用于监控网络流量的方法和设备技术

技术编号:3522938 阅读:168 留言:0更新日期:2012-04-11 18:40
用于检查通过计算机网络上一个连接点的分组的监控器和方法。该方法包括从分组拦截设备接收分组并在分组上执行解析/提取操作以创建包括该分组的选中部分的函数在内的解析器记录;查找包含以前遇到的对话流的流-入口的流-入口数据库。该查找使用选中的分组部分并确定该分组是否是现有流。若该分组是现有流,则把该分组归类为属于找到的现有流,若该分组是新流,则在流-入口数据库中为该新流存储一个新的流-入口。若该分组是现有流,则更新该现有的流的流-入口。在流的任意阶段,都维护它的状态,且执行已经识别出的状态的任意状态操作以促进识别该流的过程。该方法就这样实时检查通过该连接点的每个分组直到确定与该流相关的应用程序为止。(*该技术在2020年保护过期,可自由使用*)

【技术实现步骤摘要】

本专利技术涉及计算机网络,尤其涉及在数据网络中所传递的分组的实时说明有关,包括按照协议和应用程序进行的分类。对有关申请的交叉引用本申请对美国临时专利申请序列号60/141,903题为“用于监控网络流量的方法和设备”中的利益提出权利要求,所要求的权利由专利技术人Dietz等人所有,他在1999年6月30日提交了该申请并转让给APPTITUDE有限公司,该公司是本专利技术的受让人。版权公告本专利文档的部分内容中包含关于版权保护的材料。版权所有者不反对由本专利文档或专利公开内容的任何人复制副本,因为它已经出现在专利与商标事务处的文档和记录中,但另外保留所有的版权。
技术介绍
很久以来就一直需要有一个网络活动状况监控器。但在最近Internet和其它internets大量流行的情况下这种需要变得更加迫切,“internet”是任意一个对大量网络进行互联而形成的更大的单一网络。随着用作客户机端集合—这些客户机端从网络上的一个或多个服务器获取服务—的网络的增长,能够对这些服务的使用进行监控并对它们做出相应的评定就显得愈加重要。例如,像哪些服务(即应用程序)正在被使用、谁在使用它们、它们多长时间被访问一次以及每次访问多长时间这样的客观信息在这些网络的维护和后继操作中非常有用。尤其重要的是被选中的用户能够远程访问网络以便实时产生网络使用报告。同样地,也需要一个实时网络监控器能够提供警报通知选中的用户网络或站点上可能出现了问题。现有技术中的一种监控方法使用日志文件。在这种方法中,可以通过查看日志文件对选中的网络活动进行回顾分析,日志文件由网络服务器和网关共同维持。日志文件监控器必须访问这个数据并分析(“我的”)它的内容以确定关于服务器或网关的统计信息。但这种方法存在几个问题。首先,日志文件信息并未提供实时使用图;第二,日志文件库不支持全部信息。这个方法依赖于由大量网络设备和服务器所维持的日志,这就需要对信息进行提炼和对比。并且有些时候信息不能简单地被任意网关或服务器直接用来产生日志文件条目。例如,关于NetMeeting(Microsoft公司,雷蒙德,华盛顿州)会话的信息就是一个这样的情况,在NetMeeting会话中两台计算机在网络上直接连接,而服务器和网关根本看不到在它们之间所传送的数据。创建日志文件的另一个缺点是这个方法要求使能网络元素的数据记录特性,给设备增加了实实在在的负载,这导致网络性能随之下降。另外,日志文件增长得很快,没有能够存储它们的标准存储装置,并且它们需要大量的维护开销。通过Netflow(Cisco系统有限公司,圣何塞,加利福尼亚州)、RMON2以及其它可用于实际监控网络的网络监控器,它们降低了应用内容的可见度,而且一般在提供网络层信息上也有限制。模式匹配解析器技术已经是众所周知,在该技术中对分组进行解析并且应用了模式过滤器,但这些在进入协议栈检查分组的进入深度上也受限制。一些现有技术中的分组监控器把分组分类成连接流。术语“连接流”一般用于描述单个连接所涉及到的所有分组。另一方面,对话流是作为一个活动—例如,因为客户机的请求而在服务器上运行一个应用程序—的结果在任意方向上所交换的分组序列。希望能够对对话流而不只是连接流进行识别和分类。这样做的原因是一些对话流涉及不止一个连接流,有些甚至涉及到客户机和服务器之间的多个分组交换。这在使用像RPC、DCOMP和SAP这样的客户机/服务器协议时尤其正确,这些协议使得能够在对服务有任何使用之前对其进行设置或定义。这种情况的一个实例是SAP(服务广告协议),一个用来识别服务和隶属于网络的服务器地址的NetWare(Novell系统,Provo,犹他州)协议。在初始交换中,客户机可以发送一个SAP请求给服务器以要求打印服务。服务器随后将发送一个SAP应答,该应答把一特定地址—例如,SAP#5—标识为该服务器上的打印服务。这样的响应可以用来更新路由器中的表格,例如通常所说的服务器信息表。已经无意中看到过这个响应或者访问该表格(通过有服务信息表格的路由器)的客户机便会知道特定服务器的SAP#5是一个打印服务。因此,要想在服务器上打印数据,这样的客户机无需产生打印服务请求,只要简单地把数据发送出去以在指定的SAP#5上进行打印。像前一个交换那样,传输要打印的数据也涉及客户机和服务器之间的交换,但要求第二个连接利并因此独立于初始交换。为了降低对话交换断开的可能性,希望网络分组监控器能够把第一和第二个交换“虚拟连接”—也就是链接—在一起。如果是同一客户机,两个分组交换将被正确地标识为同一对话流的一部分。其它可能产生断开的流的协议包括RPC(远程过程调用);DCOM(分布式组件对象模型),以前称作网络OLE(Microsoft公司,雷蒙德,华盛顿州);和CORBA(公共对象请求代理结构)。RPC是来自Sun微系统(Paloalto,加利福尼亚州)的一个编程接口,它允许一个程序使用远程机器中的另一个程序的服务。DCOM是Microsoft与CORBA相对应的协议,它定义了允许通过网络远程运行那些对象—自主式软件模块对象—的远程过程调用。CORBA是来自OMG(对象管理组织)的标准,用于在分布式对象之间进行通信,它提供了一种方式能够执行用不同语言所写运行在不同平台上的程序(对象),而不管它们是否存在于网络中。因此,需要一个能够在流量很大的网络上连续不断地分析所有用户会话的网络监控器。这样的监控器应该能够对通过网络上任意点的所有信息(也就是通过网络中任意位置的所有分组和分组流)进行非插入、远程探测、特性表示、分析和捕捉。网络监控器应该不仅能探测和分析所有的分组,而且能够针对这些分组中的每一个确定协议(例如,http、ftp、H.323、VPN等)、协议中的应用/用途(例如,声音、视频、数据、实时数据等)以及每个应用或应用环境(例如,所选的选项、所投递的服务、持续时间、日时、所请求的数据等)中终端用户的使用模式。而且,网络监控器不应该依赖于像日志文件这样的服务器驻留信息。相反,它应该给像网络管理员或Internet服务提供商(ISP)这样的用户提供装置以对网络活动进行客观的测量和分析;自定义要收集并分析的数据的类型;承担实时分析;并接收网络问题的及时通知。再次考虑前面的SAP实例,因为本专利技术的一个特性是正确标识第二个交换为与服务器的打印服务相关联,甚至在客户机不相同时也能够识别这样的交换。区别本专利技术和现有技术中的网络监控器的特性是本专利技术能够识别出属于同一个对话流的已断开的流。很多专利技术人已经认识到了监控网络通信中的数据值。Chiu等人在题为“用于网络会话的实时监控和局域网的设备和方法”的美国专利5,101,402(“402专利”)中描述了一个用于在计算机网络的会话层上收集信息的方法。402专利为几种特定类型的分组指定了提取信息从而识别分组会话的固定位置。例如,如果出现了一个DECnet分组,402专利就查看分组中的六个字段(在六个位置)以识别该分组的会话。另一方面,如果出现了一个IP分组,就为IP分组指定包含六个不同位置的一个不同集合。随着协议的增殖,明确指定所有可能的位置并确定会话变得越来越难。同样地,添加一个新协议或应用也很困难。在本专利技术中,对特定类型的分组从该本文档来自技高网...

【技术保护点】
一种查找设备,可配置用来在目标数据流中查找NR个单元的引用字符串,该设备包括:(a)第一个NR-单元比较器,有NR对输入和一个输出,输出指示NR-对输入中一对的匹配;和(b)NR个指示引用字符串的值并定义矩阵的第一个轴的连接 ,和NR个指示目标数据的值并定义和第一个轴正交的第二轴的连接,目标数据连接从目标数据的第一个起始位置开始并在结尾位置结束;其中第一个比较器是沿着矩阵的对角线,这样可以比较目标数据的NR个连接和NR个引用字符串连接。

【技术特征摘要】
...

【专利技术属性】
技术研发人员:RS迪茨JR迈克斯纳AA科彭哈维WH巴雷斯HA萨尔基相JF托尔格森
申请(专利权)人:倾向探测公司
类型:发明
国别省市:US[美国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1