CN102223261A - 一种针对报文进行采样的方法及装置 - Google Patents
一种针对报文进行采样的方法及装置 Download PDFInfo
- Publication number
- CN102223261A CN102223261A CN2011101272955A CN201110127295A CN102223261A CN 102223261 A CN102223261 A CN 102223261A CN 2011101272955 A CN2011101272955 A CN 2011101272955A CN 201110127295 A CN201110127295 A CN 201110127295A CN 102223261 A CN102223261 A CN 102223261A
- Authority
- CN
- China
- Prior art keywords
- message
- sampling
- threshold value
- characteristic information
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种针对报文进行采样的方法及装置,所述方法包括以下步骤:端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;端口接收到报文时,随机产生一个随机值;当所述随机值大于所述门限值时,对所述报文进行采样。本发明通过从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。
Description
技术领域
本发明涉及通讯技术领域,特别是涉及一种针对报文进行采样的方法及装置。
背景技术
随着网络的快速发展以及相关网络应用的普及,互联网已成为人们日常工作生活中必不可缺的一部分。然而,网络上形形色色的异常流量和病毒攻击也随之而来,影响到正常业务运行和用户的个人信息的安全。因此,网络监控技术应运而生,它对网络管理、网络安全以及流量监测的作用都很重要,需要及时将网络出现的异常流量提供给专业的网管,进行下一步的预防和处理,以保证网络的正常运行。现有的流采样(SFLOW,Sampled Flow)技术可以针对进入或流出某个端口、VLAN(Virtual Local Area Network,虚拟局域)或某块线卡的所有业务流量,按照预先设定的采样率进行采样,并将采样报文发往分析端。SFLOW技术内嵌于网络处理器内部,完全由硬件完成,不会对网络处理器的线速处理本身有任何影响;而且SFLOW也是按照一定的采样率进行采样,不会将无关报文送至分析端,一定程度上减少了分析端的过多负担。但是,这种技术的缺陷是:采样的数据流是针对进出某个端口,或属于某个VLAN,或是整块线卡的所有流量,不能对某种类型的业务流进行定期的监控。在实际应用中,当设备间开启检测协议时,如快速CFM(Connectivity Fault Management,连接故障管理)或BFD(Bidirectional Forwarding Detection,双向转发检测),检测报文每隔3.3ms发送一个,此时采样得到的往往可能都是检测报文,不能实时捕捉到想要检测的数据报文,因而不具备参考价值。
发明内容
本发明要解决的技术问题是提供一种针对报文进行采样的方法及装置,用以解决现有技术中采样得到的可能都是检测报文,不能实时捕捉到想要检测的数据报文的问题。
为解决上述技术问题,一方面,本发明提供一种针对报文进行采样的方法,所述方法包括以下步骤:
端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
端口接收到报文时,随机产生一个随机值;
当所述随机值大于所述门限值时,对所述报文进行采样。
进一步,根据所述特征信息,获取与所述报文对应的预先设定门限值,具体包括以下步骤:
根据所述特征信息,确定逻辑端口表索引;
根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
进一步,对所述报文进行采样,具体为:
复制所述报文,将所述复制报文发送给分析处理装置处理。
进一步,所述门限值根据预先设定的采样率进行确定。
进一步,所述特征信息为以下各项中的一项或多项:
报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
另一方面,本发明还提供一种针对报文进行采样的装置,所述装置包括:
门限值获取单元,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
随机值产生单元,用于在端口接收到报文时,随机产生一个随机值;
采样单元,用于当所述随机值大于所述门限值时,对所述报文进行采样。
进一步,所述门限值获取单元进一步包括:
逻辑端口表索引确定子单元,用于根据所述特征信息,确定逻辑端口表索引;
门限值索引获取子单元,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
门限值获取子单元,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
进一步,所述采样单元包括:
复制子单元,用于复制所述报文;
发送子单元,用于将所述复制报文发送给分析处理装置处理。
进一步,所述门限值根据预先设定的采样率进行确定。
进一步,所述特征信息为以下各项中的一项或多项:
报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
本发明有益效果如下:
本发明通过从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。
附图说明
图1是本发明实施例中一种针对报文进行采样的方法的流程图;
图2是本发明实施例中一种针对报文进行采样的装置的结构示意图;
图3是本发明实施例中另一种针对报文进行采样的装置的结构示意图。
具体实施方式
为了解决现有技术中采样得到的可能都是检测报文,不能实时捕捉到想要检测的数据报文的问题,本发明提供了一种针对报文进行采样的方法及装置,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
如图1所示,本发明实施例涉及一种针对报文进行采样的方法,包括以下步骤:
步骤S101,端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
本步骤中,具体包括以下步骤:
步骤S1011,根据端口接收的报文,提取其特征信息,并确定逻辑端口表索引。端口收到的数据流,既包括数据报文,也包括检测报文。
需要说明的是,报文的特征信息包括以下各项中的一个或多个:报文进入的端口(PORT)信息、报文携带的VLAN信息(包含单层TAG或双层TAG的情况)、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号等。特征信息的提取工作分为两个阶段:一是解析报文中的特征信息,解析出来的特征信息可能并不一定都会被提取,具体提取报文中的哪些特征信息,要结合当前所需进行的报文转发流程进行选择;二是将报文送入相应的转发处理流程,并提取其中一个或几个特征信息作为逻辑端口(LOGIC PORT)表的索引。比如,对于一个二层转发的报文,需要获取报文进入的PORT信息以及携带的VLAN信息;对于一个普通三层转发的报文,需要获取报文的目的IP;对于一个标签转发的报文,需要获取报文中携带的标签信息。
步骤S1012,根据提取的逻辑端口表的索引,查找逻辑端口表,获得采样门限值的索引。
具体而言,引入逻辑端口表的概念,目的就是将原先进入端口的各种业务的数据按照其所含的特征信息进行分类,并以此作为索引创建逻辑端口表。这样不同的报文,就对应有不同的逻辑端口表,每条业务流对应的逻辑端口表都是唯一的。
步骤S1013,根据获得的采样门限值索引,查找采样门限设定表,获得一个阈值(即采样门限值,简称门限值)。
采样门限设定表是预先设定好的,首先根据采样率设置采样门限值,然后根据采样门限值配置采样门限设定表。采样门限值的设定是根据预先设定的采样率并按照一定的规则来确定的,采样率不同,门限值设定的也不同。一定规则,是指采样率与采样门限值之间的换算规则,该规则可以根据不同的报文或不同的系统设置不同。采样率表示每隔多少个报文,进行一次采样行为。
当不进行采样时,通常将采样门限值设置为为一个32位的最大值,即0xFFFFFFFF。
步骤S102,端口接收到报文时,随机产生一个随机值;
本步骤中,端口接收到每个报文,会触发生成一个32位的随机值。该随机值是硬件按随机算法生成。硬件通常为具有该功能的芯片即可。随机算法与采样率进行关联,需要在保证采样率的前提采用的任意的随机算法,产生随机值。
步骤S103,当所述随机值大于所述门限值时,对所述报文进行采样。
本步骤中,将得到的随机值和采样门限值进行比较,如果随机值大于门限值,则需对该报文进行采样,具体步骤是:复制该报文,将复制后的报文送至分析处理装置处理;如果随机值小于等于门限值,则不需进行采样处理。
具体而言,当没有开启采样功能时,随机值恒小于或等于门限值,则不会对报文进行采样;当开启采样功能,并设定一定的采样率后,相应地,会设定一个门限值,则当随机值大于门限值时,对该报文进行采样。
由于本专利的主要目的在于对报文的采样,因此,对报文采样后的处理,任何分析处理方法均可,例如,通过对报文中的信息进行提取分析,用于进行流量判断、数据包是否丢失,数据包转发是否出错,以及针对上述情况的相应处理。在此,本专利不再详细描述。
需要说明的是,对原始报文进行复制,将复制的报文采样至分析处理装置处理,在此过程中对原始报文的正常转发过程不产生影响。
由上述描述可见,上述实施例针对指定数据流进行采样的方法,在保证不影响到正常数据转发的前提下,能对进入系统的报文根据其特征信息进行采样,具有明确的目的性和针对性,避免了大量无关报文的干扰,减轻了分析终端的分析和处理的复杂度。
另外,如图2所示,本发明实施例还涉及一种实现上述方法的针对报文进行采样的装置,所述装置包括:
门限值获取单元201,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
随机值产生单元202,用于在端口接收到报文时,随机产生一个随机值;
采样单元203,用于当所述随机值大于所述门限值时,对所述报文进行采样。
为达更佳技术效果,本发明实施例还涉及一种实现上述方法的针对报文进行采样的装置,所述装置包括:
门限值获取单元301,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值。门限值根据预先设定的采样率进行确定。所述特征信息为以下各项中的一项或多项:报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
随机值产生单元302,用于在端口接收到报文时,随机产生一个随机值。随机值产生单元302是嵌入到系统内部的,每个报文进入系统后,都会访问该模块,并触发硬件按随机算法返回一个32位的随机值。
采样单元303,用于当所述随机值大于所述门限值时,对所述报文进行采样。
其中,门限值获取单元301进一步包括:
逻辑端口表索引确定子单元3011,用于根据所述特征信息,确定逻辑端口表索引;
门限值索引获取子单元3012,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
门限值获取子单元3013,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
采样单元303还包括:
复制子单元3031,用于复制所述报文;采样单元303判定随机值大于门限值时,会产生一个报文复制消息通知复制子单元3031将原始报文复制一份;
发送子单元3032,用于将所述复制报文发送给分析处理装置处理。
由于本专利的主要目的在于对报文的采样,因此,分析处理装置处理对报文采样后的处理,任何分析处理方法均可,例如,通过对报文中的信息进行提取分析,用于进行流量判断、数据包是否丢失,数据包转发是否出错,以及针对上述情况的相应处理。在此,本专利不再详细描述。
由上述实施例可以看出,本发明实施例根据收到的数据报文,提取报文中的特征信息,使用特征信息作为逻辑端口的索引,获取逻辑端口表中对应的采样门限索引,根据得到的门限值和相应触发硬件而得到的随机值比较的结果,来决定是否对该报文进行采样并送至分析端。可以从大量进入系统的报文中,提取到需要监测的报文的特征信息,针对某种业务的报文进行采样,按照一定的采样率将报文送至分析终端进行处理,可以减少大量数据报文给分析端带来的冲击,避免无关流量带来的影响,并对正常转发的原始报文不会带来任何影响;同时,也大大降低了分析端分析和处理的复杂度。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。
Claims (10)
1.一种针对报文进行采样的方法,其特征在于,所述方法包括以下步骤:
端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
端口接收到报文时,随机产生一个随机值;
当所述随机值大于所述门限值时,对所述报文进行采样。
2.如权利要求1所述的针对报文进行采样的方法,其特征在于,根据所述特征信息,获取与所述报文对应的预先设定门限值,具体包括以下步骤:
根据所述特征信息,确定逻辑端口表索引;
根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
3.如权利要求1或2所述的针对报文进行采样的方法,其特征在于,对所述报文进行采样,具体为:
复制所述报文,将所述复制报文发送给分析处理装置处理。
4.如权利要求1所述的针对报文进行采样的方法,其特征在于,所述门限值根据预先设定的采样率进行确定。
5.如权利要求1所述的针对报文进行采样的方法,其特征在于,所述特征信息为以下各项中的一项或多项:
报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
6.一种针对报文进行采样的装置,其特征在于,所述装置包括:
门限值获取单元,用于在端口接收到报文时,提取所述报文的特征信息,根据所述特征信息,获取与所述报文对应的预先设定门限值;
随机值产生单元,用于在端口接收到报文时,随机产生一个随机值;
采样单元,用于当所述随机值大于所述门限值时,对所述报文进行采样。
7.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述门限值获取单元进一步包括:
逻辑端口表索引确定子单元,用于根据所述特征信息,确定逻辑端口表索引;
门限值索引获取子单元,用于根据所述逻辑端口表索引,查找逻辑端口表,获取采样门限值索引;
门限值获取子单元,用于根据所述采样门限值索引,查找采样门限设定表,获取所述门限值。
8.如权利要求6或7所述的针对报文进行采样的装置,其特征在于,所述采样单元包括:
复制子单元,用于复制所述报文;
发送子单元,用于将所述复制报文发送给分析处理装置处理。
9.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述门限值根据预先设定的采样率进行确定。
10.如权利要求6所述的针对报文进行采样的装置,其特征在于,所述特征信息为以下各项中的一项或多项:
报文进入的端口信息、报文携带的VLAN信息、VLAN优先级信息、转发标签信息、报文的源MAC地址和目的MAC地址、IP源地址和目的地址、TCP端口号。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101272955A CN102223261A (zh) | 2011-05-17 | 2011-05-17 | 一种针对报文进行采样的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101272955A CN102223261A (zh) | 2011-05-17 | 2011-05-17 | 一种针对报文进行采样的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102223261A true CN102223261A (zh) | 2011-10-19 |
Family
ID=44779694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101272955A Pending CN102223261A (zh) | 2011-05-17 | 2011-05-17 | 一种针对报文进行采样的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223261A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
| WO2016161713A1 (zh) * | 2015-04-10 | 2016-10-13 | 中兴通讯股份有限公司 | 路由设备中数据流分析的方法、装置及路由设备 |
| CN106230660A (zh) * | 2016-07-29 | 2016-12-14 | 锐捷网络股份有限公司 | sFlow采样的方法及装置 |
| CN110430101A (zh) * | 2019-08-28 | 2019-11-08 | 杭州领智云画科技有限公司 | 应用于cdn的服务指标数据采集方法、装置、设备及系统 |
| CN112422360A (zh) * | 2020-10-14 | 2021-02-26 | 锐捷网络股份有限公司 | 一种报文采样方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1603273A1 (en) * | 2004-06-04 | 2005-12-07 | Lucent Technologies Inc. | Accelerated per-flow traffic estimation |
| CN1909510A (zh) * | 2006-07-21 | 2007-02-07 | 华为技术有限公司 | 一种网络上随机包间隔采样的方法和系统 |
| CN101188607A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 基于网络处理器的dslam设备防止协议包攻击的方法 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101800699A (zh) * | 2010-02-09 | 2010-08-11 | 上海华为技术有限公司 | 一种丢弃报文的方法及装置 |
-
2011
- 2011-05-17 CN CN2011101272955A patent/CN102223261A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1603273A1 (en) * | 2004-06-04 | 2005-12-07 | Lucent Technologies Inc. | Accelerated per-flow traffic estimation |
| CN1909510A (zh) * | 2006-07-21 | 2007-02-07 | 华为技术有限公司 | 一种网络上随机包间隔采样的方法和系统 |
| CN101188607A (zh) * | 2006-11-17 | 2008-05-28 | 中兴通讯股份有限公司 | 基于网络处理器的dslam设备防止协议包攻击的方法 |
| CN101286996A (zh) * | 2008-05-30 | 2008-10-15 | 北京星网锐捷网络技术有限公司 | 一种风暴攻击抵抗方法与装置 |
| CN101800699A (zh) * | 2010-02-09 | 2010-08-11 | 上海华为技术有限公司 | 一种丢弃报文的方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103997439A (zh) * | 2014-06-04 | 2014-08-20 | 腾讯科技(深圳)有限公司 | 一种流量监测方法、装置和系统 |
| WO2016161713A1 (zh) * | 2015-04-10 | 2016-10-13 | 中兴通讯股份有限公司 | 路由设备中数据流分析的方法、装置及路由设备 |
| CN106161129A (zh) * | 2015-04-10 | 2016-11-23 | 中兴通讯股份有限公司 | 路由设备中数据流分析的方法、装置及路由设备 |
| CN106161129B (zh) * | 2015-04-10 | 2019-09-13 | 南京中兴新软件有限责任公司 | 路由设备中数据流分析的方法、装置及路由设备 |
| CN106230660A (zh) * | 2016-07-29 | 2016-12-14 | 锐捷网络股份有限公司 | sFlow采样的方法及装置 |
| CN106230660B (zh) * | 2016-07-29 | 2019-06-14 | 锐捷网络股份有限公司 | sFlow采样的方法及装置 |
| CN110430101A (zh) * | 2019-08-28 | 2019-11-08 | 杭州领智云画科技有限公司 | 应用于cdn的服务指标数据采集方法、装置、设备及系统 |
| CN112422360A (zh) * | 2020-10-14 | 2021-02-26 | 锐捷网络股份有限公司 | 一种报文采样方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
| Shirali-Shahreza et al. | Flexam: Flexible sampling extension for monitoring and security applications in openflow | |
| CN106506242B (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
| Dharma et al. | Time-based DDoS detection and mitigation for SDN controller | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN109768981B (zh) | 一种在sdn架构下基于机器学习的网络攻击防御方法和系统 | |
| WO2009135396A1 (zh) | 网络攻击处理方法、处理装置及网络分析监控中心 | |
| CN113904862A (zh) | 分布式列车控制网络入侵检测方法、系统、存储介质 | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| TW202019127A (zh) | 異常流量偵測裝置及其異常流量偵測方法 | |
| CN110430191A (zh) | 调度数据网中基于协议识别的安全预警方法及装置 | |
| CN107770132A (zh) | 一种对算法生成域名进行检测的方法及装置 | |
| CN102223261A (zh) | 一种针对报文进行采样的方法及装置 | |
| CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| Sharma et al. | A new labeled flow-based DNS dataset for anomaly detection: PUF dataset | |
| Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
| CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
| CN104917628B (zh) | 一种以太网路由器/交换机丢包故障自动诊断方法 | |
| Wang et al. | Honeynet construction based on intrusion detection | |
| CN104320305A (zh) | 一种网络设备转发业务监控方法及系统 | |
| KR102044181B1 (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
| Hu et al. | Real-time internet traffic identification based on decision tree | |
| KR20170081543A (ko) | 상황 정보 기반 이상징후 탐지 장치 및 방법 | |
| US20230261940A1 (en) | Network Intention Monitoring Method, Network Intention Monitoring System, and Storage Medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111019 |