JP4659907B2 - 通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置 - Google Patents

通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置 Download PDF

Info

Publication number
JP4659907B2
JP4659907B2 JP2009523512A JP2009523512A JP4659907B2 JP 4659907 B2 JP4659907 B2 JP 4659907B2 JP 2009523512 A JP2009523512 A JP 2009523512A JP 2009523512 A JP2009523512 A JP 2009523512A JP 4659907 B2 JP4659907 B2 JP 4659907B2
Authority
JP
Japan
Prior art keywords
communication
message
communication connection
transmission
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009523512A
Other languages
English (en)
Other versions
JPWO2009011063A1 (ja
Inventor
廣和 岩倉
乾 横山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2009011063A1 publication Critical patent/JPWO2009011063A1/ja
Application granted granted Critical
Publication of JP4659907B2 publication Critical patent/JP4659907B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3471Address tracing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems

Description

この発明は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する処理をコンピュータに実行させる通信メッセージ分類プログラム、このプログラムに対応する通信メッセージ分類方法および通信メッセージ分類装置に関する。
従来、ネットワークを流れる通信メッセージに基づいて、ネットワーク内のコンピュータシステムの稼動状態を分析することを目的とした技術が存在する。例えば、特許文献1では、ネットワークを流れるサーバ間のメッセージ呼出関係を定義したトランザクションモデルを定義し、このトランザクションモデルと実際のメッセージとをマッチングすることで、システムの稼動状況を分析する技術が開示されている。
また、図19に示すように、データベースサーバ、アプリケーションサーバやウェブサーバなどの複数の装置間で通信メッセージをやり取りする多階層システムがネットワーク内に混在している場合に、多階層システムの稼動状態を分析することを目的として、ネットワークからキャプチャした通信メッセージの中から、多階層システムでやり取りされたメッセージのみを分類する技術が存在する。
この技術について図20を用いて簡単に説明すると、多階層システムを構成するサーバ群に関する情報(例えば、サーバアドレス、通信プロトコル種別や階層構造など)をシステムの構築資料やシステムの運営管理資料から取得し、取得した情報を用いて多階層システムを構成するサーバ群を特定するための分類情報を手動で作成する。そして、ネットワークからキャプチャした通信メッセージ群に対して、作成した分類情報によるフィルタリングを行うことにより、各多階層システムにおける通信メッセージ(例えば、多階層システム1や多階層システム2)をそれぞれ分類して蓄積する。
特開2006−11683号公報
しかしながら、多階層システムの稼動状態を監視することを目的とした従来の技術は、ネットワーク内に混在する多階層システムをうまく特定できない場合があるという問題点があった。
すなわち、多階層システムを構成するサーバ群を特定するための分類情報を作成した後、長期間が経過している場合には、多階層システムを構成するサーバ群の実体と分類情報との整合性が取れていないことがあるため、多階層システムを構成するサーバ群をうまく特定できない場合があるという問題点があった。
また、ネットワーク内に複数の多階層システムが混在する場合には、多階層システムを構成するサーバ群を特定するための分類情報をそれぞれ手動で作成する必要があるが、その作成作業には多大な時間と困難を要する。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することが可能な通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する処理をコンピュータに実行させる通信メッセージ分類プログラムであって、ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出手順と、前記通信メッセージ情報抽出手順により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定手順と、前記通信コネクション特定手順により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶部に記憶する送受信メッセージ量記憶手順と、前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出手順と、前記相関関係算出手順により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定手順と、をコンピュータに実行させることを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記相関関係算出手順は、前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、前記相関関係算出手順によりサーバ装置ごとに算出された相関係数の平均値について、所定の閾値を超えているか否かを判定する閾値判定手順をさらにコンピュータに実行させ、前記多階層システム特定手順は、前記閾値判定手順により前記平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記相関関係算出手順は、前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量を所定の経過時間ごとに各通信コネクションについて抽出し、当該各送受信メッセージ量が抽出されるたびに、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、前記閾値判定手順は、前記相関関係算出手順により前記平均値が算出されるたびに、所定の閾値を超えているか否かを判定し、前記多階層システム特定手順は、一定期間内において、前記閾値判定手順により前記平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定することを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記多階層システム特定手順により特定された多階層システムごとに、当該多階層システムを構成するサーバ間に確立された各通信コネクションと、当該各通信コネクションにそれぞれ対応する送信元アドレス、送信先アドレス、送信先ポート番号および送信元ポート番号とからなる通信メッセージ分類テーブルを作成する分類テーブル作成手順と、前記分類テーブル作成手順により作成された前記通信メッセージ分類テーブルを記憶部に記憶する分類テーブル記憶手順と、前記分類テーブル記憶手順により記憶部に記憶されている前記通信メッセージ分類テーブルを用いて、ネットワークを流れる通信メッセージの中から多階層システムに関する通信メッセージを分類する通信メッセージ分類手順と、をさらにコンピュータに実行させることを特徴とする。
また、請求項5に係る発明は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する通信メッセージ分類方法であって、ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出工程と、前記通信メッセージ情報抽出工程により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定工程と、前記通信コネクション特定工程により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶部に記憶する送受信メッセージ量記憶工程と、前記送受信メッセージ量記憶工程によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出工程と、前記相関関係算出工程により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定工程と、を含んだことを特徴とする。
また、請求項6に係る発明は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する通信メッセージ分類装置であって、ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出手段と、前記通信メッセージ情報抽出手段により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定手段と、前記通信コネクション特定手段により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶する送受信メッセージ量記憶手段と、前記送受信メッセージ量記憶手段によりサーバ装置ごとに記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出手段と、前記相関関係算出手段により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定手段と、を備えたことを特徴とする。
本発明によれば、ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出し、抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向からコネクション方向をそれぞれ特定し、特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、測定された送受信メッセージ量を通信コネクションおよびコネクション方向に対応付けて記憶部にそれぞれ記憶し、記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出し、算出された相関関係の強い通信コネクション群に接続されているサーバ装置をそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして特定するので、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することが可能である。
また、本発明によれば、サーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、サーバ装置ごとに算出された相関係数の平均値について、所定の閾値を超えているか否かを判定し、平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして特定するので、ネットワーク上を流れる通信メッセージのメッセージ量を用いて算出した相関係数から通信コネクション間の相関関係を簡易に求めることができ、多階層システムを効率的に特定することが可能である。
また、本発明によれば、サーバ装置ごとに記憶部に記憶された各送受信メッセージ量を所定の経過時間ごとに各通信コネクションについて抽出し、各送受信メッセージ量が抽出されるたびに、各サーバ装置における通信コネクションの入出組合せごとに、通信コネクション間で送受信される送受信メッセージ量の相関係数の平均値をそれぞれ算出し、相関係数の平均値が算出されるたびに所定の閾値を超えているか否かを判定し、一定期間内において、相関係数の平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして決定するので、多階層システムを構成するサーバ間に負荷分散機能が採用されている場合であっても、同一の通信コネクション群から特定されるサーバ装置によって多階層システムを特定することが可能である。
また、本発明によれば、特定された多階層システムごとに、多階層システムを構成するサーバ間に確立された各通信コネクションと、各通信コネクションにそれぞれ対応する送信元アドレス、送信先アドレス、送信先ポート番号および送信元ポート番号とからなる通信メッセージ分類テーブルを作成し、作成された通信メッセージ分類テーブルを記憶部に記憶し、記憶部に記憶されている通信メッセージ分類テーブルを用いて、ネットワークを流れる通信メッセージの中から多階層システムに関する通信メッセージを分類するので、多階層システムに関係のない通信メッセージを破棄して負荷を低減させることができるとともに、多階層システムに関する通信メッセージを分類して蓄積しておくことが可能である。
図1は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。 図2は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。 図3は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。 図4は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。 図5は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。 図6は、実施例1に係る通信メッセージ分類装置の構成を示すブロック図である。 図7は、通信コネクション情報記憶部に記憶される情報の構成例を示す図である。 図8は、メッセージ量記憶部に記憶される情報の構成例を示す図である。 図9は、相関係数記憶部に記憶される情報の構成例を示す図である。 図10は、多階層システムの決定例を示す図である。 図11は、実施例1に係る送受信メッセージ量測定処理の流れを示すフローチャートである。 図12は、実施例1に係る多階層システム決定処理の流れを示すフローチャートである。 図13は、実施例2に係る通信メッセージ分類装置の構成を示すブロック図である。 図14は、実施例2に係る分類テーブルの構成例を示す図である。 図15は、実施例2に係る分類テーブル作成処理の流れを示すフローチャートである。 図16は、実施例2に係る通信メッセージ分類処理の流れを示すフローチャートである。 図17は、実施例2に係る多階層システムの決定例を示す図である。 図18は、通信メッセージ分類プログラムを実行するコンピュータを示す図である。 図19は、従来技術を説明するための図である。 図20は、従来技術を説明するための図である。
符号の説明
10 通信メッセージ分類装置
11 通信制御I/F部
12 記憶部
12a キャプチャデータ記憶部
12b 通信コネクション情報記憶部
12c メッセージ量記憶部
12d 相関係数記憶部
12e 分類テーブル記憶部
12f 分類データ記憶部
13 制御部
13a メッセージ取得部
13b 通信コネクション検出部
13c メッセージ量測定部
13d 相関係数算出部
13e 多階層システム決定部
13f 分類テーブル作成部
13g メッセージ分類部
20 コンピュータ
21 通信制御I/F部
22 HDD(Hard Disk Drive)
23 RAM(Random Access Memory)
24 ROM(Read Only Memory)
25 CPU(Central Processing Unit)
30 バス
以下に添付図面を参照して、この発明に係る通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置の実施例を詳細に説明する。なお、以下では、本発明に係る通信メッセージ分類プログラムの一実施形態として、かかる通信メッセージ分類プログラムを実行する通信メッセージ分類装置を実施例1として説明した後に、本発明に含まれる他の実施例を説明する。
以下の実施例1では、実施例1に係る通信メッセージ分類装置の概要および特徴、かかる通信メッセージ分類装置の構成および処理を順に説明し、最後に実施例1による効果を説明する。
[通信メッセージ分類装置の概要および特徴(実施例1)]
まず、図1〜図5を用いて、実施例1に係る通信メッセージ分類装置の概要および特徴を説明する。図1〜図5は、実施例1に係る通信メッセージ分類装置の概要および特徴を説明するための図である。
実施例1に係る通信メッセージ分類装置は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類することを概要とする。そして、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することが可能である点に主たる特徴がある。
この主たる特徴について具体的に説明すると、図1に示すように、実施例1に係る通信メッセージ分類装置は、ネットワークから継続的に通信メッセージを取得し(図1の(1)参照)、取得した通信メッセージについてコネクション型の通信メッセージであるか否かを確認する。具体的に説明すると、取得した各通信メッセージのヘッダ部を解析して、コネクション型のプロトコル(例えば、TCP/IP)を使用した通信メッセージであるか否かを確認する。
確認の結果、コネクション型であると確認された通信メッセージについて、接続要求メッセージであるか否かをさらに確認する。具体的に説明すると、通信メッセージのヘッダ部を解析して、接続要求に関する通信メッセージであるか否かを確認する。
