專利名稱:網(wǎng)絡(luò)流量監(jiān)控方法
技術(shù)領(lǐng)域:
本發(fā)明基本上涉及網(wǎng)絡(luò)傳輸領(lǐng)域,更具體地來說,涉及一種網(wǎng)絡(luò)流量監(jiān)控方法。
背景技術(shù):
在萬兆流量處理領(lǐng)域,由于真實(shí)環(huán)境下流量的不確定性,會(huì)給應(yīng)用處理帶來很多影響。在捕包方面,網(wǎng)絡(luò)問題主要體現(xiàn)在異常流量上。當(dāng)出現(xiàn)異常流量的時(shí)候,會(huì)對(duì)系統(tǒng)的正確性檢查帶來很多困難?,F(xiàn)有技術(shù)公開了一種網(wǎng)絡(luò)流量異常檢測(cè)方法,包括對(duì)用于檢測(cè)的流量信號(hào)進(jìn)行線調(diào)頻小波變換,得到變換譜;將變換譜劃分為至少兩個(gè)頻譜段;對(duì)各頻譜段分別進(jìn)行信號(hào)重構(gòu),利用偏離分?jǐn)?shù)算法對(duì)重構(gòu)后的信號(hào)進(jìn)行運(yùn)算,得到偏離分?jǐn)?shù)將所述偏離分?jǐn)?shù)與預(yù)設(shè)門限進(jìn)行比較,根據(jù)比較結(jié)果確定網(wǎng)絡(luò)流量是否異常。上述方法在一定程度上可以確定網(wǎng)絡(luò)流量是否異常,但是過程復(fù)雜,需要對(duì)信號(hào)進(jìn)行一系列的處理,占用資源較多。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有技術(shù)中所存在的缺陷,本發(fā)明提出了一種網(wǎng)絡(luò)流量監(jiān)控方法,通過本發(fā)明所提出的網(wǎng)絡(luò)流量監(jiān)控方法,解決了如何通過較少的計(jì)算,簡(jiǎn)單快速地判對(duì)于網(wǎng)絡(luò)流量中的異常的技術(shù)問題。本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)流量監(jiān)控方法,包括步驟Sll 計(jì)算從所述網(wǎng)絡(luò)接收到的網(wǎng)絡(luò)數(shù)據(jù)包的平均包長;以及步驟S12 如果所述平均包長小于預(yù)定包長,則表示所述網(wǎng)絡(luò)
流量異常。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述步驟S12進(jìn)一步包括如果所述平均包長不小于所述預(yù)定包長,則經(jīng)過預(yù)定時(shí)間再次執(zhí)行步驟S11。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述預(yù)定包長為200字節(jié)。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述預(yù)定時(shí)間為2秒。在該網(wǎng)絡(luò)流量監(jiān)控方法中,進(jìn)一步包括步驟S21 計(jì)算CPU中的每個(gè)核所處理的流量;以及步驟S22 如果其中一個(gè)核的流量高于另一個(gè)核的流量的預(yù)定倍數(shù),則表示所述網(wǎng)絡(luò)流量異常。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述步驟S22進(jìn)一步包括如果每個(gè)核的流量都不高于其他核的流量的預(yù)定倍數(shù),則經(jīng)過預(yù)定時(shí)間再次執(zhí)行步驟S21。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述預(yù)定倍數(shù)為1. 5倍。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述預(yù)定時(shí)間為2秒。在該網(wǎng)絡(luò)流量監(jiān)控方法中,進(jìn)一步包括如果所述網(wǎng)絡(luò)流量異常,則生成并記錄告
Sfc/=自
目 I 口 ;κ、。在該網(wǎng)絡(luò)流量監(jiān)控方法中,所述網(wǎng)絡(luò)流量為萬兆流量。根據(jù)本申請(qǐng)中的網(wǎng)絡(luò)流量監(jiān)控方法,可以在零拷貝的基礎(chǔ)下對(duì)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控,能夠?qū)Χ喾N異常進(jìn)行監(jiān)控,從而為業(yè)務(wù)處理應(yīng)用中的錯(cuò)誤排查提供了更多的技術(shù)手段,并且整個(gè)過程簡(jiǎn)單快速,不會(huì)引入性能損耗,占用系統(tǒng)資源較少。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。
附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,并且構(gòu)成說明書的一部分,與本發(fā)明的實(shí)施例一起用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的限制。在附圖中圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)流量監(jiān)控方法的實(shí)施例;圖2示出了根據(jù)本發(fā)明的另一種網(wǎng)絡(luò)流量監(jiān)控方法的實(shí)施例。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說明,應(yīng)當(dāng)理解,此處所描述的優(yōu)選實(shí)施例僅用于說明和解釋本發(fā)明,并不用于限定本發(fā)明。本申請(qǐng)通過兩種方式來對(duì)網(wǎng)絡(luò)傳輸中的流量進(jìn)行監(jiān)控。圖1和圖2分別示出了上述兩禾中方式。圖1示出了根據(jù)本發(fā)明的一種網(wǎng)絡(luò)流量監(jiān)控方法的實(shí)施例。在圖1中步驟SlOO 計(jì)算從網(wǎng)絡(luò)接收到的網(wǎng)絡(luò)數(shù)據(jù)包的平均包長。其中,該平均包長優(yōu)選為200字節(jié),當(dāng)然,也可以選擇為其他長度。步驟S102 對(duì)于平均包長和預(yù)定包長進(jìn)行比較。如果平均包長小于預(yù)定包長,則表示網(wǎng)絡(luò)中的流量出現(xiàn)異常,該方法進(jìn)行到步驟S104。如果平均包長不小于預(yù)定包長,則經(jīng)過預(yù)定時(shí)間,該方法再次進(jìn)行步驟S100,也就是形成了一次循環(huán)。其中,預(yù)定時(shí)間優(yōu)選為2 秒,當(dāng)然,也可以選擇為其他時(shí)間長度。步驟S104 生成并記錄告警信息??梢詫⒃摳婢畔⒋鎯?chǔ)在存儲(chǔ)器中并進(jìn)行其他處理。圖1所示出的是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包平均包長進(jìn)行監(jiān)控。在真實(shí)流量環(huán)境中,網(wǎng)絡(luò)數(shù)據(jù)包包括長度(即數(shù)據(jù)包所包括的字節(jié)數(shù))較大的數(shù)據(jù)包(簡(jiǎn)稱大包)和長度較小的數(shù)據(jù)包(簡(jiǎn)稱小包),而一般來說,小包的長度在64字節(jié)以下,大包的長度在IOM字節(jié)-1500 字節(jié)之間。小包一般為TCP控制報(bào)文(TCP控制包),大包一般為實(shí)際傳輸?shù)臄?shù)據(jù)報(bào)文。在實(shí)際情況下,流量中的大包和小包的數(shù)量不固定,但從統(tǒng)計(jì)角度來講,摻雜的大包和小包的流量總會(huì)有一個(gè)較為穩(wěn)定的平均包長。在真實(shí)環(huán)境下,這個(gè)平均包長一般在300字節(jié)以上。 網(wǎng)絡(luò)上的攻擊流量的對(duì)象以小包為主,也就是說,如果流量中出現(xiàn)大量攻擊流量,則意味著小包會(huì)突然增多,從而降低了平均包長,在混雜攻擊流量的情況下,流量的平均包長一般小于200字節(jié)。這樣,就可以利用監(jiān)控平均包長的方式來發(fā)現(xiàn)異常流量的出現(xiàn)。在一個(gè)實(shí)施中,每2秒就計(jì)算一次流量的平均包長,并將該平均包長于預(yù)定包長進(jìn)行比較,如果發(fā)現(xiàn)小于200字節(jié)就表示網(wǎng)絡(luò)流量異常,從而生成并記錄警告信息。圖2示出了根據(jù)本發(fā)明的另一種網(wǎng)絡(luò)流量監(jiān)控方法的實(shí)施例。在圖2中步驟S200 計(jì)算CPU中的每個(gè)核所處理的流量。
步驟S202 判斷其中一個(gè)核的流量是否高于另一個(gè)核的流量的預(yù)定倍數(shù)。如果其中一個(gè)核所處理的流量高于另一個(gè)核所處理的流量的預(yù)定倍數(shù),則表示網(wǎng)絡(luò)中的流量出現(xiàn)異常,該方法進(jìn)行到步驟S204。如果每一個(gè)核所處理的流量不高于另一個(gè)核所處理的流量的預(yù)定倍數(shù),則經(jīng)過預(yù)定時(shí)間,該方法再次進(jìn)行步驟S200,也就是形成了一次循環(huán)。其中,預(yù)定時(shí)間優(yōu)選為2秒,當(dāng)然,也可以選擇為其他時(shí)間長度。步驟S204 生成并記錄告警信息??梢詫⒃摳婢畔⒋鎯?chǔ)在存儲(chǔ)器中并進(jìn)行其他處理。圖2示出的是從分流均衡性對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。針對(duì)萬兆流量,一般來說都會(huì)利用多隊(duì)列分流技術(shù),使得可以充分利用CPU的多核架構(gòu),這樣,每個(gè)CPU核處理的流量就非常有限了?,F(xiàn)在的分流方式都是通過IP的源目的地址進(jìn)行哈希(Hash)分流,這種分流方式基本上是固定。在實(shí)際情況下,從統(tǒng)計(jì)角度來看,這種方式能夠使得CPU的各個(gè)核所處理的流量基本相同,即基本上是均衡的。