JP2011049757A - フロー情報生成装置、記憶方法及びプログラム - Google Patents
フロー情報生成装置、記憶方法及びプログラム Download PDFInfo
- Publication number
- JP2011049757A JP2011049757A JP2009195577A JP2009195577A JP2011049757A JP 2011049757 A JP2011049757 A JP 2011049757A JP 2009195577 A JP2009195577 A JP 2009195577A JP 2009195577 A JP2009195577 A JP 2009195577A JP 2011049757 A JP2011049757 A JP 2011049757A
- Authority
- JP
- Japan
- Prior art keywords
- stored
- information
- memory area
- packet
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】フロー情報を効率的に生成することを可能にする。
【解決手段】複数のパケットを収集して記憶し、記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、フロー情報が、複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、複数のパケットそれぞれに対応し、フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置であって、記憶部と、収集されたパケットを記憶部に記憶させ、収集されたパケットが記憶されたメモリ領域のうち、属性情報以外の情報が記憶されたメモリ領域を、収集されたパケットに対応する非属性情報で上書きすることにより、収集されたパケットが記憶されたメモリ領域に、属性情報と非属性情報とを対応付けて記憶させるフロー情報生成管理部とを有する。
【選択図】図1
【解決手段】複数のパケットを収集して記憶し、記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、フロー情報が、複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、複数のパケットそれぞれに対応し、フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置であって、記憶部と、収集されたパケットを記憶部に記憶させ、収集されたパケットが記憶されたメモリ領域のうち、属性情報以外の情報が記憶されたメモリ領域を、収集されたパケットに対応する非属性情報で上書きすることにより、収集されたパケットが記憶されたメモリ領域に、属性情報と非属性情報とを対応付けて記憶させるフロー情報生成管理部とを有する。
【選択図】図1
Description
本発明は、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成するフロー情報生成装置、記憶方法及びプログラムに関する。
汎用PC(Personal Computer)を用いたパケットキャプチャ技術において、収集されたパケットに含まれる情報を操作するためには、OS(Operating System)のカーネル部分と、パケットに含まれる情報を操作するためのアプリケーションを動作させる領域であるユーザスペースとの間でパケットのコピーが発生するのが一般的である。
図9は、カーネル部分とユーザスペースとの間でパケットのコピーが発生している状態を示す図である。図9においてパケットは白色の長方形によって示されている。
図9に示すように、パケットを収集するパケット収集部によって収集されたパケットは、まず、カーネル部分にコピーされる。そして、カーネル部分にコピーされたパケットは、ユーザスペースへコピーされる。このように、パケットのコピーが複数回行われるため非効率的である。
この非効率性を解決するための技術として、FreeBSD向けのZerocopyBPF(例えば、非特許文献1参照。)や、Linux向けのPF_RING2(例えば、非特許文献2参照。)、MMAPを用いたpcap等のパケットの収集方法に関する技術が提案、開示されている。なお、MMAPとは、UNIX(登録商標)のシステムコールの1つでメモリ領域のマッピングに関する操作のことである。
これら技術では、収集されたパケットが記憶されたメモリ領域に対し、ユーザスペース上のアプリケーションとカーネル部分との両方からアクセスできるようにメモリマッピングが行われる。このようにすることで、カーネル部分とユーザスペースとの間でのパケットのコピーが不要となる。
図10は、カーネル部分とユーザスペースとの間でのパケットのコピーを不要とした状態の一例を示す図である。図10においても、図9と同様に、パケットは白色の長方形によって示されている。
図10に示すように、カーネル部分とユーザスペースとが同一のメモリ領域を共有している。そのため、カーネル部分とユーザスペースとの間でのパケットをコピーする必要がなくなり、効率的である。
一方、フローを単位としてネットワーク上の通信状態を計測するための技術が普及してきている。フローとは同一の属性を持つパケット群のことである。
フローを単位としてネットワーク上の通信状態を計測するための技術として標準化されているのは、NetFlow(例えば、非特許文献3参照。)や、IPFIX(IP Flow Information eXchange)(例えば、非特許文献4参照。)がある。これらの技術では、同一の属性を持つ複数のパケットそれぞれの情報を、フローとしての情報であるフロー情報に集約する。
フロー情報は、同一の属性を持つ複数のパケットそれぞれの情報をフロー情報へ集約するフロー情報生成装置から、フロー情報を受信し、フローの分析等を行うフロー情報受信装置へ送信される。
なお、上記のIPFIXのアーキテクチャが例えば、非特許文献5に開示されている。非特許文献5によれば、フロー情報生成装置は、パケットを収集する機能部位と、フロー情報を生成及び管理する機能部位(Metering Process)と、フロー情報を送信する機能部位(Exporting Process)とから構成される。
ここで、フロー情報は一般的に、フローの属性を特定するための情報と、それ以外の情報とから構成される。以降、前者のことをフローキーといい、後者のことをノンフローキーという。
フローキーとしては例えば、パケットのヘッダに含まれるMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス及びポート番号や、IPヘッダに含まれるプロトコル番号等がある。
一方、ノンフローキーとしては例えば、フローの開始時刻及びフローの終了時刻や、フローの開始時刻から終了時刻までの間に流れたパケット数、それらのパケットのバイト数等がある。なお、フロー情報の一単位のことをフローレコードという。つまり、1つのフローについて、フローキーとノンフローキーとを対応付けた情報がフローレコードとなる。
フロー情報を生成する際に必要な情報は、ネットワークの構成や目的毎に異なるのが通常である。そのため、非特許文献3に開示されているNetFlowのバージョン9及び非特許文献4に開示されているIPFIXでは、フローレコードは固定フォーマットになっておらず、テンプレートと呼ばれる定義情報を用いることによってフローレコードのフォーマットが決定される。そして、テンプレートがフロー情報生成装置からフロー情報受信装置に送信される。
また、収集されたパケットの情報を集約してフロー情報を生成する際、収集されたパケットの情報は、フロー情報としてフロー情報受信装置へ送信されるまでの間、フロー情報生成装置内に蓄積される。パケットの情報が蓄積されている状態から、フロー情報としてフロー情報受信装置へ送信する状態または送信を待機している状態へ移行する契機は、実装方法によって異なる。その契機としては例えば、TCP(Transmission Control Protocol)におけるFIN等の明示的にフローの終了を示すパケットが収集された場合や、フローレコードの蓄積量が所定の上限値を超えた場合等である。
Zero-copyBPFhttp://www.watson.org/~robert/freebsd/2007asiabsdcon/20070309-devsummit-zerocopybpf.pdf
Improving Passive Packet Capture: Beyond Device Pollinghttp://luca.ntop.org/Ring.pdf
Cisco Systems NetFlow Services Export Version 9http://www.ietf.org/rfc/rfc3954.txt
Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Informationhttp://www.ietf.org/rfc/rfc5101.txt
Architecture for IP Flow Information Exporthttp://www.ietf.org/rfc/rfc5470.txt
上述したように、フロー情報生成装置は、パケットを収集し、収集されたパケットの情報を集約してフロー情報を生成する。
近年は、ネットワークの高帯域化が進んでおり、ネットワークには大量のパケットが流れている。この大量のパケットの情報を集約してフロー情報を生成する場合、フロー情報生成装置に過大な負荷がかかる。その結果、フロー情報の生成に多大な時間を要してしまうという問題点がある。
ここで、非特許文献1,2に開示されている技術を用いれば、収集されたパケットをユーザスペースへコピーする必要がなく、パケットの収集までの処理を効率化することは可能である。
しかし、収集されたパケットの情報を集約してフロー情報を生成する処理も効率化できなければ、フロー情報の生成に要する時間を短縮することはできない。
本発明は、フロー情報を効率的に生成することを可能にするフロー情報生成装置、記憶方法及びプログラムを提供することを目的とする。
上記目的を達成するために本発明は、
ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置であって、
所定のサイズのメモリ領域を備えた記憶部と、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させるフロー情報生成管理部と、を有する。
ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置であって、
所定のサイズのメモリ領域を備えた記憶部と、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させるフロー情報生成管理部と、を有する。
また、所定のサイズのメモリ領域を備えた記憶部を有し、ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置における記憶方法であって、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる処理を有する。
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる処理を有する。
また、本発明のプログラムは、所定のサイズのメモリ領域を備えた記憶部を有し、ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置に、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる機能を実現させる。
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる機能を実現させる。
本発明によれは、ネットワークを流れる複数のパケットを収集して記憶し、記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成するフロー情報生成装置は、収集されたパケットを記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、属性情報と非属性情報とを対応付けて記憶させる。
そのため、フロー情報を効率的に生成することが可能となる。
以下に、本発明の実施の形態について図面を参照して説明する。
図1は、本発明のフロー情報生成装置の実施の一形態の構成を示すブロック図である。
本実施形態のフロー情報生成装置10は図1に示すように、パケット収集部11と、所定のサイズのメモリ領域を備えた共用記憶部12aを有するフロー情報生成管理部12と、フロー情報送信部13とを備えている。
パケット収集部11は、ネットワーク20を流れるパケットを収集する。
フロー情報生成管理部12には、OSと、フローレコードから構成されるフロー情報データベースを作成するアプリケーションとがインストールされている。以降、このアプリケーションのことを単に、「アプリケーション」という。このアプリケーションは、アプリケーションを動作させるために割り当てられたメモリ領域であるユーザスペース上で動作する。なお、このユーザスペースは、共用記憶部12aのメモリ領域とは別のメモリ領域である。フロー情報生成管理部12は、パケット収集部11にて収集されたパケットを共用記憶部12aのメモリ領域に記憶させる。そして、収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として利用する。これにより、収集されたパケットをユーザスペースへコピーすることなくフロー情報を生成することができる。なお、収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として利用する方法の詳細については後述する。また、フロー情報生成管理部12は、蓄積されたフローレコードを送信するための所定の送信条件が満足されると、共用記憶部12aに記憶されたフローレコードに、アプリケーションのプロトコルに応じたヘッダ情報を付加してフロー情報送信部13へ出力する。なお、所定の送信条件とは例えば、以下の(1)〜(4)に示す条件である。
(1)予め決められた一定時間フローが継続し、フローの生存時間がアクティブタイムアウトと呼ばれるタイムアウト時間を超過した場合
(2)同一のフローのパケットが一定時間収集されず、インアクティブタイムアウトと呼ばれるタイムアウト時間を超過した場合
(3)TCPにおけるFIN等の明示的にフローが終了することを示すパケットが収集された場合
(4)フローレコードの蓄積量が所定の上限値を超過した場合
フロー情報送信部13は、フロー情報生成管理部12から出力されたフローレコードをフロー情報受信装置(不図示)へ送信する。
(2)同一のフローのパケットが一定時間収集されず、インアクティブタイムアウトと呼ばれるタイムアウト時間を超過した場合
(3)TCPにおけるFIN等の明示的にフローが終了することを示すパケットが収集された場合
(4)フローレコードの蓄積量が所定の上限値を超過した場合
フロー情報送信部13は、フロー情報生成管理部12から出力されたフローレコードをフロー情報受信装置(不図示)へ送信する。
以下に、収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として利用する方法の詳細について説明する。
まず、フロー情報生成管理部12は、収集されたパケット1つを記憶させるメモリ領域のサイズを予め決定しておく。このサイズは、フロー情報データベースにおいてフローレコードを記憶させるメモリ領域のサイズと同等以上のサイズとするが、基本的には、同じサイズでよい。
但し、収集されたパケットのヘッダに付加的なオプションの情報が含まれる可能性がある場合、フローレコードを記憶させるメモリ領域のサイズと同じサイズでは正しく処理ができない場合が生じうる。この場合には、フローレコードを記憶させるメモリ領域のサイズよりも大きなサイズを、収集されたパケット1つを記憶させるメモリ領域のサイズとすればよい。なお、付加的なオプションの情報としては例えば、IPv4におけるOptionフィールドや、IPv6におけるExtension Header等のヘッダ拡張領域が挙げられる。
ここで、フローキーとしては一般的に、OSI参照モデルにおける第4層(Layer4:以下、L4と表記する)までのプロトコルのヘッダの情報が利用される。そのため、収集されたパケットを記憶させたメモリ領域のうち、そのパケットのペイロード等が記憶されたメモリ領域には、フロー情報として利用されない情報が記憶されていることとなる。なお、以降、OSI参照モデルにおけるL4までのプロトコルのヘッダの情報のことを属性情報という。
フロー情報生成管理部12は、ノンフローキーとなる情報等(以降、非属性情報という)と、フロー情報データベースを構成する上で管理する必要がある情報(以降、管理情報という)とで、ペイロード等が記憶されたメモリ領域を上書きする。なお、非属性情報には、ノンフローキーとなる情報と、収集されたパケットに含まれない情報でフロー情報を生成するために必要な情報とが少なくとも含まれる。
この場合、収集されたパケット1つを記憶させるメモリ領域のサイズは、属性情報のサイズと非属性情報のサイズと管理情報のサイズとを合わせたサイズとなる。
図2は、図1に示したパケット収集部11にて収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として利用した場合の一例を示す図である。図2においてパケットは白色の長方形によって示されており、これは、以下の説明で参照する図においても同様である。
図2に示すように、収集されたパケットに含まれるイーサネットヘッダからL4ヘッダまでが記憶されたメモリ領域は、そのままフローレコードの属性情報として利用される。一方、収集されたパケットに含まれるペイロード等が記憶されたメモリ領域は、フローレコードの非属性情報及び管理情報で上書きされる。
なお、図2に示した例では、非属性情報を共用記憶部12aに記憶させたが、共用記憶部12aとは別のメモリ領域に非属性情報を記憶させてもよい。この場合、非属性情報が記憶されているメモリ領域の位置を示すメモリ番地を管理情報として記憶しておけばよい。また、この場合、収集されたパケット1つを記憶させるためのメモリ領域のサイズは、属性情報のサイズと管理情報のサイズとを合わせたサイズとなる。
図3は、図1に示したパケット収集部11にて収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として利用した場合の他の例を示す図である。図3では、ユーザスペースに非属性情報を記憶させるメモリ領域を設けた場合を一例として示している。
図3に示すように、非属性情報が記憶されているメモリ領域は、フローレコードの管理情報に記憶されているメモリ番地を用いて参照される。
このように、パケット収集部11にて収集されたパケットは、共用記憶部12aのメモリ領域に記憶される。そして、フロー情報生成管理部12は、収集されたパケットが記憶されたメモリ領域のうち、属性情報以外の部分が記憶されたメモリ領域を非属性情報や管理情報で上書きする。これにより、収集されたパケットが記憶されたメモリ領域には、フローレコードが記憶されることとなる。そして、フローレコードは、上述した所定の送信条件を満足するまでの間、共用記憶部12aに一定時間蓄積される。
ここで、フローレコードが共用記憶部12aに蓄積されている間に、新たに収集されたパケットにより、フローレコードが記憶されているメモリ領域が上書きされてしまう可能性がある。
これを回避するために、フロー情報生成管理部12は、共用記憶部12aの各メモリ領域が上書きすることが可能な状態(以降、上書可能状態という)であるか、上書きすることが不可能な状態(以降、使用中状態という)であるかを管理する。本実施形態においては、これを管理するための情報を管理情報に含むものとする。
さらに、フロー情報生成管理部12は、共用記憶部12aのメモリ領域の残余量を、例えば一定の時間間隔で測定する。そして、共用記憶部12aのメモリ領域の残余量が所定値以下になった場合、フロー情報生成管理部12は、フローレコードの蓄積量が所定の上限値を超過したことを理由として、共用記憶部12aに記憶されたフローレコードをフロー情報送信部13へ出力する。なお、このようにメモリ領域の残余量を基準とするのではなく、メモリ領域の使用量を基準としてもよい。
そして、フロー情報生成管理部12は、フロー情報送信部13へ出力されたフローレコードが記憶されていたメモリ領域を使用中状態から上書可能状態へ変更する。これにより、新たに収集されたパケットをそのメモリ領域に記憶させることができる。以降、上述したような方法でフローレコードが記憶されているメモリ領域が上書きされるのを回避することを「第1の上書回避方法」という。
なお、共用記憶部12aのメモリ領域のサイズを決定した際に、共用記憶部12aに蓄積することが可能なパケット数が決定される。従って、共用記憶部12aのメモリ領域の残余量を測定する方法としては例えば、収集されたパケット数をカウントしていき、カウントされたパケット数と、蓄積することが可能なパケット数との差を計算するというような方法でよい。
ここで、第1の上書回避方法の場合、上述した所定の送信条件(1)〜(3)に達するよりも前に、共用記憶部12aのメモリ領域の残余量が所定値以下となってしまう可能性が高い。これを回避するために、新たに収集されたパケットが記憶されたメモリ領域に、収集されたパケットの情報を集約していく方法がある。以降、この方法のことを「第2の上書回避方法」という。
図4は、図1に示した共用記憶部12aの新たに収集されたパケットが記憶されたメモリ領域に、収集されたパケットの情報を集約していく方法を説明するための図である。
図4において2番目のパケットは、任意のフローにおいて最初に収集されたパケットであるものとする。すなわち、フロー開始時刻、フロー終了時刻、バイト数及びパケット数を非属性情報とする場合、2番目のパケットが記憶されたメモリ領域のうち、属性情報以外の部分が記憶されたメモリ領域には、以下の情報が記憶されている。
・フロー開始時刻及びフロー終了時刻:2番目のパケットが収集された時刻
・バイト数:2番目のパケットのバイト数
・パケット数:1
また、図4において6番目のパケットは、2番目のパケットと同一のフローのパケットであるものとする。従って、2番目のパケットと6番目のパケットとでは、属性情報は共通である。例えば、IPヘッダ内のプロトコル、送信元IPアドレス、宛先IPアドレス、L4のプロトコルの情報である送信元ポート番号及び宛先ポート番号という一般的な5タプル(組)に基づいてフローの属性を特定する場合、2番目のパケットと6番目のパケットにおいて、これら5タプルが示す値は同じ値となる。
・バイト数:2番目のパケットのバイト数
・パケット数:1
また、図4において6番目のパケットは、2番目のパケットと同一のフローのパケットであるものとする。従って、2番目のパケットと6番目のパケットとでは、属性情報は共通である。例えば、IPヘッダ内のプロトコル、送信元IPアドレス、宛先IPアドレス、L4のプロトコルの情報である送信元ポート番号及び宛先ポート番号という一般的な5タプル(組)に基づいてフローの属性を特定する場合、2番目のパケットと6番目のパケットにおいて、これら5タプルが示す値は同じ値となる。
従って、属性情報として6番目のパケットの属性情報を利用した場合でも、パケットの情報をフローレコードとする際に必要な処理量や計算量は変わらない。
一方、非属性情報として上記の情報を扱う場合には、フローレコードを集約する際に、フロー終了時刻、バイト数及びパケット数を更新する必要がある。
図2に示した例のように非属性情報をフローレコード内に記憶させている場合、フローレコードを集約する方法としては、以下の2つの方法がある。第1の方法は、新たに収集されたパケットが記憶されたメモリ領域を、フローレコードを集約するメモリ領域とする(図4において2番目のパケットを6番目のパケットに統合)方法である。第2の方法は、フローレコードが記憶されているメモリ領域をそのまま、フローレコードを集約するメモリ領域とする(図4において6番目のパケットを2番目のパケット情報に統合)方法である。上述した2つの方法において、非属性情報の更新にかかる処理量は変わらない。なお、図4は、第1の方法の場合を示している。
この更新の結果、フローレコードの非属性情報は以下に示す値となる。なお、上述した2つの方法のいずれを利用するかに応じ、以下に示す値の非属性情報が記憶されるメモリ領域は異なる。
・フロー開始時刻:2番目のパケットが収集された時刻
・フロー終了時刻:6番目のパケットが収集された時刻
・バイト数:2番目のパケットのバイト数と6番目のパケットのバイト数とを合計したサイズ
・パケット数:2
なお、上述した第1の方法の場合、及び、図3に示した例のように共用記憶部12a以外のメモリ領域に非属性情報を記憶させている場合には、フローレコードが記憶されていたメモリ領域から、新たに収集されたパケットが記憶されたメモリ領域へ管理情報をコピーする必要がある。
・フロー終了時刻:6番目のパケットが収集された時刻
・バイト数:2番目のパケットのバイト数と6番目のパケットのバイト数とを合計したサイズ
・パケット数:2
なお、上述した第1の方法の場合、及び、図3に示した例のように共用記憶部12a以外のメモリ領域に非属性情報を記憶させている場合には、フローレコードが記憶されていたメモリ領域から、新たに収集されたパケットが記憶されたメモリ領域へ管理情報をコピーする必要がある。
また、上述した第1の方法の場合、新たに収集されたパケットが記憶されたメモリ領域へ、非属性情報の集約や管理情報のコピーが行われた後、フローレコードが記憶されていたメモリ領域は、上書可能状態に遷移する。
ここで、第2の上書回避方法では、共用記憶部12aに記憶されたフローレコードの属性情報と同一の属性情報を含むパケットが新たに収集された場合、非属性情報の集約や管理情報のコピーが必ず発生してしまう。
これを回避するために、通常時において、フロー情報生成管理部12は、収集されたパケットが記憶されたメモリ領域を利用してフローレコードを蓄積していく。それとともに、フロー情報生成管理部12は、そのフローレコードの属性情報と同一の属性情報を含む最後に収集されたパケットが記憶されたメモリ領域のメモリ番地を、フローレコード内の管理情報に記憶させておく。
そして、共用記憶部12aのメモリ領域の残余量が所定値以下となった場合に、フロー情報生成管理部12は、記憶されていたフローレコードの非属性情報を、管理情報に記憶させておいたメモリ番地のメモリ領域へ集約する。以降、この方法のことを「第3の上書回避方法」という。
なお、第3の上書回避方法でも、上述した第2の上書回避方法と同様に、非属性情報の集約や管理情報のコピーが行われた後、フローレコードが記憶されていたメモリ領域は、上書可能状態に遷移する。
上述した第1〜第3の上書回避方法は、連続したメモリ領域を上書可能状態とし、新たに収集されるパケットを連続したメモリ領域に記憶させることができるようにするための方法である。例えば、共用記憶部12aのメモリ領域の実装方法としてリング型のメモリ領域を想定した場合、使用状態となっているメモリ領域との距離が最も近いメモリ領域から順番に上書可能状態にしていくための方法である。そのために、先に収集されたパケットが記憶されていたメモリ領域から順番に上書可能状態に遷移させる。
上述した第1〜第3の上書回避方法以外にも、フローレコードが記憶されたメモリ領域が、新たに収集されたパケットによって上書きされるのを回避する方法がある。
例えば、共用記憶部12aに記憶されたフローレコードの属性情報と同一の属性情報を含むパケットが新たに収集された場合、そのフローレコードの非属性情報が記憶されているメモリ領域を、新たに収集されたパケットの非属性情報を含めて上書きする。それとともに、その新たに収集されたパケットが記憶されたメモリ領域を使用状態から上書可能状態に変更する。以降、この方法のことを「第4の上書回避方法」という。
第4の上書回避方法においては、管理情報のコピーが発生せず、フローレコードの管理という面から見れば効率的ではある。しかし、新たにパケットが収集される度に、メモリ領域が使用状態か上書可能状態か検査する必要があるというデメリットがある。また、連続したメモリ領域を使用することができなくなるというデメリットもある。
以上が、収集されたパケットが記憶された共用記憶部12aのメモリ領域を、フローレコードを記憶させるメモリ領域として用いる方法の詳細である。
ここで、パケットの情報を集約してフロー情報を生成する際には、新たに収集されたパケットに含まれる属性情報が、どのフローレコードの属性情報と一致するかを検査する必要がある。この場合、フロー情報生成管理部12は、新たに収集されたパケットのフローキー(例えば、上述した5タプル)と同じ値を持つメモリ領域を検索する必要がある。これを実現するための方法としては様々なものが考えられるが、一例としてハッシュ値を利用する方法がある。
図5は、図1に示したフロー情報生成管理部12がハッシュ値を利用してメモリ領域を検索する方法を説明するための図である。
フロー情報生成管理部12は、収集されたパケットが共用記憶部12aに記憶されると、記憶されたパケットのフローキーのハッシュ値を算出する。算出されたハッシュ値は、共用記憶部12aのメモリ領域のメモリ番地を管理するための管理用メモリ領域において、インデックスとして利用される。なお、管理用メモリ領域は、アプリケーション側で管理されている。以降、このインデックスのことをハッシュインデックスという。
ここで、管理用メモリ領域に参照先のメモリ番地が記録されていない場合、ハッシュ値を算出したフローキーが記憶されているメモリ領域(フロー情報化しようとしているパケットが記憶されているメモリ領域)のメモリ番地を、参照先メモリ番地として管理用メモリ領域に記録する。
一方、管理用メモリ領域に参照先メモリ番地が記録されている場合には、ハッシュ値を算出したフローキーが記憶されているメモリ領域のメモリ番地を参照先メモリ番地とする管理用メモリ領域を用いる。
なお、上述した第2の上書回避方法及び第3の上書回避方法において、フローレコードを記憶しているメモリ領域が変更になった場合、ハッシュインデックスからの参照先メモリ番地も変更する必要がある。
第2の上書回避方法において、フローレコードを記憶しているメモリ領域の変更は、パケットの収集を契機として行われる。この場合、フローレコードが記憶されているメモリ領域は、新たに収集されたパケットが記憶されたメモリ領域と同一である。そのため、フローレコードが記憶されるメモリ領域のメモリ番地は、容易に取得することができる。従って、第2の上書回避方法においては、「パケットの収集→ハッシュ値の算出→変更前のメモリ領域に記憶されたフローレコードを変更後のメモリ領域へ集約→変更前のメモリ領域を上書可能状態へ変更→ハッシュインデックスの参照先のメモリ番地を変更後のメモリ領域のメモリ番地へ変更」という手順となる。
一方、第3の上書回避方法において、フローレコードを記憶しているメモリ領域の変更は、パケットの収集を契機として行われるとは限らない。また、新たに収集されたパケットが記憶されたメモリ領域が、フローレコードを記憶しているメモリ領域であるとも限らない。従って、ハッシュインデックス側では、参照先メモリ番地としてフローレコードが記憶されているメモリ領域のメモリ番地を記憶する。それとともに、そのフローレコードの管理情報内で参照元となるハッシュインデックスのメモリ番地を記憶する。
これにより、第3の上書回避方法を利用する場合、フローレコードが記憶されているメモリ領域が変更された場合、「変更前のメモリ領域に記憶されたフローレコードを変更後のメモリ領域へ集約→変更前のメモリ領域を上書可能状態に変更→ハッシュインデックスの参照先を変更後のメモリ領域のメモリ番地へ変更」という手順になる。
なお、図5に示したように、共用記憶部12a以外の場所にハッシュインデックスを記憶させる場合、第3の上書回避方法の変形例として、同一のフローで最後に収集されたパケットが記憶されたメモリ領域のメモリ番地を2番目の参照先としてハッシュインデックス側に記憶させておいてもよい。
この場合、フローレコードの管理情報内にハッシュインデックスのメモリ番地を記憶させておく必要はなく、「変更前のメモリ領域のフローレコードを変更後のメモリ領域へ集約→変更前のメモリ領域を上書可能状態に変更→ハッシュインデックスの2番目の参照先を1番目の参照先に変更→2番目の参照先を削除」という手順になる。
また、ハッシュ値を用いた場合、コリジョンが発生する可能性がある。その場合は、ポインタのリストやツリー構造を用いて、そのリストやツリー構造を辿ることによって該当するフローレコードを検索できるようにすればよい。この方法は、チェーン法などといわれる一般的な方法である。この場合、フローレコードの管理情報には、このためのポインタ(参照先メモリ番地)も記憶させておく必要がある。
次に、本実施形態におけるフローレコードのデータ構造について説明する。
図6は、図1に示した共用記憶部12aに記憶されたフローレコードのデータ構造の一例を示す図である。
VLAN(Virtual LAN)やMPLS(Multi−Protocol Label Switching)等を使っていないネットワークからパケットを収集する場合、IPv4におけるOptionフィールドまたはIPv6におけるExtension Headerがパケットに含まれない限り、イーサネットヘッダからL4ヘッダまでは(図中網掛けされていない部分)、フローレコードの属性情報として何ら変更を加えることなく利用することができる。
図6では図示されていないが、VLANが存在するネットワークではイーサネットヘッダと、IPv4ヘッダまたはIPv6ヘッダとの間にVLAN Tagの領域が存在する場合がある。また、MPLSが存在するネットワークではMPLSの領域が存在する場合がある。これらの領域の有無は、収集されたパケットを共用記憶部12aに記憶させる前に判断しておけばよい。
また、図6では図示されていないがICMPヘッダ、ICMPv6ヘッダ、IGMP等がL4ヘッダ内に含まれていてもよい。
フローレコードが図6に示したデータ構造であり、VLANやMPLSがないネットワークからパケットが収集された場合、フロー情報生成管理部12は、まず、IPv4におけるOptionフィールドまたはIPv6におけるExtension Header等のヘッダ拡張領域が存在しているかどうかを確認する。
ヘッダ拡張領域が存在しない場合は、そのパケットには一切変更を加えない。一方、ヘッダ拡張領域が存在した場合には、ヘッダ拡張領域で示された内容を処理した後に、そのヘッダ拡張領域を削除する。これにより、L4ヘッダ以降の位置が移動する。
図7は、図1に示したフロー情報生成管理部12の動作を説明するためのフローチャートである。ここでは、収集されるパケットは、IPv4またはIPv6に対応しており、IPよりも上位のプロトコルとしてTCP、UDP、ICMP、IGMP、ICMPv6を処理するパケットである。また、収集されるパケットは、VLANやMPLSを処理しない。
フロー情報生成管理部12は、収集されたパケットの先頭から(0バイト目からではなく、1バイト目からカウントアップして)13バイト目〜14バイト目のイーサネットヘッダによって示されるイーサネットのタイプを判定する(ステップS1)。具体的には、イーサネットのタイプの値がIPv4を示す0x8000であるか、IPv6を示す0x86DDであるか、それ以外であるかを判定する。
ステップS1の判定の結果、イーサネットのタイプがIPv4またはIPv6でない場合、処理を終了する。この場合、そのパケットに含まれる情報は、そのままでは属性情報としては利用できない情報であるため、基本的には破棄される。但し、属性情報として記憶しておく必要がないが、後続の処理が可能な場合には、後続の情報を解析してフローレコードの属性情報として扱ってもよい。
ステップS1における判定の結果、イーサネットのタイプがIPv4である場合、フロー情報生成管理部12は、IPv4ヘッダに含まれるIPヘッダレングスフィールドの値を確認する(ステップS2)。
ステップS2の確認の結果、IPヘッダレングスフィールドの値が5(20Byteを意味する)である場合、フロー情報生成管理部12は次に、このパケットがフラグメントされているかどうかを確認する(ステップS3)。なお、フラグメントしているかどうかは、IP Flagフィールドを参照することによって判断される。具体的には、IP FlagフィールドのMF(More Fragment)の値が0であり、Fragment Offsetの値が0である場合はフラグメントされていないことを示している。それ以外の場合はフラグメントされている判断される。
ステップS3の確認の結果、このパケットがフラグメントされていない場合、フロー情報生成管理部12は、プロトコル(Protocol)という変数にIPv4ヘッダのプロトコルフィールドの値を代入する(ステップS4)。
一方、ステップS1における判定の結果、イーサネットのタイプがIPv6である場合には、フロー情報生成管理部12は、プロトコル変数にネクストヘッダのフィールド(ip6_nxt)の値を代入する(ステップS5)。
そして、フロー情報生成管理部12は、プロトコル変数を確認する(ステップS6)
ステップS6の確認の結果、プロトコル変数がTCP(IPPROTO_TCP)、UDP(IPPROTO_UDP)、ICMP(IPPROTO_ICMP)、IGMP(IPPROTO_IGMP)、ICMPv6(IPPROTO_ICMPV6)を示す場合、フロー情報生成管理部12は、収集されたパケットの先頭から所定のサイズを共用記憶部12aに記憶させる(ステップS7)。つまり、この場合、収集されたパケットのイーサネットヘッダ、IPヘッダ(IPv4ヘッダまたはIPv6ヘッダ)、L4ヘッダはそのまま、フローレコードの属性情報として利用することができる。
ステップS6の確認の結果、プロトコル変数がTCP(IPPROTO_TCP)、UDP(IPPROTO_UDP)、ICMP(IPPROTO_ICMP)、IGMP(IPPROTO_IGMP)、ICMPv6(IPPROTO_ICMPV6)を示す場合、フロー情報生成管理部12は、収集されたパケットの先頭から所定のサイズを共用記憶部12aに記憶させる(ステップS7)。つまり、この場合、収集されたパケットのイーサネットヘッダ、IPヘッダ(IPv4ヘッダまたはIPv6ヘッダ)、L4ヘッダはそのまま、フローレコードの属性情報として利用することができる。
それ以外の場合は、処理を終了する。この場合、上述のしたようにパケットに含まれる情報の解析を行う。その解析の結果、パケット自体を破棄するか、または、属性情報として記憶できない領域を削除し、削除された領域の分だけ、後続の情報を移動させる。
ここで、上述した所定の送信条件(1)〜(4)を満足し、フロー情報受信装置へフロー情報を送信することが可能な状態になった場合を考えてみる。この場合、送信すべきフローレコードが記憶されているメモリ領域は、連続したメモリ領域となっていない可能性が高い。しかし、本実施形態においては、フローレコードを送信する際、送信対象のフローレコード用に新たにメモリ領域を作成し、作成されたメモリ領域に送信対象のフローレコードをコピーするということは行わない。本実施形態では、例えばwritevシステムコールの動作に代表されるような複数のメモリ領域を同時に出力する方法を用いる。
図8は、図1に示したフロー情報生成管理部12がフローレコードを送信する動作を説明するための図である。
図8に示すように、アプリケーション(例えば、NetFlowやIPFIX)のプロトコルに応じたヘッダ情報を記憶させるメモリ領域(送出ヘッダ情報領域)をアプリケーション側に設けておく。そして、フロー情報生成管理部12は、フローレコードとヘッダ情報とを合わせてフロー情報送信部13へ出力する。なお、ヘッダ情報は、そのヘッダ情報とともに送信されるフローレコードに応じ、送信の度に更新される。例えば、IPFIXの場合であれば、シーケンス番号(Sequence Number)、タイムスタンプ(Export Time)、IPFIXメッセージの長さ(Length)が、送信されるフローレコードに応じ、送信の毎に更新される。
送出ペイロードインデックスには、送信されることが確定したフローレコードのフィールドまたはフィールドの集合が記憶されたメモリ領域のメモリ番地が記憶されている。
なお、パケットのヘッダに含まれていた時のサイズと、NetFlowやIPFIXの形式でパケット化する際のサイズとが異なるフィールドが存在する場合がある。例えば、IPv4やIPv6ヘッダのバージョンを示すバージョンフィールドの長さは、収集されたパケットにおいては4ビットである。しかし、NetFlowやIPFIXの形式で送信する場合には、このパージョンフィールドの長さを1バイトとする必要がある。
この場合、メモリ領域のサイズの変更を行う必要があるため、情報のサイズを変更した後に、その変更された情報を記憶させるためのメモリ領域を別途用意しておく必要がある。そして、その別途用意されたメモリ領域に情報をコピーまたは移動し、その別途用意されたメモリ領域の該当するフィールドの位置を送出ペイロードインデックスから参照できるようにしておく必要がある。
このように本実施形態において、ネットワークを流れる複数のパケットを収集して記憶し、記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成するフロー情報生成装置10は、収集されたパケットを共用記憶部12aのメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、属性情報と非属性情報とを対応付けて記憶させる。
そのため、フロー情報を効率的に生成することが可能となる。
また、フロー情報を送信する際も共用記憶部12aに記憶されたフローレコードを、コピーすることなく、フロー情報受信装置へ送信する。そのため、フロー情報の生成だけではなく、フロー情報の生成からフロー情報の送信までを効率的に行うことを可能にする。
なお、本発明においては、フロー情報生成装置内の処理は上述の専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムをフロー情報生成装置にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムをフロー情報生成装置に読み込ませ、実行するものであっても良い。フロー情報生成装置にて読取可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、フロー情報生成装置に内蔵されたHDDなどを指す。
10 フロー情報生成装置
11 パケット収集部
12 フロー情報作成管理部
12a 共用記憶部
13 フロー情報送信部
20 ネットワーク
11 パケット収集部
12 フロー情報作成管理部
12a 共用記憶部
13 フロー情報送信部
20 ネットワーク
Claims (9)
- ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置であって、
所定のサイズのメモリ領域を備えた記憶部と、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させるフロー情報生成管理部と、を有するフロー情報生成装置。 - 請求項1に記載のフロー情報生成装置において、
前記フロー情報生成管理部は、前記記憶部に記憶された前記属性情報である記憶済属性情報と同一の前記属性情報を含む同一属性パケットが新たに収集された場合、当該同一属性パケットを前記記憶部に記憶させるとともに、当該同一属性パケットが記憶されたメモリ領域のうち、前記属性情報以外の部分が記憶されたメモリ領域を、前記記憶済属性情報に対応する前記非属性情報に当該同一属性パケットに対応する前記非属性情報を含めた情報で上書きする上書き動作を実行するフロー情報生成装置。 - 請求項2に記載のフロー情報生成装置において、
前記フロー情報生成管理部は、
前記記憶部のメモリ領域の残余量を測定し、
前記記憶部のメモリ領域の残余量が所定の値以下となった場合に、前記上書き動作を実行するフロー情報生成装置。 - 所定のサイズのメモリ領域を備えた記憶部を有し、ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置における記憶方法であって、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる処理を有する記憶方法。 - 請求項4に記載の記憶方法において、
前記記憶部に記憶された前記属性情報である記憶済属性情報と同一の前記属性情報を含む同一属性パケットが新たに収集された場合、当該同一属性パケットを前記記憶部に記憶させるとともに、当該同一属性パケットが記憶されたメモリ領域のうち、前記属性情報以外の部分が記憶されたメモリ領域を、前記記憶済属性情報に対応する前記非属性情報に当該同一属性パケットに対応する前記非属性情報を含めた情報で上書きする上書き動作を実行する上書き処理をさらに有する記憶方法。 - 請求項5に記載の記憶方法において、
前記記憶部のメモリ領域の残余量を測定する処理をさらに有し、
前記上書き処理は、前記記憶部のメモリ領域の残余量が所定の値以下となった場合に、前記上書き動作を実行する記憶方法。 - 所定のサイズのメモリ領域を備えた記憶部を有し、ネットワークを流れる複数のパケットを収集して記憶し、該記憶した複数のパケットを所定の属性に基づいて集約することにより、同一の属性を持つパケット群であるフローの通信状態を示すフロー情報を生成し、前記フロー情報が、前記複数のパケットのそれぞれに含まれ、当該パケットの属性を特定する属性情報と、前記複数のパケットそれぞれに対応し、前記フロー情報を生成するために必要な非属性情報とから構成されるフロー情報生成装置に、
前記収集されたパケットを前記記憶部のメモリ領域に記憶させ、当該収集されたパケットが記憶されたメモリ領域のうち、前記属性情報以外の情報が記憶されたメモリ領域を、当該収集されたパケットに対応する前記非属性情報で上書きすることにより、当該収集されたパケットが記憶されたメモリ領域に、前記属性情報と前記非属性情報とを対応付けて記憶させる機能を実現させるためのプログラム。 - 請求項7に記載のプログラムにおいて、
前記フロー情報生成装置に、
前記記憶部に記憶された前記属性情報である記憶済属性情報と同一の前記属性情報を含む同一属性パケットが新たに収集された場合、当該同一属性パケットを前記記憶部に記憶させるとともに、当該同一属性パケットが記憶されたメモリ領域のうち、前記属性情報以外の部分が記憶されたメモリ領域を、前記記憶済属性情報に対応する前記非属性情報に当該同一属性パケットに対応する前記非属性情報を含めた情報で上書きする上書き動作を実行する上書き機能をさらに実現させるためのプログラム。 - 請求項8に記載のプログラムにおいて、
前記フロー情報生成装置に、
前記記憶部のメモリ領域の残余量を測定する機能をさらに実現させ、
前記上書き機能は、前記記憶部のメモリ領域の残余量が所定の値以下となった場合に、前記上書き動作を実行する機能であるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009195577A JP2011049757A (ja) | 2009-08-26 | 2009-08-26 | フロー情報生成装置、記憶方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009195577A JP2011049757A (ja) | 2009-08-26 | 2009-08-26 | フロー情報生成装置、記憶方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2011049757A true JP2011049757A (ja) | 2011-03-10 |
Family
ID=43835658
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009195577A Pending JP2011049757A (ja) | 2009-08-26 | 2009-08-26 | フロー情報生成装置、記憶方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2011049757A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114328319A (zh) * | 2021-12-30 | 2022-04-12 | 苏州盛科科技有限公司 | 一种过滤无效事件上报消息的方法、装置及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008219127A (ja) * | 2007-02-28 | 2008-09-18 | Nec Corp | ネットワーク品質計測装置、ネットワーク品質計測方法及びネットワーク品質計測プログラム |
-
2009
- 2009-08-26 JP JP2009195577A patent/JP2011049757A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008219127A (ja) * | 2007-02-28 | 2008-09-18 | Nec Corp | ネットワーク品質計測装置、ネットワーク品質計測方法及びネットワーク品質計測プログラム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114328319A (zh) * | 2021-12-30 | 2022-04-12 | 苏州盛科科技有限公司 | 一种过滤无效事件上报消息的方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757740B2 (en) | Aggregation of select network traffic statistics | |
| US11115297B2 (en) | Highly probable identification of related messages using sparse hash function sets | |
| US7787442B2 (en) | Communication statistic information collection apparatus | |
| JP7039685B2 (ja) | トラフィック測定方法、デバイス、およびシステム | |
| KR100997182B1 (ko) | 플로우 정보 제한장치 및 방법 | |
| US7580356B1 (en) | Method and system for dynamically capturing flow traffic data | |
| Trammell et al. | An introduction to IP flow information export (IPFIX) | |
| EP2240854B1 (en) | Method of resolving network address to host names in network flows for network device | |
| US11258703B1 (en) | Data plane for learning flows, collecting metadata regarding learned flows and exporting metadata regarding learned flows | |
| JP2016082333A (ja) | 情報処理システム、制御装置および制御装置の制御プログラム | |
| JP2006254134A (ja) | 通信統計収集装置 | |
| JP2007228513A (ja) | ネットワークシステム及びトラヒック情報集約装置 | |
| US20210399959A1 (en) | Highly probable identification of related messages using sparse hash function sets | |
| Trammell et al. | Flow aggregation for the ip flow information export (IPFIX) protocol | |
| KR20220029142A (ko) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 | |
| JP2011049757A (ja) | フロー情報生成装置、記憶方法及びプログラム | |
| KR20130069009A (ko) | Snmp 및 ipfix를 이용한 ccn 정보 생성 방법 및 그를 이용한 ccn 모니터링 방법 | |
| JP2010193055A (ja) | フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム | |
| JP2007228113A (ja) | トラフィックデータ集約装置およびトラフィックデータ集約方法 | |
| CN108737291B (zh) | 一种网络流量表示的方法及装置 | |
| KR20230142203A (ko) | 컨테이너 기반 네트워크 라이브 스트림을 분석할 수 있는 데이터 처리 장치 및 방법 | |
| JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
| Trammell et al. | RFC 7015: Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol | |
| Duffield et al. | Measurements of Data Plane Reliability and Performance | |
| JP2008211597A (ja) | フロー計測項目の自動選択機能を有するトラヒック計測方法、システム、トラヒック情報受信機器、トラヒック情報送信機器、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110616 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110708 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120803 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120828 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130108 |