知財求人 - 知財ポータルサイト「IP Force」
▶ ソーラーウィンズ ワールドワイド、エルエルシーの特許一覧
特許5734416ネットワークトラフィック分析方法、ネットワークトラフィック分析装置、コンピュータプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5734416
(24)【登録日】2015年4月24日
(45)【発行日】2015年6月17日
(54)【発明の名称】ネットワークトラフィック分析方法、ネットワークトラフィック分析装置、コンピュータプログラム
(51)【国際特許分類】
H04L 12/26 20060101AFI20150528BHJP
H04L 12/28 20060101ALI20150528BHJP
【FI】
H04L12/26
H04L12/28 200M
【請求項の数】4
【全頁数】13
(21)【出願番号】特願2013-511160(P2013-511160)
(86)(22)【出願日】2011年4月11日
(65)【公表番号】特表2013-526810(P2013-526810A)
(43)【公表日】2013年6月24日
(86)【国際出願番号】US2011031937
(87)【国際公開番号】WO2011146172
(87)【国際公開日】20111124
【審査請求日】2013年11月26日
(31)【優先権主張番号】12/781,432
(32)【優先日】2010年5月17日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】510171531
【氏名又は名称】ソーラーウィンズ ワールドワイド、エルエルシー
(74)【代理人】
【識別番号】100064414
【弁理士】
【氏名又は名称】磯野 道造
(72)【発明者】
【氏名】モルトビー、ディビッド、レイモンド
(72)【発明者】
【氏名】ドリシー、ジョエル
【審査官】
永井 啓司
(56)【参考文献】
【文献】
米国特許第06965574(US,B1)
【文献】
特開2005−190107(JP,A)
【文献】
特開平6−350708(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/28、12/44−12/955
(57)【特許請求の範囲】
【請求項1】
ネットワークトラフィック分析装置に実行させるネットワークトラフィック分析方法であって、
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録し、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信し、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つの前記サブクエリを実行し、
それぞれの前記サブクエリが完了したときに、それぞれの実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行し、
前記サブクエリの結果を徐々に増やして出力することは、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力することを含み、
前記すぐに当該サブクエリの結果を出力することは、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成することを含む
ことを特徴とするネットワークトラフィック分析方法。
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録し、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信し、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つの前記サブクエリを実行し、
それぞれの前記サブクエリが完了したときに、それぞれの実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行し、
前記サブクエリの結果を徐々に増やして出力することは、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力することを含み、
前記すぐに当該サブクエリの結果を出力することは、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成することを含む
ことを特徴とするネットワークトラフィック分析方法。
【請求項2】
ネットワークトラフィック分析装置であって、
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録するように構成されたプロセッサと、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信するように構成された受信機と、
を備え、
前記プロセッサは、
前記ネットワークトラフィック分析装置を制御して、
前記クエリを修正し、前記所定期間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つの前記サブクエリを実行し、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行し、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力し、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成するように構成されていること、
を特徴とするネットワークトラフィック分析装置。
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録するように構成されたプロセッサと、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信するように構成された受信機と、
を備え、
前記プロセッサは、
前記ネットワークトラフィック分析装置を制御して、
前記クエリを修正し、前記所定期間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つの前記サブクエリを実行し、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行し、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力し、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成するように構成されていること、
を特徴とするネットワークトラフィック分析装置。
【請求項3】
コンピュータで読取り可能な媒体で実現されるコンピュータプログラムであって、
前記コンピュータプログラムは、
コンピュータのプロセッサを、ネットワークトラフィック分析装置において、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録し、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信し、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つのサブクエリを実行し、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行するように機能させ、
前記サブクエリの結果を徐々に増やして出力することは、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力することを含み、
前記すぐに当該サブクエリの結果を出力することは、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成することを含む
ことを特徴とするコンピュータプログラム。
前記コンピュータプログラムは、
コンピュータのプロセッサを、ネットワークトラフィック分析装置において、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンし、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録し、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信し、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成し、
少なくとも1つのサブクエリを実行し、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力し、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行するように機能させ、
前記サブクエリの結果を徐々に増やして出力することは、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力することを含み、
前記すぐに当該サブクエリの結果を出力することは、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成することを含む
ことを特徴とするコンピュータプログラム。
【請求項4】
ネットワークトラフィック分析装置であって、
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンする手段と、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録する手段と、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信する手段と、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成する手段と、
少なくとも1つのサブクエリを実行する手段と、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力する手段と、を備え、
前記出力する手段は、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行する手段と、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力する手段と、を含み、
前記すぐに当該サブクエリの結果を出力する手段は、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成する手段を含む
ことを特徴とするネットワークトラフィック分析装置。
前記ネットワークトラフィック分析装置は、
トラフィックフローデータを記録するべき複数のネットワークエンティティをスキャンする手段と、
前記複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録する手段と、
少なくとも1つの前記選ばれたネットワークエンティティから送信される、所定時間内に送受信されたトラフィックフローデータに関するクエリを受信する手段と、
前記クエリを修正し、前記所定時間内の異なる複数の部分時間にそれぞれ基づく複数のサブクエリを生成する手段と、
少なくとも1つのサブクエリを実行する手段と、
前記サブクエリが完了したときに、実行された前記サブクエリの結果を徐々に増やして出力する手段と、を備え、
前記出力する手段は、
すべての前記サブクエリが完了するまで、前記サブクエリの結果を徐々に増やしての出力を繰り返し実行する手段と、
前記サブクエリが完了したときに、すぐに当該サブクエリの結果を出力する手段と、を含み、
前記すぐに当該サブクエリの結果を出力する手段は、
当該サブクエリが完了したときに、前記サブクエリの結果を徐々に増やして示すグラフィックチャートを生成する手段を含む
ことを特徴とするネットワークトラフィック分析装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、概して、ネットワークトラフィックの分析と記録に関する。より詳しくは、本発明の例は、ネットワークトラフィックフローデータを記録する方法、システムおよびコンピュータプログラムに関する。
【背景技術】
【0002】
ネットワークトラフィックフローデータは、ネットワーク管理者にとって、ネットワークへの新しいアプリケーションの影響を分析することや、ネットワークの痛点のトラブルシューティングを行うことや、帯域幅のヘビーユーザを見つけることや、ネットワークを守ることを含むいくつかの理由で、興味深い。トラフィックフローデータに関する初期のプロトコルは、シスコシステムズ(登録商標)によって開発されたNetFlowである。フロープロトコルのいくつかの他の種類(例えばsFlow、IPFIX、Jflow、NetStreamおよびCflowd)も存在する。すべてのこれらのプロトコルは、NetFlowと類似していて同じタイプの情報(例えば、送信元インターネットプロトコル(IP)アドレス、送信先IPアドレス、送信元ポート、送信先ポート、IPプロトコル、入口インターフェース、サービスのIPタイプ、開始時刻と終了時刻、バイト数、および、次のホップ)を含むフローをサポートする。
【発明の概要】
【発明が解決しようとする課題】
【0003】
ネットワークがより大きくより複雑になってきているので、トラフィックフローデータを分析および記録するシステムは、ネットワークトラフィックについて発生し増加する情報を取り扱うことに関してより効率的にならなければならない。多くのネットワーク装置からデータを集めると、数十億ものエントリやフローを含むデータセットになることがある。その上、大きなサイズのデータセットに関するクエリ(問い合わせ)を記録し続けると、記憶システムやデータベースに重い負担をかけることがある。このデータオーバーフロー問題を解決する従来の方法は、記憶システムの主役であるハードウェアの量や質を改善することであった。
【課題を解決するための手段】
【0004】
本発明の1つの実施形態は、方法に関してである。その方法は、所定時間中のネットワークトラフィックフローデータのクエリをネットワークトラフィック分析装置で受信することと、クエリを修正してその所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリを生成することと、を含む。その方法は、さらに、少なくとも1つのサブクエリを実行することと、サブクエリのそれぞれが完了したときに、それぞれの実行されたサブクエリの結果を徐々に増やして出力することとを含む。
【0005】
もう一つの実施形態は、装置に関してである。その装置は、所定時間を越えたネットワークトラフィックフローデータのクエリを受信するように構成された受信機と、プロセッサと、を含む。プロセッサは、装置を制御して、所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリを生成し、少なくとも1つのサブクエリを実行し、そして、サブクエリのそれぞれが完了したときに、それぞれの実行されたサブクエリの結果を徐々に増やして出力するように、構成される。
【0006】
もう一つの実施形態は、コンピュータで読取り可能な媒体で実現されるコンピュータプログラムに関してである。そのコンピュータプログラムは、プロセッサを制御し、所定時間中のネットワークトラフィックフローデータのクエリをネットワークトラフィック分析装置で受信することと、クエリを修正してその所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリを生成することと、を含む処理を実行するように、構成される。その処理は、さらに、少なくとも1つのサブクエリを実行することと、サブクエリのそれぞれが完了したときに、それぞれの実行されたサブクエリの結果を徐々に増やして出力することとを含む。
【0007】
もう一つの実施形態は、装置に関してである。その装置は、所定時間中のネットワークトラフィックフローデータのクエリをネットワークトラフィック分析装置で受信する受信手段と、クエリを修正してその所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリを生成する修正手段と、を含む。その装置は、さらに、少なくとも1つのサブクエリを実行する実行手段と、サブクエリのそれぞれが完了したときに、それぞれの実行されたサブクエリの結果を徐々に増やして出力する出力手段とを含む。
【図面の簡単な説明】
【0008】
本発明の適切な理解のために、添付図面が参照されるべきである。【図1】1つの実施形態によるシステムを図示する。
【図2】本発明の典型的な実施形態による生成された最初のチャートを図示する。
【図3】本発明の実施形態による他のチャートを図示する。
【図4】1つの実施形態によるさらに他のチャートを図示する。
【図5】実施形態による完全なチャートを図示する。
【図6】1つの実施形態によるシステムを図示する。
【図7】1つの実施形態による典型的な方法を図示する。
【発明を実施するための形態】
【0009】
本発明の実施形態は、ネットワークトラフィックフローデータを記録する方法、装置、システム、コンピュータプログラムを含む。応答性は、ネットワークトラフィックを記録する重要な側面である。記録を必要とするユーザは、一般に、それらの記録をリクエストするとき、緊急の目的を有している。これは、特に、ネットワーク管理領域で事実である。ネットワーク管理者は、ネットワークの状態を迅速に評価し、存在するあらゆる問題を処理する必要がある。ネットワーク管理者が監視する1つの重要な領域は、彼らのネットワークトラフィックである。ネットワークトラフィックデータは、しばしば、フロー内に隠れてしまう。複雑なネットワークは、非常に多くのフローを生み出す。圧倒的多数のフローがあるとき、ネットワークトラフィックについての記録をとることは難しいことがある。一回のクエリが完了するのに、数分または数時間かかることもある。ビジネスに重要なサービスがきちんと実行されていないと、この時間損失は組織にとって高い費用となることがある。本発明の実施形態は、ネットワーク管理者(ユーザ)に最も重要なデータを迅速に返すことによって、これらの問題を解決する。1つの例によると、最も重要なデータは、サービス、プロトコル、または、最多数の資源を消費しているエンティティ(一単位として扱われるデータのまとまり。実体)であると考えられる。
【0010】
このように、本発明の実施形態は、細分化されたクエリが実行され、結果が返されたときに、チャートを徐々に増やして送ることによって、記録しているネットワークトラフィックフローの応答性を改善するシステムを含む。ある例では、ネットワークトラフィック分析装置は、スキャン(精査)することで適切なエンティティを探し、そのエンティティを記録する。いくつかの実施形態において、ネットワークトラフィック分析装置は、記録のために最も高い量のネットワーク帯域幅を消費しているネットワークエンティティを選ぶ。それから、ネットワークトラフィック分析装置は、最近の期間の各々のエンティティからデータを選ぶ。ネットワークトラフィック分析装置は、最初の期間を表すチャートを生成して送る。それから、ネットワークトラフィック分析装置は、次の最近の期間ごとにこのプロセスを繰り返す。その結果、記録しているネットワークトラフィックフローの最初の応答時間は、大幅に向上する。
【0011】
図1は、1つの実施形態による典型的なシステムを図示する。システムは、ネットワークトラフィック分析装置100、ネットワークトラフィックデータ記憶部110、および、端末装置120を含む。ネットワークトラフィックデータ記憶部110は、ネットワークトラフィックフローデータを格納する。ネットワークトラフィックデータ記憶部110は、データベース、または、他の任意の適切な記憶システムであってもよい。ユーザ(例えばネットワーク管理者)は、端末装置120を利用し、ネットワークトラフィック分析装置100にリクエストやクエリを送ることができる。リクエストは、例えば、ネットワーク内の一つ以上のネットワークエンティティに関連したネットワークトラフィックフローデータについての記録の要求である場合がある。いくつかの実施形態において、リクエストは、ネットワーク管理者が興味を持っている所定数のネットワークエンティティや所定時間を示すこともある。
【0012】
ネットワークトラフィック分析装置100は、端末装置120からリクエストを受信し、スキャンすることで適切なエンティティを探し、そのエンティティを記録する。例えば、ユーザが最後の日におけるネットワーク上のトップ5人のトラフィック生成者であるエンティティについての記録をリクエストすると、ネットワークトラフィック分析装置100はクエリをつくり、転送されたデータの合計によって命じられた最初の5つの結果を得る。それから、ネットワークトラフィック分析装置100は、どのエンティティがネットワーク上で最も多くのトラフィックを生じているかについて示す最初の応答を、端末装置120に送信する。これは、ネットワーク上の問題を発見することに興味を持っているユーザに即時のフィードバックを提供する最速の方法である。
【0013】
次に、ネットワークトラフィック分析装置100は、リクエストされた時間を表すチャートを徐々に増やして生成する。例えば、上の例を続けると、ネットワークトラフィック分析装置100は、クエリを作ることから始める。そのクエリは、ネットワークトラフィックデータ記憶部110に送られる。そして、ネットワークトラフィック分析装置100は、時間の最近の部分における以前に識別されたトップ5人のトラフィック生成者によって送信されるデータの総量を得る。この時間の部分(長さ)は、1時間、2時間、または、いかなる他の有効な時間でもよい。1つの例では、時間の部分は、ユーザによるリクエスト内に含まれた時間のうちのある部分である。したがって、いくつかの実施形態において、ネットワークトラフィック分析装置100は、リクエストを修正し、リクエストされた時間の範囲内の時間部分をカバーする部分的なリクエストやサブクエリを生成できる。このように、ネットワークトラフィック分析装置100は、より速くてより効率的な方法で、リクエストに対する徐々に増やしての結果を生成することができる(詳細は後記)。
【0014】
ネットワークトラフィック分析装置100から受信したクエリに応じて、ネットワークトラフィックデータ記憶部110は、クエリにより提供されたパラメータに従ってデータの総量を取得し、その取得した情報をネットワークトラフィック分析装置100に返す。ネットワークトラフィックデータ記憶部110がクエリの結果を返すとき、ネットワークトラフィック分析装置100は、クエリの結果を示すチャートのイメージまたはデータ表現を生成し、その最初の結果をユーザに送る。図2は、時間の徐々に増える最初の部分に関する漸増チャートの例を示す。チャート最新版は、端末装置120(クライアント側)で、または、ネットワークトラフィック分析装置100(サーバ側)で、描かれるか、生成される。1つの実施形態において、最初の漸増チャートまたは結果は、完全なチャートに比べて、二倍以上速く供給される。
【0015】
ネットワークトラフィック分析装置は、ネットワークトラフィックデータ記憶部110に対する問い合わせを続け、図3および図4で示すようなチャートに取り込まれているさらなる徐々に増やしての結果を生成する。特に、1つの実施形態によれば、プロセスは以降の時間の部分ごとに繰り返され、チャートが図5で示すように完成するまで、完成度のより高いチャートをユーザに対して繰り返し送る。
【0016】
図6は、本発明の1つの実施形態を実行できるシステム10のブロック図を図示する。システム10は、システム10の構成要素の間での情報通信のためのバス12や他の通信メカニズムを含む。システム10は、また、バス12に結合し、情報を処理して指示や動作を実行するプロセッサ22を含む。プロセッサ22は、いかなる種類の一般的または所定目的のプロセッサであってもよい。システム10は、さらに、プロセッサ22によって実行される情報と指示を保存する記憶部14を含む。記憶部14は、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、静的記憶装置(例えば磁気ディスクや光学ディスク)、または、任意の種類の機械やコンピュータで読取り可能な媒体の任意の組合せから構成されていればよい。システム10は、さらに、ネットワークへのアクセスを提供する通信装置20(例えば、ネットワークインターフェイスカードや他の通信インターフェース)を含む。その結果、ユーザは、ネットワークや任意の他の手段を通じて、直接的または遠隔的に、システム10を利用できる。
【0017】
コンピュータで読取り可能な媒体は、プロセッサ22によってアクセス可能な媒体であればよく、揮発性媒体と不揮発性媒体を含み、取り外し可能な媒体と取り外し不可の媒体を含み、通信媒体を含む。通信媒体は、コンピュータで読取り可能な指示、データ構造、プログラムモジュール、または、搬送波や他の搬送機構のような変調されたデータ信号における他のデータを含み、任意の情報供給媒体を含む。
【0018】
プロセッサ22は、さらに、バス12を経由して、ユーザに情報(例えばネットワークトラフィック情報)を表示する表示部(例えば端末装置120の液晶ディスプレイ(LCD))に結合される。キーボードとカーソルコントロール装置(例えばコンピュータマウス)は、さらに、バス12に結合され、ユーザにシステム10の利用を可能にする。プロセッサ22と記憶部14は、また、バス12経由でデータベースシステム30に結合され、このように、データベースシステム30内に保存されている情報にアクセスし、その情報を取得することができる。1つの実施形態において、データベースシステム30は、図1に図示されるネットワークトラフィックデータ記憶部110である。一つのデータベースだけが図6に図示されているが、任意の数のデータベースが所定の実施形態に従って使われてよい。
【0019】
1つの実施形態において、記憶部14は、プロセッサ22によって実行されるとき、機能を発揮するソフトウェアモジュールを格納する。ソフトウェアモジュールは、オペレーティングシステム機能をシステム10に与えるオペレーティングシステム15を含んでいてもよい。記憶部は、また、ネットワークトラフィック分析モジュール16を格納していてもよい。ネットワークトラフィック分析モジュール16は、ネットワークトラフィックフロー記録の改善された応答性を通して、強化されたネットワークトラフィック分析法ソリューションを提供する。システム10は、また、さらなる機能を提供する一つ以上の他機能モジュール18を含んでいてもよい。
【0020】
データベースシステム30は、データベースサーバや任意の種類のデータベース(例えばリレイショナルデータベースやフラットファイルデータベース)を含んでよい。データベースシステム30は、ネットワーク内の各々のエンティティのネットワークトラフィックフローに関連したデータ、および/または、システム10やその関連するモジュールや構成要素に関連するデータを格納するものでよい。
【0021】
所定の実施形態において、プロセッサ22、ネットワークトラフィック分析モジュール16、および、他機能モジュール18は、別々の物理ユニットや論理ユニットとして実装されてもよいし、単一の物理ユニットや論理ユニットとして実装されてもよい。さらに、いくつかの実施形態において、プロセッサ22、ネットワークトラフィック分析モジュール16、および、他機能モジュール18は、ハードウェアで、または、ハードウェアとソフトウェアの任意の適切な組合せとして、実装されればよい。
【0022】
さらに、いくつかの実施形態において、システム10は、所定時間中のネットワークトラフィックフローデータのクエリを受信するように構成された受信機を含んでもよい。一旦そのようなクエリが受信されると、プロセッサ22は、システム10を制御し、クエリを、所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリに分割し、サブクエリの少なくとも1つを実行するように、構成される。一旦、サブクエリが実行され、その結果が戻されると、プロセッサ22は、システム10を制御し、サブクエリが完了したときに、すぐに徐々に増やしてのそのサブクエリの結果を出力する。1つの実施形態によると、プロセッサ22は、さらに、システム10を制御し、サブクエリの徐々に増やしての結果を示すグラフィックチャートを生成するように構成される。システム10は、グラフィックチャートがクエリの完全な結果を表示するようにすべてのサブクエリが完了するまで、サブクエリを繰り返し実行し、徐々に増やしての出力を繰り返し実行するように、構成される。
【0023】
上記のように、1つの例によれば、システム10によって受け取られるクエリは、少なくとも1つのネットワークエンティティからのトラフィックフローデータに関するものである。いくつかの実施形態で、プロセッサ22は、さらに、システム10を制御し、複数のネットワークエンティティを記録のためにスキャンし、その複数のネットワークエンティティの中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録するように構成される。所定の実施形態によると、システム10は、例えば、ネットワーク内におけるすべてのネットワークエンティティの間で最大量のデータを送っている5つのネットワークエンティティを選べばよい。
【0024】
図7に図示されるように、本発明の実施形態は、また、ネットワークトラフィックフロー情報を漸次作図する方法を含む。その方法は、所定時間中のネットワークトラフィックフローデータのクエリをネットワークトラフィック分析装置で受信するステップ700を含む。その方法は、ステップ710で、クエリを修正し、所定時間内の時間の異なる複数の部分にそれぞれ基づくサブクエリを作成することを含む。その方法は、ステップ720で、少なくとも1つのサブクエリを実行することを含み、そして、ステップ730で、それぞれのサブクエリが完了したときに、それぞれの実行されたサブクエリの結果を徐々に増やして出力することを含む。その方法は、ステップ740で、すべてのサブクエリが完了するまで、徐々に増やしての出力を繰り返し実行することを含む。
【0025】
1つの実施形態において、結果を徐々に増やして出力することは、サブクエリが完了したときに、サブクエリの結果をすぐに出力することを含む。さらに、いくつかの実施形態において、結果を徐々に増やして出力することは、サブクエリの徐々に増やしての結果を示すグラフィックチャートを生成することを含む。ネットワークトラフィック分析装置で受け取られるクエリは、少なくとも1つのネットワークエンティティからのトラフィックフローデータに関するであってもよい。また、1つの実施形態において、その方法は、記録する複数のネットワークエンティティをスキャンして、複数のネットワークエンティティ中で最大量のデータを送信する少なくとも1つのネットワークエンティティを選び、記録することをさらに含んでもよい。いくつかの実施形態において、ネットワークトラフィック分析装置は、記録のために最大量のデータを送る5つのネットワークエンティティを選んでもよい。
【0026】
上記のコンピュータで読取り可能な媒体は、伝送線、コンパクトディスク、デジタルビデオディスク、磁気テープ、ベルヌーイドライブ、磁気ディスク、ホログラフィックのディスクやテープ、フラッシュメモリ、磁気抵抗メモリ、集積回路、あるいは、他のデジタル処理装置メモリデバイスによって、少なくとも部分的に表される。
【0027】
記述された本発明の特徴、長所、特性は、一つ以上の実施形態における任意の適切な方法で組み合わせ可能である。当業者であれば、本発明が特定の実施形態の一つ以上の特別な特徴や利点なしで実践可能であると、認識する。他の例において、さらなる特徴や利点は、本発明のすべての実施形態に存在するわけではない所定の実施形態において、認められることもある。
【0028】
したがって、当業者は、上記の本発明が、異なる順序の各ステップで実践可能であり、開示されているものと異なる構成におけるハードウェア要素で実践可能であり、また、実施形態が、任意の適切な方法で結合可能であると、容易に理解する。したがって、本発明はこれらの好ましい実施形態に基づいて記述されたが、本発明の趣旨および範囲の中であれば、所定の修正、バリエーション、代替構成が自明であることは、当業者にとって明らかである。したがって、本発明の境界や範囲を決定するために、添付された特許請求の範囲が参照されるべきである。