一种网络广播包的实时分析与监测方法及系统与流程

本发明属于网络技术领域，具体为一种网络广播包的实时分析与监测方法及系统。

背景技术：

广播包是主机之间“一对所有”的通讯模式，网络对其中每一台主机发出的信号都进行无条件复制并转发，所有主机都可以接收到所有信息。由于其特有属性，在网络协议中得到广泛使用，例如arp协议通过广播包技术获取主机的mac地址。但是当广播数据过多，充斥网络无法处理，并占用大量网络带宽时，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。“广播风暴”是黑客和网络病毒常用的一种攻击手段，是网络管理中需要重点防范和治理工作。以往当网络发生堵塞甚至瘫痪，再检查广播包的数量来判断是否发生广播风暴，或者在网络监控系统中设置广播包数量的阈值，当超过阈值时就认为发生广播风暴。但是由于网络规模和网络应用各不相同，广播包阈值没有统一标准，往往会造成很多误报，无法准确预测广播风暴是否发生。

技术实现要素：

第一方面，本发明提供一种网络广播包的实时分析与监测方法，采用二项式对网络广播包进行实时分析与监测，判断广播包数量是否超越历史数据的正常范围，预测是否会发生广播风暴，从而为管理员及时采取措施控制广播包提供依据，以提高网络性能，增强网络管理能力。

本发明提供的一种网络广播包的实时分析与监测方法，该方法包括如下步骤：a、采集网络中广播包的历史数据，根据二项式定理中的最小二乘法的原理进行二项式曲线拟合，从而得到网络中不同时间段广播包应该所具有的正常范围；b、实时获取到的广播包数量与二项式拟合线进行比较，偏离步骤a获得网络中不同时间段广播包应该所具有的正常范围，即可判断广播报数量异常，即将产生广播风暴。

在本发明一个优选实施方式中，该方法包括如下步骤：

1)获取网络中广播包，并按每五分钟为一个时间单元进行广播包数据统计，每天288个数据采集点，广播包数量值分别为y1，y2，...，y288；

2)对每个yi，采集90天的数据yi，1，yi，2，...，yi，90，并求均值：

3)令x1，x2，...，x288＝{1，2，...，288}，对：

进行二项式线形回归计算，求出：a0，...，a25，并求得{yi}的近似值：

4)如果回归系数服从正态分布，则拟合成功，并以作为yi正常取值范围；

5)广播包数量在yi的取值范围内则定义为广播包正常，否则定位为广播包异常；

6)对当前广播包数量进行拟合线比对，根据广播包数量的异常与否判断网络的性能状态，当广播包数量超出正常范围，表示广播包增加，容易形成广播风暴，产生性能事件并进行性能告警。

本发明采用二项式提供了一种对网络广播包异常检测方法，它根据采集到的网络中广播包的历史数据，通过二项式定理中的最小二乘法的原理计算得出二项式曲线拟合，得到网络中不同时间段广播包应该所具有的正常范围，然后将实时获取到的广播包数量与二项式拟合线进行比较，偏离超过范围，即可判断广播报数量异常，即将产生广播风暴。本发明克服了广播包数据异常需要事先设置阈值，同时由于阈值的不准确造成误报的缺陷。

第二方面，本发明提供一种网络广播包的实时分析与监测系统，该系统包括：

广播包采集子系统，其包括网络数据采集模块、广播包统计模块和广播包数据存储模块，网络数据采集模块定期采集网络中的流量数据，通过广播包统计模块对网络数据中的广播包进行统计，并将广播包统计数据存储在广播包数据存储模块中；

广播包分析子系统，其包括广播包二项式计算模块以及拟合线偏离度计算模块，所述的二项式计算模块对统计的广播包数据进行二项式计算处理，并通过拟合线偏离度计算模块计算广播包数量的拟合线偏离范围；

广播包预警子系统，其包括偏离度判断模块以及广播包事件预警模块，偏离度判断模块负责判断实时获取的广播包数据的是否处于拟合线偏离范围，如果偏离了正常范围，通过广播包事件预警模块产生预警事件。

第三方面，本发明提供一种网络广播包的实时分析与监测设备，该设备包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述所述的分析与监测方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行执行上述所述的分析与监测方法。

本发明的基于二项式的广播包检测方法，通过网络抓包方式获取网络数据，从中得到广播包数量，对采集到的每个时段的广播包进行统计，并进行二线式拟合线计算，得到每个时间段广播包数量的正常范围，对当前广播包数量进行拟合线比对，得出广播包数量是否正常的结论，该指标反映网络的传输状态，可得到网络性能异常告警。

与现有技术相比，本发明具有以下有益效果：

1.本发明克服了广播包数据异常需要事先设置阈值，同时由于阈值的不准确造成误报的缺陷。

2.广播风暴对网络的性能状态有很大的影响，广播包数量越多，越对网络性能造成影响，本发明通过二项式拟合计算，能快速实时分析广播包的异常状态，及时发现广播风暴，避免网络性能下降提供直观、简单的判断依据。

附图说明

图1为本发明的框架结构图；

图2为本发明的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

如图2所示，本发明提供一种网络广播包的实时分析与监测方法，该方法包括如下步骤：

1)通过网络镜像技术从网络中获取网络流量数据；

2)从网络流量数据中提取广播包，并按每五分钟为一个时间单元进行广播包数据统计，每天288个数据采集点，广播包数量值分别为y1，y2，...，y288；

3)对每个yi，采集90天的数据yi，1，yi，2，...，yi，90，并求均值：

4)令x1，x2，...，x288＝{1，2，...，288}，对：进行二项式线形回归计算，求出：a0，...，a25，并求得{yi}的近似值：

5)如果回归系数r²服从正态分布，则拟合成功，并以作为yi正常取值范围；

6)广播包数量在yi的取值范围内则定义为广播包正常，否则定位为广播包异常；

7)对当前广播包数量进行拟合线比对，根据广播包数量的异常与否判断网络的性能状态；

8)当广播包数量超出正常范围，表示广播包增加，容易形成广播风暴，产生性能事件并进行性能告警。

在本发明其中一个实施例中，所述二项式正常取值范围：则广播包数量在该范围内，表示广播包正常，如果超过此范围，尤其是超过上限1.3倍，表示网络广播包数量恶化，产生性能事件并进行性能告警。

不同的网络规模二项式正常取值范围不同，大型网络取值范围为3倍，中型网络取值范围为2倍，小型网络取值范围为1.3倍。

基于以上监测方法，本发明还提供一种网络广播包的实时分析与监测系统，如图1所示，本发明的网络广播包的实时分析与监测系统1包括广播包采集子系统、广播包分析子系统、广播包预警子系统，

在广播包采集子系统2中进行广播包数据采集与分析，其包括网络数据采集模块3、广播包统计模块4和广播包数据存储模块5，广播包检测子系统中的网络数据采集模块3定期采集网络中的流量数据，通过广播包统计模块4对网络数据中的广播包进行统计，并将将广播包统计数据存储在广播包数据存储模块5中。

广播包分析子系统6负责对广播数据进行分析计算，其包括广播包二项式计算模块7以及拟合线偏离度计算模，8，通过广播包二项式计算模块7对广播包数据进行二项式计算处理，并通过拟合线偏离度计算模块8计算广播包数量的偏离范围。

广播包预警子系统9对网络中的广播包数量是否异常进行监控与告警，包括偏离度判断模块10以及广播包事件预警模块11，偏离度判断模块10负责判断广播包数据的是否处于合线偏离度范围，如果偏离了正常范围，通过广播包事件预警模块11产生预警事件，通知网络管理人员进行进一步分析与处理。

在本发明其中一个实施例中，提供一种网络广播包的实时分析与监测设备，该设备包括至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述所述的分析与监测方法。

在本发明另一个实施例中，提供一种计算机可读存储介质，所述计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行执行上述所述的分析与监测方法。

本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。