JP2014099777A - ネットワーク異常検知システム、および、計測装置、分析装置 - Google Patents

ネットワーク異常検知システム、および、計測装置、分析装置 Download PDF

Info

Publication number
JP2014099777A
JP2014099777A JP2012250799A JP2012250799A JP2014099777A JP 2014099777 A JP2014099777 A JP 2014099777A JP 2012250799 A JP2012250799 A JP 2012250799A JP 2012250799 A JP2012250799 A JP 2012250799A JP 2014099777 A JP2014099777 A JP 2014099777A
Authority
JP
Japan
Prior art keywords
information
communication
packet
entry
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012250799A
Other languages
English (en)
Other versions
JP5883770B2 (ja
Inventor
Yoshiaki Takeshima
由晃 竹島
Yasushi Namiki
靖 並木
Yukio Ogawa
祐紀雄 小川
Sachiko Takeda
幸子 武田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2012250799A priority Critical patent/JP5883770B2/ja
Priority to US14/077,481 priority patent/US9485166B2/en
Publication of JP2014099777A publication Critical patent/JP2014099777A/ja
Application granted granted Critical
Publication of JP5883770B2 publication Critical patent/JP5883770B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/064Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Environmental & Geological Engineering (AREA)

Abstract

【課題】
監視すべき通信の情報(監視ルール)を事前に定義することなく、運用中に動的に監視ルールを作成し、更に、監視すべき情報の量が膨大になった場合でも、収集処理と異常判定処理に時間が掛かり過ぎない異常検知方法を実現する。
【解決手段】
通信ネットワークを介して複数の通信機器が通信を行う通信システムにおいて、通信の異常を検出するネットワーク異常検知システムであって、通信ネットワーク中の所定の計測箇所を伝送されるパケットの複製を作成し、複製されたパケットから、各々の計測箇所での通信統計情報を計算し、1箇所以上の通信統計情報を分析し、通信異常の発生を検知する
【選択図】 図1

Description

本明細書で開示される主題は、コンピュータネットワークを利用する情報処理システムで行われる通信中に発生する異常を検出する方法に関する。
近年、データセンタと呼ばれる施設において、多数のサーバ群が常時稼働して、利用者に様々なサービスを絶え間なく提供する形態が一般的になっている。それらサーバ群同士や、インターネットを介して利用者(ユーザ)のパーソナルコンピュータや高機能携帯電話などの通信機器とサーバ群との間で通信を行うために、データセンタの中には多数のネットワーク装置が敷設されている。これらのネットワーク装置のいずれかでハードウェア故障やソフトウェア不具合等による通信障害が発生すると、多数の利用者に対してサービスを提供できなくなり、場合によってはデータセンタ運営者が多額の損害を被る虞がある。そのため、データセンタのネットワーク管理者は、多数のネットワーク装置を常時監視するためのネットワーク監視システムを設置し、障害の発生をなるべく早く検知して対策する事で、障害影響を最小限にする必要がある。
特許文献1には、ネットワーク監視システムが、障害の予兆を検知すると、当該予兆に関連する情報が予め登録された監視ルールDBを参照し、得られた情報に基づいて監視情報を収集する技術について記載されている(要約)。これにより、同時に監視している情報を削減できるため、監視間隔を短縮することができる。
また、特許文献2には、異常時の相関関係のモデルの崩れの分布を予め運用管理装置に登録しておいた上で、運用管理装置が、システム運用時に、相関関係のモデルの崩れの分布が、異常時の崩れの分布に近似していく傾向があると判断すると、障害の予兆とみなす技術について記載されている(段落0013)。これにより、崩れた障害モデルの数が少ない場合であっても、異常を検知することができる。
特開2005−285040号公報 特開2010−186310号公報
特許文献1では、ネットワーク監視システムが、パケット棄却率の多いルータを対象に、ルータの経路情報を取得する例が挙げられている(段落0061、0067)。しかし、通信処理を行うネットワーク装置であるルータが監視対象となっているため、ルータへの監視処理自体がルータへの処理負荷増大につながるという問題がある。
例えば、10Gbps超のネットワークにおいては、ネットワーク機器での通信監視処理自体が、当該ネットワーク機器のプロセッサへの負荷増につながり、ネットワークシステムの信頼性や可用性の低下につながる場合がある。また、監視対象のネットワーク装置が故障した場合、そのネットワーク装置が計測または保持するデータそのものが誤っている可能性がある。
すなわち、特許文献1は、通信監視処理を行うことによるネットワーク機器への負荷増大や、ネットワーク機器の故障による監視データ自体の誤り、といった問題を回避する技術については開示していない。
更に、特許文献1が開示する技術では、ネットワーク層やトランスポート層などの高レイヤの監視情報を計測する場合など、監視すべき情報の量が多くなるにつれて、監視ルールDBへの登録量が増え、かつ、監視情報の収集処理と異常判定処理に要する時間が長くなり、短時間での監視が次第に困難になってしまう。すなわち、監視すべき情報(監視ルール)は、収集および判定が現実的な時間内で終了可能な量に限られており、この問題を解決するための技術については、特許文献1には開示されていない。
例えば、ある経路を経由して行われた通信の状況を監視するため、ネットワーク層に相当するIP(Internet Protocol)の、あるIPアドレスからの通信量を監視するケースがある。また別の例では、トランスポート層に相当するTCP(Transmission Control Protocol)のあるポート番号宛ての通信量を監視するケースがある。この時、監視対象となるIPアドレスやポート番号を予め定義することができない場合は、通信が行われると想定される様々なIPアドレスやポート番号を、監視ルールとして監視ルールDBに登録することになり、結果として監視情報の収集処理と異常判定処理に要する時間が長くなってしまう。
また、特許文献2が開示する技術は、相関関係のモデルの崩れの分布を予め登録しておく必要がある。すなわち、崩れの分布が予め登録できない場合の技術については、特許文献2には開示されていない。例えば、過去に事例のないような新しい構成のネットワークを監視したい場合や、過去に事例のないような障害を検知したい場合は、異常時の相関関係のモデルの崩れの分布が事前に分からない。このような場合には対応できない。
したがって、上記を解決する技術が望まれている。
上記を踏まえて、本明細書では、通信処理を行うネットワーク機器に対する通信監視処理による負荷増大という問題や、故障時のネットワーク機器の出力する監視データ自体が信頼できないという問題を回避しつつ、通信異常を検知する技術が開示される。
また、本明細書では、監視すべき通信の情報(監視ルール)を事前に定義することなく、運用中に動的に監視ルールを作成しながら通信異常を検知する技術が開示される。
更に、本明細書では、ネットワーク層やトランスポート層などの高レイヤの監視情報を計測する場合など、監視すべき情報の量が膨大になった場合でも、収集処理と異常判定処理に時間が掛かり過ぎない異常検知方法が開示される。
具体的な一態様として、本明細書で開示されるネットワーク異常検知システムは、
1台以上のネットワーク信号複製装置と、計測装置と、分析装置と、を備え、
ネットワーク信号複製装置は、通信ネットワーク中の所定の計測箇所を伝送されるパケットの複製を作成して計測装置に送信し、
計測装置は、それぞれのネットワーク信号複製装置から受信した複製されたパケットから、各々の計測箇所での、監視ルールとしての通信統計計算条件と、当該通信統計計算条件に基づく通信統計情報と、を計算し、計算した通信統計情報を分析装置へ送信し、
分析装置は、計測装置から受信した1箇所以上の通信統計情報を分析し、通信異常の発生を検知すると、ネットワーク管理サーバに、通信異常の発生を通知する、という特徴を備える。
さらに、上記計測装置は、通信統計情報の計算において、受信したパケットの情報を解析してカウントしたパケットカウント情報を、パケットカウント記憶部に記憶し、記憶するパケットカウント情報を読み出して、分析し、各々の計測箇所での通信統計計算条件を算出し、パケットカウント記憶部を検索し、通信統計計算条件を満たすパケットカウント情報から、各々の計測箇所での通信統計情報を計算する、という更なる特徴を備える。
さらに、上記分析装置は、1箇所以上の通信統計情報から、通信ネットワークで行われている通信の相関構造を分析し、相関関係にある複数の通信をモデル化した相関構造モデルを作成し、作成した相関構造モデルを基に、相関関係にある複数の通信間の相関性が所定値以上外れた場合に通信異常とみなす、という更なる特徴を備える。
さらに、上記計測装置は、通信統計計算条件の計算において、ポート番号毎のカウンタと、IPアドレス毎のカウンタと、を備え、記憶しているパケットカウント情報を読み出し、読み出したパケットカウント情報に含まれる、送信元ポート番号と、宛先ポート番号と、から、ポート番号別にカウントし、読み出したパケットカウント情報に含まれる、送信元IPアドレスと、宛先IPアドレスと、から、IPアドレス別にカウントし、ポート番号毎カウンタ値の上位所定数のポート番号を抽出するステップと、IPアドレス毎カウンタ値の上位所定数のIPアドレスと、を抽出し、抽出した上位のポート番号および上位のIPアドレスを、それぞれ、分析装置にて通信構造分析の対象となる通信統計計算条件に設定する、という更なる特徴を備える。
さらに、上記計測装置は、監視ルールとしての通信統計計算条件の算出を、タイマイベントを契機として繰り返し行い、算出結果を用いて、記憶する通信統計計算条件を更新する、という更なる特徴を備える。
上記特徴によれば、通信処理を行うネットワーク機器に対する通信監視処理による負荷増大という問題や、故障時のネットワーク機器の出力する監視データ自体が信頼できないという問題を回避しつつ、通信異常を検知することができる。
更に、上記特徴によれば、ネットワーク層やトランスポート層などの高レイヤの監視情報を計測する場合など、監視すべき情報の量が膨大になった場合でも、収集処理と異常判定処理に時間が掛かり過ぎない異常検知方法を実現することができる。
開示によれば、通信処理を行うネットワーク機器の負荷増大を引き起こさず、ネットワークシステムの信頼性や可用性を低下させない、ネットワーク監視システムを提供することができる。
また、開示によれば、故障時のネットワーク機器の出力する、誤っているかもしれない監視データを用いずに通信異常を検知する、ネットワーク監視システムを提供することができる。
更に、開示によれば、ネットワーク層やトランスポート層などの高レイヤの監視情報を計測する場合でも、収集処理と異常判定処理を短時間で行う、ネットワーク監視システムを提供することができる。
更に、開示によれば、異常時の相関関係のモデルの崩れの分布が事前に分からないネットワークを監視する場合でも、ネットワーク監視システムを提供することができる。
開示によれば、ネットワークシステムの信頼性や可用性を低下させず、に通信経路ごとなどの、細かい単位で通信異常を検知するネットワーク監視システムを提供することができる。
実施の形態1の、ネットワーク異常検知システムの構成例を示す図である。 実施の形態1の、計測装置のパケットカウンタテーブルの構成例を示す図である。 実施の形態1の、計測装置の計算条件テーブルの構成例を示す図である。 実施の形態1の、計測装置のポート番号毎カウンタの構成例を示す図である。 実施の形態1の、計測装置の計算条件テーブルの構成例を示す図である。 実施の形態1の、計測装置の通信統計テーブル(ポート番号毎)の構成例を示す図である。 実施の形態1の、計測装置の通信統計テーブル(通信経路毎)の構成例を示す図である。 実施の形態1の、計測装置の全体的な処理を例示するフローチャートである。 実施の形態1の、計測装置の通信計測処理を例示するフローチャートである。 実施の形態1の、計測装置の通信統計計算条件算出処理を例示するフローチャートである。 実施の形態1の、計測装置の通信統計計算処理を例示するフローチャートである。 実施の形態1の、分析装置の相関構造分析処理を例示するフローチャートである。 実施の形態1の、分析装置の異常検知処理を例示するフローチャートである。 実施の形態2の、ネットワーク異常検知システムの構成例を示す図である。 実施の形態2の、全体通信統計記憶部が記憶する、計測装置41Aから受信した通信統計情報の表現例示する図である。 実施の形態2の、全体通信統計記憶部が記憶する、計測装置41Bから受信した通信統計情報の表現を例示する図である。 実施の形態2の、全体通信統計記憶部が記憶する、計測装置41Cから受信した通信統計情報の表現を例示する図である。 実施の形態2の、相関構造分析処理の概念を示す図である。 実施の形態2の、相関構造モデルの概念の一例を示す図である。 各装置のハードウェア構成例を示す図である。
以下、実施の形態について、図面を用いて説明する。
(実施の形態1)
まず、図1から図4を用いて、ネットワーク異常検知システム40を構成する各要素の構成例を説明する。
図1は、ネットワーク異常検知システム40の構成例を示すブロック図である。
通信機器10は、HTTP(HyperText Transfer Protocol)などのTCP/IP上のプロトコルを用いて、通信ネットワーク30を介して他の通信機器10に接続し、データ通信を行う装置である。
ネットワーク信号複製装置20は、通信ネットワーク30を伝送されるパケットを、通信ネットワーク30上の所定の計測箇所にて複製して別の装置(本実施例では、計測装置)に伝送する装置である。ネットワークタップ装置などが該当する。
ネットワーク異常検知システム40は、ネットワーク信号複製装置20が複製したパケットについて統計処理を行い、その結果の情報(通信統計情報)を分析装置42に送信する計測装置41と、1台以上の計測装置41から受信した通信統計情報を分析して、分析結果から通信異常を検知するとネットワーク管理サーバ50に通知する分析装置42と、を有する。
計測装置41は、ネットワーク信号複製装置20が複製したパケットを受信し、当該パケットの情報を解析してカウントする通信計測処理部411と、通信計測処理部411にてカウントした情報を記憶するパケットカウント記憶部415と、
記憶されているパケットカウント情報を読み出し、当該パケットカウント情報を分析して、分析装置42にて通信構造分析の対象となる、監視ルールとしての通信統計計算条件(以下、単に計算条件ということもある)を算出する通信統計計算条件算出処理部412と、算出された計算条件を記憶する計算条件記憶部417と、記憶されている計算条件を読み出し、当該計算条件を満たすパケットカウント情報をパケットカウント記憶部415から検索して、条件を満たすパケットカウント情報に基づく統計計算を行う通信統計計算処理部413と、統計計算を行った結果(通信統計情報)を記憶する通信統計記憶部417と、記憶されている通信統計情報を分析装置42に送信する分析装置間通信処理部414と、を備える。
分析装置42は、1台以上の計測装置41と、計測装置41から、計測箇所別の通信統計情報を受信する計測装置間通信処理部421と、計測装置間通信処理部421が、1台以上の計測装置41から受信した、計測箇所ごとの通信統計情報を記憶する全体通信統計記憶部424と、記憶されている、1台以上の計測装置41の通信統計情報を読み出し、システム全体の通信の相関構造を分析して、相関関係にある複数の通信をモデル化した相関構造モデルを作成する相関構造分析処理部422と、作成された相関構造モデルを基に、相関関係にある複数の通信間の相関性が予め定めた基準値以上外れた場合に通信異常とみなす異常検知処理部423と、を備える。
通信機器10、計測装置41、分析装置42、ネットワーク管理サーバ50などの各装置のハードウェア構成の一例を図14に示す。
これらの装置は、CPU1001、主記憶装置1002、HDD等の外部記憶装置1005、CD-ROMやDVD-ROM等の可搬性を有する記憶媒体1008から情報を読み出す読取装置1003、ディスプレイ、キーボードやマウスなどの入出力装置1006、ネットワーク30に接続するためのNIC(Network Interface Card)等の通信装置1004、及びそれらの装置間を接続するバスなどの内部通信線1007を備えた一般的なコンピュータ1000により実現できる。
例えば、パケットカウント記憶部415は、主記憶装置1002の一部の領域を用いて実現する。
また、各装置は、それぞれの外部記憶装置1005に記憶されている各種プログラムを主記憶装置1002にロードしてCPU1001で実行し、必要に応じて、通信装置1004を用いてネットワーク30に接続して、他の通信機器10とのネットワーク通信を行い、もしくは、ネットワーク信号複製装置20からのパケット受信を行うことにより、本実施例における各種処理部と各種テーブル、及び、それらによる各種処理を実現する。
図2を用いて、パケットカウント記憶部415が記憶する、パケットカウンタテーブル4150に記録されるパケットカウント情報の詳細について説明する。
パケットカウンタテーブル4150を構成する各エントリ(図2では、縦一列で1エントリを表現する)は、パケットごとのヘッダ情報(IPアドレス、ポート番号、プロトコル番号など)を記憶する領域と、パケットカウント情報(パケット数やバイト数など)を記憶する領域とを含む。具体的には、エントリ番号を管理するエントリ番号フィールド4151と、送信元IPアドレスを記憶する送信元IPアドレスフィールド4152と、宛先IPアドレスを記憶する宛先IPアドレスフィールド4153と、プロトコル種別を記憶するプロトコル種別フィールド4154と、送信元ポート番号を記憶する送信元ポート番号フィールド4155と、宛先ポート番号を記憶する宛先ポート番号フィールド4156と、受信パケット数のカウンタ領域である受信パケット数フィールド4157と、廃棄パケット数のカウンタ領域である廃棄パケット数フィールド4158と、受信バイト数の記憶領域である受信バイト数フィールド4159と、を備える。
次に、図3(a)から(c)を用いて、IPアドレス毎カウンタテーブル4161と、ポート番号毎カウンタテーブル4162と、通信統計計算条件テーブル4163について説明する。
IPアドレス毎カウンタテーブル4161を構成する各エントリ(図3(a)〜(c)では、縦一列で1エントリを表現する)は、エントリ番号を管理するエントリ番号フィールド41611と、IPアドレスを記憶するIPアドレスフィールド41612と、受信パケット数のカウンタ領域41613と、を備える。
ポート番号毎カウンタテーブル4162を構成する各エントリは、エントリ番号を管理するエントリ番号フィールド41621と、ポート番号を記憶するポート番号フィールド41622と、プロトコル種別を記憶するプロトコル種別フィールド41623と、受信パケット数のカウンタ領域41624と、を備える。
通信統計計算条件テーブル4163を構成する各エントリは、エントリ番号を管理するエントリ番号フィールド41631と、IPアドレスを記憶するIPアドレスフィールド41632と、ポート番号を記憶するポート番号フィールド41633と、プロトコル種別を記憶するプロトコル種別フィールド41634と、を備える。
次に、図4(a)および(b)を用いて、通信統計テーブル(ポート番号毎)4171および通信統計テーブル(通信経路毎)4172について説明する。
通信統計テーブル(ポート番号毎)4171を構成する各エントリ(図4(a)(b)では、縦一列で1エントリを表現する)は、エントリ番号を管理するエントリ番号フィールド41711と、ポート番号を記憶するポート番号フィールド41712と、プロトコル種別を記憶するプロトコル種別フィールド41713と、受信パケット数のカウンタ領域である受信パケット数フィールド41714と、廃棄パケット数のカウンタ領域である廃棄パケット数フィールド41715と、受信バイト数の記憶領域である受信バイト数フィールド41716と、平均消費帯域量を記憶する平均消費帯域フィールド41717と、統計計算日時を記憶する計測日時フィールド41718と、を備える。
通信統計テーブル(通信経路毎)4172を構成する各エントリは、エントリ番号を管理するエントリ番号フィールド41721と、送信元ネットワークアドレスを記憶する送信元ネットワークアドレスフィールド41722と、宛先IPアドレスを記憶する宛先IPアドレスフィールド41723と、受信パケット数のカウンタ領域である受信パケット数フィールド41724と、廃棄パケット数のカウンタ領域である廃棄パケット数フィールド41725と、受信バイト数の記憶領域である受信バイト数フィールド41726と、平均消費帯域量を記憶する平均消費帯域フィールド41727と、統計計算日時を記憶する計測日時フィールド41728と、を備える。
以下、図5から図10を用いて、実施の形態1での、ネットワーク異常検知システム40におけるネットワーク異常検知方法について説明する。
図5は、計測装置41で行う処理全般を例示するフローチャートである。
計測装置41は、まずネットワーク信号複製装置20からパケットを受信するための受信インタフェースをオープンする(ステップS101)。
次に、マルチスレッド起動などにより処理を分岐して、通信計測処理部411で行う通信計測処理(ステップS102)と、通信統計計算条件算出処理部412で行う通信統計計算条件算出処理(ステップS103)と、通信統計計算処理部413で行う通信統計計算処理(ステップS104)とを実行する。
通信統計計算処理(ステップS104)後、分析装置間通信処理部414は、通信統計テーブル(ポート番号毎)4171および通信統計テーブル(通信経路毎)4172を読み出し、通信統計情報の履歴を分析装置42に送信する(ステップS105)。ここで、履歴の時間の長さは、予め計測装置41の設定ファイルに記載しておき、計測装置41の起動時に当該設定を読み出して設定しても良い。
計測装置41は、ステップS102ないしS105の各処理を行った後、終了コマンドが入力されたなどの理由で計測処理が処理終了となっているかどうかを判定し、そうでなければ、通信計測処理(ステップS102)と、通信統計計算条件算出処理(ステップS103)と、通信統計計算処理(ステップS104)の処理を継続実行する(ステップS106)。そうならば、受信インタフェースをクローズして(ステップS107)、処理を終了する。
図6は、計測装置41の通信計測処理部411で行う通信計測処理(図5のステップS102)を例示するフローチャートである。
通信計測処理部411は、まず、パケット到着待ち処理を行う(ステップS201)。通信計測処理部411は、ネットワーク信号複製装置20より複製パケットを受信すると(ステップS202)、当該パケットのヘッダ情報を解析し(ステップS203)、パケットカウンタテーブル4150を検索し、予め指定された条件を満たすヘッダ情報を含むエントリがあるかどうかを調べる。
条件とは、例えば、ヘッダ情報に含まれる、送信元IPアドレスと、宛先IPアドレスと、プロトコル種別と、送信元ポート番号と、宛先ポート番号と、が一致すること、であるが、その他の条件を指定しても良い(ステップS204)。
条件を満たすエントリがない場合は、通信計測処理部411は新規エントリを作成する(ステップS205)。そして、通信計測処理部411は該当エントリの統計情報の受信パケット数4157の値をカウントアップし、さらに当該受信パケットのサイズ情報を受信バイト数4159の値に加える(ステップS206)。
図7は、計測装置の通信統計計算条件算出処理部412が行う通信統計計算条件算出処理(図5のステップS103)を例示するフローチャートである。通信統計計算条件算出処理は、通信統計計算処理部413が行う通信統計計算処理において、統計計算対象とするための条件を算出するための処理である。本実施例では、当該条件として、ポート番号およびIPアドレスを挙げるが、他の項目を条件としても良い。
計測装置41の通信統計計算条件算出処理部412は、まず、計測装置41のOS(Operating System)の提供するタイマ登録関数を呼び出す等によりタイマの登録を行い(ステップS301)、その後タイマイベント待ちを行う(ステップS302)。
そして、通信統計計算条件算出処理部412は、OSからの割り込みイベントを受信した際に、割り込みイベントがタイマイベントでなければ、引き続きステップS302の処理を行う(ステップS303)。タイマイベントであれば、通信統計計算条件算出処理部412は、パケットカウンタテーブル4150からエントリ情報を読み出す(ステップS304)。ここで、通信統計計算条件算出処理部412は、後述のステップS309の後にパケットカウンタテーブル4150から読み出す対象のエントリとして、ステップS309の時点で参照しているエントリの次エントリを選択する。例えば、通信統計計算条件算出処理部412が、エントリ番号4151の値が0のエントリから読み出しを開始する場合は、ステップS309の後、次はエントリ番号4151の値が1のエントリ、その次は2のエントリ、と順番に読み出す。
次に、通信統計計算条件算出処理部412は、ステップS304で読み出した当該エントリの情報から、送信元ポート番号を検索キーとしてポート番号毎カウンタテーブル4162を検索し、送信元ポート番号が一致したエントリのカウンタ41624の値をカウントアップする(ステップS305)。同様に、通信統計計算条件算出処理部412は、ステップS304で読み出した当該エントリの宛先ポート番号を検索キーとしてポート番号毎カウンタテーブル4162を検索し、宛先ポート番号が一致したエントリのカウンタ41624の値をカウントアップする(ステップS306)。
続いて、通信統計計算条件算出処理部412は、ステップS304で読み出した当該エントリの送信元IPアドレスを検索キーとしてIPアドレス毎カウンタテーブル4161を検索し、送信元IPアドレスが一致したエントリのカウンタ41613の値をカウントアップする(ステップS307)。
さらに、通信統計計算条件算出処理部412は、ステップS304で読み出した当該エントリの宛先IPアドレスを検索キーとしてIPアドレス毎カウンタテーブル4161を検索し、宛先IPアドレスが一致したエントリのカウンタ41613の値をカウントアップする(ステップS308)。
通信統計計算条件算出処理部412は、ステップS308を終了後、パケットカウンタテーブル4150に、ステップS304で読み出したエントリの次エントリに情報があるかどうかを判断し(ステップS309)、あれば、次エントリに対してステップS304の処理を継続する。
なければ、次に、通信統計計算条件算出処理部412は、通信量が多いポート番号をプロトコル種別と併せてM組抽出する(ステップS310)。例えば、ポート番号毎カウンタテーブル4162の中で、カウンタ41624の値が大きい順にソートし、上から上位M位までのエントリを抽出し、抽出した各エントリのポート番号41622の値を参照して、ポート番号をプロトコル種別と併せてM組抽出する。
同様に、通信統計計算条件算出処理部412は、通信量が多いIPアドレスをN個抽出する(ステップS311)。例えば、IPアドレス毎カウンタテーブル4161の中で、カウンタ41613の値が大きい順にソートし、上から上位N位までのエントリを抽出し、抽出した各エントリのIPアドレス41612の値を参照して、IPアドレスをN個抽出する。
ここで、MおよびNの値は正の整数とし、予め計測装置41の設定ファイルに記載しておき、計測装置41の起動時に当該設定を読み出して設定しても良い。
そして、ステップS310で抽出したM組のポート番号とプロトコル種別、およびステップS311で抽出したN個のIPアドレスを、各々別エントリとして、通信統計計算条件テーブル4163に設定する。既に通信統計計算条件テーブル4163に値が設定されている場合は、更新する(ステップS312)。
上述のように、本実施例では、通信機器10が通信中であっても、通信統計計算条件の算出を、タイマイベントを契機として繰り返し行い、既に値が設定されている場合は、その値を動的に更新するという特徴を備える。
図8は、計測装置の通信統計計算処理部413が行う通信統計計算処理(図5のステップS104)を例示するフローチャートである。
ステップS301からステップS303までは図7と同様である。通信統計計算処理部413は、ステップS303でOSからの割り込みイベントを受信した際に、割り込みイベントがタイマイベントであれば、通信統計計算条件テーブル4163からエントリ情報を読み出す(ステップS401)。ここで、通信統計計算処理部413は、後述のステップS405の後に通信統計計算条件テーブル4163から読み出す対象のエントリとして、ステップS405時点で参照しているエントリの次エントリを選択する。例えば、通信統計計算条件算出処理部412が、エントリ番号4151の値が0のエントリから読み出しを開始する場合は、ステップS405の後、次はエントリ番号4151の値が1のエントリ、その次は2のエントリ、と順番に読み出す。
次に、通信統計計算処理部413は、ステップS401で読み出した通信統計計算条件を検索キーとして、パケットカウンタテーブル4150を検索する(ステップS402)。例えば、通信統計計算処理部413がステップS401で参照しているエントリのIPアドレス41632にIPアドレスが設定されている場合は、パケットカウンタテーブル4150の送信元IPアドレス4152、および宛先IPアドレス4153を検索対象とし、参照しているエントリのIPアドレス41632のIPアドレスを検索キーとして検索し、送信元IPアドレス4152もしくは宛先IPアドレス4153のどちらかが一致したエントリを抽出する。また、通信統計計算処理部413がステップS401で参照しているエントリのポート番号41633およびプロトコル種別41634にポート番号およびプロトコル種別が設定されている場合は、パケットカウンタテーブル4150の送信元ポート番号4155、および宛先ポート番号4156を検索対象とし、参照しているエントリのポート番号41633のポート番号およびプロトコル種別41634を検索キーとして、両方に一致するエントリを検索する。
次に、検索キーが一致したエントリに対して、統計計算を行い(ステップS403)、現在日時と組で計算結果を通信統計テーブル(ポート番号毎)4171および通信統計テーブル(通信経路毎)4172に書き込む(ステップS404)。
ここでステップS403の統計計算とは、パケットカウント情報の値の合算を行う処理である。
例えば、ステップS402では、通信統計計算処理部413がステップS401で参照したエントリのポート番号41633の値が「8080」、およびプロトコル種別41634の値が「TCP」を示す値であれば、パケットカウンタテーブル4150の送信元ポート番号4155の値が「8080」であり、かつ、宛先ポート番号4156の値が「TCP」を示す値となっているエントリを検索する。そして、ステップS403およびS404では、通信統計計算処理部413は、ポート番号41633の値「8080」およびプロトコル種別41634の値「TCP」のそれぞれを通信統計テーブル(ポート番号毎)4171のポート番号41712、およびプロトコル種別41713に書き込み、さらに、ステップS402で一致したエントリの受信パケット数4157の値、廃棄パケット数4158の値、および受信バイト数4159の値を取得し、それぞれを通信統計テーブル(ポート番号毎)4171の受信パケット数41714、廃棄パケット数41715、および受信バイト数41716の値に合算して書き込み、さらに、受信バイト数4159の値から平均消費帯域を算出した値を通信統計テーブル(ポート番号毎)4171の平均消費帯域41717に書き込む。さらに、現在日時を計測日時フィールド41718に書き込む。
また、例えば、ステップS402では、通信統計計算処理部413がステップS401で参照したエントリのIPアドレス41632の値が「192.168.5.23」であれば、パケットカウンタテーブル4150の宛先IPアドレス4153の値が「192.168.5.23」となっているエントリを検索する。そして、ステップS403およびS404では、通信統計計算処理部413は、IPアドレス41632の値「192.168.5.23」を通信統計テーブル(通信経路毎)4172の宛先IPアドレス41723に書き込み、さらに、ステップS402で一致した各エントリの送信元IPアドレス4152の値が「192.168.123.34」となっていれば、ネットマスク24ビット(/24)でサブネット単位にまとめて「192.168.123.0/24」として送信元ネットワークアドレス41722に書き込み、さらに、ステップS402で一致したエントリの受信パケット数4157の値、廃棄パケット数4158の値、および受信バイト数4159の値を取得し、通信統計テーブル(通信経路毎)4172の受信パケット数41724、廃棄パケット数41725、および受信バイト数41726に合算して書き込み、さらに、受信バイト数4159の値から平均消費帯域を算出した値を通信統計テーブル(通信経路毎)4172の平均消費帯域41727に書き込む。なお、上記でネットマスクを24ビットとして例に挙げているが、設定ファイルにパラメータとして与えることで、任意の値にしても良い。また、IPアドレスもIPv4アドレスを例に挙げているが、IPv6アドレスを対象としても良い。さらに、現在日時を計測日時フィールド41728に書き込む。
パケットカウンタテーブル4150に、ステップS402で読み出したエントリの次エントリに情報があるかを判断し(ステップS405)、あれば、次エントリに対してステップS402の処理を継続する。
なければ、通信統計計算条件テーブル4163に、ステップS401で読み出したエントリの次エントリに情報があるかを判断し、あれば、次エントリに対してステップS401の処理を継続し、なければ処理を終了する(ステップS406)。
なお計測装置41は、ステップS105において、計測日時41718の値および計測日時41728の値を、その他のフィールドの値と組で、分析装置42に送信する。
図9は、分析装置42の相関構造分析処理部422での相関構造分析処理を例示するフローチャートである。 なお、ステップS301からステップS303までは図7と同様である。
まず、分析装置42の相関構造分析処理部422は、全体通信統計記憶部424が記憶する、計測装置41用に割り付けた通信統計テーブル(計測装置毎)4240のエントリを読み出す(ステップS501)。
全体通信統計記憶部424は、各計測装置41に対して通信統計テーブル(計測装置毎)4240を1テーブル割り当て、通信統計テーブル(計測装置毎)4240をネットワーク異常検知システム40に存在する計測装置41の台数分保持する。
ここで、分析装置42の通信統計テーブル(計測装置毎)4240の一例を図12(a)に示す。
通信統計テーブル(計測装置毎)4240を構成する各エントリは、エントリ番号を管理するエントリ番号フィールド4247と、送信元ネットワークアドレスを記憶する送信元ネットワークアドレスフィールド4241と、宛先IPアドレスを記憶する宛先IPアドレスフィールド4242と、受信パケット数の時系列情報を記憶する受信パケット数フィールド4243と、廃棄パケット数の時系列情報を記憶する廃棄パケット数フィールド4244と、受信バイト数の時系列情報を記憶する受信バイト数フィールド4245と、平均消費帯域量の時系列情報を記憶する平均消費帯域フィールド4246と、を備える。
ここで、時系列情報を記憶するために、受信パケット数フィールド4243と、廃棄パケット数フィールド4244と、受信バイト数フィールド4245と平均消費帯域フィールド4246は、値と計測日時を組で記憶する構造を備える領域を含み、当該領域を複数記憶する構造を備える領域を含む。
図9の説明に戻る。相関構造分析処理部422は、送信元ネットワークアドレス4241の値と宛先IPアドレス4242の値の組を検索キーとして、通信統計テーブル(計測装置毎)4240の中の、ステップS501で読み出した計測装置41以外の計測装置41用に割り当てた通信統計テーブル(計測装置毎)4240の送信元ネットワークアドレス4241と宛先IPアドレス4242の組を対象に、マッチするエントリを検索する(ステップS502)。
一致したエントリがあれば(ステップS503)、当該エントリの通信統計の時系列情報と、一致したエントリの通信統計の時系列情報より、相関係数を算出する(ステップS504)。ここで、通信統計の時系列情報とは、受信パケット数4243、廃棄パケット数4244、受信バイト数4245、および平均消費帯域4246が記憶している情報を示している。また相関係数は、例えば、ピアソンの積率相関係数を用いてよい。
算出した相関係数の値が一定値(例えば0.7)以上であるかチェックし(ステップS505)、相関構造モデルを作成する(ステップS506)。相関構造モデルとは、相関の度合いが強い2つの通信統計の時系列情報を1組として、その組の情報を管理するデータである。
ステップS501で通信統計テーブル(計測装置毎)4240から読み出したエントリの次エントリがある、または、まだ読み出していない通信統計テーブル(計測装置毎)4240が存在する場合は、ステップS501に戻る。そうでなければ、処理を終了し、ステップS301Bの処理に戻る。
図10は、分析装置42の異常検知処理部423で行う異常検知処理を例示するフローチャートである。
分析装置42の異常検知処理部423は、相関構造モデルにおいて、2点の通信統計情報の時系列データの組み合わせを基に、異常の度合いを示す値Dを計算する(ステップS601)。異常の度合いDの計算方法としては、マハラノビス距離を利用しても良い。
異常の度合いDがある閾値以上であれば(ステップS602)、当該時系列データの組み合わせに異常が発生しているとみなし、当該組み合わせの情報と、当該組み合わせにおける異常の発生を示す値(異常発生フラグ)とを記憶する(ステップS603)。
未計算の通信統計情報の時系列データの組み合わせがあれば、ステップS601の処理に戻る(ステップS604)。
未計算の通信統計情報の時系列データの組み合わせがなければ、ステップS603で異常発生フラグを記憶した対象の時系列データの組み合わせがあるならば、その時系列データの組み合わせの情報と共に、通信異常の発生をネットワーク管理サーバ50に通知する(ステップS606)。
(実施の形態2)
図11から図13を用いて、本発明を用いて通信経路の異常を検知する方法について説明する。
図11の構成で示すように、通信ネットワーク30Dを境に3つの経路に分岐している構成であるとする。このとき、計測装置41Aから受信した通信統計情報と、計測装置41Bから受信した通信統計情報と、計測装置41Cから受信した通信統計情報は、図12で示すように、通信統計テーブル(計測装置毎)4240A、4240B、4240Cのように表されるものとする。
このとき、分析装置42の相関構造分析処理部422での処理を、概念図として図13に示す。図13(a)で示すように、各通信統計テーブル(計測装置毎)4240Aから4240Cを用いて、それぞれの時系列データの組み合わせ間の相関係数を算出している。その結果、例えば、通信統計テーブル(計測装置毎)4240の相関構造モデルは、図13(b)で示すように、4240Aのエントリ#0と4240Bのエントリ#0と4240Bの#0、および4240Bのエントリ#1と4240Cのエントリ#0とが、相関の度合いが強い、すなわち相関関係にあることを示す構成である場合、この相関構造モデルで示される通信統計情報の時系列データの組み合わせに対して、分析装置42の異常検知処理部423で行う異常検知処理を適用し、異常発生を検知することで、通信異常の発生を検知する。
なお、上記実施形態は一例であり、開示に限定されず、種々の変形や応用が可能である。
10:通信機器、
20:ネットワーク信号複製装置、
30:通信ネットワーク、
40:ネットワーク異常検知システム、
41:計測装置、
42:分析装置、
50:ネットワーク管理サーバ、
411:通信計測処理部、
412:通信統計計算条件算出処理部、
413:通信統計計算処理部、
414:分析装置間通信処理部、
415:パケットカウント記憶部、
416:計算条件記憶部、
417:通信統計記憶部、
421:計測装置間通信処理部、
422:相関構造分析処理部、
423:異常検知処理部、
424:全体通信統計記憶部、
1000:コンピュータ、
1001:CPU、
1002:主記憶装置、
1003:読取装置、
1004:通信装置、
1005:外部記憶装置、
1006:入出力装置、
1007:内部通信線、
1008:可搬記憶媒体、
4150:パケットカウンタテーブル、
4161:IPアドレス毎カウンタテーブル、
4162:ポート番号毎カウンタテーブル、
4163:計算条件テーブル、
4171:通信統計テーブル(ポート番号毎)、
4172:通信統計テーブル(通信経路毎)、
4240:通信統計テーブル(計測装置毎)

Claims (18)

  1. 通信ネットワークを介して複数の通信機器が通信を行う通信システムにおいて、前記通信の異常を検出するネットワーク異常検知システムであって、
    1台以上のネットワーク信号複製装置と、計測装置と、分析装置と、を備え、
    前記ネットワーク信号複製装置は、前記通信ネットワーク中の所定の計測箇所で伝送されるパケットの複製を作成して前記計測装置に送信し、
    前記計測装置は、
    それぞれの前記ネットワーク信号複製装置から受信した複製された前記パケットの情報を解析し、
    解析結果の情報をパケットカウント情報として記憶し、
    前記パケットカウント情報を解析して、通信の異常を検出するための通信統計情報を絞り込むための通信統計計算条件を計算し、
    前記パケットカウント情報から、前記通信統計計算条件を満たす情報を抽出し、通信統計情報として記憶し、
    抽出した前記通信統計情報を前記分析装置へ送信し、
    前記分析装置は、
    1箇所以上の前記計測装置から受信した前記通信統計情報を時系列として管理し、
    任意の2種類の前記「通信統計情報」の時系列間の相関性の強さを示す値を算出し、
    前記「任意の2種類の通信統計情報の時系列」間の相関性の強さを示す値が、ある所定の閾値以上または超過した場合に、前記「任意の2種類の前記通信統計情報の時系列」間の異常の度合いを示す値を計算し、
    前記「異常の度合いを示す値」が、ある所定の閾値以上または超過した場合に、通信異常が発生していると検知する
    ことを特徴とするネットワーク異常検知システム。
  2. 請求項1に記載のネットワーク異常検知システムであって、
    前記計測装置は、さらに、
    前記パケットカウント情報を記憶するためのパケットカウンタテーブルと、
    前記通信統計計算条件を記憶するための通信統計計算条件テーブルと、
    前記通信統計情報を記憶するための通信統計テーブルと、を備え、
    前記パケットカウンタテーブルは、パケットごとのヘッダ情報を記憶する領域と、ヘッダ情報に一致するパケットカウント情報を記憶する領域と、を含み、
    さらに、前記「パケットの情報を解析」する処理において、
    パケットのヘッダ情報を解析し、
    当該ヘッダ情報を検索条件として、前記パケットカウンタテーブルで記憶しているヘッダ情報と一致するエントリがあるかを調べ、
    一致するエントリがない場合は、新規エントリを作成し、ヘッダ情報を記憶する前記領域にヘッダ情報を記憶し、
    一致するエントリがある場合もしくは新規エントリを作成した場合は、当該エントリのパケットカウント情報の値をカウントアップし、
    さらに、前記記憶するパケットカウント情報を読み出して、分析し、各々の計測箇所での前記通信統計計算条件を算出し、
    さらに、前記「通信統計計算条件を満たす通信統計情報を抽出」する処理において、
    前記通信統計計算条件テーブルより通信統計計算条件情報を読み出し、
    前記通信統計計算条件情報を検索条件として、前記パケットカウンタテーブルのヘッダ情報を検索し、
    一致したエントリ情報を読み出し、読み出した当該エントリ情報の「パケットの数をカウントする領域」の情報を合算し、
    合算した情報を前記通信統計テーブルに書き込む
    ことを特徴とするネットワーク異常検知システム。
  3. 請求項2に記載のネットワーク異常検知システムであって、
    前記計測装置は、さらに、前記パケットカウンタテーブルのうち、あるヘッダ情報の値ごとにパケットカウント情報を記憶するためのヘッダ情報毎カウンタテーブルと、を備え、
    さらに、前記「通信統計計算条件を計算」する処理において、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    当該エントリ情報のヘッダ情報を検索条件として、前記パケットカウンタテーブルで記憶しているヘッダ情報を検索し、その他のエントリで一致するものがあるかを調べ、自エントリを含めて一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、ヘッダ情報毎に、ヘッダ情報毎カウンタテーブルに記憶し、
    前記ヘッダ情報毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのヘッダ情報を抽出し、
    抽出した上位のヘッダ情報を、前記通信統計計算条件テーブルに設定する
    ことを特徴とするネットワーク異常検知システム。
  4. 請求項3に記載のネットワーク異常検知システムであって、
    前記計測装置は、
    前記「通信統計計算条件を計算」する処理において、
    ヘッダ情報毎カウンタテーブルとしてIPアドレス毎カウンタテーブルと、を備え、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    当該エントリ情報に含まれる、送信元IPアドレスと宛先IPアドレスのそれぞれを検索条件として、前記パケットカウンタテーブルで記憶している送信元IPアドレスと宛先IPアドレスを検索し、その他のエントリで一致するものがあるかを調べ、一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、IPアドレス毎に、IPアドレス毎カウンタテーブルに記憶し、
    前記IPアドレス毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのIPアドレスを抽出し、
    抽出した上位のIPアドレスを、前記通信統計計算条件テーブルに設定する
    ことを特徴とするネットワーク異常検知システム。
  5. 請求項3に記載のネットワーク異常検知システムであって、
    前記計測装置は、
    前記「通信統計計算条件を計算」する処理において、
    ヘッダ情報毎カウンタテーブルとしてポート番号毎カウンタテーブルと、を備え、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    読み出した前記パケットカウント情報に含まれる、送信元ポート番号と、宛先ポート番号と、から、ポート番号別にカウントし、
    前記ポート番号毎カウンタ値の上位所定数のポート番号を抽出し、
    当該エントリ情報に含まれる、送信元ポート番号と宛先ポート番号のそれぞれを検索条件として、前記パケットカウンタテーブルで記憶している送信元ポート番号と宛先ポート番号を検索し、その他のエントリで一致するものがあるかを調べ、一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、ポート番号毎に、ポート番号毎カウンタテーブルに記憶し、
    前記ポート番号毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのポート番号を抽出し、
    抽出した上位のポート番号を、前記通信統計計算条件テーブルに設定する
    ことを特徴とするネットワーク異常検知システム。
  6. 請求項1から5のいずれか一に記載のネットワーク異常検知システムであって、
    前記計測装置は、
    前記通信統計情報を抽出して記憶する処理において、
    処理を実施した日時を計測日時として、前記通信統計情報と組で記憶し、
    前記通信統計情報を前記分析装置に送信する際、前記計測日時を前記通信統計情報と組で送信し、
    前記分析装置は、
    前記ネットワーク異常検知システムに存在する計測装置毎に、ヘッダ情報を記憶する領域と、パケットカウント情報および計測日時を組として、当該組を複数記憶する領域と、を含む通信統計テーブルを備え、
    1箇所以上の前記計測装置から受信した、前記通信統計情報と前記計測日時の組を、前記通信統計テーブルに記憶する
    ことを特徴とするネットワーク異常検知システム。
  7. 請求項1から6のいずれか一に記載のネットワーク異常検知システムであって、
    前記計測装置は、
    前記通信統計計算条件の算出を、タイマイベントを契機として繰り返し行い、
    算出結果を用いて、記憶する前記通信統計計算条件を更新する
    ことを特徴とするネットワーク異常検知システム。
  8. 請求項1から7のいずれか一に記載のネットワーク異常検知システムであって、
    前記分析装置は、
    通信異常の発生を検知すると、前記ネットワーク管理サーバに、通信異常の発生を通知する
    ことを特徴とするネットワーク異常検知システム。
  9. 通信ネットワークを介して複数の通信機器が通信を行う通信システムにおいて、前記通信の異常を検出するネットワーク異常検知システムに用いる、計測装置であって、
    1台以上の、前記通信ネットワーク中の所定の計測箇所で伝送されるパケットの複製を作成するネットワーク信号複製装置から受信した複製された前記パケットの情報を解析し、
    解析結果の情報をパケットカウント情報として記憶し、
    前記パケットカウント情報を解析して、通信の異常を検出するための通信統計情報を絞り込むための通信統計計算条件を計算し、
    前記パケットカウント情報から、前記通信統計計算条件を満たす情報を抽出し、通信統計情報として記憶し、
    抽出した前記通信統計情報を他の装置へ送信する
    ことを特徴とする計測装置。
  10. 請求項9に記載の計測装置であって、
    さらに、
    前記パケットカウント情報を記憶するためのパケットカウンタテーブルと、
    前記通信統計計算条件を記憶するための通信統計計算条件テーブルと、
    前記通信統計情報を記憶するための通信統計テーブルと、を備え、
    前記パケットカウンタテーブルは、パケットごとのヘッダ情報を記憶する領域と、ヘッダ情報に一致するパケットカウント情報を記憶する領域と、を含み、
    さらに、前記「パケットの情報を解析」する処理において、
    パケットのヘッダ情報を解析し、
    当該ヘッダ情報を検索条件として、前記パケットカウンタテーブルで記憶しているヘッダ情報と一致するエントリがあるかを調べ、
    一致するエントリがない場合は、新規エントリを作成し、ヘッダ情報を記憶する前記領域にヘッダ情報を記憶し、
    一致するエントリがある場合もしくは新規エントリを作成した場合は、当該エントリのパケットカウント情報の値をカウントアップし、
    さらに、前記記憶するパケットカウント情報を読み出して、分析し、各々の計測箇所での前記通信統計計算条件を算出し、
    さらに、前記「通信統計計算条件を満たす通信統計情報を抽出」する処理において、
    前記通信統計計算条件テーブルより通信統計計算条件情報を読み出し、
    前記通信統計計算条件情報を検索条件として、前記パケットカウンタテーブルのヘッダ情報を検索し、
    一致したエントリ情報を読み出し、読み出した当該エントリ情報の「パケットの数をカウントする領域」の情報を合算し、
    合算した情報を前記通信統計テーブルに書き込む
    ことを特徴とする計測装置。
  11. 請求項10に記載の計測装置であって、
    さらに、前記パケットカウンタテーブルのうち、あるヘッダ情報の値ごとにパケットカウント情報を記憶するためのヘッダ情報毎カウンタテーブルと、を備え、
    さらに、前記「通信統計計算条件を計算」する処理において、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    当該エントリ情報のヘッダ情報を検索条件として、前記パケットカウンタテーブルで記憶しているヘッダ情報を検索し、その他のエントリで一致するものがあるかを調べ、自エントリを含めて一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、ヘッダ情報毎に、ヘッダ情報毎カウンタテーブルに記憶し、
    前記ヘッダ情報毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのヘッダ情報を抽出し、
    抽出した上位のヘッダ情報を、前記通信統計計算条件テーブルに設定する
    ことを特徴とする計測装置。
  12. 請求項11に記載の計測装置であって、
    前記「通信統計計算条件を計算」する処理において、
    ヘッダ情報毎カウンタテーブルとしてIPアドレス毎カウンタテーブルと、を備え、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    当該エントリ情報に含まれる、送信元IPアドレスと宛先IPアドレスのそれぞれを検索条件として、前記パケットカウンタテーブルで記憶している送信元IPアドレスと宛先IPアドレスを検索し、その他のエントリで一致するものがあるかを調べ、一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、IPアドレス毎に、IPアドレス毎カウンタテーブルに記憶し、
    前記IPアドレス毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのIPアドレスを抽出し、
    抽出した上位のIPアドレスを、前記通信統計計算条件テーブルに設定する
    ことを特徴とする計測装置。
  13. 請求項11に記載の計測装置であって、
    前記「通信統計計算条件を計算」する処理において、
    ヘッダ情報毎カウンタテーブルとしてポート番号毎カウンタテーブルと、を備え、
    前記パケットカウンタテーブルに含まれるエントリ情報を読み出し、
    読み出した前記パケットカウント情報に含まれる、送信元ポート番号と、宛先ポート番号と、から、ポート番号別にカウントし、
    前記ポート番号毎カウンタ値の上位所定数のポート番号を抽出し、
    当該エントリ情報に含まれる、送信元ポート番号と宛先ポート番号のそれぞれを検索条件として、前記パケットカウンタテーブルで記憶している送信元ポート番号と宛先ポート番号を検索し、その他のエントリで一致するものがあるかを調べ、一致したエントリのパケットカウント情報の値を合算し、
    合算した当該パケットカウント情報を、ポート番号毎に、ポート番号毎カウンタテーブルに記憶し、
    前記ポート番号毎カウンタテーブルの記憶する前記パケットカウント情報の値の大きい方から、エントリを並び替え、上位所定数以内となるエントリのポート番号を抽出し、
    抽出した上位のポート番号を、前記通信統計計算条件テーブルに設定する
    ことを特徴とする計測装置。
  14. 請求項9から13のいずれか一に記載の計測装置であって、
    前記通信統計情報を抽出して記憶する処理において、
    処理を実施した日時を計測日時として、前記通信統計情報と組で記憶し、
    前記通信統計情報を前記他の装置に送信する際、前記計測日時を前記通信統計情報と組で送信する
    ことを特徴とする計測装置。
  15. 請求項9から14のいずれか一に記載の計測装置であって、
    前記通信統計計算条件の算出を、タイマイベントを契機として繰り返し行い、
    算出結果を用いて、記憶する前記通信統計計算条件を更新する
    ことを特徴とする計測装置。
  16. 通信ネットワークを介して複数の通信機器が通信を行う通信システムにおいて、前記通信の異常を検出するネットワーク異常検知システムに用いる、分析装置であって、
    1つ以上の計測装置から受信した、前記通信ネットワークの所定の計測箇所における通信統計情報を時系列として管理し、
    任意の2種類の前記「通信統計情報」の時系列間の相関性の強さを示す値を算出し、
    前記「任意の2種類の通信統計情報の時系列」間の相関性の強さを示す値が、ある所定の閾値以上または超過した場合に、前記「任意の2種類の前記通信統計情報の時系列」間の異常の度合いを示す値を計算し、
    前記「異常の度合いを示す値」が、ある所定の閾値以上または超過した場合に、通信異常が発生していると検知する
    ことを特徴とする分析装置。
  17. 請求項16に記載の分析装置であって、
    前記分析装置は、
    前記計測装置毎に、ヘッダ情報を記憶する領域と、パケットカウント情報および計測日時を組として、当該組を複数記憶する領域と、を含む通信統計テーブルを備え、
    1箇所以上の前記計測装置から受信した、前記通信統計情報と前記計測日時の組を、前記通信統計テーブルに記憶する
    ことを特徴とする分析装置。
  18. 請求項17に記載の分析装置であって、
    通信異常の発生を検知すると、前記ネットワーク管理サーバに、通信異常の発生を通知する
    ことを特徴とする分析装置。
JP2012250799A 2012-11-15 2012-11-15 ネットワーク異常検知システム、および、分析装置 Active JP5883770B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012250799A JP5883770B2 (ja) 2012-11-15 2012-11-15 ネットワーク異常検知システム、および、分析装置
US14/077,481 US9485166B2 (en) 2012-11-15 2013-11-12 Network abnormality detection system, measurement apparatus, and analysis apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012250799A JP5883770B2 (ja) 2012-11-15 2012-11-15 ネットワーク異常検知システム、および、分析装置

Publications (2)

Publication Number Publication Date
JP2014099777A true JP2014099777A (ja) 2014-05-29
JP5883770B2 JP5883770B2 (ja) 2016-03-15

Family

ID=50682825

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012250799A Active JP5883770B2 (ja) 2012-11-15 2012-11-15 ネットワーク異常検知システム、および、分析装置

Country Status (2)

Country Link
US (1) US9485166B2 (ja)
JP (1) JP5883770B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016009893A (ja) * 2014-06-23 2016-01-18 Necエンジニアリング株式会社 データ不正検出装置及びデータ不正検出方法
JP2021103838A (ja) * 2019-12-25 2021-07-15 株式会社日立製作所 通信監視装置及び通信監視方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107615720B (zh) * 2015-05-21 2020-08-04 日本电气株式会社 包分析装置和包分析方法
CN106254159A (zh) * 2016-09-26 2016-12-21 杭州迪普科技有限公司 链路异常检测方法和装置
CN109861857A (zh) * 2019-01-28 2019-06-07 网联清算有限公司 故障检测方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007013590A (ja) * 2005-06-30 2007-01-18 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視装置及びプログラム
JP2008167484A (ja) * 2008-03-13 2008-07-17 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置
US20090167520A1 (en) * 2005-07-11 2009-07-02 Nec Corporation Communication network failure detection system, and communication network failure detection method and failure detection program
JP2012186667A (ja) * 2011-03-07 2012-09-27 Mitsubishi Electric Corp ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
JP4412031B2 (ja) 2004-03-31 2010-02-10 日本電気株式会社 ネットワーク監視システム及びその方法、プログラム
US20060047807A1 (en) * 2004-08-25 2006-03-02 Fujitsu Limited Method and system for detecting a network anomaly in a network
JP4547342B2 (ja) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 ネットワーク制御装置と制御システム並びに制御方法
JP2010511359A (ja) * 2006-11-29 2010-04-08 ウイスコンシン アラムナイ リサーチ フオンデーシヨン ネットワーク異常検出のための方法と装置
JP5428372B2 (ja) 2009-02-12 2014-02-26 日本電気株式会社 運用管理装置および運用管理方法ならびにそのプログラム
CN101854340B (zh) * 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007013590A (ja) * 2005-06-30 2007-01-18 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視装置及びプログラム
US20090167520A1 (en) * 2005-07-11 2009-07-02 Nec Corporation Communication network failure detection system, and communication network failure detection method and failure detection program
JP2008167484A (ja) * 2008-03-13 2008-07-17 Nippon Telegr & Teleph Corp <Ntt> 異常トラヒック検出方法及び装置
JP2012186667A (ja) * 2011-03-07 2012-09-27 Mitsubishi Electric Corp ネットワーク障害検出装置、ネットワーク障害検出装置のネットワーク障害検出方法およびネットワーク障害検出プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016009893A (ja) * 2014-06-23 2016-01-18 Necエンジニアリング株式会社 データ不正検出装置及びデータ不正検出方法
JP2021103838A (ja) * 2019-12-25 2021-07-15 株式会社日立製作所 通信監視装置及び通信監視方法
JP7409866B2 (ja) 2019-12-25 2024-01-09 株式会社日立製作所 通信監視装置及び通信監視方法

Also Published As

Publication number Publication date
JP5883770B2 (ja) 2016-03-15
US20140136694A1 (en) 2014-05-15
US9485166B2 (en) 2016-11-01

Similar Documents

Publication Publication Date Title
US20230063480A1 (en) Collection of error packet information for network policy enforcement
JP5883770B2 (ja) ネットワーク異常検知システム、および、分析装置
CN107835098B (zh) 一种网络故障检测方法及系统
JP6535809B2 (ja) 異常検出装置、異常検出システム、及び、異常検出方法
CN113342564B (zh) 日志审计方法、装置、电子设备和介质
CN101202652B (zh) 网络应用流量分类识别装置及其方法
US10268750B2 (en) Log event summarization for distributed server system
CN108322320B (zh) 业务生存性分析方法及装置
JP6097889B2 (ja) 監視システム、監視装置、および検査装置
CN113328872A (zh) 故障修复方法、装置和存储介质
JP5673805B2 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
JP2006148686A (ja) 通信監視システム
CN110071934B (zh) 用于网络异常检测的局部敏感性计数摘要方法及系统
WO2015182629A1 (ja) 監視システム、監視装置及び監視プログラム
CN111740868A (zh) 告警数据的处理方法和装置及存储介质
CN108241744A (zh) 一种日志读取方法和装置
Kumar et al. Understanding and analyzing interconnect errors and network congestion on a large scale HPC system
Manickam et al. Labelled Dataset on Distributed Denial‐of‐Service (DDoS) Attacks Based on Internet Control Message Protocol Version 6 (ICMPv6)
CN111160661A (zh) 一种电力通信网可靠性优化方法、系统以及设备
CN110995587B (zh) 一种路由不稳定事件源定位方法及装置
CN104518896A (zh) 基于内部网关协议路由介数的网络脆弱性分析方法和装置
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN111784516A (zh) 业务路径的确定方法、装置和电子设备
CN114285786B (zh) 一种网络链路库的构建方法及装置
JP4905363B2 (ja) ネットワーク障害検出プログラム、ネットワーク障害検出装置、およびネットワーク障害検出方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150216

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151029

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160208

R151 Written notification of patent or utility model registration

Ref document number: 5883770

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151