一種流量監(jiān)測方法、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明實施例公開了一種流量監(jiān)測方法、裝置和系統(tǒng);本發(fā)明實施例采用獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
【專利說明】一種流量監(jiān)測方法、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,具體涉及一種流量監(jiān)測方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]目前業(yè)界針對異常流量的監(jiān)控,一般采用流量整體鏡像分析的方法進(jìn)行監(jiān)測,其可以根據(jù)目的網(wǎng)際協(xié)議(IP,Internet Protocol)的流量聚合情況,來判斷是否存在異常流量行為,例如,具體可以在數(shù)據(jù)流進(jìn)入核心交換機(jī)前,將該數(shù)據(jù)流鏡像一份到流量分析系統(tǒng),由流量分析系統(tǒng)對入數(shù)據(jù)流(即入流量)進(jìn)行逐包分析,并根據(jù)協(xié)議類型對入數(shù)據(jù)流進(jìn)行聚合統(tǒng)計,對于波動超過閾值的流量,則輸出告警。
[0003]在對現(xiàn)有技術(shù)的研究和實踐過程中,本發(fā)明的發(fā)明人發(fā)現(xiàn),由于對于四層協(xié)議模型而言,每個數(shù)據(jù)包所攜帶的應(yīng)用層信息并不是完整的,因此,無法監(jiān)控到應(yīng)用層流量的異常行為。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例提供一種流量監(jiān)測方法、裝置和系統(tǒng),可以對應(yīng)用層流量進(jìn)行監(jiān)控,提高監(jiān)控效果
[0005]一種流量監(jiān)測方法,包括:
[0006]獲取出入服務(wù)器的數(shù)據(jù)流,并對所述數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流;
[0007]對所述鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流
[0008]根據(jù)傳輸控制協(xié)議(TCP,Transmission Control Protocol)對所述鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流;
[0009]對所述重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
[0010]一種流量監(jiān)測裝置,包括:
[0011]獲取單元,用于獲取出入服務(wù)器的數(shù)據(jù)流,并對所述數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流;
[0012]區(qū)分單元,用于對所述鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流;
[0013]重組單元,用于根據(jù)傳輸控制協(xié)議對所述鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流;
[0014]監(jiān)控單元,用于對所述重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
[0015]一種通信系統(tǒng),包括本發(fā)明實施例提供的任一種流量監(jiān)測裝置。
[0016]本發(fā)明實施例采用獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
【專利附圖】
【附圖說明】[0017]為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0018]圖1是本發(fā)明實施例提供的流量監(jiān)測方法的流程圖;
[0019]圖2a是本發(fā)明實施例所提供的流量監(jiān)測的場景示意圖;
[0020]圖2b是本發(fā)明實施例所提供的流量監(jiān)測的場景示意圖;
[0021]圖2c是本發(fā)明實施例所提供的流量監(jiān)測方法的另一流程圖;
[0022]圖3a是本發(fā)明實施例提供的流量監(jiān)測裝置的結(jié)構(gòu)示意圖;
[0023]圖3b是本發(fā)明實施例提供的流量監(jiān)測裝置的另一結(jié)構(gòu)示意圖;
[0024]圖4是本發(fā)明實施例提供的服務(wù)器的結(jié)構(gòu)示意圖;
[0025]圖5是本發(fā)明實施例提供的流量監(jiān)測系統(tǒng)的示意圖;
[0026]圖6是本發(fā)明實施例所提供的流量監(jiān)測方法的又一流程圖;
[0027]圖7是本發(fā)明實施例所提供的流量監(jiān)測方法中分析模塊的執(zhí)行流程圖。
【具體實施方式】
[0028]下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。
[0029]本發(fā)明實施例提供一種流量監(jiān)測方法、裝置和系統(tǒng)。以下分別進(jìn)行詳細(xì)說明。
[0030]實施例一、
[0031]本發(fā)明實施例將從流量監(jiān)測裝置的角度進(jìn)行描述,該流量監(jiān)測裝置可以集成在監(jiān)控服務(wù)器中。
[0032]一種流量監(jiān)測方法,包括:獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
[0033]如圖1所示,該流量監(jiān)測方法的具體流程可以如下:
[0034]101、獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流。
[0035]其中,該數(shù)據(jù)流可以攜帶媒體接入層(MAC, Media Access Control)地址等信息。
[0036]102、對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流。
[0037]例如,如果步驟101中獲取到的數(shù)據(jù)流中攜帶有MAC地址,則此時可以根據(jù)該MAC地址對該鏡像數(shù)據(jù)流進(jìn)行出數(shù)據(jù)流和入數(shù)據(jù)流的區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流。
[0038]103、根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流。
[0039]104、對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,例如,具體可以如下:
[0040]從該重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的公共網(wǎng)關(guān)接口(CGI,Common GatewayInterface),根據(jù)該CGI獲取該網(wǎng)絡(luò)訪問請求的返回碼,并對該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計,在確定該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息,而如果該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值,則表明應(yīng)用層的流量使用情況正常,可以不動作。
[0041]其中,網(wǎng)絡(luò)訪問請求具體可以是超文本傳輸協(xié)議(HTTP, Hypertext transferprotocol)請求或文件傳輸協(xié)議(FTP, File Transfer Protocol)請求等。
[0042]其中,第一閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0043]此外,為了進(jìn)一步提高監(jiān)控效果,還可以對數(shù)據(jù)流的流量進(jìn)行雙向監(jiān)控,即對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,即,在步驟102(即對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流)之后,還可以執(zhí)行步驟105和106,如下:
[0044]105、基于網(wǎng)際協(xié)議(IP, Internet Protocol)地址和端口分別對該鏡像入數(shù)據(jù)流的流量和鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計。
[0045]106、確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且該鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息,例如,具體可以如下:
[0046]確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)該鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
[0047]其中,第二閾值和第三閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0048]需說明的是,步驟105和步驟103的執(zhí)行可以不分先后。
[0049]由上可知,本實施例采用獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
[0050]實施例二、
[0051]根據(jù)實施例一所描述的方法,以下將舉例作進(jìn)一步詳細(xì)說明。
[0052]參見圖2a和圖2b,該圖為流量監(jiān)測的場景應(yīng)用圖,基于該場景可知,運營商網(wǎng)絡(luò)可以通過核心交換機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換,其中,服務(wù)器和核心交換機(jī)之間還可以包括中間層,在此不作細(xì)述,而當(dāng)數(shù)據(jù)流出入核心交換機(jī)之前,會通過分光交換機(jī)鏡像復(fù)制一份傳送給流量監(jiān)測裝置,以進(jìn)行流量分析和監(jiān)控。
[0053]如圖2a所示,該流量監(jiān)測裝置可以包括接收模塊、四層處理模塊、七層處理模塊、分析模塊和告警輸出模塊,如下:
[0054](I)接收模塊;
[0055]接收模塊,用于從分光交換機(jī)獲取鏡像數(shù)據(jù)流,根據(jù)該鏡像數(shù)據(jù)流中數(shù)據(jù)包所攜帶的MAC地址區(qū)分為鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,然后將鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流并行交給四層處理模塊和七層處理模塊處理,參見圖2a。
[0056]需說明的是,為了提高處理效率,減低網(wǎng)絡(luò)成本,也可以先將得到的鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流交由四層處理模塊處理,然后,由四層處理模塊對該鏡像數(shù)據(jù)流進(jìn)行過濾,以確定需要由七層處理模塊處理的鏡像數(shù)據(jù)流后,將需要由七層處理模塊處理的鏡像數(shù)據(jù)流傳送給七層處理模塊,參見圖2b。
[0057](2)四層處理模塊;
[0058]四層處理模塊,用于接收模塊傳送的鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,然后分別對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行四元組維度匯聚,以分別統(tǒng)計該鏡像出數(shù)據(jù)流的流量和鏡像入數(shù)據(jù)流的流量,并將統(tǒng)計結(jié)果傳送給分析模塊。
[0059]需說明的是,四層處理模塊還可以用于對該鏡像數(shù)據(jù)流進(jìn)行過濾,以確定需要由七層處理模塊處理的鏡像數(shù)據(jù)流后,將需要由七層處理模塊處理的鏡像數(shù)據(jù)流傳送給七層處理模塊,參見圖2b。
[0060](3)七層處理模塊;
[0061]七層處理模塊,用于從接收模塊或四層處理模塊傳送的鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,然后根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對重組后數(shù)據(jù)流的應(yīng)用層數(shù)據(jù)進(jìn)行匯聚,得到應(yīng)用層的流量,比如可以從該重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的CGI,根據(jù)該CGI獲取該網(wǎng)絡(luò)訪問請求的返回碼,并對該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計,將統(tǒng)計結(jié)果傳送給分析模塊。
[0062](4)分析模塊;
[0063]分析模塊,用于對四層處理模塊和七層處理模塊所輸出的統(tǒng)計結(jié)果進(jìn)行分析,確定是否輸出告警。
[0064](5)告警輸出模塊;
[0065]告警輸出模塊,用于在分析模塊確定需要輸出告警時,輸出告警。
[0066]需說明的是,分光交換機(jī)主要用于對數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,該分光交換機(jī)既可以作為流量監(jiān)測裝置的一部分,也可以獨立于流量監(jiān)測裝置,而為了描述方便,在本實施例中,均以該分光交換機(jī)獨立于流量監(jiān)測裝置為例進(jìn)行說明。
[0067]基于上述場景,以下將對該流量監(jiān)測流程進(jìn)行詳細(xì)說明。
[0068]如圖2c所示,一種流量監(jiān)測方法,具體流程可以如下:
[0069]201、分光交換機(jī)獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,并將鏡像數(shù)據(jù)流分別傳送給接收模塊。
[0070]其中,該數(shù)據(jù)流攜帶MAC地址等信息。
[0071]202、接收模塊接收到該鏡像數(shù)據(jù)流后,根據(jù)該鏡像數(shù)據(jù)流中數(shù)據(jù)包所攜帶的MAC地址區(qū)分為鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,然后將鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流并行發(fā)送給四層處理模塊和七層處理模塊,參見圖2a。
[0072]或者,接收模塊也可以只將鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流發(fā)送給四層處理模塊,參見圖2b。
[0073]203、四層處理模塊接收接收模塊傳送的鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,基于網(wǎng)際協(xié)議(IP,Internet Protocol)地址和端口分別對該鏡像入數(shù)據(jù)流的流量和鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,其中,統(tǒng)計維度可以包括TCP、用戶數(shù)據(jù)報協(xié)議(UDP,User DatagramProtocol)、英特網(wǎng)控制報文協(xié)議(ICMP, Internet Control Message Protocol)等協(xié)議信息,然后將統(tǒng)計結(jié)果發(fā)送給分析模塊。
[0074]需說明的是,如果采用的是如圖2b的結(jié)構(gòu),則四層處理模塊還需要對該鏡像數(shù)據(jù)流進(jìn)行過濾,以確定需要由七層處理模塊處理的鏡像數(shù)據(jù)流后,將需要由七層處理模塊處理的鏡像數(shù)據(jù)流傳送給七層處理模塊。
[0075]204、七層處理模塊接收接收模塊傳送的鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流。
[0076]205、七層處理模塊從該重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的CGI,根據(jù)該CGI獲取該網(wǎng)絡(luò)訪問請求的返回碼,并對該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計,將統(tǒng)計結(jié)果傳送給分析模塊。
[0077]其中,網(wǎng)絡(luò)訪問請求具體可以是HTTP請求或FTP請求等。
[0078]206、分析模塊接收到四層處理模塊傳送的統(tǒng)計結(jié)果和七層處理模塊傳送的統(tǒng)計結(jié)果后,根據(jù)這些統(tǒng)計結(jié)果確定是否需要發(fā)出告警,若需要,則執(zhí)行步驟207,若不需要,則表明流量使用情況正常,可以不動作,返回執(zhí)行根據(jù)新的統(tǒng)計結(jié)果確定是否需要發(fā)出告警的判斷。
[0079]其中,根據(jù)這些統(tǒng)計結(jié)果確定是否需要發(fā)出告警的方法可以如下:
[0080](I)對于四層輸出模塊輸出的統(tǒng)計結(jié)果;
[0081]確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)該鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量是否超出預(yù)置第三閾值,若該對應(yīng)的鏡像出數(shù)據(jù)流的流量已超出預(yù)置第三閾值,則表明需要輸出告警消息,于是執(zhí)行步驟207,否則,可以不動作。
[0082](2)對于七層輸出模塊輸出的統(tǒng)計結(jié)果;
[0083]在確定該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,則表明需要輸出告警消息,于是執(zhí)行步驟207,而如果該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值,則表明應(yīng)用層的流量使用情況正常,可以不動作。
[0084]207、告警輸出模塊被觸發(fā),輸出告警消息。
[0085]由上可知,本實施例采用獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
[0086]進(jìn)一步的,由于本實施例不僅考慮入數(shù)據(jù)流的流量,還考慮也出數(shù)據(jù)流的流量,因此,相對于現(xiàn)有技術(shù)只進(jìn)行單向流量(即入數(shù)據(jù)流的流量)進(jìn)行分析的方案而言,可以提高了監(jiān)控的精確度,并降低警告誤報率。
[0087]實施例三、
[0088]為了更好地實施以上方法,本發(fā)明實施還提供一種流量監(jiān)測裝置,如圖3a所示,該流量監(jiān)測裝置包括獲取單元301、區(qū)分單元302、重組單元303和第一監(jiān)控單元,如下:
[0089]獲取單元301,用于獲取出入服務(wù)器的數(shù)據(jù)流,并對所述數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流。
[0090]其中,該數(shù)據(jù)流可以攜帶MAC地址等信息。
[0091]區(qū)分單元302,用于對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流;
[0092]例如,該區(qū)分單元302,具體可以用于根據(jù)該MAC地址對該鏡像數(shù)據(jù)流進(jìn)行區(qū)分,得到服務(wù)器的出數(shù)據(jù)流和入數(shù)據(jù)流。[0093]重組單元303,用于根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流;
[0094]第一監(jiān)控單元304,用于對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,例如,具體可以如下:
[0095]第一監(jiān)控單元304,具體可以用于從所述重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的公共網(wǎng)關(guān)接口 ;根據(jù)所述公共網(wǎng)關(guān)接口獲取所述網(wǎng)絡(luò)訪問請求的返回碼;對所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計;在確定所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息。
[0096]而如果該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值,則表明應(yīng)用層的流量使用情況正常,可以不動作。
[0097]其中,第一閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0098]此外,為了進(jìn)一步提高監(jiān)控效果,還可以對數(shù)據(jù)流的流量進(jìn)行雙向監(jiān)控,即對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,即如圖3b所示,該流量監(jiān)測裝置還可以包括第二監(jiān)控單元305 ;
[0099]第二監(jiān)控單元305,可以用于基于IP地址和端口分別對該鏡像入數(shù)據(jù)流的流量和鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且該鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息,例如,具體可以如下:
[0100]第二監(jiān)控單元305,具體可以用于確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)該鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
[0101]其中,第二閾值和第三閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0102]該流量監(jiān)測裝置可以集成在監(jiān)控服務(wù)器中。
[0103]具體實施時,以上各個單元可以作為獨立的實體來實現(xiàn),也可以進(jìn)行任意組合,作為同一或若干個實體來實現(xiàn),比如,參見實施例二中流量監(jiān)測裝置的結(jié)構(gòu),以上各個單元的具體實施可參見前面的實施例,在此不再贅述。
[0104]由上可知,本實施例的獲取單元301可以獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,由區(qū)分單元302對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,由重組單元303根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,最后,由第一監(jiān)控單元304對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
[0105]進(jìn)一步的,還可以由第二監(jiān)控單元305對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,由于本實施例不僅考慮入數(shù)據(jù)流的流量,還考慮也出數(shù)據(jù)流的流量,因此,相對于現(xiàn)有技術(shù)只進(jìn)行單向流量(即入數(shù)據(jù)流的流量)進(jìn)行分析的方案而言,可以提高了監(jiān)控的精確度,并降低警告誤報率。
[0106]實施例四、
[0107]相應(yīng)的,本發(fā)明實施例還提供一種通信系統(tǒng),包括本發(fā)明實施例提供的任一種流量監(jiān)測裝置,例如,可以如下:[0108]流量監(jiān)測裝置,用于獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
[0109]例如,其中,可以采用以下方式對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,如下:
[0110]從該重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的CGI,根據(jù)該CGI獲取該網(wǎng)絡(luò)訪問請求的返回碼,并對該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計,在確定該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息,而如果該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值,則表明應(yīng)用層的流量使用情況正常,可以不動作。
[0111]其中,網(wǎng)絡(luò)訪問請求具體可以是HTTP請求或FTP請求等。
[0112]其中,第一閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0113]此外,為了進(jìn)一步提高監(jiān)控效果,還可以對數(shù)據(jù)流的流量進(jìn)行雙向監(jiān)控,即對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,即,在對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流之后,該流量監(jiān)測裝置還可以執(zhí)行如下操作:
[0114]該流量監(jiān)測裝置,還用于基于IP地址和端口分別對該鏡像入數(shù)據(jù)流的流量和鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且該鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息,例如,具體可以如下:
[0115]確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)該鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
[0116]其中,第二閾值和第三閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0117]以上操作的具體實施可參見前面的實施例,在此不再贅述。
[0118]由于該通信系統(tǒng)包括本發(fā)明實施例提供的任一種流量監(jiān)測裝置,因此,可以實現(xiàn)本發(fā)明實施例提供的任一種流量監(jiān)測裝置同樣的有益效果。
[0119]實施例五、
[0120]在一個實施例中,還提供了一種可運行前述流量監(jiān)測方法的服務(wù)器,如圖4所示,該服務(wù)器結(jié)構(gòu)可應(yīng)用于互聯(lián)網(wǎng)應(yīng)用的服務(wù)器上。該服務(wù)器可因配置或性能不同而產(chǎn)生比較大的差異,例如,可以包括一個或一個以上中央處理器(CPU, Central ProcessingUnits)401 (例如,一個或一個以上處理器)和存儲器403,一個或一個以上存儲操作系統(tǒng)4021、數(shù)據(jù)4022或應(yīng)用程序4023的存儲介質(zhì)402 (例如一個或一個以上海量存儲設(shè)備)。其中,存儲器403和存儲介質(zhì)402可以是短暫存儲或持久存儲。存儲在存儲介質(zhì)402的程序可以包括一個或一個以上模塊,每個模塊可以包括對服務(wù)器中的一系列指令操作。更進(jìn)一步地,中央處理器401可以設(shè)置為與存儲介質(zhì)402通信,在服務(wù)器上執(zhí)行存儲介質(zhì)402中的一系列指令操作。服務(wù)器還可以包括一個或一個以上電源406,一個或一個以上有線或無線網(wǎng)絡(luò)接口 404,一個或一個以上輸入輸出接口 405,和/或,一個或一個以上操作系統(tǒng)4021,例如 Windows ServerTM, Mac OS XTM, UnixTM, LinuxTM, FreeBSDTM 等等。
[0121]上述實施例中所述的由服務(wù)器所執(zhí)行的步驟可以基于該圖4所示的服務(wù)器結(jié)構(gòu)。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(ROM, Read-Only Memory)或隨機(jī)存儲記憶體(RAM, Random AccessMemory)等。
[0122]盡管未示出,服務(wù)器還可以包括其他的模塊,在此不再贅述。具體在本實施例中,可以由中央處理器401來運行存儲在存儲介質(zhì)402中的應(yīng)用程序,從而實現(xiàn)各種功能,如下:
[0123]獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
[0124]例如,其中,可以采用以下方式對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,如下:
[0125]從該重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的CGI,根據(jù)該CGI獲取該網(wǎng)絡(luò)訪問請求的返回碼,并對該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計,在確定該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息,而如果該網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值,則表明應(yīng)用層的流量使用情況正常,可以不動作。
[0126]其中,網(wǎng)絡(luò)訪問請求具體可以是HTTP請求或FTP請求等。
[0127]其中,第一閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0128]此外,為了進(jìn)一步提高監(jiān)控效果,還可以對數(shù)據(jù)流的流量進(jìn)行雙向監(jiān)控,即對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,即,在對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流之后,該服務(wù)器還可以執(zhí)行如下操作:
[0129]基于IP地址和端口分別對該鏡像入數(shù)據(jù)流的流量和鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且該鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息,例如,具體可以如下:
[0130]確定該鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)該鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定該源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
[0131]其中,第二閾值和第三閾值可以根據(jù)實際應(yīng)用的需求進(jìn)行設(shè)置,在此不再贅述。
[0132]以上操作的具體實施可參見前面的實施例,在此不再贅述。
[0133]由上可知,本實施例的服務(wù)器可以獲取出入服務(wù)器的數(shù)據(jù)流,并對該數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流,然后,對該鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,再然后,根據(jù)TCP協(xié)議對該鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流,對該重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,從而實現(xiàn)對應(yīng)用層流量進(jìn)行監(jiān)控的目的,大大提高了監(jiān)控效果。
[0134]進(jìn)一步的,還可以對出數(shù)據(jù)流的流量和入數(shù)據(jù)流的流量進(jìn)行監(jiān)控,由于本實施例不僅考慮入數(shù)據(jù)流的流量,還考慮也出數(shù)據(jù)流的流量,因此,相對于現(xiàn)有技術(shù)只進(jìn)行單向流量(即入數(shù)據(jù)流的流量)進(jìn)行分析的方案而言,可以提高了監(jiān)控的精確度,并降低警告誤報率。
[0135]實施例六、
[0136]此外,如圖本發(fā)明實施例還提供一種流量監(jiān)測系統(tǒng),如圖5所示,可以包括分光交換機(jī)、核心交換機(jī)、分析單元、匯總模塊、告警模塊和服務(wù)器,其中,分析可以包括多個四層處理模塊(比如四個)和多個七層處理模塊(比如四個),如下:
[0137]1、分光交換機(jī),將出入流量(即出數(shù)據(jù)流和入數(shù)據(jù)流,以下均稱為出入流量)同時鏡像到分析單元,通過源MAC地址區(qū)分出入流量,將流量按照五元組分發(fā)到分析單元。
[0138]2、分析單元,用于對應(yīng)用層數(shù)據(jù)進(jìn)行TCP流重組,對重組后的數(shù)據(jù)進(jìn)行應(yīng)用層流量分析;結(jié)合四層、七層出入流量,對出入流量異常行為進(jìn)行有效判斷,例如,可以如下:
[0139](I)四層處理模塊:從分光交換機(jī)收取出入流量數(shù)據(jù)包,對四層出入流量按源(出流量)、目的(入流量)進(jìn)行四元組維度匯聚,定時將匯聚數(shù)據(jù)發(fā)送到匯總模塊,同時將處理后的流量轉(zhuǎn)發(fā)給七層處理模塊。
[0140](2)七層處理模塊:對收到的數(shù)據(jù)包進(jìn)行TCP流重組,對出入流量重組后的應(yīng)用層數(shù)據(jù)進(jìn)行匯聚,定時將匯聚數(shù)據(jù)發(fā)送到匯總模塊。
[0141]3、匯總模塊:對四層處理模塊輸出的數(shù)據(jù)、七層處理模塊輸出的數(shù)據(jù)進(jìn)行4、匯總分析,結(jié)合出入流量,確定是否輸出告警。
[0142]5、告警模塊:對觸發(fā)閾值的異常流量輸出告警。
[0143]基于上面的流量監(jiān)測系統(tǒng)的結(jié)構(gòu),如圖6和圖7所示,其流量監(jiān)測流程具體可以如下:
[0144]S1、分光交換機(jī)模塊根據(jù)源MAC地址,區(qū)分出流量和入流量,并在每個包做上標(biāo)記,之后將其轉(zhuǎn)發(fā)給四層處理模塊;
[0145]S2、四層處理模塊對收到的出流量和入流量分別按照IP、PORT進(jìn)行聚集統(tǒng)計,統(tǒng)計維度包括TCP、UDP、ICMP等四層協(xié)議信息,該四層處理模塊會定期將統(tǒng)計數(shù)據(jù)發(fā)送到匯總模塊進(jìn)行統(tǒng)一分析,該模塊還會將處理后的出、入流量數(shù)據(jù)包轉(zhuǎn)發(fā)給七層處理模塊;
[0146]S3、七層處理模塊對收到的出流量和入流量數(shù)據(jù)包進(jìn)行TCP流重組,從重組后的數(shù)據(jù)中提取出HTTP請求CGI,隨后在其對應(yīng)的出(入)流量重組緩存中找到相應(yīng)HTTP返回碼,將兩數(shù)據(jù)關(guān)聯(lián)后的統(tǒng)計數(shù)據(jù)定期發(fā)送到匯總模塊進(jìn)行統(tǒng)一分析;
[0147]S4、匯總模塊對收到的出流量和入流量統(tǒng)計數(shù)據(jù)進(jìn)行匯總,同時進(jìn)行出入流量關(guān)聯(lián)分析,例如,可參見圖7,如下:
[0148]以四層入流量為例,當(dāng)發(fā)現(xiàn)目的IP的TCP SYN包流量異常時,會在出流量統(tǒng)計信息中反查對應(yīng)源IP的TCP RST包流量是否有徒增,將上述包量、流量信息進(jìn)行關(guān)聯(lián)分析后,就可確定入流量存在異常,有效消除了誤報。采用類似方法,也可對四層出流量的異常行為進(jìn)行準(zhǔn)確判斷。針對七層異常流量行為,也可采用類似方法提升異常流量識別的準(zhǔn)確性。以七層入流量GETFL00D攻擊為例,當(dāng)發(fā)現(xiàn)某個通用網(wǎng)關(guān)界面(CGI,Common GatewayInterface)的訪問量出現(xiàn)異常后,會關(guān)聯(lián)其相應(yīng)HTTP返回碼的統(tǒng)計信息進(jìn)行分析,若發(fā)現(xiàn)HTTP返回碼數(shù)據(jù)也出現(xiàn)異常增長,則可以判定此CGI存在異常訪問行為。
[0149]S5、在收到匯總模塊的異常統(tǒng)計后,告警模塊對超過閾值的服務(wù)器IP及CGI請求輸出告警。
[0150]本實施例同樣可以實現(xiàn)如前面實施例同樣的有益效果,詳見前面實施例,在此不再贅述。
[0151]本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,該程序可以存儲于一計算機(jī)可讀存儲介質(zhì)中,存儲介質(zhì)可以包括:只讀存儲器(ROM, Read Only Memory)、隨機(jī)存取記憶體(RAM, RandomAccess Memory)、磁盤或光盤等。
[0152]以上對本發(fā)明實施例所提供的一種流量監(jiān)測方法、裝置和系統(tǒng)進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時,對于本領(lǐng)域的技術(shù)人員,依據(jù)本發(fā)明的思想,在【具體實施方式】及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
【權(quán)利要求】
1.一種流量監(jiān)測方法,其特征在于,包括: 獲取數(shù)據(jù)流,并對所述數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流; 對所述鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流; 根據(jù)傳輸控制協(xié)議對所述鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流; 對所述重組后數(shù)據(jù)流的進(jìn)行應(yīng)用層流量監(jiān)控。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對所述重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控,包括: 從所述重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的公共網(wǎng)關(guān)接口; 根據(jù)所述公共網(wǎng)關(guān)接口獲取所述網(wǎng)絡(luò)訪問請求的返回碼; 對所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計; 在確定所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述對所述鏡像數(shù)據(jù)流進(jìn)行區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流之后,還包括: 基于網(wǎng)際協(xié)議IP地址和端口分別對所述鏡像入數(shù)據(jù)流的流量和所述鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計; 確定所述鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且所述鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述確定所述鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且所述鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息,包括: 確定所述鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)所述鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址; 獲取所述源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量; 確定所述源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述數(shù)據(jù)流攜帶媒體接入層MAC地址,則所述對所述鏡像數(shù)據(jù)流進(jìn)行區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流,包括: 根據(jù)所述MAC地址對所述鏡像數(shù)據(jù)流進(jìn)行區(qū)分,得到服務(wù)器的出數(shù)據(jù)流和入數(shù)據(jù)流。
6.一種流量監(jiān)測裝置,其特征在于,包括: 獲取單元,用于獲取出入服務(wù)器的數(shù)據(jù)流,并對所述數(shù)據(jù)流進(jìn)行鏡像映射,得到鏡像數(shù)據(jù)流; 區(qū)分單元,用于對所述鏡像數(shù)據(jù)流區(qū)分,得到鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流; 重組單元,用于根據(jù)傳輸控制協(xié)議對所述鏡像出數(shù)據(jù)流和鏡像入數(shù)據(jù)流進(jìn)行重組,得到重組后數(shù)據(jù)流; 第一監(jiān)控單元,用于對所述重組后數(shù)據(jù)流進(jìn)行應(yīng)用層流量監(jiān)控。
7.根據(jù)權(quán)利要求6所述的流量監(jiān)測裝置,其特征在于, 所述第一監(jiān)控單元,具體用于從所述重組后數(shù)據(jù)流中提取出網(wǎng)絡(luò)訪問請求的公共網(wǎng)關(guān)接口 ;根據(jù)所述公共網(wǎng)關(guān)接口獲取所述網(wǎng)絡(luò)訪問請求的返回碼;對所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量進(jìn)行統(tǒng)計;在確定所述網(wǎng)絡(luò)訪問請求的返回碼的數(shù)量超過預(yù)置第一閾值時,輸出告警消息。
8.根據(jù)權(quán)利要求6或7所述的流量監(jiān)測裝置,其特征在于,還包括第二監(jiān)控單元; 所述第二監(jiān)控單元,用于基于網(wǎng)際協(xié)議IP地址和端口分別對所述鏡像入數(shù)據(jù)流的流量和所述鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,確定所述鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值,且所述鏡像入數(shù)據(jù)流對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
9.根據(jù)權(quán)利要求8所述的流量監(jiān)測裝置,其特征在于, 所述第二監(jiān)控單元,具體用于基于IP地址和端口分別對所述鏡像入數(shù)據(jù)流的流量和所述鏡像出數(shù)據(jù)流的流量進(jìn)行統(tǒng)計,確定所述鏡像入數(shù)據(jù)流的流量超過預(yù)置第二閾值時,根據(jù)所述鏡像入數(shù)據(jù)流的目的IP地址確定對應(yīng)的源IP地址,獲取所述源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量,確定所述源IP地址對應(yīng)的鏡像出數(shù)據(jù)流的流量超出預(yù)置第三閾值時,輸出告警消息。
10.根據(jù)權(quán)利要求6或7所述的流量監(jiān)測裝置,其特征在于,所述數(shù)據(jù)流攜帶媒體接入層MAC地址,則: 所述區(qū)分單元,具體用于根據(jù)所述MAC地址對所述鏡像數(shù)據(jù)流進(jìn)行區(qū)分,得到服務(wù)器的出數(shù)據(jù)流和入數(shù)據(jù)流。
11.一 種通信系統(tǒng),其特征在于,包括權(quán)利要求6至10任一項所述的流量監(jiān)測裝置。
【文檔編號】H04L12/26GK103997439SQ201410244278
【公開日】2014年8月20日 申請日期:2014年6月4日 優(yōu)先權(quán)日:2014年6月4日
【發(fā)明者】閆帥帥, 施暉 申請人:騰訊科技(深圳)有限公司