專利名稱:識(shí)別應(yīng)用拓?fù)涞姆椒ê拖到y(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息技術(shù)(IT)系統(tǒng)的配置管理����,尤其涉及識(shí)別應(yīng)用拓樸的
方法和系統(tǒng)o
背景技術(shù):
有許多在例如數(shù)據(jù)中心的IT系統(tǒng)中幫助進(jìn)行配置管理的工具。然而 這些工具面臨著各種問(wèn)題�����。例如系統(tǒng)M和復(fù)雜性的迅速增加��,諸如服務(wù) 器和應(yīng)用的系統(tǒng)組成的頻繁變化等���。管理員通常知道IT系統(tǒng)包括的設(shè)備 和網(wǎng)絡(luò)拓樸���,然而這些對(duì)于更加有效��、高效地管理IT系統(tǒng)是不夠的�����。管 理員需要對(duì)IT系統(tǒng)有更深入的了解����。
需要深入了解的一個(gè)方面是IT系統(tǒng)中的應(yīng)用拓樸����,即應(yīng)用的部件(例 如程序、服務(wù)�、組件等)在IT系統(tǒng)各主機(jī)(例如服務(wù)器)上的部署以及所部 署的應(yīng)用的部件間的交互(例如月良務(wù)請(qǐng)求-響應(yīng))。
已經(jīng)有用于識(shí)別應(yīng)用拓樸的工具�。例如美國(guó)的IBM/^司的TADDM (Tivoli應(yīng)用依賴發(fā)現(xiàn)管理器Tivoli Application Dependency Discovery Manager)通過(guò)端口/配置掃描來(lái)發(fā)現(xiàn)應(yīng)用拓樸。然而這類主動(dòng)型工具需要主 動(dòng)掃描IP地址和預(yù)定端口以發(fā)現(xiàn)應(yīng)用�、或登錄服務(wù)器以獲得和分析應(yīng)用配 置文件、或需要專門安裝代理(agent)��。
加拿大的EMC公司的nLayers InSight是一種通過(guò)掃描經(jīng)由端口鏡 像��、網(wǎng)絡(luò)線纜抽頭等手段獲得的分組來(lái)識(shí)別應(yīng)用拓樸的被動(dòng)型工具���。 nLayers InSight通過(guò)預(yù)定義的交互特征(fingerprints)從分組承載的有效載 荷中識(shí)別出應(yīng)用的部件和部件間的交互��,并基于存在因果關(guān)系的交互之間 相應(yīng)存在發(fā)生時(shí)間相關(guān)性的假設(shè)�,來(lái)識(shí)別交互之間的相關(guān)性�����。然而這類工 具在工作前需要較多的信息準(zhǔn)備�����。此外��,上述假設(shè)并不永遠(yuǎn)成立�����,而且由 于應(yīng)用部件運(yùn)行環(huán)境的差異�����,使得發(fā)生時(shí)間對(duì)運(yùn)行環(huán)境有很強(qiáng)的依賴��,從 而因運(yùn)行環(huán)境的變化而表現(xiàn)出較大的抖動(dòng)。這些因素都會(huì)降低識(shí)別的效率 和成功率�����。
因此���,需要一種能夠依賴更少信息來(lái)識(shí)別應(yīng)用拓樸的手段��。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是提供一種識(shí)別應(yīng)用拓樸的方法和系統(tǒng)�����,以便提高 所識(shí)別的應(yīng)用拓樸的效率���。
本發(fā)明的一個(gè)實(shí)施例提供了一種識(shí)別應(yīng)用拓樸的系統(tǒng),包括分組提 取器��,被配置為從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源地址和目的地址 中至少之一在預(yù)定主機(jī)范圍內(nèi)的分組并獲得分組的傳送時(shí)間���;交互識(shí)別 器���,被配置為根據(jù)交互特征識(shí)別分組承載的交互,所述交互包括交互的 類型、交互的請(qǐng)求方�����、和交互的響應(yīng)方����;流生成器�����,被配置為生成代表類 型�、請(qǐng)求方和響應(yīng)方相同的交互的流,包括有關(guān)在所述預(yù)定時(shí)間段的每個(gè) 單位區(qū)間內(nèi)提取的分組所承載的該交互類型的交互的統(tǒng)計(jì)數(shù)據(jù)�;和相關(guān) 器,被配置為針對(duì)具有傳入流和/或傳出流的各個(gè)端點(diǎn)的所有傳入流和所有 傳出流��,尋找出相關(guān)的傳入流和傳出流��。
本發(fā)明的一個(gè)實(shí)施例提供了一種識(shí)別應(yīng)用拓樸的方法���,包括12. — 種識(shí)別應(yīng)用拓樸的方法�����,包括從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源 地址和目的地址中至少之一在預(yù)定主機(jī)范圍內(nèi)的分組并獲得分組的傳送 時(shí)間����;根據(jù)交互特征識(shí)別分組承載的交互,所述交互包括交互的類型���、 交互的請(qǐng)求方���、和交互的響應(yīng)方;生成代表類型��、請(qǐng)求方和響應(yīng)方相同的 交互的流�,包括有關(guān)在所述預(yù)定時(shí)間段的每個(gè)單位區(qū)間內(nèi)提取的分組所承 載的該交互類型的交互的統(tǒng)計(jì)數(shù)據(jù);和針對(duì)具有傳入流和/或傳出流的各個(gè) 端點(diǎn)的所有傳入流和所有傳出流��,找出相關(guān)的傳入流和傳出流�。
參照下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例的說(shuō)明,會(huì)更加容易地理解本發(fā)明 的以上和其它目的�����、特點(diǎn)和優(yōu)點(diǎn)����。在附圖中����,相同的或?qū)?yīng)的技術(shù)特征或 部件將采用相同或?qū)?yīng)的附圖標(biāo)記來(lái)表示����。
圖1示出了祁4t本發(fā)明一個(gè)實(shí)施例的識(shí)別應(yīng)用拓樸的系統(tǒng)的示例性結(jié)構(gòu)。
圖2通過(guò)圖表示出了一個(gè)流的示例性行為模式�����。
圖3示出了一個(gè)例子中HTTP查詢請(qǐng)求的流模式和JDBC查詢請(qǐng)求的 流模式��。圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的識(shí)別應(yīng)用拓樸的方法的流程圖��。 圖5示出了一個(gè)示例性的應(yīng)用拓樸��。
圖6是示出其中實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)的示例性結(jié)構(gòu)的框圖���。
具體實(shí)施例方式
下面參照附圖來(lái)說(shuō)明本發(fā)明的實(shí)施例。應(yīng)當(dāng)注意�,為了清楚的目的, 附圖和說(shuō)明中省略了與本發(fā)明無(wú)關(guān)的�����、本領(lǐng)域普通技術(shù)人員已知的部件和 處理的表示和描述。
圖1示出了才艮據(jù)本發(fā)明一個(gè)實(shí)施例的識(shí)別應(yīng)用拓樸的系統(tǒng)100的示例 性結(jié)構(gòu)��。
如圖1所示����,系統(tǒng)100包含分組提取器102、交互識(shí)別器103��、流生 成器104和相關(guān)器105���。
分組提取器102接收來(lái)自網(wǎng)絡(luò)的分組(即網(wǎng)^4M:(packet))�。使用系 統(tǒng)IOO的管理員所管理的系統(tǒng)具有一定的范圍���。這個(gè)范圍內(nèi)的主M過(guò)網(wǎng) 絡(luò)相連��。主機(jī)上部署的應(yīng)用部件通過(guò)網(wǎng)絡(luò)進(jìn)行交互以實(shí)現(xiàn)各種應(yīng)用����??梢?利用例如交換機(jī)端口鏡像、線纜抽頭/光纖分光器�、集線器的技術(shù),在不影 響正常交互的情況下實(shí)時(shí)得到期望監(jiān)視的網(wǎng)絡(luò)連接上傳送的分組���。由于可 能通過(guò)分組所攜帶的地址(例如��,IP(網(wǎng)際協(xié)議)地址)或類似標(biāo)識(shí)(例如�, URL(統(tǒng)一資源標(biāo)識(shí)符))來(lái)識(shí)別主機(jī),所以所得到的分組通?;诮y(tǒng)一的網(wǎng) 絡(luò)協(xié)議族(例如,TCP(傳輸控制協(xié)議)/IP)�。但出于方便獲得分組的目的, 如果不存在地址或標(biāo)識(shí)沖突���,也可以捕捉來(lái)自協(xié)議族的分組�����。
分組提取器102從實(shí)時(shí)得到的分組中提取源地址和目的地址中至少之 一在預(yù)定主機(jī)范圍的分組。即期望得到應(yīng)用拓樸的系統(tǒng)范圍內(nèi)的分組���,并 記^f目應(yīng)的提取時(shí)間���,以作為分組的傳送時(shí)間。如果分組直接附帶有相應(yīng) 的傳送時(shí)間���,則分組提取器102記錄的提取時(shí)間就是此傳送時(shí)間����。如果分 組提取器102提取的分組不會(huì)被實(shí)時(shí)分析,則提取時(shí)間需要被記錄在分組 記錄中用于近似表示分組的傳送時(shí)間�����。
分組提取器102可根據(jù)分組的源/目的地址或地址轉(zhuǎn)換獲得的標(biāo)識(shí)是 否在預(yù)定主機(jī)范圍內(nèi)���,來(lái)決定需要被分析的節(jié)點(diǎn)���。 一個(gè)節(jié)點(diǎn)可以是一臺(tái)主 機(jī)或者一個(gè)類似的處理設(shè)備。 一個(gè)節(jié)點(diǎn)可以有一個(gè)或多個(gè)地址或標(biāo)識(shí)��。
優(yōu)選地�,分組提取器102可以包括過(guò)濾不必要的分組的裝置(未示出)。該裝置清除冗余分組���,例如清除序列號(hào)重復(fù)的分組等等����,和/或清除與應(yīng)用 無(wú)關(guān)的分組���,例如清除路由協(xié)議分組等等�。
交互識(shí)別器103根據(jù)交互特征識(shí)別分組提取器102所提取的分組中承 載的交互。交互是指應(yīng)用部件棉*據(jù)應(yīng)用協(xié)i義相互之間傳送信息以完成應(yīng)用 的業(yè)務(wù)邏輯的活動(dòng)����。 一般而言,可以將交互抽象為請(qǐng)求方-響應(yīng)方模型��,其 中作為請(qǐng)求方的應(yīng)用部件向作為響應(yīng)方的應(yīng)用部件發(fā)出請(qǐng)求消息(用于發(fā) 起交互)���,響應(yīng)方收到請(qǐng)求消息后執(zhí)行所請(qǐng)求的業(yè)務(wù)邏輯����,并向請(qǐng)求方返 回相應(yīng)的結(jié)果�����,也可能不用返回任何信息��。在本申請(qǐng)的環(huán)境中��,交互通常 由請(qǐng)求消息來(lái)代表���,但也可以由整個(gè)請(qǐng)求-響應(yīng)過(guò)程的部分或全部消息來(lái)代 表。
代表交互的消息通?;趹?yīng)用協(xié)議來(lái)封裝���。應(yīng)用協(xié)議的例子包括但不 限于HTTP(超文本傳送協(xié)議)、HTTPS(安全超文本傳送協(xié)議)����、JDBC(JAVA 數(shù)據(jù)庫(kù)互連)/ODBC(開放數(shù)據(jù)庫(kù)互連)、LDAP(輕量級(jí)目錄訪問(wèn)協(xié)議)��、 SMTP(簡(jiǎn)單^件傳送協(xié)議)�����、POP3(郵局協(xié)議版本3)�、 NNTP(網(wǎng)絡(luò)新聞傳送 協(xié)議)。經(jīng)過(guò)應(yīng)用協(xié)議封裝的消息通過(guò)分組iM^載����。承栽用于^交互的消 息的分組也被稱為發(fā)起交互的分組。
交互的類型取決于應(yīng)用協(xié)議類型和區(qū)分粒度�。例如,對(duì)于由HTTP請(qǐng) 求消息"GET/index.jspHTTP/1.1"代表的交互���,如果區(qū)分粒度為服務(wù)器�, 則交互類型由協(xié)i義類型(例如HTTP)或協(xié)i義類型加協(xié)議版本(例如 HTTP/1.1)來(lái)區(qū)分�����;如果區(qū)分粒度為服務(wù),則交互類型由協(xié)議類型加業(yè)務(wù) 類型(例如HTTP(/index))或協(xié)議類型加協(xié)i義版本加業(yè)務(wù)類型(例如 HTTP/l.l(/index))^區(qū)分�。不同的應(yīng)用isH義有相應(yīng)的區(qū)分方式??梢葬槍?duì) 各種應(yīng)用協(xié)議設(shè)計(jì)出用于識(shí)別出交互的協(xié)議和服務(wù)特征。例如可采用EMC 公司的nLayers InSight中交互特征的技術(shù)中識(shí)別協(xié)議的類似方法����。
交互識(shí)別器103所識(shí)別的交互可包括例如下述信息交互的類型、交
互的請(qǐng)求方�����、和交互的響應(yīng)方�����。交互的請(qǐng)求方可由ic^該交互的應(yīng)用部件
(例如��,同步請(qǐng)求分組)的源地址或標(biāo)識(shí)(例如URL等)來(lái)表示���,而交互的響 應(yīng)方可由4C^該交互的分組(例如,同步請(qǐng)求分組)的目的地址或標(biāo)識(shí)(例如 URL等)來(lái)表示���。
優(yōu)選地�,交互識(shí)別器103可將請(qǐng)求方(例如發(fā)起交互的應(yīng)用部件的源地 址或標(biāo)識(shí))不在預(yù)定主機(jī)范圍內(nèi)的交互的請(qǐng)求方識(shí)別為同一個(gè)特定請(qǐng)求方, 例外一個(gè)假定的外部JJ良務(wù)器�。優(yōu)選地,交互識(shí)別器103可以忽略響應(yīng)方不 在預(yù)定主機(jī)范圍內(nèi)的交互���,以排除與所關(guān)心的應(yīng)用無(wú)關(guān)的拓樸�����。流生成器104將類型����、請(qǐng)求方和響應(yīng)方相同的交互生成為流��,并導(dǎo)出 流的模式�����。在本申請(qǐng)的環(huán)境中���,流代表在一個(gè)時(shí)間段內(nèi)發(fā)生的分組所承載 的交互中請(qǐng)求方和響應(yīng)方分別相同并且交互類型也相同的所有交互��。流的 模式是指在上述時(shí)間段的每個(gè)單位區(qū)間內(nèi)發(fā)生的分組所承載的該流的交 互的統(tǒng)計(jì)數(shù)據(jù)所構(gòu)成的模式�。時(shí)間段(例如若干小時(shí)、天等等)和單位區(qū)間(例 如秒��、分等)可根據(jù)具體實(shí)現(xiàn)來(lái)確定��。統(tǒng)計(jì)數(shù)據(jù)可以是例如交互的計(jì)數(shù)����、交 互的數(shù)據(jù)量或其結(jié)合(例如加法和、加權(quán)和等)���。
流生成器104所生成的流可包括例如如下信息流的類型(即相關(guān)交互 的類型)�、流的請(qǐng)求方(即相關(guān)交互的請(qǐng)求方)����、流的響應(yīng)方(即相關(guān)交互的響 應(yīng)方)、和流的模式�����。圖2通過(guò)圖表示出了一個(gè)流的示例性行為模式��,其中 橫軸代表時(shí)間����,縱軸代表每分鐘的HTTP交互的計(jì)數(shù)�。
相關(guān)器105針對(duì)流生成器104所生成的所有流的每個(gè)流的端點(diǎn)(即物 理上對(duì)應(yīng)的節(jié)點(diǎn)�����,可以為流的請(qǐng)求方或流的響應(yīng)方)���,獲得該端點(diǎn)的所有 傳入流(即,以該端點(diǎn)為響應(yīng)方的流)和所有傳出流(即����,該端點(diǎn)作為請(qǐng)求方 的流)。值得注意的是�,所述端點(diǎn)應(yīng)理解為不僅包括同時(shí)具有傳入流和傳出 流的端點(diǎn),還包括只有傳入流或傳出流的端點(diǎn)�。計(jì)算出每個(gè)傳入流和每個(gè) 傳出流的統(tǒng)計(jì)模式之間的相關(guān)值。相關(guān)器105選擇之間的相關(guān)值超過(guò)預(yù)定 閾值(閾值可以為零)并且在所有相關(guān)值中最大的一對(duì)傳入流和傳出流��, 作為相關(guān)的傳入流和傳出流���,即將它們識(shí)別為屬于同一相關(guān)����。然而在排除 這對(duì)傳入和傳出流的情況下,相關(guān)器105重新進(jìn)行上述計(jì)算和選擇�����。通過(guò) 依次重復(fù)執(zhí)行����,直至沒有相關(guān)值超過(guò)預(yù)定閾值(閾值可以為零)的傳入流 和傳出流,或者所有的傳入流都已和傳出i^目關(guān)聯(lián)����,或者所有的傳出流都 已經(jīng)和傳入流相關(guān)聯(lián)?��?赡芤幌盗械膫魅?�、傳出流均屬于同一相關(guān)��。應(yīng)當(dāng) 注意����,本發(fā)明并不限于上勤目關(guān)值�,而是可以使用任何表示相關(guān)度的度量。 并且本發(fā)明也不限于上述預(yù)定閾值����,而是可以4吏用任何用于比較^目關(guān)度的 閾值條件���。閾值條件可以由人工輸入。閾值可以為零�����,即不設(shè)定閾值限制��, 其實(shí)質(zhì)上是對(duì)所有傳入流和傳出流的相關(guān)程度進(jìn)行了分級(jí)�,然后可以選擇 相關(guān)值較高的傳入流和傳出流對(duì)或組進(jìn)行后續(xù)分析���。
流的相關(guān)代表應(yīng)用部件間的多級(jí)依賴關(guān)系����。例如����,客戶端A向WEB 服務(wù)器B發(fā)出HTTP查詢請(qǐng)求,而WEB服務(wù)器B響應(yīng)該請(qǐng)求向數(shù)據(jù)庫(kù)C 發(fā)出JDBC查詢請(qǐng)求����。由于HTTP查詢請(qǐng)求和JDBC查詢請(qǐng)求之間存在因 果關(guān)系�,因此在一個(gè)時(shí)間區(qū)間內(nèi)��,這些請(qǐng)求所對(duì)應(yīng)的流的模式會(huì)具有較高 的相似性�。可通過(guò)各種相關(guān)算法來(lái)計(jì)算流模式之間的相關(guān)值�����,以衡量期間的相關(guān)
性�。例如可通過(guò)下式來(lái)計(jì)算相關(guān)系數(shù)
cov(z,:r) =-
其中
4=|》X'-并且C7卜》《-//,)2,
X表示傳入流的模式�����,Y表示傳出流的模式���。Xi表示模式X中單位區(qū) 間i的統(tǒng)計(jì)數(shù)據(jù)�����,Yi表示模式Y(jié)中單位區(qū)間i的統(tǒng)計(jì)數(shù)據(jù)����。px���,y表示模式X 和Y間的相關(guān)值����,cov(X,Y)表示模式X和Y的協(xié)方差�����,(Jxi示模式X的 標(biāo)準(zhǔn)差�,(Ty表示模式Y(jié)的標(biāo)準(zhǔn)差,n是單位區(qū)間的個(gè)數(shù)���,jnx是模式X的 均值,fiy是模式Y(jié)的均值���。其中標(biāo)準(zhǔn)差計(jì)算^^式中的n也可以用n-l代替�。 相關(guān)值也可以不使用相關(guān)系數(shù)表示��,例如可以使用T值(T-value)或者P 值(P-value)加以表達(dá)�����。
