KR100997182B1 - 플로우 정보 제한장치 및 방법 - Google Patents

플로우 정보 제한장치 및 방법 Download PDF

Info

Publication number
KR100997182B1
KR100997182B1 KR1020097009813A KR20097009813A KR100997182B1 KR 100997182 B1 KR100997182 B1 KR 100997182B1 KR 1020097009813 A KR1020097009813 A KR 1020097009813A KR 20097009813 A KR20097009813 A KR 20097009813A KR 100997182 B1 KR100997182 B1 KR 100997182B1
Authority
KR
South Korea
Prior art keywords
flow information
flow
information
item
aggregation
Prior art date
Application number
KR1020097009813A
Other languages
English (en)
Other versions
KR20090079945A (ko
Inventor
히토시 이리노
마사루 카타야마
Original Assignee
니폰 덴신 덴와 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 니폰 덴신 덴와 가부시끼가이샤 filed Critical 니폰 덴신 덴와 가부시끼가이샤
Publication of KR20090079945A publication Critical patent/KR20090079945A/ko
Application granted granted Critical
Publication of KR100997182B1 publication Critical patent/KR100997182B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/30Flow control; Congestion control in combination with information about buffer occupancy at either end or at transit nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • H04L41/344Out-of-band transfers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/19Flow control; Congestion control at layers above the network layer
    • H04L47/193Flow control; Congestion control at layers above the network layer at the transport layer, e.g. TCP related
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/41Flow control; Congestion control by acting on aggregated flows or links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/129Avoiding congestion; Recovering from congestion at the destination endpoint, e.g. reservation of terminal resources or buffer space
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

트래픽 전체의 계측 정보를 보유한 채, 플로우 정보의 송신수를 제한하기 위한 플로우 정보 제한장치가 제공된다. 해당 플로우 정보 제한장치는, 동일 속성의 패킷의 집합을 동일 통신의 플로우로 하고, 상기 플로우마다, 상기 패킷의 헤더 정보에 기초하여 플로우 정보를 생성하는 플로우 정보 생성부(202)와, 상기 생성한 플로우 정보를 일시적으로 저장하는 관리용 버퍼를 구비하고, 상기 관리용 버퍼로부터 플로우 정보를 독출하여 출력하는 플로우 정보수 제한 기능부(203)와, 상기 출력된 플로우 정보를 패킷화하여 상기 측정용 네트워크상으로 송출하는 플로우 정보 송신부(204)를 가지며, 플로우 정보수 제한 기능부(203)가, 관리용 버퍼에 저장되어 있는 플로우 정보의 수가 미리 설정된 상한값을 초과하면, 상기 저장되어 있는 플로우 정보의 일부를 집약한다.
Figure R1020097009813
플로우, 플로우 정보, 네트워크, 버퍼

Description

플로우 정보 제한장치 및 방법 {FLOW INFORMATION RESTRICTING APPARATUS AND METHOD}
본 발명은, 인터넷 등으로 대표되는 오픈 네트워크 환경상에서 사용되는 네트워크 장치에 관한 것으로, 특히, 네트워크상의 트래픽을 측정하기 위한 정보(플로우 정보)를 수집하는 것이 가능한, 노드 등으로 대표되는 정보통신기기에 관한 것이다.
인터넷에서 사용되는 IP(Internet Protocol)에서는, 프로토콜, 소스 IP 어드레스, 수신처 IP 어드레스의 정보가 관리되고, 또 일부 트랜스포트 프로토콜에서는, 소스 포트와 수신처 포트의 정보가 관리된다. 이들의 프로토콜을 사용하여 전송되는 패킷은, 각각의 프로토콜에서 관리되고 있는 정보를 포함한다. 그와 같은 패킷이 갖는 정보에 기초하여, 통신의 종별을 분류하는 방법이 플로우 계측(flow measurement)이다.
플로우 계측에서는, 동일 속성의 패킷, 예를 들면 프로토콜, 소스 IP 어드레스, 수신처(destination) IP 어드레스, 소스 포트 및 수신처 포트의 각 정보항목에 대해서 같은 정보를 갖는 패킷을 동일 통신에 속하는 패킷으로 간주한다. 동일 통신에 속하는 패킷의 집합을 플로우라 부른다. 플로우의 데이터량과 패킷량을 계측 함으로써, 복수의 지점간에서 복수의 통신 서비스를 감시할 수 있으며, 통신량이 이상하게 많은 지점간이나 통신 서비스를 특정하거나, 통신 경향을 파악하거나 할 수 있다.
인터넷은, 경로 제어를 수행하는 복수의 라우터를 포함하는 복수의 네트워크를 상호 접속함으로써 구축되어 있으며, 송신원으로부터 송출된 패킷은 몇 개의 라우터를 경유하여 송신처에 도달한다. 라우터는, 패킷의 IP 헤더와, 경우에 따라서는, 트랜스포트 레이어의 헤더를 참조하여 패킷의 전송을 수행하므로, 플로우의 분류를 수행하는 기기로서 적합하다. 라우터를 통과한 패킷의 플로우 정보를 다른 기기에 통지하는 기술로서, NetFlow(비 특허문헌 1 참조)와 IPFIX(IP Flow Informat
ion eXport)가 있다.
플로우 정보를 특정의 포맷에 따라서 패킷화한 계측용 패킷을 라우터로부터 네트워크상의 계측용 단말로 송신함으로써, 그 노드의 통신내용을 파악할 수 있다. 그러나, 비 특허문헌 2에 따르면, DDoS라 불리는, 소스 어드레스를 분산시켜서 대량의 데이터를 계속 보내는 공격 트래픽과, 포트 스캔(port scan)이라 불리는, 대상 호스트의 전(全) 포트에의 접속을 시도하여 서비스 상태 및 취약성을 검출하는 공격 트래픽 등이 발생했을 때, 플로우 수가 급격히 증대한다.
또, 비 특허문헌 3에 따르면, 플로우 정보의 통지를 수행하는 IPFIX에 있어서는, 트랜스포트 프로토콜로서, 폭주 제어가 없는 UDP(User Datagram Protocol)와 폭주 제어가 있는 TCP(Transmission Control Protocol)와 SCTP(Stream Control Transmission Protocol)를 사용할 수 있다. 플로우의 송수신장치가 폭주 제어 기능 이 없는 UDP를 이용하여 송신을 수행하는 경우, 플로우 수가 급격히 증대하면, 그에 수반하여 라우터 등의 플로우 송신장치로부터 계측용 단말로 송신되는 패킷도 증대하고, 그 결과, 플로우 송신장치와 계측용 단말 사이의 계측용 네트워크에 있어서 폭주가 발생할 가능성이 있다.
한편, 플로우의 송수신장치가 폭주 제어 기능을 갖는 TCP와 SCTP를 이용하여 송신을 수행하는 경우는, 플로우 수가 급격히 증대해도, 폭주는 발생하지 않는다. 그러나, 플로우 송신장치에 있어서, 폭주 제어 기능에 의해 송신할 수 있는 플로우 정보수가 한정되기 때문에, 생성되는 플로우 정보수에 대해서 송신되는 폴로우 정보수가 적어지게 되어, 내부의 송신 버퍼가 넘치는 경우가 있다. 이 결과, 송신된 정보는 먼저 생성한 플로우 정보에 한정되어, 관측한 트래픽 전체의 정보를 송신할 수 없게 된다.
비 특허문헌 1: [평성 18년 9월 8일 열람 인터넷] B. Claise. Cisco Systems Net Flow Services Export Version 9. RFC 3954 (Informational), October 2004. http://www.ietf.org/rfc/rfc3954.txt
비 특허문헌 2: Cristian Eatan, Ken Keys, David Moore, George Varghese: "Building a better netflow", ACM SIGCOMM Computer Communication Review, 34, Issue 4, pp. 245-256(2004)
비 특허문헌 3: B. Claise. IPFIX Protocal Specification. Internet Draft, June 2006. HYPERLINK "http://tools.ietf.org/id/draft-ieft-ipfix-protocol-22.txt" http://tools.ietf.org/id/draft-ietf-ipfix-protocol-22.txt(22판)
발명의 개시
발명이 해결하고자 하는 과제
상술한 바와 같이, NetFlow(비 특허문헌 1 참조)와 IPFIX의 플로우 기술을 채용하는 통신시스템에 있어서는, 공격 트래픽에 의해 플로우가 증대한 경우에, 계측용 네트워크에 있어서의 통신에 폭주가 발생한다는 문제가 생긴다. 또는, 폭주는 발생하지 않으나, 관측한 트래픽 전체의 정보를 송신할 수 없기 때문에 부정확한 정보 송신이 발생한다는 문제가 생긴다. 이하에, 이 문제를 구체적으로 설명한다.
도 20에, 계측용 네트워크를 포함하는 인터넷을 통해서 패킷에 의한 통신을 수행하는 정보통신시스템을 나타낸다. 도 20에 있어서, 인터넷(10)은, 패킷 전송을 수행하는 복수의 노드(12∼14, 111)를 포함하는 복수의 네트워크끼리를 상호 접속한 것이다. 노드(12∼14, 111)는 상호 통신 가능하게 접속되어 있다. 노드(111)에는, 계측용 단말(20) 및 단말(30)이 접속되어 있다. 노드(12)에는 단말(41)이 접속되고, 노드(13)에는 단말(42)이 접속되고, 노드(14)에는 단말(43)이 접속되어 있다.
계측용 단말(20) 및 단말(30, 41∼43)의 각각은, 통신기능을 구비한 컴퓨터 시스템이다. 컴퓨터 시스템의 주요부는, 프로그램 등을 축적하는 기억장치, 키보드와 마우스 등의 입력장치, CRT와 LCD 등의 표시장치, 외부와의 통신을 수행하는 모뎀 등의 통신장치, 프린터 등의 출력장치 및 입력장치로부터의 입력을 접수하여 통신장치, 출력장치, 표시장치의 동작을 제어하는 제어장치를 갖는다. 단말(41∼43)은 클라이언트 단말이고, 단말(30)은 클라이언트에 통신 서비스를 제공하는 서버이며, 서버 - 클라이언트 간에 통신이 수행된다.
단말(41∼43)은, 바이러스와 웜에 감염되거나, 제3자에 의한 부정한 제어가 수행되거나 하는 경우가 있다. 그와 같은 경우, 단말(41∼43)은, 단말(30)에 대한 네트워크 공격을 수행한다. 복수의 단말이 동시에 네트워크 공격을 개시한 경우는, 소스 어드레스가 분산한다. 또, 단일의 단말이 네트워크 공격을 수행한 경우도, 소스 어드레스의 사칭에 의해 소스 어드레스가 분산하는 경우가 있다. 노드에는, 이와 같이 소스 어드레스가 분산한 대량의 데이터가 도달하고, 이상 트래픽이 발생한다.
게다가, IP 스캔과 포트 스캔 등의 공격에 준하는 행동, 바이러스와 웜 등의 감염 활동 등에서는, 노드의 존재와는 관계없이 수신처 어드레스를 분산시켜서 통신이 수행되어, 이상 트래픽이 발생하는 경우가 있다. 이 경우도, 소스 어드레스는 사칭(fraud) 등에 의해 분산하는 경우가 있다.
상기와 같은 공격 등에 의해 인터넷(10) 전체에 있어서의 통신량이 증대하고, 단말(30)로의 트래픽 등, 노드(111)가 게이트웨이가 되는 네트워크상을 흐르는 트래픽이 증대한다. 이 트래픽의 증대는, 노드(111)에 있어서의, 계측용 네트워크에 있어서의 통신에 폭주가 발생하거나, 관측한 트래픽 전체의 정보를 송신할 수 없거나 하는 이하와 같은 문제를 일으킨다.
노드(111)는, 플로우 정보를 패킷화한 계측용 패킷을 계측용 단말(20)로 송신한다. 폭주 제어를 수행하지 않는 UDP를 트랜스포트 프로토콜로서 이용하는 경우는, 노드(111)상에서 관측되는 플로우 수가 증가하면, 그에 수반하여 계측용 패킷의 송신량도 증대한다. 때문에, 노드(111)와 계측용 단말(20) 사이의 계측용 네트워크에 있어서 폭주가 발생하고, 공격의 2차 피해가 발생한다.
노드(111)와 단말(30) 사이와 노드(111)와 인터넷(10) 사이의 통상의 통신에 이용하는 회선이 이상상태가 된 경우에, 이상성이 있는 트래픽을 발견하기 위해서, 계측용 단말(20)이 배치되어 있다. 그러나, 플로우의 급격한 증대에 의해, 노드(111)와 계측용 단말(20) 사이의 통신에 있어서 폭주가 발생하면, 계측용 패킷의 로스가 높아져, 계측용 단말(20)에서 충분한 계측을 수행하는 것이 곤란해진다. 게다가, 다른 통신이 수행되고 있는 경우에는, 그 통신에 악영향을 미치는 경우가 있다. 경우에 따라서는, 계측용 단말(20)이 자원부족 상태에 빠지는 경우가 있다.
또, 계측용 단말(20)이 복수대의 노드로부터 플로우 정보를 수신하는 것과 같은 시스템을 구축한 경우에는, 폭주의 피해는 더 커지게 된다.
한편, 폭주 제어 기능을 갖는 TCP와 SCTP를 트랜스포트 프로토콜로서 이용한 경우는, 노드(111)와 계측용 단말(20) 사이의 통신에 있어서 폭주는 발생하지 않는다. 그러나, 폭주 제어 기능에 의해 노드(111)의 출력 플로우 수가 제한되기 때문에, 상기 이상시에 관측된 플로우 수에 대해서 노드(111)가 출력할 수 있는 플로우 수가 적어지게 되는 경우가 있다. 이와 같이 출력 플로우 수에 비해서 입력 플로우 수가 많아지면, 노드(111)의 내부 버퍼가 파탄(overflow)하여 계측 정보의 일부가 결락하고, 노드(111)는, 계측한 트래픽 전체의 정보를 계측용 단말(20)에 정확히 송신할 수 없다.
본 발명의 목적은, 상기 문제를 해결하고, 트래픽 전체의 계측 정보를 보유한 채, 송신하는 플로우 정보의 수를 제한할 수 있는 플로우 정보 제한장치를 제공하는 것에 있다.
과제를 해결하기 위한 수단
상기 목적을 달성하기 위해, 본 발명의 플로우 정보 제한장치는, 복수의 단말을 상호 접속하는 네트워크상에 배치되고, 상기 네트워크에 있어서의 트래픽을 계측하는 측정용 단말에 측정용 네트워크를 통해서 접속되는 플로우 정보 제한장치에 있어서, 동일 속성을 갖는 패킷의 집합을 동일 통신의 플로우로 하고, 상기 플로우마다, 상기 패킷의 헤더 정보에 기초하여 플로우 정보를 생성하는 플로우 정보 생성부와, 상기 플로우 정보 생성부에서 생성한 플로우 정보를 일시적으로 저장하는 관리용 버퍼를 구비하고, 상기 관리용 버퍼로부터 플로우 정보를 독출하여 출력하는 플로우 정보수 제한부와, 상기 플로우 정보수 제한부로부터 출력된 플로우 정보를 패킷화하여 상기 측정용 네트워크상으로 송출하는 플로우 정보 송신부를 가지며, 상기 플로우 정보수 제한부는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보의 수가 미리 설정된 상한값을 초과하면, 상기 저장되어 있는 플로우 정보를, 비집약 플로우 정보와 상기 트래픽의 계측에 있어서의 중요성이 상기 비집약 플로우 정보보다 낮은 집약후보로 나누고, 상기 집약후보가 된 플로우 정보를 집약하여, 상기 관리용 버퍼에 보유되어 있는 플로우 정보의 수가 일정수 이하가 되도록 제어한다.
상기의 구성에 있어서는, 공격 트래픽에 의해 플로우가 증대하고, 그것에 수반하여 플로우 정보 생성부에 의해 생성되는 플로우 정보의 수가 증대하나, 플로우 정보수 제한부가, 플로우 정보 생성부로부터 입력되는 플로우 정보의 수가 증대하면, 현재, 저장하고 있는 플로우 정보를 집약한다. 이 플로우 정보의 집약에 의해, 플로우 정보 송신부에는, 일정수 이하의 플로우 정보밖에 공급되지 않는다. 따라서, 플로우 정보 송신부가, 계측용 네트워크상으로 송출하는 플로우 정보의 수도 일정수 이하로 제한된다.
또, 플로우 정보 송신부에는, 일정수 이하의 플로우 정보밖에 공급되지 않으므로, 플로우 정보 송신부 내의 버퍼가 넘쳐 플로우 정보가 결락하는 경우도 없다. 따라서, 트랜스포트 프로토콜에 폭주 제어 기능이 있는 TCP와 SCTP를 이용한 경우에 발생했던, 플로우 정보 송신부 내의 버퍼의 파탄에 의한 플로우 정보의 결락때문에, 관측한 트래픽 전체의 정보를 정확히 송신할 수 없다는 문제도 발생하지 않는다.
발명의 효과
본 발명에 따르면, 플로우의 증대에 관계없이, 계측용 네트워크상에는, 일정수 이하의 플로우 정보밖에 송신되지 않으므로, 트랜스포트 프로토콜에 폭주 제어 기능이 없는 UDP를 이용한 경우에 있어서 발생했던 계측용 네트워크에 있어서의 통신의 폭주를 억제할 수 있다.
또, 트랜스포트 프로토콜에 폭주 제어 기능이 있는 TCP와 SCTP를 이용한 경우에 발생했던 플로우 정보 송신부 내의 버퍼의 파탄에 의한 플로우 정보의 결락을 억제할 수 있으므로, 관측한 트래픽 전체의 정보를 정확히 측정용 단말로 송신할 수 있다.
도 1은 본 발명이 적용되는 정보통신시스템의 일 예를 나타내는 블록도이다.
도 2는 본 발명의 플로우 정보 제한장치의 일 실시형태인 노드의 구성을 나타내는 블록도이다.
도 3은 도 2에 나타내는 플로우 정보수 제한 기능부에서 관리되는 관리용 버퍼 구조의 일 예를 나타내는 모식도이다.
도 4는 플로우 정보 및 데이터 구조 정의 정보를 설명하기 위한 도이다.
도 5는 옵션 정보에 의한 통지방법을 설명하기 위한 도이다.
도 6은 조건 우선도를 부여한 정의 정보 및 그것에 의해 전개되어 사용되는 조건의 일 예를 나타내는 모식도이다.
도 7은 조건 우선도를 부여한 정의 정보(definition information) 및 그것에 의해 전개되어 사용되는 조건의 다른 예를 나타내는 모식도이다.
도 8은 우선순위에 관한 외부입력을 접수할 수 있는 플로우 정보 처리부의 구성을 나타내는 블록도이다.
도 9는 정의 정보의 입력 형식을 설명하기 위한 도이다.
도 10은 정의 정보의 다른 입력 형식을 설명하기 위한 도이다.
도 11은 도 2에 나타내는 플로우 정보수 제한 기능부에서 수행되는 플로우 정보 집약 처리의 일 수순을 나타내는 흐름도이다.
도 12는 도 2에 나타내는 플로우 정보수 제한 기능부에 의한 플로우 정보 집 약의 일 예를 나타내는 모식도이다.
도 13은 도 2에 나타내는 플로우 정보수 제한 기능부에 의한 플로우 정보 집약의 다른 예를 나타내는 모식도이다.
도 14는 도 2에 나타내는 플로우 정보수 제한 기능부에 의한 플로우 정보 집약의 또다른 예를 나타내는 모식도이다.
도 15는 검색용 인덱스의 작성 수순을 설명하기 위한 도이다.
도 16은 검색용 인덱스의 다른 작성 수순을 설명하기 위한 도이다.
도 17은 조건마다 트리구조를 재작성하는 경우의 효율저하를 억제하는 방법을 설명하기 위한 도이다.
도 18은 포트를 집약하는 예를 나타내는 모식도이다.
도 19는 어드레스를 집약하는 예를 나타내는 모식도이다.
도 20은 계측용 네트워크를 포함하는 정보통신시스템의 일반적인 구성을 나타내는 블록도이다.
부호의 설명
10 인터넷
11∼14 노드
20 계측용 단말
30, 41∼43 단말
200 플로우 정보 처리부
201 계측용 네트워크 인터페이스
202 플로우 생성 기능부
203 플로우 정보수 제한 기능부
204 플로우 송신 기능부
205 출력용 네트워크 인터페이스
발명을 실시하기 위한 최량의 형태
다음으로, 본 발명의 실시형태에 대해서 도면을 참조하여 설명한다.
도 1은, 본 발명이 적용되는 정보통신시스템의 일 예를 나타내는 도이다. 이 정보통신시스템은, 노드(111)를 대신해 노드(11)를 마련한 이외는, 도 20에 도시한 시스템과 동일한 것이다. 인터넷(10)은, 패킷 전송을 수행하는 복수의 노드(11∼14)를 포함하는 복수의 네트워크끼리를 상호 접속한 것이다. 노드(11∼14)는 상호 통신 가능하게 접속되어 있다. 노드(11)에는, 계측용 단말(20) 및 단말(30)이 접속되어 있다.
이 정보통신시스템에서는, 노드(11)가 플로우 정보 집약 기능을 구비한 플로우 정보 처리부(200)를 갖고 있으며, 이 점이, 도 20에 도시한 정보통신시스템과 다르다.
도 2에, 본 발명의 플로우 정보 제한장치의 일 실시형태인 노드(11)의 플로우 정보 처리부(200)의 구성을 나타낸다. 도 2를 참조하면, 플로우 정보 처리부(200)는, 계측용 네트워크 인터페이스(201), 플로우 생성 기능부(202), 플로우 정보수 제한 기능부(203), 플로우 송신 기능부(204) 및 출력용 네트워크 인터페이 스(205)를 갖는다.
계측용 네트워크 인터페이스(201)는, 각 단말로부터 인터넷(10)을 통해서 도달하는 패킷을 각각 수집하는 복수의 네트워크 인터페이스로 이루어진다. 계측용 네트워크 인터페이스(201)에서 수집된 패킷은 플로우 생성 기능부(202)로 공급된다.
플로우 생성 기능부(202)는, NetFlow, IPFIX 등의 플로우 통지 프로토콜을 이용하는 기존의 송신기기가 구비하고 있는 플로우 생성 기능부로, 계측용 네트워크 인터페이스(201)를 통해서 수집된 패킷의 헤더 정보에 기초하여 플로우 정보를 생성한다. 구체적으로는, 플로우 생성 기능부(202)는, 프로토콜, 소스 IP 어드레스, 수신처 IP 어드레스, 소스 포트 및 수신처 포트 등, 패킷의 헤더에 포함되는 정보, 또는 경로 정보 등의 패킷의 헤더로부터 판단되는 정보가 동일한 패킷을 동일한 통신에 속하는 패킷으로 간주하여, 그 패킷의 집합인 플로우에 대한 정보(플로우 정보)를 생성한다. 이 플로우 정보의 생성에서는, 플로우화하기 위한 조건에 기초하는 시간정보 갱신 등의 처리도 수행된다. 일반적으로 플로우 정보는, 프로토콜, 소스 IP 어드레스, 수신처 IP 어드레스, 소스 포트 및 수신처 포트의 각 정보를 포함하는 경우가 많다. 플로우 생성 기능부(202)에서 생성된 플로우 정보는, 플로우 정보수 제한 기능부(203)로 공급된다.
플로우 정보수 제한 기능부(203)는, 플로우 생성 기능부(202)로부터 입력되는 플로우 정보를 일시적으로 저장하여 관리하기 위한 관리용 버퍼부를 구비하고, 상기 관리용 버퍼부로부터 플로우 정보를 독출하여 플로우 송신 기능부(204)로 공 급한다. 관리용 버퍼부에서 관리하는 플로우 정보수의 상한값이 미리 설정되어 있으며, 플로우 정보수 제한 기능부(203)는, 플로우 생성 기능부(202)로부터 일정 시간당 공급되는 플로우 정보의 수가 증대하여, 관리용 버퍼부에 저장되어 관리되고 있는 플로우 정보의 수가 상한값을 초과하면, 관리용 버퍼부에 저장되어 있는 플로우 정보군을 집약후보와 비집약 플로우 정보로 나누어, 집약후보에 대해서 집약 처리를 수행한다. 상한값은, 계측용 네트워크의 통신능력(노드(11)와 계측용 단말(20) 사이의 네트워크의 통신능력), 플로우 송신 기능부(204)의 처리능력 및 관리용 버퍼부로부터의 독출 속도 등을 고려하여, 괸리용 버퍼부와 플로우 송신 기능부(204)의 내부 버퍼가 파탄하지 않고, 계측용 네트워크의 통신에 폭주가 생기지 않도록 하는 값이 된다. 집약후보의 트래픽 계측에 있어서의 중요성은, 비집약 플로우 정보보다 낮다.
플로우 송신 기능부(204)는, NetFlow, IPFIX 등의 플로우 통지 프로토콜을 이용하는 기존의 송신기기가 구비하고 있는 플로우 송신 기능부로, 플로우 정보수 제한 기능부(203)로부터 공급된 플로우 정보를 일시적으로 저장하기 위한 내부 버퍼를 구비하고, 내부 버퍼로부터 독출한 플로우 정보를 적절한 사이즈로 패킷화하여 계측용 패킷을 생성하고, 상기 계측용 패킷에 전용의 헤더를 부여하여 출력용 네트워크 인터페이스(205)로부터 네트워크상으로 송출한다. 출력용 네트워크 인터페이스(205)로부터 송출된 계측용 패킷은, 계측용 단말(20)로 공급된다. 계측용 네트워크 인터페이스(201)와 출력용 네트워크 인터페이스(205)는 물리적으로 같은 것이어도 좋다.
플로우 생성 기능부(202)가 생성한 플로우 정보를 저장하는 버퍼, 플로우 정보 제한 기능부(203)가 관리하기 위한 관리용 버퍼부, 플로우 송신 기능부(204)가 플로우 정보를 일시적으로 저장하기 위한 버퍼는 그 기억영역의 일부 또는 전체가 각각 독립하고 있어도 공유되고 있어도 좋다.
다음으로, 노드(11)의 동작을 구체적으로 설명한다.
노드(11)에서는, 플로우 정보수 제한 기능부(203)가, 플로우 생성 기능부(202)로부터 입력되는 플로우 정보의 수에 관계없이, 플로우 송신 기능부(204)에 대해서, 일정수 이하의 플로우 정보밖에 송신하지 않으므로, 노드(11)로부터 계측용 단말(20)에 송신되는 계측용 패킷의 양도 일정수 이하로 제한된다.
도 3에, 플로우 정보수 제한 기능부(203)에서 관리되는 관리용 버퍼 구조의 일 예를 나타낸다. 관리용 버퍼는, 플로우 생성 기능부(202)로부터 입력되는 플로우 정보가 계측 목적에 따른 순위매김에 기초하여 재배열되어 저장되는 버퍼(B1)와, 플로우 생성조건의 각 항목의 조합으로 이루어지는, 집약하는 조건에 포함되는 비교항목이 다른 복수의 집약조건의 각각에 대응하여 마련된 버퍼(B2∼B7)를 갖는다.
버퍼(B1)는, 비집약(B1-1)과 집약후보(B1-2)로 이루어진다. 버퍼(B1)에 저장되는 각 플로우 정보는, 플로우 생성 기능부(202)에서의 플로우 정보의 생성에 있어서 이용한, 동일 통신에 속하는 패킷을 식별하기 위한 조건(플로우 생성조건)을 만족하는 플로우 정보이다. 여기에서는, 플로우 생성조건은, 프로토콜, 소스 IP 어드레스, 수신처 IP 어드레스, 소스 포트 및 수신처 포트의 5개의 항목에 관한 조건 으로 되어 있다.
또한, 플로우 생성조건은, 상기 5개의 항목에 한정되는 것은 아니다. MAC 어드레스, IP 어드레스, 포트 번호 등을 비롯한 패킷 헤더에 기초하는 정보, 또는, 그들 정보로부터 판단되는 Next hop과 AS 번호 등의 경로 제어에 관한 정보 등을, 플로우 생성조건으로서 이용할 수 있다. 마찬가지로, 집약완료 정보를 관리하는 버퍼도 본래 조건의 항목 일부를 삭제하여 작성되기 때문에, 도 3 중의 버퍼(B2∼B7)에 예시하는 조건에 한정되는 것은 아니다.
NextFlow, IPFIX와 같은 플로우 정보를 다른 기기에 통지하기 위한 프로토콜을 이용한 경우, 계측용 단말(20)에 대해서는, 관측된 트래픽의 플로우 정보와, 그 플로우 정보의 포맷을 정의하기 위한 데이터 구조 정의 정보(템플릿이라 불린다)가 송신된다.
도 4에, 플로우 정보 및 데이터 구조 정의 정보의 일 예를 나타낸다. 이 정의 정보에 따르면, 정의 정보·플로우 정보 공통의 4바이트의 헤더 뒤에, 정의정보용 4바이트의 헤더가 이어지고, 그 뒤에, 플로우 정보를 구성하는 항목이 열거된다.
정의 정보·플로우 정보 공통의 4바이트의 헤더에서는, Set ID라 불리는 ID가 2바이트로 나타나고, 다음의 2바이트로 정보의 길이가 나타난다. Set ID는, 통상의 정의 정보인지, 후술하는 옵션용 정의 정보인지, 그들 정의 정보에 대응하는 플로우 정보·옵션 정보인지를 구별하기 위해서 이용된다. NetFlow의 경우는, 0이 통상의 정의 정보에 대응하고, 1이 옵션 정보에 대응하고, 256 이상의 값이 플로우 정보·옵션 정보에 대응한다. IPFIX의 경우는, 2가 통상의 정의 정보에 대응하고, 3이 옵션 정보에 대응하고, 256 이상의 값이 플로우 정보·옵션 정보에 대응한다.
정의정보·플로우 정보 공통의 4바이트의 헤더에 이어지는 통상의 정의 정보용 헤더는, 2바이트의 템플릿 ID와 2바이트의 필드 카운트로 구성된다. 2바이트의 템플릿 ID는, 어느 플로우 정보의 데이터 구조를 정의하는지를 나타내기 위한 것이며, 대응하는 플로우 정보의 Set ID와 동일하게 된다. 필드 카운트는, 이것에 이어지는 항목수를 나타낸다.
필드 정보를 구성하는 각 항목은 4바이트마다 하나의 정보를 나타낸다. 4바이트 중의 전반의 2바이트는 항목의 ID를 나타내고, 후반의 2바이트는 항목의 사이즈(바이트수)를 나타낸다. 도 4에 도시한 예에서는, 필드 정보를 구성하는 항목이 12개 있고, 각각의 항목의 ID 및 바이트 수가 나타나 있다. 예를 들면, 최초의 항목에서는, IPv4의 소스 어드레스를 나타내는 sourceIPv4Address(ID:8번)가 4바이트인 것이 나타나고, 다음의 항목에서는, IPv4의 수신처 어드레스를 나타내는 distinationIPv4Address(ID:12번)가 4바이트인 것이 나타나 있다. 이와 같이 각 항목에 따라 플로우 정보의 데이터 구조가 정의되어 있다.
도 4에 도시한 필드 정보를 구성하는 각 항목 모두가 플로우 생성조건으로서 이용되는 것은 아니다. 예를 들면, 패킷량과 바이트량을 나타내는 카운트(도 4 중의 packetDeltaCount(ID:2번), octetDeltaCount(ID:1번))와 시간정보(도 4 중의 flowStartSysUpTime(ID:22번), flowEndSysUpTime(ID:21번))는, 플로우 생성조건으로서 이용할 수는 없다. 이 이외의 항목에 대해서도, 반드시 모두 플로우 생성조건 으로서 이용하는 것은 아니며, IPFIX의 경우, 다른 옵션 정보에 의해 명시적으로 플로우 생성조건이 되는 항목이 통지된다. 또한, NetFlow에서는, 그와 같은 통지 기능은 없기 때문에, 기기 실장 의존이 된다. IPFIX의 경우, 플로우 생성조건이 되는 항목은 플로우 키(Flow Key)라 불리고 있다.
도 5에, 옵션 정보에 의한 통지방법을 모식적으로 나타낸다. 옵션 정보를 나타내는 경우, 옵션 데이터 구조 정의 정보와 옵션 정보의 관계는, 통상의 플로우 데이터 구조 정의 정보와 플로우 정보의 관계와 같다. 단, 옵션 정보에는, 스코프(Scope)라 불리는 정보의 범위를 나타내는 정보가 부여된다.
옵션 데이터 구조 정의 정보는, 필드 카운트에 이어서, 2바이트의 스코프 필드 카운트가 부여되고, 그 뒤에 항목이 열거된다. 항목 중 최초의 스코프 필드 카운트가 부여된 수가 스코프(scope)가 된다. 도 5에 도시한 예에서는, Template ID(상술한 템플릿 ID와 용도는 같음)가 스코프가 된다. 또, 플로우 생성조건을 나타내는 flowkeyIndicator가 정의된다.
옵션 데이터 구조 정의 정보에 따라서 옵션 정보의 포맷이 작성되고, 옵션 정보로서 구체적인 값이 설정된다. 예를 들면, 도 4에 도시한 플로우 정보에 대한 옵션 정보를 나타내기 위해서는, Template ID에 대응하는 값은 256이 된다. flowKeyIndicator는, 64bit의 비트맵으로 되어 있으며, 1bit씩 1항목이 플로우 생성조건으로서 이용할 수 있는지를 나타낸다. 즉, flowKeyIndicator는, 선두로부터 최대 64개의 항목에 관해서, 플로우 생성조건으로서 이용하고 있는지 여부를 나타내는 정보를 설정할 수 있다.
도 4에 도시한 정의 정보 중, sourceIPv4Address, destinationIPv4Address, protocolIdentifier, sourceTransportPort, destinationTransportPort가 플로우 생성조건인 경우, 각각 선두로부터 1번째, 2번째, 6번째, 7번째, 8번째에 위치하기 때문에, flowKeyIndicator의 데이터는 1bit째, 2bit째, 6bit째, 7bit째, 8bit째가 각각 1이 된다.
이들의 플로우 정보 통지용 프로토콜을 이용하는 경우, 이용자는, 송신하고 싶은 플로우 정보에 포함시킬 항목의 ID와 사이즈를 지정하게 된다. 본 실시형태에서는, 또한, 플로우 생성조건에 이용하는 조건에 대해서, 이용자에 의해 설정된 우선순위를 부여한다. 이 우선순위가 낮은 것부터 조건을 삭제함으로써 새로운 조건을 작성한다.
도 6 및 도 7에, 조건 우선도를 부여한 정의 정보 및 그것에 의해 전개되어 사용되는 조건의 일 예를 나타낸다.
도 6에 도시하는 예에서는, sourceIPv4Address, destinationIPv4Address, protocolIdentifier, sourceTransportPort, destinationTransportPort의 5개의 항목에 대해서 조건의 우선순위로서 다른 값이 주어져 있다. 이 우선순위에 따르면, 삭감수가 0인 경우, 삭감수가 1인 경우, 삭감수가 2인 경우, 삭감수가 3인 경우, 삭감수가 4인 경우의 각각에서 하나의 조건 세트가 생성되므로, 최대 5개의 조건 세트가 생성되게 된다.
복수의 항목에 대해서 같은 우선순위가 주어진 경우는, 동일 우선순위의 항목은 배타적으로 이용된다. 도 7에 도시하는 예에서는, sourceIPv4Address 및 destinationIPv4Address 항목의 우선순위가 2가 되고, protocolIdentifier 항목의 우선순위가 1이 되고, sourceTransportPort 및 destinationTransportPort 항목의 우선순위가 4가 되어 있다. 이 우선순위에 따르면, 삭감수가 0인 경우에 하나의 조건 세트가 생성되고, 삭감수가 1인 경우에 2개의 조건 세트가 생성되고, 삭감수가 2인 경우에 하나의 조건 세트가 생성되고, 삭감수가 3인 경우에 2개의 조건 세트가 생성되고, 삭감수가 4인 경우에 하나의 조건 세트가 생성되므로, 최대 7개의 조건 세트가 생성되게 된다.
이들 우선순위에 관한 외부입력을 접수하기 위해서, 플로우 정보 처리부(200)를 도 8에 도시하는 바와 같은 구성으로 해도 좋다. 도 8에 도시하는 플로우 정보 처리부(200)는, 도 2에 도시한 구성에 더하여 제어부(206)를 구비한다. 플로우 생성 기능부(202), 플로우 정보수 제한 기능부(203) 및 플로우 송신 기능부(204)의 각각은, 제어부(206)와의 사이에서 정보를 송수신한다. 정의 정보의 입력 형식은, 도 9에 도시하는 바와 같은 cvs(콤마 구분 텍스트)와 스페이스·탭 구분 텍스트이어도 좋으며, 또, 도 10에 도시하는 바와 같은, XML 등의 기술언어를 이용한 것이어도 좋다. 도 10에 도시하는 예는, IETF에 제안되어 있는 "Configuration Data Model for IPFIX and PSAMP"(http://tools.ietf.org/wg/ipfix
/draft-muenz-ipfix-configuration-01.txt(2006년 5월 15일 입수)의 기술방식에, flowKeyPrecedence라는 조건의 우선순위를 나타내는 요소를 독자로 추가한 것이다.
플로우 생성 기능부(202)에서 생성된 정보는, 플로우 정보수 제한 기능부(203)로 공급되고, 거기서, 플로우 송신 기능부(204)로 송신되기 전에, 플로우 집약조건에서 삭제된 항목이 템플릿으로부터 삭제되거나, 또는, flowKeyIndicator의 비트맵으로부터 제외된다. 이들은 모두, 다른 템플릿으로서 취급할 필요가 있기 때문에, 플로우 송신 기능부(204)에서 다른 템플릿 ID가 부여되어 출력용 네트워크 인터페이스(205) 경유로 송신된다. 이와 같이, 플로우 정보수 제한 기능부(203)가, 플로우 생성 기능부(202)가 수행하는 플로우 정보의 생성에 이용되는 패킷의 속성에 대응하는 항목과 외부입력된 상기 항목의 우선순위를 보유하고, 상기 우선순위가 최하위인 항목을 플로우 정보 생성의 항목으로부터 삭제하는 처리를 반복하여 수행함으로써, 비교항목을 단계적으로 변경한다.
계측 목적에 따른 재배열은, 예를 들면, 계측 목적이 DoS 등의 공격에 의해 통신되는 데이터량이 증대한 트래픽의 검출인 경우는, 플로우 정보에 포함되어 있는 데이터량의 대소관계에 기초하여 플로우 정보를 재배열한다. 계측 목적이 TCP SYN DoS 등의 공격에 관한 트래픽의 검출인 경우는, 플로우 정보에 포함되어 있는 SYN 등의 메시지 수의 대소관계에 기초하여 플로우 정보를 재배열한다. 계측 목적이 복수의 항목으로 이루어지는 경우는, 플로우 정보에 포함되어 있는, 각각의 항목의 데이터 수에 대해서, 우선순위와 가중을 수행한 후에, 플로우 정보를 재배열한다. 또한 그들의 값의 표준편차·분산값 등의 통계값도 재배열의 지표로서 이용할 수 있다. 재배열의 방법도 목적에 따라서 내림순, 올림순을 전환하는 것이 가능하다.
비집약(B1-1)에는, 외부로부터 주어진 비집약수에 기초하여, 재배열이 수행된 플로우 정보군의 상위 비집약 수개의 플로우 정보가 비집약 플로우 정보로서 저 장되고, 집약후보(B1-2)에는, 재배열이 수행된 플로우 정보군의 비집약 플로우 정보 이외의 플로우 정보가 집약후보로서 저장된다. 도 3 중, 비집약(B1-1) 및 집약후보(B1-2)에 저장된 정보 플로우는, 도면을 마주보아 좌측으로 갈수록 순위가 낮고, 우측으로 갈수록 순위가 높게 되어있다.
버퍼(B2)에는, 플로우 생성조건 중, 프로토콜, 소스 어드레스, 수신처 어드레스 및 수신처 포트의 4개의 항목(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다. 버퍼(B3)에는, 플로우 생성조건 중, 프로토콜, 소스 어드레스, 수신처 어드레스 및 소스 포트의 4개의 항목(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다.
버퍼(B4)에는, 플로우 생성조건 중, 프로토콜, 소스 어드레스 및 수신처 어드레스의 3개의 항목(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다. 버퍼(B5)에는, 플로우 생성조건 중, 프로토콜 및 수신처 어드레스의 2개의 항목(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다. 버퍼(B6)에는, 플로우 생성조건 중, 프로토콜 및 소스 어드레스의 2개의 항목(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다. 버퍼(B7)에는, 플로우 생성조건 중 프로토콜(집약조건)이 합치하는 플로우 정보를 집약한 집약완료 플로우 정보군이 저장된다.
집약조건은, 조건을 구성하는 항목이 많은 쪽부터, 버퍼 B2, B3, B4, B5, B6, B7의 순번으로 되어있다. 도 3 중에서는, 도면을 마주보아 상측일수록, 조건을 구성하는 항목이 많게 되어 있으며, 하측일수록, 조건을 구성하는 항목이 적게 되 어 있다.
관리용 버퍼부에 저장되어 관리되고 있는 플로우 정보의 수가 상한값 이하인 경우는, 플로우 정보수 제한 기능부(203)는, 버퍼(B1)로부터 플로우 정보를 순차 독출하여 플로우 송신 기능부(204)에 공급한다. 관리용 버퍼부에 저장되어 관리되고 있는 플로우 정보의 수가 상한값을 초과한 경우는, 플로우 정보수 제한 기능부(203)는, 버퍼(B1)에 저장되어 있는 플로우 정보에 대해서 계측 목적에 따른 재배열을 수행하여, 상위의 플로우 정보를 비집약(B1-1)에 저장하고, 하위의 플로우 정보를 집약후보(B1-2)에 저장한다. 그리고, 집약후보(B1-2)에 저장한 플로우 정보(집약후보)에 대해서, 플로우 정보 집약 처리를 실행한다. 비집약(B1-1)에 저장한 플로우 정보는, 집약되지 않고, 순차 독출되어, 플로우 송신 기능부(204)에 공급된다.
또한, 여기에서는, 관리되고 있는 플로우 정보의 수가 상한값을 초과한 경우에 버퍼(B1)에 저장되어 있는 플로우 정보의 재배열을 수행하도록 되어 있으나, 삽입 소트 등의 알고리즘을 이용하여, 플로우 생성 기능부(202)로부터 공급되는 플로우 정보를 재배열한 상태에서 버퍼(B1)에 저장하도록 해도 좋다.
다음으로, 플로우 정보수 제한 기능부(203)에서 수행되는 플로우 정보 집약 처리에 대해서 구체적으로 설명한다. 도 11에, 그 플로우 정보 집약 처리의 일 수순을 나타낸다.
우선, 관리용 버퍼부에 저장되어 관리되고 있는 플로우 정보의 수가 상한값을 초과했는지 여부를 판단한다(단계 S1). 이 판단은, 일정시간 걸러, 또는, 플로 우 생성 기능부(202)로부터 플로우 정보가 입력될때마다 수행된다.
관리되고 있는 플로우 정보의 수가 상한값을 초과한 경우는, 버퍼(B1)에 저장되어 있는 플로우 정보의 재배열을 수행하여 집약후보와 비집약 플로우 정보로 나눈다(단계 S2). 다음으로, 집약후보 중의 순위가 가장 낮은 플로우 정보를 집약 대상으로서 추출한다(단계 S3). 다음으로, 초기 집약조건을 설정한다(단계 S4). 초기 집약조건은, 플로우 생성조건보다 1개 항목이 적은 조건이며, 구체적으로는, 도 3에 도시한 버퍼(B2)에 관한 집약조건이다. 다음으로, 검색 대상 버퍼로서 집약조건에 대응하는 버퍼를 설정한다(단계 S5). 도 3에 도시한 버퍼(B2)에 관한 집약조건이 설정된 경우는, 버퍼(B2)가 검색 대상 버퍼가 된다.
다음으로, 검색 대상 버퍼 내에, 집약대상으로 설정된 집약조건의 전 항목이 일치하는 집약완료 플로우 정보가 있는지 여부를 판정한다(단계 S6). 집약조건의 전 항목이 일치하는 집약완료 플로우 정보가 있는 경우는, 집약 대상을 그 집약완료 플로우 정보와 집약하여 현재 설정되어 있는 집약조건에 대응하는 버퍼에 저장한다(단계 S7). 검색시에 집약조건의 전 항목이 일치하는 집약완료 플로우 정보가 복수 검색된 경우는, 그들 전체의 집약완료 플로우 정보와 집약 대상을 집약한다.
단계 S6에서 집약조건의 전 항목이 일치하는 집약완료 플로우 정보가 없다고 판단된 경우는, 단계 S5에서 설정한 대상 버퍼가 집약후보(B1-2)인지 여부를 판단한다(단계 S8). 대상 버퍼가 집약후보(B1-2)가 아닌 경우는, 검색 대상 버퍼로서 현재보다 1개 상위의 버퍼(조건을 구성하는 항목이 많은 버퍼)를 설정하고(단계 S9), 단계 S6으로 이행한다.
단계 S8에서 대상 버퍼가 집약후보(B1-2)라고 판단한 경우는, 현재 설정되어 있는 집약조건이, 조건을 구성하는 항목이 가장 적은 조건인지 여부를 판단한다(단계 S10). 집약조건이, 조건을 구성하는 항목이 가장 적은 조건이 아닌 경우는, 집약조건을 현재보다도 항목이 1개 적은 조건으로 변경하고(단계 S11), 단계 S5로 이행한다. 집약조건이, 조건을 구성하는 항목이 가장 적은 조건인 경우는, 집약대상을, 조건을 구성하는 항목이 가장 적은 조건의 버퍼에 저장한다(단계 S12).
이상의 플로우 정보 집약 처리를, 도 3에 도시한 관리용 버퍼를 예로, 구체적으로 설명한다.
단계 S2에서, 상위의 플로우 정보를 비집약(B1-1)에 저장하고, 하위의 플로우 정보를 집약후보(B1-2)에 저장한 후, 단계 S3에서, 집약후보(B1-2)에 저장한 플로우 정보 중에서 순위가 가장 낮은 플로우 정보를 집약 대상으로서 추출한다. 도 3 중, 집약후보(B1-2) 내의, 가장 좌측에 위치하는 플로우 정보가 집약 대상이 된다.
다음으로, 단계 S4에서, 초기 집약조건으로서, 플로우 생성조건에 비하여, 조건을 구성하는 항목이 1개 적은 조건(버퍼(B2)의 집약조건)이 설정된다. 즉, 초기 집약조건으로서, 플로우 생성조건 중, 프로토콜, 소스 어드레스, 수신처 어드레스 및 수신처 포트의 4개의 항목이 설정된다. 다음으로, 단계 S5에서, 검색 대상 버퍼로서, 설정된 집약조건에 대응하는 버퍼를 설정하고, 단계 S6에서, 그 버퍼를 검색한다. 이 단계에서는, 단계 S4에서 설정한 초기 집약조건에 대응하는 버퍼(B2) 내에, 집약대상과 초기 집약조건의 전 항목이 일치하는 집약완료 플로우 정보가 있 는지 여부의 판정이 수행된다. 도 12에, 버퍼(B2) 내의 왼쪽부터 4번째의 집약완료 플로우 정보가, 집약대상과 일치하는 상태가 도시되어 있다. 이 경우, 집약대상은, 그 4번째의 집약완료 플로우 정보에 집약된다. 또한, 집약대상은, 집약후보(B1-2)로부터 삭제된다.
단계 S6에서의 판정에서 '해당 플로우 없음'이 된 경우는, 단계 S8에서, 검색 대상 버퍼가 집약후보(B1-2)인지 여부가 판단된다. 검색 대상 버퍼가 집약후보(B1-2)가 아닌 경우는, 단계 S8에서 현재보다 1개 상위의 버퍼를 검색 대상 버퍼로 설정하고, 단계 S6으로 이행하여 해당 플로우가 있는지 여부를 판단한다. 도 13에, 집약후보(B1-2) 내의 왼쪽부터 5번째의 플로우 정보가, 집약대상과 일치하는 상태가 도시되어 있다. 이 경우, 집약대상 및 5번째의 플로우 정보가 집약되어 집약완료 플로우 정보로서 버퍼(B2)에 저장된다. 또한, 집약대상 및 5번째의 플로우 정보는, 집약후보(B1-2)로부터 삭제된다. 또한, 상위 버퍼의 검색에 있어서, 집약대상과 합치하는 플로우 정보가 복수 존재하는 경우가 있다. 그와 같은 경우는, 그들 복수의 플로우 정보 모두를 집약대상과 집약한다.
단계 S6에서의 판정에서 '해당 플로우 없음'이 되고, 단계 S8에서의 판정에서 대상 버퍼가 집약후보라고 판단된 경우는, 단계 S10에서, 집약조건이, 조건을 구성하는 항목이 가장 적은 조건(버퍼(B7)에 대응하는 집약조건)인지가 판단된다. 집약조건이, 조건을 구성하는 항목이 가장 적은 조건이 아닌 경우는, 단계 S11에서, 집약조건을 현재보다 1개 항목이 적은 조건으로 변경하고, 단계 S5로 이행하여, 그 변경한 집약조건에 대응하는 버퍼를 검색 대상 버퍼로 설정한다. 예를 들 면, 버퍼(B2)의 집약조건이 초기 집약조건으로서 설정된 경우에 있어서, 버퍼(B2) 내에 검색 대상과 집약조건이 일치하는 집약완료 플로우 정보가 없고, 그리고, 집약후보(B1-2)에도 검색 대상과 집약조건이 일치하는 플로우 정보가 없는 경우는, 집약조건은, 현재보다 1개 항목이 적은 조건인 버퍼(B3)의 집약조건으로 변경되고, 집약대상 버퍼는 버퍼(B3)로 설정된다. 그리고, 변경된 집약조건에서, 버퍼(B3) 내의 검색이 수행된다. 도 14에, 버퍼(B3)에 대한 검색의 상태가 도시되어 있다. 이 예에서는, 버퍼(B3)에는, 집약대상과 집약조건이 일치하는 집약완료 플로우 정보는 없기 때문에, 단계 S6에서의 판단은 '해당 플로우 없음'이 된다.
단계 S6∼S9의 루프에서, 단계 S4 또는 단계 S11에서 설정한 집약조건으로, 대상이 되는 버퍼의 조건을 단계적으로 변경한다. 또, 단계 S5∼S11의 루프에서, 집약조건을 단계적으로 변경한다. 이 대상 버퍼 및 집약조건의 단계적인 변경에 의해, 집약에 수반하는 플로우 정보의 결락 양을 최소한으로 하고, 계측 대상인 트래픽에 있어서의 중요한 정보를 보유하는 것이 가능하게 되어 있다.
또, 이 집약 처리에 따르면, 집약조건의 항목수가 필요이상으로 적어지게 되지 않고, 집약대상을 집약할 수 있으며, 집약한 분량만큼 플로우 정보의 수가 감소한다. 또한, 도 3, 도 12∼도 14에 도시한 버퍼 구성의 예, 도 11에 도시한 알고리즘의 예에서는, 복수의 버퍼를 이동하여 처리를 수행하고 있으나, 버퍼 자체는 1개이고 버퍼 내의 각 플로우 정보에 집약의 조건을 나타내는 ID를 기록하여 식별하는 방법도 있다. 모두 집약의 조건을 구성하는 항목이 다른 경우는, 기본적으로 플로우 송신 기능부에서 창출되는 템플릿이 다르게 되며, 그 때, 템플릿 ID가 다르다. 따라서, 집약의 조건을 나타내는 ID는 템플릿 ID에 상당하는 값을 사용하면 좋다. 또, 마찬가지로 집약되어 사용하지 않게 된 플로우 정보는, 버퍼로부터 삭제하는 방법과, 실제로는 삭제하지 않고, 정보가 무효인 특별한 유의의 ID를 부여하여 참조하지 않는 방법이 있다.
도 11에 도시한 집약 처리의 변형 예로서, 단계 S2와 S3 사이에서, 초기의 플로우 정보의 집약을 수행하는 것도 생각할 수 있다. 플로우 정보는, 플로우 생성·집약조건으로서 사용되는 항목이 같은 값이라도, 플로우의 종료에 의해 다른 플로우로서 카운트되는 경우가 있다. 예를 들면, 다음과 같은 2개의 조건이 있다.
하나는, TCP 등의 커넥션형 프로토콜을 이용하는 경우로, 종료를 나타내는 메시지(TCP이면, FIN, RST 등)를 관측한 경우에, 플로우의 종료로서 간주된다. 또 하나는, 일정시간마다 데이터 송신을 수행하기 위해서, 타임아웃 시간이 마련되어 있는 경우로, 이 타임아웃 시간을 초과한 플로우는 일단 종료하고, 플로우 생성·집약조건으로서 사용되는 항목이 같은 값인 다른 플로우 정보로서 카운트된다. 타임아웃 시간으로서는, UDP 등의 커넥션형 프로토콜용의 비계속시간(최종 패킷으로부터의 경과시간)과 TCP 등의 커넥션형 프로토콜용의 계속시간(개시 패킷으로부터의 경과시간)의 2종류가 있다. 이들의 조건에 의해, 플로우 생성·집약조건으로 사용되는 항목이 같은 값이라도, 각각의 플로우로서 분단될 가능성이 있다.
플로우 집약조건을 필요이상으로 작게하지 않고, 플로우 정보를 가능한 보유하는 것을 목적으로 하는 경우, 집약조건 삭감의 처리를 수행하기 전에, 메시지와 타임아웃에 의해 분단된 플로우의 집약을 수행함으로써, 집약조건 삭감의 처리를 수행할 필요가 없어지는 경우가 있다. 이 경우는, 플로우 집약에 의한 정보의 손실을 최소한으로 그치게 할 수 있다.
또한, 도 11에 도시한 집약 처리의, 집약조건의 단계적인 변화의 처리 과정에 있어서, 이미 집약조건의 항목이 배타적인 경우는, 그 항목에 대한 검색은 수행하지 않는다. 예를 들면, 버퍼(B2)의 집약조건(프로토콜, 소스 어드레스, 수신처 어드레스 및 수신처 포트)과 버퍼(B3)의 집약조건(프로토콜, 소스 어드레스, 수신처 어드레스 및 소스 포트)은, 항목수가 같으며, 배타적이다. 따라서, 버퍼(B3)에 대응하는 집약조건에서의 검색 처리에 있어서 버퍼(B2)의 검색은 스킵하는 것이 바람직하다.
또, 단계 S4에서 설정하는 초기 집약조건은, 프로토콜, 소스 어드레스, 수신처 어드레스 및 소스 포트의 4개의 항목에 한정되는 것은 당연히 아니다. 타임아웃에 의해 분단된 플로우의 집약을 수행하는 경우는, 조건과 우선도로부터 도출되는 삭감수 0(플로우 생성조건과 동일)의 조건을 구성하는 항목이 되고, 타임아웃에 의해 분단된 플로우의 집약을 수행하지 않는 경우는, 삭감수 1의 조건을 구성하는 항목이 된다.
이상이 기본적인 조건 삭감 방법이다. 이 조건 삭감 방법에 있어서의 처리의 고속화를 수행하기 위해서, 검색용 인덱스(색인)를 작성하는 것을 생각할 수 있다. 검색용 인덱스를 이용함으로써, 검색 횟수를 삭감할 수 있다.
검색용 인덱스의 작성에는, 예를 들면 이진트리(binary partition tree)의 알고리즘을 이용할 수 있다. 밸런스 잡힌 이진트리에 의하면, Log2N의 속도로 검색 을 수행하는 것이 가능하다. 복수의 항목마다 정보를 갖는 플로우 정보를 이진트리로 보유하는 경우, 2개의 이진트리의 구축방법을 생각할 수 있다. 일반적으로, 이진트리의 구축방법에서는, 이미 저장완료한 요소의 값과 신규로 삽입하는 요소의 값을 비교하고, 그 대소관계에 의해 저장위치를 결정한다.
제1의 구축방법은, 복수 항목 중, 우선순위가 상위인 항목부터 대소비교를 수행하는 방법이다. 이 제1의 구축방법에서는, 결과로서 복수 항목의 우선순위가 상위인 항목부터 값을 상위의 자리수에 맵핑해 가서, 하나의 값으로 변환하고, 그 값을 대소비교한다.
도 15는, 제1의 구축방법에 의해 작성되는 검색용 인덱스를 설명하기 위한 도이다. 도 15에 도시하는 예에서는, 플로우 정보 A∼E에 관한 항목으로서, proto
colIdentifier(우선순위는 1), destinationTransportPort(우선순위는 2), sourceI
Pv4Address(우선순위는 3), destinationIPv4Address(우선순위는 4), sourceTranspo
rtPort(우선순위는 5)의 5개의 항목이 주어져 있다. 플로우 정보 A∼E의 사이에는, 우선순위는 설정되어 있지 않다. 이들 항목에 기초하여, 검색용 인덱스가 이하의 수순으로 작성된다.
우선, A의 플로우를 인덱스에 추가한다. 이 A는 1번째 플로우가 되므로, 루트(root)로서 설정된다.
다음으로, B의 플로우를 인덱스에 추가한다. 그리고, A 및 B의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제1 우선순위의 protocolIdentifier 및 제2 우선순위의 destinationTransportPort의 항목은, A 및 B의 플로우 간에 동일하다. 제3 우선순위의 sourceIPv4Address의 항목에 대해서, A의 플로우에 있어서의 값 '10.0.0.1'보다 B의 플로우에 있어서의 값 '10.0.0.2'이 크다. 따라서, A를 대신해 B를 루트로 하고, A는 좌측의 리프(leaf)가 된다.
다음으로, C의 플로우를 인덱스에 추가한다. 그리고, B 및 C의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제1 우선순위의 protocolIdentifier의 항목에 대해서, B의 플로우에 있어서의 값 '6'보다 C의 플로우에 있어서의 값 '17'이 크다. 따라서, C는 우측의 리프가 된다.
다음으로, D의 플로우를 인덱스에 추가한다. 그리고, B 및 D의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제1 우선순위의 protocolIdentifier의 항목에 대해서, B의 플로우에 있어서의 값 '6'보다 D의 플로우에 있어서의 값 '17'이 크다. 따라서, D는 우측 배치가 된다. 여기서, 우측에는 이미 C가 존재하므로, 이 C와 D의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제2 우선순위의 destinationTransportPort의 항목에 대해서, D의 플로우에 있어서의 값 '10.0.0.1'보다 C의 플로우에 있어서의 값 '192.168.0.1'이 크다. 따라서, D는 C의 좌측 리프(leaf)가 된다.
마지막으로, E의 플로우를 인덱스에 추가한다. 그리고, B 및 E의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제1 우선순위의 protocolIdentifier의 항목에 대해서, E의 플로우에 있어서의 값 '1'보다 B의 플로우에 있어서의 값 '6'이 크다. 따라서, E는 좌측 배치가 된다. 여기서, 좌측에는 이미 A가 존재하므로, 이 A와 E의 각 플로우 항목의 대소관계를 우선순위가 높은 항목부터 순서대로 비교한다. 제1 우선순위의 protocolIdentifier의 항목에 대해서, E의 플로우에 있어서의 값 '1'보다 A의 플로우에 있어서의 값 '6'이 크다. 따라서, E는 A의 좌측 리프가 된다.
제2의 구축방법은, 최상위의 항목부터 이진트리를 작성하고, 그 이하의 항목은, 상위 항목의 리프를 루트로 하는 방법이다. 도 16에, 제2의 구축방법에 의해 작성된 검색용 인덱스를 설명하기 위한 도이다. 도 16에 도시한 예에 있어서도, 플로우 정보 A∼E에 관한 항목으로서, 도 15에 도시한 예와 동일한 우선순위를 갖는 5개의 항목이 주어져 있으며, 이들 항목에 기초하여, 검색용 인덱스가 이하의 수순으로 작성된다.
우선, A의 플로우를 인덱스에 추가한다. 트리의 정점이 되는 포인터로서 제1 우선순위의 protocolIdentifier의 요소(값:6)가 추가되고, 이 트리의 정점이 되는 포인터는 그 요소를 가리킨다. 또한 그 요소는, 제2 우선순위를 가리키는 포인터를 보유한다. 동일하게 하여, 제2 우선순위의 destinationTransportPort의 요소(값:192.168.0.1), 제3 우선순위의 sourceIPv4Address의 요소(값:10.0.0.1), 제4 우선순위의 destinationIPv4Address의 요소(값:80), 제5 우선순위의 sourceTransp
ortPort의 요소(값:23456)가 추가되고, 그 트리 아래에 요소번호(값:A)를 나타내는 요소가 추가된다.
다음으로, B의 플로우를 추가한다. 제1 우선순위의 protocolIdentifier의 요소(값:6), 제2 우선순위의 destinationTransportPort의 요소(값:192.168.0.1)는, A의 플로우와 같기 때문에, A와 같은 트리의 요소를 지나간다. 제3 우선순위의 sourceIPv4Address의 요소(값:10.0.0.2)는, 기존 요소의 '10.0.0.1'의 우측 리프가 된다. 이 이후의 우선순위의 요소는, A의 플로우와 동일한 수순으로, 우측 리프가 된 요소에 추가되고, 그 트리 아래에 요소번호(값:B)를 나타내는 요소가 추가된다.
다음으로, C의 플로우를 추가한다. 제1 우선순위의 protocolIdentifier의 요소(값:17)는 기존의 요소(값:6)보다 크기 때문에, 우측 리프가 된다. 이 이후의 우선순위의 요소는, A의 플로우와 동일한 수순으로, 우측 리프가 된 요소에 추가되고, 그 트리 아래에 요소번호(값:C)를 나타내는 요소가 추가된다.
다음으로, D의 플로우를 추가한다. 제1 우선순위의 protocolIdentifier의 요소(값:17)는, C의 플로우와 같기 때문에, C와 같은 트리의 요소를 지나간다. 제2 우선순위의 destinationTransportPort의 요소(값:10.0,0,1)는, 기존의 요소(192.16
8.0.1)보다 작기 때문에, 좌측 리프가 된다. 이 이후의 우선순위의 요소는, A의 플로우와 동일한 수순으로, 좌측 리프가 된 요소에 추가되고, 그 트리 아래에 요소번호(값:D)를 나타내는 요소가 추가된다.
마지막으로, E의 플로우를 추가한다. 제1 우선순위의 protocolIdentifier의 요소(값:1)은 기존의 요소(값:6)보다 작기 때문에, 좌측 리프가 된다. 이 이후의 우선순위의 요소는, A의 플로우와 동일한 수순으로, 좌측 리프가 된 요소에 추가되고, 그 트리 아래에 요소번호(값:E)를 나타내는 요소가 추가된다.
상술한 제1 및 제2의 구축방법에는, 이하와 같은 특징이 있다.
제1의 구축방법에 따르면, 트리 구조가 단순하고, 트리가 깊어지지 않으며, 또한, 밸런스(평형트리)를 작성할 수 있다. 그러나, 조건을 구성하는 항목을 삭감 하여 새로운 조건을 작성하는 경우에, 재차, 트리 구조를 재작성할 필요가 있다.
한편, 제2의 구축방법에 따르면, 트리가 깊어지나, 중복하는 우선순위가 존재하지 않는 한, 한번 트리 구조를 작성하면, 조건을 삭감해도, 일부의 리프를 절약하는 것이 가능하므로, 재차 트리 구조를 재작성할 필요는 없다. 또, 예를 들면 특정의 포트를 제외하는 것과 같이, 항목마다 정보의 취급 방법을 변경할 수 있다. 단, 제2의 구축방법은, 우선순위가 중복하는 경우에는 적용할 수 없다.
상술한 제1 또는 제2의 구축방법에 의해 인덱스를 작성하여 보유하고, 플로우 정보의 생성 및 집약시에 그 보유하고 있는 인덱스를 참조하여 조건의 삭감을 수행함으로써, 생성 및 집약 처리의 효율화를 수행하는 것이 가능하다.
구체적으로는, 플로우 생성 기능부는, 관리용 버퍼에 저장되어 있는 플로우 정보에 대해서, 외부입력된 항목의 우선순위 순서에 기초하여, 플로우 정보가 보유하는 항목마다 대소비교를 반복하여 플로우 정보간의 대소를 판정하고, 그 결과를 검색용 색인으로서 보유하고, 상기 검색용 색인을 참조하여 플로우 정보의 생성을 수행한다. 이에 따라, 플로우 정보 생성시 조건(항목의 조합)의 비교 횟수를 삭감할 수 있으며, 결과적으로, 처리의 효율화를 도모할 수 있다.
또, 플로우 정보수 제한 기능부는, 관리용 버퍼에 저장되어 있는 플로우 정보에 대해서, 외부입력된 항목의 우선순위 순서에 기초하여, 플로우 정보가 보유하는 항목마다 대소비교를 반복하여 플로우 정보간의 대소를 판정하고, 그 결과를 검색용 색인으로서 보유하고, 상기 검색용 색인을 참조하여 플로우 정보의 집약을 수행한다. 이에 따라, 플로우 정보 집약시 조건(항목의 조합)의 비교 횟수를 삭감할 수 있으며, 결과적으로, 처리의 효율화를 도모할 수 있다.
또한, 제1의 구축방법에 있어서, 조건마다 트리구조를 재작성하는 경우의 효율저하를 최소한으로 억제하는 방법으로서, 과거의 동일조건의 집약후보수와 조건마다의 플로우 정보 보유수를 갖는 방법이 있다.
이 방법에서는, 플로우 정보수 제한 기능부가, 이미 보유하고 있는 상한값과 비집약수를 이용하여 산출되는 집약 후보수와 집약 결과수 및, 플로우 정보 제한시 집약조건의 각 항목마다의 플로우 수의 이력을 기록하고, 차회 이후의 집약시에 그 기록정보에 기초하여, 검색용 인덱스의 작성시에 이용하는 초기 항목수를 추측함으로써, 검색용 인덱스의 작성 횟수를 삭감한다.
여기서, 상한값은, 최종적으로 플로우 정보수 제한 기능부가 플로우 송신 기능부에 건네는 플로우 정보의 수(외부로부터 주어지거나, 혹은 관리용 버퍼의 용량으로부터 내부적으로 결정된다)이다. 비집약수는, 재배열 후에 상위에 위치하는 비집약이 되는 플로우 정보의 수(외부로부터 주어진다)이다. 집약 후보수는, 플로우 생성 기능부가 생성한 플로우 정보의 총수로부터 비집약수를 감산한 값이다. 집약 결과수는, 집약한 결과의 값, 즉 상한값으로부터 비집약수를 감산한 값이다.
이하, 플로우 정보수 제한 기능부에 의한 초기 항목수의 추측 처리를 구체적으로 설명한다.
플로우 정보수 제한 기능부는, 각회마다, 생성된 플로우 정보의 총수로부터 비집약수를 감산하여 구해지는 집약 후보수, 상한값으로부터 비집약수를 감산하여 구해지는 집약 결과수, 및 집약에 이용한 조건(플로우 키) 중 각 정보의 항 목(Information Element) 각각에 관하여, 플로우 정보의 수를 보유한다. 도 17에, 플로우 정보수 제한 기능부가 보유하는 정보의 일 예를 나타낸다. 도 17에 도시하는 예에서는, 집약 후보수, 집약 결과수, protocolIdentifier(우선순위는 1), destinationTransportPort(우선순위는 2), sourceIPv4Address(우선순위는 3), destinationIPv4Address(우선순위는 4), sourceTransportPort(우선순위는 5)라고 하는 각 항목의 정보에 대해서, 과거 5회분의 정보가 기록된다.
예를 들면, 직전의 1회의 정보를 참조하면, 집약 후보수가 120034가 되고, 집약 결과수가 20000이 된다. 그리고, 그 집약 결과수의 내역으로서, 집약조건이 제1 우선순위까지의 항목을 포함한 조건인 protocolIdentifier만(도 6의 삭감수 4의 조건)을 이용하여 집약된 결과의 플로우 수가 4가 되고, 집약조건이 제2 우선순위까지의 항목을 포함한 조건(도 6의 삭감수 3의 조건)을 이용하여 집약된 결과의 플로우 수가 6442가 되고, 집약조건이 제3 우선순위까지의 항목을 포함한 조건(도 6의 삭감수 2의 조건)을 이용하여 집약된 결과의 플로우 수가 12321이 되고, 집약조건이 제4 우선순위까지의 항목을 포함한 조건(도 6의 삭감수 1의 조건)을 이용하여 집약된 결과의 플로우 수가 1233이 되고, 집약조건이 제5 우선순위까지의 항목을 포함한 조건(도 6의 삭감수 0인 조건)을 이용하여 집약된 결과의 플로우 수가 0이 된다.
플로우 수가 0이 된 집약은 결과적으로 필요가 없는 집약으로 간주한다. 즉, 직전의 1회의 집약은, 제5 우선순위까지의 항목을 포함한 조건을 생략하고, 제4 우선순위까지의 항목을 포함한 조건으로부터 인덱스의 작성을 개시한다. 이에 따라, 처리수가 줄고, 처리속도가 향상한다.
플로우 정보수 제한 기능부에서는, 과거의 기록으로부터 집약을 생략할 수 있는 경우를 판정한다. 도 17에 도시한 예에서는, 직전의 1회, 3회, 5회에 있어서, 제5 우선순위까지의 항목을 포함한 조건을 이용한 경우에 플로우 수가 0이 되어 있다. 그리고, 1회, 3회, 5회에 있어서의 집약시의 집약 후보수는 각각, 120034, 93898, 108270이 되어 있다. 이들의 정보를 참조하면, 집약 결과수가 20000개인 경우로, 집약 대상이 되는 플로우 정보수가, 생략 가능한 상태의 최소값인 93898개 이상인 경우는, 제4 우선순위까지의 항목을 포함한 조건(즉, protocolIdentifier, sourceIPv4Address, destinationTransportPort, destinationIPv4Address 항목의 조합)으로부터 인덱스를 만들기 시작하면 된다고 추측할 수 있다. 이 경우, 제5 우선순위까지의 항목을 포함한 조건에 의한 인덱스를 작성할 필요가 없어지므로, 그만큼, 전체의 처리를 빠르게 할 수 있다.
이하, 집약의 일 예를 설명한다. 도 18에, 포트를 집약하는 예를 나타낸다. 도 18에 있어서, A 및 B는, 프로토콜, 소스 어드레스, 수신처 어드레스, 소스 포트 및 수신처 포트의 5개 항목 조건(플로우 생성조건)으로 생성된 플로우 정보이며, C는, 이들 플로우 정보 A, B를, 그 플로우 생성조건의 각 항목을 집약조건으로서 집약한 집약완료 플로우 정보이며, 이 예에서는 소스 포트가 집약조건을 구성하는 항목으로부터 삭제되어 있다. 'SA'는 소스 어드레스이고, 'DA'는 수신처 어드레스이고, 'SAMask' 및 'DAMask'는 넷마스크이고, 'SP'는 소스 포트이고, 'DP'는 수신처 포트이고, 'Packets'는 패킷수이고, 'octets'는 바이트수이고, 'First'는 플로우의 개시시간이고, 'Last'는 플로우의 종료시간이다.
집약완료 플로우 정보 C에서는, 소스 포트 'SP'의 값은 '0'이 되고, 패킷수 'Packets' 및 바이트수 'octets'는 각각, 플로우 정보 A, B의 대응하는 값을 가산한 것이 된다. 또, 개시시간 'First' 및 종료시간 'Last'는, 플로우 정보 A, B의 대응하는 시간의 합집합이 되는 범위로 설정된다. 이 예에서는, 플로우 정보 A의 개시시간 'First' 및 종료시간 'Last'는 각각 '134598098987' 및 '134598100384'가 되고, 플로우 정보 B의 개시시간 'First' 및 종료시간 'Last'는 각각 '134598098222' 및 '134598100001'이 되어 있으므로, 집약완료 플로우 정보 C의 개시시간 'First' 및 종료시간 'Last'는 각각 '134598098222' 및 '134598100384'가 된다. 이와 같이, 플로우 정보 A, B에 대해서, 소스 포트 'SP', 패킷수 'Packets', 바이트수 'octets', 개시시간 'First' 및 종료시간 'Last'를 집약함으로써 집약완료 플로우 정보 C를 얻는다. 또한, 이 예에서는, 플로우 정보 A, B에서 소스 포트에 공통항이 없기 때문에, 집약완료 플로우 정보 C에서는, 소스 포트를 '0'으로 하였으나, 복수의 플로우를 집약하는 경우는, 각 플로우 정보 중 데이터량 등 감시항목에 있어서의 임의의 양이 가장 많은 플로우의 집약항목의 값을 대표값으로서 이용해도 좋고, 소스 포트의 예에 있어서는 가장 데이터량이 많은 소스 포트 번호를 설정해도 좋다. 또, 플로우의 선두 패킷의 정보를 대표값으로서 이용해도 좋으며, 집약을 수행한 것을 나타내는 정보를 추가해도 좋다. 집약조건을 구성하는 항목을 삭감했을 때, 템플릿으로부터 해당하는 필드 정보를 구성하는 항목을 삭제하는 방식과, 템플릿으로부터는 삭제하지 않고 플로우 키로부터 삭제하는 방식을 생각할 수 있다. 전자의 경우는, 삭제된 항목은 송신되지 않기 때문에, 내부적으로 어떠한 값을 가지고 있어도 무관하다. 후자의 경우는, 삭제된 항목의 대표값이 송신된다. 또한, IPFIX 프로토콜의 규정에 따르면, 플로우 키로서 이용하지 않은 항목은, 최초로 관측된 값을 사용할 것을 권장하고 있다.
도 19에, 어드레스를 집약하는 예를 나타낸다. 도 19에 있어서, A 및 B는, 프로토콜, 소스 어드레스, 수신처 어드레스, 소스 포트 및 수신처 포트의 5개 항목 조건(플로우 생성조건)으로 생성된 플로우 정보이며, C는, 이들 플로우 정보 A, B를, 그 플로우 생성조건 중의, 프로토콜, 소스 어드레스 및 수신처 어드레스의 3개의 항목을 집약조건으로서 집약한 집약완료 플로우 정보이다.
집약완료 플로우 정보 C에서는, 도 18에 도시한 경우와 마찬가지로, 소스 포트 'SP'의 값은 '0'이 되고, 패킷수 'Packets' 및 바이트수 'octets'는 각각, 플로우 정보 A, B의 대응하는 값을 가산한 것이 되고, 개시시간 'First' 및 종료시간 'Last'는, 플로우 정보 A, B의 대응하는 시간의 합집합이 되는 범위로 설정된다. 어드레스는, 플로우 정보 A, B의 대응하는 어드레스의 값을 곱집합에 의해 얻어지는 새로운 값이 된다. 이 예에서는, 플로우 정보 A의 수신처 어드레스 '192.168.0.2'와 플로우 정보 B의 수신처 어드레스 '192.168.0.254'의 곱집합에 의해, 새로운 수신처 어드레스 '192.168.0.0'을 얻는다. 이 어드레스값의 변경에 수반하여, 넷마스크 'SAMask'도 '24'로 변경된다. 상기 템플릿으로부터 삭제하는 방식의 경우는, 집약조건을 구성하는 항목으로부터 삭제된 항목에 관한 정보는 송신되지 않으므로, 상기와 마찬가지로 내부적으로 어떠한 값을 가지고 있어도 무관하 다. 플로우 키로부터 제외하는 방식의 경우는, 여기서 예시하고 있는 IPv4 환경하에 있어서는, SAMask가 32비트 이외의 경우는, 송출하는 항목은 어드레스를 나타내는 항목(sourceIPv4Address)이 아니라, 프리픽스를 나타내는 항목(sourceIPv4Pref
ix)으로 변경하여 표현하지 않으면 안된다. 프리픽스로 변경하지 않는다면, 대표값을 이용해야 하며, 곱집합을 취하기 전의 대표값(상기한 대로 프로토콜 규정에 따르면 선두 패킷의 값이 바람직하다.)을 이용하게 된다. 또, 이 경우는, SAMask도 호스트 어드레스를 나타내는 32가 이용되게 된다.
또, 본 방식에 있어서, 일정수 이하로 제한하는 경우에, 삭감수가 가장 많은 상태에 있어서의 집약조건을 구성하는 항목이 취할 수 있는 값의 총수가 상한값으로서 일정수 이하로 제한할 수 있는 것을 보장하는 최저값이 된다.
이상 설명한 본 발명에 따르면, 공격 트래픽에 의해 플로우가 증대하고, 그에 수반하여 플로우 생성 기능부에 의해 생성되는 플로우 정보의 수가 증대하나, 플로우 정보수 제한 기능부가, 플로우 생성 기능부로부터 입력되는 플로우 정보의 수가 증대하면, 현재, 저장하고 있는 플로우 정보의 일부(집약후보)를 집약한다. 이 플로우 정보의 집약에 의해, 플로우 송신 기능부로 공급되는 플로우 정보의 일정 시간당 수가 일정수 이하로 제한된다. 따라서, 플로우 송신 기능부가, 계측용 네트워크상으로 송출하는 플로우 정보의 일정 시간당 수도 일정수 이하로 제한된다. 이와 같이, 플로우의 증대에 관계없이, 계측용 네트워크상에는, 일정수 이하의 플로우 정보밖에 송신되지 않으므로, 트랜스포트 프로토콜에 폭주 제어 기능이 없는 UDP를 이용한 경우에 있어서 발생했던 계측용 네트워크에 있어서의 통신의 폭주 를 억제할 수 있다.
게다가, 트래픽의 계측에 있어서 중요한 정보를 포함하는 플로우 정보는, 집약의 대상으로부터 제외되고, 중요하지 않은 플로우 정보를 집약하도록 되어 있으므로, 계측 목적에 있어서, 트래픽을 특징짓는 플로우 정보는 보유된다.
또한, 집약하는 조건에 포함되는 비교항목이 단계적으로 변경되므로, 필요이상으로 항목이 적은 조건에서 집약되지 않고, 집약 후의 플로우 정보에 있어서의 정보의 손실을 필요최소한으로 억제할 수 있다.
또, 플로우 송신 기능부에는, 일정수 이하의 플로우 정보밖에 공급되지 않으므로, 플로우 송신 기능부의 내부 버퍼가 넘쳐 플로우 정보가 결락하는 경우도 없다. 따라서 트랜스포트 프로토콜에 폭주 제어 기능이 있는 TCP와 SCTP를 이용한 경우에 발생했던, 플로우 송신 기능부의 내부 버퍼의 파탄에 의한 플로우 정보의 결락때문에, 관측한 트래픽 전체의 정보를 정확히 송신할 수 없다는 문제도 발생하지 않는다. 이와 같이, 트랜스포트 프로토콜에 폭주 제어 기능이 있는 TCP와 SCTP를 이용한 경우에 발생했던, 플로우 송신 기능부의 내부 버퍼의 파탄에 의한 플로우 정보의 결락을 억제할 수 있으므로, 관측한 트래픽 전체의 정보를 정확히 측정용 단말에 송신할 수 있다.
이상 설명한 본 실시형태의 플로우 정보 제한장치(노드)는, 본 발명의 일 예이며, 그 구성 및 동작은, 본 발명의 취지를 일탈하지 않는 범위에서 적절히 변경할 수 있다.
또, 플로우 생성 기능부, 플로우 정보수 제한 기능부 및 플로우 송신 기능부 의 각 기능부에 있어서의 처리는, 컴퓨터시스템을 구성하는 제어장치가 기억장치에 저장된 프로그램을 실행함으로써 실현하는 것이 가능하다. 프로그램은, CD-ROM이나 DVD 등의 디스크형의 기록매체를 통해서 제공되어도 좋으며, 또, 인터넷을 통해서 필요한 프로그램을 다운로드함으로써 제공되어도 좋다.
또, 플로우의 생성조건 및 집약조건 항목의 일 예로서, 프로토콜, 소스 IP 어드레스, 수신처 IP 어드레스, 소스 포트 및 수신처 포트의 5개 항목을 들었으나, 본 발명은 이것에 한정되는 것은 아니다. 플로우의 생성조건 및 집약조건의 항목은, 헤더 정보에 기초한 정보를 포함한다면, 이들 이외의 다른 항목을 포함하는 것이어도, 이들 항목을 포함하지 않는 것이어도 좋다. 헤더 정보에 기초한 정보란, 헤더 그 자체에 포함되어 있지 않아도, 헤더 정보로부터 판단되는 정보도 포함된다. 일 예로서는, 경로 제어 정보 등도 헤더 정보에 기초한 정보에 포함된다. 또, 헤더 정보는, 네트워크층, 트랜스포트층에 한정되지 않고, 그것보다 하위 및 상위의 프로토콜도 포함한다. 또, 플로우의 생성조건 및 집약조건의 항목 수는, 플로우의 생성 및 집약이 가능한 범위에서 적절히 설정할 수 있다.
본 국제출원은, 2006년 11월 21일에 출원된 일본국 특허출원 제2006-314299호, 및 2007년 7월 31일에 출원된 일본국 특허출원 제2007-199499호에 기초한 우선권을 주장하는 것이며, 그 전 내용을 본 국제출원에 원용한다.

Claims (10)

  1. 복수의 단말을 상호 접속하는 네트워크상에 배치되고, 상기 네트워크에 있어서의 트래픽을 계측하는 측정용 단말에 측정용 네트워크를 통해서 접속되는 플로우 정보 제한장치에 있어서,
    동일 속성을 갖는 패킷의 집합을 동일 통신의 플로우로 하고, 상기 플로우마다, 상기 패킷의 헤더 정보에 기초하여 플로우 정보를 생성하는 플로우 정보 생성부;
    상기 플로우 정보 생성부에서 생성한 플로우 정보를 일시적으로 저장하는 관리용 버퍼를 구비하고, 상기 관리용 버퍼로부터 플로우 정보를 독출하여 출력하는 플로우 정보수 제한부;
    상기 플로우 정보수 제한부로부터 출력된 플로우 정보를 패킷화하여 상기 측정용 네트워크상으로 송출하는 플로우 정보 송신부;를 가지며,
    상기 플로우 정보수 제한부는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보의 수가 미리 설정된 상한값을 초과하면, 상기 저장되어 있는 플로우 정보를, 비집약 플로우 정보와 상기 트래픽의 계측에 있어서의 중요성이 상기 비집약 플로우 정보보다 낮은 집약후보로 나누고, 상기 집약후보가 된 플로우 정보를 집약하여, 상기 관리용 버퍼에 보유되어 있는 플로우 정보의 수가 일정수 이하가 되도록 제어하는, 플로우 정보 제한장치.
  2. 제 1항에 있어서,
    상기 플로우 정보는, 상기 트래픽의 계측에 필요한 계측 정보를 포함하고,
    상기 플로우 정보수 제한부는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보를 상기 계측 정보의 양 또는 통계값의 대소관계에 기초하여 순위매김하여 재배열하고, 상기 재배열한 플로우 정보 중, 상위의 플로우 정보를 상기 비집약 플로우 정보로 하고, 하위의 플로우 정보를 상기 집약후보로 하는, 플로우 정보 제한장치.
  3. 제 1항 또는 2항에 있어서,
    상기 플로우 정보수 제한부는, 상기 플로우 정보를 집약하는 조건에 포함되는 비교항목을 단계적으로 변경하는, 플로우 정보 제한장치.
  4. 제 3항에 있어서,
    상기 플로우 정보수 제한부는, 상기 플로우 정보 생성부가 수행하는 플로우 정보의 생성에 이용되는 패킷의 속성에 대응하는 항목과 외부입력된 상기 항목의 우선순위를 보유하고, 상기 우선순위가 최하위인 항목을 상기 플로우 정보 생성의 항목으로부터 삭제하는 처리를 반복하여 상기 비교항목을 단계적으로 변경하는, 플로우 정보 제한장치.
  5. 제 1항에 있어서,
    상기 플로우 정보 생성부는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보 에 대해서, 외부입력된 항목의 우선순위의 순서에 기초하여, 상기 플로우 정보가 보유하는 항목마다 대소비교를 반복하여 플로우 정보간의 대소를 판정하고, 상기 판정결과를 검색용 색인으로서 보유하고, 상기 검색용 색인을 참조하여 상기 플로우 정보의 생성을 수행하는, 플로우 정보 제한장치.
  6. 제 1항에 있어서,
    상기 플로우 정보수 제한부는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보에 대해서, 외부입력된 항목의 우선순위의 순서에 기초하여, 상기 플로우 정보가 보유하는 항목마다 대소비교를 반복하여 플로우 정보간의 대소를 판정하고, 상기 판정결과를 검색용 색인으로서 보유하고, 상기 검색용 색인을 참조하여 상기 플로우 정보의 집약을 수행하는, 플로우 정보 제한장치.
  7. 제 6항에 있어서,
    상기 플로우 정보수 제한부는, 상기 플로우 정보 생성부가 생성한 플로우 정보의 총수로부터 재배열 후에 상위에 위치하는 비집약이 되는 플로우 정보의 수인 비집약수를 감산한 값인 집약 후보수와, 상기 상한값으로부터 상기 비집약수를 감산한 값인 집약 결과수와, 플로우 정보 제한시의 집약조건의 각 항목마다의 플로우수를 포함하는 정보의 이력을 기록하고, 상기 이력에 기초하여, 차회의 집약시에 있어서의 상기 검색용 색인의 작성에 이용되는 초기 항목수를 추측하는, 플로우 정보 제한장치.
  8. 제 5항 내지 7항 중 어느 한 항에 있어서,
    상기 검색용 색인이, 우선도가 상위인 항목의 리프를 우선도가 하위인 항목의 루트로 하는 이진트리의 데이터 구조를 갖는, 플로우 정보 제한장치.
  9. 제 3항에 있어서,
    상기 플로우 정보 생성부는, 상기 헤더 정보를 구성하는, 상기 통신에 사용된 프로토콜, 소스 어드레스, 수신처 어드레스, 소스 포트 및 수신처 포트의 각 항목이 합치하는 패킷의 집합을 플로우로 하고, 상기 플로우의 정보로서, 상기 각 항목에 관한 정보를 포함하는 플로우 정보를 생성하고,
    상기 플로우 정보수 제한부는, 상기 각 항목의 조합으로 이루어지는, 집약하는 조건에 포함되는 비교항목이 다른 복수의 집약조건의 범위에 있어서, 집약조건을 변경하여 상기 집약후보가 된 플로우 정보를 집약하는, 플로우 정보 제한장치.
  10. 복수의 단말을 상호 접속하는 네트워크상에 배치되고, 상기 네트워크에 있어서의 트래픽을 계측하는 측정용 단말에 측정용 네트워크를 통해서 접속되는 통신장치에 있어서 수행되는 플로우 정보 제한방법에 있어서,
    동일 속성을 갖는 패킷의 집합을 동일 통신의 플로우로 하고, 상기 플로우마다, 상기 패킷의 헤더 정보에 기초하여 플로우 정보를 생성하는 제1 단계;
    상기 제1 단계에서 생성한 플로우 정보를 일시적으로 관리용 버퍼에 저장하 고, 상기 관리용 버퍼로부터 플로우 정보를 독출하는 제2 단계;
    상기 제2 단계에서 출력한 플로우 정보를 패킷화하여 상기 측정용 네트워크상으로 송출하는 제3 단계;를 포함하며,
    상기 제2 단계는, 상기 관리용 버퍼에 저장되어 있는 플로우 정보의 수가 미리 설정된 상한값을 초과하면, 상기 저장되어 있는 플로우 정보를, 비집약 플로우 정보와 상기 트래픽의 계측에 있어서의 중요성이 상기 비집약 플로우 정보보다 낮은 집약후보로 나누고, 상기 집약후보가 된 플로우 정보를 집약하여, 상기 관리용 버퍼에 보유되어 있는 플로우 정보의 수가 일정수 이하가 되도록 제어하는 단계;를 포함하는, 플로우 정보 제한방법.
KR1020097009813A 2006-11-21 2007-11-20 플로우 정보 제한장치 및 방법 KR100997182B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2006314299 2006-11-21
JPJP-P-2006-314299 2006-11-21
JPJP-P-2007-199499 2007-07-31
JP2007199499A JP4658098B2 (ja) 2006-11-21 2007-07-31 フロー情報制限装置および方法

Publications (2)

Publication Number Publication Date
KR20090079945A KR20090079945A (ko) 2009-07-22
KR100997182B1 true KR100997182B1 (ko) 2010-11-29

Family

ID=39429717

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097009813A KR100997182B1 (ko) 2006-11-21 2007-11-20 플로우 정보 제한장치 및 방법

Country Status (6)

Country Link
US (1) US8239565B2 (ko)
EP (1) EP2086183B1 (ko)
JP (1) JP4658098B2 (ko)
KR (1) KR100997182B1 (ko)
CN (1) CN101536437B (ko)
WO (1) WO2008062787A1 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9026674B1 (en) * 2010-03-22 2015-05-05 Satish K Kanna System and method for accurately displaying communications traffic information
CN101563908B (zh) * 2006-12-19 2013-01-09 国际商业机器公司 分析网络流的装置和方法
US9258217B2 (en) * 2008-12-16 2016-02-09 At&T Intellectual Property I, L.P. Systems and methods for rule-based anomaly detection on IP network flow
US8125920B2 (en) * 2009-03-04 2012-02-28 Cisco Technology, Inc. System and method for exporting structured data in a network environment
US8443434B1 (en) * 2009-10-06 2013-05-14 Palo Alto Networks, Inc. High availability security device
US8724487B1 (en) 2010-02-15 2014-05-13 Cisco Technology, Inc. System and method for synchronized reporting in a network environment
CN102075412B (zh) * 2010-10-22 2013-06-19 北京神州绿盟信息安全科技股份有限公司 一种网络数据传输速率控制设备及方法
KR101433420B1 (ko) * 2010-11-16 2014-08-28 한국전자통신연구원 플로우 기반 데이터 병렬 처리 장치 및 방법
EP2530874B1 (en) * 2011-06-03 2020-04-29 AirMagnet, Inc. Method and apparatus for detecting network attacks using a flow based technique
US9674207B2 (en) * 2014-07-23 2017-06-06 Cisco Technology, Inc. Hierarchical attack detection in a network
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10674394B2 (en) * 2017-10-27 2020-06-02 Futurewei Technologies, Inc. Method and apparatus for reducing network latency
US10999167B2 (en) * 2018-04-13 2021-05-04 At&T Intellectual Property I, L.P. Varying data flow aggregation period relative to data value
US11546185B2 (en) * 2020-04-27 2023-01-03 Hewlett Packard Enterprise Development Lp Multicast route summarization
WO2023105647A1 (ja) * 2021-12-07 2023-06-15 日本電信電話株式会社 フロー情報収集システム、フロー情報収集方法、および、フロー情報収集プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003244321A (ja) 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> トラヒックデータ生成装置
JP2005010756A (ja) 2003-05-23 2005-01-13 Olympus Corp 光学系
JP2006050442A (ja) 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック監視方法及びシステム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7466703B1 (en) * 1998-05-01 2008-12-16 Alcatel-Lucent Usa Inc. Scalable high speed router apparatus
US6570875B1 (en) * 1998-10-13 2003-05-27 Intel Corporation Automatic filtering and creation of virtual LANs among a plurality of switch ports
US6671258B1 (en) * 2000-02-01 2003-12-30 Alcatel Canada Inc. Dynamic buffering system having integrated random early detection
JP3994614B2 (ja) * 2000-03-13 2007-10-24 株式会社日立製作所 パケット交換機、ネットワーク監視システム及びネットワーク監視方法
US6836466B1 (en) * 2000-05-26 2004-12-28 Telcordia Technologies, Inc. Method and system for measuring IP performance metrics
AU2001281150A1 (en) * 2000-08-07 2002-02-18 Xacct Technologies Limited System, method and computer program product for processing network accounting information
US20020035698A1 (en) 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US7039013B2 (en) * 2001-12-31 2006-05-02 Nokia Corporation Packet flow control method and device
US7286482B2 (en) * 2002-11-29 2007-10-23 Alcatel Lucent Decentralized SLS monitoring in a differentiated service environment
US7701863B2 (en) * 2002-12-12 2010-04-20 Alcatel Lucent Decentralized SLS monitoring for throughput in a differentiated service environment
US7453806B2 (en) * 2003-06-26 2008-11-18 International Business Machines Corporation Dynamic data packet flow control for packet switching node
US7385924B1 (en) * 2003-09-30 2008-06-10 Packeteer, Inc. Enhanced flow data records including traffic type data
US7515591B1 (en) * 2004-08-31 2009-04-07 Adtran, Inc. Primary channel bank-resident mechanism for scheduling downstream data transmissions to ports of multiple channel banks
JP2005210756A (ja) 2005-04-08 2005-08-04 Hitachi Ltd ネットワーク監視方法
US7738375B1 (en) * 2005-08-19 2010-06-15 Juniper Networks, Inc. Shared shaping of network traffic
US20070140282A1 (en) * 2005-12-21 2007-06-21 Sridhar Lakshmanamurthy Managing on-chip queues in switched fabric networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003244321A (ja) 2002-02-15 2003-08-29 Nippon Telegr & Teleph Corp <Ntt> トラヒックデータ生成装置
JP2005010756A (ja) 2003-05-23 2005-01-13 Olympus Corp 光学系
JP2006050442A (ja) 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> トラヒック監視方法及びシステム

Also Published As

Publication number Publication date
EP2086183B1 (en) 2013-01-30
EP2086183A4 (en) 2010-01-06
CN101536437B (zh) 2012-02-01
JP4658098B2 (ja) 2011-03-23
KR20090079945A (ko) 2009-07-22
CN101536437A (zh) 2009-09-16
JP2008154204A (ja) 2008-07-03
WO2008062787A1 (fr) 2008-05-29
US20100070647A1 (en) 2010-03-18
EP2086183A1 (en) 2009-08-05
US8239565B2 (en) 2012-08-07

Similar Documents

Publication Publication Date Title
KR100997182B1 (ko) 플로우 정보 제한장치 및 방법
US11700275B2 (en) Detection of malware and malicious applications
US7787442B2 (en) Communication statistic information collection apparatus
Xiong et al. Robust dynamic network traffic partitioning against malicious attacks
JP4341413B2 (ja) 統計収集装置を備えたパケット転送装置および統計収集方法
US8005012B1 (en) Traffic analysis of data flows
Tammaro et al. Exploiting packet‐sampling measurements for traffic characterization and classification
US8311039B2 (en) Traffic information aggregating apparatus
CN101399711B (zh) 网络监视装置以及网络监视方法
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
CN1953392A (zh) 异常通信量的检测方法和数据包中继装置
US7478156B1 (en) Network traffic monitoring and reporting using heap-ordered packet flow representation
CN114050994B (zh) 一种基于SRv6的网络遥测方法
WO2020121294A1 (en) A system and a method for monitoring traffic flows in a communications network
CN110198315A (zh) 一种报文处理的方法及装置
KR100770643B1 (ko) Tcam을 이용한 고성능 패킷 분류 방법 및 그 장치
JP2018029303A (ja) 通知システムおよび通知方法
JP6883470B2 (ja) パケット中継装置及びパケット中継システム
WO2021001879A1 (ja) トラフィック監視装置、およびトラフィック監視方法
CN116016391A (zh) 一种基于nat网关的报文转发方法及系统
JP2011049757A (ja) フロー情報生成装置、記憶方法及びプログラム
JP2007243428A (ja) パケット集約方法、装置、およびプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131120

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141014

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151006

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161111

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20181120

Year of fee payment: 9