專利名稱:實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控平臺(tái)的制作方法
技術(shù)領(lǐng)域:
本 發(fā)明是為了安全和監(jiān)控目的在高速網(wǎng)絡(luò)環(huán)境中利用實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全方法的網(wǎng)絡(luò)管理設(shè)備���。
發(fā)明內(nèi)容
一種平臺(tái)支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序�����,其中所述平臺(tái)將使用其它應(yīng)用程序開發(fā)人員的開放體系結(jié)構(gòu)概念來增加功能性或擴(kuò)展現(xiàn)有功能性��;其中所述平臺(tái)在實(shí)時(shí)被動(dòng)網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控中提出三個(gè)新概念三級(jí)監(jiān)控體系結(jié)構(gòu)���;創(chuàng)新緩沖技術(shù);以及分布式被動(dòng)數(shù)據(jù)收集�����;其中每個(gè)單元嵌入有智能以預(yù)先處理收集的數(shù)據(jù)���,并降低中央?yún)f(xié)調(diào)服務(wù)器與分布式監(jiān)控單元之間的帶寬消耗�����;允許其它應(yīng)用程序擴(kuò)展過平臺(tái)核心����, 它是可用的API和擴(kuò)展點(diǎn);并且由于它的跨平臺(tái)性質(zhì)而可容易地集成到運(yùn)行不同操作系統(tǒng)的異質(zhì)網(wǎng)絡(luò)環(huán)境中�����;其中中央?yún)f(xié)調(diào)和監(jiān)控服務(wù)器可由不同分布式監(jiān)控單元本地訪問�����。三級(jí)監(jiān)控體系結(jié)構(gòu)確保分布式網(wǎng)絡(luò)的完全覆蓋以及平衡所有分布式網(wǎng)絡(luò)監(jiān)控單元之間的載荷�。創(chuàng)新緩沖技術(shù)處理高速網(wǎng)絡(luò)業(yè)務(wù),沒有丟失分組以及最小化處理開銷�。分布式被動(dòng)數(shù)據(jù)收集伴有支持分布式數(shù)據(jù)收集單元的中央?yún)f(xié)調(diào)能力。系統(tǒng)由于它的跨平臺(tái)性質(zhì)而可集成到運(yùn)行不同操作系統(tǒng)的異質(zhì)網(wǎng)絡(luò)環(huán)境中�����。所述體系結(jié)構(gòu)提出了一組分布在終端主機(jī)之間的監(jiān)控終端以及全都報(bào)告給中央監(jiān)控服務(wù)器的網(wǎng)絡(luò)裝置����。中央監(jiān)控服務(wù)器負(fù)責(zé)在配置和函數(shù)調(diào)用方面管理分布式監(jiān)控單元���。中央監(jiān)控服務(wù)器還負(fù)責(zé)提供之前報(bào)告的性能問題或檢測事件的歷史檔案��。所述服務(wù)器負(fù)責(zé)聚集子網(wǎng)業(yè)務(wù)并對于異常檢測設(shè)施在日簡檔基礎(chǔ)上模型化分布式網(wǎng)絡(luò)內(nèi)每個(gè)子網(wǎng)的行為�����。本發(fā)明包含一種向所有實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控或安全監(jiān)控應(yīng)用程序提供隱秘監(jiān)控的被動(dòng)數(shù)據(jù)收集能力���。本發(fā)明提供一種能夠在高業(yè)務(wù)期間以最小分組丟失處理業(yè)務(wù)突發(fā)的創(chuàng)新緩沖機(jī)制����。本發(fā)明提供一種是存儲(chǔ)器緩沖和環(huán)基文件緩沖組合的緩沖結(jié)構(gòu)�。本發(fā)明包含一種運(yùn)行在每個(gè)分布式網(wǎng)絡(luò)監(jiān)控單元內(nèi)并還可配置用于自動(dòng)啟動(dòng)模式的選項(xiàng)。本發(fā)明是準(zhǔn)備任何新插件集成到平臺(tái)中而無需通過可用組擴(kuò)展點(diǎn)重新開發(fā)整個(gè)應(yīng)用程序的開放平臺(tái)���,其中本發(fā)明允許任何現(xiàn)有服務(wù)或功能視為插件集成到平臺(tái)中�����,其允許應(yīng)用程序的廣泛靈活性并允許平滑地增加新功能或服務(wù)���。
圖1示出了三級(jí)分布式網(wǎng)絡(luò)監(jiān)控體系結(jié)構(gòu);圖2示出了分布式網(wǎng)絡(luò)監(jiān)控應(yīng)用程序�����;圖3示出了分布式網(wǎng)絡(luò)安全監(jiān)控應(yīng)用程序;圖4示出了高級(jí)分布式網(wǎng)絡(luò)監(jiān)控基礎(chǔ)設(shè)施��;圖5示出了 RTD匪S三級(jí)實(shí)時(shí)分布式監(jiān)控體系結(jié)構(gòu)��;圖6示出了被動(dòng)數(shù)據(jù)收集的不同配置����;
圖7示出了 RTDNMS平臺(tái)處理階 段;圖8示出了 RTDWS平臺(tái)參考體系結(jié)構(gòu)�;圖9示出了 RTDNMS平臺(tái)核心組件狀態(tài)圖;圖10示出了分組捕獲過程�����;圖11示出了 RTDNMS分組捕獲組件���;圖12示出了增強(qiáng)/修改的JPCAP處理流水線�����;圖13示出了 RTDWS分組捕獲序列;圖14示出了 RTDWS析像器模塊體系結(jié)構(gòu)���;圖15示出了遠(yuǎn)程分組捕獲函數(shù)調(diào)用序列圖���;圖16示出了多線程通信管理�;圖17示出了單循環(huán)緩沖器體系結(jié)構(gòu)�;圖18示出了分組緩沖過程;圖19示出了緩沖管理讀和寫���;圖20示出了分組處理缺省函數(shù)�;圖21示出了登錄和歸檔控制函數(shù)�;圖22示出了分組歸檔文件結(jié)構(gòu);圖23示出了 FCFS連接池�����;圖24示出了管理模塊基本函數(shù)�����;圖25示出了 RTDNMS平臺(tái)主接口 �;圖26示出了分布式監(jiān)控單元通信;圖27示出了 RTDNMS平臺(tái)消息格式���;圖28示出了函數(shù)調(diào)用消息值���;圖29示出了 RTD匪S詳細(xì)體系結(jié)構(gòu)概覽�����;圖30示出了 RTDNMS實(shí)驗(yàn)環(huán)境��;圖31示出了網(wǎng)絡(luò)覆蓋測試環(huán)境���;圖32示出了網(wǎng)絡(luò)開銷測試環(huán)境;圖33示出了網(wǎng)絡(luò)開銷計(jì)算公式����;圖34示出了 η個(gè)網(wǎng)絡(luò)開銷結(jié)果;圖35示出了響應(yīng)時(shí)間測試環(huán)境��;圖36示出了響應(yīng)時(shí)間計(jì)算公式����;圖37示出了響應(yīng)時(shí)間評估結(jié)果;圖38示出了分組丟失測試環(huán)境���;圖39示出了分組丟失評估結(jié)果��;圖40示出了緩沖性能測試環(huán)境�;圖41示出了存儲(chǔ)緩沖器實(shí)驗(yàn)結(jié)果��。
具體實(shí)施例方式實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控(RTD匪S)應(yīng)用程序的當(dāng)前開發(fā)需要來自不同供應(yīng)商的不同工具集成在一起來支持應(yīng)用程序SDLC(軟件開發(fā)生命周期)����。由此,RTMMS平臺(tái)設(shè)計(jì)成從以下角度幫助不斷涌現(xiàn)的實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序在大規(guī)模網(wǎng)絡(luò)中對于高度結(jié)構(gòu)化監(jiān)控的需要要求組合企業(yè)網(wǎng)上的許多可能的異質(zhì)分布式監(jiān)控單元����。在這種環(huán)境中,在每個(gè)分布式監(jiān)控單元收集的數(shù)據(jù)的處理和相關(guān)給出了對監(jiān)控網(wǎng)絡(luò)的狀態(tài)的清晰視圖�。 圖4例示了分布式網(wǎng)絡(luò)監(jiān)控基礎(chǔ)設(shè)施的高級(jí)視圖。分布式監(jiān)控單元分布在子網(wǎng)上����,其中每個(gè)子網(wǎng)具有一個(gè)或多個(gè)分布式監(jiān)控單元。分布式監(jiān)控單元可用于監(jiān)控分布式子網(wǎng)與因特網(wǎng)(網(wǎng)絡(luò)1)乃至整個(gè)子網(wǎng)(網(wǎng)絡(luò) 2)或內(nèi)部子網(wǎng)節(jié)點(diǎn)(網(wǎng)絡(luò)3)之間的鏈路�。例如,考慮分布式網(wǎng)絡(luò)監(jiān)控應(yīng)用程序視圖讀取當(dāng)前網(wǎng)絡(luò)帶寬利用���,由此所有測量的帶寬利用都保持在駐留在數(shù)據(jù)服務(wù)器上的數(shù)據(jù)庫和駐留在客戶機(jī)上的應(yīng)用程序中��。如果網(wǎng)絡(luò)管理員向服務(wù)器提出請求���,則它觸發(fā)對數(shù)據(jù)庫的查詢����,其用所有帶寬利用結(jié)果進(jìn)行響應(yīng)����。在這個(gè)示例中,數(shù)據(jù)服務(wù)器還充當(dāng)基于SQL查詢的數(shù)據(jù)庫�����,并且對于客戶機(jī)應(yīng)用程序����, 它請求和接收要呈現(xiàn)的數(shù)據(jù)。以上示例對于小網(wǎng)絡(luò)是可行的�,但是對于企業(yè)網(wǎng)不可行,因?yàn)閿?shù)據(jù)庫服務(wù)器需要服務(wù)對于操縱的客戶機(jī)應(yīng)用程序的大量查詢�����。數(shù)據(jù)服務(wù)器不得不提供這些查詢�����。這是對網(wǎng)絡(luò)資源的巨大消耗。因此���,需要第三級(jí)�,其可通過在稱為服務(wù)器應(yīng)用程序的服務(wù)器級(jí)插入另一層來獲得��。由此���,客戶機(jī)應(yīng)用程序不再直接查詢數(shù)據(jù)庫,但是他們反而查詢服務(wù)器應(yīng)用程序����,服務(wù)器應(yīng)用程序又查詢數(shù)據(jù)服務(wù)器。這是更長的過程����,但是它更快,因?yàn)榇嫣峁┎坏貌唤?jīng)過網(wǎng)絡(luò)的整個(gè)記錄集合����,所以服務(wù)器應(yīng)用程序正在提供單個(gè)查詢。在實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序中����,三級(jí)體系結(jié)構(gòu)有助于在不同分布式監(jiān)控單元之間分布處理載荷�。體系結(jié)構(gòu)由不斷監(jiān)控線程或其它安全分支的業(yè)務(wù)的終端用戶的瘦客戶機(jī)組成����。這些瘦客戶機(jī)將直接向中央監(jiān)控服務(wù)器報(bào)告,中央監(jiān)控服務(wù)器會(huì)將報(bào)告保存在數(shù)據(jù)庫中�����。而且�����,中央監(jiān)控服務(wù)器將管理和配置分布式監(jiān)控單元�����。中央監(jiān)控服務(wù)器還提供可由不同分布式監(jiān)控應(yīng)用程序使用的網(wǎng)絡(luò)特性的集中式永久儲(chǔ)存庫���。第二級(jí)是也向中央監(jiān)控服務(wù)器報(bào)告的網(wǎng)絡(luò)監(jiān)控分段����。網(wǎng)絡(luò)監(jiān)控分段負(fù)責(zé)觀察通過這個(gè)特定網(wǎng)絡(luò)分段的每個(gè)單個(gè)分組��,根據(jù)應(yīng)用需要預(yù)先處理捕獲的業(yè)務(wù)����,并向中央監(jiān)控服務(wù)器報(bào)告�����。此外�,網(wǎng)絡(luò)監(jiān)控分段單元還負(fù)責(zé)被動(dòng)地捕獲網(wǎng)絡(luò)業(yè)務(wù)��,提取頭部信息���,并壓縮要實(shí)時(shí)傳送到監(jiān)控應(yīng)用程序的結(jié)果。圖5描繪了 RTMMS三級(jí)實(shí)時(shí)分布式監(jiān)控體系結(jié)構(gòu)�����。被動(dòng)數(shù)據(jù)收集技術(shù)用于被動(dòng)收集分布式網(wǎng)絡(luò)業(yè)務(wù)��,無需不同主機(jī)或用戶的應(yīng)用程序通知��。代替將額外業(yè)務(wù)注入到分布式網(wǎng)絡(luò)中���,RTDNMS平臺(tái)依靠被動(dòng)數(shù)據(jù)收集技術(shù)來避免用不必要的業(yè)務(wù)擁塞分布式網(wǎng)絡(luò)����。此外,分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序需要對分布式網(wǎng)絡(luò)用戶是透明的��,不會(huì)降級(jí)性能或分布式網(wǎng)絡(luò)服務(wù)質(zhì)量�。被動(dòng)數(shù)據(jù)收集具有三個(gè)模塊分組捕獲模塊、讀取和分析模塊以及控制模塊�。負(fù)責(zé)被動(dòng)收集網(wǎng)絡(luò)業(yè)務(wù)的主機(jī)稱為被動(dòng)測量主機(jī)(PMH)。圖6描繪了可部署在網(wǎng)絡(luò)上不同地方的被動(dòng)測量主機(jī)的不同位置���。1. PMH可連接到網(wǎng)絡(luò)鏈路(被動(dòng)測量主機(jī)1)捕獲的業(yè)務(wù)被保存在主存儲(chǔ)器或其它存儲(chǔ)介質(zhì)中�����。延遲分組的可能性很高���。2. PMH可連接到廣播網(wǎng)絡(luò)裝置如集線器(被動(dòng)測量主機(jī)2)將廣播來自每個(gè)鏈路的業(yè)務(wù)。由此�,PMH可捕獲通過鏈路發(fā)射的所有分組。盡管這個(gè)方法可有助于同時(shí)監(jiān)控許多鏈路���,但是它會(huì)影響鏈路的帶寬�,因?yàn)樗鼈冋诠蚕硎芴幚砟芰ο拗频南嗤€器帶寬����。
3. PMH可連接到網(wǎng)絡(luò)業(yè)務(wù)分路器(被動(dòng)測量主機(jī)3)以將業(yè)務(wù)信號(hào)分路到PMH中��。
4. PMH可連接到交換機(jī)(被動(dòng)測量主機(jī)4) =PMH將連接到鏡像端口�����。在這種模式中����,交換機(jī)必須支持端口鏡像����,并能以線速度轉(zhuǎn)發(fā)分組。數(shù)據(jù)收集通過分布式監(jiān)控單元執(zhí)行�。這些分布式單元將捕獲分布式業(yè)務(wù)�����,預(yù)先處理它們�����,并在10-15千位結(jié)果集合中將結(jié)果返回到監(jiān)控應(yīng)用程序����。預(yù)先處理對于定制是開放的�����,并依賴用戶應(yīng)用要求��。每個(gè)分布式子網(wǎng)內(nèi)的主機(jī)通過在子網(wǎng)內(nèi)放置一個(gè)或多個(gè)分布式監(jiān)控單元而分組在一起�。每個(gè)分布式監(jiān)控單元由唯一標(biāo)識(shí)符標(biāo)識(shí)�����。每個(gè)子網(wǎng)分析結(jié)果保持在由子網(wǎng)標(biāo)識(shí)符 標(biāo)識(shí)或?qū)崟r(shí)處理的儲(chǔ)存庫中����。在實(shí)時(shí)處理的情況下,業(yè)務(wù)量可能是巨大的�����。因此��,處理開銷從而將增大�。因此,需要緩沖技術(shù)來處理業(yè)務(wù)突發(fā)����,并支持分布式網(wǎng)絡(luò)監(jiān)控體系結(jié)構(gòu)和被動(dòng)數(shù)據(jù)收集�����。為了避免NIC驅(qū)動(dòng)程序上的處理開銷并最小化驅(qū)動(dòng)程序修改����,需要緩沖機(jī)制來適應(yīng)分組到達(dá)的速度����,沒有在丟失分組的風(fēng)險(xiǎn)下。在分布式網(wǎng)絡(luò)中有任何異常行為的情況下���,網(wǎng)絡(luò)監(jiān)控工具需要快速觸發(fā)告警���。因此,監(jiān)控工具需要·在處理分布式網(wǎng)絡(luò)業(yè)務(wù)時(shí)有效而快速��?�!ぷ銐蜉p并且能夠處理在分布式網(wǎng)絡(luò)中可能頻繁出現(xiàn)的載荷峰值�。因此���,RTDNMS平臺(tái)使用存儲(chǔ)器緩沖和文件基環(huán)形緩沖技術(shù)的組合來以最小分組丟失處理lO/lOO/lOOOMbps網(wǎng)絡(luò)業(yè)務(wù)��。在RTDNMS平臺(tái)內(nèi)���,處理依賴緩沖器空間中分組的可用性�。處理載荷分布在分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控系統(tǒng)內(nèi)的不同組件之間���。不引入控制處理���; 在登錄或歸檔動(dòng)作期間接受1/0操作,該動(dòng)作由文件管理線程控制��。RTMMS平臺(tái)包含三個(gè)處理階段分組捕獲���、分組緩沖�、分組處理��。圖7描繪了 RTDNMS平臺(tái)階段���。RTDWS平臺(tái)設(shè)計(jì)還使監(jiān)控應(yīng)用程序能夠獨(dú)立于監(jiān)控應(yīng)用程序主機(jī)運(yùn)行����。RTDWS 平臺(tái)由核心組件和缺省服務(wù)組成。核心組件向分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序提供主要功能���。另一方面�����,缺省服務(wù)向涌現(xiàn)的實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序提供服務(wù)����。 這些服務(wù)被認(rèn)為對于任何實(shí)時(shí)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序是必要的�����。這些服務(wù)對于通過一組擴(kuò)展點(diǎn)的定制是開放的�����。RTMMS平臺(tái)通過其核心組件和缺省服務(wù)提供用于監(jiān)控和保證任何網(wǎng)絡(luò)安全的基本要求��。圖8示出了 RTMMS平臺(tái)的主要組件以及各種實(shí)時(shí)分布式監(jiān)控應(yīng)用程序可如何利用平臺(tái)�。平臺(tái)核心組件在用戶級(jí)地址空間中實(shí)現(xiàn),因?yàn)?.它導(dǎo)致更快速實(shí)現(xiàn)����。2.由于故障隔離,它更強(qiáng)健����。因?yàn)槿魏沃旅鼏栴}都將只破壞過程而不是關(guān)閉整個(gè)系統(tǒng)。RTDNMS平臺(tái)核心組件被分成1.庫提供適當(dāng)?shù)恼?,其對于表達(dá)復(fù)雜而多樣的監(jiān)控需要是簡單而有力的。好的API應(yīng)該隱藏基礎(chǔ)功能的復(fù)雜性并確保任何新特征或特殊功能的開發(fā)��;以及2.網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控核心(缺省服務(wù))�。這些核心將向有效分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控提供一組缺省服務(wù)。
分組捕 獲庫經(jīng)Winpcap/libpcap排他地訪問NIC�。它還提供一組函數(shù)以通過一組函數(shù)調(diào)用發(fā)起分組捕獲過程。相對于捕獲線程定義的過濾器驗(yàn)證捕獲的分組�����。然后通過管理緩沖功能將驗(yàn)證的分組保存在共享創(chuàng)新緩沖結(jié)構(gòu)中�。緩沖結(jié)構(gòu)可看作兩個(gè)循環(huán)存儲(chǔ)緩沖器與基于環(huán)的文件緩沖器之間的組合以適應(yīng)業(yè)務(wù)突發(fā)。RTDNMS平臺(tái)核心組件包含兩個(gè)主要函數(shù)線程1.捕獲和過濾線程���。2.以及控制線程(通信線程)�����。分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序開發(fā)人員可利用可用擴(kuò)展點(diǎn)容易地開發(fā) RTDNMS平臺(tái)的新插件����。這些擴(kuò)展點(diǎn)確保RTDNMS平臺(tái)的新插件的安全和控制的集成。監(jiān)控應(yīng)用程序與核心組件之間的所有通信都由通過RTDNMS函數(shù)調(diào)用不斷收聽監(jiān)控應(yīng)用程序請求的控制線程(通信線程)處理�����。例如����,當(dāng)監(jiān)控應(yīng)用程序請求捕獲的分組時(shí),通信線程將發(fā)起捕獲過程并將結(jié)果傳到調(diào)用應(yīng)用程序��。圖9示出了演示RTMMS平臺(tái)核心組件中涉及的組件和步驟的完整狀態(tài)圖����。NIC通過施加在NIC固件內(nèi)實(shí)現(xiàn)的簡單過濾來捕獲遍歷網(wǎng)絡(luò)的分組。這些過濾器進(jìn)行了時(shí)間標(biāo)記并在內(nèi)核存儲(chǔ)器內(nèi)操作����,沒有任何進(jìn)一步處理。分組捕獲是增加從網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)能力的低級(jí)組件���。此外����,它向各種用戶應(yīng)用程序提供接口以從網(wǎng)絡(luò)讀和寫數(shù)據(jù)。圖10示出了 Winpcap分組捕獲過程�。為了提供系統(tǒng)無關(guān)捕獲接口���,以上設(shè)計(jì)使用動(dòng)態(tài)鏈接庫�����,即packet, dll�,來隔離捕獲過程與捕獲驅(qū)動(dòng)程序���。packet, dll庫向用戶級(jí)應(yīng)用程序提供一組服務(wù)��。這些服務(wù)包含過濾和分組捕獲庫(Iibpcap)���。Iibpcap還提供用于歸檔和檢索分組的例程。過濾組件基于 BSD分組過濾器工作��。圖11例示了 RTDNMS分組捕獲組件�����。捕獲的分組從NIC緩沖器空間移到Winpcap內(nèi)核緩沖器�。Winpcap由兩種模式組成內(nèi)核模式���,對某些分組過濾并將它們傳到用戶級(jí);以及用戶模式����,將分組傳到用戶應(yīng)用程序以使開發(fā)人員能夠避免內(nèi)核級(jí)編程。它還包含一組用戶級(jí)庫���,這些庫是Iibpcap可兼容的以提供一組用于分組捕獲的跨平臺(tái)函數(shù)�。在內(nèi)核中捕獲和過濾有助于避免·將不必要的分組從OTC復(fù)制到用戶級(jí)��。 用戶級(jí)與內(nèi)核級(jí)之間的調(diào)用和切換次數(shù)因?yàn)橹挥蟹纸M滿足過濾器才被復(fù)制到用戶級(jí)���?!?nèi)核級(jí)緩沖上的任何開銷���。捕獲的分組然后通過JPCAP (網(wǎng)絡(luò)分組捕獲設(shè)施)在RTMMS平臺(tái)內(nèi)從Winpcap內(nèi)核緩沖器移動(dòng)到創(chuàng)新緩沖結(jié)構(gòu)��。JPCAP是一組向在Winpcap內(nèi)核內(nèi)捕獲的網(wǎng)絡(luò)分組提供接口的java類����,如圖12所例示的。JPCAP允許創(chuàng)建�、捕獲、檢查和操縱捕獲的分組���。圖13示出了在RTMMS平臺(tái)內(nèi)的分組捕獲過程中涉及的序列和步驟����。用戶應(yīng)用程序現(xiàn)在具有處理直接從RTDNMS緩沖器捕獲的分組和/或利用RTDNMS 析像器模塊的選擇�。析像器模塊將從每個(gè)分組中提取所需數(shù)據(jù)�,如圖14所描繪的。同時(shí)���, 占用緩沖器空間中位置的處理分組對于另一個(gè)分組使用是自由的��。析像器模塊還通過提供要解碼的更廣范圍協(xié)議來提供可插入接口以擴(kuò)展析像能力����。析像器模塊解碼IPv4和IPv6 主協(xié)議���。
分組捕獲模塊可獨(dú)立于不同主機(jī)上的分布式監(jiān)控應(yīng)用程序運(yùn)行�����。需要通信和同步機(jī)制來確保捕獲過程的效率和完整性�����。由此�����,在RTDNMS平臺(tái)中引入了通信過程���。通信過程的存在對于分布式應(yīng)用程序是完全透明的�����,分布式應(yīng)用程序繼續(xù)操作�����,就好像它們直接連接到捕獲引擎一樣����。通信過程將1.接收和管理來自不同分布式監(jiān)控應(yīng)用程序的連接�。2.將結(jié)果返回到分布式監(jiān)控應(yīng)用程序。3.收聽預(yù)定義端口�,同步連接請求并將每個(gè)連接綁定到它們的結(jié)果。例如,圖15示出了分組捕獲函數(shù)[Capture (segl��,ethO, filter, mode)]的遠(yuǎn)程執(zhí)行的控制序列圖�����。在其NlC(ethO)上標(biāo)識(shí)為segl的子網(wǎng)監(jiān)控單元上發(fā)起分組捕獲過程���。捕獲的業(yè)務(wù)需要在實(shí)時(shí)模式上滿足過濾器串����。分布式應(yīng)用程序可以檢索小同步和壓縮Java對象形式的實(shí)時(shí)分組�����。必須考慮仔細(xì)處理��,特別是當(dāng)從多個(gè)分布式監(jiān)控單元收集數(shù)據(jù)時(shí)��。分布式應(yīng)用程序一實(shí)現(xiàn)避免一般性能降級(jí)和不明智的存儲(chǔ)器泄露����,它就需要足夠快速處理傳遞的分組��。這可通過實(shí)現(xiàn)多線程收聽通信過程來獲得。圖16描繪了兩個(gè)控制線程試圖在同一分布式監(jiān)控主機(jī)上執(zhí)行同一函數(shù)的兩個(gè)監(jiān)控應(yīng)用程序的示例�。兩個(gè)監(jiān)控應(yīng)用程序?qū)⑼ㄟ^通信過程向分布式監(jiān)控主機(jī)各發(fā)送一個(gè)RTMMS控制消息?���?刂芌TDNMS消息是獲得TCP分組計(jì)數(shù)值的函數(shù)調(diào)用。由此�,每個(gè)入局請求由單獨(dú)的線程處理。這些線程負(fù)責(zé)從遠(yuǎn)程主機(jī)接收函數(shù)調(diào)用的結(jié)果���。每個(gè)到遠(yuǎn)程監(jiān)控主機(jī)的連接/請求創(chuàng)建一個(gè)通信線程�����。下面的偽代碼演示了到遠(yuǎn)程監(jiān)控主機(jī)的RTMMS函數(shù)調(diào)用以執(zhí)行函數(shù)(Fimct)���。監(jiān)控應(yīng)用程序
權(quán)利要求
1.一種支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái),其中所述平臺(tái)將使用其它應(yīng)用程序開發(fā)人員的開放體系結(jié)構(gòu)概念來增加功能性或擴(kuò)展現(xiàn)有功能性����;其中所述平臺(tái)在實(shí)時(shí)被動(dòng)網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控中提出三個(gè)新概念三級(jí)監(jiān)控體系結(jié)構(gòu);創(chuàng)新緩沖技術(shù)���;以及分布式被動(dòng)數(shù)據(jù)收集����;其中每個(gè)單元都嵌入有智能以預(yù)先處理收集的數(shù)據(jù),并降低中央?yún)f(xié)調(diào)服務(wù)器與分布式監(jiān)控單元之間的帶寬消耗�����;允許其它應(yīng)用程序擴(kuò)展過平臺(tái)核心���,它是可用的API和擴(kuò)展點(diǎn)��;并且由于它的跨平臺(tái)性質(zhì)而可以容易地集成到運(yùn)行不同操作系統(tǒng)的異質(zhì)網(wǎng)絡(luò)環(huán)境中�����;其中中央?yún)f(xié)調(diào)和監(jiān)控服務(wù)器可由不同分布式監(jiān)控單元本地訪問�。
2.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)�, 其中所述三級(jí)監(jiān)控體系結(jié)構(gòu)確保所述分布式網(wǎng)絡(luò)的完全覆蓋以及平衡所有分布式網(wǎng)絡(luò)監(jiān)控單元之間的載荷����。
3.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái), 其中所述創(chuàng)新緩沖技術(shù)處理高速網(wǎng)絡(luò)業(yè)務(wù)���,沒有丟失分組以及最小化處理開銷��。
4.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)���, 其中所述分布式被動(dòng)數(shù)據(jù)收集伴有支持分布式數(shù)據(jù)收集單元的中央?yún)f(xié)調(diào)能力����。
5.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)����, 其中所述系統(tǒng)由于它的跨平臺(tái)性質(zhì)而可集成到運(yùn)行不同操作系統(tǒng)的異質(zhì)網(wǎng)絡(luò)環(huán)境中。
6.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)�, 其中所述體系結(jié)構(gòu)提出一組分布在終端主機(jī)之間的監(jiān)控終端以及全都報(bào)告給中央監(jiān)控服務(wù)器的網(wǎng)絡(luò)裝置。
7.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)���, 其中所述中央監(jiān)控服務(wù)器負(fù)責(zé)在配置和函數(shù)調(diào)用方面管理所述分布式監(jiān)控單元�。
8.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)�, 其中所述服務(wù)器負(fù)責(zé)聚集子網(wǎng)業(yè)務(wù),并對于異常檢測設(shè)施在日簡檔基礎(chǔ)上模型化所述分布式網(wǎng)絡(luò)內(nèi)每個(gè)子網(wǎng)的行為����。
9.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái), 其中本發(fā)明包含向所有實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控或安全監(jiān)控應(yīng)用程序提供隱秘監(jiān)控的被動(dòng)數(shù)據(jù)收集能力�����。
10.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái),其中本發(fā)明提供一種能夠在高業(yè)務(wù)期間以最小分組丟失處理業(yè)務(wù)突發(fā)的創(chuàng)新緩沖機(jī)制���。
11.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)���,其中本發(fā)明提供一種是存儲(chǔ)器緩沖和環(huán)基文件緩沖組合的緩沖結(jié)構(gòu)。
12.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)��,其中本發(fā)明包含運(yùn)行在每個(gè)分布式網(wǎng)絡(luò)監(jiān)控單元內(nèi)并且還可配置用于自動(dòng)啟動(dòng)模式的選項(xiàng)����。
13.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái),其中本發(fā)明是準(zhǔn)備用于任何新插件集成到所述平臺(tái)中而無需通過可用組擴(kuò)展點(diǎn)重新開發(fā)整個(gè)應(yīng)用程序的開放平臺(tái)��。
14.根據(jù)權(quán)利要求1所述的支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序的平臺(tái)���,其中本發(fā)明允許任何現(xiàn)有服務(wù)或功能視為插件集成到所述平臺(tái)中�,其允許應(yīng)用程序的廣泛靈活性��,并允許平滑增加新功能或服務(wù)��。
全文摘要
一種平臺(tái)支持實(shí)時(shí)被動(dòng)分布式網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控應(yīng)用程序���,其中該平臺(tái)將使用其它應(yīng)用程序開發(fā)人員的開放體系結(jié)構(gòu)概念來增加功能性或擴(kuò)展現(xiàn)有功能性�;其中該平臺(tái)在實(shí)時(shí)被動(dòng)網(wǎng)絡(luò)監(jiān)控和安全監(jiān)控中提出三個(gè)新概念三級(jí)監(jiān)控體系結(jié)構(gòu)����;創(chuàng)新緩沖技術(shù);以及分布式被動(dòng)數(shù)據(jù)收集���;其中每個(gè)單元都嵌入有智能以預(yù)先處理收集的數(shù)據(jù)��,并降低中央?yún)f(xié)調(diào)服務(wù)器與分布式監(jiān)控單元之間的帶寬消耗��;允許其它應(yīng)用程序擴(kuò)展過平臺(tái)核心����,它是可用的API和擴(kuò)展點(diǎn)����;并且由于它的跨平臺(tái)性質(zhì)而可容易地集成到運(yùn)行不同操作系統(tǒng)的異質(zhì)網(wǎng)絡(luò)環(huán)境中;其中中央?yún)f(xié)調(diào)和監(jiān)控服務(wù)器可由不同分布式監(jiān)控單元本地訪問�����。
文檔編號(hào)H04L12/26GK102217234SQ200980145822
公開日2011年10月12日 申請日期2009年12月31日 優(yōu)先權(quán)日2009年5月8日
發(fā)明者A·M·馬那斯拉, S·拉馬達(dá)斯 申請人:伊奈特蒙有限責(zé)任公司, 圣斯馬來西亞大學(xué)