異常攻擊流量的一大特點(diǎn)是針對(duì)某一小片地址區(qū)域進(jìn)行大量的攻擊,從而造成在Hash過程中,某個(gè)核所處理的流量隊(duì)列中的流量中會(huì)遠(yuǎn)遠(yuǎn)多于其他隊(duì)列中的流量。這種不均衡就可以作為檢查是否出現(xiàn)攻擊流量的另一種方式。在一個(gè)實(shí)施例中,每2秒就計(jì)算每個(gè)隊(duì)列的流量,并將各個(gè)隊(duì)列之間進(jìn)行一次比較,如果某一個(gè)核所處理的流量高于另一個(gè)核所處理的流量的1. 5倍時(shí),則生成并記錄告警信息。在一個(gè)實(shí)施例中,可以將上述兩種方式結(jié)合起來對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。根據(jù)本申請(qǐng)所描述的網(wǎng)絡(luò)流量監(jiān)控方法,可以在零拷貝的基礎(chǔ)下對(duì)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控,能夠?qū)Χ喾N異常進(jìn)行監(jiān)控,從而為業(yè)務(wù)處理應(yīng)用中的錯(cuò)誤排查提供了更多的技術(shù)手段,并且整個(gè)過程簡(jiǎn)單快速,不會(huì)引入性能損耗,占用系統(tǒng)資源較少。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)流量監(jiān)控方法,包括步驟Sll 計(jì)算從所述網(wǎng)絡(luò)接收到的網(wǎng)絡(luò)數(shù)據(jù)包的平均包長;以及步驟S12 如果所述平均包長小于預(yù)定包長,則表示所述網(wǎng)絡(luò)流量異常。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述步驟S12進(jìn)一步包括 如果所述平均包長不小于所述預(yù)定包長,則經(jīng)過預(yù)定時(shí)間再次執(zhí)行步驟S11。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述預(yù)定包長為200字節(jié)。
4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述預(yù)定時(shí)間為2秒。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,進(jìn)一步包括 步驟S21 計(jì)算CPU中的每個(gè)核所處理的流量;以及步驟S22 如果其中一個(gè)核所處理的流量高于另一個(gè)核所處理的流量的預(yù)定倍數(shù),則表示所述網(wǎng)絡(luò)流量異常。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述步驟S22進(jìn)一步包括 如果每個(gè)核所處理的流量都不高于其他核所處理的流量的預(yù)定倍數(shù),則經(jīng)過預(yù)定時(shí)間再次執(zhí)行步驟S21。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述預(yù)定倍數(shù)為1.5倍。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述預(yù)定時(shí)間為2秒。
9.根據(jù)權(quán)利要求1或5所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,進(jìn)一步包括如果所述網(wǎng)絡(luò)流量異常,則生成并記錄告警信息。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)流量監(jiān)控方法,其特征在于,所述網(wǎng)絡(luò)流量為萬兆流量。
全文摘要
本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)流量監(jiān)控方法,包括步驟S11計(jì)算從網(wǎng)絡(luò)接收到的網(wǎng)絡(luò)數(shù)據(jù)包的平均包長;以及步驟S12如果平均包長小于預(yù)定包長,則表示所述網(wǎng)絡(luò)流量異常。通過本申請(qǐng)所描述的網(wǎng)絡(luò)流量監(jiān)控方法,可以在零拷貝的基礎(chǔ)下對(duì)網(wǎng)絡(luò)中的流量進(jìn)行監(jiān)控,能夠?qū)Χ喾N異常進(jìn)行監(jiān)控,從而為業(yè)務(wù)處理應(yīng)用中的錯(cuò)誤排查提供了更多的技術(shù)手段,并且整個(gè)過程簡(jiǎn)單快速,不會(huì)引入性能損耗,占用系統(tǒng)資源較少。
文檔編號(hào)H04L12/26GK102546310SQ20121004504
公開日2012年7月4日 申請(qǐng)日期2012年2月23日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者萬偉, 劉興彬, 劉鐵, 孫一鳴, 曹振南, 朱春屹, 李云華, 李博文, 楊錦濤, 王潑, 王清, 范玉峰, 董建珊, 邵宗有, 陳科 申請(qǐng)人:曙光信息產(chǎn)業(yè)股份有限公司