JP7456502B2 - トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム - Google Patents

トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム Download PDF

Info

Publication number
JP7456502B2
JP7456502B2 JP2022527307A JP2022527307A JP7456502B2 JP 7456502 B2 JP7456502 B2 JP 7456502B2 JP 2022527307 A JP2022527307 A JP 2022527307A JP 2022527307 A JP2022527307 A JP 2022527307A JP 7456502 B2 JP7456502 B2 JP 7456502B2
Authority
JP
Japan
Prior art keywords
statistical information
capture
file
unit
traffic monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022527307A
Other languages
English (en)
Other versions
JPWO2021240634A1 (ja
Inventor
寛之 鵜澤
周平 吉田
奈美子 池田
高庸 新田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2021240634A1 publication Critical patent/JPWO2021240634A1/ja
Application granted granted Critical
Publication of JP7456502B2 publication Critical patent/JP7456502B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/087Jitter

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークにおけるトラフィックを監視する技術に関する。
NFV(Network Functions Virtualization)/SDN(Software Defined Networking)における仮想化技術の進展に伴い、VM(Virtual Machine)等を用いた様々なサービスが提供されている。それらサービスの運用管理には、仮想ネットワーク上を流れる各フロー(送信元/宛先のMACアドレスやIPアドレス等を組み合わせたルールが同一のパケットの集合体)のトラフィック統計情報(パケット数、バイト数、ジッタ、レイテンシ等)をリアルタイムで監視し、障害発生時には、該当フローのパケットをキャプチャして原因解析を行えるようにする必要がある。また、障害発生時だけでなく、遅延やジッタ等の音声品質に係わるネットワーク品質監視のために、統計情報の取得と併せて、パケットをキャプチャする必要もある。
上記処理を実現するために、これまでに、フロー毎のトラフィック統計情報を取得する機能を有する統計情報処理装置(非特許文献1)と、特定フローのパケットのみをフィルタしてキャプチャする機能を有するパケットキャプチャ装置(特許文献1)とがそれぞれ開示されている。
図7に統計情報処理装置及びパケットキャプチャ装置の構成例を示す。統計情報処理装置は、監視対象ネットワーク(NW)の外部からタップする等して当該NWを流れるパケットの複製パケットを入力とし、当該入力パケットからフロー特定に必要なヘッダを抽出するためのパケット解析部、抽出ヘッダを基にフローを特定するフロー識別部、特定されたフローに該当する統計情報を更新する統計情報集計部、定期的に統計情報集計結果を収集し、当該集計完了時点の時刻を打刻して統計情報ファイルを出力する統計情報ファイル生成部、統計情報ファイルを保存するための記憶部♯1を備える。
一方、パケットキャプチャ装置は、パケット解析部、フロー識別部の他に、キャプチャ対象フローのパケットのみを後段に出力するフィルタ部、出力されたパケットの中身と当該パケットのキャプチャ時刻とを、複数パケット分束ねたキャプチャデータをファイル化するキャプチャファイル生成部、キャプチャファイルを保存するための記憶部♯2を備える。
池田 他,「ハードウェアアクセラレータ内蔵仮想化対応トラフィック監視システム(1)~トラフィックの可視化を実現するシステムアーキテクチャ~」、電子情報通信学会総合大会、2020年3月17日-20日
特許第4955722号公報
トラフィック解析では、これらの装置が保持した統計情報ファイルとキャプチャファイルとを用いて、各々に打刻された時刻に基づいて、統計情報とキャプチャデータとを照合しながら行われる。しかしながら、両装置は互いに独立しているため、時刻同期しているとは限らず、統計情報処理装置が統計情報に打刻した時刻と、パケットキャプチャ装置がキャプチャしたパケットに打刻した時刻とに差異が生じ、前記照合が困難となり、トラフィック解析を困難となる。
ここで、統計情報処理装置とパケットキャプチャ装置とを時刻同期させる方法も考えられるが、参照時刻を出力する時刻源装置がそれぞれの装置に必要となり、システムの構築に必要な装置数が増大するという問題がある。
本発明は、上記課題を解決するためになされたものであり、統計情報ファイルとキャプチャファイルを用いたトラフィック解析を簡略化し、より少ない装置数でトラフィック解析を実現することが可能なトラフィック監視装置を提供することを目的とする。
上記課題を解決するために、本発明のトラフィック監視装置は、監視対象ネットワークのトラフィックを監視するトラフィック監視装置であって、前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、前記特定フローのパケットをキャプチャするパケットキャプチャ部とを備え、前記統計情報処理部は、前記統計情報を集計する統計情報集計部と、集計された前記統計情報に基づいて統計情報ファイルを生成する統計情報ファイル生成部を備え、前記パケットキャプチャ部は、前記特定フローのパケットをフィルタリングするフィルタ部と、前記フィルタリングされたパケットを用いて、キャプチャファイルを生成するキャプチャファイル生成部を備え、同一時刻源から供給された時刻情報を用いて、前記統計情報ファイル生成部は、前記統計情報ファイルを生成し、前記キャプチャファイル生成部は、前記キャプチャファイルを生成することを特徴とする。
上記課題を解決するために、本発明のトラフィック監視方法は、監視対象ネットワークのトラフィックを監視し、前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、前記特定フローのパケットをキャプチャするパケットキャプチャ部を備えたトラフィック監視装置におけるトラフィック監視方法であって、前記統計情報処理部が、前記統計情報を集計し、集計された前記統計情報に基づいて統計情報ファイルを生成するステップと、前記パケットキャプチャ部が、前記特定フローのパケットをフィルタリングし、前記フィルタリングされたパケットに基づいてキャプチャファイルを生成するステップを含み、同一時刻源から供給された時刻情報を用いて、前記統計情報ファイルを生成するステップは、前記統計情報ファイルを生成し、前記キャプチャファイルを生成するステップは、前記キャプチャファイルを生成することを特徴とする。
上記課題を解決するために、本発明のトラフィック監視プログラムは、上述したトラフィック監視方法の各ステップをコンピュータに実行させる。
本発明によれば、統計情報ファイルとキャプチャファイルを用いたトラフィック解析を簡略化し、より少ない装置数でトラフィック解析を実現することが可能なトラフィック監視装置を提供することができる。
図1は、本発明の第1の実施の形態に係るトラフィック監視装置の構成を示すブロック図である。 図2は、本発明の第1の実施の形態に係る統計情報処理部における動作手順を示すフローチャートである。 図3は、本発明の第1の実施の形態に係るパケットキャプチャ部における動作手順を示すフローチャートである。 図4は、本実施の形態に係るトラフィック監視装置を実現するためのコンピュータの構成例である。 図5は、本発明の第2の実施の形態に係るトラフィック監視装置の構成を示すブロック図である。 図6は、本発明の第3の実施の形態に係るトラフィック監視装置の構成を示すブロック図である。 図7は、従来のトラフィック監視装置の構成を示すブロック図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。本発明は、以下の実施の形態に限定されるものではない。
<第1の実施の形態>
本発明の第1の実施の形態について説明する。図1は、本発明の第1の実施の形態に係るトラフィック監視装置の構成を示すブロック図である。
<トラフィック監視装置の構成>
トラフィック監視装置1では、統計情報処理部10とパケットキャプチャ部20とを同一装置上に搭載し、同一の時刻源30から供給された時刻情報を用いて、統計情報ファイル及びキャプチャデータファイルを生成するとともに、入力パケットのフローを特定するためのパケット解析部及びフロー識別部を統計情報処理部10とパケットキャプチャ部20とで共用する点が従来と異なる。
統計情報処理部10は、監視対象ネットワーク80から複製パケット(ミラーリングパケット)を入力し、入力パケットから特定フローの識別に必要なヘッダを抽出するためのパケット解析部11、抽出されたヘッダに基づいて特定フローを識別するフロー識別部12、特定されたフローに対応する統計情報を集計する統計情報集計部13、定期的に統計情報集計結果を集計し、統計情報ファイルを生成する統計情報ファイル生成部14、生成された統計情報ファイルを保存するための記憶部15を備える。
パケット解析部11では、統計情報を取得するフローを特定するために、監視対象ネットワーク80から入力されたミラーリングパケットを解析してヘッダを抽出する。
フロー識別部12は、統計情報を取得するフローに対応するルールを記録したルールテーブル40を備え、ルールテーブルに記録された各ルールと、パケット解析部11で抽出されたヘッダとを順次一致比較することで、統計情報を取得する特定フローを識別する。
統計情報集計部13は、特定されたフローに対応する統計情報を集計する。統計情報ファイル生成部14は、定期的に統計情報集計結果を集計し、時刻源30から供給された集計完了時点の時刻情報を用いて、時刻を打刻し統計情報ファイルを生成する。記憶部15は、生成された統計情報ファイルを保存する。
ルールテーブル40には、例えば、送信元/宛先MACアドレスと送信元/宛先IPアドレスのヘッダフィールド情報をフローを識別するためのルールとして記録することができる。フローを識別する情報は、それらに限定されるものではなく、送信元/宛先ポート番号、プロトコル種別などのヘッダフィールド情報をフローを識別するためのルールとして記録してもよい。
本実施形態では、統計情報を取得するフローの特定を、統計情報処理部10とパケットキャプチャ部20とで共用させるために、ルールテーブル40に記録された各ルールに、キャプチャ対象であるか否かを示すキャプチャフラグ値(1:キャプチャ対象、0:非キャプチャ対象)を新たに追加し、ルールテーブル40のルールに合致したフローのパケットを統計情報集計部13に通知すると共に、当該ルールのキャプチャフラグ値をパケットキャプチャ部20のフィルタ部21に通知する。
パケットキャプチャ部20は、キャプチャ対象フローのパケットのみを後段に出力するフィルタ部21、出力されたパケットの中身と時刻源30から供給されるパケットのキャプチャ時刻を用いて、複数パケット分束ねたキャプチャデータをファイル化するキャプチャファイル生成部22、キャプチャファイルを保存するための記憶部23を備える。
フィルタ部21は、キャプチャ対象のパケットをフィルタリングする機能を有する。フィルタ部21は、入力パケットを一旦バッファし、バッファした当該パケットに対するキャプチャフラグ値がフロー識別部12から通知されるのを待つ。通知されたキャプチャフラグが1の場合にはバッファから当該パケットを後段のキャプチャファイル生成部22に出力し、キャプチャフラグが0の場合には、バッファした当該パケットをバッファから廃棄する。ここで、入力パケットがルールテーブル40に記録された全ルールに合致しない場合には、フィルタ部21には、キャプチャフラグ値は0が通知される。
ここで、パケットキャプチャ部20は、キャプチャの開始/終了を設定できるように構成してもよい。キャプチャの終了が設定されている場合等、キャプチャ中でない場合には、フィルタ部21は、キャプチャフラグ値に関係なく、入力パケットをバッファせずに廃棄する。フィルタ部21には、キャプチャの開始/終了を外部装置(図示しない)より設定することが可能であり、また、ルールテーブル40におけるキャプチャフラグ値も外部装置より設定することができる。
このように、第1の実施の形態では、統計情報ファイルおよびキャプチャファイルの各々に打刻する際に用いる時刻情報を同一の時刻源から供給するように構成されているので、統計情報とキャプチャデータとの打刻された時刻情報に基づく照合を容易に行うことができ、これらの情報を用いたトラフィック解析を容易に行うことができる。
また、統計情報を取得するフローの特定に必要なパケット解析部11及びフロー識別部12が統計情報処理部10とパケットキャプチャ部20とで共用され、かつ、キャプチャフラグ値が1ビットで構成できることから、共用に伴うルールテーブル40のメモリ容量の増大は、記録されているルール毎に1ビット増えるのみであり、統計情報処理部10とパケットキャプチャ部20がそれぞれルールテーブルを備えた従来の場合と比較してメモリ総量および回路規模が共に縮小されるだけでなく、低消費電力の装置構成を実現できる。
<トラフィック監視方法の動作>
図2、3を用いて、第1の実施の形態におけるトラフィック監視方法の動作を説明する。図2、3は、それぞれ統計情報処理部10の動作手順、パケットキャプチャ部20の動作手順を示すフローチャートである。
統計情報処理部10では、監視対象ネットワーク80からパケットを受信すると(ステップS1-1)、受信したパケットのヘッダ解析を行うことによりヘッダ情報を抽出する(ステップS1-2)。
次に、ヘッダ解析によって抽出されたヘッダとルールテーブル40のルールを比較して(ステップS1-3)、一致するルールがある場合には、統計情報の集計を行い(ステップS1-5)、所定の期間において集計された統計情報に基づいて統計情報ファイルを生成し(ステップS1-6)、生成した統計情報ファイルを記憶部15に記憶する(ステップS1-7)。ヘッダがルールテーブルに記録されたルールに合致しない場合には、統計情報の集計は行われない。
本実施の形態では、ルールテーブル40との比較の結果、一致するルールがある場合には、当該ルールのキャプチャフラグ値をパケットキャプチャ部20に通知する(ステップS1-4)。ヘッダがルールテーブル40に記録されたルールに合致しない場合には、パケットキャプチャ部に通知するキャプチャフラグは0とする。
パケットキャプチャ部20では、監視対象ネットワーク80からパケットを受信すると(ステップS2-1)、受信したパケットをバッファリングする(ステップS2-2)。
バッファリングしたパケットに対するキャプチャフラグ値が統計情報処理部10から受信され(ステップS2-3)、キャプチャフラグ値が「1」、すなわちキャプチャ対象の場合には(S2-4:YES)、キャプチャ対象のパケットをフィルタリングして(ステップS2-5)、キャプチャファイルを生成し(ステップS2-6)、生成したキャプチャファイルを記憶部23に記憶する(ステップS2-7)。キャプチャフラグ値が「0」の場合には(ステップS2-4:NO)、パケットをフィルタリングは行われず、バッファリングしたパケットを廃棄する(ステップS2-8)。
ここで、統計情報処理部10、パケットキャプチャ部20では、同一時刻源から供給された時刻情報を用いて、それぞれ統計情報ファイル、キャプチャファイルを生成するので、これらのファイルを用いて行う統計情報とキャプチャデータとの打刻時刻に基づく照合が容易となる。その結果、トラフィック監視処理を簡略化することができる。
本実施の形態におけるトラフィック監視装置1の一例として、統計情報処理部10、パケットキャプチャ部20の各部は、CPU(Central Processing Unit)、記憶装置及び外部インタフェース(以下、外部I/F)を備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。このようなコンピュータの構成例を図4に示す。
コンピュータ100は、CPU200と、記憶装置300と、外部I/F400とを備えており、それらがI/Oインタフェース500を介して互いに接続されている。本実施の形態のトラフィック監視装置1の動作を実現するためのトラフィック監視プログラム等のプログラムや、統計情報ファイル、キャプチャファイル等のデータは記憶装置300に格納され、外部I/F400には、信号を送受信する他のコンピュータや、ネットワークを構成するコンピュータ等が接続される。CPU200は、記憶装置300に格納された処理プログラム等に従って本実施の形態で説明した処理を実行することができる。また、この処理プログラムをコンピュータ読み取り可能な記録媒体に記録することも、ネットワークを通して提供することも可能である。
<第2の実施の形態>
図5は、本発明の第2の実施の形態に係るトラフィック監視装置の構成を示すブロック図である。第2の実施の形態は、第1の実施の形態と比較して、障害検出部50を新たに備える点が異なる。障害検出部50は、ルールテーブル40におけるキャプチャフラグ更新指示、及びパケットキャプチャ部へのキャプチャ開始/終了指示を行う。
障害検出部50は、統計情報集計部13から各フローの統計情報を取得し、取得した統計情報に基づいて特定フローにおける障害を検出する。例えば、予め定めた閾値以上のトラフィック量の入力が検出された場合や、予め定めた閾値以上のジッタ発生が検出された場合等、監視対象ネットワーク80における障害発生が検出された場合に、当該フローのキャプチャフラグ値を1に更新するようにルールテーブル40のキャプチャフラグの更新を行った後、キャプチャの開始をパケットキャプチャ部20のフィルタ部21に通知し、自動で該当フローのパケットキャプチャを開始させることができる。
これらの処理と共に、外部に障害発生の警報を出力するようにしてもよい。なお、障害検出部50からの通知により開始したキャプチャの終了は、外部からの終了指示に基づいて行っても良いし、障害検出部50が障害の解消を検出して、終了指示を行うようにしてもよい。例えば、障害検出部50が、トラフィック量が閾値以下になったことを検出して、キャプチャの終了指示を通知するようにしても良い。
このように、第2の実施の形態によれば、障害検出部が特定のフローの障害を検出し、障害が発生した特定のフローのパケットのキャプチャを開始することで、障害が発生したフローを解析するためのデータを速やかに収集することが可能となり、障害解析期間を短縮することも可能となる。
<第3の実施の形態>
図6は、本発明の第3の実施の形態におけるトラフィック監視装置の構成を示すブロック図である。第3の実施の形態は、第1の実施の形態と比較して、記憶部70を統計情報処理機能とパケットキャプチャ機能とで統一し、統計情報ファイルの出力とキャプチャファイルの出力とを調停する調停部60を備える点が異なる。調停部60は、統計情報ファイルとキャプチャファイルの保持タイミングが競合した場合に、何れか一方のファイルの送信を先に行うように、ファイルの送信タイミングを制御する機能を有する。
第3の実施の形態によれば、記憶部70を統計情報処理機能とパケットキャプチャ機能とで統一することができるので、トラフィック解析に必要なメモリ総量・回路規模をさらに低減することが可能となる。
<実施の形態の拡張>
以上、実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
1…トラフィック監視装置、10…統計情報処理部、11…パケット解析部、12…フロー識別部、13…統計情報集計部、14…統計情報ファイル生成部、15…記憶部、20…パケットキャプチャ部、21…フィルタ部、22…キャプチャファイル生成部、23…記憶部、30…時刻源、40…ルールテーブル、80…監視対象ネットワーク。

Claims (8)

  1. 監視対象ネットワークのトラフィックを監視するトラフィック監視装置であって、
    前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、
    前記特定フローのパケットをキャプチャするパケットキャプチャ部と
    を備え、
    前記統計情報処理部は、
    前記統計情報を集計する統計情報集計部と、集計された前記統計情報に基づいて統計情報ファイルを生成する統計情報ファイル生成部を備え、
    前記パケットキャプチャ部は、
    前記特定フローのパケットをフィルタリングするフィルタ部と、前記フィルタリングされたパケットを用いて、キャプチャファイルを生成するキャプチャファイル生成部を備え、
    同一時刻源から供給された時刻情報を用いて、前記統計情報ファイル生成部は、前記統計情報ファイルを生成し、前記キャプチャファイル生成部は、前記キャプチャファイルを生成するトラフィック監視装置において、
    前記統計情報処理部は、
    前記特定フローに対応するルールと、前記ルール毎に前記特定フローがキャプチャ対象か否かを示すキャプチャフラグ値とを記録したルールテーブルと、
    前記ルールテーブルに記録された前記ルールと、入力パケットのヘッダとを比較することにより前記特定フローを識別し、前記特定フローの前記キャプチャフラグ値を前記フィルタ部に通知するフロー識別部を備え、
    前記フィルタ部は、
    通知された前記キャプチャフラグ値がキャプチャ対象であった場合には、キャプチャ対象の前記特定フローのパケットを、前記キャプチャファイル生成部に送信し、キャプチャ対象でない前記特定フローのパケットを廃棄する
    ことを特徴とするトラフィック監視装置。
  2. 請求項記載のトラフィック監視装置において、
    前記統計情報処理部は、
    集計された前記統計情報に基づいて、前記特定フローにおける障害を検出する障害検出部を備え、
    前記障害検出部は、
    障害を検出した特定フローの前記ルールテーブルにおける前記キャプチャフラグ値をキャプチャ対象を示す値に更新する
    ことを特徴とするトラフィック監視装置。
  3. 請求項記載のトラフィック監視装置において、
    前記障害検出部は、フィルタリングの開始を前記フィルタ部に通知する
    ことを特徴とするトラフィック監視装置。
  4. 請求項1からの何れか1項に記載のトラフィック監視装置において、
    前記統計情報ファイルおよび前記キャプチャファイルを記憶する記憶部と、
    前記統計情報ファイルと前記キャプチャファイルの保持タイミングが競合した場合に調停を行う調停部と
    を備えることを特徴とするトラフィック監視装置。
  5. 監視対象ネットワークのトラフィックを監視するトラフィック監視装置であって、
    前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、
    前記特定フローのパケットをキャプチャするパケットキャプチャ部と
    を備え、
    前記統計情報処理部は、
    前記統計情報を集計する統計情報集計部と、集計された前記統計情報に基づいて統計情報ファイルを生成する統計情報ファイル生成部を備え、
    前記パケットキャプチャ部は、
    前記特定フローのパケットをフィルタリングするフィルタ部と、前記フィルタリングされたパケットを用いて、キャプチャファイルを生成するキャプチャファイル生成部を備え、
    同一時刻源から供給された時刻情報を用いて、前記統計情報ファイル生成部は、前記統計情報ファイルを生成し、前記キャプチャファイル生成部は、前記キャプチャファイルを生成するトラフィック監視装置において、
    前記統計情報ファイルおよび前記キャプチャファイルを記憶する記憶部と、
    前記統計情報ファイルと前記キャプチャファイルの保持タイミングが競合した場合に調停を行う調停部と
    を備える
    ことを特徴とするトラフィック監視装置。
  6. 監視対象ネットワークのトラフィックを監視し、前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、前記特定フローのパケットをキャプチャするパケットキャプチャ部を備えたトラフィック監視装置におけるトラフィック監視方法であって、
    前記統計情報処理部が、
    前記統計情報を集計し、集計された前記統計情報に基づいて統計情報ファイルを生成するステップと、
    前記パケットキャプチャ部が、
    前記特定フローのパケットをフィルタリングし、前記フィルタリングされたパケットに基づいてキャプチャファイルを生成するステップを備え、
    同一時刻源から供給された時刻情報を用いて、前記統計情報ファイルを生成するステップは、前記統計情報ファイルを生成し、前記キャプチャファイルを生成するステップは、前記キャプチャファイルを生成し、
    前記統計情報処理部は、
    前記特定フローに対応するルールと、前記ルール毎に前記特定フローがキャプチャ対象か否かを示すキャプチャフラグ値とを記録したルールテーブルに記録された前記ルールと、入力パケットのヘッダとを比較することにより前記特定フローを識別し、前記特定フローの前記キャプチャフラグ値を前記パケットキャプチャ部に通知し、
    前記パケットキャプチャ部は、
    通知された前記キャプチャフラグ値がキャプチャ対象であった場合には、キャプチャ対象の前記特定フローのパケットに基づいて前記キャプチャファイルを生成し、キャプチャ対象でない前記特定フローのパケットを廃棄する
    ことを特徴とするトラフィック監視方法。
  7. 監視対象ネットワークのトラフィックを監視し、前記トラフィックの特定フロー毎に統計情報を取得する統計情報処理部と、前記特定フローのパケットをキャプチャするパケットキャプチャ部を備えたトラフィック監視装置におけるトラフィック監視方法であって、
    前記統計情報処理部が、
    前記統計情報を集計し、集計された前記統計情報に基づいて統計情報ファイルを生成するステップと、
    前記パケットキャプチャ部が、
    前記特定フローのパケットをフィルタリングし、前記フィルタリングされたパケットに基づいてキャプチャファイルを生成するステップを備え、
    同一時刻源から供給された時刻情報を用いて、前記統計情報ファイルを生成するステップは、前記統計情報ファイルを生成し、前記キャプチャファイルを生成するステップは、前記キャプチャファイルを生成し、
    前記統計情報ファイルおよび前記キャプチャファイルを記憶するステップと、
    前記統計情報ファイルと前記キャプチャファイルの保持タイミングが競合した場合に調停を行うステップと
    を備える
    ことを特徴とするトラフィック監視方法。
  8. 請求項6または7に記載のトラフィック監視方法の各ステップをコンピュータに実行させる
    トラフィック監視プログラム。
JP2022527307A 2020-05-26 2020-05-26 トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム Active JP7456502B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/020705 WO2021240634A1 (ja) 2020-05-26 2020-05-26 トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム

Publications (2)

Publication Number Publication Date
JPWO2021240634A1 JPWO2021240634A1 (ja) 2021-12-02
JP7456502B2 true JP7456502B2 (ja) 2024-03-27

Family

ID=78723074

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022527307A Active JP7456502B2 (ja) 2020-05-26 2020-05-26 トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム

Country Status (3)

Country Link
US (1) US11947507B2 (ja)
JP (1) JP7456502B2 (ja)
WO (1) WO2021240634A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2023112173A1 (ja) * 2021-12-14 2023-06-22

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000196593A (ja) 1998-12-24 2000-07-14 Nippon Telegr & Teleph Corp <Ntt> トラヒック及び通信品質測定システム
JP2013219435A (ja) 2012-04-04 2013-10-24 Nippon Telegr & Teleph Corp <Ntt> ネットワーク状態変化検出システム及びトラフィック情報保存装置及びネットワーク状態変化検出装置及び方法及びプログラム
JP2018088646A (ja) 2016-11-29 2018-06-07 富士通株式会社 時刻同期装置及び時刻同期方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4955722B2 (ja) 2009-03-04 2012-06-20 東日本電信電話株式会社 パケットキャプチャシステム及びパケットキャプチャ方法
EP2572473B1 (en) * 2010-05-19 2014-02-26 Telefonaktiebolaget L M Ericsson (PUBL) Methods and apparatus for use in an openflow network
US10356106B2 (en) * 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
US8958318B1 (en) * 2011-09-21 2015-02-17 Cisco Technology, Inc. Event-based capture of packets from a network flow
US11281643B2 (en) * 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US11038973B2 (en) * 2017-10-19 2021-06-15 Dropbox, Inc. Contact event feeds and activity updates

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000196593A (ja) 1998-12-24 2000-07-14 Nippon Telegr & Teleph Corp <Ntt> トラヒック及び通信品質測定システム
JP2013219435A (ja) 2012-04-04 2013-10-24 Nippon Telegr & Teleph Corp <Ntt> ネットワーク状態変化検出システム及びトラフィック情報保存装置及びネットワーク状態変化検出装置及び方法及びプログラム
JP2018088646A (ja) 2016-11-29 2018-06-07 富士通株式会社 時刻同期装置及び時刻同期方法

Also Published As

Publication number Publication date
JPWO2021240634A1 (ja) 2021-12-02
US20230188439A1 (en) 2023-06-15
WO2021240634A1 (ja) 2021-12-02
US11947507B2 (en) 2024-04-02

Similar Documents

Publication Publication Date Title
Li et al. LossRadar: Fast detection of lost packets in data center networks
Rasley et al. Planck: Millisecond-scale monitoring and control for commodity networks
EP2809033B1 (en) Packet capture in a network
CN113794605B (zh) 一种基于eBPF的内核丢包检测方法、系统和装置
Wu et al. Virtual network diagnosis as a service
US10148596B2 (en) Data flow statistics collection method, system, and apparatus
EP3065343B1 (en) Network monitoring method and apparatus, and packet filtering method and apparatus
JP7383754B2 (ja) データ処理方法、サーバ、およびデータ収集デバイス
JP2011154489A (ja) システム可視化プログラム、方法及び装置
JP6179354B2 (ja) 解析プログラム、解析方法、および解析装置
JP7456502B2 (ja) トラフィック監視装置、トラフィック監視方法およびトラフィック監視プログラム
US20130120652A1 (en) Method and apparatus for evaluating time delay of mobile video service
WO2024087692A1 (zh) 设备管理方法、设备、系统和存储介质
TWI538441B (zh) 用以建構網路結構部署圖之處理系統及其方法與內儲網路結構部署分析程式之電腦程式產品
JP2019201342A (ja) 検証パケット生成装置、検証システム、および検証パケット生成プログラム
JP5583038B2 (ja) パケットキャプチャ装置
CN114095383B (zh) 网络流量采样方法、系统和电子设备
WO2022257656A1 (zh) 交易处理方法、装置、介质及电子设备
CN114244781B (zh) 一种基于dpdk的报文去重处理方法和装置
CN109347701B (zh) 实现对网络隔离产品性能进行测试控制的系统及方法
JP2012094998A (ja) 同一キャプチャ情報探索方法及びシステム及びプログラム
US10305754B2 (en) Apparatus and method to collect packets related to abnormal connection
WO2024164828A1 (zh) 数据流识别方法及装置、电子设备
Ficara et al. A cooperative PC/Network-Processor architecture for multi gigabit traffic analysis
TWI581590B (zh) Real - time traffic collection and analysis system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240226

R150 Certificate of patent or registration of utility model

Ref document number: 7456502

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150