JPH07231317A - トラフィック収集解析装置 - Google Patents
トラフィック収集解析装置Info
- Publication number
- JPH07231317A JPH07231317A JP6111514A JP11151494A JPH07231317A JP H07231317 A JPH07231317 A JP H07231317A JP 6111514 A JP6111514 A JP 6111514A JP 11151494 A JP11151494 A JP 11151494A JP H07231317 A JPH07231317 A JP H07231317A
- Authority
- JP
- Japan
- Prior art keywords
- information
- frame
- traffic
- data
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
(57)【要約】
【目的】ネットワーク上に転送されるフレームを収集
し、このフレームの上位層プロトコルでの情報から必要
な情報を抽出することのできるトラフィック収集解析装
置を提供する。 【構成】アプリケーション判定情報蓄積手段19には、
前段階として得られたアプリケーション判定情報が蓄積
される。そしてアプリケーション判定手段20は、フレ
ーム情報抽出手段14からのフレーム情報と、アプリケ
ーション判定情報蓄積手段19の蓄積内容と、アプリケ
ーション判定基準保持手段の保持内容とに基づいて、復
号化手段13からの復号化されたフレームのパケット中
から、アプリケーションを特定する。アプケケーション
情報抽出手段22は、上記特定されたアプリケーショ
ン、及びアプリケーション情報テンプレート保持手段2
1の保持内容に基づいて、復号化手段13からの復号化
されたフレームのパケット中から、特徴情報を抽出す
る。
し、このフレームの上位層プロトコルでの情報から必要
な情報を抽出することのできるトラフィック収集解析装
置を提供する。 【構成】アプリケーション判定情報蓄積手段19には、
前段階として得られたアプリケーション判定情報が蓄積
される。そしてアプリケーション判定手段20は、フレ
ーム情報抽出手段14からのフレーム情報と、アプリケ
ーション判定情報蓄積手段19の蓄積内容と、アプリケ
ーション判定基準保持手段の保持内容とに基づいて、復
号化手段13からの復号化されたフレームのパケット中
から、アプリケーションを特定する。アプケケーション
情報抽出手段22は、上記特定されたアプリケーショ
ン、及びアプリケーション情報テンプレート保持手段2
1の保持内容に基づいて、復号化手段13からの復号化
されたフレームのパケット中から、特徴情報を抽出す
る。
Description
【0001】
【産業上の利用分野】この発明は、ネットワークのトラ
フィックを解析するトラフィック収集解析装置に関す
る。
フィックを解析するトラフィック収集解析装置に関す
る。
【0002】
【従来の技術】従来のトラフィックモニタ・アナライザ
技術としては、以下のような2通りの方法がある。
技術としては、以下のような2通りの方法がある。
【0003】(1)1つの方法として、ネットワーク上
のトラフィック(つまりフレーム)を収集すると共に、
この収集したフレーム中の情報全てを蓄積する。そし
て、このような処理を複数のフレームについて繰り返し
て行い、ある程度の複数のフレームの収集及びフレーム
中の情報の蓄積が終了した時点で、各フレームの解析を
行う。すなわちトラフィックの収集とトラフィックの解
析をシリアルに行う。
のトラフィック(つまりフレーム)を収集すると共に、
この収集したフレーム中の情報全てを蓄積する。そし
て、このような処理を複数のフレームについて繰り返し
て行い、ある程度の複数のフレームの収集及びフレーム
中の情報の蓄積が終了した時点で、各フレームの解析を
行う。すなわちトラフィックの収集とトラフィックの解
析をシリアルに行う。
【0004】(2)もう1つの方法として、高速のハー
ドウェア及び並列処理アーキテクチャ(すなわちマルチ
プロセッサシステム)を用いることによって、トラフィ
ック(すなわちフレーム)の収集と並行して、そのフレ
ーム中の上位層までのプロトコル解析を行い、必要な情
報を得る。
ドウェア及び並列処理アーキテクチャ(すなわちマルチ
プロセッサシステム)を用いることによって、トラフィ
ック(すなわちフレーム)の収集と並行して、そのフレ
ーム中の上位層までのプロトコル解析を行い、必要な情
報を得る。
【0005】また特開平2−219341号公報に記載
されているように、パケットネットワーク上のキャリア
信号のオン・オフを検出し、オンからオフまでの期間
(パケット期間)とオフからオンまでの期間(ギャップ
期間)を交互に記録するようにしたものもある。これに
より、プロトコルやパケットフォーマットによらず、大
記憶容量を必要とせずに高い時間分解能動作を可能とし
ている。
されているように、パケットネットワーク上のキャリア
信号のオン・オフを検出し、オンからオフまでの期間
(パケット期間)とオフからオンまでの期間(ギャップ
期間)を交互に記録するようにしたものもある。これに
より、プロトコルやパケットフォーマットによらず、大
記憶容量を必要とせずに高い時間分解能動作を可能とし
ている。
【0006】さらに、特開平4−180423号公報に
記載されているように、LANのトラフィック量の測定
の為に、フレームの全情報は必要ではないことに着目
し、フレーム長を抽出し、記憶していくようにしたもの
もある。これにより、安価にかつ簡単な構成でトラフィ
ックの測定が出来るようにしている。
記載されているように、LANのトラフィック量の測定
の為に、フレームの全情報は必要ではないことに着目
し、フレーム長を抽出し、記憶していくようにしたもの
もある。これにより、安価にかつ簡単な構成でトラフィ
ックの測定が出来るようにしている。
【0007】
【発明が解決しようとする課題】しかしながら、上述し
た従来のトラフィックモニタ・アナライザ技術において
は、上記(1)の方法の場合は、フレームの取りこぼし
の発生は少ないものの、大きな記憶容量を必要とし、長
時間にわたる観測が困難である。一方、上記(2)の方
法の場合は、フレーム取りこぼしの発生が少なく、また
必要な情報のみを取り出して蓄積するので、大きな記憶
容量を必要としないが、高価なマルチプロセスシステム
を採用しなければならないので、コストが高くついてし
まう。
た従来のトラフィックモニタ・アナライザ技術において
は、上記(1)の方法の場合は、フレームの取りこぼし
の発生は少ないものの、大きな記憶容量を必要とし、長
時間にわたる観測が困難である。一方、上記(2)の方
法の場合は、フレーム取りこぼしの発生が少なく、また
必要な情報のみを取り出して蓄積するので、大きな記憶
容量を必要としないが、高価なマルチプロセスシステム
を採用しなければならないので、コストが高くついてし
まう。
【0008】更に上記各公報のものでは、上位層プロト
コルの解析が不可能である。
コルの解析が不可能である。
【0009】そこで本発明は、ネットワーク上に転送さ
れるフレームを収集し、このフレームの上位層プロトコ
ルでの情報から必要な情報を抽出することのできるトラ
フィック収集解析装置を提供することを目的とする。
れるフレームを収集し、このフレームの上位層プロトコ
ルでの情報から必要な情報を抽出することのできるトラ
フィック収集解析装置を提供することを目的とする。
【0010】
【課題を解決するための手段】第1の発明は、伝送路に
伝送されるプロトコル情報を含むデータを受信する受信
手段(図1の11)を備え、該受信手段によって受信し
たデータを解析するトラフィック収集解析装置におい
て、前記受信手段により予め受信した前記データから、
上位層プロトコルの種類毎にそれぞれ対応して上位層プ
ロトコル情報の使用頻度を演算する演算手段(図1の1
8)と、該演算手段による演算結果を記憶する記憶手段
(図1の19)と、前記受信手段によりリアルタイムに
受信したデータについて、前記記憶手段を参照して使用
頻度の高い種類順に上位層プロトコルの特徴と比較する
ことにより、当該データの上位層プロトコルの種類の特
定を行った後、該データの解析を行う解析手段(図1の
22)とを具備している。
伝送されるプロトコル情報を含むデータを受信する受信
手段(図1の11)を備え、該受信手段によって受信し
たデータを解析するトラフィック収集解析装置におい
て、前記受信手段により予め受信した前記データから、
上位層プロトコルの種類毎にそれぞれ対応して上位層プ
ロトコル情報の使用頻度を演算する演算手段(図1の1
8)と、該演算手段による演算結果を記憶する記憶手段
(図1の19)と、前記受信手段によりリアルタイムに
受信したデータについて、前記記憶手段を参照して使用
頻度の高い種類順に上位層プロトコルの特徴と比較する
ことにより、当該データの上位層プロトコルの種類の特
定を行った後、該データの解析を行う解析手段(図1の
22)とを具備している。
【0011】第2の発明は、伝送路に伝送されるプロト
コル情報を含むデータを受信する受信手段(図1の1
1)を備え、該受信手段によって受信したデータを解析
するトラフィック収集解析装置において、前記受信手段
により予め受信した前記データ中から、上位層プロトコ
ルの種類毎の使用頻度を演算する演算手段(図1の1
8)と、該演算手段により演算された使用頻度の高い順
に、上位層プロトコルの種類と、上位層プロトコルを特
定するための特徴を示す情報であって前記予め受信した
データ上の位置情報に基づき前記予め受信したデータか
ら抽出した当該位置情報に対応する位置のデータ値とを
対応させた特定情報を作成する作成手段(図1の18)
と、該作成手段により作成された特定情報を記憶する記
憶手段(図1の19)と、リアルタイムに受信したデー
タについて、前記記憶手段に記憶された特定情報を参照
して上位層プロトコルの種類を特定する特定手段(図1
の20)と、該特定手段によって特定された上位層プロ
トコルの種類と、当該上位層プロトコルの種類の特徴を
示す情報が存在する位置を表す位置情報とに基づいて、
前記リアルタイムに受信したデータから情報を抽出する
抽出手段(図1の22)とを具備している。
コル情報を含むデータを受信する受信手段(図1の1
1)を備え、該受信手段によって受信したデータを解析
するトラフィック収集解析装置において、前記受信手段
により予め受信した前記データ中から、上位層プロトコ
ルの種類毎の使用頻度を演算する演算手段(図1の1
8)と、該演算手段により演算された使用頻度の高い順
に、上位層プロトコルの種類と、上位層プロトコルを特
定するための特徴を示す情報であって前記予め受信した
データ上の位置情報に基づき前記予め受信したデータか
ら抽出した当該位置情報に対応する位置のデータ値とを
対応させた特定情報を作成する作成手段(図1の18)
と、該作成手段により作成された特定情報を記憶する記
憶手段(図1の19)と、リアルタイムに受信したデー
タについて、前記記憶手段に記憶された特定情報を参照
して上位層プロトコルの種類を特定する特定手段(図1
の20)と、該特定手段によって特定された上位層プロ
トコルの種類と、当該上位層プロトコルの種類の特徴を
示す情報が存在する位置を表す位置情報とに基づいて、
前記リアルタイムに受信したデータから情報を抽出する
抽出手段(図1の22)とを具備している。
【0012】第3の発明は、伝送路に伝送されるプロト
コル情報を含むデータを受信する受信手段を備え、該受
信手段によって受信したデータを解析するトラフィック
収集解析装置において、前記受信手段により予め受信し
た前記データ中から、上位層プロトコルの種類毎の使用
頻度を演算する演算手段と、該演算手段により演算され
た使用頻度の高い順に、上位層プロトコルの種類と、上
位層プロトコルを特定するための特徴を示す情報であっ
て前記予め受信したデータ上の位置情報に基づき前記予
め受信したデータから抽出した当該位置情報に対応する
位置のデータ値とを対応させた特定情報を作成する作成
手段と、該作成手段により作成された特定情報を記憶す
る第1の記憶手段と、前記受信手段により予め受信した
前記データを上位層プロトコルの種類毎に分類し、当該
上位層プロトコルの種類毎のデータを所定のデータ単位
に分割すると共に、当該所定のデータ単位毎にデータ送
受に関する内容の特徴を抽出し、更に当該抽出結果と当
該分類した上位層プロトコルの種類とを対応させたパタ
ーン情報を作成するパターン情報抽出手段と、前記パタ
ーン情報抽出手段により作成されたパターン情報を記憶
する第2の記憶手段と、リアルタイムに受信したデータ
について、前記第1の記憶手段に記憶された特定情報及
び前記第2の記憶手段に記憶されたパターン情報を参照
して上位層プロトコルの種類を特定する特定手段と、該
特定手段によって特定された上位層プロトコルの種類
と、当該上位層プロトコルの種類の特徴を示す情報が存
在する位置を表す位置情報とに基づいて、前記リアルタ
イムに受信したデータから情報を抽出する抽出手段とを
具備している。
コル情報を含むデータを受信する受信手段を備え、該受
信手段によって受信したデータを解析するトラフィック
収集解析装置において、前記受信手段により予め受信し
た前記データ中から、上位層プロトコルの種類毎の使用
頻度を演算する演算手段と、該演算手段により演算され
た使用頻度の高い順に、上位層プロトコルの種類と、上
位層プロトコルを特定するための特徴を示す情報であっ
て前記予め受信したデータ上の位置情報に基づき前記予
め受信したデータから抽出した当該位置情報に対応する
位置のデータ値とを対応させた特定情報を作成する作成
手段と、該作成手段により作成された特定情報を記憶す
る第1の記憶手段と、前記受信手段により予め受信した
前記データを上位層プロトコルの種類毎に分類し、当該
上位層プロトコルの種類毎のデータを所定のデータ単位
に分割すると共に、当該所定のデータ単位毎にデータ送
受に関する内容の特徴を抽出し、更に当該抽出結果と当
該分類した上位層プロトコルの種類とを対応させたパタ
ーン情報を作成するパターン情報抽出手段と、前記パタ
ーン情報抽出手段により作成されたパターン情報を記憶
する第2の記憶手段と、リアルタイムに受信したデータ
について、前記第1の記憶手段に記憶された特定情報及
び前記第2の記憶手段に記憶されたパターン情報を参照
して上位層プロトコルの種類を特定する特定手段と、該
特定手段によって特定された上位層プロトコルの種類
と、当該上位層プロトコルの種類の特徴を示す情報が存
在する位置を表す位置情報とに基づいて、前記リアルタ
イムに受信したデータから情報を抽出する抽出手段とを
具備している。
【0013】
【作用】第1の発明においては、演算手段が、受信手段
により予め受信したプロトコル情報を含むデータから、
上位層プロトコルの種類毎に、それぞれ対応して上位層
プロトコル情報の使用頻度を演算し、この演算結果を記
憶手段に格納し、そして、解析手段は、前記受信手段に
よりリアルタイムに受信したデータについて、前記記憶
手段を参照して使用頻度の高い種類順に上位層プロトコ
ルの特徴と比較することにより、当該データの上位層プ
ロトコルの種類の特定を行った後、当該データの解析を
行う。
により予め受信したプロトコル情報を含むデータから、
上位層プロトコルの種類毎に、それぞれ対応して上位層
プロトコル情報の使用頻度を演算し、この演算結果を記
憶手段に格納し、そして、解析手段は、前記受信手段に
よりリアルタイムに受信したデータについて、前記記憶
手段を参照して使用頻度の高い種類順に上位層プロトコ
ルの特徴と比較することにより、当該データの上位層プ
ロトコルの種類の特定を行った後、当該データの解析を
行う。
【0014】したがって、第1の発明によれば、リアル
タイムに受信したフレーム内の全てのプロトコル情報を
展開することなく、前処理として得られた上位層プロト
コル情報を参照することにより、当該フレームの上位層
プロトコル(アプリケーション層)の種類を特定するこ
とができる。
タイムに受信したフレーム内の全てのプロトコル情報を
展開することなく、前処理として得られた上位層プロト
コル情報を参照することにより、当該フレームの上位層
プロトコル(アプリケーション層)の種類を特定するこ
とができる。
【0015】第2の発明においては、演算手段が、受信
手段により予め受信したプロトコル情報を含むデータか
ら、上位層プロトコルの種類毎の使用頻度を演算する
と、作成手段が、その使用頻度の高い順に、上位層プロ
トコルの種類と、上位層プロトコルを特定するための特
徴を示す情報であって前記予め受信したデータ上の位置
情報に基づき前記予め受信したデータから抽出した当該
位置情報に対応する位置のデータ値とを対応させた特定
情報を作成し、この作成した特定情報を記憶手段に格納
し、特定手段が、リアルタイムに受信したデータについ
て、前記記憶手段に記憶された特定情報を参照して上位
層プロトコルの種類を特定すると、抽出手段が、その特
定された上位層プロトコルの種類と、当該上位層プロト
コルの種類の特徴を示す情報が存在する位置を表す位置
情報とに基づいて、前記リアルタイムに受信したデータ
から情報を抽出する。
手段により予め受信したプロトコル情報を含むデータか
ら、上位層プロトコルの種類毎の使用頻度を演算する
と、作成手段が、その使用頻度の高い順に、上位層プロ
トコルの種類と、上位層プロトコルを特定するための特
徴を示す情報であって前記予め受信したデータ上の位置
情報に基づき前記予め受信したデータから抽出した当該
位置情報に対応する位置のデータ値とを対応させた特定
情報を作成し、この作成した特定情報を記憶手段に格納
し、特定手段が、リアルタイムに受信したデータについ
て、前記記憶手段に記憶された特定情報を参照して上位
層プロトコルの種類を特定すると、抽出手段が、その特
定された上位層プロトコルの種類と、当該上位層プロト
コルの種類の特徴を示す情報が存在する位置を表す位置
情報とに基づいて、前記リアルタイムに受信したデータ
から情報を抽出する。
【0016】従って、第2の発明によれば、リアルタイ
ムに受信したフレーム内の全てのプロトコル情報を展開
することなく、前処理で得られた上位層プロトコル(す
なわちアプリケーション層)情報の特徴を示す情報情報
に従って特定された上位層プロトコルの種類と、該上位
層プロトコルの種類の特徴を表す情報が存在する位置を
表す位置情報とに基づいて、当該リアルタイムに受信し
たフレーム内のアプリケーションから当該アプリケーシ
ョンの特徴情報を抽出することができる。
ムに受信したフレーム内の全てのプロトコル情報を展開
することなく、前処理で得られた上位層プロトコル(す
なわちアプリケーション層)情報の特徴を示す情報情報
に従って特定された上位層プロトコルの種類と、該上位
層プロトコルの種類の特徴を表す情報が存在する位置を
表す位置情報とに基づいて、当該リアルタイムに受信し
たフレーム内のアプリケーションから当該アプリケーシ
ョンの特徴情報を抽出することができる。
【0017】第3の発明においては、演算手段が、受信
手段により予め受信したプロトコル情報を含むデータ中
から、上位層プロトコルの種類毎の使用頻度を演算する
と、作成手段が、その使用頻度の高い順に、上位層プロ
トコルの種類と、上位層プロトコルを特定するための特
徴を示す情報であって前記予め受信したデータ上の位置
情報に基づき前記予め受信したデータから抽出した当該
位置情報に対応する位置のデータ値とを対応させた特定
情報を作成し、この作成した特定情報を第1の記憶手段
に格納し、これに対し、パターン情報抽出手段が、受信
手段により予め受信したプロトコル情報を含むデータを
上位層プロトコルの種類毎に分類し、当該上位層プロト
コルの種類毎のデータを所定のデータ単位に分割すると
共に、当該所定のデータ単位毎にデータ送受に関する内
容の特徴を抽出し、更に当該抽出結果と当該分類した上
位層プロトコルの種類とを対応させたパターン情報を作
成し、この作成したパターン情報を第2の記憶手段に格
納し、そして、特定手段が、リアルタイムに受信したデ
ータについて、前記第1の記憶手段に記憶された特定情
報及び前記第2の記憶手段に記憶されたパターン情報を
参照して上位層プロトコルの種類を特定すると、抽出手
段が、その特定された上位層プロトコルの種類と、当該
上位層プロトコルの種類の特徴を示す情報が存在する位
置を表す位置情報とに基づいて、前記リアルタイムに受
信したデータから情報を抽出する。
手段により予め受信したプロトコル情報を含むデータ中
から、上位層プロトコルの種類毎の使用頻度を演算する
と、作成手段が、その使用頻度の高い順に、上位層プロ
トコルの種類と、上位層プロトコルを特定するための特
徴を示す情報であって前記予め受信したデータ上の位置
情報に基づき前記予め受信したデータから抽出した当該
位置情報に対応する位置のデータ値とを対応させた特定
情報を作成し、この作成した特定情報を第1の記憶手段
に格納し、これに対し、パターン情報抽出手段が、受信
手段により予め受信したプロトコル情報を含むデータを
上位層プロトコルの種類毎に分類し、当該上位層プロト
コルの種類毎のデータを所定のデータ単位に分割すると
共に、当該所定のデータ単位毎にデータ送受に関する内
容の特徴を抽出し、更に当該抽出結果と当該分類した上
位層プロトコルの種類とを対応させたパターン情報を作
成し、この作成したパターン情報を第2の記憶手段に格
納し、そして、特定手段が、リアルタイムに受信したデ
ータについて、前記第1の記憶手段に記憶された特定情
報及び前記第2の記憶手段に記憶されたパターン情報を
参照して上位層プロトコルの種類を特定すると、抽出手
段が、その特定された上位層プロトコルの種類と、当該
上位層プロトコルの種類の特徴を示す情報が存在する位
置を表す位置情報とに基づいて、前記リアルタイムに受
信したデータから情報を抽出する。
【0018】従って、第3の発明によれば、リアルタイ
ムに受信したフレーム内の全てのプロトコル情報を展開
することなく、前処理で得られた上位層プロトコル(す
なわちアプリケーション層)情報に従って特定された上
位層プロトコルの種類と、当該上位層プロトコルの種類
の特徴を表す情報が存在する位置を表す位置情報と、当
該上位層プロトコルの種類に対応する所定のデータ単位
についてのデータ送受に関する内容の特徴を表す情報と
に基づいて、当該リアルタイムに受信したフレーム内の
アプリケーションから当該アプリケーションの特徴情報
を抽出することができる。
ムに受信したフレーム内の全てのプロトコル情報を展開
することなく、前処理で得られた上位層プロトコル(す
なわちアプリケーション層)情報に従って特定された上
位層プロトコルの種類と、当該上位層プロトコルの種類
の特徴を表す情報が存在する位置を表す位置情報と、当
該上位層プロトコルの種類に対応する所定のデータ単位
についてのデータ送受に関する内容の特徴を表す情報と
に基づいて、当該リアルタイムに受信したフレーム内の
アプリケーションから当該アプリケーションの特徴情報
を抽出することができる。
【0019】
【実施例】以下、本発明の第1の実施例乃至第7の実施
例について添付図面を参照して説明する。
例について添付図面を参照して説明する。
【0020】最初に第1の実施例について、図1乃至図
12を参照して説明する。
12を参照して説明する。
【0021】図1は本発明に係るトラフィック収集解析
装置の第1の実施例の構成を示す機能ブロック図であ
り、図2は本発明に係るトラフィック収集解析装置を有
するネットワークシステムの一例を示す構成図である。
装置の第1の実施例の構成を示す機能ブロック図であ
り、図2は本発明に係るトラフィック収集解析装置を有
するネットワークシステムの一例を示す構成図である。
【0022】図2において、トラフィック収集解析装置
1と、ユーザA、C、Eと、ファイルサーバBと、プリ
ントサーバDとがネットワーク2に接続されている。こ
のように構成されたネットワークシステムにおいては、
ユーザAとユーザCとユーザEと間で相互にデータ通信
したり、各ユーザとファイルサーバB及びプリントサー
バDと間でデータ通信することができる。そしてトラフ
ィック収集解析装置1は、ネットワーク2に伝送される
データ(すなわちフレーム)を収集して、このフレーム
を解析する。このトラフィック収集解析装置1の構成を
図1に示している。
1と、ユーザA、C、Eと、ファイルサーバBと、プリ
ントサーバDとがネットワーク2に接続されている。こ
のように構成されたネットワークシステムにおいては、
ユーザAとユーザCとユーザEと間で相互にデータ通信
したり、各ユーザとファイルサーバB及びプリントサー
バDと間でデータ通信することができる。そしてトラフ
ィック収集解析装置1は、ネットワーク2に伝送される
データ(すなわちフレーム)を収集して、このフレーム
を解析する。このトラフィック収集解析装置1の構成を
図1に示している。
【0023】図1において、信号受信手段11はネット
ワーク2を伝送して来た信号を受信する。時刻検出手段
12は信号を受信した時刻を検出する。信号復号化手段
13は受信した信号を復号化する。フレーム情報抽出手
段14は復号化されたフレームから宛先アドレス情報、
発信元アドレス情報およびフレーム長情報からなるフレ
ーム情報を抽出する。パケット解析手段15はフレーム
中のデータ領域中のパケットを上位層プロトコルレベル
まで展開し、各層の情報を抽出する。1次トラフィック
情報蓄積手段16はフレーム受信時刻情報、フレーム情
報及び上位層までの各層の情報からなる1次トラフィッ
ク情報を蓄積する。アプリケーション判定基準保持手段
17はフレームの生成元アプリケーションを判定する際
のアプリケーション判定基準を保持する。アプリケーシ
ョン判定情報抽出手段18は、アプリケーション判定基
準に基づいて、フレームの生成元アプリケーションを判
定する際に必要となるアプリケーション判定情報を1次
トラフィック情報蓄積手段16に蓄積された情報から抽
出する。アプリケーション判定情報蓄積手段19は上記
アプリケーション判定情報を蓄積する。アプリケーショ
ン判定手段20は信号復号化手段13により復号化され
たフレーム、フレーム情報、アプリケーション判定基
準、及びアプリケーション判定情報から、フレームの生
成元アプリケーションを判定する。アプリケーション情
報テンプレート保持手段21は、フレームの生成元アプ
リケーションが判定されたフレーム中から抽出すべきア
プリケーション情報の種類、そのフレーム中での位置及
び長さの各情報を保持する。アプリケーション情報抽出
手段22は、アプリケーション判定手段20によって判
定されたフレームの生成元アプリケーション判定結果と
アプリケーション情報テンプレート保持手段21から得
られるテンプレートに従ってフレーム中のアプリケーシ
ョン情報を抽出する。2次トラフィック情報蓄積手段2
3は、受信時刻、フレーム情報およびアプリケーション
情報からなる2次トラフィック情報を蓄積する。
ワーク2を伝送して来た信号を受信する。時刻検出手段
12は信号を受信した時刻を検出する。信号復号化手段
13は受信した信号を復号化する。フレーム情報抽出手
段14は復号化されたフレームから宛先アドレス情報、
発信元アドレス情報およびフレーム長情報からなるフレ
ーム情報を抽出する。パケット解析手段15はフレーム
中のデータ領域中のパケットを上位層プロトコルレベル
まで展開し、各層の情報を抽出する。1次トラフィック
情報蓄積手段16はフレーム受信時刻情報、フレーム情
報及び上位層までの各層の情報からなる1次トラフィッ
ク情報を蓄積する。アプリケーション判定基準保持手段
17はフレームの生成元アプリケーションを判定する際
のアプリケーション判定基準を保持する。アプリケーシ
ョン判定情報抽出手段18は、アプリケーション判定基
準に基づいて、フレームの生成元アプリケーションを判
定する際に必要となるアプリケーション判定情報を1次
トラフィック情報蓄積手段16に蓄積された情報から抽
出する。アプリケーション判定情報蓄積手段19は上記
アプリケーション判定情報を蓄積する。アプリケーショ
ン判定手段20は信号復号化手段13により復号化され
たフレーム、フレーム情報、アプリケーション判定基
準、及びアプリケーション判定情報から、フレームの生
成元アプリケーションを判定する。アプリケーション情
報テンプレート保持手段21は、フレームの生成元アプ
リケーションが判定されたフレーム中から抽出すべきア
プリケーション情報の種類、そのフレーム中での位置及
び長さの各情報を保持する。アプリケーション情報抽出
手段22は、アプリケーション判定手段20によって判
定されたフレームの生成元アプリケーション判定結果と
アプリケーション情報テンプレート保持手段21から得
られるテンプレートに従ってフレーム中のアプリケーシ
ョン情報を抽出する。2次トラフィック情報蓄積手段2
3は、受信時刻、フレーム情報およびアプリケーション
情報からなる2次トラフィック情報を蓄積する。
【0024】本発明では、トラフィックデータの収集解
析は初期段階及び後期段階の2段階に別けて行われる。
これを図2を例に取って説明する。最初に、初期段階に
おいては、ネットワーク2に接続された上記ユーザA、
ファイルサーバB等の各ネットワーク資源間でデータ送
受されるフレームにおける上位層プロトコルを予め解析
する。すなわち、各ネットワーク資源間でどの様なアプ
リケーションが使用されているかを解析する。この解析
結果のアプリケーション情報は、フレーム送受を行った
上記各ネットワーク資源間においては継続して使用され
るという前提で(この根拠については後述する)、後期
段階において使用される。一方、後期段階においては、
上記初期段階の結果に基づいて、上記各ネットワーク資
源間でリアルタイムにデータ送受されるフレームにおけ
る上位層プロトコルすなわちアプリケーションを特定し
て、必要な情報を得る。
析は初期段階及び後期段階の2段階に別けて行われる。
これを図2を例に取って説明する。最初に、初期段階に
おいては、ネットワーク2に接続された上記ユーザA、
ファイルサーバB等の各ネットワーク資源間でデータ送
受されるフレームにおける上位層プロトコルを予め解析
する。すなわち、各ネットワーク資源間でどの様なアプ
リケーションが使用されているかを解析する。この解析
結果のアプリケーション情報は、フレーム送受を行った
上記各ネットワーク資源間においては継続して使用され
るという前提で(この根拠については後述する)、後期
段階において使用される。一方、後期段階においては、
上記初期段階の結果に基づいて、上記各ネットワーク資
源間でリアルタイムにデータ送受されるフレームにおけ
る上位層プロトコルすなわちアプリケーションを特定し
て、必要な情報を得る。
【0025】そこで、本発明のトラフィック収集解析装
置は、初期段階においては、信号受信手段11、時刻検
出手段12、信号復号化手段13、フレーム情報抽出手
段14、パケット解析手段15、1次トラフィック情報
蓄積手段16、アプリケーション判定基準保持手段1
7、アプリケーション判定情報抽出手段18及びアプリ
ケーション判定情報蓄積手段19から構成される。
置は、初期段階においては、信号受信手段11、時刻検
出手段12、信号復号化手段13、フレーム情報抽出手
段14、パケット解析手段15、1次トラフィック情報
蓄積手段16、アプリケーション判定基準保持手段1
7、アプリケーション判定情報抽出手段18及びアプリ
ケーション判定情報蓄積手段19から構成される。
【0026】一方、後期段階においては、信号受信手段
11、時刻検出手段12、信号復号化手段13、フレー
ム情報抽出手段14、アプリケーション判定基準保持手
段17、アプリケーション判定情報蓄積手段19、アプ
リケーション判定手段20、アプリケーション情報テン
プレート保持手段21、アプリケーション情報抽出手段
22及び2次トラフィック情報蓄積手段23から構成さ
れる。
11、時刻検出手段12、信号復号化手段13、フレー
ム情報抽出手段14、アプリケーション判定基準保持手
段17、アプリケーション判定情報蓄積手段19、アプ
リケーション判定手段20、アプリケーション情報テン
プレート保持手段21、アプリケーション情報抽出手段
22及び2次トラフィック情報蓄積手段23から構成さ
れる。
【0027】次に、各ネットワーク資源間で送受信され
たフレームにおける上位層プロトコル(すなわちアプリ
ケーション)として、どのようなアプリケーションが使
用されているかを、予め解析することの意義について説
明する。言い換えれば、上述した初期段階において解析
されたアプリケーション情報は、フレーム送受を行った
上記各ネットワーク資源間においては継続して使用され
るという根拠について説明する。
たフレームにおける上位層プロトコル(すなわちアプリ
ケーション)として、どのようなアプリケーションが使
用されているかを、予め解析することの意義について説
明する。言い換えれば、上述した初期段階において解析
されたアプリケーション情報は、フレーム送受を行った
上記各ネットワーク資源間においては継続して使用され
るという根拠について説明する。
【0028】一般に、ネットワーク上の、どのネットワ
ーク資源(例えばワークステーション)で、どの様なア
プリケーションが利用されているかは固定的であり、フ
レームのやり取りされるワークステーションによって、
そのフレームがどのアプリケーションによって発行され
たものかを予測することが可能である。さらに、ある2
つのワークステーション間で利用されているアプリケー
ションはより限定されるため、フレームの発信元ワーク
ステーションと宛先ワークステーションが特定されれ
ば、より確度の高い予測が期待できる。
ーク資源(例えばワークステーション)で、どの様なア
プリケーションが利用されているかは固定的であり、フ
レームのやり取りされるワークステーションによって、
そのフレームがどのアプリケーションによって発行され
たものかを予測することが可能である。さらに、ある2
つのワークステーション間で利用されているアプリケー
ションはより限定されるため、フレームの発信元ワーク
ステーションと宛先ワークステーションが特定されれ
ば、より確度の高い予測が期待できる。
【0029】例えば、あるサーバワークステーション上
で、NFS(ネットワーク・ファイル・システム)によ
るファイルサービスと、lprによるプリントサービス
とが稼働しているとすると、そのサーバワークステーシ
ョンと他のワークステーション間でやり取りされるフレ
ームは、NFSかlprによるものが多いと予想され
る。
で、NFS(ネットワーク・ファイル・システム)によ
るファイルサービスと、lprによるプリントサービス
とが稼働しているとすると、そのサーバワークステーシ
ョンと他のワークステーション間でやり取りされるフレ
ームは、NFSかlprによるものが多いと予想され
る。
【0030】また、あるワークステーション上のあるア
プリケーションによって、どの様な種類のパケットフレ
ームが生成されるか、そしてどの様なプロトコルスタッ
クが利用されているかも一般に固定的であり、同一ワー
クステーション上の同一アプリケーションによって生成
される同一種類のパケットフレームに着目すれば、その
フレームを構成するプロトコル階層と、そのフレーム中
での各階層のパケット位置は変化しないことが期待され
る。このことから、あるフレームがどのワークステーシ
ョン上のどのアプリケーションによって送受信され、ど
の様な種類のものかが判別できれば、そのフレームを下
位層プロトコルから順次解析してみなくても、上位層
(すなわちアプリケーション)パケットの情報を直接得
ることが可能である。
プリケーションによって、どの様な種類のパケットフレ
ームが生成されるか、そしてどの様なプロトコルスタッ
クが利用されているかも一般に固定的であり、同一ワー
クステーション上の同一アプリケーションによって生成
される同一種類のパケットフレームに着目すれば、その
フレームを構成するプロトコル階層と、そのフレーム中
での各階層のパケット位置は変化しないことが期待され
る。このことから、あるフレームがどのワークステーシ
ョン上のどのアプリケーションによって送受信され、ど
の様な種類のものかが判別できれば、そのフレームを下
位層プロトコルから順次解析してみなくても、上位層
(すなわちアプリケーション)パケットの情報を直接得
ることが可能である。
【0031】例えば、あるワークステーションからNF
Sによるファイルサービスの要求が行われるものとする
と、その時のフレームの送受信は、例えば「物理層・デ
ータリンク層=Ethernet,ネットワーク層=IP,トン
スポート層=UDP,セッション・プレゼンテーション
層=sunRPC+XDR」といったプロトコル構成で
固定的に行われる。そして、各階層でのプロトコルヘッ
ダ長も変化することはなく、アプリケーション層(NF
S)パケットがフレームの先頭から何バイト目にあるの
か、また、その中の興味ある情報はフレーム中のどの位
置にあるのか、といった情報を基に、直接にその値(例
えばコマンド種類)を読み出すことが可能である。
Sによるファイルサービスの要求が行われるものとする
と、その時のフレームの送受信は、例えば「物理層・デ
ータリンク層=Ethernet,ネットワーク層=IP,トン
スポート層=UDP,セッション・プレゼンテーション
層=sunRPC+XDR」といったプロトコル構成で
固定的に行われる。そして、各階層でのプロトコルヘッ
ダ長も変化することはなく、アプリケーション層(NF
S)パケットがフレームの先頭から何バイト目にあるの
か、また、その中の興味ある情報はフレーム中のどの位
置にあるのか、といった情報を基に、直接にその値(例
えばコマンド種類)を読み出すことが可能である。
【0032】そして、更に一般に、あるワークステーシ
ョン上のアプリケーション間のセッションをとってみれ
ば、その間のフレームの送受信において、同一種類のパ
ケットフレームの各階層を構成するプロトコルのパラメ
ータ(各層パケット長や各SAPアドレス等)は変化し
ない場合が殆どである。このことから、あるセッション
中の1つのフレームについて、どのワークステーション
上のどのアプリケーションによって送受信されるフレー
ムであるかを判別することが可能である。
ョン上のアプリケーション間のセッションをとってみれ
ば、その間のフレームの送受信において、同一種類のパ
ケットフレームの各階層を構成するプロトコルのパラメ
ータ(各層パケット長や各SAPアドレス等)は変化し
ない場合が殆どである。このことから、あるセッション
中の1つのフレームについて、どのワークステーション
上のどのアプリケーションによって送受信されるフレー
ムであるかを判別することが可能である。
【0033】例えば、NFSによるファイルサービスが
利用されているワークステーションへのファイル転送が
複数のフレームに分けて行われるものとする。そして、
そのフレームの送受信は「物理層・データリンク層=Et
hernet,ネットワーク層=IP,トンスポート層=UD
P」といったプロトコル構成で固定的に行われるとする
と、フレーム中のUDPパケットの発信ポート及び宛先
ポートに該当する位置の値、そしてフレーム長を調べる
ことによって、そのセッションを構成する一連のフレー
ムであるか否かを判別することができる。
利用されているワークステーションへのファイル転送が
複数のフレームに分けて行われるものとする。そして、
そのフレームの送受信は「物理層・データリンク層=Et
hernet,ネットワーク層=IP,トンスポート層=UD
P」といったプロトコル構成で固定的に行われるとする
と、フレーム中のUDPパケットの発信ポート及び宛先
ポートに該当する位置の値、そしてフレーム長を調べる
ことによって、そのセッションを構成する一連のフレー
ムであるか否かを判別することができる。
【0034】次に、第1の実施例のトラフィック収集解
析処理について、初期段階処理と後期段階処理とに分け
て説明する。
析処理について、初期段階処理と後期段階処理とに分け
て説明する。
【0035】最初に、初期段階処理について、図3の初
期段階処理動作を示すフローチャートを参照して説明す
る。
期段階処理動作を示すフローチャートを参照して説明す
る。
【0036】信号受信手段11は、ネットワーク2上に
伝送されている1フレームを受信し、時刻検出手段12
及び信号復号化手段13に渡す。信号復号化手段13
は、渡されたフレームを復号化した後、フレーム情報抽
出手段14に渡す(ステップ301)。また時刻検出手
段12は、渡されたフレームの受信時刻を検出し、この
受信時刻情報を1次トラフィック情報蓄積手段16に渡
す。
伝送されている1フレームを受信し、時刻検出手段12
及び信号復号化手段13に渡す。信号復号化手段13
は、渡されたフレームを復号化した後、フレーム情報抽
出手段14に渡す(ステップ301)。また時刻検出手
段12は、渡されたフレームの受信時刻を検出し、この
受信時刻情報を1次トラフィック情報蓄積手段16に渡
す。
【0037】フレーム情報抽出手段14では、復号化さ
れたフレームから、宛先アドレス情報、発信元アドレス
情報及びフレーム長情報をフレーム情報として抽出し
(ステップ302〜304)、この抽出結果を1次トラ
フィック情報蓄積手段16に渡す。また復号化されたフ
レームはパケット解析手段15に渡される。
れたフレームから、宛先アドレス情報、発信元アドレス
情報及びフレーム長情報をフレーム情報として抽出し
(ステップ302〜304)、この抽出結果を1次トラ
フィック情報蓄積手段16に渡す。また復号化されたフ
レームはパケット解析手段15に渡される。
【0038】パケット解析手段15は、フレーム中のデ
ータ領域のパケットを、最下位層である物理層から、デ
ータリンク層,ネットワーク層,トンスポート層,セッ
ション層、プレゼンテーション層及び最上位層であるア
プリケーション層のプロトコルレベルまで展開し、各層
の情報を抽出し(ステップ305)、この抽出結果を1
次トラフィック情報蓄積手段16に渡す。
ータ領域のパケットを、最下位層である物理層から、デ
ータリンク層,ネットワーク層,トンスポート層,セッ
ション層、プレゼンテーション層及び最上位層であるア
プリケーション層のプロトコルレベルまで展開し、各層
の情報を抽出し(ステップ305)、この抽出結果を1
次トラフィック情報蓄積手段16に渡す。
【0039】1次トラフィック情報蓄積手段16は、上
記上位層レベルまでの各層の情報、既に受け取っている
受信時刻情報およびフレーム情報を1次トラフィック情
報として蓄積する(ステップ306)。
記上位層レベルまでの各層の情報、既に受け取っている
受信時刻情報およびフレーム情報を1次トラフィック情
報として蓄積する(ステップ306)。
【0040】そして、信号受信手段11は、予め設定さ
れた数のフレームが収集されたか否か(すなわち初期デ
ータの収集を終了したか否か)を判断し(ステップ30
7)、終了していない場合には上記ステップ301に移
行する。すなわち初期段階のデータ収集においては、フ
レーム収集、フレームからの情報抽出及び抽出された情
報の蓄積が繰り返し行われる。但し、ここでは、出来る
だけ早いレートで処理が繰り返されるが、パケットの取
りこぼしが発生しても構わない。
れた数のフレームが収集されたか否か(すなわち初期デ
ータの収集を終了したか否か)を判断し(ステップ30
7)、終了していない場合には上記ステップ301に移
行する。すなわち初期段階のデータ収集においては、フ
レーム収集、フレームからの情報抽出及び抽出された情
報の蓄積が繰り返し行われる。但し、ここでは、出来る
だけ早いレートで処理が繰り返されるが、パケットの取
りこぼしが発生しても構わない。
【0041】一方、ステップ307において初期データ
の収集が終了した場合は、アプリケーション判定情報抽
出手段18によって初期データの解析が行われる(ステ
ップ308)。すなわち、この初期段階のデータ解析に
おいては、ネットワーク上のパケットがどのアプリケー
ションによって発されたものかを予測するために、初期
段階のデータ収集で蓄積された情報から、さらにフレー
ムの生成元アプリケーションを判定する際に必要となる
アプリケーション判定情報が抽出される。具体的には、
アプリケーション判定情報抽出手段18は、アプリケー
ション判定基準保持手段17に保持されているアプリケ
ーション判定基準に基づいて、上記アプリケーション判
定情報を、1次トラフィック情報蓄積手段16に蓄積さ
れている1次トラフィック情報から抽出する。
の収集が終了した場合は、アプリケーション判定情報抽
出手段18によって初期データの解析が行われる(ステ
ップ308)。すなわち、この初期段階のデータ解析に
おいては、ネットワーク上のパケットがどのアプリケー
ションによって発されたものかを予測するために、初期
段階のデータ収集で蓄積された情報から、さらにフレー
ムの生成元アプリケーションを判定する際に必要となる
アプリケーション判定情報が抽出される。具体的には、
アプリケーション判定情報抽出手段18は、アプリケー
ション判定基準保持手段17に保持されているアプリケ
ーション判定基準に基づいて、上記アプリケーション判
定情報を、1次トラフィック情報蓄積手段16に蓄積さ
れている1次トラフィック情報から抽出する。
【0042】上記アプリケーション判定情報として以下
の情報が抽出される。 (1)ネットワーク上の各ワークステーションのアドレ
ス(発信元アドレス、宛先アドレス)。 (2)各ワークステーション上で利用されている主なア
プリケーションの種別。 (3)フレームに関して、上記ワークステーションのア
ドレスと上記アプリケーションの種類の組み毎に特徴的
な値(フレーム長、ポート番号、ビットパターンな
ど)。
の情報が抽出される。 (1)ネットワーク上の各ワークステーションのアドレ
ス(発信元アドレス、宛先アドレス)。 (2)各ワークステーション上で利用されている主なア
プリケーションの種別。 (3)フレームに関して、上記ワークステーションのア
ドレスと上記アプリケーションの種類の組み毎に特徴的
な値(フレーム長、ポート番号、ビットパターンな
ど)。
【0043】このようなアプリケーション判定情報はア
プリケーション判定情報蓄積手段19に蓄積される。
プリケーション判定情報蓄積手段19に蓄積される。
【0044】次に後期段階処理について、図4及び図5
の後期処理動作を示すフローチャートを参照して説明す
る。
の後期処理動作を示すフローチャートを参照して説明す
る。
【0045】図4において、信号受信手段11は、ネッ
トワーク2上に伝送されている1フレームを受信し、時
刻検出手段12及び信号復号化手段13に渡す。信号復
号化手段13は、渡されたフレームを復号化した後、フ
レーム情報抽出手段14、アプリケーション判定手段2
0及びアプリケーション情報抽出手段22に渡す(ステ
ップ401)。また時刻検出手段12は、渡されたフレ
ームの受信時刻を検出し、この受信時刻情報を2次トラ
フィック情報蓄積手段23に渡す。
トワーク2上に伝送されている1フレームを受信し、時
刻検出手段12及び信号復号化手段13に渡す。信号復
号化手段13は、渡されたフレームを復号化した後、フ
レーム情報抽出手段14、アプリケーション判定手段2
0及びアプリケーション情報抽出手段22に渡す(ステ
ップ401)。また時刻検出手段12は、渡されたフレ
ームの受信時刻を検出し、この受信時刻情報を2次トラ
フィック情報蓄積手段23に渡す。
【0046】フレーム情報抽出手段14は、上記ステッ
プ302〜304と同様に、復号化されたフレームか
ら、発信元アドレス情報、宛先アドレス情報及びフレー
ム長情報をフレーム情報として抽出し(ステップ402
〜404)、この抽出結果をアプリケーション判定手段
20及び2次トラフィック情報蓄積手段23に渡す。
プ302〜304と同様に、復号化されたフレームか
ら、発信元アドレス情報、宛先アドレス情報及びフレー
ム長情報をフレーム情報として抽出し(ステップ402
〜404)、この抽出結果をアプリケーション判定手段
20及び2次トラフィック情報蓄積手段23に渡す。
【0047】アプリケーション判定手段20はアプリケ
ーション判定処理を実行する(ステップ405)。この
ステップ405の処理においては、フレームを生成した
アプリケーションの候補が挙げられる。そしてステップ
405の実行結果に基づいてアプリケーションが同定さ
れたか否かを判断する(ステップ406)。
ーション判定処理を実行する(ステップ405)。この
ステップ405の処理においては、フレームを生成した
アプリケーションの候補が挙げられる。そしてステップ
405の実行結果に基づいてアプリケーションが同定さ
れたか否かを判断する(ステップ406)。
【0048】アプリケーションが同定された場合、アプ
リケーション判定手段20は、同定されたアプリケーシ
ョンの種別をアプリケーション情報抽出手段22に渡
す。するとアプリケーション情報抽出手段22は、上記
渡されたアプリケーション種別と、アプリケーション情
報テンプレート保持手段21に保持されているテンプレ
ート(すなわちアプリケーション情報の種類、位置及び
長さの情報)とに基づいて、信号復号化手段13から既
に渡されている復号化されたフレーム中の上位層パケッ
ト中から、アプリケーションに特有な情報(これにはフ
レーム情報も含む)を抽出し(ステップ407)、この
抽出結果を、2次トラフィック情報蓄積手段23に渡
す。2次トラフィック情報蓄積手段23では、時刻検出
手段12から既に渡されているフレーム受信時刻、上記
アプリケーション情報抽出手段22からのアプリケムー
ションに特有な情報すなわちアプリケーション情報、及
びフレーム情報抽出手段14から既に渡されているフレ
ーム情報を2次トラフィック情報として蓄積する(ステ
ップ408)。
リケーション判定手段20は、同定されたアプリケーシ
ョンの種別をアプリケーション情報抽出手段22に渡
す。するとアプリケーション情報抽出手段22は、上記
渡されたアプリケーション種別と、アプリケーション情
報テンプレート保持手段21に保持されているテンプレ
ート(すなわちアプリケーション情報の種類、位置及び
長さの情報)とに基づいて、信号復号化手段13から既
に渡されている復号化されたフレーム中の上位層パケッ
ト中から、アプリケーションに特有な情報(これにはフ
レーム情報も含む)を抽出し(ステップ407)、この
抽出結果を、2次トラフィック情報蓄積手段23に渡
す。2次トラフィック情報蓄積手段23では、時刻検出
手段12から既に渡されているフレーム受信時刻、上記
アプリケーション情報抽出手段22からのアプリケムー
ションに特有な情報すなわちアプリケーション情報、及
びフレーム情報抽出手段14から既に渡されているフレ
ーム情報を2次トラフィック情報として蓄積する(ステ
ップ408)。
【0049】ステップ406において、アプリケーショ
ンの候補が見付からなかった場合、またはアプリケーシ
ョンの候補が見付かっても、その中で特徴が一致するも
のが見付からなかった場合は、ステップ408に移行す
る。すなわちアプリケーション判定手段20は、アプリ
ケーションが不定である旨をアプリケーション情報抽出
手段22に渡す。アプリケーション情報抽出手段22で
は、上述した上位層パケットをそのまま、アプリケーシ
ョン情報の抽出は行わずに、2次トラフィック情報蓄積
手段23に渡す。従って、2次トラフィック情報蓄積手
段23には、時刻検出手段12から既に渡されているフ
レーム収集時刻、フレーム情報抽出手段14から既に渡
されているフレーム情報(すなわち発信元アドレス、宛
先アドレス、フレーム長の各情報)、および信号復号化
手段13から既に渡されている復号化されたフレーム中
の上位層パケットが2次トラフィック情報として蓄積さ
れる。
ンの候補が見付からなかった場合、またはアプリケーシ
ョンの候補が見付かっても、その中で特徴が一致するも
のが見付からなかった場合は、ステップ408に移行す
る。すなわちアプリケーション判定手段20は、アプリ
ケーションが不定である旨をアプリケーション情報抽出
手段22に渡す。アプリケーション情報抽出手段22で
は、上述した上位層パケットをそのまま、アプリケーシ
ョン情報の抽出は行わずに、2次トラフィック情報蓄積
手段23に渡す。従って、2次トラフィック情報蓄積手
段23には、時刻検出手段12から既に渡されているフ
レーム収集時刻、フレーム情報抽出手段14から既に渡
されているフレーム情報(すなわち発信元アドレス、宛
先アドレス、フレーム長の各情報)、および信号復号化
手段13から既に渡されている復号化されたフレーム中
の上位層パケットが2次トラフィック情報として蓄積さ
れる。
【0050】そして、ステップ408が終了すると、信
号受信手段11はフレームの収集すなわち後期データの
収集が終了したか否かを判断する(ステップ409)。
号受信手段11はフレームの収集すなわち後期データの
収集が終了したか否かを判断する(ステップ409)。
【0051】ここで、終了していない場合は上記ステッ
プ401に移行する。一方、終了した場合は後期段階処
理を終了する。
プ401に移行する。一方、終了した場合は後期段階処
理を終了する。
【0052】次に、図4のステップ405のアプリケー
ション判定処理について図5を参照して説明する。
ション判定処理について図5を参照して説明する。
【0053】アプリケーション判定手段20は、フレー
ム情報抽出手段14から渡された1フレーム分のフレー
ム情報(つまり宛先アドレス、発信元アドレス及びフレ
ーム長の情報)と、アプリケーション判定情報蓄積手段
19に蓄積されているアプリケーション判定情報とに基
づいて、アプリケーション候補の選出処理を行い(ステ
ップ501)、アプリケーション候補が存在するか否か
を判断する(ステップ502)。
ム情報抽出手段14から渡された1フレーム分のフレー
ム情報(つまり宛先アドレス、発信元アドレス及びフレ
ーム長の情報)と、アプリケーション判定情報蓄積手段
19に蓄積されているアプリケーション判定情報とに基
づいて、アプリケーション候補の選出処理を行い(ステ
ップ501)、アプリケーション候補が存在するか否か
を判断する(ステップ502)。
【0054】ここで、候補がある場合は、そのアプリケ
ーション候補について、アプリケーション判定情報蓄積
手段19に蓄積されているアプリケーション判定情報
と、アプリケーション判定基準保持手段17に保持され
ているアプリケーション判定基準情報とに基づいて、フ
レームの生成元アプリケーションを同定することができ
るか審査し(ステップ503)、その後、アプリケーシ
ョンの同定が行われたか否かを判断する(ステップ50
4)。ここで、同定されない場合は上記ステップ502
に移行する。すなわち、このアプリケーション判定処理
においては、選出されたアプリケーション候補につい
て、そのアプリケーションの特徴がフレーム中に見出だ
されるか否かが審査される。そして特徴が一致するもの
がみつかるか、或いはアプリケーションの候補が無くな
るまで、ステップ502〜ステップ504の処理が繰り
返される。
ーション候補について、アプリケーション判定情報蓄積
手段19に蓄積されているアプリケーション判定情報
と、アプリケーション判定基準保持手段17に保持され
ているアプリケーション判定基準情報とに基づいて、フ
レームの生成元アプリケーションを同定することができ
るか審査し(ステップ503)、その後、アプリケーシ
ョンの同定が行われたか否かを判断する(ステップ50
4)。ここで、同定されない場合は上記ステップ502
に移行する。すなわち、このアプリケーション判定処理
においては、選出されたアプリケーション候補につい
て、そのアプリケーションの特徴がフレーム中に見出だ
されるか否かが審査される。そして特徴が一致するもの
がみつかるか、或いはアプリケーションの候補が無くな
るまで、ステップ502〜ステップ504の処理が繰り
返される。
【0055】ステップ504において同定された場合
は、アプリケーションは同定されたと認識し(ステップ
505)、またステップ502において次のアプリケー
ション候補が存在しない場合はアプリケーションが不定
であると認識する(ステップ506)。
は、アプリケーションは同定されたと認識し(ステップ
505)、またステップ502において次のアプリケー
ション候補が存在しない場合はアプリケーションが不定
であると認識する(ステップ506)。
【0056】ステップ505或いはステップ506を終
了すると、図4のステップ405にリターンする。
了すると、図4のステップ405にリターンする。
【0057】次に、上述したトラフィック収集解析処理
について具体例を挙げて説明する。ここでは、図2に示
したネットワークシステムにおいて、データ通信が行わ
れるものとする。
について具体例を挙げて説明する。ここでは、図2に示
したネットワークシステムにおいて、データ通信が行わ
れるものとする。
【0058】最初に、初期段階において、上述した図3
の処理手順に従って1次トラフィック情報の収集が行わ
れ、1次トラフィック情報蓄積手段16に蓄積される。
その結果を図6に示す。図6において、1次トラフィッ
ク情報は受信時刻610、フレーム情報620、プロト
コル情報の第3層以上の情報すなわち第3層情報63
0、第4層情報640、…、第7層情報650の各フィ
ールドから構成され、更に1フレーム分についての前記
各フィールドに対応してデータが記録されるエントリ6
60、670、680から構成されている。
の処理手順に従って1次トラフィック情報の収集が行わ
れ、1次トラフィック情報蓄積手段16に蓄積される。
その結果を図6に示す。図6において、1次トラフィッ
ク情報は受信時刻610、フレーム情報620、プロト
コル情報の第3層以上の情報すなわち第3層情報63
0、第4層情報640、…、第7層情報650の各フィ
ールドから構成され、更に1フレーム分についての前記
各フィールドに対応してデータが記録されるエントリ6
60、670、680から構成されている。
【0059】エントリ660、670には、TCP/I
P(トランスミッション・コントロール・プロトコル/
インターネット・プロトコル)のプロトコルに従って通
信された1フレームについての1次トラフィック情報が
記録されている。
P(トランスミッション・コントロール・プロトコル/
インターネット・プロトコル)のプロトコルに従って通
信された1フレームについての1次トラフィック情報が
記録されている。
【0060】ここで、エントリ660についての各フィ
ールドの内容について説明する。
ールドの内容について説明する。
【0061】受信時刻610のフイールドには時刻検出
手段12によって検出されたフレームの受信時刻情報が
記録されている。
手段12によって検出されたフレームの受信時刻情報が
記録されている。
【0062】フレーム情報620にはフレーム情報抽出
手段14によって抽出されたフレーム情報(これは第1
層及び第2層のプロトコル情報から抽出されたものであ
る)が記録されている。ここで、「Ethernet」はイーサ
ネット(ネットワーク)を示し、「src 8:0:6:2:a:b:c
c」はソースアドレス(発信元アドレス)を示し、「des
8:0:6:2:a:b:cc」はディスティネーションアドレス
(宛先アドレス)を示し、「len 600 」はフレーム長
(600レングス)を示している。他のエントリについ
ても同様の内容が記録されている。
手段14によって抽出されたフレーム情報(これは第1
層及び第2層のプロトコル情報から抽出されたものであ
る)が記録されている。ここで、「Ethernet」はイーサ
ネット(ネットワーク)を示し、「src 8:0:6:2:a:b:c
c」はソースアドレス(発信元アドレス)を示し、「des
8:0:6:2:a:b:cc」はディスティネーションアドレス
(宛先アドレス)を示し、「len 600 」はフレーム長
(600レングス)を示している。他のエントリについ
ても同様の内容が記録されている。
【0063】第3層情報630、第4層情報640、第
7層情報650にはパケット解析手段15によって解析
されたプロトコル情報が記録されている。ここで、第3
層情報630において、「IP」はインターネット・プ
ロトコルを示し、「src 123.234.7.65.11 」はソースア
ドレス(発信元アドレス)を示し、「des 123.223.765.
34」はディスティネーションアドレス(宛先アドレス)
を示している。第4層情報640において、「UDP」
はユーザ・データグラム・プロトコルを示し、「src 40
00」はソースポート番号(発信元アドレス)を示し、
「des 2049」はディスティネーションポート番号(宛先
アドレス)を示している。第7層情報650において、
「NFS」はネットワーク・ファイル・システムを示
し、「(Read)」はファイルの読み出しを示している。
7層情報650にはパケット解析手段15によって解析
されたプロトコル情報が記録されている。ここで、第3
層情報630において、「IP」はインターネット・プ
ロトコルを示し、「src 123.234.7.65.11 」はソースア
ドレス(発信元アドレス)を示し、「des 123.223.765.
34」はディスティネーションアドレス(宛先アドレス)
を示している。第4層情報640において、「UDP」
はユーザ・データグラム・プロトコルを示し、「src 40
00」はソースポート番号(発信元アドレス)を示し、
「des 2049」はディスティネーションポート番号(宛先
アドレス)を示している。第7層情報650において、
「NFS」はネットワーク・ファイル・システムを示
し、「(Read)」はファイルの読み出しを示している。
【0064】またエントリ670についても上記同様な
1次トラフィック情報が記録されている。
1次トラフィック情報が記録されている。
【0065】図6に示されるような1次トラフィック情
報の蓄積が終了すると、アプリケーション判定情報抽出
手段18によって初期段階のデータ解析が行われる。こ
こでは、図6に示す内容が、発信元アドレス、宛先アド
レス及び第7層情報をキーにソートされ集計される。そ
の結果の例を図7に示す。なお、これ以降は簡便のた
め、フレームの発信元アドレス及び宛先アドレスの代わ
りにワークステーション名を用いる。図7において、7
10は発信元のワークステーション名が記録されるフィ
ールドを示し、720は宛先のワークステーション名が
記録されるフィールドを示し、730は第7層情報(ア
プリケーション)が記録されるフィールドを示し、74
0は発信元から宛先へのフレームの中に使用されたアプ
リケーションの種類毎の使用頻度が記録されるフィール
ドを示している。751はワークステーションAからワ
ークステーションBAの1フレームについての情報であ
る。同様に、752はワークステーションAからワーク
ステーションCへの、また753はワークステーション
AからワークステーションDへの、また754はワーク
ステーションBからワークステーションAへの、更に7
54はワークステーションEからワークステーションD
へのフレームについての情報である。
報の蓄積が終了すると、アプリケーション判定情報抽出
手段18によって初期段階のデータ解析が行われる。こ
こでは、図6に示す内容が、発信元アドレス、宛先アド
レス及び第7層情報をキーにソートされ集計される。そ
の結果の例を図7に示す。なお、これ以降は簡便のた
め、フレームの発信元アドレス及び宛先アドレスの代わ
りにワークステーション名を用いる。図7において、7
10は発信元のワークステーション名が記録されるフィ
ールドを示し、720は宛先のワークステーション名が
記録されるフィールドを示し、730は第7層情報(ア
プリケーション)が記録されるフィールドを示し、74
0は発信元から宛先へのフレームの中に使用されたアプ
リケーションの種類毎の使用頻度が記録されるフィール
ドを示している。751はワークステーションAからワ
ークステーションBAの1フレームについての情報であ
る。同様に、752はワークステーションAからワーク
ステーションCへの、また753はワークステーション
AからワークステーションDへの、また754はワーク
ステーションBからワークステーションAへの、更に7
54はワークステーションEからワークステーションD
へのフレームについての情報である。
【0066】この第1の実施例においては、初期段階の
データ解析において、図7に示される集計結果より主要
でないトラフィックの削除が行われる。この処理はアプ
リケーション判定情報抽出手段18によって行われる。
この例では、フレーム割合が10%以下のトラフィック
が削除され、その他のトラフィックとして扱われるもの
とする。図7において、760に示されるエントリにお
けるフレーム割合は2%であり、また770に示される
エントリにおけるフレーム割合は9%であり、いずれも
上記10%以下である。このため、それらのトラフィッ
ク情報については、その他のトラフィックとして扱われ
る。この結果を図8に示す。
データ解析において、図7に示される集計結果より主要
でないトラフィックの削除が行われる。この処理はアプ
リケーション判定情報抽出手段18によって行われる。
この例では、フレーム割合が10%以下のトラフィック
が削除され、その他のトラフィックとして扱われるもの
とする。図7において、760に示されるエントリにお
けるフレーム割合は2%であり、また770に示される
エントリにおけるフレーム割合は9%であり、いずれも
上記10%以下である。このため、それらのトラフィッ
ク情報については、その他のトラフィックとして扱われ
る。この結果を図8に示す。
【0067】図7に示されるエントリ761のフレーム
割合3%が、図8においては、エントリ810のフレー
ム割合5%に変更されているが、これは上述した理由に
より、エントリ761のフレーム割合3%にエントリ7
60のトラフィック情報についてのフレーム割合2%を
加えた為である。同様の理由で、エントリ771のフレ
ーム割合8%が、図8においてはエントリ820のフレ
ーム割合17%に変更されている。
割合3%が、図8においては、エントリ810のフレー
ム割合5%に変更されているが、これは上述した理由に
より、エントリ761のフレーム割合3%にエントリ7
60のトラフィック情報についてのフレーム割合2%を
加えた為である。同様の理由で、エントリ771のフレ
ーム割合8%が、図8においてはエントリ820のフレ
ーム割合17%に変更されている。
【0068】アプリケーション判定情報抽出手段18
は、アプリケーション判定基準保持手段17に保持され
ている図9に示される様なアプリケーションに応じた特
徴情報(判定基準)に基づいて、図8に示されるような
各ワークステーション間の主要なトラフィックそれぞれ
について、図6に示される様な1次トラフィック情報蓄
積手段16中に蓄積されたフレームの各層情報から抽出
する。こうして抽出された情報はアプリケーション判定
情報としてアプリケーション判定情報蓄積手段19に蓄
積される。その結果の例を図10に示す。
は、アプリケーション判定基準保持手段17に保持され
ている図9に示される様なアプリケーションに応じた特
徴情報(判定基準)に基づいて、図8に示されるような
各ワークステーション間の主要なトラフィックそれぞれ
について、図6に示される様な1次トラフィック情報蓄
積手段16中に蓄積されたフレームの各層情報から抽出
する。こうして抽出された情報はアプリケーション判定
情報としてアプリケーション判定情報蓄積手段19に蓄
積される。その結果の例を図10に示す。
【0069】なお、第1の実施例例においては、特徴情
報として、フレーム中において各アプケーション毎に特
有なデータ、及びそのフレーム中での位置及び長さのデ
ータ等が与えられるようになっている。なお図9におい
ては、アプリケーション910、N個の特徴情報920
-1、920-2、…、920-Nのフィールドから構成され
ている。ここで例えば、アプリケーションとしての「X
- Window」については特徴情報920-1として
「UDP des.port」が、またアプリケーションとしての
「NFS」については特徴情報920-1のフィールドに
「UDP des.port」及び特徴情報920-2のフィールドに
「RPC no」が設定されている。他のアプリケーションに
ついても、同様な判定基準が設定されている。
報として、フレーム中において各アプケーション毎に特
有なデータ、及びそのフレーム中での位置及び長さのデ
ータ等が与えられるようになっている。なお図9におい
ては、アプリケーション910、N個の特徴情報920
-1、920-2、…、920-Nのフィールドから構成され
ている。ここで例えば、アプリケーションとしての「X
- Window」については特徴情報920-1として
「UDP des.port」が、またアプリケーションとしての
「NFS」については特徴情報920-1のフィールドに
「UDP des.port」及び特徴情報920-2のフィールドに
「RPC no」が設定されている。他のアプリケーションに
ついても、同様な判定基準が設定されている。
【0070】また図10においてアプリケーション判定
情報は、発信元ワークステーション名(発信元アドレ
ス)1010、宛先ワークステーション名(宛先アドレ
ス)1020、アプリケーション1030及びフレーム
特徴1040の情報から構成されている。この図10に
示される内容が特定情報を表している。
情報は、発信元ワークステーション名(発信元アドレ
ス)1010、宛先ワークステーション名(宛先アドレ
ス)1020、アプリケーション1030及びフレーム
特徴1040の情報から構成されている。この図10に
示される内容が特定情報を表している。
【0071】ここで、エントリ1050のアプリケーシ
ョン判定情報について説明する。図8に示されるエント
リ830のトラフィック情報におけるアプリケーション
「X- Window」が、図9に示されるエントリ93
0におけるアプリケーション「X- Window」と一
致するので、エントリ1050には、図8に示される発
信元アドレス、宛先アドレス及びアプリケーションが蓄
積されるとともに、図9に示されるエントリ930の特
徴情報920-1に設定されている特徴情報「UDP des.po
rt」についての実際の値が、図6に示される1次フレー
ム情報から抽出され、フレーム特徴として蓄積される。
この例ではフレーム特徴は「UDP des.port=3005」とな
っており、「UDP des.port」つまりフレーム中の特定位
置の特定長のデータの値が「3005」であると言うこ
とが示されている。
ョン判定情報について説明する。図8に示されるエント
リ830のトラフィック情報におけるアプリケーション
「X- Window」が、図9に示されるエントリ93
0におけるアプリケーション「X- Window」と一
致するので、エントリ1050には、図8に示される発
信元アドレス、宛先アドレス及びアプリケーションが蓄
積されるとともに、図9に示されるエントリ930の特
徴情報920-1に設定されている特徴情報「UDP des.po
rt」についての実際の値が、図6に示される1次フレー
ム情報から抽出され、フレーム特徴として蓄積される。
この例ではフレーム特徴は「UDP des.port=3005」とな
っており、「UDP des.port」つまりフレーム中の特定位
置の特定長のデータの値が「3005」であると言うこ
とが示されている。
【0072】また図10のエントリ1060のアプリケ
ーション判定情報についても、上記同様に、図8のエン
トリ840についての判定結果の情報が抽出されてい
る。更に図8の他のエントリについても上記同様に、ア
プリケーション判定情報が抽出される。
ーション判定情報についても、上記同様に、図8のエン
トリ840についての判定結果の情報が抽出されてい
る。更に図8の他のエントリについても上記同様に、ア
プリケーション判定情報が抽出される。
【0073】以上までの説明で初期段階の処理が終了し
たことになるので、次に後期段階の処理ついて説明す
る。後期段階においては、ネットワークに到着するフレ
ームが順次収集され処理される。収集されたフレームか
らは、発信元アドレス、宛先アドレス及びフレーム長の
情報が抽出される。
たことになるので、次に後期段階の処理ついて説明す
る。後期段階においては、ネットワークに到着するフレ
ームが順次収集され処理される。収集されたフレームか
らは、発信元アドレス、宛先アドレス及びフレーム長の
情報が抽出される。
【0074】アプリケーション判定手段20では、アプ
リケーション判定情報蓄積手段19に蓄積されたアプリ
ケーション判定情報中に、発信元アドレス、宛先アドレ
ス及びフレーム長の各情報の条件に一致するアプリケー
ション候補が存在するか否かをチェックし、アプリケー
ション候補が見付かった場合は、その特徴情報とフレー
ム中の値とを比較することによってアプリケーションの
同定を行う。一方、該当するものが見付からない場合
は、アプリケーション不定のフレームとして取り扱う。
また同定されたか否かに関わらず、アプリケーションの
フレーム情報(つまり発信元アドレス、宛先アドレス及
びフレーム長の情報)が、アプリケーション判定手段2
0からアプリケーション情報抽出手段22に渡される。
リケーション判定情報蓄積手段19に蓄積されたアプリ
ケーション判定情報中に、発信元アドレス、宛先アドレ
ス及びフレーム長の各情報の条件に一致するアプリケー
ション候補が存在するか否かをチェックし、アプリケー
ション候補が見付かった場合は、その特徴情報とフレー
ム中の値とを比較することによってアプリケーションの
同定を行う。一方、該当するものが見付からない場合
は、アプリケーション不定のフレームとして取り扱う。
また同定されたか否かに関わらず、アプリケーションの
フレーム情報(つまり発信元アドレス、宛先アドレス及
びフレーム長の情報)が、アプリケーション判定手段2
0からアプリケーション情報抽出手段22に渡される。
【0075】そしてアプリケーション情報抽出手段22
は、アプリケーション情報テンプレート保持手段21に
保持されている図11に示される様なテンプレートに従
って、信号復号化手段13から渡されたフレームのう
ち、同定されたアプリケーションを含んでいるフレーム
中から必要な情報を抽出し、この抽出結果及び上記フレ
ーム情報を、2次トラフィック情報蓄積手段23に蓄積
する。また2次トラフィック情報蓄積手段23には上述
した抽出結果及びフレーム情報と共に、時刻検出手段1
2により検出されたフレームの受信時刻情報も同時に蓄
積される。この最終的に抽出された情報は2次トラフィ
ック情報として蓄積される。この2次トラフィック情報
の一例を図12に示す。
は、アプリケーション情報テンプレート保持手段21に
保持されている図11に示される様なテンプレートに従
って、信号復号化手段13から渡されたフレームのう
ち、同定されたアプリケーションを含んでいるフレーム
中から必要な情報を抽出し、この抽出結果及び上記フレ
ーム情報を、2次トラフィック情報蓄積手段23に蓄積
する。また2次トラフィック情報蓄積手段23には上述
した抽出結果及びフレーム情報と共に、時刻検出手段1
2により検出されたフレームの受信時刻情報も同時に蓄
積される。この最終的に抽出された情報は2次トラフィ
ック情報として蓄積される。この2次トラフィック情報
の一例を図12に示す。
【0076】図11に示されるテンプレートは、アプリ
ケーション1110のフィールドに設定された「X- W
indow」、「NFS」、「ftp」、「lpr」に
それぞれ対応して、上位層パケットより抽出する情報1
120-1、1120-2、…、1120-Nの各フィールド
に抽出すべき情報が設定される。ここでは、「X- Wi
ndow」については抽出すべき情報は無いことが示さ
れており、仮に「X-Window」のアプリケーショ
ンの同定が行われたとしても、そのアプリケーションか
らは何も抽出されない。これに対し、「NFS」のアプ
リケーションについては「procedure 番号(プロシジャ
番号)」と「データサイズ」が抽出される様に、また
「ftp」及び「lpr」のアプリケーションについて
は「データサイズ」が抽出される様に、設定されてい
る。
ケーション1110のフィールドに設定された「X- W
indow」、「NFS」、「ftp」、「lpr」に
それぞれ対応して、上位層パケットより抽出する情報1
120-1、1120-2、…、1120-Nの各フィールド
に抽出すべき情報が設定される。ここでは、「X- Wi
ndow」については抽出すべき情報は無いことが示さ
れており、仮に「X-Window」のアプリケーショ
ンの同定が行われたとしても、そのアプリケーションか
らは何も抽出されない。これに対し、「NFS」のアプ
リケーションについては「procedure 番号(プロシジャ
番号)」と「データサイズ」が抽出される様に、また
「ftp」及び「lpr」のアプリケーションについて
は「データサイズ」が抽出される様に、設定されてい
る。
【0077】図12において、フィールド1210の受
信時刻のデータは時刻検出手段12により書き込まれた
のもであり、フィールド1220、1230、1240
-1、1240-N1 のデータはアプリケーション情報抽出
手段22により書き込まれたものである。ここには、図
6の1次トラフィック情報に示されるものと同様の、発
信元のワークステーションと宛先のワークステーション
間で、同一のアプリケーションが使用されてデータ通信
された場合についての、2次トラフィック情報が蓄積さ
れている。
信時刻のデータは時刻検出手段12により書き込まれた
のもであり、フィールド1220、1230、1240
-1、1240-N1 のデータはアプリケーション情報抽出
手段22により書き込まれたものである。ここには、図
6の1次トラフィック情報に示されるものと同様の、発
信元のワークステーションと宛先のワークステーション
間で、同一のアプリケーションが使用されてデータ通信
された場合についての、2次トラフィック情報が蓄積さ
れている。
【0078】以上説明したように第1の実施例によれ
ば、収集されたフレームがどのアプリケーションによる
ものかを推定するための情報を予め構築しておき、それ
に基づいてフレームを生成したアプリケーションを同定
し、必要な情報だけを得ることができる。
ば、収集されたフレームがどのアプリケーションによる
ものかを推定するための情報を予め構築しておき、それ
に基づいてフレームを生成したアプリケーションを同定
し、必要な情報だけを得ることができる。
【0079】またトラフィック収集と必要最小限の情報
抽出をリアルタイムで行うので、不必要なデータまでを
蓄積する必要がなく、長時間、大量のトラフィック収集
が可能となる。
抽出をリアルタイムで行うので、不必要なデータまでを
蓄積する必要がなく、長時間、大量のトラフィック収集
が可能となる。
【0080】また上位層パケット中の情報を、そこまで
の各層のプロトコルフォーマットのデコード処理を行わ
ないので、1フレーム当たりの情報抽出時間が短く、高
価なハードウェアを私用しなくても、フレームの取りこ
ぼし率を低減することができる。
の各層のプロトコルフォーマットのデコード処理を行わ
ないので、1フレーム当たりの情報抽出時間が短く、高
価なハードウェアを私用しなくても、フレームの取りこ
ぼし率を低減することができる。
【0081】さらに、実際の運用状態においては特定の
ステーション間で交換されるトラフィックの生成元のア
プリケーションはある程度限定され、且つ同一アプリケ
ーションによって生成されるパケットフレームには、使
用されるトランスポートプロトコル、その他のパラメー
タ等の特徴があり、それが一連のセッションにおいて変
化しないという点に着目し、各層プロトコルの処理を省
略することによってアプリケーションの同定に係る時間
を短縮することができる。
ステーション間で交換されるトラフィックの生成元のア
プリケーションはある程度限定され、且つ同一アプリケ
ーションによって生成されるパケットフレームには、使
用されるトランスポートプロトコル、その他のパラメー
タ等の特徴があり、それが一連のセッションにおいて変
化しないという点に着目し、各層プロトコルの処理を省
略することによってアプリケーションの同定に係る時間
を短縮することができる。
【0082】次に第2の実施例について図13乃至図2
9に基づいて説明する。
9に基づいて説明する。
【0083】第2の実施例においても、第1の実施例と
同様に、初期段階処理に相当する前処理と、後期段階処
理に相当する通常処理とに分かれており、前記前処理の
為の構成によってある一定時間のフレーム収集(予備フ
レーム収集)を行い、そのトラフィック情報に基づい
て、トラフッイクを構成するフレームの種別を判定する
ための情報を作成する。そして上記通常処理の為の構成
によって、この判定の為の情報に基づいて、収集された
フレームの種別を判定し、その種別のフレームに特有な
興味ある情報を抽出し、蓄積するものである。
同様に、初期段階処理に相当する前処理と、後期段階処
理に相当する通常処理とに分かれており、前記前処理の
為の構成によってある一定時間のフレーム収集(予備フ
レーム収集)を行い、そのトラフィック情報に基づい
て、トラフッイクを構成するフレームの種別を判定する
ための情報を作成する。そして上記通常処理の為の構成
によって、この判定の為の情報に基づいて、収集された
フレームの種別を判定し、その種別のフレームに特有な
興味ある情報を抽出し、蓄積するものである。
【0084】図13は本発明に係るトラフィック収集解
析装置の第2の実施例の構成を示す機能ブロック図であ
る。同図において、トラフィック収集解析装置は、フレ
ーム収集部1310、フレーム解釈部1320、1次ト
ラフィック情報蓄積部1330、トラフィック構成情報
抽出部1340、フレーム判定部1350、着目情報抽
出部1360、2次トラフィック情報蓄積部1370を
備えている。
析装置の第2の実施例の構成を示す機能ブロック図であ
る。同図において、トラフィック収集解析装置は、フレ
ーム収集部1310、フレーム解釈部1320、1次ト
ラフィック情報蓄積部1330、トラフィック構成情報
抽出部1340、フレーム判定部1350、着目情報抽
出部1360、2次トラフィック情報蓄積部1370を
備えている。
【0085】ここで、前処理の為の構成は、1310〜
1340の各機能部によって実現され、通常処理のため
の構成は、1310及び1350〜1370の各機能部
によって実現される。
1340の各機能部によって実現され、通常処理のため
の構成は、1310及び1350〜1370の各機能部
によって実現される。
【0086】次に上記各機能部の詳細について添付図面
を参照して説明する。
を参照して説明する。
【0087】図14はフレーム収集部1310の詳細な
機能ブロック図を示している。
機能ブロック図を示している。
【0088】フレーム収集部1310において、信号受
信手段1311はネットワーク物理層の信号を受信し、
時刻検出手段1312及び信号復号化手段1313に渡
す。時刻検出手段1312は受信したフレームの受信時
刻を検出し、一方、信号復号化手段1313は受信した
信号を復号化する。この復号化されたフレームはフレー
ム情報抽出手段1314に渡されるので、フレーム情報
抽出手段1314は、復号化されたフレームからデータ
リンク層の情報を取得する。上記受信時刻情報及びデー
タリンク層の情報はデータリンク層情報として、前処理
時にはフレーム判定部1320に渡され、通常処理時に
はフレーム判定部1350及び着目情報抽出部1360
に渡される。なおデータリンク層情報には、図15に示
されるような、受信時刻1510、データリンク層宛先
アドレス1520、発信元アドレス1530、フレーム
タイプ1540、フレーム長1550、データ長156
0、及びフレーム中でのデータフィールドの位置すなわ
ちオフセット1570からなるデータリンク層ヘッダ情
報とデータフィールドの中身から構成される。なおフレ
ームタイプ1540は上位層パケットのタイプを示すも
のである。
信手段1311はネットワーク物理層の信号を受信し、
時刻検出手段1312及び信号復号化手段1313に渡
す。時刻検出手段1312は受信したフレームの受信時
刻を検出し、一方、信号復号化手段1313は受信した
信号を復号化する。この復号化されたフレームはフレー
ム情報抽出手段1314に渡されるので、フレーム情報
抽出手段1314は、復号化されたフレームからデータ
リンク層の情報を取得する。上記受信時刻情報及びデー
タリンク層の情報はデータリンク層情報として、前処理
時にはフレーム判定部1320に渡され、通常処理時に
はフレーム判定部1350及び着目情報抽出部1360
に渡される。なおデータリンク層情報には、図15に示
されるような、受信時刻1510、データリンク層宛先
アドレス1520、発信元アドレス1530、フレーム
タイプ1540、フレーム長1550、データ長156
0、及びフレーム中でのデータフィールドの位置すなわ
ちオフセット1570からなるデータリンク層ヘッダ情
報とデータフィールドの中身から構成される。なおフレ
ームタイプ1540は上位層パケットのタイプを示すも
のである。
【0089】図16はフレーム解釈部1320の詳細な
機能ブロック図を示している。
機能ブロック図を示している。
【0090】フレーム解釈部1320において、プロト
コル解釈手段呼出手段1321は、フレーム収集部13
10からのデータリンク層情報に基づいて、フレームを
構成する各層プロトコルを認識し、下位層から上位層の
プロトコルへと順次、プロトコルを解釈させるように、
プロトコル解釈手段1322-1、1322-2、…、13
22-Nを順次呼び出す。呼び出されたプロトコル解釈手
段は、対応するプロトコルを解釈して、解釈結果をプロ
トコル解釈手段呼出手段1321に返す。ここでは、プ
ロトコル解釈手段1322-1はネットワーク層のプトコ
ルを、またプロトコル解釈手段1322-2はトランスポ
ート層のプトコルを、更にプロトコル解釈手段1322
-Nはアプリケーション層のプロトコルをそれぞれ解釈す
る。
コル解釈手段呼出手段1321は、フレーム収集部13
10からのデータリンク層情報に基づいて、フレームを
構成する各層プロトコルを認識し、下位層から上位層の
プロトコルへと順次、プロトコルを解釈させるように、
プロトコル解釈手段1322-1、1322-2、…、13
22-Nを順次呼び出す。呼び出されたプロトコル解釈手
段は、対応するプロトコルを解釈して、解釈結果をプロ
トコル解釈手段呼出手段1321に返す。ここでは、プ
ロトコル解釈手段1322-1はネットワーク層のプトコ
ルを、またプロトコル解釈手段1322-2はトランスポ
ート層のプトコルを、更にプロトコル解釈手段1322
-Nはアプリケーション層のプロトコルをそれぞれ解釈す
る。
【0091】そしてプロトコル解釈手段呼出手段132
1に各層のプロトコルの解釈結果が返されると、プロト
コル解釈手段呼出手段1321は、その解釈結果を1次
フレーム情報として、1次トラフィック情報蓄積部13
30に渡す。なお1次フレーム情報には、フレームの受
信時刻情報、フレームのプロトコル構成情報及び各層プ
ロトコルの情報が含まれている。
1に各層のプロトコルの解釈結果が返されると、プロト
コル解釈手段呼出手段1321は、その解釈結果を1次
フレーム情報として、1次トラフィック情報蓄積部13
30に渡す。なお1次フレーム情報には、フレームの受
信時刻情報、フレームのプロトコル構成情報及び各層プ
ロトコルの情報が含まれている。
【0092】1次トラフィック情報蓄積部1330は図
17に示すように1次トラフィック情報蓄積手段133
1を備えており、ここに上記1次フレーム情報を逐次記
録すると共に、必要に応じて記録した1次フレーム情報
を読み出して、トラフィック構成情報抽出部1340へ
引き渡す。ここで、1次トラフィック情報蓄積手段13
31に蓄積された1次フレーム情報の一例を図18に示
す。
17に示すように1次トラフィック情報蓄積手段133
1を備えており、ここに上記1次フレーム情報を逐次記
録すると共に、必要に応じて記録した1次フレーム情報
を読み出して、トラフィック構成情報抽出部1340へ
引き渡す。ここで、1次トラフィック情報蓄積手段13
31に蓄積された1次フレーム情報の一例を図18に示
す。
【0093】図18において、1次フレーム情報は、予
め設定される期間中(例えば1日、12時間などの一定
期間)においてデータ送受されたN個のフレームについ
ての1次フレーム情報が蓄積されている。すなわち1次
フレーム情報1800-1、1800-2、1800-3、
…、1800-Nだけ蓄積されている。
め設定される期間中(例えば1日、12時間などの一定
期間)においてデータ送受されたN個のフレームについ
ての1次フレーム情報が蓄積されている。すなわち1次
フレーム情報1800-1、1800-2、1800-3、
…、1800-Nだけ蓄積されている。
【0094】ここで、1次フレーム情報1800-1の構
成について説明する。この1次フレーム情報は、フレー
ムの受信時刻1810、フレームのプロトコル構成18
20、各層プロトコルの情報1830、1840、18
50から構成されている。またプロトコル情報1830
はデータリンク層ヘッダ情報を示しており、プロトコル
情報1840はネットワーク層ヘッダ情報を示してお
り、プロトコル情報1850はアプリケーション層情報
を示している。
成について説明する。この1次フレーム情報は、フレー
ムの受信時刻1810、フレームのプロトコル構成18
20、各層プロトコルの情報1830、1840、18
50から構成されている。またプロトコル情報1830
はデータリンク層ヘッダ情報を示しており、プロトコル
情報1840はネットワーク層ヘッダ情報を示してお
り、プロトコル情報1850はアプリケーション層情報
を示している。
【0095】また他の1次フレーム情報についても、図
18には図示されていないが、上記同様にフレームの受
信時刻情報、フレームのプロトコル構成情報及び各層プ
ロトコルの情報内容についての情報が蓄積されている。
18には図示されていないが、上記同様にフレームの受
信時刻情報、フレームのプロトコル構成情報及び各層プ
ロトコルの情報内容についての情報が蓄積されている。
【0096】なおここでは、1次トラフィック情報蓄積
部1330に蓄積された全ての1次フレーム情報及びそ
の一部を1次トラフィック情報と呼ぶ。図18において
は、1次トラフィック情報として、受信時刻1810及
びフレームのプロトコル構成1820を指し示している
が、これに限定されることなく、例えば各層プロトコル
の情報あるいは1フレームについての全ての1次フレー
ム情報も1次トラフィック情報となり得る。
部1330に蓄積された全ての1次フレーム情報及びそ
の一部を1次トラフィック情報と呼ぶ。図18において
は、1次トラフィック情報として、受信時刻1810及
びフレームのプロトコル構成1820を指し示している
が、これに限定されることなく、例えば各層プロトコル
の情報あるいは1フレームについての全ての1次フレー
ム情報も1次トラフィック情報となり得る。
【0097】図19はトラフィック構成情報抽出部13
40の詳細な機能ブロック図を示している。トラフィッ
ク構成情報抽出部1340において、トラフィック構成
解析手段1341は、1次トラフィック情報蓄積部13
30からの1次トラフィック情報に基づき、各ワークス
テーション間のトラフィックがどのようなフレームによ
って(フレーム特徴情報)構成され、また各フレームが
どれ位の割合で構成されているか(トラフィック構成情
報)を求め、この結果をトラフィック構成情報及びフレ
ーム特徴情報蓄積手段1342に格納する。
40の詳細な機能ブロック図を示している。トラフィッ
ク構成情報抽出部1340において、トラフィック構成
解析手段1341は、1次トラフィック情報蓄積部13
30からの1次トラフィック情報に基づき、各ワークス
テーション間のトラフィックがどのようなフレームによ
って(フレーム特徴情報)構成され、また各フレームが
どれ位の割合で構成されているか(トラフィック構成情
報)を求め、この結果をトラフィック構成情報及びフレ
ーム特徴情報蓄積手段1342に格納する。
【0098】このトラフィック構成情報抽出部1340
によるフレーム特徴情報及びトラフィック構成情報の抽
出処理について、図20を参照して説明する。図20は
その抽出処理を説明するための説明図である。
によるフレーム特徴情報及びトラフィック構成情報の抽
出処理について、図20を参照して説明する。図20は
その抽出処理を説明するための説明図である。
【0099】トラフィック構成情報抽出部1340は、
1次トラフィック情報蓄積部1330から渡された例え
ば図18に示されるような1次トラフィック情報を(2
000)、データリンク層情報の宛先アドレス毎に分類
すると共に(2010)、発信元アドレス毎に分類する
(2020)。この分類結果を「アドレスによる分類」
と呼ぶ。上記2010の処理により宛先アドレス別のフ
レーム情報がリストされ(2011)、また上記202
0の処理により発信元アドレス別のフレーム情報がリス
トされる(2021)。この発信元アドレス別のフレー
ム情報のリストは、さらに、宛先アドレス毎に分類され
る(2030)。この2030の処理により発信元アド
レス及び宛先アドレス別のフレーム情報がリストされる
(2031)。
1次トラフィック情報蓄積部1330から渡された例え
ば図18に示されるような1次トラフィック情報を(2
000)、データリンク層情報の宛先アドレス毎に分類
すると共に(2010)、発信元アドレス毎に分類する
(2020)。この分類結果を「アドレスによる分類」
と呼ぶ。上記2010の処理により宛先アドレス別のフ
レーム情報がリストされ(2011)、また上記202
0の処理により発信元アドレス別のフレーム情報がリス
トされる(2021)。この発信元アドレス別のフレー
ム情報のリストは、さらに、宛先アドレス毎に分類され
る(2030)。この2030の処理により発信元アド
レス及び宛先アドレス別のフレーム情報がリストされる
(2031)。
【0100】次に上記2000における1次トラフィッ
ク情報のフレーム、上記2022、2021及び203
1の各処理におけるアドレス毎に分類されたフレーム
を、生成元のアプリケーション別にグループ分けする
(2040)。ここでは、この分類結果を「アプリケー
ションによる分類」と呼ぶ。
ク情報のフレーム、上記2022、2021及び203
1の各処理におけるアドレス毎に分類されたフレーム
を、生成元のアプリケーション別にグループ分けする
(2040)。ここでは、この分類結果を「アプリケー
ションによる分類」と呼ぶ。
【0101】続いて、各グループ毎に、フレームの特徴
が一致するもの毎にサブグループ分けを行う(205
0)。ここではこの分類結果を「フレーム特徴による分
類」と呼ぶ。なお上記フレームの特徴としては、例えば
コマンドすなわちコマンドパケットフレーム、ファイル
転送すなわちデータパケットフレームなどがある。勿
論、コマンドについてはリードパケットフレーム、ライ
トパケットフレームという具合に分類しても良い。
が一致するもの毎にサブグループ分けを行う(205
0)。ここではこの分類結果を「フレーム特徴による分
類」と呼ぶ。なお上記フレームの特徴としては、例えば
コマンドすなわちコマンドパケットフレーム、ファイル
転送すなわちデータパケットフレームなどがある。勿
論、コマンドについてはリードパケットフレーム、ライ
トパケットフレームという具合に分類しても良い。
【0102】すなわちここでは、アプリケーション(例
えばNFS、lps及びftp)とフレームの特徴(例
えばファイル転送及びコマンド)とにより、以下のよう
な組合わせのフレーム種別が得られるものとする。 ここで、#1〜#6はフレーム種別を示している。
えばNFS、lps及びftp)とフレームの特徴(例
えばファイル転送及びコマンド)とにより、以下のよう
な組合わせのフレーム種別が得られるものとする。 ここで、#1〜#6はフレーム種別を示している。
【0103】従ってフレーム種別が「#2」ということ
は、「lps」のアプリケーションによる「ファイル転
送」であるフレームを意味している。
は、「lps」のアプリケーションによる「ファイル転
送」であるフレームを意味している。
【0104】上記2050の処理が終了したら、各サブ
グループ毎に、そこに含まれるフレーム間で共通する特
徴情報を抽出する(2060)。ここで、この各サブグ
ループ毎のフレーム共通な特徴情報を「フレーム特徴情
報」と呼ぶ。2060により、全体的なフレーム特徴情
報2061、宛先アドレス別のフレーム特徴情報206
2、発信元アドレス別のフレーム特徴情報2063、発
信元及び宛先アドレス別のフレーム特徴情報2064が
得られる。
グループ毎に、そこに含まれるフレーム間で共通する特
徴情報を抽出する(2060)。ここで、この各サブグ
ループ毎のフレーム共通な特徴情報を「フレーム特徴情
報」と呼ぶ。2060により、全体的なフレーム特徴情
報2061、宛先アドレス別のフレーム特徴情報206
2、発信元アドレス別のフレーム特徴情報2063、発
信元及び宛先アドレス別のフレーム特徴情報2064が
得られる。
【0105】上記2060の処理が終了すると、各サブ
グループ毎に、サブグループに含まれるフレームの全体
のフレーム数に対する占有率を求める(2070)。こ
の占有率は、「上記一定期間中におけるサブグループに
含まれるフレーム(すなわち特定のアプリケーションが
含まれているフレーム)の数/上記一定期間中に収集さ
れた全体のフレームの数」を演算することにより求める
ことができる。換言すれば、特定のアプリケーションの
使用頻度を求めていることになる。
グループ毎に、サブグループに含まれるフレームの全体
のフレーム数に対する占有率を求める(2070)。こ
の占有率は、「上記一定期間中におけるサブグループに
含まれるフレーム(すなわち特定のアプリケーションが
含まれているフレーム)の数/上記一定期間中に収集さ
れた全体のフレームの数」を演算することにより求める
ことができる。換言すれば、特定のアプリケーションの
使用頻度を求めていることになる。
【0106】上記2060の処理が終了すると、各アド
レスによる分類毎に、そこに含まれるサブグループに対
して、それらの占有率に従った順序付けを行う(208
0)。ここで、各アドレスによる分類毎のサブグループ
に対する順序付け及びそれらの占有率を「トラフィック
構成情報」と呼ぶ。2080により、全体的トラフィッ
ク構成情報2081、宛先アドレス別トラフィック構成
情報2082、発信元アドレス別トラフィック構成情報
2083、発信元及び宛先アドレス別トラフィック構成
情報2084が得られる。
レスによる分類毎に、そこに含まれるサブグループに対
して、それらの占有率に従った順序付けを行う(208
0)。ここで、各アドレスによる分類毎のサブグループ
に対する順序付け及びそれらの占有率を「トラフィック
構成情報」と呼ぶ。2080により、全体的トラフィッ
ク構成情報2081、宛先アドレス別トラフィック構成
情報2082、発信元アドレス別トラフィック構成情報
2083、発信元及び宛先アドレス別トラフィック構成
情報2084が得られる。
【0107】図21は、発信元及び宛先アドレス別のト
ラフィック構成情報及びフレーム特徴情報の一例を示し
ている。図21においては、5種類の発信元及び宛先ア
ドレス別についてのトラフィック構成情報及びフレーム
特徴情報2110〜2150が示されている。例えば、
情報2110は、発信元アドレス「0f.33.0a.0f.ee.64
」から宛先アドレス「0f.33.0a.0e.34.56 」へのフレ
ームについてのトラフィック構成情報及びフレーム特徴
情報を示している。このようなトラフィック構成情報及
びフレーム情報はフレーム判定部1350に渡される。
また他の情報2120〜2150についても、上記同様
に、特定の発信元アドレスから特定の宛先アドレスへの
フレームについてのトラフィック構成情報及びフレーム
特徴情報が示されている。
ラフィック構成情報及びフレーム特徴情報の一例を示し
ている。図21においては、5種類の発信元及び宛先ア
ドレス別についてのトラフィック構成情報及びフレーム
特徴情報2110〜2150が示されている。例えば、
情報2110は、発信元アドレス「0f.33.0a.0f.ee.64
」から宛先アドレス「0f.33.0a.0e.34.56 」へのフレ
ームについてのトラフィック構成情報及びフレーム特徴
情報を示している。このようなトラフィック構成情報及
びフレーム情報はフレーム判定部1350に渡される。
また他の情報2120〜2150についても、上記同様
に、特定の発信元アドレスから特定の宛先アドレスへの
フレームについてのトラフィック構成情報及びフレーム
特徴情報が示されている。
【0108】また情報2110において、2160A、
2170A及び2180Aで示される部分がトラフィッ
ク構成情報を示しており、2160B、2170B及び
2180Bで示される部分がフレーム特徴情報を示して
いる。なお、ここでは、簡便の為にフレーム特徴情報と
して参照される値の意味(例えばUDP宛先ポート)と
その値(例えば2049)を示しているが、実際のフレ
ーム情報としては、フレーム中で参照すべき値がある位
置(フレーム頭からのオフセット)、その値の長さ及び
検査すべき値等が与えられている。
2170A及び2180Aで示される部分がトラフィッ
ク構成情報を示しており、2160B、2170B及び
2180Bで示される部分がフレーム特徴情報を示して
いる。なお、ここでは、簡便の為にフレーム特徴情報と
して参照される値の意味(例えばUDP宛先ポート)と
その値(例えば2049)を示しているが、実際のフレ
ーム情報としては、フレーム中で参照すべき値がある位
置(フレーム頭からのオフセット)、その値の長さ及び
検査すべき値等が与えられている。
【0109】図22はフレーム判定部1350の詳細な
機能ブロック図を示している。
機能ブロック図を示している。
【0110】フレーム判定部1350はフレーム判定手
段1351を備えており、通常処理時にフレーム収集部
1310から渡されたデータリンク層情報について、ト
ラフィック構成情報抽出部1340から予め渡されたト
ラフィック構成情報及びフレーム特徴情報に基づいて、
そのリアルタイムに収集されたフレーム(データリンク
層情報)の種類(どのアプリケーション分類中のどのサ
ブグループに属するフレームであるか)を判定する。
段1351を備えており、通常処理時にフレーム収集部
1310から渡されたデータリンク層情報について、ト
ラフィック構成情報抽出部1340から予め渡されたト
ラフィック構成情報及びフレーム特徴情報に基づいて、
そのリアルタイムに収集されたフレーム(データリンク
層情報)の種類(どのアプリケーション分類中のどのサ
ブグループに属するフレームであるか)を判定する。
【0111】次に、フレーム判定部1350によるフレ
ームの判定処理について、図23を参照して説明する。
なお図23はそのフレーム判定処理を説明するための説
明図である。
ームの判定処理について、図23を参照して説明する。
なお図23はそのフレーム判定処理を説明するための説
明図である。
【0112】フレーム判定部1350は、トラフィック
構成情報及びフレーム特徴情報中に(2301)、収集
されたフレームのデータリンク層宛先アドレスに対応す
るものが存在しているか否かを判断し(2302)、存
在する場合は、更に発信元アドレス対応するものが存在
しているか否かを判断し(2303)、存在する場合
は、発信元及び宛先アドレス別のトラフィック構成情報
(2304)及びフレーム特徴情報(2305)が使用
される。
構成情報及びフレーム特徴情報中に(2301)、収集
されたフレームのデータリンク層宛先アドレスに対応す
るものが存在しているか否かを判断し(2302)、存
在する場合は、更に発信元アドレス対応するものが存在
しているか否かを判断し(2303)、存在する場合
は、発信元及び宛先アドレス別のトラフィック構成情報
(2304)及びフレーム特徴情報(2305)が使用
される。
【0113】上記2303の処理で収集されたフレーム
のデータリンク層における発信元アドレスが存在してい
ない場合は、宛先アドレス別のトラフィック構成情報
(2306)及び宛先アドレス別のフレーム特徴情報
(2307)が使用される。
のデータリンク層における発信元アドレスが存在してい
ない場合は、宛先アドレス別のトラフィック構成情報
(2306)及び宛先アドレス別のフレーム特徴情報
(2307)が使用される。
【0114】上記2302の処理で収集されたフレーム
のデータリンク層における宛先アドレスが存在していな
い場合は、トラフィック構成情報及びフレーム特徴情報
中に、収集されたフレームのデータリンク層における発
信元アドレスに対応するものが存在しているか否かを判
断し(2308)、存在する場合は、発信元アドレス別
トラフィック構成情報(2309)、発信元アドレス別
フレーム特徴情報(2310)を使用し、一方、上記2
308の処理で「NO」の場合すなわち宛先アドレス及
び発信元アドレスのいずれにも対応するものが無かった
場合は、全体的トラフィック構成情報(2311)及び
全体的フレーム特徴情報(2312)が使用される。
のデータリンク層における宛先アドレスが存在していな
い場合は、トラフィック構成情報及びフレーム特徴情報
中に、収集されたフレームのデータリンク層における発
信元アドレスに対応するものが存在しているか否かを判
断し(2308)、存在する場合は、発信元アドレス別
トラフィック構成情報(2309)、発信元アドレス別
フレーム特徴情報(2310)を使用し、一方、上記2
308の処理で「NO」の場合すなわち宛先アドレス及
び発信元アドレスのいずれにも対応するものが無かった
場合は、全体的トラフィック構成情報(2311)及び
全体的フレーム特徴情報(2312)が使用される。
【0115】このようにして使用すべきトラフィック構
成情報及びフレーム特徴情報が決定されると、フレーム
判定部1350は、上記決定されたトラフィック構成情
報中のフレーム占有率の高いものから順に、フレーム種
別の特徴が、新たに(リアルタイムに)収集されたフレ
ームのデータリンク層情報中の値と一致するか否かを検
査する(2313)。ここで、一致しているものがあれ
ば、フレームの種別が同定されたことになり、一方、一
致しているものがなければ、フレーム不定ということに
なる。
成情報及びフレーム特徴情報が決定されると、フレーム
判定部1350は、上記決定されたトラフィック構成情
報中のフレーム占有率の高いものから順に、フレーム種
別の特徴が、新たに(リアルタイムに)収集されたフレ
ームのデータリンク層情報中の値と一致するか否かを検
査する(2313)。ここで、一致しているものがあれ
ば、フレームの種別が同定されたことになり、一方、一
致しているものがなければ、フレーム不定ということに
なる。
【0116】上記2313の処理での検査に基づきフレ
ーム種別が同定されたか否かを判断し(2314)、同
定できる場合は、それを確定したフレーム種別とする
(2315)。一方、同定できない場合はフレーム判定
を継続可能か否かを判断し(2316)、継続可能であ
れば、上記2313の処理に移行し、一方、継続不可能
であれば、フレーム不定とする(2317)。
ーム種別が同定されたか否かを判断し(2314)、同
定できる場合は、それを確定したフレーム種別とする
(2315)。一方、同定できない場合はフレーム判定
を継続可能か否かを判断し(2316)、継続可能であ
れば、上記2313の処理に移行し、一方、継続不可能
であれば、フレーム不定とする(2317)。
【0117】図24は着目情報抽出部1360の詳細な
機能ブロック図を示している。
機能ブロック図を示している。
【0118】着目情報抽出部1360においては、着目
情報抽出手段1361が、フレーム種別が同定された
(若しくは同定されていない)フレームから、着目情報
テンプレート保持手段1362に保持されている着目情
報テンプレートの中から該当するフレーム種別のテンプ
レートに従って、興味ある情報を抽出する。こうして抽
出された情報及びフレーム収集部1310から渡された
データリンク層情報中の受信時刻が2次フレーム情報と
して2次トラフィック情報蓄積部1370に渡される。
情報抽出手段1361が、フレーム種別が同定された
(若しくは同定されていない)フレームから、着目情報
テンプレート保持手段1362に保持されている着目情
報テンプレートの中から該当するフレーム種別のテンプ
レートに従って、興味ある情報を抽出する。こうして抽
出された情報及びフレーム収集部1310から渡された
データリンク層情報中の受信時刻が2次フレーム情報と
して2次トラフィック情報蓄積部1370に渡される。
【0119】ここで、着目情報テンプレート保持手段1
362に保持されている着目情報テンプレートの一例を
図25に示す。図25に示すように、着目情報テンプレ
ートは、フレームの種別毎に保持され、フレーム中のど
こに興味のある情報が存在するのか、それら情報のサイ
ズはどれ位であるのかといった情報を与えるものであ
る。なお着目情報テンプレートはフレーム種別不定のも
のについても保持されている。なお図25において#1
〜#4は上述したフレーム種別#1〜#4に対応してい
る。
362に保持されている着目情報テンプレートの一例を
図25に示す。図25に示すように、着目情報テンプレ
ートは、フレームの種別毎に保持され、フレーム中のど
こに興味のある情報が存在するのか、それら情報のサイ
ズはどれ位であるのかといった情報を与えるものであ
る。なお着目情報テンプレートはフレーム種別不定のも
のについても保持されている。なお図25において#1
〜#4は上述したフレーム種別#1〜#4に対応してい
る。
【0120】例えば、フレーム種別#2については「pr
ocedure 番号」と「データサイズ」が、またフレーム種
別#3、#4については共に「データサイズ」がテンプ
レートとして設定されている。なおフレーム種別#1に
ついては、図25には図示されていないが、抽出情報と
して「データリンク層ヘッダ情報」、「procedure 番
号」及び「データサイズ」が設定されている。また「不
定フレーム」というフレーム種別については、アプリケ
ーションが特定されていないので何を抽出すれば良いか
が分らないため、例えば「不定のフレーム全体を抽出す
る」という旨の情報が設定されている。従って、この情
報が参照された場合は、不定のフレームのデータフィー
ルドの中身を含めたデータリンク層情報全体がそのまま
2次フレーム情報として取り扱われる。
ocedure 番号」と「データサイズ」が、またフレーム種
別#3、#4については共に「データサイズ」がテンプ
レートとして設定されている。なおフレーム種別#1に
ついては、図25には図示されていないが、抽出情報と
して「データリンク層ヘッダ情報」、「procedure 番
号」及び「データサイズ」が設定されている。また「不
定フレーム」というフレーム種別については、アプリケ
ーションが特定されていないので何を抽出すれば良いか
が分らないため、例えば「不定のフレーム全体を抽出す
る」という旨の情報が設定されている。従って、この情
報が参照された場合は、不定のフレームのデータフィー
ルドの中身を含めたデータリンク層情報全体がそのまま
2次フレーム情報として取り扱われる。
【0121】なお図25の例では、簡便の為に抽出すべ
き情報として興味ある値の意味(例えばprocedure 番
号、データサイズ)を示したが、実際の情報としては、
フレーム中で参照すべき値がある位置(フレーム先頭か
らのオフセット)、及びその値の長さなどが与えられ
る。
き情報として興味ある値の意味(例えばprocedure 番
号、データサイズ)を示したが、実際の情報としては、
フレーム中で参照すべき値がある位置(フレーム先頭か
らのオフセット)、及びその値の長さなどが与えられ
る。
【0122】2次トラフィック情報蓄積部1370は図
26に示すように2次トラフィック情報保持手段137
1を備えており、着目情報抽出部1360からの2次フ
レーム情報を蓄積する。この蓄積された状態の2次フレ
ーム情報の一例を図27に示す。図27において、27
10で示される部分がフレームの受信時刻情報を示し、
2720で示される部分が興味ある情報すなわち着目情
報テンプレートに従って抽出された情報を示している。
26に示すように2次トラフィック情報保持手段137
1を備えており、着目情報抽出部1360からの2次フ
レーム情報を蓄積する。この蓄積された状態の2次フレ
ーム情報の一例を図27に示す。図27において、27
10で示される部分がフレームの受信時刻情報を示し、
2720で示される部分が興味ある情報すなわち着目情
報テンプレートに従って抽出された情報を示している。
【0123】次に、第2の実施例の全体の処理につい
て、前処理と通常処理とに分けて説明する。
て、前処理と通常処理とに分けて説明する。
【0124】最初に、前処理について図28の前処理動
作を示すフローチャートを参照して説明する。フレーム
収集部1310によってフレーム収集(つまり予備フレ
ームの収集)が行われると(ステップ2810)、フレ
ーム解釈部1320は、この収集されたフレームについ
て、このフレームのデータリンク層情報に従ってフレー
ム解釈を行う(ステップ2820)。この解釈結果はデ
ータリンク層情報に含まれているフレームの受信時刻情
報とともに、1次トラフィック情報として1次トラフィ
ック情報蓄積部1330に蓄積される(ステップ283
0)。次にフレーム収集部1310は予備フレームの収
集が終了したか否かを判断する(ステップ2840)。
ここで、終了していない場合は、上記ステップ2810
に移行する。一方、終了した場合はトラフィック構成情
報抽出部1340によってトラフィック構成情報及びフ
レーム特徴情報の抽出が行われる(ステップ285
0)。これで、前処理が終了したことになる。
作を示すフローチャートを参照して説明する。フレーム
収集部1310によってフレーム収集(つまり予備フレ
ームの収集)が行われると(ステップ2810)、フレ
ーム解釈部1320は、この収集されたフレームについ
て、このフレームのデータリンク層情報に従ってフレー
ム解釈を行う(ステップ2820)。この解釈結果はデ
ータリンク層情報に含まれているフレームの受信時刻情
報とともに、1次トラフィック情報として1次トラフィ
ック情報蓄積部1330に蓄積される(ステップ283
0)。次にフレーム収集部1310は予備フレームの収
集が終了したか否かを判断する(ステップ2840)。
ここで、終了していない場合は、上記ステップ2810
に移行する。一方、終了した場合はトラフィック構成情
報抽出部1340によってトラフィック構成情報及びフ
レーム特徴情報の抽出が行われる(ステップ285
0)。これで、前処理が終了したことになる。
【0125】次に、この前処理結果に基づいて実施され
る通常処理について、図29の通常処理動作を示すフロ
ーチャートを参照して説明する。フレーム収集部131
0によってリアルタイムにフレームの収集が行われると
(ステップ2910)、フレーム判定部1350は、収
集されたフレームについて、このフレームのデータリン
ク層情報と、上記前処理結果(詳しくは、上記ステップ
2805におけるトラフィック構成情報及びフレーム特
徴情報)とに基づいて、フレームの判定(フレームの同
定)を行う(ステップ2920)。次に、フレーム判定
されると、着目情報抽出部1360は、その判定された
フレームから、着目情報テンプレートに基づいた情報の
抽出を行う(ステップ2930)。この抽出結果はフレ
ームの上記データリンク層情報に含まれる受信時刻情報
と共に2次トラフィック情報として2次トラフィック情
報蓄積部1370に蓄積される(ステップ2940)。
続いてリアルタイムによるフレームの収集が終了したか
否かが判断され(ステップ2950)、終了していない
場合には上記ステップ2910に移行し、一方、終了し
た場合は通常処理を終了する。
る通常処理について、図29の通常処理動作を示すフロ
ーチャートを参照して説明する。フレーム収集部131
0によってリアルタイムにフレームの収集が行われると
(ステップ2910)、フレーム判定部1350は、収
集されたフレームについて、このフレームのデータリン
ク層情報と、上記前処理結果(詳しくは、上記ステップ
2805におけるトラフィック構成情報及びフレーム特
徴情報)とに基づいて、フレームの判定(フレームの同
定)を行う(ステップ2920)。次に、フレーム判定
されると、着目情報抽出部1360は、その判定された
フレームから、着目情報テンプレートに基づいた情報の
抽出を行う(ステップ2930)。この抽出結果はフレ
ームの上記データリンク層情報に含まれる受信時刻情報
と共に2次トラフィック情報として2次トラフィック情
報蓄積部1370に蓄積される(ステップ2940)。
続いてリアルタイムによるフレームの収集が終了したか
否かが判断され(ステップ2950)、終了していない
場合には上記ステップ2910に移行し、一方、終了し
た場合は通常処理を終了する。
【0126】なおここで、請求項1の発明の構成要件と
第2の実施例の図13に示した構成要素との対応関係に
ついて説明する。受信手段はフレーム収集部1310に
