JP2011176586A - Packet sampling apparatus and method, and program - Google Patents
Packet sampling apparatus and method, and program Download PDFInfo
- Publication number
- JP2011176586A JP2011176586A JP2010038794A JP2010038794A JP2011176586A JP 2011176586 A JP2011176586 A JP 2011176586A JP 2010038794 A JP2010038794 A JP 2010038794A JP 2010038794 A JP2010038794 A JP 2010038794A JP 2011176586 A JP2011176586 A JP 2011176586A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- sampling
- flow
- hash value
- sample interval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、IP(Internet Protocol)ネットワークにおける通信トラヒックを管理する技術に係り、特に、ネットワーク全体を流れるフローの全体的な監視を効率的に行うのに好適な技術に関するものである。 The present invention relates to a technique for managing communication traffic in an IP (Internet Protocol) network, and more particularly to a technique suitable for efficiently monitoring the entire flow flowing through the entire network.
IPネットワークであるインターネットにおけるトラヒックの増加とインターネットの利用形態・アプリケーションの多様化に伴い、ネットワーク(NW)の効率的な運用を支えるトラヒック計測が重要となっている。 With the increase in traffic on the Internet, which is an IP network, and the diversification of Internet usage patterns and applications, traffic measurement that supports the efficient operation of the network (NW) has become important.
特に、品質劣化要因となるNWリソースの浪費や、セキュリティ上の問題を引き起こすトラヒックを検出できる仕組みへの重要性が増している。 In particular, the importance of a mechanism that can detect the waste of NW resources that cause quality degradation and the traffic that causes security problems is increasing.
この狙いのために、フローレベルのトラヒック測定が注目されており、異常トラヒック検出、ヘビーユーザ特定、トラヒックエンジニアリング等への応用が検討されている。 For this purpose, attention has been paid to flow level traffic measurement, and application to abnormal traffic detection, heavy user identification, traffic engineering, etc. is being studied.
ここで、フローとは、パケットにおけるヘッダ情報としての「送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号」の5つ組を同じくするパケット群のことを指す。 Here, the flow is a “source IP address (srcIP), destination IP address (dstIP), source port number (srcPort), destination port number (dstPort), protocol number” as header information in the packet. It refers to a group of packets having the same set of five.
しかしながら、ユーザ端末からのフローの通信品質(ユーザフロー通信品質)を測定するためには、回線を流れるパケットを全てキャプチャして、パケットヘッダ情報の解析、およびフロー情報の解析が必要であり、回線速度が高速になるにつれて全てのパケットをキャプチャして処理することが困難になってきている。 However, in order to measure the communication quality of the flow from the user terminal (user flow communication quality), it is necessary to capture all the packets flowing through the line, analyze the packet header information, and analyze the flow information. As the speed increases, it has become difficult to capture and process all packets.
そこで、近年、回線を流れるパケットを全てキャプチャするのではなく、一部のパケットをキャプチャする「パケットサンプリング」を実施することによって、フロー管理に必要とされる処理を軽減する技術が注目されている。例えば、非特許文献1においては、N個に1個のパケットを周期的に参照(サンプリング)し、サンプルしたパケットのフロー解析結果から元のフロー統計情報を推定する技術が記載されている。
Therefore, in recent years, attention has been paid to a technology that reduces the processing required for flow management by performing “packet sampling” that captures some packets instead of capturing all packets flowing through the line. . For example, Non-Patent
また、非特許文献2においては、パケットサンプリングを用いて、長大フロー(たくさんのトラヒックを送出しているフロー)を特定する技術が提案されている。 Non-Patent Document 2 proposes a technique for specifying a long flow (a flow sending a lot of traffic) using packet sampling.
また、非特許文献3においては、フローサイズが大きいフローの統計を精度よく得る技術が提案されている。 Non-Patent Document 3 proposes a technique for accurately obtaining statistics of a flow having a large flow size.
これらの技術では、パケットサンプリングを行うと、少数パケットで構成される大多数のフローは無視されるが、長大フローはサンプルされる確率が高いことを利用しているので、このような技術の用途にパケットサンプリングは向いている。 In these technologies, when packet sampling is performed, the majority of flows composed of a small number of packets are ignored, but long flows are used because the probability of being sampled is high. Packet sampling is suitable.
しかし、例えば、非特許文献4,5において記載のように、スキャンなどの異常トラヒックは、パケットサンプリングでは検出しづらくなる。これは、これら異常トラヒックは、小フロー(少ないパケットで構成されるフロー)を大量生成するため、個々のフローがサンプルされにくいことに起因する。 However, as described in Non-Patent Documents 4 and 5, for example, abnormal traffic such as scanning is difficult to detect by packet sampling. This is because these abnormal traffic generates a large amount of small flows (flows composed of a small number of packets), so that individual flows are not easily sampled.
そのような問題を解決する技術として、例えば、非特許文献6に記載の「フローサンプリング」が注目されている。フローサンプリングとは、到着パケット毎に、フローを定義する5つ組(送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号)をキー(フローキー)としてハッシュ関数に入力し、ハッシュ値が閾値未満の場合にのみ、そのパケットをサンプルすることで、フローの大きさ(パケット数)に依らず全てのフローは一様にサンプルされる。こうすることで、例えば、小フローを大量生成するホスト(通信装置)の検出が可能となる。 As a technique for solving such a problem, for example, “flow sampling” described in Non-Patent Document 6 has attracted attention. Flow sampling is a set of five flows (source IP address (srcIP), destination IP address (dstIP), source port number (srcPort), destination port number (dstPort)) for each incoming packet. Protocol number) is input to the hash function as a key (flow key), and the packet is sampled only when the hash value is less than the threshold value, so that all flows are equal regardless of the flow size (number of packets). To be sampled. In this way, for example, it is possible to detect a host (communication device) that generates a large amount of small flows.
しかしながら、このフローサンプリングでは、ハッシュ値が閾値未満の場合、といった特定の条件にマッチしたフローのみをサンプルするため、その条件にマッチしないフローは、サンプルされない状態が継続することになる。 However, in this flow sampling, only flows that match a specific condition such as when the hash value is less than the threshold value are sampled, so that a flow that does not match the condition continues to be unsampled.
すなわち、ネットワークを流れるフローを全体的に監視ができないことになり、その結果、本来であれば監視する必要のあるフローが、サンプルされず監視できない状態が続く可能性があるという問題点がある。 That is, there is a problem in that the flow that flows through the network cannot be monitored as a whole, and as a result, the flow that would otherwise need to be monitored may continue to be monitored without being sampled.
解決しようとする問題点は、従来のパケットサンプリング技術では、フローサイズが大きいフロー(長大フロー)の統計を精度よく得ることができるが、ポートスキャン等の異常トラヒックが生成するフローサイズが小さいフロー(小フロー)がサンプルされにくい点と、また、従来のフローサンプリング技術では、小フローをサンプルすることが可能であるが、特定の条件にマッチしたフローのみをサンプルするため、その条件にマッチしないフローは、サンプルされない状態が継続してしまう点である。 The problem to be solved is that, with the conventional packet sampling technique, statistics of a flow with a large flow size (long flow) can be obtained with high accuracy, but a flow with a small flow size generated by abnormal traffic such as port scan ( (Small flows) are difficult to sample, and with the conventional flow sampling technology, it is possible to sample small flows, but only flows that match a specific condition, so flows that do not match that condition. Is the point that the state that is not sampled continues.
本発明の目的は、これら従来技術の課題を解決し、長大フローと小フローのいずれもサンプリング対象とし、ネットワーク全体を流れるフローの監視を効率的に行うことを可能とすることである。 An object of the present invention is to solve these problems of the prior art and to make it possible to efficiently monitor a flow that flows through the entire network by setting both a long flow and a small flow as sampling targets.
上記目的を達成するため、本発明では、パケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)、例えば、当該パケットの送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号の5つの組からなるフローキーに対するハッシュ値を求め、求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングすることで、小フローを大量生成するトラヒックの検出を可能とすると共に、予め定められた一定周期Tで、サンプル区間を変更することにより、特定のフローだけがサンプルされ続ける問題を回避する。 In order to achieve the above object, in the present invention, for each packet, information (flow key) for identifying the flow including at least the transmission source IP and the transmission destination IP address of the packet, for example, the transmission source IP address ( srcIP), destination IP address (dstIP), source port number (srcPort), destination port number (dstPort), a hash value for a flow key consisting of five pairs of protocol numbers is obtained, and the obtained hash value is determined in advance. By sampling the packet within a given range (sample interval), it is possible to detect traffic that generates a large amount of small flows, and by changing the sample interval at a predetermined period T, Avoid problems where only certain flows continue to be sampled.
本発明によれば、パケット毎にフローキーに対するハッシュ値をサンプリングすることで、小フローを大量生成する異常トラヒックの検出が可能となると共に、サンプル区間を周期的に変更させることで、あるいはランダムサンプリングを併用することで、特定された一部のフローだけに偏ったサンプリングを行うことなく、ネットワーク全体を流れるフローの全体的な監視が可能となる。 According to the present invention, it is possible to detect anomalous traffic that generates a large amount of small flows by sampling a hash value for a flow key for each packet, and to change a sample interval periodically, or to perform random sampling By using together, it becomes possible to monitor the entire flow flowing through the entire network without sampling biased to only a part of the specified flows.
以下、図を用いて本発明を実施するための形態例を説明する。図1において、1は本発明に係るパケットサンプリング装置、2,3はIPネットワークを構成する通信ノード(図中「ノード」と記載)である。
Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings. In FIG. 1,
パケットサンプリング装置1は、CPU(Central Processing Unit)や主メモリ、表示装置、入力装置、外部記憶装置等を具備したコンピュータ構成からなり、光ディスク駆動装置等を介してCD−ROM等の記憶媒体に記録されたプログラムやデータを外部記憶装置内にインストールした後、この外部記憶装置から主メモリに読み込みCPUで処理することにより、各処理部の機能を実行する。
The
すなわち、図2に示すように、パケットサンプリング装置1は、プログラムされたコンピュータ処理を実行する手段として、パケットカウント部1a、ハッシュ値計算部1b、サンプリング部1c、パケット蓄積部1d、特定フロー管理部1e、サンプル区間決定部1fを具備する。
That is, as shown in FIG. 2, the
このようなコンピュータ構成により、本例のパケットサンプリング装置1は、パケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)に対するハッシュ値を求め、求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングすると共に、予め定められた一定周期Tで、サンプル区間を変更することにより、小フローを大量生成するトラヒックの検出を可能とすると共に、特定のフローだけがサンプルされ続ける問題を回避する。
With such a computer configuration, the
以下、このようなパケットサンプリング装置1によるサンプリング処理動作の詳細を、第1〜第5の実施例として説明する。尚、本例では、フローキーとして、パケットの送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号の5つからなる組を用いる。
Details of the sampling processing operation by the
<第1の実施例> <First embodiment>
図2に示すコンピュータ構成により、本例のパケットサンプリング装置1は、まず、パケットカウント部1aにおいて、パケットが到着するたびに、図示しないカウンタCをカウントアップする。
With the computer configuration shown in FIG. 2, the
そして、ハッシュ値計算部1bにおいて、到着したパケットx毎に、当該パケットの「発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル(Protocol)」からなるフローキーxを読み出し、読み出したフローキーxをハッシュ関数に入力する。尚、ハッシュ関数は、サイズbの範囲内でハッシュ値を返すとする。
Then, in the hash
そして、ハッシュ値計算部1bは、このハッシュ関数で返されたハッシュ値h(x)をサイズbで割った値「h(x)/b」を計算し、計算した値と当該パケットをサンプリング部1cに転送する。
Then, the hash
サンプリング部1cは、ハッシュ値計算部1bが計算した値が、予めサンプル区間決定部1fにおいて定められた範囲(サンプル区間)内のものであるか否かを判別し、サンプル区間内でなければ、単に、当該パケットを後段ノードに転送し、サンプル区間内であれば、当該パケットを後段ノードに転送すると共に、当該パケットをサンプリングしてパケット蓄積部1dに転送する。
The sampling unit 1c determines whether or not the value calculated by the hash
パケット蓄積部1dは、当該パケットを図示していない記憶装置に格納する。 The packet accumulating unit 1d stores the packet in a storage device (not shown).
このようにして、フローキーのハッシュ値に基づくパケットのサンプリング(フローサンプリング)を実施し、サンプルされたパケットを収集することで、小フローを大量生成するトラヒックの検出が可能となる。 In this way, by sampling packets based on the hash value of the flow key (flow sampling) and collecting the sampled packets, it becomes possible to detect traffic that generates a large amount of small flows.
しかし、ここまでの技術では、上述の非特許文献6に記載の技術と同様であり、特定のフローだけがサンプルされ続ける問題がある。 However, the technique so far is similar to the technique described in Non-Patent Document 6 described above, and there is a problem that only a specific flow continues to be sampled.
この問題に対処するために、本例のパケットサンプリング装置1では、サンプル区間決定部1fにおいて定めるサンプル区間を、図示しないタイマ機能で計測される予め定められた一定周期T毎に変更する。
In order to cope with this problem, in the
本例では、サンプル区間決定部1fは、サンプル区間を[t,t+W]として決定するものであり、ここで、tとWは「0<=t<=1、0<=t+W<=1,W>0」を満たすパラメタである。尚、tは後述するように一定周期T毎に更新していくパラメタであり、初期値を0とする。また、Wは、予め定めた目標パケットサンプリングレートpを用いてW=pと設定する。
In this example, the sample
そして、サンプル区間決定部1fは、一定周期T経過後に、tの値を「t←t+δ」と更新する。δは予め定めるパラメタであり、「0<δ<=W」とする。
Then, the sample
ただし、「t+W」が1を越える場合には、サンプル区間決定部1fは、サンプル区間を「[t,1]∨[0,t+W-1]」とし、その次の更新時には、「t←t+W-1+δ」と更新し、サンプル区間を[t,t+W]に更新する。
However, if “t + W” exceeds 1, the sample
このように、サンプル区間決定部1fにおいて、サンプリング部1cでサンプルすべきハッシュ値の範囲、すなわちサンプル区間を、一定周期T毎に変更することにより、特定のフローだけがサンプルされ続けるとの問題を回避することができる。
In this way, the sample
次に、図2に示すコンピュータ構成からなる本例のパケットサンプリング装置1によるサンプリング処理動作の第2の実施例について説明する。
Next, a second embodiment of the sampling processing operation by the
<第2の実施例> <Second embodiment>
本例では、一定周期T毎に、上述の第1の実施例におけるパケットサンプリングを実施すると共に、その周期Tの間にサンプルされたフローについて、予め定めた特定条件を満たすフローが存在した場合には、当該フローキーxに対するハッシュ値h(x)を含むように、パケットサンプル区間を次周期で変更・設定する。 In this example, when the packet sampling in the first embodiment described above is performed every fixed period T, and there is a flow that satisfies a predetermined specific condition for the flows sampled during the period T. Changes / sets the packet sample interval in the next period so as to include the hash value h (x) for the flow key x.
すなわち、図2に示すコンピュータ構成のパケットサンプリング装置1は、特定フロー管理部1eにおいて、サンプリング部1cがサンプリングしたパケットに関して、当該フローIDに対応付けてパケット数をカウントアップし、周期T毎に、カウントアップしたパケット数が予め定めた閾値を超えたフローを特定し、当該特定フローのフローIDをサンプル区間決定部1fに通知する。
That is, the
このようにして、特定フロー管理部1eから、閾値を超えたフローの通知があった場合には、サンプル区間決定部1fにおいて、そのフローIDに対するハッシュ値を調べ、現時点でのサンプル区間にそのハッシュ値が含まれるかをチェック(判別)し、もし含まれない場合は、そのハッシュ値を含むように、サンプル区間を変更する。
In this way, when there is a notification of the flow exceeding the threshold value from the specific flow management unit 1e, the sample
例えば、特定フローがM本存在(M>1)する場合には、サンプル区間を特定フローのキー「x_i(i=1,…,M)」のハッシュ値を含むように、サンプル区間を複数に分けて設定する。 For example, when there are M specific flows (M> 1), a plurality of sample sections are included so that the sample section includes the hash value of the key “x_i (i = 1,..., M)” of the specific flow. Set separately.
具体的には、現在のサンプル区間が[0.1,0.2]だとし、特定フローM本のうち、m本のハッシュ値が[0.1,0.2]に含まれず、それらのハッシュ値は[0.5,0.55]に含まれる場合には、サンプル区間を[0.1,0.2]から{[0.1,0.15],[0.5,0.55]}に変更する。 Specifically, assuming that the current sample interval is [0.1, 0.2], m hash values of M specific flows are not included in [0.1, 0.2], and those hash values are [0.5, 0.55]. Is included, the sample interval is changed from [0.1, 0.2] to {[0.1, 0.15], [0.5, 0.55]}.
このようにして、特定フローに関しては、継続的に監視すべきフローとして、サンプルされ続けるようにする。 In this way, the specific flow is continuously sampled as a flow to be continuously monitored.
このように、上述の第1の実施例におけるパケットサンプリングと共に、特定のフローに関しては、継続的に監視する技術の他の技術を、第3〜第5の実施例として説明する。 As described above, other techniques for continuously monitoring a specific flow together with the packet sampling in the first embodiment will be described as third to fifth embodiments.
<第3の実施例> <Third embodiment>
本例は、一定周期T毎に、上述の第1の実施例におけるパケットサンプリングを実施すると共に、予め定められた周期の間にサンプルされたフローについて、予め定めた特定条件を満たすフローが存在した場合には、当該フローキーxに対するハッシュ値h(x)を含むように、パケットサンプル区間を次周期で変更・設定するものであり、図2のパケットサンプリング装置1は、サンプリング部1cにおいて、以下の処理を行う。
In this example, the packet sampling in the first embodiment described above is performed every fixed period T, and there is a flow that satisfies a predetermined specific condition for a flow sampled during a predetermined period. In this case, the packet sampling section is changed / set in the next cycle so as to include the hash value h (x) for the flow key x. The
サンプリング部1cは、上述の第1の実施例におけるハッシュ値に基づくサンプリングと並行して、パケットカウント部1aがカウントアップしているカウンタCの値が予め定められた値Nの倍数となる度に、当該パケットを、後段のノードに転送すると共に、サンプリングしてパケット蓄積部1dと特定フロー管理部1eに転送する。 The sampling unit 1c is in parallel with the sampling based on the hash value in the first embodiment described above, every time the value of the counter C counted up by the packet counting unit 1a is a multiple of a predetermined value N. The packet is transferred to the subsequent node, and sampled and transferred to the packet storage unit 1d and the specific flow management unit 1e.
以下、上述の第2の実施例と同様に、特定フロー管理部1eにおいて、サンプリング部1cがサンプリングしたパケットに関して、当該フローIDに対応付けてパケット数をカウントアップし、周期T毎に、カウントアップしたパケット数が予め定めた閾値を超えたフローを特定し、当該特定フローのフローIDをサンプル区間決定部1fに通知し、サンプル区間決定部1fにおいて、そのフローIDに対するハッシュ値を含むように、サンプル区間を変更する。
Thereafter, in the same manner as in the second embodiment described above, the specific flow management unit 1e counts up the number of packets associated with the flow ID with respect to the packets sampled by the sampling unit 1c, and counts up every period T. The flow whose number of packets exceeds a predetermined threshold is specified, the flow ID of the specific flow is notified to the sample
<第4の実施例> <Fourth embodiment>
本例は、一定周期T毎に、上述の第1の実施例におけるパケットサンプリングを実施すると共に、予め定められた周期の間にサンプルされたフローについて、予め定めた特定条件を満たすフローが存在した場合には、当該フローキーxに対するハッシュ値h(x)を含むように、パケットサンプル区間を次周期で変更・設定するものであり、図2のパケットサンプリング装置1は、サンプリング部1cにおいて、以下の処理を行う。
In this example, the packet sampling in the first embodiment described above is performed every fixed period T, and there is a flow that satisfies a predetermined specific condition for a flow sampled during a predetermined period. In this case, the packet sampling section is changed / set in the next cycle so as to include the hash value h (x) for the flow key x. The
サンプリング部1cは、上述の第1の実施例におけるハッシュ値に基づくサンプリングと並行して、パケット到着毎に0から1の範囲で乱数を発生させ、その結果が、予め定められた値Nの逆数(1/N)以下であれば、当該パケットを後段ノードと共に、パケット蓄積部1dと特定フロー管理部1eにも転送する。 In parallel with the sampling based on the hash value in the first embodiment, the sampling unit 1c generates a random number in the range of 0 to 1 for each packet arrival, and the result is the reciprocal of a predetermined value N. If it is (1 / N) or less, the packet is transferred to the packet storage unit 1d and the specific flow management unit 1e together with the subsequent node.
以下、上述の第2,第3の実施例と同様に、特定フロー管理部1eにおいて、サンプリング部1cがサンプリングしたパケットに関して、当該フローIDに対応付けてパケット数をカウントアップし、周期T毎に、カウントアップしたパケット数が予め定めた閾値を超えたフローを特定し、当該特定フローのフローIDをサンプル区間決定部1fに通知し、サンプル区間決定部1fにおいて、そのフローIDに対するハッシュ値を含むように、サンプル区間を変更する。
Thereafter, as in the second and third embodiments described above, the specific flow management unit 1e counts up the number of packets associated with the flow ID with respect to the packets sampled by the sampling unit 1c. The flow in which the number of counted up packets exceeds a predetermined threshold is specified, the flow ID of the specific flow is notified to the sample
<第5の実施例> <Fifth embodiment>
本例では、サンプルパケット数が閾値を超えたフローを特定すべきフローとする代わりに、品質が劣化しているフローを特定すべきフローとして、サンプリング区間を設定するものである。 In this example, instead of setting a flow whose number of sample packets exceeds a threshold value as a flow to be specified, a sampling interval is set as a flow whose quality is deteriorated.
具体的には、パケット蓄積部1dにおいて蓄積されたパケットを用いて、各フローの品質状態を表す値を、上述の非特許文献6や、後述する公知文献1(川原, 石橋, 森, 上山, 長谷川, “フローサンプリングを用いたフロー品質推定法,” 信学会ソサイエティ大会, 2009年9月.)および公知文献2(小林, 石橋, 西田, “選択的sFlow による大規模VoIP トラヒック品質測定手法の提案,” 信学技報, vol. 107, no. 311, NS2007-95, pp. 7-12, 2007 年11 月.)等に記載の技術を用いて取得し、取得した値が閾値を越えるなどの品質劣化条件を満たすかどうかをチェック(判定)し、品質劣化状態のフローを検出すれば、当該フローIDをサンプル区間決定部1fに通知する。
Specifically, using the packets accumulated in the packet accumulating unit 1d, the values representing the quality state of each flow are set to the above-mentioned Non-Patent Document 6 or the publicly known document 1 (Kawahara, Ishibashi, Mori, Kamiyama, Hasegawa, “Flow Quality Estimation Method Using Flow Sampling,” Society of Society Society Conference, September 2009) and Public Reference 2 (Kobayashi, Ishibashi, Nishida, “Proposal of Large-scale VoIP Traffic Quality Measurement Method Using Selective sFlow” , ”IEICE Technical Report, vol. 107, no. 311, NS2007-95, pp. 7-12, November 2007), etc. If the quality degradation condition is checked (determined) and a flow in the quality degradation state is detected, the flow ID is notified to the sample
以下、上述の第2〜第4の実施例と同様に、サンプル区間決定部1fにおいて、そのフローIDに対するハッシュ値を含むように、サンプル区間を変更する。
Thereafter, in the same manner as in the second to fourth embodiments described above, the sample
尚、上述の公知文献1,2においては、サンプル情報からフローの品質を把握する技術として、フローの往復伝播遅延時間やパケット損失率を推定する技術が記載されている。
Note that the above-described
この技術では、サンプルされたパケットの中から、着目するTCPフローのSYNパケットに対するSYNACK、およびSYNACK応答に対するACKを抽出し、各パケットの観測時刻情報を用いて計算することで、SYN-SYNACK応答時間およびSYNACK-ACK応答時間を計算し、それらの和を往復伝播遅延時間として計算する。 In this technology, the SYN-SYNACK response time is extracted from the sampled packets by extracting the SYNACK for the SYN packet of the TCP flow of interest and the ACK for the SYNACK response and calculating it using the observation time information of each packet. And the SYNACK-ACK response time, and the sum of them is calculated as the round-trip propagation delay time.
また、上述の公知文献2では、VoIPトラヒックを抽出し、セッション単位にRTPパケットの到着間隔を分析することで、VoIPの品質を推定する。具体的には、到着間隔の分散と音声品質に相関があることを利用している。 Also, in the above-mentioned publicly known document 2, VoIP traffic is extracted, and the VoIP quality is estimated by analyzing the arrival interval of RTP packets for each session. Specifically, the fact that there is a correlation between the dispersion of arrival intervals and voice quality is used.
また、TCPのスループットを品質として品質劣化を検出する技術としては、例えば公知文献3(R. Kawahara, T. Mori, K. Ishibashi, N. Kamiyama, and H. Yoshino, "Packet sampling TCP flow rate estimation and performance degradation detection method," IEICE Trans. Commun., Vol.E91-B, No.5, pp.1309-1319, May 2008.)に記載のものがある。この技術では、同一フローからサンプルされたパケットのうち、最後にサンプルされたパケットのシーケンス番号SN_lとその時刻T_l、最初のパケットのシーケンス番号SN_fとその時刻T_fを用いて、スループットを(SN_l-SN_f)/(T_l-T_f)で推定する。 Further, as a technique for detecting quality degradation using TCP throughput as a quality, for example, publicly known document 3 (R. Kawahara, T. Mori, K. Ishibashi, N. Kamiyama, and H. Yoshino, “Packet sampling TCP flow rate estimation and performance degradation detection method, "IEICE Trans. Commun., Vol.E91-B, No.5, pp.1309-1319, May 2008.). In this technique, among packets sampled from the same flow, the sequence number SN_l of the last sampled packet and its time T_l, the sequence number SN_f of the first packet and its time T_f are used to calculate the throughput (SN_l-SN_f ) / (T_l-T_f).
これらの技術を用いることで、各フローの品質を把握しつつ、次周期でもサンプルすべきフローを特定する。すなわち、サンプルパケット情報から推定された品質が予め定められた目標値よりも劣化しているフローを、特定フローとして、当該フローに対するサンプリングを継続させる。 By using these techniques, the flow to be sampled is specified in the next period while grasping the quality of each flow. In other words, a flow whose quality estimated from the sample packet information is deteriorated from a predetermined target value is regarded as a specific flow, and sampling for the flow is continued.
次に、図3を用いて、上述の図2におけるパケットサンプリング装置の処理動作を説明する。 Next, the processing operation of the packet sampling apparatus in FIG. 2 will be described with reference to FIG.
まず、パケットカウント部1aにおいて、パケットが到着するたびに(ステップS301)、図示しないカウンタCをカウントアップする(ステップS302)。 First, every time a packet arrives (step S301), the packet counter 1a counts up a counter C (not shown) (step S302).
次に、ハッシュ値計算部1bにおいて、到着したパケットx毎に、当該パケットの「発信元IPアドレス(srcIP)、着信先IPアドレス(dstIP)、発信元ポート番号(srcPort)、着信先ポート番号(dstPort)、プロトコル(Protocol)」からなるフローキーxを読み出し、読み出したフローキーxをハッシュ関数に入力し、このハッシュ関数で返されるハッシュ値h(x)をサイズbで割った値「h(x)/b」を計算し、計算した値と当該パケットをサンプリング部1cに転送する(ステップS303)。
Next, in the hash
サンプリング部1cは、ハッシュ値計算部1bが計算した値が、予めサンプル区間決定部1fにおいて定められた範囲(サンプル区間)内のものであるか否かを判別し(ステップS304)、サンプル区間内でなければ、単に、当該パケットを後段ノードに転送し、サンプル区間内であれば、当該パケットを後段ノードに転送すると共に、当該パケットをサンプリングしてパケット蓄積部1dに転送する(ステップS306)。尚、パケット蓄積部1dにおいて当該パケットを記憶装置に格納する。
The sampling unit 1c determines whether or not the value calculated by the hash
また、サンプリング部1cにおいては、上記ハッシュ値に基づくサンプリングと並行して、パケットカウント部1aがカウントアップしているカウンタCの値が予め定められた値Nの倍数となる度に(ステップS305)、当該パケットをサンプリングしてパケット蓄積部1dと特定フロー管理部1eに転送する(ステップS306)と共に、特定フロー管理部1eにおいて、フロー毎にサンプリングしたパケット数をカウントする(ステップS307)。尚、このカウント値が予め定められた閾値を越えていれば、当該フローのフローIDをサンプル区間決定部1fに通知して、当該フローがハッシュ値に基づくサンプリングでもサンプリングされるように、サンプル区間を変更させる。
In the sampling unit 1c, in parallel with the sampling based on the hash value, every time the value of the counter C counted up by the packet counting unit 1a is a multiple of a predetermined value N (step S305). The packet is sampled and transferred to the packet accumulating unit 1d and the specific flow management unit 1e (step S306), and the specific flow management unit 1e counts the number of packets sampled for each flow (step S307). If this count value exceeds a predetermined threshold value, the sample interval is notified so that the flow ID of the flow is notified to the sample
以上、図1〜図3を用いて説明したように、本例のパケットサンプリング装置1は、プログラムされたコンピュータ処理を実行する機能として、ハッシュ値計算部1bとサンプリング部1cおよびサンプル区間決定1fを具備し、ハッシュ値計算部1bにおいて、到着したパケット毎に、当該パケットの送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号の5つの組からなるフローキーに対するハッシュ値を求め、サンプリング部1cにおいて、ハッシュ値計算部1bが求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングし、サンプル区間決定部1fにおいては、予め定められた一定周期で、サンプル区間を変更する。
As described above with reference to FIGS. 1 to 3, the
特に、ハッシュ値計算部1bは、フローキーをハッシュ関数h(x)に入力して、サイズbの範囲内でハッシュ値を取得し、取得したハッシュ関数h(x)の値をサイズbで割った値h(x)/bを計算し、この計算した値が、サンプル区間[t,t+W](tは0<=t<=1で初期値0、Wは予め定めた目標パケットサンプリングレートpを用いてW=p>0と設定され、0<=t+W<=1)の中であれば当該パケットをサンプリングし、サンプリング部1cは、予め定めた一定周期Tの間、サンプル区間[t,t+W]でのパケットサンプリングを行い、サンプル区間決定部1fは、一定周期T経過後に、tの値を「t←t+δ」(δは予め定めるパラメタであり、0<δ<=W)と更新し、この更新に伴い、「t+W」が1を越える場合には、サンプル区間を「[t,1]∨[0,t+W-1]」とし、次の更新時に、tの値を「t←t+W-1+δ」と更新して、サンプル区間を[t,t+W]に更新する。
In particular, the hash
このように、フローサンプリングを行うことで、小フローを大量生成するトラヒックの検出が可能となると共に、サンプルすべきハッシュ値の範囲(サンプル区間)を、一定周期毎に変更することで、特定のフローだけがサンプルされ続ける問題を回避することができる。 In this way, by performing flow sampling, it becomes possible to detect traffic that generates a large amount of small flows, and by changing the range (sample interval) of hash values to be sampled at specific intervals, The problem that only the flow continues to be sampled can be avoided.
また、プログラムされたコンピュータ処理を実行する機能として、特定フロー管理部1eを具備し、特定フロー管理部1eにおいては、サンプリング部1cによる一定周期T毎のパケットサンプリングと並行して、このサンプリング部1cにより一定周期Tの間にサンプルされたフローの内で、予め定めた条件を満たすフローを特定し、サンプル区間決定部1fは、特定フロー管理部1eが特定したフローのフローキーに対するハッシュ値を含むように、サンプル区間を次周期で設定する。
Further, the specific flow management unit 1e is provided as a function for executing programmed computer processing. In the specific flow management unit 1e, this sampling unit 1c is performed in parallel with the packet sampling for every fixed period T by the sampling unit 1c. The flow that satisfies a predetermined condition among the flows sampled during a certain period T is specified, and the sample
例えば、特定フロー管理部1eが特定したフローがM個存在(M>1)する場合には、サンプル区間決定部1fは、サンプル区間を特定フローのフローキーx_i(i=1,…,M)のハッシュ値を含むように、サンプル区間を複数に分けて設定する。
For example, when there are M flows identified by the specific flow management unit 1e (M> 1), the sample
また、特定フロー管理部1eは、サンプリング部1cがサンプリングしたパケット数が予め定めた閾値を越えたフローを特定フローとして特定する。 Further, the specific flow management unit 1e specifies a flow in which the number of packets sampled by the sampling unit 1c exceeds a predetermined threshold as a specific flow.
このようにすることで、継続的に監視すべきフローについてはサンプルされ続けるようにしている。 By doing so, the flow to be continuously monitored is continuously sampled.
また、プログラムされたコンピュータ処理を実行する機能として、パケットカウント部1aを具備し、このパケットカウント部1aにおいては、パケットが到着する度に、カウントアップし、サンプリング部1cは、パケットカウント部1aのカウントアップ値が予め定められた値になる度に、当該パケットのフローキーを特定フロー管理部1eに通知し、特定フロー管理部1eは、サンプリング部1cから通知されたフローキーのパケット数が、予め定めた閾値を越えると、当該フローを特定フローとして特定する。 In addition, as a function of executing programmed computer processing, a packet counting unit 1a is provided. The packet counting unit 1a counts up each time a packet arrives, and the sampling unit 1c Each time the count-up value becomes a predetermined value, the flow key of the packet is notified to the specific flow management unit 1e, and the specific flow management unit 1e determines that the number of packets of the flow key notified from the sampling unit 1c is When a predetermined threshold value is exceeded, the flow is specified as a specific flow.
このように、パケットをN個に1個ランダムにサンプルする技術を併用することにより、多くのパケットを送出しているフローをサンプルし易くなるため、そのようなネットワークへのインパクトが大きいフローを特定することができる。 In this way, by using a technique that randomly samples one packet per N, it becomes easier to sample flows that send many packets, so identify flows that have a large impact on such networks. can do.
また、特定フロー管理部1eにおいては、サンプリング部1cがサンプリングしたパケットの品質を測定し、測定した品質が予め定められたた目標値よりも劣化しているフローを特定フローとして特定する。これにより、品質を把握しつつ、次周期でもサンプルすべきフローを特定することができる。 In addition, the specific flow management unit 1e measures the quality of the packet sampled by the sampling unit 1c, and identifies a flow whose measured quality is deteriorated from a predetermined target value as a specific flow. Thereby, it is possible to identify the flow to be sampled even in the next period while grasping the quality.
このように、本例のパケットサンプリング装置1では、パケット毎にフローキーに対するハッシュ値をサンプリングすることで、小フローを大量生成する異常トラヒックの検出が可能となると共に、サンプル区間を周期的に変更させることで、特定された一部のフローだけに偏ったサンプリングを行うことなく、ネットワーク全体を流れるフローの全体的な監視が可能となる。
As described above, in the
尚、本発明は、図1〜図3を用いて説明した例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能である。例えば、本例では、第1〜第5の実施例を個別の技術として説明したが、各実施例の技術を任意に組み合わせた構成としても良い。例えば、第3の実施例におけるフローを特定する技術と第4の実施例におけるフローを特定する技術を共に実装した構成としても良い。 In addition, this invention is not limited to the example demonstrated using FIGS. 1-3, In the range which does not deviate from the summary, various changes are possible. For example, in the present example, the first to fifth examples have been described as individual techniques, but a configuration in which the techniques of the examples are arbitrarily combined may be employed. For example, a configuration in which the technique for specifying the flow in the third embodiment and the technique for specifying the flow in the fourth embodiment are both implemented may be employed.
また、本例では、図1に示すように、パケットサンプリング装置1をノード2,3間に設け、ノード2,3間におけるリンク上のパケットをサンプリングする構成として説明したが、パケットサンプリング装置1が、例えばノード2を介してリンク上に転送されるパケットをキャプチャする構成としても良い。
Further, in this example, as shown in FIG. 1, the
また、本例では、フローキーとして、パケットの送信元IPアドレス(srcIP),送信先IPアドレス(dstIP),送信元ポート番号(srcPort),送信先ポート番号(dstPort),プロトコル番号の5つからなる組を用いているが、送信元IPアドレス(srcIP)と送信先IPアドレス(dstIP)の2つからなる組、あるいは、送信元IPアドレス(srcIP)と送信先IPアドレス(dstIP)およびプロトコル番号の3つからなる組など、少なくとも送信元IPアドレス(srcIP)と送信先IPアドレス(dstIP)を含む情報を、当該フローを特定するフローキーとして用いても良い。 Further, in this example, the flow key includes five source IP addresses (srcIP), destination IP address (dstIP), source port number (srcPort), destination port number (dstPort), and protocol number. Is used, but the source IP address (srcIP) and destination IP address (dstIP), or the source IP address (srcIP) and destination IP address (dstIP) and protocol number Information including at least the transmission source IP address (srcIP) and the transmission destination IP address (dstIP), such as a set of three, may be used as a flow key for specifying the flow.
また、本例のコンピュータ構成に関しても、キーボードや光ディスクの駆動装置の無いコンピュータ構成としても良い。また、本例では、記録媒体としてCDを例示しているが、DVDやFD等を記録媒体として用いることでも良い。また、プログラムのインストールに関しても、通信装置を介してネットワーク経由でプログラムをダウンロードしてインストールすることでも良い。 The computer configuration of this example may be a computer configuration without a keyboard or optical disk drive. In this example, a CD is exemplified as the recording medium, but a DVD, an FD, or the like may be used as the recording medium. As for the program installation, the program may be downloaded and installed via a network via a communication device.
1:パケットサンプリング装置、1a:パケットカウント部、1b:ハッシュ値計算部、1c:サンプリング部、1d:パケット蓄積部、1e:特定フロー管理部、1f:サンプル区間決定部、2,3:通信ノード(「ノード」)。 1: packet sampling device, 1a: packet count unit, 1b: hash value calculation unit, 1c: sampling unit, 1d: packet storage unit, 1e: specific flow management unit, 1f: sample interval determination unit, 2, 3: communication node ("node").
Claims (17)
到着したパケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)に対するハッシュ値を求めるハッシュ値計算手段と、
該ハッシュ値計算手段が求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングするサンプリング手段と、
予め定められた一定周期で、上記サンプル区間を変更するサンプル区間決定手段と
を有することを特徴とするパケットサンプリング装置。 A packet sampling device for sampling packets passing through a link in an IP network by programmed computer processing,
A hash value calculation means for obtaining a hash value for information (flow key) for identifying the flow including at least the transmission source IP address and the transmission destination IP address of the packet for each arrived packet;
Sampling means for sampling the packet if the hash value obtained by the hash value calculation means is in a predetermined range (sample interval);
A packet sampling apparatus comprising: a sample interval determining means for changing the sample interval at a predetermined fixed period.
上記ハッシュ値計算手段は、
上記フローキーをハッシュ関数に入力して、配列サイズの範囲内でハッシュ値を取得し、取得したハッシュ関数の値を配列サイズで割った値を計算し、
上記サンプリング手段は、
予め定めた一定周期の間、上記ハッシュ値計算手段が計算した値が、上記サンプル区間の中であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、
上記一定周期の経過後に、サンプル区間[t,t+W]におけるtの値を「t←t+δ」(δは予め定めるパラメタであり、0<δ<=W)と更新し、該更新に伴い、「t+W」が1を越える場合には、サンプル区間を「[t,1]∨[0,(t+W)-1]」とし、次の更新時に、tの値を「t←t+W-1+δ」と更新して、サンプル区間を[t,t+W]に更新する
ことを特徴とするパケットサンプリング装置。 The packet sampling device according to claim 1,
The hash value calculation means
Input the above flow key into the hash function, get the hash value within the range of the array size, calculate the value obtained by dividing the value of the acquired hash function by the array size,
The sampling means is
If the value calculated by the hash value calculation means is within the sample interval for a predetermined period, the packet is sampled,
The sample interval determining means is
After the fixed period has elapsed, the value of t in the sample interval [t, t + W] is updated to “t ← t + δ” (δ is a predetermined parameter, 0 <δ <= W). When “t + W” exceeds 1, the sample interval is “[t, 1] ∨ [0, (t + W) -1]”, and the value of t is changed to “t ←” at the next update. A packet sampling apparatus, wherein the sampling interval is updated to [t, t + W] by updating to “t + W−1 + δ”.
上記サンプリング手段による上記一定周期毎のパケットサンプリングと並行して、
該サンプリング手段により上記一定周期の間にサンプルされたフローの内で、予め定めた条件を満たすフローを特定する特定フロー管理手段を具備し、
上記サンプル区間決定手段は、
上記特定フロー管理手段が特定したフローのフローキーに対するハッシュ値を含むように、上記サンプル区間を次周期で設定する
ことを特徴とするパケットフローサンプリング装置。 The packet sampling device according to claim 1 or 2, wherein
In parallel with the packet sampling at regular intervals by the sampling means,
A specific flow management means for specifying a flow satisfying a predetermined condition among the flows sampled during the predetermined period by the sampling means;
The sample interval determining means is
The packet flow sampling apparatus, wherein the sample interval is set in the next cycle so as to include a hash value for the flow key of the flow specified by the specific flow management means.
上記特定フロー管理手段が特定したフローが複数存在する場合、
上記サンプル区間決定手段は、上記サンプル区間を上記複数の特定フローのフローキーのハッシュ値を含むように、サンプル区間を複数に分けて設定する
ことを特徴とするパケットサンプリング装置。 The packet sampling device according to claim 3, wherein
If there are multiple flows specified by the specified flow management means,
The packet sampling apparatus, wherein the sample section determining means sets the sample section in a plurality of sections so that the sample sections include hash values of flow keys of the plurality of specific flows.
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケット数が予め定めた閾値を越えたフローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング装置。 The packet sampling device according to claim 3 or 4, wherein:
The specific flow management means is
A packet sampling apparatus, wherein a flow in which the number of packets sampled by the sampling means exceeds a predetermined threshold is specified as the specific flow.
パケットが到着する度に、カウントアップするパケットカウント手段を具備し、
上記サンプリング手段は、
上記パケットカウント手段のカウントアップ値が予め定められた値になる度に、当該パケットのフローキーを上記特定フロー管理手段に通知し、
該特定フロー管理手段は、
上記サンプリング手段から通知されたフローキーのパケット数が、予め定めた閾値を越えると、当該フローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング装置。 The packet sampling device according to any one of claims 3 to 5,
A packet counting means for counting up each time a packet arrives;
The sampling means is
Each time the count-up value of the packet count means becomes a predetermined value, the flow key of the packet is notified to the specific flow management means,
The specific flow management means is:
A packet sampling device, wherein when the number of flow key packets notified from the sampling means exceeds a predetermined threshold, the flow is specified as the specific flow.
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケットの品質を測定する手段を具備し、
該測定した品質が予め定められたた目標値よりも劣化しているフローを上記特定フローとして特定することを特徴とするパケットサンプリング装置。 The packet sampling device according to any one of claims 3 to 6,
The specific flow management means is
The sampling means comprises means for measuring the quality of the sampled packet;
A packet sampling apparatus characterized in that a flow in which the measured quality is deteriorated from a predetermined target value is specified as the specific flow.
上記フローキーは、当該パケットの送信元IPアドレスと、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の5つの組からなる
ことを特徴とするパケットサンプリング装置。 The packet sampling device according to any one of claims 1 to 7,
2. The packet sampling apparatus according to claim 1, wherein the flow key includes five sets of a transmission source IP address, a transmission destination IP address, a transmission source port number, a transmission destination port number, and a protocol number of the packet.
コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、ハッシュ値計算手段とサンプリング手段およびサンプル区間決定手段を具備し、
上記ハッシュ値計算手段は、到着したパケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)に対するハッシュ値を求め、
上記サンプリング手段は、上記ハッシュ値計算手段が求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、予め定められた一定周期で、上記サンプル区間を変更する
ことを特徴とするパケットサンプリング方法。 A packet sampling method for sampling a packet passing through a link in an IP network by a computer device,
The computer apparatus includes a hash value calculation means, a sampling means, and a sample section determination means as means for executing programmed computer processing,
The hash value calculation means obtains a hash value for information (flow key) specifying the flow including at least the transmission source IP and the transmission destination IP address of the packet for each packet that arrives,
The sampling means samples the packet if the hash value obtained by the hash value calculation means is a predetermined range (sample interval),
The packet sampling method, wherein the sample interval determining means changes the sample interval at a predetermined fixed period.
上記ハッシュ値計算手段は、
上記フローキーをハッシュ関数に入力して、配列サイズの範囲内でハッシュ値を取得し、取得したハッシュ関数の値を配列サイズで割った値を計算し、
上記サンプリング手段は、
予め定めた一定周期の間、上記ハッシュ値計算手段が計算した値が、上記サンプル区間の中であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、
上記一定周期の経過後に、サンプル区間[t,t+W]におけるtの値を「t←t+δ」(δは予め定めるパラメタであり、0<δ<=W)と更新し、該更新に伴い、「t+W」が1を越える場合には、サンプル区間を「[t,1]∨[0,t+W-1]」とし、次の更新時に、tの値を「t←t+W-1+δ」と更新して、サンプル区間を[t,t+W]に更新する
ことを特徴とするパケットサンプリング方法。 The packet sampling method according to claim 10, comprising:
The hash value calculation means
Input the above flow key into the hash function, get the hash value within the range of the array size, calculate the value obtained by dividing the value of the acquired hash function by the array size,
The sampling means is
If the value calculated by the hash value calculation means is within the sample interval for a predetermined period, the packet is sampled,
The sample interval determining means is
After the fixed period has elapsed, the value of t in the sample interval [t, t + W] is updated to “t ← t + δ” (δ is a predetermined parameter, 0 <δ <= W). If “t + W” exceeds 1, the sample interval is “[t, 1] ∨ [0, t + W-1]”, and the value of t is changed to “t ← t + A packet sampling method, wherein the sampling interval is updated to [t, t + W] by updating to “W-1 + δ”.
上記コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、特定フロー管理手段を具備し、
該特定フロー管理手段は、
上記サンプリング手段による上記一定周期毎のパケットサンプリングと並行して、
該サンプリング手段により上記一定周期の間にサンプルされたフローの内で、予め定めた条件を満たすフローを特定し、
上記サンプル区間決定手段は、
上記特定フロー管理手段が特定したフローのフローキーに対するハッシュ値を含むように、上記サンプル区間を次周期で設定する
ことを特徴とするパケットフローサンプリング方法。 A packet sampling method according to claim 10 or claim 11, comprising:
The computer apparatus includes specific flow management means as means for executing programmed computer processing,
The specific flow management means is:
In parallel with the packet sampling at regular intervals by the sampling means,
Among the flows sampled during the fixed period by the sampling means, a flow that satisfies a predetermined condition is specified,
The sample interval determining means is
A packet flow sampling method, wherein the sample interval is set in the next cycle so as to include a hash value for a flow key of a flow specified by the specific flow management means.
上記特定フロー管理手段が特定したフローが複数存在する場合、
上記サンプル区間決定手段は、上記サンプル区間を上記複数の特定フローのフローキーのハッシュ値を含むように、サンプル区間を複数に分けて設定する
ことを特徴とするパケットサンプリング方法。 The packet sampling method according to claim 12, comprising:
If there are multiple flows specified by the specified flow management means,
The packet sampling method characterized in that the sample interval determining means sets the sample interval in a plurality of divisions so as to include the hash values of the flow keys of the plurality of specific flows.
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケット数が予め定めた閾値を越えたフローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング方法。 A packet sampling method according to claim 12 or claim 13, comprising:
The specific flow management means is
A packet sampling method characterized in that a flow in which the number of packets sampled by the sampling means exceeds a predetermined threshold is specified as the specific flow.
上記コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、パケットカウント手段を具備し、
該パケットカウント手段は、
パケットが到着する度に、カウントアップし、
上記サンプリング手段は、
上記パケットカウント手段のカウントアップ値が予め定められた値になる度に、当該パケットのフローキーを上記特定フロー管理手段に通知し、
該特定フロー管理手段は、
上記サンプリング手段から通知されたフローキーのパケット数が、予め定めた閾値を越えると、当該フローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング方法。 The packet sampling method according to any one of claims 12 to 14,
The computer apparatus comprises a packet counting means as means for executing programmed computer processing,
The packet counting means includes:
Every time a packet arrives, it counts up,
The sampling means is
Each time the count-up value of the packet count means becomes a predetermined value, the flow key of the packet is notified to the specific flow management means,
The specific flow management means is:
A packet sampling method characterized in that, when the number of flow key packets notified from the sampling means exceeds a predetermined threshold, the flow is specified as the specific flow.
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケットの品質を測定し、
該測定した品質が予め定められたた目標値よりも劣化しているフローを上記特定フローとして特定することを特徴とするパケットサンプリング方法。 The packet sampling method according to any one of claims 12 to 15,
The specific flow management means is
Measure the quality of the packet sampled by the sampling means,
A packet sampling method, wherein a flow in which the measured quality is deteriorated from a predetermined target value is specified as the specific flow.
上記フローキーは、当該パケットの送信元IPアドレスと、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の5つの組からなる
ことを特徴とするパケットサンプリング方法。 The packet sampling method according to any one of claims 10 to 16, comprising:
2. The packet sampling method according to claim 1, wherein the flow key is composed of five sets of a transmission source IP address, a transmission destination IP address, a transmission source port number, a transmission destination port number, and a protocol number of the packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038794A JP5180247B2 (en) | 2010-02-24 | 2010-02-24 | Packet sampling apparatus and method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038794A JP5180247B2 (en) | 2010-02-24 | 2010-02-24 | Packet sampling apparatus and method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011176586A true JP2011176586A (en) | 2011-09-08 |
JP5180247B2 JP5180247B2 (en) | 2013-04-10 |
Family
ID=44689038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010038794A Expired - Fee Related JP5180247B2 (en) | 2010-02-24 | 2010-02-24 | Packet sampling apparatus and method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5180247B2 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015185920A (en) * | 2014-03-20 | 2015-10-22 | 株式会社Kddi研究所 | Radio relay device, unmanned aircraft system, program, and radio relay method |
US9591504B2 (en) | 2013-03-04 | 2017-03-07 | Fujitsu Limited | Network monitoring system |
CN108521413A (en) * | 2018-04-02 | 2018-09-11 | 江苏中控安芯信息安全技术有限公司 | A kind of network of Future Information war is resisted and defence method and system |
JP2022533737A (en) * | 2019-05-20 | 2022-07-25 | グーグル エルエルシー | Estimating Transport Control Protocol Trip Times |
-
2010
- 2010-02-24 JP JP2010038794A patent/JP5180247B2/en not_active Expired - Fee Related
Non-Patent Citations (6)
Title |
---|
CSNG200800845008; 石橋 圭介 他: '情報通信ネットワークの設計・制御理論の新潮流 -異分野からのアプローチ- 4. 大規模グラフの分析手' 電子情報通信学会誌 第91巻,第10号, 20081001, p.886〜890 * |
CSNG200900303011; 後藤 崇行 他: 'フロー統計量観測のための実用的なフローベースサンプリング手法の検討' 電子情報通信学会技術研究報告 第109巻,第36号, 20090514, p.79〜84 * |
CSNG201000023001; 後藤 崇行 他: 'ハイブリッドサンプリングを用いたフローサイズ分布推定に関する検討' 電子情報通信学会技術研究報告 第109巻,第273号, 20091105, p.7〜10 * |
JPN6012068463; 後藤 崇行 他: 'フロー統計量観測のための実用的なフローベースサンプリング手法の検討' 電子情報通信学会技術研究報告 第109巻,第36号, 20090514, p.79〜84 * |
JPN6012068465; 後藤 崇行 他: 'ハイブリッドサンプリングを用いたフローサイズ分布推定に関する検討' 電子情報通信学会技術研究報告 第109巻,第273号, 20091105, p.7〜10 * |
JPN6012068466; 石橋 圭介 他: '情報通信ネットワークの設計・制御理論の新潮流 -異分野からのアプローチ- 4. 大規模グラフの分析手' 電子情報通信学会誌 第91巻,第10号, 20081001, p.886〜890 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9591504B2 (en) | 2013-03-04 | 2017-03-07 | Fujitsu Limited | Network monitoring system |
JP2015185920A (en) * | 2014-03-20 | 2015-10-22 | 株式会社Kddi研究所 | Radio relay device, unmanned aircraft system, program, and radio relay method |
CN108521413A (en) * | 2018-04-02 | 2018-09-11 | 江苏中控安芯信息安全技术有限公司 | A kind of network of Future Information war is resisted and defence method and system |
JP2022533737A (en) * | 2019-05-20 | 2022-07-25 | グーグル エルエルシー | Estimating Transport Control Protocol Trip Times |
JP7326478B2 (en) | 2019-05-20 | 2023-08-15 | グーグル エルエルシー | Estimating Transport Control Protocol Trip Times |
Also Published As
Publication number | Publication date |
---|---|
JP5180247B2 (en) | 2013-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
Nychis et al. | An empirical evaluation of entropy-based traffic anomaly detection | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
Law et al. | You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers | |
CN106471778B (en) | Attack detection device and attack detection method | |
CN103580905B (en) | A kind of method for predicting, system and flow monitoring method, system | |
US8165019B2 (en) | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes | |
JP2013207748A (en) | Network system ad node device | |
JP2007179131A (en) | Event detection system, management terminal and program, and event detection method | |
JP2008283621A (en) | Apparatus and method for monitoring network congestion state, and program | |
WO2018120915A1 (en) | Ddos attack detection method and device | |
JP5180247B2 (en) | Packet sampling apparatus and method and program | |
JP2008118242A (en) | Method and device for detecting abnormal traffic, and program | |
JP5199224B2 (en) | Flow communication quality estimation method, apparatus and program | |
JP4814270B2 (en) | Traffic fluctuation amount estimation method, apparatus and program thereof | |
JP4282556B2 (en) | Flow level communication quality management apparatus and method and program | |
JP2009267892A (en) | Huge flow specification method, system and program and flow control system | |
JP6407133B2 (en) | Communication quality degradation detection system, communication quality degradation detection method, and program | |
Yamasaki et al. | Statistical estimation of TCP packet loss rate from sampled ACK packets | |
JP2013251648A (en) | Flow communication quality deterioration detection device and method | |
JP5155284B2 (en) | P2P traffic amount estimation method, apparatus and program | |
He et al. | Available bandwidth estimation and its application in detection of DDoS attacks | |
Cheng | Estimating the number of active flows from sampled packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110608 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110608 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110616 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110704 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110719 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120608 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120629 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5180247 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |