當前位置: 首頁 > 專利查詢>北京云中融信網(wǎng)絡科技有限公司專利>正文

一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法及裝置制造方法及圖紙

技術編號：44206326 閱讀：18 留言：0更新日期：2025-02-06 18:40

本發(fā)明專利技術公開了一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法及裝置，涉及網(wǎng)絡環(huán)境診斷技術領域，方法包括：基于eBPF的操作系統(tǒng)內(nèi)核捕獲客戶端和業(yè)務服務器之間的網(wǎng)絡交互數(shù)據(jù)；當滿足預定的觸發(fā)條件時，將捕獲的網(wǎng)絡交互數(shù)據(jù)通過日志轉(zhuǎn)發(fā)服務進行實時轉(zhuǎn)發(fā)，對日志數(shù)據(jù)進行實時分析與異常檢測，將經(jīng)過分析檢測的日志數(shù)據(jù)存儲至日志數(shù)據(jù)庫；根據(jù)存儲的日志數(shù)據(jù)對潛在的網(wǎng)絡問題進行排查和定位；根據(jù)排查結(jié)果對網(wǎng)絡進行調(diào)度和優(yōu)化。本發(fā)明專利技術能夠?qū)崟r捕獲并分析網(wǎng)絡異常行為，顯著提升復雜分布式系統(tǒng)中的問題診斷效率和監(jiān)控的擴展性。

全部詳細技術資料下載

【技術實現(xiàn)步驟摘要】

本專利技術涉及網(wǎng)絡環(huán)境診斷，特別涉及一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法及裝置。

技術介紹

1、傳統(tǒng)網(wǎng)絡監(jiān)控工具往往只能提供表層的網(wǎng)絡性能數(shù)據(jù)，缺乏足夠的精度和實時性，難以滿足復雜分布式系統(tǒng)對網(wǎng)絡質(zhì)量的精細化要求。尤其在大規(guī)模分布式環(huán)境中，傳統(tǒng)手段難以深入分析每個tcp連接的具體交互行為，導致網(wǎng)絡問題排查效率低、準確性不足。此外，ebpf（extended?berkeley?packet?filter）技術中的xdp僅支持入站流量的攔截，無法實現(xiàn)雙向流量監(jiān)控。

技術實現(xiàn)思路

1、鑒于現(xiàn)有技術中的上述缺陷或不足，本專利技術提供了一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法及裝置，能夠?qū)崟r捕獲并分析網(wǎng)絡異常行為，顯著提升復雜分布式系統(tǒng)中的問題診斷效率和監(jiān)控的擴展性。

2、本專利技術的一個方面，提供了一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，用于接入服務器，包括：基于ebpf的操作系統(tǒng)內(nèi)核捕獲客戶端和業(yè)務服務器之間的網(wǎng)絡交互數(shù)據(jù)，所述網(wǎng)絡交互數(shù)據(jù)包括tcp層數(shù)據(jù)和應用層的業(yè)務信令；當滿足預定的觸發(fā)條件時，將捕獲的網(wǎng)絡交互數(shù)據(jù)通過日志轉(zhuǎn)發(fā)服務進行實時轉(zhuǎn)發(fā)，對日志數(shù)據(jù)進行實時分析與異常檢測，以識別出潛在的網(wǎng)絡問題并生成告警信息，將經(jīng)過分析檢測的日志數(shù)據(jù)存儲至日志數(shù)據(jù)庫；根據(jù)存儲的日志數(shù)據(jù)對所述潛在的網(wǎng)絡問題進行排查和定位；根據(jù)排查結(jié)果對網(wǎng)絡進行調(diào)度和優(yōu)化。

3、進一步的，tcp層數(shù)據(jù)和應用層的業(yè)務信令的捕獲步驟包括：通過基于ebpf的操作系統(tǒng)內(nèi)核捕獲客戶端和業(yè)務服務器之間tcp連

4、進一步的，所述對日志數(shù)據(jù)進行實時分析與異常檢測包括：根據(jù)業(yè)務信令判斷具體的操作類型，根據(jù)操作類型對操作業(yè)務進行分類分析；將從tcp層數(shù)據(jù)獲取的tcp網(wǎng)絡質(zhì)量指標和從業(yè)務信令獲取的操作業(yè)務的分析結(jié)果結(jié)合到一起進行關聯(lián)分析；根據(jù)關聯(lián)分析結(jié)果定位故障原因和生成告警信息。

5、進一步的，當滿足預定的觸發(fā)條件時，對捕獲的網(wǎng)絡交互數(shù)據(jù)進行日志轉(zhuǎn)發(fā)；其中，所述預定的觸發(fā)條件包括往返時延rtt過高和重傳次數(shù)超出閾值。

6、進一步的，所述異常信令標志位包括syn標志位、fin標志位和rst標志位。

7、進一步的，所述將從tcp層數(shù)據(jù)獲取的tcp網(wǎng)絡質(zhì)量指標和從業(yè)務信令獲取的操作業(yè)務的分析結(jié)果結(jié)合到一起進行關聯(lián)分析，包括：若connect信令的發(fā)送頻率超過預定閾值，并且tcp連接建立時間延遲，則將故障識別為網(wǎng)絡瓶頸導致的連接建立延遲，并給出優(yōu)化鏈路的建議；在publish信令發(fā)送消息時，若tcp層顯示高延遲或頻繁重傳，則將故障識別為網(wǎng)絡瓶頸，并給出優(yōu)化數(shù)據(jù)包的包體大小和優(yōu)化鏈路的建議；若query信令響應延遲，并且tcp層重傳率高，則將故障識別為網(wǎng)絡瓶頸導致的查詢響應時間延長，并給出調(diào)整數(shù)據(jù)包的包體大小、消息下發(fā)速率調(diào)整和調(diào)整鏈路的建議。

8、進一步的，還包括：基于tcp層數(shù)據(jù)獲取客戶端的網(wǎng)絡地址、客戶端平臺的操作系統(tǒng)類型、應用版本和網(wǎng)絡類型數(shù)據(jù)，并根據(jù)所述客戶端的網(wǎng)絡地址獲取客戶端所在地區(qū)和運營商的信息；對所述地區(qū)、運營商、網(wǎng)絡類型、客戶端平臺的網(wǎng)絡質(zhì)量進行評估分析，根據(jù)分析結(jié)果構(gòu)建數(shù)據(jù)大盤。

9、本專利技術的另一方面，還提供了一種基于ebpf的網(wǎng)絡監(jiān)控和診斷裝置，用于接入服務器，包括：捕獲模塊，被配置為基于ebpf的操作系統(tǒng)內(nèi)核捕獲客戶端和業(yè)務服務器之間的網(wǎng)絡交互數(shù)據(jù)，所述網(wǎng)絡交互數(shù)據(jù)包括tcp層數(shù)據(jù)和應用層的業(yè)務信令；數(shù)據(jù)分析模塊，被配置為當滿足預定的觸發(fā)條件時，將捕獲的網(wǎng)絡交互數(shù)據(jù)通過日志轉(zhuǎn)發(fā)服務進行實時轉(zhuǎn)發(fā)，對日志數(shù)據(jù)進行實時分析與異常檢測，以識別出潛在的網(wǎng)絡問題并生成告警信息，將經(jīng)過分析檢測的日志數(shù)據(jù)存儲至日志數(shù)據(jù)庫；根據(jù)存儲的日志數(shù)據(jù)對所述潛在的網(wǎng)絡問題進行排查和定位；網(wǎng)絡調(diào)度模塊，被配置為根據(jù)排查結(jié)果對網(wǎng)絡進行調(diào)度和優(yōu)化。

10、進一步的，所述捕獲模塊被配置為：通過基于ebpf的操作系統(tǒng)內(nèi)核捕獲客戶端和業(yè)務服務器之間tcp連接的關鍵數(shù)據(jù)包，從所述關鍵數(shù)據(jù)包中提取tcp/ip信息以構(gòu)建唯一的鍵，用于識別tcp連接的狀態(tài)；當檢測到關鍵數(shù)據(jù)包的syn或psh標志位時記錄當前時間戳，當接收到對應的ack包時再次記錄當前時間戳，通過對比兩個時間戳的差值，計算出該tcp連接的往返時延rtt；當接收到所述關鍵數(shù)據(jù)包時，檢查關鍵數(shù)據(jù)包的序列號和應答序列號，重傳計數(shù)器在檢測到重復的序列號時遞增，以對當前tcp連接的重傳次數(shù)進行統(tǒng)計；實時捕獲并分析每個關鍵數(shù)據(jù)包的異常信令標志位，當檢測到rst標志時，記錄并更新異常連接的計數(shù)值；解析所述關鍵數(shù)據(jù)包的有效載荷的信令頭，提取與業(yè)務交互的類型和模式相關的業(yè)務信令，所述業(yè)務信令包括connect信令、publish信令和?query信令。

11、進一步的，所述數(shù)據(jù)分析模塊被配置為：根據(jù)業(yè)務信令判斷具體的操作類型，根據(jù)操作類型對操作業(yè)務進行分類分析；將從tcp層數(shù)據(jù)獲取的tcp網(wǎng)絡質(zhì)量指標和從業(yè)務信令獲取的操作業(yè)務的分析結(jié)果結(jié)合到一起進行關聯(lián)分析；根據(jù)關聯(lián)分析結(jié)果定位故障原因和生成告警信息。

12、進一步的，所述數(shù)據(jù)分析模塊，被配置為：當滿足預定的觸發(fā)條件時，對捕獲的網(wǎng)絡交互數(shù)據(jù)進行日志轉(zhuǎn)發(fā)；其中，所述預定的觸發(fā)條件包括往返時延rtt過高和重傳次數(shù)超出閾值。

13、進一步的，所述異常信令標志位包括syn標志位、fin標志位和rst標志位。

14、進一步的，所述數(shù)據(jù)分析模塊，被配置為：所述將從tcp層數(shù)據(jù)獲取的tcp網(wǎng)絡質(zhì)量指標和從業(yè)務信令獲取的操作業(yè)務的分析結(jié)果結(jié)合到一起進行關聯(lián)分析，包括：若connect信令的發(fā)送頻率超過預定閾值，并且tcp連接建立時間延遲，則將故障識別為網(wǎng)絡瓶頸導致的連接建立延遲，并給出優(yōu)化鏈路的建議；在publish信令發(fā)送消息時，若tcp層顯示高延遲或頻繁重傳，則將故障識別為網(wǎng)絡瓶頸，并給出優(yōu)化數(shù)據(jù)包的包體大小和優(yōu)化鏈路的建議；若query信令響應延遲，并且tcp層重傳率高，則將故障識別為網(wǎng)絡瓶頸導致的查詢響應時間延長，并給出調(diào)整數(shù)據(jù)包的包體大小、消息下發(fā)速率調(diào)整和調(diào)整鏈路的建議。

15、進一步的，還包括數(shù)據(jù)大盤構(gòu)建模塊，被配置為：基于tcp層數(shù)據(jù)獲取客戶端的網(wǎng)絡地址、客戶端平臺的操作系統(tǒng)類型、應用版本和網(wǎng)絡類型數(shù)據(jù)，并根據(jù)所本文檔來自技高網(wǎng)...

【技術保護點】

1.一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法，用于接入服務器，其特征在于包括：

2.根據(jù)權(quán)利要求1所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，TCP層數(shù)據(jù)和應用層的業(yè)務信令的捕獲步驟包括：

3.根據(jù)權(quán)利要求2所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，所述對日志數(shù)據(jù)進行實時分析與異常檢測包括：

4.根據(jù)權(quán)利要求3所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法，其特

5.根據(jù)權(quán)利要求4所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，還包括：

6.一種基于eBPF的網(wǎng)絡監(jiān)控和診斷裝置，用于接入服務器，其特征在于包括：

7.根據(jù)權(quán)利要求6所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷裝置，其特征在于，所述捕獲模塊被配置為：

8.根據(jù)權(quán)利要求7所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷裝置，其特征在于，所述數(shù)據(jù)分析模塊被配置為：

9.根據(jù)權(quán)利要求8所述的一種基于eBPF的網(wǎng)絡監(jiān)控和診斷裝置，其特征在于，所述數(shù)據(jù)分析模塊，被配置為：

10.根據(jù)權(quán)利要求9所述的一種基于eB

...

【技術特征摘要】

1.一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，用于接入服務器，其特征在于包括：

2.根據(jù)權(quán)利要求1所述的一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，tcp層數(shù)據(jù)和應用層的業(yè)務信令的捕獲步驟包括：

3.根據(jù)權(quán)利要求2所述的一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，所述對日志數(shù)據(jù)進行實時分析與異常檢測包括：

4.根據(jù)權(quán)利要求3所述的一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，其特

5.根據(jù)權(quán)利要求4所述的一種基于ebpf的網(wǎng)絡監(jiān)控和診斷方法，其特征在于，還包括：

6.一...

【專利技術屬性】
技術研發(fā)人員：吳浩，岑裕，李宏博，
申請(專利權(quán))人：北京云中融信網(wǎng)絡科技有限公司，
類型：發(fā)明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網(wǎng)友詢問留言已有0條評論

還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。

發(fā)布您的意見

相關領域技術