CN115733642A - 流量特征提取方法及装置 - Google Patents

流量特征提取方法及装置 Download PDF

Info

Publication number
CN115733642A
CN115733642A CN202111006394.8A CN202111006394A CN115733642A CN 115733642 A CN115733642 A CN 115733642A CN 202111006394 A CN202111006394 A CN 202111006394A CN 115733642 A CN115733642 A CN 115733642A
Authority
CN
China
Prior art keywords
burst
flow
parameter
traffic segment
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111006394.8A
Other languages
English (en)
Inventor
王震
杨文斌
白宇
李广
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202111006394.8A priority Critical patent/CN115733642A/zh
Priority to EP22191385.8A priority patent/EP4142250A1/en
Priority to US17/897,496 priority patent/US11876724B2/en
Publication of CN115733642A publication Critical patent/CN115733642A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/33Flow control; Congestion control using forward notification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种流量特征提取方法及装置,属于网络技术领域。该方法包括:网络设备确定接收的第一报文流的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数。其中,第一报文流是大象流,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数。本申请中,第一报文流的突发参数可以表征第一报文流的流量特征,因此通过确定第一报文流的突发参数,实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。

Description

流量特征提取方法及装置
技术领域
本申请涉及网络技术领域,特别涉及一种流量特征提取方法及装置。
背景技术
网络设备在转发报文流的过程中,可以提取报文流的流量特征。
随着网络技术的发展,网络流量持续增长,网络承载的业务越来越丰富。报文流的发送端为了降低协议栈的处理开销和中央处理器(central processing unit,CPU)的负荷,往往会阶段性发送大量报文,造成流量的突发(burst)。
如何对存在突发流量的报文流进行流量特征提取,是亟需解决的问题。
发明内容
本申请提供了一种流量特征提取方法及装置。本申请的技术方案如下:
第一方面,提供了一种流量特征提取方法,应用于网络设备,该方法包括:接收第一报文流,第一报文流是大象流;确定第一报文流的突发流量段的突发参数,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数;根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数。其中,突发流量段包括连续的多个报文,突发流量段的突发参数可以表征该突发流量段的流量特征,第一报文流的突发参数可以表征第一报文流的流量特征。
本申请提供的技术方案,网络设备确定第一报文流的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,由于第一报文流是大象流,第一报文流的突发参数可以表征第一报文流的流量特征,因此本申请实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。
可选地,第一报文流包括n个突发等级的聚合突发流量段,聚合突发流量段根据第一报文流的突发流量段确定,例如,聚合突发流量段根据第一报文流的突发流量段聚合得到,n为正整数。第一报文流的突发参数包括以下至少一种:第一报文流的突发等级的数量;第一报文流的各个突发等级的聚合突发流量段的突发参数。其中,聚合突发流量段的突发参数是用于描述该聚合突发流量段的参数,聚合突发流量段的突发参数用于表征该聚合突发流量段的流量特征。
本申请提供的技术方案,第一报文流的突发参数包括第一报文流的突发等级的数量和第一报文流的各个突发等级的聚合突发流量段的突发参数中的至少一种,聚合突发流量段的突发参数用于表征该聚合突发流量段的流量特征,因此,第一报文流的突发等级的数量和第一报文流的各个突发等级的聚合突发流量段的突发参数均能够表征第一报文流的流量特征。
可选地,每个突发等级的聚合突发流量段的突发参数包括以下至少一种:该突发等级的聚合突发流量段的数据量;该突发等级的聚合突发流量段的持续时长;该突发等级的聚合突发流量段的速率;该突发等级的相邻聚合突发流量段之间的时间间隔。其中,聚合突发流量段的数据量指的是该聚合突发流量段的总字节数。
可选地,每个突发流量段的突发参数包括以下至少一种:该突发流量段的数据量;该突发流量段的持续时长;该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。其中,突发流量段包括连续的多个报文,突发流量段的数据量指的是该突发流量段的总字节数,也即是,该突发流量段包括的多个报文的字节数之和。
可选地,确定第一报文流的突发流量段的突发参数,包括:根据第一报文流中的报文确定第一报文流的至少一个突发流量段;根据每个突发流量段中的报文确定该突发流量段的突发参数。例如,根据第一报文流中的报文之间的时间间隔确定第一报文流的至少一个突发流量段。根据每个突发流量段中的报文确定该突发流量段的数据量。根据网络设备对每个突发流量段中的第一个报文的接收时间戳与该网络设备对该突发流量段中的最后一个报文的接收时间戳,确定该突发流量段的持续时长。根据网络设备对每个突发流量段中的最后一个报文的接收时间戳与该网络设备对该突发流量段的下一个突发流量段中的第一个报文的接收时间戳,确定该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。
可选地,第一报文流包括多个突发流量段,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,包括:根据该多个突发流量段的突发参数确定该多个突发流量段的突发参数分布;根据该突发参数分布确定第一报文流的突发参数。
可选地,每个突发流量段的突发参数包括:该突发流量段的数据量、该突发流量段的持续时长和该突发流量段对应的时间间隔中的至少一种,该突发流量段对应的时间间隔为该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。该突发参数分布包括:数据量分布,持续时长分布和时间间隔分布中的至少一种。其中,该数据量分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的数量。该持续时长分布中包括该多个数据量和该多个数据量中的每个数据量的突发流量段的总持续时长。该时间间隔分布中包括多个时间间隔和该多个时间间隔中的每个时间间隔对应的突发流量段的数量。该多个数据量根据该多个突发流量段的数据量确定,该多个时间间隔根据该多个突发流量段对应的时间间隔确定。
可选地,第一报文流包括n个突发等级的聚合突发流量段,n为大于1的整数。按照突发等级从低到高的顺序,该n个突发等级的聚合突发流量段的数据量依次增大,该n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大。根据突发参数分布确定第一报文流的突发参数包括以下步骤(1)至步骤(5)中的至少一个。
(1).将所述数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量,该第1个突发等级是所述n个突发等级中的最低突发等级,第一数据量是该数据量分布中对应的突发流量段的数量最多的数据量。
(2).根据所述时间间隔分布确定n个间隔档,每个间隔档中包括至少一个时间间隔,该间隔档中的时间间隔对应的突发流量段的数量按照从该间隔档的边界到该间隔档的中心依次增大,该n个间隔档中的时间间隔依次增大。根据该n个间隔档中的第k个间隔档中的时间间隔确定第k个突发等级的相邻聚合突发流量段之间的时间间隔,1≤k≤n,k为整数。
(3).根据所述时间间隔分布中的突发流量段的总数量、所述n个间隔档中的第i个间隔档中的时间间隔对应的突发流量段的总数量和所述第1个突发等级的聚合突发流量段的数据量,确定第i个突发等级的聚合突发流量段的数据量,1<i≤n,i为整数。
(4).根据所述持续时长分布中第k个突发等级的聚合突发流量段的数据量对应的总持续时长和所述数据量分布中该第k个突发等级的聚合突发流量段的数据量对应的突发流量段的数量,确定该第k个突发等级的聚合突发流量段的持续时长。
(5).根据第k个突发等级的聚合突发流量段的数据量和该第k个突发等级的聚合突发流量段的持续时长,确定该第k个突发等级的聚合突发流量段的速率。
可选地,该方法还包括:输出所述突发参数分布的直方图。网络设备输出所述突发参数分布的直方图,可以便于突发参数分布的可视化展示。
可选地,该方法还包括:根据第一报文流的突发参数确定第一报文流的业务类型。例如,第一报文流的业务类型为交互类业务或非实时交互类业务。
可选地,该方法还包括:根据第一报文流的突发参数确定第一报文流的服务等级协议(service-level agreement,SLA)要求等级。其中,SLA要求等级可以包括时延要求等级、丢包要求等级等。网络设备确定第一报文流的SLA要求等级,可以便于根据第一报文流的SLA要求等级确定第一报文流的转发策略,以转发第一报文流。
可选地,该方法还包括:根据第一报文流的突发参数确定第一报文流的到达模型,该到达模型采用第一报文流的传输时延和丢包率中的至少一种表征。
可选地,该方法还包括:根据第一报文流的突发参数检测攻击流量。
第二方面,提供了一种流量特征提取装置,包括用于执行如上述第一方面或第一方面的任一可选方式所提供的流量特征提取方法的各个模块。所述模块可以基于软件、硬件或软件和硬件的结合实现,所述模块可以基于具体实现进行任意组合或分割。
第三方面,提供了一种流量特征提取装置,包括存储器和处理器;
存储器用于存储计算机程序;
处理器用于执行存储器中存储的计算机程序以使得该流量特征提取装置执行如上述第一方面或第一方面的任一可选方式所提供的流量特征提取方法。
可选地,上述第二方面和第三方面提供的流量特征提取装置可以是网络设备,也可以是网络设备中的功能组件,例如是网络设备中的芯片。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,该计算机程序被执行时实现如上述第一方面或第一方面的任一可选方式所提供的流量特征提取方法。
第五方面,提供了一种计算机程序产品,该计算机程序产品包括程序或代码,该程序或代码被执行时实现如上述第一方面或第一方面的任一可选方式所提供的流量特征提取方法。
第六方面,提供了一种芯片,该芯片包括可编程逻辑电路和/或程序指令,该芯片运行时用于实现如上述第一方面或第一方面的任一可选方式所提供的流量特征提取方法。
可选地,该芯片是控制芯片或转发芯片。
本申请提供的技术方案带来的有益效果是:
本申请提供的流量特征提取方法及装置,网络设备确定接收的第一报文流的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数。其中,第一报文流是大象流,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数,第一报文流的突发参数可以表征第一报文流的流量特征,因此本申请实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。
