CN1897541A - 一种网络实现采样的方法 - Google Patents
一种网络实现采样的方法 Download PDFInfo
- Publication number
- CN1897541A CN1897541A CN200510086131.7A CN200510086131A CN1897541A CN 1897541 A CN1897541 A CN 1897541A CN 200510086131 A CN200510086131 A CN 200510086131A CN 1897541 A CN1897541 A CN 1897541A
- Authority
- CN
- China
- Prior art keywords
- data message
- value
- input parameter
- hash
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络实现采样的方法,该方法针对某类数据报文,网络设备按照设置的分离策略分离该类数据报文中符合分离策略的数据报文,并对分离出的数据报文进行采集,之后将采集到的数据报文打包后发送给采集器。由于本发明是针对某一类数据流进行采样处理,大大减少了数据量,避免了采集器因数据量过大而无法继续正常处理的情况,同时保证了通过对采样信息的分析,能得到准确的分析结果。
Description
技术领域
本发明涉及网络采样技术,尤指一种网络实现采样的方法。
背景技术
在当前数据网络中,IP技术起到核心作用。IP数据网络的大量应用,网络安全、性能等方面的管理越来越重要。
随着因特网(Internet)的发展,网络上黑客和攻击等网络破坏性行为越来越多,目前发现这种行为的手段比较少,通过对网络上传送的数据报文进行采样的技术是一种采用的手段。在数据报文流经网络设备,如路由器时,网络设备对异常的数据报文进行统计,并将统计结果转发到网管设备中,由网管设备中的相关软件对统计结果进行分析,发现黑客和攻击等破坏性网络行为,并且采取相应的对策。
目前常用的对数据报文进行采样的方法为:通过NetFlow进行针对流进行统计的采样。
图1是现有技术网络间实现采样的结构示意图,从图1可见,在两个网络之间,通过网络设备交互数据报文,网络设备可以是路由器。网络设备用于按照预设的统计策略对流经自身的数据报文进行统计,并采集统计结果发送给网管设备;网管设备一般包括采集器、数据库和分析器,采集器用于接收来自网络设备采集好的统计结果并将该统计结果存储到数据库中;分析器用于从数据库中读取统计结果并对读取的统计结果进行分析后给出分析结果。
以NetFlow交换为例,NetFlow主要是基于“流”的概念,NetFlow利用七元组对数据报文进行流定义,七元组内容包括:源IP地址、目的IP地址、源端口号、目的端口号、协议类型、服务类型和输入接口。结合图1所示,在网络设备中,首先对流经自身的数据报文进行七元组识别,只要流经网络设备的数据报文的七元组内容中任何一项与预设的七元组内容不一致,就被识别为是一个新的数据报文,然后启动对应该类数据报文的计数器,统计这类数据报文的个数。之后采集器分别采集网络设备中统计好的不同数据报文的的七元组内容和该类数据报文的个数。
NetFlow的输出格式目前主要有2个版本:版本5和版本9,其中,版本5是按照七元组划分流,将划分结果统计后放入报文中发送给采集器。采集器将采集到的统计结果解包后存储在数据库中,分析器从数据库中获取统计结果并对统计结果进行分析,这里,由于统计结果只包含数据报文的七元组内容和该类数据报文的个数,所以,一般只能通过简单分析,大致判定是否存在攻击等网络破坏性行为。比如:根据通过某端口的数据报文的个数,按照经验若该端口上的数据流在某段时间内猛增,则判定该端口遭受攻击;或者某类端口是被预设为危险端口,当通过七元组内容发现这类端口上有数据报文时,判定定有攻击等。
由于网络上数据报文是千变万化的,数目也非常多,所以发送给采集器的数据量很大,以至于采集器不能完成正常处理,为了解决这个问题,NetFlow的输出格式产生了版本9,版本9要求网络设备将统计好的不同的数据报文按照一定的规则进行合并后生成聚合的信息,再发送给网管。其中聚合规则可以是自治系统聚合、协议-端口聚合、源前缀聚合、目的前缀聚合、前缀聚合5种方式,将聚合后的统计结果发送给采集器,这样数据量将大大减少,但是有可能造成信息丢失。比如未聚合的统计结果中,有100个数据报文源IP地址不同,但是端口号都是500,将分别发送这100个源IP地址不同的数据报文的七元组和统计个数给采集器并存储在数据库中,分析器从数据库中读取上述数据后,如果端口号为500就是某种网络攻击使用的端口,则立即能定位出是哪些源IP地址发送的攻击报文,若按照协议-端口聚合后,这100个数据报文的记数将变成一个记录,发送记录中源IP地址信息就没有了,只有端口号为500的数据报文的统计个数及端口号信息存储在数据库中,这样由于信息量的减少,分析器只能分析出网络上有端口号为500的网络攻击存在,但是不能分析出具体是哪些源IP地址发出的攻击。
从上述根据NetFlow进行统计的方法可见,统计是对所有类型的数据流进行的,数据量非常大,使采集器无法继续正常处理,虽然通过版本9聚合可以解决这个问题,但是聚合后的数据流,信息更加少,更难以准确定位攻击等网络危险性行为,增加了分析结果的不准确性;而且,采集器得到的数据是统计过的,原始数据已经丢失,对于分析器来讲,此时只能做一些简单的分析。
发明内容
有鉴于此,本发明的主要目的在于提供一种网络实现采样的方法,能够避免采集器因采集数据量过大而无法继续正常处理的问题,同时能保证通过对采样信息的分析,得到准确的分析结果。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种网络实现采样的方法,在网络设备中预设针对一类数据报文进行采样,并预设分离数据报文的分离策略,该方法包括以下步骤:
A.网络设备分离所述一类数据报文中符合预设分离策略的数据报文;
B.网络设备对分离出的数据报文进行采样,并将采样好的信息发送给采集器。
步骤B中所述采样的方法为:统计分离出的数据报文个数。
步骤B中所述采样的方法为:根据预设采集策略采集分离出的数据报文,并将采集好的数据报文打包。
所述采集策略包括:采样比率、采样起始时间、采样结束时间及采样长度。
该方法还包括:采集器将接收到的打包后的数据报文解包后存储在数据库中。
所述网络设备为IPv6网络设备。
步骤A中所述分离策略包括访问控制列表ACL匹配,或HASH算法,或进行路由处理策略之一,或任意组合。
步骤A中,所述分离策略对访问控制列表ACL进行匹配时,
所述分离的方法为:比较所述数据报文携带的ACL中的某项或某几项参数与预设分离策略中对应的某项或某几项参数是否相同,若相同,则分离该数据报文;否则,不分离。
所述ACL中的参数包括:五元组、虚拟局域网识别号VLAN ID、流标签Flow Lable、IPv6扩展头;
所述五元组包括:源目的IP地址、源目的端口地址、协议类型、服务等级和输入接口。
步骤A中,所述分离策略为采用HASH算法对数据报文进行处理时,
所述分离的方法为:根据所述数据报文的基本报头获得HASH值,并判断该HASH值是否落在已配置的HASH值范围之内,若是,则分离该数据报文;否则,不分离。
根据所述数据报文中基本报头的版本号、传输级别、流标签、源地址和目的地址,预设固定数量的输入参数;
所述获得HASH值的方法为:通过对各输入参数进行加法或异或运算获得HASH值。
所述预设固定数量的输入参数的方法为:预设第一输入参数f1为所述数据报文中基本报头的版本号、传输级别和流标签各字段拼接在一起;第二输入参数f2为源地址的0至31字节的值;第三输入参数f3为源地址的32至63字节的值;第四输入参数f4为源地址的64至95字节的值;第五输入参数f5为源地址的96至127字节的值;第六输入参数f6为目的地址的0至31字节的值;第七输入参数f7为目的地址的32至63字节的值;第八输入参数f8为目的地址的64至95字节的值;第九输入参数f9为目的地址的96至127字节的值;
采用所述加法运算时,所述获得HASH值的方法为:计算第一HASH参数v1为所述第三输入参数f3与所述第七输入参数f7之和的值;第二HASH参数v2为所述第五输入参数f5与所述第九输入参数f9之和的值;第三HASH参数v3为所述第二输入参数f2与所述第六输入参数f6之和的值,再与v1之和的值;第四HASH参数v4为所述第四输入参数f4与所述第八输入参数f8之和的值,再与v2之和的值;
则所述HASH值为第三HASH参数v3与第四HASH参数v4之和的值,再与所述第一输入参数f1之和的值;
采用所述异或运算时,所述获得HASH值的方法为:计算第一HASH参数v1为所述第三输入参数f3与所述第七输入参数f7异或的值;第二HASH参数v2为所述第五输入参数f5与所述第九输入参数f9异或的值;第三HASH参数v3为所述第二输入参数f2与所述第六输入参数f6异或的值,再与v1异或的值;第四HASH参数v4为所述第四输入参数f4与所述第八输入参数f8异或的值,再与v2异或的值;
则所述HASH值为第三HASH参数v3与第四HASH参数v4异或的值,再与所述第一输入参数f1异或的值。
步骤A中,所述分离策略为通过路由处理策略查找路由信息实现分离时,
所述分离方法为:判断所述数据报文中携带的路由信息查找是否失败,若失败,则分离该数据报文;否则,不分离。
所述数据报文中携带的路由信息查找包括:IPv6反向路径检查,或IPv6路由表查找,或以太网口邻居发现ND表查找,或在路由表中查找该数据报文的发送方式。
所述数据报文的发送方式为进入IPv6over IPv4隧道时,分离所述数据报文。
所述IPv6over IPv4隧道包括:手工隧道、自动隧道或6 to 4隧道。
所述分离策略还包括:生效时间段;所述分离在该生效时间段内进行。
所述预设分离策略的方法为:网络设备接收分析器定时或不定时设置的分离策略。
所述网络设备通过TCP/IP终端仿真协议telnet,或简单网络管理协议SNMP接收分析器下发的分离策略。
由上述技术方案可见,本发明在网络中,针对某类流经网络设备的数据报文,网络设备按照设置的分离策略分离该类数据报文中符合分离策略的数据报文,并对分离出的数据报文进行采集,之后将采集到的数据报文打包后发送给采集器,采集器将接收到的数据包解包后保存到数据库中,分析器从数据库中读取数据进行分析。
本发明方法是针对某一类数据报文进行采样处理,与现有技术针对所有数据报文进行采样处理相比,大大减少了数据量,避免了采集器因数据量过大而无法继续正常处理的问题。而且本发明的分离策略对流经网络设备的数据报文进行了更为细致的区分,是获得的参与分析的信息更真实,从而提高了分析结果的准确度。
另外,本发明为了使采集器得到更多的数据报文信息,通过采集数据报文的一部分报文内容来实现。同时,针对某类数据报文,分析器根据部分数据报文内容对分离出的数据报文进行分析,此时,由于参与分析的信息量增加,进一步提高了分析结果的准确度,也就实现了对攻击等破坏性网络行为的准确定位。
附图说明
图1是现有技术实现采样的结构示意图;
图2是本发明在IPv6网络中实现采样的结构示意图;
图3是本发明在IPv6网络中实现采样的流程图。
具体实施方式
本发明的核心思想是:针对某类数据报文,网络设备按照设置的分离策略分离该类数据报文中符合分离策略的数据报文,并对分离出的数据报文进行采样,之后将采集到的数据报文打包后发送给采集器。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
下面以IPv6网络为例,对本发明方法进行具体描述。图2是本发明在IPv6网络中实现采样的结构示意图,从图2可见,在两个IPv6网络之间,通过IPv6网络设备交互数据报文,IPv6网络设备可以是路由器。IPv6网络设备用于按照预设的采集策略分离流经自身的符合分离策略的数据报文,并对分离的数据报文进行采集;采集器用于接收来自IPv6网络设备采集好的数据报文并将该数据报文存储到数据库中;分析器用于从数据库中读取数据并对读取的数据进行分析后给出分析结果。
为了实现对某类数据报文进行采样,可以在IPv6网络设备中配置针对某类型数据报文进行采样,比如对来自某指定源端口的数据报文进行采样,或来自某指定源IP地址且发送至某指定目的端口的数据报文进行采样等等;针对上述指定的某类数据报文,根据分析器向IPv6网络设备下发的分离策略,IPv6网络设备分离符合分离策略的数据报文;为了对分离出的数据报文进行采集,按照IPv6网络设备可在采样前动态预设的采集策略,比如采样比率、采样起始时间、采样结束时间及采样长度等,IPv6网络设备对分离出的数据报文进行采集并将采集到的数据报文打包后发送给采集器,采集器将接收到的数据包解包后存储到数据库中。这里,采集器可以分别对多个IPv6网络设备进行数据报文采集,然后将来自不同IPv6网络设备的数据报文分别存储在数据库中不同的存储单元。数据库可以单独采用一台PC机来实现,也可以将数据库集成在采集器或分析器中。至此,实现了本发明在Ipv6网络中进行的采样。
需要说明的是,分析器在向IPv6网络设备下发分离策略的同时,可以将此次下发的分离策略的生效时间段下发给IPv6网络设备,这样IPv6网络设备在下发的起始时间和终止时间内采用分离策略对流经自身的数据报文进行分离处理。分析器与IPv6网络设备之间的通信可以采用现有协议,比如:TCP/IP终端仿真协议(telnet),或简单网络管理协议(SNMP)等。
图3是本发明在IPv6网络中实现采样的流程图,结合图2,假设在IPv6网络设备中预设了针对来自源端口号为Port1的数据流进行采样,且预设了采样比率、采样起始时间、采样结束时间及采样长度,并通过分析器向IPv6网络设备下发了预设分离策略;假设IPv6设备是路由器,本发明具体工作步骤描述如下:
步骤300:IPv6网络设备按照分离策略分离来自源端口号为Port1的数据报文。
本步骤是针对来自源端口号为Port1的数据报文,按照分离策略将来自该端口的数据报文中符合分离策略的数据报文分离出来。网络设备接收分析器定时或不定时设置的分离策略。
分离策略可以是以下三种策略之一:
分离策略一:访问控制列表(ACL)匹配。
ACL匹配是对数据报文中携带的ACL中的某项或某几项参数进行匹配,将匹配成功的数据流分离出来。比如:①五元组匹配,五元组包括:源目的IP地址、源目的端口地址、协议类型、服务等级和输入接口;②虚拟局域网识别号(VLAN ID)匹配;③流标签(Flow Lable)匹配;④IPv6扩展头匹配,IPv6扩展头包括路由头、逐跳头、分片头、目的地头等,每一个扩展头都有一个统一的字段描述该头类型。
对于第①种五元组匹配,若某数据报文携带的五元组内容与预设的分离策略中五元组的内容完全一致,则分离该数据报文;对于第②种VLAN ID匹配,若某数据报文携带的VLAN ID与预设的分离策略中的VLAN ID一致,则分离该数据报文;对于第③种Flow Lable匹配,若某数据报文携带的FlowLable与预设的分离策略中的Flow Lable一致,则分离该数据报文;第④种IPv6扩展头匹配,若某数据报文携带的IPv6扩展头与预设的分离策略中的IPv6扩展头一致,则分离该数据报文。
需要说明的是,上述匹配规则可以任意组合使用,比如第①种五元组匹配与第②种VLAN ID匹配相结合的规则分离数据报文等。
分离策略二:哈希(HASH)算法。
预先配置一HASH值范围,对数据报文关键字段HASH后得到一HASH值,分离HASH值落在已配置的HASH值范围之内的数据报文,这里由于HASH值长度取为16bit,所以HASH值范围为0~65536。
具体实现为:从IPv6数据报文的基本报头中取五个字段,比如版本号、传输级别、流标签、源地址和目的地址,首先设置参与HASH算法的输入参数的值:第一输入参数f1的值为版本号、传输级别和流标签各字段拼接在一起,共32bit;第二输入参数f2的值为源地址的0~31bit的值;第三输入参数f3的值为源地址的32~63bit的值;第四输入参数f4的值为源地址的64~95bit的值;第五输入参数f5的值为源地址的96~127bit的值;第六输入参数f6的值为目的地址的0~31bit的值;第七输入参数f7的值为目的地址的32~63bit的值;第八输入参数f8的值为目的地址的64~95bit的值;第九输入参数f9的值为目的地址的96~127bit的值。
上述从IPv6数据报文选取的五个字段,及输入参数的设置是为了更好地使落在已配置的HASH值范围内的各HASH值平均分布在该范围中。
根据以上输入参数的取值,本发明提供以下两种HASH算法:
方法一:加法HASH
依次计算:第一HASH参数v1=f3+f7;第二HASH参数v2=f5+f9;第三HASH参数v3=f2+f6+v1;第四HASH参数v4=f4+f8+v2;
最后得到HASH值h1=f1+v3+v4。
若h1值落在已配置的HASH值范围内,则分离该h1值对应的数据报文。
方法二:异或HASH
依次计算:第一HASH参数v1=f3^f7;第二HASH参数v2=f5^f9;第三HASH参数v3=f2^f6^v1;第四HASH参数v4=f4^f8^v2;
最后得到HASH值h1=f1^v3^v4。其中“^”表示异或计算。
若h1值落在已配置的HASH值范围内,则分离该h1值对应的数据流。
分离策略三:路由处理策略。
对某数据报文中携带的有关路由信息进行查找,如果查找失败,则将该数据报文分离出来。比如:IPv6反向路径检查查找失败,或IPv6路由表查找失败,或以太网口邻居发现(ND)表查找失败,或从路由表中查找到该数据报文的发送方式为进入IPv6over IPv4隧道,比如手工隧道、自动隧道或6 to 4隧道、ISATAP、GRE等。
需要说明的是,反向路径检查是路由器将数据报文的源IP地址提取出来,用提出的源IP地址查找路由表,如果查找失败,则表示反向路径检查失败;如果在数据报文中查找不到IPv6路由表,则表示路由表查找失败;如果在数据报文中查找不到以太网口ND表,则表示查找以太网口ND表失败。具体IPv6反向路径检查、IPv6路由表查找、以太网口ND表查找及通过路由表查找数据报文的发送方式均为标准功能,本领域技术人员可参见相关协议,这里不再重述。这里强调的是采用路由处理策略来分离出一部分符合分离策略的数据报文。
从本步骤的处理可以看出,本发明方法是针对某一类数据报文进行采样处理,与现有技术针对所有数据报文进行采样处理相比,大大减少了数据量,避免了采集器因数据量过大而无法继续正常处理的情况。
步骤301:IPv6网络设备对分离出的数据报文进行采集,并将采集好的数据报文打包后发送给采集器。
本步骤中,是按照预设的采样比率、采样起始时间、采样结束时间及采样长度对分离出的数据报文进行采集,采集的方法很多,属本领域技术人员公知技术,比如:随机数采样这里不做限制。然后IPv6网络设备将采集到的数据报文打包后发送给采集器,对数据进行打包的方法也很多,属本领域技术人员公知技术,比如:定义某种私有报文格式,这里不做限制。
采样长度是指对分离出数据报文内容进行采集的长度,采样长度缺省值一般可设置为40bit,即IPv6基本报文头;另外,因为IPv6数据报文引入扩展头技术,因此可以通过重新配置,将采样长度设为更长,这样可以获得更多的数据报文信息,能给分析器的后续分析带来更多参考信息,提高对网络破坏性行为定位的准确度。
另外需要说明的是,根据IPv6规定的网络设备最大传输单元(MTU)长度为1280bit,则IPv6网络设备发送给采集器的打包数据报文长度缺省为1280bit,一个打包数据报文中可以携带多个采集数据,这样可以避免打包数据报文分片,不足1280bit时,继续用后续采样的数据报文填补,当打包数据报文剩余空间不足以存放一个采集的数据报文的内容时,可以将打包数据报文的剩余字节填写全0。打包数据报文的长度可以随网络的路径最大传输单元(PMTU)变化而变化,当PMTU增大时,可以将打包数据报文的大小增加,比如可以增加到1500bit,最大程度上减小采样流量对网络带宽的占用;当PMTU减小时,可以将打包数据报文的大小减小。
从本步骤的处理可见,为了使采集器得到更多的数据报文信息,本实施例通过采集数据报文的一部分报文内容来实现。如果本步骤中的采集是采用现有技术针对流的统计的采样方法,那么采集的是分离出来的数据报文的个数,同样能够达到本发明避免采集器因采集数据量过大而无法继续正常处理的问题。
步骤302:采集器将接收到的数据包解包并保存到数据库中,分析器从数据库中取出数据进行分析。
本步骤强调的是根据部分数据报文内容对分离出的数据报文进行分析,由于参与分析的信息量增加,提高了分析结果的准确度,也就增加了对攻击等破坏性网络行为定位的准确度。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (19)
1.一种网络实现采样的方法,其特征在于,在网络设备中预设针对一类数据报文进行采样,并预设分离数据报文的分离策略,该方法包括以下步骤:
A.网络设备分离所述一类数据报文中符合预设分离策略的数据报文;
B.网络设备对分离出的数据报文进行采样,并将采样好的信息发送给采集器。
2.根据权利要求1所述的方法,其特征在于,步骤B中所述采样的方法为:统计分离出的数据报文个数。
3.根据权利要求1所述的方法,其特征在于,步骤B中所述采样的方法为:根据预设采集策略采集分离出的数据报文,并将采集好的数据报文打包。
4.根据权利要求3所述的方法,其特征在于,所述采集策略包括:采样比率、采样起始时间、采样结束时间及采样长度。
5.根据权利要求3或4所述的方法,其特征在于,该方法还包括:采集器将接收到的打包后的数据报文解包后存储在数据库中。
6.根据权利要求1所述的方法,其特征在于,所述网络设备为IPv6网络设备。
7.根据权利要求6所述的方法,其特征在于,步骤A中所述分离策略包括访问控制列表ACL匹配,或HASH算法,或进行路由处理策略之一,或任意组合。
8.根据权利要求7所述的方法,其特征在于,步骤A中,所述分离策略对访问控制列表ACL进行匹配时,
所述分离的方法为:比较所述数据报文携带的ACL中的某项或某几项参数与预设分离策略中对应的某项或某几项参数是否相同,若相同,则分离该数据报文;否则,不分离。
9.根据权利要求8所述的方法,其特征在于,所述ACL中的参数包括:五元组、虚拟局域网识别号VLAN ID、流标签Flow Lable、IPv6扩展头;所述五元组包括:源目的IP地址、源目的端口地址、协议类型、服务等级和输入接口。
10.根据权利要求7所述的方法,其特征在于,步骤A中,所述分离策略为采用HASH算法对数据报文进行处理时,
所述分离的方法为:根据所述数据报文的基本报头获得HASH值,并判断该HASH值是否落在已配置的HASH值范围之内,若是,则分离该数据报文;否则,不分离。
11.根据权利要求10所述的方法,其特征在于,根据所述数据报文中基本报头的版本号、传输级别、流标签、源地址和目的地址,预设固定数量的输入参数;
所述获得HASH值的方法为:通过对各输入参数进行加法或异或运算获得HASH值。
12.根据权利要求11所述的方法,其特征在于,所述预设固定数量的输入参数的方法为:预设第一输入参数f1为所述数据报文中基本报头的版本号、传输级别和流标签各字段拼接在一起;第二输入参数f2为源地址的0至31字节的值;第三输入参数f3为源地址的32至63字节的值;第四输入参数f4为源地址的64至95字节的值;第五输入参数f5为源地址的96至127字节的值;第六输入参数f6为目的地址的0至31字节的值;第七输入参数f7为目的地址的32至63字节的值;第八输入参数f8为目的地址的64至95字节的值;第九输入参数f9为目的地址的96至127字节的值;
采用所述加法运算时,所述获得HASH值的方法为:计算第一HASH参数v1为所述第三输入参数f3与所述第七输入参数f7之和的值;第二HASH参数v2为所述第五输入参数f5与所述第九输入参数f9之和的值;第三HASH参数v3为所述第二输入参数f2与所述第六输入参数f6之和的值,再与v1之和的值;第四HASH参数v4为所述第四输入参数f4与所述第八输入参数f8之和的值,再与v2之和的值;
则所述HASH值为第三HASH参数v3与第四HASH参数v4之和的值,再与所述第一输入参数f1之和的值;
采用所述异或运算时,所述获得HASH值的方法为:计算第一HASH参数v1为所述第三输入参数f3与所述第七输入参数f7异或的值;第二HASH参数v2为所述第五输入参数f5与所述第九输入参数f9异或的值;第三HASH参数v3为所述第二输入参数f2与所述第六输入参数f6异或的值,再与v1异或的值;第四HASH参数v4为所述第四输入参数f4与所述第八输入参数f8异或的值,再与v2异或的值;
则所述HASH值为第三HASH参数v3与第四HASH参数v4异或的值,再与所述第一输入参数f1异或的值。
13.根据权利要求7所述的方法,其特征在于,步骤A中,所述分离策略为通过路由处理策略查找路由信息实现分离时,
所述分离方法为:判断所述数据报文中携带的路由信息查找是否失败,若失败,则分离该数据报文;否则,不分离。
14.根据权利要求13所述的方法,其特征在于,所述数据报文中携带的路由信息查找包括:IPv6反向路径检查,或IPv6路由表查找,或以太网口邻居发现ND表查找,或在路由表中查找该数据报文的发送方式。
15.根据权利要求13所述的方法,其特征在于,所述数据报文的发送方式为进入IPv6 over IPv4隧道时,分离所述数据报文。
16.根据权利要求15所述的方法,其特征在于,所述IPv6 over IPv4隧道包括:手工隧道、自动隧道或6 to 4隧道。
17.根据权利要求8、10或13所述的方法,其特征在于,所述分离策略还包括:生效时间段;所述分离在该生效时间段内进行。
18.根据权利要求1所述的方法,其特征在于,所述预设分离策略的方法为:网络设备接收分析器定时或不定时设置的分离策略。
19.根据权利要求18所述的方法,其特征在于,所述网络设备通过TCP/IP终端仿真协议telnet,或简单网络管理协议SNMP接收分析器下发的分离策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100861317A CN100512142C (zh) | 2005-07-15 | 2005-07-15 | 一种网络实现采样的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100861317A CN100512142C (zh) | 2005-07-15 | 2005-07-15 | 一种网络实现采样的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1897541A true CN1897541A (zh) | 2007-01-17 |
| CN100512142C CN100512142C (zh) | 2009-07-08 |
Family
ID=37609926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100861317A Active CN100512142C (zh) | 2005-07-15 | 2005-07-15 | 一种网络实现采样的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100512142C (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
| CN101119246B (zh) * | 2007-09-20 | 2010-08-18 | 杭州华三通信技术有限公司 | 数据包抽样统计的方法及装置 |
| CN102316173A (zh) * | 2010-07-05 | 2012-01-11 | 国讯新创软件技术有限公司 | 网络地址聚合方法和装置 |
| CN102546392A (zh) * | 2011-11-28 | 2012-07-04 | 曙光信息产业(北京)有限公司 | 一种基于tcp连接的网络报文采样系统和方法 |
| CN104486207A (zh) * | 2014-11-28 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种报文的采样方法和设备 |
| WO2015196636A1 (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 一种报文采集方法、系统、网络设备及网管中心 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN108780603A (zh) * | 2017-11-30 | 2018-11-09 | 深圳市大疆创新科技有限公司 | 一种无人机系统及其通信方法、遥控装置 |
| CN112422360A (zh) * | 2020-10-14 | 2021-02-26 | 锐捷网络股份有限公司 | 一种报文采样方法、装置、设备及介质 |
| CN112994983A (zh) * | 2021-04-01 | 2021-06-18 | 杭州迪普信息技术有限公司 | 流量统计方法、装置和电子设备 |
| CN113726678A (zh) * | 2021-07-28 | 2021-11-30 | 中盈优创资讯科技有限公司 | 一种基于NetFlow负载均衡器的报文分发方法 |
-
2005
- 2005-07-15 CN CNB2005100861317A patent/CN100512142C/zh active Active
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119246B (zh) * | 2007-09-20 | 2010-08-18 | 杭州华三通信技术有限公司 | 数据包抽样统计的方法及装置 |
| WO2009117920A1 (zh) * | 2008-03-28 | 2009-10-01 | 华为技术有限公司 | 网络流量采样方法和系统 |
| CN102316173A (zh) * | 2010-07-05 | 2012-01-11 | 国讯新创软件技术有限公司 | 网络地址聚合方法和装置 |
| CN102546392A (zh) * | 2011-11-28 | 2012-07-04 | 曙光信息产业(北京)有限公司 | 一种基于tcp连接的网络报文采样系统和方法 |
| CN102546392B (zh) * | 2011-11-28 | 2014-08-27 | 曙光信息产业(北京)有限公司 | 一种基于tcp连接的网络报文采样系统和方法 |
| WO2015196636A1 (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 一种报文采集方法、系统、网络设备及网管中心 |
| CN105207834A (zh) * | 2014-06-25 | 2015-12-30 | 中兴通讯股份有限公司 | 一种报文采集方法、系统、网络设备及网管中心 |
| RU2668394C2 (ru) * | 2014-06-25 | 2018-09-28 | ЗетТиИ Корпорейшн | Способ и система для сбора пакетов, сетевое устройство и центр управления сетью |
| CN104486207B (zh) * | 2014-11-28 | 2018-11-27 | 新华三技术有限公司 | 一种报文的采样方法和设备 |
| CN104486207A (zh) * | 2014-11-28 | 2015-04-01 | 杭州华三通信技术有限公司 | 一种报文的采样方法和设备 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN107566320B (zh) * | 2016-06-30 | 2020-05-26 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN108780603A (zh) * | 2017-11-30 | 2018-11-09 | 深圳市大疆创新科技有限公司 | 一种无人机系统及其通信方法、遥控装置 |
| CN112422360A (zh) * | 2020-10-14 | 2021-02-26 | 锐捷网络股份有限公司 | 一种报文采样方法、装置、设备及介质 |
| CN112994983A (zh) * | 2021-04-01 | 2021-06-18 | 杭州迪普信息技术有限公司 | 流量统计方法、装置和电子设备 |
| CN112994983B (zh) * | 2021-04-01 | 2023-01-13 | 杭州迪普信息技术有限公司 | 流量统计方法、装置和电子设备 |
| CN113726678A (zh) * | 2021-07-28 | 2021-11-30 | 中盈优创资讯科技有限公司 | 一种基于NetFlow负载均衡器的报文分发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100512142C (zh) | 2009-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1897541A (zh) | 一种网络实现采样的方法 | |
| US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
| JP5167501B2 (ja) | ネットワーク監視システムとその動作方法 | |
| EP1722508B1 (en) | Distributed traffic analysis | |
| US10084713B2 (en) | Protocol type identification method and apparatus | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| CN102420701B (zh) | 一种互联网业务流特征的提取方法 | |
| KR100997182B1 (ko) | 플로우 정보 제한장치 및 방법 | |
| CN106416171A (zh) | 一种特征信息分析方法及装置 | |
| JP2009510815A (ja) | サーチ前のパケットのリアセンブル方法及びシステム | |
| CN1150725C (zh) | 减少存储器访问次数的网络包发送查询的方法和装置 | |
| US10965600B2 (en) | Metadata extraction | |
| CN108141387B (zh) | 对于分组报头采样的长度控制 | |
| CN102739457A (zh) | 一种基于dpi和svm技术的网络流量识别系统及方法 | |
| US20190215306A1 (en) | Rule processing and enforcement for interleaved layer 4, layer 7 and verb based rulesets | |
| CN105591989B (zh) | 一种协议报文上送cpu的芯片实现方法 | |
| US20190215307A1 (en) | Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules | |
| CN1767496A (zh) | 智能选择性的基于流的数据路径结构 | |
| CN112929239B (zh) | 一种防火墙重置tcp链路的检测方法 | |
| CN101030835A (zh) | 检测特征获取装置和方法 | |
| US20060002393A1 (en) | Primary control marker data structure | |
| CN1669289A (zh) | 分析数据分组的分析器 | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| CN114124551B (zh) | 一种WireGuard协议下基于多粒度特征提取的恶意加密流量识别的方法 | |
| CN114338439B (zh) | 一种通用的网络流量解析装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220919 Address after: No. 1899 Xiyuan Avenue, high tech Zone (West District), Chengdu, Sichuan 610041 Patentee after: Chengdu Huawei Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |