一種實現(xiàn)流量分析的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及流量分析技術(shù)，尤指一種對路由器或交換機設(shè)備實現(xiàn)流量分析的方法及裝置。
【背景技術(shù)】
[0002]目前，對路由器或者交換機設(shè)備，進行流量分析的技術(shù)有IP數(shù)據(jù)流信息輸出(IPFIX) ,SFL0ff(SFL0ff 是由 InMon、HP 和 FoundryNetworks 于 2001 年聯(lián)合開發(fā)的一種網(wǎng)絡(luò)監(jiān)測技術(shù)，它采用數(shù)據(jù)流隨機采樣技術(shù)，可提供完整的第二層到第四層，甚至全網(wǎng)絡(luò)范圍內(nèi)的流量信息，可以適應(yīng)超大網(wǎng)絡(luò)流量(如大于lOGbit/s)環(huán)境下的流量分析，讓用戶詳細、實時地分析網(wǎng)絡(luò)傳輸流的性能、趨勢和存在的問題)等。這些技術(shù)都要求將采集的流信息輸出到外部服務(wù)器中，由外部服務(wù)器存儲歷史流信息的分析結(jié)果，供用戶查詢使用。然而對于某些流量較少的網(wǎng)絡(luò)，部署外部服務(wù)器是昂貴的，而且用戶希望可以在本地設(shè)備上直接查詢到歷史流量的分析結(jié)果，而不是登陸到外部服務(wù)器上。另外，IPFIX等流量分析技術(shù)雖然可以提供全面完整的分析結(jié)果，但是需要將采集的原始報文匯聚為流信息再發(fā)送給外部服務(wù)器分析，導(dǎo)致用戶無法察看到采集的原始報文內(nèi)容。這影響了設(shè)備操作者在本地設(shè)備上察看實時的采集報文內(nèi)容，不便于在網(wǎng)絡(luò)出現(xiàn)問題時，即時的分析出是由哪些報文引起了網(wǎng)絡(luò)問題。
[0003]綜上，目前的流量分析技術(shù)，對流量較少的網(wǎng)絡(luò)，部署外部服務(wù)器昂貴；并且，需要登錄到外部服務(wù)器才可以進行歷史流量的分析結(jié)果查詢，不便于設(shè)備操作者的工作；另外，雖然外部服務(wù)器可以全面完整的分析流信息，但是，用戶無法查看采集的原始報文內(nèi)容，不便于在網(wǎng)絡(luò)出現(xiàn)問題時，即時的分析網(wǎng)絡(luò)問題。

【發(fā)明內(nèi)容】

[0004]為了解決上述問題，本發(fā)明提供一種實現(xiàn)流量分析的方法及裝置，能夠通過本地設(shè)備對流信息采集報文按照需求進行即時的分析，便于查看分析結(jié)果。
[0005]為了達到本發(fā)明的目的，本申請?zhí)峁┮环N實現(xiàn)流量分析的方法；包括:
[0006]按照預(yù)先設(shè)置的分類策略對流量信息進行分類:準(zhǔn)許(Permit)的流量信息、拒絕Deny的流量信息和不確定(Unknow)的流量信息；
[0007]根據(jù)流量信息的流字段，確定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相應(yīng)的信息流；
[0008]對預(yù)設(shè)時長內(nèi)的各信息流分別按照第一預(yù)設(shè)周期在內(nèi)存中進行聚合，獲得各流信息的分析結(jié)果，并將分析結(jié)果反饋給用戶。
[0009]進一步地，該方法之前還包括:獲取所述流量信息；包括:
[0010]獲取流信息采集報文，并從獲得的流信息采集報文中提取所述流量信息。
[0011]進一步地，獲取流信息采集報文包括:
[0012]直接采用IPFIX協(xié)議獲取需要進行流量分析的流信息采集報文；或，
[0013]復(fù)制輸出到外部服務(wù)器的流信息采集報文。
[0014]進一步地,分類策略包括:ACL規(guī)則。
[0015]進一步地，該方法之前還包括:預(yù)先設(shè)置流量信息的流字段；
[0016]流字段至少包括:字節(jié)數(shù)、報文數(shù)、起始時間和終止時間，以及，
[0017]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0018]進一步地，對預(yù)設(shè)時長內(nèi)的各信息流，按照第一預(yù)設(shè)周期在內(nèi)存中進行聚合獲得流信息的分析結(jié)果具體包括:
[0019]對于每一個信息流，以所述第一預(yù)設(shè)周期中信息流中時間最小的時間作為所述起始時間和時間最晚的時間為所述終止時間，在內(nèi)存中進行聚合，對聚合后的流字節(jié)數(shù)和報文數(shù)進行累加，獲得流信息的分析結(jié)果。
[0020]進一步地，該方法還包括:對超出所述預(yù)設(shè)時長的分析結(jié)果，按照第二預(yù)設(shè)周期存儲到永久性存儲空間。
[0021]進一步地，對存儲到永久性存儲空間的分析結(jié)果，該方法還包括:按照第二預(yù)設(shè)周期，對最新存儲到永久性存儲空間的分析結(jié)果，與之前存儲的分析結(jié)果進行聚合處理。
[0022]進一步地，該方法還包括:實時采集第一閾值個數(shù)的原始報文；
[0023]對采集的原始報文進行解析，獲得用戶所需的原始報文相關(guān)參數(shù)并反饋給用戶；
[0024]原始報文相關(guān)參數(shù)至少包括:IP地址、端口號；
[0025]原始報文為:與獲取的流信息采集報文對應(yīng)的原始報文。
[0026]另一方面，本申請還提供一種實現(xiàn)流量分析的裝置，設(shè)置在本地設(shè)備上，包括:分類單元、信息流單元和分析處理單元；其中，
[0027]分類單元，用于按照預(yù)先設(shè)置的分類策略對流量信息進行分類:準(zhǔn)許Permit的流量信息、拒絕Deny的流量信息和不確定Unknow的流量信息；
[0028]信息流單元，用于根據(jù)流量信息的流字段，確定Permit的流量信息、Deny的流量信息和Unknow的流量信息中相應(yīng)的信息流；
[0029]分析處理單元，用于對預(yù)設(shè)時長內(nèi)的各信息流分別按照第一預(yù)設(shè)周期在內(nèi)存中進行聚合，獲得各流信息的分析結(jié)果，并將分析結(jié)果反饋給用戶。
[0030]進一步地，該裝置還包括采集提取單元，用于獲取所述流量信息；具體用于，
[0031]獲取流信息采集報文，并從獲得的流信息采集報文中提取所述流量信息。
[0032]進一步地，采集提取單元具體用于:直接采用IPFIX協(xié)議獲取需要進行流量分析的流信息采集報文，并從獲得的流信息采集報文中提取所述流量信息；或，
[0033]復(fù)制輸出到外部服務(wù)器的流信息采集報文，并從獲得的流信息采集報文中提取所述流量信息。
[0034]進一步地，該裝置還包括分類設(shè)置單元，用于設(shè)置分類策略；
[0035]分類策略包括:ACL規(guī)則。
[0036]進一步地，該裝置還包括流字段設(shè)置單元，用于預(yù)先設(shè)置所述流量信息的流字段；
[0037]流字段至少包括:字節(jié)數(shù)、報文數(shù)、起始時間和終止時間，以及，
[0038]和/或源IP、和/或目的IP、和/或源端口、和/或目的端口。
[0039]進一步地，分析處理單元具體用于，對于每一個信息流，以所述第一預(yù)設(shè)周期中信息流中時間最小的時間作為所述起始時間和時間最晚的時間為所述終止時間，在內(nèi)存中進行聚合，對聚合后的流字節(jié)數(shù)和報文數(shù)進行累加，獲得流信息的分析結(jié)果。
[0040]進一步地，該裝置還包括存儲單元，存儲單元包含存儲模塊，用于對超出所述預(yù)設(shè)時長的分析結(jié)果，按照第二預(yù)設(shè)周期存儲到永久性存儲空間。
[0041]進一步地，存儲單元還包括聚合處理模塊，用于對所述存儲到永久性存儲空間的分析結(jié)果，按照第二預(yù)設(shè)周期，對最新存儲到所述存儲到永久性存儲空間的分析結(jié)果，與之前存儲的分析結(jié)果進行聚合處理。
[0042]進一步地，該裝置還包括原始報文分析單元，具體包括原始報文采集模塊和分析反饋模塊:其中，
[0043]原始報文采集模塊，用于實時采集第一閾值個數(shù)的原始報文；
[0044]分析反饋模塊，用于對采集的所述原始報文進行解析，獲得用戶所需的原始報文相關(guān)參數(shù)并反饋給用戶；
[0045]原始報文相關(guān)參數(shù)至少包括:IP地址、端口號；
[0046]原始報文為:與獲取的流信息采集報文對應(yīng)的原始報文。
[0047]與現(xiàn)有技術(shù)相比，本發(fā)明提供的技術(shù)方案，包括:在本地設(shè)備上，按照預(yù)先設(shè)置的分類策略對流量信息進行分類:準(zhǔn)許(Permit)的流量信息、拒絕(Deny)的流量信息和不確定(Unknow)的流量信息；根據(jù)流量信息的流字段，確定Permit的流量信息、Deny的流量信息和Unknow的