN ID域的值进行分析,只要需要做统计的报文的特征信息项 目中有一个不一样,那么就会在数据库中生成不同的记录来做统计。
二、 监测统计OSPF才艮文
报文的协议字段用来标识报文携带的协议类型,其中1为ICMP (Internet控制信息协议)报文、6为TCP (传输控制协议)报文、17为 UDP (用户数据报协议)报文、89为0SPF (Open Shortest Path First开 放式最短路径优先H艮文。因此对于统计OSPF报文的情况,交换机就统计 IP协议字段是89的三层报文。即第一次收到OSPF报文时在数据库中生成 一条记录用于统计IP协议字段是89的三层报文,之后收到的0SPF报文则 对该记录的计数值进行自增。同样,在某些实际应用场合,客户更需要统计某些路由的协议报文信息,那么交换机就根据这些报文的关键值信息完
成统计。
本发明采用的这种可配置的统计信息大大简化了网管服务器的工作 量,降低了系统的内存消耗。本发明通过用户设置对报文进行分类、提取、 存储,能灵活的统计不同类的报文,减少了系统的负担,灵活的反应了网 络的状况。
以上的描述仅为本发明的较佳实施例而已,并不用以限制本发明,凡 在本发明的精神和原则之内,所作的任何修改,等同替换,改进等,均应 包含在本发明的保护范围之内。
权利要求
1.一种网络数据流量监测方法,其特征在于,所述方法包括以下处理过程对接收到的数据报文进行分类,确定报文的类型;如果数据报文为二、三层报文,则对报文进行特征信息解析;将解析出的特征信息作为数据报文类的区分标识在数据库中进行查找,如果该数据报文类存在统计记录历史,则自增该数据报文类的计数值;否则,在数据库中产生一条反映该数据报文类的计数情况的新记录;对数据库中的统计记录进行老化处理。
2. 根据权利要求1所述的网络数据流量监测方法,其特征在于,对报文的 特征信息解析还包括对三层报文的差分服务代码点值进行映射处理, 并将映射后的值作为三层报文的 一项特征信息。
3. 根据权利要求1或2所述的网络数据流量监测方法,其特征在于,所述 二层报文的特征信息包括至少一种以下信息出/入端口、源々某体访问 控制地址、目的々某体访问控制地址、虚拟局域网标识、虚拟局域网优先 级、以太网类型、转发状态;所述三层报文的特征信息包括至少一种以 下信息出/入端口、源IP地址、目的IP地址、源端口号、目的端口 号、三层协议类型、报文差分服务代码点值、转发状态。
4. 根据权利要求1或2所述的网络数据流量监测方法,其特征在于,所述 的老化处理过程具体包括对于在设置的最大空闲时间内计数值一直没有更新的记录,将该记录 予以老化;对于计数值达到设定的阈值的记录,把记录信息发送给网管服务器。
5. 根据权利要求1或2所述的网络数据流量监测方法,其特征在于,在所 述对报文进行分类之前还包括以下处理过程判断接收的报文为正常转发的报文还是要丢弃报文;对于要丢弃的报文进行丟弃处理;对于正常转发的报文则读取系统设 置的要求,设置需要进行统计的报文则转后续步骤进行处理,否则直接转 发报文。
6. —种网络数据流量监测装置,其特征在于,所述装置包括分类模块,用于将接收到的数据报文进行分类,确定报文的类型;解析模块,用于对二、三层报文进行特征信息解析,获得报文的特征 信息;记录处理模块,用于根据解析出的特征信息作为数据报文类的区分标 识在数据库中进行查找,对于存在统计记录历史的,则自增该数据报文类 的计数值;否则,在数据库中产生一条反映该数据报文类的计数情况的新 i己录;老化处理模块,用于对数据库中的统计记录进行老化处理。
7. 根据权利要求6所述的网络数据流量监测装置,其特征在于,所述的解 析模块还用于对三层^^艮文的差分服务代码点值进行映射处理,并将映射 后的值作为三层净艮文的 一项特征信息。
8. 根据权利要求6或7所述的网络数据流量监测装置,其特征在于,所述 二层报文的特征信息包括至少一种以下信息出/入端口、源媒体访问 控制地址、目的々某体访问控制地址、虛拟局域网标识、虚拟局域网优先 级、以太网类型、转发状态;所述三层报文的特征信息包括至少一种以 下信息出/入端口、源IP地址、目的IP地址、源端口号、目的端口 号、三层协议类型、报文差分服务代码点值、转发状态。
9. 根据权利要求6或7所述的网络数据流量监测装置,其特征在于,所述 老化处理模块具体用于对以下两类记录进行不同的老化处理对于在设置的最大空闲时间内计数值一直没有更新的记录,所述老化 处理模块将该记录予以老化;对于计数值达到设定的阈值的记录,所述老化处理模块将记录信息发 送给网管服务器。
全文摘要
本发明公开了一种网络数据流量监测方法和装置,通过用户设置对报文进行分类、提取、存储,能灵活的统计不同类的报文,减少了系统的负担,灵活的反应了网络的状况。采用本发明可以灵活的设置用户关心的特征信息参数,在统计监测时,只针对设置的特征信息做比较,对于不同的特征信息用不同的记录进行统计,对于相同的特征信息进行计数值自增。本发明提出的这种可配置的统计监测机制可以大大简化网管的工作量,降低系统的内存消耗。
文档编号H04L12/26GK101626323SQ20091010903
公开日2010年1月13日 申请日期2009年7月23日 优先权日2009年7月23日
发明者崔晓明 申请人:中兴通讯股份有限公司