JP2005348416A - フロー単位のトラフィック推定 - Google Patents
フロー単位のトラフィック推定 Download PDFInfo
- Publication number
- JP2005348416A JP2005348416A JP2005163604A JP2005163604A JP2005348416A JP 2005348416 A JP2005348416 A JP 2005348416A JP 2005163604 A JP2005163604 A JP 2005163604A JP 2005163604 A JP2005163604 A JP 2005163604A JP 2005348416 A JP2005348416 A JP 2005348416A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- traffic
- ratio
- executions
- generating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
- H04L43/024—Capturing of monitoring data by sampling by adaptive sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【課題】リンクによって相互接続されたノードのネットワークにおいてフロー単位のトラフィックを推定する方法を提供すること。
【解決手段】この方法は、ノードへの入力トラフィック・ストリームをサンプリングする。サンプリング区間は、所望のレベルの精度に基づいて導出される。フロー毎の2回実行発生の数が、サンプル・ストリーム内で追跡される。フロー単位の2回実行の数は次いで、フローのトラフィックの推定値を生成するために使用される。
【選択図】図1
【解決手段】この方法は、ノードへの入力トラフィック・ストリームをサンプリングする。サンプリング区間は、所望のレベルの精度に基づいて導出される。フロー毎の2回実行発生の数が、サンプル・ストリーム内で追跡される。フロー単位の2回実行の数は次いで、フローのトラフィックの推定値を生成するために使用される。
【選択図】図1
Description
本発明は、通信ネットワークにおける複数のノードの間のデータ転送に関し、より詳細には、ネットワーク中のフロー単位のトラフィックの推定値を生成することに関する。
本出願は、2004年6月4日に出願した米国仮特許出願第60/577,279号(整理番号Hao3−32−32PROV)の出願日の権利を主張するものである。
本出願は、その教示が参照により本明細書に組み込まれている、2004年9月22日および本出願の出願と同日に出願した米国特許出願第08/xxx,xxx号(整理番号Hao3−32−32)に関する。
本出願は、その教示が参照により本明細書に組み込まれている、2004年9月22日および本出願の出願と同日に出願した米国特許出願第08/xxx,xxx号(整理番号Hao3−32−32)に関する。
パケット・ネットワークにおけるトラフィックの正確な測定は、トラフィック管理、アカウンティング、サービス拒否攻撃(DoS)検出、およびトラフィック・エンジニアリングの重要なコンポーネントである。ネットワーク内のトラフィックは、ネットワーク・フローに分類することができ、トラフィック測定はフロー単位の基準で実行される。ネットワーク・フローの定義は、アプリケーションに応じて変わる。例えば、フローは、IPパケット・ヘッダ内の5タプル(例えば、ソース/宛先ポート/アドレス)によって、特定の宛先(例えば、宛先アドレス・プレフィックスによって特徴付けられたノードまたはネットワーク)によって、またはソース・ネットワークによって特徴付けられる場合がある。ウィルスまたはワーム検出では、フローはまた、特定のワーム・シグネチャを含むパケットとして定義される場合もある。このフローの拡張定義では、パケットが特定のフローに属するかどうかをチェックすることは、ネットワーク・リソースに関して高価なオペレーションである。したがって、このオペレーションをあらゆるパケットにおけるフロー・レート測定に対して実行することを回避することが望ましい。
トラフィックを測定するために使用された1つの従来技術の手法は、ノード(例えば、ノードのルーター)に到着するトラフィックをサンプリングし、トラフィック到着のカウントをフロー単位の基準で維持し、次いで、フロー単位のトラフィックをこのトラフィック到着カウントに基づいて推定することである。しかし、多数のフローでは、この従来技術の手法は、フロー単位のトラフィック到着カウントを維持するためにかなりのメモリおよび処理リソースを必要とする。いくつかの場合、0.5〜1.0百万ものフローがバックボーン・パケット・ネットワーク内に存在する可能性がある。フロー単位のトラフィックの測定は、リアルタイム・トラフィック管理、ビリング、およびネットワーク・セキュリティにおけるいくつかのアプリケーションを有するので、正確なフロー単位のレート情報は、ルーターまたはネットワーク・リンクをトラバースするすべてのフローについて、フロー単位の状態を維持することなく、効率的に得られるべきである。
いくつかの特に重要な測定アプリケーションは、DoS、アクティブ・キュー管理、およびウィルス/ワーム検出用である。DoSアプリケーションでは、所与の宛先に向かうトラフィック・フローの急増はDoS攻撃の開始を示す可能性がある。推定を使用して、ネットワーク・ノードのトラフィックが異常であると判断し、アラームをトリガし、疑わしいフロー(トラフィック・ストリーム)のより詳細なモニタリングを起動することができる。アクティブ・キュー管理では、フロー単位の測定が、ネットワーク内のキューイングの公平性を可能にする。誤動作ソースの大きいフローを分離することで、ネットワーク内のフローの残りにおけるそれらの影響が減り、特に、オープン・ループのユーザー・データ・プロトコル(UDP)ソース、または、ラウンドトリップ時間において幅広いディスパリティを示す伝送制御プロトコル(TCP)ソースの、制御されていないフローに対して、それらの影響が減る。しかし、誤動作ソースからの比較的少数のフローを識別および追跡することは望ましくなく、これは、多数(数万から数十万も)の小さいソースを追跡することも必要となる場合があるからである。
ウィルス/ワーム検出アプリケーションでは、ネットワーク内のウィルス/ワーム攻撃を検出するために、パケット・ペイロードがフローとして見なされる場合がある。同じペイロードを有するいくつかのパケットは、ネットワーク中に広がるウィルス/ワームの開始を示す可能性がある。よく知られているウェブ・サイトのアドレスを含むものなど、一般のペイロードは、アラームをトリガするべきではないが、類似だが等しくはないペイロードを有するポリモアフィック型ワームは識別されるべきである。同じまたは類似のペイロードを有するパケットを測定することは、望ましいパケット・ペイロードと望ましくないパケット・ペイロードの間のこのような区別を可能にする場合がある。
他のアプリケーションには、過剰なメモリまたは処理リソースを消費するフロー(「ヘビー・ヒッター」)の追跡が含まれる。これらのヘビー・ヒッターを識別および追跡する1つの方法は、仮定された確率密度を有するフローのパケットをサンプリングし、パケットが属するフローが既にメモリ内にない場合、このフローがメモリに追加される。その時点から、そのノードに到着し、このフローに属するすべてのパケットがカウントされる。あらゆるパケットがカウントされるので、サンプリングされたフローはハッシュ・テーブル内で保持され、あらゆるパケット到着時に、適切なカウンタを増分するために、パケット・フローidがハッシュ・テーブルにハッシュされる。したがって、ランダム・サンプリングに比較して、各パケット到着時の処理が増すが、この方法は、メモリのサイズが小さくされるので、比較的実施しやすい。
しかし、フロー推定のための従来技術の大部分の方法はなお、大きいサンプル・サイズを必要とし、対応する大きいメモリ要件を有する。加えて、このような処理は、完了までにかなりの処理リソースおよびかなりの時間を要する場合がある。
米国仮特許出願第60/577,279号
米国特許出願第08/xxx,xxx号
リンクによって相互接続されたノードのネットワークにおいてフロー単位のトラフィックを推定する方法は、ノードへの入力トラフィック・ストリームをサンプリングする。サンプリング区間は、所望のレベルの精度に基づいて導出される。フロー毎の2回実行発生の数が、サンプル・ストリーム内で追跡される。フロー単位の2回実行の数は次いで、フローのトラフィックの推定値を生成するために使用される。
本発明の例示的実施形態によれば、ネットワーク・ノード内のフローのためのトラフィックの比率は、(i)サンプリング区間を所与の精度レベルに基づいて生成すること、(ii)サンプリング区間中のフロー毎の実行の回数を測定すること、および、(iii)フロー毎のフローの比率を、対応する実行の回数に基づいて生成することによって提供される。
本発明の他の態様、特徴および利点は、以下の詳細な説明、付属の特許請求の範囲、および添付の図面からより十分に明らかになるであろう。
本発明の理解を助けるものとして、以下の定義を説明する。本発明は、ネットワーク・フローの測定を通じたトラフィック測定に関し、このフローは、トラフィック測定アプリケーションに基づいて事前定義される。フローの集合Fは、ルーターなど、ノードで発生する。各パケット(到着とも呼ばれる)は、集合Fの1つのフローfに属する(すなわち、f∈F)。フローf∈Fへの到着率はa(f)と示され、ノードへの合計到着率(パケット/秒単位)はλによって示され、ただしλ=Σf∈Fa(f)である。フローf∈Fに属するノードへのトラフィックの比率はp(f)と示され、ただしp(f)=(a(f)/λ)である。
本発明の例示的実施形態によれば、a(f)についての推定値
がf∈F毎に生成される。具体的には、λの測定は比較的容易に実施することができるので、推定値
はf∈F毎にp(f)について決定され、次いで推定値
は、a(f)についての推定値
を生成するために使用される。p(f)の値は、到着パケットがフローfに属する確率に関係付けられ、p(f)は、推定が実行される期間(推定またはサンプリング期間)に渡って比較的定常である場合がある。到着パケットが所与のフローfに属する確率は、すべての他のパケット到着確率には依存しない可能性がある。所与のノードへの到着が依存する場合(すなわち、ノードに到着する次のパケットのフローidが現在のパケットのフローidに依存する場合)でも、到着ストリームのランダム・サンプリングはこの依存性を除去または軽減する。
このサンプリング方法は、いずれかの所与のフローf∈Fに対して、p(f)についての推定値
を、式(1)が真であるように決定する。
確率はαより大きい。したがって、
の誤差は、αより小さい確率により許容される場合がある。
例えば、サンプリングにおける要件は以下の通りである場合がある。すなわち、サンプリング期間の最後で、いずれかのフローfが与えられると、±0.00005の誤差
内でp(f)を決定し、確率αは99.99%より大きい。この要件は、β=0.0001およびα=0.9999に変わる。N(a,b)は、平均aおよび分散bを有する正規分布を表し、Zαは、単位正規分布に対するαパーセンタイルを示す。α=99.99%である場合、Zα’=4.0である。
例えば、サンプリングにおける要件は以下の通りである場合がある。すなわち、サンプリング期間の最後で、いずれかのフローfが与えられると、±0.00005の誤差
すべてのフローを所望のレベルの精度まで推定するために必要とされた時間の量は、推定時間であり、サンプリング区間とも呼ばれる。本明細書で説明する実施形態では、推定時間は、所望のレベルの精度についてのサンプルの数に関して与えられ、一定のパケット到着率について、そのまま時間測定値に変換される。
第1の例示的実施形態によれば、実行ベースのトラフィック・エスティメータ(RATE)方法は、各フローによって送信されたトラフィックの比率を決定する。RATE方法は、ノードで到着トラフィックのサブセットのみをサンプリングするが、より大きい比率のトラフィックを送信するフローが、より頻繁にサンプリングされるように、このサブセットを選択する。このような選択的サンプリングは、2回実行サンプリングを使用して可能にされる。フローf∈Fは、2つの連続サンプルが同じフローfに属する場合、2回実行を有するように定義される。比較的少数のパケットを生成するフロー・ソースは非常に低い確率によりサンプリングされるので、2回実行サンプリングにより検出されるフロー・ソースのリストは、比較的小さい可能性がある。このリストが小さいので、所与のRATEの実施は、比較的高いメモリ効率を示す可能性がある。
RATEは、以下の情報を維持することによって、2回実行を検出および測定する。2回実行(検出)レジスタ(TRR)は、ただ1つのフロー識別子(フローid)を保持し、フロー識別子は通常、最後に受信されたサンプルのフローidである。現在のフローのサンプルのフローidがレジスタのコンテンツ(値)と同じである場合、2回実行が検出される。2回実行カウント・テーブル(後述)は更新され、TRRの値はヌルに設定される。現在のサンプルのフローidがTRRの値と異なる場合、TRRは現在のサンプルのフローidに設定される。
2回実行カウント・テーブル(TCT)は、検出された2回実行を有しているフロー毎の、2回実行の数のためのカウントを維持する。2回実行が特定のフローについて検出されるとき、および、このフローが既にTCT内に含まれる場合、このフローのための2回実行カウントは1だけ増分される。2回実行が検出されているフローがTCTに含まれない場合、そのフローidがTCTに追加され、そのカウントは1に初期化される。
実施形態を本明細書で2回実行カウントに関して説明するが、これらの実施形態はそのように限定されない。当業者は、本明細書の教示をより長い実行に拡張することができ、これはN回実行カウントなどであり、Nは2より大きい正の整数(例えば、3回実行)であるか、または、3つの連続サンプルにおける2回の発生など、異なったサンプルのグループ内の発生などである。したがって、本明細書で使用されるとき、実行という用語はこのようなすべての変化を包含する。
図1は、フロー単位の推定のRATE方法の第1の例示的実施形態の流れ図を示す。RATE方法は、フローfによるトラフィックの比率を以下の方法で推定する。工程101で、所望の推定精度が信頼区間(誤差)パラメータβおよび確率αとして与えられると、RATE方法は最初に、サンプルの数TRを決定する(上付き文字「R」は、これがRATE方法で必要とされた区間におけるサンプルの数であることを示す。)工程102で、このTRのサンプリング区間中に、RATE方法はフローf∈F毎の2回実行N2(f)の数を測定する。工程103で、各フローfによるトラフィックの比率がN2(f)から推定される。
工程101および103について、標準正規分布のための以下の例は、サンプリング区間を生成する方法、および、サンプリング区間中の2回実行の数からトラフィックの比率を推定する方法を例示する。変数N2(f)は、TR個のサンプルおよび関数
におけるフローのための2回実行の数である。次いで、式(2)は真である。
したがって、推定値
は、式(3)において以下のように与えられる。
式(2)および(3)では、p(f)の分散σ(f)(または、推定された比率
が使用される場合、その推定値
)は、式(4)において以下のように与えられる。
推定値
のためのαパーセンタイル信頼区間は以下のように計算され、Zαが標準正規分布N[0,σ]のαパーセンタイルを示す場合、p(f)の推定値のためのαパーセンタイル信頼区間は、式(5)において与えられる。
αパーセンタイル信頼区間がβより幅広いべきでない場合、p(f)のすべての値についてσ(f)≦0.345である。したがって、信頼区間は式(6)の量より大きくない。
式(6)の量はβより小さく設定され、この不等式がTRについて解かれて、αパーセンタイル信頼区間がβより小さいという目的に達するようにサンプリングするための時間の長さが決定される。最小サンプリング時間
は、式(7)において与えられる。
以下の説明では、フローid iの関数(例えば、p(i)またはa(i))である所与の変数「v」について、表記viもまた使用され、これはv(i)に等しい。
図2は、図1の方法の例示的実施態様のブロック図を示す。工程201で、入力信頼レベルは、入力信頼区間幅βおよび誤差確率αとして定義される。工程202で、式(7)において与えられるものなど、サンプリング区間TRが計算され、Tがゼロに設定され、ただし、Tは、受信されたサンプルの総数のカウンタである。工程203で、2回実行カウント・テーブルTCTがヌル・セットに初期化され、2回実行レジスタTRRがヌルに初期化される。
工程204で、反復プロセスが到着毎に開始する。工程204で、現在の到着のフローid iが検索され、Tが増分される。工程205で、テストは、フローid iがTRRの値に等しいかどうかを判断する。工程205のテストが、フローid iがTRRの値に等しいと判断する場合、工程206で、TRRがヌルに設定される。
工程207で、テストは、iがTCTの要素であるかどうか(すなわち、フローid iが現在、2回実行カウント・テーブルTCTにおけるエントリであるかどうか)を判断する。工程207のテストが、フローid iがTCTの要素でないと判断する場合、工程208で、フローid iがTCTに追加される。工程207のテストが、フローid iがTCTの要素であると判断する場合、この方法は工程209に進む。工程209で、フローid iのためのTCTにおけるカウント値が1だけ増分される。工程209から、次いでこの方法は工程211に進む。
工程205のテストが、フローid iがTRRの値に等しくないと判断する場合、工程210で、TRRの値が現在のフローid iに設定される。工程210から、この方法は工程211に進む。工程211で、この方法は、サンプリング区間TRに到達されているかどうかを判断する。工程211のテストが、サンプリング区間TRに到達されていないと判断する場合、この方法は次の到着のために工程204に戻る。
工程211のテストが、サンプリング区間TRに到達されていると判断する場合、工程212で、各iについて、この方法はノードへのフローid iのためのトラフィックの比率piの推定値
を計算する。例示的正規分布では、工程212で、この方法は、式(3)に従って推定値
を計算する。工程213で、i毎に、この方法はノードへのフローid iのためのトラフィックの分散σiの推定値
を計算する。例示的正規分布では、工程213で、この方法は、式(4)に従って推定値
を計算する。工程214で、i毎に、この方法はフローid iのための信頼区間を計算する。例示的正規分布では、工程214で、この方法は、式(5)に従ってフローid iのための信頼区間を計算する。
第2の例示的実施形態によれば、フロー単位のトラフィック推定の方法は、加速RATE(ACCEL−RATE)と呼ばれ、入力ストリームをk個のサブストリームまたはバケットに一様にハッシュし、各バケットに割り振られたフローid毎に2回実行カウントを維持する。このようなACCEL−RATE方法は、例えば、シミュレーションまたは実験を通じて、kのための値の適切な選択によって、RATE方法の推定時間を短縮することができる。図3は、ACCEL−RATE方法によるパケット・ストリーム処理のブロック図を示す。
図3のように、ACCEL−RATE方法のためのパケット・ストリーム処理は、ハッシュ・モジュール301を備え、このモジュールはハッシュ関数を入力トラフィック・ストリームに適用する。ハッシュ関数を入力トラフィック・ストリームに適用することで、フローidをサブストリームに割り当てることによって、トラフィックをk個のサブストリーム302(1)から302(k)に分割する。各サブストリーム302(1)から302(k)は、対応する2回実行レジスタTRR303(j)を有し、1≦j≦kであり、TRR303(j)は、RATE方法について上述したものと類似の方法で動作する。2回実行カウント・テーブル(TCT)304は、フローidの各々のための検出された2回実行イベントのカウントを維持する。
入力トラフィック・ストリームの分割は、以下の利点を提供する。サブストリームに関連付けられた各フローは、合計のサブストリーム・トラフィックのより大きい部分を構成し、したがって、2回実行を得る確率は、RATE方法の元の非分割入力トラフィック・ストリームにおける確率よりも高い。
入力ストリームのフローid(または場合によっては、ウィルス/ワーム検出ではペイロード)が最初にハッシュされる。集合Fは可能なフローの集合であり、パケットはフローid fを有し、f∈Fであり、h(f)は、フローid「f」を集合{1,2,...,k}にマップするハッシュ関数を表す(すなわち、ハッシュ関数h(f)は、フローid fを有するパケットをサブストリーム(h(f))に送信する)。所望のレベルの精度を達成するためのサンプル期間に渡るパケットの数は、TAによって与えられ、上付き文字「A」はACCEL−RATE方法を示す。このサンプリング区間TA中に、ハッシュ関数はT[j]個のパケットをサブストリームjに割り当てる。したがって、
である。サブストリームj中の合計トラフィックとトラフィックの合計量の比r[j]は、式(8)において与えられる。
変数φ(f)は、フローfに属するサブストリーム(h(f))におけるトラフィックの部分を示す。したがって、ノードに到着するフローfのためのトラフィックの比率p(f)は、式(9)において以下のように与えられる。
RATE方法について上述したものと類似の方法で、導出および推定された比率、比率のための導出および推定された分散、および、フローfのためのトラフィックの推定比率についての信頼区間は、以下の通りである。関係式
を使用し、N2(f)がT[h(f)]個のパケットにおけるフローfのための2回実行の数であれば、式(10)は真である。
したがって、推定値
は、式(11)において以下のように与えられる。
式(9)および(10)では、p(f)の分散δ(f)は、式(12)において以下のように与えられる。
推定分散
は、推定比率
が使用される場合、式(13)において以下のように与えられる。
点推定値のためのαパーセンタイル信頼区間は以下のように計算され、Zαが標準正規分布N[0,δ]のαパーセンタイルを示す場合、p(f)の推定値のためのαパーセンタイル信頼区間は、式(14)において与えられる。
RATE方法とは異なり、ACCEL−RATE方法のための推定時間(サンプリング区間、サンプル・サイズ、およびサンプル期間)は動的に決定される。式(14)のαパーセンタイル信頼区間によって与えられた例示的正規分布では、αパーセンタイル信頼区間がβより大きいべきでない場合、
であり、式(15)が示唆される。
これは、いかなるフローfについても、どのサブストリームにそれがハッシュされるかに関係なく、真である。rmaxを式(16)のように定義すると、
rmax=max1≦j≦kr[h(f)=j], j=1,2,...,k (16)
次いで、式(15)を式(17)のように書き換えることができる。
ハッシュ関数が一様である場合、rmax=(1/k)であり、式(17)を式(18)のように書き換えることができる。
ただし、以下の通りである。
rmax=max1≦j≦kr[h(f)=j], j=1,2,...,k (16)
次いで、式(15)を式(17)のように書き換えることができる。
したがって、αおよびβを保持する最小サンプリング区間TAは、TA=TRrmaxを生じる。サンプリング区間はrmaxによって決まるので、rmaxはACCEL−RATE方法によって動的に追跡される。しかし、代替実施形態は、最大量のトラフィックを受信するサブストリームを追跡することができ、最大量のトラフィックはTmaxとして示され、ただし、rmax=(Tmax/T)であり、Tは、処理されたパケットの総数である。ACCEL−RATE方法は、j番目(1≦j≦k)のサブストリームにハッシュされたパケットの数T[j]を追跡する。ACCEL−RATE方法はこの変数Tmaxをゼロに初期化し、パケットがi番目のサブストリームにハッシュされるたびに、T[j]を増分し、T[j]をTmaxと比較し、T[j]がTmaxより大きい場合、Tmaxを増分する。次いで、量
が計算され、Tがこの量より大きい場合、サンプリング区間が完了する。
図4は、ACCEL−RATE方法によるフロー単位の推定の例示的実施態様を示す。工程401で、2回実行カウント・テーブルTCTのエントリおよび2回実行レジスタTRR[j]、1≦j≦kが、ヌルに設定される。i)サブストリームjへの到着の数T[j]、ii)処理されたパケットの総数T、およびiii)いずれかの単一のサブストリームに送信されたパケットの最大数Tmaxのための変数は、ゼロに初期化される。
工程402で、現在の到着のフローid fが検査され、Tが1だけ増分される。工程403で、ハッシュ関数がfに適用されて、サブストリーム数h(f)が生じる。工程404で、値T[h(f)]が1だけ増分される。工程405で、テストは、T[h(f)]がTmaxより大きいかどうかを判断する。工程405のテストが、T[h(f)]がTmaxより大きいと判断する場合、工程406で、Tmaxが1だけ増分され、この方法は工程407に進む。工程405のテストが、T[h(f)]がTmaxより大きくないと判断する場合、この方法は直接工程407に進む。
工程407で、テストは、現在のパケットのフローid fを、TRR[h(f)]に格納された値と比較する。工程407のテストが、現在のパケットのフローid fがTRR[h(f)]に格納された値と等しいと判断する場合、工程408で、TRR[h(f)]がヌルに設定される。工程409で、テストは、フローid fがTCTの要素であるかどうかを判断する。工程409のテストが、フローid fがTCTの要素でないと判断する場合、工程410で、フローid fがTCTに追加され、対応するカウンタ(N2(f))が初期化される。工程411で、対応するカウンタ(N2(f))が増分される。工程409のテストが、フローid fがTCTの要素であると判断する場合、工程411で、TCTにおける対応するカウンタ(N2(f))が1だけ増分される。工程411から、この方法は工程413に進む。
工程407のテストが、現在のパケットのフローid fがTRR[h(f)]に格納された値と等しくないと判断する場合、工程412で、TRR[h(f)]がフローid fに設定される。工程412から、この方法は工程413に進む。
工程413で、量
が計算される。工程414で、テストは、Tが
より小さいかどうかを判断する。工程414のテストが、Tが
より小さいと判断する場合、この方法は次のパケット到着のために工程402に戻る。工程414のテストが、Tが
より小さくないと判断する場合、この方法はサンプリングを終了する。
工程415で、この方法は、サブストリーム毎に、r[h(f)]=T[h(f)]/Tを計算する。工程416で、この方法は、フローf毎に、フローfのためのトラフィックの推定比率
、
の推定分散
、および推定のための信頼区間を計算する。いくつかの実施形態では、この方法は工程416で、式(11)、(13)および(14)の関係を使用することができる。
工程413で、量
工程415で、この方法は、サブストリーム毎に、r[h(f)]=T[h(f)]/Tを計算する。工程416で、この方法は、フローf毎に、フローfのためのトラフィックの推定比率
1つまたは複数の実施形態によるフロー単位のトラフィック推定は、以下の利点を提供することができる。ノードでのフローのためのトラフィックの比率を推定することは、比較的大きいメモリ要件なしに、比較的急速な推定時間を可能にする。加えて、トラフィックにおける高速過渡を追跡することができ、強化されたウィルス/ワーム検出、または、キューイングの公平性のため、および誤動作フローの分離のためのトラフィック・エンジニアリング介入を可能にする。
本発明を、ネットワーク・コントローラ、ルーターまたはコンピュータなど、プロセッサにおいて実施することができ、プロセッサをネットワークまたはネットワーク・データベースに結合して、本明細書で説明した方法によって使用されるネットワーク情報を受信することができる。加えて、本発明を、有線、無線、光または非光ネットワークのために使用することができ、同期または非同期ネットワークのために使用することができる。
当業者には明らかになるように、フロー単位のトラフィック推定の様々な機能を、回路素子により実装することができ、または、ソフトウェア・プログラムにおける処理工程としてデジタル・ドメインにおいて実装することもできる。このようなソフトウェアを、例えば、デジタル信号プロセッサ、マイクロコントローラ、または汎用コンピュータにおいて使用することができる。したがって、フロー単位のトラフィック・エスティメータの様々な機能を、プロセッサの様々なモジュールとして実装することができ、各モジュールは、当技術分野で知られているいかなる数の実施態様においても実施される。
本発明を、これらの方法を実施するための方法および装置の形態において実施することができる。本発明をまた、フロッピー(登録商標)・ディスク、CD−ROM、ハード・ドライブ、または他のいずれかのマシン可読ストレージ・メディアなど、有形メディアにおいて実施されたプログラム・コードの形態において実施することもでき、プログラム・コードがコンピュータなどのマシンにロードされ、マシンによって実行されるとき、マシンは、本発明を実施するための装置となる。本発明をまた、例えば、ストレージ・メディアに格納されるか、マシンにロードされる、および/またはマシンによって実行されるか、または、電気配線またはケーブリングを介して、光ファイバーを通じて、もしくは電磁放射を介してなど、ある伝送メディアを介して伝送されるかにかかわらず、プログラム・コードの形態において実施することもでき、プログラム・コードがコンピュータなどのマシンにロードされ、マシンによって実行されるとき、マシンは、本発明を実施するための装置となる。汎用プロセッサ上で実施されるとき、プログラム・コード・セグメントはプロセッサと結合して、特定の論理回路と同じように動作する一意のデバイスを提供する。
本発明の性質を説明するために説明および例示した部分の詳細、材料、および構成における様々な変更を、当業者によって、特許請求の範囲において表現された本発明の原理および範囲から逸脱することなく行うことができることは、さらに理解されよう。
Claims (10)
- ネットワーク・ノードにおけるフローのためのトラフィックの比率を生成する方法であって、
(a)サンプリング区間を所与の精度レベルに基づいて生成する工程と、
(b)前記サンプリング区間中のフロー毎の実行の回数を測定する工程と、
(c)フロー毎のフローの比率を、対応する実行の回数に基づいて生成する工程とを備える方法。 - フローの比率毎の分散を生成する工程をさらに備える、請求項1に記載の発明。
- 前記工程は、各フローfの各比率p(f)のための分散σ(f)を、
- フロー毎の信頼区間を生成する工程をさらに備える、請求項1に記載の発明。
- 工程(c)は、各フローfの各比率p(f)を以下のように生成し、
- 工程(b)について、前記実行の回数はN回実行の数であり、Nは1より大きい正の整数である、請求項1に記載の発明。
- Nは2である、請求項6に記載の発明。
- 前記方法はネットワーク・コントローラ・ノードのプロセッサ内で実施される、請求項1に記載の発明。
- ネットワーク・ノードにおけるフローのためのトラフィックの比率を生成するプロセッサを備える、少なくとも1つのノードを有する、相互接続されたノードのネットワークであって、前記プロセッサは、
サンプリング区間を所与の精度レベルに基づいて生成するように適合された第1の処理モジュールと、
前記サンプリング区間中のフロー毎の実行の回数を測定するように適合された第2の処理モジュールと、
フロー毎のフローの比率を、対応する実行の回数に基づいて生成するように適合された第3の処理モジュールとを備えるネットワーク。 - 複数の命令をその上に格納しているコンピュータ可読メディアであって、前記複数の命令は、プロセッサによって実行されるとき、前記プロセッサに、ネットワーク・ノードにおけるフローのためのトラフィックの比率を生成するための方法を実施させる命令を含み、前記方法は、
(a)サンプリング区間を所与の精度レベルに基づいて生成する工程と、
(b)前記サンプリング区間中のフロー毎の実行の回数を測定する工程と、
(c)フロー毎のフローの比率を、対応する実行の回数に基づいて生成する工程とを備えるコンピュータ可読メディア。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US57727904P | 2004-06-04 | 2004-06-04 | |
| US10/947,070 US7653007B2 (en) | 2004-06-04 | 2004-09-22 | Per-flow traffic estimation |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005348416A true JP2005348416A (ja) | 2005-12-15 |
Family
ID=34941438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005163604A Pending JP2005348416A (ja) | 2004-06-04 | 2005-06-03 | フロー単位のトラフィック推定 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7653007B2 (ja) |
| EP (1) | EP1603274A1 (ja) |
| JP (1) | JP2005348416A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007078008A1 (ja) * | 2006-01-06 | 2007-07-12 | Nec Corporation | 伝送路の品質計測装置、通信システム、品質計測方法および品質計測プログラム |
| KR100870182B1 (ko) | 2007-04-05 | 2008-11-25 | 삼성전자주식회사 | L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법 |
| JP2016152501A (ja) * | 2015-02-17 | 2016-08-22 | 日本電信電話株式会社 | 推定装置、推定方法、及びプログラム |
| JP2018503306A (ja) * | 2014-12-15 | 2018-02-01 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 通信における測定調整 |
| WO2023276054A1 (ja) * | 2021-06-30 | 2023-01-05 | 日本電信電話株式会社 | トラヒック監視装置及びトラヒック監視方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7624446B1 (en) * | 2005-01-25 | 2009-11-24 | Symantec Corporation | Efficient signature packing for an intrusion detection system |
| US7639611B2 (en) * | 2006-03-10 | 2009-12-29 | Alcatel-Lucent Usa Inc. | Method and apparatus for payload-based flow estimation |
| US7957272B2 (en) * | 2006-03-10 | 2011-06-07 | Alcatel-Lucent Usa Inc. | Method and apparatus for coincidence counting for estimating flow statistics |
| US8072894B2 (en) * | 2007-11-07 | 2011-12-06 | Juniper Networks, Inc. | Systems and methods for flow monitoring |
| US7990982B2 (en) * | 2008-12-15 | 2011-08-02 | At&T Intellectual Property I, L.P. | Methods and apparatus to bound network traffic estimation error for multistage measurement sampling and aggregation |
| US8335160B2 (en) * | 2010-03-30 | 2012-12-18 | Telefonaktiebolaget L M Ericsson (Publ) | Flow sampling with top talkers |
| US9577906B2 (en) * | 2013-09-06 | 2017-02-21 | Cisco Technology, Inc. | Scalable performance monitoring using dynamic flow sampling |
| CN103929492B (zh) | 2014-04-28 | 2017-08-29 | 华为技术有限公司 | 业务链负载均衡方法及其装置、系统 |
| WO2017030515A1 (en) | 2015-08-18 | 2017-02-23 | Avea Iletisim Hizmetleri Anonim Sirketi ( Teknoloji Merkezi ) | A method for estimating flow size distributions |
| TWI641251B (zh) * | 2016-11-18 | 2018-11-11 | 財團法人工業技術研究院 | 網路流量監控方法與系統 |
| CN110110160B (zh) * | 2017-12-29 | 2020-04-14 | 阿里巴巴集团控股有限公司 | 确定数据异常的方法及装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10294734A (ja) * | 1997-04-17 | 1998-11-04 | Fujitsu Ltd | 交換機におけるトラヒック制御装置およびトラヒック制御方法 |
| US5982866A (en) * | 1997-04-25 | 1999-11-09 | At&T Corporation | Method and apparatus for forwarding caller identification for a credit card or calling card call to an automatic number identification system of a telephone network |
| US5864611A (en) * | 1997-09-02 | 1999-01-26 | At&T Corp. | System and method for estimating traffic rates |
| US6122254A (en) * | 1997-11-25 | 2000-09-19 | International Business Machines Corporation | Method and apparatus for network flow control with perceptive parameters |
| US6459681B1 (en) * | 1998-11-13 | 2002-10-01 | Sprint Communications Company L.P. | Method and system for connection admission control |
| US6549517B1 (en) * | 1998-12-11 | 2003-04-15 | Nortel Networks Limited | Explicit rate computation for flow control in compute networks |
| WO2000079737A1 (en) * | 1999-06-18 | 2000-12-28 | Nokia Corporation | A method for measurement-based connection admission control (mbac) in a packet data network |
| JP2002038019A (ja) * | 2000-07-19 | 2002-02-06 | Sumitomo Chem Co Ltd | 木粉充填熱可塑性樹脂組成物およびその製造方法 |
| US6738355B1 (en) | 2000-11-01 | 2004-05-18 | Agilent Technologies, Inc. | Synchronization method for multi-probe communications network monitoring |
| US7080136B2 (en) * | 2001-03-18 | 2006-07-18 | At & T Corp. | Method and apparatus for size-dependent sampling for managing a data network |
| US20030189904A1 (en) * | 2002-04-04 | 2003-10-09 | Li Jonathan Q. | Sampling fractal internet protocol traffic with bounded error tolerance and response time |
| WO2006067772A1 (en) * | 2004-12-23 | 2006-06-29 | Corvil Limited | A method and apparatus for monitoring events in network traffic |
-
2004
- 2004-09-22 US US10/947,070 patent/US7653007B2/en not_active Expired - Fee Related
-
2005
- 2005-05-24 EP EP05253187A patent/EP1603274A1/en not_active Withdrawn
- 2005-06-03 JP JP2005163604A patent/JP2005348416A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007078008A1 (ja) * | 2006-01-06 | 2007-07-12 | Nec Corporation | 伝送路の品質計測装置、通信システム、品質計測方法および品質計測プログラム |
| US7944849B2 (en) | 2006-01-06 | 2011-05-17 | Nec Corporation | Transmission path quality measuring device, communication system, quality measurement method, and quality measuring program |
| JP5013268B2 (ja) * | 2006-01-06 | 2012-08-29 | 日本電気株式会社 | 伝送路の品質計測装置、通信システム、品質計測方法および品質計測プログラム |
| KR100870182B1 (ko) | 2007-04-05 | 2008-11-25 | 삼성전자주식회사 | L2/l3 기반 라우터쌍의 플로우 별 트래픽 양 추정시스템 및 방법 |
| US8284697B2 (en) | 2007-04-05 | 2012-10-09 | Samsung Electronics Co. Ltd | System and method for estimating flow-specific traffic volumes |
| JP2018503306A (ja) * | 2014-12-15 | 2018-02-01 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | 通信における測定調整 |
| JP2016152501A (ja) * | 2015-02-17 | 2016-08-22 | 日本電信電話株式会社 | 推定装置、推定方法、及びプログラム |
| WO2016133064A1 (ja) * | 2015-02-17 | 2016-08-25 | 日本電信電話株式会社 | 推定装置、推定方法、及び記録媒体 |
| US10511500B2 (en) | 2015-02-17 | 2019-12-17 | Nippon Telegraph And Telephone Corporation | Estimation device, estimation method, and recording medium |
| WO2023276054A1 (ja) * | 2021-06-30 | 2023-01-05 | 日本電信電話株式会社 | トラヒック監視装置及びトラヒック監視方法 |
| JP7529161B2 (ja) | 2021-06-30 | 2024-08-06 | 日本電信電話株式会社 | トラヒック監視装置及びトラヒック監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1603274A1 (en) | 2005-12-07 |
| US7653007B2 (en) | 2010-01-26 |
| US20050270984A1 (en) | 2005-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2005348416A (ja) | フロー単位のトラフィック推定 | |
| EP1603273A1 (en) | Accelerated per-flow traffic estimation | |
| US20060159028A1 (en) | Monitoring system, method of sampling datagrams, and apparatus therefor | |
| Estan et al. | Bitmap algorithms for counting active flows on high speed links | |
| US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
| Basat et al. | Memento: Making sliding windows efficient for heavy hitters | |
| US8811395B2 (en) | System and method for determination of routing information in a network | |
| US20060041667A1 (en) | Method and apparatus for protecting legitimate traffic from dos and ddos attacks | |
| US20110239299A1 (en) | Adaptive distinct counting for network-traffic monitoring and other applications | |
| CN101159673A (zh) | 一种随机抽样方法和装置 | |
| Hao et al. | ACCEL-RATE: a faster mechanism for memory efficient per-flow traffic estimation | |
| Krishnan et al. | Mechanisms for optimizing link aggregation group (LAG) and equal-cost multipath (ECMP) component link utilization in networks | |
| KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
| Anagnostakis et al. | On the sensitivity of network simulation to topology | |
| EP4371284A1 (en) | Path assurance in shared transport | |
| CN1744532A (zh) | 按流业务量的估计 | |
| KR20100022926A (ko) | 확률적 손실 카운팅 | |
| Zhu et al. | Introducing Additional Network Measurements into Active Queue Management | |
| Tri et al. | Locating delay fluctuation-prone links by packet arrival intervals in openflow networks | |
| JP2009267892A (ja) | 巨大フロー特定方法とシステムおよびプログラムとフロー制御システム | |
| JP2013251648A (ja) | フロー通信品質劣化検出装置及び方法 | |
| Popescu et al. | Measurement of one-way transit time in IP routers | |
| JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
| EP3435618B1 (en) | A method of observing packets in a network and a network node | |
| JP4112590B2 (ja) | 異なり数上位nキーの推定方法および推定システム |