CN110719194A - 一种网络数据的分析方法及装置 - Google Patents

Abstract

本发明的实施例提供一种网络数据的分析方法及装置，涉及数据处理领域，能够对多种数据进行关联分析，处理实时的流式数据。该方法包括：获取数据采集节点根据SNMP数据采集需求采集的SNMP数据；获取目标通信设备的netflow日志、用户的DNS日志、用户的AAA日志；根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口；根据目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用；根据源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号；确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。本申请实施例应用于处理网络数据。

Description

一种网络数据的分析方法及装置

技术领域

本发明的实施例涉及数据处理领域，尤其涉及一种网络数据的分析方法及装置。

背景技术

现有网络数据采集分析系统主要为网络协议(internet protocol，IP)网网管系统，网管系统主要由资源管理、性能管理、告警管理、配置管理四方面组成，经过几十年的发展，逐渐形成了一整套成熟的管理模型以及管理软件。另一方面，也有很多厂商发布了自己的网管系统，例如，思科全数字化网络架构(cisco digital network architecture，CISCODNA)，华为的iManager U2000，华三的智能管理中心(intelligent management center，iMC)等，这些软件基本解决了IP数据采集的问题。

在实际应用过程中，由于底层实现的原因，现有的网络数据采集分析系统会限制采集服务器操作系统版本、服务器型号等，且无法横向扩展，由于使用关系型数据库，数据实时处理性能有限，当数据量过大时可能会出现系统无响应的情况，并且不支持流式数据的实时处理；由于不能进行跨节点部署采集，跨省报表或者总体报表难以集中化处理；另外，由于网元设备的快速增加，网络拓扑的复杂度不断提高，互联网业务多样化快速发展，运营商仅通过简单网络管理协议(simple network management protocol，SNMP)对网络进行管理无法满足业务支撑需要，而现有网络数据采集分析系统扩展性有限，多系统大数据分析功能不足，关联分析能力较弱。

发明内容

本发明的实施例提供一种网络数据的分析方法及装置，能够对多种数据进行关联分析，处理实时的流式数据。

第一方面，提供一种网络数据的分析方法，包括如下步骤：获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据，其中，SNMP数据包括通信设备的IP、通信设备的接口索引；获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志，其中，netflow日志包括目标通信设备的IP、目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，DNS日志包括用户的IP、用户请求域名，AAA日志包括用户账号、用户的IP；根据目标通信设备的IP在SNMP数据中查找并获取目标通信设备的目标SNMP数据；根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息，其中，目标接口信息包括接口名称、接口类型、接口描述、接口位置；根据目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用；根据目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号；确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。

上述方案中，由于获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据；获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志；根据目标通信设备的IP在SNMP数据中查找并获取目标通信设备的目标SNMP数据；根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息；根据目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用；根据目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号；确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。因此，首先，本申请中利用数据采集节点采集SNMP数据，由于数据采集节点能够灵活部署，可以充分地横向扩展，进行跨节点部署采集，避免了跨省报表或者总体报表难以集中化处理的问题；其次，本申请中结合采集的SNMP数据以及获取的网络日志，能够对通信设备中接口流量的应用及用户进行分析，增强了关联数据分析能力，进一步满足业务支撑需要。

第二方面，提供一种网络数据的分析装置，包括：获取模块，用于获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据，其中，SNMP数据包括通信设备的IP、通信设备的接口索引；获取模块，还用于获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志，其中，netflow日志包括目标通信设备的IP、目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，DNS日志包括用户的IP、用户请求域名，AAA日志包括用户账号、用户的IP；处理模块，用于根据获取模块获取的目标通信设备的IP在SNMP数据中查找并获取目标通信设备的目标SNMP数据；处理模块，还用于根据获取模块获取的目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息，其中，目标接口信息包括接口名称、接口类型、接口描述、接口位置；处理模块，还用于根据获取模块获取的目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用；处理模块，还用于根据获取模块获取的目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号；确定模块，用于确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。

第三方面，提供一种网络数据的分析装置，包括通信接口、处理器、存储器、总线；存储器用于存储计算机执行指令，处理器与存储器通过总线连接，当网络数据的分析装置运行时，处理器执行存储器存储的计算机执行指令，以使网络数据的分析装置执行如上述第一方面的网络数据的分析方法。

第四方面，提供一种计算机存储介质，包括指令，当指令在计算机上运行时，使得计算机执行如上述的网络数据的分析方法。

第五方面，提供一种计算机程序产品，计算机程序产品包括指令代码，指令代码用于执行如上述的网络数据的分析方法。

可以理解地，上述提供的任一种网络数据的分析装置、计算机存储介质或计算机程序产品均用于执行上文所提供的第一方面对应的方法，因此，其所能达到的有益效果可参考上文第一方面的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的实施例提供的一种网络数据的分析系统架构示意图；

图2为本发明的实施例提供的一种数据采集系统架构示意图；

图3为本发明的实施例提供的一种网络数据的分析方法示意图；

图4为本发明的实施例提供的一种数据采集节点架构示意图；

图5为本发明的实施例提供的一种网络数据的分析装置的结构示意图；

图6为本发明的另一实施例提供的一种网络数据的分析装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有网络数据采集分析系统主要为IP网网管系统，网管系统主要由资源管理、性能管理、告警管理、配置管理四方面组成，经过几十年的发展，逐渐形成了一整套成熟的管理模型以及管理软件。在实际应用过程中，由于底层实现的原因，现有的网络数据采集分析系统会限制采集服务器操作系统版本、服务器型号等，且无法横向扩展，由于使用关系型数据库，数据实时处理性能有限，当数据量过大时可能会出现系统无响应的情况，并且不支持流式数据的实时处理；由于不能进行跨节点部署采集，跨省报表或者总体报表难以集中化处理；另外，由于网元设备的快速增加，网络拓扑的复杂度不断提高，互联网业务多样化快速发展，运营商仅通过SNMP对网络进行管理无法满足业务支撑需要，而现有网络数据采集分析系统扩展性有限，多系统大数据分析功能不足，关联分析能力较弱。

首先，针对上述现有的网络数据采集分析系统无法横向扩展，不支持流式数据的实时处理的问题，本申请提供一种网络数据的分析系统，参见图1所示，包括能力开放层11、数据应用层12、数据存储运算层13、数据采集层14、以及该系统所支持的网络。其中，能力开放层11通过微服务方式，可灵活支持数据和业务能力开放，具备灵活有效的业务支撑能力，包括大客户自助服务111、资源数据服务112、性能数据服务113、质量数据服务114、业务数据服务115、以及其他应用/数据服务116。数据应用层12通过多数据关联分析，可以支持网络规划、建设、维护及优化，包括网络资源管理121、网络性能监控122、网络路由优化123、用户行为分析124、业务流量流向分析125、业务质量分析126等六个模块。数据采集层14运用容器化docker技术，进行数据采集部署，系统可支持多种数据采集，例如，SNMP、xFLOW、灵活深度包检测(elastic deep packet inspect，EDPI)、域名解析系统(domain name system，DNS)日志、认证授权计费(authentication，authorization，accounting，AAA)日志、边界网关协议(border gateway protocol，BGP)路由等数据的集中采集。该系统支持城域网、互联网数据中心(internet data center，IDC)、骨干网、承载网1、承载网2等网络，例如，骨干网可以为169骨干网，承载网1可以为IP承载A网，承载网2可以为IP承载B网。数据存储运算层13包括数据预处理模块131、数据分析模块132、数据存储模块133，具体的，数据预处理模块131包括数据加载，支持通过文件、传输控制协议(transmission control protocol，TCP)/用户数据报协议(user datagram protocol，UDP)定制协议、原始流量等方式将采集数据读取进入数据分析模块132；据预处理模块131还包括数据转换，用于根据数据分析功能需要，将纯文本格式的数据或原始流量的数据转换成结构化的数据形式，以供后续分析使用，同时丢弃不需要的字段，减小数据占用存储空间；据预处理模块131还包括数据抽取，用于根据不同分析需求，通过特定的字段过滤提取需要的数据，从而减小后续分析中需要分析的数据量。数据分析模块132包括SPARK机器学习，用于对于长期有规律的数据，除使用测量报告(measurement report，MR)进行传统的统计处理外，将历史数据作为训练集训练机器学习模型，并将新数据输入模型进行预测，适用于一些需要预测的需求；数据分析模块132还包括MAPREDUCE，用于对数据进行离线分析，分析周期从若干小时至若干月不等，相比其他方式，可以同时分析的数据量大，分析逻辑复杂，例如，每日、每月业务质量分析，用户行为分析等可以采用该方式；数据分析模块132还包括SPARK实时计算，用于对数据进行分批处理，处理周期从若干秒至若干分钟不等，可以完成延迟在秒级的实时分析需求，通常仅进行简单统计处理，例如，标记、计数、加和等，又例如，网络性能监控、业务流量流向分析等可以采用该方式；数据分析模块132还包括STORM流式计算，用于实时接收数据点，并将处理结果直接推送到存储、界面或对外接口，用此方法处理数据可以保持最低的延迟，但是仅能进行简单统计处理，例如，计数与加和，又例如，完全实时的网络性能监控可以采用该方式。数据存储模块133包括HDFS分布式文件系统，可用于存储任意格式的文件，总存储量可随集群资源的增长而增加，其中，HDFS分布式文件系统中的数据不能直接进行查询，需经过程序处理，原始数据、中间数据均存储在该处，同时HBase也依赖于HDFS存储数据；数据存储模块133还包括HBase分布式数据库，用于分布式地存储结构化数据，存储量可随集群资源的增长而增加，还可以对数据进行在线的增删改查，查询的执行时间在若干秒至若干分钟不等，并且可以用于按时间存储不断产生的大量结果数据；数据存储模块133还包括MYSQL数据库，用于存储结构化数据，并可对数据进行结构化查询语言(structured query language，SQL)查询，但存储量存在上限，通常在千万级别的数据量下查询性能良好，还可以用于存储聚合统计后的结果数据；数据存储模块133还包括内存数据库，用于存储结构化或非结构化的数据，存储量依赖于集群内存限制，通常查询速度快，还可以用于支撑实时计算或流式计算时的查询请求。

其次，基于上述网络数据的分析系统，针对上述现有的网络数据采集分析系统不能进行跨节点部署采集，跨省报表或者总体报表难以集中化处理的问题，本申请提供一种数据采集系统架构，参见图2所示，包括网络数据分析系统21、数据采集节点221至数据采集节点22n，其中，网络数据分析系统21用于对数据采集节点采集的网络数据进行关联分析，获取分析结果；数据采集节点221至数据采集节点22n用于采集网络数据，分别部署在需要进行网络数据采集的区域，例如，可以部署在各省进行省级数据采集。其中，数据采集节点底层基于openstack架构，利用kubernetes管理部署封装有数据采集程序的docker镜像。

针对上述问题，本申请的实施例提供一种网络数据的分析方法，参照图3所示，具体包括如下步骤：

301、获取数据采集节点根据SNMP数据采集需求采集的SNMP数据。

首先，获取yaml文件，其中，yaml文件包括SNMP数据采集需求，yaml文件中的采集需求为预配置的，例如，yaml文件可以为默认值、预先存储、或者由后台管理人员重新写入的方式获取。

进一步，将yaml文件下发至数据采集节点，其中，yaml文件用于指示数据采集节点根据SNMP数据采集需求采集SNMP数据，数据采集节点包括kubernetes管理的docker镜像，docker镜像包含数据采集程序，例如，利用以下数据采集节点进行SNMP数据的采集，参照图4所示，包括doker引擎41、容器管理系统42、云操作系统框架43、虚拟资源池44、物理资源池45，其中，doker引擎41中将数据采集程序封装成镜像以pod形式运行在底层基于云操作系统框架43中的openstack架构的容器管理系统42中的kubernetes中，doker引擎41同时将对外能力开放接口封装成镜像以pod形式运行，可以提供对外开放能力接口，与多种系统进行对接，例如，工单系统、IDC计费、运营支撑系统(the office of strategic services，OSS)以及整个页面的全球广域网(world wide web，WEB)展示。Docker的编排、发布以及负载均衡等由容器管理系统42中的kubernetes负责管理，采集的doker镜像在数据服务层之上。虚拟资源池44为基于内核的虚拟机(kernel-based virtual machine，KVM)资源。物理资源池45中为裸金属资源451，其中，采集节点的部署可以包括以下步骤：由开发人员提交代码，SVN通知jenkins进行构建测试发布，生成镜像下发到docker仓库中，通知kubernetes进行应用部署，kubernetes选择计算节点，并部署docker实例，从docker仓库中获取镜像，完成部署。

其次，将SNMP数据以表的形式存储在hbase中，以便于后续进行数据查询，其中，hbase以HFILE文件结构形式存储在HDFS中。例如，网络数据的分析装置可以包括HBase分布式数据库模块，用于以表的形式分布式地存储数据采集节点采集的SNMP数据。

具体的，SNMP数据包括SNMP数据的采集时间、通信设备的接口信息，其中，通信设备为能够实现IP网络通信的硬件或软件设备，例如，通信设备可以为核心路由器(corerouter，CR)。

进一步，将通信设备的IP、通信设备的端口信息、SNMP数据的采集时间设置为表的rowkey，并对表的rowkey进行加盐处理，具体的，首先，对rowkey字段进行排序，根据最常用的需求查询所需过滤字段，对rowkey字段进行筛选和排序，选用通信设备的IP、通信设备的端口信息、SNMP数据的采集时间等信息共同组成rowkey信息；其次，对表的rowkey进行加盐，由于各采集节点数据量在10万/日～1亿/日分布极不均匀，为充分利用百CPU核级别集群性能，对rowkey进行加盐处理，例如，在rowkey后添加5～20个salt值，避免出现数据倾斜的问题。

进一步，将表预分为n个预分区(region)，其中，根据日数据采集量进行表的region的划分，10≤n≤20，避免了前期region数过少导致的低查询效率和Region建立导致的额外耗时。

进一步，将SNMP数据的采集时间建立为二级索引。

例如，网络数据的分析装置可以包括HBase分布式数据库模块，用于对采集的SNMP数据的rowkey字段进行如上各项设置。

最后，获取数据采集节点根据SNMP数据采集需求采集的SNMP数据，其中，SNMP数据还包括通信设备的IP、通信设备的接口索引。

302、获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志。

其中，netflow日志包括目标通信设备的IP、目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，DNS日志包括用户的IP、用户请求域名，AAA日志包括用户账号、用户的IP。

进一步，目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志等数据的采集可以利用现有技术的采集方法进行采集。

303、根据目标通信设备的IP在SNMP数据中查找并获取目标通信设备的目标SNMP数据；根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息。

其中，目标接口信息包括接口名称、接口类型、接口描述、接口位置。

例如，网络数据的分析装置可以包括SPARK实时计算模块，用于根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息。

304、根据目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用。

305、根据目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号。

306、确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。

例如，网络数据的分析装置可以包括STORM流式计算模块，用于实时接目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志、SNMP数据。网络数据的分析装置还可以包括MAPREDUCE模块，用于根据目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用。网络数据的分析装置还可以包括SPARK实时计算模块，用于根据目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号，还用于确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。其中，STORM流式计算模块，还用于将处理结果直接推送到存储、界面或对外接口。

上述方案中，由于获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据；获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志；根据目标通信设备的IP在SNMP数据中查找并获取目标通信设备的目标SNMP数据；根据目标通信设备的目标接口索引在目标SNMP数据中查找目标接口，并获取目标接口信息；根据目标接口索引对应的目的IP在DNS日志中查找并获取目标用户的目标用户请求域名，根据目标用户请求域名确定目标应用；根据目标接口索引对应的源IP在DNS日志中查找并获取目标用户的IP，并根据目标用户的IP在AAA日志中查找并获取目标用户账号；确定目标用户通过目标通信设备的目标接口在目标应用上使用目标用户账号时产生了流量。因此，首先，本申请中利用数据采集节点采集SNMP数据，由于数据采集节点能够灵活部署，可以充分地横向扩展，进行跨节点部署采集，避免了跨省报表或者总体报表难以集中化处理的问题；其次，本申请中结合采集的SNMP数据以及获取的网络日志，能够对通信设备中接口流量的应用及用户进行分析，增强了关联数据分析能力，进一步满足业务支撑需要。

本发明实施例可以根据上述的方法实施例对网络数据的分析装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图5给出了上述实施例中涉及的网络数据的分析装置的一种可能的结构示意图，用于实施上述的网络数据的分析方法。具体的，包括：获取模块51，用于获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据，其中，所述SNMP数据包括通信设备的IP、所述通信设备的接口索引；所述获取模块51，还用于获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志，其中，所述netflow日志包括所述目标通信设备的IP、所述目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，所述DNS日志包括用户的IP、用户请求域名，所述AAA日志包括用户账号、用户的IP；处理模块52，用于根据所述获取模块51获取的所述目标通信设备的IP在所述SNMP数据中查找并获取所述目标通信设备的目标SNMP数据；所述处理模块52，还用于根据所述获取模块51获取的所述目标通信设备的目标接口索引在所述目标SNMP数据中查找目标接口，并获取目标接口信息，其中，所述目标接口信息包括接口名称、接口类型、接口描述、接口位置；所述处理模块52，还用于根据所述获取模块51获取的所述目标接口索引对应的目的IP在所述DNS日志中查找并获取目标用户的目标用户请求域名，根据所述目标用户请求域名确定目标应用；所述处理模块52，还用于根据所述获取模块51获取的所述目标接口索引对应的源IP在所述DNS日志中查找并获取所述目标用户的IP，并根据所述目标用户的IP在所述AAA日志中查找并获取目标用户账号；确定模块53，用于确定所述目标用户通过所述目标通信设备的目标接口在所述目标应用上使用所述目标用户账号时产生了流量。

可选的，所述获取模块51，还用于获取yaml文件，其中，所述yaml文件包括SNMP数据采集需求；发送模块54，用于将所述获取模块51获取的所述yaml文件下发至数据采集节点，其中，所述yaml文件用于指示所述数据采集节点根据所述SNMP数据采集需求采集SNMP数据，所述数据采集节点包括kubernetes管理的docker镜像，所述docker镜像包含数据采集程序。

可选的，存储模块55，用于将所述SNMP数据以表的形式存储在hbase中，其中，所述hbase以HFILE文件结构形式存储在HDFS中。

可选的，所述存储模块55，还用于对表进行如下一项或多项设置：将所述通信设备的IP、所述通信设备的端口信息、所述SNMP数据的采集时间设置为表的rowkey，并对表的rowkey进行加盐处理；将表预分为n个预分区，其中，10≤n≤20；将所述SNMP数据的采集时间建立为二级索引。

在采用集成的模块的情况下，网络数据的分析装置包括：存储单元、处理单元以及接口单元。处理单元用于对网络数据的分析装置的动作进行控制管理。接口单元，负责网络数据的分析装置与其他设备的信息交互。存储单元，负责存储网络数据的分析装置的程序代码和数据。

其中，以处理单元为处理器，存储单元为存储器，接口单元为通信接口为例。其中，网络数据的分析装置参照图6中所示，包括通信接口601、处理器602、存储器603和总线604，通信接口601、处理器602通过总线604与存储器603相连。

处理器602可以是一个通用中央处理器(Central Processing Unit，CPU)，微处理器，特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

存储器602可以是只读存储器(Read-Only Memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(Random Access Memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器603用于存储执行本申请方案的应用程序代码，并由处理器602来控制执行。通信接口601用于与其他设备进行信息交互，例如支持网络数据的分析装置与其他设备的信息交互，例如从其他设备获取数据或者向其他设备发送数据。处理器602用于执行存储器603中存储的应用程序代码，从而实现本申请实施例中所述的方法。

此外，还提供一种计算存储媒体(或介质)，包括在被执行时进行上述实施例中的网络数据的分析方法操作的指令。另外，还提供一种计算机程序产品，包括上述计算存储媒体(或介质)。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，其作用在此不再赘述。

应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块、单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称:read-only memory，英文简称：ROM)、随机存取存储器(英文全称：random access memory，英文简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种网络数据的分析方法，其特征在于，

获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据，其中，所述SNMP数据包括通信设备的IP、所述通信设备的接口索引；

获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志，其中，所述netflow日志包括所述目标通信设备的IP、所述目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，所述DNS日志包括用户的IP、用户请求域名，所述AAA日志包括用户账号、用户的IP；

根据所述目标通信设备的IP在所述SNMP数据中查找并获取所述目标通信设备的目标SNMP数据；

根据所述目标通信设备的目标接口索引在所述目标SNMP数据中查找目标接口，并获取目标接口信息，其中，所述目标接口信息包括接口名称、接口类型、接口描述、接口位置；

根据所述目标接口索引对应的目的IP在所述DNS日志中查找并获取目标用户的目标用户请求域名，根据所述目标用户请求域名确定目标应用；

根据所述目标接口索引对应的源IP在所述DNS日志中查找并获取所述目标用户的IP，并根据所述目标用户的IP在所述AAA日志中查找并获取目标用户账号；

确定所述目标用户通过所述目标通信设备的目标接口在所述目标应用上使用所述目标用户账号时产生了流量。

2.根据权利要求1所述的网络数据的分析方法，其特征在于，所述获取数据采集节点根据SNMP数据采集需求采集的SNMP数据之前，还包括：

获取yaml文件，其中，所述yaml文件包括SNMP数据采集需求；

将所述yaml文件下发至数据采集节点，其中，所述yaml文件用于指示所述数据采集节点根据所述SNMP数据采集需求采集SNMP数据，所述数据采集节点包括kubernetes管理的docker镜像，所述docker镜像包含数据采集程序。

3.根据权利要求1所述的网络数据的分析方法，其特征在于，还包括，

将所述SNMP数据以表的形式存储在hbase中，其中，所述hbase以HFILE文件结构形式存储在HDFS中。

4.根据权利要求3所述的网络数据的分析方法，其特征在于，所述SNMP数据还包括所述SNMP数据的采集时间、所述通信设备的接口信息，将所述SNMP数据以表的形式存储在hbase中，还包括，对表进行如下一项或多项设置：

将所述通信设备的IP、所述通信设备的端口信息、所述SNMP数据的采集时间设置为表的rowkey，并对表的rowkey进行加盐处理；

将表预分为n个预分区，其中，10≤n≤20；

将所述SNMP数据的采集时间建立为二级索引。

5.一种网络数据的分析装置，其特征在于，

获取模块，用于获取数据采集节点根据简单网络管理协议SNMP数据采集需求采集的SNMP数据，其中，所述SNMP数据包括通信设备的IP、所述通信设备的接口索引；

所述获取模块，还用于获取目标通信设备的netflow日志、用户的域名解析系统DNS日志、用户的网络安全系统AAA日志，其中，所述netflow日志包括所述目标通信设备的IP、所述目标通信设备的目标接口索引、目标接口索引对应的源IP、目标接口索引对应的目的IP，所述DNS日志包括用户的IP、用户请求域名，所述AAA日志包括用户账号、用户的IP；

处理模块，用于根据所述获取模块获取的所述目标通信设备的IP在所述SNMP数据中查找并获取所述目标通信设备的目标SNMP数据；

所述处理模块，还用于根据所述获取模块获取的所述目标通信设备的目标接口索引在所述目标SNMP数据中查找目标接口，并获取目标接口信息，其中，所述目标接口信息包括接口名称、接口类型、接口描述、接口位置；

所述处理模块，还用于根据所述获取模块获取的所述目标接口索引对应的目的IP在所述DNS日志中查找并获取目标用户的目标用户请求域名，根据所述目标用户请求域名确定目标应用；

所述处理模块，还用于根据所述获取模块获取的所述目标接口索引对应的源IP在所述DNS日志中查找并获取所述目标用户的IP，并根据所述目标用户的IP在所述AAA日志中查找并获取目标用户账号；

确定模块，用于确定所述目标用户通过所述目标通信设备的目标接口在所述目标应用上使用所述目标用户账号时产生了流量。

6.根据权利要求5所述的网络数据的分析装置，其特征在于，还包括：

所述获取模块，还用于获取yaml文件，其中，所述yaml文件包括SNMP数据采集需求；

发送模块，用于将所述获取模块获取的所述yaml文件下发至数据采集节点，其中，所述yaml文件用于指示所述数据采集节点根据所述SNMP数据采集需求采集SNMP数据，所述数据采集节点包括kubernetes管理的docker镜像，所述docker镜像包含数据采集程序。

7.根据权利要求5所述的网络数据的分析装置，其特征在于，还包括：

存储模块，用于将所述SNMP数据以表的形式存储在hbase中，其中，所述hbase以HFILE文件结构形式存储在HDFS中。

8.根据权利要求7所述的网络数据的分析装置，其特征在于，

所述存储模块，还用于对表进行如下一项或多项设置：将所述通信设备的IP、所述通信设备的端口信息、所述SNMP数据的采集时间设置为表的rowkey，并对表的rowkey进行加盐处理；将表预分为n个预分区，其中，10≤n≤20；将所述SNMP数据的采集时间建立为二级索引。

9.一种网络数据的分析装置，其特征在于，包括通信接口、处理器、存储器、总线；所述存储器用于存储计算机执行指令，所述处理器与所述存储器通过所述总线连接，当所述网络数据的分析装置运行时，所述处理器执行所述存储器存储的计算机执行指令，以使所述网络数据的分析装置执行如权利要求1-4任一项所述的网络数据的分析方法。

10.一种计算机存储介质，包括指令，其特征在于，当所述指令在计算机上运行时，使得所述计算机执行如权利要求1-4任一项所述的网络数据的分析方法。

11.一种计算机程序产品，其特征在于，所述计算机程序产品包括指令代码，所述指令代码用于执行如权利要求1-4任一项所述的网络数据的分析方法。

Images