[发明专利]一种基于TR069协议结合日志分析的异常流量处方法及系统

说明书

本发明公开了一种基于TR069协议结合日志分析的异常流量处方法及系统，方法步骤一、基于TR069协议对服务器和网络设备进行通讯认证，若通讯认证成功，则进入步骤二；步骤二、通过ACS监测CPE端口流量，当发生异常流量时，定位异常流量并屏蔽对应的报文流量；步骤三、对所屏蔽的报文流量进行日志分析，判断是否为异常报文，若是，则进行异常标识，否则正常下发流量。本发明解决了现有组网当中异常流量发生时分析及过滤缺乏时效性、灵活性、准确率不高的复杂问题。

技术领域

本发明属于网络异常分析技术领域，具体涉及一种基于TR069协议结合日志分析的异常流量处方法及系统。

背景技术

随着数字化组网技术的发展与应用，组网的在运设备逐渐增加，相较于十年前设备增长了10～100倍，即便运维已经在从手工运维向工具运维和平台运维发展，但仍然无法满足当前超大型组网、服务器、应用对运维监测要求。

同时，软件系统正变得越来越大和复杂，其通常包含部署在数千台甚至数十万台服务器上的数百项服务，并支持大量的并发用户。大型软件系统面临的一个特别挑战是异常诊断。也就是说，当问题发生时，如何快速诊断问题，以及管理员如何快速识别根本原因。

日志是问题诊断的常见信息来源。然而，在大规模系统中，日志可能是数量非常庞大。例如，在一些提供全球服务的大型系统中，每日日志数据的量可以达到数十tB(TBs)。微软的在线服务系统甚至每天生成超过1pbe(PB)的日志。如此大的规模下，靠人工经验、自动化运维去监测网络设备就成为了制约运维工作的技术瓶颈。

现有技术很难达到在组网中，突发异常流量对网络设备、服务器、应用流量起的各种问题，从而造成无法快速了解组网流量异常的综合情况。

发明内容

本发明所要解决的技术问题是针对上述现有技术的不足，提供一种基于TR069协议结合日志分析的异常流量处方法及系统，解决了现有组网当中异常流量发生时分析及过滤缺乏时效性、灵活性、准确率不高的复杂问题。

为实现上述技术目的，本发明采取的技术方案为：

种基于TR069协议结合日志分析的异常流量处方法，包括：

步骤一、基于TR069协议对服务器和网络设备进行通讯认证，若通讯认证成功，则进入步骤二；

步骤二、通过ACS监测CPE端口流量，当发生异常流量时，定位异常流量并屏蔽对应的报文流量；

步骤三、对所屏蔽的报文流量进行日志分析，判断是否为异常报文，若是，则进行异常标识，否则正常下发流量。

为优化上述技术方案，采取的具体措施还包括：

上述的步骤一具体为：

基于TR069协议对支持TR069协议的网络设备进行管理和监控；

TR069协议中的网管服务器ACS对CPE进行通讯认证配置，如果通讯认证成功，进入步骤二。

上述的步骤二具体包括：

步骤21：ACS向目标CPE端口发送符合TR069协议RPC格式的请求报文；

步骤22：CPE解析请求报文后将采集的流量数据放入请求报文再次向ACS发送请求报文；

步骤23：ACS解析请求报文获取流量数据；

步骤24：当ACS收到请求报文中流量大于请求报文中流量阈值则表示发生异常流量，进行异常告警；

步骤25：通过执行部署在ACS的流量分析程序对CPE收到的请求报文进行流量拆分获取五元组信息，并通过五元组信息中的源地址定位异常流量并暂时禁止该流量下发。