CN101536437B - 流信息限制装置以及方法 - Google Patents
流信息限制装置以及方法 Download PDFInfo
- Publication number
- CN101536437B CN101536437B CN2007800423057A CN200780042305A CN101536437B CN 101536437 B CN101536437 B CN 101536437B CN 2007800423057 A CN2007800423057 A CN 2007800423057A CN 200780042305 A CN200780042305 A CN 200780042305A CN 101536437 B CN101536437 B CN 101536437B
- Authority
- CN
- China
- Prior art keywords
- stream information
- information
- stream
- mentioned
- compiling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 26
- 239000000872 buffer Substances 0.000 claims abstract description 118
- 238000004891 communication Methods 0.000 claims abstract description 36
- 238000012545 processing Methods 0.000 claims description 19
- 230000008859 change Effects 0.000 claims description 8
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 238000004321 preservation Methods 0.000 claims description 5
- 230000001052 transient effect Effects 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 abstract description 7
- 238000005259 measurement Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 90
- 230000015572 biosynthetic process Effects 0.000 description 46
- 230000009897 systematic effect Effects 0.000 description 23
- 238000007726 management method Methods 0.000 description 18
- 238000010276 construction Methods 0.000 description 13
- 230000009467 reduction Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 230000004087 circulation Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000012467 final product Substances 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000033228 biological regulation Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 235000015847 Hesperis matronalis Nutrition 0.000 description 1
- 240000004533 Hesperis matronalis Species 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005243 fluidization Methods 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000001524 infective effect Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- KJONHKAYOJNZEC-UHFFFAOYSA-N nitrazepam Chemical compound C12=CC([N+](=O)[O-])=CC=C2NC(=O)CN=C1C1=CC=CC=C1 KJONHKAYOJNZEC-UHFFFAOYSA-N 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/30—Flow control; Congestion control in combination with information about buffer occupancy at either end or at transit nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/34—Signalling channels for network management communication
- H04L41/344—Out-of-band transfers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/19—Flow control; Congestion control at layers above the network layer
- H04L47/193—Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/41—Flow control; Congestion control by acting on aggregated flows or links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/129—Avoiding congestion; Recovering from congestion at the destination endpoint, e.g. reservation of terminal resources or buffer space
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种依旧保持通信量全体的计测信息,对流信息的发送数进行限制用的流信息限制装置。该流信息限制装置具有:将同一属性的分组的集合作为同一通信的流,并对该每个流基于上述分组的首标信息而生成流信息的流生成功能部(202);具备暂时保存该已生成的流信息的管理用缓冲器,从该管理用缓冲器读出流信息并将其输出的流信息数限制功能部(203);使该已被输出的流信息分组化并发送到测定用网络上的流信息发送部(204),流信息数限制功能部(203)在管理用缓冲器中所保存的流信息数量超过预先所设定的上限值时,将该所保存着的一部分流信息汇集起来。
Description
技术领域
本发明涉及在以互联网等为代表的开放网络环境上所使用的网络装置,尤其是涉及可收集用于计测网络上的通信量的信息(流信息)的、以节点等为代表的信息通信设备。
背景技术
利用互联网上所使用的IP(Internet Protocol)来管理协议、源IP地址、目标IP地址的信息,另外还利用一部分传输协议来管理源端口及目标端口的信息。使用这些协议所传输的分组包含用各个协议所管理的信息。基于这种分组所持有的信息来分类通信类别的方法就是流计测。
在流计测中将同一属性的分组,例如关于协议、源IP地址、目标IP地址、源端口以及目标端口的各信息项目持有相同信息的分组被视为属于同一通信的分组。将属于同一通信的分组的集合称为流。通过计测流的数据量及分组量,就能够在多个地点间监测多个通信服务,能够确定通信量异常地多的地点间、通信服务或者把握通信趋势。
互联网通过将包含进行路径控制的多个路由器的多个网络相互进行连接而构筑,从发送源发送出的分组经由若干路由器而到达发送目的地。路由器参照分组的IP首标或根据不同情况参照传输层的首标来进行分组传输,所以适于作为进行流分类的设备。作为将通过了路由器的分组的流信息通知给其他设备的技术,有NetFlow(参照非专利文献1)、IPFIX(IP Flow Information eXport)。
通过将按照特定的格式使流信息分组化的计测用分组从路由器发送到网络上的计测用终端,就能够把握该节点的通信内容。但是,非专利文献2认为,在被称之为DDoS的使源地址分散而持续发送大量数据的攻击通信量、被称之为端口扫描的尝试向对象主机的全部端口进行连接以检测服务状态以及脆弱性的攻击通信量等发生时,流数会急剧地增大。
还有,非专利文献3认为,在进行流信息通知的IPFIX中,作为传输协议能够使用无拥挤控制的UDP(User Datagram Protocol)、有拥挤控制的TCP(Transmission Control Protocol)、SCTP(StreamControl Transmission Protocol)。在流的收发装置利用无拥挤控制功能的UDP进行发送的情况下,倘若流数急剧地增大,则伴随于其从路由器等流发送装置发送到计测用终端的分组亦增大,其结果就有可能在流发送装置和计测用终端之间的计测用网络上发生拥挤。
另一方面,在流的收发装置利用持有拥挤控制功能的TCP、SCTP进行发送的情况下,即便流数急剧地增大也不会发生拥挤。但是,在流发送装置中,通过拥挤控制功能来限定能够发送的流信息数,所以就有相对于被生成的流信息数而言被发送的流信息数减少,内部的发送缓冲器会溢出的情况。其结果,被发送的信息就限于先前已生成的流信息,无法发送已观测到的通信量全体的信息。非专利文献1:[平成18年9月8目浏览互联网]B.Claise.CiscoSystems Net Flow Services Export Version 9.RFC3954(Informational),October 2004.http://www.ietf.org/rfc/rfc3954.txt非专利文献2:Cristian Eatan,Ken Keys,David Moore,GeorgeVarghese:″Building a better netflow″,ACM SIGCOMM ComputerCommunication Review,34,Issue 4,pp.245-256(2004)非专利文献3:B.Claise.IPFIX Protocol Specifcation,InternetDraft,June 2006.HYPERLINK″http=//tools.ietf.org/id/draft-ietf-ipfix-protocol-22.txt″http://tools.ietf.org/id/draft-ietf-ipfix-protocol-22.txt(22版)
如上述那样,在采用NetFlow(参照非专利文献1)、IPFIX的流技术的通信系统中,在流因攻击通信量而增大了的情况下,将会产生在计测用网络中的通信上发生拥挤之类的问题。或者将会产生虽然没有发生拥挤但因无法发送已观测到的通信量全体信息而发生不正确的信息发送之类的问题。以下具体的说明这一问题。
图20中表示通过包含计测用网络的互联网进行利用分组的通信的信息通信系统。在图20中,互联网10将包含进行分组传输的多个节点12~14、111的多个网络彼此之间相互地连接起来。节点12~14、111以相互可以通信的方式进行连接。在节点111上连接着计测用终端20以及终端30连接的。在节点12上连接着终端14,在节点13上连接着终端42,在节点14上连接着终端43。
计测用终端20以及终端30、41~43分别是具备通信功能的计算机系统。计算机系统的主要部件具有:储存程序等的存储装置,键盘或鼠标等输入装置,CRT、LCD等显示装置,与外部进行通信的调制解调器等通信装置,打印机等输出装置以及接受来自输入装置的输入并控制通信装置、输出装置、显示装置的动作的控制装置。终端41~43为客户端终端,终端30是对客户端提供通信服务的服务器,在服务器-客户端之间进行通信。
终端41~43有时候会感染病毒或蠕虫(worm),或由第三者进行非法控制等。在这种情况下,终端41~43进行针对终端30的网络攻击。在多个终端同时开始了网络攻击的情况下源地址分散。另外,即便在单一终端进行了网络攻击的情况下,有时候也通过源地址的冒充而使源地址分散。在节点上到达像这样源地址分散后的大量数据而发生异常通信量。
而且,在按照IP扫描或端口扫描等的攻击的行动、病毒或蠕虫等感染活动等中,有时候与节点存在无关地使目标地址分散进行通信而发生异常通信量的情况。即便在此情况下,有时候源地址也通过冒充等而分散。
互联网10整体上的通信量因如上述那样的攻击等而增大,发给终端30的通信量等、节点111在作为网关的网络上流过的通信量增大。这一通信量的增大会引起节点111处、在计测用网络中的通信上发生拥挤、或者无法发送已观测到的通信量全体信息之类的诸如下面那样的问题。
节点111将使流信息分组化的计测用分组发送给计测用终端20。在将不进行拥挤控制的UDP用作传输协议的情况下,若节点111上所观测的流数增加,则伴随于其计测用分组的发送量亦增大。因此,在节点111与计测用终端20之间的计测用网络中发生拥挤,发生攻击的二次损害。
在节点111与终端30之间或节点111与互联网10之间的通常通信上利用的回路成为异常状态的情况下,为了发现有异常性的通信量而配置有计测用终端20。但是,若因流的急剧增大而在节点111与计测用终端20之间的通信中发生拥挤,则计测用分组的损失增高,难以用计测用终端20进行充分的计测。而且,在正进行其他通信的情况下,有时候会对该通信带来不良影响。根据不同情况有时候计测用终端20会陷入资源不足状态。
还有,在构筑了计测用终端20从多台节点接收流信息这样的系统的情况下,拥挤的损害将进一步变大。
另一方面,在利用了持有拥挤控制功能的TCP或SCTP作为传输协议的情况下,在节点111与计测用终端20之间的通信中不会发生拥挤。但是,节点111的输出流数因拥挤控制功能而受到限制,所以就有在上述异常时相对于已观测到的流数而言节点111能够输出的流数要少的情况。倘若这样输入流数比输出流数还多,则节点111的内部缓冲器就会发生破绽而使计测信息的一部分欠缺,节点111无法将已计测的通信量全体信息正确地发送至计测用终端20。
发明内容
本发明的目的在于解决上述问题,提供一种能够依旧保持通信量全体的计测信息、限制进行发送的流信息数量的流信息限制装置。
为了达到上述目的,本发明提供一种流信息限制装置,被配置于将多个终端相互进行连接的网络上、并经由测定用网络被连接到对该网络中的通信量进行计测的测定用终端,所述流信息限制装置的特征在于具有:流信息生成部,将持有同一属性的分组的集合作为同一通信的流,并对该每个流基于上述分组的首标信息而生成流信息;流信息数限制部,具备暂时保存上述流信息生成部所生成的流信息的管理用缓冲器,从该管理用缓冲器读出流信息并将其输出;以及流信息发送部,使从上述流信息数限制部所输出的流信息分组化并发送到上述测定用网络上,上述流信息数限制部在上述管理用缓冲器中所保存着的流信息数量超过预先所设定的上限值时,将该所保存着的流信息分成非汇集流信息和在上述通信量的计测中的重要性低于该非汇集流信息的汇集候补,将被设为该汇集候补的流信息汇集起来并进行控制以使得上述管理用缓冲器中所保持着的流信息数量在一定数量以下。
在上述构成中,虽然流因攻击通信量而增大,由流信息生成部所生成的流信息数量伴随于其而增大,但倘若从流信息生成部所输入的流信息数量增大,流信息数限制部就对当前所保存着的流信息进行汇集。通过此流信息的汇集,仅对流信息发送部供给一定数量以下的流信息。从而,流信息发送部发送到计测用网络上的流信息数量也被限制于一定数量以下。
还有,由于流信息发送部仅被供给一定数量以下的流信息,所以也不会出现流信息发送部内的缓冲器溢出而使流信息欠缺。从而,也不会发生在传输协议上使用了具有拥挤控制功能的TCP或SCTP时会发生的、因为流信息发送部内的缓冲器的破绽所造成的流信息欠缺而无法正确地发送已观测到通信量全体的信息之类的问题。
根据本发明,与流增大无关地在计测用网络上仅发送一定数量以下的流信息,所以就能够抑制在传输协议上采用了没有拥挤控制功能的UDP时会发生的计测用网络上的通信拥挤。
另外,还能够抑制在传输协议上使用了具有拥挤控制功能的TCP或SCTP时会发生的、流信息发送部内的缓冲器的破绽所造成的流信息的欠缺,所以能够将已观测到的通信量全体的信息正确地发送给测定用终端。
附图说明
图1是表示应用本发明的信息通信系统之一例的框图。图2是表示作为本发明的流信息限制装置的一个实施方式的节点之构成的框图。图3是表示用图2所示的流信息数限制功能部来管理的管理用缓冲器结构之一例的示意图。图4是用于说明流信息以及数据结构定义信息的图。图5是用于说明利用选项信息的通知方法的图。图6是表示赋予了条件优先度的定义信息以及由其展开并使用的条件之一例的示意图。图7是表示赋予了条件优先度的定义信息以及由其展开并使用的条件之另一例的示意图。图8是表示能够接受与优先位次有关的外部输入的流信息处理部之构成的框图。图9是用于说明定义信息的输入格式的图。图10是用于说明定义信息的另一输入格式的图。图11是表示用图2所示的流信息数限制功能部进行的流信息汇集处理的一个过程的流程图。图12是表示利用图2所示的流信息数限制功能部的流信息汇集之一例的示意图。图13是表示利用图2所示的流信息数限制功能部的流信息汇集之另一例的示意图。图14是表示利用图2所示的流信息数限制功能部的流信息汇集之又一例的示意图。图15是用于说明检索用索引的创建过程的图。图16是用于说明检索用索引的另一创建过程的图。图17是用于说明抑制针对每个条件重新创建树结构时的效率下降的方法的图。图18是表示对端口进行汇集的例子的示意图。图19是表示对地址进行汇集的例子的示意图。图20是表示包含计测用网络的信息通信系统之一般构成的框图。附图标记说明
10互联网;11~14节点;20计测用终端;30、41~43终端;200流信息处理部;201计测用网络接口;202流生成功能部;203流信息数限制功能部;204流发送功能部;205输出用网络接口
具体实施方式
接着,参照附图对本发明的实施方式进行说明。
图1是表示应用本发明的信息通信系统之一例的图。这一信息通信系统除取代节点111而设置了节点11以外与图20所示的系统相同。互联网10将包含进行分组传输的多个节点11~14的多个网络彼此之间相互连接起来。节点11~14以相互可通信的方式而连接起来。在节点11上连接有计测用终端20以及终端30。
在这一信息通信系统中,节点11具有具备流信息汇集功能的流信息处理部200,这一点不同于图20所示的信息通信系统。
在图2中表示作为本发明的流信息限制装置的一个实施方式的节点11的流信息处理部200之构成的图。参照图2,流信息处理部200具有:计测用网络接口201、流生成功能部202、流信息数限制功能部203、流发送功能部204以及输出用网络接口205。
计测用网络接口201由分别收集从各终端通过互联网100到达的分组的多个网络接口分组成。计测用网络接口201所收集到的分组被供给流生成功能部202。
流生成功能部202是具备利用NetFlow、IPFIX等流通知协议的现有发送设备的流生成功能部,基于通过计测用网络接口201所收集到的分组的首标信息而生成流信息。具体而言,流生成功能部202将协议、源IP地址、目标IP地址、源端口以及目标端口等分组首标中所含的信息或者路径信息等从分组首标所判断的信息相同的分组看作属于同一通信的分组,并生成该的分组的集合即流的信息(流信息)。在这一流信息的生成还进行基于流化用的条件的时间信息的更新等处理。一般而言,大多情况下流信息包含协议、源IP地址、目标IP地址、源端口以及目标端口的各信息。流生成功能部202所生成的流信息被供给流信息数限制功能部203。
流信息数限制功能部203具备用于暂时保存并管理从流生成功能部202所输入的流信息的管理用缓冲器部,从该管理用缓冲器部读取流信息并供给至流发送功能部204。用管理用缓冲器部进行管理的流信息数量的上限值被预先设定好,倘若从流生成功能部202每一定时间所供给的流信息数量增大,在管理用缓冲器部中保存并管理着的流信息数量超过上限值,则流信息数限制功能部203将管理用缓冲器部中所保存的流信息群分成汇集候补和非汇集流信息,并对汇集候补进行汇集处理。上限值是考虑计测用网络的通信能力(节点11与计测用终端20之间网络的通信能力)、流发送功能部204的处理能力以及从管理用缓冲器部的读取速度等,而采取不使管理用缓冲器部及流发送功能部204的内部缓冲器发生失败、在计测用网络的通信上不产生拥挤这样的值。汇集候补在通信量计测中的重要性低于非汇集流信息。
流发送功能部204是具备利用NetFlow、IPFIX等流通知协议的现有发送设备的流发送功能部,具备用于暂时保存从流信息数限制功能部203所供给的流信息的内部缓冲器,将从内部缓冲器所读出的流信息以适当的大小分组化而生成计测用分组,并在该计测用分组上赋予专用的首标后从输出用网络接口205发送到网络上。从输出用网络接口205所发送出的计测用分组被供给计测用终端20。计测用网络接口201和输出用网络接口205也可以在物理上是相同的。
保存流生成功能部202所生成的流信息的缓冲器、流信息限制功能部203管理用的管理用缓冲器部、流发送功能部204暂时保存流信息用的缓冲器,其存储区域的一部分或者全体既可以各自独立也可以共享。
接着,具体地说明节点11的动作。
在节点11由于流信息数限制功能部203与从流生成功能部202所输入的流信息数量无关地、仅对流发送功能部204发送一定数量以下的流信息,所以从节点11向计测用终端20发送的计测用分组的数量也被限制在一定数量以下。
图3中表示用流信息数限制功能部203进行管理的管理用缓冲器结构之一例。管理用缓冲器具有:从流生成功能部202所输入的流信息基于与计测目的相应的排序被重新排列并保存的缓冲器B1、和分别依照流生成条件的各项目组合而成的、进行汇集的条件中所含的比较项目不同的多个汇集条件而设置的缓冲器B2~B7。
缓冲器B1由非汇集B1-1和汇集候补B1-2组成。缓冲器B1中所保存的各流信息是流生成功能部202在流信息生成中所用的、满足对属于同一通信的分组进行识别用的条件(流生成条件)的流信息。在这里,流生成条件采用涉及协议、源IP地址、目标IP地址、源端口以及目标端口这五个项目的条件。
另外,流生成条件并不限定于上述的五个项目。还能够将以标记地址、IP地址、端口号等为首的基于分组首标的信息、或者从这些信息所判断的下一跳(Next hop)及AS编号等有关路径控制的信息等作为流生成条件进行利用。同样,管理已汇集信息的缓冲器也可以删除原条件的一部分项目而创建,所以并不限定于图3中的缓冲器B2~B7所示例的条件。
在使用了用于将NetFlow、IPFIX之类的流信息通知给其他设备的协议的情况下,对于计测用终端20发送经过观测的通信量的流信息、和用于定义该流信息格式的数据结构定义信息(称之为模板)。
图4中表示流信息以及数据结构定义信息之一例。根据这一定义信息,在定义信息/流信息公用的4字节首标之后、紧跟着定义信息用的4字节首标、其后列举出构成流信息的项目。
在定义信息/流信息公用的4字节首标上用2字节来表示被称之为SetID的ID,用下一2字节来表示信息的长度。SetID被用于区别是通常的定义信息还是后述的选项用定义信息、还是与这些定义信息相对应的流信息/选项信息。在NetFlow的情况下,0对应于通常的定义信息,1对应于选项信息,256以上的值对应于流信息/选项信息。在IPFIX的情况下2对应于通常的定义信息,3对应于选项信息,256以上的值对应于流信息/选项信息。
继定义信息/流信息公用的4字节首标之后的通常的定义信息用首标用2字节的模板ID和2字节的字段计数而构成。2字节的模板ID用于表示对哪个流信息的数据结构进行定义,与对应的流信息的SetID相同。字段计数表示继其之后的项目数。
构成字段信息的各项目每4字节表示1个信息。4字节之中的前半2字节表示项目的ID,后半2字节表示项目的大小(字节数)。在图4所示的例子中表示出构成字段信息的项目为12个,各自项目的ID以及字节数。例如,在最初项目中示出表示IPv4的源地址的sourceIPv4Address(ID:第8)为4字节,在下一项目中示出表示IPv4的目标地址的destinationIPv4Address(ID:第12)为4字节。这样根据各项目来定义流信息的数据结构。
并非是图4所示的构成字段信息的各项目全部作为流生成条件而被利用。例如,表示分组量及字节量的计数器(图4中的packetDeltaCount(ID:第2)、octetDeltaCount(ID:第1))及时间信息(图4中的flowStartSysUpTime(ID:第22、flowEndSysUpTime(ID:第21))就无法作为流生成条件进行利用。关于除此以外的项目也并非全部作为流生成条件进行利用,在IPFIX的情况下,通过别的选项信息显式地通知作为流生成条件的项目。另外,在NetFlow中由于没有这样的通知功能,所以依赖于设备实装。在IPFIX的情况下作为流生成条件的项目被称之为流键。
在图5中示意性地示出利用选项信息的通知方法。在表示选项信息的情况下选项数据结构定义信息与选项信息之关系和通常的流数据结构定义信息与流信息之关系相同。但是,在选项信息上赋予被称之为指示器的表示信息范围的信息。
选项数据结构定义信息是继字段计数之后赋予2字节的指示器字段计数,其后列举出项目。项目之中最初赋予了指示器字段计数的数成为指示器。在图5所示的例子中,TemplateID(用途与上述的模板ID相同)成为指示器。另外,还定义表示流生成条件的flowKeyIndicator。
按照选项数据结构定义信息来创建选项信息的格式,并设定具体的值作为选项信息。例如,为了表示与图4所示的流信息相对的选项信息,对应于TemplateID的值为256。flowKeyIndicator为64bit的位图,每1bit表示1个项目能否作为流生成条件进行利用。也就是说,flowKeyIndicator对于从开头起的最大64个项目,能够设定表示是否作为流生成条件进行利用的信息。
在图4所示的定义信息之中、sourceIPv4Address、destinationIPv4Address、protocolIdentifier、sourceTransportPort、destinationTransportPort为流生成条件的情况下,分别位于从开头起第1、第2、第6、第7、第8,flowKeyIndicator的数据第1bit、第2bit、第6bit、第7bit、第8bit分别为1。
在采用这些流信息通知用协议的情况下,用户对欲发送的流信息中所含项目的ID和大小进行指定。在本实施方式中,进一步对流生成条件上所用的条件赋予由用户所设定的优先位次。通过从这一优先位次较低的开始删除条件而创建新的条件。
在图6以及图7中示出赋予了条件优先度的定义信息以及由其展开并使用的条件之一例。
在图6所示的例子中,对sourceIPv4Address、destinationIPv4Address、protocolIdentifier、sourceTransportPort、destinationTransportPort这5个项目赋予不同的值作为条件的优先位次。根据这一优先位次,在削减数为0的情况、削减数为1的情况、削减数为2的情况、削减数为3的情况、削减数为4的情况下分别生成1个条件的组,所以就成为最大生成5个条件的组。
在对多个项目赋予同一优先位次的情况下,同一优先位次的项目以排他方式而利用。在图7所示的例子中,sourceIPv4Address以及destinationIPv4Address 项目的优先位次设为2,protocolIdentifier项目的优先位次设为1,sourceTransportPort以及destinationTransportPort项目的优先位次设为4。根据这一优先位次,在削减数为0的情况下生成1个条件的组,在削减数为1的情况下生成2个条件的组,在削减数为2的情况下生成1个条件的组,在削减数为3的情况下生成2个条件的组,在削减数为4的情况下生成1个条件的组,所以就成为最大生成7个条件的组。
为了接受与这些优先位次有关的外部输入,还可以使流信息处理部200采用图8所示的构成。图8所示的流信息处理部200在图2所示构成的基础上具备控制部206。流生成功能部202、流信息数限制功能部203以及流发送功能部204分别与控制部206之间收发信息。定义信息的输入格式既可以是图9所示那样的CVS(逗号区分的文本)、空格/标签区分文本,又可以是图10所示那样的采用了XML等描述语言的格式。图10所示的例子是在IETF所提出的“Configuration Data Model for IPFIX and PSAMP”(http://tools.ietf.org/wg/ipfix/draft-muenz-ipfix-configuration-01.txt(2006年5月15日获得))的描述方式上独自追加了flowKeyPrecedence之类的表示条件优先位次的要素的结果。
在流生成功能部202所生成的信息被供给流信息数限制功能部203,因此在发送给流发送功能部204以前,流汇集条件中已被删除的项目就从模板删除、或者从flowKeyIndicator的位图中排除。它们全部需要作为不同的模板进行处理,所以在流发送功能部204赋予不同的模板ID并经由输出用网络接口205进行发送。这样,流信息数限制功能部203保持与流生成功能部202进行流信息生成所用的分组属性相对应的项目和被外部输入的该项目的优先位次,并通过反复进行从流信息生成项目中删除该优先位次最低位的项目的处理,分阶段地变更比较项目。
在与计测目的相应的重新排列中,例如在计测目的是检测因DoS等攻击而通信的数据量增大了的通信量的情况下,就基于流信息中所含的数据量的大小关系对流信息进行重新排列。在计测目的是检测有关TCP SYN DoS等攻击的通信量的情况下,就基于流信息中所含的SYN等的消息数量的大小关系对流信息进行重新排列。在计测目的由多个项目组成的情况下,就在对流信息中所含的、各个项目的数据数量进行了优先排列及加权的基础上对流信息进行重新排列。进而这些值的标准偏差/分散值等的统计值也能够作为重新排列的指标进行利用。重新排列的方法还可以依照目的来切换降序、升序。
在非汇集B1-1中基于从外部所提供的非汇集数量,进行了重新排列的流信息群的高位非汇集个数的流信息作为非汇集流信息而保存,在汇集候补B1-2中进行了重新排列的流信息群的非汇集流信息以外的流信息作为汇集候补而保存。图3中非汇集B1-1以及汇集候补B1-2中所保存的信息流,朝向附图越靠左侧则位次越低、越靠右侧则位次越高。
在缓冲器B2中保存着对流生成条件之中的协议、源地址、目标地址以及目标端口这4个项目(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。在缓冲器B3中保存着对流生成条件之中的协议、源地址、目标地址以及源端口这4个项目(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。
在缓冲器B4中保存着对流生成条件之中的协议、源地址以及目标地址这3个项目(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。在缓冲器B5中保存着对流生成条件之中的协议以及目标地址这2个项目(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。在缓冲器B6中保存着对流生成条件之中的协议以及源地址这2个项目(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。在缓冲器B7中保存着对流生成条件之中的协议(汇集条件)吻合的流信息进行了汇集的已汇集流信息群。
汇集条件为从构成条件的项目较多的一方起缓冲器B2、B3、B4、B5、B6、B7的顺序。在图3中,朝向附图越靠上侧则构成条件的项目越多,越靠下侧则构成条件的项目越少。
在管理用缓冲器部所保存并管理着的流信息数量小于等于上限值的情况下,流信息数限制功能部203从缓冲器B1依次读取流信息并供给流发送功能部204。在管理用缓冲器部所保存并管理着的流信息数量超过上限值的情况下,流信息数限制功能部203对缓冲器B1中所保存的流信息进行与计测目的相应的重新排列,将高位的流信息保存在非汇集B1-1中,将低位的流信息保存在汇集候补B1-2中。然后,对汇集候补B1-2中所保存的流信息(汇集候补)实行流信息汇集处理。非汇集B1-1中所保存的流信息不进行汇集而被依次读出并供给流发送功能部204。
另外,虽然在这里当所管理的流信息数量超过上限值的情况下进行缓冲器B1中所保存的流信息的重新排列,但还可以利用插入排序等运算法则以从流生成功能部202所供给的流信息经过重新排列的状态而保存在缓冲器B1中。
其次,具体地说明流信息数限制功能部203所进行的流信息汇集处理。在图11中表示该流信息汇集处理这一过程。
首先,判断管理用缓冲器部中所保存并管理着的流信息数量是否已超过上限值(步骤S1)。每隔一定时间、或者每当从流生成功能部202输入流信息就进行这一判断。
在所管理的流信息数量已超过上限值的情况下,进行缓冲器B1中所保存的流信息的重新排列并分成汇集候补和非汇集流信息(步骤S2)。其次,将汇集候补之中位次最低的流信息作为汇集对象抽取出来(步骤S3)。其次,设定初始汇集条件(步骤S4)。初始汇集条件是较之于流生成条件少1个项目的条件,具体而言就是与图3所示的缓冲器B2有关的汇集条件。其次,设定与汇集条件相对应的缓冲器作为检索对象缓冲器(步骤S5)。在设定了与图3所示的缓冲器B2有关的汇集条件的情况下,缓冲器B2就成为检索对象缓冲器。
其次,判定在检索对象缓冲器内是否有被设定为汇集对象的汇集条件的全部项目一致的已汇集流信息(步骤S6)。在有汇集条件的全项目一致的已汇集流信息的情况下,将汇集对象与该已汇集流信息汇集起来保存在与当前所设定的汇集条件相对应的缓冲器(步骤S7)。在检索时检索到多个汇集条件的全项目一致的已汇集流信息的情况下,将这些所有已汇集流信息与汇集对象汇集起来。
当在步骤S6中判断为没有汇集条件的全部项目一致的已汇集流信息的情况下,判断在步骤S5中所设定的对象缓冲器是否是汇集候补B1-2(步骤S8)。在对象缓冲器不是汇集候补B1-2的情况下设定较之于现在高一级的缓冲器(构成条件的项目较多的缓冲器)作为检索对象缓冲器(步骤S9),并转移到步骤S6。
当在步骤S8中判断为对象缓冲器是汇集候补B1-2的情况下,判断当前所设定的汇集条件是否是构成条件的项目最少的条件(步骤S10)。在汇集条件不是构成条件的项目最少的条件的情况下,将汇集条件变更成项目较之于当前少1个的条件(步骤S11),并转移到步骤S5。在汇集条件是构成条件的项目最少的条件的情况下,将汇集对象保存在构成条件的项目最少的条件的缓冲器中(步骤S12)。
以图3所示的管理用缓冲器为例具体地说明以上的流信息汇集处理。
当在步骤S2中将高位的流信息保存在非汇集B1-1中,将低位的流信息保存在汇集候补B1-2中以后,在步骤S3中从汇集候补B1-2中所保存的流信息之中抽取出位次最低的流信息作为汇集对象。图3中汇集候补B1-2内的位于最左侧的流信息为汇集对象。
其次,在步骤S4中,作为初始汇集条件设定与流生成条件相比,构成条件的项目少一个的条件(缓冲器B2的汇集条件)。即、设定流生成条件之中的协议、源地址、目标地址以及目标端口这4个项目作为初始汇集条件。其次,在步骤S5中,设定与所设定的汇集条件相对应的缓冲器作为检索对象缓冲器,并在步骤S6中检索该缓冲器。在这一阶段,判定在与步骤S4所设定的初始汇集条件相对应的缓冲器B2内是否有汇集对象和初始汇集条件的全部项目一致的已汇集流信息。图12中表示缓冲器B2内左起第4个已汇集流信息与汇集对象一致的状态。在此情况下,汇集对象就被汇集到该第4个已汇集流信息。另外,汇集对象从汇集候补B1-2中删除。
当在步骤S6中的判定是“没有符合条件的流”的情况下,在步骤S8中判断检索对象缓冲器是否是汇集候补B1-2。在检索对象缓冲器不是汇集候补B1-2的情况下,在步骤S8将较之于当前高一级的缓冲器设定成检索对象缓冲器,并转移到步骤S6判断是否有符合条件的流。在图13中表示汇集候补B1-2内左起第5个流信息与汇集对象一致的状态。在此情况下,汇集对象以及第5个流信息被汇集起来并作为已汇集流信息保存在缓冲器B2中。另外,汇集对象以及第5个流信息从汇集候补B1-2中删除。另外,在高位缓冲器的检索中有时候存在多个与汇集对象吻合的流信息。在这种情况下,将这些多个流信息全部与汇集对象进行汇集。
当在步骤S6中的判定是“没有符合条件的流”,在步骤S8中的判定中判断为对象缓冲器是汇集候补的情况下,在步骤S10中判断汇集条件是否是构成条件的项目最少的条件(对应于缓冲器B7的汇集条件)。在汇集条件不是构成条件的项目最少的条件的情况下,在步骤S11中将汇集条件变更成项目较之于当前少一个的条件,并转移到步骤S5,将对应于该经过变更的汇集条件的缓冲器设定成检索对象缓冲器。例如,在缓冲器B2的汇集条件被设定为初始汇集条件的情况下,在缓冲器B2内没有检索对象与汇集条件一致的已汇集流信息、且在汇集候补B1-2中也没有检索对象与汇集条件一致的流信息的情况下,汇集条件被变更成较之于当前少1个项目的条件即缓冲器B3的汇集条件,汇集对象缓冲器被设定成缓冲器B3。然后,以经过变更的汇集条件进行缓冲器B3内的检索。在图14中表示针对缓冲器B3的检索状态。在这一例子中,由于在缓冲器B3中没有汇集对象与汇集条件一致的已汇集流信息,所以在步骤S6中的判断就成为“没有符合条件的流”。
通过步骤S6~S9的循环,以步骤S4或者步骤S11中所设定的汇集条件,分阶段地变更作为对象的缓冲器的条件。另外,通过步骤S5~S11的循环分阶段地变更汇集条件。通过这一对象缓冲器以及汇集条件的分阶段变更,就可以使伴随汇集的流信息的欠缺量成为最小限度,并保持作为计测对象的通信量中的重要信息。
还有,根据这一汇集处理,就能够使汇集条件的项目数不会过多地减少地对汇集对象进行汇集,流信息数量仅减少经过汇集的量。另外,虽然在图3、图12~图14所示的缓冲器的构成例子、图11所示的运算法则例子中移动多个缓冲器来进行处理,但还有缓冲器自身为1个并在缓冲器内的各流信息上记录表示汇集条件的ID进行识别的方法。在构成汇集条件的项目全部不同的情况下,流发送功能部所创建的模板基本上不同,此时,模板ID不同。从而,表示汇集条件的ID使用与模板ID相当的值即可。另外,还有同样地汇集起来未使用的流信息从缓冲器进行删除的方法、和实际上并不删除而赋予信息无效的有特别意义的ID不进行参照的方法。
作为图11所示的汇集处理的变形例,还考虑在步骤S2和S3之间进行初始的流信息汇集。有时候尽管作为流生成/汇集条件所使用的项目是同一值,但流信息因流结束而作为别的流进行计数。例如,有如下两个条件。
一个是在使用TCP等连接型协议的情况下,观测到表示结束的消息(如果是TCP则为FIN、RST等)时被看作是流结束。另一个是为了每隔一定时间进行数据发送而设置超时时间的情况下,超过这一超时时间的流暂且结束,作为流生成/汇集条件所使用的项目被计数为同一值的别的流信息。作为超时时间有UDP等非连接型协议用的非连续时间(最终分组起的经过时间)和TCP等连接型协议用的连续时间(开始分组起的经过时间)两种。根据这些条件,即便作为流生成/汇集条件所使用的项目是同一值,也有可能作为单独的流而分割开。
在目的是不使流汇集条件过多地减少,尽可能保持流信息的情况下,有时候在进行汇集条件削减处理以前,通过进行消息或超时而分割的流汇集,由此就不需要进行汇集条件削减处理。在此情况下就能够使因流汇集所造成的信息损失限制在最小限度。
另外,在图11所示的汇集处理的、汇集条件分阶段变化的处理过程中,汇集条件的项目预先排他的情况下,不进行与该项目有关的检索。例如,缓冲器B2的汇集条件(协议、源地址、目标地址以及目标端口)和缓冲器B3的汇集条件(协议、源地址、目标地址以及源端口),项目数相同并且排他。从而,希望在与缓冲器B3相对应的汇集条件下的检索处理中跳过缓冲器B2的检索。
还有,步骤S4中设定的初始汇集条件当然不限定于协议、源地址、目标地址以及源端口这4个项目。在进行通过超时而分割的流汇集的情况下,就成为从条件及优先度所导出的削减数0(与流生成条件相同)的条件的项目,在未进行通过超时而分割的流汇集的情况下就成为构成削减数1的条件的项目。
以上是基本的条件削减方法。为了使这一条件削减方法中的处理高速化,考虑创建检索用的索引(索引)。能够通过利用检索用索引而削减检索次数。
检索用索引的创建例如能够采用二叉树(binary tree)的运算法则。根据已取得平衡的二叉树就能够以Log2N的速度进行检索。在多个项目每个持有信息的流信息保持于二叉树上的情况下,考虑2个二叉树的构筑方法。一般而言,在二叉树的构筑方法中对已经保存完毕的要素的值和新插入的要素的值进行比较,并根据其大小关系来决定保存位置。
第1构筑方法是在多个项目之中从优先位次为高位的项目起进行大小比较的方法。在此第1构筑方法中,从多个项目的优先位次为高位的项目起将值映射到高位,变换成一个值,并对该值进行大小比较作为结果。
图15是用于说明通过第1构筑方法所创建的检索用索引的图。在图15所示的例子中,作为有关流信息A~E的项目,赋予protocolIdentifier(优先位次为1)、destinationTransportPort(优先位次为2)、sourceIPv4Address(优先位次为3)、destinationIPv4Address(优先位次为4)、sourceTransportPort(优先位次为5)这五个项目。在流信息A~E之间未设定优先位次。基于这些项目,检索用索引通过以下次序而创建。
首先,将A流追加到索引上。这A是第1个流,所以被设定为根。
其次,将B流追加到索引上。然后,从优先位次较高的项目起按顺序比较A以及B各流项目的大小关系。第1优先位次的protocolIdentifier以及第2优先位次的destinationTransportPort的项目在A以及B流之间相同。对于第3优先位次的sourceIPv4Address的项目,B流中的值“10.0.0.2”大于A流中的值“10.0.0.1”。因而,取代A将B设为根,A成为左侧的叶。
其次,将C流追加到索引上。然后,从优先位次较高的项目起按顺序比较B以及C各流项目的大小关系。对应第1优先位次的protocolIdentifier的项目,C流中的值“17”大于B流中的值“6”。因而,C成为右侧的叶。
其次,将D流追加到索引上。然后,从优先位次较高的项目起按顺序比较B以及D各流项目的大小关系。对于第1优先位次的protocolIdentifier的项目,D流中的值“17”大于B流中的值“6”。因而,D成为右侧的配置。在这里,由于在右侧已经存在C,所以从优先位次较高的项目起按顺序比较此C和D各流项目的大小关系。对于第2优先位次的destinationTransportPort的项目,C流中的值“192.168.0.1”大于D流中的值“10.0.0.1”。因而,D成为C左侧的叶。
最后,将E流追加到索引上。然后,从优先位次较高的项目起按顺序比较B以及E各流项目的大小关系。对于第1优先位次的protocolIdentifier的项目,B流中的值“6”大于E流中的值“1”。因而,E成为左侧的配置。这里,由于在左侧已经存在A,所以从优先位次较高的项目起按顺序比较此A和E各流项目的大小关系。对于第1优先位次的protocolIdentifier的项目,A流中的值“6”大于E流中的值“1”。因而,E成为A左侧的叶。
第2构筑方法是从最高位的项目起创建二叉树,其以下的项目将高位的项目的叶作为根的方法。图16是用于说明通过第2构筑方法所创建的检索用索引的图。在图16所示的例子中也是赋予具有与图15所示的例子相同的优先位次的5个项目作为与流信息A~E有关的项目,并基于这些项目以下面的次序创建检索用索引。
首先,将A流追加到索引上。作为树顶点的指针追加第1优先位次的protocolIdentifier的要素(值:6),成为这一树顶点的指针指的是该要素。进而该要素具有指向第2优先位次的指针。同样地,追加第2优先位次的destinationTransportPort的要素(值:192.168.0.1)、第3优先位次的sourceIPv4Addres的要素(值:10.0.0.1)、第4优先位次的destinationIPv4Address的要素(值:80)、第5优先位次的sourceTransportPort的要素(值:23456),并在该树之下追加表示要素编号(值:A)的要素。
其次,追加B流。由于第1优先位次的protocolIdentifier的要素(值:6)、第2优先位次的destinationTransportPort的要素(值:192.168.0.1)与A流相同,所以追溯与A相同树的要素。第3优先位次的sourceIPv4Addres的要素(值:10.0.0.2)被作为现有要素“10.0.0.1”右侧的叶。之后的优先位次的要素以与A流同样的次序被追加到作为右侧的叶的要素,并在该树之下追加表示要素编号(值:B)的要素。
其次,追加C流。由于第1优先位次的protocolIdentifier的要素(值:17)大于现有的要素(值16),所以被作为右侧的叶。之后的优先位次的要素以与A流同样的次序被追加到作为右侧的叶的要素,并在该树之下追加表示要素编号(值:C)的要素。
其次,追加D流。第1优先位次的protocolIdentifier的要素(值:17)与C流相同,所以追溯与C相同树的要素。由于第2优先位次的destinationTransportPort的要素(值:10.0.0.1)小于现有的要素(值:192.168.0.1),所以被作为左侧的叶。其下面的优先位次的要素以与A流同样的次序被追加到作为左侧的叶的要素,并在该树之下追加表示要素编号(值:D)的要素。
最后,追加E流。由于第1优先位次的protocolIdentifier的要素(值:1)小于现有的要素(值:6),所以被作为左侧的叶。其下面的优先位次的要素以与A流同样的次序被追加到作为左侧的叶的要素,并在该树之下追加表示要素编号(值:E)的要素。
在上述的第1以及第2构筑方法上具有如以下那样的特征。
根据第1构筑方法,树结构单一,树不用变深即可、且能够创建平衡(平衡树)。但是,在削减构成条件的项目创建新条件的情况下需要再次重建树结构。
另一方面,根据第2构筑方法,虽然树变深但只要不存在重复的优先位次,则只要创建一次树结构即便削减条件也可汇集一部分叶,不需要再次重建树结构。另外,还能够例如将确定的端口排除在外这样的,对每个项目变更信息的处理方法。但是,在优先位次重复的情况下无法应用第2构筑方法。
通过根据上述的第1或者第2构筑方法创建并保持索引,在流信息的生成以及汇集之际参照该保持的索引进行条件削减,就可以使生成以及汇集的处理高效率化。
具体而言,流生成功能部对管理用缓冲器中所保存的流信息,基于外部输入的项目的优先位次的顺序对流信息保持的每个项目反复进行大小比较来判定流信息间的大小,将其结果作为检索用索引进行保持,并参照该检索用索引来进行流信息的生成。据此,就能够削减流信息生成时的条件(项目的组合)的比较次数,结果就能够谋求处理的高效率化。
还有,流信息数限制功能部对管理用缓冲器中所保存的流信息,基于外部输入的项目的优先位次的顺序,对流信息保持的每个项目反复进行大小比较来判定流信息间的大小,将其结果作为检索用索引进行保持,并参照该检索用索引来进行流信息的汇集。据此,就能够削减流信息汇集时的条件(项目的组合)的比较次数,结果就能够谋求处理的高效率化。
另外,在第1构筑方法中,作为将针对每个条件重建树结构时的效率下降抑制到最小限度的方法,有保持过去的同一条件的汇集候补数和每个条件的流信息保持数的方法。
在这一方法中,流信息数限制功能部通过记录已经保持的上限值和使用非汇集数计算出的汇集候补数与汇集结果数以及、流信息限制时的汇集条件的各项目的流数的历史,并在下次之后的汇集时基于该记录信息,推测检索用索引创建时所用的初始项目数,来削减检索用索引的创建次数。
在这里,上限值是流信息数限制功能部最终交给流发送功能部的流信息数量(从外部给与或者根据管理用缓冲器的容量被内部决定)。非汇集数是重新排列后位于高位的非汇集的流信息数量(从外部给与)。汇集候补数是从流生成功能部已生成的流信息的总数减去非汇集数的值。汇集结果数是经过汇集的结果的值、即从上限值减去非汇集数的值。
下面,具体地说明利用流信息数限制功能部的初始项目数的推测处理。
流信息数限制功能部每次对于从已生成的流信息的总数减去非汇集数所求得的汇集候补数、从上限值减去非汇集数所求得的汇集结果数、以及汇集所用的条件(流键)之中的各信息的项目(Information Element)分别保持流信息数量。在图17中表示流信息数限制功能部保持的信息之一例。在图17所示的例子中,对于汇集候补数、汇集结果数、protocolIdentifier(优先位次为1)、destinationTransportPort(优先位次为2)、sourceIPv4Address(优先位次为3)、destinationlPv4Address(优先位次为4)、sourceTransportPort(优先位次为5)之类的各项目的信息记录过去5次的信息。
例如,若参照前一次的信息,则汇集候补数为120034,汇集结果数为20000。而且,作为该汇集结果数的详细内容,汇集条件仅使用包含了直到第1优先位次的项目的条件即protocolIdentifier(图6的削减数4的条件)经过汇集的结果的流数为4,汇集条件使用包含了直到第2优先位次的项目的条件(图6的削减数3的条件)经过汇集的结果的流数为6442,汇集条件使用包含了直到第3优先位次的项目的条件(图6的削减数2的条件)经过汇集的结果的流数为12321,汇集条件使用包含了直到第4优先位次的项目的条件(图6的削减数1的条件)经过汇集的结果的流数为1233,汇集条件使用包含了直到第5优先位次的项目的条件(图6的削减数0的条件)经过汇集的结果的流数为0。
流数为0的汇集在结果上看作是不需要的汇集。也就是说,前一次的汇集省略包含了直到第5优先位次的项目的条件,根据包含了直到第4优先位次的项目的条件来开始索引创建。据此,处理数减少、处理速度提高。
在流信息数限制功能部中,根据过去的记录来判定能够省略汇集的情况。在图17所示的例子中,在前一次、三回、五回使用了包含了直到第5优先位次的项目的条件时流数为0。而且,一次、三回、五回中汇集时的汇集候补数分别为120034、93898、108270。参照这些信息,就能够推测在汇集结果数为20000个时,作为汇集对象的流信息数大于等于可以省略的状态的最小值即93898个的情况下,根据包含了直到第4优先位次的项目的条件(即、protocolIdentifier、protocolIdentifier、destinationTransportPort、destinationIPv4Address的项目组合)开始创建索引即可。在此情况下,不需要根据包含了直到第5优先位次的项目的条件创建索引,所以能够相应地使整体的处理变快。
下面,说明汇集的一例。在图18中表示对端口进行汇集的例子。图18中A以及B是在协议、源地址、目标地址、源端口以及目标端口这5个项目的条件(流生成条件)下所生成的流信息,C是对这些流信息A、B以其流生成条件的各项目作为汇集条件进行了汇集的已汇集流信息,在这一例子中从汇集构成条件的项目删除源端口。“SA”是源地址,“DA”是目标地址,“SAMask”以及“DAMask”是网络掩码,“SP”是源端口,“DP”是目标端口,“Packets”是分组数,“octets”是字节数,“First”是流开始时间,“Last”是流结束时间。
在已汇集流信息C中,源端口“SP”的值为“0”,分组数“Packets”以及字节数“octets”分别为将流信息A、B对应的值进行了相加的值。还有,开始时间“First”以及结束时间“Last”被设定成作为流信息A、B对应的时间的和集合的范围。在这一例子中,流信息A的开始时间“First”以及结束时间“Last”分别为“134598098987”以及“134598100384”,流信息B的开始时间“First”以及结束时间“Last”分别为“134598098222”以及“134598100001”,所以已汇集流信息C的开始时间“First”以及结束时间“Last”分别为“134598098222”以及“134598100384”。这样,对于流信息A、B,将源端口“SP”、分组数“Packets”、字节数“octets”、开始时间“First”以及结束时间“Last”进行汇集而获得已汇集流信息C。另外,在此例子中,由于在流信息A、B源端口上没有公用项,所以在已汇集流信息C中将源端口设为“0”,但在汇集多个流的情况下,既可以将各流信息之中数据量等监测项目中的任意量最多的流的汇集项目的值作为代表值进行利用,还可以在源端口的例子中设定数据量最多的源端口编号。另外,既可以将流的开头分组的信息作为代表值进行利用,还可以追加表示已进行汇集的信息。在削减了汇集构成条件的项目时,考虑从模板删除构成符合条件的字段信息的项目的方式、和不从模板删除而是从流键进行删除的方式。在前者的情况下,由于不发送被删除的项目,所以内部持有怎样的值都无妨。在后者的情况下则发送被删除的项目的代表值。另外,根据IPFIX协议的规定,未用作流键的项目推荐使用最初观测到的值。
图19中表示汇集地址的例子。在图19中,A以及B是在协议、源地址、目标地址、源端口以及目标端口这5个项目的条件(流生成条件)下所生成的流信息,C是将这些流信息A、B以其流生成条件之中、协议、源地址以及目标地址这3个项目作为汇集条件进行了汇集的已汇集流信息。
在已汇集流信息C中,与图18所示的情况同样,源端口“SP”的值为“0”,分组数“Packets”以及字节数“octets”分别为将流信息A、B的对应的值进行了相加的值,开始时间“First”以及结束时间“Last”被设定成与流信息A、B对应的时间的和集合的范围。地址为将流与信息A、B对应的地址的值通过积集合所获得的新值。在这一例子中,通过流信息A的目标地址“192.168.0.2”与流信息B的目标地址“192.168.0.254”的积集合而获得新目标地址“192.168.0.0”。伴随着这一地址值的变更,网络掩码“SAMask”也变更成“24”。在上述的从模板进行删除的方式时,不发送有关从构成汇集条件的项目所删除的项目的信息,所以与上述同样内部持有怎样的值都无妨。在从流键排除的方式时,在此所示例的IPv4环境下,SAMask为32字节以外时,进行发送的项目必须变更成表示前缀的项目(sourceIPv4Prefix)进行表达,而不是表示地址的项目(sourceIPv4Address)。如果不变更成前缀就应该使用代表值,使用取积集合以前的代表值(如上述那样根据协议规定最好是开头分组的值)。还有,在此情况下SAMask也使用表示主机地址的32。
另外,在本方式中当限制于一定数量以下时,削减数最多状态下的构成汇集条件的项目可能取的值的总数就成为保障能够作为上限值限制于一定数量以下的最低值。
根据以上所说明的本发明,流因攻击通信量而增大,由流生成功能部所生成的流信息数量伴随于其而增大,但倘若从流生成功能部所输入的流信息数量增大,流信息数限制功能部就对当前所保存的一部分流信息(汇集候补)进行汇集。通过此流信息的汇集,被供给流发送功能部的流信息每一定时间的数就被限制于一定数量以下。从而,流发送功能部发送到计测用网络上的流信息每一定时间的数也被限制于一定数量以下。这样,与流增大无关地在计测用网络上仅发送一定数量以下的流信息,所以就能够抑制在传输协议上采用了没有拥挤控制功能的UDP时会发生的计测用网络上的通信拥挤。
而且,通信量计测中包含重要信息的流信息从汇集目标排除,对不重要的流信息进行汇集,所以在计测目的下使通信量附带特征的流信息就得以保持。
进而,由于进行汇集的条件中所含的比较项目分阶段地进行变更,所以就不会在项目过少的条件下进行汇集,能够将汇集后的流信息中的信息损失抑制到必要最小限度。
还有,由于流发送功能部仅被供给一定数量以下的流信息,所以也不会出现流发送功能部的内部缓冲器溢出而使流信息欠缺。从而,亦不会发生在传输协议上使用了具有拥挤控制功能的TCP或SCTP时会发生的、因为流发送功能部的内部缓冲器的破绽所造成的流信息欠缺而无法正确地发送已观测到的通信量全体的信息之类的问题。这样,就能够抑制在传输协议上使用了具有拥挤控制功能的TCP或SCTP时会发生的、流发送功能部的内部缓冲器的破绽所造成的流信息的欠缺,所以能够将已观测到的通信量全体的信息正确地发送给测定用终端。
以上所说明的本实施方式的流信息限制装置(节点)是本发明的一个例子,其构成以及动作在不脱离本发明宗旨的范围内能够适宜地进行变更。
还有,流生成功能部、流信息数限制功能部以及流发送功能部的各功能部中的处理还可以通过构成计算机系统的控制装置执行存储器中所保存的程序而实现。程序既可以通过CD-ROM或DVD等盘片型的记录介质来提供,又可以通过互联网下载必要的程序来提供。
还有,虽然作为流的生成条件以及汇集条件的项目的一个例子,列举了协议、源IP地址、目标IP地址、源端口以及目标端口这5个项目,但本发明并不限定于此。流的生成条件以及汇集条件的项目只要包含基于首标信息的信息,则不论是包含除这些以外的其他项目,还是不包含这些项目都可以。基于首标信息的信息还包含尽管不包含在首标本身,但可以根据首标信息进行判断的信息。作为一例,路径控制信息等也包含在基于首标信息的信息中。还有,首标信息并不限定于网络层、传输层,还包含比其低位以及高位的协议。还有,流的生成条件以及汇集条件的项目数能够在可以进行流的生成以及汇集的范围内适宜地进行设定。
本国际申请主张基于2006年11月21日提交申请的日本国专利申请第2006-314299号、以及2007年7月31日提交申请的日本国专利申请第2007-199499号的优先权,并在本国际申请中援引其全部内容。
Claims (9)
1.一种流信息限制装置,被配置于将多个终端相互进行连接的网络上、并经由测定用网络被连接到对该网络中的通信量进行计测的测定用终端,所述流信息限制装置的特征在于具有:
流信息生成部,将持有同一属性的分组的集合作为同一通信的流,并对该每个流基于上述分组的首标信息而生成流信息;
流信息数限制部,具备暂时保存上述流信息生成部所生成的流信息的管理用缓冲器,从该管理用缓冲器读出流信息并将其输出;以及
流信息发送部,将从上述流信息数限制部所输出的流信息分组化并发送到上述测定用网络上,
上述流信息数限制部在上述管理用缓冲器中所保存着的流信息数量超过预先所设定的上限值时,将该所保存着的流信息分成非汇集流信息和在上述通信量的计测中的重要性低于该非汇集流信息的汇集候补,将被设为该汇集候补的流信息汇集起来进行控制以使得上述管理用缓冲器中所保持着的流信息数量在一定数量以下,
上述流信息包含上述通信量的计测中所需要的计测信息,
上述流信息数限制部基于上述计测信息的量或者统计值的大小关系对上述管理用缓冲器中所保存的流信息进行排序并重新排列,将该经过重新排列的流信息之中、高位的流信息作为上述非汇集流信息,将低位的流信息作为上述汇集候补。
2.按照权利要求1所记载的流信息限制装置,其特征在于:
上述流信息数限制部阶段性地变更汇集上述流信息的条件中所含的比较项目。
3.按照权利要求2所记载的流信息限制装置,其特征在于:
上述流信息数限制部保持与上述流信息生成部进行的流信息生成中所用的分组属性相对应的项目和外部输入的该项目的优先位次,并反复进行从上述流信息的生成项目中删除该优先位次为最低位的项目的处理,来阶段性地变更上述比较项目。
4.按照权利要求1所记载的流信息限制装置,其特征在于:
上述流信息生成部对于上述管理用缓冲器中所保存着的流信息,基于外部输入的项目的优先位次的顺序,对该流信息保持的每个项目反复进行大小比较以判定流信息间的大小,将该判定结果作为检索用索引进行保持,并参照该检索用索引来进行上述流信息的生成。
5.按照权利要求1所记载的流信息限制装置,其特征在于:
上述流信息数限制部对于上述管理用缓冲器中所保存着的流信息,基于外部输入的项目的优先位次的顺序,对该流信息保持的每个项目反复进行大小比较以判定流信息间的大小,将该判定结果作为检索用索引进行保持,并参照该检索用索引来进行上述流信息的汇集。
6.按照权利要求5所记载的流信息限制装置,其特征在于:
上述流信息数限制部记录包含汇集候补数、汇集结果数和流信息限制时的汇集条件的每个项目的流数的信息的历史,并基于该历史来推测下次汇集时的上述检索用索引的创建所用的初始项目数,
其中,上述汇集候补数是从上述流信息生成部所生成的流信息的总数减去重新排列后位于高位的成为非汇集的流信息数量即非汇集数的值;上述汇集结果数是从上述上限值减去上述非汇集数的值。
7.按照权利要求4至6中任意一项所记载的流信息限制装置,其特征在于:
上述检索用索引具有将优先度为高位的项目的叶设为优先度为低位的项目的根的二叉树的数据结构。
8.按照权利要求2所记载的流信息限制装置,其特征在于:
上述流信息生成部将构成上述首标信息的、上述通信所使用的协议、源地址、目标地址、源端口以及目标端口的各项目吻合的分组的集合作为流,并生成包含有关该各项目的信息的流信息作为该流的信息,
上述流信息数限制部在上述各项目组合而成的、进行汇集的条件中所含的比较项目不同的多个汇集条件的范围中,变更汇集条件来汇集被设为上述汇集候补的流信息。
9.一种流信息限制方法,用在被配置于将多个终端相互进行连接的网络上、并经由测定用网络被连接到对该网络中的通信量进行计测的测定用终端的通信装置中,所述流信息限制方法的特征在于包括:
第1步骤,将持有同一属性的分组的集合作为同一通信的流,并对该每个流基于上述分组的首标信息而生成流信息;
第2步骤,在管理用缓冲器中暂时保存在上述第1步骤中所生成的流信息,并从该管理用缓冲器读出流信息;
第3步骤,将上述第2步骤中所输出的流信息分组化并发送到上述测定用网络上,
上述第2步骤在上述管理用缓冲器中所保存着的流信息数量超过预先所设定的上限值时,将该所保存着的流信息分成非汇集流信息和在上述通信量的计测中的重要性低于该非汇集流信息的汇集候补,将被设为该汇集候补的流信息汇集起来进行控制以使得上述管理用缓冲器中所保持着的流信息数量在一定数量以下,
上述流信息包含上述通信量的计测中所需要的计测信息,
上述第2步骤基于上述计测信息的量或者统计值的大小关系对上述管理用缓冲器中所保存的流信息进行排序并重新排列,将该经过重新排列的流信息之中、高位的流信息作为上述非汇集流信息,将低位的流信息作为上述汇集候补。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP314299/2006 | 2006-11-21 | ||
JP2006314299 | 2006-11-21 | ||
JP199499/2007 | 2007-07-31 | ||
JP2007199499A JP4658098B2 (ja) | 2006-11-21 | 2007-07-31 | フロー情報制限装置および方法 |
PCT/JP2007/072456 WO2008062787A1 (fr) | 2006-11-21 | 2007-11-20 | Appareil et procédé de restriction d'informations de flux |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101536437A CN101536437A (zh) | 2009-09-16 |
CN101536437B true CN101536437B (zh) | 2012-02-01 |
Family
ID=39429717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800423057A Expired - Fee Related CN101536437B (zh) | 2006-11-21 | 2007-11-20 | 流信息限制装置以及方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US8239565B2 (zh) |
EP (1) | EP2086183B1 (zh) |
JP (1) | JP4658098B2 (zh) |
KR (1) | KR100997182B1 (zh) |
CN (1) | CN101536437B (zh) |
WO (1) | WO2008062787A1 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9026674B1 (en) * | 2010-03-22 | 2015-05-05 | Satish K Kanna | System and method for accurately displaying communications traffic information |
CN101563908B (zh) * | 2006-12-19 | 2013-01-09 | 国际商业机器公司 | 分析网络流的装置和方法 |
US9258217B2 (en) * | 2008-12-16 | 2016-02-09 | At&T Intellectual Property I, L.P. | Systems and methods for rule-based anomaly detection on IP network flow |
US8125920B2 (en) * | 2009-03-04 | 2012-02-28 | Cisco Technology, Inc. | System and method for exporting structured data in a network environment |
US8443434B1 (en) * | 2009-10-06 | 2013-05-14 | Palo Alto Networks, Inc. | High availability security device |
US8724487B1 (en) | 2010-02-15 | 2014-05-13 | Cisco Technology, Inc. | System and method for synchronized reporting in a network environment |
CN102075412B (zh) * | 2010-10-22 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络数据传输速率控制设备及方法 |
KR101433420B1 (ko) * | 2010-11-16 | 2014-08-28 | 한국전자통신연구원 | 플로우 기반 데이터 병렬 처리 장치 및 방법 |
EP2530874B1 (en) * | 2011-06-03 | 2020-04-29 | AirMagnet, Inc. | Method and apparatus for detecting network attacks using a flow based technique |
US9674207B2 (en) * | 2014-07-23 | 2017-06-06 | Cisco Technology, Inc. | Hierarchical attack detection in a network |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US10674394B2 (en) * | 2017-10-27 | 2020-06-02 | Futurewei Technologies, Inc. | Method and apparatus for reducing network latency |
US10999167B2 (en) * | 2018-04-13 | 2021-05-04 | At&T Intellectual Property I, L.P. | Varying data flow aggregation period relative to data value |
US11546185B2 (en) * | 2020-04-27 | 2023-01-03 | Hewlett Packard Enterprise Development Lp | Multicast route summarization |
WO2023105647A1 (ja) * | 2021-12-07 | 2023-06-15 | 日本電信電話株式会社 | フロー情報収集システム、フロー情報収集方法、および、フロー情報収集プログラム |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7466703B1 (en) * | 1998-05-01 | 2008-12-16 | Alcatel-Lucent Usa Inc. | Scalable high speed router apparatus |
US6570875B1 (en) * | 1998-10-13 | 2003-05-27 | Intel Corporation | Automatic filtering and creation of virtual LANs among a plurality of switch ports |
US6671258B1 (en) * | 2000-02-01 | 2003-12-30 | Alcatel Canada Inc. | Dynamic buffering system having integrated random early detection |
JP3994614B2 (ja) * | 2000-03-13 | 2007-10-24 | 株式会社日立製作所 | パケット交換機、ネットワーク監視システム及びネットワーク監視方法 |
US6836466B1 (en) * | 2000-05-26 | 2004-12-28 | Telcordia Technologies, Inc. | Method and system for measuring IP performance metrics |
AU2001281150A1 (en) * | 2000-08-07 | 2002-02-18 | Xacct Technologies Limited | System, method and computer program product for processing network accounting information |
US20020035698A1 (en) | 2000-09-08 | 2002-03-21 | The Regents Of The University Of Michigan | Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time |
US7039013B2 (en) * | 2001-12-31 | 2006-05-02 | Nokia Corporation | Packet flow control method and device |
JP4234933B2 (ja) | 2002-02-15 | 2009-03-04 | 日本電信電話株式会社 | トラヒックデータ生成装置 |
US7286482B2 (en) * | 2002-11-29 | 2007-10-23 | Alcatel Lucent | Decentralized SLS monitoring in a differentiated service environment |
US7701863B2 (en) * | 2002-12-12 | 2010-04-20 | Alcatel Lucent | Decentralized SLS monitoring for throughput in a differentiated service environment |
JP2005010756A (ja) | 2003-05-23 | 2005-01-13 | Olympus Corp | 光学系 |
US7453806B2 (en) * | 2003-06-26 | 2008-11-18 | International Business Machines Corporation | Dynamic data packet flow control for packet switching node |
US7385924B1 (en) * | 2003-09-30 | 2008-06-10 | Packeteer, Inc. | Enhanced flow data records including traffic type data |
JP2006050442A (ja) * | 2004-08-06 | 2006-02-16 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック監視方法及びシステム |
US7515591B1 (en) * | 2004-08-31 | 2009-04-07 | Adtran, Inc. | Primary channel bank-resident mechanism for scheduling downstream data transmissions to ports of multiple channel banks |
JP2005210756A (ja) | 2005-04-08 | 2005-08-04 | Hitachi Ltd | ネットワーク監視方法 |
US7738375B1 (en) * | 2005-08-19 | 2010-06-15 | Juniper Networks, Inc. | Shared shaping of network traffic |
US20070140282A1 (en) * | 2005-12-21 | 2007-06-21 | Sridhar Lakshmanamurthy | Managing on-chip queues in switched fabric networks |
-
2007
- 2007-07-31 JP JP2007199499A patent/JP4658098B2/ja active Active
- 2007-11-20 WO PCT/JP2007/072456 patent/WO2008062787A1/ja active Application Filing
- 2007-11-20 KR KR1020097009813A patent/KR100997182B1/ko active IP Right Grant
- 2007-11-20 EP EP07832186A patent/EP2086183B1/en not_active Not-in-force
- 2007-11-20 US US12/514,883 patent/US8239565B2/en active Active
- 2007-11-20 CN CN2007800423057A patent/CN101536437B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP2086183B1 (en) | 2013-01-30 |
KR100997182B1 (ko) | 2010-11-29 |
EP2086183A4 (en) | 2010-01-06 |
JP4658098B2 (ja) | 2011-03-23 |
KR20090079945A (ko) | 2009-07-22 |
CN101536437A (zh) | 2009-09-16 |
JP2008154204A (ja) | 2008-07-03 |
WO2008062787A1 (fr) | 2008-05-29 |
US20100070647A1 (en) | 2010-03-18 |
EP2086183A1 (en) | 2009-08-05 |
US8239565B2 (en) | 2012-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101536437B (zh) | 流信息限制装置以及方法 | |
US11601351B2 (en) | Aggregation of select network traffic statistics | |
US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
US7440409B2 (en) | Network traffic monitoring system and monitoring method | |
CN101075911B (zh) | 统计信息收集系统及统计信息收集装置 | |
CN106464577B (zh) | 网络系统、控制装置、通信装置以及通信控制方法 | |
US8427968B2 (en) | Communication data statistical apparatus, communication data statistical method, and computer program product | |
JP4392294B2 (ja) | 通信統計収集装置 | |
EP2240854B1 (en) | Method of resolving network address to host names in network flows for network device | |
US8311039B2 (en) | Traffic information aggregating apparatus | |
CN106815112A (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
Kim et al. | ONTAS: Flexible and scalable online network traffic anonymization system | |
CN107465690A (zh) | 一种基于流量分析的被动式异常端口实时检测方法及系统 | |
JP2011514066A (ja) | アプリケーションアウェアネスを用いてサービスの終端間qoeを監視するインバウンド機構 | |
Thomas et al. | SiLK: A tool suite for unsampled network flow analysis at scale | |
Cho et al. | Aguri: An aggregation-based traffic profiler | |
Coppens et al. | Scampi-a scaleable monitoring platform for the internet | |
CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
KR101191251B1 (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 | |
Polychronakis et al. | Design of an application programming interface for ip network monitoring | |
CN105516016B (zh) | 一种使用Tilera多核加速卡基于流的数据包过滤系统及数据包过滤方法 | |
CN102124698A (zh) | 用于在网络管理环境中导出结构化数据的系统和方法 | |
Claveirole et al. | Manipulating Wi‐Fi packet traces with WiPal: design and experience | |
Ládi et al. | GrAMeFFSI: Graph Analysis Based Message Format and Field Semantics Inference For Binary Protocols, Using Recorded Network Traffic | |
Ligocki et al. | A flexible network monitoring tool based on a data stream management system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120201 |
|
CF01 | Termination of patent right due to non-payment of annual fee |