JP7444247B2 - バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム - Google Patents

バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム Download PDF

Info

Publication number
JP7444247B2
JP7444247B2 JP2022523747A JP2022523747A JP7444247B2 JP 7444247 B2 JP7444247 B2 JP 7444247B2 JP 2022523747 A JP2022523747 A JP 2022523747A JP 2022523747 A JP2022523747 A JP 2022523747A JP 7444247 B2 JP7444247 B2 JP 7444247B2
Authority
JP
Japan
Prior art keywords
flow
traffic
burst
detection
term
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022523747A
Other languages
English (en)
Other versions
JPWO2021234764A1 (ja
Inventor
周平 吉田
寛之 鵜澤
彩希 八田
高庸 新田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021234764A1 publication Critical patent/JPWO2021234764A1/ja
Application granted granted Critical
Publication of JP7444247B2 publication Critical patent/JP7444247B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、フローごとにバースト発生を検出するためのバーストトラフィック検出技術に関する。
近年、データセンタやクラウドシステムでは、監視対象となる対象通信回線において、一時的に大量のデータが流れるバーストトラフィックのうち、極めて短い時間内(例えば1ms以下の時間内)にトラフィックが瞬間的に集中することで、ネットワーク遅延やパケットロスを引き起こすマイクロバースト(microburst)が問題視されている。
特に、遅延やジッタの影響を受けやすい映像配信サービスやVoIP(Voice over Internet Protocol)サービスなどでは、その影響はより顕著である。例えば、データセンタの仮想計算基盤上で映像配信サービスを運用する場合を考えると、個々の配信サーバは処理する仮想マシン(VM:Virtual Machine)の割り当てを極小時間で切り替えながら間欠的に映像を配信するため、配信タイミングが重なるとマイクロバーストが発生する。
吉田周平 他,「ハードウェアアクセラレータ内蔵仮想化対応トラフィック監視システム(4)~高効率マイクロバーストパケットキャプチャ手法の提案~」,2020年電子情報通信学会総合大会B-6-69,2020年3月
マイクロバーストの原因解析のためには、マイクロバーストを検出するだけでなく、どのフロー(何らかの共通項を持ったパケットの集合)がバーストを引き起こしているかを特定することが必要である。
非特許文献1では監視対象ネットワークのトラフィック量を常時モニタリングし、1msといった短周期で閾値を超えるか判定することでマイクロバーストの検出を実現しているが、どのフローがバーストの要因かは特定できない。また、非特許文献1では、トラフィック全体だけでなくフローごとの閾値による検出機能も設けているが、固定的な閾値による検出のため、フローごとのトラフィック量が長期的に大きく変動する場合、正しく検出できない場合がある。
図8は、マイクロバーストの検出例を示す説明図である。図8に示すように、フローBのトラフィック量の変動を考慮して閾値が高めに設定されている場合、トラフィック量が全体的に上昇している時刻T1のような状態では、フローBでのマイクロバーストが発生した場合、トラフィック量がフローB閾値を超えるため、マイクロバーストを検出できる。しかし、トラフィック量が全体的に低下している時刻T2のような状態では、フローBでマイクロバーストが発生してもフローBの閾値を超えないため、結果としてマイクロバーストを検出できない。したがって、全体トラフィックに対する閾値は、例えばネットワーク帯域上限の90%といったように静的に決定することができる一方、フローごとに対する適切な閾値は、トラフィックの変動に依存するため、状況に応じた閾値設定が必要となる。
また、非特許文献1と同様にパケットが入力される度に、パケット数やバイト数といった統計情報をフローごとに蓄積し、一定の検出周期で設定した閾値を超えるかを判定することでバーストトラフィックを検出する方法が提案されている。この方法では、検出数が多い場合は閾値の値を増加させ、少ない場合は減少させることで、閾値を動的に更新する。
しかし、検出数が多い場合は閾値の値を増加させ、少ない場合は減少させる方法では、バーストが発生していない場合でも、検出数が少ないと判定して閾値を徐々に減少させてしまうため、バーストでないトラフィックでも超過するような閾値の値となる瞬間がある。その後、検出数が増加していき逆に閾値を増加させるが、また検出数が少なくなるため、閾値を徐々に減少させるというループになる。以上のように、この方法では、バーストが発生していない安定したネットワークに対して適用した場合でも、定期的に(上記ループのため)バーストでないトラフィックをバーストトラフィックと誤検出してしまうという問題がある。
本発明はこのような課題を解決するためのものであり、フローのトラフィック量が長期的に大きく変動する場合でも、フローごとにフローバーストを正確に検出できるバーストトラフィック検出技術を提供することを目的としている。
このような目的を達成するために、本発明にかかるバーストトラフィック検出装置は、対象通信回線を流れるパケットに基づいて、前記対象通信回線に関するトラフィック量をフローごとに計数することにより、それぞれのフローで発生したバーストを検出する制御部とを備え、前記制御部は、前記対象通信回線から取得したパケットごとに、当該パケットのヘッダを解析するように構成されたヘッダ解析部と、前記ヘッダ解析部で得られたヘッダ解析結果に基づいて、前記パケットが属するフローを識別するように構成されたフロー識別部と、前記フロー識別部で得られたフロー識別結果に基づいて、それぞれのフローのトラフィック量を計数し、得られた計数結果に基づいて、当該フローで発生したバーストを検出するように構成されたフローバースト検出部とを含み、前記フローバースト検出部は、前記フローごとに、当該フローのトラフィック量の長期的な変動に応じて動的に変化するフロー閾値を計算し、前記フロー閾値と当該フローのトラフィック量とを比較することにより、当該フローで発生したバーストを検出するようにしたものである。
また、本発明にかかるバーストトラフィック検出方法は、対象通信回線を流れるパケットに基づいて、前記対象通信回線に関するトラフィック量をフローごとに計数することにより、それぞれのフローで発生したバーストを検出する制御部とを備えるバーストトラフィック検出装置で用いられるバーストトラフィック検出方法であって、前記制御部が、前記対象通信回線から取得したパケットごとに、当該パケットのヘッダを解析するヘッダ解析ステップと、前記制御部が、前記ヘッダ解析ステップで得られたヘッダ解析結果に基づいて、前記パケットが属するフローを識別するフロー識別ステップと、前記制御部が、前記フロー識別ステップで得られたフロー識別結果に基づいて、それぞれのフローのトラフィック量を計数し、得られた計数結果に基づいて、当該フローで発生したバーストを検出するフローバースト判定ステップとを備え、前記フローバースト判定ステップは、前記フローごとに、当該フローのトラフィック量の長期的な変動に応じて動的に変化するフロー閾値を計算し、前記フロー閾値と当該フローのトラフィック量とを比較することにより、当該フローで発生したバーストを検出するステップを含んでいる。
また、本発明にかかるバーストトラフィック検出プログラムは、上記のバーストトラフィック検出方法をコンピュータに実行させる。
本発明によれば、フローのトラフィック量が長期的に大きく変動しても、その変動にフロー閾値THiを追従させることができ、フローごとにフローバースト発生を正確に検出することが可能となる。
図1は、バーストトラフィック検出装置の構成を示すブロック図である。 図2は、フローにおけるバースト発生状況を示すグラフである。 図3は、移動平均値の計算過程を示す説明図である。 図4は、フロー識別情報の登録例を示す説明図である。 図5は、長期トラフィックカウンタでの計数例を示す説明図である。 図6は、バーストトラフィック検出処理を示すフローチャートである。 図7は、判定結果の出力例を示す説明図である。 図8は、マイクロバーストの検出例を示す説明図である。
次に、本発明の一実施の形態について図面を参照して説明する。
[バーストトラフィック検出装置]
まず、図1を参照して、本実施の形態にかかるバーストトラフィック検出装置10について説明する。図1は、バーストトラフィック検出装置の構成を示すブロック図である。
このバーストトラフィック検出装置10は、全体としてサーバ装置などの情報処理装置からなり、インターネットなどの通信網NWのうち、監視対象となる対象通信回線から取得したパケットに基づいて、対象通信回線を流れるフロー(データフロー)ごとに、当該フローでのバースト発生を検出する装置である。
[本発明の原理]
図2は、フローにおけるバースト発生状況を示すグラフであり、横軸は時間を示し、縦軸はトラフィック量を示している。本発明において、トラフィック量は、単位時間当たりに流れるデータ量で表すものとし、単位時間の時間長は、アプリケーションに応じて決定される。例えば、マイクロバーストを検出するようなアプリケーションでは1msec前後の単位時間を用いればよく、マイクロバーストよりバースト時間長が長いバーストトラフィックを検出するようなアプリケーションでは、10msec~1sec程度の単位時間を用いればよい。また、データ量については、バイト数のほか、ビット数やパケット数が用いられる。
図2に示すように、フローFのトラフィック量Nは、通常時には一定の変動幅Wに収まっており、バースト発生時にはその変動幅Wを超えて大きく変動する性質を有している。この際、変動幅WはフローFのトラフィック量Nが大きく脈動しても、その長期的な変動、例えばフローFの平均トラフィック量Mを中心としてほぼ一定幅であることが分かる。
本発明は、このようなフローFのトラフィック量Nの長期的な変動とバースト発生時のトラフィック量Fとの関係に着目し、フローFiごとにトラフィック量Niの長期的な変動に応じて動的に変化するフロー閾値THiを計算して、フローFiのトラフィック量Niと比較することにより、フローFiで発生したバーストを検出するようにしたものである。これにより、図2に示すように、トラフィック量Niが全体的に上昇している時刻T1のような状態だけでなく、トラフィック量Niが全体的に低下している時刻T2のような状態であっても、フローバースト発生を正確に検出することが可能となる。
また、本発明は、予め設定されている一定時間長を有する検出区間Tdごとに、フローFiの短期的なトラフィック量を示す短期フロートラフィック量Niを計数するとともに、連続する複数の検出区間Tdからなる計算区間Tcごとに、フローFiの長期的なトラフィック量を示す長期フロートラフィック量Liを計数し、長期フロートラフィック量Liから計算した検出区間Td当たりの平均トラフィック量Miから、フローFiのトラフィック量Niの長期的な変動を示す指標、すなわちフロー閾値THiを計算し、このフロー閾値THiと短期フロートラフィック量Niとを比較するようにしたものである。なお、本発明において、フローFiのトラフィック量Niを短期フロートラフィック量Niと云うこともあり、両者は同一である。
また、平均トラフィック量Miの計算方法については、短期フロートラフィック量Niの移動平均値を用いればよい。この際、具体的には、単純移動平均(SMA:Simple Moving Average)、加重移動平均(WMA:Weighted Moving Average)、あるいは指数移動平均(EMA:Exponential Moving Average)などの公知の移動平均計算手法を用いて、平均トラフィック量Miを計算すればよい。
図3は、移動平均値の計算過程を示す説明図である。移動平均値は、検出対象時刻tiから遡った直前のn(nは2以上の整数)個の検出区間Td分に相当する計算区間Tcにおける、トラフィック量Niの平均値で求められる。具体的には、バースト出時刻tiの1検出区間Tdだけ遡った時刻ti-1からn検出区間Tdまで遡った時刻ti-nまでのn個の検出区間Td分を対象とし、これらn個の検出区間Td分相当する計算区間Tcにおけるトラフィック量Niの平均値、すなわち検出区間Td当たりトラフィック量を、平均トラフィック量Miとして計算すればよい。なお、図3では、移動平均値を計算する際に、n個の検出区間Td毎のトラフィック量を用いたが、移動平均値を計算する際のn個の区間それぞれの区間幅は、必ずしも検出区間Tdと同一である必要はない。
[バーストトラフィック検出装置の構成]
次に、図1を参照して、本実施の形態にかかるバーストトラフィック検出装置10の構成について、詳細に説明する。
図1に示すように、本実施の形態にかかるバーストトラフィック検出装置10は、主な回路構成として、網I/F11、操作入力回路12、画面表示回路13、記憶回路14、および制御部15を備えている。
[網I/F]
網I/F11は、通信網NWとデータ通信を行うことにより、監視対象となる対象通信回線を流れるパケット(フレーム)を取得(キャプチャ)して、制御部15へ出力する回路である。
[操作入力回路]
操作入力回路12は、全体としてキーボード、マウス、タッチパネルなどの操作入力装置からなり、オペレータの操作を検出して制御部15へ出力する回路である。
[画面表示回路]
画面表示回路13は、全体としてLCDなどの画面表示装置からなり、制御部15からの出力された、メニュー画面、設定画面、検出状況画面、検出結果画面などの各種画面データを画面表示する回路である。
[記憶回路]
記憶回路14は、全体としてハードディスクや半導体メモリなどの記憶装置からなり、制御部15でのバースト検出処理で用いる各種処理データやプログラム14Pを記憶する回路である。プログラム14Pは、制御部15のCPUと協働することにより、制御部15でのバーストトラフィック検出処理に用いられる各種の処理部を実現するバーストバーストトラフィック検出プログラムである。バースト検出プログラムは、バーストトラフィック検出装置10に接続された外部装置や記録媒体から、予め読み出されて記憶回路14に保存される。
[制御部]
制御部15は、CPUとその周辺回路を有し、記憶回路14のプログラムを読み込んでCPUで実行して、CPUとプログラム14Pとを協働させることにより、バースト検出処理に用いられる各種の処理部を実現する。なお、以下では、制御部15が主にCPUから構成されている場合を例として説明するがこれに限定されるものではない。例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmable Gate Array)で、バースト検出処理に特化した回路を制御部15として用いてもよい。また、本発明のバーストトラフィック検出装置10は、コンピュータとプログラムによっても実現でき、プログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
図1に示すように、制御部15には、主な処理部として、パケット受信部15A、ヘッダ解析部15B、フロー識別部15C、フロー情報保持部15D、判定結果出力部15E、全体バースト検出部20、およびフローバースト検出部30が設けられている。
[パケット受信部]
パケット受信部15Aは、網I/F11を介して通信網NWから取得した、監視対象となる対象通信回線を流れるパケット(フレーム)を受信するように構成されている。
[ヘッダ解析部]
ヘッダ解析部15Bは、パケット受信部15Aで受信したパケットごとに、当該パケットのヘッダを解析し、得られたヘッダ解析結果を当該パケットとともに出力するように構成されている。
[フロー識別部]
フロー識別部15Cは、ヘッダ解析部15Bで得られた解析結果に基づいて、各パケットが予め登録されているフローのうち、どのフローとマッチするパケットであるかを識別し、識別フローと対応するフローバースト検出部30に当該パケットを出力するように構成されている。
[フロー情報保持部]
フロー情報保持部15Dは、全体として半導体メモリからなり、フロー識別部15Cでのフロー識別処理に用いるフロー識別情報を保持するように構成されている。フロー識別情報は、予めアプリケーションに合わせて、例えば操作入力回路12や画面表示回路13を用いてオペレータにより登録される。
図4は、フロー識別情報の登録例を示す説明図である。図4に示すように、フロー識別情報には、フローを識別するためのフローIDごとに、当該フローを流れるパケットに関する、送信元MACアドレス、送信先MACアドレス、送信元IPアドレス、送信先IPアドレスなどの各種のヘッダ情報が、識別ルールとして登録されている。
[全体バースト検出部]
全体バースト検出部20は、パケット受信部15Aで受信したパケットのデータ量を、予め設定されている検出区間Tdごとに全体トラフィック量Naとして計数し、予め設定されている全体閾値THaと比較することにより、各フローをまとめた全体トラフィックでのバースト発生を検出するように構成されている。
全体バースト検出部20には、主な処理部として、全体トラフィックカウンタ21と全体バースト判定部22とが設けられている。
[全体トラフィックカウンタ]
全体トラフィックカウンタ21は、パケット受信部15Aで受信した各フローのパケットに関するデータ量を、予め設定されている検出区間Tdごとに計数し、バースト検出時点における全体トラフィック量Naとして出力するように構成されている。
[全体バースト判定部]
全体バースト判定部22は、検出区間Tdごとに、全体トラフィックカウンタ21で得られたバースト検出時点における全体トラフィック量Naを、予め設定されている全体閾値THaと比較し、全体トラフィック量Naが全体閾値THaを上回った場合、全体トラフィックでのバースト発生ありと判定し、全体トラフィック量Naが全体閾値THa以下である場合、全体トラフィックでのバースト発生なしと判定するように構成されている。
[フローバースト検出部]
フローバースト検出部30は、フローFiごとに設けられて、フロー識別部15Cで得られたフロー識別結果に基づいて、対応するフローFiのパケットに関するデータ量を、予め設定されている検出区間Tdごとにフロートラフィック量Niとして計数し、フロートラフィック量Niと当該フローの平均トラフィック量Miから計算したフロー閾値THiと比較することにより、当該フローFiにおけるバースト発生の有無を判定するように構成されている。
各フローバースト検出部30には、主な処理部として、短期トラフィックカウンタ31、長期トラフィックカウンタ32、平均トラフィック量計算部33、閾値計算部34、およびフローバースト判定部35が設けられている。
[短期トラフィックカウンタ]
短期トラフィックカウンタ31は、フロー識別部15Cで得られた識別結果に基づいて、対応するフローFiとして識別されたパケットに関するデータ量を、予め設定されている検出区間Tdごとに計数し、フロー検出時点における短期フロートラフィック量Niとして出力するように構成されている。
[長期トラフィックカウンタ]
長期トラフィックカウンタ32は、フロー識別部15Cで得られた識別結果に基づいて、対応するフローFiとして識別されたパケットに関するデータ量を、予め設定されている計算区間Tcごとに計数し、フロー検出時点における長期フロートラフィック量Liとして出力するように構成されている。
図5は、長期トラフィックカウンタでの計数例を示す説明図である。長期トラフィックカウンタ32において、長期フロートラフィック量Liをメモリで保持する際、図5に示すように、n個のアドレス空間に対して、先頭から順に受信パケットのデータ量、例えばパケット数やバイト数を累計していくものとし、その累計先を検出区間Tdごとに遷移させるようにしてもよい。これにより、これらn個のアドレス空間で保持しているデータ量を合計することにより、常に、直近n区間分の累計値、すなわち長期フロートラフィック量Liを得ることが可能となる。なお、図3と同様に、図5においても、トラフィックの累積値を計算する際の区間幅についても、必ずしも検出区間Tdと同一である必要はない。
[平均トラフィック量計算部]
平均トラフィック量計算部33は、長期トラフィックカウンタ32で得られた長期フロートラフィック量Liに基づいて、例えば単純移動平均(SMA:Simple Moving Average)、加重移動平均(WMA:Weighted Moving Average)、あるいは指数移動平均(EMA:Exponential Moving Average)などの公知の計算手法により、計算区間Tcにおける平均トラフィック量Miを計算するように構成されている。
[閾値計算部]
閾値計算部34は、平均トラフィック量計算部33で計算された平均トラフィック量Miに、予め設定されているオフセット値αiを加算して、対応するフローFiに関するフロー閾値THiを計算するように構成されている。この際、平均トラフィック量Miに対するオフセット値αiの加算に代えて、平均トラフィック量Miにオフセット値αiを乗算することにより、平均トラフィック量Miのうち予め設定されている比率分だけ加算するようにしてもよい。オフセット値αiについては、それぞれのアプリケーションに応じて経験的に得られた値を設定すればよい。以下では、オフセット値αiが、フローFiごとに個別に設定されている場合を例として説明するが、これに限定されるものではなく、全フローに対して共通して設定してもよい。
[フローバースト判定部]
フローバースト判定部35は、短期トラフィックカウンタ31で計数された短期フロートラフィック量Niを、閾値計算部34で計算されたフロー閾値THiと比較し、短期フロートラフィック量Niがフロー閾値THiを上回った場合、対応するフローFiでのバースト発生ありと判定し、短期フロートラフィック量Niがフロー閾値THi以下である場合、対応するフローFiでのバースト発生なしと判定するように構成されている。
[判定結果出力部]
判定結果出力部15Eは、全体バースト検出部20から出力された全体トラフィックに関するバースト発生有無と、各フローFiのフローバースト検出部30から出力されたそれぞれのフローFiに関するバースト発生有無とに基づいて、対象通信回線におけるバースト発生状況を出力するように構成されている。バースト発生状況については、画面表示回路13で画面表示してもよく、ファイル化して記憶回路14に保存し、あるいは、網I/F11から通信網NWを介して指定された上位装置(図示せず)へ送信してもよい。
[本実施の形態の動作]
次に、図6を参照して、本実施の形態にかかるバーストトラフィック検出装置10におけるバーストトラフィック検出方法の動作について説明する。図6は、バーストトラフィック検出処理を示すフローチャートである。制御部15は、通信網NWの対象通信回線から網I/F11がパケットを取得するごとに、図6のバーストトラフィック検出処理を実行する。以下ではトラフィック量の計数に用いるパケットのデータ量としてバイト数を用いる場合を例として説明するが、これに限定されるものではなく、例えばビット数やパケット数など、他のデータ量を用いてもよい。
まず、パケット受信部15Aは、網I/F11が取得したパケットを受信し(ステップS100)、受信したパケットを、全体バースト検出部20およびヘッダ解析部15Bへ出力する。これにより、トラフィック全体に関する全体バースト発生検出処理(ステップS101)と、フローバースト発生検出処理(ステップS102)とが、並列的に実行される。
[全体バースト発生検出処理]
全体バースト発生検出処理(ステップS101)では、まず、全体バースト検出部20において、全体トラフィックカウンタ21が、パケット受信部15Aから出力されたパケットのバイト数を順次累計することにより、対象通信回線の全フローに関する全体トラフィック量Naを計数する(ステップS110)。
この後、全体バースト判定部22は、検出区間Tdが満了したか確認し(ステップS111)、検出区間Tdが満了していない場合(ステップS111:NO)、一連の全体バースト発生検出処理(ステップS101)を終了して、後述のステップS103へ移行する。
また、ステップS111において、検出区間Tdが満了した場合(ステップS111:YES)、全体バースト判定部22は、全体トラフィックカウンタ21で得られた全体トラフィック量Naを、予め設定されている全体閾値THaと比較することにより、全体バースト発生の有無を判定する(ステップS112)。この際、Na>THaの場合には全体バースト発生ありと判定され、Na≦THaの場合には全体バースト発生なしと判定される。これにより、例えば全体バースト発生ありを示す判定結果は、判定結果出力部15Eにより、画面表示回路13に出力されて画面表示されることになる。
この後、全体トラフィックカウンタ21は、全体トラフィック量Naをクリアし(ステップS113)、一連の全体バースト発生検出処理(ステップS101)を終了して、後述のステップS103へ移行する。
[フローバースト発生検出処理]
一方、フローバースト発生検出処理(ステップS102)では、まず、ヘッダ解析部15Bが、パケット受信部15Aで受信したパケットのヘッダを解析する(ステップS120)。これにより、MACアドレスやIPアドレスなど、当該パケットが属するフローを識別するための各種識別情報がヘッダから抽出され、当該パケットともに解析結果としてフロー識別部15Cに出力される。
続いて、フロー識別部15Cは、ヘッダ解析部15Bで得られた解析結果に含まれる各種識別情報を、フロー情報保持部15Dに保持されているフロー識別情報と照合することにより、受信したパケットが予め登録されているどのフローFiとマッチするか識別する(ステップS121)。これにより、当該パケットは、フロー識別部15Cにおいて、マッチしたフローFiと対応するフローバースト検出部30に割り振られることになる。
次に、フローFiと対応するフローバースト検出部30において、短期トラフィックカウンタ31は、フロー識別部15Cから出力されたパケットのバイト数を順次累計することにより、対象通信回線のうち対応するフローFiに関する短期フロートラフィック量Niを計数する(ステップS122)。
この後、フローバースト判定部35は、検出区間Tdが満了したか確認し(ステップS123)、検出区間Tdが満了していない場合(ステップS123:NO)、一連の全体バースト発生検出処理(ステップS102)を終了して、後述のステップS103へ移行する。
また、ステップS123において、検出区間Tdが満了した場合(ステップS123:YES)、フローバースト判定部35は、短期トラフィックカウンタ31で計数された短期フロートラフィック量Niを、閾値計算部34で計算されたフローFiのフロー閾値THiと比較することにより、フローFiに関するフローバースト発生の有無を判定する(ステップS124)。この際、Ni>THiの場合には全体バースト発生ありと判定され、Ni≦THiの場合には全体バースト発生なしと判定される。これにより、フローFiに関するフロー全体バースト発生ありを示す判定結果は、判定結果出力部15Eにより、例えば画面表示回路13に出力されて画面表示されることになる。
