JP5682233B2 - Analysis processing apparatus, analysis processing program, and analysis processing method - Google Patents
Analysis processing apparatus, analysis processing program, and analysis processing method Download PDFInfo
- Publication number
- JP5682233B2 JP5682233B2 JP2010245273A JP2010245273A JP5682233B2 JP 5682233 B2 JP5682233 B2 JP 5682233B2 JP 2010245273 A JP2010245273 A JP 2010245273A JP 2010245273 A JP2010245273 A JP 2010245273A JP 5682233 B2 JP5682233 B2 JP 5682233B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- message
- processing
- processing unit
- cpu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Description
本明細書は、ネットワーク上で伝達されるパケットについての解析処理技術に関する。 The present specification relates to an analysis processing technique for a packet transmitted on a network.
ネットワークから取得した情報を計算機により処理する場合に、計算機のリソースを有効に活用する技術として、例えば次に示すものが知られている。
後段処理装置における総フレーム処理量を予測し、その総フレーム処理量がその後段処理装置の基準処理量より大きくなるまでフレームを受信してから、割り込みを生成する技術が知られている。
For example, the following technologies are known as techniques for effectively using computer resources when information acquired from a network is processed by a computer.
A technique is known in which a total frame processing amount in a subsequent processing device is predicted, and an interrupt is generated after receiving a frame until the total frame processing amount becomes larger than a reference processing amount of the subsequent processing device.
また、処理量あるいは処理速度が異なる複数の処理を複数の計算機に分散して効率良く並列に実行できる計算機資源分散方法が知られている。この場合、少なくとも1つの計算機に処理分散用のスケジューラを設け、分散すべき処理の処理量が既知の場合、スケジューラは処理量の大きいものから順に処理を積算処理量が少ない計算機に割り当てる。それと共に、割り当てた処理の処理量を積算処理量に加算することによりその計算機の積算処理量を更新する。以後、順次同様の方法で処理を計算機に割り当てる。 There is also known a computer resource distribution method in which a plurality of processes having different processing amounts or processing speeds can be distributed to a plurality of computers and efficiently executed in parallel. In this case, a scheduler for processing distribution is provided in at least one computer, and when the processing amount of the processing to be distributed is known, the scheduler assigns the processing to the computer having the smallest integrated processing amount in descending order of processing amount. At the same time, the integrated processing amount of the computer is updated by adding the processing amount of the assigned processing to the integrated processing amount. Thereafter, processing is sequentially assigned to computers in the same manner.
本明細書は、複数の処理部のリソースを効率よく利用して、ネットワーク上で伝達されるパケットの解析処理を行う技術を提供する。 The present specification provides a technique for performing analysis processing of a packet transmitted on a network by efficiently using resources of a plurality of processing units.
解析処理装置は、受信部と、複数の処理部とを含む。受信部は、ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信する。複数の処理部のうち所定の処理部は、受信部で受信したパケットの受信間隔を計測する。所定の処理部は、計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、そのメッセージの2番目以降に対応するセグメントを含むパケットとを検出する。所定の処理部は、当該所定の処理部を除いた複数の処理部のそれぞれが受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間に応じて処理部を選択し、前記検出したパケットを含むメッセージに対応するプロトコルに応じて、前記検出したパケットを含むメッセージの処理時間に重み付けをした時間を前記選択した処理部の前記待機時間に加算し、検出したパケットを、組単位で選択した処理部に振り分ける。前記複数の処理部のうち、前記パケットを振り分けられた処理部は、そのパケットに基づいて、メッセージの解析を行う。 The analysis processing device includes a receiving unit and a plurality of processing units. The receiving unit receives packets transmitted and received between computers connected via a network. A predetermined processing unit among the plurality of processing units measures a reception interval of packets received by the receiving unit. The predetermined processing unit detects a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages in accordance with the measured reception interval. The predetermined processing unit selects a processing unit according to a waiting time of the packet until each of the plurality of processing units excluding the predetermined processing unit performs the analysis processing of the message of the received packet, and the detected packet In accordance with the protocol corresponding to the message including, the time weighted to the processing time of the message including the detected packet is added to the waiting time of the selected processing unit, and the detected packet is selected in units of sets . Allocate to processing section . Of the plurality of processing units, the processing unit to which the packet is distributed analyzes a message based on the packet.
本明細書に記載の技術によれば、複数の処理部のリソースを効率よく利用して、ネットワーク上で伝達されるパケットの解析処理を行うことができる。 According to the technology described in this specification, it is possible to perform analysis processing of packets transmitted on a network by efficiently using resources of a plurality of processing units.
以下に、本発明を実施するための実施例について詳細に説明する。
1つの実施例では、複数の情報処理装置を含む情報システムの状態監視を分析装置を用いて行う。分析装置は、受信したパケットからメッセージを再構成し、再構成したメッセージの内容(例えば、リクエスト、レスポンス、命令等)を解析することができる。
Hereinafter, examples for carrying out the present invention will be described in detail.
In one embodiment, the state of an information system including a plurality of information processing devices is monitored using an analysis device. The analysis device can reconstruct the message from the received packet and analyze the content (eg, request, response, command, etc.) of the reconstructed message.
複数の情報処理装置は、例えば、スイッチを介して、相互に接続され、情報システムを構築している。ここで、スイッチは、情報処理装置間のネットワークを接続するネットワークデバイスの1つであり、パケットのヘッダに含まれる宛先情報に応じて、情報処理装置間の通信経路をスイッチングし、パケットを中継することができる。パケットは、例えば、通信モデルの1つであるTCP/IP[Transmission Control Protocol/InternetProtocol]モデルの中のインターネットレイヤでの送信単位である。パケットは、他のレイヤのパケットとすることもできる。 A plurality of information processing apparatuses are connected to each other via, for example, a switch to construct an information system. Here, the switch is one of network devices that connect networks between information processing apparatuses, and switches communication paths between information processing apparatuses and relays packets according to destination information included in a packet header. be able to. The packet is, for example, a transmission unit at the Internet layer in a TCP / IP [Transmission Control Protocol / Internet Protocol] model which is one of communication models. The packet may be a packet of another layer.
ここで、コンピュータAがメッセージをコンピュータBに送信する場合を例に、TCP/IPを用いたパケット通信によってメッセージを送信する方法について説明する。メッセージのデータ量が、TCP/IPモデルにおけるインターネットレイヤでの1回の送信容量を超えるときには、コンピュータAはメッセージを幾つかの部分に分割する。そして、コンピュータAは、メッセージの全部又は一部を、それぞれセグメントとしてパケットに収納して順次、コンピュータBへと送信する。コンピュータBはパケットを受信すると、受信した複数のパケットから分割されたメッセージの全部又は一部を取り出す。そして、コンピュータBは、その分割されたメッセージを組み立て、メッセージを再構成する。 Here, a method of transmitting a message by packet communication using TCP / IP will be described by taking as an example the case where the computer A transmits a message to the computer B. When the data amount of the message exceeds the transmission capacity at the Internet layer in the TCP / IP model, the computer A divides the message into several parts. Then, the computer A stores all or part of the message as a segment in a packet and sequentially transmits it to the computer B. When the computer B receives the packet, the computer B extracts all or part of the divided message from the plurality of received packets. The computer B then assembles the divided messages and reconstructs the messages.
分析装置は、スイッチを介して、情報処理装置間で送受信されるパケットを受信する。分析装置は、受信したパケットに基づいてメッセージを解析し、リクエストメッセージとレスポンスメッセージを監視する。これにより、分析装置は、情報システムの稼動状態を判断することができる。分析装置には、オペレーティングシステム(以下、OSという)と分析アプリケーションソフトフェア(以下、分析アプリケーションという)が実装してもよい。スイッチより送られた通信パケットは、分析装置の有するネットワークインターフェースカード(NIC)のプロミスキャスモードを用いて、オペレーティングシステムを経由して分析アプリケーションに引き渡される。 The analysis device receives a packet transmitted / received between the information processing devices via the switch. The analysis device analyzes a message based on the received packet and monitors a request message and a response message. Thereby, the analyzer can determine the operating state of the information system. An operating system (hereinafter referred to as OS) and analysis application software (hereinafter referred to as analysis application) may be installed in the analysis apparatus. The communication packet sent from the switch is delivered to the analysis application via the operating system using the promiscuous mode of the network interface card (NIC) of the analysis device.
分析アプリケーションは、パケットを取得すると、取得したパケットについて受信処理を行い、また、複数のパケットからメッセージを組み立て、その組み立てたメッセージから、そのメッセージの内容を解析する解析処理を行う。メッセージの内容としては、例えば、リクエスト、レスポンス、命令等がある。 When the analysis application acquires a packet, the analysis application performs reception processing on the acquired packet, and also assembles a message from a plurality of packets, and performs analysis processing to analyze the content of the message from the assembled message. Examples of the message content include a request, a response, and a command.
すなわち、分析アプリケーションは、パケット受信処理、メッセージ解析処理を順に実行する。パケット受信処理では、パケットを受信して、ヘッダ情報からその受信パケットのコネクションを識別し、対応するバッファへ書き込む。メッセージ解析処理では、バッファからその書き込まれたパケットを読み出してメッセージを組み立て、その組み立てたメッセージを解析する。パケット受信処理とメッセージ解析処理の処理速度を比較すると、パケット受信処理が速く、メッセージ解析処理は遅い。 In other words, the analysis application executes packet reception processing and message analysis processing in order. In the packet reception process, a packet is received, the connection of the received packet is identified from the header information, and written to the corresponding buffer. In the message analysis process, the written packet is read from the buffer, a message is assembled, and the assembled message is analyzed. Comparing the processing speeds of packet reception processing and message analysis processing, packet reception processing is fast and message analysis processing is slow.
従って、大量にパケットを受信した場合、パケット受信処理とメッセージ解析処理の速度差により、メッセージ解析処理におけるバッファからのパケットの読み込みが間に合わなくなる。その結果、バッファに蓄積されたパケットが新たに受信したパケットにより上書きされ、キャプチャロスが発生してしまう。 Accordingly, when a large number of packets are received, reading of packets from the buffer in the message analysis process cannot be performed in time due to the difference in speed between the packet reception process and the message analysis process. As a result, the packet accumulated in the buffer is overwritten by the newly received packet, and capture loss occurs.
そこで、この実施例では、複数の処理部を用いてTCPコネクション単位でパケットを各処理部に振り分けて、メッセージ解析処理の負荷分散を行うことにより、メッセージ解析処理を並列して実行し、キャプチャロスをなるべく発生させないようにする。これについて、図1を用いて説明する。 Therefore, in this embodiment, by using a plurality of processing units, packets are distributed to each processing unit in units of TCP connections, and message analysis processing is performed in parallel by distributing the load of message analysis processing, thereby capturing loss. Should be avoided as much as possible. This will be described with reference to FIG.
図1は、複数の処理部としてマルチプロセッサを用いる場合の、コネクション単位でのパケットの分散処理シーケンスを示す。図1では、3つの中央処理装置(CPU)を有するマルチプロセッサを例に用いて、コネクション単位でのパケットの分散処理シーケンスを説明する。なお、プロセッサの数は3に限定されず、2以上の任意の数を採用することもできる。 FIG. 1 illustrates a packet distribution processing sequence in connection units when a multiprocessor is used as a plurality of processing units. In FIG. 1, a multiprocessor having three central processing units (CPUs) is taken as an example to explain a packet distribution processing sequence in connection units. Note that the number of processors is not limited to three, and any number of two or more may be employed.
CPU0は、パケットを受信し(S1)、分析アプリケーションに従った処理を実行する。すなわち、まず、CPU0は、受信パケットのヘッダ情報から、その受信パケットに対応するコネクションを識別する(S2)。 The CPU 0 receives the packet (S1) and executes processing according to the analysis application. That is, first, the CPU 0 identifies the connection corresponding to the received packet from the header information of the received packet (S2).
CPU0は、コネクション単位で受信パケットを各CPUへ分散させる。そのために、CPU0は、識別したコネクションにおいて伝送されるパケットについてメッセージ解析処理を行っているCPUを選択する(S3)。CPU0は、その選択したCPUが使用しているバッファに、その受信したパケットを書き込む(S4)。例えば、CPU1は、バッファ1を用いて、コネクションA,Cについての受信パケットのメッセージ解析処理を行っている。例えば、CPU2は、バッファ2を用いて、コネクションBについての受信パケットのメッセージ解析処理を行っている。 The CPU 0 distributes received packets to each CPU in connection units. For this purpose, the CPU 0 selects a CPU that is performing message analysis processing on a packet transmitted in the identified connection (S3). The CPU 0 writes the received packet in the buffer used by the selected CPU (S4). For example, the CPU 1 uses the buffer 1 to perform message analysis processing of received packets for the connections A and C. For example, the CPU 2 uses the buffer 2 to perform message analysis processing of the received packet for the connection B.
CPU1は、バッファ1に書き込まれたパケットを読み出し(S5a)、読み出したパケットからメッセージを組み立て、メッセージ解析を行う(S6a)。CPU2は、バッファ2に書き込まれたパケットを読み出し(S5b)、読み出したパケットからメッセージを組み立て、メッセージ解析を行う(S6b)。 The CPU 1 reads the packet written in the buffer 1 (S5a), assembles a message from the read packet, and performs message analysis (S6a). The CPU 2 reads the packet written in the buffer 2 (S5b), assembles a message from the read packet, and performs message analysis (S6b).
これにより、受信したパケットをコネクション単位で各CPUへ分散させることができる。コネクション単位でのパケットの分散によれば、メッセージ解析処理内のメッセージの組み立て処理に影響を与えないで、各CPUに負荷を分散できる。なお、CPU0も所定のコネクションについての解析処理を担当してもよく、その場合には、CPU0に対応するバッファに対応するコネクションについてのパケットを格納すればよい。 Thereby, the received packet can be distributed to each CPU in connection units. According to the distribution of packets in connection units, the load can be distributed to each CPU without affecting the message assembly process in the message analysis process. Note that the CPU 0 may also be in charge of analysis processing for a predetermined connection. In this case, a packet for the connection corresponding to the buffer corresponding to the CPU 0 may be stored.
ここで、コネクション単位でパケットを分散するアルゴリズムとしては、例えば、ラウンドロビン方式、最小接続方式、状態監視方式等が考えられる。ラウンドロビン方式は、受信したパケットを、順番に各プロセッサへ割り振るアルゴリズムである。最小接続方式は、最もコネクション数が少ないプロセッサを選択し、その選択したプロセッサにパケットを割り振るアルゴリズムである。状態監視方式は、コネクション数と応答速度を計測して、各プロセッサのパフォーマンスを予測し、その予測の結果に応じてプロセッサを選択し、その選択したプロセッサにパケットを割り振るアルゴリズムである。 Here, as an algorithm for distributing packets in connection units, for example, a round robin method, a minimum connection method, a state monitoring method, or the like can be considered. The round robin method is an algorithm for allocating received packets to each processor in order. The minimum connection method is an algorithm for selecting a processor having the smallest number of connections and allocating packets to the selected processor. The state monitoring method is an algorithm that predicts the performance of each processor by measuring the number of connections and the response speed, selects a processor according to the prediction result, and allocates a packet to the selected processor.
しかしながら、上記アルゴリズムのいずれもコネクションの接続時に、受信パケットがプロセッサへ振り分けられるので、次のことが発生する可能性がある。例えば、アプリケーション(AP)−データベース(DB)間のコネクションの様に、コネクションの接続を継続する通信では、コネクション単位でバッファが固定化される。その結果、メッセージ解析処理が特定のプロセッサに偏り、パケット量に比例してパケット量を分散することが出来ない可能性がある。 However, in any of the above algorithms, since the received packet is distributed to the processor at the time of connection, the following may occur. For example, in communication in which connection connection is continued, such as a connection between an application (AP) and a database (DB), a buffer is fixed in connection units. As a result, there is a possibility that the message analysis processing is biased toward a specific processor and the packet amount cannot be distributed in proportion to the packet amount.
そこで、以下の実施形態では、メッセージ解析処理を行うCPUまたはバッファがコネクション単位で固定されないようにして、マルチプロセッサのリソースを効率よく利用することができるメッセージ解析処理装置を提供する。すなわち、実施形態では、マルチプロセッサ環境において、受信したパケットをメッセージ単位でいずれかのCPUへ振り分けることができるメッセージ解析装置を提供する。また、更に、マルチプロセッサ環境において、各プロセッサのメッセージ解析処理の負荷を均等化するように、パケットを各プロセッサへ振り分けるメッセージ解析装置を提供する。 Therefore, in the following embodiments, a message analysis processing device is provided that can efficiently use resources of a multiprocessor so that a CPU or a buffer that performs message analysis processing is not fixed in connection units. In other words, the embodiment provides a message analysis apparatus that can distribute received packets to any CPU in a multiprocessor environment. Furthermore, a message analysis device that distributes packets to each processor so as to equalize the load of message analysis processing of each processor in a multiprocessor environment is provided.
図2は、情報システムと分析装置とを示す。情報システム2は、複数の情報処理装置(コンピュータ)3(3a,3b,3c,・・・)、スイッチ(SW)4を含む。
分析装置1は、コンピュータ3(3a,3b,3c,・・・)が互いにやり取りするパケットをSW4のミラーリング機能を用いて受信し、受信したパケットに基づいてそのコンピュータの稼動状況を監視及び分析を行う。すなわち、分析装置1は、受信したパケットからメッセージを再構成し、リクエストを示すメッセージとレスポンスを示すメッセージとを監視する。これにより、分析装置1は、通信しているコンピュータ同士の稼動状態、通信状態等を監視・分析することができる。
FIG. 2 shows an information system and an analysis apparatus. The information system 2 includes a plurality of information processing devices (computers) 3 (3a, 3b, 3c,...) And a switch (SW) 4.
The analysis apparatus 1 receives packets exchanged by the computers 3 (3a, 3b, 3c,...) Using the mirroring function of the SW 4, and monitors and analyzes the operation status of the computers based on the received packets. Do. That is, the analyzer 1 reconstructs a message from the received packet, and monitors a message indicating a request and a message indicating a response. Thereby, the analyzer 1 can monitor and analyze the operating state, communication state, etc. of the computers which are communicating.
SW4は、例えば、Local Area Network(LAN) Switch(SW)等のパケット伝送路のスイッチングを行う中継機器である。SW4には、コンピュータ3a,3b,3c,・・・等が接続されている。 SW4 is a relay device that performs switching of a packet transmission path such as a Local Area Network (LAN) Switch (SW), for example. Computers 3a, 3b, 3c,... Are connected to SW4.
SW4は、コンピュータ3又は不図示の中継機器とパケットの送受信を行うことができる。SW4は、複数の通信ポートを備えている。SW4は、1つの通信ポートからパケットが進入してくると、そのパケットの送り出し先として適切な通信ポートを選択し、選択した通信ポートからそのパケットを送出する。本実施形態では、これらの通信ポートには、それぞれ、コンピュータ3(3a,3b,3c,・・・)が接続されている。SW4は、ポートミラーリング機能を実現するための回路を内蔵している。ポートミラーリング機能は、特定の通信ポートを通過するパケットを複製し、複製したパケットをミラーポートから送出するための機能である。本実施形態では、SW4は、1個のミラーポートを備える。ポートミラーリング機能は、2個以上の通信ポートから進入してくる全てのパケットを複製し、複製したパケットをミラーポートから出力する。本実施形態では、SW4のミラーポートには、分析装置1が接続されている。なお、複製元のパケット(オリジナルのパケット)は、適切な通信ポートから送出される。 The SW 4 can send and receive packets to and from the computer 3 or a relay device (not shown). SW4 includes a plurality of communication ports. When a packet enters from one communication port, the SW 4 selects an appropriate communication port as a transmission destination of the packet, and transmits the packet from the selected communication port. In the present embodiment, computers 3 (3a, 3b, 3c,...) Are connected to these communication ports, respectively. SW4 incorporates a circuit for realizing the port mirroring function. The port mirroring function is a function for copying a packet passing through a specific communication port and transmitting the copied packet from the mirror port. In the present embodiment, the SW 4 includes one mirror port. The port mirroring function duplicates all packets entering from two or more communication ports and outputs the duplicated packets from the mirror port. In the present embodiment, the analyzer 1 is connected to the mirror port of SW4. Note that the copy source packet (original packet) is transmitted from an appropriate communication port.
図3は、分析装置1のハードウェア構成図を示す。分析装置1は、例えば、マルチプロセッサ10、メモリ11、記憶装置12、NIC13、RAM31、ROM32、リーダ/ライタ33、出力I/F31、入力I/F35等を含む。ROMは、リードオンリメモリを示す。RAMは、ランダムアクセスメモリを示す。I/Fは、インターフェースを示す。マルチプロセッサ10、メモリ11、記憶装置12、NIC13、RAM31、ROM32、リーダ/ライタ33、出力I/F31、入力I/F35等は、バス38で接続されている。 FIG. 3 shows a hardware configuration diagram of the analysis apparatus 1. The analyzer 1 includes, for example, a multiprocessor 10, a memory 11, a storage device 12, a NIC 13, a RAM 31, a ROM 32, a reader / writer 33, an output I / F 31, an input I / F 35, and the like. ROM indicates a read-only memory. RAM indicates random access memory. I / F indicates an interface. The multiprocessor 10, memory 11, storage device 12, NIC 13, RAM 31, ROM 32, reader / writer 33, output I / F 31, input I / F 35, etc. are connected by a bus 38.
マルチプロセッサ10は、CPU0(10a),CPU1(10b),CPU2(10c)を含む。なお、本実施形態のマルチプロセッサは、3つのCPUを含むが、これに限定されず、2以上のCPUを含んでいればよい。CPU0(10a),CPU1(10b),CPU2(10c)は、時刻を計測するタイマー機能または時間を計測するカウンタ機能を含んでもよい。また、分析装置1は、CPU0(10a),CPU1(10b),CPU2(10c)とは別に、時計回路を有していてもよい。この場合、各CPUは、時計回路より得られた時刻情報またはカウント情報を取得するようにしてもよい。 The multiprocessor 10 includes a CPU 0 (10a), a CPU 1 (10b), and a CPU 2 (10c). In addition, although the multiprocessor of this embodiment contains three CPUs, it is not limited to this, What is necessary is just to contain two or more CPUs. CPU0 (10a), CPU1 (10b), and CPU2 (10c) may include a timer function for measuring time or a counter function for measuring time. Moreover, the analyzer 1 may have a clock circuit separately from the CPU0 (10a), the CPU1 (10b), and the CPU2 (10c). In this case, each CPU may acquire time information or count information obtained from the clock circuit.
メモリ11は、バッファ11a,11bを含む。バッファ11aは、例えば、CPU1(10b)が使用するバッファである。バッファ11bは、例えば、CPU2(10c)が使用するバッファである。 The memory 11 includes buffers 11a and 11b. The buffer 11a is a buffer used by the CPU 1 (10b), for example. The buffer 11b is a buffer used by the CPU 2 (10c), for example.
記憶装置12には、オペレーティングシステム(OS)17、分析アプリケーション14、コネクション情報テーブル18、振り分け用テーブル19、処理時間重み付け値テーブル20、CPU番号テーブル21、メッセージ番号テーブル22等が格納されている。分析アプリケーション14は、パケット受信プログラム15とメッセージ解析プログラム16を含む。分析装置1の起動時に、マルチプロセッサ10は、記憶装置12からOS17と分析アプリケーション14を読み出して、メモリ11に展開し、パケット受信プログラム15とメッセージ解析プログラム16を実行する。パケット受信プログラム15は、例えば、CPU0で実行されるものであり、パケットを受信して、そのパケットについてメッセージ解析を行うCPUに割り当てる処理を行う。メッセージ解析プログラム16は、上記でパケットを割り当てられた各CPU(例えば、CPU1,2)で実行される。なお、記憶装置12としては、ハードディスク、フラッシュメモリ装置など様々な形式の記憶装置を使用することができる。 The storage device 12 stores an operating system (OS) 17, an analysis application 14, a connection information table 18, a distribution table 19, a processing time weighting value table 20, a CPU number table 21, a message number table 22, and the like. The analysis application 14 includes a packet reception program 15 and a message analysis program 16. When the analyzer 1 is activated, the multiprocessor 10 reads the OS 17 and the analysis application 14 from the storage device 12, loads them into the memory 11, and executes the packet reception program 15 and the message analysis program 16. The packet reception program 15 is executed by, for example, the CPU 0, and performs a process of receiving a packet and assigning the packet to a CPU that performs message analysis. The message analysis program 16 is executed by each CPU (for example, CPUs 1 and 2) to which packets are assigned as described above. As the storage device 12, various types of storage devices such as a hard disk and a flash memory device can be used.
NIC13は、SW4のミラーポートと接続されている。SW4のミラーリング機能により、監視対象のコンピュータ3間の通信によるパケットがSW4からNIC13へ送信される。NIC13に到達したパケットは、NIC13のプロミスキャスモードを用いて、オペレーティングシステム17を経由して分析アプリケーション14に到達し、分析アプリケーション14に取り込まれる。ここで、プロミスキャスモードとは、宛先が自分宛でないパケットも受信するモードをいう。 The NIC 13 is connected to the mirror port of SW4. By the mirroring function of SW4, a packet by communication between the computers 3 to be monitored is transmitted from SW4 to the NIC13. The packet that has reached the NIC 13 reaches the analysis application 14 via the operating system 17 using the promiscuous mode of the NIC 13 and is taken into the analysis application 14. Here, the promiscuous mode is a mode for receiving a packet whose destination is not addressed to itself.
リーダ/ライタ33は、可搬型記録媒体から情報を読み出したり、可搬型記録媒体に情報を書き込む装置である。出力機器36は、出力I/F34に接続されている。入力機器37は、入力I/F35に接続にされている。 The reader / writer 33 is a device that reads information from a portable recording medium and writes information to the portable recording medium. The output device 36 is connected to the output I / F 34. The input device 37 is connected to the input I / F 35.
分析アプリケーション14は、プログラム提供者側から、通信ネットワーク、およびNIC13を介して、例えば記憶装置12に格納してもよい。また、分析アプリケーション14は、市販され、流通している可搬型記憶媒体に格納されていてもよい。この場合、この可搬型記憶媒体はリーダ/ライタ33にセットされて、マルチプロセッサ10によってそのプログラムが読み出されて、実行されてもよい。可搬型記憶媒体としてはCD−ROM、フレキシブルディスク、光ディスク、光磁気ディスク、ICカード、USBメモリ装置、DVDなど様々な形式の記憶媒体を使用することができる。 The analysis application 14 may be stored in, for example, the storage device 12 from the program provider side via the communication network and the NIC 13. Further, the analysis application 14 may be stored in a portable storage medium that is commercially available and distributed. In this case, this portable storage medium may be set in the reader / writer 33 and the program read by the multiprocessor 10 and executed. As the portable storage medium, various types of storage media such as a CD-ROM, a flexible disk, an optical disk, a magneto-optical disk, an IC card, a USB memory device, and a DVD can be used.
また、入力機器37には、キーボード、マウス、電子カメラ、ウェブカメラ、マイク、スキャナ、センサ、タブレットなどを用いることが可能である。また、出力機器36には、ディスプレイ、プリンタ、スピーカなどを用いることが可能である。また、ネットワークは、インターネット、LAN、WAN、専用線、有線、無線等の通信網であってよい。 As the input device 37, a keyboard, a mouse, an electronic camera, a web camera, a microphone, a scanner, a sensor, a tablet, or the like can be used. The output device 36 can be a display, a printer, a speaker, or the like. The network may be a communication network such as the Internet, a LAN, a WAN, a dedicated line, a wired line, and a wireless line.
図4は、コネクション情報テーブル18の一例を示す。コネクション情報テーブル18は、「接続先IPアドレス」18a、「接続先ポート番号」18b、「接続元IPアドレス」18c、「接続元ポート番号」18dのデータ項目を含む。 FIG. 4 shows an example of the connection information table 18. The connection information table 18 includes data items of “connection destination IP address” 18a, “connection destination port number” 18b, “connection source IP address” 18c, and “connection source port number” 18d.
「接続先IPアドレス」18aには、接続先のIPアドレスが格納される。「接続先ポート番号」18bには、接続先のポート番号が格納される。「接続元IPアドレス」18cには、接続元のIPアドレスが格納される。「接続元ポート番号」18dには、接続元のポート番号が格納される。ここで、「接続元」とは、コネクションを確立する際に、接続を要求した側をいう。「接続先」とは、コネクションを確立する際に、接続を要求された側をいう。なお、「接続元」、「接続先」については後述する。 The “destination IP address” 18a stores the IP address of the connection destination. The “connection destination port number” 18b stores the connection destination port number. The “connection source IP address” 18c stores the connection source IP address. The “connection source port number” 18d stores the connection source port number. Here, the “connection source” refers to the side that requested connection when establishing a connection. “Destination” refers to the side that is requested to establish a connection. The “connection source” and “connection destination” will be described later.
以下では、「接続先IPアドレス」、「接続先ポート番号」、「接続元IPアドレス」、「接続元ポート番号」を含む1組の情報をコネクション情報という。
図5は、振り分け用テーブル19の一例を示す。振り分け用テーブル19は、「CPU番号」19a、「待機時間」19bのデータ項目を含む。「CPU番号」19aには、マルチプロセッサ10に含まれる各CPU(振り分け先のCPU)を識別する情報が格納される。「待機時間」19bには、振り分け先の各CPUによって使用されるバッファ11内のパケットの待機時間(合計値)が格納される。
Hereinafter, a set of information including “connection destination IP address”, “connection destination port number”, “connection source IP address”, and “connection source port number” is referred to as connection information.
FIG. 5 shows an example of the sorting table 19. The distribution table 19 includes data items of “CPU number” 19a and “standby time” 19b. In the “CPU number” 19a, information for identifying each CPU (distribution destination CPU) included in the multiprocessor 10 is stored. The “waiting time” 19b stores the waiting time (total value) of packets in the buffer 11 used by each CPU as a distribution destination.
図6は、処理時間重み付け値テーブル20の一例を示す。処理時間重み付け値テーブル20は、「プロトコル名」20a、「1バイト当たりの処理時間(sec/byte)」20b、「解析したメッセージの長さ(byte)」20c、「解析したメッセージの処理時間(sec)」20dのデータ項目を含む。各項目に格納される情報については、後述する。 FIG. 6 shows an example of the processing time weighting value table 20. The processing time weighting value table 20 includes “protocol name” 20a, “processing time per byte (sec / byte)” 20b, “analyzed message length (byte)” 20c, “analyzed message processing time ( sec) "includes a data item of 20d. Information stored in each item will be described later.
図7は、CPU番号テーブル21の一例を示す。CPU番号テーブル21は、「接続先IPアドレス」21a、「接続先ポート番号」21b、「接続元IPアドレス」21c、「接続元ポート番号」21d、「上りCPU番号」21e、「下りCPU番号」21fのデータ項目を含む。各項目に格納される情報については、後述する。 FIG. 7 shows an example of the CPU number table 21. The CPU number table 21 includes “connection destination IP address” 21a, “connection destination port number” 21b, “connection source IP address” 21c, “connection source port number” 21d, “upstream CPU number” 21e, and “downstream CPU number”. 21f data items are included. Information stored in each item will be described later.
図8は、メッセージ番号テーブル22の一例を示す。メッセージ番号テーブル22は、「接続先IPアドレス」22a、「接続先ポート番号」22b、「接続元IPアドレス」22c、「接続元ポート番号」22d、「上りメッセージ番号」22e、「下りメッセージ番号」21fのデータ項目を含む。各項目に格納される情報については、後述する。 FIG. 8 shows an example of the message number table 22. The message number table 22 includes “connection destination IP address” 22a, “connection destination port number” 22b, “connection source IP address” 22c, “connection source port number” 22d, “upstream message number” 22e, and “downstream message number”. 21f data items are included. Information stored in each item will be described later.
図9は、パケットのデータ構造を示す。パケットは、IPヘッダ、TPCヘッダ、TPCデータを含む。
図10は、IPヘッダの構造を示す。IPヘッダは、バージョン、ヘッダ長、サービスタイプ、パケット長、識別子、フラグ、フラグメントオフセット、生存時間、プロトコル、ヘッダチェックサム、送信元IPアドレス、送信先IPアドレス、オプション、パディングの項目を有する。「パケット長」には、パケット全体のサイズ(byte)がセットされる。「送信元IPアドレス」には、送信元のIPアドレスがセットされる。「送信先IPアドレス」には、送信先のIPアドレスがセットされる。これ以外の項目については、本実施形態で言及しないので、省略する。
FIG. 9 shows the data structure of the packet. The packet includes an IP header, a TPC header, and TPC data.
FIG. 10 shows the structure of the IP header. The IP header has items of version, header length, service type, packet length, identifier, flag, fragment offset, lifetime, protocol, header checksum, source IP address, destination IP address, option, and padding. In the “packet length”, the size (bytes) of the entire packet is set. The “source IP address” is set to the source IP address. In the “destination IP address”, the IP address of the transmission destination is set. Since other items are not mentioned in this embodiment, they are omitted.
図11は、TPCヘッダの構造を示す。TPCヘッダは、送信元ポート番号、送信先ポート番号、シーケンス番号、確認応答番号、ヘッダ長、予約ビット、フラグ、ウィンドウサイズ、チェックサム、緊急ポインタ、オプション、パディングの項目を有する。「送信元ポート番号」には、送信元のポート番号がセットされる。「送信先ポート番号」には、送信先のポート番号がセットされる。 FIG. 11 shows the structure of the TPC header. The TPC header includes items of a transmission source port number, a transmission destination port number, a sequence number, an acknowledgment number, a header length, a reserved bit, a flag, a window size, a checksum, an emergency pointer, an option, and padding. In the “transmission source port number”, the port number of the transmission source is set. In “destination port number”, the port number of the transmission destination is set.
図12は、TPCコネクションのシーケンスの一例を示す。まずは、スリーウェイハンドシェイクによるTCPコネクションの確立について説明する。接続を要求する側(以下、クライアントという)から接続を要求される側(以下、サーバという)へSYNパケット(TCPヘッダ内のSYNを示すフラグが立ったパケット)を送る。サーバは、SYN−ACKパケット(TCPヘッダ内の項目「フラグ」において、SYNフラグとACKフラグが立ったパケット)をクライアントに送る。クライアントは、ACKパケット(ACKフラグが立ったパケット)をサーバに送る。これにより、接続を要求する側(クライアント)と接続を要求される側(サーバ)の間のコネクションが確立する。 FIG. 12 shows an example of a TPC connection sequence. First, establishment of a TCP connection by a three-way handshake will be described. A SYN packet (a packet in which a flag indicating SYN in the TCP header is set) is sent from a connection requesting side (hereinafter referred to as a client) to a connection requesting side (hereinafter referred to as a server). The server sends a SYN-ACK packet (a packet in which the SYN flag and the ACK flag are set in the item “flag” in the TCP header) to the client. The client sends an ACK packet (a packet with the ACK flag set) to the server. This establishes a connection between the connection requesting side (client) and the connection requesting side (server).
ここで、接続を要求する側(クライアント)を「接続元」という。接続を要求される側(サーバ)を「接続先」という。接続を要求する側(クライアント)から接続を要求される側(サーバ)への接続方向を「上り」といい、その反対の方向を「下り」という。 Here, a connection requesting side (client) is referred to as a “connection source”. The side (server) that is requested to connect is called “connection destination”. The connection direction from the connection requesting side (client) to the connection requesting side (server) is called “up”, and the opposite direction is called “down”.
次に、TPCコネクションの切断について説明する。TCPコネクションを切断しようとするコンピュータから、他方のコンピュータへコネクションの切断を要求するFINパケット(TCPヘッダ内の項目「フラグ」において、FINフラグが立ったパケット)を送信する。これに対して、該他方のコンピュータは、TCPコネクションを切断しようとするコンピュータへACKパケットを送り、片方向のコネクションが開放される。さらに、該他方のコンピュータがTCPコネクションを切断しようとするコンピュータへFINパケットを送る。これに対して、TCPコネクションを切断しようとするコンピュータは、ACKパケットを他のコンピュータへ送り、もう片方向のコネクションも開放される。 Next, the disconnection of the TPC connection will be described. A FIN packet (a packet in which the FIN flag is set in the item “flag” in the TCP header) requesting the disconnection of the connection is transmitted from the computer to be disconnected of the TCP connection to the other computer. On the other hand, the other computer sends an ACK packet to the computer trying to disconnect the TCP connection, and the one-way connection is released. Further, the other computer sends a FIN packet to the computer that is going to disconnect the TCP connection. On the other hand, the computer trying to disconnect the TCP connection sends an ACK packet to the other computer, and the connection in the other direction is also released.
図13は、通信パケットの送信間隔について説明するための図である。同一メッセージを構成するセグメントを含むパケット間の送信間隔と、相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔とでは、その送信間隔が異なる。具体的には、相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔よりも、同一メッセージを構成するセグメントを含むパケット間の送信間隔の方が短い。このように、同一メッセージを構成するセグメントを含むパケット間の送信間隔と、相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔とが異なるのは、例えば、次の原因による。コンピュータのメッセージ送信処理に関連し、コンピュータのアプリケーションがカーネルに対して、メッセージ単位に送信要求を行う。そのため、カーネル内でパケットに分割された同一メッセージを構成するセグメントを含むパケット間の送信間隔は、比較的短くなる。一方、コンピュータのアプリケーションで分割された、例えば2つの異なるメッセージ送信要求は、別々にシーケンシャルにカーネルに対して送信要求を行う。そのため、アプリケーションで分割された相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔は、カーネル内でパケットに分割された同一メッセージを構成するセグメントを含むパケット間の送信間隔と比べて比較的長くなる。 FIG. 13 is a diagram for explaining a transmission interval of communication packets. The transmission interval is different between a transmission interval between packets including segments constituting the same message and a transmission interval between packets including segments constituting different messages. Specifically, the transmission interval between the packets including the segments constituting the same message is shorter than the transmission interval between the packets including the segments constituting the mutually different messages. As described above, the reason why the transmission interval between the packets including the segments constituting the same message and the transmission interval between the packets including the segments constituting the different messages are different from each other, for example. In connection with computer message transmission processing, a computer application makes a transmission request to the kernel in units of messages. For this reason, the transmission interval between packets including segments constituting the same message divided into packets in the kernel is relatively short. On the other hand, for example, two different message transmission requests divided by a computer application are separately and sequentially transmitted to the kernel. For this reason, the transmission interval between packets including segments constituting different messages divided by the application is relatively smaller than the transmission interval between packets including segments constituting the same message divided into packets in the kernel. become longer.
図14は、パケットの送信間隔とその頻度との相関分布を示す。横軸は、パケットの送信間隔を示す。縦軸は、パケットの送信頻度を示す。同一メッセージを構成するセグメントを含むパケット間の送信間隔の分布曲線を符号41で示す。相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔の分布曲線を符号42で示す。 FIG. 14 shows a correlation distribution between packet transmission intervals and their frequencies. The horizontal axis indicates the packet transmission interval. The vertical axis indicates the packet transmission frequency. A distribution curve of a transmission interval between packets including segments constituting the same message is denoted by reference numeral 41. A distribution curve of a transmission interval between packets including segments constituting different messages is indicated by reference numeral 42.
2つの分布曲線は、図14に示すように分布が異なる。この例では、2つの分布曲線は、送信時間0.00007[msec]で交差している。そこで、送信時間0.00007[msec]を閾値とする。すなわち、送信間隔が0.00007[msec]以下の場合、同一メッセージを構成するセグメントを含むパケット間の送信間隔と判定することができる。また、送信間隔が0.00007[msec]より長い場合、相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔と判定することができる。もちろん、閾値は0.00007に限定されず、適宜調整してよい。 The two distribution curves have different distributions as shown in FIG. In this example, the two distribution curves intersect at a transmission time of 0.00007 [msec]. Therefore, the transmission time 0.00007 [msec] is set as a threshold value. That is, when the transmission interval is 0.00007 [msec] or less, it can be determined that the transmission interval is between packets including a segment constituting the same message. Further, when the transmission interval is longer than 0.00007 [msec], it can be determined as a transmission interval between packets including segments constituting different messages. Of course, the threshold value is not limited to 0.00007, and may be adjusted as appropriate.
これより、相互に異なるメッセージを構成するセグメントを含むパケット間の送信間隔よりも、同一メッセージを構成するセグメントを含むパケット間の送信間隔の方が短いという特性を用いて、次の判定をすることができる。すなわち、その特性を用いて、連続して受信したパケットが同一のメッセージを構成するパケットか否かを判定することができる。したがって、メッセージ単位でパケットを検出できるので、メッセージ単位でパケットを各メッセージ解析処理(CPU)に振り分けることができる。この場合、パケットの組み立て処理に影響を与えない。よって、コネクション単位でパケットを各CPUに振り分ける場合に比べ、メッセージ単位で振り分けることができるので、コネクション確立時に選択されたCPU以外のCPUに、パケットを振り分けることができる。したがって、同一コネクション内においても、コネクション確立時に選択されたCPU以外のCPUにメッセージ処理の負荷を分散させる事ができる。 Therefore, the following determination is made by using the characteristic that the transmission interval between packets including the segments constituting the same message is shorter than the transmission interval between packets including the segments constituting different messages. Can do. That is, it is possible to determine whether or not consecutively received packets are packets constituting the same message using the characteristics. Therefore, since a packet can be detected in message units, the packet can be distributed to each message analysis process (CPU) in message units. In this case, the packet assembly process is not affected. Therefore, as compared with the case where packets are distributed to each CPU in connection units, the packets can be distributed in message units, so that packets can be distributed to CPUs other than the CPU selected at the time of establishing a connection. Therefore, even within the same connection, the message processing load can be distributed to CPUs other than the CPU selected when the connection is established.
負荷分散方法としては、次のように行う。同一プロトコル内のパケットについての送信の場合、メッセージ長とメッセージ解析の処理時間は比例する。このことから、バッファリングされているメッセージ長の総和が均等になる様に、パケットを各メッセージ解析処理(CPU)に分散させて、処理量を均等にし、各CPUにより処理されるパケットの待機時間を平準化させる。 The load distribution method is as follows. In the case of transmission of packets within the same protocol, the message length is proportional to the message analysis processing time. For this reason, packets are distributed to each message analysis process (CPU) so that the sum of buffered message lengths is equalized, the processing amount is equalized, and the waiting time of packets processed by each CPU Leveling.
一方、プロトコルが異なる場合、プロトコルに応じてメッセージ解析における処理量、すなわちメッセージ毎(すなわち、パケット毎)の処理時間が異なる。そのため、プロトコルに応じてパケット毎の処理時間に重み付けを行い、各CPUにより処理されるパケットの待機時間を平準化させる。 On the other hand, when the protocol is different, the processing amount in the message analysis, that is, the processing time for each message (that is, for each packet) differs depending on the protocol. Therefore, the processing time for each packet is weighted according to the protocol, and the waiting time of packets processed by each CPU is leveled.
重み付けの方法は、HTTP,IIOP等の各プロトコルを解析するモジュールを用いて1メッセージ(メッセージ長)を処理する時間を測定し、例えば、1バイト当たりの処理時間を求める。ここで、HTTPは、HyperText Transfer Protocolである。IIOPは、Internet Inter-ORB Protocolである。そして、メッセージ長(バイト)に、プロトコルに応じた重み付け値(1バイト当たりの処理時間)を乗算して、プロトコルに応じた1メッセージ当たりの処理時間を算出することができる。この算出した処理時間を待機時間に加算していく。これにより、プロトコル種別に応じた処理時間の相違を吸収し、パケットの振り分け処理を行うことができる。これについて、図15を用いて説明する。 As a weighting method, a time for processing one message (message length) is measured using a module for analyzing each protocol such as HTTP, IIOP, and the processing time per byte is obtained, for example. Here, HTTP is HyperText Transfer Protocol. IIOP is the Internet Inter-ORB Protocol. The message length (bytes) can be multiplied by a weighting value (processing time per byte) corresponding to the protocol to calculate the processing time per message corresponding to the protocol. The calculated processing time is added to the waiting time. Thereby, the difference in processing time according to the protocol type can be absorbed, and packet distribution processing can be performed. This will be described with reference to FIG.
図15は、マルチプロセッサによる、メッセージ単位でのパケットの分散処理シーケンスを示す。例えば、CPU0は、記憶装置12からパケット受信プログラム15を読み出し、パケット受信処理を実行するものとする。また、例えば、CPU1,2はそれぞれ、記憶装置12からメッセージ解析プログラム16を読み出し、メッセージ解析処理を実行するものとする。 FIG. 15 shows a packet distribution processing sequence in units of messages by the multiprocessor. For example, the CPU 0 reads the packet reception program 15 from the storage device 12 and executes packet reception processing. Further, for example, each of the CPUs 1 and 2 reads the message analysis program 16 from the storage device 12 and executes message analysis processing.
CPU0は、NIC13から送られたパケットを連続して受信する(S11)。CPU0は、パケットのヘッダ情報(IPヘッダ及びTCPヘッダ)に基づいて、そのパケットに対応するコネクションを識別し、コネクションの接続方向を識別し、パケットの送信方向を識別する(S12)。 CPU0 continuously receives the packets sent from NIC 13 (S11). The CPU 0 identifies the connection corresponding to the packet based on the packet header information (IP header and TCP header), identifies the connection direction of the connection, and identifies the transmission direction of the packet (S12).
CPU0は、パケットの受信間隔に基づいて、メッセージの先頭となるパケットを検出する(S13)。なお、本実施形態では、パケットの送信間隔を、分析装置1における受信間隔として検出することとする。 The CPU 0 detects the packet that is the head of the message based on the packet reception interval (S13). In the present embodiment, the packet transmission interval is detected as a reception interval in the analysis apparatus 1.
CPU0は、メッセージ解析処理の待機時間に応じて、CPUを選択する(S14)。CPU0は、メッセージを各CPUへ振り分けるために用いられる情報を更新する(S15)。メッセージを各CPUへ振り分けるために用いられる情報については後述する。 The CPU 0 selects a CPU according to the waiting time for the message analysis process (S14). CPU0 updates the information used for distributing the message to each CPU (S15). Information used to distribute the message to each CPU will be described later.
CPU0は、同一のメッセージを構築するパケットに、同一のメッセージ番号と、送信方向を特定する情報とを付加する。そして、CPU0は、S14で選択したCPUが使用するバッファに、メッセージ番号及び送信方向が付加されたパケットを書き込む(S16)。 The CPU 0 adds the same message number and information specifying the transmission direction to the packets that construct the same message. Then, the CPU 0 writes the packet with the message number and the transmission direction added to the buffer used by the CPU selected in S14 (S16).
CPUn(n=1,2)は、バッファnに書き込まれたパケットを、パケットに付与されたメッセージ番号に基づいて、メッセージ単位で読み出す(S17−1、S17−2)。なお、本実施形態では、選択可能なCPUが2つなのでn=1,2であるが、選択可能なCPUが3つ以上あればn=1〜m(m≧3)となる。CPUnは、読み出した各パケットのIPヘッダからパケット長を取得し、取得したパケット長の総和をメッセージ長として算出する(S18−1、S18−2)。 The CPUn (n = 1, 2) reads the packet written in the buffer n in message units based on the message number assigned to the packet (S17-1, S17-2). In this embodiment, n = 1 and 2 because there are two selectable CPUs. However, if there are three or more selectable CPUs, n = 1 to m (m ≧ 3). CPUn obtains the packet length from the IP header of each read packet, and calculates the sum of the obtained packet lengths as the message length (S18-1, S18-2).
CPUnは、読み出した各パケットから分割されたメッセージを取り出し、メッセージを組み立てる。CPUnは、その組み立てたメッセージの解析を行う(S19−1,S19−2)。CPUnは、そのメッセージの解析処理に費やした時間を計測する(S19−1、S19−2)。CPUnは、重み付けに関する情報の更新を行う(S20−1、S20−2)。 CPUn takes out the divided messages from each read packet and assembles the messages. CPUn analyzes the assembled message (S19-1, S19-2). CPUn measures the time spent for the analysis process of the message (S19-1, S19-2). CPUn updates information on weighting (S20-1, S20-2).
なお、本実施形態では、CPU0は、S17〜S21の処理を行わないが、これに限定されず、S17〜S21の処理を行うようにしてもよい。図15について、さらに、図16−図18を用いて、詳述する。 In the present embodiment, the CPU 0 does not perform the processes of S17 to S21, but is not limited thereto, and may perform the processes of S17 to S21. FIG. 15 will be further described in detail with reference to FIGS.
図16及び図17は、CPU0により行われる、メッセージ単位でのパケットの分散処理シーケンスの詳細を示す。図16,図17のフローは、図15のS11−S16の詳細を示す。 16 and 17 show details of a packet distribution processing sequence in units of messages performed by the CPU0. The flow of FIG. 16, FIG. 17 shows the detail of S11-S16 of FIG.
CPU0は、分析アプリケーション14により取り込まれたパケットを連続して受信する(S31)。CPU0は、受信したパケットのIPヘッダから「送信元IPアドレス」、「送信先IPアドレス」を取得する。さらに、CPU0は、TCPヘッダから「送信元ポート番号」、「送信先ポート番号」を取得する(S32)。以下では、「送信元IPアドレス」、「送信先IPアドレス」、「送信元ポート番号」、「送信先ポート番号」を「送信関係情報」という。 The CPU 0 continuously receives the packets captured by the analysis application 14 (S31). The CPU 0 acquires “source IP address” and “destination IP address” from the IP header of the received packet. Further, the CPU 0 acquires “transmission source port number” and “transmission destination port number” from the TCP header (S32). Hereinafter, “transmission source IP address”, “transmission destination IP address”, “transmission source port number”, and “transmission destination port number” are referred to as “transmission related information”.
CPU0は、S32で取得した送信関係情報を用いて、図4に示すコネクション情報テーブル18を検索する。これにより、コネクションが確立しているかを検出し、さらにパケットの送信方向を検出する(S33)。具体的には、CPU0は、S32で取得した送信関係情報と一致するコネクション情報(「接続先IPアドレス」、「接続先ポート番号」、「接続元IPアドレス」、「接続元ポート番号」)がコネクション情報テーブル18に登録されているか否かを判断する。 The CPU 0 searches the connection information table 18 shown in FIG. 4 using the transmission relation information acquired in S32. Thereby, it is detected whether the connection is established, and further the transmission direction of the packet is detected (S33). Specifically, the CPU 0 has connection information (“connection destination IP address”, “connection destination port number”, “connection source IP address”, “connection source port number”) that matches the transmission relation information acquired in S32. It is determined whether or not it is registered in the connection information table 18.
ここで、スリーウェイハンドシェイクによるコネクション確立前には、そのコネクションについてのコネクション情報は、コネクション情報テーブル18に登録されていないから、S34で「No」へ進む。それから、S36〜S38(S38で「No」)へ進み、CPU0は、受信パケットがコネクション確立メッセージであるかを判断する(S40)。受信パケットがコネクション確立メッセージでない場合(S40で「No」)、本フローは終了する。 Here, before the connection is established by the three-way handshake, the connection information for the connection is not registered in the connection information table 18, and therefore the process proceeds to “No” in S34. Then, the process proceeds to S36 to S38 (“No” in S38), and the CPU 0 determines whether the received packet is a connection establishment message (S40). If the received packet is not a connection establishment message (“No” in S40), this flow ends.
したがって、スリーウェイハンドシェイクによるコネクション確立準備段階において、SYNパケット、SYN−ACKパケットを受信した場合には(S40で「No」)、本フローは終了する。 Therefore, when a SYN packet or a SYN-ACK packet is received in the connection establishment preparation stage by the three-way handshake (“No” in S40), this flow ends.
SYNパケット、SYN−ACKパケットを受信後、さらにACKパケットを受信した場合、すなわち、コネクション確立メッセージを検出した場合(S40で「Yes」)、CPU0は、コネクションの確立を確認する(S41)。この場合、CPU0は、S32で取得した送信関係情報をコネクション情報(「接続先IPアドレス」、「接続先ポート番号」、「接続元IPアドレス」、「接続元ポート番号」)としてコネクション情報テーブル18へ登録する(S42)。これにより、本フローを終了する。 When an ACK packet is received after receiving the SYN packet and the SYN-ACK packet, that is, when a connection establishment message is detected (“Yes” in S40), the CPU 0 confirms the establishment of the connection (S41). In this case, the CPU 0 uses the connection information acquired in S32 as connection information (“connection destination IP address”, “connection destination port number”, “connection source IP address”, “connection source port number”) as the connection information table 18. (S42). Thereby, this flow is complete | finished.
このように、スリーウェイハンドシェイクによるコネクション確立準備段階の間は、S31〜S33、S34で「No」、S36〜S37、S38で「No」、S40の処理を繰り返す。 In this way, during the connection establishment preparation stage by the three-way handshake, the processes of “No” in S31 to S33 and S34, “No” in S36 to S37 and S38, and S40 are repeated.
コネクション確立後に受信したパケットの場合、S31,S32の処理後、CPU0は、S32で取得した送信関係情報を用いてコネクション情報テーブル18を検索する。これにより、CPU0は、コネクションが確立しているかを検出し、さらにパケットの送信方向を検出する(S33)。 In the case of a packet received after the connection is established, after the processing of S31 and S32, the CPU 0 searches the connection information table 18 using the transmission relation information acquired in S32. Thereby, CPU0 detects whether the connection is established, and further detects the transmission direction of the packet (S33).
S32で取得した送信関係情報と一致するコネクション情報がコネクション情報テーブル18に登録されている場合(S34で「Yes」)、CPU0は、コネクションの接続方向に対して、受信パケットの送信方向を「上り」と特定する(S35)。それから、CPU0は、S43の処理を行う。 When connection information that matches the transmission relationship information acquired in S32 is registered in the connection information table 18 (“Yes” in S34), the CPU 0 sets the transmission direction of the received packet to “uplink” with respect to the connection direction of the connection. Is specified (S35). Then, CPU0 performs the process of S43.
S32で取得した送信関係情報と一致するコネクション情報がコネクション情報テーブル18に登録されていない場合(S34で「No」)、CPU0は以下の処理を実行する。すなわち、CPU0は、送信関係情報の「送信先IPアドレス」と「送信元IPアドレス」の内容を入れ替え、「送信先ポート番号」と「送信元ポート番号」の内容と入れ替える(S36)。以下では、S36で入れ替えた送信関係情報を「入れ替え送信関係情報」という。 When connection information that matches the transmission relationship information acquired in S32 is not registered in the connection information table 18 (“No” in S34), the CPU 0 executes the following processing. That is, the CPU 0 exchanges the contents of “transmission destination IP address” and “transmission source IP address” in the transmission related information, and exchanges the contents of “transmission destination port number” and “transmission source port number” (S36). Hereinafter, the transmission related information replaced in S36 is referred to as “replacement transmission related information”.
CPU0は、入れ替え送信関係情報を用いてコネクション情報テーブル18を検索する。これにより、CPU0は、コネクションが確立しているかを検出し、さらにパケットの送信方向を検出する(S37)。具体的には、CPU0は、入れ替え送信関係情報と一致するコネクション情報がコネクション情報テーブル18に登録されているか否かを判断する。 The CPU 0 searches the connection information table 18 using the exchange transmission relation information. Thereby, CPU0 detects whether the connection is established, and further detects the transmission direction of the packet (S37). Specifically, the CPU 0 determines whether or not connection information that matches the exchange transmission relation information is registered in the connection information table 18.
入れ替え送信関係情報と一致するコネクション情報がコネクション情報テーブル18に登録されている場合(S38で「Yes」)、CPU0は、コネクションの接続方向に対して、受信パケットの送信方向を「下り」と特定する(S39)。それから、CPU0は、S43の処理を行う。 When connection information that matches the exchange transmission relation information is registered in the connection information table 18 (“Yes” in S38), the CPU 0 identifies the transmission direction of the received packet as “downlink” with respect to the connection direction of the connection. (S39). Then, CPU0 performs the process of S43.
入れ替え送信関係情報と一致するコネクション情報がコネクション情報テーブル18に登録されていない場合(S38で「No」)、上述したように、S40〜S42の処理を行う。 When connection information that matches the exchange transmission relation information is not registered in the connection information table 18 (“No” in S38), the processing of S40 to S42 is performed as described above.
なお、以下では、パケットの送信方向が「上り」と特定された送信関係情報、及びパケットの送信方向が「下り」と特定された入れ替え送信関係情報を、「対象コネクション情報」という。 In the following, the transmission relationship information in which the packet transmission direction is specified as “uplink” and the exchange transmission relationship information in which the packet transmission direction is specified as “downlink” are referred to as “target connection information”.
S35またはS39の処理後、CPU0は、送信方向(上り/下り)単位に、連続して受信したパケットの受信間隔を測定する(S43)。パケットの受信間隔を測定するため、例えば、CPU0は次の処理を行う。上述したように、本実施形態では、パケットの送信間隔を、分析装置1における受信間隔として検出することとする。 After the process of S35 or S39, the CPU 0 measures the reception interval of continuously received packets in the transmission direction (up / down) unit (S43). In order to measure the packet reception interval, for example, the CPU 0 performs the following processing. As described above, in this embodiment, the packet transmission interval is detected as the reception interval in the analysis apparatus 1.
パケットの受信間隔を計測する第1の例として、CPU0は、自身の有するタイマー機能または時計回路を用いて、パケットを受信したときの時刻を取得する。CPU0は、前回、パケットを受信した時の時刻をメモリ11から読み出す。そして、CPU0は、その読み出した前回のパケットの受信時刻と、今回パケットを受信したときの受信時刻との差を受信間隔として算出する。それから、CPU0は、今回パケットを受信したときの受信時刻によって、メモリ11上に格納された前回の受信時刻を更新する。 As a first example of measuring the packet reception interval, the CPU 0 acquires the time when the packet is received using its own timer function or clock circuit. The CPU 0 reads the time when the packet was received last time from the memory 11. Then, the CPU 0 calculates the difference between the reception time of the read previous packet and the reception time when the current packet is received as a reception interval. Then, the CPU 0 updates the previous reception time stored in the memory 11 with the reception time when the current packet is received.
パケットの受信間隔を計測する第2の例として、CPU0は、CPU0の有するカウント機能または時計回路の有するカウント機能を用いて、パケットの受信間隔をカウントするようにしてもよい。例えば、パケットを受信した場合、カウンタを0で初期化して、次のパケットを受信するまでの間隔をカウントする。そのカウントした値を受信間隔としてもよい。 As a second example of measuring the packet reception interval, the CPU 0 may count the packet reception interval using the count function of the CPU 0 or the count function of the clock circuit. For example, when a packet is received, the counter is initialized with 0 and the interval until the next packet is received is counted. The counted value may be used as the reception interval.
CPU0は、S43で算出した受信間隔と、閾値とを比較する(S44)。ここで、閾値は、図14で説明した送信間隔についての閾値である。S43で算出した受信間隔が閾値以下である場合は、CPU0は、受信パケットがメッセージ内で2番目以降のパケットであると判定する。また、S43で算出した受信間隔が閾値より長い場合は、CPU0は、受信パケットがメッセージの先頭パケットであると判定する。 CPU0 compares the reception interval calculated in S43 with a threshold value (S44). Here, the threshold is a threshold for the transmission interval described in FIG. If the reception interval calculated in S43 is equal to or smaller than the threshold, the CPU 0 determines that the received packet is the second and subsequent packets in the message. If the reception interval calculated in S43 is longer than the threshold, the CPU 0 determines that the received packet is the first packet of the message.
S44において、先頭パケットであると判定した場合、CPU0は、図5に示す振り分け用テーブル19から各CPUに対応する「待機時間」19bを読み出し、最も短い待機時間のCPU番号を取得する(S45)。なお、「待機時間」19bには、各CPUの使用する現在のバッファ内に格納されたパケットの待機時間の合計が格納されている。 If it is determined in S44 that the packet is the first packet, the CPU 0 reads the “waiting time” 19b corresponding to each CPU from the distribution table 19 shown in FIG. 5, and obtains the CPU number of the shortest waiting time (S45). . The “waiting time” 19b stores the total waiting time of packets stored in the current buffer used by each CPU.
CPU0は、S35またはS39で特定された受信パケットの送信方向と、対象コネクション情報と、S45で取得したCPU番号とを関係付けて、図7に示すCPU番号テーブル21に格納する(S46)。具体的には、CPU0は、CPU番号テーブル21から、対象コネクション情報に一致するコネクション情報を検索する。 The CPU 0 associates the transmission direction of the received packet specified in S35 or S39, the target connection information, and the CPU number acquired in S45, and stores it in the CPU number table 21 shown in FIG. 7 (S46). Specifically, the CPU 0 searches the CPU number table 21 for connection information that matches the target connection information.
CPU番号テーブル21に、対象コネクション情報に一致するコネクション情報が存在しない場合、CPU0は、対象コネクション情報と、S45で取得したCPU番号とを関係付けてCPU番号テーブル21に格納する。このとき、CPU0は、受信パケットの送信方向が「上り」の場合、「上りCPU番号」21eに、S45で取得したCPU番号を格納する。また、CPU0は、受信パケットの送信方向が「下り」の場合、「下りCPU番号」21fに、S45で取得したCPU番号を格納する。 If there is no connection information that matches the target connection information in the CPU number table 21, the CPU 0 associates the target connection information with the CPU number acquired in S45 and stores it in the CPU number table 21. At this time, if the transmission direction of the received packet is “upstream”, the CPU 0 stores the CPU number acquired in S45 in the “upstream CPU number” 21e. Further, when the transmission direction of the received packet is “downlink”, the CPU 0 stores the CPU number acquired in S45 in the “downlink CPU number” 21f.
CPU番号テーブル21に、対象コネクション情報に一致するコネクション情報が存在する場合、CPU0は、次を行う。すなわち、CPU0は、受信パケットの送信方向が「上り」の場合、検索されたコネクション情報に対応する「上りCPU番号」21eに、S45で取得したCPU番号を格納する。また、CPU0は、受信パケットの送信方向が「下り」の場合、検索されたコネクション情報に対応する「下りCPU番号」21fに、S45で取得したCPU番号を格納する。 When connection information that matches the target connection information exists in the CPU number table 21, the CPU 0 performs the following. That is, when the transmission direction of the received packet is “uplink”, the CPU 0 stores the CPU number acquired in S45 in the “uplink CPU number” 21e corresponding to the searched connection information. Further, when the transmission direction of the received packet is “downlink”, the CPU 0 stores the CPU number acquired in S45 in the “downlink CPU number” 21f corresponding to the searched connection information.
次に、CPU0は、メッセージ番号Mをインクリメントし、そのインクリメントしたメッセージ番号Mを、図8に示すメッセージ番号テーブル22に格納する(S47)。具体的には、CPU0は、メッセージ番号テーブル22から、対象コネクション情報に一致するコネクション情報を検索する。 Next, the CPU 0 increments the message number M and stores the incremented message number M in the message number table 22 shown in FIG. 8 (S47). Specifically, the CPU 0 searches the message number table 22 for connection information that matches the target connection information.
メッセージ番号テーブル22に、対象コネクション情報に一致するコネクション情報が存在しない場合、CPU0は、対象コネクション情報と、メッセージ番号N=1とを関係付けてメッセージ番号テーブル22に格納する。このとき、CPU0は、受信パケットの送信方向が「上り」の場合、「上りメッセージ」番号22eに「1」を格納する。また、CPU0は、受信パケットの送信方向が「下り」の場合、「下りメッセージ」番号22fに「1」を格納する。 If there is no connection information that matches the target connection information in the message number table 22, the CPU 0 associates the target connection information with the message number N = 1 and stores it in the message number table 22. At this time, if the transmission direction of the received packet is “upstream”, the CPU 0 stores “1” in the “upstream message” number 22e. Further, when the transmission direction of the received packet is “downlink”, the CPU 0 stores “1” in the “downlink message” number 22 f.
メッセージ番号テーブル22に、対象コネクション情報に一致するコネクション情報が存在する場合、CPU0は、次を行う。すなわち、CPU0は、受信パケットの送信方向が「上り」の場合、検索されたコネクション情報に対応する「上りメッセージ番号」22eの値をインクリメントする。また、CPU0は、受信パケットの送信方向が「下り」の場合、検索されたコネクション情報に対応する「下りメッセージ番号」22fの値をインクリメントする。 If there is connection information that matches the target connection information in the message number table 22, the CPU 0 performs the following. That is, when the transmission direction of the received packet is “uplink”, the CPU 0 increments the value of the “uplink message number” 22e corresponding to the searched connection information. Further, when the transmission direction of the received packet is “downlink”, the CPU 0 increments the value of the “downlink message number” 22 f corresponding to the searched connection information.
CPU0は、S31で取得したパケットのIPヘッダから、「パケット長」を取得する。それから、CPU0は、図6に示す処理時間重み付け値テーブル20から、対象コネクション情報の「接続先ポート番号」に対応するプロトコル名に一致するプロトコル名を検索し、そのプロトコル名に対応する「1バイト当たりの処理時間」を取得する。CPU0は、取得したパケット長に、取得した「1バイト当たりの処理時間」を乗算して、そのプロトコルについての1パケット当たりの処理時間を算出する(S49)。 The CPU 0 acquires “packet length” from the IP header of the packet acquired in S31. The CPU 0 then searches the processing time weighting value table 20 shown in FIG. 6 for a protocol name that matches the protocol name corresponding to the “connection destination port number” of the target connection information, and “1 byte” corresponding to the protocol name. Per process time ”. The CPU 0 multiplies the acquired packet length by the acquired “processing time per byte” to calculate the processing time per packet for the protocol (S49).
CPU0は、振り分け用テーブル19において、S46で保存したCPU番号に対応する「待機時間」に、S49で算出した処理時間を加算する(S50)。
CPU0は、メモリ11において、S46で保存したCPU番号により特定されるCPUの使用するバッファを探索する(S51)。
In the distribution table 19, the CPU 0 adds the processing time calculated in S49 to the “waiting time” corresponding to the CPU number saved in S46 (S50).
CPU0 searches memory 11 for a buffer used by the CPU specified by the CPU number saved in S46 (S51).
CPU0は、S31で取得したパケットに、S47で保存したメッセージ番号Mを付加し、さらにS35またはS39で特定したパケットの送信方向を「上り/下りフラグ」として付加する。CPU0は、S51で探索したバッファに、そのメッセージ番号と上り/下りフラグとを付加したパケットを書き込み(S52)、本フローは終了する。 The CPU 0 adds the message number M stored in S47 to the packet acquired in S31, and further adds the transmission direction of the packet specified in S35 or S39 as an “up / down flag”. CPU0 writes the packet with the message number and the up / down flag added to the buffer searched in S51 (S52), and this flow ends.
S44において、2番目以降のパケットであると判定した場合、CPU0は、先頭パケットの処理(S45−S47)のときに保存したCPU番号及びメッセージ番号を取得する(S48)。 If it is determined in S44 that the packet is the second or subsequent packet, the CPU 0 acquires the CPU number and message number stored during the processing of the first packet (S45-S47) (S48).
すなわち、受信パケットの送信方向が「上り」の場合、CPU0は、CPU番号テーブル21から、対象コネクション情報と一致するコネクション情報を検索し、その検索したコネクション情報に対応する「上りCPU番号」を取得する。このとき、CPU0は、メッセージ番号テーブル22から、対象コネクション情報と一致するコネクション情報を検索し、その検索したコネクション情報に対応する「上りメッセージ番号」を取得する。 That is, when the transmission direction of the received packet is “uplink”, the CPU 0 searches the CPU number table 21 for connection information that matches the target connection information, and acquires the “uplink CPU number” corresponding to the searched connection information. To do. At this time, the CPU 0 searches the message number table 22 for connection information that matches the target connection information, and acquires an “uplink message number” corresponding to the searched connection information.
また、受信パケットの送信方向が「下り」の場合、CPU0は、CPU番号テーブル21から、対象コネクション情報と一致するコネクション情報を検索し、その検索したコネクション情報に対応する「下りCPU番号」を取得する。このとき、CPU0は、メッセージ番号テーブル22から、対象コネクション情報と一致するコネクション情報を検索し、その検索したコネクション情報に対応する「下りメッセージ番号」を取得する。 When the transmission direction of the received packet is “downlink”, the CPU 0 searches the CPU number table 21 for connection information that matches the target connection information, and acquires the “downlink CPU number” corresponding to the searched connection information. To do. At this time, the CPU 0 searches the message number table 22 for connection information that matches the target connection information, and acquires the “downstream message number” corresponding to the searched connection information.
CPU0は、S31で取得したパケットのIPヘッダから、「パケット長」を取得する。それから、CPU0は、処理時間重み付け値テーブル20から、対象コネクション情報の「接続先ポート番号」に対応するプロトコル名に一致するプロトコル名を検索し、そのプロトコル名に対応する「1バイト当たりの処理時間」を取得する。CPU0は、取得したパケット長に、取得した「1バイト当たりの処理時間」を乗算して、そのプロトコルについての1パケット当たりの処理時間を算出する(S49)。 The CPU 0 acquires “packet length” from the IP header of the packet acquired in S31. The CPU 0 then searches the processing time weighting value table 20 for a protocol name that matches the protocol name corresponding to the “connection destination port number” of the target connection information, and the “processing time per byte” corresponding to the protocol name. Is obtained. The CPU 0 multiplies the acquired packet length by the acquired “processing time per byte” to calculate the processing time per packet for the protocol (S49).
CPU0は、振り分け用テーブル19において、S48で取得したCPU番号に対応する「待機時間」に、S49で算出した処理時間を加算する(S50)。なお、振り分け用テーブル19は、分析アプリケーション14の起動時に作成されるようにしてもよい。この場合、各CPU番号の「待機時間」19bには、初期値0が格納されている。 In the distribution table 19, the CPU 0 adds the processing time calculated in S49 to the “waiting time” corresponding to the CPU number acquired in S48 (S50). The distribution table 19 may be created when the analysis application 14 is activated. In this case, the initial value 0 is stored in the “waiting time” 19b of each CPU number.
CPU0は、メモリ11において、S48で取得したCPU番号により特定されるCPUの使用するバッファを探索する(S51)。
CPU0は、S31で取得したパケットに、S48で取得したメッセージ番号を付加し、さらにS35またはS39で特定したパケットの送信方向を「上り/下りフラグ」として付加する。CPU0は、S51で探索したバッファに、そのメッセージ番号と上り/下りフラグを付加したパケットを書き込み(S52)、本フローは終了する。
CPU0 searches memory 11 for a buffer used by the CPU specified by the CPU number acquired in S48 (S51).
The CPU 0 adds the message number acquired in S48 to the packet acquired in S31, and further adds the transmission direction of the packet specified in S35 or S39 as an “up / down flag”. CPU0 writes the packet with the message number and the up / down flag added to the buffer searched in S51 (S52), and this flow ends.
図18は、CPUnにより行われる、メッセージ単位でのパケットの分散処理シーケンスの詳細を示す。図18のフローは、図15のS17−S21の詳細を示す。
CPUnは、メモリ11において、自身の使用するバッファ11nから、メッセージ単位でパケットを読み出す(S61)。
FIG. 18 shows the details of a packet distribution processing sequence in units of messages performed by CPUn. The flow of FIG. 18 shows the details of S17-S21 of FIG.
In the memory 11, the CPU n reads a packet in message units from the buffer 11n used by the CPU n (S61).
CPUnは、S61で読み出した各パケットのIPヘッダから「パケット長」を取得し、その「パケット長」の総和を「メッセージ長」として算出する(S62)。
次に、CPUnは、いずれかのパケット(例えば、先頭パケット)に付された上り/下りフラグを読み込む。読み込んだ上り/下りフラグが「上り」を示す場合、CPUnは、先頭パケットのTCPヘッダの「送信先ポート番号」を取得する。読み込んだ上り/下りフラグが「下り」を示す場合、CPUnは、先頭パケットのTCPヘッダの「送信元ポート番号」を取得する。CPUnは、この取得した「送信先ポート番号」(上り/下りフラグが「上り」を示す場合)または「送信元ポート番号」(上り/下りフラグが「下り」を示す場合)に基づいて、プロトコルを識別する(S63)。
The CPU n obtains the “packet length” from the IP header of each packet read in S61, and calculates the sum of the “packet length” as the “message length” (S62).
Next, the CPUn reads an up / down flag attached to any one of the packets (for example, the head packet). When the read up / down flag indicates “up”, the CPU n acquires the “destination port number” of the TCP header of the first packet. When the read up / down flag indicates “down”, the CPU n obtains “source port number” of the TCP header of the first packet. CPUn determines the protocol based on the acquired “destination port number” (when the up / down flag indicates “up”) or “source port number” (when the up / down flag indicates “down”). Is identified (S63).
CPUnは、読み出した各パケットから分割されたメッセージを取り出し、メッセージを組み立てる。CPUnは、その組み立てたメッセージの内容(例えば、リクエスト、レスポンス、命令等)の解析を行う。このとき、CPUnは、その解析処理に費やした時間を計測する(S64)。 CPUn takes out the divided messages from each read packet and assembles the messages. The CPU n analyzes the contents of the assembled message (for example, request, response, command, etc.). At this time, the CPUn measures the time spent for the analysis process (S64).
CPUnは、処理時間重み付け値テーブル20から、S63で識別したプロトコル名に一致するプロトコル名を検索する。CPUnは、その検索したプロトコル名に対応する「解析したメッセージの長さ」、「解析したメッセージの処理時間」それぞれに、S62で測定したメッセージ長、S64で計測した解析処理時間を加算し更新する(S65)。 The CPU n searches the processing time weight value table 20 for a protocol name that matches the protocol name identified in S63. The CPUn adds and updates the message length measured in S62 and the analysis processing time measured in S64 to “analyzed message length” and “analyzed message processing time” corresponding to the retrieved protocol name. (S65).
さらに、CPUnは、S65で更新した「解析したメッセージの処理時間」を、S65で更新した「解析したメッセージの長さ」で除算し、1バイト当たりの処理時間を算出する。CPUは、処理時間重み付け値テーブル20において、S65で更新した「解析したメッセージの処理時間」及び「解析したメッセージの長さ」に対応する「1バイト当たりの処理時間」を、算出した1バイト当たりの処理時間で更新する(S66)。 Further, the CPUn calculates the processing time per byte by dividing the “analyzed message processing time” updated in S65 by the “analyzed message length” updated in S65. In the processing time weighting value table 20, the CPU calculates the “processing time per byte” corresponding to the “processing time of the analyzed message” and “the length of the analyzed message” updated in S65 per calculated byte. The processing time is updated (S66).
CPUnは、振り分け用テーブル19において、CPUn自身のCPU番号に対応する「待機時間」19bの値から、S64で測定した処理時間を差し引き、更新する(S67)。 The CPU n updates the distribution table 19 by subtracting the processing time measured in S64 from the value of the “waiting time” 19b corresponding to the CPU number of the CPU n itself (S67).
なお、上述の実施形態では、振り分け先の各CPUによって使用されるバッファ11内のパケットの待機時間に応じて、パケットを各CPUへ振り分けたが、これに限定されない。例えば、バッファの使用量、バッファの使用率、CPUの使用率等の、各プロセッサにかかる処理負荷を示す情報を取得し、その処理負荷に基づいてパケットを各CPUへ振り分けるようにしてもよい。 In the above-described embodiment, the packet is distributed to each CPU according to the waiting time of the packet in the buffer 11 used by each CPU as a distribution destination. However, the present invention is not limited to this. For example, information indicating the processing load applied to each processor, such as the buffer usage, the buffer usage rate, and the CPU usage rate, may be acquired, and packets may be distributed to the CPUs based on the processing load.
例えば、処理負荷を示す情報がバッファの使用量である場合、振り分け用テーブル19において、「待機時間」19bの代わりに、「バッファの使用量」をデータ項目として保持するようにする。この場合、データ項目「バッファの使用量」には、各CPUの使用する現在のバッファ内に格納されたパケットのデータ容量の合計が格納されている。この場合、S45においてCPU0は振り分け用テーブルから各CPUに対応する「バッファの使用量」を読み出し、最も使用量の少ないCPU番号を取得する。そして、S50において、CPU0は、振り分け用テーブルにおいて、S46で保存したCPU番号に対応する「バッファの使用量」に、S49で取得したパケット長を加算する。そして、S67において、CPUnは、振り分け用テーブルにおいて、CPUn自身のCPU番号に対応する「バッファの使用量」の値から、S64で解析処理を行ったメッセージのメッセージ長を差し引き、更新する。 For example, when the information indicating the processing load is the buffer usage, in the distribution table 19, “buffer usage” is held as a data item instead of “waiting time” 19b. In this case, the data item “buffer usage” stores the total data capacity of the packets stored in the current buffer used by each CPU. In this case, in S45, the CPU 0 reads the “buffer usage” corresponding to each CPU from the distribution table, and acquires the CPU number with the smallest usage. In S50, the CPU 0 adds the packet length acquired in S49 to the “buffer usage” corresponding to the CPU number stored in S46 in the distribution table. In S67, the CPUn updates the distribution table by subtracting the message length of the message analyzed in S64 from the “buffer usage” value corresponding to the CPU number of the CPUn itself.
また、例えば、処理負荷を示す情報がCPUの使用率である場合、各CPUの使用率をOS等から取得し、最も使用率の小さいCPUのバッファへパケットを振り分けるようにしてもよい。 For example, when the information indicating the processing load is the usage rate of the CPU, the usage rate of each CPU may be acquired from the OS or the like, and the packet may be distributed to the buffer of the CPU having the lowest usage rate.
以上より、本実施形態に係る解析処理装置は、受信部、複数の処理部を含む。受信部は、ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信する。NIC13は、受信部の一例である。 As described above, the analysis processing apparatus according to the present embodiment includes a receiving unit and a plurality of processing units. The receiving unit receives packets transmitted and received between computers connected via a network. The NIC 13 is an example of a receiving unit.
前記複数の処理部のうち所定の処理部は、前記受信部で受信したパケットの受信間隔を計測する。CPU0は、所定の処理部の一例である。それから、所定の処理部は、前記計測した受信間隔に応じて、1組のメッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出する。それから、所定の処理部は、前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける。 A predetermined processing unit among the plurality of processing units measures a reception interval of packets received by the receiving unit. The CPU 0 is an example of a predetermined processing unit. Then, the predetermined processing unit detects a packet including a segment corresponding to the head of a set of messages and a packet including a segment corresponding to the second and subsequent messages of the message according to the measured reception interval. Then, the predetermined processing unit distributes the detected packet to one of the plurality of processing units in units of groups.
前記複数の処理部のうち、前記パケットを振り分けられた処理部は、組単位で前記振り分けられた前記パケットに基づいて、前記メッセージの解析を行う。CPU1、CPU2は、前記複数の処理部のうち、前記パケットを振り分けられた処理部の一例である。なお、複数の処理部の一例にCPU0が含まれていてもよい。 Of the plurality of processing units, the processing unit to which the packet is distributed analyzes the message based on the distributed packet in units of sets. CPU1 and CPU2 are examples of processing units to which the packets are distributed among the plurality of processing units. Note that the CPU 0 may be included in an example of the plurality of processing units.
これにより、ネットワーク上を流れるパケットについてのマルチプロセッサによる解析処理において、マルチプロセッサのリソースを効率よく利用することができる。すなわち、ネットワーク上を流れるパケットについてのマルチプロセッサによる解析処理において、メッセージ単位で振り分けることができる。したがって、メッセージ解析処理をするCPUがコネクション単位で固定されることがない。その結果、コネクション単位で振り分ける場合と比較して、コネクション確立後に処理量が変化しても、他のCPUへパケットを振り分けることができる。 This makes it possible to efficiently use the resources of the multiprocessor in the analysis processing by the multiprocessor for packets flowing on the network. That is, in the analysis processing by the multiprocessor for the packet flowing on the network, it can be distributed in units of messages. Therefore, the CPU that performs message analysis processing is not fixed in connection units. As a result, it is possible to distribute packets to other CPUs even if the amount of processing changes after the connection is established, as compared to the case of distributing by connection.
また、前記所定の処理部は、前記計測した受信間隔の値が閾値以上である場合、今回受信したパケットは、前記メッセージの先頭に対応するセグメントを含むパケットであると判定する。また、前記所定の処理部は、前記計測した受信間隔の値が閾値より小さい場合、今回受信したパケットは、該メッセージの2番目以降に対応するセグメントを含むパケットであると判定する。 Further, when the value of the measured reception interval is equal to or greater than a threshold value, the predetermined processing unit determines that the packet received this time is a packet including a segment corresponding to the head of the message. Further, when the value of the measured reception interval is smaller than the threshold value, the predetermined processing unit determines that the packet received this time is a packet including a segment corresponding to the second and subsequent messages.
これにより、受信間隔(送信間隔)に応じて、同一メッセージに属するパケットか否かを判定することができる。
また、前記所定の処理部は、前記複数の処理部のそれぞれにかかる処理負荷に応じて、前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける。すなわち、今回受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合、前記所定の処理部は、前記複数の処理部から、前記処理負荷の最も少ない処理部を選択する。それから、所定の処理部は、組単位で前記パケットを識別するための識別情報を付加する。そして、所定の処理部は、該メッセージ識別情報が付加されたパケットを前記選択した処理部に振り分ける。
Thereby, it is possible to determine whether or not the packets belong to the same message according to the reception interval (transmission interval).
The predetermined processing unit distributes the detected packet to one of the plurality of processing units in units of groups according to a processing load applied to each of the plurality of processing units. That is, when it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, the predetermined processing unit selects the processing unit with the smallest processing load from the plurality of processing units. . Then, the predetermined processing unit adds identification information for identifying the packet in units of sets. The predetermined processing unit distributes the packet to which the message identification information is added to the selected processing unit.
これにより、処理負荷の少ないCPUにパケットを振り分けることができる。したがってよって、各CPUにより処理されるパケットの待機時間を平準化することができる。したがって、CPUにかかる負荷が特定のCPUに偏ることがなく、各CPUにかかる負荷を平準化することができる。 As a result, packets can be distributed to CPUs with a low processing load. Therefore, it is possible to level the waiting time of packets processed by each CPU. Therefore, the load applied to each CPU is not biased toward a specific CPU, and the load applied to each CPU can be leveled.
また、前記今回受信したパケットが前記メッセージの2番目以降に対応するセグメントを含むパケットであると判定した場合、所定の処理部は、次を実行する。すなわち、所定の処理部は、直近に、前記受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合に付加したメッセージ識別情報と同一の識別情報を前記今回受信したパケットに付加する。そして、所定の処理部は、該識別情報が付加されたパケットを前記選択した処理部に振り分ける。 When it is determined that the currently received packet is a packet including a segment corresponding to the second and subsequent messages, the predetermined processing unit executes the following. That is, the predetermined processing unit most recently receives the same identification information as the message identification information added when it is determined that the received packet is a packet including a segment corresponding to the head of the message. Append to The predetermined processing unit distributes the packet to which the identification information is added to the selected processing unit.
これにより、受信したパケットをメッセージ単位で各CPUに割り振ることができる。
前記所定の処理部は、前記処理負荷の最も少ない処理部として、前記制御部のそれぞれが前記受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間の最も少ない処理部を選択する。そして、前記所定の処理部は、前記受信した各パケットのヘッダから、接続先の前記コンピュータ側のポート番号を取得し、該取得したポート番号に対応するプロトコルに応じて、前記選択した処理部の前記待機時間に重み付けを行う。
Thereby, the received packet can be allocated to each CPU in message units.
The predetermined processing unit selects, as the processing unit with the smallest processing load, a processing unit with the smallest packet waiting time until each of the control units performs the analysis processing of the received packet message. Then, the predetermined processing unit acquires a port number on the computer side of the connection destination from the header of each received packet, and according to a protocol corresponding to the acquired port number, the selected processing unit The waiting time is weighted.
これにより、プロトコルに応じてパケット毎の処理時間に重み付けを行い、待機時間を平準化することができる。
本実施形態によれば、受信したパケットを、メッセージ単位でメッセージ解析処理に振り分けることができる。また、プロトコルに応じてパケット毎の処理時間に重み付けを行い、各CPUにより処理されるパケットの待機時間を平準化することができる。これにより、マルチプロセッサシステムのリソースを効率よく利用することができる。
Thereby, the processing time for each packet is weighted according to the protocol, and the waiting time can be leveled.
According to the present embodiment, received packets can be distributed to message analysis processing in units of messages. Further, the processing time for each packet is weighted according to the protocol, and the waiting time of the packets processed by each CPU can be leveled. Thereby, the resources of the multiprocessor system can be used efficiently.
なお、本発明は、以上に述べた実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。 The present invention is not limited to the above-described embodiment, and various configurations or embodiments can be taken without departing from the gist of the present invention.
上記実施形態に関し、更に以下の付記を開示する。
(付記1)
ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信する受信部と、
複数の処理部と、
を備え、
前記複数の処理部のうち所定の処理部は、
前記受信部で受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分け、
前記複数の処理部のうち、前記パケットを振り分けられた処理部は、該パケットに基づいて、メッセージの解析を行う
ことを特徴とする解析処理装置。(1、図3、図17)
(付記2)
前記所定の処理部は、前記計測した受信間隔の値が閾値以上である場合、今回受信したパケットは、前記メッセージの先頭に対応するセグメントを含むパケットであると判定し、前記計測した受信間隔の値が閾値より小さい場合、今回受信したパケットは、該メッセージの2番目以降に対応するセグメントを含むパケットであると判定する
ことを特徴とする付記1に記載の解析処理装置。(2、図17)
(付記3)
前記所定の処理部は、前記複数の処理部のそれぞれにかかる処理負荷に応じて、前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける
ことを特徴とする付記1または2に記載の解析処理装置。(3、図17)
(付記4)
今回受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合、前記所定の処理部は、前記複数の処理部から、前記処理負荷の最も少ない処理部を選択し、組単位で前記パケットを識別する識別情報を付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける
ことを特徴とする付記3に記載の解析処理装置。(4、図17)
(付記5)
前記今回受信したパケットが前記メッセージの2番目以降に対応するセグメントを含むパケットであると判定した場合、直近に、前記受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合に付加した識別情報と同一の識別情報を前記今回受信したパケットに付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける
ことを特徴とする付記4に記載の解析処理装置。
(付記6)
前記所定の処理部は、
前記処理負荷の最も少ない処理部として、前記制御部のそれぞれが前記受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間の最も少ない処理部を選択し、
前記受信した各パケットのヘッダから、接続先の前記コンピュータ側のポート番号を取得し、該取得したポート番号に対応するプロトコルに応じて、前記選択した処理部の前記待機時間に重み付けを行う
ことを特徴とする付記4または5に記載の解析処理装置。(5、図17)
(付記7)
複数の処理部を含むコンピュータに、メッセージの解析を行う処理を実行させる解析処理プログラムであって、
前記複数の処理部のうち所定の処理部に、
ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信し、
前記受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける処理を実行させ、
前記複数の処理部のうち、前記パケットを振り分けられた処理部に、該パケットに基づいて、メッセージの解析を行う処理を実行させる解析処理プログラム。(6、図17)
(付記8)
前記計測した受信間隔の値が閾値以上である場合、今回受信したパケットは、前記メッセージの先頭に対応するセグメントを含むパケットであると判定し、前記計測した受信間隔の値が閾値より小さい場合、今回受信したパケットは、該メッセージの2番目以降に対応するセグメントを含むパケットであると判定する処理を前記所定の処理部に実行させる
ことを特徴とする付記7に記載の解析処理プログラム。
(付記9)
前記複数の処理部のそれぞれにかかる処理負荷に応じて、前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記7または8に記載の解析処理プログラム。
(付記10)
今回受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合、前記所定の処理部は、前記複数の処理部から、前記処理負荷の最も少ない処理部を選択し、組単位で前記パケットを識別するための識別情報を付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記9に記載の解析処理プログラム。
(付記11)
前記今回受信したパケットが前記メッセージの2番目以降に対応するセグメントを含むパケットであると判定した場合、直近に、前記受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合に付加した識別情報と同一の識別情報を前記今回受信したパケットに付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記10に記載の解析処理プログラム。
(付記12)
前記所定の処理部に、
前記処理負荷の最も少ない処理部として、前記制御部のそれぞれが前記受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間の最も少ない処理部を選択し、
前記受信した各パケットのヘッダから、接続先の前記コンピュータ側のポート番号を取得し、該取得したポート番号に対応するプロトコルに応じて、前記選択した処理部の前記待機時間に重み付けを行う
処理を実行させることを特徴とする付記10または11に記載の解析処理プログラム。
(付記13)
複数の処理部を含むコンピュータに、メッセージの解析処理を実行させる解析処理方法であって、
前記複数の処理部のうち所定の処理部に、
ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信し、
前記受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける処理を実行させ、
前記複数の処理部のうち、前記パケットを振り分けられた処理部に、該パケットに基づいて、メッセージの解析処理を実行させることを特徴とする解析処理方法。(7、図17)
(付記14)
前記計測した受信間隔の値が閾値以上である場合、今回受信したパケットは、前記メッセージの先頭に対応するセグメントを含むパケットであると判定し、前記計測した受信間隔の値が閾値より小さい場合、今回受信したパケットは、該メッセージの2番目以降に対応するセグメントを含むパケットであると判定する処理を前記所定の処理部に実行させる
ことを特徴とする付記13に記載の解析処理方法。
(付記15)
前記所定の処理部は、前記複数の処理部のそれぞれにかかる処理負荷に応じて、前記検出したパケットを、組単位で前記複数の処理部のいずれかに振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記13または14に記載の解析処理方法。
(付記16)
今回受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合、前記所定の処理部は、前記複数の処理部から、前記処理負荷の最も少ない処理部を選択し、組単位で前記パケットを識別するための識別情報を付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記15に記載の解析処理方法。
(付記17)
前記今回受信したパケットが前記メッセージの2番目以降に対応するセグメントを含むパケットであると判定した場合、直近に、前記受信したパケットが前記メッセージの先頭に対応するセグメントを含むパケットであると判定した場合に付加した識別情報と同一の識別情報を前記今回受信したパケットに付加し、該識別情報が付加されたパケットを前記選択した処理部に振り分ける処理を前記所定の処理部に実行させる
ことを特徴とする付記16に記載の解析処理方法。
(付記18)
前記所定の処理部に、
前記処理負荷の最も少ない処理部として、前記制御部のそれぞれが前記受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間の最も少ない処理部を選択し、
前記受信した各パケットのヘッダから、接続先の前記コンピュータ側のポート番号を取得し、該取得したポート番号に対応するプロトコルに応じて、前記選択した処理部の前記待機時間に重み付けを行う処理を実行させる
ことを特徴とする付記16または17に記載の解析処理方法。
Regarding the above embodiment, the following additional notes are disclosed.
(Appendix 1)
A receiving unit that receives packets transmitted and received between computers connected via a network;
A plurality of processing units;
With
The predetermined processing unit among the plurality of processing units is
Measure the reception interval of packets received by the receiver,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
The detected packet is distributed to any of the plurality of processing units in units of groups,
Among the plurality of processing units, the processing unit to which the packet is distributed analyzes a message based on the packet. (1, 3 and 17)
(Appendix 2)
When the value of the measured reception interval is equal to or greater than a threshold value, the predetermined processing unit determines that the packet received this time is a packet including a segment corresponding to the head of the message, and determines the measured reception interval. If the value is smaller than the threshold, it is determined that the packet received this time is a packet including a segment corresponding to the second and subsequent messages, and the analysis processing apparatus according to appendix 1. (2, Fig. 17)
(Appendix 3)
The predetermined processing unit distributes the detected packet to any one of the plurality of processing units in a group unit according to a processing load applied to each of the plurality of processing units. The analysis processing apparatus described in 1. (3, Fig. 17)
(Appendix 4)
When it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, the predetermined processing unit selects the processing unit with the smallest processing load from the plurality of processing units, and sets 4. The analysis processing apparatus according to appendix 3, wherein identification information for identifying the packet is added in units, and the packet to which the identification information is added is distributed to the selected processing unit. (4, FIG. 17)
(Appendix 5)
When it is determined that the packet received this time is a packet including a segment corresponding to the second and subsequent messages, it is determined that the received packet is a packet including a segment corresponding to the head of the message. The analysis processing device according to claim 4, wherein the same identification information as the identification information added in the case is added to the packet received this time, and the packet to which the identification information is added is distributed to the selected processing unit. .
(Appendix 6)
The predetermined processing unit includes:
As the processing unit with the smallest processing load, select the processing unit with the least packet waiting time until each of the control units performs message analysis processing of the received packet,
Obtaining a port number on the computer side of the connection destination from the header of each received packet, and weighting the waiting time of the selected processing unit according to a protocol corresponding to the obtained port number. 6. The analysis processing device according to appendix 4 or 5, which is characterized. (5, FIG. 17)
(Appendix 7)
An analysis processing program for causing a computer including a plurality of processing units to execute processing for analyzing a message,
In a predetermined processing unit among the plurality of processing units,
Receive packets sent and received between computers connected via the network,
Measure the reception interval of the received packet,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
A process of distributing the detected packets to any of the plurality of processing units in units of groups;
An analysis processing program that causes a processing unit to which the packet is distributed among the plurality of processing units to execute processing for analyzing a message based on the packet. (6, Fig. 17)
(Appendix 8)
When the value of the measured reception interval is equal to or greater than a threshold, it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, and when the value of the measured reception interval is smaller than the threshold, 8. The analysis processing program according to appendix 7, wherein the packet received this time is caused to cause the predetermined processing unit to execute processing for determining that the packet includes a segment corresponding to the second and subsequent segments of the message.
(Appendix 9)
The predetermined processing unit is configured to cause the predetermined processing unit to execute a process of distributing the detected packet to one of the plurality of processing units in units of groups according to a processing load applied to each of the plurality of processing units. The analysis processing program according to 7 or 8.
(Appendix 10)
When it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, the predetermined processing unit selects the processing unit with the smallest processing load from the plurality of processing units, and sets Item 9. The appendix 9 characterized by adding identification information for identifying the packet in units, and causing the predetermined processing unit to execute a process of distributing the packet to which the identification information is added to the selected processing unit. Analysis processing program.
(Appendix 11)
When it is determined that the packet received this time is a packet including a segment corresponding to the second and subsequent messages, it is determined that the received packet is a packet including a segment corresponding to the head of the message. Adding the same identification information as the identification information added to the case to the packet received this time, and causing the predetermined processing unit to execute a process of distributing the packet to which the identification information is added to the selected processing unit. The analysis processing program according to appendix 10.
(Appendix 12)
In the predetermined processing unit,
As the processing unit with the smallest processing load, select the processing unit with the least packet waiting time until each of the control units performs message analysis processing of the received packet,
A process of acquiring a port number on the computer side of the connection destination from the header of each received packet, and weighting the waiting time of the selected processing unit according to a protocol corresponding to the acquired port number The analysis processing program according to appendix 10 or 11, wherein the analysis processing program is executed.
(Appendix 13)
An analysis processing method for causing a computer including a plurality of processing units to execute message analysis processing,
In a predetermined processing unit among the plurality of processing units,
Receive packets sent and received between computers connected via the network,
Measure the reception interval of the received packet,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
A process of distributing the detected packets to any of the plurality of processing units in units of groups;
An analysis processing method, wherein a processing unit to which the packet is distributed among the plurality of processing units is caused to execute message analysis processing based on the packet. (7, Fig. 17)
(Appendix 14)
When the value of the measured reception interval is equal to or greater than a threshold, it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, and when the value of the measured reception interval is smaller than the threshold, 14. The analysis processing method according to appendix 13, wherein the packet received this time is caused to execute processing for determining that the packet includes a segment corresponding to the second and subsequent segments of the message.
(Appendix 15)
The predetermined processing unit executes a process of distributing the detected packet to one of the plurality of processing units in a group unit according to a processing load applied to each of the plurality of processing units. The analysis processing method according to appendix 13 or 14, characterized in that:
(Appendix 16)
When it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, the predetermined processing unit selects the processing unit with the smallest processing load from the plurality of processing units, and sets Item 15. The appendix 15 characterized by adding identification information for identifying the packet in units, and causing the predetermined processing unit to execute a process of distributing the packet to which the identification information is added to the selected processing unit. Analysis processing method.
(Appendix 17)
When it is determined that the packet received this time is a packet including a segment corresponding to the second and subsequent messages, it is determined that the received packet is a packet including a segment corresponding to the head of the message. Adding the same identification information as the identification information added to the case to the packet received this time, and causing the predetermined processing unit to execute a process of distributing the packet to which the identification information is added to the selected processing unit. The analysis processing method according to appendix 16.
(Appendix 18)
In the predetermined processing unit,
As the processing unit with the smallest processing load, select the processing unit with the least packet waiting time until each of the control units performs message analysis processing of the received packet,
A process of acquiring the port number on the computer side of the connection destination from the header of each received packet, and weighting the waiting time of the selected processing unit according to a protocol corresponding to the acquired port number 18. The analysis processing method according to appendix 16 or 17, wherein the analysis processing method is executed.
1 分析装置
2 情報システム
3 コンピュータ
4 SW
10 マルチプロセッサ
10a CPU0
10b CPU1
10c CPU2
11 メモリ
11a,11b バッファ
12 記憶装置
13 NIC
14 分析アプリケーション
15 パケット受信プログラム
16 メッセージ解析プログラム
17 OS
18 コネクション情報テーブル
19 振り分け用テーブル
20 処理時間重み付け値テーブル
21 CPU番号テーブル
22 メッセージ番号テーブル
1 analyzer 2 information system 3 computer 4 SW
10 Multiprocessor 10a CPU0
10b CPU1
10c CPU2
11 Memory 11a, 11b Buffer 12 Storage device 13 NIC
14 Analysis application 15 Packet reception program 16 Message analysis program 17 OS
18 Connection Information Table 19 Distribution Table 20 Processing Time Weighting Table 21 CPU Number Table 22 Message Number Table
Claims (6)
複数の処理部と、
を備え、
前記複数の処理部のうち所定の処理部は、
前記受信部で受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
当該所定の処理部を除いた前記複数の処理部のそれぞれが受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間に応じて処理部を選択し、前記検出したパケットを含むメッセージに対応するプロトコルに応じて、前記検出したパケットを含むメッセージの処理時間に重み付けをした時間を前記選択した処理部の前記待機時間に加算し、前記検出したパケットを、組単位で前記選択した処理部に振り分け、
前記複数の処理部のうち、前記パケットを振り分けられた処理部は、該パケットに基づいて、メッセージの解析を行う
ことを特徴とする解析処理装置。 A receiving unit that receives packets transmitted and received between computers connected via a network;
A plurality of processing units;
With
The predetermined processing unit among the plurality of processing units is
Measure the reception interval of packets received by the receiver,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
Each of the plurality of processing units excluding the predetermined processing unit selects a processing unit according to the waiting time of the packet until the analysis processing of the packet message received, and corresponds to the message including the detected packet Depending on the protocol to be performed, a time weighted to the processing time of the message including the detected packet is added to the waiting time of the selected processing unit, and the detected packet is transferred to the selected processing unit in units of sets. Sorting,
Among the plurality of processing units, the processing unit to which the packet is distributed analyzes a message based on the packet.
ことを特徴とする請求項1に記載の解析処理装置。 When the value of the measured reception interval is equal to or greater than a threshold value, the predetermined processing unit determines that the packet received this time is a packet including a segment corresponding to the head of the message, and determines the measured reception interval. 2. The analysis processing apparatus according to claim 1, wherein when the value is smaller than the threshold value, the currently received packet is determined to be a packet including a segment corresponding to the second and subsequent messages.
ことを特徴とする請求項1に記載の解析処理装置。 When it is determined that the packet received this time is a packet including a segment corresponding to the head of the message, the predetermined processing unit selects a processing unit with the shortest waiting time from the plurality of processing units, and sets The analysis processing apparatus according to claim 1, wherein identification information for identifying the packet is added in units, and the packet to which the identification information is added is distributed to the selected processing unit.
前記受信した各パケットのヘッダから、接続先の前記コンピュータ側のポート番号を取得し、該取得したポート番号に対応するプロトコルに応じて、前記選択した処理部の前記待機時間に重み付けを行う
ことを特徴とする請求項3に記載の解析処理装置。 The predetermined processing unit includes:
Obtaining a port number on the computer side of the connection destination from the header of each received packet, and weighting the waiting time of the selected processing unit according to a protocol corresponding to the obtained port number. The analysis processing apparatus according to claim 3, wherein
前記複数の処理部のうち所定の処理部に、
ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信し、
前記受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
当該所定の処理部を除いた前記複数の処理部のそれぞれが受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間に応じて処理部を選択し、前記検出したパケットを含むメッセージに対応するプロトコルに応じて、前記検出したパケットを含むメッセージの処理時間に重み付けをした時間を前記選択した処理部の前記待機時間に加算し、前記検出したパケットを、組単位で前記選択した処理部に振り分ける処理を実行させ、
前記複数の処理部のうち、前記パケットを振り分けられた処理部に、該パケットに基づいて、メッセージの解析を行う処理を実行させる解析処理プログラム。 An analysis processing program for causing a computer including a plurality of processing units to execute processing for analyzing a message,
In a predetermined processing unit among the plurality of processing units,
Receive packets sent and received between computers connected via the network,
Measure the reception interval of the received packet,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
Each of the plurality of processing units excluding the predetermined processing unit selects a processing unit according to the waiting time of the packet until the analysis processing of the packet message received, and corresponds to the message including the detected packet Depending on the protocol to be performed, a time weighted to the processing time of the message including the detected packet is added to the waiting time of the selected processing unit, and the detected packet is transferred to the selected processing unit in units of sets. Execute the sort process,
An analysis processing program that causes a processing unit to which the packet is distributed among the plurality of processing units to execute processing for analyzing a message based on the packet.
前記複数の処理部のうち所定の処理部に、
ネットワークを介して接続されたコンピュータ間で送受されるパケットを受信し、
前記受信したパケットの受信間隔を計測し、
前記計測した受信間隔に応じて、1組の、メッセージの先頭に対応するセグメントを含むパケットと、該メッセージの2番目以降に対応するセグメントを含むパケットとを検出し、
当該所定の処理部を除いた前記複数の処理部のそれぞれが受信したパケットのメッセージの解析処理を行うまでのパケットの待機時間に応じて処理部を選択し、前記検出したパケットを含むメッセージに対応するプロトコルに応じて、前記検出したパケットを含むメッセージの処理時間に重み付けをした時間を前記選択した処理部の前記待機時間に加算し、前記検出したパケットを、組単位で前記選択した処理部に振り分ける処理を実行させ、
前記複数の処理部のうち、前記パケットを振り分けられた処理部に、該パケットに基づいて、前記メッセージの解析処理を実行させることを特徴とする解析処理方法。 An analysis processing method for causing a computer including a plurality of processing units to execute message analysis processing,
In a predetermined processing unit among the plurality of processing units,
Receive packets sent and received between computers connected via the network,
Measure the reception interval of the received packet,
According to the measured reception interval, a set of packets including a segment corresponding to the head of the message and a packet including a segment corresponding to the second and subsequent messages are detected.
Each of the plurality of processing units excluding the predetermined processing unit selects a processing unit according to the waiting time of the packet until the analysis processing of the packet message received, and corresponds to the message including the detected packet Depending on the protocol to be performed, a time weighted to the processing time of the message including the detected packet is added to the waiting time of the selected processing unit, and the detected packet is transferred to the selected processing unit in units of sets. Execute the sort process,
An analysis processing method, wherein a processing unit to which the packet is distributed among the plurality of processing units is caused to execute the analysis processing of the message based on the packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010245273A JP5682233B2 (en) | 2010-11-01 | 2010-11-01 | Analysis processing apparatus, analysis processing program, and analysis processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010245273A JP5682233B2 (en) | 2010-11-01 | 2010-11-01 | Analysis processing apparatus, analysis processing program, and analysis processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012100012A JP2012100012A (en) | 2012-05-24 |
JP5682233B2 true JP5682233B2 (en) | 2015-03-11 |
Family
ID=46391448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010245273A Expired - Fee Related JP5682233B2 (en) | 2010-11-01 | 2010-11-01 | Analysis processing apparatus, analysis processing program, and analysis processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5682233B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5672504B2 (en) * | 2012-02-28 | 2015-02-18 | 日本電信電話株式会社 | Parallel packet processing method and apparatus for switching distribution destination |
JP6206254B2 (en) * | 2014-03-04 | 2017-10-04 | 富士通株式会社 | Duplicate packet removal method and program |
JP5833186B1 (en) * | 2014-06-04 | 2015-12-16 | 日本電信電話株式会社 | CPU allocation apparatus and method, and program |
KR101785821B1 (en) | 2016-01-04 | 2017-10-16 | 엘에스산전 주식회사 | Method of monitoring frame receiving in serial communication |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3001461B2 (en) * | 1997-05-29 | 2000-01-24 | 日本電気ソフトウェア株式会社 | Process dispatch equipment |
JP2008167305A (en) * | 2006-12-28 | 2008-07-17 | Mitsubishi Electric Corp | Parallel packet processing apparatus and parallel packet processing method |
JP5163398B2 (en) * | 2008-09-26 | 2013-03-13 | 富士通株式会社 | Packet identification program, packet identification method, packet identification apparatus, and control program |
JP2010157959A (en) * | 2009-01-05 | 2010-07-15 | Hitachi Ltd | System and method for collecting and monitoring statistic information |
-
2010
- 2010-11-01 JP JP2010245273A patent/JP5682233B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012100012A (en) | 2012-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109218355B (en) | Load balancing engine, client, distributed computing system and load balancing method | |
US10455009B2 (en) | Optimizing a load balancer configuration | |
Kielmann et al. | Fast measurement of LogP parameters for message passing platforms | |
US10129332B2 (en) | Load balancing of distributed services | |
US10671721B1 (en) | Timeout management services | |
US9246840B2 (en) | Dynamically move heterogeneous cloud resources based on workload analysis | |
US8335238B2 (en) | Reassembling streaming data across multiple packetized communication channels | |
CN107592345B (en) | Transaction current limiting device, method and transaction system | |
US10362100B2 (en) | Determining load state of remote systems using delay and packet loss rate | |
KR101941282B1 (en) | Method of allocating a virtual machine for virtual desktop service | |
US8266504B2 (en) | Dynamic monitoring of ability to reassemble streaming data across multiple channels based on history | |
JP5682233B2 (en) | Analysis processing apparatus, analysis processing program, and analysis processing method | |
JP2016149698A (en) | Packet communication device and packet reception processing method | |
US20220201673A1 (en) | Dynamic Expansion And Contraction Of Edge Clusters For Managing Access To Cloud-Based Applications | |
Li et al. | A network-aware scheduler in data-parallel clusters for high performance | |
CN108076092A (en) | Web server resources balance method and device | |
US10616081B2 (en) | Application aware cluster monitoring | |
Kontogiannis et al. | ALBL: an adaptive load balancing algorithm for distributed web systems | |
CN114422599B (en) | Data transmission method, system, electronic equipment and readable medium | |
CN113747506B (en) | Resource scheduling method, device and network system | |
US12063267B1 (en) | Network traffic distribution for network-based services | |
JP5655687B2 (en) | Analysis processing apparatus, analysis processing program, and analysis processing method | |
JP2008009852A (en) | Load distribution control system and method, and server device | |
KR20240103340A (en) | Dynamic service caching system and method reflecting real-time edge computing utilization | |
CN111787095A (en) | Load balancing method and load balancer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130805 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140422 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140604 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141126 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141216 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141229 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5682233 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |