著录项信息
专利名称 | 通信统计收集装置 |
申请号 | CN200510005964.6 | 申请日期 | 2005-01-31 |
法律状态 | 暂无 | 申报国家 | 中国 |
公开/公告日 | 2005-12-28 | 公开/公告号 | CN1713617 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L12/56 | IPC分类号 | H;0;4;L;1;2;/;5;6;;;H;0;4;L;1;2;/;2;4查看分类表>
|
申请人 | 株式会社日立制作所 | 申请人地址 | 日本神奈川县
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 阿拉克斯拉网络株式会社 | 当前权利人 | 阿拉克斯拉网络株式会社 |
发明人 | 赤羽真一;长坂充;须贝和雄;石川有一 |
代理机构 | 永新专利商标代理有限公司 | 代理人 | 胡建新 |
摘要
本发明提供一种可动态选择统计对象包、收集不同数据包流的统计信息的通信统计信息收集装置。具有:流表格检索部,从流表格中检索对应于检索关键字的流项目;对不同流收集统计信息的统计收集处理部;统计信息通知包生成部,生成用于将存放的统计信息通知给收集装置的包;项目管理部,按照从流表格中检索到的统计控制项目表示的统计控制信息,更新流表格;和拷贝生成部,按照从流表格中检索到的特定项目表示的统计控制信息,以规定的采样速率来生成应传送给收集装置的采样包。
1.一种通信统计信息收集装置,具有:由定义了用于识别数据包流的流识别条件的多个流项目构成的流表格;以及检索处理部,将从网络接收数据包的标题中提取的多个标题信息项目的组合作为流检索关键字,从上述流表格中检索具有与上述流检索关键字对应的流识别条件的流项目,该通信统计信息收集装置利用上述流表格的检索结果,收集不同数据包流的统计信息,其特征在于:
所述通信统计信息收集装置具有统计功能控制表格,该统计功能控制表格包含至少一个统计控制项目,该统计控制项目与流识别条件对应地定义了用于限定应成为统计对象的数据包的统计控制信息;
上述检索处理部根据由各接收数据包的标题信息生成的上述流检索关键字,检索上述流表格,在没有对应于上述流检索关键字的流项目的情况下,检索上述统计功能控制表格,在检索到对应于上述流检索关键字的统计控制项目时,根据该统计控制项目所表示的统计控制信息,执行与该统计控制项目的流识别条件对应的数据包流的统计信息的收集处理。
2.根据权利要求1所述的通信统计信息收集装置,其特征在于:
所述检索处理部具备变更单元,该变更单元用于在检索到作为与上述流检索关键字对应的项目的上述统计控制项目时,根据该统计控制项目所表示的统计控制信息,变更所述流表格或统计功能控制表格的内容。
3.根据权利要求1或2所述的通信统计信息收集装置,其特征在于:
具有统计信息表,该统计信息表由与所述流表格和统计功能控制表格的各项目对应的用于存放统计信息的多个统计信息项目构成,
所述检索处理部具备统计收集处理部,该统计收集处理部对于通过所述流检索关键字检索到的流项目或与统计控制项目对应的统计信息项目,执行伴随着数据包接收的统计信息的更新处理。
4.根据权利要求1或2所述的通信统计信息收集装置,其特征在于:
所述统计功能控制表格包含第1、第2统计控制项目,该第1、第2统计 控制项目对于成为上述流检索关键字的多个标题信息项目中的至少一个,指定成为统计对象的数据包应具备的标题信息值来作为流识别条件,
上述第1统计控制项目的统计控制信息对于与流识别条件对应的数据包流,指定对通过上述流检索关键字识别的不同数据包流应收集统计信息;上述第2统计控制项目的统计控制信息对于与流识别条件对应的数据包流,指定应以规定的采样速率来生成接收数据包的拷贝,
所述检索处理部具备:追加单元,在检索到作为与上述流检索关键字对应的项目的上述第1统计控制项目时,向所述流表格追加将上述流检索关键字设为流识别条件的新的流项目;和开始单元,在检索到作为与上述流检索关键字对应的项目的上述第2统计控制项目时,开始控制动作,该控制动作用于以规定的采样速率来生成与流识别条件对应的接收数据包的拷贝,并传送到特定的统计信息处理装置。
5.根据权利要求1或2所述的通信统计信息收集装置,其特征在于:
所述统计功能控制表格包含第1统计控制项目,该第1统计控制项目对于成为上述流检索关键字的多个标题信息项目中的至少一个,指定成为统计对象的数据包应具备的标题信息值来作为流识别条件,并且包含作为统计控制信息的一部分的表示应登录新的流项目的登录标志,
所述检索处理部具有项目管理部,该项目管理部在从上述统计功能控制表格中检索到作为与上述流检索关键字对应的统计控制项目的上述第1统计控制项目时,把新的流项目追加到所述流表格中,该新的流项目将从接收数据包的标题中提取出的多个标题信息项目的组合作为流识别条件。
6.根据权利要求5所述的通信统计信息收集装置,其特征在于:
所述第1统计控制项目包含作为统计控制信息的一部分的统计处理的开始条件,所述项目管理部在从上述统计功能控制表格中检索到上述第1统计控制项目时,对照上述统计处理的开始条件和与该第1统计控制项目对应的统计信息项目所表示的统计信息,在满足统计处理的开始条件的时刻,将所述新的流项目追加到所述流表格中。
7.根据权利要求3所述的通信统计信息收集装置,其特征在于:
所述统计功能控制表格包含作为统计控制信息的一部分的第2统计控制项目,该第2统计控制项目包含将按规定的采样速率生成的接收数据包的拷贝传送到事先指定的统计信息处理装置的采样处理的开始条件和表示是否执行采样处理的采样处理标志,所述检索处理部具备:
采样判定部,在从上述统计功能控制表格中检索到作为与上述流检索关键字对应的统计控制项目的上述第2统计控制项目时,若采样处理标志为关闭状态,则对上述采样处理的开始条件和与该第2统计控制项目对应的统计信息项目所表示的统计信息进行对照,在满足采样处理的开始条件的时刻,将上述采样处理标志变更成打开状态;和采样处理部,在采样处理标志为打开状态时,按规定的采样速率产生用于生成接收数据包的拷贝的控制信号。
8.根据权利要求7所述的通信统计信息收集装置,其特征在于:
所述第2统计控制项目包含作为统计控制信息的一部分的采样处理的结束条件,所述采样判定部在从所述统计功能控制表格中检索到上述第2统计控制项目时,若采样处理标志为打开状态,则对上述采样处理的结束条件和与该第2统计控制项目对应的统计信息项目所表示的统计信息进行对照,在满足采样处理的结束条件的时刻,将上述采样处理标志恢复成关闭状态。
9.根据权利要求7所述的通信统计信息收集装置,其特征在于:
由数据包流的频域值来指定所述采样处理的开始条件,与所述第2统计控制项目对应的统计信息项目包含有作为统计信息项目的一部分的频域。
10.一种通信统计信息收集装置,具有:由定义了用于识别数据包流的流识别条件的多个流项目构成的流表格;以及检索处理部,将从网络接收数据包的标题中提取的多个标题信息项目的组合作为流检索关键字,从上述流表格中检索具有与上述流检索关键字对应的流识别条件的流项目,该通信统计信息收集装置利用上述流表格的检索结果,收集不同数据包流的统计信息, 其特征在于:
上述流表格包含至少一个统计控制项目,该统计控制项目与流识别条件对应地定义了用于限定应成为统计对象的数据包的统计控制信息,
在从上述流表格中检索到作为与由各接收数据包的标题信息生成的流检索关键字对应的项目的上述统计控制项目时,上述检索处理部根据该统计控制项目所表示的统计控制信息,执行与该统计控制项目的流识别条件对应的数据包流的统计信息的收集处理,并且根据该统计控制项目所表示的统计控制信息,变更上述流表格的内容。
11.根据权利要求10所述的通信统计信息收集装置,其特征在于:
在检索到作为与上述流检索关键字对应的项目的上述统计控制项目时,所述检索处理部根据该统计控制项目所表示的统计控制信息,生成新的流项目,并向所述流表格中追加该流项目。
12.根据权利要求10或11所述的通信统计信息收集装置,其特征在于:
具有统计信息表,该统计信息表由与所述流项目的各流项目对应的用于存放统计信息的多个统计信息项目构成,
所述检索处理部具备统计收集处理部,该统计收集处理部对于与从所述流表格中检索到的流项目对应的统计信息项目,执行伴随着数据包接收的统计信息的更新处理。
13.根据权利要求10或11所述的通信统计信息收集装置,其特征在于:
所述流表格包含第1统计控制项目,该第1统计控制项目对于成为上述检索关键字的多个标题信息项目中的至少一个、指定成为统计对象的数据包应具备的标题信息值来作为流识别条件,并包含作为统计控制信息的一部分的表示应登录新的流项目的登录标志,所述检索处理部在从上述流表格中检索到上述第1统计控制项目时,把新的流项目追加到所述流表格中,该新的流项目将从接收数据包的标题中提取出的多个标题信息项目的组合作为流识别条件。
14.根据权利要求12所述的通信统计信息收集装置,其特征在于:
所述流表格包含第2统计控制项目,该第2统计控制项目作为统计控制 信息的一部分,包含按规定的采样速率将接收数据包的拷贝传送到事先指定的统计信息处理装置的采样处理的开始条件和表示是否执行采样处理的采样处理标志,
所述检索处理部具备:
采样判定部,在从上述流表格中检索到上述第2统计控制项目时,若采样处理标志为关闭状态,则根据上述采样处理的开始条件和与该第2统计控制项目对应的统计信息项目所表示的统计信息,判定采样处理是否开始,并在满足采样处理的开始条件的时刻,将上述采样处理标志变更成打开状态;和
采样处理部,在采样处理标志为打开状态时,按规定的采样速率产生用于生成接收数据包的拷贝的控制信号。
15.根据权利要求14所述的通信统计信息收集装置,其特征在于:
所述第2统计控制项目包含作为统计控制信息的一部分的采样处理的结束条件,所述采样判定部在检索到所述第2统计控制项目时,若采样处理标志为打开状态,则根据上述采样处理的结束条件和与该统计控制项目对应的统计信息项目所表示的统计信息,判定采样处理是否结束,在满足采样处理的结束条件的时刻,将上述采样处理标志恢复成关闭状态。
16.根据权利要求14所述的通信统计信息收集装置,其特征在于:
由数据包流的频域值来指定所述采样处理的开始条件,与所述第2统计控制项目对应的统计信息项目包含有作为统计信息项目的一部分的频域。
17.一种与网络连接的通信统计信息收集装置,其特征在于,具有:
流表格,由与用于识别数据包流的流识别条件对应地定义了统计控制信息的多个流项目构成;
统计信息表,由与上述流表格的各项目对应地存放统计信息的多个统计信息项目构成;
流表格检索部,将从接收自上述网络的数据包的标题中提取的多个标题信息项目的组合作为流检索关键字,从上述流表格中检索具有与上述流检索 关键字对应的流识别条件的流项目;
统计收集处理部,在与通过上述流表格检索部检索到的流项目对应的统计信息项目中,收集不同数据包流的统计信息;
统计信息通知包生成部,生成用于将存放在上述统计信息表中的统计信息通知给事先指定的其它统计信息处理装置的数据包;和
拷贝生成部,根据由上述流表格检索部检索到的特定的流项目所表示的统计控制信息,以规定的采样速率来生成应传送给上述其它统计信息处理装置的接收数据包的拷贝。
18.根据权利要求17所述的通信统计信息收集装置,其特征在于:
所述流表格包含至少一个统计控制项目,该统计控制项目与流识别条件对应,定义了用于限定应成为统计对象的数据包的统计控制信息,其中,该流识别条件为对于成为上述流检索关键字的多个标题信息项目中的至少一个,指定了成为统计对象的数据包应具备的标题信息值,
