本申请公开了一种实现流量分析的方法及装置,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并反馈给用户。本发明专利技术通过将流信息采集报文在本地设备上按照分类规则进行分类后,确定相应的信息流,对各信息流在内存中聚合,获得相应的分析结果,使用户可以在本地设备上进行流信息采集报文进行即时的网络问题分析。另外,通过实时分析原始报文,实现了实时查看原始报文的功能。
【技术实现步骤摘要】
本申请涉及流量分析技术,尤指一种对路由器或交换机设备实现流量分析的方法及装置。
技术介绍
目前,对路由器或者交换机设备,进行流量分析的技术有IP数据流信息输出(IPFIX) ,SFL0ff(SFL0ff 是由 InMon、HP 和 FoundryNetworks 于 2001 年联合开发的一种网络监测技术,它采用数据流随机采样技术,可提供完整的第二层到第四层,甚至全网络范围内的流量信息,可以适应超大网络流量(如大于lOGbit/s)环境下的流量分析,让用户详细、实时地分析网络传输流的性能、趋势和存在的问题)等。这些技术都要求将采集的流信息输出到外部服务器中,由外部服务器存储历史流信息的分析结果,供用户查询使用。然而对于某些流量较少的网络,部署外部服务器是昂贵的,而且用户希望可以在本地设备上直接查询到历史流量的分析结果,而不是登陆到外部服务器上。另外,IPFIX等流量分析技术虽然可以提供全面完整的分析结果,但是需要将采集的原始报文汇聚为流信息再发送给外部服务器分析,导致用户无法察看到采集的原始报文内容。这影响了设备操作者在本地设备上察看实时的采集报文内容,不便于在网络出现问题时,即时的分析出是由哪些报文引起了网络问题。综上,目前的流量分析技术,对流量较少的网络,部署外部服务器昂贵;并且,需要登录到外部服务器才可以进行历史流量的分析结果查询,不便于设备操作者的工作;另外,虽然外部服务器可以全面完整的分析流信息,但是,用户无法查看采集的原始报文内容,不便于在网络出现问题时,即时的分析网络问题。
技术实现思路
为了解决上述问题,本专利技术提供一种实现流量分析的方法及装置,能够通过本地设备对流信息采集报文按照需求进行即时的分析,便于查看分析结果。为了达到本专利技术的目的,本申请提供一种实现流量分析的方法;包括:按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝Deny的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。进一步地,该方法之前还包括:获取所述流量信息;包括:获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。进一步地,获取流信息采集报文包括:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文;或,复制输出到外部服务器的流信息采集报文。进一步地,分类策略包括:ACL规则。进一步地,该方法之前还包括:预先设置流量信息的流字段;流字段至少包括:字节数、报文数、起始时间和终止时间,以及,和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。进一步地,对预设时长内的各信息流,按照第一预设周期在内存中进行聚合获得流信息的分析结果具体包括:对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。进一步地,该方法还包括:对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。进一步地,对存储到永久性存储空间的分析结果,该方法还包括:按照第二预设周期,对最新存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。进一步地,该方法还包括:实时采集第一阈值个数的原始报文;对采集的原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;原始报文相关参数至少包括:IP地址、端口号;原始报文为:与获取的流信息采集报文对应的原始报文。另一方面,本申请还提供一种实现流量分析的装置,设置在本地设备上,包括:分类单元、信息流单元和分析处理单元;其中,分类单元,用于按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息;信息流单元,用于根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;分析处理单元,用于对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。进一步地,该装置还包括采集提取单元,用于获取所述流量信息;具体用于,获取流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。进一步地,采集提取单元具体用于:直接采用IPFIX协议获取需要进行流量分析的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息;或,复制输出到外部服务器的流信息采集报文,并从获得的流信息采集报文中提取所述流量信息。进一步地,该装置还包括分类设置单元,用于设置分类策略;分类策略包括:ACL规则。进一步地,该装置还包括流字段设置单元,用于预先设置所述流量信息的流字段;流字段至少包括:字节数、报文数、起始时间和终止时间,以及,和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。进一步地,分析处理单元具体用于,对于每一个信息流,以所述第一预设周期中信息流中时间最小的时间作为所述起始时间和时间最晚的时间为所述终止时间,在内存中进行聚合,对聚合后的流字节数和报文数进行累加,获得流信息的分析结果。进一步地,该装置还包括存储单元,存储单元包含存储模块,用于对超出所述预设时长的分析结果,按照第二预设周期存储到永久性存储空间。进一步地,存储单元还包括聚合处理模块,用于对所述存储到永久性存储空间的分析结果,按照第二预设周期,对最新存储到所述存储到永久性存储空间的分析结果,与之前存储的分析结果进行聚合处理。进一步地,该装置还包括原始报文分析单元,具体包括原始报文采集模块和分析反馈模块:其中,原始报文采集模块,用于实时采集第一阈值个数的原始报文;分析反馈模块,用于对采集的所述原始报文进行解析,获得用户所需的原始报文相关参数并反馈给用户;原始报文相关参数至少包括:IP地址、端口号;原始报文为:与获取的流信息采集报文对应的原始报文。与现有技术相比,本专利技术提供的技术方案,包括:在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许(Permit)的流量信息、拒绝(Deny)的流量信息和不确定(Unknow)的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种实现流量分析的方法,其特征在于,在本地设备上,按照预先设置的分类策略对流量信息进行分类:准许Permit的流量信息、拒绝Deny的流量信息和不确定Unknow的流量信息;根据流量信息的流字段,确定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相应的信息流;对预设时长内的各信息流分别按照第一预设周期在内存中进行聚合,获得各流信息的分析结果,并将分析结果反馈给用户。
【技术特征摘要】
【专利技术属性】
技术研发人员:褚鹏鸿,胡军,赵川,刘君亮,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。