[go: up one dir, main page]

CN112242992B - 计算机可读记录介质、分组分析装置以及分组分析方法 - Google Patents

计算机可读记录介质、分组分析装置以及分组分析方法 Download PDF

Info

Publication number
CN112242992B
CN112242992B CN202010662541.6A CN202010662541A CN112242992B CN 112242992 B CN112242992 B CN 112242992B CN 202010662541 A CN202010662541 A CN 202010662541A CN 112242992 B CN112242992 B CN 112242992B
Authority
CN
China
Prior art keywords
delay
delay times
time
change state
predetermined period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010662541.6A
Other languages
English (en)
Other versions
CN112242992A (zh
Inventor
冈田纯代
上野仁
饭塚史之
荻原一隆
李忠翰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of CN112242992A publication Critical patent/CN112242992A/zh
Application granted granted Critical
Publication of CN112242992B publication Critical patent/CN112242992B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0864Round trip delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/1607Details of the supervisory signal
    • H04L1/1685Details of the supervisory signal the supervisory signal being transmitted in response to a specific request, e.g. to a polling signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/087Jitter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/14Arrangements for monitoring or testing data switching networks using software, i.e. software packages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机可读记录介质、分组分析装置以及分组分析方法。该处理包括:从在第一通信装置与第二通信装置之间中继分组的中继装置获取由分组在第一通信装置与中继装置之间的往返行程所产生的多个第一延迟时间以及由分组在第二通信装置与中继装置之间的往返行程所产生的多个第二延迟时间;基于延迟时间的长度来分别对多个第一延迟时间和多个第二延迟时间进行排序;以及基于第一延迟计算来计算装置延迟时间,该第一延迟计算计算在排序之后的同一等级中的多个第一延迟时间中的每一个与多个第二延迟时间中的每一个之间的差。

Description

计算机可读记录介质、分组分析装置以及分组分析方法
技术领域
本文所讨论的实施方式涉及分组分析装置和分组分析方法。
背景技术
防火墙(FW)装置被用作通信网络的安全措施。防火墙装置安装在分组中继点处并且执行分组监控,以检测和防止由来自外部网络的病毒文件的传输等导致的病毒感染、攻击而引起的内部网络的数据泄漏。
作为与分组监控相关的技术,例如,已经提出了一种技术,该技术基于从探测器提供的分组信息和标识信息来识别分组已经被发送至其的信息处理系统,并且监控分组的处理中的延迟。此外,已经提出了一种技术,该技术通过计算与装置之间的通信相关的特性值以及确定特性值的正常性来估计装置之间的通信质量劣化的原因的位置。
相关技术公开在例如日本公开特许公报第2015-076780号和第2014-179938号中。
发明内容
在一方面,本公开内容的目的是以高准确度计算装置延迟。
根据实施方式的一方面,一种非暂态计算机可读记录介质,其中存储有使计算机执行处理的分组分析程序,该处理包括:从在第一通信装置与第二通信装置之间中继分组的中继装置获取由分组在第一通信装置与中继装置之间的往返行程所产生的多个第一延迟时间以及由分组在第二通信装置与中继装置之间的往返行程所产生的多个第二延迟时间;基于延迟时间的长度分别对多个第一延迟时间和多个第二延迟时间进行排序;以及基于第一延迟计算来计算装置延迟时间,该第一延迟计算计算在排序之后同一等级中的多个第一延迟时间中的每一个与多个第二延迟时间中的每一个之间的差。
附图说明
图1是示出根据第一实施方式的分组分析系统的示例的视图;
图2是示出根据第二实施方式的分组分析系统的示例的视图;
图3是示出连接的关联的示例的视图;
图4是示出连接的关联的示例的视图;
图5是示出分组分析装置的硬件的示例的视图;
图6是示出分组分析装置的功能块的示例的视图;
图7是示出FW延迟计算(排序延迟计算)的示例的视图;
图8是示出FW延迟计算(平均延迟计算)的示例的视图;
图9是示出当变化小时FW延迟计算的仿真结果的视图;
图10是示出当变化大时FW延迟计算的仿真结果的视图;
图11是示出变化确定处理的示例的视图;
图12是示出变化确定处理的示例的视图;
图13是示出变化确定处理的示例的视图;
图14是示出变化确定处理的示例的视图;
图15是示出分组分析装置的操作的流程图;
图16是示出变化确定的操作的流程图;
图17是示出变化确定的操作的流程图;
图18是示出变化确定的操作的流程图;
图19是示出变化确定的操作的流程图;
图20是示出FW延迟计算时间段的示例的视图;以及
图21是示出过载确定时间段的示例的视图。
具体实施方式
当由于如上所述的防止措施而发生装置延迟时,防火墙装置可能进入过载状态。当防火墙装置在过载状态下连续操作时,正常通信的通信质量可能降低。因此,需要一种能够以高准确度计算防火墙装置的装置延迟的技术。
在下文中,将描述能够以高准确度计算装置延迟的技术的实施方式。
第一实施方式
将参照图1描述第一实施方式。图1是示出根据第一实施方式的分组分析系统的示例的视图。分组分析系统1-1包括通信装置2和3、中继装置4、交换机sw1和sw2以及分组分析装置1。
中继装置4中继通信装置2与通信装置3之间的分组通信。另外,交换机sw1设置在通信装置2与中继装置4之间的传输路径上,以及交换机sw2设置在通信装置3与中继装置4之间的传输路径上。分组分析装置1耦接至交换机sw1和交换机sw2,以从交换机sw1和交换机sw2获取流动通过中继装置4的分组,并且对分组进行分析。
分组分析装置1包括控制器1a和存储单元1b。控制器1a获取由分组在通信装置2与中继装置4之间的往返行程所产生的第一延迟时间,以及由分组在通信装置3与中继装置4之间的往返行程所产生的第二延迟时间。第一延迟时间或第二延迟时间对应于例如往返行程时间(RTT),往返行程时间是要发送信号的时间加上要接收信号的确认的时间。
控制器1a通过基于延迟时间的长度分别对第一延迟时间和第二延迟时间进行排序的排序延迟计算来计算装置延迟,并且计算排序之后的同一等级中的第一延迟时间与第二延迟时间之间的差。存储单元1b存储与分组分析相关的数据,例如所获取的延迟时间或延迟计算结果。
将使用图1中所示的示例来描述操作的流程。
(操作S1)沿着下面的操作S1a至S1f的处理来计算中继装置4的装置延迟。
(操作S1a)通信装置3发送分组。分组经由交换机sw2被发送至中继装置4。
(操作S1b)当接收到分组时,中继装置4中继并发送分组。分组经由交换机sw1被发送至通信装置2。
(操作S1c)当在正常条件下接收到分组时,通信装置2发送ACK(ACK分组)。ACK经由交换机sw1被发送至中继装置4。
(操作S1d)当接收到ACK时,中继装置4中继并发送ACK。ACK经由交换机sw2被发送至通信装置3。
(操作S1e)控制器1a基于通过交换机sw1捕获分组的时间和通过交换机sw1捕获ACK的时间来获取延迟时间t1(第一延迟时间)。延迟时间t1对应于从中继装置4接收到分组的时间到中继装置4接收到ACK的时间的RTT。
(操作S1f)控制器1a基于通过交换机sw2捕获分组的时间和通过交换机sw2捕获ACK的时间来获取延迟时间t2(第二延迟时间)。延迟时间t2对应于从中继装置4接收到分组的时间到中继装置4接收到ACK的时间的RTT。
(操作S2)假设通过操作S1的处理获取了多个延迟时间t1和多个延迟时间t2。控制器1a对延迟时间T1进行排序,以及同样地对延迟时间t2进行排序。
(操作S3)控制器1a通过计算排序之后的同一等级中的延迟时间t1与延迟时间t2之间的差的排序延迟计算来计算装置延迟T。
例如,控制器1a以升序对延迟时间T1进行排序,以及同样地以升序对延迟时间t2进行排序。然后,控制器1a计算排序之后的同一等级中的延迟时间T1与延迟时间T2之间的差以计算器装置延迟T。
如上所述,分组分析装置1根据在中继装置4之前和之后捕获的分组获取在通信装置2与中继装置4之间产生的延迟时间t1和在通信装置3与中继装置4之间产生的延迟时间t2。然后,分组分析装置1分别对已获取的延迟时间t1和延迟时间t2进行排序,并且计算排序之后的同一等级中的延迟时间t1与延迟时间t2之间的差以计算装置延迟。
通过该控制,分组分析装置1不需要稍后描述的连接的关联,并且与执行连接的关联的情况相比,能够以高准确度计算在中继装置4中发生的装置延迟。
第二实施方式
接下来将描述第二实施方式。在第二实施方式中,中继装置是防火墙装置(在下文中称为“FW装置”),并且基于在FW装置中发生的延迟来检测FW装置的过载状态。在下文中,在FW装置中发生的延迟可以称为FW延迟。
[系统配置]
图2是示出根据第二实施方式的分组分析系统的示例的视图。分组分析系统1-2包括主机a1至a6、主机b1至b3、接入网2a、核心网2b、交换机sw1和sw2、因特网3a、FW装置40以及分组分析装置10。
主机a1至a6、接入网2a、核心网2b和交换机sw1位于内联网侧,并且交换机sw2、因特网3a和主机b1至b3位于因特网侧。
每个基站21、22或23耦接至接入网2a。基站21包括主机a1和a2,基站22包括主机a3和a4,以及基站23包括主机a5和a6。
核心网2b耦接至接入网2a和交换机sw1。因特网3a耦接至主机b1至b3和交换机sw2。FW装置40和分组分析装置10各自耦接至交换机sw1和sw2。
分组分析装置10通过交换机sw1获取从内联网侧流动到FW装置40的分组。类似地,分组分析装置10通过交换机sw2获取从因特网侧流动到FW装置40的分组。然后,分组分析装置10基于所获取的分组计算在FW装置40中出现的FW延迟。
[针对每个连接的FW延迟]
当使用在FW装置40之前和之后捕获的分组的时间戳来计算FW延迟时,计算量变得巨大,并且因此,该计算不是高效的。因此,可以想到针对每个连接来计算FW延迟。在这种情况下,需要将在FW装置40的前一级处存在的连接和在FW装置40的后一级处存在的连接彼此关联。
图3是示出连接的关联的示例的视图。图3表示一个内联网侧主机和一个因特网侧主机进行一对一通信(一个连接)的情况。
通常,基于源侧的IP地址/端口号和目的地侧的IP地址/端口号将连接彼此相关联。此外,FW装置40执行内联网侧主机的IP地址/端口号的NAPT(网络地址端口转换)转换。
这里,在由交换机sw1捕获的分组p1、p2和p3之中,分组p1具有如(a:1)的内联网侧主机的IP地址/端口号,以及如(X:100)的因特网侧主机的IP地址/端口号。
此外,分组p2具有如(a:2)的内联网侧主机的IP地址/端口号,以及如(Y:200)的因特网侧主机的IP地址/端口号。此外,分组p3具有如(b:101)的内联网侧主机的IP地址/端口号,以及如(Z:300)的因特网侧主机的IP地址/端口号。
同时,FW装置40对分组p1、p2和p3中的每一个中的内联网侧主机的IP地址/端口号执行NAPT转换。在NAPT转换之后在交换机sw2处捕获的分组pa中,内联网侧主机的IP地址/端口号已经被转换成(P:111),而因特网侧主机的IP地址/端口号保持(X:100)。
此外,在NAPT转换之后在交换机sw2处捕获的分组pb中,内联网侧主机的IP地址/端口号已经被转换成(P:112),而因特网侧主机的IP地址/端口号保持(Y:200)。
此外,在NAPT转换之后在交换机sw2处捕获的分组pc中,内联网侧主机的IP地址/端口号已经被转换成(Q:501),而因特网侧主机的IP地址/端口号保持(Z:300)。
这里,当在内联网侧主机与因特网侧主机之间设置一个连接时,因特网侧主机的IP地址/端口号彼此不同。也就是说,分别在分组pa、pb和pc中的因特网侧主机的IP地址/端口号彼此不同。
因此,确定分组pa与分组p1中的因特网侧主机的IP地址/端口号(X:100)相匹配。因此,分组p1流动通过的内联网侧的连接和分组pa流动通过的因特网侧的连接彼此关联。
此外,确定分组pb与分组p2中的因特网侧主机的IP地址/端口号(X:200)相匹配。因此,分组p2流动通过的内联网侧的连接和分组pb流动通过的因特网侧的连接彼此关联。
此外,确定分组pc与分组p3中的因特网侧主机的IP地址/端口号(Z:300)相匹配。因此,分组p3流动通过的内联网侧的连接和分组pc流动通过的因特网侧的连接彼此关联。
以这样的方式,当一个内联网侧主机和一个因特网侧主机彼此通信时,可以容易地将内联网侧的连接和因特网侧的连接彼此关联。
图4是示出连接的关联的示例的视图。图4表示多个内联网侧主机和一个因特网侧主机进行n对一通信(多个连接)的情况。
在交换机sw1处捕获的分组p11、p12和p13之中,分组p11具有如(a:1)的内联网侧主机的IP地址/端口号,以及如(X:100)的因特网侧主机的IP地址/端口号。
此外,分组p12具有如(a:2)的内联网侧主机的IP地址/端口号,以及如(X:100)的因特网侧主机的IP地址/端口号。此外,分组p13具有如(b:101)的内联网侧主机的IP地址/端口号,以及如(X:100)的因特网侧主机的IP地址/端口号。
同时,FW装置40对分组p11、p12和p13中的每一个中的内联网主机的IP地址/端口号执行NAPT转换。在NAPT转换之后在交换机sw2处捕获的分组pA中,内联网侧主机的IP地址/端口号已经被转换为(P:111),而因特网侧主机的IP地址/端口号保持(X:100)。
此外,在NAPT转换之后在交换机sw2处捕获的分组pB中,内联网侧主机的IP地址/端口号已经被转换为(P:112),而因特网侧主机的IP地址/端口号保持(X:100)。
此外,在NAPT转换之后在交换机sw2处捕获的分组pC中,内联网侧主机的IP地址/端口号已经被转换为(Q:501),而因特网侧主机的IP地址/端口号保持(X:100)。
这里,当多个内联网侧主机访问一个因特网侧主机时,使用因特网侧主机的相同的IP地址/端口号。也就是说,在分组pA、pB和pC中,因特网侧主机的IP地址/端口号是相同的(X:100)。
因此,无法根据分组pA、pB和pC确定与分组p11中的因特网侧主机的IP地址/端口号(X:100)相匹配的分组。因此,难以将分组p11流动通过的内联网侧的连接与分组pA、pB或pC流动通过的因特网侧的连接相关联。同样的情况适用于分组p12和p13。
如上所描述,由于FW装置40对内联网侧主机的IP地址/端口号执行NAPT转换,所以当如图4所示设置多个连接时,难以将FW装置40的前一级和后一级处的连接彼此关联。
这里,当针对每个连接计算FW延迟时,可以想到FW装置40的延迟是通过排除不相关的分组来计算的。然而,该计算方法存在在数据量少的情况下计算产生误差的问题,以及在收集大量的数据的情况下计算FW延迟花费时间的问题。
本公开内容是针对上述几点进行的,并且能够有效地计算在FW装置40中发生的FW延迟而不执行连接的关联,以便于以更高的准确度检测过载状态。
[硬件]
接下来,将详细描述第二实施方式的配置和操作。图5是示出分组分析装置的硬件的示例的视图。分组分析装置10完全由处理器101控制。存储器102和多个外围装置经由总线109耦接至处理器101。处理器101可以是多处理器。
处理器101例如是CPU(中央处理单元)、MPU(微处理单元)或DSP(数字信号处理器)。处理器101的至少一部分功能可以通过电子电路例如ASIC(专用集成电路)或PLD(可编程逻辑器件)来实现。
存储器102用作分组分析装置10的主存储装置。存储器102临时存储要由处理器101执行的OS(操作系统)程序或者应用程序的至少一部分。此外,存储器102存储用于由处理器101进行处理所需的各种类型的数据。关于存储器102,例如,可以使用易失性半导体存储装置例如RAM(随机存取存储器)。
耦接至总线109的外围装置包括HDD(硬盘驱动器)103、图形处理装置104、输入接口105、光学驱动装置106、装置连接接口107和网络接口108。
HDD 103向内置盘磁性地写入数据和从内置盘磁性地读取数据。HDD103用作分组分析装置10的辅助存储装置。HDD 103存储OS程序、应用程序和各种类型的数据。另外,关于辅助存储装置,可以使用非易失性半导体存储装置例如闪存。
监控器201耦接至图形处理装置104。图形处理装置104根据来自处理器101的命令在监控器201的屏幕上显示图像。监控器201的示例包括使用CRT(阴极射线管)的显示装置、液晶显示装置等。
键盘202和鼠标203耦接至输入接口105。输入接口105将从键盘202或鼠标203传送的信号发送至处理器101。
另外,鼠标203是指示装置的示例,并且可以使用其他指示装置。其他指示装置的示例包括触摸面板、平板电脑、触摸板、轨迹球等。
光学驱动装置106通过使用激光束等读取记录在光盘204上的数据。光盘204是以通过光的反射可读的形式记录数据的便携式记录介质。光盘204的示例包括DVD(数字通用盘)、DVD-RAM、CD-ROM(致密盘只读存储器)、CD-R(可记录)/RW(可重写)等。
装置连接接口107是用于将外围装置连接至分组分析装置10的通信接口。例如,存储器装置205或存储器读取器/写入器206可以耦接至装置连接接口107。存储器装置205是具有与装置连接接口107进行通信的功能的记录介质。存储器读取器/写入器206是将数据写入存储卡207或从存储卡207读取数据的装置。存储卡207是卡式记录介质。
网络接口108耦接至网络110(包括无线LAN(局域网))。网络接口108经由网络110将数据发送至另一计算机或通信装置以及从另一计算机或通信装置接收数据。
利用上述硬件配置,可以实现第二实施方式的处理功能。另外,根据第一实施方式的分组分析装置1也可以通过与图5中所示的分组分析装置10相同的硬件来实现。
分组分析装置10通过执行例如记录在计算机可读记录介质中的程序来实现第二实施方式的处理功能。描述要由分组分析装置10执行的处理内容的程序可以被记录在各种记录介质中。
例如,要由分组分析装置10执行的程序可以存储在HDD 103中。处理器101将HDD103中的程序的至少一部分加载到存储器102中并执行程序。另外,要由分组分析装置10执行的程序可以被记录在便携式记录介质例如光盘204、存储器装置205、存储卡207等中。
存储在便携式记录介质中的程序在被安装到HDD 103中之后在处理器101的控制下被执行。另外,处理器101可以从便携式记录介质直接读取程序并且执行程序。
[功能块]
图6是示出分组分析装置的功能块的示例的图。另外,延迟时间在下文中可以被称为RTT。分组分析装置10包括控制器11、存储单元12和接口单元13。控制器11包括RTT测量单元11a、变化确定单元11b、FW延迟计算器11c、FW延迟最大值检测器11d和过载检测器11e。
RTT测量单元11a基于通过交换机sw1捕获的分组来测量RTT1,RTT1是内联网侧主机与FW装置40之间的延迟时间。此外,RTT测量单元11a基于通过交换机sw2捕获的分组来测量RTT2,RTT2是因特网侧主机与FW装置40之间的延迟时间。
变化确定单元11b确定在预定时间段内获取的RTT1的第一变化状态和在预定时间段内获取的RTT2的第二变化状态的变化程度(确定处理的具体内容将在图11和随后的图中稍后描述)。
当变化确定单元11b输出指示第一变化状态和第二变化状态处于特定变化状态的确定结果时,FW延迟计算器11c获得RTT1的第一平均值和RTT2的第二平均值,并且基于第一平均值与第二平均值之间的差来计算FW延迟(在下文中也称为平均延迟计算)。另外,虽然在图11和随后的图中稍后进行了说明,但是特定的变化状态对应于变化程度相对小的状态。
另外,当变化确定单元11b输出指示第一变化状态和第二变化状态不处于特定变化状态的确定结果时,FW延迟计算器11c以升序对RTT1排序,以及同样地以升序对RTT2排序。然后,FW延迟计算器11c以升序获得各个RTT1与各个RTT2之间的差以计算装置延迟(在下文中也称为排序延迟计算)。
FW延迟最大值检测器11d从在预定时间段内计算出的FW延迟中检测FW延迟最大值。过载检测器11e将预定时间段内FW延迟最大值的出现频率与阈值进行比较。当FW延迟最大值的出现频率或比率等于或大于预定阈值时,过载检测器11e检测到FW装置40处于过载状态。当检测到过载状态时,过载检测器11e例如通知警报。
存储单元12存储与分组分析相关的数据,例如所获取的RTT、FW延迟计算结果等。此外,存储单元12存储与操作状态相关的控制信息等。接口单元13耦接至交换机sw以执行通信接口控制。此外,接口单元13耦接至维护终端等以执行外部数据的输入/输出接口控制。
此外,控制器11由图5的处理器101实现,以及存储单元12由图5的存储器102实现。另外,接口单元13可以由图5的网络接口108实现。
[FW延迟计算]
接下来,将参照图7和图8描述FW延迟计算。图7是示出FW延迟计算的示例的视图。图7表示排序延迟计算的示例。曲线图g1表示针对每个连接计算的FW延迟。在曲线图g1中,纵轴表示RTT(ms),以及横轴表示连接标识符。连接A到D经由FW装置40将内联网侧主机和因特网侧主机彼此连接。
在连接A中,FW延迟da基于通过交换机sw1测量的RTTa1和通过交换机sw2测量的RTTa2来计算。在连接B中,FW延迟db基于通过交换机sw1测量的RTTb1和通过交换机sw2测量的RTTb2来计算。
在连接C中,FW延迟dc基于通过交换机sw1测量的RTTc1和通过交换机sw2测量的RTTc2来计算。在连接D中,FW延迟dd基于通过交换机sw1测量的RTTd1和通过交换机sw2测量的RTTd2来计算。
以这种方式,只要可以识别出内联网侧主机与因特网侧主机之间的连接,就可以针对每个连接计算FW延迟。然而,如上在图4中所描述的,可能难以将在FW装置40的前一级处设置的内联网侧连接和在FW装置40的后一级处设置的因特网侧连接彼此关联。
因此,分组分析装置10不能基于连接的关联来执行延迟计算。在图7的曲线图g2中表示的示例中,分组分析装置10以升序对通过交换机sw1测量的RTT1进行排序,以及同样地以升序对通过交换机sw2测量的RTT2进行排序。然后,分组分析装置10以升序计算(RTT2-RTT1)以计算FW延迟。
曲线图g2表示基于RTT的排序计算的FW延迟。在曲线图g2中,纵轴表示RTT(ms),以及横轴表示排序号(按照RTT为小的顺序给出的号)。
通过交换机sw1测量的RTT1以RTTa1<RTTc1<RTTb1<RTTd1的顺序排序。通过交换机sw2测量的RTT2以RTTc2<RTTb2<RTTa2<RTTd2的顺序排序。
因此,在排序号1中,FW延迟d1基于通过交换机sw1测量的RTTa1和通过交换机sw2测量的RTTc2来计算。在排序号2中,FW延迟d2基于通过交换机sw1测量的RTTc1和通过交换机sw2测量的RTTb2来计算。
此外,在排序号3中,FW延迟d3基于通过交换机sw1测量的RTTb1和通过交换机sw2测量的RTTa2来计算。在排序号4中,FW延迟d4基于通过交换机sw1测量的RTTd1和通过交换机sw2测量的RTTd2来计算。
分组分析装置10检测如上所述计算的FW延迟d1至d4之中的FW延迟最大值,并且将检测到的FW延迟最大值与阈值进行比较。然后,当FW延迟最大值的出现频率等于或大于预定阈值时,分组分析装置10确定FW装置40处于过载状态。
图8是示出FW延迟计算的示例的视图。图8表示平均延迟计算的示例。在图7中,RTT1和RTT2分别以升序排序,并且以升序计算(RTT2-RTT1),从而计算FW延迟。
同时,在图8中,当RTT1和RTT2的所有变化都小时,获得RTT1的平均值AVG(RTT1)和RTT2的平均值AVG(RTT2),并且计算AVG(RTT2)-AVG(RTT1),从而获得FW延迟。另外,“小变化”对应于特定变化状态的变化。
曲线图g3表示基于RTT的平均值计算的FW延迟。在曲线图g3中,纵轴表示RTT(ms),以及横轴表示连接标识符。在连接A中,通过交换机sw1测量RTTa1,以及通过交换机sw2测量RTTa2。在连接B中,通过交换机sw1测量RTTb1,以及通过交换机sw2测量RTTb2。
在连接C中,通过交换机sw1测量RTTc1,以及通过交换机sw2测量RTTc2。在连接D中,通过交换机sw1测量RTTd1,以及通过交换机sw2测量RTTd2。
当RTTa1、RTTb1、RTTc1和RTTd1的第一变化状态和RTTa2、RTTb2、RTTc2和RTTd2的第二变化状态都小时,即,第一变化状态和第二变化状态处于特定变化状态时,分组分析装置10执行平均延迟计算。
在这个示例中,分组分析装置10计算在交换机sw1处测量的RTT1的平均值AVG(RTT1),即,(RTTa1+RTTb1+RTTc1+RTTd1)/4。此外,分组分析装置10计算由交换机sw2测量的RTT2的平均值AVG(RTT2),即,(RTTa2+RTTb2+RTTc2+RTTd2)/4。
然后,分组分析装置10通过获得AVG(RTT2)-AVG(RTT1)来计算FW延迟,并且将预定时间段内的FW延迟之中的FW延迟最大值与预定阈值进行比较。然后,当FW延迟最大值的出现频率或比率等于或大于预定阈值时,分组分析装置10确定FW装置40处于过载状态。
如上所描述的,当RTT1和RTT2两者的变化程度小时(当RTT1和RTT2处于特定变化状态时),分组分析装置10根据RTT1的平均值和RTT2的平均值计算FW延迟。作为结果,可以省略图7中所示的排序过程,使得可以减少处理负荷。
[仿真结果]
接下来,将在RTT的变化相对小的情况下和在RTT的变化相对大的情况下对在利用实际数据执行计算时的仿真结果进行描述。
图9是示出在变化小的情况下FW延迟计算的仿真结果的视图。表Ta1包括作为项目的时间、样本数、FW延迟最大值(正确答案值)、FW延迟最大值(排序延迟计算)以及FW延迟最大值(平均延迟计算)。
例如,在时间16:41处对7个样本执行仿真。此时,FW延迟最大值的正确答案值为134。此外,在通过利用7个样本进行排序延迟计算获得的FW延迟之中的FW延迟最大值是134。此外,在通过利用7个样本进行平均延迟计算获得的FW延迟之中的FW延迟最大值是114.7143。
通过将表Ta1制成曲线图获得曲线图g11。在曲线图11中,纵轴表示FW延迟最大值(μs),以及横轴表示时间。线k1表示FW延迟最大值的正确答案值,线k2表示FW延迟最大值(排序延迟计算),以及线k3表示FW延迟最大值(平均延迟计算)。
如曲线图g11中所表示的,可以理解,当RTT1和RTT2两者的变化相对小时,即使基于平均延迟计算获得的FW延迟最大值也具有与正确答案值相对小的偏差。因此,当RTT1和RTT2两者的变化相对小时,与排序延迟计算相比,分组分析装置10使用能够减少处理负荷的平均延迟计算来计算FW延迟。
图10是示出在变化大的情况下FW延迟计算的仿真结果的视图。表Ta2包括作为项目的时间、样本数、FW延迟最大值(正确答案值)、FW延迟最大值(排序延迟计算)以及FW延迟最大值(平均延迟计算)。
通过将表Ta2制成曲线图获得曲线图g12。在曲线图g12中,纵轴表示FW延迟最大值(μs),以及横轴表示时间。线k1表示FW延迟最大值的正确答案值,线k2表示FW延迟最大值(排序延迟计算),以及线k3表示FW延迟最大值(平均延迟计算)。
如曲线图g12中所表示的,可以理解,当RTT1和RTT2两者的变化不是相对小时,基于平均延迟计算获得的FW延迟最大值具有与正确答案值相对大的偏差,而基于排序延迟计算获得的FW延迟最大值具有与正确答案值小的偏差。因此,当RTT1和RTT2两者的变化不是相对小时,分组分析装置10基于通过排序延迟计算获得的FW延迟来检测FW延迟最大值。
[变化确定]
接下来,将参照图11至图14描述确定RTT的变化的处理。图11是示出变化确定处理的示例的视图。在曲线图g21中,纵轴表示RTT,以及横轴表示时间。曲线图g21表示基于10:01到10:10过去的10分钟内被测量10次的RTT1的最小值和RTT2的最大值的转变进行的变化确定。
RTTa1min被测量作为在时间10:01处通过交换机sw1测量的多个RTT1之中的最小值。类似地,RTTb1min到RTTj1min分别被测量作为在时间10:02至10:10处通过交换机sw1测量的多个RTT1之中的最小值。
此外,RTTa1max被测量作为在时间10:01处通过交换机sw1测量的多个RTT1之中的最大值。类似地,RTTb1max到RTTj1max分别被测量作为在时间10:02到10:10处通过交换机sw1测量的多个RTT1之中的最大值。
在图11中,RTTa1min到RTTj1min之中的最小值为RTTe1min,RTTa1max到RTTj1max之中的最大值为RTTc1max,以及RTTe1min与RTTc1max之间的范围限定为r1。
同时,假设在时间10:11处,RTTK1min被测量作为通过交换机sw1测量的多个RTT1之中的最小值,以及RTTk1max被测量作为通过交换机sw1测量的多个RTT1之中的最大值。
这里,当在时间10:11处当前测量的RTTk1min和RTTk1max存在于范围r1内时,确定RTTk1min和RTTk1max的变化相对小。在这种情况下,确定在时间10:11处测量的RTTk1min的变化和在时间10:11处测量的RTTk1max的变化相对小,并且因此,处于特定变化状态。
另外,当RTTk1min或RTTk1max存在于范围r1之外时,确定RTTk1min和RTTk1max的变化相对较大。在这种情况下,确定在时间10:11处测量的RTTk1min的变化和在时间10:11处测量的RTTk1max的变化不是相对小的,并且因此,不处于特定变化状态。
因此,当如上所述基于RTT1的最小值和最大值的转变确定RTT1处于特定变化状态时,在时间10:11处通过平均延迟计算来计算FW延迟,并且检测FW延迟最大值。另外,当确定RTT1不处于特定变化状态时,在时间10:11处通过排序延迟计算来计算FW延迟,并且检测FW延迟最大值。
以与RTT1相同的方式执行通过交换机sw2测量的多个RTT2的变化确定。
基于RTT1的最小值和最大值的转变确定特定变化状态,并且通过排序延迟计算控制计算FW延迟,使得不需要连接的关联,并且与执行连接的关联的情况相比,分组分析装置10能够以高准确度计算FW延迟。
图12是示出变化确定处理的示例的视图。在曲线图g22中,纵轴表示RTT的最小值与最大值之间的差,以及横轴表示时间。图12表示基于10:01到10:10过去10分钟测量10次的RTT1的最小值与最大值之间的差的转变进行的变化确定。
在时间10:01处,RTTdif1被测量作为通过交换机sw1测量的RTT1的最小值与最大值之间的差。类似地,RTTdif2至RTTdif10分别被测量作为在时间10:02至10:10处的RTT1的最小值与最大值之间的差。
在图12中,RTTdif1至RTTdif10之中的最大值是RTTdif3。另外,假设在时间10:11处,RTTdif11被测量作为RTT1的最小值与最大值之间的差。
这里,当在时间10:11处当前测量的RTTdif11小于RTTdif3时,确定RTTdif1至RTTdif11的变化相对小。在这种情况下,确定在时间10:11处测量并且用于计算RTTdif的RTT1的最小值和最大值两者的变化相对小并且处于特定变化状态。
另外,当当前测量的RTTdif11等于或大于RTTdif3时,确定RTTdif11的变化大。在这种情况下,确定在时间10:11处测量的RTT1的最小值和最大值两者的变化不是相对小的并且不处于特定变化状态。
因此,当如上所述基于RTT1的最小值与最大值之间的差的转变确定变化处于特定变化状态时,在时间10:11处通过平均延迟计算来计算FW延迟,并且检测FW延迟最大值。另外,当确定该变化不处于特定变化状态时,在时间10:11处通过排序延迟计算来计算FW延迟,并且检测FW延迟最大值。
以与RTT1相同的方式执行通过交换机sw2测量的多个RTT2的变化确定。
基于RTT1的最小值与最大值之间的差的转变来确定特定变化状态,并且通过排序延迟计算控制来计算FW延迟,使得不需要连接的关联,并且与执行连接的关联的情况相比,分组分析装置10能够以高准确度计算FW延迟。
图13是示出变化确定处理的示例的视图。在曲线图g23中,纵轴表示RTT的方差,以及横轴表示时间。图13表示当方差被计算作为在10:01到10:10过去10分钟内测量10次的RTT的统计信息时基于方差的转变进行的变化确定。方差s2通过下面的等式(1)计算。
Figure BDA0002579146100000151
另外,“n”是数据的总数目,xi是单个数值,以及xm是平均值。例如,假设在时间t0处通过交换机sw1获取两个RTT1a和RTT1b。在这种情况下,基于n=2、x1=RTT1a、x2=RTT1b和xm1=(RTT1a+RTT1b)/2根据等式(1)计算时间t0处的方差s2。RTTs21被计算作为在时间10:01处RTT1的方差。类似地,RTTs22至RTTs210被计算作为在时间10:02至10:10处RTT1的方差。
在图13中,RTTs21至RTTs210之中的最大值为RTTs23。另外,假设RTTs211被计算作为在时间10:11处的RTT1的方差。
这里,当在时间10:11处当前测量的RTTs211小于RTTs23时,确定RTTs211的变化相对小。在这种情况下,RTT1的变化相对小并且处于特定差状态。
另外,当在时间10:11处当前测量的RTTs211等于或大于RTTs23时,确定RTTs211的变化相对大。在这种情况下,确定RTT1的所有变化不是相对小并且不处于特定差状态。
因此,当如上所述基于RTT1的方差的转变确定该变化处于特定变化状态时,在时间10:11处通过平均延迟计算来计算FW延迟,并且检测FW延迟最大值。另外,当确定该变化不处于特定变化状态时,在时间10:11处通过排序延迟计算来计算FW延迟,并且检测FW延迟最大值。
以与RTT1相同的方式执行通过交换机sw2测量的多个RTT2的变化确定。
基于RTT1的方差的转变来确定特定变化状态,并且通过排序延迟计算控制来计算FW延迟,使得不需要连接的关联,并且与执行连接的关联的情况相比,分组分析装置10能够以高准确度计算FW延迟。
图14是示出变化确定处理的示例的视图。在曲线图g24中,纵轴表示RTT的标准偏差,以及横轴表示时间。图14表示当标准偏差被计算作为在10:01到10:10过去10分钟内测量10次的RTT的统计信息时基于标准偏差的转变进行的变化确定。标准偏差“s”根据下面的等式(2)计算。另外,s2是等式(1)中表示的方差。
Figure BDA0002579146100000161
RTTs1被计算作为在时间10:01处RTT1的标准偏差。类似地,RTTs2至RTTs10被计算作为在时间10:02至10:10处RTT1的标准偏差。
在图14中,RTTs1至RTTs10之中的最大值是RTTs3。另外,假设RTTs11被计算作为在时间10:11处RTT1的标准偏差。
这里,当在时间10:11处当前测量的RTTs11小于RTTs3时,确定RTTs11的变化小。在这种情况下,确定在时间10:11处测量的RTT1的变化小并且处于特定变化状态。
另外,当在时间10:11处当前测量的RTTs11等于或大于RTTs3时,确定RTTs11的变化相对大。在这种情况下,确定在时间10:11处测量的RTT1的所有变化不是相对小并且不处于特定变化状态。
因此,当如上所述基于RTT1标准偏差的转变确定变化处于特定变化状态时,在时间10:11处通过平均延迟计算来计算FW延迟,并且检测FW延迟最大值。另外,当确定该变化不处于特定变化状态时,在时间10:11处通过排序延迟计算来计算FW延迟,并且检测FW延迟最大值。
以与RTT1相同的方式执行通过交换机sw2测量的多个RTT2的变化确定。
基于RTT1的标准偏差的转变来确定特定变化状态,并且通过排序延迟计算控制来计算FW延迟,使得不需要连接的关联,并且与执行连接的关联的情况相比,分组分析装置10能够以高准确度计算FW延迟。
此外,通过执行如以上图11至图14所示的变化确定过程,可以以高准确度确定RTT1和RTT2的变化程度。
[流程图]
图15是示出分组分析装置的操作的流程图。
(操作S11)控制器11确定RTT1和RTT2的变化是否相对小并且处于特定变化状态。当确定RTT1和RTT2两者的变化相对小并且处于特定变化状态时,处理进行至操作S13。当确定RTT1或RTT2的变化不是相对小并且不处于特定变化状态时,处理进行至操作S12。
(操作S12)控制器11使用分类延迟计算来计算FW延迟。
(操作S13)控制器11使用平均延迟计算来计算FW延迟。
(操作S14)控制器11记录FW延迟。
(操作S15)在确定FW装置40的过载的时间段中,控制器11检测所记录的FW延迟之中的FW延迟最大值,并且确定FW延迟最大值的出现频率是否等于或大于阈值。当确定出现频率等于或大于阈值时,处理进行至操作S16。当确定出现频率小于阈值时,处理返回至操作S11。
(操作S16)控制器11检测到FW装置40处于过载状态。
图16是示出变化确定的操作的流程图。图16表示如上面在图11中所描述的基于RTT1的最大值和最小值的转变进行图15中所示的操作S1中的变化确定处理的流程。
(操作S21)控制器11检测作为在特定测量时间处获取的多个RTT1之中的最大RTT1的RTT1max,并且检测在多个过去测量时间(例如,过去10次)处的RTT1max的最大值max(RTT1max)。控制器11检测作为在特定测量时间处获取的多个RTT1之中的最小RTT1的RTT1min,并且检测在多个过去测量时间(例如,过去10次)处的RTT1min的最小值min(RTT1min)。
(操作S22)控制器11检测作为在特定测量时间处获取的多个RTT2之中的最大RTT2的RTT2max,并且检测在多个过去测量时间(例如,过去10次)处的RTT2max之中的最大值max(RTT2max)。控制器11检测作为在特定测量时间处获取的多个RTT2之中的最小RTT2的RTT2min,并且检测在多个过去测量时间(例如,过去10次)处的RTT2min的最小值min(RTT2min)。
(操作S23)控制器11检测在当前测量时间处获取的RTT1之中的最大值,并且确定RTT1的最大值是否小于max(RTT1max)。当确定最大值小于max(RTT1max)时,处理进行至操作S24。当确定最大值不小于max(RTT1max)时,处理进行至操作S25b。
(操作S24)控制器11检测在当前测量时间处获取的RTT1之中的最小值,并且确定RTT1的最小值是否大于min(RTT1min)。当确定最小值大于min(RTT1min)时,处理进行至操作S25a。当确定最小值不大于min(RTT1min)时,处理进行至操作S25b。
(操作S25a)控制器11确定RTT1的变化相对小。处理进行至操作S26。
(操作S25b)控制器11确定RTT1的变化相对大。处理进行至操作S29b。
(操作S26)控制器11检测在当前测量时间处获取的RTT2之中的最大值,并且确定RTT2的最大值小于max(RTT2max)。当确定最大值小于max(RTT2max)时,处理进行至操作S27。当确定最大值不小于max(RTT2max)时,处理进行至操作S28b。
(操作S27)控制器11检测在当前测量时间处获取的RTT2之中的最小值,并且确定RTT2的最小值是否大于min(RTT2min)。当确定最小值大于min(RTT2min)时,处理进行至操作S28a。当确定最小值不大于min(RTT2min)时,处理进行至操作S28b。
(操作S28a)控制器11确定RTT2的变化相对小。处理进行至操作S29a。
(操作S28b)控制器11确定RTT2的变化相对大。处理进行至操作S29b。
(操作S29a)控制器11确定RTT1和RTT2两者的变化相对小并且处于特定变化状态(然后,处理进行至图15的操作S13)。
(操作S29b)控制器11确定RTT1或RTT2的变化不是相对小并且不处于特定变化状态(然后,处理进行至图15的操作S12)。
图17是示出变化确定的操作的流程图。图17表示如上面在图12中所描述的基于RTT1的最小值与最大值之间的差的转变进行图15中所示的操作S1中的变化确定处理的流程。
(操作S31)控制器11检测作为在特定测量时间处获取的多个RTT1之中的最小RTT1的RTT1min以及作为在特定测量时间处获取的多个RTT1之中的最大RTT1的RTT1max,并且计算作为RTT1min与RTT1max之间的差的RTT1difp。
(操作S32)控制器11检测作为在多个过去测量时间处计算的RTT1difp之中的最大值的max(RTT1difp)。
(操作S32a)控制器11检测作为在特定测量时间处获取的多个RTT2中的最小RTT2的RTT2min,以及作为在特定测量时间处获取的多个RTT2中的最大RTT2的RTT2max,并且计算作为RTT2min与RTT2max之间的差的RTT2difp。
(操作S32b)控制器11检测作为在多个过去测量时间处计算的RTT2difp之中的最大值的max(RTT2difp)。
(操作S33)控制器11通过计算在当前测量时间处获取的RTT1之中的最小值与最大值之间的差来获得RTT1difc,以及通过计算在当前测量时间处获取的RTT2之中的最小值与最大值之间的差来获得RTT2difc。然后,控制器11确定RTT1difc是否小于max(RTT1difp),以及确定RTT2difc是否小于max(RTT2difp)。
当确定RTT1difc小于max(RTT1difp)并且RTT2difc小于max(RTT2difp)时,处理进行至操作S34。同时,例如,当确定RTT1difc等于或大于max(RTT1difp)时,处理进行至操作S35。
(操作S34)控制器11确定RTT1和RTT2两者的变化相对小并且处于特定变化状态(然后,处理进行至图15的操作S13)。
(操作S35)控制器11确定RTT1和RTT2两者的变化都不小并且不处于特定变化状态(然后,处理进行至图15的操作S12)。
图18是示出变化确定的操作的流程图。图18表示如上面在图13中所描述的基于RTT1和RTT2的方差的转变进行图15中所示的操作S1中的变化确定处理的流程。
(操作S41)控制器11计算作为在特定测量时间处获取的多个RTT1的方差的RTTs21p。
(操作S42)控制器11检测作为在多个过去测量时间处计算的RTTs21p之中的最大值的max(RTTs21p)。
(操作S42a)控制器11计算作为在特定测量时间处获取的多个RTT2的方差的RTTs22p。
(操作S42b)控制器11检测作为在多个过去测量时间处计算的RTTs22p之中的最大值的max(RTTs22p)。
(操作S43)控制器11计算作为在当前测量时间处获取的RTT1的方差的RTTs21c以及作为在当前测量时间处获取的RTT2的方差的RTTs22c。然后,控制器11确定RTTs21c是否小于max(RTTs21p),以及确定RTTs22c是否小于max(RTTs22p)。
当确定RTTs21c小于max(RTTs21p)并且RTTs22c小于max(RTTs22p)时,处理进行至操作S44。同时,例如,当确定RTTs22c等于或大于max(RTTs22p)时,处理进行至操作S45。
(操作S44)控制器11确定RTT1和RTT2两者的变化相对小并且处于特定变化状态(然后,处理进行至图15的操作S13)。
(操作S45)控制器11确定RTT1和RTT2的变化不小并且不处于特定变化状态(然后,处理进行至图15的操作S12)。
图19是示出变化确定的操作的流程图。图19表示如上面在图14中所描述的基于RTT1和RTT2的标准偏差的转变进行图15中所示的操作S1中的变化确定处理的流程。
(操作S51)控制器11计算作为在特定测量时间处获取的多个RTT1的标准偏差的RTTs1p。
(操作S52)控制器11检测作为在多个过去测量时间处计算的RTTs1p之中的最大值的max(RTTs1p)。
(操作S52a)控制器11计算作为在特定测量时间处获取的多个RTT2的标准偏差的RTTs2p。
(操作S52b)控制器11检测作为在多个过去测量时间处计算的RTTs2p中的最大值的max(RTTs2p)。
(操作S53)控制器11计算作为在当前测量时间获取处的RTT1的标准偏差的RTTs1c以及作为在当前测量时间处获取的RTT2的标准偏差的RTTs2c。然后,控制器11确定RTTs1c是否小于max(RTTs1p),以及确定RTTs2c是否小于max(RTTs2p)。
当确定RTTs1c小于max(RTTs1p)并且RTTs2c小于max(RTTs2p)时,处理进行至操作S54。同时,例如,当确定RTTs2c等于或大于max(RTTs2p)时,处理进行至操作S55。
(操作S54)控制器11确定RTT1和RTT2两者的变化相对小并且处于特定变化状态(然后,处理进行至图15的操作S13)。
(操作S55)控制器11确定RTT1和RTT2两者的变化不是相对小并且不处于特定变化状态(然后,处理进行至图15的操作S12)。
[FW延迟计算时间段]
图20是示出FW延迟计算时间段的示例的视图。
(时间10:00)控制器11将在其期间计算FW延迟的从09:50到09:59的时间段设置作为用于FW延迟计算的过去10分钟的时间段。此外,控制器11基于在时间10:00处获取的RTT1和RTT2计算当前的FW延迟。
(时间10:01)控制器11将在其期间计算FW延迟的从09:51到10:00的时间段设置作为用于FW延迟计算的过去10分钟的时间段。此外,控制器11基于在时间10:01处获取的RTT1和RTT2计算当前的FW延迟。
(时间10:02)控制器11将在其期间计算FW延迟的从09:52到10:01的时间段设置作为用于FW延迟计算的过去10分钟的时间段。此外,控制器11基于在时间10:02处获取的RTT1和RTT2计算当前的FW延迟。
[过载确定时间段]
图21是示出过载确定时间段的示例的视图。
(时间10:00)控制器11将在其期间执行过载确定的从09:50到09:59的时间段设置作为用于过载确定的过去10分钟的时间段。此外,控制器11基于在时间10:00处获取的RTT1和RTT2执行当前过载确定。
(时间10:01)控制器11将在其期间执行过载确定的从09:51到10:00的时间段设置作为用于过载确定的过去10分钟的时间段。此外,控制器11基于在时间10:01处获取的RTT1和RTT2执行当前过载确定。
(时间10:02)控制器11将在其期间执行过载确定的从9:52到10:01的时间段设置作为用于过载确定的过去10分钟的时间段。此外,控制器11基于在时间10:02处获取的RTT1和RTT2执行当前过载确定。
如上所描述的,第二实施方式的分组分析装置10确定RTT1和RTT2的变化状态是否处于特定变化状态,并且当RTT1和RTT2的变化状态处于特定变化状态时,获得RTT1的平均值与RTT2的平均值之间的差以计算FW延迟。
另外,当RTT1和RTT2的变化状态不处于特定变化状态时,分组分析装置10以升序对RTT1进行排序,并且以升序对RTT2进行排序。然后,分组分析装置10以升序获得RTT1与RTT2之间的差以计算FW延迟。然后,分组分析装置10检测所计算的FW延迟之中的FW延迟最大值,并且将FW延迟最大值与阈值进行比较。利用该控制,能够以高准确度相对早地检测到过载状态。
上面描述的本公开内容的分组分析装置1和分组分析装置10的处理功能可以通过计算机实现。在这种情况下,提供了描述分组分析装置1和分组分析装置10的处理功能的内容的程序。当计算机执行程序时,在计算机上实现该处理功能。
描述处理内容的程序可以记录在计算机可读记录介质中。计算机可读记录介质的示例包括磁存储装置、光盘、磁光记录介质、半导体存储器等。磁存储装置的示例包括硬盘装置(HDD)、软盘(FD)、磁带等。光盘的示例包括CD-ROM/RW等。磁光记录介质的示例包括MO(磁光盘)等。
在程序被分发的情况下,例如,在市场上可以获得其中记录有程序的便携式记录介质例如CD-ROM。可替选地,程序可以存储在服务器计算机的存储装置中,并且可以经由网络从服务器计算机传送至另一计算机。
执行程序的计算机将例如记录在便携式记录介质中的程序或从服务器计算机传送的程序存储在其自身的存储装置中。然后,计算机从自身的存储装置读取程序,并且根据程序执行处理。另外,计算机可以直接从便携式记录介质读取程序,并且根据程序执行处理。
另外,每当程序经由网络从耦接至计算机的服务器计算机传送时,计算机可以根据接收到的程序执行处理。另外,上述处理功能的至少一部分可以通过电子电路例如DSP、ASIC、PLD等实现。
尽管已经描述了实施方式,但是可以用具有与实施方式中描述的每个单元的配置相同的功能的另一配置来替换该单元的配置。另外,可以添加任意其他部件或步骤。另外,实施方式中描述的任何两个或更多个部件(特征)可以彼此组合。