圖3示出了上述例子中HTTP查詢請(qǐng)求的流模式和JDBC查詢請(qǐng)求的 i5M^式����。從圖3中可以看出����,兩個(gè)流模式間的相似性較高���。相關(guān)性計(jì)算也 表明兩個(gè)il^式間的相關(guān)值最大(為0.889),因此被分析出屬于同一相關(guān)����。
在一個(gè)實(shí)施例中����,系統(tǒng)100還可以包含類型識(shí)別器(未示出)。類型識(shí) 別器使用服務(wù)器類型模式來(lái)確定每個(gè)流的響應(yīng)方的服務(wù)器類型����。服務(wù)器類 型模式定義了流的交互的類型與響應(yīng)方的服務(wù)器類型的對(duì)應(yīng)關(guān)系。例如服 務(wù)器類型模式可包括但不限于下述對(duì)應(yīng)關(guān)系
*交互類型HTTP對(duì)應(yīng)于Web服務(wù)器
*交互類型JDBC對(duì)應(yīng)于數(shù)據(jù)庫(kù)服務(wù)器
*交互類型LDAP對(duì)應(yīng)于LDAP服務(wù)器��。
在一個(gè)實(shí)施例中�����,系統(tǒng)100還可以包含轉(zhuǎn)換器(未示出)。轉(zhuǎn)換器通過(guò) 用流來(lái)連接相應(yīng)的請(qǐng)求方和響應(yīng)方并且顯示流之間的相關(guān)關(guān)系和響應(yīng)方 的服務(wù)器類型����,將應(yīng)用拓樸轉(zhuǎn)換為可視的形式,以通過(guò)諸如顯示器的i殳備 來(lái)呈現(xiàn)��。
下面結(jié)合圖5的例子來(lái)i兌明圖4示出的本發(fā)明的方法�����。圖4示出了才艮 據(jù)本發(fā)明一個(gè)實(shí)施例的識(shí)別應(yīng)用拓樸的方法的流程圖���。圖5示出了一個(gè)示 例性的應(yīng)用拓樸�����。
如圖4所示,方法從步驟400開始���。接著在步驟401,從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源地址和目的地址中至少之一在預(yù)定主機(jī)范圍
內(nèi)的分組��,并獲得分組的傳送時(shí)間��。如圖5所示,假定 視的系統(tǒng)包括 郵件服務(wù)器501,IP地址為100.1.0.1; WEB服務(wù)器502���,IP地址為100.1.0.2; 郵件服務(wù)器503����,IP地址為100.0.0.1; WEB服務(wù)器504, IP地址為100.0.0.2; LDAP服務(wù)器505���, IP地址為100.0.0.3���。服務(wù)器501和502在同一物理服 務(wù)器500上。在步驟401中提取目的IP地址在上述范圍內(nèi)的分組�。
接著在步驟402,根據(jù)交互特征識(shí)別分組承載的交互�����,所述交互包括 交互的類型����、交互的請(qǐng)求方、和交互的響應(yīng)方�。對(duì)于圖5所示的例子,可 識(shí)別出M戶端到服務(wù)器501的類型為POP3的交互A�,從客戶端到服務(wù) 器502的類型為HTTP的交互B, W艮務(wù)器501到服務(wù)器503的類型為 POP3的交互C,從服務(wù)器502到服務(wù)器504的類型為HTTP的交互D, 和W艮務(wù)器504到服務(wù)器505的類型為L(zhǎng)DAP的交互E,以及用上述IP 地址標(biāo)識(shí)的交互的請(qǐng)求方和響應(yīng)方�����。
接著在步驟403���,生成代表類型��、請(qǐng)求方和響應(yīng)方相同的交互的流����, 包括有關(guān)在預(yù)定時(shí)間段的每個(gè)單位區(qū)間內(nèi)提取的分組所承載的該交互類 型的交互的統(tǒng)計(jì)數(shù)據(jù)���。對(duì)于圖5的例子�����,生成了與步驟402得到的交互對(duì) 應(yīng)的流�����,分別記為A,���, B���,�, C��,�, D,和E��,��。接著在步驟404��,針對(duì)具有傳入 流和傳出流的每個(gè)響應(yīng)方的所有傳入流和所有傳出流�,依次尋找出所有這 樣的傳入流和傳出流該傳入流和傳出流的所述預(yù)定時(shí)間段的統(tǒng)計(jì)數(shù)據(jù)之 間的相關(guān)度最高且滿足預(yù)定閾值條件,并且將所找出的該傳入流和傳出流 標(biāo)記為屬于同一相關(guān)���,其中所找出的該傳入流和傳出流的相關(guān)關(guān)系不在后 續(xù)尋找的范圍內(nèi)����,以保證分析方法收斂����。對(duì)于圖5的例子��,假定流A��,與C����,�, B,與D���,��, D��,與E����,的相關(guān)值最大�,因而步驟404確定A,與C�,屬于同一相關(guān), 而B�����,�����, D�,與E,屬于同一相關(guān)����。
進(jìn)一步地,可使用服務(wù)器類型模式確定每個(gè)流的響應(yīng)方的服務(wù)器類 型�����。對(duì)于圖5的例子���,可確定服務(wù)器501為郵件服務(wù)器����,服務(wù)器502為 WEB服務(wù)器���,服務(wù)器503為郵件服務(wù)器��,服務(wù)器504為WEB服務(wù)器�,服 務(wù)器505為L(zhǎng)DAP服務(wù)器。
進(jìn)一步地�����,可通過(guò)用流來(lái)連接相應(yīng)的請(qǐng)求方和響應(yīng)方并且顯示流之間 的相關(guān)關(guān)系和響應(yīng)方的服務(wù)器類型�����,將應(yīng)用拓樸轉(zhuǎn)換為可視的形式�����。例如 可將應(yīng)用拓樸顯示為與圖5所示類似的形式�����,其中可用特定標(biāo)記(例如顏色 或符號(hào)等)來(lái)表示流之間的相關(guān)性�。
上述系列處理和裝置可通過(guò)硬件實(shí)現(xiàn)。這樣的硬件可以是單一處理設(shè)備或多個(gè)處理設(shè)備����。這樣的處理設(shè)備可以是微處理器、微控制器����、數(shù) 字處理器�����、微型計(jì)算機(jī)、中央處理單元的部分��、狀態(tài)機(jī)�、邏輯電路及/ 或操作信號(hào)的任何設(shè)備。
還應(yīng)該指出的是��,上述系列處理和裝置也可以通過(guò)軟件和固件實(shí)現(xiàn)�����。 在通過(guò)軟件或固件實(shí)現(xiàn)的情況下��,從存儲(chǔ)介質(zhì)或網(wǎng)絡(luò)向具有專用硬件結(jié)構(gòu)
的計(jì)算機(jī)�,例如圖6所示的通用計(jì)算機(jī)600安裝構(gòu)成該軟件的程序,該計(jì) 算機(jī)在安裝有各種程序時(shí)����,能夠執(zhí)行各種功能等等。
在圖6中����,中央處理單元(CPU)601根據(jù)只讀存儲(chǔ)器(ROM)602中存儲(chǔ) 的程序或從存儲(chǔ)部分608加載到隨M取存儲(chǔ)器(RAM)603的程序執(zhí)行各 種處理��。在RAM 603中����,也根據(jù)需要存儲(chǔ)當(dāng)CPU601執(zhí)行各種處理時(shí)所 需的數(shù)據(jù)���。
CPU601����、 ROM602和RAM603經(jīng)由總線604彼此連接����。輸"輸出 接口 605也連接到總線604。
下述部件連接到輸V輸出接口 605:輸入部分606�����,包括M��、鼠標(biāo) 等等;輸出部分607�,包括顯示器,比如陰;fel射線管(CRT)���、液晶顯示器(LCD) 等等�,和揚(yáng)聲器等等;存儲(chǔ)部分608�,包括硬盤等等;和通信部分609�����,包 括網(wǎng)絡(luò)接口卡比如LAN卡�����、調(diào)制解調(diào)器等等��。通信部分609經(jīng)由網(wǎng)絡(luò)比 如因特網(wǎng)執(zhí)行通信處理�����。
根據(jù)需要�����,驅(qū)動(dòng)器610也連接到輸V輸出接口 605���。可拆卸介質(zhì)611 比如磁盤、光盤�����、磁光盤��、半導(dǎo)體存儲(chǔ)器等等根據(jù)需要被安裝在驅(qū)動(dòng)器610 上��,使得從中讀出的計(jì)算^f呈序根據(jù)需要被安裝到存儲(chǔ)部分608中���。
在通過(guò)軟件實(shí)現(xiàn)上述系列處理的情況下��,從網(wǎng)絡(luò)比如因特網(wǎng)或存儲(chǔ)介 質(zhì)比如可拆卸介質(zhì)611安裝構(gòu)成軟件的程序�。
本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,這種存儲(chǔ)介質(zhì)不局限于圖6所示的其中 存儲(chǔ)有程序、與設(shè)備相分離地分發(fā)以向用戶提供程序的可拆卸介質(zhì)611��。 可拆卸介質(zhì)611的例子包含磁盤(包含軟盤)����、光盤(包含光盤只讀存儲(chǔ)器 (CD-ROM)和數(shù)字通用盤(DVD))、磁光盤(包含迷你盤(MD))和半導(dǎo)體存 儲(chǔ)器���?�;蛘?����,存儲(chǔ)介質(zhì)可以是ROM 602����、存儲(chǔ)部分608中包含的硬盤等等, 其中存有程序��,并且與包含它們的設(shè)備一起被分發(fā)給用戶����。
還需要指出的是��,執(zhí)行上述系列處理的步驟可以自然地按照說(shuō)明的順 序按時(shí)間順序執(zhí)行��,但是并不需要一定按照時(shí)間順序執(zhí)行�����。某些步驟可以 并行或彼此獨(dú)立地執(zhí)行����。雖然已經(jīng)詳細(xì)說(shuō)明了本發(fā)明及其優(yōu)點(diǎn),但M當(dāng)理解在不退出由所附 的權(quán)利要求所限定的本發(fā)明的精神和范圍的情況下可以進(jìn)行各種改變、替 代和變換����。
權(quán)利要求
1.一種識(shí)別應(yīng)用拓?fù)涞南到y(tǒng),包括分組提取器�,被配置為從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源地址和目的地址中至少之一在預(yù)定主機(jī)范圍內(nèi)的分組并獲得分組的傳送時(shí)間;交互識(shí)別器���,被配置為根據(jù)交互特征識(shí)別分組承載的交互��,所述交互包括交互的類型�、交互的請(qǐng)求方�����、和交互的響應(yīng)方����;流生成器,被配置為生成代表類型��、請(qǐng)求方和響應(yīng)方相同的交互的流����,包括有關(guān)在所述預(yù)定時(shí)間段的每個(gè)單位區(qū)間內(nèi)提取的分組所承載的該交互類型的交互的統(tǒng)計(jì)數(shù)據(jù)����;和相關(guān)器�,被配置為針對(duì)具有傳入流和/或傳出流的各個(gè)端點(diǎn)的所有傳入流和所有傳出流,尋找出相關(guān)的傳入流和傳出流��。
2. 如權(quán)利要求l所述的系統(tǒng)��,所^f目關(guān)器還被配置為依次尋找出所有 這樣相關(guān)的傳入流和傳出流當(dāng)該傳入流和傳出流的所述預(yù)定時(shí)間段的統(tǒng) 計(jì)數(shù)據(jù)之間的相關(guān)度最高且滿足預(yù)定閾值條件��,則將所找出的該傳入流和 傳出流標(biāo)記為屬于同 一相關(guān)���,并將所找出的該傳入流和傳出流的相關(guān)關(guān)系 從后續(xù)尋找的范圍內(nèi)排除����。
3. 如權(quán)利要求1或2所述的系統(tǒng)���,其中分組提取器包括用于過(guò)濾冗余 分組和與應(yīng)用無(wú)關(guān)的分組的裝置。
4. 如權(quán)利要求1或2所述的系統(tǒng)���,其中所述交互特征包括交互所基于 的協(xié)i義的特征��、或協(xié)i義與應(yīng)用的特征的結(jié)合�。
5. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng),其中所述協(xié)議包括HTTP��、 HTTPS����、 JDBC/ODBC、 LDAP�����、 SMTP�、 POP3或NNTP。
6. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng)��,其中交互的請(qǐng)求方和響應(yīng)方 分別由4L^交互的分組的源地址和目的地址來(lái)表示��。
7. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng)����,其中所述交互識(shí)別器還被配 置為將請(qǐng)求方不在預(yù)定主機(jī)范圍內(nèi)的交互的請(qǐng)求方識(shí)別為同 一個(gè)特定請(qǐng) 求方。
8. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng)�,其中所述交互識(shí)別器還被配 置為忽略響應(yīng)方不在預(yù)定主機(jī)范圍內(nèi)的交互。
9. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng)�,其中所統(tǒng)計(jì)的數(shù)據(jù)包括交互的計(jì)數(shù)、交互的數(shù)據(jù)量或其結(jié)合���。
10. 如權(quán)利要求1-4任一項(xiàng)所述的系統(tǒng)��,還包括類型識(shí)別器���,被配置為使用服務(wù)器類型模式確定每個(gè)流的響應(yīng)方的服 務(wù)器類型����。
11. 如權(quán)利要求l-4任一項(xiàng)所述的系統(tǒng)����,還包括轉(zhuǎn)換器,被配置為通過(guò)用流來(lái)連接相應(yīng)的請(qǐng)求方和響應(yīng)方并且顯示流 之間的相關(guān)關(guān)系和響應(yīng)方的服務(wù)器類型����,將應(yīng)用拓樸轉(zhuǎn)換為可視的形式。
12. —種識(shí)別應(yīng)用拓樸的方法�����,包括從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源地址和貝的地址中至少之 一在預(yù)定主機(jī)范圍內(nèi)的分組并獲得分組的傳送時(shí)間�����;才艮據(jù)交互特征識(shí)別分組承載的交互���,所述交互包括交互的類型�����、交 互的請(qǐng)求方����、和交互的響應(yīng)方��;生成代表類型�����、請(qǐng)求方和響應(yīng)方相同的交互的流���,包括有關(guān)在所述預(yù)計(jì)數(shù)據(jù)�;和針對(duì)具有傳入流和/或傳出流的各個(gè)端點(diǎn)的所有傳入流和所有傳出流�����, 找出相關(guān)的傳入流和傳出流�。
13. 如權(quán)利要求12所述的方法,其中針對(duì)具有傳入流和/或傳出流的 各個(gè)端點(diǎn)的所有傳入流和所有傳出流�����,找出相關(guān)的傳入流和傳出流的步驟 還包括依次尋找出所有這樣的傳入流和傳出流當(dāng)該傳入流和傳出流的所 述預(yù)定時(shí)間段的統(tǒng)計(jì)數(shù)據(jù)之間的相關(guān)度最高且滿足預(yù)定閾值條件,則將所 找出的該傳入流和傳出流標(biāo)記為屬于同 一相關(guān)����,并將所找出的該傳入流和 傳出流的相關(guān)關(guān)系M續(xù)尋找的范圍內(nèi)排除。
14. 如權(quán)利要求12或13所述的方法�,其中所述提取包括過(guò)濾冗余分 組和與應(yīng)用無(wú)關(guān)的分組。
15. 如權(quán)利要求12或13所述的方法���,其中所述交互特征包括交互所 基于的協(xié)i義的特征��、或協(xié)i義與應(yīng)用的特征的結(jié)合���。
16. 如權(quán)利要求12-15任一項(xiàng)所述的方法,其中所述協(xié)議包括 HTTP��、 HTTPS�、 JDBC/ODBC、 LDAP����、 SMTP、 POP3或NNTP。
17. 如權(quán)利要求12-15任一項(xiàng)所述的方法���,其中交互的請(qǐng)求方和響應(yīng)方分別由J^交互的分組的源地址和目的地址來(lái)表示。
18. 如權(quán)利要求12-15任一項(xiàng)所述的方法�����,其中所述識(shí)別包括將請(qǐng)求 方不在預(yù)定主機(jī)范圍內(nèi)的交互的請(qǐng)求方識(shí)別為同一個(gè)特定請(qǐng)求方�����。
19. 如權(quán)利要求12-15任一項(xiàng)所述的方法�,其中所述識(shí)別包括忽略響 應(yīng)方不在預(yù)定主機(jī)范圍內(nèi)的交互。
20. 如權(quán)利要求12-15任一項(xiàng)所述的方法�����,其中所統(tǒng)計(jì)的數(shù)據(jù)包括: 交互的計(jì)數(shù)��、交互的lt據(jù)量或其結(jié)合����。
21. 如權(quán)利要求12-15任一項(xiàng)所述的方法,還包括 使用服務(wù)器類型模式確定每個(gè)流的響應(yīng)方的服務(wù)器類型���。
22. 如權(quán)利要求12-15任一項(xiàng)所述的方法����,還包括通過(guò)用流來(lái)連接相應(yīng)的請(qǐng)求方和響應(yīng)方并且顯示流之間的相關(guān)關(guān)系 和響應(yīng)方的服務(wù)器類型,將應(yīng)用拓樸轉(zhuǎn)換為可視的形式����。
全文摘要
本發(fā)明公開了一種識(shí)別應(yīng)用拓?fù)涞姆椒ê拖到y(tǒng)。其中方法包含從預(yù)定時(shí)間段內(nèi)發(fā)生的網(wǎng)絡(luò)流量中提取源地址和目的地址中至少之一在預(yù)定主機(jī)范圍內(nèi)的分組并獲得分組的傳送時(shí)間�����;根據(jù)交互特征識(shí)別分組承載的交互��,所述交互包括交互的類型����、交互的請(qǐng)求方、和交互的響應(yīng)方��;生成代表類型�、請(qǐng)求方和響應(yīng)方相同的交互的流,包括有關(guān)在所述預(yù)定時(shí)間段的每個(gè)單位區(qū)間內(nèi)提取的分組所承載的該交互類型的交互的統(tǒng)計(jì)數(shù)據(jù)���;和針對(duì)具有傳入流和/或傳出流的各個(gè)端點(diǎn)的所有傳入流和所有傳出流�,找出相關(guān)的傳入流和傳出流。本發(fā)明的系統(tǒng)和方法提高了所識(shí)別的應(yīng)用拓?fù)涞男省?br>
文檔編號(hào)H04L29/08GK101594247SQ200810111019
公開日2009年12月2日 申請(qǐng)日期2008年5月29日 優(yōu)先權(quán)日2008年5月29日
發(fā)明者萌 葉, 興 方, 冰 謝, 晟 陸 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司