同一キャプチャ情報探索方法及びシステム及びプログラム
【課題】 同一のパケットあるいはフレームに対するキャプチャパケットを発見する際に、CPUやHDDの処理を負荷を低減させる。
【解決手段】 本発明は、パケットのネットワーク中を流れる方向が上流または下流のいずれであるかを判定し、第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、第2のトラフィック情報取得装置が第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断し、上流側であると判断された場合は、第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって、キャプチャ情報収集サーバ内のキャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かってキャプチャ情報リストを探索する。
【解決手段】 本発明は、パケットのネットワーク中を流れる方向が上流または下流のいずれであるかを判定し、第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、第2のトラフィック情報取得装置が第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断し、上流側であると判断された場合は、第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって、キャプチャ情報収集サーバ内のキャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かってキャプチャ情報リストを探索する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、同一キャプチャ情報探索方法及びシステム及びプログラムに係り、ネットワーク中を流れるパケットあるいはフレームの情報であるキャプチャ情報の探索処理のための同一キャプチャ情報探索方法及びシステム及びプログラムに関する。
【背景技術】
【0002】
近年のブロードバンド環境の普及やNGN (Next Generation Network) の登場と多種多様な広帯域アプリケーションの登場によって、ネットワークを流れるIP トラフィック量が増大している。これによりネットワークに対する負荷が増大し、サービスに影響を与えることも考えられる。
【0003】
一方でこのトラフィック需要に応えるため、IEEE における40Gbps 及び100Gbps Ethernet 規格の標準化("IEEE 802.3 Higher Speed Study Group",http://ieee802. org/3/hssg/)や、ITU-T SG15 におけるOTN (Optical Transport Network) の規格("G.709: Interfaces for the Optical Transport Network (OTN)",http://www.itu.int/rec/T-REC-G.709/e)であるG.709 の改訂等、通信インタフェースの高速化に向けた取り組みがなされており、今後さらに高速化していくものと考えられる。サービス品質を考慮したネットワーク設計/構築のためには、詳細なネットワーク状態をフロー単位で測定できる技術が求められているが、今後のトラフィック増大とより高速なインタフェースを視野に入れると、ネットワークの観測においてはさらに高精度で時間変化をとらえること、パケット単位で測定する高解像度が必要になると考えられる(例えば、非特許文献1参照)。
【0004】
現在のハイエンドルータ、例えばJuniper T1600 (10G 64Port)では転送速度が1.92 Billion ppsであり、これを換算すると10G 1Port 1秒あたり3000万パケットとなる。
【0005】
このときネットワークの状態を計測する方法として、図15,図16に示すように、ネットワーク中に設置した装置(請求項中では"トラフィック情報取得装置"、本明細書中では、"プローブ"と記す)において通過または入力されるパケットもしくはフレームに対し、その中に含まれる情報(送受信アドレス、ポート番号、ペイロード部分や全体のハッシュ値など)を、プローブの情報(プローブID、受信或いは通過時刻、順序番号)等と共に、ネットワーク中の収集サーバ(請求項中では"キャプチャ情報収集サーバ"、本明細書中では、"コレクタ"と記す)にキャプチャパケット(請求項中では"キャプチャ情報"と記す)として送信し、コレクタにてデータベース等に蓄積する、という方法がある(但し、パケット或いはフレームから取得する情報や、プローブの情報は上記に限らない)(例えば、非特許文献2,3参照)。
【0006】
このとき、複数のプローブからのデータを合わせて解析することで、例えば片道の伝搬遅延が得られる。但し、プローブが正確な時刻を持っている(例えば、非特許文献4、5参照)ということが前提となる。
【0007】
コレクタには各プローブからのキャプチャパケットがその通過或いは受信時刻付で収集される。このため、プローブが複数設置されている場合、計測対象のパケットは複数個のプローブを通過し(或いは受信され)、それぞれでキャプチャパケットが生成される。コレクタに収集された後(収集するコレクタが同一であるとは限らない)、その中のキャプチャパケットから同じパケット或いはフレームに対するキャプチャパケットを発見し、その時刻を比較することによって2つのプローブ間の片道の伝搬遅延を算出できる。このとき同じパケット或いはフレームに対するキャプチャパケットはハッシュ値を用いて探索する。つまり、1コレクタ(或いはコレクタ内1データベース)内のあるパケット或いはフレームに対する伝搬遅延を知りたい場合、それと同じハッシュ値を持つキャプチャパケットを探し出し、記録されている時刻を比較すればよい。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】山本猛仁, 山田義朗, 手島光啓, 石田修, 金子晋丈, "NTP ハードウェア実装を用いた高精度パッシブネットワーク測定の実証実験, " 電気学会 通信研究会 CMN-10-010, Jan 2010
【非特許文献2】T. Zseby, M. Molina, N. Duffield, S. Niccolini, F. Raspall, "Sampling and Filtering Techniques for IP Packet Selection," RFC 5475 (3. Terminology), March 2009 (http://www.ietf.org/rfc/rfc5475.txt)
【非特許文献3】A. Johnson, J. Quittek, "Packet Sampling (PSAMP) Protocol Specifications," RFC 5476 (3. Terminology), March 2009 (http://www.ietf.org/rfc/rfc5476.txt)
【非特許文献4】山田義朗, 小林正啓, 久留賢治, 手島光啓, 石田修, "NTPハードウェア実装を用いたクロック配信技術," 信学技報Volume 107, No. 343, Page 21-26, November 2007.
【非特許文献5】山田義朗, 久留賢治, 手島光啓, 石田修, "NTP ハードウェア実装(HwNTP)を用いたIP網クロック配信技術," NTT技術ジャーナル, March 2008
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上記のように同一のパケット或いはフレームに対するキャプチャパケットを発見するのはより困難になりつつある。理由の一つは、先に挙げたトラフィック量の増大とインタフェースの高速化である。これにより計測対象となるパケット或いはフレームが増えるために、コレクタに送信・蓄積されるキャプチャパケットの数が増える。また、例に挙げた伝搬遅延の計測についても単純に1つのパケット或いはフレームに対する伝搬遅延だけでなく、より詳細にネットワーク状況を把握するという意味では例えば伝搬遅延のジッタ(揺らぎ)を観測する要望もあり得る。この場合、伝搬遅延を求めるべきパケット或いはフレームの数は膨大になり、それぞれで同じパケット或いはフレームに対するキャプチャパケットを発見する必要が生じる。これらのことから、コレクタで収集されたキャプチャパケットを解析する事に対し、例えばデータベースを検索することによるCPUへの負荷或いはHDDへの負荷は大きく解析時間がかかる。また、プローブ・コレクタの数は2対であるとは限らず、広域のネットワークを観測するには多量のプローブ・コレクタが設置されるため、複数のコレクタ(或いはデータベース)から所望のパケット或いはフレームに対するキャプチャパケットを発見する必要があり、上記の負荷はさらに大きなものになる。
【0010】
そのためこれらインタフェース高速化、プローブ・コレクタの数、生成されるキャプチャパケットの膨大さを考慮すると、負荷を掛けない或いは高速に探索を可能にする必要がある。
【0011】
また、プローブでキャプチャパケットを生成する段階でフィルタリングをかけるという方法も考えられるが、例えば様々なユーザのトラフィックが多重されたネットワークを想定し、どのユーザの情報でも提示できるよう準備することを考えるとフルキャプチャの上でコレクタにて解析するという方法が望ましい。
【0012】
また、ネットワーク計測を行うためにコレクタにおいてどう有用なデータを得るかに関する技術(例えば、特開2005-020214号公報)があるが、今回のようにコレクタに収集した後に、時刻に着目して同じパケットに対するキャプチャデータ(キャプチャパケット)を発見しようとする例はない。
【0013】
本発明は、上記の点に鑑みなされたもので、コレクタでネットワーク計測を行うためのデータを収集し、同一キャプチャを発見するためにCPUやHDDの負荷を低減し、キャプチャパケットの解析やデータ取得の効率化、高速化が可能な同一キャプチャ情報探索方法及びシステム及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記の課題を解決するため、本発明(請求項1)は、ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断ステップと、
前記装置順序判断ステップにおいて、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索ステップと、を行う。
【0015】
また、本発明(請求項2)は、前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知ステップと、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定ステップと、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見ステップと、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索ステップと、を行う。
【0016】
また、本発明(請求項3)は、前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索ステップと、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索ステップと、を行う。
【0017】
また、本発明(請求項4)は、前記キャプチャ情報収集サーバにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する。
【0018】
また、本発明(請求項5)は、前記集中収集ステップにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する。
【0019】
また、本発明(請求項6)は、前記キャプチャ情報収集サーバにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する。
【0020】
また、本発明(請求項7)は、前記集中収集ステップまたは、前記集中分割収集ステップにおいて、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない。
【発明の効果】
【0021】
上記のように、本発明は、時刻情報を有しているキャプチャパケットを利用している。例えば、図1のようにプローブ(トラフィック情報取得装置)それぞれにコレクタ(キャプチャ情報収集サーバ)が存在する場合を考えたとき(プローブA,コレクタAの組とプローブB,コレクタBの組が大きく離れている場合、一台のコレクタに収集するのはネットワーク資源の利用の観点からも望ましくない)、同一のパケット或いはフレームがそれぞれのプローブを通過した(或いは受信された)場合、そのキャプチャパケットに記録される時刻は大きく離れてはいない(片道の伝搬遅延程度)。そのため、例えば、コレクタAに格納されたあるパケット或いはフレームに対して、同じパケット或いはフレームに対するコレクタBに格納されているキャプチャパケットを探す場合、コレクタAに記録されている受信時刻に近い受信時刻を持つキャプチャパケットから、同じ値(ハッシュ値)を持つものを探すことで効率化が可能である。
【0022】
また、パケット或いはフレームの流れる方向から、例えば図1ではプローブBの方が、通過(受信)時刻が遅いことが解るため、コレクタB内の同じハッシュ値をもつキャプチャパケットを探すのに、データベースなどを探索する方向を得ることができる。更に一度1つのパケット或いはフレームに対して伝搬遅延が算出できると、他のパケット或いはフレームに対しても同程度の遅延があると予想できることから、さらに同じ値(ハッシュ値)をもつキャプチャパケットを探すべき範囲を絞ることができる。
【0023】
これにより、キャプチャ情報の探索処理におけるCPUやHDDの負荷を低減することができ、高速な探索処理が可能となる。
【図面の簡単な説明】
【0024】
【図1】本発明の第1の実施の形態におけるシステム構成図である。
【図2】本発明の第1の実施の形態における装置構成図である。
【図3】本発明の第1の実施の形態における動作のフローチャートである。
【図4】本発明の第1の実施の形態におけるネットワーク間のパケット情報の出力の例である。
【図5】本発明の第1の実施の形態におけるキャプチャパケットの構成を示す図である。
【図6】本発明の第1の実施の形態におけるコレクタに格納されるキャプチャパケットの例である。
【図7】本発明の第1の実施の形態における順序整理処理を説明するための図である。
【図8】本発明の第2の実施の形態における解析装置の構成図である。
【図9】本発明の第2の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図10】本発明の第3の実施の形態における解析装置の構成図である。
【図11】本発明の第3の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図12】本発明の第4の実施の形態における解析装置の構成図である。
【図13】本発明の第4の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図14】本発明の第5の実施の形態におけるキャプチャパケット格納の例である。
【図15】コレクタにおけるキャプチャパケットの収集処理を示す図(その1)である。
【図16】コレクタにおけるキャプチャパケットの収集処理を示す図(その2)である。
【発明を実施するための形態】
【0025】
以下図面と共に、本発明の実施の形態を説明する。
【0026】
まず、本明細書中で用いる用語と特許請求の範囲で用いる用語の対応関係を以下に示す。
【0027】
・トラフィックパケット:パケットあるいはフレーム(請求項)
・プローブ:トラフィック情報取得装置(請求項)
・キャプチャパケット:キャプチャ情報(請求項)
・コレクタ:キャプチャ情報収集サーバ(請求項)
・プローブ通過時刻:パケットあるいはフレームを受信あるいは通過した時刻(請求項)
[第1の実施の形態]
前述の背景技術の項に記載のように、ネットワーク中のパケットあるいはフレームに対して、キャプチャパケットをプローブで生成し、収集サーバであるコレクタに送信する場合を例に説明する。
【0028】
図1は、本発明の第1の実施の形態におけるシステム構成を示す。
【0029】
同図は、ネットワーク中に設置された複数のプローブ200A,200B、複数のコネクタ300A,300B、解析装置100から構成される。なお、同図では、説明の簡単化のためにプローブとコネクタを2つずつ設けた例を示しているが、本発明は、この構成に限定されるものではない。また、解析装置100とコレクタ300Aあるいは300Bが同一装置という構成もあり得る。
【0030】
図2は、本発明の第1の実施の形態における装置構成を示す。
【0031】
プローブ200は、キャプチャパケット取得部210を有し、ネットワーク中を流れるパケット/フレームの通過(または受信)時刻と該パケット/フレームの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として、時刻情報と共に、コネクタ300にそれぞれ送信する。
【0032】
コネクタ300は、それぞれ、キャプチャ情報生成部310とキャプチャ情報DB320を有し、受信したキャプチャ情報を取得したプローブ200毎に、または、取得したプローブ200に対応付けて、キャプチャ情報における通過(または受信)時刻順にキャプチャ情報リストを作成してキャプチャ情報DB320に蓄積する。
【0033】
解析装置100は、同一情報抽出部110を有し、コネクタ300のキャプチャ情報DB320Aにアクセスし、取得したキャプチャ情報に対し、コネクタ300Bのキャプチャ情報DB320Bから同じハッシュ値を持つキャプチャ情報を探索する。
【0034】
図3は、本発明の第1の実施の形態における動作のフローチャートである。以下、図3に従って説明する。
【0035】
ステップ110:各自収集ステップ) プローブ200は、ネットワーク中に設置され、キャプチャパケット取得部210において、流れるパケット或いはフレームを通過させる或いは受信する。通過する場合は、ネットワーク中にインラインで設置された場合であり、入力されたパケット或いはフレームを他のポートからそのままネットワーク中に出力するものであり、図4に示すように、受信する場合はスイッチのミラーポートや光カプラ等を用いてネットワーク中のパケット或いはフレームがコピーされて入力され、他ポートからは出力しない。このように入力されたパケット或いはフレームに対して、その情報を含むキャプチャパケットを生成する。
【0036】
キャプチャパケットに含まれるデータは、図5に示すように、送受信アドレス、ポート番号、ペイロード部分や全体のハッシュ値、プローブID、受信或いは通過時刻、順序番号等があり、これがコレクタ300に送信され、キャプチャ情報DB320に時刻順に蓄積される。なお、コレクタ300内では、キャプチャ情報DBとして、例えばデータベースが動作しており、受信したキャプチャパケットが逐次挿入される場合が考えられるが、その限りではなく、HDD等にそのまま書き込んでいく方法もある。以下、DBを用いて説明する。
【0037】
ステップ120:同一情報発見ステップ) 解析装置100は、コレクタ300のキャプチャ情報DB320に蓄積されたキャプチャパケットを解析することにより、ネットワーク状態を知ることができる。ここでいうネットワーク状態とは例えばトラフィック量や伝搬遅延、伝搬遅延ジッタ、帯域使用率、ある送受信ノード対の通信状況などである。
【0038】
具体的には、プローブ200で一定時間内に受信したパケット或いはフレームに対するキャプチャパケットに含まれるパケット或いはフレームの長さ(Length)の合計をその時間で除算すればトラフィック量を得ることができる。また、プローブ200が設置されているリンクの最大帯域を入力すれば、このトラフィック量から帯域使用率が算出できる。
【0039】
また、図6に示すように、複数のプローブ200A、200Bで同じパケット或いはフレームを受信した場合、それぞれのコレクタ300A,300Bにこのパケット或いはフレームに対するキャプチャパケットが格納されるため、解析装置100において、それぞれのコレクタ300A,300B内のキャプチャ情報DB320A,320Bのキャプチャパケットが同じパケット或いはフレームに対するものであるかは、例えばハッシュ値が一致することで確認できる。
【0040】
また、2つのプローブ200A,200Bが同じコレクタ(例えば、300A)にキャプチャパケットを送信する場合も同様である。より具体的には、あるコレクタ200A内の1キャプチャパケットに対しては、そのハッシュ値を一時記憶した後、同じハッシュ値をもつ他コレクタ200B内のキャプチャパケットを探索する。
【0041】
上記では、解析装置100で同一パケットを探索する例を示したが、本動作の実行手段は複数存在する。一つには、あるコレクタ200Aが、自身(コレクタ200A)が保持するキャプチャパケットのハッシュ値と時刻を記憶し、別コレクタ200Cに送信し、別コレクタ200Cが、当該コレクタ200Cから見た別コレクタ200Bが保持するキャプチャパケット群情報をネットワークを介して参照しつつ探索する方法がある。また、一つには、キャプチャパケットが記録された複数のコレクタの、可搬記憶媒体(例えばHDD)を何れかのコレクタ或いは別解析用PCまで運搬し、一カ所で解析・探索する方法があり、本ステップの動作主体はキャプチャパケットを蓄積するコレクタに限らない。なお、このことは他の全ての実施例にも共通であるが、本明細書中では解析装置100を実行手段として説明する。
【0042】
このときキャプチャパケットに打刻されている時刻(プローブ通過時刻)は異なっており、この差がプローブ間の伝搬遅延であると言える。(図6の例では、10時43分28秒 - 10時43分21秒 = 7秒、但し、実際はより細かな時刻を有していると想定され、粒度の高い伝搬遅延が算出できる)。
【0043】
ステップ130:順序整理ステップ) 各自収集ステップ(ステップ110)において、コレクタ300のキャプチャ情報生成部310では、例えば、キャプチャ情報DB320に挿入する前にキャプチャパケット内の時刻によってソートを行い、その時刻順に格納するという処理を行う。ソートを行うためにバッファが必要であるが、ここではコレクタ300内にバッファを持つ方法と、コレクタ300の外(ネットワーク的にコレクタの前段)におく方法を説明する。
【0044】
コレクタ300内にバッファを持つ方法では、コレクタ300は汎用PCにおいて構成されている場合が考えられるため、例えば、図7に示すように、データベースソフトなどでキャプチャ情報DB320にキャプチャパケットの蓄積を行う場合、データベースソフトの前にバッファ330を設け、そこで時刻順にソートを行った後、データベースソフトに渡す。
【0045】
コレクタ300の外に置く方法では、プローブとコレクタの間(例えばコレクタの直前)に時刻順でソートを行う装置を設置し、ここで並べ替えた後でコレクタに渡す方法である。
【0046】
[第2の実施の形態]
本実施の形態では、前述の第1の実施の形態の各自収集ステップ(ステップ110)、同一情報発見ステップ(ステップ120)は同じであるが、本実施の形態では、同一情報発見ステップにおける、より詳細な処理について説明する。当該実施の形態は、請求項1に対応する。
【0047】
図8は、本発明の第2の実施の形態における解析装置の構成を示す。
【0048】
同図に示す解析装置100の同一情報抽出部110は、流れ方向認知部111、装置順序判定部112、方向探索部113から構成される。
【0049】
流れ方向認知部111は、キャプチャ情報DB320A,320Bに格納されているキャプチャパケットの受信時刻を参照し、時刻が早い方が上流側、遅い方が下流側と判定する。
【0050】
装置順序判定部112は、流れ方向認知部111で判定された流れ方向に基づいて、プローブ200Bがプローブ200Aの上流または下流のいずれの方向にあるかを判定する。
【0051】
方向探索部113は、装置順序判定部112の判定結果に基づいて、プローブ200Bがプローブ200Aの上流であれば、コレクタ300Bのパケット情報DB320Bのキャプチャ情報を、キャプチャ情報DB320Aのキャプチャパケットの受信時刻から時刻が小さくなる方向に探索する。一方、プローブ200Bがプローブ200Aの下流であれば、パケット情報DB320のキャプチャ情報を、キャプチャ情報DB320Aのキャプチャパケットの受信時刻から時刻が大きくなる方向に探索する。
【0052】
図9は、本発明の第2の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0053】
ステップ121:流れ方向認知ステップ) 前述の図6に示すように、同図中左から右方向にパケットあるいはフレームが流れているとき、この流れる方向を認識する。例えば、ネットワーク管理者が、直接解析システムやアプリケーションに入力する方法がある。
【0054】
また、これまでに行った同一フローの解析結果から推測する方法もあり、より具体的には、流れ方向認知部111は、これまでに解析したあるパケット或いはフレームのキャプチャパケットに打刻されている時刻(図6の受信時刻)を参照することで、時刻が早い方が上流側、遅い方が下流側であると判断する。
【0055】
ステップ122:装置順序判断ステップ) 次に、装置順序判定部112は、キャプチャパケットについて上流側・下流側の判断を行う。図6の、コレクタ300AにあるパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bから発見したい場合を例に説明する。このとき、流れ方向認知ステップ(ステップ121)で検知したパケット或いはフレームの流れる方向から、コレクタ300Aに対応するプローブ200Aとコレクタ200Bに対応するプローブ300Bについては、プローブ200Aの方が下流にあるとわかる。
【0056】
ステップ123:方向探索ステップ) コレクタ300Aに格納されているキャプチャパケットに記載の受信時刻が10時43分21秒であるとすると、コレクタ300Bに対応するプローブ200Bが下流側にあることから、コレクタ300B内に格納されているキャプチャパケットに記載の時刻はこれより遅いはずである。そのため方向探索部113は、コレクタ300Bのキャプチャ情報DB320においてあるキャプチャパケットを発見し、それが10時43分21秒以前であった場合、発見すべき目的のキャプチャパケットは記載されている時刻が大きくなる方向に探索をすればよく、小さくなる方向を探索する必要はない。
【0057】
そのため、例えばコレクタ300B内に格納されているキャプチャパケットのハッシュ値を順番に一致するか確認していく方法ではなく、例えばランダムにキャプチャパケットを抜き出し、記載されている時刻を見た上で、時刻が大きくなる方向に探索を開始し、この時初めてハッシュ値が一致するかを確認していくという方法がある。この場合、コレクタ300Bのキャプチャ情報DB320Bからランダムに抜き出したキャプチャパケットの時刻が10時43分21秒以降であったならば、ランダムにキャプチャパケットの抜き出しを再開する方法や、記載されている時刻が小さくなる方向に1つずつではなく大きな数(例えば1000個)ごとスキップしながら、記載されている時刻が10時43分21秒以前であるキャプチャパケットを発見するまで探索する方法が考えられる。但し、本実施の形態中ではプローブ2つ、コレクタ2つの状況において、プローブ200Aが上流側にあり、コレクタ300Bにおいて時刻が大きくなる方向に探索する場合で説明したが、その限りではない。
【0058】
[第3の実施の形態]
本実施の形態は、前述の各自収集ステップ(ステップ110)及び同一情報発見ステップ(ステップ120)を行うことは同様であるが、同一情報発見ステップについてより詳細な処理を示す。本実施の形態は、請求項3に対応する。
【0059】
図10は、本発明の第3の実施の形態における解析装置の構成を示す。
【0060】
同図に示す解析装置100の同一情報抽出部110は、時刻取得部114、近隣発見部115、時刻探索部116から構成される。
【0061】
時刻取得部114は、キャプチャ情報DB320Aに格納されているキャプチャパケットの受信時刻を取得し、メモリ(図示せず)に格納する。
【0062】
近隣発見部115は、メモリ(図示せず)に格納されているキャプチャパケットの受信時刻から所定の範囲内の受信時刻を有するキャプチャパケットをキャプチャ情報DB320Bから探索する。
【0063】
時刻探索部116は、近隣発見部115で探索されたキャプチャパケットから時刻の大きくなる方向、及び/または、小さくなる方向に向かってキャプチャ情報DB320Bを探索する。
【0064】
図9は、本発明の第3の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0065】
ステップ221:時刻取得ステップ) 図6に示すコレクタ300Aのキャプチャ情報DB320Aに格納されているパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bから発見したい場合を例に説明する。ここでは時刻取得部114が、コレクタ300Aにあるキャプチャパケットの受信時刻である10時43分21秒という値を一時的にメモリ(図示せず)に記憶する。
【0066】
ステップ222:近隣発見ステップ) 近隣発見部115は、コレクタ300Bのキャプチャ情報DB320Bに格納されているキャプチャパケットの中から、先ほどメモリ(図示せず)に記憶した受信時刻に近い時刻が記載されたキャプチャパケットを探索する。この方法として、例えばコレクタ300Bのキャプチャ情報DB320Bからキャプチャパケットをランダムに選び出し、先ほどメモリ(図示せず)に記憶した受信時刻と比較し、最も近いものを選択する方法がある。また、ある閾値(例えば1分)を予め決めておき、キャプチャパケットの受信時刻である10時43分21秒という値との差がこの閾値以下となるキャプチャパケットを順番に探していく方法もあり、このときは1つずつではなく、より大きな数(例えば1000個)毎スキップしながら探す方法もある。
【0067】
ステップ223:時刻探索ステップ) 時刻探索部116は、上記の近隣発見ステップ(ステップ222)において発見した、メモリ(図示せず)に記憶した受信時刻に近い時刻が記録されたキャプチャパケットから、キャプチャパケットに記載されている時刻が大きくなる方向或いは小さくなる方向或いはその両方向へとキャプチャ情報DB320Bの探索を開始する。このときはハッシュ値の比較を行い同じハッシュ値をもつキャプチャパケットが見つかるまでキャプチャ情報DB320Bを探索する。また、探索の方向については任意であるが、例えば、キャプチャ情報DB320Bにおいて、受信時刻に近い時刻が記録されたキャプチャパケットから両側に1つずつ遠いキャプチャパケットを探索していく方法や、何れかの方向に探索を行い、上記の閾値以上になれば逆方向の探索に切り替える、等といった方法もある。
【0068】
[第4の実施の形態]
本実施の形態は、前述の各自収集ステップ(ステップ110)及び同一情報発見ステップ(ステップ120)を行うことは同様であるが、同一情報発見ステップについてより詳細な処理を示す。本実施の形態は、請求項2に対応する。
【0069】
図12は、本発明の第4の実施の形態における解析装置の構成を示す。
【0070】
同図に示す解析装置100の同一情報抽出部110は、伝搬時間認知部117、装置順序判定部112、時刻取得部116、近隣発見部115、時刻比較部118、伝搬方向時間探索部119から構成される。同図において、第2、第3の実施の形態と同様の構成要素には同一符号を付す。
【0071】
伝搬時間認知部117は、プローブ200Aとプローブ200Bでパケットを受信した時刻の差分である伝搬遅延を取得する。
【0072】
装置順序判定部112は、第2の実施の形態と同様に、パケットの流れる方向からプローブ200Bがプローブ200Aの上流、下流のいずれにあるかを判定する。
【0073】
時刻取得部116は、第3の実施の形態と同様に、キャプチャ情報DB320Aに格納されているキャプチャパケットの受信時刻を取得し、メモリ(図示せず)に格納する。
【0074】
近隣発見部115は、第3の実施の形態と同様に、メモリ(図示せず)に格納されているキャプチャパケットの受信時刻から所定の範囲内の受信時刻を有するキャプチャパケットをキャプチャ情報DB320Bから探索する。
【0075】
時刻比較部118は、装置順序判定部112の判定結果が、キャプチャ情報DB320に対応するプローブ200BがプローブAの上流であれば、時刻取得部116で取得した受信時刻から伝搬遅延を減算し、下流であれば、当該受信時刻に伝搬遅延を加算する。このように、減算または加算した時刻と近隣発見部115で探索されたキャプチャパケットの受信時刻を比較する。
【0076】
伝搬方向時間探索部119は、探索されたキャプチャパケットの時刻が大きい場合には、当該受信時刻から小さくなる方向に向かってキャプチャ情報DB320Bを探索し、探索されたキャプチャパケットの時刻の方が小さい場合には、当該受信時刻が大きくなる方向に向かってハッシュ値が一致するキャプチャパケットが存在するか探索する。
【0077】
図13は、本発明の第4の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0078】
ステップ321:伝搬時間認知ステップ) 前述の図6に示すコレクタ300Aのキャプチャ情報DB320Aに格納されているパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bのキャプチャ情報DB320Bから発見したい場合を例に説明する。伝搬時間認知部117では、プローブ200Aとプローブ200Bの間の伝搬遅延を取得する。ただし、伝搬遅延はネットワーク状態により可変であり、おおよその伝搬遅延でもよい。取得する方法は例えばネットワーク管理者が直接解析システムやアプリケーションに入力する方法がある。また、これまでに行った同一フローの解析結果から推測する方法もあり、より具体的にはこれまでに解析することで得られた伝搬遅延を用いる方法がある。このときの伝搬遅延はある1パケット或いはフレームに対する結果でもよいし、幾つかのパケット或いはフレームに対する結果の平均を用いてもよい。
【0079】
ステップ322:装置順序判断ステップ)当該ステップは、第2の実施の形態のステップ122と同様であるので、その説明を省略する。
【0080】
ステップ323:時刻取得ステップ) 当該ステップは、第3の実施の形態のステップ223と同様であるので、その説明を省略する。
【0081】
ステップ324:近隣発見ステップ) 当該ステップは、第3の実施の形態のステップ223と同様であるので、その説明を省略する。
【0082】
ステップ325:時刻比較ステップ) 時刻比較部118は、伝搬時間認知ステップ(ステップ321)で得られた時刻が例えば7.2秒であり、装置順序判断ステップ(ステップ322)よりプローブ200Bが下流側であると判定されたものとして説明する。また、近隣発見ステップ(ステップ324)で10時43分28.5秒のキャプチャパケットが発見していたとする。このとき、コレクタ300B内のパケット情報DB320に格納されているパケットAに対するキャプチャパケットの受信時刻はおよそ10時43分28.2秒であると推測できる。これは、プローブ200におけるキャプチャパケットの受信時刻に、同一のキャプチャパケットの伝搬時間を、同一キャプチャ情報を探索する対象のキャプチャ情報DB320に対応するプローブが上流側であれば減算し、下流側であれば加算することにより推測する。このときこの2つ(10時43分28.5秒, 10時43分28.2秒)を比較すると近隣発見ステップにおける10時43分28.5秒の方が大きいと解る。
【0083】
ステップ326:伝搬方向時間探索ステップ) そのため、伝搬方向時間探索部119は、近隣発見ステップ(ステップ324)で発見したキャプチャパケットよりも時刻が小さくなる方向に、コレクタ300Bのキャプチャ情報DB320B内のパケットAに対するキャプチャパケットが存在すると判断し、その方向にハッシュ値が一致するキャプチャパケットが存在するか探していく。
【0084】
[第5の実施の形態]
本実施の形態では、ブローブ200からの情報を1台のコレクタ300に収集し、格納する処理について説明する。本実施の形態は、請求項4〜6に対応する。
【0085】
図14は、本発明の第5の実施の形態におけるキャプチャパケット格納の例を示す。
【0086】
同図に示すように、複数のプローブ200からのキャプチャパケットを1台のコレクタ300に集める場合を考える。このとき、プローブ200からキャプチャパケットをコレリタ300に格納する際に、以下のような3つの方法がある。
【0087】
・コレクタ300内に、1つの例えば、デーベースソフトを用意する、あるいは、記憶領域を確保し、いずれかのプローブ200から送出されたキャプチャパケットも同様に格納する。
【0088】
・コレクタ300内に、1つの例えば、データベースソフトを用意する、あるいは、記憶領域を確保し、いずれかのプローブ200から送出されたキャプチャパケットも同様に格納する際に、第1の実施の形態と同様に、バッファを用意して、プローブ200でのパケット受信時刻に基づいてソートを行ってから格納する。
【0089】
・コレクタ300内にプローブ200毎の、例えば、データベースソフトを用意する、あるいは、記憶領域を確保し、キャプチャパケットに含まれるプローブのIDに基づいて、格納先を選択し、格納する。
【0090】
なお、上記以外のブローブ200での情報収集、解析装置100での同一パケットあるいはフレームに対するキャプチャパケットの探索処理については、前述の第1〜第4の実施の形態野いずれかを適用するものとする。
【0091】
[第6の実施の形態]
本実施の形態では、キャプチャパケットをデータベースソフトあるいはHDD等の記憶領域に格納する際に、そのサイズが一定となるようにするものである。
【0092】
具体的には、十分に大きなサイズを予め決めておき、コレクタ300が格納すべきキャプチャパケットを受信したときに、そのサイズになるまで、パディングを行う、あるいは、予め適当なサイズを決めておき、コレクタ300が格納すべきキャプチャパケットを受信したときに、そのサイズになるまで、キャプチャパケット内の情報を削除する方法がある。
【0093】
これにより、HDD等の記憶領域において、一定間隔毎にキャプチャパケットの先頭が記録されることになるため、探索速度の向上が期待できる。
【0094】
なお、上記の第1〜第7の実施の形態における動作をプログラムとして構築し、プローブ、コレクタ、解析装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0095】
また、構築されたプログラムをハードディスク、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。
【0096】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0097】
100 解析装置
110 同一情報抽出部
111 流れ方向認知部
112 装置順序判断部
113 方向探索部
114 時刻取得部
115 近隣発見部
116 時刻探索部
117 伝搬時間認知部
118 時刻比較部
119 伝搬方向時間探索部
200 プローブ
210 キャプチャパケット取得部
300 コレクタ
310 キャプチャ情報生成部
320 キャプチャ情報DB
330 バッファ
【技術分野】
【0001】
本発明は、同一キャプチャ情報探索方法及びシステム及びプログラムに係り、ネットワーク中を流れるパケットあるいはフレームの情報であるキャプチャ情報の探索処理のための同一キャプチャ情報探索方法及びシステム及びプログラムに関する。
【背景技術】
【0002】
近年のブロードバンド環境の普及やNGN (Next Generation Network) の登場と多種多様な広帯域アプリケーションの登場によって、ネットワークを流れるIP トラフィック量が増大している。これによりネットワークに対する負荷が増大し、サービスに影響を与えることも考えられる。
【0003】
一方でこのトラフィック需要に応えるため、IEEE における40Gbps 及び100Gbps Ethernet 規格の標準化("IEEE 802.3 Higher Speed Study Group",http://ieee802. org/3/hssg/)や、ITU-T SG15 におけるOTN (Optical Transport Network) の規格("G.709: Interfaces for the Optical Transport Network (OTN)",http://www.itu.int/rec/T-REC-G.709/e)であるG.709 の改訂等、通信インタフェースの高速化に向けた取り組みがなされており、今後さらに高速化していくものと考えられる。サービス品質を考慮したネットワーク設計/構築のためには、詳細なネットワーク状態をフロー単位で測定できる技術が求められているが、今後のトラフィック増大とより高速なインタフェースを視野に入れると、ネットワークの観測においてはさらに高精度で時間変化をとらえること、パケット単位で測定する高解像度が必要になると考えられる(例えば、非特許文献1参照)。
【0004】
現在のハイエンドルータ、例えばJuniper T1600 (10G 64Port)では転送速度が1.92 Billion ppsであり、これを換算すると10G 1Port 1秒あたり3000万パケットとなる。
【0005】
このときネットワークの状態を計測する方法として、図15,図16に示すように、ネットワーク中に設置した装置(請求項中では"トラフィック情報取得装置"、本明細書中では、"プローブ"と記す)において通過または入力されるパケットもしくはフレームに対し、その中に含まれる情報(送受信アドレス、ポート番号、ペイロード部分や全体のハッシュ値など)を、プローブの情報(プローブID、受信或いは通過時刻、順序番号)等と共に、ネットワーク中の収集サーバ(請求項中では"キャプチャ情報収集サーバ"、本明細書中では、"コレクタ"と記す)にキャプチャパケット(請求項中では"キャプチャ情報"と記す)として送信し、コレクタにてデータベース等に蓄積する、という方法がある(但し、パケット或いはフレームから取得する情報や、プローブの情報は上記に限らない)(例えば、非特許文献2,3参照)。
【0006】
このとき、複数のプローブからのデータを合わせて解析することで、例えば片道の伝搬遅延が得られる。但し、プローブが正確な時刻を持っている(例えば、非特許文献4、5参照)ということが前提となる。
【0007】
コレクタには各プローブからのキャプチャパケットがその通過或いは受信時刻付で収集される。このため、プローブが複数設置されている場合、計測対象のパケットは複数個のプローブを通過し(或いは受信され)、それぞれでキャプチャパケットが生成される。コレクタに収集された後(収集するコレクタが同一であるとは限らない)、その中のキャプチャパケットから同じパケット或いはフレームに対するキャプチャパケットを発見し、その時刻を比較することによって2つのプローブ間の片道の伝搬遅延を算出できる。このとき同じパケット或いはフレームに対するキャプチャパケットはハッシュ値を用いて探索する。つまり、1コレクタ(或いはコレクタ内1データベース)内のあるパケット或いはフレームに対する伝搬遅延を知りたい場合、それと同じハッシュ値を持つキャプチャパケットを探し出し、記録されている時刻を比較すればよい。
【先行技術文献】
【非特許文献】
【0008】
【非特許文献1】山本猛仁, 山田義朗, 手島光啓, 石田修, 金子晋丈, "NTP ハードウェア実装を用いた高精度パッシブネットワーク測定の実証実験, " 電気学会 通信研究会 CMN-10-010, Jan 2010
【非特許文献2】T. Zseby, M. Molina, N. Duffield, S. Niccolini, F. Raspall, "Sampling and Filtering Techniques for IP Packet Selection," RFC 5475 (3. Terminology), March 2009 (http://www.ietf.org/rfc/rfc5475.txt)
【非特許文献3】A. Johnson, J. Quittek, "Packet Sampling (PSAMP) Protocol Specifications," RFC 5476 (3. Terminology), March 2009 (http://www.ietf.org/rfc/rfc5476.txt)
【非特許文献4】山田義朗, 小林正啓, 久留賢治, 手島光啓, 石田修, "NTPハードウェア実装を用いたクロック配信技術," 信学技報Volume 107, No. 343, Page 21-26, November 2007.
【非特許文献5】山田義朗, 久留賢治, 手島光啓, 石田修, "NTP ハードウェア実装(HwNTP)を用いたIP網クロック配信技術," NTT技術ジャーナル, March 2008
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上記のように同一のパケット或いはフレームに対するキャプチャパケットを発見するのはより困難になりつつある。理由の一つは、先に挙げたトラフィック量の増大とインタフェースの高速化である。これにより計測対象となるパケット或いはフレームが増えるために、コレクタに送信・蓄積されるキャプチャパケットの数が増える。また、例に挙げた伝搬遅延の計測についても単純に1つのパケット或いはフレームに対する伝搬遅延だけでなく、より詳細にネットワーク状況を把握するという意味では例えば伝搬遅延のジッタ(揺らぎ)を観測する要望もあり得る。この場合、伝搬遅延を求めるべきパケット或いはフレームの数は膨大になり、それぞれで同じパケット或いはフレームに対するキャプチャパケットを発見する必要が生じる。これらのことから、コレクタで収集されたキャプチャパケットを解析する事に対し、例えばデータベースを検索することによるCPUへの負荷或いはHDDへの負荷は大きく解析時間がかかる。また、プローブ・コレクタの数は2対であるとは限らず、広域のネットワークを観測するには多量のプローブ・コレクタが設置されるため、複数のコレクタ(或いはデータベース)から所望のパケット或いはフレームに対するキャプチャパケットを発見する必要があり、上記の負荷はさらに大きなものになる。
【0010】
そのためこれらインタフェース高速化、プローブ・コレクタの数、生成されるキャプチャパケットの膨大さを考慮すると、負荷を掛けない或いは高速に探索を可能にする必要がある。
【0011】
また、プローブでキャプチャパケットを生成する段階でフィルタリングをかけるという方法も考えられるが、例えば様々なユーザのトラフィックが多重されたネットワークを想定し、どのユーザの情報でも提示できるよう準備することを考えるとフルキャプチャの上でコレクタにて解析するという方法が望ましい。
【0012】
また、ネットワーク計測を行うためにコレクタにおいてどう有用なデータを得るかに関する技術(例えば、特開2005-020214号公報)があるが、今回のようにコレクタに収集した後に、時刻に着目して同じパケットに対するキャプチャデータ(キャプチャパケット)を発見しようとする例はない。
【0013】
本発明は、上記の点に鑑みなされたもので、コレクタでネットワーク計測を行うためのデータを収集し、同一キャプチャを発見するためにCPUやHDDの負荷を低減し、キャプチャパケットの解析やデータ取得の効率化、高速化が可能な同一キャプチャ情報探索方法及びシステム及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記の課題を解決するため、本発明(請求項1)は、ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断ステップと、
前記装置順序判断ステップにおいて、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索ステップと、を行う。
【0015】
また、本発明(請求項2)は、前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知ステップと、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定ステップと、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見ステップと、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索ステップと、を行う。
【0016】
また、本発明(請求項3)は、前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索ステップと、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索ステップと、を行う。
【0017】
また、本発明(請求項4)は、前記キャプチャ情報収集サーバにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する。
【0018】
また、本発明(請求項5)は、前記集中収集ステップにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する。
【0019】
また、本発明(請求項6)は、前記キャプチャ情報収集サーバにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する。
【0020】
また、本発明(請求項7)は、前記集中収集ステップまたは、前記集中分割収集ステップにおいて、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない。
【発明の効果】
【0021】
上記のように、本発明は、時刻情報を有しているキャプチャパケットを利用している。例えば、図1のようにプローブ(トラフィック情報取得装置)それぞれにコレクタ(キャプチャ情報収集サーバ)が存在する場合を考えたとき(プローブA,コレクタAの組とプローブB,コレクタBの組が大きく離れている場合、一台のコレクタに収集するのはネットワーク資源の利用の観点からも望ましくない)、同一のパケット或いはフレームがそれぞれのプローブを通過した(或いは受信された)場合、そのキャプチャパケットに記録される時刻は大きく離れてはいない(片道の伝搬遅延程度)。そのため、例えば、コレクタAに格納されたあるパケット或いはフレームに対して、同じパケット或いはフレームに対するコレクタBに格納されているキャプチャパケットを探す場合、コレクタAに記録されている受信時刻に近い受信時刻を持つキャプチャパケットから、同じ値(ハッシュ値)を持つものを探すことで効率化が可能である。
【0022】
また、パケット或いはフレームの流れる方向から、例えば図1ではプローブBの方が、通過(受信)時刻が遅いことが解るため、コレクタB内の同じハッシュ値をもつキャプチャパケットを探すのに、データベースなどを探索する方向を得ることができる。更に一度1つのパケット或いはフレームに対して伝搬遅延が算出できると、他のパケット或いはフレームに対しても同程度の遅延があると予想できることから、さらに同じ値(ハッシュ値)をもつキャプチャパケットを探すべき範囲を絞ることができる。
【0023】
これにより、キャプチャ情報の探索処理におけるCPUやHDDの負荷を低減することができ、高速な探索処理が可能となる。
【図面の簡単な説明】
【0024】
【図1】本発明の第1の実施の形態におけるシステム構成図である。
【図2】本発明の第1の実施の形態における装置構成図である。
【図3】本発明の第1の実施の形態における動作のフローチャートである。
【図4】本発明の第1の実施の形態におけるネットワーク間のパケット情報の出力の例である。
【図5】本発明の第1の実施の形態におけるキャプチャパケットの構成を示す図である。
【図6】本発明の第1の実施の形態におけるコレクタに格納されるキャプチャパケットの例である。
【図7】本発明の第1の実施の形態における順序整理処理を説明するための図である。
【図8】本発明の第2の実施の形態における解析装置の構成図である。
【図9】本発明の第2の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図10】本発明の第3の実施の形態における解析装置の構成図である。
【図11】本発明の第3の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図12】本発明の第4の実施の形態における解析装置の構成図である。
【図13】本発明の第4の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【図14】本発明の第5の実施の形態におけるキャプチャパケット格納の例である。
【図15】コレクタにおけるキャプチャパケットの収集処理を示す図(その1)である。
【図16】コレクタにおけるキャプチャパケットの収集処理を示す図(その2)である。
【発明を実施するための形態】
【0025】
以下図面と共に、本発明の実施の形態を説明する。
【0026】
まず、本明細書中で用いる用語と特許請求の範囲で用いる用語の対応関係を以下に示す。
【0027】
・トラフィックパケット:パケットあるいはフレーム(請求項)
・プローブ:トラフィック情報取得装置(請求項)
・キャプチャパケット:キャプチャ情報(請求項)
・コレクタ:キャプチャ情報収集サーバ(請求項)
・プローブ通過時刻:パケットあるいはフレームを受信あるいは通過した時刻(請求項)
[第1の実施の形態]
前述の背景技術の項に記載のように、ネットワーク中のパケットあるいはフレームに対して、キャプチャパケットをプローブで生成し、収集サーバであるコレクタに送信する場合を例に説明する。
【0028】
図1は、本発明の第1の実施の形態におけるシステム構成を示す。
【0029】
同図は、ネットワーク中に設置された複数のプローブ200A,200B、複数のコネクタ300A,300B、解析装置100から構成される。なお、同図では、説明の簡単化のためにプローブとコネクタを2つずつ設けた例を示しているが、本発明は、この構成に限定されるものではない。また、解析装置100とコレクタ300Aあるいは300Bが同一装置という構成もあり得る。
【0030】
図2は、本発明の第1の実施の形態における装置構成を示す。
【0031】
プローブ200は、キャプチャパケット取得部210を有し、ネットワーク中を流れるパケット/フレームの通過(または受信)時刻と該パケット/フレームの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として、時刻情報と共に、コネクタ300にそれぞれ送信する。
【0032】
コネクタ300は、それぞれ、キャプチャ情報生成部310とキャプチャ情報DB320を有し、受信したキャプチャ情報を取得したプローブ200毎に、または、取得したプローブ200に対応付けて、キャプチャ情報における通過(または受信)時刻順にキャプチャ情報リストを作成してキャプチャ情報DB320に蓄積する。
【0033】
解析装置100は、同一情報抽出部110を有し、コネクタ300のキャプチャ情報DB320Aにアクセスし、取得したキャプチャ情報に対し、コネクタ300Bのキャプチャ情報DB320Bから同じハッシュ値を持つキャプチャ情報を探索する。
【0034】
図3は、本発明の第1の実施の形態における動作のフローチャートである。以下、図3に従って説明する。
【0035】
ステップ110:各自収集ステップ) プローブ200は、ネットワーク中に設置され、キャプチャパケット取得部210において、流れるパケット或いはフレームを通過させる或いは受信する。通過する場合は、ネットワーク中にインラインで設置された場合であり、入力されたパケット或いはフレームを他のポートからそのままネットワーク中に出力するものであり、図4に示すように、受信する場合はスイッチのミラーポートや光カプラ等を用いてネットワーク中のパケット或いはフレームがコピーされて入力され、他ポートからは出力しない。このように入力されたパケット或いはフレームに対して、その情報を含むキャプチャパケットを生成する。
【0036】
キャプチャパケットに含まれるデータは、図5に示すように、送受信アドレス、ポート番号、ペイロード部分や全体のハッシュ値、プローブID、受信或いは通過時刻、順序番号等があり、これがコレクタ300に送信され、キャプチャ情報DB320に時刻順に蓄積される。なお、コレクタ300内では、キャプチャ情報DBとして、例えばデータベースが動作しており、受信したキャプチャパケットが逐次挿入される場合が考えられるが、その限りではなく、HDD等にそのまま書き込んでいく方法もある。以下、DBを用いて説明する。
【0037】
ステップ120:同一情報発見ステップ) 解析装置100は、コレクタ300のキャプチャ情報DB320に蓄積されたキャプチャパケットを解析することにより、ネットワーク状態を知ることができる。ここでいうネットワーク状態とは例えばトラフィック量や伝搬遅延、伝搬遅延ジッタ、帯域使用率、ある送受信ノード対の通信状況などである。
【0038】
具体的には、プローブ200で一定時間内に受信したパケット或いはフレームに対するキャプチャパケットに含まれるパケット或いはフレームの長さ(Length)の合計をその時間で除算すればトラフィック量を得ることができる。また、プローブ200が設置されているリンクの最大帯域を入力すれば、このトラフィック量から帯域使用率が算出できる。
【0039】
また、図6に示すように、複数のプローブ200A、200Bで同じパケット或いはフレームを受信した場合、それぞれのコレクタ300A,300Bにこのパケット或いはフレームに対するキャプチャパケットが格納されるため、解析装置100において、それぞれのコレクタ300A,300B内のキャプチャ情報DB320A,320Bのキャプチャパケットが同じパケット或いはフレームに対するものであるかは、例えばハッシュ値が一致することで確認できる。
【0040】
また、2つのプローブ200A,200Bが同じコレクタ(例えば、300A)にキャプチャパケットを送信する場合も同様である。より具体的には、あるコレクタ200A内の1キャプチャパケットに対しては、そのハッシュ値を一時記憶した後、同じハッシュ値をもつ他コレクタ200B内のキャプチャパケットを探索する。
【0041】
上記では、解析装置100で同一パケットを探索する例を示したが、本動作の実行手段は複数存在する。一つには、あるコレクタ200Aが、自身(コレクタ200A)が保持するキャプチャパケットのハッシュ値と時刻を記憶し、別コレクタ200Cに送信し、別コレクタ200Cが、当該コレクタ200Cから見た別コレクタ200Bが保持するキャプチャパケット群情報をネットワークを介して参照しつつ探索する方法がある。また、一つには、キャプチャパケットが記録された複数のコレクタの、可搬記憶媒体(例えばHDD)を何れかのコレクタ或いは別解析用PCまで運搬し、一カ所で解析・探索する方法があり、本ステップの動作主体はキャプチャパケットを蓄積するコレクタに限らない。なお、このことは他の全ての実施例にも共通であるが、本明細書中では解析装置100を実行手段として説明する。
【0042】
このときキャプチャパケットに打刻されている時刻(プローブ通過時刻)は異なっており、この差がプローブ間の伝搬遅延であると言える。(図6の例では、10時43分28秒 - 10時43分21秒 = 7秒、但し、実際はより細かな時刻を有していると想定され、粒度の高い伝搬遅延が算出できる)。
【0043】
ステップ130:順序整理ステップ) 各自収集ステップ(ステップ110)において、コレクタ300のキャプチャ情報生成部310では、例えば、キャプチャ情報DB320に挿入する前にキャプチャパケット内の時刻によってソートを行い、その時刻順に格納するという処理を行う。ソートを行うためにバッファが必要であるが、ここではコレクタ300内にバッファを持つ方法と、コレクタ300の外(ネットワーク的にコレクタの前段)におく方法を説明する。
【0044】
コレクタ300内にバッファを持つ方法では、コレクタ300は汎用PCにおいて構成されている場合が考えられるため、例えば、図7に示すように、データベースソフトなどでキャプチャ情報DB320にキャプチャパケットの蓄積を行う場合、データベースソフトの前にバッファ330を設け、そこで時刻順にソートを行った後、データベースソフトに渡す。
【0045】
コレクタ300の外に置く方法では、プローブとコレクタの間(例えばコレクタの直前)に時刻順でソートを行う装置を設置し、ここで並べ替えた後でコレクタに渡す方法である。
【0046】
[第2の実施の形態]
本実施の形態では、前述の第1の実施の形態の各自収集ステップ(ステップ110)、同一情報発見ステップ(ステップ120)は同じであるが、本実施の形態では、同一情報発見ステップにおける、より詳細な処理について説明する。当該実施の形態は、請求項1に対応する。
【0047】
図8は、本発明の第2の実施の形態における解析装置の構成を示す。
【0048】
同図に示す解析装置100の同一情報抽出部110は、流れ方向認知部111、装置順序判定部112、方向探索部113から構成される。
【0049】
流れ方向認知部111は、キャプチャ情報DB320A,320Bに格納されているキャプチャパケットの受信時刻を参照し、時刻が早い方が上流側、遅い方が下流側と判定する。
【0050】
装置順序判定部112は、流れ方向認知部111で判定された流れ方向に基づいて、プローブ200Bがプローブ200Aの上流または下流のいずれの方向にあるかを判定する。
【0051】
方向探索部113は、装置順序判定部112の判定結果に基づいて、プローブ200Bがプローブ200Aの上流であれば、コレクタ300Bのパケット情報DB320Bのキャプチャ情報を、キャプチャ情報DB320Aのキャプチャパケットの受信時刻から時刻が小さくなる方向に探索する。一方、プローブ200Bがプローブ200Aの下流であれば、パケット情報DB320のキャプチャ情報を、キャプチャ情報DB320Aのキャプチャパケットの受信時刻から時刻が大きくなる方向に探索する。
【0052】
図9は、本発明の第2の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0053】
ステップ121:流れ方向認知ステップ) 前述の図6に示すように、同図中左から右方向にパケットあるいはフレームが流れているとき、この流れる方向を認識する。例えば、ネットワーク管理者が、直接解析システムやアプリケーションに入力する方法がある。
【0054】
また、これまでに行った同一フローの解析結果から推測する方法もあり、より具体的には、流れ方向認知部111は、これまでに解析したあるパケット或いはフレームのキャプチャパケットに打刻されている時刻(図6の受信時刻)を参照することで、時刻が早い方が上流側、遅い方が下流側であると判断する。
【0055】
ステップ122:装置順序判断ステップ) 次に、装置順序判定部112は、キャプチャパケットについて上流側・下流側の判断を行う。図6の、コレクタ300AにあるパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bから発見したい場合を例に説明する。このとき、流れ方向認知ステップ(ステップ121)で検知したパケット或いはフレームの流れる方向から、コレクタ300Aに対応するプローブ200Aとコレクタ200Bに対応するプローブ300Bについては、プローブ200Aの方が下流にあるとわかる。
【0056】
ステップ123:方向探索ステップ) コレクタ300Aに格納されているキャプチャパケットに記載の受信時刻が10時43分21秒であるとすると、コレクタ300Bに対応するプローブ200Bが下流側にあることから、コレクタ300B内に格納されているキャプチャパケットに記載の時刻はこれより遅いはずである。そのため方向探索部113は、コレクタ300Bのキャプチャ情報DB320においてあるキャプチャパケットを発見し、それが10時43分21秒以前であった場合、発見すべき目的のキャプチャパケットは記載されている時刻が大きくなる方向に探索をすればよく、小さくなる方向を探索する必要はない。
【0057】
そのため、例えばコレクタ300B内に格納されているキャプチャパケットのハッシュ値を順番に一致するか確認していく方法ではなく、例えばランダムにキャプチャパケットを抜き出し、記載されている時刻を見た上で、時刻が大きくなる方向に探索を開始し、この時初めてハッシュ値が一致するかを確認していくという方法がある。この場合、コレクタ300Bのキャプチャ情報DB320Bからランダムに抜き出したキャプチャパケットの時刻が10時43分21秒以降であったならば、ランダムにキャプチャパケットの抜き出しを再開する方法や、記載されている時刻が小さくなる方向に1つずつではなく大きな数(例えば1000個)ごとスキップしながら、記載されている時刻が10時43分21秒以前であるキャプチャパケットを発見するまで探索する方法が考えられる。但し、本実施の形態中ではプローブ2つ、コレクタ2つの状況において、プローブ200Aが上流側にあり、コレクタ300Bにおいて時刻が大きくなる方向に探索する場合で説明したが、その限りではない。
【0058】
[第3の実施の形態]
本実施の形態は、前述の各自収集ステップ(ステップ110)及び同一情報発見ステップ(ステップ120)を行うことは同様であるが、同一情報発見ステップについてより詳細な処理を示す。本実施の形態は、請求項3に対応する。
【0059】
図10は、本発明の第3の実施の形態における解析装置の構成を示す。
【0060】
同図に示す解析装置100の同一情報抽出部110は、時刻取得部114、近隣発見部115、時刻探索部116から構成される。
【0061】
時刻取得部114は、キャプチャ情報DB320Aに格納されているキャプチャパケットの受信時刻を取得し、メモリ(図示せず)に格納する。
【0062】
近隣発見部115は、メモリ(図示せず)に格納されているキャプチャパケットの受信時刻から所定の範囲内の受信時刻を有するキャプチャパケットをキャプチャ情報DB320Bから探索する。
【0063】
時刻探索部116は、近隣発見部115で探索されたキャプチャパケットから時刻の大きくなる方向、及び/または、小さくなる方向に向かってキャプチャ情報DB320Bを探索する。
【0064】
図9は、本発明の第3の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0065】
ステップ221:時刻取得ステップ) 図6に示すコレクタ300Aのキャプチャ情報DB320Aに格納されているパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bから発見したい場合を例に説明する。ここでは時刻取得部114が、コレクタ300Aにあるキャプチャパケットの受信時刻である10時43分21秒という値を一時的にメモリ(図示せず)に記憶する。
【0066】
ステップ222:近隣発見ステップ) 近隣発見部115は、コレクタ300Bのキャプチャ情報DB320Bに格納されているキャプチャパケットの中から、先ほどメモリ(図示せず)に記憶した受信時刻に近い時刻が記載されたキャプチャパケットを探索する。この方法として、例えばコレクタ300Bのキャプチャ情報DB320Bからキャプチャパケットをランダムに選び出し、先ほどメモリ(図示せず)に記憶した受信時刻と比較し、最も近いものを選択する方法がある。また、ある閾値(例えば1分)を予め決めておき、キャプチャパケットの受信時刻である10時43分21秒という値との差がこの閾値以下となるキャプチャパケットを順番に探していく方法もあり、このときは1つずつではなく、より大きな数(例えば1000個)毎スキップしながら探す方法もある。
【0067】
ステップ223:時刻探索ステップ) 時刻探索部116は、上記の近隣発見ステップ(ステップ222)において発見した、メモリ(図示せず)に記憶した受信時刻に近い時刻が記録されたキャプチャパケットから、キャプチャパケットに記載されている時刻が大きくなる方向或いは小さくなる方向或いはその両方向へとキャプチャ情報DB320Bの探索を開始する。このときはハッシュ値の比較を行い同じハッシュ値をもつキャプチャパケットが見つかるまでキャプチャ情報DB320Bを探索する。また、探索の方向については任意であるが、例えば、キャプチャ情報DB320Bにおいて、受信時刻に近い時刻が記録されたキャプチャパケットから両側に1つずつ遠いキャプチャパケットを探索していく方法や、何れかの方向に探索を行い、上記の閾値以上になれば逆方向の探索に切り替える、等といった方法もある。
【0068】
[第4の実施の形態]
本実施の形態は、前述の各自収集ステップ(ステップ110)及び同一情報発見ステップ(ステップ120)を行うことは同様であるが、同一情報発見ステップについてより詳細な処理を示す。本実施の形態は、請求項2に対応する。
【0069】
図12は、本発明の第4の実施の形態における解析装置の構成を示す。
【0070】
同図に示す解析装置100の同一情報抽出部110は、伝搬時間認知部117、装置順序判定部112、時刻取得部116、近隣発見部115、時刻比較部118、伝搬方向時間探索部119から構成される。同図において、第2、第3の実施の形態と同様の構成要素には同一符号を付す。
【0071】
伝搬時間認知部117は、プローブ200Aとプローブ200Bでパケットを受信した時刻の差分である伝搬遅延を取得する。
【0072】
装置順序判定部112は、第2の実施の形態と同様に、パケットの流れる方向からプローブ200Bがプローブ200Aの上流、下流のいずれにあるかを判定する。
【0073】
時刻取得部116は、第3の実施の形態と同様に、キャプチャ情報DB320Aに格納されているキャプチャパケットの受信時刻を取得し、メモリ(図示せず)に格納する。
【0074】
近隣発見部115は、第3の実施の形態と同様に、メモリ(図示せず)に格納されているキャプチャパケットの受信時刻から所定の範囲内の受信時刻を有するキャプチャパケットをキャプチャ情報DB320Bから探索する。
【0075】
時刻比較部118は、装置順序判定部112の判定結果が、キャプチャ情報DB320に対応するプローブ200BがプローブAの上流であれば、時刻取得部116で取得した受信時刻から伝搬遅延を減算し、下流であれば、当該受信時刻に伝搬遅延を加算する。このように、減算または加算した時刻と近隣発見部115で探索されたキャプチャパケットの受信時刻を比較する。
【0076】
伝搬方向時間探索部119は、探索されたキャプチャパケットの時刻が大きい場合には、当該受信時刻から小さくなる方向に向かってキャプチャ情報DB320Bを探索し、探索されたキャプチャパケットの時刻の方が小さい場合には、当該受信時刻が大きくなる方向に向かってハッシュ値が一致するキャプチャパケットが存在するか探索する。
【0077】
図13は、本発明の第4の実施の形態における同一情報発見ステップの詳細な動作のフローチャートである。
【0078】
ステップ321:伝搬時間認知ステップ) 前述の図6に示すコレクタ300Aのキャプチャ情報DB320Aに格納されているパケットAに対するキャプチャパケットについて、同じパケットAに対するキャプチャパケットをコレクタ300Bのキャプチャ情報DB320Bから発見したい場合を例に説明する。伝搬時間認知部117では、プローブ200Aとプローブ200Bの間の伝搬遅延を取得する。ただし、伝搬遅延はネットワーク状態により可変であり、おおよその伝搬遅延でもよい。取得する方法は例えばネットワーク管理者が直接解析システムやアプリケーションに入力する方法がある。また、これまでに行った同一フローの解析結果から推測する方法もあり、より具体的にはこれまでに解析することで得られた伝搬遅延を用いる方法がある。このときの伝搬遅延はある1パケット或いはフレームに対する結果でもよいし、幾つかのパケット或いはフレームに対する結果の平均を用いてもよい。
【0079】
ステップ322:装置順序判断ステップ)当該ステップは、第2の実施の形態のステップ122と同様であるので、その説明を省略する。
【0080】
ステップ323:時刻取得ステップ) 当該ステップは、第3の実施の形態のステップ223と同様であるので、その説明を省略する。
【0081】
ステップ324:近隣発見ステップ) 当該ステップは、第3の実施の形態のステップ223と同様であるので、その説明を省略する。
【0082】
ステップ325:時刻比較ステップ) 時刻比較部118は、伝搬時間認知ステップ(ステップ321)で得られた時刻が例えば7.2秒であり、装置順序判断ステップ(ステップ322)よりプローブ200Bが下流側であると判定されたものとして説明する。また、近隣発見ステップ(ステップ324)で10時43分28.5秒のキャプチャパケットが発見していたとする。このとき、コレクタ300B内のパケット情報DB320に格納されているパケットAに対するキャプチャパケットの受信時刻はおよそ10時43分28.2秒であると推測できる。これは、プローブ200におけるキャプチャパケットの受信時刻に、同一のキャプチャパケットの伝搬時間を、同一キャプチャ情報を探索する対象のキャプチャ情報DB320に対応するプローブが上流側であれば減算し、下流側であれば加算することにより推測する。このときこの2つ(10時43分28.5秒, 10時43分28.2秒)を比較すると近隣発見ステップにおける10時43分28.5秒の方が大きいと解る。
【0083】
ステップ326:伝搬方向時間探索ステップ) そのため、伝搬方向時間探索部119は、近隣発見ステップ(ステップ324)で発見したキャプチャパケットよりも時刻が小さくなる方向に、コレクタ300Bのキャプチャ情報DB320B内のパケットAに対するキャプチャパケットが存在すると判断し、その方向にハッシュ値が一致するキャプチャパケットが存在するか探していく。
【0084】
[第5の実施の形態]
本実施の形態では、ブローブ200からの情報を1台のコレクタ300に収集し、格納する処理について説明する。本実施の形態は、請求項4〜6に対応する。
【0085】
図14は、本発明の第5の実施の形態におけるキャプチャパケット格納の例を示す。
【0086】
同図に示すように、複数のプローブ200からのキャプチャパケットを1台のコレクタ300に集める場合を考える。このとき、プローブ200からキャプチャパケットをコレリタ300に格納する際に、以下のような3つの方法がある。
【0087】
・コレクタ300内に、1つの例えば、デーベースソフトを用意する、あるいは、記憶領域を確保し、いずれかのプローブ200から送出されたキャプチャパケットも同様に格納する。
【0088】
・コレクタ300内に、1つの例えば、データベースソフトを用意する、あるいは、記憶領域を確保し、いずれかのプローブ200から送出されたキャプチャパケットも同様に格納する際に、第1の実施の形態と同様に、バッファを用意して、プローブ200でのパケット受信時刻に基づいてソートを行ってから格納する。
【0089】
・コレクタ300内にプローブ200毎の、例えば、データベースソフトを用意する、あるいは、記憶領域を確保し、キャプチャパケットに含まれるプローブのIDに基づいて、格納先を選択し、格納する。
【0090】
なお、上記以外のブローブ200での情報収集、解析装置100での同一パケットあるいはフレームに対するキャプチャパケットの探索処理については、前述の第1〜第4の実施の形態野いずれかを適用するものとする。
【0091】
[第6の実施の形態]
本実施の形態では、キャプチャパケットをデータベースソフトあるいはHDD等の記憶領域に格納する際に、そのサイズが一定となるようにするものである。
【0092】
具体的には、十分に大きなサイズを予め決めておき、コレクタ300が格納すべきキャプチャパケットを受信したときに、そのサイズになるまで、パディングを行う、あるいは、予め適当なサイズを決めておき、コレクタ300が格納すべきキャプチャパケットを受信したときに、そのサイズになるまで、キャプチャパケット内の情報を削除する方法がある。
【0093】
これにより、HDD等の記憶領域において、一定間隔毎にキャプチャパケットの先頭が記録されることになるため、探索速度の向上が期待できる。
【0094】
なお、上記の第1〜第7の実施の形態における動作をプログラムとして構築し、プローブ、コレクタ、解析装置として利用されるコンピュータにインストールして実行させる、または、ネットワークを介して流通させることが可能である。
【0095】
また、構築されたプログラムをハードディスク、フレキシブルディスク、CD−ROM等の可搬記憶媒体に格納し、コンピュータにインストールする、または、配布することが可能である。
【0096】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0097】
100 解析装置
110 同一情報抽出部
111 流れ方向認知部
112 装置順序判断部
113 方向探索部
114 時刻取得部
115 近隣発見部
116 時刻探索部
117 伝搬時間認知部
118 時刻比較部
119 伝搬方向時間探索部
200 プローブ
210 キャプチャパケット取得部
300 コレクタ
310 キャプチャ情報生成部
320 キャプチャ情報DB
330 バッファ
【特許請求の範囲】
【請求項1】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断ステップと、
前記装置順序判断ステップにおいて、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索ステップと、
を行うことを特徴とする同一キャプチャ情報探索方法。
【請求項2】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知ステップと、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定ステップと、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見ステップと、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索ステップと、
を行う
ことを特徴とする同一キャプチャ情報探索方法。
【請求項3】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索ステップと、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索ステップと、
を行う
ことを特徴とする同一キャプチャ情報探索方法。
【請求項4】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する
請求項1乃至3のいずれか1項に記載の同一キャプチャ情報探索方法。
【請求項5】
前記集中収集ステップにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する
請求項4記載の同一キャプチャ情報探索方法。
【請求項6】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する
請求項1乃至3のいずれか1項に記載の同一キャプチャ情報探索方法。
【請求項7】
前記集中収集ステップまたは、前記集中分割収集ステップにおいて、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない、
請求項4または6記載の同一キャプチャ情報探索方法。
【請求項8】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知手段と、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断手段と、
前記装置順序判断手段において、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項9】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知手段と、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得手段と、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定手段と、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見手段と、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項10】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索手段と、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項11】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集手段を含み、
前記同一キャプチャ情報探索装置の前記同一情報発見手段は、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する手段を含む
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システム。
【請求項12】
前記集中収集手段は、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する手段を含む
請求項11記載の同一キャプチャ情報探索システム。
【請求項13】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集手段を含み、
前記同一キャプチャ情報探索装置の前記同一情報発見手段は、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する手段を含む
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システム。
【請求項14】
前記集中収集手段または、前記集中分割収集手段は、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない手段を含む、
請求項11または13記載の同一キャプチャ情報探索システム。
【請求項15】
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システムにおける同一キャプチャ情報探索装置を構成する各手段としてコンピュータを機能させるための同一キャプチャ情報探索プログラム。
【請求項1】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断ステップと、
前記装置順序判断ステップにおいて、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索ステップと、
を行うことを特徴とする同一キャプチャ情報探索方法。
【請求項2】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知ステップと、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得ステップと、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定ステップと、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見ステップと、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索ステップと、
を行う
ことを特徴とする同一キャプチャ情報探索方法。
【請求項3】
ネットワーク中に設置された複数のトラフィック情報取得装置が、ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として単一または複数のキャプチャ情報収集サーバにそれぞれ送信し、該キャプチャ情報サーバが、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積し、解析装置が、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索するシステムにおける、同一キャプチャ情報探索方法であって、
前記解析装置において、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見ステップを行い、
前記同一情報発見ステップにおいて、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索ステップと、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索ステップと、
を行う
ことを特徴とする同一キャプチャ情報探索方法。
【請求項4】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する
請求項1乃至3のいずれか1項に記載の同一キャプチャ情報探索方法。
【請求項5】
前記集中収集ステップにおいて、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する
請求項4記載の同一キャプチャ情報探索方法。
【請求項6】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集ステップを行い、
前記同一情報発見ステップにおいて、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する
請求項1乃至3のいずれか1項に記載の同一キャプチャ情報探索方法。
【請求項7】
前記集中収集ステップまたは、前記集中分割収集ステップにおいて、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない、
請求項4または6記載の同一キャプチャ情報探索方法。
【請求項8】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
前記パケットの前記ネットワーク中を流れる方向が上流または下流のいずれであるかを判定する方向認知手段と、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを判断する装置順序判断手段と、
前記装置順序判断手段において、上流側であると判断された場合は、前記第2のトラフィック情報取得装置が取得したキャプチャ情報を、第1のキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、下流側であると判断された場合は、該第1のキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって前記キャプチャ情報リストを探索する方向探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項9】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
任意の手法により前記第1のトラフィック情報取得装置と前記第2のトラフィック情報取得装置の伝搬時間を取得する伝搬時間認知手段と、
前記キャプチャ情報リストの前記第1のトラフィック情報取得装置が取得したキャプチャ情報の中から、探索対象のキャプチャ情報の受信時刻を取得して一時記憶する時刻取得手段と、
前記第1のキャプチャ情報に対応するパケットのネットワーク中を流れる方向に基づき、前記第2のトラフィック情報取得装置が前記第1のトラフィック情報取得装置の上流側または下流側のいずれにあるかを前記第2のキャプチャ情報により判断する装置順序判定手段と、
前記キャプチャ情報リストの前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、前記パケットの受信時刻が、一時記憶されている前記第1のキャプチャ情報における受信時刻から所定範囲内にある第2のキャプチャ情報を探索する近隣発見手段と、
前記第2のトラフィック情報取得装置が上流側に存在する場合は、前記第1のキャプチャ情報における受信時刻から前記伝搬時間を減算した時刻と前記所定範囲内にあるキャプチャ情報における受信時刻とを比較し、下流側に存在する場合は、該第1のキャプチャ情報における受信時刻に前記伝搬時間を加算した時刻と該所定範囲内にあるキャプチャ情報における受信時刻とを比較し、該所定範囲内にあるキャプチャ情報における受信時刻が大きい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定範囲内にあるキャプチャ情報における受信時刻から時刻が小さくなる方向に向かって前記キャプチャ情報リストを探索し、小さい場合には、第2のトラフィック情報取得装置が取得したキャプチャ情報を、該所定の範囲内にあるキャプチャ情報における受信時刻から時刻が大きくなる方向に向かって探索し、第2のキャプチャ情報を探索する伝搬方向時間探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項10】
ネットワーク中を流れるパケットまたはフレーム(以下、単に「パケット」と記す)の通過または受信時刻(以下、単に「受信時刻」と記す)と該パケットの少なくとも一部に対するハッシュ値を取得し、キャプチャ情報として送信するネットワーク中に設置された複数のトラフィック情報取得装置と、該複数のトラフィック情報取得装置から該キャプチャ情報を受信し、受信した該キャプチャ情報を取得したトラフィック情報取得装置毎に、または、取得したトラフィック情報取得装置に対応付けて、キャプチャ情報における受信時刻の順に記憶手段のキャプチャ情報リストに蓄積するキャップチャ情報収集サーバと、該キャプチャ情報収集サーバ内の各キャプチャ情報リストから、第1のトラフィック情報取得装置が取得した第1のキャプチャ情報に対し、同一のパケットまたはフレームに対する第2のトラフィック情報取得装置が取得した第2のキャプチャ情報を探索する同一キャプチャ情報探索装置からなる同一キャプチャ情報探索システムであって、
前記同一キャプチャ情報探索装置は、
複数の前記キャプチャ情報収集サーバ内の各キャプチャ情報リストから、それぞれ同じキャプチャ情報を探索する同一情報発見手段を有し、
前記同一情報発見手段は、
前記キャプチャ情報リストから、前記第2のトラフィック情報取得装置が取得したキャプチャ情報の中から、受信時刻が前記第1のキャプチャ情報における受信時刻から所定の範囲内にあるキャプチャ情報を探索する近隣探索手段と、
前記第2のトラフィック情報取得装置が取得したキャプチャ情報における受信時刻から時刻が大きくなる方向及び小さくなる方向に向かって探索し、第2のキャプチャ情報を探索する時刻探索手段と、
を有することを特徴とする同一キャプチャ情報探索システム。
【請求項11】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を同一のキャプチャ情報リストに蓄積する集中収集手段を含み、
前記同一キャプチャ情報探索装置の前記同一情報発見手段は、
前記集中収集ステップで蓄積された前記キャプチャ情報リストを参照する手段を含む
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システム。
【請求項12】
前記集中収集手段は、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、一時的にバッファに蓄積し、該バッファ内で、該キャプチャ情報の受信時刻に従って並び替えて、前記キャプチャ情報リストに蓄積する手段を含む
請求項11記載の同一キャプチャ情報探索システム。
【請求項13】
前記キャプチャ情報収集サーバは、
前記複数のトラフィック情報取得装置から取得したキャプチャ情報を、該トラフィック情報取得装置毎のキャプチャ情報リストに蓄積する集中分割収集手段を含み、
前記同一キャプチャ情報探索装置の前記同一情報発見手段は、
前記集中分割収集ステップで蓄積された前記キャプチャ情報リストを参照する手段を含む
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システム。
【請求項14】
前記集中収集手段または、前記集中分割収集手段は、
前記キャプチャ情報リストに前記キャプチャ情報を蓄積する際に、
1つのキャプチャ情報の格納サイズが一定長となるように、パディングを施す、または、予め定められた情報以外は蓄積しない手段を含む、
請求項11または13記載の同一キャプチャ情報探索システム。
【請求項15】
請求項8乃至10のいずれか1項に記載の同一キャプチャ情報探索システムにおける同一キャプチャ情報探索装置を構成する各手段としてコンピュータを機能させるための同一キャプチャ情報探索プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2012−94998(P2012−94998A)
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願番号】特願2010−238868(P2010−238868)
【出願日】平成22年10月25日(2010.10.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(899000079)学校法人慶應義塾 (742)
【Fターム(参考)】
【公開日】平成24年5月17日(2012.5.17)
【国際特許分類】
【出願日】平成22年10月25日(2010.10.25)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ETHERNET
【出願人】(000004226)日本電信電話株式会社 (13,992)
【出願人】(899000079)学校法人慶應義塾 (742)
【Fターム(参考)】
[ Back to top ]