CN105814842B - 信息处理装置和信息处理方法 - Google Patents
信息处理装置和信息处理方法 Download PDFInfo
- Publication number
- CN105814842B CN105814842B CN201380081335.4A CN201380081335A CN105814842B CN 105814842 B CN105814842 B CN 105814842B CN 201380081335 A CN201380081335 A CN 201380081335A CN 105814842 B CN105814842 B CN 105814842B
- Authority
- CN
- China
- Prior art keywords
- data
- rank
- micro
- burst
- decision condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 18
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000009825 accumulation Methods 0.000 claims abstract description 51
- 238000004891 communication Methods 0.000 claims description 32
- 238000011156 evaluation Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 description 45
- 238000000034 method Methods 0.000 description 12
- 238000004821 distillation Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001965 increasing effect Effects 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/067—Generation of reports using time frame reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
- H04L43/0829—Packet loss
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0882—Utilisation of link capacity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/30—Flow control; Congestion control in combination with information about buffer occupancy at either end or at transit nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
通知取得部(101)从设备(201)接收表示数据通信量的合计值和数据蓄积量的合计值中的至少任意一方的通知消息(240),其中,数据通信量的合计值是以1秒以上的合计时间为单位对以毫秒单位或微秒单位计测出的设备(201)中的数据通信量进行合计而得到的,数据蓄积量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的设备(201)中的数据蓄积量进行合计而得到的。判定部(104)对通知消息(240)所示的数据通信量的合计值和数据蓄积量的合计值中的至少任意一方进行分析,判定有无产生针对设备(201)的微突发流量。
Description
技术领域
本发明涉及判定是否产生了微突发流量的技术。
背景技术
在数据中心内或云服务等中,有时产生从客户端对服务器的访问集中而使通信数据量瞬间增大的现象(突发流量)。
特别地,以毫秒单位产生的现象被称作微突发流量(以下也称作微突发)。
当产生微突发流量时,产生分组丢失或延迟等,有时引起网络线路中的通信障碍。
作为检测这种微突发的技术,例如存在专利文献1所公开的技术和非专利文献1所公开的技术。
在专利文献1的技术中,以微秒捕捉监视对象设备的分组,以毫秒或微秒单位进行合计,由此来检测微突发。
并且,在非专利文献1中,以微秒或毫秒单位取得监视对象设备的状态,检测微突发。
现有技术文献
专利文献
专利文献1:日本特开2003-244238号公报
非专利文献
非专利文献1:Corvil Net http://bizex.goo.ne.jp/release/detail/27538/
发明内容
发明要解决的课题
在专利文献1所记载的以微秒捕捉分组并以微秒/毫秒进行合计的方法中,进行捕捉的收集装置与监视对象设备之间的网络线路的负荷增高,因此,需要利用专用线来连接收集装置和监视对象设备。
并且,在非专利文献1所记载的以微秒/毫秒取得监视对象设备的状态的方法中,由于收集期间为微小间隔,因此存在监视对象设备的负荷较高这样的课题。
本发明的主要目的在于解决上述课题,主要目的在于减轻微突发流量的检测所需要的负荷。
用于解决课题的手段
本发明的信息处理装置的特征在于,该信息处理装置具有:接收部,从通信装置接收表示数据通信量的合计值和数据蓄积量的合计值中的至少任意一方的合计值信息,其中,所述数据通信量的合计值是以1秒以上的合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据通信量进行合计而得到的,所述数据蓄积量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据蓄积量进行合计而得到的;以及判定部,其对所述合计值信息所示的数据通信量的合计值和数据蓄积量的合计值中的至少任意一方进行分析,判定有无产生针对所述通信装置的微突发流量。
发明效果
根据本发明,使用以1秒以上的合计时间为单位进行合计而得到的数据通信量的合计值和数据蓄积量的合计值中的至少任意一方来判定有无产生微突发流量,因此,能够减轻微突发流量的检测所需要的负荷。
附图说明
图1是示出实施方式1的设备群和微突发检测装置的图。
图2是示出实施方式1的通知取得表的例子的图。
图3是示出实施方式1的级别判定条件信息的例子的图。
图4是示出实施方式1的微突发判定条件信息的例子的图。
图5是示出实施方式2的设备群和微突发检测装置的图。
图6是示出实施方式3的设备群和微突发检测装置的图。
图7是示出实施方式1的微突发检测装置的动作例的流程图。
图8是示出实施方式1的微突发检测装置的动作例的流程图。
图9是示出实施方式1~3的微突发检测装置的硬件结构例的图。
具体实施方式
实施方式1
在本实施方式和以后的实施方式中,对在SNMP(Simple Network ManagementProtocol:简单网络管理协议)等现有的网络监视中进行的秒/分单位的状态取得中简易地检测微突发的结构进行说明。
图1示出本实施方式的微突发检测装置100和作为微突发检测装置100进行微突发检测的对象的设备群。
在图1中,网络设备200、网络设备201和网络设备202例如分别是网络系统中使用的开关或路由器等设备。
下面,将网络设备200、网络设备201、网络设备202分别称作设备200、设备201、设备202。
设备200、设备201和设备202分别相当于通信装置的例子。
另外,在图1中,仅图示出设备200、设备201和设备202这3台,但是,设备的台数不限于3台。
缆线210是连接设备200和设备201的缆线,例如是LAN(Local Area Network:局域网)缆线。
缆线211是连接设备201和设备202的缆线,例如是LAN缆线。
缆线212是连接设备201和微突发检测装置100的缆线,例如是LAN缆线。
另外,虽然省略了图示,但是,设备200和微突发检测装置100、设备202和微突发检测装置100也通过缆线连接。
在设备201中,缓存220是蓄积通过缆线210而从设备200接收到的分组230的存储区域。
缓存220中蓄积的分组230被发送到设备202。
缓存221是蓄积通过缆线211而从设备202接收到的分组230的存储区域。
缓存221中蓄积的分组230被发送到设备200。
在图1中,仅图示出设备201的缓存220和缓存221,但是,在设备200和设备202中也设置有与缓存220和缓存221相当的缓存。
并且,在设备201中,通知消息240是用于在与规定监视项目有关的合计值超过阈值的情况下将合计值通知给微突发检测装置100的数据。
设备201以毫秒单位或微秒单位计测设备201中的数据通信量(数据接收量、数据发送量),以规定的合计时间为单位对计测值进行合计。
并且,设备201以毫秒单位或微秒单位计测设备201中的数据蓄积量,以规定的合计时间为单位对计测值进行合计。
然后,设备201在合计值超过阈值的情况下,向微突发检测装置100发送用于通知超过阈值的合计值的通知消息240。
合计时间是1秒以上的时间,例如可以是10秒或1分钟。
并且,合计值例如是计测值的平均值。
通知消息240例如是SNMP陷阱。
数据库250是记录设备201的状态的MIB(Management information base:管理信息库)等数据库。
另外,设备200、设备202也具有数据库250,并且,在合计值超过阈值的情况下,向微突发检测装置100发送通知消息240。
微突发检测装置100从设备200接收通知消息240,对通知消息240所示的合计值进行分析,判定有无产生针对设备200的微突发。
并且,微突发检测装置100从设备201接收通知消息240,对通知消息240所示的合计值进行分析,判定有无产生针对设备201的微突发。
并且,微突发检测装置100从设备202接收通知消息240,对通知消息240所示的合计值进行分析,判定有无产生针对设备202的微突发。
另外,下面,对微突发检测装置100根据来自设备201的通知消息240判定有无产生针对设备201的微突发的例子进行说明。
微突发检测装置100相当于信息处理装置的例子。
在微突发检测装置100中,通知取得部101从设备201接收通知消息240,将接收到的通知消息240存储在通知取得表存储部110中,并且输出到判定部104。
通知消息相当于合计值信息的例子。
并且,通知取得部101与后述废弃数取得部102一起相当于接收部的例子。
通知取得表存储部110存储有图2所示的通知取得表。
在通知取得表中记述从设备201接收到的通知消息240所示的合计值。
通知取得表将在后面详细叙述。
废弃数取得部102从设备201定期接收表示设备201中的分组废弃数(数据废弃量)的分组废弃数信息,将接收到的分组废弃数信息输出到时间差分评价部103。
分组废弃数信息也相当于合计值信息的例子。
并且,废弃数取得部102也相当于接收部的例子。
时间差分评价部103存储从上次接收分组废弃数信息起的经过时间,运算每单位时间的分组废弃数。
然后,时间差分评价部103将每单位时间的分组废弃数输出到判定部104。
级别判定条件信息存储部120存储有图3所示的级别判定条件信息。
级别判定条件信息定义用于判定数据接收量的级别、数据发送量的级别、数据蓄积量的级别、分组废弃数的级别的级别判定条件。
级别判定条件信息将在后面详细叙述。
微突发判定条件信息存储部130存储有图4所示的微突发判定条件信息。
在微突发判定条件信息中,通过监视项目的级别的组合来定义用于判定有无产生微突发的微突发判定条件。
微突发判定条件信息将在后面详细叙述。
判定部104参照级别判定条件信息存储部120的级别判定条件信息来判定级别,根据判定出的级别和微突发判定条件信息存储部130的微突发判定条件信息,判定设备201是否产生了微突发。
然后,判定部104在判定为产生了微突发的情况下,向警告通知部105通知产生了微突发。
警告通知部105在被判定部104通知产生了微突发的情况下,向外部(例如操作员使用的PC)通知警告。
接着,对通知取得表(图2)进行详细说明。
在本实施方式中,在一个通知消息中记述有设备201中的数据接收量的合计值、设备201中的数据发送量的合计值、设备201中的数据蓄积量的合计值中的任意一方。
在通知取得表中,按照每个通知消息分配记录,在各记录中记述通知消息所记载的信息。
在图2中,“日期时间”表示设备201中得到超过阈值的合计值的日期时间。
“项目”表示合计值超过阈值的监视项目。
监视项目是数据接收量、数据发送量、数据蓄积量(设备201的缓存中滞留的分组数)、分组废弃数。
监视项目中的数据接收量、数据发送量、数据蓄积量利用通知消息240通知合计值。
并且,分组废弃数不利用通知消息通知合计值,但是包含在监视项目中。
并且,“值”表示合计值相对于上限值的比率。
例如,第1行记录的“82%”表示与分配给设备201的频带的82%相当的数据接收量。
第2行记录的“71%”表示与设备201的缓存的容量的71%相当的数据蓄积量。
并且,“IP地址”表示通知消息的发送方的设备201的IP(Internet Protocol)地址。
接着,对级别判定条件信息(图3)进行详细说明。
级别判定条件信息按照每个监视项目(数据接收量、数据发送量、缓存中滞留的分组数、分组废弃数)定义用于决定级别的条件。
例如,在“数据接收量”中,在利用通知消息240通知频带的80%以上的合计值的情况下,判定为级别A。
并且,在利用通知消息240通知频带的60%以上且小于80%的合计值的情况下,判定为级别B。
在图3中,利用标准方差定义分组废弃数的级别判定条件,但是,也可以利用其它值来定义。
另外,图3的与“数据接收量”有关的级别判定条件相当于数据接收量级别判定条件的例子,与“数据发送量”有关的级别判定条件相当于数据发送量级别判定条件的例子。
并且,与“缓存中滞留的分组数”有关的级别判定条件相当于数据蓄积量级别判定条件的例子,与“分组废弃数”有关的级别判定条件相当于数据废弃量级别判定条件的例子。
接着,对微突发判定条件信息(图4)进行详细说明。
在微突发判定条件信息中,通过监视项目的级别的组合来定义用于判定有无产生微突发的微突发判定条件。
在图4的例子中,如果“数据接收量”的级别为A,则与其它监视项目的级别无关,判定为产生微突发。
并且,如果“数据接收量”的级别为B、“分组中滞留的分组数”的级别为A,则与其它监视项目的级别无关,判定为产生微突发。
另一方面,在“数据接收量”的级别、“数据发送量”的级别、“分组中滞留的分组数”的级别全部为C的情况下,与“分组废弃数”的级别无关,判定为未产生微突发。
另外,虽然在图4中没有图示,但是,也可以定义如下的条件:如果“数据发送量”的级别为A,则与其它监视项目的级别无关,判定为产生微突发。
并且,也可以定义如下的条件:如果“分组中滞留的分组数”的级别为A,则与其它监视项目的级别无关,判定为产生微突发。
接着,对本实施方式的动作进行说明。
从设备200向设备201发送的分组暂时蓄积在设备201的缓存220中。
缓存220中蓄积的分组以FIFO(First In First Out:先进先出)方式逐次通过缆线211送出到设备202。
设备201对数据接收量、数据发送量、数据蓄积量(缓存220中滞留的分组数)进行计测,将计测值记录在数据库250中。
这些数据接收量、数据发送量、数据蓄积量是在产生了微突发的情况下值瞬间增大/变化的项目,为了检测微突发,在设备201中以毫秒单位或微秒单位计测数据接收量、数据发送量、数据蓄积量。
然后,设备201以合计时间为单位对数据接收量的计测值、数据发送量的计测值、数据蓄积量的计测值进行合计,得到合计值。
并且,在设备201中,设定针对数据接收量的合计值的阈值、针对数据发送量的合计值的阈值、针对数据蓄积量的合计值的阈值。
然后,设备201在数据接收量的合计值、数据发送量的合计值、数据蓄积量的合计值超过各自的阈值的瞬间发送通知消息240。
在通知消息240中包含有检测到合计值超过阈值的日期时间、合计值超过阈值的项目、超过阈值的合计值。
并且,当设备201接收到大量分组时,有时缓存220中没有空闲而废弃分组。
在设备201中,还对该分组废弃数进行合计,将分组废弃数记录在数据库250中。
然后,设备201定期向微突发检测装置100发送用于通知分组废弃数的分组废弃数信息。
作为微突发检测装置100检测产生了微突发的方法,对以下2个方法进行说明。
第1方法是微突发检测装置100仅利用来自设备201的通知消息240来检测微突发的方法。
第2方法是微突发检测装置100利用通知消息240和分组废弃数信息来检测微突发的方法。
首先,使用图7的流程图对第1方法中的微突发检测装置100的动作进行说明。
如上所述,当设备201发送通知消息240后,通知取得部101接收通知消息240(S101)。
并且,通知取得部101在通知取得表存储部110的通知取得表中存储通知消息240。
并且,通知取得部101向判定部104输出通知消息240。
接着,判定部104从通知取得部101输入通知消息240,根据通知消息240所示的项目和合计值以及级别判定条件信息的级别判定条件,判定该项目的级别(S102)。
例如,如图2的第1行的记录那样,在示出项目为数据接收量、值为82%的通知消息240的情况下,判定部104判定为级别A。
判定部104从通知取得表中检索记述有从在S101中接收到的通知消息240中记述的日期时间起的规定窗口时间内的日期时间的通知消息,即与在S101中接收到的通知消息240相同的发送方的通知消息(S103)。
窗口时间是任意时间,例如在10秒~1分钟的范围内。
在本实施方式中,在一个通知消息中仅记述一个监视项目的合计值,但是,如图4所示,微突发判定条件由多个监视项目的级别的组合来定义。
因此,仅利用在S101中接收到的通知消息,可能无法适当判定有无产生微突发。
因此,判定部104在S103中检索是否存在记述有其它监视项目的合计值的通知消息。
在S103中能够检索到通知消息的情况下,与S102同样,判定部104判定检索到的通知消息所示的项目的级别(S104)。
接着,判定部104根据在S102中判定出的级别和在S104中判定出的级别,判断微突发判定条件信息中定义的微突发判定条件是否成立(S105)。
在判断结果是能够判断为微突发判定条件成立而产生了微突发的情况下(S106:是),判定部104向警告通知部105通知产生了微突发的意思,警告通知部105通知产生了微突发的意思。
然后,警告通知部105在从判定部104接收到通知的情况下,向与外部连接的装置(例如PC)输出警告(S107)。
另一方面,在能够判断为微突发判定条件不成立而未产生微突发的情况下(S106:否),判定部104结束处理。
接着,使用图8的流程图对第2方法中的微突发检测装置100的动作进行说明。
首先,废弃数取得部102从设备201接收分组废弃数信息(S201),将接收到的分组废弃数信息输出到时间差分评价部103。
接着,时间差分评价部103计算每单位时间的分组废弃数的值(S202)。
更具体而言,时间差分评价部103求出在S201的阶段输入的分组废弃数信息的分组废弃数的值与紧前输入的分组废弃数信息的分组废弃数的值之间的差分值,通过将差分值除以经过时间,计算每单位时间的分组废弃数。
然后,时间差分评价部103将每单位时间的分组废弃数输出到判定部104。
接着,判定部104根据每单位时间的分组废弃数和级别判定条件信息的级别判定条件判定分组废弃数的级别(S203)。
然后,进行图7的S103以后的处理。
具体而言,判定部104从通知取得表中检索记述有从在S201中接收到的分组废弃数信息中记述的日期时间起的窗口时间内的日期时间的通知消息,即与在S201中接收到的分组废弃数信息相同的发送方的通知消息(S103)。
并且,与S102同样,判定部104判定在S103中检索到的通信消息所示的项目的级别(S104)。
然后,判定部104判定微突发判定条件是否成立(S105),在微突发判定条件成立的情况下(S106:是),判定部104向警告通知部105通知产生了微突发的意思,警告通知部105通知产生了微突发的意思。
然后,警告通知部105在从判定部104接收到通知的情况下,向与外部连接的装置(例如PC)输出警告(S107)。
这里,示出判定部104判定突发的例子。
在使用图2的级别判定条件信息、图3的微突发判定条件信息的情况下,例如假定在S101中接收到“数据接收量”的值为“频带的70%”这样的通知消息,在S103中检索到“缓存中滞留的分组数”的值为“缓存的95%”这样的通知消息。
该情况下,判定部104参照级别判定条件信息(图2),判定为“数据接收量”为级别B、“缓存中滞留的分组数”为级别A。
然后,判定部104参照微突发判定条件信息(图3),结果是判定为“数据接收量”的级别和“缓存中滞留的分组数”的级别与项目编号2的记录的判定条件一致。
然后,由于项目编号2的记录的突发判定为“是”(产生了突发),因此,判定部104判定为产生了微突发。
如上所述,在本实施方式中,能够利用SNMP陷阱接收在微突发产生时值瞬间成为有效的数据接收量、数据发送量、缓存中滞留的分组数,通过对接收到的值进行评价,检测微突发。
并且,在本实施方式中,在无法利用SNMP陷阱中的评价来检测微突发的情况下,也能够通过分组废弃数的评价来检测微突发,因此,能够提高微突发检测精度。
另外,以上设为在一个通知消息中仅记述有一个监视项目的合计值,但是,也可以在一个通知消息中记述多个监视项目的合计值。
实施方式2
在以上的实施方式1中,微突发检测装置100定期接收记述有分组废弃数的分组废弃数信息,但是,在本实施方式中,取而代之,微突发检测装置100接收记述有分组废弃数的通知消息来检测微突发。
另外,下面,对与实施方式1之间的差异进行说明。
以下未说明的事项与实施方式1相同。
图5示出本实施方式的微突发检测装置100的结构例。
在本实施方式中,利用通知消息(SNMP陷阱)取得包含分组废弃数的全部值,因此,不需要图1所示的废弃数取得部102、时间差分评价部103。
并且,在本实施方式中,在设备201中设定与分组废弃数有关的阈值。
在微突发检测装置100中,利用实施方式1所示的第1方法(图7)判定有无产生微突发。
如上所述,根据本实施方式,在利用通知消息取得全部项目的情况下,也能够判定有无产生微突发。
实施方式3
在以上的实施方式2中是利用通知消息通知全部项目的值,但是,在本实施方式中,对不利用通知消息而利用来自设备的日志来通知各项目的值的结构进行说明。
即,微突发检测装置100从设备201定期收集日志,通过对日志的内容进行评价,判定有无产生微突发。
另外,下面,对与实施方式1之间的差异进行说明。
以下未说明的事项与实施方式1相同。
图6示出本实施方式的微突发检测装置100的结构例。
日志取得部106从设备收集日志。
在本实施方式中,日志取得部106相当于接收部的例子。
事件提取部107存储从上次取得日志起的经过时间,并且,提取上次取得的日志与本次取得的日志的差分。
在由事件提取部107提取出的信息中记述有与实施方式1所示的通知消息相同的内容。
与实施方式1同样,设备201以毫秒单位或微秒单位计测各监视项目(数据接收量、数据发送量、数据蓄积量、数据废弃量)的值,并且以合计时间单位计算合计值。
然后,设备201在合计值超过阈值的情况下,将超过阈值的项目和合计值记录在日志260中。
即,在本实施方式中,代替在实施方式1中发送通知消息,设备201进行针对日志260的记录。
接着,对本实施方式的动作进行说明。
如上所述,设备201以毫秒单位或微秒单位计测各监视项目(数据接收量、数据发送量、数据蓄积量、数据废弃量)的值,并且以合计时间单位计算合计值,在合计值超过阈值的情况下,将超过阈值的项目和合计值记录在日志260中。
在微突发检测装置100中,日志取得部106定期取得设备201的日志260。
然后,日志取得部106将取得的日志260输出到事件提取部107。
事件提取部107取得本次取得的日志与紧前取得的日志的差分,作为新产生的事件进行提取。
事件提取部107生成表示提取出的差分部分的信息。
具体而言,如图2所示,事件提取部107生成由日期时间、项目、值、IP地址构成的信息。
然后,事件提取部107将生成的信息输出到判定部104。
以后,进行图7的S102~S107的处理。
S102~S107的处理与实施方式1所示的处理相同,因此省略说明。
如上所述,在本实施方式中,能够不根据通知消息而根据设备内的日志来检测产生了微突发的情况。
例如当利用UDP(User Datagram Protocol:用户数据报协议)发送通知消息时,有时通知消息的接收失败,但是,通过利用日志能够解决该问题。
最后,参照图9对实施方式1~3所示的微突发检测装置100的硬件结构例进行说明。
微突发检测装置100是计算机,能够通过程序实现微突发检测装置100的各要素。
作为微突发检测装置100的硬件结构,在总线上连接运算装置901、外部存储装置902、主存储装置903、通信装置904、输入输出装置905。
运算装置901是执行程序的CPU(Central Processing Unit)。
外部存储装置902例如是ROM(Read Only Memory)、闪存、硬盘装置。
“~存储部”例如由外部存储装置902实现。
主存储装置903是RAM(Random Access Memory)。
并且,通知取得部101、废弃数取得部102、日志取得部106使用通信装置904从设备201取得信息。
输入输出装置905例如是鼠标、键盘、显示装置等。
程序通常存储在外部存储装置902中,在加载到主存储装置903的状态下,依次读入到运算装置901来执行。
程序是实现作为图1所示的“~部”(除了“~存储部”以外,以下相同)说明的功能的程序。
进而,在外部存储装置902中还存储有操作系统(OS),OS的至少一部分被加载到主存储装置903,运算装置901执行OS,并且执行实现图1所示的“~部”的功能的程序。
并且,在实施方式1~3的说明中,在主存储装置903中作为文件存储有表示作为“~的判断”、“~的判定”、“~的取得”、“~的检测”、“~的提取”、“~的分析”、“~的设定”、“~的检索”、“~的选择”、“~的生成”、“~的计算”、“~的输入”、“~的输出”等说明的处理结果的信息、数据、信号值、变量值。
并且,也可以在主存储装置903中作为文件存储加密密钥、解密密钥、随机值、参数。
另外,图9的结构只不过示出微突发检测装置100的硬件结构的一例,微突发检测装置100的硬件结构不限于图9所述的结构,也可以是其它结构。
并且,通过实施方式1~3所示的顺序,能够实现本发明的信息处理方法。
标号说明
100:微突发检测装置;101:通知取得部;102:废弃数取得部;103:时间差分评价部;104:判定部;105:警告通知部;106:日志取得部;107:事件提取部;110:通知取得表存储部;120:级别判定条件信息存储部;130:微突发判定条件信息存储部;200:设备;201:设备;202:设备。
Claims (7)
1.一种信息处理装置,其特征在于,该信息处理装置具有:
接收部,其从通信装置接收通知消息,所述通信装置与所述信息处理装置通过网络进行连接,所述通知消息是表示数据通信量的合计值和数据蓄积量的合计值中的至少任意一方的合计值信息,其中,所述数据通信量的合计值是以1秒以上的合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据通信量由所述通信装置进行合计而得到的,所述数据蓄积量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据蓄积量由所述通信装置进行合计而得到的;以及
判定部,其对所述合计值信息所示的接收到的数据通信量的合计值和接收到的数据蓄积量的合计值中的至少任意一方进行分析,判定有无产生针对所述通信装置的微突发流量。
2.根据权利要求1所述的信息处理装置,其特征在于,
所述信息处理装置还具有:
级别判定条件信息存储部,其存储表示用于判定数据通信量的级别的数据通信量级别判定条件和用于判定数据蓄积量的级别的数据蓄积量级别判定条件的级别判定条件信息;以及
微突发判定条件信息存储部,其存储通过数据通信量的级别和数据蓄积量的级别中的至少任意一方定义了用于判定有无产生微突发流量的微突发判定条件的微突发判定条件信息,
在所述合计值信息中示出了数据通信量的合计值的情况下,所述判定部根据所述数据通信量级别判定条件和所述数据通信量的合计值判定数据通信量的级别,根据判定出的数据通信量的级别和所述微突发判定条件,判定有无产生针对所述通信装置的微突发流量,
在所述合计值信息中示出了数据蓄积量的合计值的情况下,所述判定部根据所述数据蓄积量级别判定条件和所述数据蓄积量的合计值判定数据蓄积量的级别,根据判定出的数据蓄积量的级别和所述微突发判定条件,判定有无产生针对所述通信装置的微突发流量。
3.根据权利要求2所述的信息处理装置,其特征在于,
所述微突发判定条件信息存储部存储通过数据通信量的级别与数据蓄积量的级别的组合定义了所述微突发判定条件的微突发判定条件信息,
在规定的窗口时间内由所述接收部接收到表示数据通信量的合计值的合计值信息和表示数据蓄积量的合计值的合计值信息的情况下,所述判定部根据所述数据通信量级别判定条件和所述数据通信量的合计值判定数据通信量的级别,根据所述数据蓄积量级别判定条件和所述数据蓄积量的合计值判定数据蓄积量的级别,根据判定出的数据通信量的级别与数据蓄积量的级别的组合以及所述微突发判定条件,判定有无产生针对所述通信装置的微突发流量。
4.根据权利要求3所述的信息处理装置,其特征在于,
所述接收部接收表示数据接收量的合计值和数据发送量的合计值中的至少任意一方的合计值信息,作为所述通信装置中的数据通信量的合计值,其中,所述数据接收量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据接收量进行合计而得到的,所述数据发送量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据发送量进行合计而得到的,
所述级别判定条件信息存储部存储表示用于判定数据接收量的级别的数据接收量级别判定条件和用于判定数据发送量的级别的数据发送量级别判定条件的级别判定条件信息,作为所述数据通信量级别判定条件,
所述微突发判定条件信息存储部存储通过数据接收量的级别、数据发送量的级别以及数据蓄积量的级别的组合定义了所述微突发判定条件的微突发判定条件信息,
在所述窗口时间内由所述接收部接收到表示数据接收量的合计值的合计值信息、表示数据发送量的合计值的合计值信息以及表示数据蓄积量的合计值的合计值信息的情况下,所述判定部根据所述数据接收量级别判定条件和所述数据接收量的合计值判定数据接收量的级别,根据所述数据发送量级别判定条件和所述数据发送量的合计值判定数据发送量的级别,根据判定出的数据接收量的级别、数据发送量的级别以及数据蓄积量的级别的组合和所述微突发判定条件,判定有无产生针对所述通信装置的微突发流量。
5.根据权利要求2所述的信息处理装置,其特征在于,
所述接收部接收表示所述通信装置中的数据废弃量的合计值的合计值信息,
所述级别判定条件信息存储部存储表示用于判定数据废弃量的级别的数据废弃量级别判定条件的级别判定条件信息,
所述微突发判定条件信息存储部存储通过数据废弃量的级别与数据通信量的级别和数据蓄积量的级别中的至少任意一方的组合定义了所述微突发判定条件的微突发判定条件信息,
在规定的窗口时间内由所述接收部接收到表示数据废弃量的合计值的合计值信息以及表示数据通信量的合计值和数据蓄积量的合计值中的至少任意一方的合计值信息的情况下,所述判定部根据所述数据废弃量级别判定条件和所述数据废弃量的合计值判定数据废弃量的级别,根据判定出的数据废弃量的级别与数据通信量的级别和数据蓄积量的级别中的至少任意一方的组合、以及所述微突发判定条件,判定有无产生针对所述通信装置的微突发流量。
6.根据权利要求1所述的信息处理装置,其特征在于,
所述接收部接收表示超过阈值的数据通信量的合计值和超过阈值的数据蓄积量的合计值中的至少任意一方的合计值信息。
7.一种信息处理方法,其特征在于,
计算机从通信装置接收通知消息,所述通信装置与所述计算机通过网络进行连接,所述通知消息是表示数据通信量的合计值和数据蓄积量的合计值中的至少任意一方的合计值信息,其中,所述数据通信量的合计值是以1秒以上的合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据通信量由所述通信装置进行合计而得到的,所述数据蓄积量的合计值是以所述合计时间为单位对以毫秒单位或微秒单位计测出的所述通信装置中的数据蓄积量由所述通信装置进行合计而得到的,
所述计算机对所述合计值信息所示的接收到的数据通信量的合计值和接收到的数据蓄积量的合计值中的至少任意一方进行分析,判定有无产生针对所述通信装置的微突发流量。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2013/083147 WO2015087404A1 (ja) | 2013-12-11 | 2013-12-11 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105814842A CN105814842A (zh) | 2016-07-27 |
| CN105814842B true CN105814842B (zh) | 2018-12-28 |
Family
ID=53370747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380081335.4A Expired - Fee Related CN105814842B (zh) | 2013-12-11 | 2013-12-11 | 信息处理装置和信息处理方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9948532B2 (zh) |
| JP (1) | JP5963974B2 (zh) |
| CN (1) | CN105814842B (zh) |
| GB (1) | GB2535093C (zh) |
| WO (1) | WO2015087404A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6616230B2 (ja) * | 2016-04-07 | 2019-12-04 | APRESIA Systems株式会社 | ネットワーク装置 |
| US10972388B2 (en) * | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| JP2018191218A (ja) * | 2017-05-10 | 2018-11-29 | 富士通株式会社 | バースト検出プログラム、バースト検出方法、および情報処理装置 |
| US11165669B2 (en) * | 2017-05-28 | 2021-11-02 | Drivenets Ltd. | Provisioning of services in a communication network |
| JP7238993B2 (ja) * | 2019-07-23 | 2023-03-14 | 日本電信電話株式会社 | バーストトラフィック検知装置及び方法 |
| WO2021176670A1 (ja) * | 2020-03-05 | 2021-09-10 | 日本電信電話株式会社 | ネットワーク管理システム、エッジ装置、ネットワーク管理装置、及びプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN101483547A (zh) * | 2009-02-12 | 2009-07-15 | 中国人民解放军信息工程大学 | 一种网络突发事件度量评估方法及系统 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003244238A (ja) | 2002-02-15 | 2003-08-29 | Kddi Corp | トラヒック監視装置及びその方法、コンピュータプログラム |
| JP4061643B2 (ja) | 2002-12-11 | 2008-03-19 | ソニー株式会社 | 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム |
| JP4224508B2 (ja) * | 2006-12-26 | 2009-02-18 | 株式会社日立製作所 | トラヒック情報集約装置 |
| JP2010141655A (ja) | 2008-12-12 | 2010-06-24 | Yokogawa Electric Corp | ネットワーク監視装置 |
| JP2010245841A (ja) | 2009-04-06 | 2010-10-28 | Mitsubishi Electric Corp | ネットワーク管理方法、ネットワーク管理装置およびネットワーク機器 |
| US8477648B2 (en) * | 2010-02-16 | 2013-07-02 | Vss Monitoring, Inc. | Systems, apparatus, and methods for monitoring network capacity |
| JP2011172014A (ja) | 2010-02-18 | 2011-09-01 | Nippon Telegr & Teleph Corp <Ntt> | 監視制御方法、監視制御装置、通信経路の監視制御システム及びプログラム |
| US8879577B2 (en) * | 2010-02-18 | 2014-11-04 | Hitachi, Ltd. | Monitoring system, device, and method |
| EP3026853A3 (en) * | 2011-04-27 | 2016-10-19 | Nec Corporation | Communication device, communication system, method for detecting abnormal traffic |
| JP2013009139A (ja) | 2011-06-24 | 2013-01-10 | Nec Corp | ネットワーク監視システム、ネットワーク監視方法およびネットワーク監視プログラム |
| JP5821608B2 (ja) * | 2011-12-20 | 2015-11-24 | 富士通株式会社 | パケットシェーピング装置 |
| JP5776981B2 (ja) * | 2012-02-16 | 2015-09-09 | 日立金属株式会社 | ネットワーク中継装置 |
-
2013
- 2013-12-11 GB GB1608767.8A patent/GB2535093C/en not_active Expired - Fee Related
- 2013-12-11 JP JP2015552234A patent/JP5963974B2/ja not_active Expired - Fee Related
- 2013-12-11 CN CN201380081335.4A patent/CN105814842B/zh not_active Expired - Fee Related
- 2013-12-11 US US15/032,878 patent/US9948532B2/en active Active
- 2013-12-11 WO PCT/JP2013/083147 patent/WO2015087404A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN101483547A (zh) * | 2009-02-12 | 2009-07-15 | 中国人民解放军信息工程大学 | 一种网络突发事件度量评估方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2535093C (en) | 2021-03-31 |
| WO2015087404A1 (ja) | 2015-06-18 |
| JP5963974B2 (ja) | 2016-08-03 |
| GB2535093B (en) | 2021-03-03 |
| GB2535093A (en) | 2016-08-10 |
| GB201608767D0 (en) | 2016-06-29 |
| JPWO2015087404A1 (ja) | 2017-03-16 |
| US9948532B2 (en) | 2018-04-17 |
| US20160254971A1 (en) | 2016-09-01 |
| CN105814842A (zh) | 2016-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105814842B (zh) | 信息处理装置和信息处理方法 | |
| JP6184270B2 (ja) | 将来のネットワーク攻撃を検知及び予測するために、様々な指標と過去の攻撃事例を相関させ、攻撃に関する指標のプロファイルを作成するシステム及び方法 | |
| US7752663B2 (en) | Log analysis system, method and apparatus | |
| JP2018084854A (ja) | センサデータ処理方法 | |
| JP6097889B2 (ja) | 監視システム、監視装置、および検査装置 | |
| JP2018521611A5 (zh) | ||
| CN104506385B (zh) | 一种软件定义网络安全态势评估方法 | |
| KR101468624B1 (ko) | 단말기와 이를 이용한 네트워크 상태 측정 시스템 및 방법 | |
| US7821947B2 (en) | Automatic discovery of service/host dependencies in computer networks | |
| JP2006238043A (ja) | ネットワーク異常検出装置 | |
| CN110191004B (zh) | 一种端口检测方法及系统 | |
| JP2018148350A (ja) | 閾値決定装置、閾値決定方法及びプログラム | |
| KR101187023B1 (ko) | 네트워크 비정상 트래픽 분석시스템 | |
| Song et al. | Real-time anomaly traffic monitoring based on dynamic k-NN cumulative-distance abnormal detection algorithm | |
| JP2007243459A (ja) | トラヒック状態抽出装置及び方法ならびにコンピュータプログラム | |
| JPWO2015182629A1 (ja) | 監視システム、監視装置及び監視プログラム | |
| WO2019218875A1 (zh) | 单台在网设备风险评估方法及系统 | |
| CN102104606B (zh) | 一种内网蠕虫主机检测方法 | |
| KR100984282B1 (ko) | 메모리캐쉬를 이용한 통합보안관리시스템 | |
| CN106576072B (zh) | 信息处理装置和信息处理方法 | |
| CN108759920A (zh) | 一种基于物联网的仓库安全监测系统 | |
| CN108881179A (zh) | 应用于智能电网的输电线路可靠监测系统 | |
| CN106161339B (zh) | 获取ip访问关系的方法及装置 | |
| CN108063764B (zh) | 一种网络流量处理方法和装置 | |
| CN104756448A (zh) | 信息处理装置、信息处理方法和程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181228 |