1.TCP流已传输数据量估计方法,其特征在于,包括:
将TCP报文的观测数据按照与流的隶属关系进行拆分;
针对隶属与每个流的TCP报文观测数据返估该流已发送的数据量。
2.如权利要求1所述的TCP流已传输数据量估计方法,其特征在于,所述报文观测数据包括TCP报文的类型、报文到达时间、五元组信息和SEQ值,该TCP流已传输数据量估计方法包括以下操作步骤:S1.控制器接收采集设备汇报的TCP报文观测数据并根据报文观测数据的五元组值对报文观测数据进行分组;
S2.对于每组报文观测数据,如果有多个观测数据具有相同的类型以及SEQ值,且捕获时间(即报文到达时间)之差小于设定的时间T,则该多个报文观测数据为重传数据包的观测数据或者同一报文在不同设备上重复捕获的观测数据,只保留一个;
S3.对于去冗后的报文观测数据,挑选出其中类型为SYN的观测数据,按其捕获时间的先后顺序进行排序;
S4.按照SYN类型报文观测数据的捕获时间将时间划分为多个区间,将位于一个时间区间内的TCP报文观测数据划分为一个流,最后一个区间的报文观测数据划分为最后一个流;
S5.控制器针对隶属与每个流的报文观测数据,返估该TCP流已发送的数据量。
3.如权利要求2所述的远端控制器TCP流已传输数据量估计方法,其特征在于,控制器针对隶属与每个TCP流的报文观测数据,返估其已发送的数据量时,包括以下操作:设SYN报头中的SEQ为SEQ1,FIN中的报头中的SEQ值为SEQ2,SEQ=0的报头出现的次数为k;
进行如下计算:
1)如果该流存在FIN报文观测数据,则该流大小=SEQ2-SEQ1+k*2^32;
2)如果该流不存在FIN报文观测数据且k>0,则该流大小=k*2^32-SEQ1,为不精确估计;
3)如果该流不存在FIN报文观测数据且k=0,则不进行估计。
4.如权利要求1所述的TCP流已传输数据量估计方法,其特征在于,将位于一个时间区间内的报文观测数据划分为一个TCP流,将位于最后一个时间区间的报文观测数据划分为最后一个流,具体为:控制器从去冗后的所有报文观测数据中,挑选出其中类型为SYN的报文观测数据,按其捕获时间的先后顺序进行排序。
5.如权利要求4所述的TCP流已传输数据量估计方法,其特征在于,所述进行排序,具体为:设共有多个SYN报文观测数据,排序后据根这些SYN报文观测数据的据捕获时间将时间划分为多段,位于一时间区间内的多个连续捕获的报文观测数据划分为一个单独的TCP流,位于所述时间区间之后连续捕获的报文观测数据划分为其他的流。
6.如权利要求4所述的远端控制器TCP流已传输数据量估计方法,其特征在于,所述进行排序具体的步骤为:
1)设共有m个SYN报文观测数据,排序后它们的捕获时间分别为t[1],t[2],...,t[i],...,t[m];
2)控制器将所有位于时间区间[t[i]-T1-T2,t[i+1]-T1-T2)内的所有报文观测数据认为属于第i个流,其中i=1,2,...,m-1,共m-1个流;对于t[m]-T1-T2之后的所有数据包,认为其属于最后一个流,即第m个流。