ネットワーク解析装置およびその動作方法
【課題】パケットを、新しいうちは破棄しないでおき、古くなったら破棄できるパケット解析装置およびその動作方法を提供する。
【解決手段】パケット捕捉部1はネットワークNを流れるパケットを順次に捕捉し、パケット記憶部2はパケットを捕捉順に記憶する。プロトコル種類取得部6はパケットの内容に基づいて該当のプロトコルの種類を求める。プロトコル動作判定部7はプロトコルの種類とパケットの内容とに基づいて通信の動作が正常か異常かを判定する。位置取得部8は、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。パケット破棄中止記憶部9は動作が異常ならその旨を記憶する。パケット破棄処理部10は動作が異常でないなら、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、動作が異常ならパケットの破棄を中止する。
【解決手段】パケット捕捉部1はネットワークNを流れるパケットを順次に捕捉し、パケット記憶部2はパケットを捕捉順に記憶する。プロトコル種類取得部6はパケットの内容に基づいて該当のプロトコルの種類を求める。プロトコル動作判定部7はプロトコルの種類とパケットの内容とに基づいて通信の動作が正常か異常かを判定する。位置取得部8は、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。パケット破棄中止記憶部9は動作が異常ならその旨を記憶する。パケット破棄処理部10は動作が異常でないなら、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、動作が異常ならパケットの破棄を中止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク解析装置およびその動作方法に関するものである。
【背景技術】
【0002】
一般家庭やオフィスにおいてネットワーク接続に不具合が生じ、機器を正常に利用できなくなった場合、ネットワーク上を流れるIPパケット(以下、パケット)をモニタし、プロトコルが正常に動作しているか否かを調査し、正常に動作していない場合には不具合の発生原因を特定、修復する作業が行われる。
【0003】
パケットをモニタするツールとしては、たとえばネットワーク上を伝送されるパケットを取得し、パケットの詳細やパケットで構成されているプロトコル、パケットを送受信するIP端末のIPアドレスを表示するプロトコルモニタツールが知られている(非特許文献1参照)。
【0004】
また、ネットワークに接続されたIP機器の動作状態をモニタする手段として、モニタしたパケットからIP機器の接続構成を推定して、画面上に可視化することで、人が容易にIP機器の接続状況を判断できる手法がある(非特許文献2参照)。
【0005】
これらのツールは、リアルタイムにネットワークの利用状況をモニタし、不具合の発生原因を特定するものである。しかしながら、利用環境や利用状況によっては、常に不具合が発生するとは限らず、長時間に渡って利用状況をモニタした場合に初めて不具合が発生する場合がある。このような問題を調査する場合、長時間に渡って常に利用状況を監視することは多大な労力を要することから現実的ではない。
【0006】
そのため、パケット保存用の装置を長時間に渡ってネットワークに接続し、ネットワークに接続した装置がモニタしたパケットを装置の外部記憶に保存し、後から保存したパケットを解析する手法が用いられる。例えば、非特許文献1に記載のWireSharkには、パケットをファイルに保存する機能が備えられており、長時間に渡ってファイルに保存したパケットを、後から解析することが可能である。
【0007】
このような手法は、特に映像サービスやファイル共有サービスなど、大容量の帯域を必要とするネットワークサービスを利用した場合、外部記憶に保存されるパケットのファイルサイズが巨大となり、外部記憶容量の制約から長時間に渡る保存が困難となるという問題がある。
【0008】
また、パケットを保存できた場合でも、保存されたパケットの容量が膨大になった場合、どこに不具合があるのかを解析するためには保存されたパケットをすべて調べる必要があることから、問題の発生箇所の特定が難しくなるという問題がある。
【0009】
上記の問題を回避するために、一定時間、あるいは保存されたパケットのサイズが一定容量以上となった場合に、保存したパケットのファイルを破棄するという手法がある。
【0010】
しかし、この手法を用いた場合、プロトコルの種類によっては過去に観察されたパケットがわからないと、現在の状態が正確に分からない場合があるため、問題の発生原因を正確に診断することができなくなるという問題があった。
【0011】
また、パケットのエラーが発生した場合、そのパケットエラーのみを記録しても、エラーの原因は他のパケットにある場合があることから、エラーの発生原因を突き止められないという問題があった。
【先行技術文献】
【非特許文献】
【0012】
【非特許文献1】"WireShark"、[online]、[平成22年3月1日検索]、インターネット<URL:http://www.wireshark.org/>
【非特許文献2】加藤洋一、宮本勝"ホームネットワーク故障切り分け方式の検討:効率的な故障診断のための可視化(ネットワーク管理)",電子情報通信学会技術研究報告ICM2008-64, 108(481), pp.35-40, 2009.
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、パケットを、新しいうちは破棄しないでおき、古くなったら破棄できるパケット解析装置およびその動作方法を提供することにある。
【課題を解決するための手段】
【0014】
上記の課題を解決するために、第1の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
【0015】
第2の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、前記位置記憶部に記憶された位置を読み出す位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
【0016】
第3の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
【0017】
第4の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
【発明の効果】
【0018】
本発明によれば、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
【図面の簡単な説明】
【0019】
【図1】第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図2】パケット記憶部2の構成を示す図である。
【図3】プロトコル種類取得部6の詳細構成および動作の説明図である。
【図4】プロトコル動作判定部7の詳細構成および動作の説明図である。
【図5】第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図6】プロトコル種類取得部6Aの詳細構成および動作の説明図である。
【図7】第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図8】第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【発明を実施するための形態】
【0020】
以下、本発明の実施の形態について図面を参照して説明する。
【0021】
[第1の実施の形態]
図1は、第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0022】
第1の実施の形態に係るネットワーク解析装置は、ネットワークNを流れるパケットを順次に捕捉するパケット捕捉部1と、捕捉されたパケットが捕捉順に記憶されるパケット記憶部2と、捕捉されたパケットをパケット記憶部2に記憶させるパケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類とを有するレコードからなるプロトコル種類テーブル4と、プロトコルの種類と該プロトコルが適用される通信における異常のパターンとを有するレコードからなる異常パターンテーブル5と、捕捉されたパケットに基づいてプロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得するプロトコル種類取得部6と、当該プロトコルの種類と当該パケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部7と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める位置取得部8と、動作が異常ならその旨を記憶するパケット破棄中止記憶部9と、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において当該位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10とを有する。
【0023】
(第1の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。
【0024】
図2は、パケット記憶部2の構成を示す図である。
パケット記憶部2には、パケットが捕捉順に記憶される。ここでは、最も古いパケットは、パケット番号1のパケットであり、最も新しいパケットは、パケット番号Nのパケットである。パケット記憶部2においては、求められた位置より前の位置に記憶されたパケットが破棄される。例えば、パケット番号9のパケットの位置が求められたたなら、パケット番号1〜8のパケットが破棄される。
【0025】
図1に戻り、プロトコル種類取得部6は、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得する。
【0026】
図3は、プロトコル種類取得部6の詳細構成および動作の説明図である。
プロトコル種類取得部6は、ヘッダとデータからなるパケットからヘッダを取得するヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4から検索するテーブル検索部62と、当該レコードからプロトコルの種類を読み出すプロトコル種類読出部63とを備える。
【0027】
ヘッダ取得部61は、パケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4から検索する。
【0028】
プロトコル種類読出部63は、当該レコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
【0029】
プロトコルの種類としては、HTTP、FTP、RTP、SIP、PPPoEなどがある。以下、プロトコルの種類については、同様である。
【0030】
図1に戻り、プロトコル動作判定部7は、読み出したプロトコルの種類とパケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定する。
【0031】
図4は、プロトコル動作判定部7の詳細構成および動作の説明図である。
プロトコル動作判定部7は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索するテーブル検索部71と、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかを判定する異常判定処理部72と、判定の結果を出力する判定結果出力部73とを備える。
【0032】
テーブル検索部71は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索し、異常判定処理部72は、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかつまり動作が異常か否かを判定し、判定結果出力部73は、動作が異常ならその旨をパケット破棄中止記憶部9に記憶させる。また、パケットは位置取得部8に出力される。
【0033】
異常判定処理部72は、同一レコードに複数の異常のパターンがある場合は、各パターンについて判定を行い、いずれかに該当する場合は、動作が異常であることとする。
【0034】
