本发明专利技术公开了一种基于可编程模型的多维融合网络监测方法,主要通过在路由交换设备对网络信息进行预处理,减少了其与网络监测软件间所传输的IP报文大小,且又满足了业务模型报文的识别需求;通过对IP报文全字节自定义进行编程形成模型,满足了用户对网络监测业务数据的定制化需求;通过网络身份特征将业务模型的监测结果与网络节点监测结果等基于IP的进行融合,实现了在IP数据监测视角能够发现所含的业务模型信息,业务模型监测视角下能够含有所监测的IP数据监测信息,实现了在不同角度下的网络监测分析。
A multi-dimensional fusion network monitoring method based on programmable model
【技术实现步骤摘要】
一种基于可编程模型的多维融合网络监测方法
本专利技术涉及一种网络监测方法,尤其涉及一种基于可编程模型的多维融合网络监测方法。
技术介绍
随着网络规模的扩大,网络信息量也快速增长,该信息是记录和反映网络情况的重要载体,通过对网络信息的监测,可以获取网络的状态及性能数据,从而有效的对网络中存在的问题进行及时整改。近年来,许多大型研究项目组在网络状态的监测方面做了深入研究,其中比较著名的项目包括UCBerkeley的科学家对Internet进行的两次长达三个月的大规模监测,其改进的国际网络测量平台(NationalInternetMeasurementInfrastructure,NIMI)被许多国家广泛应用。目前,我们接触比较多的网络监测方法主要有三种,一种是使用ICMP协议通过对目标主机进行连通性测试来监测与目标主机的连通状态信息;另外一种是通过路由交换设备内置的软件进行监测分析,采用专业管理软件或者WEB访问设备的方式来呈现交换设备监测数据;还有一种是通过在路由交换设备上配置路由策略,将通过该设备的IP报文复制镜像并转发到指定目的计算机上,目的计算机通过监听网卡,来实现对网络信息的监测。综上所述的第三种监测方法,主要是通过对网络信息进行抓取分析,其中分析的过程需要建立流量模型,常见的监测系统模型一般设计为按网络报文IP首部各字段类型来统计分析,从而呈现各种针对数据协议类型、端口号、指定IP地址的网络数据,并进行可视化呈现。但是在当前大数据、海量数据的时代,使用IP首部的字段类型来归类分析的方法是比较宏观的,无法针对具体的网络业务进行分析,往往一些重要的业务类型数据存放于IP报文的数据部分。因此,我们需要对IP报文数据部分的特征进行建模,才能够有效的区分各种网络业务信息。比如,当用户需要区分最近1分钟内用户所传输的北斗短报文数据在网络中的通信流量,那么我们就需要对IP业务进行建模。在网络信息监测中,对应所抓取网络数据流量的触发者,往往是一些特定的业务对象,对于该种类型的数据流量,其产生者一般是由IP进行标识,用户往往不关心IP,而关心的是触发该种流量的具体对象,所以该对象应该用它的身份信息来显示。对于某个对象,它在网络中具体产生了什么业务流量,对于某个业务的流量监测信息,它在网络中具体有哪些对象在触发,也是用户所关心的,这些监测分析视角是一些不同的监测纬度。对于上述精准的网络监测,目前并未有完整的解决方法来实现。因此需要研究出一种高效灵活的监测方法,来实现网络监测模型的可编程化与多视角信息的可视化呈现。
技术实现思路
针对
技术介绍
提出的问题,本专利技术设计了一种基于可编程模型的多维融合网络监测方法,主要通过在路由交换设备处设置监测代理来实现对网络数据报文的预先处理,然后将处理过的数据报文转发至网络监测软件,该过程减少了路由交换设备与检测软件之间交互的数据量;通过在监测端自定义生成的可编程的监测模型,可对IP报文进行全字节模型匹配;通过网络身份特征对信息进行相互关联,实现了从节点、业务模型等多维度对网络进行全方面监测呈现。其主要过程为:第一步:根据实际的需求,对网络业务模型进行编程,设置一组或多组IP字节位置及对应位置数据值的模型矩阵;第二步:由网络监测软件制定监测业务模型,制定完成后通过网络协议将业务模型发送到路由交换设备中;第三步:路由交换设备抓取通过该设备的网络端产生的网络数据;第四步:路由交换设备对抓取到的IP报文进行业务模型匹配,匹配出满足业务模型的IP报文,复制匹配一致的IP报文,并将其数据部分赋值为模型名称;复制未匹配到模型的IP报文,并将其IP数据部分的内容赋值为空;第五步:将复制的IP报文转发至网络监测软件;第六步:采用IP报文的身份特征(MAC/IP)做标识,将节点和业务模型信息相互关联。本专利技术的有益技术效果是:通过在路由交换设备中对网络信息进行预处理,减少了与网络监测软件间所传输的IP报文大小,且又满足了业务模型报文的识别需求;通过对IP报文全字节自定义的模型编程,满足了用户对网络监测业务数据部分监测内容的定制化监测需求;通过网络身份特征将业务模型的监测结果与网络节点等基于IP进行融合,实现了在IP数据监测视角能够发现所含的业务模型信息,业务模型监测视角下能够含有所监测的IP数据监测信息,实现了在不同角度下的数据监测分析。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本专利技术申请的一部分,本专利技术的实施例及说明用来介绍本专利技术,并不构成对本专利技术的不当限定,在附图中:附图1、根据本专利技术实施例的典型结构及信息流图;附图2、根据本专利技术实施例的网络业务模型构造图;附图3、根据本专利技术实施例的网络监测代理工作流程图;附图4、根据本专利技术实施例的网络监测信息多维融合示意图。具体实施方式在本专利技术的实施例中,包含了一种通过在路由交换设备中预先处理IP报文数据部分内容,压缩网络监测软件与路由交换设备中所传输的信息量;包含了一种对模型的编程化方法,可以灵活地对模型进行编程,满足不同用户对业务监测模型的定制化需求;包含了一种多维度融合分析方法,可以将网络业务模型的监测数据和节点的监测数据进行融合,进行多维的网络信息分析呈现,使用户可以更直观全面的了解网络。本专利技术实施例的典型结构及信息流图如附图1所示,由网络监测软件、路由交换设备、网络通过以太网互连构成的监测系统中,路由交换设备中新增监测代理软件,用以实现在数据链路层对IP报文进行数据处理及转发。其信息流主要有以下几步:第一步:由网络监测软件制定监测业务模型,制定完成后通过网络协议将业务模型发送到路由交换设备中;第二步:路由交换设备抓取通过该设备的网络端产生的网络数据;第三步:路由交换对抓取到的IP报文进行监测业务模型匹配,匹配出满足业务模型的IP报文,复制匹配一致的IP报文,并将其数据部分赋值为模型名称;复制未匹配到模型的IP报文,并将其IP数据部分的内容赋值为空;第四步:将复制的IP报文转发至网络监测软件;第五步:网络监测软件根据路由交换设备发送的IP报文进行统计分析。通过以上五个步骤,可以实现网络数据抓取到分析的全过程,在该过程中,网络监测软件将制定的业务模型传送给路由交换设备的监测代理,目的是为了减少路由交换设备复制转发的用以统计分析的IP报文的大小。路由交换设备内置的监测代理主要工作在数据链路层,将路由交换设备所收到的网络数据在该层进行处业务模型匹配及转发处理,该模型不影响原有的数据转发策略。本专利技术实施例的网络业务模型构造如附图2所示,根据准备监测的网络业务的IP报文特征,对IP报文对应字节位置和相应的字段值进行设置,可以为多组监测值,添加设置后即完成监测业务模型的构建。例如,定制一个TCP流量模型:报文的前14个字节是MAC头部信息,总长度为14字节,报文的第24个字节的协议类型设置为6;报文中第47个字节和第48个字节存放源端口号信息;第49个字节和第50个字节存放目的端口信息;第51-54个字节存放报文段序号信息;第55-58个字节存放确认号信息,即期望收到对方下一个报文段的第一个数据字节的序号;第59-60个字节存放数据偏移信息和紧急URG等;第61-62个字节存放窗口信息,作为接收方让发送方设置其发送窗口的依据;第63-64个字节存本文档来自技高网...
【技术保护点】
1.一种基于可编程模型的多维融合网络监测方法,其特征在于:实现了在路由交换设备中设置监测代理,用来对网络数据报文进行预先处理,并将处理后的数据报文转发至网络监测软件,减少了路由交换设备与检测软件之间交互的数据量;通过在监测端自定义生成可编程的监测模型,可对IP报文进行全字节模型匹配;通过网络身份特征对所检测的节点和业务模型数据相互关联,实现了从节点、业务模型等多维度对网络监测数据进行呈现,其主要过程为:第一步:根据实际的需求,对网络业务模型进行编程,设置一组或多组IP字节位置及对应位置数据值的模型矩阵;第二步:由网络监测软件制定监测业务模型,制定完成后通过网络协议将业务模型发送到路由交换设备中;第三步:路由交换设备抓取通过该设备的网络数据;第四步:路由交换设备对抓取到的IP报文进行业务模型匹配,匹配出满足业务模型的IP报文,复制匹配一致的IP报文,并将其数据部分赋值为模型名称,复制未匹配到模型的IP报文,并将其IP数据部分的内容赋值为空;第五步:将复制的IP报文转发至网络监测软件;第六步:采用IP报文的身份特征(MAC/IP)做标识,将节点和业务模型信息相互关联。
【技术特征摘要】
1.一种基于可编程模型的多维融合网络监测方法,其特征在于:实现了在路由交换设备中设置监测代理,用来对网络数据报文进行预先处理,并将处理后的数据报文转发至网络监测软件,减少了路由交换设备与检测软件之间交互的数据量;通过在监测端自定义生成可编程的监测模型,可对IP报文进行全字节模型匹配;通过网络身份特征对所检测的节点和业务模型数据相互关联,实现了从节点、业务模型等多维度对网络监测数据进行呈现,其主要过程为:第一步:根据实际的需求,对网络业务模型进行编程,设置一组或多组IP字节位置及对应位置数据值的模型矩阵;第二步:由网络监测软件制定监测业务模型,制定完成后通过网络协议将业务模型发送到路由交换设备中;第三步:路由交换设备抓取通过该设备的网络数据;第四步:路由交换设备对抓取到的IP报文进行业务模型匹配,匹配出满足业务模型的IP报文,复制匹配一致的IP报文,并将其数据部分赋值为模型名称,复制未匹配到模型的IP报文,并将其IP数据部分的内容赋值为空;第五步:将复制的IP报文转发至网络监测软件;第六步:采用IP报文的身份特征(MAC/IP)做标识,将节点和业务模型信息相互关联。2.根据权利要求1所述的一种基于可编程模型的多维融合网络监测方法,其特征在于:路由交换设备中新增监测代理软件,工作在...
【专利技术属性】
技术研发人员:莫皓颖,周继华,户江民,董帅,曾康娟,彭湖,赵涛,彭汝凤,张伟,陈柯,吉蓬荣,王均春,徐乐勇,
申请(专利权)人:重庆金美通信有限责任公司,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。