[发明专利]网络运营应用程序监测

说明书

监测引擎安装在计算设备上，所述计算设备针对计算设备上生成并通过网络发送的数据流以及由计算设备从网络接收的数据流监测网络信息和应用程序信息。所述网络信息包括互联网协议(IP)源地址、源端口、IP目的地地址、目的地端口和传输协议以及由所述流发送或接收的字节数。所述应用程序信息包括应用程序用于生成数据流的进程标识符(ID)、线程ID、应用程序ID和/或函数调用、传递给函数的参数、函数的堆栈跟踪等。所述网络信息和应用程序信息可用于识别在所述网络中导致异常的应用程序、线程和/或函数。

相关专利申请的交叉引用

本申请是于2016年6月29日提交的美国专利申请No.15/197,387的继续并要求其优先权，该申请通过引用整体并入本文。

技术领域

本公开总体上涉及监测网络，并且更具体地涉及识别导致网络中的异常(相关的性能和安全)的应用程序。

背景技术

网络监测工具监测网络中发生的通信。例如，网络监测工具可以监测网络信息，例如因特网协议(IP)源地址、IP目的地地址、传输协议(如TCP或UDP)源端口、目的地端口和发送/接收的字节数。当计算设备创建通过网络传播的网络通信数据时，网络监测工具以预定义的时间间隔收集并存储该网络信息。然而，当网络监测工具监测计算设备之间的网络通信时，网络监测工具不监测计算设备内的使得计算设备生成网络通信数据的应用程序。结果，当网络中发生异常时，常规的网络监测工具可以识别导致异常的计算设备，而不是生成网络通信数据的应用程序。

这种透明度的缺乏可能产生从计算设备安全性到计算设备性能的问题。例如，当常规的网络监测工具识别由于网络攻击或可以被追溯到网络中的特定计算设备的应用程序而产生的网络中的异常时，没有方式来识别计算设备上的哪个应用程序是异常的起因。相反，系统管理员或法证分析员(forensic analyst)被迫手动搜索在计算设备上执行的大量应用程序，并且尝试猜测并识别感兴趣的应用程序。当导致网络中的异常的应用程序停止在计算设备上执行并且在系统管理员或网络分析员搜索计算设备时不再能够被识别时，或者当导致网络异常的应用程序执行短暂时间并在多次简短执行期间使用不同端口时，这个问题被进一步加剧。

附图说明

图1是可以实施实施例的示例性系统的图示。

图2是根据实施例的监测引擎的图示。

图3A是根据实施例的确定网络中的异常的监测引擎的框图。

图3B是根据实施例的识别导致网络中的异常的应用程序的主监测引擎的框图。

图4是根据实施例的用于从节点收集网络信息和应用程序信息的方法的流程图。

图5是根据实施例的用于确定哪个应用程序导致网络中的异常的方法的流程图。

图6是示出计算系统的实施例的示意图。

通过参考下面的具体实施方式，可以最好地理解本公开的实施例及其优点。应当理解，相同的附图标记用于识别一个或多个附图中所示的相同元素，在附图中，其中的显示是为了说明本公开的实施例，而不是为了限制本公开的实施例。

具体实施方式

以下结合附图阐述的具体实施方式旨在作为各种配置的描述，并非旨在表示可实践本文所描述的概念的仅有配置。具体实施方式包括用于提供对各种概念的透彻理解的目的的具体细节。然而，对于本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下实践这些概念。在一些实例中，公知的结构和组件以框图形式示出，以便避免使这些概念难以理解。