基于事件的网络管理系统的研究与设计
|
摘要
随着网络技术的发展,计算机网络越来越大,拓扑结构越来越复杂,包含的网元越来越多。这些网元在运行过程中会产生各种各样的网络事件,这些事件潜在地展示了网元的运行状态和行为,例如:链路断路、网络拥塞等。有效地监视这些网络事件是实现网络管理的重要保障。传统网管系统大都注重对单个网元当前状态的监测,把大量网元的当前检测数据或历史检测数据交给网络管理员进行分析。然而,在网络环境下,网络事件往往是相互关联的,一个简单的问题可以影响许多设备和子系统,引起大量的相关事件,甚至可能形成事件“风暴”。因此,网络管理系统必须使用事件关联分析技术才能应对大量的网络事件,为快速定位故障根源与发现安全隐患提供帮助。
本论文在分析各种事件关联分析技术特点的基础上,讨论了基于事件的网络管理系统的基本模型,并以该模型为指导,设计实现了一个基于事件的网络管理系统——ESEC。
ESEC系统同时使用轮询方式与异步方式采集网络事件,在设计中使用了插件结构。事件关联分析使用硬编码与基于规则推理相结合的方式,硬编码方式用来处理基于拓扑模型的关联分析;基于规则推理的方式用来处理异步事件的关联分析,包括系统日志和SNMP Trap。ESEC系统采用多种方式发出事件告警,包括:界面显示、Email和声音提示。
ESEC系统核心程序采用C语言编写并使用PERL语言开发的SEC(Simple Event Correlator)事件关联器,执行效率高。在用户接口上,系统采用Web方式,界面友好,功能实用。
ESEC系统通过合理使用事件关联技术,达到了减少重复、冗余的网络事件的目的,并实现了对网络中设备、服务器以及服务的监测。
With the development of network technology, computer network becomes larger and larger in its scale, gets increasingly complicated in its topological architecture. More and more network elements are included into network. Network elements can produce various kinds of routine events which can indicate their running state, e.g. broken link, network congestion, etc. It is very important to effectively monitor these network events for sound network management. Traditional network management systems focus on monitoring current state of a single network element, collecting state data and directly submitting them to administrators for analysis. However, in computer network, there are correlations among events. A simple network problem alone can make many devices and subsystems produce a lot of related events, even worse, an "event storm" may arise as a result. So network management system must be capable of managing and correlating events, which will help administers to quickly decide original faults and detect security attack events.
Based on the analysis of event correlation methodology, this paper is expected to discuss a basic model of event-based network management system, and develop an event-based network management system, named ESEC, to meet real-life requirements.
ESEC has two ways to collect network events:polling and asynchronous detecting methods. Using plug-in to collect data is one of characteristics of ESEC. In ESEC, hard coding and rule-based reasoning are used to correlate events. The former is suitable for event correlation based on network topological architecture; the latter is used to correlate asynchronous events with rule-based reasoning, e.g. Syslog, SNMP Trap. To have powerful ability of rule-based reasoning, SEC is integrated in the system. On event alert function, ESEC provides there ways to notify administrators, display in management GUI, Email and make sound to notice.
Core code of ESEC network management system is developed with C program. Integration of the core and SEC make ESEC system highly effective. GUI of ESEC is based on B/S, which is easy to use.
ESEC network management system aims at reducing repeated and redundant network events. With the help of event correlation technology, ESEC make it, and can monitor network devices, servers and network services.
本论文在分析各种事件关联分析技术特点的基础上,讨论了基于事件的网络管理系统的基本模型,并以该模型为指导,设计实现了一个基于事件的网络管理系统——ESEC。
ESEC系统同时使用轮询方式与异步方式采集网络事件,在设计中使用了插件结构。事件关联分析使用硬编码与基于规则推理相结合的方式,硬编码方式用来处理基于拓扑模型的关联分析;基于规则推理的方式用来处理异步事件的关联分析,包括系统日志和SNMP Trap。ESEC系统采用多种方式发出事件告警,包括:界面显示、Email和声音提示。
ESEC系统核心程序采用C语言编写并使用PERL语言开发的SEC(Simple Event Correlator)事件关联器,执行效率高。在用户接口上,系统采用Web方式,界面友好,功能实用。
ESEC系统通过合理使用事件关联技术,达到了减少重复、冗余的网络事件的目的,并实现了对网络中设备、服务器以及服务的监测。
With the development of network technology, computer network becomes larger and larger in its scale, gets increasingly complicated in its topological architecture. More and more network elements are included into network. Network elements can produce various kinds of routine events which can indicate their running state, e.g. broken link, network congestion, etc. It is very important to effectively monitor these network events for sound network management. Traditional network management systems focus on monitoring current state of a single network element, collecting state data and directly submitting them to administrators for analysis. However, in computer network, there are correlations among events. A simple network problem alone can make many devices and subsystems produce a lot of related events, even worse, an "event storm" may arise as a result. So network management system must be capable of managing and correlating events, which will help administers to quickly decide original faults and detect security attack events.
