专利名称:将网络业务与相关包有效关联的方法和设备的制作方法
技术领域:
本发明涉及联网,更具体地涉及将网络业务信息与相关包关联的系统、方法和设 备。
背景技术:
在对复杂网络的网络分析中,通过网络分析器可以看到大量数据。对如此大量数 据的分析,在尝试将特定网络数据分组(如网络会话、会话中的事务、该类实体群、应用等) 与包括原始数据分组的确切包关联方面产生了新的问题。现存的关联系统使用统计量,例如采用小于选择的值的响应时间对包进行分组。 然而,统计量间接地描述了网络业务,并且会想要能够获得更确切的关联。发明概要根据本发明的网络监控系统、设备和方法,分析网络数据,并且以包的元数据模拟 来说明网络数据,该包的元数据模拟是用描述特定包的信息来进行注释的。该元数据存储 在关系数据库中,以基于描述的特性提供高效的查找。因此,本发明的一个目的是提供一种用于将网络业务和相关包有效地关联的改进 的网络监控器系统。本发明的另一目的是提供一种确定元数据、在数据库中存储元数据并且存储物理 数据和它们之间的关联性的改进的网络监控器系统。本发明的再一个目的是提供一种改进的网络监控器和系统以允许通过使用包的 元数据来将网络业务和相关包进行有效关联。本发明的主题在说明书结论部分特别地指出并清楚地要求保护。然而,通过参照 接下来的结合附图的描述,可以最好地理解操作的组织和方法,以及进一步的优点及目的, 附图中同样的标号表示同样的部件。
图1为具有监控系统的网络的框图;图2为用于有效索引和存储网络业务的监控设备的框图;以及图3为系统布局和操作图。
具体实施例方式根据本发明的优选实施方式的系统包括网络监控系统、设备和方法,在该系统中, 对网络数据进行分析,提取包的特征属性,并将该包的特征属性与特定包关联。在给定的时 间段内,按照公共属性值对包进行分组,并将分组后的属性写入数据库中,同时,将物理包 写入到与元数据关联的文件中。参见图1的具有根据本文公开的设备的网络的框图,该网络可以包括多个网络设备10、10’等,多个网络设备通过发送和接收网络业务22,来经由网络12进行通信。可以采 用变化的协议及其格式,以表示来自各种应用和用户的数据的包的形式发送业务。网络分析产品14也连接到该网络,并且可包括用户接口 16,用户接口 16使得用户 无论是远离分析产品网络连接的物理位置还是在安装位置,可以与该网络分析产品进行交 互以操作该分析产品并从中获取数据。该网络分析产品包括硬件和软件、CPU、存储器、接口等,来进行操作,以连接到网 络并监控网络中的业务,以及执行各种测试和测量操作,发送和接收数据等。在远程的情况 下,通常通过在与网络接口连接的计算机或工作站上进行运行,来操作网络分析产品。该分析产品包括分析引擎18,该分析引擎18接收包网络数据并且与应用事务详 细资料数据存储器M以接口方式连接。图2是测试仪器/分析器42的框图,通过该测试仪器/分析器42可以实现本发 明,其中该仪器可以包括通过多个端口将设备附接到网络12的网络接口 36、用于操作该 仪器的一个或更多个处理器38、存储器(如RAM/ROM M或永久性存储器沈)、显示器观、用 户输入设备30 (例如,诸如键盘、鼠标或其它定点设备、触摸屏等)、电源32 (可以包括电池 或AC电源)、将设备附接到网络或其它外部设备(存储器、其它计算机等)的其它接口 34。 数据处理模块40提供对观测到的网络数据的处理,以提供对网络业务的混合模式分析。在操作时,网络测试仪器被附接到网络,观测在网络上的传输,以采集信息。在处 理器38的操作下,当观测到网络业务,分析包并确定刻画了包的特征的包的组成,具有共 同属性的包被分成组,分组后的属性被存储在数据库中。参考图3,其为系统的操作图,分析引擎52接收网络包50,读取该网络包50并且 提取特征属性。特征属性的例子包括但不限于-与该包相关联的应用的标识;-与该包相关联的流的标识(流被特征化为已建立的连接的从开始到结束);-与该包相关联的事务的标识;-包起始时间;-结束时间;-创建时间;-被看到的时间;-统一资源指示符id;-端口信息;-协议信息;-客户网络地址信息;-服务器网络地址信息;-服务器id;-站点id。把有限时间段内观测到的包按照共同属性值进行分组,并将分组后的属性(被称 为元数据)存储在元数据数据库M中。物理包自身被写入到平面文件56、56’等中。利用关于包被物理存储在文件56、56’中什么位置的信息来附加地注释包的元数 据,这使得可以基于从数据库检索到的元数据快速地检索感兴趣的包。
在操作中,用户接口 58为用户提供查询元数据数据库并例如请求与感兴趣的特 定元数据属性相关的包的能力。在特定的例子中,这可以包括与特定网络流相关的包(请 求60)。在数据库内的用于特定网络流的元数据包括关于文件56中存储的与该流相关的包 的位置的信息,系统检索这些包文件,并且向用户返回跟踪文件62,该跟踪文件具有用户为 了分析网络操作而研究或检查的相关包。这在把特别的特定网络流标识为具有与网络性能 有关的某些问题时是非常有用的。作为另一个例子,用户可以请求针对特定网络事务的包(请求64)。向数据库查询 与该事务相关的元数据,并获取包文件的位置,从文件56返回相应包作为跟踪文件66,以 进行由用户用于网络故障诊断的分析或其它功能。因此,包元数据存储在相关的数据库中,并能够基于特征的期望组合对该包元数 据进行查询,以请求与那些特征相关的包的跟踪文件。根据与包元数据一起存储的信息,能 够从物理存储器中获得物理包。所述系统、方法和装置可在网络测试仪器中适当地实施。虽然已经示出并描述了本发明的优选实施方式,但是对于本领域技术人员来说, 显然在更广的方面不脱离本发明的情况下,可以做出许多改变和变形。所附权利要求书由 此意在覆盖所有的这些改变和变形,并落在本发明的真正精神和范围内。
权利要求
1.一种用于索引和存储网络业务的系统,其包括观测到的网络元数据的数据库,所述元数据包括与所述元数据有关的已存储包的位置 的指示;用户接口,其使得能够查询所述元数据并返回与所述查询有关的包。
2.根据权利要求1所述的用于索引和存储网络业务的系统,其中,所述元数据选自以 下各项与所述包相关联的应用的标识、与所述包相关联的流的标识、与所述包相关联的事务 的标识、包起始时间、结束时间、创建时间、被看到的时间、统一资源指示符id、端口信息、协 议信息、客户网络地址信息、服务器网络地址信息、服务器id和站点id。
3.根据权利要求1所述的系统,其中,包的所述元数据用关于所述包被物理存储在什 么位置的信息来进行注释,以能够基于从所述数据库中检索到的元数据快速地检索到感兴 趣的包。
4.根据权利要求1所述的系统,其中,与所述查询相关的包的返回是以跟踪文件的形式。
5.一种用于索引和存储网络业务的的网络测试仪器,该网络测试仪器包括网络业务监控器,其用于观测网络数据并且基于所述网络数据确定元数据;观测到的网络元数据的数据库,所述元数据包括与所述元数据有关的已存储包的位置 的指示;以及用户接口,其使得能够查询所述元数据并返回与所述查询相关的包。
6.根据权利要求5所述的网络测试仪器,其中,所述元数据选自以下各项与所述包相关联的应用的标识、与所述包相关联的流的标识、与所述包相关联的事务 的标识、包起始时间、结束时间、创建时间、被看到的时间、统一资源指示符id、端口信息、协 议信息、客户网络地址信息、服务器网络地址信息、服务器id和站点id。
7.根据权利要求5所述的网络测试仪器,其中,包的所述元数据用关于所述包被物理 存储在什么位置的信息来进行注释,以能够基于从所述数据库中检索到的元数据快速地检 索到感兴趣的包。
8.根据权利要求5所述的网络测试仪器,其中,与所述查询相关的包的返回是以跟踪 文件的形式。
9.一种用于索引和存储网络业务的网络测试仪器的操作方法,该方法包括以下步骤观测网络数据并基于网络数据确定元数据;维护所观测到的网络元数据的数据库,所述元数据包括与所述元数据有关的已存储包 的位置的指示;提供用户接口,以使得能够查询所述元数据并返回与所述查询相关的包。
10.根据权利要求9所述的方法,其中,所述元数据选自以下各项与所述包相关联的应用的标识、与所述包相关联的流的标识、与所述包相关联的事务 的标识、包起始时间、结束时间、创建时间、被看到的时间、统一资源指示符id、端口信息、协 议信息、客户网络地址信息、服务器网络地址信息、服务器id和站点id。
11.根据权利要求9所述的方法,其中,包的所述元数据用关于所述包被物理存储在什 么位置的信息来进行注释,以能够基于从所述数据库中检索到的元数据快速地检索到感兴趣的包。
12.根据权利要求9所述的方法,其中,与所述查询相关的包的返回是以跟踪文件的形式。
全文摘要
网络分析器读取网络包并提取特征属性、将在指定量时间内观察到的包按照共同属性值进行分组。分组后的属性是元数据,元数据被写入数据库,同时包被写入到文件中。元数据被存储在包括到与该元数据有关的物理包的链接的该数据库中。还有用户接口,该用户接口使得能够查询该元数据并检索相关的物理包。
文档编号G06F17/30GK102055621SQ201010548908
公开日2011年5月11日 申请日期2010年10月29日 优先权日2009年10月29日
发明者丹·普雷斯科特, 布鲁斯·科斯巴博, 约翰·芒克, 罗伯特·沃格特 申请人:弗兰克公司