CN102546310A - 网络流量监控方法 - Google Patents
网络流量监控方法 Download PDFInfo
- Publication number
- CN102546310A CN102546310A CN2012100450447A CN201210045044A CN102546310A CN 102546310 A CN102546310 A CN 102546310A CN 2012100450447 A CN2012100450447 A CN 2012100450447A CN 201210045044 A CN201210045044 A CN 201210045044A CN 102546310 A CN102546310 A CN 102546310A
- Authority
- CN
- China
- Prior art keywords
- network
- monitoring method
- flow monitoring
- network flow
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络流量监控方法,包括:步骤S11:计算从网络接收到的网络数据包的平均包长;以及步骤S12:如果平均包长小于预定包长,则表示所述网络流量异常。通过本申请所描述的网络流量监控方法,可以在零拷贝的基础下对网络中的流量进行监控,能够对多种异常进行监控,从而为业务处理应用中的错误排查提供了更多的技术手段,并且整个过程简单快速,不会引入性能损耗,占用系统资源较少。
Description
技术领域
本发明基本上涉及网络传输领域,更具体地来说,涉及一种网络流量监控方法。
背景技术
在万兆流量处理领域,由于真实环境下流量的不确定性,会给应用处理带来很多影响。在捕包方面,网络问题主要体现在异常流量上。当出现异常流量的时候,会对系统的正确性检查带来很多困难。
现有技术公开了一种网络流量异常检测方法,包括:对用于检测的流量信号进行线调频小波变换,得到变换谱;将变换谱划分为至少两个频谱段;对各频谱段分别进行信号重构,利用偏离分数算法对重构后的信号进行运算,得到偏离分数:将所述偏离分数与预设门限进行比较,根据比较结果确定网络流量是否异常。
上述方法在一定程度上可以确定网络流量是否异常,但是过程复杂,需要对信号进行一系列的处理,占用资源较多。
发明内容
针对上述现有技术中所存在的缺陷,本发明提出了一种网络流量监控方法,通过本发明所提出的网络流量监控方法,解决了如何通过较少的计算,简单快速地判对于网络流量中的异常的技术问题。
本申请提供了一种网络流量监控方法,包括:步骤S11:计算从所述网络接收到的网络数据包的平均包长;以及步骤S12:如果所述平均包长小于预定包长,则表示所述网络流量异常。
在该网络流量监控方法中,所述步骤S12进一步包括:如果所述平均包长不小于所述预定包长,则经过预定时间再次执行步骤S11。
在该网络流量监控方法中,所述预定包长为200字节。
在该网络流量监控方法中,所述预定时间为2秒。
在该网络流量监控方法中,进一步包括:步骤S21:计算CPU中的每个核所处理的流量;以及步骤S22:如果其中一个核的流量高于另一个核的流量的预定倍数,则表示所述网络流量异常。
在该网络流量监控方法中,所述步骤S22进一步包括:如果每个核的流量都不高于其他核的流量的预定倍数,则经过预定时间再次执行步骤S21。
在该网络流量监控方法中,所述预定倍数为1.5倍。
在该网络流量监控方法中,所述预定时间为2秒。
在该网络流量监控方法中,进一步包括:如果所述网络流量异常,则生成并记录告警信息。
在该网络流量监控方法中,所述网络流量为万兆流量。
根据本申请中的网络流量监控方法,可以在零拷贝的基础下对网络中的流量进行监控,能够对多种异常进行监控,从而为业务处理应用中的错误排查提供了更多的技术手段,并且整个过程简单快速,不会引入性能损耗,占用系统资源较少。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1示出了根据本发明的一种网络流量监控方法的实施例;
图2示出了根据本发明的另一种网络流量监控方法的实施例。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本申请通过两种方式来对网络传输中的流量进行监控。图1和图2分别示出了上述两种方式。
图1示出了根据本发明的一种网络流量监控方法的实施例。在图1中:
步骤S100:计算从网络接收到的网络数据包的平均包长。其中,该平均包长优选为200字节,当然,也可以选择为其他长度。
步骤S102:对于平均包长和预定包长进行比较。如果平均包长小于预定包长,则表示网络中的流量出现异常,该方法进行到步骤S104。如果平均包长不小于预定包长,则经过预定时间,该方法再次进行步骤S100,也就是形成了一次循环。其中,预定时间优选为2秒,当然,也可以选择为其他时间长度。
步骤S104:生成并记录告警信息。可以将该告警信息存储在存储器中并进行其他处理。
图1所示出的是根据网络数据包平均包长进行监控。在真实流量环境中,网络数据包包括长度(即数据包所包括的字节数)较大的数据包(简称大包)和长度较小的数据包(简称小包),而一般来说,小包的长度在64字节以下,大包的长度在1024字节-1500字节之间。小包一般为TCP控制报文(TCP控制包),大包一般为实际传输的数据报文。在实际情况下,流量中的大包和小包的数量不固定,但从统计角度来讲,掺杂的大包和小包的流量总会有一个较为稳定的平均包长。在真实环境下,这个平均包长一般在300字节以上。网络上的攻击流量的对象以小包为主,也就是说,如果流量中出现大量攻击流量,则意味着小包会突然增多,从而降低了平均包长,在混杂攻击流量的情况下,流量的平均包长一般小于200字节。这样,就可以利用监控平均包长的方式来发现异常流量的出现。在一个实施中,每2秒就计算一次流量的平均包长,并将该平均包长于预定包长进行比较,如果发现小于200字节就表示网络流量异常,从而生成并记录警告信息。
图2示出了根据本发明的另一种网络流量监控方法的实施例。在图2中:
步骤S200:计算CPU中的每个核所处理的流量。
步骤S202:判断其中一个核的流量是否高于另一个核的流量的预定倍数。如果其中一个核所处理的流量高于另一个核所处理的流量的预定倍数,则表示网络中的流量出现异常,该方法进行到步骤S204。如果每一个核所处理的流量不高于另一个核所处理的流量的预定倍数,则经过预定时间,该方法再次进行步骤S200,也就是形成了一次循环。其中,预定时间优选为2秒,当然,也可以选择为其他时间长度。
步骤S204:生成并记录告警信息。可以将该告警信息存储在存储器中并进行其他处理。
图2示出的是从分流均衡性对网络流量进行监控。针对万兆流量,一般来说都会利用多队列分流技术,使得可以充分利用CPU的多核架构,这样,每个CPU核处理的流量就非常有限了。现在的分流方式都是通过IP的源目的地址进行哈希(Hash)分流,这种分流方式基本上是固定。在实际情况下,从统计角度来看,这种方式能够使得CPU的各个核所处理的流量基本相同,即基本上是均衡的。异常攻击流量的一大特点是针对某一小片地址区域进行大量的攻击,从而造成在Hash过程中,某个核所处理的流量队列中的流量中会远远多于其他队列中的流量。这种不均衡就可以作为检查是否出现攻击流量的另一种方式。在一个实施例中,每2秒就计算每个队列的流量,并将各个队列之间进行一次比较,如果某一个核所处理的流量高于另一个核所处理的流量的1.5倍时,则生成并记录告警信息。
在一个实施例中,可以将上述两种方式结合起来对网络流量进行监控。
根据本申请所描述的网络流量监控方法,可以在零拷贝的基础下对网络中的流量进行监控,能够对多种异常进行监控,从而为业务处理应用中的错误排查提供了更多的技术手段,并且整个过程简单快速,不会引入性能损耗,占用系统资源较少。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络流量监控方法,包括:
步骤S11:计算从所述网络接收到的网络数据包的平均包长;以及
步骤S12:如果所述平均包长小于预定包长,则表示所述网络流量异常。
2.根据权利要求1所述的网络流量监控方法,其特征在于,所述步骤S12进一步包括:如果所述平均包长不小于所述预定包长,则经过预定时间再次执行步骤S11。
3.根据权利要求2所述的网络流量监控方法,其特征在于,所述预定包长为200字节。
4.根据权利要求3所述的网络流量监控方法,其特征在于,所述预定时间为2秒。
5.根据权利要求1所述的网络流量监控方法,其特征在于,进一步包括:
步骤S21:计算CPU中的每个核所处理的流量;以及
步骤S22:如果其中一个核所处理的流量高于另一个核所处理的流量的预定倍数,则表示所述网络流量异常。
6.根据权利要求5所述的网络流量监控方法,其特征在于,所述步骤S22进一步包括:如果每个核所处理的流量都不高于其他核所处理的流量的预定倍数,则经过预定时间再次执行步骤S21。
7.根据权利要求6所述的网络流量监控方法,其特征在于,所述预定倍数为1.5倍。
8.根据权利要求7所述的网络流量监控方法,其特征在于,所述预定时间为2秒。
9.根据权利要求1或5所述的网络流量监控方法,其特征在于,进一步包括:如果所述网络流量异常,则生成并记录告警信息。
10.根据权利要求9所述的网络流量监控方法,其特征在于,所述网络流量为万兆流量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012100450447A CN102546310A (zh) | 2011-12-31 | 2012-02-23 | 网络流量监控方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110459109 | 2011-12-31 | ||
CN201110459109.8 | 2011-12-31 | ||
CN2012100450447A CN102546310A (zh) | 2011-12-31 | 2012-02-23 | 网络流量监控方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102546310A true CN102546310A (zh) | 2012-07-04 |
Family
ID=46352312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012100450447A Pending CN102546310A (zh) | 2011-12-31 | 2012-02-23 | 网络流量监控方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102546310A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645884A (zh) * | 2009-08-26 | 2010-02-10 | 西安理工大学 | 基于相对熵理论的多测度网络异常检测方法 |
CN101808017A (zh) * | 2010-03-26 | 2010-08-18 | 中国科学院计算技术研究所 | 网络异常性指数定量计算方法和系统 |
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
CN102004673A (zh) * | 2010-11-29 | 2011-04-06 | 中兴通讯股份有限公司 | 多核处理器负载均衡的处理方法及系统 |
-
2012
- 2012-02-23 CN CN2012100450447A patent/CN102546310A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
CN101645884A (zh) * | 2009-08-26 | 2010-02-10 | 西安理工大学 | 基于相对熵理论的多测度网络异常检测方法 |
CN101808017A (zh) * | 2010-03-26 | 2010-08-18 | 中国科学院计算技术研究所 | 网络异常性指数定量计算方法和系统 |
CN102004673A (zh) * | 2010-11-29 | 2011-04-06 | 中兴通讯股份有限公司 | 多核处理器负载均衡的处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3577872B1 (en) | Method and attack detection function for detection of a distributed attack in a wireless network | |
CN108809757B (zh) | 一种系统告警方法、存储介质和服务器 | |
US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
US20190036963A1 (en) | Application-aware intrusion detection system | |
JP6220625B2 (ja) | 遅延監視システムおよび遅延監視方法 | |
CN109787816A (zh) | 业务故障定位方法、装置、设备及介质 | |
WO2014030061A4 (en) | Validating network traffic policy | |
US20170134400A1 (en) | Method for detecting malicious activity on an aircraft network | |
CN102340422A (zh) | 告警的处理方法和系统 | |
CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN102611630B (zh) | 一种报文接收控制方法及系统 | |
CN103023815B (zh) | 聚合链路负载分担方法及装置 | |
CN104113559A (zh) | 一种防御tcp全链接攻击的方法 | |
CN104243192B (zh) | 故障处理方法及系统 | |
US9774628B2 (en) | Method for analyzing suspicious activity on an aircraft network | |
CN104484219B (zh) | 虚拟化平台中下发策略的方法和装置 | |
CN117651003B (zh) | Erp信息传输安全监控系统 | |
CN103684792A (zh) | 一种oam的安全认证方法以及oam报文发送/接收装置 | |
WO2016086638A1 (zh) | 一种实现链路检测的方法、装置及计算机存储介质 | |
CN109284257B (zh) | 一种日志写入方法、装置、电子设备及存储介质 | |
CN102546310A (zh) | 网络流量监控方法 | |
CN103944777B (zh) | 分布式监控系统信息处理方法和系统 | |
US20210111982A1 (en) | Analysis of network performance using deterministic decentralized scheduling across distributed test agents | |
CN110971477B (zh) | 一种通信方法、设备、系统和存储介质 | |
CN110910027A (zh) | 基于安全因子的网络安全态势评估方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120704 |
|
RJ01 | Rejection of invention patent application after publication |