檢測(cè)透明網(wǎng)絡(luò)通信攔截工具的制作方法
【專利摘要】提供用于識(shí)別網(wǎng)絡(luò)拓?fù)?305)內(nèi)的透明網(wǎng)絡(luò)通信攔截工具(430�、530)的機(jī)制。所述機(jī)制從所述網(wǎng)絡(luò)拓?fù)鋬?nèi)的多個(gè)設(shè)備收集網(wǎng)絡(luò)配置數(shù)據(jù)(305�,610),并使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中指示透明網(wǎng)絡(luò)通信攔截工具的存在的模式(430����,530,630)���。所述機(jī)制基于對(duì)所收集的網(wǎng)絡(luò)配置數(shù)據(jù)的分析結(jié)果計(jì)算置信測(cè)量值(640)����。所述機(jī)制還響應(yīng)于所計(jì)算的置信測(cè)量值達(dá)到或超過(guò)至少一個(gè)閾值���,將有關(guān)所檢測(cè)的透明網(wǎng)絡(luò)通信攔截工具的存在的通知發(fā)送到計(jì)算設(shè)備(680)�����。
【專利說(shuō)明】檢測(cè)透明網(wǎng)絡(luò)通信攔截工具
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及改進(jìn)的數(shù)據(jù)處理裝置和方法��,更具體地說(shuō)���,涉及用于檢測(cè)諸如防火墻和負(fù)載平衡器之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具的機(jī)制���。
【背景技術(shù)】
[0002]當(dāng)諸如防火墻和負(fù)載平衡器之類(lèi)的工具構(gòu)造完善并且被正確安裝時(shí),這些組件的功能應(yīng)該很難被自動(dòng)發(fā)現(xiàn)�����。其中一種原因是網(wǎng)絡(luò)安全性實(shí)施��。為了阻止惡意活動(dòng)�����,防火墻和負(fù)載平衡器應(yīng)該在計(jì)算網(wǎng)絡(luò)中僅呈現(xiàn)為另一種設(shè)備(例如��,路由器或服務(wù)器)��。而且�����,合法的發(fā)現(xiàn)機(jī)制使用管理連接來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的元件����。由于安全性機(jī)制,只有授權(quán)的客戶機(jī)才被允許進(jìn)行管理連接����。在許多情況下,很難獲取進(jìn)行此類(lèi)安全連接的證書(shū)����,從而使得防火墻和負(fù)載平衡器很難被檢測(cè)到。甚至超越涉及安全性的范疇��,從可能不需要安全證書(shū)的發(fā)現(xiàn)機(jī)制角度來(lái)看���,防火墻和負(fù)載平衡器就像服務(wù)器或路由器之類(lèi)的一般網(wǎng)絡(luò)組件那樣執(zhí)行任務(wù)��。在數(shù)據(jù)中心上下文中�����,情況尤其如此����,因?yàn)樗鼈兊奈ㄒ还δ軐?duì)于最終用戶是透明的,不受合法發(fā)現(xiàn)技術(shù)的影響����。
【發(fā)明內(nèi)容】
[0003]在一個(gè)示例性實(shí)施例中,提供一種在數(shù)據(jù)處理系統(tǒng)中的用于識(shí)別網(wǎng)絡(luò)拓?fù)鋬?nèi)的透明網(wǎng)絡(luò)通信攔截工具的方法��。所述方法包括從所述網(wǎng)絡(luò)拓?fù)鋬?nèi)的多個(gè)設(shè)備收集網(wǎng)絡(luò)配置數(shù)據(jù)并使用一種或多種試探法(heuristics)分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中指示透明網(wǎng)絡(luò)通信攔截工具的存在的模式��。所述方法還包括基于對(duì)所收集的網(wǎng)絡(luò)配置數(shù)據(jù)的分析結(jié)果計(jì)算置信測(cè)量值���。此外���,所述方法包括響應(yīng)于所計(jì)算的置信測(cè)量值達(dá)到或超過(guò)至少一個(gè)閾值,將有關(guān)所檢測(cè)的透明網(wǎng)絡(luò)通信攔截工具的存在的通知發(fā)送到計(jì)算設(shè)備�����。
[0004]在其它示例性實(shí)施例中���,提供一種計(jì)算機(jī)程序產(chǎn)品����,該計(jì)算機(jī)程序產(chǎn)品包括具有計(jì)算機(jī)可讀程序的計(jì)算機(jī)可用或可讀存儲(chǔ)介質(zhì)�,當(dāng)在計(jì)算設(shè)備上執(zhí)行時(shí),所述計(jì)算機(jī)可讀程序?qū)е滤鲇?jì)算設(shè)備執(zhí)行上面參考方法示例性實(shí)施例概述的操作中的多個(gè)操作以及這些操作的組合����。
[0005]在又一示例性實(shí)施例中,提供一種系統(tǒng)/裝置�����。所述系統(tǒng)/裝置可包括一個(gè)或多個(gè)處理器以及與所述一個(gè)或多個(gè)處理器相連的存儲(chǔ)器�����。所述存儲(chǔ)器可包括指令�����,當(dāng)被所述一個(gè)或多個(gè)處理器執(zhí)行時(shí)��,這些指令導(dǎo)致所述一個(gè)或多個(gè)處理器執(zhí)行上面參考方法示例性實(shí)施例概述的操作中的多個(gè)操作以及這些操作的組合�。
[0006]將參考下面對(duì)本發(fā)明的實(shí)例實(shí)施例的詳細(xì)描述來(lái)說(shuō)明本發(fā)明的這些以及其它特征和優(yōu)點(diǎn),并且通過(guò)下面的詳細(xì)描述����,這些以及其它特征和優(yōu)點(diǎn)將對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)變得更顯而易見(jiàn)�����。
【專利附圖】
【附圖說(shuō)明】
[0007]當(dāng)結(jié)合附圖閱讀時(shí)���,通過(guò)參考下面對(duì)示例性實(shí)施例的詳細(xì)描述,可最佳地理解本發(fā)明��、其優(yōu)選使用方式以及進(jìn)一步的目標(biāo)和優(yōu)點(diǎn)���,這些附圖是:
[0008]圖1是其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的分布式數(shù)據(jù)處理系統(tǒng)的實(shí)例圖��;
[0009]圖2是其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的計(jì)算設(shè)備的實(shí)例框圖���;
[0010]圖3是根據(jù)一個(gè)示例性實(shí)施例的透明網(wǎng)絡(luò)通信攔截工具(例如,負(fù)載平衡器)檢測(cè)機(jī)制的主操作元件的實(shí)例框圖��;
[0011]圖4示出其中包括服務(wù)器計(jì)算設(shè)備的服務(wù)器集群(或群)經(jīng)由第二層交換機(jī)連接到負(fù)載平衡器的網(wǎng)絡(luò)配置��;
[0012]圖5是示出對(duì)傳輸層上的虛擬IP地址(VIP)和真實(shí)IP地址(RIP)均做出響應(yīng)��,但是僅針對(duì)RIP發(fā)送地址解析協(xié)議(ARP)響應(yīng)的服務(wù)器的實(shí)例圖;以及
[0013]圖6是示出根據(jù)一個(gè)示例性實(shí)施例的負(fù)載平衡器檢測(cè)試探法引擎的實(shí)例操作的流程圖���。
【具體實(shí)施方式】
[0014]各示例性實(shí)施例提供用于發(fā)現(xiàn)諸如防火墻和負(fù)載平衡器之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具的機(jī)制。這些工具在此被稱為透明網(wǎng)絡(luò)通信攔截工具是因?yàn)檫@些工具的本質(zhì)是充當(dāng)數(shù)據(jù)通信的源和目標(biāo)之間的中介����,因此,它們攔截這些通信��,執(zhí)行對(duì)通信的某些處理(例如���,路由��、過(guò)濾��、修改等)��,然后轉(zhuǎn)發(fā)/阻止通信��。這些工具在此被稱為“透明”是因?yàn)檫@些工具的真實(shí)本質(zhì)/配置對(duì)于標(biāo)準(zhǔn)的發(fā)現(xiàn)機(jī)制而言是透明的�����,并且僅呈現(xiàn)為另一常見(jiàn)網(wǎng)絡(luò)設(shè)備����,不實(shí)現(xiàn)下面描述的示例性實(shí)施例的機(jī)制的標(biāo)準(zhǔn)發(fā)現(xiàn)機(jī)制不會(huì)了解它們的特殊用途。
[0015]在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中檢測(cè)諸如防火墻和負(fù)載平衡器之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具的位置對(duì)于在數(shù)據(jù)網(wǎng)絡(luò)中執(zhí)行的多個(gè)網(wǎng)絡(luò)管理操作而言非常重要��。例如�,此類(lèi)檢測(cè)可對(duì)于遷移操作非常重要,尤其是對(duì)于受管服務(wù)器集群的遷移����,即,將服務(wù)����、軟件實(shí)例、數(shù)據(jù)和/或類(lèi)似的項(xiàng)目從一組服務(wù)器計(jì)算設(shè)備移動(dòng)到位于相同或不同網(wǎng)絡(luò)/地理位置的另一組服務(wù)器計(jì)算設(shè)備�。也就是說(shuō),當(dāng)遷移受管服務(wù)器集群時(shí)�����,重要的是將服務(wù)器集群及其防火墻/負(fù)載平衡器作為單個(gè)單元遷移���。這是因?yàn)樨?fù)載平衡器作為服務(wù)器的“前端”執(zhí)行操作并且當(dāng)服務(wù)器移動(dòng)時(shí)����,一般需要重新配置負(fù)載平衡器。為實(shí)現(xiàn)最佳性能��,負(fù)載平衡器和服務(wù)器應(yīng)該彼此靠近�����。為此����,它們通常一起移動(dòng)�,或者在新的數(shù)據(jù)中心建立新的負(fù)載平衡器。這樣��,重要的是了解防火墻/負(fù)載平衡器在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中所處的位置�����,以便能夠?qū)⒎阑饓?負(fù)載平衡器及其關(guān)聯(lián)的受管服務(wù)器集群一起移動(dòng)���。應(yīng)當(dāng)理解��,對(duì)于其它網(wǎng)絡(luò)管理操作��,識(shí)別防火墻/負(fù)載平衡器����、或其它透明網(wǎng)絡(luò)通信攔截工具的位置也很重要。
[0016]但是��,如上所述��,在自動(dòng)識(shí)別諸如防火墻和負(fù)載平衡器之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具的位置方面存在障礙�����。發(fā)現(xiàn)機(jī)制利用管理連接執(zhí)行它們的發(fā)現(xiàn)操作���,由于安全機(jī)制和安全問(wèn)題�����,此類(lèi)透明網(wǎng)絡(luò)通信攔截工具不會(huì)對(duì)這些管理連接上的管理發(fā)現(xiàn)請(qǐng)求做出應(yīng)答��。因此����,透明網(wǎng)絡(luò)通信攔截工具針對(duì)發(fā)現(xiàn)機(jī)制似乎只是網(wǎng)絡(luò)拓?fù)渲械牧硪辉O(shè)備�����,因此,發(fā)現(xiàn)機(jī)制無(wú)法區(qū)分哪些設(shè)備是諸如防火墻或負(fù)載平衡器之類(lèi)的實(shí)際透明網(wǎng)絡(luò)通信攔截工具����。
[0017]各示例性實(shí)施例提供用于識(shí)別網(wǎng)絡(luò)拓?fù)渲械耐该骶W(wǎng)絡(luò)通信攔截工具的機(jī)制。各示例性實(shí)施例提供用于使用基于非探測(cè)的檢測(cè)方法預(yù)測(cè)諸如防火墻和負(fù)載平衡器之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具的存在和位置的框架和試探法��。各示例性實(shí)施例的機(jī)制查找從網(wǎng)絡(luò)設(shè)備收集的網(wǎng)絡(luò)配置數(shù)據(jù)和應(yīng)用/文件數(shù)據(jù)中的特定模式��,然后將這些模式與指示透明網(wǎng)絡(luò)通信攔截工具的存在和/或位置的已知模式進(jìn)行匹配���。然后基于數(shù)據(jù)模式的匹配計(jì)算置信測(cè)量以確定預(yù)測(cè)透明網(wǎng)絡(luò)通信攔截工具的存在/位置的置信水平?�;谥眯艤y(cè)量����,然后可生成通知并將該通知發(fā)送給系統(tǒng)管理員、自動(dòng)遷移機(jī)制等�����,以向特定實(shí)體通知透明網(wǎng)絡(luò)通信攔截工具的存在/位置���。
[0018]所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道����,本發(fā)明的各個(gè)方面可以實(shí)現(xiàn)為系統(tǒng)、方法或計(jì)算機(jī)程序產(chǎn)品�。因此,本發(fā)明的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式����,即:完全的硬件實(shí)施方式、完全的軟件實(shí)施方式(包括固件�、駐留軟件、微代碼等)�,或硬件和軟件方面結(jié)合的實(shí)施方式,這里可以統(tǒng)稱為“電路”�、“模塊”或“系統(tǒng)”。此外�,在一些實(shí)施例中,本發(fā)明的各個(gè)方面還可以實(shí)現(xiàn)為在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式�����,該計(jì)算機(jī)可讀介質(zhì)中包含計(jì)算機(jī)可讀的程序代碼�。
[0019]可以采用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號(hào)介質(zhì)或者計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是一但不限于——電、磁���、光���、電磁���、紅外線、或半導(dǎo)體的系統(tǒng)���、裝置或器件�����,或者任意以上的組合���。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個(gè)或多個(gè)導(dǎo)線的電連接�����、便攜式計(jì)算機(jī)盤(pán)�、硬盤(pán)、隨機(jī)存取存儲(chǔ)器(RAM)�、只讀存儲(chǔ)器(ROM)、可擦式可編程只讀存儲(chǔ)器(EPR0M或閃存)��、光纖、便攜式緊湊盤(pán)只讀存儲(chǔ)器(CD-ROM)����、光存儲(chǔ)器件、磁存儲(chǔ)器件�����、或者上述的任意合適的組合��。在本文件中�,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是任何包含或存儲(chǔ)程序的有形介質(zhì),該程序可以被指令執(zhí)行系統(tǒng)���、裝置或者器件使用或者與其結(jié)合使用����。
[0020]計(jì)算機(jī)可讀的信號(hào)介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號(hào)���,其中承載了計(jì)算機(jī)可讀的程序代碼���。這種傳播的數(shù)據(jù)信號(hào)可以采用多種形式,包括——但不限于——電磁信號(hào)��、光信號(hào)或上述的任意合適的組合。計(jì)算機(jī)可讀的信號(hào)介質(zhì)還可以是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)以外的任何計(jì)算機(jī)可讀介質(zhì)�����,該計(jì)算機(jī)可讀介質(zhì)可以發(fā)送���、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)���、裝置或者器件使用或者與其結(jié)合使用的程序。
[0021]包含在計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)代碼可使用任何適當(dāng)?shù)慕橘|(zhì)傳輸����,其中包括但不限于無(wú)線、線纜�����、光纖電纜����、射頻(RF)等���,或上述的任意合適的組合�。
[0022]可以以一種或多種程序設(shè)計(jì)語(yǔ)言的任意組合來(lái)編寫(xiě)用于執(zhí)行本發(fā)明操作的計(jì)算機(jī)程序代碼,所述程序設(shè)計(jì)語(yǔ)言包括面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言一諸如Java?�、Smalltalk?、C++等��,還包括常規(guī)的過(guò)程式程序設(shè)計(jì)語(yǔ)言一諸如“C”語(yǔ)言或類(lèi)似的程序設(shè)計(jì)語(yǔ)言����。程序代碼可以完全地在用戶計(jì)算機(jī)上執(zhí)行�����、部分地在用戶計(jì)算機(jī)上執(zhí)行、作為一個(gè)獨(dú)立的軟件包執(zhí)行����、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行、或者完全在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行�。在涉及遠(yuǎn)程計(jì)算機(jī)的情形中,遠(yuǎn)程計(jì)算機(jī)可以通過(guò)任意種類(lèi)的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)—連接到用戶計(jì)算機(jī)���,或者�,可以連接到外部計(jì)算機(jī)(例如利用因特網(wǎng)服務(wù)提供商來(lái)通過(guò)因特網(wǎng)連接)�����。
[0023]下面將參照根據(jù)本發(fā)明示例性實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明的各方面���。應(yīng)當(dāng)理解�,流程圖和/或框圖的每個(gè)方框以及流程圖和/或框圖中各方框的組合�����,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)��。這些計(jì)算機(jī)程序指令可以提供給通用計(jì)算機(jī)���、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器����,從而生產(chǎn)出一種機(jī)器����,使得這些計(jì)算機(jī)程序指令在通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時(shí),產(chǎn)生了實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置��。
[0024]也可以把這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中���,這些指令使得計(jì)算機(jī)����、其它可編程數(shù)據(jù)處理裝置��、或其他設(shè)備以特定方式工作��,從而�����,存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的指令就產(chǎn)生出包括實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的指令的制造品(article of manufacture)���。
[0025]也可以把計(jì)算機(jī)程序指令加載到計(jì)算機(jī)����、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備上���,使得在計(jì)算機(jī)�、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備上執(zhí)行一系列操作步驟����,以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的過(guò)程,從而在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令就提供實(shí)現(xiàn)流程圖和/或框圖中的方框中規(guī)定的功能/操作的過(guò)程。
[0026]附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的系統(tǒng)����、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作��。在這點(diǎn)上�����,流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊�����、程序段或代碼的一部分�����,所述模塊�、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意����,在有些作為替換的實(shí)現(xiàn)中,方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生����。例如���,兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行�,它們有時(shí)也可以按相反的順序執(zhí)行,這依所涉及的功能而定�。也要注意的是,框圖和/或流程圖中的每個(gè)方框�����、以及框圖和/或流程圖中的方框的組合��,可以用執(zhí)行規(guī)定的功能或動(dòng)作的專用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)���,或者可以用專用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)��。
[0027]因此��,示例性實(shí)施例可被用于多種不同類(lèi)型的數(shù)據(jù)處理環(huán)境�����。為了提供描述示例性實(shí)施例的特定元件和功能的上下文����,下面提供圖1和2作為其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的實(shí)例環(huán)境。應(yīng)該理解�����,圖1和2僅作為實(shí)例�����,并非旨在宣稱或暗示對(duì)其中可實(shí)現(xiàn)本發(fā)明的各方面或?qū)嵤├沫h(huán)境的任何限制���。在不偏離本發(fā)明的精神和范圍的情況下���,可對(duì)所示環(huán)境做出許多修改。
[0028]圖1示出其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的實(shí)例分布式數(shù)據(jù)處理系統(tǒng)的圖形表示����。分布式數(shù)據(jù)處理系統(tǒng)100可包括其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的計(jì)算機(jī)網(wǎng)絡(luò)。分布式數(shù)據(jù)處理系統(tǒng)100包含至少一個(gè)網(wǎng)絡(luò)102�����,該網(wǎng)絡(luò)是用于提供分布式數(shù)據(jù)處理網(wǎng)絡(luò)100中連接在一起的多個(gè)設(shè)備與計(jì)算機(jī)之間的通信鏈路的介質(zhì)�����。網(wǎng)絡(luò)102可包括連接,例如有線���、無(wú)線通信鏈路或光纜�����。
[0029]在所示實(shí)例中,服務(wù)器104和服務(wù)器106連同存儲(chǔ)單元108—起與網(wǎng)絡(luò)102相連��。此外��,客戶機(jī)110��、112和114與網(wǎng)絡(luò)102相連���。這些客戶機(jī)110�����、112和114例如可以是個(gè)人計(jì)算機(jī)����、網(wǎng)絡(luò)計(jì)算機(jī)等。在所示實(shí)例中�����,服務(wù)器104將諸如引導(dǎo)文件����、操作系統(tǒng)映像及應(yīng)用之類(lèi)的數(shù)據(jù)提供給客戶機(jī)110、112和114�。客戶機(jī)110��、112和114在所示實(shí)例中是服務(wù)器104的客戶機(jī)����。分布式數(shù)據(jù)處理系統(tǒng)100可以包括額外服務(wù)器、客戶機(jī)以及其它未示出的設(shè)備����。
[0030]在所示實(shí)例中,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100是因特網(wǎng)����,同時(shí)網(wǎng)絡(luò)102代表全球范圍內(nèi)使用傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)協(xié)議集來(lái)相互通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的集合。在因特網(wǎng)的核心是主節(jié)點(diǎn)或主機(jī)之間的高速數(shù)據(jù)通信線路的主干�����,它包括數(shù)以千計(jì)的商業(yè)、政府����、教育以及其他路由數(shù)據(jù)和消息的計(jì)算機(jī)系統(tǒng)。當(dāng)然���,網(wǎng)絡(luò)數(shù)據(jù)處理系統(tǒng)100也可以被實(shí)現(xiàn)為包括許多不同類(lèi)型的網(wǎng)絡(luò)����,諸如例如企業(yè)內(nèi)部互聯(lián)網(wǎng)���、局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)。如上所述����,圖1旨在作為一個(gè)實(shí)例,并非旨在作為對(duì)本發(fā)明的不同實(shí)施例的體系結(jié)構(gòu)限制��,因此����,圖1所示的特定元件不應(yīng)被視為對(duì)其中可實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例的環(huán)境的限制���。
[0031]圖2是其中可實(shí)現(xiàn)示例性實(shí)施例的各方面的實(shí)例數(shù)據(jù)處理系統(tǒng)的框圖。數(shù)據(jù)處理系統(tǒng)200是諸如圖1中的客戶機(jī)110之類(lèi)的計(jì)算機(jī)的實(shí)例��,其中可包含實(shí)現(xiàn)本發(fā)明的示例性實(shí)施例的過(guò)程的計(jì)算機(jī)可用代碼或指令�����。
[0032]在所示實(shí)例中�����,數(shù)據(jù)處理系統(tǒng)200采用中心架構(gòu)�����,其中包括北橋和內(nèi)存控制中心(NB/MCH) 202以及南橋和輸入/輸出(I/O)控制中心(SB/ICH)204����。處理單元206、主存儲(chǔ)器208和圖形處理器210與NB/MCH202相連����。圖形處理器210可通過(guò)加速圖形端口(AGP)與 NB/MCH202 相連。
[0033]在所示實(shí)例中,局域網(wǎng)(LAN)適配器212與SB/ICH 204相連��。音頻適配器216�����、鍵盤(pán)和鼠標(biāo)適配器220�����、調(diào)制解調(diào)器222����、只讀存儲(chǔ)器(ROM) 224、硬盤(pán)驅(qū)動(dòng)器(HDD) 226�、⑶-ROM驅(qū)動(dòng)器230、通用串行總線(USB)端口和其它通信端口 232��,以及PCI/PCIe設(shè)備234通過(guò)總線238和240與SB/ICH 204相連���。PCI/PCIe設(shè)備例如可包括用于筆記本計(jì)算機(jī)的以太網(wǎng)適配器、附加卡和PC卡��。PCI使用卡總線控制器��,而PCIe不使用。ROM 224例如可以是閃存基本輸入/輸出系統(tǒng)(B1S)��。
[0034]HDD 226 和 CD-ROM 驅(qū)動(dòng)器 230 通過(guò)總線 240 與 SB/ICH 204 相連�。HDD 226 和CD-ROM驅(qū)動(dòng)器230例如可使用集成驅(qū)動(dòng)電子設(shè)備(IDE)或串行高級(jí)技術(shù)附件(SATA)接口。超級(jí)1/0 (S1)設(shè)備236可與SB/ICH204相連��。
[0035]操作系統(tǒng)在處理單元206上運(yùn)行����。操作系統(tǒng)協(xié)調(diào)圖2所示的數(shù)據(jù)處理系統(tǒng)200內(nèi)的各個(gè)組件并提供對(duì)它們的控制。作為客戶機(jī)���,操作系統(tǒng)可以是諸如Microsoft? Windows 7?.之類(lèi)在市場(chǎng)上可買(mǎi)到的操作系統(tǒng)��。諸如Java?編程系統(tǒng)之類(lèi)面向?qū)ο蟮木幊滔到y(tǒng)可結(jié)合操作系統(tǒng)運(yùn)行�,并且提供從數(shù)據(jù)處理系統(tǒng)200上執(zhí)行的Java?程序或應(yīng)用對(duì)操作系統(tǒng)的調(diào)用��。
[0036]作為服務(wù)器����,數(shù)據(jù)處理系統(tǒng)200例如可以是IBM? eServer? System P?汁算機(jī)系統(tǒng),該系統(tǒng)運(yùn)行高級(jí)交互執(zhí)行(Aix?>操作系統(tǒng)或LINUX?,操作系統(tǒng)�����。數(shù)據(jù)處理系統(tǒng)200可以是在處理單元206中包括多個(gè)處理器的對(duì)稱多處理器(SMP)系統(tǒng)。備選地�,可采用單處理器系統(tǒng)。
[0037]用于操作系統(tǒng)����、面向?qū)ο蟮木幊滔到y(tǒng)以及應(yīng)用或程序的指令位于諸如HDD 226之類(lèi)的存儲(chǔ)設(shè)備中,并且可被加載到主存儲(chǔ)器208中以便由處理單元206執(zhí)行�����。本發(fā)明的各示例性實(shí)施例的過(guò)程可由處理單元206使用計(jì)算機(jī)可用程序代碼執(zhí)行��,該計(jì)算機(jī)可用程序代碼可位于諸如主存儲(chǔ)器208���、ROM 224之類(lèi)的存儲(chǔ)器中�����,也可位于例如一個(gè)或多個(gè)外圍設(shè)備226和230中�����。
[0038]圖2所示的諸如總線238或總線240之類(lèi)的總線系統(tǒng)可包括一個(gè)或多個(gè)總線。當(dāng)然���,總線系統(tǒng)也可使用任何類(lèi)型的通信結(jié)構(gòu)或架構(gòu)實(shí)現(xiàn)��,這些通信結(jié)構(gòu)或架構(gòu)提供與它們相連的不同組件或設(shè)備之間的數(shù)據(jù)傳輸����。圖2中諸如調(diào)制解調(diào)器222或網(wǎng)絡(luò)適配器212之類(lèi)的通信單元可包括一個(gè)或多個(gè)用于發(fā)送和接收數(shù)據(jù)的設(shè)備。存儲(chǔ)器例如可以是主存儲(chǔ)器208����、R0M224或在圖2的NB/MCH中發(fā)現(xiàn)的高速緩存。
[0039]本領(lǐng)域的普通技術(shù)人員將理解���,圖1和2中的硬件可根據(jù)實(shí)現(xiàn)而變化����,可使用諸如閃存����、等效的非易失性存儲(chǔ)器或光盤(pán)驅(qū)動(dòng)器之類(lèi)的其它內(nèi)部硬件或外圍設(shè)備作為圖1和2所示的硬件的補(bǔ)充或替代。另外���,在不偏離本發(fā)明的精神和范圍的情況下�,各示例性實(shí)施例的過(guò)程也可應(yīng)用于上述SMP系統(tǒng)之外的多處理器數(shù)據(jù)處理系統(tǒng)��。
[0040]此外,數(shù)據(jù)處理系統(tǒng)200可采取多種不同的數(shù)據(jù)處理系統(tǒng)中的任一個(gè)��,其中包括客戶機(jī)計(jì)算設(shè)備����、服務(wù)器計(jì)算設(shè)備、平板計(jì)算機(jī)���、膝上型計(jì)算機(jī)����、電話或其它通信設(shè)備����、個(gè)人數(shù)字助理(PDA)等。在某些示例性實(shí)例中���,數(shù)據(jù)處理系統(tǒng)200可以是便攜式計(jì)算設(shè)備����,該設(shè)備配備閃存以提供非易失性存儲(chǔ)器來(lái)存儲(chǔ)例如操作系統(tǒng)文件和/或用戶生成的文件�����。本質(zhì)上�,數(shù)據(jù)處理系統(tǒng)200可以是任何已知或隨后開(kāi)發(fā)的數(shù)據(jù)處理系統(tǒng)而沒(méi)有架構(gòu)限制。
[0041]再次參考圖1�,網(wǎng)絡(luò)100內(nèi)的服務(wù)器104、106���,或其它服務(wù)器(未示出)中的一個(gè)或多個(gè)實(shí)際可具有導(dǎo)致服務(wù)器104����、106用作防火墻(在此情況下��,服務(wù)器充當(dāng)圖1中未示出的其它計(jì)算設(shè)備的網(wǎng)關(guān)設(shè)備)���、負(fù)載平衡器或其它類(lèi)型的透明網(wǎng)絡(luò)通信攔截工具的軟件/硬件�。備選地����,諸如路由器之類(lèi)在圖1中未示出的其它數(shù)據(jù)處理設(shè)備可具有用于實(shí)現(xiàn)防火墻、負(fù)載平衡器�����,或其它類(lèi)型的透明網(wǎng)絡(luò)通信攔截工具的軟件���。
[0042]為了下面描述的目的�����,假設(shè)透明網(wǎng)絡(luò)通信攔截工具是負(fù)載平衡器���,其目的是:根據(jù)某些已建立的策略���,在資源集群(例如,服務(wù)器����、磁盤(pán)、網(wǎng)絡(luò)鏈路等)上分布客戶機(jī)資源請(qǐng)求����,從而跨多個(gè)服務(wù)器平衡網(wǎng)絡(luò)通信處理負(fù)載。因此����,負(fù)載平衡器具有接收入站網(wǎng)絡(luò)業(yè)務(wù)的入站網(wǎng)絡(luò)地址/端口,并將入站網(wǎng)絡(luò)業(yè)務(wù)映射到多個(gè)出站網(wǎng)絡(luò)地址/端口�����,每個(gè)出站地址/端口與一個(gè)或多個(gè)后端服務(wù)器或者其它類(lèi)型的計(jì)算設(shè)備關(guān)聯(lián)。因此���,基于負(fù)載平衡器所做的負(fù)載平衡判定,入站網(wǎng)絡(luò)業(yè)務(wù)被重定向到這些出站地址/端口中的一個(gè)���,從而到達(dá)對(duì)應(yīng)的服務(wù)器或其它計(jì)算設(shè)備以進(jìn)行處理����。結(jié)果���,入站負(fù)載在這些多個(gè)服務(wù)器/計(jì)算設(shè)備上分布以實(shí)現(xiàn)負(fù)載平衡��。其它類(lèi)型的由于其透明本質(zhì)而一般不能被發(fā)現(xiàn)機(jī)制發(fā)現(xiàn)的工具(例如���,防火墻等)同樣可以是示例性實(shí)施例的檢測(cè)機(jī)制的主題。
[0043]可通過(guò)了解此類(lèi)透明網(wǎng)絡(luò)通信攔截工具(下文使用負(fù)載平衡器作為透明網(wǎng)絡(luò)通信攔截工具的實(shí)例)在網(wǎng)絡(luò)拓?fù)鋬?nèi)的存在性和位置���,增強(qiáng)網(wǎng)絡(luò)內(nèi)的許多操作��。例如�,當(dāng)數(shù)據(jù)中心、服務(wù)器集���、服務(wù)器集群�、服務(wù)器上的服務(wù)���、服務(wù)器上的應(yīng)用等需要從一組服務(wù)器遷移到另一組服務(wù)器�����,或者從一個(gè)位置遷移到另一位置時(shí)��,有利地將負(fù)載平衡器與受管資源(例如��,服務(wù)器�����、服務(wù)�、應(yīng)用等)作為一個(gè)結(jié)合單元一起遷移���。因此���,有利地具有能夠識(shí)別此類(lèi)負(fù)載平衡器是否有可能位于網(wǎng)絡(luò)拓?fù)鋬?nèi)的發(fā)現(xiàn)機(jī)制,并且如果可能,識(shí)別這些負(fù)載平衡器在網(wǎng)絡(luò)拓?fù)鋬?nèi)的位置���。出于上面描述的原因���,當(dāng)前的發(fā)現(xiàn)機(jī)制不能執(zhí)行此類(lèi)操作。
[0044]根據(jù)各示例性實(shí)施例的機(jī)制��,服務(wù)器104����、106�、客戶機(jī)110-114或者其它計(jì)算設(shè)備(未示出)中的一個(gè)或多個(gè)提供用于實(shí)現(xiàn)透明網(wǎng)絡(luò)通信攔截工具(例如,防火墻����、負(fù)載平衡器等)檢測(cè)機(jī)制的硬件/軟件。透明網(wǎng)絡(luò)通信攔截工具(下文稱為“負(fù)載平衡器”)檢測(cè)機(jī)制分析在發(fā)現(xiàn)過(guò)程中從網(wǎng)絡(luò)拓?fù)涞亩鄠€(gè)設(shè)備收集的數(shù)據(jù)�,以識(shí)別指示位于一個(gè)或多個(gè)設(shè)備中的負(fù)載平衡器功能的存在的數(shù)據(jù)模式。檢測(cè)機(jī)制進(jìn)一步基于所執(zhí)行的模式分析的結(jié)果的組合計(jì)算置信測(cè)量�,然后提供有關(guān)負(fù)載平衡器位于網(wǎng)絡(luò)拓?fù)鋬?nèi)和/或其在網(wǎng)絡(luò)拓?fù)鋬?nèi)的位置的通知。這些通知然后可被用于配置遷移操作或其它操作���,在這些操作中�����,負(fù)載平衡器的存在和位置是一個(gè)因素��。
[0045]圖3是根據(jù)一個(gè)示例性實(shí)施例的透明網(wǎng)絡(luò)通信攔截工具(例如����,負(fù)載平衡器)檢測(cè)機(jī)制的主操作元件的實(shí)例框圖。圖3所示的元件可被實(shí)現(xiàn)為硬件�����、軟件或硬件和軟件的任意組合�����。例如���,在一個(gè)示例性實(shí)施例中��,圖3中的元件可被實(shí)現(xiàn)為軟件指令和數(shù)據(jù)���,該軟件指令和數(shù)據(jù)被一個(gè)或多個(gè)計(jì)算設(shè)備/系統(tǒng)(例如,服務(wù)器計(jì)算設(shè)備���、客戶機(jī)計(jì)算設(shè)備�、共同組成系統(tǒng)的計(jì)算設(shè)備的集合等)的一個(gè)或多個(gè)數(shù)據(jù)處理設(shè)備(例如,處理器����、存儲(chǔ)器、諸如總線之類(lèi)的通信硬件����、網(wǎng)絡(luò)接口等)執(zhí)行/處理。
[0046]如圖3所示���,負(fù)載平衡器檢測(cè)機(jī)制300包括一個(gè)或多個(gè)發(fā)現(xiàn)工具310,這些工具可操作以從網(wǎng)絡(luò)拓?fù)?05內(nèi)的網(wǎng)絡(luò)設(shè)備/工具收集數(shù)據(jù)并將該數(shù)據(jù)提供給數(shù)據(jù)收集和過(guò)濾引擎320�。數(shù)據(jù)收集和過(guò)濾引擎320從網(wǎng)絡(luò)拓?fù)?0內(nèi)的多個(gè)設(shè)備/工具收集發(fā)現(xiàn)工具310獲取的數(shù)據(jù),過(guò)濾這些數(shù)據(jù)以查找發(fā)現(xiàn)機(jī)制感興趣的數(shù)據(jù)����,并將經(jīng)過(guò)濾的數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)330中以供進(jìn)一步分析和處理。負(fù)載平衡器檢測(cè)試探法引擎340然后持續(xù)地��、定期地或響應(yīng)于用戶命令����、自動(dòng)工具命令之類(lèi)的事件或其它事件�����,使用已確立的試探法對(duì)數(shù)據(jù)倉(cāng)庫(kù)330中存儲(chǔ)的數(shù)據(jù)執(zhí)行分析以判定負(fù)載平衡器在網(wǎng)絡(luò)拓?fù)鋬?nèi)的存在和/或位置�����。
[0047]負(fù)載平衡器檢測(cè)試探法引擎340可將有關(guān)檢測(cè)/未檢測(cè)網(wǎng)絡(luò)拓?fù)?05內(nèi)的負(fù)載平衡器的通知提供給報(bào)告引擎350�����,報(bào)告引擎350生成被存儲(chǔ)和/或輸出到授權(quán)的用戶計(jì)算設(shè)備360���、自動(dòng)工具370等的報(bào)告數(shù)據(jù)結(jié)構(gòu)。這些元件360��、370然后利用報(bào)告數(shù)據(jù)結(jié)構(gòu)�,對(duì)網(wǎng)絡(luò)拓?fù)鋱?zhí)行管理操作,例如遷移操作等����,并且可進(jìn)一步將反饋輸入提供給負(fù)載平衡器檢測(cè)試探法引擎340以修改試探法或試探法使用的參數(shù),從而反映負(fù)載平衡器的存在/位置的檢測(cè)是否正確�����,并且修改負(fù)載平衡器檢測(cè)試探法引擎340的操作,使其在負(fù)載平衡器的存在/位置檢測(cè)方面更精確���。
[0048]如上所述�����,各示例性實(shí)施例利用發(fā)現(xiàn)工具從網(wǎng)絡(luò)拓?fù)?05的網(wǎng)絡(luò)設(shè)備/工具獲取網(wǎng)絡(luò)配置數(shù)據(jù)和/或應(yīng)用/文件數(shù)據(jù)����?��?捎糜谑占祟?lèi)網(wǎng)絡(luò)配置數(shù)據(jù)和/或應(yīng)用/文件數(shù)據(jù)的發(fā)現(xiàn)工具的一個(gè)實(shí)例包括位于紐約.阿蒙克市的國(guó)際商業(yè)機(jī)器公司(IBM)推出的SCOPE發(fā)現(xiàn)工具���。SCOPE機(jī)制使用基于網(wǎng)絡(luò)的探測(cè)(Tivoli Applicat1n Dependency Detect1nManager (TADDM),也是IBM Corporat1n的產(chǎn)品)以及服務(wù)器管理員直接啟動(dòng)或通過(guò)自動(dòng)機(jī)制啟動(dòng)的腳本庫(kù)的組合��。所使用的腳本可以是在負(fù)載平衡器檢測(cè)機(jī)制300上執(zhí)行的本地腳本���,也可以是在網(wǎng)絡(luò)拓?fù)?05的多個(gè)設(shè)備/工具上執(zhí)行的遠(yuǎn)程腳本。此外����,可使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)機(jī)制收集有關(guān)組成網(wǎng)絡(luò)拓?fù)涞亩鄠€(gè)設(shè)備(例如��,路由器�、交換機(jī)��、服務(wù)器����、工作站、打印機(jī)���、調(diào)制解調(diào)器機(jī)架等)的配置信息���。其它可使用的發(fā)現(xiàn)工具310包括到已安裝中間件的網(wǎng)絡(luò)應(yīng)用程序接口(API)的直接連接、諸如開(kāi)源網(wǎng)絡(luò)映射器(NMAP)實(shí)用工具之類(lèi)的指紋識(shí)別系統(tǒng)等����。需要指出,盡管探測(cè)可直接用于獲取有關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施中其它設(shè)備的信息�,但是各示例性實(shí)施例不限于使用透明網(wǎng)絡(luò)通信攔截工具的直接探測(cè)來(lái)發(fā)現(xiàn)其存在和本質(zhì)。與之相反���,探測(cè)可以間接的方式使用���,并且即使采用間接的方式�,也不一定使用探測(cè)才能發(fā)揮各示例性實(shí)施例的機(jī)制的功能���。
[0049]在不偏離各示例性實(shí)施例的精神和范圍的情況下�,可使用能夠從網(wǎng)絡(luò)拓?fù)涞脑O(shè)備獲取網(wǎng)絡(luò)配置數(shù)據(jù)的任何類(lèi)型的發(fā)現(xiàn)工具����。但是,為了下面描述的目的�,假設(shè)本地和遠(yuǎn)程腳本主要用于從網(wǎng)絡(luò)拓?fù)鋬?nèi)的服務(wù)器計(jì)算設(shè)備收集配置信息,因此負(fù)載平衡器�����、防火墻和其它透明網(wǎng)絡(luò)通信攔截工具一般被托管在服務(wù)器計(jì)算設(shè)備上或在服務(wù)器計(jì)算設(shè)備上實(shí)現(xiàn)�,或者與服務(wù)器計(jì)算設(shè)備關(guān)聯(lián)。例如�,Galapagos是腳本套件,該套件運(yùn)行諸如Unix ifconfig和Isof之類(lèi)實(shí)用程序,然后歸檔結(jié)果以及特定配置文件的副本�����,并且允許結(jié)果被輕松地發(fā)送到發(fā)現(xiàn)機(jī)制�����,并且被從該發(fā)現(xiàn)機(jī)制導(dǎo)入SCOPE數(shù)據(jù)庫(kù)��。TADDM具備某些服務(wù)器集的訪問(wèn)證書(shū)(登錄或SNMP)���,因此可以通過(guò)網(wǎng)絡(luò)連接并執(zhí)行與Galapagos相同的操作�����。這些只是可用于提供腳本以從網(wǎng)絡(luò)設(shè)備/工具收集配置數(shù)據(jù)的發(fā)現(xiàn)工具的類(lèi)型實(shí)例���。可使用發(fā)現(xiàn)工具310收集并且通過(guò)過(guò)濾機(jī)制存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)330中的配置數(shù)據(jù)類(lèi)型的實(shí)例例如對(duì)于每個(gè)設(shè)備/工具包括網(wǎng)絡(luò)接口列表(包括環(huán)回設(shè)備)�����,該列表包含介質(zhì)訪問(wèn)控制(MAC)地址����、設(shè)備類(lèi)型、IP地址����、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)信息;本地地址解析協(xié)議(ARP)高速緩存轉(zhuǎn)儲(chǔ)等。該配置數(shù)據(jù)可直接從設(shè)備/工具本身收集����,也可間接地從與其連接的設(shè)備(例如,路由器����、交換機(jī)或可具有更完整的ARP表的設(shè)備)收集。例如�,用于直接獲取信息的一個(gè)機(jī)制是使用集群分析算法,該算法從集群中的服務(wù)器收集所有開(kāi)放端口的列表���。這些端口中的一部分例如在每個(gè)服務(wù)器上是開(kāi)放的�,因此���,此信息不攜帶任何信息(例如���,端口 135和445)并可被濾出�。諸如smtp端口 25之類(lèi)的其它端口可被識(shí)別為僅在獨(dú)立于基本操作系統(tǒng)的郵件服務(wù)器上開(kāi)放?����?墒褂檬纠詫?shí)施例的機(jī)制從這些其它設(shè)備獲取并分析此類(lèi)配置信息,以推斷透明網(wǎng)絡(luò)通信攔截工具的存在�����。
[0050]SNMP對(duì)于從網(wǎng)絡(luò)工具收集信息非常有用���。網(wǎng)絡(luò)工具上的命令行接口可根據(jù)供應(yīng)商的不同而有較大的變化,并且SNMP提供更具預(yù)測(cè)性的標(biāo)準(zhǔn)化接口收集配置信息�。SNMP版本3允許用戶/密碼認(rèn)證,但是舊版本的SNMP依賴于“社區(qū)字符串”的知識(shí)����。尤其是因?yàn)榇巳踉L問(wèn)保護(hù)歷史,所以一般使用白名單識(shí)別哪些源IP地址被允許訪問(wèn)網(wǎng)絡(luò)工具的SNMP接口����。因此,為了使用SNMP作為發(fā)現(xiàn)工具310之一����,有必要建立允許基于SNMP的發(fā)現(xiàn)工具訪問(wèn)網(wǎng)絡(luò)拓?fù)?05的多個(gè)設(shè)備/工具以從中收集配置信息的白名單或社區(qū)字符串。
[0051]這些腳本��、探測(cè)和其它發(fā)現(xiàn)工具310可從網(wǎng)絡(luò)拓?fù)?05的多個(gè)設(shè)備/工具收集配置數(shù)據(jù)�����,并且將該配置數(shù)據(jù)返回到數(shù)據(jù)收集和過(guò)濾引擎320。數(shù)據(jù)收集和過(guò)濾引擎320基于數(shù)據(jù)收集和過(guò)濾引擎320的已建立的策略過(guò)濾所收集的配置數(shù)據(jù)以查找感興趣的配置數(shù)據(jù)��,并且組織經(jīng)過(guò)濾的數(shù)據(jù)以存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)330中��。
[0052]負(fù)載平衡器檢測(cè)試探法引擎340分析存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)330中的數(shù)據(jù)以檢測(cè)指示設(shè)備/工具的存在的模式��,在正常的發(fā)現(xiàn)過(guò)程限制下�����,這些設(shè)備/工具很難檢測(cè)���,例如負(fù)載平衡器��、防火墻和其它類(lèi)型的透明網(wǎng)絡(luò)通信攔截工具����,具體是指實(shí)例實(shí)現(xiàn)中的負(fù)載平衡器����。這些模式的本質(zhì)從單個(gè)設(shè)備的配置(例如,服務(wù)器環(huán)回接口配置)到跨多個(gè)設(shè)備的特性分布(例如�����,單個(gè)子網(wǎng)上具有不同默認(rèn)網(wǎng)關(guān)的多個(gè)主機(jī))。使用此類(lèi)模式的組合有利于漸進(jìn)����、有效地估計(jì)所查找的設(shè)備(例如���,負(fù)載平衡器���、防火墻等)的位置。
[0053]直接探測(cè)諸如負(fù)載平衡器和防火墻之類(lèi)的透明網(wǎng)絡(luò)通信攔截工具對(duì)于上述發(fā)現(xiàn)目的而言并非始終可行�����。但是�,在設(shè)備配置中檢測(cè)特定的模式可指示與負(fù)載平衡器、防火墻等的“關(guān)聯(lián)”�����。具體而言����,各示例性實(shí)施例的負(fù)載平衡器檢測(cè)試探法引擎340使用一個(gè)或多個(gè)多設(shè)備試探法和/或一個(gè)或多個(gè)單設(shè)備試探法來(lái)估計(jì)一組主機(jī)為一個(gè)或多個(gè)負(fù)載平衡器提供資源的概率�。
[0054]在詳細(xì)描述負(fù)載平衡器檢測(cè)試探法引擎340實(shí)現(xiàn)各種試探法的方式之前���,首先描述試探法的基本推理����。
[0055]分析子網(wǎng)網(wǎng)關(guān)分配
[0056]分析網(wǎng)絡(luò)拓?fù)?05的同一子網(wǎng)中的一組主機(jī)系統(tǒng)的網(wǎng)關(guān)分配有助于預(yù)測(cè)負(fù)載平衡器或其它透明網(wǎng)絡(luò)通信攔截工具的存在����。企業(yè)負(fù)載平衡器通常使用多種傳統(tǒng)網(wǎng)絡(luò)配置和分組流中的任一個(gè)來(lái)部署。圖4例如示出其中包括服務(wù)器計(jì)算設(shè)備402和404的服務(wù)器集群(或群)410經(jīng)由第二層交換機(jī)420連接到負(fù)載平衡器430的網(wǎng)絡(luò)配置���。服務(wù)器集群410與路由器440位于不同網(wǎng)絡(luò)����。服務(wù)器計(jì)算設(shè)備402和404提供的服務(wù)的地址是負(fù)載平衡器430的虛擬IP(VIP)地址�,使得經(jīng)由路由器440路由的客戶機(jī)請(qǐng)求使用負(fù)載平衡器430的VIP地址。一旦負(fù)載平衡器430經(jīng)由路由器440從客戶機(jī)接收請(qǐng)求�,負(fù)載平衡器430便使用負(fù)載平衡器430內(nèi)部的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)結(jié)構(gòu)將請(qǐng)求的目的地地址轉(zhuǎn)換為服務(wù)器集群410中的服務(wù)器402、404之一的地址��。
[0057]當(dāng)請(qǐng)求到達(dá)服務(wù)器402���、404時(shí)��,它們將服務(wù)器402����、404的IP地址視為目的地地址,將客戶機(jī)IP地址視為源地址��。由于該地址轉(zhuǎn)換�����,服務(wù)器402�����、404無(wú)法直接將響應(yīng)分組(多個(gè))發(fā)送回客戶機(jī)�,因?yàn)榭蛻魴C(jī)希望應(yīng)答來(lái)自請(qǐng)求所發(fā)送到的原始VIP����。因此,服務(wù)器402,404需要將分組發(fā)送回負(fù)載平衡器430�����,負(fù)載平衡器430然后執(zhí)行逆向網(wǎng)絡(luò)地址轉(zhuǎn)換�����,并將響應(yīng)分組(多個(gè))發(fā)送回發(fā)送該請(qǐng)求的客戶機(jī)。為了實(shí)現(xiàn)此路由模式�,負(fù)載平衡器430需要被配置為服務(wù)器402、404上的默認(rèn)網(wǎng)關(guān)�����。同一子網(wǎng)上未實(shí)現(xiàn)負(fù)載平衡的其它服務(wù)器直接使用子網(wǎng)路由器440作為默認(rèn)網(wǎng)關(guān)��。這樣�����,如果發(fā)現(xiàn)機(jī)制能夠識(shí)別具有一個(gè)以上默認(rèn)網(wǎng)關(guān)的子網(wǎng)����,這可以指示使用諸如負(fù)載平衡器430之類(lèi)的負(fù)載平衡器。
[0058]基于距離的服務(wù)器群集
[0059]與查找特定負(fù)載平衡器配置(例如���,具有多個(gè)默認(rèn)網(wǎng)關(guān))相同�,識(shí)別可能位于使用負(fù)載平衡器的集群中的服務(wù)器的更一般的方法可以由示例性實(shí)施例的負(fù)載平衡器檢測(cè)機(jī)制實(shí)現(xiàn)����。如果可首先識(shí)別服務(wù)器集群��,則可以隨后調(diào)查集群以查找負(fù)載平衡器�����。在各示例性實(shí)施例中�����,可構(gòu)建這樣的度量:該度量指示例如可在(經(jīng)由負(fù)載平衡器)提供相同服務(wù)的服務(wù)器之間找到的配置相似度��。在極端情況下����,服務(wù)器集群包括相同的服務(wù)器���。在使用負(fù)載平衡器增加服務(wù)的安全性和彈性的情況下,服務(wù)器集群可包括提供相同服務(wù)的不同硬件和/或軟件產(chǎn)品�����。但是���,在多數(shù)情況下�,服務(wù)器集群將運(yùn)行相同(或極為相似)的硬件和軟件,這樣做只是為了盡可能簡(jiǎn)化管理��。
[0060]通過(guò)定義服務(wù)器之間的距離度量�,各示例性實(shí)施例可識(shí)別服務(wù)器集群,S卩���,與具有相對(duì)較高距離度量的其它服務(wù)器相比��,在服務(wù)器之間具有相對(duì)較小距離度量的服務(wù)器更可能位于服務(wù)器集群中��?���?蛇M(jìn)一步建立閾值以定義用于指示服務(wù)器集群的必要距離度量水平���。在一個(gè)示例性實(shí)施例中�����,基于與服務(wù)器計(jì)算設(shè)備關(guān)聯(lián)的名稱的變化度確定“距離”度量��。即��,服務(wù)器計(jì)算設(shè)備名稱的差異量指示服務(wù)器計(jì)算設(shè)備之間的“距離”�����。因此��,具有明顯相似的名稱的服務(wù)器計(jì)算設(shè)備可能位于同一子網(wǎng)內(nèi)�����,從而位于同一服務(wù)器集群內(nèi)��。
[0061]可用于計(jì)算距離度量的機(jī)制的一個(gè)實(shí)例在Levenshtein所著的“Binary CodesCapable of Correcting Delet1ns, Insert1ns, and Reversals (能夠糾正刪除���、插入和撤銷(xiāo)的二進(jìn)制編碼����,Soviet Physics Doklady��,第10卷����,第8號(hào)��,1996年,707-710頁(yè))”中描述��。在不偏離示例性實(shí)施例的精神和范圍的情況下����,也可使用其它算法,例如Wagner等人所著的“The String-to-String Correct1n Problem(字符串到字符串糾正問(wèn)題,Journalof the ACM�����,第21卷����,第I號(hào),1974年�����,168-173頁(yè))”中描述的算法��。這些文獻(xiàn)在此引入作為參考����。
[0062]本質(zhì)上,可使用基于“變化”量分配距離值的任何算法��,其中需要該“變化”量來(lái)從一個(gè)字符串或名稱轉(zhuǎn)到匹配另一字符串和名稱。因此�����,距離度量測(cè)量與服務(wù)器計(jì)算設(shè)備關(guān)聯(lián)的兩個(gè)或更多字符串/名稱中的差異量��。在一個(gè)示例性實(shí)施例中�,使用服務(wù)器名稱和/或開(kāi)放端口距離的加權(quán)編輯(Levenshtein)距離,即��,多個(gè)服務(wù)器計(jì)算設(shè)備的端口號(hào)之間的距離�。也就是說(shuō),名稱之間的距離可基于編輯距離��,該距離測(cè)量將一個(gè)字符串或名稱更改為另一字符串或名稱所需的編輯次數(shù)���。例如�����,通過(guò)使用實(shí)例距離算法(例如Levenshtein和Wagner的文章中描述的算法)����,名稱“WebOl”和“Web02”是相隔為I(Iapart)的距離�,而“WebOl”和“WefOI”是相隔為2 (2apart)的距離,并且“WebOl”和“MikeOI”是相隔為S(Sapart)的距離��。在第一情況下���,數(shù)字替換數(shù)字更改的權(quán)重為1���,因?yàn)橹恍韪腎個(gè)字符,所以距離為I����。在第二情況下,更改為字母替換字母�����,其具有權(quán)重2���,因此�,距離為2個(gè)間隔���。在第三情況下���,更改為三個(gè)字母替換字母更換和一個(gè)字母插入����,它們均具有權(quán)重2���,因此距離間隔為8�����。
[0063]對(duì)于各示例性實(shí)施例���,由于各示例性實(shí)施例查找名稱分組,而非輸入錯(cuò)誤���,使用加權(quán)的Levenshtein算法作為實(shí)例,將倒置計(jì)數(shù)(加權(quán))為兩個(gè)操作(而非一個(gè))��,一個(gè)數(shù)字對(duì)另一個(gè)數(shù)字的替換計(jì)數(shù)為在重要性方面只是插入�、刪除或其它替換的一半�。計(jì)算此類(lèi)加權(quán)的編輯距離度量的一個(gè)算法可以是使用Wagner等人所著的“The String-to-StringCorrect1n Problem(字符串到字符串糾正問(wèn)題,Journal of the ACM,第21卷,第I號(hào)���,1974年�����,168-173頁(yè))”中描述的算法的修正形式���。
[0064]在公知的端口(0-1023)上單獨(dú)地計(jì)算并且針對(duì)其余端口號(hào)計(jì)算開(kāi)放端口列表之間的距離。針對(duì)每組受管服務(wù)器對(duì)公共端口與服務(wù)器計(jì)算設(shè)備上的全部開(kāi)放端口的比率加權(quán)���,從而支持使用負(fù)載平衡器提供前端(例如����,80/20有利于通用端口��,因?yàn)楣亩丝诟赡茉谙噙B的計(jì)算設(shè)備之間共享)以生成距離度量(例如�,O到100之間的值)的單個(gè)服務(wù)。也就是說(shuō)����,在服務(wù)器集群內(nèi),服務(wù)器計(jì)算設(shè)備傾向于具有相同的開(kāi)放端口��。因此��,如果公共端口與一組服務(wù)器計(jì)算設(shè)備上全部開(kāi)放端口的比率較高���,則指示服務(wù)器計(jì)算設(shè)備位于同一服務(wù)器集群內(nèi)���。
[0065]可組合端口距離和服務(wù)器名距離以生成指示服務(wù)器間相似度的度量���,該度量提供負(fù)載平衡器的可能存在的指示。例如�����,假設(shè)服務(wù)器名“Webl”和“Web2”以及“DatabaseHost”全部具有端口 80上的服務(wù)�����,而DatabaseHost還具有端口 50000上的服務(wù)�����。前兩個(gè)服務(wù)器“Webl”和“Web2”均使用公共端口����,這不一定指示負(fù)載平衡器本身存在,但是�����,它們也具有極為相似的名稱(只是一個(gè)數(shù)字之差),因此它們可能在集群中一起工作�。第三服務(wù)器“DatabaseHost”具有極為不同的名稱,并且還具有在用戶空間端口上開(kāi)放的服務(wù)��,其它兩個(gè)服務(wù)器沒(méi)有此服務(wù)���,因此可能不與其它兩個(gè)服務(wù)器位于同一集群內(nèi)�。因此��,通過(guò)檢查名稱和端口的相似度���,各示例性實(shí)施例的機(jī)制可推斷或預(yù)測(cè)負(fù)載平衡器或其它類(lèi)型的透明網(wǎng)絡(luò)通信攔截工具是否可能與服務(wù)器計(jì)算設(shè)備一起存在。
[0066]雖然服務(wù)器名和端口距離屬性提供了負(fù)載平衡后的服務(wù)器集群的存在的良好第一預(yù)測(cè)�����,但是也可使用描述指示服務(wù)器集群存在性的機(jī)器功能的其它屬性��。例如����,其它可使用的距離度量包括目錄結(jié)構(gòu)距離、已安裝應(yīng)用與操作系統(tǒng)之間的距離�����,以及數(shù)據(jù)庫(kù)表(和基數(shù))距離(尤其是,如果表大小較大并且?guī)缀跷窗惭b其它應(yīng)用)����。
[0067]上面是可由負(fù)載平衡器檢測(cè)試探法引擎340實(shí)現(xiàn)以便預(yù)測(cè)負(fù)載平衡器在網(wǎng)絡(luò)拓?fù)?05內(nèi)的存在和/或位置的多設(shè)備試探法的實(shí)例。這些試探法中的一個(gè)或多個(gè)可用于針對(duì)網(wǎng)絡(luò)拓?fù)?05內(nèi)的一組特定設(shè)備生成負(fù)載平衡器的存在/位置的相對(duì)評(píng)分或置信測(cè)量�。該評(píng)分或置信測(cè)量可用于發(fā)送通知以指示負(fù)載平衡器是否位于網(wǎng)絡(luò)拓?fù)?05內(nèi),并且如果可能�����,指示負(fù)載平衡器的位置��。
[0068]作為多設(shè)備試探法的補(bǔ)充和替代���,負(fù)載平衡器檢測(cè)試探法引擎340可使用單設(shè)備試探法獲取有關(guān)負(fù)載平衡器在網(wǎng)絡(luò)拓?fù)?05內(nèi)的可能存在和位置的信息��。例如�,這些單設(shè)備試探法可包含分析服務(wù)器環(huán)回網(wǎng)絡(luò)接口和/或分析網(wǎng)關(guān)MAC地址�����,下面將對(duì)此進(jìn)行描述��。
[0069]分析服務(wù)器環(huán)回網(wǎng)絡(luò)接口
[0070]環(huán)回接口是用于將電子信號(hào)、數(shù)字?jǐn)?shù)據(jù)流或數(shù)據(jù)項(xiàng)流從其始發(fā)設(shè)施路由回源而不進(jìn)行專門(mén)處理和修改的機(jī)制��。環(huán)回接口可用于測(cè)試發(fā)送或傳輸基礎(chǔ)設(shè)施以及可用于執(zhí)行管理操作�。在互聯(lián)網(wǎng)協(xié)議版本4(Ipv4)中,最常見(jiàn)的環(huán)回接口具有IP地址127.0.0.1����。不是127.0.0.1的環(huán)回接口并不常見(jiàn),但是當(dāng)在直接路由模式下使用負(fù)載平衡器時(shí)�����,可找到這種環(huán)回接口�。在該模式下��,負(fù)載平衡器接收來(lái)自客戶機(jī)的請(qǐng)求�,然后通過(guò)更改目的地MAC地址將它們轉(zhuǎn)發(fā)到同一子網(wǎng)上的服務(wù)器。服務(wù)器具有在環(huán)回接口上配置的服務(wù)器所提供的服務(wù)的IP地址���。
