[发明专利]网络流量解析系统及方法

权利要求书

1.一种网络流量解析方法，其特征在于，是根据netflow记录中各个字域的依赖关系和数据量情况，构建多维结构，按照设备IP、TOS、协议类型、目的地址高位、流入设备端口号、目的端口、目的地址、源端口、源地址的顺序建立多维结构，根据所述的这些信息遍历多维结构中的流量记录，在遍历过程中对于子节点比较多的节点使用哈希算法，其他节点使用数组，找到相匹配的信息进行叠加操作，当达到一分钟时，写入文件，清空缓存，重新开始记录数据信息。

2.根据权利要求1所述的网络流量解析方法，其特征在于，首先在路由器上开启netflow配置，在配置netflow过程中，使路由器将数据包发送到netflow采集服务器的指定端口，并采用设备IP、TOS、协议类型、流入设备端口号、目的端口、目的地址、源端口、源地址八个字域作为关键域，然后按照如下步骤接收并解析netflow数据：

1)建立socket连接监听路由器上指定的netflow发送到netflow采集服务器的端口；

2)当接收到netflow数据包时，根据netflow协议的格式，对数据包进行拆分，其中，对于一个netflow数据包，有一个或者多个netflow记录信息；

3)将解析到的netflow记录信息放到内存中，对多维结构进行遍历；

4)当遍历到最终节点的时候，对该节点中的流量大小和封包大小进行叠加；

5)当达到一分钟的时候，将内存中的信息写入流量采集服务上的临时文件，清空内存中的信息。

3.根据权利要求2所述的网络流量解析方法，其特征在于，步骤3)所述的对多维结构进行遍历包括：按照设备IP、TOS、协议类型、目的地址高位、流入设备端口号、目的端口、目的地址、源端口、源地址的层次构建多维树形结构，从根节点遍历到最终节点，如果其中某个节点不存在，则在此节点下构建新节点；其中，在设备IP、TOS、协议类型、目的地址高位四个节点使用netflow记录中的值作为数据小标，获取下一个节点的索引，流入设备端口号、目的端口、目的地址、源端口、源地址五个节点使用netflow记录中的值作为关键值，进行快速哈希遍历，对于数组和哈希方法，使用关键域值作为id或者关键字进行查询。

4.根据权利要求3所述的网络流量解析方法，其特征在于，所述的快速哈希遍历的过程是：

1)收到解析后的netflow记录信息后，以设备IP作为数组脚标，判断多维结构中是否存在设备IP节点，是遍历此节点下的信息，进入下一步骤，否则创建设备IP节点后再遍历此节点下的信息，进入下一步骤；

2)以设备TOS作为数组脚标，判断多维结构中是否存在设备TOS，是遍历此节点下的信息，进入下一步骤，否则创建设备TOS后再遍历此节点下的信息，进入下一步骤；

3)以协议类型值作为数组脚标，判断多维结构中是否有协议类型节点，有遍历此节点下的信息，进入下一步骤，否则创建协议类型节点后再遍历此节点下的信息，进入下一步骤；

4)以目的地址高四位作为数组脚标，判断多维结构中目的地址是否是高4位，是遍历此节点下的信息，进入下一步骤，否则创建目的地址高4位后再遍历此节点下的信息，进入下一步骤；

5)以流入设备端口号作为哈希关键值，判断多维结构中是否有流入设备端口号，有遍历此节点下的信息，进入下一步骤，否则在哈希中创建流入设备端口号后再遍历此节点下的信息，进入下一步骤；

6)以目的端口号作为哈希关键值，判断多维结构中是否有目的端口号，有遍历此节点下的信息，进入下一步骤，否则在哈希中创建目的端口号后再遍历此节点下的信息，进入下一步骤；

7)以目的地址作为哈希关键值，判断多维结构中是否有目的地址，有遍历此节点下的信息，进入下一步骤，否则在哈希中创建目的地址后再遍历此节点下的信息，进入下一步骤；

8)以源端口号作为哈希关键值，判断多维结构中是否有源端口号，有遍历此节点下的信息，进入下一步骤，否则在哈希中创建源端口号后再遍历此节点下的信息，进入下一步骤；

9)以源地址作为哈希关键值，判断多维结构中是否有源地址，有遍历此节点下的信息，进入下一步骤，否则在哈希中创建源地址后再遍历此节点下的信息，进入下一步骤；

10)叠加流量大小和封包数。

5.一种基于权利要求1所述的网络流量解析方法的解析系统，包括依次相连的如下模块：netflow数据采集模块(1)、解析netflow数据模块(2)和进行聚合或者直接呈现模块(3)，其特征在于，所述的netflow数据采集模块(1)包括有设备IP、TOS、协议类型、流入设备端口号、目的端口、目的地址、源端口、源地址八个字域，所述的八个字域是按照设备IP、TOS、协议类型、目的地址高位、流入设备端口号、目的端口、目的地址、源端口、源地址的层次构建的多维结构。