一种面向云平台的业务特征时序数据包采集方法与流程

技术特征：

1.一种面向云平台的业务特征时序数据包采集方法，其特征在于：所述的方法是：

(1)网络采集控制器对外提供业务特征模板，用户根据模板完成业务特征实例填充；

(2)采集控制器将业务特征实例转换成网络数据包采集实例并持久化到数据库表中；

(3)采集控制器通知网络采集代理Agent，并接受网络采集代理Agent的采集流规则变更消息并处理；

(4)网络采集代理Agent接受网络控制器的通知消息；

(5)网络采集代理Agent处理消息，建立采集规则，采集网络时序数据到数据库中。

2.根据权利要求1所述的方法，其特征在于：所述业务特征模板是描述业务提供的服务源地址信息，包括服务源端口、服务协议信息、服务描述、服务目的地址、服务目的端口，其中地址信息可以为域名服务地址或IP地址，服务源端口、服务描述、服务目的地址、服务目的端口可以为空，服务协议可以是HTTP、FTP、Telnet、SMTP、NFS、DNS、DHCP；

所述的网络数据包采集实例，包含源IP地址，源端口，采集协议，服务简要描述，目的IP地址，目的端口，用户ID，端口ID，端口所属的主机名称，采集流规则ID；其中，采集流规则ID自动生成并全局唯一性。

3.根据权利要求1所述的方法，其特征在于：所述的业务特征实例转换成网络数据包采集实例的具体方法是：

(1)将服务协议信息通过预定义规则转换为传输层或网络层的采集协议；所述的转换包括：HTTP、FTP、Telnet、SMTP、NFS协议转换为TCP协议，DNS协议转换为不限定的IP协议，DHCP协议转换为UDP协议；其中采集协议包含TCP、UDP、ICMP协议或不限定的IP协议；

(2)服务地址信息为域名地址，则通过域名服务解析出IP地址；

(3)根据用户ID和服务源IP地址查询云平台中网络组件中的端口信息，获取端口ID和端口所属的主机名称。

4.根据权利要求2所述的方法，其特征在于：所述的业务特征实例转换成网络数据包采集实例的具体方法是：

(1)将服务协议信息通过预定义规则转换为传输层或网络层的采集协议；所述的转换包括：HTTP、FTP、Telnet、SMTP、NFS协议转换为TCP协议，DNS协议转换为不限定的IP协议，DHCP协议转换为UDP协议；其中采集协议包含TCP、UDP、ICMP协议或不限定的IP协议；

(2)服务地址信息为域名地址，则通过域名服务解析出IP地址；

(3)根据用户ID和服务源IP地址查询云平台中网络组件中的端口信息，获取端口ID和端口所属的主机名称。

5.根据权利要求1至4任一项所述的方法，其特征在于：所述的通知网络采集代理Agent是：

(1)通知消息包含建立采集流规则消息、删除采集流规则消息，建立消息中包含网络数据包采集实例，删除采集规则消息中包含采集流规则ID；

(2)通知的代理Agent地址为端口所属的主机名称。

所述的接受网络采集代理Agent的采集流规则变更消息并处理是：

(1)接受消息中采集流规则变更ID，查询网络数据包采集实例表中端口的ID和所属主机节点信息；

(2)根据端口ID重新获取云平台中网络组件的端口ID和端口所属的主机名称；

(3)如果没有获取到端口的信息，则向原有的网络采集代理Agent发送删除采集流规则消息；如果获取成功，端口所属的主机名称有更新，则端口所属的主机名称的网络采集代理Agent发送建立采集流规则通知消息，向旧的网络采集代理Agent发送删除采集流规则消息；

所述的网络采集代理Agent名称和云平台中的主机名称一致。

6.根据权利要求1至4任一项所述的方法，其特征在于：所述的网络采集代理Agent处理消息是：

如果消息为新建采集规则消息，则建立数据包采集流规则；并定期检验采集流规则是否失效，如果失效，则向网络采集控制器发送通知采集流规则变更请求，如果没失效，则收集流规则下的数据流信息，将采集的数据流信息和流规则ID一起按照时序关系保存到时序数据的表中；

消息为删除采集规则消息，则删除数据包采集流规则。

7.根据权利要求5所述的方法，其特征在于：所述的网络采集代理Agent处理消息是：

如果消息为新建采集规则消息，则建立数据包采集流规则；并定期检验采集流规则是否失效，如果失效，则向网络采集控制器发送通知采集流规则变更请求，如果没失效，则收集流规则下的数据流信息，将采集的数据流信息和流规则ID一起按照时序关系保存到时序数据的表中；

消息为删除采集规则消息，则删除数据包采集流规则。

8.根据权利要求6所述的方法，其特征在于：所述的数据包采集流规则和数据流信息是：

(1)建立采集流规则过程：根据网络数据包采集实例中端口ID和虚拟交换机上的端口信息，查询主机上端口ID对应的虚拟接口的网络索引号；根据索引号、网络数据包采集实例参数中源IP地址、协议类型、源端口、目的IP地址、目的端口组合生成过滤条件，其组合为“并且”关系，包括：inputifindex＝1170&ipsource＝183.2.251.199&tcpsourceport＝80，其中inputifindex为端口索引号、ipsource为源IP地址、tcpsourceport为tcp协议源地址端口；如果对应参数值为空，则不作为过滤条件；常规流查询项包含源IP地址、目的IP地址，如果协议为TCP，则常规查询项还包含源端口、目的端口；根据常规流查询项和过滤条件，建立数据包采集流规则；

(2)数据包采集规则其名称和网络数据包采集实例中的采集流规则ID一致；

(3)检验采集流规则是否失效的过程：获取采集流规则中过滤条件中网络索引号，查询主机上的网络索引号是否还存在，如果不存在，则流规则已经失效了，如果存在，则没失效；

(4)在虚拟机交换机上经过该端口的进入的数据包如果符合到采集流规则，则会统计到含有常规流查询项的数据流项信息，包括源IP地址、目的IP地址、流量大小信息，采集得到数据流项含有时序先后特征。

9.根据权利要求7所述的方法，其特征在于：所述的数据包采集流规则和数据流信息是：

(1)建立采集流规则过程：根据网络数据包采集实例中端口ID和虚拟交换机上的端口信息，查询主机上端口ID对应的虚拟接口的网络索引号；根据索引号、网络数据包采集实例参数中源IP地址、协议类型、源端口、目的IP地址、目的端口组合生成过滤条件，其组合为“并且”关系，包括：inputifindex＝1170&ipsource＝183.2.251.199&tcpsourceport＝80，其中inputifindex为端口索引号、ipsource为源IP地址、tcpsourceport为tcp协议源地址端口；如果对应参数值为空，则不作为过滤条件；常规流查询项包含源IP地址、目的IP地址，如果协议为TCP，则常规查询项还包含源端口、目的端口；根据常规流查询项和过滤条件，建立数据包采集流规则；

(2)数据包采集规则其名称和网络数据包采集实例中的采集流规则ID一致；

(3)检验采集流规则是否失效的过程：获取采集流规则中过滤条件中网络索引号，查询主机上的网络索引号是否还存在，如果不存在，则流规则已经失效了，如果存在，则没失效；

(4)在虚拟机交换机上经过该端口的进入的数据包如果符合到采集流规则，则会统计到含有常规流查询项的数据流项信息，包括源IP地址、目的IP地址、流量大小信息，采集得到数据流项含有时序先后特征。