本申请中,网络设备确定第一报文流的突发参数(即提取第一报文流的流量特征)具有广阔的应用前景。例如,网络设备可以根据第一报文流的突发参数确定第一报文流的业务类型、确定第一报文流的SLA要求等级、确定第一报文流的到达模型、检测攻击流量等。并且,网络设备确定第一报文流的SLA要求等级之后,还可以根据第一报文流的SLA要求等级转发第一报文流,从而网络设备可以根据不同报文流的SLA要求等级转发不同的报文流,有助于保障高价值业务的SLA要求。网络设备确定第一报文流的到达模型之后,还可以根据第一报文流的到达模型量化评估第一报文流对网络设备的缓存(buffer)以及对网络稳定性的影响。
附图说明
图1是本申请实施例提供的一种第一报文流的示意图;
图2是本申请实施例提供的另一种第一报文流的示意图;
图3是本申请实施例提供的再一种第一报文流的示意图;
图4是本申请实施例提供的一种流量特征提取方法的流程图;
图5是本申请实施例提供的一种确定第一报文流的突发流量段的突发参数的流程图;
图6是本申请实施例提供的一种确定第一报文流的突发参数的流程图;
图7是本申请实施例提供的一种数据量分布的直方图;
图8是本申请实施例提供的一种持续时长分布的直方图;
图9是本申请实施例提供的一种时间间隔分布的直方图;
图10是本申请实施例提供的一种流量特征提取装置的结构示意图;
图11是本申请实施例提供的另一种流量特征提取装置的结构示意图;
图12是本申请实施例提供的再一种流量特征提取装置的结构示意图。
具体实施方式
下面将结合附图对本申请实施方式作进一步地详细描述。
报文在传输的过程中,可以携带与报文传输相关的传输信息,例如二元组、五元组或者七元组。其中,二元组包括源互联网协议(internet protocol,IP)地址和目的IP地址。五元组包括源IP地址、源端口号、目的IP地址、目的端口号和传输层协议号。七元组包括源媒体接入控制(media access control,MAC)地址、目的MAC地址、源IP地址、目的IP地址、协议号、源端口号和目的端口号。若某一设备(例如主机、虚拟机、网络设备等)连续发送出的多个报文携带的传输信息均相同,则该多个报文构成报文流。因此,可以通过报文携带的例如二元组、五元组、七元组或者用于区分报文流的其它信息来确定报文所属的报文流。
通信网络,例如,数据中心网络(data center network,DCN)、城域网络、广域网络、园区网络、虚拟专用网络(virtual private network,VPN)等包括多个网络设备,网络设备用于在接入该通信网络的不同工作站(例如主机、虚拟机等)之间转发报文流,实现该不同工作站之间的通信。网络设备在转发报文流的过程中,可以提取报文流的流量特征,以根据报文流的流量特征进行一些处理,例如根据报文流的流量特征确定该报文流的转发策略等。其中,报文流的流量特征例如是该报文流的报文数量、该报文流的数据量(即该报文流的报文的总字节数)等,还可以是该报文流的传输时延、抖动、丢包率等等。
目前,网络设备通常通过离线方式提取报文流的流量特征,并且网络设备仅能够提取比较平稳的报文流的流量特征。例如,网络设备通过流量端口镜像、NetStream(网络流)采样等技术对报文流进行采样获得采样数据,将采样数据发送给分析服务器,使分析服务器分析采样数据以获得该报文流的流量特征。由于是网络设备将采样数据发给分析服务器,由分析服务器获取报文流的流量特征,因此提取报文流的流量特征的该方式是一种离线方式。但是,通过离线方式提取报文流的流量特征,需要网络设备进行大量数据采集和发送,网络设备向分析服务器发送采样数据需要消耗较多的带宽资源,并且需要分析服务器进行大量计算来获得报文流的流量特征,对分析服务器的存储资源、计算资源等的消耗较大。此外,采样数据缺乏报文流的完整信息,导致分析服务器获得的报文流的流量特征难以表征该报文流的实际流量,分析服务器获得的流量特征不够准确。由于是离线方式提取流量特征,因此网络设备与分析服务器之间的交互需要耗费较长时间,网络设备无法及时响应报文流的流量特征的变化。其中,比较平稳的报文流指的是发送端平稳发送的报文流,该报文流中的不同报文的数据量(也即是报文的字节数)的差值较小,每个报文与其前后相邻的两个报文之间的时间间隔的差值较小。
但是,随着网络技术的发展,网络流量持续增长,网络承载的业务越来越丰富,报文流的发送端为了减低协议栈的处理开销和CPU的负荷,往往会阶段性发送大量报文,造成流量的突发。突发流量是通信网络丢包和传输时延增大的主要原因,因此很有必要对存在突发流量的报文流进行流量特征提取,以根据这些报文流的流量特征来处理、转发这些报文流,实现对不同报文流的差异化处理,改善通信网络丢包以及传输时延问题,保障通信网络所承载的高价值业务(例如视频会议业务、语音业务)的SLA。其中,存在突发流量的报文流指的是发送端阶段性发送的报文流,这些报文流中不同报文的数据量的差值可能较大,每个报文与其前后相邻的两个报文之间的时间间隔的差值可能较大,并且报文间隔可能分布不均。例如,发送端在第一时长(或者称为第一阶段)内发送业务流A的大量报文,在第一时长之后的一段时间内发送端不发送业务流A的报文,在该一段时间之后的第二时长(或者称为第二阶段)内发送端又发送业务流A的报文,这样就导致业务流A在第一时长内和第二时长内等存在流量的突发,第一时长内和第二时长内的流量均是突发流量,业务流A就是存在突发流量的报文流。
本申请实施例提供一种流量特征提取方法及装置,网络设备可以采用该流量特征提取方法提取存在突发流量的报文流的流量特征。具体地,网络设备可以确定存在突发流量的报文流(例如下述实施例中所述的第一报文流)的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,第一报文流的突发参数可以表征第一报文流的流量特征,因此实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。由于本申请实施例的流量特征提取方法中,由网络设备提取第一报文流的流量特征,因此该流量特征提取方法是一种在线提取流量特征的方法,能够降低对带宽资源的消耗,避免对分析服务器的存储资源、计算资源的消耗,并且网络设备可以获得报文流的完整信息,网络设备获得的报文流的流量特征能够表征该报文流的实际流量,网络设备能够及时响应报文流的流量特征的变化。
本申请实施例的流量特征提取方法由网络设备执行。该网络设备可以是通信网络中用于业务转发的任意网络设备。例如,按照设备类型来分,该网络设备可以是交换机、路由器、虚拟交换机或虚拟路由器等。按照设备部署位置来分,该网络设备可以是边缘网络设备或核心网络设备,例如,边缘网络设备可以是运营商边缘(provider edge,PE)设备,核心网络设备可以是运营商(provider,P)设备,本申请实施例对此不作限定。
下面介绍本申请实施例提供的技术方案。在下文的介绍中,以存在突发流量的报文流是第一报文流为例。因此在介绍本申请实施例提供的技术方案之前,先对第一报文流进行介绍。
在本申请实施例中,第一报文流是大象流,第一报文流中存在突发流量,第一报文流的流量表现为n个突发等级的突发。同一突发等级的突发流量的突发程度的差异较小,不同突发等级的突发流量的突发程度的差异较大。由于流量的突发具有阶段性的特点,为了便于描述,本申请实施例将突发流量称为突发流量段,并且,按照突发等级来定义,将各个突发等级的突发流量均称为聚合突发流量段,采用突发参数来描述突发流量段和第一报文流。其中,突发流量段包括第一报文流的多个报文,突发流量段的突发参数可以表征该突发流量段的流量特征,第一报文流的突发参数可以表征第一报文流的流量特征。
由于第一报文流的流量表现为n个突发等级的突发,因此第一报文流包括n个突发等级的聚合突发流量段。在本申请实施例中,同一突发等级的不同聚合突发流量段的流量特征基本相同,不同突发等级的聚合突发流量段的流量特征不同。例如,同一突发等级的不同聚合突发流量段的数据量的差值较小,同一突发等级的聚合突发流量段与其前后相邻的两个聚合突发流量段之间的时间间隔的差值较小,不同突发等级的聚合突发流量段的数据量的差值较大,不同突发等级的相邻聚合突发流量段之间的时间间隔的差值较大。
当n为大于1的整数时,按照突发等级从低到高的顺序,该n个突发等级的聚合突发流量段的数据量依次增大,该n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大。该n个突发等级中的第1个突发等级为最低突发等级,第2至第n个突发等级中的每个突发等级的聚合突发流量段由第1个突发等级的聚合突发流量段聚合而成,或者说,第2至第n个突发等级中的每个突发等级的聚合突发流量段包括第1个突发等级的多个聚合突发流量段,因此,也可以将第1个突发等级的聚合突发流量段称为底层突发流量段。
示例地,请参考图1至图3,图1至图3示出了本申请实施例提供的三种第一报文流的示意图。图1和图2所示的第一报文流可以是实时交互等传输时延要求较高的业务的报文流。例如,图1所示的第一报文流是虚拟现实(virtual reality,VR)、视频会议、语音、电力差动等业务的报文流,图2所示的第一报文流是游戏(game)业务的报文流。图3所示的第一报文流可以是点播视频、下载等传输时延要求较低的业务的报文流。在图1至图3中,横轴为时间轴,纵轴的物理含义是聚合突发流量段的速率(或称为突发速率)。每个聚合突发流量段在横轴上的对应长度为该聚合突发流量段的持续时长,相邻两个聚合突发流量段之间的间隔为该相邻两个聚合突发流量段之间的时间间隔,每个聚合突发流量段在图中的面积(持续时长与速率的乘积)表示该聚合突发流量段的数据量。
如图1和图2所示,第一报文流的流量表现为一个突发等级(突发等级1)的突发,第一报文流包括突发等级1的多个聚合突发流量段,每个聚合突发流量段与其前后相邻的两个聚合突发流量段之间的时间间隔基本相等,不同聚合突发流量段的数据量基本相等,第一报文流的流量表现为一个突发等级的均匀突发。如图3所示,第一报文流的流量表现为三个突发等级(突发等级1、突发等级2和突发等级3)的突发,突发等级1、突发等级2和突发等级3从低到高排序,第一报文流包括突发等级1的多个聚合突发流量段A、突发等级2的多个聚合突发流量段B和突发等级3的多个聚合突发流量段C。每个聚合突发流量段A包括第一报文流中连续的多个报文,每个聚合突发流量段B由连续的多个聚合突发流量段A聚合而成,不同聚合突发流量段B中所包含的聚合突发流量段A不同,每个聚合突发流量段C由连续的多个聚合突发流量段B聚合而成(或者说每个聚合突发流量段C由连续的多个聚合突发流量段A聚合而成,且聚合突发流量段C中包含的聚合突发流量段A的数量大于聚合突发流量段B中包含的聚合突发流量段A的数量),不同聚合突发流量段C中所包含的聚合突发流量段B不同。相邻聚合突发流量段A之间的时间间隔为1ms(毫秒),相邻聚合突发流量段B之间的时间间隔为50ms(毫秒),相邻聚合突发流量段C之间的时间间隔为5s(秒)。不同聚合突发流量段A的数据量基本相等,不同聚合突发流量段B的数据量基本相等,不同聚合突发流量段C的数据量的基本相等,但是,聚合突发流量段A的数据量、聚合突发流量段B的数据量以及聚合突发流量段C的数据量的差异较大。
根据图1至图3可知,实时交互等传输时延要求较高的业务的报文流的突发较小,突发较为规律,报文流具有比较规律的流量特征;点播视频、下载等传输时延要求较低的业务的报文流的突发较大,突发具有较大的间歇性和不稳定性,报文流的流量特征的规律性较低。可见,不同业务的报文流的突发状况不同,不同业务的报文流的流量特征不同。这是因为不同业务的SLA需求不同,发送端发送不同业务的报文流的方式不同。由于不同业务的报文流的流量特征不同,因此提取报文流的流量特征具有重要的意义和广阔的应用场景。例如,可以根据报文流的流量特征确定报文流的业务类型、确定报文流的SLA要求等级、确定报文流的到达模型、检测攻击流量等。
需要说明的是,图1至图3仅用于举例,并不构成对本申请提供的第一报文流的限制,第一报文流还可以是其他的存在突发流量报文流。本申请实施例以“突发等级”为例说明,在一些实施例中,突发等级也被称为突发层次,因此也可以描述为第一报文流的流量表现为n个层次的突发,或者采用其他类似的表述,本申请实施例对此不做限定。
以上是对本申请实施例涉及的第一报文流的介绍,下面介绍本申请的流量特征提取方法的实施例,且在方法实施例中,以网络设备提取第一报文流的流量特征为例说明。
请参考图4,其示出了本申请实施例提供的一种流量特征提取方法的流程图。该流量特征提取方法可以由网络设备执行。如图4所示,该方法可以包括下述步骤S401至S403。
S401.接收第一报文流,第一报文流是大象流。
网络设备可以从第一报文流的传输路径上该网络设备的上一跳接收第一报文流。该上一跳可以是第一报文流的发送端,也可以是第一报文流的传输路径上的中间节点设备。例如该上一跳可以是网络设备或者是接入通信网络的工作站,本申请实施例对此不限定。
其中,第一报文流是大象流,第一报文流中存在突发流量,第一报文流包括至少一个突发流量段,每个突发流量段包括第一报文流中连续的多个报文。
在可选的实施例中,第一报文流的流量表现为n个突发等级的突发,n为正整数。例如,第一报文流可以是如图1至图3任一所示的报文流。
S402.确定第一报文流的突发流量段的突发参数,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数。
在可选的实施例中,网络设备可以在接收到第一报文流之后确定第一报文流的突发流量段的突发参数,也可以在接收第一报文流的过程中确定第一报文流的突发流量段的突发参数,本申请实施例对此不作限定。本申请实施例以网络设备在接收第一报文流的过程中确定第一报文流的突发流量段的突发参数为例说明。
其中,第一报文流的每个突发流量段指示第一报文流在一个时间段内流量的突发程度,每个突发流量段的突发参数是用于描述该突发流量段的参数,每个突发流量段的突发参数可以表征该突发流量段的流量特征。每个突发流量段的突发参数包括以下至少一种:该突发流量段的数据量、该突发流量段的持续时长,该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。突发流量段的数据量指的是该突发流量段的总字节数,也即是,该突发流量段包括的多个报文的字节数之和。
作为一个示例,请参考图5,其示出了本申请实施例提供的一种确定第一报文流的突发流量段的突发参数的流程图。如图5所示,该方法包括下述步骤S4021至S4022。
S4021.根据第一报文流中的报文确定第一报文流的至少一个突发流量段。
在可选的实施例中,对于第一报文流中的每个报文(例如第一报文),网络设备确定第一报文与第二报文(第二报文与第一报文相邻)之间的时间间隔,该网络设备根据第一报文与第二报文之间的时间间隔确定第一报文与第二报文是否属于同一个突发流量段。通过这样的方式,该网络设备可以确定出第一报文流的至少一个突发流量段。其中,第一报文与第二报文之间的时间间隔可以是该网络设备对第一报文的接收时间戳与该网络设备对第二报文的接收时间戳之间的时间差。
示例地,网络设备根据第一报文与第二报文之间的时间间隔确定第一报文与第二报文是否属于同一个突发流量段,包括:网络设备判断第一报文与第二报文之间的时间间隔是否小于间隔阈值;如果第一报文与第二报文之间的时间间隔小于该间隔阈值,该网络设备确定第一报文与第二报文属于同一个突发流量段;如果第一报文与第二报文之间的时间间隔不小于该间隔阈值,该网络设备确定第一报文与第二报文不属于同一个突发流量段。其中,间隔阈值可以根据实际业务传输过程中流量的突发状况确定。
在本申请实施例中,网络设备确定的每个突发流量段中包括连续的多个报文。如果网络设备确定出多个突发流量段,则该多个突发流量段按照时间顺序依次排布。
S4022.根据突发流量段中的报文确定该突发流量段的突发参数。
其中,每个突发流量段的突发参数包括以下至少一种:该突发流量段的数据量、该突发流量段的持续时长、该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。相应地,网络设备确定每个突发流量段的突发参数包括以下至少一种:
(1).对于每个突发流量段:网络设备确定该突发流量段中的所有报文的字节数之和,该网络设备将该突发流量段中的所有报文的字节数之和确定为突发流量段的数据量。
(2).对于每个突发流量段:网络设备确定该网络设备对该突发流量段中的第一个报文的接收时间戳与该网络设备对该突发流量段中的最后一个报文的接收时间戳之间的时间差(例如时间差A),该网络设备将该时间差A确定为该突发流量段的持续时长。
(3).对于每个突发流量段:网络设备确定该网络设备对该突发流量段中的最后一个报文的接收时间戳与该网络设备对该突发流量段的下一个突发流量段中的第一个报文的接收时间戳之间的时间差,该网络设备将该时间差(例如时间差B)确定为该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。
S403.根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数。
网络设备确定第一报文流的突发流量段的突发参数之后,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数。第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数,第一报文流的突发参数可以表征第一报文流的流量特征。
在可选的实施例中,第一报文流包括多个突发流量段。作为一个示例,请参考图6,其示出了本申请实施例提供的一种根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数的流程图。如图6所示,该方法包括下述步骤S4031至S4032。
S4031.根据第一报文流的多个突发流量段的突发参数确定该多个突发流量段的突发参数分布。
网络设备可以根据第一报文流的多个突发流量段的突发参数确定该多个突发流量段的突发参数分布。如前所述,每个突发流量段的突发参数包括以下至少一种:该突发流量段的数据量、该突发流量段的持续时长,该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔(为了简化描述,将每个突发流量段与该突发流量段相邻的突发流量段之间的时间间隔称为该突发流量段对应的时间间隔)。因此,在本申请实施例中,所述突发参数分布包括:数据量分布,持续时长分布和时间间隔分布中的至少一种。其中,该数据量分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的数量(例如数据量为a的突发流量段的数量)。该持续时长分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的总持续时长(例如数据量为a的所有突发流量段的持续时长之和)。该时间间隔分布中包括多个时间间隔和该多个时间间隔中的每个时间间隔对应的突发流量段的数量(例如时间间隔Δt1对应的突发流量段的数量)。其中,该多个数据量根据所述多个突发流量段的数据量确定,该多个时间间隔根据所述多个突发流量段对应的时间间隔确定。
作为S4031的一个示例(为了便于描述将此示例称为S4031的第一示例),网络设备确定的所述多个突发流量段的数据量分布如下表1所示,所述多个突发流量段的持续时长分布如下表2所示,所述多个突发流量段的时间间隔分布如下表3所示。
表1
Figure BDA0003237358660000091
表2
Figure BDA0003237358660000092
表3
Figure BDA0003237358660000093
作为S4031的另一个示例(为了便于描述将此示例称为S4031的第二示例),网络设备确定的所述多个突发流量段的数据量分布如下表4所示,所述多个突发流量段的持续时长分布如下表5所示,所述多个突发流量段的时间间隔分布如下表6所示。
表4
Figure BDA0003237358660000101
表5
Figure BDA0003237358660000102
表6
Figure BDA0003237358660000103
S4032.根据该多个突发流量段的突发参数分布确定第一报文流的突发参数。
网络设备确定第一报文流的多个突发流量段的突发参数分布之后,根据该多个突发流量段的突发参数分布确定第一报文流的突发参数。在本申请实施例中,第一报文流的流量表现为n个突发等级,第一报文流包括n个突发等级的聚合突发流量段,该聚合突发流量段根据第一报文流的突发流量段确定,n为正整数。第一报文流的突发参数包括以下至少一种:第一报文流的突发等级的数量、第一报文流的各个突发等级的聚合突发流量段的突发参数。其中,聚合突发流量段的突发参数是用于描述该聚合突发流量段的参数。每个突发等级的聚合突发流量段的突发参数包括以下至少一种:该突发等级的聚合突发流量段的数据量、该突发等级的聚合突发流量段的持续时长、该突发等级的聚合突发流量段的速率、该突发等级的相邻聚合突发流量段之间的时间间隔。每个突发等级的相邻聚合突发流量段之间的时间间隔可以是一个具体的时间间隔,也可以是一个时间间隔范围,本申请实施例对此不作限定。
在可选的实施例中,n为大于1的整数,按照突发等级从低到高的顺序,该n个突发等级的聚合突发流量段的数据量依次增大,该n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大。并且,该n个突发等级中的第2至第n个突发等级中的每个突发等级的聚合突发流量段由第1个突发等级的聚合突发流量段聚合而成,第1个突发等级为最低突发等级。鉴于此,步骤S4032包括以下步骤S4032a至S4032e中的至少一个子步骤。
S4032a.网络设备将所述多个突发流量段的数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量。其中,该第1个突发等级是所述n个突发等级中的最低突发等级,第一数据量是该数据量分布中对应的突发流量段的数量最多的数据量。
根据S4021的介绍可知,突发流量段是根据第一报文流的报文确定的,因此S4021中网络设备确定的突发流量段是第一报文流的最低突发等级的突发流量段。并且,由于第1个突发等级为所述n个突发等级中的最低突发等级,第2至第n个突发等级中的每个突发等级的聚合突发流量段由第1个突发等级的聚合突发流量段聚合而成,因此第1个突发等级的聚合突发流量段的数据量对应的突发流量段是S4021中网络设备确定的最多的突发流量段。鉴于此,网络设备将所述数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量,该第一数据量是所述数据量分布中对应的突发流量段的数量最多的数据量。可选地,第1个突发等级的聚合突发流量段通常较小,例如第1个突发等级的聚合突发流量段的数据量小于预设数据量,预设数据量可以根据报文流的突发程度确定。
作为S4032a的一个示例(为了便于描述将此示例称为S4032a的第一示例),第一报文流的所述多个突发流量段的数据量分布如表1所示,参考表1,由于该数据量分布中,数据量16KB对应的突发流量段的数量最多(为1609),因此网络设备确定第1个突发等级的聚合突发流量段的数据量为16KB。也即,第一数据量为16KB。
作为S4032a的另一个示例(为了便于描述将此示例称为S4032a的第二示例),第一报文流的所述多个突发流量段的数据量分布如表4所示,参考表4,由于该数据量分布中,数据量4KB对应的突发流量段的数量最多(为8435),因此网络设备确定第1个突发等级的聚合突发流量段的数据量为4KB。也即,第一数据量为4KB。
S4032b.网络设备根据所述多个突发流量段的时间间隔分布确定n个间隔档,每个间隔档中包括至少一个时间间隔,每个间隔档中的时间间隔对应的突发流量段的数量按照从该间隔档的边界到该间隔档的中心依次增大,该n个间隔档中的时间间隔依次增大。网络设备根据该n个间隔档中的第k个间隔档中的时间间隔确定第k个突发等级的相邻聚合突发流量段之间的时间间隔,1≤k≤n,k为整数。
网络设备可以对所述多个突发流量段的时间间隔分布进行分析,以根据该时间间隔分布中的突发流量段的数量对该时间间隔分布中的时间间隔进行分档,得到n个间隔档。得到该n个间隔档之后,网络设备将第k个间隔档中对应的突发流量段的数量分布最多的时间间隔,确定为第k个突发等级的相邻聚合突发流量段之间的时间间隔。
作为S4032b的一个示例(为了便于描述将此示例称为S4032b的第一示例),第一报文流的所述多个突发流量段的时间间隔分布如表3所示,网络设备根据该时间间隔分布中的突发流量段的数量对该时间间隔分布中的时间间隔进行分档,得到间隔档1(即第1个间隔档)、间隔档2(即第2个间隔档)和间隔档3(即第3个间隔档)这3个间隔档。其中,间隔档1中包括0.5us、1us、2us、4us和8us这5个时间间隔,间隔档2中包括16us、32us、64us、128us、和256us这5个时间间隔,间隔档3中包括512us、1024us和2048us这3个时间间隔。在间隔档1、间隔档2和间隔档3中的每个间隔档中,该间隔档中的时间间隔对应的突发流量段的数量按照从该间隔档的边界到该间隔档的中心依次增大。间隔档1、间隔档2、间隔档3中的时间间隔依次增大。例如,间隔档1中的5个时间间隔对应的突发流量段的数量依次为536、1273、87、15、5,表现为从间隔档1的边界(例如时间间隔0.5us对应的位置和时间间隔8us对应的位置)到该间隔档1的中心(例如时间间隔1273us对应的位置)依次增大。再例如,间隔档2中的5个时间间隔对应的突发流量段的数量依次为11、36、75、2、0,表现为从间隔档2的边界(例如时间间隔16us对应的位置和时间间隔256us对应的位置)到该间隔档2的中心(例如时间间隔64us对应的位置)依次增大。网络设备确定该3个间隔档后,对于间隔档1,由于间隔档1中时间间隔1us对应的突发流量段的数量最多(为1273),因此网络设备确定第1个突发等级的相邻聚合突发流量段之间的时间间隔为1us(微秒)。对于间隔档2,由于间隔档2中时间间隔32us和64us对应的突发流量段的数量均较多(时间间隔32us对应的突发流量段的数量为36,时间间隔64us对应的突发流量段的数量为75),因此网络设备确定第2个突发等级的相邻聚合突发流量段之间的时间间隔为32us~64us。对于间隔档3,由于间隔档3中时间间隔2048us对应的突发流量段的数量最多(为15),因此网络设备确定第3个突发等级的相邻聚合突发流量段之间的时间间隔为2048us。
作为S4032b的另一个示例(为了便于描述将此示例称为S4032b的第二示例),第一报文流的所述多个突发流量段的时间间隔分布如表6所示,网络设备根据该时间间隔分布中的突发流量段的数量对该时间间隔分布中的时间间隔进行分档,得到间隔档1(即第1个间隔档)和间隔档2这2个间隔档。其中,间隔档1中包括0.5us、1us和2us这3个时间间隔,间隔档2中包括4us、8us、16us、32us、64us、128us、256us、512us、1024us和2048us这10个时间间隔。在间隔档1和间隔档2中的每个间隔档中,该间隔档中的时间间隔对应的突发流量段的数量按照从该间隔档的边界到该间隔档的中心依次增大。间隔档1、间隔档2中的时间间隔依次增大。例如,间隔档2中的10个时间间隔对应的突发流量段的数量依次为333、962、3871、1176、394、74、2、0、0、0,表现为从间隔档2的边界(例如时间间隔4us对应的位置和时间间隔2048us对应的位置)到该间隔档2的中心(例如时间间隔16us对应的位置、时间间隔32us对应的位置)依次增大。网络设备确定该2个间隔档后,对于间隔档1,由于间隔档1中时间间隔0.5us对应的突发流量段的数量最多(为7568),因此网络设备确定第1个突发等级的相邻聚合突发流量段之间的时间间隔为0.5us。对于间隔档2,由于间隔档2中时间间隔16us和32us对应的突发流量段的数量均较多(时间间隔16us对应的突发流量段的数量为3871,时间间隔32us对应的突发流量段的数量为1176),因此网络设备确定第2个突发等级的相邻聚合突发流量段之间的时间间隔为16us~32us。
S4032c.网络设备根据所述多个突发流量段的时间间隔分布中的突发流量段的总数量、所述n个间隔档中的第i个间隔档中的时间间隔对应的突发流量段的总数量和所述n个突发等级中的第1个突发等级的聚合突发流量段的数据量,确定第i个突发等级的聚合突发流量段的数据量,1<i≤n,i为整数。
其中,所述多个突发流量段的时间间隔分布中的突发流量段的总数量也即是所述多个突发流量段的数量。第i个间隔档中的时间间隔对应的突发流量段的总数量指的是该第i个间隔档中的各个时间间隔对应的突发流量段的数量之和。
在可选的实施例中,网络设备采用数据量公式确定第i个突发等级的聚合突发流量段的数据量。该数据量公式可以为:Di=(Q/Si)×D1。在该数据量公式中,Di表示第i个突发等级的聚合突发流量段的数据量,Q表示所述时间间隔分布中的突发流量段的总数量,Si表示第i个间隔档中的时间间隔对应的突发流量段的总数量,D1表示第1个突发等级的聚合突发流量段的数据量,符号“/”表示除号,符号“×”表示乘号。
根据前述描述可知,第2至第n个突发等级中的每个突发等级的聚合突发流量段由第1个突发等级的聚合突发流量段聚合而成,因此在上述数据量公式中,Q/Si可以表示第i个突发等级的聚合突发流量段所包含的第1个突发等级的聚合突发流量段的数量,即,第i个突发等级的聚合突发流量段由第1个突发等级的Q/Si个聚合突发流量段聚合而成。
作为S4032c的一个示例(为了便于描述将此示例称为S4032c的第一示例),第一报文流的所述多个突发流量段的时间间隔分布如表3所示,网络设备确定该时间间隔分布中的突发流量段的总数量为Q=536+1273+87+15+5+11+36+75+2+0+0+1+15=2056。网络设备根据该时间间隔分布确定的3个间隔档可以参考S4032b的第一示例。网络设备确定第1个突发等级的聚合突发流量段的数据量为16KB(参考S4032a的第一示例)。对于该3个间隔档中的第2个间隔档(即间隔档2),网络设备确定该第2个间隔档中的时间间隔对应的突发流量段的总数量为S2=11+36+75+2+0=124,因此网络设备根据上述数据量公式确定第2个突发等级的聚合突发流量段的数据量D2=(Q/S2)×D1=(2056/124)×16≈16×16=256KB。对于该3个间隔档中的第3个间隔档(即间隔档3),网络设备确定该第3个间隔档中的时间间隔对应的突发流量段的总数量为S3=0+1+15=16,因此网络设备根据上述数据量公式确定第3个突发等级的聚合突发流量段的数据量D3=(Q/S3)×D1=(2056/16)×16≈128×16=2048KB。
作为S4032c的另一个示例(为了便于描述将此示例称为S4032c的第二示例),第一报文流的所述多个突发流量段的时间间隔分布如表6所示,网络设备确定该时间间隔分布中的突发流量段的总数量为Q=7568+166+66+333+962+3871+1176+394+74+2+0+0+0=14612。网络设备根据该时间间隔分布确定的2个间隔档可以参考S4032b的第二示例。网络设备确定第1个突发等级的聚合突发流量段的数据量为4KB(参考S4032a的第二示例)。对于该2个间隔档中的第2个间隔档(即间隔档2),网络设备确定该第2个间隔档中的时间间隔对应的突发流量段的总数量为S2=333+962+3871+1176+394+74+2+0+0+0=6812,因此网络设备根据上述数据量公式确定第2个突发等级的聚合突发流量段的数据量D2=(Q/S2)×D1=(14612/6812)×4≈2×4=8KB。
S4032d.网络设备根据所述多个突发流量段的持续时长分布中第k个突发等级的聚合突发流量段的数据量对应的总持续时长和所述多个突发流量段的数据量分布中第k个突发等级的聚合突发流量段的数据量对应的突发流量段的数量,确定第k个突发等级的聚合突发流量段的持续时长,1≤k≤n,k为整数。
根据S4031可知,所述多个突发流量段的持续时长分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的总持续时长,所述多个突发流量段的数据量分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的数量。在该S4032d中,网络设备可以首先根据S4032a或S4032c中确定的第k个突发等级的聚合突发流量段的数据量,在该持续时长分布中确定该数据量(也即是,第k个突发等级的聚合突发流量段的数据量,例如数据量k)对应的总持续时长,以及,在该数据量分布中确定该数据量(也即是,第k个突发等级的聚合突发流量段的数据量,例如数据量k)对应的突发流量段的数量。然后,网络设备根据该持续时长分布中该数据量对应的总持续时长以及该数据量分布中该数据量对应的突发流量段的数量,采用持续时长公式确定第k个突发等级的聚合突发流量段的持续时长。
在可选的实施例中,该持续时长公式可以为:Tk=TDk/SDk。在该持续时长公式中,Tk表示第k个突发等级的聚合突发流量段的持续时长,Dk表示第k个突发等级的聚合突发流量段的数据量,TDk表示所述持续时长分布中数据量Dk对应的总持续时长,SDk表示所述数据量分布中数据量Dk对应的突发流量段的数量,符号“/”表示除号。
作为S4032d的一个示例(为了便于描述将此示例称为S4032d的第一示例),第一报文流的所述多个突发流量段的数据量分布如表1所示,所述多个突发流量段的持续时长分布如表2所示。对于所述n个突发等级中的第1个突发等级,在S4032a中网络设备确定该第1个突发等级的聚合突发流量段的数据量为16KB(参考S4032a的第一示例,即D1=16KB)。在该S4032d中,网络设备在表1所示的数据量分布中确定该第1个突发等级的聚合突发流量段的数据量D1(即16KB)对应的突发流量段的数量为1609(即SD1=1609),网络设备在表2所示的持续时长分布中确定该第1个突发等级的聚合突发流量段的数据量D1(即16KB)对应的总持续时长为28795us,因此网络设备根据上述持续时长公式确定第1个突发等级的聚合突发流量段的持续时长T1=TD1/SD1=28795/1609≈17.8us。根据S4032c的第一示例可知,第2个突发等级的聚合突发流量段的数据量D2=256KB,第3个突发等级的聚合突发流量段的数据量D3=2048KB,本申请实施例为了简化描述,在表1所示的数据量分布和表2所示的持续时长分布中均未示出这些数据量,因此这里不再对第2个突发等级的聚合突发流量段的持续时长以及第3个突发等级的聚合突发流量段的持续时长的确定进行赘述,其确定方式可以参考第1个突发等级的聚合突发流量段的持续时长的确定方式。
作为S4032d的另一个示例(为了便于描述将此示例称为S4032d的第二示例),第一报文流的所述多个突发流量段的数据量分布如表4所示,所述多个突发流量段的持续时长分布如表5所示。对于所述n个突发等级中的第1个突发等级,在S4032a中网络设备确定该第1个突发等级的聚合突发流量段的数据量为4KB(参考S4032a的第二示例,即D1=4KB)。在该S4032d中,网络设备在表4所示的数据量分布中确定该第1个突发等级的聚合突发流量段的数据量D1(即4KB)对应的突发流量段的数量为8435(即SD1=8435),网络设备在表5所示的持续时长分布中确定该第1个突发等级的聚合突发流量段的数据量D1(即4KB)对应的总持续时长为124659us,因此网络设备根据上述持续时长公式确定第1个突发等级的聚合突发流量段的持续时长T1=TD1/SD1=124659/8435≈14.8us。对于所述n个突发等级中的第2个突发等级,在S4032c中网络设备确定该第2个突发等级的聚合突发流量段的数据量为8KB(参考S4032c的第二示例,即D2=8KB)。在该S4032d中,网络设备在表4所示的数据量分布中确定该第1个突发等级的聚合突发流量段的数据量D2(即8KB)对应的突发流量段的数量为2180(即SD2=2180),网络设备在表5所示的持续时长分布中确定该第2个突发等级的聚合突发流量段的数据量D2(即8KB)对应的总持续时长为260472us,因此网络设备根据上述持续时长公式确定第2个突发等级的聚合突发流量段的持续时长T1=TD1/SD1=124659/8435≈119.5us。
S4032e.网络设备根据第k个突发等级的聚合突发流量段的数据量和该第k个突发等级的聚合突发流量段的持续时长,确定该第k个突发等级的聚合突发流量段的速率,1≤k≤n,k为整数。
在可选的实施例中,网络设备采用速率公式确定第k个突发等级的聚合突发流量段的速率。该速率公式可以为:Vk=Dk/Tk,Dk表示第k个突发等级的聚合突发流量段的数据量,Tk表示第k个突发等级的聚合突发流量段的持续时长,符号“/”表示除号。
网络设备确定第一报文流的各个突发等级的聚合突发流量段的突发参数之后,也就可以确定出第一报文流的突发等级的数量。例如,网络设备根据表1至表3所示的第一报文流的所述多个突发流量段的突发参数分布确定第一报文流的突发等级的数量为3。网络设备根据表4至表6所示的第一报文流的所述多个突发流量段的突发参数分布确定该第一报文流的突发等级的数量为2。
作为一个示例,网络设备根据表1至表3所示的第一报文流的所述多个突发流量段的突发参数分布确定第一报文流的突发参数如下表7所示。网络设备根据表4至表6所示的第一报文流的所述多个突发流量段的突发参数分布确定第一报文流的突发参数如下表8所示。
表7
Figure BDA0003237358660000151
表8
Figure BDA0003237358660000152
其中,表7中所示的省略号表示本实施例中没有提供相应的数据,并不代表这些数据不存在。例如,第2个突发等级的聚合突发流量段的持续时长采用省略号表示,不代表第2个突发等级的聚合突发流量段的持续时长不存在,仅说明本实施例中不提供第2个突发等级的聚合突发流量段的持续时长。其他的依次类推,这里不再赘述。
本申请实施例中,网络设备确定第一报文流的突发参数之后,可以向具备显示功能的设备发送第一报文流的突发参数,使该显示设备显示第一报文流的突发参数,以实现第一报文流的突发参数的可视化。例如,网络设备向显示设备输出如表7或表8所示的突发参数。
在本申请实施例中,网络设备中包括转发芯片(转发面)和控制芯片(控制面),上述S401、S402、S4031可以由转发芯片执行,上述S4032可以由控制芯片执行。在可能的实现方式中,转发芯片确定第一报文流的多个突发流量段的突发参数分布之后,将该突发参数分布上报给控制芯片,使控制芯片执行S4032。或者,控制芯片主动从转发芯片获取第一报文流的多个突发流量段的突发参数分布。此外,由于第一报文流的传输过程是持续进行的,因此转发芯片可以周期性确定第一报文流的多个突发流量段的突发参数分布,这样转发芯片可以周期性上控制芯片上报突发参数分布,或者控制芯片周期性从转发芯片获取突发参数分布,本申请实施例对此不做限定。其中,网络设备每接收到第一报文流的一个报文,可以记录该网络设备对该报文的接收时间戳,且具体是由转发芯片中的计时器来记录接收时间戳,转发芯片的上报周期的精度可以小于该计时器记录接收时间戳的精度,以避免计时器翻转。本申请中转发芯片和控制芯片协同确定报文流的突发参数,实现简单。
综上所述,本申请实施例提供的流量特征提取方法,网络设备确定接收的第一报文流的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数。突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数,第一报文流的突发参数可以表征第一报文流的流量特征,因此本申请实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。
本申请实施例中,网络设备执行上述S402至S403之前,可以先对第一报文流进行识别,以确定第一报文流是否为大象流。如果网络设备确定第一报文流是大象流,网络设备执行S402至S403,如果网络设备确定第一报文流不是大象流,网络设备可以不执行S402至S403。
示例地,网络设备根据第一报文流的多个报文确定第一报文流的速率,根据第一报文流的速率确定第一报文流是否为大象流。例如,当第一报文流的速率大于一定的速率阈值时,网络设备确定第一报文流为大象流。或者,网络设备可以将获取的多个报文流的速率进行排序,当第一报文流的速率属于该多个报文流的速率中的前N个较高速率时,网络设备确定第一报文流为大象流。在一些实施例中,考虑到网络设备获取的报文流的数量很多,为了减轻网络设备对报文流的速率进行排序的工作量,网络设备在对报文流的速率进行排序之前,还可以对该报文流进行预筛选。考虑到属于大象流的报文的长度一般比较长,因此,网络设备例如可以根据报文的长度对报文流进行预筛选,当报文的长度大于一定长度阈值时,才对该报文所属的报文流的速率进行排序,否则直接将该报文流确定为老鼠流,从而筛选掉一部分老鼠流,减少参与排序的报文流的数量。换言之,当第一报文流的多个报文的报文长度均大于或者等于前述长度阈值时,网络设备根据第一报文流的多个报文计算第一报文流的速率,根据第一报文流的速率进行速率排序,从而确定第一报文流是否为大象流。
上述图4所示实施例以网络设备根据第一报文流的多个突发流量段的突发参数分布确定第一报文流的突发参数为例说明。在其他实施例中,网络设备确定所述多个突发流量段的突发参数分布之后,可以向其他设备(例如控制设备)输出所述多个突发流量段的突发参数分布,使控制设备根据所述多个突发流量段的突发参数分布确定第一报文流的突发参数。又或者,网络设备可以向具备显示功能的设备发送所述多个突发流量段的突发参数分布,使该显示设备显示所述多个突发流量段的突发参数分布,以实现突发参数分布的可视化。
其中,网络设备可以直接输出所述多个突发流量段的突发参数分布(例如输出上述表1至表6中的至少一个),或者,网络设备可以以可视图的形式输出所述多个突发流量段的突发参数分布,所述可视图例如是直方图、曲线图等等,本申请实施例对此不作限定。
作为一种示例,本申请实施例提供的流量特征提取方法还包括下述S404。
S404.网络设备输出所述多个突发流量段的突发参数分布的直方图。
以第一报文流的所述多个突发流量段的突发参数分布包括表1所示的数据量分布、表2所示的持续时长分布以及表3所示的时间间隔分布为例,网络设备输出的该数据量分布的直方图可以如图7所示,网络设备输出的该持续时长分布的直方图可以如图8所示,网络设备输出的该时间间隔分布的直方图可以如图9所示。网络设备输出表4至表6所示的突发参数分布的直方图可以参考图7至图9,这里不再赘述。
本申请实施例中,可以合理选择各个直方图的分类单位、计数范围等,以便于简化网络设备输出直方图的过程,降低网络设备的资源开销。
在本申请实施例中,网络设备确定第一报文流的突发参数具有广阔的应用前景。网络设备确定第一报文流的突发参数之后,可以应用第一报文流的突发参数执行与第一报文流相关的一些处理。作为一种示例,网络设备根据第一报文流的突发参数执行下述S405至S408中的至少一个步骤。
S405.根据第一报文流的突发参数确定第一报文流的业务类型。
第一报文流的突发参数可以表征第一报文流的突发程度,通常,不同类型的业务的报文流的突发程度不同。例如,VR、视频会议、语音、电力差动、游戏等实时交互类业务的报文流的突发较小,突发较为规律。点播视频、下载等非实时交互类业务的报文流的突发较大,突发具有较大的间歇性和不稳定性。因此网络设备可以基于此结合第一报文流的突发参数确定第一报文流的业务类型,例如确定第一报文流属于实时交互类业务还是非实时交互类业务。
示例地,网络设备根据第一报文流的突发参数和下述条件确定第一报文流的业务类型。具体的实施例中,下述条件可以配置在判决模型(或称为判决树)中,网络设备可以将第一报文流的突发参数输入判决模型,使得判决模型根据第一报文流的突发参数确定第一报文流的业务类型。其中,所述条件包括:
1).第一报文流的突发等级的数量是否大于预设等级数量。
2).第一报文流的各个突发等级的聚合突发流量段的数据量是否大于对应的数据量阈值。其中,每个突发等级可以对应至少一个数据量阈值。
3).第一报文流的各个突发等级的聚合突发流量段的速率是否大于对应的速率阈值。其中,每个突发等级可以对应至少一个速率阈值。
4).第一报文流的各个突发等级的相邻聚合突发流量段之间的时间间隔是否大于对应的等级间隔阈值。其中,每个突发等级可以对应至少一个等级间隔阈值。
S406.根据第一报文流的突发参数确定第一报文流的SLA要求等级。
网络设备可以根据第一报文流的突发参数确定第一报文流的业务类型,根据第一报文流的业务类型确定第一报文流的SLA要求等级。
网络设备确定第一报文流的业务类型的过程可以参考S405。可选地,第一报文流的业务类型包括实时交互类业务或非实时交互类业务。如果第一报文流的业务类型是实时交互类业务,网络设备确定第一报文流需要具有较高的优先级(即SLA要求等级),网络设备为第一报文流分配较高的优先级。如果第一报文流的业务类型是非实时交互类业务,网络设备确定第一报文流的优先级可以较低,网络设备为第一报文流分配较低的优先级。
S407.根据第一报文流的突发参数确定第一报文流的到达模型。
网络设备可以确定初始到达模型,根据第一报文流的突发参数调整该初始到达模型的模型参数,以对该初始到达模型进行优化,得到第一报文流的到达模型。其中,第一报文流的到达模型可以是第一报文流的突发概率分布,其用于描述第一报文流发生突发的概率。
S408.根据第一报文流的突发参数检测攻击流量。
第一报文流的突发参数用于表征第一报文流的流量特征。通常情况下,不同业务类型的报文流的流量特征不同,某一指定业务类型的报文流的流量特征会呈现一定的规律性。
在一个可选实施例中,网络设备可以确定第一报文流的业务类型,网络设备根据第一报文流的突发参数确定第一报文流的流量特征是否符合该业务类型的报文流的流量特征。如果第一报文流的流量特征符合该业务类型的报文流的流量特征,网络设备确定第一报文流的流量不是攻击流量。如果第一报文流的流量特征不符合该业务类型的报文流的流量特征,网络设备确定第一报文流的流量是攻击流量。
可选地,网络设备将第一报文流的突发参数输入攻击检测模型,使攻击检测模型根据第一报文流的突发参数检测第一报文流的流量是否为攻击流量。
以上是对本申请实施例提供的流量特征提取方法的介绍。下面介绍本申请的装置实施例,本申请的装置可以用于执行本申请的流量特征提取方法。对于本申请装置实施例中未披露的细节,请参照本申请的方法实施例。
请参考图10,其示出了本申请实施例提供的一种流量特征提取装置1000的结构示意图,流量特征提取装置1000应用于网络设备,例如流量特征提取装置1000是网络设备或者该网络设备中的功能组件。参见图10,流量特征提取装置1000包括但不限于:
接收模块1010,用于接收第一报文流,第一报文流是大象流。接收模块1010的功能实现可以参考上述S401中的相关描述。
第一确定模块1020,用于确定第一报文流的突发流量段的突发参数,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数。第一确定模块1020的功能实现可以参考上述S402中的相关描述。
第二确定模块1030,用于根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数。第二确定模块1030的功能实现可以参考上述S403中的相关描述。
可选地,第一报文流包括n个突发等级的聚合突发流量段,聚合突发流量段根据第一报文流的突发流量段确定,n为正整数。
第一报文流的突发参数包括以下至少一种:第一报文流的突发等级的数量;第一报文流的各个突发等级的聚合突发流量段的突发参数,聚合突发流量段的突发参数是用于描述该聚合突发流量段的参数。
可选地,每个突发等级的聚合突发流量段的突发参数包括以下至少一种:该突发等级的聚合突发流量段的数据量;该突发等级的聚合突发流量段的持续时长;该突发等级的聚合突发流量段的速率;该突发等级的相邻聚合突发流量段之间的时间间隔。
可选地,每个突发流量段的突发参数包括以下至少一种:该突发流量段的数据量;该突发流量段的持续时长;该突发流量段与突发流量段相邻的突发流量段之间的时间间隔。
可选地,第一确定模块1020,用于:根据第一报文流中的报文确定第一报文流的至少一个突发流量段;根据突发流量段中的报文确定该突发流量段的突发参数。
可选地,第一报文流包括多个突发流量段,第二确定模块1030,用于:根据该多个突发流量段的突发参数确定该多个突发流量段的突发参数分布;根据该突发参数分布确定第一报文流的突发参数。
可选地,突发流量段的突发参数包括:该突发流量段的数据量、该突发流量段的持续时长和该突发流量段对应的时间间隔中的至少一种,该突发流量段对应的时间间隔为该突发流量段与该突发流量段相邻的突发流量段之间的时间间隔。突发参数分布包括:数据量分布,持续时长分布和时间间隔分布中的至少一种。该数据量分布中包括多个数据量和该多个数据量中的每个数据量的突发流量段的数量,该持续时长分布中包括该多个数据量和该多个数据量中的每个数据量的突发流量段的总持续时长,该时间间隔分布中包括多个时间间隔和该多个时间间隔中的每个时间间隔对应的突发流量段的数量,该多个数据量根据该多个突发流量段的数据量确定,该多个时间间隔根据该多个突发流量段对应的时间间隔确定。
可选地,第一报文流包括n个突发等级的聚合突发流量段,n为大于1的整数。按照突发等级从低到高的顺序,该n个突发等级的聚合突发流量段的数据量依次增大,该n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大。
根据突发参数分布确定第一报文流的突发参数包括以下至少一个:
将所述数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量,该第1个突发等级是所述n个突发等级中的最低突发等级,第一数据量是所述数据量分布中对应的突发流量段的数量最多的数据量;
根据所述时间间隔分布确定n个间隔档,该间隔档中包括至少一个时间间隔,该间隔档中的时间间隔对应的突发流量段的数量按照从该间隔档的边界到该间隔档的中心依次增大,该n个间隔档中的时间间隔依次增大;根据该n个间隔档中的第k个间隔档中的时间间隔确定第k个突发等级的相邻聚合突发流量段之间的时间间隔,1≤k≤n,k为整数;
根据所述时间间隔分布中的突发流量段的总数量、所述n个间隔档中的第i个间隔档中的时间间隔对应的突发流量段的总数量和所述第1个突发等级的聚合突发流量段的数据量,确定第i个突发等级的聚合突发流量段的数据量,1<i≤n,i为整数;
根据所述持续时长分布中第k个突发等级的聚合突发流量段的数据量对应的总持续时长和所述数据量分布中该第k个突发等级的聚合突发流量段的数据量对应的突发流量段的数量,确定该第k个突发等级的聚合突发流量段的持续时长;
根据该第k个突发等级的聚合突发流量段的数据量和该第k个突发等级的聚合突发流量段的持续时长,确定该第k个突发等级的聚合突发流量段的速率。
可选地,流量特征提取装置1000还包括:输出模块1040,用于输出所述突发参数分布的直方图。输出模块1040的实现过程可以参考S404中的相关描述。
可选地,流量特征提取装置1000还包括:第三确定模块1050,用于根据第一报文流的突发参数确定第一报文流的业务类型。第三确定模块1050的实现过程可以参考S405中的相关描述。
可选地,流量特征提取装置1000还包括:第四确定模块1060,用于根据第一报文流的突发参数确定第一报文流的SLA要求等级。第四确定模块1060的实现过程可以参考S406中的相关描述。
可选地,流量特征提取装置1000还包括:第五确定模块1070,用于根据第一报文流的突发参数确定第一报文流的到达模型,该到达模型采用第一报文流的传输时延和丢包率中的至少一种表征。第五确定模块1070的实现过程可以参考S407中的相关描述。
可选地,流量特征提取装置1000还包括:检测模块1080,用于根据第一报文流的突发参数检测攻击流量。检测模块1080的实现过程可以参考S408中的相关描述。
综上所述,本申请实施例提供的流量特征提取装置,网络设备确定接收的第一报文流的突发流量段的突发参数,根据第一报文流的突发流量段的突发参数确定第一报文流的突发参数。其中,第一报文流是大象流,突发流量段指示在一个时间段内流量的突发程度,突发流量段的突发参数是用于描述该突发流量段的参数,第一报文流的突发参数是用于描述第一报文流包括的至少一个突发流量段的参数,第一报文流的突发参数可以表征第一报文流的流量特征,因此本申请实现了对第一报文流的流量特征的提取,即,实现了对存在突发流量的报文流的流量特征的提取。
在本申请实施例中,网络设备确定第一报文流的突发参数具有广阔的应用前景。例如,网络设备可以根据第一报文流的突发参数确定第一报文流的业务类型、确定第一报文流的SLA要求等级、确定第一报文流的到达模型、检测攻击流量等。并且,网络设备确定第一报文流的SLA要求等级之后,还可以根据第一报文流的SLA要求等级转发第一报文流,从而网络设备可以根据不同报文流的SLA要求等级转发不同的报文流,有助于保障高价值业务的传输质量。网络设备确定第一报文流的到达模型之后,还可以根据第一报文流的到达模型量化评估第一报文流对网络设备的缓存以及对网络稳定性的影响。
应理解的是,本申请实施例提供的流量特征提取装置还可以用专用集成电路(application-specific integrated circuit,ASIC)或可编程逻辑器件(programmablelogic device,PLD)实现,上述PLD可以是复杂程序逻辑器件(complex programmablelogical device,CPLD),现场可编程门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。也可以通过软件实现上述方法实施例提供的流量特征提取方法,当通过软件实现上述方法实施例提供的流量特征提取方法时,该流量特征提取装置中的各个模块也可以为软件模块。
请参考图11,其示出了本申请实施例提供的另一种流量特征提取装置1100的结构示意图,流量特征提取装置1100可以为上述实施例中的网络设备又或者是网络设备中的功能组件。如图11所示,流量特征提取装置1100包括:主控板1110、接口板1130和接口板1140。多个接口板的情况下可以包括交换网板(图11中未示出),交换网板用于完成各接口板(接口板也称为线卡或业务板)之间的数据交换。在一些实施例中,主控板又可以称为控制芯片,接口板又可以称为转发芯片。
其中,主控板1110用于完成系统管理、设备维护、协议处理等功能。接口板1130和接口板1140用于提供各种业务接口(例如,POS接口、GE接口、ATM接口等),并实现报文转发。主控板1110上主要有3类功能单元:系统管理控制单元、系统时钟单元和系统维护单元。主控板1110、接口板1130以及接口板1140之间通过系统总线与系统背板相连实现互通。接口板1130上包括一个或多个处理器1131。处理器1131用于对接口板1130进行控制管理并与主控板1110上的中央处理器1112进行通信。接口板1130上的存储器1132用于存储路由转发表等信息,处理器1131根据路由转发表进行报文转发。如图11所示,主控板1110可以包括存储器1114,主控板1110上的存储器1114也可以用于存储路由转发表等信息,本申请实施例对此不做限定。
接口板1130包括一个或多个网络接口1133用于接收以及发送报文,处理器1131对网络接口1133接收到的报文进行处理。具体实现过程这里不再逐一赘述。所述处理器1131的具体功能这里同样不再逐一赘述。
可以理解,如图11所示,本实施例中包括多个接口板,采用分布式的转发机制,这种机制下,接口板1140上的操作与所述接口板1130的操作基本相似,为了简洁,不再赘述。此外,可以理解的是,图11中的接口板1130中的处理器1131和/或接口板1140中的处理器1141可以是专用硬件或芯片,如网络处理器或者专用集成电路来实现上述功能,这种实现方式即为通常所说的转发面采用专用硬件或芯片处理的方式。在另外的实施方式中,所述接口板1130中的处理器1131和/或接口板1140中的处理器1141也可以采用通用的处理器,如通用的中央处理器(central processing unit,CPU)来实现以上描述的功能。
此外,需要指出的是,主控板可能有一块或多块,有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块,网络设备的数据处理能力越强,提供的接口板越多。多块接口板的情况下,该多块接口板之间可以通过一块或多块交换网板通信,有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下,该网络设备可以不需要交换网板,接口板承担整个系统的业务数据的处理功能。在分布式转发架构下,该网络设备包括多块接口板,可以通过交换网板实现多块接口板之间的数据交换,提供大容量的数据交换和处理能力。所以,分布式架构的网络设备的数据接入和处理能力要大于集中式架构的设备。具体采用哪种架构,取决于具体的组网部署场景。
可选的实施例中,存储器1132可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only Memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器1132可以是独立存在,通过通信总线与处理器1131相连接。存储器1132也可以和处理器1131集成在一起。
存储器1132用于存储程序代码,并由处理器1131来控制执行,以执行上述实施例所提供的流量特征提取方法的部分或者全部步骤。处理器1131用于执行存储器1132中存储的程序代码。程序代码中可以包括一个或多个软件模块。这一个或多个软件模块可以为上述10所示实施例中提供的功能模块。存储器1114也可以用于存储程序代码,并由中央处理器1112来控制执行,以执行上述实施例所提供的流量特征提取方法的部分或者全部步骤。
可选的实施例中,网络接口1133,可以是使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local area networks,WLAN)等。
请参考图12,其示出了本申请实施例提供的再一种流量特征提取装置1200的结构示意图,流量特征提取装置1200可以为上述任一实施例中的网络设备或者是网络设备中的功能组件。参见图12,流量特征提取装置1200包括处理器1202、存储器1204、通信接口1206和总线1208,处理器1202、存储器1204和通信接口1206通过总线1208彼此通信连接。其中,图12所示的处理器1202、存储器1204和通信接口1206之间的连接方式仅仅是示例性的,在实现过程中,处理器1202、存储器1204和通信接口1206也可以采用除了总线1208之外的其他连接方式彼此通信连接。
其中,存储器1204可以用于存储计算机程序12042,计算机程序12042可以包括指令和数据。在本申请实施例中,存储器1204可以是各种类型的存储介质,例如RAM、ROM、非易失性RAM(non-volatile RAM,NVRAM)、可编程ROM(programmable ROM,PROM)、可擦除PROM(erasable PROM,EPROM)、电可擦除PROM(electrically erasable PROM,EEPROM)、闪存、光存储器和寄存器等。并且,存储器1204可以包括硬盘和/或内存。
其中,处理器1202可以是通用处理器,通用处理器可以是通过读取并执行存储器(例如存储器1204)中存储的计算机程序(例如计算机程序12042)来执行特定步骤和/或操作的处理器,通用处理器在执行上述步骤和/或操作的过程中可能用到存储在存储器(例如存储器1204)中的数据。该存储的计算机程序例如可以被执行以实现前述第一确定模块1020、第二确定模块1030、第三确定模块1050、第四确定模块1060、第五确定模块1070以及检测模块1180的相关功能。通用处理器可以是,例如但不限于CPU。此外,处理器1202也可以是专用处理器,专用处理器可以是专门设计的用于执行特定步骤和/或操作的处理器,专用处理器可以是,例如但不限于,ASIC和FPGA等。此外,处理器1202还可以是多个处理器的组合,例如多核处理器。处理器1202可以包括至少一个电路,以执行上述实施例提供流量特征提取方法的全部或部分步骤。
其中,通信接口1206可以包括输入/输出(input/output,I/O)接口、物理接口和逻辑接口等用于实现流量特征提取装置1200内部的器件互连的接口,以及用于实现流量特征提取装置1200与其他设备(例如网络设备)互连的接口。物理接口可以是千兆的以太接口(gigabit Ethernet,GE),其可以用于实现流量特征提取装置1200与其他设备互连,逻辑接口是流量特征提取装置1200内部的接口,其可以用于实现流量特征提取装置1200内部的器件互连。容易理解,通信接口1206可以用于流量特征提取装置1200与其他设备通信,例如,通信接口1206用于流量特征提取装置1200与其他设备之间报文的发送和接收,通信接口1206可以实现前述接收模块1010以及输出模块1040的相关功能。
其中,总线1208可以是任何类型的,用于实现处理器1202、存储器1204和通信接口1206互连的通信总线,例如系统总线。
上述器件可以分别设置在彼此独立的芯片上,也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上,还是整合设置在一个或者多个芯片上,往往取决于产品设计的需要。本申请实施例对上述器件的具体实现形式不做限定。
图12所示的流量特征提取装置1200仅仅是示例性的,在实现过程中,流量特征提取装置1200还可以包括其他组件,本文不再一一列举。图12所示的流量特征提取装置1200通过执行上述实施例提供的流量特征提取方法的全部或部分步骤来提取报文流的流量特征。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,该计算机程序被执行(例如,被网络设备、一个或多个处理器等执行)时,实现如上述方法实施例提供的方法的全部或部分步骤。
本申请实施例提供了一种计算机程序产品,该计算机程序产品包括程序或代码,该程序或代码被执行(例如,被网络设备、一个或多个处理器等执行)时,实现如上述方法实施例提供的方法的全部或部分步骤。
本申请实施例提供了一种芯片,该芯片包括可编程逻辑电路和/或程序指令,当该芯片运行时用于实现如上述方法实施例提供的方法的全部或部分步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机的可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者包含一个或多个可用介质集成的服务器、数据中心等数据存储装置。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质,或者半导体介质(例如固态硬盘)等。
应当理解的是,本申请中的“至少一个”指一个或多个,“多个”指两个或两个以上。另外,为了便于清楚描述,在本申请中,采用了“第一”、“第二”、“第三”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”、“第三”等字样并不对数量和执行次序进行限定。
本申请实施例提供的方法实施例和装置实施例等不同类型的实施例均可以相互参考,本申请实施例对此不做限定。本申请实施例提供的方法实施例操作的先后顺序能够进行适当调整,操作也能够根据情况进行响应增减,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本申请的保护范围之内,因此不再赘述。
在本申请提供的相应实施例中,应该理解到,所揭露的装置等可以通过其它的构成方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元描述的部件可以是或者也可以不是物理单元,既可以位于一个地方,或者也可以分布到多个网络设备(例如终端设备)上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述,仅为本申请的示例性实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (29)

1.一种流量特征提取方法,其特征在于,应用于网络设备,所述方法包括:
接收第一报文流,所述第一报文流是大象流;
确定所述第一报文流的突发流量段的突发参数,所述突发流量段指示在一个时间段内流量的突发程度,所述突发流量段的突发参数是用于描述所述突发流量段的参数;
根据所述第一报文流的突发流量段的突发参数确定所述第一报文流的突发参数,所述第一报文流的突发参数是用于描述所述第一报文流包括的至少一个突发流量段的参数。
2.根据权利要求1所述的方法,其特征在于,
所述第一报文流包括n个突发等级的聚合突发流量段,所述聚合突发流量段根据所述第一报文流的突发流量段确定,n为正整数;
所述第一报文流的突发参数包括以下至少一种:
所述第一报文流的突发等级的数量;
所述第一报文流的各个突发等级的聚合突发流量段的突发参数,所述聚合突发流量段的突发参数是用于描述所述聚合突发流量段的参数。
3.根据权利要求2所述的方法,其特征在于,
所述突发等级的聚合突发流量段的突发参数包括以下至少一种:
所述突发等级的聚合突发流量段的数据量;
所述突发等级的聚合突发流量段的持续时长;
所述突发等级的聚合突发流量段的速率;
所述突发等级的相邻聚合突发流量段之间的时间间隔。
4.根据权利要求1至3任一项所述的方法,其特征在于,
所述突发流量段的突发参数包括以下至少一种:
所述突发流量段的数据量;
所述突发流量段的持续时长;
所述突发流量段与所述突发流量段相邻的突发流量段之间的时间间隔。
5.根据权利要求1至4任一项所述的方法,其特征在于,
所述确定所述第一报文流的突发流量段的突发参数,包括:
根据所述第一报文流中的报文确定所述第一报文流的至少一个突发流量段;
根据所述突发流量段中的报文确定所述突发流量段的突发参数。
6.根据权利要求1至5任一项所述的方法,其特征在于,
所述第一报文流包括多个突发流量段,所述根据所述第一报文流的突发流量段的突发参数确定所述第一报文流的突发参数,包括:
根据所述多个突发流量段的突发参数确定所述多个突发流量段的突发参数分布;
根据所述突发参数分布确定所述第一报文流的突发参数。
7.根据权利要求6所述的方法,其特征在于,
所述突发流量段的突发参数包括:所述突发流量段的数据量、所述突发流量段的持续时长和所述突发流量段对应的时间间隔中的至少一种,所述突发流量段对应的时间间隔为所述突发流量段与所述突发流量段相邻的突发流量段之间的时间间隔;
所述突发参数分布包括:数据量分布,持续时长分布和时间间隔分布中的至少一种;
所述数据量分布中包括多个数据量和所述多个数据量中的每个数据量的突发流量段的数量,所述持续时长分布中包括所述多个数据量和所述多个数据量中的每个数据量的突发流量段的总持续时长,所述时间间隔分布中包括多个时间间隔和所述多个时间间隔中的每个时间间隔对应的突发流量段的数量,所述多个数据量根据所述多个突发流量段的数据量确定,所述多个时间间隔根据所述多个突发流量段对应的时间间隔确定。
8.根据权利要求7所述的方法,其特征在于,
所述第一报文流包括n个突发等级的聚合突发流量段,n为大于1的整数;
按照突发等级从低到高的顺序,所述n个突发等级的聚合突发流量段的数据量依次增大,所述n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大;
所述根据所述突发参数分布确定所述第一报文流的突发参数包括以下至少一个:
将所述数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量,所述第1个突发等级是所述n个突发等级中的最低突发等级,所述第一数据量是所述数据量分布中对应的突发流量段的数量最多的数据量;
根据所述时间间隔分布确定n个间隔档,所述间隔档中包括至少一个时间间隔,所述间隔档中的时间间隔对应的突发流量段的数量按照从所述间隔档的边界到所述间隔档的中心依次增大,所述n个间隔档中的时间间隔依次增大;根据所述n个间隔档中的第k个间隔档中的时间间隔确定第k个突发等级的相邻聚合突发流量段之间的时间间隔,1≤k≤n,k为整数;
根据所述时间间隔分布中的突发流量段的总数量、所述n个间隔档中的第i个间隔档中的时间间隔对应的突发流量段的总数量和所述第1个突发等级的聚合突发流量段的数据量,确定第i个突发等级的聚合突发流量段的数据量,1<i≤n,i为整数;
根据所述持续时长分布中所述第k个突发等级的聚合突发流量段的数据量对应的总持续时长和所述数据量分布中所述第k个突发等级的聚合突发流量段的数据量对应的突发流量段的数量,确定所述第k个突发等级的聚合突发流量段的持续时长;
根据所述第k个突发等级的聚合突发流量段的数据量和所述第k个突发等级的聚合突发流量段的持续时长,确定所述第k个突发等级的聚合突发流量段的速率。
9.根据权利要求6至8任一项所述的方法,其特征在于,所述方法还包括:
输出所述突发参数分布的直方图。
10.根据权利要求1至9任一项所述的方法,其特征在于,所述方法还包括:
根据所述第一报文流的突发参数确定所述第一报文流的业务类型。
11.根据权利要求1至10任一项所述的方法,其特征在于,所述方法还包括:
根据所述第一报文流的突发参数确定所述第一报文流的服务等级协议SLA要求等级。
12.根据权利要求1至11任一项所述的方法,其特征在于,所述方法还包括:
根据所述第一报文流的突发参数确定所述第一报文流的到达模型,所述到达模型采用所述第一报文流的传输时延和丢包率中的至少一种表征。
13.根据权利要求1至12任一项所述的方法,其特征在于,所述方法还包括:
根据所述第一报文流的突发参数检测攻击流量。
14.一种流量特征提取装置,其特征在于,所述装置包括:
接收模块,用于接收第一报文流,所述第一报文流是大象流;
第一确定模块,用于确定所述第一报文流的突发流量段的突发参数,所述突发流量段指示在一个时间段内流量的突发程度,所述突发流量段的突发参数是用于描述所述突发流量段的参数;
第二确定模块,用于根据所述第一报文流的突发流量段的突发参数确定所述第一报文流的突发参数,所述第一报文流的突发参数是用于描述所述第一报文流包括的至少一个突发流量段的参数。
15.根据权利要求14所述的装置,其特征在于,
所述第一报文流包括n个突发等级的聚合突发流量段,所述聚合突发流量段根据所述第一报文流的突发流量段确定,n为正整数;
所述第一报文流的突发参数包括以下至少一种:
所述第一报文流的突发等级的数量;
所述第一报文流的各个突发等级的聚合突发流量段的突发参数,所述聚合突发流量段的突发参数是用于描述所述聚合突发流量段的参数。
16.根据权利要求15所述的装置,其特征在于,
所述突发等级的聚合突发流量段的突发参数包括以下至少一种:
所述突发等级的聚合突发流量段的数据量;
所述突发等级的聚合突发流量段的持续时长;
所述突发等级的聚合突发流量段的速率;
所述突发等级的相邻聚合突发流量段之间的时间间隔。
17.根据权利要求14至16任一项所述的装置,其特征在于,
所述突发流量段的突发参数包括以下至少一种:
所述突发流量段的数据量;
所述突发流量段的持续时长;
所述突发流量段与所述突发流量段相邻的突发流量段之间的时间间隔。
18.根据权利要求14至17任一项所述的装置,其特征在于,
所述第一确定模块,用于:
根据所述第一报文流中的报文确定所述第一报文流的至少一个突发流量段;
根据所述突发流量段中的报文确定所述突发流量段的突发参数。
19.根据权利要求14至18任一项所述的装置,其特征在于,
所述第一报文流包括多个突发流量段,所述第二确定模块,用于:
根据所述多个突发流量段的突发参数确定所述多个突发流量段的突发参数分布;
根据所述突发参数分布确定所述第一报文流的突发参数。
20.根据权利要求19所述的装置,其特征在于,
所述突发流量段的突发参数包括:所述突发流量段的数据量、所述突发流量段的持续时长和所述突发流量段对应的时间间隔中的至少一种,所述突发流量段对应的时间间隔为所述突发流量段与所述突发流量段相邻的突发流量段之间的时间间隔;
所述突发参数分布包括:数据量分布,持续时长分布和时间间隔分布中的至少一种;
所述数据量分布中包括多个数据量和所述多个数据量中的每个数据量的突发流量段的数量,所述持续时长分布中包括所述多个数据量和所述多个数据量中的每个数据量的突发流量段的总持续时长,所述时间间隔分布中包括多个时间间隔和所述多个时间间隔中的每个时间间隔对应的突发流量段的数量,所述多个数据量根据所述多个突发流量段的数据量确定,所述多个时间间隔根据所述多个突发流量段对应的时间间隔确定。
21.根据权利要求20所述的装置,其特征在于,
所述第一报文流包括n个突发等级的聚合突发流量段,n为大于1的整数;
按照突发等级从低到高的顺序,所述n个突发等级的聚合突发流量段的数据量依次增大,所述n个突发等级的相邻聚合突发流量段之间的时间间隔依次增大;
所述根据所述突发参数分布确定所述第一报文流的突发参数包括以下至少一个:
将所述数据量分布中的第一数据量确定为第1个突发等级的聚合突发流量段的数据量,所述第1个突发等级是所述n个突发等级中的最低突发等级,所述第一数据量是所述数据量分布中对应的突发流量段的数量最多的数据量;
根据所述时间间隔分布确定n个间隔档,所述间隔档中包括至少一个时间间隔,所述间隔档中的时间间隔对应的突发流量段的数量按照从所述间隔档的边界到所述间隔档的中心依次增大,所述n个间隔档中的时间间隔依次增大;根据所述n个间隔档中的第k个间隔档中的时间间隔确定第k个突发等级的相邻聚合突发流量段之间的时间间隔,1≤k≤n,k为整数;
根据所述时间间隔分布中的突发流量段的总数量、所述n个间隔档中的第i个间隔档中的时间间隔对应的突发流量段的总数量和所述第1个突发等级的聚合突发流量段的数据量,确定第i个突发等级的聚合突发流量段的数据量,1<i≤n,i为整数;
根据所述持续时长分布中所述第k个突发等级的聚合突发流量段的数据量对应的总持续时长和所述数据量分布中所述第k个突发等级的聚合突发流量段的数据量对应的突发流量段的数量,确定所述第k个突发等级的聚合突发流量段的持续时长;
根据所述第k个突发等级的聚合突发流量段的数据量和所述第k个突发等级的聚合突发流量段的持续时长,确定所述第k个突发等级的聚合突发流量段的速率。
22.根据权利要求19至21任一项所述的装置,其特征在于,所述装置还包括:
输出模块,用于输出所述突发参数分布的直方图。
23.根据权利要求14至22任一项所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于根据所述第一报文流的突发参数确定所述第一报文流的业务类型。
24.根据权利要求14至23任一项所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于根据所述第一报文流的突发参数确定所述第一报文流的服务等级协议SLA要求等级。
25.根据权利要求14至24任一项所述的装置,其特征在于,所述装置还包括:
第五确定模块,用于根据所述第一报文流的突发参数确定所述第一报文流的到达模型,所述到达模型采用所述第一报文流的传输时延和丢包率中的至少一种表征。
26.根据权利要求14至25任一项所述的装置,其特征在于,所述装置还包括:
检测模块,用于根据所述第一报文流的突发参数检测攻击流量。
27.一种流量特征提取装置,其特征在于,包括存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器中存储的计算机程序以使得所述流量特征提取装置执行如权利要求1至13任一项所述的流量特征提取方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被执行时实现如权利要求1至13任一项所述的流量特征提取方法。
29.一种计算机程序产品,其特征在于,所述计算机程序产品包括程序或代码,所述程序或代码被执行时实现如权利要求1至13任一项所述的流量特征提取方法。
CN202111006394.8A 2021-08-30 2021-08-30 流量特征提取方法及装置 Pending CN115733642A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202111006394.8A CN115733642A (zh) 2021-08-30 2021-08-30 流量特征提取方法及装置
EP22191385.8A EP4142250A1 (en) 2021-08-30 2022-08-22 Flow characteristic extraction method and apparatus
US17/897,496 US11876724B2 (en) 2021-08-30 2022-08-29 Flow characteristic extraction method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111006394.8A CN115733642A (zh) 2021-08-30 2021-08-30 流量特征提取方法及装置

Publications (1)

Publication Number Publication Date
CN115733642A true CN115733642A (zh) 2023-03-03

Family

ID=83006024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111006394.8A Pending CN115733642A (zh) 2021-08-30 2021-08-30 流量特征提取方法及装置

Country Status (3)

Country Link
US (1) US11876724B2 (zh)
EP (1) EP4142250A1 (zh)
CN (1) CN115733642A (zh)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6256486B1 (en) * 1999-09-09 2001-07-03 Nortel Networks Limited Method and apparatus for measuring co-channel interference
US8000242B2 (en) * 2006-07-06 2011-08-16 Alcatel Lucent Reducing packet loss for a packet data service during congestion in a transport network
KR20090085906A (ko) * 2008-02-05 2009-08-10 삼성전자주식회사 로지컬 인터페이스의 우선순위에 따른 라우팅 처리 시스템및 그 제어방법
TWI405434B (zh) * 2009-07-03 2013-08-11 Univ Nat Taiwan Science Tech 殭屍網路偵測系統及方法
US9331943B2 (en) * 2013-09-10 2016-05-03 Robin Systems, Inc. Asynchronous scheduling informed by job characteristics and anticipatory provisioning of data for real-time, parallel processing
US10856183B2 (en) * 2016-11-10 2020-12-01 Huawei Technologies Co., Ltd. Systems and methods for network slice service provisioning
US10084712B1 (en) * 2017-03-23 2018-09-25 Verizon Patent And Licensing Inc. Real-time traffic analysis over mobile networks
CA3076538A1 (en) * 2017-09-27 2019-04-04 Newsouth Innovations Pty Limited Process and apparatus for identifying and classifying video-data
US20220060963A1 (en) * 2018-12-11 2022-02-24 Telefonaktiebolaget Lm Ericsson (Publ) Technique for user plane traffic quality analysis
US20220321251A1 (en) * 2019-07-10 2022-10-06 Telefonaktiebolaget Lm Ericsson (Publ) Methods and arrangements for determining parameters of bursts for data flow transmission in a wireless communication network based on channel quality
US11677643B2 (en) * 2020-11-23 2023-06-13 At&T Intellectual Property I, L.P. Traffic classification of elephant and mice data flows in managing data networks

Also Published As

Publication number Publication date
EP4142250A1 (en) 2023-03-01
US11876724B2 (en) 2024-01-16
US20230081344A1 (en) 2023-03-16

Similar Documents

Publication Publication Date Title
JP7039685B2 (ja) トラフィック測定方法、デバイス、およびシステム
EP3072260B1 (en) Methods, systems, and computer readable media for a network function virtualization information concentrator
US8391157B2 (en) Distributed flow analysis
US20220038374A1 (en) Microburst detection and management
CN113225253B (zh) 一种报文转发方法及装置
US11050649B2 (en) Delay measurement method of network node device, apparatus, and network node device
CN111181873A (zh) 数据发送方法、装置、存储介质和电子设备
CN112688837A (zh) 基于时间滑动窗口的网络测量方法与装置
CN117278482A (zh) 令牌桶的实现方法及装置
CN115733642A (zh) 流量特征提取方法及装置
CN108199975B (zh) 一种流量控制方法及装置
WO2020056633A1 (zh) 一种预测网络速率的方法及预测装置
US20210360050A1 (en) Poor-qoe assessment method and related device
WO2022152230A1 (zh) 信息流识别方法、网络芯片及网络设备
CN114124731B (zh) 流量监控方法、装置、集成电路及网络设备
WO2022041696A1 (zh) 流量监控方法、装置、集成电路及网络设备
CN117395178B (zh) 一种基于网络划分的质量监控方法
WO2022179352A1 (zh) 采集周期确定方法、装置、系统、设备以及存储介质
WO2022041695A1 (zh) 流量监控方法、装置、集成电路、网络设备及网络系统
WO2023280004A1 (zh) 一种网络配置方法、设备和系统
US11456958B1 (en) Method and system for meter conformance in a switch
CN116938723A (zh) 一种切片带宽的规划方法及装置
CN117176662A (zh) 报文传输方法及装置
CN117857399A (zh) 一种流量突发确定方法及网络设备
CN116155823A (zh) 网络拥塞数据处理方法、装置、系统和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination