專利名稱:基于應(yīng)用層業(yè)務(wù)分析的網(wǎng)絡(luò)流量分析方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)互聯(lián)網(wǎng)的信息安全技術(shù)領(lǐng)域,尤其涉及一種基于應(yīng)用層業(yè)務(wù)識
別、網(wǎng)絡(luò)流量、業(yè)務(wù)服務(wù)質(zhì)量測試分析、異常流量分析方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)和計算機(jī)的飛速發(fā)展,越來越多的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)為人們的工作、生 活和娛樂帶來了便利。"三網(wǎng)合一"的大趨勢,也對傳統(tǒng)互聯(lián)網(wǎng)提出了 QoS保障的需求,要求 運營商在運營NGN、多媒體、視頻會議等業(yè)務(wù)時,提供保障質(zhì)量的服務(wù)。 同時,針對互聯(lián)網(wǎng)的攻擊、資源濫用、病毒傳播等現(xiàn)象,也需要一套完整的解決方 案, 一方面能夠定位異常流量的來源、波及范圍、危害程度等;一方面也要求能夠準(zhǔn)確分析 出異常流量的類型。 而傳統(tǒng)的基于Cisco專利的NetFlow技術(shù),其最大缺陷在于 1、NetFlow只分析TCP/IP包的第四層信息,無法掌握會話的應(yīng)用層業(yè)務(wù)類型; 2、NetFlow基于抽樣技術(shù),它不對會話進(jìn)行全程跟蹤,因此容易遺漏會話信息或者
誤判; 3、 NetFlow信息只統(tǒng)計流量信息,業(yè)務(wù)QoS指標(biāo)(延時、抖動、丟包率、響應(yīng)時間 等)不進(jìn)行統(tǒng)計;協(xié)議異常事件不進(jìn)行分析。 與Cisco NetFlow技術(shù)類似的,還有華為技術(shù)有限公司的NetStream技術(shù)、HP和
3C0M等提出的sFlow/cFlow技術(shù)等。這些技術(shù)都存在以上所述的三個缺陷。 因此,必須尋求一種新的技術(shù),用于解決在復(fù)雜網(wǎng)絡(luò)環(huán)境中,對網(wǎng)絡(luò)流量、業(yè)務(wù)QoS
指標(biāo)、異常流量進(jìn)行精確分析的方法,滿足運營商、企業(yè)等對于網(wǎng)絡(luò)的管理維護(hù)需求。
發(fā)明內(nèi)容
為了解決現(xiàn)有流量分析技術(shù)存在的問題,本發(fā)明提供了一種基于統(tǒng)計學(xué)理論的應(yīng)
用于網(wǎng)絡(luò)流量分析的應(yīng)用層業(yè)務(wù)流量分析、業(yè)務(wù)質(zhì)量測試分析、異常業(yè)務(wù)流量分析的技術(shù),
能夠?qū)?yīng)用層業(yè)務(wù)進(jìn)行流量、QoS和異常檢測。 本發(fā)明所述的應(yīng)用于應(yīng)用業(yè)務(wù)流量分析的方法,首先將互聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用業(yè)務(wù)進(jìn)
行識別,掌握通信會話承載的應(yīng)用層業(yè)務(wù)類型,統(tǒng)計會話的流量速度、流量字節(jié)報文、會話
持續(xù)時間等信息,分析會話的響應(yīng)時間、時延、抖動、丟包率等QoS信息,檢測會話的通信異
常、協(xié)議異常信息。 在會話結(jié)束時,將統(tǒng)計信息上報到流量分析數(shù)據(jù)庫,由數(shù)據(jù)庫對應(yīng)用層業(yè)務(wù)進(jìn)行 統(tǒng)計分析。
圖1是目前網(wǎng)絡(luò)產(chǎn)品流量分析的通用處理模型; 圖2是采用本發(fā)明所述方法進(jìn)行應(yīng)用層業(yè)務(wù)流量分析時的處理流程。
具體實施例方式
現(xiàn)結(jié)合附圖及實施例對本發(fā)明作進(jìn)一步詳細(xì)說明。要對應(yīng)用層業(yè)務(wù)的會話進(jìn)行統(tǒng) 計,首先必須識別出會話所屬的業(yè)務(wù)類型,才能對會話的流量、業(yè)務(wù)相關(guān)的QoS統(tǒng)計指標(biāo)、 業(yè)務(wù)異常檢測等采取相應(yīng)的分析方法。 在本發(fā)明中,會話的應(yīng)用層業(yè)務(wù)類型識別是關(guān)鍵,針對應(yīng)用層業(yè)務(wù)進(jìn)行的各種指 標(biāo)統(tǒng)計是基礎(chǔ),在統(tǒng)計的基礎(chǔ)上,結(jié)合業(yè)務(wù)的專家分析功能,就可以分別統(tǒng)計流量、測試QoS 質(zhì)量、檢測業(yè)務(wù)異常情況等。 圖1是目前網(wǎng)絡(luò)產(chǎn)品進(jìn)行流量分析的通用處理模型。參考圖1 : 在傳統(tǒng)網(wǎng)絡(luò)產(chǎn)品中,支持xFlow功能時,報文首先進(jìn)入網(wǎng)絡(luò)設(shè)備的入端口緩沖區(qū)
進(jìn)行排隊,見圖1的101。 然后,高端網(wǎng)絡(luò)設(shè)備借助于硬件進(jìn)行會話哈希查找,低端設(shè)備借助于CPU進(jìn)行會 話哈希查找。見圖1的102。 xFlow會抽樣統(tǒng)計每一個會話的流量信息,形成會話流量統(tǒng)計。見圖1的103。
并定時輸出xFlow信息到信息收集器。見圖1的104。 然后被發(fā)到出端口的緩沖區(qū)隊列,排隊等候發(fā)送到出端口網(wǎng)絡(luò)上去。見圖1的 105。 圖2是本發(fā)明所使用的報文處理模型 報文在到達(dá)網(wǎng)絡(luò)設(shè)備時,首先進(jìn)入設(shè)備入端口緩沖區(qū)隊列,排隊等候被處理。如圖 2的201。 然后,高端網(wǎng)絡(luò)設(shè)備借助于硬件哈希查找,低端設(shè)備借助于CPU查找,將一個報文 對應(yīng)的會話信息查找到。如圖2的202。 —個會話的應(yīng)用層業(yè)務(wù)類型,除了可以通過TCP/UDP的端口、協(xié)議類型進(jìn)行識別 外,還需要通過復(fù)雜的協(xié)議解析流程,識別出應(yīng)用層業(yè)務(wù)的類型,例如分析出基于80端口 的WEB頁面瀏覽,和網(wǎng)上視頻點播,就必須借助于應(yīng)用層協(xié)議解析才能區(qū)分它們。在當(dāng)前 P2P業(yè)務(wù)盛行的情況下,還需要借助于協(xié)議特征字,識別出例如BitTorrent等P2P應(yīng)用。這 些應(yīng)用都無法單純依靠端口來準(zhǔn)確識別。如圖2的203。 在識別出會話的應(yīng)用層業(yè)務(wù)類型之后,需要對應(yīng)用層業(yè)務(wù)進(jìn)行各種流量信息統(tǒng)
計,包括流量統(tǒng)計、業(yè)務(wù)QoS指標(biāo)統(tǒng)計、業(yè)務(wù)異常檢測與統(tǒng)計。如圖2的204。 在一次會話結(jié)束時,將會話信息輸出到信息采集數(shù)據(jù)庫。如圖2的205。 在完成這些流程后,將報文輸出到設(shè)備的出端口緩沖區(qū),發(fā)送到目的網(wǎng)絡(luò)。如圖2
的206。
權(quán)利要求
一種應(yīng)用于網(wǎng)絡(luò)流量分析的應(yīng)用層業(yè)務(wù)流量分析、業(yè)務(wù)服務(wù)質(zhì)量分析、異常業(yè)務(wù)流量分析的方法,其特征在于全程跟蹤通信網(wǎng)絡(luò)中的每一個會話過程,根據(jù)協(xié)議解析原理準(zhǔn)確識別通信會話應(yīng)用層業(yè)務(wù)類型,統(tǒng)計會話的流量信息(流量速度bps/pps,會話字節(jié)數(shù)、會話報文數(shù)、會話持續(xù)時間),業(yè)務(wù)服務(wù)質(zhì)量信息(會話響應(yīng)時間、延時、抖動、丟包率),異常會話信息(DoD/DdoS攻擊、異常協(xié)議攻擊等)。
2. 根據(jù)會話的統(tǒng)計信息,按照標(biāo)準(zhǔn)會話流輸出格式,將會話統(tǒng)計信息輸出到數(shù)據(jù)庫。
3. 數(shù)據(jù)庫按照流量的用戶、業(yè)務(wù)和服務(wù)器進(jìn)行T0PN分析,業(yè)務(wù)QoS質(zhì)量分析,異常業(yè)務(wù) 流量檢測分析。
4. 根據(jù)數(shù)據(jù)庫分析結(jié)果,分別提供流量分析功能,掌握網(wǎng)絡(luò)的流量、流向、用戶構(gòu)成 情況、業(yè)務(wù)構(gòu)成情況和服務(wù)器構(gòu)成情況。
5. 根據(jù)統(tǒng)計分析結(jié)果,提供業(yè)務(wù)的響應(yīng)時間、延時、抖動、丟包率等QoS統(tǒng)計信息。
6. 根據(jù)統(tǒng)計分析結(jié)果,提供網(wǎng)絡(luò)異常流量檢測,協(xié)議異常檢測等信息。
全文摘要
本發(fā)明公開了一種應(yīng)用于網(wǎng)絡(luò)流量分析的方法,是將互聯(lián)網(wǎng)業(yè)務(wù)進(jìn)行會話跟蹤分析,提取每一個會話的流量、業(yè)務(wù)服務(wù)質(zhì)量(QoS)、會話狀態(tài)信息等,這些信息形成業(yè)務(wù)會話統(tǒng)計信息數(shù)據(jù)庫。本發(fā)明基于統(tǒng)計學(xué)理論,解決了當(dāng)前網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)飛速發(fā)展更新頻繁情況下,通過對應(yīng)用層業(yè)務(wù)數(shù)據(jù)的完整分析,避免了傳統(tǒng)基于Cisco Netflow技術(shù)只能分析TCP/IP的第四層協(xié)議以下信息的弊端,避免NetFlow基于抽樣統(tǒng)計的數(shù)據(jù)采樣技術(shù)的信息失真,在網(wǎng)絡(luò)流量分析、業(yè)務(wù)服務(wù)質(zhì)量測量、異常流量識別方面,具有非常重要的意義。本發(fā)明基于應(yīng)用層業(yè)務(wù)檢測技術(shù)和流量統(tǒng)計測試技術(shù),統(tǒng)計結(jié)果準(zhǔn)確,便于復(fù)雜網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)維護(hù)、安全定位、業(yè)務(wù)質(zhì)量控制等。
文檔編號H04L29/08GK101741628SQ20081017180
公開日2010年6月16日 申請日期2008年11月13日 優(yōu)先權(quán)日2008年11月13日
發(fā)明者付天福 申請人:比蒙新帆(北京)通信技術(shù)有限公司