收集和分析所选择的网络流量制造技术

本文描述了用于调查网络的行为的跟踪系统。在操作中，网络中的每个交换机(或交换机的某一子集中的每个交换机)可以确定其处理的每个原始分组是否满足一个或多个分组检测规则。如果满足，则交换机生成镜像分组并将该分组发送给负载平衡器复用器，负载平衡器复用器转而将镜像分组转发给处理模块用于进一步分析。由交换机托管的分组检测规则可以被设计为基于任何环境特定目标来选择最感兴趣的分组的子集。作为这种行为的结果，在不被太多的信息压倒的情况下，跟踪系统可以有效地并且快速地指出网络的不期望的(和潜在期望的)行为。

Collect and analyze the selected network traffic

This paper describes a tracking system for investigating network behavior. In operation, each switch in the network (or each switch in a subset of switches) can determine whether each of the original packets it handles satisfies one or more packet detection rules. If satisfied, the switch generates a mirrored packet and sends the packet to a load balancer multiplexer, and the load balancer multiplexer turns the mirrored packet forward to the processing module for further analysis. Packet detection rules managed by switches can be designed to select subsets of packets of the most interest based on any environment specific target. As a consequence of this behavior, the tracking system can effectively and quickly point out undesired (and expected) behavior of the network without being overwhelmed by too much information.

【技术实现步骤摘要】
【国外来华专利技术】收集和分析所选择的网络流量
技术介绍
通常难以确定发生在网络内的故障和其它异常事件的原因。这种困难产生于现代网络的复杂性，加上这样的网络在任何给定时间处理的大量信息。有经验的分析者可以通过调查网络的那些假定为最有可能故障的组件(例如，通过检查由那些组件记录的控制信息)的行为来解决这个问题。然而，分析者不能确保被审查的信息将揭示问题的根源。分析者可以扩大分析范围以解决这个问题，但是这样的策略可以导致太多的信息压倒分析者。
技术实现思路
本文描述了用于调查网络的行为的跟踪系统。在操作中，网络中的每个交换机(或网络中的至少一些交换机中的每个交换机)可以确定其处理的每个原始分组是否满足一个或多个分组检测规则。如果满足，则交换机可以生成镜像分组。镜像分组至少包括原始分组中的信息的子集。然后，交换机可以将镜像分组转发给负载平衡复用器。交换机还将原始分组以未改变的形式发送给由原始分组指定的目标目的地。在接收镜像分组时，基于至少一个负载平衡考虑，复用器可以从候选处理模块集合中选择处理模块。然后，复用器向所选择的处理模块发送镜像分组，其中使用一个或多个处理引擎对其分析。考虑任何应用特定的目标，由交换机托管的分组检测规则可以被设计为选择被认为是高兴趣值的分组的子集。作为该行为的结果，在分析者不被太多的信息压倒的情况下，跟踪系统可以有效地并且快速地指出网络的不期望的(和潜在期望的)行为。上述方法可以表现在各种类型的系统、设备、组件、方法、计算机可读存储介质、数据结构、图形用户界面呈现、制品等中。提供本
技术实现思路
来以简化的形式介绍概念的选择；这些概念在下面的具体实施方式中进一步描述。本专利
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。附图说明图1示出了跟踪系统的一个示例的概览。跟踪系统从网络中提取所选择的信息以用于分析。图2示出了图1的跟踪系统的一个非限制性实施方式。图3示出了被配置为执行镜像功能的网络中的交换机的一个实施方式。该配置的交换机是由图1的跟踪系统使用的镜像功能的一个组件。图4示出了与图1的跟踪系统的另一组件对应的复用器的一个实施方式。图5示出了图3的交换机的复用行为。图6示出了图4的复用器的复用行为。图7示出了根据一个实施方式的图4的复用器可以利用来执行其复用功能的说明性表数据结构。图8示出了由图3的交换机输出的信息的一个示例。图9示出了由图4的复用器输出的信息的一个示例。图10示出了处理模块的一个实施方式，该处理模块是图1的跟踪系统的另一组件。图11示出了消费实体的一个实施方式，该消费实体是与图1的跟踪系统交互的组件。图12示出了管理模块的一个实施方式，该管理模块是图1的跟踪系统的另一组件。图13示出了解释图3的交换机的一种操作方式的处理。图14示出了解释匹配模块的一种操作方式的处理，该匹配模块是图3的交换机的组件。图15示出了解释图4的复用器的一种操作方式的处理。图16示出了解释图10的处理模块的一种操作方式的处理。图17示出了解释图11的消费实体的一种操作方式的处理。图18示出了解释图12的管理模块的一种操作方式的处理。图19示出了可用于实现前述附图中所示的特征的任何方面的说明性计算功能。贯穿公开内容和附图，使用相同的附图标记来指代相同的组件和特征。系列100的附图标记指代最初在图1中找到的特征，系列200的附图标记指代最初在图2中找到的特征，系列300的附图标记指代最初在图3中找到的特征，依此类推。具体实施方式本公开组织如下。部分A描述了用于例如通过选择性地提取的流经网络的特定类型的分组来选择性地收集和分析网络流量的说明性跟踪系统。部分B阐述了解释部分A的跟踪系统的操作的说明性方法。部分C描述了可用于实施部分A和部分B中描述的特征的任何方面的说明性计算功能。作为前序事项，一些附图描述了在一个或多个结构组件(不同地被称为功能、模块、特征、元件等)的上下文中的概念。图中所示的各种组件可以以任何方式通过任何物理和有形机构(例如，通过在计算机设备上运行的软件、硬件(例如，芯片实现的逻辑功能)等、和/或其任何组合)来实现。在一种情况下，图中所示的各种组件分离成不同的单元，可以反映在实际实施方式中对应的不同物理和有形组件的使用。备选地或附加地，图中所示的任何单个组件可以由多个实际物理组件来实现。备选地或附加地，图中的任何两个或更多个分离组件的描绘可以反映由单个实际物理组件执行的不同功能。将依次描述的图19提供了关于图中所示的功能的一个说明性物理实施方式的附加细节。其它附图以流程图形式描述了概念。在该形式中，特定操作被描述为构成以特定顺序执行的不同块。这样的实施方式是说明性的而非限制性的。本文描述的特定块可以被分组在一起并且在单个操作中执行，特定块可以被分解为多个组件块，并且可以以与本文所示的顺序不同的顺序(包括执行块的并行方式)来执行特定块。流程图中所示的块可以以任何方式通过任何物理和有形的机构(例如，通过在计算机设备上运行的软件、硬件(例如，芯片实现的逻辑功能)等、和/或其任何组合)来实现。关于术语，短语“配置为”包括可以构造任何种类的物理和有形的功能以执行标识的操作的任何方式。功能可以被配置为使用例如在计算机设备上运行的软件、硬件(例如，芯片实现的逻辑功能)等、和/或其任何组合来执行操作。术语“逻辑”包括用于执行任务的任何物理和有形功能。例如，流程图中所示的每个操作对应于用于执行该操作的逻辑组件。可以使用例如在计算机设备上运行的软件、硬件(例如，芯片实现的逻辑功能)等、和/或其任何组合来执行操作。当由计算设备实现时，逻辑组件表示作为无论以何种方式实现的计算系统的物理部分的电组件。以下的解释可以将一个或多个特征标识为“可选的”。这种类型的陈述不应被解释为可以被认为是可选的特征的详尽指示；即，虽然在文本中没有明确地标识，其它特征可以被认为是可选的。此外，单个实体的任何描述不旨在排除使用多个这样的实体；类似地，多个实体的描述不旨在排除使用单个实体。此外，虽然描述可以将特定特征解释为执行所标识的功能或实施所标识的机构的备选方式，但是特征也可以以任何组合来组合在一起。最后，术语“示例性”或“说明性”是指潜在地许多实施方式之中的一个实施方式。A.说明性跟踪系统A.1.概览图1示出了跟踪系统102的一个示例的概览。跟踪系统102提取关于通过网络104传输的所选择的分组的信息，然后分析那些分组。在一个使用场景中，分析者可以使用由跟踪系统102提供的信息，来调查异常事件或不期望的事件。在其它情况下，分析者可以使用跟踪系统102提供的信息，来调查网络104中的期望行为。总体上，由跟踪系统102提供的信息可以提供关于正在研究的无论什么事件的原因的洞察。在其它潜在的益处中，跟踪系统102从网络104挑选信息的选择性减少了呈现给人类分析者或其它消费者的“噪声”的量，从而便于他或她的调查。其还有助于跟踪系统的可伸缩性和整体效率。以下描述的跟踪系统102的其它方面进一步有助于由跟踪系统102提供的分组收集功能的可伸缩性和效率。网络104由多个硬件交换机(诸如，代表性交换机106)组成。例如，每个交换机可以由专用集成电路(ASIC)等提供的逻辑功能来实现。虽然未示出，但是网络104附加地或备选地本文档来自技高网...

【技术保护点】
一种用于从网络收集分组的方法，包括：在网络内的交换机处接收原始分组；确定是否将所述原始分组镜像；在做出将所述原始分组镜像的决定的情况下，基于所述原始分组生成镜像分组，所述镜像分组至少包括在所述原始分组中提供的信息的子集；向负载平衡复用器发送所述镜像分组；以及向由所述原始分组指定的目标目的地发送所述原始分组。

【技术特征摘要】
【国外来华专利技术】2014.09.03 US 14/475,9271.一种用于从网络收集分组的方法，包括：在网络内的交换机处接收原始分组；确定是否将所述原始分组镜像；在做出将所述原始分组镜像的决定的情况下，基于所述原始分组生成镜像分组，所述镜像分组至少包括在所述原始分组中提供的信息的子集；向负载平衡复用器发送所述镜像分组；以及向由所述原始分组指定的目标目的地发送所述原始分组。2.根据权利要求1所述的方法，其中所述确定是否将所述原始分组镜像包括：关于分组检测规则来分析所述原始分组；确定所述原始分组是否满足所述分组检测规则；以及如果所述原始分组满足所述分组检测规则，则生成将所述原始分组镜像的指令。3.根据权利要求2所述的方法，其中所述分组检测规则指定表示指定协议相关特性的每个原始分组要被镜像。4.根据权利要求2所述的方法，其中所述分组检测规则指定来源于指定应用的每个原始分组要被镜像。5.根据权利要求2所述的方法，其中所述分组检测规则对应于用户创建的分组检测规则，并且其中所述用户创建的分组检测规则指定满足用户指定匹配条件的每个原始分组要被镜像。6.根据权利要求2所述的方法，其中所述分组检测规则指定以下每个原始分组要被镜像，所述每个原始分组表示在处理所述分组时所述交换机遇到指定条件。7.根据权利要求1所述的方法，还包括：基于至少一个负载平衡考虑，从复用器候选的集合中选择所述复用器。8.根据权利要求1所述的方法，其中所述复用器是硬件实现的复用器。9.一个或多个用于分析从网络收集的分组的计算设备，包括：接口模块，用于从至少一个处理模块接收多个镜像分组，在原始分组满足分组检测规则集合中...

【专利技术属性】
技术研发人员：张铭，吕国晗，袁利华，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US