[发明专利]对网络通信量进行有效索引和存储的方法和装置

说明书

技术领域

本发明涉及网络连接，更具体地，涉及对网络通信量进行有效的索引和存储的系统、方法和装置。

背景技术

在对复杂网络进行的网络分析中，网络分析器将会看到大量的数据。此前，网络监控和分析中的方法是将监控装置所监控到的所有通信量都存储起来，然后筛选存储的数据以用于分析和检索的目的。为了定位和检索感兴趣的特定数据，这种方法可能需要大量的时间和处理。

发明内容

根据本发明的网络监控系统、装置和方法，按照以描述特定分组的信息来注释的包元数据类比(packet metadata analogue)的形式来分析和说明网络数据。将元数据存储在关系数据库中以提供基于描述性特征的有效查找。将元数据从物理数据中分离出来以进行有效存储。

因此，本发明的一个目的是提供一种用于对网络通信量进行有效的索引和存储的改进的网络监控系统。

本发明的另一个目的是提供一种改进的网络监控系统，该系统确定元数据并将元数据存储在数据库中，并且存储物理数据。

本发明的另一个目的是提供一种改进的网络监视器和系统，以允许通过包元数据的使用而对网络通信量进行有效的索引和存储。

在本说明书的总结部分中特别地指出并明确地声明了本发明的主题。然而，通过参考以下结合附图而做出的说明将能最充分地理解实施的结构和方法以及本发明的其他优点和目的，在附图中，相同的附图标记表示相同的要素。

附图说明

图1是具有监控系统的网络的框图；

图2是用于对网络通信量进行有效的索引和存储的监控装置的框图；以及

图3是系统的操作步骤的图。

具体实施方式

根据本发明的优选实施方式的系统包括网络监控系统、装置和方法，其中，对网络数据进行分析并提取出包特征属性。在给定的时段内，按照共同的属性值对包进行分组且将分组的属性写入数据库中，而将物理包写入文件中。

参考图1(具有根据本文公开的装置的网络的框图)，网络可以包括多个网络设备10、10’等，这些网络设备通过发送和接收网络通信量22而在网络12上通信。通信量可以通过具有不同的协议及其格式的包的形式发送，表示了来自各种应用和用户的数据。

网络分析产品14也连接到该网络，并且可以包括用户接口16，用户接口16使用户不论是在安装位置处还是在远离该分析产品网络归属的物理位置的的位置处都能够与网络分析产品相互作用以操作该分析产品并从该分析产品获得数据。

该网络分析产品包括硬件和软件、CPU、存储器、接口等，来进行操作以连接到网络并监控网络上的通信量，并且执行各种测试和测量操作、发送和接收数据等。当是远程时，该网络分析产品一般通过在与网络连接的计算机或者工作站上运行来进行操作。

该分析产品包括分析引擎18，分析引擎18接收包网络数据并与应用事务详情数据存储部24进行交互。

图2是能够实现本发明的测试装置/分析器42的框图，其中，该测试装置可以包括通过多个端口将设备连接到网络12的网络接口36、用于操作该装置的一个或多个处理器38、诸如RAM/ROM 24或永久性存储器26的存储器、显示器28、用户输入装置30(例如键盘，鼠标或者其它指点装置、触摸屏等)、包括电池或交流电源的电源32、以及将设备连接到网络或其它外部设备(存储部、其它计算机等)的其它接口34。数据处理模块40提供对所观察到的网络数据的处理，以提供对网络通信量的混合模式分析。

在操作中，网络测试装置连接到网络，并且观察网络上的传输以收集信息。在处理器38的操作下，在观察到网络通信量时，对包进行分析并确定表征所述包的包成分，把具有共同属性的包分组，并将分组的属性存储在数据库中。

参考图3(系统操作的图)，由设备接收并读取网络包50，并提取特征属性(框52)。特征属性的例子包括但不局限于：

和包相关联的应用的标识；

和包关联的流的标识(流被表征为从所建立的连接的开始到结束)；

和包关联的事务的标识符；

包开始时间

结束时间

创建时间

经历时间(time seen)

统一资源标识符id

端口信息

协议信息

客户端网络地址信息

服务器网络地址信息

服务器id

站点id