[发明专利]借助于描述性的元数据监测网络通信量的方法

说明书

技术领域

本发明属于通信网络领域，更具体地属于通信量监测领域。

背景技术

通信量监测是数据网络管理中的重要过程，因为通信量监测允许在网络变得拥挤之前预测升级节点容量或链路带宽的需求。该容量规划是以星期或月的时间尺度进行的，并且是运营商网络中常见的操作过程。

通信量监测还允许建立通信量矩阵，该矩阵包含每个源节点或节点组与目的节点或节点组之间交换的通信量。这些通信量矩阵对于网络规划是非常有用的，因为根据公知的网络路由方案可以获得每条链路的负载或通信量。利用该信息，可以建立对节点或链路中的单故障或双故障具有弹性的网络。

通信量监测的主要方面之一是通信量识别或分类，该通信量识别或分类涉及将通信量识别为属于特定的应用或服务。从一个应用或服务到另一个应用或服务，容量的未来需求是不同的。

不同类型的通信量分类允许在容量规划中应用更精细的粒度策略，从而预测设备升级的实际需求。此外，该通信量分类允许针对每个应用或服务建立通信量矩阵，因此使网络规划更精细。该通信量分类还有助于网络操作，因为通信量分类允许诊断在特定链路中的不期望的通信量增长之后的原因。

通信量识别可以通过如下若干种方式来完成：

●基于端口号。该技术基于如下事实：终端应用使用已知的TCP（传输控制协议）端口和用户数据报协议（UDP）端口用于连接，因此根据使用的端口来进行分类。例如，网页通信量使用HTTP协议和HTTPS协议，其中，HTTP协议和HTTPS协议分别使用传输控制协议（TCP）的端口号80和443。该通信量识别可以通过使用公知的端口列表，例如由互联网数字分配机构（IANA）分配的官方端口号以及由特定应用使用的非官方端口号来完成。该技术可以应用于实时通信量分类（在运行中（on the fly））以及离线分析（根据存储的通信量跟踪）。

●基于流模式和包模式。这些技术基于检查流特性或包特性，例如包大小、端口号、在TCP流的情况下的TCP标记、从主机朝向具有相同源端口或目的地端口的目的地主机创建的TCP连接的数量、TCP连接的持续时间等。将这些特性与预先定义的模式进行比较，从而根据与通信量模式的相似度建立通信量类型。

这些技术中的一些可以实时地应用，而由于其它的需要整个跟踪，所以只能离线地应用。例如，如果对通信量进行分类的驱动之一是从主机朝向具有相同源端口或目的地端口的目的地主机建立的TCP连接的数量，则无法进行该分类直至进行了整个跟踪为止。

●基于深度包检测（Deep Packet Inspection,DPI）。该通信量分类基于对TCP和UDP协议内部传输的有效载荷的分析。由于该原因，该通信量分类通常被称为层7分类。通信量分类可以基于对有效载荷内的应用协议基元的识别或对“模式（pattern）”（有效载荷中的特定字节串的出现）的识别。

在上世纪90年代，Cisco（思科）公司开发了Netflow，Netflow是一种运行在使用Cisco的设备上的用于采集因特网协议（IP）通信量信息的网络协议。尽管Netflow是一个专利解决方案，但是除了IOS以外的平台，例如（赡博）网络路由器也支持Netflow。使用Netflow的路由器生成Netflow记录，即在某个时间段内（通常5分钟）每个流发送/接收的字节和包的通信量汇总（流是由源IP地址、目的地IP地址、传输协议、源端口、目的地端口组成的元组）。将这些Netflow记录以特定的格式导出到Netflow采集器，在Netflow采集器处接收来自于若干个使用Netflow的路由器的记录。现在，Netflow正逐渐成为被称为因特网协议数据流信息导出（IPFIX）的因特网工程任务组（IETF）标准，其基于Netflow版本9。

尽管Netflow是用于通信量统计而不是用于通信量分类的解决方案，但是可以对生成的Netflow记录进行后处理，以根据端口号或流模式进行通信量分析和分类。

然而，近十年来，由于如下几个原因，根据端口号的通信量分类正变得更加不精确：

●不同的应用可以使用相同的端口。例如，因为防火墙不过滤TCP端口号80，所以许多应用使用TCP端口号80。此外，一些应用开始将TCP端口80用作将其通信量伪装成HTTP并且不被过滤掉的方式。

●一些应用不使用特定端口，使得其无法被识别，因此变得更加难以被特定的防火墙规则过滤掉。