一种NetFlow流量采集核对的方法技术

本申请涉及一种NetFlow流量采集核对的方法，包括以下步骤：(1)采集direction字段中的指定方向流量，提取Input_SNMP字段集合获取全部入接口并统计数量，提取Output_SNMP字段集合获得全部出接口并统计数量；(2)判断接口是否遗漏，若入接口数量＝出接口数量，则接口流量无遗漏，反之，若入接口数量≠出接口数量，则接口流量有遗漏；(3)计算每个接口的流入流量大小和流出流量大小；(4)判断接口方向，根据定义的规则判断流量是否遗漏。此外，本发明专利技术还公开了一种NetFlow流量采集核对的方法，只需要基于NetFlow自身特征即可完成接口流量核对，降低系统分析复杂度和维护工作量。降低系统分析复杂度和维护工作量。降低系统分析复杂度和维护工作量。

【技术实现步骤摘要】
一种NetFlow流量采集核对的方法


[0001]本专利技术涉及网络流量的
，尤其是涉及一种NetFlow流量采集核对的方法。

技术介绍

[0002]目前，电信级IP网网络流量流向分析、异常流量监测等业务，主要基于Netflow的采集分析技术为主，如中国电信、中国移动、中国联通等电信IP网络运营商均部署了基于Netflow的流量采集分析产品。
[0003]NetFlow流是指两个终端间数据包的单向序列。属于同一个流的IP包具有7个相同的关键属性：源IP地址，目的IP地址，源接口号，目标接口号，协议类型，TOS字节，逻辑接口。Netflow技术通过分析上述7个属性，实现快速区分网络中的不同数据流量，并且对每个数据流进行单独的跟踪和计算。
[0004]但是在实际工作中可能存在一些人为因素或客观因素导致采集流量与真实流量存在差异，例如因为路由器接口数量众多造成逻辑接口(以下简称接口)配置错误(例如接口流量采集功能未使能)、网络链路拥塞造成NetFlow发送丢包等。
[0005]针对以上问题，现有方案通常是采集SNMP流量并以SNMP流量为基准纠正NetFlow数据不准的问题。在专利CN116094964A中通过对比同一个接口的SNMP流速和NetFlow流速以验证设备的接口级NetFlow是否正确。在专利CN115941423A中分别通过SNMP和NetFlow协议采集路由器的接口描述信息及流量信息，并以SNMP信息为基准数据分析NetFlow统计存在的错误和纠错方法。在专利CN114244732A中分别通过采集NetFlow接入接口流量数据和电路流量数据(通过SNMP采集)并将采集到的NetFlow接入接口流量数据和电路流量数据进行比对，判断NetFlow接入接口流量是否异常。

技术实现思路

[0006]针对上述问题，本申请提供一种NetFlow流量采集核对的方法。
[0007]本申请提供一种NetFlow流量采集核对的方法，采用如下的技术方案：包括以下步骤：(1)采集direction字段中的指定方向流量，提取Input_SNMP字段集合获取全部入接口并统计数量，提取Output_SNMP字段集合获得全部出接口并统计数量；
[0008](2)判断接口是否遗漏，若入接口数量＝出接口数量，则接口流量无遗漏；若入接口数量≠出接口数量，则接口流量有遗漏；
[0009](3)计算每个接口的流入流量大小和流出流量大小；
[0010](4)判断接口方向，根据定义的规则判断流量是否遗漏。
[0011]进一步地，若入接口数量<出接口数量，则入接口流量有遗漏；若出接口数量<入接口数量，则出接口流量有遗漏。
[0012]进一步地，接口的流入流量大小或流出流量大小为流入或流出该接口的每一条流的MUL_DST_BYTES字段值之和。
[0013]进一步地，基于source ID和数据流七元组的组合标记不同的数据流，在此基础
上，判断sequence数值是否逐1递增，若sequence递增值大于1，则记录有丢包。
[0014]进一步地，采集入方向流量，分别计算每个入接口的真实入流量大小和推测出流量大小。
[0015]进一步地，若入接口流入流量>0且预测流出流量>0，则该接口为双向接口，不存在流量遗漏；若入接口流入流量＝0且预测流出流量>0，则该接口为出接口，并且该接口遗漏入方向流量。
[0016]进一步地，采集出方向流量，分别计算每个出接口的真实出流量大小和推测入流量大小。
[0017]进一步地，若出接口流出流量大小>0且推测流入流量大小>0，则该接口为双向接口，不存在流量遗漏；若出接口流出流量大小＝0且推测流入流量大小>0，则该接口为入接口，并且该接口遗漏出方向流量。
[0018]综上所述，本申请包括以下有益技术效果：
[0019]本专利技术是一种基于NetFlow自身特征的NetFlow流量采集核对方法，与基于SNMP和NetFlow的双数据源分析方式来检查NetFlow流量采集是否准确的传统方式不同，本方案一方面能够核对流量采集时是否存在接口流量遗漏，另一方面能够核对NetFlow采集过程是否存在丢包。
附图说明
[0020]图1是接口流量示意图；
[0021]图2是流a～i的出入接口号、流量大小、流量方向表示图；
[0022]图3是NetFlow数据包格式图。
具体实施方式
[0023]一种NetFlow流量采集核对的方法，具体实施方式如下：
[0024](1)采集入方向流量
[0025]1、计算入接口数量
[0026]采集direction字段为ingress的入方向流a～i，提取Input_SNMP字段集合获取全部入接口，统计全部入接口数量。针对表1示例中，入接口数量为3。
[0027]2、计算出接口数量
[0028]基于以上采集流量，提取Output_SNMP字段集合获取全部出接口，统计全部出接口数量。针对表1示例中，出接口数量为3。
[0029]3、判断入接口是否遗漏
[0030]若入接口数量＝出接口数量，则入接口流量无遗漏；若入接口数量<出接口数量，则入接口流量有遗漏。
[0031]4、计算每个接口的真实入流量
[0032]分别计算每个入接口流入流量大小。针对表1示例中，接口1的真实入流量为流a、b、c的MUL_DST_BYTES字段值之和。接口2、3以此类推。
[0033]5、计算每个接口的推测出流量
[0034]分别计算每个入接口推测流出流量的大小。针对表1示例中，接口1的推测出流量
为流a、d、g的MUL_DST_BYTES字段值之和。接口2、3以此类推。
[0035]6、判断接口方向
[0036]若真实入流量>0且推测出流量>0，则该接口为双向接口；
[0037]若真实入流量＝0且推测出流量>0，则该接口为出接口。
[0038]实际中每个接口流量都是有进有出的，不存在流量只从某些接口流出而不从另一些接口流出的情况。真实入流量＝0可能是因为该接口漏采，因此推测出流量总是>0的。
[0039]通过以上判断，方向为非双向接口的即存在流量遗漏，方向为出接口的即遗漏入方向流量。根据以上分析结果即可针对性核查遗漏的接口。如果是采集出流量，出接口漏采，那这个非双向接口就是入接口。
[0040](2)采集出方向流量
[0041]1、计算出接口数量
[0042]采集direction字段为egress的出方向流a～i，提取Onput_SNMP字段集合获取全部出接口，统计全部出接口数量。针对表1示例中，出接口数量为3。
[0043]2本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种NetFlow流量采集核对的方法，其特征在于，包括以下步骤：(1)采集direction字段中的指定方向流量，提取Input_SNMP字段集合获取全部入接口并统计数量，提取Output_SNMP字段集合获得全部出接口并统计数量；(2)判断接口是否遗漏，若入接口数量＝出接口数量，则接口流量无遗漏；若入接口数量≠出接口数量，则接口流量有遗漏；(3)计算每个接口的流入流量大小和流出流量大小；(4)判断接口方向，根据定义的规则判断流量是否遗漏。2.根据权利要求1所述的NetFlow流量采集核对的方法，其特征在于：若入接口数量<出接口数量，则入接口流量有遗漏；若出接口数量<入接口数量，则出接口流量有遗漏。3.根据权利要求1所述的NetFlow流量采集核对的方法，其特征在于：接口的流入流量大小或流出流量大小为流入或流出该接口的每一条流的MUL_DST_BYTES字段值之和。4.根据权利要求1所述的NetFlow流量采集核对的方法，其特征在于：基于sourceID和数据流七元组的组合标记不同的数据流，在此...

【专利技术属性】
技术研发人员：张慧丽，吴兴利，汪勇，
申请(专利权)人：江苏省未来网络创新研究院，
类型：发明
国别省市：