计算机网络建模的制作方法

对相关申请的交叉引用

本申请要求2017年2月22日提交的美国临时专利申请号62/462,149的优先权，并且涉及pct公布的专利申请号wo2017/031479和美国公布的专利申请号2017/018087的主题。所有三个申请均通过引用并入本文。

本发明涉及用于分析计算机网络的方法和设备，例如通过构建和分析此类网络的模型。

背景技术：

网络计算机系统由网络计算机组成，通常每台网络计算机运行一个操作系统和各种其他软件应用程序，现在无处不在，在企业和政府组织中尤为常见。这些通常包括计算机，例如工作站和服务器，它们通过通信网络互连，例如通过因特网协议(ip)网络。每台计算机可以运行各种不同的程序，这些程序可以通过网络相互通信。但是，随着这些系统的规模和范围不断扩大，常常跨越数十或数百个服务器实例和数千个进程，完全理解它们变得越来越困难。

技术实现要素：

在一个总体方面，本发明提供一种用于自动检测计算机系统的特征的基于计算机的方法，该计算机系统包括由数字通信网络连接的多个不同的运行计算机，该方法包括：接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型。该方法还包括更新所述模型，存储更新后的模型，以及对用户命令进行响应，以访问所存储的模型和所存储的更新后的模型两者。

在优选实施例中，在存储模型和存储更新后的模型的步骤中，在单个元模型中存储两个模型。在对用户命令进行响应的步骤中，响应差异命令，以示出所存储的模型和更新后的模型之间的差异。存储更新后的模型的步骤包括，针对所存储的模型和更新后的模型之间已经改变的模型的部分，存储变化标签。所述的方法，还包括向用户显示所述模型的经滤波的视觉表示。所述的方法，还包括接收所述计算机系统中的计算机的进一步机器可读信息的步骤，所述进一步机器可读信息反映所述计算机系统中的变化，其中，在更新模型的步骤中，更新模型以反映计算机系统中的变化。更新的步骤包括，存储投影图。更新的步骤包括，存储差异图。更新的步骤包括，存储缩放图。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：存储的指令，可操作以接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；存储的指令，可操作以基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；存储的指令，可操作以更新所述模型，存储的指令，可操作以存储更新后的模型，以及存储的指令，可操作以对用户命令进行响应，以访问所存储的模型和所存储的更新后的模型两者。

在进一步的总体方面中，本发明的提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：装置，用于接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；装置，用于基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；装置，用于更新所述模型；装置，用于存储更新后的模型；以及装置，用于对用户命令进行响应，以访问所存储的模型和所存储的更新后的模型两者。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的方法，该计算机系统包括由数字通信网络连接的多个不同的运行计算机，该方法包括：接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；向所述模型的元素添加标签；向用户显示所述模型的经标签的视觉的表示。

在优选实施例中，所述标签包括用户定义的标签。在显示所述模型的表示的步骤中，向用户呈现所述模型的元素的视觉属性，所述视觉属性基于与所述元素相关联的标签来选择。在显示所述模型的表示的步骤中，用颜色向用户呈现所述模型的元素，所述颜色基于与所述元素相关联的标签来选择。在显示所述模型的表示的步骤中，以形状向用户呈现所述模型的元素，所述形状基于与所述元素相关联的标签来选择。在显示所述模型的表示的步骤中，用字母数字注释呈现所述模型的元素，所述字母数字注释标识与所述元素相关联的标签。所述的方法，还包括接收针对所述标签中的至少一些标签的更新，并且向所述用户显示所述模型的更新后的经标签的表示。所述的方法，还包括以下步骤：接收针对所述模型的元素中的至少一些元素的实时更新，并且向所述用户显示所述模型的更新后的经标签的表示。所述标签包括使用启发法分配给所述元素的系统定义的标签。

在进一步的总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：存储的指令，可操作以接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；存储的指令，可操作以基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；存储的指令，可操作以向所述模型的元素添加标签；以及存储的指令，可操作以向用户显示所述模型的经标签的视觉的表示。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：装置，用于接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；装置，用于基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；装置，用于向所述模型的元素添加标签；以及装置，用向用户显示所述模型的经标签的视觉的表示。

在进一步的总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的方法，该计算机系统包括由数字通信网络连接的多个不同的运行计算机，该方法包括：接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；接收来自用户的所述模型的滤波函数；将所述滤波函数应用于所述模型；以及向用户显示所述模型的经滤波的版本。

在优选实施例中，在接收滤波函数的步骤中，接收三级布尔滤波函数，所述三级布尔滤波函数允许所述模型的部分被包括，被排除或使其包含不受影响。在接收滤波函数的步骤中，接收基于标签的滤波函数。在接收滤波函数的步骤中，接收特定于图的滤波函数。在接收滤波函数的步骤中，接收指定所述模型内的焦点的滤波函数。在接收滤波函数的步骤中，接收指定所述模型内的路径距离的滤波函数。在显示步骤中，显示所述模型的交互式滤波版本，并且还包括更新所显示的模型以响应用户与所显示的模型的交互的步骤。在显示所述模型的步骤中，显示所述模型的三维表示。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：存储的指令，可操作以接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；存储的指令，可操作以基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；存储的指令，可操作以接收来自用户的所述模型的滤波函数；存储的指令，可操作以将所述滤波函数应用于所述模型；以及存储的指令，可操作以向用户显示所述模型的经滤波的版本。

在进一步的总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：装置，用于接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；装置，基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；装置，用于接收来自用户的所述模型的滤波函数；装置，用于将所述滤波函数应用于所述模型；以及装置，用于向用户显示所述模型的经滤波的版本。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的方法，该计算机系统包括由数字通信网络连接的多个不同的运行计算机，该方法包括：接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；接收所述计算机的其他方面的机器可读信息；基于所接收的信息，构建并存储计算机网络中的软件、服务和计算机其他方面的分层的机器可读模型。

在优选实施例中，接收所述计算机的其他方面的机器可读信息的步骤包括接收所述计算机的实时信息。构建分层的模型的步骤包括构建具有度量层的模型。所述的方法，还包括以下步骤：接收和显示针对所述分层的模型的至少一个层的至少一些元素的实时更新。构建分层的模型的步骤包括构建具有事件层的模型。构建分层的模型的步骤包括构建具有警报层的模型。构建分层的模型的步骤包括构建具有计算层的模型。

在进一步的总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：存储的指令，可操作以接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；存储的指令，基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；存储的指令，可操作以接收所述计算机的其他方面的机器可读信息；以及存储的指令，可操作以基于所接收的信息，构建并存储计算机网络中的软件、服务和计算机其他方面的分层的机器可读模型。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：装置，用于接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；装置，用于基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；装置，用于接收所述计算机的其他方面的机器可读信息，以及装置，用于基于所接收的信息，构建并存储计算机网络中的软件、服务和计算机其他方面的分层的机器可读模型。

在本发明的另一个方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的方法，该计算机系统包括由数字通信网络连接的多个不同的运行计算机，该方法包括：接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；用于基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；所述方法还包括利用所述机器可读模型将学习方法应用于网络，其中，在应用的步骤中，访问人工智能标签；基于将学习模型对网络的应用，将人工智能标签与所述模型的元素相关联。

在优选实施例中，在构建和存储机器可读模型的步骤中，构建并存储所述模型作为有向无环图，以及其中，对所述有向无环图执行添加和应用的步骤。在应用学习方法的步骤中，将所述方法应用于实时度量和拓扑变化。

在另一个总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：存储的指令，可操作以接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；存储的指令，可操作以基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；存储的指令，可操作以利用所述机器可读模型将学习方法应用于网络，其中，在应用的步骤中，访问人工智能标签；以及存储的指令，可操作以基于将学习模型对网络的应用，将人工智能标签与所述模型的元素相关联。

在进一步的总体方面中，本发明提供一种用于自动检测计算机系统的特征的基于计算机的系统，该计算机系统包括由数字通信网络连接的多个不同的运行服务器，该系统包括：装置，用于接收计算机系统中的计算机的机器可读信息，包括用于计算机系统中的计算机的服务和软件的机器可读信息；装置，用于基于接收到的信息，构建并存储计算机网络中的软件和服务的机器可读的模型；装置，用于利用所述机器可读模型将学习方法应用于网络，其中，在应用的步骤中，访问人工智能标签；以及装置，用于基于将学习模型对网络的应用，将人工智能标签与所述模型的元素相关联。

附图说明

图1是根据本发明的说明性的模型构建和分析系统的框图；

图2是来自图1的系统的网络分析工作站的网络分析屏幕的屏幕截图；

图3是图2的网络分析屏幕的模型探索侧栏的屏幕截图；

图4是图2的网络分析屏幕的属性查看侧栏的屏幕截图；

图5是图2的网络分析屏幕的标签选择对话框的屏幕截图；

图6是图3的模型探索侧栏的屏幕截图，示出了三层布尔滤波控件；

图7是图3的模型探索侧栏的屏幕截图，其可视化工具被扩展以示出可视化控件；以及

图8是图2的网络分析屏幕的屏幕截图，示出了元地图视图。

具体实施例

参照图1，结合本发明可使用的模型构建和分析系统10，包括信息收集子系统20，信息收集子系统20可以连接到运行的目标网络12，目标网络12包括多个计算机，可以包括诸如工作站，便携式设备、更小的iot设备之类的通过诸如vmware或docker等虚拟化的物理设备，以及路由器。信息收集子系统包括信息收集控制器22，负责在目标网络上的各个计算机上部署不同类型的信息收集器，并且基于将在下面更详细描述的元模型，使用返回的信息在模型存储器30中构建特定目标系统的分层模型。模型细化子系统40也用于细化模型。提供模型分析子系统50来分析模型，从而导出分析结果，诸如系统可视化54以及结果的列表，和/或对系统52的修改的推荐。

所述模型存储器30可以使用数据库来实现，被分为三个部分。存储模型的三个部分，包括过程模型层32、连接模型层34和服务模型层36。模型细化子系统40包括可分别细化模型的过程连接器42和服务分析器44。该类型的系统的实现和操作在上文引用的申请中更详细地描述，这些申请通过引用并入本文。

现在将更详细地讨论模型分析子系统50在产生交互式系统可视化54中的操作。在该实施例中，分析系统在诸如个人计算机，平板电脑或智能手机的工作站上向用户呈现交互式可视化。这可以允许用户以各种方式探索目标网络和与目标网络的模型进行交互，诸如通滤波波和标签，以及通过创建和比较来自模型的快照。

参考图2-4，说明性的工作站以交互式网络分析屏幕140向用户呈现，交互式网络分析屏幕140包括交互工具套件。该套件可以包括模型探索侧栏142，模型表示窗口144，和属性查看侧栏146。用户使用模型探索边栏中的工具定制他或她感兴趣的模型的部分视图，并查看属性探索边栏中的模型元素的属性。

模型探索侧栏142可以被组织为一组扩展工具类别条目160a，160b，.....160n。这些类别条目可以被扩展以示出各种类型的子条目162a，162b，......162n的一个或多个级别，对应于不同种类的控件164a，164b，......164n，166a，166b，......166n。

属性查看侧栏可以包括搜索/选择面板170，搜索/选择面板170允许用户在以文本方式或通过使用类型图标174来搜索和选择模型的部分或当前正在被显示的元素。还可以包括检测面板172，检测面板172示出所述模型中的元素的属性176和对应值178。用户可以各种方式使用诸如键盘，鼠标和/或触摸屏等的标准输入设备，来选择要显示模型的哪些部分，例如通过搜索模型，滤波模型，仔细查看模型，旋转模型，拖拽模型的选择部分，或训练或退出模型。

一旦已经选择了所述模型的一部分用于显示，可以将其在模型表示窗口144中呈现为两维或三维的注释有向图。此图中的元素可以使用诸如图标、文本或颜色等任何合适的视觉提示，以传递有关它们的信息的方式呈现。节点可以用不同形状的图标表示，这些图标表示它们在网络中的角色，例如“数据库”、“服务器”或“代理”。用户可以使用可视化工具160c和相关控件来选择要分配给呈现的模型元素的属性。艺术中的一个普通技能当然会认识到有许多其他方法来表示和组织网络分析屏幕140的用户界面元素。本领域普通技术人员当然会认识到，存在许多其他方式来呈现和组织网络分析屏幕140的用户界面元素。

用户与模型交互的一种方式为通过标签。模型中诸如网络节点、过程或服务等不同层的元素，都可以使用一个或多个系统或用户定义的标签进行标记。在本实施例中，可用标签由模型分析子系统50中的启发法自动分配，用户还可以使用标签选择对话框150分配可用标签。“角色”标签可以存储节点的角色，如“数据库”、“服务器”或“代理”。启发法可以包括查找正在运行的进程背后的确切的可执行程序、在计算机上找到的配置文件或打开的通信端口，并根据这些模式推断出特定的计算机服务标签或角色标签。例如，在计算机上检测到基于3306端口运行的服务mysql是打开的，检测到特定的mysql配置文件被发现，或者检测到一个进程正在运行一个名为“mysql”的可执行文件。

标签值可以在检测面板172和/或在模型表示窗口140中显示给用户。它们可以影响元素所呈现的视觉属性，比如它的图标或颜色，或者也可以显示为与元素相关的文本。用户可以为他们选择的任何属性创建用户定义的标签，并将标签与颜色或其他可视属性关联起来。它们还可以改写预定义标签的颜色或其他可视属性。

模型分析子系统50还允许用户对模型应用各种形式的滤波以获得投影，这些投影是经滤波波的地图版本。此功能允许用户在模型表示窗口144中关注或查找模型的各个部分。滤波模型的方法包括基于文本的搜索、布尔搜索、标签搜索和特定于图的搜索。特定于图的搜索允许用户基于图拓扑进行搜索。例如，指定路径长度和类型参数，可以允许用户使用特定的路径类型(例如，通过tcp/ip的两个步骤)，查看与模型中的焦点距离限定的步骤数的节点。可以使用滤波工具160b进行滤波。

参照图6，本实施例还支持三层布尔搜索设置，使用为包含值190、排除值192和忽略值194。排除值允许具有该标签的节点从可视表示中消失，而忽略值将导致系统的行为，就好像节点没有被标记为具有该特定标记一样。

用户与模型交互的另一种方式是访问模型的快照，在模型缩放、滤波或更改以反映底层网络中的更改时。此功能通过将模型存储为元图来支持。在本实施例中，当网络更新或模型被滤波时，可以存储元图中的一个新条目，允许用户在不同的先前状态下有选择地访问模型。实现这个元图功能的一种方法是在更大的有向无环图中组织对网络图的提交，使用的方法类似于著名的git版本控制系统中使用的方法。部分或全部元图可以显示在交互式网络分析屏幕140中，如图8所示。

用户还可以在元图上执行图形操作。其中一个操作是差异操作，它允许用户查看网络是如何变化的。这有助于调试在重新配置网络之后出现的问题。可以在元地图视图中高亮显示差异地图，例如使用红旗。

差异标签可以帮助用户理解网络变化。这些可以包括添加标签、删除标签和更改标签。这些类型的标签还可以具有继承性的，这样用户就可以看到网络的一部分发生了变化。这可以帮助指导他或她深入到模型的这些部分，以了解网络变化的细节。地图历史功能可以通过160a地图历史工具访问。

另一种类型的地图是缩放地图。缩放地图是模型的经滤波的方面，包括与模型中特定元素相关的元素，例如特定计算机或特定计算机服务中的所有元素。

参考图7，该模型可以包含过程模型层32、连接模型层34、服务模型层36之外的各层。这些附加层可以包括静态和实时元素。实时元素可以对网络的各个方面进行建模。它们可以包含度量、事件、警报和计算的元素，并且可以连续更新或根据请求更新。

实时元素的值，例如cpu活动百分比，可以显示为元素内或附近的文本、元素中的弧，或者以任何其他合适的方式显示。

层也可以捆绑在一起进行操作。交互式网络分析屏幕140中的层选择工具148允许用户从部分或全部层中选择数据。一个实时层工具160n-3也可以提供控件，允许实时层显示或隐藏。

该模型还可以包含一个人工智能(ai)层。这个层可以存储价值，比如权重，可以反复地训练各种学习方法。然后可以使用它们来检测网络中潜在的关注区域。

在整体操作中，各种工具可以相互协作，使用户能够快速、交互式地了解他们的网络。他们可以查看在网络修改期间问题是如何产生的，例如，通过在网络上执行不同的操作，然后他们可以使用搜索、滤波和直接交互，例如向下钻取操作来调查系统中受到影响的部分。

上面描述的系统可以使用特殊用途的硬件、运行在通用处理器上的软件或两者的组合进行操作。例如，在上述实施例中，模型分析子系统被设计为允许用户在各种标准桌面和移动设备上查看交互式网络分析屏幕。此外，虽然可以将系统分解为图1所示的一系列模块，但是一个普通的技术人员会认识到，也可以将它们组合和/或拆分以实现不同的分解。系统各部分的具体实现，包括模型结构和分析及可视化工具，也可以根据各种因素而有所不同，包括模型的目标和所分析的目标系统的类型。

本发明已经结合多个具体实施例进行了描述。然而，在不脱离本发明的精神和范围内，可作各种的更动与润饰，因此本发明的保护范围当视所附的权利要求所界定者为准。因此，意图是本发明的范围仅由所附权利要求的范围限制。此外，权利要求的呈现次序不应被解释为限制权利要求书中的任何特定术语的范围。