网络装置、通信系统、异常通信的检测方法以及程序的制作方法
【专利摘要】在不增大负荷的情况下,能够观测检测对象的异常通信。网络装置具备:标记部,其对超过了预定的限制速率的通信进行标记;测量部,其对所述标记了的通信量进行测量;以及监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。
【专利说明】网络装置、通信系统、异常通信的检测方法以及程序
【技术领域】
[0001]关于关联申请的记载
[0002]本发明基于日本国专利申请:特愿2011 — 099223号(2011年4月27日申请)主张优先权,该申请的全部记载内容通过引用而组合记载到本说明书中。
[0003]本发明涉及网络装置、通信系统、异常通信的检测方法以及程序,特别是涉及能够对在比较短的期间内发生的异常通信进行检测的网络装置、通信系统、异常通信的检测方法以及程序。
【背景技术】
[0004]虽然与本发明无直接关联,但是通过申请前的调查检索出了专利文献1、2。专利文献I公开一种拥挤监视系统,对与多个设备间的数据传送有关的拥挤状态进行监视,其中,具备:反压(back pressure)信息生成构件,其在至少一个设备中备置,根据未处理的数据的滞留量与预定阈值的比较结果,生成对向前级的设备停止发送数据或继续发送数据进行指示的反压信息;数据发送停止构件,其备置在具备所述反压信息生成构件的设备的前级设备中,根据所述反压信息的内容停止数据的发送;监视构件,其对应于时间的经过而对从对应的所述反压信息生成构件向所述数据发送停止构件发送的反压信息的变动进行监视;以及指标计算构件,其基于由对应的所述监视构件的监视而得到的信息,计算表示反压的发生频度的指标。该拥挤监视系统能够实时地求出表示与拥挤状态相对应的迫切度的指标。
[0005]专利文献2公开的系统以如下方式构成:设置对将多个用户的各计量ID的令牌(token)值相加后的令牌值进行保持的外部RAM的令牌计数器,并设置第I和第2信息高速缓冲存储器(cache),该第I和第2信息高速缓冲存储器提取各数据包数据的计量ID和长度信息并存储数据包信息,该数据包信息由预定数量的数据包的计量ID和长度以及表示预定数量的计量ID的相互的同一性的一致标识构成,所述系统还具备第I信息缓冲器(buffer)和第2信息缓冲器,其驱动第I和第2信息高速缓冲存储器的一方以便进行数据包信息的输入动作,并由时序生成部对另一方进行切换以便对各计量ID进行基于令牌运算部的令牌运算,作为运算结果设定表示数据包数据的通过/废弃的标识。
[0006]现有技术文献
[0007]专利文献
[0008]专利文献1:日本特开2005 - 117392号公报
[0009]专利文献2:日本特开2009 - 206896号公报
【发明内容】
[0010]发明要解决的课题
[0011]以下的分析由本发明所提供。近年来,在计算机利用中增加了虚拟服务器环境的利用,使用虚拟服务器环境的主机服务(hosting service)也较多地存在。此时,在一个物理服务器上使多个不同的加入者的虚拟服务器工作的情况也较多地进行,但是某加入者的虚拟服务器的通信使微爆流(microburst)发生,因此对其它加入者的服务器上的业务产生影响,有可能被当作虚拟服务器的主机服务的故障来处理。
[0012]图6是表示准备n台物理服务器、在各物理服务器上构成虚拟服务器并能够从k个终端访问的结构的图。在图6那样的结构中,认为是使用对在搭载于网络装置100的入口(Ingress)处理部(参照图3的10)、出口(Egress)处理部(参照图3的50)安装的数据包个数或数据包长度进行计数的功能(数据包计数器)来进行监视。
[0013]更具体来说,这种网络装置100具备在达到干扰端口的频带的上限的情况下将废弃的数据包个数或数据包长度的合计作为计数器值而保持的功能。定期地参照该计数器值,能够在根据该值的差分检测出通信量比预先设定的标准高的状态的情况下,将此检测为拥挤。另外,在该情况下,作为监视的周期,通常是数秒?数分。
[0014]然而,上述定期性监视方法将全通信作为监视对象,不能够从监视处理的负荷的观点出发缩短监视周期。为此,能够观测到的是上述数秒?数分的监视期间内的通信量。结果存在如下问题:不能将该期间的通信量未达到预定的通知标准而如微爆流所代表的那样在数ms?数十ms的短期间内发生并收敛的拥挤检测为拥挤状态。
[0015]本发明的目的在于提供一种网络装置、通信系统、异常通信的检测方法以及程序,其能够在不增大负荷的情况下,捕捉检测对象的异常通信。
[0016]用于解决课题的手段
[0017]根据本发明的第I方面,提供一种网络装置,其具备:标记部,其对超过了预定的限制速率的通信进行标记;测量部,其对所述标记了的通信量进行测量;以及监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。
[0018]根据本发明的第2方面,提供一种通信系统,其包括:第I网络装置,其具有对超过了预定的限制速率的通信进行标记的标记部;和第2网络装置,其具备测量部和监视部,所述测量部对所述标记了的通信量进行测量,所述监视部输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。
[0019]根据本发明的第3方面,提供一种异常通信检测方法,其包括以下步骤:对超过了预定的限制速率的通信进行标记;对所述标记了的通信量定期地进行测量;以及输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。本方法能够与进行上述标记、测量的网络装置和监视装置等特定的设备相结合。
[0020]根据本发明的第4方面,提供一种程序,其使搭载于网络装置的计算机执行如下处理:对超过了预定的限制速率的通信进行标记;对所述标记了的通信量定期地进行测量;以及输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。另外,能够将该程序存储在计算机可读存储介质中。即,本发明也能够作为计算机程序产品而体现。
[0021]发明效果
[0022]根据本发明,能够在不增大负荷的情况下捕捉检测对象的异常通信。
【专利附图】
【附图说明】
[0023]图1是用于说明本发明的概要的图。[0024]图2是用于说明本发明的概要的图。
[0025]图3是表示本发明的第I实施方式的网络装置的结构的框图。
[0026]图4是表示本发明的第I实施方式的网络装置的过滤处理部的详细结构的框图。
[0027]图5是表示本发明的第2实施方式的网络装置的结构的框图。
[0028]图6是表示本发明的网络装置的连接例的图。
【具体实施方式】
[0029]首先,对本发明的一种实施方式的概要进行说明。以下,对该概要标注的附图参照符号,是作为有助于理解的一例为了方便而对各要素标注的符号,并不是要将本发明限定于图示的方式。
[0030]本发明在其一种实施方式中能够由网络装置实现,如图1所示,所述网络装置除了具有接收部10A、发送部50A外,还具有:标记部20A,其对超过预定的限制速率的通信进行标记;测量部30A,其对所述标记了的通信量定期地进行测量;以及监视部40A,其提供所述测量了的通信量的监视功能。
[0031]更具体地说,标记部20A如图2的左侧的图表的阴影区域所示那样对超过预定的限制速率的通信进行标记。并且,所述测量部30A定期性地对所述标记了的通信量进行测量。监视部40A如图2的右侧的图表所示那样,将与检测对象的异常通信的假定持续时间相对应地确定的期间内的通信量输出到预定的监视装置2。
[0032]例如,在检测对象的异常通信是微爆流的情况下,对与例如数十ms这样的假定持续时间相对应地确定的期间内的通信量进行标记并使其可视化,从而能够对微爆流的发生、其预兆进行检测。另外,所谓微爆流是指在数秒?数分的监视周期中不能够补充的、在短期间发生并收敛的通信。
[0033][第I实施方式]
[0034]接下来,参照附图对本发明的第I实施方式详细地进行说明。图3是表示本发明的第I实施方式的网络装置的结构的框图。参照图3,示出了网络装置1,其具备:输入端口61、入口处理部10、监管(policing)处理部20、过滤处理部30、监视部40、出口处理部50及输出端口 62。
[0035]输入端口 61从外部的节点接收数据包。这里,所谓“外部的节点”,可以列举出发送数据包的服务器等终端、其它通信装置等。
[0036]入口处理部10对经由输入端口 61接收的数据包进行预定的输入处理后,输出到监管处理部20。所述预定的输入处理与通常的网络装置所搭载的入口处理部中进行的内容等同。例如,网络装置I在是以太网(注册商标)开关的情况下,进行与MAC地址学习、数据包发送、接收、废弃相伴的数据包计数处理等。
[0037]监管处理部20对从入口处理部10输入的每个数据包实施标记(着色)处理后,输出到过滤处理部30。本实施方式的监管处理部20利用漏桶(Leaky Bucket)算法进行数据包的处理速率监视,在超过预定的限制速率的情况下对在该时刻处理的数据包进行标记。所述预定的限制速率可以任意地设定,例如,在数据速率为IGbps的线路中设500Mbps为限制速率的情况下,对在接收的时刻超过500Mbps的数据包进行标记。
[0038]另夕卜,通过将VLAN标签(IEEE802.1q)内的优先度指定用的CoS (Class ofService,服务等级)值设定为某任意的特定值,能够实现该标记处理。
[0039]例如,在图6所示的虚拟服务器环境中,为了识别虚拟服务器而使用VLAN标签,因此在由外部接收的数据包中设定VLAN标签(IEEE802.1q)。虽然能够在VLAN标签中设定表示数据包的优先度的CoS值,但是在外部的节点中设定有任意的固定值、例如“O”。该情况下,标记处理进行将所述CoS值设定为先前的固定值以外的任意值、例如“I”的处理。
[0040]过滤处理部30对由所述监管处理部20进行了标记处理后的数据包个数或数据包长度的合计进行计数。另外,优选的是,过滤处理部30在计数后进行将标记了的数据包复原的处理。例如,在进行将所述CoS值从“0”变为“I”的标记的情况下,进行将CoS值恢复为原始的固定值即“0”的处理。
[0041]此外,过滤处理部30将所述标记后的数据包以及未标记的数据包转送到出口处理部50。
[0042]出口处理部50在进行了预定的输出处理后,从输出端口 62送出所接收的数据包。所述预定的输出处理与通常的网络装置所搭载的出口处理部中所进行的内容等同。例如,网络装置I在是以太网(注册商标)开关的情况下,进行如下处理:参照MAC地址的学习表,确定输出目的地的输出端口,并向该输出端口输出数据包。
[0043]监视部40在以能够检测微爆流的方式确定的周期下,读出过滤处理部30的计数器的值。监视部40对前次读出的计数器值进行存储,在与前次的值的差超过预定阈值的情况下(参照图2的右图),视为发生了微爆流,并向对包含本网络装置I的网络整体进行监视的监视装置2、运用者通知该消息。
[0044]关于预定阈值,能够结合网络的运用目标而任意地设定。例如,在将预定阈值设为I的情况下,在与过滤处理部30的计数器的前次值的差为I以上时进行通知。在该情况下,能够严密地进行微爆流发生的检测、通知。所述预定阈值也可以是I以外的其它值。
[0045]这里,对上述网络装置I的过滤处理部30的详细结构进行说明。图4是表示本发明的第I实施方式的网络装置的过滤处理部的详细结构的框图。
[0046]参照图4,示出了具备过滤条件检索部301、计数器处理部311、数据包处理部312及计数器值存储部320的结构。
[0047]过滤条件检索部301设定有第I过滤器302和第2过滤器303,所述第I过滤器302对符合被标记了的数据包的条件进行确定,所述第2过滤器303对符合包含被标记了的数据包在内的所有数据包的条件进行确定。若所输入的数据包符合第I过滤器302,则过滤条件检索部301向计数器处理部311通知将存储在计数器值存储部320的计数器值增加与数据包相对应的值。例如,作为标记,在VLAN标签的CoS值被改写的情况下,对第I过滤器302设定提取所述CoS值成为改写后的值(上述例中为“I”)的数据包的匹配条件。
[0048]作为计数器处理部311,能够采用具备对数据包个数进行计数的功能、或对数据包长度进行累计的功能、或兼备双方的计数器。
[0049]数据包处理部312将与第I过滤器302匹配的数据包的所述被标记的部位复原后,输出到出口处理部50。另外,数据包处理部312将与第2过滤器303匹配的数据包也同样输出到出口处理部50。
[0050]另外,能够通过使搭载于网络装置I的计算机利用其硬件执行上述各处理的计算机程序,来实现图3所示的网络装置I的各部(处理构件)。[0051]如上述那样,根据本实施方式的网络装置1,对超过预定的限制速率的数据包进行标记(参照图2的左侧图的阴影部分),并进行如下处理:利用过滤处理部30对其进行计数,利用监视部40使其可视化(参照图2的右侧图)。
[0052]特别是在本实施方式中,由于使用基于监管处理部的标记(着色),因此即使是周期短的监视,也能够在不增大负荷的情况下对由微爆流所代表的在极短的期间内出现的异常通信进行观测。另外,在本实施方式中,能够应用通常广泛使用的监管处理部以及过滤处理部而构成,因此容易安装。
[0053]另外,在上述实施方式中,作为使用将VLAN标签的CoS值改写的标记(着色)处理的方案而进行了说明,但是也能够使用其它的IP头字段。例如,也可以使用IP头内的TOS值,在过滤处理部中对改写了 TOS值的数据包进行计数。在使用IP头内的TOS值的情况下,不需要VLAN头。
[0054]另外,在上述实施方式中,作为利用过滤处理部30内的数据包处理部312将标记(着色)复原的方案而进行了说明,但是也可以是不将标记(着色)恢复的结构。该情况下,能够在出口处理部50或网络装置I的外部进行基于标记(着色)的优先度控制。
[0055]另外,在上述的实施方式中,设计成作为监管处理部20中的速率监视的算法使用漏桶的方案而进行了说明,但是也能够使用其它算法。
[0056][第2实施方式]
[0057]接下来,参照附图详细地说明将功能分散到多个网络装置的本发明的第2实施方式。以下,以与上述第I实施方式的不同点为中心进行说明。
[0058]图5是表示本发明的第2实施方式的网络装置的结构的框图。参照图5,示出了网络装置Ia和网络装置Ib串联连接的结构。
[0059]网络装置la、lb是与网络装置I大致同样的结构,但是在监管处理部20的前级设置过滤处理部30这一点,存在不同。
[0060]配置于前级的网络装置Ia的过滤处理部30对从输入端口 61输入的数据包不进行任何处理,仅仅进行数据包的转送。另一方面,配置于后级的网络装置Ib的监管处理部20不进行标记(着色)处理而将数据包向出口处理部50转送。
[0061]前级的网络装置Ia的出口处理部50与输出端口 62以及后级的网络装置Ib的输入端口 61、入口处理部10将从网络装置Ia的监管处理部20输出的数据包向网络装置Ib的过滤处理部30中继。
[0062]与上述第I实施方式的监视部40同样,网络装置Ib的监视部40在以能够检测微爆流的方式确定的周期下,读出过滤处理部30的计数器的值。由此,能够通过与监视部40连接的监视装置2检测微爆流的发生。
[0063]如以上那样,本发明能够使用多个网络装置来实现。另外,虽然在上述说明中进行了省略,但是对于从网络装置Ib向网络装置Ia发送的数据包,也能够以同样的处理顺序进行监视。
[0064]以上,对本发明的优选实施方式进行了说明,但是本发明并不限定于上述实施方式,能够在不脱离本发明的基本技术思想的范围内,加以进一步的变形/置换/调整。例如,在图5中,为有助于本发明的理解而示出了串联连接2台网络装置的结构,但是网络装置I的数目也可以是3台以上,另外,也可以在网络装置la、lb之间存在其它网络装置。[0065]另外,不限于上述第2实施方式的结构,利用在过滤处理部30之后配置监管处理部20的结构也能够实现本发明。该情况下,能够省略前级侧的网络装置的过滤处理部30中的数据包计数动作和后级侧的网络装置的过滤处理部30中的标记(着色)处理。
[0066]另外,能够将上述专利文献的公开通过引用而组合记载到本说明书中。
[0067]在本发明的全部公开(包含权利要求书以及附图)的范围内,能够进一步基于其基本技术思想而进行实施方式乃至实施例的变更/调整。另外,在本发明的权利要求书以及附图的范围内能够进行各种的公开要素(包含各权利要求的各要素、各实施例的各要素、各附图的各要素等)的多种组合乃至选择。即,本发明当然包括根据包含权利要求书的所有公开内容以及技术思想能够由本领域技术人员得到的各种变形、修正。
[0068]符号说明
[0069]UlAUaUbUOO 网络装置
[0070]2 监视装置
[0071]10 入口处理部
[0072]IOA接收部
[0073]20 监管处理部
[0074]20A标记部
[0075]30 过滤处理部
[0076]30A测量部
[0077]40、40A 监视部
[0078]50 出口处理部
[0079]50A发送部
[0080]61 输入端口
[0081]62 输出端口
[0082]110上位网络装置
[0083]120 终端
[0084]301过滤条件检索部
[0085]302第I过滤器
[0086]303第2过滤器
[0087]311计数器处理部
[0088]312数据包处理部
[0089]320计数器值存储部
【权利要求】
1.一种网络装置,其特征在于,具备: 标记部,其对超过了预定的限制速率的通信进行标记; 测量部,其对所述标记了的通信量进行测量;以及 监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。
2.根据权利要求1所述的网络装置,其特征在于, 所述测量部使用过滤器对通信量进行测量,其中所述过滤器对由所述标记部写入到数据包中的信息进行检测。
3.根据权利要求1或2所述的网络装置,其特征在于, 所述标记部通过改写数据包头的设定了已知值的区域的值来进行标记, 所述测量部进行将由所述标记部改写后的信息复原为所述已知值的处理。
4.根据权利要求1?3中任一项所述的网络装置,其特征在于, 所述监视部在任意时刻的通信量与比所述任意时刻靠前的时刻的通信量的差超过了预定阈值的情况下,作为发生了异常通信的情况而进行通知。
5.根据权利要求1?4中任一项所述的网络装置,其特征在于, 所述检测对象的异常通信是微爆流。
6.根据权利要求1?5中任一项所述的网络装置,其特征在于, 所述标记部由进行监管的监管处理部构成。
7.一种通信系统,其特征在于,包括: 第I网络装置,其具有对超过预定的限制速率的通信进行标记的标记部;和第2网络装置,其具备测量部和监视部,所述测量部对所述标记了的通信量进行测量,所述监视部输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。
8.一种异常通信检测方法,其特征在于,包括以下步骤: 对超过了预定的限制速率的通信进行标记; 对所述标记了的通信量定期地进行测量;以及 输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。
9.一种程序,其特征在于,使搭载于网络装置的计算机执行如下处理: 对超过了预定的限制速率的通信进行标记; 对所述标记了的通信量定期地进行测量;以及 输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。
【文档编号】H04L12/801GK103518354SQ201280020401
【公开日】2014年1月15日 申请日期:2012年4月27日 优先权日:2011年4月27日
【发明者】田渊公士 申请人:日本电气株式会社