專利名稱:識別應用拓撲的方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及信息技術(IT)系統(tǒng)的配置管理�,尤其涉及識別應用拓樸的
方法和系統(tǒng)o
背景技術:
有許多在例如數(shù)據(jù)中心的IT系統(tǒng)中幫助進行配置管理的工具。然而 這些工具面臨著各種問題。例如系統(tǒng)M和復雜性的迅速增加��,諸如服務 器和應用的系統(tǒng)組成的頻繁變化等��。管理員通常知道IT系統(tǒng)包括的設備 和網(wǎng)絡拓樸�����,然而這些對于更加有效����、高效地管理IT系統(tǒng)是不夠的����。管 理員需要對IT系統(tǒng)有更深入的了解。
需要深入了解的一個方面是IT系統(tǒng)中的應用拓樸�,即應用的部件(例 如程序、服務����、組件等)在IT系統(tǒng)各主機(例如服務器)上的部署以及所部 署的應用的部件間的交互(例如月良務請求-響應)。
已經(jīng)有用于識別應用拓樸的工具��。例如美國的IBM/^司的TADDM (Tivoli應用依賴發(fā)現(xiàn)管理器Tivoli Application Dependency Discovery Manager)通過端口/配置掃描來發(fā)現(xiàn)應用拓樸���。然而這類主動型工具需要主 動掃描IP地址和預定端口以發(fā)現(xiàn)應用��、或登錄服務器以獲得和分析應用配 置文件�、或需要專門安裝代理(agent)。
加拿大的EMC公司的nLayers InSight是一種通過掃描經(jīng)由端口鏡 像�、網(wǎng)絡線纜抽頭等手段獲得的分組來識別應用拓樸的被動型工具。 nLayers InSight通過預定義的交互特征(fingerprints)從分組承載的有效載 荷中識別出應用的部件和部件間的交互���,并基于存在因果關系的交互之間 相應存在發(fā)生時間相關性的假設����,來識別交互之間的相關性���。然而這類工 具在工作前需要較多的信息準備��。此外�����,上述假設并不永遠成立��,而且由 于應用部件運行環(huán)境的差異����,使得發(fā)生時間對運行環(huán)境有很強的依賴,從 而因運行環(huán)境的變化而表現(xiàn)出較大的抖動����。這些因素都會降低識別的效率 和成功率。
因此�,需要一種能夠依賴更少信息來識別應用拓樸的手段。
發(fā)明內容
本發(fā)明的一個目的是提供一種識別應用拓樸的方法和系統(tǒng)����,以便提高 所識別的應用拓樸的效率���。
本發(fā)明的一個實施例提供了一種識別應用拓樸的系統(tǒng)��,包括分組提 取器��,被配置為從預定時間段內發(fā)生的網(wǎng)絡流量中提取源地址和目的地址 中至少之一在預定主機范圍內的分組并獲得分組的傳送時間�����;交互識別 器���,被配置為根據(jù)交互特征識別分組承載的交互,所述交互包括交互的 類型���、交互的請求方����、和交互的響應方;流生成器�,被配置為生成代表類 型、請求方和響應方相同的交互的流��,包括有關在所述預定時間段的每個 單位區(qū)間內提取的分組所承載的該交互類型的交互的統(tǒng)計數(shù)據(jù)���;和相關 器���,被配置為針對具有傳入流和/或傳出流的各個端點的所有傳入流和所有 傳出流,尋找出相關的傳入流和傳出流��。
本發(fā)明的一個實施例提供了一種識別應用拓樸的方法�,包括12. — 種識別應用拓樸的方法,包括從預定時間段內發(fā)生的網(wǎng)絡流量中提取源 地址和目的地址中至少之一在預定主機范圍內的分組并獲得分組的傳送 時間���;根據(jù)交互特征識別分組承載的交互�,所述交互包括交互的類型����、 交互的請求方�����、和交互的響應方��;生成代表類型�����、請求方和響應方相同的 交互的流����,包括有關在所述預定時間段的每個單位區(qū)間內提取的分組所承 載的該交互類型的交互的統(tǒng)計數(shù)據(jù)�;和針對具有傳入流和/或傳出流的各個 端點的所有傳入流和所有傳出流��,找出相關的傳入流和傳出流�。
參照下面結合附圖對本發(fā)明實施例的說明,會更加容易地理解本發(fā)明 的以上和其它目的�、特點和優(yōu)點。在附圖中��,相同的或對應的技術特征或 部件將采用相同或對應的附圖標記來表示�����。
圖1示出了祁4t本發(fā)明一個實施例的識別應用拓樸的系統(tǒng)的示例性結構。
圖2通過圖表示出了一個流的示例性行為模式��。
圖3示出了一個例子中HTTP查詢請求的流模式和JDBC查詢請求的 流模式�����。圖4示出了根據(jù)本發(fā)明一個實施例的識別應用拓樸的方法的流程圖�。 圖5示出了一個示例性的應用拓樸。
圖6是示出其中實現(xiàn)本發(fā)明的計算機的示例性結構的框圖���。
具體實施例方式
下面參照附圖來說明本發(fā)明的實施例�。應當注意�����,為了清楚的目的��, 附圖和說明中省略了與本發(fā)明無關的�、本領域普通技術人員已知的部件和 處理的表示和描述。
圖1示出了才艮據(jù)本發(fā)明一個實施例的識別應用拓樸的系統(tǒng)100的示例 性結構����。
如圖1所示,系統(tǒng)100包含分組提取器102���、交互識別器103�����、流生 成器104和相關器105�����。
分組提取器102接收來自網(wǎng)絡的分組(即網(wǎng)^4M:(packet))����。使用系 統(tǒng)IOO的管理員所管理的系統(tǒng)具有一定的范圍。這個范圍內的主M過網(wǎng) 絡相連�����。主機上部署的應用部件通過網(wǎng)絡進行交互以實現(xiàn)各種應用���。可以 利用例如交換機端口鏡像����、線纜抽頭/光纖分光器、集線器的技術����,在不影 響正常交互的情況下實時得到期望監(jiān)視的網(wǎng)絡連接上傳送的分組����。由于可 能通過分組所攜帶的地址(例如���,IP(網(wǎng)際協(xié)議)地址)或類似標識(例如�����, URL(統(tǒng)一資源標識符))來識別主機�,所以所得到的分組通?����;诮y(tǒng)一的網(wǎng) 絡協(xié)議族(例如�,TCP(傳輸控制協(xié)議)/IP)。但出于方便獲得分組的目的�����, 如果不存在地址或標識沖突�����,也可以捕捉來自協(xié)議族的分組。
分組提取器102從實時得到的分組中提取源地址和目的地址中至少之 一在預定主機范圍的分組���。即期望得到應用拓樸的系統(tǒng)范圍內的分組��,并 記^f目應的提取時間����,以作為分組的傳送時間���。如果分組直接附帶有相應 的傳送時間��,則分組提取器102記錄的提取時間就是此傳送時間�����。如果分 組提取器102提取的分組不會被實時分析����,則提取時間需要被記錄在分組 記錄中用于近似表示分組的傳送時間���。
分組提取器102可根據(jù)分組的源/目的地址或地址轉換獲得的標識是 否在預定主機范圍內,來決定需要被分析的節(jié)點�。 一個節(jié)點可以是一臺主 機或者一個類似的處理設備��。 一個節(jié)點可以有一個或多個地址或標識��。
優(yōu)選地���,分組提取器102可以包括過濾不必要的分組的裝置(未示出)。該裝置清除冗余分組�����,例如清除序列號重復的分組等等�,和/或清除與應用 無關的分組,例如清除路由協(xié)議分組等等����。
交互識別器103根據(jù)交互特征識別分組提取器102所提取的分組中承 載的交互。交互是指應用部件棉*據(jù)應用協(xié)i義相互之間傳送信息以完成應用 的業(yè)務邏輯的活動��。 一般而言��,可以將交互抽象為請求方-響應方模型�����,其 中作為請求方的應用部件向作為響應方的應用部件發(fā)出請求消息(用于發(fā) 起交互),響應方收到請求消息后執(zhí)行所請求的業(yè)務邏輯���,并向請求方返 回相應的結果�����,也可能不用返回任何信息�。在本申請的環(huán)境中����,交互通常 由請求消息來代表,但也可以由整個請求-響應過程的部分或全部消息來代 表���。
代表交互的消息通?�;趹脜f(xié)議來封裝�。應用協(xié)議的例子包括但不 限于HTTP(超文本傳送協(xié)議)���、HTTPS(安全超文本傳送協(xié)議)��、JDBC(JAVA 數(shù)據(jù)庫互連)/ODBC(開放數(shù)據(jù)庫互連)���、LDAP(輕量級目錄訪問協(xié)議)、 SMTP(簡單^件傳送協(xié)議)��、POP3(郵局協(xié)議版本3)��、 NNTP(網(wǎng)絡新聞傳送 協(xié)議)�。經(jīng)過應用協(xié)議封裝的消息通過分組iM^載。承栽用于^交互的消 息的分組也被稱為發(fā)起交互的分組����。
交互的類型取決于應用協(xié)議類型和區(qū)分粒度。例如�,對于由HTTP請 求消息"GET/index.jspHTTP/1.1"代表的交互,如果區(qū)分粒度為服務器�, 則交互類型由協(xié)i義類型(例如HTTP)或協(xié)i義類型加協(xié)議版本(例如 HTTP/1.1)來區(qū)分;如果區(qū)分粒度為服務�����,則交互類型由協(xié)議類型加業(yè)務 類型(例如HTTP(/index))或協(xié)議類型加協(xié)i義版本加業(yè)務類型(例如 HTTP/l.l(/index))^區(qū)分�。不同的應用isH義有相應的區(qū)分方式?��?梢葬槍?各種應用協(xié)議設計出用于識別出交互的協(xié)議和服務特征�����。例如可采用EMC 公司的nLayers InSight中交互特征的技術中識別協(xié)議的類似方法�����。
交互識別器103所識別的交互可包括例如下述信息交互的類型����、交
互的請求方、和交互的響應方����。交互的請求方可由ic^該交互的應用部件
(例如,同步請求分組)的源地址或標識(例如URL等)來表示����,而交互的響 應方可由4C^該交互的分組(例如,同步請求分組)的目的地址或標識(例如 URL等)來表示��。
優(yōu)選地����,交互識別器103可將請求方(例如發(fā)起交互的應用部件的源地 址或標識)不在預定主機范圍內的交互的請求方識別為同一個特定請求方, 例外一個假定的外部JJ良務器��。優(yōu)選地��,交互識別器103可以忽略響應方不 在預定主機范圍內的交互,以排除與所關心的應用無關的拓樸�����。流生成器104將類型���、請求方和響應方相同的交互生成為流,并導出 流的模式����。在本申請的環(huán)境中,流代表在一個時間段內發(fā)生的分組所承載 的交互中請求方和響應方分別相同并且交互類型也相同的所有交互��。流的 模式是指在上述時間段的每個單位區(qū)間內發(fā)生的分組所承載的該流的交 互的統(tǒng)計數(shù)據(jù)所構成的模式�����。時間段(例如若干小時���、天等等)和單位區(qū)間(例 如秒���、分等)可根據(jù)具體實現(xiàn)來確定。統(tǒng)計數(shù)據(jù)可以是例如交互的計數(shù)��、交 互的數(shù)據(jù)量或其結合(例如加法和、加權和等)�。
流生成器104所生成的流可包括例如如下信息流的類型(即相關交互 的類型)、流的請求方(即相關交互的請求方)�、流的響應方(即相關交互的響 應方)、和流的模式�。圖2通過圖表示出了一個流的示例性行為模式,其中 橫軸代表時間���,縱軸代表每分鐘的HTTP交互的計數(shù)����。
相關器105針對流生成器104所生成的所有流的每個流的端點(即物 理上對應的節(jié)點����,可以為流的請求方或流的響應方),獲得該端點的所有 傳入流(即���,以該端點為響應方的流)和所有傳出流(即�,該端點作為請求方 的流)����。值得注意的是,所述端點應理解為不僅包括同時具有傳入流和傳出 流的端點�����,還包括只有傳入流或傳出流的端點。計算出每個傳入流和每個 傳出流的統(tǒng)計模式之間的相關值�����。相關器105選擇之間的相關值超過預定 閾值(閾值可以為零)并且在所有相關值中最大的一對傳入流和傳出流����, 作為相關的傳入流和傳出流����,即將它們識別為屬于同一相關。然而在排除 這對傳入和傳出流的情況下���,相關器105重新進行上述計算和選擇��。通過 依次重復執(zhí)行�,直至沒有相關值超過預定閾值(閾值可以為零)的傳入流 和傳出流��,或者所有的傳入流都已和傳出i^目關聯(lián)�,或者所有的傳出流都 已經(jīng)和傳入流相關聯(lián)?����?赡芤幌盗械膫魅搿鞒隽骶鶎儆谕幌嚓P�����。應當 注意�,本發(fā)明并不限于上勤目關值,而是可以使用任何表示相關度的度量���。 并且本發(fā)明也不限于上述預定閾值����,而是可以4吏用任何用于比較^目關度的 閾值條件����。閾值條件可以由人工輸入。閾值可以為零�,即不設定閾值限制, 其實質上是對所有傳入流和傳出流的相關程度進行了分級���,然后可以選擇 相關值較高的傳入流和傳出流對或組進行后續(xù)分析���。
流的相關代表應用部件間的多級依賴關系����。例如���,客戶端A向WEB 服務器B發(fā)出HTTP查詢請求����,而WEB服務器B響應該請求向數(shù)據(jù)庫C 發(fā)出JDBC查詢請求�。由于HTTP查詢請求和JDBC查詢請求之間存在因 果關系���,因此在一個時間區(qū)間內�����,這些請求所對應的流的模式會具有較高 的相似性���。可通過各種相關算法來計算流模式之間的相關值����,以衡量期間的相關
性。例如可通過下式來計算相關系數(shù)
cov(z,:r) =-
其中
4=|》X'-并且C7卜》《-//,)2,
X表示傳入流的模式���,Y表示傳出流的模式���。Xi表示模式X中單位區(qū) 間i的統(tǒng)計數(shù)據(jù),Yi表示模式Y中單位區(qū)間i的統(tǒng)計數(shù)據(jù)�。px,y表示模式X 和Y間的相關值�,cov(X,Y)表示模式X和Y的協(xié)方差����,(Jxi示模式X的 標準差,(Ty表示模式Y的標準差����,n是單位區(qū)間的個數(shù),jnx是模式X的 均值����,fiy是模式Y的均值。其中標準差計算^^式中的n也可以用n-l代替�。 相關值也可以不使用相關系數(shù)表示,例如可以使用T值(T-value)或者P 值(P-value)加以表達��。
圖3示出了上述例子中HTTP查詢請求的流模式和JDBC查詢請求的 i5M^式。從圖3中可以看出����,兩個流模式間的相似性較高。相關性計算也 表明兩個il^式間的相關值最大(為0.889),因此被分析出屬于同一相關�����。
在一個實施例中�,系統(tǒng)100還可以包含類型識別器(未示出)。類型識 別器使用服務器類型模式來確定每個流的響應方的服務器類型����。服務器類 型模式定義了流的交互的類型與響應方的服務器類型的對應關系。例如服 務器類型模式可包括但不限于下述對應關系
*交互類型HTTP對應于Web服務器
*交互類型JDBC對應于數(shù)據(jù)庫服務器
*交互類型LDAP對應于LDAP服務器���。
在一個實施例中��,系統(tǒng)100還可以包含轉換器(未示出)。轉換器通過 用流來連接相應的請求方和響應方并且顯示流之間的相關關系和響應方 的服務器類型�����,將應用拓樸轉換為可視的形式����,以通過諸如顯示器的i殳備 來呈現(xiàn)�。
下面結合圖5的例子來i兌明圖4示出的本發(fā)明的方法����。圖4示出了才艮 據(jù)本發(fā)明一個實施例的識別應用拓樸的方法的流程圖。圖5示出了一個示 例性的應用拓樸����。
如圖4所示,方法從步驟400開始�。接著在步驟401,從預定時間段內發(fā)生的網(wǎng)絡流量中提取源地址和目的地址中至少之一在預定主機范圍
內的分組,并獲得分組的傳送時間��。如圖5所示�����,假定 視的系統(tǒng)包括 郵件服務器501����,IP地址為100.1.0.1; WEB服務器502,IP地址為100.1.0.2; 郵件服務器503���,IP地址為100.0.0.1; WEB服務器504��, IP地址為100.0.0.2; LDAP服務器505����, IP地址為100.0.0.3。服務器501和502在同一物理服 務器500上���。在步驟401中提取目的IP地址在上述范圍內的分組��。
接著在步驟402�����,根據(jù)交互特征識別分組承載的交互��,所述交互包括 交互的類型��、交互的請求方��、和交互的響應方����。對于圖5所示的例子���,可 識別出M戶端到服務器501的類型為POP3的交互A�,從客戶端到服務 器502的類型為HTTP的交互B, W艮務器501到服務器503的類型為 POP3的交互C����,從服務器502到服務器504的類型為HTTP的交互D, 和W艮務器504到服務器505的類型為LDAP的交互E,以及用上述IP 地址標識的交互的請求方和響應方�����。
接著在步驟403�,生成代表類型、請求方和響應方相同的交互的流��, 包括有關在預定時間段的每個單位區(qū)間內提取的分組所承載的該交互類 型的交互的統(tǒng)計數(shù)據(jù)����。對于圖5的例子,生成了與步驟402得到的交互對 應的流��,分別記為A��,�, B,����, C�����,�, D����,和E,���。接著在步驟404���,針對具有傳入 流和傳出流的每個響應方的所有傳入流和所有傳出流,依次尋找出所有這 樣的傳入流和傳出流該傳入流和傳出流的所述預定時間段的統(tǒng)計數(shù)據(jù)之 間的相關度最高且滿足預定閾值條件���,并且將所找出的該傳入流和傳出流 標記為屬于同一相關��,其中所找出的該傳入流和傳出流的相關關系不在后 續(xù)尋找的范圍內�����,以保證分析方法收斂�。對于圖5的例子�����,假定流A��,與C���,�, B�����,與D����,, D����,與E,的相關值最大��,因而步驟404確定A�,與C,屬于同一相關���, 而B�,, D��,與E���,屬于同一相關����。
進一步地����,可使用服務器類型模式確定每個流的響應方的服務器類 型。對于圖5的例子�,可確定服務器501為郵件服務器,服務器502為 WEB服務器��,服務器503為郵件服務器���,服務器504為WEB服務器���,服 務器505為LDAP服務器。
進一步地,可通過用流來連接相應的請求方和響應方并且顯示流之間 的相關關系和響應方的服務器類型���,將應用拓樸轉換為可視的形式����。例如 可將應用拓樸顯示為與圖5所示類似的形式��,其中可用特定標記(例如顏色 或符號等)來表示流之間的相關性����。
上述系列處理和裝置可通過硬件實現(xiàn)�。這樣的硬件可以是單一處理設備或多個處理設備。這樣的處理設備可以是微處理器��、微控制器�����、數(shù) 字處理器�����、微型計算機���、中央處理單元的部分�����、狀態(tài)機�、邏輯電路及/ 或操作信號的任何設備。
還應該指出的是��,上述系列處理和裝置也可以通過軟件和固件實現(xiàn)�����。 在通過軟件或固件實現(xiàn)的情況下�,從存儲介質或網(wǎng)絡向具有專用硬件結構
的計算機,例如圖6所示的通用計算機600安裝構成該軟件的程序���,該計 算機在安裝有各種程序時�����,能夠執(zhí)行各種功能等等���。
在圖6中,中央處理單元(CPU)601根據(jù)只讀存儲器(ROM)602中存儲 的程序或從存儲部分608加載到隨M取存儲器(RAM)603的程序執(zhí)行各 種處理�����。在RAM 603中,也根據(jù)需要存儲當CPU601執(zhí)行各種處理時所 需的數(shù)據(jù)���。
CPU601��、 ROM602和RAM603經(jīng)由總線604彼此連接����。輸"輸出 接口 605也連接到總線604���。
下述部件連接到輸V輸出接口 605:輸入部分606,包括M���、鼠標 等等;輸出部分607����,包括顯示器�����,比如陰;fel射線管(CRT)����、液晶顯示器(LCD) 等等���,和揚聲器等等;存儲部分608�,包括硬盤等等;和通信部分609�,包 括網(wǎng)絡接口卡比如LAN卡、調制解調器等等�����。通信部分609經(jīng)由網(wǎng)絡比 如因特網(wǎng)執(zhí)行通信處理����。
根據(jù)需要,驅動器610也連接到輸V輸出接口 605���?���?刹鹦督橘|611 比如磁盤�、光盤、磁光盤����、半導體存儲器等等根據(jù)需要被安裝在驅動器610 上�,使得從中讀出的計算^f呈序根據(jù)需要被安裝到存儲部分608中��。
在通過軟件實現(xiàn)上述系列處理的情況下����,從網(wǎng)絡比如因特網(wǎng)或存儲介 質比如可拆卸介質611安裝構成軟件的程序。
本領域的技術人員應當理解�,這種存儲介質不局限于圖6所示的其中 存儲有程序、與設備相分離地分發(fā)以向用戶提供程序的可拆卸介質611���。 可拆卸介質611的例子包含磁盤(包含軟盤)�、光盤(包含光盤只讀存儲器 (CD-ROM)和數(shù)字通用盤(DVD))�����、磁光盤(包含迷你盤(MD))和半導體存 儲器�����?����;蛘?��,存儲介質可以是ROM 602�����、存儲部分608中包含的硬盤等等���, 其中存有程序,并且與包含它們的設備一起被分發(fā)給用戶����。
還需要指出的是,執(zhí)行上述系列處理的步驟可以自然地按照說明的順 序按時間順序執(zhí)行�����,但是并不需要一定按照時間順序執(zhí)行�����。某些步驟可以 并行或彼此獨立地執(zhí)行����。雖然已經(jīng)詳細說明了本發(fā)明及其優(yōu)點��,但M當理解在不退出由所附 的權利要求所限定的本發(fā)明的精神和范圍的情況下可以進行各種改變�、替 代和變換�。
權利要求
1.一種識別應用拓撲的系統(tǒng),包括分組提取器�,被配置為從預定時間段內發(fā)生的網(wǎng)絡流量中提取源地址和目的地址中至少之一在預定主機范圍內的分組并獲得分組的傳送時間;交互識別器����,被配置為根據(jù)交互特征識別分組承載的交互,所述交互包括交互的類型���、交互的請求方��、和交互的響應方�;流生成器��,被配置為生成代表類型��、請求方和響應方相同的交互的流�,包括有關在所述預定時間段的每個單位區(qū)間內提取的分組所承載的該交互類型的交互的統(tǒng)計數(shù)據(jù)���;和相關器����,被配置為針對具有傳入流和/或傳出流的各個端點的所有傳入流和所有傳出流,尋找出相關的傳入流和傳出流����。
2. 如權利要求l所述的系統(tǒng),所^f目關器還被配置為依次尋找出所有 這樣相關的傳入流和傳出流當該傳入流和傳出流的所述預定時間段的統(tǒng) 計數(shù)據(jù)之間的相關度最高且滿足預定閾值條件���,則將所找出的該傳入流和 傳出流標記為屬于同 一相關�����,并將所找出的該傳入流和傳出流的相關關系 從后續(xù)尋找的范圍內排除��。
3. 如權利要求1或2所述的系統(tǒng)��,其中分組提取器包括用于過濾冗余 分組和與應用無關的分組的裝置��。
4. 如權利要求1或2所述的系統(tǒng)���,其中所述交互特征包括交互所基于 的協(xié)i義的特征、或協(xié)i義與應用的特征的結合���。
5. 如權利要求1-4任一項所述的系統(tǒng)��,其中所述協(xié)議包括HTTP��、 HTTPS���、 JDBC/ODBC��、 LDAP��、 SMTP�����、 POP3或NNTP����。
6. 如權利要求1-4任一項所述的系統(tǒng)�����,其中交互的請求方和響應方 分別由4L^交互的分組的源地址和目的地址來表示���。
7. 如權利要求1-4任一項所述的系統(tǒng),其中所述交互識別器還被配 置為將請求方不在預定主機范圍內的交互的請求方識別為同 一個特定請 求方��。
8. 如權利要求1-4任一項所述的系統(tǒng),其中所述交互識別器還被配 置為忽略響應方不在預定主機范圍內的交互�。
9. 如權利要求1-4任一項所述的系統(tǒng),其中所統(tǒng)計的數(shù)據(jù)包括交互的計數(shù)���、交互的數(shù)據(jù)量或其結合���。
10. 如權利要求1-4任一項所述的系統(tǒng),還包括類型識別器�����,被配置為使用服務器類型模式確定每個流的響應方的服 務器類型�。
11. 如權利要求l-4任一項所述的系統(tǒng),還包括轉換器���,被配置為通過用流來連接相應的請求方和響應方并且顯示流 之間的相關關系和響應方的服務器類型��,將應用拓樸轉換為可視的形式��。
12. —種識別應用拓樸的方法����,包括從預定時間段內發(fā)生的網(wǎng)絡流量中提取源地址和貝的地址中至少之 一在預定主機范圍內的分組并獲得分組的傳送時間;才艮據(jù)交互特征識別分組承載的交互���,所述交互包括交互的類型���、交 互的請求方、和交互的響應方����;生成代表類型、請求方和響應方相同的交互的流�,包括有關在所述預計數(shù)據(jù);和針對具有傳入流和/或傳出流的各個端點的所有傳入流和所有傳出流�, 找出相關的傳入流和傳出流。
13. 如權利要求12所述的方法��,其中針對具有傳入流和/或傳出流的 各個端點的所有傳入流和所有傳出流���,找出相關的傳入流和傳出流的步驟 還包括依次尋找出所有這樣的傳入流和傳出流當該傳入流和傳出流的所 述預定時間段的統(tǒng)計數(shù)據(jù)之間的相關度最高且滿足預定閾值條件����,則將所 找出的該傳入流和傳出流標記為屬于同 一相關����,并將所找出的該傳入流和 傳出流的相關關系M續(xù)尋找的范圍內排除�。
14. 如權利要求12或13所述的方法�,其中所述提取包括過濾冗余分 組和與應用無關的分組。
15. 如權利要求12或13所述的方法����,其中所述交互特征包括交互所 基于的協(xié)i義的特征�、或協(xié)i義與應用的特征的結合。
16. 如權利要求12-15任一項所述的方法�,其中所述協(xié)議包括 HTTP、 HTTPS�����、 JDBC/ODBC��、 LDAP���、 SMTP���、 POP3或NNTP。
17. 如權利要求12-15任一項所述的方法�,其中交互的請求方和響應方分別由J^交互的分組的源地址和目的地址來表示。
18. 如權利要求12-15任一項所述的方法��,其中所述識別包括將請求 方不在預定主機范圍內的交互的請求方識別為同一個特定請求方。
19. 如權利要求12-15任一項所述的方法��,其中所述識別包括忽略響 應方不在預定主機范圍內的交互����。
20. 如權利要求12-15任一項所述的方法,其中所統(tǒng)計的數(shù)據(jù)包括: 交互的計數(shù)�����、交互的lt據(jù)量或其結合���。
21. 如權利要求12-15任一項所述的方法��,還包括 使用服務器類型模式確定每個流的響應方的服務器類型��。
22. 如權利要求12-15任一項所述的方法��,還包括通過用流來連接相應的請求方和響應方并且顯示流之間的相關關系 和響應方的服務器類型��,將應用拓樸轉換為可視的形式���。
全文摘要
本發(fā)明公開了一種識別應用拓撲的方法和系統(tǒng)。其中方法包含從預定時間段內發(fā)生的網(wǎng)絡流量中提取源地址和目的地址中至少之一在預定主機范圍內的分組并獲得分組的傳送時間����;根據(jù)交互特征識別分組承載的交互��,所述交互包括交互的類型��、交互的請求方����、和交互的響應方����;生成代表類型�����、請求方和響應方相同的交互的流���,包括有關在所述預定時間段的每個單位區(qū)間內提取的分組所承載的該交互類型的交互的統(tǒng)計數(shù)據(jù)���;和針對具有傳入流和/或傳出流的各個端點的所有傳入流和所有傳出流,找出相關的傳入流和傳出流�。本發(fā)明的系統(tǒng)和方法提高了所識別的應用拓撲的效率。
文檔編號H04L29/08GK101594247SQ200810111019
公開日2009年12月2日 申請日期2008年5月29日 優(yōu)先權日2008年5月29日
發(fā)明者萌 葉, 興 方, 冰 謝, 晟 陸 申請人:國際商業(yè)機器公司