JP4266379B2 - トラヒック情報集約システムおよび方法 - Google Patents

トラヒック情報集約システムおよび方法 Download PDF

Info

Publication number
JP4266379B2
JP4266379B2 JP2006041744A JP2006041744A JP4266379B2 JP 4266379 B2 JP4266379 B2 JP 4266379B2 JP 2006041744 A JP2006041744 A JP 2006041744A JP 2006041744 A JP2006041744 A JP 2006041744A JP 4266379 B2 JP4266379 B2 JP 4266379B2
Authority
JP
Japan
Prior art keywords
key
traffic information
statistical
case
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006041744A
Other languages
English (en)
Other versions
JP2007221612A (ja
Inventor
達哉 森
圭介 石橋
憲昭 上山
亮一 川原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006041744A priority Critical patent/JP4266379B2/ja
Publication of JP2007221612A publication Critical patent/JP2007221612A/ja
Application granted granted Critical
Publication of JP4266379B2 publication Critical patent/JP4266379B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はインターネット等のコンピュータネットワーク上を転送されるトラヒックデータの分析技術に関する。
ネットワーク上のトラヒックを監視することは、ネットワーク資源の適切な設計や、異常なトラヒックの検出・制御を実現する上で、欠かせない技術である。このためには比較的粒度の細かいトラヒック監視技術が必要となる。
従来、非特許文献1に代表されるように、同一の特徴を持つ一連のパケット群を「フロー」として定義し、フローを単位としてトラヒックを監視する技術が広く実用に供してきた。IP(Internet Protocol)ネットワークにおけるフローは、一般に、発IPアドレス、着IPアドレス、発ポート番号、着ポート番号、プロトコル種別の5つの組合せによって定義されている。場合によっては、上記の5つに入力インタフェース、出力インタフェースを加える場合もある。
フロー毎に記録・管理する統計値としては、フロー開始時刻、フロー完了時刻、累積パケット数、累積バイト数、TCPフラグ情報、発AS番号、着AS番号、等である。
K. Thompson and G. Miller and R. Wilder, Wide area internet traffic patterns and characteristics, IEEE Network vol.11, no.6, pp.10-23, 1997. 森達哉、川原亮一、上山憲昭、石橋圭介、阿部威郎、"通信パターン分析に基づくワーム感染ホスト検出方法"、電子情報通信学会技術研究報告、CQ2005−67、PP.1−6、(2005−11) Whang, K., Vander-Zanden, B., and Taylor, H., "A Linear-Time Probabilistic Counting Algorithm for Database Applications," ACM Trans. on Database Systems, Vol.15, No.2, pp.208−229, June 1990. Marianne Durand and Philippe Flajolet., "Loglog Counting of Large Cardinalities", In the "Engineering and Applications Track" of the 11th Annual European Symposium on Algorithms (ESA03). Proceedings published by Springer, Lecture Notes in Computer Science, vol 2832, pp.605-617. This documents is dated September 2003.
より詳細なトラヒック監視を実現する上で、先行技術では以下の点に不足がある。
・フローの定義が固定的であるため、任意のキー(例えば発ホスト)毎の統計値を管理することができない。
・記録する統計値は、主に属性値やカウンタ値であり、例えば発ホスト毎の異なる宛先ホストの数や、異なる着ポート番号の数といった、「異なり数」を記録することはできない。
従来のフロー以外の単位として、たとえばホスト毎の統計値を分析することにより、ワームに感染したホストの挙動や、特定サーバに対する攻撃などの状況を把握することが可能となる。さらに、異なり数の情報はこれらの異常トラヒックの挙動を特徴つける上で非常に役に立つ。例えば、ワームに感染したホストは脆弱性のあるポート番号でサービスを提供しているホストを探索することを目的とした、多数のランダムなアドレスに対して少量のパケットによる通信(ネットワークスキャン)を行うといった特徴を有することから、あるホストが多数の着アドレスに向けて少数パケットを通信しているような状況を把握できれば、そのホストはワームに感染している疑いが強い(非特許文献2参照)。このように、フロー以外の単位で、異なり数を含むトラヒックサマリを管理することは、異常トラヒックの検出・制御を実現する上で重要な役割を果たす。
上述の目的を達成するため、本発明で提案した手法では任意に定めることの可能なキー毎にトラヒックサマリを管理するとともに、キー毎のサマリがある基準を満たした場合、もしくは調節可能な周期が到来する毎にサマリをメモリ上から外部に出力する。このような方式をとることにより、同時に管理するキーの数を調節することが可能であるため、メモリ使用量を節約することができる。さらに、異なり数のカウントにハッシュ関数とビットマップを用いるLinear Counting等の確率的な手法を採用することにより、あるキーに対する複数のサマリから異なり数の情報を集約することが可能となる。
本発明の目的は、上記の課題を鑑みてなされたもので、ホスト等の任意のキー毎の統計値情報(サマリ)を記録管理することを目的とする。また、特に着アドレス数などの異なり数を管理する上ではメモリ量の適切な管理が必要となるため、適切なメモリ管理を実現することも課題である。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約システムであって、到来するパケットデータを計測するパケット計測部と、監視対象となるキーに関してサマリをサマリテーブル上に計数・記録する統計記録部と、統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力する統計出力部と、前記統計出力部が出力したデータを読み込み、前記データの集約を行う統計集約部と、を含むことを特徴とする。
第2発明は、前記第1の発明において、前記統計出力部は、前記第1の場合に加えて、周期が到来する毎の第2の場合、サマリテーブルに登録されたキーの数が設定可能な閾値を超える毎の第3の場合のいずれかまたは両方の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力すること、を特徴とする。
の発明は、前記第1または第2の発明において、前記パケット計測部は、パケットをサンプルしサンプルしたパケットのキーのみ計測を行うサンプリング、更新可能なリストもしくはルールを用意しリストもしくはルールにマッチしたキーのみを選択的に計測するフィルタリング、予め定めた条件を満たすキーのみを確率的にサンプル計測するキーサンプリングのいずれかまたはこれらの二つもしくは三つを組み合わせた処理を行い、またはこれらの処理を行わず、到来するパケットデータを計測することが可能であること、を特徴とする。
の発明は、前記第1または第2の発明において、前記パケット計測部および前記統計記録部は、キーとして、任意の項目が指定可能であること、を特徴とする。
の発明は、前記第1または第2の発明において、前記統計記録部は、キー毎に記録するサマリとして、任意の項目が指定可能であること、を特徴とする。
の発明は、前記第の発明において、前記統計記録部は、キー毎に観測した異なり数そのものをキー毎に記録することによって直接的に異なり数を計数する第1の手段に加え、ハッシュ関数を用いて確率的に異なり数を計数する第2の手段を有すること、を特徴とする。
の発明は、前記第の発明において、前記第2の手段は、キー毎に予め定めた長さまたは任意に調節可能な長さのビットマップを用意し、計測の対象となる項目に対してハッシュ関数を適用し、得られたハッシュ値を用いて異なり数を確率的な情報でビットマップ上に記録すること、を特徴とする。
の発明は、前記第の発明において、前記統計出力部は、前記第1の場合は、最終到着時刻と現在時刻との差が予め定めた閾値を越えた第4の場合、または、累積値もしくは異なり数のいずれかが、予め定めた閾値を超えた第5の場合に、該当するキーのサマリ情報をサマリテーブルから外部に出力するとともに該サマリ情報をサマリテーブルから削除し、前記第2の場合または前記第3の場合は、サマリテーブルに存在するすべてのキーについてのサマリを一度に出力するとともにサマリテーブルをすべてクリアするか、あるいは予め定めた数のキーをランダムに選択し、該当するキーのサマリのみ出力し、該サマリのみをサマリテーブルからクリアし、前記第4の場合、前記第5の場合、前記第2の場合、前記第3の場合のそれぞれによるサマリの出力はすべてを同時に適用することも、任意の組み合わせのみを適用することも可能であること、を特徴とする。
の発明は、前記第1または第2の発明において、前記統計集約部は、前記統計出力部から出力されたサマリを管理し、前記管理したサマリを参照して同一のキーに関するサマリを集約する機能を有し、異なり数については、あるキーXに関するn個(nは2以上の整数)のビットマップ情報b(X1)、b(X2)、b(X3)、…、b(Xn)の論理和b(X1∪X2∪…∪Xn)のビットマップを用いてキーXに関する異なり数を推定するとともに、前記集約したトラヒックサマリを保存しておくこと、を特徴とする。
10の発明は、前記第1または第2の発明において、前記統計集約部は、任意のキーの集合に対し、任意の時間周期での集約が可能であること、を特徴とする。
11の発明は、コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約方法であって、パケット計測部が、到来するパケットデータを計測するステップと、統計記録部が、監視対象となるキーに関してサマリをサマリテーブル上に計数・記録するステップと、統計出力部が、統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力するステップと、統計集約部が、前記統計出力部が出力したデータを読み込み、前記データの集約を行うステップと、を含むことを特徴とする。
本発明によれば、トラヒックを監視し、ホストなどの任意のキーに対して様々な統計サマリを記録・管理・集約し、かつそれらを実現する上で必要となる適切なメモリ管理を提供することが出来る。
以下、図面を用いて本発明の実施例を説明する。
図1は本発明の基本構成の一実施例を示す図である。本実施例のシステムは、インターネット等のコンピュータネットワーク上を転送されるパケットデータについて、指定された項目(キーと呼ぶ)に関する、累積パケット数や、異なるあて先ホスト数等各種の統計的データ(サマリと呼ぶ)を記録、出力、ならびに出力サマリを集約するトラヒック情報集約システムである。図1において、100はトラヒックサマリ計測装置であり、110はトラヒックサマリ集約装置である。図1では統計集約部をトラヒックサマリ集約装置110として、トラヒックサマリ計測装置100とは個別に実装した例を示しているが、両者を同一の装置に実装する実施形態も考えられる。また図2は図1で示したトラヒックサマリ計測装置100とトラヒックサマリ集約装置110をネットワーク200上に配置した例を示している。複数のトラヒックサマリ計測装置100−1〜100−3の情報を統一的にトラヒックサマリ集約装置110で取得することが可能である。
図1において、トラヒックサマリ計測装置100は、到来するパケットデータを計測するパケット計測部101と、監視対象となるキーに関してサマリをサマリテーブル107上に計数・記録する統計記録部102と、統計値を更新したキーに対して記録したサマリが予め定めた基準を満たす場合(第1の場合)、あるいは調節可能な周期が到来する毎(第2の場合)か、あるいはサマリテーブル107に登録されたキーの数が設定可能な閾値を超える毎(第3の場合)に、サマリテーブル107上の一部のキーもしくはすべてのキーに関するサマリを外部に出力する統計出力部103と、時刻を管理する時刻管理部104と、メモリ105と、を備える。メモリ105には、フィルタリストその他のパラメタ106およびサマリテーブル107が記憶される。ここで、フィルタリストはパケット計測部101がフィルタリングを実施する際に必要なデータ(フィルタの対象となる条件のリスト)である。その他パラメタは、パケットをサンプリングをする際に例えば 1/1,000の割合でサンプルするといったサンプリングレートのパラメタとか、ある条件を満たすキーのみを確率的にサンプリングする場合のその条件等である。トラヒックサマリ集約装置110は、統計出力部103の出力データを読み込み、入力情報を集約する統計集約部111と、メモリ112と、を備える。
図1のパケット計測部101は、ネットワーク内の単数もしくは複数のリンク上および/またはネットワーク内部のノード内で転送もしくはミラーされるパケットデータ、および/または前記パケットデータに対して別途設置された計測装置等によってサンプリングもしくはフィルタリングを実施した後に付加情報を追加した等のパケットデータもしくは複数パケットデータを含むデータを取得する。パケット計測部101は、調節可能なサンプリングレートによってランダム、周期的、もしくはその他の方法によってパケットの一部もしくは全てをサンプルしサンプルしたパケットのキーのみ計測を行うサンプリング、更新可能なリストもしくはルールを用意しリストもしくはルールにマッチしたキーのみを選択的に計測するフィルタリング、または予め定めた条件を満たすキーのみを確率的にサンプル計測するキーサンプリングが可能である。また、サンプリング、フィルタリング、キーサンプリングの任意の組み合わせによって併用することも可能であり、到来するパケットに対して適用する順番は変更可能である。パケット計測部101は、取得したデータに対して適切なサンプリングもしくはフィルタリングを施した後、統計記録部に転送する。(具体的には、ルータの複数インタフェースを通過するパケット、あるいはルータやスイッチからポートミラーリングした、もしくはリンクにタップを接続することによって取得したパケット、あるいはsflowのようなサンプリング・フィルタリングしたパケットデータの出力を想定している。)
パケット計測部101は、キーとして、発アドレスや、着アドレス等のパケットに記載されたデータ、あるいはアドレスとルーティングテーブル等の外部データとを比較することで得られるAS番号等、任意の項目が指定可能である。
以下、キーとして発IPアドレス、監視する統計値として、時刻情報、パケット数、および異なる着IPアドレス総数の場合について説明するが、本発明の適用範囲はこの限りではない。また、異なり数の記録、推定にあたっては非特許文献3に記載のLinear Countingを用いる場合について説明するが、他のハッシュ関数とビットマップを用いることを特徴とした異なり数推定手法(非特許文献4に記載のLoglog Countingなど)を使用することも可能である。あるいは、異なり数推定手法を用いずに、異なる項目をすべて記録することによって直接的に異なり数を計数する手法も可能である。なお、「異なり数」とは、例えば発ホスト毎の異なる宛先ホストの数や、異なる着ポート番号の数といった数であり、一般的には、ある集合に含まれる要素の内、互いに異なる要素の数である。英語ではcardinality(= number of distinct elements)である。
図1の統計記録部102では、パケット計測部101より転送されたデータを読み込み、キー毎に時刻情報、パケット数、および着IPアドレス数を管理するビットマップをサマリテーブル107上に管理し、データが転送される毎に情報を更新する。キーがサマリテーブル107に存在しない場合は、そのキーをサマリテーブル107に登録する。あるキーの最初のパケットが到着した際に時刻管理部104から現在時刻を取得し、初期到着時刻として記録すると同時に最終到着時刻も同じ値を記録する。同様にパケット数をカウントアップし(初期値は0)、着IPアドレスに対して任意に選択が可能なハッシュ関数を適用し、0〜L−1の値を得る。ハッシュ関数をビットマップ上でその値に対応するビットに1を立てる。以降、そのキーのパケットが到来する度に初期到着時刻以外の項目について同様に更新を行う。サマリテーブル107の具体例を図3に示す。図3において、1列目は発ホストであり(この具体例では、発ホストがキーである)、2列目は初期到着時刻であり、3列目は最終到着時刻であり、4列目はパケット数であり、5列目は着アドレス数カウントビットマップであり、6列目は5列目の着アドレス数カウントビットマップのビット“1”の数である。キー毎に管理するビットマップ長は16である例を示している(図3の5列目参照)。Linear Countingにおける異なり数推定は以下の通りである。ビットマップ上で1となっているビットの数をmとする(図3の6列目参照)。このとき、異なり数の推定値f(m)は、
f(m)=−L*log((L−m)/L)・・・(1)
と与えられる。すなわち、m=7であった場合、推定される異なり数は
f(7)=−16*log((16−7)/16)=9.21
である。
統計記録部102は、キーとして発アドレスや、着アドレス等のパケットに記載されたデータ、あるいはアドレスとルーティングテーブル等の外部データとを比較することで得られるAS番号等、任意の項目が指定可能である。また、統計記録部102は、キー毎に記録するサマリとして、調節可能な計測期間における、初期到着時刻、最終到着時刻などの「時刻情報」や、累積パケット数、累積バイト数、といった「累積値」、ならびに異なる着アドレス総数、異なる発ポート番号の総数といった「異なり数」、などを任意に指定可能である。そして、統計記録部102は、異なり数の計数に関しては、キー毎に観測した異なり数そのものをキー毎に記録することによって直接的に異なり数を計数する第1の手段(図示していない)に加え、Linear CountingやLoglog Countingやそれらの組み合わせのハッシュ関数とビットマップを利用する手法によって、異なり数を確率的に計数・推定する第2の手段(図示していない)を備えることができる。この第2の手段(図示していない)においては、キー毎に予め定めた長さまたは任意に調節可能な長さのビットマップを用意し、計測の対象となる項目(例えば着アドレス)に対してハッシュ関数を適用し、得られたハッシュ値よりLinear CountingあるいはLoglog Counting等の手法を適用することによって異なり数を確率的な情報でビットマップ上に記録する。
図1の統計出力部103では、統計値を更新したキーに対して記録したサマリが予め定めた基準を満たす場合(前記第1の場合)、例えばあるキーに関するビットマップにおける1の数がある閾値(例えば15)に到達したらサマリテーブル107上のそのキーに関する情報(すなわち、キー、初期到着時刻、最終到着時刻、パケット数、ビットマップ)を統計集約部111に出力するとともに、該当するデータをサマリテーブル107から削除する。この手順を図4のフローチャートに示す。図4において、あるキーXのパケットが到着すると(ステップ401)、キーXのエントリーのビットマップを更新する(ステップ402)。上記エントリーのうち、ビット1の数が閾値を越えるビットマップが少なくとも1つ存在するかどうかを判断する(ステップ403)。存在する場合(ステップ403でYesの場合)は、キーXを出力し、サマリテーブル107から該当するデータを削除する。存在しない場合(ステップ403でNoの場合)は終了する。
また、統計出力部103では、調節可能な周期(例えば1分)が到来する毎(前記第2の場合)にサマリテーブル107のデータを外部に出力する。ここでは、1分毎にサマリテーブル107上に登録されたすべてのデータを出力する方法を例として取りあげる。計測開始から1分が経過する毎に統計出力部はサマリテーブル107上のすべてのデータ(トラヒックサマリ)を統計集約部111に出力し、サマリテーブル107をクリアする。
また、統計出力部103では、サマリテーブル107に登録されたキーの数が設定可能な閾値を超える毎(前記第3の場合)にも、サマリテーブル107のデータを統計集約部111に出力し、サマリテーブル107をクリアする。
統計出力部103は、第1の場合、第2の場合、第3の場合の全ての場合について、データを出力し、サマリテーブル107から該当データを削除するか、クリアしてもよいし、これらの場合のうち一つまたは二つの場合について、データを出力し、サマリテーブル107から該当データを削除するか、クリアしてもよい。
また、統計出力部103は、第1の場合は、「最終到着時刻」と「現在時刻」との差が予め定めた閾値を越えた場合(第4の場合)、もしくはその他の「累積値」ないしは推定した「異なり数」のいずれかが、予め定めた閾値を超えた場合(第5の場合)、該当するキーのサマリ情報をサマリテーブル107から外部に出力すると同時にメモリから削除することができる。同様に第2の場合あるいは第3の場合は、サマリテーブル107に存在するすべてのキーについてのサマリを一度に出力するとともにサマリテーブル107をすべてクリアするか、あるいは予め定めた数のキーをランダムに選択し、該当するキーのサマリのみ出力し、該サマリのみをサマリテーブル107からクリアしてもよい。さらに第4の場合、第5の場合、第2の場合、第3の場合のそれぞれによるサマリの出力はすべてを同時に適用してもよいし、任意の組み合わせのみを適用してもよい。
前記統計出力部103が出力したトラヒックサマリは統計集約部111によって収集し、メモリ112上で管理される。統計集約部111は調節可能な周期毎(例えば1分)に収集したデータを集約する。その収集したデータの例を図5に示す。図に示すように、複数のサマリを持つキーが存在する。そのような複数サマリを持つキーの情報を以下のように集約する。ここでは図中に網掛けで示した発ホスト192.168.23.11を例にして説明する。まず初期到着時刻は一番古いものを、最終到着時刻は一番新しい時刻をそれぞれ採用する。すなわち、初期到着時刻は0であり、最終到着時刻は138となる。パケット数などの累積値はそれぞれを加算する。すなわち、131+129+32=292となる。最後に異なる着アドレス数は、複数のビットマップの情報を用いる。ここでは分割数が3の場合をとりあげるが、一般に任意の分割数に対して適用可能である。分割した3つのサマリに対応する着アドレスの集合をそれぞれA、B、Cとする。求めるべき異なり数は、これらの集合の和集合のサイズ|A∪B∪C|である。サマリXのビットマップをb_Xとする。またビットマップXにおいてビットに1が立っている数をv(X)とする。このとき|A∪B∪C|は(1)式を用い、次式によって推定することができる。
|A∪B∪C|≒f(v(b_A∨b_B∨b_C))
ただし、∨はビットマップの論理和を示す演算子である。また、f( )は、式(1)に関して述べたように、異なり数の推定値である。
和集合のサイズを求める場合に、以下のように集合に関する包除原理を適用し、ビットマップの論理積の演算によって求めることも可能である。
|A∪B∪C|=|A|+|B|+|C|
−|A∩B|−|A∩C|−|B∩C|
+|A∩B∩C|
≒f(v(b_A))+f(v(b_B))+f(v(b_C))
−f(v_A∧b_B))−f(v(b_A∧b_C))−f((b_B∧b_C))
+f(v(b_A∧b_B∧b_C))
ここに∧はビットマップの論理積をあらわす演算子である。
以上で示したような分割したサマリの集約は連続した時間で計測した複数のサマリのみならず、異なる時間帯で計測した複数のサマリ、あるいは異なる場所で観測した同一のキーに対する複数サマリ、あるいはキーの集合(例えばあるネットワークプレフィックスに属するホストの集合など)に対しても適用することができる。
データ集約後は重複していたサマリを単一のサマリに収めることができる。これらの集約後のサマリは更に定期的に2次的な記録媒体に蓄積してもよいし、メモリ上にすべてを保持しておくか、あるいはある項目が上位N番目までのサマリなど、一部のサマリのみをメモリ上に記憶しておくなど、任意の処理を行うことが可能である。
すなわち、統計集約部111は、統計出力部103から出力されたすべてのサマリを記録・管理し、任意に調節が可能な周期が到来する毎に、前記管理したサマリを参照して同一のキーに関するサマリを集約する機能を有する。特に異なり数については、あるキーXに関する複数(一般にn個)のビットマップ情報b(X1)、b(X2)、b(X3)、…、b(Xn)の論理和b(X1∪X2∪…∪Xn)のビットマップを用いてキーXに関する異なり数を推定するとともに、前記集約したトラヒックサマリを保存しておくことができる。また前記集約は周期が到来する毎に実施してもよいし、統計出力部103から出力されるごとに実施しても構わない。
また、統計集約部111では、上記の集約以外に、任意のキーの集合に対し、任意の時間周期での集約するようにしてもよい。
以上説明した装置はコンピュータとプログラムによって構成できる。また、そのプログラムの一部または全部の代わりにハードウェアを用いて構成してもよい。また、以上に説明したように各部が処理を行うことにより、トラヒックサマリ集約方法が実行される。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明のトラヒック情報集約システムの実施例を示すブロック図である。 ネットワーク上に配置する実施例を示すブロック図である。 サマリテーブルの具体例を示す図である。 ビット1の数によるサマリの出力を示すフローチャート図である。 統計集約部が受信するトラヒックサマリの例を示す図である。
符号の説明
100…トラヒックサマリ計測装置、101…パケット計測部、102…統計記録部、103…統計出力部、104…時刻管理部、105…メモリ、106…フィルタリストその他のパラメタ、107…サマリテーブル、110…トラヒックサマリ集約装置、111…統計集約部、112…メモリ、200…ネットワーク

Claims (11)

  1. コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約システムであって、
    到来するパケットデータを計測するパケット計測部と、
    監視対象となるキーに関してサマリをサマリテーブル上に計数・記録する統計記録部と、
    統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力する統計出力部と、
    前記統計出力部が出力したデータを読み込み、前記データの集約を行う統計集約部と、
    を含むことを特徴とするトラヒック情報集約システム。
  2. 請求項1に記載のトラヒック情報集約システムであって、
    前記統計出力部は、前記第1の場合に加えて、周期が到来する毎の第2の場合、サマリテーブルに登録されたキーの数が設定可能な閾値を超える毎の第3の場合のいずれかまたは両方の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力すること、を特徴とするトラヒック情報集約システム。
  3. 請求項1または2に記載のトラヒック情報集約システムであって、
    前記パケット計測部は、パケットをサンプルしサンプルしたパケットのキーのみ計測を行うサンプリング、更新可能なリストもしくはルールを用意しリストもしくはルールにマッチしたキーのみを選択的に計測するフィルタリング、予め定めた条件を満たすキーのみを確率的にサンプル計測するキーサンプリングのいずれかまたはこれらの二つもしくは三つを組み合わせた処理を行い、またはこれらの処理を行わず、到来するパケットデータを計測することが可能であること、を特徴とするトラヒック情報集約システム。
  4. 請求項1または2に記載のトラヒック情報集約システムであって、
    前記パケット計測部および前記統計記録部は、キーとして、任意の項目が指定可能であること、を特徴とするトラヒック情報集約システム。
  5. 請求項1または2に記載のトラヒック情報集約システムであって、
    前記統計記録部は、キー毎に記録するサマリとして、任意の項目が指定可能であること、を特徴とするトラヒック情報集約システム。
  6. 請求項に記載のトラヒック情報集約システムであって、
    前記統計記録部は、キー毎に観測した異なり数そのものをキー毎に記録することによって直接的に異なり数を計数する第1の手段に加え、ハッシュ関数を用いて確率的に異なり数を計数する第2の手段を有すること、を特徴とするトラヒック情報集約システム。
  7. 請求項に記載のトラヒック情報集約システムであって、
    前記第2の手段は、キー毎に予め定めた長さまたは任意に調節可能な長さのビットマップを用意し、計測の対象となる項目に対してハッシュ関数を適用し、得られたハッシュ値を用いて異なり数を確率的な情報でビットマップ上に記録すること、を特徴とするトラヒック情報集約システム。
  8. 請求項に記載のトラヒック情報集約システムであって、
    前記統計出力部は、
    前記第1の場合は、最終到着時刻と現在時刻との差が予め定めた閾値を越えた第4の場合、または、累積値もしくは異なり数のいずれかが、予め定めた閾値を超えた第5の場合に、該当するキーのサマリ情報をサマリテーブルから外部に出力するとともに該サマリ情報をサマリテーブルから削除し、
    前記第2の場合または前記第3の場合は、サマリテーブルに存在するすべてのキーについてのサマリを一度に出力するとともにサマリテーブルをすべてクリアするか、あるいは予め定めた数のキーをランダムに選択し、該当するキーのサマリのみ出力し、該サマリのみをサマリテーブルからクリアし、
    前記第4の場合、前記第5の場合、前記第2の場合、前記第3の場合のそれぞれによるサマリの出力はすべてを同時に適用することも、任意の組み合わせのみを適用することも可能であること、
    を特徴とするトラヒック情報集約システム。
  9. 請求項1または2に記載のトラヒック情報集約システムであって、
    前記統計集約部は、前記統計出力部から出力されたサマリを管理し、前記管理したサマリを参照して同一のキーに関するサマリを集約する機能を有し、異なり数については、あるキーXに関するn個(nは2以上の整数)のビットマップ情報b(X1)、b(X2)、b(X3)、…、b(Xn)の論理和b(X1∪X2∪…∪Xn)のビットマップを用いてキーXに関する異なり数を推定するとともに、前記集約したトラヒックサマリを保存しておくこと、を特徴とするトラヒック情報集約システム。
  10. 請求項1または2に記載のトラヒック情報集約システムであって、
    前記統計集約部は、任意のキーの集合に対し、任意の時間周期での集約が可能であること、を特徴とするトラヒック情報集約システム。
  11. コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約方法であって、
    パケット計測部が、到来するパケットデータを計測するステップと、
    統計記録部が、監視対象となるキーに関してサマリをサマリテーブル上に計数・記録するステップと、
    統計出力部が、統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力するステップと、
    統計集約部が、前記統計出力部が出力したデータを読み込み、前記データの集約を行うステップと、
    を含むことを特徴とするトラヒック情報集約方法。
JP2006041744A 2006-02-20 2006-02-20 トラヒック情報集約システムおよび方法 Expired - Fee Related JP4266379B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006041744A JP4266379B2 (ja) 2006-02-20 2006-02-20 トラヒック情報集約システムおよび方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006041744A JP4266379B2 (ja) 2006-02-20 2006-02-20 トラヒック情報集約システムおよび方法

Publications (2)

Publication Number Publication Date
JP2007221612A JP2007221612A (ja) 2007-08-30
JP4266379B2 true JP4266379B2 (ja) 2009-05-20

Family

ID=38498341

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006041744A Expired - Fee Related JP4266379B2 (ja) 2006-02-20 2006-02-20 トラヒック情報集約システムおよび方法

Country Status (1)

Country Link
JP (1) JP4266379B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4871775B2 (ja) * 2007-04-06 2012-02-08 アラクサラネットワークス株式会社 統計情報収集装置
JP5925044B2 (ja) * 2012-05-01 2016-05-25 テンソル・コンサルティング株式会社 異なり数計数方法、装置、およびプログラム
JP5925043B2 (ja) * 2012-05-01 2016-05-25 テンソル・コンサルティング株式会社 異なり数計数方法、装置、およびプログラム
JP2014187521A (ja) * 2013-03-22 2014-10-02 Nec Corp トラフィック監視システム

Also Published As

Publication number Publication date
JP2007221612A (ja) 2007-08-30

Similar Documents

Publication Publication Date Title
US11757740B2 (en) Aggregation of select network traffic statistics
US10097464B1 (en) Sampling based on large flow detection for network visibility monitoring
CN105580318B (zh) 用于分析通过网络的数据通信量的方法和系统
US9979624B1 (en) Large flow detection for network visibility monitoring
US8358592B2 (en) Network controller and control method with flow analysis and control function
US8432827B2 (en) Arrangement for utilization rate display and methods thereof
US10536360B1 (en) Counters for large flow detection
US11729043B2 (en) Traffic outage detection in the internet
JPWO2016017208A1 (ja) 監視システム、監視装置、および検査装置
JP4266379B2 (ja) トラヒック情報集約システムおよび方法
Canini et al. Per flow packet sampling for high-speed network monitoring
Zhang et al. Identifying elephant flows in internet backbone traffic with bloom filters and LRU
EP3460769A1 (en) System and method for managing alerts using a state machine
JP5684748B2 (ja) ネットワーク品質監視装置及びネットワーク品質監視方法
KR101469283B1 (ko) 기업 네트워크 분석 시스템 및 그 방법
JP4814270B2 (ja) トラヒック変動量推定方法およびその装置とプログラム
JP4209897B2 (ja) 大量フロー生成ホスト特定方法およびシステム
JP5833934B2 (ja) パケットキャプチャーシステムおよびパケットキャプチャー方法
Papadogiannakis et al. RRDtrace: long-term raw network traffic recording using fixed-size storage
Tseung et al. Forensic-Aware Anti-DDoS Device
JP4112590B2 (ja) 異なり数上位nキーの推定方法および推定システム
JP2006295576A (ja) フロークラス推定方法およびその装置
JP5300642B2 (ja) 通信網における頻出フロー検出方法と装置およびプログラム
JP2011041043A (ja) 通信ネットワークにおける品質劣化箇所推定装置、方法およびシステム
Jacobson et al. Route-Flow Fusion: Making traffic measurement useful

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080819

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081015

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090210

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090216

R150 Certificate of patent or registration of utility model

Ref document number: 4266379

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120227

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130227

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees