一种基于电网采集终端的流量分片处理方法

技术领域

本发明涉及流量分析技术领域，具体为一种基于电网采集终端的流量分片处理方法。

背景技术

市场上的流量分析系统，在遇到大的流量是以时间或保存流量大小进行切割，从而提高网络流量的分析处理速度。

参照现有公开号为CN103546343B的中国专利，其公开了网络流量分析系统的网络流量展示方法和系统，其中方法包括步骤：获取各网络流量分析系统的分析数据，将同一分析数据在不同网络流量分析系统中的不同标识转换为同一标识，生成各网络流量分析系统的映射文件；获取待转换网络流量分析系统中的设备型号数据；根据所述获取的设备型号数据和预存的型号数据列表判断数据采集方式；根据所述采集方式获取待转换网络流量分析系统中的分析数据，并根据所述设备型号数据、所述采集方式和所述映射文件将所述待转换网络流量分析系统中的分析数据进行协议转换，获得转换分析数据；将所述转换分析数据进行展示。

上述的专利通过本发明实现了同时展示不同系统输出的分析数据，但是其依旧存在着一些缺点，如：当需要流量回溯取证时，需要查找大量的文件。同时无法分布式部署儿提高处理能力。流量处理能力的上限却决于单台设备的硬件性能。

发明内容

本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊，而这种简化或省略不能用于限制本发明的范围。

鉴于上述存在的问题，提出了本发明。

因此，本发明解决的技术问题是：现有的流量分析方法存在流量处理能力受硬件性能限制影响大，大流量数据处理和查找速度慢，以及如何提高处理能力的优化问题。

为解决上述技术问题，本发明提供如下技术方案：一种基于电网采集终端的流量分片处理方法，包括：

使用一台流量采集服务器进行统一的流量采集接入；

在全量的网络流量镜像到流量采集服务器之后，流量采集服务器根据规则进行地址解析匹配；

按照地区将捕获的流量发往不同的处理服务器进行处理和保存。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述流量采集使用自定义的TCP传输控制协议进行，所述自定义的TCP传输控制协议中存有终端的位置信息字段。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述TCP传输控制协议通过确认机制保证信息的成功发送。

发送方对通过TCP协议传输的数据进行编号，流量采集服务器通过编号进行确认并返回确认接收信息，定义为一次发送；

若发送方在600ms内没有收到确认接收信息则重新发送一次信息，定义为二次发送；

若发送方在600×2ms内没有收到确认接收信息则再次重新发送一次信息；

信息发送次数小于等于5次，每次发送间隔进行倍数递增；

当信息发送5次后任未得到确认，则认为传输故障，不再进行信息发送，进行告警显示。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述地址解析规则包括：地址域、数据格式、字节数三层，其中所述地址域为省地市区县码A1，数据格式为BCD，字节数为3。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述省地市区县码按国家规定标准执行，当此通信的最终发起端和接收端为终端时，省地市区县码表示终端所属的省份、地市以及区县，所述A1的高字节表示省份、中间字节表示地市码、低字节表示区县码，并按照低字节在前，高字节在后的顺序传输。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述按照地区将捕获的流量发往不同的处理服务器是由路由程序进行的。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述路由到不同的处理服务器进行处理包括：

由所述处理服务器根据所述TCP协议中的采集地址或主站服务器地址进行进一步分类，所述分类规则包括地址域、数据格式、字节数三层；

所述采集地址地址域为终端地址A2，数据格式为BIN，字节数为1；

所述主站服务器地址域为主站地址A3，所述数据格式为BIN，所述字节数为3。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述终端地址A2选址范围为1-16777216，A2＝000000H为无效地址，A2＝FFFFFFH时表示系统广播地址，按照低字节在前，高字节在后的顺序传输。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述主站地址A3的D0-D7组成0-255个主站地址MSA，所述A3支持应用系统采用网络通道与终端交换数据时有多个主站进行操作的情况。

作为本发明所述的基于电网采集终端的流量分片处理方法的一种优选方案，其中：所述主站启动的发送帧的MSA应为非零值，终端响应帧的MSA应与主站发送帧的MSA相同，所述终端启动发送帧的MSA应为零，主站响应帧的MSA也应为零。

本发明的有益效果：本发明提供的基于电网采集终端的流量分片处理方法根据电网采集终端返回的流量报文中包含地区信息，将采集的流量按照地区进行分片存储，以提高网络流量处理能力，同时在网络流量大的情境下，可以形成分布式系统，增加网络流量处理服务器，以满足业务的需要，在以大流量的业务下，也可通过扩容处理服务器，提高处理速度，满足业务需求，极大的提高电网采集终端大流量业务场景下的的分析速率。同时按照多维度进行分片保存处理网络流量，便于后续的回溯查找，分布式的架构方式也减少了硬件故障造成的业务影响面。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。其中：

图1为本发明第一个实施例提供的一种基于电网采集终端的流量分片处理方法的整体流程图；

图2为本发明第二个实施例提供的一种基于电网采集终端的流量分片处理方法中流量采集和分片处理示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合说明书附图对本发明的具体实施方式做详细的说明，显然所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明的保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

其次，此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例，也不是单独的或选择性的与其他实施例互相排斥的实施例。

本发明结合示意图进行详细描述，在详述本发明实施例时，为便于说明，表示器件结构的剖面图会不依一般比例作局部放大，而且所述示意图只是示例，其在此不应限制本发明保护的范围。此外，在实际制作中应包含长度、宽度及深度的三维空间尺寸。

同时在本发明的描述中，需要说明的是，术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一、第二或第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本发明中除非另有明确的规定和限定，术语“安装、相连、连接”应做广义理解，例如：可以是固定连接、可拆卸连接或一体式连接；同样可以是机械连接、电连接或直接连接，也可以通过中间媒介间接相连，也可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

参照图1，为本发明的一个实施例，提供了一种基于电网采集终端的流量分片处理方法，包括：

S1：使用一台流量采集服务器进行统一的流量采集接入；

更进一步的，流量采集使用自定义的TCP传输协议进行，在电网采集规约的自定义TCP协议字段中，存有终端的位置信息字段。

需要说明的是，TCP传输控制协议通过确认机制保证信息的成功发送。

发送方对通过TCP协议传输的数据进行编号，流量采集服务器通过编号进行确认并返回确认接收信息，定义为一次发送；

若发送方在600ms内没有收到确认接收信息则重新发送一次信息，定义为二次发送；

若发送方在600×2ms内没有收到确认接收信息则再次重新发送一次信息；

信息发送次数小于等于5次，每次发送间隔进行倍数递增，即(600×n)ms，其中n≤5，避免因应答时间不足造成的重复发送；

当信息发送5次后任未得到确认，则认为传输故障，不再进行信息发送，进行告警显示。

S2：在全量的网络流量镜像到流量采集服务器之后，流量采集服务器根据规则进行地址解析匹配；

更进一步的，地址解析规则包括：地址域、数据格式、字节数三层，具体规则如下：

应说明的是，省地市区县码按国家标准GB2260-2007的规定执行，当此通信的最终发起端和接收端为终端时，省地市区县码表示终端所属的省份、地市以及区县，所述A1的高字节表示省份、中间字节表示地市码、低字节表示区县码，并按照低字节在前，高字节在后的顺序传输。

S3：按照地区将捕获的流量发往不同的处理服务器进行处理和保存。

更进一步的，根据分析得到的地址信息，由采集服务器的路由程序将采集的流量路由到对应地区的处理服务器上，由对应的处理服务器进行处理。

更进一步的，路由到对应的处理服务器之后，再由处理服务器根据协议中的采集地址或主站服务器地址进行进一步分类，分类规则如下：

更进一步的，终端地址A2选址范围为1-16777216，A2＝000000H为无效地址，A2＝FFFFFFH时表示系统广播地址，按照低字节在前，高字节在后的顺序传输。

主站地址A3的D0-D7组成0-255个主站地址MSA，A3支持应用系统采用网络通道与终端交换数据时有多个主站进行操作的情况。

应说明的是，主站启动的发送帧的MSA应为非零值，终端响应帧的MSA应与主站发送帧的MSA相同；终端启动发送帧的MSA应为零，主站响应帧的MSA也应为零。

实施例2

以下为本发明的一个实施例，提供了一种基于电网采集终端的流量分片处理方法，为了验证本发明的有益效果，通过仿真实验进行科学论证。

首先，针对上述实施例算法，以云南省2022年10月的电网采集终端流量数据为基准，采用本方法和传统的流量处理方法进行对比试验。

系统参数：采用3台配置为64核CPU，64GB内存，300GB的固态硬盘服务器，采用万兆光口镜像路由器出入口流量。

具体数据：总计采集生成流量文件约9.5TB，获取一个终端相关信息查询时间约1-5秒，1-5秒延迟展示当前时间点具体终端的相关信息。

处理过程：采用一台服务器接收镜像的流量数据，并根据分片路由规则，对流量进行分片处理，随后转发至相应的处理服务器进行处理，获取采集终端的相关信息，和业务逻辑行为，攻击行为等。

最终得到的仿真实验结果：

与传统的流量处理方法结果相比，处理能力从查询5-20秒提升至1-5秒，实时处理展示能力从60-100秒提升至1-5秒。

应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。