[发明专利]基于应用层业务分析的网络流量分析方法

说明书

技术领域

本发明涉及计算机互联网的信息安全技术领域，尤其涉及一种基于应用层业务识别、网络流量、业务服务质量测试分析、异常流量分析方法。

背景技术

随着互联网和计算机的飞速发展，越来越多的互联网数据业务为人们的工作、生活和娱乐带来了便利。“三网合一”的大趋势，也对传统互联网提出了QoS保障的需求，要求运营商在运营NGN、多媒体、视频会议等业务时，提供保障质量的服务。

同时，针对互联网的攻击、资源滥用、病毒传播等现象，也需要一套完整的解决方案，一方面能够定位异常流量的来源、波及范围、危害程度等；一方面也要求能够准确分析出异常流量的类型。

而传统的基于Cisco专利的NetFlow技术，其最大缺陷在于：

1、NetFlow只分析TCP/IP包的第四层信息，无法掌握会话的应用层业务类型；

2、NetFlow基于抽样技术，它不对会话进行全程跟踪，因此容易遗漏会话信息或者误判；

3、NetFlow信息只统计流量信息，业务QoS指标(延时、抖动、丢包率、响应时间等)不进行统计；协议异常事件不进行分析。

与Cisco NetFlow技术类似的，还有华为技术有限公司的NetStream技术、HP和3COM等提出的sFlow/cFlow技术等。这些技术都存在以上所述的三个缺陷。

因此，必须寻求一种新的技术，用于解决在复杂网络环境中，对网络流量、业务QoS指标、异常流量进行精确分析的方法，满足运营商、企业等对于网络的管理维护需求。

发明内容

为了解决现有流量分析技术存在的问题，本发明提供了一种基于统计学理论的应用于网络流量分析的应用层业务流量分析、业务质量测试分析、异常业务流量分析的技术，能够对应用层业务进行流量、QoS和异常检测。

本发明所述的应用于应用业务流量分析的方法，首先将互联网数据应用业务进行识别，掌握通信会话承载的应用层业务类型，统计会话的流量速度、流量字节报文、会话持续时间等信息，分析会话的响应时间、时延、抖动、丢包率等QoS信息，检测会话的通信异常、协议异常信息。

在会话结束时，将统计信息上报到流量分析数据库，由数据库对应用层业务进行统计分析。

附图说明

图1是目前网络产品流量分析的通用处理模型；

图2是采用本发明所述方法进行应用层业务流量分析时的处理流程。

具体实施方式

现结合附图及实施例对本发明作进一步详细说明。要对应用层业务的会话进行统计，首先必须识别出会话所属的业务类型，才能对会话的流量、业务相关的QoS统计指标、业务异常检测等采取相应的分析方法。

在本发明中，会话的应用层业务类型识别是关键，针对应用层业务进行的各种指标统计是基础，在统计的基础上，结合业务的专家分析功能，就可以分别统计流量、测试QoS质量、检测业务异常情况等。

图1是目前网络产品进行流量分析的通用处理模型。参考图1：

在传统网络产品中，支持xFlow功能时，报文首先进入网络设备的入端口缓冲区进行排队，见图1的101。

然后，高端网络设备借助于硬件进行会话哈希查找，低端设备借助于CPU进行会话哈希查找。见图1的102。

xFlow会抽样统计每一个会话的流量信息，形成会话流量统计。见图1的103。

并定时输出xFlow信息到信息收集器。见图1的104。

然后被发到出端口的缓冲区队列，排队等候发送到出端口网络上去。见图1的105。

图2是本发明所使用的报文处理模型：

报文在到达网络设备时，首先进入设备入端口缓冲区队列，排队等候被处理。如图2的201。

然后，高端网络设备借助于硬件哈希查找，低端设备借助于CPU查找，将一个报文对应的会话信息查找到。如图2的202。

一个会话的应用层业务类型，除了可以通过TCP/UDP的端口、协议类型进行识别外，还需要通过复杂的协议解析流程，识别出应用层业务的类型，例如：分析出基于80端口的WEB页面浏览，和网上视频点播，就必须借助于应用层协议解析才能区分它们。在当前P2P业务盛行的情况下，还需要借助于协议特征字，识别出例如BitTorrent等P2P应用。这些应用都无法单纯依靠端口来准确识别。如图2的203。

在识别出会话的应用层业务类型之后，需要对应用层业务进行各种流量信息统计，包括：流量统计、业务QoS指标统计、业务异常检测与统计。如图2的204。

在一次会话结束时，将会话信息输出到信息采集数据库。如图2的205。

在完成这些流程后，将报文输出到设备的出端口缓冲区，发送到目的网络。如图2的206。