本發(fā)明涉及數(shù)據(jù)中心運維領(lǐng)域，特別涉及數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析方法及系統(tǒng)。
背景技術(shù)：
：數(shù)據(jù)中心運維中，當出口設(shè)備的流量發(fā)生異常的時候，由于數(shù)據(jù)中心設(shè)備多，而且網(wǎng)絡(luò)通信復(fù)雜，即使運維人員使用流量監(jiān)控軟件(如cacti)，也很難定位出造成異常的根因設(shè)備出在何處。因此，能自動準確定位出造成流量異常的根因設(shè)備對提升運維效率有很大的價值。目前，確定數(shù)據(jù)中心網(wǎng)絡(luò)中的根因設(shè)備的方法主要為人工分析，即管理員根據(jù)流量監(jiān)控軟件觀測網(wǎng)絡(luò)中各設(shè)備的流量信息，通過對比出口設(shè)備流量波形與其他設(shè)備的流量波形，來確定產(chǎn)生流量異常的根因設(shè)備。但由于數(shù)據(jù)中心的設(shè)備通常比較多，如果采用人工比較，效率低，且準確率也比較低。技術(shù)實現(xiàn)要素：本發(fā)明實施例提供網(wǎng)絡(luò)異常流量分析方法及系統(tǒng)，提高數(shù)據(jù)中心運維效率及準確率。本發(fā)明實施例的第一方面提供一種網(wǎng)絡(luò)異常流量分析方法，所述網(wǎng)絡(luò)包括互相連接的多個設(shè)備，每個設(shè)備均具有至少一個端口，并通過所述端口互相連接，所述方法包括：采集指定設(shè)備的指定端口的流量，偵測所述指定端口是否出現(xiàn)流量異常；在偵測到所述指定端口出現(xiàn)流量異常時，獲取所述指定端口的包含出現(xiàn)流量異常時刻的預(yù)設(shè)時間段的流量數(shù)據(jù)，將所述指定設(shè)備作為當前設(shè)備；所述當前設(shè)備執(zhí)行根因設(shè)備查找過程，所述根因設(shè)備查找過程包括：計算所述當前設(shè)備的下級設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)與所述指定端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度；比較每個下級設(shè)備端口對應(yīng)的相似度與一預(yù)設(shè)閾值；在所述下級設(shè)備的端口對應(yīng)的相似度大于所述預(yù)設(shè)閾值時，若所述下級設(shè)備為根設(shè)備，則確定所述下級設(shè)備為產(chǎn)生流量異常的根因設(shè)備，若所述下級設(shè)備不是根設(shè)備，則將所述下級設(shè)備作為當前設(shè)備，所述當前設(shè)備繼續(xù)執(zhí)行所述根因設(shè)備查找過程。本發(fā)明實施例的第二方面提供一種網(wǎng)絡(luò)異常流量分析系統(tǒng)，所述系統(tǒng)包括：流量異常監(jiān)測模塊，采集指定設(shè)備的指定端口的流量，偵測所述指定端口是否出現(xiàn)流量異常；根因設(shè)備分析模塊，在偵測到所述指定端口出現(xiàn)流量異常時，獲取所述指定端口的包含出現(xiàn)流量異常時刻的預(yù)設(shè)時間段的流量數(shù)據(jù)，將所述指定設(shè)備作為當前設(shè)備，對所述當前設(shè)備執(zhí)行根因設(shè)備查找過程，所述根因設(shè)備查找過程包括：計算所述當前設(shè)備的下級設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)與所述指定端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度；比較每個下級設(shè)備端口對應(yīng)的相似度與一預(yù)設(shè)閾值；在所述下級設(shè)備的端口對應(yīng)的相似度大于所述預(yù)設(shè)閾值時，若所述下級設(shè)備為根設(shè)備，則確定所述下級設(shè)備為產(chǎn)生流量異常的根因設(shè)備，若所述下級設(shè)備不是根設(shè)備，則將所述下級設(shè)備作為當前設(shè)備，繼續(xù)對所述當前設(shè)備執(zhí)行所述根因設(shè)備查找過程?？梢姳景l(fā)明實施例提供的數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析系統(tǒng)及方法，在偵測到指定設(shè)備的指定端口出現(xiàn)流量異常后，通過將偵測到的指定設(shè)備的指定端口的流量數(shù)據(jù)逐級與下級設(shè)備的上行端口的流量數(shù)據(jù)進行相似度的比較，從而快速準確的確定出產(chǎn)生流量異常的根因設(shè)備。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)的示意圖。圖2為本發(fā)明實施例一提供的一種對數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析的方法的流程圖。圖3為本發(fā)明實施例二提供的一種對數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析的系統(tǒng)的方塊圖。