CN114679409A - 一种流表发送方法及相关装置 - Google Patents
一种流表发送方法及相关装置 Download PDFInfo
- Publication number
- CN114679409A CN114679409A CN202011449007.3A CN202011449007A CN114679409A CN 114679409 A CN114679409 A CN 114679409A CN 202011449007 A CN202011449007 A CN 202011449007A CN 114679409 A CN114679409 A CN 114679409A
- Authority
- CN
- China
- Prior art keywords
- flow
- stream
- records
- record
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000002159 abnormal effect Effects 0.000 claims abstract description 174
- 238000012545 processing Methods 0.000 claims description 45
- 230000002776 aggregation Effects 0.000 claims description 43
- 238000004220 aggregation Methods 0.000 claims description 43
- 230000015654 memory Effects 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 31
- 230000008569 process Effects 0.000 claims description 15
- 230000004931 aggregating effect Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 11
- 230000032683 aging Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 abstract description 35
- 238000012544 monitoring process Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000005856 abnormality Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000004141 dimensional analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/50—Overload detection or protection within a single switching element
Abstract
本申请提供了一种流表发送方法及相关装置。其中,网络设备生成流表,所述流表包括多条流记录;所述网络设备确定所述多条流记录对应的数据流是否为异常流;当所述网络设备确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。这样分析器就可以对每一条异常数据流进行分析,保证对网络设备的监控。同时,由于网络设备仅发送了异常流的流记录,可以大大降低发送的流记录的数量,从而令需要分析的流记录的数量更加匹配分析器对流记录的分析速度,以在根本上解决网络设备发送的流记录的数量与分析器分析能力不匹配的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种流表发送方法及相关装置。
背景技术
在网络通信中,通过网络设备(交换机、路由器或虚拟网络设备等)实现两个设备之间的报文传输。例如第一设备将报文传送至交换机,再由交换机将该报文传输至第二设备,从而完成第一设备与第二设备之间的数据交互。可见,网络设备对报文的转发质量直接影响目标设备之间的数据传输质量,因此,需要管控网络设备对报文的转发质量。
网络设备在转发报文时可以通过提取报文信息生成对应的流量统计表(又称为流表),该流量统计表包括多个数据流的统计信息(称为流记录),网络设备将生成的流表发送至分析器,以使分析器通过分析该流表中的流记录以监控网络设备的报文转发能力,例如可以根据流表将网络设备转发的流量的统计信息可视化以及发现网络设备在转发报文时出现的异常等。通常,一台网络设备上每秒可以产生几十k至100多k条流记录,而分析器由于硬件性能的限制,其分析流记录的速度仅能达到每秒10k条流记录左右(以由3台物理服务器组成的分析器集群为例)。可见,如果直接将网络设备产生的流表发送至分析器,分析器的分析速度无法匹配需要进行分析的流记录的数量。
为了解决上述问题,通过在网络设备上配置访问控制列表(access controllist,ACL)来过滤需要进行分析的报文,网络设备仅针对ACL匹配到的报文创建流表,从而减少流表中流记录的数量,即可以减少分析器所要分析的流记录的数量。但是,通过上述方式产生的流记录的数量仍然无法与分析器的分析速度相匹配,而且,通过ACL匹配到的报文并不能很好的代表全部报文,尤其容易遗漏异常报文,从而降低分析器对网络设备转发报文能力的监控力度。
发明内容
本申请提供了一种流表发送方法及相关装置,以通过仅发送流表中的异常流的流记录和/或聚合流表,来减少分析器所要分析的流记录的数量,同时,能够保证分析器分析到每一条异常数据流,保证对网络设备的管控。
第一方面,本申请提供了一种流表发送方法,所述方法包括:网络设备生成流表,所述流表包括多条流记录;所述网络设备确定所述多条流记录对应的数据流是否为异常流;当所述网络设备确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
根据上述方法,网络设备在生成流表之后,为了保证分析器能够分析到每一条异常数据流,保证对网络设备的管控,网络设备对流表中的每一条流记录进行判断,以确定异常流,并发送异常流的流记录至分析器,这样分析器就可以对每一条异常数据流进行分析,同时,由于网络设备仅发送了异常流的流记录,可以大大降低发送的流记录的数量,从而令需要分析的流记录的数量更加匹配分析器对流记录的分析速度,以在根本上解决网络设备发送的流记录的数量与分析器分析能力不匹配的问题。
在一种实现方式中,所述方法还包括:所述网络设备根据聚合规则处理所述多条流记录以得到处理后的流记录,所述处理后的流记录的数量小于所述多条流记录的数量;所述网络设备将所述处理后的流记录发送至所述分析器。
多条流记录可能同时包含异常流和正常流的流记录,用于分析网络设备所转发的与所述多条流记录对应的数据流的整体性能,经过处理可以将多条流记录聚合为更少条数的流记录,从而减少分析器需要分析的流记录的数量,同时基于上述过程发送的异常流的具体的流记录,不仅可以具体分析异常流,又可以分析网络设备转发的所有数据流。
在一种实现方式中,所述网络设备按照第一周期发送所述异常流的流记录,并按照第二周期发送所述处理后的流记录,其中,所述第一周期小于或等于所述第二周期。
由此,网络设备可以按照不同的周期异步发送异常流的流记录和包含异常流在内的全部流的流记录,尤其可以以更短的周期来发送异常流的流记录,以提高分析器对异常流的分析及时性。
在一种实现方式中,所述网络设备根据聚合规则处理所述多条流记录以得到处理后的流记录包括:所述网络设备根据所述聚合规则,将具有相同标识的流记录进行聚合处理,得到处理后的流记录。
由此,经过处理可以将多条流记录聚合为更少条数的流记录,从而减少分析器需要分析的流记录的数量,而且提前将同类(具有相同标识)的流记录进行聚合,可以令分析器直接针对不同类的流记录进行整体分析,提高分析的整体效果。
在一种实现方式中,每条流记录中包括用于识别数据流的标识以及所述数据流的统计信息,所述将具有相同标识的流记录进行聚合处理包括:识别所述多条流记录中具有相同标识的目标流记录,所述相同标识为第一标识;根据所述聚合规则以及所述第一标识确定第二标识;聚合所述目标流记录中的统计信息以得到聚合后的统计信息;根据所述第二标识和所述聚合后的统计信息,得到所述处理后的流记录。
由此,网络设备可以按照相同标识对流表中的流记录进行聚合,以减少处理后流记录的数量。
在一种实现方式中,所述异常流的流记录带有异常类型标记。
由此,网络设备发送的异常流的流记录中可以同时记录异常流的异常类型,以为分析器提供分析方向。
在一种实现方式中,所述网络设备将所述异常流的流记录存储至异常流表,并将所述处理后的流记录存储至统计流表。
由此,可以将异常流的流记录与处理后的流记录分开存储,以供网络设备按照需要从对应的存储介质中提取流记录进行发送,提高对流记录管理的有效性。
在一种实现方式中,所述网络设备在预设时间点确定是否存在异常流的流记录,所述预设时间点为所述流记录老化、数据流传输结束或者预设的时间周期。
由此,可以在流表老化、数据流传输结束时及时发送异常流的流记录,同时也可以在数据流过长时分多次对该数据流进行异常流确定以及发送,从而提高对数据流分析的及时性。
在一种实现方式中,所述网络设备生成流表包括:所述网络设备根据过滤后的报文生成流表。
由此,也可以在网络设备上设置报文匹配规则,例如ACL,以使网络设备首先筛选需要进行分析的报文,从而在一定程度上减少所需要进行分析的流记录。
第二方面,本申请还提供了一种流表发送装置,该流表发送装置具有实现上述网络设备的行为的功能,该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的单元模块。在一个可能的设计中,上述流表发送装置包括处理单元。处理单元,用于生成流表,所述流表包括多条流记录;所述处理单元,还用于确定所述多条流记录对应的数据流是否为异常流;发送单元,用于当所述处理单元确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
根据上述装置,网络设备在生成流表之后,为了保证分析器能够分析到每一条异常数据流,保证对网络设备的管控,网络设备对流表中的每一条流记录进行判断,以确定异常流,并发送异常流的流记录至分析器,这样分析器就可以对每一条异常数据流进行分析,同时,由于网络设备仅发送了异常流的流记录,可以大大降低发送的流记录的数量,从而令需要分析的流记录的数量更加匹配分析器对流记录的分析速度,以在根本上解决网络设备发送的流记录的数量与分析器分析能力不匹配的问题。
第三方面,本申请还提供了一种网络设备。该网络设备包括存储器和处理器,所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码/指令,当所述处理器执行所述计算机程序代码/指令时,使网络设备执行上述第一方面及其实现方式中的方法。
第四方面,本申请还提供了一种计算机存储介质。该计算机存储介质存储有计算机程序代码/指令,当所述计算机程序代码/指令在计算机设备上运行时,使得计算机设备执行上述第一方面及其实现方式中的方法。
第五方面,本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面及其实现方式中的方法。
第六方面,本申请还提供了一种芯片系统,该芯片系统包括处理器,用于支撑上述装置或设备实现上述第一方面及其实现方式中所涉及的功能。
本申请第二至第六方面的有益效果可以参考第一方面。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种报文传输场景的示意图;
图2为本申请实施例提供的一种图1中网络设备的结构示意图;
图3为本申请实施例提供的另一种图1中网络设备的结构示意图;
图4为本申请实施例提供的一种用于转发报文的网络系统的架构示意图;
图5为本申请实施例提供的网络设备发送流表至分析器的过程示意图;
图6为本申请实施例提供的一种流表发送方法的流程示意图;
图7为本申请实施例提供的一种流表的结构示意图;
图8为本申请实施例提供的另一种流表发送方法的流程示意图;
图9为本申请实施例提供的一种处理后的流记录的示意图;
图10为本申请实施例提供的一种聚合流记录的流程示意图;
图11为本申请实施例提供的另一种聚合流记录的流程示意图;
图12为本申请实施例提供的再一种流表发送方法的流程示意图;
图13为本申请实施例提供的一种流表发送装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本申请实施例提供的一种报文传输场景的示意图。如图1所示,当网络中的第一设备(发送端设备)100向第二设备(接收端设备)200发送报文时,该报文需要途径第一设备100和第二设备200之间转发路径上的多个网络设备300,其中,每个网络设备300用于接收来自转发路径上的上游网络设备的报文,并将报文转发给转发路径上的下游节点。可以通过监控每个网络设备300的报文转发质量来确定是否需要切换第一设备100与第二设备200之间的转发路径,以提高第一设备100与第二设备200之间的数据传输质量。网络设备300具有对报文流量分析的功能,即可以根据接收到的报文提取对应的数据流信息,以生成流量统计表(流表),该流表用于记录各数据流的流记录,每条流记录包括数据流的标识以及统计信息,例如IP地址、协议类型、端口号、报文数、字节数、时延、丢包信息等,这些流记录可以用于分析数据流的转发质量,从而监控网络设备300对报文的转发质量。各个网络设备300可以在其接收到报文后生成与该报文对应流表,并将该流表发送至分析器400,以使分析器400对流表中的流记录进行分析。
图2为本申请实施例提供的一种图1中网络设备的结构示意图。网络设备300具体可以是路由器、交换机、网络主机或者服务器等,可以作为转发设备在第一设备100和第二设备200之间转发报文。网络设备300可以包括:至少一个处理器、至少一个存储器和至少一个接口单元。作为示例地,如图2所示,网络设备300具体可以包括主控板310和接口板320。其中,主控板310包括处理器311和存储器312,处理器311和存储器312耦合连接。存储器312中存储有程序指令,处理器311可调用存储器312中的程序指令,使网络设备300执行相关的方法,例如生成流表、确定异常流等。接口板320可以包括处理器321、存储器322和接口单元323。处理器321、存储器322和接口单元323耦合连接。存储器322中存储有程序指令,处理器321可以调用存储器322中的程序指令,使网络设备300执行相关的方法,例如通过接口单元323接收和转发报文。本申请实施例中,接口单元323用于与其它网络设备建立通信链路,实现报文的收发,接口单元323可以包括一个或者多个光纤链路接口、以太网接口、微波链路接口或者铜线接口等。主控板310和接口板320可以通过总线建立连接,实现数据交换。
图3为本申请实施例提供的另一种图1中网络设备的结构示意图。网络设备300具体可以是路由器、交换机、网络主机或者服务器等,可以作为转发设备在第一设备100和第二设备200之间转发报文。如图3所示,网络设备300可以包括存储器331、通信接口332和处理器333。存储器331、通信接口332和处理器333耦合连接,存储器331中存储有程序指令,处理器333可调用存储器331中的程序指令,使网络设备300执行相关的方法,例如接收报文、生成流表,通过通信接口332接收和转发报文等。
本申请实施例中,网络设备300的处理器,如图2所示的处理器311和处理器321,或者如图3所示的处理器333,分别可以包括一个或者多个处理单元,例如系统芯片(systemon a chip,SoC)、中央处理器(central processing unit,CPU)、微控制器(microcontroller,MCU)、存储控制器等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
本申请实施例中,网络设备300的存储器,如图2所示的存储器312和存储器322,或者如图3所示的存储器331,分别可以包括一个或者多个存储单元,例如可以包括易失性存储器(volatile memory),如:动态随机存取存储器(dynamic random access memory,DRAM)、静态随机存取存储器(static random access memory,SRAM)等;还可以包括非易失性存储器(non-volatile memory,NVM),如:只读存储器(read-only memory,ROM)、闪存(flash memory)等。其中,不同的存储单元可以是独立的器件,也可以集成或者封装在一个或者多个处理器或者通信接口中,成为处理器或者通信接口的一部分。
本申请实施例中,网络设备300的通信接口332可以包括网络适配器(networkadapter)、网卡(network interface card)、局域网适配器(LAN adapter)、网络接口控制器(network interface controller,NIC)、调制解调器(modem)等。其中,通信接口可以是独立的器件,也可以部分或者全部地集成或者封装在处理器中,成为处理器的一部分。
可以理解的是,本申请实施例示意的结构并不构成对网络设备的具体限定。在本申请另一些实施例中,网络设备可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
图4为本申请实施例提供的一种用于转发报文的网络系统的架构示意图。该网络架构例如可以应用到数据中心(data center,DC),以部署高性能计算(high performancecomputing,HPC)集群、分布式存储系统(distributed storage system,DSS)、分布式机器学习(distributed machine learning)系统,以及其他分布式的业务系统等。如图4所示,该网络系统具有两级系统架构,包括至少一个高层级的网络设备(如骨干交换机)和多个低层级的网络设备(如叶交换机),每个低层级的网络设备都会分别连接到所有高层级的网络设备。低层级的网络设备用于连接服务器、网络主机或其他网络设备。高层级的网络设备是网络系统的骨干设备,用于将所有低层级的网络设备连接起来。
在图4所示的结构中,任意一个服务器、网络主机或其他网络设备都可以通过转发设备向另一个服务器、网络主机或其他网络设备发送报文,其中,发送报文的第一设备100可以称作源节点或者发送端设备(sender),接收报文的第二设备200可以称作目的节点或者接收端设备(receiver)。可以是一个sender同时向多个receiver发送报文,也可以是多个sender向同一个receiver发送报文。如果sender连续向receiver发送了多个报文,那么可以认为sender向receiver发送了一个数据流(也可以称作业务流)。以图4作为示例,第一设备100向第二设备200发送的数据流途经叶交换机1、骨干交换机1和叶交换机3到达第二设备200,叶交换机1、骨干交换机1和叶交换机3都会为该数据流建立对应的流记录。
图5为本申请实施例提供的网络设备发送流表至分析器过程的示意图。如图5所示,网系统中包括100台网络设备(即,网络设备0-网络设备99)和多个分析器集群。每一台网络设备都要向分析器集群发送流表。每一个分析器集群包括3台物理服务器。以每台网络设备产生64k条流记录,且以每10秒发送一次流表为例,为了保证对网络设备的监控精度,选择发送网络设备产生的全部64k条流记录,如果每个分析器集群的分析速度为每秒10k条流记录,那么至少需要64k×100÷10÷10k=64个分析器集群。可见,上述过程虽然可以保证分析器对网络设备转发质量的分析精度,但是,分析器集群资源消耗过大,分析成本过高。
本申请实施例提供了一种流表发送方法及相关装置,以解决上述技术方案存在的技术问题。
实施例一
本申请第一实施例提供了一种流表发送方法,应用于网络设备,该网络设备可以是上述图1-图5中任意的用于转发报文的设备,例如交换机、服务器、路由器或者网络主机等。
图6为本申请实施例提供的一种流表发送方法的流程示意图,如图6所示,该方法包括:
S101、网络设备生成流表,所述流表包括多条流记录。
网络设备可以接收第一设备100或者位于报文转发路径上的下游网络设备所发送的报文,以图4为例,叶交换机1接收第一设备100发送的报文,骨干交换机1接收位于报文转发路径上的下游网络设备叶交换机1发送的报文,叶交换机3接收位于报文转发路径上的下游网络设备骨干交换机1发送的报文。
网络设备可以通过硬件芯片,例如转发芯片等对所接收的报文进行分析,如分析报文头等信息,例如将具有相同元组信息的报文汇集为同一条数据流,并生成数据流对应的统计信息,将数据流对应的元组信息和统计信息作为流记录,并将多条数据流对应的流记录写入同一张表格,得到流量统计表。图7为本申请实施例提供的一种流表的结构示意图。图7是根据五元组信息生成的流表,即将具有相同五元组信息的报文汇集为一条数据流,并对应生成每一条数据流的流记录。每一条流记录包含五元组信息(源地址、目的地址、协议类型、源端口号、目的端口号),同时,还包括数据流对应的报文数以及其他信息,例如流开始时间、流刷新时间、传输控制协议(Transmission Control Protocol,TCP)标记位、生存时间(time to tive,TTL)、入接口、出接口、字节数、报文异常标记等。例如图7中流记录1表示源地址为IP1、目的地址为IP2、协议类型为TCP、源端口号为32768、目的端口号为80的数据流的流记录,该数据流对应的报文数为1000,该流记录中还包括其他信息(图7中未具体示出)。
报文可以分为两类,异常报文和正常报文,其中,异常报文是指报文信息存在异常的报文,例如同一数据流中的多个报文携带同一状态标志、报文丢失、报文时延、报文字节数过多等,正常报文是指报文信息无异常的报文。
示例地,网络设备对解析一条数据流中的每个报文信息,以识别异常报文,例如同一数据流中的多个TCP Syn报文、Reset报文、TCP Window=0的报文、被网络设备丢弃的报文、在网络设备内转发时延超长的报文、TTL为0的报文等。除以上示例,网络设备还可以通过解析每个报文以发现其它的异常,从而确定异常报文。
为了区分不同异常类型的异常报文,可以为每个异常类型分配对应的异常标志,例如多个TCP Syn报文中的异常报文对应的异常标志为A1,Reset报文的异常标志为A2,报文被网络设备丢弃对应的异常标志为B1,TCP Window=0的报文的异常标志为B2,在网络设备内转发时延超长的报文对应的异常标志为C1,TTL=0对应的异常标志为C2等。这样,可以直接通过识别异常标志快速确定异常报文,以及异常报文对应的异常类型。
在其他实现方式中,网络设备也可以根据报文的不同元组信息生成流表,例如根据四元组信息、三元组或者二元组生成流表。网络设备也可以通过软件生成流表。
S102、所述网络设备确定异常流。
报文所形成的数据流可以分为两类,异常数据流(也可以称作异常流)和正常数据流(也可以称作正常流),其中,异常流是指包含异常报文的数据流,正常流是指无异常报文的数据流。
在管控网络设备对于报文的转发质量时,只有及时确定网络设备转发报文时出现了哪些异常,才能够及时分析出现异常的原因,进而有针对性的进行改善,从而有效保证网络设备对报文的转发质量。由此,分析异常流是非常重要的。
带有不同异常报文标志的异常流的数据流异常类型也不同,可以将所有异常报文标志对应的异常流发送分析器进行分析,也可以将指定异常报文标志对应的异常流发送分析器进行分析,而无需进行分析的异常流可以近似看作正常流。对于后一种情况,用户只需要分析指定异常报文标志的异常流,而不用无差别分析每一条异常流,从而减少分析工作量。
对于这种情况,用户可以在异常流识别模块中预先配置异常流识别规则,即通过识别指定异常标志,来确定异常流。例如异常流识别规则为指定异常标志为A1,那么,如果异常流识别模块识别到数据流中带有A1,则该数据流为异常流;异常流识别规则为指定异常标志为A2,那么如果异常流识别模块识别到数据流中带有A2,则该数据流为异常流。
进一步地,带有不同异常类型的异常报文的异常流也对应不同的异常类型,例如带有A1的异常流,说明多个报文均携带连接请求状态标志,这样的异常类型可以称为握手异常(如TCP Multi-Syn异常);带有A2的异常流,说明报文携带连接中断请求状态标志,这样的异常类型可以称为异常断链(如Receiver发送TCP Reset报文)。为了标识异常流不同的异常类型,异常流识别模块可以为不同的异常类型配置不同的异常类型标记,例如握手异常对应的异常类型标记为a1,建链异常对应的异常类型标记为a2。
确定异常流对应的异常类型标记之后,可以将该异常类型标记写入该异常流对应的流记录,跟随流表一同发送至分析器,这样,分析器可以通过解析流表获知异常流对应的异常类型,进而针对该异常类型进行有针对性的分析。在一种实现方式中,网络设备在预设时间点确定是否存在异常流的流记录。
例如网络设备在流记录老化时确定该流记录是否对应异常流。网络设备超过一定时间未接收到某一数据流对应的报文,则认为该数据流对应的流记录老化,此时针对已经生成的流记录确定该流记录对应的数据流是否为异常流;
或者,网络设备在数据流传输结束时根据该数据流的流记录确定该数据流是否为异常流。对于一些比较简短的数据流,其在很短的时间内就可以完成传输,例如在1秒内完成传输,由于传输时间较短,即使在数据流传输结束之后再确定该数据流是否为异常流也不会影响时效性,因此,可以在数据流传输结束之后再根据该数据流的流记录确定该数据流是否为异常流;
或者,网络设备在满足预设的时间周期时根据流记录确定是否存在异常流。对于一些比较持续时间比较长的数据流,其在短时间内无法完成传输,由于传输时间较长,如果在数据流传输结束之后再确定该数据流是否为异常流就可能会影响判断的时效性,因此,可以预先设定一个时间周期,例如1秒,那么每经过1秒,即使未完成数据流传输,也根据当前生成的流表确定是否存在异常流的流记录,以保证判断的时效性。
网络设备识别出异常流的流记录之后,将该流记录存储至异常流表,异常流表包括每一条异常流对应的流记录以及异常类型标识。在一种实现方式中,异常流表中的流记录可以按照写入时间进行排序,即先写入的流记录位于后写入的流记录之前,以便可以优先发送先写入的流记录至分析器进行分析。在另一种实现方式中,异常流表中的流记录可以按照排序规则进行排序,排序规则可以根据异常类型的优先级、异常类型的权重等设定,这样,可以优先发送优先级靠前的异常类型的异常流的流记录。
S103、当所述网络设备确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
网络设备仅发送异常流的流记录至分析器,供分析器进行分析,这样,就可以大大减少分析器需要分析的流记录的数量,而且,可以保证分析器对每一条异常流进行分析,不会出现遗漏,可以及时发现问题并进行改善,从而保证对网络设备转发报文的质量的管控力度。
在一种实现方式中,网络设备可以按照第一周期发送异常流表,其中,第一周期可以由用户自行设定,或者网络设备根据分析器当前的分析能力进行设定,例如如果分析器当前比较空闲,即分析速度较快,第一周期可以相对较短,如果分析器当前负载较大,即分析速度较慢,第一周期可以相对较长。
报文转发路径上的每一台网络设备均按照上述方式发送流表至分析器,如图4所示的报文转发路径,则叶交换机1、骨干交换机1和叶交换机3都会发送流表至分析器,这样,分析器可以根据接收到的流表进行各个网络设备之间的关联分析,以得到数据流在报文转发路径上的流量分析结果。
由上述可知,实施例一提供的流表发送方法,可以通过识别出异常流,进而仅发送异常流对应的流记录至分析器,大大减少分析器所要分析的流记录的数量,而且可以通过令分析器分析到每一条异常流,来监控网络设备转发报文时出现的异常,进而提高网络设备监控转发报文质量的力度。
实施例二
基于实施例一,如果还需要对流表中多条流记录对应的数据流进行整体分析,以分析网络内转发的流量成分、带宽等,实现流量带宽、流量成分等的可视化,可以采用实施例二提供的流表发送方法,具体如下:
图8为本申请实施例提供的另一种流表发送方法的流程示意图,如图8所示,所述方法包括:
S201、所述网络设备根据聚合规则处理所述多条流记录以得到处理后的流记录,所述处理后的流记录的数量小于所述多条流记录的数量。
通过上述操作,可以减少处理后的流记录的数量。网络设备将流表中的每一条流记录传送至聚合模块进行聚合处理,聚合模块可以为硬件芯片也可以为软件,以图7所示的流表为例,网络设备将流记录1-4传送至聚合模块进行聚合处理。聚合模块会根据聚合规则对流记录1-4进行处理,得到如图9所示的处理后的流记录,可见,处理后的流记录仅剩2条,流记录5和6,也就是说仅需发送流记录5和6至分析器进行分析,可以有效减少流记录的数量。
具体的,网络设备可以根据聚合规则,将具有相同标识的流记录进行聚合处理。
在本实施例中,不同的流记录具有不同的标识,例如源地址、目的地址、协议类型、源端口号和目的端口号,组合不同的标识,可以得到不同的元组,例如五元组(源地址、目的地址、协议类型、源端口号和目的端口号)、四元组(源地址、目的地址、协议类型和目的端口号)、三元组(源地址、目的地址和协议类型)、二元组(源地址和目的地址)。上文提到,可以根据需要将报文生成对应于不同元组的流表,如果流记录具有五元组信息,则对应生成的流表为五元组流表,以此类推。
以图7提供的五元组流表为例,每条流记录对应的五元组的具体信息仅存在部分相同的标识,以流记录1和流记录3为例,两者的相同标识为源地址、目的地址、协议类型、目的端口号;以流记录2和流记录4为例,两者的相同标识为源地址、目的地址、协议类型、源端口号。这样,就可以根据这些相同标识将流记录1和流记录3聚合为一条流记录,将流记录2和流记录4聚合为一条流记录。
图10为本申请实施例提供的一种聚合流记录的流程示意图,如图10所示,所述方法包括:
S2011、识别所述多条流记录中具有相同标识的目标流记录,所述相同标识为第一标识。
S2012、根据所述聚合规则以及所述第一标识确定第二标识。
S2013、聚合所述目标流记录中的统计信息以得到聚合后的统计信息。
S2014、根据所述第二标识和所述聚合后的统计信息,得到所述处理后的流记录。
在一种实现方式中,以图7所示的流表为例,如果指定端口号为80,那么就以端口号80作为确定相同标识的识别条件,可见,流记录1-4中具有相同指定端口号(也就是相同标识)的目标流记录为流记录1和流记录3,流记录2和流记录4。对于流记录1和流记录3,相同标识为目的端口号,该目的端口号为第一标识;对于流记录2和流记录4,相同标识为源端口号,该源端口号为第一标识。聚合规则具体为将第一标识设定为服务器端口号,同时,如果第一标识为源端口号,则认为报文为从服务器转发至客户端,即源地址为服务器地址,目的地址为客户端地址,如果第一标识为目的端口号,则认为报文为从客户端转发至服务器,即源地址为客户端地址,目的地址为服务器地址,并以此来确定聚合后对应的第二标识,并聚合具有相同第二标识的流记录。例如将流记录1和流记录3的源地址确定为聚合后的客户端地址,将目的地址确定为聚合后的服务器地址,将协议类型确定为聚合后的协议类型,将目的端口号确定为聚合后的服务器端口号,删除源端口号,即第二标识为客户端地址IP1,服务器地址IP2,协议类型TCP,服务器端口号80。将流记录2和流记录4的目的地址确定为聚合后的客户端地址,将源地址确定为聚合后的服务器地址,将协议类型确定为聚合后的协议类型,将源端口号确定为聚合后的服务器端口号,删除目的端口号,即第二标识为客户端地址IP1,服务器地址IP2,协议类型TCP,服务器端口号80。
对具有相同第二标识的流记录中的信息进行聚合,得到聚合后的统计信息,例如对报文数等进行聚合处理,还可以统计正常流的数量、异常流的数量以及聚合前数据流的数量。如图9所示,将第二标识以及对应的聚合后的统计信息进行汇总,得到处理后的流记录,例如流记录5为经过流记录1和流记录3聚合处理获得,流记录6为经过流记录2和流记录4聚合处理获得。
在另一种实现方式中,以图7所示的流表为例,可以通过比对流表中每一条流记录中的标识,确定各条流记录之间相同的标识,通常,相同标识选取仍能组成元组的标识,例如,流记录1和流记录3具有相同标识源地址、目的地址、协议类型、目的端口号,而且这四个标识可以组成为四元组,则这些标识可以为第一标识;流记录2和流记录4具有相同标识源地址、目的地址、协议类型、源端口号,但是这些标识不能组成元组,则这些标识不是第一标识;流记录1、流记录3具有相同标识源地址、目的地址、协议类型,这三个标识可以组成为三元组,则这些标识可以为第一标识;流记录2和流记录4具有相同标识源地址、目的地址、协议类型,这三个标识可以组成为三元组,则这些标识可以为第一标识;流记录1和流记录3具有相同标识源地址、目的地址,而且这两个标识可以组成二元组,则这些标识可以为第一标识;流记录2和流记录4具有相同标识源地址、目的地址,而且这两个标识可以组成二元组,则这些标识可以为第一标识。
如果聚合规则具体为聚合得到三元组流表,则第一标识为源地址、目的地址、协议类型,且聚合后对应的第二标识也应该为源地址、目的地址、协议类型。对具有相同第二标识的流记录中的信息进行聚合,得到聚合后的统计信息。如图11所示,将第二标识以及对应的聚合后的统计信息进行汇总,得到处理后的流记录,例如流记录7为经过流记录1和流记录3聚合处理获得,流记录8为经过流记录2和流记录4聚合处理获得。
可见,经过聚合处理可以有效减少流记录的数量,也就是减少需要分析的流记录的数量,从而与分析器的分析能力相匹配。
S202、所述网络设备将所述处理后的流记录发送至所述分析器。
网络设备经过聚合处理得到处理后的流记录之后,将该处理后的流记录存储至统计流表,统计流表包括每一条处理后的流记录。
网络设备可以按照第二周期发送处理后的流记录,第二周期可以设定为流表老化或者数据流传输结束,这样,可以保证将全部报文生成的流记录发送至分析器进行分析,以便分析器根据最完整的流记录来分析流量转发路径等。
与实施例一中提供的第一周期相比,第一周期可以小于第二周期,这样,可以更加及时的发送异常流表,提高分析器分析异常流的及时性,同时可以减少分析器分析的流记录的数量。进一步地,可以设定第一周期与第二周期的时间差,以避免同时向分析器发送异常流表和统计流表。当然在分析器的分析能力比较富裕时,可以采用第一周期等于第二周期的发送方式,来同时发送异常流表和统计流表,以同时提高统计流表的发送及时性。
由上述可知,实施例二提供的流表发送方法,可以在发送经过实施例一得到的完整的异常流的流记录的基础上,同时发送经过聚合处理后的全部流记录,这样,不仅可以具体分析异常流,又可以分析网络设备转发的所有数据流,满足对网络设备报文转发异常和报文转发整体过程两个维度的分析。而且,可以有效减少用于分析报文转发整体过程的流记录的数量,可以更好的匹配分析器的分析能力。
实施例三
基于实施例一和实施例二,实施例三提供了第三种流表发送方法,具体如下:
图12为本申请实施例提供的再一种流表发送方法的流程示意图,如图12所示,所述方法包括:
S301、网络设备对接收的报文进行过滤处理,得到过滤后的报文。
S302、网络设备根据所述过滤后的报文生成流表。
网络设备上可以配置访问控制列表ACL来匹配需要进行分析的报文,从而针对匹配到的报文创建流表,这样,可以在一定程度上减少流表中流记录的数量。ACL的匹配规则可以根据历史数据进行设置,例如历史异常报文、需要重点分析的报文等。
由上述可知,在实施例一和实施例二的基础上,本实施例可以进一步减少流记录的数量,从而减少网络设备识别异常流、聚合流记录的压力,也可以减少分析器所需要分析的流记录的数量,以更好的匹配分析器的分析能力。
上述本申请提供的实施例中,分别从设备本身、以及从设备之间交互的角度对本申请提供的流表发送方法的各方案进行了介绍。可以理解的是,各个设备,例如上述网络设备和存储设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
例如,上述设备通过软件模块来实现相应的功能。
在一个实施例中,如图13所示,用于实现上述网络设备行为的功能的流表发送装置包括:处理单元501,用于生成流表,所述流表包括多条流记录;所述处理单元501,还用于确定所述多条流记录对应的数据流是否为异常流;发送单元502,用于当所述处理单元确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
根据上述装置,网络设备在生成流表之后,为了保证分析器能够分析到每一条异常数据流,保证对网络设备的监控,网络设备对流表中的每一条流记录进行判断,以确定异常流,并发送异常流的流记录至分析器,这样分析器就可以对每一条异常数据流进行分析,同时,由于网络设备仅发送了异常流的流记录,可以大大降低发送的流记录的数量,从而令需要分析的流记录的数量更加匹配分析器对流记录的分析速度,以在根本上解决网络设备发送的流记录的数量与分析器分析能力不匹配的问题。
可选的,所述处理单元501,还用于根据聚合规则处理所述多条流记录以得到处理后的流记录,所述处理后的流记录的数量小于所述多条流记录的数量;所述发送单元502,还用于将所述处理后的流记录发送至所述分析器。由此,多条流记录可能同时包含异常流和正常流的流记录,用于分析网络设备所转发的与所述多条流记录对应的数据流的整体性能,经过处理可以将多条流记录聚合为更少条数的流记录,从而减少分析器需要分析的流记录的数量,同时基于上述过程发送的异常流的具体的流记录,不仅可以具体分析异常流,又可以分析网络设备转发的所有数据流。
可选的,所述发送单元502,还用于按照第一周期发送所述异常流的流记录;所述发送单元502,还用于按照第二周期发送所述处理后的流记录;其中,所述第一周期小于或等于所述第二周期。由此,网络设备可以按照不同的周期异步发送异常流的流记录和包含异常流在内的全部流的流记录,尤其可以以更短的周期来发送异常流的流记录,以提高分析器对异常流的分析及时性。
可选的,所述处理单元501,还用于根据所述聚合规则,将具有相同标识的流记录进行聚合处理,得到处理后的流记录。由此,经过处理可以将多条流记录聚合为更少条数的流记录,从而减少分析器需要分析的流记录的数量,而且提前将同类(具有相同标识)的流记录进行聚合,可以令分析器直接针对不同类的流记录进行整体分析,提高分析的整体效果。
可选的,每条流记录中包括用于识别数据流的标识以及所述数据流的统计信息,所述处理单元501,还用于识别所述多条流记录中具有相同标识的目标流记录,所述相同标识为第一标识;根据所述聚合规则以及所述第一标识确定第二标识;所述处理单元501,还用于聚合所述目标流记录中的统计信息以得到聚合后的统计信息;所述处理单元501,还用于根据所述第二标识和所述聚合后的统计信息,得到所述处理后的流记录。由此,网络设备可以按照相同标识对流表中的流记录进行聚合,以减少处理后流记录的数量。
可选的,所述异常流的流记录带有异常类型标记。由此,网络设备发送的异常流的流记录中可以同时记录异常流的异常类型,以为分析器提供分析方向。
可选的,如图13所示,还包括存储单元503;所述存储单元503,用于将所述异常流的流记录存储至异常流表,并将所述处理后的流记录存储至统计流表。由此,可以将异常流的流记录与处理后的流记录分开存储,以供网络设备按照需要从对应的存储介质中提取流记录进行发送,提高对流记录管理的有效性。
可选的,所述处理单元501,还用于在预设时间点确定是否存在异常流的流记录,所述预设时间点为所述流记录老化、数据流传输结束或者预设的时间周期。由此,可以在流表老化、数据流传输结束时及时发送异常流的流记录,同时也可以在数据流过长时分多次对该数据流的流记录进行确定以及发送,从而提高对数据流分析的及时性。
可选的,所述处理单元501,还用于根据过滤后的报文生成流表。由此,也可以在网络设备上设置报文匹配规则,例如ACL,以使网络设备首先筛选需要分析的报文,并根据该需要分析的报文生成流记录,从而减少所需要分析的流记录。
另外,例如,上述设备可以通过硬件模块来实现相应的功能。
在一个实施例中,网络设备的上述功能可以通过图2所示的结构实现。例如,接口单元323用于接收上游网络设备发送的报文、将报文转发给下游网络设备、以及将流表发送至分析器;存储器312和/或322存储计算机程序代码/指令;当处理器311和/或321执行计算机程序代码/指令时,使网络设备执行上述各实施例中涉及的方法,例如:获取报文,生成流表,确定流记录对应的数据流是否为异常流,并在确定数据流为异常流时,指示发送所述异常流对应的流记录至分析器等。
在另一个实施例中,网络设备的上述功能可以通过图3所示的硬件结构实现。例如,通信接口332接收上游网络设备发送的报文,以及将报文转发给下游网络设备、存储器、分析器;存储器331存储计算机程序代码/指令;当处理器333执行计算机程序代码/指令时,使网络设备执行上述各实施例中涉及的方法,例如:获取报文,根据报文生成流表,确定流记录对应的数据流是否为异常流,并在确定数据流为异常流时,指示发送所述异常流对应的流记录至分析器等。
本申请实施例还提供一种计算机存储介质,计算机存储介质中存储有计算机程序代码/指令,当其在计算机设备上运行时,使得计算机设备执行上述各方面的方法。
本申请实施例还提供一种包含指令的计算机程序产品,当其在计算机设备上运行时,使得计算机设备执行上述各方面的方法。
本申请还提供了一种芯片系统。该芯片系统包括处理器,用于支持上述装置或设备实现上述方面中所涉及的功能,例如,生成或处理上述方法中所涉及的信息。在一种可能的设计中,芯片系统还包括存储器,用于保存上述装置或设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (20)
1.一种流表发送方法,其特征在于,所述方法包括:
网络设备生成流表,所述流表包括多条流记录;
所述网络设备确定所述多条流记录对应的数据流是否为异常流;
当所述网络设备确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述网络设备根据聚合规则处理所述多条流记录以得到处理后的流记录,所述处理后的流记录的数量小于所述多条流记录的数量;
所述网络设备将所述处理后的流记录发送至所述分析器。
3.根据权利要求2所述的方法,其特征在于,所述网络设备按照第一周期发送所述异常流的流记录,并按照第二周期发送所述处理后的流记录,其中,所述第一周期小于或等于所述第二周期。
4.根据权利要求2或3所述的方法,其特征在于,所述网络设备根据聚合规则处理所述多条流记录以得到处理后的流记录包括:
所述网络设备根据所述聚合规则,将具有相同标识的流记录进行聚合处理,得到处理后的流记录。
5.根据权利要求4所述的方法,其特征在于,每条流记录中包括用于识别数据流的标识以及所述数据流的统计信息,所述将具有相同标识的流记录进行聚合处理包括:
识别所述多条流记录中具有相同标识的目标流记录,所述相同标识为第一标识;根据所述聚合规则以及所述第一标识确定第二标识;
聚合所述目标流记录中的统计信息以得到聚合后的统计信息;
根据所述第二标识和所述聚合后的统计信息,得到所述处理后的流记录。
6.根据权利要求1-5中任一所述的方法,其特征在于,所述异常流的流记录带有异常类型标记。
7.根据权利要求2-6中任一所述的方法,其特征在于,所述网络设备将所述异常流的流记录存储至异常流表,并将所述处理后的流记录存储至统计流表。
8.根据权利要求1-7中任一所述的方法,其特征在于,还包括:所述网络设备在预设时间点确定是否存在异常流的流记录,所述预设时间点为所述流记录老化、数据流传输结束或者预设的时间周期。
9.根据权利要求1-8中任意一项所述的方法,其特征在于,所述网络设备生成流表包括:
所述网络设备根据过滤后的报文生成流表。
10.一种流表发送装置,其特征在于,包括:
处理单元,用于生成流表,所述流表包括多条流记录;
所述处理单元,还用于确定所述多条流记录对应的数据流是否为异常流;
发送单元,用于当所述处理单元确定出异常流时,发送所述异常流的流记录至分析器,以供所述分析器分析所述异常流。
11.根据权利要求10所述的装置,其特征在于,
所述处理单元,还用于根据聚合规则处理所述多条流记录以得到处理后的流记录,所述处理后的流记录的数量小于所述多条流记录的数量;
所述发送单元,还用于将所述处理后的流记录发送至所述分析器。
12.根据权利要求11所述的装置,其特征在于,
所述发送单元,还用于按照第一周期发送所述异常流的流记录;
所述发送单元,还用于按照第二周期发送所述处理后的流记录;
其中,所述第一周期小于或等于所述第二周期。
13.根据权利要求11或12所述的装置,其特征在于,
所述处理单元,还用于根据所述聚合规则,将具有相同标识的流记录进行聚合处理,得到处理后的流记录。
14.根据权利要求13所述的装置,其特征在于,每条流记录中包括用于识别数据流的标识以及所述数据流的统计信息,
所述处理单元,还用于识别所述多条流记录中具有相同标识的目标流记录,所述相同标识为第一标识;根据所述聚合规则以及所述第一标识确定第二标识;
所述处理单元,还用于聚合所述目标流记录中的统计信息以得到聚合后的统计信息;
所述处理单元,还用于根据所述第二标识和所述聚合后的统计信息,得到所述处理后的流记录。
15.根据权利要求10-14中任一所述的装置,其特征在于,所述异常流的流记录带有异常类型标记。
16.根据权利要求11-15中任一所述的装置,其特征在于,还包括存储单元;
所述存储单元,用于将所述异常流的流记录存储至异常流表,并将所述处理后的流记录存储至统计流表。
17.根据权利要求10-16中任一所述的装置,其特征在于,
所述处理单元,还用于在预设时间点确定是否存在异常流的流记录,所述预设时间点为所述流记录老化、数据流传输结束或者预设的时间周期。
18.根据权利要求10-17中任一所述的装置,其特征在于,
所述处理单元,还用于根据过滤后的报文生成流表。
19.一种网络设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码/指令,当所述处理器执行所述计算机程序代码/指令时,使所述网络设备执行如权利要求1-9中任一所述的方法。
20.一种计算机存储介质,其特征在于,包括计算机程序代码/指令,当所述计算机程序代码/指令在计算机设备上运行时,使得所述计算机设备执行如权利要求1-9中任一所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011449007.3A CN114679409A (zh) | 2020-12-09 | 2020-12-09 | 一种流表发送方法及相关装置 |
| EP21902162.3A EP4250668A4 (en) | 2020-12-09 | 2021-09-26 | METHOD FOR SENDING TRAFFIC TABLE AND RELATED APPARATUS |
| PCT/CN2021/120728 WO2022121454A1 (zh) | 2020-12-09 | 2021-09-26 | 一种流表发送方法及相关装置 |
| US18/331,664 US20230327968A1 (en) | 2020-12-09 | 2023-06-08 | Flow Table Sending Method and Related Apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011449007.3A CN114679409A (zh) | 2020-12-09 | 2020-12-09 | 一种流表发送方法及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114679409A true CN114679409A (zh) | 2022-06-28 |
Family
ID=81973058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011449007.3A Pending CN114679409A (zh) | 2020-12-09 | 2020-12-09 | 一种流表发送方法及相关装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230327968A1 (zh) |
| EP (1) | EP4250668A4 (zh) |
| CN (1) | CN114679409A (zh) |
| WO (1) | WO2022121454A1 (zh) |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
| KR101097449B1 (ko) * | 2009-12-28 | 2011-12-23 | (주) 시스메이트 | 플로우 처리 방법 및 장치 |
| CN103929334B (zh) * | 2013-01-11 | 2018-02-23 | 华为技术有限公司 | 网络异常通知方法和装置 |
| US11265740B2 (en) * | 2014-03-31 | 2022-03-01 | British Telecommunications Public Limited Company | Home network monitor |
| CN107196816B (zh) * | 2016-03-14 | 2020-11-03 | 中国移动通信集团江西有限公司 | 异常流量检测方法、系统及网络分析设备 |
| CN107196891B (zh) * | 2016-03-15 | 2020-02-14 | 华为技术有限公司 | 数据流转发异常检测方法、控制器和系统 |
| JP6535809B2 (ja) * | 2016-03-24 | 2019-06-26 | 株式会社日立製作所 | 異常検出装置、異常検出システム、及び、異常検出方法 |
| CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
| WO2019176080A1 (ja) * | 2018-03-16 | 2019-09-19 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
-
2020
- 2020-12-09 CN CN202011449007.3A patent/CN114679409A/zh active Pending
-
2021
- 2021-09-26 EP EP21902162.3A patent/EP4250668A4/en active Pending
- 2021-09-26 WO PCT/CN2021/120728 patent/WO2022121454A1/zh unknown
-
2023
- 2023-06-08 US US18/331,664 patent/US20230327968A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4250668A4 (en) | 2024-04-24 |
| US20230327968A1 (en) | 2023-10-12 |
| EP4250668A1 (en) | 2023-09-27 |
| WO2022121454A1 (zh) | 2022-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10917322B2 (en) | Network traffic tracking using encapsulation protocol | |
| US10735325B1 (en) | Congestion avoidance in multipath routed flows | |
| US10498612B2 (en) | Multi-stage selective mirroring | |
| JP5717057B2 (ja) | ネットワークシステム、コントローラ、スイッチ、及びトラフィック監視方法 | |
| JP5660198B2 (ja) | ネットワークシステム、及びスイッチ方法 | |
| CN106972985B (zh) | 加速dpi设备数据处理与转发的方法和dpi设备 | |
| US10778588B1 (en) | Load balancing for multipath groups routed flows by re-associating routes to multipath groups | |
| US10652154B1 (en) | Traffic analyzer for autonomously configuring a network device | |
| US10033602B1 (en) | Network health management using metrics from encapsulation protocol endpoints | |
| US20190166008A1 (en) | Methods, systems, and computer readable media for network traffic statistics collection | |
| CN111314179B (zh) | 网络质量检测方法、装置、设备和存储介质 | |
| EP3890279A1 (en) | Network information transmission system | |
| WO2021093465A1 (zh) | 发送报文、接收报文以进行oam的方法、装置及系统 | |
| US10992557B1 (en) | Traffic analyzer for network device | |
| WO2016169121A1 (zh) | 一种链路分析的方法、设备及系统 | |
| US20070101195A1 (en) | Method for testing network devices using breakpointing | |
| CN110071843B (zh) | 一种基于流路径分析的故障定位方法及装置 | |
| Amaral et al. | Application aware SDN architecture using semi-supervised traffic classification | |
| CN113055301A (zh) | 拥塞控制方法及相关设备 | |
| CN114679409A (zh) | 一种流表发送方法及相关装置 | |
| CN114095383B (zh) | 网络流量采样方法、系统和电子设备 | |
| CN111800311B (zh) | 分散计算状态实时感知方法 | |
| US10904123B2 (en) | Trace routing in virtual networks | |
| CN114095441A (zh) | 一种实现ecmp流量负载均衡的方法及电子设备 | |
| Cui et al. | Closer: Scalable load balancing mechanism for cloud datacenters |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |