[发明专利]一种网络广播包的实时分析与监测方法及系统

说明书

本发明本发明提供的一种网络广播包的实时分析与监测方法，该方法包括如下步骤：A、采集网络中广播包的历史数据，根据二项式定理中的最小二乘法的原理进行二项式曲线拟合，从而得到网络中不同时间段广播包应该所具有的正常范围；B、实时获取到的广播包数量与二项式拟合线进行比较，偏离步骤A获得网络中不同时间段广播包应该所具有的正常范围，即可判断广播报数量异常，即将产生广播风暴。本发明克服了广播包数据异常需要事先设置阈值，同时由于阈值的不准确造成误报的缺陷。

技术领域

本发明属于网络技术领域，具体为一种网络广播包的实时分析与监测方法及系统。

背景技术

广播包是主机之间“一对所有”的通讯模式，网络对其中每一台主机发出的信号都进行无条件复制并转发，所有主机都可以接收到所有信息。由于其特有属性，在网络协议中得到广泛使用，例如ARP协议通过广播包技术获取主机的MAC地址。但是当广播数据过多，充斥网络无法处理，并占用大量网络带宽时，导致正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。“广播风暴”是黑客和网络病毒常用的一种攻击手段，是网络管理中需要重点防范和治理工作。以往当网络发生堵塞甚至瘫痪，再检查广播包的数量来判断是否发生广播风暴，或者在网络监控系统中设置广播包数量的阈值，当超过阈值时就认为发生广播风暴。但是由于网络规模和网络应用各不相同，广播包阈值没有统一标准，往往会造成很多误报，无法准确预测广播风暴是否发生。

发明内容

第一方面，本发明提供一种网络广播包的实时分析与监测方法，采用二项式对网络广播包进行实时分析与监测，判断广播包数量是否超越历史数据的正常范围，预测是否会发生广播风暴，从而为管理员及时采取措施控制广播包提供依据，以提高网络性能，增强网络管理能力。

本发明提供的一种网络广播包的实时分析与监测方法，该方法包括如下步骤：A、采集网络中广播包的历史数据，根据二项式定理中的最小二乘法的原理进行二项式曲线拟合，从而得到网络中不同时间段广播包应该所具有的正常范围；B、实时获取到的广播包数量与二项式拟合线进行比较，偏离步骤A获得网络中不同时间段广播包应该所具有的正常范围，即可判断广播报数量异常，即将产生广播风暴。

在本发明一个优选实施方式中，该方法包括如下步骤：

1)获取网络中广播包，并按每五分钟为一个时间单元进行广播包数据统计，每天288个数据采集点，广播包数量值分别为y₁，y₂，...，y₂₈₈；

2)对每个y_i，采集90天的数据y_i，1，y_i，2，...，y_i，90，并求均值：

3)令x₁，x₂，...，x₂₈₈＝{1，2，...，288}，对：

进行二项式线形回归计算，求出：a₀，...，a₂₅，并求得{y_i}的近似值：

4)如果回归系数服从正态分布，则拟合成功，并以作为y_i正常取值范围；

5)广播包数量在y_i的取值范围内则定义为广播包正常，否则定位为广播包异常；

6)对当前广播包数量进行拟合线比对，根据广播包数量的异常与否判断网络的性能状态，当广播包数量超出正常范围，表示广播包增加，容易形成广播风暴，产生性能事件并进行性能告警。