この後、長期トラフィックカウンタ32は、短期トラフィックカウンタ31で計数された短期フロートラフィック量Niを、長期フロートラフィック量Liとして集計する(ステップS125)。
続いて、短期トラフィックカウンタ31は、短期フロートラフィック量Niをクリアし(ステップS126)、一連の全体バースト発生検出処理(ステップS102)を終了して、後述のステップS103へ移行する。
このようにして、全体バースト発生検出処理(ステップS101)と、フローバースト発生検出処理(ステップS102)とが終了した後、全てのフローバースト検出部30において、閾値計算処理(ステップS103)が実行される。
閾値計算処理(ステップS103)において、各フローバースト検出部30では、まず、平均トラフィック量計算部33が、計算区間Tcが満了したか確認し(ステップS130)、計算区間Tcが満了していない場合(ステップS130:NO)、一連の閾値計算処理(ステップS103)を終了した後、前述したステップS100)に戻って、次のパケット受信まで待機する。
一方、計算区間Tcが満了した場合(ステップS130:YES)、平均トラフィック量計算部33は、長期トラフィックカウンタ32で計数された長期フロートラフィック量Liに基づいて、検出区間Td当たりのトラフィック量を平均トラフィック量Miとして計算する(ステップS131)。
次に、閾値計算部34は、平均トラフィック量計算部33で得られた平均トラフィック量Miに、予め設定されているフローFiのオフセット値αiを加算することにより、フロー閾値THiを計算し(ステップS132)、一連の閾値計算処理(ステップS103)を終了した後、前述したステップS100)に戻って、次のパケット受信まで待機する。
図7は、判定結果の出力例を示す説明図である。判定結果出力部15Eは、全体バースト検出部20および各フローバースト検出部30から出力された判定結果を、履歴情報としてまとめて出力してもよい。図7には、履歴情報として、バーストを検出した検出日時ごとに、当該検出日時において検出したバーストの回数が、発生元、すなわち全体およびフローFiごとに示されている。これにより、どの時点での全体あるいはどのフローでバーストが何回発生したかを、極めて容易に確認することが可能となる。
[本実施の形態の効果]
このように、本実施の形態は、制御部15において、フローバースト検出部30は、フローFiごとに、当該フローFiのトラフィック量Niの長期的な変動に応じて動的に変化するフロー閾値THiを計算し、フロー閾値THiと当該フローFiのトラフィック量Niとを比較することにより、当該フローFiで発生したバーストを検出するようにしたものである。
これにより、トラフィック量Niが長期的に大きく変動しても、その変動にフロー閾値THiを追従させることができ、フローFiごとにフローバースト発生を正確に検出することが可能となる。
また、本実施の形態において、フローバースト検出部30の具体的構成として、短期トラフィックカウンタ31が、一定時間長を有する検出区間TdごとにフローFiのデータ量を集計することにより、フローFiの短期フロートラフィック量Niを計数し、長期トラフィックカウンタ32が、検出区間Tdより長い一定時間長からなる計算区間TcごとにフローFiのデータ量を集計することにより、フローFiの長期フロートラフィック量Liを計数し、平均トラフィック量計算部33が、長期フロートラフィック量Liから、検出区間Td当たりの平均トラフィック量Miを計算し、閾値計算部34が、平均トラフィック量Miに基づいてフロー閾値THiを計算し、フローバースト判定部35が、検出区間Tdごとに、短期フロートラフィック量Niとフロー閾値THiとを比較することにより、フローFiでのバースト発生有無を判定するようにしてもよい。これにより、比較的簡素な構成および処理でフローバーストを検出することが可能となる。したがって、パケットが高速で流れる対象通信回線であっても、正確にフローバーストを検出することが可能となる。
また、本実施の形態において、計算区間Tcを、連続するn(nは2以上の整数)個の検出区間Tdごとに割り当て、長期トラフィックカウンタ32は、計算区間Tcが満了するごとに、計算区間Tc内に集計した長期フロートラフィック量Liを出力するようにしてもよい。これにより、比較的簡素な構成および処理で長期フロートラフィック量Liを得ることが可能となる。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
10…バーストトラフィック検出装置、11…網I/F、12…操作入力回路、13…画面表示回路、14…記憶回路、15…制御部、15A…パケット受信部、15B…ヘッダ解析部、15C…フロー識別部、15D…フロー情報保持部、15E…判定結果出力部、20…全体バースト検出部、30…フローバースト検出部、31…短期トラフィックカウンタ、32…長期トラフィックカウンタ、33…平均トラフィック量計算部、34…閾値計算部、35…フローバースト判定部、Td…検出区間、Tc…計算区間、Na…全体トラフィック量、THa…全体閾値、Fi…フロー、Ni…フロートラフィック量(短期フロートラフィック量)、Li…長期フロートラフィック量、Mi…平均トラフィック量、THi…フロー閾値。

Claims (7)

  1. 対象通信回線を流れるパケットに基づいて、前記対象通信回線に関するトラフィック量をフローごとに計数することにより、それぞれのフローで発生したバーストを検出する制御部とを備え、
    前記制御部は、
    前記対象通信回線から取得したパケットごとに、当該パケットのヘッダを解析するように構成されたヘッダ解析部と、
    前記ヘッダ解析部で得られたヘッダ解析結果に基づいて、前記パケットが属するフローを識別するように構成されたフロー識別部と、
    前記フロー識別部で得られたフロー識別結果に基づいて、それぞれのフローのトラフィック量を計数し、得られた計数結果に基づいて、当該フローで発生したバーストを検出するように構成されたフローバースト検出部とを含み、
    前記フローバースト検出部は、前記フローごとに、当該フローのトラフィック量の長期的な変動に応じて動的に変化するフロー閾値を計算し、前記フロー閾値と当該フローのトラフィック量とを比較することにより、当該フローで発生したバーストを検出する
    ことを特徴とするバーストトラフィック検出装置。
  2. 請求項1に記載のバーストトラフィック検出装置において、
    前記フローバースト検出部は、
    一定時間長を有する検出区間ごとに前記フローのデータ量を集計することにより、前記フローの短期フロートラフィック量を計数するように構成された短期トラフィックカウンタと、
    前記検出区間より長い一定時間長からなる計算区間ごとに前記フローのデータ量を集計することにより、前記フローの長期フロートラフィック量を計数するように構成された長期トラフィックカウンタと、
    前記長期トラフィックカウンタで計数した前記長期フロートラフィック量から、前記検出区間当たりの平均トラフィック量を計算するように構成された平均トラフィック量計算部と、
    前記平均トラフィック量計算部で計算した前記平均トラフィック量に基づいて、前記フロー閾値を計算するように構成された閾値計算部と、
    前記検出区間ごとに、前記短期トラフィックカウンタで計数した前記短期フロートラフィック量と、前記閾値計算部で計算した前記フロー閾値とを比較することにより、前記フローでのバースト発生有無を判定するように構成されたフローバースト判定部と
    を含むことを特徴とするバーストトラフィック検出装置。
  3. 請求項2に記載のバーストトラフィック検出装置において、
    前記計算区間は、前記検出区間ごとに、当該検出区間の直前から遡って連続するn(nは2以上の整数)個の前記検出区間に割り当てられており、
    前記長期トラフィックカウンタは、前記検出区間ごとに、前記計算区間内から集計した前記長期フロートラフィック量を出力する
    ことを特徴とするバーストトラフィック検出装置。
  4. 請求項2または請求項3に記載のバーストトラフィック検出装置において、
    前記平均トラフィック量計算部は、単純移動平均、加重移動平均、あるいは指数移動平均のいずれか1つの計算手法を用いて、前記平均トラフィック量を計算することを特徴とするバーストトラフィック検出装置。
  5. 請求項2~請求項4のいずれかに記載のバーストトラフィック検出装置において、
    前記閾値計算部は、前記平均トラフィック量計算部で計算した前記平均トラフィック量に、予め設定されているオフセット値を加算することにより、あるいは、前記平均トラフィック量のうち予め設定されている比率分だけ加算することにより、前記フロー閾値を計算することを特徴とするバーストトラフィック検出装置。
  6. 対象通信回線を流れるパケットに基づいて、前記対象通信回線に関するトラフィック量をフローごとに計数することにより、それぞれのフローで発生したバーストを検出する制御部とを備えるバーストトラフィック検出装置で用いられるバーストトラフィック検出方法であって、
    前記制御部が、前記対象通信回線から取得したパケットごとに、当該パケットのヘッダを解析するヘッダ解析ステップと、
    前記制御部が、前記ヘッダ解析ステップで得られたヘッダ解析結果に基づいて、前記パケットが属するフローを識別するフロー識別ステップと、
    前記制御部が、前記フロー識別ステップで得られたフロー識別結果に基づいて、それぞれのフローのトラフィック量を計数し、得られた計数結果に基づいて、当該フローで発生したバーストを検出するフローバースト判定ステップとを備え、
    前記フローバースト判定ステップは、前記フローごとに、当該フローのトラフィック量の長期的な変動に応じて動的に変化するフロー閾値を計算し、前記フロー閾値と当該フローのトラフィック量とを比較することにより、当該フローで発生したバーストを検出するステップを含む
    ことを特徴とするバーストトラフィック検出方法。
  7. 請求項6に記載のバーストトラフィック検出方法を、コンピュータに実行させるためのバーストトラフィック検出プログラム。
JP2022523747A 2020-05-18 2020-05-18 バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム Active JP7444247B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/019595 WO2021234764A1 (ja) 2020-05-18 2020-05-18 バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム

Publications (2)

Publication Number Publication Date
JPWO2021234764A1 JPWO2021234764A1 (ja) 2021-11-25
JP7444247B2 true JP7444247B2 (ja) 2024-03-06

Family

ID=78708397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022523747A Active JP7444247B2 (ja) 2020-05-18 2020-05-18 バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム

Country Status (2)

Country Link
JP (1) JP7444247B2 (ja)
WO (1) WO2021234764A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023112173A1 (ja) * 2021-12-14 2023-06-22 日本電信電話株式会社 トラフィック監視装置、トラフィック監視方法、及びプログラム
CN114924818B (zh) * 2022-04-28 2023-11-28 阿里巴巴(中国)有限公司 流量分流方法、装置、设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017028431A (ja) 2015-07-21 2017-02-02 富士通株式会社 伝送装置及び流量計測方法
JP2017188814A (ja) 2016-04-07 2017-10-12 APRESIA Systems株式会社 ネットワーク装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017028431A (ja) 2015-07-21 2017-02-02 富士通株式会社 伝送装置及び流量計測方法
JP2017188814A (ja) 2016-04-07 2017-10-12 APRESIA Systems株式会社 ネットワーク装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Aaron Sun, et al.,Burst Detection From Multiple Data Streams: A Network-Based Approach,IEEE Transactions on Systems, Man, and Cybernetics, Part C (Applications and Reviews) Volume: 40,IEEE,2010年01月12日,pp. 258 - 267
石井 一志,NTT-AT、柔軟性と高速処理を両立させたネットワークトラフィック監視システム 「@FlowInspector」,クラウド Watch [ONLINE],2019年06月12日,[検索日 2020.9.28],インターネット:<https://cloud.watch.impress.co.jp/docs/news/1189707.html>

Also Published As

Publication number Publication date
JPWO2021234764A1 (ja) 2021-11-25
WO2021234764A1 (ja) 2021-11-25

Similar Documents

Publication Publication Date Title
US11539630B2 (en) Inspecting operations of a machine to detect elephant flows
EP4082174B1 (en) System and method for estimation of quality of experience (qoe) for video streaming
US9282022B2 (en) Forensics for network switching diagnosis
US8116225B2 (en) Method and apparatus for estimating channel bandwidth
TWI486042B (zh) 對資料中心環境最佳化之通信傳輸
JP7444247B2 (ja) バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム
CN102804714A (zh) 控制分组传输
JP2011154483A (ja) 異常検出装置、プログラム、及び異常検出方法
US11171869B2 (en) Microburst detection and management
US10447561B2 (en) BFD method and apparatus
US9350669B2 (en) Network apparatus, performance control method, and network system
US20140149350A1 (en) Remote Replication in a Storage System
JP5772395B2 (ja) 送信レート制御のためのプログラム、制御方法及び情報処理装置
WO2016182772A1 (en) Uplink performance management
US20130343190A1 (en) Application-driven control of wireless networking settings
US11088960B2 (en) Information processing apparatus and verification system
JPWO2014155617A1 (ja) 通信装置、通信方法、及び通信プログラム
JP2017506847A (ja) マルチネットワークルータにおけるフェイルオーバーとフェイルバックを提供する方法とシステム
CN112351042B (zh) 攻击流量计算方法、装置、电子设备和存储介质
US11902167B2 (en) Communication apparatus having delay guarantee shaping function
JP2018182594A (ja) パケット解析プログラム、パケット解析装置およびパケット解析方法
JP7003467B2 (ja) パケット分類プログラム、パケット分類方法およびパケット分類装置
CN114079619B (zh) 端口流量的采样方法和装置
JP2014112779A (ja) データ送信制御装置、データ送信制御方法、および、コンピュータ・プログラム
JP5528372B2 (ja) フロー品質劣化特定装置及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220825

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240205

R150 Certificate of patent or registration of utility model

Ref document number: 7444247

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150