[发明专利]一种在网络设备上进行数据流量分析管理的方法

权利要求书

1.一种在网络设备上进行数据流量分析管理的方法，其特征在于，所述 方法基于一种IPFLOW数据流；该IPFLOW数据流为一个包括源IP地址、目的 IP地址、源端口号、目的端口号、协议类型、服务类型、输入接口的7元组来 定义；所述方法步骤包括：

⑴采用数据流缓存机制对IPFLOW数据流进行查找、添加、删除、老化处 理，并同时借助Hash散列算法对IPFLOW数据流表进行管理，管理过程中用Hash 链表解决Hash所存在的冲突问题；

⑵设置一个定时器每隔一定的时间去扫描遍历IPFLOW数据流的Hash表项 以便判断该IPFLOW数据流是否已经老化；

⑶针对不同的网络应用程序和网络管理员所需要的特定网络流量信息，引 入了多种特定的聚合方式；

⑷将老化后的IPFLOW数据流进行聚合汇总；

⑸根据老化输出后的IPFLOW数据流封装成UDP报文发往日志服务器；

所述步骤⑵中的老化包含Fin/Rst老化和命令行强制老化中的一种数据流 老化方式；

所述Fin/Rst老化是指对FIN/RST标志置位的TCP报文流进行立即老化。

2.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述步骤⑴中的数据流缓存机制是用一种Hash散列算法来把IP数据 流的信息保存在内存中，Hash散列关键字根据数据包中的7元组信息来计算， 在没有Hash冲突的情况下可以一次就命中相应的IPFLOW数据流，这样就只 需要更新数据包的包数和字节数；当存在Hash冲突时，只要搜索hash链表就 可以定为到需要查找的IPFLOW数据流。

3.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述活跃老化(active age)是指数据包的首次到达时间到当前时间超过 了活跃老化时间则老化输出，该活跃老化时间为5～30分钟。

4.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述不活跃老化(inactive age)是指最后一个网络包到当前时间超过了 不活跃老化时间则老化输出，该不活跃老化时间为30～300秒。

5.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述字节溢出老化是指对字节统计超过上限的流进行立即老化。

6.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述步骤⑶中聚合汇总采用的聚合方式包括AS聚合、ProtPort聚合、 SrcPrefix聚合、DstPrefix聚合和Prefix聚合中的一种方式。

7.根据权利要求6的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述AS聚合所需的字段信息为源As号，目的As号，源vlan，目的 vlan。

8.根据权利要求6的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述ProtPort聚合所需的字段信息为Protocol,源端口号，目的端 口号。

9.根据权利要求6的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述SrcPrefix聚合所需的字段信息为源IP地址，源子网掩码，源 As号，源Vlan。

10.根据权利要求6的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述DstPrefix聚合所需的字段信息为目的IP地址，目的子网掩码， 目的As号，目的Vlan。

11.根据权利要求6的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述Prefix聚合所需的字段信息为源IP地址，源子网掩码，源As 号，源Vlan目的IP地址，目的子网掩码，目的As号，目的Vlan。

12.根据权利要求1的在网络设备上进行数据流量分析管理的方法，其特 征在于，所述步骤⑷、(5)中的UDP报文采用V5格式，包含1个报文头部信息 和30条flow记录；每一条flow记录都包括如下主要字段：flow的数据包数， flow的总字节数，flow的开始时间，flow的结束时间，源地址，目的地址，下 一条地址，路由器或交换机的输入输出接口Ifindex，源端口号，目的端口号， 协议类型，源和目的自治系统号，服务类型，TCP标志位。