JP5610482B2 - Packet capture system and packet capture method - Google Patents
Packet capture system and packet capture method Download PDFInfo
- Publication number
- JP5610482B2 JP5610482B2 JP2011130238A JP2011130238A JP5610482B2 JP 5610482 B2 JP5610482 B2 JP 5610482B2 JP 2011130238 A JP2011130238 A JP 2011130238A JP 2011130238 A JP2011130238 A JP 2011130238A JP 5610482 B2 JP5610482 B2 JP 5610482B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- elements
- packets
- empty
- capture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信ネットワーク上を流れるパケットをキャプチャーするパケットキャプチャーシステムおよびパケットキャプチャー方法に関する。 The present invention relates to a packet capture system and a packet capture method for capturing a packet flowing on a communication network.
スマートフォンユーザの急激な増大に比例して、通信ネットワーク上を流れるトラヒックも急激に増大した。オペレータは、スマートフォンユーザがどのようなアプリケーションを使い、どのようなサービスを受けているか、そのサービスを利用するに当たり満足しているか等のモバイルサービスの品質について興味がある。 In proportion to the rapid increase in the number of smartphone users, the traffic flowing over the communication network has also increased rapidly. Operators are interested in the quality of mobile services, such as what applications smartphone users use and what services they receive, and how satisfied they are when using those services.
従来のモバイルネットワークにおいて、iモード(登録商標)およびEzWeb(登録商標)に代表されるようにオペレータがサーバを立ち上げてサービスを提供していた。そのため、オペレータがユーザ動向を把握することが可能であった。 In a conventional mobile network, an operator has set up a server and provided services as represented by i-mode (registered trademark) and EzWeb (registered trademark). Therefore, the operator can grasp the user trend.
しかし、スマートフォンの急増は、モバイルユーザに対して、上記iモードやEzWebのようなオペレータ内に閉じたサービスではなく、一般的なInternet網のサーバを用いたサービスを提供し始めた。そこで、オペレータは、パケットキャプチャー装置等を用いて、サービスの品質を判断しなければならなくなった。 However, the rapid increase in smartphones has begun to provide mobile users with services using a general Internet network server, rather than services such as i-mode and EzWeb closed within the operator. Therefore, the operator has to judge the quality of service using a packet capture device or the like.
従来、パケットキャプチャー装置は、通信ネットワーク上を流れるトラヒックを全てキャプチャーし、ハードディスク等のデータベース(DB)に書き込み、書き込まれたデータを解析者が解析し、サービスにどのような影響を与えているかを判断していた。また、全てのパケットをキャプチャーすることなく、事前に取り決めたフィルタールールに基づき通信ネットワーク上を流れるパケットをフィルターしてからDBに書き込むsFlowやNetFlowのような装置もある。これらの方法は従来の1Gbit/sの回線容量であれば問題なく使用することができたが、上述のようにトラヒックの急増に伴いバックボーンの回線容量も10Gbit/sの高速の回線が必要になり、結果、全てのパケットをキャプチャーすることが困難になってきた。 Conventionally, a packet capture device captures all traffic flowing on a communication network, writes it to a database (DB) such as a hard disk, and the analyst analyzes the written data to determine how it affects the service. I was judging. There are also devices such as sFlow and NetFlow that write packets to a DB after filtering packets flowing on a communication network based on pre-determined filter rules without capturing all packets. These methods could be used without any problem with the conventional 1 Gbit / s line capacity. However, as described above, a high-speed line with a backbone line capacity of 10 Gbit / s is required due to the rapid increase in traffic. As a result, it has become difficult to capture all packets.
また、最近のスマートフォンでは、1台の端末で複数のセッションを用いるアプリケーションが多数存在する。そのため、1台の端末で複数のIPアドレスを使用することが頻繁に生じる。さらに、アプリケーションによっては、IPアドレスだけではなくアプリケーションの版数の違いにより使用するポート番号を変更することもある。よって、端末のIPアドレスやポート番号によってパケットをフィルターし、キャプチャーしてもオペレータが必要とするパケットをキャプチャーすることが非常に困難になってきている。 In recent smartphones, there are many applications that use a plurality of sessions in one terminal. Therefore, it frequently occurs that a single terminal uses a plurality of IP addresses. Furthermore, depending on the application, the port number to be used may be changed depending on the version number of the application as well as the IP address. Therefore, even if packets are filtered and captured by the IP address or port number of the terminal, it has become very difficult to capture the packets required by the operator.
オペレータが要求するパケットをキャプチャーすることが困難になっているにも関わらず、オペレータはユーザの利用状況を把握したいと考えている。
特許文献1、特許文献2は、オペレータのニーズに対して、ある特定のパケットパターンを事前に決めてそのパターンにマッチしたデータを解析するシステムを開示する。
Although it is difficult to capture the packet requested by the operator, the operator wants to grasp the usage status of the user.
従来装置でパケットを取得もしくは廃棄する場合、パケットのパターンを事前に知り得て、それをパターン化する必要があった。そのため、パケットの中身がパターン化された内容と全く同じである場合以外、当該パケットを取得または廃棄することができなかった。このようにパケットの中身をマッチイングできなかった場合、その都度新しいパターンをキャプチャー装置にインプットしなければならなく非常に煩雑であった。つまり、パケットをフィルターする際、どのようなフィルターを適用するかどうかを解析者があらかじめトラフィックを分析する必要があった。 When acquiring or discarding a packet with a conventional apparatus, it is necessary to know a packet pattern in advance and pattern it. For this reason, the packet cannot be obtained or discarded unless the packet contents are exactly the same as the patterned contents. If the packet contents could not be matched in this way, a new pattern had to be input to the capture device each time, which was very complicated. That is, when filtering packets, an analyst needs to analyze traffic in advance to determine what kind of filter is applied.
従来のモバイルネットワークにおいては、サーバ自体をオペレータが管理していたため、サーバや移動体端末のIPアドレスやポート番号等のサービスを識別するパラメータを容易に知ることができ、そのIPアドレスを元にフィルターパターンを生成することは可能であった。しかしながら、一般的なインターネット網にあるサーバに対してオペレータは上記パラメータを知ることが困難である。そのような状況において、解析者がパケットをキャプチャーするためにフィルターを生成することは非常に困難である。 In the conventional mobile network, the server itself is managed by the operator, so it is possible to easily know parameters for identifying services such as the IP address and port number of the server and mobile terminal, and filter based on the IP address. It was possible to generate a pattern. However, it is difficult for an operator to know the above parameters for a server in a general Internet network. In such a situation, it is very difficult for an analyst to generate a filter to capture a packet.
本明細書において開示される発明の概要は次のような態様である。ネットワーク上を流れるパケットを一定時間キャプチャーし、それらのパケットを蓄積するためのパケット解析DBとパケット解析DBに格納されたパケット内部の分析を行ない、その中からもっとも頻繁に現れたパケットの傾向を抽出するプレパケットキャプチャー機能と、その抽出されたパケットの傾向を元に当該条件に該当するパケットのみをキャプチャーすることができるパケットキャプチャー装置とを有するパケットキャプチャーシステムおよび、これらの装置ならびに機能によって実行されるパケットキャプチャーの方法である。 The summary of the invention disclosed in this specification is as follows. Captures packets flowing on the network for a certain period of time, analyzes the packet analysis DB for storing those packets and the inside of the packets stored in the packet analysis DB, and extracts the trends of the most frequently appearing packets and the pre-packet capture function of the packet capture system based on the trend of the extracted packet with a packet capture device only packets corresponding to the condition can be captured and performed by these devices and functions Packet capture method.
モバイルネットワーク機器に対して大量の基地局が接続されるようなモバイル用サービスネットワークにおいて本発明のパケットキャプチャーシステムを用いることで、モバイルネットワーク管理者が想定していないパケット種別およびデータ量の増加したパケットの情報が収集可能となる。 By using the packet capture system of the present invention in a mobile service network in which a large number of base stations are connected to a mobile network device, the packet type and data amount that the mobile network administrator has not assumed are increased. Can be collected.
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、キャプチャーシステムを実現するための移動体ネットワークシステムを説明する。図1において、移動体ネットワークシステム500は、通信端末100と、基地局150と、パケットキャプチャーシステム200と、通信機器250と、インターネット300とから構成されている。パケットキャプチャーシステム200−1は、基地局150−1と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−2は、基地局150−2と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−3は、通信機器250−1と通信機器250−2との間に配置されている。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings using examples. The same reference numerals are assigned to substantially the same parts, and the description will not be repeated.
First, a mobile network system for realizing a capture system will be described with reference to FIG. In FIG. 1, the
通信機器250は、呼処理やヘッダ変換等を行なう。通信機器250は、L2SWやL3SWならびにルータ等の機器も含まれる。これらの機器によって無線端末100から発信された通信が可能となる。
The communication device 250 performs call processing, header conversion, and the like. The communication device 250 includes devices such as L2SW, L3SW, and a router. Communication transmitted from the
図2を参照して、パケットキャプチャーシステム200の構成を説明する。図2において、パケットキャプチャーシステム200は、パケット解析装置210と、パケットキャプチャー装置220と、表示装置230とから構成されている。パケット解析装置210は、プレパケットキャプチャー部211と、パケット解析データベース(DB)212とから構成されている。
The configuration of the
基地局150、通信機器250から転送されたパケットは、パケット解析装置210によって任意の時間、任意の数のパケットをサンプリングするためにキャプチャーする。パケット解析DB212は、取得したパケットを収集、格納する。プレパケットキャプチャー部211は、サンプリングしたパケットを解析する。
図2の構成は、装置ごと機器を分けることも可能であるし、サーバのような1台の装置によっても実現できる。
Packets transferred from the base station 150 and the communication device 250 are captured by the
The configuration of FIG. 2 can be realized by dividing the apparatus for each apparatus, or can be realized by a single apparatus such as a server.
図3を参照して、パケット解析装置210の処理を説明する。図3において、パケット解析装置210は、パケットを取り込む(S301)。この段階で取り込むパケットは、ネットワーク上を流れる全てのパケットではなく、ある一定時間、具体的には、30秒間、1分間といった特定の固定時間ネットワーク上を流れるパケットを取り込む。また、取り込み周期も、24時間毎、1週間毎のように設定する。パケット解析装置210は、最も頻度の高いパケットパターンを抽出する(S302)。パケット解析装置210は、抽出したパケットパターンをパケット解析データベースに格納する(S303)。
With reference to FIG. 3, the processing of the
図4を参照して、パケットキャプチャー装置の処理を説明する。図4において、パケットキャプチャー装置220は、パケット解析DBからパケットフィルターパターンを読み込む(S304)。パケットキャプチャー装置220は、パケットを取り込む(S305)。パケットキャプチャー装置220は、パケットフィルターパターンに従ってフィルターに適合したパケットをキャプチャーする(S306)。パケットキャプチャー装置220は、キャプチャーしたパケットを表示装置に表示して(S307)、ステップ305に遷移する。
With reference to FIG. 4, the process of the packet capture device will be described. In FIG. 4, the
図5を参照して、パケット解析装置210によってキャプチャーされたパケットからキャプチャー装置220でキャプチャーするためのパケットを抽出する処理を説明する。図5において、パケット解析装置210が取得したパケットの中には、端末識別子、送信元アドレス、宛先アドレス、ポート番号、パケット長、パケット到着間隔時間などの情報が含まれている。それらの情報を元に、パケット解析装置210は、どのようなパケットのパターンが最も頻繁に出現したかを抽出する。
With reference to FIG. 5, a process for extracting a packet to be captured by the
まず始めにパケット解析装置210は、頻度の閾値Sを決める(S401)。閾値Sは、取得したパケットの要素でS回以上現れている要素を抽出するための閾値である。つまりSの値が大きければ、パケットキャプチャー装置220でキャプチャーするパケットは少なくすることができる。一方、Sの値が小さければパケットキャプチャー装置220でキャプチャーするパケットは多くなる。Sはパケットキャプチャー装置220でキャプチャーするパケットをどの程度に絞り込むかを決める値である。
First, the
パケット解析装置210は、K=1、Y(0)を全集合(Ω)とする(S402)。パケット解析装置210は、Y(K−1)において、S回以上出現した要素の集合をX(K)とする(S403)。パケット解析装置210は、X(K)が空集合(Φ)か判定する(S404)。YESのとき、パケット解析装置210は、X(K−1)を最頻度集合として(S407)、終了する。
The
ステップ404でNOのとき、パケット解析装置210は、Y(K)={X(K)の要素からのみ構成され、要素数K+1の集合}を作る(S405)。パケット解析装置210は、Kをインクリメントして(S406)、ステップ403に戻る。
When NO in step 404, the
図6ないし図9を参照して、図5の具体的な処理を説明する。図6において、プレキャプチャー部211に含まれている情報として、今、{無線端末識別ID、送信元アドレス、宛先アドレス、ポート番号、パケット長}500を考える。パケット解析装置210は、これらの情報を含むパケット501〜510をキャプチャーしたとする。この中から図5に示す方法により、もっとも頻度が多い組み合わせを特定する。閾値Sはここでは4とする。つまり、各カテゴリで4回以上現れたら頻度が高いと判断する。
The specific processing of FIG. 5 will be described with reference to FIGS. In FIG. 6, consider {wireless terminal identification ID, source address, destination address, port number, packet length} 500 as information included in the
図6において4回以上現れた集合X1は、
X1={101,A,B,C,10,200}
である。ここで選択される要素は元々属しているカテゴリ(無線端末識別ID、送信元アドレス、宛先アドレス等)は関係なく、図6に含まれる要素全ての中から頻繁に現れる要素を抽出する。
In FIG. 6, the set X1 that appears four times or more is
X1 = {101, A, B, C, 10, 200}
It is. The elements selected here are extracted from all the elements included in FIG. 6 regardless of the category to which they originally belong (wireless terminal identification ID, transmission source address, destination address, etc.).
このX1要素からのみ構成され、要素数が2である集合Y1を考える。 Consider a set Y1 composed of only X1 elements and having 2 elements.
Y1
={{101,A},{101,B},{101,C},{101,10},{101,200},{A,B},{A,C},{A,10},{A,200},{B,C},{B,10},{B,200},{C,10},{C,200},{10,200}}
である。
Y1
= {{101, A}, {101, B}, {101, C}, {101, 10}, {101, 200}, {A, B}, {A, C}, {A, 10}, {A, 200}, {B, C}, {B, 10}, {B, 200}, {C, 10}, {C, 200}, {10, 200}}
It is.
図7において、Y1の要素で閾値である4回以上現れている集合をX2とすると、X2の候補欄に○をつけた601、603、604、605、606、607、608、609の8個が該当する。 In FIG. 7, if a set of X1 elements that appears four times or more as a threshold value is X2, eight of 601, 603, 604, 605, 606, 607, 608, and 609 are marked with a circle in the X2 candidate field. Is applicable.
そして、X2は
X2
={{101,A},{101,B},{101,10},{101,200},{A,B},{A,10},{A,200},{B,10},{B,200},{10,200}}
となる。
And X2 is X2
= {{101, A}, {101, B}, {101, 10}, {101, 200}, {A, B}, {A, 10}, {A, 200}, {B, 10}, {B, 200}, {10, 200}}
It becomes.
X2の要素からのみ構成され、要素数が3の集合Y2を考える。 Consider a set Y2 composed of only elements X2 and having 3 elements.
Y2
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
である。
Y2
= {{101, A, B}, {101, A, 10}, {101, A, 200}, {101, B, 10}, {101, B, 200}, {A, B, 10}, {A, B, 200}, {A, 10, 200}, {B, 10, 200}}
It is.
図8において、Y2の要素で閾値である4回以上現れている集合をX3とすると、X3の候補欄に○をつけた701、703、706、709の4個が該当する。 In FIG. 8, if a set of elements Y2 that appears four times or more, which is the threshold value, is X3, four of 701, 703, 706, and 709 with a circle in the candidate column for X3 correspond.
そして、X3は
X3
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
となる。この場合、X3=Y2となっているが、必ずしもX3=Y2になるとは限らない。
And X3 is X3
= {{101, A, B}, {101, A, 10}, {101, A, 200}, {101, B, 10}, {101, B, 200}, {A, B, 10}, {A, B, 200}, {A, 10, 200}, {B, 10, 200}}
It becomes. In this case, X3 = Y2, but X3 = Y2 is not always satisfied.
さらに、X3の要素のみから構成され、要素数が4の集合Y3を考える。 Further, consider a set Y3 composed of only elements X3 and having 4 elements.
Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
である。
Y3
= {{101, A, B, 10}, {101, A, B, 200}, {101, A, 10, 200}, {101, B, 10, 200}}
It is.
図9において、Y3の要素で閾値である4回以上現れている集合をX4とすると801、803、806、809の4個である。 In FIG. 9, if X4 is a set that appears four times or more as the threshold value in the element of Y3, there are four sets of 801, 803, 806, and 809.
そしてX4は
X4
=Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
となる。
And X4 is X4
= Y3
= {{101, A, B, 10}, {101, A, B, 200}, {101, A, 10, 200}, {101, B, 10, 200}}
It becomes.
最後に、X4の要素のみから構成され、要素数が5の集合Y4を考える。
Y4={{101,A,B,10,200}}
Y4の要素で閾値の4回以上現れている集合をX5とすると
X5
=Y4
={{101,A,B,10,200}}
となる。
Finally, consider a set Y4 composed of only elements X4 and having 5 elements.
Y4 = {{101, A, B, 10, 200}}
Let X5 be the set of Y4 elements that appear at least four times the threshold. X5
= Y4
= {{101, A, B, 10, 200}}
It becomes.
そして、X5の要素のみから構成され、要素数が6の集合Y5を考えるが、要素数が6となる集合は存在しない。よって、X5の要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせであることが分かる。 A set Y5 composed of only elements X5 and having 6 elements is considered, but there is no set having 6 elements. Therefore, it can be seen that the element of X5 is a combination of header information that appears most frequently in the captured packet.
ここでもし、X5を満たす集合が存在しなければ、X4に含まれる要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせとなる。この場合、もっとも頻繁に出現したヘッダ情報の組み合わせが複数存在することになるが、その場合、その中で一番頻繁に現れた候補が最頻度の組み合わせとなる。 Here, if there is no set satisfying X5, the element included in X4 is a combination of header information that appears most frequently in the captured packet. In this case, although the combination of the most frequently occurring header information is presence of a plurality, in which case, the most frequently appeared candidates among them is the combination of the most frequently used.
上述の実施例では最初のカテゴリを無線端末ID、送信元アドレス、宛先アドレス、ポート番号、パケット長の5つにしたが、カテゴリの数には依存しない。 In the above-described embodiment, the first category is five, that is, the wireless terminal ID, the transmission source address, the destination address, the port number, and the packet length, but it does not depend on the number of categories.
図3のフローに従ってキャプチャーされたパケットは、事前にオペレータが要求したカテゴリにおいて、ある一定時間キャプチャーしたパケットを元に、ネットワーク上で最も頻繁に流れたパケットの集合である。これらのパケットは、オペレータの主観によってフィルターしたパケットではなく、ネットワーク上の特性を元に抽出したパケットである。また、パケットをフィルターすることによって、トラヒック量を激減させることが可能であり、キャプチャーパケットが欠落する確率を下げることが可能となる。 The packets captured in accordance with the flow of FIG. 3 are a set of packets that have flowed most frequently on the network based on packets captured for a certain period of time in a category requested in advance by the operator. These packets are not packets that are filtered according to the subjectivity of the operator, but are packets that are extracted based on characteristics on the network. Further, by filtering the packets, it is possible to drastically reduce the traffic volume, and it is possible to reduce the probability that the capture packet is lost.
当該結果は、最も頻繁に使われた端末種別(例えばA社のXXXという端末)であったり、最も頻繁にユーザ利用しているサービスやアプリケーション(例えばVoIPやSNSへの書き込み)であったり、最も頻繁にネットワークを利用しているユーザであったりする。 The result is the most frequently used terminal type (for example, the terminal XXX of company A), the service or application that the user uses most frequently (for example, writing to VoIP or SNS), the most It is a user who uses the network frequently.
キャプチャーされたパケットを表示した結果、第一の例のようにある特定の端末種別が頻繁に現れていれば、その端末種別の販売実績と照らし合わせることによって、その端末を利用しているユーザにデータに何らかの影響があることを予測できる。具体的には、販売台数が極端に多くない端末がキャプチャーしたパケットによって頻出しているのであれば、端末のバグ等によって再送を繰り返す処理が行なわれていることが考えられる。 As a result of displaying the captured packet, if a certain terminal type appears frequently as in the first example, it can be compared with the sales performance of that terminal type to the user using that terminal. You can predict that there will be some impact on the data. Specifically, if a terminal whose sales volume is not extremely large appears frequently due to captured packets, it is considered that a process of repeating retransmission is performed due to a bug in the terminal or the like.
また、キャプチャーされたパケットを表示した結果、第二の例のようにアプリケーションの種別が明示されると、そのアプリケーションのサービス品質を向上させることも逆に規制をかけることも可能となる。具体的には、キャプチャーしたパケットの結果、VoIPのパケットが多く流れていた場合、オペレータはそれらのパケットの遅延や揺らぎの統計データを取得し、実際のサービスの品質向上に役立てることが可能となる。また、災害時には逆にこれらのパケットを規制し、ネットワーク全体を安定運用させることも可能とある。 Further, when the type of application is specified as shown in the second example as a result of displaying the captured packet, it is possible to improve the service quality of the application or to restrict it. Specifically, if a large number of VoIP packets flow as a result of the captured packets, the operator can obtain statistical data of delay and fluctuation of those packets, which can be used to improve the quality of the actual service. . Also, in the event of a disaster, it is possible to restrict these packets and operate the entire network stably.
ユーザまたはユーザ所属しているグループによるパケットが多い場合は、ごく少数の個人がネットワークを占有している可能性もあり、当該ユーザを拒絶することも、料金を上げることも可能である。逆に特定のグループのユーザを囲い込み、優先的に高品質のサービスを提供するプランを作ることも可能となる。 If the packet by a group that the user or the user belongs is large, there is a possibility that a small number of individuals occupies the network, it is also possible to increase the rates for rejecting the user. Conversely, it is possible to create a plan that encloses users in a specific group and preferentially provides high-quality services.
本実施例のパケットキャプチャーシステムでは、パケットのパターンを予め設定する必要はなく、キャプチャーしたいデータのパターンを柔軟に変更修正すること可能である。また、事前に任意にキャプチャーしたパケットのヘッダ部にある情報を元に統計的に解析しているため、客観的な解析結果が得られる為、従来のキャプチャー装置ではアプリケ−ションを特定するためにはアプリケーション側にアプリケーションを特定する識別子をつけなければならなかったが、本実施例においては、特定のアプリケーションや特定のユーザ等を固定せずに、必要なパケットをキャプチャーすることができる。 In the packet capture system of the present embodiment, it is not necessary to set a packet pattern in advance, and it is possible to flexibly change and correct the pattern of data to be captured. In addition, since statistical analysis is performed based on the information in the header part of the packet arbitrarily captured in advance, an objective analysis result can be obtained. In order to identify the application in the conventional capture device, However, in this embodiment, a necessary packet can be captured without fixing a specific application or a specific user.
モバイルネットワークにおいては、非常に多くの端末が複数のセッションを張りながら、かつ移動しながら通信を行なっている。そのため、端末の移動に伴い利用エリアの品質が変動する。家庭における光ネットワーク等の固定ネットワーク通信においても多数の端末は存在するが、端末が移動しないため、当該エリアの品質が極端に変動することもなく、ネットワークの品質を管理することは比較的容易である。しかしながら、モバイルネットワークは固定ネットワーク通信と異なり、エリアの品質を把握し、管理することは非常に困難である。そこで、本実施例によってキャプチャーされたパケットを元に、時々刻々変化するモバイルネットワークの品質を管理する指標、具体的には、使用している端末や使用しているアプリケーションの遅延、レスポンスタイム、揺らぎ等の統計情報、特定ユーザの位置や平均スループットなどを把握することができる。 In a mobile network, a very large number of terminals communicate while moving through a plurality of sessions. Therefore, the quality of the usage area varies as the terminal moves. Many terminals exist in fixed network communications such as an optical network at home, but since the terminals do not move, it is relatively easy to manage the quality of the network without the quality of the area changing extremely. is there. However, unlike fixed network communication, it is very difficult to grasp and manage the quality of an area in a mobile network. Therefore, an index for managing the quality of the mobile network that changes from moment to moment based on the packets captured by this embodiment, specifically, the delay, response time, fluctuation of the terminal used and the application used. It is possible to grasp statistical information such as the position of a specific user, average throughput, and the like.
様々な収集したキャプチャー情報を元に通信端末毎のアプリケーション使用状況や使用時間帯・利用場所を把握することが可能となり、時間や場所によるアプリケーションサービス向上や利用形態による通信端末契約内容の調整に利用することが可能となる。 It is possible to understand the application usage status, usage time zone, and usage location for each communication terminal based on various collected capture information, and it can be used to improve application services depending on time and location, and to adjust the contents of communication terminal contracts according to usage mode It becomes possible to do.
また、ネットワーク機器の輻輳状態となった場合でも、輻輳原因となるパケット種別を収集したキャプチャー情報から瞬時に特定することが可能となり早急なネットワークの復旧作業にも利用可能である。 Further, even when the network device is in a congestion state, it is possible to instantly identify the packet type that causes the congestion from the collected capture information, and it can be used for quick network restoration work.
100…通信端末、150…基地局、200…パケットキャプチャーシステム、210…パケット解析装置、211…プレパケットキャプチャー部、212…パケット解析DB、220…パケットキャプチャー装置、230…表示装置、250…通信機器、300…インターネット網、500…移動体ネットワークシステム。
DESCRIPTION OF
Claims (2)
前記パケット解析装置は、
(a)ネットワーク上を流れるパケットを一定時間キャプチャーし、当該パケットを蓄積し、
(b)前記一定時間キャプチャーして蓄積したパケットのヘッダ情報に含まれる複数カテゴリの全要素の集合Y(0)を作成し、
(c)前記集合Y(0)の要素で所定の閾値の回数以上現れている要素の集合X(1)を作成し、
(d)前記集合X(1)が空集合であるか判定し、
(e)前記(d)において空集合でない場合は、前記集合X(1)の要素のみから構成され要素数が2個の集合Y(1)を作成し、
K=1として、
(f)集合Y(K)の要素で複数の前記パケットそれぞれに含まれている回数が前記所定の閾値以上である要素の集合X(K+1)を作成し、
(g)前記集合X(K+1)が空集合であるか判定し、
(h)前記(g)において空集合でない場合は、前記集合X(K+1)の要素のみから構成され要素数がK+2個の集合Y(K+1)を作成し、
(i)前記Kに1を加算して新たなKを作成し、
(j)前記(i)において作成された前記新たなKを用いて前記(f)〜前記(i)を繰り返し実行し、
(k)前記(g)において空集合である場合は、集合X(K)に含まれる要素をパケット解析データベースに格納し、
前記パケットキャプチャー装置は、
前記パケット解析データベースに格納された要素を含むパケットをキャプチャーすることを特徴とするパケットキャプチャーシステム。 A packet capture system comprising a packet analysis device and a packet capture device,
The packet analysis device
(A) Capture a packet flowing over the network for a certain period of time, accumulate the packet,
(B) creating a set Y (0) of all elements of a plurality of categories included in the header information of the packet captured and accumulated for a certain period of time;
(C) Create a set X (1) of elements that appear more than a predetermined threshold number of times in the elements of the set Y (0) ,
(D) determining whether the set X (1) is an empty set;
(E) If it is not an empty set in (d), create a set Y (1) consisting of only elements of the set X (1) and having two elements,
As K = 1,
(F) creating a set X (K + 1) of elements in which the number of times included in each of the plurality of packets is equal to or more than the predetermined threshold among the elements of the set Y (K);
(G) determining whether the set X (K + 1) is an empty set;
(H) If the set is not an empty set in (g), create a set Y (K + 1) composed of only elements of the set X (K + 1) and having K + 2 elements,
(I) by adding 1 to the previous Symbol K to create a new K,
(J) the repeating said using the new K created in (i) (f) ~ (i) above was performed,
(K) if in the (g) is empty stores elements included in the set X (K) to the packet analysis database,
The packet capture device includes:
A packet capture system for capturing a packet including an element stored in the packet analysis database.
前記パケット解析装置における、
(a)ネットワーク上を流れるパケットを一定時間キャプチャーし、当該パケットを蓄積するステップと、
(b)前記一定時間キャプチャーして蓄積したパケットのヘッダ情報に含まれる複数カテゴリの全要素の集合Y(0)を作成するステップと、
(c)前記集合Y(0)の要素で所定の閾値の回数以上現れている要素の集合X(1)を作成するステップと、
(d)前記集合X(1)が空集合であるか判定するステップと、
(e)前記(d)において空集合でない場合は、前記集合X(1)の要素のみから構成され要素数が2個の集合Y(1)を作成するステップと、
K=1として、
(f)集合Y(K)の要素で複数の前記パケットそれぞれに含まれている回数が前記所定の閾値以上である要素の集合X(K+1)を作成するステップと、
(g)前記集合X(K+1)が空集合であるか判定するステップと、
(h)前記(g)において空集合でない場合は、前記集合X(K+1)の要素のみから構成され要素数がK+2個の集合Y(K+1)を作成するステップと、
(i)前記Kに1を加算して新たなKを作成するステップと、
(j)前記(i)において作成された前記新たなKを用いて前記(f)〜前記(i)を繰り返し実行するステップと、
(k)前記(g)において空集合である場合は、集合X(K)に含まれる要素をパケット解析データベースに格納するステップと、
前記パケットキャプチャー装置における、
前記パケット解析データベースに格納された要素を含むパケットをキャプチャーするステップとからなるパケットキャプチャー方法。
A packet capture method in a packet capture system comprising a packet analysis device and a packet capture device,
In the packet analysis device,
(A) capturing a packet flowing on the network for a certain period of time and storing the packet;
(B) creating a set Y (0) of all elements of a plurality of categories included in the header information of the packet captured and accumulated for a certain period of time;
(C) creating a set X (1) of elements appearing more than a predetermined threshold number of times in the elements of the set Y (0) ;
(D) determining whether the set X (1) is an empty set;
(E) if it is not an empty set in (d), creating a set Y (1) consisting of only elements of the set X (1) and having two elements;
As K = 1,
(F) creating a set X (K + 1) of elements in which the number of times included in each of the plurality of packets among the elements of the set Y (K) is equal to or greater than the predetermined threshold;
(G) determining whether the set X (K + 1) is an empty set;
(H) If the set is not an empty set in (g), creating a set Y (K + 1) having only K + 2 elements and including only elements of the set X (K + 1);
A step of adding 1 to create a new K to (i) before Symbol K,
(J) a step of repeatedly performing said (f) ~ (i) above using the new K created in (i) above,
(K) if in the (g) is empty, the storing the elements included in the set X (K) to the packet analysis database,
In the packet capture device,
Capturing a packet including an element stored in the packet analysis database.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011130238A JP5610482B2 (en) | 2011-06-10 | 2011-06-10 | Packet capture system and packet capture method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011130238A JP5610482B2 (en) | 2011-06-10 | 2011-06-10 | Packet capture system and packet capture method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012257166A JP2012257166A (en) | 2012-12-27 |
JP5610482B2 true JP5610482B2 (en) | 2014-10-22 |
Family
ID=47528280
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011130238A Expired - Fee Related JP5610482B2 (en) | 2011-06-10 | 2011-06-10 | Packet capture system and packet capture method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5610482B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016075924A1 (en) | 2014-11-10 | 2016-05-19 | 日本電気株式会社 | Information processing system and delay measurement method |
CN112019449B (en) * | 2020-08-14 | 2022-06-17 | 四川电科网安科技有限公司 | Traffic identification packet capturing method and device |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4547342B2 (en) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | Network control apparatus, control system, and control method |
JP2007013590A (en) * | 2005-06-30 | 2007-01-18 | Oki Electric Ind Co Ltd | Network monitoring system, network monitoring device and program |
JP4244355B2 (en) * | 2006-08-29 | 2009-03-25 | 日本電信電話株式会社 | Passed packet monitoring apparatus and method |
-
2011
- 2011-06-10 JP JP2011130238A patent/JP5610482B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012257166A (en) | 2012-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
KR101234326B1 (en) | Distributed traffic analysis | |
JP4594258B2 (en) | System analysis apparatus and system analysis method | |
US10182011B2 (en) | System and method to analyze congestion in low latency network | |
CN103314557B (en) | Network system, controller, switch, and traffic monitoring method | |
US8761757B2 (en) | Identification of communication devices in telecommunication networks | |
EP2744151A1 (en) | Monitoring traffic across diameter core agents | |
CN101488925B (en) | Method for collecting and designing VPN flow by using Netflow | |
KR101106891B1 (en) | In-bound mechanism that monitors end-to-end qoe of services with application awareness | |
CN101933290A (en) | Method for configuring acls on network device based on flow information | |
KR101106878B1 (en) | In-bound mechanism that verifies end-to-end service configuration with application awareness | |
TW201119285A (en) | Identification of underutilized network devices | |
CN105681125A (en) | Method for counting traffic of virtual machine extranet of cloud platform | |
JP5610482B2 (en) | Packet capture system and packet capture method | |
US20090252041A1 (en) | Optimized statistics processing in integrated DPI service-oriented router deployments | |
JP4331174B2 (en) | Traffic data relay system, traffic data distributed arrangement system, and traffic data distributed arrangement method | |
JP2007243373A (en) | Traffic information collection system, network apparatus, and traffic information collection apparatus | |
JP4871775B2 (en) | Statistical information collection device | |
JP5833934B2 (en) | Packet capture system and packet capture method | |
Ptácek | Analysis and detection of Skype network traffic | |
JP5900943B2 (en) | BAND CONTROL SYSTEM, BAND CONTROL DEVICE, AND BAND CONTROL RULE OPERATING METHOD USED FOR THE SAME | |
Ehrlich et al. | Passive flow monitoring of hybrid network connections regarding quality of service parameters for the industrial automation | |
Callado et al. | A Survey on Internet Traffic Identification and Classification | |
JP5108866B2 (en) | Network management apparatus and network management method | |
JP5300642B2 (en) | Method and apparatus for detecting frequent flow in communication network and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130509 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140403 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140430 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140630 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140805 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140827 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140827 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5610482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |