一种流量监控装置及方法
【专利摘要】本发明公开了一种流量监控方法,包括接收到采集的不间断网络流量,数据包预处理模块将网络流量的数据包按照接收到的时间先后顺序进行排队列,并将排完队列的所述网络流量的数据包发送到数据处理模块;数据处理模块根据预定规则对接收到的所述网路流量数据包进行比对,并根据比对结果将所述网络流量数据包发往特定的监控端口。上述技术方案中,对网络的流量不间断地进行采集,并根据预定规则进行比对,然后,根据比对结果,转发到相应的监控模块,实现了对网络流量的不间断监控,大大提高了监控的精确度。本发明还相应公开了一种流量监控装置。
【专利说明】一种流量监控装置及方法
【技术领域】
[0001]本发明属于网络流量监控【技术领域】,尤其涉及一种流量监控装置及方法。
【背景技术】
[0002]随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络治理成为迫切需要解决的问题,有效的网络流量监控能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严重的挑战,网络流量监控在整个网络治理系统里扮演起更为重要的角色。
[0003]当前,网络流量监控的方式主要为网管系统根据预定时长周期性地采集所监控网络中的业务流量,根据预先设定的规则,进行流量监控。
[0004]周期性地采集所监控网络中的业务流量,可以节省设备的性能,但是,无法满足一些业务的需要,无法实现网络流量的不间断监控。
【发明内容】
[0005]本发明的目的是提供一种流量监控装置及方法,以解决现有技术中存在的上述缺陷。
[0006]为实现本发明的目的,本发明提供了一种流量监控方法,包括:
[0007]接收到采集的不间断网络流量,数据包预处理模块将网络流量的数据包按照接收到的时间先后顺序进行排队列,并将排完队列的所述网络流量的数据包发送到数据处理模块;数据处理模块根据预定规则对接收到的所述网路流量数据包进行比对,并根据比对结果将所述网络流量数据包发往特定的监控端口。
[0008]上述技术方案中,对网络的流量不间断地进行采集,并根据预定规则进行比对,然后,根据比对结果,转发到相应的监控模块,实现了对网络流量的不间断监控,大大提高了监控的精确度。
[0009]优选地,还包括:
[0010]所述不间断网络流量通过流量分流捕获器采集,并发送到所述数据包预处理模块,接入网络的所述流量分流捕获器还用于实现接入网络的无间断转发。
[0011]上述优选技术方案中,利用专用网络流量采集设备,流量分流捕获器对网络流量进行不间断采集,实现了采集设备的专业化,提高了采集设备的性能;同时,上述流量分流捕获器接入到网络的物理层上,其对数据的采集对网络流量无任何干扰和影响,保证了流量采集的可靠性;上述流量分流捕获器,具有无间断转发的功能,在设备内设置故障保护功能,当设备发生故障的时候,设备相当于被“短路”,网络流量无间断地进行转发。
[0012]优选地,所述流量分流捕获器为一个或多个,分别监控不同的网路。
[0013]在上述优选技术方案中,多个监控不同网路的流量分流捕获器可以采集的网络流量传输到同一数据包预处理模块中,实现了一台分析对应多台采集设备的方式,相比与传统的某一网路对应一个特定的采集和处理设备,节省了硬件资源,降低了网络部署的成本。
[0014]优选地,所述将采集到的预定规则是指根据监控目的所需设定的比对规则,所述比对规则存储在三态内容寻址存储器(TCAM)阵列内所设计的流量映射表中。
[0015]上述优选技术方案中,根据监控的目的,生成特定关键字,并存储到TCAM内的流
量映射表中。
[0016]优选地,在所述数据处理模块根据预定规则对接收到的所述网路流量数据包进行比对的步骤之后,并根据比对结果将所述网络流量数据包发往特定的监控端口步骤之前,还包括深度数据包检测的步骤,用于对网络流量数据包的应用层的信息进行重组,并根据获取的所述应用层的信息对所述网络流量数据包进行统计分析。
[0017]上述数据处理模块对网络流量数据包的处理是基于物理层的,而在流量监控装置的设计中,还必须考虑另外一种情况,那就是如果监控规则的设定中出现了非常模糊或者难以确定。最为典型的这种情况为该系统必须将没有任何标准定义而又在数据包的应用负载中会出现的所谓关键词的流量分流出来。由此,在流量监控装置的设计中,在流量处理模块之后,加入了基于数据包深检测技术(DPI)的功能,以满足监控业务进一步的需求。
[0018]本发明还提供了一种流量监控装置,包括:
[0019]数据包预处理模块,与所述网络数据输入管道相连接,用于将接收到的网络流量的数据包按照接收到的时间先后顺序在所述网络数据输入管道中进行排队列,并将排完队列的所述网络流量的数据包发送到数据处理模块;
[0020]网络数据输入管道,与所述数据预处理模块、所述数据处理模块相连,用于所述数据预处理模块将所述网络流量数据包进行排队列;
[0021]数据处理模块,与所述网络数据输入管道、监控端口相连,用于根据预定规则对接收到的所述网路流量数据包进行比对,并根据比对结果将所述网络流量数据包发往特定的监控端口 ;
[0022]监控端口,与所述数据处理模块、外部数据处理设备相连,用于所述流量监控装置将所述网络流量数据包发送到外部数据处理设备。
[0023]优选地,还包括流量分流捕获器,与接入网络,数据包预处理模块相连,用于不间断网络流量采集,并发送到所述数据包预处理模块,接入网络的所述流量分流捕获器还用于实现接入网络流量的无间断转发。
[0024]优选地,所述流量分流捕获器为一个或多个,分别监控不同的网路。
[0025]优选地,所述预定规则是指根据监控目的所需设定的比对规则,所述流量监控装置还包括TCAM,所述TCAM中设计有存储所述比对规则的流量映射表。
[0026]优选地,还包括深度数据包检测模块,与所述数据处理模块、监控端口相连,用于对网络流量数据包的应用层的信息进行重组,并根据获取的所述应用层的信息对所述网络流量数据包进行统计分析。
[0027]本发明提供的一种流量监控装置,对应与上述一种流量监控方法,具有同样的技术效果。
【专利附图】
【附图说明】
[0028]图1是本发明流量监控装置的外部结构示意图;[0029]图2是本发明流量监控装置的内部结构示意图;
[0030]图3是本发明流量监控方法的方法流程图;
[0031]图4是本发明流量分流捕获器的结构示意图;
[0032]图5是本发明流量分流捕获器正常供电时使用状态图;
[0033]图6是本发明流量分流捕获器断电时使用状态图;
[0034]图中:201-第一监控端口,202-第二监控端口,203-第一网络数据解码器,204-第二网络数据解码器,205-第一电容,206-第二电容,207-第一继电器,208-第二继电器,209-电源,210-第二数据网口,211-第一数据网口。
【具体实施方式】
[0035]为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解为此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的保护范围。
[0036]如图1所示,本发明中流量监控装置连接有多个网络流量采集设备,一台设备可以同时处理多台网络流量采集设备采集的网络数据,与现有技术相比,可以节省硬件成本。
[0037]如图2所示,数据包预处理控制模块也就是上述所谓数据包预处理模块,由于本发明中的流量监控装置处理多台网络流量采集设备采集的流量数据,如何将多个网络流量合并处理,也是一个难点,本发明中,数据包预处理模块将接收到的网络流量数据包按照接收的时间先后顺序,在网络数据输入管道中进行排列,完成预定条件的一队列后,将该队列发往数据处理模块。
[0038]如图3所示,本发明还提供了一种流量监控方法,包括下述步骤,
[0039]步骤301,接收到流量采集设备采集的网络流量数据,数据包预处理模块根据预定条件,在网络数据输入管道中,将接收到的多个流量采集的设备采集的网络流量数据包,按照接收到到时间先后顺序,在网络数据输入管道中,进行排队,待排列好满足预设条件的一队以后,将所述队列发送到数据处理模块。
[0040]步骤302,数据处理模块,接收到数据包预处理模块发送的网络流量数据包以后,根据预定的比对规则,对所述网络流量数据包进行分类。
[0041]步骤303,数据处理模块,将根据比对规则对网络流量数据包进行分类以后,发送给特定的监控端口,不同的监控端口连接有不同的数据统计分析设备。
[0042]图4为本发明分流捕获器实施例的结构示意图。
[0043]本发明实施例包括第一监控端口,第二监控端口,第一网络数据解码器,第二网络数据解码器,第一电容,第二电容,第一继电器,第二继电器,电源,第一数据网口,第二数据网口。电源用于为流量分流捕获器供电。上述电子元件之间通过网线连接,电源与待供电电子元件之间通过电源线连接。
[0044]图5为图4中发明实施例正常供电的时候使用状态图。
[0045]流量分流捕获器处于工作状态时,第一数据网口一侧的网络数据流量从第一数据网口输入流量分流捕获器,网络数据流量经过第一数据网口后输入第一网络数据解码器,第一网络数据解码器将所述网络数据解码后,发送到第一监控端口,经过第一监控端口发给外部设备,所述外部设备可以为流量分析设备、或者流量统计设备、或者其他用于对流量进行管理的设备等;第一网络数据解码器另一方面将流量无任何处理地传输到第二数据网口,经过第二数据网口将第一数据网口一侧的网络数据传输到网线上;同样地,从第二数据网口一侧的网络数据流量从第二数据网口流入流量分流捕获器,网络数据流量经过第二数据网口后输入第二网络数据解码器,第二网络数据解码器将网络数据解码后,发送到第二监控端口,经过第二监控端口发送给外部设备,这里的外部设备同样可以包括流量分析设备、或者统计设备、或者其他用于对流量进行管理的设备等;第二网络数据解码器另一方面将流量无任何处理地传输到第一数据网口,经过第一数据网口将第二数据网口 一侧的网络数据传输到网线上。
[0046]需要说明的是,上述流量分流捕获器串联接入网络中时,其两个数据网口分别连入到网络的某侧,这样就双向的网络数据流量导入到流量分流捕获器内。在流量分流捕获器内,对于接收的数据流量经过数据网口后,进入网络数据解码器,再将解过码的数据传输给下一层的器件,也就是上述的对数据流量进行处理的设备;另一方面,对于输出的数据流量,将被传输到网络端口而送出。由于流量分流捕获器的要求是“对原有数据流量必须保证没有如何影响”,所以我们充分利用网络数据解码器上的“远程数据直通”功能,也就是输入的数据流量可以不加如何处理,而直接导向输出端口,其相当于将数据流量在流量分流捕获器内是“直通车”的穿过,从而达到“无延迟,无中断,无掉包”。与此同时,利用网络数据解码器上的流量解码功能,将穿过的流量形成“镜像”而输出到监控输出端口。
[0047]如图6所示,在正常工作状态下,两个继电器装置会处在“断路”状态,但是在断电情况发生时,这两个继电器由于无电,就会转换为在“通路”的状态,从而会将网络两侧网络数据流量自动切入到直通状态,如图4中的虚线所示,点间距较大的虚线表示从第二数据网口输入,从第一数据网口输出的网络数据流量流向;点间距较小的虚线表示从第一数据网口输入,从第二数据网口输出的网络数据流向。利用继电器装置网络数据流量不会因为断电而中断。当系统恢复供电时,两个方向的继电器就会自动回复到“断路”状态,从而又将用户数据流量恢复到的监控路径上。
[0048]优选地,考虑到继电器在状态转换时,会有一定的延迟,在电路中接入电容,每一个网络数据解码器都接入一个电容,使得在继电器完成“通路”状态之前,网络数据解码器依然可以维持工作状态,因而能够保证用户数据流量在从监控路径切离前,直通电路已经接通,达到流量无中断的目标。
[0049]以上所述仅是本发明的优选实施方式,应当指出,对于本【技术领域】的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【权利要求】
1.一种流量监控方法,其特征在于,包括: 接收到采集的不间断网络流量,数据包预处理模块将网络流量的数据包按照接收到的时间先后顺序进行排队列,并将排完队列的所述网络流量的数据包发送到数据处理模块;数据处理模块根据预定规则对接收到的所述网路流量数据包进行比对,并根据比对结果将所述网络流量数据包发往特定的监控端口。
2.根据权利要求1所述的流量监控方法,其特征在于,还包括: 所述不间断网络流量通过流量分流捕获器采集,并发送到所述数据包预处理模块,接入网络的所述流量分流捕获器还用于实现接入网络的无间断转发。
3.根据权利要求2所述的流量监控方法,其特征在于,所述流量分流捕获器为一个或多个,分别监控不同的网路。
4.根据权利要求3所述的流量监控方法,其特征在于,所述预定规则是指根据监控目的所需设定的比对规则,所述比对规则存储在三态内容寻址存储器(TCAM)阵列内所设计的流量映射表中。
5.根据权利要求4所述的流量监控方法,其特征在于,在所述数据处理模块根据预定规则对接收到的所述网路流量数据包进行比对的步骤之后,并根据比对结果将所述网络流量数据包发往特定的监控端口步骤之前,还包括深度数据包检测的步骤,用于对网络流量数据包的应用层的信息进行重组,并根据获取的所述应用层的信息对所述网络流量数据包进行统计分析。
6.一种流量监控装置,其特征在于,包括: 数据包预处理模块,与所述网络数据输入管道相连接,用于将接收到的网络流量的数据包按照接收到的时间先后顺序在所述`网络数据输入管道中进行排队列,并将排完队列的所述网络流量的数据包发送到数据处理模块; 网络数据输入管道,与所述数据预处理模块、所述数据处理模块相连,用于所述数据预处理模块将所述网络流量数据包进行排队列; 数据处理模块,与所述网络数据输入管道、监控端口相连,用于根据预定规则对接收到的所述网路流量数据包进行比对,并根据比对结果将所述网络流量数据包发往特定的监控端口 ; 监控端口,与所述数据处理模块、外部数据处理设备相连,用于所述流量监控装置将所述网络流量数据包发送到外部数据处理设备。
7.根据权利要求6所述的流量监控装置,其特征在于,还包括流量分流捕获器,与接入网络,数据包预处理模块相连,用于不间断网络流量采集,并发送到所述数据包预处理模块,接入网络的所述流量分流捕获器还用于实现接入网络流量的无间断转发。
8.根据权利要求7所述的流量监控装置,其特征在于,所述流量分流捕获器为一个或多个,分别监控不同的网路。
9.根据权利要求8所述的流量监控装置,其特征在于,所述预定规则是指根据监控目的所需设定的比对规则,所述流量监控装置还包括TCAM,所述TCAM中设计有存储所述比对规则的流量映射表。。
10.根据权利要求9所述的流量监控装置,其特征在于,还包括深度数据包检测模块,与所述数据处理模块、监控端口相连,用于对网络流量数据包的应用层的信息进行重组,并根据获取的所述应用 层的信息对所述网络流量数据包进行统计分析。
【文档编号】H04L12/24GK103731316SQ201310330681
【公开日】2014年4月16日 申请日期:2013年7月30日 优先权日:2013年7月30日
【发明者】柳晓春 申请人:天津金栅科技有限公司