CN103404081A - 对网络业务进行采样 - Google Patents
对网络业务进行采样 Download PDFInfo
- Publication number
- CN103404081A CN103404081A CN2011800688463A CN201180068846A CN103404081A CN 103404081 A CN103404081 A CN 103404081A CN 2011800688463 A CN2011800688463 A CN 2011800688463A CN 201180068846 A CN201180068846 A CN 201180068846A CN 103404081 A CN103404081 A CN 103404081A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- network equipment
- data
- sampling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
对网络业务进行采样包括:将分组采样模块(215)加载到联接至网络(235)的基于处理器的网络装置(201)内;利用该分组采样模块(215)确定是否选择发给该网络装置(235)或从该网络装置(235)发出的网络分组去用于采样;以及如果选择网络分组去用于采样,则通过该网络(235)将来自网络分组的数据传输至网络装置(201)外部的监视装置(240)。
Description
背景技术
组织继续依靠由互连装置构成的网络来交换信息和提供服务。相应地,许多计算机网络的规模与通过该网络交换的数据量一同继续增长。伴随这种增长,产生对网络安全和网络效率的增加的威胁。这些威胁可以包括恶意网络业务和不必要的或不想要的网络业务,恶意网络业务被设计为利用网络装置中的弱点来危害网络安全,不必要的或不想要的网络业务消耗资源并降低网络性能。
为了探测这样的威胁和管理网络业务流,网络通常可以利用网络业务采样来获取该网络的总体健康状况的概视。网络业务采样的一个流行方法涉及在由网络用来传递分组的交换机上安装专用分组采样软件。该软件对去往网络分组的目的地途中通过交换机的网络分组进行采样,并且将每个被采样的网络分组的一部分传输至监视设备。然而,这种对网络业务进行采样的方法具有其缺陷。例如,由网络使用的网络交换机必须能够支持分组采样软件进行采样。而且,在交换机处对分组进行采样不对加密分组或在由相同虚拟主机实现的虚拟机之间交换的业务提供可见性。
附图说明
附图图示本文描述原理的各实施例,并且是说明书的一部分。所图示的实施例仅仅是示例,而不限制权利要求范围。
图1是根据本文描述的原理的一个示例的说明性网络装置的框图。
图2A、2B和2C是根据本文描述的原理的各示例的说明性网络中的网络业务采样的框图。
图3是根据本文描述的原理的一个示例的说明性网络系统的框图。
图4A、4B和4C是根据本文描述的原理的一个示例从被采样的分组中得到的说明性采样报告分组的图。
图5是根据本文描述的原理的一个示例对网络业务进行采样的说明性方法的流程图。
图6是根据本文描述的原理的一个示例对由多个网络装置中的可加载的内核模块采样的网络业务进行说明性分析的流程图。
图7A和7B是根据本文描述的原理的示例对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的说明性方法的流程图。
图8是根据本文描述的原理的一个示例对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的说明性方法的流程图。
在附图中,相同的附图标记表示类似但不必须相同的元件。
具体实施方式
本说明书描述方法、系统和计算机程序产品,该方法、系统和计算机程序产品使用网络分组的源和/或目的地中的可加载的模块来在不需要来自网络交换机的采样支持的情况下实现网络业务采样。通过在网络上发送分组和接收分组的网络装置的内核中进行网络业务采样,网络管理员能够对加密业务和另行通过基于交换机的采样不会可见的虚拟化环境中的业务获得可见性。
特别地,本说明书描述在操作系统内核中对网络业务进行采样的方法,该方法包括:将分组采样模块加载到联接至网络的基于处理器的网络装置内;利用该分组采样模块确定是否选择发给该网络装置的或从该网络装置发出的网络分组去用于采样;以及如果选择网络分组去用于采样,则通过网络将来自网络分组的数据传输至该网络装置外部的监视装置。
此外,本说明书描述对网络业务进行采样的方法,该方法包括:选择网络中多个基于处理器的装置去用于分组采样;将分组采样模块加载到用于每个被选择的网络装置的操作系统内核中;通过该网络从分组采样模块接收包含在被采样的网络分组中的数据;以及对该数据进行汇编,以确定网络的健康状况。
本说明书还描述网络装置,该网络装置包括可通信地联接至存储器的处理器。该处理器运行在该存储器上存储的操作系统内核代码,该操作系统内核代码导致该处理器执行以下操作:确定在该操作系统内核中是否选择发给该网络装置的或从该网络装置发出的网络分组去用于采样;以及如果选择网络分组去用于采样,则通过网络将来自网络分组的数据传输至该网络装置外部的监视装置。
如在本说明书和所附权利要求中使用的,词语“分组(packet)”表示为通过网络向可寻址实体的传输而经格式编排的一组数据。
如在本说明书和所附权利要求中使用的,词语“内核(kernel)”表示操作系统的控制对与运行该操作系统的处理器关联的硬件资源的访问的中心组件。
如在本说明书和所附权利要求中使用的,词语“外部”,当其描述计算机实现的机器或装置时,指由在物理上不同的处理器实现的机器或装置。例如,虚拟化主机外部的安全装置是由与用于实现该虚拟化主机的处理器物理上不同的处理器实现的。
如在本说明书和所附权利要求中使用的,词语“处理器”指能够运行代码的硬件设备。处理器可以包括多个中央处理单元。
在以下描述中,为了说明,阐述许多特定细节,以便提供对本发明的系统和方法的全面理解。然而,本领域技术人员将明白,本发明的设备、系统和方法可以在没有这些特定细节的情况下实施。在说明书中对“示例”或类似语言的提及指结合该示例描述的特定特征、结构或特性包含在至少那一个示例中,但不必须包含在其它示例中。在本说明书中多处的短语“在一个示例中”或类似短语的各实例不必须均指相同示例。
现参照附图,图1示出可以通过网络发送和接收数据的说明性网络装置(100)的框图。说明性网络装置(100)可以实现例如计算机网络上的可寻址装置,例如服务器装置或客户计算机。说明性网络装置(100)包括硬件平台(105),硬件平台(105)由至少一个处理器(110)、计算机存储器(115)、网络接口卡(NIC)(120)和其它硬件装置(125)构成。主板可以使该硬件平台的装置中的一些装置或所有装置互连。其它硬件装置(125)可以包括但不限于:外围输入/输出装置、存储装置以及可以适应本说明书中描述的原理的特定应用的任意其它硬件装置。
处理器(110)运行由主存储器(115)存储的代码。在特定示例中,处理器(110)可以包括具有多个独立的中央处理单元(CPU)的至少一个多核处理器,每个CPU均具有其自身的L1缓存并且所有CPU共享公共总线接口和L2缓存。附加地或者可替代地,处理器(110)可以包括至少一个单核处理器。
主存储器(115)存储由处理器(110)运行的实现操作系统内核(130)用的代码。操作系统内核(130)对硬件平台(105)的装置进行初始化和管理,并且充当硬件平台(105)和更高层的应用(135)之间的纽带。
如图所示,操作系统内核(130)可以包括用于CPU管理的模块(140)、用于存储器管理的模块(145)、用于网络通信管理的模块(150)和用于其它装置管理的模块(160)。操作系统内核(130)也可以通过使用一个或多个可加载的内核模块来扩展。可加载的内核模块是目标文件,该目标文件包含扩展基本操作系统内核(130)的功能的代码。通过对实现需添加的所需功能的可加载的内核模块进行选择性地激活,可以向操作系统内核(130)添加功能。类似地,通过从操作系统内核(130)中选择性地解激活或除去可加载的内核模块,可以从操作系统内核(130)中除去功能。
图1的操作系统内核(130)中的可加载的分组采样模块(155)是一个这样的可加载的内核模块。可加载的分组采样模块(155)导致从网络上的主装置或客户装置的操作系统内核(130)中执行分组监视和采样操作。使用网络上的主装置和客户装置中的可加载的内核模块来执行分组监视和采样相对于使用网络交换机中的分组采样的传统方法提供许多益处。
与使用被寻址的网络装置(100)中的可加载的分组采样内核模块(155)关联的益处之一是,可加载的分组采样内核模块(155)是能够对网络装置(100)定制的。例如,可能令人期望的是,从通过第一网络装置的网络业务中采样较多分组并且从通过第二网络装置的网络业务中采样较少分组。在这种情况下,能够将用于第一网络装置的可加载的分组采样内核模块(155)定制为执行选择较多网络分组去用于采样,同时能够将用于第二网络装置的可加载的分组采样内核模块(155)定制为选择较少分组去用于采样。这种在对网络业务进行监视和采样时增加的灵活程度可以允许最有效地和最有益地使用外部网络监视设备中的处理资源。
与使用网络装置(100)中的可加载的分组采样内核模块(155)关联的另一益处是对在虚拟化环境中的虚拟机之间传递的业务获得可见性的能力。例如,在网络交换机处发生分组采样的传统系统中,对在由同一主装置主持的两个虚拟机之间传输的分组进行采样可能是困难的,因为这个业务可能从不通过物理网络交换机。作为对比,在本发明的系统中,分组采样发生在主装置自身的操作系统内核(130)内,从而能够对虚拟机之间的网络业务进行检查和采样。
与使用网络装置(100)中的可加载的分组采样内核模块(155)关联的又一益处是在不中断网络业务流的情况下实时选择性地激活和解激活分组监视和采样功能的能力。当操作系统内核(13)正在运转时和在不打断系统操作的情况下,可以将可加载的内核模块加载至操作系统内核(130)内和从操作系统内核(130)中除去。以此方式,对可以利用可加载的分组采样内核模块的每个网络装置(100),可以选择性地激活或解激活网络业务监视和采样。可以将在一个或多个机器内的网络业务监视和采样动态地开启或关闭,以节约特定装置中的处理资源和/或将网络监视和采样操作集中在一个或多个特定装置上。可替代地,可以在不从内核中除去内核模块的情况下实时选择性地禁用或启用可加载的分组采样内核模块中的采样功能。
与使用网络装置(100)中的可加载的分组采样内核模块(155)关联的再一益处是安全性。操作系统内核(130)典型地非常安全并且不太可能受来自外来应用或进程的攻击伤害。因此,没有根(root)权限的外部进程或恶意用户能够危害网络装置(100)中的分组监视和采样操作,是不太可能。
上面关于可加载的分组采样内核模块描述的同样益处中的许多益处还可以利用用户空间采样守护程序(daemon)、驱动器或在应用服务器内和/或微内核上运行的其它机器可读指令来实现。尽管为了清楚起见,本说明书主要描述利用可加载的分组采样内核模块对属于网络分组的发起者或最终接收者的装置中的分组进行采样的示例,但是应当理解,这些原理中的许多原理还可以应用于用户空间采样守护程序、驱动器或在应用服务器内和/或微内核上运行的其它机器可读指令。
图2A至2C示出在使用根据本说明书原理的各示例的可加载的分组采样模块的网络装置中进行网络业务采样的框图。在图2A至2C每个图中,网络装置(分别是201、202、203)包括一个或多个网络接口控制器(NIC)(205)和操作系统内核(210)。在图2A至2C中,为了清楚起见,省略网络装置(201、202、203)的包括硬件平台以及操作系统和操作系统内核(210)的各元件在内的其它元件。与上面参照图1给出的说明相同,用于每个网络装置(201、202、203)的操作系统内核(210)包括可加载的分组采样模块(215)。
可加载的分组采样模块(215)包括选择子模块(220)和数据报(datagram)构造和转发子模块(225)。当然,尽管在这些图中利用两个子模块(220、225)示出可加载的分组采样模块(215)的功能,但当可以适应本文描述的原理的特定应用时,可以将相同的功能分成更多或更少的子模块。
选择子模块(220)监视通过网络装置(201、202、203)的网络分组(PKT),确定是否选择每个分组去用于采样。这些网络分组可以是由网络装置(202)通过网络(235)发送的分组、由网络装置(202)从网络(235)接收的分组和/或送往由网络装置(201、202、203)主持的虚拟机(230-1、230-2,图2C)或从由网络装置(201、202、203)主持的虚拟机(230-1、230-2,图2C)中发出的分组。选择过程可以基于被用来对通过网络装置(201、202、203)的每n个分组的平均进行采样的公式。如果选择分组去用于采样,则数据报构造和转发子模块(225)创建数据报,该数据报包含来自被采样的分组的数据和用于网络装置(201、202、203)的采样统计结果,并且数据报构造和转发子模块(225)将该数据报在分组中通过网络(235)转发至外部监视装置(240)。
本示例的外部监视装置(240)是基于处理器的网络装置,其包括数据报检验模块(245)、业务统计结果和报告模块(250)以及异常探测和修复模块(255)。对于由外部监视装置(240)从可加载的分组采样模块(215)中接收的每个分组,数据报检验模块(245)从应用层数据报中检索采样统计结果和被采样的分组数据。
业务统计结果和报告模块(250)更新用于网络(235)的汇编业务统计结果,使该统计结果可供网络管理员或其它授权实体使用。业务统计结果和报告模块(250)可以将统计结果作为原始数据报告和/或以归纳形式报告。附加地或可替代地,业务统计结果和报告模块(250)可以根据所汇编的业务统计结果做出关于网络(235)的健康状况的结论并且基于所汇编的业务统计结果提供网络健康状况的指示。
异常探测和修复模块(255)可以从独立的被采样的分组中检查所汇编的业务统计结果和/或数据,以探测异常。这种异常的示例包括:网络安全问题或事件(例如软件弱点考察、恶意软件、资源攻击、发送至或来自被禁实体的业务)、负担过重的网络装置、网络错误、不常见或不期望的网络业务特性等等。
在特定示例中,异常探测和修复模块(255)可以采取行动来通过适当的介质(例如警报、电子邮件、文字消息等)向网络管理员或其它实体通知所探测到的异常。附加地或可替代地,异常探测和修复模块(255)可以采取自动的行动来直接修复或缓解异常。例如,如果监视装置(240)根据所汇编的业务统计结果确定特定网络装置(201、202、203)对业务负担过重,则监视装置(240)可以采取步骤来将这些网络业务中的一些网络业务从负担过重的网络装置(201、202、203)转移至未充分利用的网络装置(201、202、203)。在另一示例中,如果在网络(235)上探测到来自被禁实体的业务,则网络监视装置(240)可以调整网络路由器中的路由表,以阻止被禁业务。
在可替代示例中,网络监视装置(240)的一些功能或所有功能可以在网络装置(201)自身中执行。网络装置(201)可以具有处理资源,这些处理资源可分配给由可加载的分组采样模块(215)选择的分组的检验和分析。因此,在一些示例中,网络装置(201)可以检验被采样的分组、为网络装置收集业务统计结果、以及在没有外部监视装置(240)的帮助的情况下根据业务统计结果探测和修复异常。可替代地,网络装置(201)可以对从网络装置发送和由网络装置接收的分组执行一些检验和分析,并且仅将被采样的分组中的一些分组转发至外部监视装置(240),以在收集业务统计结果和探测网络中的异常时作为整体使用。
图2A、2B和2C图示不同环境中的可加载的分组采样模块(215)和监视装置(240)的功能。在图2A中,可加载的分组采样模块(215)在分组通过网络(235)和由网络装置(201)运行的一个或多个应用(260)之间的网络装置(201)时对分组进行采样。
在图2B中,可加载的分组采样模块(215)与由网络装置(202)实现的应用(270)中的分组采样模块(265)协同工作,以便采样和报告应用层数据。这种方法在监视加密的应用层数据时可能证明特别有用。在一个潜在的场景下,可加载的分组采样模块(215)的选择模块(220)可以选择发给应用(270)的加密分组去用于采样,并且指示对应用(270)的分组采样模块(265)的选择。当应用(270)接收所选择的分组并且从所选择的分组中解密数据时,应用(270)的分组采样模块(265)可以将来自所选择的分组的解密数据的至少一部分提供至可加载的分组采样模块(215),这包括对所选择的分组发送至监视装置(240)的数据报中的解密数据。
因此,当之前的网络业务采样方法不能对来自网络分组的经加密的应用层数据进行有效采样时,本发明的系统对这类高层数据进行采样提供有效方案。这种能力能够证明对网络安全是非常宝贵的,因为监视装置(240)可以能够探测和修复恶意软件或传输至网络装置(202)的其它有问题的数据。此外,监视装置(240)可以能够通过在其分析中包括应用层数据的概视,汇编网络健康状况(235)和业务趋势的更精确和更完整的概视。
在图2C中,网络装置(203)是虚拟化主机,其对实现多个虚拟机(230-1、230-2)运行管理程序(hypervisor)(275)。这些虚拟机(230-1、230-2)可以利用由管理程序(275)实现的虚拟化网络交换机向彼此传输数据。可加载的分组采样模块(215)可以与管理程序(275)通信,以选择在虚拟机(230-1、230-2)之间传输的特定分组去用于采样。以此方式,甚至来自虚拟机之间业务的通常从不会越过管理程序(275)的数据也可以被传输至监视装置(240)去用于检验和报告。
图3是包括多个网络装置(301-1至301-3)的说明性系统(300)的框图,多个网络装置(301-1至301-3)具有在它们各自的操作系统内核(310-1至310-3)中的各自的可加载的分组采样模块(305-1至305-3)。网络装置(301-1至301-3)中的每个网络装置均可通信地联接至网络(315)。与前面描述的细节一致,可加载的分组采样模块(305-1至305-3)中的每个可加载的分组采样模块均对通过其各自的网络装置(301-1至301-3)的分组进行采样,并且将来自被采样的分组的数据和采样统计结果一起通过网络(315)传输至监视装置(320)。
由于监视装置(320)能够接收来自网络(315)上的网络装置(301-1至301-3)中的每个网络装置的采样网络业务数据,所以监视装置(320)可以为整个系统(300)汇编网络业务统计结果。然而,该示例的另一特征是,可加载的分组采样模块(305-1至305-3)可以在不重新启动它们各自的网络装置(301-1至301-3)的情况下选择性地实时被加载至它们各自的操作系统内核(310-1、310-2、310-3)或从它们各自的操作系统内核(310-1、310-2、310-3)中除去。在可替代的示例中,可加载的分组采样模块(305-1至305-3)可以在内核中连续地运行,并且内核的采样功能可以选择性地被启用或禁用。
因此,如果一个或多个网络装置(301-1至301-3)变得负担过重,则可以除去用于该网络装置(301-1至301-3)的分组采样模块(305-1至305-3),以腾出计算资源。此外,如果监视装置(320)或网络管理员(325)选择仅从网络装置(301-1至301-3)的一子集采样网络业务,则可以除去用于不在该子集中的那些网络装置(301-1至301-3)的分组采样模块(305-1至305-3)。
相反,如果网络管理员(325)的监视装置(320)选择开始或恢复对来自特定网络装置(301-1至301-3)的业务进行采样,则可以加载并重新激活用于该网络装置(301-1至301-3)的分组采样模块(305-1至305-3)。
网络装置(301-1至301-3)中的分组采样模块(305-1至305-3)的选择性加载或除去在一些示例中可以通过来自监视装置(320)或与网络(315)连接的另一管理装置的命令来产生。该命令可以由于由监视装置(320)或另一管理装置自动做出的动态决定来产生,以实施网络策略。
附加地或可替代地,利用监视装置(320)或通过采用可能更适合本文描述的原理的特定应用的其它管理行为,管理员(325)可以直接人工加载和除去网络装置(301-1至301-3)中的分组采样模块(305-1至305-3)。
附加地或可替代地,可以将网络装置(301-1至301-3)它们自身配置为,基于所探测到的事件、条件或触发,从它们各自的操作系统内核(310-1至310-3)中自动地加载和除去分组采样模块(305-1至305-3)。例如,如果网络装置(301-1)探测到处理器资源的利用超过预定阈值,则网络装置(301-1)可以自动地除去分组采样模块(305-1)以腾出处理资源。相反,如果网络装置(301-1)探测到资源利用下降到特定阈值以下,则网络装置(301-1)可以自动地将分组采样模块(305-1)重新加载至其操作系统内核(310-1)内。
以可加载的分组采样模块(305-1至305-3)可以选择性地加载到它们各自的内核(310-1至310-3)中和从它们各自的内核(310-1至310-3)中除去的相同方式,分组采样模块(305-1至305-3)的采样参数可以动态地更新为可以适合特定情况或网络策略。例如,可能期望的是从网络装置(301-1至301-3)的一子集中采样较多分组并且从其余网络装置(301-1至301-3)中采样较少分组。在这种情况下,所选择的网络装置(301-1至301-3)中的分组采样模块(305-1至305-3)的采样参数可以由网络上的管理装置或由装置(301-1至301-3)自动地更新,或由管理员(325)人工更新,以增加被选择用于采样的分组的数量。类似地,不在所选择的子集中的网络装置(301-1至301-3)的采样参数可以保持相同,或更新为减少被选择用于采样的分组的数量。
类似地,在一些示例中,可以在不从可加载的分组采样模块(305-1至305-3)各自的内核(310-1至310-3)中除去可加载的分组采样模块(305-1至305-3)的情况下选择性地禁用可加载的分组采样模块(310-1至310-3)的采样功能。以此方式,每当需要采样功能时,可以在不消耗处理资源来加载和除去模块(305-1至305-3)的情况下通过对操作系统内核(310-1至310-3)的简单应用程序接口(API)调用来开启和关闭由操作系统内核(310-1至310-3)实现的分组采样。
图4A至4C示出根据上面描述的原理对从可加载的分组采样内核模块发送至监视装置的分组进行采样的构成的各示例。在图4A至4C每个图中,分组采样内核模块对网络层互联网协议(IP)分组(405)进行采样,并且将具有采样参数和来自被采样的IP分组(405)的数据的IP分组(410、415、420)发送至监视装置。每个IP分组(405、410、415、420)均包括用于传递至IP地址的IP分组头,具有应用层传递信息的用户数据报协议(UDP)头,以及包含应用层净荷数据的UDP数据报。将理解,尽管图4A至4C的示例示出IP类型的分组,但根据本文描述的原理,可以对任意类型的分组进行采样。可以利用本文描述的原理采样的分组的示例包括但不限于传输控制协议(TCP)分组、互联网控制消息协议(ICMP)分组、地址解析协议(ARP)分组等。
在图4A的示例中,发送至监视装置的IP分组(410)的UDP数据报包括来自可加载的分组采样内核模块的采样参数和来自被采样的IP分组(405)的IP分组头。在图4B的示例中,发送至监视装置的IP分组(415)的UDP数据报包括采样参数和来自被采样的IP分组(405)的UDP头。在图4C的示例中,发送至监视装置的IP分组(420)的UPD数据报包括采样参数和来自被采样的IP分组(405)的指定数量(n个)的字节。当然,在发送至监视装置的分组中可以使用数据的任何其它布置。例如,发送至监视装置的一些分组或所有分组可以省略采样参数。附加地或可替代地,发送至监视装置的IP分组的UDP数据报可以包括整个被采样的IP分组(405)或被采样的IP分组(405)的整个UDP数据报。当可以最适合本文描述的原理的特定应用时,任何适合的数据布置可以用来将来自被采样的分组的数据和/或采样参数报告给监视装置。
图5是对网络业务进行采样的说明性方法(500)的流程图。根据方法(500),将分组采样模块加载(框505)到由基于处理器的网络装置运行的操作系统的内核内。在特定示例中,可以在内核正在运行时将分组采样模块加载到网络装置的内核中。然后,分组采样模块对是否选择由网络装置接收或传输的分组去用于采样进行确定(框510)。可以利用例如伪随机公式进行该确定,该公式导致平均选择通过网络装置传输的全部分组中一定百分比或一定比例的分组。
如果选择分组去用于采样(框510,是),则通过网络将来自所选择的网络分组的数据传输(框515)至网络装置外部的监视装置。将该分组引导至(框525)或传递至其期望目的地。
在特定示例中,方法(500)可以进一步包括在由网络装置运行的应用中加载第二分组采样模块。在这些示例中,第二分组采样模块可以与内核分组采样模块协作,以对如上所述的应用层数据(例如经加密的应用数据)进行采样。
图6是可以由外部监视装置执行的对网络业务进行采样的说明性方法(600)的流程图。在方法(600)中,外部监视装置从网络装置中的可加载的内核模块接收(框605)包括被采样分组至少一部分的数据报。外部监视装置利用来自该数据报的数据来更新(框610)用于网络的统计结果、汇编用于网络的统计结果(框615)并且将经汇编的统计结果报告(框620)给网络的管理员。
图7A和7B是对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的相关说明性方法(700、750)的流程图。在每个方法中,外部监视装置从网络装置中的可加载的内核模块接收(框705)包括被采样分组至少一部分的数据报。外部监视装置使用来自该数据报的数据来更新(框710)用于网络的统计结果、汇编用于网络的统计结果(框715)并且随后根据用于网络的统计结果和/或来自独立数据报的数据对网络中是否存在异常进行确定(框720)。在图7A的方法(700)中,外部监视装置向管理员提供(框725)所探测到的任何异常的指示。在图7B的方法(750)中提供附加的或可替代的行动过程,其中外部监视装置采取行动来自动地修复(框730)任何探测到的异常。
图8是根据本说明书的原理的一个示例的对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的另一说明性方法(800)的流程图。在图8的方法(800)中,选择网络中的多个基于处理器的可寻址装置(框805)去用于分组采样。对每个被选择的网络装置,将分组采样内核模加载块(框810)到用于那个装置的操作系统内核中。然后,通过网络从分组采样模块接收(框815)数据,并且对所接收的数据进行汇编(框820)来确定网络的健康状况。在特定的示例中,方法(800)可以进一步包括:确定未被选择用于分组采样的任何网络装置是否在其操作系统内核中具有加载的采样内核模块;以及从任何这样的网络装置的操作系统内核中除去采样内核模块。此外,如上所述,该方法可以包括:根据所接收的数据探测网络中的异常;向网络管理员提供任何探测到的异常的指示;和/或自动地执行修复行动来纠正异常。
提供上述描述仅为了说明和描述所描述原理的示例。该描述不旨在排他性的或将这些原理局限于所公开的任何具体形式。根据上述的教导进行许多修改和变化是可能的。
Claims (15)
1.一种对网络业务进行采样的方法,包括:
将分组采样模块(215)加载到联接至网络(235)的基于处理器的网络装置(201)内;
利用所述分组采样模块(215)确定是否选择发给所述网络装置(201)的或从所述网络装置(201)发出的网络分组去用于采样;以及
如果选择所述网络分组去用于采样,则通过所述网络(235)将来自所述网络分组的数据传输至所述网络装置(201)外部的监视装置(240)。
2.如权利要求1所述的方法,其中将所述分组采样模块(215)加载到由所述基于处理器的网络装置(201)运行的操作系统的内核(210)内。
3.如权利要求2所述的方法,进一步包括当所述内核(210)正在运行时将所述分组采样模块(215)加载到所述内核内。
4.如上述权利要求中任一项所述的方法,其中将来自所述网络分组的所述数据传输至所述监视装置(240)包括将数据报传输至所述监视装置(240),所述数据报包括来自所述网络分组的所述数据和与所述网络分组的采样对应的采样数据。
5.如上述权利要求中任一项所述的方法,进一步包括在由所述网络装置(202)运行的应用(270)中加载第二分组采样模块(265)。
6.如权利要求5所述的方法,其中来自所述网络分组的所述数据包括由所述应用(270)中的所述第二分组采样模块(265)收集的应用层数据。
7.如上述权利要求中任一项所述的方法,其中来自所述网络分组的所述数据包括由所述网络装置(202)从所述网络分组的加密部分中解密的数据。
8.如上述权利要求中任一项所述的方法,其中来自所述网络分组的所述数据包括所述网络分组的至少一部分。
9.一种对网络业务进行采样的方法,包括:
选择网络(315)中多个基于处理器的装置(301-1至301-3)去用于分组采样;
将分组采样模块(305-1至305-3)加载到用于每个被选择的网络装置(301-1至301-3)的操作系统内核(310-1至310-3)内;
通过所述网络(315)从所述分组采样模块(305-1至305-3)接收包含在被采样的网络分组中的数据;以及
对所述数据进行汇编,以确定所述网络(315)的健康状况。
10.如权利要求9所述的方法,进一步包括根据所述数据探测所述网络(315)中的异常。
11.如权利要求9或权利要求10中任一项所述的方法,进一步包括自动地执行修复动作来纠正所述异常。
12.如权利要求9或权利要求10或权利要求11中任一项所述的方法,进一步包括:确定是否已将所述分组采样内核模块(310-1至310-3)加载至未被选择用于分组采样的网络装置(301-1至301-3)的操作系统内核(310-1至310-3)内。
13.如权利要求12所述的方法,进一步包括从未被选择用于分组采样的所述网络装置(301-1至301-3)的所述操作系统内核(310-1至310-3)中除去所述采样内核模块(305-1至305-3)。
14.一种网络装置(100),包括:
处理器(110),可通信地联接至存储器(115),所述处理器(110)运行存储在所述存储器(115)上的操作系统内核(130)代码,所述操作系统内核(130)代码促使所述处理器(110):
确定在所述操作系统内核(130)中是否选择发给所述网络装置(100)的或从所述网络装置(100)中发出的网络分组去用于采样;以及
如果选择所述网络分组去用于采样,则通过网络(235)将来自所述网络分组的数据传输至所述网络装置(100)外部的监视装置(240)。
15.如权利要求14所述的网络装置,其中来自所述网络分组的所述数据包括由所述网络装置(100)从所述网络分组的加密部分中解密的数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2011/028043 WO2012125137A1 (en) | 2011-03-11 | 2011-03-11 | Sampling network traffic |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103404081A true CN103404081A (zh) | 2013-11-20 |
Family
ID=46831004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800688463A Pending CN103404081A (zh) | 2011-03-11 | 2011-03-11 | 对网络业务进行采样 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130318238A1 (zh) |
| EP (1) | EP2684316A4 (zh) |
| CN (1) | CN103404081A (zh) |
| WO (1) | WO2012125137A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9473555B2 (en) | 2012-12-31 | 2016-10-18 | The Nielsen Company (Us), Llc | Apparatus, system and methods for portable device tracking using temporary privileged access |
| US9253061B2 (en) * | 2012-09-12 | 2016-02-02 | International Business Machines Corporation | Tunnel health check mechanism in overlay network |
| US10305760B2 (en) * | 2013-01-03 | 2019-05-28 | Entit Software Llc | Identifying an analysis reporting message in network traffic |
| US9407519B2 (en) * | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
| US9887974B2 (en) | 2013-11-27 | 2018-02-06 | Architecture Technology Corporation | Method for network communication past encryption devices |
| US9160553B2 (en) | 2013-11-27 | 2015-10-13 | Architecture Technology Corporation | Adaptive multicast network communications |
| US9191377B2 (en) * | 2013-11-27 | 2015-11-17 | Architecture Technology Corporation | Method for network communication past encryption devices |
| US10484406B2 (en) * | 2015-01-22 | 2019-11-19 | Cisco Technology, Inc. | Data visualization in self-learning networks |
| US9979616B2 (en) * | 2015-03-23 | 2018-05-22 | Amazon Technologies, Inc. | Event-driven framework for filtering and processing network flows |
| EP3278501B1 (en) | 2015-03-31 | 2019-12-18 | British Telecommunications public limited company | Network operation |
| WO2016156433A1 (en) * | 2015-03-31 | 2016-10-06 | British Telecommunications Public Limited Company | Network operation |
| GB2541034A (en) | 2015-07-31 | 2017-02-08 | British Telecomm | Network operation |
| US9954744B2 (en) | 2015-09-01 | 2018-04-24 | Intel Corporation | Estimation of application performance variation without a priori knowledge of the application |
| CN106992900A (zh) * | 2016-01-20 | 2017-07-28 | 北京国双科技有限公司 | 监控预警的方法及智能预警通知平台 |
| CN107979506B (zh) * | 2017-10-30 | 2020-12-08 | 创新先进技术有限公司 | 流量获取和云端展示系统、方法、装置及设备 |
| US10999173B2 (en) * | 2018-11-19 | 2021-05-04 | Cisco Technology, Inc. | Active targeted data plane traffic monitoring for wired networks |
| EP4097621A4 (en) * | 2020-01-31 | 2024-02-21 | Hewlett Packard Development Co | COMMUNICATIONS ASSET UTILIZATION METRICS |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050190695A1 (en) * | 1999-11-12 | 2005-09-01 | Inmon Corporation | Intelligent collaboration across network systems |
| CN1881911A (zh) * | 2005-06-17 | 2006-12-20 | 精工爱普生株式会社 | 对于网络和本地因特网协议业务的综合监测 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7965842B2 (en) * | 2002-06-28 | 2011-06-21 | Wavelink Corporation | System and method for detecting unauthorized wireless access points |
| US7562359B1 (en) * | 2004-08-26 | 2009-07-14 | Wind River Systems, Inc. | User process object code installer |
| GB2422505A (en) * | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
| US9467462B2 (en) * | 2005-09-15 | 2016-10-11 | Hewlett Packard Enterprise Development Lp | Traffic anomaly analysis for the detection of aberrant network code |
| US7706291B2 (en) * | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
| US8504686B2 (en) * | 2009-11-02 | 2013-08-06 | InMon Corp. | Method and apparatus for combining data associated with hardware resources and network traffic |
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
-
2011
- 2011-03-11 US US13/984,336 patent/US20130318238A1/en not_active Abandoned
- 2011-03-11 EP EP20110860872 patent/EP2684316A4/en not_active Withdrawn
- 2011-03-11 WO PCT/US2011/028043 patent/WO2012125137A1/en active Application Filing
- 2011-03-11 CN CN2011800688463A patent/CN103404081A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050190695A1 (en) * | 1999-11-12 | 2005-09-01 | Inmon Corporation | Intelligent collaboration across network systems |
| CN1881911A (zh) * | 2005-06-17 | 2006-12-20 | 精工爱普生株式会社 | 对于网络和本地因特网协议业务的综合监测 |
Non-Patent Citations (3)
| Title |
|---|
| PHAAL, ET AL.: "《InMon Corporation"s sFlow: A Method for Monitoring Traffic in Switched and Routed Networks》", 《NETWORK WORKING GROUP》 * |
| SFLOW: "《sFlow & Benefits》", 《SFLOW.ORG》 * |
| SFLOW: "《Traffic Monitoring using sFlow》", 《SFLOW.ORG》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130318238A1 (en) | 2013-11-28 |
| EP2684316A1 (en) | 2014-01-15 |
| WO2012125137A1 (en) | 2012-09-20 |
| EP2684316A4 (en) | 2014-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103404081A (zh) | 对网络业务进行采样 | |
| US11502922B2 (en) | Technologies for managing compromised sensors in virtualized environments | |
| US11528283B2 (en) | System for monitoring and managing datacenters | |
| EP3469781B1 (en) | Dynamic, load-based, auto-scaling network security microservices architecture | |
| Li et al. | vNIDS: Towards elastic security with safe and efficient virtualization of network intrusion detection systems | |
| EP2619676B1 (en) | Network interface controller for virtual and distributed services | |
| US20150156212A1 (en) | System and Method for Tamper Resistant Reliable Logging of Network Traffic | |
| CN104125214B (zh) | 一种实现软件定义安全的安全架构系统及安全控制器 | |
| KR101679573B1 (ko) | 멀티코어 처리 시스템에서 dimm 채널 분산을 이용한 트래픽 보안 서비스 제공 방법 및 장치 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
| US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
| US10554625B2 (en) | Integrated PCS functional competency assessment | |
| Shirokov | XDP: 1.5 years in production. Evolution and lessons learned | |
| Smirnov et al. | Network traffic processing module for infrastructure attacks detection in cloud computing platforms | |
| TWI820961B (zh) | 基於微服務及公雲元件處理情資的電子裝置及方法 | |
| CN110912936B (zh) | 媒体文件安全态势感知方法和防火墙 | |
| US11526492B2 (en) | Sorted insertion in databases | |
| EP3725047B1 (en) | Method and traffic processing unit for handling traffic in a communication network | |
| JP6581053B2 (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| JP2006237842A (ja) | ネットワーク制御システムおよびネットワーク制御方法 | |
| Thai et al. | Size Constraint Group Testing and DoS Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160823 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, Limited Liability Partnership |
|
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131120 |