| 发明名称 | 基于双超时网络报文的组流方法 | ||
| 摘要 | 一种基于双超时网络报文的组流方法,设置短超时和长超时,当报文到达测量器,从报文头中提取流信息,在网络流缓存中查找由所测量报文的网络流记录,如果找到所述的网络流记录,更新流结束标识,否则在网络流缓存中增加一条新的网络流记录,如果测量周期结束,则检查网络流缓存中的每条网络流,如果所检查网络流的流结束标识为1,则所检查短超时判断网络流结束,否则根据长超时判断网络流结束,本发明采用两个不同时间粒度的流超时机制,大大减少已经结束流在缓存中的存在性,并减少一个流被分割成多段而需要在缓存中进行多次输出流记录、生成新流记录等消耗系统资源的操作,同时又减少后台需要系统资源将多个被分割的短流合并成一个流。 | ||
| 申请公布号 | CN102437959A | 申请公布日期 | 2012.05.02 |
| 申请号 | CN201110428856.5 | 申请日期 | 2011.12.20 |
| 申请人 | 东南大学 | 发明人 | 程光 |
| 分类号 | H04L12/56(2006.01)I;H04L12/24(2006.01)I | 主分类号 | H04L12/56(2006.01)I |
| 代理机构 | 南京天翼专利代理有限责任公司 32112 | 代理人 | 汤志武 |
| 主权项 | 一种基于双超时网络报文的组流方法,其特征在于:步骤一、设置网络流记录,所述的网络流记录由源IP地址、宿IP地址、协议、源端口、宿端口、报文数、流结束标识以及最后一个报文到达时间构成,设置一个网络流缓存用于保存网络流记录,设置短超时st,长超时lt,st在10毫秒到1秒之间取值,lt在1秒到64秒之间取值,设置网络流记录检查周期T,检查周期T取值大于等于1秒,设置系统运行结束时间,测量测量器的本周期开始时间CT0,进入步骤二;步骤二、当一个报文到达测量器,测量器测量当前报文的到达时间,测量器从报文头中提取源IP地址、宿IP地址、协议、源端口、宿端口,如果所测量报文是TCP报文,报文的TCP标识是FIN或RST,则报文结束标识设置为1,否则设置报文结束标识为0,进入步骤三;步骤三、在网络流缓存中查找由所测量报文的源IP地址、宿IP地址、协议、源端口和宿端口构成五元组的网络流记录,如果找到所述的网络流记录,则将所述的网络流记录中的报文数增加1,更新流结束标识,设置网络流记录中最后一个报文到达时间为当前报文的到达时间,否则在网络流缓存中增加一条新的网络流记录,该新的网络流记录中的源IP地址、宿IP地址、协议、源端口和宿端口分别设置为所测量报文中提取的源IP地址、宿IP地址、协议、源端口和宿端口,新的网络流记录中的报文数设置为1,新的网络流记录中的流结束标识设置为报文结束标识,设置网络流记录中最后一个报文到达时间为所测量报文的到达时间,进入步骤四;步骤四、测量测量器的当前时间CT1,如果CT1‑CT0<T,回到步骤二测量下一个报文,否则进入步骤五;步骤五、检查网络流缓存中的每条网络流,如果所检查网络流的流结束标识为1,最后一个报文到达时间为t0,CT1‑t0>st,则所检查网络流结束,将所检查网络流记录输出,否则如果所检查网络流的流结束标识为0,CT1‑t0>lt,则所检查网络流结束,将所检查网络流记录输出,进入步骤六;步骤六、如果系统运行结束时间没有到达,设置CT0=CT1,回到步骤二进行下一个周期的测量,否则将网络流缓存中所有的网络流记录输出。 | ||
| 地址 | 210096 江苏省南京市四牌楼2号 | ||