JP2007243373A - Traffic information collection system, network apparatus, and traffic information collection apparatus - Google Patents

Traffic information collection system, network apparatus, and traffic information collection apparatus Download PDF

Info

Publication number
JP2007243373A
JP2007243373A JP2006060510A JP2006060510A JP2007243373A JP 2007243373 A JP2007243373 A JP 2007243373A JP 2006060510 A JP2006060510 A JP 2006060510A JP 2006060510 A JP2006060510 A JP 2006060510A JP 2007243373 A JP2007243373 A JP 2007243373A
Authority
JP
Japan
Prior art keywords
traffic information
network device
sampling
information collection
function unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006060510A
Other languages
Japanese (ja)
Other versions
JP4519791B2 (en
Inventor
Junji Kobayashi
淳史 小林
Keisuke Ishibashi
圭介 石橋
Koyo Yamamoto
公洋 山本
Yutaka Hirokawa
裕 廣川
Masaaki Sakamoto
仁明 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006060510A priority Critical patent/JP4519791B2/en
Publication of JP2007243373A publication Critical patent/JP2007243373A/en
Application granted granted Critical
Publication of JP4519791B2 publication Critical patent/JP4519791B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a traffic information collection apparatus that can collect a condition under which a network apparatus filters a packet in spite of a small information amount and can revise the condition so as to efficiently collect traffic condition with a decreased information amount without constraints of filter setting conditions. <P>SOLUTION: The network apparatus includes a sampling means for extracting a packet and a report means that informs the traffic information collection apparatus about INDEX information of a MIB object storing a sampling rate of the sampling means by utilizing extension information of the flow statistics distribution protocol, and the traffic information collection apparatus acquires the sampling rate from the MIB object storing the sampling rate of the sampling means in the network apparatus on the basis of the INDEX information notified from the network apparatus and sets the sampling rate to a MIB object storing the sampling rate of the sampling means of the network apparatus. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、トラフィック情報収集システム、ネットワーク機器およびトラフィック情報収集機器に係り、特に、インターネットに代表されるネットワーク上を流れるトラフィックをモニタする際に、大容量化したネットワーク上のトラフィックを効率的にモニタする手法に関する。   The present invention relates to a traffic information collection system, a network device, and a traffic information collection device. In particular, when monitoring traffic flowing on a network represented by the Internet, the traffic on a large-capacity network is efficiently monitored. It relates to the technique to do.

従来のフロー統計配信プロトコル(sFlow,NetFlow)では、入力インタフェース(IF)で受信する全てのパケットを対象にサンプリングを行っている。ベンダによっては、フィルタを実施したうえで、サンプリングを行う手法を可能としているが、配信する情報に差異がないため、フィルタの条件の有無やフィルタ内容について、トラフィック情報収集機器が把握することができない状況にある。この場合に、設定可能なフィルタ条件は自在であるが、フィルタ条件などを配信する仕組みがない。
また、フロー統計配信プロトコルのひとつであるIPFIXプロトコルでは(下記、非特許文献1参照)、フィルタ条件など設定された全ての情報を配信することとしているため、情報転送量が大きくなるという問題がある。
また、IPFIXプロトコルで定義された技術は、全ての情報を通知できる反面、フィルタ条件は、各パラメータをAND条件で判定するのみである。フィルタの条件を排他的に指定することや異なるフィールドのフィルタ条件をOR条件として扱うことができず、プロトコルの制約により、フィルタ設定内容に制約がある。 In the conventional flow statistics distribution protocol (sFlow, NetFlow), sampling is performed for all packets received by the input interface (IF). Depending on the vendor, it is possible to perform sampling after filtering, but there is no difference in the information to be delivered, so the traffic information collection device cannot grasp the presence or absence of filter conditions and the filter contents. Is in the situation. In this case, the filter conditions that can be set are arbitrary, but there is no mechanism for distributing the filter conditions.
In addition, the IPFIX protocol, which is one of the flow statistics distribution protocols (see Non-Patent Document 1 below), distributes all set information such as filter conditions, which increases the amount of information transferred. .
The technology defined by the IPFIX protocol can notify all information, but the filter condition only determines each parameter using an AND condition. It is not possible to exclusively specify filter conditions or filter conditions of different fields as OR conditions, and there are restrictions on the filter settings due to protocol restrictions.

なお、本願発明に関連する先行技術文献としては以下のものがある。
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9 As prior art documents related to the invention of the present application, there are the following.
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9

前述したように、NetFlow,sFlowは、フィルタ設定情報を自在に設定可能であるが、フィルタ条件などを配信する機能がなく、また、IPFIXプロトコルでは、設定情報は通知可能であるが、フィルタ条件を設定する際の制約がある。また、全ての情報を配信するため、情報量が多くなるという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となし、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。 As described above, NetFlow and sFlow can freely set filter setting information, but there is no function for distributing filter conditions and the like. In the IPFIX protocol, setting information can be notified. There are restrictions when setting. Further, since all information is distributed, there is a problem that the amount of information increases.
The present invention has been made to solve the above-described problems of the prior art, and an object of the present invention is to enable a traffic information collection device to collect conditions in which packets are filtered by a network device with a small amount of information. It is another object of the present invention to provide a technique that can change this, reduce the amount of information, and efficiently collect traffic information without being restricted by filter setting conditions.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、前記ネットワーク機器は、パケットを選択するフィルタリング手段と、パケットを抽出するサンプリング手段と、前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知するレポート手段とを有し、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有することを特徴とする。
(2)(1)において、前記ネットワーク機器の前記レポート手段は、前記フィルタリング手段において前記パケットを階層的に分類し、前記サンプリング手段において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。 Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) A traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device, wherein the network device extracts a packet and filtering means for selecting the packet Sampling means, and report means for notifying the traffic information collection device of the INDEX information of the MIB object in which the sampling rate of the sampling means is stored using the extended information of the flow statistics distribution protocol, Based on the INDEX information notified from the network device, the traffic information collecting device uses the sampling rate from the MIB object in which the sampling rate of the sampling means in the network device is stored. Means for obtaining, the MIB object that contains the sampling rate of said sampling means of said network device, characterized by having a means for setting the sampling rate.
(2) In (1), when the reporting means of the network device classifies the packets hierarchically in the filtering means and samples the sampling means in a plurality of sampling instances, the sampling means Instances are grouped, and the INDEX of the MIB object storing the sampling rates of the sampling instances belonging to the group is notified to the traffic information collection device using the extended information of the flow statistics distribution protocol.

(3)ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、前記ネットワーク機器は、パケットを選択するフィルタリング手段と、パケットを抽出するサンプリング手段と、前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知するレポート手段とを有し、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有することを特徴とする。
(4)(3)において、前記ネットワーク機器の前記レポート手段は、前記フィルタリング手段においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。 (3) A traffic information collecting system comprising a network device and a traffic information collecting device that collects traffic information distributed from the network device, wherein the network device extracts a packet and filtering means for selecting the packet Sampling means, and reporting means for notifying the traffic information collection device of INDEX information of the MIB object in which the filter condition of the filtering means is stored, using extended information of a flow statistics distribution protocol, and the traffic An information collecting device, based on INDEX information notified from the network device, means for acquiring a filter condition from an MIB object in which the filter condition of the filtering means in the network device is stored; The MIB object filter condition is stored in the filtering means of the network device, and having a means for setting the filter condition.
(4) In (3), when the report unit of the network device uses a plurality of filter conditions when selecting a packet in the filtering unit, the filter evaluated in the preceding stage of the matched filter condition The INDEX of the MIB object storing the condition is notified to the traffic information collection device using the extended information of the flow statistics distribution protocol.

(5)ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるネットワーク機器であって、パケットを選択するフィルタリング機能部と、パケットを抽出するサンプリング機能部と、前記サンプリング機能部のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知するレポート機能部とを有することを特徴とする。
(6)(5)において、前記レポート機能部は、前記フィルタリング機能部において前記パケットを階層的に分類し、前記サンプリング機能部において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。 (5) A network device in a traffic information collection system that includes a network device and a traffic information collection device that collects traffic information distributed from the network device, a filtering function unit that selects packets, and a packet extraction A sampling function unit, and a report function unit for notifying the traffic information collection device of INDEX information of the MIB object in which the sampling rate of the sampling function unit is stored, using extended information of a flow statistics distribution protocol It is characterized by.
(6) In (5), the report function unit categorizes the packets hierarchically in the filtering function unit, and the sampling function unit samples the plurality of sampling instances when sampled by a plurality of sampling instances. And the INDEX of the MIB object storing the sampling rate of the sampling instance belonging to the group is notified to the traffic information collecting device using the extended information of the flow statistics distribution protocol.

(7)ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるネットワーク機器であって、パケットを選択するフィルタリング機能部と、パケットを抽出するサンプリング機能部と、前記フィルタリング機能部のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知するレポート機能部とを有することを特徴とする。
(8)(7)において、前記レポート機能部は、前記フィルタリング機能部においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。 (7) A network device in a traffic information collection system that includes a network device and a traffic information collection device that collects traffic information distributed from the network device, a filtering function unit that selects packets, and a packet extraction A sampling function unit, and a report function unit for notifying the traffic information collection device of the INDEX information of the MIB object in which the filter condition of the filtering function unit is stored, using the extended information of the flow statistics distribution protocol. Features.
(8) In (7), when the report function unit uses a plurality of filter conditions when selecting a packet in the filtering function unit, the report function unit displays the filter condition evaluated in the preceding stage of the matched filter condition. The INDEX of the MIB object to be stored is notified to the traffic information collection device using the extended information of the flow statistics distribution protocol.

(9)ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるトラフィック情報収集機器であって、前記ネットワーク機器から配信されたトラフィック情報を収集・蓄積するトラフィック情報収集蓄積部と、トラフィック情報収集蓄積部で収集したトラフィック情報を分析するトラフィック分析機能部と、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器のMIBオブジェクトからフィルタ条件、あるいは、サンプリングレートを取得し、かつ、前記ネットワーク機器のMIBオブジェクトに、フィルタ条件、あるいは、サンプリングレートを設定するSNMP機能部と、トラフィック情報を表示するトラフィック画面表示機能部とを有することを特徴とする。 (9) A traffic information collection device in a traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device, and collects traffic information distributed from the network device A traffic condition collecting / accumulating unit to be accumulated, a traffic analysis function unit for analyzing traffic information collected by the traffic information collecting / accumulating unit, and a filter condition from the MIB object of the network device based on the INDEX information notified from the network device. Alternatively, an SNMP function unit that acquires a sampling rate and sets a filter condition or a sampling rate in the MIB object of the network device and traffic information And having a Shimesuru traffic screen display function unit.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となしたので、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる。 The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the present invention, the traffic information collecting device can collect the conditions for filtering the packets with the network device with a small amount of information and can change the conditions. It is possible to efficiently collect traffic information without being restricted.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラフィック情報収集システムの概略構成を示すブロック図である。
図1において、1はパケット、10はルータなどのネットワーク機器(以下、単に、NW機器という)、20はトラフィック情報収集機器である。
NW機器10は、入力インタフェース(IF)11と、フィルタ機能部12と、サンプリング機能部13と、レポート機能部14と、フィルタ機能部12のMIB(Management Information Base)15と、サンプリング機能部13のMIB16とを有する。
トラフィック情報収集機器20は、ネットワーク機器10から配信されたトラフィック情報を収集・蓄積する トラフィック情報収集蓄積機能部21と、 トラフィック情報収集蓄積機能部21で収集したトラフィック情報を分析するトラフィック分析機能部22と、ネットワーク機器10から通知されたINDEX情報に基づき、ネットワーク機器のMIB(15,16)からフィルタ条件、あるいは、サンプリングレートを取得し、かつ、ネットワーク機器のMIB(15,16)に、フィルタ条件、あるいは、サンプリングレートを設定するSNMP機能部23と、トラフィック情報を表示するトラフィック画面表示機能部24とを有する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
FIG. 1 is a block diagram showing a schematic configuration of a traffic information collection system according to an embodiment of the present invention.
In FIG. 1, 1 is a packet, 10 is a network device such as a router (hereinafter simply referred to as NW device), and 20 is a traffic information collecting device.
The NW device 10 includes an input interface (IF) 11, a filter function unit 12, a sampling function unit 13, a report function unit 14, an MIB (Management Information Base) 15 of the filter function unit 12, and a sampling function unit 13. MIB16.
The traffic information collection device 20 includes a traffic information collection / storage function unit 21 that collects and stores traffic information distributed from the network device 10, and a traffic analysis function unit 22 that analyzes the traffic information collected by the traffic information collection / storage function unit 21. Based on the INDEX information notified from the network device 10, the filter condition or the sampling rate is acquired from the MIB (15, 16) of the network device, and the filter condition is added to the MIB (15, 16) of the network device. Alternatively, an SNMP function unit 23 that sets a sampling rate and a traffic screen display function unit 24 that displays traffic information are included.

選択的トラフィックモニタ機能を有するNW機器10は、フィルタ機能部12で、パケットの特性情報をもとにトラフィックを選択し、サンプリング機能部13で、予め決まられたサンプリングレートに基づき、モニタ対象とするパケットを抽出する。
抽出されたパケットは、レポート機能部14から、フロー(Source IP アドレス,Destination IP アドレス,Protocol,Source Port, Destination Port)毎のカウンタもしくは、当該パケットのヘッダ情報の上位Byteのみのトラフィック情報として、トラフィック情報収集機器20に配信される。
本実施例では、前述のトラフィック情報を配信する際に、レポート機能部14が、フロー統計配信プロトコルの拡張情報を用いて、使用したサンプリング間隔や使用したフィルタ条件に関わるMIB情報のINDEXを配信し、SNMP(Simple Network Management Protocol)により、その設定情報の取得及び設定を可能とする。
これにより、トラフィック情報収集機器20では、設定情報を収集して、集約情報の一部として活用することを可能とし、Webなどでトラフィック量を表示する際には、そのフィルタ条件を表示することを可能とする。また、トラフィックを分析し、自律的にフィルタ条件を制御することで、異常トラフィックの更なる絞りこみを可能とし、検出精度を向上させることが可能となる。 The NW device 10 having the selective traffic monitoring function selects traffic based on the packet characteristic information by the filter function unit 12, and the sampling function unit 13 selects the traffic based on a predetermined sampling rate. Extract the packet.
The extracted packet is sent from the report function unit 14 as traffic information of only the upper byte of the header information of the packet or the counter for each flow (Source IP address, Destination IP address, Protocol, Source Port, Destination Port). It is distributed to the information collecting device 20.
In this embodiment, when distributing the traffic information described above, the report function unit 14 distributes the INDEX of the MIB information related to the used sampling interval and the used filter condition by using the extended information of the flow statistics distribution protocol. The setting information can be acquired and set by SNMP (Simple Network Management Protocol).
As a result, the traffic information collecting device 20 can collect setting information and use it as a part of the aggregate information. When displaying the traffic volume on the Web or the like, the filter condition can be displayed. Make it possible. Further, by analyzing the traffic and autonomously controlling the filter conditions, it is possible to further narrow down abnormal traffic and improve detection accuracy.

図2は、本実施例において、サンプリングレートを格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例では、NW機器10のサンプリング機能部13上で、複数のサンプリング・インスタンスを生成した場合には、そのINDEXがインスタンスIDとなっている場合が多い。そのため、インスタンスIDを通知する。
拡張情報を通知する手法としては、sFlow version5 にて、Enterprise Tagを拡張することが可能となっているため、これを利用する。また、NetFlow version9 では予めEterprise Tagを定めておき、Template(Template Flow Set)内に含めることで、トラフィック情報(Data Flow Set)に含めて、これを通知することを可能とする。
ここでは、図2のAに示すように、このType名を、「Sampling Rate INDEX」とする。トラフィック情報収集機器20では、サンプリング間隔が格納されるMIB16のオブジェクトIDを予め、保持しておき、このデータにアクセスする際には、通知されたINDEXの情報をオブジェクトIDに付与(アペンド)して、SNMPにてアクセスする。
トラフィック分析機能部20で、トラフィック測定機能(フロー統計配信プロトコル)での測定結果に基づき、SNMP機能部23に指示することで、サンプリング間隔を制御することができる。 FIG. 2 is a diagram for explaining a method of notifying the INDEX of the MIB object storing the sampling rate as extension information of the flow statistics distribution protocol in the present embodiment.
In the present embodiment, when a plurality of sampling instances are generated on the sampling function unit 13 of the NW device 10, the INDEX is often an instance ID. Therefore, the instance ID is notified.
As a method for notifying extension information, Enterprise Tag can be extended with sFlow version5. In NetFlow version 9, an Eterprise Tag is defined in advance and included in the Template (Template Flow Set), so that it can be notified in the traffic information (Data Flow Set).
Here, as shown in FIG. 2A, this Type name is “Sampling Rate INDEX”. In the traffic information collecting device 20, the object ID of the MIB 16 in which the sampling interval is stored is held in advance, and when the data is accessed, the notified INDEX information is attached (appended) to the object ID. Access via SNMP.
The traffic analysis function unit 20 can control the sampling interval by instructing the SNMP function unit 23 based on the measurement result of the traffic measurement function (flow statistics distribution protocol).

図3は、本実施例において、合致したフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例では、NW機器10のフィルタ機能部12において、条件合致したフィルタ条件を格納したMIB15のINDEXをフロー統計配信プロトコルの拡張情報として通知する。
フィルタ条件は、ベンダ毎のプライベートMIBオブジェクトに格納される。そのため、トラフィック情報収集機器20は、NW機器10のフィルタ条件を格納したオブジェクトIDとそのSYNTAXを項目毎に保持しておき、INDEXの通知を受けた際に、このオブジェクトIDとINDEXからMIB16ヘアクセスする。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様に拡張情報を活用する。ここでは、図3のAに示すように、このType名を「Match Filter Index」とする。「Object Number」には、対象オブジェクトにアクセスする際に必要とするINDEXのオブジェクト数を示す。
これにより、トラフィック情報収集機器20では、トラフィック画面表示機能部24に、トラフィック量(bps, pps)などと併せて、フィルタ条件を表示することが可能となる。
また、トラフィック分析機能部22では、フィルタ条件のINDEXをもとにトラフィック量を集約することが可能となる。これにより、トラフィック測定機能(フロー統計配信プロトコル)にて配信できない情報をもとにトラフィック量を把握することが可能となる。例えば、フィルタ条件で、TCPのWindowサイズ20000以下のパケットをフィルタ条件とした場合に、トラフィック分析機能部22では、INDEXをもとにデータ集約を行うことで、TCP SYNフラグだけのトラフィック量を把握することが可能となる。 FIG. 3 is a diagram for explaining a method of notifying the INDEX of the MIB object storing the matched filter condition as the extended information of the flow statistics distribution protocol in the present embodiment.
In this embodiment, the filter function unit 12 of the NW device 10 notifies the INDEX of the MIB 15 storing the matched filter conditions as the extended information of the flow statistics distribution protocol.
The filter condition is stored in a private MIB object for each vendor. Therefore, the traffic information collecting device 20 holds the object ID storing the filter condition of the NW device 10 and its SYNTX for each item, and when receiving the INDEX notification, accesses the MIB 16 from this object ID and INDEX. To do.
As a method for notifying the extended information, the extended information is used similarly to the method for notifying the sampling interval. Here, as shown in FIG. 3A, this Type name is “Match Filter Index”. “Object Number” indicates the number of INDEX objects necessary for accessing the target object.
As a result, the traffic information collecting device 20 can display the filter condition in the traffic screen display function unit 24 together with the traffic volume (bps, pps) and the like.
Further, the traffic analysis function unit 22 can aggregate the traffic volume based on the INDEX of the filter condition. This makes it possible to grasp the traffic volume based on information that cannot be distributed by the traffic measurement function (flow statistics distribution protocol). For example, when the filter condition is a packet with a TCP window size of 20000 or less as the filter condition, the traffic analysis function unit 22 grasps the traffic amount of only the TCP SYN flag by performing data aggregation based on INDEX. It becomes possible to do.

図5は、本実施例において、合致しないフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。なお、図5において、15−1〜15−4は、フィルタ機能部12のMIBである。
NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用した場合に、合致したフィルタ条件の前に評価されるフィルタ条件が存在する。
そこで、本実施例では、前段のフィルタ条件の排他となっているため、この前段の条件についてもトラフィック情報収集機器20に通知し、フィルタ条件毎のトラフィック情報を分析することを可能とする。
図4は、NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用する場合の概念を示す図である。
図4のINDEX1→2→3→4→5の順にフィルタ条件が適用され、INDEX=5のフィルタ条件に合致した場合に、前段で評価されたINDEX=1,2,3,4を通知する。
これにより、INDEX=5のフィルタ条件は、全てのパケットを選択するフィルタ条件となっているが、INDEX=1,2,3,4のフィルタ条件以外のトラフィックが適用されていることをトラフィック情報収集機器20に通知可能となる。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様である。ここでは、図5のAに示すように、このType名を「No Match Previous Filter Indexs」とする。「Previous Index Number」には、対象オブジェクトにアクセスする際に必要とするINDEX数を示す。 FIG. 5 is a diagram for explaining a method of notifying the INDEX of the MIB object storing the filter conditions that do not match as extension information of the flow statistics distribution protocol in the present embodiment. In FIG. 5, 15-1 to 15-4 are MIBs of the filter function unit 12.
When a plurality of filter conditions are applied in the filter function unit 12 of the NW device 10, there are filter conditions that are evaluated before the matched filter conditions.
Therefore, in this embodiment, since the previous filter condition is exclusive, the traffic information collecting device 20 is also notified of the previous filter condition, and the traffic information for each filter condition can be analyzed.
FIG. 4 is a diagram illustrating a concept when a plurality of filter conditions are applied in the filter function unit 12 of the NW device 10.
When the filter conditions are applied in the order of INDEX1 → 2 → 3 → 4 → 5 in FIG. 4 and the filter conditions satisfy INDEX = 5, INDEX = 1, 2, 3, and 4 evaluated in the previous stage are notified.
As a result, the filter condition of INDEX = 5 is a filter condition for selecting all packets, but traffic information collection indicates that traffic other than the filter condition of INDEX = 1, 2, 3, 4 is applied. The device 20 can be notified.
The technique for notifying the extended information is the same as the technique for notifying the sampling interval. Here, as shown in FIG. 5A, this Type name is “No Match Previous Filter Indexs”. “Previous Index Number” indicates the number of INDEXs necessary for accessing the target object.

図7は、本実施例において、階層化サンプリング手法での対象サンプリンググループのMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例において、NW機器10のフィルタ機能部(12−1〜12−6)において、パケットを階層的に分類し、サンプリング機能部(13−1〜13−3)において、それぞれの階層で特定のサンプリング間隔でサンプリングを実施する場合に、全階層のサンプリング・インスタンスをグループ化し、サンプリング間隔が格納されたMIBオブジェクトのINDEXを通知する。
例えば、図6に示すように、NW機器10における、ある入力インタフェース(IF)11から流入したパケットは、フィルタ機能部(12−1〜12−6)の複数のフィルタ条件により、3階層に分類される。それぞれの階層では、サンプリング機能部(13−1〜13−3)において、予め決まられたサンプリング間隔でサンプリングされる。なお、図6において、16−1〜16−3は、サンプリング機能部(13−1〜13−3)のMIBである。
MIBオブジェクトのINDEXが、各インスタンス IDである場合に、各トラフィック測定機能(フロー統計配信プロトコル)の拡張情報として、インスタンス ID=1,2,3が階層化グループに含まれることを通知する。この場合に、各サンプリングインスタンスは、同一のトラフィック測定ポイント(scope, sourceid)であることが条件となる。 FIG. 7 is a diagram for describing a method for notifying the INDEX of the MIB object of the target sampling group as the extension information of the flow statistics distribution protocol in the present embodiment in the hierarchical sampling method.
In the present embodiment, packets are classified hierarchically in the filter function units (12-1 to 12-6) of the NW device 10, and specified in each layer in the sampling function units (13-1 to 13-3). When sampling is performed at the sampling interval, sampling instances of all layers are grouped, and the INDEX of the MIB object storing the sampling interval is notified.
For example, as shown in FIG. 6, packets flowing from a certain input interface (IF) 11 in the NW device 10 are classified into three layers according to a plurality of filter conditions of the filter function units (12-1 to 12-6). Is done. In each layer, sampling is performed at predetermined sampling intervals in the sampling function units (13-1 to 13-3). In FIG. 6, 16-1 to 16-3 are MIBs of the sampling function units (13-1 to 13-3).
When the INDEX of the MIB object is each instance ID, it notifies that the instance ID = 1, 2, 3 is included in the hierarchical group as the extension information of each traffic measurement function (flow statistics distribution protocol). In this case, it is a condition that each sampling instance is the same traffic measurement point (scope, sourceid).

拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様である。ここでは、図7のAに示すように、このType名を「Stratified Sampling Group lndexs」とする。「Group Index Number」には、当該グループ内に含まれるINDEX数を示す。
「Sampling Rate Index」と「Stratified Sampling Group Indexs」を通知することで、トラフィック情報収集機器20のトラフィック分析機能部22では、複数のサンプリング・インスタンスのうち、階層化サンプリングを実施しているグループを特定することが可能となる。
これにより、各サンプリング・インスタンスで処理するトラフィック量を推定することの他に、NW機器10の入力インタフェース(IF)11に流れ込んだトラフィック量全体についても、推定することが可能となる。
以上説明したように、本実施例では、サンプリングの前に、パケットをフィルタすることで、ある特定のトラフィックに絞込み、トラフィックをモニタすることで、トラフィック情報をより効率的に測定することができる。
また、トラフィック情報収集機器20が、その集約結果、分析結果に応じて、自律的にサンプリング間隔、フィルタ条件を変更することができるので、異常トラフィックの検出精度を向上させることが可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 The technique for notifying the extended information is the same as the technique for notifying the sampling interval. Here, as shown in FIG. 7A, this Type name is “Stratified Sampling Group lndexs”. “Group Index Number” indicates the number of INDEXs included in the group.
By notifying “Sampling Rate Index” and “Stratified Sampling Group Indexs”, the traffic analysis function unit 22 of the traffic information collecting device 20 identifies a group that is performing hierarchical sampling among a plurality of sampling instances. It becomes possible to do.
As a result, in addition to estimating the amount of traffic to be processed in each sampling instance, it is also possible to estimate the entire amount of traffic that has flowed into the input interface (IF) 11 of the NW device 10.
As described above, in this embodiment, it is possible to more efficiently measure traffic information by filtering packets before sampling to narrow down to a specific traffic and monitoring the traffic.
In addition, since the traffic information collecting device 20 can autonomously change the sampling interval and the filter condition according to the aggregation result and the analysis result, it is possible to improve the detection accuracy of abnormal traffic.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の実施例のトラフィック情報収集システムの概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the traffic information collection system of the Example of this invention. 本発明の実施例において、サンプリングレートを格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。FIG. 10 is a diagram for explaining a method for notifying an INDEX of an MIB object storing a sampling rate as extension information of a flow statistics distribution protocol in the embodiment of the present invention. 本発明の実施例において、合致したフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。FIG. 10 is a diagram for explaining a method for notifying an INDEX of a MIB object storing matched filter conditions as extension information of a flow statistics distribution protocol in the embodiment of the present invention. 本発明のネットワーク機器のフィルタ機能部において、複数のフィルタ条件を適用する場合の概念を示す図である。It is a figure which shows the concept in the case of applying several filter conditions in the filter function part of the network apparatus of this invention. 本発明の実施例において、合致しないフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。FIG. 10 is a diagram for describing a method for notifying an INDEX of a MIB object storing a filter condition that does not match as extension information of a flow statistics distribution protocol in the embodiment of the present invention. 本発明のネットワーク機器のフィルタ機能部において、複数のフィルタ条件により、3階層に分類し、それぞれの階層で、サンプリング機能部において、予め決まられたサンプリング間隔でサンプリングする場合の概念を示す図である。In the filter function part of the network apparatus of this invention, it is a figure which shows the concept in the case of classifying into three layers according to a plurality of filter conditions, and sampling at a predetermined sampling interval in each sampling layer in each layer . 本発明の実施例において、階層化サンプリング手法での対象サンプリンググループのMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。In the Example of this invention, it is a figure for demonstrating the method of notifying INDEX of the MIB object of the object sampling group by the hierarchical sampling method as extended information of a flow statistics delivery protocol.

符号の説明Explanation of symbols

1 パケット
10 ネットワーク機器
11 入力インタフェース(IF)
12 フィルタ機能部
13,13−1〜13−3 サンプリング機能部
14 レポート機能部
15,15−1〜15−4,16−1〜16−3 MIB(Management Information Base)
20 トラフィック情報収集機器
21 トラフィック情報収集蓄積機能部
22 トラフィック分析機能部
23 SNMP機能部
24 トラフィック画面表示機能部 1 packet 10 network device 11 input interface (IF)
12 Filter Function Unit 13, 13-1 to 13-3 Sampling Function Unit 14 Report Function Unit 15, 15-1 to 15-4, 16-1 to 16-3 MIB (Management Information Base)
20 Traffic Information Collection Equipment 21 Traffic Information Collection and Storage Function Unit 22 Traffic Analysis Function Unit 23 SNMP Function Unit 24 Traffic Screen Display Function Unit

Claims (9)

ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、
前記ネットワーク機器は、パケットを選択するフィルタリング手段と、
パケットを抽出するサンプリング手段と、
前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知するレポート手段とを有し、
前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、
前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有することを特徴とするトラフィック情報収集システム。 A traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device,
The network device includes filtering means for selecting packets;
Sampling means for extracting packets;
Reporting means for notifying the traffic information collection device of the INDEX information of the MIB object in which the sampling rate of the sampling means is stored, using the extended information of the flow statistics distribution protocol;
The traffic information collecting device, based on the INDEX information notified from the network device, means for acquiring a sampling rate from a MIB object in which the sampling rate of the sampling unit in the network device is stored;
A traffic information collection system comprising: means for setting the sampling rate in an MIB object that stores the sampling rate of the sampling means of the network device. 前記ネットワーク機器の前記レポート手段は、前記フィルタリング手段において前記パケットを階層的に分類し、前記サンプリング手段において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項1に記載のトラフィック情報収集システム。   The report means of the network device classifies the packets hierarchically in the filtering means, and groups the plurality of sampling instances when the sampling means samples at a plurality of sampling instances. 2. The traffic information collection system according to claim 1, wherein the INDEX of the MIB object storing the sampling rate of the sampling instance to which it belongs is notified to the traffic information collection device using the extended information of the flow statistics distribution protocol. . ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、
前記ネットワーク機器は、パケットを選択するフィルタリング手段と、
パケットを抽出するサンプリング手段と、
前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知するレポート手段とを有し、
前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、
前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有することを特徴とするトラフィック情報収集システム。 A traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device,
The network device includes filtering means for selecting packets;
Sampling means for extracting packets;
Reporting means for notifying the traffic information collection device of the INDEX information of the MIB object in which the filtering condition of the filtering means is stored, using the extended information of the flow statistics distribution protocol;
The traffic information collecting device, based on the INDEX information notified from the network device, means for obtaining a filter condition from an MIB object in which the filter condition of the filtering means in the network device is stored;
A traffic information collection system comprising: means for setting the filter condition in an MIB object in which the filter condition of the filtering means of the network device is stored. 前記ネットワーク機器の前記レポート手段は、前記フィルタリング手段においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項3に記載のトラフィック情報収集システム。   The report unit of the network device stores an INDEX of an MIB object that stores a filter condition evaluated in a preceding stage of the matched filter condition when a plurality of filter conditions are used when selecting a packet in the filtering unit. The traffic information collection system according to claim 3, wherein the traffic information collection device is notified using the extended information of the flow statistics distribution protocol. ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるネットワーク機器であって、
パケットを選択するフィルタリング機能部と、
パケットを抽出するサンプリング機能部と、
前記サンプリング機能部のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知するレポート機能部とを有することを特徴とするネットワーク機器。 A network device in a traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device,
A filtering function unit for selecting packets;
A sampling function unit for extracting packets;
And a report function unit for notifying the traffic information collection device of INDEX information of the MIB object in which the sampling rate of the sampling function unit is stored, using extended information of a flow statistics distribution protocol. machine. 前記レポート機能部は、前記フィルタリング機能部において前記パケットを階層的に分類し、前記サンプリング機能部において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項5に記載のネットワーク機器。   The report function unit classifies the packets hierarchically in the filtering function unit, and groups the plurality of sampling instances when the sampling function unit samples with a plurality of sampling instances, and belongs to the group. 6. The network device according to claim 5, wherein the INDEX of the MIB object storing the sampling rate of the sampling instance is notified to the traffic information collecting device using the extended information of the flow statistics distribution protocol. ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるネットワーク機器であって、
パケットを選択するフィルタリング機能部と、
パケットを抽出するサンプリング機能部と、
前記フィルタリング機能部のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知するレポート機能部とを有することを特徴とするネットワーク機器。 A network device in a traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device,
A filtering function unit for selecting packets;
A sampling function unit for extracting packets;
A network device comprising: a report function unit for notifying the traffic information collection device of INDEX information of an MIB object in which the filter condition of the filtering function unit is stored, using extended information of a flow statistics distribution protocol . 前記レポート機能部は、前記フィルタリング機能部においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項7に記載のネットワーク機器。   When a plurality of filter conditions are used when the packet is selected in the filtering function unit, the report function unit flows an INDEX of the MIB object that stores the filter condition evaluated before the matched filter condition. The network device according to claim 7, wherein the traffic information collection device is notified using extended information of a statistical distribution protocol. ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムにおけるトラフィック情報収集機器であって、
前記ネットワーク機器から配信されたトラフィック情報を収集・蓄積するトラフィック情報収集蓄積部と、
トラフィック情報収集蓄積部で収集したトラフィック情報を分析するトラフィック分析機能部と、
前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器のMIBオブジェクトからフィルタ条件、あるいは、サンプリングレートを取得し、かつ、前記ネットワーク機器のMIBオブジェクトに、フィルタ条件、あるいは、サンプリングレートを設定するSNMP機能部と、
トラフィック情報を表示するトラフィック画面表示機能部とを有することを特徴とするトラフィック情報収集機器。 A traffic information collection device in a traffic information collection system comprising a network device and a traffic information collection device that collects traffic information distributed from the network device,
A traffic information collecting and accumulating unit for collecting and accumulating traffic information distributed from the network device;
A traffic analysis function unit that analyzes the traffic information collected by the traffic information collection and storage unit;
Based on the INDEX information notified from the network device, the filter condition or sampling rate is acquired from the MIB object of the network device, and the filter condition or sampling rate is set in the MIB object of the network device. An SNMP function unit;
A traffic information collection device having a traffic screen display function unit for displaying traffic information.
JP2006060510A 2006-03-07 2006-03-07 Traffic information collection system and network equipment Expired - Fee Related JP4519791B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006060510A JP4519791B2 (en) 2006-03-07 2006-03-07 Traffic information collection system and network equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006060510A JP4519791B2 (en) 2006-03-07 2006-03-07 Traffic information collection system and network equipment

Publications (2)

Publication Number Publication Date
JP2007243373A true JP2007243373A (en) 2007-09-20
JP4519791B2 JP4519791B2 (en) 2010-08-04

Family

ID=38588491

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006060510A Expired - Fee Related JP4519791B2 (en) 2006-03-07 2006-03-07 Traffic information collection system and network equipment

Country Status (1)

Country Link
JP (1) JP4519791B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219685A (en) * 2007-03-07 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method based on route information and mib information
WO2009118827A1 (en) * 2008-03-25 2009-10-01 富士通株式会社 Flow information collecting device
JP2010045704A (en) * 2008-08-18 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> Collecting method of traffic information and traffic reception apparatus
JP2015080193A (en) * 2013-10-17 2015-04-23 韓國電子通信研究院Electronics and Telecommunications Research Institute Network device, and selective information monitoring method using the same
JP2021529489A (en) * 2018-06-29 2021-10-28 フォアスカウト テクノロジーズ インコーポレイテッド Dynamic segmentation management

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07183932A (en) * 1993-12-24 1995-07-21 Hitachi Ltd Hierarchical network management system
JP2002140242A (en) * 2000-10-31 2002-05-17 Canon Inc Device and method for network management, and storing medium
JP2005286684A (en) * 2004-03-30 2005-10-13 Hitachi Ltd Traffic flow measuring environment setting system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07183932A (en) * 1993-12-24 1995-07-21 Hitachi Ltd Hierarchical network management system
JP2002140242A (en) * 2000-10-31 2002-05-17 Canon Inc Device and method for network management, and storing medium
JP2005286684A (en) * 2004-03-30 2005-10-13 Hitachi Ltd Traffic flow measuring environment setting system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008219685A (en) * 2007-03-07 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring method based on route information and mib information
JP4523612B2 (en) * 2007-03-07 2010-08-11 日本電信電話株式会社 Traffic monitoring method based on route information and MIB information
WO2009118827A1 (en) * 2008-03-25 2009-10-01 富士通株式会社 Flow information collecting device
JP5067479B2 (en) * 2008-03-25 2012-11-07 富士通株式会社 Flow information collection device
JP2010045704A (en) * 2008-08-18 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> Collecting method of traffic information and traffic reception apparatus
JP4643692B2 (en) * 2008-08-18 2011-03-02 日本電信電話株式会社 Traffic information collecting method and traffic receiving apparatus
JP2015080193A (en) * 2013-10-17 2015-04-23 韓國電子通信研究院Electronics and Telecommunications Research Institute Network device, and selective information monitoring method using the same
US9742699B2 (en) 2013-10-17 2017-08-22 Electronics And Telecommunications Research Institute Network apparatus and selective information monitoring method using the same
JP2021529489A (en) * 2018-06-29 2021-10-28 フォアスカウト テクノロジーズ インコーポレイテッド Dynamic segmentation management
JP7282868B2 (en) 2018-06-29 2023-05-29 フォアスカウト テクノロジーズ インコーポレイテッド Dynamic segmentation management

Also Published As

Publication number Publication date
JP4519791B2 (en) 2010-08-04

Similar Documents

Publication Publication Date Title
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US9667521B2 (en) System and method for network traffic profiling and visualization
EP3151470B1 (en) Analytics for a distributed network
CN103314557B (en) Network system, controller, switch, and traffic monitoring method
US10637756B2 (en) Traffic analytics service for telemetry routers and monitoring systems
EP1672834A1 (en) Application session management for flow-based statistics
JP2001203691A (en) Network traffic monitor system and monitor method to be used for it
JP4519791B2 (en) Traffic information collection system and network equipment
CN104994076A (en) Machine-learning-based daily access model implementation method and system
US11650994B2 (en) Monitoring network traffic to determine similar content
Trammell et al. Flow aggregation for the ip flow information export (IPFIX) protocol
CN109547257A (en) Method for controlling network flow, device, equipment, system and storage medium
JP4246238B2 (en) Traffic information distribution and collection method
JP5684748B2 (en) Network quality monitoring apparatus and network quality monitoring method
JP2016146581A (en) Device and method for collecting traffic information
CN104168156A (en) Autonomous system level flow collection system and method based on Netflow
US9979613B2 (en) Analyzing network traffic in a computer network
Cisco Analyzer Data Exporting and Collecting Entries
Cisco Analyzer Data Exporting and Collecting Entities
JP5362769B2 (en) Network monitoring apparatus and network monitoring method
Pekar et al. Towards threshold‐agnostic heavy‐hitter classification
JP2010193055A (en) Flow information transmitter, intermediate apparatus, flow information transmission method and program
JP4643692B2 (en) Traffic information collecting method and traffic receiving apparatus
Xu Network Behavior Analysis
JP5833934B2 (en) Packet capture system and packet capture method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080819

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091006

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100518

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100519

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130528

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4519791

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140528

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees