[go: up one dir, main page]

JP7619485B2 - Traffic monitoring device, traffic monitoring method, and program - Google Patents

Traffic monitoring device, traffic monitoring method, and program Download PDF

Info

Publication number
JP7619485B2
JP7619485B2 JP2023567360A JP2023567360A JP7619485B2 JP 7619485 B2 JP7619485 B2 JP 7619485B2 JP 2023567360 A JP2023567360 A JP 2023567360A JP 2023567360 A JP2023567360 A JP 2023567360A JP 7619485 B2 JP7619485 B2 JP 7619485B2
Authority
JP
Japan
Prior art keywords
flow
packets
unit
traffic
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023567360A
Other languages
Japanese (ja)
Other versions
JPWO2023112173A1 (en
Inventor
悠介 関原
周平 吉田
寛之 鵜澤
晶子 大輝
奈美子 池田
彩希 八田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2023112173A1 publication Critical patent/JPWO2023112173A1/ja
Application granted granted Critical
Publication of JP7619485B2 publication Critical patent/JP7619485B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トラフィック監視装置、トラフィック監視方法、及びプログラムに関する。 The present invention relates to a traffic monitoring device, a traffic monitoring method, and a program.

通信ネットワークの通信状況、特に、通信ネットワークを流れる宛先及び又は送信元などが共通するパケットの集合であるフローのトラフィック異常を把握するため、通信ネットワークを流れる全パケットを取得して全フローのトラフィックを監視することが一般的に行われている(例えば、非特許文献1)。ここで、通信ネットワークの仮想化により複数の通信ネットワークが単一の物理構成上で構成されるようになったことなどを要因として、通信ネットワーク上には多量のフローが存在する。 In order to grasp the communication status of a communication network, particularly traffic abnormalities of flows that are collections of packets with a common destination and/or source flowing through a communication network, it is common to acquire all packets flowing through the communication network and monitor the traffic of all flows (for example, Non-Patent Document 1). Here, due to factors such as the virtualization of communication networks, which has led to multiple communication networks being configured on a single physical structure, a large number of flows exist on the communication network.

Michal Kekely, Jan Korenek, “Mapping of P4 Match Action Tables to FPGA,” 2017 27th International Conference on Field Programmable Logic and Applications (FPL)Michal Kekely, Jan Korenek, “Mapping of P4 Match Action Tables to FPGA,” 2017 27th International Conference on Field Programmable Logic and Applications (FPL)

通信ネットワーク上に多量のフローが存在する場合、全てのフローを監視するのは現実的ではなく、一部のフローのみを監視対象とした方がよい。 When there are a large number of flows on a communication network, it is not realistic to monitor all the flows, so it is better to monitor only a portion of the flows.

本発明は、監視対象のフローの取捨選択を適切に行うことを課題とする。 The objective of the present invention is to appropriately select flows to be monitored.

上記課題を解決するために、本発明に係るトラフィック監視装置は、通信ネットワークのトラフィックをフローごとに監視するトラフィック監視装置であって、前記通信ネットワークを流れる複数のパケットを順次受信する受信部と、前記受信部が順次受信した前記複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別部と、前記パケット識別部により前記監視対象のフローに属すると識別されたパケットについて集計を行う集計部と、前記集計部による集計の結果を出力する出力部と、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出部と、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリング部と、前記パケットサンプリング部によりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出部と、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御部と、を備える。In order to solve the above problems, the traffic monitoring device according to the present invention is a traffic monitoring device that monitors traffic in a communication network for each flow, and includes a receiving unit that sequentially receives a plurality of packets flowing through the communication network, a packet identification unit that sequentially identifies whether or not each of the plurality of packets sequentially received by the receiving unit belongs to a flow to be monitored, an aggregation unit that aggregates packets identified by the packet identification unit as belonging to the flow to be monitored, an output unit that outputs the results of the aggregation by the aggregation unit, and a flow monitoring unit that aggregates flows for which the traffic flow rate or its increase rate has become greater than a first criterion based on the plurality of packets sequentially received by the receiving unit. a packet sampling unit that samples a portion of the plurality of packets sequentially received by the receiving unit; a high-flow flow detection unit that estimates an average traffic flow rate before sampling of a flow to which each of the portion of packets belongs based on the portion of packets sampled by the packet sampling unit and detects a flow for which the estimated average traffic flow rate is higher than a second criterion as a high-flow flow; and a monitoring target control unit that adds the flow detected as the burst flow to the monitoring target and adds the flow detected as the high-flow flow to the monitoring target.

また、本発明に係るトラフィック監視方法は、通信ネットワークのトラフィックをフローごとに監視するトラフィック監視方法であって、受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、を備える。The traffic monitoring method according to the present invention is a traffic monitoring method for monitoring traffic in a communication network for each flow, and includes a packet identification step for sequentially identifying whether or not each of a plurality of packets flowing through the communication network, which are sequentially received by a receiving unit, belongs to a flow to be monitored; an aggregation step for tallying up packets identified by the packet identification step as belonging to the flow to be monitored; a burst flow detection step for detecting a flow whose traffic flow rate or its increase rate has become greater than a first criterion as a burst flow based on the plurality of packets sequentially received by the receiving unit; a packet sampling step for sampling a portion of the plurality of packets sequentially received by the receiving unit; a high-flow flow detection step for estimating an average traffic flow rate before sampling of the flow to which each of the portion of packets belongs based on the portion of packets sampled by the packet sampling step, and detecting a flow whose estimated average traffic flow rate is greater than a second criterion as a high-flow flow; and a monitoring target control step for adding the flow detected as the burst flow to the monitoring target and adding the flow detected as the high-flow flow to the monitoring target.

また、本発明に係るプログラムは、通信ネットワークのトラフィックをフローごとに監視するコンピュータに、受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、を実行させる。The program of the present invention also causes a computer that monitors traffic in a communication network for each flow to execute a packet identification step of sequentially identifying whether or not each of a plurality of packets flowing through the communication network that are sequentially received by a receiving unit belongs to a flow to be monitored; a counting step of counting packets identified by the packet identification step as belonging to the flow to be monitored; a burst flow detection step of detecting a flow whose traffic flow rate or its increase rate has become greater than a first criterion as a burst flow based on the plurality of packets sequentially received by the receiving unit; a packet sampling step of sampling a portion of the plurality of packets sequentially received by the receiving unit; a high-flow flow detection step of estimating an average traffic flow rate before sampling of the flow to which each of the portion of packets belongs based on the portion of packets sampled by the packet sampling step, and detecting a flow whose estimated average traffic flow rate is greater than a second criterion as a high-flow flow; and a monitoring target control step of adding the flow detected as the burst flow to the monitoring target and adding the flow detected as the high-flow flow to the monitoring target.

本発明によれば、監視対象のフローの取捨選択が適切に行われる。 According to the present invention, the flows to be monitored are appropriately selected.

図1は、本発明の一実施形態のトラフィック監視装置の構成図である。FIG. 1 is a diagram showing the configuration of a traffic monitoring device according to an embodiment of the present invention. 図2は、パケットのデータ構造の一例を示す図である。FIG. 2 is a diagram illustrating an example of a data structure of a packet. 図3は、ルールテーブルの構成例を示す図である。FIG. 3 is a diagram showing an example of the structure of the rule table. 図4は、マイクロバーストが発生したときのトラフィック流量の変化を示すグラフである。FIG. 4 is a graph showing a change in traffic flow rate when a microburst occurs. 図5は、高流量フローのトラフィック流量の変化を示すグラフである。FIG. 5 is a graph showing the change in traffic flow rate of a high-flow rate flow. 図6は、第1ルール制御処理のフローチャートである。FIG. 6 is a flowchart of the first rule control process. 図7は、第2ルール制御処理のフローチャートである。FIG. 7 is a flowchart of the second rule control process. 図8は、図1のトラフィック監視装置をコンピュータにより構成したときの構成図である。FIG. 8 is a diagram showing the configuration of the traffic monitoring device of FIG. 1 implemented by a computer.

以下、本発明の実施の形態について図面を参照して説明する。 Below, an embodiment of the present invention is explained with reference to the drawings.

本実施の形態に係るトラフィック監視装置10は、図1に示すように、受信部11と、パケット識別部12と、集計部13と、出力部14と、を備える。トラフィック監視装置10は、さらに、バーストフロー検出部15と、パケットサンプリング部16Aと、多流量フロー検出部16Bと、監視対象制御部17と、記憶部19と、を備える。このような構成のトラフィック監視装置10は、通信ネットワークNWのトラフィックをフローごとに監視するように構成されている。As shown in Fig. 1, the traffic monitoring device 10 according to the present embodiment includes a receiving unit 11, a packet identification unit 12, a counting unit 13, and an output unit 14. The traffic monitoring device 10 further includes a burst flow detection unit 15, a packet sampling unit 16A, a high-flow rate flow detection unit 16B, a monitoring target control unit 17, and a memory unit 19. The traffic monitoring device 10 thus configured is configured to monitor the traffic of the communication network NW for each flow.

上記各部11~17の少なくとも一部は、例えば、FPGA(Field-Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などに書き込まれた論理回路から構成される。各部11~17の少なくとも一部は、プログラムを実行するCPU(Central Processing Unit)などのプロセッサにより構成されてもよい。記憶部19は、フラッシュメモリ、SSD(Solid State Drive)などの適宜の不揮発性の記憶装置からなる。記憶部19は、FPGA(Field-Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などの少なくとも一部のメモリにより構成されてもよい。各部11~17は、処理中のデータなどを一時的に保持するメモリを含んで構成されてもよい。At least a part of each of the above units 11 to 17 is composed of a logic circuit written in, for example, an FPGA (Field-Programmable Gate Array) or an ASIC (Application Specific Integrated Circuit). At least a part of each of the units 11 to 17 may be composed of a processor such as a CPU (Central Processing Unit) that executes a program. The storage unit 19 is composed of an appropriate non-volatile storage device such as a flash memory or an SSD (Solid State Drive). The storage unit 19 may be composed of at least a part of a memory such as an FPGA (Field-Programmable Gate Array) or an ASIC (Application Specific Integrated Circuit). Each of the units 11 to 17 may be composed of a memory that temporarily holds data being processed, etc.

受信部11は、通信ネットワークNWで送受信されている複数のパケット(より具体的にはミラーリングパケット)を1つずつ順次受信する。パケットは、図2に示すように、データ(ペイロードともいう)と、データの前に配置されたヘッダと、で構成されている。ヘッダを構成する各データは、あるビット数ごとに意味づけられている。この意味づけられたビット区切りのデータを、ヘッダフィールド値といい、ヘッダフィールド値が一致するパケットの一群をフローという。従って、ヘッダフィールド値はフローを特定する情報でもある。なお、ヘッダフィールド値は、L3ヘッダの送信元及び宛先を示す各IP(Internet Protocol)アドレスなどを含んでもよい。フローは、例えば、宛先、送信元、及び、通信プロトコルのうちの少なくとも1つを示すヘッダフィールド値が共通するパケットの集合であればよい。The receiver 11 sequentially receives multiple packets (more specifically, mirroring packets) being transmitted and received in the communication network NW one by one. As shown in FIG. 2, a packet is composed of data (also called payload) and a header placed before the data. Each piece of data constituting the header is assigned a meaning for each number of bits. This bit-separated data with a meaning is called a header field value, and a group of packets with matching header field values is called a flow. Therefore, the header field value is also information that identifies a flow. The header field value may include each IP (Internet Protocol) address indicating the source and destination of the L3 header. A flow may be, for example, a collection of packets that have a common header field value indicating at least one of the destination, source, and communication protocol.

図1に戻り、受信部11が受信したパケットは、1つ1つ、当該受信部11から見て互いに並列に配置されているパケット識別部12、バーストフロー検出部15、パケットサンプリング部16Aのそれぞれに入力される。Returning to Figure 1, each packet received by the receiving unit 11 is input to each of the packet identification unit 12, burst flow detection unit 15, and packet sampling unit 16A, which are arranged in parallel with each other as viewed from the receiving unit 11.

パケット識別部12は、受信部11が順次受信した複数のパケットのそれぞれについて、監視対象のフローに属するか否かを識別する。監視対象のフローは、後述のように、バーストフロー又は多流量フローとして検出され、監視対象に追加されたフローである。The packet identification unit 12 identifies whether each of the multiple packets received sequentially by the receiving unit 11 belongs to a flow to be monitored. A flow to be monitored is a flow that has been detected as a burst flow or a high-volume flow, as described below, and has been added to the list of flows to be monitored.

例えば、パケット識別部12は、処理対象のパケットからヘッダフィールド値を抽出する。さらに、パケット識別部12は、記憶部19が記憶するルールテーブル19Aを参照する。ルールテーブル19Aには、監視対象のフローに属するパケットを指定するルールが登録されている。図3に示すように、ルールは、監視対象のフローごとに登録され、1つのルールは、そのフローのヘッダフィールド値と、当該ヘッダフィールド値に対応付けられたフローIDと、そのフローが監視対象となった監視原因(バーストフロー又は多流量フロー)と、を含む。フローIDは、ルールを識別するルールIDからなってもよい。For example, the packet identification unit 12 extracts a header field value from a packet to be processed. Furthermore, the packet identification unit 12 refers to a rule table 19A stored in the memory unit 19. Rules that specify packets that belong to a flow to be monitored are registered in the rule table 19A. As shown in FIG. 3, a rule is registered for each flow to be monitored, and one rule includes the header field value of the flow, a flow ID associated with the header field value, and a monitoring cause (burst flow or high-flow rate flow) for which the flow became a target for monitoring. The flow ID may consist of a rule ID that identifies the rule.

パケット識別部12は、ルールテーブル19Aから、前記で抽出したヘッダフィールド値を検索する。検索がヒットした場合、今回の処理対象のパケットが監視対象のフローに属していると識別される。この場合、パケット識別部12は、検索に使用したヘッダフィールド値に対応するフローID及び監視原因をルールテーブル19Aから取得する。パケット識別部12は、さらに、今回の処理対象のパケットのデータ量を計測する。ここでは、データ量として、バイト数がカウントされる。その後、パケット識別部12は、取得したフローID及び監視原因と、計測したデータ量とを集計部13に出力する。検索がヒットしなかった場合、今回の処理対象のパケットが属するフローは監視対象となっていない。この場合、パケット識別部12は、フローID、監視原因、及びデータ量を集計部13に出力しない。The packet identification unit 12 searches the rule table 19A for the header field value extracted above. If the search is a hit, the packet to be processed this time is identified as belonging to the flow to be monitored. In this case, the packet identification unit 12 obtains the flow ID and monitoring cause corresponding to the header field value used in the search from the rule table 19A. The packet identification unit 12 further measures the data amount of the packet to be processed this time. Here, the number of bytes is counted as the data amount. The packet identification unit 12 then outputs the obtained flow ID and monitoring cause, as well as the measured data amount, to the counting unit 13. If the search is not a hit, the flow to which the packet to be processed this time belongs is not being monitored. In this case, the packet identification unit 12 does not output the flow ID, monitoring cause, and data amount to the counting unit 13.

以上のようにして、パケット識別部12は、受信部11が順次受信した複数のパケットのそれぞれを、ルールテーブル19Aに登録されている、監視対象のフローに属するパケットを指定するルールと比較する。パケット識別部12は、前記複数のパケットのうち前記ルールと一致するパケットを監視対象のフローに属するパケットと識別する。In this way, the packet identification unit 12 compares each of the multiple packets received sequentially by the receiving unit 11 with the rules that specify packets that belong to the flow to be monitored and are registered in the rule table 19A. The packet identification unit 12 identifies the packets that match the rules as packets that belong to the flow to be monitored.

集計部13は、パケット識別部12により監視対象のフローに属すると識別されたパケットについて集計を行う。ここでは、集計部13は、パケット識別部12からのフローIDの受信回数を、フローIDごとつまりフローごとにカウントする。カウントされる受信回数は、受信部11が受信したパケットの数つまりパケット数ともいえる。集計部13は、データ量を、フローIDごとつまりフローごとに積算する。集計部13は、一定期間ごとに、監視対象のフローそれぞれについて、当該一定期間にカウント又は積算したパケット数及びデータ量と、フローID及び監視原因とを集計結果として出力部14に出力する。集計結果は、パケット数とバイト数とのいずれかであってもよい。集計結果は、監視対象制御部17にも出力される。The tallying unit 13 tallies packets identified by the packet identification unit 12 as belonging to a flow to be monitored. Here, the tallying unit 13 counts the number of times a flow ID has been received from the packet identification unit 12 for each flow ID, i.e., for each flow. The counted number of times of reception can also be said to be the number of packets received by the receiving unit 11, i.e., the number of packets. The tallying unit 13 accumulates the amount of data for each flow ID, i.e., for each flow. For each fixed period, the tallying unit 13 outputs to the output unit 14 the number of packets and the amount of data counted or accumulated during the fixed period, as well as the flow ID and the monitoring cause, as the tallying result. The tallying result may be either the number of packets or the number of bytes. The tallying result is also output to the monitoring target control unit 17.

出力部14は、集計部13からの集計結果を出力する。出力部14は、フローID(又はフローIDから特定されるフロー又はルールの名称など)と、フローごとの上記パケット数及び積算データ量と、のうちの少なくとも後者を集計結果として出力してもよい。出力部14は、例えば、トラフィック監視装置10が備える又はトラフィック監視装置10の外部の表示装置などに集計結果を表示する。出力部14は、例えば、集計結果を、トラフィック監視装置10の内部又は外部に設けられた処理部に出力し、当該処理部は、集計の結果に基づいて、フローごとにトラフィック異常の有無を判定してもよい。処理部は、トラフィック異常があると判定したフローを前記表示装置に表示する処理、及び又は、当該フローでの通信を遮断するための処理を実行してもよい。The output unit 14 outputs the counting result from the counting unit 13. The output unit 14 may output at least the latter of the flow ID (or the name of the flow or rule identified from the flow ID) and the number of packets and the accumulated data amount for each flow as the counting result. The output unit 14 displays the counting result, for example, on a display device provided in the traffic monitoring device 10 or external to the traffic monitoring device 10. The output unit 14 may output the counting result to a processing unit provided inside or outside the traffic monitoring device 10, and the processing unit may determine the presence or absence of a traffic abnormality for each flow based on the counting result. The processing unit may execute a process of displaying a flow determined to have a traffic abnormality on the display device, and/or a process of blocking communication in the flow.

バーストフロー検出部15は、受信部11が順次受信した複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出する。バーストフロー検出部15により検出されるバーストフローを図4に示す。バーストフローは、トラフィック量が急増する。バーストフローは、通信ネットワークNWの挙動に対して突発的に大きな影響を与える。 The burst flow detection unit 15 detects, based on multiple packets received sequentially by the receiving unit 11, a flow in which the traffic flow rate or its increase rate exceeds a first criterion as a burst flow. Figure 4 shows a burst flow detected by the burst flow detection unit 15. A burst flow is a sudden increase in traffic volume. A burst flow has a sudden large impact on the behavior of the communication network NW.

図1に戻り、バーストフロー検出部15は、例えば、フローごと(ヘッダフィールド値ごと)に、一定期間Pごとのパケット数及びパケットの合計データ量をトラフィック流量として監視する。バーストフロー検出部15は、直近の期間Pのパケット数又は合計データ量が所定の閾値を超えたかを判別する。前記パケット数又は合計データ量が所定の閾値を超えた場合、そのフローでのトラフィック流量が増加し始めていることになり(図4の期間Tなど)、そのフローがバーストフローとして検出される。監視対象のトラフィック流量は、パケット数及び合計データ量のうちのいずれか一方のみであってもよい。バーストフローの検出方法は、国際公開WO/2021/014552号公報に記載のバーストトラフィックの発生の検知の方法により行われてもよい。この公報のバーストトラフィックの検知が、バーストフローの検出に相当する。バーストフロー検出部15は、単位時間当たりのパケット数又は合計データ量をトラフィック流量としたときのトラフィック流量の時間変化を監視し、トラフィック流量の増加量が所定の閾値を超えたフローをバーストフローとして検出してもよい。バーストフロー検出部15は、検出したバーストフローが属するパケットのフィールド値を監視対象制御部17に供給する。Returning to FIG. 1, the burst flow detection unit 15 monitors, for example, the number of packets and the total data amount of packets for each fixed period P for each flow (for each header field value) as a traffic flow rate. The burst flow detection unit 15 determines whether the number of packets or the total data amount for the most recent period P exceeds a predetermined threshold. If the number of packets or the total data amount exceeds a predetermined threshold, the traffic flow rate in that flow begins to increase (such as period T in FIG. 4), and the flow is detected as a burst flow. The traffic flow rate to be monitored may be only one of the number of packets and the total data amount. The method for detecting a burst flow may be performed by the method for detecting the occurrence of burst traffic described in International Publication WO/2021/014552. The detection of burst traffic in this publication corresponds to the detection of a burst flow. The burst flow detection unit 15 may monitor the time change in the traffic flow rate when the number of packets or the total data amount per unit time is taken as the traffic flow rate, and detect a flow in which the increase in the traffic flow rate exceeds a predetermined threshold as a burst flow. The burst flow detection unit 15 supplies the monitoring target control unit 17 with the field values of the packets to which the detected burst flow belongs.

パケットサンプリング部16Aは、受信部11が順次受信した複数のパケットのうち一部のパケットをサンプリングする。これにより、受信部11が順次受信した全てのパケットから、一部のパケットが無作為に抽出される。パケットサンプリング部16Aは、サンプリングにより得た前記一部のパケットのみを後段の多流量フロー検出部16Bに順次供給する。The packet sampling unit 16A samples a portion of the packets received sequentially by the receiving unit 11. This allows a portion of packets to be randomly extracted from all packets received sequentially by the receiving unit 11. The packet sampling unit 16A sequentially supplies only the portion of packets obtained by sampling to the downstream high-flow rate flow detection unit 16B.

多流量フロー検出部16Bは、パケットサンプリング部16Aによりサンプリングされた一部のパケットに基づいて、当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定する。多流量フロー検出部16Bは、推定した平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する。第2基準は、フロー毎に異なってもよい。多流量フロー検出部16Bで検出される多流量フローを図5に示す。多流量フローは、トラフィック流量が長期間にわたって多くなっている。多流量フローは、通信ネットワークNWの挙動に対して長期的な影響を与える。Based on a portion of packets sampled by the packet sampling unit 16A, the high-flow flow detection unit 16B estimates the average traffic flow rate before sampling of the flow to which each of the portion of packets belongs. The high-flow flow detection unit 16B detects as a high-flow flow a flow whose estimated average traffic flow rate is greater than a second criterion. The second criterion may be different for each flow. Figure 5 shows high-flow flows detected by the high-flow flow detection unit 16B. A high-flow flow is one in which the traffic flow rate is high over a long period of time. A high-flow flow has a long-term impact on the behavior of the communication network NW.

多流量フロー検出部16Bは、例えば、パケットサンプリング部16Aからサンプリングされたパケットをフローごと(ヘッダフィールド値ごと)に保持する。多流量フロー検出部16Bは、新たなパケットを保持したときに、この新たなパケットと、このパケットと同じフロー(ヘッダフィールド値)の保持中のパケットとに基づいて、サンプリング前、つまり、サンプリングをしなかったとしたときの元の全パケットによるフローの平均的なトラフィック流量を推定する。この平均的なトラフィック流量は、例えば、前記の新たなパケットの保持タイミングを含む所定期間における単位時間当たりのパケット数又は合計データ量(トラフィック量)の平均値又は代表値などである。推定方法は、サンプリング定理などを用いた任意の方法により行われる。推定方法は、機械学習などで学習した方法などであってもよい。多流量フロー検出部16Bは、推定した平均的なトラフィック流量が所定の閾値を超えているかを判別する。平均的なトラフィック流量が所定の閾値を超えていると判別されたとき、前記の新たなパケットが属するフローが、トラフィック流量の多い多流量フローとして検出される。このとき、多流量フロー検出部16Bは、前記の新たなパケットのヘッダフィールド値を監視対象制御部17に供給する。サンプリングを行ってから元のフローのトラフィック流量を推定することにより、マイクロバーストなどによるトラフィック流量の急減の影響が低減され、高精度に多流量フローが検出される。The high-flow flow detection unit 16B holds, for example, the packets sampled from the packet sampling unit 16A for each flow (for each header field value). When the high-flow flow detection unit 16B holds a new packet, it estimates the average traffic flow rate of the flow of all the original packets before sampling, that is, when sampling was not performed, based on the new packet and the packets held in the same flow (header field value) as the new packet. This average traffic flow rate is, for example, the average or representative value of the number of packets or the total data amount (traffic amount) per unit time in a predetermined period including the holding timing of the new packet. The estimation method is performed by any method using the sampling theorem, etc. The estimation method may be a method learned by machine learning, etc. The high-flow flow detection unit 16B determines whether the estimated average traffic flow rate exceeds a predetermined threshold. When it is determined that the average traffic flow rate exceeds the predetermined threshold, the flow to which the new packet belongs is detected as a high-flow flow with a large traffic flow rate. At this time, high-flow rate flow detection unit 16B supplies the header field value of the new packet to monitoring target control unit 17. By estimating the traffic flow rate of the original flow after sampling, the influence of a sudden decrease in traffic flow rate due to a microburst or the like is reduced, and high-flow rate flows are detected with high accuracy.

監視対象制御部17は、バーストフロー検出部15によりバーストフローとして検出されたフローを、監視対象に追加する。さらに、監視対象制御部17は、多流量フロー検出部16Bにより多流量フローとして検出されたフローを、監視対象に追加する。この追加は、ここでは、各フローに属するパケットを指定するルール、つまり、フローIDとヘッダフィールド値との組み合わせがルールテーブル19Aに追加登録されることにより行われる。The monitoring target control unit 17 adds flows detected as burst flows by the burst flow detection unit 15 to the monitoring targets. Furthermore, the monitoring target control unit 17 adds flows detected as high-flow rates by the high-flow rate flow detection unit 16B to the monitoring targets. This addition is performed here by additionally registering rules that specify packets belonging to each flow, that is, combinations of flow IDs and header field values, in the rule table 19A.

監視対象制御部17は、例えば図6に示す第1ルール制御処理を実行することで上記フローの監視対象への追加を行う。監視対象制御部17は、第1ルール制御処理を、トラフィック監視装置10の起動時から実行する。The monitoring target control unit 17 adds the above flow to the monitoring target by, for example, executing the first rule control process shown in Figure 6. The monitoring target control unit 17 executes the first rule control process from the time the traffic monitoring device 10 is started up.

監視対象制御部17は、ルール制御処理において、まず、バーストフロー検出部15からヘッダフィールド値が供給されたかを判別する(ステップS11)。監視対象制御部17は、この判別結果が肯定の場合、供給されたヘッダフィールド値がルールテーブル19Aに登録されているかを判別する(ステップS12)。肯定の場合、そのヘッダフィールド値のフローがすでに監視対象となっている。この場合、監視対象制御部17は、ステップS21の処理に進む。In the rule control process, the monitored object control unit 17 first determines whether a header field value has been supplied from the burst flow detection unit 15 (step S11). If the result of this determination is positive, the monitored object control unit 17 determines whether the supplied header field value is registered in the rule table 19A (step S12). If the result is positive, the flow of that header field value is already being monitored. In this case, the monitored object control unit 17 proceeds to the process of step S21.

ステップS12の判別結果が否定の場合、監視対象制御部17は、今回供給されたヘッダフィールド値に対応するフローIDを取得する(ステップS13)。監視対象制御部17は、例えば、記憶部19などに記憶されたフローIDとヘッダフィールド値との対応関係を示すテーブルを参照し、今回供給されたヘッダフィールド値に対応するフローIDを取得する。監視対象制御部17は、今回供給されたヘッダフィールド値が前記のテーブルに登録されていない場合、フローIDを新規に発行することで、当該フローIDを取得する。この場合、監視対象制御部17は、当該フローIDとヘッダフィールド値とを前記テーブルにも登録する。If the determination result in step S12 is negative, the monitoring target control unit 17 acquires a flow ID corresponding to the currently supplied header field value (step S13). The monitoring target control unit 17 acquires a flow ID corresponding to the currently supplied header field value, for example, by referring to a table showing the correspondence between flow IDs and header field values stored in the memory unit 19 or the like. If the currently supplied header field value is not registered in the table, the monitoring target control unit 17 acquires the flow ID by issuing a new flow ID. In this case, the monitoring target control unit 17 also registers the flow ID and header field value in the table.

監視対象制御部17は、今回供給されたヘッダフィールド値と、ステップS13で取得したフローIDとを1つのルールとして互いに対応付けてルールテーブル19Aに登録する(ステップS14)。The monitoring target control unit 17 associates the header field value supplied this time with the flow ID obtained in step S13 as one rule and registers them in the rule table 19A (step S14).

ステップS14のあと、ステップS11の判別結果が否定の場合、又は、ステップS12の判別結果が肯定の場合、監視対象制御部17は、多流量フロー検出部16Bからヘッダフィールド値が供給されたかを判別する(ステップS21)。監視対象制御部17は、この判別結果が肯定の場合、ステップS22~S24の処理を実行する。ステップS22~S24は、それぞれ、ステップS12~S14と同様の処理であるので、その詳細な説明は省略する。ステップS24のあと、ステップS21の判別結果が否定の場合、又は、ステップS22の判別結果が肯定の場合、監視対象制御部17は、再度ステップS11を実行する。 After step S14, if the determination result of step S11 is negative, or if the determination result of step S12 is positive, the monitored object control unit 17 determines whether a header field value has been supplied from the high-flow rate flow detection unit 16B (step S21). If the determination result is positive, the monitored object control unit 17 executes the processing of steps S22 to S24. Steps S22 to S24 are the same processing as steps S12 to S14, respectively, and therefore detailed explanations are omitted. After step S24, if the determination result of step S21 is negative, or if the determination result of step S22 is positive, the monitored object control unit 17 executes step S11 again.

監視対象制御部17は、例えば図7に示す第2ルール制御処理を実行することで監視対象のフローの削除を行う。監視対象制御部17は、第2ルール制御処理を、トラフィック監視装置10の起動時から実行する。The monitoring target control unit 17 deletes the flows to be monitored, for example, by executing the second rule control process shown in Figure 7. The monitoring target control unit 17 executes the second rule control process from the time the traffic monitoring device 10 is started up.

監視対象制御部17は、第2ルール制御処理において、まず、集計部13から集計結果が供給されたかを判別する(ステップS31)。判別結果が肯定の場合、監視対象制御部17は、監視対象のフローのそれぞれについて、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第3基準よりも低いかを判別する(ステップS32)。判別結果が肯定の場合、監視対象制御部17は、判別対象のフローが正常になったとして、処理対象の集計結果に含まれるフローIDを含むルールをルールテーブル19Aから削除する(ステップS33)。これにより、正常となったフローが監視対象から削除される。ステップS31又はS32の判別結果が否定あるいはステップS33のあとは、再度ステップS31が実行される。第3基準は、フローごと及び又は監視原因ごとに異なってもよい。In the second rule control process, the monitored object control unit 17 first determines whether the counting result has been supplied from the counting unit 13 (step S31). If the determination result is positive, the monitored object control unit 17 determines whether the number of packets or the amount of data, i.e., the traffic flow rate, included in the counting result for each of the flows to be monitored is lower than the third criterion (step S32). If the determination result is positive, the monitored object control unit 17 determines that the flow to be determined has become normal, and deletes the rule including the flow ID included in the counting result of the processing object from the rule table 19A (step S33). As a result, the flow that has become normal is deleted from the monitored object. If the determination result of step S31 or S32 is negative or after step S33, step S31 is executed again. The third criterion may be different for each flow and/or each monitoring cause.

以上のように、監視対象制御部17は、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第3基準よりも低いフローを正常となったフローとして監視対象から除外する。As described above, the monitoring target control unit 17 excludes from the monitoring targets any flows whose number of packets or data volume, i.e., traffic flow rate, included in the aggregation result is lower than the third standard as flows that have become normal.

以上のような一連の処理により、バーストフロー及び多流量フローが、パケット識別部12による監視対象に追加される。上述のように、バーストフロー及び多流量フローは、通信ネットワークNWの挙動に異なる態様の影響を与える。ここで、バーストフローは、変化が急峻であり(図4参照)、パケットサンプリング部16A及び多流量フロー検出部16Bによるサンプリングを用いた検出方法では検出困難である。他方、多流量フローは、変化が少ないため(図5参照)、バーストフロー検出部15によっては検出困難である。この実施の形態では、バーストフロー検出部15と、パケットサンプリング部16A及び多流量フロー検出部16Bとのそれぞれにより、バーストフローと多流量フローとを各フローの検出に好適な方法により別個に検出する。そして、検出されたフローは、監視対象制御部17により、パケット識別部12による監視対象のフローに追加される。従って、通信ネットワークNWの挙動を与える2種のフローを適切に監視対象に加えることができ、これにより、監視対象のフローの取捨選択を適切に行われることになる。また、監視対象のフローの管理に、ルールテーブル19Aが使用されることで、監視対象のフローが容易となっている。 Through the above series of processes, burst flows and high-flow flows are added to the monitoring targets by the packet identification unit 12. As described above, burst flows and high-flow flows affect the behavior of the communication network NW in different ways. Here, burst flows change abruptly (see FIG. 4), and are difficult to detect using a detection method using sampling by the packet sampling unit 16A and the high-flow flow detection unit 16B. On the other hand, high-flow flows change little (see FIG. 5), and are difficult to detect by the burst flow detection unit 15. In this embodiment, the burst flow detection unit 15, the packet sampling unit 16A, and the high-flow flow detection unit 16B each detect burst flows and high-flow flows separately using a method suitable for detecting each flow. The detected flows are then added to the flows to be monitored by the packet identification unit 12 by the monitoring target control unit 17. Therefore, two types of flows that give the behavior of the communication network NW can be appropriately added to the monitoring targets, and the selection of the flows to be monitored is appropriately performed. Furthermore, the rule table 19A is used to manage the flows to be monitored, which makes it easier to manage the flows to be monitored.

さらに、本実施の形態では、集計結果に含まれる上記パケット数又はデータ量つまりトラフィック流量が第3基準よりも低いフローを正常となったフローとして監視対象から除外するので、正常となったフローが監視対象に残ることが抑制され、監視対象のフローの取捨選択を適切に行われることになる。 Furthermore, in this embodiment, flows whose number of packets or data volume, i.e., traffic flow rate, included in the aggregation result is lower than the third standard are deemed to be normal flows and are excluded from monitoring, thereby preventing normal flows from remaining among the flows to be monitored and allowing appropriate selection of flows to be monitored.

図8にトラフィック監視装置10をコンピュータにより構成したときのハードウェア構成図を示す。トラフィック監視装置10は、CPUなどのプロセッサ101と、プロセッサ101のメインメモリ102と、プログラム及び各種データを記憶し、図1の記憶部19を構成する不揮発性の記憶装置103と、を備える。さらに、トラフィック監視装置10は、通信ネットワークNWに接続され、パケットを中継するNIC(Network Interface Card)104を備える。プロセッサ101は、記憶装置103に記憶され、メインメモリ102に読み出されたプログラム及びデータを実行又は使用して上記各部11~17として動作する。なお、受信部11及び出力部14は、プログラムを実行するプロセッサ101とNIC104との組み合わせにより実現されてもよい。 Figure 8 shows a hardware configuration diagram of the traffic monitoring device 10 when configured by a computer. The traffic monitoring device 10 comprises a processor 101 such as a CPU, a main memory 102 of the processor 101, and a non-volatile storage device 103 that stores programs and various data and constitutes the storage unit 19 of Figure 1. The traffic monitoring device 10 further comprises a NIC (Network Interface Card) 104 that is connected to the communication network NW and relays packets. The processor 101 executes or uses the programs and data stored in the storage device 103 and read into the main memory 102 to operate as each of the above-mentioned units 11 to 17. The receiving unit 11 and the output unit 14 may be realized by a combination of the processor 101 that executes programs and the NIC 104.

[本発明の範囲]
本発明は、上記の実施の形態及び変形例に限定されるものではない。例えば、本発明には、本発明の技術思想の範囲内で当業者が理解し得る、上記の実施の形態及び変形例に対する様々な変更が含まれる。上記実施の形態及び変形例に挙げた各構成は、矛盾の無い範囲で適宜組み合わせることができる。また、上記の各構成のうちの任意の構成を削除することも可能である。上記各種のプログラムは、不揮発性の記憶装置103に限らず、非一時的なコンピュータ読み取り可能な記憶媒体に記憶されてもよい。「装置」及び「部」は、その動作を実現する構成が一つの筐体に収容された物であっても、その動作を実現する構成が複数の筐体に分散して収容された物(システム)であってもよい。 [Scope of the present invention]
The present invention is not limited to the above-mentioned embodiment and modification. For example, the present invention includes various modifications to the above-mentioned embodiment and modification that can be understood by a person skilled in the art within the scope of the technical idea of the present invention. The configurations listed in the above-mentioned embodiment and modification can be appropriately combined within a range without contradiction. In addition, it is also possible to delete any of the above-mentioned configurations. The above-mentioned various programs may be stored in a non-transient computer-readable storage medium, not limited to the non-volatile storage device 103. The "device" and "part" may be an object in which the configuration for realizing the operation is housed in one housing, or an object (system) in which the configuration for realizing the operation is distributed and housed in multiple housings.

10…トラフィック監視装置、11…受信部、12…パケット識別部、13…集計部、14…出力部、15…バーストフロー検出部、16A…パケットサンプリング部、16B…多流量フロー検出部、17…監視対象制御部、19…記憶部、19A…ルールテーブル、101…プロセッサ、102…メインメモリ、103…記憶装置、NW…通信ネットワーク。 10...traffic monitoring device, 11...receiving unit, 12...packet identification unit, 13...counting unit, 14...output unit, 15...burst flow detection unit, 16A...packet sampling unit, 16B...high-flow rate flow detection unit, 17...monitoring target control unit, 19...memory unit, 19A...rule table, 101...processor, 102...main memory, 103...memory device, NW...communication network.

Claims (5)

通信ネットワークのトラフィックをフローごとに監視するトラフィック監視装置であって、
前記通信ネットワークを流れる複数のパケットを順次受信する受信部と、
前記受信部が順次受信した前記複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別部と、
前記パケット識別部により前記監視対象のフローに属すると識別されたパケットについて集計を行う集計部と、
前記集計部による集計の結果を出力する出力部と、
前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出部と、
前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリング部と、
前記パケットサンプリング部によりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出部と、
前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御部と、
を備えるトラフィック監視装置。 A traffic monitoring device that monitors traffic in a communication network for each flow, comprising:
a receiving unit that sequentially receives a plurality of packets transmitted through the communication network;
a packet identification unit that sequentially identifies whether or not each of the plurality of packets sequentially received by the receiving unit belongs to a flow that is a monitoring target;
a counting unit that counts packets identified by the packet identification unit as belonging to the flow to be monitored;
an output unit that outputs a result of the counting by the counting unit;
a burst flow detection unit that detects, based on the plurality of packets sequentially received by the receiving unit, a flow in which a traffic flow rate or an increase rate thereof becomes greater than a first reference as a burst flow;
a packet sampling unit that samples some of the plurality of packets sequentially received by the receiving unit;
a high-flow-rate flow detection unit that estimates an average traffic flow rate before sampling of a flow to which each of the partial packets belongs based on the partial packets sampled by the packet sampling unit, and detects a flow in which the estimated average traffic flow rate is higher than a second criterion as a high-flow-rate flow;
a monitoring target control unit that adds the flow detected as the burst flow to the monitoring target and adds the flow detected as the high flow rate flow to the monitoring target;
A traffic monitoring device comprising: 前記パケット識別部は、前記受信部が順次受信した前記複数のパケットのそれぞれを、ルールテーブルに登録されている、前記監視対象のフローに属するパケットを指定するルールと比較し、前記複数のパケットのうち前記ルールと一致するパケットを監視対象のフローに属するパケットと識別し、
前記監視対象制御部は、前記バーストフロー又は前記多流量フローを前記監視対象のフローに追加するときに、前記バーストフロー又は前記多流量フローに属するパケットを指定するルールを前記ルールテーブルに追加する、
請求項1に記載のトラフィック監視装置。 the packet identification unit compares each of the plurality of packets sequentially received by the receiving unit with a rule that is registered in a rule table and that specifies packets that belong to the flow to be monitored, and identifies a packet that matches the rule among the plurality of packets as a packet that belongs to the flow to be monitored;
when adding the burst flow or the high-flow rate flow to the flows to be monitored, the monitoring target control unit adds a rule that specifies packets belonging to the burst flow or the high-flow rate flow to the rule table.
2. A traffic monitoring device according to claim 1. 前記監視対象制御部は、前記集計部による集計結果に基づいて、当該集計結果により示されるトラフィック流量が第3基準よりも低いフローを前記監視対象から削除する、
請求項1又は2に記載のトラフィック監視装置。 the monitoring target control unit deletes, based on the counting result by the counting unit, flows whose traffic flow rate is lower than a third criterion from the monitoring targets.
3. A traffic monitoring device according to claim 1 or 2. 通信ネットワークのトラフィックをフローごとに監視するトラフィック監視方法であって、
受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、
前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、
前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、
前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、
前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、
前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、
を備えるトラフィック監視方法。 A traffic monitoring method for monitoring traffic in a communication network for each flow, comprising the steps of:
a packet identification step of sequentially identifying whether or not each of a plurality of packets flowing through the communication network, which are sequentially received by a receiving unit, belongs to a flow to be monitored;
a counting step of counting packets identified as belonging to the flow to be monitored by the packet identification step;
a burst flow detection step of detecting, as a burst flow, a flow whose traffic flow rate or its increase rate has become greater than a first reference based on the plurality of packets sequentially received by the receiving unit;
a packet sampling step of sampling some of the plurality of packets sequentially received by the receiving unit;
a high-flow-rate flow detection step of estimating an average traffic flow rate before sampling of a flow to which each of the partial packets belongs based on the partial packets sampled by the packet sampling step, and detecting a flow in which the estimated average traffic flow rate is higher than a second criterion as a high-flow-rate flow;
a monitoring target control step of adding the flow detected as the burst flow to the monitoring target and adding the flow detected as the high flow rate flow to the monitoring target;
A traffic monitoring method comprising: 通信ネットワークのトラフィックをフローごとに監視するコンピュータに、
受信部が順次受信した前記通信ネットワークを流れる複数のパケットのそれぞれについて、監視対象のフローに属するか否かを順次識別するパケット識別ステップと、
前記パケット識別ステップにより前記監視対象のフローに属すると識別されたパケットについて集計を行う集計ステップと、
前記受信部が順次受信した前記複数のパケットに基づいて、トラフィック流量又はその増加量が第1基準より大きくなったフローをバーストフローとして検出するバーストフロー検出ステップと、
前記受信部が順次受信した前記複数のパケットのうち一部のパケットをサンプリングするパケットサンプリングステップと、
前記パケットサンプリングステップによりサンプリングされた前記一部のパケットに基づいて当該一部のパケットのそれぞれが属するフローのサンプリング前の平均的なトラフィック流量を推定し、推定した前記平均的なトラフィック流量が第2基準よりも多いフローを多流量フローとして検出する多流量フロー検出ステップと、
前記バーストフローとして検出された前記フローを前記監視対象に追加し、かつ、前記多流量フローとして検出された前記フローを前記監視対象に追加する監視対象制御ステップと、
を実行させるプログラム。 A computer that monitors the traffic of a communication network for each flow.
a packet identification step of sequentially identifying whether or not each of a plurality of packets flowing through the communication network, which are sequentially received by a receiving unit, belongs to a flow to be monitored;
a counting step of counting packets identified as belonging to the flow to be monitored by the packet identification step;
a burst flow detection step of detecting, as a burst flow, a flow whose traffic flow rate or its increase rate has become greater than a first reference based on the plurality of packets sequentially received by the receiving unit;
a packet sampling step of sampling some of the plurality of packets sequentially received by the receiving unit;
a high-flow-rate flow detection step of estimating an average traffic flow rate before sampling of a flow to which each of the partial packets belongs based on the partial packets sampled by the packet sampling step, and detecting a flow in which the estimated average traffic flow rate is higher than a second criterion as a high-flow-rate flow;
a monitoring target control step of adding the flow detected as the burst flow to the monitoring target and adding the flow detected as the high flow rate flow to the monitoring target;
A program that executes the following.
JP2023567360A 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program Active JP7619485B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/046133 WO2023112173A1 (en) 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program

Publications (2)

Publication Number Publication Date
JPWO2023112173A1 JPWO2023112173A1 (en) 2023-06-22
JP7619485B2 true JP7619485B2 (en) 2025-01-22

Family

ID=86773780

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023567360A Active JP7619485B2 (en) 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program

Country Status (2)

Country Link
JP (1) JP7619485B2 (en)
WO (1) WO2023112173A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008244635A (en) 2007-03-26 2008-10-09 Oki Electric Ind Co Ltd System, method, and program for monitoring network, and collecting device
WO2021234764A1 (en) 2020-05-18 2021-11-25 日本電信電話株式会社 Burst traffic detection device, burst traffic detection method and burst traffic detection program
WO2021240634A1 (en) 2020-05-26 2021-12-02 日本電信電話株式会社 Traffic monitoring device, traffic monitoring method, and traffic monitoring program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4994323B2 (en) * 2008-07-25 2012-08-08 アラクサラネットワークス株式会社 Relay device
JP7348797B2 (en) * 2018-11-09 2023-09-21 日本放送協会 Packet flow monitoring device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008244635A (en) 2007-03-26 2008-10-09 Oki Electric Ind Co Ltd System, method, and program for monitoring network, and collecting device
WO2021234764A1 (en) 2020-05-18 2021-11-25 日本電信電話株式会社 Burst traffic detection device, burst traffic detection method and burst traffic detection program
WO2021240634A1 (en) 2020-05-26 2021-12-02 日本電信電話株式会社 Traffic monitoring device, traffic monitoring method, and traffic monitoring program

Also Published As

Publication number Publication date
JPWO2023112173A1 (en) 2023-06-22
WO2023112173A1 (en) 2023-06-22

Similar Documents

Publication Publication Date Title
US10097464B1 (en) Sampling based on large flow detection for network visibility monitoring
US9979624B1 (en) Large flow detection for network visibility monitoring
US10742532B2 (en) Non-intrusive mechanism to measure network function packet processing delay
US10536360B1 (en) Counters for large flow detection
US9485155B2 (en) Traffic analysis of data flows
US8358592B2 (en) Network controller and control method with flow analysis and control function
US10003515B1 (en) Network visibility monitoring
JP4924503B2 (en) Congestion detection method, congestion detection apparatus, and congestion detection program
US10735326B2 (en) Information processing apparatus, method and non-transitory computer-readable storage medium
JP2015057930A (en) Network apparatus, communication system, and detection method and program for abnormal traffic
CN104660565A (en) Hostile attack detection method and device
CN109831462B (en) Virus detection method and device
CN114584485B (en) Method, apparatus, device and computer readable storage medium for detecting edge network quality
US11956136B2 (en) System and method for scalable and accurate flow rate measurement
JP2015173406A (en) Analysis system, analysis device, and analysis program
US8614965B2 (en) Packet loss frequency measuring system, packet loss frequency measuring method, and program
WO2015182629A1 (en) Monitoring system, monitoring device, and monitoring program
JP6317685B2 (en) Communication monitoring system, communication monitoring method and program
US10887241B2 (en) Communication device, communication system, and communication method
JP2016144039A (en) Evaluation apparatus, evaluation method, and program
JP7619485B2 (en) Traffic monitoring device, traffic monitoring method, and program
WO2023084599A1 (en) Traffic monitoring device and traffic monitoring program
CN107995053B (en) Method and device for detecting network packet loss based on software defined network
JP4282556B2 (en) Flow level communication quality management apparatus and method and program
US20190166043A1 (en) Information processing apparatus and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240530

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241223

R150 Certificate of patent or registration of utility model

Ref document number: 7619485

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150