專利名稱:流量采集和分析的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域��,特別涉及一種流量采集和分析的方法和裝置����。
背景技術(shù):
在IP(Internet Protocol,因特網(wǎng)協(xié)議)/MPLS(Multi-Protocl Label Switching�����,多協(xié)議標(biāo)記交換)網(wǎng)絡(luò)中�,當(dāng)客戶需要查看從一個(gè)AS(Autonomous System,自治系統(tǒng))到下一跳AS的流量�����,或者需要了解相同團(tuán)體屬性內(nèi)不同的AS之間的業(yè)務(wù)流量信息時(shí)��,需要對基于路由信息的網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)和分析?����,F(xiàn)有技術(shù)采用在網(wǎng)流報(bào)文中增加BGP(Border GatewayProtocol����,邊界網(wǎng)關(guān)協(xié)議)路由屬性字段進(jìn)行標(biāo)識(shí)����,由上層網(wǎng)流分析系統(tǒng)根據(jù)這個(gè)標(biāo)識(shí)進(jìn)行分析和匯總得到AS-PATH(路徑)的流量特征��。參見圖1����,網(wǎng)絡(luò)中有三個(gè)自治系統(tǒng)���,AS100�、AS200和AS300�����,采集器通過BR(Border Router���,邊界路由器)采集AS的流量信息����,并傳給分析器�����,分析器經(jīng)過統(tǒng)計(jì)����、分析和匯總得出AS流量信息��。通常BR在OPTION(選項(xiàng))報(bào)文中增加AS采樣模式信息�,當(dāng)AS采樣模式為第一種模式時(shí)�����,OPTION報(bào)文的七元組中攜帶了AS-PATH的源端AS和終端AS的IP地址和端口號(hào)等信息��,相應(yīng)地���,上層網(wǎng)流分析系統(tǒng)可以得到源端AS和終端AS之間的流量信息���;當(dāng)AS采樣模式為第二種模式時(shí),OPTION報(bào)文的七元組中攜帶了AP-PATH的源端AS和終端AS的前一跳AS的IP地址和端口號(hào)等信息�,相應(yīng)地,上層網(wǎng)流分析系統(tǒng)可以得到源端AS和終端AS的前一跳AS之間的流量信息�����。
由于上層網(wǎng)流分析系統(tǒng)無法預(yù)先知道網(wǎng)絡(luò)中的AS-PATH信息��,如果要獲得AS-PATH中任意兩個(gè)AS之間的流量信息��,則需要對AS-PATH中的每個(gè)AS的BR都采集流量���,而且還要從采集到的網(wǎng)流報(bào)文中獲得AS-PATH的信息��,并按AS-PATH信息對網(wǎng)流報(bào)文做非常復(fù)雜的流量匯總工作��,因此上述現(xiàn)有技術(shù)對上層網(wǎng)流分析系統(tǒng)的分析能力�����、統(tǒng)計(jì)能力和匯總能力等要求非常高���,而且工作量非常龐大,不易實(shí)現(xiàn)��。
發(fā)明內(nèi)容
為了解決現(xiàn)有技術(shù)中流量采集和分析對上層網(wǎng)流分析系統(tǒng)的要求非常高的問題����,本發(fā)明實(shí)施例提供了一種流量采集和分析的方法和裝置。
所述方法包括學(xué)習(xí)BGP路由信息���,采集網(wǎng)流報(bào)文�;在所述BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由��,并將所述BGP路由與采集到的網(wǎng)流報(bào)文進(jìn)行比對,若所述網(wǎng)流報(bào)文包含所述BGP路由中的信息�����,則計(jì)算所述網(wǎng)流報(bào)文��。
所述裝置包括學(xué)習(xí)模塊�,用于學(xué)習(xí)BGP路由信息;采集模塊�,用于采集網(wǎng)流報(bào)文;分析模塊�����,用于在所述學(xué)習(xí)模塊學(xué)習(xí)到的BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由�,并將所述BGP路由與所述采集模塊采集到的網(wǎng)流報(bào)文進(jìn)行比對,若所述網(wǎng)流報(bào)文包含所述BGP路由中的信息����,則計(jì)算所述網(wǎng)流報(bào)文。
本發(fā)明實(shí)施例能夠方便地統(tǒng)計(jì)出基于BGP路由的流量特征(如AS-PATH上的每條流量)�����,上層軟件不用針對每個(gè)網(wǎng)流報(bào)文去分析BGP路由信息����,而是預(yù)先學(xué)習(xí)到BGP路由信息,然后根據(jù)流量分析需求在預(yù)先學(xué)習(xí)到的BGP路由信息中匹配到與當(dāng)前流量相應(yīng)的BGP路由����,并根據(jù)該BGP路由與采集到的網(wǎng)流報(bào)文進(jìn)行比對的結(jié)果統(tǒng)計(jì)流量,從而簡化了上層軟件通過從網(wǎng)流報(bào)文中獲取路由信息的方式����,來統(tǒng)計(jì)基于BGP路由流量的過程的復(fù)雜性。
圖1是現(xiàn)有技術(shù)中流量采集和分析的示意圖���;圖2是本發(fā)明實(shí)施例流量采集和分析的方法流程圖���;圖3是本發(fā)明實(shí)施例流量采集示意圖;圖4是本發(fā)明實(shí)施例流量采集和分析的裝置結(jié)構(gòu)圖����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施例對本發(fā)明作進(jìn)一步說明,但本發(fā)明不局限于下面的實(shí)施例���。
本發(fā)明實(shí)施例通過使用采集器預(yù)先學(xué)習(xí)到BGP路由信息����,分析器搜索匹配到相應(yīng)的BGP路由信息后進(jìn)行流量統(tǒng)計(jì),避免了上層軟件根據(jù)網(wǎng)流報(bào)文中的片斷路由信息來匯總AS-PATH流量的復(fù)雜性���,方便地按BGP路由信息統(tǒng)計(jì)AS之間的流量���。
參見圖2,本發(fā)明實(shí)施例提供了一種流量采集和分析的方法��,具體包括以下步驟步驟101采用支持BGP路由學(xué)習(xí)能力的采集器通過路由協(xié)議預(yù)先學(xué)習(xí)BGP路由信息��,并根據(jù)需要對采集器進(jìn)行部署�,讓采集器能夠采集到相應(yīng)的AS間網(wǎng)流報(bào)文;部署時(shí)根據(jù)采集器性能可以一個(gè)BR對應(yīng)一個(gè)采集器�����,也可以多個(gè)BR對應(yīng)一個(gè)采集器����;通過路由協(xié)議學(xué)習(xí)BGP路由信息是指在采集器和BR上同時(shí)使能BGP路由協(xié)議,采集器通過BGP路由協(xié)議交互來學(xué)習(xí)BGP路由信息����;步驟102采集器將學(xué)習(xí)到的BGP路由信息保存在一個(gè)路由表中;學(xué)習(xí)到的BGP路由信息中包含AS-PATH�����、下一跳和團(tuán)體屬性等BGP路由屬性���;以圖3所示的網(wǎng)絡(luò)為例�����,采集器學(xué)習(xí)到一條BGP路由并保存在路由表中�����,如表1所示
表1步驟103采集器進(jìn)行流量采集�,即接收與采集器相連的BR發(fā)來的網(wǎng)流報(bào)文�,采集到的網(wǎng)流報(bào)文包含七元組(源IP地址、目的IP地址和端口號(hào)等)和BGP路由屬性等信息�����;步驟104分析器根據(jù)當(dāng)前的流量分析需求在上述路由表中進(jìn)行搜索����,匹配到與當(dāng)前流量相應(yīng)的BGP路由,所述BGP路由中包含BGP路由屬性��;步驟105根據(jù)BGP路由屬性確定當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征;步驟106用得到的網(wǎng)流報(bào)文特征與采集到的網(wǎng)流報(bào)文進(jìn)行比對�,如果網(wǎng)流報(bào)文中包含所述網(wǎng)流報(bào)文特征,則計(jì)算該網(wǎng)流報(bào)文進(jìn)行流量統(tǒng)計(jì)���,即統(tǒng)計(jì)符合當(dāng)前流量分析需求的網(wǎng)流報(bào)文���,例如,在當(dāng)前流量所統(tǒng)計(jì)的網(wǎng)流報(bào)文個(gè)數(shù)的基礎(chǔ)上加1��,將采集到的網(wǎng)流報(bào)文統(tǒng)計(jì)進(jìn)去�,從而完成按BGP路由進(jìn)行流量統(tǒng)計(jì)。
分析器匹配到的BGP路由可以為一條或多條��,將每條BGP路由中的一個(gè)或多個(gè)路由屬性作為該條BGP路由對應(yīng)的網(wǎng)流報(bào)文特征��,作為與網(wǎng)流報(bào)文比對的依據(jù)�����;當(dāng)匹配到多條BGP路由時(shí)����,相應(yīng)地,會(huì)生成多個(gè)網(wǎng)流報(bào)文特征,則共同作為與網(wǎng)流報(bào)文比對的依據(jù)�,分析器在比對網(wǎng)流報(bào)文時(shí),只要采集到的網(wǎng)流報(bào)文中包含其中的一個(gè)網(wǎng)流報(bào)文特征�,就進(jìn)行流量統(tǒng)計(jì);如果所有網(wǎng)流報(bào)文特征均不在采集到的網(wǎng)流報(bào)文中����,表明該網(wǎng)流報(bào)文不符合當(dāng)前流量分析需求���,則不進(jìn)行流量統(tǒng)計(jì)�����。
例如���,參見圖3,假設(shè)當(dāng)前需要統(tǒng)計(jì)AS200到AS100的流量�,由于采集器預(yù)先學(xué)習(xí)了BGP路由信息,并保存了表1所示的一條BGP路由��,因此采集器從該條路由可以獲知���,從AS200去往AS100的流量需要通過下一跳9.1.3.1�����,才能到達(dá)目的網(wǎng)段地址200.1.1.2/24����;采集器采集到網(wǎng)流報(bào)文后,首先根據(jù)AS-Path信息AS200->AS100�,搜索路由表,匹配到表1所示的BGP路由后�,根據(jù)該BGP路由中的BGP路由屬性確定出當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征,即把目的IP地址為200.1.1.2/24�����,且下一跳為9.1.3.1組合起來作為網(wǎng)流報(bào)文特征��,然后將該網(wǎng)流報(bào)文特征與采集到的網(wǎng)流報(bào)文進(jìn)行比對�����,如果網(wǎng)流報(bào)文中包含相同的信息����,即網(wǎng)流報(bào)文中的目的IP地址也為200.1.1.2/24,且下一跳也為9.1.3.1����,則將該網(wǎng)流報(bào)文統(tǒng)計(jì)到AS200到AS100的流量中�;否則�����,認(rèn)為該網(wǎng)流報(bào)文不是AS200到AS100的流量報(bào)文�,不進(jìn)行統(tǒng)計(jì)。
上述過程中采集器通過路由協(xié)議學(xué)習(xí)BGP路由的方式可以由采集器讀取BR上的BGP路由文件或BGP MIB(Management Information Base����,管理信息庫)文件的方式來替換�����,考慮到BR上的BGP路由文件或BGP MIB文件可能會(huì)不斷更新�����,進(jìn)一步地��,還可以增加定時(shí)同步的步驟設(shè)置定時(shí)器使采集器讀取BR上的BGP路由文件或BGP MIB文件的時(shí)間和這些文件更新的時(shí)間同步����,從而保證讀取到的文件內(nèi)容都是最新的。
參見圖4,本發(fā)明實(shí)施例還提供了一種流量采集和分析的裝置���,具體包括(1)學(xué)習(xí)模塊����,用于學(xué)習(xí)BGP路由信息�;(2)采集模塊,用于采集網(wǎng)流報(bào)文��;(3)分析模塊�,用于在學(xué)習(xí)模塊學(xué)習(xí)到的BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由,并將該BGP路由與采集到的網(wǎng)流報(bào)文進(jìn)行比對��,若網(wǎng)流報(bào)文包含該BGP路由中的信息��,則計(jì)算該網(wǎng)流報(bào)文���。
上述學(xué)習(xí)模塊具體包括1)配置單元�����,用于在所述裝置和邊界路由器上同時(shí)使能BGP路由協(xié)議����;2)學(xué)習(xí)單元,用于通過BGP路由協(xié)議交互來學(xué)習(xí)BGP路由信息�。
上述學(xué)習(xí)模塊還可以通過讀取邊界路由器的BGP路由文件或BGP MIB文件來學(xué)習(xí)BGP路由信息。
上述分析模塊具體包括1)查找單元�����,用于在學(xué)習(xí)模塊學(xué)習(xí)到的BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由���;2)處理單元�,用于根據(jù)查找單元找到的BGP路由中的BGP路由屬性�,確定當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征,將網(wǎng)流報(bào)文特征與采集模塊采集到的網(wǎng)流報(bào)文進(jìn)行比對�,若網(wǎng)流報(bào)文包含網(wǎng)流報(bào)文特征,則計(jì)算該網(wǎng)流報(bào)文��。
本發(fā)明實(shí)施例中的分析器和采集器在物理上可以分布在不同的服務(wù)器上��,也可以分布在一臺(tái)服務(wù)器上����。
本發(fā)明實(shí)施例可以利用軟件實(shí)現(xiàn)�,如利用C、C++或JAVA等語言編程實(shí)現(xiàn)�����,相應(yīng)的軟件可以存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中,如服務(wù)器的硬盤��、內(nèi)存或光盤中�����。
本發(fā)明實(shí)施例簡化了上層軟件按路由路徑匯總流量的分析復(fù)雜性��,能夠方便地統(tǒng)計(jì)出基于BGP路由的流量特征(如AS-PATH上的每條流量)����,從而可以進(jìn)行有效和及時(shí)的流量監(jiān)控;還可以在此基礎(chǔ)上開發(fā)病毒攻擊監(jiān)測或離線模擬網(wǎng)絡(luò)流量狀態(tài)等應(yīng)用����。
以上所述的實(shí)施例,只是本發(fā)明較優(yōu)選的具體實(shí)施方式
���,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
1.一種流量采集和分析的方法���,其特征在于�,所述方法包括學(xué)習(xí)BGP路由信息,采集網(wǎng)流報(bào)文�;在所述BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由,并將所述BGP路由與采集到的網(wǎng)流報(bào)文進(jìn)行比對����,若所述網(wǎng)流報(bào)文包含所述BGP路由中的信息,則計(jì)算所述網(wǎng)流報(bào)文����。
2.根據(jù)權(quán)利要求1所述的流量采集和分析的方法,其特征在于��,所述學(xué)習(xí)BGP路由信息的步驟具體包括在采集器和邊界路由器上同時(shí)使能BGP路由協(xié)議����,所述采集器通過BGP路由協(xié)議交互來學(xué)習(xí)BGP路由信息。
3.根據(jù)權(quán)利要求1所述的流量采集和分析的方法�����,其特征在于�,所述方法通過讀取邊界路由器的BGP路由文件或BGP管理信息庫文件來學(xué)習(xí)BGP路由信息���。
4.根據(jù)權(quán)利要求1所述的流量采集和分析的方法����,其特征在于,所述比對和計(jì)算所述網(wǎng)流報(bào)文的步驟具體包括根據(jù)所述BGP路由中的BGP路由屬性確定所述當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征�����,將所述網(wǎng)流報(bào)文特征與采集到的網(wǎng)流報(bào)文進(jìn)行比對�����,若所述網(wǎng)流報(bào)文包含所述網(wǎng)流報(bào)文特征���,則計(jì)算所述網(wǎng)流報(bào)文�。
5.根據(jù)權(quán)利要求4所述的流量采集和分析的方法��,其特征在于���,根據(jù)所述BGP路由中的BGP路由屬性確定所述當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征的步驟具體為將所述BGP路由中的一個(gè)或者多個(gè)路由屬性作為報(bào)文特征����。
6.一種流量采集和分析的裝置�����,其特征在于,所述裝置包括學(xué)習(xí)模塊�,用于學(xué)習(xí)BGP路由信息;采集模塊���,用于采集網(wǎng)流報(bào)文���;分析模塊,用于在所述學(xué)習(xí)模塊學(xué)習(xí)到的BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由��,并將所述BGP路由與所述采集模塊采集到的網(wǎng)流報(bào)文進(jìn)行比對���,若所述網(wǎng)流報(bào)文包含所述BGP路由中的信息�,則計(jì)算所述網(wǎng)流報(bào)文�����。
7.根據(jù)權(quán)利要求6所述的流量采集和分析的裝置�,其特征在于,所述學(xué)習(xí)模塊包括配置單元��,用于在所述裝置和邊界路由器上同時(shí)使能BGP路由協(xié)議��;學(xué)習(xí)單元�,用于通過BGP路由協(xié)議交互來學(xué)習(xí)BGP路由信息。
8.根據(jù)權(quán)利要求6所述的流量采集和分析的裝置���,其特征在于�����,所述學(xué)習(xí)模塊通過讀取邊界路由器的BGP路由文件或BGP管理信息庫文件來學(xué)習(xí)BGP路由信息�。
9.根據(jù)權(quán)利要求6所述的流量采集和分析的裝置�,其特征在于,所述分析模塊具體包括查找單元���,用于在所述學(xué)習(xí)模塊學(xué)習(xí)到的BGP路由信息中查找到與所述當(dāng)前流量相應(yīng)的BGP路由��;處理單元����,用于根據(jù)所述查找單元找到的BGP路由中的BGP路由屬性�����,確定所述當(dāng)前流量對應(yīng)的網(wǎng)流報(bào)文特征,將所述網(wǎng)流報(bào)文特征與所述采集模塊采集到的網(wǎng)流報(bào)文進(jìn)行比對��,若所述網(wǎng)流報(bào)文包含所述網(wǎng)流報(bào)文特征�,則計(jì)算所述網(wǎng)流報(bào)文。
全文摘要
本發(fā)明提供了一種流量采集和分析的方法和裝置����,屬于網(wǎng)絡(luò)通訊領(lǐng)域。為了解決現(xiàn)有技術(shù)中流量采集和分析對上層網(wǎng)流分析系統(tǒng)的要求非常高的問題���,本發(fā)明提供了一種流量采集和分析的方法和裝置�����。所述方法包括學(xué)習(xí)BGP路由信息�,采集網(wǎng)流報(bào)文����;在學(xué)習(xí)到的BGP路由信息中查找到與當(dāng)前流量相應(yīng)的BGP路由,并將該BGP路由與網(wǎng)流報(bào)文進(jìn)行比對����,若網(wǎng)流報(bào)文中包含該BGP路由中的信息,則計(jì)算所述網(wǎng)流報(bào)文��。所述裝置包括學(xué)習(xí)模塊、采集模塊和分析模塊�����。本發(fā)明能夠方便地統(tǒng)計(jì)出基于BGP路由的流量特征(如AS-PATH上的每條流量)�,簡化了上層軟件按路由路徑匯總流量的分析復(fù)雜性��。
文檔編號(hào)H04L12/26GK101043453SQ200710087459
公開日2007年9月26日 申請日期2007年3月19日 優(yōu)先權(quán)日2007年3月19日
發(fā)明者全一 申請人:華為技術(shù)有限公司