JP4266379B2 - トラヒック情報集約システムおよび方法 - Google Patents
トラヒック情報集約システムおよび方法 Download PDFInfo
- Publication number
- JP4266379B2 JP4266379B2 JP2006041744A JP2006041744A JP4266379B2 JP 4266379 B2 JP4266379 B2 JP 4266379B2 JP 2006041744 A JP2006041744 A JP 2006041744A JP 2006041744 A JP2006041744 A JP 2006041744A JP 4266379 B2 JP4266379 B2 JP 4266379B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- traffic information
- statistical
- case
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
・フローの定義が固定的であるため、任意のキー(例えば発ホスト)毎の統計値を管理することができない。
・記録する統計値は、主に属性値やカウンタ値であり、例えば発ホスト毎の異なる宛先ホストの数や、異なる着ポート番号の数といった、「異なり数」を記録することはできない。
第2発明は、前記第1の発明において、前記統計出力部は、前記第1の場合に加えて、周期が到来する毎の第2の場合、サマリテーブルに登録されたキーの数が設定可能な閾値を超える毎の第3の場合のいずれかまたは両方の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力すること、を特徴とする。
図1は本発明の基本構成の一実施例を示す図である。本実施例のシステムは、インターネット等のコンピュータネットワーク上を転送されるパケットデータについて、指定された項目(キーと呼ぶ)に関する、累積パケット数や、異なるあて先ホスト数等各種の統計的データ(サマリと呼ぶ)を記録、出力、ならびに出力サマリを集約するトラヒック情報集約システムである。図1において、100はトラヒックサマリ計測装置であり、110はトラヒックサマリ集約装置である。図1では統計集約部をトラヒックサマリ集約装置110として、トラヒックサマリ計測装置100とは個別に実装した例を示しているが、両者を同一の装置に実装する実施形態も考えられる。また図2は図1で示したトラヒックサマリ計測装置100とトラヒックサマリ集約装置110をネットワーク200上に配置した例を示している。複数のトラヒックサマリ計測装置100−1〜100−3の情報を統一的にトラヒックサマリ集約装置110で取得することが可能である。
パケット計測部101は、キーとして、発アドレスや、着アドレス等のパケットに記載されたデータ、あるいはアドレスとルーティングテーブル等の外部データとを比較することで得られるAS番号等、任意の項目が指定可能である。
f(m)=−L*log((L−m)/L)・・・(1)
と与えられる。すなわち、m=7であった場合、推定される異なり数は
f(7)=−16*log((16−7)/16)=9.21
である。
|A∪B∪C|≒f(v(b_A∨b_B∨b_C))
ただし、∨はビットマップの論理和を示す演算子である。また、f( )は、式(1)に関して述べたように、異なり数の推定値である。
|A∪B∪C|=|A|+|B|+|C|
−|A∩B|−|A∩C|−|B∩C|
+|A∩B∩C|
≒f(v(b_A))+f(v(b_B))+f(v(b_C))
−f(v_A∧b_B))−f(v(b_A∧b_C))−f((b_B∧b_C))
+f(v(b_A∧b_B∧b_C))
ここに∧はビットマップの論理積をあらわす演算子である。
Claims (11)
- コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約システムであって、
到来するパケットデータを計測するパケット計測部と、
監視対象となるキーに関してサマリをサマリテーブル上に計数・記録する統計記録部と、
統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力する統計出力部と、
前記統計出力部が出力したデータを読み込み、前記データの集約を行う統計集約部と、
を含むことを特徴とするトラヒック情報集約システム。 - 請求項1に記載のトラヒック情報集約システムであって、
前記統計出力部は、前記第1の場合に加えて、周期が到来する毎の第2の場合、サマリテーブルに登録されたキーの数が設定可能な閾値を超える毎の第3の場合のいずれかまたは両方の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力すること、を特徴とするトラヒック情報集約システム。 - 請求項1または2に記載のトラヒック情報集約システムであって、
前記パケット計測部は、パケットをサンプルしサンプルしたパケットのキーのみ計測を行うサンプリング、更新可能なリストもしくはルールを用意しリストもしくはルールにマッチしたキーのみを選択的に計測するフィルタリング、予め定めた条件を満たすキーのみを確率的にサンプル計測するキーサンプリングのいずれかまたはこれらの二つもしくは三つを組み合わせた処理を行い、またはこれらの処理を行わず、到来するパケットデータを計測することが可能であること、を特徴とするトラヒック情報集約システム。 - 請求項1または2に記載のトラヒック情報集約システムであって、
前記パケット計測部および前記統計記録部は、キーとして、任意の項目が指定可能であること、を特徴とするトラヒック情報集約システム。 - 請求項1または2に記載のトラヒック情報集約システムであって、
前記統計記録部は、キー毎に記録するサマリとして、任意の項目が指定可能であること、を特徴とするトラヒック情報集約システム。 - 請求項5に記載のトラヒック情報集約システムであって、
前記統計記録部は、キー毎に観測した異なり数そのものをキー毎に記録することによって直接的に異なり数を計数する第1の手段に加え、ハッシュ関数を用いて確率的に異なり数を計数する第2の手段を有すること、を特徴とするトラヒック情報集約システム。 - 請求項6に記載のトラヒック情報集約システムであって、
前記第2の手段は、キー毎に予め定めた長さまたは任意に調節可能な長さのビットマップを用意し、計測の対象となる項目に対してハッシュ関数を適用し、得られたハッシュ値を用いて異なり数を確率的な情報でビットマップ上に記録すること、を特徴とするトラヒック情報集約システム。 - 請求項2に記載のトラヒック情報集約システムであって、
前記統計出力部は、
前記第1の場合は、最終到着時刻と現在時刻との差が予め定めた閾値を越えた第4の場合、または、累積値もしくは異なり数のいずれかが、予め定めた閾値を超えた第5の場合に、該当するキーのサマリ情報をサマリテーブルから外部に出力するとともに該サマリ情報をサマリテーブルから削除し、
前記第2の場合または前記第3の場合は、サマリテーブルに存在するすべてのキーについてのサマリを一度に出力するとともにサマリテーブルをすべてクリアするか、あるいは予め定めた数のキーをランダムに選択し、該当するキーのサマリのみ出力し、該サマリのみをサマリテーブルからクリアし、
前記第4の場合、前記第5の場合、前記第2の場合、前記第3の場合のそれぞれによるサマリの出力はすべてを同時に適用することも、任意の組み合わせのみを適用することも可能であること、
を特徴とするトラヒック情報集約システム。 - 請求項1または2に記載のトラヒック情報集約システムであって、
前記統計集約部は、前記統計出力部から出力されたサマリを管理し、前記管理したサマリを参照して同一のキーに関するサマリを集約する機能を有し、異なり数については、あるキーXに関するn個(nは2以上の整数)のビットマップ情報b(X1)、b(X2)、b(X3)、…、b(Xn)の論理和b(X1∪X2∪…∪Xn)のビットマップを用いてキーXに関する異なり数を推定するとともに、前記集約したトラヒックサマリを保存しておくこと、を特徴とするトラヒック情報集約システム。 - 請求項1または2に記載のトラヒック情報集約システムであって、
前記統計集約部は、任意のキーの集合に対し、任意の時間周期での集約が可能であること、を特徴とするトラヒック情報集約システム。 - コンピュータネットワーク上を転送されるパケットデータについて、指定された項目であるキーに関する統計的データであるサマリの集約を行うトラヒック情報集約方法であって、
パケット計測部が、到来するパケットデータを計測するステップと、
統計記録部が、監視対象となるキーに関してサマリをサマリテーブル上に計数・記録するステップと、
統計出力部が、統計値を更新したキーに対して記録したサマリのキーに関するビットマップにおける1の数が閾値に到達した第1の場合に、サマリテーブル上の一部のキーもしくはすべてのキーに関するサマリを外部に出力するステップと、
統計集約部が、前記統計出力部が出力したデータを読み込み、前記データの集約を行うステップと、
を含むことを特徴とするトラヒック情報集約方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006041744A JP4266379B2 (ja) | 2006-02-20 | 2006-02-20 | トラヒック情報集約システムおよび方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006041744A JP4266379B2 (ja) | 2006-02-20 | 2006-02-20 | トラヒック情報集約システムおよび方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007221612A JP2007221612A (ja) | 2007-08-30 |
JP4266379B2 true JP4266379B2 (ja) | 2009-05-20 |
Family
ID=38498341
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006041744A Expired - Fee Related JP4266379B2 (ja) | 2006-02-20 | 2006-02-20 | トラヒック情報集約システムおよび方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4266379B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4871775B2 (ja) * | 2007-04-06 | 2012-02-08 | アラクサラネットワークス株式会社 | 統計情報収集装置 |
JP5925044B2 (ja) * | 2012-05-01 | 2016-05-25 | テンソル・コンサルティング株式会社 | 異なり数計数方法、装置、およびプログラム |
JP5925043B2 (ja) * | 2012-05-01 | 2016-05-25 | テンソル・コンサルティング株式会社 | 異なり数計数方法、装置、およびプログラム |
JP2014187521A (ja) * | 2013-03-22 | 2014-10-02 | Nec Corp | トラフィック監視システム |
-
2006
- 2006-02-20 JP JP2006041744A patent/JP4266379B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007221612A (ja) | 2007-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757740B2 (en) | Aggregation of select network traffic statistics | |
US10097464B1 (en) | Sampling based on large flow detection for network visibility monitoring | |
CN105580318B (zh) | 用于分析通过网络的数据通信量的方法和系统 | |
US9979624B1 (en) | Large flow detection for network visibility monitoring | |
US8358592B2 (en) | Network controller and control method with flow analysis and control function | |
US8432827B2 (en) | Arrangement for utilization rate display and methods thereof | |
US10536360B1 (en) | Counters for large flow detection | |
US11729043B2 (en) | Traffic outage detection in the internet | |
JPWO2016017208A1 (ja) | 監視システム、監視装置、および検査装置 | |
JP4266379B2 (ja) | トラヒック情報集約システムおよび方法 | |
Canini et al. | Per flow packet sampling for high-speed network monitoring | |
Zhang et al. | Identifying elephant flows in internet backbone traffic with bloom filters and LRU | |
EP3460769A1 (en) | System and method for managing alerts using a state machine | |
JP5684748B2 (ja) | ネットワーク品質監視装置及びネットワーク品質監視方法 | |
KR101469283B1 (ko) | 기업 네트워크 분석 시스템 및 그 방법 | |
JP4814270B2 (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
JP4209897B2 (ja) | 大量フロー生成ホスト特定方法およびシステム | |
JP5833934B2 (ja) | パケットキャプチャーシステムおよびパケットキャプチャー方法 | |
Papadogiannakis et al. | RRDtrace: long-term raw network traffic recording using fixed-size storage | |
Tseung et al. | Forensic-Aware Anti-DDoS Device | |
JP4112590B2 (ja) | 異なり数上位nキーの推定方法および推定システム | |
JP2006295576A (ja) | フロークラス推定方法およびその装置 | |
JP5300642B2 (ja) | 通信網における頻出フロー検出方法と装置およびプログラム | |
JP2011041043A (ja) | 通信ネットワークにおける品質劣化箇所推定装置、方法およびシステム | |
Jacobson et al. | Route-Flow Fusion: Making traffic measurement useful |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080819 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081015 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090210 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090216 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4266379 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120227 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130227 Year of fee payment: 4 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |