JP5956049B2 - ストリーミングネットフローデータ解析方法及び装置 - Google Patents
ストリーミングネットフローデータ解析方法及び装置 Download PDFInfo
- Publication number
- JP5956049B2 JP5956049B2 JP2015221987A JP2015221987A JP5956049B2 JP 5956049 B2 JP5956049 B2 JP 5956049B2 JP 2015221987 A JP2015221987 A JP 2015221987A JP 2015221987 A JP2015221987 A JP 2015221987A JP 5956049 B2 JP5956049 B2 JP 5956049B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- data structure
- stored
- extracted
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Description
本発明は、ネットワーク通信及び使用解析に関し、詳細には、ネットフローデータを収集し処理するための方法及び装置に関する。
世界中でデータを移送するパケット式データネットワークが普及している。パケット式データネットワークは、典型的に、あるコンピュータと別のコンピュータの間で伝送するためにデータをパケットにフォーマットする。これらのパケットは、パケットデータ及びルーティングに関する情報を含むヘッダを含む。データネットワークは、ルータを使用して発信元コンピュータから宛先コンピュータにこれらのパケットを送り、このルータは、パケットヘッダ内のルーティング情報を使用して宛先コンピュータにパケットを送る。パケットのフローは、特定の送信元ネットワークアドレス及びポートから宛先ネットワーク
アドレス及びポートに送られたパケットである。
アドレス及びポートに送られたパケットである。
これらのネットワークが拡張されるにつれて、それらを使用する利点が増している。ネットワークがどのように使用されているか、特にどのホスト及びネットワークがネットワークリソースを消費しているかをユーザが効率的に識別することを可能にするシステム及びツールを提供することが望ましい。
最も知られているネットフロー解析エンジンは、IPアドレスに関連するデータ量に基づいて、複数の送信元及び/又は宛先IPアドレスを識別する。換言すると、従来の技法は、フローレコードデータを全体的に見て考慮するものではない。これは、特定の情報について問い合わせるユーザの柔軟性が制限されるので不利である。
本発明の目的は、ネットフローデータを効率的に処理し解析するための方法及び装置を提供することであり、この方法及び装置は、ユーザ定義による問合せの柔軟性の向上を可能にする。
本発明の態様については、添付の特許請求の範囲で述べられる。
本発明の一態様によれば、フローレコードは、その全体がデータベースに格納されており、ユーザによって場当たり的に(in an ad hoc fashion)問い合わせることができる。ユーザは、フィールドと値の様々な組合せを選択して、キーを定義し、フィールドのいずれかに基づいてフローをフィルタリングすることができる。問合せ可能なフローの数、及びフィールドの組合せは、典型的に、問合せの迅速化のために単にインデックスを使用することが不可能であるほど著しく多い。したがって、本発明の別の態様によれば、この方法及び装置は、各フローレコードを読み出し、各フローレコードを
フィルタリングし、フローレコードのフィールドに対応するキー、及びキーの関連する値を抽出し、それぞれの別個のキーの値を増分し、ユーザに結果を提示する。
フィルタリングし、フローレコードのフィールドに対応するキー、及びキーの関連する値を抽出し、それぞれの別個のキーの値を増分し、ユーザに結果を提示する。
本発明のさらなる態様によれば、ユーザに時系列チャートが提示されてもよく、各タイムスロットが、そのタイムスロットの事前定義された又は所望の数の上位N個のキーを含む。たとえば、Nは10であってよく、上位N個は、定義されたキーに基づいてフィルタリングされたフロー内のオクテットの数に基づいて識別することができる。たとえばオクテットの数、及び/又はパケットの数に対応する各値について、1つ又は複数のチャートが提示されてもよい。
典型的な問合せでは、こうした問合せを完了するのに必要な時間とリソースの両方のせいでこの技法を実行不可能なものにする何百万ものキー及び大量のデータが存在し得るので、本発明による方法は、すべてのキーを値でソートして、次いでこれをユーザに提示するとは限らない。こうした問合せはこのように長い時間を要するため、ユーザは、最終的に完了するまで、問合せの進捗についてのフィードバックが与えられない。
本発明は、以下の2つの観測を適用することによりこの問題に対処する。1)ユーザは一般に、およそ数百万ではなく、上位10個のキーにしか関心がなく、2)値が発見されている間に、すなわちリアルタイムに上位10個の値を示すことが有用であり、その理由は、これにより、すべてのデータが処理される前にデータのサンプルに基づいてフィードバック及び有用な情報がユーザに提供されるからである。
好ましい一実施形態では、この方法及び装置は、最も関連性のある情報だけを決定し、ユーザに提供する。さらに、計算が完了するとすぐに上位N個の値を繰り返し更新することによって、提供される情報が現在のものであることが保証される。それによって、本発明のシステム及び方法は、収集されたネットフローデータの効率的な取出しを容易にするために、連続的に維持される固定サイズのデータ構造を使用してネットフローデータを漸次、効率的にフィルタリングし収集する。
本発明を具現化する構成について、例を挙げるため、添付の図面を参照して次に述べられる。
図1は、ネットフローデータ解析システムの機能コンポーネント、及び本発明の一実施形態による方法の例示的な実施の操作を示すブロックフローチャートである。フローレコード21が受け取られ、たとえばディスク(図示せず)から取り出され、フィルタパラメータに基づいてフィルタリングされる(23)。フィルタパラメータは、ユーザによって事前定義されてもよいし、ユーザ問合せによって入力として受け取られてもよいし、またネットフローレコード内のフィールドの任意の組合せとすることができる。フィルタリングされたフローレコード、たとえば定義されたフィルタパラメータを満たす各々のフィールド値を有するフローレコードを処理して、フィルタリングされたフローレコードを表すキー、及びフローレコードからの関連する値を抽出する。この実施形態では、抽出されたキーは、フィルタパラメータに関連する1つ又は複数のフィールドを表すインジケータである。たとえば、特定のIPアドレス対について最もアクティブな上位10個のネットフローを探すユーザベースの問合せでは、抽出されたキーは、1つの整数が送信元IPアドレスを表し、もう一方の整数が宛先IPアドレスを表す2つの整数の組合せであってよい。このように、抽出されたキーは、異なるアドレス対に関連する受け取られた各フローレコードに一意である。さらに、この例示的なユーザベースの問合せでは、抽出された値は、ネットフロー内のパケットサイズ及び/またのパケット数であってもよい。
一実施形態では、効率的で正確な処理を保証するために、問合せのタイムスパンは、事前定義された複数のタイムスロット、たとえば1秒のタイムスロットに分割されてもよく、各タイムスロットについて上位Nストリーミング計算器24が作成される。それぞれの上位Nストリーミング計算器24は、下記により詳細に述べられるように、フィルタリングされたストリーミングネットフロー使用データをプロセッサ効率のよいやり方で収集し、収集されたデータをメモリ効率のよいやり方で格納して、後に続く効率的なソート及び解析を容易にするために、フローレコードから抽出されたキー及び値を処理する。
クライアントソフトウェアは、チャートの現在の状態を規則的な時間間隔で、すなわち毎秒、要求してもよい(25)。その後、ソフトウェアコンポーネント26は、それぞれの上位N計算器に問い合わせ、返された中間状態に基づいて情報を編纂し、チャートを作成する。チャートは、クライアントソフトウェア27に返され、このクライアントソフトウェア27は、ユーザにチャートをレンダリングする。タイムスロットのそれぞれについて進捗率(percent of completion)が返され、それらが完了していない場合、クライアントソフトウェアは、更新を得るために新しい要求を送る。このプロセスは、すべての計算器が終了され、チャートが完了するまで継続する。
図2は、関連するネットフロー内のパケットのフローに関する関連情報を含む例示的なネットフローレコードの内容を概略的に示している。一実施形態では、フローレコードのフィールドは以下を含んでよい。
送信元IPアドレス
宛先IPアドレス
送信元IPポート
宛先IPポート
IPプロトコル
フロー内のオクテット数
フロー内のパケット数
サービスタイプ
送信元IPアドレス
宛先IPアドレス
送信元IPポート
宛先IPポート
IPプロトコル
フロー内のオクテット数
フロー内のパケット数
サービスタイプ
上記に論じられたように、本発明の抽出されたキーについて、フローレコードからのフィールドの任意の組合せを使用してもよい。当業者は、上記にリストされたフィールドの代わりに、又はそれに加えて、別個のホスト又は接続の数、ネットフローの継続時間、並びに逆フローのパケットのサイズ及び/又は数など、フローレコード内で使用可能な他のフィールドを使用してもよいことが当業者には理解されよう。
キーのフィルタパラメータは、関連するフィールドの値又は値範囲によって定義することができる。フローレコード内で使用可能な各フィールドについて多くのフィルタパラメータが可能であることが当業者には理解されよう。たとえば、IPアドレス値の範囲は、たとえばネットマスクとして定義することができ、ポート範囲は、開始値から終了値まで定義してもよい。
フローレコードは、各フローについて、ルータによって、規則的な時間間隔、たとえば毎分に発行される。たとえば、長く持続したフローは、多くのフローレコードを生成することができる。
本発明によるフローレコードを処理する操作について、上位N計算器によって使用される主要データ構造を概略的に示す図である図3、及びこの実施形態によるフローチャートである図4を参照して次に述べられる。
図3に示されたように、この実施形態は、ストリーミングネットフローデータの効率的な収集を容易にするためのデータ構造を提供し、データ構造が、キー配列31と値配列35とを含む。キー配列31は、事前定義された数の要素を備え、それぞれの要素が、受け取られたフローレコードの抽出されたキーを格納するためのものである。受け取られたフローレコードからやはり抽出される、キーに関連する値は、別個の長い配列35に格納してもよい。
好ましい実施形態では、キー配列31のサイズは、ソートされたキー配列から返される所定の数の上位N個のネットフローに基づいて決定され、したがって、受け取られ処理されたネットフローデータの代表的な数に基づいてソートが行われることを可能にするのに十分な数の一意の抽出されたキーがキー配列に格納される。たとえば、キー配列31内の要素の数は、所望の上位n個の数N×定義されたキー内の値の数M×所定の整数(4など)と計算することができる。
フリーリストデータ構造33は、フローレコードリーダ22及びフィルタ23によって受け取られ処理された新しい抽出されたキーの格納に使用可能なキー配列31の要素のリストを格納するために提供される。この実施形態では、フリーリストは、リンクされたリストのデータ構造であり、フリーリスト33の開始は、キー配列31内の第1の空き要素へのポインタとして格納される。最初に、すべてのキー配列要素が、フリーリストのリンクされたリスト内に置かれ、それぞれの要素が、リンクされたリスト33内の次の空き要素へのポインタ32を含む。キー配列31内にキーが埋められるとき、フリーリスト33
の開始によって示された位置を使用して、新しいキーに追加するためのキー配列31内の位置が決定される。その位置に要素が追加された後、フリーリストの開始のポインタは、新しく埋められた要素からのポインタで更新される。
の開始によって示された位置を使用して、新しいキーに追加するためのキー配列31内の位置が決定される。その位置に要素が追加された後、フリーリストの開始のポインタは、新しく埋められた要素からのポインタで更新される。
迅速な探索を可能にするために、キーは、ハッシュされ、ハッシュテーブル34で示されたリスト内に置かれてもよい。
次に図4を参照すると、図3に示されたデータ構造にフローレコードを追加するプロセスが、新しいフローレコードがフローレコードリーダ22によって受け取られ、たとえばユーザの問合せで定義されたキーに基づいて処理するためにフィルタ23に渡されることから開始している。ステップ41で、フローレコードのキー及び値(たとえばオクテットの数、及びパケットの数)が、フローレコードから抽出される。ステップ42で、抽出されたキーが、ハッシュテーブルを使用し探索される。ステップ43で、抽出されたキーがデータ構造内に既にあると決定される場合は、ハッシュテーブルは、キー配列31内でそ
のキーの位置を効率的に識別し、ステップ44で、キーに関連する値が増分される。しかし、ステップ43で、データ構造内にキーが存在しないと決定される場合は、ステップ45で、フリーリストをチェックして、キー配列31に空きエントリが残っているかどうか決定する。この実施形態では、フリーリスト33の開始としてのポインタが存在することは、キー配列31内に少なくとも1つの空きエントリがあることを示す。フリーリスト内に空きエントリがあると決定される場合は、ステップ46で、開始ポインタによって識別された位置で、抽出されたキーが、キー配列31に追加される。ステップ46で、抽出さ
れた値は、値配列内の対応する位置にも追加される。
のキーの位置を効率的に識別し、ステップ44で、キーに関連する値が増分される。しかし、ステップ43で、データ構造内にキーが存在しないと決定される場合は、ステップ45で、フリーリストをチェックして、キー配列31に空きエントリが残っているかどうか決定する。この実施形態では、フリーリスト33の開始としてのポインタが存在することは、キー配列31内に少なくとも1つの空きエントリがあることを示す。フリーリスト内に空きエントリがあると決定される場合は、ステップ46で、開始ポインタによって識別された位置で、抽出されたキーが、キー配列31に追加される。ステップ46で、抽出さ
れた値は、値配列内の対応する位置にも追加される。
しかし、ステップ45で、キー配列31内に空きのエントリがないと決定される場合は、このプロセスはしたがって、新しいフローレコードを追加できるようにするためにエントリを削除する必要がある。これは、この実施形態では、キー配列31内の各キーの特定のフィールドの格納された値を取り出し、ステップ47で、そのフィールドの格納された値の中央値を決定することによって達成される。次いで、ステップ48で、キー配列31内のすべてのエントリが処理され、キーに関連する値が、対応する中央値より小さいと決定される場合にマーキングされる。フローレコードのフィールドに対応する抽出された値
のそれぞれについてステップ47及び48を繰り返してもよいことが当業者には理解されよう。次いで、ステップ49で、マーキングされるキーが、キー配列から削除される。
のそれぞれについてステップ47及び48を繰り返してもよいことが当業者には理解されよう。次いで、ステップ49で、マーキングされるキーが、キー配列から削除される。
その関連する値が中央値などの所定の閾値より小さいキーのエントリを削除することにより、絶対に必要でない限りは、多くのエントリのソートを回避することができる。これによって、さもなければソート手順を実施するのに使用されるリソースの望ましくない浪費が防止される。
上位Nストリーミング計算器がデータ構造内の各値位置の上位N個のキーを計算している間、クライアントコード16は、上位N個の値(図1参照)を求めてもよい。これを可能にするために、図3に例証されたデータ構造へのアクセスは、マルチスレッドアクセスを可能にするロックによって保護することができる。
上記説明では、ネットフローデータ解析システムは、上述された方法を実施するように操作を制御するソフトウェアを格納し実行するように構成される。当業者には理解されるように、上記方法を実施するよう動作可能になるようにプログラマブルデバイスを構成するためのコンピュータプログラムは、キャリアに格納され、システムのフラッシュメモリなどのメモリにロードされてもよい。プログラムは、信号としてダウンロードされてもよいし、及び/又はシステム上に既に常駐するソフトウェアへのパッチ又は更新として適用されてもよい。本発明の範囲は、プログラム、プログラムを運ぶキャリア、及びブロード
キャスト信号を含む。
キャスト信号を含む。
(代替実施形態)
諸実施形態について単に例示するために上記に述べられており、この説明を読むと様々な変形形態が当業者には考えられようが、その変形形態は、特許請求の範囲に定義された本発明の範囲内に含まれるものである。
諸実施形態について単に例示するために上記に述べられており、この説明を読むと様々な変形形態が当業者には考えられようが、その変形形態は、特許請求の範囲に定義された本発明の範囲内に含まれるものである。
たとえば、上述された実施形態では、上位Nストリーミング計算器は、キー配列に格納されたキーに関連する値の統計的解析を実施し、統計的解析に基づいて、格納されたインジケータの少なくとも1つを削除するように構成される。例示的な実施形態では、統計的解析は、格納されたキーに関連する値の中央値を計算し、計算された中央値より小さい関連する値を有するキーを削除することを伴う。統計的解析に中央値を使用することは、エントリが後にキー配列から削除されることが、全体的なネットワーク使用を表すための情報の大きい損失にはつながらないので特に有利である。しかし、平均、モード又は他の形
の統計的平均の計算など、中央値を使用するのではなく、他の形の統計的解析を使用してもよいことが当業者には理解されよう。
の統計的平均の計算など、中央値を使用するのではなく、他の形の統計的解析を使用してもよいことが当業者には理解されよう。
本発明の実施形態は、ハードウェア、ソフトウェア又はその組合せを使用して実施されてよく、1つ又は複数のコンピューティングシステム又は他の処理システムで実施されてもよい。
16…クライアントコード、21…フローレコード、22…フローレコードリーダ、23…フィルタ、24…上位Nストリーミング計算器、25…要求、26…ソフトウェアコンポーネント、27…クライアントソフトウェア、31…キー配列/インジケータデータ構造、32…インジケータデータ構造、33…インジケータデータ構造、34…ハッシュテーブル、35…値配列/値データ構造。
Claims (15)
- ネットフローデータを収集するためのシステムであって、
複数のフローレコードを受け取る手段(22)と、
定義されたフィルタパラメータに基づいて、前記複数のフローレコードに含まれた情報をフィルタリングする手段(23)と、
フィルタリングされたフローレコードに含まれた前記情報からキー及び該キーに対応する値を抽出する手段(23)と、
所定の数のキーを格納するためのキーデータ構造(31)と、
前記キーデータ構造(31)が追加のキーを格納する容量を有するかどうか決定する手段(24)と、
前記キーデータ構造(31)が追加のキーを格納する容量を有すると決定される場合は、前記抽出されたキーを前記キーデータ構造(31)に追加する手段(24)と、
前記キーデータ構造(31)が追加のキーを格納する容量を有さないと決定される場合は、前記キーデータ構造(31)内に格納された前記抽出されたキーを統計的に解析して、前記格納された抽出されたキーのうちの少なくとも1つを削除する手段(24)とを備えるシステム。 - 前記キーに対応する値を格納する値データ構造(35)と、
前記抽出された値を前記値データ構造(35)に追加する手段(24)と
をさらに備える、請求項1に記載のシステム。 - 前記複数のフローレコードに含まれた情報をフィルタリングする手段(23)が、フローレコードのフィールドからの少なくとも1つの値を、該フローレコードのフィールドについて定義されたフィルタパラメータと比較するように構成されている、請求項1又は2に記載のシステム。
- 前記キーデータ構造(31)に格納される複数のキーを格納するハッシュテーブル(34)と、
前記ハッシュテーブル(34)を使用して前記キーの探索を実施することによって、抽出されたキーが前記キーデータ構造(31)内に格納されているかどうか決定する手段(24)と
をさらに備える、請求項1〜3のいずれか一項に記載のシステム。 - 抽出されたキーが前記キーデータ構造(31)に格納されていると決定される場合は、前記キーに対応して前記格納された値を増やす手段(24)をさらに備える、請求項4に記載のシステム。
- 前記フローレコードからの前記それぞれの抽出された値で前記格納された値が増やされる、請求項5に記載のシステム。
- 前記キーデータ構造(31)はリンクされたリストのデータ構造であり、前記キーデータ構造の空の要素がフリーリスト(33)として互いにリンクされる、請求項1〜6のいずれか一項に記載のシステム。
- 前記フリーリスト(33)の始まりが、前記キーデータ構造(31)内で第1の空の要素へのポインタ(32)として格納されている、請求項7に記載のシステム。
- 前記抽出されたキーを統計的に解析する手段(24)が、前記格納されたキーに対応する前記値の統計的解析を実施し、前記統計的解析に基づいて前記格納されたキーのうちの少なくとも1つを削除するように構成される、請求項1〜8のいずれか一項に記載のシステム。
- 前記統計的解析が、前記格納されたキーに対応する各値の中央値の計算、及び前記計算された中央値より小さい関連する値を有する前記格納されたキーの削除を含む、請求項9に記載のシステム。
- 前記定義されたフィルタパラメータが、送信元IPアドレス、宛先IPアドレス、送信元IPポート、宛先IPポート、IPプロトコルバージョン、フロー内のオクテットの数、フロー内のパケット数、及びサービスタイプのうちの1つ又は複数を備える、請求項1〜10のいずれか一項に記載のシステム。
- 前記キーデータ構造(31)内の要素をソートする手段(24)と、
前記ソートされたキーデータ構造(31)からの所定数の格納されたキーを識別する手段(24)と
をさらに備える、請求項1〜11のいずれか一項に記載のシステム。 - 前記識別された所定数の格納されたキーに基づいてチャートを作成する手段(26)と、前記フローレコードが前記システムによって処理される間、前記値で前記チャートを繰り返し更新する手段(27)とをさらに備える、請求項12に記載のシステム。
- ネットフローデータを収集するための方法であって、
複数のフローレコードを受け取るステップと、
定義されたフィルタパラメータに基づいて前記複数のフローレコードに含まれた情報をフィルタリングするステップと、
フィルタリングされたフローレコードに含まれた情報からキー及び該キーに対応する値を抽出するステップ(41)と、
所定の数のキーを格納するためのキーデータ構造を用意するステップと、
それぞれの抽出されたキーについて、前記キーデータ構造が追加のキーを格納する容量を有するかどうか決定するステップ(45)と、
前記キーデータ構造が追加のキーを格納する容量を有すると決定される場合は、前記抽出されたキーを前記所定の数のキーを格納するためのキーデータ構造に追加するステップ(46)と、
前記キーデータ構造が追加のキーを格納する容量を有さないと決定される場合は、前記抽出されたキーを前記データ構造に追加する前に、前記キーデータ構造に格納された前記抽出されたキーを統計的に解析して、前記格納された抽出されたキーのうちの少なくとも1つを削除するステップ(47〜49)とを含む方法。 - 請求項1〜13のいずれか一項に記載のシステムとして構成されるように、又は請求項14に記載の方法を実施するようにプログラマブル装置を構成するためのコンピュータ判読可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP11168715.8A EP2530873B1 (en) | 2011-06-03 | 2011-06-03 | Method and apparatus for streaming netflow data analysis |
| EP11168715.8 | 2011-06-03 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011186269A Division JP2012253734A (ja) | 2011-06-03 | 2011-08-29 | ストリーミングネットフローデータ解析方法及び装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016054517A JP2016054517A (ja) | 2016-04-14 |
| JP5956049B2 true JP5956049B2 (ja) | 2016-07-20 |
Family
ID=44839750
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011186269A Pending JP2012253734A (ja) | 2011-06-03 | 2011-08-29 | ストリーミングネットフローデータ解析方法及び装置 |
| JP2015221987A Expired - Fee Related JP5956049B2 (ja) | 2011-06-03 | 2015-11-12 | ストリーミングネットフローデータ解析方法及び装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011186269A Pending JP2012253734A (ja) | 2011-06-03 | 2011-08-29 | ストリーミングネットフローデータ解析方法及び装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8782092B2 (ja) |
| EP (1) | EP2530873B1 (ja) |
| JP (2) | JP2012253734A (ja) |
| CN (1) | CN102811163B (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM430773U (en) * | 2011-11-03 | 2012-06-01 | Curelan Technology Co Ltd | A device with high-speed filtering efficiency |
| CN103198146B (zh) * | 2013-04-19 | 2015-05-27 | 中国科学院计算技术研究所 | 面向网络流式数据的事件实时过滤方法和系统 |
| US9178824B2 (en) | 2013-10-29 | 2015-11-03 | Solana Networks Inc. | Method and system for monitoring and analysis of network traffic flows |
| US9191325B2 (en) | 2013-10-29 | 2015-11-17 | Solana Networks Inc. | Method and system for processing network traffic flow data |
| NZ768365A (en) * | 2014-04-01 | 2022-04-29 | Endace Tech Limited | Hash tag load balancing |
| US10063446B2 (en) * | 2015-06-26 | 2018-08-28 | Intel Corporation | Netflow collection and export offload using network silicon |
| US20170012835A1 (en) * | 2015-07-06 | 2017-01-12 | Cisco Technology, Inc. | Generating Traffic Query Responses Using an Interface Map |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69225042T2 (de) * | 1991-11-14 | 1998-07-30 | Hewlett Packard Co | Vorrichtung und Verfahren zur Abschätzung von Hauptkontributoren |
| US6122665A (en) * | 1998-08-26 | 2000-09-19 | Sts Software System Ltd. | Communication management system for computer network-based telephones |
| US7058642B2 (en) * | 2002-03-20 | 2006-06-06 | Intel Corporation | Method and data structure for a low memory overhead database |
| US7222129B2 (en) * | 2002-03-29 | 2007-05-22 | Canon Kabushiki Kaisha | Database retrieval apparatus, retrieval method, storage medium, and program |
| US7418450B2 (en) * | 2005-10-03 | 2008-08-26 | International Business Machines Corporation | Method for analyzing computer events recorded in a plurality of chronicle datasets |
| US7779143B2 (en) * | 2007-06-28 | 2010-08-17 | Alcatel-Lucent Usa Inc. | Scalable methods for detecting significant traffic patterns in a data network |
| JP4556981B2 (ja) * | 2007-09-28 | 2010-10-06 | 沖電気工業株式会社 | ネットワーク監視装置及びネットワーク監視方法 |
| US20110103237A1 (en) * | 2009-10-29 | 2011-05-05 | Fluke Corporation | Method and apparatus for the efficient indexing and storage of network traffic |
-
2011
- 2011-06-03 EP EP11168715.8A patent/EP2530873B1/en active Active
- 2011-08-29 JP JP2011186269A patent/JP2012253734A/ja active Pending
- 2011-08-30 US US13/221,086 patent/US8782092B2/en active Active
- 2011-09-20 CN CN201110279451.XA patent/CN102811163B/zh active Active
-
2015
- 2015-11-12 JP JP2015221987A patent/JP5956049B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN102811163B (zh) | 2017-07-11 |
| JP2016054517A (ja) | 2016-04-14 |
| US8782092B2 (en) | 2014-07-15 |
| EP2530873B1 (en) | 2015-01-21 |
| JP2012253734A (ja) | 2012-12-20 |
| US20120310952A1 (en) | 2012-12-06 |
| CN102811163A (zh) | 2012-12-05 |
| EP2530873A1 (en) | 2012-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5956049B2 (ja) | ストリーミングネットフローデータ解析方法及び装置 | |
| JP5961354B2 (ja) | 効率的なネットフローデータ解析のための方法及び装置 | |
| US11757739B2 (en) | Aggregation of select network traffic statistics | |
| US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
| CN113612749B (zh) | 一种面向入侵行为的溯源数据聚类方法及装置 | |
| CN108063685B (zh) | 日志分析方法及装置 | |
| CN112468365A (zh) | 用于网络镜像流量的数据质量检测方法、系统及介质 | |
| CN104503983A (zh) | 为搜索引擎提供网站认证数据的方法及装置 | |
| US11102132B2 (en) | Extracting data from network communications | |
| US20090055420A1 (en) | Method, system, and computer program product for identifying common factors associated with network activity with reduced resource utilization | |
| KR20120085400A (ko) | 하둡 기반 병렬 연산에 의한 패킷분석 시스템 및 방법 | |
| CN107590233B (zh) | 一种文件管理方法及装置 | |
| CN109272005B (zh) | 一种识别规则的生成方法、装置和深度包检测设备 | |
| CN109643307A (zh) | 流处理系统和方法 | |
| CN111368294B (zh) | 病毒文件的识别方法和装置、存储介质、电子装置 | |
| CN101872353A (zh) | 用于保护数字内容著作权的分布式过滤装置及其方法 | |
| CN112199463A (zh) | 数据查询方法、装置及设备 | |
| CN114301825B (zh) | 路由更新方法及更新装置、电子设备及存储介质 | |
| CN114095410B (zh) | 一种测试实验的分流方法、分流装置和存储介质 | |
| CN109302297B (zh) | 网络访问记录的处理方法、装置和计算机可读存储介质 | |
| CN107766380B (zh) | 一种业务数据的均衡分布及搜索方法及其装置、系统 | |
| WO2021001879A1 (ja) | トラフィック監視装置、およびトラフィック監視方法 | |
| CN111708921A (zh) | 一种号码选择的方法、装置、设备和存储介质 | |
| CN117493422A (zh) | 抽样方法、装置、电子设备及存储介质 | |
| CN117312652A (zh) | 搜集企业网络资产的方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160517 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160615 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5956049 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |