（通信与信息系统专业论文）网络管理系统中事件管理子系统的设计与实现.pdf

摘要 摘要 伴随着计算机网络在人们日常工作中承担着越来越重要和复杂的任务 网络管 理领域也日益得到人们的重视 无论是保证电子商务网站服务器的稳定运行 还 是保证公司日常电子邮件的正常收发 要完成这些工作 网络工程师都依赖于计 算机网络的持续良好运行 而当网络中出现的故障时 无论是邮件服务器停止工 作这样简单的问题 还是两地间卫星链路损坏这样复杂的问题 都要求网络工程 师能够在最短的时间内查明问题的根源 为了完美的完成这些任务 网络工程师 在工作中需要得到网络管理软件的帮助 特别是网络事件管理软件的帮助 网络 事件管理是网络管理软件中的核心功能模块 它用来判定网络中出现的问题的根 源发生点 并且能够过滤掉网络中的冗余网络事件和具有蒙蔽性的网络事件 网络事件管理系统的核心技术即是事件相关性算法 一个事件相关性算法考虑 的最主要的两个方面是 相关性处理结果的准确性和相关性处理的速度 通常的 来讲 网络事件相关性算法可以归纳为两种模型 因果相关性模型 时间相关性 模型 本文中将介绍这两种网络事件相关性处理模型 并且还会对两种模型进行 比较 基于以上对于网络事件相关性算法的介绍 本文随后会提出以 事件处理 策略 为核心的网络事件相关性处理算法 最后将介绍基于该相关性算法开发的 网络事件管理系统 关键词 网络管理 网络事件管理 网络事件相关性算法 事件处理策略 a b s t r a c t a b s t r a c t a st h ew o r l dr e l i e so nc o m p u t e rn e t w o r kt od oi n c r e a s i n g l yi m p o r t a n ta n d c o m p l i c a t e dt a s k s t h ef i e l do fn e t w o r km a n a g e m e n tb e c o m e se v e rm o r ei m p o r t a n t w h e t h e re n s u r i n gt h a tt h ee c o m m e r c es e r v e r sa r ec o n s t a n t l ya n da c c e s s i b l eo rs i m p l y m a k i n gs u r et h a tc o m p a n ye x e c u t i v e sc a ns e n da n dr e c e i v ee m a i l t h en e t w o r k e n g i n e e r sa r eh e a v i l yr e l i e du p o nt oe n s u r ec o n s i s t e n c y w h e t h e rt h e r ei sp r o b l e m t h e n e t w o r ke n g i n e e r sn e e dt ob ea b l et o q u i c k l yp i n p o i n tt h es o u r c eo ft h ep r o b l e m w h e t h e ri ti sa ss i m p l ea sas t o p p e dm a i ld a e m o no ra sc o m p l i c a t e da saf i b e rc u t b e t w e e ns a t e l l i t eo f f i c e s t of i n i s ht h e s et a s k sp e r f e c t l y n e t w o r ke n g i n e e r sn e e dt h eh e l p o fn e t w o r km a n a g e m e n ts o f t w a r e e s p e c i a l l yt h eh e l po fn e t w o r ke v e n tm a n a g e m e n t s o f t w a r e n e t w o r ke v e n tm a n a g e m e n ti sak e yf u n c t i o n a l i t yo fan e t w o r km a n a g e m e n t s y s t e mt h a ti su s e dt od e t e r m i n et h er o o tc a u s eo f f a u l t si nan e t w o r k a n dt of i l t e ro u r r e d u n d a n ta n ds p u r i o u se v e n t s t h ek e r n e lt e c h n o l o g yo fn e t w o r ke v e n tm a n a g e m e n ti sn e t w o r ke v e n tc o r r e l a t i o n a r i t h m e t i c t h et w om o s ti m p o r t a n ta s p e c t so fn e t w o r ke v e n tc o r r e l a t i o na r i t h m e t i ca r e t h ea c c u r a c yo ft h ed a t ar e t u r n e db yac o r r e l a t i o n a n dt h es p e e dw i t l lw h i c hc o r r e l a t i o n o c c u r s i ng e n e r a l t h en e t w o r ke v e n tc o r r e l a t i o na r i t h m e t i cc o m b i n e sc a u s a la n d t e m p o r a lc o r r e l a t i o nm o d e l s b o t hc o r r e l a t i o nm o d e l sw i l li n t r o d u c ei nt h i sp a p e r a n d t h ec o m p a r i s o nb e t w e e nb o t hc o r r e l a t i o nm o d e l sw i l la l s oi n t r o d u c e b a s eo nt h e i n 扛o d u c t i o no ft w oc o r r e l a t i o nm o d e l s t h i sp a p e rw i l ls h o wt h en e wn e t w o r ke v e n t c o r r e l a t i o na r i t h m e t i cw h i c hb a s e do nt h e e v e n tm a n a g i n gp o l i c y a n da tl a s t t h i s p a p e rw i l ls h o wt h en e t w o r ke v e n tm a n a g e m e n ts y s t e mb a s e do ns u c he v e n tc o r r e l a t i o n a r i t h r n e t i c k e y w o r d n e t w o r km a n a g e m e n t n e t w o r ke v e n t m a n a g e m e n t n e t w o r k e v e n t c o r r e l a t i o na r i t h m e t i c e v e n tm a n a g i n gp o l i c y 图目录 图2 1 图3 1 图3 2 图3 3 图3 4 图4 1 图4 2 图4 3 图5 1 图5 2 图5 3 图5 4 图5 5 图5 6 图5 7 图5 8 图5 9 图5 1 0 图5 1 1 图5 1 2 图5 1 3 图5 1 4 图5 1 5 图5 1 6 图5 1 7 图5 1 8 图5 1 9 图目录 网络管理系统的系统结构图 8 网络事件因果相关性结构图 1 4 网络示例图 2 0 图3 2 的网络事件因果关系示意图 2 1 网络事件发生的时间关系图 2 2 网络事件处理流程示意图 2 8 网络事件管理系统的系统结构图 2 9 网络事件处理顺序 3 1 网络事件管理系统数据库设计图 3 7 事件监视窗口 3 9 网络事件显示表格 4 0 网络事件详细信息显示窗口 4 0 事件监视显示模板管理器 4 1 事件监视显示模板编辑器 4 1 事件监视过滤模板管理器 4 2 事件监视过滤模板编辑器 4 3 过滤模板向导编辑组合示意图 4 3 过滤模板直接编辑器 4 4 事件处理策略管理器 4 4 事件处理策略编辑器1 4 5 事件处理策略编辑器2 4 6 事件处理策略编辑器3 4 7 事件处理策略编辑器4 4 8 事件处理策略编辑器5 4 9 事件处理策略编辑器6 4 9 事件报表编辑器 5 0 事件报表编辑器的编辑界面 5 1 v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果 据我所知 除了文中特别加以标注和致谢的地 方外 论文中不包含其他人已经发表或撰写过的研究成果 也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意 啄 o 签名 查2 日期 2 0 0 0 年5 月彩日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留 使用学位论文 的规定 有权保留并向国家有关部门或机构送交论文的复印件和磁 盘 允许论文被查阅和借阅 本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索 可以采用影印 缩印或 扫描等复制手段保存 汇编学位论文 保密的学位论文在解密后应遵守此规定 签名 n 导师签名 塑造鸯 日期 2 0 0 0 年5 月2 多日 第一章绪论 1 1 研究背景和意义 第一章绪论 1 9 6 9 年 世界上第一个计算机网络a