專利名稱:統(tǒng)計(jì)信息收集系統(tǒng)及統(tǒng)計(jì)信息收集裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對(duì)所傳送的數(shù)據(jù)包的數(shù)據(jù)包數(shù)及字節(jié)數(shù)等統(tǒng)計(jì)信息進(jìn)行收集的通信統(tǒng)計(jì)收集裝置���,特別涉及一種向采集裝置發(fā)送統(tǒng)計(jì)信息的統(tǒng)計(jì)信息收集裝置�。
背景技術(shù):
現(xiàn)今����,因特網(wǎng)被確定為重要的社會(huì)基本設(shè)施。因此�����,不僅是以往的盡力服務(wù)型數(shù)據(jù)通信�����,還開始對(duì)必須保證通信質(zhì)量的數(shù)據(jù)進(jìn)行通信�����。例如��,在必須保證通信質(zhì)量的數(shù)據(jù)中有聲音�����、動(dòng)畫及核心業(yè)務(wù)的事務(wù)數(shù)據(jù)等�。此外,通過ADSL(Asymmetric Digital SubscriberLine非對(duì)稱數(shù)字用戶環(huán)線)及FTTH(Fiber To The Home光纖到戶)技術(shù)���,訪問線路被寬帶化����,所通信的數(shù)據(jù)的容量也增大����。
從這樣的背景出發(fā),對(duì)于通信業(yè)者及ISP(Internet ServiceProvider因特網(wǎng)服務(wù)供應(yīng)商)來說����,為了把握網(wǎng)絡(luò)內(nèi)的通信的狀態(tài),需要下述功能���,即����,收集網(wǎng)絡(luò)內(nèi)通信的數(shù)據(jù)的容量的統(tǒng)計(jì),并通過分析所收集的統(tǒng)計(jì)����,來監(jiān)視網(wǎng)絡(luò)。
在監(jiān)視網(wǎng)絡(luò)的功能中�,特別要求按根據(jù)數(shù)據(jù)的發(fā)送源、數(shù)據(jù)的發(fā)送目的地�����、應(yīng)用以及質(zhì)量等級(jí)等進(jìn)行分類的每個(gè)數(shù)據(jù)組(以下稱為流)收集統(tǒng)計(jì)信息的功能����、以及分析每個(gè)流的統(tǒng)計(jì)信息的功能。
通信業(yè)者及ISP通過利用每個(gè)流的統(tǒng)計(jì)信息����,可以在提供通信的質(zhì)量保證服務(wù)時(shí)確認(rèn)是否保證了通信質(zhì)量的狀況。此外���,由于通過利用每個(gè)流的統(tǒng)計(jì)信息����,在有限的網(wǎng)絡(luò)資源中增大所通信的數(shù)據(jù)的容量�����,所以可以利用用于有效活用網(wǎng)絡(luò)資源的流量工程(TE)�。
此外,通過使用每個(gè)流的統(tǒng)計(jì)信息�,可以執(zhí)行下述供應(yīng),即�,預(yù)測(cè)客戶的需求,預(yù)先準(zhǔn)備網(wǎng)絡(luò)資源��,并對(duì)應(yīng)來自客戶的需求�����,迅速提供網(wǎng)絡(luò)資源�����。此外��,通過使用每個(gè)流的統(tǒng)計(jì)信息����,可以檢測(cè)�、分析對(duì)網(wǎng)絡(luò)的非法攻擊���。并且�,通過使用每個(gè)流的統(tǒng)計(jì)信息����,可以對(duì)每個(gè)流進(jìn)行收費(fèi)。
此外����,在網(wǎng)絡(luò)上傳送數(shù)據(jù)包的路由器及交換機(jī)等節(jié)點(diǎn)裝置中具有收集統(tǒng)計(jì)信息的功能。
統(tǒng)計(jì)信息收集系統(tǒng)具有多個(gè)統(tǒng)計(jì)信息收集裝置�����,分散配置在網(wǎng)絡(luò)上����;采集裝置,根據(jù)從這些統(tǒng)計(jì)信息收集裝置發(fā)送來的統(tǒng)計(jì)信息�,分析網(wǎng)絡(luò)整體的業(yè)務(wù)量。
作為收集每個(gè)流的統(tǒng)計(jì)信息的方法���,公知有采樣型的流統(tǒng)計(jì)技術(shù)(參照非專利文獻(xiàn)1)��。在非專利文獻(xiàn)1中記載的統(tǒng)計(jì)信息收集系統(tǒng)中���,作為統(tǒng)計(jì)信息收集裝置的路由器復(fù)制所接收的數(shù)據(jù)包�����,選擇性地將所復(fù)制的數(shù)據(jù)包傳送給采集裝置。并且���,在采集裝置側(cè)從所傳送來的數(shù)據(jù)包中識(shí)別出流���,并且收集、分析統(tǒng)計(jì)信息����。
統(tǒng)計(jì)信息收集系統(tǒng)中所具有的路由器根據(jù)由網(wǎng)絡(luò)管理者預(yù)先設(shè)定的采樣率,對(duì)所接受的數(shù)據(jù)包進(jìn)行采樣�,通過預(yù)先規(guī)定的封裝格式,將執(zhí)行采樣處理之后的數(shù)據(jù)包的復(fù)制進(jìn)行封裝����,并傳送到采集裝置。
采集裝置從路由器傳送來的數(shù)據(jù)包中提取所復(fù)制的數(shù)據(jù)包,根據(jù)所復(fù)制的數(shù)據(jù)包的報(bào)頭信息���、以及用于對(duì)根據(jù)需要而追加的流進(jìn)行識(shí)別的信息�,識(shí)別流���,并更新每個(gè)流的統(tǒng)計(jì)信息���。
此外,作為采樣型統(tǒng)計(jì)信息收集系統(tǒng)的擴(kuò)展���,公知有以流為單位進(jìn)行采樣的技術(shù)(參照專利文獻(xiàn)1)��。在非專利文獻(xiàn)1中記載的流統(tǒng)計(jì)技術(shù)以一定的比例從路由器所發(fā)送的數(shù)據(jù)包中采樣數(shù)據(jù)包�����,與此相對(duì)��,在專利文獻(xiàn)1中記載的流統(tǒng)計(jì)技術(shù)從路由器所發(fā)送的數(shù)據(jù)包的報(bào)頭信息中識(shí)別流����,以對(duì)每個(gè)流設(shè)定的比例��,采樣數(shù)據(jù)包。
(專利文獻(xiàn)1)日本特開2006-5402號(hào)公報(bào)(非專利文獻(xiàn)1)IETF RFC3176”InMon Corporation’s sFlowAMethod for Monitoring Traffic in Switched and Routed Networks”在非專利文獻(xiàn)1中記載的流統(tǒng)計(jì)技術(shù)為���,將路由器所接收的數(shù)據(jù)包的報(bào)頭信息和一部分?jǐn)?shù)據(jù)信息進(jìn)行封裝�����,并發(fā)送給采集裝置��。因此����,為了使路由器詳細(xì)地監(jiān)視流的統(tǒng)計(jì)信息��,需要將采樣率設(shè)定得很大�����,頻繁地對(duì)數(shù)據(jù)包進(jìn)行采樣�,并發(fā)送給采集裝置��。
但是����,若采樣率變大,則路由器的處理負(fù)載增大。此外��,路由器和采集裝置之間的通信量及采集裝置的處理負(fù)載增大��。
因此�,在通信量大的核心路由器中,很難高精度地收集流信息�。此外,即使在通信量比較少的路由器中����,也很難把握頻帶(band)小的流。
由于在專利文獻(xiàn)1中記載的流統(tǒng)計(jì)技術(shù)以流為單位進(jìn)行采樣��,所以僅對(duì)想要監(jiān)視的流進(jìn)行采樣��,并發(fā)送給采集裝置�����。因此��,通過限定要采樣的流���,可以減輕路由器的處理負(fù)載�、路由器和采集裝置之間的通信量及采集裝置的處理負(fù)載。
但是�����,根據(jù)所采樣的流的選擇����,有時(shí)不能檢測(cè)異常的業(yè)務(wù)量(traffic),并且有時(shí)不能減輕統(tǒng)計(jì)信息的業(yè)務(wù)量��。因此���,在專利文獻(xiàn)1中記載的流統(tǒng)計(jì)技術(shù)很難適當(dāng)?shù)剡x擇要監(jiān)視的流�����。
發(fā)明內(nèi)容
根據(jù)代表本發(fā)明的一個(gè)形態(tài),本發(fā)明是一種通信信息收集系統(tǒng)�����,具有統(tǒng)計(jì)信息收集裝置和采集裝置���,該統(tǒng)計(jì)信息收集裝置具有進(jìn)行運(yùn)算處理的第1處理器�����、連接上述第1處理器的第1存儲(chǔ)區(qū)�����、和連接上述第1處理器的第1接口����;該采集裝置具有進(jìn)行運(yùn)算處理的第2處理器、連接上述第2處理器的第2存儲(chǔ)區(qū)�、和連接上述第2處理器并且連接上述統(tǒng)計(jì)信息收集裝置的第2接口;上述第1處理器接收數(shù)據(jù)包��,收集上述接收數(shù)據(jù)包的統(tǒng)計(jì)信息�,將上述所收集的統(tǒng)計(jì)信息發(fā)送給上述采集裝置;上述通信信息收集系統(tǒng)的特征在于�,在上述第1存儲(chǔ)區(qū)存儲(chǔ)有流信息,該流信息包含用于識(shí)別上述接收數(shù)據(jù)包所屬的流的流識(shí)別條件���;上述第1處理器按由上述流識(shí)別條件識(shí)別的每個(gè)流����,將上述所收集的數(shù)據(jù)包的統(tǒng)計(jì)信息分類���,參照按上述每個(gè)流分類的統(tǒng)計(jì)信息�,按上述每個(gè)流決定將上述統(tǒng)計(jì)信息發(fā)送給上述采集裝置的發(fā)送間隔。
發(fā)明效果根據(jù)本發(fā)明的一個(gè)形態(tài)��,由于按照流的頻帶和種類自動(dòng)控制采集裝置所接收的統(tǒng)計(jì)信息�����,所以可以削減統(tǒng)計(jì)信息收集裝置和采集裝置之間的通信量�,并且降低統(tǒng)計(jì)信息收集裝置和采集裝置的處理負(fù)載,提高統(tǒng)計(jì)信息的分析精度�。
圖1是表示本發(fā)明的第1實(shí)施方式的通信統(tǒng)計(jì)信息收集系統(tǒng)的框圖。
圖2是本發(fā)明的第1實(shí)施方式的路由器的功能框圖�����。
圖3是本發(fā)明的第1實(shí)施方式的流表的示意圖�����。
圖4是本發(fā)明的第1實(shí)施方式的統(tǒng)計(jì)信息表的示意圖����。
圖5是本發(fā)明的第1實(shí)施方式的采樣率管理表的示意圖���。
圖6是本發(fā)明的第1實(shí)施方式的檢索處理部的動(dòng)作的流程圖�。
圖7是本發(fā)明的第1實(shí)施方式的采樣率控制處理的流程圖。
圖8是本發(fā)明的第1實(shí)施方式的采集裝置的功能框圖�。
圖9是本發(fā)明的第2實(shí)施方式的路由器的功能框圖。
圖10是本發(fā)明的第2實(shí)施方式的項(xiàng)目集表的示意圖��。
圖11是本發(fā)明的第2實(shí)施方式的統(tǒng)計(jì)信息表的示意圖����。
圖12是本發(fā)明的第2實(shí)施方式的閾值管理表的示意圖。
圖13是本發(fā)明的第2實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)分析處理部的功能框圖����。
圖14是本發(fā)明的第3實(shí)施方式的信息統(tǒng)計(jì)收集裝置的功能框圖。
圖15是本發(fā)明的第1實(shí)施方式的采樣信息發(fā)送格式的示意圖�����。
圖16是本發(fā)明的第2實(shí)施方式的統(tǒng)計(jì)信息發(fā)送格式的示意圖�。
具體實(shí)施例方式
使用
本發(fā)明的實(shí)施方式。
(第1實(shí)施方式)使用圖1至圖8��、圖15說明本發(fā)明的第1實(shí)施方式�。
圖1是本發(fā)明的第1實(shí)施方式的通信統(tǒng)計(jì)信息收集系統(tǒng)的示意圖。
統(tǒng)計(jì)信息收集系統(tǒng)具有路由器101�����、服務(wù)器102、終端103以及采集裝置104�。經(jīng)由網(wǎng)絡(luò)連接這些裝置。例如�,由ISP(InternetService Provider因特網(wǎng)服務(wù)供應(yīng)商)提供網(wǎng)絡(luò)。此外�����,網(wǎng)絡(luò)也可以是企業(yè)內(nèi)網(wǎng)絡(luò)����。
具體來說,終端A103���、終端B103以及終端C103與路由器A101連接�。服務(wù)器A102與路由器B101連接�����,服務(wù)器C102與路由器C101連接�。采集裝置A104與路由器A101連接�����。此外,路由器A101��、路由器B101及路由器C101分別連接�����。
路由器101是將在網(wǎng)絡(luò)內(nèi)通信的信息傳送到其信息的發(fā)送目的地的裝置�����。具有處理器����、存儲(chǔ)裝置及通信接口。此外����,路由器101收集所通信的信息的統(tǒng)計(jì)信息,將所收集的統(tǒng)計(jì)信息發(fā)送給采集裝置104�����。
圖2是本發(fā)明的第1實(shí)施方式的路由器101的功能框圖。
路由器101具有接收數(shù)據(jù)包處理部201��、發(fā)送數(shù)據(jù)包處理部202���、檢索處理部203��、采樣率管理表204�、統(tǒng)計(jì)信息表205����、流表206、選路表207以及控制部208�����。
管理終端209連接到控制部208�。管理者可以經(jīng)由管理終端209變更在接收數(shù)據(jù)包處理部201、發(fā)送數(shù)據(jù)包處理部202�、檢索處理部203中設(shè)定的各種參數(shù)。此外��,管理終端209也可以經(jīng)由網(wǎng)絡(luò)連接到控制部208�����。
接收數(shù)據(jù)包處理部201經(jīng)由輸入端口接收數(shù)據(jù)包。接收數(shù)據(jù)包處理部201將所接收的數(shù)據(jù)包存儲(chǔ)在緩沖器中��,將所存儲(chǔ)的數(shù)據(jù)包的報(bào)頭信息發(fā)送給檢索處理部203����。
檢索處理部203若從接收數(shù)據(jù)包處理部201接收到報(bào)頭信息���,則執(zhí)行檢索處理��,將檢索處理的結(jié)果發(fā)送給接收數(shù)據(jù)包處理部201�����。此外����,關(guān)于檢索處理����,在圖6中進(jìn)行詳細(xì)的說明。
接收數(shù)據(jù)包處理部201若從檢索處理部203接收檢索結(jié)果�����,則基于在檢索結(jié)果中包含的輸出端口,向發(fā)送數(shù)據(jù)包處理部202發(fā)送數(shù)據(jù)包��。
此外���,在接收數(shù)據(jù)包處理部201所接收的檢索結(jié)果中包含對(duì)數(shù)據(jù)包進(jìn)行采樣的指示時(shí)����,接收數(shù)據(jù)包處理部201將封裝的指示���、用于采樣處理的采樣率以及封裝報(bào)頭信息包含在相應(yīng)的數(shù)據(jù)包中�,將包含有封裝的指示�、用于采樣處理的采樣率以及封裝報(bào)頭信息的數(shù)據(jù)包的報(bào)頭信息發(fā)送給相應(yīng)的發(fā)送數(shù)據(jù)包處理部202。此外����,在接收數(shù)據(jù)包處理部201所接收的檢索結(jié)果中包含用于采樣處理的采樣率以及封裝報(bào)頭信息。
說明發(fā)送數(shù)據(jù)包處理202的動(dòng)作�����。發(fā)送數(shù)據(jù)包處理部202若從接收數(shù)據(jù)包處理部201接收數(shù)據(jù)包及檢索結(jié)果��,則向檢索結(jié)果中包含的輸出端口發(fā)送數(shù)據(jù)包�。
此外�����,在發(fā)送數(shù)據(jù)包處理部202所接收的檢索結(jié)果中包含封裝的指示時(shí)���,發(fā)送數(shù)據(jù)包處理部202根據(jù)檢索結(jié)果中包含的封裝報(bào)頭信息制作IP數(shù)據(jù)包,將采樣處理所執(zhí)行的數(shù)據(jù)包包含在數(shù)據(jù)部分���,發(fā)送給采集裝置104。
圖15表示通過發(fā)送數(shù)據(jù)包處理部202發(fā)送給采集裝置104的數(shù)據(jù)包的格式的一個(gè)例子�����。采樣信息發(fā)送格式1501包括sFlow報(bào)頭1502���、取得參數(shù)1503以及數(shù)據(jù)包數(shù)據(jù)1504���。將采樣信息發(fā)送格式1501作為UDP的數(shù)據(jù)報(bào)(datagram)進(jìn)行發(fā)送。發(fā)送數(shù)據(jù)包處理部202在取得參數(shù)1503的“sampling rate”中設(shè)定從接收數(shù)據(jù)包處理部201接收的�����、用于采樣處理的采樣率����。
采樣率管理表204管理與流的頻帶和流的種類相對(duì)應(yīng)的采樣率��,并且檢索處理部203實(shí)際執(zhí)行采樣率控制處理(圖7)時(shí)參照采樣率管理表204�。
統(tǒng)計(jì)信息表205管理所收集的每個(gè)流的統(tǒng)計(jì)信息����。流表206包括作為對(duì)路由器所接受的數(shù)據(jù)包的流進(jìn)行確定的條件的信息、以及表示在流中所執(zhí)行的處理的信息��。選路表207注冊(cè)有與發(fā)送源的IP地址和發(fā)送目的地的IP地址相對(duì)應(yīng)的輸出端口���。
圖3是本發(fā)明的第1實(shí)施方式的流表206的示意圖����。
流表206包括流識(shí)別條件302和統(tǒng)計(jì)控制信息303�����。流識(shí)別條件302包括發(fā)送源IP地址311��、發(fā)送目的地IP地址312���、上層協(xié)議313�、發(fā)送源端口號(hào)314、發(fā)送目的地端口號(hào)315以及其他信息316����。
在發(fā)送源IP地址311中注冊(cè)有發(fā)送路由器101所接收的數(shù)據(jù)包的發(fā)送源的IP地址。在發(fā)送目的地IP地址312中注冊(cè)有路由器101所接收的數(shù)據(jù)包的發(fā)送目的地的IP地址����。在上層協(xié)議313中例如注冊(cè)有TCP及UDP等。
在發(fā)送源端口號(hào)314中注冊(cè)有發(fā)送路由器101所接收的數(shù)據(jù)包的發(fā)送源的端口號(hào)�。在發(fā)送目的地端口號(hào)315中注冊(cè)有路由器101所接收的數(shù)據(jù)包的發(fā)送目的地的端口號(hào)。
在其他信息316中例如注冊(cè)有數(shù)據(jù)包的輸入輸出端口號(hào)��、發(fā)送源的MAC地址��、發(fā)送目的地的MAC地址���、TAG協(xié)議的標(biāo)識(shí)符、VLAN(Virtual LAN虛擬局域網(wǎng))的標(biāo)識(shí)符����、優(yōu)先級(jí)、TOS以及TCP標(biāo)志的一部分等�。
統(tǒng)計(jì)控制信息303包括注冊(cè)處理321、注冊(cè)處理率322���、統(tǒng)計(jì)收集323���、采樣處理324�、發(fā)送控制325�����、流種類326�、采樣率327以及其他信息328。
在注冊(cè)處理321中注冊(cè)有是否在流表206中注冊(cè)新的條目的信息����。若在注冊(cè)處理321中注冊(cè)了“1”,則檢索處理部203注冊(cè)新的條目��。另一方面����,若在注冊(cè)處理321中注冊(cè)了“0”,則檢索處理部203不注冊(cè)條目�。
在注冊(cè)處理率322中注冊(cè)有在流表206中注冊(cè)新的條目時(shí)條目被注冊(cè)的比率。若在注冊(cè)處理率322中注冊(cè)了“1/1”���,則檢索處理部203一定注冊(cè)新的條目��。此外�����,在注冊(cè)處理321中注冊(cè)了“0”時(shí)�����,由于不新注冊(cè)條目��,所以在注冊(cè)處理率322中注冊(cè)為“-”�。
此外,在流ID“F12”的注冊(cè)處理率322中注冊(cè)有“1/1”���。如果流ID“F12”與任一個(gè)流識(shí)別條件都不一致,并且上層協(xié)議313是TCP���,則自動(dòng)向流表206中追加新的條目���。
在統(tǒng)計(jì)收集323注冊(cè)有是否收集統(tǒng)計(jì)信息的信息。在統(tǒng)計(jì)收集323中注冊(cè)有“1”時(shí)���,收集所對(duì)應(yīng)的條目的統(tǒng)計(jì)信息���。另一方面�,在統(tǒng)計(jì)收集323中注冊(cè)了“0”時(shí)���,不收集所對(duì)應(yīng)的條目的統(tǒng)計(jì)信息��。
在采樣處理324中注冊(cè)有是否執(zhí)行采樣處理的信息���。采樣處理是發(fā)送數(shù)據(jù)包處理部202根據(jù)采樣率復(fù)制數(shù)據(jù)包并將所復(fù)制的數(shù)據(jù)包發(fā)送給采集裝置104的處理。
若在采樣處理324中注冊(cè)了“1”����,則利用在采樣率327中注冊(cè)的值執(zhí)行采樣處理。若在采樣處理324中注冊(cè)了“0”�,則不執(zhí)行采樣處理。
在發(fā)送控制325中注冊(cè)有是否執(zhí)行發(fā)送控制處理的信息�����。此外�����,發(fā)送控制處理是變更采樣率327中注冊(cè)的值的處理。在圖7中說明細(xì)節(jié)���。若在發(fā)送控制325中注冊(cè)有“1”���,則執(zhí)行發(fā)送控制處理。
在流種類326中注冊(cè)有流種類�����。例如�����,在流種類326中注冊(cè)有“0”���、“1”以及“2”中的某一個(gè)���。“0”表示未知流�。在流表206中新注冊(cè)的流是未知流�。此外,“1”表示已分析的流����。被判斷為安全的流是已分析的流�����、“2”表示異常流����。被判斷為異常的流是異常流���。
此外���,在流種類326中也可以注冊(cè)有“3”以上的值,表示異常流的異常程度���。
采集裝置104參照每個(gè)流的統(tǒng)計(jì)信息�,決定流種類���,將所決定的流種類發(fā)送給路由器101����。路由器101若從采集裝置104接收到流種類326���,則經(jīng)由控制部208注冊(cè)流表206的流種類326��。此外�,可以由路由器101注冊(cè)流種類326,也可以經(jīng)由管理終端209由管理者注冊(cè)流種類326����。
在采樣率327中注冊(cè)有執(zhí)行采樣處理的比例。例如若在采樣率327中注冊(cè)有“1/1000”��,則以相應(yīng)流的每1000個(gè)數(shù)據(jù)包1個(gè)的比例執(zhí)行采樣處理�����。
在其他信息328中例如注冊(cè)有采樣開始條件及采樣結(jié)束條件等�。
圖4是本發(fā)明的第1實(shí)施方式的統(tǒng)計(jì)信息表205的示意圖。
統(tǒng)計(jì)信息表205包括流ID301及統(tǒng)計(jì)信息401����。
流ID301是與流表206的流ID301通用的ID,使流識(shí)別條件302和統(tǒng)計(jì)信息401對(duì)應(yīng)��。除了使用通用的ID使流識(shí)別條件302和統(tǒng)計(jì)信息401對(duì)應(yīng)的方法之外�,還可以利用使用指針使流識(shí)別條件302和統(tǒng)計(jì)信息401對(duì)應(yīng)的方法、以及將流表206和統(tǒng)計(jì)信息表205作為一個(gè)表進(jìn)行保持的方法等��。
統(tǒng)計(jì)信息401包括數(shù)據(jù)包數(shù)411����、字節(jié)數(shù)412、頻帶(bps)413����、頻帶(pps)414、開始時(shí)刻415���、閾值416以及其他信息417��。
在數(shù)據(jù)包數(shù)411中注冊(cè)有累計(jì)路由器101所接收的數(shù)據(jù)包數(shù)的值��。若路由器101接收到與流ID301對(duì)應(yīng)的數(shù)據(jù)包��,則向數(shù)據(jù)包數(shù)411中加1��。
在字節(jié)數(shù)412中注冊(cè)有累計(jì)路由器101所接收的數(shù)據(jù)包中包含的數(shù)據(jù)包長(zhǎng)度的值�。若路由器101接收到與流ID301對(duì)應(yīng)的數(shù)據(jù)包��,則路由器101將所接收到的數(shù)據(jù)包的報(bào)頭信息中包含的數(shù)據(jù)包長(zhǎng)度加入字節(jié)數(shù)412����。
在頻帶(bps)413中注冊(cè)有流專用的頻帶(bps)����。在頻帶(pps)414中注冊(cè)有流專用的頻帶(pps)�。
在開始時(shí)刻415中注冊(cè)有數(shù)據(jù)包數(shù)411被注冊(cè)為1的時(shí)刻。即�,注冊(cè)有路由器101最初接收到于流ID相應(yīng)的數(shù)據(jù)包的時(shí)刻。
在閾值416中注冊(cè)有是否為了分析統(tǒng)計(jì)信息而向采集裝置104發(fā)送統(tǒng)計(jì)信息的條件即閾值��。通常��,在閾值416中注冊(cè)有數(shù)據(jù)包數(shù)411的閾值��。若數(shù)據(jù)包數(shù)411達(dá)到在閾值416中注冊(cè)的值�,則路由器101將該流的統(tǒng)計(jì)信息發(fā)送給采集裝置104。并且采集裝置104的流分析處理部805分析流的統(tǒng)計(jì)信息��。
此外�����,在閾值416中也可以注冊(cè)有與字節(jié)數(shù)412及開始時(shí)刻415相關(guān)的閾值��。
在其他信息417中注冊(cè)有并沒有包含在流ID中的項(xiàng)目出現(xiàn)的種類數(shù)���、路由器101最后接收數(shù)據(jù)包的時(shí)刻等�。此外,所出現(xiàn)的種類數(shù)表示例如在發(fā)送源IP地址包含在流表206的流識(shí)別條件302中時(shí)發(fā)送目的地IP地址出現(xiàn)了何種種類�。
圖5是本發(fā)明的第1實(shí)施方式的采樣率管理表204的示意圖。
采樣率管理表204包括頻帶(pps)501及采樣率502�����。
頻帶(pps)501與統(tǒng)計(jì)信息表205的頻帶(pps)414相對(duì)應(yīng)����。此外���,也可以不是頻帶(pps)�,而是使用與統(tǒng)計(jì)信息表205的頻帶(bps)413相對(duì)應(yīng)的頻帶(bps)��。
采樣率502對(duì)流表206的每個(gè)流種類326注冊(cè)有在采樣率327中注冊(cè)的值�����。具體來說���,采樣率502包括與已分析的流(0)511�、未知流(1)512以及異常流(2)513相對(duì)應(yīng)的注冊(cè)在采樣率327中的值��。
檢索處理部203為了根據(jù)頻帶及流種類適當(dāng)?shù)貙⒉蓸勇?27注冊(cè)到流表206中,而參考采樣率管理表204���。
此外���,采樣率管理表204可以從管理終端209經(jīng)由控制部208變更注冊(cè)內(nèi)容。
圖6是本發(fā)明的第1實(shí)施方式的檢索處理的流程圖����。
檢索處理部203從接收數(shù)據(jù)包處理部201接收?qǐng)?bào)頭信息(步驟601)。
檢索處理部203若接收到報(bào)頭信息���,則檢索流表206(步驟602)�。此外���,檢索處理部203若接收到報(bào)頭信息��,則檢索選路表207(步驟621)�����。此外�,并列執(zhí)行步驟602~步驟611的處理和步驟621~步驟622的處理。
具體來說����,在步驟602的處理中,檢索處理部203根據(jù)包含在所接收的報(bào)頭信息中的發(fā)送源IP地址�����、發(fā)送目的地IP地址���、發(fā)送源端口號(hào)以及發(fā)送目的地端口號(hào)等,檢索流表206的流識(shí)別條件302���,確定流ID301���。
并且,檢索處理部203根據(jù)所確定的流ID301的統(tǒng)計(jì)控制信息303���,執(zhí)行步驟603~步驟611的處理的統(tǒng)計(jì)處理����。
首先���,檢索處理部203參照流表206���,取得注冊(cè)在注冊(cè)處理321中的信息(步驟603)����。
接著��,檢索處理部203判斷是否追加新的條目(步驟604)����。具體來說,在步驟603的處理中所取得的注冊(cè)在注冊(cè)處理321中的信息為“1”的情況下����,檢索處理部203判斷為追加新的條目,進(jìn)入步驟605的處理��。另一方面����,在步驟603的處理中所取得的注冊(cè)在注冊(cè)處理321中的信息為“0”的情況下,檢索處理部203判斷為不追加新的條目���,進(jìn)入步驟606的處理�����。
檢索處理部203根據(jù)注冊(cè)處理率322���,向流表206中追加新的條目(步驟605)���。
接著,檢索處理部203參照流表206的統(tǒng)計(jì)收集323及采樣處理324(步驟606)�����。其后�����,處理分為步驟607的處理和步驟610的處理��。
檢索處理部203參照流表206判斷是否執(zhí)行統(tǒng)計(jì)收集處理(步驟607)�。具體來說�����,檢索處理部203在注冊(cè)在統(tǒng)計(jì)收集323中的信息為“1”的情況下判斷為執(zhí)行統(tǒng)計(jì)收集處理�����,進(jìn)入步驟608的處理。另一方面�,檢索處理部203在注冊(cè)在統(tǒng)計(jì)收集323中的信息為“1”以外的情況下判斷為不執(zhí)行統(tǒng)計(jì)收集處理,結(jié)束統(tǒng)計(jì)處理�����。
在步驟607的處理中����,在判斷為執(zhí)行統(tǒng)計(jì)收集處理時(shí),檢索處理部203更新統(tǒng)計(jì)信息表205(步驟608)��。
具體來說�,檢索處理部203在所確定的流ID的數(shù)據(jù)包數(shù)411上加1,在字節(jié)數(shù)412上加上報(bào)頭信息中包含的數(shù)據(jù)包長(zhǎng)度��。并且�����,檢索處理部203注冊(cè)有頻帶(bps)413及頻帶(pps)414中所測(cè)量的頻帶(bps)及頻帶(pps)。
此外,與步驟607的處理并行��,檢索處理部203參照流表206����,判斷是否執(zhí)行采樣處理(步驟610)�。具體來說,檢索處理部203在注冊(cè)在采樣處理324中的信息為“1”以外的情況下判斷為不執(zhí)行采樣處理����。另一方面,檢索處理部203在注冊(cè)在采樣處理324中的信息為“1”的情況下判斷為執(zhí)行采樣處理���,進(jìn)入步驟611的處理����。
在步驟610的處理中��,在判斷為執(zhí)行采樣處理時(shí)�����,檢索處理部203利用在采樣率327中注冊(cè)的值�����,執(zhí)行采樣處理(步驟611)�。具體來說,檢索處理部203將執(zhí)行采樣處理的指示追加到發(fā)送給接收數(shù)據(jù)包處理部201的檢索結(jié)果中��。此外���,檢索處理部203在發(fā)送數(shù)據(jù)包處理部202執(zhí)行采樣處理時(shí)���,將封裝數(shù)據(jù)包的報(bào)頭信息追加到檢索結(jié)果中。
檢索處理部203若在步驟601的處理中接收到報(bào)頭信息�,則檢索選路表207(步驟621)。檢索處理部203檢索選路表207�����,并取得輸出端口(步驟622)���。
并且�����,檢索處理部203將在步驟622的處理中取得的輸出端口的信息追加到檢索結(jié)果中�����,并結(jié)束檢索處理(步驟623)��。此外��,在步驟611的處理中執(zhí)行了采樣處理的情況下��,檢索處理部203將執(zhí)行采樣處理的指示����、用于采樣處理的采樣率以及封裝的報(bào)頭信息追加到檢索結(jié)果中。
若結(jié)束了檢索處理(步驟623)��,則檢索處理部203執(zhí)行采樣率控制處理(步驟624)�。此外,在圖7中詳細(xì)說明采樣率控制處理�。此外,若結(jié)束了檢索處理(步驟623)�����,則檢索處理部203將檢索結(jié)果發(fā)送給接收數(shù)據(jù)包處理部201(步驟625)��。
圖7是本發(fā)明的第1實(shí)施方式的采樣率控制處理(步驟624)的流程圖����。
首先���,檢索處理部203參照流表206取得在發(fā)送控制325中注冊(cè)的信息(步驟701)���。
接著���,檢索處理部203根據(jù)所取得的在發(fā)送控制325中注冊(cè)的信息,判斷是否執(zhí)行發(fā)送控制處理(步驟702)��。具體來說�,在所取得的在發(fā)送控制325中注冊(cè)的信息為“1”的情況下,檢索處理部203判斷為執(zhí)行發(fā)送控制處理����,并進(jìn)入步驟703的處理。另一方面����,在所取得的在發(fā)送控制325中注冊(cè)的信息為“1”以外的情況下,檢索處理部203判斷為不執(zhí)行發(fā)送控制處理�����,并結(jié)束采樣率控制處理���。
在判斷為執(zhí)行發(fā)送控制處理時(shí)�,檢索處理部203取得流表206的流種類326及統(tǒng)計(jì)信息表205的頻帶(pps)414(步驟703)。
并且�,檢索處理部203參照采樣率管理表204��,計(jì)算與所取得的流種類326及頻帶(pps)414相對(duì)應(yīng)的采樣率(步驟704)��。
此外�����,在沒有測(cè)量到頻帶(pps)414的情況下�,參照與采樣率管理表204的頻帶(pps)501的“缺省值”相對(duì)應(yīng)的采樣率。
將在步驟704的處理中計(jì)算出的采樣率的值注冊(cè)到流表206的相應(yīng)的流ID301的采樣率327中(步驟705)��。
若在流表206中注冊(cè)新的采樣率�,則結(jié)束采樣控制處理。
此外��,在本實(shí)施方式中��,檢索處理部203參照采樣率管理表204����,計(jì)算采樣率,但也可以使用計(jì)算公式根據(jù)頻帶及流種類計(jì)算采樣率。
此外��,說明了路由器101的檢索處理部203動(dòng)態(tài)變更采樣率的例子�����,但采集裝置104也可以動(dòng)態(tài)變更采樣率327�����。在圖8中詳細(xì)說明采集裝置104變更采樣率327的方法���。此外,管理者可以經(jīng)由管理終端209手動(dòng)變更采樣率��。
圖8是本發(fā)明的第1實(shí)施方式的采集裝置104的功能框圖���。
采集裝置104包括數(shù)據(jù)包收發(fā)處理部801�、統(tǒng)計(jì)信息數(shù)據(jù)包解析部802����、數(shù)據(jù)庫(kù)管理部803、采樣設(shè)定處理部804�����、流分析處理部805、流信息顯示處理部806�、輸入輸出處理部807以及采樣率管理表204。
此外����,采集裝置104的輸入輸出處理部807連接到輸入輸出裝置(鼠標(biāo)821、鍵盤822以及顯示器823)���。此外���,也可以是終端計(jì)算機(jī)經(jīng)由網(wǎng)絡(luò)連接到采集裝置104,通過該終端計(jì)算機(jī)所具有的輸入輸出裝置進(jìn)行輸入輸出�����。
數(shù)據(jù)包收發(fā)處理部801從路由器101接收統(tǒng)計(jì)信息數(shù)據(jù)包���。此外��,數(shù)據(jù)包收發(fā)處理部801發(fā)送控制信息數(shù)據(jù)包�����。
統(tǒng)計(jì)信息數(shù)據(jù)包解析部802提取在統(tǒng)計(jì)信息數(shù)據(jù)包中包含的被執(zhí)行了采樣處理的數(shù)據(jù)包的報(bào)頭信息�����。并且�,統(tǒng)計(jì)信息數(shù)據(jù)包解析部802將所提取的報(bào)頭信息發(fā)送給數(shù)據(jù)庫(kù)管理部803�。
數(shù)據(jù)庫(kù)管理部803根據(jù)從統(tǒng)計(jì)信息數(shù)據(jù)包解析部802接收到的報(bào)頭信息,更新統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811�����。此外�,數(shù)據(jù)庫(kù)管理部803測(cè)量執(zhí)行了采樣處理的數(shù)據(jù)包所屬的流的頻帶。并且���,數(shù)據(jù)庫(kù)管理部803將采樣率��、流種類以及所測(cè)量的流的頻帶發(fā)送給采樣設(shè)定處理部804��。
此外�����,數(shù)據(jù)庫(kù)管理部803在執(zhí)行了采樣處理的數(shù)據(jù)包所屬的流滿足在閾值中設(shè)定的條件的情況下�,將統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811的相應(yīng)的流的信息發(fā)送給流分析處理部805。在閾值中設(shè)定的條件有流的數(shù)據(jù)包數(shù)為規(guī)定的數(shù)以上的情況以及流的頻帶(bps或pps)為規(guī)定的值以上的情況等�����。
數(shù)據(jù)庫(kù)管理部803根據(jù)對(duì)從流分析處理部805發(fā)送的統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811進(jìn)行檢索的條件��,檢索統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811�,將所檢索的結(jié)果發(fā)送給流分析處理部805。
此外���,數(shù)據(jù)庫(kù)管理部803從流分析處理部805接收分析結(jié)果�����,根據(jù)所接收的分析結(jié)果���,注冊(cè)或更新統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811的流種類。
采樣設(shè)定處理部804參照采樣率管理表204�����,根據(jù)從數(shù)據(jù)庫(kù)管理部803接收的采樣率��、流種類以及頻帶��,計(jì)算相應(yīng)的流的采樣率。并且�����,采樣設(shè)定處理部804向數(shù)據(jù)包收發(fā)處理部801發(fā)送將所算出的采樣率作為控制信息數(shù)據(jù)包發(fā)送給路由器101的指示����。
此外,管理者可以通過鼠標(biāo)821或鍵盤822的輸入裝置直接設(shè)定采樣率�����。采集裝置104可以將所設(shè)定的采樣率發(fā)送給路由器101���。
流分析處理部805從數(shù)據(jù)庫(kù)管理部803接收?qǐng)?zhí)行了采樣處理的數(shù)據(jù)包所屬的統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811的信息。并且����,流分析處理部805根據(jù)所接收的統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811的信息,分析相應(yīng)的流的流種類���。流分析處理部805將分析相應(yīng)的流的流種類的結(jié)果發(fā)送給數(shù)據(jù)庫(kù)管理部803����。
此外,如果必要�����,流分析處理部805將從統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811檢索與相應(yīng)的流關(guān)聯(lián)的信息的條件發(fā)送給數(shù)據(jù)庫(kù)管理部803�。
流信息顯示處理部806從統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)811接收統(tǒng)計(jì)信息。并且�,流信息顯示處理部806對(duì)統(tǒng)計(jì)信息執(zhí)行分組,或者將統(tǒng)計(jì)信息圖表化���。
采樣設(shè)定處理部804計(jì)算采樣率���,通過將所計(jì)算出的采樣率發(fā)送給路由器101,采集裝置104變更流表206中包含的采樣率327�����。
接收到由采樣設(shè)定處理部804計(jì)算出的采樣率的路由器101經(jīng)由控制部208及檢索處理部203更新流表206的采樣率327��。在流表206中不含有與所更新的流相對(duì)應(yīng)的流ID時(shí)��,路由器101在流表206中追加的新的條目�。
此外,在采集裝置104更新流表206的采樣率327時(shí)����,路由器101將發(fā)送控制325設(shè)定為“0”�����,從而不能通過路由器101更新采樣率��。
(第2實(shí)施方式)使用圖9~圖13以及圖16說明本發(fā)明的第2實(shí)施方式��。此外�����,對(duì)與第1實(shí)施方式相同的結(jié)構(gòu)要素賦予相同的符號(hào)�����,并省略說明。
本實(shí)施方式的路由器101具有第1實(shí)施方式的路由器101分析流統(tǒng)計(jì)信息的功能���。
圖9是本發(fā)明的第2實(shí)施方式的路由器101的功能框圖�����。
路由器101具有接收數(shù)據(jù)包處理部201����、發(fā)送數(shù)據(jù)包處理部202、檢索處理部203���、業(yè)務(wù)量統(tǒng)計(jì)分析處理部901����、采樣率管理表204�、統(tǒng)計(jì)信息表205、流表206�����、選路表207���、項(xiàng)目集(item set)表902���、閾值管理表903以及控制部208。
通過檢索處理部203及業(yè)務(wù)量統(tǒng)計(jì)分析處理部901參照統(tǒng)計(jì)信息表205�。
業(yè)務(wù)量統(tǒng)計(jì)分析處理部901生成對(duì)構(gòu)成業(yè)務(wù)量信息的各項(xiàng)目任意組合之后的項(xiàng)目集表902,通過收集項(xiàng)目集表902的條目的統(tǒng)計(jì)信息�,提取特征業(yè)務(wù)量。
項(xiàng)目集表902表示構(gòu)成業(yè)務(wù)量信息的各項(xiàng)目的任意組合。此外����,在圖10中詳細(xì)說明項(xiàng)目集表902。在根據(jù)流的頻帶及流的種類變更統(tǒng)計(jì)信息表205的閾值1206時(shí)參照閾值管理表903��。此外����,在圖12中詳細(xì)說明閾值管理表903。
圖10是本發(fā)明的第2實(shí)施方式的項(xiàng)目集表902的示意圖����。
在本實(shí)施方式中,構(gòu)成業(yè)務(wù)量信息的項(xiàng)目是發(fā)送源IP地址�����、發(fā)送目的地IP地址����、發(fā)送源端口號(hào)以及發(fā)送目的地端口號(hào)這4種��。此外���,作為其他的構(gòu)成業(yè)務(wù)量信息的項(xiàng)目��,例如也可以使用發(fā)送源MAC地址�����、發(fā)送目的地MAC地址���、VLAN-ID���、協(xié)議號(hào)、優(yōu)先級(jí)�、TOS以及TCP標(biāo)志等。
項(xiàng)目集表902包括任意組合構(gòu)成業(yè)務(wù)量信息的項(xiàng)目所生成的各個(gè)表����。
在本實(shí)施方式中,項(xiàng)目集表902包括表A1101��、表B1102�、表C1103以及表D1104。表A1101中構(gòu)成業(yè)務(wù)量信息的項(xiàng)目為一個(gè)項(xiàng)目���。表B1102中構(gòu)成業(yè)務(wù)量信息的項(xiàng)目為二個(gè)項(xiàng)目��。表C1103中構(gòu)成業(yè)務(wù)量信息的項(xiàng)目為三個(gè)項(xiàng)目����。表D1104中構(gòu)成業(yè)務(wù)量信息的項(xiàng)目為四個(gè)項(xiàng)目。
此外����,在本實(shí)施方式中說明了在項(xiàng)目集表902中包含的表數(shù)為四個(gè)的情況,但項(xiàng)目集表902至少包括一個(gè)表����,由于構(gòu)成業(yè)務(wù)量信息的項(xiàng)目是四種,所以項(xiàng)目集表902最大包括四個(gè)表��。在項(xiàng)目集表902中包含的各個(gè)表包括條目號(hào)1111及項(xiàng)目1112��。
條目號(hào)1111是在項(xiàng)目集表902中包含的條目的唯一標(biāo)識(shí)符����。項(xiàng)目1112包括種類1121及值1122。在種類1121中注冊(cè)有構(gòu)成業(yè)務(wù)量信息的項(xiàng)目����。在值1122中注冊(cè)有在種類1121中注冊(cè)的構(gòu)成業(yè)務(wù)量信息的項(xiàng)目的值。
圖11是本發(fā)明的第2實(shí)施方式的統(tǒng)計(jì)信息表205的示意圖�。
通過業(yè)務(wù)量統(tǒng)計(jì)分析處理部901及檢索處理部203參照統(tǒng)計(jì)信息表205。
統(tǒng)計(jì)信息表205包括條目號(hào)1111�、數(shù)據(jù)包數(shù)1201、字節(jié)數(shù)1202�、頻帶(bps)1203、頻帶(pps)1204��、開始時(shí)刻1205��、閾值1206以及其他信息1207��。
條目號(hào)1111是與項(xiàng)目集表902及流表206的條目號(hào)通用的標(biāo)識(shí)符���,使項(xiàng)目集表902和統(tǒng)計(jì)信息表205對(duì)應(yīng)����。
此外�,在本實(shí)施方式中,業(yè)務(wù)量統(tǒng)計(jì)分析處理部901及檢索處理部203參照一個(gè)統(tǒng)計(jì)信息表205�����,但也可以相互獨(dú)立地保持業(yè)務(wù)量統(tǒng)計(jì)分析處理部901參照的統(tǒng)計(jì)信息表和檢索處理部203參照的統(tǒng)計(jì)信息表���。
在數(shù)據(jù)包數(shù)1201中注冊(cè)有累計(jì)路由器101所接收的數(shù)據(jù)包數(shù)的值��。具體來說�����,若路由器101接收到與條目號(hào)1111對(duì)應(yīng)的數(shù)據(jù)包����,則路由器101向數(shù)據(jù)包數(shù)1201中加1。
在字節(jié)數(shù)1202中注冊(cè)有累計(jì)路由器101所接收的數(shù)據(jù)包中包含的數(shù)據(jù)包長(zhǎng)度的值��。若路由器101接收到與條目號(hào)1111對(duì)應(yīng)的數(shù)據(jù)包���,則路由101將所接收到的數(shù)據(jù)包的報(bào)頭信息中包含的數(shù)據(jù)包長(zhǎng)度加入字節(jié)數(shù)1202�。
在頻帶(bps)1203中注冊(cè)有相應(yīng)的條目號(hào)專用的頻帶(bps)�����。在頻帶(pps)1204中注冊(cè)有相應(yīng)的條目號(hào)專用的頻帶(pps)���。
在開始時(shí)刻1205中注冊(cè)有數(shù)據(jù)包數(shù)1201被注冊(cè)為1的時(shí)刻���。即,注冊(cè)有路由器101最初接收到與流ID相應(yīng)的數(shù)據(jù)包的時(shí)刻�����。
在閾值1206中注冊(cè)有統(tǒng)計(jì)表制作部1002向流分析部1003發(fā)送信息時(shí)的條件。通常���,在閾值1206中注冊(cè)有數(shù)據(jù)包數(shù)1201的閾值。若數(shù)據(jù)包數(shù)1201達(dá)到在閾值1206中注冊(cè)的值���,則統(tǒng)計(jì)表制作部1002向流分析部1003發(fā)送信息����。
此外���,在閾值1206中也可以注冊(cè)有與字節(jié)數(shù)1202及開始時(shí)刻1205相關(guān)的閾值�����。
在其他信息1207中注冊(cè)有并沒有包含在項(xiàng)目集表902的項(xiàng)目1101中的項(xiàng)目出現(xiàn)的種類數(shù)���、和路由器101最后接收數(shù)據(jù)包的時(shí)刻等。此外�����,所出現(xiàn)的種類數(shù)是在發(fā)送源IP地址包含在項(xiàng)目集表902中時(shí)在項(xiàng)目集表902中不包括的項(xiàng)目即發(fā)送目的地IP地址出現(xiàn)的種類數(shù)。
圖12是本發(fā)明的第2實(shí)施方式的閾值管理表903的示意圖��。
閾值管理表903包括頻帶(pps)1401及閾值1402�����。
頻帶(pps)1401與統(tǒng)計(jì)信息表205的頻帶(pps)1204相對(duì)應(yīng)��。此外�����,頻帶使用pps����,但也可以使用bps。
在閾值1402中對(duì)每個(gè)流種類注冊(cè)有閾值的比率�����。在統(tǒng)計(jì)信息表205的閾值1206是數(shù)據(jù)包數(shù)1201的閾值時(shí)�,在統(tǒng)計(jì)信息表205的閾值1206中設(shè)定將在閾值1402中注冊(cè)的比率乘以按由項(xiàng)目集表902確定的每個(gè)條目號(hào)1111決定閾值之后的值。
為了根據(jù)頻帶及流種類在統(tǒng)計(jì)信息表205的閾值1206中注冊(cè)適當(dāng)?shù)闹?���,參照閾值管理?03�����。此外�,可以從管理終端209通過控制部208變更閾值管理表903�����。
圖13是本發(fā)明的第2實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)分析處理部901的功能框圖�����。
業(yè)務(wù)量統(tǒng)計(jì)分析處理部901包括報(bào)頭信息存儲(chǔ)部1001��、統(tǒng)計(jì)表制作部1002����、流分析部1003�����、統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004及閾值設(shè)定部1005�����。
報(bào)頭信息存儲(chǔ)部1001從接收數(shù)據(jù)包處理部201接收?qǐng)?bào)頭信息,將所接收的報(bào)頭信息發(fā)送給統(tǒng)計(jì)表制作部1002�。
統(tǒng)計(jì)表制作部1002生成在所接收的報(bào)頭信息中包含的構(gòu)成業(yè)務(wù)量信息的項(xiàng)目(發(fā)送源IP地址、發(fā)送目的地IP地址����、發(fā)送源端口號(hào)及發(fā)送目的地端口號(hào))的任意組合。并且�����,統(tǒng)計(jì)表制作部1002參照項(xiàng)目集表902�����,檢索與所生成的組合一致的條目�����。
在存在與項(xiàng)目集表902一致的條目時(shí)���,統(tǒng)計(jì)表制作部1002根據(jù)一致的條目的條目號(hào)1111��,更新統(tǒng)計(jì)信息表205的相應(yīng)的數(shù)據(jù)包數(shù)1201�、字節(jié)數(shù)1202、頻帶(bps)1203��、頻帶(pps)1204�、開始時(shí)刻1205、閾值1206���。
另一方面�����,在不存在與項(xiàng)目集表902一致的條目時(shí)�����,統(tǒng)計(jì)信息表制作部1002向項(xiàng)目集表902和統(tǒng)計(jì)信息表205中追加新生成的組合的條目。
在不能向項(xiàng)目集表902或統(tǒng)計(jì)信息表205中追加新的條目時(shí)��,用新追加的條目改寫已注冊(cè)的條目���。作為選擇所改寫的已注冊(cè)的條目的方法����,有選擇統(tǒng)計(jì)信息表205的數(shù)據(jù)包數(shù)1201少的條目的方法����、選擇最后更新的時(shí)刻最早的條目的方法�����、以及隨機(jī)選擇條目的方法等��。
在追加新的條目時(shí)�����,在項(xiàng)目集表902中注冊(cè)所生成的構(gòu)成業(yè)務(wù)量信息的項(xiàng)目的組合���。在統(tǒng)計(jì)信息表205的數(shù)據(jù)包數(shù)1201中注冊(cè)“1”,在字節(jié)數(shù)1202中注冊(cè)在報(bào)頭信息中包含的數(shù)據(jù)包長(zhǎng)度��。此外�,在頻帶(bps)1203及頻帶(pps)1204中注冊(cè)由路由器101檢測(cè)的頻帶。
在開始時(shí)刻1205中注冊(cè)數(shù)據(jù)包1201被注冊(cè)為1的時(shí)刻�����。在閾值416中注冊(cè)預(yù)先設(shè)定的值�。此外,對(duì)項(xiàng)目集表902的每個(gè)組合設(shè)定在閾值416中注冊(cè)的預(yù)先設(shè)定的值��,并且管理者可以經(jīng)由控制部208變更該值。
說明統(tǒng)計(jì)表制作部1002更新統(tǒng)計(jì)信息表205的條目的方法��。此外����,以圖1中的從終端1到服務(wù)器1的數(shù)據(jù)包的流為例進(jìn)行說明。這里���,設(shè)終端1的IP地址為X1���,服務(wù)器1的IP地址為Y1,發(fā)送源端口號(hào)為A1���,發(fā)送端口號(hào)為B1����。
統(tǒng)計(jì)表制作部1002若從報(bào)頭信息存儲(chǔ)部1001接收到報(bào)頭信息��,則分別將發(fā)送源IP地址及X1注冊(cè)到表A1101的種類1121及值1122中���,從而注冊(cè)發(fā)送源IP地址為X1的條目。同樣��,統(tǒng)計(jì)表制作部1002在表A1101中注冊(cè)發(fā)送目的地地址為Y1的條目、發(fā)送源端口號(hào)為A1的條目以及發(fā)送目的地端口號(hào)為B1的條目���。因此��,更新或新制作表A1101���。
此外,統(tǒng)計(jì)表制作部1002分別將發(fā)送源IP地址及X1注冊(cè)到表B1102的項(xiàng)目A中包含的種類1121及值1122中�����,并將發(fā)送目的地IP地址及Y1注冊(cè)到項(xiàng)目B中包含的種類1121及值1122中���,從而注冊(cè)發(fā)送源IP地址為X1并且發(fā)送目的地IP為Y1的條目�。同樣��,在表B1102中注冊(cè)發(fā)送源IP地址為X1并且發(fā)送源端口號(hào)為A1的條目���、發(fā)送源IP地址為X1并且發(fā)送目的地端口號(hào)為B1的條目����、發(fā)送目的地IP地址為Y1并且發(fā)送源端口號(hào)為A1的條目����、發(fā)送目的地IP地址為Y1并且發(fā)送目的地端口號(hào)為B1的條目�、以及發(fā)送源端口號(hào)為A1并且發(fā)送目的地端口號(hào)為B1的條目��。因此����,更新或新制作表B1102。
同樣��,統(tǒng)計(jì)表制作部1002在表C1103中注冊(cè)發(fā)送源IP地址為X1并且發(fā)送目的地IP地址為Y1并且發(fā)送源端口號(hào)為A1的條目�����、發(fā)送源IP地址為X1并且發(fā)送目的地IP地址為Y1并且發(fā)送目的地端口號(hào)為B1的條目�����、發(fā)送源IP地址為X1并且發(fā)送源端口號(hào)為A1并且發(fā)送目的地端口號(hào)為B1的條目��、以及發(fā)送目的地IP地址為Y1并且發(fā)送源端口號(hào)為A1并且發(fā)送目的地端口號(hào)為B1的條目��。因此����,更新或新制作表C1103。
同樣����,統(tǒng)計(jì)表制作部1002在表D1104中注冊(cè)發(fā)送源IP地址為X1并且發(fā)送目的地IP地址為Y1并且發(fā)送源端口號(hào)為A1并且發(fā)送目的地端口號(hào)為B1的條目。因此��,更新或新制作表D1104��。
此外�,在本實(shí)施方式中,統(tǒng)計(jì)表制作部1002將所有項(xiàng)目的組合注冊(cè)在項(xiàng)目集表902中��,但可以根據(jù)需要進(jìn)行省略�����。
例如�,在表B1102中僅注冊(cè)發(fā)送源IP地址X1和發(fā)送目的地端口號(hào)B1的條目,并且表B1102中不注冊(cè)其他組合��。此外��,管理者經(jīng)由控制部208設(shè)定在各表中注冊(cè)的組合��。
此外���,統(tǒng)計(jì)表制作部1002若更新項(xiàng)目集表902和統(tǒng)計(jì)信息表205�����,則參照統(tǒng)計(jì)信息表205的閾值1206���,并且判斷是否將信息發(fā)送給流分析部1003�。
通常����,統(tǒng)計(jì)表制作部1002對(duì)統(tǒng)計(jì)信息表205中包含的數(shù)據(jù)包數(shù)1201和閾值1206進(jìn)行比較。具體來說�����,若數(shù)據(jù)包數(shù)1201為閾值1206以上����,則統(tǒng)計(jì)表制作部1002判斷為將項(xiàng)目集表902及統(tǒng)計(jì)信息表205的相應(yīng)的條目的信息發(fā)送給流分析部1003,并且在流分析部1003中判斷該信息��。
此外�����,統(tǒng)計(jì)表制作部1002在將信息發(fā)送給流分析部1003的同時(shí)��,在統(tǒng)計(jì)信息表205的相應(yīng)的條目(數(shù)據(jù)包數(shù)1201����、字節(jié)數(shù)1202、開始時(shí)刻1205及其他信息1207)中注冊(cè)“0”�����。此外����,在閾值1206中注冊(cè)預(yù)先設(shè)定的值。
另一方面���,若數(shù)據(jù)包數(shù)1201不足閾值1206���,則統(tǒng)計(jì)表制作部1002判斷為不將項(xiàng)目集表902及統(tǒng)計(jì)信息表205的相應(yīng)的條目的信息發(fā)送給流分析部1003。
此外�,也可以在閾值1206中注冊(cè)字節(jié)數(shù)1202的閾值、開始時(shí)刻1205的閾值或其他信息1207的閾值�。此時(shí),統(tǒng)計(jì)表制作部1002對(duì)應(yīng)閾值1206�����,參照字節(jié)數(shù)1202、開始時(shí)刻1205或其他信息1207�,判斷是否將信息發(fā)送給流分析部1003。
在統(tǒng)計(jì)表制作部1002參照開始時(shí)刻1205判斷是否將信息發(fā)送給流分析部1003時(shí)�����,從當(dāng)前時(shí)刻減去開始時(shí)刻1205��,算出持續(xù)時(shí)間�����。并且�����,統(tǒng)計(jì)表制作部1002比較所算出的持續(xù)時(shí)間和閾值1206�。如果所算出的持續(xù)時(shí)間為閾值1206以上,則統(tǒng)計(jì)表制作部1002判斷為將信息發(fā)送給流分析部1003����。另一方面,如果所算出的持續(xù)時(shí)間不足閾值1206,則統(tǒng)計(jì)表制作部1002判斷為不將信息發(fā)送給流分析部1003�。
此外,統(tǒng)計(jì)表制作部1002保持有閾值1206是統(tǒng)計(jì)信息表205中包含的哪個(gè)信息的閾值的情況����,并且管理者可以通過控制部208變更該情況����。
此外,在本實(shí)施方式中����,統(tǒng)計(jì)表制作部1002參考一個(gè)閾值1206,但也可以參照多個(gè)閾值�����。
此時(shí)��,統(tǒng)計(jì)信息表205包括多個(gè)閾值��。若滿足多個(gè)閾值中的預(yù)先設(shè)定的數(shù)量的閾值���,則統(tǒng)計(jì)表制作部1002將相應(yīng)的條目的信息發(fā)送給流分析部1003�。
例如,在第1閾值中注冊(cè)有數(shù)據(jù)包數(shù)1201的閾值���,在第2閾值中注冊(cè)有與開始時(shí)刻1205相關(guān)的閾值���。統(tǒng)計(jì)表制作部1002在滿足第1閾值并且滿足第2閾值的情況下,將相應(yīng)的條目的信息發(fā)送給流分析部1003���。此外���,統(tǒng)計(jì)表制作部1002也可以在滿足第1閾值及第2閾值中的至少一個(gè)的情況下,向流分析部1003發(fā)送�����。
此外�,在閾值1206是所有的條目所通用的值時(shí),即不對(duì)每個(gè)流設(shè)定閾值時(shí)�����,也可以是統(tǒng)計(jì)表制作部1002保持所有的條目所通用的閾值�����,并且統(tǒng)計(jì)信息表205不保持閾值1206,從而節(jié)約所使用的存儲(chǔ)量����。
流分析部1003根據(jù)從統(tǒng)計(jì)表制作部1002發(fā)送的項(xiàng)目集902及統(tǒng)計(jì)信息表205的相應(yīng)的條目的信息,判斷業(yè)務(wù)量的頻帶和種類��。
此外�����,流分析部1003根據(jù)需要從項(xiàng)目集902及統(tǒng)計(jì)信息表205檢索其他條目信息�,分析條目的種類���。
在流分析部1003中分析的結(jié)果及相應(yīng)條目的統(tǒng)計(jì)信息被發(fā)送到統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004���。此外,還將條目的頻帶��、條目的種類以及條目號(hào)1111發(fā)送給閾值設(shè)定部1005�����。此外�����,流分析部1003若對(duì)條目的種類分析出異常,則將該條目的統(tǒng)計(jì)信息發(fā)送給控制部208�����。
統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004將從流分析部1003接收到的分析結(jié)果及統(tǒng)計(jì)信息修整為發(fā)送格式����,發(fā)送給路由器101的接收數(shù)據(jù)包處理部201。
圖16表示由統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004向接收數(shù)據(jù)包處理部201發(fā)送的統(tǒng)計(jì)信息發(fā)送格式1601的一個(gè)例子���。統(tǒng)計(jì)信息發(fā)送格式1601包括報(bào)頭信息1602及統(tǒng)計(jì)信息1603����。統(tǒng)計(jì)信息發(fā)送格式1601作為SCTP����、TCP或UDP的數(shù)據(jù)報(bào)進(jìn)行發(fā)送。
在統(tǒng)計(jì)信息1603中包含有用于收集統(tǒng)計(jì)信息的采樣率�����、由統(tǒng)計(jì)信息表205收集的統(tǒng)計(jì)信息以及項(xiàng)目集902的項(xiàng)目1102�����。此外,由管理者通過控制部208在統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004中預(yù)先設(shè)定作為統(tǒng)計(jì)信息的發(fā)送目的地的采集裝置104的地址���。
閾值設(shè)定部1005參照閾值管理表903��,根據(jù)從流分析部1003接收到的條目的頻帶及條目的種類���,計(jì)算閾值1206,該閾值1206決定接著從統(tǒng)計(jì)表制作部1002向流分析部1003發(fā)送的間隔���。具體來說�,閾值設(shè)定部1005參照閾值管理表903��,計(jì)算出與相應(yīng)的條目的頻帶(pps)及相應(yīng)的條目的種類相對(duì)應(yīng)的比率���。并且,閾值設(shè)定部1005將所算出的比率發(fā)送給統(tǒng)計(jì)表制作部1002���。
統(tǒng)計(jì)表制作部1002將所接收的比率乘以在相應(yīng)的條目的閾值1206中注冊(cè)的值�,計(jì)算出新的閾值1206�。將計(jì)算出的閾值注冊(cè)在相應(yīng)的條目的閾值1206中����。
接著�����,說明在第1實(shí)施方式的接收數(shù)據(jù)包處理部201上追加的功能�����。
本實(shí)施方式的接收數(shù)據(jù)包處理部201在接收到數(shù)據(jù)包的情況下���,在將報(bào)頭信息發(fā)送給檢索處理部203的同時(shí)����,還向業(yè)務(wù)量統(tǒng)計(jì)分析處理部901發(fā)送報(bào)頭信息��。此外����,接收數(shù)據(jù)包處理部201將從業(yè)務(wù)量統(tǒng)計(jì)分析處理部901接收到的統(tǒng)計(jì)信息數(shù)據(jù)包發(fā)送給發(fā)送數(shù)據(jù)包處理部202。接收數(shù)據(jù)包處理部201的其他動(dòng)作和第1實(shí)施方式相同���。
本實(shí)施方式的控制部208將從業(yè)務(wù)量統(tǒng)計(jì)分析處理部901的流分析部1003接收到的����、條目的種類為異常的信息發(fā)送給檢索處理部203。此外����,接收到異常的信息的檢索處理部203在流表206中檢索是否存在相應(yīng)的條目,在存在相應(yīng)的條目的情況下����,在流種類326中設(shè)定為異常流。
發(fā)送數(shù)據(jù)包處理部202����、檢索處理部203的其他動(dòng)作和第1實(shí)施方式相同。
(第3實(shí)施方式)使用圖14說明本發(fā)明的第3實(shí)施方式�。
本發(fā)明的第3實(shí)施方式在網(wǎng)絡(luò)控制裝置1301上安裝對(duì)第2實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)進(jìn)行分析的功能。
圖14是本發(fā)明的第3實(shí)施方式的網(wǎng)絡(luò)控制裝置1301的功能框圖�。
網(wǎng)絡(luò)控制裝置1301包括CPU(Central Processing Unit中央處理器)1302����、網(wǎng)絡(luò)存儲(chǔ)器1303、程序存儲(chǔ)器1304���、統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)1305�����、通信接口(通信I/F)1306以及輸入輸出裝置1307���。此外�,這些分別通過總線1308連接����。
在程序存儲(chǔ)器1304中存儲(chǔ)數(shù)據(jù)包收發(fā)處理部1311、統(tǒng)計(jì)信息數(shù)據(jù)包解析處理部1312�����、業(yè)務(wù)量統(tǒng)計(jì)分析處理部1313����。CPU1302將程序存儲(chǔ)器1304中存儲(chǔ)的各種程序等加載到網(wǎng)絡(luò)存儲(chǔ)器,并執(zhí)行���。
數(shù)據(jù)包收發(fā)處理部1311收發(fā)IP數(shù)據(jù)包����。統(tǒng)計(jì)信息數(shù)據(jù)包解析處理部1312取得從路由器101發(fā)送的數(shù)據(jù)包中包含的報(bào)頭信息�����。業(yè)務(wù)量統(tǒng)計(jì)分析處理部1313執(zhí)行與第2實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)分析處理部901相同的處理。業(yè)務(wù)量統(tǒng)計(jì)分析處理部1313的不同點(diǎn)在于第2實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)分析處理部901將統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004生成的數(shù)據(jù)包發(fā)送給接收數(shù)據(jù)包處理部201�,與此相對(duì),本實(shí)施方式的業(yè)務(wù)量統(tǒng)計(jì)分析處理部1313將統(tǒng)計(jì)信息數(shù)據(jù)包生成部1004生成的數(shù)據(jù)包發(fā)送給數(shù)據(jù)包收發(fā)處理部1311���。
統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)1305包括項(xiàng)目集表902及統(tǒng)計(jì)信息表205�。此外����,通過業(yè)務(wù)量統(tǒng)計(jì)分析處理部1313參照統(tǒng)計(jì)信息數(shù)據(jù)庫(kù)1305。
路由器101是與第1實(shí)施方式相同的結(jié)構(gòu)�。通過路由器101執(zhí)行了采樣處理之后的數(shù)據(jù)包的報(bào)頭信息被發(fā)送到網(wǎng)絡(luò)控制裝置1301及采集裝置104。
此外�,也可以在通過路由器101的數(shù)據(jù)包數(shù)較少的情況下,復(fù)制數(shù)據(jù)包�����,將所復(fù)制的數(shù)據(jù)包發(fā)送給網(wǎng)絡(luò)控制裝置1301��。
工業(yè)實(shí)用性本發(fā)明可以用于網(wǎng)絡(luò)的運(yùn)營(yíng)管理����。特別是在詳細(xì)管理網(wǎng)絡(luò)上流經(jīng)的業(yè)務(wù)量的情況下及使用大規(guī)模網(wǎng)絡(luò)的情況下很有效。
權(quán)利要求
1.一種統(tǒng)計(jì)信息收集系統(tǒng)��,具有統(tǒng)計(jì)信息收集裝置和采集裝置�,該統(tǒng)計(jì)信息收集裝置具有進(jìn)行運(yùn)算處理的第1處理器、連接到上述第1處理器的第1存儲(chǔ)區(qū)�����、和連接到上述第1處理器的第1接口��;該采集裝置具有進(jìn)行運(yùn)算處理的第2處理器���、連接到上述第2處理器的第2存儲(chǔ)區(qū)��、和連接到上述第2處理器并且連接到上述統(tǒng)計(jì)信息收集裝置的第2接口�;上述第1處理器接收數(shù)據(jù)包���,收集上述接收數(shù)據(jù)包的統(tǒng)計(jì)信息�,將上述所收集的統(tǒng)計(jì)信息發(fā)送給上述采集裝置���;上述通信信息收集系統(tǒng)的特征在于�,在上述第1存儲(chǔ)區(qū)存儲(chǔ)有流信息,該流信息包含用于識(shí)別上述接收數(shù)據(jù)包所屬的流的流識(shí)別條件�;上述第1處理器按由上述流識(shí)別條件識(shí)別的每個(gè)流,將上述所收集的數(shù)據(jù)包的統(tǒng)計(jì)信息分類��,參照按上述每個(gè)流分類的統(tǒng)計(jì)信息���,按上述每個(gè)流決定將上述統(tǒng)計(jì)信息發(fā)送給上述采集裝置的發(fā)送間隔����。
2.如權(quán)利要求1所述的統(tǒng)計(jì)信息收集系統(tǒng)���,其特征在于���,上述第1存儲(chǔ)區(qū)存儲(chǔ)收集上述統(tǒng)計(jì)信息的條件,上述第1處理器根據(jù)上述所存儲(chǔ)的收集統(tǒng)計(jì)信息的條件��,收集上述統(tǒng)計(jì)信息���。
3.如權(quán)利要求1所述的統(tǒng)計(jì)信息收集系統(tǒng)����,其特征在于��,上述統(tǒng)計(jì)信息包括上述流的頻帶,上述第1處理器根據(jù)在上述統(tǒng)計(jì)信息中包含的上述流的頻帶���,決定上述接收數(shù)據(jù)包的采樣間隔;按上述所決定的采樣間隔�����,對(duì)上述接收數(shù)據(jù)包進(jìn)行采樣�����;將上述所采樣的數(shù)據(jù)包的報(bào)頭信息作為上述統(tǒng)計(jì)信息����,發(fā)送給上述采集裝置。
4.如權(quán)利要求1所述的統(tǒng)計(jì)信息收集系統(tǒng)�,其特征在于,上述第1處理器根據(jù)分析按上述每個(gè)流所分類的統(tǒng)計(jì)信息的結(jié)果�����,決定上述接收數(shù)據(jù)包的采樣間隔�����;按上述所決定的采樣間隔,對(duì)上述接收數(shù)據(jù)包進(jìn)行采樣�;將上述所采樣的數(shù)據(jù)包的報(bào)頭信息作為上述統(tǒng)計(jì)信息,發(fā)送給上述采集裝置���。
5.如權(quán)利要求4所述的統(tǒng)計(jì)信息收集系統(tǒng)���,其特征在于,上述第2處理器若從上述第1處理器接收到統(tǒng)計(jì)信息�,則對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析,將上述統(tǒng)計(jì)信息的分析結(jié)果發(fā)送給上述第1處理器�����;上述第1處理器若接收到上述統(tǒng)計(jì)信息的分析結(jié)果�����,則根據(jù)上述所接收到的分析結(jié)果�����,決定上述接收數(shù)據(jù)包的采樣間隔�。
6.如權(quán)利要求4所述的統(tǒng)計(jì)信息收集系統(tǒng),其特征在于���,上述第1處理器對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析�����,根據(jù)上述統(tǒng)計(jì)信息的分析結(jié)果����,決定上述接收數(shù)據(jù)包的采樣間隔��。
7.如權(quán)利要求4所述的統(tǒng)計(jì)信息收集系統(tǒng)��,其特征在于�����,按每個(gè)流設(shè)定與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值���;上述第1處理器若接收到上述數(shù)據(jù)包����,則根據(jù)對(duì)上述接收數(shù)據(jù)包所屬的流設(shè)定的閾值�����,判斷是否對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析。
8.如權(quán)利要求4所述的統(tǒng)計(jì)信息收集系統(tǒng)��,其特征在于���,按每個(gè)流設(shè)定與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值�����;上述第2處理器若從上述第1處理器接收統(tǒng)計(jì)信息�����,則根據(jù)對(duì)上述所接收的統(tǒng)計(jì)信息的流設(shè)定的閾值��,判斷是否對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析����。
9.如權(quán)利要求7所述的統(tǒng)計(jì)信息收集系統(tǒng)��,其特征在于�����,上述統(tǒng)計(jì)信息包括上述流的頻帶���,上述第1處理器根據(jù)上述統(tǒng)計(jì)信息的分析結(jié)果及上述流的頻帶中的至少一個(gè)���,更新與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值����。
10.如權(quán)利要求8所述的統(tǒng)計(jì)信息收集系統(tǒng)��,其特征在于��,上述統(tǒng)計(jì)信息包括上述流的頻帶����,上述第2處理器根據(jù)上述統(tǒng)計(jì)信息的分析結(jié)果及上述流的頻帶中的至少一個(gè)�����,更新與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值��。
11.一種統(tǒng)計(jì)信息收集裝置���,具有進(jìn)行運(yùn)算處理的處理器�、連接到上述處理器的存儲(chǔ)區(qū)��、和連接到采集裝置并且連接到上述處理器的接口;該統(tǒng)計(jì)信息收集裝置接收數(shù)據(jù)包�,收集上述接收數(shù)據(jù)包的統(tǒng)計(jì)信息,將上述所收集的統(tǒng)計(jì)信息發(fā)送給上述采集裝置����;其特征在于,在上述存儲(chǔ)區(qū)存儲(chǔ)有流信息����,該流信息包含用于識(shí)別上述接收數(shù)據(jù)包所屬的流的流識(shí)別條件,上述處理器按由上述流識(shí)別條件識(shí)別的每個(gè)流��,將上述所收集的數(shù)據(jù)包的統(tǒng)計(jì)信息分類���,參照按上述每個(gè)流分類的統(tǒng)計(jì)信息���,按上述每個(gè)流決定將上述統(tǒng)計(jì)信息發(fā)送給上述采集裝置的發(fā)送間隔。
12.如權(quán)利要求11所述的統(tǒng)計(jì)信息收集裝置���,其特征在于�����,上述存儲(chǔ)區(qū)存儲(chǔ)收集上述統(tǒng)計(jì)信息的條件�����,上述處理器根據(jù)上述所存儲(chǔ)的收集統(tǒng)計(jì)信息的條件���,收集上述統(tǒng)計(jì)信息����。
13.如權(quán)利要求11所述的統(tǒng)計(jì)信息收集裝置����,其特征在于,上述統(tǒng)計(jì)信息包括上述流的頻帶�����,上述處理器根據(jù)在上述統(tǒng)計(jì)信息中包含的上述流的頻帶�,決定上述接收數(shù)據(jù)包的采樣間隔���;按上述所決定的采樣間隔��,對(duì)上述接收數(shù)據(jù)包進(jìn)行采樣����;將上述所采樣的數(shù)據(jù)包的報(bào)頭信息作為上述統(tǒng)計(jì)信息,發(fā)送給上述采集裝置�����。
14.如權(quán)利要求11所述的統(tǒng)計(jì)信息收集裝置���,其特征在于����,上述處理器根據(jù)分析按上述每個(gè)流所分類的統(tǒng)計(jì)信息的結(jié)果����,決定上述接收數(shù)據(jù)包的采樣間隔;按上述所決定的采樣間隔���,對(duì)上述接收數(shù)據(jù)包進(jìn)行采樣��;將上述所采樣的數(shù)據(jù)包的報(bào)頭信息作為上述統(tǒng)計(jì)信息���,發(fā)送給上述采集裝置。
15.如權(quán)利要求14所述的統(tǒng)計(jì)信息收集裝置�����,其特征在于,上述處理器對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析��,根據(jù)上述統(tǒng)計(jì)信息的分析結(jié)果�����,決定上述接收數(shù)據(jù)包的采樣間隔��。
16.如權(quán)利要求14所述的統(tǒng)計(jì)信息收集裝置����,其特征在于����,按每個(gè)流設(shè)定與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值;上述處理器若接收到上述數(shù)據(jù)包��,則根據(jù)對(duì)上述接收數(shù)據(jù)包所屬的流設(shè)定的閾值���,判斷是否對(duì)按上述每個(gè)流所分類的統(tǒng)計(jì)信息進(jìn)行分析。
17.如權(quán)利要求16所述的統(tǒng)計(jì)信息收集裝置�,其特征在于,上述處理器根據(jù)上述統(tǒng)計(jì)信息的分析結(jié)果,更新與按上述每個(gè)流所分類的統(tǒng)計(jì)信息相關(guān)的閾值�����。
全文摘要
本發(fā)明為了詳細(xì)把握在網(wǎng)絡(luò)內(nèi)流過的業(yè)務(wù)量��,將從統(tǒng)計(jì)信息收集裝置向采集裝置發(fā)送的統(tǒng)計(jì)信息的業(yè)務(wù)量有效地削減�。本發(fā)明是一種通信信息收集系統(tǒng),具有統(tǒng)計(jì)信息收集裝置和采集裝置�,上述統(tǒng)計(jì)信息收集裝置接收數(shù)據(jù)包,收集上述接收數(shù)據(jù)包的統(tǒng)計(jì)信息�����,將上述所收集的統(tǒng)計(jì)信息發(fā)送給上述采集裝置�,該通信信息收集系統(tǒng)的特征在于���,上述統(tǒng)計(jì)信息收集裝置存儲(chǔ)有流信息���,該流信息包含用于識(shí)別上述接收數(shù)據(jù)包所屬的流的流識(shí)別條件,按由上述流識(shí)別條件識(shí)別的每個(gè)流將上述所收集的數(shù)據(jù)包的統(tǒng)計(jì)信息分類�����,參照按上述每個(gè)流分類的統(tǒng)計(jì)信息,按上述每個(gè)流決定上述統(tǒng)計(jì)信息收集裝置將上述統(tǒng)計(jì)信息發(fā)送給上述采集裝置的發(fā)送間隔�����。
文檔編號(hào)H04L12/26GK101075911SQ20071000838
公開日2007年11月21日 申請(qǐng)日期2007年1月29日 優(yōu)先權(quán)日2006年5月18日
發(fā)明者正村雄介, 渡邊義則, 柴田剛志 申請(qǐng)人:阿拉克斯拉網(wǎng)絡(luò)株式會(huì)社