[发明专利]一种自适应的网络旁路路径网流方向推测方法及系统

说明书

本发明实施例提供一种自适应的网络旁路路径网流方向推测方法及系统。该方法包括：获取网包、网流列表和服务端得分表；通过标签特征对服务端口进行赋值，得到服务端口赋值；在所述网流列表中查询所述网包的五元组，若所述网包的五元组与所述网流列表中的任一元素对应的五元组相等，则判定所述网包与所述任一元素匹配；根据所述服务端口赋值，结合所述服务端得分表获取所述网包对应的服务端口类型。本发明实施例通过将网络中的网包与网流进行匹配，并建立服务端得分表，对服务端口得分进行赋值，结合服务端口得分表进行打分来判断服务端口的类型，能容忍镜像路径中的时延、丢包，无需利用常用服务端口号列表，无需手工指定服务端IP‑端口号列表。

技术领域

本发明涉及网络性能监控技术领域，尤其涉及一种自适应的网络旁路路径网流方向推测方法及系统。

背景技术

在网络运行中，大量使用流量采集分析工具，流量采集分析的目标是对网络和应用运行状况进行监控，对网流方向(客户端、服务端)的精确定位是流量分析准确的前提。但是，在镜像路径上由于链路负载均衡、镜像链路时延、镜像端口队列缓冲、镜像路径丢包等原因，网流的方向并不能简单确定。

现有的网流方向推测方法通常分为三类：1、依据网包被采集设备接收到的时间，以网流中第一个包的源IP作为客户端，目的IP作为服务端；2、依据常见服务端端口号列表，若五元组中某一侧端口号为常见端口号，则认为它是服务端；3、依据手工录入服务端IP-端口号列表确定网流方向。

而现有的方案通常使用网流中第一个包的方向作为网流客户端、服务端的方向，这种方法对于防火墙等串联设备是适用的，但对于流量分析设备等旁路并联设备通常不适用，这是因为在旁路镜像路径中，同一个网流的双方向网包被流量分型设备接收到的顺序可能是任意的，而且网流的首包可能在镜像路径中丢失。具体而言，当流量采集点包含多个互为负载均衡的链路时，对这些链路的流量进行独立的分光或镜像操作，不同链路中的流量到达流量分析设备的顺序可能由于时延、丢包导致乱序。为了弥补这种方案的不足，通常会考虑使用常见服务端口好列表对网流的方向进行矫正。但是这样的列表仅能覆盖6万个端口号中不足10％的部分，而且这些端口号也仅仅只是常见服务在IANA注册的默认端口。一方面这些服务的端口号一般都可以由用户根据自身的需求修改，另一方面对于用户自身开发的服务并不会使用这类列表中的端口。实际上，这个列表甚至能在部分场景下使得永远给出错误的网流方向，例如如果用户在实际业务中使用源端口号12001(IANA登记为IBMEnterprise Extender SNA COS Network Priority)访问了某个使用端口号30000(IANA未登记)的私有服务，此时网流的方向总会被错误地反向。为了弥补上述两种方案的不足，通常会通过手工录入服务端IP-端口号的方法对推测结果进行矫正，但这样的录入无法保证随着业务的变更自动更新。

发明内容

本发明实施例提供一种自适应的网络旁路路径网流方向推测方法及系统，用以解决现有技术中仅适用于对串联设备进行包监测来确定网流的方向，不适用于旁路并联设备网流方向确定的缺陷。

第一方面，本发明实施例提供一种自适应的网络旁路路径网流方向推测方法，包括：

获取网包、网流列表和服务端得分表；

通过标签特征对服务端口进行赋值，得到服务端口赋值；

在所述网流列表中查询所述网包的五元组，若所述网包的五元组与所述网流列表中的任一元素对应的五元组相等，则判定所述网包与所述任一元素匹配；

根据所述服务端口赋值，结合所述服务端得分表获取所述网包对应的服务端口类型。

优选地，所述方法还包括：

若所述网包的五元组与所述网流列表中的任一元素对应的五元组不相等，则判定所述网包与所述任一元素不匹配；

对所述服务端得分表进行更新；