Подсистема ЕхреrtAnаlysis

Сердцем серверов SnifferServer является экспертная система анализа сети ExpertAnаlysis. В основе системы лежит уникальная база знаний, накопленная специалистами компании NetworkGeneral с 1986 года и основанная на опыте работы с пользователями различных сетей и разработках групп Станфордского и Массачусетского университетов, а также компании NipponTelephoneandTelegraph (NTT).

Основное назначение системы - сокращение времени простоя сети и ликвидация узких мест сети с помощью автоматической идентификации аномальных явлений и автоматической генерации методов их разрешения. Система экспертного анализа предоставляет диагностическую информацию трех категорий:

· Симптом - событие в сети, которому администратор сети должен уделить дополнительное внимание (например, физическая ошибка при обращении к узлу сети или единичная повторная передача файла). Не обязательно означает возникновение проблемы, однако при высоком уровне периодичности требует внимания администратора.

· Диагноз - неоднократное повторение симптома, подлежащее обязательному расследованию со стороны администратора сети. Обычно диагноз описывает ситуации, характеризующие серьезные неисправности в сети (например, дублируемый сетевой адрес).

· Объяснение - контекстно-зависимое экспертное заключение системы анализа для каждого симптома или диагноза. Объяснение содержит описание нескольких возможных причин сложившейся ситуации, обоснование подобного заключения и рекомендации по их устранению.

В системе имеются возможности дополнения существующей базы знаний специфическими данными, полученными администратором сети в процессе ее использования.

Система автоматического анализа ExpertAnalysis основана на уникальной многозадачной технологии анализа пакетов, которую в нескольких словах можно описать следующим образом:

· Циркулирующие в сети пакеты непрерывно захватываются и помещаются в кольцевой буфер захвата (первая задача).

· Одновременно с этим несколько задач-анализаторов протоколов (по одной на каждое из семейств протоколов) сканируют буфер захвата и генерируют информацию в едином внутреннем формате.

· Эта стандартизованная информация поступает на группу задач-экспертов. Каждый из экспертов является таковым лишь в своей узкой области, например, в знании протокола взаимодействия клиента с сервером NetWare. Если эксперт находит событие, связанное с его областью интересов, он генерирует некоторый соответствующий объект (например, " пользователь Guest сервера IBSO") в объектно-ориентированной базе данных о сети, называемой BlackboardKnowledgeBase, и связывает его с соответствующими объектами более низкого уровня (в нашем случае - с адресом IPX станции пользователя Guest, связанным с МАС-адресом платы этой станции, и с сервером IBSO, связанным с адресами IPX и IP, а также с MAC-адресами сетевых плат сервера, а также со всеми уже вошедшими на сервер пользователями, принт-серверами, и т.д.). В результате возникает некоторая сложная структура, отображающая все объекты сети, относящиеся к некоторому протоколу и все возможные связи между ними на всех 7 уровнях модели ISO/OSI.

· Существует вторая группа задач-экспертов, постоянно анализирующая состояние базы данных и выдающих сообщения о ненормальном функционировании сети (симптомы или диагнозы). В общей сложности система ExpertAnalysis знакома с более чем 200 различными проблемами функционирования сети.

Последний элемент этой системы - эксперты, генерирующие подробное описание проблемы и методы ее исправления. При этом эти эксперты сканируют базу данных и подставляют в выдаваемые рекомендации реальные объекты сети - МАС-адреса, названия серверов, имена задач и т.д.

Подобная многозадачная система анализа является уникальной на рынке анализаторов. Некоторые из продуктов компаний-конкурентов также предлагают системы с элементами искусственного интеллекта, однако принципы построения их совершенно иные. Исповедуемый компанией NetworkGeneral принцип построения анализатора на основе " круглого стола экспертов", реализованного на основе специализированного многозадачного ядра, позволяет проводить анализ с очень высокой производительностью. Задачи-эксперты одновременно ведут обработку информации по мере ее поступления, а используемые эвристические правила позволяют быстро локализовать круг экспертов по каждому из конкретных случаев и временно приостановить работу других экспертов.

Исповедуемый другими компаниями принцип, требующий последовательного применения всех эвристических правил, ведет к снижению производительности анализа на тех же мощностях процессора и к необходимости использования более мощного процессора для обеспечения соизмеримой производительности.

Система ExpertAnalysis обеспечивает то, что компания NetworkGeneral называет активным анализом. Для понимания этой концепции рассмотрим обработку одного и того же ошибочного события в сети системами традиционного пассивного анализа, и системой активного анализа.

Пусть в сети в 3: 00 ночи произошел широковещательный шторм, вызвавший в 3: 05 сбой системы создания архивных копий баз данных. К 4: 00 шторм прекращается и параметры системы входят в норму. В случае работы в сети системы пассивного анализа трафика пришедшие на работу к 8: 00 администраторы не имеют для анализа ничего, кроме информации о втором сбое и, в лучшем случае, общей статистики по трафику за ночь - размер любого буфера захвата не позволит хранить весь трафик, прошедший по сети за ночь. Вероятность ликвидации причины, приведшей к широковещательному шторму в такой ситуации крайне мала.

А теперь рассмотрим реакцию на те же события системы активного анализа. В 3: 00, сразу после начала широковещательного шторма, система активного анализа фиксирует наступление нестандартной ситуации, активирует соответствующий эксперт и фиксирует выданную им информацию о событии и его причинах в базе данных. В 3: 05 фиксируется новая нестандартная ситуация, связанная со сбоем системы архивирования, и фиксируется соответствующая информация. В результате в 8: 00 администраторы получают полное описание возникших проблем, их причин и рекомендации по устранению этих причин.