[0071]如圖5所示�,服務(wù)器對(duì)傳輸層上的虛擬IP地址(VIP)和真實(shí)IP地址(RIP)兩者做出響應(yīng)��,但是僅針對(duì)RIP發(fā)送地址解析協(xié)議(ARP)響應(yīng)����。也就是說(shuō)���,發(fā)送ARP響應(yīng)以允許同一廣播區(qū)(子網(wǎng))中的其它計(jì)算設(shè)備將介質(zhì)訪問(wèn)控制(MAC)地址映射到IP地址。如果兩個(gè)計(jì)算設(shè)備在其物理接口上使用同一 IP地址��,并且對(duì)ARP做出響應(yīng)�,則網(wǎng)絡(luò)行為將變成無(wú)法定義(這是失配情況)。所有指向該地址的業(yè)務(wù)實(shí)際上應(yīng)轉(zhuǎn)到負(fù)載平衡器��,以便負(fù)載平衡器成為對(duì)ARP做出響應(yīng)的唯一設(shè)備����。此外,在服務(wù)器集群中��,通過(guò)將公共地址配置為位于環(huán)回設(shè)備上�,不發(fā)送任何ARP響應(yīng),因?yàn)榄h(huán)回設(shè)備未連接到任何物理網(wǎng)絡(luò)����,但是更高級(jí)的設(shè)備能夠?qū)⒌刂纷R(shí)別為本地地址,因此對(duì)與該地址關(guān)聯(lián)的請(qǐng)求做出響應(yīng)��。因此�,如果這些配置能夠被推斷�,例如通過(guò)示例性實(shí)施例的機(jī)制推斷���,則可精確地預(yù)測(cè)負(fù)載平衡器的存在�。
[0072]在圖5中��,服務(wù)器502和504分別配置有RIP地址192.168.1.10和192.168.1.11以及VIP地址192.168.1.50��。在圖5中�,具有“LoO”型名稱的設(shè)備在該實(shí)例中是環(huán)回設(shè)備。從圖5中可看出�����,與交換機(jī)520相連的服務(wù)器集群510的服務(wù)器502和504與服務(wù)器負(fù)載平衡器530共享同一 VIP地址192.168.1.50��。因此�,當(dāng)交換機(jī)520經(jīng)由路由器540接收客戶機(jī)請(qǐng)求時(shí)�����,基于VIP將客戶機(jī)請(qǐng)求轉(zhuǎn)發(fā)到服務(wù)器負(fù)載平衡器530�����,負(fù)載平衡器530然后將客戶機(jī)請(qǐng)求發(fā)送到服務(wù)器502和504兩者。服務(wù)器502和504然后可經(jīng)由交換機(jī)520和路由器540將應(yīng)答分組發(fā)送回客戶機(jī)�,因?yàn)檫@些路由器和交換機(jī)具有客戶機(jī)期望從中獲取響應(yīng)的同一 VIP地址。
[0073]對(duì)于這種情況�,發(fā)現(xiàn)工具310所收集的服務(wù)器502和504的網(wǎng)絡(luò)配置信息可被分析以判定是否有一個(gè)以上服務(wù)器使用相同,或足夠相似的RIP地址�����,或者使用不在127.0.0.0/8子網(wǎng)中的環(huán)回地址�。也就是說(shuō),從127.0.0.1到127.255.255.255的所有地址(即����,127.0.0.0/8子網(wǎng))當(dāng)前在Ipv4規(guī)范中被定義為環(huán)回地址,因此一般在該范圍內(nèi)查找環(huán)回設(shè)備�����。在其它任何地址范圍內(nèi)找到環(huán)回設(shè)備是不正常的����。對(duì)于該環(huán)回設(shè)備不正常配置的可能解釋是將ARP響應(yīng)抑制到一個(gè)地址,同時(shí)仍允許該地址被上層設(shè)備使用����,這指示當(dāng)前存在服務(wù)器集群以及對(duì)應(yīng)的負(fù)載平衡器����。
[0074]盡管此類(lèi)分析可提供負(fù)載平衡器530的可能存在/位置的指示��,但是可能存在其它理由���,使用此類(lèi)配置使得此試探法可能給出假肯定結(jié)果�。為了進(jìn)一步提高置信度��,可使用其它模式�,例如使用Levenshtein或類(lèi)似的算法查找相似的主機(jī)/DNS名稱,比較運(yùn)行中的服務(wù)/開(kāi)放端口的列表以查找具有相似的運(yùn)行中的服務(wù)/開(kāi)放端口的服務(wù)器�,檢驗(yàn)服務(wù)器駐留在同一子網(wǎng)上等。通過(guò)此類(lèi)分析的組合�,可計(jì)算評(píng)分或置信測(cè)量,該評(píng)分或置信測(cè)量指示負(fù)載平衡器位于涉及服務(wù)器502���、504的網(wǎng)絡(luò)拓?fù)?50內(nèi)的可能性�����。可使用加權(quán)法計(jì)算上述每個(gè)特性的評(píng)分的分量���,并且得出的總評(píng)分可與已建立的閾值比較����,該閾值指示判定負(fù)載平衡器最可能位于涉及服務(wù)器502、504的網(wǎng)絡(luò)拓?fù)?50內(nèi)所需的最低評(píng)分�。
[0075]分析網(wǎng)關(guān)MAC地址
[0076]作為上述環(huán)回和相似VIP地址分析,以及上述多設(shè)備試探法分析的補(bǔ)充或替代����,各示例性實(shí)施例還可分析網(wǎng)關(guān)MAC地址以洞察負(fù)載平衡器的可能存在/位置。也即是說(shuō)���,負(fù)載平衡器一般被賦予虛擬IP地址和MAC地址以支持故障轉(zhuǎn)移配置冗余以及其它功能��。因此����,使用此類(lèi)信息可有助于識(shí)別實(shí)際的負(fù)載平衡器機(jī)器�����,這與之前主要旨在識(shí)別與負(fù)載平衡器相連的服務(wù)器的試探法相反�。由于沒(méi)有(可靠的)識(shí)別虛擬IP地址的手段,各示例性實(shí)施例專注于識(shí)別虛擬或本地管理的MAC地址作為識(shí)別潛在負(fù)載平衡器的方式�。
[0077]本地管理的MAC地址由網(wǎng)絡(luò)管理員或負(fù)載平衡器本身具有的某些內(nèi)部算法生成����。無(wú)論采用哪種方式���,這些地址都不同于全域管理的地址(即��,包含組織唯一標(biāo)識(shí)符的地址)�����,因?yàn)樵摰刂返淖罡哂行ё止?jié)的第二最高有效位被設(shè)為I而非O�����。另一特定于某些負(fù)載平衡器的慣例是MAC的前兩個(gè)有效字節(jié)02-bf (或者ο?-bf或03-bf)的模式��。在此�����,第一字節(jié)指示負(fù)載平衡器配置的類(lèi)型(IGMP���、單播或多播),第二字節(jié)是處理客戶機(jī)請(qǐng)求的負(fù)載平衡服務(wù)器的優(yōu)先級(jí)的占位符。盡管第二 MAC模式應(yīng)該將設(shè)備識(shí)別為負(fù)載平衡器���,但是不能保證該模式始終被使用。因此��,即使不能保證負(fù)載平衡器的存在����,搜索第一模式也是有幫助的;本地管理的MAC中的此類(lèi)模式可用于諸如冗余路由器之類(lèi)的其它設(shè)備���。但是�,在與上述群集算法定義的服務(wù)器組關(guān)聯(lián)的主機(jī)網(wǎng)關(guān)MAC當(dāng)中搜索該模式可幫助增加負(fù)載平衡器檢測(cè)的置信水平����。也就是說(shuō),與負(fù)載平衡器功能關(guān)聯(lián)的特定地址范圍不保證負(fù)載平衡器的存在��,但是是可能存在負(fù)載平衡器的良好指示����,并且可用作有關(guān)負(fù)載平衡器的存在的可靠預(yù)測(cè)的基礎(chǔ)。
[0078]解析為同一 MAC地址的多個(gè)IP地址
[0079]負(fù)載平衡器的存在的另一指示是其中多個(gè)IP地址被解析為同一MAC地址的配置����。也就是說(shuō)�,負(fù)載平衡器經(jīng)常為多個(gè)服務(wù)提供來(lái)自同一子網(wǎng)的不同IP地址�。例如,負(fù)載平衡器可為與客戶機(jī)計(jì)算設(shè)備關(guān)聯(lián)的外部網(wǎng)絡(luò)提供多個(gè)具有以下各個(gè)IP地址的服務(wù):IP1 =192.168.1.50��、IP2 = 192.168.1.51�����、IP3 = 192.168.1.52�、IP4 = 192.168.1.53、IP5 =192.168.1.54…�����。在這種情況下��,每個(gè)服務(wù)具有不同的IP地址��,但是這些地址均來(lái)自同一子網(wǎng)�。
[0080]因此,各示例性實(shí)施例的機(jī)制可使用的附加試探法是查看網(wǎng)絡(luò)拓?fù)?05的路由器和服務(wù)器上的地址解析協(xié)議(ARP)表以識(shí)別其中多個(gè)IP地址被解析為同一 MAC地址的情況����。此類(lèi)情況將識(shí)別虛擬機(jī)器主機(jī)或負(fù)載平衡器。因此,該試探法可用于提供對(duì)網(wǎng)絡(luò)拓?fù)鋬?nèi)的負(fù)載平衡器的可能存在/位置的額外洞察�����。該試探法單獨(dú)地使用或者與一個(gè)或多個(gè)其它試探法結(jié)合使用可提供評(píng)分或置信測(cè)量�����,這些評(píng)分或置信測(cè)量可被評(píng)估以判定負(fù)載平衡器是否位于網(wǎng)絡(luò)拓?fù)?05內(nèi)�����,甚至可用于識(shí)別負(fù)載平衡器在網(wǎng)絡(luò)拓?fù)?05內(nèi)的最可能的位置�。
[0081]返回參考圖3���,負(fù)載平衡器檢測(cè)試探法引擎340使用上述試探法中的一個(gè)或多個(gè)��,和/或查看從網(wǎng)絡(luò)拓?fù)?05內(nèi)的設(shè)備/工具收集的配置數(shù)據(jù)的其它試探法來(lái)識(shí)別配置數(shù)據(jù)中的模式�,例如上述指示負(fù)載平衡器或諸如防火墻之類(lèi)的其它透明網(wǎng)絡(luò)通信攔截工具的存在/位置的模式�。負(fù)載平衡器檢測(cè)試探法引擎340然后可以針對(duì)網(wǎng)絡(luò)拓?fù)?05的各部分生成評(píng)分或置信度量值,例如針對(duì)每個(gè)設(shè)備/工具�����、設(shè)備/工具集、網(wǎng)絡(luò)拓?fù)?05的已定義區(qū)域����,例如子網(wǎng)等,這些評(píng)分或置信度量值隨后可與一個(gè)或多個(gè)閾值進(jìn)行比較�。閾值可以被系統(tǒng)管理員或其它授權(quán)用戶設(shè)定為指示通知負(fù)載平衡器的存在/位置所需的最低置信度的水平?����;谒傻脑u(píng)分或置信度量與一個(gè)或多個(gè)閾值的比較�����,負(fù)載平衡檢測(cè)試探法引擎340判定有關(guān)負(fù)載平衡器已被檢測(cè)到的通知是否應(yīng)該被發(fā)送到用戶計(jì)算設(shè)備360或自動(dòng)系統(tǒng) 370����。
[0082]如果是,則生成通知并將其發(fā)送到計(jì)算設(shè)備360�、370。通知可包括有關(guān)負(fù)載平衡器可能存在的通知�����,被檢測(cè)到的網(wǎng)絡(luò)拓?fù)?04內(nèi)最可能存在負(fù)載平衡器的部分的標(biāo)識(shí)�����,該部分可以是網(wǎng)絡(luò)拓?fù)?05的一個(gè)區(qū)域,甚至可以是網(wǎng)絡(luò)拓?fù)?05內(nèi)的特定設(shè)備/工具�,具體取決于試探法能夠識(shí)別指示負(fù)載平衡器的存在的配置數(shù)據(jù)的粒度。此外�,評(píng)分或置信度量值也可被發(fā)送以便由計(jì)算設(shè)備360、370的用戶和/或自動(dòng)機(jī)制使用��。計(jì)算設(shè)備360����、370的用戶和/或自動(dòng)機(jī)制然后可檢驗(yàn)負(fù)載平衡器是否位于網(wǎng)絡(luò)拓?fù)?05內(nèi)由通知所識(shí)別的位置/區(qū)域中��。這可能涉及手動(dòng)檢查�、自動(dòng)調(diào)查和分析機(jī)制等?�;诖藱z驗(yàn)����,可判定試探法的應(yīng)用是否生成精確結(jié)果。如果否���,則可經(jīng)由反饋機(jī)制做出對(duì)所用的參數(shù)���、所用的試探法等(例如�����,在試探法中使用的權(quán)重�、所使用的試探法的特定組合等)的修改���。
[0083]作為識(shí)別負(fù)載平衡器的存在/位置的結(jié)果����,可執(zhí)行進(jìn)一步的網(wǎng)絡(luò)管理操作��。例如�����,針對(duì)遷移操作��,負(fù)載平衡器的位置可被用于促進(jìn)負(fù)載平衡器以及與負(fù)載平衡器關(guān)聯(lián)的管理資源(例如��,應(yīng)用���、服務(wù)器等)的遷移���,就像促進(jìn)單個(gè)單元的遷移那樣���。
[0084]因此,各示例性實(shí)施例提供這樣的機(jī)制:該機(jī)制用于分析發(fā)現(xiàn)工具所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的指示透明網(wǎng)絡(luò)通信攔截工具(例如�,負(fù)載平衡器、防火墻等)的存在/位置的模式����。基于此分析�����,此類(lèi)工具的存在和位置的可能性被計(jì)算并用于將通知發(fā)送給用戶/自動(dòng)機(jī)制�����,以便在執(zhí)行網(wǎng)絡(luò)管理操作(例如����,遷移操作等)中使用�����。
[0085]圖6是示出根據(jù)一個(gè)示例性實(shí)施例的負(fù)載平衡器檢測(cè)試探法引擎的實(shí)例操作的流程圖。如圖6所示�,操作始于通過(guò)使用一個(gè)或多個(gè)發(fā)現(xiàn)工具從網(wǎng)絡(luò)拓?fù)涞脑O(shè)備/工具獲取配置數(shù)據(jù)(步驟610)。這例如可涉及收集子網(wǎng)設(shè)備的網(wǎng)絡(luò)接口和默認(rèn)網(wǎng)關(guān)數(shù)據(jù)�、子網(wǎng)設(shè)備的文件系統(tǒng)和應(yīng)用注冊(cè)數(shù)據(jù)等。此信息被提供給一個(gè)或多個(gè)網(wǎng)絡(luò)配置分析試探法和服務(wù)器屬性群集試探法(步驟620)�,這些試探法被應(yīng)用于所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別配置數(shù)據(jù)的指示負(fù)載平衡器的存在/位置的模式(步驟630)。這些一個(gè)或多個(gè)網(wǎng)絡(luò)配置分析試探法和服務(wù)器屬性群集試探法實(shí)現(xiàn)上述模式識(shí)別中的一個(gè)或多個(gè)���。也就是說(shuō)����,配置信息中指示或洞察透明網(wǎng)絡(luò)通信攔截工具(例如�,負(fù)載平衡器、防火墻等)的存在的各種模式�����,以及用于識(shí)別這些模式的分析邏輯可在這些試探法中實(shí)現(xiàn)并且被應(yīng)用到所收集的數(shù)據(jù)以確定所收集的數(shù)據(jù)與這些模式���、條件等的匹配水平�。
[0086]基于一個(gè)或多個(gè)網(wǎng)絡(luò)配置分析試探法的應(yīng)用��,計(jì)算置信度量值(步驟640)���。置信度量值可以是被應(yīng)用于例如網(wǎng)絡(luò)配置數(shù)據(jù)的一個(gè)或多個(gè)個(gè)體試探法中的每一個(gè)的置信度量值的組合����。也可根據(jù)與這些試探法關(guān)聯(lián)的對(duì)負(fù)載平衡器的存在/位置的整體判定的相對(duì)重要性來(lái)為這些個(gè)體置信度量的每一個(gè)加權(quán)。
[0087]可以將所得到的置信度量與一個(gè)或多個(gè)預(yù)先建立的閾值進(jìn)行比較(步驟650)��。如果所得到的置信度量達(dá)到或超過(guò)閾值�����、閾值中的一個(gè)��,或閾值的組合(步驟660)�����,則檢測(cè)到可能的負(fù)載平衡器(步驟670)����,并且可生成通知并將其發(fā)送到授權(quán)用戶/自動(dòng)系統(tǒng)(步驟680)��。如果所得到的置信度量未達(dá)到或超過(guò)閾值���、閾值中的一個(gè)����,或閾值的組合,則確定發(fā)生檢測(cè)失敗(步驟690)并且不發(fā)送任何通知��。操作然后結(jié)束�����。
[0088]因此�,各示例性實(shí)施例提供用于概率性地識(shí)別計(jì)算機(jī)負(fù)載平衡器、防火墻或其它透明網(wǎng)絡(luò)通信攔截工具��、托管此類(lèi)工具管理的資源的計(jì)算設(shè)備/系統(tǒng)的機(jī)制����。各示例性實(shí)施例的機(jī)制從網(wǎng)絡(luò)拓?fù)涞脑O(shè)備/工具收集網(wǎng)絡(luò)配置數(shù)據(jù),從網(wǎng)絡(luò)拓?fù)涞倪@些設(shè)備/工具收集文件系統(tǒng)和應(yīng)用注冊(cè)數(shù)據(jù)��,并且識(shí)別所收集數(shù)據(jù)中的預(yù)定義模式����。這些預(yù)定義模式可以是多設(shè)備試探法模式和/或單設(shè)備試探法模式?���;陬A(yù)定義模式����,以及所收集的數(shù)據(jù)與這些預(yù)定義模式的匹配度�,計(jì)算反映透明網(wǎng)絡(luò)通信攔截工具(例如,負(fù)載平衡器)位于指定的設(shè)備/工具�、區(qū)域、子網(wǎng)等中的置信值�����。如果置信評(píng)分達(dá)到或超過(guò)一個(gè)或多個(gè)已定義的閾值�,則生成具有取決于置信評(píng)分的概率的可能負(fù)載平衡器檢測(cè)的通知消息。
[0089]網(wǎng)絡(luò)配置數(shù)據(jù)中的預(yù)定義模式可包括以不在127.0.0.0/8子網(wǎng)中的任何IP地址配置的多個(gè)主機(jī)和環(huán)回設(shè)備上的相同IP地址的存在���。此外�����,網(wǎng)絡(luò)配置數(shù)據(jù)中的預(yù)定義模式可包括使用其子網(wǎng)其余部分中的不同網(wǎng)關(guān)���,或者不是路由器的默認(rèn)網(wǎng)關(guān)的服務(wù)器��。此外,網(wǎng)絡(luò)配置數(shù)據(jù)中的預(yù)定義模式可包括被解析為同一MAC地址(例如可在多個(gè)路由器和服務(wù)器的ARP表中揭示)的多個(gè)IP地址��。
[0090]此外����,在某些示例性實(shí)施例中,多個(gè)計(jì)算設(shè)備的文件系統(tǒng)��、應(yīng)用注冊(cè)數(shù)據(jù)和開(kāi)放端口中的相似系統(tǒng)屬性可被單獨(dú)地使用����,或者與其它試探法結(jié)合使用以生成置信評(píng)分。測(cè)量多個(gè)計(jì)算機(jī)的文件系統(tǒng)���、應(yīng)用注冊(cè)數(shù)據(jù)和開(kāi)放端口中的系統(tǒng)屬性相似度包括測(cè)量機(jī)器名當(dāng)中的編輯距離或其它類(lèi)型的距離度量����,測(cè)量機(jī)器當(dāng)中的已安裝應(yīng)用的重疊(考慮版本)����,以及測(cè)量機(jī)器當(dāng)中開(kāi)放端口的重疊,其中使用加權(quán)方案�,將通用端口和定制端口比較為不同。
[0091]如上所述�,應(yīng)該理解,盡管針對(duì)用于檢測(cè)負(fù)載平衡器的存在/位置的特定實(shí)現(xiàn)描述了示例性實(shí)施例,但是示例性實(shí)施例并不限于此�����。相反�����,也可對(duì)諸如防火墻之類(lèi)的其它類(lèi)型的透明網(wǎng)絡(luò)通信攔截工具執(zhí)行示例性實(shí)施例的機(jī)制的操作�����。因此��,本發(fā)明不應(yīng)被解釋為限于負(fù)載平衡器的檢測(cè)/位置���,而是包括由于安全機(jī)制�,一般不能被已知的發(fā)現(xiàn)工具檢測(cè)���,但可以使用上述試探法和其它類(lèi)似的模式識(shí)別試探法���,通過(guò)網(wǎng)絡(luò)配置數(shù)據(jù)、文件和應(yīng)用數(shù)據(jù)等中的模式識(shí)別進(jìn)行識(shí)別的任何工具的檢測(cè)/位置�。
[0092]如上所述��,應(yīng)該理解,各示例性實(shí)施例可采取完全的硬件實(shí)施例����、完全的軟件實(shí)施例或同時(shí)包含硬件和軟件元素兩者的實(shí)施例的形式。在一個(gè)實(shí)例實(shí)施例中��,各示例性實(shí)施例的機(jī)制通過(guò)軟件或程序代碼實(shí)現(xiàn)��,這些軟件或程序代碼包括但不限于固件����、駐留軟件、微代碼等����。
[0093]適合于存儲(chǔ)和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個(gè)通過(guò)系統(tǒng)總線直接或間接連接到存儲(chǔ)器元件的處理器。所述存儲(chǔ)器元件可以包括在程序代碼的實(shí)際執(zhí)行期間采用的本地存儲(chǔ)器���、大容量存儲(chǔ)裝置以及提供至少某些程序代碼的臨時(shí)存儲(chǔ)以減少必須在執(zhí)行期間從大容量存儲(chǔ)裝置檢索代碼的次數(shù)的高速緩沖存儲(chǔ)器����。
[0094]輸入/輸出或I/O設(shè)備(包括但不限于鍵盤(pán)����、顯示器����、指點(diǎn)設(shè)備等)可以直接或通過(guò)中間I/O控制器與系統(tǒng)相連�����。網(wǎng)絡(luò)適配器也可以被連接到系統(tǒng)以使所述數(shù)據(jù)處理系統(tǒng)能夠通過(guò)中間專用或公共網(wǎng)絡(luò)變得與其它數(shù)據(jù)處理系統(tǒng)或遠(yuǎn)程打印機(jī)或存儲(chǔ)器件相連�����。調(diào)制解調(diào)器���、電纜調(diào)制解調(diào)器和以太網(wǎng)卡只是當(dāng)前可用的網(wǎng)絡(luò)適配器類(lèi)型中的少數(shù)幾種�。
[0095]出于示例和說(shuō)明目的給出了對(duì)本發(fā)明的描述�����,并且所述描述并非旨在是窮舉的或是將本發(fā)明限于所公開(kāi)的形式��。對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)��,許多修改和變化都將是顯而易見(jiàn)的���。實(shí)施例的選擇和描述是為了最佳地解釋本發(fā)明的原理�、實(shí)際應(yīng)用,并且當(dāng)適合于所構(gòu)想的特定使用時(shí)�,使得本領(lǐng)域的其它技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實(shí)施例。
【權(quán)利要求】
1.一種在數(shù)據(jù)處理系統(tǒng)(200�����、300)中的用于識(shí)別網(wǎng)絡(luò)拓?fù)?305)內(nèi)的透明網(wǎng)絡(luò)通信攔截工具(430���、350)的方法,所述方法包括: 從所述網(wǎng)絡(luò)拓?fù)鋬?nèi)的多個(gè)設(shè)備收集網(wǎng)絡(luò)配置數(shù)據(jù)¢10)��; 使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中指示透明網(wǎng)絡(luò)通信攔截工具的存在的模式¢30)����; 基于對(duì)所收集的網(wǎng)絡(luò)配置數(shù)據(jù)的分析結(jié)果計(jì)算置信測(cè)量值¢40);以及 響應(yīng)于所計(jì)算的置信測(cè)量值達(dá)到或超過(guò)至少一個(gè)閾值,將有關(guān)所檢測(cè)的透明網(wǎng)絡(luò)通信攔截工具的存在的通知發(fā)送到計(jì)算設(shè)備¢80)��。
2.根據(jù)權(quán)利要求1所述的方法��,其中使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式(630)包括: 計(jì)算所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式�; 將計(jì)算的所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式與指示透明網(wǎng)絡(luò)通信攔截工具的存在的一個(gè)或多個(gè)已知模式進(jìn)行比較;以及 判定所計(jì)算的模式是否在給定容限內(nèi)與所述一個(gè)或多個(gè)已知模式中的至少一個(gè)匹配�。
3.根據(jù)權(quán)利要求1所述的方法�,還包括: 接收指示所述分析結(jié)果和所述置信測(cè)量的計(jì)算是否準(zhǔn)確的反饋輸入��;以及 基于所述反饋輸入修改所述一種或多種試探法中的至少一個(gè)����。
4.根據(jù)權(quán)利要求1所述的方法,其中所述一種或多種試探法包括多網(wǎng)關(guān)試探法�,所述多網(wǎng)關(guān)試探法分析到所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)的所述多個(gè)設(shè)備中的關(guān)聯(lián)設(shè)備組(410、510)的子網(wǎng)網(wǎng)關(guān)計(jì)算設(shè)備分配�,以便識(shí)別是否有一個(gè)以上網(wǎng)關(guān)計(jì)算設(shè)備(430、530)與所述設(shè)備組(410,510)關(guān)聯(lián)���,并且其中計(jì)算所述置信測(cè)量值(640)包括:響應(yīng)于所述多網(wǎng)關(guān)試探法識(shí)別到有一個(gè)以上網(wǎng)關(guān)計(jì)算設(shè)備與所述設(shè)備組關(guān)聯(lián)而增大所述置信測(cè)量值��。
5.根據(jù)權(quán)利要求1所述的方法���,其中所述一種或多種試探法包括距離試探法,所述距離試探法計(jì)算所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備(410���、510)所使用的設(shè)備名或設(shè)備通信端口中的至少一個(gè)之間的差分距離�����,并將所述差分距離與至少一個(gè)閾值進(jìn)行比較�����,并且其中計(jì)算所述置信測(cè)量值包括:響應(yīng)于所述差分距離等于或大于所述至少一個(gè)閾值而增大所述置信測(cè)量值����。
6.根據(jù)權(quán)利要求5所述的方法,其中使用加權(quán)差分算法計(jì)算所述差分距離���,所述加權(quán)差分算法確定將所述多個(gè)設(shè)備(410����、510)中的第一設(shè)備(402���、502)的一個(gè)服務(wù)器名或端口分配更改為第二設(shè)備(404、504)的服務(wù)器名或端口分配所必需的更改量���,并且使用不同的加權(quán)值為不同類(lèi)型的更改加權(quán)�����。
7.根據(jù)權(quán)利要求1所述的方法��,其中所述一種或多種試探法包括環(huán)回網(wǎng)絡(luò)接口試探法�,所述環(huán)回網(wǎng)絡(luò)接口試探法判定環(huán)回設(shè)備是否存在于所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)并具有不在已建立的環(huán)回地址范圍內(nèi)的關(guān)聯(lián)地址,并且其中計(jì)算所述置信測(cè)量(640)包括:響應(yīng)于判定環(huán)回設(shè)備存在于所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)并具有不在已建立的環(huán)回地址范圍內(nèi)的關(guān)聯(lián)地址而增大所述置信測(cè)量�����。
8.根據(jù)權(quán)利要求1所述的方法���,其中所述一種或多種試探法包括網(wǎng)關(guān)地址分析試探法���,所述網(wǎng)關(guān)地址分析試探法分析與所述多個(gè)設(shè)備(410、510)中的設(shè)備(402�、404、502���、504)關(guān)聯(lián)的地址以識(shí)別與所述設(shè)備關(guān)聯(lián)的地址中指示關(guān)聯(lián)設(shè)備是透明網(wǎng)絡(luò)通信攔截工具(430�����、530)的模式���。
9.根據(jù)權(quán)利要求8所述的方法,其中所述地址中的模式是以下中的一個(gè):將所述地址的最高有效字節(jié)設(shè)為指示所述設(shè)備是透明網(wǎng)絡(luò)通信攔截工具的值的特定設(shè)置���,或?qū)⑺龅刂返那皟蓚€(gè)有效字節(jié)設(shè)為指示所述設(shè)備是透明網(wǎng)絡(luò)通信攔截工具的值的特定設(shè)置�����。
10.根據(jù)權(quán)利要求1所述的方法��,其中所述一種或多種試探法包括多地址解析試探法���,所述多地址解析試探法判定所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備中的一個(gè)或多個(gè)路由器(440,540)的一個(gè)或多個(gè)地址解析數(shù)據(jù)結(jié)構(gòu)是否包括其中多個(gè)網(wǎng)絡(luò)地址映射到同一設(shè)備地址的映射���,并且其中計(jì)算所述置信測(cè)量(640)包括:響應(yīng)于判定所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備中的一個(gè)或多個(gè)路由器(440、540)的一個(gè)或多個(gè)地址解析數(shù)據(jù)結(jié)構(gòu)包括其中多個(gè)網(wǎng)絡(luò)地址映射到同一設(shè)備地址的映射而增大所述置信測(cè)量���。
11.一種計(jì)算機(jī)程序產(chǎn)品�����,包括其中存儲(chǔ)計(jì)算機(jī)可讀程序的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(208、224�、226、230)����,其中當(dāng)在計(jì)算設(shè)備(200、300)上執(zhí)行時(shí),所述計(jì)算機(jī)可讀程序?qū)е滤鲇?jì)算設(shè)備: 從網(wǎng)絡(luò)拓?fù)鋬?nèi)的多個(gè)設(shè)備收集網(wǎng)絡(luò)配置數(shù)據(jù)(305�,610); 使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中指示透明網(wǎng)絡(luò)通信攔截工具的存在的模式(430�����,530��,630)�����; 基于對(duì)所收集的網(wǎng)絡(luò)配置數(shù)據(jù)的分析結(jié)果計(jì)算置信測(cè)量值¢40);以及 響應(yīng)于所計(jì)算的置信測(cè)量值達(dá)到或超過(guò)至少一個(gè)閾值�,將有關(guān)所檢測(cè)的透明網(wǎng)絡(luò)通信攔截工具的存在的通知發(fā)送到計(jì)算設(shè)備¢80)。
12.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品�,其中所述計(jì)算機(jī)可讀程序通過(guò)以下步驟進(jìn)一步導(dǎo)致所述計(jì)算設(shè)備使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式¢30): 計(jì)算所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式; 將計(jì)算的所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中的模式與指示透明網(wǎng)絡(luò)通信攔截工具的存在的一個(gè)或多個(gè)已知模式進(jìn)行比較�����;以及 判定所計(jì)算的模式是否在給定容限內(nèi)與所述一個(gè)或多個(gè)已知模式中的至少一個(gè)匹配�。
13.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品,其中所述一種或多種試探法包括多網(wǎng)關(guān)試探法�,所述多網(wǎng)關(guān)試探法分析到所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)的所述多個(gè)設(shè)備中的關(guān)聯(lián)設(shè)備組(410,510)的子網(wǎng)網(wǎng)關(guān)計(jì)算設(shè)備分配,以便識(shí)別是否有一個(gè)以上網(wǎng)關(guān)計(jì)算設(shè)備(430���、530)與所述設(shè)備組(410��、510)關(guān)聯(lián)�,并且其中計(jì)算所述置信測(cè)量值(640)包括:響應(yīng)于所述多網(wǎng)關(guān)試探法識(shí)別到有一個(gè)以上網(wǎng)關(guān)計(jì)算設(shè)備與所述設(shè)備組關(guān)聯(lián)而增大所述置信測(cè)量值。
14.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品���,其中所述一種或多種試探法包括距離試探法���,所述距離試探法計(jì)算所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備(410、510)所使用的設(shè)備名或設(shè)備通信端口中的至少一個(gè)之間的差分距離��,并將所述差分距離與至少一個(gè)閾值進(jìn)行比較���,并且其中計(jì)算所述置信測(cè)量值包括:響應(yīng)于所述差分距離等于或大于所述至少一個(gè)閾值而增大所述置信測(cè)量值�。
15.根據(jù)權(quán)利要求14所述的計(jì)算機(jī)程序產(chǎn)品��,其中使用加權(quán)差分算法計(jì)算所述差分距離����,所述加權(quán)差分算法確定將所述多個(gè)設(shè)備(410���、510)中的第一設(shè)備(402��、502)的一個(gè)服務(wù)器名或端口分配更改為第二設(shè)備(404�、504)的服務(wù)器名或端口分配所必需的更改量,并且使用不同的加權(quán)值為不同類(lèi)型的更改加權(quán)��。
16.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品����,其中所述一種或多種試探法包括環(huán)回網(wǎng)絡(luò)接口試探法,所述環(huán)回網(wǎng)絡(luò)接口試探法判定環(huán)回設(shè)備是否存在于所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)并具有不在已建立的環(huán)回地址范圍內(nèi)的關(guān)聯(lián)地址���,并且其中計(jì)算所述置信測(cè)量(640)包括:響應(yīng)于判定環(huán)回設(shè)備存在于所述網(wǎng)絡(luò)拓?fù)?305)內(nèi)并具有不在已建立的環(huán)回地址范圍內(nèi)的關(guān)聯(lián)地址而增大所述置信測(cè)量����。
17.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品���,其中所述一種或多種試探法包括網(wǎng)關(guān)地址分析試探法���,所述網(wǎng)關(guān)地址分析試探法分析與所述多個(gè)設(shè)備(410、510)中的設(shè)備(402���、404,502,504)關(guān)聯(lián)的地址以識(shí)別與所述設(shè)備關(guān)聯(lián)的地址中指示關(guān)聯(lián)設(shè)備是透明網(wǎng)絡(luò)通信攔截工具(430���、530)的模式�。
18.根據(jù)權(quán)利要求17所述的計(jì)算機(jī)程序產(chǎn)品��,其中所述地址中的模式是以下中的一個(gè):將所述地址的最高有效字節(jié)設(shè)為指示所述設(shè)備是透明網(wǎng)絡(luò)通信攔截工具的值的特定設(shè)置����,或?qū)⑺龅刂返那皟蓚€(gè)有效字節(jié)設(shè)為指示所述設(shè)備是透明網(wǎng)絡(luò)通信攔截工具的值的特定設(shè)置。
19.根據(jù)權(quán)利要求11所述的計(jì)算機(jī)程序產(chǎn)品��,其中所述一種或多種試探法包括多地址解析試探法�,所述多地址解析試探法判定所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備中的一個(gè)或多個(gè)路由器(440、540)的一個(gè)或多個(gè)地址解析數(shù)據(jù)結(jié)構(gòu)是否包括其中多個(gè)網(wǎng)絡(luò)地址映射到同一設(shè)備地址的映射����,并且其中計(jì)算所述置信測(cè)量(640)包括:響應(yīng)于判定所述網(wǎng)絡(luò)拓?fù)?305)的所述多個(gè)設(shè)備中的一個(gè)或多個(gè)路由器(440、540)的一個(gè)或多個(gè)地址解析數(shù)據(jù)結(jié)構(gòu)包括其中多個(gè)網(wǎng)絡(luò)地址映射到同一設(shè)備地址的映射而增大所述置信測(cè)量���。
20.一種裝置(200����、300)����,包括: 處理器(206);以及 存儲(chǔ)器(208、224)�����,其與所述處理器(206)相連����,其中所述存儲(chǔ)器包括指令,當(dāng)被所述處理器執(zhí)行時(shí)��,所述指令導(dǎo)致所述處理器: 從網(wǎng)絡(luò)拓?fù)鋬?nèi)的多個(gè)設(shè)備收集網(wǎng)絡(luò)配置數(shù)據(jù)(305�,610); 使用一種或多種試探法分析所收集的網(wǎng)絡(luò)配置數(shù)據(jù)以識(shí)別所收集的網(wǎng)絡(luò)配置數(shù)據(jù)中指示透明網(wǎng)絡(luò)通信攔截工具的存在的模式(430�,530,630)����; 基于對(duì)所收集的網(wǎng)絡(luò)配置數(shù)據(jù)的分析結(jié)果計(jì)算置信測(cè)量值¢40);以及 響應(yīng)于所計(jì)算的置信測(cè)量值達(dá)到或超過(guò)至少一個(gè)閾值,將有關(guān)所檢測(cè)的透明網(wǎng)絡(luò)通信攔截工具的存在的通知發(fā)送到計(jì)算設(shè)備¢80)���。
【文檔編號(hào)】G06F15/173GK104169904SQ201380013906
【公開(kāi)日】2014年11月26日 申請(qǐng)日期:2013年3月8日 優(yōu)先權(quán)日:2012年3月13日
【發(fā)明者】J·W·布蘭奇, M·E·尼德, R·里斯曼 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司