Based on the analysis of event correlation methodology, this paper is expected to discuss a basic model of event-based network management system, and develop an event-based network management system, named ESEC, to meet real-life requirements.
ESEC has two ways to collect network events:polling and asynchronous detecting methods. Using plug-in to collect data is one of characteristics of ESEC. In ESEC, hard coding and rule-based reasoning are used to correlate events. The former is suitable for event correlation based on network topological architecture; the latter is used to correlate asynchronous events with rule-based reasoning, e.g. Syslog, SNMP Trap. To have powerful ability of rule-based reasoning, SEC is integrated in the system. On event alert function, ESEC provides there ways to notify administrators, display in management GUI, Email and make sound to notice.
Core code of ESEC network management system is developed with C program. Integration of the core and SEC make ESEC system highly effective. GUI of ESEC is based on B/S, which is easy to use.
ESEC network management system aims at reducing repeated and redundant network events. With the help of event correlation technology, ESEC make it, and can monitor network devices, servers and network services.
引文
[1] 敖广武,温春友.数据挖掘技术在网络故障管理系统中的应用[J].信息技术,2006,(8):73-75.
[2] 陈斌全.NetView网管软件的功能及特点[J].网络技术与资讯,2002,(12):87-88.
[3] 陈俊,李之棠.基于多Agent的网络管理系统设计[J].华中科技大学学报(自然科学版),2003,(31):250-252.
[4] 陈敏,李兴明,彭向梅.网络故障诊断专家系统中知识库的设计[J].电子科技大学学报,2005,34(6):996-999.
[5] 陈庆良,陈国龙.网络故障诊断实现框架[J].福建电脑,2004,(12):2-4.
[6] 成汝震,刘宏忠.基于WEB网络性能管理扩展架构的研究[J].计算机工程与应用,2001,(16):65-69.
[7] 单纪文,张秉权,徐涛.一种基于SNMP的远程管理的实现[J].计算机应用,2004,24(7):71-73.
[8] 董灿钧,奚琪,徐孟春.SNMP网络管理模型中故障管理的设计与实现[J].信息工程大学学报,2003,4(1):76-79.
[9] 杜军平,郭文生,王锐杰.网络管理系统的设计与实现[J].北京工商大学学报(自然科学版),2004,(1):21-25.
[10] 段渭军,李引娟,王福豹.基于Web的分布式网络管理及其实现[J].计算机应用研究,2003,(6):124-127.
[11] 樊兴,郭铭,宁志杰.NMS管理软件的设计与实现[J].计算机与数字工程,2004,32(1):46-50.
[12] 范明,孟小峰.数据挖掘概念与技术[M].北京:机械工业出版社,2001.
[13] 费洪晓,康松林,施荣华.基于SNMP的网络应用软件监控系统设计与实现[J].计算机工程与应用,2004,(15):122-125.
[14] 郭永艳,寿建霞.基于SNMP的校园网计费系统[J].浙江工业大学学报,2004,32(1):78-81
[15] 贺峻峰,卢燕飞,冯玉珉.IP网管系统中实时路由监测的实现[J].北方交通大学学报,2002,26(1):44-49.
[16] 江魁,黄云森.基于RRDTOOL的网络性能监测系统实现[J].中山大学学报(自然科学版),2002,(41):16-19.
[17] 金鹏.采用SNMPv3的网管系统的性能分析[J].计算机应用,2004,24(7):102-104.
[18] 李斌成,崔爱红,张彩娟.HP Open View网管平台二次开发及工程应用[J].专题技术与工程应用.2006,36(7):49-52.
[19] 李岚.基于事件关联的网络事件管理的研究和设计[D].南昌:南昌大学,2005.
[20] 李增智,朱海萍,唐亚哲,等.一种故障诊断专家系统在网络管理中的设计与实现[J].计算机应用与工程,2001,(17):24-26.
[21] 刘红,白栋,丁炜.嵌入式Web技术在网管系统中的应用[J].计算机工程,2002,28(7):20-23.
[22] 刘红,曾志民,丁炜.一种基于WEB的管理平台及实现[J].计算机工程与应用,2002,(6):17-20.
[23] 刘康平,李增智.网络告警知识发现研究与实现[J].计算机工程与应用,2001,(23):25-27.
[24] 刘培奇,李增智,赵银亮.扩展产生式规则的网络故障诊断专家系统[J].西安交通大学学 报,2004,38(8):783-786.
[25] 刘伟,石冰心,薛丰华.专家系统在网络故障管理中的应用[J].数据通信,2000,(3):52-54.
[26] 潘全文,艾弘飞,房振旭.专家系统的基本原理和基于CLIPS的专家系统设计与实现[J].飞机设计,2004,(4):78-80.
[27] 彭熙,李艳,肖德宝.网络故障管理中几种事件关联技术的分析与比较[J].计算机应用研究,2003,(9):145-148.
[28] 佘健,窦丽华,陈杰.基于SNMP协议的网络主机综合监控方法研究[J].北京理工大学学报,2002,22(3):368-371.
[29] 唐峰.基于WEB的网络管理系统设计与实现[D].上海:上海交通大学,1999.
[30] 王和平.有关SNMP模型中故障管理的设计与实现[J].计算机与现代化,2005,(3):57-59.
[31] 王焕然,徐明伟.SNMP网络管理综述[J].小型微型计算机系统,2004,25(3):358-366.
[32] 王金东,赵海,韩光洁,等.基于SNMP的嵌入式系统Web管理模型[J].计算机工程,2005,30(1):39-41.
[33] 王平,李莉,赵宏.网络管理中事件关联检测机制的研究[J].通信学报,2004,25(3):73-81.
[34] 王平.分布式网络管理系统体系结构和管理机制的研究[D].沈阳:东北大学,2003.
[35] 王新苗,晏蒲柳,黄天锡.网络管理告警数据库中时序规则挖掘的一种新方法[J].小型微型计算机系统,2001,22(11):1311-1314.
[36] 王云岚,李增智,等.网络故障管理专家系统及知识发现系统[J].微电子学与计算机,2002,(4):57-60.
[37] 吴礼发.基于SNMP的网络管理系统分布式策略的研究[J].网络与通信,2001,(3):95-99.
[38] 胥光辉.网络管理中的事件关联技术研究[D].南京:解放军理工大学,2000.
[39] 杨洪涛,王继龙.网络事件管理系统中关联技术的选择及实现[J].计算机工程,2006,(4):197-199.
[40] 杨洋,马玉祥.基于关联规则的网管告警数据库知识发现[J].微电子学与计算机,2004,(1):50.
[41] 袁茜,冯拓宇,刘峰,等.综合管理系统中告警系统的研究与设计[J].计算机应用研究,2005,(10):245-247.
[42] 张帆,夏红霞,袁景凌,等.入侵检测系统中关联规则的挖掘[J].湖北工业大学学报,2006,21(3):215-219.
[43] 张敏芳,陆志国,等.基于Web的网络管理模型的研究与设计[J].计算机工程,2003,29(20):104-106.
[44] ABOELELA E, DOULIGERIS C. Switching Theory Approach to Alarm Correlation in Network Management, Local Computer Networks [C]. New York: Proceedings of 25th Annual IEEE Conference, 2000.
[45] AKIRA KANAMARU, KOHEI OHTA. A simple packet aggregation technique for fault detection [J]. International Journal of Network Management, 2000, (10): 215-228.
[46] GAL AVIGDOR, MYLOPOULOS JOHN. Web-based Application Management Systems [J]. IEEE Communications Magazine, 2001, 13(4): 683-702.
[47] GALVIN, MC CLOGHRIE. Party MIB for SNMPv2 [S]. RFC 1447, 1993.
[48] GARDNER R D, HARLE D A. Methods and Systems for Alarm Correlation [C]. Proceedings of IEEE Globecom '96, 1996.
[49] JAKOBSON G. Real-time telecommunication network management: extending event correlation with temporal constraints [C]. 4th IEEE on Integrated Network Management, 1995.
[50] JOHN P, ROUILLARD. Real-time log file analysis using the Simple Event Correlator [J]. LISA 2004 Conference: Atlanta, GA, 2004(11): 1-10.
[51] KETTSCHAU H J, BRUCK S, SCHEFCZIK P. LUCAS——An Expert System for Intelligent Fault Management and Alarm Correlation [C]. Network Operations and Management Symposium, 2002.
[52] MELCHIORS C, TAROUCO L M R. Troubleshooting Network Faults Using Past Experience [C]. IEEE/IFIP Network Operations and Management Symposium, 2000.
[53] NYGATE Y A. Event correlation using rule and object based techniques [C]. 4th IEEE on Integrated Network Management, 1995.
[54] YEMINI S, KLIGER S. High speed and robust event correlation [C]. IEEE Communications, 1996.
[2] 陈斌全.NetView网管软件的功能及特点[J].网络技术与资讯,2002,(12):87-88.
[3] 陈俊,李之棠.基于多Agent的网络管理系统设计[J].华中科技大学学报(自然科学版),2003,(31):250-252.
[4] 陈敏,李兴明,彭向梅.网络故障诊断专家系统中知识库的设计[J].电子科技大学学报,2005,34(6):996-999.
[5] 陈庆良,陈国龙.网络故障诊断实现框架[J].福建电脑,2004,(12):2-4.
[6] 成汝震,刘宏忠.基于WEB网络性能管理扩展架构的研究[J].计算机工程与应用,2001,(16):65-69.
[7] 单纪文,张秉权,徐涛.一种基于SNMP的远程管理的实现[J].计算机应用,2004,24(7):71-73.
[8] 董灿钧,奚琪,徐孟春.SNMP网络管理模型中故障管理的设计与实现[J].信息工程大学学报,2003,4(1):76-79.
[9] 杜军平,郭文生,王锐杰.网络管理系统的设计与实现[J].北京工商大学学报(自然科学版),2004,(1):21-25.
[10] 段渭军,李引娟,王福豹.基于Web的分布式网络管理及其实现[J].计算机应用研究,2003,(6):124-127.
[11] 樊兴,郭铭,宁志杰.NMS管理软件的设计与实现[J].计算机与数字工程,2004,32(1):46-50.
[12] 范明,孟小峰.数据挖掘概念与技术[M].北京:机械工业出版社,2001.
[13] 费洪晓,康松林,施荣华.基于SNMP的网络应用软件监控系统设计与实现[J].计算机工程与应用,2004,(15):122-125.
[14] 郭永艳,寿建霞.基于SNMP的校园网计费系统[J].浙江工业大学学报,2004,32(1):78-81
[15] 贺峻峰,卢燕飞,冯玉珉.IP网管系统中实时路由监测的实现[J].北方交通大学学报,2002,26(1):44-49.
[16] 江魁,黄云森.基于RRDTOOL的网络性能监测系统实现[J].中山大学学报(自然科学版),2002,(41):16-19.
[17] 金鹏.采用SNMPv3的网管系统的性能分析[J].计算机应用,2004,24(7):102-104.
[18] 李斌成,崔爱红,张彩娟.HP Open View网管平台二次开发及工程应用[J].专题技术与工程应用.2006,36(7):49-52.
[19] 李岚.基于事件关联的网络事件管理的研究和设计[D].南昌:南昌大学,2005.
[20] 李增智,朱海萍,唐亚哲,等.一种故障诊断专家系统在网络管理中的设计与实现[J].计算机应用与工程,2001,(17):24-26.
[21] 刘红,白栋,丁炜.嵌入式Web技术在网管系统中的应用[J].计算机工程,2002,28(7):20-23.
[22] 刘红,曾志民,丁炜.一种基于WEB的管理平台及实现[J].计算机工程与应用,2002,(6):17-20.
[23] 刘康平,李增智.网络告警知识发现研究与实现[J].计算机工程与应用,2001,(23):25-27.
[24] 刘培奇,李增智,赵银亮.扩展产生式规则的网络故障诊断专家系统[J].西安交通大学学 报,2004,38(8):783-786.
[25] 刘伟,石冰心,薛丰华.专家系统在网络故障管理中的应用[J].数据通信,2000,(3):52-54.
[26] 潘全文,艾弘飞,房振旭.专家系统的基本原理和基于CLIPS的专家系统设计与实现[J].飞机设计,2004,(4):78-80.
[27] 彭熙,李艳,肖德宝.网络故障管理中几种事件关联技术的分析与比较[J].计算机应用研究,2003,(9):145-148.
[28] 佘健,窦丽华,陈杰.基于SNMP协议的网络主机综合监控方法研究[J].北京理工大学学报,2002,22(3):368-371.
[29] 唐峰.基于WEB的网络管理系统设计与实现[D].上海:上海交通大学,1999.
[30] 王和平.有关SNMP模型中故障管理的设计与实现[J].计算机与现代化,2005,(3):57-59.
[31] 王焕然,徐明伟.SNMP网络管理综述[J].小型微型计算机系统,2004,25(3):358-366.
[32] 王金东,赵海,韩光洁,等.基于SNMP的嵌入式系统Web管理模型[J].计算机工程,2005,30(1):39-41.
[33] 王平,李莉,赵宏.网络管理中事件关联检测机制的研究[J].通信学报,2004,25(3):73-81.
[34] 王平.分布式网络管理系统体系结构和管理机制的研究[D].沈阳:东北大学,2003.
[35] 王新苗,晏蒲柳,黄天锡.网络管理告警数据库中时序规则挖掘的一种新方法[J].小型微型计算机系统,2001,22(11):1311-1314.
[36] 王云岚,李增智,等.网络故障管理专家系统及知识发现系统[J].微电子学与计算机,2002,(4):57-60.
[37] 吴礼发.基于SNMP的网络管理系统分布式策略的研究[J].网络与通信,2001,(3):95-99.
[38] 胥光辉.网络管理中的事件关联技术研究[D].南京:解放军理工大学,2000.
[39] 杨洪涛,王继龙.网络事件管理系统中关联技术的选择及实现[J].计算机工程,2006,(4):197-199.
[40] 杨洋,马玉祥.基于关联规则的网管告警数据库知识发现[J].微电子学与计算机,2004,(1):50.
[41] 袁茜,冯拓宇,刘峰,等.综合管理系统中告警系统的研究与设计[J].计算机应用研究,2005,(10):245-247.
[42] 张帆,夏红霞,袁景凌,等.入侵检测系统中关联规则的挖掘[J].湖北工业大学学报,2006,21(3):215-219.
[43] 张敏芳,陆志国,等.基于Web的网络管理模型的研究与设计[J].计算机工程,2003,29(20):104-106.
[44] ABOELELA E, DOULIGERIS C. Switching Theory Approach to Alarm Correlation in Network Management, Local Computer Networks [C]. New York: Proceedings of 25th Annual IEEE Conference, 2000.
[45] AKIRA KANAMARU, KOHEI OHTA. A simple packet aggregation technique for fault detection [J]. International Journal of Network Management, 2000, (10): 215-228.
[46] GAL AVIGDOR, MYLOPOULOS JOHN. Web-based Application Management Systems [J]. IEEE Communications Magazine, 2001, 13(4): 683-702.
[47] GALVIN, MC CLOGHRIE. Party MIB for SNMPv2 [S]. RFC 1447, 1993.
[48] GARDNER R D, HARLE D A. Methods and Systems for Alarm Correlation [C]. Proceedings of IEEE Globecom '96, 1996.
[49] JAKOBSON G. Real-time telecommunication network management: extending event correlation with temporal constraints [C]. 4th IEEE on Integrated Network Management, 1995.
[50] JOHN P, ROUILLARD. Real-time log file analysis using the Simple Event Correlator [J]. LISA 2004 Conference: Atlanta, GA, 2004(11): 1-10.
[51] KETTSCHAU H J, BRUCK S, SCHEFCZIK P. LUCAS——An Expert System for Intelligent Fault Management and Alarm Correlation [C]. Network Operations and Management Symposium, 2002.
[52] MELCHIORS C, TAROUCO L M R. Troubleshooting Network Faults Using Past Experience [C]. IEEE/IFIP Network Operations and Management Symposium, 2000.
[53] NYGATE Y A. Event correlation using rule and object based techniques [C]. 4th IEEE on Integrated Network Management, 1995.
[54] YEMINI S, KLIGER S. High speed and robust event correlation [C]. IEEE Communications, 1996.