[发明专利]对网络业务进行采样

说明书

背景技术

组织继续依靠由互连装置构成的网络来交换信息和提供服务。相应地，许多计算机网络的规模与通过该网络交换的数据量一同继续增长。伴随这种增长，产生对网络安全和网络效率的增加的威胁。这些威胁可以包括恶意网络业务和不必要的或不想要的网络业务，恶意网络业务被设计为利用网络装置中的弱点来危害网络安全，不必要的或不想要的网络业务消耗资源并降低网络性能。

为了探测这样的威胁和管理网络业务流，网络通常可以利用网络业务采样来获取该网络的总体健康状况的概视。网络业务采样的一个流行方法涉及在由网络用来传递分组的交换机上安装专用分组采样软件。该软件对去往网络分组的目的地途中通过交换机的网络分组进行采样，并且将每个被采样的网络分组的一部分传输至监视设备。然而，这种对网络业务进行采样的方法具有其缺陷。例如，由网络使用的网络交换机必须能够支持分组采样软件进行采样。而且，在交换机处对分组进行采样不对加密分组或在由相同虚拟主机实现的虚拟机之间交换的业务提供可见性。

附图说明

附图图示本文描述原理的各实施例，并且是说明书的一部分。所图示的实施例仅仅是示例，而不限制权利要求范围。

图1是根据本文描述的原理的一个示例的说明性网络装置的框图。

图2A、2B和2C是根据本文描述的原理的各示例的说明性网络中的网络业务采样的框图。

图3是根据本文描述的原理的一个示例的说明性网络系统的框图。

图4A、4B和4C是根据本文描述的原理的一个示例从被采样的分组中得到的说明性采样报告分组的图。

图5是根据本文描述的原理的一个示例对网络业务进行采样的说明性方法的流程图。

图6是根据本文描述的原理的一个示例对由多个网络装置中的可加载的内核模块采样的网络业务进行说明性分析的流程图。

图7A和7B是根据本文描述的原理的示例对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的说明性方法的流程图。

图8是根据本文描述的原理的一个示例对由多个网络装置中的可加载的内核模块采样的网络业务进行分析的说明性方法的流程图。

在附图中，相同的附图标记表示类似但不必须相同的元件。

具体实施方式

本说明书描述方法、系统和计算机程序产品，该方法、系统和计算机程序产品使用网络分组的源和/或目的地中的可加载的模块来在不需要来自网络交换机的采样支持的情况下实现网络业务采样。通过在网络上发送分组和接收分组的网络装置的内核中进行网络业务采样，网络管理员能够对加密业务和另行通过基于交换机的采样不会可见的虚拟化环境中的业务获得可见性。

特别地，本说明书描述在操作系统内核中对网络业务进行采样的方法，该方法包括：将分组采样模块加载到联接至网络的基于处理器的网络装置内；利用该分组采样模块确定是否选择发给该网络装置的或从该网络装置发出的网络分组去用于采样；以及如果选择网络分组去用于采样，则通过网络将来自网络分组的数据传输至该网络装置外部的监视装置。

此外，本说明书描述对网络业务进行采样的方法，该方法包括：选择网络中多个基于处理器的装置去用于分组采样；将分组采样模块加载到用于每个被选择的网络装置的操作系统内核中；通过该网络从分组采样模块接收包含在被采样的网络分组中的数据；以及对该数据进行汇编，以确定网络的健康状况。

本说明书还描述网络装置，该网络装置包括可通信地联接至存储器的处理器。该处理器运行在该存储器上存储的操作系统内核代码，该操作系统内核代码导致该处理器执行以下操作：确定在该操作系统内核中是否选择发给该网络装置的或从该网络装置发出的网络分组去用于采样；以及如果选择网络分组去用于采样，则通过网络将来自网络分组的数据传输至该网络装置外部的监视装置。

如在本说明书和所附权利要求中使用的，词语“分组（packet）”表示为通过网络向可寻址实体的传输而经格式编排的一组数据。

如在本说明书和所附权利要求中使用的，词语“内核（kernel）”表示操作系统的控制对与运行该操作系统的处理器关联的硬件资源的访问的中心组件。

如在本说明书和所附权利要求中使用的，词语“外部”，当其描述计算机实现的机器或装置时，指由在物理上不同的处理器实现的机器或装置。例如，虚拟化主机外部的安全装置是由与用于实现该虚拟化主机的处理器物理上不同的处理器实现的。

如在本说明书和所附权利要求中使用的，词语“处理器”指能够运行代码的硬件设备。处理器可以包括多个中央处理单元。