r p a n e t 正式建立l l j 它当时连接了四个 站点 由此世界进入计算机网络时代 发展到1 9 8 3 年 a r p a n e t 已经连接了5 6 2 个站点 而更为重要的是 从这年的1 月1 日起 a r p a n e t 上的每一台计算机开 始使用t c p i p 协议 正是由于t c p f i p 协议的使用 为以后计算机网络的高速发 展奠定了基础 之后计算机网络在全世界范围了有了飞速的发展 网络连接的站 点数目越来越多 网络规模也越来越大 但与此同时 也出现了网络拓扑复杂 管理不便等问题 这些问题的出现使网络管理开始得到人们的认识和重视 同时 专业的网络管理软件也开始进入人们的视野1 2 纵观网络管理软件的发展 大致可以分为4 个不同的阶段 7 0 8 0 年代 网 络管理软件主要是做一些以大型主机为中心的网络管理 8 0 9 0 年代初 独立的 网络管理作为概念进入人们的视野 9 0 年代早期 网络管理软件的管理领域逐渐 由大型主机的管理转移到开放式通信环境的管理 9 0 年代末 数据库 中间件等 应用逐渐成熟 主机托管 i d c 这样的应用逐渐增多 网络管理的观念逐渐深入 人心 今天 使用网络管理软件来辅助网络管理已经成为所有计算机网络运营商 的共识 网络管理软件的使用不仅能增强运营商对网络的管理能力 提高网络的 运行效率 而且能有效的降低运营成本 a t t 曾在1 9 9 3 年发表的一篇关于网络 管理软件的报告 3 1 中提到 在美国 一个典型的网络管理中心 通过使用网络管理 软件 每年可以节省成本5 0 0 0 0 1 0 0 0 0 0 美元 而且这还只是因为网络停止运行 的时间减少而节省下来的费用 其实在 网络管理 概念下还包括了很多内容 如性能管理 配置管理等 4 这些管理子项分别从不同的角度观察网络的运行状况 如性能管理主要观察网络 的时延 抖动率等性能参数 而配置管理则主要关注网络中的网络设备清单以及 这些设备的配置参数 而近年来 网络事件管理 在网络管理领域正在逐步得到 重视 不少厂商已经在自己的网络管理软件中将 网络事件管理 做为一个单独 的子系统 为什么 网络事件管理 会得到重视呢 这里用下面的例子加以说明 假设网络中某台路由器与5 0 0 0 台主机相连 同时这5 0 0 0 台主机通过这台路由 电子科技大学硕士学位论文 器与监控主机相连 若某时刻路由器与监控主机的链路因为某种原因失效 则这 意味着监控主机和5 0 0 0 台主机的链路也同时失效 那么此时在理论上 监控主机 应该在很短的时间内收到5 0 0 1 条 链路失效 的网络事件 这会对网络管理带来 以下的影响 对于网络管理员而言 如果在网络管理系统中没有网络事件管理子系统 则在上面假设的情况下他无法在网络事件发生的第一时间得知网路故障 这就大大延误了网路修复的时间 也降低了网路的运行效率 而对网络管理而言 在上面假设的情况下虽然出现了5 0 0 1 条网路事件 但其实只有1 条网络事件是根源故障点 其余5 0 0 0 网络事件都是 噪声 事件 如果没有网络事件管理系统的处理 仅仅凭网管员的个人的能力 则是几乎不可能从这5 0 0 1 条网络事件中找出根源故障点 通过上面例子的分析 可以看出 网络事件管理 对于发现网络故障 解决网 络问题 提高网络运行效率都有很大的帮助 而且从上面的例子的分析 这里还 可以得出 网路事件管理 的两大功能 网路事件监视 网络事件处理 其中事 件监视简单的说就是对网络事件进行实时监测与显示 而事件处理则是指系统将 当前网络状态和收集到的网络事件数据联合起来分析 最后得出分析结果 1 2 研究方向及现状 在网络事件管理的研究方向上 目前很多学者已经做了很多工作 而且不少公 司也推出了相应的软件产品 5 6 这些软件产品都具有强大的监视 查询功能 而 且在用户界面上也各具特色 但是谈到网络事件管理的核心 网络事件相关 性处理 各个厂家的产品却是参差不齐 这里提到的 网络事件相关性处理 是 近年来网络事件管理的重要研究方向 很多厂商或学者都提出了各种各样的 网 络事件相关性处理算法 什么是网络事件的 相关性处理 呢 首先这里需要明确一点 网络事件 和 网络故障 之间是不能够划等号的 因为 网络事件 只是说明网络运行中 的某种状态 它和 网络故障 的关系在于 通过 网络事件 可以反应出 网 络故障 反过来 网络故障 可以引起 网络事件 在简单的了解了 网络事 件 和 网络故障 的区别之后 下面可以简要说明 相关性处理 的概念 通 俗的说相关性处理就是通过有效的方式将网络事件同其相关事件联合起来考虑 从中得出判断结果 找出直接反应 网络故障 的根源 网络事件 对于 网络 2 第一章绪论 事件相关性处理 而言 处理结果的正确性和处理速度是考察其性能最重要的两 个方面 目前有众多的网络事件相关性处理系统 基本上可以归为以下三类m 采用规 则处理方式的系统 采用编码处理方式的系统 采用人工智能方式处理的系统 下面将分别简要介绍这三种系统 1 2 1 采用规则处理方式的系统 网络事件相关性处理系统最传统的处理方法既是规则处理 在这种处理方式 中 进入处理系统的网络事件会与一系列的处理规则进行比对 比对的结果将会 提供给下一级处理流程 直至网络事件完成所有的处理流程 