专利名称:一种下一代网络业务流量识别方法
技术领域:
本发明涉及一种网络业务管理监控的方法,特别是一种下一代网 络业务流量识别方法。
技术背景随着宽带网络的不断普及,各行各业的信息化程度越来越高,互 联网已经成为人们工作和生活中不可缺少的组成部分。但是,流量对 于带宽的无限需求和有限网络资源之间的矛盾,核心业务与非核心业 务之间的矛盾,提供差异化优质服务和保障大众服务质量之间的矛 盾,已成为制约网络融合发展的一个亟待解决的问题。 造成上述问题的原因,可以归纳为以下几种* "一视同仁,,的网络资源分配机制,宽带IP网络对所有业务、 所有用户均提供无差别的"Best Effort"传输服务,因此,必 然造成核心业务、敏感业务、重点用户的资源无法得到优先保 障,导致网络资源的利用效率低下。* P2P业务的广泛应用,彻底颠覆了传统的B/S、 C/S架构的网 络体系。传统B/S、 C/S架构由于受到服务器端的限制,数据 交互量和服务器的能力成正比;而P2P的每一个通信参与者既 是服务器,又是客户端。因此,在P2P应用环境中,其数据提供和共享能力是和网络中的参与者数目成指数增长的。研究表 明,P2P业务占据了当前网络总数据流量的50 % — 80 % 。 *局域网带宽和广域网带宽之间的巨大差距局域网技术经过几 次跨越式的发展,从最初的IOM网络,发展到目前的千兆网 络,甚至万兆以太网技术,数据传送能力急剧增加,而广域网 技术并没有相应的革命性发展。因此,对于一个闭环的网络环 境来说,必然会造成在广域网中形成巨大的瓶颈,导致网络拥 塞。* TCP/IP在QoS上的先天不足,导致了每一个连接在进行数据 交互过程中,都会极力扩张其带宽占有,只有在网络拥塞的时 候,才进行自我约束。因此,从根本上说,TCP/IP技术存在 容易导致网络拥塞的先天不足。 综合以上分析可以看出,当前的网络由于无法识别出当前网络中 的业务类型,无法对核心业务和敏感业务进行QoS保障,导致网络 易于出现严重拥塞,资源没有得到有效合理的利用,影响在信息化环 境下的社会劳动生产效率,难以提高运营商的网络运营收益,难以摆 脱数据网络的粗放式模式,无法对业务流量进行有效的控制管理,服 务质量问题己成为限制宽带网络业务发展的关键瓶颈之一。 发明内容对于下一代网络管理来说,业务流量管理的基础,就在于进行业 务识别,在业务识别的基础上,实现对各种业务的带宽进行抑制,或 者对核心业务的带宽进行保障。本发明提供一种下一代网络业务流量 识别方法,可以识别出网络中常见的,大多数的业务类型,并统计出 出每次业务会话中各种信息。
本发明通过以下方案实现 一种下一代网络业务流量识别方法, 包括如下步骤(1) 接收报文;(2) 根据报文计算哈希;(3) 根据报文标志位,进行处理(A) 当收到的是TCP SYN报文,则创建新的会话,记录会话 统计信息;(B) 当收到的是TCPSYN/ACK报文,则计算服务器的响应时 间,更新会话统计信息;(C) 当收到的是TCPACK报文,则计算新客户端的响应时间, 更新会话统计信息;(D) 当收到的是TCP会话报文,则对协议进行解析,进行业务 识别,更新会话统计信息;(E) 当收到的是TCP FIN或TCP RST报文,则记录会话统计 信息,然后拆除会话连接。所述步骤(2)中,可以根据源IP地址、源端口、目的IP地址、 目的端口四元组的方法获得HASH值HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT,其中MAC—SESSION—CNT的值为50000。所述步骤(3)中,会话的统计信息包括业务的类型,协议类 型,服务器的IP地址,服务器的端口,客户端的IP地址,客户端的
端口号,此次对话的建立的时间,此次对话结束的时间,此次对话持 续的时间,此次对话发送的报文数目,此次对话发送的字节数目,此 次对话接收的报文数目,此次对话接收的字节数目。 所述步骤(D)的业务识别包括(a) 当持续时间M80s并且数据交换〉3MB,判断该业务为HTTP 文件下载业务。(b) 在报文的68、 55、 137字节的地方含有BitTorrent Protocol的关键字,则判断该会话是一次BT下载业务。(c) 判断报文端口 (不管是源端口还是目的端口)等于4242, 或者大于4661并且小于4665,则判断该会话是EDK业务。(d) 在报文的68、 55、 137字节的地方含有PSProtocol的关键 字,则判断该会话是一次ppStream下载业务。(e) 判断是否是被动式FTP的业务,并做相应处理1) 对所有21端口的报文进行字符串搜索,寻找被动式FTP的 控制信令字段"Passive";2) 当存在该字段,则数据端口由该报文携带,后面包含了数据 传输通道里面的"源端口 +目的端口";3) 解析数据传输通道,并且提前建立会话,建立相关的会话记 录信息;4) 下一次报文到达时,由新的会话来完成对FTP数据传输通道 的会话跟踪。本发明的有益效果是1. 使用本发明提供的网络业务识别技术,可以给出每次业务会 话中所有的统计信息,有利于网络管理和控制。2. 本发明可以识别出网络中常见的,大多数的业务类型,可以对象BT业务、EDK业务等大量的下载业务时,可以对其进行带宽限 制,防止其吞噬大量的带宽资源。
图l为本发明的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的工作流程进行更详细的描述。如图1所示,本发明的工作流程为 步骤IOI,接收报文。步骤102,通过报文计算哈希。为了提供业务识别的能力和提高报文的处理速度,同时,为了避 免动态内存分配造成系统稳定性和效率的下降,采用了静态的内存映 射作为会话存储的数据结构,这样就能够依据内存的位置,完成对报 文的会话定位。而如何利用报文的既有信息,计算出对应的内存位置,可以采用流行的哈希算法。但是考虑到正常情况下并发会话不超过5万条的网 络环境,因此,可以根据源IP地址、源端口、目的IP地址、目的端 口四元组的方法获得HASH值。HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT;
其中MAC—SESSION_CNT的值为50000。该算法能够保障一定的精确度的情况下,最快的实现哈希计算。 当然,在复杂的网络中,也可以使用其它精确的哈希算法,保障 系统精度。步骤103,根据报文标志位,判断需要进行哪种处理。步骤104,如果是TCP SYN报文,首先检査是否已经有一条会 话建立在会话缓冲区中,如果是,清除该会话的相关时戳,更新会话 起始时戳,进入步骤109。步骤105,如果是TCPSYN/ACK报文,则计算服务器端的响应 时间,进入步骤109。步骤106,如果是TCPACK报文,则计算客户端响应时间,进 入步骤109。步骤107,如果是TCP会话报文,就需要对于协议解析,或者需 要进行特征码检测的业务识别方式来说,此时即可进行业务识别,然 后进入步骤109。所述业务包括* HTTP文件下载对于正常的Web浏览会话来说, 一次会话的持续时间不会超过3 分钟,并且,对于一个网页来说,每一个元素会在一个会话里面承载, 因此,不会超出3MB的业务流量。因此,对于HTTP业务来说,只要检查其会话的持续时间和会话 数据统计情况,当
持续时间〉180s && 数据交换〉3MB(这些参数可以灵活配置) 的时候,就可认为该HTTP会话属于文件下载业务。* BT业务下载在BT业务中,总是会在进行数据交换之前,提供一个在报文的 68、 55、 137字节的地方含有BitTorrent Protocol的关键字,因此,对 报文的这几个字节偏移地址开始的地方进行字符串搜索,若存在,即 可认为该会话是一次BT的业务流量下载。当一次会话明确识别成BT之后,就可以对他们进行流量统计, 并且根据预先配置好的P2P通道带宽,对其进行带宽限制,防止其吞 噬大量的带宽资源。* EDK业务下载EDK业务的识别较为简单,凡是报文端口 (不管是源端口还是 目的端口)等于4242,或者大于4661并且小于4665,即可认为是 EDK业务。* ppStream业务下载ppStream业务的实现与BT—模一样,只是关键字不同。其特征 码关键字是"PSProtocol"。 *被动式FTP业务下载被动式FTP和其他的使用简单的特征码即可识别的业务不同。 被动式FTP的业务端口,是通过在标准的21 FTP控制端口里面协商 好了之后,再进行传输的,不同于使用标准的20端口作为FTP数据传输端口。 具体的跟踪过程是对所有21端口的报文进行字符串搜索,寻找被动式FTP的控制信令字段"Passive";如果存在该字段,则数据端口由该报文携带,后面包含了数据传输通道里面的"源端口+目的端口";解析出数据传输通道,并且提前建立出会话,建立相关的会话记录信息;下一次报文到达时,由新的会话来完成对FTP数据传输通道的 ^i舌足艮S^。步骤108,当收到TCP FIN或TCP RST之后,表明一次会话已 经结束,则记录这个会话的统计结果,其中统计结果包括业务的类 型,协议类型,服务器的IP地址,服务器的端口,客户端的IP地址, 客户端的端口号,此次对话的建立的时间,此次对话结束的时间,此 次对话持续的时间,此次对话发送的报文数目,此次对话发送的字节 数目,此次对话接收的报文数目,此次对话接收的字节数目。然后进 入步骤110。步骤109,更新会话统计信息,然后进入步骤lll,结束报文处 理,完成一次会话的完整跟踪。步骤IIO,拆除会话连接,将该会话的存储内存清零,然后进入 步骤lll,结束报文处理,完成一次会话的完整跟踪。
权利要求
1.一种下一代网络业务流量识别方法,包括如下步骤(1)接收报文;(2)根据报文计算哈希;(3)根据报文标志位,进行处理(A)当收到的是TCP SYN报文,则创建新的会话,记录会话统计信息;(B)当收到的是TCP SYN/ACK报文,则计算服务器的响应时间,更新会话统计信息;(C)当收到的是TCP ACK报文,则计算新客户端的响应时间,更新会话统计信息;(D)当收到的是TCP会话报文,则对协议进行解析,进行业务识别,更新会话统计信息;(E)当收到的是TCP FIN或TCP RST报文,则记录会话统计信息,然后拆除会话连接。
2. 根据权利要求1所述的下一代网络业务流量识别方法,其特 征在于所述步骤(2)中,根据源IP地址、源端口、目的IP地址、 目的端口四元组的方法获得HASH值HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT,其中MAC_SESSION—CNT的值为50000。
3. 根据权利要求1所述的下一代网络业务流量识别方法,其特征在于所述步骤(3)中,会话的统计信息包括业务的类型,协 议类型,服务器的IP地址,服务器的端口,客户端的IP地址,客户 端的端口号,此次对话的建立的时间,此次对话结束的时间,此次对 话持续的时间,此次对话发送的报文数目,此次对话发送的字节数目, 此次对话接收的报文数目,此次对话接收的字节数目。
4. 根据权利要求1或2或3所述的下一代网络业务流量识别方法,其特征在于所述步骤(D)中,当持续时间>1805并且数据交换〉3MB,判断该业务为HTTP文件下载业务。
5. 根据权利要求1或2或3所述的下一代网络业务流量识别方 法,其特征在于所述步骤(D)中,在报文的68、 55、 137字节的 地方含有BitTorrent Protocol的关键字,则判断该会话是一次BT下载 业务。
6. 根据权利要求1或2或3所述的下一代网络业务流量识别方 法,其特征在于所述步骤(D)中,判断报文端口等于4242,或者 大于4661并且小于4665,则判断该会话是EDK业务。
7. 根据权利要求1或2或3所述的下一代网络业务流量识别方 法,其特征在于所述步骤(D)中,在报文的68、 55、 137字节的 地方含有PSProtocol的关键字,则判断该会话是一次ppStream下载 业务。
8. 根据权利要求1或2或3所述的下一代网络业务流量识别方 法,其特征在于所述步骤(D)中,判断是否是被动式FTP的业务, 并做相应处理1) 对所有21端口的报文进行字符串搜索,寻找被动式FTP的 控制信令字段"Passive";2) 当存在该字段,则数据端口由该报文携带,后面包含了数据 传输通道里面的"源端口 +目的端口";3) 解析数据传输通道,并且提前建立会话,建立相关的会话记 录信息;4) 下一次报文到达时,由新的会话来完成对FTP数据传输通道 的会话跟踪。
全文摘要
本发明公开了一种下一代网络业务流量识别方法,包括如下步骤接收报文;根据报文计算哈希;根据报文标志位,进行相应的处理。本发明可以记录每次业务会话中所有的统计信息,有利于网络管理和控制;可以识别出网络中常见的,大多数的业务类型。
文档编号H04L12/58GK101127690SQ200610109680
公开日2008年2月20日 申请日期2006年8月17日 优先权日2006年8月17日
发明者王玉鹏 申请人:王玉鹏