JP2016144153A - サービス監視装置、および、サービス監視方法 - Google Patents
サービス監視装置、および、サービス監視方法 Download PDFInfo
- Publication number
- JP2016144153A JP2016144153A JP2015020632A JP2015020632A JP2016144153A JP 2016144153 A JP2016144153 A JP 2016144153A JP 2015020632 A JP2015020632 A JP 2015020632A JP 2015020632 A JP2015020632 A JP 2015020632A JP 2016144153 A JP2016144153 A JP 2016144153A
- Authority
- JP
- Japan
- Prior art keywords
- service
- traffic
- response
- request
- stationarity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】複数のネットワーク装置2から収集したフローデータを用いて、サービスを監視するサービス監視装置1であって、収集したフローデータから、サービスに対する、要求トラフィックおよび応答トラフィックを抽出するトラフィック抽出部11と、抽出された、要求トラフィックおよび応答トラフィックに基づいて、要求トラフィックおよび応答トラフィックとの間の定常性を算出する定常性算出部12と、特定期間内での要求トラフィックおよび応答トラフィックとの間の関係性が、算出された定常性からどれだけ逸脱しているかによって、サービスの品質を判定するサービス品質判定部13と、を備える、ことを特徴とする。
【選択図】図2
Description
図1に示すように、本実施形態のサービス監視装置1は、ネットワーク装置群Gのネットワーク装置2の各々からフローデータを収集し、収集したフローデータを用いて、サーバ3から端末4へ提供中のサービス(図1中の符号X,Yを付した矢印で表現)を監視する。フローデータの収集方法は、NetFlow,sFlowなどといった周知の方法である(例えば、参考文献1:B. Claise, "Cisco Systems NetFlow Services Export Version9," IETF RFC3954, October 2004. http://www.ietf.org/rfc/rfc3954や、参考文献2:P. Phaal, S. Panchen, and N. McKee, "InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks," IETF RFC3176, September 2001. http://www.ietf.org/rfc/rfc3176、などを参照)。
ネットワーク装置2は、例えば、ルータ、ブリッジ、リピータ、ゲートウェイである。ネットワーク装置2は、例えば、IPFIXのフローエクスポータとして機能する。なお、ネットワーク装置群Gにおいて、フローエクスポータとして機能しないネットワーク装置2が含まれていてもよい。このようなネットワーク装置2でのトラフィック状態は、フローエクスポータとして機能するネットワーク装置2が提供するフローデータを周知の方法で解析することで間接的に特定することができる。
端末4は、ユーザがサービスを利用するために操作する装置である。なお、端末4にフローエクスポータの機能を持たせてもよい。
HMI装置5は、オペレータがサービス監視装置1を制御するための管理コンソールである。サービス監視装置1は、ネットワーク装置2から収集したフローデータに基づいて必要に応じてサービス警報などをHMI装置5に出力する。
処理部10は、サービス監視装置1の処理を司る。処理部10は、トラフィック抽出部11(抽出部)、定常性算出部12、サービス品質判定部13(判定部)、および、結果出力部14、といった機能部を備える。これらの機能部については後記する。
入出力部20は、サービス監視装置1の入出力インターフェースを構成する。入出力部20は、入力部21および出力部22を備える。入力部21は、HMI装置5からの入力やネットワーク装置2からのフローデータなどの取得を行う。出力部22は、処理部10による処理結果をファイルf等で出力する。
記憶部30は、所定のデータを所定の形式で記憶する。記憶部30は、フローデータ保存部31、定常性データ保存部32、および、詳細データ保存部33、といった機能部を備える。これらの機能部については後記する。
なお、定常性算出部12による定常性の算出は、所定の単位時間ごとに行われる。また、定常性の算出方法はさまざまであり、詳細は後記する。
詳細データ保存部33は、例えば、サービス品質判定部13によってサービス品質が低下していると判定されたサービスに関する詳細データを所定の形式で保存する。
図3に示すように、本実施形態のサービス監視装置1は、本実施形態のサービス監視装置1の処理は以下の通りである。この処理は、ステップS1から開始する。
に進む。
定常性算出部12が算出する定常性として、要求トラフィックおよび応答トラフィックとの間の相関係数を採用することができる。サーバ3をDNS(Domain Name System)サーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
t(0)〜t(1)の相関係数=0.95
t(1)〜t(2)の相関係数=0.93
t(2)〜t(3)の相関係数=0.97
t(3)〜t(4)の相関係数=0.99
t(4)〜t(5)の相関係数=0.91
t(5)〜t(6)の相関係数=0.75
t(6)〜t(7)の相関係数=0.85
t(5)〜t(6)の逸脱度合い = |0.95-0.75| = 0.20 > σ
となり、t(5)〜t(6)における要求フロー数および応答フロー数の間の関係性が定常性から大きく逸脱しているといえる。よって、サービス品質判定部13は、t(5)〜t(6)におけるDNSサーバ3aのサービスの品質が低下していると判定する。
t(6)〜t(7)の逸脱度合い = |0.95-0.85| = 0.10 < σ
となり、t(6)〜t(7)における要求フロー数および応答フロー数の間の関係性が定常性から逸脱しているといえない。よって、サービス品質判定部13は、t(6)〜t(7)におけるDNSサーバ3aのサービスの品質が低下しておらず安定していると判定する。
(1)DNSサーバのIPアドレス(宛先ポート番号が53番であるフローデータの宛先IPアドレス、送信元ポート番号が53番であるフローデータの送信元IPアドレス)
(2)サービスを利用しているユーザの端末のIPアドレス(宛先ポート番号が53番であるフローデータの送信元IPアドレス、送信元ポート番号が53番であるフローデータの宛先IPアドレス)
(3)ポート番号(本例では、53番)
(4)定常性からの逸脱度合い
(5)DNSサーバのホスト名
(6)サービスを利用しているユーザの端末の数
(7)要求フロー数(または応答フロー数)が想定外に大きくなったネットワーク装置の識別子
などを詳細データとして出力する。出力された詳細データは、HMI装置5に送信され、オペレータによる分析に寄与する。
あるサービスに対する、要求トラフィックおよび応答トラフィックについてk-means法等によるクラスタリングを採用し、定常性算出部12が算出する定常性として、クラスタの数、クラスタの重心の座標を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
あるサービスに対する、要求トラフィックおよび応答トラフィックの各々について、ネットワーク装置2から収集したフローデータに関するヒストグラムを採用し、定常性算出部12が算出する定常性として、要求トラフィックのヒストグラムと、応答トラフィックのヒストグラムとの間の類似度を採用することができる。サーバ3をDNSサーバ3aとし、1または複数のDNSサーバ3aが提供するサービスを例に採り上げて説明する。
なお、必要に応じて、DNS要求フロー数は、DNSサーバ3aごとにとってもよい。
また、上記実施形態に係るサービス監視装置1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、サービス監視装置1と同様の機能を実現する監視プログラムを実行するコンピュータの一例を説明する。
(1):実施例1において、要求フロー数と応答フロー数との間の相関係数を定常性として採用した。しかし、要求フロー数および応答フロー数として用いたフロー数の代替手段として、1フローあたりのパケット数や、1パケットあたりのバイト数(つまり、平均パケット長)を用いることもできる。
また、本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
2 ネットワーク装置
3 サーバ
4 端末
5 HMI装置
10 処理部
11 トラフィック抽出部(抽出部)
12 定常性算出部
13 サービス品質判定部(判定部)
14 結果出力部
20 入出力部
21 入力部
22 出力部
30 記憶部
31 フローデータ保存部
32 定常性データ保存部
33 詳細データ保存部
Claims (2)
- 複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置であって、
前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出部と、
前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出部と、
特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定部と、を備える、
ことを特徴とするサービス監視装置。 - 複数のネットワーク装置から収集したフローデータを用いて、サービスを監視するサービス監視装置におけるサービス監視方法であって、
前記収集したフローデータから、前記サービスに対する、要求トラフィックおよび応答トラフィックを抽出する抽出ステップと、
前記抽出された、要求トラフィックおよび応答トラフィックに基づいて、前記要求トラフィックおよび前記応答トラフィックとの間の定常性を算出する定常性算出ステップと、
特定期間内での前記要求トラフィックおよび前記応答トラフィックとの間の関係性が、前記算出された定常性からどれだけ逸脱しているかによって、前記サービスの品質を判定する判定ステップと、を備える、
ことを特徴とするサービス監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015020632A JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015020632A JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016144153A true JP2016144153A (ja) | 2016-08-08 |
JP6325993B2 JP6325993B2 (ja) | 2018-05-16 |
Family
ID=56570960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015020632A Active JP6325993B2 (ja) | 2015-02-04 | 2015-02-04 | サービス監視装置、および、サービス監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6325993B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018133688A (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
JP2020092332A (ja) * | 2018-12-05 | 2020-06-11 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
JP2020521383A (ja) * | 2017-05-18 | 2020-07-16 | エクスパンス, インク. | 相関関係駆動型脅威の評価と修復 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005033391A (ja) * | 2003-07-10 | 2005-02-03 | Hitachi Ltd | 要求とその応答の相関を利用したネットワーク監視装置 |
JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP2012105043A (ja) * | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | フロー分類方法、システム、およびプログラム |
-
2015
- 2015-02-04 JP JP2015020632A patent/JP6325993B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005033391A (ja) * | 2003-07-10 | 2005-02-03 | Hitachi Ltd | 要求とその応答の相関を利用したネットワーク監視装置 |
JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
JP2008219525A (ja) * | 2007-03-05 | 2008-09-18 | Tohoku Univ | ネットワーク異常検知方法およびネットワーク異常検知システム |
JP2012105043A (ja) * | 2010-11-10 | 2012-05-31 | Nippon Telegr & Teleph Corp <Ntt> | フロー分類方法、システム、およびプログラム |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018133688A (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | サービス復旧装置およびサービス復旧方法 |
JP2020521383A (ja) * | 2017-05-18 | 2020-07-16 | エクスパンス, インク. | 相関関係駆動型脅威の評価と修復 |
JP7250703B2 (ja) | 2017-05-18 | 2023-04-03 | パロ アルト ネットワークス,インコーポレイテッド | 相関関係駆動型脅威の評価と修復 |
JP2020092332A (ja) * | 2018-12-05 | 2020-06-11 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
JP7079721B2 (ja) | 2018-12-05 | 2022-06-02 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6325993B2 (ja) | 2018-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10637771B2 (en) | System and method for real-time load balancing of network packets | |
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
CN108429651B (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
US9577906B2 (en) | Scalable performance monitoring using dynamic flow sampling | |
CN109962903B (zh) | 一种家庭网关安全监控方法、装置、系统和介质 | |
US9794272B2 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
US7752307B2 (en) | Technique of analyzing an information system state | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
Sundaresan et al. | Home network or access link? locating last-mile downstream throughput bottlenecks | |
JP2013150134A (ja) | 計算機システム、仮想サーバ配置方法及び配置制御装置 | |
JP2011154483A (ja) | 異常検出装置、プログラム、及び異常検出方法 | |
US20080186876A1 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
JP6691268B2 (ja) | 監視装置、監視方法および監視プログラム | |
JP6325993B2 (ja) | サービス監視装置、および、サービス監視方法 | |
US10122599B2 (en) | Method and apparatus for dynamically scaling application performance analysis completeness based on available system resources | |
JP2013179491A (ja) | ネットワーク品質監視装置及びネットワーク品質監視方法 | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
KR20190055534A (ko) | 심층 패킷 분석을 이용한 기계학습용 네트워크 데이터 생성 장치 및 그 동작방법 | |
JP6476853B2 (ja) | ネットワーク監視システム及び方法 | |
JP2013243534A (ja) | 遅延時間評価装置および遅延時間評価方法 | |
JP6629174B2 (ja) | 通信監視装置、通信監視方法及び通信監視プログラム | |
JP6683673B2 (ja) | 異常検知システム、異常検知方法、および、異常検知プログラム | |
JP2009296158A (ja) | 通信データ統計装置および通信データ統計方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171027 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180410 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180413 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6325993 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |