本发明涉及信息安全技术领域,具体为一种应用系统性能故障取证分析的方法。
背景技术:
随着信息系统建设规模的不断扩大、技术难度和密集程度不断提升、云计算、大数据等新技术不断创新和应用、信息化架构面临深刻变革,信息系统运行监控工作面临巨大挑战。在业务依赖加深、管理要求提升、技术更新迭代、运行成本攀升等形式下,当前的信息系统运行监控工具的支撑能力亟需进行质的提升,如何快速、准确的识别潜在风险是当下迫切需要解决的问题。
本发明的目的是为了克服现有技术的缺点,提出一种应用系统性能故障取证分析的方法。本发明采集应用系统网络镜像流量,对采集到的报文进行序列化并缓存;本发明计算应用系统业务会话级交互数据,提取业务交互响应时间,作为判定业务异常的重要指标;构建业务交互基线,检测业务交互异常;当发现业务异常时,对相关报文进行提取并存储。从而实现对应用系统应用性能异常的高效检测和取证。
技术实现要素:
为实现上述的目的,本发明提供如下技术方案:一种应用系统性能故障取证分析的方法,包括以下步骤:
a、采集模块采集工业交换机端口镜像流量,对采集到的应用系统网络报文数据进行序列化,并缓存在内存中,构建原始报文缓冲区packetcache;
b、元数据构建模块使用packetcache中的报文计算应用系统网络中任意两个ip节点对[源ip,目的ip]的业务交互响应时间brt,将任意两个ip对的一次交互行为形成一个业务交互元数据,构建元数据缓存brtcache,同时所有的元数据存储至硬盘;
c、周期性学习,建立采样点,构建应用系统网络业务交互基线缓存baselinecache;
d、每当获取新的交互响应元数据,与对应的基线阈值进行对比,并生成应用系统网络异常告警;
e、当告警发生时,数据存储模块将告警相关的原始报文从packetcache提取,形成pcap格式并存储至硬盘,作为告警取证依据。
作为优选,在所述步骤a中原始报文缓冲区packetcache的构建,该缓冲区是一个环形队列,实现算法如下:
1)缓冲区是一个先进先出队列。写入模块将信息插入队列;读出模块将信息弹出队列;
2)写入模块与读出模块需要进行信息的协调和同步;
3)对于多线程和多进程的写入或读出模块,写入模块间以及读出模块间需要进行临界区处理。
作为优选,在所述步骤a中原始报文序列化方法为,将原始报文序列化为对象mpacket,该对象数据结构如下:
作为优选,在所述步骤b中业务交互响应时间brt计算步骤为:
1)会话重组,采用五元组确定会话,五元组是{源ip地址,源端口,目的ip地址,目的端口和传输层协议号}这五个量组成的一个集合,采用tcp头中的sequencenumber来保证数据报文的顺序;一段时间内的会话表示为:
{s0,s1,s2,s3,s4,s5,......sn}
2)确定业务交互,业务交互确定的原则发生在ip节点对[源ip,目的ip]之间的会话序列按发生时间先后为{si,si+1,si+2,si+3,......si+m},则该会话序列应具备以下特征:
相邻会话发生时间间隔不能超过3秒,即上一个会话结束时间与一个会话开始时间相差不超过3秒
整个会话序列的总时长不超过60s,即最后发生会话si+m的结束时间与第一个发生会话的开始时间相差不超过60秒
3)计算会话响应时间,si会话的响应时间计算为该会话最后一个数据报文的发生时间与该会话中第一个数据报文发生时间的差值,设为rti,则该业务交互对应的会话响应时间序列为:{rti,rti+1,rti+2,......rti+m};
4)业务交互相应时间brt的计算公式为:
作为优选,在所述步骤b中业务交互元数据对象mbusiness,该对象的数据结构为:
作为优选,在所述步骤c构建基线缓存baselinecache的方法为:
设定基线学习周期为tl,基线采样点时长为ts,设企业网络中存在业务交互的ip对为:
{ipg0,ipg1,ipg2,ipg3,......ipgn}
在某采样点时间内,ip对ipgi的业务交互响应时间基准值计算方法为该时间内该ip对各次业务交互响应时间的算术平均值,设为brti
则应用系统网络交互基线为:
其中,采样点个数l=tl/ts。
作为优选,在所述步骤d中应用系统网络异常告警的数据结构为:
作为优选,在所述步骤e中原始报文存储步骤:
1)根据应用系统应用性能异常告警的发生时间、ip地址等信息从原始报文缓冲区packetcache获取该告警相关的原始报文数据包;
2)将以上数据报文写入pcap文件中;
3)将pcap文件按照对应告警id进行索。
有益效果
该应用系统性能故障取证分析的方法,具备以下有益效果:
本发明采集应用系统网络镜像流量,对采集到的报文进行序列化并缓存;本发明计算应用系统业务会话级交互数据,提取业务交互响应时间,作为判定业务异常的重要指标;构建业务交互基线,检测业务交互异常;当发现业务异常时,对相关报文进行提取并存储。从而实现对应用系统应用性能异常的高效检测和取证。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过实施例对本发明作进一步的描述:
实施例:
一种应用系统性能故障取证分析的方法,包括以下步骤:
a、采集模块采集工业交换机端口镜像流量,对采集到的应用系统网络报文数据进行序列化,并缓存在内存中,构建原始报文缓冲区packetcache;
b、元数据构建模块使用packetcache中的报文计算应用系统网络中任意两个ip节点对[源ip,目的ip]的业务交互响应时间brt,将任意两个ip对的一次交互行为形成一个业务交互元数据,构建元数据缓存brtcache,同时所有的元数据存储至硬盘;
c、周期性学习,建立采样点,构建应用系统网络业务交互基线缓存baselinecache;
d、每当获取新的交互响应元数据,与对应的基线阈值进行对比,并生成应用系统网络异常告警;
e、当告警发生时,数据存储模块将告警相关的原始报文从packetcache提取,形成pcap格式并存储至硬盘,作为告警取证依据。
作为对上述实施例的进一步说明:
优选的,在步骤a中原始报文缓冲区packetcache的构建,该缓冲区是一个环形队列,实现算法如下:
1)缓冲区是一个先进先出队列。写入模块将信息插入队列;读出模块将信息弹出队列;
2)写入模块与读出模块需要进行信息的协调和同步;
3)对于多线程和多进程的写入或读出模块,写入模块间以及读出模块间需要进行临界区处理。
优选的,在步骤a中原始报文序列化方法为,将原始报文序列化为对象mpacket,该对象数据结构如下:
优选的,在步骤b中业务交互响应时间brt计算步骤为:
1)会话重组,采用五元组确定会话,五元组是{源ip地址,源端口,目的ip地址,目的端口和传输层协议号}这五个量组成的一个集合,采用tcp头中的sequencenumber来保证数据报文的顺序;一段时间内的会话表示为:
{s0,s1,s2,s3,s4,s5,......sn}
2)确定业务交互,业务交互确定的原则发生在ip节点对[源ip,目的ip]之间的会话序列按发生时间先后为{si,si+1,si+2,si+3,......si+m},则该会话序列应具备以下特征:
相邻会话发生时间间隔不能超过3秒,即上一个会话结束时间与一个会话开始时间相差不超过3秒整个会话序列的总时长不超过60s,即最后发生会话si+m的结束时间与第一个发生会话的开始时间相差不超过60秒
3)计算会话响应时间,si会话的响应时间计算为该会话最后一个数据报文的发生时间与该会话中第一个数据报文发生时间的差值,设为rti,则该业务交互对应的会话响应时间序列为:{rti,rti+1,rti+2,......rti+m};
4)业务交互相应时间brt的计算公式为:
优选的,在步骤b中业务交互元数据对象mbusiness,该对象的数据结构为:
优选的,在步骤c构建基线缓存baselinecache的方法为:
设定基线学习周期为tl,基线采样点时长为ts,设企业网络中存在业务交互的ip对为:
{ipg0,ipg1,ipg2,ipg3,......ipgn}
在某采样点时间内,ip对ipgi的业务交互响应时间基准值计算方法为该时间内该ip对各次业务交互响应时间的算术平均值,设为brti
则应用系统网络交互基线为:
其中,采样点个数l=tl/ts。
优选的,在步骤d中应用系统网络异常告警的数据结构为:
优选的,在步骤e中原始报文存储步骤:
1)根据应用系统应用性能异常告警的发生时间、ip地址等信息从原始报文缓冲区packetcache获取该告警相关的原始报文数据包;
2)将以上数据报文写入pcap文件中;
3)将pcap文件按照对应告警id进行检索。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。