JP2011211544A - ネットワーク解析装置およびその動作方法 - Google Patents

ネットワーク解析装置およびその動作方法 Download PDF

Info

Publication number
JP2011211544A
JP2011211544A JP2010078054A JP2010078054A JP2011211544A JP 2011211544 A JP2011211544 A JP 2011211544A JP 2010078054 A JP2010078054 A JP 2010078054A JP 2010078054 A JP2010078054 A JP 2010078054A JP 2011211544 A JP2011211544 A JP 2011211544A
Authority
JP
Japan
Prior art keywords
packet
storage unit
protocol
abnormal
network analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010078054A
Other languages
English (en)
Other versions
JP5238745B2 (ja
Inventor
Takehiko Ono
健彦 大野
Kosuke Saito
耕介 齋藤
Chihiro Takayama
千尋 高山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010078054A priority Critical patent/JP5238745B2/ja
Publication of JP2011211544A publication Critical patent/JP2011211544A/ja
Application granted granted Critical
Publication of JP5238745B2 publication Critical patent/JP5238745B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】パケットを、新しいうちは破棄しないでおき、古くなったら破棄できるパケット解析装置およびその動作方法を提供する。
【解決手段】パケット捕捉部1はネットワークNを流れるパケットを順次に捕捉し、パケット記憶部2はパケットを捕捉順に記憶する。プロトコル種類取得部6はパケットの内容に基づいて該当のプロトコルの種類を求める。プロトコル動作判定部7はプロトコルの種類とパケットの内容とに基づいて通信の動作が正常か異常かを判定する。位置取得部8は、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。パケット破棄中止記憶部9は動作が異常ならその旨を記憶する。パケット破棄処理部10は動作が異常でないなら、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、動作が異常ならパケットの破棄を中止する。
【選択図】図1

Description

本発明は、ネットワーク解析装置およびその動作方法に関するものである。
一般家庭やオフィスにおいてネットワーク接続に不具合が生じ、機器を正常に利用できなくなった場合、ネットワーク上を流れるIPパケット(以下、パケット)をモニタし、プロトコルが正常に動作しているか否かを調査し、正常に動作していない場合には不具合の発生原因を特定、修復する作業が行われる。
パケットをモニタするツールとしては、たとえばネットワーク上を伝送されるパケットを取得し、パケットの詳細やパケットで構成されているプロトコル、パケットを送受信するIP端末のIPアドレスを表示するプロトコルモニタツールが知られている(非特許文献1参照)。
また、ネットワークに接続されたIP機器の動作状態をモニタする手段として、モニタしたパケットからIP機器の接続構成を推定して、画面上に可視化することで、人が容易にIP機器の接続状況を判断できる手法がある(非特許文献2参照)。
これらのツールは、リアルタイムにネットワークの利用状況をモニタし、不具合の発生原因を特定するものである。しかしながら、利用環境や利用状況によっては、常に不具合が発生するとは限らず、長時間に渡って利用状況をモニタした場合に初めて不具合が発生する場合がある。このような問題を調査する場合、長時間に渡って常に利用状況を監視することは多大な労力を要することから現実的ではない。
そのため、パケット保存用の装置を長時間に渡ってネットワークに接続し、ネットワークに接続した装置がモニタしたパケットを装置の外部記憶に保存し、後から保存したパケットを解析する手法が用いられる。例えば、非特許文献1に記載のWireSharkには、パケットをファイルに保存する機能が備えられており、長時間に渡ってファイルに保存したパケットを、後から解析することが可能である。
このような手法は、特に映像サービスやファイル共有サービスなど、大容量の帯域を必要とするネットワークサービスを利用した場合、外部記憶に保存されるパケットのファイルサイズが巨大となり、外部記憶容量の制約から長時間に渡る保存が困難となるという問題がある。
また、パケットを保存できた場合でも、保存されたパケットの容量が膨大になった場合、どこに不具合があるのかを解析するためには保存されたパケットをすべて調べる必要があることから、問題の発生箇所の特定が難しくなるという問題がある。
上記の問題を回避するために、一定時間、あるいは保存されたパケットのサイズが一定容量以上となった場合に、保存したパケットのファイルを破棄するという手法がある。
しかし、この手法を用いた場合、プロトコルの種類によっては過去に観察されたパケットがわからないと、現在の状態が正確に分からない場合があるため、問題の発生原因を正確に診断することができなくなるという問題があった。
また、パケットのエラーが発生した場合、そのパケットエラーのみを記録しても、エラーの原因は他のパケットにある場合があることから、エラーの発生原因を突き止められないという問題があった。
"WireShark"、[online]、[平成22年3月1日検索]、インターネット<URL:http://www.wireshark.org/> 加藤洋一、宮本勝"ホームネットワーク故障切り分け方式の検討:効率的な故障診断のための可視化(ネットワーク管理)",電子情報通信学会技術研究報告ICM2008-64, 108(481), pp.35-40, 2009.
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、パケットを、新しいうちは破棄しないでおき、古くなったら破棄できるパケット解析装置およびその動作方法を提供することにある。
上記の課題を解決するために、第1の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
第2の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、前記位置記憶部に記憶された位置を読み出す位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
第3の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
第4の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
本発明によれば、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。 パケット記憶部2の構成を示す図である。 プロトコル種類取得部6の詳細構成および動作の説明図である。 プロトコル動作判定部7の詳細構成および動作の説明図である。 第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。 プロトコル種類取得部6Aの詳細構成および動作の説明図である。 第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。 第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
以下、本発明の実施の形態について図面を参照して説明する。
[第1の実施の形態]
図1は、第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
第1の実施の形態に係るネットワーク解析装置は、ネットワークNを流れるパケットを順次に捕捉するパケット捕捉部1と、捕捉されたパケットが捕捉順に記憶されるパケット記憶部2と、捕捉されたパケットをパケット記憶部2に記憶させるパケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類とを有するレコードからなるプロトコル種類テーブル4と、プロトコルの種類と該プロトコルが適用される通信における異常のパターンとを有するレコードからなる異常パターンテーブル5と、捕捉されたパケットに基づいてプロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得するプロトコル種類取得部6と、当該プロトコルの種類と当該パケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部7と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める位置取得部8と、動作が異常ならその旨を記憶するパケット破棄中止記憶部9と、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において当該位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10とを有する。
(第1の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。
図2は、パケット記憶部2の構成を示す図である。
パケット記憶部2には、パケットが捕捉順に記憶される。ここでは、最も古いパケットは、パケット番号1のパケットであり、最も新しいパケットは、パケット番号Nのパケットである。パケット記憶部2においては、求められた位置より前の位置に記憶されたパケットが破棄される。例えば、パケット番号9のパケットの位置が求められたたなら、パケット番号1〜8のパケットが破棄される。
図1に戻り、プロトコル種類取得部6は、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得する。
図3は、プロトコル種類取得部6の詳細構成および動作の説明図である。
プロトコル種類取得部6は、ヘッダとデータからなるパケットからヘッダを取得するヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4から検索するテーブル検索部62と、当該レコードからプロトコルの種類を読み出すプロトコル種類読出部63とを備える。
ヘッダ取得部61は、パケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4から検索する。
プロトコル種類読出部63は、当該レコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
プロトコルの種類としては、HTTP、FTP、RTP、SIP、PPPoEなどがある。以下、プロトコルの種類については、同様である。
図1に戻り、プロトコル動作判定部7は、読み出したプロトコルの種類とパケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定する。
図4は、プロトコル動作判定部7の詳細構成および動作の説明図である。
プロトコル動作判定部7は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索するテーブル検索部71と、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかを判定する異常判定処理部72と、判定の結果を出力する判定結果出力部73とを備える。
テーブル検索部71は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索し、異常判定処理部72は、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかつまり動作が異常か否かを判定し、判定結果出力部73は、動作が異常ならその旨をパケット破棄中止記憶部9に記憶させる。また、パケットは位置取得部8に出力される。
異常判定処理部72は、同一レコードに複数の異常のパターンがある場合は、各パターンについて判定を行い、いずれかに該当する場合は、動作が異常であることとする。
異常な動作とは、例えば、RTPにおいて、途中のパケットが欠落するような動作や、SIPにおいて、INVITEに対する応答で200OKが戻らなかったというような動作をいう。
図1に戻り、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
パケット破棄処理部10は、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
なお、パケット破棄処理部10は、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
したがって、第1の実施の形態によれば、予め定められたパケット数または時間長だけ遡ったタイミングで捕捉されたパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
[第2の実施の形態]
図5は、第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。第2の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
第2の実施の形態に係るネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類と当該プロトコルの形式を有するレコードからなるプロトコル種類テーブル4Aと、異常パターンテーブル5と、捕捉されたパケットの内容に基づいてプロトコル種類テーブル4Aから当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得するプロトコル種類取得部6Aと、当該プロトコルの形式が、複数のパケットが送信されるものである場合に、例えば、プロトコルの形式がステート型で、且つ、その状態遷移における開始状態が確認された場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部11と、プロトコル動作判定部7と、パケット破棄中止記憶部9と、位置記憶部11に記憶された位置を読み出す位置取得部8Aと、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、当該読み出された位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10Aとを有する。
(第2の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。パケット記憶部2の構成は図2に示したとおりである。
プロトコル種類取得部6Aは、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得する。
図6は、プロトコル種類取得部6Aの詳細構成および動作の説明図である。
プロトコル種類取得部6Aは、ヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4Aから検索するテーブル検索部62と、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定するプロトコル形式判定部64と、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させ、プロトコルの形式が、複数のパケットが送信されるものでないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を位置記憶部11に記憶させる位置書込部65と、プロトコル種類読出部63とを備える。
ヘッダ取得部61は、ヘッダとデータからなるパケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4Aから検索する。
プロトコル形式判定部64は、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定する。
位置書込部65は、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させる。
例えば、位置書込部65は、プロトコルの形式がステート型であるなら、且つ、その状態遷移における開始状態か否かを判定し、開始状態であるなら、上記のように先頭のパケットの位置を位置記憶部11に記憶させる。
ここでは、位置書込部65は、先頭のパケットの位置をプロトコルの種類に対応づけて位置記憶部11に記憶させる。
なお、位置記憶部11には、先頭のパケットが捕捉された時刻などを記憶させ、つまり、複数のパケットの送信の開始時刻を記憶させておいてもよい。この場合、開始時刻から、先頭のパケットのパケット記憶部2での位置を求めることができるようにしておけばよい。すなわち、位置記憶部11には、先頭のパケットのパケット記憶部2での位置を直接的に記憶させてもよいし、開始時刻により間接的に記憶させてもよい。
プロトコル種類読出部63は、ヘッダ取得部61により検索されたレコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
図5に戻り、プロトコル動作判定部7は、第1の実施の形態と同様に、動作が正常なものであるか異常なものであるかを判定する。また、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。
また、位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
位置取得部8は、位置記憶部11に位置が記憶されているなら、その位置を優先的に読み出し、記憶されていないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を読み出す。
パケット破棄処理部10Aは、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8Aにより得られた位置(先頭のパケットの位置または予め定められたパケット数または時間長だけ前に捕捉されたパケットの位置)より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
なお、第1の実施の形態と同様に、パケット破棄処理部10Aは、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
したがって、第2の実施の形態によれば、複数のパケットの中の先頭のパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。また、複数のパケットは破棄されないので、当該複数のパケットに適用されるプロトコルに関わる通信の動作を解析することができる。
[第3の実施の形態]
図7は、第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
第3の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常な場合における当該異常の内容を記憶する異常内容記憶部12と、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させる異常内容処理部13とを備える。
(第3の実施の形態における動作)
第3の実施の形態における動作では、異常内容処理部13が、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させ、これ以外の動作は、第1の実施の形態と同様である。なお、第2の実施の形態に係るネットワーク解析装置に異常内容記憶部12と異常内容処理部13を設け、同様な動作がなされるようにしてもよい。
したがって、第3の実施の形態によれば、第1の実施の形態などの効果に加え、さらに、異常内容記憶部12に記憶された異常の内容から、異常の原因究明や統計処理などを行うことができる。
[第4の実施の形態]
図8は、第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
第4の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常なら当該異常の内容を、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知する異常内容通知部14を有する。
(第4の実施の形態における動作)
第4の実施の形態における動作では、異常内容通知部14が、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知し、これ以外の動作は、第1の実施の形態と同様である。なお、第2または3の実施の形態に係るネットワーク解析装置に異常内容通知部14を設け、同様な動作がなされるようにしてもよい。
したがって、第4の実施の形態によれば、第1の実施の形態などにおける効果に加え、さらに、異常内容通知部14により通知される異常の内容から、異常の原因究明や統計処理などを行うことができる。
なお、本実施の形態に係るネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に記録でき、また、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
1…パケット捕捉部
2…パケット記憶部
3…パケット処理部
4、4A…プロトコル種類テーブル
5…異常パターンテーブル
6、6A…プロトコル種類取得部
7…プロトコル動作判定部
8、8A…位置取得部
9…パケット破棄中止記憶部
10、10A…パケット破棄処理部
11…位置記憶部
12…異常内容記憶部
13…異常内容処理部
14…異常内容通知部
61…ヘッダ取得部
62、71…テーブル検索部
63…プロトコル種類読出部
64…プロトコル形式判定部
65…位置書込部
72…異常判定処理部
73…判定結果出力部

Claims (9)

  1. ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
    当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
    当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
    当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
    当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、
    当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
    前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
    を有することを特徴とするネットワーク解析装置。
  2. ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
    当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
    当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
    当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、
    当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
    前記位置記憶部に記憶された位置を読み出す位置取得部と、
    当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
    前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
    を有することを特徴とするネットワーク解析装置。
  3. 前記動作が異常な場合における当該異常の内容を記憶する異常内容記憶部を有することを特徴とする請求項1または2記載のネットワーク解析装置。
  4. 前記動作が異常なら当該異常の内容を外部の装置に通知する異常内容通知部を有することを請求項1ないし3のいずれかに記載のネットワーク解析装置。
  5. ネットワークに接続されたネットワーク解析装置の動作方法であって、
    前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
    前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
    前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
    前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
    前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、
    前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
    前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
    ことを特徴とするネットワーク解析装置の動作方法。
  6. ネットワークに接続されたネットワーク解析装置の動作方法であって、
    前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
    前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
    前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
    前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、
    前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
    前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、
    前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
    前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
    ことを特徴とするネットワーク解析装置の動作方法。
  7. 前記ネットワーク解析装置の異常内容記憶部が、前記動作が異常な場合における当該異常の内容を記憶することを特徴とする請求項5または6記載のネットワーク解析装置の動作方法。
  8. 前記ネットワーク解析装置の異常内容通知部が、前記動作が異常なら当該異常の内容を外部の装置に通知することを請求項5ないし7のいずれかに記載のネットワーク解析装置の動作方法。
  9. 請求項1ないし4のいずれかに記載のネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラム。
JP2010078054A 2010-03-30 2010-03-30 ネットワーク解析装置およびその動作方法 Active JP5238745B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010078054A JP5238745B2 (ja) 2010-03-30 2010-03-30 ネットワーク解析装置およびその動作方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010078054A JP5238745B2 (ja) 2010-03-30 2010-03-30 ネットワーク解析装置およびその動作方法

Publications (2)

Publication Number Publication Date
JP2011211544A true JP2011211544A (ja) 2011-10-20
JP5238745B2 JP5238745B2 (ja) 2013-07-17

Family

ID=44942129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010078054A Active JP5238745B2 (ja) 2010-03-30 2010-03-30 ネットワーク解析装置およびその動作方法

Country Status (1)

Country Link
JP (1) JP5238745B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015115842A (ja) * 2013-12-12 2015-06-22 富士通株式会社 パケット保存方法、パケット保存プログラム及びパケット保存装置
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及系统
CN112751845A (zh) * 2020-12-28 2021-05-04 北京恒光信息技术股份有限公司 网络协议解析方法、系统及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06132960A (ja) * 1992-10-21 1994-05-13 Kokusai Electric Co Ltd Lan障害監視装置及びlan障害監視システム及びそれにおけるロギングデータ採集方式
JPH0888672A (ja) * 1994-09-19 1996-04-02 Kokusai Denshin Denwa Co Ltd <Kdd> インテリジェント通信プロトコルモニタ装置
JP2002215431A (ja) * 2001-01-16 2002-08-02 Toshiba Corp 情報処理装置およびトレースログ情報出力方法
JP2006120130A (ja) * 2004-09-21 2006-05-11 Software Partner:Kk アクセスログの管理システム及び管理方法
JP2009060495A (ja) * 2007-09-03 2009-03-19 Oki Electric Ind Co Ltd 無線lanアクセスポイント装置
JP2009246512A (ja) * 2008-03-28 2009-10-22 Canon Inc 情報処理装置及びその制御方法、プログラム、記憶媒体

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06132960A (ja) * 1992-10-21 1994-05-13 Kokusai Electric Co Ltd Lan障害監視装置及びlan障害監視システム及びそれにおけるロギングデータ採集方式
JPH0888672A (ja) * 1994-09-19 1996-04-02 Kokusai Denshin Denwa Co Ltd <Kdd> インテリジェント通信プロトコルモニタ装置
JP2002215431A (ja) * 2001-01-16 2002-08-02 Toshiba Corp 情報処理装置およびトレースログ情報出力方法
JP2006120130A (ja) * 2004-09-21 2006-05-11 Software Partner:Kk アクセスログの管理システム及び管理方法
JP2009060495A (ja) * 2007-09-03 2009-03-19 Oki Electric Ind Co Ltd 無線lanアクセスポイント装置
JP2009246512A (ja) * 2008-03-28 2009-10-22 Canon Inc 情報処理装置及びその制御方法、プログラム、記憶媒体

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015115842A (ja) * 2013-12-12 2015-06-22 富士通株式会社 パケット保存方法、パケット保存プログラム及びパケット保存装置
CN106998326A (zh) * 2017-03-22 2017-08-01 北京匡恩网络科技有限责任公司 工业控制网络行为监测方法、装置、以及系统
CN112751845A (zh) * 2020-12-28 2021-05-04 北京恒光信息技术股份有限公司 网络协议解析方法、系统及装置
CN112751845B (zh) * 2020-12-28 2022-12-02 北京恒光信息技术股份有限公司 网络协议解析方法、系统及装置

Also Published As

Publication number Publication date
JP5238745B2 (ja) 2013-07-17

Similar Documents

Publication Publication Date Title
US11038744B2 (en) Triggered in-band operations, administration, and maintenance in a network environment
EP3908222B1 (en) Comprehensive messaging system for robotic surgical systems
CN105320585B (zh) 一种实现应用故障诊断的方法及装置
EP2081321A2 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
CN107743228A (zh) 视频质量检测方法、监测设备及存储介质
JP5238745B2 (ja) ネットワーク解析装置およびその動作方法
CN117155832B (zh) 用于udp传输协议的多端无侵入录制回放测试方法及系统
JP4537372B2 (ja) 波形解析装置
JP6101573B2 (ja) パケット転送装置、検査方法、及びプログラム
JP4558662B2 (ja) Ipネットワーク経路診断装置およびipネットワーク経路診断システム
JP5484376B2 (ja) ログ収集自動化装置、ログ収集自動化試験システム、及びログ収集制御方法
CN100421381C (zh) 一种获取网络设备运行和故障状态信息的方法及装置
JP2014053658A (ja) 障害部位推定システムおよび障害部位推定プログラム
JP2014225179A (ja) ログ取得装置、ログ取得方法およびログ取得プログラム
JP2008005118A (ja) ネットワーク監視システム
JP2015119275A (ja) 通信装置、パケット監視方法及びコンピュータプログラム
JP6439701B2 (ja) 通信装置、パケット監視方法及びコンピュータプログラム
CN105812193A (zh) 应用日志监控方法和装置
JP5537692B1 (ja) 品質劣化原因推定装置、品質劣化原因推定方法、品質劣化原因推定プログラム
JP3154929U (ja) ネットワーク機器およびパケット蓄積装置
KR20180082202A (ko) 원격 인터페이스 감시 방법 및 이를 이용한 감시 시스템
JP5327454B2 (ja) 記録システム、記録装置、記録方法、及びプログラム
JP6352459B2 (ja) 検査制御装置、検査制御方法、及びプログラム
JP2011234097A (ja) 電磁ノイズ回避方法、電磁ノイズ回避装置及び電磁ノイズ回避プログラム
JP2023005049A (ja) 障害検知装置及び障害検知方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120127

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20120510

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20120514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130308

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130326

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130401

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160405

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350