所述通信统计信息收集装置具有项目管理部,该项目管理部在由所述流表格检索部检索到作为与上述流检索关键字对应的项目的上述统计控制项目时,根据该项目表示的统计控制信息,把新的流项目追加到上述流表格中,该新的流项目将上述流检索关键字的内容设为流识别条件。
19.根据权利要求18所述的通信统计信息收集装置,其特征在于:
所述项目管理部监视所述统计信息表的状态变化,检测超过规定时间时统计信息没有变化的统计信息项目,并从上述统计信息表和所述流表格中读出该统计信息项目所表示的统计信息和与该项目对应的流识别条件,提供给所述统计信息通知包生成部。
20.根据权利要求18所述的通信统计信息收集装置,其特征在于:
所述项目管理部在向所述流表格追加新的流项目时,根据需要选择应从上述流表格中删除的流项目,并从上述流表格和所述统计信息表中读出该流项目表示的流识别条件和与该流项目对应的统计信息项目所表示的统计信息,并提供给所述统计信息通知包生成部。
通信统计收集装置\n[0001] 本发明涉及一种通信统计收集装置,具体而言,是涉及一种作为节点装置连接于通信网络上、对不同数据包流来分别收集数据包数量、字节数量等统计信息的通信统计收集装置。\n背景技术\n[0002] 因特网作为重要的社会基础设施而存在,不仅应用于以前的Best-Effort型数据通信,还开始应用于声音、动态图像等实时数据、或基础业务的事务数据等需要保证通信品质的数据通信中。另外,伴随基于ADSL(Asymmetric Digital Subscriber Line)或FTTH(Fiber To The Home)技术的访问线路的宽频带化,被通信的数据量也倾向于增大。\n[0003] 在这种背景下,媒介或ISP(Internet Service Provider)等通信服务商为了把握网络上的通信状态,需要执行通信数据量等统计信息的收集或分析的网络监视功能。尤其是,对按数据的发送源或目的地、应用、品质等级等分类的不同通信数据群(下面称为流)分别收集、分析统计信息的功能的高度化要求很高。\n[0004] 媒介或ISP通过利用这种每个流的统计信息,在提供品质保证的通信服务时,能确认通信品质的保证状况。另外,能有效使用有限的网络资源,执行对应于数据量增大的通信工程(下面简称为TE)。此外,还能进行供应,预测顾客的需要,有计划地准备网络资源,对通信频带或服务等用户请求迅速地提供网络资源,或检测不正当用户对网络资源的攻击,并进行分析、收费等。通常将统计信息收集功能装备在网络上执行数据包传送控制的路由器、开关等节点装置中。\n[0005] 作为流统计信息的收集方式,已知例如http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/nflov_pg.ppt中记述的高速缓冲存储器(cache)型流统计技术(非专利文献1)。使用上述现有技术的统计信息收集系统由分散配置在网络上的多个统计信息收集装置、和根据从这些统计信息收集装置定期通知的统计信息来分析网络整体的通信量的收集(collector)装置构成。\n[0006] 具有高速缓冲存储器型统计信息收集功能的路由器具备识别接收数据包的所属流用的流表格,按照组合接收数据包的标题信息项目或数据包的输入线路接口序号等构成的检索关键字,检索流表格。流表格由对每个流准备的多个流项目(flow entry)构成,各流项目例如通过发送源IP地址、目的地IP地址、协议种类、TOS(Type of Service)值、发送源TCP(TransmissionControl Protocol)/UDP(User Datagram Protocol)端口序号、目的地TCP/UDP端口序号、输入线路界面序号等的组合,定义流识别条件。\n[0007] 在接收数据包与登录在协议中的某个流识别条件一致的情况下,对于与该流识别条件对应准备的统计信息项目,更新数据包数量或字节数量等统计数据。上述流表格检索的结果,在接收数据包与协议上的任一流识别条件都不一致的情况下,将把构成检索关键字的标题信息项目与输入界面序号等的组合作为流识别条件的新的流项目追加到流表格中。定期监视统计信息项目的内容,例如将一定期间以上、统计数据没有变化的统计信息项目的内容作为统计信息数据发送到收集装置。另外,通过老化处理,从表格中删除已通知给收集装置的统计信息项目、和与之对应的流项目。\n[0008] 作为流统计信息的其它收集方式,已 知例如Internet Engineering \nTaskForce(IEFT)的RFC3176(非专利文献2)中记载的采样型流统计技术。在采样型统计信息收集系统中,各路由器有选择地将接收数据包的拷贝传送到收集装置,收集装置侧从这些拷贝数据包中识别流,执行统计信息的收集与分析。\n[0009] 构成采样型统计信息收集系统的各路由器按照事先由网络管理者设定的采样速率,采样接收数据包,按事先规定的封装(capsule)化格式,将采样到的接收数据包的拷贝(拷贝数据包)传送到收集装置。有时也向各封装化数据包追加例如接收数据包的输入线路界面序号、根据接收数据包的标题信息特定的输出线路界面序号、下一传送对象路由器的IP地址(Nest Hop IP地址)等、流识别用的信息。收集装置从由路由器传送的封装化数据包中提取拷贝数据包,根据拷贝数据包的标题信息、和必要时追加的流识别用信息,识别流,更新不同流的统计信息。\n[0010] 在上述封装型的现有统计信息收集系统中,使用于流识别条件与检索关键字的信息要素的组合是固定的,收集统计信息的各路由器对全部接收数据包一律收集不同流的统计信息。因此,存在登录在流表格中的流项目数量和统计信息项目数量增加的问题。\n[0011] 通常,流识别所需的流识别条件信息为200-600比特左右。作为将这种多个比特信息作为检索关键字来高速执行表格检索的方式,有使用CAM(Content Addressable Memory)的检索方式。CAM方式可高速匹配表示登录在存储器中的流识别条件的位模式、和作为检索关键字提供的位模式。但是,CAM与通常的半导体存储器相比,位单价高,所以如高速缓冲存储器型统计信息收集系统所示,若各路由器的流项目数量增加,则流表格的构成中需要大量的CAM芯片,存在路由器价格变高的问题。\n[0012] 另外,在高速缓冲存储器型的现有统计信息收集系统中,作为流识别条件,由于只能使用固定的标题信息项目的组合,所以难以将上述信息项目之外的其它信息要素、例如用于识别TCP连接的控制包种类的TCP标志、或以太网(Ethernet:注册商标名)标题内的目的地MAC(Media Access Control)地址、发送源MAC地址、用于识别虚拟LAN的VLAV(Virtual LAN)识别符等用于流识别。\n[0013] 另一方面,在采样型统计信息收集系统中,由于在收集装置侧进行流识别,所以可执行由路由器侧进行流识别的高速缓冲存储器型所不能进行的使用高协议层标题信息的流分类、和基于包数据的内容分析的统计信息的收集。另外,在采样型中,由于能对每个接收数据包的输入线路界面指定是否执行拷贝数据包生成用的采样,所以例如可通过将统计对象包限定成来自特定输入线路的接收数据包,提高流统计精度。\n[0014] 但是,在采样型的现有统计信息收集系统中,因为不能指定是否进行基于输入线路界面之外的单位、例如协议种类的采样,所以限制了收集装置的流统计精度的提高。另外,在现有技术中,是否采样需要由网络管理者事先设定,存在不能根据通信量状况来动态改变是否采样的设定的问题。\n发明内容\n[0015] 本发明的目的在于提供一种可动态选择统计对象包、收集不同数据包流的统计信息的通信统计信息收集装置。\n[0016] 本发明的另一目的在于提供一种可对于具有事先指定的属性的数据包流、在流表格中灵活登录流识别项目的通信统计信息收集装置。\n[0017] 本发明的再一目的在于提供一种可根据数据包流来选择地使用高速缓冲存储器型和采样型统计信息收集功能的通信统计信息收集装置。\n[0018] 为了实现上述目的,本发明的统计信息收集装置具有由定义用于识别数据包流的流识别条件的多个流项目构成的流表格;统计功能控制表格,与流识别条件对应,包含定义了用于限定应成为统计对象的数据包的统计控制信息的至少一个统计控制项目;和检索处理部,将从网络接收数据包的标题中提取的多个标题信息项目的组合作为流检索关键字,从上述流表格和统计功能控制表格中检索具有对应于流检索关键字的流识别条件的流项目,\n[0019] 上述检索处理部按照根据各接收数据包的标题信息生成的流检索关键字,检索流表格,在没有对应于流检索关键字的流项目的情况下,检索统计功能控制表格,在检索到对应于上述流检索关键字的统计控制项目时,按照该统计控制项目表示的统计控制信息,执行对应于该统计控制项目的流识别条件的数据包流的统计信息收集处理。\n[0020] 本发明的特征之一在于,上述检索处理部在检索到统计控制项目、作为对应于流检索关键字的项目时,按照该统计控制项目表示的统计控制信息,变更上述流表格或上述统计功能控制表格的内容。\n[0021] 上述统计控制项目与通常的流项目不同,作为流识别条件,对成为流检索关键字的多个标题信息项目中的至少一个,指定成为统计对象的数据包应具备的标题信息值。在本发明的最佳实施方式中,为了使表格检索高速化,将上述统计功能控制表格统一为流表格,在看不到与流检索关键字对应的流项目时,从流表格中检索与流检索关键字对应的统计控制信息项目。\n[0022] 具体而言,本发明的通信统计信息收集装置具有由与各个流项目和统计控制项目对应、用于存放统计信息的多个统计信息项目构成的统计信息表,上述检索处理部具备统计收集处理部,对于通过流检索关键字检索到的流项目或与统计控制项目对应的统计信息项目,执行伴随数据包接收的统计信息的更新处理。\n[0023] 本发明的一个特征在于,上述统计功能控制表格(或流表格)包含第1统计控制项目,作为统计控制信息的一部分,该第1统计控制项目包含表示应登录新的流项目的登录标志,具有项目管理部,当上述检索处理部检索到上述第1统计控制项目、作为对应于流检索关键字的项目时,为了收集由流检索关键字特定的不同数据包流的统计信息,将把从接收数据包的标题中提取出的多个标题信息项目组合设为流识别条件的新的流项目追加到上述流表格中。\n[0024] 本发明的再一特征在于,上述统计功能控制表格(或流表格)包含第2统计控制项目,利用统计控制信息,对与流识别条件对应的数据包流指定应按规定采样速率生成接收数据包的拷贝,上述检索处理部在检索到上述第2统计控制项目、作为对应于流检索关键字的项目时,开始控制动作,以规定的采样速率生成对应于流识别条件的接收数据包的拷贝,将拷贝数据包传送到特定的统计信息处理装置。\n[0025] 在本发明的1实施例中,上述第2统计控制项目包含按规定的采样速率将生成的接收数据包的拷贝传送到事先指定的统计信息处理装置的采样处理的开始条件、和表示是否执行采样处理的采样处理标志,作为统计控制信息的一部分,上述检索处理部具备采样判定部,在检索到上述第2统计控制项目作为对应于流检索关键字的项目时,若采样处理标志为关闭状态,则对照上述采样处理的开始条件、和对应于该第2统计控制项目的统计信息项目表示的统计信息,在满足采样处理的开始条件的时刻,将上述采样处理标志变更成打开状态;和采样处理部,在采样处理标志为打开状态时,按规定的采样速率产生用于生成接收数据包的拷贝的控制信号。\n[0026] 在本发明的1实施例中,上述第2控制项目包含采样处理的结束条件,作为统计控制信息的一部分。此时,采样判定部在从统计功能控制表格中检索到第2控制项目时,若采样处理标志为打开状态,则对照上述采样处理的结束条件、和与该第2控制项目对应的统计信息项目表示的统计信息,在满足采样处理的结束条件的时刻,将上述采样处理标志恢复成关闭状态。例如由数据包流的频域值来指定采样处理的开始条件和结束条件。\n[0027] 从其它观点看,本发明的通信统计信息收集装置具有流表格检索部,将从由网络接收到的数据包的标题中提取的多个标题信息项目的组合作为流检索关键字,从流表格中检索具有与流检索关键字对应的流识别条件的流项目或统计控制项目;\n[0028] 统计收集处理部,在与通过上述流表格检索部检索的项目对应的统计信息项目中,收集不同数据包流的统计信息;\n[0029] 统计信息通知包生成部,生成用于将存放在统计信息表中的统计信息通知给事先指定的其它统计信息处理装置的包;和\n[0030] 拷贝生成部,按照由上述流表格检索部检索到的特定流项目表示的统计控制信息,以规定的采样速率来生成应传送给上述其它统计信息处理装置的接收数据包的拷贝。\n[0031] 本发明的通信统计信息收集装置的一个特征在于,具有项目管理部,在所述流表格检索部检索到上述统计控制项目、作为对应于流检索关键字的项目时,按照该项目表示的统计控制信息,把将上述流检索关键字的内部设为流识别条件的新的流项目追加到上述流表格中。\n[0032] 可通过上述项目管理部来执行向统计信息通知包生成部提供统计信息。在本发明的1实施例中,上述项目管理部监视所述统计信息表的状态变化,检测越过规定时间统计信息没有变化的统计信息项目,并从上述统计信息表与流表格中读出该统计信息项目表示的统计信息和与该项目对应的流识别条件,提供给上述统计信息通知包生成部。另外,在向流表格追加新的流项目时,所述项目管理部选择必要时应从流表格中删除的流项目,并从上述流表格和所述统计信息表中读出该流项目表示的流识别条件、和对应于该流项目的统计信息项目表示的统计信息,提供给所述统计信息通知包生成部。\n[0033] 在本发明中,由各流项目定义的流识别条件除例如从接收数据包的IP标题中提取的标题信息项目外,还可设为TCP或UDP等从层4标题、或Ethernet等的层2标题中提取的标题信息项目、接收数据包的输入线路序号和输出线路序号的组合。\n[0034] 根据本发明,因为可由统计控制项目表示的统计控制信息来限定成为统计对象的数据包流的种类,所以可抑制登录于流表格中的流项目数量的增加。因此,可减少流表格所需的高速存储器的容量,降低装置价格。\n[0035] 另外,根据本发明的结构,可通过统计控制项目的统计控制信息来选择地执行高速缓冲存储器型和采样型的统计信息收集,也可指定为了采样型的统计信息收集而应传送到收集装置的拷贝数据包的生成条件。例如,对于将成为监视对象的特定数据包流的属性设为流识别条件的统计控制项目,通过指定表示采样开始条件的频域值来作为统计控制信息的一部分,在上述特定数据包流的频域到达开始条件的时刻,开始接收数据包的采样,并开始向收集装置传送拷贝数据包。\n[0036] 此时,因为可限定发送到收集装置的采样的母集团,所以收集装置中的统计信息的存放变容易,可提高分析精度。另外,由此例如可容易自动检测对特定服务器的攻击数据、病毒数据等、通信量图案有特征的数据包流,并进行分析。另外,由此可有效利用网络或收集装置的资源。\n附图说明\n[0037] 图1是表示使用本发明的统计收集装置的通信网络一例的图。\n[0038] 图2是表示由图1的通信网络通信的数据包的格式图。\n[0039] 图3是表示Ethernet V2的帧的标题格式的图。\n[0040] 图4是表示Tag VLAN对应的Ethernet V2帧的标题格式的图。\n[0041] 图5是表示IPv4数据包的标题格式的图。\n[0042] 图6是表示IPv6数据包的标题格式的图。\n[0043] 图7是表示TCP的标题格式的图。\n[0044] 图8是表示图7中的TCP标志133的细节的图。\n[0045] 图9是表示UDP标题的格式的图。\n[0046] 图10是表示由图1的路由器R1收集的流识别条件一例的图。\n[0047] 图11是表示由图1的路由器R1收集的统计信息的一例的图。\n[0048] 图12是表示具备本发明的统计收集功能的路由器R1一实施例的结构图。\n[0049] 图13是表示本发明的路由器R1与管理终端1300的连接关系的一例的图。\n[0050] 图14是表示本发明的路由器R1与管理终端1300的连接关系的另一例的图。\n[0051] 图15是表示在本发明的路由器内部处理的内部数据包的格式一例的图。\n[0052] 图16是表示图12的接收数据包处理部20的一实施例的框图。\n[0053] 图17是表示积累在图16的存储器25A、25B中的数据包数据管理信息块200的一例的图。\n[0054] 图18是表示积累在图16的存储器25A(或25B)中的数据包数据管理信息块、与积累在存储器24中的数据块的关系图。\n[0055] 图19是表示图16的发送数据包处理部30的1实施例的框图。\n[0056] 图20是表示图16的检索处理部40的1实施例的框图。\n[0057] 图21是表示图16的流表格60的一例的图。\n[0058] 图22是表示图16的统计信息表70一例的图。\n[0059] 图23是表示图20的检索结果输出部48输出的检索结果通知480的一例的图。\n[0060] 图24是表示图16的拷贝管理部28具备的地址释放控制表格280的一例的图。\n[0061] 图25是表示图20的流管理表格49的一例的图。\n[0062] 图26是表示图20的统计信息通知数据包生成部53输出的统计信息通知数据包\n300的格式一例的图。\n[0063] 图27是用于说明图12所示的流表格60的另一实施例的图。\n[0064] 图28是用于说明图12所示的统计信息表70另一实施例的图。\n具体实施方式\n[0065] 下面,参照附图来说明本发明的通信统计信息收集装置的实施例。\n[0066] 图1表示使用本发明的通信统计信息收集装置的网络结构的一例。\n[0067] 这里所示的网络NW由容纳了终端T1、T2、T3、T4的路由器R1、容纳了服务器S1的路由器R2、容纳了服务器S2的路由器R3、和连接于路由器R1的统计信息的收集装置C1构成,路由器R1具备作为本发明的通信统计信息收集装置的功能。终端T1、T2、T3、T4分别经线路C-T1、C-T2、C-T3、C-T4连接于路由器R1上,路由器R1经线路C-R2、C-R3连接于路由器R2、R3上。\n[0068] 在上述网络NW中,在终端T1、T3与服务器S1、终端T2、T4与服务器S2进行通信中,将从服务器S1发送到终端T1、T3的IP(Internet Protocol)数据包的流分别称为“流\n1”、“流2”,将从服务器S2到终端T2、T4的IP数据包流分别称为“流3”、“流4”。\n[0069] 这里,流1由IP的上位协议为TCP、IP标题内的TOS(Type of Service)为TOS1、TCP标题内的发送源端口序号与目的地端口序号分别为SPRT1、DPRT1的数据包串构成,流\n2由IP的上位协议为TCP、TOS为TOS1、发送源端口序号与目的地端口序号分别为SPRT1、DPRT3的数据包串构成。另外,流3由IP的上位协议为UDP、TOS为TOS2、UDP标题内的发送源端口序号与目的地端口序号分别为SPRT2、DPRT2的数据包串构成,流4由IP的上位协议为UDP、TOS为TOS2、发送源端口序号与目的地端口序号分别为SPRT2、PRT4的数据包串构成。\n[0070] 图2表示在上述网络上通信的IP数据包10的结构。\n[0071] IP数据包10由对应于OSI(Open System Interconnection)参照模块的协议层的多个层的标题、具体而言为层2标题11、层3标题12和层4标题13、与数据14构成。\n[0072] 作 为 层 2 的 协 议,例 如 可 使 用 Ethernet( 注 册 商 标 名 )、ATM(AsynchronousTransfer Mode)、MPLS(Multi-Protocol Label Switching)等协议,作为层3的协议,可使用IP version 4(IPv4)、IP version 6(IPv6)等协议。另外,作为层4的协议,可使用TCP、UDP等协议。\n[0073] 图3表示Ethernet V2帧的标题结构,作为层2标题11的一例。\n[0074] 对Ethernet V2帧标题,设定表示帧的开始的前置码/SFD111、层2中的目的地终端地址(目的地MAC地址)112和发送源地址(发送源MAC地址)113、和表示层3的协议的种类118。\n[0075] 图4表示Tag VLAN对应的Ethernet V2帧的标题格式,作为层2标题11的另一例。对Tag VLAN对应的Ethernet V2帧标题,设定表示帧的开始的前置码/SFD111、层2中的目的地终端地址(目的地MAC地址)112和发送源地址(发送源MAC地址)113、表示是Tag VLAN对应的TAG协议ID114、表示帧的传送优先级的优先级115、表示存储层2的路由信息的CFI(CannonicalField Indicator)116、VLAN识别符(VLAN ID)117、和表示层3的协议的种类118。\n[0076] 图5表示IPv4的标题结构,作为层3标题12的1例。\n[0077] 在IPv4标题中包含表示数据包的传送品质的ToS121、表示层4的协议的协议\n122、发送源IP地址126A、目的地IP地址127A等信息。ToS和协议分别由8比特构成,发送源IP地址和目的地IP地址分别由32比特构成。\n[0078] 图6表示IPv6的标题结构,作为层3标题12的另1例。\n[0079] 在IPv6标题中,包含表示数据包的传送品质的等级123、表示在该IPv6标题部之后的下一标题的种类的下一标题序号125、发送源IP地址126B、目的地IP地址127B等信息。下一标题例如为TCP或UDP的情况下,设定表示层4的协议的值,作为下一标题序号\n125。等级123和下一标题序号分别由8比特构成,发送源IP地址和目的地IP地址分别由\n128比特构成。\n[0080] 图7表示TCP的标题结构,作为层4标题13的一例。\n[0081] 在TCP标题中,包含分别为16比特长的发送源端口序号131A和目的地端口序号\n132A,作为上位层识别应用程序的逻辑端口序号。另外,包含表示TCP连接中的数据包种类的TCP标志133等信息。\n[0082] 如图8所示,TCP标志133由向接收终端指示将接收数据紧急传递到应用程序的紧急标志(URG)1331、通知发送终端接收终端接收到数据的ACK1332、指示发送终端和接收终端不延迟地传递数据的PUSH1333、指示TCP连接的复位的RST1334、指示连接的结束的FIN1335、和指示连接的确立的SYN1336的6个标志构成。\n[0083] 图9表示UDP的标题结构,作为层4标题13的另一例。\n[0084] 与TCP标题一样,在UDP标题中包含分别为16比特长的发送源端口序号131B和目的地端口序号132B。\n[0085] 图10表示图1的路由器R1中定义了成为统计信息的收集对象的流识别条件的流表格的一部分。这里,表示将统计信息的收集对象流限定为层4的协议为TCP流的情况。\n[0086] 流表格的各项目与流项目序号61相对应,表示流识别条件62和未图示的统计控制信息。流识别条件62由IP标题表示的发送源IP地址621、目的地IP地址622、上位协议623和TOS624、及TCP或UDP标题中包含的发送源端口序号625和目的地端口序号626的值定义。另外,这里所示的标题信息的组合不过是流识别条件的一例,流识别条件也可以是与图10不同的标题信息的组合。\n[0087] 在本发明的统计信息收集装置(路由器R1)中,通过后述的检索处理部40,动态执行项目向上述流表格的登录与删除、项目内容的部分纠正。在将向流表格的登录项目限定为协议种类为TCP的情况下,路由器R1仅将从线路C-R2、CR-3接收的数据包流中、上位协议为TCP的流1与流2登录在流表格中。\n[0088] 图11表示收集在路由器R1的统计信息表中的统计信息的一例。\n[0089] 统计信息表由与流表格的流项目序号61相对应的多个统计信息项目构成。\n[0090] 在这里所示的实例中,作为统计信息72,收集不同流的接收数据包数(下面称为数据包数)721、接收数据包的累计字节数(下面称为字节数)722、接收数据包的输入线路序号723、成为接收数据包的传送目的地的输出线路序号724与其它信息729。\n[0091] 图12是表示具备本发明的统计收集功能的路由器R1一实施例的框图。\n[0092] 路由器R1由连接于输入线路ICn(n=1-N)上的接收数据包处理部20、连接于输出线路OCn(n=1-N)上的发送数据包处理部30、连接于接收数据包处理部20上的检索处理部40、附带于检索处理部40上的流表格60、统计信息表70和路由表格80、和控制部90构成。流表格60如后所述,兼用作存储统计控制项目的统计功能控制表格。控制部90连接于管理终端1300,按照来自管理终端1300的指示,对接收数据包处理部20、检索处理部\n40、发送数据包处理部30执行各种参数信息的设定。\n[0093] 路由器R1也可以是分别由专用的LSI构成上述接收数据包处理部20、发送数据包处理部30、检索处理部40和控制部90,并相互连接这些专用LSI,为了减少LSI之间的布线,也可构成为由一个专用LSI来实现多个处理部,相互连接少数的专用LSI。另外,也可由通用的MPU(Micro Processing Unit)或NP(Network Processor)来实现路由器功能的一部分,来代替使用专用LSI。\n[0094] 图12中,示出由信号线L1连接接收数据包处理部20与发送数据包处理部30的结构,但装置也可构成为分别将接收数据包处理部20与发送数据包处理部30的个数设为多个,通过纵横开关来连接接收数据包处理部与发送数据包处理部之间。另外,作为检索处理部40参照的流表格60用的存储器,在要求高速的检索处理性能的情况下,例如使用CAM或SSRAM,在较低速的检索处理性能即可的情况下,可使用每比特的价格便宜、每比特的芯片面积也少的DRAM。\n[0095] 图13表示连接于路由器R1的控制部90上的管理终端1300的一例。\n[0096] 管理终端1300由用于显示路由器R1内的各种表格的内容的显示画面301、和用于选择、编辑显示于显示画面中的表格内容的任意部位的鼠标1302、键盘1303等的输入单元构成。管理终端1300如图14所示,也可经网络NW连接于路由器R1。另外,也可使收集装置C1具有管理终端1300的功能,从收集装置来更新路由器的表格信息。\n[0097] 图15表示在路由器R1内部传送的内部数据包的格式一例。\n[0098] 内部数据包构成为在图2所示来自网络的接收数据包的开头附加内部标题15。内部标题15包含表示数据包的接收线路的输入线路序号151、分别由检索处理部40确定的数据包的输出线路序号152、封装化指示标志153、封装标题信息154。\n[0099] 在封装化指示标志153中,设定标志信息,用于在需要按规定速率将采样的接收数据包的拷贝传送到收集装置C1时,从检索处理部40向发送数据包处理部30指示接收数据包的封装化。另外,在封装标题信息154中,设置在将采样的接收数据包传送到收集装置C1时所需的封装化标题的内容(层2标题、层3标题、层4标题)。封装标题信息154的内容在封装化指示标志153为导通状态时有效。\n[0100] 图16表示接收数据包处理部20的一实施例。\n[0101] 接收数据包处理部20由分别连接于输入线路ICi上的多个线路终端处理部\n21-i(i=1-N)、暂时积累从线路终端处理部21-i输出的接收数据包的缓冲存储器22-i(i=1-N)、暂时积累从检索处理部40提供的统计信息通知数据包的缓冲存储器22-(N+1)、连接于这些缓冲存储器上的数据包积累控制部23、数据包数据积累存储器24、输入数据包标题积累存储器25A、输出数据包标题积累存储器25B、存储器状态管理部26、标题发送控制部27、拷贝管理部28、和数据包传送控制部29构成。\n[0102] 各线路终端处理部21-i在从输入线路ICi接收数据包时,执行数据包数据的错误检测等数据包终端处理。各线路终端处理部21-i废弃检测到数据错误的接收数据包,将正常接收的数据包积累在缓冲存储器22-i中,将数据包接收通知给数据包积累控制部23。数据包积累控制部23在缓冲存储器22-(N+1)中也积累统计信息通知数据包时,从检索处理部40经信号线L530接收数据包接收通知。\n[0103] 数据包积累控制部23按照预定的选择规则,从有数据包接收通知的缓冲存储器中读出接收数据包,并生成应附带于接收数据包上的内部标题15。此时,内部标题15中,仅输入线路序号151的字段包含有效数据,其它字段152-154为空状态。由读出接收数据包的缓冲存储器22-k(k=1-N+1)来唯一确定输入线路序号151的值k。\n[0104] 数据包积累控制部23将包含生成的内部标题15和从接收数据包提取的层2标题\n1-层4标题13的固定长度标题部分作为图17中说明的数据包数据管理信息块200的一部分,存储在输入数据包标题积累存储器25A中。将作为接收数据包的剩余部分的可变长度的数据部14存储在数据包数据积累存储器24中。\n[0105] 在本实施例中,将数据包数据积累存储器24分割成固定长度的多个存储器块,由存储器状态管理部26来管理各存储器块的空状态(使用状态)。数据包积累控制部23在从缓冲存储器中读出一个接收数据包时,请求存储器状态管理部26分配个数对应于接收数据包的数据长度的空存储器块,并将接收数据包的数据部14分割存储在这些存储器块中。\n[0106] 图17表示数据包数据管理信息块200的一例。\n[0107] 数据包数据管理信息块200依次读出作为数据部积累用而分配给同一数据包的多个存储器块,由块种类标志201、分配给同一数据包的存储器块数202、表示存储在各存储器块中的有效数据长度的有效数据长度203、存储器地址204、和标题信息字段205构成。\n[0108] 存储器地址204表示数据包数据积累存储器24中的各存储器块的开头地址。另外,对标题信息字段205设定图15中所示的内部数据包的标题15、11-13。\n[0109] 在本实施例中,如图18所示,在向一个接收数据包分配多个空存储器块、例如块k、块k+2、块k+3的情况下,数据包积累控制部23生成数量与分配存储器块数相同的数据包数据管理信息块200-1~200-3,并将这些管理信息块以FIFO形式存储在输入数据包标题积累存储器25A中。块种类标志201表示该管理信息块200是否是附带于同一数据包的多个数据包数据管理信息块中的开头块。\n[0110] 图18中,示出将各存储器块的尺寸假设为L,将从缓冲存储器22-i中读出的接收数据包的数据部14的长度假设为2L+ΔL,分配块k、块k+2、块k+3的三个存储器块的情况。\n此时,与开头存储器块k对应的第1数据包数据管理信息块200-1对块种类标志201设定表示开头块的值,对存储器块数量202设定“3”,对有效数据长度203设定“L”,对存储器地址204如箭头P1所示,设定表示存储器块k的开头的指针地址值。\n[0111] 对上述第1数据包数据管理信息块200-1的标题信息字段205设定内部标题15、和层2标题11-层4标题13的值。但是,内部标题15中仅输入线路序号151有效,输出线路序号152-封装化标题信息154的值未定。如后所述,按照来自检索处理部40的检索结果来补充这些未定的标题信息要素。\n[0112] 与第2、第3存储器块k+2、k+3对应的第2、第3数据包数据管理信息块200-2、\n200-3对块种类标志201设定表示该块是后续块的值,将存储器块数202与标题信息字段\n205设为未使用。对第2数据包数据管理信息块200-2的有效数据长度203设定“L”,对存储器地址204如箭头P2所示,设定表示存储器块k+2的开头的指针地址值。另外,对第3数据包数据管理信息块200-3的有效数据长度203设定“ΔL”,对存储器地址204如箭头P3所示,设定表示存储器块k+3的开头的指针地址值。\n[0113] 这样,在输入数据包标题积累存储器25A中,以FIFO形式存储数据包数据管理信息块200-1~200-3,当由第1管理信息块200-1来指定构成组的存储器块的个数204与应附带于数据部14上的标题信息205时,依次读出这些1组数据包数据管理信息块200-1~\n200-3,并按照各管理信息块表示的存储器地址204,从数据包数据积累存储器24中依次读出分割后积累在多个块中的1数据包大小的数据。另外,必要时,通过利用第1管理信息块\n200-1所示的标题信息205,可封装化接收数据包,传送给收集装置C1。后面说明数据包接收处理部20的详细动作。\n[0114] 图19表示发送数据包处理部30的1实施例。\n[0115] 发送数据包处理部30由分别连接于输出线路OCi上的多个线路终端处理部\n31-i(i=1-N)、数据包输出控制部32、数据包数据积累存储器33、输出数据包标题积累存储器34、存储器状态管理部35、和数据包接收部36构成。后面详细描述发送数据包处理部\n30的动作。\n[0116] 图20表示检索处理部40的1实施例。\n[0117] 检索处理部40包括:经信号线L27连接于接收数据包处理部的标题发送控制部\n27上的标题信息积累部41、分别连接于标题信息积累部41上的流表格检索部42、路由表格检索部43和流项目管理部44、采样处理部45、采样判定部46、统计收集处理部47、经信号线L48连接于标题发送控制部27上的检索结果输出部48、附带于流项目管理部44上的流管理表格49、统计信息通知数据包标题信息积累部50、采样数据包标题信息积累部51、流信息积累部52、和统计信息通知数据包生成部53。\n[0118] 流表格检索部42根据从标题信息积累部41输出的标题信息,生成流表格60的检索关键字,并将从流表格60中检索到的统计控制信息输出到流项目管理部44和采样判定部46。另外,按照来自流项目管理部44的指示,执行流表格项目的追加/删除,将成为删除对象的流项目的内容输出到流信息积累部52。\n[0119] 路由表格检索部43根据从标题信息积累部41表示的标题信息中提取的接收数据包的目的地IP地址,访问路由表格80,将从路由表格80中检索到的路由信息通知给流表格检索部42、采样处理部45、统计收集处理部47、检索结果输出部48。\n[0120] 统计收集处理部47对应于流表格检索部42与路由表格检索部43的检索结果,更新统计信息表的统计数据。另外,统计收集处理部47对应于来自流项目管理部44的指令,读出积累在统计信息表0的特定项目中的统计信息,将其输出到流信息积累部52。\n[0121] 检索结果输出部48当从路由表格检索部43接收路由表格80的检索结果时,生成图23中详细描述的检索结果通知480,并经信号线L48将其发送到接收数据包处理部20的标题发送控制部27。\n[0122] 本实施例中所示的检索处理部40的统计收集处理部47具备高速缓冲存储器型的统计功能,按规定定时将积累在统计信息表70中的统计数据发送到收集装置C1;和采样型的统计收集功能,对特定流的接收数据包,按流表格60指定的采样速率生成采样(拷贝数据包),并将其发送给收集装置C1。\n[0123] 采样处理部45在从流表格(统计功能控制表格)中检索到的统计控制项目的统计控制信息指示进行采样处理(向收集装置传送拷贝数据包)的情况下,对接收数据包处理部20指示生成采样。采样的生成指示信息以包含在检索结果输出部48输出到信号线L48的检索结果通知中的形式,通知给接收数据包处理部20。另外,从采样数据包标题信息积累部51中读出在将采样发送给收集装置C1时所需的目的地IP地址等封装化标题信息,作为检索结果通知的一部分,通知给接收数据包处理部20。\n[0124] 采样判定部46如后所述,对应于流表格60的检索结果,检查接收数据包所属流的统计信息,在变为应开始采样处理的流状态时,执行作为统计控制信息的一部分的采样处理标志的改写。\n[0125] 统计信息通知数据包生成部53根据积累在流信息积累部52中的流条件和统计信息、及统计信息通知数据包标题信息积累部50所示的封装化标题信息,生成统计信息通知数据包,经信号线L53输出到接收数据包处理部20的缓冲存储器22-C。另外,在统计数据的通知对象与采样数据包的传送对象是同一收集装置的情况下,可由同一存储器来兼用作统计信息通知数据包标题信息积累部50与采样数据包标题信息积累部51。\n[0126] 网络管理者可经信号线L90与控制部90来执行对统计信息通知数据包标题信息积累部50与采样数据包标题信息积累部51的封装标题信息的设定、与对流表格60、路由表格80的项目信息的设定。\n[0127] 图21和图22表示路由器R1具备的流表格60与统计信息表70的具体内容的一例。\n[0128] 流表格60如图21所示,由与流项目序号61相对应、表示流识别条件62和统计控制信息63的多个项目构成,统计信息表70如图22所示,由与流项目序号61相对应、表示统计信息72的多个项目构成。\n[0129] 另外,流项目序号61表示为将流识别条件62、统计控制信息63、统计信息72彼此关联的信息,有时由于表格的结构而不需要流项目序号61。另外,通过将流项目序号61用作指针,也可将由流表格60定义的1群的多个流识别条件与一个统计控制信息项目与一个统计信息项目关联。\n[0130] 这里,示出作为流识别条件62,向图10所示的信息要素621-626附加其它信息\n629的实例。作为其它信息629,例如可使用数据包的输入、输出线路序号、图3所示的目的地/发送源MAC地址与种类、图4所示的TAG协议ID、优先级、VLAN-ID、图8所示的TCP标志的至少一部分。\n[0131] 从流表格60中,作为检索结果,如统计控制信息63所示那样,得到登录处理标志\n631、登录处理速率632、统计收集标志633、频域计算标志634、采样处理标志635、采样速率\n636、采样判定标志637、采样开始频域638、采样结束频域639、其它信息640。在这里所示的实例中,除图11所示的信息项目721-724、729外,向统计信息表70追加频域725,作为统计信息72。\n[0132] 在图21所示的流表格60中,具有流项目序号f1、f2的项目EN-1、EN-2定义了图\n10所示的上位协议为TCP的流1、流2的流识别条件62与统计控制信息63。在接收数据包的标题信息与项目EN-1、EN-2的流识别条件一致的情况下,检索处理部40对统计信息表的项目SE-1、SE-2所示的信息项目收集统计信息。\n[0133] 具有项目序号F12的项目EN-x12是一个统计控制项目,与其它的项目EN-1、EN-2不同,流识别条件62的上位协议623若为TCP,则表示流识别条件62的其它信息要素621、\n622、624-629可以用任意(“*”)来表示。\n[0134] 统计控制项目EN-x12在统计控制信息63的登录处理标志631为“1”,登录处理速率为“1/1”,输出项目EN-x12的统计控制信息作为流表格60的检索结果的情况下,按照上述登录处理标志631,检索处理部40执行向流表格60的新的流项目的登录动作。即,上述统计控制项目EN-x12用作自动将与流识别条件62一致的新的流项目追加到流表格60中的流登录用项目。\n[0135] 例如,在流表格60中,项目EN-1、EN-2为未登录状态、路由器R1接收了属于流1的数据包的情况下,流表格检索部42输出项目EN-x12的统计控制信息63,作为基于该数据包的标题信息的流表格60的检索结果。如后所述,检索处理部40的流项目管理部44着眼于流表格检索部42输出的统计控制信息63的登录处理标志631,在登录处理标志631为“1”时,向流表格检索部42指示基于标题信息积累部41表示的标题信息的新的流项目EN-1的登录。\n[0136] 因此,通过在初始状态下对流表格60设定流登录用的统计控制项目EN-x12,在满足该项目的流识别条件的接收数据包的处理时,可自动向流表格60追加统计收集用的新的流项目。项目EN-1、EN-2通过上述统计控制项目EN-x12自动追加到流表格60中。处于图21的状态时,路由器R1在接收到不符合项目EN-1、EN-2的流识别条件的新的TCP协议数据包的情况下,与该接收数据包相对应,向流表格60追加统计收集用的其它流项目。\n[0137] 另外,通过将统计收集用的流项目EN-1、EN-2优先于统计控制项目EN-x12来检索流表格60的项目排列,可避免将相同内容的统计收集用流项目重复登录于流表格60中。\n另外,在将统计控制项目EN-x12登录在与流表格60不同的统计功能控制表格中、流表格60中没有对应于检索关键字的项目的情况下,也可检索统计功能控制表格。\n[0138] 在本发明的实施例中,如上所述,流项目管理部44自动生成统计收集用的流项目,但统计功能控制项目以外的统计收集用的流项目群的一部分也可由管理者从管理终端\n1300手动设定。\n[0139] 在图21所示的统计控制信息63中,登录处理速率632表示命中流登录用统计控制项目EN-x12时的登录处理的执行速率,登录处理速率的设定值在登录处理标志631的设定值为“1”时有效。登录处理速率的设定值“1/1”意味着在命中统计控制项目EN-x12的情况下,必需执行流登录处理。\n[0140] 统计收集标志633在设定值为“1”的情况下,意味着更新该流的统计信息。频域计算处理标志634在设定值为“1”的情况下,意味着算出该流的频域725。在图21所示实例中,统计收集用项目EN-1、EN-2与统计控制项目EN-x12将统计收集标志设定为“1”,将频域计算处理标志624设定成“0”。因此,就图22所示的统计信息72而言,频域725成为统计对象之外的项目。\n[0141] 采样处理标志635的设定值为“1”时,意味着按照采样速率636生成接收数据包的拷贝,将其传送到收集装置C1。采样速率636的设定值在采样处理标志635的设定值为“1”的情况下有效。采样速率636的设定值例如在“1/1000”的情况下,意味着对于该流的\n1000个数据包按1个的比例来生成拷贝。在图21的实例中,流项目EN-1、EN-2、EN-x12由于采样处理标志635为“0”,所以采样速率636的值无意义。\n[0142] 采样判定标志637在其设定值为“1”时,向采样判定部46指示该流的采样的开始、结束的判定处理的执行。若设定值为“0”,则不执行采样判定处理。采样开始频域638表示成为该流的采样开始条件的流频域值,采样结束频域639表示成为采样结束条件的流频域值。\n[0143] 采样判定部46在采样判定标志637为“1”的情况下,比较采样开始频域638与对应的统计信息项目表示的当前频域725,并在当前频域比采样开始频域大的时刻,将采样处理标志635变更为“1”。另外,在采样处理标志635处于“1”状态时,比较当前频域725与采样结束频域639,在当前频域比采样结束频域小的时刻,将采样处理标志635恢复成“0”。\n在图21中,项目EN-1、EN-2、EN-x12由于将采样判定标志设定成“0”,所以不执行基于接收数据包采样的拷贝的生成。\n[0144] 下面,参照图16、图19、图20来详细说明本发明的路由器的动作。首先,说明在流表格60中仅存在流登录用项目EN-x12,统计收集用的项目EN-1、EN-2未登录的状态下,数据包积累控制部23处理属于流1的接收数据包时的路由器动作。\n[0145] 数据包积累控制部23当从缓冲存储器22-1~22-(N+1)之一读出接收数据包时,在生成内部标题15之后,指定接收数据包的数据部积累所需的存储器块的个数,请求存储器状态管理部26分配存储器块。存储器状态管理部26对于数据包数据积累存储器24中准备的多个存储器块(存储器地址),管理各自的使用状态,从处于空状态的存储器块中,向数据包积累控制部23分配必要个数的存储器块(存储器地址)。\n[0146] 数据包积累控制部23按照从存储器状态管理部26分配的存储器地址,如图18所述,执行数据包数据管理信息块向输入数据包标题积累存储器25A的写入、和接收数据包数据部向数据包数据积累存储器24的写入。另外,在数据包数据积累存储器24中没有所需个数的空存储器块的情况下,数据包积累控制部23废弃接收数据包。\n[0147] 在本实施例中,说明以FIFO(Fast-In Fast-Out)形式来执行数据包数据处理信息块向存储器25A的写入,但也可通过将输入数据包标题积累存储器25A分割成固定长度的多个存储器块,使各数据包数据管理信息块具有下一块的指针地址,将1组数据包数据管理信息块分散存储在存储器25A内的任意空存储器块中。\n[0148] 数据包积累控制部23在向输入数据包标题积累存储器25A写入完数据包数据管理信息块时、或向数据包数据积累存储器24写入完数据包数据时,经信号线L23,向标题发送控制部27发送数据包的接收通知。\n[0149] 接收到上述数据包接收通知的标题发送控制部27从输入数据包标题积累存储器\n25A中读出开头的数据包数据管理信息块200-1,经信号线L27将该数据包数据管理信息块表示的标题信息(内部标题15、层2标题11-层4标题13)传送到检索处理部40的标题信息积累部41。另外,标题发送控制部27根据开头的数据包数据管理信息块200-1所示的存储器块数(M),依次读出后续的M-1个数据包数据管理信息块200-2、200-3、…,暂时保持这些内容。\n[0150] 在图20中,检索处理部40的标题信息积累部41在暂时积累经信号线L27从标题发送控制部27接收到的标题信息之后,分配给流表格检索部42、路由表格检索处理部43、流项目管理部44、统计信息处理部47。\n[0151] 流项目管理部44保持上述标题信息,等待接收来自流表格检索部42的统计控制信息。路由表格检索处理部43根据上述标题信息,生成检索路由表格80所需的检索关键字,并从路由表格80中检索包含输出线路序号的路由信息。将检索结果分配给流表格检索部42、采样处理部45、检索结果输出部48。\n[0152] 流表格检索部42根据标题信息、和必要时路由表格检索处理部43输出的路由信息,提取成为流识别条件62的信息项目、即发送源IP地址、目的地IP地址、上位协议、TOS、发送源端口序号、目的地端口序号等信息,并将这些信息项目的组合作为检索关键字,检索流表格60。\n[0153] 这里,因为假设上述标题信息是属于流1的数据包的信息,并且,在流表格中仅登录项目EN-x12的状态,所以作为流表格60的检索结果,得到流项目EN-x12的流项目序号(或项目地址)f12、和表示登录处理标志为“1”、登录处理速率为“1/1”、统计收集标志为“1”、采样处理标志为“0”的统计控制信息。\n[0154] 流表格检索部42将上述检索结果分配给流项目管理部44、采样处理部45、采样判定部46、统计收集处理部47。此时,因为采样处理标志为“0”,所以不产生采样处理部45与采样判定部46中用于生成采样的特别动作。\n[0155] 从标题信息积累部41接收标题信息的统计收集处理部47等待接收来自流表格检索部42的统计控制信息。在本例中,因为表示统计控制信息的统计收集处理标志为“1”,所以统计收集处理部47根据从路由表格检索部43接收到的路由信息和从标题信息积累部\n41接收到的标题信息,更新具有统计信息表70中的流项目序号F12的表格项目SE-x12的统计信息72。具体而言,将表格项目SE-x12的数据包数721加1,将上述标题信息表示的接收数据包长度加到字节数722上,将上述标题信息表示的输入线路序号151的值记录在输入线路序号723中,将上述路由信息表示的输出线路序号记录在输出线路序号724中。\n[0156] 另一方面,流项目管理部44通过从流表格检索部42接收到的统计控制信息,由于登录处理标志为“1”,登录处理速率为“1/1”,所以对具有从标题信息积累部41接收到的标题信息的流,判断为应将新的流项目登录到流表格60中。在例如处理速率为“1/k”(k为比\n1大的值)的情况下,根据登录处理速率,判定是否应登录流。\n[0157] 流项目管理部44管理流表格60的项目地址的使用状况。此时,流项目管理部44从上述标题信息中提取成为流识别条件的信息项目,生成具有项目序号f1的新的流识别条件,并将包含该流识别条件、部分纠正的统计控制信息和空项目地址的流登录指示提供给流表格检索部42。在流表格60中没有新的流项目所需的空地址的情况下,流项目管理部\n44在执行后述的流项目删除处理之后,发出上述流登录指示。\n[0158] 从流项目管理部44接收到流登录指示的流表格检索部42按照指定的项目地址、流识别条件、统计控制信息,将新的流项目追加到流表格60中。这里,因为假设接收属于流\n1的数据包的情况,所以响应上述流登录指示,向流表格60追加统计收集用的项目EN-1。在接收到属于流2的数据包的情况下,通过与之一样的动作,向流表格60追加统计收集用的项目EN-2。\n[0159] 检索结果输出部48当从路由表格检索部43接收路由信息时,生成检索结果通知\n480,并经信号线L48将其发送到接收数据包处理部20的标题发送控制部27。检索结果通知480如图23所示,由输出线路序号481、拷贝指示标志482、封装化指示标志483、封装化标题信息484、其它信息485构成。\n[0160] 这里,拷贝指示标志482是表示接收数据包处理部20必需拷贝接收数据包的标志,封装化指示标志483是表示应使用封装化标题信息484来封装化上述拷贝数据包的标志。拷贝指示标志482对于采样处理部45向信号线L45输出拷贝指示信号的时刻生成的检索结果通知,设定成“1”。封装化指示际志483如后所述,对于在将拷贝指示标志设定成“1”的检索结果通知之后生成的拷贝数据包发送用检索结果通知,设定成“1”。在封装化标题信息484中,设定从采样数据包标题信息积累部51中读出的标题信息,仅在封装化指示标志483为“1”的情况下有效。\n[0161] 在输出线路序号481与其它信息485中,在通常的检索结果通知的情况下,设定从由路由表格检索部43接收到的路由信息中提取的输出线路序号和其它信息。但是,对于拷贝数据包发送用检索结果通知,设定为了将拷贝数据包发送给收集装置所需的规定输出线路序号和其它信息。\n[0162] 在本例的情况下,因为没有来自采样处理部45的拷贝指示,所以检索结果输出部\n48生成包含拷贝指示标志482为“0”、封装化指示标志483为“0”、封装化标题信息484为无效数据、输出线路序号491与其它信息485为有效数据的检索结果通知480,发送到信号线L48。\n[0163] 返回图16,标题发送控制部27当经信号线L48接收检索结果通知480时,向已从存储器25A读出的最初的数据包数据管理信息块200-1中,追加上述检索结果通知480表示的输出线路序号481、封装化指示标志483、封装化标题信息484的内容,作为输出线路序号152、封装化指示标志153、封装标题信息154。将更新后的数据包数据管理信息块200-1写入输出数据包标题积累存储器25B中。另外,必要时,也可追加检索结果通知480表示的其它信息485,作为数据包数据管理信息块200-1的内部标题15的一部分。\n[0164] 如图18所述,不必向后续的数据包数据管理信息块200-2、200-3、…追加标题信息。因此,标题发送控制部27对于这些后续的数据包数据管理信息块,将从存储器25A读出的信息原样写入输出数据包标题积累存储器25B中。\n[0165] 之后,标题发送控制部27向拷贝管理部28通知写入上述输出数据包标题积累存储器25B中的各数据包数据管理信息块表示的存储器地址204的值、和根据检索结果通知\n480判明的拷贝数量,并请求数据包传送控制部29开始传送数据包。在本例的情况下,在从检索控制部40接收到的检索结果通知480中,由于拷贝标志482为“0”,所以标题发送控制部27将拷贝数量“0”通知给拷贝管理部28。\n[0166] 拷贝管理部28用于控制数据包数据积累存储器24的各存储器块的释放,例如图\n24所示,具备与数据包数据积累存储器24的各存储器块(存储器地址)281对应、存储积累数据的发送等待次数282的存储器地址释放控制表格280。\n[0167] 拷贝管理部28当从标题发送控制部27接收数据包数据积累存储器24的存储器地址204与拷贝数量时,对应于通知的拷贝数量,变更与上述存储器地址释放控制表格280中的上述存储器地址204对应的存储器块的发送等待次数282。发送等待次数在从标题发送控制部27通知的拷贝数量为“0”时被设定为“1”,在拷贝数量为“1”时被设定为“2”。\n[0168] 图24的表格状态与图18对应,表示将接收数据包的数据部分割存储在块k、k+2、k+3中的状态。此时,因为从标题发送控制部27通知的拷贝数量为“0”,所以设定“1”,作为与这些存储器块k、k+2、k+3对应的发送等待次数。\n[0169] 数据包传送控制部29当从标题发送控制部27接收数据包传送开始请求时,从输出数据包标题积累存储器25B中读出开头的数据包数据管理信息块200-1,并按照该块所示的存储器地址204与有效数据长度203,从数据包数据积累存储器24的存储器块k中读出最初的数据块。数据包传送控制部29按照开头的数据包数据管理信息块200-1所示的存储器块数202,以FIFO形式从输出数据包标题积累存储器25B中读出第2、第3数据包数据管理信息块200-2、200-3,按照这些信息块所示的存储器地址204与有效数据长度203,依次从数据包数据积累存储器24的存储器块k+2、k+3中读出后续的数据块。\n[0170] 数据包传送控制部29通过在从开头数据包数据管理信息块200-1中提取的标题信息205之后、将由这些数据块再构成的数据包数据部14发送给信号线L1,将具有图15的格式的内部数据包传送给发送数据包处理部30。数据包传送控制部29当完成一个内部数据包传送时,向拷贝管理部28通知表示数据读出完成的存储器块的地址的数据包传送完成通知。\n[0171] 拷贝管理部28当接收上述数据包传送完成通知时,按照通知的存储器块地址,对存储器地址释放控制表格280的发送等待次数282执行减法运算。在本例中,将存储器块k、k+2、k+3的发送等待次数各减1,结果,全部的发送等待次数为“0”。拷贝管理部28在每次更新发送等待次数时,都检查剩余次数,对发送等待次数为“0”的存储器块,判断为不用保存积累数据,指示存储器状态管理部26释放存储器地址。存储器状态管理部26管理有释放指示的存储器地址(存储器块),作为空状态,将这些存储器地址使用于此后的对数据包积累控制部23的分配地址中。\n[0172] 对于图19所示的发送数据包处理部30而言,当数据包接收部36从信号线L1接收内部数据包时,将标题信息部分(标题15、11-13)积累在输出数据包标题积累存储器34中,将数据包的数据部分4积累在数据包数据积累存储器33中。这些向存储器积累标题信息与数据包数据使用图18中说明的数据包数据管理信息块,以与接收数据包处理部20的输入数据包标题存储器25A和数据包数据积累存储器24一样的形式执行。数据包数据积累所需的存储器块的分配由存储器状态管理部35来执行。\n[0173] 数据包接收部36当完成向输出数据包标题积累存储器34写入数据包数据管理信息块、和向数据包数据积累存储器33写入数据包数据时,向数据包输出控制部32输出数据包发送请求。\n[0174] 当接收上述数据包发送请求时,数据包输出控制部32与接收数据包处理部20的数据包传送控制部29一样,通过从输出数据包标题积累存储器34读出的开头的数据包数据管理信息块所示的存储器块数202,读出后续的数据包数据管理信息块,并按照各数据包数据管理信息块所示的存储器地址204与有效数据长度203,从数据包数据积累存储器33中依次读出数据包的数据部。\n[0175] 数据包输出控制部32在将从多个存储器块中读出的数据块再构成最初的数据包数据14之后,根据开头的数据包数据管理信息块表示的封装化指示标志153的值,判定是否要封装化输出数据包。在本例的情况下,因为上述封装化指示标志的值为“0”,所以不必封装化输出数据包。因此,数据包输出控制部32通过将从开头的数据包数据管理信息块中提取的层2标题11、层3标题12、层4标题13提供给上述再构成的数据包数据14,生成输出数据包,并将该输出数据包输出到由上述数据包数据管理信息块所示的输出线路序号\n152特定的线路终端处理部31-k。\n[0176] 线路终端处理部31-k在向从数据包输出控制部32接收的输出数据包提供冗余编码等附加信息之后,发送给输出线路Ock。\n[0177] 接着,说明在已将统计收集用的流项目EN-1登录到流表格60中的状态下,数据包积累控制部23处理属于流1的接收数据包时的路由器R1的动作。\n[0178] 标题发送控制部27从将接收数据包的标题信息传送给检索处理部40开始、至检索处理部中流表格检索部42检索流表格60的动作与流项目EN-1未登录时一样。这次由于是流项目EN-1已登录到流表格60中的状态,所以流表格检索部42输出流项目EN-1所示的统计控制信息,作为流表格60的检索结果。流项目EN-1的统计控制信息63如图21所示,登录处理标志631为“0”,统计收集标志633为“1”,采样处理标志635与采样判定标志637为“0”。\n[0179] 因为登录处理标志为“0”,所以不执行流项目管理部44的流登录处理。另外,由于采样处理标志、采样判定标志为“0”,所以不产生采样处理部45与采样判定部46的特别动作。\n[0180] 另一方面,因为统计收集处理标志为“1”,所以统计收集处理部47对流项目序号f1的统计信息项目SE-1更新统计信息。\n[0181] 具体而言,将数据包数量721加1,将从标题信息积累部41接收到的标题信息所示的接收数据包的字节数量与字节数722相加,将上述标题信息所示的输入线路序号记录在输入线路序号723中,并将从路由表格检索部43接收到的路由信息所示的输出线路序号记录在输出线路序号724中。检索结果输出部48的动作与接收数据包处理部20之后的动作与上述流项目EN-1未登录时一样。\n[0182] 下面,说明流项目管理部44执行的从流表格中删除项目的动作。\n[0183] 流项目管理部44将统计收集标志为“1”、登录处理标志、采样处理标志、采样判定标志为“0”的流项目作为删除对象,监视数据包的接收状况,从流表格60中删除在规定时间以上中断了数据包接收的流项目。充项目管理部44在没有空项目区域的状态下,当必需将新的流项目登录到流表格60中时,也从上述删除对象项目中选择特定的项目,从流表格\n60中删除。\n[0184] 成为删除对象的流信息被登录在流管理表格49中,定期监视数据包的接收状况。\n流管理表格49例如图25所示,对于成为删除对象的各项目,表示流项目序号49、流表格60中的项目地址492、数据包数量493、更新时刻494、非更新次数495。这里,数据包数量493是为了监视删除对象流的通信状态而选择的代表统计信息,也可用字节数量代替数据包数量来作为监视对象。\n[0185] 流项目管理部44对于具有登录在流管理表格49中的流项目序号的各数据包流,经统计收集处理部47,按一定时间间隔从统计信息表70中读出数据包数量721的最新值,并与流管理表格49所示的上次监视时的数据包数量493进行比较。在最新数据包数量与上次值不同的情况下,将数据包数量493替换成最新值,同时,将更新时刻494替换成当前时刻。在最新数据包数量与上次值相同的情况下,不变更更新时刻494,增加非更新次数495的值。也可在每次更新数据包数量493时,将非更新次数495恢复到最初值。\n[0186] 流项目管理部44判断非更新次数通过上述增加而达到规定阈值的流项目为无用项目,对流表格检索部42指定项目地址492,指示删除无用流项目,并对统计信息处理部47指定流项目序号,指示删除统计信息项目。\n[0187] 流项目管理部44通过从流表格检索部42接收流项目EN-x12的统计控制信息,在需要将新的流项目追加到流表格60中时,并且在流表格中没有空区域的情况下,从流管理表格49中选择更新时刻494最久的项目,作为无用项目,对流表格检索部42和统计信息处理部47指示与上述一样的项目删除。\n[0188] 流表格检索部42当从流项目管理部44接收无用流项目的删除指示时,从流表格\n60的指定项目地址读出流识别条件62。流表格检索部42在将读出的流识别条件传送到流信息积累部52后,删除该流项目,并通知流项目管理部44释放删除项目的地址。同样,统计信息处理部47也在从流项目管理部44接收无用流项目的删除指示时,从统计信息表70中读出具有指定项目序号的统计信息项目的内容,在将其传送到流信息积累部52后,删除该统计信息项目。\n[0189] 流信息积累部52将伴随流项目的删除从流表格检索部42接收到的流识别条件、和从信息收集处理部47接收到的统计信息(下面将这两种信息合称为流信息)保持在存储器中。在将事先指定的流数量的流信息积累在流信息积累部52中的时刻,统计信息通知数据包生成部53从流信息积累部52中读出积累流信息,利用统计信息通知数据包标题信息积累部50表示的封装标题信息,生成统计信息通知数据包300。统计信息通知数据包生成部53在将生成的统计信息通知数据包300输出到信号线L53的同时,将数据包的接收通知输出到信号线L530。\n[0190] 统计信息通知数据包300例如图26所示,由标题301、和多个流记录302(302-1~\n302-N)构成。标题301根据从标题信息积累部50中读出的封装化标题信息生成,包含收集装置C1的IP地址,作为目的地IP地址。统计信息通知数据包300例如可使用记载于http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/nfc/nfc_3_0/nfc_ug/nfcform.htm中的格式。\n[0191] 在这里所示的实例中,各流记录302包含流识别符303、采样速率304、流识别标题信息305、数据包数量306A、字节数量306B、输出线路序号306C、输入线路序号306D、其它信息306E。对信息项目306A-306E设定从信息收集处理部47输出的统计信息。另外,在流识别符303中使用流项目序号61,在采样速率304中使用被使用于统计控制信息的规定采样速率,在流识别标题信息305中使用流识别条件62。收集装置在接收到上述统计信息通知数据包时,根据各流记录所示的采样速率304,可推定在网络上实际通信的数据包数量。\n[0192] 从统计信息通知数据包生成部53输出到信号线L53的统计信息通知数据包300被暂时积累在接收数据包处理部20的缓冲存储器22-(N+1)中,将输出到信号线L530的数据包接收通知输入到数据包积累控制部23。因比,数据包积累控制部23可与积累在其它缓冲存储器22-1~22-N中的通常接收数据包一样处理积累在缓冲存储器22-(N+1)中的统计信息通知数据包300。\n[0193] 数据包积累控制部23在从缓冲存储器22-(N+1)中读出统计信息通知数据包300时,与来自网络的接收数据包的处理时一样,生成内部标题15,向存储器状态管理部26请求必要个数的存储器块地址,如图18所述,按数据包数据管理信息块形式,将内部标题15与标题301积累在输入数据包标题积累存储器25A中,将统计信息通知数据包300的数据部(流记录302-1~302-N)分割成固定长度的多个块,积累在数据包数据积累存储器24中,向标题发送控制部27输出数据包接收通知。\n[0194] 标题发送控制部27与检索处理部40的动作与通常的接收数据包处理时一样,与网络接收数据包的标题信息一样处理通知数据包300的标题信息。结果,按附加包含路由表格检索结果所示的输出线路序号152的内部标题的形式,将统计信息通知数据包300传送到发送数据包处理部30,从发送数据包处理部30发送到与收集装置的连接线路上。\n[0195] 下面,说明数据包积累控制部23处理与流登录用项目EN-x12所示的流识别条件不一致的数据包、例如属于图1中说明的上位协议为UDP的流3或流4的数据包时的检索处理部40的动作。\n[0196] 路由表格检索部43与流识别条件无关,根据从标题信息积累部41接收到的标题信息,检索路由表格80,并输出检索结果。另一方面,流表格检索部42根据标题信息、和必要时从路由表格80检测到的路由信息,生成流检索关键字,检索流表格60。\n[0197] 在本例中,因为接收数据包的上位协议为UDP,所以在流表格60中完全不存在对应于上述检索关键字的项目(统计控制项目与流项目)。因此,流表格检索部42将表示没有对应的统计控制信息的检索结果输出到流项目管理部44、采样处理部45、采样判定部46、统计收集处理部47。\n[0198] 在没有统计控制信息的情况下,流项目管理部44不执行流登录处理。采样处理部\n45、采样判定部46、统计收集处理部47也不执行各自固有的动作。因此,检索结果输出部\n48生成拷贝标志482与封装化指示标志483为“0”、封装标题信息484为无效、仅输出线路序号481和其它信息485中包含有效信息的检索结果通知480,并将之输出到信号线L48。\n响应于上述检索结果通知480执行的接收数据包处理部20的动作与属于流1的接收数据包的情况一样。\n[0199] 下面,说明本实施例的路由器R1具备的采样型统计信息收集功能。这里,采样处理部45与采样判定部46利用登录在流表格60中的统计控制信息和积累在统计信息表70中的统计信息,检索处于特殊通信状况下的数据包流,在由采样速率指定的定时,指令接收数据包处理部20生成接收数据包的拷贝。\n[0200] 例如,对于图1所示的网络,假设终端T2或终端T4通过向服务器S2发送\nTCP(Transmission Control Protocol)的SYN数据包,妨碍(SYN命中)从服务器S2向其它终端的通信服务的情况。SYN命中数据包将定义成TCP标题的代码比特中的SYN标志设定成“1”。\n[0201] 在以下说明中,将从终端T2发送到服务器S2的一连串SYN数据包流称为流Fs2,将从终端T4发送到服务器S2的一连串SYN数据包流称为流Fs4。另外,假设从终端T2、终端T4发送的SYN数据包的总计频域随着时间经过而增加,在本实施例中,说明检索处理部\n40在TCP的SYN数据包的总计频域为50Mbps以上的时刻,按采样速率1/10开始接收数据包的采样(拷贝数据包)生成,在总计频域为40Mbps以下的时刻,停止采样生成的情况。\n[0202] 图27表示检测SYN命中用的流表格60的一例。\n[0203] 为了监视TCP的SYN数据包并成为采样的对象,在流表格60中登录具有流项目序号f24的项目EN-x24。项目EN-x24也是统计控制项目之一,作为流识别条件62,指定上位协议623为“TCP”,SYN标志627为“1”,此外的项目621、622、624-626、629为任意值(“*”)。\n[0204] 上述项目EN-x24对作为检索结果输出的统计控制信息63,指定登录处理标志“0”、统计收集标志“1”、采样处理标志“0”、采样速率“1/10”、采样判定标志“1”、采样开始频域“50Mbps”、采样结束频域“40Mbps”。\n[0205] 图28表示对统计信息表70准备的具有流项目序号f24的统计信息项目SE-x24的内容一例。作为当前时刻的统计信息,例如数据包数量721为“P24”,字节数量722为“B24”,频域735为10Mbps。\n[0206] 接收数据包处理部20的数据包积累部23从任一缓冲存储器中读出接收数据包(SYN数据包),标题发送控制部27将接收数据包的标题信息传送给检索处理部40,检索处理部40的路由表格检索部43与流表格检索部42执行各自表格检索之前的动作与上述流\n1的接收数据包处理时一样。\n[0207] 在接收数据包是属于流2的Fs2的SYN数据包的情况下,流表格检索部42根据标题信息生成的检索关键字与图27所示的项目EN-x24的流识别条件一致。因此,流表格检索部42将项目EN-x24表示的统计控制信息作为检索结果,分配给流项目管理部44、采样处理部45、采样判定部46、统计收集处理部47。\n[0208] 这次,由于检索到的统计控制信息的登录处理标志631与采样处理标志635为“0”,所以流项目管理部44与采样处理部45不执行特别的响应动作。统计收集处理部47由于统计控制信息的统计收集标志633为“1”,所以更新具有流项目序号f24的项目SE-x24的统计信息72。因此,数字包数量721、字节数量722、频域725的值都比图28所示的值有所增加。\n[0209] 另一方面,采样判定部46统计控制信息的采样判定标志635为“1”、采样处理标志\n635为“0”,所以执行是否应开始接收数据包的采样处理的判定(采样开始判定)。采样开始判定是指向统计收集处理部47请求流项目序号f24的统计信息,比较当前频域735与统计控制信息表示的采样开始频域638。这里,频域735的当前值“10Mbps”比采样开始频域\n638的指定值“50Mbps”小,所以采样判定部46判断为不要采样处理,不执行特别的动作。\n因此,在该时刻,检索结果输出部48输出拷贝椟482与封装化指示标志483为“0”、输出线路序号481和其它信息485中包含有效信息的检索结果通知480,接收数据包处理部20不生成采样数据包。\n[0210] 假设重复上述动作,流项目EN-24的频域735的值逐渐增大,为“51Mbps”。在该状态下,数据包积累控制部23处理箼流Fs2的SYN数据包,当标题发送控制部27将标题信息传送到检索处理部40时,采样判定部46对流项目序号f24的流执行采样开始判定,检索当前频域735超过由统计控制信息指定的采样开始频域638。采样判定部46这次判断为需要开始采样处理,对流表格检索部42指示将流项目序号f24的流项目EN-x24中的采样处理标志635改写“1”。流表格检索部42响应于上述改写指示,将流项目EN-x24的统计控制信息中包含的采样处理标志635的值改写为“1”。\n[0211] 此时,仅更新统计信息表70的项目SE-24的统计信息72、和流表格的流项目EN-24的统计控制信息,采样处理部45的动作没有变化。因此,检索处理输出部48将与此前一样的检索结果通知480输出到信号线L48,接收数据包处理部20不生成采样数据包。\n[0212] 但是,在将采样处理标志635的值改写为“1”后,当接收处理属于流Fs2的下一SYN数据包时,检索处理部40的动作变化。采样判定部46对从流表格检索部42通知的统计控制信息,由于采样判定标志637与采样处理标志635双方都为“1”,所以对流项目序号f24的流,执行是否应结束接收数据包的采样处理的判定(采样结束判定)。采样结束判定是指向统计收集处理部47请求流项目序号f24的统计信息,并比较当前频域735与采样结束频域639。这里,因为当前频域735超过采样结束频域639,所以采样判定部46判断为不需要采样处理标志的改写,等待下一统计控制信息。\n[0213] 另一方面,采样处理部45就从流表格检索部42通知的统计控制信息而言,由于采样处理标志635为“1”,所以例如使用数据包计数器,以基于采样速率636的频度,产生采样数据包生成指示(拷贝指示)。在本例中,采样处理部45以对10个SYN数据包产生1个拷贝指示的比例产生拷贝指示,经信号线L45将拷贝指示提供给检索结果输出部48。不产生拷贝指示的周期中的检索结果输出部48的动作与上述采样处理标志635为“0”的情况一样。\n[0214] 检索结果输出部48在从信号线L45接收拷贝指示的情况下,生成让接收数据包处理部20知道必需生成数据包拷贝的第1检索结果通知,并在将其输出到信号线L48之后,生成让接收数据包处理部20知道应将使用封装标题信息的封装化拷贝数据包发送到收集装置的第2检索结果通知,并将之输出到信号线L48。\n[0215] 第1检索结果通知与通常的检索结果通知480一样生成,将拷贝指示标志482设定成“1”。即,对封装化指示标志483设定“0”,对输出线路序号481和其它信息485设定从路由表格的检索结果中提取的输出线路序号与其它信息,封装标题信息484为无效。\n[0216] 第2检索结果通知对拷贝指示标志482设定“0”,对封装化指示标志483设定“1”,对封装标题信息484设定用于将采样(接收数据包的拷贝)发送到收集装置的封装标题信息。从采样数据包标题信息积累部51中读出该封装标题信息。对第2检索结果通知的输出线路序号481与其它信息485设定在采样数据包标题信息积累部1511中事先准备的输出线路序号与其它信息。\n[0217] 图16中,接收数据包处理部20的标题发送控制部27当接收上述第1检索结果通知480时,与通常数据包的处理时一样,将该检索结果通知表示的输出线路序号481~封装化标题信息484设定成开头的数据包数据管理信息块200-1的内部标题15,并将数据包数据管理信息块200-1写入输出数据包标题积累存储器25B中。因为这次接收到的检索结果通知中拷贝指示标志482为“1”,所以标题发送控制部27不废弃地保持已写入输出数据包标题积累存储器25B中的数据包数据管理信息块200-1。在存在后续的数据包数据管理信息块200-2、200-3、…的情况下,将这些信息块原样写入输出数据包标题积累存储器25B中,与数据包数据管理信息块200-1一样,不废弃地保持。\n[0218] 之后,标题发送控制部27向拷贝管理部28通知拷贝数量、和上述各数据包数据管理信息表示的存储器地址204的值,并向数据包传送控制部29请求开始传送数据包。由于这次检索结果通知的拷贝指示标志482为“1”,所以向拷贝管理部28通知拷贝数量“1”。因此,拷贝管理部28对于图24所示的地址释放控制表格280,将与从标题发送控制部27通知的存储器地址对应的存储器块281的发送等待次数282设定成“2”。\n[0219] 数据包的传送控制部29响应上述数据包传送开始请求,从输出数据包标题积累存储器25B中读出数据包数据管理信息块200-1、200-2、…,根据这些数据包数据管理信息块,从数据包数据积累存储器24中读出数据包数据部分,将再编制的内部数据包(SYN数据包)输出到信号线L1。\n[0220] 在数据包的传送控制部29完成内部数据包的传送时,拷贝管理部28对于地址释放控制表格280,将结束数据发送的存储器块的发送等待次数各减1。这次由于将结束数据发送的存储器块的发送等待次数的初始值设定成“2”,所以相减后的发送等待次数分别作为“1”保留。因此,对于这些存储器块而言,抑制向存储器状态管理部26发出地址释放通知,原样保存积累在数据包数据积累存储器24中的数据包数据。\n[0221] 标题发送控制部27在上述第1检索结果通知之后,从检索结果输出部48接收第2检索结果通知。接收到第2检索结果通知的标题发送控制部27与接收第1检索结果通知时一样,将该检索结果通知表示的输出线路序号481-封装化标题信息484设定成开头的数据包数据管理信息块200-1的内部标题15,并将数据包数据管理信息块200-1写入输出数据包标题积累存储器25B中,在存在后续的数据包数据管理信息块200-2、200-3、…的情况下,将这些信息块原样写入输出数据包标题积累存储器25B中。这次由于第2检索结果通知的拷贝指示标志482为“0”,所以废弃已写入输出数据包标题积累存储器25B中的数据包数据管理信息块200-1、200-2、…。\n[0222] 之后,标题发送控制部27向拷贝管理部28通知拷贝数量、和上述各数据包数据管理信息表示的存储器地址204的值,并向数据包传送控制部29请求开始传送数据包。由于这次拷贝指示标志482为“0”,所以拷贝管理部28对于地址释放控制表格280,将与从标题发送控制部27通知的存储器地址对应的存储器块281的发送等待次数282设定成“1”。因此,当数据包的传送控制部29完成内部数据包的传送时,对于结束数据发送的存储器块,相减后的发送等待次数分别为“0”,向存储器状态管理部26发出地址释放通知。\n[0223] 响应上述第2检索结果通知,从数据包传送控制部29传送到发送数据包处理部30的内部数据包(SYN数据包的拷贝)中,内部标题15的封装化指示标志153被设定成“1”。\n发送数据包处理部30的数据包输出控制部32提取从输出数据包标题积累存储器34中读出的开头数据包数据管理信息块200-1中包含的作为标题信息205一部分的内部标题15,检查封装化指示标志153。由于这次封装化指示标志153为“1”,所以将内部标题信息15中包含的收集装置对象的封装化标题信息154(层2标题-层4标题)提供给拷贝数据包的开头,并发送到由输出线路序号152特定的线路终端处理部30-k。\n[0224] 按基于采样速率636的频度,反复执行上述拷贝数据包的生成、和向收集装置发送封装化数据包,直到作为监视对象的SYN数据包的频域725比由流项目EN-24指定的采样结束频域639低为止。在将流项目EN-24的采样处理标志635设定成“1”的状态下,逐渐减少对应于流识别条件62的SYN数据包的送出量,在统计信息表70中的频域755的值比由采样结束频域639指定的“40Mbps”低的情况下,检索处理部40如下动作。\n[0225] 接收数据包处理部20的数据包积累控制部23结束新的SYN数据包的积累处理,当从标题发送控制部27向检索处理部40的标题信息积累部41传送上述SYN数据包的标题信息时,流表格检索部42将从流表格60中检索到的流项目EN-24的统计控制信息63分配给流项目管理部44、采样处理部45、采样判定部46、统计收集处理部47。\n[0226] 流项目管理部44由于统计控制信息63的登录处理标志为“0”,所以不执行特别的响应动作。统计收集处理部1507由于统计控制信息63的统计收集标志为“1”,所以按照从标题信息积累部41接收到的标题信息,更新统计信息项目SE-x24的统计信息72。采样处理部45由于统计控制信息63的采样处理标志635为“1”,所以与此前一样,重复基于采样速率636的拷贝指示动作。\n[0227] 另一方面,采样判定部46由于统计控制信息63的采样判定标志637与采样处理标志635双方都为“1”,所以对流项目序号f24的流执行采样结束判定。这次由于当前的频域735比采样结束频域639低,所以采样判定部46对流表格检索部42指示将流项目序号f24的流EN-24中的采样处理标志635改写为“0”,流表格检索部42将项目EM-24的统计控制信息63恢复到初始状态。因此,SYN数据包流的频域再次超过采样开始频域,在采样处理标志635被设定成“1”之前的期间,在SYN数据包处理时,不从采样处理部45产生拷贝指示,向收集装置发送封装化数据包成为停止状态。\n[0228] 在本发明中,作为流识别条件的其它信息629,例如通过指定TCP标志、或Ethernet标题的目的地/发送源MAC地址、VLAN ID的值,可检测对使用TCP连接的特定控制数据包的服务器的Denial of Service命中(attack)(DOS命中),或可收集VLAN-ID、MAC地址以外的统计信息。\n[0229] 在实施例中,数据包积累控制部23生成应附加于各接收数据包的内部标题15,将其设定给数据包数据管理信息块200,积累在输入数据包标题积累部25A中,但也可由各线路终端处理部21-1~21-N生成内部标题,数据包积累控制部23以内部数据包形式从缓冲存储器22-1~22-N中读出接收数据包。此时,由于也必需向积累在缓冲存储器22-(N+1)中的统计信息通知数据包300提供内部标题15,所以最好对统计信息通知数据包标题信息积累部50事先准备内部标题15。\n[0230] 另外,在实施例中,说明当检索到流登录用的统计控制项目EN-x12时,无条件地向流表格60追加新的流项目的实例,但也可由统计控制项目EN-x12的统计控制信息63来指定新的流项目的登录条件,当满足该条件时,向流表格60追加新的流项目。\n[0231] 例如,对于项目EN-x12,如果将采样开始频域638约束为在采样判定标志637为“1”的情况下,表示采样处理的开始条件,而在采样判定标志637为“0”、登录处理标志631为“1”的情况下,表示新项目的登录开始条件,则通过统计控制项目EN-x12的统计控制信息,分别将登录处理标志631、统计收集标志633、频域计算标志634设定成“1”,将采样判定标志637设为“0”,对采样开始频域638设定登录开始频域,从而当TCP流中满足登录开始频域时,可使流项目管理部44启动向流表格60追加新项目的动作。
法律信息
- 2018-09-25
专利权的转移
登记生效日: 2018.09.05
专利权人由株式会社日立制作所变更为阿拉克斯拉网络株式会社
地址由日本东京都变更为日本神奈川县
- 2012-05-16
- 2007-08-15
- 2005-12-28
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| | 暂无 |
1998-04-24
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |