CN104487989A - 自主网络哨兵 - Google Patents
自主网络哨兵 Download PDFInfo
- Publication number
- CN104487989A CN104487989A CN201380039427.6A CN201380039427A CN104487989A CN 104487989 A CN104487989 A CN 104487989A CN 201380039427 A CN201380039427 A CN 201380039427A CN 104487989 A CN104487989 A CN 104487989A
- Authority
- CN
- China
- Prior art keywords
- rule
- network entity
- sample set
- network
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
Abstract
自主网络哨兵被公开。在网络实体处检测特定网络情况的发生。网络实体将特定网络情况与第一规则样本集中的一个或多个样本集规则进行比较,第一规则样本集与第一网络实体相关联。第一规则样本集包括来自存储于规则库处的完整规则集的一个或多个规则。来自该完整规则集的每个规则表示网络情况和响应于该网络情况的发生而采取的动作。响应于确定特定网络情况与来自第一规则样本集的特定规则相匹配,该网络实体向规则库或者一个或多个第二网络实体通知该匹配。
Description
技术领域
本公开总体涉及网络监控。
背景技术
本部分中所描述的方法能被实行,但这些方法不一定是之前已被构想或实行的方法。因此,除非本文另有指示,本部分中所描述的方法对于本申请中的权利要求而言不是现有技术,并且这些方法不能通过包含在本部分中而被承认为现有技术。
许多系统要求针对各种网络情况的发生来监控网络。这样的系统的示例为入侵检测系统、故障管理系统以及服务等级保障系统。
根据一种方法,监控应用驻留在网络外部,并且从网络上的各种实体接收网络数据。监控应用通过分析从网络实体接收到的数据针对各种网络情况的发生来监控网络。
当网络变得更大并且系统变得更加复杂时该方法可能有问题。随着网络变得更大,向监控应用提供数据的实体的数目增加。另外,随着系统变得更加复杂,要进行检测的网络情况的数目也增加。在许多情形中,增加的网络大小和增加的系统复杂度可能使得监控应用过载,从而减慢对网络情况的检测。而且,维护监控应用通常产生附加费用和管理工作。
所需要的是这样的方法,该方法针对各种网络情况更有效地监控网络,同时还限制维护系统所需的费用和管理工作。
附图说明
在附图中:
图1示出示例网络监控系统。
图2是示出示例网络监控处理的框图。
图3示出用于向各个网络实体通知规则匹配的示例方法。
图4示出用于向各个网络实体通知规则匹配的另一示例方法。
图5示出用于向各个网络实体通知规则匹配的另一示例方法。
图6示出计算机系统,实施例可以在该计算机系统上被实现。
具体实施方式
对自主网络哨兵进行描述。在以下描述中,出于解释的目的,陈述大量具体细节以提供对本发明的完全理解。然而,可以不使用这些具体细节来实施本发明,这对于本领域技术人员而言是显而易见的。在其他实例中,为了避免不必要地模糊本发明,熟知的结构和设备以框图的形式被示出。
本文根据以下大纲来描述实施例:
1.0总体概述
2.0结构和功能概述
3.0示例网络监控处理
3.1规则分类和优先级值
3.2选择样本集规则
3.3规则评价
3.4规则匹配通知
4.0实现机制——硬件概述
5.0扩展和替代
1.0总体概述
在实施例中,在第一网络实体处检测特定网络情况的发生。第一网络实体将特定网络情况与第一规则样本集中的一个或多个样本集规则进行比较,第一规则样本集与第一网络实体相关联。第一规则样本集包括来自存储于规则库处的完整规则集中的一个或多个规则。来自该完整规则集中的每个规则表示网络情况和响应于该网络情况的发生而采取的动作。响应于确定特定网络情况与来自第一规则样本集的特定规则相匹配,网络实体向规则库或一个或多个第二网络实体通知该匹配。每个第二网络实体与第二规则样本集相关联,第二规则样本集不同于第一规则样本集。
在实施例中,通知使得一个或多个第二网络实体中的特定网络实体将特定规则添加至与该特定网络实体相关联的相应样本集中。
在实施例中,所接收的规则集是从规则库接收的。第二规则样本集是从所接收的规则集中选择的,其中,第二样本集不同于第一样本集。
在实施例中,对第一规则样本集的选择部分基于与规则样本集中所选规则相关联的优先级信息。
在实施例中,优先级信息至少部分基于所选规则发生规则匹配的数目。
在实施例中,优先级信息至少部分基于在其相关联的样本集中包括所选规则的网络实体的数目。
在实施例中,优先级信息至少部分基于自特定规则在一组网络实体中的任意网络实体处最近发生规则匹配起消逝的时间量。
在实施例中,一组网络实体中的每个网络实体被确定为与目标网络实体类似。
2.0结构和功能概述
根据实施例,网络的各网络实体针对网络情况的发生来监控网络,从而作为自主网络哨兵来发挥作用。网络实体能够检测本地网络情况的发生,并且除了监控网络情况还可以具有网络内的其他功能。例如,网络实体中的一个或多个网络实体可以是网络路由器。网络实体的其他示例包括交换机、网关以及网络基础设施的任何其他元件、或者任意端站(例如,打印机、扫描仪、服务器或存储系统),这些端站具有联网堆栈并且能够托管或运行本文将进一步描述的逻辑。
多个网络实体中的每个网络实体与相应的规则样本集相关联。网络实体评价其相关联的样本集中的规则。网络实体通过确定与规则相关联的网络情况是否已经发生来评价规则。每个规则样本集是存储于规则库处的规则的完整规则集中不同的子集。典型地,样本集将不包括被包括在存储于规则库处的规则的完整规则集中的每个规则,但是在一些实施例中,特定网络实体的样本集可以包括完整规则集中的每个规则。根据本文所描述的各种方法中的一个或多个方法,在一个网络实体处发生规则匹配发生使得该规则将在其他网络实体处被估计。
这样的方法可以提供各种益处。由网络内的网络实体监控网络情况节省了时间和处理能力,根据一些其他的方法,将花费这些时间和处理能力来由网络实体向外部实体(例如,驻留在网络外部的监控应用)传输信息。而且,通过将规则评价任务分布至贯穿网络的各个网络实体,部分通过使用分布式规则样本,在不使得单个实体过载的情况下可以同时评价更大数目的规则。换言之,在实施例中,不要求每个网络实体存储或估计作为整体被定义在网络中的所有规则;而是,不同的网络实体只估计作为整体被定义在网络中的规则的样本。
在不同网络实体间分布规则样本集可以随机发生或使用其他方法发生。另外,根据某些实施例,一旦规则被匹配,规则匹配的消息便被分布至其他网络实体。该分布可以使得规则将被添加至其他网络实体的样本集中。在一些实施例中,该方法确保最近被匹配并且因此在其他网络实体处也具有更大的发生可能性的规则比其他规则更经常地被评价。
在实施例中,感兴趣的特定网络情况可能在特定网络实体处未被检测出,因为与该网络情况相对应的规则未被包括在特定网络实体的样本集中。然而,典型地,与网络情况相对应的规则将被包括在许多其他网络实体的样本集中,尽管不总是这样。因此,如果网络情况足够严峻以至于影响许多网络实体,则极有可能与网络情况相对应的规则将在网络实体之一处进行匹配。规则匹配发生可以进而使得其他网络实体将特定的所匹配的规则添加至它们自己的样本集中,从而增加特定规则贯穿网络被检测的机会。
图1示出示例网络监控系统。规则库110包括数据库或其他仓库,数据库或其他仓库包括主规则集112。主规则集112包括完整的规则集,其中,每个规则表示将要监测的网络情况和响应于此检测而采取的动作。主规则集112中的规则可以通过管理动作来定义或者可以通过自动技术来编译。网络实体120、130、140分别包括规则集122、132、142。规则集122、132、142是各自包括被包括在主规则集112中的规则子集的样本集。规则集可以分别包括不同的规则子集。规则集122、132、142也可以重叠;例如,规则集122、132各自可以包含一个或多个相同的规则。规则集122、132、142可以反映针对集合中的规则的并集、交集或互斥集的任意组合安排。
网络实体120、130和140分别包括通信器128、138和148。通信器128、138和148能够将通信发送至规则库110的通信器118,并且能够从规则库110的通信器118接收通信。例如,规则库110能够将规则或者规则匹配的通知发送至网络实体120、130和140。网络实体120、130和140还可以将通信(例如,对新的规则集的请求)发送至规则库110。
网络实体彼此间能够传输规则或规则匹配。通信器128、138和148能够在它们彼此间进行通信。例如,一个网络实体可以将关于由于网络情况发生而已由网络实体之一识别的规则匹配通知给另一网络实体。
网络实体120、130和140分别包括规则引擎124、134和144。规则引擎将网络情况信息与存储于各自规则集中的规则进行比较,以确定规则匹配是否已发生。
网络实体120、130、140包括规则实施器126、136、146。规则实施器使得与特定规则相关联的动作被执行。规则实施器可以使得相关联的动作被执行以响应于规则引擎确定特定规则已匹配。例如,规则引擎124通过将由网络实体120收集到的关于一个或多个网络情况的信息与特定规则进行比较来评价特定规则。该规则与特定动作相关联,并且规则实施器126使得特定动作被执行以响应于确定由该规则识别的网络情况已发生。在某些实施例中,单个实体执行规则引擎和规则实施器两者的功能。
除了存储规则,规则库110可以存储关于规则的优先级信息,例如,规则属于的分类和与规则相关联的规则库优先级值。与规则相关联的规则库优先级值或规则属于的分类可以指示该规则与存储于规则库中的其他规则相比较的优先级。使用本文进一步描述的处理和逻辑,分类或与规则相关联的规则库优先级值可以影响特定规则被选择以被包括在特定网络实体的样本集中的可能性。
在实施例中,特定规则属于的分类或与特定规则相关联的规则库优先级值至少部分基于其他网络实体的数目,这些其他网络实体将该特定规则包括在其相关联的被评价的规则样本集中。如果规则在相对较大数目的网络实体处被评价,则该规则可能与指示该规则为低优先级的规则库优先级值或分类相关联。在实施例中,选择规则是基于规则库优先级值或分类所指示的优先级的,并且这样的方法可以确保大部分或全部规则被包括在至少一个网络实体的样本集中。
确定特定规则属于的分类或与特定规则相关联的规则库优先级值可以至少部分基于自特定规则在系统中的网络实体子集中的网络实体处最近时间进行匹配起消逝的时间量。在实施例中,该网络实体子集只包括被确定为与目标网络实体类似的网络实体。例如,网络实体子集可以只包括系统中具有特定能力的网络实体或者只包括执行特定功能类型的网络实体,所述特定能力也由目标网络实体来处理,所述特定功能类型也由目标网络实体来执行。
规则的优先级信息可以包括该规则针对特定网络实体的规则库优先级值或分类。换言之,该规则可能与多个规则库优先级值和分类相关联,其中,每个规则库优先级值或分类针对特定网络设备。例如,规则库或管理员可以基于自特定规则最近时间被包括在特定网络设备的样本集中起消逝的时间量来向该规则分配指示该规则相对于特定网络设备的优先级的特定规则库优先级值或分类。在实施例中,响应于所消逝的时间量大于特定门限时间量,指示规则为高优先级的规则库优先级值或分类被确定。
如另一示例,规则库或管理员可以基于特定规则已在其他网络实体处匹配的其他网络实体的数目或者基于特定规则已在其他网络实体处匹配的其他网络实体的特征来确定特定规则相对于特定网络实体的特定规则库优先级值或分类。例如,可以基于特定规则是否已在执行流量路由功能的其他网络实体处匹配或者基于该规则在流量路由网络实体处匹配的流量路由网络实体的数目来确定特定规则相对于执行路由功能的特定网络实体的规则库优先级值。
3.0示例网络监控处理
图2是示出示例网络监控处理的框图。该处理可以在网络实体(例如,网络实体120)处被实现;例如,图2的处理可以使用一个或多个计算机程序、其他软件要素或其他功能要素或逻辑来实现,所述一个或多个计算机程序、其他软件要素或其他功能要素或逻辑被存储、托管或运行在网络实体中或由网络实体来存储、托管或运行。
在框202处,存储于规则库处的特定的规则集被接收。所接收的特定的规则集可以包括被存储于规则库的主规则集(例如,主规则集112)中的所有规则,或者可以只包括被存储在主规则集中一些规则。该特定的规则集可以响应于网络实体从规则库请求规则集而从规则库被接收。
3.1规则分类和优先级值
规则属于的分类和规则的规则库优先级值二者可以指示规则与被存储在规则库处的其他规则相比较的优先级。例如,在实施例中,属于“中间优先级”分类的规则只可以被选择以被包括在要被发送至网络实体的特定的规则集中,或者如果属于“高优先级”分类的每个规则已经被分配给该网络实体或者在一些实施例中被分配给网络中的另一网络实体,则属于“中间优先级”分类的规则只可以被选择以被包括在该规则的样本集中。
在另一实施例中,规则从包括从“中间优先级”分类到“高优先级”分类二者的规则的集合中被选出。采用各种方式可以导致这样的结果。例如,针对特定网络实体选择规则可以部分基于被分配给这些规则的权重值。属于“中间优先级”分类的规则可以被分配比被分配给属于“高优先级”分类的规则的权重值更低的权重值,其中,权重值分配使得“高优先级”分类中的规则比属于“中间优先级”分类的规则更有可能被选择。在一些实施例中,这样的方法确保属于“高优先级”分类的规则被选择以被包括在更多的样本集中,并且因此比“中间优先级”规则在更多的网络实体处被估计,同时确保属于“中间优先级”分类的规则偶尔被选择以被包括在样本集中并且仍在相同的网络实体处被估计。
在另一实施例中,规则被选择以被包括在要被发送至网络实体的特定的规则集中或者被包括在该规则的样本集中的可能性可能受被分配给规则的规则库优先级值影响。在实施例中,规则库优先级值和分类中的一者或两者在规则选择过程中被考虑。根据一种方法,如果被分配规则库优先级值“1”的每个规则已经被分配给特定网络实体(或者在一些实施例中,被分配给网络中的一些网络实体),则被分配规则库优先级值“2”的规则仅被选择以被包括在该特定网络实体的样本集中。在另一实施例中,与被分配规则库优先级值“2”的规则相比较,具有规则库优先级值“1”的规则更有可能被分配给特定网络实体,但这样的结果可能得不到保证。例如,被分配规则库优先级值“1”的规则可以被分配权重值,该权重值使得该特定规则3倍于具有规则库优先级值“2”的另一规则的可能被选择,其中,另一规则被分配不同的权重值。
规则属于的分类或与规则相关联的规则库优先级值或者二者可以基于与该规则相关联的得分来确定。得分可以部分基于已将该规则包括在其各自规则集中的网络实体的数目。得分还可以部分基于已由评价规则的网络实体检测到的特定规则的匹配数目来确定。被分配给规则的得分、优先级值和分类中的一项或多项可以由管理员分配或调整。
3.2选择样本集规则
在框204处,网络实体从该网络实体接收到的特定的规则集中选择规则样本集。网络实体还可以接收关于规则的优先级信息(例如,指示规则属于的分类或与规则相关联的优先级值)。在实施例中,网络实体基于所接收的优先级信息来选择规则以包括在规则样本集中。例如,具有高优先级分类或高规则库优先级值的规则可以比具有低优先级分类或低规则库优先级值的规则具有被包括在子集中更大的可能性。样本集的选择可以部分基于已将规则包括在其相关联的样本集中的其他网络实体的数目。例如,选择样本集可以部分基于规则属于的分类或与规则相关联的规则库优先级值,而规则属于的分类或与规则相关联的规则库优先级值又可以部分基于已将规则包括在其相关联的样本集中的网络实体的数目。在其他实施例中,网络实体从所接收的特定的规则集中随机选择规则以包括在样本集中。网络实体可以根据针对网络实体随机确定规则的算法来选择样本集的规则。例如,该算法可以包括基于网络实体的IP地址或序列号来确定分配给网络实体的规则标识符。在框204处,统计抽样技术可以被用来选择规则样本。
接收特定的规则集的网络实体可以基于其自身特征来从该特定规则集中选择规则样本集。在一些实施例中,规则样本集可以基于网络实体所收集的网络情况信息的类型来选择。例如,如果网络实体不能确定流量速度,则网络实体不能选择其相关联的网络情况涉及该流量速度的任何规则。
在实施例中,在选择样本集之后,网络实体将样本集选择更新发送至规则库。该更新指示哪些规则已被选择以被包括在样本集中。基于该更新,规则库可以更新与所选的规则相关联的优先级值或者将该规则分类到不同的分类中。对优先级值的更新或对新的分类的重新分配可以降低将规则分配给另一网络实体的可能性。
3.3规则评价
在框206处,网络实体收集关于一个或多个网络情况的信息。所收集的信息中的至少一些信息可以被用来确定特定规则中识别的网络情况是否已经发生。例如,网络情况可以是一个或多个特定的网络事件、特定的网络流量类型、其他流量特征(例如,发生在特定门限处、特定门限以上或特定门限以下的流量流的速度)、特定流量模式或涉及网络实体的属性(例如,存储器或CUP利用率)。所收集的信息可以是网络实体直接观察到的信息。
在框208处,基于所收集的网络情况信息,网络实体确定规则的样本集的特定规则已匹配。如果网络实体检测到由特定规则表示的网络情况发生,则该特定规则在该特定网络实体处匹配。特定规则可以与特定动作相关联,并且网络实体可以使得特定动作发生以响应于规则匹配的确定。网络实体的规则引擎模块可以确定与规则相关联的特定网络情况已经发生,因此,该规则已经匹配。响应于规则引擎模块确定与规则相关联的特定网络情况已发生,规则实施器模块然后可以使得相关联的动作发生。
相关联的动作可以是由确定与规则相关联的特定网络情况发生的网络实体来执行的动作。在实施例中,规则匹配指示网络威胁、网络性能问题或网络故障的发生,并且相关联的动作减轻威胁、性能问题或故障,或者提供关于威胁、性能问题或故障的信息。例如,由网络实体执行的动作可以用来收集关于网络情况的进一步的信息、将所收集的信息或其他操作数据发送至单独的实体以供诊断或供网络实体终止操作。
3.4规则匹配通知
在框210处,网络实体通过向规则库或一个或多个网络实体通知规则匹配已发生来分布规则匹配的消息。网络实体可以发送向规则库或一个或多个网络实体通知规则匹配的规则匹配通知,以响应于检测到特定规则的网络情况已发生。网络实体可以将规则匹配通知发送至与样本集相关联的一个或多个其他的网实体,这些样本集不同于与规则匹配被检测到的网络实体相关联的样本集。规则匹配通知可以识别所匹配的特定规则。
规则匹配的消息可以根据不同的实施例以不同的方式进行分布。图3示出用于向各个网络实体通知规则匹配的示例方法。网络实体的系统包括网络实体310、320、330、340和350。根据图3的示例方法,规则匹配在其处被检测到的网络实体(“规则匹配网络实体”)可以通知系统中的其他网络实体中的每个网络实体。例如,响应于网络实体320检测到发生规则匹配,网络实体320向网络实体310和网络实体330-350通知规则匹配。
在另一实施例中,规则匹配网络实体通知网络中的网络实体子集(例如,只属于特定网络实体类别的网络实体)。属于与规则匹配网络实体相同类别的所有网络实体可以被通知。类别可以基于网络内的网络实体的功能。例如,一种类别可以包括其功能为监控安全威胁的发生的网络实体,另一类别可以包括监控网络内服务质量的网络实体。如另一示例,所安装的具有一个或多个特定操作系统的所有实体可以被通知。
图4示出用于向各个网络实体通知规则匹配的另一示例方法。在实施例中,规则匹配网络实体通知一个或多个其他网络实体,并且响应于接收到规则匹配通知,被通知的网络实体中的一个或多个网络实体通知一个或多个另外的网络实体。例如,响应于在网络实体420处发生规则匹配,网络实体420通知网络实体410和440。响应于网络实体410接收到规则匹配的通知,网络实体410将规则匹配通知给网络实体430。响应于网络实体440接收到规则匹配的通知,网络实体440将规则匹配通知给网络实体450。网络实体430和450然后还可以将规则匹配通知给其他网络实体。
图5示出用于向各个网络实体通知规则匹配的另一示例方法。例如,响应于网络实体520确定规则匹配的发生,网络实体520将向规则库通知规则匹配的规则匹配通知发送至规则库110。响应于接收到规则匹配通知,规则库110可以通知网络实体510和网络实体530-550中的一个或多个网络实体。在另一实施例中,响应于接收到规则匹配通知,规则库510修改存储在规则库处的关于所匹配的规则的信息。例如,响应于规则匹配,规则库可以调整与所匹配的规则相关联的得分、优先级值或分类中的一项或多项。在一些实施例中,该调整增加所匹配的规则将被选择以被包括在一个或多个其他网络实体的(一个或多个)样本集中的可能性,因为规则的选择部分基于与规则相关联的得分、优先级值或分类。
规则匹配的发生可以使得一个或多个其他网络实体刷新它们相关联的样本集。例如,响应于确定发生规则匹配,规则匹配网络实体或规则库可以将规则匹配通知发送至一个或多个其他的网络实体,该规则匹配通知向一个或多个其他的网络实体通知规则匹配已发生。响应于接收到通知,其他网络实体可以将对规则集的请求发送至规则库。规则库可以向一个或多个网络实体发送新的规则集,该新的规则集不同于被发送至相同网络实体的先前规则集,其中,该新的规则集包括所匹配的规则。在另一实施例中,规则匹配网络实体响应于检测到规则匹配而向规则库发送规则匹配通知,并且规则库响应于从规则匹配网络实体接收到规则匹配通知而自动将规则集发送至其他网络实体。
在实施例中,响应于规则匹配的发生,系统中的一个或多个网络实体的样本集周期性地或以预定时间间隔被更新,而不是自动地更新。样本集的更新可以包括利用新的规则来添加、移除或替代样本集中的规则,或者更改样本集中的规则的优先次序。网络实体可以响应于从规则库接收到新的规则集或者响应于网络实体从所接收的规则集中选择新的规则样本集而更新其相关联的样本集。选择新的规则集或者新的样本集可以基于规则的优先级值或分类,其中,规则的优先级值或分类在选择之前响应于规则匹配发生而被更新。在这样的实施例中,规则库可以响应于网络实体之一检测到特定规则的规则匹配发生而更新与规则相关联的优先级信息,以使得在更新之后该规则被指示为更高优先级。在一些实施例中,网络实体在选择样本集的过程中考虑优先级信息,对优先级信息的更新将增加特定规则被选择至其他网络实体的样本集中的可能性。
已被通知规则匹配的一个或多个网络实体可以响应于接收到规则匹配通知而将规则匹配通知的特定规则添加至它们各自的样本集中。在一些实施例中,响应于特定网络实体接收到规则匹配已在一些其他的网络实体处发生的指示,特定网络实体从规则库请求新的规则集。
4.0实现机制——硬件概述
图6是示出计算机系统600的框图,本发明的实施例可以在该计算机系统600上被实现。计算机系统600包括用于传输信息的总线602或其他通信机制以及用于处理信息的处理器604,处理器604与总线602相耦合。计算机系统600还包括被耦合至总线602的主存储器606(例如,随机存取存储器(RAM)或其他动态存储设备),主存储器606用于存储由处理器604运行的信息和指令。主存储器606还可以被用来存储在运行由处理器604运行的指令期间的临时变量或其他中间信息。计算机系统600还包括被耦合至总线602的只读存储器(ROM)608或其他静态存储设备,ROM 608或其他静态存储设备用于存储处理器604的静态信息和指令。提供被耦合至总线602的存储设备610(例如,磁盘或光盘),存储设备610用于存储信息和指令。
计算机系统600可以经由总线602被耦合至显示器612(例如,阴极射线管(CRT)),显示器612用于向计算机用户显示信息。包括字母数字和其他键的输入设备614被耦合至总线602,输入设备614用于将信息和命令选择传输至处理器604。另一种用户输入设备为光标控制616(例如,鼠标、轨迹球或光标方向键),光标控制616用于将方向信息和命令选择传输至处理器604,并且用于控制显示器612上的光标移动。该输入设备通常在两个轴(第一轴(例如,x)和第二轴(例如,y))上具有两个自由度,这允许设备在平面上指定位置。
本发明涉及用于实现本文所描述的技术的计算机系统600的使用。根据本发明的一个实施例,这些技术由计算机系统600来执行以响应于处理器604运行被包含在主存储器606中的一个或多个指令的一个或多个序列。这样的指令可以从另一机器可读介质(例如,存储设备610)读入主存储器606中。运行被包含在主存储器606中的指令的序列使得处理器604执行本文所描述的处理步骤。在可替代的实施例中,硬连线电路可以被用来代替软件指令或者与软件指令进行组合来实现本发明。因此,本发明的实施例不限于硬件电路和软件的任何具体组合。
本文所使用的术语“机器可读介质”指的是参与提供使得机器以具体方式进行操作的数据的任意介质。在使用计算机系统600来实现的实施例中,各种机器可读介质涉及例如向处理器604提供指令以供运行。这样的介质可以采用许多形式,包括但不限于存储介质和传送介质。存储介质包括非易失性介质和易失性介质两者。非易失性介质例如包括光盘或磁盘(例如,存储设备610)。易失性介质包括动态存储器(例如,主存储器606)。传输介质包括同轴电缆、铜线以及光纤,包括包括总线602的电线。传输介质还能采取声波或光波的形式(例如,在无线电波和红外数据通信过程中生成的那些声波或光波)。所有这样的介质必须是有形的以使得介质所运载的指令能够由将指令读入机器中的物理机制来检测。
机器可读介质的通用形式例如包括:软盘、软性盘、硬盘、磁带或任意其他磁介质;CD-ROM、任意其他光介质;打孔卡、纸带、具有孔图案的任意其他物理介质;RAM、PROM以及EPROM、FLASH-EPROM、任意其他存储器芯片或磁片盒;下面描述的载波;或者计算机能够从其读取的任意其他介质。
各种形式的机器可读介质可以涉及将一个或多个指令的一个或多个序列运载至处理器604以供运行。例如,这些指令首先可以被运载于远程计算机的磁盘上。远程计算机能够将指令下载到其动态存储器中,并且使用调制解调器通过电话线来发送指令。计算机系统600本地的调制解调器能够接收电话线上的数据并且使用红外发送器来将这些数据转换为红外信号。红外检测器能够接收红外信号中所运载的数据,并且合适的电路能够将这些数据置于总线602上。总线602将这些数据运载至主存储器606,处理器604从主存储器606检索并运行指令。主存储器606所接收的指令可以在由处理器604运行之前或之后选择性地被存储在存储设备610上。
计算机系统600还包括被耦合至总线602的通信接口618。通信接口618提供耦合至网络链路620的两路数据通信,网络链路620被连接至本地网络622。例如,通信接口618可以是向相应类型的电话线提供数据通信连接的集成服务数字网络(ISDN)卡或调制解调器。如另一示例,通信接口618可以是向兼容局域网(LAN)提供数据通信连接的LAN卡。还可以实现无线链路。在这样的实现方式中,通信接口618发送并接收电信号、电磁信号或光信号,这些信号承载表示各种类型的信息的数字数据流。
网络链路620通常通过一个或多个网络提供至其他数据设备的数据通信。例如,网络链路620可以通过本地网络622提供至主机计算机624或至由互联网服务提供商(ISP)626操作的数据设备的连接。ISP 626转而通过世界范围分组数据通信网络(现在通常被称为“互联网”628)提供数据通信服务。本地网络622和互联网628均使用运载数字数据流的电信号、电磁信号或光信号。通过各种网络的信号以及在网络链路620上并通过通信接口618的信号是传输信息的载波的示例性形式,网络链路620和通信接口618将数字数据运载至计算机系统600并且从计算机系统600运载数字数据。
计算机系统600能够通过(一个或多个)网络、网络链路620和通信接口618发送消息并接收数据(包括程序代码)。在互联网示例中,服务器630可以通过互联网628、ISP 626、本地网络622以及通信接口618针对应用程序发送所请求的代码。
所接收的代码可以在其被接收时由处理器604来运行和/或被存储在存储设备610或其他非易失性存储中以供稍后运行。以该方式,计算机系统600可以以载波的方式获取应用代码。
5.0扩展和替代
在前面的说明书中,本发明的实施例已参照实现方式各不相同的大量具体细节被描述。因此,何为本申请以及申请者意欲何为本发明的唯一且排他的指标是本申请以权利要求发布的具体形式发布的一组权利要求,包括任何后续修正。本文针对这样的权利要求中所包含的术语所明确陈述的任何定义将控制该权利要求中所使用的这样的术语的含义。因此,权利要求中没有明确叙述的限制、元件、属性、特征、优势或性质不会以任何形式限制该权利要求的范围。相应地,本说明书和附图被作为说明性的而不是限制性的。
Claims (24)
1.一种装置,包括:
网络接口,所述网络接口被耦合至数据网络,所述网络接口用于从所述数据网络接收一个或多个分组流;
处理器;
一个或多个存储的指令序列,当所述一个或多个存储的指令序列由处理器运行时,使得所述处理器执行:
在第一网络实体处检测特定网络情况的发生;
由所述第一网络实体将所述特定网络情况与第一规则样本集中的一个或多个样本集规则进行比较,所述第一规则样本集与所述第一网络实体相关联,所述第一规则样本集包括来自存储于规则库处的完整规则集中的一个或多个规则,来自所述完整规则集中的每个规则表示网络情况和响应于该网络情况的发生而采取的动作;以及
响应于确定所述特定网络情况与来自所述第一规则样本集的特定规则相匹配,由所述第一网络实体向所述规则库或者一个或多个第二网络实体通知所述匹配,每个第二网络实体与第二规则样本集相关联,所述第二规则样本集不同于所述第一规则样本集。
2.如权利要求1所述的装置,其中,所述通知使得所述一个或多个第二网络实体中的特定网络实体将所述特定规则添加至与所述特定网络实体相关联的相应样本集中。
3.如权利要求1所述的装置,其中,当所述一个或多个存储的指令序列被所述处理器运行时,使得所述处理器还执行:
从所述规则库接收所接收的规则集;
从所接收的规则集中选择第二规则样本集,其中,所述第二样本集与所述第一样本集不同。
4.如权利要求1所述的装置,其中,所述第一规则样本集是至少部分基于与所述规则样本集中所选择的规则相关联的优先级信息而选择的。
5.如权利要求4所述的装置,其中,所述优先级信息至少部分基于所选规则发生规则匹配的数目。
6.如权利要求4所述的装置,其中,所述优先级信息至少部分基于在网络实体相关联的样本集中包括所选规则的网络实体的数目。
7.如权利要求4所述的装置,其中,所述优先级信息至少部分基于自所述特定规则在一组网络实体中的任意网络实体处最近发生规则匹配起消逝的时间量。
8.如权利要求7所述的装置,其中,所述一组网络实体中的每个网络实体被确定为与目标网络实体类似。
9.一种方法,包括:
在第一网络实体处检测特定网络情况的发生;
由所述第一网络实体将所述特定网络情况与第一规则样本集中的一个或多个样本集规则进行比较,所述第一规则样本集与所述第一网络实体相关联,所述第一规则样本集包括来自存储于规则库处的完整规则集中的一个或多个规则,来自所述完整规则集中的每个规则表示网络情况和响应于该网络情况的发生而采取的动作;以及
响应于确定所述特定网络情况与来自所述第一规则样本集的特定规则相匹配,由所述第一网络实体向所述规则库或者一个或多个第二网络实体通知所述匹配,每个第二网络实体与第二规则样本集相关联,所述第二规则样本集不同于所述第一规则样本集。
10.如权利要求9所述的方法,其中,所述通知使得所述一个或多个第二网络实体中的特定网络实体将所述特定规则添加至与所述特定网络实体相关联的相应样本集中。
11.如权利要求9所述的方法,其中,所述方法还包括:
从所述规则库接收所接收的规则集;
从所接收的规则集中选择第二规则样本集,其中,所述第二样本集与所述第一样本集不同。
12.如权利要求9所述的方法,其中,所述第一规则样本集是至少部分基于与所述规则样本集中所选择的规则相关联的优先级信息而选择的。
13.如权利要求12所述的方法,其中,所述优先级信息至少部分基于所选规则发生规则匹配的数目。
14.如权利要求12所述的方法,其中,所述优先级信息至少部分基于在网络实体相关联的样本集中包括所选规则的网络实体的数目。
15.如权利要求12所述的方法,其中,所述优先级信息至少部分基于自所述特定规则在一组网络实体中的任意网络实体处最近发生规则匹配起消逝的时间量。
16.如权利要求15所述的方法,其中,所述一组网络实体中的每个网络实体被确定为与目标网络实体类似。
17.一种存储一个或多个指令序列的非暂时性计算机可读存储介质,当所述一个或多个指令序列被一个或多个处理器运行时,使得所述处理器执行:
在第一网络实体处检测特定网络情况的发生;
由所述第一网络实体将所述特定网络情况与第一规则样本集中的一个或多个样本集规则进行比较,所述第一规则样本集与所述第一网络实体相关联,所述第一规则样本集包括来自存储于规则库处的完整规则集中的一个或多个规则,来自所述完整规则集中的每个规则表示网络情况和响应于该网络情况的发生而采取的动作;以及
响应于确定所述特定网络情况与来自所述第一规则样本集的特定规则相匹配,由所述第一网络实体向所述规则库或者一个或多个第二网络实体通知所述匹配,每个第二网络实体与第二规则样本集相关联,所述第二规则样本集不同于所述第一规则样本集。
18.如权利要求17所述的计算机可读存储介质,其中,所述通知使得所述一个或多个第二网络实体中的特定网络实体将所述特定规则添加至与所述特定网络实体相关联的相应样本集中。
19.如权利要求17所述的计算机可读存储介质,其中,当所述一个或多个存储的指令序列被所述处理器运行时,使得所述处理器还执行:
从所述规则库接收所接收的规则集;
从所接收的规则集中选择第二规则样本集,其中,所述第二样本集与所述第一样本集不同。
20.如权利要求17所述的计算机可读存储介质,其中,所述第一规则样本集是至少部分基于与所述规则样本集中所选择的规则相关联的优先级信息而选择的。
21.如权利要求20所述的计算机可读存储介质,其中,所述优先级信息至少部分基于所选规则发生规则匹配的数目。
22.如权利要求20所述的计算机可读存储介质,其中,所述优先级信息至少部分基于在网络实体相关联的样本集中包括所选规则的网络实体的数目。
23.如权利要求20所述的计算机可读存储介质,其中,所述优先级信息至少部分基于自所述特定规则在一组网络实体中的任意网络实体处最近发生规则匹配起消逝的时间量。
24.如权利要求23所述的计算机可读存储介质,其中,所述一组网络实体中的每个网络实体被确定为与目标网络实体类似。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/650,651 | 2012-10-12 | ||
US13/650,651 US9450819B2 (en) | 2012-10-12 | 2012-10-12 | Autonomic network sentinels |
PCT/US2013/064325 WO2014059137A2 (en) | 2012-10-12 | 2013-10-10 | Autonomic network sentinels |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104487989A true CN104487989A (zh) | 2015-04-01 |
CN104487989B CN104487989B (zh) | 2017-09-08 |
Family
ID=49484476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380039427.6A Active CN104487989B (zh) | 2012-10-12 | 2013-10-10 | 自主网络哨兵 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9450819B2 (zh) |
EP (1) | EP2907085B1 (zh) |
CN (1) | CN104487989B (zh) |
WO (1) | WO2014059137A2 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US9755903B2 (en) | 2015-06-30 | 2017-09-05 | Nicira, Inc. | Replicating firewall policy across multiple data centers |
US10291480B2 (en) * | 2016-03-29 | 2019-05-14 | Cisco Technology, Inc. | Fog-based hybrid system for optimal distribution of anomaly detection and remediation services |
US10348685B2 (en) * | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
US10785234B2 (en) * | 2016-06-22 | 2020-09-22 | Cisco Technology, Inc. | Dynamic packet inspection plan system utilizing rule probability based selection |
US11088990B2 (en) | 2016-06-29 | 2021-08-10 | Nicira, Inc. | Translation cache for firewall configuration |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US10701092B2 (en) * | 2016-11-30 | 2020-06-30 | Cisco Technology, Inc. | Estimating feature confidence for online anomaly detection |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2296989C (en) * | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
US6567408B1 (en) * | 1999-02-01 | 2003-05-20 | Redback Networks Inc. | Methods and apparatus for packet classification with multi-level data structure |
US7246370B2 (en) * | 2000-01-07 | 2007-07-17 | Security, Inc. | PDstudio design system and method |
US7627665B2 (en) | 2000-09-28 | 2009-12-01 | Barker Geoffrey T | System and method for providing configurable security monitoring utilizing an integrated information system |
US20030018643A1 (en) * | 2001-06-19 | 2003-01-23 | Peiwei Mi | VIGIP006 - collaborative resolution and tracking of detected events |
US7386525B2 (en) * | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
US7631107B2 (en) * | 2002-06-11 | 2009-12-08 | Pandya Ashish A | Runtime adaptable protocol processor |
AU2003249858A1 (en) | 2002-06-26 | 2004-01-19 | Siemens Aktiengesellschaft | Adaptive control of a network element |
US20040098311A1 (en) * | 2002-11-15 | 2004-05-20 | Rajan Nair | XML message monitor for managing business processes |
US20040111638A1 (en) * | 2002-12-09 | 2004-06-10 | Satyendra Yadav | Rule-based network survivability framework |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US7278156B2 (en) * | 2003-06-04 | 2007-10-02 | International Business Machines Corporation | System and method for enforcing security service level agreements |
CN1820262A (zh) | 2003-06-09 | 2006-08-16 | 范拉诺公司 | 事件监控及管理 |
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US20090271504A1 (en) * | 2003-06-09 | 2009-10-29 | Andrew Francis Ginter | Techniques for agent configuration |
US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
AU2005328336B2 (en) * | 2004-12-22 | 2011-09-15 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7624436B2 (en) * | 2005-06-30 | 2009-11-24 | Intel Corporation | Multi-pattern packet content inspection mechanisms employing tagged values |
US7536369B2 (en) * | 2005-09-23 | 2009-05-19 | Xerox Corporation | XML-based architecture for rule induction system |
US20070136813A1 (en) * | 2005-12-08 | 2007-06-14 | Hsing-Kuo Wong | Method for eliminating invalid intrusion alerts |
US20080148382A1 (en) * | 2006-12-15 | 2008-06-19 | International Business Machines Corporation | System, method and program for managing firewalls |
US8418240B2 (en) * | 2007-12-26 | 2013-04-09 | Algorithmic Security (Israel) Ltd. | Reordering a firewall rule base according to usage statistics |
US8112378B2 (en) | 2008-06-17 | 2012-02-07 | Hitachi, Ltd. | Methods and systems for performing root cause analysis |
EP2139164A1 (en) | 2008-06-24 | 2009-12-30 | France Telecom | Method and system to monitor equipment of an it infrastructure |
IL205815A0 (en) * | 2009-05-18 | 2010-11-30 | Tufin Software Technologies Ltd | Method and system for management of security rule set |
US8468113B2 (en) * | 2009-05-18 | 2013-06-18 | Tufin Software Technologies Ltd. | Method and system for management of security rule set |
US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
US9088543B2 (en) * | 2013-06-03 | 2015-07-21 | International Business Machines Corporation | Coordinated network security management |
-
2012
- 2012-10-12 US US13/650,651 patent/US9450819B2/en active Active
-
2013
- 2013-10-10 CN CN201380039427.6A patent/CN104487989B/zh active Active
- 2013-10-10 WO PCT/US2013/064325 patent/WO2014059137A2/en active Application Filing
- 2013-10-10 EP EP13780490.2A patent/EP2907085B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2014059137A3 (en) | 2015-02-26 |
EP2907085A2 (en) | 2015-08-19 |
CN104487989B (zh) | 2017-09-08 |
WO2014059137A2 (en) | 2014-04-17 |
EP2907085B1 (en) | 2016-07-27 |
US20140108319A1 (en) | 2014-04-17 |
US9450819B2 (en) | 2016-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104487989A (zh) | 自主网络哨兵 | |
US11811590B2 (en) | Intelligent network | |
EP3072260B1 (en) | Methods, systems, and computer readable media for a network function virtualization information concentrator | |
CN110891283A (zh) | 一种基于边缘计算模型的小基站监控装置及方法 | |
US20150215228A1 (en) | Methods, systems, and computer readable media for a cloud-based virtualization orchestrator | |
CN1954310A (zh) | 用于网络报警类选的方法和装置 | |
CN102045192A (zh) | 网络结构的假定所用的装置及系统 | |
CN115510936A (zh) | 基于联邦学习的模型训练方法及聚类分析器 | |
CN112769605B (zh) | 一种异构多云的运维管理方法及混合云平台 | |
CN111935145B (zh) | 一种实现网络流量安全分析的硬件无关化方法及系统 | |
CN103580920B (zh) | 一种基于云计算技术的信息系统运行异常检测方法 | |
CN117421188A (zh) | 告警定级方法、装置、设备及可读存储介质 | |
CN106656584B (zh) | 一种分布式系统无效节点判定方法 | |
KR101770066B1 (ko) | 분산시스템에서 애플리케이션 호출 로그를 이용한 비즈니스 트랜잭션의 실시간 추적 및 분석 방법, 그리고 그 시스템 | |
CN106790339A (zh) | 元数据服务器、网络装置及自动资源管理方法 | |
CN109495544A (zh) | 一种报文数据处理方法和装置、以及计算机设备 | |
CN106843741A (zh) | 一种按键事件的处理方法以及智能终端 | |
CN111199504B (zh) | 一种基于区块链的去中心化消防维保监管方法 | |
CN113891309A (zh) | 无线传感器网络中恶意节点的检测方法、系统和汇聚节点 | |
CN106789366A (zh) | 一种业务层面的网络服务监控系统 | |
US8966503B1 (en) | System and method for correlating anomalous events | |
CN105471621A (zh) | 一种告警处理系统及方法 | |
CN117061177B (zh) | 一种边缘计算环境下的数据隐私保护增强方法及系统 | |
CN104579793A (zh) | 网络资源的调度方法和系统 | |
CN117499129B (zh) | 应用于入侵检测系统的规则同步方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |