パケットキャプチャーシステムおよびパケットキャプチャー方法
【課題】ネットワーク上を流れる高トラヒックのパケットデータに対して、オペレータが要求するパケットを欠落させることなくキャプチャーすることが出来なかった。
【解決手段】ネットワーク上を流れるパケットを一定時間キャプチャーし、それらのパケットを蓄積するパケット解析DBとパケット解析DBに格納されたパケット内部の分析を行ない、その中からもっとも頻繁に現れたパケットの傾向を抽出するプレパケットキャプチャー部と、その抽出されたパケットの傾向を元に当該条件に該当するパケットのみをキャプチャーするパケットキャプチャー装置と有するパケットキャプチャーシステムにより、解決できる。
【解決手段】ネットワーク上を流れるパケットを一定時間キャプチャーし、それらのパケットを蓄積するパケット解析DBとパケット解析DBに格納されたパケット内部の分析を行ない、その中からもっとも頻繁に現れたパケットの傾向を抽出するプレパケットキャプチャー部と、その抽出されたパケットの傾向を元に当該条件に該当するパケットのみをキャプチャーするパケットキャプチャー装置と有するパケットキャプチャーシステムにより、解決できる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワーク上を流れるパケットをキャプチャーするパケットキャプチャーシステムおよびパケットキャプチャー方法に関する。
【背景技術】
【0002】
スマートフォンユーザの急激な増大に比例して、通信ネットワーク上を流れるトラヒックも急激に増大した。オペレータは、スマートフォンユーザがどのようなアプリケーションを使い、どのようなサービスを受けているか、そのサービスを利用するに当たり満足しているか等のモバイルサービスの品質について興味がある。
【0003】
従来のモバイルネットワークにおいて、iモード(登録商標)およびEzWeb(登録商標)に代表されるようにオペレータがサーバを立ち上げてサービスを提供していた。そのため、オペレータがユーザ動向を把握することが可能であった。
【0004】
しかし、スマートフォンの急増は、モバイルユーザに対して、上記iモードやEzWebのようなオペレータ内に閉じたサービスではなく、一般的なInternet網のサーバを用いたサービスを提供し始めた。そこで、オペレータは、パケットキャプチャー装置等を用いて、サービスの品質を判断しなければならなくなった。
【0005】
従来、パケットキャプチャー装置は、通信ネットワーク上を流れるトラヒックを全てキャプチャーし、ハードディスク等のデータベース(DB)に書き込み、書き込まれたデータを解析者が解析し、サービスにどのような影響を与えているかを判断していた。また、全てのパケットをキャプチャーすることなく、事前に取り決めたフィルタールールに基づき通信ネットワーク上を流れるパケットをフィルターしてからDBに書き込むsFlowやNetFlowのような装置もある。これらの方法は従来の1Gbit/sの回線容量であれば問題なく使用することができたが、上述のようにトラヒックの急増に伴いバックボーンの回線容量も10Gbit/sの高速の回線が必要になり、結果、全てのパケットをキャプチャーすることが困難になってきた。
【0006】
また、最近のスマートフォンでは、1台の端末で複数のセッションを用いるアプリケーションが多数存在する。そのため、1台の端末で複数のIPアドレスを使用することが頻繁に生じる。さらに、アプリケーションによっては、IPアドレスだけではなくアプリケーションの版数の違いにより使用するポート番号を変更することもある。よって、端末のIPアドレスやポート番号によってパケットをフィルターし、キャプチャーしてもオペレータが必要とするパケットをキャプチャーすることが非常に困難になってきている。
【0007】
オペレータが要求するパケットをキャプチャーすることが困難になっているにも関わらず、オペレータはユーザの利用状況を把握したいと考えている。
特許文献1、特許文献2は、オペレータのニーズに対して、ある特定のパケットパターンを事前に決めてそのパターンにマッチしたデータを解析するシステムを開示する。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2010−074744号公報
【特許文献2】特開2010−045704号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来装置でパケットを取得もしくは廃棄する場合、パケットのパターンを事前に知り得て、それをパターン化する必要があった。そのため、パケットの中身がパターン化された内容と全く同じである場合以外、当該パケットを取得または廃棄することができなかった。このようにパケットの中身をマッチイングできなかった場合、その都度新しいパターンをキャプチャー装置にインプットしなければならなく非常に煩雑であった。つまり、パケットをフィルターする際、どのようなフィルターを適用するかどうかを解析者があらかじめトラフィックを分析する必要があった。
【0010】
従来のモバイルネットワークにおいては、サーバ自体をオペレータが管理していたため、サーバや移動体端末のIPアドレスやポート番号等のサービスを識別するパラメータを容易に知ることができ、そのIPアドレスを元にフィルターパターンを生成することは可能であった。しかしながら、一般的なインターネット網にあるサーバに対してオペレータは上記パラメータを知ることが困難である。そのような状況において、解析者がパケットをキャプチャーするためにフィルターを生成することは非常に困難である。
【課題を解決するための手段】
【0011】
本明細書において開示される発明の概要は次のような態様である。ネットワーク上を流れるパケットを一定時間キャプチャーし、それらのパケットを蓄積するためのパケット解析DBとパケット解析DBに格納されたパケット内部の分析を行ない、その中からもっとも頻繁に現れたパケットの傾向を抽出するプレパケットキャプチャー機能と、その抽出されたパケットの傾向を元に当該条件に該当するパケットのみをキャプチャーすることができるパケットキャプチャー装置と有するパケットキャプチャーシステムおよび、これらの装置ならびに機能によって実行されるパケットキャプチャーの方法である。
【発明の効果】
【0012】
モバイルネットワーク機器に対して大量の基地局が接続されるようなモバイル用サービスネットワークにおいて本発明のパケットキャプチャーシステムを用いることで、モバイルネットワーク管理者が想定していないパケット種別およびデータ量の増加したパケットの情報が収集可能となる。
【図面の簡単な説明】
【0013】
【図1】移動体ネットワークシステムのブロック図である。
【図2】パケットキャプチャーシステムのブロック図である。
【図3】パケット解析装置の動作を説明するフローチャートである。
【図4】パケットキャプチャー装置の動作を説明するフローチャートである。
【図5】パケット解析装置で最頻度集合を検索するフローチャートである。
【図6】パケット解析装置で最頻度集合を検索するためのサンプルパケットを説明する図である。
【図7】プレキャプチャーされたパケットからフィルターパターンの作成過程(第1段階)を説明する図である。
【図8】プレキャプチャーされたパケットからフィルターパターンの作成過程(第2段階)を説明する図である。
【図9】プレキャプチャーされたパケットからフィルターパターンの作成過程(最終形)を説明する図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、キャプチャーシステムを実現するための移動体ネットワークシステムを説明する。図1において、移動体ネットワークシステム500は、通信端末100と、基地局150と、パケットキャプチャーシステム200と、通信機器250と、インターネット300とから構成されている。パケットキャプチャーシステム200−1は、基地局150−1と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−2は、基地局150−2と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−2は、通信機器250−1と通信機器250−2との間に配置されている。
【0015】
通信機器250は、呼処理やヘッダ変換等を行なう。通信機器250は、L2SWやL3SWならびにルータ等の機器も含まれる。これらの機器によって無線端末100から発信された通信が可能となる。
【0016】
図2を参照して、パケットキャプチャーシステム200の構成を説明する。図2において、パケットキャプチャーシステム200は、パケット解析装置210と、パケットキャプチャー装置220と、表示装置230とから構成されている。パケット解析装置210は、プレパケットキャプチャー部211と、パケット解析データベース(DB)212とから構成されている。
【0017】
基地局150、通信機器250から転送されたパケットは、パケット解析装置210によって任意の時間、任意の数のパケットをサンプリングするためにキャプチャーする。パケット解析DB212は、取得したパケットを収集、格納する。プレパケットキャプチャー部211は、サンプリングしたパケットを解析する。
図2の構成は、装置ごと機器を分けることも可能であるし、サーバのような1台の装置によっても実現できる。
【0018】
図3を参照して、パケット解析装置210の処理を説明する。図3において、パケット解析装置210は、パケットを取り込む(S301)。この段階で取り込むパケットは、ネットワーク上を流れる全てのパケットではなく、ある一定時間、具体的には、30秒間、1分間といった特定の固定時間ネットワーク上を流れるパケットを取り込む。また、取り込み周期も、24時間毎、1週間毎のように設定する。パケット解析装置210は、最も頻度の高いパケットパターンを抽出する(S302)。パケット解析装置210は、抽出したパケットパターンをパケット解析データベースに格納する(S303)。
【0019】
図4を参照して、パケットキャプチャー装置の処理を説明する。図4において、パケットキャプチャー装置220は、パケット解析DBからパケットフィルターパターンを読み込む(S304)。パケットキャプチャー装置220は、パケットを取り込む(S305)。パケットキャプチャー装置220は、パケットフィルターパターンに従ってフィルターに適合したパケットをキャプチャーする(S306)。パケットキャプチャー装置220は、キャプチャーしたパケットを表示装置に表示して(S307)、ステップ305に遷移する。
【0020】
図5を参照して、パケット解析装置210によってキャプチャーされたパケットからキャプチャー装置220でキャプチャーするためのパケットを抽出する処理を説明する。図5において、パケット解析装置210が取得したパケットの中には、端末識別子、送信元アドレス、宛先アドレス、ポート番号、パケット長、パケット到着間隔時間などの情報が含まれている。それらの情報を元に、パケット解析装置210は、どのようなパケットのパターンが最も頻繁に出現したかを抽出する。
【0021】
まず始めにパケット解析装置210は、頻度の閾値Sを決める(S401)。閾値Sは、取得したパケットの要素でS回以上現れている要素を抽出するための閾値である。つまりSの値が大きければ、パケットキャプチャー装置220でキャプチャーするパケットは少なくすることができる。一方、Sの値が小さければパケットキャプチャー装置220でキャプチャーするパケットは多くなる。Sはパケットキャプチャー装置220でキャプチャーするパケットをどの程度に絞り込むかを決める値である。
【0022】
パケット解析装置210は、K=1、Y(0)を全集合(Ω)とする(S402)。パケット解析装置210は、Y(K−1)において、S回以上出現した要素の集合をX(K)とする(S403)。パケット解析装置210は、X(K)が空集合(Φ)か判定する(S404)。YESのとき、パケット解析装置210は、X(K)を最頻度集合として(S407)、終了する。
【0023】
ステップ404でNOのとき、パケット解析装置210は、Y(K)={X(K)の要素からのみ構成され、要素数K+1の集合}を作る(S405)。パケット解析装置210は、Kをインクリメントして(S406)、ステップ403に戻る。
【0024】
図6ないし図9を参照して、図5の具体的な処理を説明する。図6において、プレキャプチャー部211に含まれている情報として、今、{無線端末識別ID、送信元アドレス、宛先アドレス、ポート番号、パケット長}500を考える。パケット解析装置210は、これらの情報を含むパケット501〜510をキャプチャーしたとする。この中から図5に示す方法により、もっとも頻度が多い組み合わせを特定する。閾値Sはここでは4とする。つまり、各カテゴリで4回以上現れたら頻度が高いと判断する。
【0025】
図6において4回以上現れた集合X1は、
X1={101,A,B,C,10,200}
である。ここで選択される要素は元々属しているカテゴリ(無線端末識別ID、送信元アドレス、宛先アドレス等)は関係なく、図6に含まれる要素全ての中から頻繁に現れる要素を抽出する。
【0026】
このX1要素からのみ構成され、要素数が2である集合Y1を考える。
【0027】
Y1
={{101,A},{101,B},{101,C},{101,10},{101,200},{A,B},{A,C},{A,10},{A,200},{B,C},{B,10},{B,200},{C,10},{C,200},{10,200}}
である。
【0028】
図7において、Y1の要素で閾値である4回以上現れている集合をX2とすると、X2の候補欄に○をつけた601、603、604、605、606、607、608、609の8個が該当する。
【0029】
そして、X2は
X2
={{101,A},{101,B},{101,10},{101,200},{A,B},{A,10},{A,200},{B,10},{B,200},{10,200}}
となる。
【0030】
X2の要素からのみ構成され、要素数が3の集合Y2を考える。
【0031】
Y2
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
である。
【0032】
図8において、Y2の要素で閾値である4回以上現れている集合をX3とすると、X3の候補欄に○をつけた701、703、706、709の4個が該当する。
【0033】
そして、X3は
X3
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
となる。この場合、X3=Y2となっているが、必ずしもX3=Y2になるとは限らない。
【0034】
さらに、X3の要素のみから構成され、要素数が4の集合Y3を考える。
【0035】
Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
である。
【0036】
図9において、Y3の要素で閾値である4回以上現れている集合をX4とすると801、803、806、809の4個である。
【0037】
そしてX4は
X4
=Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
となる。
【0038】
最後に、X4の要素のみから構成され、要素数が5の集合Y4を考える。
Y4={{101,A,B,10,200}}
Y4の要素で閾値の4回以上現れている集合をX5とすると
X5
=Y4
={{101,A,B,10,200}}
となる。
【0039】
そして、X5の要素のみから構成され、要素数が6の集合Y5を考えるが、要素数が6となる集合は存在しない。よって、X5の要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせであることが分かる。
【0040】
ここでもし、X5を満たす集合が存在しなければ、X4に含まれる要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせとなる。この場合、もっとも頻繁に出現したヘッダ情報の組み合わせが複数存在することになるが、その場合、その中で一番頻繁現れた候補が最頻度の組み合わせとなる。
【0041】
上述の実施例では最初のカテゴリを無線端末ID、送信元アドレス、宛先アドレス、ポート番号、パケット長の5つにしたが、カテゴリの数には依存しない。
【0042】
図3のフローに従ってキャプチャーされたパケットは、事前にオペレータが要求したカテゴリにおいて、ある一定時間キャプチャーしたパケットを元に、ネットワーク上で最も頻繁に流れたパケットの集合である。これらのパケットは、オペレータの主観によってフィルターしたパケットではなく、ネットワーク上の特性を元に抽出したパケットである。また、パケットをフィルターすることによって、トラヒック量を激減させることが可能であり、キャプチャーパケットが欠落する確率を下げることが可能となる。
【0043】
当該結果は、最も頻繁に使われた端末種別(例えばA社のXXXという端末)であったり、最も頻繁にユーザ利用しているサービスやアプリケーション(例えばVoIPやSNSへの書き込み)であったり、最も頻繁にネットワークを利用しているユーザであったりする。
【0044】
キャプチャーされたパケットを表示した結果、第一の例のようにある特定の端末種別が頻繁に現れていれば、その端末種別の販売実績と照らし合わせることによって、その端末を利用しているユーザにデータに何らかの影響があることを予測できる。具体的には、販売台数が極端に多くない端末がキャプチャーしたパケットによって頻出しているのであれば、端末のバグ等によって再送を繰り返す処理が行なわれていることが考えられる。
【0045】
また、キャプチャーされたパケットを表示した結果、第二の例のようにアプリケーションの種別が明示されると、そのアプリケーションのサービス品質を向上させることも逆に規制をかけることも可能となる。具体的には、キャプチャーしたパケットの結果、VoIPのパケットが多く流れていた場合、オペレータはそれらのパケットの遅延や揺らぎの統計データを取得し、実際のサービスの品質向上に役立てることが可能となる。また、災害時には逆にこれらのパケットを規制し、ネットワーク全体を安定運用させることも可能とある。
【0046】
ユーザまたはユーザ所属しているグループによるパケットが多い場合は、ごく少数の個人がネットワークを占有している可能性もあり、当該ユーザを拒絶することも、料金を上げること可能である。逆に特定のグループのユーザを囲い込み、優先的に高品質のサービスを提供するプランを作ることも可能となる。
【0047】
本実施例のパケットキャプチャーシステムでは、パケットのパターンを予め設定する必要はなく、キャプチャーしたいデータのパターンを柔軟に変更修正すること可能である。また、事前に任意にキャプチャーしたパケットのヘッダ部にある情報を元に統計的に解析しているため、客観的な解析結果が得られる為、従来のキャプチャー装置ではアプリケ−ションを特定するためにはアプリケーション側にアプリケーションを特定する識別子をつけなければならなかったが、本実施例においては、特定のアプリケーションや特定のユーザ等を固定せずに、必要なパケットをキャプチャーすることができる。
【0048】
モバイルネットワークにおいては、非常に多くの端末が複数のセッションを張りながら、かつ移動しながら通信を行なっている。そのため、端末の移動に伴い利用エリアの品質が変動する。家庭における光ネットワーク等の固定ネットワーク通信においても多数の端末は存在するが、端末が移動しないため、当該エリアの品質が極端に変動することもなく、ネットワークの品質を管理することは比較的容易である。しかしながら、モバイルネットワークは固定ネットワーク通信と異なり、エリアの品質を把握し、管理することは非常に困難である。そこで、本実施例によってキャプチャーされたパケットを元に、時々刻々変化するモバイルネットワークの品質を管理する指標、具体的には、使用している端末や使用しているアプリケーションの遅延、レスポンスタイム、揺らぎ等の統計情報、特定ユーザの位置や平均スループットなどを把握することができる。
【0049】
様々な収集したキャプチャー情報を元に通信端末毎のアプリケーション使用状況や使用時間帯・利用場所を把握することが可能となり、時間や場所によるアプリケーションサービス向上や利用形態による通信端末契約内容の調整に利用することが可能となる。
【0050】
また、ネットワーク機器の輻輳状態となった場合でも、輻輳原因となるパケット種別を収集したキャプチャー情報から瞬時に特定することが可能となり早急なネットワークの復旧作業にも利用可能である。
【符号の説明】
【0051】
100…通信端末、150…基地局、200…パケットキャプチャーシステム、210…パケット解析装置、211…プレパケットキャプチャー部、212…パケット解析DB、220…パケットキャプチャー装置、230…表示装置、250…通信機器、300…インターネット網、500…移動体ネットワークシステム。
【技術分野】
【0001】
本発明は、通信ネットワーク上を流れるパケットをキャプチャーするパケットキャプチャーシステムおよびパケットキャプチャー方法に関する。
【背景技術】
【0002】
スマートフォンユーザの急激な増大に比例して、通信ネットワーク上を流れるトラヒックも急激に増大した。オペレータは、スマートフォンユーザがどのようなアプリケーションを使い、どのようなサービスを受けているか、そのサービスを利用するに当たり満足しているか等のモバイルサービスの品質について興味がある。
【0003】
従来のモバイルネットワークにおいて、iモード(登録商標)およびEzWeb(登録商標)に代表されるようにオペレータがサーバを立ち上げてサービスを提供していた。そのため、オペレータがユーザ動向を把握することが可能であった。
【0004】
しかし、スマートフォンの急増は、モバイルユーザに対して、上記iモードやEzWebのようなオペレータ内に閉じたサービスではなく、一般的なInternet網のサーバを用いたサービスを提供し始めた。そこで、オペレータは、パケットキャプチャー装置等を用いて、サービスの品質を判断しなければならなくなった。
【0005】
従来、パケットキャプチャー装置は、通信ネットワーク上を流れるトラヒックを全てキャプチャーし、ハードディスク等のデータベース(DB)に書き込み、書き込まれたデータを解析者が解析し、サービスにどのような影響を与えているかを判断していた。また、全てのパケットをキャプチャーすることなく、事前に取り決めたフィルタールールに基づき通信ネットワーク上を流れるパケットをフィルターしてからDBに書き込むsFlowやNetFlowのような装置もある。これらの方法は従来の1Gbit/sの回線容量であれば問題なく使用することができたが、上述のようにトラヒックの急増に伴いバックボーンの回線容量も10Gbit/sの高速の回線が必要になり、結果、全てのパケットをキャプチャーすることが困難になってきた。
【0006】
また、最近のスマートフォンでは、1台の端末で複数のセッションを用いるアプリケーションが多数存在する。そのため、1台の端末で複数のIPアドレスを使用することが頻繁に生じる。さらに、アプリケーションによっては、IPアドレスだけではなくアプリケーションの版数の違いにより使用するポート番号を変更することもある。よって、端末のIPアドレスやポート番号によってパケットをフィルターし、キャプチャーしてもオペレータが必要とするパケットをキャプチャーすることが非常に困難になってきている。
【0007】
オペレータが要求するパケットをキャプチャーすることが困難になっているにも関わらず、オペレータはユーザの利用状況を把握したいと考えている。
特許文献1、特許文献2は、オペレータのニーズに対して、ある特定のパケットパターンを事前に決めてそのパターンにマッチしたデータを解析するシステムを開示する。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2010−074744号公報
【特許文献2】特開2010−045704号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来装置でパケットを取得もしくは廃棄する場合、パケットのパターンを事前に知り得て、それをパターン化する必要があった。そのため、パケットの中身がパターン化された内容と全く同じである場合以外、当該パケットを取得または廃棄することができなかった。このようにパケットの中身をマッチイングできなかった場合、その都度新しいパターンをキャプチャー装置にインプットしなければならなく非常に煩雑であった。つまり、パケットをフィルターする際、どのようなフィルターを適用するかどうかを解析者があらかじめトラフィックを分析する必要があった。
【0010】
従来のモバイルネットワークにおいては、サーバ自体をオペレータが管理していたため、サーバや移動体端末のIPアドレスやポート番号等のサービスを識別するパラメータを容易に知ることができ、そのIPアドレスを元にフィルターパターンを生成することは可能であった。しかしながら、一般的なインターネット網にあるサーバに対してオペレータは上記パラメータを知ることが困難である。そのような状況において、解析者がパケットをキャプチャーするためにフィルターを生成することは非常に困難である。
【課題を解決するための手段】
【0011】
本明細書において開示される発明の概要は次のような態様である。ネットワーク上を流れるパケットを一定時間キャプチャーし、それらのパケットを蓄積するためのパケット解析DBとパケット解析DBに格納されたパケット内部の分析を行ない、その中からもっとも頻繁に現れたパケットの傾向を抽出するプレパケットキャプチャー機能と、その抽出されたパケットの傾向を元に当該条件に該当するパケットのみをキャプチャーすることができるパケットキャプチャー装置と有するパケットキャプチャーシステムおよび、これらの装置ならびに機能によって実行されるパケットキャプチャーの方法である。
【発明の効果】
【0012】
モバイルネットワーク機器に対して大量の基地局が接続されるようなモバイル用サービスネットワークにおいて本発明のパケットキャプチャーシステムを用いることで、モバイルネットワーク管理者が想定していないパケット種別およびデータ量の増加したパケットの情報が収集可能となる。
【図面の簡単な説明】
【0013】
【図1】移動体ネットワークシステムのブロック図である。
【図2】パケットキャプチャーシステムのブロック図である。
【図3】パケット解析装置の動作を説明するフローチャートである。
【図4】パケットキャプチャー装置の動作を説明するフローチャートである。
【図5】パケット解析装置で最頻度集合を検索するフローチャートである。
【図6】パケット解析装置で最頻度集合を検索するためのサンプルパケットを説明する図である。
【図7】プレキャプチャーされたパケットからフィルターパターンの作成過程(第1段階)を説明する図である。
【図8】プレキャプチャーされたパケットからフィルターパターンの作成過程(第2段階)を説明する図である。
【図9】プレキャプチャーされたパケットからフィルターパターンの作成過程(最終形)を説明する図である。
【発明を実施するための形態】
【0014】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、キャプチャーシステムを実現するための移動体ネットワークシステムを説明する。図1において、移動体ネットワークシステム500は、通信端末100と、基地局150と、パケットキャプチャーシステム200と、通信機器250と、インターネット300とから構成されている。パケットキャプチャーシステム200−1は、基地局150−1と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−2は、基地局150−2と通信機器250−1との間に配置されている。パケットキャプチャーシステム200−2は、通信機器250−1と通信機器250−2との間に配置されている。
【0015】
通信機器250は、呼処理やヘッダ変換等を行なう。通信機器250は、L2SWやL3SWならびにルータ等の機器も含まれる。これらの機器によって無線端末100から発信された通信が可能となる。
【0016】
図2を参照して、パケットキャプチャーシステム200の構成を説明する。図2において、パケットキャプチャーシステム200は、パケット解析装置210と、パケットキャプチャー装置220と、表示装置230とから構成されている。パケット解析装置210は、プレパケットキャプチャー部211と、パケット解析データベース(DB)212とから構成されている。
【0017】
基地局150、通信機器250から転送されたパケットは、パケット解析装置210によって任意の時間、任意の数のパケットをサンプリングするためにキャプチャーする。パケット解析DB212は、取得したパケットを収集、格納する。プレパケットキャプチャー部211は、サンプリングしたパケットを解析する。
図2の構成は、装置ごと機器を分けることも可能であるし、サーバのような1台の装置によっても実現できる。
【0018】
図3を参照して、パケット解析装置210の処理を説明する。図3において、パケット解析装置210は、パケットを取り込む(S301)。この段階で取り込むパケットは、ネットワーク上を流れる全てのパケットではなく、ある一定時間、具体的には、30秒間、1分間といった特定の固定時間ネットワーク上を流れるパケットを取り込む。また、取り込み周期も、24時間毎、1週間毎のように設定する。パケット解析装置210は、最も頻度の高いパケットパターンを抽出する(S302)。パケット解析装置210は、抽出したパケットパターンをパケット解析データベースに格納する(S303)。
【0019】
図4を参照して、パケットキャプチャー装置の処理を説明する。図4において、パケットキャプチャー装置220は、パケット解析DBからパケットフィルターパターンを読み込む(S304)。パケットキャプチャー装置220は、パケットを取り込む(S305)。パケットキャプチャー装置220は、パケットフィルターパターンに従ってフィルターに適合したパケットをキャプチャーする(S306)。パケットキャプチャー装置220は、キャプチャーしたパケットを表示装置に表示して(S307)、ステップ305に遷移する。
【0020】
図5を参照して、パケット解析装置210によってキャプチャーされたパケットからキャプチャー装置220でキャプチャーするためのパケットを抽出する処理を説明する。図5において、パケット解析装置210が取得したパケットの中には、端末識別子、送信元アドレス、宛先アドレス、ポート番号、パケット長、パケット到着間隔時間などの情報が含まれている。それらの情報を元に、パケット解析装置210は、どのようなパケットのパターンが最も頻繁に出現したかを抽出する。
【0021】
まず始めにパケット解析装置210は、頻度の閾値Sを決める(S401)。閾値Sは、取得したパケットの要素でS回以上現れている要素を抽出するための閾値である。つまりSの値が大きければ、パケットキャプチャー装置220でキャプチャーするパケットは少なくすることができる。一方、Sの値が小さければパケットキャプチャー装置220でキャプチャーするパケットは多くなる。Sはパケットキャプチャー装置220でキャプチャーするパケットをどの程度に絞り込むかを決める値である。
【0022】
パケット解析装置210は、K=1、Y(0)を全集合(Ω)とする(S402)。パケット解析装置210は、Y(K−1)において、S回以上出現した要素の集合をX(K)とする(S403)。パケット解析装置210は、X(K)が空集合(Φ)か判定する(S404)。YESのとき、パケット解析装置210は、X(K)を最頻度集合として(S407)、終了する。
【0023】
ステップ404でNOのとき、パケット解析装置210は、Y(K)={X(K)の要素からのみ構成され、要素数K+1の集合}を作る(S405)。パケット解析装置210は、Kをインクリメントして(S406)、ステップ403に戻る。
【0024】
図6ないし図9を参照して、図5の具体的な処理を説明する。図6において、プレキャプチャー部211に含まれている情報として、今、{無線端末識別ID、送信元アドレス、宛先アドレス、ポート番号、パケット長}500を考える。パケット解析装置210は、これらの情報を含むパケット501〜510をキャプチャーしたとする。この中から図5に示す方法により、もっとも頻度が多い組み合わせを特定する。閾値Sはここでは4とする。つまり、各カテゴリで4回以上現れたら頻度が高いと判断する。
【0025】
図6において4回以上現れた集合X1は、
X1={101,A,B,C,10,200}
である。ここで選択される要素は元々属しているカテゴリ(無線端末識別ID、送信元アドレス、宛先アドレス等)は関係なく、図6に含まれる要素全ての中から頻繁に現れる要素を抽出する。
【0026】
このX1要素からのみ構成され、要素数が2である集合Y1を考える。
【0027】
Y1
={{101,A},{101,B},{101,C},{101,10},{101,200},{A,B},{A,C},{A,10},{A,200},{B,C},{B,10},{B,200},{C,10},{C,200},{10,200}}
である。
【0028】
図7において、Y1の要素で閾値である4回以上現れている集合をX2とすると、X2の候補欄に○をつけた601、603、604、605、606、607、608、609の8個が該当する。
【0029】
そして、X2は
X2
={{101,A},{101,B},{101,10},{101,200},{A,B},{A,10},{A,200},{B,10},{B,200},{10,200}}
となる。
【0030】
X2の要素からのみ構成され、要素数が3の集合Y2を考える。
【0031】
Y2
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
である。
【0032】
図8において、Y2の要素で閾値である4回以上現れている集合をX3とすると、X3の候補欄に○をつけた701、703、706、709の4個が該当する。
【0033】
そして、X3は
X3
={{101,A,B},{101,A,10},{101,A,200},{101,B,10},{101,B,200},{A,B,10},{A,B,200},{A,10,200},{B,10,200}}
となる。この場合、X3=Y2となっているが、必ずしもX3=Y2になるとは限らない。
【0034】
さらに、X3の要素のみから構成され、要素数が4の集合Y3を考える。
【0035】
Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
である。
【0036】
図9において、Y3の要素で閾値である4回以上現れている集合をX4とすると801、803、806、809の4個である。
【0037】
そしてX4は
X4
=Y3
={{101,A,B,10},{101,A,B,200},{101,A,10,200},{101,B,10,200}}
となる。
【0038】
最後に、X4の要素のみから構成され、要素数が5の集合Y4を考える。
Y4={{101,A,B,10,200}}
Y4の要素で閾値の4回以上現れている集合をX5とすると
X5
=Y4
={{101,A,B,10,200}}
となる。
【0039】
そして、X5の要素のみから構成され、要素数が6の集合Y5を考えるが、要素数が6となる集合は存在しない。よって、X5の要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせであることが分かる。
【0040】
ここでもし、X5を満たす集合が存在しなければ、X4に含まれる要素がキャプチャーしたパケットの中でもっとも頻繁に出現したヘッダ情報の組み合わせとなる。この場合、もっとも頻繁に出現したヘッダ情報の組み合わせが複数存在することになるが、その場合、その中で一番頻繁現れた候補が最頻度の組み合わせとなる。
【0041】
上述の実施例では最初のカテゴリを無線端末ID、送信元アドレス、宛先アドレス、ポート番号、パケット長の5つにしたが、カテゴリの数には依存しない。
【0042】
図3のフローに従ってキャプチャーされたパケットは、事前にオペレータが要求したカテゴリにおいて、ある一定時間キャプチャーしたパケットを元に、ネットワーク上で最も頻繁に流れたパケットの集合である。これらのパケットは、オペレータの主観によってフィルターしたパケットではなく、ネットワーク上の特性を元に抽出したパケットである。また、パケットをフィルターすることによって、トラヒック量を激減させることが可能であり、キャプチャーパケットが欠落する確率を下げることが可能となる。
【0043】
当該結果は、最も頻繁に使われた端末種別(例えばA社のXXXという端末)であったり、最も頻繁にユーザ利用しているサービスやアプリケーション(例えばVoIPやSNSへの書き込み)であったり、最も頻繁にネットワークを利用しているユーザであったりする。
【0044】
キャプチャーされたパケットを表示した結果、第一の例のようにある特定の端末種別が頻繁に現れていれば、その端末種別の販売実績と照らし合わせることによって、その端末を利用しているユーザにデータに何らかの影響があることを予測できる。具体的には、販売台数が極端に多くない端末がキャプチャーしたパケットによって頻出しているのであれば、端末のバグ等によって再送を繰り返す処理が行なわれていることが考えられる。
【0045】
また、キャプチャーされたパケットを表示した結果、第二の例のようにアプリケーションの種別が明示されると、そのアプリケーションのサービス品質を向上させることも逆に規制をかけることも可能となる。具体的には、キャプチャーしたパケットの結果、VoIPのパケットが多く流れていた場合、オペレータはそれらのパケットの遅延や揺らぎの統計データを取得し、実際のサービスの品質向上に役立てることが可能となる。また、災害時には逆にこれらのパケットを規制し、ネットワーク全体を安定運用させることも可能とある。
【0046】
ユーザまたはユーザ所属しているグループによるパケットが多い場合は、ごく少数の個人がネットワークを占有している可能性もあり、当該ユーザを拒絶することも、料金を上げること可能である。逆に特定のグループのユーザを囲い込み、優先的に高品質のサービスを提供するプランを作ることも可能となる。
【0047】
本実施例のパケットキャプチャーシステムでは、パケットのパターンを予め設定する必要はなく、キャプチャーしたいデータのパターンを柔軟に変更修正すること可能である。また、事前に任意にキャプチャーしたパケットのヘッダ部にある情報を元に統計的に解析しているため、客観的な解析結果が得られる為、従来のキャプチャー装置ではアプリケ−ションを特定するためにはアプリケーション側にアプリケーションを特定する識別子をつけなければならなかったが、本実施例においては、特定のアプリケーションや特定のユーザ等を固定せずに、必要なパケットをキャプチャーすることができる。
【0048】
モバイルネットワークにおいては、非常に多くの端末が複数のセッションを張りながら、かつ移動しながら通信を行なっている。そのため、端末の移動に伴い利用エリアの品質が変動する。家庭における光ネットワーク等の固定ネットワーク通信においても多数の端末は存在するが、端末が移動しないため、当該エリアの品質が極端に変動することもなく、ネットワークの品質を管理することは比較的容易である。しかしながら、モバイルネットワークは固定ネットワーク通信と異なり、エリアの品質を把握し、管理することは非常に困難である。そこで、本実施例によってキャプチャーされたパケットを元に、時々刻々変化するモバイルネットワークの品質を管理する指標、具体的には、使用している端末や使用しているアプリケーションの遅延、レスポンスタイム、揺らぎ等の統計情報、特定ユーザの位置や平均スループットなどを把握することができる。
【0049】
様々な収集したキャプチャー情報を元に通信端末毎のアプリケーション使用状況や使用時間帯・利用場所を把握することが可能となり、時間や場所によるアプリケーションサービス向上や利用形態による通信端末契約内容の調整に利用することが可能となる。
【0050】
また、ネットワーク機器の輻輳状態となった場合でも、輻輳原因となるパケット種別を収集したキャプチャー情報から瞬時に特定することが可能となり早急なネットワークの復旧作業にも利用可能である。
【符号の説明】
【0051】
100…通信端末、150…基地局、200…パケットキャプチャーシステム、210…パケット解析装置、211…プレパケットキャプチャー部、212…パケット解析DB、220…パケットキャプチャー装置、230…表示装置、250…通信機器、300…インターネット網、500…移動体ネットワークシステム。
【特許請求の範囲】
【請求項1】
パケット解析装置と、パケットキャプチャー装置とからなるパケットキャプチャーシステムであって、
前記パケット解析装置は、ネットワーク上を流れるパケットを一定時間キャプチャーし、当該パケットを蓄積し、当該パケットを分析することによってもっとも頻繁に現れたパケットのパターンを抽出し、
前記パケットキャプチャー装置は、当該パケットパターンを元に、パケットをキャプチャーすることを特徴とするパケットキャプチャーシステム。
【請求項2】
パケット解析装置と、パケットキャプチャー装置とからなるパケットキャプチャーシステムにおけるパケットキャプチャー方法であって、
前記パケット解析装置における、ネットワーク上を流れるパケットを一定時間キャプチャーするステップと、当該パケットを蓄積し、当該パケットを分析することによってもっとも頻繁に現れたパケットパターンを抽出するステップと、
前記パケットキャプチャー装置における、当該パケットパターンを元に、パケットをキャプチャーするステップとからなるパケットキャプチャー方法。
【請求項1】
パケット解析装置と、パケットキャプチャー装置とからなるパケットキャプチャーシステムであって、
前記パケット解析装置は、ネットワーク上を流れるパケットを一定時間キャプチャーし、当該パケットを蓄積し、当該パケットを分析することによってもっとも頻繁に現れたパケットのパターンを抽出し、
前記パケットキャプチャー装置は、当該パケットパターンを元に、パケットをキャプチャーすることを特徴とするパケットキャプチャーシステム。
【請求項2】
パケット解析装置と、パケットキャプチャー装置とからなるパケットキャプチャーシステムにおけるパケットキャプチャー方法であって、
前記パケット解析装置における、ネットワーク上を流れるパケットを一定時間キャプチャーするステップと、当該パケットを蓄積し、当該パケットを分析することによってもっとも頻繁に現れたパケットパターンを抽出するステップと、
前記パケットキャプチャー装置における、当該パケットパターンを元に、パケットをキャプチャーするステップとからなるパケットキャプチャー方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−257166(P2012−257166A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2011−130238(P2011−130238)
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願日】平成23年6月10日(2011.6.10)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]