確認の結果、接続要求メッセージである場合には、その通信メッセージから送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号を抽出する(図1の(2)参照)。さらに、抽出した送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号に基づいて通信コネクションを特定するとともに、特定した通信コネクションの方向(通信コネクションの各サーバ装置における入出方向)を特定する(図1の(3)参照)。
具体的に説明すると、接続要求メッセージの送信元であるサーバでは、その接続要求メッセージによって確立される通信コネクションの方向は「出」となり、接続要求メッセージの宛先であるサーバでは、その接続要求メッセージによって確立される通信コネクションの方向は「入」となる。同様にして、取得した全ての通信メッセージについて確認を行うとともに、通信コネクションおよび通信コネクションの方向の特定を行う。
通信コネクションおよび通信コネクションの方向を特定した後、所定の経過時間(例えば、100msec)ごとの送受信メッセージ量を各通信コネクションについて測定する(図2の(1)参照)。そして、例えば、同図に示すように、通信コネクションAを介して所定時間(例えば、1sec)内に送受信される通信メッセージ量は、通信メッセージ量「A1」および通信メッセージ量「A2」となる。そして、図3に示すように、通信コネクションおよび通信コネクションの入出方向に対応付けて、測定した送受信メッセージ量をサーバごとに記憶しておく。
続いて、実施例1に係る通信メッセージ分類装置は、通信コネクションごとに測定した送受信メッセージ量を用いて、通信コネクション間の相関を算出する(図2の(2)参照)。具体的に説明すると、まず、通信コネクションの入出組合せをサーバごとに算出する。例えば、図2に示すサーバ2では、通信コネクションが3本確立されており(通信コネクション「A」、「B」および「C」)、通信コネクションの入出組合せ、すなわち、サーバ2における通信コネクションの方向が「入」と「出」である組合せを算出すると、通信コネクション「A」と通信コネクション「B」、および通信コネクション「A」と通信コネクション「C」の二組が存在する。同様に、各サーバについて、通信コネクションの入出組合せを算出する。
次に、各組合せについて通信コネクション間の相関を算出する。具体的に説明すると、例えば、図4に示すように、通信コネクション「A」を介して所定の経過時間内にサーバ2に受信されたメッセージ量「A1」と、通信コネクション「B」を介して所定の経過時間内にサーバ2から送信されたメッセージ量「B1」との相関係数、および通信コネクション「B」を介して所定の経過時間内にサーバ2に受信されたメッセージ量「B2」と、通信コネクション「A」を介して所定の経過時間内にサーバ2から送信されたメッセージ量「A2」との相関係数をそれぞれ算出する。
続いて、各相関係数の平均値を算出して、算出された平均値と所定の閾値とを比較して、相関の高い通信コネクション群を特定する(図2の(3)参照)。具体的には、例えば、算出された相関係数の平均値が所定の閾値(0.75)よりも大きい場合には、通信コネクション間の相関が高いものと判断する。同様に、各サーバについて相関係数の平均値を算出し、相関の高い通信コネクションの繋がりをおっていくことにより、相関の高いコネクション群を特定する。
そして、相関の高いコネクション群が確立されているサーバ群を特定し、特定された各サーバからなる多階層システムを決定する。例えば、図5に示すように、通信コネクション「A」と通信コネクション「B」との相関が高いと判断できる場合には、通信コネクション「A」および「B」が確立されているサーバ1、サーバ2およびサーバ3を特定でき、これらのサーバ1、サーバ2およびサーバ3からなる多階層システムが決定できる。
このようなことから、実施例1に係る通信メッセージ分類装置は、上述した主たる特徴の如く、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することが可能である。
[通信メッセージ分類装置の構成(実施例1)]
次に、図6〜図10を用いて、実施例1に係る通信メッセージ分類装置の構成を説明する。図6は、実施例1に係る通信メッセージ分類装置の構成を示すブロック図である。図7は、通信コネクション情報記憶部に記憶される情報の構成例を示す図である。図8は、メッセージ量記憶部に記憶される情報の構成例を示す図である。図9は、相関係数記憶部に記憶される情報の構成例を示す図である。図10は、多階層システムの決定例を示す図である。
図6に示すように、通信メッセージ分類装置10は、通信制御I/F部11と、記憶部12と、制御部13とから構成される。
このうち、通信制御I/F部11は、ネットワークを介して、サーバ間でやり取りされる通信メッセージのキャプチャ等に関する通信を制御する。
記憶部12は、制御部13による各種処理に必要なデータおよびプログラムを記憶する記憶部であり、特に本発明に密接に関連するものとしては、キャプチャデータ記憶部12aと、通信コネクション情報記憶部12bと、メッセージ量記憶部12cと、相関係数記憶部12dとを備える。
このうち、キャプチャデータ記憶部12aは、後述するメッセージ取得部13aによってネットワークから取得(キャプチャ)された通信メッセージを記憶する記憶部である。なお、キャプチャデータ記憶部12aは、キャプチャした通信メッセージの各情報(送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号および通信メッセージ量)と、通信メッセージの取得時刻を対応付けて記憶する。
通信コネクション情報記憶部12bは、後述する通信コネクション検出部13bによって特定された通信コネクションに関する各種の情報を記憶する記憶部である。具体的には、図7に例示するように、各サーバに確立された各通信コネクションを特定する送信元アドレス、宛先アドレス、送信元ポート番号、および宛先ポート番号をサーバごとに記憶して構成される。
メッセージ量記憶部12cは、後述するメッセージ量測定部13cによって、所定の経過時間ごとに各通信コネクションについて測定された送受信メッセージ量の情報を記憶する記憶部である。具体的には、図8に例示するように、所定の経過時間(例えば、100msec)ごとに、通信コネクション(例えば、通信コネクション1、2または3)および通信コネクションの方向(「入」または「出」)に対応づけて、送信メッセージ量と受信メッセージ量をサーバごとに記憶して構成される。なお、所定の経過時間(例えば、100msec)ごとに測定された通信メッセージ量の情報をそれぞれ記憶する場合に限られるものではなく、所定の経過時間ごとに測定された通信メッセージ量を所定時間(例えば、1sec)で合算して記憶するようにしてもよい。
相関係数記憶部12dは、後述する相関係数算出部13dによって算出された通信メッセージ量の相関係数を記憶する記憶部である。具体的には、各通信コネクション間(例えば、コネクション1〜コネクション2)について、相関係数算出部13dによって算出された通信メッセージ量の相関係数の平均値をサーバごとに記憶して構成される。
制御部13は、所定の制御プログラム、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行する処理部であり、特に本発明に密接に関連するものとしては、メッセージ取得部13aと、通信コネクション検出部13bと、メッセージ量測定部13cと、相関係数算出部13dと、多階層システム決定部13eを備える。
このうち、メッセージ取得部13aは、通信制御I/F部11を介して、ネットワークからサーバ間でやり取りされる通信メッセージを取得(キャプチャ)する処理部である。メッセージ取得部13aは、所定の経過時間内にネットワークから取得した通信メッセージを取得時刻に対応付けてキャプチャデータ記憶部12aに格納する。
通信コネクション検出部13bは、メッセージ取得部13aによって取得された通信メッセージに基づいて、通信コネクションを特定するとともに、通信コネクションの方向を特定する処理部である。具体的に説明すると、通信コネクション検出部13bは、キャプチャデータ記憶部12aに記憶されている通信メッセージを順に読み出して、コネクション型の通信メッセージであるか否かを確認する。詳細には、取得した通信メッセージのヘッダ部を解析して、通信に使用されている通信プロトコル種別を確認して、コネクション型のプロトコル(例えば、TCP/IP)を使用した通信メッセージであることを示す情報が格納されているか否かを確認する。
確認の結果、コネクション型であると確認された通信メッセージについて、通信コネクション検出部13bは、接続要求メッセージであるか否かをさらに確認する。具体的に説明すると、通信メッセージのヘッダ部を解析して、接続要求に関する通信メッセージであるか否かを確認する。詳細には、通信メッセージのヘッダ部を解析して、接続要求に関する通信メッセージであることを示すビット情報が格納されているか否かを確認する。
確認の結果、接続要求メッセージである場合には、通信コネクション検出部13bは、その通信メッセージから送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号を抽出する。さらに、抽出した送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号に基づいて通信コネクションを特定するとともに、特定した通信コネクションの方向(通信コネクションの各サーバ装置における入出方向)を特定する。詳細には、接続要求メッセージの送信元であるサーバでは、その接続要求メッセージに対応する通信コネクションの方向は「出」となり、接続要求メッセージの宛先であるサーバでは、その接続要求メッセージに対応する通信コネクションの方向は「入」となる。なお、通信メッセージから抽出された送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号に基づいて、通信メッセージをやり取りするサーバがそれぞれ特定される。
そして、通信コネクション検出部13bは、各サーバに確立された各通信コネクションを特定する送信元アドレス、宛先アドレス、送信元ポート番号、および宛先ポート番号をサーバごとに通信コネクション情報記憶部12bに格納する(図7参照)。
メッセージ量測定部13cは、通信コネクション検出部13bにより特定された各通信コネクションについて、所定の経過時間ごとに送受信メッセージ量を測定する処理部である。具体的に説明すると、メッセージ量測定部13cは、キャプチャデータ記憶部12aに記憶されている通信メッセージの中から、通信コネクション検出部13bにより特定された各通信コネクションに対応する通信メッセージを読み出して、所定の経過時間(例えば、100msec)ごとに各通信コネクションを介して送受信される通信メッセージ量を測定する。
そして、メッセージ量測定部13cは、通信コネクション(例えば、通信コネクション1、2または3)および通信コネクションの方向(「入」または「出」)に対応づけて、所定の経過時間ごとに測定した送信メッセージ量および受信メッセージ量をサーバごとにメッセージ量記憶部12cに格納する。なお、メッセージ量測定部13cは、所定の経過時間(例えば、1msec)ごとに送受信メッセージ量を測定しておき、最終的に所定時間(例えば、1sec)で合算した送受信メッセージ量をサーバごとにメッセージ量記憶部12cに格納するようにしてもよい。
相関係数算出部13dは、メッセージ量測定部13cによって、通信コネクションごとに測定された送受信メッセージ量を用いて、通信コネクション間の相関を算出する処理部である。具体的に説明すると、相関係数算出部13dは、まず、通信コネクションの入出組合せをサーバごとに算出する。例えば、図2に示すサーバ2では、通信コネクションが3本確立されており(通信コネクション「A」、「B」および「C」)、通信コネクションの入出組合せ、すなわち、サーバ2における通信コネクションの方向が「入」と「出」である組合せを算出すると、通信コネクション「A」と通信コネクション「B」、および通信コネクション「A」と通信コネクション「C」の二組が存在する。同様に、各サーバについて、通信コネクションの入出組合せを算出する。
次に、相関係数算出部13dは、各組合せについて通信コネクション間の相関を算出する。まず、相関係数算出部13dは、メッセージ量記憶部12cから所定時間内に送受信されたメッセージ量を通信コネクションごとに読み出す。
そして、相関係数算出部13dは、例えば、図4に示す場合を例に挙げるならば、通信コネクション「A」を介して所定時間内にサーバ2に受信されたメッセージ量「A1」と、通信コネクション「B」を介して所定時間内にサーバ2から送信されたメッセージ量「B1」との相関係数、および通信コネクション「B」を介して所定時間内にサーバ2に受信されたメッセージ量「B2」と、通信コネクション「A」を介して所定時間内にサーバ2から送信されたメッセージ量「A2」との相関係数をそれぞれ算出し、各相関係数の平均値を算出する。同様に、相関係数算出部13dは、全てのサーバについて、通信メッセージ量の相関係数の平均値を算出して相関係数記憶部12dに格納する。
なお、相関係数算出部13dは、メッセージ量記憶部12cから送受信メッセージ量を読み出すための所定時間として、例えば、1秒間を設定する場合には、各サーバについて、100msecごとに測定された送受信メッセージを各通信コネクションについて10個読み出して、読み出したこれらの送受信メッセージ量を用いて相関係数を算出するなど、メッセージ量記憶部12cから送受信されたメッセージ量を通信コネクションごとに読み出す経過時間の設定を適宜変更して実施することができる。
多階層システム決定部13eは、相関係数算出部13dにより算出された相関係数の平均値を用いて、相関の高い通信コネクション群を特定する処理部である。具体的に説明すると、まず、相関係数記憶部12dから各通信コネクション間(例えば、コネクション1〜コネクション2)について算出された通信メッセージ量の相関係数の平均値を読み出す。次に、各通信コネクション間についてサーバごとに読み出した平均値を所定の閾値(例えば、「0.75」)とそれぞれ比較して、その平均値が所定の閾値よりも大きい場合には、通信コネクション間の相関が高いものと判断する。同様に、全てのサーバについて通信コネクション間の相関を調査して、相関の高い通信コネクションの繋がりをおっていくことにより、相関の高い通信コネクション群を特定する(図9参照)。
そして、多階層システム決定部13eは、相関の高いコネクション群が確立されているサーバ群を特定し、特定された各サーバからなる多階層システムを決定する。具体的に説明すると、例えば、図10に示すように、通信コネクション「1」と通信コネクション「2」との相関が高いと判断できる場合には、通信コネクション「1」および「2」が確立されているクライアント(接続要求メッセージの送信元サーバ)、サーバ1およびサーバ2を特定する。さらに、通信コネクション「N+1」と通信コネクション「N+3」との相関が高いと判断できる場合には、通信コネクション「N+1」および「N+3」が確立されているサーバ1、サーバ2およびサーバ30を特定する。そして、特定された各サーバをマージすることにより、クライアント、サーバ1、サーバ2およびサーバ30からなる多階層システムを決定する。
[通信メッセージ分類装置の処理(実施例1)]
続いて、図11および図12を用いて、実施例1に係る通信メッセージ分類装置の処理を説明する。図11は、実施例1に係る送受信メッセージ量測定処理の流れを示すフローチャートである。図12は、実施例1に係る多階層システム決定処理の流れを示すフローチャートである。
[送受信メッセージ量測定処理]
まず、図11を用いて、実施例1に係る送受信メッセージ量測定処理の流れを説明する。同図に示すように、通信コネクション検出部13bは、キャプチャデータ記憶部12aから記憶されている通信メッセージを順に読み出して、コネクション型の通信メッセージであるか否かを確認する(ステップS1101)。詳細には、取得した通信メッセージのヘッダ部を解析して、通信に使用されている通信プロトコル種別を確認して、コネクション型のプロトコル(例えば、TCP/IP)を使用した通信メッセージであることを示す情報が格納されているか否かを確認する。
確認の結果、コネクション型であると確認された場合には(ステップS1101肯定)、かかる通信メッセージについて、通信コネクション検出部13bは、接続要求メッセージであるか否かをさらに確認する(ステップS1102)。詳細には、通信メッセージのヘッダ部を解析して、接続要求に関する通信メッセージであることを示すビット情報が格納されているか否かを確認する。
確認の結果、接続要求メッセージである場合には(ステップS1102肯定)、通信コネクション検出部13bは、その通信メッセージから送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号を抽出する(ステップS1103)。
さらに、通信コネクション検出部13bは、抽出した送信元アドレス、宛先アドレス、送信元ポート番号および宛先ポート番号に基づいて通信コネクションを特定するとともに、特定した通信コネクションの方向(通信コネクションの各サーバ装置における入出方向)を特定する(ステップS1104)。そして、通信コネクション検出部13bは、各サーバに確立された各通信コネクションを特定する送信元アドレス、宛先アドレス、送信元ポート番号、および宛先ポート番号をサーバごとに通信コネクション情報記憶部12bに格納する(図7参照)。
そして、メッセージ量測定部13cは、通信コネクション検出部13bにより特定された通信コネクションごとに送受信メッセージ量を測定する(ステップS1105)。具体的に説明すると、メッセージ量測定部13cは、キャプチャデータ記憶部12aに記憶されている通信メッセージの中から、通信コネクション検出部13bにより特定された各通信コネクションに対応する通信メッセージを読み出して、所定の経過時間(例えば、100msec)ごとに各通信コネクションを介して送受信される通信メッセージ量を測定する。そして、メッセージ量測定部13cは、通信コネクション(例えば、通信コネクション1、2または3)および通信コネクションの方向(「入」または「出」)に対応づけて、送信メッセージ量および受信メッセージ量をサーバごとにメッセージ量記憶部12cに記憶する。
ここで、ステップS1102の説明に戻ると、コネクション型であると確認された通信メッセージが接続要求メッセージではない場合には(ステップS1102否定)、通信コネクション検出部13bは、キャプチャデータ記憶部12aに記憶されている全ての通信メッセージについて、コネクション型のメッセージであるか否か確認済みであるか判断する(ステップS1106)。判断の結果、キャプチャデータ記憶部12aに記憶されている全ての通信メッセージについて、コネクション型のメッセージであるか否か確認済みである場合には(ステップS1106肯定)、メッセージ量測定部13cによる送受信メッセージ量の測定に移行する。一方、キャプチャデータ記憶部12aに記憶されている全ての通信メッセージについて、コネクション型のメッセージであるか否か確認済みではない場合には(ステップS1106否定)、通信コネクション検出部13bは、キャプチャデータ記憶部12aから次の通信メッセージを読み出す。
[多階層システム決定処理]
次に、図12を用いて、実施例1に係る多階層システム決定処理の流れを説明する。同図に示すように、相関係数算出部13dは、まず、通信コネクションの入出組合せをサーバごとに算出する(ステップS1201)。例えば、図2に示すサーバ2では、通信コネクションが3本確立されており(通信コネクション「A」、「B」および「C」)、通信コネクションの入出組合せ、すなわち、サーバ2における通信コネクションの方向が「入」と「出」である組合せを算出すると、通信コネクション「A」と通信コネクション「B」、および通信コネクション「A」と通信コネクション「C」の二組が存在する。同様に、各サーバについて、通信コネクションの入出組合せを算出する。
次に、相関係数算出部13dは、通信コネクションの入出組合せごとに、送受信メッセージ量の相関係数の平均値を算出する(ステップS1202)。具体的に説明すると、まず、メッセージ量記憶部12cから所定の経過時間内に送受信されたメッセージ量を通信コネクションごとに読み出す。
そして、相関係数算出部13dは、例えば、図4に示す場合を例に挙げるならば、通信コネクション「A」を介して所定の経過時間内にサーバ2に受信されたメッセージ量「A1」と、通信コネクション「B」を介して所定の経過時間内にサーバ2から送信されたメッセージ量「B1」との相関係数、および通信コネクション「B」を介して所定の経過時間内にサーバ2に受信されたメッセージ量「B2」と、通信コネクション「A」を介して所定の経過時間内にサーバ2から送信されたメッセージ量「A2」との相関係数をそれぞれ算出し、各相関係数の平均値を算出する。同様に、相関係数算出部13dは、全てのサーバについて、通信メッセージ量の相関係数の平均値を算出して相関係数記憶部12dに格納する。
続いて、多階層システム決定部13eは、相関係数記憶部12dから各通信コネクション間(例えば、コネクション1〜コネクション2)について算出された通信メッセージ量の相関係数の平均値を読み出す。次に、各通信コネクション間についてサーバごとに読み出した平均値を所定の閾値(例えば、「0.75」)とそれぞれ比較して(ステップS1203)、その平均値が所定の閾値(0.75)よりも大きい場合には、通信コネクション間の相関が高いものと判断する。全てのサーバについて通信コネクション間の相関を調査して、相関の高い通信コネクションの繋がりをおっていくことにより、相関の高い通信コネクション群を特定する(ステップS1204)。
そして、多階層システム決定部13eは、相関の高いコネクション群が確立されているサーバ群を特定し(ステップS1205)、特定された各サーバからなる多階層システムを決定する(ステップS1206)。
具体的に説明すると、例えば、図10に示すように、通信コネクション「1」と通信コネクション「2」との相関が高いと判断できる場合には、通信コネクション「1」および「2」が確立されているクライアント(接続要求メッセージの送信元サーバ)、サーバ1およびサーバ2を特定する。さらに、通信コネクション「N+1」と通信コネクション「N+3」との相関が高いと判断できる場合には、通信コネクション「N+1」および「N+3」が確立されているサーバ1、サーバ2およびサーバ30を特定する。そして、特定された各サーバをマージすることにより、クライアント、サーバ1、サーバ2およびサーバ30からなる多階層システムを決定する。
[実施例1による効果]
上述してきたように、実施例1によれば、ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信先ポート番号および送信元ポート番号を抽出し、抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信元ポート番号に基づいて、サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向からコネクション方向をそれぞれ特定し、特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、測定された送受信メッセージ量を通信コネクションおよびコネクション方向に対応付けて記憶部にそれぞれ記憶し、記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出し、算出された相関関係の強い通信コネクション群に接続されているサーバ装置をそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして特定するので、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することが可能である。
また、本発明によれば、サーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、サーバ装置ごとに算出された相関係数の平均値について、所定の閾値を超えているか否かを判定し、平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして特定するので、ネットワーク上を流れる通信メッセージのメッセージ量を用いて算出した相関係数から通信コネクション間の相関関係を簡易に求めることができ、多階層システムを効率的に特定することが可能である。
上記の実施例1において、決定された多階層システムに基づいて、通信メッセージを分類するための分類テーブルを作成し、作成した分類テーブルを用いて、ネットワークから取得した通信メッセージを多階層システムごとに分類するようにしてもよい。そこで、以下では、実施例2に係る通信メッセージ分類装置の構成および処理を順に説明し、最後に実施例2による効果を説明する。
[通信メッセージ分類装置の構成(実施例2)]
まず、図13および図14を用いて、実施例2に係る通信メッセージ分類装置の構成を説明する。図13は、実施例2に係る通信メッセージ分類装置の構成を示すブロック図である。図14は、実施例2に係る分類テーブルの構成例を示す図である。実施例2に係る通信メッセージ分類装置は、実施例1に係る通信メッセージ分類装置と以下に説明する点が異なる。
すなわち、記憶部12の分類テーブル記憶部12eは、後述する分類テーブル作成部13fにより作成された分類テーブルを記憶する記憶部である。具体的には、図14に示すように、多階層システムを構成する各通信コネクションについての情報、つまり、送信元アドレス、送信元ポート番号、宛先アドレスおよび宛先ポート番号を多階層システムごとに記憶して構成される。
また、記憶部12の分類データ記憶部12fは、後述するメッセージ分類部13gによって多階層システムごとに分類された通信メッセージを記憶する記憶部である。
制御部13の分類テーブル作成部13fは、多階層システム決定部13eにより決定された多階層システムに基づいて、メッセージ取得部13aにより取得された通信メッセージを多階層システムごとに分類するための分類テーブルを作成する処理部である。
具体的に説明すると、分類テーブル作成部13fは、多階層システム決定部13eによって決定された多階層システムごとに、各多階層システムを構成するサーバ間に確立されている通信コネクションを抽出する。次に、抽出した通信コネクションに対応する情報を通信コネクション情報記憶部12bから読み出して、各通信コネクションについて送信元アドレス、送信元ポート番号、宛先アドレスおよび宛先ポート番号を抽出する。そして、多階層システムを構成する各通信コネクションについての送信元アドレス、送信元ポート番号、宛先アドレスおよび宛先ポート番号を整理することにより多階層システムごとの分類テーブルを作成し、分類テーブル記憶部12eに格納する。
また、制御部13のメッセージ分類部13gは、メッセージ取得部13aにより取得された通信メッセージを多階層システムごとに分類して格納する処理部である。具体的に説明すると、メッセージ分類部13gは、分類テーブル記憶部12eから各多階層システムの分類テーブルを読み出して、フィルタリングルールとして適用する。次に、メッセージ取得部13aによる通信メッセージの取得を監視する。そして、メッセージ取得部13aにより通信メッセージが取得された場合には、取得された通信メッセージをフィルタリングルールにあてはめて多階層システムごとに分類し、分類データ記憶部12fに格納する。
[通信メッセージ分類装置の処理(実施例2)]
続いて、図15および図16を用いて、実施例2に係る通信メッセージ分類装置の処理を説明する。図15は、実施例2に係る分類テーブル作成処理の流れを示すフローチャートである。図16は、実施例2に係る通信メッセージ分類処理の流れを示すフローチャートである。
[分類テーブル作成処理]
まず、図15を用いて、実施例2に係る分類テーブル作成処理の流れを説明する。同図に示すように、分類テーブル作成部13fは、多階層ステム決定部13eによって決定された多階層システムごとに、各多階層システムを構成するサーバ間に確立されている通信コネクションを抽出する(ステップS1501)。
次に、分類テーブル作成部13fは、抽出した通信コネクションに対応する情報を通信コネクション情報記憶部12bから読み出して、各通信コネクションについて送信元アドレス、送信元ポート番号、宛先アドレスおよび宛先ポート番号を抽出する(ステップS1502)。そして、多階層システムを構成する各通信コネクションについての送信元アドレス、送信元ポート番号、宛先アドレスおよび宛先ポート番号を整理することにより多階層システムごとの分類テーブルを作成し(ステップS1503)、分類テーブル記憶部12eに格納する。
[通信メッセージ分類処理]
次に、図16を用いて、実施例2に係る通信メッセージ分類処理の流れを説明する。同図に示すように、メッセージ分類部13gは、分類テーブル記憶部12eから各多階層システムの分類テーブルを読み出して、フィルタリングルールとして適用する(ステップS(ステップS1601)。次に、メッセージ取得部13aによる通信メッセージの取得を監視する(ステップS1602)。そして、メッセージ取得部13aにより通信メッセージが取得された場合には(ステップS1602肯定)、メッセージ取得部13aにより取得された通信メッセージをフィルタリングルールにあてはめて多階層システムごとに分類し、分類データ記憶部12fに格納する(ステップS1603)。
[実施例2による効果]
上述してきたように、実施例2によれば、特定された多階層システムごとに、多階層システムを構成するサーバ間に確立された各通信コネクションと、各通信コネクションにそれぞれ対応する送信元アドレス、送信先アドレス、送信先ポート番号および送信元ポート番号とからなる通信メッセージ分類テーブルを作成し、作成された通信メッセージ分類テーブルを記憶部に記憶し、記憶部に記憶されている通信メッセージ分類テーブルを用いて、ネットワークを流れる通信メッセージの中から多階層システムに関する通信メッセージを分類するので、多階層システムに関係のない通信メッセージを破棄して負荷を低減させることができるとともに、多階層システムに関する通信メッセージを分類して蓄積しておくことが可能である。
なお、上記の実施例2では、通信メッセージを取得するごとに、フィルタリングルールにあてはめて通信メッセージを分類する場合を説明したが、本発明はこれに限定されるものではなく、取得した通信メッセージをある程度蓄積した後に、蓄積した通信メッセージを分類するようにしてもよい。
また、上記の実施例1で説明したように、取得した通信メッセージから多階層システムが決定されるまでの間は取得した通信メッセージを蓄積しておいて、多階層システムが決定された後には、蓄積した通信メッセージを分類するようにしてもよい。あるいは、継続的に通信メッセージを蓄積しておいて、定期的に多階層システムの見直しを行い、最新の多階層システムの状況に応じて、通信メッセージを分類するようにしてもよい。
さて、これまで本発明の実施例1および実施例2について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。
(1)サーバ間に負荷分散機能が採用されている場合の多階層システムの決定
例えば、サーバ間に負荷分散機能が採用されている場合を想定して、各送受信メッセージ量を所定の経過時間ごとに各通信コネクションについて抽出して、通信コネクション間で送受信される送受信メッセージ量の相関係数の平均値をそれぞれ算出し、その都度、所定の閾値を超えているか否かを判定し、一定期間内において、相関係数の平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバをそれぞれ特定し、特定された各サーバ装置で構成されるシステムを多階層システムとして特定するようにしてもよい。
例えば、図17に示すように、一定期間内において、相関係数の平均値が所定の閾値を越えていると判定された通信コネクションAB間、通信コネクションAC間および通信コネクションAD間の相関関係は高いものと判断して、サーバ100、サーバ200およびサーバ300からなるシステム、サーバ100、サーバ200およびサーバ400からなるシステム、サーバ100、サーバ200およびサーバ500からなるシステムをそれぞれ多階層システムとして特定する。
このようなことから、多階層システムを構成するサーバ間に負荷分散機能が採用されている場合であっても、同一の通信コネクション群から特定されるサーバ装置によって多階層システムを特定することが可能である。
(2)装置構成等
また、図6または図13に示した通信メッセージ分類装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各通信メッセージ分類装置の分散・統合の具体的形態は図示のものに限られず、例えば、通信コネクション検出部13bとメッセージ量測定部13cとを統合し、あるいは、多階層システム決定部13eと分類テーブル作成部13fとを統合するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各通信メッセージ分類装置にて行なわれる各処理機能(送受信メッセージ量測定機能、多階層システム決定機能、分類テーブル作成機能および通信メッセージ分類機能等)は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(3)通信メッセージ分類プログラム
ところで、上記の実施例で説明した各種の処理(図11、図12、図15および図16等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、図18を用いて、上記の実施例と同様の機能を有する通信メッセージ分類プログラムを実行するコンピュータの一例を説明する。図18は、通信メッセージ分類プログラムを実行するコンピュータを示す図である。
同図に示すように、通信メッセージ分類装置としてのコンピュータ20は、通信制御I/F部21、HDD22、RAM23、ROM24およびCPU25をバス30で接続して構成される。
そして、ROM24には、上記の実施例に示した通信メッセージ分類装置と同様の機能を発揮するプログラム、つまり、図18に示すように、通信メッセージ分類プログラム24aがあらかじめ記憶されている。なお、このプログラム24aについては、図6または図13に示した通信メッセージ分類装置の各構成要素と同様、適宜統合または分散してもよい。なお、ROM24は、不揮発性の「RAM」でもよい。
そして、CPU25が、このプログラム24aをROM24から読み出して実行することで、図18に示すように、プログラム24aは、通信メッセージ分類プロセス25aとして機能するようになる。なお、プロセス25aは、図6または図13に示した通信メッセージ分類装置のメッセージ取得部13a、通信コネクション検出部13bと、メッセージ量測定部13cと、相関係数算出部13dと、多階層システム決定部13eと、分類テーブル作成部13fと、メッセージ分類部13gとにそれぞれ対応する。
また、HDD22には、図18に示すように、多階層システム決定関連データテーブル22aおよび通信メッセージ分類関連データテーブル22bがそれぞれ設けられる。なお、多階層システム決定関連データテーブル22aおよび通信メッセージ分類関連データテーブル22bは、図6または図13に示したキャプチャデータ記憶部12aと、通信コネクション情報記憶部12bと、メッセージ量記憶部12cと、相関係数記憶部12dと、分類テーブル記憶部12eと、分類データ記憶部12fとにそれぞれ対応する。そして、CPU25は、多階層システム決定関連データテーブル22aおよび通信メッセージ分類関連データテーブル22bから、多階層システム決定関連データ23aおよび通信メッセージ分類関連データ23bをそれぞれ読み出してRAM23に格納し、RAM23に格納された多階層システム決定関連データ23aおよび通信メッセージ分類関連データ23bに基づいて処理を実行する。
なお、上記したプログラム24aについては、必ずしも最初からROM24に記憶させておく必要はなく、例えば、コンピュータ20に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ20の内外に備えられるHDDなどの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ20に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ20がこれらから各プログラムを読み出して実行するようにしてもよい。
以上のように、本発明に係る通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置は、一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する処理をコンピュータに実行させる場合等に有用であり、特に、多階層システムを特定するために困難な作業を要することなく、多階層システムをリアルタイムかつ簡易に特定することに適する。

Claims (6)

  1. 一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する処理をコンピュータに実行させる通信メッセージ分類プログラムであって、
    ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出手順と、
    前記通信メッセージ情報抽出手順により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定手順と、
    前記通信コネクション特定手順により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶部に記憶する送受信メッセージ量記憶手順と、
    前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出手順と、
    前記相関関係算出手順により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定手順と、
    をコンピュータに実行させることを特徴とする通信メッセージ分類プログラム。
  2. 前記相関関係算出手順は、前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、
    前記相関関係算出手順によりサーバ装置ごとに算出された相関係数の平均値について、所定の閾値を超えているか否かを判定する閾値判定手順をさらにコンピュータに実行させ、
    前記多階層システム特定手順は、前記閾値判定手順により前記平均値が所定の閾値を越えていると判定された通信コネクション間の相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定することを特徴とする請求項1に記載の通信メッセージ分類プログラム。
  3. 前記相関関係算出手順は、前記送受信メッセージ量記憶手順によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量を所定の経過時間ごとに各通信コネクションについて抽出し、当該各送受信メッセージ量が抽出されるたびに、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量間の相関係数の平均値をそれぞれ算出し、
    前記閾値判定手順は、前記相関関係算出手順により前記平均値が算出されるたびに、所定の閾値を超えているか否かを判定し、
    前記多階層システム特定手順は、一定期間内において、前記閾値判定手順により所定の閾値を越えていると判定された通信コネクションの相関関係は高いものと判断し、相関関係が高いものと判断された通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定することを特徴とする請求項2に記載の通信メッセージ分類プログラム。
  4. 前記多階層システム特定手順により特定された多階層システムごとに、当該多階層システムを構成するサーバ間に確立された各通信コネクションと、当該各通信コネクションにそれぞれ対応する送信元アドレス、送信先アドレス、送信先ポート番号および送信元ポート番号とからなる通信メッセージ分類テーブルを作成する分類テーブル作成手順と、
    前記分類テーブル作成手順により作成された前記通信メッセージ分類テーブルを記憶部に記憶する分類テーブル記憶手順と、
    前記分類テーブル記憶手順により記憶部に記憶されている前記通信メッセージ分類テーブルを用いて、ネットワークを流れる通信メッセージの中から多階層システムに関する通信メッセージを分類する通信メッセージ分類手順と、
    をさらにコンピュータに実行させることを特徴とする請求項1〜3のいずれか一つに記載の通信メッセージ分類プログラム。
  5. 一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する通信メッセージ分類方法であって、
    ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出工程と、
    前記通信メッセージ情報抽出工程により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定工程と、
    前記通信コネクション特定工程により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶部に記憶する送受信メッセージ量記憶工程と、
    前記送受信メッセージ量記憶工程によりサーバ装置ごとに記憶部に記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出工程と、
    前記相関関係算出工程により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定工程と、
    を含んだことを特徴とする通信メッセージ分類方法。
  6. 一連の通信メッセージ群がやり取りされる複数のサーバ装置で構成された多階層システムに関する通信メッセージを、ネットワークから取得した各通信メッセージの中から分類する通信メッセージ分類装置であって、
    ネットワークから取得したコネクション型の各通信メッセージについて、送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号を抽出する通信メッセージ情報抽出手段と、
    前記通信メッセージ情報抽出手段により抽出された送信元アドレス、送信先アドレス、送信元ポート番号および送信先ポート番号に基づいて、前記サーバ装置間にそれぞれ確立された各通信コネクションを特定するとともに、通信コネクションの各々に対応する接続要求メッセージの送信方向に基づいて、当該通信コネクションの各サーバ装置における入出方向をそれぞれ特定する通信コネクション特定手段と、
    前記通信コネクション特定手段により特定された通信コネクションごとに、所定の単位時間内に送受信される送受信メッセージ量をそれぞれ測定し、当該測定された送受信メッセージ量を通信コネクションおよび当該通信コネクションの入出方向に対応付けてサーバ装置ごとに記憶する送受信メッセージ量記憶手段と、
    前記送受信メッセージ量記憶手段によりサーバ装置ごとに記憶された各送受信メッセージ量から、所定時間内に記憶された各送受信メッセージ量を通信コネクションごとに抽出し、各サーバ装置における通信コネクションの入出組合せごとに、当該通信コネクション間で送受信される送受信メッセージ量を用いて、通信コネクション間の相関関係を算出する相関関係算出手段と、
    前記相関関係算出手段により算出された相関関係の強い通信コネクションが確立されているサーバ装置をそれぞれ特定し、当該特定された各サーバ装置で構成されるシステムを多階層システムとして特定する多階層システム特定手段と、
    を備えたことを特徴とする通信メッセージ分類装置。
JP2009523512A 2007-07-19 2007-07-19 通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置 Expired - Fee Related JP4659907B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/064264 WO2009011063A1 (ja) 2007-07-19 2007-07-19 通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置

Publications (2)

Publication Number Publication Date
JPWO2009011063A1 JPWO2009011063A1 (ja) 2010-09-16
JP4659907B2 true JP4659907B2 (ja) 2011-03-30

Family

ID=40259412

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009523512A Expired - Fee Related JP4659907B2 (ja) 2007-07-19 2007-07-19 通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置

Country Status (3)

Country Link
US (1) US20100106776A1 (ja)
JP (1) JP4659907B2 (ja)
WO (1) WO2009011063A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8825798B1 (en) * 2012-02-02 2014-09-02 Wells Fargo Bank N.A. Business event tracking system
JP5880315B2 (ja) 2012-07-02 2016-03-09 富士通株式会社 システム管理装置、システムの管理方法、及びシステムの管理プログラム
JP6070338B2 (ja) * 2013-03-26 2017-02-01 富士通株式会社 多階層システムに含まれる処理システムの分類装置及び多階層システムに含まれる処理システムの分類プログラム並びに多階層システムに含まれる処理システムの分類方法
JP6248560B2 (ja) * 2013-11-13 2017-12-20 富士通株式会社 管理プログラム、管理方法、および管理装置
JP6269004B2 (ja) * 2013-12-09 2018-01-31 富士通株式会社 監視支援プログラム、監視支援方法および監視支援装置
US10419877B2 (en) * 2015-10-07 2019-09-17 Samsung Electronics Co., Ltd. Electronic apparatus and IoT device controlling method thereof
KR102402056B1 (ko) * 2015-10-07 2022-05-26 삼성전자주식회사 전자 장치 및 전자장치의 아이오티 디바이스 제어 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003244238A (ja) * 2002-02-15 2003-08-29 Kddi Corp トラヒック監視装置及びその方法、コンピュータプログラム
JP2005190277A (ja) * 2003-12-26 2005-07-14 Internatl Business Mach Corp <Ibm> 解析システム、解析方法、解析プログラム、及び記録媒体
JP2006011683A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd システム分析プログラム、システム分析方法及びシステム分析装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2940304B2 (ja) * 1992-06-15 1999-08-25 松下電器産業株式会社 高能率符号化装置および高能率符号化方法および高能率符号化装置の復号装置
US6178235B1 (en) * 1996-12-13 2001-01-23 Telefonaktiebolaget Lm Ericsson Dynamic traffic distribution
IL121898A0 (en) * 1997-10-07 1998-03-10 Cidon Israel A method and apparatus for active testing and fault allocation of communication networks
US7269157B2 (en) * 2001-04-10 2007-09-11 Internap Network Services Corporation System and method to assure network service levels with intelligent routing
US8125902B2 (en) * 2001-09-27 2012-02-28 Hyperchip Inc. Method and system for congestion avoidance in packet switching devices
US7464160B2 (en) * 2004-06-17 2008-12-09 International Business Machines Corporation Provisioning grid services to maintain service level agreements
JP4028532B2 (ja) * 2004-08-11 2007-12-26 日本電信電話株式会社 通信ネットワークトラヒック分析装置、システム、および分析方法
JP2006108857A (ja) * 2004-10-01 2006-04-20 Fuji Electric Holdings Co Ltd 通信トラフィック量解析装置、及びプログラム
ATE383009T1 (de) * 2005-05-13 2008-01-15 Qosmos Verteilte verkehrsanalyse
JP4425182B2 (ja) * 2005-06-15 2010-03-03 日本電信電話株式会社 トラヒック分析方法、トラヒック分析装置、およびそのプログラム
US8135814B2 (en) * 2005-06-29 2012-03-13 At&T Intellectual Property I, L.P. Network capacity management system
US8144587B2 (en) * 2006-08-22 2012-03-27 Embarq Holdings Company, Llc System and method for load balancing network resources using a connection admission control engine

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003244238A (ja) * 2002-02-15 2003-08-29 Kddi Corp トラヒック監視装置及びその方法、コンピュータプログラム
JP2005190277A (ja) * 2003-12-26 2005-07-14 Internatl Business Mach Corp <Ibm> 解析システム、解析方法、解析プログラム、及び記録媒体
JP2006011683A (ja) * 2004-06-24 2006-01-12 Fujitsu Ltd システム分析プログラム、システム分析方法及びシステム分析装置

Also Published As

Publication number Publication date
JPWO2009011063A1 (ja) 2010-09-16
US20100106776A1 (en) 2010-04-29
WO2009011063A1 (ja) 2009-01-22

Similar Documents

Publication Publication Date Title
JP4659907B2 (ja) 通信メッセージ分類プログラム、通信メッセージ分類方法および通信メッセージ分類装置
JP5487322B2 (ja) ランダムなデータストリームのサンプリング
JP2007241805A (ja) システム分析装置およびシステム分析方法
JP2012511292A (ja) 基盤ネットワーク上で少なくとも1つの仮想ネットワークを動作させる方法および仮想ネットワーク環境
CN108989136A (zh) 业务端到端性能监控方法及装置
CN108900374A (zh) 一种应用于dpi设备的数据处理方法和装置
CN105279651B (zh) 一种交易数据监控处理方法和系统
KR101908377B1 (ko) 계량데이터 관리 시스템 및 컴퓨터 판독가능 기록 매체
CN104038382B (zh) 网络监视系统
US20220247651A1 (en) System and method for network and computation performance probing for edge computing
CN109409948B (zh) 交易异常检测方法、装置、设备及计算机可读存储介质
KR100548923B1 (ko) 멀티미디어 서비스 트래픽 모니터링 시스템 및 방법
Kim et al. Queueing system MAP/M/N as a model of call center with call-back option
CN106161339B (zh) 获取ip访问关系的方法及装置
KR101831959B1 (ko) 빅데이터 분석 클라우드 서비스 시스템
JP4927180B2 (ja) ユーザ待ち時間推定装置、ユーザ待ち時間推定方法、及びプログラム
KR101957778B1 (ko) 킵 얼라이브 검출장치 및 방법과 기록매체
US20200296189A1 (en) Packet analysis apparatus, packet analysis method, and storage medium
CN115002009A (zh) 一种流量采样方法、装置、系统、电子设备及介质
JP2018022305A (ja) 境界値特定プログラム、境界値特定方法および境界値特定装置
KR101963509B1 (ko) 반도체 장비 및 secs 서버 간의 중계 장치 및 방법
CN111162929A (zh) 一种分级管理方法和系统
KR20160085550A (ko) 어플리케이션 컨텐츠를 분석하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록매체
KR102467156B1 (ko) 시그니처 기반의 트래픽 분석을 통한 SaaS 트래픽 탐지 방법 및 이를 위한 서버
CN109413165A (zh) 一种物联网信息处理方法、装置和系统

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101221

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101227

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140107

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees