JP5659393B2 - Network device and packet processing method - Google Patents
Network device and packet processing method Download PDFInfo
- Publication number
- JP5659393B2 JP5659393B2 JP2011180614A JP2011180614A JP5659393B2 JP 5659393 B2 JP5659393 B2 JP 5659393B2 JP 2011180614 A JP2011180614 A JP 2011180614A JP 2011180614 A JP2011180614 A JP 2011180614A JP 5659393 B2 JP5659393 B2 JP 5659393B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- statistical information
- network device
- information
- reply
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims 8
- 238000000034 method Methods 0.000 claims description 57
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 description 81
- 238000005259 measurement Methods 0.000 description 76
- 230000008569 process Effects 0.000 description 36
- 238000005206 flow analysis Methods 0.000 description 30
- 230000005540 biological transmission Effects 0.000 description 20
- 238000004891 communication Methods 0.000 description 19
- 230000002776 aggregation Effects 0.000 description 18
- 238000004220 aggregation Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 17
- 238000004458 analytical method Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000010924 continuous production Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク装置に関し、特に、パケットの統計情報を収集するネットワーク装置に関する。 The present invention relates to a network device, and more particularly to a network device that collects statistical information of packets.
今日、インターネットは、重要な社会インフラとして定着している。そのため、従来のベストエフォート型のデータ通信だけでなく、通信品質が保証されなければならないデータが、インターネットにおいて通信され始めている。通信品質が保証されなければならないデータには、例えば、音声及び動画並びに基幹業務のトランザクションデータ等がある。 Today, the Internet has become established as an important social infrastructure. For this reason, not only conventional best-effort data communication but also data whose communication quality must be ensured are being communicated on the Internet. Examples of data for which communication quality must be guaranteed include voice and video, transaction data for mission-critical business, and the like.
一方、不正なパケットが大量に送信されることによって、サーバ及びルータがサービス停止状態になるDoS(Denial of Service)攻撃の発生、ウィルス又はワームによる異常トラフィックの発生、及び、P2Pファイル交換による帯域占有が、インターネットにおいて問題となっている。 On the other hand, a DoS (Denial of Service) attack that causes the server and router to stop service due to a large number of illegal packets being sent, abnormal traffic due to viruses or worms, and bandwidth occupancy due to P2P file exchange However, it is a problem on the Internet.
このような背景から、通信事業者及びISP(Internet Service Provider)は、ネットワーク内の通信の状態を正確に把握することが必要である。この結果、ネットワーク内で通信されるデータの統計を収集し、収集された統計を分析することによってネットワークを監視する機能が必要とされている。 From such a background, it is necessary for communication carriers and ISPs (Internet Service Providers) to accurately grasp the state of communication in the network. As a result, there is a need for the ability to collect statistics of data communicated within the network and to monitor the network by analyzing the collected statistics.
ネットワークを監視する機能の中でも、データの送信元、データの宛先、アプリケーション、及び品質レベル等によって分類されるデータ群(以下、フローと記載)毎に、統計情報を収集する機能及び統計情報を分析する機能が、特に要求されている。 Among network monitoring functions, statistical information is collected and analyzed for each data group (hereinafter referred to as “flow”) classified by data source, data destination, application, and quality level. There is a particular need for the ability to
また、収集する統計情報の種類には、通信したデータの容量を示す統計情報、端末毎に発信したフロー数、通信相手数等の出現した種類数(異なり数)等が提案されている(例えば、特許文献1参照)。 In addition, as the types of statistical information to be collected, statistical information indicating the volume of communicated data, the number of flows transmitted for each terminal, the number of types of appearance (different numbers) such as the number of communication partners, and the like have been proposed (for example, , See Patent Document 1).
また、従来において、異なり数等を用いてワーム又はDoS攻撃などの異常なフローを検知する技術が提案されている(例えば、非特許文献1参照)。さらに、短期間に測定された異なり数のデータを収集し、長期間の異なり数を推定する技術が提案されている(例えば、非特許文献2参照)。 Conventionally, a technique for detecting an abnormal flow such as a worm or DoS attack using a different number or the like has been proposed (see, for example, Non-Patent Document 1). Furthermore, a technique has been proposed in which data of different numbers measured in a short period is collected and the number of differences in a long period is estimated (see, for example, Non-Patent Document 2).
いずれの技術においても、フロー毎の統計情報を収集する際に問題となるのが、データトラフィック量とフローの種類との多さである。統計情報の収集処理は、データトラフィック量が多いために、メモリアクセスにかかる処理時間が大半を占める。しかし、通信回線速度の伸びはメモリアクセス速度の向上を上回っており、このため、全てのフローの統計情報を収集することが困難となっている。そこで、高速回線に対応できるフロー統計情報収集装置が求められている。 In any technique, the problem in collecting statistical information for each flow is the large amount of data traffic and the type of flow. Since the statistical information collection process has a large amount of data traffic, the processing time required for memory access occupies most of the time. However, the increase in the communication line speed exceeds the improvement in the memory access speed, which makes it difficult to collect statistical information of all flows. Therefore, there is a need for a flow statistics information collection device that can handle high-speed lines.
一方で、フロー毎の統計情報を利用することによって、ネットワークへの不正なパケットを検出し、排除する監視機能も要求されている。不正トラフィックの検出精度向上には、様々な統計情報の収集が求められる。 On the other hand, there is also a demand for a monitoring function that detects and eliminates illegal packets to the network by using statistical information for each flow. In order to improve the detection accuracy of illegal traffic, collection of various statistical information is required.
なお、統計情報を収集する機能は、ネットワーク上でパケットを転送するルータ及びスイッチ等の装置に備わる。 Note that the function of collecting statistical information is provided in devices such as routers and switches that transfer packets over the network.
トラフィックの分析に有効な統計情報として、流量情報(すなわち、データを送受信するためのパケットの量)、異なり数情報、フローの返信数などが挙げられる。従来技術において、これらの統計情報を算出するため、それぞれ別々にテーブルを保持することによって、統計情報を算出してきた。 Statistical information useful for traffic analysis includes flow rate information (that is, the amount of packets for transmitting and receiving data), different number information, and the number of flow replies. In the prior art, in order to calculate such statistical information, the statistical information has been calculated by separately holding a table.
このため、これら統計情報を集約することによって、端末の振る舞い及びフローを分析する際、各統計情報を含むテーブルを検索し、必要となる統計情報を収集する必要がある。しかし、前述の統計情報は膨大であるため、分析のたびに検索する場合、メモリ等への負荷が大きくなることが問題となる。また、前述の統計情報は、別テーブルによって管理されているため、フロー等の分析の際に、同一測定期間における統計情報を集めることが難しい。 For this reason, by collecting these statistical information, when analyzing the behavior and flow of the terminal, it is necessary to search a table including each statistical information and collect necessary statistical information. However, since the above-described statistical information is enormous, when searching for each analysis, there is a problem that a load on a memory or the like becomes large. In addition, since the above-described statistical information is managed by a separate table, it is difficult to collect statistical information in the same measurement period when analyzing a flow or the like.
また、これまでフローの返信率は主に端末毎に、5−tupleの五つの項目(送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号)が一致するフローに関して、逆向きのフローが存在する割合を測定してきた。しかし、端末毎に測定したフローの返信率を用いても、端末毎の振る舞いしか分析することができず、端末が複数のアプリケーションを動作させている場合、管理者等は分析を誤る場合があった。 In addition, the flow return rate so far is mainly reversed for each terminal for a flow in which five items of 5-tuple (source IP address, destination IP address, protocol, source port number, destination port number) match. We have measured the proportion of flow in the direction. However, even if the flow response rate measured for each terminal is used, only the behavior for each terminal can be analyzed, and if the terminal is running multiple applications, the administrator may make a mistake in the analysis. It was.
本発明は、前述のような課題を解決するための技術を提案するものであり、パケットを受信する毎に各統計情報を一つの連続した処理によって算出し、算出された各統計情報を関連して保持することによって、複数の統計情報を分析するために必要なリソースを低減することを目的とする。また、各統計情報の測定期間を保持することによって、測定期間が同一である統計情報を生成することを目的とする。また、項目が異なるフローに関する統計情報を算出することによって、より詳細な統計情報を生成することを目的とする。 The present invention proposes a technique for solving the above-described problems. Each time a packet is received, each statistical information is calculated by one continuous process, and each calculated statistical information is related. It is an object to reduce resources necessary for analyzing a plurality of statistical information. It is another object of the present invention to generate statistical information having the same measurement period by holding the measurement period of each statistical information. It is another object of the present invention to generate more detailed statistical information by calculating statistical information regarding flows with different items.
本発明の代表的な一例を示せば以下の通りである。すなわち、パケットが有するヘッダ情報に基づいて前記パケットを送受信するネットワーク装置であって、前記ヘッダ情報は、複数の項目を含み、前記ネットワーク装置は、プロセッサ及びメモリを備え、前記複数の項目のうち少なくとも二つを含む第1の項目グループと、前記第1の項目グループに含まれる項目のうち少なくとも一つの項目を含み、かつ、前記第1の項目グループに含まれる項目よりも少ない項目を含む第2の項目グループとを、前記メモリに保持し、前記第1の項目グループに関する第1の更新結果情報を保持し、前記第1の更新結果情報は、新規フラグ及び返信有フラグを含み、前記ネットワーク装置は、受信した第1のパケットが有する前記第1の項目グループの値を前記ヘッダ情報に有する前記パケットの数を含む第1の統計情報を、更新又は生成し、前記更新又は生成された第1の統計情報と前記第2の項目グループとに基づいて、前記第1のパケットが有する前記第2の項目グループの値と同じ値を前記ヘッダ情報に有する前記パケットのパケット数と、前記第2の項目グループ以外の項目における異なり数と、前記第1のパケットが有する第2の項目グループの値と同じ値をヘッダ情報に有する前記パケットによって返信されるパケットの数を示す返信数と、を含む第2の統計情報を、更新又は生成し、前記第1のパケットを受信した場合、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信したか否かを、前記第1の統計情報に基づいて判定し、前記判定の結果、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信した場合、前記第1の更新結果情報に含まれる新規フラグを更新し、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であるか否かを、前記第1の統計情報に基づいて判定し、前記判定の結果、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信である場合、前記第1の更新結果情報に含まれる返信有フラグを更新し、前記第2の統計情報に含まれる前記異なり数を、前記第1の更新結果情報に含まれる新規フラグに基づいて算出し、前記第2の統計情報に含まれる前記返信数を、前記第1の更新結果情報に含まれる返信有フラグに基づいて算出し、前記算出された異なり数及び返信数によって、前記第2の統計情報を更新又は生成する。 A typical example of the present invention is as follows. That is, a network device that transmits and receives the packet based on header information included in the packet, wherein the header information includes a plurality of items, and the network device includes a processor and a memory, and includes at least one of the plurality of items. A first item group including two and a second item including at least one item among the items included in the first item group and including fewer items than the items included in the first item group And the first update result information related to the first item group, the first update result information including a new flag and a reply flag, and the network device Includes the number of packets having the value of the first item group included in the received first packet in the header information. The first statistical information is updated or generated, and the value of the second item group included in the first packet is based on the updated or generated first statistical information and the second item group. Header information, the number of packets of the packet having the same value in the header information, the number of differences in items other than the second item group, and the same value as the value of the second item group of the first packet And updating or generating the second statistical information including the number of replies indicating the number of packets returned by the packet, and receiving the first packet, the first of the first packet Based on the first statistical information, it is determined whether or not the network device has received a packet having an item group value in header information for the first time. When the network device receives for the first time a packet having the value of the first item group of the packet in the header information, the new flag included in the first update result information is updated, and the first packet It is determined based on the first statistical information whether the network device is a reply of a packet that has already been received. As a result of the determination, the first packet is a reply of a packet that has already been received by the network device. If there is, update the reply flag included in the first update result information, and calculate the difference number included in the second statistical information based on the new flag included in the first update result information The number of replies included in the second statistical information is calculated based on a reply flag included in the first update result information, and the calculated difference number and reply number are calculated. Therefore, the second statistical information is updated or generated .
本発明の一実施形態によると、トラフィックの分析のため、分析に有効な複数の統計情報を関連させて算出し、保持することによって、メモリ等の消費を低減できる。 According to an embodiment of the present invention, for the analysis of traffic, the consumption of memory or the like can be reduced by calculating and retaining a plurality of statistical information effective for the analysis.
(第1の実施形態)
本発明は、受信したパケットのヘッダ情報に基づいて、パケット数、異なり数、及び、返信数等を含むトラフィックの統計情報を一連の処理によって算出し、算出された統計情報を、例えば、一つのテーブルにおいて、関連させて保持することを特徴とする。また、ヘッダ情報に含まれる項目の組合せによって、パケット数、異なり数、及び、返信数を算出することによって、多様な観点による統計情報を生成する。
(First embodiment)
The present invention calculates traffic statistical information including the number of packets, the number of different packets, the number of replies, and the like based on the received packet header information through a series of processes. It is characterized in that it is held in relation to a table. In addition, statistical information from various viewpoints is generated by calculating the number of packets, the number of differences, and the number of replies according to combinations of items included in the header information.
本実施形態における異なり数とは、パケットのヘッダ情報に含まれる項目のうち、特定の組合せ(以下、集約フローと記載)を共通して含む複数のパケットが、ヘッダ情報に含まれるその他の項目において相互に異なる場合の、異なるパケットの種類数を示す。ここで、パケットに共通して含まれる特定の組合せ以外の項目を、異なり数の測定箇所と記載する。 The number of differences in the present embodiment refers to, among other items included in the header information, a plurality of packets that commonly include a specific combination (hereinafter referred to as an aggregate flow) among the items included in the packet header information. Indicates the number of different packet types when they are different from each other. Here, items other than the specific combination included in common in the packet are described as a different number of measurement points.
例えば、宛先IPアドレスがAであり宛先ポート番号がBである項目をヘッダ情報に含む複数のパケットに、送信元IPアドレスがCであるパケットと、送信元IPアドレスがDであるパケットとがあるとする。この場合、宛先IPアドレスがAであり宛先ポート番号がBであるフローの、送信元IPアドレスにおける異なり数は、CとDとの種類数である、2である。この例における異なり数の測定箇所は、送信元IPアドレスである。 For example, a plurality of packets whose header information includes an item whose destination IP address is A and whose destination port number is B include a packet whose source IP address is C and a packet whose source IP address is D And In this case, the number of differences in the source IP address of the flow in which the destination IP address is A and the destination port number is B is 2, which is the number of types C and D. The different number of measurement locations in this example is the source IP address.
そして、さらにこの例において、宛先IPアドレスがAであり、宛先ポート番号がBであり、送信元IPアドレスがEであるパケットが生成されたとする。この場合、宛先IPアドレスがAであり宛先ポート番号がBであるフローの、送信元IPアドレスにおける異なり数は、3に増加する。すなわち、異なり数の測定箇所である送信元IPアドレスが、新たな値を示すパケットが生成される場合、宛先IPアドレスがAであり宛先ポート番号がBであるフローの異なり数は増加する。 Further, in this example, it is assumed that a packet having the destination IP address A, the destination port number B, and the source IP address E is generated. In this case, the number of differences in the source IP address of the flows in which the destination IP address is A and the destination port number is B increases to 3. That is, when a packet indicating a new value is generated for a source IP address that is a different number of measurement locations, the number of different flows whose destination IP address is A and whose destination port number is B increases.
本実施形態は、前述のような算出方法を用いて、異なり数を算出するものである。 In the present embodiment, the different number is calculated using the calculation method as described above.
本発明の第1の実施形態を図1から図8を用いて説明する。 A first embodiment of the present invention will be described with reference to FIGS.
図1は、本発明の第1の実施形態の統計情報収集システムを示すブロック図である。 FIG. 1 is a block diagram illustrating a statistical information collection system according to the first embodiment of this invention.
第1の実施形態の統計情報収集システムは、複数のルータ101、複数のサーバ102、複数の端末103、及び、少なくとも一つのコレクタ装置104を備える。図1において、ルータ101は、ルータA101、ルータB101、及びルータC101であり、サーバ102は、サーバA102、及びサーバB102であり、端末103は、端末A103、端末B103、及び端末C103である。また、図1のコレクタ装置104は、コレクタ装置A104である。
The statistical information collection system according to the first embodiment includes a plurality of
統計情報収集システムに備わるこれらの装置は、ネットワークを介して相互に接続される。ネットワークは、例えば、ISP(Internet Service Provider)によって提供される。また、ネットワークは、例えば、企業内ネットワークであってもよい。 These devices included in the statistical information collection system are connected to each other via a network. The network is provided by, for example, an ISP (Internet Service Provider). The network may be, for example, a corporate network.
図1において、端末A103、端末B103、及び端末C103は、ルータA101と接続される。サーバA102は、ルータB101と接続され、サーバB102は、ルータC101と接続される。コレクタ装置A104は、ルータA101と接続される。また、ルータA101、ルータB101、及びルータC101は、各々接続される。 In FIG. 1, a terminal A103, a terminal B103, and a terminal C103 are connected to a router A101. Server A102 is connected to router B101, and server B102 is connected to router C101. The collector device A104 is connected to the router A101. Router A101, router B101, and router C101 are connected to each other.
ルータ101は、ネットワーク内で通信されるパケットをそのパケットの宛先に転送する装置であり、少なくとも一つのプロセッサ、記憶装置及び通信インタフェースを備える。また、ルータ101は、通信されるパケットの統計情報を収集することによって、パケットによるトラフィックを分析し、収集された統計情報をコレクタ装置104に送信する。
The
サーバ102は、端末103からの要求を含むパケットを受信し、送信された要求に従って端末103にパケットを送信する。サーバ102は、少なくとも一つのプロセッサ、記憶装置及び通信インタフェースを備える。
The
端末103は、ユーザ等が用いる装置であり、少なくとも一つのプロセッサ、記憶装置及び通信インタフェースを備える。ユーザ等は、端末103を介して、情報を送信する旨の要求を含むパケットを、サーバ102へ送信する。端末103は、アプリケーションを実行するためのプログラムを保持してもよく、ユーザ等は、アプリケーションを用いて、情報の要求を送信してもよい。
The terminal 103 is a device used by a user or the like, and includes at least one processor, a storage device, and a communication interface. A user or the like transmits a packet including a request for transmitting information to the
コレクタ装置104は、ルータ101から送信される統計情報を収集する装置であり、少なくとも一つのプロセッサ、記憶装置及び通信インタフェースを備える。図1のコレクタ装置A104はルータA101に接続されるが、本実施形態のコレクタ装置104は、いずれのルータ101に接続されてもよい。
The
また、コレクタ装置104に直接接続されないルータ101(ルータB101及びルータC101に相当)は、コレクタ装置104に接続されるルータ101(ルータA101に相当)を介して、統計情報をコレクタ装置104に送信してもよい。
Further, the router 101 (corresponding to the router B101 and the router C101) not directly connected to the
図2は、本発明の第1の実施形態のルータ101の機能ブロックを示すブロック図である。
FIG. 2 is a block diagram illustrating functional blocks of the
ルータ101は、受信パケット処理部201、送信パケット処理部202、検索処理部203、トラフィック統計処理部204、ルーティングテーブル211、統計情報テーブル212、及び制御部205を備える。
The
管理端末206は、ルータ101の制御部205に接続される。管理者は、管理端末206を介して受信パケット処理部201、送信パケット処理部202、検索処理部203、及びトラフィック統計処理部204に設定される各種パラメータを変更できる。
The
なお、管理端末206は、図1の統計情報収集システムのネットワークを介して各ルータ101に接続されてもよい。また、図1の統計情報収集システムとは別のネットワークによって、各ルータ101に接続されてもよい。
Note that the
受信パケット処理部201は、入力ポートを介してパケットを受信する。受信パケット処理部201は、受信したパケットをバッファに蓄積し、蓄積されたパケットのヘッダ情報を検索処理部203、及びトラフィック統計処理部204に送信する。
The reception
検索処理部203は、受信パケット処理部201からヘッダ情報を受信した場合、ルーティングテーブル211を検索し、検索結果を受信パケット処理部201に送信する。ルーティングテーブル211は、宛先IPアドレスと宛先IPアドレスに対応する出力ポートとを保持する。
When receiving the header information from the received
受信パケット処理部201は、検索処理部203から検索結果を受信した場合、バッファに蓄積されていたパケットと検索結果とを送信パケット処理部202へ送信する。送信パケット処理部202は、受信パケット処理部201からパケットと検索結果とを受信した場合、検索結果が示す出力ポートを介して、パケットを宛先IPアドレスに向けてネットワークへ送信する。
When receiving the search result from the
トラフィック統計処理部204は、受信パケット処理部201からパケットのヘッダ情報を受信した場合、受信したヘッダ情報に基づいて、トラフィックの統計情報を生成する。統計情報テーブル212は、トラフィック統計処理部204によって収集された、ヘッダ情報が示すフローを特定する条件、及び、ヘッダ情報が示すフロー毎の統計情報を保持する。
When receiving the header information of the packet from the received
トラフィック統計処理部204については、図3において詳細を説明する。
The traffic
図3は、本発明の第1の実施形態のトラフィック統計処理部204の機能ブロックを示すブロック図である。
FIG. 3 is a block diagram illustrating functional blocks of the traffic
トラフィック統計処理部204は、ヘッダ情報蓄積部301、統計テーブル管理部302、フロー分析部303、及び統計情報パケット生成部304を備える。ヘッダ情報蓄積部301、統計テーブル管理部302、フロー分析部303、及び統計情報パケット生成部304は、各々の処理を実行するための各種パラメータを、制御部205を介して管理者等によってあらかじめ設定される。
The traffic
ヘッダ情報蓄積部301は、受信パケット処理部201からヘッダ情報を受信し、受信したヘッダ情報を統計テーブル管理部302に送信する。
The header
統計テーブル管理部302は、統計情報テーブル212を保持し、あらかじめ保持された複数の集約フローについて統計情報を生成及び収集する。集約フローは、管理者によってあらかじめ統計情報テーブル212に格納される。
The statistical
本実施形態における集約フローは、5−tupleの項目(送信元IPアドレス(以下、SIP)、宛先IPアドレス(以下、DIP)、送信元ポート番号(以下、SPT)、宛先ポート番号(以下、DPT)、及びプロトコル番号(以下、PRT))から任意に選択された組み合わせが一致するパケット群として定義される。 The aggregation flow in this embodiment includes items of 5-tuple (source IP address (hereinafter SIP), destination IP address (hereinafter DIP), source port number (hereinafter SPT), destination port number (hereinafter DPT). ) And a protocol number (hereinafter referred to as PRT)) are defined as a group of packets that match.
例えば、本実施形態の集約フローには、集約フロー1(SIP、PRT)、集約フロー2(DIP、PRT)、及び、集約フロー3(SIP、DIP、PRT)などが定義される。ヘッダ情報の5−tupleを、集約フローの組合せの項目とする場合、集約フローは、最大31個(2^5−1)まで定義される。 For example, an aggregation flow 1 (SIP, PRT), an aggregation flow 2 (DIP, PRT), an aggregation flow 3 (SIP, DIP, PRT), and the like are defined in the aggregation flow of this embodiment. When the 5-tuple of the header information is used as an item of the aggregate flow combination, a maximum of 31 aggregate flows (2 ^ 5-1) are defined.
統計テーブル管理部302は、さらに、更新結果テーブル310を保持し、各集約フローに関する統計情報の更新結果を更新結果テーブル310に格納する。
The statistical
統計テーブル管理部302は、ヘッダ情報蓄積部301から受信したヘッダ情報について、集約フロー毎に、統計情報を格納するエントリを統計情報テーブル212から検索する。そして、統計テーブル管理部302は、検索されたエントリの統計情報を更新する。
The statistical
各集約フローの統計情報は、統計情報テーブル212に格納される。また、集約フローの統計情報が条件を満たした場合、統計テーブル管理部302は、フロー分析部303へ、条件を満たした集約フローの統計情報を送信する。
The statistical information of each aggregated flow is stored in the statistical information table 212. Further, when the statistical information of the aggregated flow satisfies the condition, the statistical
フロー分析部303は、送信された集約フローがスキャンであるか否かを判定し、スキャンである場合、統計テーブル管理部302から送信された集約フローを統計情報パケット生成部304に送信する。本実施形態におけるスキャンとは、異常がある状態又は異常があると疑われる状態であることを示す。
The
統計テーブル管理部302からフロー分析部303へ送信される統計情報の一例を図4Aに示す。なお、統計情報テーブル212については図5において、更新結果テーブル310については図6において、統計情報テーブル212の更新方法については図7において、各々後述する。
An example of statistical information transmitted from the statistical
ルータ101の受信パケット処理部201、送信パケット処理部202、検索処理部203、トラフィック統計処理部204、及び制御部205は、ルータ101が有するプロセッサがプログラムを実行することによって実装されてもよい。また、前述のルータ101の各処理部によって実行される複数の処理を、プロセッサが複数の処理部として実行してもよい。
The received
また、ルーティングテーブル211、及び、統計情報テーブル212は、ルータ101が有する不揮発性メモリ等の記憶装置に格納されてもよい。
Further, the routing table 211 and the statistical information table 212 may be stored in a storage device such as a nonvolatile memory included in the
図4Aは、本発明の第1の実施形態の集約フローの統計情報を示す説明図である。 FIG. 4A is an explanatory diagram illustrating statistical information of the aggregated flow according to the first embodiment of this invention.
図4Aに示す統計情報は、項目421及び統計情報431を含む。項目421は、集約フローを含み、統計情報431は、パケット数、異なり数及び返信数等の統計情報を含む。
The statistical information illustrated in FIG. 4A includes
図4Aに示す統計情報は、SIPが"A"であり、DPTが"80"であり、PRTが"6"である集約フローのパケット数が、"1000"であることを示す。また、図4Aが示す集約フローのパケットは、1000通りある宛先のうち、返信があった宛先が三つであることを示す。 The statistical information illustrated in FIG. 4A indicates that the number of packets in the aggregate flow in which the SIP is “A”, the DPT is “80”, and the PRT is “6” is “1000”. Also, the aggregated flow packet shown in FIG. 4A indicates that, among the 1000 destinations, there are three destinations that have replied.
図4Bは、本発明の第1の実施形態の集約フローを分析する処理を示すフローチャートである。 FIG. 4B is a flowchart illustrating a process of analyzing the aggregation flow according to the first embodiment of this invention.
フロー分析部303は、統計テーブル管理部302から受信した集約フローの統計情報から、トラフィックの帯域と種別とを判定する。フロー分析部303は、トラフィックの分析処理として、例えば図4Bに示す処理のように、スキャンとなるトラフィックの帯域と種別とを判定する。
The
フロー分析部303は、図4Aに示す統計情報を統計テーブル管理部302から受信した場合(ステップ700)、宛先の異なり数が所定の閾値よりも大きいか否かを判定する(ステップ701)。宛先(IP_b)の異なり数が所定の閾値よりも大きい場合、宛先からの返信数が所定の閾値よりも少ないか否かを判定する(ステップ702)。
When the statistical information shown in FIG. 4A is received from the statistical table management unit 302 (step 700), the
宛先からの返信数が所定の閾値よりも少ない場合、ステップ700において受信した集約フローは、正常な通信がされていない可能性がある。このため、フロー分析部303は、ステップ700において受信した集約フローを、スキャンであると判定する(ステップ703)。
When the number of replies from the destination is less than a predetermined threshold, the aggregated flow received in
ステップ701において宛先の異なり数が所定の閾値以下である場合、ステップ702において宛先からの返信数が所定の閾値以上である場合、及び、ステップ703の後、フロー分析部303は、分析処理を終了する(ステップ704)。
When the number of different destinations is less than or equal to a predetermined threshold in
フロー分析部303は、統計テーブル管理部302から受信した集約フローの統計情報(例えば、図4A)を用いて、集約フローがスキャンであるか否かを判定する。これによってフロー分析部303は、例えば、多くのサーバ102へパケットを送信しているが返信が少ない、という集約フローを、統計情報から抽出することができ、この結果、フロー分析部303の分析精度が向上する。
The
従来技術において、パケット数、異なり数、及び、返信数は、相互に関連しない別々の処理によって算出されており、統計情報として関連してフロー分析部303に送信されることがなかった。このため、フロー分析部303が、返信の有無を取得するためには、集約フローを用いて統計情報テーブル212を再度検索する必要があり、不必要なメモリアクセスによる負荷がかかっていた。さらに、該当する集約フローが測定されていた期間中に現れた返信数を正確に把握することは困難であった。
In the prior art, the number of packets, the number of differences, and the number of replies are calculated by separate processes that are not related to each other, and are not transmitted to the
フロー分析部303による分析処理の結果及び集約フローの統計情報は、フロー分析部303から統計情報パケット生成部304に送信される。また、フロー分析部303は、集約フローをスキャンであると判定した場合、その判定結果、集約フローの項目、及び集約フローの統計情報を制御部205に送信する。これは、集約フローがスキャンであると判定されたことを、管理端末206に送信するためである。
The result of the analysis processing by the
統計情報パケット生成部304は、フロー分析部303から受信した集約フローの判定結果及び統計情報を送信するためのフォーマットに変換し、変換されたフォーマットを、ルータ101の受信パケット処理部201に送信する。なお、統計情報の送信先となるコレクタ装置104のアドレスは、管理者によって制御部205を介して、統計情報パケット生成部304に事前に格納される。
The statistical information
図5Aは、本発明の第1の実施形態の統計情報テーブル212を示す説明図である。 FIG. 5A is an explanatory diagram illustrating the statistical information table 212 according to the first embodiment of this invention.
統計情報テーブル212は、集約フローの項目に基づいた複数のテーブルを保持する。そして、統計情報テーブル212が複数のテーブルに各集約フローに対応するトラフィック数、すなわち、パケット数等の情報を保持することによって、統計テーブル管理部302は、統計情報を収集できる。 The statistical information table 212 holds a plurality of tables based on aggregated flow items. The statistical information table 212 can collect statistical information by holding information such as the number of traffic corresponding to each aggregated flow, that is, the number of packets, in a plurality of tables.
図5Aの統計情報テーブル212は、1IPテーブル401、2IPテーブル402、2IP_1PTbテーブル403、及び、Flowテーブル404を保持する。本実施形態の統計情報テーブル212は、集約フローの項目の組合せに従って、テーブルを保持する。このため、統計情報テーブル212は、図5Aに示すテーブル以外を保持してもよい。 The statistical information table 212 in FIG. 5A holds a 1IP table 401, an IP table 402, a 2IP_1PTb table 403, and a Flow table 404. The statistical information table 212 of this embodiment holds a table according to the combination of items of the aggregate flow. For this reason, the statistical information table 212 may hold other than the table shown in FIG. 5A.
1IPテーブル401は、SIPとPRTとの組合せからなる集約フロー、及び、DIPとPRTとの組合せからなる集約フローの、二つの集約フローの統計情報を保持する。2IPテーブル402は、SIPとDIPとPRTとの組合せからなる集約フローの統計情報を保持する。 The 1IP table 401 holds statistical information of two aggregate flows, that is, an aggregate flow composed of a combination of SIP and PRT and an aggregate flow composed of a combination of DIP and PRT. The 2IP table 402 holds statistical information of an aggregate flow that is a combination of SIP, DIP, and PRT.
2IP_1PTbテーブル403は、SIPとDIPとSPTとPRTとの組合せからなる集約フローと、SIPとDIPとDPTとPRTとの組合せからなる集約フローとの統計情報を保持する。Flowテーブル404は、5−tupleすべての組合せからなる集約フローの統計情報を保持する。 The 2IP_1PTb table 403 holds statistical information of an aggregate flow composed of a combination of SIP, DIP, SPT, and PRT and an aggregate flow composed of a combination of SIP, DIP, DPT, and PRT. The Flow table 404 holds statistical information of the aggregated flow including all combinations of 5-tuples.
図5Bは、本発明の第1の実施形態の1IPテーブル401を示す説明図である。 FIG. 5B is an explanatory diagram illustrating a 1IP table 401 according to the first embodiment of this invention.
統計情報テーブル212が保持する各テーブルは、エントリ番号411、項目421、及び統計情報431を含む。エントリ番号411は、各エントリを一意に識別する識別子である。項目421は、集約フローの項目を示し、各項目に対応するパケットのヘッダ情報を含む。
Each table held by the statistical information table 212 includes an
1IPテーブル401の項目421は、IP_a422及びPRT423を含む。IP_a422は、パケットのヘッダ情報に含まれるIPアドレス、すなわち、SIP又はDIPの値を含む。PRT423は、ヘッダ情報に含まれるPRTを含む。
The
本実施形態の統計情報431は、集約フローのトラフィックに関する統計情報を含む。統計情報431は、双方向の値、すなわち、IP_a422が示すIPアドレスから送信されるパケットの統計情報と、IP_a422が示すIPアドレスへ送信されるパケットの統計情報と、を含む。統計情報431は、パケットの積算バイト数、又は、フロー開始時刻等の統計情報を含んでもよい。
The
図5Bの統計情報431は、パケット数、及び、異なり数を含む。統計情報431のパケット数は、atob432、及び、btoa433を含む。atob432は、IP_a422が示すIPアドレスから、IP_bが示すIPアドレス(ヘッダ情報に含まれる、IP_a422が示すIPアドレス以外のIPアドレス、以下同じ)へ、PRT423が示すPRTによって送信されたパケットのパケット数を示す。btoa433は、IP_bが示すIPアドレスから、IP_a422が示すIPアドレスへ、PRT423が示すPRTによって送信されたパケットのパケット数を示す。
The
統計情報431の異なり数は、項目421をヘッダ情報に含むパケットであり、かつ、項目421に含まれないヘッダ情報を含むパケットの種類数を示す。統計情報431の異なり数は、双方向の値を保持する。統計情報431は、異なり数の測定箇所毎に異なり数を含む。
The number of different
図5Bの1IPテーブル401の異なり数は、IP_bを測定箇所とする異なり数と、Flowを測定箇所とする異なり数とを含む。IP_bを測定箇所とする異なり数は、IP_a422が示す項目以外のIPアドレスを示すヘッダ情報の項目を測定箇所とする異なり数を示す。Flowを測定箇所とする異なり数は、IP_a422及びPRT423が示す項目以外の、すべてのヘッダ情報の項目を測定箇所とする異なり数を示す。
The number of differences in the 1IP table 401 in FIG. 5B includes the number of differences where IP_b is a measurement location and the number of differences where Flow is a measurement location. The number of differences in which IP_b is the measurement location indicates the number of differences in which the header information item indicating the IP address other than the item indicated by
IP_bを測定箇所とする異なり数は、atob434、btoa435及び返信有436を含む。また、Flowを測定箇所とする異なり数は、atob437、btoa438及び返信有439を含む。
The different numbers having IP_b as the measurement location include atob 434,
atob434は、IP_a422が示すIPアドレスがSIPであり、かつ、PRT423がPRTである集約フローの、DIPを測定箇所とする異なり数を含む。また、btoa435は、IP_a422が示すIPアドレスがDIPであり、かつ、PRT423がPRTである集約フロ−の、SIPを測定箇所とする異なり数を含む。
The
また、返信有436は、IP_a422及びPRT423が示す値と、測定箇所であるIP_bとをヘッダ情報に含むパケットのうち、送信と返信との両方がルータ101に受信されたパケットの数(返信数)を含む。すなわち、返信有436は、項目421が示す集約フローのうち、返信されたパケットが含むIP_bの種類数を示す。
Also, the
また、atob437は、IP_a422が示すIPアドレスがSIPであり、かつ、PRT423がPRTである集約フローの、DIP、SPT、及びDPTを測定箇所とする異なり数を含む。btoa438は、IP_a422が示すIPアドレスがDIPであり、かつ、PRT423がPRTである集約フローの、SIP、SPT、及びDPTを測定箇所とする異なり数を含む。
Further,
また、返信有439は、IP_a422及びPRT423が示す値と、測定箇所であるSIP(又はDIP)、SPT及びDPTと、をヘッダ情報に含むパケットのうち、送信と返信との両方がルータ101に受信されたパケットの数(返信数)を含む。すなわち、返信有439は、項目421が示す集約フローのうち、返信されたパケットが含む、SIP(又はDIP)、SPT及びDPTの組合せの種類数を示す。
The
図5Bの1IPテーブル401は、前述の異なり数以外の異なり数を含んでもよい。例えば、宛先のポート(DPT)を測定箇所とする異なり数を含んでもよく、送信元のポート(SPT)を測定箇所とする異なり数を含んでもよい。 The 1IP table 401 in FIG. 5B may include different numbers other than the different numbers described above. For example, it may include a different number with the destination port (DPT) as the measurement location, or may include a different number with the transmission source port (SPT) as the measurement location.
図5Cは、本発明の第1の実施形態の2IPテーブル402を示す説明図である。 FIG. 5C is an explanatory diagram illustrating the 2IP table 402 according to the first embodiment of this invention.
2IPテーブル402は、エントリ番号411、項目421、及び、統計情報431を含む。
The 2IP table 402 includes an
2IPテーブル402の項目421は、IP_a422、IP_b424、及びPRT423を含む。2IPテーブル402の項目421は、SIP及びDIPの組合せと、PRTとの値を、IP_a422、IP_b424、及びPT_b425に含む。
The
1IPテーブル401と2IPテーブル402との相違点は、IP_bの値が、1IPテーブル401に格納されず、2IPテーブル402のIP_b424に格納される点である。また、統計情報431における異なり数の測定箇所が異なる点である。
The difference between the 1IP table 401 and the 2IP table 402 is that the value of IP_b is not stored in the 1IP table 401 but is stored in IP_b424 of the 2IP table 402. In addition, the number of different measurement points in the
2IPテーブル402の統計情報431は、パケット数及び異なり数を含む。2IPテーブル402のパケット数は、1IPテーブル401と同様に、atob432、及び、btoa433を含む。
The
図5Cのatob432は、IP_a422が示すIPアドレスから、IP_b424が示すIPアドレスへ、PRT423が示すPRTによって送信されたパケットのパケット数を示す。図5Cのbtoa433は、IP_b424が示すIPアドレスから、IP_a422が示すIPアドレスへ、PRT423が示すPRTによって送信されたパケットのパケット数を示す。
The
図5Cに示す2IPテーブル402の異なり数は、PT_bを測定箇所とする異なり数を含む。本実施形態のPT_bとは、ヘッダ情報に含まれるポート番号であり、IP_b424が示すIPアドレスに対応するポート番号である。
The number of differences in the 2IP table 402 illustrated in FIG. 5C includes the number of differences in which PT_b is a measurement location. PT_b in this embodiment is a port number included in the header information, and is a port number corresponding to the IP address indicated by
PT_bを測定箇所とする異なり数は、atob440、btoa441及び返信有442を含む。atob440は、IP_a422が示すIPアドレスがSIPであり、IP_b424が示すIPアドレスがDIPであり、かつ、PRT423が示す値がPRTである集約フロ−の、DPTを測定箇所とする異なり数を示す。
The different numbers using PT_b as the measurement location include atob 440,
btoa441は、IP_a422が示すIPアドレスがDIPであり、IP_b424が示すIPアドレスがSIPであり、かつ、PRT423が示す値がPRTである集約フロ−の、SPTを測定箇所とする異なり数を示す。
また、返信有442は、IP_a422、IP_b424及びPRT423が示す値と、測定箇所であるPT_bとをヘッダ情報に含むパケットのうち、送信と返信との両方がルータ101に受信されたパケットの数(返信数)を含む。すなわち、返信有436は、項目421が示す集約フローのうち、返信されたパケットが含むPT_bの種類数を示す。
In addition, the
図5Cの2IPテーブル402は、前述の異なり数以外の異なり数を含んでもよい。例えば、PT_a(ヘッダ情報に含まれるポート番号であり、IP_a422が示すIPアドレスに対応するポート番号、以下同じ)を測定箇所とする異なり数を含んでもよい。
The 2IP table 402 in FIG. 5C may include different numbers other than the different numbers described above. For example, it may include a different number having PT_a (a port number included in the header information and corresponding to the IP address indicated by
図5Dは、本発明の第1の実施形態の2IP_1PTbテーブル403を示す説明図である。 FIG. 5D is an explanatory diagram illustrating the 2IP_1PTb table 403 according to the first embodiment of this invention.
2IP_1PTbテーブル403は、エントリ番号411、項目421、及び、統計情報431を含む。
The 2IP_1PTb table 403 includes an
2IP_1PTbテーブル403の項目421は、IP_a422、IP_b424、PT_b425、及びPRT423を含む。2IP_1PTbテーブル403の項目421は、SIPと、DIPと、SPT(又はDPT)と、PRTとの値を、IP_a422、IP_b424、PT_b425、及びPRT423に含む。
The
2IPテーブル402と2IP_1PTbテーブル403との相違点は、PT_bの値が、2IPテーブル402に格納されず、2IP_1PTbテーブル403のPT_b425に格納される点である。また、統計情報431における異なり数の測定箇所が異なる点がある。
The difference between the 2IP table 402 and the 2IP_1PTb table 403 is that the value of PT_b is not stored in the 2IP table 402 but is stored in PT_b425 of the 2IP_1PTb table 403. Further, there is a difference in the number of different measurement locations in the
2IP_1PTbテーブル403の統計情報431は、パケット数及び異なり数を含む。2IP_1PTbテーブル403のパケット数は、atob432、及び、btoa433を含む。
The
図5Dのatob432は、IP_a422が示すIPアドレスから、IP_b424が示すIPアドレスへ、PT_b425が示すDPTとPRT423が示すPRTとによって送信されたパケットのパケット数を示す。図5Cのbtoa433は、IP_b424が示すIPアドレスから、IP_a422が示すIPアドレスへ、PT_b425が示すSPTとPRT423が示すPRTとによって送信されたパケットのパケット数を示す。
5b of FIG. 5D indicates the number of packets transmitted by the DPT indicated by
図5Dに示す2IP_1PTbテーブル403の異なり数は、PT_aを測定箇所とする異なり数を含む。PT_aを測定箇所とする異なり数は、atob443、btoa444及び返信有445を含む。
The number of differences in the 2IP_1PTb table 403 illustrated in FIG. 5D includes the number of differences in which PT_a is a measurement location. The different numbers having PT_a as the measurement location include atob 443,
atob443は、IP_a422が示すIPアドレスがSIPであり、IP_b424が示すIPアドレスがDIPであり、PT_b425が示す値がDPTであり、PRT423が示す値がPRTである集約フロ−の、SPTを測定箇所とする異なり数を示す。
btoa444は、IP_a422が示すIPアドレスがDIPであり、IP_b424が示すIPアドレスがSIPであり、PT_b425が示す値がSPTであり、PRT423が示す値がPRTである集約フロ−の、DPTを測定箇所とする異なり数を示す。
In
また、返信有445は、IP_a422、IP_b424、PT_b425及びPRT423が示す値と、測定箇所であるPT_aとをヘッダ情報に含むパケットのうち、送信と返信との両方がルータ101に受信されたパケットの数(返信数)を含む。すなわち、返信有436は、項目421が示す集約フローのうち、返信されたパケットが含むPT_aの種類数を示す。
In addition, the
図5Eは、本発明の第1の実施形態のFlowテーブル404を示す説明図である。 FIG. 5E is an explanatory diagram illustrating the Flow table 404 according to the first embodiment of this invention.
Flowテーブル404は、エントリ番号411、項目421、及び、統計情報431を含む。
The Flow table 404 includes an
Flowテーブル404の項目421は、IP_a422、IP_b424、PT_a426、PT_b425、及びPRT423を含む。すなわち、Flowテーブル404は、ヘッダ情報に含まれるすべての項目の組合せを集約フローとする統計情報を含む。
The
Flowテーブル404の統計情報431は、パケット数を含む。Flowテーブル404のパケット数は、atob432、及び、btoa433を含む。図5Eにおいて、項目421に含まれるヘッダ情報は、5−tupleの情報のみであるため、Flowテーブル404には、異なり数は含まれない。
The
図5A〜図5Eにおいて、項目421に含まれるヘッダ情報は、5−tupleの情報のみであったが、その他のヘッダ情報が含まれてもよい。例えば、MACアドレス等のヘッダ情報が含まれてもよい。
5A to 5E, the header information included in the
2IPテーブル402、2IP_1PTbテーブル403、Flowテーブル404の項目421において、SIPの値がIP_a422に含まれる場合、DIPの値はIP_b424に含まれる。また、DIPの値がIP_a422に含まれる場合、SIPの値はIP_b424に含まれる。
In the
なお、2IPテーブル402、2IP_1PTbテーブル403、Flowテーブル404のように項目421にIPアドレスが二つ(SIP、DIP)含まれる場合、所定の基準に従って、各IPアドレスは、IP_a422又はIP_b424とに格納される。格納方法には、例えば、SIP、及び、DIPのうち値の小さいIPアドレスをIP_a422に格納し、値の大きいIPアドレスをIP_b424に格納する方法がある。
When the
また、IP_a422及びIP_b424へのヘッダ情報の格納方法には、例えば、統計情報テーブル212を保持するルータ101がLANとWANとの境界に配置されていた場合、LAN側のIPアドレスをIP_a422に格納し、WAN側のIPアドレスをIP_b424に格納する方法がある。
The header information is stored in the
また、統計情報テーブル212は、図5B〜図5Eが示すテーブルのヘッダ情報の組合せではなく、他のヘッダ情報の組合せを含むテーブルを保持してもよい。例えば、統計情報テーブル212は、項目421に、IP_a422、PT_b425、及びPRT423を含むテーブルを保持してもよい。また、例えば、IP_a422、IP_b424、PT_a426、及び、PRT423を含むテーブルを保持してもよい。
Further, the statistical information table 212 may hold a table including a combination of other header information instead of the combination of the header information of the tables illustrated in FIGS. 5B to 5E. For example, the statistical information table 212 may hold a
統計情報テーブル212が、複数のヘッダ情報の組合せを含むテーブルを保持することによって、ルータ101が、複数の異なる観点によるトラフィックの統計情報を収集及び分析することができる。
Since the statistical information table 212 holds a table including a combination of a plurality of header information, the
図6は、本発明の第1の実施形態の更新結果テーブル310を示す説明図である。 FIG. 6 is an explanatory diagram illustrating the update result table 310 according to the first embodiment of this invention.
更新結果テーブル310は、統計情報テーブル212に保持される各テーブルの更新結果を格納するためのテーブルである。また、各テーブルの異なり数及び返信数を算出するためのテーブルである。 The update result table 310 is a table for storing the update result of each table held in the statistical information table 212. Further, it is a table for calculating the number of differences and the number of replies for each table.
更新結果テーブル310の各エントリ(図6において、エントリ5011〜エントリ5017)は、統計情報テーブル212に保持される各テーブルに対応する。更新結果テーブル310は、組合せ501、新規フラグ511、及び返信有フラグ521を含む。組合せ501は、統計情報テーブル212の項目421に対応する。
Each entry in the update result table 310 (
図6の更新結果テーブル310において、エントリ5017の組合せ501は、図5Bの1IPテーブル401の項目421に対応し、エントリ5014の組合せ501は、図5Cの2IPテーブル402の項目421に対応する。また、エントリ5013の組合せ501は、図5Dの2IP_1PTbテーブル403の項目421に対応し、エントリ5011の組合せ501は、図5EのFlowテーブル404の項目421に対応する。
In the update result table 310 of FIG. 6, the
新規フラグ511は、組合せ501が示す集約フローに関して、パケットが新規であるか否かを示す。統計情報更新時、すなわち、統計テーブル管理部302がパケットのヘッダ情報を受信した時、受信したヘッダ情報に含まれる組合せ501の集約フローに関して、受信したヘッダ情報が新規フローを示すと判定された場合、統計テーブル管理部302は、新規フローであると判定された集約フローに対応する組合せ501の新規フラグ511に"1"を格納する。
The
具体的には、統計テーブル管理部302が"SIP:A、DIP:X、SPT:C、DPT:D、PRT:Z"の集約フローを示すヘッダ情報を受信し、ルータ101が既に"SIP:A、DIP:X、SPT:C、DPT:F、PRT:Z"を示すヘッダ情報のパケットを受信していた場合、受信したヘッダ情報は、"IP_a、IP_b、PT_a、PRT"及び"IP_a、IP_b、PT_b、PRT"を組合せ501に含む集約フロー(エントリ5012及びエントリ5013に対応)に関して、新規フローではない。
Specifically, the statistical
しかし、統計テーブル管理部302は、"SIP:A、DIP:X、SPT:C、PRT:Z"のヘッダ情報は受信しているが、"SIP:A、DIP:X、SPT:C、DPT:D、PRT:Z"のヘッダ情報は受信したことがない場合、受信したヘッダ情報は、"IP_a、IP_b、PT_a、PT_b、PRT"の集約フロー(エントリ5011に対応)に関して新規フローである。このため、統計テーブル管理部302は、受信したヘッダ情報に関して、更新結果テーブル310のエントリ5011の新規フラグ511に"1"を格納し、エントリ5012及びエントリ5013の新規フラグ511に"0"を格納する。
However, the statistical
なお、これによって、"SIP:A、DIP:X、SPT:C、PRT:Z"("IP_a、IP_b、PT_a、PRT"又は"IP_a、IP_b、PT_b、PRT")の集約フローの、測定箇所をPT_b又はPT_aとする異なり数は、一つ分増加する。 As a result, the measurement location of the aggregate flow of “SIP: A, DIP: X, SPT: C, PRT: Z” (“IP_a, IP_b, PT_a, PRT” or “IP_a, IP_b, PT_b, PRT”). The difference number where PT is PT_b or PT_a increases by one.
新規フラグ511は、atob512及びbtoa513を含む。組合せ501にIPアドレスが一つしか含まれないエントリの新規フラグ511、すなわち、図6におけるエントリ5015〜エントリ5017の新規フラグ511には、組合せ501に含まれるIPアドレスがSIPである場合の集約フロー、及び、DIPである場合の集約フローに関して、新規フラグ511の値が格納される。
The
具体的には、SIPがIP_a422に格納された場合、新規フラグ511の値はatob512に格納され、DIPがIP_a422に格納された場合、新規フラグ511の値はbtoa513に格納される。
Specifically, when SIP is stored in
返信有フラグ521は、組合せ501の集約フローについて、返信があったことを示すフラグである。統計テーブル管理部302が受信したヘッダ情報が、ルータ101が既に受信したパケットに対して初めて返信されたパケット(返信パケット)が有するヘッダ情報である場合、返信有フラグ521に"1"が格納される。
The
新規フラグ511を"1"に更新した集約フローについて、その集約フローを含むパケットが返信パケットである場合、返信有フラグ521に"1"が格納される。すなわち、受信したパケットの集約フローが新規フローの場合のみ、返信有フラグ521に"1"が格納される。
For the aggregated flow in which the
例えば、Flowテーブル404のIP_a422、IP_b424、PT_a426、PT_b425、PRT423が"A、X、C、D、Z"を示し、atob432が"3"を示し、btoa433が"0"を示し、統計テーブル管理部302が"SIP:X、DIP:A、SPT:D、DPT:C、PRT:Z"を含むヘッダ情報を受信したとする。この場合、ヘッダ情報受信時においてbtoa433は"0"であったため、受信したヘッダ情報が含む集約フローは新規フローであり、統計テーブル管理部302は、エントリ5011の新規フラグ511に"1"を格納する。
For example,
また、atob432は0より多い数であり、これは、受信したヘッダ情報が、既にルータ101が受信したパケットの返信パケットであることを示す。このため、統計テーブル管理部302は、エントリ5011の返信有フラグ521に"1"を格納する。
Further,
なお、これによって、"SIP:A、DIP:X、SPT:C、PRT:Z"("IP_a、IP_b、PT_a、PRT"又は"IP_a、IP_b、PT_b、PRT")の集約フローの、測定箇所をPT_b又はPT_aとする異なり数の返信数は、一つ分増加する。 As a result, the measurement location of the aggregate flow of “SIP: A, DIP: X, SPT: C, PRT: Z” (“IP_a, IP_b, PT_a, PRT” or “IP_a, IP_b, PT_b, PRT”). The number of different replies, where is set to PT_b or PT_a, increases by one.
また、図5A〜図5E及び図6において、統計情報テーブル212及び統計テーブル管理部302は、テーブルによって各情報を保持したが、各々の情報が統計テーブル管理部302によって識別できれば、いかなる方法によって情報を保持してもよい。例えば、統計情報テーブル212及び統計テーブル管理部302は、CSVを用いた方法によって情報を保持してもよい。
5A to 5E and FIG. 6, the statistical information table 212 and the statistical
図7は、本発明の第1の実施形態の統計情報テーブル更新処理を示すフローチャートである。 FIG. 7 is a flowchart illustrating statistical information table update processing according to the first embodiment of this invention.
ヘッダ情報蓄積部301からヘッダ情報を受信した場合、統計テーブル管理部302は、更新結果テーブル310の新規フラグ511及び返信有フラグ521の各セルの値をゼロに置き換え、図7に示す統計情報テーブル更新処理を開始する。統計情報テーブル更新処理において、統計テーブル管理部302は、まず、更新する集約フローの組合せ501を、更新結果テーブル310から選択する(ステップ601)。ここで、更新結果テーブル310には、管理者によってあらかじめ定められた集約フローが保持される。
When the header information is received from the header
統計テーブル管理部302は、ステップ601において、組合せ501に含まれる項目数の多い順に更新結果テーブル310のエントリを選択する。これによって、統計テーブル管理部302は、統計情報テーブル212が保持する各テーブルを、項目421の項目が多い順に選択する。
In
以下の説明において、ステップ601において選択されたエントリの組合せ501を組合せCとし、組合せCに関する統計情報を更新する。
In the following description, the
ステップ601の後、統計テーブル管理部302は、選択された組合せCに対応するヘッダ情報を、受信したヘッダ情報(SIP、DIP、SPT、DPT、PRT)から抽出する。そして、抽出されたヘッダ情報を、統計情報テーブル212が保持する各テーブルのIP_a422、IP_b424、PT_a426、PT_b425、PRT423に対応させることによって、組合せCの集約フローに該当するエントリを検索する。
After
具体的には、統計テーブル管理部302は、ヘッダ情報(SIP、DIP、SPT、DPT、PRT)又は(DIP、SIP、DPT、SPT、PRT)の組合わせを項目421に含むエントリを検索する。そして、ヘッダ情報の組合せを含むエントリが統計情報テーブル212にない場合、統計テーブル管理部302は、SIP又はDIPのうちIPアドレスの小さいほうをIP_a422に格納する前述の方法を用いることによって、組合せCの集約フローを項目421とする新たなエントリを生成してもよい。
Specifically, the statistical
統計テーブル管理部302は、前述の通りヘッダ情報を項目421に対応させることによって、受信したヘッダ情報に該当するエントリを、統計情報テーブル212が保持する各テーブルから検索する。そして、統計テーブル管理部302は、検索されたエントリ又は新たに生成されたエントリをメモリに読み出す(ステップ602)。
The statistical
統計テーブル管理部302は、例えば、ステップ601において組合せCに(IP_a、IP_b、PT_a、PT_b、PRT)が選択されていた場合、ステップ602において、IP_a422、IP_b424、PT_a426、PT_b425、PRT423を含むFlowテーブル404から、ヘッダ情報が示す集約フローに該当するエントリを検索する。また、ステップ601において組合せCに(IP_a、PRT)が選択されていた場合、ステップ602において、IP_a422、PRT423を含む1IPテーブル401から、ヘッダ情報が示す集約フローに該当するエントリを検索する。
For example, when (IP_a, IP_b, PT_a, PT_b, PRT) is selected as the combination C in
ステップ602の後、統計テーブル管理部302は、ステップ602における検索結果に従って、ヘッダ情報に含まれる組合せCが新規フローを示すか否かを判定する(ステップ603)。
After
ステップ603において、統計テーブル管理部302は、ステップ602において統計情報テーブル212からエントリが読み出されなかった場合、すなわち、ヘッダ情報に対応する項目421を含む新たなエントリを生成した場合、ヘッダ情報に含まれる組合せCが新規フローを示すと判定する。また、統計テーブル管理部302は、ステップ602において検索されたエントリの統計情報431のパケット数を参照し、参照されたパケット数が"0"である場合、ヘッダ情報に含まれる組合せCが新規フローを示すと判定する。
In
なお、ステップ603において、統計テーブル管理部302は、読み出されたエントリの統計情報431のうち、ステップ602において項目421に対応するヘッダ情報に基づいて、atob432又はbtoa433のパケット数を参照する。そして、参照されたパケット数が"0"であるか否かに従って、ヘッダ情報に含まれる組合せCが新規フローを示すか否かを判定する。
In
ヘッダ情報に含まれる組合せCが新規フローを示さないと判定された場合、統計テーブル管理部302は、更新結果テーブル310の新規フラグ511及び返信有フラグ521を更新せず、"0"のままとする。すなわち、統計テーブル管理部302は、組合せCのヘッダ情報に関して、異なり数及び異なり数の返信数を加算する必要がない。このため、統計テーブル管理部302は、ステップ607に移行する。
When it is determined that the combination C included in the header information does not indicate a new flow, the statistical
ヘッダ情報に含まれる組合せCが新規フローを示すと判定された場合、統計テーブル管理部302は、更新結果テーブル310の組合せCの新規フラグ511に"1"を格納する(ステップ604)。
When it is determined that the combination C included in the header information indicates a new flow, the statistical
なお、組合せCに含まれるIPアドレスが一つである場合、統計テーブル管理部302は、ステップ603において、atob432とbtoa433との両方を参照し、ヘッダ情報に含まれる組合せCが新規フローを示すか否かを判定する。そして、ステップ604において、atob432及びbtoa433によって取得された各判定結果を、更新結果テーブル310の組合せCに対応するatob512とbtoa513とに格納する。これは、組合せCのIP_aが送信元である場合の新規フラグ511と送信先である場合の新規フラグ511とを明確に識別するためである。
If there is only one IP address included in the combination C, in
また、組合せCに含まれるアドレスが二つである場合、統計テーブル管理部302は、ステップ603において、受信したヘッダ情報に従って、atob432又はbtoa433のいずれかを参照し、ヘッダ情報に含まれる組合せCが新規フローを示すか否かを判定する。そして、ステップ604において、ステップ603において参照した組合せCの新規フラグ511に値を格納する。
If there are two addresses included in the combination C, the statistical
例えば、受信したヘッダ情報が"SIP:X、DIP:A、PRT:Z"であり、組合せCが(IP_a、IP_b、PRT)であり、また、2IPテーブル402に、IP_a422が"A"であり、IP_b424が"X"であり、PRT423が"Z"であり、atob432が"7"であり、btoa433が"0"であるエントリ4021があるものとする。
For example, the received header information is “SIP: X, DIP: A, PRT: Z”, the combination C is (IP_a, IP_b, PRT), and the
この場合、ステップ602において、統計テーブル管理部302は、図5Cのエントリ4021をメモリに読み出す。そして、受信したヘッダ情報が"XからAへ送信"を示すため、ステップ603において、統計テーブル管理部302は、btoa433を参照する。btoa433の値が"0"であるため、統計テーブル管理部302は、受信したヘッダ情報に含まれる組合せCは新規フローを示すと判定する。
In this case, in
そして、統計テーブル管理部302は、ステップ604において、更新結果テーブル310のエントリ5014の新規フラグ511に"1"を格納する。
In
ステップ604の後、統計テーブル管理部302は、ステップ602において読み出されたエントリの統計情報431を参照し、受信したヘッダ情報の組合せCが示す集約フローとは逆方向のパケット数を取得する。そして、取得されたパケット数が"0"より大きいか否かを判定する(ステップ605)。
After
取得されたパケット数が"0"である場合、受信したヘッダ情報の組合せCが示す集約フローは、既にルータ101に受信されたパケットに対する返信パケットが含む集約フローではないため、返信有フラグ521を更新しない。このため、統計テーブル管理部302は、ステップ607に移行する。
When the acquired number of packets is “0”, the aggregated flow indicated by the received header information combination C is not an aggregated flow included in the reply packet for the packet that has already been received by the
取得されたパケット数が"0"より大きい場合、受信したヘッダ情報の組合せCが示す集約フローは、既にルータ101に受信されたパケットに対する返信パケットのうち、統計テーブル管理部302が初めて受信した返信パケットが含む集約フローである。このため、統計テーブル管理部302は、更新結果テーブル310の組合せCの返信有フラグ521に"1"を格納する(ステップ606)。
When the number of acquired packets is greater than “0”, the aggregated flow indicated by the received header information combination C is the reply received for the first time by the statistical
ステップ603、ステップ605、又は、ステップ606の後、統計テーブル管理部302は、ステップ602において読み出されたエントリに、統計情報更新処理を実行する(ステップ607)。ステップ607の統計情報更新処理の詳細は後述する図8において示す。
After
ステップ607の後、統計テーブル管理部302は、統計情報更新処理が行われたエントリの統計情報431のパケット数が、所定の閾値よりも大きいか否かを判定する(ステップ608)。統計情報431のパケット数が所定の閾値以下である場合、統計情報更新処理を実行したエントリが示すフローがスキャンではないため、統計テーブル管理部302は、ステップ610に移行する。
After
統計情報431のパケット数が閾値よりも大きい場合、統計情報更新処理を実行したエントリが示すフローは、スキャンである可能性がある。このため、統計テーブル管理部302は、統計情報更新処理を実行したエントリの集約フローの統計情報431を、フロー分析部303へ送信する。そして、統計テーブル管理部302は、統計情報431の各セルの値をゼロに置き換える(ステップ609)。
When the number of packets of the
なお、図7に示すステップ608において、パケット数と所定の閾値との比較によって、フロー分析部303へ統計情報431を送信するか否かを判定したが、異なり数、又は、返信数等が所定の条件となった場合、統計テーブル管理部302は、フロー分析部303へ統計情報431を送信してもよい。
In
また、統計テーブル管理部302は、統計情報431のすべてをフロー分析部303に送らず、ステップ608において所定の条件を満たした統計情報431のみを、フロー分析部303に送信してもよい。例えば、統計情報431のパケット数のatob432及び異なり数のatob440が所定の条件を満たした場合、atob432及び異なり数のatob440のみをフロー分析部303に送信してもよい。
Further, the statistical
ステップ608又はステップ609の後、統計テーブル管理部302は、ステップ607における更新処理後の統計情報431、又は、ステップ609において値をゼロに置き換えられた後の統計情報431を、ステップ602においてメモリに読み出されたエントリの読み出し元のテーブル(統計情報テーブル212の各テーブル)に格納する(ステップ610)。これによって、統計テーブル管理部302は、組合せCに関する統計情報の更新処理を終了する。
After
ステップ610の後、統計テーブル管理部302は、ステップ601〜ステップ610の処理がされていない更新結果テーブル310のエントリがあるか否かを判定し、これによって、全ての組合せ501について統計情報テーブル更新処理が終了したか否かを判定する(ステップ611)。ステップ601〜ステップ610の処理がされていない更新結果テーブル310のエントリがある場合、統計テーブル管理部302は、ステップ601に戻る。
After
ステップ601〜ステップ610の処理が更新結果テーブル310のすべてのエントリに実行された場合、統計テーブル管理部302は、統計情報テーブル更新処理を終了する。
When the processing from
前述のフローチャートに従い統計情報を更新した場合、ルータ101は、統計情報テーブル212へのアクセスを、ステップ602の読み出しとステップ610の更新の2回と最小限に抑えることができる。通常、統計情報テーブル212は、大容量のメモリを必要とするため、メモリアクセス速度の遅いDRAM等に実装されることが多い。従って、ルータ101は、メモリアクセス回数を抑えることによって、より高速に統計情報を収集することができる。
When the statistical information is updated according to the above-described flowchart, the
図8は、本発明の第1の実施形態の統計情報テーブル更新処理の統計情報更新処理を示すフローチャートである。 FIG. 8 is a flowchart illustrating the statistical information update process of the statistical information table update process according to the first embodiment of this invention.
図8は、図7のステップ607の統計情報更新処理に対応する処理を示す。統計テーブル管理部302は、図8に示す処理において、ステップ602において読み出されたエントリを更新する。
FIG. 8 shows a process corresponding to the statistical information update process in
まず、統計テーブル管理部302は、ステップ602において読み出されたエントリのIP_a422の値と、受信したヘッダ情報のSIPとが等しいか否かを判定する(ステップ701)。統計テーブル管理部302は、ステップ704以降においていずれの統計情報431を更新するかを判定するため、ステップ701を行う。
First, the statistical
IP_a422がSIPと等しい場合、統計テーブル管理部302は、IP_a422、IP_b424、PT_a426、及び、PT_b425を(SIP、DIP、SPT、DPT)に対応させること、及び、IP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットに関する統計情報431(例えば、atob432)を更新することを決定する(ステップ702)。
When
IP_a422がDIPと等しい場合、統計テーブル管理部302は、IP_a422、IP_b424、PT_a426、及び、PT_b425を(DIP、SIP、DPT、SPT)に対応させること、及び、IP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットに関する統計情報431(例えば、btoa433)を更新することを決定する(ステップ703)。
When the
ステップ702又はステップ703の後、統計テーブル管理部302は、ステップ702又はステップ703における決定に従って、ステップ602においてメモリに読み出されたエントリの統計情報431のパケット数(すなわち、atob432又はbtoa433)に、所定の値を加算する(ステップ704)。なお、ステップ704において、統計テーブル管理部302はパケット数に、例えば、"1"を加算する。
After
ステップ704の後、統計テーブル管理部302は、統計情報431の異なり数を算出する。統計テーブル管理部302は、異なり数を算出するため、集約フローの組合せCに異なり数の測定箇所Xを含めた組合せC'を生成する(ステップ705)。
After
例えば、統計テーブル管理部302は、ステップ705において、組合せCが(IP_a、IP_b、PRT)の集約フローである場合、測定箇所XをPT_bとして、(IP_a、IP_b、PT_b、PRT)の組合せC'を生成する。これによって、統計テーブル管理部302は、PT_bを測定箇所とする異なり数を算出することができる。
For example, if the combination C is an aggregated flow of (IP_a, IP_b, PRT) in
ステップ705の後、統計テーブル管理部302は、組合せC'を組合せ501に含む更新結果テーブル310のエントリの新規フラグ511が"1"であるか否かを判定する(ステップ706)。組合せC'の新規フラグ511が"1"でない場合、組合せCの異なり数には、ヘッダ情報に含まれる組合せC'に相当する異なり数が既に含まれている。このため、統計テーブル管理部302は、ステップ710に移行する。
After
組合せC'の新規フラグ511が"1"である場合、ヘッダ情報に含まれる組合せC'は新規フローである。ヘッダ情報に含まれる組合せC'が新規フローであることは、組合せCの異なり数に、組合せC'に相当する数が含まれていないことを示す。
When the
このため、統計テーブル管理部302は、ステップ602においてメモリに読み出されたエントリ(組合せCに対応する)の、統計情報431に含まれる測定箇所Xの異なり数に、例えば、"1"を加算する(ステップ707)。なお、統計テーブル管理部302は、統計情報431に含まれる測定箇所Xの異なり数のうち、ステップ702又は703における決定に従って、atob又はbtoaのセルの異なり数に値を加算する。
For this reason, the statistical
ステップ707の後、統計テーブル管理部302は、組合せC'を組合せ501に含む更新結果テーブル310のエントリの返信有フラグ521が"1"であるか否かを判定する(ステップ708)。組合せC'の返信有フラグ521が"1"であることは、組合せC'の集約フローは送信と返信との両方があり、かつ、組合せCの異なり数の返信数に組合せC'の数が含まれていないことを示す。
After
このため、統計テーブル管理部302は、ステップ602においてメモリに読み出されたエントリ(組合せCに対応する)の、統計情報431の測定箇所Xの異なり数の返信有(例えば、返信有436、返信有439、返信有442、又は、返信有445)に、例えば、"1"を加算する(ステップ709)。
Therefore, the statistical
組合せC'の返信有フラグ521が"1"でない場合、組合せC'の集約フローにはまだ返信がない、又は、組合せC'の集約フローには既に送信と返信との両方があったが、組合せCの異なり数の返信数に組合せC'の数が既に加算されている。このため、統計テーブル管理部302は、統計情報更新処理を終了する。
If the
ステップ706、ステップ708、又は、ステップ709の後、統計テーブル管理部302は、すべての測定箇所Xについて、ステップ705〜ステップ709の処理によって、異なり数を算出したか否かを判定する(ステップ710)。すべての測定箇所Xについて、異なり数を算出した場合、統計テーブル管理部302は、統計情報更新処理を終了する。
After
異なり数を算出していない測定箇所Xがある場合、統計テーブル管理部302は、ステップ705に戻り、異なり数を算出していない測定箇所Xを含む新たな組合せC'を生成する。
If there is a measurement location X for which the number of differences has not been calculated, the statistical
なお、前述の図8に示す処理において、測定箇所Xには、複数の項目が含まれてもよい。具体的には、組合せCがIP_a422及びPRT423(すなわち、1IPテーブル401のエントリ)を含む場合、統計テーブル管理部302は、測定箇所XをIP_b及びPT_bとし、エントリ5013(2IP_1PTbテーブルに対応)に基づいて、1IPテーブル401の異なり数を算出してもよい。
In the process shown in FIG. 8 described above, the measurement location X may include a plurality of items. Specifically, when the combination C includes
また、例えば、図5Bに示すFlowの異なり数を算出する場合も、統計テーブル管理部302は、項目421に含まれるヘッダ情報以外の5−tupleの複数のヘッダ情報を、異なり数の測定箇所Xとしてもよい。
Also, for example, when calculating the number of different Flows shown in FIG. 5B, the statistical
図7及び図8に示す処理において、統計テーブル管理部302は、項目421が多いテーブルの更新結果を用いることによって、項目421の少ないテーブルの異なり数を算出する。そして、これを繰り返すことによって、複数のテーブルを更新及び生成することが可能である。
In the processing shown in FIGS. 7 and 8, the statistical
第1の実施形態によれば、統計情報テーブル212に複数のテーブルを保持することによって、多様な観点による統計情報431を取得することができる。また、膨大なトラフィックの履歴を都度検索することなく、複数のテーブルの各エントリを更新結果テーブル310を用いて順次更新することによって、メモリへのアクセス頻度を最低限に抑え、各統計情報を含むテーブルを順次更新することができる。これによって、第1の実施形態のルータ101は、統計情報431を算出するためのプロセッサ及びメモリの消費を、低減することができる。
According to the first embodiment,
さらに、各テーブルには、パケット数、異なり数、及び返信数を含む統計情報が格納され、統計情報は図7及び図8に示す一つの連続した処理によって算出される。これによって、統計テーブル管理部302は、パケット数、異なり数、及び返信数をすべて含む統計情報をフロー分析部303に送信可能であり、フロー分析部303は、各情報を都度統計情報テーブル212に検索する必要がない。これによって、第1の実施形態のルータ101は、フローを分析するためのプロセッサ及びメモリの消費を低減することができる。
Furthermore, each table stores statistical information including the number of packets, the number of differences, and the number of replies, and the statistical information is calculated by one continuous process shown in FIGS. As a result, the statistical
また、第1の実施形態によれば、異なり数の返信数を算出することによって、不特定の通信相手、又は、不特定の通信方法のうち返信のあった数を算出する。このため、5−tupleのすべてが一致するフローに関する返信数だけではなく、多様な観点による返信数を取得することができる。 Further, according to the first embodiment, by calculating different numbers of replies, the number of replies among unspecified communication partners or unspecified communication methods is calculated. For this reason, it is possible to acquire not only the number of replies related to the flow that matches all of the 5-tuples but also the number of replies from various viewpoints.
(第2の実施形態)
本発明の第2の実施形態を図9A、図9B、図10A、及び、図10Bを用いて説明する。
(Second Embodiment)
A second embodiment of the present invention will be described with reference to FIGS. 9A, 9B, 10A, and 10B.
本発明の第2の実施形態におけるルータ101は、測定期間毎に正確な異なり数を算出するため、統計情報テーブル212に保持されるテーブル間で、世代情報を保持する。これは、第1の実施形態のルータ101は、複数測定期間において、正しい異なり数を算出できないためである。
The
具体的には、第1の実施形態において、統計テーブル管理部302が、統計情報テーブル212に保持されるテーブルの統計情報431を、フロー分析部303に送信する際、送信された統計情報431は、ステップ609においてゼロに置き換えられる。しかし、統計情報431がゼロに置き換わった後も、第1の実施形態の統計テーブル管理部302は、統計情報431がゼロに置き換わったテーブル(テーブルS)以外のテーブル(テーブルT)に基づいて、テーブルSの集約フローの異なり数を算出する。
Specifically, in the first embodiment, when the statistical
この場合において、テーブルTにおいて新規フローではないと判定されても、テーブルSにおいて新規フローである場合が生じる。このような場合、統計テーブル管理部302は、正確に更新結果テーブル310を更新できず、テーブルSにおける異なり数を正確に算出することができない。
In this case, even if it is determined in the table T that the flow is not a new flow, there may be a case where the table S is a new flow. In such a case, the statistical
すなわち、統計情報テーブル212に保持されるテーブル間で、統計情報431を更新する期間が異なる場合、統計テーブル管理部302は、異なり数を正確にカウントアップすることができない。第2の実施形態はこのような事態に対応したものである。
That is, if the period for updating the
第1の実施形態と異なる点は、統計情報テーブル212に含まれるテーブルと統計テーブル管理部302の統計情報更新処理とであり、その他の機能ブロックについては第1の実施形態と同じである。図9A及び図9Bに示す統計情報テーブル212は、1IPテーブル801、及び、2IPテーブル802を保持する。
A difference from the first embodiment is a table included in the statistical information table 212 and a statistical information update process of the statistical
図9Aは、本発明の第2の実施形態の1IPテーブル801を示す説明図である。 FIG. 9A is an explanatory diagram illustrating a 1IP table 801 according to the second embodiment of this invention.
第2の実施形態の1IPテーブル801と第1の実施形態の1IPテーブル401との相違点は、以下の2点である。 The difference between the 1IP table 801 of the second embodiment and the 1IP table 401 of the first embodiment is the following two points.
一つ目の相違点は、第2の実施形態の1IPテーブル801が、世代識別子811を含む点である。世代識別子811は、atob812及びbtoa813を含み、対応する統計情報431がフロー分析部303に送信される毎に更新される。
The first difference is that the 1IP table 801 of the second embodiment includes a
atob812は、統計情報431のatob432及びatob434に対応し、btoa813は、統計情報431のbtoa433及びbtoa435に対応する。
The
二つ目の相違点は、第2の実施形態の1IPテーブル801が、統計情報431の異なり数のatob434及びbtoa435に、返信有831及び返信有832を含む点である。
The second difference is that the 1IP table 801 of the second embodiment includes a
返信有831は、IP_a422が示すIPアドレスからIP_bが示すIPアドレスに、PRT423によって送信されるパケットが、返信された数(返信数)を示す。すなわち、返信有831は、IP_a422が示すIPアドレスからIP_bが示すIPアドレスにPRT423によって送信されるパケットのうち、返信されたパケットが含むIP_bの種類数を示す。
The
返信有832は、IP_bが示すIPアドレスからIP_a422が示すIPアドレスに、PRT423によって送信されるパケットが、返信された数(返信数)を示す。すなわち、返信有832は、IP_bが示すIPアドレスからIP_a422が示すIPアドレスにPRT423によって送信されるパケットのうち、返信されたパケットが含むIP_bの種類数を示す。
“Reply” 832 indicates the number of replies (the number of replies) sent by the
図9Bは、本発明の第2の実施形態の2IPテーブル802を示す説明図である。 FIG. 9B is an explanatory diagram illustrating a 2IP table 802 according to the second embodiment of this invention.
第2の実施形態の2IPテーブル802と第1の実施形態の2IPテーブル402との相違点は、以下の二点である。 Differences between the 2IP table 802 of the second embodiment and the 2IP table 402 of the first embodiment are the following two points.
一つ目の相違点は、第2の実施形態の2IPテーブル802が異なり数世代情報821を含む点である。また、二つ目の相違点は、第2の実施形態の2IPテーブル802が世代識別子841を含む点である。
The first difference is that the 2IP table 802 of the second embodiment is different and includes
図9Bの2IPテーブル802は、1IPテーブル801の世代識別子を保持する異なり数世代情報821を含む。異なり数世代情報821は、2IPテーブル802の更新結果を用いて異なり数を算出する1IPテーブル801の、統計情報431の世代識別子を保持する。
The 2IP table 802 in FIG. 9B includes
異なり数世代情報821は、2IPテーブル802のIP_a422に関するatob823及びbtoa825を含む。また、2IPテーブル802のIP_b424に関するbtoa827及びatob829を含む。
The different
atob823及びbtoa825は、2IPテーブル802のIP_a422を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリの異なり数及び返信数を算出するための世代情報を含む。btoa827及びatob829は、2IPテーブル802のIP_b424を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリの異なり数及び返信数を算出するための世代情報を含む。
The
atob823は、世代識別子と、返信待ちフラグ822とを含む。atob823の世代識別子は、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットを、異なり数として1IPテーブル801のatob434に加算する際に用いられる世代識別子である。なお、atob823は、2IPテーブル802のIP_a422を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリのatob434に対応する。
The
本実施形態において、2IPテーブル802のatob823の世代識別子と、1IPテーブル801のatob812の世代識別子とが相違する場合、atob434の異なり数が加算される。これは、世代識別子が相違していることが、1IPテーブル801の測定期間において2IPテーブル802のエントリに基づいて加算されるべき異なり数が、まだ加算されていないことを示すためである。
In this embodiment, when the generation identifier of
返信待ちフラグ822に"1"が格納される場合、ルータ101は、1IPテーブル801のbtoa813が示す測定期間において、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットの返信待ちである。
When “1” is stored in the
そして、返信待ちフラグ822が"1"を保持している場合において、ルータ101が、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットを受信した場合、受信したパケットは、ルータ101がbtoa813が示す測定期間において初めて受信した返信パケットである。
When the
btoa825は、世代識別子と、返信待ちフラグ824とを含む。btoa825の世代識別子は、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットを、異なり数として1IPテーブル801のbtoa435に加算する際に用いられる世代識別子である。なお、btoa825は、2IPテーブル802のIP_a422を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリのbtoa435に対応する。
The
本実施形態において、2IPテーブル802のbtoa825の世代識別子と、1IPテーブル801のbtoa813の世代識別子とが相違する場合、btoa435の異なり数が加算される。
In this embodiment, when the generation identifier of
返信待ちフラグ824に"1"が格納される場合、ルータ101は、1IPテーブル801のatob812が示す測定期間において、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットの返信待ちである。
When “1” is stored in the
そして、返信待ちフラグ824が"1"を保持している場合において、ルータ101が、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットを受信した場合、受信したパケットは、ルータ101がatob812が示す測定期間において初めて受信した返信パケットである。
When the
btoa827は、世代識別子と、返信待ちフラグ826とを含む。btoa827の世代識別子は、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットを、異なり数として1IPテーブル801のbtoa435に加算する際に用いられる世代識別子である。なお、btoa827は、2IPテーブル802のIP_b424を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリのbtoa435に対応する。
The
2IPテーブル802のbtoa827の世代識別子と、1IPテーブル801のbtoa813の世代識別子とが相違する場合、btoa435の異なり数が加算される。
If the generation identifier of
返信待ちフラグ826に"1"が格納される場合、ルータ101は、1IPテーブル801のbtoa813が示す測定期間において、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットの返信待ちである。
When “1” is stored in the
そして、返信待ちフラグ826が"1"を保持している場合において、ルータ101が、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットを受信した場合、受信したパケットは、ルータ101がbtoa813が示す測定期間において初めて受信した返信パケットである。
When the
atob829は、世代識別子と、返信待ちフラグ828とを含む。atob829の世代識別子は、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットを、異なり数として1IPテーブル801のatob434に加算する際に用いられる世代識別子である。なお、atob829は、2IPテーブル802のIP_b424を、1IPテーブル801のIP_a422に含む1IPテーブル801のエントリのatob434に対応する。
The
2IPテーブル802のatob829の世代識別子と、1IPテーブル801のatob812の世代識別子とが相違する場合、atob434の異なり数が加算される。
When the generation identifier of
返信待ちフラグ828に"1"が格納される場合、ルータ101は、1IPテーブル801のatob812が示す測定期間において、2IPテーブル802のIP_a422が示すIPアドレスからIP_b424が示すIPアドレスへ送信されるパケットの返信待ちである。
When “1” is stored in the
そして、返信待ちフラグ826が"1"を保持している場合において、ルータ101が、2IPテーブル802のIP_b424が示すIPアドレスからIP_a422が示すIPアドレスへ送信されるパケットを受信した場合、受信したパケットは、ルータ101がatob812が示す測定期間において初めて受信した返信パケットである。
When the
世代識別子841は、atob842及びbtoa843を含み、2IPテーブル802の統計情報431がフロー分析部303に送信される毎に更新される。
The
図9A及び図9Bにおいて、第2の実施形態の統計情報テーブル212が保持するテーブルは、1IPテーブル801及び2IPテーブル802であるが、例えば、第2の実施形態の統計情報テーブル212は、第1の実施形態の1IPテーブル401に世代識別子811が加えられ、第1の実施形態の2IP_1PTbテーブル403に異なり数世代情報821及び世代識別子841が加えられたテーブルを保持してもよい。
9A and 9B, the tables held by the statistical information table 212 of the second embodiment are the 1IP table 801 and the 2IP table 802. For example, the statistical information table 212 of the second embodiment A
図10Aは、本発明の第2の実施形態のSIPに関する統計情報を算出する統計情報テーブル更新処理を示すフローチャートである。 FIG. 10A is a flowchart illustrating statistical information table update processing for calculating statistical information related to SIP according to the second embodiment of this invention.
図10A及び後述する図10Bは、1IPテーブル801の異なり数及び返信数の算出手順を示し、IPアドレスAからIPアドレスXに送信されたパケットの統計情報を算出する手順である。ステップ911からステップ918までの処理が、1IPテーブル801のIP_a422に"A"を含むエントリ8011、すなわち、SIPが"A"である場合の統計情報を更新する処理である。
FIG. 10A and FIG. 10B to be described later show a procedure for calculating the number of differences and the number of replies in the 1IP table 801, and calculating statistical information of a packet transmitted from the IP address A to the IP address X. The processing from
統計テーブル管理部302は、ルータ101がIPアドレスAからIPアドレスXに送信されたパケットを受信した場合(ステップ901)、SIPを1IPテーブル801のIP_a422に含む統計情報431を算出するため図10Aに示す処理を行い、また、DIPを1IPテーブル801のIP_a422に含む統計情報431を算出するため、図10Bに示す処理を行う。図10A及び図10Bに示す処理は、並行して行われてもよく、どちらかが先に行われてもよい。
When the
なお、図10A及び後述する図10Bにおいて、1IPテーブル801のエントリ8011のIP_a422は、"A"を含み、エントリ8012のIP_a422は、"X"を含むものとする。また、2IPテーブル802のエントリ8021のIP_a422は、"A"を含み、エントリ8021のIP_b424は、"X"を含むものとする。
In FIG. 10A and FIG. 10B described later, it is assumed that
また、図10A及び図10Bに示す処理が開始される際、IPアドレスAからIPアドレスXへ送信されるパケット数を示す、1IPテーブル801のエントリ8011のatob432及びエントリ8012のbtoa433、並びに、2IPテーブル802のエントリ8021のatob432には、受信したパケットに相当するパケット数が既に加算されているものとする。
In addition, when the processing shown in FIGS. 10A and 10B is started, the number of packets transmitted from the IP address A to the IP address X is indicated, the
統計テーブル管理部302は、1IPテーブル801のエントリ8011の返信有832を更新するため、ステップ911からステップ914の処理を行う。まず、統計テーブル管理部302は、2IPテーブル802のエントリ8021の返信待ちフラグ822に"1"が格納されているか否かを判定する(ステップ911)。
The statistics
エントリ8021の返信待ちフラグ822に"1"が格納されていない場合、ステップ901において受信されたパケットは、既にルータ101に受信されていたIPアドレスXからIPアドレスAへ送信されるパケットの返信パケットではない。または、IPアドレスAからIPアドレスXに送信されたパケットは、エントリ8011の返信有832に既に加算済みである。このため、エントリ8011において、IPアドレスXへ送信される返信パケットのパケット数(すなわち、返信有832)を更新する必要はないため、統計テーブル管理部302は、ステップ915に移行する。
If “1” is not stored in the
エントリ8021の返信待ちフラグ822が"1"である場合、返信待ちフラグ822は、IPアドレスAからIPアドレスXへ送信されるパケットを受信する前に、IPアドレスXからIPアドレスAへ送信されるパケットをルータ101が受信しており、かつ、統計テーブル管理部302が、IPアドレスAからIPアドレスXへ送信されるパケットを返信パケットとして、返信有832に加算していないことを示す。そして、ルータ101は、IPアドレスXからIPアドレスAへ送信されるパケットの返信パケット、すなわち、IPアドレスAからIPアドレスXへ送信されるパケットを待っていたことを示す。
When the
このため、エントリ8021の返信待ちフラグ822が"1"である場合、統計テーブル管理部302は、返信パケット数を1IPテーブル801に加算するため、さらに、エントリ8021のbtoa825の値と、1IPテーブル801のエントリ8011のbtoa813の値とが同じであるか否かを判定する(ステップ912)。
For this reason, when the
エントリ8021のbtoa825の値と、エントリ8011のbtoa813の値とが異なる場合、IPアドレスAに送信されるパケットの2IPテーブル802における返信数の測定期間と、IPアドレスAに送信されるパケットの1IPテーブル801における返信数の測定期間とが異なり、2IPテーブル802に基づいて1IPテーブル801の返信有832を更新できない。このため、統計テーブル管理部302は、ステップ915に移行する。
When the
エントリ8021のbtoa825の値と、エントリ8011のbtoa813の値とが同じである場合、IPアドレスAに送信されるパケットの2IPテーブル802における返信数の測定期間と、IPアドレスAに送信されるパケットの1IPテーブル801における返信数の測定期間とが同じである。このため、統計テーブル管理部302は、1IPテーブル801のエントリ8011の返信有832の値を加算(例えば、"1"を加算)する(ステップ913)。
When the
ステップ913の後、統計テーブル管理部302は、エントリ8021の返信待ちフラグ822の値を、"0"に置き換える(ステップ914)。これによって、統計テーブル管理部302は、この後にIPアドレスAからIPアドレスXへ送信されるパケットをルータ101が受信しても、ステップ911において、受信したパケットを返信パケットとして判定しない。
After
ステップ911、ステップ912又はステップ914の後、統計テーブル管理部302は、ステップ915からステップ918において異なり数を算出する。統計テーブル管理部302は、エントリ8021のatob823の値と、1IPテーブル801のエントリ8011のatob812の値とが同じであるか否かを判定する(ステップ915)。
After
エントリ8021のatob823の値と、1IPテーブル801のエントリ8011のatob812の値とが同じである場合、エントリ8021が示す集約フローに相当する異なり数は、エントリ8011のatob434に加算済みである。このため、統計テーブル管理部302は、エントリ8021のatob823の値と、1IPテーブル801のエントリ8011のatob812の値とが同じである場合、図10Aに示す統計情報測定処理を終了する。
When the value of
エントリ8021のatob823の値と、1IPテーブル801のエントリ8011のatob812の値とが異なる場合、エントリ8021が示す集約フローに相当する異なり数は、エントリ8011のatob434に加算されていない。このため、統計テーブル管理部302は、1IPテーブル801のエントリ8011のatob434の値を加算(例えば、"1"を加算)する(ステップ916)。
When the value of
ステップ916の後、統計テーブル管理部302は、1IPテーブル801のエントリ8011のatob812の値によって、2IPテーブル802のエントリ8021のatob823の値を置き換える(ステップ917)。これによって、統計テーブル管理部302は、この後にIPアドレスAからIPアドレスXへ送信されるパケットをルータ101が受信しても、ステップ916において受信したパケットに相当する異なり数を算出しない。。
After
ステップ917の後、統計テーブル管理部302は、2IPテーブル802の返信待ちフラグ824に、"1"を格納する(ステップ918)。これによって、統計テーブル管理部302は、2IPテーブル802によって、IPアドレスAからIPアドレスXへ送信されるパケットへの返信パケット、すなわち、IPアドレスXからIPアドレスAへ送信されるパケットを、ルータ101が返信パケットとして未受信であることを示すことができる。
After
ステップ915又はステップ918の後、統計テーブル管理部302は、図10Aに示す統計情報測定処理を終了する。
After
図10Bは、本発明の第2の実施形態のDIPに関する統計情報を算出する統計情報テーブル更新処理を示すフローチャートである。 FIG. 10B is a flowchart illustrating statistical information table update processing for calculating statistical information related to DIP according to the second embodiment of this invention.
図10Bは、図10Aと同じく、IPアドレスAからIPアドレスXに送信されたパケットの統計情報を測定する手順である。ステップ921からステップ928までの処理が、1IPテーブル801のIP_a422に"X"を格納するエントリ8012、すなわち、DIPが"X"である統計情報を更新する処理である。
FIG. 10B is a procedure for measuring statistical information of a packet transmitted from IP address A to IP address X, as in FIG. 10A. The processing from
統計テーブル管理部302は、1IPテーブル801のエントリ8012の返信有831を更新するため、ステップ921からステップ924の処理を行う。まず、統計テーブル管理部302は、2IPテーブル802のエントリ8021の返信待ちフラグ826に"1"が格納されているか否かを判定する(ステップ921)。
The statistical
エントリ8021の返信待ちフラグ826に"1"が格納されていない場合、ステップ901において受信されたパケットは、既にルータ101に受信されていたIPアドレスXからIPアドレスAへ送信されるパケットの返信パケットではない。または、IPアドレスAからIPアドレスXに送信されたパケットは、エントリ8012の返信有831に既に加算済みである。このため、エントリ8012において、IPアドレスXへ送信される返信パケットのパケット数(すなわち、返信有831を更新する必要はないため、統計テーブル管理部302は、ステップ925に移行する。
If “1” is not stored in the
エントリ8021の返信待ちフラグ826が"1"である場合、返信待ちフラグ826は、IPアドレスAからIPアドレスXへ送信されるパケットを受信する前に、IPアドレスXからIPアドレスAへ送信されるパケットをルータ101が受信しており、かつ、統計テーブル管理部302が、IPアドレスAからIPアドレスXへ送信されるパケットを返信パケットとして、返信有831に加算していないことを示す。そして、ルータ101は、IPアドレスXからIPアドレスAへ送信されるパケットの返信パケット、すなわち、IPアドレスAからIPアドレスXへ送信されるパケットを待っていたことを示す。
When the
このため、エントリ8021の返信待ちフラグ826が"1"である場合、統計テーブル管理部302は、返信パケット数を1IPテーブル801に加算するため、さらに、エントリ8021のatob829の値と、1IPテーブル801のエントリ8012のatob812の値とが同じであるか否かを判定する(ステップ922)。
For this reason, when the
エントリ8021のatob829の値と、エントリ8012のatob812の値とが異なる場合、IPアドレスAに送信されるパケットの2IPテーブル802における返信数の測定期間と、IPアドレスAに送信されるパケットの1IPテーブル801における返信数の測定期間とが異なり、2IPテーブル802に基づいて1IPテーブル801の返信有831を更新できない。このため、統計テーブル管理部302は、ステップ925に移行する。
When the value of
エントリ8021のatob829の値と、エントリ8012のatob812の値とが同じである場合、IPアドレスAに送信されるパケットの2IPテーブル802における返信数の測定期間と、IPアドレスAに送信されるパケットの1IPテーブル801における返信数の測定期間とが同じである。このため、統計テーブル管理部302は、1IPテーブル801のエントリ8012の返信有831の値を加算(例えば、"1"を加算)する(ステップ923)。
When the value of
ステップ923の後、統計テーブル管理部302は、エントリ8021の返信待ちフラグ826の値を、"0"に置き換える(ステップ924)。これによって、統計テーブル管理部302は、この後にIPアドレスAからIPアドレスXへ送信されるパケットをルータ101が受信しても、ステップ921において、受信したパケットを返信パケットとして判定しない。
After
ステップ921、ステップ922又はステップ924の後、統計テーブル管理部302は、ステップ925からステップ928において異なり数を測定する。統計テーブル管理部302は、エントリ8021のbtoa827の値と、1IPテーブル801のエントリ8012のbtoa813の値とが同じであるか否かを判定する(ステップ925)。
After
エントリ8021のbtoa827の値と、1IPテーブル801のエントリ8012のbtoa813の値とが同じである場合、エントリ8021が示す集約フローに相当する異なり数は、エントリ8012のbtoa435に加算済みである。このため、統計テーブル管理部302は、エントリ8021のbtoa827の値と、1IPテーブル801のエントリ8012のbtoa813の値とが同じである場合、図10Bに示す統計情報測定処理を終了する。
When the
エントリ8021のbtoa827の値と、1IPテーブル801のエントリ8012のbtoa813の値とが異なる場合、エントリ8021が示す集約フローに相当する異なり数は、エントリ8012のbtoa435に加算されていない。このため、統計テーブル管理部302は、1IPテーブル801のエントリ8012のbtoa435の値を加算(例えば、"1"を加算)する(ステップ926)。
When the
ステップ926の後、統計テーブル管理部302は、1IPテーブル801のエントリ8012のbtoa813の値によって、2IPテーブル802のエントリ8021のbtoa827の値を置き換える(ステップ927)。これによって、統計テーブル管理部302は、この後にIPアドレスAからIPアドレスXへ送信されるパケットをルータ101が受信しても、ステップ926において受信したパケットに相当する異なり数を算出しない。
After
ステップ927の後、統計テーブル管理部302は、2IPテーブル802の返信待ちフラグ828に、"1"を格納する(ステップ928)。これによって、統計テーブル管理部302は、2IPテーブル802によって、IPアドレスAからIPアドレスXへ送信されるパケットへの返信パケット、すなわち、IPアドレスXからIPアドレスAへ送信されるパケットを、ルータ101が返信パケットとして未受信であることを示すことができる。
After
ステップ925又はステップ928の後、統計テーブル管理部302は、図10Bに示す統計情報測定処理を終了する。
After
図10A及び図10Bに示す処理は、IPアドレスAからIPアドレスXへ送信されるパケットをルータ101が受信した場合の処理であるが、AをXに置き換え、XをAに置き換えることによって、IPアドレスXからIPアドレスAへ送信されるパケットに関する統計情報を同様な処理によって算出することができる。この場合、更新される1IPテーブル801のセルは、エントリ8011の返信有831と、エントリ8011のbtoa435と、エントリ8012のatob434と、エントリ8012の返信有832とである。
The processing illustrated in FIGS. 10A and 10B is processing when the
なお、図9A、図9B、図10A、図10Bに示す処理は、1IPテーブル801及び2IPテーブル802の二つのテーブルの世代情報を用いながら、統計情報を算出する手順であるが、第2の実施形態のルータ101は、三つ以上のテーブルを保持し、各々のテーブル間で世代情報を用いて統計情報を算出してもよい。
The processing shown in FIGS. 9A, 9B, 10A, and 10B is a procedure for calculating statistical information using generation information of two tables, the 1IP table 801 and the 2IP table 802. The form of
第2の実施形態によれば、各統計情報の測定期間を保持することによって、測定期間が同一である統計情報を生成できる。これによって、ルータ101が、より正確な統計情報を生成することが可能となる。また、パケット数、異なり数、及び返信数を関連して保持するため、算出及び分析に要するメモリ等の消費を低減できる。
According to the second embodiment, statistical information having the same measurement period can be generated by holding the measurement period of each statistical information. As a result, the
(第3の実施形態)
図11は、本発明の第3の実施形態の統計情報収集システムを示すブロック図である。
(Third embodiment)
FIG. 11 is a block diagram illustrating a statistical information collection system according to the third embodiment of this invention.
第3の実施形態の統計情報収集システムは、複数のルータ101と、コレクタ装置104と、ネットワーク制御装置1101とを備える。本発明の第3の実施形態において、第1の実施形態のルータ101が有するトラフィックの統計を分析する機能は、ネットワーク制御装置1101に実装される。
The statistical information collection system according to the third embodiment includes a plurality of
ネットワーク制御装置1101は、プロセッサ1102、ワークメモリ1103、プログラムメモリ1104、統計情報データベース1105、通信インタフェース(通信I/F)1106、及び、入出力装置1107を備える。また、これらは、各々バス1108によって接続される。
The
プロセッサ1102は、例えば、CPU(Central Processing Unit)等の演算装置である。ワークメモリ1103は、プログラム及びデータを一時的に読み出す記憶装置である。プログラムメモリ1104は、ネットワーク制御装置1101の機能を実行するためのプログラムを格納するためのメモリである。
The
統計情報データベース1105は、統計情報テーブル212等の各テーブル、又は、各ルータ101から送信されたトラフィック情報を保持するためのデータベースである。通信I/F1106は、ネットワークに備わるルータ101等と接続するためのインタフェースである。
The
入出力装置1107は、管理者等によって指示を入力されるための装置である。また、管理者等にスキャンであると判定された統計情報431等を表示するための装置である。
The input / output device 1107 is a device for inputting an instruction by an administrator or the like. In addition, this is a device for displaying, for example,
プログラムメモリ1104は、パケット送受信処理部1111、統計情報パケット解析処理部1112、及び、トラフィック統計処理部1113を含む。プロセッサ1102は、プログラムメモリ1104に格納される各種プログラム等をワークメモリ1103にロードし、そして、実行する。
The
パケット送受信処理部1111は、パケットを送受信する。統計情報パケット解析処理部1112は、ルータ101から送信されたパケットに含まれるヘッダ情報を取得する。
The packet transmission /
トラフィック統計処理部1113は、第1の実施形態のトラフィック統計処理部204と同様の処理を実行する。第1の実施形態のトラフィック統計処理部204と、第3の実施形態のトラフィック統計処理部1113とが異なる点は、第1の実施形態のトラフィック統計処理部204は、統計情報パケット生成部304によって生成されたパケットを受信パケット処理部201に送信するが、第3の実施形態のトラフィック統計処理部1113は、統計情報パケット生成部304によって生成されたパケットをパケット送受信処理部1111に送信する点である。
The traffic
統計情報データベース1105は、統計情報テーブル212を含む。また、統計情報データベース1105は、トラフィック統計処理部1113によって参照される。
The
ネットワーク制御装置1101への入力は、ルータ101のsFlow機能やnetFlow機能によって出力された統計情報である。
The input to the
なお、ルータ101を通過するパケットの数が少ない場合、パケットを複製して、複製されたパケットをネットワーク制御装置1101に送信してもよい。
When the number of packets passing through the
前述の統計情報収集システムは、ルータ101を備え、パケットが有するヘッダ情報に基づいて統計情報を生成した。しかし、本発明の統計情報収集システムは、スイッチを備えるシステムであってもよく、MACアドレス等のヘッダ情報に基づいて統計情報を生成してもよい。また、前述の統計情報収集システムは、5−tupleのヘッダ情報に基づいて統計情報を生成したが、いずれのヘッダ情報を用いてもよい。
The statistical information collection system described above includes a
また、前述の統計情報431は、パケット数、異なり数、及び返信数を含んだが、受信したパケットから算出されるいかなる統計情報を含んでもよい。例えば、統計情報431は、異なり数と返信数とに基づいて算出された返信率を保持してもよい。
The above-described
本実施形態によれば、パケットを受信する毎に各統計情報を一つの処理によって算出し、算出された各統計情報を関連して保持することによって、複数の統計情報を算出及び分析するために必要なメモリ等のリソースの消費を低減する。また、各統計情報の測定期間を保持することによって、測定期間が同一である統計情報を生成する。また、項目が異なるフローに関する統計情報を算出することによって、より詳細な統計情報を生成する。 According to the present embodiment, each time the packet is received, each piece of statistical information is calculated by one process, and the calculated pieces of statistical information are stored in association with each other to calculate and analyze a plurality of pieces of statistical information. Reduce consumption of resources such as necessary memory. Further, by holding the measurement period of each statistical information, statistical information having the same measurement period is generated. Further, more detailed statistical information is generated by calculating statistical information regarding flows with different items.
また、本実施形態によれば、トラフィックの分析の際、分析のために用いる統計情報がパケット数、異なり数、及び返信数等の情報を含むため、各情報を算出するごとに統計情報テーブル212を検索することなく、メモリ等の消費を低減できる。 Also, according to the present embodiment, when analyzing traffic, statistical information used for analysis includes information such as the number of packets, the number of differences, the number of replies, and the like. It is possible to reduce the consumption of memory and the like without searching for.
また、本実施形態によれば、異なり数の返信数を算出することによって、不特定の通信相手、又は、不特定の通信方法のうち返信のあった数を算出する。このため、5−tupleのすべてが一致するフローに関する返信数だけではなく、多様な観点による返信数を取得することができる。 In addition, according to the present embodiment, the number of replies among unspecified communication partners or unspecified communication methods is calculated by calculating different numbers of replies. For this reason, it is possible to acquire not only the number of replies related to the flow that matches all of the 5-tuples but also the number of replies from various viewpoints.
101 ルータ
102 サーバ
103 端末
104 コレクタ装置
201 受信パケット処理部
202 送信パケット処理部
203 検索処理部
204 トラフィック統計処理部
205 制御部
206 管理端末
211 ルーティングテーブル
212 統計情報テーブル
1101 ネットワーク制御装置
1102 プロセッサ
1103 ワークメモリ
1104 プログラムメモリ
1105 統計情報データベース
DESCRIPTION OF
Claims (12)
前記ヘッダ情報は、複数の項目を含み、
前記ネットワーク装置は、
プロセッサ及びメモリを備え、
前記複数の項目のうち少なくとも二つを含む第1の項目グループと、前記第1の項目グループに含まれる項目のうち少なくとも一つの項目を含み、かつ、前記第1の項目グループに含まれる項目よりも少ない項目を含む第2の項目グループとを、前記メモリに保持し、
前記第1の項目グループに関する第1の更新結果情報を保持し、
前記第1の更新結果情報は、新規フラグ及び返信有フラグを含み、
前記ネットワーク装置は、
受信した第1のパケットが有する前記第1の項目グループの値を前記ヘッダ情報に有する前記パケットの数を含む第1の統計情報を、更新又は生成し、
前記更新又は生成された第1の統計情報と前記第2の項目グループとに基づいて、前記第1のパケットが有する前記第2の項目グループの値と同じ値を前記ヘッダ情報に有する前記パケットのパケット数と、前記第2の項目グループ以外の項目における異なり数と、前記第1のパケットが有する第2の項目グループの値と同じ値をヘッダ情報に有する前記パケットによって返信されるパケットの数を示す返信数と、を含む第2の統計情報を、更新又は生成し、
前記第1のパケットを受信した場合、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信したか否かを、前記第1の統計情報に基づいて判定し、
前記判定の結果、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信した場合、前記第1の更新結果情報に含まれる新規フラグを更新し、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であるか否かを、前記第1の統計情報に基づいて判定し、
前記判定の結果、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信である場合、前記第1の更新結果情報に含まれる返信有フラグを更新し、
前記第2の統計情報に含まれる前記異なり数を、前記第1の更新結果情報に含まれる新規フラグに基づいて算出し、
前記第2の統計情報に含まれる前記返信数を、前記第1の更新結果情報に含まれる返信有フラグに基づいて算出し、
前記算出された異なり数及び返信数によって、前記第2の統計情報を更新又は生成することを特徴とするネットワーク装置。 A network device that transmits and receives the packet based on header information included in the packet,
The header information includes a plurality of items,
The network device is:
A processor and memory;
A first item group including at least two of the plurality of items, and at least one item among items included in the first item group, and an item included in the first item group A second item group including less items in the memory,
Holding first update result information relating to the first item group;
The first update result information includes a new flag and a reply flag,
The network device is:
Updating or generating first statistical information including the number of the packets having the value of the first item group included in the received first packet in the header information;
Based on the updated or generated first statistical information and the second item group, the packet information having the same value as the value of the second item group included in the first packet in the header information. The number of packets, the number of differences in items other than the second item group, and the number of packets returned by the packet having the same value as the value of the second item group included in the first packet in the header information. Update or generate the second statistical information including the number of replies shown ,
When the first packet is received, the first statistical information indicates whether or not the network device has received a packet having the value of the first item group of the first packet in header information for the first time. Judgment based on,
As a result of the determination, when the network device receives for the first time a packet having the value of the first item group of the first packet in the header information, the new flag included in the first update result information is updated. Determining whether the first packet is a reply of a packet already received by the network device based on the first statistical information;
As a result of the determination, when the first packet is a reply of a packet that has already been received by the network device, the reply flag included in the first update result information is updated,
Calculating the different number included in the second statistical information based on a new flag included in the first update result information;
Calculating the number of replies included in the second statistical information based on a reply flag included in the first update result information;
The network apparatus , wherein the second statistical information is updated or generated according to the calculated difference number and reply number .
前記第2の統計情報は、前記第2のパケットの前記第2の項目グループ以外の項目における異なり数を含み、 The second statistical information includes a different number in an item other than the second item group of the second packet,
前記ネットワーク装置は、 The network device is:
前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であるか否かを、前記第1の統計情報に基づいて判定するために、前記第1の統計情報に含まれる前記第2のパケットの数がゼロより多いか否かを判定し、 In order to determine whether the first packet is a reply of a packet that has already been received by the network device based on the first statistical information, the second packet included in the first statistical information Determine if the number of packets is greater than zero,
前記判定の結果、前記第1の統計情報に含まれる第2のパケットの数がゼロより多い場合、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であると判定し、 As a result of the determination, if the number of second packets included in the first statistical information is greater than zero, it is determined that the first packet is a reply of a packet already received by the network device;
前記第2のパケットを受信した場合、前記第2の統計情報に含まれる第2のパケットの第2の項目グループ以外の項目における異なり数を、前記第1の更新結果情報に含まれる新規フラグに基づいて算出することを特徴とする請求項1に記載のネットワーク装置。 When the second packet is received, the number of differences in items other than the second item group of the second packet included in the second statistical information is set as a new flag included in the first update result information. The network device according to claim 1, wherein the network device is calculated based on the network.
前記含まれる項目の数が異なる三つ以上の前記項目グループと、前記各項目グループに関する前記統計情報と、前記各項目グループに関する前記更新結果情報とを保持し、 The three or more item groups having different numbers of items included, the statistical information about the item groups, and the update result information about the item groups,
前記パケットを受信した場合、前記含まれる項目の数が多い順に、前記統計情報、並びに、前記更新結果情報の前記新規フラグ及び前記返信有フラグを更新することを特徴とする請求項1に記載のネットワーク装置。 When the packet is received, the statistical information, and the new flag and the reply flag are updated in the descending order of the number of items included in the packet. Network device.
前記統計情報を収集するコレクタ装置に接続され、 Connected to a collector device for collecting the statistical information,
前記統計情報が所定の条件を満たした場合、前記統計情報を前記コレクタ装置に送信し、かつ、前記統計情報に含まれる値をゼロに更新することを特徴とする請求項1に記載のネットワーク装置。 The network device according to claim 1, wherein when the statistical information satisfies a predetermined condition, the statistical information is transmitted to the collector device, and a value included in the statistical information is updated to zero. .
前記第1の統計情報に関連して前記第2の統計情報の世代を保持する、第1の世代識別子を有し、 A first generation identifier holding a generation of the second statistical information in relation to the first statistical information;
前記第2の統計情報の世代を示す第2の世代識別子を有し、 A second generation identifier indicating a generation of the second statistical information;
前記第2の統計情報に含まれる値がゼロに更新された場合、前記第2の世代識別子を更新し、 If the value included in the second statistical information is updated to zero, update the second generation identifier,
前記第1のパケットを受信した場合、前記第1の世代識別子と前記第2の世代識別子とが異なる値であるか否かを判定し、 If the first packet is received, determine whether the first generation identifier and the second generation identifier are different values;
前記判定の結果、前記第1の世代識別子と前記第2の世代識別子とが異なる値である場合、前記第2の統計情報に含まれる異なり数を加算し、前記第1の世代識別子の値を前記第2の世代識別子の値に更新することを特徴とする請求項1に記載のネットワーク装置。 As a result of the determination, when the first generation identifier and the second generation identifier are different values, the number of differences included in the second statistical information is added, and the value of the first generation identifier is set. The network device according to claim 1, wherein the network device is updated to a value of the second generation identifier.
前記第1の統計情報に関する返信待ちフラグを保持し、 Holding a reply waiting flag for the first statistical information;
前記第1のパケットと逆方向に送信される第2のパケットを受信した場合、前記返信待ちフラグを更新し、 When a second packet transmitted in the opposite direction to the first packet is received, the reply waiting flag is updated,
前記第1のパケットを受信した場合、前記第1のパケットが前記第2のパケットの返信であるか否かを、前記返信待ちフラグに基づいて判定し、 If the first packet is received, determine whether the first packet is a reply of the second packet based on the reply waiting flag;
前記判定の結果、前記第1のパケットが前記第2のパケットの返信である場合、前記第1の世代識別子と前記第2の世代識別子とが同じ値であるか否かを判定し、 As a result of the determination, if the first packet is a reply of the second packet, it is determined whether or not the first generation identifier and the second generation identifier are the same value;
前記第1の世代識別子と前記第2の世代識別子とが同じ値である場合、前記第2の統計情報に含まれる返信数を加算することを特徴とする請求項5に記載のネットワーク装置。 6. The network device according to claim 5, wherein when the first generation identifier and the second generation identifier have the same value, the number of replies included in the second statistical information is added.
前記ヘッダ情報は、複数の項目を含み、 The header information includes a plurality of items,
前記ネットワーク装置は、プロセッサ及びメモリを備え、 The network device includes a processor and a memory,
前記第1の項目グループに関する第1の更新結果情報を保持し、 Holding first update result information relating to the first item group;
前記第1の更新結果情報は、新規フラグ及び返信有フラグを含み、 The first update result information includes a new flag and a reply flag,
前記方法は、 The method
前記ネットワーク装置が、前記複数の項目のうち少なくとも二つを含む第1の項目グループと、前記第1の項目グループに含まれる項目のうち少なくとも一つの項目を含み、かつ、前記第1の項目グループに含まれる項目よりも少ない項目を含む第2の項目グループとを、前記メモリに保持し、 The network device includes a first item group including at least two of the plurality of items, and at least one item among items included in the first item group, and the first item group A second item group that includes fewer items than items included in the memory,
前記ネットワーク装置が、受信した第1のパケットが有する前記第1の項目グループの値を前記ヘッダ情報に有する前記パケットの数を含む第1の統計情報を、更新又は生成し、 The network device updates or generates first statistical information including the number of packets having the value of the first item group included in the received first packet in the header information,
前記ネットワーク装置が、前記更新又は生成された第1の統計情報と前記第2の項目グループとに基づいて、前記第1のパケットが有する前記第2の項目グループの値と同じ値を前記ヘッダ情報に有する前記パケットのパケット数と、前記第2の項目グループ以外の項目における異なり数と、前記第1のパケットが有する第2の項目グループの値と同じ値をヘッダ情報に有する前記パケットによって返信されるパケットの数を示す返信数と、を含む第2の統計情報を、更新又は生成し、 Based on the updated or generated first statistical information and the second item group, the network device sets the header information to the same value as the value of the second item group included in the first packet. Is returned by the packet having the same value as the value of the second item group included in the first packet and the number of differences in the items other than the second item group in the header information. Updating or generating the second statistical information including the number of replies indicating the number of packets to be received,
前記ネットワーク装置が、前記第1のパケットを受信した場合、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信したか否かを、前記第1の統計情報に基づいて判定し、 When the network device receives the first packet, it is determined whether the network device has received for the first time a packet having the value of the first item group of the first packet in header information. Judgment based on 1 statistical information,
前記ネットワーク装置が、前記判定の結果、前記第1のパケットの第1の項目グループの値をヘッダ情報に有するパケットを、前記ネットワーク装置が初めて受信した場合、前記第1の更新結果情報に含まれる新規フラグを更新し、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であるか否かを、前記第1の統計情報に基づいて判定し、 When the network device receives, for the first time, the packet having the value of the first item group of the first packet in the header information as a result of the determination, the network device is included in the first update result information. Updating a new flag, determining whether the first packet is a reply of a packet already received by the network device based on the first statistical information;
前記ネットワーク装置が、前記判定の結果、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信である場合、前記第1の更新結果情報に含まれる返信有フラグを更新し、 When the network device determines that, as a result of the determination, the first packet is a reply of a packet that has already been received by the network device, it updates a reply flag included in the first update result information,
前記ネットワーク装置が、前記第2の統計情報に含まれる前記異なり数を、前記第1の更新結果情報に含まれる新規フラグに基づいて算出し、 The network device calculates the number of differences included in the second statistical information based on a new flag included in the first update result information;
前記ネットワーク装置が、前記第2の統計情報に含まれる前記返信数を、前記第1の更新結果情報に含まれる返信有フラグに基づいて算出し、 The network device calculates the number of replies included in the second statistical information based on a reply flag included in the first update result information;
前記ネットワーク装置が、前記算出された異なり数及び返信数によって、前記第2の統計情報を更新又は生成することを特徴とするパケット処理方法。 The packet processing method, wherein the network device updates or generates the second statistical information according to the calculated difference number and reply number.
前記第2の統計情報は、前記第2のパケットの前記第2の項目グループ以外の項目における異なり数を含み、 The second statistical information includes a different number in an item other than the second item group of the second packet,
前記方法は、 The method
前記ネットワーク装置が、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であるか否かを、前記第1の統計情報に基づいて判定するために、前記第1の統計情報に含まれる前記第2のパケットの数がゼロより多いか否かを判定し、 The network device includes the first statistical information to determine whether the first packet is a reply of a packet that has already been received by the network device based on the first statistical information. Determining whether the number of second packets to be received is greater than zero;
前記ネットワーク装置が、前記判定の結果、前記第1の統計情報に含まれる第2のパケットの数がゼロより多い場合、前記第1のパケットが前記ネットワーク装置が既に受信したパケットの返信であると判定し、 As a result of the determination, if the number of second packets included in the first statistical information is greater than zero, the network device is a reply of a packet that the network device has already received. Judgment,
前記ネットワーク装置が、前記第2のパケットを受信した場合、前記第2の統計情報に含まれる第2のパケットの第2の項目グループ以外の項目における異なり数を、前記第1の更新結果情報に含まれる新規フラグに基づいて算出することを特徴とする請求項7に記載のパケット処理方法。 When the network device receives the second packet, the number of differences in items other than the second item group of the second packet included in the second statistical information is used as the first update result information. The packet processing method according to claim 7, wherein calculation is performed based on a new flag included.
前記方法は、前記ネットワーク装置が、前記パケットを受信した場合、前記含まれる項目の数が多い順に、前記統計情報、並びに、前記更新結果情報の前記新規フラグ及び前記返信有フラグを更新することを特徴とする請求項7に記載のパケット処理方法。 When the network apparatus receives the packet, the method updates the statistical information, and the new flag and the reply flag in the update result information in descending order of the number of items included. The packet processing method according to claim 7, wherein:
前記方法は、前記ネットワーク装置が、前記統計情報が所定の条件を満たした場合、前記統計情報を前記コレクタ装置に送信し、かつ、前記統計情報に含まれる値をゼロに更新することを特徴とする請求項7に記載のパケット処理方法。 The method is characterized in that, when the statistical information satisfies a predetermined condition, the network device transmits the statistical information to the collector device and updates a value included in the statistical information to zero. The packet processing method according to claim 7.
前記第1の統計情報に関連して前記第2の統計情報の世代を保持する、第1の世代識別子を有し、 A first generation identifier holding a generation of the second statistical information in relation to the first statistical information;
前記第2の統計情報の世代を示す第2の世代識別子を有し、 A second generation identifier indicating a generation of the second statistical information;
前記方法は、 The method
前記ネットワーク装置が、前記第2の統計情報に含まれる値がゼロに更新された場合、前記第2の世代識別子を更新し、 When the value included in the second statistical information is updated to zero, the network device updates the second generation identifier,
前記ネットワーク装置が、前記第1のパケットを受信した場合、前記第1の世代識別子と前記第2の世代識別子とが異なる値であるか否かを判定し、 When the network device receives the first packet, it determines whether the first generation identifier and the second generation identifier are different values;
前記ネットワーク装置が、前記判定の結果、前記第1の世代識別子と前記第2の世代識別子とが異なる値である場合、前記第2の統計情報に含まれる異なり数を加算し、前記第1の世代識別子の値を前記第2の世代識別子の値に更新することを特徴とする請求項7に記載のパケット処理方法。 If the first generation identifier and the second generation identifier are different from each other as a result of the determination, the network device adds the number of differences included in the second statistical information, and The packet processing method according to claim 7, wherein a generation identifier value is updated to the second generation identifier value.
前記方法は、 The method
前記ネットワーク装置が、前記第1のパケットと逆方向に送信される第2のパケットを受信した場合、前記返信待ちフラグを更新し、 When the network device receives a second packet transmitted in the opposite direction to the first packet, updates the reply waiting flag,
前記ネットワーク装置が、前記第1のパケットを受信した場合、前記第1のパケットが前記第2のパケットの返信であるか否かを、前記返信待ちフラグに基づいて判定し、 When the network device receives the first packet, the network device determines whether the first packet is a reply of the second packet based on the reply waiting flag,
前記ネットワーク装置が、前記判定の結果、前記第1のパケットが前記第2のパケットの返信である場合、前記第1の世代識別子と前記第2の世代識別子とが同じ値であるか否かを判定し、 As a result of the determination, the network device determines whether the first generation identifier and the second generation identifier have the same value when the first packet is a reply of the second packet. Judgment,
前記ネットワーク装置が、前記第1の世代識別子と前記第2の世代識別子とが同じ値である場合、前記第2の統計情報に含まれる返信数を加算することを特徴とする請求項11に記載のパケット処理方法。 12. The network device according to claim 11, wherein when the first generation identifier and the second generation identifier have the same value, the network device adds the number of replies included in the second statistical information. Packet processing method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011180614A JP5659393B2 (en) | 2011-08-22 | 2011-08-22 | Network device and packet processing method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011180614A JP5659393B2 (en) | 2011-08-22 | 2011-08-22 | Network device and packet processing method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013046100A JP2013046100A (en) | 2013-03-04 |
| JP5659393B2 true JP5659393B2 (en) | 2015-01-28 |
Family
ID=48009700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011180614A Active JP5659393B2 (en) | 2011-08-22 | 2011-08-22 | Network device and packet processing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5659393B2 (en) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10003A (en) * | 1853-09-06 | Improvement in corn-shellers | ||
| JP2007288246A (en) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | Attack detector |
| JP2009290436A (en) * | 2008-05-28 | 2009-12-10 | Alaxala Networks Corp | Communication data statistic device, and communication data statistic method |
| JP5014282B2 (en) * | 2008-08-06 | 2012-08-29 | アラクサラネットワークス株式会社 | Communication data statistics apparatus, communication data statistics method and program |
-
2011
- 2011-08-22 JP JP2011180614A patent/JP5659393B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013046100A (en) | 2013-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
| US10637771B2 (en) | System and method for real-time load balancing of network packets | |
| Xu et al. | Minimizing flow statistics collection cost of SDN using wildcard requests | |
| US8005012B1 (en) | Traffic analysis of data flows | |
| JP5014282B2 (en) | Communication data statistics apparatus, communication data statistics method and program | |
| JP5534481B2 (en) | Communication quality monitoring system, communication quality monitoring method, and storage medium | |
| US9979624B1 (en) | Large flow detection for network visibility monitoring | |
| US10033613B1 (en) | Historically large flows in network visibility monitoring | |
| US9992081B2 (en) | Scalable generation of inter-autonomous system traffic relations | |
| JP4988632B2 (en) | Packet relay device and traffic monitoring system | |
| US10003515B1 (en) | Network visibility monitoring | |
| US20210336960A1 (en) | A System and a Method for Monitoring Traffic Flows in a Communications Network | |
| JPWO2015182629A1 (en) | Monitoring system, monitoring device and monitoring program | |
| EP3846390A1 (en) | Measuring packet residency and travel time | |
| JP4871775B2 (en) | Statistical information collection device | |
| JP5659393B2 (en) | Network device and packet processing method | |
| JP2008135871A (en) | Network monitoring system, network monitoring method, and network monitoring program | |
| US20170012835A1 (en) | Generating Traffic Query Responses Using an Interface Map | |
| JP6652912B2 (en) | Network device and abnormality detection system | |
| JP5155284B2 (en) | P2P traffic amount estimation method, apparatus and program | |
| JP2006246117A (en) | Communication network, network control server, traffic control method, and program | |
| CN117692369A (en) | Fine network flow measuring method for filtering large flow and small flow | |
| CN117579532A (en) | Network service detection method, device and equipment for stateless records | |
| JP2019161509A (en) | Communication control system, communication control method, and computer program | |
| JP2018191210A (en) | Packet relay device and packet relay system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140617 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140711 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140729 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140918 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141104 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5659393 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |