专利名称:通信测量系统及其通信分析方法
技术领域:
本发明涉及一种因特网网络测量系统,具体涉及通信测量系统及其通信分析方法,用于从因特网链路的各个点收集通信数据和分析每个应用的通信数据。
背景技术:
因为因特网的网络结构和通信特征复杂,因此已经提出和应用了各种测量因特网网络的方法。通信的测量直接与初始阶段网络的设计和计划、操作阶段的通信工程和高质量的因特网通信的提供有关。另外,应当在网络相关的操作中执行通信的测量。
网络性能的测量方法可以被划分为主动的测量方法和被动的测量方法。主动测量方法通过向网络装入测试分组和随后在测试分组通过网络后测量测试分组的诸如延迟和损失的特征来分析网络的性能。被动测量方法捕获通过网络的分组而不影响分组的流动,并且根据所捕获的数据来分析各种通信特征。
已经通过根据在设备中的管理信息库(MIB)数据测量每个链路的使用率来执行通信量的测量。这样的方法由于设备的改善的性能和标准化而能够容易地被使用;但是,所述方法被设计来计算出仅仅占用链路的通信量。因此,不可能利用这种方法来分析通信的结构和特征。路由器具有使用端口编号的通信分类功能来解决上述问题;但是,不能按照通过端口编号的通信分类来获得具有各种应用的因特网的通信特征。
现在,为了详细分析通信,通常使用这样的一种方法,即从链路收集分组或使用思科系统公司的网络流功能收集通信数据,然后分析所收集的分组或所收集的通信数据。这样的方法是主要使用用于研究目的或暂时分析通信。但是,所述方法应当保持分组数据来用于以后的分析,可能与用户信息相关的分组的有效载荷数据不能被收集。因此,与应用有关的数据被丢失,并且仅仅根据IP/TCP/UDP首标数据来执行分析。在这种情况下,因为仅仅使用端口编号来分类应用,所以难于通过除了诸如P2P或流服务的传统方法之外的方法识别使用端口的应用。另外,因为不能获得正式的分析方法,因此需要许多专家,并且需要具有大容量的存储器件或高速服务器。结果,不能连续地测量和长时间地分析通信量。
而且,因为因特网的通信路径是不对称的,因此在网络具有多个外部连接的情况下(例如多家庭的情况),应当考虑到从几个点收集的通信量而执行相关的分析。但是,用于这样的分析的系统或方法当前还没有正式化。
发明内容
本发明提供了一种通信量测量系统,用于通过测量几个点的通信和分析所测量的通信来提供详细的通信分析结果,尤其是对于应用识别失败的情况。
本发明也提供了在按照本发明的通信测量系统中执行的通信分析方法。
本发明还提供了一种记录介质,其上利用可以在计算机中操作的程序代码记录了按照本发明的通信分析方法。
按照本发明的一个方面,提供了通信测量系统,包括多个测量器件,用于收集流过一组因特网链路的所有分组,提取从所收集的分组分析通信所需要的通信数据,并且将所提取的数据处理为预定的流类型;分析服务器,它通过分析从作为整体的所述多个测量器件传送的通信数据而识别通信的应用,将所识别的应用分类为预定的通信类型,并且输出分类结果。
按照本发明的另一个方面,提供了在通信测量系统中执行的通信分析方法,所述通信分析方法收集流过一组因特网链路的分组、分析通信和识别分组的应用,所述方法包括分类第一通信类型,所述第一通信类型的应用仅仅使用包括在被处理为预定类型的流数据中的端口编号来被识别;分类第二通信类型,所述第二通信类型的应用通过从在分类第一通信类型之后剩余的流数据查看包括在分组的有效负荷中的应用的首标和操作相关联的数据来被识别;分类第三通信类型,所述第三通信类型的应用是通过整体分析在分类第二通信类型之后剩余的流数据和在不同点测量的流的反向流数据来被识别;分类第四通信类型,所述第四通信类型的应用是通过分析在分类第三通信类型之后剩余的流数据和在不同点测量的流数据而被识别的,因为未预定应用的端口编号;分类第五通信类型,所述第五通信类型的应用不能使用在分类所有上述类型的通信类型之后剩余的流数据来被识别。
通过参照附图详细说明本发明的实施范例,本发明的上述方面和优点将会变得更加清楚,其中图1是图解按照本发明的一个实施例的通信测量系统的方框图;图2是图解用于分析图1中的通信分析单元的通信分类类型的示例的方框图;图3是图解在图1的分析服务器中执行的通信测量和分析方法的流程图。
具体实施例方式
现在参照附图来更全面地说明本发明,附图中示出了本发明的一个优选图1是图解按照本发明的一个实施例的通信测量系统的方框图。按照本发明的通信测量系统包括多个测量器件10、分析服务器20、多个时间接收器件40。在图1中,为了方便说明示出了多个路由器30。
参见图1,多个时间接收器件40中的每一个从GPS卫星或CDMA基站接收时间信号以便与测量器件10同步。
测量器件10收集流过因特网链路的所有分组,并且从收集的分组提取和处理分析通信所必须的数据。其后,测量器件10向分析服务器20提供处理的数据。优选的是,每个测量器件10包括分组收集单元100、流产生单元110、存储单元120和传送单元130。
分组收集单元100通过抽头、端口镜像或信号分布而经由在路由器之间的直接连接的链路来收集流过因特网链路的所有分组数据。然后,分组收集单元100记录每个分组从时间接收器件40被传送的精确时间,并且向流产生单元110提供这些分组。
流产生单元110使用由分组收集单元100收集的具有相同来源和目的地地址、相同协议号和相同端口编号的分组来产生流记录。另外,流产生单元110分析分组的内容以提取详细分析应用所需要的数据、即用于从分组的有效负荷确定应用的操作相关联的数据,并且所提取的数据被暂时存储在存储单元120中。
传送单元130按照预定的时间间隔向分析服务器20传送在存储单元120中存储的数据。
其后,分析服务器20整体分析从测量器件10传送的数据以分类按照每个应用的通信。另外,分析服务器20进行应用通信的统计以产生线路的通信报告。优选的是,分析服务器20包括通信分析单元200、数据接收单元210、报告输出单元220、数据存储单元230和用户接口240。
数据接收单元210从测量器件10接收数据,并且向通信分析单元200提供所述数据。
通信分析单元200分析从数据接收单元210提供的数据,并且在数据存储单元230中存储分析结果或向报告输出单元220提供分析结果。
报告输出单元220将从通信分析单元200接收的分析结果处理为预定的报告类型,并且在数据存储单元230中存储分析结果。
用户接口240按照由用户期望的手段显示所述报告和存储在数据存储单元230中的分析结果。
图2是图解用于分析图1中的通信分析单元200的通信分类类型的示例的方框图。
参见图2,在本发明中,通信被分类为5中类型。具体而言,按照本发明的通信分类类型的示例包括第一通信类型21,它使用TCP/UDP端口编号被分类;第二通信类型22,它通过收集在分组的有效负荷中包括的应用首标和数据被分类;第三通信类型23,它通过从第二通信类型22提取数据而被分类,因为在第二通信类型22的反向通信中没有应用数据;第四通信类型24,它根据通信的其他流的内部数据被分类,因为通过通信的其他流来交换要使用的端口编号;第五通信类型25,它包括未被分类到第一到第四通信类型21到24的通信。
参见图2,第一通信类型21可以被应用到这样的情况,其中每个在TCP/UCP中使用的端口编号被分配到仅仅一个应用。第一通信类型21的分类方法是最简单的,已经被传统地用于分类通信。因为使用因特网的一些应用对应于第一通信类型21,第一通信类型21被定义为通信分类类型。
第二通信类型22可以被应用到这样的情况,其中多个应用共享一个端口编号。被分类到第二通信类型22的通信不能仅仅使用端口编号来被识别,但是可以使用与应用相关联的应用首标或应用签字以及IP/TCP/UDP首标被识别。具体上,对于利用接近1024的登记的端口号码的一些应用,在短暂分配的客户端端口和实际的服务端口之间存在高概率的混淆。换句话说,被分配大于1024的端口编号的应用可以与其他应用共享端口编号。因此,应当使用与应用相关联的应用首标或应用签字以及IP/TCP/UDP首标来识别通信。
第三通信类型23可以被应用到这样的情况,其中对应于第二通信类型22的端口编号被使用,但是在对应的流中不包括用于识别端口编号的的应用首标或应用签字。因此,为了分析对应于第三通信类型23的通信,应当从对应于第三通信类型23的反向通信的第二通信类型22提取用于识别应用的数据。特别是,因为因特网的通信路径是不对称的,因此不在同一链路中存在前向流和反向流。因此,为了提高识别第三通信类型23的可能性,优选的是,一起分析来自不同测量器件10的测量结果。
第四通信类型24通常出现在流服务应用中。另外,第四通信类型24在客户端和服务器之间使用多于两个的用于服务的TCP或UDP连接。例如,音乐广播服务可以包括选择音乐的处理和接收所选择的音乐的处理。在此,第一连接用于连接到用于音乐选择的音乐广播服务器。因此,这样的通信被分类为第一通信类型21、第二通信类型22或第三通信类型23。到音乐广播服务器的第二连接用于接收所选择的音乐。另外,在通过第一连接、即控制连接交换要在客户端和服务器之间使用的端口编号之后执行第二连接。第二连接被分类为第四通信类型24。在此,对应于第四通信类型24的通信没有预定的端口编号。因此,可以通过检测在控制连接中使用的通信和提取在控制连接中使用的端口编号来识别通信。
第五通信类型25包括由上述四种类型21-24中的任何一个未识别的通信。另外,在本发明中不详细分析第五通信类型25。第五通信类型25由隐含使用选用的端口编号的用户或不广泛公知的应用产生。而且,第五通信类型25占用总的因特网通信量的较小部分,因此难于识别第五通信类型25的应用。
可以通过将通信分类为5种类型和分析以它们各自的类型分类的通信来有效地执行通信分析。
图3是图解在图1的分析服务器中执行的通信测量和分析方法的流程图。
参见图1-3,分析服务器20利用从测量器件10传送的流记录识别通信的通信类型和进行通信类型的统计。在此,按照图2的通信类型分类通信以识别应用。
首先,分析服务器20在步骤301中识别对应于第一通信类型21的应用。在此,可以仅仅使用端口编号来识别对应于第一通信类型21的应用。分析服务器20确定是否第四通信类型24的应用签字被包括在第一通信类型21中。如果第四通信类型24的应用签字存在,则在步骤302,分析服务器20提取所述数据和将所述数据存储在数据存储单元230中。如上参见图2所述,对于第四通信类型24,应当通过检测在控制连接上的通信来提取端口编号。即,如果在步骤301识别用于控制连接的通信,则通信包括第四通信类型24的应用签字。因此,应用签字应当被提取和存储,以便可以使用应用签字来识别第四通信类型24。
在步骤302之后,在步骤303,分析服务器20从在识别第一通信类型21后剩余的流数据识别第二通信类型22。另外,在识别第二通信类型22的同时,如果流对应于第三通信类型23的反向流,则分析服务器20从流提取第三通信类型23的应用签字,并且存储所提取的应用签字。而且,当第四通信类型24的应用签字存在时,分析服务器20在步骤305中提取和存储应用签字,就像步骤302的情况一样。
如前所述,通信因特网的通信路径是不对称的,因此流的反向流可以在另一个链路中存在。因此,为了分析反向流的存在,在不同点测量的数据应当整体地被分析和相关联。因此,考虑在其他链路产生的通信而分析在步骤302、303和305识别的第三和第四通信类型23和24的通信。第三通信类型23的通信可以被表示为第二通信类型22的反向通信。因此,在步骤306中,使用从其他链路获得的第三通信类型23的应用签字以及在一个链路中产生的第三通信类型23的应用签字来分析第三通信类型23的应用。
在步骤306后,在步骤307中,考虑在其他链路中的应用签字来分析第四通信类型24的应用。
在步骤308中,不对应于第一到第四通信类型21-24的通信被分类为第五通信类型25,并且进行关于被分类为第五通信类型25的统计来监控新的应用,而且存储统计结果。在此,以第五通信类型25的通信的统计来将经常出现的通信分类为新的通信类型或第一到第四通信类型21-24。
在步骤308后,在步骤309中,所分类的通信类型被处理为不同的报告类型,并且被存储在数据存储单元230中。其后,当用户请求时,所存储的数据经由用户接口240被提供到用户。
本发明可以被实现为可以用计算机读取的记录介质上的代码。在此,所述记录介质包括任何种类的建立数据的记录器件,诸如ROM、RAM、CD-ROM、磁带、软盘和光数据记录器件,并且还包括载波,即通过因特网的传输。另外,由计算机读取的记录介质被分布到通过网络连接的计算机系统,以便以分布的方式来记录和执行可以由计算机读取的代码。
如上所述,通信测量系统及其通信分析方法测量在因特网网络中的通信,并且通过处理所测量的通信来产生详细应用的通信统计数据。具体上,考虑在不同点测量的数据来分析通信,并且从包括在IP分组内的有效负荷中的应用的首标来提取用于识别应用的数据。因此,可以执行详细的通信分析。
虽然已经参照本发明的实施例具体示出和说明了本发明,本领域的技术人员会明白,在不脱离所附的权利要求所限定的本发明的精神和范围的情况下,可以进行形式和细节上的各种改变。
权利要求
1.一种通信测量系统,包括多个测量器件,用于收集流过多个因特网链路的所有分组,提取从所收集的分组分析通信所需要的通信数据,并且将所提取的数据处理为预定的流类型;分析服务器,它通过分析从作为整体的所述多个测量器件传送的通信数据而识别通信的应用,将所识别的应用分类为预定的通信类型,并且输出分类结果。
2.如权利要求1所述的通信测量系统,还包括多个时间接收器件,用于从GPS卫星或CDMA基站提取时间信号以便与所述多个测量器件的时间同步。
3.如权利要求1和2所述的通信测量系统,其中所述多个测量器件的每个包括分组收集单元,用于从路由器连接线路收集流过因特网线路的分组,并且记录分组的收集时间;流产生单元,用于从由分组收集单元收集的分组来产生使用具有诸如目标地址、协议和端口编号的相同的数据的分组流,提取在分析分组内容后详细分析应用所需要的数据,并且存储按照流提取的数据;传送单元,用于按照预定的时间间隔来向分析服务器传送存储在流产生单元中的数据。
4.如权利要求3所述的通信测量系统,其中分组收集单元使用抽头、端口镜像和信号分布之一来收集分组。
5.如权利要求3所述的通信测量系统,其中详细分析应用所需要的数据是用于在分组的有效负荷中识别应用的应用签字。
6.如权利要求1或2中的任一项所述的通信测量系统,其中分析服务器包括数据接收单元,用于从所述多个测量器件接收分组数据;通信分析单元,用于整体分析从所述多个测量器件经由数据接收单元提供的数据,并且按照分析结果来将应用分类为通信类型;数据存储单元,用于存储通信分析单元的通信分析结果;用户接口,用于在将通信分析结果处理为用户所期望的不同类型后向用户显示存储在数据存储单元中的通信分析结果。
7.如权利要求6所述的通信测量系统,其中分析服务器还包括报告输出单元,用于将来自通信分析单元的通信分析结果处理为预定的报告类型,并且在数据存储单元中存储所处理的数据,而且通过用户接口向用户显示所述报告。
8.如权利要求1所述的通信测量系统,其中通信类型包括第一通信类型,其应用是仅仅利用TCP/UDP端口编号来被识别的;第二通信类型,其应用通过收集包括在分组的有效负荷中的应用首标和应用签字来被识别;第三通信类型,其应用是通过从第二通信类型提取应用数据来被识别的,因为在第二通信类型的反向通信中不包括应用数据;第四通信类型,其应用被分配了预定的端口编号,并且根据其他流的应用签字被识别,因为通过其他的控制流来交换端口编号;第五通信类型,其应用未被分类为第一到第四通信类型。
9.一种在通信测量系统中执行的通信分析方法,所述通信分析方法收集流过多个因特网链路的分组、分析通信和识别分组的应用,所述方法包括分类第一通信类型,所述第一通信类型的应用仅仅使用包括在被处理为预定类型的流数据中的端口编号来被识别;分类第二通信类型,所述第二通信类型的应用通过从在分类第一通信类型之后剩余的流数据中收集包括在分组的有效负荷中的应用首标和应用签字来被识别;分类第三通信类型,所述第三通信类型的应用是通过整体分析在分类第二通信类型之后剩余的流数据和在不同点测量的流的反向流数据来被识别;分类第四通信类型,所述第四通信类型的应用是通过分析在分类第三通信类型之后剩余的流数据和在不同点测量的流数据而被识别的,因为未预定应用的端口编号;分类第五通信类型,所述第五通信类型的应用不能使用在分类第四通信类型之后剩余的流数据来被识别。
10.如权利要求9所述的通信分析方法,其中流数据是在流过因特网线路的分组中具有相同的目标地址、相同的协议和相同的端口编号的分组。
11.如权利要求9所述的通信分析方法,还包括确定是否第四通信类型的识别数据存在于被包括分类为第一通信类型的通信中,并且在分类第一通信类型后提取和存储第四通信类型的应用签字。
12.如权利要求9所述的通信分析方法,还包括在分类第二通信类型后,当被分类为第二通信类型的通信是被分类为第三通信类型的通信的反向通信时,提取和存储被分类为第三通信类型的通信的应用签字。
13.如权利要求9所述的通信分析方法,还包括在分类第二通信类型后,确定是否在被分类为第二通信类型的通信中存在第四通信类型的识别数据,并且提取和存储第四通信类型的应用签字。
14.如权利要求9所述的通信分析方法,还包括在分类第五通信类型之后,对被分类为第五通信类型的通信进行统计,以便监控应用,并且存储统计结果。
15.如权利要求9所述的通信分析方法,还包括在分类第五通信类型之后,将分类的通信类型处理为预定的用户期望的报告类型,并且存储或通过用户接口提供所处理的报告。
16.一种记录介质,其上使用在计算机中运行的程序代码来记录了权利要求9-15的通信分析方法。
全文摘要
本发明提供了一种通信测量系统和通信分析方法。所述通信测量系统包括多个测量器件,用于收集流过一组因特网链路的所有分组,提取从所收集的分组分析通信所需要的通信数据,并且将所提取的数据处理为预定的流类型;分析服务器,它通过分析从作为整体的所述多个测量器件传送的通信数据而识别通信的应用,将所识别的应用分类为预定的通信类型,并且输出分类结果。所述通信测量系统测量在因特网网络中的通信,并且处理所测量的通信以产生详细的按照应用的通信统计数据。具体上,考虑来自不同点的测量数据来分析通信,并且从包括在IP分组的有效负荷中的应用的首标来实时提取用于识别应用的数据。因此,提供了详细的通信分析结果。
文档编号H04L12/26GK1652519SQ20031011480
公开日2005年8月10日 申请日期2003年11月7日 优先权日2002年12月13日
发明者尹承铉, 郑泰洙, 崔台相, 金亨焕, 郑炯锡, 朴贞淑, 金昶勋 申请人:韩国电子通信研究院