WO2016161713A1

WO2016161713A1 - 路由设备中数据流分析的方法、装置及路由设备

Info

Publication number: WO2016161713A1
Application number: PCT/CN2015/084127
Authority: WO
Inventors: 刘莉
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-04-10
Filing date: 2015-07-15
Publication date: 2016-10-13
Also published as: CN106161129A; CN106161129B

Abstract

一种路由设备中数据流分析的方法、装置及路由设备，所述路由设备中数据流分析的方法包括以下步骤：获取采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值在零至所述采样比减1的值所在的范围内；当探测接口接收到报文时，获取随机产生器产生的第二随机值；对所述第二随机值及所述采样比进行取余运算，获取运算结果；根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。本发明技术方案能够快速进行流量及流向的分析，提高探测器的处理性能，并在多个接口同时配置采样且流量速率一样时，避免数据流到达采集器变成一个接口数量级突发流。

Description

路由设备中数据流分析的方法、装置及路由设备

技术领域

本文涉及路由设备中数据流分析技术领域，尤其涉及一种路由设备中数据流分析的方法、装置及路由设备。

背景技术

NetFlow是一种数据交换方式，是对网络中的各种流进行统计分析的一种方法，近年来被各大运营商广泛地用来进行网络规划和网络监测，且逐渐被应用在具有大流量的核心路由器上。如图1所示，左边是一个路由器设备，内部包含了采样的3个系统：多个探测器、采集器、报告系统，右边是个独立的集中流量分析系统。其中，探测器用来监听网络数据流，采集器用来收集探测器传来的数据流，报告系统用来根据采集器采集的数据产生易读的报告。

NetFlow支持随机和非随机2种机制，如图2所示，图2为两种机制下进行采样的示意图。由于非随机机制的精确性较高，因此相关技术一般使用非随机机制进行网络数据流的分析。对于非随机机制，由于是严格的采样，需要探测器基于统计来实现，探测器每接收一个报文首先做加一统计，读取统计结果，将统计结果与采样比进行比较，相等则需要采样，采样后还需要将统计结果清零，便于下一轮的统计。一般探测器访问统计外设比较耗时，这种方法每个包至少访问2次统计外设，因此探测器的处理性能大大降低。另外非随机采样就单个接口来说可以获得均匀的采样流，但是当多个接口同时配置采样且流量速率一样时，到达采集器的采样流就可能变成一个接口数量级突发流，如图3所示，采集器负荷过重，使得采集器达不到需要的采样处理速率，影响采集器的处理性能。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是相关技术。

发明内容

本发明的主要目的在于提供一种路由设备中数据流分析的方法、装置及路由设备，旨在解决NetFlow非随机机制对流量及流向的分析速度慢并导致探测器处理性能降低的技术问题。

为实现上述目的，采用如下技术方案：

一种路由设备中数据流分析的方法，包括以下步骤：

确定采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值为零至所述采样比减1之间任意的整数；

当探测接口接收到报文时，获取随机产生器产生的第二随机值；

对所述第二随机值及所述采样比进行取余运算，获取运算结果；

根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。

可选地，所述第一随机值为质数。

可选地，所述获取采样比，并为每个探测接口分别分配第一随机值的步骤包括：

判断所分配的第一随机值是否已经被其他探测接口分配使用；

若已经被分配使用，则重新分配；

若该第一随机值没有被分配使用，则将所述第一随机值分配给所述探测接口。

可选地，所述根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样的步骤包括：

若所述运算结果与所述第一随机值相等，则转发所接收到的报文并对该报文进行采样；

若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。

一种路由设备中数据流分析的装置，包括分配模块、获取模块、运算模块和分析模块，其中：

所述分配模块设置成：确定采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值位零至所述采样比减1之间任意的整数；

所述获取模块设置成：当探测接口接收到报文时，获取随机产生器产生的第二随机值；

所述运算模块设置成：对所述第二随机值及所述采样比进行取余运算，获取运算结果；

所述分析模块设置成：根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。

可选地，所述第一随机值为质数。

可选地，所述分配模块包括判断单元和分配单元，其中：

所述判断单元设置成：判断所分配的第一随机值是否已经被其他探测接口分配使用；

所述分配单元设置成：若该第一随机值已经被分配使用，则重新分配，若该第一随机值没有被分配使用，则将所述第一随机值分配给所述探测接口。

可选地，所述分析模块包括第一分析单元和第二分析单元，其中：

所述第一分析单元设置成：若所述运算结果与所述第一随机值相等，则转发所接收到的报文并对该报文进行采样；

所述第二分析单元设置成：若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。

一种路由器设备，包括上述任意的数据流分析的装置。

一种计算机程序，包括程序指令，当该程序指令被计算机执行时，使得该计算机可执行上述任意的路由设备中数据流分析的方法。

一种载有所述的计算机程序的载体。

本发明技术方案的一种路由设备中数据流分析的方法、装置及路由设备，实际上是一种随机机制，本发明技术方案为网络数据流添加一个临时属性值及随机值，然后根据某个特定值所出现的概率来实现随机采样，由于不需要探测器基于访问外设及统计来实现，能够快速进行流量及流向的分析，提高探测器的处理性能；在多个接口同时配置采样且流量速率一样时，避免数据流到达采集器变成一个接口数量级突发流。

附图概述

图1为相关技术中路由器设备及流量分析系统的结构示意图；

图2为NetFlow中随机机制及非随机机制两种采样方式的效果图；

图3为非随机机制下多接口同时采样的采样流量示意图；

图4为本发明路由设备中数据流分析的方法一实施例的流程示意图；

图5为图4中多接口同时采样的采样流量示意图；

图6为图4中步骤S101的细化流程示意图；

图7为图4中步骤S104的细化流程示意图；

图8为本发明路由设备中数据流分析的装置一实施例的功能模块示意图；

图9为图8中分配模块的细化功能模块示意图；

图10为图8中分析模块的细化功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

本发明的较佳实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提供一种路由设备中数据流分析的方法，参照图4，在一实施例中，该路由设备中数据流分析的方法包括：

步骤S101，获取采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值在零至所述采样比减1的值所在的范围内；

本实施例涉及路由设备中各类业务进行流量和流向分析技术的相关实现算法。

本实施例中，获取采样比，采样比的最大值为1000:1，最小值为1:1，本实施例的采样比根据网络流量状况进行配置。路由设备中具有多个探测器，每个探测器具有一个探测接口，本实施例为每个探测接口分别随机分配一第一随机值A，第一随机值A在[0，(采样比-1)]的范围内，采样比及第一随机值A两者均存储在对应的探测器的存储器中，例如获取的采样比为10时，在[0，9]范围内随机为每个探测接口分别分配第一随机值A，例如可以分配给第一个探测接口的第一随机值A为2，第二个探测接口的第一随机值A为7等。分配了第一随机值A后，该第一随机值A就作为该探测接口的临时属性值。

本实施例中，第一随机值A可选地为质数。

步骤S102，当探测接口接收到报文时，获取随机产生器产生的第二随机值；

本实施例中，可以将随机产生器内置于路由设备中。

本实施例中，当探测接口接收到报文时，每接收到一个报文随机产生器就产生一个第二随机值B。例如，当某一探测接口接收到报文时，随机产生器产生一0x12336784的随机值，第二随机值B用于与采样比及第一随机值A进行一定的数学运算。

本实施例中，第二随机值B的范围较大，可以根据最大采样比来进行设定。

步骤S103，对所述第二随机值及所述采样比进行取余运算，获取运算结果；

步骤S104，根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。

本实施例中，假设路由设备中有两个探测器，采样比为10:1，将该采样比应用到接口1和接口2，分别为接口1和接口2分配第一随机值为2和7，即A1＝2，A2＝7。

假设探测器同时从接口1和接口2接收报文，当接收到报文后，随机产生器分别产生两个第二随机值0x12336784及0x12336787，然后将第二随机值与采样比进行一定的运算。

本实施例中对第二随机值及采样比进行取余运算，即将0x12336784除以采样比10，并取其余数为4，将0x12336787除以采样比10，并取其余数为7。余数4与接口1的第一随机值A1相比不相等，则代表不需要采样；余数7与接口2的第一随机值A2相比相等，则代表需要采样，依此类推。

本实施例中，如果采样比为10，则从概率上说，探测接口每接收到10个报文就有一个报文满足采样条件。

又如，采样比为1:1，将该采样比应用到接口1和接口2，分别为接口1和接口2分配第一随机值为0和0，即A1＝0，A2＝0。这样，当探测接口接收到报文时，无论随机产生器产生什么随机值，其对采样比取余后都为0，因此，探测接口接收到每个报文时，均需要对接收到的报文进行采样。

本实施例实际上是一种随机机制，其随机采样的效果图如图5所示。本实施例为网络数据流添加一个临时属性值及随机值，然后根据某个特定值所出现的概率来实现随机采样，由于不需要探测器基于访问外设及统计来实现，能够快速进行流量及流向的分析，提高探测器的处理性能；在多个接口同时配置采样且流量速率一样时，避免数据流到达采集器变成一个接口数量级突发流。

在一可选的实施例中，如图6所示，在上述图4的实施例的基础上，上述步骤S101包括：

步骤S1011，判断所分配的第一随机值是否已经被其他探测接口分配使用；

步骤S1012，若已经被分配使用，则重新分配，否则将所述第一随机值分配给所述探测接口。

本实施例中，获取采样比后，为每个探测接口分别分配一在零至采样比的范围内的第一随机值，在分配的过程中，判断所分配的第一随机值是否已经被其他探测接口分配使用，如果该第一随机值已经被分配给其他的探测接口使用，则重新为该探测接口申请另一第一随机值，如果该第一随机值未被分配给其他的探测接口使用，则确定该第一随机值分配给该探测接口使用。

在一可选的实施例中，如图7所示，在上述图4的实施例的基础上，上述步骤S104包括：

步骤S1041，若所述运算结果与所述第一随机值相等，则转发所接收到的报文并进行报文采样；

步骤S1042，若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。

本实施例中，对第二随机值及采样比进行取余运算，其运算结果为余数，如果余数与第一随机值相等，则正常转发所接收到的报文，同时复制一份该报文该采集器，以便采集器对该报文进行采集；如果余数与第一随机值不相等，则正常转发所接收到的报文，但是不需要对该报文进行采样。

本发明实施例还提供一种路由设备中数据流分析的装置，如图8所示，所述路由设备中数据流分析的装置包括：

分配模块101，设置成：获取采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值在零至所述采样比减1的值所在的范围内；

本实施例中，获取采样比，采样比的最大值为1000:1，最小值为1:1，本实施例的采样比根据网络流量状况进行配置。路由设备中具有多个探测器，每个探测器具有一个探测接口，本实施例为每个探测接口分别随机分配一第一随机值A，第一随机值A在[0，(采样比-1)]的范围内，采样比及第一随机值A两者均存储在对应的探测器的存储器中，例如获取的采样比为10时，在[0，9]范围内随机为每个探测接口分别分配第一随机值A，例如可以分配给第一个探测接口的第一随机值A为2，第二个探测接口的第一随机值A为7 等。分配了第一随机值A后，该第一随机值A就作为该探测接口的临时属性值。

本实施例中，第一随机值A可选地为质数。

获取模块102，设置成：当探测接口接收到报文时，获取随机产生器产生的第二随机值；

本实施例中，可以将随机产生器内置于路由设备中。

运算模块103，设置成：对所述第二随机值及所述采样比进行取余运算，获取运算结果；

分析模块104，设置成：根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。

假设探测器同时从接口1和接口2接收报文，当接收到报文后，随机产生器分别产生两个第二随机值0x12336784及0x12336787，然后将第二随机值于采样比进行一定的运算。

在一可选的实施例中，如图9所示，在上述图8的实施例的基础上，所述分配模块101包括：

判断单元1011，设置成：判断所分配的第一随机值是否已经被其他探测接口分配使用；

分配单元1012，设置成：若已经被分配使用，则重新分配，否则将所述第一随机值分配给所述探测接口。

在一可选的实施例中，如图10所示，在上述图8的实施例的基础上，所述分析模块104包括：

第一分析单元1041，设置成：若所述运算结果与所述第一随机值相等，则转发所接收到的报文并进行报文采样；

第二分析单元1042，设置成：若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。

本发明实施例还提供一种路由器设备，所述路由器设备包括上述的路由设备中数据流分析的装置。

本发明实施例还公开了一种计算机程序，包括程序指令，当该程序指令被计算机执行时，使得该计算机可执行上述任意的路由设备中数据流分析的方法。

本发明实施例还公开了一种载有所述的计算机程序的载体。

以上仅为本发明的可选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

本发明技术方案能够快速进行流量及流向的分析，提高探测器的处理性能，并在多个接口同时配置采样且流量速率一样时，避免数据流到达采集器变成一个接口数量级突发流。因此本发明具有很强的工业实用性。

Claims

一种路由设备中数据流分析的方法，包括以下步骤：

确定采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值为零至所述采样比减1之间任意的整数；

当探测接口接收到报文时，获取随机产生器产生的第二随机值；

对所述第二随机值及所述采样比进行取余运算，获取运算结果；

根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。
如权利要求1所述的路由设备中数据流分析的方法，其中，所述第一随机值为质数。
如权利要求1或2所述的路由设备中数据流分析的方法，其中，所述获取采样比，并为每个探测接口分别分配第一随机值的步骤包括：

判断所分配的第一随机值是否已经被其他探测接口分配使用；

若已经被分配使用，则重新分配；

若该第一随机值没有被分配使用，则将所述第一随机值分配给所述探测接口。
如权利要求1或2所述的路由设备中数据流分析的方法，其中，所述根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样的步骤包括：

若所述运算结果与所述第一随机值相等，则转发所接收到的报文并对该报文进行采样；

若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。
一种路由设备中数据流分析的装置，包括分配模块、获取模块、运算模块和分析模块，其中：

所述分配模块设置成：确定采样比，并为每个探测接口分别分配第一随机值，其中，所述第一随机值位零至所述采样比减1之间任意的整数；

所述获取模块设置成：当探测接口接收到报文时，获取随机产生器产生的第二随机值；

所述运算模块设置成：对所述第二随机值及所述采样比进行取余运算，获取运算结果；

所述分析模块设置成：根据所述运算结果及所述第一随机值判断是否对所接收到的报文进行采样。
如权利要求5所述的路由设备中数据流分析的装置，其中，所述第一随机值为质数。
如权利要求5或6所述的路由设备中数据流分析的装置，其中，所述分配模块包括判断单元和分配单元，其中：

所述判断单元设置成：判断所分配的第一随机值是否已经被其他探测接口分配使用；

所述分配单元设置成：若该第一随机值已经被分配使用，则重新分配，若该第一随机值没有被分配使用，则将所述第一随机值分配给所述探测接口。
如权利要求5或6所述的路由设备中数据流分析的装置，其中，所述分析模块包括第一分析单元和第二分析单元，其中：

所述第一分析单元设置成：若所述运算结果与所述第一随机值相等，则转发所接收到的报文并对该报文进行采样；

所述第二分析单元设置成：若所述运算结果与所述第一随机值不相等，则转发所接收到的报文。
一种路由器设备，包括如权利要求5至8任一项所述的数据流分析的装置。
一种计算机程序，包括程序指令，当该程序指令被计算机执行时，使得该计算机可执行如权利要求1-4中任一项所述的路由设备中数据流分析的方法。
一种载有如权利要求10所述的计算机程序的载体。