專利名稱：一種下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)業(yè)務(wù)管理監(jiān)控的方法，特別是一種下一代網(wǎng) 絡(luò)業(yè)務(wù)流量識別方法。
技術(shù)背景隨著寬帶網(wǎng)絡(luò)的不斷普及，各行各業(yè)的信息化程度越來越高，互 聯(lián)網(wǎng)已經(jīng)成為人們工作和生活中不可缺少的組成部分。但是，流量對 于帶寬的無限需求和有限網(wǎng)絡(luò)資源之間的矛盾，核心業(yè)務(wù)與非核心業(yè) 務(wù)之間的矛盾，提供差異化優(yōu)質(zhì)服務(wù)和保障大眾服務(wù)質(zhì)量之間的矛 盾，已成為制約網(wǎng)絡(luò)融合發(fā)展的一個亟待解決的問題。 造成上述問題的原因，可以歸納為以下幾種* "一視同仁，，的網(wǎng)絡(luò)資源分配機制，寬帶IP網(wǎng)絡(luò)對所有業(yè)務(wù)、 所有用戶均提供無差別的"Best Effort"傳輸服務(wù)，因此，必 然造成核心業(yè)務(wù)、敏感業(yè)務(wù)、重點用戶的資源無法得到優(yōu)先保 障，導致網(wǎng)絡(luò)資源的利用效率低下。* P2P業(yè)務(wù)的廣泛應(yīng)用，徹底顛覆了傳統(tǒng)的B/S、 C/S架構(gòu)的網(wǎng) 絡(luò)體系。傳統(tǒng)B/S、 C/S架構(gòu)由于受到服務(wù)器端的限制，數(shù)據(jù) 交互量和服務(wù)器的能力成正比；而P2P的每一個通信參與者既 是服務(wù)器，又是客戶端。因此，在P2P應(yīng)用環(huán)境中，其數(shù)據(jù)提供和共享能力是和網(wǎng)絡(luò)中的參與者數(shù)目成指數(shù)增長的。研究表 明，P2P業(yè)務(wù)占據(jù)了當前網(wǎng)絡(luò)總數(shù)據(jù)流量的50 % — 80 % 。 *局域網(wǎng)帶寬和廣域網(wǎng)帶寬之間的巨大差距局域網(wǎng)技術(shù)經(jīng)過幾 次跨越式的發(fā)展，從最初的IOM網(wǎng)絡(luò)，發(fā)展到目前的千兆網(wǎng) 絡(luò)，甚至萬兆以太網(wǎng)技術(shù)，數(shù)據(jù)傳送能力急劇增加，而廣域網(wǎng) 技術(shù)并沒有相應(yīng)的革命性發(fā)展。因此，對于一個閉環(huán)的網(wǎng)絡(luò)環(huán) 境來說，必然會造成在廣域網(wǎng)中形成巨大的瓶頸，導致網(wǎng)絡(luò)擁 塞。* TCP/IP在QoS上的先天不足，導致了每一個連接在進行數(shù)據(jù) 交互過程中，都會極力擴張其帶寬占有，只有在網(wǎng)絡(luò)擁塞的時 候，才進行自我約束。因此，從根本上說，TCP/IP技術(shù)存在 容易導致網(wǎng)絡(luò)擁塞的先天不足。 綜合以上分析可以看出，當前的網(wǎng)絡(luò)由于無法識別出當前網(wǎng)絡(luò)中 的業(yè)務(wù)類型，無法對核心業(yè)務(wù)和敏感業(yè)務(wù)進行QoS保障，導致網(wǎng)絡(luò) 易于出現(xiàn)嚴重擁塞，資源沒有得到有效合理的利用，影響在信息化環(huán) 境下的社會勞動生產(chǎn)效率，難以提高運營商的網(wǎng)絡(luò)運營收益，難以擺 脫數(shù)據(jù)網(wǎng)絡(luò)的粗放式模式，無法對業(yè)務(wù)流量進行有效的控制管理，服 務(wù)質(zhì)量問題己成為限制寬帶網(wǎng)絡(luò)業(yè)務(wù)發(fā)展的關(guān)鍵瓶頸之一。 發(fā)明內(nèi)容對于下一代網(wǎng)絡(luò)管理來說，業(yè)務(wù)流量管理的基礎(chǔ)，就在于進行業(yè) 務(wù)識別，在業(yè)務(wù)識別的基礎(chǔ)上，實現(xiàn)對各種業(yè)務(wù)的帶寬進行抑制，或 者對核心業(yè)務(wù)的帶寬進行保障。本發(fā)明提供一種下一代網(wǎng)絡(luò)業(yè)務(wù)流量 識別方法，可以識別出網(wǎng)絡(luò)中常見的，大多數(shù)的業(yè)務(wù)類型，并統(tǒng)計出 出每次業(yè)務(wù)會話中各種信息。
本發(fā)明通過以下方案實現(xiàn) 一種下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法， 包括如下步驟(1) 接收報文；(2) 根據(jù)報文計算哈希；(3) 根據(jù)報文標志位，進行處理(A) 當收到的是TCP SYN報文，則創(chuàng)建新的會話，記錄會話 統(tǒng)計信息；(B) 當收到的是TCPSYN/ACK報文，則計算服務(wù)器的響應(yīng)時 間，更新會話統(tǒng)計信息；(C) 當收到的是TCPACK報文，則計算新客戶端的響應(yīng)時間， 更新會話統(tǒng)計信息；(D) 當收到的是TCP會話報文，則對協(xié)議進行解析，進行業(yè)務(wù) 識別，更新會話統(tǒng)計信息；(E) 當收到的是TCP FIN或TCP RST報文，則記錄會話統(tǒng)計 信息，然后拆除會話連接。所述步驟(2)中，可以根據(jù)源IP地址、源端口、目的IP地址、 目的端口四元組的方法獲得HASH值HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT，其中MAC—SESSION—CNT的值為50000。所述步驟(3)中，會話的統(tǒng)計信息包括業(yè)務(wù)的類型，協(xié)議類 型，服務(wù)器的IP地址，服務(wù)器的端口，客戶端的IP地址，客戶端的
端口號，此次對話的建立的時間，此次對話結(jié)束的時間，此次對話持 續(xù)的時間，此次對話發(fā)送的報文數(shù)目，此次對話發(fā)送的字節(jié)數(shù)目，此 次對話接收的報文數(shù)目，此次對話接收的字節(jié)數(shù)目。 所述步驟(D)的業(yè)務(wù)識別包括(a) 當持續(xù)時間M80s并且數(shù)據(jù)交換〉3MB，判斷該業(yè)務(wù)為HTTP 文件下載業(yè)務(wù)。(b) 在報文的68、 55、 137字節(jié)的地方含有BitTorrent Protocol的關(guān)鍵字，則判斷該會話是一次BT下載業(yè)務(wù)。(c) 判斷報文端口 (不管是源端口還是目的端口)等于4242， 或者大于4661并且小于4665，則判斷該會話是EDK業(yè)務(wù)。(d) 在報文的68、 55、 137字節(jié)的地方含有PSProtocol的關(guān)鍵 字，則判斷該會話是一次ppStream下載業(yè)務(wù)。(e) 判斷是否是被動式FTP的業(yè)務(wù)，并做相應(yīng)處理1) 對所有21端口的報文進行字符串搜索，尋找被動式FTP的 控制信令字段"Passive";2) 當存在該字段，則數(shù)據(jù)端口由該報文攜帶，后面包含了數(shù)據(jù) 傳輸通道里面的"源端口 +目的端口"；3) 解析數(shù)據(jù)傳輸通道，并且提前建立會話，建立相關(guān)的會話記 錄信息；4) 下一次報文到達時，由新的會話來完成對FTP數(shù)據(jù)傳輸通道 的會話跟蹤。本發(fā)明的有益效果是1. 使用本發(fā)明提供的網(wǎng)絡(luò)業(yè)務(wù)識別技術(shù)，可以給出每次業(yè)務(wù)會 話中所有的統(tǒng)計信息，有利于網(wǎng)絡(luò)管理和控制。2. 本發(fā)明可以識別出網(wǎng)絡(luò)中常見的，大多數(shù)的業(yè)務(wù)類型，可以對象BT業(yè)務(wù)、EDK業(yè)務(wù)等大量的下載業(yè)務(wù)時，可以對其進行帶寬限 制，防止其吞噬大量的帶寬資源。


圖l為本發(fā)明的流程圖。
具體實施方式
下面結(jié)合附圖和具體實施例對本發(fā)明的工作流程進行更詳細的描述。如圖1所示，本發(fā)明的工作流程為 步驟IOI，接收報文。步驟102，通過報文計算哈希。為了提供業(yè)務(wù)識別的能力和提高報文的處理速度，同時，為了避 免動態(tài)內(nèi)存分配造成系統(tǒng)穩(wěn)定性和效率的下降，采用了靜態(tài)的內(nèi)存映 射作為會話存儲的數(shù)據(jù)結(jié)構(gòu)，這樣就能夠依據(jù)內(nèi)存的位置，完成對報 文的會話定位。而如何利用報文的既有信息，計算出對應(yīng)的內(nèi)存位置，可以采用流行的哈希算法。但是考慮到正常情況下并發(fā)會話不超過5萬條的網(wǎng) 絡(luò)環(huán)境，因此，可以根據(jù)源IP地址、源端口、目的IP地址、目的端 口四元組的方法獲得HASH值。HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT;
其中MAC—SESSION_CNT的值為50000。該算法能夠保障一定的精確度的情況下，最快的實現(xiàn)哈希計算。 當然，在復雜的網(wǎng)絡(luò)中，也可以使用其它精確的哈希算法，保障 系統(tǒng)精度。步驟103，根據(jù)報文標志位，判斷需要進行哪種處理。步驟104，如果是TCP SYN報文，首先檢査是否已經(jīng)有一條會 話建立在會話緩沖區(qū)中，如果是，清除該會話的相關(guān)時戳，更新會話 起始時戳，進入步驟109。步驟105，如果是TCPSYN/ACK報文，則計算服務(wù)器端的響應(yīng) 時間，進入步驟109。步驟106，如果是TCPACK報文，則計算客戶端響應(yīng)時間，進 入步驟109。步驟107，如果是TCP會話報文，就需要對于協(xié)議解析，或者需 要進行特征碼檢測的業(yè)務(wù)識別方式來說，此時即可進行業(yè)務(wù)識別，然 后進入步驟109。所述業(yè)務(wù)包括* HTTP文件下載對于正常的Web瀏覽會話來說， 一次會話的持續(xù)時間不會超過3 分鐘，并且，對于一個網(wǎng)頁來說，每一個元素會在一個會話里面承載， 因此，不會超出3MB的業(yè)務(wù)流量。因此，對于HTTP業(yè)務(wù)來說，只要檢查其會話的持續(xù)時間和會話 數(shù)據(jù)統(tǒng)計情況，當
持續(xù)時間〉180s && 數(shù)據(jù)交換〉3MB(這些參數(shù)可以靈活配置) 的時候，就可認為該HTTP會話屬于文件下載業(yè)務(wù)。* BT業(yè)務(wù)下載在BT業(yè)務(wù)中，總是會在進行數(shù)據(jù)交換之前，提供一個在報文的 68、 55、 137字節(jié)的地方含有BitTorrent Protocol的關(guān)鍵字，因此，對 報文的這幾個字節(jié)偏移地址開始的地方進行字符串搜索，若存在，即 可認為該會話是一次BT的業(yè)務(wù)流量下載。當一次會話明確識別成BT之后，就可以對他們進行流量統(tǒng)計， 并且根據(jù)預先配置好的P2P通道帶寬，對其進行帶寬限制，防止其吞 噬大量的帶寬資源。* EDK業(yè)務(wù)下載EDK業(yè)務(wù)的識別較為簡單，凡是報文端口 (不管是源端口還是 目的端口)等于4242，或者大于4661并且小于4665，即可認為是 EDK業(yè)務(wù)。* ppStream業(yè)務(wù)下載ppStream業(yè)務(wù)的實現(xiàn)與BT—模一樣，只是關(guān)鍵字不同。其特征 碼關(guān)鍵字是"PSProtocol"。 *被動式FTP業(yè)務(wù)下載被動式FTP和其他的使用簡單的特征碼即可識別的業(yè)務(wù)不同。 被動式FTP的業(yè)務(wù)端口，是通過在標準的21 FTP控制端口里面協(xié)商 好了之后，再進行傳輸?shù)?，不同于使用標準?0端口作為FTP數(shù)據(jù)傳輸端口。 具體的跟蹤過程是對所有21端口的報文進行字符串搜索，尋找被動式FTP的控制信令字段"Passive";如果存在該字段，則數(shù)據(jù)端口由該報文攜帶，后面包含了數(shù)據(jù)傳輸通道里面的"源端口+目的端口"；解析出數(shù)據(jù)傳輸通道，并且提前建立出會話，建立相關(guān)的會話記錄信息；下一次報文到達時，由新的會話來完成對FTP數(shù)據(jù)傳輸通道的 ^i舌足艮S^。步驟108，當收到TCP FIN或TCP RST之后，表明一次會話已 經(jīng)結(jié)束，則記錄這個會話的統(tǒng)計結(jié)果，其中統(tǒng)計結(jié)果包括業(yè)務(wù)的類 型，協(xié)議類型，服務(wù)器的IP地址，服務(wù)器的端口，客戶端的IP地址， 客戶端的端口號，此次對話的建立的時間，此次對話結(jié)束的時間，此 次對話持續(xù)的時間，此次對話發(fā)送的報文數(shù)目，此次對話發(fā)送的字節(jié) 數(shù)目，此次對話接收的報文數(shù)目，此次對話接收的字節(jié)數(shù)目。然后進 入步驟110。步驟109，更新會話統(tǒng)計信息，然后進入步驟lll，結(jié)束報文處 理，完成一次會話的完整跟蹤。步驟IIO，拆除會話連接，將該會話的存儲內(nèi)存清零，然后進入 步驟lll，結(jié)束報文處理，完成一次會話的完整跟蹤。
權(quán)利要求
1.一種下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法，包括如下步驟(1)接收報文；(2)根據(jù)報文計算哈希；(3)根據(jù)報文標志位，進行處理(A)當收到的是TCP SYN報文，則創(chuàng)建新的會話，記錄會話統(tǒng)計信息；(B)當收到的是TCP SYN/ACK報文，則計算服務(wù)器的響應(yīng)時間，更新會話統(tǒng)計信息；(C)當收到的是TCP ACK報文，則計算新客戶端的響應(yīng)時間，更新會話統(tǒng)計信息；(D)當收到的是TCP會話報文，則對協(xié)議進行解析，進行業(yè)務(wù)識別，更新會話統(tǒng)計信息；(E)當收到的是TCP FIN或TCP RST報文，則記錄會話統(tǒng)計信息，然后拆除會話連接。
2. 根據(jù)權(quán)利要求1所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法，其特 征在于所述步驟(2)中，根據(jù)源IP地址、源端口、目的IP地址、 目的端口四元組的方法獲得HASH值HASH值=(源端口 +目的端口 +源IP地址+目的IP地 址)&MAX—SESSION—CNT，其中MAC_SESSION—CNT的值為50000。
3. 根據(jù)權(quán)利要求1所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法，其特征在于所述步驟(3)中，會話的統(tǒng)計信息包括業(yè)務(wù)的類型，協(xié) 議類型，服務(wù)器的IP地址，服務(wù)器的端口，客戶端的IP地址，客戶 端的端口號，此次對話的建立的時間，此次對話結(jié)束的時間，此次對 話持續(xù)的時間，此次對話發(fā)送的報文數(shù)目，此次對話發(fā)送的字節(jié)數(shù)目， 此次對話接收的報文數(shù)目，此次對話接收的字節(jié)數(shù)目。
4. 根據(jù)權(quán)利要求1或2或3所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法，其特征在于所述步驟(D)中，當持續(xù)時間>1805并且數(shù)據(jù)交換〉3MB，判斷該業(yè)務(wù)為HTTP文件下載業(yè)務(wù)。
5. 根據(jù)權(quán)利要求1或2或3所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方 法，其特征在于所述步驟(D)中，在報文的68、 55、 137字節(jié)的 地方含有BitTorrent Protocol的關(guān)鍵字，則判斷該會話是一次BT下載 業(yè)務(wù)。
6. 根據(jù)權(quán)利要求1或2或3所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方 法，其特征在于所述步驟(D)中，判斷報文端口等于4242，或者 大于4661并且小于4665，則判斷該會話是EDK業(yè)務(wù)。
7. 根據(jù)權(quán)利要求1或2或3所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方 法，其特征在于所述步驟(D)中，在報文的68、 55、 137字節(jié)的 地方含有PSProtocol的關(guān)鍵字，則判斷該會話是一次ppStream下載 業(yè)務(wù)。
8. 根據(jù)權(quán)利要求1或2或3所述的下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方 法，其特征在于所述步驟(D)中，判斷是否是被動式FTP的業(yè)務(wù)， 并做相應(yīng)處理1) 對所有21端口的報文進行字符串搜索，尋找被動式FTP的 控制信令字段"Passive";2) 當存在該字段，則數(shù)據(jù)端口由該報文攜帶，后面包含了數(shù)據(jù) 傳輸通道里面的"源端口 +目的端口"；3) 解析數(shù)據(jù)傳輸通道，并且提前建立會話，建立相關(guān)的會話記 錄信息；4) 下一次報文到達時，由新的會話來完成對FTP數(shù)據(jù)傳輸通道 的會話跟蹤。
全文摘要
本發(fā)明公開了一種下一代網(wǎng)絡(luò)業(yè)務(wù)流量識別方法，包括如下步驟接收報文；根據(jù)報文計算哈希；根據(jù)報文標志位，進行相應(yīng)的處理。本發(fā)明可以記錄每次業(yè)務(wù)會話中所有的統(tǒng)計信息，有利于網(wǎng)絡(luò)管理和控制；可以識別出網(wǎng)絡(luò)中常見的，大多數(shù)的業(yè)務(wù)類型。
文檔編號H04L12/58GK101127690SQ200610109680
公開日2008年2月20日 申請日期2006年8月17日 優(yōu)先權(quán)日2006年8月17日
發(fā)明者王玉鵬 申請人:王玉鵬