異常な動作とは、例えば、RTPにおいて、途中のパケットが欠落するような動作や、SIPにおいて、INVITEに対する応答で200OKが戻らなかったというような動作をいう。
【0035】
図1に戻り、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
【0036】
パケット破棄処理部10は、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
【0037】
なお、パケット破棄処理部10は、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
【0038】
したがって、第1の実施の形態によれば、予め定められたパケット数または時間長だけ遡ったタイミングで捕捉されたパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
【0039】
[第2の実施の形態]
図5は、第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。第2の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0040】
第2の実施の形態に係るネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類と当該プロトコルの形式を有するレコードからなるプロトコル種類テーブル4Aと、異常パターンテーブル5と、捕捉されたパケットの内容に基づいてプロトコル種類テーブル4Aから当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得するプロトコル種類取得部6Aと、当該プロトコルの形式が、複数のパケットが送信されるものである場合に、例えば、プロトコルの形式がステート型で、且つ、その状態遷移における開始状態が確認された場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部11と、プロトコル動作判定部7と、パケット破棄中止記憶部9と、位置記憶部11に記憶された位置を読み出す位置取得部8Aと、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、当該読み出された位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10Aとを有する。
【0041】
(第2の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。パケット記憶部2の構成は図2に示したとおりである。
【0042】
プロトコル種類取得部6Aは、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得する。
【0043】
図6は、プロトコル種類取得部6Aの詳細構成および動作の説明図である。
プロトコル種類取得部6Aは、ヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4Aから検索するテーブル検索部62と、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定するプロトコル形式判定部64と、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させ、プロトコルの形式が、複数のパケットが送信されるものでないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を位置記憶部11に記憶させる位置書込部65と、プロトコル種類読出部63とを備える。
【0044】
ヘッダ取得部61は、ヘッダとデータからなるパケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4Aから検索する。
【0045】
プロトコル形式判定部64は、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定する。
【0046】
位置書込部65は、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させる。
【0047】
例えば、位置書込部65は、プロトコルの形式がステート型であるなら、且つ、その状態遷移における開始状態か否かを判定し、開始状態であるなら、上記のように先頭のパケットの位置を位置記憶部11に記憶させる。
【0048】
ここでは、位置書込部65は、先頭のパケットの位置をプロトコルの種類に対応づけて位置記憶部11に記憶させる。
【0049】
なお、位置記憶部11には、先頭のパケットが捕捉された時刻などを記憶させ、つまり、複数のパケットの送信の開始時刻を記憶させておいてもよい。この場合、開始時刻から、先頭のパケットのパケット記憶部2での位置を求めることができるようにしておけばよい。すなわち、位置記憶部11には、先頭のパケットのパケット記憶部2での位置を直接的に記憶させてもよいし、開始時刻により間接的に記憶させてもよい。
【0050】
プロトコル種類読出部63は、ヘッダ取得部61により検索されたレコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
【0051】
図5に戻り、プロトコル動作判定部7は、第1の実施の形態と同様に、動作が正常なものであるか異常なものであるかを判定する。また、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。
【0052】
また、位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
【0053】
位置取得部8は、位置記憶部11に位置が記憶されているなら、その位置を優先的に読み出し、記憶されていないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を読み出す。
【0054】
パケット破棄処理部10Aは、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8Aにより得られた位置(先頭のパケットの位置または予め定められたパケット数または時間長だけ前に捕捉されたパケットの位置)より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
【0055】
なお、第1の実施の形態と同様に、パケット破棄処理部10Aは、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
【0056】
したがって、第2の実施の形態によれば、複数のパケットの中の先頭のパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。また、複数のパケットは破棄されないので、当該複数のパケットに適用されるプロトコルに関わる通信の動作を解析することができる。
【0057】
[第3の実施の形態]
図7は、第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0058】
