Developing an Active Intelligent Network Management System with Ontology-based and Multi-Agent Techniques

本體論支援多重代理人技術之主動式智慧型網路管理

系統的研發

Developing an Active Intelligent Network Management

System with Ontology-based and Multi-Agent

Techniques

楊勝源

聖約翰科技大學 電通系 Email: ysy@mail.sju.edu.tw

張譯仁

聖約翰科技大學 電機系 Email: 96N05018@student.sju.edu.tw 摘要―本系統透過智慧型代理人軟體間的合作與協 調，進行相關網路資訊的擷取。系統經過分析後提出警 示，俾能監控網路上被管控物件間可能產生的錯誤徵兆， 藉以管控網路已發生或預測可能發生的錯誤，成為一植基 於多重代理人技術之主動式智慧型網路管理系統。本技術 引用本體論概念結合Ethereal 及 Cacti 相關自由軟體，將相 關網路管理運作資訊完整儲存於後端資料庫；再整合智慧 型代理人技術，提供後端監控系統做進一步分析處理，呈 現出圖形化網路監控系統之相關動態資訊量化圖。初步系 統呈現及實驗結果驗證本技術對於網路設備即時狀態之 瀏覽、分析、研判與處理及網路使用行為分析不僅故障警 示精準，針對故障處理時程更縮短為傳統處理時程的 61%。 關鍵詞―智慧型代理人、圖形化監控系統、網路管 理、網路流量擷取。

Abstract―The system operated the information fetching

through the cooperation and coordinate of the intelligent agent software. In addition, the system also provided warnings after analysis so as to monitor and predict some possible error portents generated among controlled objects in the network, and such operating mode, so to speak, an active and intelligent network management system with multi-agent techniques. This technique derived from the ontology combining with related free software - Cacti which stored the operating information of network management perfectly into the backend database; furthermore, integrated intelligent agent techniques to provide backend monitoring system with further analysis so as to present related quantification figures of dynamic information of graphic network monitoring system. The experimental outcomes of the system prototype proved that the techniques implemented in this thesis could not only precisely recognize error alarms but also indeed reduce the recovery time to 61% of traditional processing time for network troubleshooting when real-time browsing, analyzing, estimating, handling, and engaging to behavior analysis of using network.

Keywords―Intelligent Agents, Graphic Monitoring

Systems, Network Management, Network Flow Fetching.

一、緒論

網際網路的迅速發展，使得網路日益複雜及龐 大，如何有效管理網路上各種不同的網路區段及設 備，了解問題症狀並適時以直覺式圖形化介面來提出 警示，藉以提升網路的服務品質與效能，早已成為近 代網路管理中一項非常重要的課題[2]；況且，網路環 境也從以往單一廠商的封閉式環境轉變為多個廠商 的開放式異質環境。各式不同廠牌、類型的網路設備 及軟體整合在一起，造成網路產生問題的機率相對提 高，監控的困難度亦日益加深。然而，現有的網路管 理系統不僅在設備及流量上皆有不同的管理應用程 式；更嚴重的是現有的網管軟體均不夠人性化和缺乏 彈性的監控機制，必須個別學習、維護及管理，當問 題發生時，只有網管人員看得懂監控資料[10]，無法 真正滿足使用者端之實務需求。 針對上述問題，市場上雖有各式不同的解決方 案，諸如HP OpenView、CA Unicenter TNG 或 IBM Tivoli 等軟體符合上述強大的異質性網路管理，然而 其採購建置費用龐大，造成企業不小的負擔；即使是 小而美的網控軟體，例如WhatsUP、NetVCR 等，其 模組化架構或是限制管控設備數量，卻也直接造成企 業及網管人員的困擾，諸如：如何由複雜的網路結構 中便捷地整合歸類出問題；無法透過單一平台提供智 慧型動態資訊整合，分享關聯性查找問題；異質性網 管產品資訊鬆散不同步，無法提供高智慧性整合數據 等。 本論文即探討如何因應各式企業環境需求亦能 有效地整合不同網路設備間的資訊，簡易達成網路監 控管理系統。首先，藉由本體論（Ontology）建構自

由軟體Cacti 與外掛 Scripts 來實作各式監控圖表；搭 配分散式智慧型代理人機制加以分析整合[6]，建立出 完整且準確的整體性網路資料，並存入後端My SQL 資料庫；最後，透過系統網頁呈現分析出有效且高品 質的直覺式動態網路資訊量化圖[7]。這種作法的意義 在於：提供便捷、具深度、且貼近於使用者之網路相 關問題解答；不僅繜節企業軟體成本與降低網路管理 人員被諮詢的工作負擔，更可讓一般使用者直接透過 系統網頁提供的動態網路資訊量化圖瞭解目前所使 用的網路狀況。 圖1. 圖形化監控代理人架構圖 圖1 例示出本系統的架構。介面代理人（Interface Agent）扮演使用者與系統間的溝通橋樑，傳遞人機 間所有的訊息溝通；並透過操作介面之功能設定，來 提供使用者的查詢結果；代取代理人（Proxy Agent） 則扮演介面代理人與後端蒐集代理人（Search Agent） 間之中介者，可有效降低後端伺服器資料庫的擷取負 擔；監控代理人（Monitor Agent）能同時運行即時地 對多個網路設備進行監控，負責擷取與收集來自設備 之不同的資訊，並存成本體論主導之動態網路資料 庫，方便系統直接存取並輸出監控結果；最後，蒐集 代理人藉由本體論支援的網站模式，執行及時且兼顧 使用者導向與領域相關的網路資訊擷取，達成植基於 多重代理人技術之主動式智慧型網路管理系統的真 諦。 綜言之，本論文提出並整合下列資訊技術：本體 論（Ontology）、資料整合及代取（Proxy）機制，並 勾勒出圖形化監控代理人於網路維運效能服務系統 的四個主要組件：介面代理人、代取代理人、監控代 理人與蒐集代理人的系統架構，俾能從上述四個觀 點，有效地提昇與改善網路監控品質，達成主動式網 路管理模式之智慧型網路管理系統。本系統 NPM

（Network Performance Monitoring）的應用領域是監 控廣域網路及區域網路底層架構、直觀設備及網路營 運狀態，除了讓網管人員及時瞭解故障資訊，同時便 於使用者獲取訊息並有效地共用知識，縮短網路相關 問題的解決時間。初步系統呈現及實驗結果驗證本技 術對於網路設備即時狀態之瀏覽、分析、研判與處理 及網路使用行為分析確能減少問題故障之復歸時間 （Recovery Time）[16]。

二、背景知識與相關開發技術

2.1 本體論 圖2. MIB 定義 SNMP 部分本體論 本體論原本是哲學領域中的論點，主要探討生命 或現實事物的知識本質。本體論能提供完整的語意模 型，透過本體論來描述知識內容的架構，可以完整地 呈現一個特定領域的知識核心，自動地瞭解相關領域 資訊、溝通及存取，甚或更進一步推論出新的知識與 結果，對於資訊系統的建立與維護，是個非常有力的 工具[27]。圖 2 就是一個常用網路協定知識的部分領 域本體論，主要定義網路設備間各種資訊儲存架構的 相關基本知識[3]。本系統採用 Protégé-3.1.1 [25]做為 本體論的建構工具。 2.2 管理訊息資料庫（MIB） 管理訊息資料庫MIB（Management Information Base），架構於網路中監控與被監控的設備上，可用 來儲存各式各樣的SNMP物件。因為不同種類或使用 不同通訊協定之網路設備，均有其獨特的網路管理模 式，故每種網管模式都會有其自身的MIB物件集合， 諸如設備之網路界面、路由表格、IP封包之傳送接收 等，本系統將這些資訊統稱為SNMP物件，並以標準 格式儲存於MIB本體論資料庫中，藉以進一步管理監 控網路上的各項設備之相關管理資訊。 2.3 SNMP 協定 SNMP 是 簡 易 網 路 管 理 通 信 協 定 （ Simple Network Management Protocol）的簡稱，也是網際網 路的協定標準之一。它能讓網路上不同的設備，有共 通標準，並可提供網路管理的資料。這些資料，可進 一步由網管應用程式來讀取或進行監控。換言之，每

一被監控的系統上均運行一稱為代理人的軟體元 件，且透過 SNMP 對管理系統報告資訊，只要網路 設備上擁有 SNMP 代理人機制，系統即可使用網路 管理軟體，透過這些代理人，檢視或監控其設備上的 相關網管資訊。 2.4 相關開發工具與技術 Cacti 是一種利用 PHP 程式語言編寫運用 SNMP 採集資料，結合RRDtool、SNMP、MySQL、Apache 等多種工具組合而成[15]。它是一種圖形化呈現的網 路監控軟體，能儲存相關監控資訊及其時間序列 （time-series）；並具備多項強大的特色：幾乎支援所 有的網路協定、豐富的過濾語言、易於查看 TCP 交 談等，是目前全世界最廣泛的專業網管效能監控軟體 之一[19]。它的元件可建構一個以本體論為基礎的網 路通訊協定分析系統，且建置完成之本體論資料庫可 適用於其它網管軟體讀取分析；也可直接匯入資料庫 系統，如 MySQL，支援的功能較其它網路監控工具 來得完整。本系統採用版本為0.8.7。 RRDtool 指的是環狀資料庫工具（Round-Robin Database）。它是一套可將數據轉換成圖表，並可動態 更新圖表的程式[26]。RRDtool 可用於網頁瀏覽器中 顯示PNG 格式的圖像，這些 PNG 圖像來自動態資料 的收集，它可以是網路平均使用率、峰值等，最適合 儲存時間序列的資料，圖表以時間為x 軸、流量為 y 軸來表示。 MySQL 是一開放源碼的小型關聯式資料庫管理 系統，開發者為瑞典 MySQL AB 公司[24]。目前 MySQL 被廣泛地應用在 Internet 的中小型網站。由於 其體積小、速度快、成本低，許多中小型網站為了降 低網站總體擁有成本而選擇它作為網站資料庫。SQL

（Structured Query Language）則是一種常見的關聯式 資料庫查詢語言，用來取得資料庫中的資料。 IP TCP UDP HTTP FTP 圖3. Ethereal封包解析協定樹概略圖 Ethereal由Gerald Combs開發，是一個開放原始碼 免費的網路分析系統軟體，也是目前最好的網路通訊 協定分析器之一[20]，支援Linux和MS Windows平 台，架構採用協定樹的方式，示如圖3。在國際標準 組織ISO的OSI（Open System Interconnection）7層網 路協定模型，網路封包資料是從上到下封裝後發送 的，因此，對於協定分析需要從下至上進行。首先， 對網路層的協定識別後，進行封包還原，然後脫去網 路層協定表頭，將裡面的資料交給傳輸層分析，如此 循環進行直到應用層為止。由於程式採取開放原始碼 的方式，更新通訊協定迅速，支援不同軟體匯出的封 包擷取檔案格式，最後，透過圖形介面來表示，清晰 易懂，為目前廣為世界各地專業網管使用，本系統安 裝版本為0.10。 本系統使用Ethereal內含的WinPcap工具，包含核 心的封包過濾，一個低階動態聯結函式庫，和一個高 階系統函式庫的Pattern來定義一個過濾的正規表示 法[29]。如此，即可直接存取封包應用程式界面來分 類通訊協定、儲存記錄，用以提升分類的及時性及其 精準度。WinPcap是一個可在Win32環境下用來擷取 封包的工具，同時也可讓使用者運用高階應用程式介 面去執行一些較低階的擷取功能，因此，在開發有關 封包擷取的軟體時，WinPcap是一個相當理想的選 擇。WinPcap的基本架構大體上可分為三部分，包含 了一核心層次的封包過濾器（Netgroup Packet Filter, NPF）；在使用者層次則提供兩個動態連結函式庫： 一 個 較 低 階 的 動 態 聯 結 函 式 庫 （Dynamic Link Library）；以及一個高階並且獨立於作業系統的聯結 函式庫（System-independent Library）。在核心層部 分，最主要的工作就是擷取網路卡收到的封包，以及 過濾與監聽封包；在擷取封包的過程中，必須要繞過 網路協定堆疊，擷取在網路中傳輸的封包，此部分必 須運作在作業系統核心中，並且能與網路驅動介面做 直接的互動；亦即必須在WinPcap定義NPF來達成上 述核心層的工作。在使用者層，packet.dll是一個動態 鏈結函式庫，其提供較低階存取的API（Application Programming Interface）可供存取硬體層之參數。 packet.dll為Win32平台提供了一個公共介面，不同版 本的Windows系統均有其對應核心，來解決系統核心 間的差異問題，使得動態鏈結packet.dll的程式可運作 在不同版本的Win32平台上，而無需重新編譯。至於 wpcap.dll則是一個在擷取程式內的靜態函式庫，內含 諸多的系統函式，這些函式與硬體型號或是作業系統 版本無關，提供一個高階且方便的途徑去擷取封包， 如圖4所示。 圖4. WinPcap運作流程圖 多重代理人系統（Multi-Agent System：MAS）， 係指多種代理人所形成的分散式環境。有鑒於目前許 多的軟體或資訊系統，皆由許多不同的代理人程式所

組成的趨勢，在多重代理人系統環境中，各種類型的 代理人可協同其個別技術、知識、目標和計劃來整合 解 決 分 散 式 問 題 ， 展 現 出 多 重 代 理 人 的 異 質 性 （Heterogeneity）與多重代理人間的溝通特性[5]。本 論文即運用多重代理人來完成相關網路效能的監控 及直覺式圖表繪製與更新的智慧型網路資訊控管系 統。它會在監控網路上，主動於既定規則與授權範圍 內活動，在沒有時間與空間的限制下，協助其委託人 進行網路資訊蒐集、過濾、整理、分析與呈現。

三、系統架構及處理流程

3.1 系統開發及運作 圖5. 系統運作架構圖 圖5 為本系統運作架構，系統後端伺服器作業系

統採用Windows 2003 Server 版本及 IIS 6.0 [11]。智

慧型代理人系統則使用 Java 來開發其相關作業環境 [17]，並常駐佈建於主機的電腦上執行；再利用各代 理人間的合作機制，以 KQML（Knowledge Query Manipulation Language）的標準語言彼此溝通、協調 與分工合作，藉以蒐集相關網路之動態封包通訊協定 及數據，並將數據資料存入後端MySQL 資料庫，藉 以建立該領域的本體論；最後，安裝自由軟體Ethereal 及Cacti，Cacti 搭配 RRDtool、Net-snmp 等套件來協 助實作各式網路流量圖及狀態圖，使監控圖表的代理 人及本體論相結合，用以支援該領域的網路流量統計 分析與通訊協定與IP 分析[14]。使用者之前端網頁則 使用 PHP 語法來呈現出相關的數據及狀態，讓系統 監控能力更加完整，同時亦簡化了系統安裝及設定流 程，大幅降低本系統實務導入時的困難度[23]。相關 多重代理人之角色及任務與完整群組之詳細工作流 程，茲分述如后。 3.2 介面代理人 圖6即為本介面代理人的細部架構與其它相關代 理人的關係圖，其內容模組可以區分為User Login（使 用者身份確認掌握）；User Manager Program（管理 使用者的功能存取權限）；Personalized Web（個人 化網頁呈現）；Painting Component Model（數據繪圖

模組），Webpage Processor（預先下載與處理直覺化 圖型相關網頁）。

圖6. 介面代理人的架構圖

當介面代理人收到使用者的登入查詢請求，為驗 證每一個登入使用者的身份及給予瀏覽權限來進行 帳戶分級管理，經由User Manager Program接收到使 用者帳號及密碼後，轉向後端使用者個人資料庫 （User Profile DB）搜尋使用者資訊。使用者管理程 式認證流程說明如下：在資料庫裡，設置不同用戶存 取權限之使用者資料，使用者管理程式去讀取使用者 模組資料庫帳號權限進行比對，並對內部資料表格依 序讀取下列四種記錄類型： (1) Auth：對使用者所提供的帳號認證資訊做驗證； (2) Account：非認證方面的帳號管理，比如檢查帳號 密碼的期限是否過期等； (3) Password：對使用者所提供的密碼認證資訊做驗 證； (4) Session：與使用者在存取服務前後所需執行的一 些工作有關聯，比如紀錄掛載目錄的資訊、限制 使用者的資源使用等。 針對上述資料庫的記錄來搜尋符合登入使用者 的瀏覽權限，一旦驗證成功，使用者管理程式則依據 其登入的帳號作權限管制，完成整個認證過程，並將 認證結果傳回給Personalized Web，分別呼叫所使用 的個人化網頁機制，來產生對應的個人化權限網頁機 制[12]，運作流程詳如圖7。 圖7. 使用者帳號認證架構圖

Painting Component Model使用Cacti的RRDTool 模組套件，可定時透過監控代理人及代取代理人對網 路設備間收集相關網路流量的資料並繪製成圖表，如 圖8所示。

圖8. 繪圖模組流程圖 圖9. PHP圖型顯示部份語法 領域本體論資料庫（Ontology Database）的建 立，則分別將每日所產生的圖示數據資料分開存放 [1]。由監控代理人及代取代理人傳送過來的數據資料 進行訊息接收，待Relation Data（關聯資料）例如： IP流量排名及日期時間相關流量數據等，完成關聯網 路流量圖示化資訊數據後，則進行Database Updating （更新數據庫），並利用Cacti的流量背景樣板圖型依 接收的資料（由Database Updating來源輸出的資料） 及PHP繪製通訊協定分析、IP流量排名的整合資料， 其部分撰寫語法如圖9所示，透過Painting Component Model來繪出相關監控圖表，並一直循環執行。最後， 透過介面代理人的執行流程，以網頁呈現企業內部網 路系統的整合監控運作情況，並以Webpage Processor 來呈現出相關即時網路監控直覺式圖形，例如：流量 數據圖、設備狀態圖，並可週期性更新畫面上各項設 備的即時狀態，提高企業內部網路監控資料整合的效 益及相關資訊服務的品質。 3.3 代取代理人 本代取架構係改良傳統的功能架構，發展出一套 主動式代取代理人機制，其元件係由Proxy Space（網 頁資料暫存區用來儲存預取的資料）；Refresher（自 動按照定義的Data Display Model時間間隔刷新資 料）；Data Display Model（資料顯示模組）；Scheduler （提供定時到資料庫讀取資料）四個部份組成，如圖 10所示。

代 取 功 能 結 合 代 取 代 理 人 機 制 ， 透 過Data Display Model（資料顯示模組），其組成元件為Data Connection（資料連接）、Data Integration（資料整合）、

Data Updating（資料更新）、Data Record（資料記錄）， 如 圖11 所 示。 由 Scheduler 應 用 程 式定 時 呼 叫 Data Display Model的Data Connection，透過標準的SQL語 言資料查詢方式，將資料查詢的語法傳遞給Ontology DB資料庫，並解析出使用者查詢語法中所夾帶的資 料來源位置，向資料庫來源進行相關資料讀取，其執 行相關步驟為：

圖10. 代取代理人架構圖

圖11. Data Display Model架構圖 (1) SQL Command Execution：執行SQL命令列； (2) Database Object Access：搜尋相關的資料表格工

作；

(3) Data Access：執行資料庫資料讀取； (4) Data Extracting：把所需資料擷取出來。

將 所 查 詢 到 的 資 料 例 如 ：IP （ 含 Source 及 Destination）、通訊協定、流量數據、日期時間，一 一傳送到Data Display Model的Data Integration，做資 料關聯整合及準備數據呈現，例如：Source IP對應的 Destination IP位置、通訊協定的歸納等；透過Data Updating更新資料移入Data Record成為新的資料記 錄，並將整合完成的數據處理結果回傳給資料庫，做 為歷史查詢的數據資料，來維持資料的一致性；再將 數據資料透過Refresher元件進行內部資料的更新後 暫存到Proxy Space，用來暫時儲存固定被要求的資 料；再由介面代理人的Painting Component Model來向 Proxy Space讀取資料。當有使用者提出瀏覽需求時， 則透過介面代理人傳送給瀏覽器，完成這一連串監控 資訊整合過程，藉以提高監控資訊瀏覽速度與相關處

理效率，以減少監控資訊存取時間。因此，本代取代 理人可依據使用者的真正資訊需求，務實地縮短使用 者至資料庫的查詢時間，進而達成查詢係以使用者導 向之的。 3.4 監控代理人 Filter Rule Model Relationship Tracer Rule Scheduler Data Analyzer Interface Agent Proxy Agent Search Agent Ontology DB Tracing Scheduler Data Flow Network Device Monitor Agent 圖12. 監控代理人架構圖 本代理人係透過結合相關監控及運算機制，將資 料及數據先行彙整，並經集中處理運算後，主動提供 即時、符合使用者需求且適性化的監控資訊內容；監 控代理人更能同時對網路流量及設備的監控行為做 更有效率的分派、協調，如此更能在兼顧資料的變動 情形與系統資源有限的前提下，提供主動且有效率的 監控資訊服務[4]。本系統設計以監控網路流量示警及 網路設備為主要功能，如圖12所示，包括：Tracing Scheduler（定時將資料庫資料讀取）、Relationship Tracer （網路通訊埠關聯）、Data Analyzer（分析擷 取流量數據）、Filter Rule Model （示警運算模組） 及Rule Scheduler（所得結果定時送至介面代理人）。 首先，利用Tracing Scheduler元件定時讀取資料庫所 需要的資訊數據，因資料庫記錄檔的資料非常繁雜， 需透過Relationship Tracer及Data Analyzer去分析讀 取資料庫不同來源的記錄檔，將需要的資訊區塊讀取 出來，如：網路設備的介面通訊埠、流量數據及日期， 來做資料的關聯整合，並透過Filter Rule Model（如圖 13 所 示 ） 進 行 數 據 資 料 讀 取 Data Reading （ From Relationship Tracer and Data Analyzer）、數據分析及 診斷（Data Analysis and Diagnosis）、數據處理（Data Processing）、故障警示（Error Alarm）及正常狀態 （Normal State），以下說明Filter Rule Model運作流 程。

圖13. Filter Rule Model架構圖

首先，Filter Rule Model從Relationship Tracer取得 各網路通訊埠狀態訊息，例如：運行狀況是Up或 Down，再從Data Analyzer取得相關數據資料，例如： 取得網路設備通訊埠上各流量數據，本代理人透過這 兩者數據分析及診斷後；再將處理後的數據按使用者 的要求，系統加權計算後，算出最後的結果，例如： x<=40表綠色正常、80=>x>=41表黃色示警、x>=81 表紅色示警；最後，系統據此透過介面代理人做出適 當的警示。這種作法不僅即時產生數據做處理，同時 儲存於資料庫；一則針對歷史紀錄，做資料流量的分 析，以利後續的歷史資料查詢；再則依據管理者事先 設定好的訊息處理做出適合的回應。 綜言之，本代理人係根據所得到的結果來判斷臨 界值是否符合管理者的設定，藉以判定設備現有的狀 況，來反應為故障警示或正常狀態結果，並觸發相關 的警訊處理兼顧增強偵測被管理物件異常狀態與示 警通知能力；隨後透過介面代理人模組，將接收到設 備狀態數據結合繪圖模組處理，以直覺式圖型表示並 週期性更新畫面上各項設備的即時狀態。使用者亦可 透過瀏覽器隨時觀看整個網路與設備之連線狀態，進 而得知監控設備與網路頻寬的即時狀況。因此，網路 管理者不僅可輕易地判斷網路異常，如流量過大、線 路中斷等，更可快速找到故障事件點儘速隔離及排 除，務實縮短問題故障之復歸時間[8]。這種作法不僅 減少使用者監看的資料量，更能增進網路監控系統的 效能。 3.5 蒐集代理人 圖14. 蒐集代理人架構圖 網路監控所需蒐集的資料因地制宜，支援監控代 理人所產生的資料格式及內容也截然不同。本蒐集代 理人為觀察整個網路與設備之連線狀況，引用相關領 域本體論、Cacti 及 Ethereal 等開放源碼之相關函式 庫，建構在SNMP 核心之上，包括 Linking Status（連 線狀況）；Packet Sniffer（封包收集）；Data Gathering

（資料採集）及Protocol Analyzer（協定分析），完整

架構詳如圖14 所示。整體運作分為封包收集和網路

通訊埠功能，利用Ethereal 內建封包採集函式所產生

的Packet Sniffer，來收集網路上所有傳輸封包，並透

過 Protocol Analyzer 分析通訊協定及其對應 IP；後

者，則透過Cacti 的 SNMP Get 通訊協定來收集整體

網路流量數據[21]。相關元件的功能及運作，茲分述 如后。

Packet Sniffer 封包蒐集器透過 WinPcap 工具從網

路上接收傳來的流量封包，然後使用以Ethereal 為基

礎的Protocol Analyzer 來做協定分析，將傳送來的封

包根據對 IP 封包所屬之資料流（Data Flow），做多

重通訊協定分類，依封包標頭的五個欄位（Source IP、Destination IP、Protocol、Source Port、Destination Port）來分類封包的資料流。依據封包的標頭與內容、

進行過濾的動作，來辨別出所使用的Protocol、IP 及

Port，並將流經的每條資料流基本資料以及設備的相

關資訊狀態儲存於Ontology DB 本體論資料庫中。另

Linking Status 元件週期性運用 Windows Ping 方式偵 測設備的最新的狀態，為每個網路設備通訊埠進行連 線狀態的維持偵測，同時引用Cacti 的 SNMP Get 通 訊協定週期性收集網路即時流量資訊，負責連線資訊 的紀錄與流量數據的抓取，其所記錄到之相關網路監 控資料及數據，都會藉由SNMP Get 儲存在 Ontology DB 本體論資料庫。透過 Data Gathering（資料採集） 元件加強資料分析與對應資料庫連結功能，根據每條 資料流的識別碼，可至本體論資料庫中尋找對應的資 料流紀錄[13]。例如：SMTP、HTTP、TCP、UDP、 ICMP 協定對應到的 IP。直接把定義監控資料從資料 庫按分類讀取出來，根據對應IP 彙整相關監控資訊， 並同步更新資料庫的資訊；根據代取代理人所訂定的 顯示資料，來檢視封包的標頭找出符合的規則。最 後，傳送完整的監控資訊到代取代理人，方便使用者 透過介面代理人來讀取欲查詢之相關監控訊息，快 速、精準且及時地觀察相關網路狀態，包括網路設 備、使用通訊協定、IP 與網路頻寬之運作資訊及其相 關狀態。 3.6 知識塑模及本體論資料庫建置 本 系 統 選 擇 史 丹 佛 大 學 醫 學 中 心 所 研 發 的 Protégé-3.1.1 作 為 本 體 論 建 置 工 具 。 它 不 僅 擁 有 Java-Based 的特性，具備支援多種平台的版本，尚可 外掛載入視覺化階層架構圖（TGVizTab）來延伸建 置 功 能 ， 方 便 檢 視 本 體 論 內 容 的 一 致 性 （Consistency）。綜言之，其最大特色是透過多類元 件進行知識本體的編輯與製作，讓知識工作者可以建 構一個以本體論為基礎的知識管理系統，且建置完成 之本體論不但可轉換成各種不同的本體論格式，諸如 RDF(S)、OWL、XML 等；亦可直接匯入資料庫系統， 譬如MySQL 及 MS SQL Server，支援的功能較其它 本體論建置工具來的完整。 首先利用OWL 語言描述 MIB 資訊及定義，接著 再透過已建置完成的 MIB 本體論做結構性分類，也 就是利用 MIB 的層級概念來表達各階層之關係，其 所建構的本體論架構來分析各種封包中所包含的意 義，並將這些意義記錄到對應本體論中而形成不同分 類群組，概念如圖15 所示。 圖15. 本體論概觀圖 表1. 類別與標號的對應 類別 標號 所包含的訊息 System （1） 主機或路由器的作業系統 Interfaces （2） 各種網路介面及它們的測定通信量 Address Translation （3） 位址轉換 IP （4） IP 分組統計 ICMP （5） 已收到ICMP 消息的統計 UDP （6） 演算法、參數和統計 EGP （7） 外部閘道協議通信量統計 上圖說明一個區域網路透過封包蒐集器蒐集資 料所形成的本體論的概觀圖，Domain 表示一個可執 行 SNMP 的網路元件上運作的軟體，可蒐集網路封 包 及 流 量 數 據 的 SNMP 要 求 的 根 （ root ）； Category[1…n]表示可執行在特定管理信息庫中定義 資訊和管理功能的子類別；Class Name 表示 Category 的子類別，其中包含每個封包相關內容，舉例來說： 一個管理信息庫有主代理的資訊、配置主代理的參 數、回應管理者的要求、產生警告等子類別，而上述 的 定 義 資 訊 又 有 System 、 Interfaces 、 Address Translation、IP、ICMP、TCP、UDP、EGP 等的子類 別，而每個子類別的屬性均有標號，如表1 所示。 每一個階層的運作代表連結（Link）。本系統透 過 MIB 蒐集多種目前常被使用到的通訊協定與應用 服務。了解訊息格式在封包標頭與應用層內容中的特 性與規格。歸納出分類封包時需要使用到的比對特 徵，進而設計出MIB 本體論資料庫。它具有網路 OSI 七層內容檢視、動態的通訊協定狀態紀錄與維持，根 據多種常見的通訊協定與應用服務規格，包含足夠的 比對參數種類，歸納出檢視封包標頭與OSI 七層內容 時會使用的比對特徵；利用Ethereal 工具以提供狀態

Engine）做為封包分類時的依據，來滿足便利與彈性 的需求。如此，涵蓋足夠的比對參數種類，才能描述 出各式的通訊協定或應用服務。最後，將其統計彙整 進而建立可供搜尋的資料庫。換言之，系統利用建置 好的網路協定本體論資料庫，支援蒐集代理人進行相 關網路協定封包的蒐集，支援系統進行分類處理。針 對的蒐集代理人而言，本體論引領領域封包蒐集指 引；對分類功能來說，本體論則是更進一步由特性去 細分類別，並設定出諸多類別樣式當作通訊協定分類 的依據。因此，我們只建構單一領域本體論去支援蒐 集代理人，但卻必須設置數個不同型樣的本體論去支 援分類功能。透過此本體論概觀圖，可以自動的判讀 資訊的關聯，本系統之本體論資料庫的建置包括：網 路協定相關概念統計與分析及本體論資料庫的建立 兩階段，茲細述如后。 圖16. 封包內容 首先，我們蒐集網路協定相關概念關鍵字及其對 應封包格式，如圖 16 所示。系統根據網路協定相關 概念關鍵字將其對應的標準封包格式，則按分類型樣 進行相關資訊分類，方便蒐集代理人進行監控資訊引 用，並具備比對通訊協定封包內容。換言之，假使比 對符合欲監控之對應通訊協定概念，且其封包格式亦 正確，系統則據以判斷此蒐集之網路封包的通訊協定 符合蒐集歸類的標的，並將此資訊附掛於 MIB 本體 論資料庫的分類標的之下，藉以蒐集真實資料案例， 增強系統判斷資料的精準度。 本系統利用Protégé-3.1.1 OWL [9]編輯器建置完 成本體論建置的第二階段：MIB 本體論資料庫，詳如 圖17 所示。 系統搭配本體論和比對規則，規則格式為：網路 協定、來源和目標的IP 位址、來源和目標的通訊埠。 當系統比對出對應關鍵字，這些關鍵字就是一個本體 論的概念所形成的集合，藉此判斷出對應的通訊協 定，再經對應封包格式的比對，即可輕易判斷出何種 協定的特定封包格式，來支援上述代理人間的系統運 作。本階段主要是將建置於Protégé-3.1.1 中的本體論 轉換成My SQL 資料庫，方便系統精準引用本體論資 訊，步驟如下： (1) 將Protégé知識庫所建置好的檔案匯出成XML 檔，這正是Protégé的強大知識再用性與快速知識 嵌入能力的明證。 (2) 最後再將XML匯入My SQL資料庫，方便系統相 關元件的存取，完成本體論資料的建置，如圖18 所示。 （a）本體論建立關聯步驟 （b）本體論階層圖 圖17. Protégé 建置領域本體論 圖18. 網路協定本體論資料庫轉換流程

四、系統呈現與驗證

圖19. 本系統網路監控第一層主畫面 爲了讓使用者清楚了解網路狀況，本系統首頁呈 現方式採階層式概念設計，包括以網路設備為主體的 網路設備狀態圖、網路設備流量圖、流量排行及協定 流量排行等四大部分。第二層為網路設備詳細狀況， 包含所有相關之設備、連線狀態、協定通訊資料等， 如圖19 所示出系統擷取的網路監控主畫面。玆將相 關監控細節分述如后。

4.1 使用者介面

本系統為直覺式圖型化監控模式，為方便系統管

控網頁瀏覽權限，使用者分成三種類型，包括：User、

Power user 及 Admin 三種身份。User 登入後只能在網 路瀏覽系統提供的第一層監控主畫面；Power user 可 以進入第二層之進階畫面瀏覽；Admin 除了可以瀏覽 上述兩者外，尚可設定網路設備及使用者權限，相關 設定功能分述如后。 (1) Device：新增、刪除網路設備 IP，詳如圖 20 所示。 當網路設備IP 設定新增後，其下方 IP Address List 則顯示出方才設定好的IP 位置；若要查詢這一台 設備有多少介面通訊埠受到系統監控，則須選擇 欄位Interface 對應之查詢按鈕，如圖 21 所示。 圖20. 網路設備新增移除設定 圖21. Interface 設定顯示 圖22. 帳號密碼新增移除設定 (2) Admin：新增、刪除使用者帳號及密碼，如圖 22 所示。當新增帳號完成後，則可在List 下顯示出 新設定的帳號、密碼及其相關網頁瀏覽權限。 4.2 網路流量排行榜 圖 19 左下角顯示出流量排行榜統計能讓使用者 得知那些主機佔據頻寬使用網路的最大流量。若想要 知道那些相對應主機間造成的流量，亦可點選對應網 頁圖示，即可輕易顯示進階狀態，如圖23 所示。 圖23. 網路流量進階分析 4.3 協定流量 圖 19 右下角顯示出每個應用協定頻寬使用的情 況，系統分析網路佔滿頻寬的應用程式為何？並能清 楚羅列出使用的連線方式及其頻寬使用率方便使用 者觀看與查詢，協助使用者便瞭解那些軟體系統佔用 電腦的最大的網路頻寬。 4.4 網路流量趨勢 圖 19 右上角則以圖形化顯示整個網路的流量分 析圖。系統可統計當日或過去任意時段的網路流量， 利用最大頻寬的臨界值警告，主動監控網路流量。系 統能在網路中斷時或頻寬滿載時自動發出預警，讓使 用者能儘早發現，即時處理事件，從而避免故障時 間，讓使用者隨時追蹤掌握事件狀況。 4.5 網路設備狀態圖 本系統能顯示出監控網路基礎架構下相關設備 的狀態圖，如圖19 左上角所示。當設備或連線狀況 出現障礙時，及時將設備狀態反應於連線圖示上。系 統會根據障礙點判斷並以顏色變化標示狀態，例如紅 色表故障、黃色為警告、綠色則為正常。將所有異常 事件皆歸屬於其所屬網路設備，除呈現顏色狀態變化 外，並顯示出發生時間。讓使用者更容易了解網路狀 況。本系統亦針對監控網路設備的狀況，可進一步點 擊該圖示了解其設備之詳細狀況，如圖24 所示。針 對整個網路的每一個埠上，觀察其第2-4 層的流量， 提供進階使用者知道該網路問題出在基礎架構的那 個部份，更能瞭解那些業務受到影響[22]。 圖24. 網路設備進階監控圖 4.6 示警監控 網路監控系統在障礙管理及效能管理中，有諸多

監控項目的異常判定是藉由量測數據跟基準臨界值 的比較來決定的，例如流量。然而量測數據往往會因 應不同環境、時刻與用戶行為而產生不同的合理變量

範圍。本系統因採微軟的作業系統，則利用Windows

Ping 指令來診斷網路連線狀態與連線品質，此一指令 依據RFC 792 透過 ICMP（Internet Control Message Protocol）協定的 Echo 功能，來檢查網路連線狀態。 小型的封包被送到網路上的 IP 位址，接著就等待其 回應的封包及數據，假使網路連線沒問題，網路設備 也正常開啟運作，送出端將會收到完好回應封包及回 應的數據，依此數據來作為封包行程所需耗費的時 間。本系統利用流量分析的高度彈性及模組化的監控 參數與複合式的監控條件組成過濾條件，來進行流量 分析訂定一數據標準[18]，其公式如下：

［Reply time（1）＋Reply time（2）＋Reply time（3）＋Reply time（4）/4］＝Average 值 Reply time：設備回應時間數據 Average：計算後所呈現的數據 若回應數據的時間平均值 X，其值為小於等於 40ms 出現正常的綠色狀態；大於或等於 41ms 且小於 或等於80ms，則出現黃色警示狀態；若是 X 值無回 應或大於等於81ms 以上，則出現紅色的警示狀態， 藉以判斷現存網路效能的高低，方便系統進一步作為 網路故障排除的示警依據。 4.7 效能驗證 4.7.1 示警判斷的正確性 本實驗主要目的在於測試流量功能示警及封包 蒐集分類判斷的正確性。系統實作環境的實體拓撲 （Topology）網路架構，採用封閉式的區域網路。我 們蒐集中央健康保險局某分局資訊室對機房主機兩 星期內網域上所有的流量封包，並加以分析了解網域 內 IP 位址之使用狀況，配合系統事先建立之對應使 用者資訊庫，以 Web 模式顯示出分析之結果，提供 雙向互動式的即時查詢系統。網路封包、流量數據及 網路效能當成正常的訓練和測試封包，其網路效能方 面是以監控代理人程式的 Ping 做測試，封包是用 ICMP 的格式，測量出兩端點間的網路流量回應時 間，除測試傳送流量之餘，亦能監測網路設備運作是 否穩定？此外，更在網路設備上設鏡像（Mirror）埠 方便封包蒐集，網路流量數據則透過蒐集代理人蒐 集，其示警結果詳如圖 25 所示。圖中，分別顯示各 時間點的示警分佈，X 軸為日期時間，Y 軸為當時本 系統監控資訊室到機房網路設備往返兩端點間產生 之回應平均數據。透過對照整理後得到細部及時監測 的流量數據圖表，詳如圖26 所示。圖中能精準地顯 示在上述發生之示警日期時間均有較高的流量，而影 響到網路傳輸的效率，示警精準度幾乎100%。 圖25. 流量示警圖 圖26. 示警細部流量圖 4.7.2 系統處理的時效性 早期的網路故障處理，都是由使用者口述網路問 題，但管理者經常遇到使用者敘述不清或無法精準釐 清網路使用上的問題時，網管人員只能憑藉網路設備 架構，依照標準作業程序一步步地循序檢查，造成網 路管理者處理時間過久；特別當遇上大型網路架構， 耗費的時程更是令人不敢輕易嘗試，深怕牽一髮而動 全身。往往從網路故障到檢查確定與排除，花費的時 間都在一個小時以上。然而，在這個凡事都講求效率 及服務至上的資訊時代，傳統方式的處理時效性早已

無法滿足實際的需求。網管人員往往在查測過程不僅 花盡心力，更要忍受使用者的詢問關愛，最重要的是 無法即時的分析處理相關網路問題。在實測環境中導 入本系統兩個星期，一方面訓練使用者如何操作本系 統，包括觀看網路設備及流量狀態；讓使用者事先清 楚瞭解自己的網路環境，當使用者遇到問題時，可先 釐清是網路或是其它問題所造成？若是網路問題，使 用者不僅可即時觀看是那一段網路出現問題，相關網 路設備目前狀況如何？網管人員更可透過本系統來 瞭解是那一個網路設備節點出現問題，進而及時排除 相關網路狀況。圖 27 整理出三項常發生問題：網路 設備故障、網路線路問題及流量過大問題，處理時程 分析後，網路設備故障縮短為 67%（30/45=67%）； 網路線路問題縮短為 50%（10/20=50%）；網路線路 問題縮短為 67%（20/30=67%），平均處理時程縮短 為傳統作法的61%。引用本系統不僅簡易操作，當故 障發生時示警精準更具效率，對使用者及管理者都有 極大的幫助。 圖27. 傳統 vs. 本系統故障處理時間比較 4.9 相關系統比較 本系統的特點在於全面監控網路設備的基礎架 構，直覺化圖示監控設備營運狀態，動態監控網路狀 況，及時瞭解故障資訊[28]。以下針對市面上幾種網 管軟體作比較來說明本系統的優缺點。如表 2 所示 WHATSUP 無法監控遠端 IP，亦無提供直覺式圖形化 介面；NETVCR 則僅能在 SNMP 協定上運作；最後 一欄則是本論文採用的作法，能提供完整、有效且精 準的網管功能。 表2. 網管軟體功能比較

功能特色 WHATSUP NETVCR _TEMPLATE CACTI+

SNMP 監控 Ｖ Ｖ Ｖ 單一操作執行多 請求 Ｖ Ｘ Ｖ SNMP 監控支援 多平台 Ｖ（軟體） Ｘ（硬體） Ｖ（軟體） 可即時顯示資訊 Ｖ Ｘ Ｖ 監控遠端IP Ｘ Ｘ Ｖ SNMP 可自訂警 告值 Ｖ Ｖ Ｖ 直覺式圖形化 Ｘ Ｘ Ｖ

五、結論與討論

本系統以管理網路設備的橋接區域網路為主，提 出一本體論支援網路設備之分散式智慧型代理人軟 體，整合形成一集中式網路流量資訊擷取系統。本系 統透過智慧型代理人軟體間的合作與協調，來進行相 關網路資訊的擷取。系統經過分析後提出警示，俾能 監控網路上被管控物件間可能產生的錯誤徵兆，藉以 管控網路已發生或預測可能發生的錯誤，成為一植基 於多重代理人技術之主動式智慧型網路管理系統。本 技術引用本體論概念結合Ethereal 及 Cacti 相關自由 軟體，將相關網路管理運作資訊完整儲存於後端資料 庫；再整合智慧型代理人技術，提供後端監控系統做 進一步分析處理，呈現出圖形化網路監控系統之相關 動態資訊量化圖。初步系統呈現及實驗結果驗證本技 術對於網路設備即時狀態之瀏覽、分析、研判與處理 及網路使用行為分析不僅故障示警精準，針對故障處 理時程更縮短為傳統處理時程的61%，對使用者及管 理者都有極大的幫助。 基於完全採用開放原始碼的開發工具，故系統的 可塑性強。使用者能根據本系統週期性的網路監控分 析，透過簡單易懂的網路圖形化使用者介面，精準瞭 解與掌控網路設備之不正常的現象，準確地辨識出網 路設備本身或是線路的問題，直接減輕網路管理人員 的工作負擔，更間接降低相關網管維護費用與專業人 員培訓成本。未來本系統將朝向兼顧操作與管理兩層 次的介面發展，使管理者亦可透過此視覺化介面設定 與管理各項網路設備，並進一步顯示與列印出各項分 析報告與監控圖表，真正達到網路管理系統的真諦。

六、參考文獻

[1] 中華民國開放系統協會，“資料庫伺服器架設標 準作業程序書”，COSA-SOP-2003-006，Version 1.00，民92。 [2] 呂崇富，網路規劃與管理實務，學貫圖書，台 北，台灣，民94。 [3] 李棟梁、楊勝源、呂思賢，“本體論支援之研究 學者資訊整合推薦器之研究”，第八屆離島資訊 技術與應用研討會論文集，金門，福建，民98。 [4] 林韋成、伍麗樵，“User-based 行為探勘及異常 偵測機制之設計”，第七屆離島資訊技術與應用 研討會論文集，澎湖，台灣，民97。 [5] 林揚正，應用行動代理器於分散式系統之研究 與實作，碩士論文，資訊管理研究所，中國文 化大學，台北，台灣，民94。 [6] 張儀興、呂宗益，“導入智慧型代理人於適性化

學習之研究”，TANET2006台灣網際網路研討會

論文集，花蓮，台灣，民95。

[7] 郭書佑、廖豐標、陳國玲，網路管理 (Network Management: Concepts and Practice, A Hands-On Approach)，碁峰圖書，台北，台灣，民 94。 [8] 陳忠祥，以代理人為基礎的網路異常監控機 制，碩士論文，資訊科技研究所，台中健康管 理學院，台中，台灣，民93。 [9] 陳秋娘、楊中皇，“以 OWNS 為基礎的網路犯罪 偵防系統之設計與實現”，第五屆離島資訊技術 與應用研討會論文集，金門，福建，民95。 [10] 黃志文，網路管理通訊系統簡介，中華民國電 子零件認證委員會，台北，台灣，民97。 [11] 楊居易，IIS 6 伺服器架設與管理，文魁圖書， 台北，台灣，民93。 [12] 楊海明，一種基于 Web 的網絡管理系統的設計 與實現，科技創新導報，中國宇航出版社，哈 爾濱，中國，民96。 [13] 楊素秋、曾黎明，“網路匯集點的 Flooding 訊務 偵測與自動通告系統”，TANET2007台灣網際網 路研討會論文集，台中，台灣，民96。 [14] 楊勝源、呂思賢，“本體論支援之研究學者資訊 整合推薦器之研究”，AIT2009 資訊科技國際研 討會論文集，台中，台灣，民98。 [15] 劉柏汎，FreeBSD異質系統及網路管理整合應 用，松崗圖書，台北，台灣，民94。 [16] 盧有志，智慧型代理人之動態網路學習系統， 碩士論文，資訊管理研究所，屏東科技大學， 屏東，台灣，民92。 [17] 竇其仁、林志敏、林正敏，網路代理人，知城 資訊，台北，台灣，民95。

[18] D. Baker, M. Nodine, R. Chadha, C.J. Chiang, Y. Gottleb, C.P. Hsu, R. Jaeger, G. Levin, L. Yibei, “Computing diagnostic explanations of network faults from monitoring data,” Proc. of IEEE

Military Communication Conference, CA, USA,

2008, pp. 1-7.

[19] Cacti, The Complete RRDTool-based Graphing Solution, http://www.cacti.net/.

[20] Ethereal, The world's most popular network protocol analyzer, http://www.ethereal.com/.

[21] K.S. Shin, J.H. Jung, J.Y. Cheon, and S.B Choi, “Real-time network monitoring scheme based on SNMP for dynamic information”, Journal of

Network and Computer Applications, 30(1), 2007,

pp. 331-353.

[22] Q. Li, Q.F. Hao, L.M. Xiao, and Z.J. Li, “Vm-based architecture for network monitoring and analysis,” Proc. of the 9th International

Conference for Young Computer Scientists, Hunan,

China, 2008, pp. 1395-1400.

[23] A.R. Morffi, D.R, Paz, M.M. Hing, and L.M. González, “A Reinforcement Learning Solution for Allocating Replicated Fragments in a Distributed Database,” ComputaciÓn y Sistemas, 11(2), 2007, pp. 117-128.

[24] MySQL, The world's most popular open source database, http://www.mysql.com/.

[25] Protégé, Stanford University Protégé-3.1.1 Teaching website, http://protege.stanford.edu/. [26] RRDTool, RRDTool Logging & Graphing,

http://oss.oetiker.ch/rrdtool/.

[27] M. Trifan, B. Ionescu, D. Ionescu, O. Prostean, and G. Prostean, “An ontology based approach to intelligent data mining for environmental virtual warehouses of sensor data,” IEEE Conference on

Virtual Environments, Human-Computer Interfaces and Measurement Systems, Istanbul,

Turkey, 2008, pp.125-129.

[28] C. Valliyammai and S.T. Selvi, “Relational network monitoring system for grid performance optimization,” Proc. of the sixteenth International

Conference on Advanced Computing and Communications, Chennai, India, 2008, pp.

170-173.

[29] WinPcap, The Windows Packet Capture Library, http://www.winpcap.org/.