WO2021014552A1

WO2021014552A1 - バーストトラフィック検知装置及び方法

Info

Publication number: WO2021014552A1
Application number: PCT/JP2019/028797
Authority: WO
Inventors: 周平吉田; 祐太右近; 晶子大輝; 奈美子池田; 新田　高庸
Original assignee: 日本電信電話株式会社
Priority date: 2019-07-23
Filing date: 2019-07-23
Publication date: 2021-01-28
Also published as: US20220263733A1; JP7238993B2; JPWO2021014552A1

Abstract

本発明のバーストトラフィック検知装置（１）は、ネットワークからパケットを受信するパケット受信部（１０）と、パケットのヘッダ情報に基づいてフロールールを識別するフロー識別部（１２）と、識別したフロールールのフロー情報を保持するフロー情報保持部（１３）と、フロールール毎の累積パケット数および／または累積バイト数からなる統計情報を保持する統計情報保持部（１４）と、統計情報に基づいて、バーストトラフィックの発生を検知するバースト検知部（１５）と、バーストトラフィックの発生の回数を保持する検知回数保持部（１７）とを備え、バースト検知部（１５）は、累積パケット数および／または累積バイト数が、予め設定された閾値を超えたかどうかを所定の第１の周期で判定し、検知回数保持部（１７）は、閾値を超えた回数を、フロールール毎にバースト検知回数として蓄積し、統計情報保持部（１４）は、フロールール毎のバースト検知回数の蓄積後に、当該フロールールの統計情報を削除するように構成される。　複数フローに対するバーストトラフィックの解析を、より少ないメモリリソースで実現することができる。

Description

バーストトラフィック検知装置及び方法

　本発明は、ＩＰネットワークにおいてパケットロスやネットワーク遅延などの通信障害の要因の一つであるバーストトラフィックを検知する技術に関するものである。

　近年ネットワークの高速大容量化が進んだことで、短時間で急激に増加するトラフィック（バーストトラフィック）に起因する通信障害が問題視されるようになった。バーストトラフィックが発生すると、ネットワーク経路中にあるスイッチ機器のバッファに大量のパケットが到着し、ネットワーク遅延あるいはパケットロスが発生する可能性がある。上記のような通信障害が発生するとサービス品質の低下を招くため、バーストトラフィックトラフィック発生原因を特定し、迅速に障害復旧を行うことが重要である。

　バーストトラフィックを検知することを目的として、種々の検討がなされている。例えば、パケットが入力される度に、パケット数やバイト数といった統計情報をフロー毎に蓄積し、一定の検知間隔で設定した閾値を超えるかを判定することでどの時刻にどのフローでバーストが発生したかという情報を取得できる方法がある。非特許文献１は、市販のネットワーク監視装置に関するものであるが、１ｍｓまでの時間分解能で検知可能となっている。

「Data Quality Analyzer MD1230B」, Anritsu, Product Brochure,［令和1年７月２３日検索］、インターネット〈URL：https://dl.cdn-anritsu.com/ja-jp/test-measurement/files/Brochures-Datasheets-Catalogs/Brochure/md1230b-j11100.pdf

　非特許文献１の製品では、検知間隔毎（例えば、１ｍｓ毎）にバーストトラフィックを画面表示している。検知したバーストトラフィックの情報を全て保持するのは検知情報として詳細ではあるが、データセンタ内の数千～数万フローのトラフィックに対してマイクロバースト検知を行う場合には、保持すべきデータ量が過大になり、多くのメモリリソースが必要になる。

　本発明は、上記課題を解決するためになされたものであり、従来技術と比較して、複数フローに対するバーストトラフィックの解析を、より少ないメモリリソースで実現することが可能なバーストトラフィック検知装置を提供することを目的とする。

　上記課題を解決するために、本発明のバーストトラフィック検知装置は、ネットワークからパケットを受信するパケット受信部と、前記パケットのヘッダ情報に基づいてフロールールを識別するフロー識別部と、識別した前記フロールールのフロー情報を保持するフロー情報保持部と、前記フロールール毎の累積パケット数および／または累積バイト数からなる統計情報を保持する統計情報保持部と、前記統計情報に基づいて、バーストトラフィックの発生を検知するバースト検知部と、前記バーストトラフィックの発生の回数を保持する検知回数保持部とを備え、前記バースト検知部は、前記累積パケット数および／または累積バイト数が、予め設定された閾値を超えたかどうかを所定の第１の周期で判定し、前記検知回数保持部は、前記閾値を超えた回数を、前記フロールール毎にバースト検知回数として蓄積し、前記統計情報保持部は、前記フロールール毎の前記バースト検知回数の蓄積後に、当該フロールールの前記統計情報を削除するように構成される。

　上記課題を解決するために、本発明のトラフィック監視方法は、ネットワークからパケットを受信するパケット受信ステップと、前記パケットのヘッダ情報に基づいてフロールールを識別するフロー識別ステップと、識別した前記フロールールのフロー情報を保持するフロー情報保持部と、前記フロールール毎の累積パケット数および／または累積バイト数からなる統計情報を保持する統計情報保持ステップと、前記フロールール毎の累積パケット数および／または累積バイト数が予め設定された閾値を超えるかどうかを所定の第１の周期で判定することにより、バーストトラフィックの発生を検知するバースト検知ステップと、前記閾値を超えた回数を、前記フロールール毎に前記バースト検知回数として蓄積する検知回数保持ステップと、前記フロールール毎の前記バースト検知回数の蓄積後に、当該フロールールの前記統計情報を削除する統計情報削除ステップとを含む。

　本発明によれば、従来技術と比較して、複数フローに対するバーストトラフィックの解析を、より少ないメモリリソースで実現することができる。

図１は、本発明の第１の実施の形態に係るバーストトラフィック検知装置の構成を示すブロック図である。図２は、本発明の第１の実施の形態に係るバーストトラフィック検知方法の動作手順を示すフローチャートである。図３は、バースト検知部の詳細を示すブロック図である。図４は、フロー情報保持部に保持されるフロー情報テーブルを示す図である。図５は、統計情報保持部に保持される統計情報テーブルを示す図である。図６は、検知情報保持部に保持される検知情報テーブルを示す図である。図７は、本発明の第２の実施の形態に係るバーストトラフィック検知装置の構成を示すブロック図である。図８は、本発明の第２の実施の形態に係るバーストトラフィック検知方法の動作手順を示すフローチャートである。

　以下、本発明の実施の形態を図面に基づいて詳細に説明する。本発明は、以下の実施の形態に限定されるものではない。

＜第１の実施の形態＞
　本発明の第１の実施の形態について説明する。図１は、本発明の第１の実施の形態のバーストトラフィック検知装置の構成を示すブロック図である。

＜バーストトラフィック検知装置の構成＞
　第１の実施の形態のバーストトラフィック検知装置１は、バーストトラフィックの発生を検知し、バーストトラフィックの発生回数を保持する検知部１００から構成され、必要に応じてバーストトラフィックを解析する解析部２００を備えることもできる。

　検知部１００は、接続されたネットワークからパケットを受信するパケット受信部１０と、受信したパケットのヘッダを解析するヘッダ解析部１１と、解析したヘッダ情報に基づいて、そのパケットに係るトラフィックのフロールールを識別するフロー識別部１２と、フロー情報を保持するフロー情報保持部１３と、フロールール毎の累積パケット数および累積バイト数からなる統計情報を保持する統計情報保持部１４と、統計情報保持部１４に保持されたフロールール毎の累積パケット数および累積バイト数が予め設定された閾値を超えるかどうかを所定の周期Ｔ１（第１の周期）で判定するバースト検知部１５と、閾値を超えた回数を、フロールール毎にバースト検知回数として蓄積する検知回数保持部１７とから構成される。

　検知部１００は、更に、検知回数保持部１７に蓄積されたフロールール毎のバースト検知回数を解析部２００に送信する検知回数送信部１９を備えてもよい。例えば、所定の周期Ｔ２（第２の周期）でフロールール毎のバースト検知回数を送信するようにしてもよい。バーストトラフィックを解析する解析部２００は、検知回数送信部１９からバースト検知回数を受信する検知回数受信部２０と、受信した検知回数を保持する検知情報保持部２１から構成される。

　上述した所定の周期Ｔ１、Ｔ２や、バースト検知に用いる閾値の情報は、予めバースト検知部１５と検知回数送信部１９に設定しておいてもよいし、所定の周期Ｔ１、Ｔ２でバースト検知部１５と検知回数送信部１９にトリガを送信するタイマー部１８と、各種パラメータ（周期Ｔ１、Ｔ２、バースト検知に用いる閾値）を設定するパラメータ設定部１６を備えることもできる。

　ここで、検知部１００と解析部２００の機能は、ＣＰＵを用いてソフトウェアとして実装してもよいし、あるいはＦＰＧＡ（Field Programmable Gate Array）やＡＳＩＣ（Application Specific Integrated Circuit）などのハードウェアとして実装してもよい。

＜バーストトラフィック検知方法の動作フロー＞
　第１の実施の形態におけるバーストトラフィック検知方法の動作手順を図２を用いて説明する。図２のフローチャートは、あくまでバーストトラフィック検知方法の動作を分りやすく説明するためのものであり、制御手順や実装方法を限定するものでは無い。

　本実施の形態に係るバーストトラフィック検知方法では、まず、パケット受信部１０においてバーストトラフィック検知装置が接続されたネットワークからパケットを受信する（パケット受信ステップＳ１－１）。

　次に、ヘッダ解析部１１において、受信したパケットの各ヘッダフィールドの値を抽出することによりヘッダを解析する（ヘッダ解析ステップＳ１－２）。そして、フロー識別部１２において、抽出した各ヘッダフィールドの値に基づいて受信したパケットがどのフロールールに属するかを判定する（フロー識別ステップＳ１－３）。具体的には、フロー情報保持部１３に該当フロールールが登録されているか検索し、すでに登録されていれば、該当フロールールのフローＩＤを取得する。登録されていなければ、新規にフロー情報保持部１３にフロールールを登録し、新規のフローＩＤを取得する。

　次に、フロー識別部１２は、統計情報保持部１４に対して、フローＩＤとパケットのバイト数を通知する。統計情報保持部１４は、保持する統計情報に、通知されたフローＩＤがすでに登録されているかを検索し、登録されていれば、該当フローＩＤの累積パケット数を１インクリメントし、累積バイト数を通知されたバイト数分インクリメントすることにより、フロールール毎に累積パケット数および累積バイト数からなる統計情報を保持する（統計情報保持ステップＳ１－４）。統計情報保持部１４では、通知されたフローＩＤが統計情報に登録されていなければ、新規にフローＩＤを登録し、累積パケット数を１とし、累積バイト数を通知されたバイト数とする。

　ここで、統計情報としては、累積パケット数と累積バイト数の両方を保持するようにしてもよいし、累積パケット数と累積バイト数のいずれかを保持するように構成することができる。統計情報は、バーストトラフィックの解析内容に応じて適宜設定すればよい。

　バースト検知部１５は、累積パケット数および累積バイト数に基づいて、バーストトラフィックの発生を検知する。本実施の形態では、所定の周期Ｔ１毎に、いずれかのフロールールの累積パケット数および累積バイト数が予め設定された閾値を超えているかどうかを判定することによりバーストトラフィックの発生を判定する（バースト検知ステップＳ１－９）。もし、閾値を超えている場合は、バーストトラフィックが発生したと判定し、検知回数保持部１７に保持された該当フロールールのバースト検知回数を１インクリメントすることにより、フロールール毎にバースト検知回数を蓄積する（検知回数保持ステップＳ１－１０）。

　統計情報保持部１４では、バースト検知回数の蓄積後において、保持された統計情報の内、バースト検知回数を蓄積した該当フロールールの統計情報を０クリアする（Ｓ１－１１）。ここで、統計情報保持部１４では、累積パケット数および累積バイト数が予め設定された閾値を超えていない場合でも、該当フロールールの統計情報を０クリアする（統計情報削除ステップＳ１－１１）。

　このように、バーストトラフィックの発生の判定後において、統計情報を削除するように構成することで、バーストトラフィックの発生を検知するために用いた統計情報は削除され、フロールール毎のバースト検知回数のみが蓄積されることとなるため、複数フローに対するバーストトラフィックの解析を、より少ないメモリリソースで実現することができるようになる。

　図２のフローチャートでは、検知部１００において蓄積されたフロールール毎のバースト検知回数を、所定の第２の周期で解析部２００に送信する。所定の周期Ｔ２が経過しているかを判定し（Ｓ１－６）、経過している場合には、検知回数送信部１９が検知回数保持部１７に保持されたバースト検知回数を検知回数受信部２０に送信する（検知回数送信ステップＳ１－７）。バースト検知回数の送信後において、検知回数保持部１７に保持されたバースト検知回数は０クリアされる（検知回数削除ステップＳ１－８）。

　所定の周期Ｔ２で蓄積されたバースト検知回数を送信して、バースト検知回数を０クリアするように構成することで、解析部２００の検知情報保持部２１には、所定の周期Ｔ２毎のバースト検知回数のみが保持されることとなる。所定の周期Ｔ２でバースト検知回数のみを保持することで、細かい周期でのバーストトラフィックの解析を、より少ないメモリリソースで実現することができる。

　検知回数送信部１９には、所定の周期Ｔ２を予め登録しておいてもよいし、タイマー部１８から所定の周期Ｔ２で送信されるトリガを契機として、バースト検知回数を送信するように構成してもよい。所定の周期Ｔ２は、周期Ｔ１と等しい時間かあるいはＴ１よりも長い時間に設定すればよい。所定の周期Ｔ１、Ｔ２は、解析対象となるトラフィックの状態やデータ解析の内容に応じて適宜設定することが可能である。

　図３は、バースト検知部の詳細を示すブロック図である。バースト検知部１５は、フロールール毎に、そのフロールールに適合するパケットのバイト数を蓄積するバイト数カウンタおよびパケット数を蓄積するパケット数カウンタ１５１と、所定の周期Ｔ１で蓄積したパケット数およびバイト数が予め設定された閾値を超えているかどうかを判定する比較器１５２と、閾値を超えた回数をカウントする検知回数カウンタ１５３とから構成される。ここで、閾値はフロールール毎に異なる値を設定するようにしても良い。

　図４は、フロー情報保持部に保持されるフロー情報テーブルを示す図である。図４では、一例として送信元／宛先ＭＡＣアドレスと送信元／宛先ＩＰアドレスをフロールールを識別するためのヘッダフィールド情報として採用しているが、フロールールを識別する情報は、それらに限定されるものではない。送信元／宛先ポート番号、プロトコル種別、ＶＬＡＮＩＤ、ＶＸＬＡＮＩＤなどのヘッダフィールド情報を用いてフロールールを識別してもよい。

　図５は、統計情報保持部に保持される統計情報テーブルを示す図である。統計情報保持部１４では、フロールール単位での累積パケット数、累積バイト数と、受信したトラフィック全体の累積パケット数、累積バイト数を併せて保持することができる。統計情報としては、累積パケット数と累積バイト数の両方を保持するようにしてもよいし、累積パケット数と累積バイト数のいずれかを保持するように構成することができる。

　図６は、検知情報保持部に保持される検知情報テーブルを示す図である。検知回数保持部１７では、バースト検知回数を所定の周期Ｔ２の１期間分だけ保持し、周期Ｔ２毎に解析部２００にバースト検知回数を送信し、バースト検知回数を０クリアする。解析部２００の検知情報保持部２１では、送信された周期Ｔ２の複数期間分の検知回数を保持する。

　このように、第１の実施形態によれば、バーストトラフィックの発生の判定後において、バーストトラフィックの発生の判定に用いた統計情報を削除するように構成したので、フロールール毎のバーストトラフィックの発生回数のみが蓄積されることとなり、複数フローに対するバーストトラフィックの解析を、より少ないメモリリソースで実現することができる。また、所定の周期毎に蓄積したバースト検知回数のみを保持するように構成すれば、細かい周期でのバーストトラフィックの解析を、より少ないメモリリソースで実現することが可能となる。本実施の形態によれば、メモリリソースを節約しながら、バーストトラフィックの要因となるフローを特定するための一次切り分けをするのに十分な解析データを取得することができる。

＜第２の実施の形態＞
　本発明の第２の実施の形態について説明する。図７は、本発明の第２の実施の形態に係るバーストトラフィック検知装置の構成を示すブロック図である。

＜バーストトラフィック検知装置の構成＞
　第２の実施の形態に係るバーストトラフィック検知装置１は、第１の実施の形態の検知部１００に加えて、キャプチャ部３００を備える。キャプチャ部３００の機能は、検知部１００、解析部２００と同様に、ＣＰＵを用いてソフトウェアとして実装してもよいし、あるいはＦＰＧＡやＡＳＩＣなどのハードウェアとして実装してもよい。

　キャプチャ部３００は、受信パケットのキャプチャ動作を制御するキャプチャ制御部３０と、受信パケットを必要に応じて格納するパケット保持部３１と、パケット保持部３１に格納されたパケットに基づいてキャプチャデータを生成するキャプチャデータ生成部３２からなる。第２の実施の形態における解析部２００は、キャプチャ部３００のキャプチャデータ生成部３２から送信されたキャプチャデータを受信するキャプチャデータ受信部２２と受信したキャプチャデータを保持するキャプチャデータ保持部２３を備える。

　キャプチャデータは、バーストトラフィック検知装置１が受信したパケットの少なくとも一部をキャプチャしたデータであり、バーストトラフィックを検知した際のトラフィックをより詳細に解析するために用いられる。例えば、受信パケットの中からバーストトラフィックの発生時の所定の期間におけるパケットデータを抽出してキャプチャデータとすることもできる。

　パケット保持部３１には、フロー識別部において識別された受信パケットのデータが必要に応じて保存される。キャプチャデータ生成部３２では、バースト検知部１５におけるバースト検知回数の蓄積を契機として、パケット保持部３１に保存された受信パケットのデータを用いてキャプチャデータを生成する。

　キャプチャデータ生成部３２で生成されたキャプチャデータは、解析部２００に送信され、検知部１００から送信されたバースト検知回数のデータとともに、バーストトラフィックの解析のために用いられる。

＜バーストトラフィック検知方法の動作フロー＞
　第２の実施の形態におけるバーストトラフィック検知方法の動作手順を図８を用いて説明する。ここで、図８のフローチャートは、あくまで制御動作を分りやすく説明するためのものであり、制御手順や実装方法を限定するものでは無い。

　第２の実施の形態に係るバーストトラフィック検知方法におけるパケットを受信してからバーストトラフィックの発生を検知するまでのステップ（Ｓ２－１～Ｓ２－１０）は、第１の実施の形態と同様である。

　ステップＳ２－１０において、累積パケット数および累積バイト数が予め設定された閾値を超えるかどうかを判定した結果、閾値を超えている場合には、バースト検知回数を蓄積する（Ｓ２－１１）。図８の例では、バースト検知回数の蓄積後において、バーストトラフィックの検知から予め設定した所定の時間α秒を経過しているかどうかを判定し（Ｓ２－１２）、所定の時間α秒が経過している場合は、パケット保持部３１に格納されている受信パケットのデータを基にキャプチャデータを生成する（Ｓ２－１３）。

　ここで、上記では、バーストトラフィックの検知から所定の時間経過後のキャプチャデータを生成する例を説明したが、キャプチャデータは、解析対象となるトラフィックの状態やデータ解析の内容に応じて適宜設定することが可能である。また、キャプチャデータの生成に用いられるパケット保持部３１に保存される受信パケットのデータの保存タイミングやデータ量もデータ解析の内容や必要となるメモリリソースに応じて適宜設定すればよい。

　キャプチャデータの生成後においては、第１の実施の形態と同様に、統計情報が０クリアされる（Ｓ２－１４）。第１の実施の形態と同様に、所定の周期Ｔ２毎にバースト検知回数を送信するように構成してもよい（Ｓ２－７～Ｓ２－９）。

　このように、第２の実施形態によれば、バースト検知機能とパケットキャプチャ機能を併用することで、第１の実施の形態による粗い解析とキャプチャデータを用いた詳細解析の２段階の解析が可能となり、全ての受信データを解析する場合と比較して効率的な解析が可能となる。

＜実施の形態の拡張＞
　以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。

　１…バーストトラフィック検知装置、１０…パケット受信部、１１…ヘッダ解析部、１２…フロー識別部、１３…フロー情報保持部、１４…統計情報保持部、１５…バースト検知部、１６…パラメータ設定部、１７…検知回数保持部、１８…タイマー部、１９…検知回数送信部、１００…検知部、２００…解析部。

Claims

　ネットワークからパケットを受信するパケット受信部と、
　前記パケットのヘッダ情報に基づいてフロールールを識別するフロー識別部と、
　識別した前記フロールールのフロー情報を保持するフロー情報保持部と、
　前記フロールール毎の累積パケット数および／または累積バイト数からなる統計情報を保持する統計情報保持部と、
　前記統計情報に基づいて、バーストトラフィックの発生を検知するバースト検知部と、
　前記バーストトラフィックの発生の回数を保持する検知回数保持部と
　を備え、
　前記バースト検知部は、
　前記累積パケット数および／または累積バイト数が、予め設定された閾値を超えたかどうかを所定の第１の周期で判定し、
　前記検知回数保持部は、
　前記閾値を超えた回数を、前記フロールール毎にバースト検知回数として蓄積し、
　前記統計情報保持部は、
　前記フロールール毎の前記バースト検知回数の蓄積後に、当該フロールールの前記統計情報を削除する
　ように構成されるバーストトラフィック検知装置。
　前記バースト検知部は、
　前記フロールール毎の累積パケット数および／または累積バイト数を蓄積するカウンタと、
　前記累積パケット数および／または累積バイト数が、予め設定された閾値を超えたかどうかを所定の第１の周期で判定する比較器と、
　前記閾値を超えた回数を、前記フロールール毎に前記バースト検知回数として蓄積するカウンタと
　を備える請求項１記載のバーストトラフィック検知装置。
　バーストトラフィックの解析を行う解析部と、
　前記検知回数保持部に蓄積された前記フロールール毎のバースト検知回数を、所定の第２の周期で、前記解析部に送信する検知回数送信部を備え、
　前記検知回数保持部は、
　前記フロールール毎の前記バースト検知回数の送信後に、当該フロールールの前記バースト検知回数を削除する
　請求項１又は２に記載のバーストトラフィック検知装置。
　前記フロールール毎の前記バースト検知回数の蓄積後において、所定の期間に受信されたパケットの情報を保持するキャプチャ部をさらに備え、
　前記キャプチャ部は、保持したパケットの情報を前記解析部に送信する
　請求項３記載のバーストトラフィック検知装置。
　ネットワークからパケットを受信するパケット受信ステップと、
　前記パケットのヘッダ情報に基づいてフロールールを識別するフロー識別ステップと、
　前記フロールール毎の累積パケット数および／または累積バイト数からなる統計情報を保持する統計情報保持ステップと、
　前記フロールール毎の累積パケット数および／または累積バイト数が予め設定された閾値を超えるかどうかを所定の第１の周期で判定することにより、バーストトラフィックの発生を検知するバースト検知ステップと、
　前記閾値を超えた回数を、前記フロールール毎にバースト検知回数として蓄積する検知回数保持ステップと、
　前記フロールール毎の前記バースト検知回数の蓄積後に、当該フロールールの前記統計情報を削除する統計情報削除ステップと
　を含むバーストトラフィック検知方法。
　前記バースト検知ステップは、
　前記フロールール毎の累積パケット数および／または累積バイト数を蓄積するステップと、
　前記累積パケット数および／または累積バイト数が予め設定された閾値を超えるかどうかを所定の第１の周期で判定するステップと、
　前記閾値を超えた回数を、前記フロールール毎に前記バースト検知回数として蓄積するステップと
　を含む請求項５記載のバーストトラフィック検知方法。
　前記検知回数保持ステップで蓄積された前記フロールール毎のバースト検知回数を、所定の第２の周期で送信する検知回数送信ステップと
　前記フロールール毎の前記バースト検知回数の送信後に、当該フロールールの前記バースト検知回数を削除する検知回数削除ステップを含む
　請求項５又は６に記載のバーストトラフィック検知方法。
前記フロールール毎の前記バースト検知回数の蓄積後において、所定の期間に受信されたパケットの情報を保持するステップを更に含む
　請求項５～７の何れか１項に記載のバーストトラフィック検知方法。