JP5180247B2 - パケットサンプリング装置と方法およびプログラム - Google Patents
パケットサンプリング装置と方法およびプログラム Download PDFInfo
- Publication number
- JP5180247B2 JP5180247B2 JP2010038794A JP2010038794A JP5180247B2 JP 5180247 B2 JP5180247 B2 JP 5180247B2 JP 2010038794 A JP2010038794 A JP 2010038794A JP 2010038794 A JP2010038794 A JP 2010038794A JP 5180247 B2 JP5180247 B2 JP 5180247B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- sampling
- flow
- sample interval
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
Claims (17)
- プログラムされたコンピュータ処理により、IPネットワークにおけるリンクを経由するパケットをサンプリングするパケットサンプリング装置であって、
到着したパケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)に対するハッシュ値を求めるハッシュ値計算手段と、
該ハッシュ値計算手段が求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングするサンプリング手段と、
予め定められた一定周期で、上記サンプル区間を変更するサンプル区間決定手段と
を有することを特徴とするパケットサンプリング装置。 - 請求項1に記載のパケットサンプリング装置であって、
上記ハッシュ値計算手段は、
上記フローキーをハッシュ関数に入力して、配列サイズの範囲内でハッシュ値を取得し、取得したハッシュ関数の値を配列サイズで割った値を計算し、
上記サンプリング手段は、
予め定めた一定周期の間、上記ハッシュ値計算手段が計算した値が、上記サンプル区間の中であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、
上記一定周期の経過後に、サンプル区間[t,t+W]におけるtの値を「t←t+δ」(δは予め定めるパラメタであり、0<δ<=W)と更新し、該更新に伴い、「t+W」が1を越える場合には、サンプル区間を「[t,1]∨[0,(t+W)-1]」とし、次の更新時に、tの値を「t←t+W-1+δ」と更新して、サンプル区間を[t,t+W]に更新する
ことを特徴とするパケットサンプリング装置。 - 請求項1もしくは請求項2のいずれかに記載のパケットサンプリング装置であって、
上記サンプリング手段による上記一定周期毎のパケットサンプリングと並行して、
該サンプリング手段により上記一定周期の間にサンプルされたフローの内で、予め定めた条件を満たすフローを特定する特定フロー管理手段を具備し、
上記サンプル区間決定手段は、
上記特定フロー管理手段が特定したフローのフローキーに対するハッシュ値を含むように、上記サンプル区間を次周期で設定する
ことを特徴とするパケットフローサンプリング装置。 - 請求項3に記載のパケットサンプリング装置であって、
上記特定フロー管理手段が特定したフローが複数存在する場合、
上記サンプル区間決定手段は、上記サンプル区間を上記複数の特定フローのフローキーのハッシュ値を含むように、サンプル区間を複数に分けて設定する
ことを特徴とするパケットサンプリング装置。 - 請求項3もしくは請求項4のいずれかに記載のパケットサンプリング装置であって、
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケット数が予め定めた閾値を越えたフローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング装置。 - 請求項3から請求項5のいずれかに記載のパケットサンプリング装置であって、
パケットが到着する度に、カウントアップするパケットカウント手段を具備し、
上記サンプリング手段は、
上記パケットカウント手段のカウントアップ値が予め定められた値になる度に、当該パケットのフローキーを上記特定フロー管理手段に通知し、
該特定フロー管理手段は、
上記サンプリング手段から通知されたフローキーのパケット数が、予め定めた閾値を越えると、当該フローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング装置。 - 請求項3から請求項6のいずれかに記載のパケットサンプリング装置であって、
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケットの品質を測定する手段を具備し、
該測定した品質が予め定められたた目標値よりも劣化しているフローを上記特定フローとして特定することを特徴とするパケットサンプリング装置。 - 請求項1から請求項7のいずれかに記載のパケットサンプリング装置であって、
上記フローキーは、当該パケットの送信元IPアドレスと、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の5つの組からなる
ことを特徴とするパケットサンプリング装置。 - コンピュータを、請求項1から請求項8のいずれかに記載のパケットサンプリング装置における各手段として機能させるためのプログラム。
- コンピュータ装置により、IPネットワークにおけるリンクを経由するパケットをサンプリングするパケットサンプリング方法であって、
コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、ハッシュ値計算手段とサンプリング手段およびサンプル区間決定手段を具備し、
上記ハッシュ値計算手段は、到着したパケット毎に、少なくとも当該パケットの送信元IPと送信先IPアドレスを含む当該フローを特定する情報(フローキー)に対するハッシュ値を求め、
上記サンプリング手段は、上記ハッシュ値計算手段が求めたハッシュ値が予め定められた範囲(サンプル区間)であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、予め定められた一定周期で、上記サンプル区間を変更する
ことを特徴とするパケットサンプリング方法。 - 請求項10に記載のパケットサンプリング方法であって、
上記ハッシュ値計算手段は、
上記フローキーをハッシュ関数に入力して、配列サイズの範囲内でハッシュ値を取得し、取得したハッシュ関数の値を配列サイズで割った値を計算し、
上記サンプリング手段は、
予め定めた一定周期の間、上記ハッシュ値計算手段が計算した値が、上記サンプル区間の中であれば当該パケットをサンプリングし、
上記サンプル区間決定手段は、
上記一定周期の経過後に、サンプル区間[t,t+W]におけるtの値を「t←t+δ」(δは予め定めるパラメタであり、0<δ<=W)と更新し、該更新に伴い、「t+W」が1を越える場合には、サンプル区間を「[t,1]∨[0,t+W-1]」とし、次の更新時に、tの値を「t←t+W-1+δ」と更新して、サンプル区間を[t,t+W]に更新する
ことを特徴とするパケットサンプリング方法。 - 請求項10もしくは請求項11のいずれかに記載のパケットサンプリング方法であって、
上記コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、特定フロー管理手段を具備し、
該特定フロー管理手段は、
上記サンプリング手段による上記一定周期毎のパケットサンプリングと並行して、
該サンプリング手段により上記一定周期の間にサンプルされたフローの内で、予め定めた条件を満たすフローを特定し、
上記サンプル区間決定手段は、
上記特定フロー管理手段が特定したフローのフローキーに対するハッシュ値を含むように、上記サンプル区間を次周期で設定する
ことを特徴とするパケットフローサンプリング方法。 - 請求項12に記載のパケットサンプリング方法であって、
上記特定フロー管理手段が特定したフローが複数存在する場合、
上記サンプル区間決定手段は、上記サンプル区間を上記複数の特定フローのフローキーのハッシュ値を含むように、サンプル区間を複数に分けて設定する
ことを特徴とするパケットサンプリング方法。 - 請求項12もしくは請求項13のいずれかに記載のパケットサンプリング方法であって、
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケット数が予め定めた閾値を越えたフローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング方法。 - 請求項12から請求項14のいずれかに記載のパケットサンプリング方法であって、
上記コンピュータ装置は、プログラムされたコンピュータ処理を実行する手段として、パケットカウント手段を具備し、
該パケットカウント手段は、
パケットが到着する度に、カウントアップし、
上記サンプリング手段は、
上記パケットカウント手段のカウントアップ値が予め定められた値になる度に、当該パケットのフローキーを上記特定フロー管理手段に通知し、
該特定フロー管理手段は、
上記サンプリング手段から通知されたフローキーのパケット数が、予め定めた閾値を越えると、当該フローを上記特定フローとして特定する
ことを特徴とするパケットサンプリング方法。 - 請求項12から請求項15のいずれかに記載のパケットサンプリング方法であって、
上記特定フロー管理手段は、
上記サンプリング手段がサンプリングしたパケットの品質を測定し、
該測定した品質が予め定められたた目標値よりも劣化しているフローを上記特定フローとして特定することを特徴とするパケットサンプリング方法。 - 請求項10から請求項16のいずれかに記載のパケットサンプリング方法であって、
上記フローキーは、当該パケットの送信元IPアドレスと、送信先IPアドレス、送信元ポート番号、送信先ポート番号、プロトコル番号の5つの組からなる
ことを特徴とするパケットサンプリング方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038794A JP5180247B2 (ja) | 2010-02-24 | 2010-02-24 | パケットサンプリング装置と方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038794A JP5180247B2 (ja) | 2010-02-24 | 2010-02-24 | パケットサンプリング装置と方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011176586A JP2011176586A (ja) | 2011-09-08 |
JP5180247B2 true JP5180247B2 (ja) | 2013-04-10 |
Family
ID=44689038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010038794A Expired - Fee Related JP5180247B2 (ja) | 2010-02-24 | 2010-02-24 | パケットサンプリング装置と方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5180247B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6075121B2 (ja) | 2013-03-04 | 2017-02-08 | 富士通株式会社 | ネットワーク監視システム |
JP6275519B2 (ja) * | 2014-03-20 | 2018-02-07 | 株式会社Kddi総合研究所 | 無線中継装置、無人航空機システム、プログラムおよび無線中継方法 |
CN108521413A (zh) * | 2018-04-02 | 2018-09-11 | 江苏中控安芯信息安全技术有限公司 | 一种未来信息战争的网络抵抗和防御方法及系统 |
US10887432B2 (en) * | 2019-05-20 | 2021-01-05 | Google Llc | Trip time estimation for transport control protocol |
-
2010
- 2010-02-24 JP JP2010038794A patent/JP5180247B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011176586A (ja) | 2011-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | An entropy-based distributed DDoS detection mechanism in software-defined networking | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
Nychis et al. | An empirical evaluation of entropy-based traffic anomaly detection | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
Law et al. | You can run, but you can't hide: an effective statistical methodology to trace back DDoS attackers | |
CN106471778B (zh) | 攻击检测装置和攻击检测方法 | |
US8165019B2 (en) | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes | |
JP2013207748A (ja) | ネットワークシステム、及びノード装置 | |
JP2007179131A (ja) | イベント検出システム、管理端末及びプログラムと、イベント検出方法 | |
JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
JP5180247B2 (ja) | パケットサンプリング装置と方法およびプログラム | |
WO2018120915A1 (zh) | 一种DDoS攻击检测方法及设备 | |
JP4324189B2 (ja) | 異常トラヒック検出方法およびその装置およびプログラム | |
JP5199224B2 (ja) | フロー通信品質推定方法と装置およびプログラム | |
JP4814270B2 (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
JP4282556B2 (ja) | フローレベル通信品質管理装置と方法およびプログラム | |
Yamasaki et al. | Statistical estimation of TCP packet loss rate from sampled ACK packets | |
JP6407133B2 (ja) | 通信品質劣化検出システム、通信品質劣化検出方法、及びプログラム | |
Gamer et al. | A granularity-adaptive system for in-network attack detection | |
JP2013251648A (ja) | フロー通信品質劣化検出装置及び方法 | |
JP5155284B2 (ja) | P2pトラヒック量推定方法と装置およびプログラム | |
He et al. | Available bandwidth estimation and its application in detection of DDoS attacks | |
Cheng | Estimating the number of active flows from sampled packets | |
Kawahara et al. | A method of detecting performance degradation at TCP flow level from sampled packet streams | |
Kawahara et al. | Mean–variance relationship of the number of flows in traffic aggregation and its application to traffic management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110608 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110608 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110616 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110704 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110719 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120220 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20120608 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120629 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130110 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5180247 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |