JP2011172105A - トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム - Google Patents
トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム Download PDFInfo
- Publication number
- JP2011172105A JP2011172105A JP2010035169A JP2010035169A JP2011172105A JP 2011172105 A JP2011172105 A JP 2011172105A JP 2010035169 A JP2010035169 A JP 2010035169A JP 2010035169 A JP2010035169 A JP 2010035169A JP 2011172105 A JP2011172105 A JP 2011172105A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- information
- route
- route information
- fluctuation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】経路変動要因によるトラヒック変動を検知するとともに、トラヒック量に影響を与える経路変動を抽出、識別する。
【解決手段】経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路受信部と、トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、前記ログ情報の集約処理を行うログ情報集約機能部と、ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部と、前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能部とを備える。
【選択図】図1
【解決手段】経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路受信部と、トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、前記ログ情報の集約処理を行うログ情報集約機能部と、ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部と、前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能部とを備える。
【選択図】図1
Description
本発明は、トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システムに係わり、特に、BGPプロトコルにより通知される経路の経路変動要因によるトラヒック変動を検知する監視技術に関する。
インターネットは、インターネット・サービス・プロバイダ(Internet Service Provider:ISP)や企業や大学などの異なる組織によって運営される1万以上の自律システム(Autonomous System:以下、ASという。)が有機的に接続されたものである。
前述のAS間は、専用線、或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:以下、BGPという)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。
トラヒックを経由するASの隣接AS(以下、PeerASという)のAS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。PeerAS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。
BGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。
前述のAS間は、専用線、或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:以下、BGPという)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。
トラヒックを経由するASの隣接AS(以下、PeerASという)のAS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。PeerAS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。
BGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。
インターネットのトラヒックの宛先は、BGPによって交換される経路情報をもとにしており、経路情報の変動は、同一AS内のルータ間のトラヒックの変動はもとより、隣接ASへの流入・流出トラヒックに多大な影響を与える。経路の変更は、ルータ等の故障や機器間を接続するケーブルの故障などによって、発生することがあるが、バックボーンネットワーク上のトラヒックに影響を与えるため、それを監視することが、要望されている。
しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)、もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。
また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。
これに対して、非特許文献1では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。
しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)、もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。
また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。
これに対して、非特許文献1では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。
Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc. Networked Systems Design and Implementation, May 2005.
J. Scudder, et. al, "BGP Monitoring Protocol, " Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.
インターネット上に流れるトラヒック量は増加しているが、ISP間のパケット・ルーティングは、BGPプロトコルにより通知される経路情報によって決められている。
トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。
BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。
また、近年は、使用していないアドレス帯域や広域レンジのアドレス帯域を無許可で、BGPにて広告し、その間にDDoSやSPAMメールなどの不正なトラヒックを配信するなどという事象も報告されている。これらは、不正なトラヒックの送信を終了した後に、BGPの経路広告も停止するため、これらの不正トラヒックを検知するためには、実際のトラヒック流量とBGP経路の変動状況を連動して監視する必要がある。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、経路変動要因によるトラヒック変動・異常トラヒックを検知することが可能となる技術を提供することである。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。
BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。
また、近年は、使用していないアドレス帯域や広域レンジのアドレス帯域を無許可で、BGPにて広告し、その間にDDoSやSPAMメールなどの不正なトラヒックを配信するなどという事象も報告されている。これらは、不正なトラヒックの送信を終了した後に、BGPの経路広告も停止するため、これらの不正トラヒックを検知するためには、実際のトラヒック流量とBGP経路の変動状況を連動して監視する必要がある。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、経路変動要因によるトラヒック変動・異常トラヒックを検知することが可能となる技術を提供することである。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
(1)経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置であって、BGPに代表される経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路情報受信部と、トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、前記ログ情報の集約処理を行うログ情報集約機能部と、ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部と、前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能部とを備えることを特徴とする。
(2)(1)において、前記経路情報受信部は、新たに受信した経路情報通知メッセージと、既に受信した経路情報通知メッセージとを比較し、経路情報のトラヒック変動に影響がある属性単位に経路情報通知メッセージの変更箇所を特定する分類機能部を備えることを特徴とする。
(3)(1)において、前記経路情報受信部は、前記経路情報をルーティングテーブルとして管理するルーティング管理機能部を備える。
(4)(3)において、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、経路情報のトラヒック変動に影響がある属性単位に、トラヒックを集計するトラヒック集計機能部を備えることを特徴とする。
(1)経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置であって、BGPに代表される経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路情報受信部と、トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、前記ログ情報の集約処理を行うログ情報集約機能部と、ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部と、前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能部とを備えることを特徴とする。
(2)(1)において、前記経路情報受信部は、新たに受信した経路情報通知メッセージと、既に受信した経路情報通知メッセージとを比較し、経路情報のトラヒック変動に影響がある属性単位に経路情報通知メッセージの変更箇所を特定する分類機能部を備えることを特徴とする。
(3)(1)において、前記経路情報受信部は、前記経路情報をルーティングテーブルとして管理するルーティング管理機能部を備える。
(4)(3)において、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、経路情報のトラヒック変動に影響がある属性単位に、トラヒックを集計するトラヒック集計機能部を備えることを特徴とする。
(5)(1)において、前記相関性照合機能部は、前記ログ情報集約機能部で集約された前記経路情報の属性単位の集約ログ情報をもとに、トラヒック量の変化量を抽出し、もっとも影響度の大きい経路情報通知メッセージを識別する。
(6)(5)において、前記相関性照合機能部は、ネットワークアドレス単位のログ情報と、前記ログ情報集約機能部で集約された経路情報の属性単位の集約ログ情報と、前記抽出されたトラヒック量の変化量を示すデータとを連動させて、問題発生要因を探索することを特徴とする。
(7)(1)において、前記相関性照合機能部は、前記ログ分析機能部で抽出された所定期間内のネットワークアドレス単位の経路不安定度と、所定期間内のネットワークアドレス単位での最大トラヒック量とに基づき、影響の大きい経路を抽出することを特徴とする。
(8)また、本発明は、経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置におけるトラヒック変動監視方法である。
(9)また、本発明は、経路変動要因によるトラヒック変動を検知するトラヒック変動監視システムである。
(6)(5)において、前記相関性照合機能部は、ネットワークアドレス単位のログ情報と、前記ログ情報集約機能部で集約された経路情報の属性単位の集約ログ情報と、前記抽出されたトラヒック量の変化量を示すデータとを連動させて、問題発生要因を探索することを特徴とする。
(7)(1)において、前記相関性照合機能部は、前記ログ分析機能部で抽出された所定期間内のネットワークアドレス単位の経路不安定度と、所定期間内のネットワークアドレス単位での最大トラヒック量とに基づき、影響の大きい経路を抽出することを特徴とする。
(8)また、本発明は、経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置におけるトラヒック変動監視方法である。
(9)また、本発明は、経路変動要因によるトラヒック変動を検知するトラヒック変動監視システムである。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、経路変動要因によるトラヒック変動を検知することが可能となるとともに、トラヒック量に影響を与える経路変動を抽出、識別することが可能となる。
本発明によれば、経路変動要因によるトラヒック変動を検知することが可能となるとともに、トラヒック量に影響を与える経路変動を抽出、識別することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するためのものではない。
図1は、本発明の実施例のトラヒック変動監視装置が適用されるシステム構成を示す図である。図1において、100はトラヒック変動監視装置、101は経路情報受信部、102はトラヒック情報受信部、103はログ情報集約機能部、104は、ログ分析機能部、105は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120はPeerAS#1、121はPeerAS#1(120)内のルータ、130はPeerAS#1(120)を経由して接続されているインターネット、140はPeerAS#2、141はPeerAS#2(140)内のルータ、150はPeerAS#3、151はPeerAS#3(150)内のルータ、160はPeerAS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。
自ASドメイン110にトラヒック変動監視装置100を配置する。トラヒック変動監視装置100は、直接的にルータ111〜115と接続し、経路情報と収集するものとする。接続形態としては、代表的な経路通知プロトコルであるBGP、OSPF プロトコルにてルータと接続するか、SNMPプロトコルもしくはBMPプロトコル(非特許文献2)を用いて経路情報を収集することでもよい。また、BGPの場合においては、トラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。また、以下の実施例は、本発明の特許請求の範囲の解釈を限定するためのものではない。
図1は、本発明の実施例のトラヒック変動監視装置が適用されるシステム構成を示す図である。図1において、100はトラヒック変動監視装置、101は経路情報受信部、102はトラヒック情報受信部、103はログ情報集約機能部、104は、ログ分析機能部、105は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120はPeerAS#1、121はPeerAS#1(120)内のルータ、130はPeerAS#1(120)を経由して接続されているインターネット、140はPeerAS#2、141はPeerAS#2(140)内のルータ、150はPeerAS#3、151はPeerAS#3(150)内のルータ、160はPeerAS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。
自ASドメイン110にトラヒック変動監視装置100を配置する。トラヒック変動監視装置100は、直接的にルータ111〜115と接続し、経路情報と収集するものとする。接続形態としては、代表的な経路通知プロトコルであるBGP、OSPF プロトコルにてルータと接続するか、SNMPプロトコルもしくはBMPプロトコル(非特許文献2)を用いて経路情報を収集することでもよい。また、BGPの場合においては、トラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。
また、トラヒック変動監視装置100は、自ASドメイン110内の各ルータ,スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集する。自ASドメイン110から得られるトラヒック情報は、フロー情報とよばれ、パケットのIP/TCP/UDP/ICMPのヘッダ情報が含まれる。
本実施例のトラヒック変動監視装置100は、経路の変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。経路の変動は、既に受信した経路情報と新たに受信した経路情報を比較し、トラヒック変動に寄与する経路情報の属性単位に変更したか否かを判定し、分類分けを行う。
NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、経路情報の属性単位のトラヒック量を集計する。トラヒック量の変動は、経路情報の属性が変化した経路情報通知メッセージを受信したことをもとにその前後の時間でのトラヒック変化量をもとに評価する。
また、経路の不安定性は、あるネットワークアドレスが、ある時刻のある時間間隔で経路テーブルに存在しなかった比率をもとにし、その時間間隔の中で、当該経路により流れた最大のトラヒック量の積を抽出することで、経路不安定性によるトラヒックへの影響度を評価する。
本実施例のトラヒック変動監視装置100は、経路の変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。経路の変動は、既に受信した経路情報と新たに受信した経路情報を比較し、トラヒック変動に寄与する経路情報の属性単位に変更したか否かを判定し、分類分けを行う。
NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、経路情報の属性単位のトラヒック量を集計する。トラヒック量の変動は、経路情報の属性が変化した経路情報通知メッセージを受信したことをもとにその前後の時間でのトラヒック変化量をもとに評価する。
また、経路の不安定性は、あるネットワークアドレスが、ある時刻のある時間間隔で経路テーブルに存在しなかった比率をもとにし、その時間間隔の中で、当該経路により流れた最大のトラヒック量の積を抽出することで、経路不安定性によるトラヒックへの影響度を評価する。
トラヒック変動監視装置100は、経路情報通知メッセージ(BGPの場合は、BGP Updateメッセージ)を収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に分類したログ情報(ロギング情報ともいう)205(図2参照)を蓄積する経路情報受信部101と、トラヒック情報を収集し、経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データ404(図3参照)を蓄積するトラヒック情報受信部102と、ログ情報205を属性単位に集約を行うログ情報集約機能部103と、ログ情報205をもとにネットワークアドレス毎の経路不安定度(ある時間間隔内で、経路テーブルから削除された時間比率)を評価するログ分析機能部104と、集約された集約ログ情報をもとに、その時間的に前後するトラヒック集計データの変動量からトラヒック変化量を検出し、トラヒック変動に寄与した経路情報の属性値とトラヒック変化量を評価する相関性照合機能部105とで構成される。また、相関性照合機能部105では、ネットワークアドレス毎に抽出した経路不安定度と当該時間内の最大トラヒック量の積をもとに、経路の不安定度がトラヒックに与えた影響を評価する。以下に各部の動作について記述する。
[経路情報受信部101の動作概要]
図2は、トラヒック変動監視装置100の経路情報受信部101の詳細構成を示す図である。図2において、201はセッション管理部、202はルーティング管理機能部、203は経路情報通知メッセージ分類機能部、204は2分岐ルーティングテーブル、205はログ情報である。
BGPによる接続の場合、セッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。
経路情報通知メッセージ分類機能部203では、新たに受信した経路情報通知メッセージと、既に受信した経路情報通知メッセージとを比較し、トラヒック変動に影響がある経路情報の属性単位に経路情報通知メッセージを分類し、ログ情報205を蓄積する。ログ情報205は、下記表1のように表すことができる。
図2は、トラヒック変動監視装置100の経路情報受信部101の詳細構成を示す図である。図2において、201はセッション管理部、202はルーティング管理機能部、203は経路情報通知メッセージ分類機能部、204は2分岐ルーティングテーブル、205はログ情報である。
BGPによる接続の場合、セッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。
経路情報通知メッセージ分類機能部203では、新たに受信した経路情報通知メッセージと、既に受信した経路情報通知メッセージとを比較し、トラヒック変動に影響がある経路情報の属性単位に経路情報通知メッセージを分類し、ログ情報205を蓄積する。ログ情報205は、下記表1のように表すことができる。
表1において、Pは、ある時刻(T)のある単位時刻に受信した経路情報通知メッセージ、もしくは経路削除メッセージを表すログ情報を示す。このログ情報は、経路情報通知メッセージで通知されるネットワークアドレス単位に作成される。
Prefixは、ネットワークアドレスを示し、Typeは、以前に受信した経路情報通知メッセージの情報と比較し、時刻(T)に受信した経路情報通知メッセージの経路情報属性の変更箇所を示す。ここで、AS Path属性が変更した場合には、”AS Path”が設定され、Origin AS属性が変更した場合には、”OriginAS”が設定され、隣接ASの情報が変更した場合には、”PeerAS”が設定され、BGP Next−hop属性が変更した場合には、“NextHop”が設定される。複数の経路情報属性が変更してした場合には、1つのネットワークアドレスに対して、複数のログ情報が作成される。
以前に受信した経路情報通知メッセージ情報は、ルーティング管理機能部202により、経路テーブル(2分岐ルーティングテーブル)204を構成し、このテーブルをロンゲストマッチによる検索により、既存の経路情報属性との比較を行う。変更した経路情報属性の新/旧の属性値を、AnewとAoldにそれぞれ設定する。例えば、Type=OriginASの場合には、新/旧のOriginASの情報を設定する。ロンゲストマッチの結果、何も該当するネットワークアドレスが存在しない場合、Type=OriginAS,PeerAS,BGP NextHop,AS Pathのそれぞれに対して、ログ情報が作成され、各ログ情報のAoldは、無効値が示される。
Prefixは、ネットワークアドレスを示し、Typeは、以前に受信した経路情報通知メッセージの情報と比較し、時刻(T)に受信した経路情報通知メッセージの経路情報属性の変更箇所を示す。ここで、AS Path属性が変更した場合には、”AS Path”が設定され、Origin AS属性が変更した場合には、”OriginAS”が設定され、隣接ASの情報が変更した場合には、”PeerAS”が設定され、BGP Next−hop属性が変更した場合には、“NextHop”が設定される。複数の経路情報属性が変更してした場合には、1つのネットワークアドレスに対して、複数のログ情報が作成される。
以前に受信した経路情報通知メッセージ情報は、ルーティング管理機能部202により、経路テーブル(2分岐ルーティングテーブル)204を構成し、このテーブルをロンゲストマッチによる検索により、既存の経路情報属性との比較を行う。変更した経路情報属性の新/旧の属性値を、AnewとAoldにそれぞれ設定する。例えば、Type=OriginASの場合には、新/旧のOriginASの情報を設定する。ロンゲストマッチの結果、何も該当するネットワークアドレスが存在しない場合、Type=OriginAS,PeerAS,BGP NextHop,AS Pathのそれぞれに対して、ログ情報が作成され、各ログ情報のAoldは、無効値が示される。
また、経路削除メッセージを受信した場合、Type=OriginAS,PeerAS,NextHop,AS Pathのそれぞれに対して、ログ情報が作成され、Aoldに旧の経路情報属性値を示す。Anewには、空欄を示す。Idは、集約したログ情報やトラヒック量変動データと関連付けを行うために与えられる任意の番号を示す。
ログ情報205は、経路情報通知メッセージ分類機能部203にて受信した経路情報通知メッセージの変更箇所を特定し、各経路単位にログ情報として蓄積する。経路情報の属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信した経路情報通知メッセージに含まれる属性と比較して評価する。複数の属性が変更している場合には、複数のログ情報が作成される。
2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、経路情報収集先のIPアドレス先単位に構成される。BGPの場合は、BGPピアリングアドレス単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他に経路情報通知メッセージにより受け付けた時刻と経路情報属性情報も格納する。経路情報通知メッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。経路削除メッセージを受信した際には、2分岐ルーティングテーブル204から当該経路の削除も行う。
ログ情報205は、経路情報通知メッセージ分類機能部203にて受信した経路情報通知メッセージの変更箇所を特定し、各経路単位にログ情報として蓄積する。経路情報の属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信した経路情報通知メッセージに含まれる属性と比較して評価する。複数の属性が変更している場合には、複数のログ情報が作成される。
2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、経路情報収集先のIPアドレス先単位に構成される。BGPの場合は、BGPピアリングアドレス単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他に経路情報通知メッセージにより受け付けた時刻と経路情報属性情報も格納する。経路情報通知メッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。経路削除メッセージを受信した際には、2分岐ルーティングテーブル204から当該経路の削除も行う。
トラヒック変動監視装置100の経路情報受信部101の動作概要を図5に示す。以下、図5を用いて、経路情報受信部101の動作を説明する。
経路情報受信部101は、経路情報を受信し、経路削除メッセージを受信したか否かを判断する(ステップ301)。
ステップ301でYesの場合は、2分岐ルーティングテーブル204を参照して、同一の経路情報が存在するか否かを判断し(ステップ302)、ステップ302でYesの場合は、ログ情報を作成し、ステップ302でNoの場合は処理を終了する。
ステップ301でNoの場合は、2分岐ルーティングテーブル204を参照して、同一の経路情報が存在するか否かを判断し(ステップ303)、ステップ303でNoの場合は、処理を終了する。以下は、BGPメッセージを受信した場合を例に処理を記述する。
ステップ303でYesの場合は、OriginASが同一か否かを判断し(ステップ304)、ステップ304でNoの場合は、BGPログ情報を作成する。
次に、PeerASが同一か否かを判断し(ステップ305)、ステップ305でNoの場合は、BGPログ情報を作成する。
次に、BGP NextHopが同一か否かを判断し(ステップ306)、ステップ306でNoの場合は、BGPログ情報を作成する。
次に、AS Pathが同一か否かを判断し(ステップ307)、ステップ307でNoの場合は、BGPログ情報を作成して処理を終了する。また、ステップ307でYesの場合も処理を終了する。
経路情報受信部101は、経路情報を受信し、経路削除メッセージを受信したか否かを判断する(ステップ301)。
ステップ301でYesの場合は、2分岐ルーティングテーブル204を参照して、同一の経路情報が存在するか否かを判断し(ステップ302)、ステップ302でYesの場合は、ログ情報を作成し、ステップ302でNoの場合は処理を終了する。
ステップ301でNoの場合は、2分岐ルーティングテーブル204を参照して、同一の経路情報が存在するか否かを判断し(ステップ303)、ステップ303でNoの場合は、処理を終了する。以下は、BGPメッセージを受信した場合を例に処理を記述する。
ステップ303でYesの場合は、OriginASが同一か否かを判断し(ステップ304)、ステップ304でNoの場合は、BGPログ情報を作成する。
次に、PeerASが同一か否かを判断し(ステップ305)、ステップ305でNoの場合は、BGPログ情報を作成する。
次に、BGP NextHopが同一か否かを判断し(ステップ306)、ステップ306でNoの場合は、BGPログ情報を作成する。
次に、AS Pathが同一か否かを判断し(ステップ307)、ステップ307でNoの場合は、BGPログ情報を作成して処理を終了する。また、ステップ307でYesの場合も処理を終了する。
[トラヒック情報受信部102の動作概要]
経路情報受信部101とは別に、トラヒック情報受信部102では、経路情報属性単位のトラヒック項目を集計する。
図3は、トラヒック変動監視装置100のトラヒック情報受信部102の機能構成を示す図である。図3において、401はフロー情報受信部、402はトラヒック集計機能部、403はメッセージ受信IP管理テーブル(BGPの場合は、ピアリングIP管理テーブル)、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204は、経路情報受信部101によってメッセージ受信IPアドレス単位に作成されたものである。
トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響がある属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。これは、メッセージ受信IP管理テーブル403に格納されるIPアドレス情報と送信元IPアドレス、NextHopアドレス、または地域情報とを比較することで実現される.
トラヒック集計機能部402が属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照して属性情報を収集する必要がある。メッセージ受信先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。
経路情報受信部101とは別に、トラヒック情報受信部102では、経路情報属性単位のトラヒック項目を集計する。
図3は、トラヒック変動監視装置100のトラヒック情報受信部102の機能構成を示す図である。図3において、401はフロー情報受信部、402はトラヒック集計機能部、403はメッセージ受信IP管理テーブル(BGPの場合は、ピアリングIP管理テーブル)、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204は、経路情報受信部101によってメッセージ受信IPアドレス単位に作成されたものである。
トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響がある属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。これは、メッセージ受信IP管理テーブル403に格納されるIPアドレス情報と送信元IPアドレス、NextHopアドレス、または地域情報とを比較することで実現される.
トラヒック集計機能部402が属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照して属性情報を収集する必要がある。メッセージ受信先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。
予め、トラヒック情報受信部102には、経路情報収集先のルータの全IFアドレスが格納されているメッセージ受信IP管理テーブル403を保持する。これは、SNMPにより当該ルータからIF−MIBをもとに収集することでよい。また、このメッセージ受信IP管理テーブル403は、BGPピアリング接続先ルータの地域情報も保持しておく。これをもとにトラヒック集計機能部402では、以下の順に参照先テーブルを選定する。
(1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、メッセージ受信先のルータがもつ全IFのIPアドレスに含まれていた場合に、当該2分岐ルーティングテーブルを使用する。
(2)上記以外で、フロー情報内に含まれるNextHopアドレスが、メッセージ受信先のルータがもつ全IFのIPアドレスに含まれていた場合に、当該ルータの2分岐ルーティングテーブルを使用する。
(3)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するメッセージ受信先ルータの2分岐ルーティングテーブルを使用する。
(1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、メッセージ受信先のルータがもつ全IFのIPアドレスに含まれていた場合に、当該2分岐ルーティングテーブルを使用する。
(2)上記以外で、フロー情報内に含まれるNextHopアドレスが、メッセージ受信先のルータがもつ全IFのIPアドレスに含まれていた場合に、当該ルータの2分岐ルーティングテーブルを使用する。
(3)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するメッセージ受信先ルータの2分岐ルーティングテーブルを使用する。
トラヒック集計機能部402では、トラヒック集計の際に、受信したトラヒック情報に含まれる送信元IPアドレス、送信先IPアドレスをもとに、経路情報受信部101で構成した2分岐ルーティングテーブル204を参照して経路情報を収集する。テーブル参照の際には、アドレスレングスが最長一致(ロンゲストマッチ)となるように、検索を行う。得られた経路情報をもとに経路情報属性単位で、トラヒック項目を集計する。以下に、BGPの場合のトラヒック項目を示す.
− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− Prefix
これらのトラヒック項目は、下記表2のように表すことができる。なお、2分岐ルーティングテーブルの検索の結果、経路情報が抽出できなかった場合には、各属性情報に無効値を設定してトラヒック項目を生成する。無効値は、検索の結果、当該属性が存在しない場合の値と区別する。
− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− Prefix
これらのトラヒック項目は、下記表2のように表すことができる。なお、2分岐ルーティングテーブルの検索の結果、経路情報が抽出できなかった場合には、各属性情報に無効値を設定してトラヒック項目を生成する。無効値は、検索の結果、当該属性が存在しない場合の値と区別する。
表2において、Vは、ある時刻(T)の属性毎のトラヒック量を示す。トラヒック量は、ある単位時間当たりのバイト数、パケット数、フロー数などを表す。Dは、トラヒックの方向(Incoming, Outgoing)を示す。Typeは、属性値の種別(BGPの場合、OriginAS,PeerAS,Nexthop,AS Path,Prefix)を示す。Aは、Typeにより示される属性の属性値が設定される。
トラヒック変動監視装置100のトラヒック情報受信部102の動作概要を図6に示す。以下、図6を用いて、トラヒック情報受信部102の動作を説明する。
トラヒック情報受信部102は、トラヒックフローを受信し、2分岐テーブルを選択する(ステップ311)。
Outgoing方向のトラヒックを集計する場合は、送信先IPアドレスをもとに2分岐ルーティングテーブル204を探索し、合致する経路情報があるいか否かを判断し(ステップ312)、ステップ312でYesの場合で、BGPの場合には、OriginAS、PeerAS、Nexthopアドレス、AS Path、Prefixをキーにトラヒック量を集計する(ステップ313)。
ステップ312でNoの場合は、無効値を設定してトラヒック項目を生成する(ステップ314)。
Incoming方向のトラヒックを集計する場合は、送信先IPアドレスをもとに2分岐ルーティングテーブル204を探索し、合致するBGPデータがあるいか否かを判断し(ステップ315)、ステップ315でYesの場合で、BGPの場合には、OriginAS、PeerAS、Nexthopアドレス、AS Path、Prefixをキーにトラヒック量を集計する(ステップ316)。
ステップ315でNoの場合は、無効値を設定してトラヒック項目を生成する(ステップ317)。
トラヒック情報受信部102は、トラヒックフローを受信し、2分岐テーブルを選択する(ステップ311)。
Outgoing方向のトラヒックを集計する場合は、送信先IPアドレスをもとに2分岐ルーティングテーブル204を探索し、合致する経路情報があるいか否かを判断し(ステップ312)、ステップ312でYesの場合で、BGPの場合には、OriginAS、PeerAS、Nexthopアドレス、AS Path、Prefixをキーにトラヒック量を集計する(ステップ313)。
ステップ312でNoの場合は、無効値を設定してトラヒック項目を生成する(ステップ314)。
Incoming方向のトラヒックを集計する場合は、送信先IPアドレスをもとに2分岐ルーティングテーブル204を探索し、合致するBGPデータがあるいか否かを判断し(ステップ315)、ステップ315でYesの場合で、BGPの場合には、OriginAS、PeerAS、Nexthopアドレス、AS Path、Prefixをキーにトラヒック量を集計する(ステップ316)。
ステップ315でNoの場合は、無効値を設定してトラヒック項目を生成する(ステップ317)。
[ログ情報集約機能部103の動作概要]
ログ情報集約機能部103では、ある時刻(T)のある単位時間に受信した経路情報通知メッセージもしくは経路削除メッセージのログ情報(P)の集約した集約ログ情報を生成する。この集約ログ情報は、下記表3のように表すことができる。
ログ情報集約機能部103では、ある時刻(T)のある単位時間に受信した経路情報通知メッセージもしくは経路削除メッセージのログ情報(P)の集約した集約ログ情報を生成する。この集約ログ情報は、下記表3のように表すことができる。
集約ログ情報(B)は、経路情報通知メッセージで通知されるネットワークアドレスに関して、変更のあった属性単位に作成される。
Typeは、以前に受信した経路情報通知メッセージの情報と比較し、時刻(T)に受信した経路情報通知メッセージの属性の変更箇所を示す。ここで、BGPの場合で、AS Path属性が変更した場合には、”AS Path”が設定され、Origin AS属性が変更した場合には、”OriginAS”が設定され、隣接ASの情報が変更した場合には、”PeerAS”が設定され、BGP Next−hop属性が変更した場合には、“NextHop”が設定される。
例えば、ネットワークアドレス(Prefix)が異なるログ情報P1とP2に対して、時刻(T)、Type、新/旧のBGP属性値が同一の場合には、ひとつのB1の集約ログ情報に集約される。
変更したBGP属性の新/旧のBGP属性値を、AnewとAoldにそれぞれ設定する。例えば、Type=OriginASの場合には、新/旧のOriginASの情報を設定する。ログ情報集約機能部103のサンプルプログラムを以下に示す。
Typeは、以前に受信した経路情報通知メッセージの情報と比較し、時刻(T)に受信した経路情報通知メッセージの属性の変更箇所を示す。ここで、BGPの場合で、AS Path属性が変更した場合には、”AS Path”が設定され、Origin AS属性が変更した場合には、”OriginAS”が設定され、隣接ASの情報が変更した場合には、”PeerAS”が設定され、BGP Next−hop属性が変更した場合には、“NextHop”が設定される。
例えば、ネットワークアドレス(Prefix)が異なるログ情報P1とP2に対して、時刻(T)、Type、新/旧のBGP属性値が同一の場合には、ひとつのB1の集約ログ情報に集約される。
変更したBGP属性の新/旧のBGP属性値を、AnewとAoldにそれぞれ設定する。例えば、Type=OriginASの場合には、新/旧のOriginASの情報を設定する。ログ情報集約機能部103のサンプルプログラムを以下に示す。
また、トラヒック変動監視装置100のログ情報集約機能部103の動作概要を図7に示す。以下、図7を用いて、ログ情報集約機能部103の動作を説明する。
ログ情報集約機能部103は、ログ情報P(T,Prefix,Type,Anew,Aold,Id)を受信し、T,Type,Anew,Aoldが同一の集約BGPログ情報(B)が存在するか否かを判断する(ステップ321)。
ステップ321でNoの場合は、ログ情報(P)をもとに集約ログ情報B(P.T,P.Type,P.Anew,P.Aold)を生成する。
ステップ321でYesの場合は、集約ログ情報(B)のIdを、ログ情報(P)のIdに設定する(ステップ322)。
ログ情報集約機能部103は、ログ情報P(T,Prefix,Type,Anew,Aold,Id)を受信し、T,Type,Anew,Aoldが同一の集約BGPログ情報(B)が存在するか否かを判断する(ステップ321)。
ステップ321でNoの場合は、ログ情報(P)をもとに集約ログ情報B(P.T,P.Type,P.Anew,P.Aold)を生成する。
ステップ321でYesの場合は、集約ログ情報(B)のIdを、ログ情報(P)のIdに設定する(ステップ322)。
[ログ分析機能部104の動作概要]
ログ分析機能部104では、ある時刻(T)を中心とした時間幅2Twに対して、各ネットワークアドレスが経路テーブルに存在していない時間幅の比率を算出する。この比率の算出には、ログ情報(P)より導出する。
ここで、ある2つの時刻(T+Tw)と(T−Tw)間での、あるネットワークアドレス(Prefix)が経路テーブルに存在していない時間比率をU(T,Tw,Prefix)とする。ここで、Uは、2つの時刻(T+Tw)と(T−Tw)間に発生したすべての経路情報通知メッセージログをもとに算出できる。
経路情報通知メッセージログPのAnewが空欄(null)の場合は、経路削除メッセージを受信したとして、P.TからT+Tw時間区間までは、当該ネットワークアドレスが、経路テーブルに存在していないこととする。また、経路情報通知メッセージログPのAoldが空欄(null)の場合は、新たなに経路情報通知メッセージを受信したこととして、P.TからT+Tw時間区間までは、当該ネットワークアドレスが、経路テーブルに存在したこととする。最終的に、時間幅2Tw内で、経路テーブルに存在していなかった時間比率を求める。プログラミングイメージは以下のようになる。
ログ分析機能部104では、ある時刻(T)を中心とした時間幅2Twに対して、各ネットワークアドレスが経路テーブルに存在していない時間幅の比率を算出する。この比率の算出には、ログ情報(P)より導出する。
ここで、ある2つの時刻(T+Tw)と(T−Tw)間での、あるネットワークアドレス(Prefix)が経路テーブルに存在していない時間比率をU(T,Tw,Prefix)とする。ここで、Uは、2つの時刻(T+Tw)と(T−Tw)間に発生したすべての経路情報通知メッセージログをもとに算出できる。
経路情報通知メッセージログPのAnewが空欄(null)の場合は、経路削除メッセージを受信したとして、P.TからT+Tw時間区間までは、当該ネットワークアドレスが、経路テーブルに存在していないこととする。また、経路情報通知メッセージログPのAoldが空欄(null)の場合は、新たなに経路情報通知メッセージを受信したこととして、P.TからT+Tw時間区間までは、当該ネットワークアドレスが、経路テーブルに存在したこととする。最終的に、時間幅2Tw内で、経路テーブルに存在していなかった時間比率を求める。プログラミングイメージは以下のようになる。
[相関性照合機能部105の動作概要]
相関性照合機能部105では、経路の変動状況とトラヒックの変化量の相関性を照合する。また、経路不安定性によりトラヒックへの影響度を評価する。それぞれの機能について説明する。
(1)経路の変動状況とトラヒックの変化量の評価
ここでは、ログ情報集約機能部103で得られた集約ログ情報(B)をもとに、その前後でトラヒック量がどの程度変化しているかを算出する。ここでは、そのトラヒック変化量をDとして、下記表4のように表すことができる。
相関性照合機能部105では、経路の変動状況とトラヒックの変化量の相関性を照合する。また、経路不安定性によりトラヒックへの影響度を評価する。それぞれの機能について説明する。
(1)経路の変動状況とトラヒックの変化量の評価
ここでは、ログ情報集約機能部103で得られた集約ログ情報(B)をもとに、その前後でトラヒック量がどの程度変化しているかを算出する。ここでは、そのトラヒック変化量をDとして、下記表4のように表すことができる。
表4において、Dは、ある2つの時刻(T+Tw)と(T−Tw)の属性毎のトラヒック量の差分を示す。Twは、一般的な時間幅(1,5,10分..)を示し、Typeは、属性の種別(BGPの場合、OriginAS,PeerAS,Nexthop, AS Path)示す。Cは、経路変動により、新規に最適経路となるネットワークアドレスをもつ属性に対して”New”を示し、最適経路から削除される属性に対して”Old”を示す。
Aは、変更した属性の新/旧の属性値を示し、Idは、ログ情報(P),集約ログ情報(B)、トラヒック変化量(D)を関連づける任意の番号を表す。
ある時刻(T)で大きいトラヒック量変動を起こした属性については、Dを大きい順にソートすることで、容易に確認できる。また、トラヒック変動に影響を与えた経路情報通知メッセージは、トラヒック変化量(D)に関連づいているIdをたどることで、ネットワークアドレス単位にその状況を把握することが可能となる。また、ある閾値を超えたトラヒック変化量(D)に対してアラームを生成することで、保守者への通知を可能とする。
以下に、トラヒック変化量(D)を導出するためのプログラミングイメージを示す。また、DとTとTwの関係を示した図を図4に示す。
Aは、変更した属性の新/旧の属性値を示し、Idは、ログ情報(P),集約ログ情報(B)、トラヒック変化量(D)を関連づける任意の番号を表す。
ある時刻(T)で大きいトラヒック量変動を起こした属性については、Dを大きい順にソートすることで、容易に確認できる。また、トラヒック変動に影響を与えた経路情報通知メッセージは、トラヒック変化量(D)に関連づいているIdをたどることで、ネットワークアドレス単位にその状況を把握することが可能となる。また、ある閾値を超えたトラヒック変化量(D)に対してアラームを生成することで、保守者への通知を可能とする。
以下に、トラヒック変化量(D)を導出するためのプログラミングイメージを示す。また、DとTとTwの関係を示した図を図4に示す。
また、トラヒック変動監視装置100の相関性照合機能部105の動作概要を図8に示す。以下、図8を用いて、相関性照合機能部105の動作を説明する。
相関性照合機能部105は、集約ログ情報B(T,Type,Anew,Aold)を収集し、時間Tw前にAoldに対するトラヒックが発生していたかを判断する(ステップ331)。ステップ331でNoの場合は処理を終了する。
ステップ331でYesの場合は、Anew,Aoldに対して、時刻(T)の時間(TW)前後のトラヒック変化量(D)を算出し、トラヒック変化量Dnew,Doldを生成する。
相関性照合機能部105は、集約ログ情報B(T,Type,Anew,Aold)を収集し、時間Tw前にAoldに対するトラヒックが発生していたかを判断する(ステップ331)。ステップ331でNoの場合は処理を終了する。
ステップ331でYesの場合は、Anew,Aoldに対して、時刻(T)の時間(TW)前後のトラヒック変化量(D)を算出し、トラヒック変化量Dnew,Doldを生成する。
(2)経路の不安定性によるトラヒックへの影響度の評価
一般的に、トラヒック量が大きいネットワークアドレスについては、BGPによる経路の伝搬が安定していることが必要であり、BGPでの伝搬が不安定な経路については、トラヒック量が少ないという傾向がある。この傾向に反する状況となったことを検知する。
ここでは、ログ分析機能部104にて生成した経路テーブルに存在していなかった時間比率(U)を使用する。
Uは、ある時刻(T)の前後Tw時間幅で、経路テーブルに存在していない時間比率をしめす。また、ここでは、また、当該時間区間(T−Tw)と(T+Tw)での各Prefixに対する単位時間あたりのトラヒック量の最大値を抽出する。これをVmax(T,Tw,Prefix)とする。Vmaxは、トラヒック集計機能部にて生成されたトラヒック量(V)より算出する。
ここで、VmaxとUの積をもとめる。これは、当該ネットワークアドレスが経路テーブルから削除されることによって、損失したトラヒック量の比率を示す。このVmaxとUの積をIとする。Iは、以下のように求められる。
一般的に、トラヒック量が大きいネットワークアドレスについては、BGPによる経路の伝搬が安定していることが必要であり、BGPでの伝搬が不安定な経路については、トラヒック量が少ないという傾向がある。この傾向に反する状況となったことを検知する。
ここでは、ログ分析機能部104にて生成した経路テーブルに存在していなかった時間比率(U)を使用する。
Uは、ある時刻(T)の前後Tw時間幅で、経路テーブルに存在していない時間比率をしめす。また、ここでは、また、当該時間区間(T−Tw)と(T+Tw)での各Prefixに対する単位時間あたりのトラヒック量の最大値を抽出する。これをVmax(T,Tw,Prefix)とする。Vmaxは、トラヒック集計機能部にて生成されたトラヒック量(V)より算出する。
ここで、VmaxとUの積をもとめる。これは、当該ネットワークアドレスが経路テーブルから削除されることによって、損失したトラヒック量の比率を示す。このVmaxとUの積をIとする。Iは、以下のように求められる。
このIを大きい順にソートすることで、定常状態でトラヒック量が大きく、経路変動により、大きく影響を受けたネットワークアドレスを判別することが可能となる。また、不正に経路を短時間のみ広告し、その間にDDoSやSPAMメールを配信する不正なトラヒックを検知することも可能となる。
このような相関性照合機能部105で得られたトラヒック変化量(D)や損失したトラヒック量比率(I)の表示は、トラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。
なお、以上説明したトラヒック変動監視装置の各部を、自ASドメイン110に個別に設置することにより、システム構成とすることも可能である。
また、以上説明したトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
このような相関性照合機能部105で得られたトラヒック変化量(D)や損失したトラヒック量比率(I)の表示は、トラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。
なお、以上説明したトラヒック変動監視装置の各部を、自ASドメイン110に個別に設置することにより、システム構成とすることも可能である。
また、以上説明したトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
100 トラヒック変動監視装置
101 経路情報受信部
102 トラヒック情報受信部
103 ログ情報集約機能部
104 ログ分析機能部
105 相関性照合機能部
110 自ASドメイン
111〜115 自律システム(AS)ドメイン110内のルータ
120 隣接自律システムAS#1
121 隣接自律システムAS#1内のルータ
130 隣接自律システムAS#1を経由して接続されているインターネット
140 隣接自律システムAS#2
141 隣接自律システムAS#2内のルータ
150 隣接自律システムAS#3
151 隣接自律システムAS#3内のルータ
160 隣接自律システムAS#3を経由して接続されているインターネット
170 端末Web描画クライアント
201 セッション管理部
202 ルーティング管理機能部
203 経路情報通知メッセージ分類機能部
204 2分岐ルーティングテーブル
205 ログ情報
401 フロー情報受信部
402 トラヒック集計機能部
403 メッセージ受信IP管理テーブル
404 トラヒック集計データ
101 経路情報受信部
102 トラヒック情報受信部
103 ログ情報集約機能部
104 ログ分析機能部
105 相関性照合機能部
110 自ASドメイン
111〜115 自律システム(AS)ドメイン110内のルータ
120 隣接自律システムAS#1
121 隣接自律システムAS#1内のルータ
130 隣接自律システムAS#1を経由して接続されているインターネット
140 隣接自律システムAS#2
141 隣接自律システムAS#2内のルータ
150 隣接自律システムAS#3
151 隣接自律システムAS#3内のルータ
160 隣接自律システムAS#3を経由して接続されているインターネット
170 端末Web描画クライアント
201 セッション管理部
202 ルーティング管理機能部
203 経路情報通知メッセージ分類機能部
204 2分岐ルーティングテーブル
205 ログ情報
401 フロー情報受信部
402 トラヒック集計機能部
403 メッセージ受信IP管理テーブル
404 トラヒック集計データ
Claims (11)
- 経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置であって、
経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路情報受信部と、
トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、
前記ログ情報の集約処理を行うログ情報集約機能部と、
ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部と、
前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能部とを備えることを特徴とするトラヒック変動監視装置。 - 前記経路情報受信部は、新たに受信した経路情報通知メッセージと、既に受信した経路情報通知メッセージとを比較し、経路情報のトラヒック変動に影響がある属性単位に前記経路情報通知メッセージの変更箇所を特定する分類機能部を備えることを特徴とする請求項1に記載のトラヒック変動監視装置。
- 前記経路情報受信部は、前記経路情報をルーティングテーブルとして管理するルーティング管理機能部を備えることを特徴とする請求項1に記載のトラヒック変動監視装置。
- 前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、経路情報のトラヒック変動に影響がある属性単位に、トラヒックを集計するトラヒック集計機能部を備えることを特徴とする請求項3に記載のトラヒック変動監視装置。
- 前記相関性照合機能部は、前記ログ情報集約機能部で集約された前記経路情報の属性単位の集約ログ情報をもとに、トラヒック量の変化量を抽出し、もっとも影響度の大きい経路情報通知メッセージを識別することを特徴とする請求項1に記載のトラヒック変動監視装置。
- 前記相関性照合機能部は、ネットワークアドレス単位のログ情報と、前記ログ情報集約機能部で集約された経路情報の属性単位の集約ログ情報と、前記抽出されたトラヒック量の変化量を示すデータとを連動させて、問題発生要因を探索することを特徴とする請求項5に記載のトラヒック変動監視装置。
- 前記相関性照合機能部は、前記ログ分析機能部で抽出された所定期間内のネットワークアドレス単位の経路不安定度と、所定期間内のネットワークアドレス単位での最大トラヒック量とに基づき、影響の大きい経路を抽出することを特徴とする請求項1に記載のトラヒック変動監視装置。
- 経路変動要因によるトラヒック変動を検知するトラヒック変動監視装置におけるトラヒック変動監視方法であって、
前記トラヒック変動監視装置は、経路受信部と、
トラヒック情報受信部と、
ログ情報集約機能部と、
ログ分析機能部と、
相関性照合機能部とを備え、
前記経路受信部が、経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積し、
前記トラヒック情報受信部が、トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積し、
前記ログ情報集約機能部が、前記ログ情報の集約処理を行い、
前記ログ分析機能部が、ネットワークアドレス単位の経路不安定度を抽出し、
前記相関性照合機能部が、前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価することを特徴とするトラヒック変動監視方法。 - 前記相関性照合機能部が、前記ログ情報集約機能部で集約された前記経路情報の属性単位の集約ログ情報をもとに、トラヒック量の変化量を抽出し、もっとも影響度の大きい経路情報通知メッセージを識別することを特徴とする請求項8に記載のトラヒック変動監視方法。
- 前記相関性照合機能部が、前記ログ分析機能部で抽出された所定期間内のネットワークアドレス単位の経路不安定度と、所定期間内のネットワークアドレス単位での最大トラヒック量とに基づき、影響の大きい経路を抽出することを特徴とする請求項8に記載のトラヒック変動監視方法。
- 経路変動要因によるトラヒック変動を検知するトラヒック変動監視システムであって、
経路情報を通知する経路情報通知メッセージを収集し、その経路情報を管理するとともに、経路情報通知メッセージを経路情報の属性単位に変更箇所を特定したログ情報を蓄積する経路受信手段と、
トラヒック情報を収集し、前記経路情報の属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信手段と、
前記ログ情報の集約処理を行うログ情報集約機能手段と、
ネットワークアドレス単位の経路不安定度を抽出するログ分析機能部手段と、
前記経路情報の属性値に関する経路変動がトラヒックに与えた影響度を評価する相関性照合機能手段とを備えることを特徴とするトラヒック変動監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010035169A JP4955083B2 (ja) | 2010-02-19 | 2010-02-19 | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010035169A JP4955083B2 (ja) | 2010-02-19 | 2010-02-19 | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011172105A true JP2011172105A (ja) | 2011-09-01 |
| JP4955083B2 JP4955083B2 (ja) | 2012-06-20 |
Family
ID=44685741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010035169A Active JP4955083B2 (ja) | 2010-02-19 | 2010-02-19 | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4955083B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008085812A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
| JP2008167484A (ja) * | 2008-03-13 | 2008-07-17 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP2011109587A (ja) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Bgpトラヒック変動監視装置、方法、およびシステム |
| JP2011114743A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びネットワーク監視装置 |
-
2010
- 2010-02-19 JP JP2010035169A patent/JP4955083B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008085812A (ja) * | 2006-09-28 | 2008-04-10 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
| JP2008167484A (ja) * | 2008-03-13 | 2008-07-17 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック検出方法及び装置 |
| JP2011109587A (ja) * | 2009-11-20 | 2011-06-02 | Nippon Telegr & Teleph Corp <Ntt> | Bgpトラヒック変動監視装置、方法、およびシステム |
| JP2011114743A (ja) * | 2009-11-30 | 2011-06-09 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びネットワーク監視装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4955083B2 (ja) | 2012-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ballani et al. | A study of prefix hijacking and interception in the Internet | |
| Wu et al. | Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network | |
| Zhang et al. | Planetseer: Internet path failure monitoring and characterization in wide-area services. | |
| Oliveira et al. | Quantifying path exploration in the Internet | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| JP4667437B2 (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| EP1861963B1 (en) | System and methods for identifying network path performance | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| US7379426B2 (en) | Routing loop detection program and routing loop detection method | |
| JP4658098B2 (ja) | フロー情報制限装置および方法 | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| JP4860745B2 (ja) | Bgpトラヒック変動監視装置、方法、およびシステム | |
| JP2005508593A (ja) | ネットワークで情報のルーティング制御を実現するためのシステム及び方法 | |
| US8165019B2 (en) | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes | |
| CN101931628B (zh) | 一种域内源地址的验证方法和装置 | |
| JPWO2007081023A1 (ja) | トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム | |
| KR101352553B1 (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
| JP5080549B2 (ja) | ネットワーク監視方法及びネットワーク監視装置 | |
| Luckie | Spurious routes in public bgp data | |
| Cheng et al. | Detecting and mitigating a sophisticated interest flooding attack in NDN from the network-wide view | |
| JP4955083B2 (ja) | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム | |
| Katiyar et al. | Detection and discrimination of DDoS attacks from flash crowd using entropy variations | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP5221594B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
| Yang et al. | BGP anomaly detection-a path-based apporach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120313 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120314 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4955083 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150323 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |