JP2003533925A - ネットワーク用のセキュリティ・カメラ - Google Patents

ネットワーク用のセキュリティ・カメラ

Info

Publication number
JP2003533925A
JP2003533925A JP2001585059A JP2001585059A JP2003533925A JP 2003533925 A JP2003533925 A JP 2003533925A JP 2001585059 A JP2001585059 A JP 2001585059A JP 2001585059 A JP2001585059 A JP 2001585059A JP 2003533925 A JP2003533925 A JP 2003533925A
Authority
JP
Japan
Prior art keywords
data
network
packet
packets
communication line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001585059A
Other languages
English (en)
Other versions
JP2003533925A5 (ja
Inventor
プルーシ パラーグ
Original Assignee
ニクスン インコーポレイテツド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ニクスン インコーポレイテツド filed Critical ニクスン インコーポレイテツド
Publication of JP2003533925A publication Critical patent/JP2003533925A/ja
Publication of JP2003533925A5 publication Critical patent/JP2003533925A5/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5029Service quality level-based billing, e.g. dependent on measured service level customer is charged more or less
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0858One way delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0864Round trip delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0882Utilisation of link capacity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Closed-Circuit Television Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Polymerisation Methods In General (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)

Abstract

(57)【要約】 【目的】通信回線からのデータを処理する。 【構成】通信回線からのデータを処理するための方法であって、データは通信回線から受信され、パケットに分離される。パケットは各特性に基づいて選択され、選択されたパケットは複数のデータ処理ユニットの1つに供給される。

Description

【発明の詳細な説明】
この出願は、2000年5月12日に出願した米国特許仮出願第60/203
,659号による35U.S.C.第119条に基づく優先権を主張するもので
、ここで、この仮出願を参照により組み込む。PCT出願PCT/US99/2
7969を参照によりここに組み込む。
【0001】
【発明の属する技術分野】
この発明は、一般的にはデータ通信に関し、特に、通信データを収集し、分析
しおよびモニタするシステムおよび関連する方法に関する。
【0002】
【発明の背景】
現在、通信またはデータ・ネットワークを介して相異なる点にデータおよびそ
の他の情報が通信伝送されることは日常的に行われている。そのようなデータ・
ネットワークの一例には、そのようなネットワークを構成する種々のパス(経路
)に沿って互いに通信する複数のエンド・ユーザ・コンピュータが含まれている
。そのようなコンピュータ・ネットワークの複雑さは、相対的に少数のマシンの
間の単純なピアツーピア(peer-to-peer、対等)通信から、LAN、WAN、お
よびもちろんインターネットとして知られているグローバル・コンピュータ・ネ
ットワークまでの範囲に及び得る。そのようなネットワークのアーキテクチャは
、特定のアプリケーションに応じて大きく変化するが、最も洗練されたネットワ
ークは、そのようなネットワークを介したデータおよび情報の伝送を支援するバ
ックボーン、ノードおよびコンピュータ・サーバを利用する。
【0003】 会社および個人は、情報を送受信するためだけでなく、ビジネスを処理するた
め、および情報を送出し受信し再検討するのに必要な考え得る任意の数のその他
の活動のためにも、そのようなデータ・ネットワークにますます依存するように
なっている。インターネットの出現およびその後に続けられた開発によって、会
社、個人およびそのようなネットワークのその他のユーザの間で効率的通信を求
める要求は増大するばかりである。
【0004】 そのようなネットワークを介したデータの送信および受信に対するその要求は
、いわゆる“トラフィック(トラヒック)”、即ちそのネットワーク上の適当な
パスを通る(traverse)ディジタル符号化情報のボリュームまたは“ペイロード
”を発生させる。不幸なことに、ネットワークを通るトラフィックは、しばしば
或る点においてまたはそのネットワークの或るパスに沿って輻輳(congestion)
または“障害スポット(点)”を生じさせる。そのような輻輳は、腹立たしいほ
ど低速のデータ伝送の形態をとり、または最悪の場合はそのようなネットワーク
を介して所要の情報を送信または受信することが全く不可能な状態になることが
ある。この問題は、或るネットワーク・アーキテクチャの下で、せいぜいその最
も低速のリンクまたはパス(pathway)が許容する速さでしかそのトラフィック
が進行しないことによっていっそうひどくなる。
【0005】 明らかに、そのようなトラフィック輻輳は幾つもの理由によって望ましくない
。そのようなトラフィックに“置かれた(stuck)”ユーザは、彼らのネットワ
ーク・サービス・プロバイダに対してその輻輳について非難し、その結果、その
ようなプロバイダは潜在的にビジネスを失う可能性がある。また、そのようなネ
ットワーク遅延は、ネットワーク・ユーザの生産性に対して直接的および間接的
に負(マイナス)の効果を与える。
【0006】 そのようなネットワーク輻輳またはその他のネットワーク“障害スポット”の
状態を緩和する1つのアプローチ(解決法)は、その輻輳または障害スポットに
関する適時で正確な情報を得ることである。不幸なことに、コンピュータ・ネッ
トワークの複雑さ(intricacies)を解明しその輻輳を緩和しようとする現在の
技術による試みには、種々の欠点および短所がある。例えば、現在の技術のネッ
トワーク・モニタ・ツール(監視手段)は、カストマイズ(customize、注文設
計)するのが難しく、従ってネットワーク輻輳または障害スポットを分析するた
めの必要なツールが欠けている。そのようなネットワーク“探知器(sniffer)
”は、或る特定のプロトコルのトラフィック・ダンプ(dump)を実行することに
しばしば限定され、そのダンプではやはりネットワーク輻輳のソース(源)を正
確に記述または特定できないかもしれない。換言すれば、現在の技術の大部分の
ネットワーク・モニタおよび“検出器(sniffer)”は、その機能がリアルタイ
ム・データをまとめる(tabulate、表作成)機能または長い期間にわたってデー
タを記録する機能に限定されている。
【0007】 現在の技術によるネットワーク・モニタは、一般的に、ネットワークの性能(
パフォーマンス)を評価し推定するためにネットワークに侵入する(入り込む)
。参考文献“TCP/IP Illustrated, Volume I − The Protocols”Chapter
7および8、Addison-Wesley Publishing Co.より市販、1994年には、その
ような技術の1つが記載されている。インターネットにおける情報の“パケット
”のラウンドトリップ(往復)時間を推定するために、そのネットワーク・モニ
タは、追加的なパケットをそのネットワークに送って、そのような追加的パケッ
トの伝達を追跡する。従って、ネットワーク性能そのものを判定するプロセスそ
のものが、そのトラフィックに情報の追加的パケットを加えることによってその
性能をますます低下させる。
【0008】 上述の方法は侵入的だけでなく概して不正確でもある。特に、一方向(one-wa
y、片道)の時間はテスト・パケットのラウンドトリップの遅延時間を概ね2で
除算することによって評価される。しかし、そのネットワークにおける非対称性
(この点については後述する)に一部基づいて考えると、ラウンドトリップ時間
の半分は一般的に一方向遅延時間に等しくはない。その不正確さを補償するため
に、現在の技術の或る教示によれば、テスト・パケットをより頻繁にそのネット
ワークに送り込んで、テスト中またはモニタ(監視)中のそのネットワークの性
能をさらに低下させる解決法を用いる。
【0009】 ネットワーク・トラフィック・フローまたはネットワーク帯域幅のディメンシ
ョン(測定)がより正確にモデル化できれば、ネットワーク性能はより増強(改
善)され得る。特に、トラフィックは或るネットワーク・パス中を必ずしも対称
に流れる必要はない。これは、特に、インターネット接続上のエンド・ユーザに
おいてそのパスが終端しているときに言えることである。そのようなパスは、エ
ンド・ユーザが、通常、アップロードするペイロードまたはトラフィックより多
量のペイロードまたはトラフィックをダウンロードするという点で、非対称であ
る。現在の技術によるネットワーク・モニタは、一般的に、そのような非対称性
を検出したりまたはモデル化したりせず、その結果、そうでない場合に要求され
得るよりも多くのネットワーク資源が特定のルート(経路)に充てられる。それ
には追加的費用がかかりそれはコンピュータ資源を浪費する。
【0010】 従って、ネットワーク性能を改善しネットワーク・トラフィック輻輳を緩和す
ることに対するニーズ(要求)が存在する。さらに、トラフィック・フローに侵
入せず、様々なトラフィック・パラメータまたは“パケット”のタイプを分析す
るよう適合化でき、さらに所要の統計的情報を高速で正確に収集しまとめる(表
作成する)ようなツールに対するニーズが存在する。
【0011】 コンピュータ・データ・ネットワークの利用が増大するに従って、会社および
個人は、そのようなネットワーク上でユーザに関するデータまたはそのトラフィ
ックに関するデータを収集し濾波しまたは“プロフィールを生成する(分析をま
とめる)”ことにますます興味を持つようになっている。マーケティング会社ま
たはその他の販売組織は、ネットワーク・トラフィックの正確な記録および分析
によって収集できる動態的人口統計的情報またはその他のデータに特に関心を持
つかもしれない。不幸なことに、多数のインターネット広告者(アドバタイザ)
は、ユーザにフォームおよびアンケートに書き込むよう依頼することによって顧
客のプロフィール(概要)を取得する。顧客はしばしばそのような質問に回答す
るのに煩わされたくないので、広告者はその顧客情報のほとんどを逃してしまう
。従って、より侵入的でない形態で顧客の“プロフィール”を入手することに対
するニーズが存在する。
【0012】 ネットワークの拡大する利用は、同様に、“ハッカ”またはその他の損害を与
える侵入者たちが民間(私有)のまたは保護されたネットワークにおいていたず
ら(mischief)または場合によっては犯罪的活動を行う可能性を拡大させた。そ
のようにして、セキュリティ破りのソースを決定することができるシステムは、
例えばFBIのような施行機関にとって、コンピュータ関連の犯罪または軽犯罪
の風潮を抑えるのに役立つであろう。しかし、現在の技術では、前述のように、
セキュリティ動作を容易にするための最適な方法でネットワークにおけるデータ
のフローを分析し、まとめ(表作成し)、モニタし(監視し)または記録するこ
とは一般的にはできない。
【0013】 ネットワークのモニタを託された会社または個人は、適時的に大量の情報およ
び統計的情報を取得する必要があるだけでなく、そのようなデータを高速で容易
に理解可能なフォーマットで見る必要がある。それでも前述のように、現在の技
術の解決法は、しばしば時間的順序でそのようなデータの不充分な統計編集また
はグラフィック表現を用いて“ダンプ”を供給することにしばしば限定される。
従って、ネットワーク・トラフィック情報を編集するだけでなく、さらに或る一
般的に必要な計算を行い、ユーザ・フレンドリで(使いやすく)柔軟なフォーマ
ットでそのような計算結果をグラフィック的に表現することが望ましい。
【0014】 通常のデータ通信モニタ方法およびシステムの短所を克服するために、通信回
線(ライン)をモニタする新しい方法を実現する。本発明の目的は、通信データ
を収集して分析するネットワーク・モニタを実現することである。本発明の別の
目的は、通信データを収集して分析する方法を実現することである。
【0015】
【発明の概要】
これらの目的およびその他の目的を達成するために、およびその目的を考慮し
て、本発明は、通信回線から受信されたデータを処理するための方法を実現する
。データはその通信回線から受信されて、パケットに分離される。パケットは各
特性に基づいて選択され、選択されたパケットは複数のデータ処理ユニットの1
つに供給される。そのデータから複数のパケットが抽出される。次いで、その複
数のパケットに対応する統計的情報が再帰的に生成される。
【0016】 上述の概略の説明および次の詳細な説明は本発明の典型例であって、本発明を
それらに限定されるものではないと理解すべきである。
【0017】 本発明は図面を参照して読むことによって次の詳細な説明から最も良く理解さ
れる。一般的プラクティスによれば、図面の種々の特徴がスケール(拡大縮小)
されるものではないことを強調しておく。逆に、種々の特徴の寸法は、明瞭にす
るために任意に拡大または縮小されている。図面には図1〜32が含まれている
【0018】
【発明の実施形態】
次に、図面を参照して説明する。図面において同じ参照番号は同じ構成要素を
示している。図1は、第1の通信回線(ライン)104を介して典型例のネット
ワークN1 106に結合された、本発明による典型例のネットワーク・モニタ
102を例示している。ネットワーク・モニタ102は、通信回線104上でデ
ータ通信(トラフィック)を受信(モニタ)して、通信回線104上のデータ・
トラフィックのリアルタイム・メトリック(距離、計量、測定基準)または統計
的情報を供給する。
【0019】 通信回線104は、単一データ・リンク層プロトコルを用いて、より高い階層
プロトコル層の様々な多数のプロトコルのトラフィックをトランスポート(輸送
)する。そのような1つの階層プロトコル構成200が図2に例示されている。
ネットワークN1 106とルータ108の間のトラフィックにおけるデータ・
リンク層プロトコル202、この典型例の場合はイーサネット(登録商標)(Et
hernet)は、カプセル化された(encapsulated、隠蔽された)IPX、IP、A
RPまたはその他のネットワーク層204のトラフィックを含んでいてもよい。
そのIPトラフィックは、カプセル化されたUDP、TCP、ICMPまたはそ
の他のトランスポート層206のトラフィックを含んでいてもよい。そのTCP
トラフィックは、カプセル化されたWeb、FTP(ファイル転送プロトコル)
、ドメイン・ネーム・サービスまたはその他のアプリケーション層208のトラ
フィックを含んでいてもよい。
【0020】 本発明によるネットワーク・モニタ102はハードウェアおよびソフトウェア
(後述する)を含んでいる。そのハードウェアおよびソフトウェアは、1つまた
は複数のプロトコル層におけるそのようなトラフィック上で種々のリアルタイム
統計的情報を発生することができるような方法で、ネットワーク・トラフィック
を収集して分析する。ネットワーク・モニタ102によって発生されるリアルタ
イム統計的情報は、サービスの品質と量の分析、サービスの品質とサービスの量
に基づく課金、ダイナミック(動的)なネットワーク資源の割り当ておよび計画
、データ・コンテンツに基づく顧客プロフィール作成、ネットワーク・セキュリ
ティ分析、およびセッション再生を可能にする。典型例の統計的情報は、バイト
・カウント(計数値)、ビット・カウント(計数値)、一方向(片道)またはラ
ウンドトリップ(往復)の遅延、応答時間、再送信バイト、1つのホスト当たり
の発信バイト数、1つのホスト当たりの着信バイト数、発信−着信ホスト・ペア
(対)カウント、webアボート(打ち切り)レート(率)、スループット、グ
ッドプット(goodput)、および遅延または欠落(ロス)による再送信バイト百
分率(パーセント)を含んでいる。これらの統計的情報は、データ・リンク層と
アプリケーション層の間の1つまたは複数のプロトコル層における第1の通信回
線104上のトラフィックに基づいて選択的に供給されればよい。
【0021】 図3に示した典型例のネットワーク・モニタ302の動作を、図4におけるフ
ローチャートを参照して説明する。ネットワーク・モニタ302は、第1の接続
312によって第1の通信回線308に結合された第1のネットワーク・インタ
フェース304と、第2の接続314によって第2の通信回線310に結合され
た第2のネットワーク・インタフェース306とを含んでいる。第1のインタフ
ェース304は第1の通信回線308から第1のデータ(ビットストリーム)を
受信し(ステップ402)、次いでそのビットストリームが複数のパケットに分
離(分解、segregate)される(ステップ404)。ここでは分離(segregate)
という用語は、前に定義したパケットがビットストリームから抽出されているこ
とを意味するものとして用いられる。そのビットストリームは、インタフェース
304またはホスト・コンピュータ316のいずれかによって複数のパケットに
分離すればよい。そのパケットはメモリ318に格納される。そのメモリは、こ
の実施形態では階層的であり、短期メモリ320および少なくとも1つの長期メ
モリ322を含んでいる。次いで、ユーザ・インタフェース324によって最適
制御されるプロセッサおよびクエリ(問合せ)エンジン316は、図4を参照し
て以下で説明するようにそのパケットを処理する。
【0022】 典型例の実施形態において、ネットワーク・モニタ302は、第1の通信回線
308に非侵入的形態で結合される。即ち、ネットワーク・モニタ302は通信
回線上のトラフィックのフローを直接的に妨害しない。ネットワーク・モニタ3
02は、例えば、第1の接続312をスイッチまたはルータにおけるポートまた
はジャックにプラグインする(差し込む)ことによって、通信回線308をブレ
ークして第1の接続312が結合されるYコネクタをインストールすることによ
って、その第1の接続をハブに接続することによって、またはネットワーク・モ
ニタ302を中央局(交換局)におけるモニタ・ジャック302に接続すること
によって、通信回線308に結合されてもよい。
【0023】 プロセッサおよびクエリ・エンジン316は、パケットをレコードに変換して
、メモリにそのレコードを格納する(ステップ414〜422)。プロセッサお
よびクエリ・エンジン316は、そのパケットに対応する統計的情報を発生する
適正なプログラムを含んでいる(ステップ406〜412)。パケットに対する
統計的情報の発生は種々の方法で実現できるが、1つの好ましいアプローチ(方
法)では、所定のタイマ期間または“サンプリング時間”にわたって受信された
1組のパケットを処理して、対応する統計的情報を発生する(ステップ408)
。次いで、その処理が、連続する複数の期間(time periods)に受信された連続
するパケット組に対して、再帰的に繰り返される(ステップ410)。その処理
中に、適正なプログラムが、適正な期間に(時間間隔で、intervals)その発生
された統計的情報をメモリに格納する。そのような期間(間隔)は、パケットの
各組に対応する各期間(間隔)の順序と同じ順序であることが好ましい。
【0024】 そのパケットをレコードに変換することによって、次に説明するように多様な
種々の別の統計的情報を発生させることが可能になる。そのレコードは、まず各
パケットのタイプを決定して(ステップ414)次いでその決定されたタイプに
基づいてそのパケットを濾波する(ステップ416)ことによって、生成される
。各パケットに対してインデックスが発生され(ステップ418)、次いでその
パケットはインデックスされた(インデックスが付加された、インデキシングさ
れた)レコードに変換されて(ステップ420)、メモリに格納される(ステッ
プ422)。次いで各パケットに対して前に発生された統計的情報を用いてさら
に統計的情報が発生され(ステップ426)、次いで、例えば表示装置(ステッ
プ428)、別の統計的情報に基づいてネットワーク・ルーティングをダイナミ
ックに(動的に)調整するルータ(ステップ430)、その発生された統計的情
報に基づいて決定されたサービスの品質または量に基づいてクライアントに課金
する課金サービス(ステップ432)のような、1つ以上の(1つまたはそれよ
り多い)アプリケーションに供給される。
【0025】 次に、webトラフィックをカプセル化するTCPパケットをさらにカプセル
化するカプセル化されたIPパケットを含んだイーサネット(Ethernet)通信回
線について(図2参照)、図4のプロセスのアプリケーションを説明する。その
イーサネット・ビットストリームは、通信回線から受信されて(ステップ402
)、パケットに分離される(ステップ404)。そのパケットは複数の組に分割
される。その各組は、連続する複数の1秒期間(典型例の期間)の中の1つの期
間において受信されたパケットを含んでいる(ステップ406)。各1秒期間に
おいて受信したビット数(典型例の統計的情報)が計算される(ステップ408
)。次の1秒期間に対応する次の組のパケットを受信し(ステップ410)次い
でそれらのパケットにおけるビット数を計算する(ステップ408)ことによっ
て、連続する期間に対して連続的な統計的情報が生成される。各1秒期間に対す
るビット・カウントは、それが生成されたときにメモリに格納される(ステップ
412)。
【0026】 各パケットのタイプ(例えば、IP、ARP、・・・)が判定される(ステッ
プ414)。ユーザがIPパケットのトラフィックを分析したいだけの場合には
、そのパケットは濾波されてIPパケットだけを通過させる(ステップ416)
。ネットワーク・モニタが各IPパケットを受信した時間は、各対応するIPパ
ケットに対するインデックスとして用いられる(ステップ418)。次いで、イ
ンデックスされたレコードが、各IPパケットに対して生成されて(ステップ4
20)、メモリに格納される(ステップ422)。第1のフィールドF1として
のインデックスと第2のフィールドF2としてのパケットとを有する典型例のレ
コードを次に例示する。
【0027】
【表1】
【0028】 IPパケットを通過させるだけの濾波に加えて(ステップ416)、そのフィ
ルタを用いて、上述のレコードが第2のフィールドF2にIP部分のみを含むよ
うにイーサネット(Ethernet)オーバヘッド部分を切り捨てる(トランケートす
る)ことによって、例えばIP部分のみのようなパケットの一部をだけを通過さ
せる。その代替構成として、そのレコードは複数のフィールドを含んでいてもよ
い。その各フィールドは、例えばソース(送信元、発信)アドレスまたは宛先ア
ドレスのようなIPパケットの一部に対応する。濾波は複数のフィールドの中の
任意の1つ以上のものに基づいて行われてもよい。
【0029】 その格納されたレコードのみからまたはステップ46〜412において発生さ
れたパケットに対する統計的情報との組み合わせで、任意の数の統計的情報を発
生させることができる。この例において、関連する技術において知られている別
の統計的情報には、連続する各1分において受信された全てのパケットにおける
ビットの数に対する受信したIPパケットにおけるビットの数の比率が含まれる
(ステップ426)。この統計的情報の計算は本発明によって容易に行われる。
その理由は、その格納されたパケットは既に全てがIPパケットであり、受信時
間によってインデックスされているからである。そのようにして、インデックス
によってそのレコードをソートし、連続する各1分に対するレコードの組を読み
出し、各組のレコードにおけるビット数を付加することによって、その計算が実
行される。1分当たりの全てのパケットにおけるビットの数は、1秒毎に発生さ
れそれぞれ60個からなる複数のグループ(即ち各グループは1分に等しい)に
おいて発生される前に計算されたビット・カウントの総和を求めることによって
計算される。
【0030】 以上で、本発明によるネットワーク・モニタによって行われる濾波および格納
の方法の具体例を、図4を参照して説明した。本発明によるネットワーク・モニ
タ500のデータ収集および分析の方法の柔軟性を、図5のデータ・フロー図を
参照して以下説明する。
【0031】 入来するビットストリームは、パケタイザ(パケット化器)502によってパ
ケット化される。ビットストリームの復号は、既知のプロトコルについては自動
的に実行すればよく、またはカスタムの(特注、オーダメイド)または民間の(
proprietary)プロトコルについてはユーザ固有のパラメータに従って実行すれ
ばよい。例えば、新しいデータ・リンク層プロトコルが導入される場合には、ネ
ットワーク・モニタ500は、ユーザ・インタフェース520を用いて入力され
たユーザ決定(規定)のプロトコルに応答するための適正なプログラムを含んで
いる。従って、本発明のネットワーク・モニタ500は、新しいプロトコルのパ
ケット構成を認識して入来ビットストリームをパケット化する。次いで、そのネ
ットワーク・モニタは、より高い各プロトコル層を通してそのデータ収集および
分析の方法を実行する。この柔軟性は、データ・リンク層に限定されない。換言
すれば、本発明によるネットワーク・モニタ500は、他のプロトコル層におけ
るカスタム・プロトコルに対して通信データ(データ通信)を収集し分析するこ
とができる。
【0032】 そのパケットは、パスAを用いて短期メモリ508に直接格納すればよい。こ
れは、通信回線から受信した全てのデータを格納するのに役立つ。その短期メモ
リ508は、周期的にデータを長期メモリ510に転送して、オーバフローを防
止する。1つの短期メモリ508および1つの長期メモリ510を有するものお
して示されているが、本発明の教え(知見)は、複数のメモリ装置を含むその他
の階層的メモリ構成にも適用できる。例えば、そのメモリは、ランダム・アクセ
ス・メモリ(RAM)、ディスク・メモリおよびテープ・メモリを含んでいても
よい。RAMが満たされると、データがディスク・メモリに転送される。ディス
ク・メモリが満たされると、データはテープ・メモリに転送される。テープ・メ
モリが満たされると、例えば、記録保管のために連続的または長期データ蓄積の
ためにテープが交換される。長期メモリ508に対する二重矢印およびメモリ5
08、510の間の二重矢印によって示されているように、そのメモリに格納さ
れたデータは、後で分析用にまたは後述するアプリケーション522〜530の
中の1つのアプリケーション用に検索されてもよい。
【0033】 セキュリティ・アプリケーション528用に、全てのパケットをメモリに直接
格納することが望ましい。例えば、ネットワーク・モニタは、1週間の期間に対
する全ての通信を格納して最も古い蓄積データをオーバライト(上書き)するよ
うにプログラムしてもよい。セキュリティ破りがその発生の1週間以内に検出さ
れた場合には、その蓄積データはネットワーク・モニタによって分析されてその
ソースおよびそのセキュリティ破りの度合いが決定される。
【0034】 そのパケット化されたデータは、代替構成として、パケタイザ502によって
インデックス発生器504へ供給されてもよい。インデックス発生器504は、
受信パケットの中の1つ以上のものに対応するインデックスを発生する。1つの
パケットに対応する1つのインデックスの例には、そのネットワーク・モニタが
そのパケットを受信した時間を示すタイム・スタンプ、パケット(プロトコルお
よび/または層)のタイプ、パケットのサイズ、パケット番号(1、2、3、・
・・)、インタフェース番号、アプリケーションおよび関係するセッションが含
まれる。レコード発生器506は、パケットおよびその発生されたインデックス
を受け取り、その発生されたインデックスを含んだレコードを発生する。その代
替構成として、レコード発生器506は、その受け取ったパケットおよびインデ
ックスを、メモリ508および510に前に格納された現在のレコードと結合さ
せてもよい。また、そのレコード発生器は、パスCを介してパケットを直接受毛
取って、そのパケットを含んだインデックスされていないレコードを生成しても
よく、またはメモリ508、510に前に格納された現在のレコード中にそのパ
ケットを結合させてもよい。
【0035】 例えば、1つのレコードはATMセッションに対応して発生される。ATMセ
ッションに対応する第1のセル(固定サイズのパケット)が受信されたとき、そ
の第1のセルはインデックスされて、インデックスされたレコードが発生されて
メモリ508、510に格納される。そのインデックスは例えばATMセッショ
ンの識別子であってもよい。ATMセッションに対応する別のセルが受信された
とき、順番に受信されるとは限らないが、レコード発生器506は、パスCを介
してそのセルを直接受け取り、前に格納されたインデックスされたレコードをメ
モリ508、510から読み出し、次いでその新しく受け取ったセルをそのイン
デックスされたレコードに結合させてもよい。レコード発生器506は、一般的
なレコードにおける一般的なATMセッションに属するパケットを単に結合させ
ることに加えて、さらにそのレコード内のその受信ATMセルをその正しい順序
に配置してもよい。
【0036】 レコード/パケット・タイプ識別器(identifier)512は、レコード発生器
506またはメモリ508のいずれかからパケットまたはレコードを受け取って
、その対応する“タイプ”または“プロパティ(特性)”を識別することによっ
てその受け取ったパケットまたはレコードを特徴付ける(特徴を判別する)。パ
ケットまたはレコードのタイプまたはプロパティは、多様性のある(versatile
)識別子であり、ユーザ・インタフェース520を介してプログラムすればよい
。パケットまたはレコードのタイプまたはプロパティの例には、対応するビット
またはタイプの数、そのプロトコル層、特定のプロトコル層におけるそのプロト
コル・タイプ、ソース・アドレス、宛先アドレス、エンド・ユーザIDおよびア
プリケーションIDが含まれる。次いで、レコードまたはパケットは、パケット
・タイプ・フィルタ516において、レコード/パケット・タイプ識別器512
によって識別されたプロパティまたはタイプに基づいて濾波される。次いで、そ
の濾波されたレコードまたはパケットはインデックスされ、インデックスされて
レコードに向けられ、またはメモリ508、510に直接格納される。
【0037】 期間(time period)フィルタ514は、そのレコード発生器またはメモリ5
08、510からレコードまたはパケットを受け取って、ネットワーク・モニタ
によって通信回線からそれが受信された時間に基づいてそれを濾波する。次いで
、そのレコードまたはパケットは、連続するそれぞれの期間においてそのネット
ワーク・モニタによって受信されたパケットに対応する複数のグループに分離さ
れる。次いで、スタティスティック(統計的情報)発生器518は、連続する対
応する各期間において受信されたパケットに対応する連続する期間の各々に対し
て統計的情報を発生する。
【0038】 その濾波されたパケットおよびその濾波された統計的情報はメモリに格納され
る。図5における機能ブロック相互間のパスは、メモリのその内容(コンテンツ
)を再び用いて別の濾波または統計的情報発生を実行してもよいことを示してい
る。従って、本発明によるネットワーク・モニタは、前に発生した統計的情報ま
たは格納されたパケットに基づいて統計的情報を発生することによって、再帰的
に(recursively)データを収集して分析してもよい。
【0039】 ユーザ・インタフェース520は、上述のようにそのネットワーク・モニタを
カスタム・プロトコル用にプログラムすることに加えて、さらにそのネットワー
ク・モニタ内における各機能ブロックの各動作パラメータを規定してもよい。例
えば、ユーザは、インデックス発生器504によって用いられるインデックス、
期間フィルタ514によって用いられる期間、および連続する期間の各々に対し
てスタティスティック発生器518によって発生される統計的情報を特定(指定
)してもよい。
【0040】 ネットワーク・モニタ500によって発生されるその収集されたデータおよび
その対応する分析(結果)は、1つ以上のアプリケーション522〜530に供
給されてもよい。例えば、表示装置522は、図10〜28における表示スクリ
ーンに関してさらに後で説明するように、ユーザ選択に応答して統計的情報、レ
コードまたはパケットを表示してもよい。
【0041】 ネットワーク・モニタ500によって発生された統計的情報は、ネットワーク
・アドミニストレータ(administrator)またはルータ524に供給されて、ネ
ットワーク性能に対応する統計的情報に応答してネットワーク上で、通信のダイ
ナミックなルーティング、および“イールド・マネジメント(yield management
)”としても知られているネットワーク帯域幅管理(マネジメント)を可能にす
る。一方向遅延を測定すること、および様々なプロトコル層におけるプロトコル
毎のトラフィック統計的情報を供給することにより、本発明によるネットワーク
・モニタが、トラフィック・フローを定量化することによってその非対称性を識
別して、その測定されたフローに従ってネットワーク・アドミニストレータにネ
ットワーク資源のサイズを適正に決定させることができるということが、直ぐに
分かる。
【0042】 通信ネットワークはそのサービス層において最適化できる。その理由は、本発
明によるネットワーク・モニタは任意のプロトコル層におけるトラフィック・フ
ローを分析するのに適したプログラムを含んでいるからである。様々なサービス
が相異なるサービス要求を有するかもしれないが、それらのサービスはしばしば
1つの通信ネットワークにおいて統合される。それにもかかわらず、例えばリア
ルタイム・マルチメディア、IP上の音声、データおよびインターネットのよう
なサービスの各々は、固有のネットワーク・サービス要求を有する。例えば、I
P上の音声について、音声伝送品質低下についての許容度が低いために、遅延ま
たはデータ欠落を含むサービスの品質がより低くなることは許容できないかもし
れない。それに対して、データ伝送は、再送によるエラー回復(修復)によって
欠落的環境においても進めることができる。典型例のルータ524は、それらの
サービス要求に応じて様々に決定される相異なるサービスに対応するトラフィッ
クをルーティング(経路指定)するよう構成される。
【0043】 本発明によるネットワーク・モニタは、各個々のサービスおよび/またはユー
ザに対応するフローを識別し様々なサービスとの間のインタラクション(対話)
の分析(結果)を供給するプログラムされた機能を含んでいる。その情報はルー
タによって使用されて、例えば、ネットワーク・トポロジ、ルートまたはサービ
ス分離等の最適化についてリアルタイムまたは非リアルタイムの判断を行って、
全ての各サービスにそのサービス固有のサービス品質要求を与えるのに適した最
適構成を実現する。
【0044】 課金システム526は、様々なサービスおよび様々なホストに対応するサービ
スの品質および/または量の統計的情報を受け取ってそれに従ってクライアント
に課金するよう構成してもよい。それによって、前の測定されないサービスに対
する均一(flat)レートの課金ではなくて、その統計に基づいてクライアントに
課金することが可能になる。例えば、クライアントは、IP通信を介した音声に
対してクライアントの制限のないインターネット・サービスを用いてもよい。本
発明によれば、ネットワーク・モニタ500は、IP呼における音声の番号、持
続時間および宛先に関する特定のクライアントに対する統計的情報を発生しても
よい。次いで、その統計的情報は課金システム526によって課金情報に変換さ
れて、そのクライアントはそれに従って課金される。従って、IP呼における音
声に対してインターネットを使用するインターネット加入者は、非インターネッ
ト電話サービスに対して行われるように、呼の品質、持続時間および宛先に従っ
て課金されてもよい。同様に、クライアントは、電子商取引(eコマース)、株
取引の数、リアルタイム株相場(取引価格)に対する要求の数、およびその他の
取引に基づいて課金されてもよい。その代替構成として、クライアントは、提供
されたサービスの品質に応じて決まる相異なる課金レートを含んだサービス契約
をしてもよく、それに従って課金されてもよい。また、ネットワーク・モニタを
用いて、最低サービス標準またはサービス・レベル契約を保証するサービス契約
に従うことを保証してもよい。
【0045】 上述のように、その収集されたデータをセキュリティ528に対して用いて、
セキュリティ破りを識別し、不適切なネットワーク使用または違法な活動を識別
してもよい。例えば、パケットを濾波して、サーバに対してFTP(ファイル転
送プロトコル、ファイル転送プログラム)された特定のファイルを識別して、誰
が特定のマシンまたはサーバをテルネット(telnet)(にログオン)したかを識
別し、いったんログオンされたときはその者が何をタイプしたかを確認し(見)
てもよい。
【0046】 ネットワーク・モニタからの統計的情報は、ユーザまたはユーザのグループの
プロフィールを作成するためのそのユーザまたはユーザ・グループに対応してい
てもよい。多くのインターネット広告は、ユーザに幾つかの質問に回答するよう
依頼することによって生成された顧客プロフィールに基づいて、各顧客に送られ
る。本発明によるネットワーク・モニタは、その内容(コンテンツ)に基づいて
各受信パケットを濾波して個々の顧客プロフィールを形成することができる。例
えば、フィラデルフィア顧客ベースをモニタするノードは、全てのユーザからの
全てのパケットをそれがインターネットに入る前において検査してもよい。また
、それらのユーザに返されたトラフィックは、パケット内の特定のテキストを探
す(濾波する)またはそのユーザによって訪問(アクセス)されたwebサイト
を探すことによって、分析することができる。次いで、例えば目標(ターゲット
)の電子メールのようなユーザにとって興味のあるユーザに対する内容(コンテ
ンツ)を目標にすべく、その濾波されたデータに基づいてユーザまたはユーザ・
グループ毎のプロフィールが発生されてもよい。濾波のための上述の方法が法律
施行またはセキュリティ当局によって同様に用いられて、通信がモニタされて、
不法な動作が検出され、または選択されたユーザの活動がモニタされてもよい。
【0047】 また、ネットワーク・モニタを用いて、再生装置530にデータを供給して、
通信回線からモニタされたクライアント・セッションを再生してもよい。全ての
受信パケットは記録されて、特定のセッションに基づいて濾波されてもよい。そ
のセッションは、パケットそのものに含まれている情報に基づいて、または例え
ばSDR(セッション・ディレクトリ・プロトコル)のような特定のパケットま
たはチャネルにおいて受信されたセッション情報に基づいて、識別されてもよい
。次いで、そのセッションに対応するパケットは、そのユーザに対して元々提示
された形態で再生すればよい。この方法を用いて、ユーザのまたはIP会話にお
ける音声の全ての活動を再生してもよい。
【0048】 そのネットワーク・モニタは、ユーザによって、民間のまたはカスタムのプロ
トコルを用いてトラフィックをトランスポートする通信回線をモニタするように
構成されてもよい。ユーザは、ネットワーク・モニタと通信回線の間の適した物
理層インタフェースと共に、ユーザ・インタフェースを用いて民間のプロトコル
・パラメータを入力してもよい。そのパラメータは、ネットワーク・モニタがビ
ットストリームからパケットを分離するように通信回線上でトランスポートされ
たビットストリーム内のパケット構成を規定する。また、そのパケット・フィー
ルドの内容(コンテンツ)に基づいた統計的情報を供給するようにそのネットワ
ーク・モニタをカスタム・クエリ(問合せ)を用いて構成することができるよう
に、追加的パラメータがパケット内の各フィールドを規定してもよい。同様に、
ネットワーク・モニタは、リンク層より高い層におけるカスタム・プロトコルに
対応するデータを受信して分析するようプログラムされてもよい。
【0049】 典型例のネットワークにおいて、データ通信プロトコルは、タイム・スタンプ
・フィールドを含むように各パケットを規定してもよい。ソースから宛先に送信
されたパケットは、ソースによる送信の時間を示すタイム・スタンプ・フィール
ドにタイム・スタンプ値を含んでいる。パケットが宛先で受信されたとき、その
宛先は、現在の時間値からタイム・スタンプ値を減算することによってそのソー
スからその宛先までの一方向送信持続時間または遅延を計算できる。そのプロト
コルは、ネットワーク・モニタ相互間の通信によって別々のネットワーク・モニ
タにおけるパケット・ペア(対)をマッチさせる(一致させる、突合せる)必要
性をなくすことによって、より単純な一方向の送信遅延およびサービス品質の測
定を可能にする。
【0050】 そのソースとその宛先の間に多数の別々の中間伝送パスを含んでいるネットワ
ークに対して、一方向のエンドツーエンド(end-to-end)送信持続時間情報は、
そのソースとその宛先の間のどこかにおける特定の障害に関する情報を供給しな
い。障害診断を改善するために、エンドツーエンド遅延を計算するだけでなくて
、本発明によるネットワーク・モニタは、そのソースとその宛先の間の中間の別
々の伝送パスの中の1つに結合できる。そのネットワーク・モニタは、そのソー
スからその宛先までそのネットワークを通るパケットからタイム・スタンプ値を
受信できる。そのタイム・スタンプ値を、ネットワーク・モニタによるパケット
の受信時における現在の時間に対して減算して、中間持続時間値を決定してもよ
い。上述のような1つ以上の中間的に隔たったモニタを用いてネットワークにお
ける障害の位置を突き止めてもよい。典型例の実施形態において、そのソース、
宛先およびネットワーク・モニタの各々は、伝送持続時間を計算するために用い
られる現在の時間を受信するためのGPS(グローバル・ポジショニング衛星、
全世界測位衛星)インタフェースを含んでいる。
【0051】 本発明によるネットワーク・モニタが供給できるメトリックのうちの1つは、
特定のソースまたは宛先に関する特定のソース−宛先のペア(対)に対するアボ
ートされた接続(コネクション)の数の表示(インジケーション)、特定のソー
スまたは宛先に対する接続の合計に対するアボートされた接続の配分(割当て、
ration)に関する情報である。障害のあるTCP(伝送制御プロトコル)サービ
スを識別する典型例の方法を、図6におけるフローチャート600を参照して説
明する。
【0052】 この分野の専門家に知られているように、TCPセッションは、クライアント
によって通常オープンされ(開かれ)ており、それがクライアントに送信するデ
ータをそれ以上持っていないときにサーバによってクローズされる(閉じられる
、終了される)。TCPセッションがクライアントによってクローズされている
場合、それはそのセッションが途中で中断されていることを示す。一例としてw
ebを用いると、クライアント(ユーザはブラウザを用いる)は、所望のデータ
に対する要求に関する考えが単純に変わったこと、または受信中の所望のデータ
の遅延に耐えられないことを含めた諸々の理由によって、そのセッションをクロ
ーズしてもよい。
【0053】 ネットワーク・モニタは、通信回線からパケットを受信して(ステップ602
)、そのパケットがTCPセッションに属するかどうかを識別する(ステップ6
04)。そのネットワーク・モニタは、そのパケットが属する幾つかのトランス
ポート層プロトコルの中のいずれかを識別するパケット中のプロトコル・フィー
ルドを識別して復号することによって、そのパケットがTCPパケットかどうか
を識別してもよい。いったんパケットがTCPとして識別されると、TCPクラ
イアントおよびTCPサーバは識別される(ステップ606)。次いで、そのパ
ケットを検査して、それがTCP接続をオープンするかまたはTCP接続を開始
するかを判定する(ステップ608)。そのパケットがTCPセッションのオー
プニングまたは開始のパケットである場合には、前に識別された(ステップ60
6における識別)TCPサーバに対するTCPセッションの合計数のカウントが
インクリメント(増分)される(ステップ610)。
【0054】 そのパケットがオープニング・パケットでなかった場合は、次にネットワーク
・モニタはそのパケットがTCP接続をクローズしているかどうかを判定する(
ステップ612)。そのパケットがTCP接続をクローズしていない場合は、ネ
ットワーク・モニタは、次のパケットを取得する(ステップ602)。それ以外
の場合は、ネットワーク・モニタは、例えばFINビットを検査することによっ
てその接続がサーバによってクローズされるかどうか、またはその接続がクライ
アントによってクローズされるかどうかを判定する(ステップ614)。サーバ
によるクローズはセッションの正常終了を示し、ネットワーク・モニタは、次の
パケットを取得する(ステップ602)。サーバ以外のものによるクローズはそ
のセッションの途中終了(中断)を示し、特定のサーバに対応する途中のクロー
ズ・カウントはインクリメントされる(ステップ616)。特定のサーバのTC
Pセッションの合計に対する途中クローズの比率が計算されて(ステップ620
)、所定の閾値と比較される(ステップ622)。途中クローズの比率がその閾
値を越えた場合には、その特定のサーバは“障害のあるサーバ”として識別され
る(ステップ624)。
【0055】 この分野の専門家に知られているように、幾つかのネットワークでは、特定の
TCPセッションに対応する全てのパケットは同じ通信回線中を伝達しなくても
よく、従って1つのネットワーク・モニタ・インタフェースによって検出されな
くてもよい。ネットワーク・モニタは、全てのパケットを“捕捉(catch)”す
るためにサーバまたはクライアントにまたはその近傍に配置することができる。
その代替構成として、上述のように複数のネットワーク・モニタ・インタフェー
スを用いてパケットに対応するレコードを格納してもよい。次いで、その格納さ
れたレコードが分析されて、いずれのサーバに“障害”があり得るかが判定され
る。典型例の実施形態において、遠隔ネットワーク・モニタの各々は、例えばフ
ィルタを用いてFINパケットを探し、FINパケットを検出したときに、遠隔
ネットワーク・モニタは、FINパケットの内容(コンテンツ)を含んだメッセ
ージを、“障害のあるサーバ”の判定を行う中央モニタに送信する。
【0056】 アボートされた接続の測定および障害のあるサーバの識別に関する教えをTC
Pセッションについて以上説明したが、その教えは、一般的にその他のプロトコ
ルおよびその他のプロトコル層に適用でき、障害のあるTCPサーバを識別する
ことに限定されない。例えば、他のプロトコルにおいて、セッションは、それが
クライアントであってもまたはサーバであっても、同じノードによってオープン
されてクローズされる。さらに、そのセッションのペイロードは、別々の通信リ
ンクからのまたは別々の通信リンク上のセッション制御メッセージからの別々の
パケットで送信されてもよい。
【0057】 図7に示された別の代替実施形態において、本発明による通信をモニタするた
めのシステム701は、1つ以上のネットワーク・モニタを含んでいてもよい。
その各モニタは図7に示されたネットワークにおけるそれぞれの通信回線に結合
されている。第1、第2および第3のネットワーク・モニタ700、710、7
20は、第1、第2および第3の通信回線702、712、722にそれぞれ結
合される。各ネットワーク・モニタ700、710、720は、図5におけるデ
ータ・フロー図に関して上述したようなそのそれぞれの通信回線から受信された
データを収集して分析する。
【0058】 複数のネットワーク・モニタ700、710、720を含んでいるシステムは
、独立のデータ収集および分析を実現することに加えて、その相異なるネットワ
ーク・モニタにおいて受信されたデータを相関させて、改善されたネットワーク
性能分析を実現する。例えば、一方向遅延は、第1の通信回線702から第2の
通信回線712まで伝達するデータに対して計算すればよい。
【0059】 一方向遅延を計算する典型例の方法が、図8におけるフローチャートによって
示されている。一般的に、“同じ”パケットが別々の2つのネットワーク・モニ
タにおいて識別されて、それが各モニタによって受信されたときの両者の間の時
間の差を用いて一方向遅延が計算される。“同じ”パケットは、別々のネットワ
ーク・モニタの間で変化するパケットの各部分を削除(消去)することによって
識別される。
【0060】 第1と第2のネットワーク・モニタ700、710の各々は、そのそれぞれの
通信回線702、712からデータを受信する(ステップ802、806)。パ
ケタイザ502は、その受信データをパケットに分離して(ステップ803、8
07)、各インデックス発生器(504)は、各パケットの受信時間(タイム・
スタンプ)を各パケットに関連付ける。レコード発生器506は、各パケットに
対応するタイム・スタンプとデータ・パケットの固有の部分(UDPD)とを含
んでいるレコードを発生して、そのレコードをメモリ508、510に格納する
(ステップ804、808)。
【0061】 UPDPは、データ・ユニットを一意的に識別可能にする受信パケットの部分
である。例えば、イーサネット(Ethernet)通信回線およびIPペイロードにつ
いて、そのパケットからイーサネット・ヘッダが取り出され、IPttlおよび
チェックサム・フィールドがゼロにされ、IPヘッダおよび連続する20個のバ
イトがセーブ(保存)されてレコード発生器506によってUPDPレコードに
組み込まれる。そのUPDPは、様々なプロトコルに対して異なるものであり、
ユーザ・インタフェースを用いてプログラムされればよい。
【0062】 第1のネットワーク・モニタ700のUPDPレコードは第2のネットワーク
・モニタ710のUPDPレコードと比較されて、UPDPのペア(対)がマッ
チされる(突合され)(ステップ810)。第1と第2のネットワーク・モニタ
は通信リンク730を介して通信すればよい。通信リンク730は、モニタ中の
(帯域内の)ネットワークを通してネットワーク・モニタの通信によって構成す
ればよい。その代替構成として、通信リンク730は、例えば電話回線、無線接
続または衛星接続を介してそのネットワークの外側の(帯域外)通信によって構
成してもよい。
【0063】 マッチ(一致)したUPDPの各ペア(対)に対して、第2のネットワーク・
モニタからの対応するタイム・スタンプts2が第1のネットワーク・モニタか
らのタイム・スタンプts1から減算される(ステップ812)。この時間差t
s1−ts2は、UPDPに対応するデータが第2のネットワーク・モニタ71
0から第1のネットワーク・モニタ700まで伝達するための持続時間を表す。
UPDPを計算することによって、同じまたは相異なる通信プロトコルを用いる
第1と第2の通信回線702、712の間における或るペイロードの伝送持続時
間を、上述の方法によって決定すればよい。
【0064】 典型例の実施形態において、時間差ts1−ts2は、第1の通信回線702
の遅延を明示するよう正規化される(ステップ814、816)。その遅延は、
次の等式によって示されるように、UPDPに対応するパケットが第1の通信回
線を通るための遅延xmit−delay(伝送遅延)をその時間差から減算す
ることによって、正規化される。
【0065】 正規化されたネットワーク遅延 =(ts1−ts2)−(linked_speed/packet_length) ここで、link_speed(リンク速度)は第1の通信回線712におけ
る伝送レート(速度、率)であり、paket_length(パケット長)は
UPDPを含んでいた第1の通信回線上のパケットの長さである。その計算され
たネットワーク遅延は、キュー(待ち行列)遅延および伝送遅延による成分(コ
ンポーネント)含んでいるかもしれない。図5にデータ・フロー図によって示さ
れているように、スタティスティック発生器518はパケットを受信することが
でき、そのパケットに対してUPDPレコードが発生され、スタティスティック
発生器518は、パケットにおけるビット数を計算し、正規化の計算において使
用されるUPDPレコードに組み込まれるようにそのレコード発生器にその統計
的情報を供給する。ラウンドトリップ時間は、第1のネットワーク・モニタから
第2のネットワーク・モニタまでの遅延を計算し、その遅延を第2のネットワー
ク・モニタから第1のネットワーク・モニタまでの遅延に加算することによって
、推定してもよい。
【0066】 その計算された伝送遅延の精度は第1と第2のネットワーク・モニタ700、
710の時間クロックの同期に応じて決まる。そのネットワーク・モニタは、通
信回線730を介して通信してそのそれぞれのクロックを同期させてもよい。典
型例の実施形態において、そのネットワーク・モニタは、共通時間供給源740
から時間信号を受信することによって同期させてもよい。典型例の実施形態にお
いて、その伝送遅延は10ミリ秒より小さい誤差の精度のレベルで発生され、即
ちその計算された遅延と実際の遅延の間の差は10ミリ秒より少ない。好ましい
実施形態において、共通時間供給源740は例えばGPS(グローバル・ポジシ
ョナル衛星)のようなグローバル衛星のシステムであり、各ネットワーク・モニ
タ700、710は、1つ以上のグローバル衛星から時間信号を受信するための
受信機を含んでいる。モニタされる2つの通信回線が互いに接近しているときは
、第1と第2のネットワーク・モニタ700、710のうちの一方はマスタGP
S受信機を含んでいればよく、その他方は、そのマスタに結合されたスレーブG
PS受信機を含んでいればよい。
【0067】 典型例のネットワーク・モニタは、モニタ中の通信回線に結合されたネットワ
ーク・インタフェース・カード(NIC)上にインタフェース・コンピュータを
有するホスト・コンピュータを用いて実装される。上述のように、NICによっ
て受信したデータは、そのホスト・コンピュータに送出力される前に処理すれば
よい。また、上述のように、そのネットワーク・モニタは、通信回線からのデー
タの受信時間を用いて、ネットワーク通信統計的情報またはメトリックを発生さ
せればよい。データが通信回線から受信されたときの時間を正確に記録するため
には、インタフェース・コンピュータは、受信時間をそのデータに関係付ける(
そのデータに時間をスタンプ(記録)する)。そのホスト・コンピュータではな
くてそのインタフェース・コンピュータにそのデータに時間をスタンプさせるこ
とによって、そのインタフェース・コンピュータからそのホスト・コンピュータ
までデータを転送するときの遅延による受信時間における不正確さが減少しまた
は除去される。
【0068】 典型例の実施形態において、そのインタフェース・コンピュータはインタフェ
ース・クロックを含んでおり、そのホスト・コンピュータはホスト・クロックを
含んでいる。そのインタフェース・クロックおよびホスト・クロックは、そのホ
スト・コンピュータがタイム・スタンプを用いてその受信データに対応する統計
的情報を正確に発生させることができるように、同期化される。典型例の実施形
態において、そのインタフェース・クロックはカウンタとして実装される。各パ
ケットが通信回線から受信されるときに、そのカウンタの現在の値がそのパケッ
トと関係付けられる。そのパケットは後でそのカウンタ値と共にそのホスト・コ
ンピュータに転送される。そのホスト・コンピュータは、絶対時間基準に同期し
たホスト・クロックを含んでいる。上述のように、絶対時間基準は、GPS(グ
ローバル・ポジショニング衛星)によって供給すればよい。
【0069】 そのホスト・クロックおよびインタフェース・クロックは、そのインタフェー
ス・コンピュータによって各パケットに関係付けられたカウンタ値を絶対時間に
相関させることによって、同期される。そのインタフェース・クロックをそのホ
スト・クロックに同期させる方法を、図9Aおよび9Bにおけるフローチャート
を参照して、それぞれホスト・コンピュータおよびインタフェース・コンピュー
タに関して説明する。一般的には、そのホスト・コンピュータは、インタフェー
ス・コンピュータに対してインタフェース・クロック・カウンタの値を周期的に
要求して、その値を用いてそのカウンタをホスト・コンピュータに相関させる。
【0070】 図9Aおよび9Bを参照すると、そのホスト・コンピュータがそのインタフェ
ース・コンピュータから1組のパケットを受け取った場合(ステップ902)、
そのホスト・コンピュータは、“ゲット・カウンタ(カウンタの獲得)”メッセ
ージをそのインタフェース・コンピュータに送出することによって、そのインタ
フェース・コンピュータに対してカウンタ値を要求することを進める(ステップ
906)。典型例の実施形態において、そのインタフェース・コンピュータは、
直接メモリ・アクセス(DMA)動作によってそのホスト・コンピュータのメモ
リに1組のパケットを格納し、次いでそのホスト・コンピュータに割り込んでそ
のパケットの転送を示す。そのホスト・コンピュータが1組のパケットを受け取
っていない場合は、そのホスト・コンピュータは、タイムアウト期間だけパケッ
トを待ち(ステップ904)、その期間の後、カウンタ値を要求する(ステップ
906)。そのホスト・コンピュータは、それがインタフェース・カウンタ値を
要求したときに、そのホスト・クロックの時間を記録する(ステップ906)。
【0071】 そのインタフェース・コンピュータがそのホスト・コンピュータから“ゲット
・カウンタ”メッセージを受け取ったときに(ステップ920)、そのインタフ
ェース・コンピュータは、それが現在アイドル状態かどうかまたはそれが通信回
線からデータを受信しているかどうかを判定する(ステップ922)。それがア
イドル状態でない場合は、そのインタフェース・コンピュータは、“トライ・ア
ゲン(再試行)”メッセージをそのホスト・コンピュータに送出する(ステップ
924)。それがアイドル状態である場合は、そのインタフェース・コンピュー
タは、カウンタ値を読み出して、予め計算された割り込みサービス時間を減算し
て(ステップ926)調整されたカウンタ値を発生する。次いで、そのインタフ
ェース・コンピュータは、そのホスト・コンピュータにその調整されたカウンタ
値を送出する(ステップ928)。
【0072】 その予め計算された割り込みサービス時間は、そのインタフェース・コンピュ
ータがそのホストからカウンタ要求を受け取った時点と、そのインタフェース・
コンピュータがそのホスト・コンピュータにその調整されたカウンタ値を供給し
た時点の間の持続時間(長さ)に対応する。その予め計算された割り込みサービ
ス時間は論理分析器を用いて実験的に求めてもよく、例えば、そのインタフェー
スがそのカウンタの要求を受け取った時点からそのインタフェースがそのカウン
タ値を供給するまでの間の持続時間を測定すればよい。実験の遅延測定を正常(
通常)動作の期間における遅延にマッチ(整合、一致)させるために、そのイン
タフェースがアイドル状態であることが分かりそのアイドル状態のときに正常(
通常)動作の期間においてそのインタフェースが要求に対してサービス(応答処
理)したときに、その実験の要求がそのインタフェースに供給される。この分野
の専門家に知られているように、そのインタフェース・コンピュータの応答時間
は繰り返し取得されて、動作の期間における使用のために平均サービス時間が発
生される。
【0073】 そのホスト・コンピュータは、そのカウンタ値を受け取ったときに、そのホス
ト・コンピュータ・クロックに対するそのインタフェース・クロック・カウンタ
の相対的周波数の推定値を計算する(ステップ912)。その相対的周波数を用
いて、同期ルーチンの次の実行まで、そのインタフェース・コンピュータから受
け取ったパケットに関連付けられたカウンタ値を相関させる。典型例の実施形態
において、そのホスト・コンピュータは、その相対的周波数を計算する前に、ス
テップ906において記録した時間からホスト割り込みサービス時間を減算して
、そのホストがそのインタフェースからそのカウントを受け取った時点からその
ホストがその相対的周波数を計算した時点までの間の遅延を求める。
【0074】 典型例の実施形態において、各々がそれぞれの通信回線に結合された複数のネ
ットワーク・インタフェースが1つのユニットとして実装されており、共通のク
ロックを共用する。従って、その共通クロックと同期させるだけで、そのホスト
・クロックが、それぞれの通信回線の中の任意のものから受信されたデータに関
連付けられたタイム・スタンプに同期化される。
【0075】 図10〜28は、本発明によるネットワーク・モニタによって収集され分析さ
れたデータを表示しまたネットワーク・モニタによるデータ分析を制御するため
のグラフィカル・ユーザ・インタフェース(GUI)を例示するスクリーン表示
である。図10における表示は、テーブル・フレーム(表枠)1010、第2の
フレーム1030、およびボタン・フレーム1050を含んでいる。そのテーブ
ル・フレーム1010は、ユーザ選択用の選択可能なボックスおよびテキスト入
力ボックスを有する第1の部分1011と、受信データに対応する統計的情報の
テーブルを有する第2の部分1012とを含んでいる。テーブル1023は、そ
の選択可能なボタン、ボックスおよびフィールドの下に現れるものであって、分
析中の特定のデータに対応するエントリ(項目)を含んでいる。プロット・フレ
ーム1030は、受信データに対応する統計的情報を示すプロット1032およ
び1034を含んでいる。ボタン・フレーム1050は、ユーザ設定(構成)可
能な1組のボタンを含んでいる。
【0076】 テーブル・フレーム1010の第1の部分1011におけるそのテキスト入力
ボックスおよび選択可能なボックスは、ユーザによるそのオプションの選択を防
止しそのテキスト・ボックスにおけるユーザの入力(エントリ)を防止するよう
オプションとして選択可能な形態で設定(固定)されればよい。図10に表示さ
れたそのオプションおよびボックスに関連付けられた諸機能を以下で説明する。
1.スタート(Start):スタート(開始)フィールド1013は、トラフィック
が分析されてその結果がGUIに表示される開始時間を指定するものである。 2.ストップ(Stop):ストップ(停止)フィールド1014は、トラフィック
が分析されてその結果がGUIに表示される終了時間を指定するものである。従
って、そのスタート/ストップ・フィールド1013および1014は、トラフ
ィックが分析されてからGUIを通してユーザに提示されるまでの間の時間を指
定する。スタートおよびストップ・フィールド1013および1014の内容(
コンテンツ)は、複数のフォーマットで表示してもよい。例えば、図10には日
付フォーマットでそのコンテンツが表示される。その代替構成として、そのコン
テンツが+/−時間として表示されて現在の時間に対する相対的時間が示されて
もよく、用語“現在(今、ナウ)”を用いて現在の時間を表してもよく、または
用語“したことがない(ネバー)”を用いてそのデータが連続的に更新されるべ
きことを表してもよい。 3.ウィンドウ(Window):ウィンドウ(窓)フィールド1015は、第2のフ
レーム1030においてプロットされる値を計算する時間間隔(期間)を示すも
のである。例えば、ユーザがウィンドウ・フィールドとして“1”を入力した場
合、プロット・フィールドにおける値は1秒毎にプロットされる。ユーザは、そ
のプロットの分解能を示すための適当な単位を用いて、ウィンドウ・フィールド
に値を入力してもよい(例えば、水平スケールの単位が時間である場合の時間分
解能を示すための1s、1ms、100μs、・・・)。空欄のウィンドウ・フ
ィールド1015は、水平スケールにおけるその分解能が自動的に設定されるべ
きことを示している。 4.トップN(Top N):トップ(上位)Nフィールド1016は、テーブル・
フレーム1010の第2の部分1012に現れるテーブル1023用のエントリ
の最大数を指定するものである。トップNが10である場合は、テーブル102
3は、特定の列の値によって降順にソートされた10行を含んでいる。トップN
が−10である場合は、テーブル1023は、特定の列の値によって昇順にソー
トされた10行を含んでいる(即ち、これがボトム(下位)Nのノーション(概
念)になる)。 5.フィルタ(Filter):フィルタ・ウィンドウ(フィールド)1017は、表
示されるデータに適用されるフィルタを記述するものである。例えば、フィルタ
は、リンク層プロトコルIEEE802.3を用いたパケットに対する結果を表
示するための“プロトコルIEEE802.3”にできるであろう。IPトラフ
ィックだけを示すように前に濾波されたデータに対して、“ホスト10.0.0
.1”のフィルタは、ソースまたは宛先のホストのいずれかが10.0.0.1
であった場合のIPトラフィックに対する結果を表示するであろう。種々の複雑
なフィルタも可能である。 6.ドゥDNS(Do DNS):ドゥDNS(DNS実行)チェックボックス101
8は、テーブル1023における各エントリを数(ニューメリカル)表現からテ
キスト表現に変換するものである。例えば、IPにおいて、数表現(IPアドレ
ス)を用いてホストが識別される。DNS(ドメイン・ネーム・サーバ)はIP
アドレスのこの数表現からテキスト表現へのマッピングを含んでいてもよい。例
えば、ドゥDNSチェックボックスがチェックされたときに、IPアドレス10
.0.0.1をテキスト表現foo.niksun.comに変換してもよい。DNS以外のプ
ロトコルに対して、チェックボックスに付与されるラベルはそれに従って同等の
機能に応じて変化する。 7.ヘルプ(Help):各フィールドの隣にあるヘルプ・ボタン1019は、選択
されたときに、コンテキスト(文脈、状況)に敏感な支援(アシスタンス)の表
示を生じさせるものである。例えば、フィルタ1017の隣のヘルプ・ボタンが
選択された場合、フィルタに対するヘルプ・ウィンドウがポップアップするであ
ろう。 8.リフレッシュ(Refresh):リフレッシュ・ボタン1020は、全てのフレ
ームの内容(コンテンツ)をリフレッシュ(復元)するものである。 9.フォワードおよびバックワード・ボタン(Forward and Backward Buttons)
:テーブル・フレーム1010の第1の部分1011のトップ(頂部)における
フォワード(進む、順方向)1021およびバックワード(戻る、逆方向)10
22のボタンは、整列された全てのフレームの内容(コンテンツ)を保つ付加さ
れた機能を有するブラウザの“フォワード”および“バック”ボタンと同様に機
能するものである。それに対して、ブラウザの“フォワード”および“バック”
ボタンをクリックすると、フレーム単位で順方向の動きおよび逆方向の動きを生
じさせ、従って種々のフレームの相互間の対応関係が失われる。
【0077】 プロット・フレーム1030は、プロット1032、1034、テキスト入力
ボックス、および選択可能なボックスおよびボタンを含んでいる。そのテキスト
入力ボックスおよび選択可能なボックスは、ユーザによるオプションの選択を防
止しテキスト・ボックスにおけるユーザ入力を防止するようオプションとして選
択可能な形態で設定(固定)されればよい。 1.アップデート・テーブル・アンド・プロット(Update Tables and Plots、
テーブルおよびプロットを更新する):このボタン1036は、調整(coordina
te)された形態でそのテーブルおよびフレームを更新するものである。例えば、
ユーザがマウスを用いてそのプロットの一部を選択することによってズームイン
する場合は、そのボタン1036をクリックすることによって、ズームインされ
た選択された時間領域に対するプロットおよびテーブルが更新されるであろう。 2.バイト/パケット・カウント(およびビット/パケット・レート)(および
ユティリゼーション)(Byte/Packet Counts (and Bit/Packet Rates) (and Uti
lization(利用)):このボタン1037は、選択時に“バイト/パケット・カ
ウント”、“ビット/パケット・レート”および“ユティリゼーション”の3つ
のオプションの間でその1つを変更するものである。また、そのプロットは、そ
れに従って、或るウィンドウにおけるバイト/パケット・カウントから、ビット
およびパケット・レート(即ち、1秒当たりのビットまたはパケットの数)へ、
さらにユティリゼーションへと変化させる。典型例の実施形態において、バイト
・プロットは、リンク速度に対する正規化された値を表示する(即ち、ビット・
レートをリンクまたはチャネルまたは仮想回路容量で除算してビット数毎秒で表
したもの)。 3.トグル・ペアレント・プロット(Toggle Parent Plot、ペアレント・プロッ
トをトグルする):このボタン1038は、次に説明するようにそのプロット上
のラインをトグル動作させるものである。 4.トグル・プロット・オブ・アベレージ(Toggle Plot of Average、平均プロ
ットをトグルする):トグル・プロット・オブ・アベレージのボタン1039は
、そのプロットのy軸の平均値(図示せず)が表示されるかどうかをトグル動作
させるものである。 5.プレイ/フォワード/ストップ/ファースト・フォワード/リワインド/フ
ァースト・リワインド/ポーズ・ボタン(Play/Forward/Stop/Fast Forward/Rew
ind/Fast Rewind/Pause Buttons):これらのボタン1040は、そのスクリー
ン上のプロットの再生を制御して、そのプロットを時間経過とともに更新させ時
間ととにもスクロールさせるものである。テーブル・フレーム1010における
そのテーブル1023は、プロット1032および1034とマッチ(一致)す
るように更新される。 6.トップ・プロット(Top Plot):図10に示されたトップ(頂部)プロット
1032は、バイト/秒で表現されたリンク・レベル・ビット・レートのプロッ
トである。 7.ボトム・プロット(Bottom Plot):図10におけるボトム(底部)プロッ
ト1034は、パケット/秒で表現されたリンク・レベル・パケット・レートの
プロットである。
【0078】 テーブル・フレーム1010におけるテーブル1023は、スタート1013
およびストップ1014のフィールドによって指定された期間において活動状態
にあることが見出されたプロトコルに基づいて自動的に発生される。図10にお
いて、テーブル1023は、スタート時間とストップ時間の間で、264K(K
=1000(キロ))IPパケットおよび919ARPパケットがネットワーク
・モニタによって受信されたことを示している。IPパケットおよびARPパケ
ットはそれぞれ99Mバイトおよび55Kバイトを含んでいる(M=100,0
00(メガ))。
【0079】 テーブル1023におけるエントリは、選択されたフィールドによってデータ
をソートするように選択できる。例えば、テーブルにおけるパケット・ヘッディ
ングがクリックされてそのテーブルがそのパケットの列によって動作(活動)の
降順にソートされ、かつそのヘッダが再度クリックされた場合には、逆の順序で
ソートされるであろう。その他のテーブル・ヘッディングの選択によって、同様
にそのエントリがソートされる。
【0080】 図11は本発明のズーム機能を示している。図10におけるスタート/ストッ
プ期間(時間間隔)7:18/12:02が、図11において9:00/10:
00の期間に狭められている。それに従って、テーブル1023およびプロット
1032が更新されている。スタート1013およびストップ1014、103
4のフィールド値は、フィールド1013、1014そのものにおける手動入力
によってまたはプロット1032、1034における期間の例えばマウス等によ
るグラフィック選択によって、調整されてもよい。その表示は、選択時に、その
選択された期間にズームする。そのプロットをズームインすると、ユーザによっ
て選択された期間においてそのプロットが再生成される。次いで、“アップデー
ト・テーブル・アンド・プロット(Update Tables and Plots)”ボタン103
6の選択によって、テーブル・フレーム1010におけるデータがプロット10
32、1034に同期する。また、ユーザが“オート・シンク(自動同期、auto
-synch)”機能(図示せず)を選択した場合は、そのプロットは自動的に更新で
きるであろう。“アップデート・テーブル・アンド・プロット”ボタン1036
は、ユーザが数回でそのデータを更新することなく所望の期間までズームするこ
とを可能にする。それによって、最後の期間が選択されるまでネットワーク・モ
ニタによる不要な処理を減少させることができるという利点が得られる。
【0081】 図10におけるテーブル1023においてエントリとしてリストアップ(リス
ト)されているプロトコルは、ハイパーリンクとしてユーザによって選択可能で
、例えば、その選択されたプロトコル内にカプセル化されたプロトコルがリスト
アップされる。図10におけるテーブル1023におけるIPエントリをクリッ
クまたは選択すると、結果として図12の表示が得られる。その選択によって、
図10のプロット・フレーム1030におけるプロット1032、1034は、
図12におけるプロット1232、1243におけるIPトラフィックだけを表
示するように自動的に更新する。
【0082】 そのプロットは、リンク層からの全てのトラフィックをライン・チャート(線
グラフ)1235として、全てのIPトラフィックをバー・チャート(棒グラフ
)として示す。この二重表示フォーマットは、前のレベル(この場合はイーサネ
ット)の全てのトラフィックと比較したときの1つのレベル(この場合はIP)
の全てのトラフィックの両者の間の相関関係のグラフィック表現を与える。
【0083】 また、テーブル・フレーム1210におけるテーブルの内容(コンテンツ)は
、IPトラフィックに対応するように更新される。テーブル1223は、“スタ
ート”時間と“ストップ”時間の間のモニタ中のリンク上で使用されていた全て
のIPプロトコルをリストアップする。この特定の場合において、TCP、UP
DおよびICMP IPプロトコルだけが見出された。また、IPホストによる
動作が表示されてもよい。テーブル・フレーム1210をスクロール・ダウンす
ることによって、ソース・ホストによるIPカウントのテーブルが、TopN=
2の場合について図13に示されているように表される。
【0084】 図13において、ホストによって発生されたトラフィックに対するソース・ホ
スト・テーブル1302に、ホストによって受信されたトラフィックに対する宛
先ホスト・テーブル1304に、およびホストによって発生され受信されたトラ
フィックに対するホスト・テーブル1306に、トラフィックが表示される。テ
ーブル・フレーム1310におけるリンク1308上でクリックすることによっ
て、図14に示された“ホスト−ペア(ホスト・ペア、host-pair)”テーブル
1402の表示が発生される。
【0085】 ホスト−ペア・テーブル1402は、識別された各ペア(対)に対するホスト
のペアの間で送信されたパケットおよびバイトの合計の数をリストアップしてい
る。
【0086】 “宛先ホスト”例えば10.0.0.47(図14における1404)を選択
すると、その選択された“宛先ホスト”によってそのトラフィックをさらに濾波
してホスト10.0.0.47に宛てたトラフィックだけが表示される。これが
図15に示されている。図15において、テーブル1502は、この場合、スタ
ートとストップの間の期間にモニタされたトラフィックに対して、全てホスト1
28.32.130.10から10.0.0.47に宛てたトラフィックを示す
【0087】 従って、ホスト128.32.130.10だけが、“スタート”時間と“ス
トップ”時間の間で10.0.0.47にトラフィックを送信していることが分
かる。プロット・フレーム1530におけるプロット1532、1534は、こ
れら2つのホストの間のこの動作を、バー・チャート1535としておよび全て
のトラフィックをライン・チャート1536として、表示する。また、カラーを
用いてプロットまたはテーブル中のデータを区別する。
【0088】 図12におけるテーブル1223におけるTCPエントリが選択された場合は
、プロトコル・スタックを上がって、テーブル・フレーム1610は、図16に
示されているように、基礎となる(underlying)各アプリケーション1612に
対するTCPレベル・カウントを含むように更新される。例えば、設計された期
間において受信された21メガバイト(MByte)を含んだ27K HTTP
(web)パケットが存在した。
【0089】 図16において、“TCPフロー(TCP Flow)”ボタン1604が選択された
場合、全てのTCPフローが、図17に示されているように持続時間および性能
メトリックとともに表示される。TCPフローは、2つのホストの間の1つのT
CPセッションに属する1組のパケットを含んでいる。各フローはプロットされ
ればよく、またはその対応するパケットは、所望のTCPフローにそれぞれ対応
する“プロット”ボタン1702または“pkts”ボタン1704を選択する
ことによって表示される。ドゥDNSオプションが選択された場合には、全ての
TCPホストIPアドレスがそのそれぞれのネーム(例えば、foo.niksun.com)
によって置き換えられるであろうことに留意すべきである。ユーザは、例えば1
0.0.0.47のような特定のホストを識別するリンクのような他のリンク上
でクリックすることによって、フローを収集(集計)してもよい。ユーザが10
.0.0.47(1706)上でクリックした場合、ホスト10.0.0.47
に対する収集(集計)されたフローは図18に示されているように表示される。
【0090】 図18は、ホスト10.0.0.47から発信している全てのTCPフローを
示している。図18における表示は、10.0.0.47ホストに選択したフィ
ルタを図17に表示されたデータに適用することによって発生されたものである
。さらに、フィルタを、同様に図18におけるその他のホスト(ハイパーリンク
)上でクリックすることによって適用することもできる。例えば、“ターム・ホ
スト(Term Host)”の列において、ユーザがホスト10.0.0.5(180
2)を選択した場合には、ホスト10.0.0.47(ソースとして)とホスト
10.0.0.5(宛先として)の間の全てのフローが表示される。
【0091】 図16のスクリーン表示に“TCPパフォーマンス(TCP performance(TC
P性能))”選択を提示して、例えばTCPパフォーマンス・テーブルを発生さ
せてもよい。“TCPパフォーマンス”ハイパーリンク上でクリックすることに
よって、図19に示されているようにTCP用のパフォーマンス・テーブル19
02を表示してもよい。明確にするために図19に全体のテーブルのフレームが
表示されている。その表示は、最悪の2つの実行中のTCPクライアントおよび
サーバ(TopNフィールド値2)に対する“トラブルドTCPクライアント(
Troubled TCP Clients(障害のあるTCPクライアント))”テーブルおよび“
トラブルドTCPクライアント(Troubled TCP Servers(障害のあるTCPサー
バ))”テーブルを含んでいる。スタート・フィールドおよびストップ・フィー
ルドによって指定された期間にわたって、そのテーブルは、各TCPクライアン
トまたはサーバに対して次の測定(結果)を示す。 1.ナンバ・オブ・コネクション(No. of Connections):これは、クライアン
トまたはサーバに対するTCP接続の合計数である。 2.TCPデータ・バイト(TCP Data Bytes):これは、全てのTCP接続によ
って搬送されるデータ・バイトの合計数である。 3.TCPグッド・プット(バイト毎秒)(TCP goodput(Bytes/sec)):これは
、TCPペイロード・スループット(アプリケーション・スループット)または
TCPグッド・プットを示している。即ち、アプリケーション・バイトの合計数
を、それらのバイトを送信するのに必要な時間で除算してその数の接続について
平均したものである。 4.TCPスループット(バイト毎秒)(TCP throughput (Bytes/sec)):これ
は、TCP接続において搬送されたバイトの合計数を時間で除算したもの(TC
Pフォロー・レート)である。 5.アベレージRTT(Avg RTT(平均RTT)):これは、その数の接続を通
るクライアントとサーバの間の平均ラウンドトリップ時間を示している。 6.アベレージ・レスポンス(Avg Response):これはサーバからクライアント
までの平均応答時間を示している。 7.リトランスミット%(Retransmit %):これは、再送された(輻輳、欠落ま
たは遅延、またはその他の理由によるもの)TCPバイトの百分率を示している
【0092】 TCPパフォーマンス・テーブルは、ユーザ・インタフェースを介してその他
のメトリックを追加しまたは現在のメトリックを削除するようカストマイズされ
てもよい。
【0093】 図16におけるhttpハイパーリンクを選択することによって、結果として
図20に示したようなwebトラフィック(http)に対する統計的情報の表
示が得られる。
【0094】 図20のスクリーン表示に“httpパフォーマンス(http performance(h
ttp性能))”選択が提示されて、例えば、httpパフォーマンス・テーブ
ルを発生させる。“httpパフォーマンス”ハイパーリンク上でクリックする
ことによって、図21に示されているようにhttp用のパフォーマンス・テー
ブル2102が表示される。明確にするために図21に全体のテーブル・フレー
ムが示されている。その表示は、最悪の2つの実行中のWWWクライアントおよ
びサーバ(トップNフィールド値が2)に対する“トラブルドWWWクライアン
ト(Troubled WWW Clients(障害のあるWWWクライアント))”テーブルおよ
び“トラブルドWWWサーバ(Troubled WWW Servers(障害のあるWWWサーバ
))”テーブルを含んでいる。
【0095】 httpパフォーマンス・テーブル2102におけるメトリックは、オンライ
ンで生成されて、障害のあるWWWクライアントおよびWWWサーバとしてユー
ザに表示されてもよく、または直ぐに動作させるためにネットワーク管理システ
ムに直接供給されてもよい。これらのメトリックは、ネットワーク・アドミニス
トレータ(管理者)が悪いサーバおよび接続を識別するのを助ける。また、この
情報を、webサーバ・オペレータに、より広い帯域幅を購入しまたは彼のサー
バを設定するよう通知するためのベース(基礎)として用いてもよい。さらに、
それを用いて、クライアントに、彼らがより広い帯域幅を必要としているかもし
れないこと、または別のサービス・プロバイダを選択する必要があるかもしれな
いことを通知することができる。従って、それらのメトリックを用いてユーザに
与えられるサービスの品質を改善してもよく、それらのメトリックは最終的にネ
ットワーク・アドミニストレータに別の収入を与えるかもしれない。例えば、テ
ーブル“トラブルドWWWサーバ”において、リストアップされた第2のサーバ
(204.162.96.10)は約33%のwebアボート(打ち切り)を示
した。これは、そのwebサイトからの顧客の33%の潜在的ロス(消失、逸失
)を示している。
【0096】 テーブル・フレーム1610は、図16に示されているように基礎となる(un
derlying)各アプリケーション1612に対するTCPレベルのカウントを含む
ように更新される。例えば、設定された期間において受信された21メガバイト
(MByte)を含んだ27K HTTP(web)が存在した。
【0097】 図12におけるUDPハイパーリンク1240が選択されると、プロトコル・
スタックを上がって、図22の表示がUDPトラフィックのレベルを示すように
提示される。テーブル・フレーム2210において、各UDPアプリケーション
またはIDPポートについての動作を示す“UDPレベル・カウント(UDP Leve
l Counts)”テーブルが表示される。例えば、その表示は、69KByte(キ
ロバイト)を含んだ453個のドメイン・パケットが存在することを示した。
【0098】 UDP帯域幅使用は合計のIPの約0.32%だけであったことに留意すべき
である(図12におけるテーブル1223を参照)。従って、プロット・フレー
ムは、UDPトラフィック(BLUE(青)のもの)を縮小するIPトラフィック(
RED(赤)グラフ)だけを示す。“トグル・ペアレント・ディスプレイ(Toggle
Parent Display)”上でクリックすることによって、ユーザは、IPに対するプ
ロット(ペアレント・プロット)が除去されると、UDPトラフィック上のY軸
だけをズームすることができる(これは示されていない)。
【0099】 図22における“Mボーン(MBONE)”ボタン2202が選択されると、図2
3に示されているようなMBONE(マルチメディア・バックボーン)セッションの
アプリケーション層分析(結果)の表示が得られる。
【0100】 図22におけるボタン・フレーム2250における“ビュー・パケット(View
Packets(パケット表示))”ボタン2204の選択によって、図24に示され
ているように全てのパケットのダンプが与えられる。ネットワーク・モニタは全
てのパケットを記録できるので、全てのパケットおよびその内容(コンテンツ)
が表示できる。図24の表示におけるリンクによって、ユーザは、そのデータス
トリームを柔軟に濾波できる。ユーザが10.0.0.12(2402)上でク
リックした場合、次のダンプのスクリーンは10.0.0.12へのおよび10
.0.0.12からのパケットだけを含んでいる。次のそのスクリーンにおいて
、ユーザが10.0.0.5を選択した場合、その更新された表示は10.0.
0.12と10.0.0.5の間のパケットだけを示すであろう。また、ユーザ
は、ポートを選択することによってさらにそのダンプを品質評価(qualify、修
飾)することもできる。スクリーン表示の頂部における選択2404からダンプ
のタイプを選択することによって、ダンプ・パケットに対する種々のオプション
が適用できる。
【0101】 図22のボタン・フレーム2250における“レコメンド(Recommend(推奨
))”ボタン2206の選択によって、ネットワークに対するリアルタイム容量
または帯域幅推奨(値)の表示が結果として得られる。“レコメンド”ボタン2
206の選択を検出すると、ネットワーク・モニタは、数学的モデルを用いて、
ユーザが見ているデータを翻訳(解釈)して、アプリケーション(またはその他
のタイプのトラフィック)による帯域幅使用に対する推奨(値)、または特定の
サービス品質を得るためのリンク/スイッチ容量の設定に対する推奨を提示する
。図25にはそのような幾つかの統計的情報2502が示されている。ユーザは
、分析されたトラフィックのタイプに対する所望のサービス品質を支援(サポー
ト)するのに必要な容量に対する推奨を得るために、例えばロス・レート(欠落
率)および最大遅延のような所望のサービス品質の値を入力してもよい。図25
および26は、設定可能な推奨(値)を示している。
【0102】 典型例の実施形態において、ユーザは、特定のアプリケーションと、特定のサ
ービス品質レベルに対するネットワーク資源の“サイズを決定”したい“ビジー
期間”を選択してもよい。次いで、ネットワーク・モニタにおける適当なサブル
ーチンが、特定のアプリケーション・トラフィックを分析し、“モデル・パラメ
ータ”を抽出して分析する。数学的モデル、およびパラメータおよびサービス品
質のパラメータ(例えばパケット・ロス・レート(欠落率)、ネットワーク遅延
、フレーム・レート、等)の推定を用いて、その数学的モデルは、例えば統計的
マルチプレクス・ゲイン(多重化利得)、容量要求およびバッファ割り当てのよ
うな統計的情報を計算し、また、サービス品質要求を満たしながらネットワーク
利用を最大化するためのスイッチ/ルータ構成、ネットワーク資源またはサーバ
・パラメータを、ユーザに提供する。そのような推奨(レコメンデーション)は
、リアルタイムで計算できる。その際、様々なサービスに属する全てのパケット
または1組のパケットに対して統計的情報が更新され、また、サービス品質要求
を満たす動的資源割当を可能にするための最適構成における各フローに対して、
フィードバックをパスに沿って各ネットワーク要素を供給する。
【0103】 そのグラフのx軸2602はユーザの数を表し、y軸2604はビット毎秒の
容量を表す。所望のユーザ数に対して、その容量は、そのチャートから読み取ら
れ、または対応するテーブルによって算出した結果の表示から読み取られる。図
27は、IPアドレスがその登録されたネームに決定(分解)されるようにドゥ
DNSボタンが選択された場合について、図22の表示と同様の表示を例示して
いる。
【0104】 図28は、図22におけるボタン・フレーム2250に“スタティスティック
ス(Statistics(統計))”ボタン2208が選択されたときに表示される統計
的情報を示す表示である。“スタティスティックス”ボタン2208が選択され
ると、ネットワーク・モニタは、ユーザが現在見ているデータに基づいて種々の
統計的情報を計算する。典型例の統計的情報は、パケット・サイズ配分、プロト
コル配分、クライアント毎の帯域幅使用、ドメインによる帯域幅使用、サーバ当
たりの平均応答時間、サーバ−クライアントペア(対)の間の平均ラウンドトリ
ップ時間、およびパフォーマンス・メトリックを含んでいる。
【0105】 本発明は、ホスト・コンピュータとインタフェース・コンピュータの間の諸機
能の特定の分割(配分)に限定されるものではない。ホスト・コンピュータとイ
ンタフェース・コンピュータの機能は、1つのコンピュータによって実行される
。本発明によるネットワーク・モニタに対するインタフェースは、ユーザ・イン
タフェースに限定されることなく、モニタ中のネットワークまたは別の通信回線
を介するものであってもよい。
【0106】 図29は、ネットワーク・モニタ2902(NetDetector:ネットディテクタ
)を含む典型的なモニタ・システムを例示するもので、ネットワーク・モニタ2
902はタップ2906を介して第1の通信回線2904に結合されている。ネ
ットワーク・モニタ2902は、通信回線2904上のデータ通信(通話、トラ
フィック:traffic)を受信(モニタ)し、それらのパケットの特性に基づいて
データからあるパケットを選択する。ネットワーク・モニタ2902は、次いで
選択されたパケットを複数のデータ処理ユニット2908、2910、2912
のうちの1つに供給する。ネットワーク・モニタは受信したパケットを直ちにデ
ータ処理ユニットに供給することができるし、また濾波基準(尺度、標準)に従
ってパケットをストア(記憶、蓄積)し、後刻それを復元することもできる。受
信したパケットは、例えば、ソース・アドレス、宛先アドレス、パケットのタイ
プ(形式)、自立(autonomous)システム、ソース・ポート、時間、宛先ポート
、ネットワーク識別子、1対のホストの1あるいはそれ以上に基づいて選択され
る。
【0107】 この構造によれば、大きな処理能力(処理量、スループット)ならびに大容量
の蓄積能力を有するネットワーク・モニタ2902に対して、このネットワーク
・モニタ2902の処理能力よりも小さい処理能力を有するデータ処理ユニット
2908乃至2912を使用して、幾つかの選択されたパケットのグループの各
々について並列的にデータ処理機能を実行させることが可能になる。 例示の実施形態では、データ処理ユニット2908,2910、2912は侵入
発見システム(IDS)である。ネットワーク・モニタ2902は、選択された
パケットのグループを各IDSに供給し、システムが単一の侵入発見システムの
場合よりも高い処理能力をもって侵入に対してスキャン(精査、綿密に調査)す
ることができるようにする。
【0108】 このシステムは、通信回線から受信したパケットを選択するために基準(尺度
、標準)に基づいて侵入発見システムを最適化することができる。例示の実施形
態では、ネットワーク・モニタは、記憶媒体上のセッションを記録(レコーディ
ング)し、異なるIDS装置に向けてセッション(またはフロー:flows、例え
ば、TCP/IPフロー−SYN-FIN)を再生することによって、あるいは
ネットワーク・キャプチャ装置から、通信回線上と同じまたは異なるプロトコル
の下にある、またはエンクリプテット(encrypted)フォーマットにある1個の
または複数のインタフェースまたはデータ処理ユニットへ直説セッションを流す
ことによって上記の最適化を行う。
【0109】 セッションは、例えば、SOURCE IP->DEST IPからのすべての
パケットとして、または1個のSOURCE IPまたはネットワーク(Networ
k)からのすべてのものとして、または1対のホスト間のTPCの流れとして、
または1対のホスト間のHTTPの流れとして、または1個のホストまたはネッ
トワーク(Network)からのUDPパケットとして識別される。
【0110】 このシステムは、特定のIDSに対する分配のために単一ポート用のポート・
スキャンに対応するすべてのパケットを選択することによって、異なるデータ処
理ユニットまたはIDSへの分配用のパケットをランダムに選択するシステム全
体にわたるポート・スキャンの改善された検出を行う。これは、また低速(遅い
率)または高速(早い率)で生じる可能性のあるポート・スキャンまたはアドレ
ス・スキャンを識別し、またサービスの否定(Denial of Service)またはサー
ビス・アタック(攻撃)の分配(配信)された否定が生じたネットワーク、ホス
トを識別し、履歴(設定された標準または閾値に対する1日の中の時刻、週の中
の曜日)活動(動作)と比較されたホストまたはユーザからの異常なトラフィッ
ク(通信量)または“ふるまい(反応、作用:behavior)”、電子商取引におけ
る偽のまたは異常なトランザクション(処理、取り扱い、取引)、例えば1つの
IPアドレスから異なる複数のユーザに対する株式取引(stock exchange)に関
する取引を処理するための突然の活動(動作)、を識別するためにシステムの能
力を改善することができる。
【0111】 図30は、ネットワークをモニタするためのネットワーク・モニタの階層を示
す。この階層は、単一のインタフェースでネットワーク・モニタ・システム集中
化管理を可能にするものである。ユーザは、ネットワーク・モニタの1個のネッ
トワークを見ることができ、またそれらの互いの階層的関係を見ることができる
。ネットワーク中の任意のユニットを構成することができ、またトラフィック(
通行量、通信量)の統計値を一体化されたユーザのインタフェースから見ること
ができる。
【0112】 集中化管理により、一体化構成を可能にし、また単一のインタフェースで多数
のネットワーク・モニタ(NetVCR)ノードのアクセスを可能にする。ネットワー
ク・モニタはアンセスタ(先祖:ancestor)/ディセンダント(子孫:descendan
t)の階層に構成され、アンセスタはそのディセンダントに関する情報を維持し
、ディセンダントはその状況(およびこのディセンダントの任意の状況)をそれ
らの直前のアンセスタに報告(report)する。集中化された管理インタフェース
によりすべてのディセンダントのノードを容易に見ることが可能になり、トラフ
ィック分析(Traffic Analysis)およびネットワーク・モニタ構成のインタフェ
ースへのアクセスを与えことができる。
【0113】 新しいネットワーク・モニタがネットワークに追加されると、登録処理(レジ
ストレーション・プロセス:registration process)を開始するために直前のア
ンセスタのIPアドレスをもって構成する必要がある。新しいディセンダントの
ネットワーク・モニタはそのアンセスタのノードを用いて登録し、それ自体およ
びそのディセンダントに関する情報を供給する。アンセスタは、そのデータベー
ス中にそのディセンダント(または複数のディセンダント)の記録を生成する。
登録後、ディセンダントはキープ−アライブ(生存:keep-alive)メッセージを
その直前のアンセスタに周期的に送る。ディセンダントがシステムから除去され
ると、アンセスタはもはやそのディセンダントからの信号を受信することはなく
、アンセスタはディセンダントの状態をダウン(オフライン)に設定する。
【0114】 図31は、階層ネットワーク・モニタ・システムの集中化管理インタフェース
を示す。集中化管理は、NetVCRネットワークの“ファミリ・ツリー(fami
ly tree)”ビュー(観察)を与える。インタフェースは各種のNetVCRユ
ニットの階層関係を図式に示す。ツリー観察は、一度に1レベル拡大され、ユー
ザがNetVCRネットワークの階層をドリルダウン(drill down)することを
許容する。
【0115】 インタフェースの左側面はNetVCRツリー・ビューを含んでいる。これは
、ディレクトリ(登録簿:directory)、サブディレクトリ(サブ登記簿:subdi
rectory)およびファイルのファイル・マネージャ(file manager)の表示とフ
ォーマットにおいて類似している。ツリー・ビューは、頂部、アナリシス(An
alysis)、SLA、およびアラーム(Alarms)を横切る3個のタブを有し
ている。図31では、アナリシス・タブのみが実行される。最初に、ツリー・ビ
ューは完全に消失(崩壊)し、ルート・ノード(root node)のみがツリー中で
可視であることを意味する。ダブルクリックすることによりノードはその1レベ
ル拡大し、ノードのすぐ隣のディセンダントが現れるようにする。ダブルクリッ
クすることにより、ノードは再びブランチを消失(崩壊)させる。
【0116】 各ノード名の左のアイコンはNetVCRネットワーク中のその役割を示す。
グローブ(globe)のアイコンはアンセスタのノードを示し、コンピュータのア
イコンはディセンダントのみのノードを示す。アイコンが赤に変わると、ノード
は一般にオフラインすなわちディセンダントとアンセスタとの間の通信リンクが
失われる。
【0117】 ノード上を1回クリックすると、そのノード上のデータベースに関する情報を
持ったネットワーク・トラフィック・データ・テーブル(Network Traffic Da
ta Table)をツリー・ビュー(tree view)の右に配置する。そのテーブルは次
の情報を供給する。
【0118】 Recorded On:データセット(dataset)を記録したNetVCRのホームネー
ム。
【0119】 Interface :データセットのインタフェース形式。
【0120】 Status:データセットの記録状態。これは次の4個の値の1つを持つことがで
きる。即ち、記録(Recording)、停止(Stopped)、保管されたレコーディング
(Archived Recording)および保管停止(Archive Stopped)(各用語の定義に
ついてはチャプタ3(第3章)を参照のこと)。
【0121】 Comment:データセット構成ページ(Dataset Configuration Page)で定義さ
れているようなデータセットのデータセット名(Dataset Name)。
【0122】 Data Start and Data Stop(データ開始およびデータ停止):データセットの開
始及び停止時間・ Device(装置):トラフィック(通信量:traffic)データを記録するために
使用される物理的インタフェース。
【0123】 Network Traffic Data Table(ネットワーク・トラフィック・データ・テーブ
ル)の底には、テーブル上の水平および垂直グリッド・ラインをイネーブルする
(動作可能にする)2個のボタンがある。一旦データセットがネットワーク・ト
ラフィック・データ・テーブル(Network Traffic Data Table)から選択される
と、Data Table(データ・テーブル)の右のDataset Operation Menu(データセ
ット・オペレーション・メニュ)が、表示すべきデータのパラメータを指定する
ために使用される。これらのフィールドおよびボタンはデータセット分析のため
の制御に対応する。
【0124】 Start and Stop(開始および停止):分析のために必要な時間間隔。時間間隔を
指定することに関する詳細についてはUser’s Guide(ユーザのガイド)のChapt
er 4を参照されたし。
【0125】 Protocol Layer(プロトコル・レア):(Frame(フレーム)、Link(リンク
)、IP、TCP、およびUDPを含む)分析のために利用可能なプロトコル・
レアのプルダウン・メニュのリスト。
【0126】 Analyze(分析):このボタンをクリックすると、スタート(Start)、ストッ
プ( Stop)、およびプロトコル・レア(Protocol Layer)のフィールドによっ
てセットされたパラメータを使用して、選択されたデータセット用のNetVCR Ana
lysis Pageに接続する(この特徴に関するより詳細についてはUser’s Guide(
ユーザのガイド)のChapter 4を参照されたし)。
【0127】 Configure(構成):このボタンは、選択されたデータセット用のNetVCR Datase
t Configuration Page)に接続する(この特徴に関するより詳細についてはUser
’s Guide(ユーザのガイド)のChapter 3を参照されたし)。
【0128】 Reports(レポート):このボタンをクリックすると、NetVCR Reports Pageに
接続し、ユーザは標準(Standard)およびカスタム(Custom)レポートを見るこ
とができる。
【0129】 Schd. Reports:このボタンは、選択されたデータセットおよび選択されたプ
ロトコル・レア用のNetVCR Report Configuration Pageに接続する Autonomous System(AS:自立したシステム)は、単一のまたは明確に指定
された外部ルーチン・ポリシ(方針、処理、政策)を有する1あるいはそれ以上
のネットワーク・オペレータによって操作されるIPネットワークのグループで
ある。例えば、有効な資格(適性、技能:qualification)は、(net 121.
097.0.0 mask 255.255.0.)または(121.09 mask
255.255.0.0)または(net 121.100/16)になり得る。
【0130】 分配ネットワーク・モニタは、ネットワークを横切ってデータの相関と集合を
行うようにする。これは、(ソース:source)へのネットワークを横切ってイベ
ント(事件、出来事)(例えば、ハッカーまたはクラッカー(cracker)の活動
)を追跡するようにする。これはインタフェースを横切る正確な時間スタンプに
より有効である。
【0131】 ネットワーク・モニタは、侵入者を表すパターンに対してスキャン(精査、細
かく調べる)ことができる。すなわち、すべての侵入点(entry points)上のポ
ート・スキャン(port scans)、侵入点(entry points)上のテルネット(teln
et)の試み、サービス・アタック(攻撃)の否定(denial)を表すパターン、サ
ービス・アタックの調整された否定(coordinated denial)を表すパターン、シ
ステムへのバック・ドア(秘密の:back door)侵入を表すキー・ファイルへの
修正をスキャンすることができる。
【0132】 ネットワーク・モニタは次のために使用される。 ・ 侵入(entry)点を閉鎖(shut down)するために“Request for Action(ア
クションに対する要求)”通知(notification)を供給する。 このアクションは、知識のある代理人(intelligent agent)によってACLへ
の修正(変形:Modification)によって、またはオペレータによって行うことが
できる。 ・ “バック・ドア(back door)”が生成されたか否かの決定。 ・ ハッカーによって作られたすべての追加の侵入パス(entry path)を閉じる
(close)ために“Request for Action(アクションに対する要求)”の通知(n
otification)を供給する。このアクションは、知識のある代理人またはオペレ
ータによって実行される。 ・ ハッカーの行為の履歴を表示する。 ・ 突破されたシステム(breached system)にダウンロードされた任意のファ
イルの記録を与える。 ・ 何が妥協(解決)されたかを確認し、“Request for Action”の通知(noti
fication)を供給し、それによって管理者は、受けた損害を無効にする“undo”
行動をとることができるようにする。 ・ 起訴(遂行:prosecution)のために容疑者に関する情報、すなわち“証拠
の痕跡”を提供する。
【0133】 NetDetector(ネットディテクタ)によってサポートされる特定のアプリケーシ
ョンには次のものが含まれる。 - 外部侵入者をあらわすパターンをスキャン(精査、細かく調べる)し、進行
中(継続中)のアタック(攻撃)の可能性に関する管理者を変更する。 - 内部の全職員による共同資源の誤用のパターンをスキャン(精査、細かく調
べる)する。 - 侵入者がすでに進行中であるか否か、バック・ドア(秘密のドア:back door
)が作られているか否か、何が妥協されたか、および容疑者に関する詳細な情報
を識別するために、ネットワーク内にすでに配置された防御システムの第1のラ
インと共同して動作する。 - 連続して拡張し、アラームのパターンを改善するために自己学習することが
できる知能の高いエンジン(才能)と共同して動作する。
【0134】 本発明によるネットワーク・モニタは、異常な活動(アクティビティ:activi
ty)を検出するために次の閾値を設定することができる。 - アプリケーションの特定の組に対して、共通のIPアドレス(ソースまたは
宛先のいずれか)を必然的に含むIPホスト・ペア(host pair)接続の数はy
の時間窓を超えるxを超過する。xおよびyはユーザによる構成が可能なもので
ある。アプリケーションのセットは、例えばテルネット(telnets)およびピン
(pings)のような1組の肯定的なルールと、“not http”のような否定的なル
ールを含んでいる。
【0135】 これはサービス攻撃(Service attacks)およびIPホスト・スキャン(精査
、細かく調べる)の否定を追跡するために使用することができる。 - 特定のIPホスト・ペア(host pair)に対して、バイト率(byte rate)は
xを超過するか、またはyの維持された期間を超える。xとyはユーザによる構
成が可能なものである。アプリケーションのセットは、例えばテルネット(teln
ets)およびピン(pings)のような1組の肯定的なルールと、“not http”のよ
うな否定的なルールを含んでいる。
【0136】 これは特定のソースからの宛先に対する疑惑のある“過度の”使用を追跡する
ために使用することができる。例えば、特定のホストに対するブレーク・イン(
割り込み:break-ins)がある。 - 特定のIPホスト(host)に対して、個々のセッションの数がxを超過する
か、またはyの維持された期間を超える。xとyはユーザによる構成が可能なも
のである。アプリケーションのセットは、例えばテルネット(telnets)および
ピン(pings)のような1組の肯定的なルールと、“not http”のような否定的
なルールを含んでいる。
【0137】 これは特定のソースからの宛先に対する疑惑のある“過度の”セッション活動
を追跡するために使用することができる。例えば、特定のホストに対するブレー
ク・イン(割り込み:break-ins)がある。 - モニタされたリンクの利用率がxを超過するか、または期間yの期間中維持
される。xとyはユーザによる構成が可能なものである。 これは、サービス攻撃(service attacks)の否定を追跡するために使用するこ
とができる。 - 無効なソースまたは宛先IPアドレスをもったパケットがモニタされたリン
クを横断する。(これは、終了ネットワーク・クラウド(end network cloud)
を含む1組の“有効”IPソース・アドレスを静的に(statically)に指定する
ことができれば行われる。) 一方向リンクについては、ソースおよび宛先は各
別にチェックされる。イーサネット(Ethernets)のような割り当てられた(分
けられた)メディア(媒体)については、ソースおよび宛先アドレスの両方が無
効である場合のみアラームをトリガすることができる。
【0138】 これはスプーフド(だました、ちゃかした、ふざけた:spoofed)アドレスに
対してチェックすることができる。 - ペイロード中の一般的な(generic)バイトのパターンに対するチェック。こ
の特徴は、ユーザが指定したバイトのパターンのマッチ(match)に対する選択
されたパケット(濾波されたトラフィック)をスキャンする(精査、詳しく調べ
る)。(エリック、このハプニングを短期間だけ見ないでくれ。いずれにしても
それを追加するよ。:Eric-don’t see this happening in the short term, bu
t added it anyway.) ALARMING FEATURE(警告の特徴) 閾値を超過したとき、SNMPトラップが接続された管理(処理、制御)シス
テムに送られる。さらに、ウエブ基準(web-based)インタフェースに関する警
告(アラーム)を示すために、ジェイナス(Janus)に警告(alarming)が与え
られる(e−メールを受信したとき特にその傾向がある)。
【0139】 GUI/CONFIGURATION FEATURE(ガイ/コンフィグレーションの特徴) ユーザは、閾値チェックのために必要なパラメータを構成することができる。
このことは、上述のようにして指定されたxおよびyは、閾値を指定するたに必
要な他の情報、例えば“有効(valid)”ソースおよび/または宛先アドレスの
みならず、ユーザによる指定が可能なものであることを意味する。 - 他のIPホストとの開始された“過大(excessive)”な接続量をもった単一
のIPを指定する能力。 - 時間間隔(スパン)、過大とみなす接続を試みる数、過大とみなすべき試み
の頻度(frequency)を指定する能力。 - 接続中で使用される過大なポート(port)の過大な量とのIP接続に対する
単一のIPを指定する能力。 - ネットワークの活動状態(動作状態、アクティビティ)が“正常な閾値(nor
mal thresholds)”(拡張された期間に対する帯域幅スパイク)を超過した時を
決定する能力。 - 過大と考えられるスパイクの時間間隔(スパン)および高さを指定する能力
。 - ユーザが、指定されていないポートへのあらゆる接続を試みるときに“有効
なポート”および警告(アラーム)のリストを指定する能力。 - 不審な(疑念のある:、suspicious)活動(動作)が生じたときにネットワ
ークの管理者に警告する能力。 - ネットワークの管理者のスクリーンに音声および可視的警告を与える能力。 - 警告に関して最大の融通性(例えば、ペイジャ(pager)、セルホーン(cell
phone)、e-メール)を管理者に与える能力。
【0140】 構成上の総覧(Architectural Overview) 図32はネットディテクタ・システム(NetDetector system)の基本的な構成
を示す。
【0141】 制御モジュール(Control Module)は全ての他のネットディテクタ・コンポー
ネント(NetDetector components)(楕円形で示されている)の活動(動作)と通
信し、指示する。これには次のものが存在する。 - 活動(動作)検出器(Activity Detector):ネットワークの活動(動作)お
よびパターン認識(Pattern Recognition)モジュール、 - データ・マネージャ(Data Manager):データ・アーカイブ(データ保管:D
ata Archive)およびエクスポート・モジュール(Export Module)、 - 警告発生器(Alerter):警告モジュール(Alert Module)、 コンフィギュレーション・モジュール(構成モジュール:Configuration Modu
le)は制御モジュールを形成する(適合させる)。コンフィギュレーション・モ
ジュールはパターン認識データベース(Pattern Recognition Database)(DB)
に応答し、これから検出されるべきパターン、およびとるべき行動(動作)が活
動(動作)検出器(Activity Detector)によって読み取られる。
【0142】 警告モジュール(Alert Module)は、形成された活動(動作)パラメータに従
って警告を発生するように応答する。警告は、例えばSNMPトラップ、Ema
il(Eメール)、ペイジャ(pager)、またはコンソール(Console)のように
、ユーザによって選択される各種の形式がある。
【0143】 データ・マネージャ(Data Manager)は2つのコンポーネントを持っている:
アーカイブ・モジュール(Archive Module)とエクスポート・モジュール(Expo
rt Module)。アーカイブ・モジュール(Archive Module)は警告を与える事象
に関係のあるパケット・データをセーブ(節約)するように応答し、それによっ
て正規のエージング・プロセスはそれを消去しない。エクスポート・モジュール
(Export Module)は関連するデータをさらに分析するために外部システムに転
送するのを管理する。
【0144】 指定された期間を超過して継続するネットワーク・トラフィック(ネットワー
ク通信量)の突然のピークを検出することによって、ネットディテクタ(NetDet
ector)は、可能性のあるDoS攻撃(アタック:attack)が進行中であるとき
信号を発生する。さらに、未決のSYN要求およびICMPエコー要求パケット
のトラックを保持する(キープする)ことは、可能性のあるDoS攻撃(アタッ
ク)を検出する他の方法である。
【0145】 本発明によるネットワーク・モニタは、変化を指定(特定:specifying)する
ネットワーク管理者なしに、増加したネットワーク活動(動作)が標準(一般水
準、平均)になったときを自覚する(示す、悟る)ことができるように自己学習
する。 - e−メール中の規則正しい表現(表示:expression)サーチ(SMTP/P
OP分析)、ウエブ・ページ(web pages)(HTTP分析)、および他のアプ
リケーション・レベルのメッセージ(例えば、FTB、TELNET)。 - 外部侵入検出システム(external Intrusion Detection Systems)との共同
作業性(interoperability)
【0146】 以上、或る特定の実施形態を参照して例示し説明したが、本発明は、示した詳
細に限定しようとするものではない。むしろ、請求の範囲の範囲および均等手段
の範囲内で本発明の精神から逸脱することなくその詳細について種々の変形を行
うことができる。
【図面の簡単な説明】
【図1】 図1は、通信回線に結合された本発明によるネットワーク・モニタを示してい
る。
【図2】 図2は、典型例のプロトコル階層を例示している。
【図3】 図3は、本発明による典型例のネットワーク・モニタのブロック図である。
【図4】 図4は、本発明による通信回線をモニタする典型例の方法を例示するフローチ
ャートである。
【図5】 図5は、本発明によるネットワーク・モニタのデータ収集および分析方法の多
数の順列配置である。
【図6】 図6は、障害サーバを識別する方法を例示するフローチャートである。
【図7】 図7は ネットワークにおける別々の2つの通信回線に結合された本発明によ
るネットワーク・モニタを用いたネットワークを示している。
【図8】 図8は、伝送遅延を求める方法を例示するフローチャートである。
【図9】 図9Aは、インタフェース・コンピュータに同期させるホスト・コンピュータ
の動作を例示するフローチャートである。図9Bは、ホスト・コンピュータに同
期させるインタフェース・コンピュータの動作を例示するフローチャートである
【図10】 図10は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図11】 図11は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図12】 図12は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図13】 図13は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図14】 図14は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図15】 図15は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図16】 図16は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図17】 図17は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図18】 図18は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図19】 図19は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図20】 図20は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図21】 図21は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図22】 図22は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図23】 図23は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図24】 図24は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図25】 図25は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図26】 図26は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図27】 図27は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図28】 図28は、モニタ・パラメータを受信するユーザ・インタフェースを例示し、
および通信分析情報を表示し提供する方法を例示するスクリーン表示である。
【図29】 図29は、本発明の典型的な実施形態による典型的ネットワーク・モニタ・シ
ステムを示している。
【図30】 図30は、分配形ネットワーク・モニタ・システムを例示するブロック図であ
る。
【図31】 図31は、階層的ネットワーク・モニタ・システムの中央集中化された管理用
のユーザ・インタフェースを示すスクリーン・ディスプレイである。
【図32】 図32は、本発明の典型的な実施形態によるネットワーク・モニタのブロック
図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE,TR),OA(BF ,BJ,CF,CG,CI,CM,GA,GN,GW, ML,MR,NE,SN,TD,TG),AP(GH,G M,KE,LS,MW,MZ,SD,SL,SZ,TZ ,UG,ZW),EA(AM,AZ,BY,KG,KZ, MD,RU,TJ,TM),AE,AG,AL,AM, AT,AU,AZ,BA,BB,BG,BR,BY,B Z,CA,CH,CN,CR,CU,CZ,DE,DK ,DM,DZ,EE,ES,FI,GB,GD,GE, GH,GM,HR,HU,ID,IL,IN,IS,J P,KE,KG,KP,KR,KZ,LC,LK,LR ,LS,LT,LU,LV,MA,MD,MG,MK, MN,MW,MX,MZ,NO,NZ,PL,PT,R O,RU,SD,SE,SG,SI,SK,SL,TJ ,TM,TR,TT,TZ,UA,UG,US,UZ, VN,YU,ZA,ZW (72)発明者 パラーグ プルーシ アメリカ合衆国 ニユージヤージー州 08816 イースト・ブランズウイツク マ ーロー・ロード 18 Fターム(参考) 5B085 AC11 AC14 AE29 5K030 GA11 GA15 HC01 HC13 HD03 MA04 MC07 MC08

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 (a)通信回線からデータを受信するステップと、 (b)上記データをパケットに分離するステップと、 (c)パケットを各特性に基づいて選択するステップと、 (d)選択されたパケットを複数のデータ処理ユニットのうちの1つに供給す
    るステップと、 を含む、通信回線上のデータを処理する方法。
  2. 【請求項2】 ステップ(c)は、セッションに対応するパケットを選択す
    ることを含む、請求項1に記載の方法。
  3. 【請求項3】 ステップ(c)は、ソース・アドレス、宛先アドレス、自立
    システム、ソース・ポート、宛先ポート、およびネットワーク識別子および1対
    のホストの少なくとも1つに基づいてパケットを選択することを含む、請求項1
    に記載の方法。
  4. 【請求項4】 ステップ(d)は、選択されたパケットを、複数の侵入発見
    装置のうちの1つに供給することを含む、請求項2に記載の方法。
  5. 【請求項5】 ステップ(d)の前にさらに選択されたパケットを暗号化す
    るステップを含む、請求項1に記載の方法。
  6. 【請求項6】 ステップ(c)は、各タイプに基づいてパケットを選択する
    ことを含む、請求項1に記載の方法。
  7. 【請求項7】 さらに、分離されたパケットをストアするステップを含み、
    またステップ(c)は、ストアされたパケットを各特性に基づいて選択すること
    を含む、請求項1に記載の方法。
  8. 【請求項8】 ステップ(a)は、第1のプロトコルの下でデータを受信す
    ることを含み、ステップ(d)は選択されたパケットを、上記第1のプロトコル
    とは異なる第2のプロトコルの下で供給することを含む、請求項1に記載の方法
  9. 【請求項9】 (a)通信回線からデータを受信するステップと、 (b)上記データをパケットに分離するステップと、 (c)パケットを各特性に基づいて選択するステップと、 (d)選択されたパケットに対応する統計値を発生するステップと、 (e)上記統計値の履歴値に基づいて閾値を発生するステップと、 (f)統計値が閾値を超過すると警報信号を発生するステップと、 を含む、通信回線上のデータを処理する方法。
  10. 【請求項10】 統計値は、1つのソース・アドレスから受信された異なる
    ユーザのパケットの数に対応する、請求項9に記載の方法。
  11. 【請求項11】 統計値はキー・ファイルを修正するために受信されたパケ
    ットの数に対応する、請求項9に記載の方法。
  12. 【請求項12】 統計値は、共通ソースまたは宛先アドレスに関連するホス
    ト・ペア接続の数に対応する、請求項9に記載の方法。
  13. 【請求項13】 統計値は、ホスト・ペアに対応するパケット・レートに対
    応する、請求項9に記載の方法。
  14. 【請求項14】 統計値は、ホストに対応する個々のセッションに対応する
    、請求項9に記載の方法。
  15. 【請求項15】 統計値は、所定の時間周期にわたる通信回線の利用に対応
    する、請求項9に記載の方法。
  16. 【請求項16】 統計値は、無効ソースまたは宛先アドレスの数に対応する
    、請求項9に記載の方法。
  17. 【請求項17】 各通信回線からのデータを受信するように結合された複数
    のネットワーク・モニタと、 複数のネットワークモニタの各々に結合されていて、受信データの少なくとも
    1つと、複数のネットワーク・モニタの少なくとも1つからの受信データに対応
    する統計値を受信する管理モジュールと、 を含むネットワーク上の通信をモニタするシステム。
  18. 【請求項18】 (a)第1の通信回線からデータを受信するステップと、 (b)上記第1の通信回線からのデータをパケットに分離するステップと、 (c)第2の通信回線からのデータを受信するステップと、 (d)上記第2の通信回線からのデータをパケットに分離するステップと、 (e)第1の通信回線からの選択されたパケットの少なくとも1つと、上記第
    1の通信回線からの選択されたパケットに対応する統計値を中央管理モジュール
    に供給するステップと、 (f)第2の通信回線からの選択されたパケットの少なくとも1つと、上記第
    2の通信回線からの選択されたパケットに対応する統計値を中央管理モジュール
    に供給するステップと、 を含む、ネットワーク上の伝送されたデータを収集し、分析する方法。
JP2001585059A 2000-05-12 2001-05-12 ネットワーク用のセキュリティ・カメラ Pending JP2003533925A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US20365200P 2000-05-12 2000-05-12
US60/203,652 2000-05-12
PCT/US2001/015601 WO2001088731A1 (en) 2000-05-12 2001-05-12 Security camera for a network

Publications (2)

Publication Number Publication Date
JP2003533925A true JP2003533925A (ja) 2003-11-11
JP2003533925A5 JP2003533925A5 (ja) 2008-07-10

Family

ID=22754787

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001585059A Pending JP2003533925A (ja) 2000-05-12 2001-05-12 ネットワーク用のセキュリティ・カメラ

Country Status (10)

Country Link
US (1) US8275875B2 (ja)
EP (2) EP2018018B1 (ja)
JP (1) JP2003533925A (ja)
AT (2) ATE406615T1 (ja)
AU (1) AU2001263127A1 (ja)
DE (2) DE60135550D1 (ja)
DK (1) DK1297440T3 (ja)
ES (1) ES2313959T3 (ja)
SG (1) SG143052A1 (ja)
WO (1) WO2001088731A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100442702C (zh) * 2005-01-05 2008-12-10 华为技术有限公司 实现调制解调器信号故障分析的方法及装置
US8020205B2 (en) 2004-02-02 2011-09-13 Cyber Solutions Inc. Unauthorized information detection system and unauthorized attack source search system
JP2015019372A (ja) * 2013-07-09 2015-01-29 テクトロニクス・インコーポレイテッドTektronix,Inc. データ分析システム及び方法
WO2021085455A1 (ja) * 2019-11-01 2021-05-06 日本電気株式会社 データ集計装置、データ集計方法、及びプログラム

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7080160B2 (en) * 2000-04-27 2006-07-18 Qosmetrics, Inc. Method for creating accurate time-stamped frames sent between computers via a network
US7325029B1 (en) * 2000-08-08 2008-01-29 Chang Ifay F Methods for enabling e-commerce voice communication
GB2386531B (en) * 2000-11-29 2005-07-06 Unilogic Inc Method of facilitating operations on data
US8255791B2 (en) 2000-11-29 2012-08-28 Dov Koren Collaborative, flexible, interactive real-time displays
US7058843B2 (en) * 2001-01-16 2006-06-06 Infonet Services Corporation Method and apparatus for computer network analysis
US7451110B2 (en) * 2001-05-18 2008-11-11 Network Resonance, Inc. System, method and computer program product for providing an efficient trading market
US7124299B2 (en) * 2001-05-18 2006-10-17 Claymore Systems, Inc. System, method and computer program product for auditing XML messages in a network-based message stream
US7936693B2 (en) * 2001-05-18 2011-05-03 Network Resonance, Inc. System, method and computer program product for providing an IP datalink multiplexer
US7464154B2 (en) * 2001-05-18 2008-12-09 Network Resonance, Inc. System, method and computer program product for analyzing data from network-based structured message stream
US6874089B2 (en) * 2002-02-25 2005-03-29 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US7769997B2 (en) * 2002-02-25 2010-08-03 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
TWI244297B (en) * 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
US7716737B2 (en) * 2002-11-04 2010-05-11 Riverbed Technology, Inc. Connection based detection of scanning attacks
JP2006506842A (ja) 2002-11-13 2006-02-23 ケイティーフリーテル シーオー リミテッド 移動通信網でのパケットデータ分析装置及びその方法
US7263553B2 (en) * 2003-04-11 2007-08-28 Alcatel Network manager SNMP trap suppression
US7602725B2 (en) * 2003-07-11 2009-10-13 Computer Associates Think, Inc. System and method for aggregating real-time and historical data
US7817567B2 (en) * 2003-07-28 2010-10-19 Jds Uniphase Corporation Troubleshooting a specific voice over internet protocol (VOIP) telephone call transmitted over a communications network
US8127356B2 (en) * 2003-08-27 2012-02-28 International Business Machines Corporation System, method and program product for detecting unknown computer attacks
US7698730B2 (en) * 2004-03-16 2010-04-13 Riverbed Technology, Inc. Service detection
DK1736016T3 (en) 2004-04-14 2015-09-28 Mbalance Res B V Process for the prevention of delivery of spam via sms
WO2005119476A2 (en) * 2004-05-19 2005-12-15 Wurld Media, Inc. Routing of digital content in a peer-to-peer dynamic connection structure
US7672003B2 (en) * 2004-09-01 2010-03-02 Eric Morgan Dowling Network scanner for global document creation, transmission and management
US7603460B2 (en) * 2004-09-24 2009-10-13 Microsoft Corporation Detecting and diagnosing performance problems in a wireless network through neighbor collaboration
EP1667360A1 (en) * 2004-12-06 2006-06-07 BMC Software, Inc. Generic discovery for computer networks
US20060230450A1 (en) * 2005-03-31 2006-10-12 Tian Bu Methods and devices for defending a 3G wireless network against a signaling attack
US7774849B2 (en) * 2005-04-15 2010-08-10 Tekelec Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network
US7704347B2 (en) * 2005-05-27 2010-04-27 Prairie Packaging, Inc. Reinforced plastic foam cup, method of and apparatus for manufacturing same
US7552841B2 (en) * 2005-05-27 2009-06-30 Prairie Packaging, Inc. Reinforced plastic foam cup, method of and apparatus for manufacturing same
US7536767B2 (en) * 2005-05-27 2009-05-26 Prairie Packaging, Inc. Method of manufacturing a reinforced plastic foam cup
US7818866B2 (en) 2005-05-27 2010-10-26 Prairie Packaging, Inc. Method of reinforcing a plastic foam cup
US7814647B2 (en) * 2005-05-27 2010-10-19 Prairie Packaging, Inc. Reinforced plastic foam cup, method of and apparatus for manufacturing same
US7694843B2 (en) * 2005-05-27 2010-04-13 Prairie Packaging, Inc. Reinforced plastic foam cup, method of and apparatus for manufacturing same
US20070033641A1 (en) * 2005-07-07 2007-02-08 Acenet Technology Inc. Distributed Network Security System
US8965334B2 (en) * 2005-12-19 2015-02-24 Alcatel Lucent Methods and devices for defending a 3G wireless network against malicious attacks
EP1871038B1 (en) * 2006-06-23 2010-06-02 Nippon Office Automation Co., Ltd. Network protocol and session analyser
DE102006035834A1 (de) * 2006-08-01 2008-02-07 Nokia Siemens Networks Gmbh & Co.Kg Analyseeinheit für ein paketvermittelndes Kommunikationsnetz
WO2008124947A1 (en) * 2007-04-16 2008-10-23 Neuralitic Systems A method and system for filtering ip traffic in mobile ip networks
US20090006252A1 (en) * 2007-06-29 2009-01-01 Ebay Inc. Billing data report system
US7839268B2 (en) * 2007-08-22 2010-11-23 International Business Machines Corporation Method, system and program product for tonal audio-based monitoring of network alarms
KR101397012B1 (ko) * 2007-11-20 2014-06-27 엘지전자 주식회사 단말기 및 단말기의 데이터 통신을 위한 서비스 설정 방법
US8949257B2 (en) * 2008-02-01 2015-02-03 Mandiant, Llc Method and system for collecting and organizing data corresponding to an event
GB2503128B8 (en) * 2008-10-09 2014-03-12 Sonicwall Inc Computer networks
US8553582B1 (en) * 2009-01-08 2013-10-08 Marvell Israel (M.I.S.L) Ltd. Traffic spraying in a chassis-based network switch
US8828170B2 (en) 2010-03-04 2014-09-09 Pactiv LLC Apparatus and method for manufacturing reinforced containers
US9350616B1 (en) * 2010-05-11 2016-05-24 Trend Micro Inc. Bandwidth prediction using a past available bandwidth value and a slope calculated from past available bandwidth values
US8789176B1 (en) * 2011-03-07 2014-07-22 Amazon Technologies, Inc. Detecting scans using a bloom counter
US9172659B1 (en) 2011-07-12 2015-10-27 Marvell Israel (M.I.S.L.) Ltd. Network traffic routing in a modular switching device
GB2499237A (en) * 2012-02-10 2013-08-14 Ibm Managing a network connection for use by a plurality of application program processes
EP2696322B1 (en) * 2012-08-10 2018-12-05 Zhilabs S.L. Action triggering based on Subscriber Profile
CA2920122A1 (en) * 2013-08-08 2015-02-12 Ricoh Company, Limited Program, communication quality estimation method, information processing apparatus, communication quality estimation system, and storage medium
US10148669B2 (en) * 2014-05-07 2018-12-04 Dell Products, L.P. Out-of-band encryption key management system
US9608879B2 (en) 2014-12-02 2017-03-28 At&T Intellectual Property I, L.P. Methods and apparatus to collect call packets in a communications network
ES2580304B1 (es) * 2015-02-19 2017-07-12 Endesa Generación, S.A. Sistema de inspección y diagnóstico de infraestructuras yprocedimiento asociado
US10693724B1 (en) * 2015-02-25 2020-06-23 Amazon Technologies, Inc. Context-sensitive techniques for optimizing network connectivity
US10440035B2 (en) * 2015-12-01 2019-10-08 Cisco Technology, Inc. Identifying malicious communication channels in network traffic by generating data based on adaptive sampling
US10904150B1 (en) 2016-02-02 2021-01-26 Marvell Israel (M.I.S.L) Ltd. Distributed dynamic load balancing in network systems
US10218986B2 (en) * 2016-09-26 2019-02-26 Google Llc Frame accurate splicing
CN107087006B (zh) * 2017-05-24 2019-08-16 全讯汇聚网络科技(北京)有限公司 一种协议分流方法、系统及服务器
WO2019211650A1 (en) * 2018-05-02 2019-11-07 Pratik Sharma Cloud data segregator
JPWO2022059328A1 (ja) * 2020-09-17 2022-03-24

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2830270B2 (ja) 1990-01-17 1998-12-02 日本電気株式会社 Lanモニタ回路
JP3315404B2 (ja) 1990-09-28 2002-08-19 ヒューレット・パッカード・カンパニー ネットワークのトポロジ的特徴を探知する方法
EP0477448B1 (en) 1990-09-28 1995-07-12 Hewlett-Packard Company Network monitoring device and system
GB2261799B (en) 1991-11-23 1995-04-19 Dowty Communications Ltd Packet transmission system
JPH05227218A (ja) 1992-02-10 1993-09-03 Nec Corp パケット交換網の伝播遅延測定システム
JP3212040B2 (ja) 1992-03-23 2001-09-25 株式会社荏原製作所 遠心送風機
US5483468A (en) 1992-10-23 1996-01-09 International Business Machines Corporation System and method for concurrent recording and displaying of system performance data
JPH07321783A (ja) 1994-05-25 1995-12-08 Fuji Xerox Co Ltd ネットワーク監視装置
US5615323A (en) 1994-11-04 1997-03-25 Concord Communications, Inc. Displaying resource performance and utilization information
US5570346A (en) 1994-12-08 1996-10-29 Lucent Technologies Inc. Packet network transit delay measurement system
US6044400A (en) * 1995-03-25 2000-03-28 Lucent Technologies Inc. Switch monitoring system having a data collection device using filters in parallel orientation and filter counter for counting combination of filtered events
US5521907A (en) 1995-04-25 1996-05-28 Visual Networks, Inc. Method and apparatus for non-intrusive measurement of round trip delay in communications networks
GB2300789B (en) 1995-05-12 2000-04-05 Gen Datacomm Adv Res Data network
US5790605A (en) 1995-07-28 1998-08-04 Motorola, Inc. Method for determining voting windows in a diversity repeater
JPH0946391A (ja) 1995-08-01 1997-02-14 Nippon Telegr & Teleph Corp <Ntt> データパケットへのタイムスタンプ付加方法
US5781449A (en) * 1995-08-10 1998-07-14 Advanced System Technologies, Inc. Response time measurement apparatus and method
US5878420A (en) 1995-08-31 1999-03-02 Compuware Corporation Network monitoring and management system
US5812528A (en) 1995-11-17 1998-09-22 Telecommunications Techniques Corporation Measuring round trip time in ATM network virtual connections
US5761191A (en) 1995-11-28 1998-06-02 Telecommunications Techniques Corporation Statistics collection for ATM networks
US5905736A (en) 1996-04-22 1999-05-18 At&T Corp Method for the billing of transactions over the internet
US5787253A (en) * 1996-05-28 1998-07-28 The Ag Group Apparatus and method of analyzing internet activity
US5734962A (en) 1996-07-17 1998-03-31 General Electric Company Satellite communications system utilizing parallel concatenated coding
US5850386A (en) * 1996-11-01 1998-12-15 Wandel & Goltermann Technologies, Inc. Protocol analyzer for monitoring digital transmission networks
US5867483A (en) 1996-11-12 1999-02-02 Visual Networks, Inc. Method and apparatus for measurement of peak throughput in packetized data networks
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6085243A (en) * 1996-12-13 2000-07-04 3Com Corporation Distributed remote management (dRMON) for networks
US6006264A (en) 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US6073089A (en) 1997-10-22 2000-06-06 Baker; Michelle Systems and methods for adaptive profiling, fault detection, and alert generation in a changing environment which is measurable by at least two different measures of state
JP2002521919A (ja) * 1998-07-21 2002-07-16 レイセオン カンパニー 情報セキュリティ解析システム
US6954775B1 (en) * 1999-01-15 2005-10-11 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
CN100405784C (zh) 1999-06-30 2008-07-23 倾向探测公司 用于监控网络流量的方法和设备
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US7429319B2 (en) 2005-07-26 2008-09-30 Rufus Davis Sewage slurry separation system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8020205B2 (en) 2004-02-02 2011-09-13 Cyber Solutions Inc. Unauthorized information detection system and unauthorized attack source search system
CN100442702C (zh) * 2005-01-05 2008-12-10 华为技术有限公司 实现调制解调器信号故障分析的方法及装置
JP2015019372A (ja) * 2013-07-09 2015-01-29 テクトロニクス・インコーポレイテッドTektronix,Inc. データ分析システム及び方法
WO2021085455A1 (ja) * 2019-11-01 2021-05-06 日本電気株式会社 データ集計装置、データ集計方法、及びプログラム
JPWO2021085455A1 (ja) * 2019-11-01 2021-05-06
JP7294442B2 (ja) 2019-11-01 2023-06-20 日本電気株式会社 データ集計装置、データ集計方法、及びプログラム

Also Published As

Publication number Publication date
AU2001263127A1 (en) 2001-11-26
EP2018018A2 (en) 2009-01-21
DE60144035D1 (de) 2011-03-24
ES2313959T3 (es) 2009-03-16
DE60135550D1 (de) 2008-10-09
DK1297440T3 (da) 2008-12-15
EP2018018A3 (en) 2009-04-08
ATE498270T1 (de) 2011-02-15
EP2018018B1 (en) 2011-02-09
EP1297440A1 (en) 2003-04-02
US20040015582A1 (en) 2004-01-22
EP1297440A4 (en) 2006-10-18
EP1297440B1 (en) 2008-08-27
US8275875B2 (en) 2012-09-25
ATE406615T1 (de) 2008-09-15
SG143052A1 (en) 2008-06-27
WO2001088731A1 (en) 2001-11-22

Similar Documents

Publication Publication Date Title
JP2003533925A (ja) ネットワーク用のセキュリティ・カメラ
US8873410B2 (en) Apparatus and method for collecting and analyzing communications data
EP1367771B1 (en) Passive network monitoring system
US7313141B2 (en) Packet sequence number network monitoring system
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
EP1618706A2 (en) Methods and systems for monitoring network routing
CN115766471B (zh) 一种基于组播流量的网络业务质量分析方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050120

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050120

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080512

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080512

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20080512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100622

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100922

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100930

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101221