但是采用规则处理方式的系统不一定在每种网络状态下都取得非常好的运行 效果 如果用户要求处理结果要具有极高的准确性 则需要为处理系统提供大量 的处理规则 并且当网络状态发生变化时及时更新这些规则 另外 因为进入处 理系统的每一个网络事件都将按照固定的顺序和每条处理规则进行比对 这样会 大大影响系统处理网络事件的速度 1 2 2 采用编码处理方式的系统 编码处理方式和规则处理方式有相似之处 但是与规则处理方式中单独考察每 一个网络事件不同 编码方式处理将每一个网络故障与所有的网络事件都关联起 来考虑 它将网络故障表示为一个数组 数组的长度即为系统中会出现的网络事 件的数目 数组的特定元素表示某个特定网络事件是否发生 如果将所有的网络 故障放在一起构成一个更大的数组 这样是该网络系统的网络故障编码表 该编 码表其实是一个二维数组 其中第一维表示网络故障 第二维表示网络事件 编码表的制作是采用编码处理方式系统的关键 最基本的一点在于 每一个网 络故障都要有独一无二的编码 这样才能确保处理结果的唯一性和正确性 另外 与规则处理方式相同 编码处理方式也需要对编码进行维护 当网络状态发生变 化时 也需要及时的更新编码 1 2 3 采用人工智能处理方式的系统 人工智能处理方式使用了大量的a i a r t i f i c i a li n t e l l i g e n c e 人工智能 技术 它与前两种处理方式有根本性的区别 址处理系统的最大好处在于它有能力进行 电子科技大学硕士学位论文 自我学习 当系统状态改变时不用对其进行维护 虽然采用人工智能处理方式的系统在业务上具有很大的优势 但是无论在理论 基础上还是在软件工程上都存在技术难点 因此现在实现人工智能的网络事件管 理系统还有一定的困难 但这是以后事件网络管理软件的发展方向 1 3 作者的主要工作 本论文是在电子科技大学与特灵达新时技术有限公司的横向合作项目中完成 的 作者从理论和实践两方面对网络管理系统中的事件管理子系统进行了较为深 入的研究和探索 本论文就是作者部分研究及工作的总结 从论文中可以看出 作者的主要工作如下 学习并了解了网络管理软件的系统结构及组成 研究了目前主流的网络事件相关性算法 并提出符合项目需求的网络事件 相关性算法 按照提出的网络事件相关性算法实现了网络事件管理系统 并同时实现了 网络事件管理系统中的辅助功能 1 4 本文的章节安排 第二章概要介绍网络管理系统以及网络事件管理系统的概念与基本结构 其中 还介绍了课题所在项目组所开发的网络管理软件的系统结构 第三章介绍了目前 主流的两种网络事件相关性算法 并且在比较了两种相关性算法的优劣之后提出 了符合项目需求的网络事件相关性算法 第四章介绍了课题实现的网络事件管理 系统的系统结构 并对系统中的关键模块做了介绍 第五章介绍了网络事件管理 系统的实现 配合界面详细说明整个网络事件管理系统的使用 第六章是对全文 的总结以及本论文工作需要进一步完善和深入研究的地方 第二章网络事件管理系统概述 第二章网络事件管理系统概述 在目前的网络管理系统中 网络事件管理已经逐渐成为一个独立的子系统 通 常称为 网络事件管理系统 在本章中将介绍网络事件管理系统中涉及的基本概 念以及通常的系统结构 最后还将阐述网络事件管理系统的技术难点 不过由于网络事件管理系统只是网络管理系统的一个子系统 在全面介绍网络 事件管理系统之前 这里将首先介绍网络管理系统 2 1 网络管理系统概述 2 1 1o s i 网络管理模型 众所周知 i s o t h ei n t e r n a t i o n a lo r g a n i z a t i o nf o rs t a n d a r d i z a t i o n 国际标准化 组织 提出了著名的o s i o p e ns y s t e m si n t e r c o r m e e t i o n 开放系统互连 协议参 考模型 该模型现己成为计算机通信方面最主要的协议框架参考模型踟 i s o 在 1 9 8 4 年提出o s i 参考模型之后 又于1 9 8 9 年公布了i s 伽e c7 4 9 8 4 标准 该标 准是作为o s i 参考模型的补充发布的 称为 o s ib a s i cr e f e r e n c em o d e l p a r t4 在这份标准中i s o 提出了o s i 参考模型的网络管理模型 9 i s o 认为一个开放系统需要提供经济 可靠的传送服务 为了实现这个要求 o s i 网络管理模型需要实现以下功能 网络管理员能够对网络中的连接服务进行规划 修改 监视 控制以及帐 户管理 能够适应网络管理需求的变化 能够预测网络的通信行为 能够保护信息内容 并且在数据传输时能够提供端到端的认证功能 根据以上需求设计的网络管理工具 其复杂程度根据用户的实际需求不同而有 所区别 其运行方式可以为本地运行也可以为分布式运行 另外对于网络管理工 具的界面设计也不存在任何限制 电子科技大学硕士学位论文 2 1 1 1 o s i 网络管理模型的管理领域 o s i 网络管理模型总共涉及5 个网络管理领域 故障管理 记账管理 配置管 理 性能管理和安全管理 下面将分别介绍o s i 管理模型中的这5 个管理领域 2 1 1 1 1 故障管理 在o s i 网络管理模型中 故障管理包括故障探测 故障判定 修正故障 网络 故障会对网络造成各种各样的影响 最常见的故障如造成网络环境中的某些网络 实体无法接入 另外网络故障的存在时间可能是持续的也可能是瞬时的 在现实 的网络环境中 网络故障通常表现为特定类型的网络事件 这里 故障管理提供 的具体功能如下 维护及检查网络故障日志记录 向用户提示出现的网络故障 追踪并且确认网络故障的类型 执行一系列的诊断性测试 修正网络故障 2 1 1 1 2 记账管理 记账管理能够实现对用户使用网络环境中的网络资源进行记账 它提供的具体 功能如下 告知用户使用网络资源所花费的成本 能够对用户帐户设限 并且能够为不同的网络资源设置不同的记账费率 当一个网络实体同时访问多种网络资源时 能够对其进行记账 2 1 1 1 3 配置管理 配置管理首先需要实现从开放系统中获取网络配置数据 然后配置管理要能够 识别并管理网络配置数据 最后配置管理需要将网络配置数据回送给开放系统以 实现 初始化链接 维护已有链接 断开已有链接 等控制动作 配置管理 提供的具体功能如下 设置开放系统中路由操作的参数 将被管对象的逻辑名同被管对象的实体联系起来 能够初始化或关闭被管对象 在开放系统的当前状态下 根据需求获取网络配置数据 开放系统的状态发生变化时 配置管理能够将发生的变化告知开放系统中 6 第二章网络事件管理系统概述 其它设备 修改开放系统中的配置参数 2 1 1 1 4 性能管理 在采用o s i 模型的网络环境中 性能管理被用来评估其中网络资源的行为及其 通信效率 性能管理提供的具体功能如下 收集网络中的性能统计信息 维护并检查性能管理的历史日志 无论系统是自主运行还是受人工控制运行 性能管理都能对开放系统的性 能做出判定 能通过更改系统的运行模式来提高被管对象的性能 2 1 1 1 5 安全管理 安全管理被用于支持网络系统中各种应用所需要的安全策略 它提供的具体功 能如下 创建 删除和控制安全服务及安全机制 分发和安全相关的信息 报告和安全相关的网络事件 2 1 1 2o s l 网络管理模型结构 在o s i 网络管理模型中 通过一系列的处理流程实现网络管理的功能 这些处 理流程可以在本地运行 也可以以分布式处理的方式在众多系统中分别运行 而 且这一系列处理流程也不需要同时运行 它们可以使用o s i 管理协议 o s i m a n a g e m e n tp r o t o c o l s 在采用o s i 协议模型的网络环境中相互通信 o s i 管理模 型结构由以下几部分组成 系统管理 层管理 层操作 系统管理 能够管理开放式通信系统中的任何实体 它通过使用应用层系统 管理协议实现了监视 控制 协调被管理实体的功能 其中有关的o s i 通信是由 s m a e s y s t e mm a n a g e m e n ta p p l i c a t i o ne n t i t y 系统管理应用实体 实现的 层管 理通过运用层内的特定目的管理协议 s p e c i a l p u r p o s em a n a g e m e n tp r o t o c o l s 实 电子科技大学硕士学位论文 现了监视 控制 协调被管理实体在某层中和通信相关的活动 因为层管理能够 影响到多个通信实例 o s i 协议模型中的层因此可以使用系统管理协议 s y s t e m m a n a g e m e n tp r o t o c o l s 或层管理协议 nl a y e rm a n a g e m e n tp r o t o c o l s 来进行管 理 而层操作提供了监视和控制单一通信实体的功能 前面介绍了o s i 网络管理模型结构的组成部分 下面将介绍另外一个重要的概 念 m i b m a n a g e m e n ti n f o r m a t i o nb a s e 管理信息库 m i b 中存储着开放系统 中运用o s i 管理协议传送的信息以及受o s i 管理协议影响的信息 它由开放系统 中的一组被管理实体组成的 这些被管理实体可以是物理上存在的也可以是逻辑 上存在的 而且描述这些被管理实体的信息都需要进行标准化的处理 m i b 中存 储的信息可以为不同的网络管理处理流程共享 而且网络管理的处理流程可以根 据需求对这些信息进行重构 在o s i 网络管理模型中并没有对m i b 中存储信息的 语法和语义做出严格的限制 但是在制定这些语法和语义时 必须能够和o s i 管 理协议兼容 这样用o s i 管理协议进行时才能够识别m i b 信息 以上详细介绍了i s o 制定的o s i 网络管理模型 这个网络管理模型是基于o s i 七层协议模型制定的 因为o s i 七层协议模型是当今网络协议的基础 显然当前 网络管理软件也应该以o s i 网络管理模型为基础 在下一节中将介绍课题所在项 目组所开发的网络管理软件的系统结构 2 1 2 课题的网络管理系统结构 图2 1网络管理系统的系统结构图 图2 1 即为本课题所在项目组开发的网络管理软件的系统结构图 很明显此结 构图和上节所介绍的o s i 网络管理模型有很大的差异 但正如前面的叙述中谈到 的 o s i 网络管理模型是一个理论参考 实际运用过程中需要根据需求做大量的修 第二章网络事件管理系统概述 改 图2 1 主要从软件设计的角度来看待整个软件的系统结构 横向上这里分为 协 议层 数据采集 数据处理 数据展现 四个部分 这是一个很规范的数 据处理流程 首先由 协议层 实现和底层网络的交互 然后进行数据采集和规 范 紧接着对采集起来的数据进行处理 最后将处理的结果展现给用户 但是如 果从纵向上的分析上图 可以看出项目组的网络管理软件实现了拓扑管理 性能 管理 事件管理 配置管理 流量管理五个网络管理的逻辑功能 这正符合上节 所描述o s i 网络管理模型的管理领域 当然这里缺少了记账管理和安全管理两个 管理领域 这和网络管理软件的应用场合有关 本课题所在项目组开发的网络管 理软件的着重点在于监视网络性能 因此主要突出了性能管理 配置管理 事件 管理这几个管理领域 而如果开发的是一个网络接入系统的话 则就应该重点考 虑记账管理和安全管理了 上面的描述提到这里的系统结构图主要是从软件的角度看待这个网络管理软 件 图2 1 中将网络管理软件中的所有功能模块划分四个层次 下面将逐一介绍这 四个层次 协议层 负责网络管理软件同下层网络的接口 从图中可以看出 这里 的网络管理软件支持的网络协议类型有 s n m p s y s l o g i c m p f t p t f t p t e l e n t n e t f l o w 其中s n m p i c m p n e t f l o w 为目前主流的网络 管理协议 而使用s y s l o g f t p t f t p t e l n e t 协议则可让网络管理软件 从多种渠道获得网络管理所需要的数据 数据采集 主要功能是通过 协议层 提供的渠道从网络中采集管理数 据 这其中采集的主要数据有 拓扑数据 性能数据 事件数据 配置数 据 流量数据 分别对应系统结构图中的拓扑发现 性能采集 事件采集 配置采集 流量采集功能块 数据处理 是整个网络管理软件的核心 如上面的系统结构图所示 其 中包括了 性能分析 事件处理 配置变更检查 三个功能块 这部 分虽然功能块较少 但是却实现了网络管理软件的绝大部分智能处理功 能 而本课题的核心 网络事件处理也是在这个部分实现的 数据展现 相对于 数据处理 而言是网络管理软件中相对次要的部分 但是对于用户而言这个部分却是最为重要的 也是项目组在开发过程中下 大力气的部分 在结构图中数据展现是包含功能块最多的部分 共分为9 9 电子科技大学硕士学位论文 个部分 这些功能大体上可以划分为界面展现 报表制作两类 其中界面 展现主要是在软件界面上通过表格 图片的形式向用户反应当前的网络状 态 并通过开发过程中配搭的诸如查询 搜索等小功能 进一步方便用户 的使用 而报表制作主要向用户提供一个统计的功能 用户可以将过去一 段时间的网络运行情况制作成报表 并根据报表对网络前一段时间的运行 状况做出判断 为下一步的网络运行提供参考 2 2 网络事件管理系统概述 对于任何一个系统来说 可靠性都是至关重要的 对网络系统来说也不例外 由于网络系统具有复杂以及动态变化等特性 对其可靠性的保证不仅需要硬件提 供支持更需要软件的辅助 而网络事件管理正是可以从软件上实现对网络系统可 靠性的保障 因此网络事件管理成为网络管理软件重要的关注点之一 而通过长 期的网管实践和网管软件开发及应用经验表明 网络事件管理也是网管软件开发 过程中最为艰难的部分之一 2 2 1 网络事件管理系统的基本概念 网络事件管理系统最为主要的工作是 对收到的网络事件进行相关性处理 并 根据处理结果判断出网络故障的根源 在进一步的讨论之前 这里首先介绍两个 基本概念 网络事件 和 网络故障 2 2 1 1网络事件 网络事件是网络系统在某个时间点发生的瞬时事件 通常一个网络事件是和网 络系统中的一个对象相关的 这个对象被称为m o m a n a g e do b j e c t s 被管对象 一个m o 是一个具有一系列状态的网络实体 其数学模型可表示为一个结构体 其中包含一系列的参数 这些参数的值在时间轴上随网络实体状态的变化而变化 用更精确数学语言 一个m o 可以看做一个n 维的数组 数组中的元素都是以时 间为参数的函数 网络事件可以分为两类 第一类网络事件可以称为告警 告警是由m o 直接产 生的 比如若m o 数组中的一个元素就是网络事件本身 则当该元素的判定条件 成立时则会引起网络事件的发生 形成告警 而另一类网络事件则用来指示网络 对象的状态发生了变化 比如当m o 数组中的某个元素的值低于预设的阈值时 1 0 第二章网络事件管理系统概述 则特定事件发生 从另外一个角度分类 网络事件也可以划分为原生型和合成型两类 若网络事 件由m o 直接产生或因为m o 状态发生变化而产生 则认为这是原生型的网络事 件 因为这种网络事件是可以直接观察到的 而合成型网络事件是不可直接观察 的 并且不能被硬件和软件直接探测 这是由于发生网络事件的m o 没有被监测 或者网络事件没有被报告 比如 链路失效 就有可能不被直接报告 合成型网 络事件通常都表示为一个抽象结构 这种网络事件的发生都是由与其相关联的网 络事件的发生而判断出来的 比如 路由器链路失效 事件是由服务器和客户端 到路由器的链路失效观察出来的 2 2 1 2网络故障 网络故障其实也是一个网络事件 它与网络中的一个非正常状态相关 比如网 络的当前状态背离了预期 造成这种背离的原因可能是硬件或软件故障 人为错 误 设计缺陷 或是以上错误混合造成的 网络故障可以分为两类 硬件故障和软件故障 硬件故障是指m o 完全失效 比如链路切断 服务器崩溃 而软件故障是指m o 的功能处于低效的工作状态 通常情况下 软件故障将引起硬件故障 反之亦然 2 2 2 网络事件管理系统的组成及其技术难点 一个网络事件管理系统在其运行期间需要持续不断的对网络中发生的网络事 件进行监视 探测或预测 诊断 定位和修正 它通常由 网络监视器 网络 事件相关性处理器 以及 网络事件模型 三部分组成 其中 网络监视器 用 于收集网络实体的被管理数据并判断这些数据是否超过阈值 若超过 则需要发 出网络事件告警 而 网络事件模型 则是由网络系统包含的所有网络事件及其 事件之间的相关性关系组成的 最后 网络事件相关性处理器 根据 网络事件 模型 对 网络监视器 收集到的事件告警进行相关性处理 并判断出引起这些 网络事件的根本原因 根据三个组成部分的功能描述 显然 网络事件相关性处 理器 是网络事件管理器的核心 在实现网络事件管理器的过程中 需要特别重 视以下三个技术难点 i o l 网络事件管理器需要有足够的通用性 使其能够适应网络拓扑的变化和网 络规模的增大 电子科技大学硕士学位论文 网络事件管理器需要具有可升级性 使其能够适应大型网络系统复杂程度 增加的要求 对于大型网络而言 随着网络实体数量的增加和网络拓扑的 复杂化 由这些网络实体操作带来的问题数量和由这些问题引起的各种现 象的数量都大量增加 因此需要网络事件管理器随着网络复杂程度的增加 同步升级 最后网络事件管理器需要有足够的适应性以抑制 噪声事件 n o i s e e v e n t 的干扰 因为 网络监视器 报告的网络事件会出现缺失和伪造的可能 而且 网络事件模型 也可能同实际的网络情况不一致 这两个模块出现 的错误会直接导致 网络事件相关性处理器 的处理结果出现错误 因此 在网络事件管理器中必须提供相应的机制以使整个系统足够健壮 能够抑 制 网络监视器 和 网络事件模型 带来的 噪声事件 的干扰 2 3 小结 本章概要介绍了网络管理系统以及网络事件管理系统 并介绍了课题所在项目 组开发的网络管理软件的系统结构 这为以后章节的介绍奠定了基础 下一章将 介绍网络事件管理系统的核心 网络事件相关性算法 1 2 第三章网络事件管理系统的系统结构 第三章网络事件相关性算法 网络事件相关性处理是用来分析网络事件之间的相关性关系 为了描述方便 这里将网络事件e 和 e l e e k 网络事件相关记为e q e e k 在网络事 件管理系统中使用网络事件相关性算法可以为用户提供以下功能 发现并分析出网络故障 比如在一个简单的示例网络中 许多客户端通过 路由器或交换机连接到服务器 在这个受监控的网络中 服务器可能产生 s e r v e rc o n n e c t i o nf a i l u r e 服务器连接失效 网络事件 而客户端也 可能产生g c l i e n tc o r m e c t i o nf a i l u r e 客户端连接失效 网络事件 通 过网络事件相关性处理算法识0 7r 2js l 0 7 g 即可判定根源网络 事件为 r o u t e r l i n k f a i l u r e 路由器链路失效 或r 2 r e p e a t e r f a i l u r e 交换机链路失效 但若无网络事件相关性算法的处理 则网络管理员或 者智能网络管理系统就无法迅速 有效的判定出前面提到的s c j 网络事 件的根源故障发生点 过滤事件 在上面的例子中 网络事件相关性算法使网络事件相关性处理 系统能够向用户报告最根源的网络事件 比如上例中的 或r 2 同时抑制 次要的和众多受根源网络事件影响的网络事件 性能调整 当根源网络事件被有效的分析出来后 就能对和根源网络事件 相关的m o m a n a g e d 被管对象 做出修复 使其恢复正常运行 objects 这样即可缩短由网络事件引起的网络性能下降的时间 上面谈到了使用网络事件相关性算法能够实现的功能 从中可以看到使用网络 事件相关性算法能够提高网络事件管理的智能化 从而大大减轻网络管理员的管 理负担 按照网络事件之间的相互关系 网络事件相关性算法通常分为因果相关 性算法和时间相关性算法 l 在本章中将首先介绍这两种相关性算法 然后会介 绍本课题提出的网络事件相关性算法 电子科技大学硕士学位论文 3 1 基本的相关性算法 3 1 1 因果相关性算法 网络事件之间最简单的关系即为因果关系 因果关系是一种具有严格顺序性的 二元逻辑关系 它具有不可逆转 可传递等特性 网络事件之间的因果相关性是 指因为事件e 发生从而引起事件e 的发生 记做e e 因果相关性算法即是利用 网络事件之间的因果相关性找出引起网络故障的根源网络事件 在一个受监视的网络中 通常出现的网络事件类型都大于两种 根据不回类型 事件之间的因果相关性可以画出所有网络事件类型之间的因果相关性结构图 这 里可以把这种因果相关性结构图记做占 e 寸 其中e 表示网络事件的集合 专 表示事件之间的因果相关性 图3 1网络事件因果相关性结构图 图3 1 即为网络事件的因果相关性结构图 图中带数字的圆圈表示网络事件 圆圈之间箭头表示网络事件之间的因果相关性 