[发明专利]一种流量分析方法和系统

说明书

本发明提供了一种流量分析方法和系统，所述Linux服务器的网卡工作在混杂模式；通过ftrace将所述Linux服务器的系统中的ip_rcv函数替换为第一定义函数；所述第一定义函数被配置为忽略对所有的以太网帧的目的MAC地址的判断，而是向内核转发所有的以太网帧；所述方法包括以下步骤：所述Linux服务器的网卡接收所述交换机发送的所有镜像的以太网帧，在所述Linux服务器的内核空间中对网卡接收到的所有镜像的以太网帧进行分析。由于上述方案对Linux服务器的系统的内核函数进行了修改，使得Linux服务器可以对来自交换机传输的所有镜像的以太网帧进行分析，避免了流量数据包丢失影响分析结果的情况发生。

技术领域

本发明涉及数据流量分析领域，尤其涉及一种流量分析方法和系统。

背景技术

流量指标是网络运维最重要的指标之一，是网络规划设计、协议设计、 业务部署、流量工程实施、攻击检测与故障诊断的基础。通过网络流量的监测和分析可以获得大量网络性能信息、网络服务状况以及网络中存在的攻击或者弱点。通过数据包捕获与协议分析的被动流量监测获得各个协议层次的流量指标，是流量监测分析最常用的方法。

现有获取流量数据包的方法包括串行分析方法和旁路分析方法，串行分析方法通过将流量分析设备串入当前网络的整体系统中，成为整个网络系统中的重要一环，以实现对流量数据的分析监测。串行分析方法需要先对网络系统进行切割，以便接入流量分析设备，且当流量分析设备出现故障时，由于其与其他网络设备是相串联的，容易导致整个网络系统瘫痪。旁路分析方法主要是先对流量数据包进行旁路后再进行分析，但由于各个流量数据包的目的IP不尽相同，容易导致流量数据包丢失且增加了网络延迟。

发明内容

为此，需要提供一种流量分析的技术方案，用以解决现有的流量分析方法容易导致流量数据包丢失、分析效果不佳的问题。

为实现上述目的，本发明第一方面提供了一种流量分析方法，所述流量分析方法应用于流量分析系统，所述流量分析系统包括Linux服务器和交换机；所述交换机与所述Linux服务器至少有一个端口镜像连接；

所述Linux服务器的网卡工作在混杂模式；

通过ftrace将所述Linux服务器的系统中的ip_rcv函数替换为第一定义函数；所述第一定义函数被配置为忽略对所有的以太网帧的目的MAC地址的判断，而是向内核转发所有的以太网帧；

所述方法包括以下步骤：

所述Linux服务器的网卡接收所述交换机发送的所有镜像的以太网帧，在所述Linux服务器的内核空间中对网卡接收到的所有镜像的以太网帧进行分析。

进一步地，所述流量分析系统还包括网络控制器，所述网络控制器分别与所述Linux服务器、所述交换机连接；

所述方法包括：

Linux服务器向网络控制器发送异常流量的信息，由所述网络控制器生成处理策略并下发至所述交换机，所述交换机对所述异常流量执行该处理策略指示的操作。

进一步地，所述方法包括以下步骤：

在所述linux服务器的内核的pre_routing检测点挂载流量分析函数。

进一步地，所述“对网卡接收到的所有镜像的以太网帧进行分析”包括以下步骤：

根据各个以太网帧的五元组信息或VLAN ID对所有镜像的以太网帧进行统计分析；所述五元组信息包括：源端口、目的端口、源MAC地址、目的MAC地址和协议类型。

进一步地，所述“根据各个以太网帧的五元组信息或VLAN ID对所有镜像的以太网帧进行统计分析”包括以下步骤：