第3の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0059】
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常な場合における当該異常の内容を記憶する異常内容記憶部12と、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させる異常内容処理部13とを備える。
【0060】
(第3の実施の形態における動作)
第3の実施の形態における動作では、異常内容処理部13が、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させ、これ以外の動作は、第1の実施の形態と同様である。なお、第2の実施の形態に係るネットワーク解析装置に異常内容記憶部12と異常内容処理部13を設け、同様な動作がなされるようにしてもよい。
【0061】
したがって、第3の実施の形態によれば、第1の実施の形態などの効果に加え、さらに、異常内容記憶部12に記憶された異常の内容から、異常の原因究明や統計処理などを行うことができる。
【0062】
[第4の実施の形態]
図8は、第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0063】
第4の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0064】
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常なら当該異常の内容を、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知する異常内容通知部14を有する。
【0065】
(第4の実施の形態における動作)
第4の実施の形態における動作では、異常内容通知部14が、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知し、これ以外の動作は、第1の実施の形態と同様である。なお、第2または3の実施の形態に係るネットワーク解析装置に異常内容通知部14を設け、同様な動作がなされるようにしてもよい。
【0066】
したがって、第4の実施の形態によれば、第1の実施の形態などにおける効果に加え、さらに、異常内容通知部14により通知される異常の内容から、異常の原因究明や統計処理などを行うことができる。
【0067】
なお、本実施の形態に係るネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に記録でき、また、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
【符号の説明】
【0068】
1…パケット捕捉部
2…パケット記憶部
3…パケット処理部
4、4A…プロトコル種類テーブル
5…異常パターンテーブル
6、6A…プロトコル種類取得部
7…プロトコル動作判定部
8、8A…位置取得部
9…パケット破棄中止記憶部
10、10A…パケット破棄処理部
11…位置記憶部
12…異常内容記憶部
13…異常内容処理部
14…異常内容通知部
61…ヘッダ取得部
62、71…テーブル検索部
63…プロトコル種類読出部
64…プロトコル形式判定部
65…位置書込部
72…異常判定処理部
73…判定結果出力部
【技術分野】
【0001】
本発明は、ネットワーク解析装置およびその動作方法に関するものである。
【背景技術】
【0002】
一般家庭やオフィスにおいてネットワーク接続に不具合が生じ、機器を正常に利用できなくなった場合、ネットワーク上を流れるIPパケット(以下、パケット)をモニタし、プロトコルが正常に動作しているか否かを調査し、正常に動作していない場合には不具合の発生原因を特定、修復する作業が行われる。
【0003】
パケットをモニタするツールとしては、たとえばネットワーク上を伝送されるパケットを取得し、パケットの詳細やパケットで構成されているプロトコル、パケットを送受信するIP端末のIPアドレスを表示するプロトコルモニタツールが知られている(非特許文献1参照)。
【0004】
また、ネットワークに接続されたIP機器の動作状態をモニタする手段として、モニタしたパケットからIP機器の接続構成を推定して、画面上に可視化することで、人が容易にIP機器の接続状況を判断できる手法がある(非特許文献2参照)。
【0005】
これらのツールは、リアルタイムにネットワークの利用状況をモニタし、不具合の発生原因を特定するものである。しかしながら、利用環境や利用状況によっては、常に不具合が発生するとは限らず、長時間に渡って利用状況をモニタした場合に初めて不具合が発生する場合がある。このような問題を調査する場合、長時間に渡って常に利用状況を監視することは多大な労力を要することから現実的ではない。
【0006】
そのため、パケット保存用の装置を長時間に渡ってネットワークに接続し、ネットワークに接続した装置がモニタしたパケットを装置の外部記憶に保存し、後から保存したパケットを解析する手法が用いられる。例えば、非特許文献1に記載のWireSharkには、パケットをファイルに保存する機能が備えられており、長時間に渡ってファイルに保存したパケットを、後から解析することが可能である。
【0007】
このような手法は、特に映像サービスやファイル共有サービスなど、大容量の帯域を必要とするネットワークサービスを利用した場合、外部記憶に保存されるパケットのファイルサイズが巨大となり、外部記憶容量の制約から長時間に渡る保存が困難となるという問題がある。
【0008】
また、パケットを保存できた場合でも、保存されたパケットの容量が膨大になった場合、どこに不具合があるのかを解析するためには保存されたパケットをすべて調べる必要があることから、問題の発生箇所の特定が難しくなるという問題がある。
【0009】
上記の問題を回避するために、一定時間、あるいは保存されたパケットのサイズが一定容量以上となった場合に、保存したパケットのファイルを破棄するという手法がある。
【0010】
しかし、この手法を用いた場合、プロトコルの種類によっては過去に観察されたパケットがわからないと、現在の状態が正確に分からない場合があるため、問題の発生原因を正確に診断することができなくなるという問題があった。
【0011】
また、パケットのエラーが発生した場合、そのパケットエラーのみを記録しても、エラーの原因は他のパケットにある場合があることから、エラーの発生原因を突き止められないという問題があった。
【先行技術文献】
【非特許文献】
【0012】
【非特許文献1】"WireShark"、[online]、[平成22年3月1日検索]、インターネット<URL:http://www.wireshark.org/>
【非特許文献2】加藤洋一、宮本勝"ホームネットワーク故障切り分け方式の検討:効率的な故障診断のための可視化(ネットワーク管理)",電子情報通信学会技術研究報告ICM2008-64, 108(481), pp.35-40, 2009.
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明は、上記の課題に鑑みてなされたものであり、その目的とするところは、パケットを、新しいうちは破棄しないでおき、古くなったら破棄できるパケット解析装置およびその動作方法を提供することにある。
【課題を解決するための手段】
【0014】
上記の課題を解決するために、第1の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
【0015】
第2の本発明に係るネットワーク解析装置は、ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、前記位置記憶部に記憶された位置を読み出す位置取得部と、当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部とを有することを特徴とする。
【0016】
第3の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
【0017】
第4の本発明に係るネットワーク解析装置の動作方法は、ネットワークに接続されたネットワーク解析装置の動作方法であって、前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止することを特徴とする。
【発明の効果】
【0018】
本発明によれば、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
【図面の簡単な説明】
【0019】
【図1】第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図2】パケット記憶部2の構成を示す図である。
【図3】プロトコル種類取得部6の詳細構成および動作の説明図である。
【図4】プロトコル動作判定部7の詳細構成および動作の説明図である。
【図5】第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図6】プロトコル種類取得部6Aの詳細構成および動作の説明図である。
【図7】第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【図8】第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【発明を実施するための形態】
【0020】
以下、本発明の実施の形態について図面を参照して説明する。
【0021】
[第1の実施の形態]
図1は、第1の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0022】
第1の実施の形態に係るネットワーク解析装置は、ネットワークNを流れるパケットを順次に捕捉するパケット捕捉部1と、捕捉されたパケットが捕捉順に記憶されるパケット記憶部2と、捕捉されたパケットをパケット記憶部2に記憶させるパケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類とを有するレコードからなるプロトコル種類テーブル4と、プロトコルの種類と該プロトコルが適用される通信における異常のパターンとを有するレコードからなる異常パターンテーブル5と、捕捉されたパケットに基づいてプロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得するプロトコル種類取得部6と、当該プロトコルの種類と当該パケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部7と、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める位置取得部8と、動作が異常ならその旨を記憶するパケット破棄中止記憶部9と、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において当該位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10とを有する。
【0023】
(第1の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。
【0024】
図2は、パケット記憶部2の構成を示す図である。
パケット記憶部2には、パケットが捕捉順に記憶される。ここでは、最も古いパケットは、パケット番号1のパケットであり、最も新しいパケットは、パケット番号Nのパケットである。パケット記憶部2においては、求められた位置より前の位置に記憶されたパケットが破棄される。例えば、パケット番号9のパケットの位置が求められたたなら、パケット番号1〜8のパケットが破棄される。
【0025】
図1に戻り、プロトコル種類取得部6は、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類を取得する。
【0026】
図3は、プロトコル種類取得部6の詳細構成および動作の説明図である。
プロトコル種類取得部6は、ヘッダとデータからなるパケットからヘッダを取得するヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4から検索するテーブル検索部62と、当該レコードからプロトコルの種類を読み出すプロトコル種類読出部63とを備える。
【0027】
ヘッダ取得部61は、パケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4から検索する。
【0028】
プロトコル種類読出部63は、当該レコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
【0029】
プロトコルの種類としては、HTTP、FTP、RTP、SIP、PPPoEなどがある。以下、プロトコルの種類については、同様である。
【0030】
図1に戻り、プロトコル動作判定部7は、読み出したプロトコルの種類とパケットおよび異常パターンテーブル5の内容に基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定する。
【0031】
図4は、プロトコル動作判定部7の詳細構成および動作の説明図である。
プロトコル動作判定部7は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索するテーブル検索部71と、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかを判定する異常判定処理部72と、判定の結果を出力する判定結果出力部73とを備える。
【0032】
テーブル検索部71は、プロトコル種類取得部6から得たプロトコルの種類を含むレコードを異常パターンテーブル5から検索し、異常判定処理部72は、プロトコル種類取得部6から得たパケットが、該レコードの異常のパターンに該当するかつまり動作が異常か否かを判定し、判定結果出力部73は、動作が異常ならその旨をパケット破棄中止記憶部9に記憶させる。また、パケットは位置取得部8に出力される。
【0033】
異常判定処理部72は、同一レコードに複数の異常のパターンがある場合は、各パターンについて判定を行い、いずれかに該当する場合は、動作が異常であることとする。
【0034】
異常な動作とは、例えば、RTPにおいて、途中のパケットが欠落するような動作や、SIPにおいて、INVITEに対する応答で200OKが戻らなかったというような動作をいう。
【0035】
図1に戻り、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
【0036】
パケット破棄処理部10は、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8により求められた位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
【0037】
なお、パケット破棄処理部10は、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
【0038】
したがって、第1の実施の形態によれば、予め定められたパケット数または時間長だけ遡ったタイミングで捕捉されたパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。
【0039】
[第2の実施の形態]
図5は、第2の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。第2の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0040】
第2の実施の形態に係るネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、パケット内のヘッダのパターンと該パターンのヘッダを含むパケットに適用されるプロトコルの種類と当該プロトコルの形式を有するレコードからなるプロトコル種類テーブル4Aと、異常パターンテーブル5と、捕捉されたパケットの内容に基づいてプロトコル種類テーブル4Aから当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得するプロトコル種類取得部6Aと、当該プロトコルの形式が、複数のパケットが送信されるものである場合に、例えば、プロトコルの形式がステート型で、且つ、その状態遷移における開始状態が確認された場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部11と、プロトコル動作判定部7と、パケット破棄中止記憶部9と、位置記憶部11に記憶された位置を読み出す位置取得部8Aと、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、当該読み出された位置より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部10Aとを有する。
【0041】
(第2の実施の形態における動作)
パケット捕捉部1は、ネットワークNを流れるパケットを順次に捕捉する。パケット処理部3は、捕捉されたパケットを捕捉順にパケット記憶部2に記憶させる。パケット記憶部2は、ここではファイルであり、ハードディスクやフラッシュメモリに格納される。パケット記憶部2の構成は図2に示したとおりである。
【0042】
プロトコル種類取得部6Aは、パケットが捕捉された際、そのパケットの内容に基づいて、プロトコル種類テーブル4から当該パケットに適用されたプロトコルの種類と当該プロトコルの形式とを取得する。
【0043】
図6は、プロトコル種類取得部6Aの詳細構成および動作の説明図である。
プロトコル種類取得部6Aは、ヘッダ取得部61と、取得されたヘッダのパターンを含むレコードをプロトコル種類テーブル4Aから検索するテーブル検索部62と、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定するプロトコル形式判定部64と、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させ、プロトコルの形式が、複数のパケットが送信されるものでないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を位置記憶部11に記憶させる位置書込部65と、プロトコル種類読出部63とを備える。
【0044】
ヘッダ取得部61は、ヘッダとデータからなるパケットからヘッダを取得し、テーブル検索部62は、当該ヘッダを含むレコードをプロトコル種類テーブル4Aから検索する。
【0045】
プロトコル形式判定部64は、レコードからプロトコルの形式を読み出し、これが、複数のパケットが送信されるものである、例えば、プロトコルの形式がステート型である、か否かを判定する。
【0046】
位置書込部65は、プロトコルの形式が、複数のパケットが送信されるものであるなら、その複数のパケットの中の先頭のパケットのパケット記憶部2での位置を位置記憶部11に記憶させる。
【0047】
例えば、位置書込部65は、プロトコルの形式がステート型であるなら、且つ、その状態遷移における開始状態か否かを判定し、開始状態であるなら、上記のように先頭のパケットの位置を位置記憶部11に記憶させる。
【0048】
ここでは、位置書込部65は、先頭のパケットの位置をプロトコルの種類に対応づけて位置記憶部11に記憶させる。
【0049】
なお、位置記憶部11には、先頭のパケットが捕捉された時刻などを記憶させ、つまり、複数のパケットの送信の開始時刻を記憶させておいてもよい。この場合、開始時刻から、先頭のパケットのパケット記憶部2での位置を求めることができるようにしておけばよい。すなわち、位置記憶部11には、先頭のパケットのパケット記憶部2での位置を直接的に記憶させてもよいし、開始時刻により間接的に記憶させてもよい。
【0050】
プロトコル種類読出部63は、ヘッダ取得部61により検索されたレコードからプロトコルの種類を読み出し、プロトコルの種類とパケットをプロトコル動作判定部7に出力する。
【0051】
図5に戻り、プロトコル動作判定部7は、第1の実施の形態と同様に、動作が正常なものであるか異常なものであるかを判定する。また、パケット破棄中止記憶部9は、動作が異常ならその旨を記憶する。
【0052】
また、位置取得部8は、プロトコル動作判定部7から得たパケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を求める。かかる位置は、ネットワーク解析装置のメモリ(図示せず)上に記憶される。
【0053】
位置取得部8は、位置記憶部11に位置が記憶されているなら、その位置を優先的に読み出し、記憶されていないなら、予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部2での位置を読み出す。
【0054】
パケット破棄処理部10Aは、パケット破棄中止記憶部9に動作が異常であることが記憶されていないなら、パケット記憶部2において、位置取得部8Aにより得られた位置(先頭のパケットの位置または予め定められたパケット数または時間長だけ前に捕捉されたパケットの位置)より前の位置に記憶されたパケットを破棄する一方、パケット破棄中止記憶部9に動作が異常であることが記憶されているならパケットの破棄を中止する。
【0055】
なお、第1の実施の形態と同様に、パケット破棄処理部10Aは、予め定められた時間の長さが経過したら、または、予め定められた数のパケットが処理されたら、パケット破棄中止記憶部9から、動作が異常である旨の記憶を削除する。また、これ以降、パケット処理部3は、パケット記憶部2としては、新たなファイルを使用する。
【0056】
したがって、第2の実施の形態によれば、複数のパケットの中の先頭のパケットより前に捕捉されたパケットを破棄するので、パケットを、新しいうちは破棄しないでおき、古くなったら破棄することができ、よって、パケットの解析ができ、且つ、パケットの保存量を少なくできる。また、複数のパケットは破棄されないので、当該複数のパケットに適用されるプロトコルに関わる通信の動作を解析することができる。
【0057】
[第3の実施の形態]
図7は、第3の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0058】
第3の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0059】
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常な場合における当該異常の内容を記憶する異常内容記憶部12と、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させる異常内容処理部13とを備える。
【0060】
(第3の実施の形態における動作)
第3の実施の形態における動作では、異常内容処理部13が、動作が異常な場合における当該異常の内容を異常内容記憶部12に記憶させ、これ以外の動作は、第1の実施の形態と同様である。なお、第2の実施の形態に係るネットワーク解析装置に異常内容記憶部12と異常内容処理部13を設け、同様な動作がなされるようにしてもよい。
【0061】
したがって、第3の実施の形態によれば、第1の実施の形態などの効果に加え、さらに、異常内容記憶部12に記憶された異常の内容から、異常の原因究明や統計処理などを行うことができる。
【0062】
[第4の実施の形態]
図8は、第4の実施の形態に係るネットワーク解析装置の概略構成を示すブロック図である。
【0063】
第4の実施の形態に係るネットワーク解析装置は、第1の実施の形態に係るネットワーク解析装置と同様の構成要素を有し、これについては、同一符号を付与し、重複説明を省略する。
【0064】
ネットワーク解析装置は、パケット捕捉部1と、パケット記憶部2と、パケット処理部3と、プロトコル種類テーブル4と、異常パターンテーブル5と、プロトコル種類取得部6と、プロトコル動作判定部7と、位置取得部8と、パケット破棄中止記憶部9と、パケット破棄処理部10と、動作が異常なら当該異常の内容を、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知する異常内容通知部14を有する。
【0065】
(第4の実施の形態における動作)
第4の実施の形態における動作では、異常内容通知部14が、例えば、ネットワークNを介して通信可能な、外部の図示しない装置(サーバなど)に通知し、これ以外の動作は、第1の実施の形態と同様である。なお、第2または3の実施の形態に係るネットワーク解析装置に異常内容通知部14を設け、同様な動作がなされるようにしてもよい。
【0066】
したがって、第4の実施の形態によれば、第1の実施の形態などにおける効果に加え、さらに、異常内容通知部14により通知される異常の内容から、異常の原因究明や統計処理などを行うことができる。
【0067】
なお、本実施の形態に係るネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に記録でき、また、インターネットなどの通信網を介して伝送させて、広く流通させることができる。
【符号の説明】
【0068】
1…パケット捕捉部
2…パケット記憶部
3…パケット処理部
4、4A…プロトコル種類テーブル
5…異常パターンテーブル
6、6A…プロトコル種類取得部
7…プロトコル動作判定部
8、8A…位置取得部
9…パケット破棄中止記憶部
10、10A…パケット破棄処理部
11…位置記憶部
12…異常内容記憶部
13…異常内容処理部
14…異常内容通知部
61…ヘッダ取得部
62、71…テーブル検索部
63…プロトコル種類読出部
64…プロトコル形式判定部
65…位置書込部
72…異常判定処理部
73…判定結果出力部
【特許請求の範囲】
【請求項1】
ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、
当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
を有することを特徴とするネットワーク解析装置。
【請求項2】
ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、
当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
前記位置記憶部に記憶された位置を読み出す位置取得部と、
当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
を有することを特徴とするネットワーク解析装置。
【請求項3】
前記動作が異常な場合における当該異常の内容を記憶する異常内容記憶部を有することを特徴とする請求項1または2記載のネットワーク解析装置。
【請求項4】
前記動作が異常なら当該異常の内容を外部の装置に通知する異常内容通知部を有することを請求項1ないし3のいずれかに記載のネットワーク解析装置。
【請求項5】
ネットワークに接続されたネットワーク解析装置の動作方法であって、
前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、
前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
ことを特徴とするネットワーク解析装置の動作方法。
【請求項6】
ネットワークに接続されたネットワーク解析装置の動作方法であって、
前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、
前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、
前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
ことを特徴とするネットワーク解析装置の動作方法。
【請求項7】
前記ネットワーク解析装置の異常内容記憶部が、前記動作が異常な場合における当該異常の内容を記憶することを特徴とする請求項5または6記載のネットワーク解析装置の動作方法。
【請求項8】
前記ネットワーク解析装置の異常内容通知部が、前記動作が異常なら当該異常の内容を外部の装置に通知することを請求項5ないし7のいずれかに記載のネットワーク解析装置の動作方法。
【請求項9】
請求項1ないし4のいずれかに記載のネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラム。
【請求項1】
ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求める位置取得部と、
当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
を有することを特徴とするネットワーク解析装置。
【請求項2】
ネットワークを流れるパケットを順次に捕捉するパケット捕捉部と、
当該捕捉されたパケットが捕捉順に記憶されるパケット記憶部と、
当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求めるプロトコル種類取得部と、
当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置が記憶される位置記憶部と、
当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定するプロトコル動作判定部と、
前記位置記憶部に記憶された位置を読み出す位置取得部と、
当該動作が異常なら、当該動作が異常であることを記憶するパケット破棄中止記憶部と、
前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止するパケット破棄処理部と
を有することを特徴とするネットワーク解析装置。
【請求項3】
前記動作が異常な場合における当該異常の内容を記憶する異常内容記憶部を有することを特徴とする請求項1または2記載のネットワーク解析装置。
【請求項4】
前記動作が異常なら当該異常の内容を外部の装置に通知する異常内容通知部を有することを請求項1ないし3のいずれかに記載のネットワーク解析装置。
【請求項5】
ネットワークに接続されたネットワーク解析装置の動作方法であって、
前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
前記ネットワーク解析装置の位置取得部が、当該パケットより予め定められたパケット数または時間長だけ前に捕捉されたパケットのパケット記憶部での位置を求め、
前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
ことを特徴とするネットワーク解析装置の動作方法。
【請求項6】
ネットワークに接続されたネットワーク解析装置の動作方法であって、
前記ネットワーク解析装置のパケット捕捉部が、ネットワークを流れるパケットを順次に捕捉し、
前記ネットワーク解析装置のパケット記憶部が、当該捕捉されたパケットを捕捉順に記憶し、
前記ネットワーク解析装置のプロトコル種類取得部が、当該捕捉されたパケットの内容に基づいて当該パケットに適用されたプロトコルの種類を求め、
前記ネットワーク解析装置の位置記憶部が、当該プロトコルの種類が、複数のパケットが送信されるものである場合に、当該複数のパケットの中の先頭のパケットのパケット記憶部での位置を記憶し、
前記ネットワーク解析装置のプロトコル動作判定部が、当該プロトコルの種類と当該パケットの内容とに基づいて当該プロトコルおよびパケットに関わる通信の動作が正常なものであるか異常なものであるかを判定し、
前記ネットワーク解析装置の位置取得部が、前記位置記憶部に記憶された位置を読み出し、
前記ネットワーク解析装置のパケット破棄中止記憶部が、当該動作が異常なら、当該動作が異常であることを記憶し、
前記ネットワーク解析装置のパケット破棄処理部が、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されていないなら、前記パケット記憶部において当該位置より前の位置に記憶されたパケットを破棄する一方、前記パケット破棄中止記憶部に当該動作が異常であることが記憶されているならパケットの破棄を中止する
ことを特徴とするネットワーク解析装置の動作方法。
【請求項7】
前記ネットワーク解析装置の異常内容記憶部が、前記動作が異常な場合における当該異常の内容を記憶することを特徴とする請求項5または6記載のネットワーク解析装置の動作方法。
【請求項8】
前記ネットワーク解析装置の異常内容通知部が、前記動作が異常なら当該異常の内容を外部の装置に通知することを請求項5ないし7のいずれかに記載のネットワーク解析装置の動作方法。
【請求項9】
請求項1ないし4のいずれかに記載のネットワーク解析装置としてコンピュータを機能させるためのコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−211544(P2011−211544A)
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願番号】特願2010−78054(P2010−78054)
【出願日】平成22年3月30日(2010.3.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年10月20日(2011.10.20)
【国際特許分類】
【出願日】平成22年3月30日(2010.3.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]