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)是數(shù)據(jù)中心的核心，它將大量服務(wù)器使用交換機和路由器等網(wǎng)絡(luò)設(shè)備連接起來，組織成具有高帶寬、高可用性、高可靠性以及負載均衡的服務(wù)器網(wǎng)絡(luò)，對外提供計算、存儲等服務(wù)。如圖1所示，是數(shù)據(jù)中心100的一種網(wǎng)絡(luò)結(jié)構(gòu)的示意圖。頂層交換機101作為出口交換機對外提供計算及存儲服務(wù)。所述數(shù)據(jù)中心100的網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)需要連接的服務(wù)器的數(shù)量分為多級，例如，在圖1中，頂層交換機101通過一級交換機102及二級交換機103與服務(wù)器104連接。網(wǎng)絡(luò)結(jié)構(gòu)的拓撲可以根據(jù)實際應(yīng)用中的具體的需求進行設(shè)置。網(wǎng)絡(luò)中的每個交換機都包括上行端口及下行端口，上行端口用于連接網(wǎng)絡(luò)中的上級設(shè)備，下行端口用于連接網(wǎng)絡(luò)中的下級設(shè)備。例如，在圖1中，一級交換機102的上行端口(圖中未示)為與頂層交換機101連接的端口，一級交換機102的下行端口(圖中未示)為與二級交換機103連接的端口。在數(shù)據(jù)中心運作過程中，如果有服務(wù)器104被黑客攻擊，則服務(wù)器104的流量即會在瞬間增大，由于網(wǎng)絡(luò)的級聯(lián)關(guān)系，服務(wù)器104的流量會經(jīng)過二級交換機103及一級交換機102傳到頂層交換機101，則若對頂層交換機101的一指定端口的流量進行監(jiān)測，若監(jiān)測到所述指定端口的流量出現(xiàn)異常，即大于一流量閾值，則需要確定產(chǎn)生流量異常的根因設(shè)備，分析流量異常的原因，從而減少因黑客攻擊造成的影響。在實際應(yīng)用中，也可以根據(jù)需要指定網(wǎng)絡(luò)中的任意一個 設(shè)備的任意一個端口，并對所指定的端口的流量進行監(jiān)測，確定是否發(fā)生異常。本發(fā)明的技術(shù)方案為快速查找數(shù)據(jù)中心中產(chǎn)生流量異常的服務(wù)器，即根因設(shè)備。下面分別通過不同實施例從不同方面對本發(fā)明的技術(shù)方案進行說明。實施例一實施例一提供一種對數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析的方法。該方法由用戶指定的作為監(jiān)測設(shè)備的服務(wù)器來執(zhí)行，作為監(jiān)測設(shè)備的服務(wù)器與網(wǎng)絡(luò)中的所有設(shè)備通過網(wǎng)絡(luò)連通，可以監(jiān)測到每個設(shè)備的狀態(tài)。圖2所示為對數(shù)據(jù)中心網(wǎng)絡(luò)異常流量分析的方法的流程圖。步驟S201，采集指定設(shè)備的指定端口的流量，同時采集與所述指定設(shè)備相連的下級設(shè)備的上行端口的流量，偵測所述指定端口是否出現(xiàn)流量異常。所述指定設(shè)備一般為頂層交換機101，但也可以為數(shù)據(jù)中心網(wǎng)絡(luò)中任意一臺設(shè)備，具體由用戶預(yù)先指定，所述指定端口也為用戶根據(jù)實際需要所指定的指定設(shè)備中的一個端口。步驟S202，判斷所述指定設(shè)備的指定端口是否出現(xiàn)流量異常，當沒有出現(xiàn)流量異常時，返回步驟S201；如果出現(xiàn)流量流量異常，則執(zhí)行步驟S203。判斷是否出現(xiàn)流量異常的方式為將監(jiān)測到的指定端口的流量與一流量閾值比較，若監(jiān)測到的流量數(shù)據(jù)大于流量閾值，即可確定所述指定端口出現(xiàn)流量異常。步驟S203，判斷所述指定設(shè)備是否包含下級設(shè)備，若包含則執(zhí)行步驟S205，若不包含則執(zhí)行步驟S204。本實施例中，可通過網(wǎng)絡(luò)結(jié)構(gòu)的拓撲表確定指定設(shè)備是否包含下級設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)的拓撲表記錄了所述數(shù)據(jù)中心的網(wǎng)絡(luò)中各個設(shè)備之間的連接關(guān)系。步驟S204，確定所述指定設(shè)備為根因設(shè)備。這種情況下，所述指定設(shè)備為服務(wù)器。一般情況下，不需要對服務(wù)器進行根因設(shè)備的分析，所以其他實施例中，步驟S203和S204也可以省略。即步驟S202執(zhí)行完畢后，可直接執(zhí)行步驟S205。步驟S205，獲取所述指定端口在一預(yù)設(shè)時間段的流量數(shù)據(jù)，所述預(yù)設(shè)時 間段包含產(chǎn)生流量異常的時刻，將所述指定設(shè)備作為當前設(shè)備。在步驟S201采集各端口的流量時，一般每隔一段時間采集一次，比如0.2s，則所述流量數(shù)據(jù)即為每次采集的時間對應(yīng)的流量的集合，本實施例中，所述流量的集合以流量波形圖的形式表示。所述預(yù)設(shè)時間段長度可根據(jù)具體情況進行設(shè)定，一般取流量異常產(chǎn)生時刻之前的某一時刻到流量異常產(chǎn)生時刻之后的某一時刻。步驟S206，計算當前設(shè)備的每個下級設(shè)備的與當前設(shè)備相連的上行端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)與所述指定端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度。本實施例中，所述流量數(shù)據(jù)以波形圖的形式表示，所以對相似度的計算為對流量數(shù)據(jù)波形的相似度的計算。所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度的計算公式為：CORR＝A0*R0A0=1Q1≥0.5A0=0Q1<0.5]]>(公式1)其中CORR為相似度，R0為波形的皮爾斯相關(guān)系數(shù)，表征波形相似程度，具體計算公式為：R0=1n-1Σi=1n(Xi-X‾σX)(Yi-Y‾σY)]]>其中，n為所述預(yù)設(shè)時間段內(nèi)的采集點的數(shù)量，Xi為所述當前設(shè)備的下級設(shè)備的連接所述當前設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)的第i個采集點的流量，Yi為所述指定端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)第i個采集點的流量，為所述當前設(shè)備的下級設(shè)備的連接所述當前設(shè)備的上行端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)n個采樣點的流量的平均值，為所述指定端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)n個采樣點的流量的平均值，σx為所述當前設(shè)備的下級設(shè)備的連接所述當前設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)的波形的方差，σy為指定設(shè)備的指定端口在所述預(yù)設(shè)時間段內(nèi)的波形的方差。由于R0只能對波形的形狀的相似度進行表征，但實際上，由于指定設(shè)備 一般會連接多級下級設(shè)備，多級下級設(shè)備的流量會匯聚到指定設(shè)備，所以所述指定設(shè)備的指定端口的流量會大于下級設(shè)備的流量，如果下級設(shè)備出現(xiàn)異常，則所述下級設(shè)備連接上級設(shè)備的上行端口的流量必然會遠遠大于其他下級設(shè)備的上行端口輸出的流量，即下級設(shè)備連接上級設(shè)備的上行端口的流量占用指定設(shè)備的指定端口的流量大部分，本實施例中，進一步通過計算所述當前設(shè)備的下級設(shè)備的連接所述當前設(shè)備的上行端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)n個采樣點的流量的平均值與所述指定端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)n個采樣點的流量的平均值的比值來確定兩個流量數(shù)據(jù)波形是否相似，即：Q1=X‾Y‾,X‾=Σi=1nXinY‾=Σj=1nYjn]]>如果Q1≥0.5，則取A0等于1，即表示所述下級設(shè)備可能為根因設(shè)備或者所述下級設(shè)備所連接的下級設(shè)備中可能包括根因設(shè)備，如果Q1＜0.5，則取A0等于0，則表示所述下級設(shè)備不可能為根因設(shè)備或者所述下級設(shè)備所連接的下級設(shè)備中不可能包括根因設(shè)備，則對其淘汰，不再進行下一步的計算，如此，可減少計算的數(shù)據(jù)量，提高計算效率?？商鎿Q地，所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度的計算公式也可以為：CORR＝A0*R0+A1*R1A0=1Q1≥0.5A0=0Q1<0.5A1=10.5≤Q2≤1.5A1=0other]]>R0=1n-1Σi=1n(Xi-X‾σX)(Yi-Y‾σY)]]>R1=1n-11Q2Σi=n-20Xn-i-Xn-i-1Yn-i-Yn-i-1]]>Q1=X‾Y‾]]>Q2=max(X)-min(X)max(Y)-min(Y)]]>其中，R1表征流量數(shù)據(jù)的波形的變化趨勢，即所述當前設(shè)備的下級設(shè)備的連接所述當前設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)兩個相鄰采集點的流量數(shù)據(jù)的差值與所述指定端口對應(yīng)的所述預(yù)設(shè)時間段內(nèi)的兩個相鄰采樣點的差值1Q2]]>的比值和的平均值再乘以系數(shù)，可進一步作為判斷兩個波形相似的參數(shù)。在Q2表示兩個波形的變化幅度的比值，在計算公式中，max(X)為所述當前設(shè)備的下級設(shè)備的上行端口在預(yù)設(shè)時間段內(nèi)最大的流量值，min(X)為所述當前設(shè)備的下級設(shè)備的上行端口在所述預(yù)設(shè)時間段內(nèi)最小的流量值，max(Y)為所述指定端口在所述預(yù)設(shè)時間段內(nèi)最大的流量值，min(X)為所述指定端口在所述預(yù)設(shè)時間段內(nèi)最小的流量值。如果Q2在一預(yù)設(shè)范圍內(nèi),如05～1.5，則表示兩個波形的幅度比較接近，則另A1＝1，使R1可作為判斷波形相似的參數(shù)，如果Q2在不在預(yù)設(shè)范圍內(nèi)，則表示兩個波形的幅度差別比較大，則不可能相似，則令A(yù)1＝1，則舍棄R1，不讓R1作為判斷波形相似的參數(shù)。如此可減少計算的數(shù)據(jù)量，提高計算速度。另外，通過兩個參數(shù)R0和R1的綜合判斷計算兩個波形的相似度，提高了計算的準確率。步驟S206，比較所計算的每個下級設(shè)備對應(yīng)的流量數(shù)據(jù)相似度與一預(yù)設(shè)閾值。步驟S207，確定流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備。在本實施例中，可能存在多個與流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備，則可將確定確定的流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備存儲在一個表中，對表中的每個設(shè)備一一進行分析。步驟S208，判斷流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備是否包含下級設(shè)備，若包含，則執(zhí)行步驟S209，若不包含，則執(zhí)行步驟S210。步驟S209，將所述下級設(shè)備作為當前設(shè)備，然后返回步驟S206，如此實現(xiàn)循環(huán)，通過遞歸算法查找到網(wǎng)絡(luò)中最底層的設(shè)備，即服務(wù)器。步驟S210，確定所述下級設(shè)備為產(chǎn)生流量異常的根因設(shè)備。步驟S211，輸出根因設(shè)備。通過以上方法，即可快速準確的確定數(shù)據(jù)中心網(wǎng)絡(luò)中產(chǎn)生流量異常的設(shè)備，從而可以盡快分析出產(chǎn)生流量異常的原因，保證了數(shù)據(jù)中心的安全。步驟S206到210為對當前設(shè)備執(zhí)行根因設(shè)備查找的過程，量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備是否包含下級設(shè)備時，可重復(fù)執(zhí)行所述根因設(shè)備查找的過程，直到找到根因設(shè)備。實施例二，提供一種網(wǎng)絡(luò)異常流量分析系統(tǒng)。如圖3所示，為所述網(wǎng)絡(luò)異常流量分析系統(tǒng)300的方塊圖。所述網(wǎng)絡(luò)異常流量分析系統(tǒng)包括流量異常監(jiān)測模塊301、根因設(shè)備分析模塊302、及根因設(shè)備顯示模塊303。所述流量異常監(jiān)測模塊301用于采集指定設(shè)備的指定端口的流量，同時采集所述指定設(shè)備的下級設(shè)備的上行端口的流量，監(jiān)測所述指定端口是否出現(xiàn)流量異常。所述根因設(shè)備分析模塊302用于在偵測到所述指定端口出現(xiàn)流量異常時，獲取所述指定端口的包含出現(xiàn)流量異常時刻的一預(yù)設(shè)時間段的流量數(shù)據(jù)，將所述指定設(shè)備作為當前設(shè)備，對所述當前設(shè)備執(zhí)行根因設(shè)備查找過程，所述根因設(shè)備查找過程，所述根因查找過程包括：計算當前設(shè)備的每個下級設(shè)備的與當前設(shè)備相連的上行端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)與所述指定端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度；比較所計算的每個下級設(shè)備對應(yīng)的流量數(shù)據(jù)相似度與一預(yù)設(shè)閾值；確定流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備；判斷流量數(shù)據(jù)相似度大于所述預(yù)設(shè)閾值的下級設(shè)備是否包含下級設(shè)備，若包含，則將所述下級設(shè)備作為當前設(shè)備，對所述當前設(shè)備執(zhí)行所述根因查找過程。若不包含，則確定所述下級設(shè)備為產(chǎn)生流量異常的根因設(shè)備。所述根因設(shè)備顯示模塊303用于將找到的根因設(shè)備顯示給用戶。其中，所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)為采集各端口的流量時，各采樣點對應(yīng)的流量構(gòu)成的流量波形圖。當前設(shè)備的每個下級設(shè)備的與當前設(shè)備相連的上行端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)與所述指定端口在所述預(yù)設(shè)時間段內(nèi)的流量數(shù)據(jù)的相似度的計算方法與實施例一中的相同，在此不再贅述。本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成，所述程序可以存儲于一計算機可讀存儲介質(zhì)中，存儲介質(zhì)可以包括：ROM、RAM、磁盤或光盤等。以上對本發(fā)明實施例所提供的數(shù)據(jù)備份裝置及方法進行了詳細介紹，本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。當前第1頁1 2 3