CN102932285B - 报文封装方法、解析方法及装置 - Google Patents
报文封装方法、解析方法及装置 Download PDFInfo
- Publication number
- CN102932285B CN102932285B CN201210415335.0A CN201210415335A CN102932285B CN 102932285 B CN102932285 B CN 102932285B CN 201210415335 A CN201210415335 A CN 201210415335A CN 102932285 B CN102932285 B CN 102932285B
- Authority
- CN
- China
- Prior art keywords
- bit
- message
- indication field
- field
- information content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种报文封装方法,所述方法包括:对网络流进行分析处理,并提取流统计信息;生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中;向网络流量采集设备发送所述流统计报文,以使网络流量采集设备根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。本发明实施例能够避免因报文模板发生变化,而导致发送的报文无法解析的问题。
Description
技术领域
本发明涉及互联网领域,具体涉及一种报文封装方法、解析方法及装置。
背景技术
现有技术中,灵活流的统计信息是网络流量输出设备(NetStream DataExporter,NDE)通过V9格式将报文封装到报文中然后发送到网络流量采集器(NetStream Collector,NSC),网络流量分析器(NetStream Data Analyzer,NDA)通过NDE之前发送的模板(如表1)解析这些信息(如表2)。模板中携带的流的字段类型是已经定义好的,比如源IP地址定义的类型为8,目的IP定义的类型为12等。如表2所示,NDA根据表1所示的模板信息中带的流的字段类型(Flow Type)得知数据报文带的统计信息是什么,如果模板flowtype1值为8,flowtype2值为12,那么后面数据报文中的flowtype1value值为源IP地址信息,flowtype2value值就是目的IP地址信息。如果要想让发送的数据信息有用,则NDA需要先收到表1所示的模板之后才能解析这些数据信息。
表1
表2
在现有技术中,交换机采集到网络流量统计信息之后,按照模板的格式发送到NSC,NDA根基NDE发送的模板解析NDE采集的流量统计信息。但是由于网络故障,可能导致NSC无法收到NDE发送的模板,那么NDA就无法根据模板解析NDE发送的流量统计信息。
发明内容
本发明提供一种报文封装方法,以实现在不需要传输报文模板的情况下,使解析设备获知报文中携带的信息类型,从而避免因报文模板未发送成功,造成报文发送设备发送的报文无法被解析的问题。
第一方面,本发明实施例提供了一种报文封装方法,所述方法包括:
对网络流进行分析处理,并提取流统计信息;
生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中;向网络流量采集设备发送所述流统计报文,以使所述网络流量采集设备根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。
所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段。所述信息内容字段按照其在所述信息指示字段中对应的比特位在所述信息指示字段中从高位到低位出现的顺序排列在所述流统计报文中。第二方面,本发明实施例提供了一种报文解析方法,所述方法包括:
获取网络流量输出设备发送的流统计报文,所述报文包含一信息指示字段;
获取所述信息指示字段中各比特位的置位状态;
根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型;
根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析查找到的所述信息内容字段。
所述根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型具体为:根据所述信息指示字段的每个比特位在置位状态时在所述信息指示字段中从低位到高位的位数,判断所述流统计报文携带何种类型的信息内容字段。
根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段具体为:根据置位状态的比特位在所述信息指示字段中从高位到低位出现的顺序,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
第三方面,本发明实施例提供了一种报文封装装置,所述装置包括:
提取单元,用于对网络流进行分析处理,并提取流统计信息;
生成单元,生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中;
发送单元,用于向网络流量采集设备发送所述流统计报文,以使所述网络流量采集设备根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。
所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段。所述信息内容字段按照其在所述信息指示字段中对应的比特位在所述信息指示字段中从高位到低位出现的顺序排列在所述流统计报文中。
第四方面,本发明实施例提供一种报文解析装置,所述装置包括:
第一获取单元,用于获取网络流量输出设备发送的流统计报文,所述报文包含一信息指示字段;
第二获取单元,用于获取所述信息指示字段中各比特位的置位状态;
判断单元,用于根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型;
查找单元,用于根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析单元,用于解析查找到的所述信息内容字段。
在一种实施方式中,所述查找单元根据所述信息指示字段的每个比特位在置位状态时在所述信息指示字段中从低位到高位的位数,判断所述流统计报文携带何种类型的信息内容字段。
在另一种实施方式中,所述查找单元根据置位状态的比特位在所述信息指示字段中从高位到低位出现的顺序,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
第五方面,本发明实施例提供了一种报文传输系统,其包括本发明实施例第三方面提供的报文封装装置和本发明实施例第四方面提供的报文解析装置。
本发明实施例提供一种报文封装方法,该方法在生成的流统计报文中,通过特定字段中处于特定置位状态的比特位的位置信息指示流统计报文中携带的信息内容类型,并按照所述特定置位状态的比特位的位置在报文中排列信息内容字段,不需要专门向报文解析设备发送报文解析模板。报文解析装置在接收到报文之后只需要读取所述的特定字段中某些比特位的状态值即可获知报文中携带的信息内容的类型和查找位置,能够避免因报文模板发生变化或模板发送不成功,而导致发送的报文无法解析的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为网络流量统计的系统架构图;
图2为本发明实施例提供的一种报文封装方法的一种实施例的流程图;
图3为本发明实施例提供的一种报文解析方法的另一种实施例的流程图;
图4是本发明实施例提供的一种报文封装装置的一种实施例的结构图;
图5是本发明实施例提供的一种报文解析装置的一种实施例的结构图;
图6是本发明实施例提供的一种报文封装装置的一种实施例的结构图
图7是本发明实施例提供的一种报文解析装置的一种实施例的结构图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1是网络流量统计的一种系统架构图,网络流量输出设备(NetStreamData Exporter,NDE)10采集到网络流量统计信息之后,按照模板的格式将网络流量统计信息发送到网络流量采集器(NetStream Collector,NSC)20。NSC20将接收到的网络流量统计信息存储到存储设备中,在需要解析时,由和NSC一体或分立的网络流量分析器(NetStream Data Analyzer,NDA)30从NSC20的存储器中获取NSC20存储的网络流量统计信息,之后NDA30根据NDE10发送的模板解析获取到的采集的网络流量统计信息。但是由于网络故障,可能导致NSC20无法收到NDE10发送的模板,那么NDA30就无法根据模板解析NDE10发送的网络流量统计信息。
网络流(netstream)技术提供报文统计功能,它根据报文的目的IP地址、目的端口号、源IP地址、源端口号、协议号和服务类型(type of service,tos)来区分流信息,并针对不同的流信息进行独立的数据统计。
在上述的系统架构中,NDE10负责对网络流进行采集和发送,提取符合条件的流进行统计,并将流统计信息发送给NSC设备20。NSC10通常为运行于Unix或者Windows上的一个应用程序,其负责收集并存储来自NDE10的流统计报文,把流统计报文包含的流统计数据收集到数据库中,可供NDA进行解析。NDA30是一个网络流量分析工具,它从NSC20的数据库中提取统计数据,进行进一步的加工处理,生成报表,为各种业务提供依据(比如流量计费、网络规划,攻击监测)。
本发明实施例就是提供一种基于上述架构的报文封装方法和报文解析方法,在本发明实施例中,NDE将现有技术中用于指示流统计报文所携带的信息字段内容类型的模板的信息封装到流数据报文中,利用原来的流统计报文中用于标识模板号的FlowTempelet id和记录流的总长度的FlowTotal Lenth字段位,总共4个字节的每一个bit位代表一种字段类型,由于灵活流字段的长度是固定的,因此不需要定义字段值的长度,只需要指定字段的类型,这样就不会存在模板丢失导致数据报文无法解析的情况。
图2是本发明实施例提供的一种报文封装方法的流程图,该实施例中,执行主体为报文封装装置,例如图1中的NDE。由图2可见,所述方法包括:
步骤201,对网络流进行分析处理,并提取流统计信息;
具体的,NDE对网络流进行分析处理,并提取符合条件的流统计信息,例如具有相同的源IP地址和相同的目的IP地址的网络流量,可以看做同一条数据流,那么提取的流统计信息可以是该条数据流的流量总和。此外,区分同一条流的条件,也可以是属于相同的报文类型,例如同属于SIP类型的报文看做一条流。该部分并非本实施例的重点,可以按照现有技术进行处理,因此不加赘述。
步骤202,生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中中;
具体而言,步骤201中,NDE提取到符合条件的流统计信息之后,按照设定的规则进行处理,生成流统计报文,在流统计报文中携带诸如目的IP地址、源IP地址、源端口号等流统计数据,并将不同类型的流统计数据封装在不同的字段中,即信息内容字段。
更具体的说,在本发明实施例提供的报文中,NDE在报文中将原来用于指示模板ID和记录流的总长度的字段,结合作为一个新的信息指示字段,总共4个字节,32个bit位。每个bit位可以是置0有效,也可以置1有效。根据有效的这个bit在32个bit位中的位置,指示后续的信息内容字段位中,携带的信息内容字段的具体类型。并且,按照该有效bit位在32个bit中出现的位置顺序,在流统计报文中排列相应的信息内容字段位。
步骤203,向网络流量采集设备发送所述流统计报文,供所述网络流量采集设备根据所述报文中的信息指示字段解析所述报文中携带的流统计信息。
具体的说,NDE在生成流统计报文之后,将其发送给NSC,NSC做简单的处理,进行存储,存储之后,由NDA对所述报文进行解析。
通过上述实施例,NDE只需要将携带的流数据的类型通过报文中的信息指示字段位中不同bit位的置位状态,指示在所述报文中携带的流数据的类型,也就是说,在所述流统计报文中携带了的信息内容字段的类型。不需要再单独发送报文模板指示NDA按照怎样的规则解析流统计报文,因此,可以避免因模板丢失造成流统计报文无法解析的问题。
在步骤202中,NDE生成的报文中,由信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,所述信息内容字段按照其在所述信息指示字段中对应的比特位的在所述信息指示字段中的位置排列在所述流统计报文中,具体的实现方式可以是以下的方式:
例如,所述信息指示字段的每个比特位在置1状态时,指示所述报文携带一种类型的信息内容字段。所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的4个字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段,信息内容字段按照其在所述信息指示字段中对应的比特位的在所述信息指示字段的从高位到低位出现的顺序排列在所述流统计报文中。
以表3所示的报文为例,按照已经定义好的类型值(源IP地址定义的类型值为8,长度为4;流的字节数定义的类型值为1,长度为4;流的报文数目定义的类型为2,长度为4)将报文头的信息指示字段对应的bit位置1,这样信息指示字段位对应的值为10000011(0x83),该信息指示字段之后为流的统计信息,封装该部分信息的时候按照信息指示字段位从左到右为1的顺序填充。按照配置模板bit位之后封装的统计信息为每条流的源IP地址信息、报文数目和字节数目。
NDE发送流量统计信息如下:
表3
而如果需要在报文中增加收集流的目的IP地址信息,其对应的类型为12,则可以将信息指示字段位第12个bit置1,该信息指示字段位之后的流统计信息按照流的目的IP地址、源IP地址、报文数目和字节数目的顺序填充,如表4所示。
表4
在另外一种实施方式中,也可以选择信息指示字段的每个比特位在置0状态时,指示所述报文携带一种类型的信息内容字段,所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的4个字节中从低位到高位的位数指示所述报文携带何种类型的信息内容字段,所述信息内容字段按照其在所述信息指示字段中对应的比特位的在所述信息指示字段的从高位到低位出现的顺序排列在所述流统计报文。
例如表5,按照已经定义好的类型值(源IP地址定义的类型值为8,长度为4;流的字节数定义的类型值为1,长度为4;流的报文数目定义的类型为2,长度为4)将V9报文头的信息指示字段对应的bit位置1,这样信息指示字段位对应的值为FFFFFF7C(01111100),该信息指示字段之后为流的统计信息,封装该部分信息的时候按照信息指示字段位从左到右为0的顺序填充。按照配置模板bit位之后封装的统计信息为每条流的源IP地址信息、报文数目和字节数目。
表5
图3是本发明实施例提供的一种报文解析方法另一种实施例的流程图,该实施例的执行主体是报文解析装置,例如NDA,由图3可见,所述方法包括:
步骤301,获取网络流量输出设备发送的流统计报文,所述报文包含一信息指示字段;
具体的说,NDA可以不是直接从NDE接收流统计报文,而是从存储了NDE发送的报文的NSC中获取。
步骤302,获取所述信息指示字段中各比特位的置位状态;
具体而言,在所述流统计信息中包含有一信息指示字段,所述信息指示字段信息指示字段的每个比特位在置位状态时指示所述报文中携带一种类型的信息内容字段,所述信息内容字段按照其在所述信息指示字段中对应的比特位的在所述信息指示字段的位置排列在所述流统计报文中。通过获取到信息指示字段位的32个bit位中的不同bit是否处于有效置位状态,能够判断在报文中携带了哪些类型的流数据。
步骤303,根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型;
具体而言,NDA可以根据32个比特位中哪一位或哪几个bit处于有效状态,判断所述流统计报文中携带信息内容字段的类型。有效状态可以是置于1状态或者是置0状态。
步骤304,根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
具体而言,在前一步骤中,根据不同bit位是否有效,可以判断是否携带某种类型的流数据。而根据有效的bit位在所述32bit中出现的位置,可以判断,其对应类型的信息内容字段在后续的报文中的排列顺序,按照这个顺序可以查找相应的信息内容字段。
步骤305,解析查找到的所述信息内容字段。
在该步骤305中,对查找到的信息内容字段进行解析,提取流统计信息,进行进一步的加工处理,生成报表,为各种业务提供依据(比如流量计费、网络规划,攻击监测)。通常,NDA具有图形化用户界面,使用户可以方便地获取、显示和分析收集到的数据。
通过上述实施例,NDA不需要获取NDE下发的模板,就能够获知报文中携带的流数据的类型,也就是信息内容字段类型,并对其进行解析,避免了因模板改变造成的报文无法被NDA解析的情况。
在前述的实施例中,所述信息指示字段包含4个字节,每个字节包含8个二进制比特位,NDA可以当所述信息指示字段的每个比特位在置1状态时,判定所述报文携带一种类型的信息内容字,也就是置1有效的情况。对于该种实施例中,NDA根据所述信息指示字段的每个比特位在置1状态时在所述信息指示字段的4个字节中从低位到高位的位数,判断所述报文携带何种类型的信息内容字段。根据置1状态的比特位在所述信息指示字段中从高位到低位出现的顺序排列,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
以前述实施例的表3所示的实施方式为例,NDA从NSC获取NDE发送的统计信息,先解析32个bit位哪些bit位置1,对于置1表示统计信息中带有该字段的信息,通过解析模板bit位发现bit位1、2和8置1,则模板bit之后的第一个4字节的为流的源IP地址统计信息,第二个4字节为流的报文数目统计信息,第三个4字节为流的字节数目统计信息。
在另外一种实施方式中,NDA在所述信息指示字段的每个比特位在置0状态时,判定所述报文携带一种类型的信息内容字段。NDA根据所述信息指示字段的每个比特位在置0状态时在所述信息指示字段的4个字节中从低位到高位的位数,判断所述报文携带何种类型的信息内容字段;NDA根据置0状态的比特位在所述信息指示字段中从高位到低位出现的顺序排列,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
具体的判定方式,可参考表5所示的实施例,不做过多赘述。
相应的,本发明实施例还提供一种报文封装装置,图4是其结构示意图,该报文输出装置可以是图1中所示的NDE,或者交换机、路由器等网络交换装置,由图4可见,所述装置包括:
提取单元401,用于对网络流进行分析处理,并提取流统计信息;
生成单元402,用于生成包含流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述报文中携带一种类型的信息内容字段,所述信息内容字段按照其在所述信息指示字段中对应比特位的在所述信息指示字段的位置排列在所述流统计报文中;
发送单元403,用于向网络流量采集设备发送所述报文,供所述网络流量采集设备的网络流量分析模块根据所述报文中的信息指示字段解析所述报文中携带的流统计信息。
具体而言,生成单元402将提取单元401提取到的流统计信息按照设定的方式生成流统计报文之后,通过发送单元403发送给NSC。
更具体的,生成单元402可以在所述信息指示字段的每个比特位在置1状态时,指示所述流统计报文携带一种类型的信息内容字段,或者所述信息指示字段的每个比特位在置0状态时,指示所述流统计报文携带一种类型的信息内容字段。
生成单元402按照所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的4个字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段。按照所述信息内容字段按照其在所述信息指示字段中对应的比特位的在所述信息指示字段中从高位到低位出现的顺序排列在所述流统计报文。
最后,由发送单元403将生成单元402生成的流统计报文发送给NDE。
相应的,本发明实施例还提供一种报文解析装置,图5是其结构示意图,该报文输出装置可以是图1中所示的NDA,由图5可见,所述装置包括:
第一获取单元501,用于获取网络流量输出设备发送的流统计报文,所述报文包含一信息指示字段;
第二获取单元502,用于获取所述信息指示字段中各比特位的置位状态;
判断单元503,用于根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型;
查找单元504,用于根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析单元505,用于解析查找到的所述信息内容字段。
具体而言,第一获取单元501可以通过NSC的存储设备获取流统计报文,之后将获取到的流统计报文发送给第二获取单元502,第二获取单元502在获取到各个比特位的置位状态之后,将结果发送给判断单元503。
判断单元503当所述信息指示字段的每个比特位在置1状态时,判定所述流统计报文携带一种类型的信息内容字段,或者,在所述信息指示字段的每个比特位在置0状态时,判定所述流统计报文携带一种类型的信息内容字段,并且根据所述信息指示字段的每个比特位在置位状态时在所述信息指示字段中4个字节中从低位到高位的位数,判断所述流统计报文携带何种类型的信息内容字段。
查找单元504根据置位状态的比特位在所述信息指示字段中从高位到低位出现的顺序排列,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
最后由解析单元505,解析查找单元504查找到的所述信息内容字段,以完成流统计报文解析。
图6为本发明另一实施例提供的报文封装装置的结构示意图下。如图6所示,所述装置可以是包含计算能力的主机服务器或者网络设备,或者是个人计算机PC,或者是可携带的便携式计算机或终端等等,本发明具体实施例并不对计算节点的具体实现做限定。所述设备包括:
处理器(processor)610,通信接口(Communications Interface)620,存储器(memory)630,总线640。
处理器610,通信接口620,存储器630通过总线640完成相互间的通信。
通信接口620,用于与网元通信,比如端口组件、转发组件等。
处理器610,用于执行程序632。
具体地,程序632可以包括程序代码,所述程序代码包括计算机操作指令。
处理器610可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器630,用于存放程序632。存储器630可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序632在被执行时具体可以用于:
对网络流进行分析处理,并提取流统计信息;
生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中;
向网络流量采集设备发送所述流统计报文,以使所述网络流量采集设备根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。
图7为本发明另一实施例提供的报文解析的装置的结构示意图下。如图7所示,所述装置可以是包含计算能力的主机服务器或者网络设备,或者是个人计算机PC,或者是可携带的便携式计算机或终端等等,本发明具体实施例并不对计算节点的具体实现做限定。所述设备包括:
处理器(processor)710,通信接口(Communications Interface)720,存储器(memory)730,总线740。
处理器710,通信接口720,存储器730通过总线740完成相互间的通信。
通信接口720,用于与网元通信,比如端口组件、转发组件等。
处理器710,用于执行程序732。
具体地,程序732可以包括程序代码,所述程序代码包括计算机操作指令。
处理器710可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器730,用于存放程序732。存储器730可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序732在被执行时具体可以用于:
获取网络流量输出设备发送的流统计报文,所述流统计报文包含信息指示字段;
获取所述信息指示字段中各比特位的置位状态;
根据所述各比特位的置位状态,判断所述流统计报文中携带的信息内容字段的类型;
根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析查找到的所述信息内容字段。
此外,本发明实施例还提供一种报文传输系统,包括图4所示的报文封装装置、NSC以及图5所示的报文解析装置。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (21)
1.一种报文封装方法,其特征在于,所述方法包括:
对网络流进行分析处理,并提取流统计信息;
生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置顺序排列在所述流统计报文中;
向网络流量采集设备发送所述流统计报文,以使所述网络流量采集设备根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。
2.如权利要求1所述的方法,其特征在于,所述信息指示字段的每个比特位在置1状态时,指示所述流统计报文携带一种类型的信息内容字段。
3.如权利要求1所述的方法,其特征在于,所述信息指示字段的每个比特位在置0状态时,指示所述流统计报文携带一种类型的信息内容字段。
4.如权利要求2或3所述的方法,其特征在于,所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段。
5.如权利要求2-3任一项所述的方法,其特征在于,所述信息内容字段按照其在所述信息指示字段中对应的比特位在所述信息指示字段中从高位到低位出现的顺序排列在所述流统计报文中。
6.一种报文解析方法,其特征在于,所述方法包括:
获取网络流量输出设备发送的流统计报文,所述流统计报文包含信息指示字段;
获取所述信息指示字段中各比特位的置位状态;
根据所述各比特位的置位状态,判断所述流统计报文中携带的信息内容字段的类型;
根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析查找到的所述信息内容字段。
7.如权利要求6所述的方法,其特征在于,根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型具体为:
当所述信息指示字段的每个比特位在置1状态时,判定所述流统计报文携带一种类型的信息内容字段。
8.如权利要求6所述的方法,其特征在于,根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型具体为:
所述信息指示字段的每个比特位在置0状态时,判定所述流统计报文携带一种类型的信息内容字段。
9.如权利要求6或7所述的报文解析方法,其特征在于,所述根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型具体为:
根据所述信息指示字段的每个比特位在置位状态时在所述信息指示字段中从低位到高位的位数,判断所述流统计报文携带何种类型的信息内容字段。
10.如权利要求7-8任一项所述的报文解析方法,其特征在于,所述根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段具体为:
根据置位状态的比特位在所述信息指示字段中从高位到低位出现的顺序,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
11.一种报文封装装置,其特征在于,包括:
提取单元,用于对网络流进行分析处理,并提取流统计信息;
生成单元,用于生成包含所述流统计信息和信息指示字段的流统计报文,所述信息指示字段的每个比特位在置位状态时指示所述流统计报文中携带一种类型的信息内容字段,每一种类型的所述信息内容字段对应于所述流统计信息中的一种信息内容,所述信息内容字段按照在所述信息指示字段中与该信息内容字段对应的比特位在所述信息指示字段中的位置排列在所述流统计报文中;
发送单元,用于向网络流量采集设备发送所述流统计报文,供所述网络流量采集设备的网络流量分析模块根据所述报文中的信息指示字段解析所述流统计报文中携带的流统计信息。
12.如权利要求11所述的装置,其特征在于,所述信息指示字段的每个比特位在置1状态时,指示所述流统计报文携带一种类型的信息内容字段。
13.如权利要求11所述的装置,其特征在于,所述信息指示字段的每个比特位在置0状态时,指示所述流统计报文携带一种类型的信息内容字段。
14.如权利要求12或13所述的装置,其特征在于,所述信息指示字段的每个比特位在置位状态时在所述信息指示字段的字节中从低位到高位的位数指示所述流统计报文携带何种类型的信息内容字段。
15.如权利要求12-13任一项所述的装置,其特征在于,所述信息内容字段按照其在所述信息指示字段中对应的比特位在所述信息指示字段中从高位到低位出现的顺序排列在所述流统计报文中。
16.一种报文解析装置,其特征在于,包括:
第一获取单元,用于获取网络流量输出设备发送的流统计报文,所述报文包含一信息指示字段;
第二获取单元,用于获取所述信息指示字段中各比特位的置位状态;
判断单元,用于根据所述各比特位的置位状态,判断所述流统计报文中携带信息内容字段的类型;
查找单元,用于根据所述置位状态的比特位在所述信息指示字段中的位置,在所述流统计报文中查找该比特位指示的信息内容字段;
解析单元,用于解析查找到的所述信息内容字段。
17.如权利要求16所述的装置,其特征在于,所述判断单元:
当所述信息指示字段的每个比特位在置1状态时,判定所述流统计报文携带一种类型的信息内容字段。
18.如权利要求16所述的装置,其特征在于,所述判断单元:
所述信息指示字段的每个比特位在置0状态时,判定所述流统计报文携带一种类型的信息内容字段。
19.如权利要求16或17所述的装置,其特征在于,所述查找单元:
根据所述信息指示字段的每个比特位在置位状态时在所述信息指示字段中从低位到高位的位数,判断所述流统计报文携带何种类型的信息内容字段。
20.如权利要求17-18任一项所述的装置,其特征在于,所述查找单元:
根据置位状态的比特位在所述信息指示字段中从高位到低位出现的顺序,在所述流统计报文中查找所述比特位对应类型的信息内容字段。
21.一种报文传输系统,其特征在于,包括权利要求11-15中任意一项所述的报文封装装置和权利要求16-20中任意一项所述的报文解析装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210415335.0A CN102932285B (zh) | 2012-10-26 | 2012-10-26 | 报文封装方法、解析方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210415335.0A CN102932285B (zh) | 2012-10-26 | 2012-10-26 | 报文封装方法、解析方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102932285A CN102932285A (zh) | 2013-02-13 |
CN102932285B true CN102932285B (zh) | 2015-10-21 |
Family
ID=47646991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210415335.0A Active CN102932285B (zh) | 2012-10-26 | 2012-10-26 | 报文封装方法、解析方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102932285B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721402B (zh) * | 2014-12-04 | 2019-02-05 | 北京航管科技有限公司 | 一种解析sita报文的方法和装置 |
CN104852861B (zh) * | 2015-04-13 | 2019-05-07 | 新华三技术有限公司 | 一种流信息的传输方法和设备 |
CN107241206B (zh) * | 2016-03-29 | 2022-02-18 | 中兴通讯股份有限公司 | 一种业务服务状态判定的方法、装置及存储介质 |
CN112769740B (zh) * | 2019-11-06 | 2023-11-03 | 中盈优创资讯科技有限公司 | 城域网网络流量分析方法及系统 |
CN111818098B (zh) * | 2020-09-01 | 2020-12-11 | 广东省新一代通信与网络创新研究院 | 一种报文编辑方法、装置及计算机可读存储介质 |
CN112039916B (zh) * | 2020-09-07 | 2023-04-07 | 北京天融信网络安全技术有限公司 | 基于opc协议的通信方法、装置、电子设备及存储介质 |
CN115694723A (zh) * | 2021-07-30 | 2023-02-03 | 华为技术有限公司 | 报文处理方法和通信设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175038A (zh) * | 2007-10-16 | 2008-05-07 | 华为技术有限公司 | 一种数据流信息传输的方法、通讯系统及设备 |
CN101325552A (zh) * | 2008-08-01 | 2008-12-17 | 杭州华三通信技术有限公司 | 访问请求的三角转发方法和glb服务器 |
CN101488925A (zh) * | 2009-03-03 | 2009-07-22 | 中兴通讯股份有限公司 | 一种利用Netflow采集及统计VPN流量的方法 |
CN101605069A (zh) * | 2009-06-30 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种采集流量信息的方法和装置 |
WO2010102311A1 (en) * | 2009-03-04 | 2010-09-10 | Cisco Technology, Inc. | System and method for exporting structured data in a network management environment |
-
2012
- 2012-10-26 CN CN201210415335.0A patent/CN102932285B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101175038A (zh) * | 2007-10-16 | 2008-05-07 | 华为技术有限公司 | 一种数据流信息传输的方法、通讯系统及设备 |
CN101325552A (zh) * | 2008-08-01 | 2008-12-17 | 杭州华三通信技术有限公司 | 访问请求的三角转发方法和glb服务器 |
CN101488925A (zh) * | 2009-03-03 | 2009-07-22 | 中兴通讯股份有限公司 | 一种利用Netflow采集及统计VPN流量的方法 |
WO2010102311A1 (en) * | 2009-03-04 | 2010-09-10 | Cisco Technology, Inc. | System and method for exporting structured data in a network management environment |
CN101605069A (zh) * | 2009-06-30 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种采集流量信息的方法和装置 |
Non-Patent Citations (2)
Title |
---|
"NetStream技术应用";王飞等;《计算机安全》;20120415(第4期);正文第62-64页 * |
"Netstream——精细化网络流量分析之利器";张威;《电信网技术》;20050715(第7期);正文第38-41页 * |
Also Published As
Publication number | Publication date |
---|---|
CN102932285A (zh) | 2013-02-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102932285B (zh) | 报文封装方法、解析方法及装置 | |
CN105578488B (zh) | 网络数据采集系统及方法 | |
RU2608464C2 (ru) | Устройство, способ и сетевой сервер для обнаружения структур данных в потоке данных | |
CN107634848B (zh) | 一种采集分析网络设备信息的系统和方法 | |
US7599288B2 (en) | Processing of usage data for first and second types of usage-based functions | |
CN107977473B (zh) | 基于Logback的分布式系统日志的检索方法和系统 | |
CN104506484A (zh) | 一种私有协议分析与识别方法 | |
US10686867B2 (en) | Scaled in-order record input ingestion for file-based streams in multi-threaded environments | |
CN111367874B (zh) | 一种日志处理方法、装置、介质和设备 | |
CN113746654B (zh) | 一种IPv6地址管理和流量分析的方法和装置 | |
CN112311789A (zh) | 深度报文处理方法、装置、电子设备及存储介质 | |
CN111859043B (zh) | 一种gsp通信报文解析方法 | |
CN104333483A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
CN104796300A (zh) | 一种数据包特征提取方法及装置 | |
US8654643B2 (en) | Wide field indexing for packet tracking | |
CN111049813B (zh) | 报文组装方法、解析方法、装置及存储介质 | |
CN106257867A (zh) | 一种加密流量的业务识别方法和装置 | |
CN104079450A (zh) | 特征模式集生成方法及装置 | |
US9577669B2 (en) | Methods, systems, and computer readable media for optimized message decoding | |
CN116828346A (zh) | 电表数据代理读取方法、装置、电子设备及存储介质 | |
CN102724068A (zh) | 一种在IPv6混合网络中进行审计日志资产识别的方法 | |
CN102124698A (zh) | 用于在网络管理环境中导出结构化数据的系统和方法 | |
CN102547565B (zh) | 一种移动用户位置管理和移动网络基于位置分析的系统 | |
CN115150308A (zh) | 一种流量统计方法和装置 | |
CN114422232A (zh) | 一种违规流量的监测方法、装置、电子设备、系统及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |