專利名稱：基于應用層業(yè)務分析的網(wǎng)絡流量分析方法
技術領域：
本發(fā)明涉及計算機互聯(lián)網(wǎng)的信息安全技術領域，尤其涉及一種基于應用層業(yè)務識
別、網(wǎng)絡流量、業(yè)務服務質(zhì)量測試分析、異常流量分析方法。
背景技術：
隨著互聯(lián)網(wǎng)和計算機的飛速發(fā)展，越來越多的互聯(lián)網(wǎng)數(shù)據(jù)業(yè)務為人們的工作、生 活和娛樂帶來了便利。"三網(wǎng)合一"的大趨勢，也對傳統(tǒng)互聯(lián)網(wǎng)提出了 QoS保障的需求，要求 運營商在運營NGN、多媒體、視頻會議等業(yè)務時，提供保障質(zhì)量的服務。 同時，針對互聯(lián)網(wǎng)的攻擊、資源濫用、病毒傳播等現(xiàn)象，也需要一套完整的解決方 案， 一方面能夠定位異常流量的來源、波及范圍、危害程度等；一方面也要求能夠準確分析 出異常流量的類型。 而傳統(tǒng)的基于Cisco專利的NetFlow技術，其最大缺陷在于 1、NetFlow只分析TCP/IP包的第四層信息，無法掌握會話的應用層業(yè)務類型； 2、NetFlow基于抽樣技術，它不對會話進行全程跟蹤，因此容易遺漏會話信息或者
誤判； 3、 NetFlow信息只統(tǒng)計流量信息，業(yè)務QoS指標(延時、抖動、丟包率、響應時間 等)不進行統(tǒng)計；協(xié)議異常事件不進行分析。 與Cisco NetFlow技術類似的，還有華為技術有限公司的NetStream技術、HP和
3C0M等提出的sFlow/cFlow技術等。這些技術都存在以上所述的三個缺陷。 因此，必須尋求一種新的技術，用于解決在復雜網(wǎng)絡環(huán)境中，對網(wǎng)絡流量、業(yè)務QoS
指標、異常流量進行精確分析的方法，滿足運營商、企業(yè)等對于網(wǎng)絡的管理維護需求。

發(fā)明內(nèi)容
為了解決現(xiàn)有流量分析技術存在的問題，本發(fā)明提供了一種基于統(tǒng)計學理論的應
用于網(wǎng)絡流量分析的應用層業(yè)務流量分析、業(yè)務質(zhì)量測試分析、異常業(yè)務流量分析的技術，
能夠對應用層業(yè)務進行流量、QoS和異常檢測。 本發(fā)明所述的應用于應用業(yè)務流量分析的方法，首先將互聯(lián)網(wǎng)數(shù)據(jù)應用業(yè)務進
行識別，掌握通信會話承載的應用層業(yè)務類型，統(tǒng)計會話的流量速度、流量字節(jié)報文、會話
持續(xù)時間等信息，分析會話的響應時間、時延、抖動、丟包率等QoS信息，檢測會話的通信異
常、協(xié)議異常信息。 在會話結束時，將統(tǒng)計信息上報到流量分析數(shù)據(jù)庫，由數(shù)據(jù)庫對應用層業(yè)務進行 統(tǒng)計分析。


圖1是目前網(wǎng)絡產(chǎn)品流量分析的通用處理模型； 圖2是采用本發(fā)明所述方法進行應用層業(yè)務流量分析時的處理流程。
具體實施例方式
現(xiàn)結合附圖及實施例對本發(fā)明作進一步詳細說明。要對應用層業(yè)務的會話進行統(tǒng) 計，首先必須識別出會話所屬的業(yè)務類型，才能對會話的流量、業(yè)務相關的QoS統(tǒng)計指標、 業(yè)務異常檢測等采取相應的分析方法。 在本發(fā)明中，會話的應用層業(yè)務類型識別是關鍵，針對應用層業(yè)務進行的各種指 標統(tǒng)計是基礎，在統(tǒng)計的基礎上，結合業(yè)務的專家分析功能，就可以分別統(tǒng)計流量、測試QoS 質(zhì)量、檢測業(yè)務異常情況等。 圖1是目前網(wǎng)絡產(chǎn)品進行流量分析的通用處理模型。參考圖1 : 在傳統(tǒng)網(wǎng)絡產(chǎn)品中，支持xFlow功能時，報文首先進入網(wǎng)絡設備的入端口緩沖區(qū)
進行排隊，見圖1的101。 然后，高端網(wǎng)絡設備借助于硬件進行會話哈希查找，低端設備借助于CPU進行會 話哈希查找。見圖1的102。 xFlow會抽樣統(tǒng)計每一個會話的流量信息，形成會話流量統(tǒng)計。見圖1的103。
并定時輸出xFlow信息到信息收集器。見圖1的104。 然后被發(fā)到出端口的緩沖區(qū)隊列，排隊等候發(fā)送到出端口網(wǎng)絡上去。見圖1的 105。 圖2是本發(fā)明所使用的報文處理模型 報文在到達網(wǎng)絡設備時，首先進入設備入端口緩沖區(qū)隊列，排隊等候被處理。如圖 2的201。 然后，高端網(wǎng)絡設備借助于硬件哈希查找，低端設備借助于CPU查找，將一個報文 對應的會話信息查找到。如圖2的202。 —個會話的應用層業(yè)務類型，除了可以通過TCP/UDP的端口、協(xié)議類型進行識別 外，還需要通過復雜的協(xié)議解析流程，識別出應用層業(yè)務的類型，例如分析出基于80端口 的WEB頁面瀏覽，和網(wǎng)上視頻點播，就必須借助于應用層協(xié)議解析才能區(qū)分它們。在當前 P2P業(yè)務盛行的情況下，還需要借助于協(xié)議特征字，識別出例如BitTorrent等P2P應用。這 些應用都無法單純依靠端口來準確識別。如圖2的203。 在識別出會話的應用層業(yè)務類型之后，需要對應用層業(yè)務進行各種流量信息統(tǒng)
計，包括流量統(tǒng)計、業(yè)務QoS指標統(tǒng)計、業(yè)務異常檢測與統(tǒng)計。如圖2的204。 在一次會話結束時，將會話信息輸出到信息采集數(shù)據(jù)庫。如圖2的205。 在完成這些流程后，將報文輸出到設備的出端口緩沖區(qū)，發(fā)送到目的網(wǎng)絡。如圖2
的206。
權利要求
一種應用于網(wǎng)絡流量分析的應用層業(yè)務流量分析、業(yè)務服務質(zhì)量分析、異常業(yè)務流量分析的方法，其特征在于全程跟蹤通信網(wǎng)絡中的每一個會話過程，根據(jù)協(xié)議解析原理準確識別通信會話應用層業(yè)務類型，統(tǒng)計會話的流量信息(流量速度bps/pps，會話字節(jié)數(shù)、會話報文數(shù)、會話持續(xù)時間)，業(yè)務服務質(zhì)量信息(會話響應時間、延時、抖動、丟包率)，異常會話信息(DoD/DdoS攻擊、異常協(xié)議攻擊等)。
2. 根據(jù)會話的統(tǒng)計信息，按照標準會話流輸出格式，將會話統(tǒng)計信息輸出到數(shù)據(jù)庫。
3. 數(shù)據(jù)庫按照流量的用戶、業(yè)務和服務器進行T0PN分析，業(yè)務QoS質(zhì)量分析，異常業(yè)務 流量檢測分析。
4. 根據(jù)數(shù)據(jù)庫分析結果，分別提供流量分析功能，掌握網(wǎng)絡的流量、流向、用戶構成 情況、業(yè)務構成情況和服務器構成情況。
5. 根據(jù)統(tǒng)計分析結果，提供業(yè)務的響應時間、延時、抖動、丟包率等QoS統(tǒng)計信息。
6. 根據(jù)統(tǒng)計分析結果，提供網(wǎng)絡異常流量檢測，協(xié)議異常檢測等信息。
全文摘要
本發(fā)明公開了一種應用于網(wǎng)絡流量分析的方法，是將互聯(lián)網(wǎng)業(yè)務進行會話跟蹤分析，提取每一個會話的流量、業(yè)務服務質(zhì)量(QoS)、會話狀態(tài)信息等，這些信息形成業(yè)務會話統(tǒng)計信息數(shù)據(jù)庫。本發(fā)明基于統(tǒng)計學理論，解決了當前網(wǎng)絡應用業(yè)務飛速發(fā)展更新頻繁情況下，通過對應用層業(yè)務數(shù)據(jù)的完整分析，避免了傳統(tǒng)基于Cisco Netflow技術只能分析TCP/IP的第四層協(xié)議以下信息的弊端，避免NetFlow基于抽樣統(tǒng)計的數(shù)據(jù)采樣技術的信息失真，在網(wǎng)絡流量分析、業(yè)務服務質(zhì)量測量、異常流量識別方面，具有非常重要的意義。本發(fā)明基于應用層業(yè)務檢測技術和流量統(tǒng)計測試技術，統(tǒng)計結果準確，便于復雜網(wǎng)絡環(huán)境下的網(wǎng)絡維護、安全定位、業(yè)務質(zhì)量控制等。
文檔編號H04L29/08GK101741628SQ20081017180
公開日2010年6月16日 申請日期2008年11月13日 優(yōu)先權日2008年11月13日
發(fā)明者付天福 申請人:比蒙新帆(北京)通信技術有限公司