JP4983671B2 - トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム - Google Patents

トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム Download PDF

Info

Publication number
JP4983671B2
JP4983671B2 JP2008071208A JP2008071208A JP4983671B2 JP 4983671 B2 JP4983671 B2 JP 4983671B2 JP 2008071208 A JP2008071208 A JP 2008071208A JP 2008071208 A JP2008071208 A JP 2008071208A JP 4983671 B2 JP4983671 B2 JP 4983671B2
Authority
JP
Japan
Prior art keywords
traffic
alert
information
network
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008071208A
Other languages
English (en)
Other versions
JP2009231876A (ja
Inventor
ジューホア タン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2008071208A priority Critical patent/JP4983671B2/ja
Priority to CN2008101748616A priority patent/CN101540695B/zh
Priority to US12/355,089 priority patent/US20090238088A1/en
Publication of JP2009231876A publication Critical patent/JP2009231876A/ja
Application granted granted Critical
Publication of JP4983671B2 publication Critical patent/JP4983671B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、トラフィック分析装置、トラフィック分析方法及びトラフィック分析システムに関する。
従来、回線のトラフィックを分析する方法として、トラフィック収集装置が収集したトラフィックデータを吸い上げ、専門業者にトラフィック分析を依頼する手法が知られている。また、トラフィック収集装置が収集したトラフィックデータをそのままカウンタ表や波形に変換し、管理者がこれらの波形を基に分析を行う手法が知られている。
特開2007−006477号公報
しかしながら、上記従来の技術では、トラフィックに問題が発生した場合、管理者は手動操作により情報(データ)の収集に努める必要があり、情報の収集ができなかった場合は、限られた情報から問題点を探し出して原因を究明しなければならない。一方、情報の収集が可能な場合においても、大量の情報を整理し、その中から問題点を探し出して原因を究明しなければならないという問題がある。
特に、トラフィック問題の多くは、予測がつかない非定期タイミングで繰り返し瞬間的若しくは短時間内に発生するものであるため、多くの場合、問題分析に必要な情報を採取することが困難である。このため、トラフィック問題の原因の特定、究明が困難になる場合が多い。このため、長時間の間、トラフィック問題を解決することができないという問題が生じる。
このため、何時発生するのか予測できないトラフィック問題のデータを採取するために、常に全てのトラフィックパケットをモニタリングし、モニタリングしたトラフィックパケットをそのまま保存する装置が想定されている。
しかしながら、パケットをそのまま保存する場合、短時間でメモリの残量がなくなるため、パケットを取り込めなくなるという問題が生じる。また、保存したパケットに新たなパケットが上書きされるため、貯めたパケットが消えてしまう状態が生じ、所望のデータを採取できないといった問題が生じる。このため、トラフィック問題の原因の特定、究明に長時間を要してしまうという問題が生じる。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、ネットワークのトラフィックを確実且つ高精度に分析するとともに、アラーとの発生原因を確実に分析することが可能な、新規かつ改良されたトラフィック分析装置、トラフィック分析方法及びトラフィック分析システムを提供することにある。
上記課題を解決するために、本発明のある観点によれば、ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置であって、ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と、前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と、前記アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するアラート発生原因分析部と、を備えるトラフィック分析装置が提供される。
上記構成によれば、ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置において、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生され、アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因が分析される。従って、アラートを発生する直前の正常データ及び異常データの少なくとも一方に基づいて、アラートが発生した原因を確実に分析することが可能となる。
また、前記アラート発生原因分析部は、リアルタイムモニタによるアラートが設定された統計項目毎にアラートが発生した原因を分析するものであってもよい。かかる構成によれば、アラートが予め設定された統計項目毎にアラートが発生した原因を分析することができる。
また、前記アラート発生原因分析部は、前記異常データに関する情報に基づいて異常を発生させた端末、サブネット又はアプリケーションを統計し、異常数の多い端末、サブネット又はアプリケーションを特定するものであってもよい。かかる構成によれば、アラートが発生した際に、異常数の多い端末、サブネット又はアプリケーションを特定することが可能となる。
また、前記アラート発生原因分析部は、前記正常データに関する情報及び前記異常データに関する情報に基づいてセッション数を統計し、セッション数が多い端末、サブネット又はアプリケーションを特定するものであってもよい。かかる構成によれば、アラートが発生した際に、セッション数が多い端末、サブネット又はアプリケーションを特定することが可能となる。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するステップと、前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるステップと、前記アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するステップと、を備えるトラフィック分析方法が提供される。
