CN105763387A - 网络流量监控方法和装置 - Google Patents
网络流量监控方法和装置 Download PDFInfo
- Publication number
- CN105763387A CN105763387A CN201610322062.3A CN201610322062A CN105763387A CN 105763387 A CN105763387 A CN 105763387A CN 201610322062 A CN201610322062 A CN 201610322062A CN 105763387 A CN105763387 A CN 105763387A
- Authority
- CN
- China
- Prior art keywords
- unit time
- per unit
- flows per
- information
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/821—Prioritising resource allocation or reservation requests
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了网络流量监控方法和装置。所述方法的一具体实施方式包括:接收网络设备的当前流量信息作为第一流量信息;根据所述第一流量信息确定出所述网络设备的第一单位时间流量;从预设缓存中的流量信息记录中提取所述网络设备在设定时间内的流量信息作为第二流量信息;根据所述第二流量信息确定出所述网络设备的第二单位时间流量;计算所述第一单位时间流量和所述第二单位时间流量之间的差值作为单位时间流量变量;如果所述单位时间流量变量的绝对值大于预设的第一阈值,在所述第一流量信息中添加标记信息;根据所述第一流量信息中的标记信息生成报警信息。该实施方式实现了对网络设备流量信息的监控。
Description
技术领域
本申请涉及计算机技术领域,具体涉及互联网技术领域,尤其涉及一种网络设备之间的网络流量监控方法和装置。
背景技术
随着信息时代的快速发展,需要越来越多的网络设备来支持人们不断提高的需求,这对于网络本身的稳定性与时效性提出了巨大的挑战。越来越多的网络设备的出现,利用人工的方式去监控是不现实的,如何能够在网络状况发生变化时,自动地快速地做出准确的报警,为运维人员提供更为准确的报警信息是当前亟待解决的难题。
目前,现有的网络设备间的网络监控装置或方法中,大多采用设定单一的阈值,通过对采集到的流量数据进行阈值判断,符合条件的判断为异常,否则为正常。但是现有技术中判断规则单一,通过简单的阈值比较,难以全面准确的判断出网络中流量的突增、突降以及中断等故障。
发明内容
本申请的目的在于提出一种改进的网络设备之间的网络流量监控方法和装置,来解决以上背景技术部分提到的技术问题。
第一方面,本申请提供了一种网络流量监控方法,所述方法包括:接收网络设备的当前流量信息作为第一流量信息;根据所述第一流量信息确定出所述网络设备的第一单位时间流量,所述第一单位时间流量是所述网络设备在单位时间内的流量值;从预设缓存中的流量信息记录中提取所述网络设备在设定时间内的流量信息作为第二流量信息;根据所述第二流量信息确定出所述网络设备的第二单位时间流量,所述第二单位时间流量是所述流量信息记录中网络设备在单位时间内的流量值;计算所述第一单位时间流量和所述第二单位时间流量之间的差值作为单位时间流量变量;如果所述单位时间流量变量的绝对值大于预设的第一阈值,在所述第一流量信息中添加标记信息;根据所述第一流量信息中的标记信息生成报警信息。
在一些实施例中,所述方法还包括:将所述第一单位时间流量与预设的第一单位时间流量阈值和第二单位时间流量阈值比较,其中所述第一单位时间流量阈值大于所述第二单位时间流量阈值;当所述第一单位时间流量大于所述第一单位时间流量阈值时,在所述单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息;当所述第一单位时间流量小于所述第二单位时间流量阈值时,判断所述单位时间流量变量是否小于零,如果是,在所述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
在一些实施例中,所述方法还包括:将所述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,所述第三单位时间流量阈值大于第四单位时间流量阈值;当所述第一单位时间流量大于所述第三单位时间流量阈值时,在所述第一流量信息中添加标记信息;当所述第一单位时间流量小于所述第四单位时间流量阈值时,在所述第一流量信息中添加标记信息。
在一些实施例中,所述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。
在一些实施例中,所述方法还包括根据如下步骤合并所述报警信息:将具有相同的源IP和/或目的IP的报警信息合并;将具有相同设备端口编号信息的报警信息合并。
在一些实施例中,所述方法还包括通过如下步骤推送报警信息:由所述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定所述报警信息输出端口地址运维端口,其中,所述运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;在所述报警信息输出端口推送所述报警信息。
在一些实施例中,所述第三单位时间流量阈值大于所述第一单位时间流量阈值,所述第四单位时间流量阈值小于所述第二单位时间流量阈值。
第二方面,本申请提供了一种网络流量监控装置,所述装置包括:接收单元,配置用于接收网络设备的当前流量信息作为第一流量信息,根据所述第一流量信息确定出所述网络设备的第一单位时间流量,所述第一单位时间流量是所述网络设备在单位时间内的流量值;信息提取单元,配置用于从预设缓存中的流量信息记录中提取所述网络设备在设定时间内的流量信息作为第二流量信息,根据所述第二流量信息确定出所述网络设备的第二单位时间流量,所述第二单位时间流量是所述流量信息记录中网络设备在单位时间内的流量值;计算单元,配置用于计算所述第一单位时间流量和所述第二单位时间流量之间的差值作为单位时间流量变量;标记单元,配置用于如果所述单位时间流量变量的绝对值大于预设的第一阈值,在所述第一流量信息中添加标记信息;信息生成单元,配置用于根据所述第一流量信息中的标记信息生成报警信息。
在一些实施例中,所述标记单元包括:比较模块,配置用于将所述第一单位时间流量与预设的第一单位时间流量阈值和第二单位时间流量阈值比较,其中所述第一单位时间流量阈值大于所述第二单位时间流量阈值;增量标记模块,配置用于当所述第一单位时间流量大于所述第一单位时间流量阈值时,在所述单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息;减量标记模块,配置用于当所述第一单位时间流量小于所述第二单位时间流量阈值时,判断所述单位时间流量变量是否小于零,如果是,在所述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
在一些实施例中,所述标记单元进一步配置用于:将所述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,所述第三单位时间流量阈值大于第四单位时间流量阈值;当所述第一单位时间流量大于所述第三单位时间流量阈值时,在所述第一流量信息中添加标记信息;当所述第一单位时间流量小于所述第四单位时间流量阈值时,在所述第一流量信息中添加标记信息。
在一些实施例中,所述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。
在一些实施例中,所述信息生成单元进一步配置用于根据如下步骤合并所述报警信息:将具有相同的源IP和/或目的IP的报警信息合并;将具有相同设备端口编号信息的报警信息合并。
在一些实施例中,所述信息生成单元进一步配置用于通过如下步骤推送报警信息:由所述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定所述报警信息输出端口地址,其中,所述运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;在所述报警信息输出端口推送所述报警信息。
在一些实施例中,所述第三单位时间流量阈值大于所述第一单位时间流量阈值,所述第四单位时间流量阈值小于所述第二单位时间流量阈值。
本申请提供的网络流量监控方法和装置,通过对网络设备的流量值与预设的阈值比较,标记出异常的流量信息,将具有标记的流量信息生成报警信息。从而对网络设备的流量进行了全面的监控。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性***架构图;
图2是根据本申请的网络流量监控方法的一个实施例的流程图;
图3是根据本申请的网络流量监控方法的一个应用场景的示意图;
图4是根据本申请的网络流量监控方法的又一个实施例的流程图;
图5是根据本申请的网络流量监控装置的一个实施例的结构示意图;
图6是适于用来实现本申请实施例的服务器的计算机***的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的网络流量监控方法或网络流量监控装置的实施例的示例性***架构100。
如图1所示,***架构100可以包括网络设备101、流量采集装置102和服务器103。流量采集装置102采集网络设备101的流量信息,服务器103对采集到的流量信息分析判断,确定出流量信息异常的网络设备,并发出报警信息通知运维人员。
网络设备101可以是将一个网络的几个网段连接起来或将几个网络连接起来形成互联网络的设备。如,lan-lan级联设备、wan-wan级联设备或lan-wan级联设备,包括但不限于计算机(无论其为个人电脑或服务器)、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)和调制解调器。
流量采集装置102用于采集网络设备的流量信息,并将采集到的流量信息通过采样的方式发送到服务器。流量采集设备可以装设于网络设备上或服务器上,包括有SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)采集和NetFlow采集,其中,NetFlow是一种数据交换方式,利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略。
服务器103可以是提供各种服务的服务器,例如对网络设备101以及网络设备的网络流量进行管理的管理服务器。管理服务器可以对接收到的网络流量信息进行分析等处理,并将处理结果(例如网络设备流量异常的报警信息)反馈给运维人员。
需要说明的是,本申请实施例所提供的网络流量监控方法一般由服务器103执行,相应地,网络流量监控装置一般设置于服务器103中。
应该理解,图1中的网络设备、流量采集装置和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的网络设备、流量采集装置和服务器。
继续参考图2,示出了根据本申请的网络流量监控方法的一个实施例的流程200。所述的网络流量监控方法,包括以下步骤:
步骤201,接收网络设备的当前流量信息作为第一流量信息。
在本实施例中,网络流量监控方法运行于其上的电子设备(例如图1所示的服务器103)可以通过有线连接方式或者无线连接方式从网络设备上接收网络设备的当前的流量信息,其中,流量信息的采集可以是SNMP的主动采集和NetFlow数据镜像的被动采集。SNMP的主动采集是在服务器上利用SNMP程序获取交换机、路由器等网络设备的流量信息。NetFlow流量信息采集是通过虚拟的通路将流量镜像出来,通过采样的方式发送到服务器,服务器解析得到网络设备的流量信息。这里,上述网络设备可以是互联网数据中心、服务器等提供网络数据服务的设备,还可以是路由器、交换机、网桥、网关等提供网络数据传输的设备。
步骤202,根据第一流量信息确定出网络设备的第一单位时间流量。
在本实施例中,基于步骤201中得到的网络设备的流量信息,上述电子设备(例如图1所示的服务器103)可以应用一些算子统计的方法对上述流量信息的数据进行分析,如,对上述流量信息的数据进行均值、峰值和谷值的统计分析确定出网络设备的第一单位时间流量,上述第一单位时间流量是上述网络设备在单位时间内的流量值。
步骤203,从预设缓存中的流量信息记录中提取网络设备在设定时间内的流量信息作为第二流量信息,根据第二流量信息确定出网络设备的第二单位时间流量。
在本实施例中,网络流量监控方法运行于其上的电子设备上可以在预设的数据存储区域设置流量信息记录,用于对采集到的上述流量信息的数据进行存储。上述数据存储区域可以是服务器内预设的缓存区域,还可以是非易失性存储区域。上述流量信息的数据可以存储在服务器内预设的缓存区域,如,将短时的流量信息的数据缓存于内存数据库;上述流量信息的数据还可以存储在非易失性存储区域,如,将大量的历史流量信息的数据存储在关系型数据库,使用结构化查询语言(StructuredQueryLanguage,SQL)进行数据库管理。
在本实施例中,上述电子设备可以从上述流量信息记录提取上述网络设备在设定时间内的流量信息作为第二流量信息,根据上述第二流量信息的数据,计算出第二单位时间流量,其中,第二单位时间流量是流量信息记录中的流量信息的数据经过统计分析等处理后计算出的单位时间内的流量值。
步骤204,计算第一单位时间流量和第二单位时间流量之间的差值作为单位时间流量变量,如果单位时间流量变量的绝对值大于预设的第一阈值,在第一流量信息中添加标记信息。
在本实施例中,上述电子设备可以基于步骤202和步骤203所获取到的第一单位时间流量和第二单位时间流量进行差值运算,得到单位时间流量变量;上述第一阈值可以是在缓存区域预设的阈值,用于判断网络设备的流量是否发生突变,如突增或突降等流量异常。如果上述单位时间流量变量的绝对值大于预设的第一阈值,表明在设定的时间段内上述网络设备的流量变化超出了设定的范围,发生突变。在上述发生突变的流量信息中添加标记信息,这里,标记信息可以是在上述流量信息中添加标识位或字符。
在本实施例的一些可选的实现方式中,上述电子设备预设的数据缓存区域还存储有第三单位时间流量阈值和第四单位时间流量阈值,第三单位时间流量阈值大于第四单位时间流量阈值。这里第三单位时间流量阈值用于判断网络设备之间是否出现拥堵,第四单位时间流量阈值用于判断网络设备之间是否发生攻击,出现连接中断。作为示例,上述第三单位时间流量阈值的数值可以是一个较大的值,如99,上述第四单位时间流量阈值的数值可以是一个接近零的数,如0.01。
将上述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,当上述第一单位时间流量大于第三单位时间流量阈值时,在上述第一流量信息中添加标记信息;当上述第一单位时间流量小于第四单位时间流量阈值时,在上述第一流量信息中添加标记信息。
205步骤,根据第一流量信息中的标记信息生成报警信息。
在本实施例中,上述电子设备可以判断第一流量信息中是否有标记信息,如果存在标记信息或标记信息满足设定条件,则生成报警信息。这里报警信息可以包括异常类型和异常位置,异常类型用于标识流量信息发生异常的类型,如,流量突增、流量突降、流量中断等,异常位置用于标识发生流量异常的位置,如,可以标识网络设备地理位置的地址或编号。
继续参见图3,图3是根据本实施例的网络流量监控方法的应用场景的一个示意图。在图3的应用场景中,运维人员通过服务器的显示屏查看上述网络设备的流量信息,服务器提取运维人员指定的网络设备的第一流量信息和第二流量信息,确定出单位时间流量变量。通过对上述第一流量信息、第二流量信息和单位时间流量变量的统计分析,确定出上述网络设备的流量是否异常;或服务器将流量异常的网络设备在服务器的显示屏上显示,并通过其他的方式推送报警信息,例如,发出声光报警或邮件类短信类消息。作为示例,如图3-A手形所指示,选择点击上述显示屏上的设备流量查询,通过上述统计分析后,给出所选设备的流量信息。当出现指定的网络设备流量异常后,给出警告信息,如图3-B所示。
本申请的上述实施例提供的方法通过判断网络设备的单位时间流量变量的值是否大于第一阈值,确定流量是否异常,将流量异常的网络设备的流量信息标记,实现对流量的监控。
进一步参考图4,其示出了网络流量监控方法的又一个实施例的流程400。该网络流量监控方法的流程400,包括以下步骤:
步骤401,接收网络设备的当前流量信息作为第一流量信息。
在本实施例中,网络流量监控方法运行于其上的电子设备(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式从网络设备上接收网络设备的当前的流量信息,其中,流量信息的采集可以是SNMP的主动采集和NetFlow数据镜像的被动采集。
在本实施例的一些可选的实现方式中,上述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。在上述NetFlow流量信息采集方式中包含有大量的网络流量信息:表示发送数据的源IP信息、表示接收数据的目的IP信息、表示数据接收端口的设备编号信息。上述源IP信息、目的IP信息、设备端口编号信息为异常状况的定位提供判断依据。
步骤402,根据第一流量信息确定出网络设备的第一单位时间流量。
在本实施例中,基于步骤401中得到的网络设备的流量信息,上述电子设备可以应用一些算子统计的方法对上述流量信息的数据进行统计分析,确定出网络设备的第一单位时间流量,上述第一单位时间流量是上述网络设备在单位时间内的流量值。
步骤403,从预设缓存中的流量信息记录中提取网络设备在设定时间内的流量信息作为第二流量信息,根据第二流量信息确定出网络设备的第二单位时间流量。
在本实施例中,上述电子设备可以从预设于缓存区域的流量信息记录提取上述网络设备在设定时间内的流量信息作为第二流量信息,根据上述第二流量信息的数据,计算出第二单位时间流量,其中,第二单位时间流量是流量信息记录中的流量信息的数据经过统计分析等处理后计算出的单位时间内的流量值。
步骤404,计算第一单位时间流量和第二单位时间流量之间的差值作为单位时间流量变量。
在本实施例中,上述电子设备可以基于步骤402和步骤403所获取到的第一单位时间流量和第二单位时间流量进行差值运算,得到单位时间流量变量。
步骤405,第一单位时间流量分别与预设的第一单位时间流量阈值和第二单位时间流量阈值比较。
在本实施例中,第一单位时间流量阈值和第二单位时间流量阈值是预先设置于缓存区域的用于比较判断的阈值,这里,第一单位时间流量阈值大于第二单位时间流量阈值。
步骤406,响应于第一单位时间流量大于第一单位时间流量阈值,在单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息。
在本实施例中,基于步骤405的判断结果,如果第一单位时间流量大于第一单位时间流量阈值,则上述网络设备的单位时间内的流量继续增加可能会导致上述网络设备和与其通信的其他网络设备之间链路拥堵。上述网络设备的流量在单位时间内的增加量如果超出设定值,则需要报警或提醒运维人员。可以通过判断上述单位时间流量变量是否大于预设的第二阈值,如果大于,在第一流量信息中添加标记信息,这里,标记信息可以是在上述流量信息中添加的标识位或字符。
步骤407,响应于第一单位时间流量小于第二单位时间流量阈值,判断上述单位时间流量变量是否小于零,如果是,在上述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
在本实施例中,基于步骤405的判断结果,如果第一单位时间流量小于第二单位时间流量阈值,则上述网络设备的单位时间内的流量持续大幅度的减少可能是上述网络设备和与其通信的其他网络设备之间链路方发生中断。上述网络设备的流量在单位时间内的减少量如果超出设定值,则需要报警或提醒运维人员。在上述单位时间流量变量小于零时,通过判断上述单位时间流量变量的绝对值是否大于预设的第三阈值,如果是,在第一流量信息中添加标记信息。
步骤408,根据第一流量信息中的标记信息生成报警信息。
在本实施例中,上述电子设备可以判断第一流量信息中是否有标记信息,如果存在标记信息或标记信息满足设定条件,则生成报警信息。这里报警信息可以包括异常类型和异常位置,异常类型用于标识流量信息发生异常的类型,如,流量突增、流量突降、流量中断等,异常位置用于标识发生流量异常的位置,如,可以标识网络设备地理位置的地址或编号。
在本实施例的一些可选的实现方式中,上述电子设备可以根据如下步骤合并所述报警信息:将具有相同的源IP和/或目的IP的报警信息合并;将具有相同设备端口编号信息的报警信息合并。在上述报警信息中可能会出现大量冗余的报警信息,比如,同一网络设备持续发发出报警,生成了多个报警信息,但实际是同一个网络设备引起的报警,可以合并为同一报警信息。将上述具有相同的源IP和/或目的IP的报警信息合并,将具有相同设备端口编号信息的报警信息合并,减少处理问题的数量。
在本实施例的一些可选的实现方式中,上述电子设备通过如下步骤推送报警信息:由上述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定所述报警信息输出端口地址,其中,运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;在上述报警信息输出端口推送报警信息。其中,在上述电子设备的缓存区域存储预设运维信息表,上述运维信息表是由IP地址和输出端口地址组成。在上述运维信息表中同一个输出端口地址对应至少一个IP地址,这里,IP地址可以是源IP,也可以是目的IP。上述电子设备根据上述报警信息所对应的源IP和/或目的IP在上述运维信息表中查找与上述源IP或目的IP相同的IP地址,根据查找结果,在上述运维信息表中提取与上述IP地址所对应的端口地址,通过上述端口地址将上述报警信息推送。
从图4中可以看出,与图2对应的实施例相比,本实施例中的网络流量监控方法的流程400突出了对流量变化预先的判断。由此,本实施例描述的方案可以全面、及时的判断出网络设备流量的异常,从而实现更全面的网络流量监控。
进一步参考图5,作为对上述各图所示方法的实现,本申请提供了一种网络流量监控装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例所述的网络流量监控装置500包括:接收单元501、信息提取单元502、计算单元503、标记单元504和信息生成单元505。其中,接收单元501配置用于接收网络设备的当前流量信息作为第一流量信息,根据上述第一流量信息确定出上述网络设备的第一单位时间流量,其中,第一单位时间流量是上述网络设备在单位时间内的流量值;信息提取单元502配置用于从预设缓存区域的流量信息记录中提取上述网络设备在设定时间内的流量信息作为第二流量信息,根据上述第二流量信息确定出上述网络设备的第二单位时间流量,其中,第二单位时间流量是上述流量信息记录中网络设备在单位时间内的流量值;计算单元503配置用于计算上述第一单位时间流量和上述第二单位时间流量之间的差值作为单位时间流量变量;标记单元504配置用于如果上述单位时间流量变量的绝对值大于预设的第一阈值,在上述第一流量信息中添加标记信息;信息生成单元505配置用于根据上述第一流量信息中的标记信息生成报警信息。
在本实施例中,网络流量监控装置500的接收单元501可以通过有线连接方式或者无线连接方式从网络设备上接收网络设备的当前的流量信息,其中,流量信息的采集可以是SNMP的主动采集和NetFlow数据镜像的被动采集。
在本实施例中,网络流量监控方法运行于其上的电子设备上可以在预设的数据存储区域设置流量信息记录,用于对采集到的上述流量信息的数据进行存储。信息提取单元502从上述流量信息记录提取上述网络设备在设定时间内的流量信息作为第二流量信息,根据上述第二流量信息的数据,计算出第二单位时间流量。
在本实施例中,计算单元503根据上述第一流量信息和第二流量信息确定流量信息中流量的变化,计算第一单位时间流量和第二单位时间流量之间的差值作为单位时间流量变量。
在本实施例中,标记单元504在单位时间流量变量的绝对值大于第一阈值的第一流量信息中添加标记信息。
在本实施例中,上述信息生成单元505可以将具有标记信息的第一流量信息生成为报警信息,这里,标记信息可以是添加在上述第一流量信息中的标识位或字符。
在本实施例的一些可选的实现方式中,上述标记单元503包括:比较模块,配置用于将上述第一单位时间流量与预设的第一单位时间流量阈值和第二单位时间流量阈值比较,其中上述第一单位时间流量阈值大于上述第二单位时间流量阈值;增量标记模块,配置用于当上述第一单位时间流量大于上述第一单位时间流量阈值时,在上述单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息;减量标记模块,配置用于当上述第一单位时间流量小于上述第二单位时间流量阈值时,判断上述单位时间流量变量是否小于零,如果是,在上述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
在本实施例的一些可选的实现方式中,标记单元进一步配置用于:将上述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,其中,第三单位时间流量阈值大于第四单位时间流量阈值;当上述第一单位时间流量大于上述第三单位时间流量阈值时,在上述第一流量信息中添加标记信息;当上述第一单位时间流量小于上述第四单位时间流量阈值时,在上述第一流量信息中添加标记信息。
在本实施例的一些可选的实现方式中,上述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。
在本实施例的一些可选的实现方式中,上述信息生成单元505进一步配置用于根据如下步骤合并上述报警信息:将具有相同的源IP和/或目的IP的报警信息合并;将具有相同设备端口编号信息的报警信息合并。
在本实施例的一些可选的实现方式中,上述信息生成单元505进一步配置用于通过如下步骤推送报警信息:由上述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定上述报警信息输出端口地址,其中,上述运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;在上述报警信息输出端口推送上述报警信息。
在本实施例的一些可选的实现方式中,上述第三单位时间流量阈值大于上述第一单位时间流量阈值,上述第四单位时间流量阈值小于上述第二单位时间流量阈值。
本申请的上述实施例提供的装置通过标记单元的比较判断,将网络设备的单位时间流量变量的值大于第一阈值,或响应于第一单位时间流量大于第一单位时间流量阈值,单位时间流量变量的值大于第二阈值,或响应于第一单位时间流量小于第二单位时间流量阈值,单位时间流量变量的绝对值大于第三阈值确定流量异常,将流量异常的网络设备的流量信息标记,实现对流量的监控。
下面参考图6,其示出了适于用来实现本申请实施例的服务器的计算机***600的结构示意图。
如图6所示,计算机***600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM603中,还存储有***600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时,执行本申请的方法中限定的上述功能。
附图中的流程图和框图,图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括接收单元、信息提取单元、计算单元、标记单元和信息生成单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,接收单元还可以被描述为“接收网络设备的当前流量信息的单元”。
作为另一方面,本申请还提供了一种非易失性计算机存储介质,该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质;也可以是单独存在,未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序,当所述一个或者多个程序被一个设备执行时,使得所述设备:接收网络设备的当前流量信息作为第一流量信息;根据上述第一流量信息确定出所述网络设备的第一单位时间流量,上述第一单位时间流量是上述网络设备在单位时间内的流量值;从预设缓存中的流量信息记录中提取上述网络设备在设定时间内的流量信息作为第二流量信息;根据上述第二流量信息确定出上述网络设备的第二单位时间流量,上述第二单位时间流量是上述流量信息记录中网络设备在单位时间内的流量值;计算上述第一单位时间流量和上述第二单位时间流量之间的差值作为单位时间流量变量;如果上述单位时间流量变量的绝对值大于预设的第一阈值,在上述第一流量信息中添加标记信息;根据上述第一流量信息中的标记信息生成报警信息。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (14)
1.一种网络流量监控方法,其特征在于,所述方法包括:
接收网络设备的当前流量信息作为第一流量信息;
根据所述第一流量信息确定出所述网络设备的第一单位时间流量,所述第一单位时间流量是所述网络设备在单位时间内的流量值;
从预设缓存中的流量信息记录中提取所述网络设备在设定时间内的流量信息作为第二流量信息;
根据所述第二流量信息确定出所述网络设备的第二单位时间流量,所述第二单位时间流量是所述流量信息记录中所述网络设备在单位时间内的流量值;
计算所述第一单位时间流量和所述第二单位时间流量之间的差值作为单位时间流量变量;
如果所述单位时间流量变量的绝对值大于预设的第一阈值,在所述第一流量信息中添加标记信息;
根据所述第一流量信息中的标记信息生成报警信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一单位时间流量与预设的第一单位时间流量阈值和第二单位时间流量阈值比较,其中所述第一单位时间流量阈值大于所述第二单位时间流量阈值;
当所述第一单位时间流量大于所述第一单位时间流量阈值时,在所述单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息;
当所述第一单位时间流量小于所述第二单位时间流量阈值时,判断所述单位时间流量变量是否小于零,如果是,在所述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,所述第三单位时间流量阈值大于第四单位时间流量阈值;
当所述第一单位时间流量大于所述第三单位时间流量阈值时,在所述第一流量信息中添加标记信息;
当所述第一单位时间流量小于所述第四单位时间流量阈值时,在所述第一流量信息中添加标记信息。
4.根据权利要求1所述的方法,其特征在于,所述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括根据如下步骤合并所述报警信息:
将具有相同的源IP和/或目的IP的报警信息合并;
将具有相同设备端口编号信息的报警信息合并。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括通过如下步骤推送报警信息:
由所述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定所述报警信息输出端口地址运维端口,其中,所述运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;
在所述报警信息输出端口推送所述报警信息。
7.根据权利要求2和3所述的任一方法,其特征在于,所述第三单位时间流量阈值大于所述第一单位时间流量阈值,所述第四单位时间流量阈值小于所述第二单位时间流量阈值。
8.一种网络流量监控装置,其特征在于,所述装置包括:
接收单元,配置用于接收网络设备的当前流量信息作为第一流量信息,根据所述第一流量信息确定出所述网络设备的第一单位时间流量,所述第一单位时间流量是所述网络设备在单位时间内的流量值;
信息提取单元,配置用于从预设缓存中的流量信息记录中提取所述网络设备在设定时间内的流量信息作为第二流量信息,根据所述第二流量信息确定出所述网络设备的第二单位时间流量,所述第二单位时间流量是所述流量信息记录中网络设备在单位时间内的流量值;
计算单元,配置用于计算所述第一单位时间流量和所述第二单位时间流量之间的差值作为单位时间流量变量;
标记单元,配置用于如果所述单位时间流量变量的绝对值大于预设的第一阈值,在所述第一流量信息中添加标记信息;
信息生成单元,配置用于根据所述第一流量信息中的标记信息生成报警信息。
9.根据权利要求8所述的装置,其特征在于,所述标记单元包括:
比较模块,配置用于将所述第一单位时间流量与预设的第一单位时间流量阈值和第二单位时间流量阈值比较,其中所述第一单位时间流量阈值大于所述第二单位时间流量阈值;
增量标记模块,配置用于当所述第一单位时间流量大于所述第一单位时间流量阈值时,在所述单位时间流量变量大于预设的第二阈值的第一流量信息中添加标记信息;
减量标记模块,配置用于当所述第一单位时间流量小于所述第二单位时间流量阈值时,判断所述单位时间流量变量是否小于零,如果是,在所述单位时间流量变量的绝对值大于预设的第三阈值的第一流量信息中添加标记信息。
10.根据权利要求8所述的装置,其特征在于,所述标记单元进一步配置用于:
将所述第一单位时间流量与预设的第三单位时间流量阈值和第四单位时间流量阈值比较,所述第三单位时间流量阈值大于第四单位时间流量阈值;
当所述第一单位时间流量大于所述第三单位时间流量阈值时,在所述第一流量信息中添加标记信息;
当所述第一单位时间流量小于所述第四单位时间流量阈值时,在所述第一流量信息中添加标记信息。
11.根据权利要求8所述的装置,其特征在于,所述第一流量信息还包括:源IP信息、目的IP信息、设备端口编号信息。
12.根据权利要求11所述的装置,其特征在于,所述信息生成单元进一步配置用于根据如下步骤合并所述报警信息:
将具有相同的源IP和/或目的IP的报警信息合并;
将具有相同设备端口编号信息的报警信息合并。
13.根据权利要求12所述的装置,其特征在于,所述信息生成单元进一步配置用于通过如下步骤推送报警信息:
由所述报警信息所对应的源IP和/或目的IP与预设的运维信息表确定所述报警信息输出端口地址,其中,所述运维信息表包括报警信息输出端口地址和报警信息输出端口处理的报警信息的IP信息;
在所述报警信息输出端口推送所述报警信息。
14.根据权利要求9和10所述的任一装置,其特征在于,所述第三单位时间流量阈值大于所述第一单位时间流量阈值,所述第四单位时间流量阈值小于所述第二单位时间流量阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610322062.3A CN105763387B (zh) | 2016-05-16 | 2016-05-16 | 网络流量监控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610322062.3A CN105763387B (zh) | 2016-05-16 | 2016-05-16 | 网络流量监控方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105763387A true CN105763387A (zh) | 2016-07-13 |
| CN105763387B CN105763387B (zh) | 2019-12-10 |
Family
ID=56323016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610322062.3A Active CN105763387B (zh) | 2016-05-16 | 2016-05-16 | 网络流量监控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105763387B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707380A (zh) * | 2017-07-31 | 2018-02-16 | 贵州白山云科技有限公司 | 一种监控告警方法和装置 |
| CN111083012A (zh) * | 2019-12-18 | 2020-04-28 | 苏州浪潮智能科技有限公司 | 一种数据中心交换机流量统计方法和设备 |
| CN111817923A (zh) * | 2020-07-28 | 2020-10-23 | 城云科技(中国)有限公司 | 交换机端口流量突变的预警分析方法和装置 |
| CN110830464B (zh) * | 2019-10-31 | 2021-06-29 | 深圳市高德信通信股份有限公司 | 一种网络流量异常检测*** |
| CN113890843A (zh) * | 2021-09-13 | 2022-01-04 | 中盈优创资讯科技有限公司 | 基于netflow分析资源提供业务占比情况四阶报表的方法及装置 |
| CN114221850A (zh) * | 2021-12-22 | 2022-03-22 | 广东安创信息科技开发有限公司 | 一种基于服务器的流量监控方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | ***通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| CN104486253A (zh) * | 2014-12-11 | 2015-04-01 | 北京百度网讯科技有限公司 | 网络带宽调度方法及*** |
| CN104539471A (zh) * | 2014-12-01 | 2015-04-22 | 北京百度网讯科技有限公司 | 带宽计量方法、装置和计算机设备 |
| CN105281966A (zh) * | 2014-06-13 | 2016-01-27 | 腾讯科技(深圳)有限公司 | 网络设备的异常流量识别方法及相关装置 |
| US20160050131A1 (en) * | 2014-08-18 | 2016-02-18 | Telefonaktiebolaget L M Ericsson (Publ) | Passive reachability measurement for inline service chaining |
-
2016
- 2016-05-16 CN CN201610322062.3A patent/CN105763387B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | ***通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| CN105281966A (zh) * | 2014-06-13 | 2016-01-27 | 腾讯科技(深圳)有限公司 | 网络设备的异常流量识别方法及相关装置 |
| US20160050131A1 (en) * | 2014-08-18 | 2016-02-18 | Telefonaktiebolaget L M Ericsson (Publ) | Passive reachability measurement for inline service chaining |
| CN104539471A (zh) * | 2014-12-01 | 2015-04-22 | 北京百度网讯科技有限公司 | 带宽计量方法、装置和计算机设备 |
| CN104486253A (zh) * | 2014-12-11 | 2015-04-01 | 北京百度网讯科技有限公司 | 网络带宽调度方法及*** |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107707380A (zh) * | 2017-07-31 | 2018-02-16 | 贵州白山云科技有限公司 | 一种监控告警方法和装置 |
| CN107707380B (zh) * | 2017-07-31 | 2018-10-23 | 贵州白山云科技有限公司 | 一种监控告警方法和装置 |
| CN110830464B (zh) * | 2019-10-31 | 2021-06-29 | 深圳市高德信通信股份有限公司 | 一种网络流量异常检测*** |
| CN111083012A (zh) * | 2019-12-18 | 2020-04-28 | 苏州浪潮智能科技有限公司 | 一种数据中心交换机流量统计方法和设备 |
| CN111083012B (zh) * | 2019-12-18 | 2021-10-26 | 苏州浪潮智能科技有限公司 | 一种数据中心交换机流量统计方法和设备 |
| CN111817923A (zh) * | 2020-07-28 | 2020-10-23 | 城云科技(中国)有限公司 | 交换机端口流量突变的预警分析方法和装置 |
| CN111817923B (zh) * | 2020-07-28 | 2021-09-14 | 城云科技(中国)有限公司 | 交换机端口流量突变的预警分析方法和装置 |
| CN113890843A (zh) * | 2021-09-13 | 2022-01-04 | 中盈优创资讯科技有限公司 | 基于netflow分析资源提供业务占比情况四阶报表的方法及装置 |
| CN113890843B (zh) * | 2021-09-13 | 2023-10-31 | 中盈优创资讯科技有限公司 | 基于netflow分析资源提供业务占比情况四阶报表的方法及装置 |
| CN114221850A (zh) * | 2021-12-22 | 2022-03-22 | 广东安创信息科技开发有限公司 | 一种基于服务器的流量监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105763387B (zh) | 2019-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105763387A (zh) | 网络流量监控方法和装置 | |
| US10686681B2 (en) | Systems and methods for measuring effective customer impact of network problems in real-time using streaming analytics | |
| CN108039957B (zh) | 复杂网络流量包智能分析*** | |
| US7969893B2 (en) | List-based alerting in traffic monitoring | |
| US7313141B2 (en) | Packet sequence number network monitoring system | |
| US20150195154A1 (en) | Creating a Knowledge Base for Alarm Management in a Communications Network | |
| US20150120914A1 (en) | Service monitoring system and service monitoring method | |
| CN108259194B (zh) | 网络故障预警方法及装置 | |
| CN102790699B (zh) | 一种网络服务质量的分析方法及装置 | |
| EP1325588A1 (en) | System, device and method for automatic anomaly detection | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN103378980A (zh) | 一种层网络告警与业务相关性分析方法和装置 | |
| CN101091354A (zh) | 基于二进制分类的分析及监视 | |
| CN103220173A (zh) | 一种报警监控方法及监控*** | |
| US10708155B2 (en) | Systems and methods for managing network operations | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及*** | |
| CN111147286B (zh) | Ipran网络环路监控方法及装置 | |
| CN112291107B (zh) | 网络分析程序、网络分析装置以及网络分析方法 | |
| CN106452941A (zh) | 网络异常的检测方法及装置 | |
| CN114039900A (zh) | 一种高效网络数据包协议分析方法和*** | |
| CN103905222A (zh) | 一种检测即时通信登录故障的方法和*** | |
| CN104348672A (zh) | 大型ip网络bgp路由条目检测方法和装置 | |
| Rizwan et al. | A zero-touch network service management approach using AI-enabled CDR analysis | |
| CN108111346A (zh) | 告警关联分析中频繁项集的确定方法、装置及存储介质 | |
| US20220103442A1 (en) | Internet of things operations monitoring system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |