一种基于as及prefix的netflow流量的突发告警方法
技术领域
1.本发明涉及netflow流量监控领域,尤其是一种基于as及prefix的netflow流量的突发告警方法。
背景技术:
2.netflow是一种网络数据检测功能,检测执行设备通过接收与检测路由器等检测对象设备的netflow流量,分析、统计检测对象设备的数据流量,监测网络状态。但是随着网络技术的发展与网络设备性能的提升,检测对象设备的netflow流量也随之增加,在某些应用环境中,一台检测执行设备所接收的netflow流量,可能会超过其可处理范围,因此需要将netflow流量进行监控。
3.以往as的netflow流量及prefix的netflow流量信息,只有当人工去核对才能发现其是否有超流量基线,增加了人工成本及后期维护工作,人工监控的效率低成功率也不高。
4.as为自治域号、prefix为ip地址前缀。
5.netflow协议:netflow是cisco公司开发出的一套协议,用于专门解决原始流量方式所产生的问题。当在网络设备或其接口上开启netflow功能后,网络设备会对需要分析的流量进行采样分析,并把采样分析的结果发送至分析段进行流量分析,当然这些采样分析的结果要比原始数据小的多的多。其中网络设备采样分析的结果数据会包括源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。
技术实现要素:
6.为减少人工成本及后期维护工作,本发明提供一种基于as及prefix的netflow流量的突发告警方法,可以实现减少人工维护工作量,能够实时监控流量情况,对于异常情况能及时做出调整。
7.为实现上述目的,本发明采用下述技术方案:
8.在本发明一实施例中,提出了一种基于as及prefix的netflow流量的突发告警方法,该方法包括:
9.s01、确定netflow流量统计方案,按as或prefix筛选统计;
10.s02、依据netflow流量统计方案,确定告警检测规则。
11.进一步地,所述s02按prefix筛选统计,且与系统参数配置的prefix值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
12.进一步地,所述s02按prefix筛选统计,且与系统参数配置的prefix值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
13.忽略小于系统配置最小流量的流量,从异常端口流量基线表读取prefix基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大则保留,并且检测是否触发告警。
14.进一步地,所述s02按as筛选统计,且与系统参数配置的as值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
15.进一步地,所述s02按as筛选统计,且与系统参数配置的as值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
16.忽略小于系统配置最小流量的流量,从异常端口流量基线表读取as基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大,则保留,并且检测是否触发告警。
17.进一步地,所述s02与系统参数配置的as或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为custom,则读取系统参数中配置的自定义流量基线值作为基线。
18.进一步地,所述s02与系统参数配置的as或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为auto,则按设备端口为粒度取所有流量值的平均值作为动态基线;对比当前流量与基线。
19.进一步地,对比当前流量小于基线,则忽略。
20.进一步地,对比当前流量大于基线,则保留,并且检测是否触发告警。
21.进一步地,当前流量超出基线值的比例高于告警阈值,则触发告警。
22.在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述基于as及prefix的netflow流量的突发告警方法。
23.在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行基于as及prefix的netflow流量的突发告警方法的计算机程序。
24.有益效果:
25.本发明提供了一种as及prefix的netflow流量的突发告警方法,使用基于as,prefix的netflow流量的突发告警装置,可以对netflow流量进行实时监控,并将实时上报告警信息。降低人工成本及维护工作。
附图说明
26.图1是本发明一实施例的基于as及prefix的netflow流量的突发告警方法流程示意图;
27.图2是本发明一实施例的基于as及prefix的netflow流量的突发告警方法中触发告警流程图;
28.图3是本发明一实施例的计算机设备结构示意图。
具体实施方式
29.下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
30.本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法
或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
31.根据本发明的实施方式,提出了一种基于as及prefix的netflow流量的突发告警方法,可以实现减少人工维护工作量,能够实时监控流量情况,对于异常情况能及时做出调整。
32.下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
33.图1是本发明一实施例的基于as及prefix的netflow流量的突发告警方法流程示意图。如图1、图2所示:
34.确定netflow流量统计方案,按as或prefix筛选统计;依据netflow流量统计方案,确定告警检测规则。
35.如果方案是按目的prefix(ip地址前缀)统计,并且系统参数配了端口异常流量检测的端口组,则用设备和端口过滤流量,如果没配端口组则对所有流量进行检测,检测规则:
36.忽略小于系统配置最小流量的流量,从异常端口流量基线表读取prefix(ip地址前缀)基准信息,与方案中流量数据进行比较,如果当前流量比基准小则忽略,如果当前流量比基准大,则保留,并且检测是否触发告警。
37.如果方案是按目的as(自治域号)统计,并且系统参数配了端口异常流量检测的端口组,则用设备和端口过滤流量,如果没配端口组则对所有流量进行检测,检测规则:
38.忽略小于系统配置最小流量的流量,从异常端口流量基线表读取as(自治域号)基准信息,与方案中流量数据进行比较,如果当前流量比基准小则忽略,如果当前流量比基准大,则保留,并且检测是否触发告警。
39.如果上述的as(自治域号)或prefix(ip地址前缀)与系统参数配置的as(自治域号)或prefix(ip地址前缀)信息没有相匹配的值,读取系统参数prefix(ip地址前缀)异常阈值基线类型,如果类型等于custom(定制),则读取系统参数中配置的自定义流量基线值作为基线。
40.如果类型等于auto(自动),则按设备端口为粒度取所有流量值的平均(某台设备某个端口某段时间内的所有流量总和/某个时间段内的流量条目)值作为动态基线,如果是第一次计算,则不检测。对当前流量与基线比较,如果比基线小,则忽略,对当前流量与基线比较,如果比基线大,则保留,并且检测是否触发告警。
41.如果当前流量超出基线值的比例(当前流量-基线值/基线值)高于告警阈值(基线值+基线值*系统配置超过基线百分比告警值),则触发告警。
42.需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
43.为了对上述基于as及prefix的netflow流量的突发告警方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
44.当前设备为zyuc-test-01,端口为(gigabitethernet1/1/2),对于按perfix统计
的流量做告警检测;
45.端口异常流量检测的端口组配置为设备zyuc-test-01端口(gigabitethernet1/1/2);
46.系统配置最小流量5kb;
47.假设系统配置检测prefix为1.1.1.0/24,当前流速为18.70kb,基准为1kb,系统配置超过基线百分比告警值为1,则(18.70-1)/1》(1+1)*1,会触发告警。
48.基于前述发明构思,如图3所示,本发明还提出一种计算机设备100,包括存储器110、处理器120及存储在存储器110上并可在处理器120上运行的计算机程序130,处理器120执行计算机程序130时实现前述基于as及prefix的netflow流量的突发告警方法。
49.基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述基于as及prefix的netflow流量的突发告警方法的计算机程序。
50.本发明提出的基于as及prefix的netflow流量的突发告警方法,使用基于as,prefix的netflow流量的突发告警装置,可以对netflow流量进行实时监控,并将实时上报告警信息。降低人工成本及维护工作。
51.虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
52.对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。