上記構成によれば、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生され、アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因が分析される。従って、アラートを発生する直前の正常データ及び異常データの少なくとも一方に基づいて、アラートが発生した原因を確実に分析することが可能となる。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置と、前記トラフィック収集装置に接続されたモニタリング装置とを備えるトラフィック分析システムであって、前記トラフィック分析装置は、ネットワークとアクセス網との間の通信データに関する情報を前記トラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と、前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と、前記アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するアラート発生原因分析部と、を備えるトラフィック分析システムが提供される。
上記構成によれば、ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置と、前記トラフィック収集装置に接続されたモニタリング装置とを備えるトラフィック分析システムにおいて、トラフィック分析装置では、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生され、アラートを発生する直前に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因が分析される。従って、アラートを発生する直前の正常データ及び異常データの少なくとも一方に基づいて、アラートが発生した原因を確実に分析することが可能となる。
本発明によれば、ネットワークのトラフィックを確実且つ高精度に分析するとともに、アラーとの発生原因を確実に分析することが可能な、トラフィック分析装置、トラフィック分析方法及びトラフィック分析システムを提供することができる。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
先ず、本発明の題1の実施形態について説明する。図1は、本発明の一実施形態に係るトラフィック収集装置100のネットワーク200への設置構成を示す模式図である。図1の例では、アクセス網300とISP(Internet Services Provider)400間の回線に通信信号を分岐して出力する転送装置(ネットワークタップ装置)500,510,520,530を配置し、転送装置500,510,520,530のIn(入力)側(アクセス網300側)、Out(出力)側(ISP400側)の分岐の出力回線をそれぞれトラフィック収集装置100の回線側のIn側、Out側に接続する。同様に、トラフィック収集装置100のモニタ側の出力回線をモニタリング装置600に接続する。図1の例では、モニタリング装置600は、単独でインライン設置が可能な装置を想定している。
図1に示すように、トラフィックの分析を行うトラフィック分析装置(A)700にトラフィック収集装置100とモニタリング装置600が接続されている。
転送装置500とトラフィック収集装置100によってアクセス網300とISP400間の複数の回線トラフィック情報が収集される。トラフィック分析装置700は、複数の回線から収集したトラフィックを自動的に分析し、分析結果の重点を抽出して分析レポートを作成する。トラフィック分析装置700は、設定された秒/分間隔で定期的にこれらのトラフィックデータを吸い上げ、トラフィックの監視を実施しながら、リアルタイムで表と波形を表示し、定時レポートや分析レポートを生成する。
同様に、他のアクセス網300とISP400間の回線に配置された転送装置500を介して、トラフィック収集装置100によってトラフィック情報が収集され、トラフィック分析装置(B)700、トラフィック分析装置(C)700により分析が行われる。
図2は、モニタリング装置600の機能と、その機能を実現するための構成を示す模式図である。図2に示すように、モニタリング装置600は、正常パケット情報抽出・保持機能を備える。モニタリング装置600は、より多くのパケット情報を保持するために、トラフィック収集装置100経由で、モニタリング装置600に入っていく正常パケットの全てのデータを保存することなく、パケットヘッダ等の情報のみを抽出して、正常パケット情報保持部608のデータベースに保存する。
図2において、受信部602は、トラフィック収集装置100からIn側、Out側の入力を区別して受信する。パケット情報抽出保存部604は、受信部602で受信したパケットデータからパケット情報を抽出して保存する。また、不要なパケットはパケット廃棄部606で廃棄される。
正常パケット情報保持部608は、ポート1〜Nのそれぞれについて、正常なパケット情報を保持する。正常なパケット情報は、時刻情報(Time)、イーサヘッダ情報、IPヘッダ情報、TCP/UDPヘッダ情報、ペイロードサイズ情報、から構成される。正常パケット情報保持部608のデータベースに保存された情報は、定期的に削除される。また、モニタリング装置600は、正常パケット情報保持部608のデータベースの設定を行うデータベース(DB)設定部610、送受信部612を備えている。送受信部612は、トラフィック分析装置700に接続しており、アラート発生際、モニタリング装置600は、送受信部612経由で受信したトラフィック分析装置700の要求に従って、アラート発生原因特定分析に必要とする正常パケット情報を正常パケット情報保持部608のデータベースから取り出し、送受信部612経由でトラフィック分析装置700に送信する。
図3は、トラフィック収集装置100の機能と構成を示す模式図である。図3(A)に示すように、トラフィック収集装置100は、収集機能、異常トラフィック検出機能、情報保持機能を備える。また、図3(B)は、トラフィック収集装置100の機能ブロック構成を示す模式図である。受信部105は、転送装置510,520,530からIn側、Out側の入力を区別して受信する。入力(Ingress)パケットフィルタ部110は、回線側の各転送装置510,520,530から受信したパケットからイーサヘッド、IPヘッダ、TCP/UDPヘッダの識別子を抽出して検索し、識別子に基づいてフィルタリングすることができる。
異常トラフィック検出部120は、Ingressパケットフィルタ部110を通過したIn側、Out側の双方のパケットを処理することで、セッションとして認識することができる。
出力(Egress)パケットフィルタ部170は、Ingressパケットフィルタ部110と同様に、ヘッダの識別子に基づいてパケットをフィルタリングすることができる。Egressパケットフィルタ部170を通過したパケットは、モニタ側の送信部180より送信される。
管理部190は、Ingressパケットフィルタ部110の統計収集部191、異常トラフィック検出部120の統計収集部192、Egressパケットフィルタ部170の統計収集部193、Ingressパケットフィルタ部110の設定部194、異常トラフィック検出部120の設定部195、及びEgressパケットフィルタ部170の設定部196から構成される。
管理部190は、送受信部195を介してトラフィック分析装置700と接続され、トラフィック分析装置700との統計情報、設定情報のインターフェースになる。
以下、図4、図5、及び図6に基づいて、トラフィック収集装置100のIngress/Egressパケットフィルタ部110,170の構成、異常トラフィック検出部120の構成、セッション処理のフローについて説明する。これらの情報、条件を基に、図10のリアルタイム統計情報設定管理部704が設計される。
図4にIngressパケットフィルタ部110、Egressパケットフィルタ部170の構成を示す。これらのパケットフィルタ部110,170は、パケットフィルタテーブル115で構成されている。ポリシールールに設定できるイーサヘッダ、IPヘッダ、TCP/UDPヘッダの識別子としては、図4に示すように、VLAN−ID、イーサプライオリティ(Ether Priority)、イーサタイプ(Ether Type)、宛先IPアドレス、送信元IPアドレス、TOS、プロトコル番号、TCPフラグ、宛先ポート番号、送信元ポート番号が挙げられる。それぞれの識別子には、マスクビットを指定して範囲検索が可能である。
パケットフィルタテーブル115は、各エントリに優先度が付与されており、図4に示す例では、小さい番号が高優先度とされている。識別子を検索した結果、より高優先度にヒットしたエントリが採用され、予め設定された各エントリに対応するアクション(permit、もしくはdeny)に従って、通過(permit)か廃棄(deny)が選択される。また、パケットフィルタテーブル115は、エントリ毎の統計情報として、パケットカウンタ(pps)とバイトカウンタ(bps)を備えている。パケットカウンタとバイトカウンタは、検索の結果、ヒットした全てのエントリで加算される。
図5は、異常トラフィック検出部120の構成を示す模式図である。異常トラフィック検出部120に入力されたIn側とOut側の双方のパケットは、セッション処理部122に入力され、図6のセッション処理のフローチャートに従って処理される。異常トラフィック検出部120は、異常パケット情報保持部130を備えている。異常パケット情報保持部130は、ポートN(In/Out)のシグネチャ異常データベース(DB)132、ポートN(In/Out)のセッション異常データベース(DB)134、ポートN(In/Out)の同時セッション数超え異常データベース(DB)136、ポートN(In/Out)の秒間セッション数超え異常データベース(DB)138を含む。各データベースには、異常パケットの情報として、時間(Time)、イーサヘッダ情報、IPヘッダ情報、TCP/UDPヘッダ情報、ペイロードサイズ情報が保存される。
ここで、図6のセッション処理について説明する。先ず、ステップS1では、セッション処理部にパケットが入力される。次のステップS2では、シグネチャを検索し、シグネチャがヒットした場合は、ステップS3へ進む。ステップS3では、シグネチャ異常パケット統計情報を加算し、ステップS23へ進む。ステップS23では、異常パケット情報
保存設定の有無を判定する。異常パケット情報の保存設定が有る場合は、ステップS24でパケット情報を抽出し、シグネチャ異常データベース130に保存した後、ステップS4でパケットを廃棄する。一方、ステップS23で異常パケット情報保存設定が無い場合は、ステップS4でパケットを廃棄する。
ステップS2でシグネチャがミスヒットの場合は、ステップS5に進み、セッション管理テーブルを検索する。セッション管理テーブルでパケットがヒットした場合は、ステップS6へ進み、FIN/RSTを受信したか否かを判定する。ステップS6で、FIN/RSTを受信した場合は、ステップS7へ進み、ステップS8のガーベージタイマの終了を受けて、セッション管理テーブルを削除する。その後、ステップS9でセッション異常パケット統計情報を加算する。ステップS9の後はステップS25へ進み、異常パケット情報の保存設定の有無を判定する。異常パケット情報の保存設定が有る場合は、ステップS26でパケット情報を抽出し、セッション異常データベース134に保存した後、ステップS10でパケットを廃棄する。一方、ステップS25で異常パケット情報の保存設定が無い場合は、ステップS10でパケットを廃棄する。
一方、ステップS5で、セッション管理テーブルがミスヒットの場合は、ステップS11へ進み、最初のパケット(1stパケット)を受信する。次のステップS12では、ガーベージタイマを設定し、次のステップS13では、同時セッション数の登録の有無を判定する。
ステップS13で同時セッション数の登録が有る場合は、ステップS14へ進み、同時セッション数が上限値であるか否かを判定する。ステップS14で同時セッション数が上限値の場合は、ステップS15で同時セッション数が上限値を超えた異常パケットの統計情報を加算する。ステップS15の後はステップS27へ進み、異常パケット情報の保存設定の有無を判定する。異常パケット情報の保存設定が有る場合は、ステップS28でパケット情報を抽出し、同時セッション数超え異常データベース136に保存した後、ステップS29でパケットを廃棄する。ステップS27で異常パケット情報の保存設定が無い場合は、ステップS29でパケットを廃棄する。一方、ステップS14で同時セッション数が上限値でない場合、またはステップS13で同時セッション数の登録がない場合は、ステップS16へ進む。
ステップS16では、秒間セッション数の登録の有無を判定し、秒間セッション数の登録がある場合は、ステップS17で秒間セッション数が上限値であるか否かを判定する。テップS17で秒間セッション数が上限値の場合は、ステップS18で秒間セッション数が上限値を超えたパケットの統計情報を加算する。ステップS18の後はステップS30へ進み、異常パケット情報の保存設定の有無を判定する。異常パケット情報の保存設定が有る場合は、ステップS31でパケット情報を抽出し、秒間セッション数超え異常データベース138に保存した後、ステップS19でパケットを廃棄する。ステップS30で異常パケット情報の保存設定が無い場合は、ステップS19でパケットを廃棄する。一方、ステップS17で秒間セッション数が上限値でない場合、またはステップS16で秒間セッション数の登録がない場合は、ステップS20へ進む。
ステップS20では、セッション統計情報を加算する。次のステップS21では、セッション管理テーブルを登録する。次のステップS22では、パケットを出力する。ステップS22の後は処理を終了する(END)。
セッション処理部122で処理されたセッションは、セッション管理テーブル124に登録される。このとき、登録される識別子は図5に示す5つの識別子(宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号、送信元ポート番号)である。セッション統計情報保持部126は、セッション管理テーブル124に登録され、その時点で、維持されているセッション数を宛先IPアドレスと送信元IPアドレスの組み合わせ単位で保持している。
異常トラフィック検出部120に入力されたパケットは、図6のステップS2において、シグネチャ保持部128に登録された各シグネチャとマッチングして、当該パケットが異常パケットであるか否かを判断する。シグネチャ保持部128に登録されたシグネチャは、異常パケットであるパターンを記述しているものであり、例えば、宛先IPアドレスと送信元IPアドレスが同一であったり、送信元IPアドレスが詐称されていたり、宛先のホストでIPパケットを再構築したときに最大長を超えるなどのパターンを記述している。異常パケット統計情報保持部129は、シグネチャ単位に検出した異常パケット数を保持しており、ステップS2でシグネチャがヒットした場合は、ステップS3で異常パケット統計情報が加算される。
トラフィック分析装置700は、トラフィック収集装置100の管理部190のIngressパケットフィルタ統計収集部191、異常トラフィック検出統計収集部192、Egressパケットフィルタ統計収集部193によって収集されたデータを秒/分間隔で定期的に吸い上げ、処理、監視、リアルタイムの表と波形表示、レポート等を生成する。トラフィック分析装置700は、トラフィック収集装置100が収集したデータを基にレポートと分析を実施するため、収集したデータのフォーマット情報や、データの収集方法などを認識する。
図7は、トラフィック分析装置700の機能を示す模式図である。また、図8は、図7の機能を実現するためのトラフィック分析装置700の構成を示す模式図である。トラフィック分析装置700は演算処理部(CPU)を備え、トラフィック分析装置700の各構成要素は演算処理部をソフトウェア(プログラム)によって機能させることで実現できる。
図7に示すように、トラフィック分析装置700は、構成管理機能、リアルタイムモニタ機能、監視機能、アラート通知機能、定時レポート機能、トラフィック自動分析機能(トラフィック分析機能)、情報・データ蓄積機能、リアルタイムモニタアラート発生原因特定分析機能を有する。
また、図8に示すように、トラフィック分析装置700は、構成管理部702、リアルタイム統計情報設定管理部704、リアルタイム統計情報モニタ部706、アラート条件設定部708、アラート管理通知部710、定時レポート設定管理部712、定時統計情報モニタ部714、定時統計情報レポート作成部716、トラフィック分析設定管理部718、トラフィック分析部720、分析レポート作成部722、リアルタイムモニタアラート発生原因特定分析部724、パケット情報保持部726、及び統計情報データベース部728を備える。また、トラフィック分析装置700は、トラフィック収集装置100や、モニタリング装置600との間で情報を送受信する送受信部730、統合管理装置800との間で情報を送受信する送受信部732を備える。
トラフィック分析装置700がトラフィック監視において発するアラートや、上限超えアラートの発生によって実施された原因特定分析結果レポートや、定時に生成した定時レポートと分析レポート等は、複数のトラフィック分析装置(A)700、トラフィック分析装置(B)700、トラフィック分析装置(C)700を統合管理する統合管理装置800に送られる。図9は、統合管理装置800の機能構成を示す模式図である。統合管理装置800は、構成管理機能部802、アラーム表示機能部804、レポート蓄積機能部806、リアルタイムモニタアラート発生原因特定分析結果表示機能部808を備える。管理者は、統合管理装置800にて、複数のトラフィック分析装置700を統合管理し、各トラフィック分析装置700のトラフィックデータを参照することができる。
トラフィック分析装置700のリアルタイムモニタ機能(リアルタイムモニタ機能部)は、リアルタイム統計情報設定管理部704とリアルタイム統計情報モニタ部706により実現される。
図10及び図11は、リアルタイム統計情報設定管理部704の構成を示す模式図である。リアルタイム統計情報設定管理部704は、トラフィック分析装置700によるリアルタイムの情報収集に際し、モニタする情報の設定を管理する。図10に示すように、リアルタイム統計情報設定管理部704は、モニタ基本設定、モニタ項目設定を管理する。モニタ項目設定として、Ingress/Egressモニタ設定と異常トラフィックモニタ設定がある。Ingress/Egressモニタ設定には、全受信パケット基本統計設定とポリシールール統計設定がある。そして、ポリシールール統計設定としては、図11に示すように、宛先/送信元IPアドレス範囲指定統計の項目選択による設定と、TCP/UDPポート番号分析指定設定がある。更に、TCP/UDPポート番号分析指定にはTCP/UDPポート番号指定統計の項目選択による設定がある。図10に示すように、「異常トラフィックモニタ設定」において、シグネチャ異常、セッション異常、同時セッション数超え異常、秒間セッション数超え異常、全異常パケット数の統計対象選択設定することができ、これらの異常に対し、「異常パケット情報保持設定」が有効な場合、図6のセッション処理フローチャートに示すように、パケット廃棄する前に、異常パケットのヘッダ情報等が抽出され、図5に示すように、異常パケット情報保持部130の各異常DBに保存される。
図12は、リアルタイム統計情報モニタ部706の処理を示す模式図である。リアルタイム統計情報モニタ部706は、リアルタイム統計情報設定管理部704の設定条件を基に、リアルタイムモニタ間隔設定で設定された時間間隔でトラフィック収集装置100より収集データを取得する(ステップS31)。そして、取得したデータの平均値pps/bpsを算出し(ステップS32)、30分間のリアルタイムモニタ波形の表示を更新する(ステップS33)。ステップS2で算出された平均値pps/bpsはリアルタイムモニタ監視Aに出力される。
トラフィック分析装置700の監視機能とアラート通知機能は、リアルタイム統計情報モニタ部706と、アラート条件設定部708及びアラート管理通知部710との連携で実現される。
図13は、アラート条件設定部708で行われる設定を示す模式図である。図13に示すように、アラート条件設定部708では、主にリアルタイム統計情報モニタの監視設定が行われ、アラート発生時に統合監視装置800にアラート情報を送付し、管理者にメールを発送し、上限超え原因特定分析実行等のアクション設定を行う。
図14は、アラート管理通知部710の処理を示すフローチャートである。アラート管理通知部710は、アラート条件設定部708の設定条件に従って、リアルタイムモニタ監視Aに出力された平均値pps/bpsを監視し、条件に基づいてアラートを発生させる。先ず、ステップS41では、リアルタイム統計情報モニタの監視設定の有無を確認し、監視設定がある場合はステップS42へ進む。ステップS42では、上限閾値の設定の有無を確認し、上限設定値が有る場合は、次のステップS43で平均値pps/bpsが上限閾値を超えたか否かを判定する。
ステップS43で上限閾値を超えている場合は、ステップS44へ進み、連続発生回数を超えたか否かを判定する。連続発生回数を超えている場合は、ステップS45へ進み、アラートを発生する。具体的には、アラート条件設定部708の設定条件に従って、統合監視装置へのアラート情報の送付、管理者へのメール発送、リアルタイムモニタアラート発生原因特定分析部に実行変数(アラート発生時刻、アラート発生したリアルタイム統計情報設定内容)送付し、上限超え原因特定分析実行等の処理を行う。
一方、ステップS42で上限閾値の設定が無い場合、ステップS43で上限閾値を越えていない場合、またはステップS44で連続発生回数を超えていない場合は、ステップS46へ進む。ステップS46では、下限閾値の設定の有無を確認し、下限閾値が設定されている場合は、ステップS47へ進む。
ステップS47では、下限閾値を超えたか否か(下限閾値を下回ったか否か)を判定し、下限閾値を超えている場合は、ステップS48へ進み、連続発生回数を超えたか否かを判定する。連続発生回数を超えている場合は、ステップS49へ進み、アラートを発生する。具体的には、統合監視装置800へのアラート情報の送付、管理者へのメール発送等の処理を行う。
一方、ステップS41で監視設定が無い場合、ステップS46で下限閾値が設定されていない場合、ステップS47で下限閾値超えが発生していない場合、またはステップS48で連続発生回数を超えていない場合は、アクションを発生させない。以上のように、アラート管理通知部710は、アラート条件設定部708の設定と平均値pps/bpsとの比較によりアラートを発生させることができる。
トラフィック分析装置700の定時レポート機能は、定時レポート設定管理部712と定時統計情報モニタ部714、及び定時統計情報レポート作成部716により実現される。
トラフィック分析装置700のリアルタイムモニタアラート発生原因特定分析機能は、リアルタイムモニタ機能とリアルタイムモニタアラート発生原因特定分析部724により実現される。
トラフィック分析装置700は、トラフィック監視において、図10及び図11のリアルタイム統計情報に図13及び図14の上限超えアラートが発生した場合、図15及び図16に示す上限超え原因特定分析を自動的に実行する。そして、その時の実行変数(アラート発生時刻、アラート発生したリアルタイム統計情報設定内容)により、統計種類を区分し、モニタリング装置600、トラフィック収集装置100にて、該当する回線ポート番号および回線方向のDBからアラート発生時刻のK秒前(K秒=(図12のリアルタイムモニタ間隔設定値×図13の上限閾値超え連続発生回数設定値)+60秒 と定義し、つまり、アラート発生前、トラフィック問題発生直前の時刻)からの正常パケット情報(T2)/異常パケット情報(T3)を取得、パケット情報保持部726に保存し、図15に示すように、リアルタイムモニタアラートが設定された統計項目に応じて分析する。
以下、図15の処理について説明する。図15は、リアルタイムモニタアラート発生原因特定分析部724で行われる処理を示しており、上限超え原因を特定する分析の処理を示している。リアルタイムモニタアラート発生原因特定分析部724では、送付された実行変数(アラート発生時刻、アラート発生したリアルタイム統計情報設定内容)より、アラート発生時刻/モニタ番号/回線ポート番号/回線方向/統計種類/統計項目を判明させる。そして、リアルタイムモニタアラート発生原因特定分析部724は、これらの情報を基にモニタリング装置600から正常パケット情報、トラフィック収集装置100から異常パケット情報を取得・分析し、問題が発生した端末/サブネット/アプリケーションを特定する。
先ず、ステップS101において、上限超えアラートを発生した際のリアルタイムモニタ統計データ(T1)を保存し、統合管理装置800に出力する。次に、ステップS102では、上限超えアラートを発生した統計種類を区分する。
次に、ステップS103では、モニタリング装置600、トラフィック収集装置100にて、該当回線ポート番号、回線方向のデータベースからアラート発生時刻前K秒からの正常パケット情報(T2)、異常パケット情報(T3)を取得する。
この際、ステップS103では、モニタリング装置600へ該当回線ポート番号、回線方向、アラート発生時刻を送付し、モニタリング装置600の正常パケット情報保持部608のデータベースからアラート発生時刻のK秒前からのデータを要求する。この要求を受けて、モニタリング装置600は、該当回線ポート番号、回線方向のデータベースからアラート発生時刻のK秒前からの正常パケット情報をトラフィック分析装置700のリアルタイムモニタアラート発生原因特定分析部724へ送付する。
また、ステップS103では、トラフィック収集装置100へ該当回線ポート番号、回線方向、統計項目、アラート発生時刻を送付し、トラフィック収集装置100の異常パケット情報保持部130のデータベースからアラート発生時刻のK秒前からのデータを要求する。この要求を受けて、トラフィック収集装置100は、該当回線ポート番号、回線方向、統計項目の異常パケット情報保持部130のデータベースから、アラート発生時刻のK秒前からのデータを送付する。
次のステップS104では、リアルタイムモニタアラート設定された統計項目を確認する。次のステップS105では、統計項目に応じた分析を実施する。より詳細には、ステップS105では、以下の処理を行う。
・帯域使用量が最も多い端末、サブネット、アプリケーションを特定する。
・最もマルチキャスト、ブロードキャストパケットレートを出す端末を特定する。
・最もシグネチャ異常、セッション異常を出す端末、アプリケーションを特定する。
・最もセッション数を使う端末、アプリケーションを特定する。
次のステップS106では、リアルタイムモニタ分析結果レポートを生成、保存し、統合管理装置に出力する。統合管理装置800は、リアルタイムモニタ統計データを表示し、また、リアルタイムモニタ分析結果を表示する。
図16は、図15の処理を更に詳細に示す模式図である。以下、図16に基づいて、リアルタイムモニタアラート発生原因特定分析部724による処理の詳細を説明する。先ず、ステップS111では、実行変数(アラート発生時刻、アラート発生したリアルタイム統計情報設定内容)を取得する。
次にステップS112では、上限超えアラートを発生したモニタ番号のリアルタイムモニタ統計データ(T1)を保存し、統合管理装置800に出力する。次にステップS113では、上限超えアラートを発生した統計種類が、a)全受信パケット基本統計、b)ポリシールール統計、c)異常トラフィックモニタのいずれであるかを判定する。そして、上限超えアラートを発生した統計種類が、a)全受信パケット基本統計である場合は、ステップS114の後、ステップS115以降の処理に進む。上限超えアラートを発生した統計種類が、b)ポリシールール統計である場合は、ステップS114の後、ステップS117以降の処理、もしくはステップS119以降の処理に進む。また、上限超えアラートを発生した統計種類が、c)異常トラフィックモニタである場合は、ステップS114の後、ステップS121以降の処理に進む。
先ず、ステップS114では、モニタリング装置600の正常パケット情報保持部608の該当回線ポート番号、回線方向のデータベースからアラート発生時時刻前K秒からの正常パケット情報(T2)を取得する。
上限超えアラートを発生した統計種類が、a)全受信パケット基本統計である場合、ステップS115へ進む。ステップS115では、リアルタイムモニタアラート設定された統計項目を確認する。ここでは、全受信パケットの基本統計として、正常受信パケットレート、正常受信ビットレート、正常受信マルチキャストパケットレート、正常受信ブロードキャストパケットレートの統計項目を確認する。
ステップS116では、ステップS115の統計項目に応じた分析を実施する。正常受信パケットレート、正常受信ビットレートについては、ステップS114で取得したデータT2(正常パケット情報)について、送信元IP毎、TCP/UDPポート毎に、ユニキャストパケットレート/ビットレートを統計し、帯域使用量が最も多い3つの端末、帯域使用量が最も多い3つのアプリケーションを特定する。正常受信マルチキャストパケットレートについては、データT2について、送信元IP毎にマルチキャストパケットレートを統計し、マルチキャストを最も出す3つの端末を特定する。正常受信ブロードキャストパケットレートについては、データT2について、送信元IP毎に、ブロードキャストパケットレートを統計し、ブロードキャストを最も出す3つの端末を特定する。
上限超えアラートを発生した統計種類が、b)ポリシールール統計である場合は、ステップS117以降の処理、もしくはS119以降の処理に進む。ステップS117では、リアルタイムモニタアラート設定された統計項目を確認する。ここでは、送信元IPアドレス範囲(サブネット)の指定統計として、正常受信パケットレート、正常受信ビットレートの統計項目を確認する。
ステップS118では、ステップS117の統計項目に応じた分析を実施する。正常受信パケットレート、正常受信ビットレートについては、データT2について送信元IP毎、受信パケットレート/正常受信ビットレートを統計し、更にサブネット毎に統計し、帯域使用量が最も多い3つのサブネットを特定する。
また、ステップS119では、リアルタイムモニタアラート設定された統計項目を確認する。ここでは、TCP/UDPポート番号分析指定設定として、テーブル番号設定、プロトコル種別設定、開始ポート番号設定、終了ポート番号設定を、トラフィック分析指示情報選択設定分析指示として音声データ、映像データ、制御データ、その他のデータを確認する。
ステップS120では、ステップS119の統計項目に応じた分析を実施する。ここでは、データT2について、TCP/UDPポート番号毎に、受信ビットレートを統計し、更にポート番号指定範囲ごとに統計し、帯域使用量が最も多い3つのアプリケーションを特定する。
上限超えアラートを発生した統計種類が、c)異常トラフィックモニタである場合は、ステップS121以降の処理に進む。ステップS121では、トラフィック収集装置の異常パケット情報保持部130の該当回線ポート番号、回線方向の各異常データベースからアラート発生時刻前K秒からの異常パケット情報(T3)を取得する。
次のステップS122では、リアルタイムモニタアラート設定された統計項目を確認する。ここでは、異常トラフィックモニタについて、シグネチャ異常、セッション異常、同時セッション超え異常、秒間セッション超え異常、の各項目について統計項目を確認する。
次のステップS123では、ステップS122で確認した各項目について、統計項目に応じた分析を実施する。先ず、シグネチャ異常については、シグネチャ異常データベース132から取得したデータT3(異常パケット情報T3)について送信元IPごと、TCP/UDPポートごとにシグネチャ異常を統計し、それぞれ異常数を最も多く出した3つの端末、3つのアプリケーションを特定する。セッション異常については、セッション異常データベース134から取得したデータT3について送信元IPごと、TCP/UDPポート番号毎にセッション異常を統計し、それぞれ異常数を最も多く出した3つの端末、3つのアプリケーションを特定する。同時セッション異常については、同時セッション数超え異常データベース136から取得したデータT3をデータT2に加えて、送信元IP毎、TCP/UDPポート番号毎に分単位でセッション数を統計し、セッション数使用量が最も多い3つの端末、3つのアプリケーションを特定する。秒間セッション数超え異常については、秒間セッション数超え異常データベース138から取得したデータT3をデータT2に加えて、送信元IPごと、TCP/UDPポート番号ごとに秒単位でセッション数を統計し、セッション数使用量が最も多い3つの端末、3つのアプリケーションを特定する。
ステップS116,S118,S120,S123の後は、ステップS124に進み、リアルタイムモニタ分析結果レポートを作成し、統合管理装置800に出力する。統合管理装置800は、ステップS125において、リアルタイムモニタ統計データ、リアルタイムモニタ分析結果を表示する。
以上のように、分析によって、上限超え問題の原因を下記のように特定することができる。その後、分析結果のレポートが生成され、保存され、統合管理装置に出力される。
・帯域使用量が最も多い3つの端末/3つのサブネット/3つのアプリケーションを特定することができる。
・最もマルチキャスト、ブロードキャストパケットレートを出す3つの端末を特定することができる。
・最もシグネチャ異常、セッション異常を出す3つの端末、3つのアプリケーションを特定することができる。
・最もセッション数を使う3つの端末、3つのアプリケーションを特定することができる。
以上説明したように本実施形態によれば、リアルタイムで異常トラフィック/正常トラフィックを監視することができ、上限閾値超えアラートが発生した際に、自動的にリアルタイムモニタアラート発生原因特定分析機能を実行することができる。
また、リアルタイムモニタアラート発生原因特定分析機能の実行により、実行変数(アラート発生時刻、アラート発生したリアルタイム統計情報設定内容)により統計種類を区分し、該当回線ポート番号、回線方向のDBからアラート発生時刻の直前の正常パケット情報(T2)、異常パケット情報(T3)を取得することができる。そして、パケット情報の取得によって、設定された統計項目に応じて原因特定分析することができる。また、分析結果のレポートを生成して保存することができ、レポートを統合管理装置800に出力することができる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明の一実施形態に係るトラフィック収集装置のネットワークへの設置構成を示す模式図である。 モニタリング装置の機能と、その機能を実現するための構成を示す模式図である。 トラフィック収集装置の機能と構成を示す模式図である。 Ingressパケットフィルタ部、Egressパケットフィルタ部の構成を示す模式図である。 異常トラフィック検出部の構成を示す模式図である。 セッション処理部による処理を示すフローチャートである。 トラフィック分析装置の機能を示す模式図である。 図7の機能を実現するためのトラフィック分析装置の構成を示す模式図である。 統合管理装置の機能構成を示す模式図である。 リアルタイム統計情報設定管理部の構成を示す模式図である。 リアルタイム統計情報設定管理部の構成を示す模式図である。 リアルタイム統計情報モニタ部の処理を示す模式図である。 アラート条件設定部で行われる設定を示す模式図である。 アラート管理通知部の処理を示すフローチャートである。 リアルタイムモニタアラート発生原因特定分析部で行われる、上限超え原因を特定する分析の処理を示す模式図である。 図15の処理をより詳細に示す模式図である。
符号の説明
100 トラフィック収集装置
600 モニタリング装置
700 トラフィック分析装置
704 リアルタイム統計情報設定管理部
706 リアルタイム統計情報モニタ部
708 アラート条件設定部
710 アラート管理通知部
720 トラフィック分析部
724 リアルタイムモニタアラート発生原因特定分析部

Claims (6)

  1. ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置であって:
    ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と;
    前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と;
    前記アラートを発生する直前の所定時間内に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するアラート発生原因分析部と、
    を備えることを特徴とする、トラフィック分析装置。
  2. 前記アラート発生原因分析部は、リアルタイムモニタによるアラートが設定された統計項目毎にアラートが発生した原因を分析することを特徴とする、請求項1に記載のトラフィック分析装置。
  3. 前記アラート発生原因分析部は、前記異常データに関する情報に基づいて異常を発生させた端末またはアプリケーションを統計し、異常数の多い端末、サブネット又はアプリケーションを特定することを特徴とする、請求項1に記載のトラフィック分析装置。
  4. 前記アラート発生原因分析部は、前記正常データに関する情報及び前記異常データに関する情報に基づいてセッション数を統計し、セッション数が多い端末、サブネット又はアプリケーションを特定することを特徴とする、請求項1に記載のトラフィック分析装置。
  5. ネットワークとアクセス網との間
    の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するステップと;
    前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるステップと;
    前記アラートを発生する直前の所定時間内に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するステップと、
    を備えることを特徴とする、トラフィック分析方法。
  6. ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置と、前記トラフィック収集装置に接続されたモニタリング装置とを備えるトラフィック分析システムであって:
    前記トラフィック分析装置は:
    ネットワークとアクセス網との間の通信データに関する情報を前記トラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と;
    前記トラフィック収集装置からリアルタイムで収集した情報に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と;
    前記アラートを発生する直前の所定時間内に前記ネットワークとアクセス網との間で送受信された正常データ及び異常データの少なくとも一方に関する情報に基づいて、アラートが発生した原因を分析するアラート発生原因分析部と、
    を備えることを特徴とする、トラフィック分析システム。
JP2008071208A 2008-03-19 2008-03-19 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム Expired - Fee Related JP4983671B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2008071208A JP4983671B2 (ja) 2008-03-19 2008-03-19 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
CN2008101748616A CN101540695B (zh) 2008-03-19 2008-11-10 通信量分析装置、通信量分析方法以及通信量分析系统
US12/355,089 US20090238088A1 (en) 2008-03-19 2009-01-16 Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008071208A JP4983671B2 (ja) 2008-03-19 2008-03-19 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム

Publications (2)

Publication Number Publication Date
JP2009231876A JP2009231876A (ja) 2009-10-08
JP4983671B2 true JP4983671B2 (ja) 2012-07-25

Family

ID=41088819

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008071208A Expired - Fee Related JP4983671B2 (ja) 2008-03-19 2008-03-19 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム

Country Status (3)

Country Link
US (1) US20090238088A1 (ja)
JP (1) JP4983671B2 (ja)
CN (1) CN101540695B (ja)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150236895A1 (en) 2005-08-19 2015-08-20 Cpacket Networks Inc. Apparatus, System, and Method for Enhanced Monitoring and Interception of Network Data
CN102143519A (zh) * 2010-02-01 2011-08-03 中兴通讯股份有限公司 一种定位语音传输故障的装置和方法
CN102325038A (zh) * 2011-05-26 2012-01-18 华为技术有限公司 一种数据采集方法、装置以及性能管理方法、装置
US20130301415A1 (en) * 2011-09-29 2013-11-14 Avvasi Inc. Methods and systems for managing media traffic based on network conditions
US9118738B2 (en) 2011-09-29 2015-08-25 Avvasi Inc. Systems and methods for controlling access to a media stream
JP2013171347A (ja) * 2012-02-17 2013-09-02 Fujitsu Frontech Ltd 情報処理装置、サーバ検出方法、及びプログラム
JP5801241B2 (ja) * 2012-04-04 2015-10-28 日本電信電話株式会社 ネットワーク状態変化検出システム及びトラフィック情報保存装置及びネットワーク状態変化検出方法及びトラフィック情報保存プログラム
EP2850782A1 (en) * 2012-05-15 2015-03-25 Avvasi, Inc. Methods and systems for managing media traffic based on network conditions
JP2015075808A (ja) * 2013-10-07 2015-04-20 富士通株式会社 ネットワークフィルタリング装置及びネットワークフィルタリング方法
US9560062B2 (en) * 2013-12-03 2017-01-31 Secureworks Corp. System and method for tamper resistant reliable logging of network traffic
EP3092737B1 (en) * 2014-01-07 2019-11-06 CPacket Networks, Inc. Systems for enhanced monitoring, searching, and visualization of network data
US10693742B2 (en) 2014-04-15 2020-06-23 Splunk Inc. Inline visualizations of metrics related to captured network data
US10366101B2 (en) 2014-04-15 2019-07-30 Splunk Inc. Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams
US9838512B2 (en) 2014-10-30 2017-12-05 Splunk Inc. Protocol-based capture of network data using remote capture agents
US10523521B2 (en) 2014-04-15 2019-12-31 Splunk Inc. Managing ephemeral event streams generated from captured network data
US9762443B2 (en) 2014-04-15 2017-09-12 Splunk Inc. Transformation of network data at remote capture agents
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US9923767B2 (en) 2014-04-15 2018-03-20 Splunk Inc. Dynamic configuration of remote capture agents for network data capture
US11281643B2 (en) 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US10127273B2 (en) 2014-04-15 2018-11-13 Splunk Inc. Distributed processing of network data using remote capture agents
US11086897B2 (en) 2014-04-15 2021-08-10 Splunk Inc. Linking event streams across applications of a data intake and query system
US10700950B2 (en) 2014-04-15 2020-06-30 Splunk Inc. Adjusting network data storage based on event stream statistics
US10462004B2 (en) 2014-04-15 2019-10-29 Splunk Inc. Visualizations of statistics associated with captured network data
US9596253B2 (en) 2014-10-30 2017-03-14 Splunk Inc. Capture triggers for capturing network data
US10334085B2 (en) 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
US10601766B2 (en) * 2015-03-13 2020-03-24 Hewlett Packard Enterprise Development Lp Determine anomalous behavior based on dynamic device configuration address range
CN105898722B (zh) * 2016-03-31 2019-07-26 联想(北京)有限公司 一种非正常短信息的鉴别方法、装置和电子设备
US10637885B2 (en) * 2016-11-28 2020-04-28 Arbor Networks, Inc. DoS detection configuration
US10291497B2 (en) * 2017-03-31 2019-05-14 Juniper Networks, Inc. Session-based traffic statistics logging for virtual routers
EP3726817B1 (en) 2017-12-13 2024-02-07 NEC Corporation Information processing device, information processing system, information processing method, and recording medium
CN112039686B (zh) * 2019-06-03 2023-08-04 杭州海康威视系统技术有限公司 一种数据流传输控制方法、装置、监控设备及存储介质
JP7391847B2 (ja) * 2019-06-20 2023-12-05 クワッド マイナーズ ネットワークフォレンジックシステム及びこれを用いたネットワークフォレンジック方法
CN112350882A (zh) * 2020-09-28 2021-02-09 广东电力信息科技有限公司 一种基于分布式的网络流量分析系统及方法
CN112256543A (zh) * 2020-10-20 2021-01-22 福建奇点时空数字科技有限公司 一种基于流量数据感知的服务器异常行为分析与告警方法
CN112489400A (zh) * 2020-10-20 2021-03-12 国网山东省电力公司滨州供电公司 一种基于流量分析的电力移动作业终端预警系统及方法
US11799779B1 (en) 2020-10-28 2023-10-24 Juniper Networks, Inc. Session-based packet capture
KR20220120958A (ko) * 2021-02-24 2022-08-31 삼성전자주식회사 데이터를 송수신하는 전자 장치 및 전자 장치의 동작 방법
CN113110268A (zh) * 2021-05-28 2021-07-13 国家计算机网络与信息安全管理中心 一种轨道交通控制网络的监测系统、数据采集设备及方法
CN113949669B (zh) * 2021-10-15 2023-12-01 湖南八零二三科技有限公司 一种根据流量自动配置及分析的车载网络交换装置和系统
CN113965487B (zh) * 2021-10-22 2023-07-18 深圳市光网世纪科技有限公司 一种基于网络流量数据的故障诊断系统
CN114884843B (zh) * 2022-06-10 2023-05-09 三峡大学 一种基于网络视听新媒体的流量监测系统
CN115955419B (zh) * 2023-03-08 2023-06-09 湖南磐云数据有限公司 数据中心带宽流量主动告警及异常流量监控系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6459913B2 (en) * 1999-05-03 2002-10-01 At&T Corp. Unified alerting device and method for alerting a subscriber in a communication network based upon the result of logical functions
JP2002164890A (ja) * 2000-11-27 2002-06-07 Kddi Corp ネットワークの診断装置
CN100347991C (zh) * 2003-03-14 2007-11-07 吉林中软吉大信息技术有限公司 数据网集中监控监测系统
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
WO2005047862A2 (en) * 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
US7698730B2 (en) * 2004-03-16 2010-04-13 Riverbed Technology, Inc. Service detection
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
JP2006019808A (ja) * 2004-06-30 2006-01-19 Toshiba Corp 中継装置および中継装置の優先制御方法
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US7760859B2 (en) * 2005-03-07 2010-07-20 Net Optics, Inc. Intelligent communications network tap port aggregator
JP2007013590A (ja) * 2005-06-30 2007-01-18 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視装置及びプログラム
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7584507B1 (en) * 2005-07-29 2009-09-01 Narus, Inc. Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet
US8464329B2 (en) * 2006-02-21 2013-06-11 Watchguard Technologies, Inc. System and method for providing security for SIP-based communications
US20140373144A9 (en) * 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US20090094691A1 (en) * 2007-10-03 2009-04-09 At&T Services Inc. Intranet client protection service

Also Published As

Publication number Publication date
CN101540695B (zh) 2012-04-25
US20090238088A1 (en) 2009-09-24
JP2009231876A (ja) 2009-10-08
CN101540695A (zh) 2009-09-23

Similar Documents

Publication Publication Date Title
JP4983671B2 (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
JP2009171431A (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US8848528B1 (en) Network data flow collection and processing
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US8726382B2 (en) Methods and systems for automated detection and tracking of network attacks
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
JP4556981B2 (ja) ネットワーク監視装置及びネットワーク監視方法
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
US20180152474A1 (en) Dos detection configuration
CN106899443B (zh) 一种Netflow流量数据的采集方法和设备
CN110266726B (zh) 一种识别ddos攻击数据流的方法及装置
US20160173354A1 (en) System and Method to Analyze Congestion in Low Latency Network
CN111600863A (zh) 网络入侵检测方法、装置、系统和存储介质
CN113067810B (zh) 网络抓包方法、装置、设备和介质
JP2009077136A (ja) トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
CN114374838A (zh) 一种网络摄像头监测方法、装置、设备及介质
KR100429542B1 (ko) 인터넷에서의 실시간 멀티미디어 패킷 분석 방법
CN116319468B (zh) 网络遥测方法、装置、交换机、网络、电子设备和介质
CN103457773A (zh) 一种终端客户体验管理的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20101116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120327

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120409

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4983671

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150511

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees