[go: up one dir, main page]

DE69422436T2 - Netzanalysenverfahren - Google Patents

Netzanalysenverfahren

Info

Publication number
DE69422436T2
DE69422436T2 DE69422436T DE69422436T DE69422436T2 DE 69422436 T2 DE69422436 T2 DE 69422436T2 DE 69422436 T DE69422436 T DE 69422436T DE 69422436 T DE69422436 T DE 69422436T DE 69422436 T2 DE69422436 T2 DE 69422436T2
Authority
DE
Germany
Prior art keywords
network
entity
entities
nodes
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69422436T
Other languages
English (en)
Other versions
DE69422436D1 (de
Inventor
Colin Low
Neil Mckee
Peter Phaal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agilent Technologies Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Application granted granted Critical
Publication of DE69422436D1 publication Critical patent/DE69422436D1/de
Publication of DE69422436T2 publication Critical patent/DE69422436T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Description

  • Die vorliegende Erfindung bezieht sich auf ein Netzanalyseverfahren zur auf ein Netz, das eine Mehrzahl von Knoten aufweist, die als eine Quelle und/oder als eine Senke für Verkehr wirksam sind, bezogenen Verwendung.
  • Ein Netzanalyseverfahren ist in dem IBM TECHNICAL DISCLOSURE BULLETIN, Vol. 23, No. 9, Februar 1981, NEW YORK, US, Seiten 4282-4288, ANONYM: 'Communications Statistical Network Analysis Program', offenbart, das Netzprobleme identifiziert, indem die derzeitige Leistung mit einer Leistung zu einem ausgewählten Zeitpunkt in der Vergangenheit verglichen wird, bei dem die Leistung als gut bekannt war, und die in einer Datenbank von statistischen Daten des Kommunikationsnetzes gespeichert ist.
  • Sowie Netzüberwachungssysteme entwickelter und umfassender werden, besitzt der Netzbetreiber ein zunehmendes Problem des Identifizierens von wesentlichen Daten unter den Netzleistungsdatenvolumina, die durch ein derartiges Überwachungssystem geliefert werden.
  • Es ist eine Aufgabe der vorliegenden Erfindung, die Identifikation von wesentlichen Datengegenständen, die für die Verwaltung eines Netzes relevant sind, zu erleichtern.
  • Gemäß einem Aspekt der vorliegenden Erfindung ist ein Netzanalyseverfahren zur auf ein Netz, das eine Mehrzahl von Entitäten mit jeweils einem zugeordneten Verkehr aufweist, bezogenen Verwendung vorgesehen, wobei das Verfahren eine Analyseaufgabe betrifft, die die Schritte des Überwachens des Netzes, um Daten bezüglich des Entitätsverkehrs für eine Zeitdauer eines Netzbetriebs zu sammeln, des Analysierens dieser Daten bezüglich einer Entitätsbetriebscharakteristik, mit der die Entitäten in eine Rangfolge geordnet werden können, des Bildens eines Endsatzes aus mindestens einer Entität an einem Ende der Rangfolge, und des Speicherns der Identität der oder jeder Entität, die diesen Endsatz bilden, aufweist; wobei das Verfahren folgende Schritte aufweist:
  • (1) Ausführen der Analyseaufgabe für eine Folge von N Zeitdauern, wobei N eine Ganzzahl ist, die größer als 1 ist, um dadurch eine erweiterte historische Aufzeichnung von Entitäten in den Endsätzen für die N Zeitdauern zu bilden; und
  • (2) Ausführen der Analyseaufgabe für eine weitere Zeitdauer und dadurch Vergleichen der neu erzeugten Entitäten in dem Endsatz mit den Entitäten in der erweiterten historischen Aufzeichnung, um dadurch jede Entität, hier eine sich unüblich verhaltende Entität, zu identifizieren, die sich in dem neu erzeugten Endsatz jedoch nicht ebenfalls in der Aufzeichnung befindet.
  • Die betrachteten Netzentitäten werden üblicherweise die Netzknoten sein; die Entitäten können jedoch ferner Knotenpaarungen, logische Segmente, Segmentpaarungen, äußere Ziele oder jede beliebige andere geeignete Klassifikation von Betriebsmitteln sein, die dem Netz zugeordnet sind.
  • Die Analyseaufgabe kann beispielsweise das Überwachen des Netzverkehrs für eine Stunde betreffen, wobei dies in dem Schritt (1) täglich für 14 Tage (N = 14) wiederholt wird, um die erweiterte historische Aufzeichnung abzuleiten. Diese Aufzeichnung schließt effektiv das normale Verhalten des Netzes ein. Wenn beim Wiederlaufenlassen der Analyseaufgabe (Schritt 2) eine neue Entität in dem Rangfolgeendsatz erscheint, dann kann sinnvoll angenommen werden, daß ein bestimmtes unübliches Netzverhalten stattgefunden hat; die Identität der sich unüblich verhaltenden Entität kann dann in die Aufmerksamkeit des Netzbetreibers gebracht werden.
  • Vorteilhafterweise wird das Verfahren der Erfindung auf einer durchgehenden Basis ausgeführt, wobei der Schritt (2) beispielsweise täglich ausgeführt wird. Natürlich sind Netze allgemein bezüglich der Natur dynamisch, wobei die normalen Verhaltensstrukturen derselben sich mit der Zeit ändern; es ist daher vorzuziehen, daß die erweiterte historische Aufzeichnung auf einer durchgehenden Basis aktualisiert wird. Folglich umfaßt gemäß einer bevorzugten Implementation der Erfindung der Schritt (2) des Netzanalyseverfahrens ferner nach der Identifikation einer beliebigen der sich unüblich verhaltenden Entitäten das Aktualisieren der erweiterten historischen Aufzeichnung durch Ersetzen der Entitäten, die aufgrund ihrer Anwesenheit in dem Endsatz anwesend sind, der für die älteste der N Zeitdauern relevant ist, die durch die Aufzeichnung abgedeckt werden, wobei die Entitäten des Endsatzes in dem Schritt (2) neu erzeugt werden; der Schritt (2) wird für folgende der Zeitdauern wiederholt, wodurch die sich unüblich verhaltenden Entitäten auf einer durchgehenden Basis identifiziert werden sollen.
  • Vorteilhafterweise verwendet das Netzanalyseverfahren mehr als ein Maß, um nach sich unüblich verhaltenden Entitäten Ausschau zu halten. Bei diesem Fall ist die Analyseaufgabe wirksam, die Verkehrsdaten bezüglich einer Mehrzahl von unterschiedlichen der Betriebscharakteristika zu analysieren, und eine jeweilige erweiterte historische Aufzeichnung wird hinsichtlich jeder der Betriebscharakteristika gehalten, wodurch es erlaubt werden soll, daß eine sich unüblich verhaltende Entität bezüglich einer beliebigen der Betriebscharakteristika identifiziert wird.
  • Dort wo die betrachteten Entitäten Netzknoten sind, ist der Endsatz, der durch die Analyseaufgabe gebildet wird, vorteilhafterweise einer der folgenden:
  • - obere Quellknoten für den Verkehr;
  • - obere Zielknoten für den Verkehr;
  • - obere Serverknoten;
  • - obere Clientknoten;
  • - obere Quellknoten für Sendungen;
  • - obere Quellknoten für Multicasts (Multiformen).
  • Ein Netzanalyseverfahren gemäß der Erfindung wird nun mittels eines nicht begrenzenden Beispiels unter Bezugnahme auf die beigefügten schematischen Zeichnungen beschrieben, in denen:
  • Fig. 1 ein Gesamtdiagramm eines Netzes ist, mit dem eine Verarbeitungsstation und eine Anzahl von Überwachungsvorrichtungen verbunden sind, um ein Netzüberwachungssystem zum Sammeln von Verkehrsdaten zur Analyse gemäß dem Verfahren der Erfindung zu bilden;
  • Fig. 2 ein Diagramm ist, das die allgemeine Form eines Datenpakets darstellt, das über das Netz von Fig. 1 übertragen wird;
  • Fig. 3 ein Diagramm ist, das bestimmte der Datenstrukturen darstellt, die durch die Verarbeitungsstation von Fig. 1 beim Verarbeiten der Daten von den abtastenden Überwachungsvorrichtungen verwendet werden;
  • Fig. 4 eine Beispielverkehrsmatrix für das Netz von Fig. 1 zeigt;
  • Fig. 5 ein Diagramm ist, das eine Sammlung von "oberen fünf Quell-"Datenstrukturen darstellt, die eine erweiterte historische Aufzeichnung bilden; und
  • Fig. 6 ein Flußdiagramm einer Routine zum Implementieren der Netzanalyseaufgabe der Erfindung ist.
  • Fig. 1 stellt ein typisches Lokalbereichsnetz dar, bei dem eine Mehrzahl von Stationen 11, 12 und 13 über Kabelsegmente 10A, 10B und 10C verbunden sind. Das Netz ist in drei logische Segmente (Ebene-2-Teilnetze) durch Brücken (Überspannvorrichtungen) 14 geteilt, die jeweilige der Kabelsegmente 10B, 10C mit dem Kabelsegment 10A verbinden. Wie es in der Technik gut bekannt ist, dienen die Brücken dazu, um Verkehr zu filtern, der zwischen den Netzsegmenten läuft, derart, daß Nachrichten, die von einem speziellen Segment ausgehen und für eine Station in demselben Segment (lokaler Verkehr) bestimmt sind, nicht durch die Brücke oder die Brücken 14 zu den anderen Segmenten geleitet werden, wohingegen Nachrichten, die von einem Segment ausgehen und für ein anderes (nicht lokaler Verkehr) bestimmt sind, über die Brücke gelassen werden. Die Stationen 11, 12, 13 bilden zusammen mit den Brücken 14 die Knoten des Netzes.
  • Bei dem dargestellten Lokalbereichsnetz werden Nachrichten zwischen den Stationen 11, 12 und 13 in der Form von Paketen (ebenfalls Rahmen genannt) übertragen, die über das Netz gesendet werden. Typischerweise wird ein Paket die Form aufweisen, die in Fig. 2 dargestellt ist, wobei ein Paketanfangsblock 15 eine Quelladresse (die Adresse der Station, die das Paket sendet) und eine Zieladresse (die Adresse der Station, die das Paket empfangen soll) enthält, und ein Informationsfeld 16 die Daten enthält, die zu der Empfangsstation geleitet werden sollen und normalerweise Fehlerprüfcodes umfassen. Abhängig von dem speziellen Paketformat, das verwendet wird, können ferner andere Felder anwesend sein; beispielsweise kann folglich ein CRC- (Cyclic Redundancy Check = zyklische Blocksicherung) Feld, das sowohl den Paketanfangsblock als auch das Informationsfeld abdeckt, anwesend sein.
  • Das Netz von Fig. 1 kann beispielsweise ein Ethernet-Netz sein, das Fachleuten gut bekannt ist.
  • Das Netz von Fig. 1 ist angeordnet, um durch ein Netzüber wachungssystem überwacht zu werden, das eine Mehrzahl von Überwachungsvorrichtungen (Stationen 12) und eine Zentralverarbeitungsstation 13 aufweist. Jede der Überwachungsvorrichtungen ist einem jeweiligen der Teilnetze des Netzes zugeordnet. Jede Überwachungsvorrichtung ist wirksam, um die Pakete in dem zugeordneten Teilnetz desselben zufällig abzutasten und Daten in den abgetasteten Paketen zurück zu der Verarbeitungsstation 13 in gesammelten Datenpaketen zu übertragen. Diese Daten umfassen mindestens die Quell- und Ziel-Knotenadressen der abgetasteten Pakete. Ein geeignetes Abtastüberwachungssystem ist in unserer europäischen Patentbeschreibung EP-A-0480555 beschrieben. Wie es im folgenden offensichtlich wird, ist die Natur des Überwachungssystems (und insbesondere, ob dasselbe ein Abtastsystem ist, oder ob dasselbe kein Abtastsystem ist) nicht für die vorliegende Erfindung wichtig, vorausgesetzt, daß das System adäquate Daten in dem Verkehr quer über das Netz sammeln kann.
  • Beim Empfangen von gesammelten Datenpaketen, die durch die Überwachungsvorrichtungen 12 über das Netz ausgesendet werden, speichert die Verarbeitungsstation 13 diese Pakete und führt ein anschließendes Verarbeiten und Analysieren durch.
  • Die Verarbeitungsstation 13 besteht beispielsweise aus einer Standardworkstation, die mit dem Netz durch eine geeignete Netzschnittstelle (nicht gezeigt) schnittstellenmäßig verbunden ist. Eine derartige Workstation (Arbeitsstation) wird auf eine standardmäßige Art und Weise mit einem RAM-Speicher für das Speichern von Arbeitsdaten und Programmsegmenten, einem ROM-Speicher für das dauerhafte Speichern von Programmen, einem Prozessor zum Verarbeiten von Daten, die in dem RAM-Speicher gemäß den Programmen gehalten werden, und verschiedene Eingangs/Ausgangs-Vorrichtungen versehen; keines dieser Elemente ist hierin dargestellt oder beschrieben, da dieselben alle standardmäßig sind und Fachleuten gut bekannt sind.
  • Die Verarbeitungsstation 13 hält eine Liste von Netzsegmen ten und Knoten und ist auf eine bekannte Art und Weise wirksam, um eine Verkehrsmatrix für das Netz zu erzeugen. Fig. 3 stellt die Hauptdatenstrukturen dar, die für diesen Zweck durch die Verarbeitungsstation 13 gehalten werden, insbesondere die:
    • Teil-Netzliste 51
  • - Dies ist eine Liste von allen bekannten Teilnetzen (logischen Segmenten) des Netzes, wobei jedes Teilnetz einen jeweiligen Eintrag aufweist, der ein Feld aufweist, das die Teilnetzidentität SN-ID, einen ersten Zeiger (TM-ZEIGER) und einen zweiten Zeiger N-ZEIGER speichert;
    • Knotenstationsliste
  • - Diese Liste ist eine Liste von allen bekannten Knoten des Netzes, wobei jeder Knoten einen jeweiligen Eintrag aufweist, der ein Feld aufweist, das die Knotenidentität N-ID, und einen Zeiger NÄCHSTER-N-ZEIGER speichert. Der erste Knoten, der einem beliebigen speziellen Teilnetz zugeordnet ist, ist diesem Teilnetz zugeordnet, indem der N-ZEIGER des entsprechenden Teilnetzeintrages in der Teilnetzliste 51 eingestellt wird, um zu dem geeigneten Knoteneintrag in der Knotenliste 52 zu zeigen. Die Zuordnung von weiteren Knoten zu dem gleichen Teilnetz wird unter Verwendung des NÄCHSTER-N-ZEIGER des letzten vorhergehenden Knoten, der dem Teilnetz zugeordnet ist, erreicht, um auf den Eintrag des nächsten Knotens, der dem Teilnetz zugeordnet werden soll, zu zeigen, wodurch eine verbundene Liste von Knoten aufgebaut wird.
    • Netzverkehrsmatrix 53
  • - Dies ist ein Array, das gebildet ist, um die Verkehrsmatrixdaten für das Netz zu halten. Fig. 4 stellt eine typische Verkehrsmatrix dar, die für jedes Quellknoten/Zielknoten-Paar die Anzahl der Pakete angibt, die durch das Netz in einem gegebenen Zeitintervall (die unterschiedlichen Knoten 11 sind hier mit 11A, 11B, 11C .... 11N bezeichnet) getragen werden. Teilverkehrsmatrizen können ebenfalls für je des Teilnetz gebildet werden, und bei diesem Fall können geeignete Zeiger TM-ZEIGER in der Teilnetzliste 51 gehalten werden.
  • Die Verkehrsdaten, die durch die Verarbeitungsstation 13 gesammelt und verarbeitet werden, können verwendet werden, um die verschiedenen Betriebsmittel oder Betriebsmittelgruppierungen, die dem Netz zugeordnet sind, rangmäßig zu ordnen. Beispielsweise können folglich die Knoten des Netzes durch die Verkehrsmenge, für die sie die Quelle sind, oder die Verkehrsmenge, die dieselben empfangen, rangmäßig geordnet werden. Auf eine ähnliche Art und Weise können die logischen Segmente des Netzes hinsichtlich der Informationsmenge, für die dieselben eine Quelle sind oder die dieselben empfangen, rangmäßig geordnet werden. Wiederum können Knotenpaare oder Segmentpaare gemäß der Verkehrsmenge, für die dieselben eine Quelle sind oder dieselben empfangen, rangmäßig geordnet werden. Bei dem vorliegenden Beispiel wird das rangmäßige Ordnen der Knoten durch die Verkehrsmenge, für die dieselben eine Quelle sind, betrachtet, obwohl andere Rangfolgen gleichermaßen gut verwendet werden könnten.
  • Tatsächlich ist man lediglich allgemein an den Knoten interessiert, die an einem oder einem anderen Ende einer derartigen Rangfolge erscheinen, d. h. beispielsweise entweder die obersten fünf oder die letzten fünf Knoten in einer Rangfolge von Knoten durch den Verkehr, für den dieselben eine Quelle sind. Es ist offensichtlich, daß es bei gegebener Netzverkehrsmatrix 53 relativ einfach ist durch die Matrix zu gehen, um beispielsweise die oberen fünf Quellen zu identifizieren, und die Identität derartiger Knoten in einer geeigneten Endsatzdatenstruktur 55, wie in Fig. 5 dargestellt, aufzuzeichnen. Das Netzanalyseverfahren der vorliegenden Erfindung verwendet Rangfolgeendsatzinformationen, um erweiterte historische Aufzeichnungen zu bilden, die dazu dienen, ein normales Netzverhalten zu liefern, demgegenüber ein aktuelles Verhalten beurteilt werden kann. Insbesondere und unter Bezugnahme auf Fig. 6 werden bei einem bevorzugten Ausführungsbeispiel der Erfindung Verkehrsdaten täglich bezüglich der Leistung des Netzes gesammelt, und dieselben werden verwendet, um eine Netzverkehrsmatrix (Schritt 60) zu erzeugen. Danach wird die Verkehrsmatrix untersucht, um die obersten fünf Quellknoten (Schritt 61) zu identifizieren, und die Identität dieser Knoten wird in eine Endsatzdatenstruktur 55 (Schritt 62) eingegeben.
  • Eine Aufzeichnung von N vorher erzeugten Endsatzdatenstrukturen 55 wird durch die Verarbeitungsstation 13 gehalten, wobei diese N Endsätze eine historische Aufzeichnung 56 für die Netzbetriebscharakteristik bilden, die dem Rangfolgeschritt 61 unterworfen ist. Bei einem Schritt 63 der Routine werden die Identitäten der Knoten in der zuletzt erzeugten Endsatzdatenstruktur 55 mit den Identitäten der Knoten verglichen, die in den Datenstrukturen 55 gehalten werden, die die erweiterte historische Aufzeichnung 56 bilden. Wenn die neu erzeugte Endsatzdatenstruktur 55 einen oder mehrere Knoten enthält, die sich nicht in der historischen Aufzeichnung befinden, dann wird die Identität dieser Knoten zur Betrachtung durch den Netzbetreiber ausgegeben (Schritt 64), wobei derartige Knoten als "sich unüblich verhaltende" Knoten klassifiziert werden, da dieselben in letzter Zeit in dem betrachteten Endsatz nicht erschienen sind.
  • Ein Schritt 65 der Routine der Fig. 6 betrifft das Aktualisieren der erweiterten historischen Aufzeichnung durch Entfernen der ältesten Endsatzdatenstruktur 55 (Teilschritt 67) und Ersetzen derselben durch eine neu erzeugte Ersatzdatenstruktur (Teilschritt 68); auf diese Art und Weise paßt sich die erweiterte historische Aufzeichnung an das sich ändernde Verhalten des Netzes an.
  • Natürlich sollte, bis N Endsatzdatenstrukturen 55 in der erweiterten historischen Aufzeichnung plaziert wurden, der älteste Endsatz nicht gelöscht werden, und dies wird durch den Test erledigt, der in dem Teilschritt 66 ausgeführt wird.
  • Es wird offensichtlich sein, daß durch tägliches Laufenlassen der Routine in Fig. 6 dem Betreiber jegliche sich unüblich verhaltende Knoten mitgeteilt werden, während zum gleichen Zeitpunkt die erweiterte historische Aufzeichnung durchgehend aktualisiert wird. Die Routine von Fig. 6 ist vorzugsweise angeordnet, um automatisch auf einer täglichen Basis ausgeführt zu werden. Der Wert von N ist beispielsweise 14.
  • Es ist offensichtlich, daß das Verfahren der Erfindung auf mehrere unterschiedliche Rangfolgen angewendet werden kann, die aus den gleichen Verkehrsdaten (beispielsweise zu oberen Quellen und zu oberen Zielen) abgeleitet werden. Außerdem müssen diese Rangfolgen nicht auf den gleichen Typ eines Netzbetriebsmittels oder einer Betriebsmittelgruppierung angewendet werden. Folglich können die Rangfolgen bezüglich der oberen Quellknoten und der oberen Segmentpaarungen (hinsichtlich des Verkehrsvolumens) angewendet werden. Außerdem kann ferner eine Rangfolge auf dem oberen Ende der äußeren Ziele hergestellt werden, da jede beliebige Variation in den oberen Zielen unübliche äußere Kommunikationen anzeigen kann, die eine mögliche Sicherheitslücke vorschlagen.
  • Im Vorhergehenden wurde die Rangfolge einfach mit Verkehrsmessungen durchgeführt, die auf der Basis der Anzahl der übertragenen Pakete hergestellt werden; für bestimmte Rangfolgen kann ein sogar noch einfacheres Maß darin bestehen, für den interessierenden Knoten (oder andere Netzbetriebsmittel oder Gruppierungen von den Betriebsmitteln) die Anzahl der Mitglieder oder Ebenbürtigen desselben zu zählen, die Verkehr von demselben empfangen oder Verkehr zu demselben senden. Es ist jedoch auch für Fachleute offensichtlich, daß entwickeltere Verkehrsmessungen ferner verwendet werden können (beispielsweise die Anzahl der übertragenen Bytes), vorausgesetzt, daß das Überwachungssystem geeignet angepaßt ist, um die erforderlichen Daten zu sammeln. Außerdem kann durch Untersuchungen der Inhalte des Informationsfeldes eines Paketes entwickeltere Information erhalten werden. Es kann beispielsweise folglich möglich sein, aus derartigen Informationen abzuleiten, ob der Quellknoten als ein Server oder als ein Client wirkt, und diese Klassifikation kann dann als ein Rangfolgekriterium (d. h. beispielsweise obere Server) verwendet werden. Ein Knoten kann auf diese Art und Weise als ein Server klassifiziert werden, wenn derselbe beispielsweise gemäß dem TCP/IP-Protokollsatz betrieben wird, wenn das Quelltor desselben ein "gut bekanntes Tor" ist. Andere mögliche Rangfolgekriterien umfassen obere Knoten als Quelle für Sendungen und als Quelle für Multicasts.
  • Wie bereits gezeigt, kann das beschriebene Netzanalyseverfahren auf Netzentitäten, die Gruppierungen von Betriebsmitteln aufweisen, sowie einzelne Betriebsmittel, wie z. B. Knoten, angewendet werden. Derartige Gruppierungen können Teilnetze, oder Paarungen von Knoten oder Teilnetzen umfassen. Mit "Teilnetz" sind nicht nur die Unterteilungen eines Netzes gemeint, die durch Brücken auf der Ebene 2 des Sieben-Schicht-OSI-Bezugsmodells durchgeführt werden, sondern ferner jede beliebige andere Unterteilung eines Netzes durch Überspannvorrichtungen (beispielsweise eine Unterteilung auf der Ebene 3, die durch Leitvorrichtungen (Router)bewirkt wird).
  • Es ist offensichtlich, daß der Wert von N, die Sammelzeitdauer und die Überwachungswiederholrate ausgehend von dem, was beschrieben ist, variiert werden können.

Claims (11)

1. Ein Netzanalyseverfahren zur Verwendung in einem Netz, das eine Mehrzahl von Entitäten aufweist, von denen jede einen zugeordneten Verkehr aufweist, wobei das Verfahren eine Analyseaufgabe betrifft, die die Schritte des Überwachens des Netzes, um Daten bezüglich des Entitätsverkehrs für eine Zeitdauer des Netzbetriebs zu sammeln, des Analysierens dieser Daten hinsichtlich einer Entitätsbetriebscharakteristik, mit der die Entitäten in eine Rangfolge geordnet werden können, des Bildens eines Endsatzes von mindestens einer Entität an einem Ende der Rangfolge und des Speicherns der Identität der oder jeder Entität, die den Endsatz bildet, aufweist; wobei das Verfahren folgende Schritte aufweist:
(1) Ausführen der Analyseaufgabe für eine Folge von N Zeitdauern, wobei N eine Ganzzahl ist, die größer als Eins ist, um dadurch eine erweiterte historische Aufzeichnung von Entitäten in den Endsätzen für die N Zeitdauern zu bilden; und
(2) Ausführen der Analyseaufgabe für eine weitere Zeitdauer und dadurch Vergleichen der Entitäten in dem neu erzeugten Endsatz mit den Entitäten in der erweiterten historischen Aufzeichnung, um dadurch eine beliebige Entität, hier eine sich unüblich verhaltende Entität, zu identifizieren, die sich in dem neu erzeugten Endsatz jedoch nicht auch in der Aufzeichnung befindet.
2. Ein Verfahren gemäß Anspruch 1, bei dem der Schritt (2) nach der Identifikation einer beliebigen der sich unüblich verhaltenden Entitäten ferner das Aktualisieren der erweiterten historischen Aufzeichnung durch Ersetzen der Entitäten, die sich in demselben aufgrund ihrer Anwesenheit in dem Endsatz befinden, der für die älteste der N Zeitdauern relevant ist, die durch die Aufzeichnung abgedeckt werden, durch die Entitäten des Endsatzes, die in dem Schritt (2) neu erzeugt wurden; wobei der Schritt (2) für folgende Zeitdauern wiederholt wird, wodurch die sich unüblich verhaltenden Entitäten auf einer durchgehenden Basis identifiziert werden.
3. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem die Analyseaufgabe die Verkehrsdaten hinsichtlich einer Mehrzahl von unterschiedlichen Betriebscharakteristika analysiert; wobei der Schritt (1) wirksam ist, um eine jeweilige erweiterte historische Aufzeichnung hinsichtlich jeder Betriebscharakteristik zu halten, und wobei der Schritt (2) eine Entität als eine sich unüblich verhaltende Entität identifiziert, die als solche in Bezug auf mindestens eine Betriebscharakteristik identifiziert ist.
4. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem jede der Entitäten ein Knoten des Netzes ist.
5. Ein Verfahren gemäß Anspruch 4, bei dem der Endsatz, der durch die Analyseaufgabe gebildet wird, einer der folgenden ist:
- obere Quellknoten für Verkehr;
- obere Zielknoten für Verkehr;
- obere Serverknoten;
- obere Clientknoten;
- obere Quellknoten für Sendungen;
- obere Quellknoten für Multicasts.
6. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem jede Entität eine Paarung von Knoten des Netzes ist.
7. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem jede Entität ein Teilnetz des Netzes ist.
8. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem jede Entität eine Paarung von Teilnetzen des Netzes ist.
9. Ein Verfahren gemäß Anspruch 7 oder Anspruch 8, bei dem jedes der Teilnetze ein logisches Segment des Netzes ist.
10. Ein Verfahren gemäß Anspruch 1 oder Anspruch 2, bei dem jede Entität ein Ziel ist, das außerhalb des Netzes liegt.
11. Ein Verfahren gemäß einem beliebigen der Ansprüche 6 bis 10, bei dem der Endsatz, der durch die Analyseaufgabe gebildet wird, die oberen Kommunikationsentitäten darstellt.
DE69422436T 1993-02-22 1994-02-16 Netzanalysenverfahren Expired - Fee Related DE69422436T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB939303527A GB9303527D0 (en) 1993-02-22 1993-02-22 Network analysis method

Publications (2)

Publication Number Publication Date
DE69422436D1 DE69422436D1 (de) 2000-02-10
DE69422436T2 true DE69422436T2 (de) 2000-10-12

Family

ID=10730831

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69422436T Expired - Fee Related DE69422436T2 (de) 1993-02-22 1994-02-16 Netzanalysenverfahren

Country Status (5)

Country Link
US (1) US5539659A (de)
EP (1) EP0613270B1 (de)
JP (1) JP3510658B2 (de)
DE (1) DE69422436T2 (de)
GB (1) GB9303527D0 (de)

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0870290A (ja) * 1994-08-29 1996-03-12 Fujitsu Ltd 伝送装置の障害監視装置
US5636345A (en) * 1995-03-30 1997-06-03 Bay Networks, Inc. Method and apparatus for detecting and preventing broadcast storms on an emulated local area network
GB9510934D0 (en) * 1995-05-31 1995-07-26 3Com Ireland Storm protection mechanism
EP0830611A4 (de) * 1995-06-02 2007-05-09 Cisco Systems Inc Telekontrolle von computerprogrammen
US5781449A (en) 1995-08-10 1998-07-14 Advanced System Technologies, Inc. Response time measurement apparatus and method
DE19536475C2 (de) * 1995-09-29 1998-05-28 Siemens Ag Verfahren zur Erkennung eines Path-Trace und eines Section-Trace in SDH-Signalfolgen
US5819045A (en) * 1995-12-29 1998-10-06 Intel Corporation Method for determining a networking capability index for each of a plurality of networked computers and load balancing the computer network using the networking capability indices
WO1997027685A2 (en) 1996-01-29 1997-07-31 Lecroy Corporation Packet network monitoring device
US6112238A (en) * 1997-02-14 2000-08-29 Webtrends Corporation System and method for analyzing remote traffic data in a distributed computing environment
AU1421799A (en) * 1997-11-25 1999-06-15 Packeteer, Inc. Method for automatically classifying traffic in a packet communications network
US6148335A (en) * 1997-11-25 2000-11-14 International Business Machines Corporation Performance/capacity management framework over many servers
US6591299B2 (en) * 1997-11-25 2003-07-08 Packeteer, Inc. Method for automatically classifying traffic with enhanced hierarchy in a packet communications network
US6263458B1 (en) * 1997-12-31 2001-07-17 Alcatel Usa Sourcing, L.P. Regulated push method of data collection
US6108800A (en) * 1998-02-10 2000-08-22 Hewlett-Packard Company Method and apparatus for analyzing the performance of an information system
US6067539A (en) * 1998-03-02 2000-05-23 Vigil, Inc. Intelligent information retrieval system
GB2337903B (en) * 1998-05-28 2000-06-07 3Com Corp Methods and apparatus for collecting storing processing and using network traffic data
US6477571B1 (en) 1998-08-11 2002-11-05 Computer Associates Think, Inc. Transaction recognition and prediction using regular expressions
US6243832B1 (en) 1998-08-12 2001-06-05 Bell Atlantic Network Services, Inc. Network access server testing system and methodology
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
WO2000034867A1 (en) 1998-12-09 2000-06-15 Network Ice Corporation A method and apparatus for providing network and computer system security
US6367033B1 (en) 1998-12-11 2002-04-02 Lsi Logic Corporation Method and apparatus for recreating fiber channel traffic
US6829223B1 (en) 1998-12-31 2004-12-07 Vigilant Networks Llc Computer network physical-layer analysis method and system
US6675209B1 (en) * 1999-07-19 2004-01-06 Hewlett-Packard Development Company, L.P. Method and system for assigning priority among network segments
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US7263558B1 (en) 1999-09-15 2007-08-28 Narus, Inc. Method and apparatus for providing additional information in response to an application server request
US8006243B2 (en) 1999-12-07 2011-08-23 International Business Machines Corporation Method and apparatus for remote installation of network drivers and software
US6725263B1 (en) * 2000-03-21 2004-04-20 Level 3 Communications, Inc. Systems and methods for analyzing network traffic
AU2001257400A1 (en) * 2000-04-28 2001-11-12 Internet Security Systems, Inc. System and method for managing security events on a network
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
US7162649B1 (en) 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US6871233B1 (en) * 2000-07-05 2005-03-22 Lucent Technologies Inc. Method and apparatus for use in specifying and insuring service-level quality of service in computer networks
WO2002019077A2 (en) 2000-09-01 2002-03-07 Sri International, Inc. Probabilistic alert correlation
US7178166B1 (en) 2000-09-19 2007-02-13 Internet Security Systems, Inc. Vulnerability assessment and authentication of a computer by a local scanner
US9027121B2 (en) * 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7146305B2 (en) 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US7130466B2 (en) 2000-12-21 2006-10-31 Cobion Ag System and method for compiling images from a database and comparing the compiled images with known images
WO2002061544A2 (en) 2001-01-31 2002-08-08 Internet Security Systems, Inc. Method and system for configuring and scheduling security audits of a computer network
US7193968B1 (en) * 2001-02-08 2007-03-20 Cisco Technology, Inc. Sample netflow for network traffic data collection
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
EP1280298A1 (de) * 2001-07-26 2003-01-29 BRITISH TELECOMMUNICATIONS public limited company Verfahren und Vorrichtung zum Detektieren von Netzwerkaktivitäten
US7379993B2 (en) * 2001-09-13 2008-05-27 Sri International Prioritizing Bayes network alerts
US7633942B2 (en) * 2001-10-15 2009-12-15 Avaya Inc. Network traffic generation and monitoring systems and methods for their use in testing frameworks for determining suitability of a network for target applications
US8868715B2 (en) * 2001-10-15 2014-10-21 Volli Polymer Gmbh Llc Report generation and visualization systems and methods and their use in testing frameworks for determining suitability of a network for target applications
US8543681B2 (en) * 2001-10-15 2013-09-24 Volli Polymer Gmbh Llc Network topology discovery systems and methods
US7002960B1 (en) 2001-10-30 2006-02-21 At&T Corp. Traffic matrix computation for packet networks
US7743139B1 (en) 2001-10-30 2010-06-22 At&T Intellectual Property Ii, L.P. Method of provisioning a packet network for handling incoming traffic demands
AU2003202876A1 (en) 2002-01-04 2003-07-24 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
US7027396B1 (en) * 2002-02-13 2006-04-11 At&T Corp. Traffic matrix computation for a backbone network supporting virtual private networks
US7590855B2 (en) * 2002-04-30 2009-09-15 Tippingpoint Technologies, Inc. Steganographically authenticated packet traffic
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US8788650B1 (en) 2002-07-19 2014-07-22 Fortinet, Inc. Hardware based detection devices for detecting network traffic content and methods of using the same
AU2003251371A1 (en) * 2002-08-07 2004-02-25 British Telecommunications Public Limited Company Server for sending electronics messages
US7454494B1 (en) * 2003-01-07 2008-11-18 Exfo Service Assurance Inc. Apparatus and method for actively analyzing a data packet delivery path
US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
EP1478126A1 (de) * 2003-05-16 2004-11-17 Siemens Aktiengesellschaft Echtzeitüberwachung des Messdaten für Telekommunikationssysteme
US7657938B2 (en) 2003-10-28 2010-02-02 International Business Machines Corporation Method and system for protecting computer networks by altering unwanted network data traffic
US20050114499A1 (en) * 2003-11-24 2005-05-26 Monk John M. System and method for updating testing devices in a distributed environment
US7991852B2 (en) * 2004-01-22 2011-08-02 Alcatel-Lucent Usa Inc. Network architecture and related methods for surviving denial of service attacks
US8154987B2 (en) * 2004-06-09 2012-04-10 Intel Corporation Self-isolating and self-healing networked devices
US20060095961A1 (en) * 2004-10-29 2006-05-04 Priya Govindarajan Auto-triage of potentially vulnerable network machines
US7694294B2 (en) * 2006-03-15 2010-04-06 Microsoft Corporation Task template update based on task usage pattern
US7899892B2 (en) * 2006-03-28 2011-03-01 Microsoft Corporation Management of extensibility servers and applications
US7873153B2 (en) * 2006-03-29 2011-01-18 Microsoft Corporation Priority task list
US20120005206A1 (en) * 2007-02-09 2012-01-05 Konstantinos Anagnostakis Apparatus and method for analysis of data traffic
US20090034423A1 (en) * 2007-07-30 2009-02-05 Anthony Terrance Coon Automated detection of TCP anomalies
US7792770B1 (en) 2007-08-24 2010-09-07 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to indentify anomalous data using cascaded K-Means clustering and an ID3 decision tree
US8370844B2 (en) * 2007-09-12 2013-02-05 International Business Machines Corporation Mechanism for process migration on a massively parallel computer
US20110225287A1 (en) * 2010-03-12 2011-09-15 Webtrends Inc. Method and system for distributed processing of web traffic analytics data
US20110225288A1 (en) * 2010-03-12 2011-09-15 Webtrends Inc. Method and system for efficient storage and retrieval of analytics data
GB2590927A (en) * 2020-01-07 2021-07-14 British Telecomm Network discovery and management

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799211A (en) * 1987-07-23 1989-01-17 Digital Equipment Corporation Apparatus and method for storing performance parameters of local area network system members
US5049873A (en) * 1988-01-29 1991-09-17 Network Equipment Technologies, Inc. Communications network state and topology monitor
WO1990000331A1 (en) * 1988-06-30 1990-01-11 Alcatel N.V. Statistical measurement equipment and communication system using same
CA2017974C (en) * 1989-08-07 1998-06-16 Richard Alan Becker Dynamic graphical analysis of network data
US5253248A (en) * 1990-07-03 1993-10-12 At&T Bell Laboratories Congestion control for connectionless traffic in data networks via alternate routing
EP0474932A1 (de) * 1990-09-13 1992-03-18 Hewlett-Packard Company Fehleranalysator für Netzwerk
DE69020899T2 (de) * 1990-09-28 1995-12-07 Hewlett Packard Co Netzüberwachungssystem und -vorrichtung.
EP0495289B1 (de) * 1991-01-17 1996-10-16 Hewlett-Packard Company Überwachungseinrichtung eines entfernten LAN-Segmentes

Also Published As

Publication number Publication date
EP0613270A2 (de) 1994-08-31
US5539659A (en) 1996-07-23
JP3510658B2 (ja) 2004-03-29
EP0613270B1 (de) 2000-01-05
EP0613270A3 (en) 1996-10-30
DE69422436D1 (de) 2000-02-10
GB9303527D0 (en) 1993-04-07
JPH077518A (ja) 1995-01-10

Similar Documents

Publication Publication Date Title
DE69422436T2 (de) Netzanalysenverfahren
DE69122200T2 (de) Bestimmungsverfahren für Netztopologyeigenschaften
DE69830046T2 (de) Vorrichtung und verfahren zur überwachung und auswertung von anwendungsprotokollen für datenübertragungssysteme in netzen
DE69332370T2 (de) Netzwerkanalyseverfahren
DE69736399T2 (de) Verfahren und vorrichtung zur messung des spitzen durchsatzes in datenpacket-netzwerken
EP1472819B1 (de) Nachrichtenanalyseeinrichtung und Verfahren zum Anzeigen von Nachrichten
DE60031274T2 (de) Mehrfachanschlussverfahren und -gerät für vituelle ports
DE19983761B3 (de) Vorrichtung und Verfahren zum Sammeln und Analysieren von Kommunikationsdaten
DE69719002T2 (de) Überwachung eines Kommunikationsnetz
DE69434330T2 (de) Übertragungsvorrichtgung und verfahren
DE69725261T2 (de) System zur Übermittlung des Netzwerkverkehrs in einem Kommunikationsnetzwerk
DE602005001965T2 (de) Methodologie und Protokolle für Hochgeschwindigkeitsverkehrmessung und Analyse
DE69925897T2 (de) Verwaltung von gruppenadressen in mobilendgeräten
DE602004005785T2 (de) Dynamische Leitweglenkung in einem inhaltbasierten verteilten Netzwerk
DE69737150T2 (de) System zur parameteranalyse und verkehrsüberwachung in atm-netzen
DE69432883T2 (de) System und verfahren zur automatischen auflösung eines segments in einem localen netz
DE112010003099B4 (de) Erkennung gering ausgelasteter netzeinheiten
DE69331372T2 (de) Überwachung des Zustandes eines Systems
DE10327949A1 (de) Verfahren und Vorrichtung zum Ansprechen auf Schwellenereignisse von Heterogenen Meßquellen
DE60309611T2 (de) Verfahren und Vorrichtung zur Verarbeitung von Datenpaketen
DE60131615T2 (de) Topologiebestimmung in atm-netzen
DE60020435T2 (de) Verfahren zum Messen der Verfügbarkeit routerbasierter verbindungsloser Netzwerke
DE60304496T2 (de) Mehrfachprotokoll-Anrufverfolgung in GPRS Gb-Gr
DE602004001046T2 (de) System und Verfahren zum Testen eines Routers
DE69016126T2 (de) Verfahren zur Datenübertragung über ein optisches Sternnetz, sowie nach diesem Verfahren arbeitende Station und optisches Sternnetz.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: HEWLETT-PACKARD CO. (N.D.GES.D.STAATES DELAWARE),

8327 Change in the person/name/address of the patent owner

Owner name: HEWLETT-PACKARD CO. (N.D.GES.D.STAATES DELAWARE),

8327 Change in the person/name/address of the patent owner

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

Owner name: AGILENT TECHNOLOGIES, INC. (N.D.GES.D.STAATES DELA

8327 Change in the person/name/address of the patent owner

Owner name: AGILENT TECHNOLOGIES, INC. (N.D.GES.D.STAATES DELA

8327 Change in the person/name/address of the patent owner

Owner name: AGILENT TECHNOLOGIES, INC. (N.D.GES.D. STAATES, US

8339 Ceased/non-payment of the annual fee