CN110462601A - 使用可视化数据组织和图形识别计算机行为 - Google Patents
使用可视化数据组织和图形识别计算机行为 Download PDFInfo
- Publication number
- CN110462601A CN110462601A CN201880020071.4A CN201880020071A CN110462601A CN 110462601 A CN110462601 A CN 110462601A CN 201880020071 A CN201880020071 A CN 201880020071A CN 110462601 A CN110462601 A CN 110462601A
- Authority
- CN
- China
- Prior art keywords
- image
- computer system
- computer
- information
- property information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003909 pattern recognition Methods 0.000 title description 2
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 10
- 238000013507 mapping Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000003542 behavioural effect Effects 0.000 claims description 2
- 238000005259 measurement Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 20
- 238000012544 monitoring process Methods 0.000 description 30
- 238000003860 storage Methods 0.000 description 14
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000002093 peripheral effect Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000009877 rendering Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000001815 facial effect Effects 0.000 description 4
- 210000001519 tissue Anatomy 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 241000208340 Araliaceae Species 0.000 description 2
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 235000008434 ginseng Nutrition 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 101100206196 Arabidopsis thaliana TCP3 gene Proteins 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 208000032750 Device leakage Diseases 0.000 description 1
- 101100260060 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) CCT3 gene Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000007844 bleaching agent Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 210000003205 muscle Anatomy 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 239000013074 reference sample Substances 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/323—Visualisation of programs or trace data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/81—Threshold
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
- Image Analysis (AREA)
Abstract
可以使用关于进程、CPU使用率、存储器使用率等的系统属性信息来识别配置差异,例如不同服务器之间的服务器漂移或安装在一个或多个服务器上的恶意代码。系统属性信息可以被用于生成图像,该图像可以与其他图像进行比较以确定是否存在配置差异。图像识别算法可以被用于促进不同系统的图像比较。通过识别配置差异,可以减少停机时间和其它问题,并且可以提高系统性能。
Description
相关申请的交叉引用
本申请是2017年1月23日提交的、申请号为15/412,365的美国专利申请的继续并要求其优先权,该申请通过引用整体并入本文。
技术领域
本公开涉及计算机网络和计算机网络上的系统。更具体地,本公开涉及可以用于识别和比较一个或多个计算机系统相对于其他计算机系统的行为和/或这些系统的先前行为的各种技术,这些行为可能与计算机安全和计算机监视相关。
在一些情况下,可以对具有不符合配置的计算机执行识别,其可以指示计算机具有性能问题或可能的恶意软件。
附图说明
图1示出了在各种实施例中涉及计算机系统可以被组织和监视的方式的系统的框图。
图2示出了可以被用于创建与计算机系统相对应的图像的系统属性信息的一个实施例的框图,针对该计算机系统收集了系统属性信息。
图3示出了根据一些实施例的与系统属性信息相对应的若干图像的框图。
图4示出了根据一些实施例的方法的流程图,该方法涉及使用系统属性信息来创建与计算机系统相对应的图像,并且使用该图像来确定该计算机系统是否存在配置差异。
图5是计算机可读介质的一个实施例的框图。
图6是计算机系统的一个实施例的框图。
具体实施方式
在一些实施例中,可以在比使用其他技术更早的阶段处识别集群中的不同服务器之间的服务器漂移。服务器漂移可能导致不同的服务器以不同于预期的方式(例如,理论上相同或类似配置的系统之间的不一致)运行。尽早识别服务器漂移可以防止潜在的代价高昂的停机时间和生产问题。
一种用于识别一个或多个系统中的服务器漂移或其他配置差异的技术是使用系统属性信息来生成系统的图像。然后可以将该图像与其他图像(其他系统、集群的平均图像、对应于全新安装的参考图像等)进行比较,以确定是否存在配置差异。在一些实例中,面部识别或其他图像比较算法可被用于分析差异。此外,随着时间的推移为系统所收集的图像可以被动画化为电影,允许用户可视化地看到系统可以如何改变。
如果识别出配置差异(例如,指示服务器漂移或恶意软件),则可以采取各种动作。受影响的系统可以被重新成像到全新配置,从而潜在地避免服务中断或其他后果。例如,如果在发生中断之前尽早检测到服务器漂移,则有助于处理电子支付交易的服务器集群可以实现更高的性能。如果配置差异表明存在潜在的恶意软件,则可以隔离和/或调查系统是否存在安全漏洞。
注意,在某些实例中,图论也可被用于分析计算机系统的组(例如,服务器池),或在系统或系统的组上运行的进程。例如,这可以允许对特定系统是否感染恶意软件、运行特定服务或遭受配置差异进行推断。
本说明书包括对“一个实施例”、“一些实施例”或“实施例”的引用。这些短语的出现不一定指代相同的实施例。特定特征、结构或特性可以以与本公开一致的任何合适方式被组合。
“第一”、“第二”等。如本文所使用的,这些术语被用作它们之前的名词的标签,并且不一定意味着任何类型的排序(例如,空间、时间、逻辑、基数等)。
可以将各种组件描述或声明为“被配置为”执行一个或多个任务。在这样的上下文中,“被配置为”用于通过指示组件包括在操作期间执行一个或多个任务的结构(例如,存储的逻辑)来表示结构。这样,可以说组件被配置为即使当组件当前不可操作(例如,未开启)时,也执行任务。记载组件“被配置为”执行一个或多个任务明确地不旨在为该组件调用35U.S.C.§112(f)。
转至图1,示出了系统100的框图。该框图涉及在各种实施例中计算机系统可以被组织和监视的方式。在该图中,系统100包括计算机系统105A、105B、105C、105D(以下称为计算机系统105)、118A、118B、118C和118D(以下称为计算机系统118),如被组织为集群110和120。系统100还包括该实施例中的监视系统160。
在图1的实施例中,计算机系统105和118在逻辑上分为两个不同的集群。这些集群中的每个均可以被配置为执行不同的计算任务,集群中的每个系统都对服务做出贡献。集群可以被组织为以并行的方式来执行任务(例如,两个或更多个系统同时处理请求的部分),或者可以被组织为以负载-共享工作的方式来执行任务(例如,计算机系统105A处理第一请求而计算机系统105B处理第二请求)。在一个实施例中,集群110和120执行与处理电子支付(例如,由电子支付处理器(例如,PayPalTM)处理的电子支付)相关的任务。
在所示实施例中,监视系统160被配置为从计算机系统105和118和/或其他源(例如,网络监视设备)接收各种系统属性信息。该系统属性信息参考图2进一步详细描述,但可以由监视系统160存储在系统信息数据库162中。
监视系统160还可以用于将系统属性信息变换为与包括在系统属性信息中的各种值相关的图像。因此,指示计算机系统105A为当前平均50%CPU负载容量、80%随机存取存储器(RAM)容量和25Mbps网络带宽的系统属性信息可以被映射到可用于生成图像的图像信息中。然而,当计算机系统105A为平均100%CPU负载容量、65%随机存取存储器(RAM)容量和133Mbps网络带宽时,可能生成不同的外观图像。如下面进一步讨论的,通过将系统属性信息映射到图像空间(例如,2D、3D或其他维度图像),可以更容易地检测和定位可能的配置和/或性能问题。
因此,可以访问映射信息166以帮助将系统属性信息转换为特定图像。在各种实施例中,该映射信息包括关于要制作多大图像(例如,200×200像素、1000×1000像素)、特定特征应该在何处以及如何被映射(例如,使用从0到255的色度上的黑/白,CPU使用率应该被映射到左上象限中的像素等)、或者应该使用什么类型的图像(例如,JPG、GIF、FBX、X3D)的信息。因此,图像映射值可以在一定范围内归一化。下面提供了有关映射的更多信息。注意,在各种实施例中,针对各种不同系统的所有所生成的图像可以具有相同的大小。例如,针对集群110和120,所有所生成的图像可以是800×800、200×200、1000×150或任何其他期望的大小(对于3D图像也是如此)。
在所示实施例中,监视策略信息168也被包括在监视系统160中。该信息可以对应于一个或多个监视策略,并且包括值和阈值,基于该值和阈值可以向用户发送通知(例如,警报)。例如,监视策略可以指示当集群110中的特定计算机系统使用比所有其他系统的平均值多20%的CPU时,应该生成警报。许多不同的报告选项可以由监视策略指定,包括服务器系统可能在其配置上显著偏离了集群中的其他系统的警报。
注意,许多不同的设备配置是可能的,并且本公开并不限于图1中所示的组织。例如,图1中未示出各种网络和其他设备。可以存在其他集群和其他系统,并且对于本领域技术人员来说将是显而易见的。
转至图2,示出了系统属性信息210的一个实施例的框图。在各种实施例中,系统属性信息210可以被监视系统160所接收,并且针对多个不同的计算机系统(例如,系统105和118)中的每个维护系统属性信息210。系统属性信息210可以随时间维护,其中针对不同的时间段(例如,以诸如每分钟一次、每小时一次、每天一次等的周期性间隔,这取决于期望的间隔)来存储不同的信息的集合。
因此,系统属性信息210可以包含关于计算机系统的各种信息。该信息可以包括一个或多个操作参数的值。因此,图2中的系统属性信息内所示的每个条目均可以具有多个计算机系统中的每个的一个或多个值以及一个或多个操作参数。系统属性信息210也可以根据集群进行组织,并且另外包含指定关于为其收集信息的系统的信息的元数据(硬件配置、系统名称和/或IP地址等,在系统上运行或被认为在系统上运行的服务等)。注意,通常在各种实施例中,系统属性信息210可以包含关于用户期望监视和测量的计算机的任何信息,并且不限于下面讨论的类别和示例。此外,注意,通常可以在瞬时时刻(例如,在给定时间的CPU使用率)或者在一端时间(例如,周期性间隔、或自上一个间隔或上一个事件(例如,系统重启)以来的时间)收集任何系统信息210。
在一些实施例中,CPU信息215包括关于CPU硬件使用率的信息。该信息可能包括平均CPU负载(例如,过去5分钟、30分钟、4小时等的50%平均负载,或者瞬时负载(如果需要的话))、CPU温度、CPU缓存使用率统计等。类似的信息也可以针对图形处理单元(GPU)或诸如ASIC(例如,其可以被用于密码操作)的专用硬件计算设备来维护。
在一个实施例中,长期存储信息220包括关于硬盘驱动器存储装置(例如,磁或闪存)或通常被用于永久维护数据的其他相对较慢的存储装置(例如,磁带驱动器)的信息。该信息可以包括存储在多个存储设备中的每个上的数据量、系统存储的数据总量、最大存储利用率的百分比、用于读取和/或写入的平均磁盘访问速度等。
在一个实施例中,操作系统(OS)信息225包括关于各种OS相关动作、进程和服务的信息。因此,该信息可以包括进程上下文切换的数量(例如,自上一个时间周期以来或自系统重启以来的累积)、页面错误的数量(例如,自上一个时间周期以来或自从系统重启以来的累积)、正在运行的进程的数量、正在使用的交换空间的数量、特定进程正在使用的系统资源(RAM、CPU、带宽等)的百分比等。OS信息225还可以包括应用程序服务请求到应用程序服务的响应时间。因此,如果集群110中的一个或多个机器正被使用,例如,以实现电子支付交易服务,则可以收集关于诸如消费者向另一方发出支付的请求是否花费20ms、500ms、10秒或某一其他长度的时间才能发生的响应时间信息(这种信息可以针对多个请求被聚集和/或平均)。
在一个实施例中,网络信息230包括关于在一段时间(例如,最后5分钟、最后一小时、最后24小时等)内的平均带宽使用率的信息,其可以包括针对上传/下载使用率的分割、自一时间段以来(例如,自系统重启以来)发送的总字节、在一段时间内到一个或多个特定系统的平均延迟(ping、TCP3次握手参数等)、从或向特定软件端口号(例如,端口80/HTTP、端口443/HTTPS或其他)发送的分组的数量、使用特定网络协议(例如,TCP、UDP等)发送的分组的数量、或使用特定应用层协议(例如,HTTP、FTP等)发送的分组的数量。
在一个实施例中,RAM信息235包括关于计算机系统的随机存取存储器的使用率的信息。这可以包括使用中的物理RAM的数量、空闲的物理RAM的数量等。
在一个实施例中,应用程序信息240包括关于在计算机系统上执行和/或安装的一个或多个应用程序的信息。这可以是由用户/管理员定义的任何类型的应用程序特定信息或应用程序相关信息。这可以包括所服务的请求(例如,数据库读取请求、数据库写入请求)的数量、所接收的请求的数量、写入存储装置的字节、从存储装置读取的字节等。应用程序信息240还可以包括对特定OS服务、其他系统服务和/或其他系统发出的请求的数量。例如,如果应用程序信息240涉及电子支付交易,则系统可能必须向多个其他系统和/或数据库发出内部请求以处理来自用户的外部请求(例如,检查用户是否有足够的资金、运行欺诈/风险检查以确保所请求的支付不会出现欺诈等情况)。应用程序信息240还可以包含应用程序错误数据,例如已发生的应用程序级错误的数量、应用程序错误的类型(例如,致命的、非致命的、其他的)、以及关于应用程序已发生的错误事件的任何其他元数据(例如,可能已触发错误的诸如HTTP请求的请求的副本、错误中所涉及的文件名或位置、或与错误有关的任何其他信息)。
转至图3,示出了对应于系统属性信息的若干图像的框图。在各种实施例中,根据已经收集的特定系统属性信息210生成所示图像中的每个。
在图3的实施例中,图像310、320、330和340分别对应于计算机系统105A、105B、105C和105D在特定时间处的系统属性信息。还将更详细地描述参考图像350,但是涉及从系统属性信息的参考样本生成的图像。
如图所示,图像310包括图形区域312、314、316和318。可以根据映射信息166从各种系统属性信息生成这些区域中的每个。因此,可以从CPU信息215生成区域312,而可以分别从OS信息225、网络信息230和应用程序信息240生成区域314、316和318。然而,这仅是示例,并且在各种实施例中,可以存在映射到特定系统属性信息的更多或更少的图形区域。这些区域的大小和形状、颜色或纹理、或任何其他数量的可视化和/或空间特征可以变化。在各种实施例中,图像中的一个或多个图形区域也可以重叠,但是为了便于理解和解释,在图3的实施例中没有这样示出。注意,在某些实例中,图形区域也可以是三维区域。
在图3的实施例中,使用参考图像350来确定计算机系统105A、105B、105C和105D中的任何计算机系统是否存在配置差异。在该实施例中,参考图像350对应于一个或多个计算机系统105的全新安装(例如,来自镜像配置)的系统属性信息。在一个实施例中,例如,参考图像350可以是在所有系统进行全新安装之后系统105中的每个的平均图像。在图3的实施例中,参考图像350被认为是具有可接受特性的“好”配置—即,如果另一图像与参考图像350匹配(例如,在特定公差内),则将认为针对该图像的系统没有配置差异。注意,参考图像350或基于系统属性信息的任何图像可以基于少于相应系统的所有操作参数。例如,可以使用所定义的类别,例如“网络信息”,其可以包括各种带宽和分组数据。所定义的类别可以根据实施例的需要而变化。
在该示例中,图像310与参考图像350相同。因此,当将图像310与参考图像350进行比较时,可以确定计算机系统105A(其对应于图像310)不被认为具有配置差异,例如,计算机系统105A在可接受的参数内运行。
图像320包括图形区域322、324、326和328。区域322、326和328与参考图像350中的对应区域352、356和358相同。然而,区域324基本上小于对应区域354(即使它具有相同的颜色和相同的正方形形状)。基于这种尺寸差异,计算机系统105B可以被认为具有配置差异,表明其系统属性信息已经从被认为是在一定程度上偏离了可接受的(例如普通的)操作参数。
在所示实施例中,图像330包括图形区域332、334、336和338。区域332和336与参考图像350的对应区域352和356相同,并且因此可以被视为指示关于用于那些图形区域的基础系统属性信息的计算机系统105C不存在配置差异。
图形区域334在颜色上比对应的图形区域354略深。然而,图形区域334具有与图形区域354相同的大小和形状。因此,虽然在颜色上有所不同,但是图形区域334可以被视为指示关于用于该图形区域的基础系统属性信息的计算机系统105C不存在配置差异(例如,该区域在可接受的可视化接受程度内)。同样地,虽然图形区域338在形状和面积上稍微不同于图形区域358,但是图形区域338也可以被认为在可接受的差异量内。因此,作为整体,图像330可以被视为指示计算机系统105C不存在配置差异。
如图所示,图像340包括图形区域342、344、346和348。当单独检查这些区域中的每个时,这些区域中的每个均可以被视为在参考图像350的对应区域352、354、356和358的可接受范围内。然而,请注意,区域344、346和348中的每个在一个或多个特性(例如,尺寸、形状、颜色)上与相应区域354、356和358实质上不同。因此,作为整体,由于总体差异的数量(即使每个个体差异可能不严重),所以图像340可以被视为指示计算机系统105D确实存在配置差异。
如果检测到配置差异,则可以指示系统在预期或可接受的参数之外进行操作,并且可能需要采取纠正措施。在一个实施例中,具有配置差异的系统可以短暂地离线并且重新成像到先前已知的“好”配置。如果未被检测到配置差异,这可以防止在稍后时间出现更严重和代价高昂的问题。例如,执行重新成像可以防止由集群110共同实现的应用程序服务(例如,电子支付交易处理)失败,或者遭受严重的性能问题。如果计算机系统105D遭受存储器泄漏,例如,需要花费3周才能成为严重问题,则在正常运行时间的2.5周处进行重新成像可以完全避免该问题。如果检测到配置差异,也可以采取其他动作,例如警告用户/管理员、捕获调试或其他信息等。
转至图4,示出了方法400的一个实施例的流程图,该方法400涉及使用系统属性信息来创建对应于计算机系统的图像,并使用该图像来确定该计算机系统是否存在配置差异。
在一些实施例中,方法400中描述的任何或所有操作可以由在监视系统160上运行的一个或多个进程执行,或者在其他实施例中,可以由在任何合适的计算机系统(例如,诸如计算机系统105或118中的一个)或电子设备上运行的一个或多个进程执行。在一些实施例中,方法400的操作的一个或多个部分也可以在不同的系统上执行。然而,为了便于解释,下面描述的操作将简称为监视系统160。
在一个实施例中,在操作410中,监视系统160接收与多个计算机系统相对应的系统属性信息,其中系统属性信息指示多个计算机系统的多个操作参数的值。因此,操作410可以包括从计算机系统105和/或118接收系统属性信息。操作410还可以包括从中间系统(未示出)接收系统属性信息。
在一个实施例中,操作410包括经由在多个计算机系统上执行的多个系统代理来接收系统属性信息的第一部分,而经由涉及多个计算机系统中的一个或多个计算机系统的网络参数的测量来接收系统属性信息的第二部分。也就是说,在某些实例中,可以直接从系统接收某些信息(例如,CPU使用率级别、RAM使用率级别、CPU核心温度等),而可以间接从外部观察来接收其他信息(例如,系统响应ping请求花费多长时间、系统每秒看起来发送或接收多少字节的网络流量等)。再次注意,这些值(通常用于系统属性信息的所有值)可以表示瞬时使用率或某个特定时间段的时间平均使用率。
在一个实施例中,在操作420中,监视系统160将(例如,来自操作410)系统属性信息映射到具有系统属性信息的计算机系统中的每个的图像信息。将系统属性信息映射到图像信息可以包括访问转换数据以确定特定系统属性信息将如何被转换为图像文件(例如,2D或3D图像)。例如,转换数据的集合可以指示特定数据的上边界和下边界,其可以在各种实施例中跨不同数据范围被归一化。
例如,2D或3D图像的特定象限(或其他区域)可以具有所有网络相关数据的系统属性信息。可以以不同方式映射或分割该特定区域。例如,在1000×1000像素图像中,像素位置(0,0)至(499,499)可以是反映以下项的基础值的各种组合:所发送的分组的数量或字节、所接收的分组的数量或字节、使用特定协议(UDP、IP、TCP等)发送或接收的分组的数量或字节、在特定时间段内发送的数据的平均MB/s、由一个或多个特定应用程序在特定时间段内发送的数据的MB/s、或任何数量的其他网络相关数据的基础值。
可以以任何各种方式来生成2D或3D图像的像素值。例如,定义从(0,0)到(9,499)的矩形的像素可以具有在一时间段内从左到右被示出的网络相关信息。因此,10×50像素块可以表示从时间T0到T1的网络信息,下一个10×50像素块可以针对时间T1到T2等。当将系统属性信息映射到图像信息时,颜色、不透明度、色调强度等都可以改变。因此,操作420中的映射可以包括将多个计算机操作参数(例如,CPU、带宽使用率等)的各个值拟合到多个像素,每个像素至少具有最小色调值和最大色调值。最小值和最大值的范围可以是图像格式所支持的全部数量(例如,0-255),或者可以以其他方式(例如,当图像格式实际支持0-255时,从25-180)被限制。这可以出于可见性的原因而进行,例如,因为在某些实例中,如果在极亮或极暗的情况下显示数据,则可能难以可视化地看到数据的差异。
注意,根据实施例,可以将特定系统属性信息映射到图像的多个部分。因此,如果web服务器(例如,HTTP/HTTPS守护进程)在端口80和443上发送平均3MB/s的流量,则该信息可以影响图像的多个不同部分的可视化外观。例如,如果图像具有针对网络相关数据的第一部分和针对特定应用程序数据的另一部分,则这些部分中在可视化外观上可能受到针对web服务器的系统属性信息数据的影响。换句话说,在各种实施例中,一个或多个像素组的可视化外观可能受到相同基础系统属性信息的影响。映射信息166包括关于如何将系统属性信息映射到图像信息的一个或多个不同场景的各种规则和规范。
在一些实施例中,面部图像可以被用于将系统属性信息映射到图像信息。例如,一个或多个真人的一个或多个图像可以被用作系统属性信息可以被映射到其上的目标。使用这样的图像,可以执行面部识别算法以识别图像中存在的一个或多个面部。在识别出一个或多个面部区域之后,然后可以使用这些区域将系统属性信息映射到其上,从而生成与一个或多个特定计算机系统相对应的图像的图像信息。可以使用具有单个或多个不同面部的图像。在某些情况下,可以从图像中减去面部区域之外的区域(例如,变白、变黑、变灰和/或通过改变像素值以另一种方式修改),使得针对系统生成的图像可以具有与周围形成明显对比的面部区域。然后,当比较图像时,还可以在针对计算机系统的图像之间使用面部识别算法。
在其他实施例中,代替使用人的真实世界图像,可以使用基于圆形或椭圆的区域来近似面部区域。在这些实施例中,系统属性信息也可以被映射到这些区域中。面部识别算法可以再次被用于比较这样的图像。再次注意,系统属性信息的映射可以以各种方式执行(并且在一些实施例中,可以在同一图像中使用多种方式)。
在各种实施例中,在操作430中,监视系统160基于(例如,来自操作420的)图像信息生成一个或多个图像。因此,操作430可以包括以特定文件格式(例如,JPEG、GIF等)存储图像信息。在操作430中生成图像还可以包括将图像缩放为特定大小。在一个实施例中,操作430包括针对多个计算机系统中的每个相应系统(即,接收到属性信息的系统)生成包括一个或多个图像的多个2D图像。
在操作440中,监视系统160将一个或多个所生成的图像(例如,来自操作430的图像)与一个或多个其他所生成的图像进行比较。在一个实施例中,者包括将计算机系统105A的图像与参考图像(例如,参考图像350)进行比较。可以将系统的图像与另一系统图像(例如,105A至105B)进行比较,或者可以将图像与集群平均图像进行比较(例如,将105A与集群110中的系统的平均图像进行比较)。
在各种实施例中,操作440的比较可以包括对图像的不同部分与其他图像的其他相应部分执行比较。也就是说,如果正在使用特定图像区域来映射特定系统属性信息,则一个或多个其他图像的相应图像区域可以用作比较基础。例如,如果CPU和存储器使用率数据被表示在图像的右下部分中,则可以比较所有适用图像的这些部分。因此,用于操作440的比较可以包括比较不同图像的各种不同子区域。
在操作440中,比较图像可以包括使用图像比较算法(例如,2D或3D图像比较算法)来比较图像。在某些情况下,这些比较算法可以包括面部识别算法。在进行比较时,可以确定在两个图像之间是否存在大于阈值的一个或多个可测量的差异。例如,针对红色、绿色和蓝色中的每个,RGB像素值可以具有8位(0-255)。如果比较像素之间的值变化超过16或任何其他阈值,则可以认为存在差异。在某些情况下,红色阈值可能被设置为16,而绿色或蓝色阈值可能被设置为8、24或任何其他值。
可以针对两个或更多个计算机系统的集群的平均图像来执行第一计算机系统的图像的比较。例如,集群110具有计算机系统105A、105B、105C和105D。可以将105A的图像与针对所有105A-105D生成的平均图像进行比较,以查看该特定系统是否以某种实质方式(例如,超过测量阈值)偏离了一个或多个系统属性信息。还可以将105A的图像与集群的有限子集的平均图像进行比较(例如,将105A的图像仅与105B、105C和105D的平均图像进行比较)。
在一个实施例中,操作440包括针对第一服务器池比较第一多个计算机服务器的2D图像,并且针对第二服务器池比较第二多个计算机服务器的2D图像。换句话说,在某些情况下,不同服务器池中的系统可以在它们之间进行比较而不是彼此进行比较。例如,第一服务器池可以被专用于处理个人识别信息(PII)的数据库,而第二服务器池可以被专用于评估金融交易请求的风险的数据库。
然而,在另一种情况下,不同的服务器池(例如,集群)可以被配置为执行相同或类似的逻辑任务。因此,操作440可以包括将第一服务器池的平均2D图像与第二服务器池的平均2D图像进行比较,以确定在第一服务器池与第二服务器池之间是否存在配置差异。在该实施例中,平均图像将表示相应服务器池中的一个或多个系统中的每个的平均(为了进行着中国比较,如果需要,可以从数据中抛出异常值系统)。当不同服务器池的各个系统的配置可能各自在不同的方向上漂移时,这种方法可能会有所帮助,使得在每个池中,系统相对类似,但是在不同的池之间存在差异,这可能指示由池处理的应用程序服务存在问题。
还可以针对从系统属性信息生成的任何图像(例如,在操作420中)来收集时间线/历史信息。例如,计算机系统105A的一系列图像可以在不同的时间T1、T2、T3等处生成。这些时间可以是规则的周期性间隔(例如,覆盖一小时或另一时间段的增量)。可以对特定系统进行比较(例如,操作440)以确定它可能如何改变并且查看是否已经发生配置差异。
一旦收集了一系列图像,则它们也可以被形成为动画(例如,电影),使得可以随时间容易地查看该系统的信息。可以观察到系统配置的改变,并且用户可能能够检测到通过查看诸如原始底层数据可能不会显而易见的模式或漂移。动画图像可以以任何合适的格式(例如,.GIF、.MP4、.AVI、.FLV等)被组织为电影。可以通过在监视系统160上实现的web门户来显示图像的动画电影,并且将其发送到远程系统处的观看用户。
在一个实施例中,在操作450中,基于比较,监视系统160确定是否存在配置差异。该操作可以包括确定在两个系统(例如,在集群中的两个系统(例如,105A和105B))之间是否存在配置差异。操作450还可以包括确定在当前操作系统和准备了参考图像的系统(例如,“全新安装”系统)之间是否存在配置差异。
在一些实施例中,确定是否存在配置差异可以包括基于在被比较的两个图像之间是否存在可测量的差异的确定,特别是如果该差异超过阈值。如上所述,图像可以彼此不同,但是可以或可以不被认为是指示配置差异,这取决于存在多大程度的差异。用户可以指定关于配置差异是否由特定可视化特性(反映特定基础系统属性信息)的特定差异指示的各种配置。在不同实施例中,监视策略信息168可以包括各种规范,指示图像之间的哪种差异(区域的颜色、亮度、大小等)可以被视为或可以不被视为指示存在配置差异。
在一个实施例中,在操作460中,监视系统160提供指示是否存在配置差异的输出信息。者可以包括将输出信息作为警报发送给用户(例如,管理员或任何其他类型的用户)。输出信息可以指示一个或多个特定计算机系统是否符合配置策略,例如,可以在监视策略信息168中定义的配置策略。可以经由电子邮件、文本消息、语音消息或其他介质完成操作460中的提供。在一个实施例中,该提供还可以包括将信息存储在存储介质上以供后续参考。
图形操作
在各种实施例中,系统属性信息可以被用于创建与计算机系统(例如,集群110和120中的计算机系统)相对应的图形。监视系统160或另一系统可以执行关于下面的图形描述的一些或全部操作。
例如,在各种实例中,可以使用图形操作来识别不同设备(包括服务器以及(一个或多个)任何其他所连接的设备)上的恶意活动/行为。系统属性信息,特别是在不同节点(例如,在集群中)之间进行比较的系统属性信息,可以指示是否存在恶意软件或其他异常行为。每个节点(例如,对应于计算机系统)可以用图形表示,其中系统属性信息包括但不限于在系统上执行的一个或多进程或所有进程、它们的网络连接、性能(例如,CPU、存储器等)、进程属性(例如,存储器的大小、可执行文件的名称等)、由各种进程执行的系统调用、以及如上所述的任何其他系统属性信息。
在生成图形之后,对于每个节点,监视系统160可以计算多个计算机系统的每个节点(例如,集群110或120)之间的一个或多个差异。可以使用上述技术根据针对系统生成的图像可视化地计算差异,和/或可以在将该数据映射到图像数据之前从系统属性数据计算差异。
可以通过分析所生成的图形中的节点来检测所生成的图形内的子图形。使用系统属性信息和/或可视化比较信息,可以为图形中的节点之间的一个或多个边缘分配差异。例如,在一个实施例中,可以向所有边缘给出权重。这些分配的权重可以指示两个不同节点之间的感知差异(例如,诸如集群110中的两个计算机系统之间的配置差异)。因此,例如,计算机系统105A和105B的节点之间的差异可以在一个或多个标度上被分配一个或多个数值。这可以简单到从1-10、1-100或一些其它标度的归一化值(其中,例如,100是图形中的两个节点之间的最大差异)。在一些实施例中,两个节点之间的差异(出于图形目的)可以仅基于系统属性信息的子集—例如,我们可能仅对查看特定应用程序(例如,APACHE web服务器)的性能如何感兴趣。在这种情况下,应用程序性能统计可以被用于向节点之间的边缘给出权重,例如,通过查看诸如每个时间段所服务的HTTP请求的平均或总数量、平均响应时间、峰值响应时间、每个时间段所丢弃的请求的平均或总数量、应用程序所使用的存储器和/或CPU的数量等。
在另一实例中,可以为系统组的单个系统绘制有向图形。该有向图形可以或可以不被用于图像比较目的。
在一个实施例中,有向图形是在系统(或系统组)上运行的进程的图形。在这种情况下,每个进程可以是节点。在该实施例中,进程之间的父子关系(例如,进程A产生进程B)将在两个进程之间产生有向边缘,示出了父子关系。关于进程的其他静态信息也可以被存储为节点之间的边缘的关系数据值。通常要精力改变的动态数据(例如,存储器、CPU、网络的数量和其他使用率(用于进程))可以作为属性信息被存储在有向图形中的每个节点处。
可以搜索有向图形以查找行为的模式和/或进程之间的链路。在一个实例中,监视系统160可以搜索所生成的有向图形内的子图形,以查看该图形的某些特征部分(包含的节点少于图形中的所有节点)是否指示恶意行为(例如,通过恶意软件)。可以重复迭代该过程,然后确定指示恶意行为的最小子图形,例如,在有向图形中找到可能对应于恶意软件的恶意行为的最小“足迹”。例如,Dykstra的算法可以被用于找到执行此操作的最短路径。如果找到指示恶意行为的子图形,则可以向用户报告(并且子图形稍后可以被用于恶意软件检测—一旦指纹已知,就可以在分析其他系统时被使用。例如,为了找到已知指纹,可以将已知恶意代码存储在系统上并且然后对其进行分析,使得监视系统160可以知道针对指示此的特定子图形而言特定恶意行为和/或恶意软件是什么)。
因此,在一个实施例中,监视系统160(例如,或另一系统)可以生成包括与多个计算机系统相对应的多个节点的图形,其中,多个节点中的每个节点均包括基于多个计算机系统中的每个的相应一个计算机系统的系统属性信息的属性信息。例如,这些节点可以用于为其生成了图像信息的系统。监视系统160还可以计算多个节点中的每个节点之间的差异,其中,该计算基于多个节点中的每个节点的系统属性信息中的值之间的差异,如上所述。此外,基于所计算的差异中的一个或多个,监视系统160可以确定多个计算机系统中的一个计算机系统是否具有与一个或多个预定应用程序简档文件相匹配的行为简档文件。例如,监视系统160可以确定是否存在恶意软件或者特定服务是否运行在系统上。
计算机可读介质
简要地转至图5,示出了计算机可读介质500的一个实施例的框图。该计算机可读介质可以存储与图4的操作和/或本文描述的任何技术相对应的指令。在各种实施例中,与监视系统160相对应的指令可以被存储在计算机可读介质500上。
程序指令可以被存储在非易失性介质(例如,硬盘或闪存驱动器)上,或者可以被存储在公知的任何其他易失性或非易失性存储介质或设备(例如,ROM或RAM)中,或者被提供在任何能够存储程序代码的介质(例如,光盘(CD)介质、DVD介质、全息存储装置、网络存储装置等)上。此外,整个程序代码或其部分可以从软件源(例如,通过因特网)、或者从公知的另一服务器发送或下载、或者通过公知的任何其他传统网络连接(例如,外联网、VPN、LAN等)、使用公知的任何通信介质和协议(例如,TCP/IP、HTTP、HTTPS、以太网等)来发送。还应当理解,例如,用于实现本发明的各方面的计算机代码可以以可以在服务器或服务器系统上执行的任何编程语言(例如,以C、C+、HTML、Java、Java脚本或任何其他脚本语言(例如,VB脚本))来实现。注意,如本文所使用的,术语“计算机可读介质”是指非暂时性计算机可读介质。
计算机系统
在图6中,示出了计算机系统600的一个实施例。该系统的各种实施例可以是计算机系统105A-105D中的任何一个或如上文和本文所讨论的任何其他计算机系统。然而,上述系统并不限于图6中所示的配置。
在所示实施例中,系统600包括耦合到外部存储器615的集成电路(处理器)610的至少一个实例。在一个实施例中,外部存储器615可以形成主存储器子系统。集成电路610被耦合到一个或多个外围设备620和外部存储器615。还提供电源605,其向集成电路610提供一个或多个电源电压以及向存储器615和/或外围设备620提供一个或多个电源电压。在一些实施例中,可以包括集成电路610的一个以上实例(并且也可以包括一个以上外部存储器615)。
存储器615可以是任何类型的存储器,例如动态随机存取存储器(DRAM)、同步DRAM(SDRAM)、双倍数据速率(DDR、DDR2、DDR6等)、SDRAM(包括移动版本的SDRAM(例如,mDDR6等)和/或低功率版本的SDRAM(例如,LPDDR2等))、RAMBUS DRAM(RDRAM)、静态RAM(SRAM)等。一个或多个存储器设备可以被耦合到电路板上,以形成存储器模块,例如单列直插式存储器模块(SIMM)、双列直插式存储器模块(DIMM)等。或者,可以以层叠芯片(chip-on-chip)配置、层叠封装(package-on-package)配置或多芯片模块配置的方式将器件与集成电路610安装在一起。
外围设备620可以包括任何期望的电路,这取决于系统600的类型。例如,在一个实施例中,系统600可以是移动设备(例如,个人数字助理(PDA)、智能电话等),并且外围设备620可以包括用于各种类型的无线通信的设备,例如Wi-Fi、蓝牙、蜂窝、全球定位系统等。外围设备620可以包括一个或多个网络访问卡。外围设备620还可以包括附加存储装置,包括RAM存储装置、固态存储装置或磁盘存储装置。外围设备620可以包括用户接口设备,例如显示屏(包括触摸显示屏或多点触摸显示屏)、键盘或其他输入设备、麦克风、扬声器等。在其他实施例中,系统600可以是任何类型的计算系统(例如,台式个人计算机、服务器、笔记本电脑、工作站、上网机等)。因此,外围设备620可以包括接口两个计算机系统所需的任何网络或通信设备。
尽管上面已经描述了特定实施例,但是这些实施例并不旨在限制本公开的范围,即使其中参考特定特征仅描述了单个实施例。除非另有说明,否则本公开中提供的特征的示例旨在是示例性的而非限制性的。以上描述旨在覆盖对于受益于本公开的本领域技术人员将显而易见的这些替代、修改和等同物。
本公开的范围包括本文(明确地或隐含地)公开的任何特征或特征的组合,或其任何概括,无论其是否减轻了由各种所述实施例解决的任何或所有问题。因此,可以在对本申请(或要求其优先权的申请)的审查期间将新的权利要求制定为任何这样的特征的组合。特别地,参考所附权利要求,来自从属权利要求的特征可以与独立权利要求的特征进行组合,并且来自各个独立权利要求的特征可以以任何适当的方式、而不仅是以在所附权利要求中列举的特定组合进行组合。
Claims (20)
1.一种系统,包括:
处理器;以及
存储器,存储有指令,所述指令可由所述处理器执行以使所述系统执行以下操作,包括:
接收与多个计算机系统相对应的系统属性信息,所述系统属性信息指示所述多个计算机系统的多个操作参数的值;
将所述系统属性信息映射到所述计算机系统中的每个计算机系统的二维(2D)图像信息;
针对所述计算机系统中的每个计算机系统,生成包括基于所述2D图像信息的相应2D图像的多个2D图像;
将所述多个2D图像中的第一2D图像与所述多个2D图像中的至少另一2D图像进行比较;
基于所述比较,确定所述多个计算机系统中的至少第一计算机系统与所述多个计算机系统中的第二计算机系统之间是否存在配置差异;以及
提供指示是否存在所述配置差异的输出信息。
2.根据权利要求1所述的系统,其中,将所述第一2D图像与所述另一2D图像进行比较包括使用2D图像比较算法;并且
其中,确定是否存在所述配置差异是基于在所述第一2D图像与所述另一2D图像之间的可测量差异是否超过阈值。
3.根据权利要求1所述的系统,其中,所述系统属性信息的至少第一部分是经由在所述多个计算机系统上执行的多个系统代理接收的,并且其中,所述系统属性信息的至少第二部分是经由涉及所述多个计算机系统中的一个或多个计算机系统的网络参数的测量接收的。
4.根据权利要求1所述的系统,其中,所述操作还包括:
针对第一服务器池,比较第一多个计算机服务器的2D图像;以及
针对第二服务器池,比较第二多个计算机服务器的2D图像。
5.根据权利要求1所述的系统,其中,所述操作还包括:
将包括第一多个计算机服务器的第一服务器池的平均2D图像与包括第二多个计算机服务器的第二服务器池的平均2D图像进行比较,以确定在所述第一服务器池与所述第二服务器池之间是否存在配置差异。
6.根据权利要求1所述的系统,其中,所述操作还包括:
将包括所述第一计算机系统的第一服务器池的平均2D图像与所述第一图像进行比较,以确定是否存在所述配置差异。
7.根据权利要求1所述的系统,其中,所述操作还包括:
将对应于所述第一计算机系统的较早时间的基线2D图像与所述第一2D图像进行比较,其中,所述第一2D图像对应于所述第一计算机系统的较晚时间。
8.根据权利要求1所述的系统,其中,所述映射包括将多个操作参数的各个值拟合到多个像素,每个像素至少具有最小色调值和最大色调值。
9.一种方法,包括:
接收与多个计算机系统相对应的系统属性信息,所述系统属性信息指示所述多个计算机系统的多个操作参数的值;
基于所述系统属性信息,针对所述计算机系统中的每个计算机系统,生成包括基于所述图像信息的各个图像的多个图像,其中,所述生成基于所述系统属性信息到多个像素值的映射;
通过特定计算机系统将所述多个图像中的第一图像与参考图像进行比较;
基于所述比较,所述特定计算机系统确定是否存在涉及所述多个计算机系统中与所述第一图像相对应的至少第一计算机系统的配置差异;以及
提供指示是否存在所述配置差异的输出信息。
10.根据权利要求9所述的方法,其中,所述参考图像基于:针对所述计算机系统中的每个计算机系统,来自所述多个图像中的一个或多个图像的平均值。
11.根据权利要求9所述的方法,还包括将所述输出信息作为警报发送给与所述多个计算机系统相关联的用户,其中,所述输出信息指示所述第一计算机系统不符合配置策略。
12.根据权利要求9所述的方法,其中,所述值包括以下值中的一个值或多个值或者以下项中的一项或多项:CPU执行时间、网络带宽使用率、网络延迟、随机存取存储器(RAM)使用率、上下文切换数量、页面错误数量或应用程序服务请求到应用程序服务的响应时间。
13.根据权利要求9所述的方法,还包括:
创建所述第一计算机系统的图像的延时系列,所述图像包括所述第一图像;以及
显示所述延时系列,其中,所述显示可视化地指示所述第一计算机系统的配置随时间的变化。
14.根据权利要求9所述的方法,其中,所述第一图像和所述参考图像基于小于所述多个操作参数中的所有操作参数的子集,所述子集对应于定义的操作信息类别。
15.根据权利要求9所述的方法,其中,所述多个图像是二维(2D)彩色图像。
16.根据权利要求9所述的方法,其中,所述多个图像是二维(2D)灰度图像。
17.一种非暂时性计算机可读介质,存储有指令,所述指令能够由计算机系统执行以使所述计算机系统执行以下操作,包括:
接收与多个计算机系统相对应的系统属性信息,所述系统属性信息指示所述多个计算机系统的多个操作参数的值;
基于所述系统属性信息,针对所述计算机系统中的每个计算机系统,生成包括基于所述图像信息的各自图像的多个图像,其中,所述生成基于所述系统属性信息到多个像素值的映射;
基于所述多个图像中的第一图像的内容和具有与所述第一图像成比例的尺寸的相应参考图像的内容,确定是否存在涉及所述多个计算机系统中与所述第一图像相对应的至少第一计算机系统的配置差异;以及
提供指示是否存在所述配置差异的输出信息。
18.根据权利要求17所述的非暂时性计算机可读介质,其中,所述操作还包括:
创建第一多个计算机系统的图像的延时系列,所述图像包括所述第一图像;以及
显示所述延时系列,其中,所述显示可视地指示所述多个计算机系统的配置随时间的变化。
19.根据权利要求17所述的非暂时性计算机可读介质,其中,确定是否存在所述配置差异基于所述多个图像中的第一图像的内容是否具有超过所述相应参考图像的内容的相应颜色值之间的可接受阈值差异的颜色值。
20.根据权利要求17所述的非暂时性计算机可读介质,其中,所述操作还包括:
生成包括与所述多个计算机系统相对应的多个节点的图形,其中,所述多个节点中的每个节点均包括基于所述多个计算机系统中的每个计算机系统的相应一个计算机系统的系统属性信息的属性信息;
计算所述多个节点中的每个节点之间的差异,其中,所述计算基于所述多个节点中的每个节点的系统属性信息中的值之间的差异;以及
基于所计算的差异中的一个或多个,确定所述多个计算机系统中的一个计算机系统是否具有与一个或多个预定应用程序简档文件相匹配的行为简档文件。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/412,365 US10572658B2 (en) | 2017-01-23 | 2017-01-23 | Identifying computer behavior using visual data organization and graphs |
US15/412,365 | 2017-01-23 | ||
PCT/US2018/014746 WO2018136899A1 (en) | 2017-01-23 | 2018-01-22 | Identifying computer behavior using visual data organization and graphs |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110462601A true CN110462601A (zh) | 2019-11-15 |
CN110462601B CN110462601B (zh) | 2024-01-30 |
Family
ID=62906996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880020071.4A Active CN110462601B (zh) | 2017-01-23 | 2018-01-22 | 使用可视化数据组织和图形识别计算机行为 |
Country Status (5)
Country | Link |
---|---|
US (2) | US10572658B2 (zh) |
EP (1) | EP3571597B1 (zh) |
CN (1) | CN110462601B (zh) |
AU (1) | AU2018210534A1 (zh) |
WO (1) | WO2018136899A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2697958C1 (ru) | 2018-06-29 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносной активности на компьютерной системе |
US10868753B2 (en) | 2019-01-03 | 2020-12-15 | CSAA Insurance Services, Inc. | IP-based matching system |
CN110674126B (zh) * | 2019-10-12 | 2020-12-11 | 珠海格力电器股份有限公司 | 得到异常数据的方法及系统 |
US11456917B2 (en) * | 2020-06-01 | 2022-09-27 | Cisco Technology, Inc. | Analyzing deployed networks with respect to network solutions |
CN113256507B (zh) * | 2021-04-01 | 2023-11-21 | 南京信息工程大学 | 一种针对二进制流量数据生成图像的注意力增强方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7315903B1 (en) * | 2001-07-20 | 2008-01-01 | Palladia Systems, Inc. | Self-configuring server and server network |
US8756521B1 (en) * | 2004-09-30 | 2014-06-17 | Rockwell Automation Technologies, Inc. | Systems and methods for automatic visualization configuration |
US20150256648A1 (en) * | 2014-03-05 | 2015-09-10 | Teachers Insurance And Annuity Association Of America | Visualization of performance parameters of distributed computer systems |
US20150261640A1 (en) * | 2012-10-30 | 2015-09-17 | Hewlett-Packard Development Company, L.P. | Analyzing data with computer vision |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5720018A (en) * | 1995-09-25 | 1998-02-17 | Sun Microsystems, Inc. | Three-dimensional real-time monitoring of attributes of computer software processes |
US6901582B1 (en) * | 1999-11-24 | 2005-05-31 | Quest Software, Inc. | Monitoring system for monitoring the performance of an application |
US20040027359A1 (en) * | 2002-02-19 | 2004-02-12 | Shmuel Aharon | System and method for generating movie loop display from medical image data |
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US7203864B2 (en) * | 2004-06-25 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | Method and system for clustering computers into peer groups and comparing individual computers to their peers |
US20100058157A1 (en) * | 2008-09-01 | 2010-03-04 | SAM Group, Inc. | System And Method For Analyzing A Plurality Of Information Systems |
JP2011188134A (ja) | 2010-03-05 | 2011-09-22 | Panasonic Corp | 監視システム、その制御方法及び監視装置 |
US9542177B1 (en) | 2012-10-30 | 2017-01-10 | Amazon Technologies, Inc. | Peer configuration analysis and enforcement |
US9197663B1 (en) * | 2015-01-29 | 2015-11-24 | Bit9, Inc. | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data |
US20180129581A1 (en) * | 2016-11-07 | 2018-05-10 | International Business Machines Corporation | Method for static and dynamic configuration verification |
-
2017
- 2017-01-23 US US15/412,365 patent/US10572658B2/en active Active
-
2018
- 2018-01-22 EP EP18741958.5A patent/EP3571597B1/en active Active
- 2018-01-22 CN CN201880020071.4A patent/CN110462601B/zh active Active
- 2018-01-22 AU AU2018210534A patent/AU2018210534A1/en not_active Abandoned
- 2018-01-22 WO PCT/US2018/014746 patent/WO2018136899A1/en active Application Filing
-
2020
- 2020-02-25 US US16/800,734 patent/US11941112B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7315903B1 (en) * | 2001-07-20 | 2008-01-01 | Palladia Systems, Inc. | Self-configuring server and server network |
US8756521B1 (en) * | 2004-09-30 | 2014-06-17 | Rockwell Automation Technologies, Inc. | Systems and methods for automatic visualization configuration |
US20150261640A1 (en) * | 2012-10-30 | 2015-09-17 | Hewlett-Packard Development Company, L.P. | Analyzing data with computer vision |
US20150256648A1 (en) * | 2014-03-05 | 2015-09-10 | Teachers Insurance And Annuity Association Of America | Visualization of performance parameters of distributed computer systems |
Also Published As
Publication number | Publication date |
---|---|
EP3571597A1 (en) | 2019-11-27 |
US11941112B2 (en) | 2024-03-26 |
AU2018210534A1 (en) | 2019-08-08 |
US10572658B2 (en) | 2020-02-25 |
WO2018136899A1 (en) | 2018-07-26 |
EP3571597A4 (en) | 2020-10-14 |
US20180211037A1 (en) | 2018-07-26 |
CN110462601B (zh) | 2024-01-30 |
EP3571597B1 (en) | 2023-11-22 |
US20200302056A1 (en) | 2020-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110462601A (zh) | 使用可视化数据组织和图形识别计算机行为 | |
JP7060690B2 (ja) | ブロックチェーンベースのリソース価値評価方法および装置 | |
JP7465939B2 (ja) | 電力不正使用検出のための新しい非パラメトリック統計的挙動識別エコシステム | |
US10270668B1 (en) | Identifying correlated events in a distributed system according to operational metrics | |
US10542021B1 (en) | Automated extraction of behavioral profile features | |
EP3553725A1 (en) | Business data processing method, verification method, apparatus and system | |
US20220309512A1 (en) | Fraud detection and control in multi-tiered centralized processing | |
US20230205586A1 (en) | Autonomous release management in distributed computing systems | |
US20160019534A1 (en) | Systems and Methods for Monitoring Performance of Payment Networks Through Distributed Computing | |
CN108667840A (zh) | 注入漏洞检测方法及装置 | |
US9929921B2 (en) | Techniques for workload toxic mapping | |
CN114978649B (zh) | 基于大数据的信息安全保护方法、装置、设备及介质 | |
CN112769782B (zh) | 多云安全基线管理的方法与设备 | |
Syed et al. | Providing efficient, scalable and privacy preserved verification mechanism in remote attestation | |
US20180129975A1 (en) | Apparatus and method of adjusting a sensitivity buffer of semi-supervised machine learning principals for remediation of issues in a computer environment | |
US11915060B2 (en) | Graphics processing management system | |
Mahalkari et al. | A replica distribution based fault tolerance management for cloud computing | |
JP2016517584A (ja) | 分型インフラストラクチャのインベントリサービス | |
US20230305892A1 (en) | Performance protected autonomous application management for distributed computing systems | |
US20230315527A1 (en) | Robustness Metric for Cloud Providers | |
US20230412637A1 (en) | Hardware detection and prevention of cryptojacking | |
CN115061880A (zh) | 风险动态监控方法、设备及计算机可读介质 | |
CN114844810A (zh) | 心跳数据处理方法、装置、设备及介质 | |
CN115022040A (zh) | 一种基于大数据的信息安全保护方法、装置及介质 | |
Mahalkari et al. | Performance Evaluation Of Quality Metrics Based Fault Prediction model For Replica Management In Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |