通信量分析装置、通信量分析方法以及通信量分析系统的制作方法

专利名称：通信量分析装置、通信量分析方法以及通信量分析系统的制作方法
技术领域：
本发明涉及通信量分析装置、通信量分析方法以及通信量分析系统。
背景技术：
以往，作为对线路的通信量进行分析的方法，公知有取出通信量收 集装置收集的通信量数据委托专业技术人员进行通信量分析的方法。并 且，公知有直接将通信量收集装置收集到的通信量数据转换为计数表或 波形，管理者根据这些波形进行分析的方法。
专利文献1日本特开2007-006477号公报
但是，在上述现有技术中，在通信量产生问题的情况下，管理者需 要通过手动操作来收集信息(数据)，在无法收集信息的情况下，必须根 据有限的信息找出问题点来探明原因。另一方面，即使在能够收集信息 的情况下，也存在以下问题必须整理大量信息，从中找出问题点来探 明原因。
特别地，通信量问题大多以无法预测的非定期的定时、反复在瞬间 或短时间内产生，所以，多数情况下，难以采集问题分析所需要的信息。 因此，大多难以确定、探明通信量问题的原因。因此，存在较长时间内 无法解决通信量问题的问题。
因此，为了采集无法预测何时产生的通信量问题的数据，预想到始 终监控所有通信量分组，并原样保存所监控的通信量分组的装置。
但是，在原样保存分组的情况下，存储器的剩余量在短时间内即耗 尽，所以，产生不能再取入分组的问题。并且，新的分组覆盖已保存的 分组，所以，产生已存储的分组消失的状态，产生无法采集所期望的数 据的问题。因此，产生确定、探明通信量问题的原因需要很长时间的问 题。

发明内容
因此，本发明是鉴于上述问题而完成的，本发明的目的在于，提供 能够可靠且高精度地对网络的通信量进行分析、并可靠地对报警的产生 原因进行分析的新的和改良后的通信量分析装置、通信量分析方法以及 通信量分析系统。
为了解决上述课题，根据本发明的一个观点，提供一种通信量分析 装置，其对与网络连接的接入网的通信量进行分析，其特征在于，该通
信量分析装置具有实时监控功能部，其从通信量收集装置实时收集与 网络和接入网之间的通信数据有关的信息；报警管理通知部，其根据从 所述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通
信量有关的报警；以及报警产生原因分析部，其根据与正常数据和异常
数据中的至少一方有关的信息，对产生报警的原因进行分析，其中，所 述正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网 之间收发的数据。
根据上述结构，在对与网络连接的接入网的通信量进行分析的通信 量分析装置中，从通信量收集装置实时收集与网络和接入网之间的通信 数据有关的信息，根据从通信量收集装置实时收集到的信息，产生与网 络和接入网之间的通信量有关的报警，根据与即将产生所述报警之前在 所述网络和接入网之间收发的正常数据和异常数据中的至少一方有关的 信息，对产生报警的原因进行分析。因此，能够根据即将产生报警之前 的正常数据和异常数据中的至少一方，可靠地对产生报警的原因进行分 析。
并且，所述报警产生原因分析部按照每个统计项目对产生报警的原 因进行分析，所述统计项目设定有基于实时监控的报警。根据该结构， 能够按照预先设定有报警的每个统计项目，对产生报警的原因进行分析。
此外，所述报警产生原因分析部也可以根据与所述异常数据有关的 信息，对产生了异常的终端或应用程序进行统计，确定异常数多的终端、 子网络或应用程序。根据该结构，能够在产生了报警时，确定异常数多
5的终端、子网络或应用程序。
此外，所述报警产生原因分析部也可以根据与所述正常数据有关的 信息和与所述异常数据有关的信息，统计对话数，确定对话数多的终端、 子网络或应用程序。根据该结构，能够在产生了报警时，确定对话数多 的终端、子网络或应用程序。
另外，为了解决上述课题，根据本发明的另一个观点，提供一种通 信量分析方法，其特征在于，该通信量分析方法包括以下步骤从通信 量收集装置实时收集与网络和接入网之间的通信数据有关的信息的步 骤；根据从所述通信量收集装置实时收集到的信息，产生与网络和接入 网之间的通信量有关的报警的步骤；以及根据与正常数据和异常数据中 的至少一方有关的信息，对产生报警的原因进行分析的步骤，其中，所 述正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网 之间收发的数据。
根据上述结构，从通信量收集装置实时收集与网络和接入网之间的 通信数据有关的信息，根据从通信量收集装置实时收集到的信息，产生 与网络和接入网之间的通信量有关的报警，根据与即将产生所述报警之 前在所述网络和接入网之间收发的正常数据和异常数据中的至少--方有 关的信息，对产生报警的原话进行分析。因此，能够根据即将产生报警 之前的正常数据和异常数据中的至少一方，可靠地对产生报警的原因进 行分析。
另外，为了解决上述课题，根据本发明的另一个观点，提供一种通 信量分析系统，其具有通信量收集装置，其从接入网收集与网络之间 的通信量信息；通信量分析装置，其对所述通信量信息进行分析；以及 监控装置，其与所述通信量收集装置连接，其特征在于，所述通信量分 析装置具有实时监控功能部，其从所述通信量收集装置实时收集与网 络和接入网之间的通信数据有关的信息；报警管理通知部，其根据从所 述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通信 量有关的报警；以及报警产生原因分析部，其根据与正常数据和异常数
据中的至少一方有关的信息，对产生报警的原因进行分析，其中，所述
6正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网之 间收发的数据。
根据上述结构，通信量分析系统具有通信量收集装置，其从接入 网收集与网络之间的通信量信息；通信量分析装置，其对所述通信量信 息进行分析；以及监控装置，其与所述通信量收集装置连接，在通信量 分析装置中，从通信量收集装置实时收集与网络和接入网之间的通信数 据有关的信息，根据从通信量收集装置实时收集到的信息，产生与网络 和接入网之间的通信量有关的报警，根据与即将产生所述报警之前在所 述网络和接入网之间收发的正常数据和异常数据中的至少一方有关的信 息，对产生报警的原因进行分析。因此，能够根据产生报警之前的正常 数据和异常数据中的至少一方，可靠地对产生报警的原因进行分析。
根据本发明，能够提供能够可靠且高精度地对网络的通信量进行分 析、并可靠地对报警的产生原因进行分析的通信量分析装置、通信量分 析方法以及通信量分析系统。


图1是示出本发明的一个实施方式的通信量收集装置的网络设置结 构的示意图。
图2是示出监控装置的功能和用于实现该功能的结构的示意图。 图3是示出通信量收集装置的功能和结构的示意图P 图4是示出Ingress (输入)分组过滤部和Egress (输出)分组过滤 部的结构的示意图。
图5是示出异常通信量检测部的结构的示意图。 图6是示出对话(session)处理部进行的处理的流程图。 图7是示出通信量分析装置的功能的示意图。
图8是示出用于实现图7的功能的通信量分析装置的结构的示意图。
图9是示出统合管理装置的功能结构的示意图。
图IO是示出实时统计信息设定管理部的结构的示意图。
图11是示出实时统计信息设定管理部的结构的示意图。图12是示出实时统计信息监控部的处理的示意图。图13是示出由报警条件设定部进行的设定的示意图。图14是示出报警管理通知部的处理的流程图。图15是示出由实时监控报警产生原因确定分析部进行的、确定超过上限原因的分析的处理的示意图。
图16是更详细地示出图15的处理的示意图。
具体实施例方式
下面，参照附图对本发明的优选实施方式进行详细说明。另外，在本说明书和附图中，对实质上具有相同功能结构的结构要素附加相同标号，由此省略重复说明。
首先，说明本发明的第1实施方式。图1是示出本发明的一个实施方式的通信量收集装置100的网络200设置结构的示意图。在图1的例子中，在接入网300和ISP (Internet Services Provider,互联网服务提供商)400之间的线路中，配置使通信信号分支输出的转送装置(网络分接器装置)500、 510、 520、 530，将转送装置500、 510、 520、 530的In (输入)侧(接入网300侧)、Out (输出)侧(ISP400侧)的分支的输出线路分别连接在通信量收集装置100的线路侧的In侦iJ、 OuH则。同样，将通信量收集装置100的监控侧的输出线路与监控装置600连接。在图1的例子中，假设监控装置600是单独的可以进行直接插入(in-line)设置的装置。
如图1所示，在进行通信量分析的通信量分析装置(A) 700上连接有通信量收集装置100和监控装置600。
通过转送装置500和通信量收集装置100来收集接入网300和ISP400之间的多个线路通信量信息。通信量分析装置700自动地分析从多个线路收集到的通信量，提取分析结果的重点来生成分析报告。通信量分析装置700以所设定的秒/分间隔，定期地取出这些通信量数据，实施通信量的监视，同时实时显示表和波形，生成定时报告和分析报告。
同样，经由其他配置在接入网300和ISP400之间的线路中的转送装置500，通过通信量收集装置100来收集通信量信息，通过通信量分析装
置(B) 700、通信量分析装置(C) 700进行分析。
图2是示出监控装置600的功能和用于实现该功能的结构的示意图。如图2所示，监控装置600具有正常分组信息提取/保持功能。监控装置600为了保持更多的分组信息，不保存经由通信量收集装置100输入到监控装置600的正常分组的全部数据，而是仅提取分组报头等信息，将其保存在正常分组信息保持部608的数据库中。
在图2中，接收部602从通信量收集装置100区分接收In侧、Out侧的输入。分组信息提取保存部604从由接收部602接收到的分组数据中提取分组信息并保存。并且，利用分组废弃部606废弃不需要的分组。
正常分组信息保持部608分别针对各个端口 1 N保持正常的分组信息。正常的分组信息由时刻信息(Time)、以太网报头信息、IP报头信息、TCP/UDP报头信息、有效载荷大小信息构成。保存在正常分组信息保持部608的数据库中的信息被定期删除。并且，监控装置600具有进行正常分组信息保持部608的数据库的设定的数据库(DB)设定部610和收发部612。收发部612与通信量分析装置700连接，在产生报警时，监控装置600按照经由收发部612接收到的通信量分析装置700的请求，从正常分组信息保持部608的数据库中取出报警产生原因确定分析所需要的正常分组信息，并经由收发部612发送到通信量分析装置700。
图3是示出通信量收集装置100的功能和结构的示意图。如图3 (A)所示，通信量收集装置100具有收集功能、异常通信量检测功能以及信息保持功能。并且，图3 (B)是示出通信量收集装置100的功能块结构的示意图。接收部105从转送装置510、 520、 530区分接收In侦lj、 Out侧的输入。Ingress (输入)分组过滤部110能够在从线路侧的各转送装置510、520、530接收到的分组中，提取并检索以太网报头、IP报头、TCP/UDP报头的识别符，根据识别符进行过滤。
异常通信量检测部120对通过了 Ingress分组过滤部110后的In侧、Out侧的双方的分组进行处理，由此，能够识别为对话(session)。
Egress (输出)分组过滤部170与Ingress分组过滤部110同样，能够根据报头的识别符对分组进行过滤。通过了 Egress分组过滤部170后的分组从监控侧的发送部180发送。
管理部190由以下部分构成Ingress分组过滤部110的统计收集部191、异常通信量检测部120的统计收集部192、 Egress分组过滤部170的统计收集部193、 Ingress分组过滤部110的设定部194、异常通信量检测部120的设定部195、以及Egress分组过滤部170的设定部196。
管理部190经由收发部195与通信量分析装置700连接，成为与通信量分析装置700之间的统计信息、设定信息的界面。
下面，根据图4、图5以及图6，对通信量收集装置100的Ingress/Egress分组过滤部IIO、 170的结构、异常通信量检测部120的结构、对话处理的流程进行说明。根据这些信息和条件，来设计图IO的实时统计信息设定管理部704。
图4示出Ingress分组过滤部110和Egress分组过滤部170的结构。这些分组过滤部110、 170由分组过滤表115构成。作为可以在策略规则中设定的以太网报头、IP报头、TCP/UDP报头的识别符，如图4所示，可以列举VLAN-ID、以太优先级(Ether Priority).以太网类型(EtherType)、接收方IP地址、发送方IP地址、TOS、协议编号、TCP标志、接收方端口编号和发送方端口编号。可以在各个识别符中指定屏蔽位，来进行范围检索。
分组过滤表115对各入口赋予优先级，在图4所示的例子中，小的编号为高优先级。作为检索识别符后的结果，采用符合更高优先级的入口，按照预先设定的与各入口对应的动作(permit或deny),选择通过(permit)还是丢弃(deny)。并且，分组过滤表115作为每个入口的统计信息，具有分组计数器(pps)和字节计数器(bps)。分组计数器和字节计数器对符合检索结果的所有入口进行相加。
图5是示出异常通信量检测部120的结构的示意图。输入到异常通信量检测部120的In侧和Out侧的双方的分组被输入到对话处理部122，按照图6的对话处理的流程图进行处理。异常通信量检测部120具有异常分组信息保持部130。异常分组信息保持部130包含端口 N (In/Out)
10的签名(signature)异常数据库(DB) 132、端口 N (In/Out)的对话异常数据库(DB) 134、端口 N(In/Out)的超过同时对话数异常数据库(DB)136、端口 N (In/Out)的超过秒间对话数异常数据库(DB) 138。在各数据库中，作为异常分组的信息，保存有时间(Time)、以太网报头信息、IP报头信息、TCP/UDP报头信息和有效载荷大小信息。
这里，对图6的对话处理进行说明。首先，在步骤S1中，对对话处理部输入分组。在接下来的步骤S2中，检索签名，在检索到签名的情况下，进入步骤S3。在步骤S3中，对签名异常分组统计信息进行相加，进入步骤S23。在步骤S23中，判定是否存在异常分组信息的保存设定。在有异常分组信息的保存设定的情况下，在步骤S24中提取分组信息，将其保存在签名异常数据库132中后，在步骤S4中，丢弃分组。另一方面，在步骤S23中没有异常分组信息的保存设定的情况下，在步骤S4中，丢弃分组。
在步骤S2中没有检索到签名的情况下，进入步骤S5，检索对话管理表。在对话管理表中检索到分组的情况下，进入步骤S6，判定是否接收到了FIN/RST。在步骤S6中，在接收到FIN/RST的情况下，进入步骤S7，承接步骤S8的无用定时器(GarbageTimer)的结束，而删除对话管理表。然后，在步骤S9中，对对话异常分组统计信息进行相加。步骤S9之后进入步骤S25，判定是否存在异常分组信息的保存设定。在有异常分组信息的保存设定的情况下，在步骤S26中提取分组信息，将其保存在对话异常数据库134中后，在步骤S10中，丢弃分组。另一方面，在步骤S25中没有异常分组信息的保存设定的情况下，在步骤S10中，丢弃分组。
另一方面，在步骤S5中当在对话管理表中没有检索到分组的情况下，进入步骤Sll，接收第一个分组(lst分组)。在接下来的步骤S12中，设定无用定时器，在接下来的步骤S13中，判定是否存在同时对话数的登记。
在步骤S13中存在同时对话数登记的情况下，进入步骤S14，判定同时对话数是否是上限值。在步骤S14中同时对话数是上限值的情况下，
ii在歩骤S15中，对同时对话数超过上限值的异常分组的统计信息进行相
加。步骤S15之后进入步骤S27，判定是否存在异常分组信息的保存设定。在有异常分组信息的保存设定的情况下，在步骤S28中提取分组信息，将其保存在超过同时对话数异常数据库136中后，在步骤S29中，丢弃分组。另一方面，在步骤S27中没有异常分组信息的保存设定的情况下，在步骤S29中，丢弃分组。另一方面，在步骤S14中当同时对话数不是上限值的情况下、或者在步骤S13中没有同时对话数的登记的情况下，进入步骤S16。
在步骤S16中，判定是否存在秒间对话数的登记，在存在秒间对话数的登记的情况下，在步骤S17中判定秒间对话数是否是上限值。在步骤S17中当秒间对话数是上限值的情况下，在步骤S18中，对秒间对话数超过上限值的分组的统计信息进行相加。步骤S18之后进入步骤S30，判定是否存在异常分组信息的保存设定。在有异常分组信息的保存设定的情况下，在步骤S31中提取分组信息，将其保存在超过秒间对话数异常数据库138中后，在步骤S19中，丢弃分组。在步骤S30中没有异常分组信息的保存设定的情况下，在步骤S19中，丢弃分组。另一方面，在步骤S17中当秒间对话数不是上限值的情况下、或者在步骤S16中没有秒间对话数的登记的情况下，进入步骤S20。
在步骤S20中，对对话统计信息进行相加。在接下来的步骤S21中，登记对话管理表。在接下来的步骤S22中，输出分组。步骤S22之后，结束处理(END)。
经对话处理部122处理后的对话被登记在对话管理表124中。此时，所登记的识别符为图5所示的5个识别符(接收方IP地址、发送方IP地址、协议编号、接收方端口编号、发送方端口编号)。对话统计信息保持部126以接收方IP地址和发送方IP地址的组合为单位，来保持被登记在对话管理表124中并在该时刻所维持的对话数。
关于输入到异常通信量检测部120的分组，在图6的步骤S2中，与登记在签名保持部128中的各签名相匹配，判断该分组是否是异常分组。登记在签名保持部128中的签名记述作为异常分组的类型，例如，记述有接收方IP地址和发送方IP地址相同、发送方IP地址被谎称、或利用接收方主机再构筑IP分组时超过最大长度等的类型。异常分组统计信息
保持部129保持按照签名单位检测出的异常分组数，在步骤S2中检索到签名的情况下，在步骤S3中，对异常分组统计信息进行相加。
通信量分析装置700以秒/分间隔定期地对通过通信量收集装置100的管理部190的Ingress分组过滤统计收集部191、异常通信量检测统计收集部192和Egress分组过滤统计收集部193所收集的数据进行取出、处理、监视、实时显示表和波形、以及生成报告等。为了根据通信量收集装置100收集到的数据，来实施报告和分析，通信量分析装置700识别收集到的数据的格式信息、数据的收集方法等。
图7是示出通信量分析装置700的功能的示意图。并且，图8是示出用于实现图7的功能的通信量分析装置700的结构的示意图。通信量分析装置700具有运算处理部(CPU)，通过软件(程序)使运算处理部发挥功能，由此，可以实现通信量分析装置700的各结构要素。
如图7所示，通信量分析装置700具有结构管理功能、实时监控功能、监视功能、报警通知功能、定时报告功能、通信量自动分析功能(通信量分析功能)、信息/数据蓄积功能、以及实时监控报警产生原因确定分析功能。
并且，如图8所示，通信量分析装置700具有结构管理部702、实时统计信息设定管理部704、实时统计信息监控部706、报警条件设定部708、报警管理通知部710、定时报告设定管理部712、定时统计信息监控部714、定时统计信息报告生成部716、通信量分析设定管理部718、通信量分析部720、分析报告生成部722、实时监控报警产生原因确定分析部724、分组信息保持部726、以及统计信息数据库部728。并且，通信量分析装置700具有与通信量收集装置100、监控装置600之间收发信息的收发部730、以及与统合管理装置800之间收发信息的收发部732。
通信量分析装置700在通信量监视中发出的报警、由于产生超过上限报警而实施的原因确定分析结果报告、定时生成的定时报告和分析报告等，被发送到对多个通信量分析装置(A) 700、通信量分析装置(B)700、通信量分析装置(C) 700进行统合管理的统合管理装置800。图9是示出统合管理装置800的功能结构的示意图。统合管理装置800具有结构管理功能部802、报警显示功能部804、报告蓄积功能部806、以及实时监控报警产生原因确定分析结果显示功能部808。管理者能够利用统合管理装置800对多个通信量分析装置700进行统合管理，并参照各通信量分析装置700的通信量数据。
通信量分析装置700的实时监控功能(实时监控功能部)通过实时统计信息设定管理部704和实时统计信息监控部706来实现。
图lO和图ll是示出实时统计信息设定管理部704的结构的示意图。实时统计信息设定管理部704对通信量分析装置700在实时的信息收集时所监控的信息的设定进行管理。如图10所示，实时统计信息设定管理部704对监控基本设定和监控项目设定进行管理。作为监控项目设定，有Ingress/Egress监控设定和异常通信量监控设定。在Ingress/Egress监控设定中具有全部接收分组基本统计设定和策略规则统计设定。而且，作为策略规则统计设定，如图11所示，有基于接收方/发送方IP地址范围指定统计的项目选择的设定、和TCP/UDP端口编号分析指定设定。而且，在TCP/UDP端口编号分析指定中有基于TCP/UDP端口编号指定统计的项目选择的设定。如图IO所示，在"异常通信量监控设定"中，能够进行签名异常、对话异常、超过同时对话数异常、超过秒间对话数异常、全部异常分组数的统计对象选择设定，针对这些异常，在"异常分组信息保持设定"有效的情况下，如图6的对话处理流程图所示，在分组废弃之前，提取异常分组的报头信息等，如图5所示，将其保存在异常分组信息保持部130的各异常DB中。
图12是示出实时统计信息监控部706的处理的示意图。实时统计信息监控部706根据实时统计信息设定管理部704的设定条件，以利用实时监控间隔设定所设定的时间间隔，从通信量收集装置100取得数据(步骤S31)。然后，计算所取得的数据的平均值pps/bps (步骤S32)，对30分钟的实时监控波形的显示进行更新(步骤S33)。在步骤S32中计算出的平均值pps/bps被输出到实时监控监视A。通过实时统计信息监控部706、报警条件设定部708和报警管理通 知部710的协作来实现通信量分析装置700的监视功能和报警通知功能。
图13是示出由报警条件设定部708进行的设定的示意图。如图13 所示，在报警条件设定部708中，主要进行实时统计信息监控的监视设 定，在产生报警时，向统合管理装置800发送报警信息、向管理者发送 邮件，进行超过上限原因确定分析执行等的动作设定。
图14是示出报警管理通知部710的处理的流程图。报警管理通知部 710按照报警条件设定部708的设定条件，监视输出到实时监控监视A 的平均值pps/bps，根据条件产生报警。首先，在步骤S41中，确认有无 实时统计信息监控的监视设定，在有监视设定的情况下，进入步骤S42。 在步骤S42中，确认有无设定上限阈值，在有上限设定值的情况下，在 接下来的步骤S43中，判定平均值pps/bps是否超过上限阈值。
在步骤S43中超过上限阈值的情况下，进入步骤S44,判定是否超 过连续产生次数。在超过连续产生次数的情况下，进入步骤S45，产生报 警。具体而言，按照报警条件设定部708的设定条件，进行向统合管理 装置800发送报警信息、向管理者发送邮件、对实时监控报警产生原因 确定分析部发送执行变量(报警产生时刻、产生了报警的实时统计信息 设定内容)、以及超过上限原因确定分析执行等的处理。
另一方面，在步骤S42中没有设定上限阈值的情况下、在步骤S43 中没有超过上限阈值的情况下、或者在步骤S44中没有超过连续产生次 数的情况下，进入步骤S46。在步骤S46中，确认有无设定下限阈值，在 设定了下限阈值的情况下，进入步骤S47。
在步骤S47中判定是否超出下限阈值(即是否低于下限阈值)，在超 出下限阈值的情况下，进入步骤S48，判定是否超过连续产生次数。在超 过连续产生次数的情况下，进入步骤S49，产生报警。具体而言，进行向 统合管理装置800发送报警信息、向管理者发送邮件等的处理。
另一方面，在步骤S41中没有监视设定的情况下、在步骤S46中没 有设定下限阈值的情况下、在步骤S47中没有超出下限阈值的情况下、 或者在步骤S48中没有超过连续产生次数的情况下，不产生动作。如上所述，报警管理通知部710能够通过报警条件设定部708的设定和平均 值pps/bps的比较，来产生报警。
通过定时报告设定管理部712、定时统计信息监控部714、以及定时 统计信息报告生成部716来实现通信量分析装置700的定时报告功能。
通过实时监控功能和实时监控报警产生原因确定分析部724来实现 通信量分析装置700的实时监控报警产生原因确定分析功能。
在通信量监视中，在图IO和图11的实时统计信息中产生了图13和 图M的超过上限报警的情况下，通信量分析装置700自动执行图15和 图16所示的超过上限原因确定分析。然后，根据此时的执行变量(报警 产生时刻、产生了报警的实时统计信息设定内容)，区分统计种类，利用 监控装置600、通信量收集装置IOO，从相应的线路端口编号和线路方向 的DB中取得从报警产生时刻的K秒前(定义为K秒- (图12的实时监 控间隔设定值X图13的超过上限阈值连续产生次数设定值)+60秒，艮P， 报警产生前、通信量问题刚要产生之前的时刻)起的正常分组信息(T2) /异常分组信息(T3)，将其保存在分组信息保持部726中，如图15所示， 根据设定了实时监控报警的统计项目进行分析。
以下，说明图15的处理。图15示出由实时监控报警产生原因确定 分析部724进行的处理，示出确定超过上限原因的分析的处理。在实时 监控报警产生原因确定分析部724中，根据所发送的执行变量(报警产 生时刻、产生了报警的实时统计信息设定内容)，判明报警产生时刻/监控 编号/线路端口编号/线路方向/统计种类/统计项目。然后，实时监控报警 产生原因确定分析部724根据这些信息，从监控装置600取得正常分组 信息进行分析，同时从通信量分析装置IOO取得异常分组信息进行分析， 来确定产生了问题的终端/子网络/应用程序。
首先，在步骤S101中，保存产生了超过上限报警时的实时监控统计 数据(Tl)，将其输出到统合管理装置800。接着，在步骤S102中，区 分产生了超过上限报警的统计种类。
接着，在步骤S103中，利用监控装置600和通信量分析装置100, 从相应的线路端口编号和线路方向的数据库中取得从报警产生时刻的K秒前时刻起的正常分组信息(T2)和异常分组信息(T3)。
此时，在步骤S103中，向监控装置600发送相应的线路端口编号、 线路方向和报警产生时刻，向监控装置600的正常分组信息保持部608 的数据库请求从报警产生时刻的K秒前时刻起的数据。监控装置600接 受该请求，从相应的线路端口编号数据库和线路方向数据库向通信量分 析装置700的实时监控报警产生原因确定分析部724发送从报警产生时 刻的K秒前的时刻起的正常分组信息。
并且，在步骤S103中，向通信量分析装置IOO发送相应的线路端口 编号、线路方向、统计项目和报警产生时刻，向通信量分析装置100的 异常分组信息保持部130的数据库请求从报警产生时刻的K秒前的时刻 起的数据。通信量分析装置100接受该请求，从相应的线路端口编号、 线路方向、统计项目的异常分组信息保持部130的数据库发送从报警产 生时刻的K秒前的时刻起的数据。
在接下来的步骤S104中，确认设定了实时监控报警的统计项目。在 接下来的步骤S105中，实施与统计项目对应的分析。更详细地讲，在步 骤S105中，进行以下处理。
，确定频带使用量最多的终端、子网络、应用程序。
，确定组播、广播分组率出现最多的终端。
确定签名异常、对话异常出现最多的终端、应用程序。
确定使用最多对话数的终端、应用程序。
在接下来的步骤S106中，生成并保存实时监控分析结果报告，并将 其输出到统合管理装置800。统合管理装置800显示实时监控统计数据， 并且，显示实时监控分析结果。
图16是更详细地示出图15的处理的示意图。以下，根据图16详细 说明实时监控报警产生原因确定分析部724进行的处理。首先，在步骤 Slll中，取得执行变量(报警产生时刻、产生了报警的实时统计信息设 定内容)。
接着，在步骤S112中，保存产生了超过上限报警的监控编号的实时 监控统计数据(T1)，并将其输出到统合管理装置800。接着，在步骤S113中，判定产生了超过上限报警的统计种类是a)全部接收分组基本统计、 b)策略规则统计和C)异常通信量监控中的哪一个。然后，在产生了超
过上限报警的统计种类是a)全部接收分组基本统计的情况下，在步骤 S114之后进入步骤S115以后的处理。在产生了超过上限报警的统计种类 是b)策略规则统计的情况下，在步骤S114之后进入步骤S117以后的处 理、或步骤S119以后的处理。并且，在产生了超过上限报警的统计种类 是c)异常通信量监控的情况下，在步骤S114之后进入步骤S121以后的 处理。
首先，在步骤S114中，从监控装置600的正常分组信息保持部608 的相应的线路端口编号、线路方向的数据库中取得从报警产生时刻的K 秒前时刻起的正常分组信息(T2)。
在产生了超过上限报警的统计种类是a)全部接收分组基本统计的情 况下，进入步骤S115。在步骤S115中，确认设定了实时监控报警的统计 项目。这里，作为全部接收分组的基本统计，确认正常接收分组率、正 常接收比特率、正常接收组播分组率和正常接收广播分组率的统计项目。
在步骤S116中，实施与步骤S115的统计项目对应的分析。关于正 常接收分组率、正常接收比特率，针对在步骤S114中取得的数据T2 (正 常分组信息)，按照每个发送方IP、 TCP/UDP端口，统计单播分组率/比 特率，来确定频带使用量最多的3个终端、频带使用量最多的3个应用 程序。关于正常接收组播分组率，针对数据T2，按照每个发送方IP，统 计组播分组率，来确定组播出现最多的3个终端。关于正常接收广播分 组率，针对数据T2，按照每个发送方IP，统计广播分组率，来确定广播 出现最多的3个终端。
在产生了超过上限报警的统计种类是b)策略规则统计的情况下， 进入步骤S117以后的处理、或步骤S119以后的处理。在步骤S117中， 确认设定了实时监控报警的统计项目。这里，作为发送方IP地址范围(子 网络)的指定统计，确认正常接收分组率、正常接收比特率的统计项目。
在步骤S118中，实施与步骤S117的统计项目对应的分析。关于正 常接收分组率、正常接收比特率，针对数据T2，按照每个发送方IP，统
18计正常接收分组率/正常接收比特率，进而按照每个子网络进行统计，来 确定频带使用量最多的3个子网络。
并且，在步骤S119中，确认设定了实时监控报警的统计项目。这里， 作为TCP/UDP端口编号指定设定，将表编号设定、协议种类设定、开始 端口编号设定、结束端口编号设定作为通信量分析指示信息选择设定分 析指示，来确认声音数据、影像数据、控制数据以及其他数据。
在步骤S120中，实施与步骤S119的统计项目对应的分析。这里， 针对数据T2，按照每个TCP/UDP端口编号，统计接收比特率，进而按 照每个端口编号指定范围进行统计，来确定频带使用量最多的3个应用 程序。
在产生了超过上限报警的统计种类是c)异常通信量监控的情况下， 进入步骤S121以后的处理。在步骤S121中，从通信量分析装置的异常 分组信息保持部130的相应的线路端口编号异常数据库和线路方向异常 数据库中，取得从报警产生时刻的K秒前时刻起的异常分组信息(T3)。
在接下来的步骤S122中，确认设定了实时监控报警的统计项目。这 里，关于异常通信量监控，针对签名异常、对话异常、超过同时对话异 常、超过秒间对话异常的各项目来确认统计项目。
在接下来的步骤S123中，针对在步骤S122中确认的各项目，实施 与统计项目对应的分析。首先，关于签名异常，针对从签名异常数据库 132取得的数据T3 (异常分组信息T3)，按照每个发送方IP、 TCP/UDP 端口，统计签名异常，分别确定异常数出现最多的3个终端或3个应用 程序。关于对话异常，针对从对话异常数据库134取得的数据T3，按照 每个发送方IP、 TCP/UDP端口，统计对话异常，分别确定异常数出现最 多的3个终端或3个应用程序。关于同时对话异常，将从超过同时对话 数异常数据库136取得的数据T3与数据T2相加，按照每个发送方IP、 TCP/UDP端口，以分钟为单位统计对话数，确定对话数使用量最多的3 个终端或3个应用程序。关于超过秒间对话数异常，将从超过秒间对话 数异常数据库138取得的数据T3与数据T2相加，按照每个发送方IP、 TCP/UDP端口，以秒为单位统计对话数，确定对话数使用量最多的3个
19终端或3个应用程序。
在步骤S116、 S118、 S120、 S123后，进行步骤S124，生成实时监 控分析结果报告，并将其输出到统合管理装置800。统合管理装置800在 步骤S125中，显示实时监控统计数据和实时监控分析结果。
如上所述，通过分析能够将超过上限问题的原因确定为如下原因 能够确定频带使用量最多的3个终端/3个子网络/3个应用程序。
能够确定组播、广播分组率出现最多的3个终端。
能够确定签名异常、对话异常出现最多的3个终端或3个应用程序。
能够确定使用最多对话数的3个终端或3个应用程序。 然后，生成并保存分析结果的报告，并将其输出到统合管理装置。 如以上说明的那样，根据本实施方式，能够实时监视异常通信量/正 常通信量，在产生了超过上限阈值报警时，能够自动执行实时监控报警 产生原因确定分析功能。
此外，通过执行实时监控报警产生原因确定分析功能，能够根据执 行变量(报警产生时刻、产生了报警的实时统计信息设定内容)，区分统 计种类，从相应的线路端口编号DB和线路方向DB中取得报警产生时刻 之前的正常分组信息(T2)和异常分组信息(T3)。此外，通过取得分组 信息，能够根据所设定的统计项目来进行原因确定分析。此外，能够生 成并保存分析结果的报告，能够将报告输出到统合管理装置800。
以上，参照附图对本发明的优选实施方式进行了说明，但是，本发 明当然不限于所述例子。显而易见，本领域技术人员能够在权利要求范 围所记载的范畴内想到各种变更例或修正例，这些当然也属于本发明的 技术范围内。
权利要求
1.一种通信量分析装置，其对与网络连接的接入网的通信量进行分析，其特征在于，该通信量分析装置具有实时监控功能部，其从通信量收集装置实时收集与网络和接入网之间的通信数据有关的信息；报警管理通知部，其根据从所述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通信量有关的报警；以及报警产生原因分析部，其根据与正常数据和异常数据中的至少一方有关的信息，对产生报警的原因进行分析，其中，所述正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网之间收发的数据。
2. 根据权利要求l所述的通信量分析装置，其特征在于，所述报警产生原因分析部按照每个统计项目对产生报警的原因进行分析，其中，所述统计项目设定有基于实时监控的报警。
3. 根据权利要求l所述的通信量分析装置，其特征在于，所述报警产生原因分析部根据与所述异常数据有关的信息，对产生了异常的终端或应用程序进行统计，确定异常数多的终端、子网络或应用程序。
4. 根据权利要求1所述的通信量分析装置，其特征在于，所述报警产生原因分析部根据与所述正常数据有关的信息和与所述异常数据有关的信息，统计对话数，确定对话数多的终端、子网络或应用程序。
5. —种通信量分析方法，其特征在于，该通信量分析方法包括以下步骤-从通信量收集装置实时收集与网络和接入网之间的通信数据有关的信息的步骤；根据从所述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通信量有关的报警的步骤;以及根据与正常数据和异常数据中的至少一方有关的信息，对产生报警的原因进行分析的步骤，其中，所述正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网之间收发的数据。
6. —种通信量分析系统，其具有通信量收集装置，其从接入网收集与网络之间的通信量信息；通信量分析装置，其对所述通信量信息进行分析；以及监控装置，其与所述通信量收集装置连接，其特征在于，所述通信量分析装置具有实时监控功能部，其从所述通信量收集装置实时收集与网络和接入网之间的通信数据有关的信息；报警管理通知部，其根据从所述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通信量有关的报警；以及报警产生原因分析部，其根据与正常数据和异常数据中的至少一方有关的信息，对产生报警的原因进行分析，其中，所述正常数据和异常数据是在即将产生所述报警之前在所述网络和接入网之间收发的数据。
全文摘要
一种通信量分析装置、通信量分析方法以及通信量分析系统，其可靠且高精度地对网络的通信量进行分析，并可靠地对报警的产生原因进行分析。对与网络连接的接入网的通信量进行分析的通信量分析装置(700)具有实时统计信息设定管理部(704)和实时统计信息监控部(706)，其从通信量收集装置(100)实时收集与网络和接入网之间的通信数据有关的信息；报警管理通知部(710)，其根据从所述通信量收集装置实时收集到的信息，产生与网络和接入网之间的通信量有关的报警；以及报警产生原因确定分析部(724)，其根据与即将产生所述报警之前在网络和接入网之间收发的正常数据和异常数据中的至少一方有关的信息，对产生报警的原因进行分析。
文档编号H04L12/24GK101540695SQ20081017486
公开日2009年9月23日 申请日期2008年11月10日 优先权日2008年3月19日
发明者陈如华 申请人:冲电气工业株式会社