通过此图即可得出任意网络事件 之间的因果相关性 在因果相关性算法中用ej 如 e z e k 表示事件e 和事件集合e l e 2 e 相关 上面的算法规则按照因果相关性解释为 如果事件e e e 都发生 则 可推断事件e 发生 这里符号 表示网络事件之间的因果相关性关系 而这 种相关性关系和单纯的因果关系有所区别 在具体说明之前先看以下的例子 图3 1 中 显而易见事件8 和事件集合 2 3 6 是相关的 记为8 j 2 3 6 1 4 第三章网络事件管理系统的系统结构 同时还可以推断出8 1 2 3 6 因为事件8 发生会引起事件2 发生 进而 引起事件l 发生 但是这里不能推断出事件8 和事件集合 2 3 6 7 相关 因为事件8 不会导致事件7 发生 同时 也不能推断出事件8 和事件集合 t r u e f a l s e 这种映射可以解释为 对于事件集e 中的任一网络事件e e 如果p g t r u e 则可判定事件e 在时刻t 发生了 这里动态映射p 和时问相关 性表达式妒都是由事件集e 中的事件构成的 可以定义l 妒b 为另一个网络事件 这样做的目的在于能够把关于够的时间相关性操作分成几个部分进行 例如 假如 关于妒的时间相关性表述为 仍比仍先发生 仍 仍为相互独立的时间相关性表 达式 直观的讲这条时间相关性表达式可以解释为 首先事件仍发生 然后事件 仍的发生在时间上滞后于事件仍 若仍和仍都发生且符合时问逻辑的话 则事件 矿会发生 前面曾经提到过勋k 可以表示为一个网络事件 这里把b p 描述为函数厂 其 定义为 若 o t r u ei f h p r t r u e 则当 f t 成立 则 网络事件o p 在时刻t 成立 但是在这里 时间相关性算法中只能查看历史 数据库中的网络事件记录 换句话说就是当网络事件o 妒在时刻t 发生时 时间相关性算法无法判断网络事件舻是否在时刻t t t 发生 因此也无 法做出判断网络事件o 口是发生还是未发生 从而断定操作符o 是不可用 的 这种情况下 只能定义类似下面介绍操作符 比如定义了操作符v 该操作符的用法是 如果网络事件p 在某个时刻t t t 成立 则网络 事件v 口在时刻t 成立 7 以上详细介绍了时间相关性算法及其相关性运算操作符 期间也例举了很多例 子说明 下面一节将对比因果相关性算法和时间相关性算法 并通过一个例子加 以阐述 第三章网络事件管理系统的系统结构 3 1 3 比较因果相关性算法和时间相关性算法 前两节分别详细介绍了因果相关性算法和时间相关性算法 它们分别从不同角 度对网络事件进行相关性处理 在本节中 将比较两种算法的事件处理能力 这 里将分两部分进行说明 第一部分将证明时间相关性算法包含了因果相关性算法 的思想 而在第二部分将通过一个网络系统的示例 说明运用时间相关性算法比 运用因果相关性算法有更好的事件相关性处理效果以及更准确处理结果 3 1 3 1时间相关性包含因果相关性 由于之前介绍的网络事件之间的操作符都是与时间相关的操作符 因此如果之 前介绍的t e s l 语言包含足够多的事件操作符 那么一个应用因果相关性算法的网 络事件处理系统也可以看成是一个应用时间相关性算法的网络事件处理系统 接 下来的介绍将说明 每一个网络事件系统中的因果相关性特性也能够通过时间相 关性特性来实现 这里假设e 表示某网络中的网络事件集合 而c 是基于事件集e 的应用因果 相关性算法的网络事件处理系统 对于任意一种包含c 中用到的所有事件关系操 作符的t e s l 语言 这里定义t 是使用这种t e s l 语言来描述事件集e 的使用时 间相关性算法的网络事件处理系统 对于任意事件子集s e 和时刻t f 这里 定义历史网络事件为s p f k 毋 那么对于任意s 曼 e 和t f 在c 中 会有s lj 成立当且仅当在t 中s j s 成立 根据以上的理论 接下来可以得出以下的结论 对于任一因果关系事件结构 占 e 寸 必定存在一个因果关系事件结构t 并且对任意s 是 e 和t f 在s 中有sj 最成立当且仅当在t 中s j 最 成立 3 1 3 2时间相关性算法强于因果相关性算法 本节中 将介绍对于某些网络事件之间的相关性关系 时间相关性事件处理系 统能够正确处理但是因果相关性事件处理系统缺办不到 1 9 电子科技大学硕士学位论文 图3 2网络不例图 这里以图3 2 所示的网络为例继续说明 上图中c c l i e n t 客户端 和s s e r v e r 服务器 进行通信 其中的一些客户端会通过r r o u t e r 路由器 连 接到s 假设这里检测的网络事件之一为e p d e x c e s s i v ep a c k e td r o p 丢包数过高 这个事件在丢包计数超过阈值时发生 另一个检测的网络事件是d t s d r o pi nt c p s e g m e n tc o u n t t c p 段丢失 这个事件在t c p 段计数低于阈值时发生 在了解 了以上网络的基本情况以后 首先考虑以下的因果关系 当r 发生e p d 事件时表明c o n c o n g e s t i o n 拥塞 事件发生 记为 e p d c o 当s 发生d t s 事件时 并且同时有c f c o n n e c t i o nf a i l u r e