Claims (8)

1.一种非暂态计算机可读记录介质,其中存储有使计算机执行处理的分组分析程序,所述处理包括:
获取由分组在第一通信装置与中继装置之间的往返行程所产生的多个第一延迟时间以及由所述分组在第二通信装置与所述中继装置之间的往返行程所产生的多个第二延迟时间,其中,所述中继装置中继所述第一通信装置与所述第二通信装置之间的分组通信;
基于延迟时间的长度来分别对所述多个第一延迟时间和所述多个第二延迟时间进行排序;
当在预定时间段内获取的所述多个第一延迟时间的第一变化状态和在所述预定时间段内获取的所述多个第二延迟时间的第二变化状态不处于变化程度小的特定变化状态时,基于第一延迟计算来计算所述中继装置的装置延迟时间,其中,所述第一延迟计算计算所述排序之后的同一等级中的所述多个第一延迟时间中的每一个与所述多个第二延迟时间中的每一个之间的差;以及
当所述第一变化状态和所述第二变化状态处于所述特定变化状态时,基于第二延迟计算来计算所述装置延迟时间,其中,所述第二延迟计算计算所述多个第一延迟时间的第一平均值与所述多个第二延迟时间的第二平均值之间的差。
2.根据权利要求1所述的非暂态计算机可读记录介质,所述处理还包括:
检测在预定时间段内计算的装置延迟时间之中的装置延迟最大值;以及
当所述装置延迟最大值的出现频率或比率等于或大于预定阈值时检测到所述中继装置的过载状态。
3.根据权利要求1所述的非暂态计算机可读记录介质,其中,所述处理:
从在第一预定时间段内获取的所述多个第一延迟时间中检测多个第一最小值,以获取作为所述多个第一最小值之中的最小值的第二最小值,
从在所述第一预定时间段内获取的所述多个第二延迟时间中检测多个第一最大值,以获取作为所述多个第一最大值之中的最大值的第二最大值,以及
当在第二预定时间段内获取的所述多个第一延迟时间之中的第三最小值和在所述第二预定时间段内获取的所述多个第二延迟时间之中的第三最大值两者都存在于从所述第二最小值到所述第二最大值的范围内时,检测到所述第一变化状态和所述第二变化状态处于所述特定变化状态。
4.根据权利要求1所述的非暂态计算机可读记录介质,其中,所述处理:
计算多个第一差值,所述多个第一差值分别是在第一预定时间段内获取的所述多个第一延迟时间之中的最小值与在所述第一预定时间段内获取的所述多个第二延迟时间之中的最大值之间的差值,
检测所述多个第一差值之中的最大差值,
计算第二差值,所述第二差值是在第二预定时间段内获取的所述多个第一延迟时间之中的最小值与在所述第二预定时间段内获取的所述多个第二延迟时间之中的最大值之间的差值,以及
当所述第二差值小于所述最大差值时,确定所述第一变化状态和所述第二变化状态在从所述第一预定时间段到所述第二预定时间段的预定时间段内处于所述特定变化状态。
5.根据权利要求1所述的非暂态计算机可读记录介质,其中,所述处理:
根据在第一预定时间段内获取的所述多个第一延迟时间和在所述第一预定时间段内获取的所述多个第二延迟时间来计算第一统计信息,
检测所述第一统计信息中的最大值;
根据在第二预定时间段内获取的所述多个第一延迟时间和在所述第二预定时间段内获取的所述多个第二延迟时间来计算第二统计信息;以及
当所述第二统计信息小于所述最大值时,确定所述第一变化状态和所述第二变化状态在从所述第一预定时间段到所述第二预定时间段的预定时间段内处于所述特定变化状态。
6.根据权利要求5所述的非暂态计算机可读记录介质,其中,所述处理
计算所述多个第一延迟时间和所述多个第二延迟时间的方差或者所述多个第一延迟时间和所述多个第二延迟时间的标准偏差作为所述第一统计信息和所述第二统计信息。
7.一种分组分析方法,包括:
获取由分组在第一通信装置与中继装置之间的往返行程所产生的多个第一延迟时间以及由所述分组在第二通信装置与所述中继装置之间的往返行程所产生的多个第二延迟时间,其中,所述中继装置中继所述第一通信装置与所述第二通信装置之间的分组通信;
基于延迟时间的长度来分别对所述多个第一延迟时间和所述多个第二延迟时间进行排序;
当在预定时间段内获取的所述多个第一延迟时间的第一变化状态和在所述预定时间段内获取的所述多个第二延迟时间的第二变化状态不处于变化程度小的特定变化状态时,通过处理器基于第一延迟计算来计算所述中继装置的装置延迟时间,其中,所述第一延迟计算计算所述排序之后的同一等级中的所述多个第一延迟时间中的每一个与所述多个第二延迟时间中的每一个之间的差;以及
当所述第一变化状态和所述第二变化状态处于所述特定变化状态时,通过所述处理器基于第二延迟计算来计算所述装置延迟时间,其中,所述第二延迟计算计算所述多个第一延迟时间的第一平均值与所述多个第二延迟时间的第二平均值之间的差。
8.一种分组分析装置,包括:
存储器;
处理器,其耦接至所述存储器并且被配置成:
获取由分组在第一通信装置与中继装置之间的往返行程所产生的多个第一延迟时间以及由所述分组在第二通信装置与所述中继装置之间的往返行程所产生的多个第二延迟时间,其中,所述中继装置中继所述第一通信装置与所述第二通信装置之间的分组通信,
基于延迟时间的长度分别对所述多个第一延迟时间和所述多个第二延迟时间进行排序,
当在预定时间段内获取的所述多个第一延迟时间的第一变化状态和在所述预定时间段内获取的所述多个第二延迟时间的第二变化状态不处于变化程度小的特定变化状态时,基于第一延迟计算来计算所述中继装置的装置延迟时间,其中,所述第一延迟计算计算所述排序之后的同一等级中的所述多个第一延迟时间中的每一个与所述多个第二延迟时间中的每一个之间的差,以及
当所述第一变化状态和所述第二变化状态处于所述特定变化状态时,基于第二延迟计算来计算所述装置延迟时间,其中,所述第二延迟计算计算所述多个第一延迟时间的第一平均值与所述多个第二延迟时间的第二平均值之间的差。
CN202010662541.6A 2019-07-16 2020-07-10 计算机可读记录介质、分组分析装置以及分组分析方法 Active CN112242992B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019131130A JP7323782B2 (ja) 2019-07-16 2019-07-16 パケット解析プログラム、パケット解析方法およびパケット解析装置
JP2019-131130 2019-07-16

Publications (2)

Publication Number Publication Date
CN112242992A CN112242992A (zh) 2021-01-19
CN112242992B true CN112242992B (zh) 2023-06-06

Family

ID=71143671

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010662541.6A Active CN112242992B (zh) 2019-07-16 2020-07-10 计算机可读记录介质、分组分析装置以及分组分析方法

Country Status (4)

Country Link
US (1) US11595284B2 (zh)
EP (1) EP3767891B1 (zh)
JP (1) JP7323782B2 (zh)
CN (1) CN112242992B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1729660A (zh) * 2002-10-17 2006-02-01 松下电器产业株式会社 分组发送接收装置
US7337206B1 (en) * 2002-07-15 2008-02-26 Network Physics Method for detecting congestion in internet traffic
CN102197611A (zh) * 2008-10-24 2011-09-21 艾利森电话股份有限公司 用于分组网络同步的方法和设备
CN103650413A (zh) * 2011-07-15 2014-03-19 索尼公司 通信设备、通信方法、通信系统和计算机程序
CN104813606A (zh) * 2012-11-28 2015-07-29 三菱电机株式会社 中继装置、通信系统以及中继方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7551560B1 (en) * 2001-04-30 2009-06-23 Opnet Technologies, Inc. Method of reducing packet loss by resonance identification in communication networks
JP2005184580A (ja) 2003-12-22 2005-07-07 Sony Corp 通信システム、情報処理装置および方法、並びに、プログラムおよび記録媒体
JP2006262118A (ja) * 2005-03-17 2006-09-28 Oki Electric Ind Co Ltd 中継装置、中継方法、および中継プログラム
US8014381B2 (en) * 2005-06-02 2011-09-06 Sharp Kabushiki Kaisha Communication system and communication terminal
JP2008283621A (ja) 2007-05-14 2008-11-20 Oki Electric Ind Co Ltd ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム
JP2012039565A (ja) 2010-08-11 2012-02-23 Oki Networks Co Ltd 監視システム、監視装置、監視プログラム及び端末
JP5538652B2 (ja) 2010-12-20 2014-07-02 三菱電機株式会社 ネットワークの状態監視方式
JP5537692B1 (ja) 2013-03-15 2014-07-02 エヌ・ティ・ティ・コミュニケーションズ株式会社 品質劣化原因推定装置、品質劣化原因推定方法、品質劣化原因推定プログラム
JP6236933B2 (ja) * 2013-07-02 2017-11-29 富士通株式会社 中継装置
US9893874B2 (en) * 2013-07-18 2018-02-13 International Business Machines Corporation Fabric multipathing based on dynamic latency-based calculations
JP2015023463A (ja) 2013-07-19 2015-02-02 富士通株式会社 パケット解析装置、パケット解析方法、及びパケット解析プログラム
JP6220625B2 (ja) 2013-10-10 2017-10-25 株式会社野村総合研究所 遅延監視システムおよび遅延監視方法
US9444755B2 (en) * 2014-11-04 2016-09-13 Anritsu Networks Co., Ltd. Packet processing method and packet processing device
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
JP6254620B2 (ja) 2016-02-02 2017-12-27 エヌ・ティ・ティ・コミュニケーションズ株式会社 端末、通信方法、及びプログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7337206B1 (en) * 2002-07-15 2008-02-26 Network Physics Method for detecting congestion in internet traffic
CN1729660A (zh) * 2002-10-17 2006-02-01 松下电器产业株式会社 分组发送接收装置
CN102197611A (zh) * 2008-10-24 2011-09-21 艾利森电话股份有限公司 用于分组网络同步的方法和设备
CN103650413A (zh) * 2011-07-15 2014-03-19 索尼公司 通信设备、通信方法、通信系统和计算机程序
CN104813606A (zh) * 2012-11-28 2015-07-29 三菱电机株式会社 中继装置、通信系统以及中继方法

Also Published As

Publication number Publication date
US20210021502A1 (en) 2021-01-21
US11595284B2 (en) 2023-02-28
JP2021016133A (ja) 2021-02-12
JP7323782B2 (ja) 2023-08-09
EP3767891B1 (en) 2023-09-06
EP3767891A1 (en) 2021-01-20
CN112242992A (zh) 2021-01-19

Similar Documents

Publication Publication Date Title
US10536343B2 (en) Traffic management apparatus and traffic management method
CN108270620B (zh) 基于画像技术的网络异常检测方法、装置、设备及介质
US20190058646A1 (en) Fast detection and identification of lost packets
US20230018908A1 (en) Feedback-based control system for software defined networks
US9772896B2 (en) Identifying intervals of unusual activity in information technology systems
JP2020123951A (ja) 光モジュールの故障を予測するための方法、装置、およびデバイス
US11870693B2 (en) Kernel space based capture using intelligent packet selection paradigm and event output storage determination methodology
KR20200110132A (ko) 트래픽 탐지 방법 및 장치
JP2018147172A (ja) 異常検知装置、異常検知方法及びプログラム
WO2022033093A1 (zh) 网络数据分析方法、网络数据分析功能网元和通信系统
JP2018148350A (ja) 閾値決定装置、閾値決定方法及びプログラム
JP2007013343A (ja) ワーム検出パラメータ設定プログラム及びワーム検出パラメータ設定装置
JP2007318471A (ja) 通信システム異常検出装置
US10296746B2 (en) Information processing device, filtering system, and filtering method
JP6179354B2 (ja) 解析プログラム、解析方法、および解析装置
US9935886B2 (en) Packet extracting apparatus and method
CN112242992B (zh) 计算机可读记录介质、分组分析装置以及分组分析方法
CN101567767B (zh) 一种窗口采样控制方法及装置
JP2007189644A (ja) 管理装置及び管理方法及びプログラム
JP7184197B2 (ja) 異常検出装置、異常検出方法および異常検出プログラム
CN115941358A (zh) 漏洞挖掘方法、装置、终端设备及存储介质
US11991063B2 (en) Anomaly detection device, anomaly detection method, and program
US20190089548A1 (en) Packet transfer device and packet transfer system
JP2006033715A (ja) ネットワークe2e性能評価システムと方法およびプログラム
WO2024171457A1 (ja) 情報処理装置、情報処理方法および情報処理プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant