一种实现流量分析的方法及装置的制造方法
一种实现流量分析的方法及装置的制造方法
【技术领域】
[0001]本申请涉及流量分析技术,尤指一种对路由器或交换机设备实现流量分析的方法及装置。
【背景技术】
[0002]目前,对路由器或者交换机设备,进行流量分析的技术有IP数据流信息输出(IPFIX) ,SFL0ff(SFL0ff 是由 InMon、HP 和 FoundryNetworks 于 2001 年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第二层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如大于lOGbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题)等。这些技术都要求将采集的流信息输出到外部服务器中,由外部服务器存储历史流信息的分析结果,供用户查询使用。然而对于某些流量较少的网络,部署外部服务器是昂贵的,而且用户希望可以在本地设备上直接查询到历史流量的分析结果,而不是登陆到外部服务器上。另外,IPFIX等流量分析技术虽然可以提供全面完整的分析结果,但是需要将采集的原始报文汇聚为流信息再发送给外部服务器分析,导致用户无法察看到采集的原始报文内容。这影响了设备操作者在本地设备上察看实时的采集报文内容,不便于在网络出现问题时,即时的分析出是由哪些报文引起了网络问题。
[0003]综上,目前的流量分析技术,对流量较少的网络,部署外部服务器昂贵;并且,需要登录到外部服务器才可以进行历史流量的分析结果查询,不便于设备操作者的工作;另外,虽然外部服务器可以全面完整的分析流信息,但是,用户无法查看采集的原始报文内容,不便于在网络出现问题时,即时的分析网络问题。
【发明内容】
[0004]为了解决上述问题,本发明提供一种实现流量分析的方法及装置,能够通过本地设备对流信息采集报文按照需求进行即时的分析,便于查看分析结果。
[0005]为了达到本发明的目的,本申请提供一种实现流量分析的方法;包括:
[0006]按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝Deny的流量信息和不确定(Unknow)的流量信息;
[0007]根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0008]对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0009]进一步地,该方法之前还包括:获取所述流量信息;包括:
[0010]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0011]进一步地,获取流信息采集报文包括:
[0012]直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或,
[0013]复制输出到外部服务器的流信息采集报文。
[0014]进一步地,分类策略包括:ACL规则。
[0015]进一步地,该方法之前还包括:预先设置流量信息的流字段;
[0016]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0017]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0018]进一步地,对预设时长内的各信息流,按照第一预设周期在内存中进行聚合获得流信息的分析结果具体包括:
[0019]对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0020]进一步地,该方法还包括:对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0021]进一步地,对存储到永久性存储空间的分析结果,该方法还包括:按照第二预设周期,对最新存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0022]进一步地,该方法还包括:实时采集第一阈值个数的原始报文;
[0023]对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0024]原始报文相关参数至少包括:IP地址、端口号;
[0025]原始报文为:与获取的流信息采集报文对应的原始报文。
[0026]另一方面,本申请还提供一种实现流量分析的装置,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中,
[0027]分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息;
[0028]信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0029]分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0030]进一步地,该装置还包括采集提取单元,用于获取所述流量信息;具体用于,
[0031]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0032]进一步地,采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或,
[0033]复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0034]进一步地,该装置还包括分类设置单元,用于设置分类策略;
[0035]分类策略包括:ACL规则。
[0036]进一步地,该装置还包括流字段设置单元,用于预先设置所述流量信息的流字段;
[0037]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0038]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0039]进一步地,分析处理单元具体用于,对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0040]进一步地,该装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0041]进一步地,存储单元还包括聚合处理模块,用于对所述存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0042]进一步地,该装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中,
[0043]原始报文采集模块,用于实时采集第一阈值个数的原始报文;
[0044]分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0045]原始报文相关参数至少包括:IP地址、端口号;
[0046]原始报文为:与获取的流信息采集报文对应的原始报文。
[0047]与现有技术相比,本发明提供的技术方案,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的 流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。本发明通过将流信息采集报文在本地设备上,按照分类规则进行分类后,确定相应的信息流,并对各信息流在内存中聚合,获得相应的分析结果。使用户可以在本地设备上进行流信息采集报文进行即时的网络问题分析。另外,通过实时分析原始报文,实现了实时查看原始报文的功能。
【附图说明】
[0048]附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
[0049]图1为本发明实现流量分析的方法的流程图;
[0050]图2为本发明实现流量分析的装置的结构框图。
【具体实施方式】
[0051 ] 为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0052]图1为本发明实现流量分析的方法的流程图,在本地设备上,如图1所示,包括:
[0053]步骤100、按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息。
[0054]本步骤之前还包括:获取所述流量信息;包括:
[0055]获取流信息采集报文,并从获得的流信息采集报文中提取流量信息。
[0056]获取流信息采集报文具体包括:
[0057]直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或,
[0058]复制输出到外部服务器的流信息采集报文。
[0059]本步骤之前还包括:预先设置分类策略;
[0060]优选的,分类策略为:访问控制列表(ACL)规则。
[0061 ] 需要说明的是,分类策略可以通过本领域技术人员,根据实际应用中的分类需要进行设定,例如:符合实际应用需求的(安全性和符合用户网络特征的)源IP的报文为Permit流量,实际应用中确认的不允许出现的(例如:被网络定义为不安全的或不符合用户网络类型的)目的IP的报文为Deny流量。这里,ACL规则中的内容也可以由用户根据实际情况进行设定。
[0062]需要说明的是,分类策略还可以是根据技术人员经验设定的其他的策略。
[0063]步骤101、根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0064]本步骤之前还包括:预先设置流量信息的流字段;
[0065]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0066]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0067]需要说明的是,这里预先设置流量信息的流字段,是指根据用户对流量信息中关心的字段信息进行设置,使之成为流字段,对不同的应用情况,其流字段是可以进行相应调整的,进行流字段的调整为本领域技术人员的惯用技术手段,在此不再赘述。
[0068]需要说明的是,根据流量信息的流字段,确定相应的信息流的方法,为本领域技术人员的惯用技术手段,在此不再赘述。
[0069]步骤102、对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0070]具体包括:
[0071]对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0072]需要说明的是,预设时长一般为进行流量分析的有效时长,具体时长设定根据用户的流量信息的种类和分析流量数据是否有效进行设定,例如:什么流量数据的预设时长为24小时;第一预设周期,主要根据流信息采集报文的可以用于观察分析的一个经验周期,根据不同的流信息采集报文的更新速率和分析要求进行设定,一般的。以预设时长为24小时为例,可以设置第一预设周期为1小时。
[0073]本发明方法还包括:
[0074]对超出预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0075]需要说明的是,第二预设周期与第一预设周期存在一定的关系,一般的第二预设周期大于第一预设周期,主要根据更新速率和分析要求进行设定,任以上述第一预设周期为1小时为例,第二预设周期可以设定为1小时。这样可以在获得流信息的分析结果的更新时间内,对存储在永久性存储空间的数据进行及时的整理。
[0076]对存储到永久性存储空间的分析结果,本发明方法还包括:按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0077]本发明方法还包括:实时采集第一阈值个数的原始报文;
[0078]需要说明的是,第一阈值的设定根据本领域技术人员,对实现显示原始报文分析需求进行设定,数值的设定,属于本领域技术人员的惯用技术手段。
[0079]对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0080]原始报文相关参数至少包括:IP地址、端口号;
[0081]原始报文为:与获取的流信息采集报文对应的原始报文。这里原始报文是指在被通过IPFIX协议获取为流信息采集报文;或,采集完成被复制输出到外部服务器的流信息采集报文之前的报文内容,即原始报文被整理为流信息采集报文之前的形态。
[0082]图2为本发明实现流量分析的装置的结构框图,如图2所示,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中,
[0083]分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息。
[0084]信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流。
[0085]分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0086]分析处理单元具体用于,对于每一个信息流,以第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0087]本发明装置还包括采集提取单元,用于获取流量信息;具体用于,
[0088]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0089]采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或,
[0090]复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0091]本发明装置还包括分类设置单元,用于设置分类策略;
[0092]分类策略包括:ACL规则。
[0093]本发明装置还包括流字段设置单元,用于预先设置所述流量信息的流字段;
[0094]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0095]和/或源IP、和/或目的IP、和/或源端口、和/ 或目的端口。
[0096]本发明装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0097]存储单元还包括聚合处理模块,用于对存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0098]本发明装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中,
[0099]原始报文采集模块,用于实时采集第一阈值个数的原始报文;
[0100]分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0101]原始报文相关参数至少包括:IP地址、端口号;
[0102]原始报文为:与获取的流信息采集报文对应的原始报文。
[0103]虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的实施方式,并非用以限定本申请,如本发明实施方式中的具体的实现方法。任何本申请所属领域内的技术人员,在不脱离本申请所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1.一种实现流量分析的方法,其特征在于,在本地设备上, 按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息; 根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流; 对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。2.根据权利要求1所述的方法,其特征在于,该方法之前还包括:获取所述流量信息;包括: 获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。3.根据权利要求2所述的方法,其特征在于,所述获取流信息采集报文包括: 直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或, 复制输出到外部服务器的流信息采集报文。4.根据权利要求1?3任一项所述的方法,其特征在于,所述分类策略包括:ACL规则。5.根据权利要求4所述的方法,其特征在于,该方法之前还包括:预先设置流量信息的流字段; 所述流字段至少包括:字节数、报文数、起始时间和终止时间,以及, 和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。6.根据权利要求5所述的方法,其特征在于,所述对预设时长内的各信息流,按照第一预设周期在内存中进行聚合获得流信息的分析结果具体包括: 对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。7.根据权利要求1或2所述的方法,其特征在于,该方法还包括:对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。8.根据权利要求7所述的方法,其特征在于,对所述存储到永久性存储空间的分析结果,该方法还包括:按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。9.根据权利要求1所述的方法,其特征在于, 该方法还包括:实时采集第一阈值个数的原始报文; 对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户; 所述原始报文相关参数至少包括:IP地址、端口号; 所述原始报文为:与获取的流信息采集报文对应的原始报文。10.一种实现流量分析的装置,其特征在于,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中, 分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息; 信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流; 分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。11.根据权利要求10所述的装置,其特征在于,该装置还包括采集提取单元,用于获取所述流量信息;具体用于, 获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。12.根据权利要求11所述的装置,其特征在于,所述采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或, 复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。13.根据权利要求10?12任一项所述的装置,其特征在于,该装置还包括分类设置单元,用于设置分类策略; 所述分类策略包括:ACL规则。14.根据权利要求13所述的装置,其特征在于,该装置还包括流字段设置单元,用于预先设置所述流量信息的流字段; 所述流字段至少包括:字节数、报文数、起始时间和终止时间,以及, 和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。15.根据权利要求14所述的装置,其特征在于,所述分析处理单元具体用于,对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。16.根据权利要求10或11所述的装置,其特征在于,该装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。17.根据权利要求16所述的装置,其特征在于,所述存储单元还包括聚合处理模块,用于对所述存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。18.根据权利要求10所述的装置,其特征在于,该装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中, 原始报文采集模块,用于实时采集第一阈值个数的原始报文; 分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户; 所述原始报文相关参数至少包括:IP地址、端口号; 所述原始报文为:与获取的流信息采集报文对应的原始报文。
【专利摘要】本申请公开了一种实现流量分析的方法及装置,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并反馈给用户。本发明通过将流信息采集报文在本地设备上按照分类规则进行分类后,确定相应的信息流,对各信息流在内存中聚合,获得相应的分析结果,使用户可以在本地设备上进行流信息采集报文进行即时的网络问题分析。另外,通过实时分析原始报文,实现了实时查看原始报文的功能。
【IPC分类】H04L12/26
【公开号】CN105490865
【申请号】CN201410476528
【发明人】褚鹏鸿, 胡军, 赵川, 刘君亮
【申请人】中兴通讯股份有限公司
【公开日】2016年4月13日
【申请日】2014年9月17日
【公告号】WO2015131597A1
【技术领域】
[0001]本申请涉及流量分析技术,尤指一种对路由器或交换机设备实现流量分析的方法及装置。
【背景技术】
[0002]目前,对路由器或者交换机设备,进行流量分析的技术有IP数据流信息输出(IPFIX) ,SFL0ff(SFL0ff 是由 InMon、HP 和 FoundryNetworks 于 2001 年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第二层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如大于lOGbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题)等。这些技术都要求将采集的流信息输出到外部服务器中,由外部服务器存储历史流信息的分析结果,供用户查询使用。然而对于某些流量较少的网络,部署外部服务器是昂贵的,而且用户希望可以在本地设备上直接查询到历史流量的分析结果,而不是登陆到外部服务器上。另外,IPFIX等流量分析技术虽然可以提供全面完整的分析结果,但是需要将采集的原始报文汇聚为流信息再发送给外部服务器分析,导致用户无法察看到采集的原始报文内容。这影响了设备操作者在本地设备上察看实时的采集报文内容,不便于在网络出现问题时,即时的分析出是由哪些报文引起了网络问题。
[0003]综上,目前的流量分析技术,对流量较少的网络,部署外部服务器昂贵;并且,需要登录到外部服务器才可以进行历史流量的分析结果查询,不便于设备操作者的工作;另外,虽然外部服务器可以全面完整的分析流信息,但是,用户无法查看采集的原始报文内容,不便于在网络出现问题时,即时的分析网络问题。
【发明内容】
[0004]为了解决上述问题,本发明提供一种实现流量分析的方法及装置,能够通过本地设备对流信息采集报文按照需求进行即时的分析,便于查看分析结果。
[0005]为了达到本发明的目的,本申请提供一种实现流量分析的方法;包括:
[0006]按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝Deny的流量信息和不确定(Unknow)的流量信息;
[0007]根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0008]对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0009]进一步地,该方法之前还包括:获取所述流量信息;包括:
[0010]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0011]进一步地,获取流信息采集报文包括:
[0012]直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或,
[0013]复制输出到外部服务器的流信息采集报文。
[0014]进一步地,分类策略包括:ACL规则。
[0015]进一步地,该方法之前还包括:预先设置流量信息的流字段;
[0016]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0017]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0018]进一步地,对预设时长内的各信息流,按照第一预设周期在内存中进行聚合获得流信息的分析结果具体包括:
[0019]对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0020]进一步地,该方法还包括:对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0021]进一步地,对存储到永久性存储空间的分析结果,该方法还包括:按照第二预设周期,对最新存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0022]进一步地,该方法还包括:实时采集第一阈值个数的原始报文;
[0023]对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0024]原始报文相关参数至少包括:IP地址、端口号;
[0025]原始报文为:与获取的流信息采集报文对应的原始报文。
[0026]另一方面,本申请还提供一种实现流量分析的装置,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中,
[0027]分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息;
[0028]信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0029]分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0030]进一步地,该装置还包括采集提取单元,用于获取所述流量信息;具体用于,
[0031]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0032]进一步地,采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或,
[0033]复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0034]进一步地,该装置还包括分类设置单元,用于设置分类策略;
[0035]分类策略包括:ACL规则。
[0036]进一步地,该装置还包括流字段设置单元,用于预先设置所述流量信息的流字段;
[0037]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0038]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0039]进一步地,分析处理单元具体用于,对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0040]进一步地,该装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0041]进一步地,存储单元还包括聚合处理模块,用于对所述存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0042]进一步地,该装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中,
[0043]原始报文采集模块,用于实时采集第一阈值个数的原始报文;
[0044]分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0045]原始报文相关参数至少包括:IP地址、端口号;
[0046]原始报文为:与获取的流信息采集报文对应的原始报文。
[0047]与现有技术相比,本发明提供的技术方案,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的 流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。本发明通过将流信息采集报文在本地设备上,按照分类规则进行分类后,确定相应的信息流,并对各信息流在内存中聚合,获得相应的分析结果。使用户可以在本地设备上进行流信息采集报文进行即时的网络问题分析。另外,通过实时分析原始报文,实现了实时查看原始报文的功能。
【附图说明】
[0048]附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
[0049]图1为本发明实现流量分析的方法的流程图;
[0050]图2为本发明实现流量分析的装置的结构框图。
【具体实施方式】
[0051 ] 为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0052]图1为本发明实现流量分析的方法的流程图,在本地设备上,如图1所示,包括:
[0053]步骤100、按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息。
[0054]本步骤之前还包括:获取所述流量信息;包括:
[0055]获取流信息采集报文,并从获得的流信息采集报文中提取流量信息。
[0056]获取流信息采集报文具体包括:
[0057]直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或,
[0058]复制输出到外部服务器的流信息采集报文。
[0059]本步骤之前还包括:预先设置分类策略;
[0060]优选的,分类策略为:访问控制列表(ACL)规则。
[0061 ] 需要说明的是,分类策略可以通过本领域技术人员,根据实际应用中的分类需要进行设定,例如:符合实际应用需求的(安全性和符合用户网络特征的)源IP的报文为Permit流量,实际应用中确认的不允许出现的(例如:被网络定义为不安全的或不符合用户网络类型的)目的IP的报文为Deny流量。这里,ACL规则中的内容也可以由用户根据实际情况进行设定。
[0062]需要说明的是,分类策略还可以是根据技术人员经验设定的其他的策略。
[0063]步骤101、根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;
[0064]本步骤之前还包括:预先设置流量信息的流字段;
[0065]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0066]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0067]需要说明的是,这里预先设置流量信息的流字段,是指根据用户对流量信息中关心的字段信息进行设置,使之成为流字段,对不同的应用情况,其流字段是可以进行相应调整的,进行流字段的调整为本领域技术人员的惯用技术手段,在此不再赘述。
[0068]需要说明的是,根据流量信息的流字段,确定相应的信息流的方法,为本领域技术人员的惯用技术手段,在此不再赘述。
[0069]步骤102、对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0070]具体包括:
[0071]对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0072]需要说明的是,预设时长一般为进行流量分析的有效时长,具体时长设定根据用户的流量信息的种类和分析流量数据是否有效进行设定,例如:什么流量数据的预设时长为24小时;第一预设周期,主要根据流信息采集报文的可以用于观察分析的一个经验周期,根据不同的流信息采集报文的更新速率和分析要求进行设定,一般的。以预设时长为24小时为例,可以设置第一预设周期为1小时。
[0073]本发明方法还包括:
[0074]对超出预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0075]需要说明的是,第二预设周期与第一预设周期存在一定的关系,一般的第二预设周期大于第一预设周期,主要根据更新速率和分析要求进行设定,任以上述第一预设周期为1小时为例,第二预设周期可以设定为1小时。这样可以在获得流信息的分析结果的更新时间内,对存储在永久性存储空间的数据进行及时的整理。
[0076]对存储到永久性存储空间的分析结果,本发明方法还包括:按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0077]本发明方法还包括:实时采集第一阈值个数的原始报文;
[0078]需要说明的是,第一阈值的设定根据本领域技术人员,对实现显示原始报文分析需求进行设定,数值的设定,属于本领域技术人员的惯用技术手段。
[0079]对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0080]原始报文相关参数至少包括:IP地址、端口号;
[0081]原始报文为:与获取的流信息采集报文对应的原始报文。这里原始报文是指在被通过IPFIX协议获取为流信息采集报文;或,采集完成被复制输出到外部服务器的流信息采集报文之前的报文内容,即原始报文被整理为流信息采集报文之前的形态。
[0082]图2为本发明实现流量分析的装置的结构框图,如图2所示,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中,
[0083]分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息。
[0084]信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流。
[0085]分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
[0086]分析处理单元具体用于,对于每一个信息流,以第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。
[0087]本发明装置还包括采集提取单元,用于获取流量信息;具体用于,
[0088]获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0089]采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或,
[0090]复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。
[0091]本发明装置还包括分类设置单元,用于设置分类策略;
[0092]分类策略包括:ACL规则。
[0093]本发明装置还包括流字段设置单元,用于预先设置所述流量信息的流字段;
[0094]流字段至少包括:字节数、报文数、起始时间和终止时间,以及,
[0095]和/或源IP、和/或目的IP、和/或源端口、和/ 或目的端口。
[0096]本发明装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。
[0097]存储单元还包括聚合处理模块,用于对存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。
[0098]本发明装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中,
[0099]原始报文采集模块,用于实时采集第一阈值个数的原始报文;
[0100]分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;
[0101]原始报文相关参数至少包括:IP地址、端口号;
[0102]原始报文为:与获取的流信息采集报文对应的原始报文。
[0103]虽然本申请所揭露的实施方式如上,但所述的内容仅为便于理解本申请而采用的实施方式,并非用以限定本申请,如本发明实施方式中的具体的实现方法。任何本申请所属领域内的技术人员,在不脱离本申请所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本申请的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1.一种实现流量分析的方法,其特征在于,在本地设备上, 按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息; 根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流; 对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。2.根据权利要求1所述的方法,其特征在于,该方法之前还包括:获取所述流量信息;包括: 获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。3.根据权利要求2所述的方法,其特征在于,所述获取流信息采集报文包括: 直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或, 复制输出到外部服务器的流信息采集报文。4.根据权利要求1?3任一项所述的方法,其特征在于,所述分类策略包括:ACL规则。5.根据权利要求4所述的方法,其特征在于,该方法之前还包括:预先设置流量信息的流字段; 所述流字段至少包括:字节数、报文数、起始时间和终止时间,以及, 和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。6.根据权利要求5所述的方法,其特征在于,所述对预设时长内的各信息流,按照第一预设周期在内存中进行聚合获得流信息的分析结果具体包括: 对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。7.根据权利要求1或2所述的方法,其特征在于,该方法还包括:对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。8.根据权利要求7所述的方法,其特征在于,对所述存储到永久性存储空间的分析结果,该方法还包括:按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。9.根据权利要求1所述的方法,其特征在于, 该方法还包括:实时采集第一阈值个数的原始报文; 对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户; 所述原始报文相关参数至少包括:IP地址、端口号; 所述原始报文为:与获取的流信息采集报文对应的原始报文。10.一种实现流量分析的装置,其特征在于,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中, 分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息; 信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流; 分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。11.根据权利要求10所述的装置,其特征在于,该装置还包括采集提取单元,用于获取所述流量信息;具体用于, 获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。12.根据权利要求11所述的装置,其特征在于,所述采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或, 复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。13.根据权利要求10?12任一项所述的装置,其特征在于,该装置还包括分类设置单元,用于设置分类策略; 所述分类策略包括:ACL规则。14.根据权利要求13所述的装置,其特征在于,该装置还包括流字段设置单元,用于预先设置所述流量信息的流字段; 所述流字段至少包括:字节数、报文数、起始时间和终止时间,以及, 和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。15.根据权利要求14所述的装置,其特征在于,所述分析处理单元具体用于,对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。16.根据权利要求10或11所述的装置,其特征在于,该装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。17.根据权利要求16所述的装置,其特征在于,所述存储单元还包括聚合处理模块,用于对所述存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。18.根据权利要求10所述的装置,其特征在于,该装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中, 原始报文采集模块,用于实时采集第一阈值个数的原始报文; 分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户; 所述原始报文相关参数至少包括:IP地址、端口号; 所述原始报文为:与获取的流信息采集报文对应的原始报文。
【专利摘要】本申请公开了一种实现流量分析的方法及装置,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并反馈给用户。本发明通过将流信息采集报文在本地设备上按照分类规则进行分类后,确定相应的信息流,对各信息流在内存中聚合,获得相应的分析结果,使用户可以在本地设备上进行流信息采集报文进行即时的网络问题分析。另外,通过实时分析原始报文,实现了实时查看原始报文的功能。
【IPC分类】H04L12/26
【公开号】CN105490865
【申请号】CN201410476528
【发明人】褚鹏鸿, 胡军, 赵川, 刘君亮
【申请人】中兴通讯股份有限公司
【公开日】2016年4月13日
【申请日】2014年9月17日
【公告号】WO2015131597A1
最新回复(0)