対応し、演算手段はトラフィック構成情報抽出部134
0のトラフィック構成解析手段1341に対応し、記憶
手段はトラフィック構成情報及びフレーム特徴情報蓄積
手段1342に対応し、解析手段は着目情報抽出部13
60に対応している。次に請求項2の発明の構成要件
と、第2の実施例の図13に示した構成要素との対応関
係について説明する。受信手段はフレーム収集部131
0に対応し、演算手段及び作成手段はトラフィック構成
解析手段1341に対応し、記憶手段はトラフィック構
成情報及びフレーム特徴情報蓄積手段1342に対応
し、特定手段はフレーム判定部1350に対応し、抽出
手段は着目情報抽出部1360に対応している。
第2の実施例の図13に示した構成要素との対応関係に
ついて説明する。受信手段はフレーム収集部1310に
対応し、演算手段はトラフィック構成情報抽出部134
0のトラフィック構成解析手段1341に対応し、記憶
手段はトラフィック構成情報及びフレーム特徴情報蓄積
手段1342に対応し、解析手段は着目情報抽出部13
60に対応している。次に請求項2の発明の構成要件
と、第2の実施例の図13に示した構成要素との対応関
係について説明する。受信手段はフレーム収集部131
0に対応し、演算手段及び作成手段はトラフィック構成
解析手段1341に対応し、記憶手段はトラフィック構
成情報及びフレーム特徴情報蓄積手段1342に対応
し、特定手段はフレーム判定部1350に対応し、抽出
手段は着目情報抽出部1360に対応している。
【0127】以上説明したように、第2の実施例によれ
ば、上述した第1の実施例の作用効果に加えて、前処理
の段階におけるフレーム収集時に、受信したフレームを
逐次解析し、この解析結果を蓄積するようにしているの
で、長時間に渡る予備フレームの収集が可能となる。こ
のことは、前処理によって得られる情報の精度が向上す
るので、アプリケーションの特定する精度も向上する。
ば、上述した第1の実施例の作用効果に加えて、前処理
の段階におけるフレーム収集時に、受信したフレームを
逐次解析し、この解析結果を蓄積するようにしているの
で、長時間に渡る予備フレームの収集が可能となる。こ
のことは、前処理によって得られる情報の精度が向上す
るので、アプリケーションの特定する精度も向上する。
【0128】またリアルタイムに受信したフレーム内の
全てのプロトコル情報を展開することなく、前処理とし
て得られた上位層プロトコルすなわちアプリケーション
の特徴情報を参照することにより、当該フレームに使用
されているアプリケーションの種類を特定することがで
きる。さらにリアルタイムに受信したフレーム内の全て
のプロトコル情報を展開することなく、予め設定された
アプリケーション毎の抽出すべき情報のフレームデータ
上の位置を示す位置情報に基づいて、当該リアルタイム
に受信されたフレーム内の上位層パケットから、必要十
分な着目する情報を抽出することができる。
全てのプロトコル情報を展開することなく、前処理とし
て得られた上位層プロトコルすなわちアプリケーション
の特徴情報を参照することにより、当該フレームに使用
されているアプリケーションの種類を特定することがで
きる。さらにリアルタイムに受信したフレーム内の全て
のプロトコル情報を展開することなく、予め設定された
アプリケーション毎の抽出すべき情報のフレームデータ
上の位置を示す位置情報に基づいて、当該リアルタイム
に受信されたフレーム内の上位層パケットから、必要十
分な着目する情報を抽出することができる。
【0129】次に、第3の実施例について図30乃至図
32を参照して説明する。
32を参照して説明する。
【0130】図30は本発明に係るトラフィック収集解
析装置の第3の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図13に示した第2の実施
例の機能ブロック図の構成において、0次トラフィック
情報蓄積部3000を追加した構成になっている。なお
図30において、図13に示した構成要素と同様の機能
を果たす部分には同一の符号を付している。
析装置の第3の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図13に示した第2の実施
例の機能ブロック図の構成において、0次トラフィック
情報蓄積部3000を追加した構成になっている。なお
図30において、図13に示した構成要素と同様の機能
を果たす部分には同一の符号を付している。
【0131】0次トラフィック情報蓄積部3000は、
図31に示すように、0次トラフィック情報蓄積手段3
010を備えており、ここに、フレーム収集部1310
から渡されたデータリンク層情報(フレーム受信時刻情
報を含む)を蓄積する。この蓄積されたデータリンク層
情報はフレーム解釈部1320によって読み出され第2
の実施例と同様の処理が行われる。
図31に示すように、0次トラフィック情報蓄積手段3
010を備えており、ここに、フレーム収集部1310
から渡されたデータリンク層情報(フレーム受信時刻情
報を含む)を蓄積する。この蓄積されたデータリンク層
情報はフレーム解釈部1320によって読み出され第2
の実施例と同様の処理が行われる。
【0132】次に、第3の実施例の全体の処理における
前処理について、図32の前処理動作を示すフローチャ
ートを参照して説明する。
前処理について、図32の前処理動作を示すフローチャ
ートを参照して説明する。
【0133】フレーム収集部1310によってフレーム
収集(つまり予備フレームの収集)が行われると(ステ
ップ3210)、0次トラフィック情報蓄積部3000
は、そのフレームのデータリンク層情報を蓄積する(ス
テップ3220)。その後、フレーム収集部1310は
予備フレームの収集が終了したか否かを判断する(ステ
ップ3230)。ここで、終了していない場合は上記ス
テップ3210に移行する。一方、終了した場合は、フ
レーム解釈部1320は0次トラフィック情報蓄積部3
000に蓄積されているデータリンク層情報を1フレー
ム毎に順次読み出して、フレーム解釈を行う(ステップ
3240)。この解釈された1フレーム分の1次フレー
ム情報は1次トラフィック情報蓄積部1330に蓄積さ
れる(ステップ3250)。次に、フレーム解釈部13
20は、0次トラフィック情報蓄積部3000に蓄積さ
れている全てのフレームについてのフレーム解釈及び蓄
積処理が終了したか否かを判断する(ステップ326
0)。ここで、終了していない場合は上記ステップ32
40に移行する。一方、終了した場合は第2の実施例と
同様にトラフィック構成情報抽出手段1340によって
トラフィック構成情報及びフレーム特徴情報の抽出が行
われる(ステップ3270)。
収集(つまり予備フレームの収集)が行われると(ステ
ップ3210)、0次トラフィック情報蓄積部3000
は、そのフレームのデータリンク層情報を蓄積する(ス
テップ3220)。その後、フレーム収集部1310は
予備フレームの収集が終了したか否かを判断する(ステ
ップ3230)。ここで、終了していない場合は上記ス
テップ3210に移行する。一方、終了した場合は、フ
レーム解釈部1320は0次トラフィック情報蓄積部3
000に蓄積されているデータリンク層情報を1フレー
ム毎に順次読み出して、フレーム解釈を行う(ステップ
3240)。この解釈された1フレーム分の1次フレー
ム情報は1次トラフィック情報蓄積部1330に蓄積さ
れる(ステップ3250)。次に、フレーム解釈部13
20は、0次トラフィック情報蓄積部3000に蓄積さ
れている全てのフレームについてのフレーム解釈及び蓄
積処理が終了したか否かを判断する(ステップ326
0)。ここで、終了していない場合は上記ステップ32
40に移行する。一方、終了した場合は第2の実施例と
同様にトラフィック構成情報抽出手段1340によって
トラフィック構成情報及びフレーム特徴情報の抽出が行
われる(ステップ3270)。
【0134】このようにして前処理が終了すると、第2
の実施例の図29に示される処理手順と同様の通常処理
が行われる。これで、トラフィックの収集解析処理が終
了する。
の実施例の図29に示される処理手順と同様の通常処理
が行われる。これで、トラフィックの収集解析処理が終
了する。
【0135】なお請求項1及び2の発明の構成要件と、
図30に示した第3の実施例の機能ブロック図の構成要
件との対応関係も、上述した第2の実施例における対応
関係と同様である。
図30に示した第3の実施例の機能ブロック図の構成要
件との対応関係も、上述した第2の実施例における対応
関係と同様である。
【0136】以上説明したように、第3の実施例によれ
ば、前処理の段階におけるフレーム収集時に、上記第2
の実施例の如く受信したフレームを逐次解析するのでは
なく、一旦、受信したフレームについての全ての情報を
蓄積した後、一括して解析を行うようにしているので、
フレームの受信漏れが発生することが無く、第2の実施
例に比較して短時間にわたる詳細なトラフィック構成情
報を形成することができる。
ば、前処理の段階におけるフレーム収集時に、上記第2
の実施例の如く受信したフレームを逐次解析するのでは
なく、一旦、受信したフレームについての全ての情報を
蓄積した後、一括して解析を行うようにしているので、
フレームの受信漏れが発生することが無く、第2の実施
例に比較して短時間にわたる詳細なトラフィック構成情
報を形成することができる。
【0137】次に第4の実施例について図33乃至図4
1を参照して説明する。
1を参照して説明する。
【0138】図33は本発明に係るトラフィック収集解
析装置の第4の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図30に示した第3の実施
例の機能ブロック図の構成において、負荷トレンド情報
更新部3310、低負荷時処理スケジューリング部33
20、2次トラフィック情報再処理部3330、トラフ
ィック構成情報更新部3340を追加した構成になって
いる。なお図33において、図30に示した構成要素と
同様の機能を果たす部分には同一の符号を付している。
析装置の第4の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図30に示した第3の実施
例の機能ブロック図の構成において、負荷トレンド情報
更新部3310、低負荷時処理スケジューリング部33
20、2次トラフィック情報再処理部3330、トラフ
ィック構成情報更新部3340を追加した構成になって
いる。なお図33において、図30に示した構成要素と
同様の機能を果たす部分には同一の符号を付している。
【0139】負荷トレンド情報更新部3310は、図3
4に示すように、負荷トレンド情報更新手段3311、
負荷トレンド情報保持手段3312を備えている。負荷
トレンド情報更新手段3311は、フレーム収集部13
10から逐次与えられるデータリンク層情報を基に、負
荷トレンド情報保持手段3112中の負荷トレンド情報
を逐次更新する。これは、ネットワーク上を送受信され
るフレーム数の1日の変動(負荷トレンド)情報が更新
されることを意味している。また低負荷時処理時スケジ
ューリング部3320からの問合わせに対して、現在の
負荷トレンド情報を返す。
4に示すように、負荷トレンド情報更新手段3311、
負荷トレンド情報保持手段3312を備えている。負荷
トレンド情報更新手段3311は、フレーム収集部13
10から逐次与えられるデータリンク層情報を基に、負
荷トレンド情報保持手段3112中の負荷トレンド情報
を逐次更新する。これは、ネットワーク上を送受信され
るフレーム数の1日の変動(負荷トレンド)情報が更新
されることを意味している。また低負荷時処理時スケジ
ューリング部3320からの問合わせに対して、現在の
負荷トレンド情報を返す。
【0140】低負荷時処理スケジューリング部3320
は、図35に示すように、再処理時間スケジューリング
手段3321を備えており、この再処理時間スケジュー
リング手段3321は、トラフィックの収集処理以外の
処理を、負荷トレンド情報に基づき、送受信フレーム数
が比較的少ない時間帯にスケジューリングし、そのスケ
ジュールに従って2次トラフィック情報再処理部333
0を起動し、次にトラフィック構成情報更新部3340
を起動する。また負荷トレンド情報更新部3310に現
在の負荷トレンドを問合わせ、その結果に従った処理ス
ケジュールの更新を行う。
は、図35に示すように、再処理時間スケジューリング
手段3321を備えており、この再処理時間スケジュー
リング手段3321は、トラフィックの収集処理以外の
処理を、負荷トレンド情報に基づき、送受信フレーム数
が比較的少ない時間帯にスケジューリングし、そのスケ
ジュールに従って2次トラフィック情報再処理部333
0を起動し、次にトラフィック構成情報更新部3340
を起動する。また負荷トレンド情報更新部3310に現
在の負荷トレンドを問合わせ、その結果に従った処理ス
ケジュールの更新を行う。
【0141】2次トラフィック情報再処理部3330
は、図36に示すように、2次フレーム情報読み出し手
段3331、フレーム解釈部呼び出し手段3332、1
次トラフィック情報蓄積手段3333、フレーム特徴情
報追加手段3334、着目情報抽出部呼び出し手段33
35、2次フレーム情報書換え手段3336を備えてい
る。
は、図36に示すように、2次フレーム情報読み出し手
段3331、フレーム解釈部呼び出し手段3332、1
次トラフィック情報蓄積手段3333、フレーム特徴情
報追加手段3334、着目情報抽出部呼び出し手段33
35、2次フレーム情報書換え手段3336を備えてい
る。
【0142】係る構成において2次トラフィック情報再
処理部3330は、送受信フレーム数が比較的少ない時
間帯に、低負荷時処理スケジューリング部3320によ
り起動されると、2次トラフィック情報の再処理と、フ
レーム特徴情報の追加・更新を行う。ここで、再処理さ
れる2次トラフィック情報は、2次トラフィック情報蓄
積部1370にて蓄積されている2次フレーム情報の中
で、フレーム判別時にその種別が同定できなかったもの
で、2次フレーム情報としてデータリンク層情報の全て
を記録されていたものである。
処理部3330は、送受信フレーム数が比較的少ない時
間帯に、低負荷時処理スケジューリング部3320によ
り起動されると、2次トラフィック情報の再処理と、フ
レーム特徴情報の追加・更新を行う。ここで、再処理さ
れる2次トラフィック情報は、2次トラフィック情報蓄
積部1370にて蓄積されている2次フレーム情報の中
で、フレーム判別時にその種別が同定できなかったもの
で、2次フレーム情報としてデータリンク層情報の全て
を記録されていたものである。
【0143】2次トラフィック情報再処理部3330で
は、2次フレーム情報読み出し手段3331によって、
2次トラフィック情報蓄積部1370から、再処理され
る2次トラフィック情報(つまりフレーム種別が同定さ
れていなかったフレーム(不定フレーム)の2次トラフ
ィック情報)を読み出して、その不定のフレームについ
てのデータリンク層情報を、フレーム解釈部呼び出し手
段3332に渡す。
は、2次フレーム情報読み出し手段3331によって、
2次トラフィック情報蓄積部1370から、再処理され
る2次トラフィック情報(つまりフレーム種別が同定さ
れていなかったフレーム(不定フレーム)の2次トラフ
ィック情報)を読み出して、その不定のフレームについ
てのデータリンク層情報を、フレーム解釈部呼び出し手
段3332に渡す。
【0144】フレーム解釈部呼び出し手段3332で
は、フレーム解釈部1320を呼び出して、不定のデー
タリンク層情報を渡して処理を依頼する共に、この依頼
に応答したフレーム解釈部1320からの1次フレーム
情報を得る。この1次フレーム情報は1次トラフィック
情報蓄積手段3333に蓄積される。ここには、全ての
不定フレームに対しての1次フレーム情報が蓄積される
ことになる。
は、フレーム解釈部1320を呼び出して、不定のデー
タリンク層情報を渡して処理を依頼する共に、この依頼
に応答したフレーム解釈部1320からの1次フレーム
情報を得る。この1次フレーム情報は1次トラフィック
情報蓄積手段3333に蓄積される。ここには、全ての
不定フレームに対しての1次フレーム情報が蓄積される
ことになる。
【0145】この様にして全ての不定フレームに対して
の1次フレーム情報が得られると、フレーム特徴情報追
加更新手段3334は以下の処理を行う。、 (1)まず、データリンク層情報の宛先アドレス及び発
信元アドレス毎に1次フレーム情報が分類される。
の1次フレーム情報が得られると、フレーム特徴情報追
加更新手段3334は以下の処理を行う。、 (1)まず、データリンク層情報の宛先アドレス及び発
信元アドレス毎に1次フレーム情報が分類される。
【0146】(2)上記(1)により分類された各フレ
ームがどのアプリケーションによって生成されたもので
あるかによって、更にグループ分けする。
ームがどのアプリケーションによって生成されたもので
あるかによって、更にグループ分けする。
【0147】(3)上記(2)により求められた各グル
ープ毎に、更にフレームの特徴が一致するもの毎に(例
えばコマンドパケットフレームとデータパケットフレー
ムといった具合)サブグループ分けを行う。このとき、
各フレームには、そのフレームがどのサブグループに属
すかの情報(フレーム種別)が与えられる。
ープ毎に、更にフレームの特徴が一致するもの毎に(例
えばコマンドパケットフレームとデータパケットフレー
ムといった具合)サブグループ分けを行う。このとき、
各フレームには、そのフレームがどのサブグループに属
すかの情報(フレーム種別)が与えられる。
【0148】(4)各サブグループ毎に、そこに含まれ
るフレーム間で共通する特徴情報を抽出する。
るフレーム間で共通する特徴情報を抽出する。
【0149】(5)上記(4)の処理が終了したら、抽
出した特徴情報をトラフィック構成情報抽出部1340
に渡して処理を依頼する。
出した特徴情報をトラフィック構成情報抽出部1340
に渡して処理を依頼する。
【0150】この依頼を受けたトラフィック構成情報抽
出部1340では、トラフィック構成解析手段1341
が、受け取った特徴情報に基づいて、蓄積手段1342
に蓄積されているトラフィック構成情報及びフレーム特
徴情報に対する追加及び更新の処理を実施する。
出部1340では、トラフィック構成解析手段1341
が、受け取った特徴情報に基づいて、蓄積手段1342
に蓄積されているトラフィック構成情報及びフレーム特
徴情報に対する追加及び更新の処理を実施する。
【0151】上述したように全ての不定フレームに対し
ての1次フレーム情報が蓄積されると、着目情報抽出部
呼び出し手段3335には、1次トラフィック情報蓄積
手段3333からフレーム種別及びデータリンク層情報
が渡されるので、着目情報抽出部3335は、着目情報
抽出部1360を呼び出して上記受け取った各情報を渡
して処理を依頼すると共に、この依頼に応答した着目情
報抽出部1360からの2次フレーム情報を得る。この
2次フレーム情報は、2次フレーム情報書換え手段33
36に渡される。2次フレーム情報書換え手段3336
では、その2次フレーム情報を、2次トラフィック情報
蓄積部1370中の元々の2次フレーム情報と置き換え
る。この場合、古い(サイズの大きい)2次フレーム情
報は破棄される。
ての1次フレーム情報が蓄積されると、着目情報抽出部
呼び出し手段3335には、1次トラフィック情報蓄積
手段3333からフレーム種別及びデータリンク層情報
が渡されるので、着目情報抽出部3335は、着目情報
抽出部1360を呼び出して上記受け取った各情報を渡
して処理を依頼すると共に、この依頼に応答した着目情
報抽出部1360からの2次フレーム情報を得る。この
2次フレーム情報は、2次フレーム情報書換え手段33
36に渡される。2次フレーム情報書換え手段3336
では、その2次フレーム情報を、2次トラフィック情報
蓄積部1370中の元々の2次フレーム情報と置き換え
る。この場合、古い(サイズの大きい)2次フレーム情
報は破棄される。
【0152】トラフィック構成情報更新部3340は、
図37に示すように、2次トラフィック情報読み出し手
段3341、トラフィック情報更新手段3342を備え
ており、送受信フレーム数が比較的少ない時間帯に、低
負荷時処理スケジューリング部3320により起動さ
れ、トラフィック構成情報の更新を行う。すなわち低負
荷時処理スケジューリング部3320により起動される
と、2次トラフィック情報読み出し手段3341は、2
次トラフィック情報蓄積部1370から2次トラフィッ
ク情報を読み出して、トラフィック情報更新部3342
に渡す。そしてトラフィック情報更新部3342では、
トラフィック構成情報の更新を行う。
図37に示すように、2次トラフィック情報読み出し手
段3341、トラフィック情報更新手段3342を備え
ており、送受信フレーム数が比較的少ない時間帯に、低
負荷時処理スケジューリング部3320により起動さ
れ、トラフィック構成情報の更新を行う。すなわち低負
荷時処理スケジューリング部3320により起動される
と、2次トラフィック情報読み出し手段3341は、2
次トラフィック情報蓄積部1370から2次トラフィッ
ク情報を読み出して、トラフィック情報更新部3342
に渡す。そしてトラフィック情報更新部3342では、
トラフィック構成情報の更新を行う。
【0153】次に、トラフィック情報更新部3342に
よるトラフィック構成情報の更新処理について、図38
を参照して説明する。なお図38はその更新処理を説明
するための説明図を示している。
よるトラフィック構成情報の更新処理について、図38
を参照して説明する。なお図38はその更新処理を説明
するための説明図を示している。
【0154】トラフィック情報更新部3342は、2次
トラフィック情報読み出し手段3341から渡されたデ
ータリンク層情報に基づいて(3800)、そのフレー
ムの宛先アドレス及び発信元アドレス毎にフレーム情報
を分類する(3810、3820)。この3810の処
理により宛先アドレス別のフレーム情報がリストされ
(3811)、一方、上記3821の処理により発信元
アドレス毎のフレーム情報がリストされる(382
1)。この発信元アドレス別のフレーム情報のリスト
は、さらに宛先アドレス毎に分類される(3830)。
この3830の処理により発信元アドレス及び宛先アド
レス別のフレーム情報がリストされる(S3831)。
トラフィック情報読み出し手段3341から渡されたデ
ータリンク層情報に基づいて(3800)、そのフレー
ムの宛先アドレス及び発信元アドレス毎にフレーム情報
を分類する(3810、3820)。この3810の処
理により宛先アドレス別のフレーム情報がリストされ
(3811)、一方、上記3821の処理により発信元
アドレス毎のフレーム情報がリストされる(382
1)。この発信元アドレス別のフレーム情報のリスト
は、さらに宛先アドレス毎に分類される(3830)。
この3830の処理により発信元アドレス及び宛先アド
レス別のフレーム情報がリストされる(S3831)。
【0155】上記3800における2次トラフィック情
報のフレーム、上記3811、3821及び3831の
アドレス毎に分類された各リスト中のフレームを、フレ
ーム種別毎に分類すると共に(3840)、該各フレー
ム種別毎に、そこに含まれるフレームの数を求める(3
850)。
報のフレーム、上記3811、3821及び3831の
アドレス毎に分類された各リスト中のフレームを、フレ
ーム種別毎に分類すると共に(3840)、該各フレー
ム種別毎に、そこに含まれるフレームの数を求める(3
850)。
【0156】次に、トラフィック情報更新部3342
は、トラフィック構成情報抽出部1340からトラフィ
ック構成情報を読み出す(3860)。この読み出され
たトラフィック構成情報には、上述したように、全体的
なトラフィック構成情報(3861)、宛先アドレス別
のトラフィック構成情報(3862)、発信元アドレス
別のトラフィック構成情報(3863)、発信元及び宛
先アドレス別のトラフィック構成情報(3864)が含
まれている。
は、トラフィック構成情報抽出部1340からトラフィ
ック構成情報を読み出す(3860)。この読み出され
たトラフィック構成情報には、上述したように、全体的
なトラフィック構成情報(3861)、宛先アドレス別
のトラフィック構成情報(3862)、発信元アドレス
別のトラフィック構成情報(3863)、発信元及び宛
先アドレス別のトラフィック構成情報(3864)が含
まれている。
【0157】次に、2次トラフィック情報から得られた
各フレーム種別毎のフレーム数に基づき、各アドレスに
よる分類毎のトラフィック構成情報に対して、フレーム
種別毎のフレーム占有率の追加・更新を行う(387
0)。この結果、最新のフレーム占有率となっているト
ラフィック構成情報が得られることになり、この情報
は、上記同様に、最新のフレーム占有率が考慮された全
体的なトラフィック構成情報(3871)、宛先アドレ
ス別のトラフィック構成情報(3872)、発信元アド
レス別のトラフィック構成情報(3873)、発信元及
び宛先アドレス別のトラフィック構成情報(3874)
になっている。これらのトラフィック構成情報はトラフ
ィック構成情報抽出部1340に渡される。
各フレーム種別毎のフレーム数に基づき、各アドレスに
よる分類毎のトラフィック構成情報に対して、フレーム
種別毎のフレーム占有率の追加・更新を行う(387
0)。この結果、最新のフレーム占有率となっているト
ラフィック構成情報が得られることになり、この情報
は、上記同様に、最新のフレーム占有率が考慮された全
体的なトラフィック構成情報(3871)、宛先アドレ
ス別のトラフィック構成情報(3872)、発信元アド
レス別のトラフィック構成情報(3873)、発信元及
び宛先アドレス別のトラフィック構成情報(3874)
になっている。これらのトラフィック構成情報はトラフ
ィック構成情報抽出部1340に渡される。
【0158】そして、トラフィック構成情報抽出部13
40では、トラフィック構成解析手段1341が、各ア
ドレスによる分類毎に、各サブグループのフレーム占有
率に従って、蓄積手段1342トラフィック構成情報中
のサプグループに対する順序付けを追加・更新する(3
880)。
40では、トラフィック構成解析手段1341が、各ア
ドレスによる分類毎に、各サブグループのフレーム占有
率に従って、蓄積手段1342トラフィック構成情報中
のサプグループに対する順序付けを追加・更新する(3
880)。
【0159】次に第4の実施例のトラフィックの収集解
析処理について説明する。
析処理について説明する。
【0160】最初に、前処理について、図39の前処理
動作を示すフローチャートを参照して説明する。
動作を示すフローチャートを参照して説明する。
【0161】図32に示したフローチャートのステップ
3210〜3230と同様の処理が行われると(ステッ
プ3910〜3930)、負荷トレンド情報更新部33
10は、負荷トレンド情報の作成及び更新を行い(ステ
ップ3940)、この結果をフレーム解釈部3310に
渡す。これ以降の処理は、図32のフローチャートのス
テップ3240〜3270と同様の処理が行われる(ス
テップ3950〜3970)。
3210〜3230と同様の処理が行われると(ステッ
プ3910〜3930)、負荷トレンド情報更新部33
10は、負荷トレンド情報の作成及び更新を行い(ステ
ップ3940)、この結果をフレーム解釈部3310に
渡す。これ以降の処理は、図32のフローチャートのス
テップ3240〜3270と同様の処理が行われる(ス
テップ3950〜3970)。
【0162】次に、通常処理について、図40の通常処
理動作を示すフローチャートを参照して説明する。
理動作を示すフローチャートを参照して説明する。
【0163】低負荷時処理スケジューリング部3320
を初期化し(ステップ4010)、その後、フレーム収
集部1310によってフレームの収集が行われると(ス
テップ4020)、負荷トレンド情報更新部3310で
は、負荷トレンド情報更新手段3311が、その収集さ
れたフレームのデータリンク層情報に基づいて、負荷ト
レンド情報保持手段3312内の負荷トレンド情報を更
新する(ステップ4030)。これ以降の処理は、図2
9のフローチャートのステップ2920〜2950と同
様の処理が行われる(ステップ4040〜4070)。
を初期化し(ステップ4010)、その後、フレーム収
集部1310によってフレームの収集が行われると(ス
テップ4020)、負荷トレンド情報更新部3310で
は、負荷トレンド情報更新手段3311が、その収集さ
れたフレームのデータリンク層情報に基づいて、負荷ト
レンド情報保持手段3312内の負荷トレンド情報を更
新する(ステップ4030)。これ以降の処理は、図2
9のフローチャートのステップ2920〜2950と同
様の処理が行われる(ステップ4040〜4070)。
【0164】続いて、低負荷時の処理について、図41
の低負荷時処理動作を示すフローチャートを参照して説
明する。
の低負荷時処理動作を示すフローチャートを参照して説
明する。
【0165】低負荷時処理スケジューリング部3320
が、送受信フレーム数が比較的少ない時間帯に、2次ト
ラフィック情報再処理部3330を起動すると、2次ト
ラフィック情報再処理部3330は、上述した(1)〜
(5)の処理を実行することにより2次トラフィック情
報の再処理を行う(ステップ4110)。また低負荷時
処理スケジューリング部3320が、送受信フレーム数
が比較的少ない時間帯に、トラフィック構成情報更新部
3340を起動すると、トラフィック構成情報更新部3
340は、上記図38の説明図を用いて説明したような
処理を行うことにより、フレーム特徴情報及びトラフィ
ック構成情報を更新する(ステップ4120、ステップ
4130)。その後、低負荷時処理スケジュール部33
20は、負荷トレンド情報に基づいて、低負荷時処理ス
ケージュールすなわち2次トラフィック情報再処理部3
330及びトラフィック構成情報更新部3340を起動
するタイミング情報を更新する(ステップ4140)。
が、送受信フレーム数が比較的少ない時間帯に、2次ト
ラフィック情報再処理部3330を起動すると、2次ト
ラフィック情報再処理部3330は、上述した(1)〜
(5)の処理を実行することにより2次トラフィック情
報の再処理を行う(ステップ4110)。また低負荷時
処理スケジューリング部3320が、送受信フレーム数
が比較的少ない時間帯に、トラフィック構成情報更新部
3340を起動すると、トラフィック構成情報更新部3
340は、上記図38の説明図を用いて説明したような
処理を行うことにより、フレーム特徴情報及びトラフィ
ック構成情報を更新する(ステップ4120、ステップ
4130)。その後、低負荷時処理スケジュール部33
20は、負荷トレンド情報に基づいて、低負荷時処理ス
ケージュールすなわち2次トラフィック情報再処理部3
330及びトラフィック構成情報更新部3340を起動
するタイミング情報を更新する(ステップ4140)。
【0166】なお請求項1及び2の発明の構成要件と、
図33に示した第4の実施例の機能ブロック図の構成要
件との対応関係も、上述した第2の実施例における対応
関係と同様である。
図33に示した第4の実施例の機能ブロック図の構成要
件との対応関係も、上述した第2の実施例における対応
関係と同様である。
【0167】以上説明したように、第4の実施例によれ
ば、通常処理における解析に失敗したフレームに対して
は、そのフレーム中の情報を全て記録し、適当な時に改
めて詳細な解析を行うようにし、しかも、その再処理の
対象となるフレーム中から注目する情報のみを抽出し蓄
積するようにしているので、大量のトラフィックを収集
した場合であっても、データ量を抑制することができ、
更に長時間のトラフィック収集を継続できる。
ば、通常処理における解析に失敗したフレームに対して
は、そのフレーム中の情報を全て記録し、適当な時に改
めて詳細な解析を行うようにし、しかも、その再処理の
対象となるフレーム中から注目する情報のみを抽出し蓄
積するようにしているので、大量のトラフィックを収集
した場合であっても、データ量を抑制することができ、
更に長時間のトラフィック収集を継続できる。
【0168】また、通常処理において収集されたトラフ
ィック情報から、適当な時に改めて、フレーム種別を判
定するための情報を更新するようにしているので、ネッ
トワーク上のワークステーション構成や、アプリケーシ
ョン構成が前処理の時点から変化したとしても、その変
化に追従して、フレーム種別を判定することが可能とな
る。
ィック情報から、適当な時に改めて、フレーム種別を判
定するための情報を更新するようにしているので、ネッ
トワーク上のワークステーション構成や、アプリケーシ
ョン構成が前処理の時点から変化したとしても、その変
化に追従して、フレーム種別を判定することが可能とな
る。
【0169】更に、上記解析に失敗したフレームの解析
処理とフレーム種別の判定処理の2つの処理のタイミン
グとしてトラフィック収集処理の負荷が軽い時間帯を求
めることにより、プロセスのスイッチング等による性能
の低下を回避することができる。
処理とフレーム種別の判定処理の2つの処理のタイミン
グとしてトラフィック収集処理の負荷が軽い時間帯を求
めることにより、プロセスのスイッチング等による性能
の低下を回避することができる。
【0170】次に、第5の実施例について、図42乃至
図47を参照して説明する。
図47を参照して説明する。
【0171】図42は本発明に係るトラフィック収集解
析装置の第5の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図13に示した第2の実施
例の機能ブロック図の構成において、トラフィック状態
管理部4210を追加し、またフレーム判定部1350
をフレーム判定部4220に変更した構成になってい
る。
析装置の第5の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図13に示した第2の実施
例の機能ブロック図の構成において、トラフィック状態
管理部4210を追加し、またフレーム判定部1350
をフレーム判定部4220に変更した構成になってい
る。
【0172】トラフィック状態管理部4210は、図4
3に示すように、トラフィック状態管理手段4211、
トラフィック状態蓄積手段4212を備えており、ある
ワークステーション間のトラフィックが、活発であるか
不活発であるかといった状態値を知るために、前回どの
ようなフレームがやり取りされたのかという情報(前フ
レーム種別及び前フレーム特徴情報)や、前回のフレー
ムが受信された時刻(前フレーム受信時刻)等を保持す
る。ここで、トラフィック状態管理部4200が管理す
る各ワークステーション間の前フレーム種別、前フレー
ム特徴情報及び前フレーム受信時刻を「トラフィック状
態」と呼ぶ。
3に示すように、トラフィック状態管理手段4211、
トラフィック状態蓄積手段4212を備えており、ある
ワークステーション間のトラフィックが、活発であるか
不活発であるかといった状態値を知るために、前回どの
ようなフレームがやり取りされたのかという情報(前フ
レーム種別及び前フレーム特徴情報)や、前回のフレー
ムが受信された時刻(前フレーム受信時刻)等を保持す
る。ここで、トラフィック状態管理部4200が管理す
る各ワークステーション間の前フレーム種別、前フレー
ム特徴情報及び前フレーム受信時刻を「トラフィック状
態」と呼ぶ。
【0173】そこで次に、トラフィック状態の管理につ
いて、図44を参照して説明する。なお図44はトラィ
ック状態の管理処理を説明するための説明図である。
いて、図44を参照して説明する。なお図44はトラィ
ック状態の管理処理を説明するための説明図である。
【0174】トラフィック状態管理手段4210は、フ
レーム収集部1310から、収集されたフレームのデー
タリンク層宛先アドレス及び発信元アドレスを受取り、
これらの情報に対応するトラフィック状態が保持されて
いるか否かを判断し(4401)、保持されている場合
は、現時刻と前フレーム受信時刻から以前の情報が有効
であるか否かをチェックし(4402)、この結果に基
づいて、トラフィック状態が有効であるか否かを判断す
る(4403)。
レーム収集部1310から、収集されたフレームのデー
タリンク層宛先アドレス及び発信元アドレスを受取り、
これらの情報に対応するトラフィック状態が保持されて
いるか否かを判断し(4401)、保持されている場合
は、現時刻と前フレーム受信時刻から以前の情報が有効
であるか否かをチェックし(4402)、この結果に基
づいて、トラフィック状態が有効であるか否かを判断す
る(4403)。
【0175】上記4403の処理において、以前のトラ
フィック状態の情報が有効の場合は、活発な状態を表す
状態値を出力し(4404)、また前フレーム種別及び
前フレーム特徴情報を出力し(4405、4406)、
現在のフレームの受信時刻を前フレーム受信時刻として
設定する(4407)。そして、後に、後述するフレー
ム判定部4220からの判定結果であるフレーム種別及
びフレーム特徴情報を与えられた場合は、当該各情報を
前フレーム種別及び前フレーム特徴情報として記録する
(4408、4409)。
フィック状態の情報が有効の場合は、活発な状態を表す
状態値を出力し(4404)、また前フレーム種別及び
前フレーム特徴情報を出力し(4405、4406)、
現在のフレームの受信時刻を前フレーム受信時刻として
設定する(4407)。そして、後に、後述するフレー
ム判定部4220からの判定結果であるフレーム種別及
びフレーム特徴情報を与えられた場合は、当該各情報を
前フレーム種別及び前フレーム特徴情報として記録する
(4408、4409)。
【0176】上記4403の処理において、以前のトラ
フィック状態の情報が無効の場合は、不活発な状態を表
す状態値を出力し(4410)、その後、上記4407
の処理に移行する。
フィック状態の情報が無効の場合は、不活発な状態を表
す状態値を出力し(4410)、その後、上記4407
の処理に移行する。
【0177】上記4401の処理において、収集された
フレームのデータリンク層宛先アドレスと発信元アドレ
スの両者に対応するトラフィック状態が保持されていな
い場合は、そのトラフィック状態(前フレーム種別、前
フレーム受信時刻)を生成し(4411)、その後、上
記4410の処理に移行する。
フレームのデータリンク層宛先アドレスと発信元アドレ
スの両者に対応するトラフィック状態が保持されていな
い場合は、そのトラフィック状態(前フレーム種別、前
フレーム受信時刻)を生成し(4411)、その後、上
記4410の処理に移行する。
【0178】フレーム判定部4220は、図45に示す
ように、フレーム判定手段4221を備えており、収集
されたフレームについてのデータリンク層情報、トラフ
ィック構成情報、フレーム特徴情報及びトラフィック状
態管理部4210から与えられるトラフィック状態情報
から、そのフレームの種別(どのアプリケーション分類
中のどのサブグループに属するフレームであるか)を判
定するものである。
ように、フレーム判定手段4221を備えており、収集
されたフレームについてのデータリンク層情報、トラフ
ィック構成情報、フレーム特徴情報及びトラフィック状
態管理部4210から与えられるトラフィック状態情報
から、そのフレームの種別(どのアプリケーション分類
中のどのサブグループに属するフレームであるか)を判
定するものである。
【0179】次に、フレーム判定部4220によるフレ
ーム種別の判定について、図46を参照して説明する。
なお図46はそのフレーム種別の判定処理を説明するた
めの説明図である。
ーム種別の判定について、図46を参照して説明する。
なお図46はそのフレーム種別の判定処理を説明するた
めの説明図である。
【0180】フレーム判定部4220では、トラフィッ
ク状態管理部4210からのトラフィック状態情報を受
取り、このトラフィック状態が活発すなわち状態値=活
発であるか否かを判断し(4602)、前フレーム種別
の特徴が新たに収集されたフレームのデータリンク層情
報中の値と一致するか否かを検査し(4603)、フレ
ーム種別が同定されたか否かを判断する(4604)。
ク状態管理部4210からのトラフィック状態情報を受
取り、このトラフィック状態が活発すなわち状態値=活
発であるか否かを判断し(4602)、前フレーム種別
の特徴が新たに収集されたフレームのデータリンク層情
報中の値と一致するか否かを検査し(4603)、フレ
ーム種別が同定されたか否かを判断する(4604)。
【0181】上記4604の処理において、同定された
場合にはそれをフレーム種別とし、一方、不定の場合
は、フレーム収集部1310からのデータリンク層情報
中の宛先アドレスが、トラフィック構成情報抽出部13
40から渡されたトラフィック構成情報情報及びフレー
ム特徴情報に対応する値と一致するか否か(すなわち宛
先アドレスが既知か否か)を判断し(4605)、既知
の場合は更に発信元アドレスが、トラフィック構成情報
抽出部1340から渡されたトラフィック構成情報情報
及びフレーム特徴情報に対応する値と一致するか否か
(すなわち発信元アドレスが既知か否か)を判断する
(4606)。
場合にはそれをフレーム種別とし、一方、不定の場合
は、フレーム収集部1310からのデータリンク層情報
中の宛先アドレスが、トラフィック構成情報抽出部13
40から渡されたトラフィック構成情報情報及びフレー
ム特徴情報に対応する値と一致するか否か(すなわち宛
先アドレスが既知か否か)を判断し(4605)、既知
の場合は更に発信元アドレスが、トラフィック構成情報
抽出部1340から渡されたトラフィック構成情報情報
及びフレーム特徴情報に対応する値と一致するか否か
(すなわち発信元アドレスが既知か否か)を判断する
(4606)。
【0182】4606の処理において、既知の場合に
は、発信元及び宛先アドレス別のトラフィック構成情報
及びフレーム特徴情報が使用され(4606A、460
6B)一方、未知の場合は、宛先アドレス別のトラフィ
ック構成情報及びフレーム特徴情報が使用される(46
06C、4606D)。
は、発信元及び宛先アドレス別のトラフィック構成情報
及びフレーム特徴情報が使用され(4606A、460
6B)一方、未知の場合は、宛先アドレス別のトラフィ
ック構成情報及びフレーム特徴情報が使用される(46
06C、4606D)。
【0183】上記4605の処理において、宛先アドレ
スが未知の場合は、発信元アドレスが既知か否かを判断
し(4607)、既知の場合には、発信元アドレス別の
トラフィック構成情報及びフレーム特徴情報が使用され
(4607A、4607B)一方、未知の場合は、全般
的なトラフィック構成情報及びフレーム特徴情報が使用
される(4607C、4607D)。
スが未知の場合は、発信元アドレスが既知か否かを判断
し(4607)、既知の場合には、発信元アドレス別の
トラフィック構成情報及びフレーム特徴情報が使用され
(4607A、4607B)一方、未知の場合は、全般
的なトラフィック構成情報及びフレーム特徴情報が使用
される(4607C、4607D)。
【0184】このようにして使用すべきトラフィック構
成情報及びフレーム特徴情報が決定されると、フレーム
判定部4220は、上記決定されたトラフィック構成情
報中のフレーム占有率の高いものから順に、フレーム種
別の特徴が、新たに(リアルタイムに)収集されたフレ
ームのデータリンク層情報中の値と一致するか否かを検
査する(4608)。言い換えると、リアルタイムに収
集されたフレームのデータリンク層情報中のフレームタ
イプに記述されているタイプ、すなわちフレーム種別の
特徴が、トラフィック構成情報中のフレーム種別に対応
しているものの中に存在しているかどうかを、フレーム
占有率の高いものから順に検査することを意味してい
る。ここで、一致しているものがあれば、フレームの種
別が同定されたことになり、一方、一致しているものが
なければ、フレーム不定ということになる。
成情報及びフレーム特徴情報が決定されると、フレーム
判定部4220は、上記決定されたトラフィック構成情
報中のフレーム占有率の高いものから順に、フレーム種
別の特徴が、新たに(リアルタイムに)収集されたフレ
ームのデータリンク層情報中の値と一致するか否かを検
査する(4608)。言い換えると、リアルタイムに収
集されたフレームのデータリンク層情報中のフレームタ
イプに記述されているタイプ、すなわちフレーム種別の
特徴が、トラフィック構成情報中のフレーム種別に対応
しているものの中に存在しているかどうかを、フレーム
占有率の高いものから順に検査することを意味してい
る。ここで、一致しているものがあれば、フレームの種
別が同定されたことになり、一方、一致しているものが
なければ、フレーム不定ということになる。
【0185】上記4608の処理での検査に基づきフレ
ーム種別が同定されたか否かを判断し(4609)、不
定の場合は、フレーム判定を継続可能か否かを判断し
(4610)、継続可能であれば、4608の処理に移
行する。
ーム種別が同定されたか否かを判断し(4609)、不
定の場合は、フレーム判定を継続可能か否かを判断し
(4610)、継続可能であれば、4608の処理に移
行する。
【0186】上記4609の処理においてフレーム種別
が同定された場合、4610において継続不可能な場合
(つまりフレーム種別が不定)は、同定されたフレーム
種別及びフレーム特徴、又は不定のフレーム種別及びフ
レーム特徴を、前フレーム種別及び前フレーム特徴情報
としてトラフィック状態管理部4210へ与える(46
11)。この4611の処理の結果が、図44に示した
例の4408の処理でのフレーム種別及び4409の処
理でのフレーム特徴情報として使用される。
が同定された場合、4610において継続不可能な場合
(つまりフレーム種別が不定)は、同定されたフレーム
種別及びフレーム特徴、又は不定のフレーム種別及びフ
レーム特徴を、前フレーム種別及び前フレーム特徴情報
としてトラフィック状態管理部4210へ与える(46
11)。この4611の処理の結果が、図44に示した
例の4408の処理でのフレーム種別及び4409の処
理でのフレーム特徴情報として使用される。
【0187】次に第5の実施例の全体の処理について説
明する。この全体の処理も第2の実施例で説明したよう
に前処理と通常処理の2つの処理に分かれる。
明する。この全体の処理も第2の実施例で説明したよう
に前処理と通常処理の2つの処理に分かれる。
【0188】前処理は図28の第2の実施例の処理手順
と同様であるので、ここではその処理の説明は省略し、
通常処理について、図47の通常処理動作を示すフロー
チャートを参照して説明する。
と同様であるので、ここではその処理の説明は省略し、
通常処理について、図47の通常処理動作を示すフロー
チャートを参照して説明する。
【0189】フレーム収集部1310によってリアルタ
イムにフレームの収集が行われると(ステップ471
0)、トラフィック状態管理部4210は、図44を用
いて説明したような処理を行うことによりトラフィック
状態の検査及び更新を行う(ステップ4720)。そし
てフレーム判定部4220は図46を用いて説明したよ
うな処理を行うことにより、フレームの判定を行う(ス
テップ4730)。このようにしてフレーム判定が行わ
れた後は、図29に示した第2の実施例のフローチャー
トのステップ2930〜2950と同様の処理が行われ
る(ステップ4740〜4760)。
イムにフレームの収集が行われると(ステップ471
0)、トラフィック状態管理部4210は、図44を用
いて説明したような処理を行うことによりトラフィック
状態の検査及び更新を行う(ステップ4720)。そし
てフレーム判定部4220は図46を用いて説明したよ
うな処理を行うことにより、フレームの判定を行う(ス
テップ4730)。このようにしてフレーム判定が行わ
れた後は、図29に示した第2の実施例のフローチャー
トのステップ2930〜2950と同様の処理が行われ
る(ステップ4740〜4760)。
【0190】以上説明したように、第5の実施例によれ
ば、上述した第2の実施例の作用効果に加えて、大容量
ファイル転送時等の同質なフレームによるバルクトラフ
ィック発生時においては、効率が良く、フレームの取り
こぼし率が軽減される。
ば、上述した第2の実施例の作用効果に加えて、大容量
ファイル転送時等の同質なフレームによるバルクトラフ
ィック発生時においては、効率が良く、フレームの取り
こぼし率が軽減される。
【0191】次に第6の実施例について、図48を参照
して説明する。
して説明する。
【0192】図48は、本発明に係るトラフィック収集
解析装置の第6の実施例を示す機能ブロック図を示して
いる。
解析装置の第6の実施例を示す機能ブロック図を示して
いる。
【0193】この機能ブロック図は、図30に示した機
能ブロック図(第3の実施例)の構成においてフレーム
判定部1340を削除し、更に図42に示した機能ブロ
ック図(第5の実施例)の構成のトラフィック状態管理
部4210、フレーム判定部4220を追加した構成に
なっている。
能ブロック図(第3の実施例)の構成においてフレーム
判定部1340を削除し、更に図42に示した機能ブロ
ック図(第5の実施例)の構成のトラフィック状態管理
部4210、フレーム判定部4220を追加した構成に
なっている。
【0194】この第6の実施例の全体の処理も上述した
ように前処理と通常処理に分かれるが、前処理は図32
の第3の実施例の処理手順と同様であり、一方、通常処
理は図47の第5の実施例の処理手順と同様である。
ように前処理と通常処理に分かれるが、前処理は図32
の第3の実施例の処理手順と同様であり、一方、通常処
理は図47の第5の実施例の処理手順と同様である。
【0195】第6の実施例によれば、上述した第3の実
施例の作用効果に加えて、大容量ファイル転送時等の同
質なフレームによるバルクトラフィック発生時において
は、効率が良く、フレームの取りこぼし率が軽減され
る。
施例の作用効果に加えて、大容量ファイル転送時等の同
質なフレームによるバルクトラフィック発生時において
は、効率が良く、フレームの取りこぼし率が軽減され
る。
【0196】次に第7の実施例について、図49及び図
50を参照して説明する。
50を参照して説明する。
【0197】図49は、本発明に係るトラフィック収集
解析装置の第7の実施例を示す機能ブロック図を示して
いる。
解析装置の第7の実施例を示す機能ブロック図を示して
いる。
【0198】この機能ブロック図は、図33に示した機
能ブロック図(第4の実施例)の構成においてフレーム
判定部1340を削除し、更に図42に示した機能ブロ
ック図(第5の実施例)の構成のトラフィック状態管理
部4210、フレーム判定部4220を追加した構成に
なっている。
能ブロック図(第4の実施例)の構成においてフレーム
判定部1340を削除し、更に図42に示した機能ブロ
ック図(第5の実施例)の構成のトラフィック状態管理
部4210、フレーム判定部4220を追加した構成に
なっている。
【0199】この第7の実施例の全体の処理も第4の実
施例と同様に前処理と通常処理及び低負荷時処理に分か
れるが、前処理は図39の第4の実施例の処理手順と同
様であり、また低負荷時処理は図41の第4の実施例の
処理手順と同様であるので、ここでは、それらの処理に
ついて省略し、通常処理について図50の通常処理動作
を示すフローチャートを参照して説明する。
施例と同様に前処理と通常処理及び低負荷時処理に分か
れるが、前処理は図39の第4の実施例の処理手順と同
様であり、また低負荷時処理は図41の第4の実施例の
処理手順と同様であるので、ここでは、それらの処理に
ついて省略し、通常処理について図50の通常処理動作
を示すフローチャートを参照して説明する。
【0200】図40に示す処理手順のステップ4010
〜4030と同様の処理が行われると(ステップ501
0〜5030)、トラフィック状態管理部4210は、
図44を用いて説明したような処理を行うことによりト
ラフィック状態の検査及び更新を行う(ステップ504
0)。そしてフレーム判定部4220は図46を用いて
説明したような処理を行うことにより、フレームの判定
を行う(ステップ5050)。このようにしてフレーム
判定が行われた後は、図40に示した第4の実施例の処
理手順のステップ4050〜4070と同様の処理が行
われる(ステップ5060〜5080)。
〜4030と同様の処理が行われると(ステップ501
0〜5030)、トラフィック状態管理部4210は、
図44を用いて説明したような処理を行うことによりト
ラフィック状態の検査及び更新を行う(ステップ504
0)。そしてフレーム判定部4220は図46を用いて
説明したような処理を行うことにより、フレームの判定
を行う(ステップ5050)。このようにしてフレーム
判定が行われた後は、図40に示した第4の実施例の処
理手順のステップ4050〜4070と同様の処理が行
われる(ステップ5060〜5080)。
【0201】以上説明したように第7の実施例によれ
ば、上述した第3の実施例の作用効果に加えて、大容量
ファイル転送時等の同質なフレームによるバルクトラフ
ィック発生時においては、効率が良く、フレームの取り
こぼし率が軽減される。
ば、上述した第3の実施例の作用効果に加えて、大容量
ファイル転送時等の同質なフレームによるバルクトラフ
ィック発生時においては、効率が良く、フレームの取り
こぼし率が軽減される。
【0202】なお、上述した図42の第5の実施例の機
能ブロック図の構成要素、図48の第6の実施例の機能
ブロック図の構成要素及び図49の第7の実施例の機能
ブロック図の構成要素と、請求項1及び請求項2の発明
の構成要件との対応関係は、上述した第2の実施例にお
ける対応関係において、特定手段とフレーム判定部13
50との対応関係が、特定手段とフレーム判定部422
0との対応関係に変更になった以外は、同様の対応関係
になっている。
能ブロック図の構成要素、図48の第6の実施例の機能
ブロック図の構成要素及び図49の第7の実施例の機能
ブロック図の構成要素と、請求項1及び請求項2の発明
の構成要件との対応関係は、上述した第2の実施例にお
ける対応関係において、特定手段とフレーム判定部13
50との対応関係が、特定手段とフレーム判定部422
0との対応関係に変更になった以外は、同様の対応関係
になっている。
【0203】次に第8の実施例について、図51〜図6
0を参照して説明する。
0を参照して説明する。
【0204】図51は本発明に係るトラフィック収集解
析装置の第8の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図48に示した機能ブロッ
ク図(第6の実施例)の構成において、トラフィックパ
ターン情報抽出部5110を追加し、トラフィック状態
管理部4210及びフレーム判定部4220をそれぞれ
トラフィック状態管理部5120及びフレーム判定部5
130に変更した構成になっている。
析装置の第8の実施例の構成を示す機能ブロック図であ
る。この機能ブロック図は、図48に示した機能ブロッ
ク図(第6の実施例)の構成において、トラフィックパ
ターン情報抽出部5110を追加し、トラフィック状態
管理部4210及びフレーム判定部4220をそれぞれ
トラフィック状態管理部5120及びフレーム判定部5
130に変更した構成になっている。
【0205】トラフィックパターン情報抽出部5110
は、図52に示すように、トラフィックパターン解析手
段5111、トラフィックパターン情報蓄積手段511
2を備えており、1次トラフィック情報に基づき、各ア
プリケーションによるトラフィックがどの様なパターン
のフレームのやり取りによって構成されているか(トラ
フィックパターン情報)を求める。すなわち、各フレー
ムは、どのアプリケーションによって生成されたもので
あるかによってグループ分けされる。この分類結果を
「アプリケーション分類」と呼ぶ。
は、図52に示すように、トラフィックパターン解析手
段5111、トラフィックパターン情報蓄積手段511
2を備えており、1次トラフィック情報に基づき、各ア
プリケーションによるトラフィックがどの様なパターン
のフレームのやり取りによって構成されているか(トラ
フィックパターン情報)を求める。すなわち、各フレー
ムは、どのアプリケーションによって生成されたもので
あるかによってグループ分けされる。この分類結果を
「アプリケーション分類」と呼ぶ。
【0206】次に、トラフィックパターン情報抽出部5
110によるパターン情報抽出処理について、図53を
参照して説明する。なお、図53はそのパターン情報抽
出処理を説明するための説明図である。
110によるパターン情報抽出処理について、図53を
参照して説明する。なお、図53はそのパターン情報抽
出処理を説明するための説明図である。
【0207】トラフィックパターン情報抽出部5110
は、1次トラフィック情報蓄積部1330からの1次ト
ラフィック情報(すなわち1次フレーム情報)を受け取
り、該1次フレーム情報を、生成元のアプリケーション
毎のグループに分類するとともに(ステップ530
1)、この分類されたフレームを受信時刻順にソートし
(ステップ5302)、更にこのソートされたフレーム
をセッション単位(所定のデータ単位)に分割する(ス
テップ5303)。ここで、セッション単位への分割方
法としては、ある一定時間以上にフレーム間隔が離れた
場合は別のセッションとする。または、既知のセッショ
ン開始フレーム(リクエストコマンドパケットなど)に
よって区切るなどがある。
は、1次トラフィック情報蓄積部1330からの1次ト
ラフィック情報(すなわち1次フレーム情報)を受け取
り、該1次フレーム情報を、生成元のアプリケーション
毎のグループに分類するとともに(ステップ530
1)、この分類されたフレームを受信時刻順にソートし
(ステップ5302)、更にこのソートされたフレーム
をセッション単位(所定のデータ単位)に分割する(ス
テップ5303)。ここで、セッション単位への分割方
法としては、ある一定時間以上にフレーム間隔が離れた
場合は別のセッションとする。または、既知のセッショ
ン開始フレーム(リクエストコマンドパケットなど)に
よって区切るなどがある。
【0208】このようにして、フレームをセッション単
位に分割したら、トラフィックパターン情報抽出部51
10は、各セッション毎に、当該フレームシーケンス
(どの様な種別のフレームからセッションが開始し、そ
の後、どの様な順序でどの様な種別のフレームのやり取
りが行われるか)を抽出する(ステップ5304)。そ
の後、各アプリケーション毎に、グループ内の各フレー
ムシーケンス種別の出現数を求め、その出現数の多い順
にフレームシーケンスをソートする(ステップ530
5)。そして、このソート結果がトラフィックパターン
情報として出力される。なおここで、トラフィックパタ
ーン情報は、各アプリケーション分類毎の、順序付けさ
れたフレームシーケンス種別のことである。
位に分割したら、トラフィックパターン情報抽出部51
10は、各セッション毎に、当該フレームシーケンス
(どの様な種別のフレームからセッションが開始し、そ
の後、どの様な順序でどの様な種別のフレームのやり取
りが行われるか)を抽出する(ステップ5304)。そ
の後、各アプリケーション毎に、グループ内の各フレー
ムシーケンス種別の出現数を求め、その出現数の多い順
にフレームシーケンスをソートする(ステップ530
5)。そして、このソート結果がトラフィックパターン
情報として出力される。なおここで、トラフィックパタ
ーン情報は、各アプリケーション分類毎の、順序付けさ
れたフレームシーケンス種別のことである。
【0209】なお、上記出現数は(SS/AS)×10
0(%)を演算することにより求めることができる。こ
こで、ASは1つのアプリケーションにおける全てのセ
ッションの数である。例えばNSFにおける例えば読み
出し処理、書き込み処理及び参照処理に対応する各セッ
ションの数の総和である。SSは上記AS中の1つの処
理状態におけるセッションの数である。例えばNSFに
おける例えば読み出し処理に対応するセッションの数で
ある。
0(%)を演算することにより求めることができる。こ
こで、ASは1つのアプリケーションにおける全てのセ
ッションの数である。例えばNSFにおける例えば読み
出し処理、書き込み処理及び参照処理に対応する各セッ
ションの数の総和である。SSは上記AS中の1つの処
理状態におけるセッションの数である。例えばNSFに
おける例えば読み出し処理に対応するセッションの数で
ある。
【0210】図54はトラフィックパターン情報の一例
を示したものである。
を示したものである。
【0211】図54においては、M個のトラフィックパ
ターン情報5400−1〜5400−Mが示されてい
る。トラフィックパターン5400−1は、アプリケー
ション種別5410と、N個のフレームシーケンス54
20−1、5420−2〜5420−Nとから構成され
ている。なお、フレームシーケンス5420−1はフレ
ームシーケンス内容5430のようになっており、この
フレームシーケンス内容5430は、フレームシーケン
ス中の状態が登録される状態5431、例えば読み出し
処理、書き込み処理及び参照処理などの処理に関するフ
レームの種別が登録されるフレーム種別5432、イニ
シエータからのフレームなのか或いはイニシエータへの
フレームなのかの転送方向が登録される転送方向543
3、フレームシーケンス中の次の状態が登録される次状
態5434から構成されている。図54の状態5431
において、トリガーとは各フレームシーケンスの先頭の
フレームのことであり、また「ステップ」とは、フレー
ムシーケンス中の各状態のことである。
ターン情報5400−1〜5400−Mが示されてい
る。トラフィックパターン5400−1は、アプリケー
ション種別5410と、N個のフレームシーケンス54
20−1、5420−2〜5420−Nとから構成され
ている。なお、フレームシーケンス5420−1はフレ
ームシーケンス内容5430のようになっており、この
フレームシーケンス内容5430は、フレームシーケン
ス中の状態が登録される状態5431、例えば読み出し
処理、書き込み処理及び参照処理などの処理に関するフ
レームの種別が登録されるフレーム種別5432、イニ
シエータからのフレームなのか或いはイニシエータへの
フレームなのかの転送方向が登録される転送方向543
3、フレームシーケンス中の次の状態が登録される次状
態5434から構成されている。図54の状態5431
において、トリガーとは各フレームシーケンスの先頭の
フレームのことであり、また「ステップ」とは、フレー
ムシーケンス中の各状態のことである。
【0212】因みに、フレームシーケンス内容5430
において、トリガーの状態でイニシエータからアクセス
先へ参照処理を実施するためのlookup command(ルック
アップコマンド)のファイルが転送され、ステップ#1
においてはレスポンスのデータとしてのresponse(レス
ポンス)のファイルがアクセス先からイニシエータへ転
送され、ステップ#2においては レスポンスの続きの
データとしてのresponse(続)のファイルがアクセス先
からイニシエータへ転送されたことが示されている。
において、トリガーの状態でイニシエータからアクセス
先へ参照処理を実施するためのlookup command(ルック
アップコマンド)のファイルが転送され、ステップ#1
においてはレスポンスのデータとしてのresponse(レス
ポンス)のファイルがアクセス先からイニシエータへ転
送され、ステップ#2においては レスポンスの続きの
データとしてのresponse(続)のファイルがアクセス先
からイニシエータへ転送されたことが示されている。
【0213】また、上述した他のトラフィックパターン
情報も、上記トラフィックパターン情報の構成と同様に
なっている。
情報も、上記トラフィックパターン情報の構成と同様に
なっている。
【0214】図55はトラフィック状態管理部5120
は、トラフィック状態管理手段5121、トラフィック
状態蓄積手段5122を備えており、トラフィック状態
管理手段5121が、あるワークステーション間で、前
回どのようなアプリケーションの、どのようなフレーム
シーケンスがやり取りされたかという情報すなわち、前
回のアプリケーション種別、前回のフレームシーケンス
種別、前回のステップ#の各情報(以下、前アプリケー
ション種別、前フレームシーケンス種別、前ステップ#
という)や、前回のフレームが受信された時刻(以下、
前フレーム受信時刻という)などを、トラフィック状態
蓄積手段5122に保持し管理する。
は、トラフィック状態管理手段5121、トラフィック
状態蓄積手段5122を備えており、トラフィック状態
管理手段5121が、あるワークステーション間で、前
回どのようなアプリケーションの、どのようなフレーム
シーケンスがやり取りされたかという情報すなわち、前
回のアプリケーション種別、前回のフレームシーケンス
種別、前回のステップ#の各情報(以下、前アプリケー
ション種別、前フレームシーケンス種別、前ステップ#
という)や、前回のフレームが受信された時刻(以下、
前フレーム受信時刻という)などを、トラフィック状態
蓄積手段5122に保持し管理する。
【0215】ここで、トラフィック状態管理部5120
が管理する各ワークステーション間の前アプリケーショ
ン種別、前フレームシーケンス種別、前ステップ#及び
前フレーム受信時刻を「トラフィック状態」と呼ぶ。
が管理する各ワークステーション間の前アプリケーショ
ン種別、前フレームシーケンス種別、前ステップ#及び
前フレーム受信時刻を「トラフィック状態」と呼ぶ。
【0216】次に、トラフィック状態管理部5120の
上記トラフィック状態の管理について、図56を参照し
て説明する。図56は、そのトラフィック状態の管理処
理を説明するための説明図である。
上記トラフィック状態の管理について、図56を参照し
て説明する。図56は、そのトラフィック状態の管理処
理を説明するための説明図である。
【0217】トラフィック状態管理部5120は、フレ
ーム収集部1310から、収集されたフレームのデータ
リンク層宛先アドレス及び発信元アドレスを受け取り、
これらの情報に対応するトラフィック状態が保持されて
いるか否かを判断する(5601)。この5601の処
理において、トラフィック状態が保持されている場合
は、トラフィックが活性であることを表す状態値を出力
し(5602)、また前アプリケーション種別、前フレ
ームシーケンス種別及び前ステップを出力し(560
3)、更に、現在のフレーム受信時刻を前フレーム受信
時刻として設定する(5604)。
ーム収集部1310から、収集されたフレームのデータ
リンク層宛先アドレス及び発信元アドレスを受け取り、
これらの情報に対応するトラフィック状態が保持されて
いるか否かを判断する(5601)。この5601の処
理において、トラフィック状態が保持されている場合
は、トラフィックが活性であることを表す状態値を出力
し(5602)、また前アプリケーション種別、前フレ
ームシーケンス種別及び前ステップを出力し(560
3)、更に、現在のフレーム受信時刻を前フレーム受信
時刻として設定する(5604)。
【0218】そして、後に、後述するフレーム判定部5
130からの判定結果であるアプリケーション種別、フ
レームシーケンス種別及びステップを、前アプリケーシ
ョン種別、前フレームシーケンス種別及び前ステップと
して設定する。すなわち、それらの情報をトラフィック
状態蓄積手段5122に蓄積する(5605)。
130からの判定結果であるアプリケーション種別、フ
レームシーケンス種別及びステップを、前アプリケーシ
ョン種別、前フレームシーケンス種別及び前ステップと
して設定する。すなわち、それらの情報をトラフィック
状態蓄積手段5122に蓄積する(5605)。
【0219】一方上記5601の処理において、トラフ
ィック状態の情報が保持されていない場合は、トラフィ
ックが不活発であることを表す状態値を出力し(560
6)、そのトラフィック状態(すなわち、前アプリケー
ション種別、前フレームシーケンス種別及び前ステッ
プ)を生成し、その後、上記5604の処理に移行する
(5607)。
ィック状態の情報が保持されていない場合は、トラフィ
ックが不活発であることを表す状態値を出力し(560
6)、そのトラフィック状態(すなわち、前アプリケー
ション種別、前フレームシーケンス種別及び前ステッ
プ)を生成し、その後、上記5604の処理に移行する
(5607)。
【0220】フレーム判定部5130は、図57に示す
ように、フレーム判定手段5131を備えており、収集
されたフレームについてのデータリンク層情報、トラフ
ィック構成情報、フレーム特徴情報及びトラフィック状
態管理部5120から与えられるトラフィック状態情報
(すなわち、前アプリケーション種別、前フレームシー
ケンス種別及び前ステップ)から、そのフレームの種別
(どのアプリケーション分類中のどのサブグループに属
するフレームであるか)を判定する。
ように、フレーム判定手段5131を備えており、収集
されたフレームについてのデータリンク層情報、トラフ
ィック構成情報、フレーム特徴情報及びトラフィック状
態管理部5120から与えられるトラフィック状態情報
(すなわち、前アプリケーション種別、前フレームシー
ケンス種別及び前ステップ)から、そのフレームの種別
(どのアプリケーション分類中のどのサブグループに属
するフレームであるか)を判定する。
【0221】次に、フレーム判定部5130によるフレ
ーム種別の判定について、図58を参照して説明する。
なお図58はそのフレーム種別の判定処理を説明するた
めの説明図である。
ーム種別の判定について、図58を参照して説明する。
なお図58はそのフレーム種別の判定処理を説明するた
めの説明図である。
【0222】この処理は、基本的には図46に示したフ
レーム種別の判定処理(第5の実施例)と同様である。
しかし、図58に示すように、5810及び5820の
処理の部分が第5の実施例と異なっている。なお図58
において、図46に示した処理と同様の部分には同一の
符号を付与している。
レーム種別の判定処理(第5の実施例)と同様である。
しかし、図58に示すように、5810及び5820の
処理の部分が第5の実施例と異なっている。なお図58
において、図46に示した処理と同様の部分には同一の
符号を付与している。
【0223】すなわち、フレーム判定部5130は、図
58の4602の処理において状態値が活発な場合は、
既に収集された前アプリケーション種別、前フレームシ
ーケンス種別、前ステップに基づいて、フレームの種別
を推測し、この推測されたフレームの種別の特徴(つま
りフレーム特徴情報)が、リアルタイムに新たに収集さ
れたフレームのデータリンク層情報中の値と一致するか
否かを検査する(5810)。この5810の処理が終
了した後は、図58の4604の処理に移行する。
58の4602の処理において状態値が活発な場合は、
既に収集された前アプリケーション種別、前フレームシ
ーケンス種別、前ステップに基づいて、フレームの種別
を推測し、この推測されたフレームの種別の特徴(つま
りフレーム特徴情報)が、リアルタイムに新たに収集さ
れたフレームのデータリンク層情報中の値と一致するか
否かを検査する(5810)。この5810の処理が終
了した後は、図58の4604の処理に移行する。
【0224】またトラフィック状態が不活発である場合
(つまり図58の4602の処理で「NO」の場合)、
若しくは、収集されたフレームの種別が前アプリケーシ
ョン種別、前フレームシーケンス種別、前ステップから
推測されたものとは異なったものである場合(つまり図
58の4604の処理で「NO」の場合)は、フレーム
判定部5130は、トラフィック構成情報に基づき、収
集されたフレームの種別を推測し、また、フレーム特徴
情報に基づき、その推測されたフレームの種別の正否を
検査することにより、フレーム種別の同定を行う。すな
わち図58の4605の処理以降を実施することにな
る。
(つまり図58の4602の処理で「NO」の場合)、
若しくは、収集されたフレームの種別が前アプリケーシ
ョン種別、前フレームシーケンス種別、前ステップから
推測されたものとは異なったものである場合(つまり図
58の4604の処理で「NO」の場合)は、フレーム
判定部5130は、トラフィック構成情報に基づき、収
集されたフレームの種別を推測し、また、フレーム特徴
情報に基づき、その推測されたフレームの種別の正否を
検査することにより、フレーム種別の同定を行う。すな
わち図58の4605の処理以降を実施することにな
る。
【0225】更に、トラフィック状態が不活発であった
場合若しくは、同定されたフレーム種別が前アプリケー
ション種別、前フレームシーケンス種別、前ステップか
ら推測されたものとは異なったものである場合は、その
アプリケーション種別、フレームシーケンス、ステップ
をトラフィック状態管理部5120に与える(582
0)。すなわち、図58の4604の処理で「YE
S」、同図4609の処理で「YES」の場合、同図4
610の処理で「NO」の場合は、5820の処理に移
行する。
場合若しくは、同定されたフレーム種別が前アプリケー
ション種別、前フレームシーケンス種別、前ステップか
ら推測されたものとは異なったものである場合は、その
アプリケーション種別、フレームシーケンス、ステップ
をトラフィック状態管理部5120に与える(582
0)。すなわち、図58の4604の処理で「YE
S」、同図4609の処理で「YES」の場合、同図4
610の処理で「NO」の場合は、5820の処理に移
行する。
【0226】次に第8の実施例のトラフィックの収集解
析処理について説明する。
析処理について説明する。
【0227】最初に、前処理について図59の前処理動
作を示すフローチャートを参照して説明する。図32に
示した処理手順(第3の実施例)のステップ3210〜
3270と同様の処理が行われると(ステップ5910
〜5970)、次に、トラフィックパターン情報抽出部
5110は、図53の処理手順に従って、トラフィック
パターン情報を抽出する(ステップ5980)。これ
で、前処理が終了したことになる。
作を示すフローチャートを参照して説明する。図32に
示した処理手順(第3の実施例)のステップ3210〜
3270と同様の処理が行われると(ステップ5910
〜5970)、次に、トラフィックパターン情報抽出部
5110は、図53の処理手順に従って、トラフィック
パターン情報を抽出する(ステップ5980)。これ
で、前処理が終了したことになる。
【0228】この前処理結果に基づいて実施される通常
処理について、図60の通常処理動作を示すフローチャ
ートを参照して説明する。フレーム収集部1310によ
ってリアルタイムにフレームの収集が行われると(ステ
ップ6010)、トラフィック状態管理部5120は、
図56に示した処理手順に従ってトラフィック状態の検
査及び更新を行う(ステップ6020)。この処理が終
了すると、図29に示した処理手順のステップ2920
〜2950と同様の処理が行われる(ステップ6030
〜6060)。
処理について、図60の通常処理動作を示すフローチャ
ートを参照して説明する。フレーム収集部1310によ
ってリアルタイムにフレームの収集が行われると(ステ
ップ6010)、トラフィック状態管理部5120は、
図56に示した処理手順に従ってトラフィック状態の検
査及び更新を行う(ステップ6020)。この処理が終
了すると、図29に示した処理手順のステップ2920
〜2950と同様の処理が行われる(ステップ6030
〜6060)。
【0229】以上説明したように第8の実施例によれ
ば、上述した第7の実施例の作用効果と同様の効果を得
ることができる。特に、この第8の実施例では、アプリ
ケーション分類された各フレームシーケンス種別に従っ
て、フレームを同定し、そのフレームの上位層プロトコ
ル(すなわちアプリケーション層)の種類を特定して、
該アプリケーション層のデータから、必要十分な着目す
る情報を抽出することができる。
ば、上述した第7の実施例の作用効果と同様の効果を得
ることができる。特に、この第8の実施例では、アプリ
ケーション分類された各フレームシーケンス種別に従っ
て、フレームを同定し、そのフレームの上位層プロトコ
ル(すなわちアプリケーション層)の種類を特定して、
該アプリケーション層のデータから、必要十分な着目す
る情報を抽出することができる。
【0230】次に第9の実施例について、図61〜図6
6の図面を参照して説明する。
6の図面を参照して説明する。
【0231】図61は、本発明に係るトラフィック収集
解析装置の第9の実施例を示す機能ブロック図である。
解析装置の第9の実施例を示す機能ブロック図である。
【0232】この機能ブロック図は、図49に示した第
7の実施例の機能ブロック図の構成において、トラフィ
ック状態管理部4210を図51に示した第8の実施例
のトラフィック状態管理部5120に変更し、またフレ
ーム判定部4220を図8に示した第8の実施例のフレ
ーム判定部5130に変更し、さらにトラフィックパタ
ーン情報更新部6100を追加した構成になっている。
7の実施例の機能ブロック図の構成において、トラフィ
ック状態管理部4210を図51に示した第8の実施例
のトラフィック状態管理部5120に変更し、またフレ
ーム判定部4220を図8に示した第8の実施例のフレ
ーム判定部5130に変更し、さらにトラフィックパタ
ーン情報更新部6100を追加した構成になっている。
【0233】なお、低負荷時処理スケジューリング部3
320は、図62に示す様に、2次トラフィック情報再
処理部3330、トラフィック構成情報更新部3340
を順次、起動した後、トラフィックパターン情報更新部
6100を起動するようになっている。当然、これら
は、上述したように、送受信フレーム数が比較的少ない
時間帯に起動される。
320は、図62に示す様に、2次トラフィック情報再
処理部3330、トラフィック構成情報更新部3340
を順次、起動した後、トラフィックパターン情報更新部
6100を起動するようになっている。当然、これら
は、上述したように、送受信フレーム数が比較的少ない
時間帯に起動される。
【0234】トラフィックパターン情報更新部6100
は、2次トラフィック情報読み出し部6110、トラフ
ィックパターン情報更新手段6120を備えており、ト
ラフィックパターン情報の更新を行う。すなわち、低負
荷時処理スケジューリング部3320により起動される
と、トラフィックパターン情報更新部6100において
は、2次トラフィック情報読み出し手段6110は、2
次トラフィック情報を読み出して、トラフィックパター
ン情報更新手段6120に渡す。そしてトラフィックパ
ターン情報更新手段6120は、トラフィックパターン
情報の更新を行う。
は、2次トラフィック情報読み出し部6110、トラフ
ィックパターン情報更新手段6120を備えており、ト
ラフィックパターン情報の更新を行う。すなわち、低負
荷時処理スケジューリング部3320により起動される
と、トラフィックパターン情報更新部6100において
は、2次トラフィック情報読み出し手段6110は、2
次トラフィック情報を読み出して、トラフィックパター
ン情報更新手段6120に渡す。そしてトラフィックパ
ターン情報更新手段6120は、トラフィックパターン
情報の更新を行う。
【0235】次に、トラフィックパターン情報更新手段
6120によるトラフィックパターン情報の更新処理に
ついて、図64を参照して説明する。なお図38はその
更新処理を説明するための説明図である。
6120によるトラフィックパターン情報の更新処理に
ついて、図64を参照して説明する。なお図38はその
更新処理を説明するための説明図である。
【0236】トラフィックパターン情報更新情報612
0は、図53の処理手順の5301〜5304の処理と
同様の処理を行い(6401〜6404)、その後、各
アプリケーション毎に、グループ分けした各フレームシ
ーケンス種別の出現数を求める(6405)、次に、ト
ラフィックパターン情報抽出部5110内のトラフィッ
クパターン情報(すなわち各フレームシーケンス種別毎
の出現数)を読み出し、このトラフィックパターン情報
に、上記6401〜6405の処理により2次トラフィ
ック情報から求められたフレームシーケンス種別及びそ
の出現数を追加する(6406)。続いて、そのトラフ
ィックパターン情報において、出現数の多い順にフレー
ムシーケンスをソートし(6407)、そのソート結果
すなわち更新されたトラフィックパターン情報をトラフ
ィックパターン情報抽出部5110に渡す。
0は、図53の処理手順の5301〜5304の処理と
同様の処理を行い(6401〜6404)、その後、各
アプリケーション毎に、グループ分けした各フレームシ
ーケンス種別の出現数を求める(6405)、次に、ト
ラフィックパターン情報抽出部5110内のトラフィッ
クパターン情報(すなわち各フレームシーケンス種別毎
の出現数)を読み出し、このトラフィックパターン情報
に、上記6401〜6405の処理により2次トラフィ
ック情報から求められたフレームシーケンス種別及びそ
の出現数を追加する(6406)。続いて、そのトラフ
ィックパターン情報において、出現数の多い順にフレー
ムシーケンスをソートし(6407)、そのソート結果
すなわち更新されたトラフィックパターン情報をトラフ
ィックパターン情報抽出部5110に渡す。
【0237】トラフィックパターン情報抽出部5110
では、トラフィックパターン解析手段5111が、渡さ
れた更新後のトラフィックパターン情報に基づいて、ト
ラフィックパターン情報抽出部5112の内容を更新す
る(6408)。
では、トラフィックパターン解析手段5111が、渡さ
れた更新後のトラフィックパターン情報に基づいて、ト
ラフィックパターン情報抽出部5112の内容を更新す
る(6408)。
【0238】次に第9の実施例のトラフィックの収集解
析処理について説明する。
析処理について説明する。
【0239】最初に、前処理について、図65の前処理
動作を示すフローチャートを参照して説明する。
動作を示すフローチャートを参照して説明する。
【0240】図39に示した処理手順のステップ391
0〜3980と同様の処理が行われた後(ステップ65
10〜6580)、トラフィックパターン情報抽出部5
110によって、図53に示したような処理手順に従っ
てトラフィックパターン情報が抽出される(ステップ6
590)。これで、前処理が終了したことになる。
0〜3980と同様の処理が行われた後(ステップ65
10〜6580)、トラフィックパターン情報抽出部5
110によって、図53に示したような処理手順に従っ
てトラフィックパターン情報が抽出される(ステップ6
590)。これで、前処理が終了したことになる。
【0241】こような前処理に続いて、今度は通常処理
が行われることになるが、この場合の通常処理は、図5
0に示した処理手順(第7の実施例)と同様である。な
お、図50のステップ5040においては、トラフィッ
ク状態管理部5120によって、図56に示した処理手
順に従ってトラフィック状態の検査及び更新が行われる
ことになる。
が行われることになるが、この場合の通常処理は、図5
0に示した処理手順(第7の実施例)と同様である。な
お、図50のステップ5040においては、トラフィッ
ク状態管理部5120によって、図56に示した処理手
順に従ってトラフィック状態の検査及び更新が行われる
ことになる。
【0242】続いて、低負荷時の処理について、図67
の低負荷時処理動作を示すフローチャートを参照して説
明する。図41に示した処理手順のステップ4110〜
4130と同様の処理が行われた後、トラフィックパタ
ーン情報更新部6100によって、図64に示した処理
手順に従ってトラフィックパターン情報の更新が行われ
る(ステップ6740)。その後、図41に示した処理
手順のステップ4140と同様の処理が行われる(ステ
ップ6750)。
の低負荷時処理動作を示すフローチャートを参照して説
明する。図41に示した処理手順のステップ4110〜
4130と同様の処理が行われた後、トラフィックパタ
ーン情報更新部6100によって、図64に示した処理
手順に従ってトラフィックパターン情報の更新が行われ
る(ステップ6740)。その後、図41に示した処理
手順のステップ4140と同様の処理が行われる(ステ
ップ6750)。
【0243】以上説明したように第9の実施例によれ
ば、上述した第8の実施例の作用効果と同様の効果を得
ることができる。特に、この第9の実施例では、低負荷
時に、トラフィックパターン情報抽出部5110内のト
ラフィックパターン情報を最新のものとなるように更新
(この第9の実施例では、フレームシーケンス種別及び
その出現数のデータが追加される)するようにしている
ので、フレーム種別が同定される確率が高くなることと
なり、よって、フレーム種別の同定処理を効率よく実施
することができる。
ば、上述した第8の実施例の作用効果と同様の効果を得
ることができる。特に、この第9の実施例では、低負荷
時に、トラフィックパターン情報抽出部5110内のト
ラフィックパターン情報を最新のものとなるように更新
(この第9の実施例では、フレームシーケンス種別及び
その出現数のデータが追加される)するようにしている
ので、フレーム種別が同定される確率が高くなることと
なり、よって、フレーム種別の同定処理を効率よく実施
することができる。
【0244】
【発明の効果】以上詳細に説明したように、第1の発明
によれば、リアルタイムに受信したフレーム内の全ての
プロトコル情報を展開することなく、前処理として得ら
れた上位層プロトコル情報を参照することにより、当該
フレームの上位層プロトコルの種類を特定することがで
きる。
によれば、リアルタイムに受信したフレーム内の全ての
プロトコル情報を展開することなく、前処理として得ら
れた上位層プロトコル情報を参照することにより、当該
フレームの上位層プロトコルの種類を特定することがで
きる。
【0245】また第2の発明によれば、リアルタイムに
受信したフレーム内の全てのプロトコル情報を展開する
ことなく、予め設定された上位層プロトコルの種類毎の
抽出すべき情報のフレームデータ上の位置を示す位置情
報に基づき、当該リアルタイムに受信したフレーム内の
上位層パケットから、必要十分な着目する情報を抽出す
ることができる。
受信したフレーム内の全てのプロトコル情報を展開する
ことなく、予め設定された上位層プロトコルの種類毎の
抽出すべき情報のフレームデータ上の位置を示す位置情
報に基づき、当該リアルタイムに受信したフレーム内の
上位層パケットから、必要十分な着目する情報を抽出す
ることができる。
【0246】第3の発明によれば、リアルタイムに受信
したフレーム内の全てのプロトコル情報を展開すること
なく、前処理で得られた上位層プロトコルの情報に従っ
て特定された上位層プロトコルの種類と、当該上位層プ
ロトコルの種類の特徴を表す情報が存在する位置を表す
位置情報と、当該上位層プロトコルの種類に対応する所
定のデータ単位についてのデータ送受に関する内容の特
徴を表す情報とに基づいて、当該リアルタイムに受信し
たフレーム内の上位層パケットから、必要十分な着目す
る情報を抽出することができる。すなわち、アプリケー
ション毎に分類された各フレームシーケンス種別(所定
のデータ単位としてのセッション単位毎のフレームシー
ケンス種別)に従って、フレームを同定し、そのフレー
ムの上位層プロトコル(すなわちアプリケーション層)
の種類を特定して、該アプリケーション層のデータか
ら、必要十分な着目する情報を抽出することができる。
したフレーム内の全てのプロトコル情報を展開すること
なく、前処理で得られた上位層プロトコルの情報に従っ
て特定された上位層プロトコルの種類と、当該上位層プ
ロトコルの種類の特徴を表す情報が存在する位置を表す
位置情報と、当該上位層プロトコルの種類に対応する所
定のデータ単位についてのデータ送受に関する内容の特
徴を表す情報とに基づいて、当該リアルタイムに受信し
たフレーム内の上位層パケットから、必要十分な着目す
る情報を抽出することができる。すなわち、アプリケー
ション毎に分類された各フレームシーケンス種別(所定
のデータ単位としてのセッション単位毎のフレームシー
ケンス種別)に従って、フレームを同定し、そのフレー
ムの上位層プロトコル(すなわちアプリケーション層)
の種類を特定して、該アプリケーション層のデータか
ら、必要十分な着目する情報を抽出することができる。
【0247】更に上記各発明によれば、従来と比較し
て、トラフィック収集と必要最小限の情報抽出とをリア
ルタイムで行うようにしているので、不要なデータまで
を蓄積する必要がなく、長時間、大量のトラフィック収
集が可能となる。また上位層プロトコル中の情報を、そ
の上位層までの各層のプロトコルフォーマットのデコー
ド(展開)を行うこと無く得ることができるので、1フ
レーム当たりの情報抽出時間が短縮させることができ、
しかも、高価なハードウェアを使用することなく、フレ
ームの取りこぼし率を低減させることができる。
て、トラフィック収集と必要最小限の情報抽出とをリア
ルタイムで行うようにしているので、不要なデータまで
を蓄積する必要がなく、長時間、大量のトラフィック収
集が可能となる。また上位層プロトコル中の情報を、そ
の上位層までの各層のプロトコルフォーマットのデコー
ド(展開)を行うこと無く得ることができるので、1フ
レーム当たりの情報抽出時間が短縮させることができ、
しかも、高価なハードウェアを使用することなく、フレ
ームの取りこぼし率を低減させることができる。
【図1】本発明に係るトラフィック収集解析装置の第1
の実施例を示す機能ブロック図。
の実施例を示す機能ブロック図。
【図2】本発明に係るトラフィック収集解析装置を有す
るネットワークシステムの一例を示す構成図。
るネットワークシステムの一例を示す構成図。
【図3】第1の実施例の初期段階処理動作を示すフロー
チャート。
チャート。
【図4】第1の実施例の後期段階処理動作を示すフロー
チャート。
チャート。
【図5】後期段階処理におけるアプリケーション判定処
理動作を示すフローチャート。
理動作を示すフローチャート。
【図6】初期段階における1次トラフィック情報の一例
を示す図。
を示す図。
【図7】初期段階におけるデータ解析結果の一例を示す
図。
図。
【図8】初期段階におけるデータ解析結果の一例を示す
図。
図。
【図9】アプリケーション判定基準保持手段17に保持
されるアプリケーション判定基準の一例を示す図。
されるアプリケーション判定基準の一例を示す図。
【図10】アプリケーション判定情報蓄積手段19に蓄
積されるアプリケーション判定情報の一例を示す図。
積されるアプリケーション判定情報の一例を示す図。
【図11】アプリケーション情報テンプレート保持手段
21に保持されるアプリケーション情報テンプレートの
一例を示す図。
21に保持されるアプリケーション情報テンプレートの
一例を示す図。
【図12】2次トラフィック情報蓄積手段23に蓄積さ
れる2次トラフィック情報蓄積手段の一例を示す図。
れる2次トラフィック情報蓄積手段の一例を示す図。
【図13】本発明に係るトラフィック収集解析装置の第
2の実施例を示す機能ブロック図。
2の実施例を示す機能ブロック図。
【図14】フレーム収集部1310の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図15】データリンク層ヘッダ情報の一例を示す図。
【図16】フレーム解釈部1320の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図17】1次トラフィック情報蓄積部1330の詳細
な構成を示す機能ブロック図。
な構成を示す機能ブロック図。
【図18】1次トラフィック情報蓄積部1330に蓄積
される1次フレーム情報の一例を示す図。
される1次フレーム情報の一例を示す図。
【図19】トラフィック構成情報抽出部1340の詳細
な構成を示す機能ブロック図。
な構成を示す機能ブロック図。
【図20】トラフィック構成情報抽出部1340による
フレーム特徴情報及びトラフィック構成情報の抽出処理
を説明するための説明図。
フレーム特徴情報及びトラフィック構成情報の抽出処理
を説明するための説明図。
【図21】発信元及び宛先アドレス別のトラフィック構
成情報及びフレーム特徴情報の一例を示す図。
成情報及びフレーム特徴情報の一例を示す図。
【図22】フレーム判定部1350の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図23】フレーム判定部1350によるフレーム判定
処理を説明するための説明図。
処理を説明するための説明図。
【図24】着目情報抽出部1360の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図25】着目情報テンプレート保持手段1362に保
持される着目テンプレートの一例を示す図。
持される着目テンプレートの一例を示す図。
【図26】2次トラフィック情報蓄積部1370の詳細
な構成を示す機能ブロック図。
な構成を示す機能ブロック図。
【図27】2次トラフィック情報蓄積部1370に蓄積
される2次フレーム情報の一例を示す図。
される2次フレーム情報の一例を示す図。
【図28】第2の実施例の前処理動作を示すフローチャ
ート。
ート。
【図29】第2の実施例の通常理動作を示すフローチャ
ート。
ート。
【図30】本発明に係るトラフィック収集解析装置の第
3の実施例を示す機能ブロック図。
3の実施例を示す機能ブロック図。
【図31】0次トラフィック情報蓄積部3000の詳細
な構成を示す機能ブロック図。
な構成を示す機能ブロック図。
【図32】第3の実施例の前処理動作を示すフローチャ
ート。
ート。
【図33】本発明に係るトラフィック収集解析装置の第
4の実施例を示す機能ブロック図。
4の実施例を示す機能ブロック図。
【図34】負荷トレンド情報更新部3310の詳細な構
成を示す機能ブロック図。
成を示す機能ブロック図。
【図35】低負荷時処理スケジューリング部3320の
詳細な構成を示す機能ブロック図。
詳細な構成を示す機能ブロック図。
【図36】2次トラフィック情報再処理部3330の詳
細な構成を示す機能ブロック図。
細な構成を示す機能ブロック図。
【図37】トラフィック構成情報更新部3340の詳細
な構成を示す機能ブロック図。
な構成を示す機能ブロック図。
【図38】トラフィック構成情報更新部3340による
トラフィック構成情報の更新処理を説明するための説明
図。
トラフィック構成情報の更新処理を説明するための説明
図。
【図39】第4の実施例の前処理動作を示すフローチャ
ート。
ート。
【図40】第4の実施例の通常処理動作を示すフローチ
ャート。
ャート。
【図41】第4の実施例の低負荷時処理動作を示すフロ
ーチャート。
ーチャート。
【図42】本発明に係るトラフィック収集解析装置の第
5の実施例を示す機能ブロック図。
5の実施例を示す機能ブロック図。
【図43】トラフィック状態管理部4210の詳細な構
成を示す機能ブロック図。
成を示す機能ブロック図。
【図44】トラフィック状態管理部4210によるトラ
フィック状態の管理処理を説明するための説明図。
フィック状態の管理処理を説明するための説明図。
【図45】フレーム判定部4220の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図46】フレーム判定部4220によるフレーム種別
の判定処理を説明するための説明図。
の判定処理を説明するための説明図。
【図47】第5の実施例の通常処理動作を示すフローチ
ャート。
ャート。
【図48】本発明に係るトラフィック収集解析装置の第
6の実施例を示す機能ブロック図。
6の実施例を示す機能ブロック図。
【図49】本発明に係るトラフィック収集解析装置の第
7の実施例を示す機能ブロック図。
7の実施例を示す機能ブロック図。
【図50】第7の実施例の通常処理動作を示すフローチ
ャート。
ャート。
【図51】本発明に係るトラフィック収集解析装置の第
8の実施例を示す機能ブロック図。
8の実施例を示す機能ブロック図。
【図52】トラフィックパターン情報抽出部5110の
詳細な構成を示す機能ブロック図。
詳細な構成を示す機能ブロック図。
【図53】トラフィックパターン情報抽出部5110に
よるトラフィックパターン情報の抽出処理を説明するた
めの説明図。
よるトラフィックパターン情報の抽出処理を説明するた
めの説明図。
【図54】トラフィックパターン情報の一例を示す図。
【図55】トラフィック状態管理部5120の詳細な構
成を示す機能ブロック図。
成を示す機能ブロック図。
【図56】トラフィック状態管理部5120によるトラ
フィック状態の管理処理を説明するための説明図。
フィック状態の管理処理を説明するための説明図。
【図57】フレーム判定部5130の詳細な構成を示す
機能ブロック図。
機能ブロック図。
【図58】フレーム判定部5130によるフレーム種別
の判定処理を説明するための説明図。
の判定処理を説明するための説明図。
【図59】第8の実施例の前処理動作を示すフローチャ
ート。
ート。
【図60】第8の実施例の通常処理動作を示すフローチ
ャート
ャート
【図61】本発明に係るトラフィック収集解析装置の第
9の実施例を示す機能ブロック図。
9の実施例を示す機能ブロック図。
【図62】第9の実施例における低負荷処理スケジュー
リング部3320の処理を説明するための図。
リング部3320の処理を説明するための図。
【図63】トラフィックパターン情報更新部6100の
詳細な構成を示す機能ブロック図。
詳細な構成を示す機能ブロック図。
【図64】トラフィックパターン情報更新部6100に
よるトラフィックパターン情報の更新処理を説明するた
めの説明図。
よるトラフィックパターン情報の更新処理を説明するた
めの説明図。
【図65】第9の実施例の前処理動作を示すフローチャ
ート。
ート。
【図66】第9の実施例の低負荷時処理動作を示すフロ
ーチャート。
ーチャート。
11…信号受信手段、12…時刻検出手段、13…信号
復号化手段、 14…フレーム情報抽出部、15…パケット解析部、 16…1次トラフィック情報蓄積手段、 17…アプリケーション判定基準保持手段、 18…アプリケーション判定情報抽出手段、 19…アプリケーション判定情報蓄積手段、 20…アプリケーション判定手段、 21…アプリケーション情報テンプレート保持手段、 22…アプリケーション情報抽出手段、 23…2次トラフィック情報蓄積手段、 1310…フレーム収集部、 1320…フレーム解釈部、 1330…1次トラフィック情報蓄積部、 1340…トラフィック構成情報抽出部、 1350、4420、5130…フレーム判定部、 1360…着目情報抽出部、 1370…2次トラフィック情報蓄積部、 3000…0次トラフィック情報蓄積部、 3310…負荷トレンド情報更新部、 3320…低負荷時処理スケジューリング部、 3330…2次トラフィック情報再処理部、 3340…トラフィック構成情報更新部、 4210、5120…トラフィック状態管理部、 5110…トラフィックパターン情報抽出部、 6100…トラフィックパターン情報更新部。
復号化手段、 14…フレーム情報抽出部、15…パケット解析部、 16…1次トラフィック情報蓄積手段、 17…アプリケーション判定基準保持手段、 18…アプリケーション判定情報抽出手段、 19…アプリケーション判定情報蓄積手段、 20…アプリケーション判定手段、 21…アプリケーション情報テンプレート保持手段、 22…アプリケーション情報抽出手段、 23…2次トラフィック情報蓄積手段、 1310…フレーム収集部、 1320…フレーム解釈部、 1330…1次トラフィック情報蓄積部、 1340…トラフィック構成情報抽出部、 1350、4420、5130…フレーム判定部、 1360…着目情報抽出部、 1370…2次トラフィック情報蓄積部、 3000…0次トラフィック情報蓄積部、 3310…負荷トレンド情報更新部、 3320…低負荷時処理スケジューリング部、 3330…2次トラフィック情報再処理部、 3340…トラフィック構成情報更新部、 4210、5120…トラフィック状態管理部、 5110…トラフィックパターン情報抽出部、 6100…トラフィックパターン情報更新部。
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 29/14
Claims (3)
- 【請求項1】 伝送路に伝送されるプロトコル情報を含
むデータを受信する受信手段を備え、該受信手段によっ
て受信したデータを解析するトラフィック収集解析装置
において、 前記受信手段により予め受信した前記データから、上位
層プロトコルの種類毎にそれぞれ対応して上位層プロト
コル情報の使用頻度を演算する演算手段と、 前記演算手段による演算結果を記憶する記憶手段と、 前記受信手段によりリアルタイムに受信したデータにつ
いて、前記記憶手段を参照して使用頻度の高い種類順に
上位層プロトコルの特徴と比較することにより、当該デ
ータの上位層プロトコルの種類の特定を行った後、当該
データの解析を行う解析手段とを具備したことを特徴と
するトラフィック収集解析装置。 - 【請求項2】 伝送路に伝送されるプロトコル情報を含
むデータを受信する受信手段を備え、該受信手段によっ
て受信したデータを解析するトラフィック収集解析装置
において、 前記受信手段により予め受信した前記データ中から、上
位層プロトコルの種類毎の使用頻度を演算する演算手段
と、 前記演算手段により演算された使用頻度の高い順に、上
位層プロトコルの種類と、上位層プロトコルを特定する
ための特徴を示す情報であって前記予め受信したデータ
上の位置情報に基づき前記予め受信したデータから抽出
した当該位置情報に対応する位置のデータ値とを対応さ
せた特定情報を作成する作成手段と、 前記作成手段により作成された特定情報を記憶する記憶
手段と、 リアルタイムに受信したデータについて、前記記憶手段
に記憶された特定情報を参照して上位層プロトコルの種
類を特定する特定手段と、 前記特定手段によって特定された上位層プロトコルの種
類と、当該上位層プロトコルの種類の特徴を示す情報が
存在する位置を表す位置情報とに基づいて、前記リアル
タイムに受信したデータから情報を抽出する抽出手段と
を具備したことを特徴とするトラフィック収集解析装
置。 - 【請求項3】 伝送路に伝送されるプロトコル情報を含
むデータを受信する受信手段を備え、該受信手段によっ
て受信したデータを解析するトラフィック収集解析装置
において、 前記受信手段により予め受信した前記データ中から、上
位層プロトコルの種類毎の使用頻度を演算する演算手段
と、 前記演算手段により演算された使用頻度の高い順に、上
位層プロトコルの種類と、上位層プロトコルを特定する
ための特徴を示す情報であって前記予め受信したデータ
上の位置情報に基づき前記予め受信したデータから抽出
した当該位置情報に対応する位置のデータ値とを対応さ
せた特定情報を作成する作成手段と、 前記作成手段により作成された特定情報を記憶する第1
の記憶手段と、 前記受信手段により予め受信した前記データを上位層プ
ロトコルの種類毎に分類し、当該上位層プロトコルの種
類毎のデータを所定のデータ単位に分割すると共に、当
該所定のデータ単位毎にデータ送受に関する内容の特徴
を抽出し、更に当該抽出結果と当該分類した上位層プロ
トコルの種類とを対応させたパターン情報を作成するパ
ターン情報抽出手段と、 前記パターン情報抽出手段により作成されたパターン情
報を記憶する第2の記憶手段と、 リアルタイムに受信したデータについて、前記第1の記
憶手段に記憶された特定情報及び前記第2の記憶手段に
記憶されたパターン情報を参照して上位層プロトコルの
種類を特定する特定手段と、 前記特定手段によって特定された上位層プロトコルの種
類と、当該上位層プロトコルの種類の特徴を示す情報が
存在する位置を表す位置情報とに基づいて、前記リアル
タイムに受信したデータから情報を抽出する抽出手段と
を具備したことを特徴とするトラフィック収集解析装
置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6111514A JPH07231317A (ja) | 1993-12-22 | 1994-05-25 | トラフィック収集解析装置 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP5-324810 | 1993-12-22 | ||
| JP32481093 | 1993-12-22 | ||
| JP6111514A JPH07231317A (ja) | 1993-12-22 | 1994-05-25 | トラフィック収集解析装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH07231317A true JPH07231317A (ja) | 1995-08-29 |
Family
ID=26450890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6111514A Pending JPH07231317A (ja) | 1993-12-22 | 1994-05-25 | トラフィック収集解析装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH07231317A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002029579A1 (fr) * | 2000-10-03 | 2002-04-11 | Netagent Co. Ltd | Enregistreur d"informations de communication |
| KR100495086B1 (ko) * | 2001-09-27 | 2005-06-14 | 주식회사 케이티 | 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법 |
| JP2010081343A (ja) * | 2008-09-26 | 2010-04-08 | Fujitsu Ltd | パケット特定プログラム、パケット特定方法及びパケット特定装置 |
| EP2704360A1 (en) | 2012-08-22 | 2014-03-05 | Fujitsu Limited | Information processing system, relay device, and information processing method |
| JP5565511B1 (ja) * | 2013-08-09 | 2014-08-06 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| WO2018173292A1 (ja) * | 2017-03-24 | 2018-09-27 | 三菱電機株式会社 | ゲートウェイ装置、優先度変更方法及び優先度変更プログラム |
-
1994
- 1994-05-25 JP JP6111514A patent/JPH07231317A/ja active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002029579A1 (fr) * | 2000-10-03 | 2002-04-11 | Netagent Co. Ltd | Enregistreur d"informations de communication |
| US7197507B2 (en) | 2000-10-03 | 2007-03-27 | Netagent Co., Ltd | Communication information recording device |
| KR100495086B1 (ko) * | 2001-09-27 | 2005-06-14 | 주식회사 케이티 | 수동적 측정 방식을 이용한 인터넷 프로토콜 네트워크트래픽 정보 분석 장치 및 방법 |
| JP2010081343A (ja) * | 2008-09-26 | 2010-04-08 | Fujitsu Ltd | パケット特定プログラム、パケット特定方法及びパケット特定装置 |
| EP2704360A1 (en) | 2012-08-22 | 2014-03-05 | Fujitsu Limited | Information processing system, relay device, and information processing method |
| US9686149B2 (en) | 2012-08-22 | 2017-06-20 | Fujitsu Limited | Information processing system, relay device, and information processing method |
| JP5565511B1 (ja) * | 2013-08-09 | 2014-08-06 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| JP2015035125A (ja) * | 2013-08-09 | 2015-02-19 | 富士ゼロックス株式会社 | 情報処理システム及び情報処理プログラム |
| WO2018173292A1 (ja) * | 2017-03-24 | 2018-09-27 | 三菱電機株式会社 | ゲートウェイ装置、優先度変更方法及び優先度変更プログラム |
| JP6509474B2 (ja) * | 2017-03-24 | 2019-05-08 | 三菱電機株式会社 | ゲートウェイ装置、優先度変更方法及び優先度変更プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7873594B2 (en) | System analysis program, system analysis method, and system analysis apparatus | |
| US8543988B2 (en) | Trace processing program, method and system | |
| US7529828B2 (en) | Method and apparatus for analyzing ongoing service process based on call dependency between messages | |
| CN106921637A (zh) | 网络流量中的应用信息的识别方法和装置 | |
| US20090248803A1 (en) | Apparatus and method of analyzing service processing status | |
| CN110677324A (zh) | 基于sFlow采样与控制器主动更新列表的大象流两级检测方法 | |
| CN108632111A (zh) | 一种基于日志的服务链路监控方法 | |
| CN108462598A (zh) | 一种日志生成方法、日志分析方法及装置 | |
| EP3282643A1 (en) | Method and apparatus of estimating conversation in a distributed netflow environment | |
| CN115562879B (zh) | 算力感知方法、装置、电子设备和存储介质 | |
| CN110855493A (zh) | 用于混合环境的应用拓扑图绘制装置 | |
| CN113254341B (zh) | 链路数据的跟踪方法、装置、设备及存储介质 | |
| US8140671B2 (en) | Apparatus and method for sampling security events based on contents of the security events | |
| JPH07231317A (ja) | トラフィック収集解析装置 | |
| CN115220995A (zh) | 一种基于agent探针的微服务全链路分析方法 | |
| CN102055620B (zh) | 监控用户体验的方法和系统 | |
| CN105491158A (zh) | 一种基于网络数据流的http内容还原方法及系统 | |
| CN116346649A (zh) | 负载均衡设备的虚服务抓包方法及装置 | |
| CN114095383B (zh) | 网络流量采样方法、系统和电子设备 | |
| US20100017401A1 (en) | Recording medium storing system analyzing program, system analyzing apparatus, and system analyzing method | |
| CN113239127A (zh) | 科技服务关联网络的构建、依赖关系的识别方法及计算机产品 | |
| US20200296189A1 (en) | Packet analysis apparatus, packet analysis method, and storage medium | |
| WO2001027850A2 (en) | Electronic shopping management: user states | |
| Kawasaki et al. | Failure prediction in cloud native 5G Core with eBPF-based observability | |
| CN102282824A (zh) | 用于在电子通信系统中进行服务平衡的方法、设备和计算机程序产品 |