在不增大负荷的情况下,能够观测检测对象的异常通信。网络装置具备:标记部,其对超过了预定的限制速率的通信进行标记;测量部,其对所述标记了的通信量进行测量;以及监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。
【技术实现步骤摘要】
【国外来华专利技术】网络装置、通信系统、异常通信的检测方法以及程序
关于关联申请的记载本专利技术基于日本国专利申请:特愿2011 — 099223号(2011年4月27日申请)主张优先权,该申请的全部记载内容通过引用而组合记载到本说明书中。本专利技术涉及网络装置、通信系统、异常通信的检测方法以及程序,特别是涉及能够对在比较短的期间内发生的异常通信进行检测的网络装置、通信系统、异常通信的检测方法以及程序。
技术介绍
虽然与本专利技术无直接关联,但是通过申请前的调查检索出了专利文献1、2。专利文献I公开一种拥挤监视系统,对与多个设备间的数据传送有关的拥挤状态进行监视,其中,具备:反压(back pressure)信息生成构件,其在至少一个设备中备置,根据未处理的数据的滞留量与预定阈值的比较结果,生成对向前级的设备停止发送数据或继续发送数据进行指示的反压信息;数据发送停止构件,其备置在具备所述反压信息生成构件的设备的前级设备中,根据所述反压信息的内容停止数据的发送;监视构件,其对应于时间的经过而对从对应的所述反压信息生成构件向所述数据发送停止构件发送的反压信息的变动进行监视;以及指标计算构件,其基于由对应的所述监视构件的监视而得到的信息,计算表示反压的发生频度的指标。该拥挤监视系统能够实时地求出表示与拥挤状态相对应的迫切度的指标。专利文献2公开的系统以如下方式构成:设置对将多个用户的各计量ID的令牌(token)值相加后的令牌值进行保持的外部RAM的令牌计数器,并设置第I和第2信息高速缓冲存储器(cache),该第I和第2信息高速缓冲存储器提取各数据包数据的计量ID和长度信息并存储数据包信息,该数据包信息由预定数量的数据包的计量ID和长度以及表示预定数量的计量ID的相互的同一性的一致标识构成,所述系统还具备第I信息缓冲器(buffer)和第2信息缓冲器,其驱动第I和第2信息高速缓冲存储器的一方以便进行数据包信息的输入动作,并由时序生成部对另一方进行切换以便对各计量ID进行基于令牌运算部的令牌运算,作为运算结果设定表示数据包数据的通过/废弃的标识。现有技术文献专利文献专利文献1:日本特开2005 - 117392号公报专利文献2:日本特开2009 - 206896号公报
技术实现思路
专利技术要解决的课题以下的分析由本专利技术所提供。近年来,在计算机利用中增加了虚拟服务器环境的利用,使用虚拟服务器环境的主机服务(hosting service)也较多地存在。此时,在一个物理服务器上使多个不同的加入者的虚拟服务器工作的情况也较多地进行,但是某加入者的虚拟服务器的通信使微爆流(microburst)发生,因此对其它加入者的服务器上的业务产生影响,有可能被当作虚拟服务器的主机服务的故障来处理。图6是表示准备n台物理服务器、在各物理服务器上构成虚拟服务器并能够从k个终端访问的结构的图。在图6那样的结构中,认为是使用对在搭载于网络装置100的入口(Ingress)处理部(参照图3的10)、出口(Egress)处理部(参照图3的50)安装的数据包个数或数据包长度进行计数的功能(数据包计数器)来进行监视。更具体来说,这种网络装置100具备在达到干扰端口的频带的上限的情况下将废弃的数据包个数或数据包长度的合计作为计数器值而保持的功能。定期地参照该计数器值,能够在根据该值的差分检测出通信量比预先设定的标准高的状态的情况下,将此检测为拥挤。另外,在该情况下,作为监视的周期,通常是数秒?数分。然而,上述定期性监视方法将全通信作为监视对象,不能够从监视处理的负荷的观点出发缩短监视周期。为此,能够观测到的是上述数秒?数分的监视期间内的通信量。结果存在如下问题:不能将该期间的通信量未达到预定的通知标准而如微爆流所代表的那样在数ms?数十ms的短期间内发生并收敛的拥挤检测为拥挤状态。本专利技术的目的在于提供一种网络装置、通信系统、异常通信的检测方法以及程序,其能够在不增大负荷的情况下,捕捉检测对象的异常通信。用于解决课题的手段根据本专利技术的第I方面,提供一种网络装置,其具备:标记部,其对超过了预定的限制速率的通信进行标记;测量部,其对所述标记了的通信量进行测量;以及监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。根据本专利技术的第2方面,提供一种通信系统,其包括:第I网络装置,其具有对超过了预定的限制速率的通信进行标记的标记部;和第2网络装置,其具备测量部和监视部,所述测量部对所述标记了的通信量进行测量,所述监视部输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量的通信量。根据本专利技术的第3方面,提供一种异常通信检测方法,其包括以下步骤:对超过了预定的限制速率的通信进行标记;对所述标记了的通信量定期地进行测量;以及输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。本方法能够与进行上述标记、测量的网络装置和监视装置等特定的设备相结合。根据本专利技术的第4方面,提供一种程序,其使搭载于网络装置的计算机执行如下处理:对超过了预定的限制速率的通信进行标记;对所述标记了的通信量定期地进行测量;以及输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。另外,能够将该程序存储在计算机可读存储介质中。即,本专利技术也能够作为计算机程序产品而体现。专利技术效果根据本专利技术,能够在不增大负荷的情况下捕捉检测对象的异常通信。【附图说明】图1是用于说明本专利技术的概要的图。图2是用于说明本专利技术的概要的图。图3是表示本专利技术的第I实施方式的网络装置的结构的框图。图4是表示本专利技术的第I实施方式的网络装置的过滤处理部的详细结构的框图。图5是表示本专利技术的第2实施方式的网络装置的结构的框图。图6是表示本专利技术的网络装置的连接例的图。【具体实施方式】首先,对本专利技术的一种实施方式的概要进行说明。以下,对该概要标注的附图参照符号,是作为有助于理解的一例为了方便而对各要素标注的符号,并不是要将本专利技术限定于图示的方式。本专利技术在其一种实施方式中能够由网络装置实现,如图1所示,所述网络装置除了具有接收部10A、发送部50A外,还具有:标记部20A,其对超过预定的限制速率的通信进行标记;测量部30A,其对所述标记了的通信量定期地进行测量;以及监视部40A,其提供所述测量了的通信量的监视功能。更具体地说,标记部20A如图2的左侧的图表的阴影区域所示那样对超过预定的限制速率的通信进行标记。并且,所述测量部30A定期性地对所述标记了的通信量进行测量。监视部40A如图2的右侧的图表所示那样,将与检测对象的异常通信的假定持续时间相对应地确定的期间内的通信量输出到预定的监视装置2。例如,在检测对象的异常通信是微爆流的情况下,对与例如数十ms这样的假定持续时间相对应地确定的期间内的通信量进行标记并使其可视化,从而能够对微爆流的发生、其预兆进行检测。另外,所谓微爆流是指在数秒?数分的监视周期中不能够补充的、在短期间发生并收敛的通信。[第I实施方式]接下来,参照附图对本专利技术的第I实施方式详细地进行说明。图3是表示本专利技术的第I实施方式的网络装置的结构的框图。参照图3,示出了网络装置1,其具备:输入端口61、入口处理部10、监管(policing)本文档来自技高网...
【技术保护点】
一种网络装置,其特征在于,具备:标记部,其对超过了预定的限制速率的通信进行标记;测量部,其对所述标记了的通信量进行测量;以及监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。
【技术特征摘要】
【国外来华专利技术】1.一种网络装置,其特征在于,具备: 标记部,其对超过了预定的限制速率的通信进行标记; 测量部,其对所述标记了的通信量进行测量;以及 监视部,其输出与检测对象的异常通信的假定持续时间相对应地确定的期间内的所述测量了的通信量。2.根据权利要求1所述的网络装置,其特征在于, 所述测量部使用过滤器对通信量进行测量,其中所述过滤器对由所述标记部写入到数据包中的信息进行检测。3.根据权利要求1或2所述的网络装置,其特征在于, 所述标记部通过改写数据包头的设定了已知值的区域的值来进行标记, 所述测量部进行将由所述标记部改写后的信息复原为所述已知值的处理。4.根据权利要求1?3中任一项所述的网络装置,其特征在于, 所述监视部在任意时刻的通信量与比所述任意时刻靠前的时刻的通信量的差超过了预定阈值的情况下,作为发生了异常通信的情况而进行通知。5.根据权利要求1?4中任一项所述的网络装置,其特征在于, 所述检测对象的异常通信是...
【专利技术属性】
技术研发人员:田渊公士,
申请(专利权)人:日本电气株式会社,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。