KR101074064B1 - 네트워크 트래픽 모니터링 방법 및 장치 - Google Patents
네트워크 트래픽 모니터링 방법 및 장치 Download PDFInfo
- Publication number
- KR101074064B1 KR101074064B1 KR1020080104362A KR20080104362A KR101074064B1 KR 101074064 B1 KR101074064 B1 KR 101074064B1 KR 1020080104362 A KR1020080104362 A KR 1020080104362A KR 20080104362 A KR20080104362 A KR 20080104362A KR 101074064 B1 KR101074064 B1 KR 101074064B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- interface
- equipment
- value
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000012544 monitoring process Methods 0.000 title claims abstract description 47
- 230000005856 abnormality Effects 0.000 claims abstract description 38
- 238000007689 inspection Methods 0.000 claims abstract description 16
- 230000002159 abnormal effect Effects 0.000 claims abstract description 15
- 238000005259 measurement Methods 0.000 claims description 20
- 238000012806 monitoring device Methods 0.000 claims description 7
- 230000002596 correlated effect Effects 0.000 claims description 4
- 230000000875 corresponding effect Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 8
- 101150010139 inip gene Proteins 0.000 description 7
- 238000012360 testing method Methods 0.000 description 3
- 230000001276 controlling effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 트래픽 모니터링 방법 및 장치에 관한 것이다. 본 발명은 한 사이클을 이루는 N회 중 적어도 1회에 제1 장비에 대하여 종래의 일반 주기보다 시간이 짧은 제1 시간을 주기로 하여 장비 트래픽을 수집하고, 제1 시간 동안 수집된 상기 장비 트래픽의 값을 설정된 제1 임계치와 비교하여 트래픽 이상이 있는지를 파악하며, 장비 트래픽의 값을 통해 파악된 트래픽 이상이 있는 상기 제1 장비의 각 인터페이스에 대하여 상기 제1 시간보다 긴 제2 시간을 주기로 하여 인터페이스 트래픽을 수집한 후, 제2 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악한다. 이에 따라 본 발명은 본 발명은 종래의 트래픽 수집 주기보다 짧은 시간인 단축 주기로 하여 트래픽을 수집하고 트래픽 이상이 있는 장비 및 인터페이스를 발견할 수 있게 하고, 종래보다 시간이 짧은 단축 주기로 트래픽을 수집하고 검사하여도 검사 장비에 부하를 가중시키지 않게 한다.
트래픽 수집, 장비 트래픽, 인터페이스 트래픽, 단축 주기
Description
본 발명은 네트워크 관리 장치 및 방법에 관한 것으로, 특히, 안정적인 망 관리를 위해 네트워크 트래픽을 수집하고 수집한 트래픽 값을 검사하여 트래픽 이상이 있는 해당 장비의 인터페이스를 파악하는 네트워크 트래픽 모니터링 장치 및 방법에 관한 것이다.
현재 운용중인 망 관리 시스템은 네트워크 트래픽의 이상 흐름을 모니터링하기 위하여 주기적으로 SNMP(Simple Network Management Protocol)을 통하여 라우터의 인터페이스에서 측정된 트래픽 값을 검사한다.
망 관리 시스템은 수집된 트래픽의 값이 운용자가 정한 임계치를 넘게 되면 운용자에게 경보를 알리고, 임계치를 넘지 않게 되면 경보를 해제한다.
그런데 이러한 종래의 네트워크 트래픽 모니터링 방법은 트래픽을 수집하는 주기를 짧게 하면 측정 대상 라우터의 개수가 적은 소규모 네트워크에서는 문제가 없으나, 대규모 네트워크의 경우 측정해야 할 인터페이스의 개수가 너무 많아져서 트래픽 수집 서버의 부하가 높아지게 된다.
예컨대, 한 장비당 평균 20 개의 인터페이스를 가진다고 가정하면, 라우터의 수가 50대 정도되는 소규모 네트워크에서는 측정 대상 인터페이스가 총 1000개이다. 그러나 라우터 수가 1,000대 정도되는 대규모 네트워크에서는 측정 대상 인터페이스의 수가 20,000개가 된다.
이 때 측정 주기가 5분이라고 하면, 소규모 네트워크나 대규모 네트워크 모두 트래픽 수집 서버가 트래픽을 수집하는데 문제가 없을 수 있으나, 좀더 빠르고 세밀한 감시를 위해 측정 주기를 1분으로 단축할 경우에 대규모 네트워크에서는 처리해야 할 트래픽의 양이 크게 증가하기 때문에 수집 서버의 성능에 문제가 발생할 수 있다.
본 발명이 이루고자 하는 기술적 과제는 대규모 네트워크에서 부하의 부담없이 빠르고 세밀한 네트워크 트래픽 수집을 할 수 있게 하는 네트워크 트래픽 모니터링 장치 및 방법을 제공하는 것이다.
본 발명이 이루고자 하는 기술적 과제는 빠르고 세밀한 네트워크 수집을 하더라도 트래픽 이상이 있는 인터페이스를 즉각 검출하는 네트워크 트래픽 모니터링 장치 및 방법을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 제1 특징에 따른 본 발명은 N(N의 최소값은 2)회의 연속된 트래픽 측정 횟수를 트래픽 측정 사이클로 하여 네트워크 트래 픽을 모니터링하는 방법을 제공한다. 이 방법은, 상기 N회 중 적어도 1회에 제1 장비에 대하여 제1 시간을 주기로 하여 장비 트래픽을 수집하는 제1 단계, 상기 제1 시간 동안 수집된 상기 장비 트래픽의 값을 설정된 제1 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제2 단계, 상기 장비 트래픽의 값을 통해 파악된 트래픽 이상이 있는 상기 제1 장비의 각 인터페이스에 대하여 상기 제1 시간보다 긴 제2 시간을 주기로 하여 인터페이스 트래픽을 수집하는 제3 단계, 그리고 상기 제2 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제4 단계를 포함한다.
여기서, 본 발명의 네트워크 트래픽 모니터링 방법은, N회 중 적어도 1회에 제1 장비의 각 인터페이스에 대해 상기 제1 시간보다 긴 제3 시간을 주기로 하여 인터페이스 트래픽을 수집하는 제5 단계와, 상기 제3 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제6 단계를 더 포함한다.
또한, 본 발명의 네트워크 트래픽 모니터링 방법은, 상기 제1 단계 이전에,
각 네트워크 장비에 대하여 설정 기간 동안 제3 시간을 주기로 하여 상기 제1장비의 장비 트래픽과 상기 제1 장비의 각 인터페이스별 인터페이스 트래픽을 M번 수집하는 제7 단계, 첫번째 수집한 트래픽부터 M번째 수집한 트래픽의 순서로, 해당 번째 수집한 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 있는지를 파악하는 제8 단계와, 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 없는 장비를 트래픽 모니터링 대상에서 제외시키고, 상관성이 있는 장비를 상기 제1 장비로 등록하는 제9 단계를 더 포함할 수 있다.
그리고, 상기 기술적 과제를 달성하기 위한 제1 특징에 따른 본 발명은 N(N의 최소값은 2)회의 연속된 트래픽 측정 횟수를 트래픽 측정 사이클로 하여 네트워크 트래픽을 모니터링하는 네트워크 트래픽 모니터링 장치를 제공한다. 이 장치는, 네트워크 트래픽의 검사가 가능한 검사 대상 장비의 정보가 기록된 장비 트래픽 수집 가능 목록을 저장하고 있는 데이터베이스, 상기 장비 트래픽 수집 가능 목록에 기록된 상기 검사 대상 장비에 대하여 상기 N회 중 적어도 1회에 제1 시간을 주기로 하여 장비 트래픽을 수집하고, 트래픽 이상이 있는 장비에서 상기 제1 시간보다 긴 제2 시간을 주기로 하여 각 인터페이스별 트래픽을 수집하는 트래픽 수집부, 그리고 상기 트래픽 수집부에 의해 상기 제1 시간 동안 수집된 상기 장비 트래픽의 값을 설정된 제1 임계치와 비교하여 트래픽 이상이 있는지를 파악하고, 상기 트래픽 수집부를 제어하여 트래픽 이상이 있는 장비의 각 인터페이스별 트래픽을 수집하게 하며, 상기 제2 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 트래픽 상태 판단부를 포함한다.
본 발명의 네트워크 트래픽 모니터링 장치는 각 네트워크 장비에 대하여 상기 장비 트래픽의 값과 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성 이 있는지를 파악하여, 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 없는 장비를 상기 장비 트래픽 수집 가능 목록에서 제외시키고, 상관성이 있는 장비를 상기 장비 트래픽 수집 가능 목록에 등록하는 측정대상 산출부를 더 포함할 수 있다.
전술한 실시 예에 따르면, 본 발명은 종래의 트래픽 수집 주기보다 짧은 시간인 단축 주기로 하여 트래픽을 수집하고 트래픽 이상이 있는 장비 및 인터페이스를 발견할 수 있게 한다.
또한 본 발명은 종래보다 시간이 짧은 단축 주기로 트래픽을 수집하고 검사하여도 검사 장비에 부하를 가중시키지 않게 한다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이제, 첨부한 도면을 참조로 하여 본 발명의 실시 예에 네트워크 트래픽 모니터링 장치 및 방법을 설명한다. 우선 도 1을 참조로 하여 본 발명의 개념을 설명한다. 도 1은 본 발명을 설명하기 위한 개념도이다.
본 발명은 트래픽 모니터링 장치(100)에서 SNMP(Simple Network Management Protocol)를 이용하여 일반적인 주기(이하 '일반 주기'라 함)보다 짧은 시간을 주기(이하 '단축 주기'라 함)로 네트워크 트래픽을 수집 및 검사한다.
이때, 단축 주기로 하여 종래의 방법과 같이 인터페이스별로 트래픽을 수집하게 되면 동일 시간 동안에 종래의 일반 주기에 비해 트래픽 수집 횟수가 증가하게 되고, 그에 따라 트래픽 모니터링 장치(100)에는 종래에 비해 상당한 부하가 가중된다.
본 발명은 이를 해소하기 위해 단축 주기에 의한 네트워크 트래픽 수집을 장비 단위로 수행한다.
장비 단위로 네트워크 트래픽을 수집하는 것은 장비를 검사 대상으로 하여 장비에 입/출력된 트래픽의 값을 파악하는 것을 의미한다. 이러한 장비 단위로 네트워크 트래픽을 검사하는 것은 임의의 장비에서 각 인터페이스를 검사 대상으로 하여 인터페이스에 입/출력된 트래픽의 값을 파악하는 인터페이스별 네트워크 트래픽을 수집하는 것과 차별된다.
즉, 장비 단위로 네트워크 트래픽을 수집하는 것은 SNMP의 표준 MIB(Management Information Base, 관리 정보 베이스)에서, 장비에 설정 시간 동안에 입력된(즉, 수집된) 트래픽의 량을 나타내는 장비입력 속성값과, 설정 시간 동안에 장비에서 출력된 트래픽의 량을 나타내는 장비출력 속성값을 파악하는 것이다. 그리고 인터페이스별로 네트워크 트래픽을 수집하는 것은 SNMP의 표준 MIB에서, 임의의 장비의 설정 시간 동안에 각 인터페이스에 입력된 트래픽의 량을 나타내는 인터페이스입력 속성값과 설정 시간 동안에 해당 인터페이스에서 출력된 트래픽의 량을 나타내는 인터페이스출력 속성값을 파악하는 것이다.
이하에서는 장비에 입/출력되는 트래픽을 장비 트래픽이라 하고, 장비 트래픽에 대한 장비입력 속성값과 장비출력 속성값을 통칭하여 장비 트래픽의 값이라 한다. 그리고 인터페이스에 입/출력되는 트래픽을 인터페이스 트래픽이라 하고, 인터페이스 트래픽에 대한 인터페이스입력 속성값과 인터페이스출력 속성값을 통칭하여 인터페이스 트래픽의 값이라 한다.
따라서 장비 트래픽을 수집하는 것은 인터페이스별 트래픽을 수집하는 것에 비해 검사 대상(또는 수집 횟수)이 훨씬 적게 되어 트래픽 모니터링 장치(100)에게 부하를 가중시키지 않게 한다.
예컨대, 하나의 라우터가 20개의 인터페이스를 가지고 있으며 라우터의 수가 1,000대 정도되는 소규모의 네트워크에서, 트래픽 모니터링 장치(100)가 모든 인터페이스에 대해 1분을 단축 주기로 하여 트래픽을 수집하는 경우를 보자.
검사 기간을 5분이라고 하면, 종래에는 1,000개의 라우터별로 각 20개의 인 터페이스로부터 트래픽을 수집하게 되고 이를 5회 반복하게 되므로, 트래픽 수집을 5*1000*20인 100,000번을 해야 한다.
그런데, 본 발명에 따라 장비 트래픽을 검사하면 1000개의 라우터별로 트래픽을 수집하고 이를 5회 반복하게 되므로, 트래픽 수집을 1000*5인 5,000번만 하면 된다. 그러므로 본 발명은 종래에 비해 트래픽 수집 기간을 짧으나 검사 대상이 적어서 서버의 부하를 가중시키지 않게 한다.
이렇게 장비 트래픽을 검사하는 방법을 이용하는 본 발명은 우선적으로 장비 트래픽 검사를 하여 트래픽 이상이 있는 장비를 검출한 후 검출한 장비에 대해 인터페이스 트래픽을 검사하여 트래픽 이상이 있는 해당 장비의 인터페이스를 파악한다.
도 1을 예로 하면, 본 발명은 우선적으로 장비 1(10), 장비 2(20)와, 장비 3(30)을 대상으로 장비 트래픽을 수집하고, 수집한 장비 트래픽의 값을 검사하여 트래픽 이상이 있는 장비 2(20)를 검출한다.
그런 다음 본 발명은 트래픽 이상이 있는 장비 2(20)에 대해 장비 2(20)의 각 인터페이스별로 인터페이스 트래픽을 수집하고, 수집한 인터페이스 트래픽의 값을 검사하여 트래픽 이상이 있는 인터페이스를 찾는다.
한편, 본 발명을 위해서는 하나의 장비에 대해 측정된 장비 트래픽의 값과 각 인터페이스별 트래픽의 값을 합산한 값(이하 '인터페이스 트래픽의 합산값'이라 한다)이 상관성이 있어야 한다. 즉, 본 발명에 적용되는 네트워크 장비(즉, 검사 대상 장비)는 장비입력 속성값과 각 인터페이스별 인터페이스입력 속성값의 합이 서로 상관성이 있어야 하고, 장비출력 속성값과 각 인터페이스별 인터페이스출력 속성값의 합이 서로 상관성이 있어야 한다.
이런 이유로 본 발명은 도 2에 도시된 바와 같이 트래픽 모니터링을 할 검사 대상 장비들 각각에 대하여 측정된 장비 트래픽의 값과 인터페이스 트래픽의 합산값 간에 상관성이 있는지를 파악하고, 이에 부응하는 장비에 대하여 본 발명을 적용한다.
이하에서는 도 2 내지 도 4를 참조로 하여 본 발명의 실시 예에 따른 검사 대상 장비를 선별하는 방법을 설명한다.
설명에 앞서 본 발명의 실시 예에 따른 장비입력 속성값, 장비출력 속성값, 인터페이스입력 속성값과 인터페이스출력 속성값을 설명한다.
본 발명의 실시 예에 따른 장비입력 속성값, 장비출력 속성값, 인터페이스입력 속성값과 인터페이스출력 속성값은 다음의 표 1과 같다.
[표 1]
| 측정 대상 | 측정 항목 | 속성값 |
| 장비 트래픽 | 입력 | ipInReceives |
| 출력 | ipOutRequest, ipForwDatagrams, ipOutDiscards, ipOutNoRoutes, ipFragOks, ipFragFails, ipFragCreates |
|
| 인터페이스 트래픽 | 입력 | ifInUcastPkts, ifInNUcastPkts |
| 출력 | ifOutUcastPkts, ifOutNUcastPkts |
표 1에 따르면, 본 발명의 실시 예에 따른 장비입력 속성값은 SNMP에서 ip 그룹의 속성값인 ipInReceives이고, 장비출력 속성값은 ip 그룹의 속성값인 ipOutRequest와 ipForwDatagrams와 ipOutDiscards와 ipOutNoRoutes와 ipFragOks와 ipFragFails와 ipFragCreates이다.
그리고 표 1에 따르면, 본 발명의 실시 예에 따른 인터페이스입력 속성값은 SNMP에서 if 그룹의 속성값인 ifInUcastPkts와 ifInNUcastPkts이고, 인터페이스출력 속성값은 if 그룹의 속성값인 ifOutUcastPkts와 ifOutNUcastPkt이다.
상기 ipInReceives는 인터페이스로 수신한(에러로 수신된 것 포함) 입력 데이터그램의 수이고, ipOutRequest는 IP(Internet Protocol) 사용자 프로토콜이 임의의 IP로 전송한 IP 데이터그램의 수이며, ipForwDatagrams는 최종 IP 목적지가 해당 엔티티가 아니기 때문에 다른 경로로 전송하는 입력 데이터그램의 수이다.
또한 ipOutDiscards는 목적지로 전달하기 위해 아무런 문제가 없었으나 다른 이유로 버려진 출력 IP 데이터 그램의 수이고, ipOutNoRoutes는 IP 데이터그램을 전송할 경로를 찾지 못해서 버려지는 IP 데이터그램의 수이다. 또한 ipFragOks는 성공적으로 단편화된 IP 데이터그램의 수이고, ipFragFails는 단편화되어야 하나 성공하지 못하여 버려지는 IP 데이터그램의 수이며, ipFragCreates는 단편화의 결과로 생성된 IP 데이터그램의 단편의 수이다.
ifInUcastPkts는 상위 프로토콜로 전송되는 유니캐스트 패킷의 수이고, ifInNUcastPkts는 상위 프로토콜로 전송되는 비유니캐스트 패킷의 수이다. 그리고 ifOutUcastPkts는 상위 프로토콜이 유니캐스트 주소로 전송 요청한 패킷의 수이고, ifOutNUcastPkts는 상위 프로토콜이 비유니캐스트 주소로 전송 요청한 패킷의 수이다.
따라서 장비입력 속성값을 inIP라 하고, 장비출력 속성값을 outIP라 하며, 인터페이스입력 속성값을 inIF라 하고, 인터페이스출력 속성값을 outIF라 하면, 각 속성값은 다음의 수학식 1 내지 수학식 4를 통해 측정(파악)된다.
(수학식 1)
inIP = ipInReceives
(수학식 2)
outIF = ipOutRequest + ipForwDatagrams - ipOutDiscards - ipOutNoRoutes - ipFragOKs - pFragFails + ipFragCreates
(수학식 3)
여기서, n은 해당 장비의 인터페이스 개수이다.
(수학식 4)
여기서, n은 해당 장비의 인터페이스 개수이다.
도 2는 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법을 위한 검사 대상 장비를 선별하는 방법을 보인 순서도이다.
도 2에 도시된 바와 같이, 하나의 네트워크 장비 즉, 라우터에 대하여 장비 트래픽의 값과 인터페이스 트래픽의 합산값이 서로 간에 상관성이 있는지를 파악하기 위하여 일정 기간(일 예로, 1일이라고 함) 동안 설정 주기(예; 1분, 2분, 5분 등)로 장비 트래픽과 인터페이스 트래픽을 수집한다(S201). S201 과정은 하루 동안에 m 회만큼 각 트래픽을 수집하게 되며, 이때 표 1의 속성값들을 통해 각 트래픽을 수집하게 된다.
하루 동안, 트래픽의 측정이 끝나면 본 발명은 첫 번째부터 m번째의 순서로 순차적으로 해당 번째에서 수집된 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 비율이 설정 비율(C) 이상이 되는지를 파악한다(S202 내지 S206).
즉, 해당 번째(첫번째부터 m번째 중 하나) 수집한 장비 트래픽의 값과 인터페이스 트래픽의 합산값에 대해, (inIP-inIF)/inIF의 절대값이 설정 비율(C) 보다 작은지를 판단하고(S204), S204 과정에서 설정 비율(C) 이상이면 검사 대상에서 제외하고 설정 비율(C) 보다 작으면 (outIP-outIF)/outIF의 절대값이 설정 비율(C) 보다 작은지를 판단한다(S205).
상기 S205 과정에서 (outIP-outIF)/outIF의 절대값이 설정 비율(C) 보다 작으면 계속해서 다음 번째에서 수집한 장비 트래픽의 값과 인터페이스 트래픽의 합산값을 이용하여 S204 과정과 S205 과정을 반복한다.
만약 첫 번째부터 m번째까지의 (inIP-inIF)/inIF의 절대값과 (outIP-outIF)/outIF의 절대값이 설정 비율(C) 보다 작으면, 본 발명은 해당 검사 장비를 장비 트래픽 수집 가능 목록에 추가한다(S207).
반면에, 첫 번째부터 m번째까지의 (inIP-inIF)/inIF의 절대값과 (outIP-outIF)/outIF의 절대값 중 하나라도 설정 비율(C) 크면, 본 발명은 장비 트래픽 수집 가능 목록에서 제외시킨다.
여기서, (inIP-inIF)/inIF의 절대값과 (outIP-outIF)/outIF의 절대값이 설정 비율(C) 보다 작은 경우에 장비 트래픽의 값과 인터페이스 트래픽의 합산값을 상관관계 그래프로 나타내면 도 3과 같이 나타난다. 도 3은 장비 트래픽의 값과 인터페이스 트래픽의 합산값에 상관성이 있는 경우를 보인 그래프로서, 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 차이가 0.001% 정도인 경우에 대한 것이다.
그리고 (inIP-inIF)/inIF의 절대값과 (outIP-outIF)/outIF의 절대값이 설정 비율(C) 이상인 경우에 장비 트래픽의 값과 인터페이스 트래픽의 합산값을 상관관계 그래프로 나타내면 도 4와 같이 나타난다. 도 4는 장비 트래픽의 값과 인터페이스 트래픽의 합산값에 상관성이 없는 경우를 보인 그래프로서, 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 차이가 15% 정도인 경우에 대한 것이다.
도 3과 도 4에서 가로축은 시간이고, 세로축은 출력 트래픽의 값이다. 도 3과 도 4에 나타난 그래프의 값은 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 차이(P)를 나타낸 것으로, 구체적으로 출력 트래픽의 값을 기준으로 한 것이다.
도 4를 보면 알 수 있듯이, 장비 트래픽의 값과 인터페이스 트래픽의 합산값이 설정 비율(C) 이상이면 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 차이가 크게 되어 상관성이 낮다. 이렇게 되면 장비 트래픽의 값을 통해 인터페이스 트래픽의 합산값을 예측하는 경우에 신뢰성이 떨어지게 된다.
도 3을 보면 알 수 있듯이, 장비 트래픽의 값과 인터페이스 트래픽의 합산값이 설정 비율(C) 보다 작으면 장비 트래픽의 값과 인터페이스 트래픽의 합산값의 오차가 거의 없게 되어 상관성이 높다. 이렇게 되면 장비 트래픽의 값을 통해 인터 페이스 트래픽의 합산값을 예측할 수 있게 된다.
이하에서는 도 5를 참조로 하여 본 발명의 실시 예에 따른 트래픽 모니터링 장치를 설명한다. 도 5는 본 발명의 실시 예에 따른 트래픽 모니터링 장치의 블록 구성도이다.
도 5에 도시된 바와 같이, 본 발명의 실시 예에 따른 트래픽 모니터링 장치는 측정대상 산출부(110), 데이터베이스(120), 트래픽 수집부(130), 트래픽 상태 판단부(140), 경보 발생부(150)와, 입력부(160)을 포함한다.
측정대상 산출부(110)는 하나의 네트워크 장비에 대하여 장비 트래픽의 값과 인터페이스 트래픽의 합산값 간의 상관성을 파악하여, 도 2를 참조로 설명한 검사 대상 장비를 선별하는 동작을 수행한다. 측정대상 산출부(110)는 선별한 검사 대상 장비 즉 라우터를 데이터베이스(120)에 저장된 장비 트래픽 수집 가능 목록에 추가한다. 한편, 측정대상 산출부(110)는 별도의 장치로 구성되어 본 발명의 트래픽 모니터링 장치의 외부 장치로 구현될 수 있다.
데이터베이스(120)는 장비 트래픽 수집 가능 목록을 저장하고 있으며, 장비트래픽에 대응한 입/출력 장비트래픽 임계치(insthr, outsthr)와 인터페이스 트래픽에 대응된 입/출력 인터페이스트래픽 임계치(inthr, outthr)를 저장하고 있고, 검사 대상 장비 선별을 위한 설정 비율(C)을 저장하고 있다.
여기서, insthr은 입력 장비트래픽 임계치로서 해당 장비의 각 인터페이스별 입력 인터페이스트래픽 임계치(inthr)의 합이고, outsthr은 출력 장비트래픽 임계 치로서 해당 장비의 각 인터페이스별 출력 인터페이스트래픽 임계치(outthr)의 합이다. Inthr은 입력 인터페이스트래픽 임계치로서 해당 장비의 각 인터페이스별로 대응하여 설정되어 있으며, outthr은 출력 인터페이스트래픽 임계치로서 해당 장비의 각 인터페이스별로 대응하여 설정되어 있다.
트래픽 수집부(130)는 제1 트래픽 수집 방법(도 7 참조)과 제2 트래픽 수집 방법(도 9 참조) 중 하나를 설정하고 있으며, 설정된 트래픽 수집 방법에 따라 장비 트래픽 수집 가능 목록에 등록된 장비에 대하여 장비 트래픽과 인터페이스 트래픽을 수집한다. 즉, 트래픽 수집부(130)는 제1 또는 제2 트래픽 수집 방법에 따라 장비입력 속성값, 장비출력 속성값, 인터페이스입력 속성값과 인터페이스출력 속성값을 측정(파악)한다.
트래픽 상태 판단부(140)는 트래픽 수집부(130)에서 수집한 장비 트래픽의 값 또는, 장비 트래픽의 값과 인터페이스 트래픽의 값을 해당 설정 임계치(insthr, outsthr, inthr, outthr)와 비교하여 트래픽 이상이 있는 장비 또는/및 인터페이스를 파악한다. 이때 트래픽 상태 판단부(140)는 장비 트래픽의 값과 인터페이스 트래픽의 값을 PPS(Packet Per Second) 단위의 임계값과 비교할 수 있도록 장비 트래픽의 값인 장비입력 속성값(inIP)과 장비출력 속성값(outIP) 및, 인터페이스 트래픽의 값인 인터페이스입력 속성값(inIF)과 인터페이스출력 속성값(outIF)을 다음의 조건식과 같이 변경한다.
(조건식)
inSPPS(장비 트래픽 입력 PPS) = inIP/수집주기
outSPPS(장비 트래픽 출력 PPS) = outIP/수집주기
inPPS(인터페이스 트래픽 입력 PPS) = inIF/수집주기
outPPS(인터페이스 트래픽 출력 PPS) = outIF/수집주기
여기서 수집주기는 단축 주기(T1) 또는 일반 주기(T2)이다. 구체적으로 inSPPS와 outSPPS에서의 수집 주기는 단축 주기(T1)이고, inPPS와 outPPS에서의 수집 주기는 일반 주기(T2)인 것이 양호하다.
경보 발생부(150)는 트래픽 상태 판단부(140)의 제어에 따라서, 트래픽 이상이 있는 장비 또는 인터페이스가 발견된 경우에 경보를 발생한다. 입력부(160)는 운용자의 입력을 수신하여 데이터베이스(120)에 저장된 정보를 저장하거나 저장된 정보를 변경할 수 있게 한다.
한편, 트래픽 상태 판단부(140)는 트래픽 수집부(130)를 대신하여 제1 트래픽 수집 방법과 제2 트래픽 수집 방법 중 하나를 설정 저장할 수 있으며, 이 경우에 트래픽 수집부(130)를 제어하여 제1 트래픽 수집 방법과 제2 트래픽 수집 방법 중 하나에 따라 장비 트래픽 또는, 장비 트래픽과 인터페이스 트래픽을 수집한다.
이하에서는 도 6과 도 7을 참조로 하여 본 발명의 제1 실시 예에 따른 네트워크 트래픽 모니터링 방법을 설명한다. 도 6은 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법에 이용되는 제1 트래픽 수집 방법을 보인 도면이다. 도 7은 본 발명의 제1 실시 예에 따른 네트워크 트래픽 모니터링 방법을 보인 순서도이다.
본 발명의 제1 실시 예에 따른 네트워크 트래픽 모니터링 방법은 도 6와 도 7에 도시된 바와 같이, 단축 주기(T1)마다 장비별로 장비 트래픽을 수집하는 제1 트래픽 수집을 수행하고, 수집한 장비 트래픽의 값을 검사하여 트래픽 이상이 있는지를 파악하는 과정(S701 내지 S703) 과정을 반복한다.
즉, 트래픽 수집부(130)는 도 6에 도시된 제1 트래픽 수집 방법에 따라 설정된 T1 시간 동안에 각 장비에 입력되는 입/출력 트래픽을 수집한다, 즉, 설정된 T1 시간을 주기로 장비입력/장비출력 속성값을 파악한다(S701).
그런 다음 트래픽 상태 판단부(140)는 수집한 장비별 장비 트래픽의 값을 장비별로 설정된 입/출력 임계치와 비교한다(S702). 즉, 트래픽 상태 판단부(140)는 장비 트래픽의 값 중 장비입력 속성값(inIP)과 설정된 입력 장비트래픽 임계치(insthr)를 비교하고, 장비출력 속성값(outIP)과 설정된 출력 장비트래픽 임계치(outsthr)를 비교한다.
이때 입력 임계치(insthr, intrhr)와 출력 임계치(outsthr, outthr)는 PPS(Packet Per Second) 단위로 관리된다. 그러므로 S702 과정을 위해서 트래픽 상태 판단부(140)는 장비 트래픽의 값을 임계치와 비교될 수 있는 값으로 변경 처리한다.
트래픽 상태 판단부(140)는 S702 과정에서 입력 트래픽의 값이 설정된 입력 임계치보다 크거나 또는, 출력 트래픽의 값이 설정된 출력 임계치보다 큰 장비가 있으면 이때의 장비를 트래픽 이상이 있는 장비라고 판단한다(S703).
S703 과정에서 트래픽 이상이 있는 장비를 검출하면(S704), 트래픽 모니터링 장치는(100)는 트래픽 이상이 있는 장비에 대하여 S705 내지 S709 과정을 수행하여 트래픽 이상이 장비의 인터페이스 중 트래픽 이상이 있는 인터페이스를 검출한다.
즉, 트래픽 이상이 있는 장비를 검출하면 경보 발생부(150)는 트래픽 이상이 있는 장비를 외부에 알리는 알림 경보를 수행하고(S705), 트래픽 수집부(130)는 트래픽 상태 판단부(140)의 제어에 따라 일반 주기 동안에 해당 장비의 각 인터페이스별 인터페이스 트래픽을 수집한다(S706).
트래픽 상태 판단부(140)는 인터페이스별 인터페이스 트래픽의값을 설정된 입/출력 임계치와 비교한다(S707). 즉, 트래픽 상태 판단부(140)는 인터페이스 트래픽의 값 중 인터페이스입력 속성값(inIF)을 설정된 입력 인터페이스트래픽 임계치(inthr)과 비교하고, 인터페이스출력 속성값(outIF)을 설정된 출력 인터페이스트래픽 임계치(outthr)과 비교한다.
이때 입력 임계치(inthr)와 출력 임계치(outthr)는 PPS(Packet Per Second) 단위로 관리된다. 그러므로 S707 과정을 위해서 트래픽 상태 판단부(140)는 인터페이스 트래픽의 값을 임계치와 비교될 수 있는 값으로 변경 처리한다.
트래픽 상태 판단부(140)는 S707 과정을 통해서, 인터페이스입력 속성값(inIF)이 설정된 입력 임계치보다 크거나 또는/및, 인터페이스출력 속성값(outIF)이 설정된 출력 임계치보다 큰 인터페이스를 검출하게 되고(S708), 이렇게 검출된 인터페이스를 트래픽 이상이 있는 인터페이스로 결정한다(S709).
그리고 트래픽 이상이 있는 인터페이스에 대한 경보를 발생하고, 설정된 시간마다 해당 인터페이스의 입/출력 트래픽을 감시한다.
다음으로, 도 8과 도 9를 참조로 하여 본 발명의 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법을 설명한다. 도 8은 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법에 이용되는 제2 트래픽 수집 방법을 보인 도면이다. 도 9는 본 발명의 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법을 보인 순서도로서, 도 7에 도시된 일 예에 따른 수집 방법을 기반으로 한 것이다.
도 8에 도시된 바와 같이, 본 발명의 실시 예에 따른 제2 트래픽 수집 방법은 전반적으로 제1 트래픽 수집 방법과 유사하나, 인터페이스 트래픽을 수집하기 위하여 단축 주기(T1)의 정수배인 일반 주기(T2)가 포함되어 있는 것이 다르다.
도 8에서 일반 주기(T2)는 단축 주기(t1)의 5배인 것으로 도시하였지만, 단축 주기(T1)의 3배 또는 단축 주기(T1)의 6배 등과 같이 운용자에 의해 임의로 가변될 수 있다. 이는 마치 복수개의 단축 주기(T1)와 하나의 일반 주기(T2)가 하나의 사이클을 이루는 것과 같다. 즉, 복수번의 장비 트래픽 수집과 한번의 인터페이스 트래픽 수집이 하나의 사이클을 이루는 것과 같다.
도 8을 참조로 예를 들면, 제2 트래픽 수집 방법은 4번 장비 트래픽 수집 후에 한번의 인터페이스 트래픽을 수집하는 것을 하나의 사이클로 하여 반복한다. 물론 하나의 사이클은 인터페이스 트래픽을 수집하는 횟수가 2회 이상일 수 있으나, 장비 트래픽을 수집하는 횟수가 적어도 1회 이상인 것이 양호하다.
한편, 제2 트래픽 수집 방법은 제1 트래픽 수집 방법의 문제점을 해결한다.
즉, 제1 트래픽 수집 방법과 같이 장비 트래픽만을 수집하여 네트워크 트래픽을 모니터링하는 것은 해당 장비의 인터페이스가 트래픽 이상이 발생한 채로 트 래픽이 입력 또는 출력하여도 이를 알지 못하게 한다. 이는 장비 트래픽의 값이 장비에 입력 또는 출력되는 총 트래픽만을 나타내기 때문이다. 그러므로 본 발명의 제1 실시 예와 같이 트래픽을 수집하여 검사하게 되면 트래픽 이상이 있는 인터페이스가 있더라도 이를 발견하지 못하는 경우가 발생한다.
예컨대, 인터페이스가 3개인 장비가 있다고 하고, 제1 인터페이스의 트래픽 임계치가 10이고, 제2 인터페이스의 트래픽 임계치가 10이며, 제3 인터페이스의 트래픽 임계치가 15라고 하자. 여기서 트래픽 임계치는 트래픽 이상을 판단하는 기준 트래픽값이다.
이런 상태에서, 장비 트래픽의 값이 30이면, 본 발명은 장비가 트래픽 이상이 아니라고 판단한다. 이는 제1 내지 제3 인터페이스의 트래픽 임계치의 합이 35이고, 장비 트래픽의 값이 35보다 작기 때문이다.
그런데 장비 트래픽의 값 중에서 제1 인터페이스의 트래픽의 값이 15이고, 제2 인터페이스의 트래픽의 값이 5이고, 제3 인터페이스의 트래픽의 값이 10이면, 장비의 트래픽은 30으로 트래픽 이상이 없지만, 실질적으로 제1 인터페이스는 트래픽이 15로서 임계치 10보다 높아 트래픽 이상이다.
따라서, 제2 트래픽 수집 방법은 이러한 문제를 해결하기 위하여, 종래와 같은 인터페이스 트래픽의 수집 및 검사를 하나의 사이클 중 적어도 1회를 수행한다.
이하, 제2 트래픽 수집 방법이 적용된 본 발명의 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법을 도 9를 참조로 하여 설명한다. 여기서 제2 트래픽 수집 방법은 도 8에 도시된 바와 같이, 하나의 사이클이 단축 주기(T1)로 장비 트래픽을 4회 수집하고, 일반 주기(T2)로 인터페이스 트래픽을 1회 수집하는 경우를 일 예로 한다.
트래픽 수집부(130)는 한 사이클에서 설정 횟수만큼 단축 주기(T1)로 장비 트래픽을 수집한다(S901, S902).
그런 다음 트래픽 상태 판단부(140)는 수집한 장비별 장비 트래픽의 값을 장비별로 설정된 입/출력 임계치(insthr, inthr)와 비교한다(S903). 즉, 트래픽 모니터링 장치(100)는 장비 트래픽의 값 중 장비입력 속성값(inIP)을 설정된 입력 장비트래픽 임계치(insthr)와 비교하고, 장비출력 속성값(outIP)를 설정된 출력 장비트래픽 임계치(outsthr)와 비교한다.
이때 트래픽 모니터링 장치(100)는 장비 트래픽의 값을 입/출력 장비트래픽 임계치와 비교될 수 있는 값으로 변경 처리한다.
트래픽 상태 판단부(140)는 S903 과정에서 입력 트래픽의 값이 설정된 입력 장비트래픽 임계치보다 크거나 또는, 출력 트래픽의 값이 설정된 출력 장비트래픽 임계치보다 큰 장비가 있으면 이때의 장비를 트래픽 이상이 있는 장비라고 판단한다(S904).
S904 과정을 통해 트래픽 이상이 있는 장비를 발견하면(S905), 트래픽 상태 판단부(140)는 트래픽 이상이 있는 장비에 대하여 S907 내지 S910 과정을 수행하여 트래픽 이상이 장비의 인터페이스 중 트래픽 이상이 있는 인터페이스를 검출한다.
즉, 트래픽 이상이 있는 장비를 발견하면 경보 발생부(150)는 트래픽 이상이 있는 장비를 외부에 알리는 알림 경보를 수행하고(S907), 트래픽 수집부(130)는 일반 주기(T2) 동안에 해당 장비의 각 인터페이스별로 인터페이스 트래픽을 수집한다(S908).
그런 다음 트래픽 상태 판단부(140)는 인터페이스별 인터페이스 트래픽의값을 설정된 입/출력 인터페이스트래픽 임계치(inthr, outthr)와 비교한다(S909). 즉, 트래픽 상태 판단부(140)는 인터페이스 트래픽의 값 중 인터페이스입력 속성값(inIF)를 설정된 입력 인터페이스트래픽 임계치(inthr)와 비교하고, 인터페이스출력 속성값(outIF)을 설정된 출력 인터페이스트래픽 임계치(outthr)과 비교한다.
이때 트래픽 상태 판단부(140)는 인터페이스 트래픽의 값을 해당 임계치와 비교될 수 있는 값으로 변경 처리한다.
트래픽 상태 판단부(140)는 S909 과정을 통해서, 인터페이스입력 속성값(inIF)이 설정된 입력 인터페이스트래픽 임계치(inthr)보다 크거나 또는/및, 인터페이스출력 속성값(outIF)이 설정된 출력 인터페이스트래픽 임계치(outthr)보다 큰 인터페이스를 검출하게 되고(S910), 이렇게 검출된 인터페이스를 트래픽 이상이 있는 인터페이스로 결정한다(S911).
한편, 트래픽 수집부(130)는 장비 트래픽 검사 결과와 상관없이 한 사이클에서 설정 시간에 설정 횟수만큼 인터페이스 트래픽을 수집하고, 트래픽 상태 판단부(140)는 수집한 장비별 장비 트래픽의 값을 장비별로 설정된 해당 입/출력 임계치와 비교한다(S906, S908, S909). 물론 트래픽 수집부(130)는 한 사이클에서 설정된 인터페이스 트래픽을 수집하는 동작을 하는 경우에, 트래픽 이상 검출 알림 경보 동작(S907)이 이루어지지 않게 할 것이다.
이하에서는 도 10을 참조로 하여 본 발명의 제1 및 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법 중 해당 트래픽의 값을 임계치와 비교하여 트래픽 이상이 있는 장비 또는 인터페이스를 파악하는 과정을 보다 상세히 설명한다. 도 10은 본 발명의 제1 및 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법에서 요부 과정을 상세화한 순서도이다.
도 10에 도시된 바와 같이, 제1 또는 제2 트래픽 수집 방법에 따라 트래픽 수집부(130)에서 제1 장비에 대한 장비 트래픽을 수집 즉, 장비 트래픽의 값을 측정하면, 트래픽 상태 판단부(140)는 장비 트래픽의 값 중 장비입력 속성값(inIP)을 inSPPS로 변경하고, 장비입력 속성값(outIP)을 outSPPS(장비트래픽 입력 PPS)로 변경한다.
그런 다음 트래픽 상태 판단부(140)는 inSPPS를 insthr(입력 장비트래픽 임계치)와 비교하고, outSPPS(장비트래픽 출력 PPS)를 outsthr(입력 장비트래픽 임계치)와 비교하여, inSPPS와 outSPP 모두가 해당 임계치보다 큰지를 판단한다(S1001).
트래픽 상태 판단부(140)는 S1001 과정에서 inSPPS와 outSPPS 모두 해당 임계치(insthr, outsthr) 이상이면, 제1 장비를 트래픽 이상이 있는 장비라고 판단하고 제1 장비의 모든 인터페이스에 대한 인터페이스 트래픽의 값(inIF, outIF)을 측정한다(S1002).
트래픽 상태 판단부(140)는 측정한 각 인터베이스별 인터페이스 트래픽의 값 중 inIF(인터페이스 입력 속성값)를 inPPS(인터페이스 트래픽 입력 PPS)로 변경하고, outIF(인터페이스 출력 속성값)를 outPPS(인터페이스 트래픽 출력 PPS)로 변경한다. 그런 다음, 트래픽 상태 판단부(140)는 해당 인터페이스의 inPPS와 outPPS를 해당 인터페이스의 임계치(inthr, outthr)과 비교하여, inPPS와 outPPS 모두가 해당 임계치 이하인지를 판단한다(S1003).
상기 판단(S1003)을 통해 트래픽 상태 판단부(140)는 inPPS와 outPPS 중 하나라도 해당 임계치보다 큰 인터페이스가 발견되면 경보 발생부(150)를 제어하여 해당 인터페이스에 대한 경보 발생을 하게 하고, 설정시간마다 해당 인터페이스에 대한 입/출력 트래픽을 감시한다(S1004).
한편, S1001 과정에서, inSPPS와 outSPPS 모두가 해당 임계치(insthr, outsthr)보다 크지 않으면 트래픽 상태 판단부(140)는 inSPPS가 insthr보다 큰지를 판단한다(S1005).
상기 판단(S1005)에서 inSPPS가 insthr보다 크면 트래픽 상태 판단부(140)는 제1 장비의 모든 인터페이스에 대한 인터페이스 트래픽의 값(inIF, outIF)을 측정한다(S1006). 그리고 트래픽 상태 판단부(140)는 측정한 각 인터베이스별 인터페이스 트래픽의 값 중 inIF를 inPPS로 변경하고, 각 인터페이스의 inPPS를 해당 인터페이스의 임계치(inthr)과 비교하여, inPPS가 inthr 이하인지를 판단한다(S1007).
상기 판단(S1007)을 통해 트래픽 상태 판단부(140)는 inPPS가 inthr보다 크큰 인터페이스가 발견되면 경보 발생부(150)를 제어하여 해당 인터페이스에 대한 경보 발생을 하게 하고, 설정시간마다 해당 인터페이스에 대한 입/출력 트래픽을 감시한다(S1008).
마지막으로, 트래픽 상태 판단부(140)는 S1005 과정에서 inSPPS가 insthr보다 작으면 outSPP이 outsthr보다 큰지를 판단한다(S1009).
상기 판단(S1009)에서 outSPPS가 outsthr보다 크면 트래픽 상태 판단부(140)는 제1 장비의 모든 인터페이스에 대한 인터페이스 트래픽의 값(inIF, outIF)을 측정한다(S1010). 그리고 트래픽 상태 판단부(140)는 측정한 각 인터베이스별 인터페이스 트래픽의 값 중 outIF를 outPPS로 변경하고, 각 인터페이스의 outPPS를 해당 인터페이스의 임계치(outthr)과 비교하여, outPPS가 outthr 이하인지를 판단한다(S1011).
상기 판단(S1011)을 통해 트래픽 상태 판단부(140)는 outPPS가 outthr보다 크큰 인터페이스가 발견되면 경보 발생부(150)를 제어하여 해당 인터페이스에 대한 경보 발생을 하게 하고, 설정시간마다 해당 인터페이스에 대한 입/출력 트래픽을 감시한다(S1012).
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에
속하는 것이다.
도 1은 본 발명을 설명하기 위한 개념도이다.
도 2는 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법을 위한 검사 대상 장치를 선별하는 방법을 보인 순서도이다.
도 3은 장비 트래픽의 값과 인터페이스 트래픽의 합산값에 상관성이 있는 경우를 보인 그래프이다.
도 4는 장비 트래픽의 값과 인터페이스 트래픽의 합산값에 상관성이 없는 경우를 보인 그래프이다.
도 5는 본 발명의 실시 예에 따른 트래픽 모니터링 장지의 블록 구성도이다.
도 6은 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법에 이용되는 제1 트래픽 수집 방법을 보인 도면이다.
도 7은 본 발명의 제1 실시 예에 따른 네트워크 트래픽 모니터링 방법을 보인 순서도이다.
도 8은 본 발명의 실시 예에 따른 네트워크 트래픽 모니터링 방법에 이용되는 제2 트래픽 수집 방법을 보인 도면이다.
도 9는 본 발명의 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법을 보인 순서도이다.
도 10은 본 발명의 제1 및 제2 실시 예에 따른 네트워크 트래픽 모니터링 방법에서 요부 과정을 상세화한 순서도이다.
Claims (10)
- N(N의 최소값은 2)회의 연속된 트래픽 측정 횟수를 트래픽 측정 사이클로 하여 네트워크 트래픽을 모니터링하는 방법에 있어서,상기 N회 중 적어도 1회에 제1 장비에 대하여 제1 시간을 주기로 하여 장비 트래픽을 수집하는 제1 단계,상기 제1 시간 동안 수집된 상기 장비 트래픽의 값을 설정된 제1 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제2 단계,상기 장비 트래픽의 값을 통해 파악된 트래픽 이상이 있는 상기 제1 장비의 각 인터페이스에 대하여 상기 제1 시간보다 긴 제2 시간을 주기로 하여 인터페이스 트래픽을 수집하는 제3 단계, 그리고상기 제2 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제4 단계를 포함하는,네트워크 트래픽 모니터링 방법.
- 제1항에 있어서,상기 N회 중 적어도 1회에 제1 장비의 각 인터페이스에 대해 상기 제1 시간보다 긴 제3 시간을 주기로 하여 인터페이스 트래픽을 수집하는 제5 단계와,상기 제3 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 제6 단계를 더 포함하는,네트워크 트래픽 모니터링 방법.
- 제1항 또는 제2항에 있어서,상기 제1 단계 이전에,각 네트워크 장비에 대하여 설정 기간 동안 제3 시간을 주기로 하여 장비별로 장비 트래픽과 각 인터페이스별 인터페이스 트래픽을 M번 수집하는 제7 단계,첫번째 수집한 트래픽부터 M번째 수집한 트래픽의 순서로, 해당 번째 수집한 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 있는지를 파악하는 제8 단계와,상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 없는 장비를 트래픽 모니터링 대상에서 제외시키고, 상관성이 있는 장비를 상기 제1 장비로 등록하는 제9 단계를 더 포함하는,네트워크 트래픽 모니터링 방법.
- 제3항에 있어서,상기 장비 트래픽의 값은 장비입력 속성값과 장비출력 속성값을 통해 파악되고, 상기 인터페이스 트래픽의 값은 인터페이스입력 속성값과 인터페이스출력 속성 을 통해 파악되며,상기 장비입력 속성값은 SNMP((Simple Network Management Protocol)의 표준 MIB(Management Information Base)에서 ip 그룹의 속성값인 ipInReceives이고, 상기 장비출력 속성값은 SNMP의 표준 MIB에서 ip 그룹의 속성값인 pOutRequest와 ipForwDatagrams와 ipOutDiscards와 ipOutNoRoutes와 ipFragOks와 ipFragFails와 ipFragCreates이며,상기 인터페이스입력 속성값은 SNMP의 표준 MIB에서, if 그룹의 속성값인 ifInUcastPkts와 ifInNUcastPkts이고, 상기 인터페이스출력 속성값은 SNMP의 표준 MIB에서 if 그룹의 속성값인 ifOutUcastPkts와 ifOutNUcastPkt인,네트워크 트래픽 모니터링 방법.
- 제4항에 있어서,트래픽 이상이 있다고 파악된 특정 인터페이스에 대해 제4 시간마다 트래픽을 수집하고 검사하는 제10 단계를 더 포함하는,네트워크 트래픽 모니터링 방법.
- N(N의 최소값은 2)회의 연속된 트래픽 측정 횟수를 트래픽 측정 사이클로 하여 네트워크 트래픽을 모니터링하는 네트워크 트래픽 모니터링 장치에 있어서,네트워크 트래픽의 검사가 가능한 검사 대상 장비의 정보가 기록된 장비 트래픽 수집 가능 목록을 저장하고 있는 데이터베이스,상기 장비 트래픽 수집 가능 목록에 기록된 상기 검사 대상 장비에 대하여 상기 N회 중 적어도 1회에 제1 시간을 주기로 하여 장비 트래픽을 수집하고, 트래픽 이상이 있는 장비에서 상기 제1 시간보다 긴 제2 시간을 주기로 하여 각 인터페이스별 트래픽을 수집하는 트래픽 수집부, 그리고상기 트래픽 수집부에 의해 상기 제1 시간 동안 수집된 상기 장비 트래픽의 값을 설정된 제1 임계치와 비교하여 트래픽 이상이 있는지를 파악하고, 상기 트래픽 수집부를 제어하여 트래픽 이상이 있는 장비의 각 인터페이스별 트래픽을 수집하게 하며, 상기 제2 시간 동안 수집된 상기 인터페이스별 인터페이스 트래픽의 값을 각 인터페이스별로 설정된 제2 임계치와 비교하여 트래픽 이상이 있는지를 파악하는 트래픽 상태 판단부를 포함하는,네트워크 트래픽 모니터링 장치.
- 제6항에 있어서,상기 트래픽 수집부는, 상기 장비 트래픽 수집과 더불어, 상기 N회 중 적어도 1회에 제1 장비의 각 인터페이스에 대해 상기 제1 시간보다 긴 제3 시간을 주기로 하여 인터페이스 트래픽을 수집하는,네트워크 트래픽 모니터링 장치.
- 제7항에 있어서,각 네트워크 장비에 대하여 상기 장비 트래픽의 값과 각 인터페이스별 인터 페이스 트래픽의 합산값 간에 상관성이 있는지를 파악하여, 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 없는 장비를 상기 장비 트래픽 수집 가능 목록에서 제외시키고, 상관성이 있는 장비를 상기 장비 트래픽 수집 가능 목록에 등록하는 측정대상 산출부를 더 포함하는,네트워크 트래픽 모니터링 장치.
- 제8항에 있어서,상기 측정대상 산출부는,각 네트워크 장비에 대하여 설정 기간 동안 제3 시간을 주기로 하여 장비별로 장비 트래픽과 각 인터페이스별 인터페이스 트래픽을 M번 수집하고, 첫번째 수집한 트래픽부터 M번째 수집한 트래픽의 순서로, 해당 번째 수집한 상기 장비 트래픽의 값과 상기 각 인터페이스별 인터페이스 트래픽의 합산값 간에 상관성이 있는지를 파악하는,네트워크 트래픽 모니터링 장치.
- 제9항에 있어서,상기 장비 트래픽의 값은 장비입력 속성값과 장비출력 속성값을 통해 파악되고, 상기 인터페이스 트래픽의 값은 인터페이스입력 속성값과 인터페이스출력 속성을 통해 파악되며,상기 장비입력 속성값은 SNMP((Simple Network Management Protocol)의 표 준 MIB(Management Information Base)에서 ip 그룹의 속성값인 ipInReceives이고, 상기 장비출력 속성값은 SNMP의 표준 MIB에서 ip 그룹의 속성값인 pOutRequest와 ipForwDatagrams와 ipOutDiscards와 ipOutNoRoutes와 ipFragOks와 ipFragFails와 ipFragCreates이며,상기 인터페이스입력 속성값은 SNMP의 표준 MIB에서, if 그룹의 속성값인 ifInUcastPkts와 ifInNUcastPkts이고, 상기 인터페이스출력 속성값은 SNMP의 표준 MIB에서 if 그룹의 속성값인 ifOutUcastPkts와 ifOutNUcastPkt인,네트워크 트래픽 모니터링 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080104362A KR101074064B1 (ko) | 2008-10-23 | 2008-10-23 | 네트워크 트래픽 모니터링 방법 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080104362A KR101074064B1 (ko) | 2008-10-23 | 2008-10-23 | 네트워크 트래픽 모니터링 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100045257A KR20100045257A (ko) | 2010-05-03 |
| KR101074064B1 true KR101074064B1 (ko) | 2011-10-17 |
Family
ID=42273027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080104362A KR101074064B1 (ko) | 2008-10-23 | 2008-10-23 | 네트워크 트래픽 모니터링 방법 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101074064B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101356841B1 (ko) | 2012-10-05 | 2014-01-29 | 한국과학기술원 | 라우터의 에너지 측정을 위한 트래픽 측정 주기를 조정하는 시스템 및 방법 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101240059B1 (ko) * | 2011-08-26 | 2013-03-06 | 한국과학기술원 | 네트워크 트래픽을 측정하기 위한 트래픽 측정 주기를 조정하는 시스템 및 방법 |
| WO2015080525A1 (ko) * | 2013-11-28 | 2015-06-04 | 주식회사 케이티 | Sdn 환경에서 트래픽의 동적 제어를 위한 방법 및 장치 |
| KR102715686B1 (ko) * | 2021-10-06 | 2024-10-11 | 주식회사 케이티 | 이동통신시스템에서의 기지국 감시방법 및 그 장치 |
| KR20240143396A (ko) * | 2023-03-24 | 2024-10-02 | 삼성전자주식회사 | 데이터에 기반하여 엔티티를 선택하기 위한 방법 및 장치 |
| KR102719660B1 (ko) | 2024-01-10 | 2024-10-18 | 브레인즈컴퍼니 주식회사 | 이기종 간 네트워크 트래픽 모니터링 장치 및 방법 |
-
2008
- 2008-10-23 KR KR1020080104362A patent/KR101074064B1/ko active IP Right Grant
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101356841B1 (ko) | 2012-10-05 | 2014-01-29 | 한국과학기술원 | 라우터의 에너지 측정을 위한 트래픽 측정 주기를 조정하는 시스템 및 방법 |
| WO2014054835A1 (ko) * | 2012-10-05 | 2014-04-10 | 한국과학기술원 | 라우터의 에너지 측정을 위한 트래픽 측정 주기를 조절하는 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20100045257A (ko) | 2010-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6394726B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| Ma et al. | Node failure localization via network tomography | |
| KR101074064B1 (ko) | 네트워크 트래픽 모니터링 방법 및 장치 | |
| JP5267749B2 (ja) | 運用管理装置、運用管理方法、及びプログラム | |
| US8443074B2 (en) | Constructing an inference graph for a network | |
| EP2081321A2 (en) | Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor | |
| US20060159028A1 (en) | Monitoring system, method of sampling datagrams, and apparatus therefor | |
| EP2869495B1 (en) | Node de-duplication in a network monitoring system | |
| CN110740065B (zh) | 劣化故障点的识别方法、装置及系统 | |
| JP2009049708A (ja) | ネットワーク障害情報収集装置、システム、方法及びプログラム | |
| US20160156516A1 (en) | Monitoring device, method, and medium | |
| JP4412031B2 (ja) | ネットワーク監視システム及びその方法、プログラム | |
| JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
| CN107426019A (zh) | 网络故障确定方法、计算机设备及计算机可读存储介质 | |
| JP4537372B2 (ja) | 波形解析装置 | |
| WO2015182629A1 (ja) | 監視システム、監視装置及び監視プログラム | |
| CN113454950B (zh) | 基于流量统计的网络设备及链路实时故障检测方法和系统 | |
| CN108362957B (zh) | 设备故障诊断方法、装置、储存介质和电子设备 | |
| JP2019201342A (ja) | 検証パケット生成装置、検証システム、および検証パケット生成プログラム | |
| CN110995606B (zh) | 一种拥塞分析方法及装置 | |
| CN115225455B (zh) | 异常设备检测方法及装置、电子设备、存储介质 | |
| CN106972979A (zh) | 一种基于sdn的网络性能监测方法及装置 | |
| JP2017153015A (ja) | 故障解析装置、故障解析プログラムおよび故障解析方法 | |
| CN116170361B (zh) | 内网旁路镜像系统运行状态分析方法、装置、设备及介质 | |
| CN118466846B (zh) | 一种用于互联网数据存储的服务管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20081023 |
|
| A201 | Request for examination | ||
| PA0201 | Request for examination |
Patent event code: PA02012R01D Patent event date: 20091008 Comment text: Request for Examination of Application Patent event code: PA02011R01I Patent event date: 20081023 Comment text: Patent Application |
|
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20110214 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20110929 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20111010 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20111010 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20141001 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20141001 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20151001 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20151001 Start annual number: 5 End annual number: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20170921 Year of fee payment: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170921 Start annual number: 7 End annual number: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20181001 Year of fee payment: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20181001 Start annual number: 8 End annual number: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20190903 Year of fee payment: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190903 Start annual number: 9 End annual number: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200908 Start annual number: 10 End annual number: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210804 Start annual number: 11 End annual number: 11 |
|
| PR1001 | Payment of annual fee |
Payment date: 20231101 Start annual number: 13 End annual number: 13 |