通信量分析裝置、通信量分析方法以及通信量分析系統的制作方法

專利名稱：通信量分析裝置、通信量分析方法以及通信量分析系統的制作方法
技術領域：
本發明涉及通信量分析裝置、通信量分析方法以及通信量分析系統。
背景技術：
以往，作為對線路的通信量進行分析的方法，公知有取出通信量收 集裝置收集的通信量數據來向專業技術人員委托通信量分析的方法。并 且，公知有直接將通信量收集裝置收集的通信量數據轉換為計數表或波 形，管理者根據這些波形進行分析的方法。
專利文獻1日本特開2007-006477號公報
但是，最近，由于聲音、影像、數據的統合，流入IP網絡的通信量 的種類和數量增加，在網絡(NW)的運用上、穩定品質服務的提供上， 通信量的狀態把握和管理不可或缺。因此，開發了能夠收集網絡的通信 量的通信量收集裝置。
而且，為了更準確地把握網絡的狀態，所收集的數據的精度提高， 所收集的通信量的種類也增大。與此相伴，所收集的數據變得龐大，數 據分析日益復雜，在沒有網絡通信量分析技巧的情況下，產生不清楚分 析的重點、分析變困難的問題。并且，也產生龐大的數據的取出、處理、 分析花費時間的問題。與此相伴，管理者的負擔和網絡運用費用增大。

發明內容
因此，本發明是鑒于上述問題而完成的，本發明的目的在于，提供 能夠可靠且高精度地對網絡的通信量進行分析的新的和改良后的通信量 分析裝置、通信量分析方法以及通信量分析系統。
為了解決上述課題，根據本發明的某個觀點，提供--種通信量分析 裝置，其對與網絡連接的接入網的通信量進行分析，其中，該通信量分
4析裝置具有實時監控功能部，其從通信量收集裝置實時收集與網絡和
接入網之間的通信數據有關的信息;報警(alert)條件設定部，其設定與 從所述通信量收集裝置實時收集到的信息有關的報警條件；以及報警管 理通知部，其根據所述報警條件，產生與網絡和接入網之間的通信量有 關的報警。
根據上述結構，在對與網絡連接的接入網的通信量進行分析的通信 量分析裝置中，從通信量收集裝置實時收集與網絡和接入網之間的通信 數據有關的信息，設定與從通信量收集裝置實時收集到的信息有關的報 警條件，根據所設定的報警條件，產生與網絡和接入網之間的通信量有 關的報警。因此，能夠實時監控并監視異常通信量/正常通信量，在符合 報警條件的情況下，使管理者認知該情況，由此，能夠容易地分析通信 量的實際狀態。
另外，通信量分析裝置也可以具有通信量分析部，該通信量分析部 關于從所述通信量收集裝置實時收集的信息，根據每小時的波形、每天 的波形或每月的波形對通信量進行分析。根據該結構，能夠根據每小時 的波形、每天的波形或每月的波形對通信量進行分析，所以，能夠高精 度地分析通信量的實際狀態。
另外，通信量分析裝置也可以具有分析報告生成部，該分析報告生 成部根據所述通信量分析部的分析結果，生成報告。根據該結構，能夠 根據分析報告，在管理者側容易地把握通信量的實際狀態。
另外，也可以是如下的通信量分析裝置，即從所述通信量收集裝置 實時收集的信息包含由所述通信量收集裝置的分組過濾器收集的信息、
或作為異常通信量收集的信息，所述通信量分析部進行全部接收分組的 基本統計分析、特定范圍的分組的統計分析、或所述異常通信量的分析， 其中全部接收分組的基本統計分析和特定范圍的分組的統計分析基于由 所述分組過濾器收集到的信息。根據該結構，通過進行基于由分組過濾 器收集的信息的全部接收分組的基本統計分析、基于由分組過濾器收集 的信息的特定范圍的分組的統計分析、或所述異常通信量的分析，由此， 能夠根據各分析條件，詳細地分析通信量的實際狀態。
5另外，為了解決上述課題，根據本發明的另一個觀點，提供一種通 信量分析方法，其中，該通信量分析方法包括以下步驟從通信量收集 裝置實時收集與網絡和接入網之間的通信數據有關的信息的步驟；設定 與從所述通信量收集裝置實時收集到的信息有關的報警條件的步驟；以 及根據所述報警條件，產生與網絡和接入網之間的通信量有關的報警的 步驟。
根據上述結構，從通信量收集裝置實時收集與網絡和接入網之間的 通信數據有關的信息，設定與從通信量收集裝置實時收集到的信息有關 的報警條件，根據所設定的報警條件，產生與網絡和接入網之間的通信 量有關的報警。因此，能夠實時監控并監視異常通信量/正常通信量，在 符合報警條件的情況下，使管理者認知該情況，由此，能夠容易地分析 通信量的實際狀態。
另外，為了解決上述課題，根據本發明的另一個觀點，提供一種通 信量分析系統，其連接有從與網絡連接的接入網收集通信量信息的通信 量收集裝置和對所述通信量信息進行分析的通信量分析裝置，，其中，所 述通信量分析裝置具有實時監控功能部，其從所述通信量收集裝置實
時收集與網絡和接入網之間的通信數據有關的信息；報警條件設定部， 其設定與從所述通信量收集裝置實時收集到的信息有關的報警條件；以 及報警管理通知部，其根據所述報警條件，產生與網絡和接入網之間的 通信量有關的報警。
根據上述結構，在連接有從與網絡連接接入網收集通信量信息的通 信量收集裝置和對所述通信量信息進行分析的通信量分析裝置的通信量 分析系統中，在通信量分析裝置中，從通信量收集裝置實時收集與網絡 和接入網之間的通信數據有關的信息，設定與從通信量收集裝置實時收 集到的信息有關的報警條件，根據所設定的報警條件，產生與網絡和接 入網之間的通信量有關的報警。因此，能夠實時監控并監視異常通信量/ 正常通信量，在符合報警條件的情況下，使管理者認知該情況，由此， 能夠容易地分析通信量的實際狀態。
根據本發明，能夠提供一種能夠可靠且高精度地對網絡的通信量進行分析的通信量分析裝置、通信量分析方法以及通信量分析系統。


圖1是示出本發明的一個實施方式的通信量收集裝置的網絡設置結 構的示意圖。
圖2是示出通信量收集裝置的功能和結構的示意圖。
圖3是示出Ingress (輸入)分組過濾部和Egress (輸出)分組過濾 部的結構的示意圖。
圖4是示出異常通信量檢測部的結構的示意圖。
圖5是示出對話(session)處理部進行的處理的流程圖。
圖6是示出通信量分析裝置的功能和用于實現該功能的結構的示意圖。
圖7是示出統合管理裝置的功能結構的示意圖。 圖8是示出實時統計信息設定管理部的結構的示意圖。 圖9是示出實時統計信息設定管理部的結構的示意圖。 圖IO是示出實時統計信息監控部的處理的示意圖。 圖11是示出由報警條件設定部進行的設定的示意圖。 圖12是示出報警管理通知部的處理的流程圖。 圖13是示出由定時報告設定管理部、定時統計信息監控部以及定時 統計信息報告生成部進行的處理的示意圖。
圖14是示出通信量分析設定管理部進行的處理的示意圖。 圖15是示出通信量分析部和分析報告生成部進行的處理的示意圖。 圖16是示出通信量分析部和分析報告生成部進行的處理的示意圖。 圖17是示出通信量分析部和分析報告生成部進行的處理的示意圖。 圖18是示出通信量分析部和分析報告生成部進行的處理的示意圖。
具體實施例方式
下面，參照附圖對本發明的優選實施方式進行詳細說明。另外，在 本說明書和附圖中，對實質上具有相同功能結構的結構要素附加相同標號，由此省略重復說明。
首先，說明本發明的第l實施方式。圖1是示出本發明的一個實施 方式的通信量收集裝置100的網絡200設置結構的示意圖。在圖1的例
子中，在接入網300和ISP (Internet Services Provider,互聯網服務提供 商)400之間的線路中，配置使通信信號分支輸出的轉送裝置(網絡分接 器裝置)500、 510、 520、 530，將轉送裝置500、 510、 520、 530的In (輸 入)側(接入網300側)、Out (輸出)側(ISP400側)的分支的輸出線 路分別連接在通信量收集裝置100的線路側的In側、Out側。同樣，將 通信量收集裝置100的監控側的輸出線路與監控裝置600連接。在圖1 的例子中，假設監控裝置600是單獨的可以進行直接插入(in-line)設置 的裝置。
如圖1所示，在通信量收集裝置IOO上連接有用于進行通信量分析 的通信量分析裝置(A) 700。
通過轉送裝置500和通信量收集裝置100來收集接入網300和ISP 400之間的多個線路通信量信息。通信量分析裝置700自動地分析從多個 線路收集到的通信量，提取分析結果的重點來生成分析報告。通信量分 析裝置700以所設定的秒/分間隔，定期地取出這些通信量數據，實施通 信量的監視，同時實時顯示表和波形，生成定時報告和分析報告。
同樣，經由其他配置在接入網300和ISP400之間的線路中的轉送裝 置500，通過通信量收集裝置100來收集通信量信息，通過通信量分析裝 置(B) 700、通信量分析裝置(C) 700進行分析。
圖2是示出通信量收集裝置100的功能和結構的示意圖。如圖2(A) 所示，通信量收集裝置IOO具有收集功能、異常通信量檢測功能、信息 保持功能。并且，圖2 (B)是示出通信量收集裝置IOO的功能塊結構的 示意圖。接收部105從轉送裝置510、 520、 530區分接收In側、Out側 的輸入。Ingress (輸入)分組過濾部110能夠在從線路側的各轉送裝置 510、520、530接收到的分組中，提取并檢索以太網報頭、IP報頭、TCP/UDP 報頭的識別符，根據識別符進行過濾。
異常通信量檢測部120對通過了 Ingress分組過濾部110后的In側、
8Out側的雙方的分組進行處理，由此，能夠識別為對話(session)。
Egress (輸出)分組過濾部170與Ingress分組過濾部110同樣，能 夠根據報頭的識別符對分組進行過濾。通過了 Egress分組過濾部170后 的分組從監控側的發送部180發送。
管理部190由以下部分構成Ingress分組過濾部110的統計收集部 191、異常通信量檢測部120的統計收集部192、 Egress分組過濾部170 的統計收集部193、 Ingress分組過濾部110的設定部194、異常通信量檢 測部120的設定部195、以及Egress分組過濾部170的設定部196。
管理部190經由收發部195與通信量分析裝置700連接，成為與通 信量分析裝置700之間的統計信息、設定信息的界面。
下面，根據圖3 、圖4以及圖5，對通信量收集裝置100的Ingress/Egress 分組過濾部IIO、 170的結構、異常通信量檢測部120的結構、對話處理 的流程進行說明。根據這些信息和條件，來設計圖8的實時統計信息設 定管理部704。
圖3示出Ingress分組過濾部10和Egress分組過濾部170的結構。 這些分組過濾部IIO、 170由分組過濾表115構成。作為可以在策略規則 中設定的以太網報頭、IP報頭、TCP/UDP報頭的識別符，如圖3所示， 可以列舉VLAN-ID、以太優先級(EtherPriority)、以太網類型(Ether Type)、接收方IP地址、發送方IP地址、TOS、協議編號、TCP標志、 接收方端口編號和發送方端口編號。可以在各個識別符中指定屏蔽位， 來進行范圍檢索。
分組過濾表115對各入口賦予優先級，在圖3所示的例子中，小的 編號為高優先級。作為檢索識別符后的結果，采用符合更高優先級的入 口，按照預先設定的與各入口對應的動作(permit或deny),選擇通過 (permit)還是丟棄(deny)。并且，分組過濾表115作為每個入口的統 計信息，具有分組計數器(pps)和字節計數器(bps)。分組計數器和字 節計數器對符合檢索結果的所有入口進行相加。
圖4是示出異常通信量檢測部120的結構的示意圖。輸入到異常通 信量檢測部120的In側和Out側的雙方的分組被輸入到對話處理部122，
9按照圖5的對話處理的流程圖進行處理。
這里，對圖5的對話處理進行說明。首先，在步驟S1中，在對話處
理部中輸入分組，在接下來的步驟S2中，檢索簽名(signature),在檢索到簽名的情況下，進入步驟S3。在步驟S3中，對簽名異常分組統計信息進行相加，在步驟S4中，丟棄分組。
在步驟S2中沒有檢索到簽名的情況下，進入步驟S5，檢索對話管理表。在對話管理表中檢索到分組的情況下，進入步驟S6，判定是否接收到了 FIN/RST。在步驟S6中，在接收到FIN/RST的情況下，進入步驟S7，承接步驟S8的無用定時器(GarbageTimer)的結束，而刪除對話管理表。然后，在步驟S9中，對對話異常分組統計信息進行相加，在步驟S10中，丟棄分組。
另一方面，在步驟S5中在對話管理表中沒有檢索到分組的情況下，進入步驟Sll，接收第一個分組(lst分組)。在接下來的步驟S12中，設定無用定時器，在接下來的步驟S13中，判定是否存在同時對話數的登記。
在步驟S13中存在同時對話數登記的情況下，進入步驟S14，判定同時對話數是否是上限值。在步驟S14中同時對話數是上限值的情況下，在步驟S15中，對同時對話數超過上限值的異常分組的統計信息進行相加，在步驟S10中，丟棄分組。另一方面，在步驟S14中同時對話數不是上限值的情況下、或者在步驟S13中沒有同時對話數的登記的情況下，進入步驟S16。
在步驟S16中，判定是否存在秒間對話數的登記，在存在秒間對話數的登記的情況下，在步驟S17中判定秒間對話數是否是上限值。在步驟S17中秒間對話數是上限值的情況下，在步驟S18中，秒間對話數超過上限值的分組的統計信息進行相加，在步驟S19中，丟棄分組。另一方面，在步驟S17中秒間對話數不是上限值的情況下、或者在步驟S16中沒有秒間對話數的登記的情況下，進入步驟S20。
在步驟S20中，對對話統計信息進行相加。在接下來的步驟S21中，登記對話管理表。在接下來的步驟S22中，輸出分組。步驟S22之后，
10結束處理(END)。
經對話處理部122處理后的對話被登記在對話管理表124中。此時，所登記的識別符為圖4所示的5個識別符(接收方IP地址、發送方IP地址、協議編號、接收方端口編號、發送方端口編號)。對話統計信息保持部126以接收方IP地址和發送方IP地址的組合為單位，來保持被登記在對話管理表124中并在該時刻所維持的對話數。
關于輸入到異常通信量檢測部120的分組，在圖5的步驟S2中，與登記在簽名保持部128中的各簽名相匹配，判斷該分組是否是異常分組。登記在簽名保持部128中的簽名記述作為異常分組的類型，例如，記述有接收方IP地址和發送方IP地址相同、發送方IP地址被謊稱、或利用接收方主機再構筑IP分組時超過最大長度等的類型。異常分組統計信息保持部129保持按照簽名單位檢測出的異常分組數，在步驟S2中檢索到簽名的情況下，在步驟S3中，對異常分組統計信息進行相加。
通信量分析裝置700以秒/分間隔定期地對通過通信量收集裝置100的管理部190的Ingress分組過濾統計收集部191、異常通信量檢測統計收集部192和Egress分組過濾統計收集部193所收集的數據進行取出、處理、監視、實時顯示表和波形、以及生成報告等。為了根據通信量收集裝置100收集到的數據，來實施報告和分析，通信量分析裝置700識別收集到的數據的格式信息、數據的收集方法等。
圖6是示出通信量分析裝置700的功能和用于實現該功能的結構的示意圖。通信量分析裝置700具有運算處理部(CPU)，通過軟件(程序)使運算處理部發揮功能，由此，可以實現通信量分析裝置700的各結構要素。
圖6 (A)示出通信量分析裝置700的功能，圖6 (B)示出通信量分析裝置700的結構。如圖6 (A)所示，通信量分析裝置700具有結構管理功能、實時監控功能、監視功能、報警通知功能、定時報告功能、自動分析功能(通信量分析功能)、以及數據蓄積功能。
并且，如圖6 (B)所示，通信量分析裝置700具有結構管理部702、實時統計信息設定管理部704、實時統計信息監控部706、報警條件設定部708、報警管理通知部710、定時報告設定管理部712、定時統計信息監控部714、定時統計信息報告生成部716、通信量分析設定管理部718、通信量分析部720、分析報告生成部722、以及數據庫部724。并且，通信量分析裝置700具有與通信量收集裝置100之間收發信息的收發部730、以及與統合管理裝置800之間收發信息的收發部732。
通信量分析裝置700在通信量監視中發出的報警、生成的定時報告和分析報告，被發送到對多個通信量分析裝置(A) 700、通信量分析裝置(B) 700、通信量分析裝置(C) 700進行統合管理的統合管理裝置800。圖7是示出統合管理裝置800的功能結構的示意圖。統合管理裝置800具有結構管理功能部802、報警顯示功能部804、以及報告蓄積功能部806。管理者能夠利用統合管理裝置800對多個通信量分析裝置700進行統合管理，并參照各通信量分析裝置700的通信量數據。
通過實時統計信息設定管理部704和實時統計信息監控部706來實現通信量分析裝置700的實時監控功能(實時監控功能部)。
圖8和圖9是示出實時統計信息設定管理部704的結構的示意圖。實時統計信息設定管理部704對通信量分析裝置700在實時的信息收集時所監控的信息的設定進行管理。如圖8所示，實時統計信息設定管理部704對監控基本設定和監控項目設定進行管理。作為監控項目設定，有Ingress/Egress監控設定和異常通信量監控設定。在Ingress/Egress監控設定中具有全部接收分組基本統計設定和策略規則統計設定。而且，作為策略規則統計設定，如圖9所示，有基于接收方/發送方IP地址范圍指定統計的項目選擇的設定、和TCP/UDP端口編號分析指定設定。而且，在TCP/UDP端口編號分析指定中有基于TCP/UDP端口編號指定統計的項目選擇的設定。
圖10是示出實時統計信息監控部706的處理的示意圖。實時統計信息監控部706以利用實時監控間隔設定所設定的時間間隔，從通信量收集裝置100取得數據(步驟S31)。然后，計算所取得的數據的平均值pps/bps (步驟S32)，對30分鐘的實時監控波形的顯示進行更新(步驟S33)。在步驟S32中計算出的平均值pps/bps被輸出到實時監控監視A。通過實時統計信息監控部706、報警條件設定部708和報警管理通知部710的協作來實現通信量分析裝置700的監視功能和報警通知功能。
圖11是示出由報警條件設定部708進行的設定的示意圖。如圖11所示，在報警條件設定部708中，主要進行實時統計信息監控的監視設定，在產生報警時，進行向統合管理裝置800發送報警信息、向管理者發送郵件等的動作。
圖12是示出報警管理通知部710的處理的流程圖。報警管理通知部710根據輸出到實時監控監視A的平均值pps/bps，產生報警。首先，在步驟S41中，確認有無實時統計信息監控的監視設定，在有監視設定的情況下，進入步驟S42。在步驟S42中，確認有無設定上限閾值，在有上限設定值的情況下，在接下來的步驟S43中，判定平均值pps/bps是否超過上限閾值。
在步驟S43中超過上限閾值的情況下，進入步驟S44，判定是否超過連續產生次數。在超過連續產生次數的情況下，進入步驟S45，產生報警。具體而言，進行向統合管理裝置發送報警信息、向管理者發送郵件等的處理。
另一方面，在步驟S42中沒有設定上限閾值的情況下、在步驟S43中沒有超過上限閾值的情況下、或者在步驟S44中沒有超過連續產生次數的情況下，進入步驟S46。在步驟S46中，確認有無設定下限閾值，在設定了下限閾值的情況下，進入步驟S47。
在步驟S47中判定是否超出下限閾值(即是否低于下限閾值)，在超出下限閾值的情況下，進入步驟S48，判定是否超過連續產生次數。在超過連續產生次數的情況下，進入步驟S49，產生報警。具體而言，進行向統合管理裝置800發送報警信息、向管理者發送郵件等的處理。
另一方面，在步驟S41中沒有監視設定的情況下、在步驟S46中沒有設定下限閾值的情況下、在步驟S47中沒有超出下限閾值的情況下、或者在步驟S48中沒有超過連續產生次數的情況下，不產生動作。如上所述，報警管理通知部710能夠通過報警條件設定部708的設定和平均值pps/bps的比較，來產生報警。
13通過定時報告設定管理部712、定時統計信息監控部714、以及定時 統計信息報告生成部716來實現通信量分析裝置700的定時報告功能。
圖13是示出由定時報告設定管理部712、定時統計信息監控部714 以及定時統計信息報告生成部716進行的處理的示意圖。如圖13所示， 定時報告設定管理部712進行報告的基本設定。定時統計信息監控部714 進行以規定的時間間隔(例如l分鐘間隔)從通信量收集裝置IOO取得 數據的處理。定時統計信息報告生成部716通過圖13所示的步驟S51 S53、步驟S54 S56、步驟S57 S59的處理，進行時表波形報告、日表 波形報告、月表波形報告的保持/顯示。時表波形報告被輸出到通信量分 析部B，日表波形報告被輸出到通信量分析部C，月表波形報告被輸出到 通信量分析部D。
通過通信量分析設定管理部718、通信量分析部720、以及分析報告 生成部722對定時報告的數據進行分析，來實現通信量分析裝置700的 通信量分析功能。
圖14是示出通信量分析設定管理部718進行的處理的示意圖。如圖 14所示，在通信量分析設定管理部718中，進行分析基本設定，通過分 析對象選擇，選擇Ingress/Egress監控的全部接收分組基本統計分析(X)、 Ingress/Egress監控的策略規則統計分析、以及異常通信量監控的分析
(Z)。作為Ingress/Egress監控的策略規則統計分析，進行接收方/發送方 IP地址范圍(子網絡)指定統計分析(Yl)、 TCP/UDP端口編號指定統 計分析(Y2)的處理。
圖15 圖18是示出通信量分析部720和分析報告生成部724進行 的處理的示意圖。這里，圖15示出Ingress/Egress監控的全部接收分組基 本統計分析(X)。在通信量分析部720中，根據從定時統計信息報告生 成部716輸出的時表波形報告、日表波形報告、月表波形報告，來進行 通信量的分析。
在通信量分析部B中輸入時表波形報告，按照從大到小的順序排序 指定期間的全部時表數據(l分鐘內的平均值(pps/bps))(步驟S61)， 將排前5位的瞬間通信量數據的量(pps/bps)和日期時間輸出到分析報
14告中(步驟S62)。并且，將在步驟S61中排序的數據分為指定的階段，
計算各階段的數據比例(各階段的數據個數/全部階段的數據個數)(步驟
S63)。然后，將各階段的信息(通信量范圍/數據個數/比例)輸出到分析 報告中(步驟S64)。
在通信量分析部C中輸入日表波形報告，按照從大到小的順序排序 指定期間的全部日表的數據(1小時內的平均值(pps/bps))(步驟S65)， 對排在前面的1成的通信量的產生時間段進行合計，將1成的通信量范 圍和排前3位的時間段作為通信量集中的時間段，輸出到分析報告中(步 驟S66)。
在通信量分析部D中輸入月表波形報告，針對每個子網絡按照從大 到小的順序排序指定期間的月表的數據(1日內的平均值(pps/bps))(步 驟S67)，將前3位的日平均數據的通信量(pps/bps)和日期輸出到分析 報告中(步驟S68)。
分析報告生成部722根據通信量分析部720進行的通信量分析，生 成分析報告(步驟S69)，并對其進行保持和顯示(步驟S70)。
并且，圖16示出接收方/發送方IP地址范圍(子網絡)指定統計分 析(YO。圖16的基本處理與圖15相同，但是，在圖16中，針對每個 子網絡進行處理。
并且，圖17是示出TCP/UDP端口編號指定統計分析(Y2)的示意 圖。圖17的基本處理與圖15相同，但是，在圖17中，針對每個聲音/ 影像/控制/其他數據進行處理。
并且，圖18是示出異常通信量監控的分析(Z)的示意圖。如圖18 所示，在通信量分析部B中輸入時表波形報告，根據指定期間的全部時 表的數據(l分鐘內的平均值(pps/bps))，按照簽名異常/對話異常/超過 同時對話數異常/超過秒間對話數異常/全部異常分組數的每個項目，對異 常分組進行統計(步驟S81)。然后，計算各種異常分組的比例，將其結 果輸出到分析報告中(步驟S82)。
在通信量分析部C中輸入日表波形報告，按照簽名異常/對話異常/ 超過同時對話數異常/超過秒間對話數異常的每個項目，按照從大到小的順序排序指定期間的全部日表的數據(l小時平均值(pps/bps))(步驟
S83)，按照各種異常，對異常通信量的產生時間段進行合計，算出前3
位的時間段(異常頻發時間段)，并輸出到分析報告中(步驟S84)。
在通信量分析部D中輸入月表波形報告，按照簽名異常/對話異常/
超過同時對話數異常/超過秒間對話數異常的每個項目，按照從大到小的
順序排序指定期間的月表的數據(1日平均值(pps/bps))(步驟S85)， 按照各種異常，對異常通信量的產生日期時間/星期幾進行合計，推斷前
3位的日期/星期幾(異常頻發日期/星期幾)，并輸出到分析報告中(步驟 S86)。并且，通過指定期間的月表的數據(1日平均值(pps/bps))，對全 部異常分組數進行統計(步驟S87)，計算全部異常分組數/全部正常接收 分組數的比例，并輸出到分析報告中(步驟S88)。
分析報告生成部722根據通信量分析部720進行的通信量分析，生 成分析報告(步驟S89)，并對其進行保持和顯示(步驟S90)。
如以上說明的那樣，根據本實施方式，能夠實時監控和監視異常通 信量/正常通信量，能夠向管理者發送超過閾值的報警郵件。并且，能夠 生成時表/日表/月表的定時報告(波形)，所以，能夠容易地分析通信量 的實際狀態。
并且，能夠通過Ingress/Egress監控的全部接收分組基本統計分析， 對排前5位的瞬間通信量及其產生日期時間、各階段的通信量的比例、 排前1成的通信量范圍及這些通信量集中的前3位的時間段、前3位的 日平均數據的通信量(pps/bps)和日期等進行分析。
并且，能夠通過接收方/發送方IP地址范圍(子網絡)指定的統計分 析，按照子網絡，對前3位的瞬間通信量及其產生日期時間、各階段的 通信量的比例、排前1成的通信量范圍及這些通信量集中的前3位的時 間段、前3位的日平均數據的通信量(pps/bps)和日期、整體的各子網 絡的通信量比例等進行分析。
并且，能夠通過TCP/UDP端口編號指定統計分析，針對聲音/影像/ 控制/其他數據，對各階段的通信量的比例、排前3位的瞬間通信量數據 的量(pps/bps)和日期時間、排前l成的通信量范圍及其集中時間段的
16排前3位、排前3位的日平均數據的通信量(pps/bps)和日期、整體上
各自的通信量比例等進行分析。
并且，能夠通過異常通信量監控的分析，對各種異常分組的比例、
異常通信量的產生時間段的前3位、產生日期(星期幾)的前3位、全
部異常分組數和全部正常接收分組數的比例等進行分析。
因此，根據本實施方式，不需要網絡管理者自己對通信量進行分析、 或向專業技術人員委托通信量分析，就能夠容易地把握各線路的狀態。 由此，能夠降低網絡管理者的負擔和網絡運用費用。
以上，參照附圖對本發明的優選實施方式進行了說明，但是，本發 明當然不限于所述例子。顯而易見，本領域技術人員能夠在權利要求范 圍所記載的范疇內想到各種變更例或修正例，這些當然也屬于本發明的 技術范圍內。
權利要求
1. 一種通信量分析裝置，其對與網絡連接的接入網的通信量進行分析，其特征在于，該通信量分析裝置具有實時監控功能部，其從通信量收集裝置實時收集與網絡和接入網之間的通信數據有關的信息；報警條件設定部，其設定與從所述通信量收集裝置實時收集到的信息有關的報警條件；以及報警管理通知部，其根據所述報警條件，產生與網絡和接入網之間的通信量有關的報警。
2. 根據權利要求1所述的通信量分析裝置，其特征在于， 該通信量分析裝置具有通信量分析部，該通信量分析部關于從所述通信量收集裝置實時收集到的信息，根據每小時的波形、每天的波形或 每月的波形對通信量進行分析。
3. 根據權利要求2所述的通信量分析裝置，其特征在于， 該通信量分析裝置具有分析報告生成部，該分析報告生成部根據所述通信量分析部的分析結果，生成報告。
4. 根據權利要求2所述的通信量分析裝置，其特征在于， 從所述通信量收集裝置實時收集到的信息包含由所述通信量收集裝置的分組過濾器收集到的信息、或作為異常通信量收集到的信息，所述通信量分析部進行基于由所述分組過濾器收集到的信息的全部 接收分組的基本統計分析、基于由所述分組過濾器收集到的信息的特定 范圍的分組的統計分析、或所述異常通信量的分析。
5. —種通信量分析方法，其特征在于，該通信量分析方法包括以下 步驟從通信量收集裝置實時收集與網絡和接入網之間的通信數據有關的 信息的步驟；設定與從所述通信量收集裝置實時收集到的信息有關的報警條件的 步驟；以及根據所述報警條件，產生與網絡和接入網之間的通信量有關的報警 的步驟。
6. —種通信量分析系統，其連接有從與網絡連接的接入網收集通信 量信息的通信量收集裝置和對所述通信量信息進行分析的通信量分析裝 置，其特征在于，所述通信量分析裝置具有-實時監控功能部，其從所述通信量收集裝置實時收集與網絡和接入 網之間的通信數據有關的信息；報警條件設定部，其設定與從所述通信量收集裝置實時收集到的信 息有關的報警條件；以及報警管理通知部，其根據所述報警條件，產生與網絡和接入網之間 的通信量有關的報警。
全文摘要
本發明提供一種通信量分析裝置、通信量分析方法以及通信量分析系統，其可靠且高精度地對網絡的通信量進行分析。對與網絡連接的接入網的通信量進行分析的通信量分析裝置(700)具有實時統計信息設定管理部(704)和實時統計信息監控部(706)，其從通信量收集裝置(100)實時收集與網絡和接入網之間的通信數據有關的信息；報警條件設定部(708)，其設定與從通信量收集裝置(100)實時收集的信息有關的報警條件；以及報警管理通知部(710)，其根據報警條件，產生與網絡和接入網之間的通信量有關的報警。
文檔編號H04L12/24GK101488882SQ20081017486
公開日2009年7月22日 申請日期2008年11月10日 優先權日2008年1月18日
發明者陳如華 申請人:沖電氣工業株式會社