本发明专利技术公开了一种数据包抽样统计的方法,包括步骤:预置各类数据包计数器;提取所接收数据包的关键字,从而获知该数据包的类型;对所述类型数据包的计数器值加1,并对最新的计数器值按照预置的抽样间隔取模;若计数器值取模结果为系统预置的抽样值,则对该数据包进行抽样统计。本发明专利技术对数据包进行按类抽样,针对每一类进行按包或按时间进行抽取,保证每类数据包能够被抽中,从而尽可能还原真实流量分布情况,降低抽样失真度。与上述方法相对应,本发明专利技术还提供一种数据包抽样统计的装置。
【技术实现步骤摘要】
本专利技术涉及通信系统流统计
,尤其涉及一种数据包抽样统计的 方法及装置。
技术介绍
随着互联网的高速发展,网络规模空前庞大,各种网络攻击也越来越多, 因此在网络设备上监控网络流量分布是十分有必要的,这为有针对性地阻止 网络攻击提供了必要的参考。为了对数据包进行统计,出现了很多基于流统计的技术,例如这些技 术都能统计一段时间内的数据包和字节数的情况,但是这些技术都是基于每 个数据包进行单独统计的,会消耗大量的CPU资源,另外,由于用于统计的 带宽资源的限制,所能统计的数据包也是有限的。为了降低CPU负担,同时 也为了统计更大范围的流量分布情况, 一般会采用抽样统计技术,这样既能 有效降低统计的数据流量,又能准确了解数据的流量分布情况。现有抽样统 计一般是基于网络设备的接口按照一定方式进行抽样的,抽样方式包括按包 抽样和按时间抽样两种。按包抽样又包括固定按包抽样和随机按包抽样,固 定按包抽样就是间隔固定数量的数据包进行抽样,例如,抽样间隔为4时, 是只每4个数据包抽取1个,随机按包抽样就是在一个抽样间隔内抽取的数 据包是随机的,例如,随机抽取第10、 100以及第1000数据包;按时间抽样 就是在抽样周期内进行抽样,例如,抽样周期0.5s内抽取1个数据包。对于流量分布的统计,主要关注数据流的分布情况,但是上述抽样统计 方式都是仅基于接口进行的,不能很好的区分各种数据包的流量分布。例如, 通常一个接口上同时并发的数据流非常大,数十万条数据流同时存在,多的 同时有上百万条或更多,这样容易出现大流淹没小流的情况,使得数据量小 的数据包很难被抽中,这会导致小流量数据包的统计与实际偏差较大,不能 4艮好体现实际的数据流分布情况,致使抽样失真
技术实现思路
有鉴于此,本专利技术在上述抽样统计方案的基础上,提供一种改进的数据 包抽样统计的方法和装置,以降低抽样失真度。为此,本专利技术采用如下技术方案一种数据包抽样统计的方法,包括步骤预置各类数据包计数器;提取 所接收数据包的关键字,从而获知该数据包的类型;对所述类型数据包的计 数器值加l,并对最新的计数器值按照预置的抽样间隔进行^#运算;若取模 结果为系统预置的抽样值,则对该数据包进行抽样统计。优选地,在预置计数器时,是按照IP五元组信息进行哈希运算所得到的 各哈希值区分每类数据包的;当接收到数据包后,从关键字中提取数据包IP 五元组,对提取的IP五元组进行所述哈希运算,利用该哈希值确定该数据包 类型。或者,在预置计数器时,是按照部分或全部IP五元组信息区分每类数据 包的;当接收到数据包后,从关键字中提取数据包IP五元组,利用部分或全 部IP五元组确定该数据包类型。一种数据包抽样统计的方法,包括预置计时器,并预置各类数据包抽 样标志,当计时器值为预置抽样周期整数倍时,将所述抽样标志置位;提取 接收的数据包的关键字,从而获知该数据包的类型;判断该类数据包抽样标 志是否置位,如果置位,则对该数据包进行抽样,同时将抽样标志复位。优选地,在预置抽样标志时,是按照IP五元组信息进行哈希运算所得到 的各哈希值区分每类数据包的;当接收到数据包后,从关键字中提取数据包 IP五元组,对提取的IP五元组进行所述哈希运算,利用该哈希值确定该数据 包类型。或者,在预置抽样标志时,是按照部分或全部IP五元组信息区分每类数 据包的;当接收到数据包后,从关键字中提取数据包IP五元组,利用部分或 全部IP五元组确定该数据包类型。一种婆:据包抽样统计的装置,包括用于接收彩:据包的接口单元、用于 解析所述数据包获取关键字的解析单元、用于保存抽样值的预置单元,以及,对数据包进行抽样统计的抽样统计单元,所述预置单元还保存抽样值;所述装置还包括索引表存储单元,用于存储各类数据包对应的计数器;匹配单 元,用于按照所述解析单元提取的关键字匹配所迷索引表,获知数据包对应 的计数器,并更新所述索引表对该计数器加1;取模单元,用于对最新的计数 器值按照预置的抽样间隔进行取模运算;判断单元,用于判断取模结果是否 为预置的抽样值,若是,指示所述抽样统计单元对数据包进行抽样统计。其中,所述索引表,是按照IP五元组信息进行哈希运算所得到的各哈希 值区分每类数据包的;所述匹配单元,从关键字中提取数据包IP五元组并进 行所述哈希运算,利用该哈希值匹配所述索引表,从而确定该数据包类型; 或者,所述索引表,是按照部分或全部IP五元组信息区分每类数据包的;所 述匹配单元,/人关键字中提取数据包IP五元组,并利用部分或全部IP五元组 匹配所述索引表,从而确定该数据包类型。一种数据包抽样统计的装置,包括计时器、用于接收数据包的接口模 块、用于解析所述数据包获取关键字的解析模块、用于保存抽样周期的预置 模块,以及,对数据包进行抽样统计的抽样统计模块,所述装置还包括索 引模块,用于存储各类数据包对应的抽样标志,并当计时器值为抽样周期整 数倍时,负责将抽样标志置位;匹配模块,用于按照所述解析模块提取的关 键字匹配所述索引模块,获知数据包对应的抽样标志;判断模块,如果抽样 标志置位,则指示所述抽样统计模块对该数据包进行抽样统计,同时指示所 述索引模块将抽样标志复位。其中,所述索引模块,是按照IP五元组信息进行哈希运算所得到的各哈 希值区分每类数据包的;所述匹配模块,从关键字中提取数据包IP五元组并 进行所述哈希运算,利用该哈希值匹配所述索引模块,从而确定该数据包类 型;或者,所述索引模块,是按照部分或全部IP五元组信息区分每类数据包 的;所述匹配模块,从关键字中提取数据包IP五元组,并利用部分或全部IP 五元组匹配所述索引模块,从而确定该数据包类型。对于上述技术方案的技术效果分析如下在现有抽样统计方案中,是按照全部数据包进行按包或按时间抽取,对 于小流量数据包,很容易淹没在大流量数据包中而难以被抽取,从而增加了抽样失真度,本专利技术对数据包进行按类抽样,针对每一类进行按包或^t姿时间 进行抽取,保证每类数据包能够被抽中,从而尽可能还原真实流量分布情况, 降低抽样失真度,为阻止网络攻击提供真实可靠的参考。其中,可以按照IP 五元组对数据包进行分类,优选地,利用IP五元组信息进行哈希运算值对数 据包分类,从而在不过多增加系统负担的情况下,实现抽样统计。附图说明图1为本专利技术方法流程图;图2为本专利技术方法按包抽样示意图; 图3为本专利技术方法按时间抽样示意图; 图4为本专利技术第一装置示意图; 图5为本专利技术第二装置示意图。具体实施方式本专利技术与现有技术简单基于接口进行数据包的抽样统计不同,对数据包 进行类别区分,保证从各类数据包都进行抽样统计,避免小流量的数据包淹 没在大流量数据包中,从而减小抽样失真度。本专利技术按类抽样的方法既可以 适用于按包抽样,也可以适用按时间抽样。首先,介绍按包抽样的方法。概括而言,本专利技术提供的按包抽样包括以下步骤预置各类数据包计数器;提取接收的数据包的关4定字,从而获知该数据包的类型;对所述数据包所属类型对应的计数器值加1,并对最新的计数器值按照预置的抽样间隔进行取模运算;若计数器值取模结果为系统预置的抽样值,则对该数据包进行抽样。 上面所述的数据包的关键字, 一般包括数据包的IP五元组,以及接收该数据包的接口信息和其他必要信息。如何对数据包本文档来自技高网...
【技术保护点】
一种数据包抽样统计的方法,其特征在于,包括:预置各类数据包计数器;提取所接收数据包的关键字,从而获知该数据包的类型;对所述类型数据包的计数器值加1,并对最新的计数器值按照预置的抽样间隔进行取模运算;若取模结果为系统预置的抽样值,则对该数据包进行抽样统计。
【技术特征摘要】
【专利技术属性】
技术研发人员:卢胜文,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。