[发明专利]基于TCP会话的网络流量监测方法、装置及报文处理芯片

权利要求书

1.一种基于TCP会话的网络流量监测方法，其特征在于包括：获取芯片端口上IPFIX配置信息，根据所述配置信息选择哈希关键字类型，结合报文的信息组合所述哈希关键字，根据组合后的所述哈希关键字在芯片的IPFIX存储空间中进行哈希查找，查找后，若报文所在的TCP会话记录存在，则更新所述TCP会话记录；反之，芯片则在相应的IPFIX存储空间中插入新的会话记录，插入或更新会话记录后，判断是否要将更新后的会话记录或者插入的会话记录上报CPU进行处理，若上报，则将所述会话记录通过芯片中的存储器直接访问通道上报CPU进行处理，从而完成一次网络流量监测。

2.根据权利要求1所述的基于TCP会话的网络流量监测方法，其特征在于，所述IPFIX配置信息为选择七元组的方式或五元组方式对网络流量进行分类，所述七元组是：源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、三层协议类型、服务类型和输入逻辑接口，所述五元组是：源IP地址，目的IP地址，TCP/UDP源端口，TCP/UDP目的端口和传输层协议号。

3.根据权利要求1所述的基于TCP会话的网络流量监测方法，其特征在于，所述芯片端口为报文入口或报文出口，组合所述哈希关键字的过程为：对于所有所述报文出口方向的所述关键字，将其源IP地址和目的IP地址互换，源端口和目的端口互换。

4.根据权利要求1或3所述的基于TCP会话的网络流量监测方法，其特征在于，在TCP会话记录中进行哈希查找的过程为：将芯片所述IPFIX的存储空间分成n级存储空间，每一级所述存储空间选择一个不同的Hash算法多项式，组合后的哈希关键字经过每级存储空间的不同的哈希多项式，可以得到不同的哈希值，根据各级所述哈希值读出各级所述存储空间中记录的哈希关键字，如果报文组合的哈希关键字和一级存储空间中读出的哈希关键字一致，则表明该级存储空间对应的哈希值记录着报文的会话信息。

5.根据权利要求4所述的基于TCP会话的网络流量监测方法，其特征在于，更新所述TCP会话记录的过程为：芯片对入口和出口方向的TCP会话记录进行判断是否会话结束，若结束，则将所述TCP会话记录上报CPU，同时删除芯片IPFIX存储空间中的相关表项，若未结束，则将所述TCP会话记录相应的更新操作记录下来。

6.根据权利要求1所述的基于TCP会话的网络流量监测方法，其特征在于，芯片的IPFIX存储空间内，储存的每个会话记录的入口和出口方向统计在同一块所述IPFIX存储空间内。

7.根据权利要求1所述的基于TCP会话的网络流量监测方法，其特征在于，所述会话记录的入口和出口的信息分开统计后一起上报给CPU处理。

8.根据权利要求1所述的基于TCP会话的网络流量监测方法，其特征在于，判断是否要将更新后的会话记录或者插入的会话记录上报CPU进行处理的过程中，上报CPU的条件为当前会话已经结束，或会话持续的时间过长，或数据统计超过设定的阈值。

9.一种基于TCP会话的网络流量监测装置，其特征在于包括获取配置信息模块、选择哈希关键字模块、组合哈希关键字模块、会话记录查找模块、会话存在判断模块、更新会话记录模块、插入会话记录模块和上报处理模块，所述获取配置信息模块用于获取芯片端口上IPFIX配置信息；所述选择哈希关键字模块用于根据所述配置信息选择哈希关键字类型；所述组合哈希关键字模块用于结合报文的信息组合所述哈希关键字；所述会话记录查找模块用于根据组合后的所述哈希关键字在TCP会话记录中进行哈希查找；所述更新会话记录模块用于更新芯片的IPFIX存储空间中报文所在的TCP会话记录；所述插入会话记录模块用于在芯片相应的IPFIX存储空间中插入新的会话记录；所述上报处理模块用于将所述会话记录通过芯片中的存储器直接访问通道上报CPU进行处理。

10.一种基于权利要求1所述的网络流量实时监测方法的报文处理芯片，其特征在于包括入口方向处理模块、队列处理模块、出口方向处理模块和IPFIX处理模块，数据报文进入所述入口方向处理模块，经所述队列处理模块处理后，从所述出口方向处理模块送出，若所述报文入口和出口启用了IPFIX技术，则将携带的相关信息送入所述IPFIX处理模块进行处理。