+

JP2008104027A - パケット情報収集装置およびパケット情報収集プログラム - Google Patents

パケット情報収集装置およびパケット情報収集プログラム Download PDF

Info

Publication number
JP2008104027A
JP2008104027A JP2006285543A JP2006285543A JP2008104027A JP 2008104027 A JP2008104027 A JP 2008104027A JP 2006285543 A JP2006285543 A JP 2006285543A JP 2006285543 A JP2006285543 A JP 2006285543A JP 2008104027 A JP2008104027 A JP 2008104027A
Authority
JP
Japan
Prior art keywords
packet
information
unit
address
connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006285543A
Other languages
English (en)
Inventor
Hideyo Fukunaga
英世 福永
Takeshi Miyaura
武士 宮浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006285543A priority Critical patent/JP2008104027A/ja
Priority to US11/872,344 priority patent/US20080095153A1/en
Publication of JP2008104027A publication Critical patent/JP2008104027A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】コネクション単位の情報を収集し、かつ、収集すべき情報の指定変更に柔軟に対応することを課題とする。
【解決手段】送信元アドレスから送信先アドレスに対して送信されたパケットを受信してパケットに関する情報を収集するパケット情報収集装置であって、送信元アドレスおよび送信先アドレスの組み合わせを特定したコネクション単位での情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持し、保持されたコネクション単位識別情報で識別されるパケットを受信した場合に情報を取得し、取得した情報をパケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位で所定の記憶部に記憶させる。
【選択図】 図1

Description

この発明は、パケット情報収集装置およびパケット情報収集プログラムに関する。
従来より、ネットワーク上を伝送されるパケットに関する情報を収集するパケット情報収集装置は、ネットワークのキャパシティプランニングや障害発生時の切り分けなどを目的として、ネットワークを運用する運用管理者などに利用されている。また、最近では特に、ネットワークの安定稼働や障害発生の予防(例えば、異常トラフィックによるサーバのスローダウンや攻撃によるシステムダウンの予防など)といった目的も加わり、パケット情報収集装置の利用は一段と注目を集めている。
このようなパケット情報収集装置は、ユーザポリシーなどによって予め指定された情報(どのようなパケットがどの端末からいくつ送信されたかに関する統計情報など)を収集する。例えば、パケット情報収集装置は、ユーザポリシーによって予め指定されたパケット(どのようなパケットでどの端末から送信されたパケットであるかを指定されたパケットなど)を識別するハードロジックを有し、ネットワーク上を伝送されるパケットが指定されたパケットであるか否かをハードロジックにより識別して、該当するパケットに関する情報(いくつ送信されたかなど)を収集する。
また、例えば、特許文献1では、パケット情報収集装置が、予め指定された情報(AIS(Alarm Indication Signal)/RDI(Remote Defect Indication)による障害通知)を回路インタフェースで検出して回路ボードのメモリに一時的に記憶し、回路ボードから制御部に情報の統計値を転送する手法が開示されている。
特開平10−23011号公報
ところで、上記した従来の技術では、収集すべき情報の指定変更に柔軟に対応することができないという課題があった。すなわち、パケットを識別するハードロジックを有する手法で指定変更に対応するには、ハードロジックを大規模に構成しなければならず、柔軟に対応することができるものではない。また、AIS/RDIによる障害通知を回路インタフェースで検出する手法で指定変更に対応するには、他の情報を検知可能な回路インタフェースを導入しなければならず、やはり、柔軟に対応することができるものではない。
このような課題を解決するため、収集すべき情報の指定を記憶部に保持する手法が提案されている(本発明と同一の出願人によって出願された特願2005−509468号)。具体的に説明すると、この提案の手法では、パケット情報収集装置は、まず、ユーザポリシーによって指定されたパケットの識別情報を記憶部に保持し、次に、ネットワーク上を伝送されるパケットを受信すると、識別情報で識別されるパケットの統計情報をパケット単位に記憶する(送信元アドレスまたは送信先アドレスが特定されている統計情報を記憶する)。この提案の手法によれば、収集すべき情報の指定変更は、記憶部に保持する識別情報を変更するのみでよいことから、収集すべき情報の指定変更に柔軟に対応することができる。
しかしながら、この提案の手法によると、コネクション単位の情報(送信元アドレスおよび送信先アドレスの組み合わせが特定されている情報)を収集することができないという課題が生じる。すなわち、この提案の手法は、識別情報で識別されるパケットの統計情報を、送信元アドレスまたは送信先アドレスが特定されているパケット単位に記憶することから、コネクション単位の情報を収集することができない。
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、コネクション単位の情報を収集することが可能であり、かつ、収集すべき情報の指定変更に柔軟に対応することが可能なパケット情報収集装置およびパケット情報収集プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、送信元アドレスから送信先アドレスに対して送信されたパケットを受信して当該パケットに関する情報を収集するパケット情報収集装置であって、前記送信元アドレスおよび前記送信先アドレスの組み合わせを特定したコネクション単位での前記情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持するコネクション単位識別情報保持手段と、前記コネクション単位識別情報保持手段によって保持されたコネクション単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定される前記コネクション単位で所定の記憶部に記憶させるコネクション単位パケット情報収集手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記所定の記憶部は、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、前記コネクション単位パケット情報収集手段は、前記コネクション単位で所定の記憶部に記憶させる前記情報を、前記記憶部において、当該情報の収集対象となったパケットの送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される前記区分け内に記憶させることを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記コネクション単位パケット情報収集手段は、前記送信元アドレスおよび前記送信先アドレスの組み合わせで特定されるコネクション単位の前記情報に、当該送信元アドレスが送信先アドレスとして含まれ当該送信先アドレスが送信元アドレスとして含まれる反対方向パケットに関する情報であって当該反対方向パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報を関連づけて所定の記憶部に記憶させることを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記コネクション単位パケット情報収集手段は、前記コネクション単位で記憶させる前記情報として、前記パケットに関する統計情報、当該パケットに関するステータス情報、当該パケットのシーケンスナンバーのいずれか一つまたは複数を取得することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記送信元アドレスまたは前記送信先アドレスを特定したパケット単位での前記情報の収集対象となるパケットを識別するパケット単位識別情報を所定の入力部において受け付けて保持するパケット単位識別情報保持手段と、前記パケット単位識別情報保持手段によって保持されたパケット単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスまたは送信先アドレスで特定されるパケット単位で所定の記憶部に記憶させるパケット単位パケット情報収集手段と、をさらに備えたことを特徴とする。
請求項1の発明によれば、送信元アドレスから送信先アドレスに対して送信されたパケットを受信してパケットに関する情報を収集するパケット情報収集装置であって、送信元アドレスおよび送信先アドレスの組み合わせを特定したコネクション単位での情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持し、保持されたコネクション単位識別情報で識別されるパケットを受信した場合に情報を取得し、取得した情報をパケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位で所定の記憶部に記憶させるので、コネクション単位の情報を収集することが可能になり、かつ、収集すべき情報の指定変更に柔軟に対応することが可能になる。すなわち、本発明の手法によれば、コネクション単位識別情報で識別されるパケットに関する情報を、送信元アドレスおよび送信先アドレスの組み合わせが特定されているコネクション単位に記憶することから、コネクション単位の情報を収集することが可能になり、かつ、本発明の手法によれば、収集すべき情報の指定変更(ユーザポリシーの変更)は、コネクション単位識別情報の変更を所定の入力部において受け付けて保持するのみでよいことから、収集すべき情報の指定変更に柔軟に対応することが可能になる。
また、請求項2の発明によれば、所定の記憶部は、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、パケット情報収集装置は、コネクション単位で所定の記憶部に記憶させる情報を、記憶部において、情報の収集対象となったパケットの送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される区分け内に記憶させるので、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号などが特定されるコネクション単位の情報を、区分けされた所定の記憶部(例えば、特定のメモリ領域(BANK)など)に収集することが可能になる。また、所定の記憶部の区分け手法によって、ネットワークの運用管理者などが着目する視点においてトラフィック特性を分析することが可能になる。
また、請求項3の発明によれば、パケット情報収集装置は、送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報に、この送信元アドレスが送信先アドレスとして含まれこの送信先アドレスが送信元アドレスとして含まれる反対方向パケットに関する情報であって反対方向パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報を関連づけて所定の記憶部に記憶させるので、コネクション単位の情報を、双方向のトラフィック特性の観点から収集することが可能になる。
また、請求項4の発明によれば、パケット情報収集装置は、コネクション単位で記憶させる情報として、パケットに関する統計情報、パケットに関するステータス情報、パケットのシーケンスナンバーのいずれか一つまたは複数を取得するので、収集したコネクション単位の情報から厳密な分析をすることが可能になる。
また、請求項5の発明によれば、パケット情報収集装置は、送信元アドレスまたは送信先アドレスを特定したパケット単位での情報の収集対象となるパケットを識別するパケット単位識別情報を所定の入力部において受け付けて保持し、保持されたパケット単位識別情報で識別されるパケットを受信した場合に情報を取得し、取得した情報をパケットに含まれる送信元アドレスまたは送信先アドレスで特定されるパケット単位で所定の記憶部に記憶させるので、コネクション単位の情報のみならず、パケット単位の情報を収集することも可能になる。
以下に添付図面を参照して、本発明に係るパケット情報収集装置およびパケット情報収集プログラムの実施例を詳細に説明する。なお、以下では、実施例で用いる主要な用語、実施例1に係るパケット情報収集装置の概要および特徴、実施例1に係るパケット情報収集装置の構成および処理の手順、実施例1の効果を順に説明し、次に、他の実施例について説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例で用いる「パケット」とは、装置間で送受信されるデータ(上位アプリケーションで利用されるデータ)に、その他の制御情報(例えば、送信元アドレスや送信先アドレスなど)が付加されたデータの固まりのことである。すなわち、装置間でデータを送受信する際には、データをある程度の大きさに分割して送受信することが一般的に行われるが、分割したデータを送信先の装置に送信するには、例えば、TCP(Transmission Control Protocol)による通信であれば、送信元の装置のアドレス(送信元アドレス)、送信先の装置のアドレス(送信先アドレス)、送信元ポート番号、送信先ポート番号などの制御情報が必要となる。このため、装置間では、これらの制御情報を付加した「パケット」でデータの送受信を行う。
ところで、上記したように、「パケット」には、上位アプリケーションで利用されるデータの他に様々な制御情報が付加されていることから、「パケット情報収集装置」が「パケットに関する情報」としてこれらの制御情報に着目した情報を収集すると、その後、収集された情報は、通信状況の分析などに活用されることができる。例えば、「パケット情報収集装置」が、「パケットに関する情報」として特定の送信元アドレスに着目した情報を収集すると、その後、収集された情報は、特定の送信元アドレス(送信元の装置)の通信状況の分析などに活用されることができる。
このように、「パケット情報収集装置」が「パケットに関する情報」として収集した情報の活用場面は多く、ネットワークを運用する運用管理者などにとって、「パケットに関する情報」を収集することは、ネットワークのキャパシティプランニングや障害発生時の切り分けのみならず、ネットワークの安定稼働や障害発生の予防にも役立つこととして、注目を集めている。もっとも、ネットワーク上を伝送される「パケット」の数や種類は膨大であり、「パケットに関する情報」を全て収集すれば良いというものではない。ネットワークの運用管理目的などに則って、必要な情報を適切に収集することが重要である。特に、上記してきたように、「パケット」は装置間で送受信されるものであることから、「送信元アドレス」および「送信先アドレス」の組み合わせを特定したコネクション単位でパケットを収集することは非常に有意義であるといえる。
[実施例1に係るパケット情報収集装置の概要および特徴]
続いて、図1を用いて、実施例1に係るパケット情報収集装置の概要および特徴を説明する。図1は、実施例1に係るパケット情報収集装置の概要および特徴を説明するための図である。なお、パケット情報収集装置は、情報を収集する対象となるネットワークのバックボーンに接続してパケットを受信する構成や、インターネットに公開されるWebサーバとインターネットとの間に接続してWebサーバにアクセスするパケットを受信する構成など、パケットを受信してパケットに関する情報を収集する構成であれば、いずれの構成においても適用することができる。
実施例1に係るパケット情報収集装置は、上記したように、送信元アドレスから送信先アドレスに対して送信されたパケットを受信してパケットに関する情報を収集することを概要とし、コネクション単位の情報を収集し、かつ、収集すべき情報の指定変更に柔軟に対応することを主たる特徴とする。
この主たる特徴について簡単に説明すると、実施例1に係るパケット情報収集装置は、図1に示すように、コネクション単位識別情報(送信元アドレスおよび送信先アドレスの組み合わせを特定したコネクション単位での情報の収集対象となるパケットを識別する情報)を所定の入力部において受け付けて保持する(図1の(1)を参照)。例えば、パケット情報収集装置は、コネクション単位識別情報として、図1の(1)に示すように、パケット種別(フレームタイプ「IPv4(Internet Protocol version 4)」、プロトコル「TCP(Transmission Control Protocol)」)などを指定する情報を、キーボードなどの入力部において受け付けて保持する。
なお、図1では、コネクション単位識別情報として、パケット種別を指定する情報を保持する手法を例示するが、本発明はこれに限られるものではなく、エラー種別を指定する情報を保持する手法や、その他の制御情報を保持する手法など、情報の収集対象となるパケットを識別する識別情報であれば、保持する情報の種類や組み合わせはいずれでもよい。
実施例1に係るパケット情報収集装置は、図1に示すように、コネクション単位識別情報で識別されるパケットを受信した場合に(図1の(2)を参照)、情報を取得し、取得した情報を、パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位で所定の記憶部に記憶させる(図1の(3)を参照)。
例えば、パケット情報収集装置は、コネクション単位識別情報で識別されるパケットとして、図1の(2)に示すように、送信元アドレス「10.22.72.160」、送信先アドレス「10.22.72.113」、送信元ポート番号「2000」、送信先ポート番号「80」などを含むパケットを受信した場合に、図1の(3)に示すように、情報として、送信元アドレス「10.22.72.160」から送信先アドレス「10.22.72.113」に対して送信されたパケットのカウントを取得し、取得したカウントを、送信元アドレス「10.22.72.160」および送信先アドレス「10.22.72.113」の組み合わせで特定されるコネクション単位で、記憶部に記憶させる。
なお、図1では、情報として、特定の送信元アドレスから特定の送信先アドレスに対して送信されたパケットのカウントを取得する事例を説明したが、本発明はこれに限られるものではなく、例えば、パケットに関するその他の統計情報、パケットに関するステータス情報、パケットのシーケンスナンバーなど、その他の情報を取得する事例にも、本発明を同様に適用することができる。
このようにして、実施例1に係るパケット情報収集装置は、コネクション単位の情報を収集することが可能になり、かつ、収集すべき情報の指定変更に柔軟に対応することが可能になる。すなわち、実施例1に係るパケット情報収集装置によれば、コネクション単位識別情報で識別されるパケットに関する情報を、送信元アドレスおよび送信先アドレスの組み合わせが特定されているコネクション単位に記憶することから、コネクション単位の情報を収集することが可能になり、かつ、実施例1に係るパケット情報収集装置によれば、収集すべき情報の指定変更(ユーザポリシーの変更)は、コネクション単位識別情報の変更を所定の入力部において受け付けて保持するのみでよいことから、収集すべき情報の指定変更に柔軟に対応することが可能になる。
なお、実施例1に係るパケット情報収集装置は、上記した主たる特徴の他に、所定の記憶部が、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、取得した情報を該当する区分け内に記憶させることにも特徴がある。また、実施例1に係るパケット情報収集装置は、記憶部に記憶される情報に、反対方向パケット(送信元アドレスと送信先アドレスとが反対のパケット)に関する情報を関連づけて記憶させることにも特徴がある。さらに、実施例1に係るパケット情報収集装置は、送信元アドレスまたは送信先アドレスを特定したパケット単位の情報も記憶部に記憶させることにも特徴がある。
[実施例1に係るパケット情報収集装置の構成]
次に、図2〜図9を用いて、実施例1に係るパケット情報収集装置の構成を説明する。図2は、実施例1に係るパケット情報収集装置の構成を示すブロック図であり、図3は、パターン抽出部内のテーブルAを説明するための図であり、図4は、パターン検索部内のテーブルCを説明するための図であり、図5は、パケット単位での情報収集について説明するための図であり、図6は、コネクション単位での情報収集について説明するための図であり、図7は、統計情報メモリBのメモリマップ例を説明するための図であり、図8は、パケット例1を説明するための図であり、図9は、パケット例2を説明するための図である。
図2に示すように、実施例1に係るパケット情報収集装置10は、特に本発明に密接に関連するものとして、パターン抽出部11と、パターン検索部12と、統計情報メモリA13と、シーケンスチェック部14と、統計情報メモリB15とから構成される。また、パターン抽出部11は、テーブルA11aを含んで構成され、パターン検索部12は、テーブルB12aとテーブルC12bとを含んで構成され、シーケンスチェック部14は、テーブルD14aを含んで構成される。
なお、実施例1に係るパケット情報収集装置10は、コネクション単位の情報のみならず、パケット単位の情報を収集することも可能な構成をとり、かつ、コネクション単位の情報を収集するか否かを、パケット単位の情報を収集する際に指定することが可能な構成をとることを前提とする。
また、パターン抽出部11のテーブルA11aが、特許請求の範囲に記載の「パケット単位識別情報保持手段」および「コネクション単位識別情報保持手段」に対応し、パターン抽出部11とパターン検索部12と統計情報メモリA13とが、特許請求の範囲に記載の「パケット単位パケット情報収集手段」に対応し、パターン抽出部11とパターン検索部12とシーケンスチェック部14と統計情報メモリB15とが、特許請求の範囲に記載の「コネクション単位パケット情報収集手段」に対応する。
かかるパケット情報収集装置10において、テーブルA11aおよびテーブルC12bは、ネットワークの運用管理者などによって入力されたユーザポリシーを保持する記憶部のことである。したがって、テーブルA11aおよびテーブルC12bは、パケット情報収集装置10によるパケット情報収集処理に先立ち、予めユーザポリシーを保持することが原則となる。以下、まず最初に、テーブルA11aおよびテーブルC12bについて説明する。
テーブルA11aは、ユーザポリシーの一つとして、パケット単位識別情報(パケット単位での情報の収集対象となるパケットを識別する情報)を保持するとともに、コネクション単位識別情報(コネクション単位での情報の収集対象となるパケットを識別する情報)を保持する。すなわち、上記したように、実施例1に係るパケット情報収集装置10は、コネクション単位の情報のみならず、パケット単位の情報を収集することも可能な構成をとることを前提とするので、テーブルA11aは、パケット単位識別情報およびコネクション単位識別情報の双方を保持する。
また、上記したように、実施例1に係るパケット情報収集装置10は、コネクション単位の情報を収集するか否かを、パケット単位の情報を収集する際に指定することが可能な構成をとることを前提とするので、テーブルA11aは、パケット単位での情報の収集対象となるパケットをコネクション単位での情報の収集対象とするか否かを指定する指定情報(後述する「コネクション監視フラグ」)を、パケット単位識別情報と対応づけて保持する形態で、コネクション単位識別情報を保持する。
以下、テーブルA11aについて具体的に説明すると、テーブルA11aは、パケット単位およびコネクション単位での情報の収集対象となるパケットを識別する識別情報を、入力部(例えば、キーボード、通信部など)において受け付けて保持し、保持した識別情報は、パターン抽出部11の処理に利用される。ここで、上記したように、テーブルA11aが保持する識別情報は、ネットワークの運用管理者などによって入力されたユーザポリシーのことである。したがって、実施例1に係るパケット情報収集装置10は、パケット情報収集処理に先立ち、識別情報を予め受け付けてテーブルA11aに保持する。また、収集すべき情報の指定変更(ユーザポリシーの変更)を行う場合には、テーブルA11aに保持される識別情報が変更されることになる。
テーブルA11aは、識別情報として、例えば、図3に示すように、「ENT」と、「パケット種別」と、「エラー種別」と、「パターン抽出位置」と、「統計情報ベースアドレス」と、「学習フラグ」と、「コネクション監視フラグ」とを対応づけて保持する。なお、実施例1においては、テーブルA11aが保持する識別情報として上記の情報を対応づけて保持する例を説明するが、本発明はこれに限られるものではなく、パケット単位もしくはコネクション単位での情報の収集対象となるパケットを識別する情報であれば、保持する情報の組み合わせや具体的な情報の内容はいずれでもよい。
各項目について個別に説明すると、「ENT」は、識別情報のエントリを示す項目であり、「0」は、エントリが無いことを示し、「1」は、エントリが有ることを示すものである。なお、図3では、後述するパケット例1を識別する識別情報を「(例1)」のエントリで示し、後述するパケット例2を識別する識別情報を「(例2)」のエントリで示す。
「パケット種別」は、「{タグの有無、タイプ値、プロトコル値}」を示す項目である。「{タグの有無}」は、所定のフィールドにタグ識別子の値「8100」が設定されているパケットを識別する場合は「1」となり、それ以外のパケットを識別する場合は「0」となる。「{タイプ値}」は、フレームタイプが「IPv4」であるパケットを識別する場合は「0800」となる。「{プロトコル値}」は、プロトコルが「TCP」であるパケットを識別する場合は「6」となる。「エラー種別」は、TTL(Time To Live)が「00」であるパケット(エラー有りのパケット)を識別する場合は「1」となり、それ以外のパケット(エラー無しのパケット)を識別する場合は「0」となる。
「パターン抽出位置」は、情報の収集対象となる具体的なパケット(「パケット種別」や「エラー種別」のみならず、送信元アドレス、送信先アドレスなどの情報が特定されたパケット)を識別する検索パターンを生成するための抽出位置を示す項目であり、「オフセット」(位置を基準点からの差で表した値)と「長さ」とを対応づけて示す。例えば、「(240,32)」は、基準点から240ビット(30バイト)の位置から、長さ32ビット(4バイト)のデータ(例えば、送信先アドレス)を検索パターンの一部として抽出することを示す。
「統計情報ベースアドレス」は、統計情報メモリA13におけるベースアドレス(セグメント方式によるアドレスの基準点)を示す項目である。「学習フラグ」は、識別情報によって識別されるパケットであって、パターン検索部12によるテーブルB12aの検索で検索失敗となるパケットを、テーブルB12aに新たに登録する場合は「1」となり、テーブルB12aに登録せずに処理を終了する場合は「0」となる。
「コネクション監視フラグ」は、パケット単位での情報の収集対象となるパケットを、コネクション単位での情報の収集対象とするか否かを指定する項目である。例えば、実施例1においては、TCPコネクションのコネクション単位で情報の収集を行う事例を説明するので、パケットをTCPコネクションのコネクション単位での情報の収集対象とする場合は「1」となり、収集対象としない場合は「0」となる。なお、実施例1においては、コネクション単位での情報収集として、TCPコネクションの場合を説明するが、本発明はこれに限られるものではなく、その他のプロトコルによるコネクション単位での情報収集の場合にも、本発明を同様に適用することができる。
テーブルC12bは、ユーザポリシーの一つとして、コネクション単位の情報を特定の区分けの記憶部に収集するための情報(例えば、特定のサーバに対するHTTP通信を行うコネクション単位の情報を特定のメモリバンクに収集するための情報)を保持する。具体的には、テーブルC12bは、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数でパケットを特定する情報と、記憶部の区分けに関する情報とを対応づけた情報を、入力部(例えば、キーボード、通信部など)において受け付けて保持し、保持した情報は、パターン検索部12による処理に利用される。ここで、上記したように、テーブルC12bが保持する情報は、例えば、ネットワークの運用管理者などによって入力されたユーザポリシーのことである。したがって、実施例1に係るパケット情報収集装置10は、パケット情報収集処理に先立ち、上記した情報を予め受け付けてテーブルC12bに保持する。
テーブルC12bが保持する情報について具体的に例を挙げて説明すると、テーブルC12bは、図4に示すように、「ENT」と、パケットを特定する情報として「送信先アドレス」および「送信先ポート番号」と、記憶部の区分けに関する情報として「統計BANK」および「統計情報ベースアドレス」とを対応づけて保持する。ここで、「統計BANK」の「BANK」とは、いわゆるメモリバンク(メモリコントローラがメモリを管理する際の単位)のことである。例えば、テーブルC12bは、「統計BANK」として「3」と、「統計情報ベースアドレス」として「A3000000」とを対応づけて保持する。すなわち、図4の例では、「送信先アドレス」が「10.22.72.113」で「送信先ポート番号」が「80」で特定されるパケットのコネクション単位の情報を、「統計BANK」が「3」のメモリバンクに収集することを指示している。なお、実施例1においては、パケットを特定する情報として「送信先アドレス」と「送信先ポート番号」とを保持する事例を説明したが、本発明はこれに限られるものではなく、パケットを特定する情報として、例えば、「送信元アドレス」と「送信元ポート番号」とを保持するなど、その他の情報を保持する事例にも、本発明を同様に適用することができる。
また、実施例1においては、後述するように、統計情報メモリB15が、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、後述するシーケンスチェック部14は、コネクション単位で統計情報メモリB15に記憶させる情報を、統計情報メモリB15において、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される区分け内に記憶させるものであるので、テーブルC12bは、「統計BANK」と「統計情報ベースアドレス」とを保持するが、本発明はこれに限られるものではなく、統計情報メモリB15が区分けされたものではない場合には、テーブルC12bは特に情報を保持しないなど、ネットワークの運用管理に適した形態であればいずれでもよい。
続いて、実施例1に係るパケット情報収集装置10において、テーブルB12aおよびテーブルD14aは、情報の収集対象となる具体的なパケット(「パケット種別」や「エラー種別」のみならず、送信元アドレス、送信先アドレスなどの情報が特定されたパケット)を識別する検索パターンを、パケット情報収集処理の過程で登録し、後述する「アドレスオフセット」と対応づけて保持する。したがって、パケット情報収集装置10の運用開始時には、テーブルB12aおよびテーブルD14aは、検索パターンを保持していない状態である。以下、テーブルB12aおよびテーブルD14aについて説明する。
テーブルB12aは、情報の収集対象となる具体的なパケットを識別する検索パターンを、「アドレスオフセット」(統計情報メモリA13に情報を記憶させる際の「メモリアクセスアドレス」を決定する情報)と対応づけて保持する。パケット情報収集装置10において、パケット単位での情報は、統計情報メモリA13に記憶されるが、この時、テーブルA11aに保持された「統計情報ベースアドレス」と、パターン検索部12からパターン抽出部11に送信される「ヒットアドレス」とから計算(加算)された「メモリアクセスアドレス」によって指定されたアドレスに記憶される。テーブルB12aが保持する「アドレスオフセット」とは、この「ヒットアドレス」を決定するものである。
すなわち、テーブルB12aは、例えば、テーブルA11aが保持する識別情報の「学習フラグ」が「1」とされている場合には、パターン抽出部11によって生成された検索パターンを「アドレスオフセット」と対応づけて登録し、この「アドレスオフセット」を「ヒットアドレス」としてパターン検索部12に送信するなどする。
テーブルB12aが保持する「アドレスオフセット」などについて具体的に例を挙げて説明すると、テーブルB12aは、図5に示すように、「アドレスオフセット」と検索パターンとを対応づけて保持する。例えば、テーブルB12aは、「アドレスオフセット」として「0x1100」と、検索パターンとして「10.22.72.113,80」とを対応づけて保持する。
テーブルD14aは、情報の収集対象となる具体的なパケットを識別する検索パターンを、「アドレスオフセット」(統計情報メモリB15に情報を記憶させる際の「メモリアクセスアドレス」を決定する情報)と対応づけて保持する。パケット情報収集装置10において、パケット単位の情報と同様、コネクション単位の情報も、統計情報メモリB15に記憶されるが、この時、テーブルC12bに保持された「統計情報ベースアドレス」と、シーケンスチェック部14から送信される「ヒットアドレス」とから計算(加算)された「メモリアクセスアドレス」によって指定されたアドレスに記憶される。テーブルD14aが保持する「アドレスオフセット」とは、この「ヒットアドレス」を決定するものである。
すなわち、テーブルD14aは、TCPコネクション識別要素から構成されるパターンを「アドレスオフセット」と対応づけて登録し、この「アドレスオフセット」を「ヒットアドレス」としてシーケンスチェック部14に送信するなどする。
続いて、実施例1に係るパケット情報収集装置10において、統計情報メモリA13および統計情報メモリB15は、収集した情報を記憶する。以下、統計情報メモリA13および統計情報メモリB15について説明する。
統計情報メモリA13は、パケット単位の情報を記憶する。具体的には、統計情報メモリA13は、パターン抽出部11から、パケット単位の情報と「メモリアクセスアドレス」とを受信し(図2の信号S4を参照)、受信した「メモリアクセスアドレス」によって指定された記憶部に、パケット単位の情報を記憶する。例えば、統計情報メモリA13は、図5に示すように、パターン抽出部11から、「メモリアクセスアドレス」として「0x80001100」を受信し、受信した「0x80001100」によって指定されたアドレスに、パケット単位の情報(例えば、統計情報「1」など)を記憶する。
統計情報メモリB15は、コネクション単位の情報を記憶する。具体的には、統計情報メモリB15は、シーケンスチェック部14から、コネクション単位の情報と「メモリアクセスアドレス」とを受信し(図2の信号S15を参照)、受信した「メモリアクセスアドレス」によって指定された記憶部に、コネクション単位の情報を記憶する。例えば、統計情報メモリB15は、図6に示すように、シーケンスチェック部14から、「メモリアクセスアドレス」として「0xA3000010」を受信し、受信した「0xA3000010」によって指定されたアドレスに、コネクション単位の情報(例えば、統計情報やステータスなど)を記憶する。なお、実施例1における統計情報メモリB15は、図7に示すように、複数のメモリバンクに区分けされているが、どのメモリバンクにどのパケットに関する情報を区分けして記憶するかについては、テーブルC12bにおいて任意に設定することができる。
ところで、これまで、テーブルA11a、テーブルB12a、テーブルC12b、テーブルD14a、統計情報メモリA13、および統計情報メモリB15について説明したが、以下では、これらのテーブルやメモリとの間で信号を送受信することによってパケット情報収集処理を行う部として、パターン抽出部11、パターン検索部12、シーケンスチェック部14、およびCPU16について説明する。
パターン抽出部11は、識別情報で識別されるパケットを受信した場合に、パケットに関する情報を取得し、取得した情報をパケット単位で所定の記憶部に記憶させる。具体的には、パターン抽出部11は、受信したパケットがテーブルA11aに保持された識別情報で識別されるパケットである場合に、識別情報の「パターン抽出位置」を用いて検索パターンを生成し、生成した検索パターンをパターン検索部12に送信する(図2の信号S2を参照)。また、実施例1におけるパターン抽出部11は、識別情報の「コネクション監視フラグ」が「1」の場合には(識別情報が、コネクション単位識別情報を意味する場合には)、検索パターンの他に、TCPコネクション識別要素(例えば、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号、TCPフラグなど)をパケットから抽出してパターン検索部12に送信する(図2の信号S2を参照)。
また、パターン抽出部11は、パターン検索部12から「ヒットアドレス」を受信すると(図2の信号S3を参照)、テーブルA11aに保持された識別情報の「統計情報ベースアドレス」と「ヒットアドレス」とから計算(加算)された「メモリアクセスアドレス」を統計情報メモリA13に送信し(図2の信号S4を参照)、「メモリアクセスアドレス」によって指定された記憶部に、パケットに関する情報をパケット単位で記憶させる。
次に、上記したパターン抽出部11の検索パターン生成について具体的に例を挙げて説明する。パターン抽出部11は、図8に示すようなパケット例1を受信した場合に、まず、テーブルA11aに保持された識別情報の「パケット種別」および「エラー種別」から、「ENT」が「1(例1)」の識別情報によって識別されるパケットを受信した場合であることを判定する。次に、パターン抽出部11は、パケット例1から、「パターン抽出位置」で指定する(240,32)および(288,16)のデータを抽出し、検索パターンを生成する。図8に示すように、パケット例1のオフセット240と長さ32とから抽出されるデータは、送信先アドレス「10.22.72.113」であり、オフセット288と長さ16とから抽出されるデータは、送信先ポート番号「80」であるので、パターン抽出部11は、図8に示すように、検索パターンとして、「10.22.72.113」と「80」とを連結したパターンを生成する。
同様に、パターン抽出部は、図9に示すようなパケット例2を受信した場合に、テーブルA11aに保持された識別情報から、「ENT」が「1(例2)」の識別情報によって識別されるパケットを受信した場合であることを判定し、パケット例2から、「パターン抽出位置」で指定するデータを抽出し、図9に示すように、検索パターンとして、「100」と「10.18.2.156」と「11000」とを連結したパターンを生成する。
パターン検索部12は、CAM(Content Addressable Memory)などで構成され、検索パターンを検索(または登録)し、パケットに関する情報を記憶させる記憶部の「アドレスオフセット」(ヒットアドレス)を決定する。また、パターン検索部12は、TCPコネクション識別要素(例えば、パケットから抽出された送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号、TCPフラグなど)を受信した場合には、パケットに関する情報を記憶させる記憶部の区分けを決定する。
具体的には、パターン検索部12は、パターン抽出部11から検索パターンを受信した場合に(図2の信号S2を参照)、テーブルB12aに受信した検索パターンが登録されているか否かを検索し、登録されていれば、検索パターンに対応づけられた「アドレスオフセット」を「ヒットアドレス」としてパターン抽出部11に送信する(図2の信号S3を参照)。一方、登録されていなければ検索失敗となるが、「学習フラグ」が「1」とされているパケットであれば、パターン検索部12は、受信した検索パターンをテーブルB12aに登録し、登録した検索パターンに対応づけられた「アドレスオフセット」を「ヒットアドレス」としてパターン抽出部11に送信する(図2の信号S3を参照)。
また、パターン検索部12は、TCPコネクション識別要素を受信した場合に(図2の信号S2を参照)、テーブルC12bに受信したTCPコネクション識別要素に該当する情報(パケットを特定する情報)が登録されているか否かを検索し、登録されていれば、情報に対応づけられた記憶部の区分けに関する情報(例えば、「統計BANK」、「統計情報ベースアドレス」など)とTCPコネクション識別要素とを、後述するシーケンスチェック部14に送信する(図2の信号S14を参照)。なお、パケットを特定する情報が登録されていなければ、登録されていないパケットを記憶する記憶部の区分けが予め定められている場合などには、TCPコネクション識別要素のみをシーケンスチェック部14に送信するなどする(図2の信号S14を参照)。
シーケンスチェック部14は、CAMなどで構成され、情報の収集対象となる具体的なパケットを識別する検索パターン(TCPコネクション識別要素から構成されるパターン)を検索し、パケットに関する情報を記憶させる記憶部の「アドレスオフセット」(ヒットアドレス)を決定する。具体的には、シーケンスチェック部14は、パターン検索部12からTCPコネクション識別要素を受信した場合に(図2の信号S14を参照)、テーブルD14aに、受信したTCPコネクション識別要素から構成されるパターンが登録されているか否かを検索し、登録されていれば、パターンに対応づけられた「アドレスオフセット」を「ヒットアドレス」として統計情報メモリB15に送信する(図2の信号S15を参照)。
一方、TCPコネクション識別要素から構成されるパターンがテーブルD14aに登録されていなければ検索失敗となるが、この場合には、シーケンスチェック部14は、まず、「送信元アドレス」と「送信先アドレス」とを入れ替え、かつ、「送信元ポート番号」と「送信先ポート番号」とを入れ替えて再度テーブルD14aを検索する。入れ替えた結果のパターンがテーブルD14aに登録されていれば、シーケンスチェック部14は、反対方向パケットに関する情報を、入れ替える前のパケットに関する情報(正方向のパケットに関する情報)に関連づけて記憶する(TCPコネクション識別要素を入れ替える前のパターンに対応づけられた「アドレスオフセット」を「ヒットアドレス」とするなどする)。
また、入れ替えた結果のパターンの検索も失敗であれば、シーケンスチェック部14は、パターンをテーブルD14aに新たに登録し、登録したパターンに対応づけられた「アドレスオフセット」を「ヒットアドレス」として統計情報メモリB15に送信する(図2の信号S15を参照)。
また、シーケンスチェック部14は、統計情報メモリB15から、例えば、シーケンス情報を受信し(図2の信号S16を参照)、受信したシーケンス情報と取得したシーケンス情報とを照合した結果にシーケンス違反があった場合には、シーケンスエラーを統計情報メモリBに登録するなどする(図2の信号S15を参照)。
CPU16は、パケット情報収集装置10を制御して各種処理を実行する制御手段である。例えば、CPU16は、パケット情報収集装置10を利用する運用管理者などによるユーザポリシーの設定を受け付けると、テーブルA11a、テーブルC12bなどにユーザポリシーを設定するための信号を送信するなどする。
[実施例1に係るパケット情報収集装置による処理の手順]
次に、図10および図11を用いて、実施例1に係るパケット情報収集装置による処理を説明する。図10は、実施例1におけるパケット情報収集処理(パケット単位)を説明するための図であり、図11は、実施例1におけるパケット情報収集処理(コネクション単位)を説明するための図である。
まず、パケット情報収集装置10は、パターン抽出部11において、テーブルA11aの「識別情報」で識別されるパケットを受信したか否かを判定する(ステップS1001)。例えば、パケット情報収集装置10は、パターン抽出部11において、所定のフィールドにタグの識別子の値「8100」が設定されておらず(タグの有無)、フレームタイプが「IPv4」であり(タイプ値)、プロトコルが「TCP」であり(プロトコル値)、TTLが「00」ではない(エラー種別)パケットを受信したか否かを判定する。「識別情報」で識別されるパケットを受信したと判定しない場合には(ステップS1001否定)、パケット情報収集装置10は、「識別情報」で識別されるパケットを受信したか否かを判定する処理に戻る。
一方、「識別情報」で識別されるパケットを受信したと判定した場合には(ステップS1001肯定)、パケット情報収集装置10は、パターン抽出部11において、テーブルA11aの「パターン抽出位置」から、検索パターンを生成し、生成した検索パターンをパターン検索部12に送信する(ステップS1002)。例えば、パケット情報収集装置10は、パターン抽出部11において、「パターン抽出位置」で指定する(240,32)および(288,16)のデータをパケットから抽出し、検索パターンとして、「10.22.72.113」と「80」とを連結したパターンを生成する。
続いて、パケット情報収集装置10は、パターン抽出部11において、テーブルA11aの「コネクション監視フラグ」が「1(有)」か否かを判定する(ステップS1003)。「コネクション監視フラグ」が「1(有)」であると判定されない場合には(ステップS1003否定)、パケット情報収集装置10は、後述するステップS1005の処理に移行する。
一方、「コネクション監視フラグ」が「1(有)」であると判定された場合には(ステップS1003肯定)、パケット情報収集装置10は、パターン抽出部11において、受信したパケットからTCPコネクション識別要素を抽出し、抽出したTCPコネクション識別要素をパターン検索部12に送信する(ステップS1004)。例えば、パケット情報収集装置10は、パターン抽出部11において、受信したパケットから、TCPコネクション識別要素として、送信元アドレス「10.22.72.160」、送信先アドレス「10.22.72.113」、送信元ポート番号「20000」、送信先ポート番号「80」、TCPフラグ「SYN」を抽出する。
なお、ステップS1004以降、パケット情報収集装置10による処理は、主に「パケット単位での情報収集処理」と「コネクション単位での情報収集処理」とに分岐して進められるので、以下では、図10を用いて、まず、「パケット単位での情報収集処理」について処理の手順を説明する。
ステップS1004に続いて、パケット情報収集装置10は、パターン検索部12において、パターン抽出部11から送信された検索パターンでテーブルB12aを検索する(ステップS1005)。例えば、パケット情報収集装置10は、パターン検索部12において、「10.22.72.113」と「80」とを連結した検索パターンでテーブルB12aを検索する。
そして、パケット情報収集装置10は、パターン検索部12において、テーブルB12aに検索パターンがあるか否かを判定する(ステップS1006)。テーブルB12aに検索パターンがあると判定された場合には(ステップS1006肯定)、パケット情報収集装置10は、パターン検索部12において、検索パターンに対応する「アドレスオフセット」をテーブルB12aから取得し、取得した「アドレスオフセット」をパターン抽出部11に送信する(ステップS1007)。例えば、パケット情報収集装置10は、パターン検索部12において、検索パターンに対応する「アドレスオフセット」として「0x1100」をテーブルB12aから取得する。
続いて、パケット情報収集装置10は、パターン抽出部11において、テーブルA11aの「統計情報ベースアドレス」とパターン検索部12から受信した「アドレスオフセット」とから「メモリアクセスアドレス」を算出する(ステップS1008)。例えば、パケット情報収集装置10は、パターン抽出部11において、「統計情報ベースアドレス」として「0x80000000」と、「アドレスオフセット」として「0x1100」とを加算することで、「メモリアクセスアドレス」として「0x80001100」を算出する。
すると、パケット情報収集装置10は、パターン抽出部11において、「メモリアクセスアドレス」で指定された統計情報メモリA13の領域に、パケット単位の情報を格納する(ステップS1009)。例えば、パケット情報収集装置10は、パターン抽出部11において、「メモリアクセスアドレス」として「0x80001100」で指定された統計情報メモリA13の領域に、パケット単位の情報として統計情報「1」などを格納する。
ところで、ステップS1006において、テーブルB12aに検索パターンがあると判定されない場合には(ステップS1006否定)、次に、パケット情報収集装置10は、パターン検索部12において、テーブルA11aの「学習フラグ」が「1(有)」であったか否かを判断し(ステップS1011)、「1(有)」であった場合には(ステップS1011肯定)、検索パターンをテーブルB12aに登録し(ステップS1012)、上記したステップS1007の処理に移行する。一方、「1(有)」ではなかった場合には(ステップS1011否定)、パケット情報収集装置10は、処理を終了する。
次に、図11を用いて、「コネクション単位での情報収集処理」について処理の手順を説明する。図10のステップS1004に続いて、パケット情報収集装置10は、パターン検索部12において、TCPコネクション識別要素でテーブルC12bを検索する(ステップS1101)。例えば、パケット情報収集装置10は、パターン検索部12において、TCPコネクション識別要素として、送信元アドレス「10.22.72.160」、送信先アドレス「10.22.72.113」、送信元ポート番号「20000」、送信先ポート番号「80」、およびTCPフラグ「SYN」で、テーブルC12bを検索する。
続いて、パケット情報収集装置10は、パターン検索部12において、テーブルC12bに該当するコネクションがあるか否かを判定し(ステップS1102)、コネクションがあると判定されなかった場合には(ステップS1102否定)、パケットを記憶する記憶部の区分けが予め定められている場合などであるとして、後述するステップS1104に移行する。
一方、コネクションがあると判定された場合には(ステップS1102肯定)、パケット情報収集装置10は、パターン検索部12において、テーブルC12bから、コネクションに対応する「統計BANK」と「統計情報ベースアドレス」とを取得し、TCPコネクション識別要素と「統計BANK」と「統計情報ベースアドレス」とを、シーケンスチェック部14に送信する(ステップS1103)。例えば、パケット情報収集装置10は、パターン検索部12において、TCP識別要素の送信先アドレス「10.22.71.113」および送信先ポート番号「80」のコネクションに対応する「統計BANK」の「3」と「統計情報ベースアドレス」の「A3000000」とを取得する。
続いて、パケット情報収集装置10は、シーケンスチェック部14において、TCPコネクション識別要素でテーブルD14aを検索する(ステップS1104)。例えば、パケット情報収集装置10は、シーケンスチェック部14において、TCPコネクション識別要素として、送信元アドレス「10.22.72.160」、送信先アドレス「1022.72.113」、送信元ポート番号「20000」、送信先ポート番号「80」、およびTCPフラグ「SYN」で、テーブルD14aを検索する。
そして、パケット情報収集装置10は、シーケンスチェック部14において、テーブルD14aに該当するコネクションがあるか否かを判定し(ステップS1105)、該当するコネクションがある場合には(ステップS1105肯定)、パケット情報収集装置10は、シーケンスチェック部14において、コネクションに対応する「アドレスオフセット」をテーブルD14aから取得する(ステップS1106)。例えば、パケット情報収集装置10は、シーケンスチェック部14において、「アドレスオフセット」として「0x0010」をテーブルD14aから取得する。
続いて、パケット情報収集装置10は、シーケンスチェック部14において、パターン検索部12から受信した「統計情報ベースアドレス」とテーブルD14aから取得した「アドレスオフセット」とから「メモリアクセスアドレス」を算出する(ステップS1107)。例えば、パケット情報収集装置10は、シーケンスチェック部14において、「統計情報ベースアドレス」として「0xA3000000」と、「アドレスオフセット」として「0x0010」とを加算することで、「メモリアクセスアドレス」として「0xA3000010」を算出する。
すると、パケット情報収集装置10は、シーケンスチェック部14において、「メモリアクセスアドレス」で指定された統計情報メモリB15の領域に、コネクション単位の情報を格納する(ステップS1108)。例えば、パケット情報収集装置10は、シーケンスチェック部14において、「メモリアクセスアドレス」として「0xA3000010」で指定された統計情報メモリB15の領域に、コネクション単位の情報としてステータス情報「SYN」などを格納する。
ところで、ステップS1105において、テーブルD14aに該当するコネクションがあると判定されない場合には(ステップS1105否定)、次に、パケット情報収集装置10は、シーケンスチェック部14において、反対方向パケットのコネクションがあるか否かを判定する(ステップS1111)。例えば、反対方向パケットとして、「送信元アドレス」と「送信先アドレス」とを入れ替え、かつ、「送信元ポート番号」と「送信先ポート番号」とを入れ替えて、テーブルD14aを再度検索する。反対方向パケットのコネクションがないと判定された場合には(ステップS1111否定)、パケット情報収集装置10は、シーケンスチェック部14において、コネクションをテーブルD14aに登録し(ステップS1121)、上記したステップS1106の処理に移行する。
一方、反対方向パケットのコネクションがあると判定された場合には(ステップS1111肯定)、パケット情報収集装置10は、シーケンスチェック部14において、コネクションに対応する「アドレスオフセット」をテーブルD14aから取得し(ステップS1112)、パターン検索部12から受信した「統計情報ベースアドレス」とテーブルD14aから取得した「アドレスオフセット」とから「メモリアクセスアドレス」を算出し(ステップS1113)、「メモリアクセスアドレス」で指定された統計情報メモリB15の領域に、正方向パケットの情報に関連づけて、コネクション単位の情報を格納する(ステップS1114)。
こうして、実施例1に係るパケット情報収集装置10は、コネクション単位の情報を収集することが可能になり、かつ、収集すべき情報の指定変更に柔軟に対応することが可能になる。
[実施例1の効果]
上記してきたように、実施例1によれば、送信元アドレスから送信先アドレスに対して送信されたパケットを受信してパケットに関する情報を収集するパケット情報収集装置であって、送信元アドレスおよび送信先アドレスの組み合わせを特定したコネクション単位での情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持し、保持されたコネクション単位識別情報で識別されるパケットを受信した場合に情報を取得し、取得した情報をパケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位で所定の記憶部に記憶させるので、コネクション単位の情報を収集することが可能になり、かつ、収集すべき情報の指定変更に柔軟に対応することが可能になる。すなわち、本発明の手法によれば、コネクション単位識別情報で識別されるパケットに関する情報を、送信元アドレスおよび送信先アドレスの組み合わせが特定されているコネクション単位に記憶することから、コネクション単位の情報を収集することが可能になり、かつ、本発明の手法によれば、収集すべき情報の指定変更(ユーザポリシーの変更)は、コネクション単位識別情報の変更を所定の入力部において受け付けて保持するのみでよいことから、収集すべき情報の指定変更に柔軟に対応することが可能になる。具体的に例を挙げると、例えば、Webサーバに対するアクセス頻度の高いユーザを識別することなどが可能になる。
また、実施例1によれば、所定の記憶部は、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、パケット情報収集装置は、コネクション単位で所定の記憶部に記憶させる情報を、記憶部において、情報の収集対象となったパケットの送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される区分け内に記憶させるので、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号などが特定されるコネクション単位の情報を、区分けされた所定の記憶部(例えば、特定のメモリ領域(BANK)など)に収集することが可能になる。また、所定の記憶部の区分け手法によって、ネットワークの運用管理者などが着目する視点においてトラフィック特性を分析することが可能になる。
例えば、Webサーバに対するHTTP(HyperText Transfer Protocol)アクセスは、コネクション単位で同時に30コネクション程度であるのが通常であると仮定した場合に、送信先アドレス(Webサーバ)および送信先ポート番号(「80」)が特定されるコネクション単位の情報が、30で区分けされた特定のメモリ領域(BANK)の容量を超えた場合には、異常が発生している可能性があるという分析をすることが可能になる等、所定の記憶部の区分け手法によって、ネットワークの運用管理者などが着目する視点においてトラフィック特性を分析することが可能になる。
また、実施例1によれば、パケット情報収集装置は、送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報に、この送信元アドレスが送信先アドレスとして含まれこの送信先アドレスが送信元アドレスとして含まれる反対方向パケットに関する情報であって反対方向パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報を関連づけて所定の記憶部に記憶させるので、コネクション単位の情報を、双方向のトラフィック特性の観点から収集することが可能になる。
また、実施例1によれば、パケット情報収集装置は、コネクション単位で記憶させる情報として、パケットに関する統計情報、パケットに関するステータス情報、パケットのシーケンスナンバーのいずれか一つまたは複数を取得するので、収集したコネクション単位の情報から厳密な分析をすることが可能になる。
具体的に例を挙げると、例えば、ステータス情報が「SYN」のコネクションが異常に多い場合は、「SYN Flood攻撃」を受けている可能性があるという分析をするなど、セキュリティ面の分析をすることも可能になり、また、例えば、TCP(Transmission Control Protocol)のシーケンスナンバーから、TCPシーケンスの異常を分析することも可能になる。
また、実施例1によれば、パケット情報収集装置は、送信元アドレスまたは送信先アドレスを特定したパケット単位での情報の収集対象となるパケットを識別するパケット単位識別情報を所定の入力部において受け付けて保持し、保持されたパケット単位識別情報で識別されるパケットを受信した場合に情報を取得し、取得した情報をパケットに含まれる送信元アドレスまたは送信先アドレスで特定されるパケット単位で所定の記憶部に記憶させるので、コネクション単位の情報のみならず、パケット単位の情報を収集することも可能になる。
また、実施例1によれば、パケット情報収集装置は、パケット単位での情報の収集対象となるパケットをコネクション単位での情報の収集対象とするか否かを指定する指定情報をパケット単位識別情報と対応づけて保持し、保持された指定情報によってコネクション単位での情報の収集対象とすると指定されたパケットを受信した場合に、情報を取得して所定の記憶部に記憶させるので、コネクション単位の情報を収集するか否かを、パケット単位の情報を収集する際に指定することが可能になる。
さて、これまで実施例1に係るパケット情報収集装置について説明したが、本発明は上記した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、実施例2に係るパケット情報収集装置として、種々の異なる実施例を説明する。
実施例1においては、パケット情報収集装置が、コネクション単位の情報のみならず、パケット単位の情報を収集することも可能な構成をとり、かつ、コネクション単位の情報を収集するか否かを、パケット単位の情報を収集する際に指定することが可能な構成をとる場合について説明したが、本発明はこれに限られるものではなく、パケット単位の情報を収集せずにコネクション単位の情報のみを収集する構成をとる場合や、コネクション単位の情報を収集するか否かを、パケット単位の情報を収集する際に指定する以外の構成をとる場合にも、本発明を同様に適用することができる。
また、実施例1においては、記憶部が、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、パケット情報収集装置が、情報を区分け内に記憶させる手法について説明したが、本発明はこれに限られるものではなく、記憶部が区分けされていないものであって、パケット情報収集装置が、区分けされていない記憶部に情報を記憶させる手法にも、本発明を同様に適用することができる。
また、実施例1においては、パケット情報収集装置が、正方向パケットのコネクション単位の情報に、反対方向パケットのコネクション単位の情報を関連づけて記憶させる手法を説明したが、本発明はこれに限られるものではなく、正方向パケットのコネクション単位の情報と、反対方向パケットのコネクション単位の情報とを関連づけずに記憶させる手法にも、本発明を同様に適用することができる。
また、実施例1においては、パケット情報収集装置が、パケットに関する統計情報、パケットに関するステータス情報、およびパケットのシーケンスナンバーのいずれか一つまたは複数を収集する手法を説明したが、本発明はこれに限られるものではなく、パケット情報収集装置がコネクション単位の情報として収集する情報の具体的な種類や内容は、いずれでもよい。
[システム構成等]
また、本実施例において説明した各処理のうち、手動的におこなわれるものとして説明した処理(例えば、テーブルA11aおよびテーブルC12bに運用管理者などがキーボードによってユーザポリシーを入力する処理など)の全部または一部を公知の方法で自動的におこなう(例えば、他のネットワーク管理装置から自動的にダウンロードするなど)こともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示(例えば、図2など)の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[プログラム]
ところで、上記の実施例1で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図12を用いて、上記の実施例1と同様の機能を有するパケット情報収集プログラムを実行するコンピュータの一例を説明する。図12は、パケット情報収集プログラムを実行するコンピュータを示す図である。
図12に示すように、コンピュータ20は、キャッシュ21、RAM22、HDD23、ROM24およびCPU25をバス26で接続して構成される。ここで、ROM24には、上記の実施例1と同様の機能を発揮するパターン抽出プログラム24a、パターン検索プログラム24b、およびシーケンスチェックプログラム24cが予め記憶されている。
そして、CPU25は、これらのプログラム24a、24b、および24cを読み出して実行することで、図12に示すように、各プログラム24a、24b、および24cは、パターン抽出プロセス25a、パターン検索プロセス25b、およびシーケンスチェックプロセス25cとなる。なお、各プロセス25a、25b、および25cは、図2に示した、パターン抽出部11、パターン検索部12、およびシーケンスチェック部14にそれぞれ対応する。
また、HDD23には、図12に示すように、テーブルA23a、テーブルB23b、テーブルC23c、テーブルD23d、統計情報メモリA23e、および統計情報メモリB23fが設けられる。なお、各テーブル23a、23b、23c、23d、23e、および23fは、図2に示した、テーブルA11a、テーブルB12a、テーブルC12b、テーブルD14a、統計情報メモリA13、および統計情報メモリB15にそれぞれ対応する。
ところで、上記した各プログラム24a、24b、および24cについては、必ずしもROM24に記憶させておく必要はなく、例えば、コンピュータ20に挿入されるフレキシブルディスク(FD)、CD−ROM、MOディスク、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、または、コンピュータ20の内外に備えられるハードディスクドライブ(HDD)などの「固定用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ20に接続される「他のコンピュータ(またはサーバ)」に記憶させておき、コンピュータ20がこれらからプログラムを読み出して実行するようにしてもよい。
(付記1)送信元アドレスから送信先アドレスに対して送信されたパケットを受信して当該パケットに関する情報を収集するパケット情報収集装置であって、
前記送信元アドレスおよび前記送信先アドレスの組み合わせを特定したコネクション単位での前記情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持するコネクション単位識別情報保持手段と、
前記コネクション単位識別情報保持手段によって保持されたコネクション単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定される前記コネクション単位で所定の記憶部に記憶させるコネクション単位パケット情報収集手段と、
を備えたことを特徴とするパケット情報収集装置。
(付記2)前記所定の記憶部は、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、
前記コネクション単位パケット情報収集手段は、前記コネクション単位で所定の記憶部に記憶させる前記情報を、前記記憶部において、当該情報の収集対象となったパケットの送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される前記区分け内に記憶させることを特徴とする付記1に記載のパケット情報収集装置。
(付記3)前記コネクション単位パケット情報収集手段は、前記送信元アドレスおよび前記送信先アドレスの組み合わせで特定されるコネクション単位の前記情報に、当該送信元アドレスが送信先アドレスとして含まれ当該送信先アドレスが送信元アドレスとして含まれる反対方向パケットに関する情報であって当該反対方向パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報を関連づけて所定の記憶部に記憶させることを特徴とする付記1または2に記載のパケット情報収集装置。
(付記4)前記コネクション単位パケット情報収集手段は、前記コネクション単位で記憶させる前記情報として、前記パケットに関する統計情報、当該パケットに関するステータス情報、当該パケットのシーケンスナンバーのいずれか一つまたは複数を取得することを特徴とする付記1〜3のいずれか一つに記載のパケット情報収集装置。
(付記5)前記送信元アドレスまたは前記送信先アドレスを特定したパケット単位での前記情報の収集対象となるパケットを識別するパケット単位識別情報を所定の入力部において受け付けて保持するパケット単位識別情報保持手段と、
前記パケット単位識別情報保持手段によって保持されたパケット単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスまたは送信先アドレスで特定されるパケット単位で所定の記憶部に記憶させるパケット単位パケット情報収集手段と、
をさらに備えたことを特徴とする付記1〜4のいずれか一つに記載のパケット情報収集装置。
(付記6)前記パケット単位識別情報保持手段は、前記パケット単位での前記情報の収集対象となるパケットを前記コネクション単位での前記情報の収集対象とするか否かを指定する指定情報を前記パケット単位識別情報と対応づけて保持し、
前記コネクション単位パケット情報収集手段は、前記パケット単位識別情報保持手段によって保持された指定情報によって前記コネクション単位での情報の収集対象とすると指定されたパケットを受信した場合に、前記情報を取得して所定の記憶部に記憶させることを特徴とする付記5に記載のパケット情報収集装置。
(付記7)送信元アドレスから送信先アドレスに対して送信されたパケットを受信して当該パケットに関する情報を収集する方法をコンピュータに実行させるパケット情報収集プログラムであって、
前記送信元アドレスおよび前記送信先アドレスの組み合わせを特定したコネクション単位での前記情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持するコネクション単位識別情報保持手順と、
前記コネクション単位識別情報保持手順によって保持されたコネクション単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定される前記コネクション単位で所定の記憶部に記憶させるコネクション単位パケット情報収集手順と、
をコンピュータに実行させることを特徴とするパケット情報収集プログラム。
以上のように、本発明に係るパケット情報収集装置およびパケット情報収集プログラムは、送信元アドレスから送信先アドレスに対して送信されたパケットを受信してパケットに関する情報を収集することに有用であり、特に、コネクション単位の情報を収集し、かつ、収集すべき情報の指定変更に柔軟に対応することに適する。
実施例1に係るパケット情報収集装置の概要および特徴を説明するための図である。 実施例1に係るパケット情報収集装置の構成を示すブロック図である。 パターン抽出部内のテーブルAを説明するための図である。 パターン検索部内のテーブルCを説明するための図である。 パケット単位での情報収集について説明するための図である。 コネクション単位での情報収集について説明するための図である。 統計情報メモリBのメモリマップ例を説明するための図である。 パケット例1を説明するための図である。 パケット例2を説明するための図である。 実施例1におけるパケット情報収集処理(パケット単位)を説明するための図である。 実施例1におけるパケット情報収集処理(コネクション単位)を説明するための図である。 パケット情報収集プログラムを実行するコンピュータを示す図である。
符号の説明
10 パケット情報収集装置
11 パターン抽出部
11a テーブルA
12 パターン検索部
12a テーブルB
12b テーブルC
13 統計情報メモリA
14 シーケンスチェック部
14a テーブルD
15 統計情報メモリB
16 CPU
20 コンピュータ
21 キャッシュ
22 RAM
23 HDD
24 ROM
25 CPU
26 バス

Claims (5)

  1. 送信元アドレスから送信先アドレスに対して送信されたパケットを受信して当該パケットに関する情報を収集するパケット情報収集装置であって、
    前記送信元アドレスおよび前記送信先アドレスの組み合わせを特定したコネクション単位での前記情報の収集対象となるパケットを識別するコネクション単位識別情報を所定の入力部において受け付けて保持するコネクション単位識別情報保持手段と、
    前記コネクション単位識別情報保持手段によって保持されたコネクション単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定される前記コネクション単位で所定の記憶部に記憶させるコネクション単位パケット情報収集手段と、
    を備えたことを特徴とするパケット情報収集装置。
  2. 前記所定の記憶部は、送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定されるパケットに関する情報ごとに区分けされたものであって、
    前記コネクション単位パケット情報収集手段は、前記コネクション単位で所定の記憶部に記憶させる前記情報を、前記記憶部において、当該情報の収集対象となったパケットの送信元アドレス、送信先アドレス、送信元ポート番号、送信先ポート番号のいずれか一つまたは複数で特定される前記区分け内に記憶させることを特徴とする請求項1に記載のパケット情報収集装置。
  3. 前記コネクション単位パケット情報収集手段は、前記送信元アドレスおよび前記送信先アドレスの組み合わせで特定されるコネクション単位の前記情報に、当該送信元アドレスが送信先アドレスとして含まれ当該送信先アドレスが送信元アドレスとして含まれる反対方向パケットに関する情報であって当該反対方向パケットに含まれる送信元アドレスおよび送信先アドレスの組み合わせで特定されるコネクション単位の情報を関連づけて所定の記憶部に記憶させることを特徴とする請求項1または2に記載のパケット情報収集装置。
  4. 前記コネクション単位パケット情報収集手段は、前記コネクション単位で記憶させる前記情報として、前記パケットに関する統計情報、当該パケットに関するステータス情報、当該パケットのシーケンスナンバーのいずれか一つまたは複数を取得することを特徴とする請求項1〜3のいずれか一つに記載のパケット情報収集装置。
  5. 前記送信元アドレスまたは前記送信先アドレスを特定したパケット単位での前記情報の収集対象となるパケットを識別するパケット単位識別情報を所定の入力部において受け付けて保持するパケット単位識別情報保持手段と、
    前記パケット単位識別情報保持手段によって保持されたパケット単位識別情報で識別されるパケットを受信した場合に前記情報を取得し、取得した当該情報を当該パケットに含まれる送信元アドレスまたは送信先アドレスで特定されるパケット単位で所定の記憶部に記憶させるパケット単位パケット情報収集手段と、
    をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載のパケット情報収集装置。
JP2006285543A 2006-10-19 2006-10-19 パケット情報収集装置およびパケット情報収集プログラム Withdrawn JP2008104027A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2006285543A JP2008104027A (ja) 2006-10-19 2006-10-19 パケット情報収集装置およびパケット情報収集プログラム
US11/872,344 US20080095153A1 (en) 2006-10-19 2007-10-15 Apparatus and computer product for collecting packet information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006285543A JP2008104027A (ja) 2006-10-19 2006-10-19 パケット情報収集装置およびパケット情報収集プログラム

Publications (1)

Publication Number Publication Date
JP2008104027A true JP2008104027A (ja) 2008-05-01

Family

ID=39317850

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006285543A Withdrawn JP2008104027A (ja) 2006-10-19 2006-10-19 パケット情報収集装置およびパケット情報収集プログラム

Country Status (2)

Country Link
US (1) US20080095153A1 (ja)
JP (1) JP2008104027A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011237882A (ja) * 2010-05-06 2011-11-24 Toshiba Corp 性能計測分析支援プログラムおよび性能計測分析支援装置
JP2013038570A (ja) * 2011-08-08 2013-02-21 Alaxala Networks Corp パケット中継装置、及び方法
US9591504B2 (en) 2013-03-04 2017-03-07 Fujitsu Limited Network monitoring system
JP7220814B1 (ja) 2022-01-21 2023-02-10 エヌ・ティ・ティ・アドバンステクノロジ株式会社 データ取得装置及びデータ取得方法

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8250127B2 (en) * 2008-01-07 2012-08-21 Aruba Networks, Inc. Harvesting entropy from trusted cryptographic sources
JP5557689B2 (ja) * 2010-10-22 2014-07-23 株式会社日立製作所 ネットワークシステム
US9203728B2 (en) * 2011-03-09 2015-12-01 lxia Metadata capture for testing TCP connections
CN102946330B (zh) * 2012-09-29 2017-03-15 华为技术有限公司 网络丢包测量方法、装置和系统
US9225638B2 (en) 2013-05-09 2015-12-29 Vmware, Inc. Method and system for service switching using service tags
US9680702B1 (en) * 2014-06-02 2017-06-13 Hrl Laboratories, Llc Network of networks diffusion control
US9667754B2 (en) * 2014-08-11 2017-05-30 Oracle International Corporation Data structure and associated management routines for TCP control block (TCB) table in network stacks
US9774537B2 (en) 2014-09-30 2017-09-26 Nicira, Inc. Dynamically adjusting load balancing
US10516568B2 (en) 2014-09-30 2019-12-24 Nicira, Inc. Controller driven reconfiguration of a multi-layered application or service model
US9755898B2 (en) 2014-09-30 2017-09-05 Nicira, Inc. Elastically managing a service node group
US10594743B2 (en) 2015-04-03 2020-03-17 Nicira, Inc. Method, apparatus, and system for implementing a content switch
CN106302661B (zh) * 2016-08-02 2019-08-13 网宿科技股份有限公司 P2p数据加速方法、装置和系统
US10805181B2 (en) 2017-10-29 2020-10-13 Nicira, Inc. Service operation chaining
US11012420B2 (en) * 2017-11-15 2021-05-18 Nicira, Inc. Third-party service chaining using packet encapsulation in a flow-based forwarding element
US10757077B2 (en) 2017-11-15 2020-08-25 Nicira, Inc. Stateful connection policy filtering
US10708229B2 (en) 2017-11-15 2020-07-07 Nicira, Inc. Packet induced revalidation of connection tracker
US10797910B2 (en) 2018-01-26 2020-10-06 Nicira, Inc. Specifying and utilizing paths through a network
US10805192B2 (en) 2018-03-27 2020-10-13 Nicira, Inc. Detecting failure of layer 2 service using broadcast messages
US11595250B2 (en) 2018-09-02 2023-02-28 Vmware, Inc. Service insertion at logical network gateway
US11321113B2 (en) 2019-02-22 2022-05-03 Vmware, Inc. Creating and distributing service chain descriptions
US11283717B2 (en) 2019-10-30 2022-03-22 Vmware, Inc. Distributed fault tolerant service chain
US11140218B2 (en) 2019-10-30 2021-10-05 Vmware, Inc. Distributed service chain across multiple clouds
US11223494B2 (en) 2020-01-13 2022-01-11 Vmware, Inc. Service insertion for multicast traffic at boundary
US11659061B2 (en) 2020-01-20 2023-05-23 Vmware, Inc. Method of adjusting service function chains to improve network performance
US11153406B2 (en) 2020-01-20 2021-10-19 Vmware, Inc. Method of network performance visualization of service function chains
US11792112B2 (en) 2020-04-06 2023-10-17 Vmware, Inc. Using service planes to perform services at the edge of a network
US11734043B2 (en) 2020-12-15 2023-08-22 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers
US11611625B2 (en) 2020-12-15 2023-03-21 Vmware, Inc. Providing stateful services in a scalable manner for machines executing on host computers

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3994614B2 (ja) * 2000-03-13 2007-10-24 株式会社日立製作所 パケット交換機、ネットワーク監視システム及びネットワーク監視方法
US20040008676A1 (en) * 2002-07-11 2004-01-15 Thomas David Andrew Method and device for using an address indicator in a network
US7525958B2 (en) * 2004-04-08 2009-04-28 Intel Corporation Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011237882A (ja) * 2010-05-06 2011-11-24 Toshiba Corp 性能計測分析支援プログラムおよび性能計測分析支援装置
JP2013038570A (ja) * 2011-08-08 2013-02-21 Alaxala Networks Corp パケット中継装置、及び方法
US9591504B2 (en) 2013-03-04 2017-03-07 Fujitsu Limited Network monitoring system
JP7220814B1 (ja) 2022-01-21 2023-02-10 エヌ・ティ・ティ・アドバンステクノロジ株式会社 データ取得装置及びデータ取得方法
JP2023106807A (ja) * 2022-01-21 2023-08-02 エヌ・ティ・ティ・アドバンステクノロジ株式会社 データ取得装置及びデータ取得方法
US12088689B2 (en) 2022-01-21 2024-09-10 Ntt Advanced Technology Corporation Data acquisition device and data acquisition method

Also Published As

Publication number Publication date
US20080095153A1 (en) 2008-04-24

Similar Documents

Publication Publication Date Title
JP2008104027A (ja) パケット情報収集装置およびパケット情報収集プログラム
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US7684339B2 (en) Communication control system
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
CN112822151A (zh) 面向控制网络工业计算机的多层精准主动网络攻击检测方法及系统
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
JP4504346B2 (ja) トラブル要因検出プログラム、トラブル要因検出方法およびトラブル要因検出装置
CN113609089A (zh) 接口请求处理方法、装置、可读存储介质及计算机设备
US12056000B1 (en) Anomaly detection by analyzing logs using machine learning
JP4152412B2 (ja) 統計情報採取方法及び装置
JPWO2019043804A1 (ja) ログ分析装置、ログ分析方法及びプログラム
CN108900430B (zh) 一种网络流量阻断的方法及装置
JP2011090429A (ja) 統合監視システム
JPWO2015011827A1 (ja) 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
JP2017211806A (ja) 通信の監視方法、セキュリティ管理システム及びプログラム
CN118642878A (zh) 银行系统的故障定位方法、装置、设备及可读存储介质
US20220150145A1 (en) Device identification apparatus and method based on network behavior
CN109194756A (zh) 应用程序特征信息提取方法及装置
JP6269004B2 (ja) 監視支援プログラム、監視支援方法および監視支援装置
CN111130941B (zh) 一种网络错误检测方法、装置以及计算机可读存储介质
JP5441250B2 (ja) ファイアウォールに対するポリシ情報表示方法、管理装置及びプログラム
CN115842716A (zh) 故障服务器的确定方法、装置、设备以及存储介质
JP5686001B2 (ja) 情報処理装置、メッセージ切分け方法およびメッセージ切分けプログラム
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
CN111371700A (zh) 一种应用于正向代理环境中的流量识别方法及装置

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100105

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载