[发明专利]一种基于主动网络技术的混合网络监控系统

说明书

本发明公开了一种基于主动网络技术的混合网络监控系统，设有主动节点主机，代理主机，镜像主机，主动节点主机是主动网络中参与监控的节点主机或者是传统网络中具有主动节点能力的节点主机；主动节点主机的主动应用由扩展引擎、采集引擎、拦截引擎、追溯引擎和管理引擎5个主动应用构成，利用了主动网络中间节点的计算能力，提出了一个基于主动网络的混合网络监控系统，在监控兼容传统监控系统的基础上，克服了传统网络监控系统的缺陷，同时又扩展了传统网络监控系统的功能，成本较低，便于推广使用。

技术领域

本发明涉及互联网技术领域，特别涉及一种基于主动网络技术的混合网络监控系统。

背景技术

传统网络监控系统一般都采用Manager/Agent模型，Manager为中心管理设备；Agent为监控代理设备；其典型的体系结构如图1所示，在这种结构中国，Agent通常是多个，并且分布在不用的监测点上，Manager通常是一个，位于集中的管理中心。Agent负责采集监测点上的数据报文，并根据规则把特定的数据报文转发给Manager，Manager往往采用分层的结构，包括信息采集层、信息提取层和信息挖掘层，信息采集层采集各个Agent发送过来的数据报文，并对信息进行必要的格式化处理，然后提交给信息提取层。信息提取层对信息采集层的信息进行关联处理，从中提取相关的信息，提交给信息挖掘等。信息挖掘层采用一定的方法(如数据挖掘、人工智能等)对信息提取层的信息进行挖掘，从而得到有用的信息，并采取相应的措施。

传统的网络监控系统具有一些缺陷，包括：

1、必须从大量的数据报文中提取有用的信息：传统网络监控系统采用的是Manager/Agent模型，对信息处理的主要功能都集中在Manager端。考虑到性能，Agent端功能往往比较单一，一般只负责数据报文的采集。这使得Manager端会收到大量的也许是无用的信息，从而降低对有用信息的提取。

2、发现可疑行为只能采取有限的主动行为：传统网络监控系统发现可疑的行为甚至入侵行为时，往往只能采取被动的行为或者有限的主动行为。被动的行为包括通知系统管理员，发出告警信息等。有限的主动行为包括停止客体的某些服务、设置防火墙的规则以过滤某些主体的数据报文等。这两种行为都不能对可疑主体采取全面主动的措施。

3、不能很好地定位网络行为的主体：互联网的应用越来越广，网上攻击行为越来越多，攻击手段越来越高明。很多攻击者通过伪造IP源地址的方法，来逃避对攻击行为的追踪。这就使得传统网络监控系统纯粹根据采集的数据报文无法很好地定位网络行为的主体即发起攻击方。

4、不能很好地扩展处理未知协议的数据报文，随着网络的不断发展，网络传输层协议越来越多。随着网络应用的不断深入，网络应用层协议也越来越多。监控系统如果不能很好地理解这些未知协议，就不能很好地处理相应的协议报文。传统网络监控系统，只能通过不断地升级Agent来适应新协议的数据报文。

发明内容

针对上述背景内容中提出的实质性缺陷和不足，本发明提供一种基于主动网络技术的混合网络监控系统，主动节点不仅有传递数据报文的能力，同时还有对数据报文的计算处理能力，可以解决背景技术中所指出的问题。

一种基于主动网络技术的混合网络监控系统，设有主动节点主机，代理主机，镜像主机，在3类主机中，主动节点主机、代理主机归属于Agent监控代理设备；镜像主机归属于Manager中心管理设备；主动节点主机是主动网络中参与监控的节点主机，或者是传统网络中具有主动节点能力的节点主机；主动节点主机的主动应用由扩展引擎、采集引擎、拦截引擎、追溯引擎和管理引擎5个主动应用构成，其中：

扩展引擎：扩展引擎是主动节点中执行环境的扩展，为上层其他引擎提供最基本的功能，包括对执行环境的功能调用、报文的向上传送、选择相应的处理引擎、通过主动代码更新来支持对未知协议数据报文的处理；