JP2008079138A - 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム - Google Patents

通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム Download PDF

Info

Publication number
JP2008079138A
JP2008079138A JP2006257743A JP2006257743A JP2008079138A JP 2008079138 A JP2008079138 A JP 2008079138A JP 2006257743 A JP2006257743 A JP 2006257743A JP 2006257743 A JP2006257743 A JP 2006257743A JP 2008079138 A JP2008079138 A JP 2008079138A
Authority
JP
Japan
Prior art keywords
information
flow
traffic
flow collection
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006257743A
Other languages
English (en)
Inventor
Daisuke Yasunami
大輔 安波
Kazuki Taniya
一希 谷家
Yutaka Yagi
豊 八木
Koichi Kataoka
浩一 片岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2006257743A priority Critical patent/JP2008079138A/ja
Publication of JP2008079138A publication Critical patent/JP2008079138A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract


【課題】大量のデータが流れるネットワークにおいて、効率的且つリアルタイムに異常トラフィックを検出すること
【解決手段】フロー収集装置4から解析マネージャ装置5へトラフィック情報8を送信するタイミングが重ならないようにフロー収集装置4の待機時間を調整する。また、フロー収集装置4は、宛先情報を含んだトラフィック情報8を作成し、解析マネージャ装置5へ送信する。解析マネージャ装置5は、このトラフィック情報8に基づいて、異常トラフィックを検出する。
【選択図】図1

Description

本発明は、ネットワーク上のトラフィックの異常を検出する通信監視システム、フロー収集装置、解析マネージャ装置及びプログラムに関する。
近年、インターネット等のオープンな情報ネットワークの普及に伴い、ネットワーク上のトラフィックは多様化している。このネットワーク上のトラフィックの計測技術として、様々な技術が利用されている。例えば、ネットワーク間のインターフェースを通過する通信パケットを全てキャプチャし、トラフィック計測を行う技術が挙げられる(特許文献1参照)。
また、特許文献1には、プローブ装置(フロー収集装置)から通信監視サーバ(解析マネージャ装置)へトラフィック情報を送信する技術が示されている。
さらに、フローデータを用いた技術として、ネットワークの回線上からパケットを受信し、フローデータ単位でトラフィックの観測を行い、その回線上のトラフィックを通常状態からの逸脱度によって異常度を判断し、その回線のトラフィックの異常(以下、異常トラフィックと称す)を検出するものが挙げられる(特許文献2参照)。
ここで、フローデータとは、「宛先IPアドレス」「送信元IPアドレス」「L3プロトコルタイプ」「宛先ポート番号」「送信元ポート番号」「TOS」等の項目が等しい一連の片方向パケットのことをいう。
特開2006−148686号公報 特開2005−203992号公報
しかし、特許文献1の技術では、高速回線のトラフィック計測を行う際に、通信周波数の広帯域化により汎用ツールでの計測が困難となる。また、通信周波数の広帯域化によって膨大な量の測定結果が生成されるため、大容量の記憶装置が必要となってくる。また、従来の転送バイト/パケット数の計測だけでは、サービス種別やホスト単位の動作を検出することができない。
さらに、特許文献1と特許文献2の技術では、回線上に流れるパケットを直接受信して異常トラフィックを検出するため、フローの「宛先IPアドレス」に該当する宛先ホスト毎に異常トラフィックを判断することができない。
さらに、特許文献1の技術では、フロー収集装置が多数存在する場合、解析マネージャ装置への送信タイミングが重なるため、解析マネージャ装置への回線に負担がかかり、また解析マネージャ装置の負荷も高まる。
また、解析マネージャ装置から各フロー収集装置へポーリングすると、フロー収集装置は、ポーリングタイミングでトラフィック情報の生成と転送を行うため、リアルタイム性が損なわれる。
本発明は、上述したような課題に鑑みて為されたものであり、その目的とするところは、大量のデータが流れるネットワークにおいて、効率的且つリアルタイムに異常トラフィックを検出することである。
上記の課題を解決するために、請求項1に記載の発明は、
複数のフロー収集装置と、
前記フロー収集装置から受信したトラフィック情報の解析を行う解析マネージャ装置と、
をそれぞれネットワーク回線に接続した通信監視システムにおいて、
前記フロー収集装置は、
周辺の通信装置からフロー情報を収集するフロー収集手段と、
前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段と、
前記解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段と、
を備えることを特徴としている。
請求項2に記載の発明は、請求項1に記載の発明において、
前記情報送信手段は、
前記情報作成手段のトラフィック情報の作成時間に基づいて前記待機時間を算出する第1待機時間算出手段、
を有することを特徴としている。
請求項3に記載の発明は、請求項1に記載の発明において、
前記解析マネージャ装置は、
前記各フロー収集装置に固有の管理番号を振り分け、その各フロー収集装置に通知する番号通知手段を更に備え、
前記情報作成手段は、
前記解析マネージャ装置によって通知された前記管理番号に基づいて前記待機時間を算出する第2待機時間算出手段、
を有することを特徴としている。
請求項4に記載の発明は、請求項3に記載の発明において、
前記番号通知手段は、
前記フロー収集装置の台数が増減した場合、再び前記管理番号を振り分けて各フロー収集装置に再通知する番号再通知手段、
を有することを特徴としている。
請求項5に記載の発明は、
複数のフロー収集装置と、
前記フロー収集装置から受信したトラフィック情報の解析を行う解析マネージャ装置と、
をそれぞれネットワーク回線に接続した通信監視システムにおいて、
前記フロー収集装置は、
通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段と、
前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段と、
前記情報作成手段によって作成されたトラフィック情報を、前記解析マネージャ装置に送信する情報送信手段と、
を備えることを特徴としている。
請求項6に記載の発明は、請求項5に記載の発明において、
トラフィック量の閾値と、前記フロー収集装置から送信されたトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段と、
前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段と、
を備えることを特徴としている。
請求項7に記載の発明は、請求項6に記載の発明において、
前記フロー情報は、送信元情報を含み、
前記情報作成手段は、
前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける各宛先の送信元毎のトラフィック情報を作成する送信元毎情報作成手段、
を有することを特徴としている。
請求項8に記載の発明は、請求項7に記載の発明において、
前記異常判定手段は、
トラフィック量の閾値と、前記フロー収集装置から送信されたトラフィック情報とに基づいて、特定リンクの特定宛先への特定送信元のトラフィックの異常を判定する送信元毎異常判定手段、
を有することを特徴としている。
請求項9に記載のフロー収集装置は、
周辺の通信装置からフロー情報を収集するフロー収集手段と、
前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段と、
トラフィック情報の解析を行う解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段と、
を備えることを特徴としている。
請求項10に記載の発明は、請求項9に記載の発明において、
前記情報送信手段は、
前記情報作成手段のトラフィック情報の作成時間に基づいて前記待機時間を算出する待機時間算出手段、
を有することを特徴としている。
請求項11に記載のフロー収集装置は、
通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段と、
前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段と、
前記情報作成手段によって作成されたトラフィック情報を、トラフィック情報の解析を行う解析マネージャ装置に送信する情報送信手段と、
を備えることを特徴としている。
請求項12に記載の発明は、請求項11に記載の発明において、
前記フロー情報は、送信元情報を含み、
前記情報作成手段は、
前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける各宛先の送信元毎のトラフィック情報を作成する送信元毎情報作成手段、
を有することを特徴としている。
請求項13に記載の解析マネージャ装置は、
トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける宛先毎のトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段と、
前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段と、
を備えることを特徴としている。
請求項14に記載の発明は、請求項13に記載の発明において、
前記異常判定手段は、
トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける各宛先の送信元毎のトラフィック情報とに基づいて、特定リンクの特定宛先への特定送信元のトラフィックの異常を判定する送信元毎異常判定手段、
を有することを特徴としている。
請求項15に記載のプログラムは、
コンピュータを、
周辺の通信装置からフロー情報を収集するフロー収集手段、
前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段、
トラフィック情報の解析を行う解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段、
として機能させることを特徴としている。
請求項16に記載のプログラムは、
コンピュータを、
通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段、
前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段、
前記情報作成手段によって作成されたトラフィック情報を、トラフィック情報の解析を行う解析マネージャ装置に送信する情報送信手段、
として機能させることを特徴としている。
請求項17に記載のプログラムは、
コンピュータを、
トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける宛先毎のトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段、
前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段、
として機能させることを特徴としている。
請求項1、9及び15に記載の発明によれば、フロー収集装置が、解析マネージャ装置へ、所定の待機時間、待機してからトラフィック情報の送信を行うため、待機時間の設定に応じて複数のフロー収集装置の送信タイミングをずらすことができる。従って、効率的且つリアルタイムに異常トラフィックを検出することができる。
請求項2及び10に記載の発明によれば、請求項1及び9に記載の発明と同様の効果が得られるのは無論のこと、待機時間を、トラフィック情報の作成時間に基づいて算出するため、各フロー収集装置のトラフィック情報の送信処理が重ならずに連続的に行われるように、複数のフロー収集装置の送信タイミングを設定することができる。
請求項3に記載の発明によれば、請求項1及び9に記載の発明と同様の効果が得られるのは無論のこと、解析マネージャ装置が、各フロー収集装置に固有の管理番号を振り分け、通知するため、各フロー収集装置は、管理番号に基づいて待機時間を決定することができる。具体的にはトラフィック情報作成時間と管理番号を乗算した時間を待機時間とする。従って、各フロー収集装置のトラフィック情報の送信処理が重ならずに連続的に行われるように、各フロー収集装置の待機時間の設定が、自動的に行われる。従って、ユーザは、手動で待機時間を設定する必要がなく、通信監視システムの設定の煩わしさは軽減される。
請求項4に記載の発明によれば、請求項3に記載の発明と同様の効果が得られるのは無論のこと、解析マネージャ装置がフロー収集装置の個数が増減した場合、再び管理番号を振り分け、各フロー収集装置へ通知する。そのため、通信監視システム運用中にフロー収集装置が増減しても、各フロー収集装置の待機時間の設定が自動的に行われる。
請求項5、6、11、13、16及び17に記載の発明によれば、フロー収集装置が、各リンクにおける宛先毎のトラフィック情報を作成する。そして解析マネージャ装置は、異常なトラフィックがどの宛先に向けたものかを特定し、ユーザに通知する。そのため、ユーザは、どのリンクのどの宛先へのトラフィックが異常かを知ることができ、特定宛先へのトラフィックの帯域制御や遮断を行うことで、ネットワークの状態を最適に保つことができる。
請求項7、8、12及び14に記載の発明によれば、請求項5、6、11及び13に記載の発明と同様の効果が得られるのは無論のこと、フロー収集装置が、各リンクにおける各宛先の送信元毎のトラフィック情報を作成する。そして解析マネージャ装置は、異常なトラフィックがどの送信元から送られてきたものかを特定し、ユーザに通知する。そのため、ユーザは、どのリンクのどの宛先への、どの送信元からのトラフィックが異常かを知ることができ、異常なトラフィックを発生させている送信元を特定することができる。
〔システム概要〕
以下、本発明の通信監視システムの実施形態について、図1〜図14を参照して説明する。
図1は、本通信監視システムの概要図である。図1に示すように、ネットワーク1とネットワーク1以外のネットワーク2とは、それぞれルータ等の通信機器6によって接続されている。また、他ネットワーク2に、ホストコンピュータ3が接続されている。
自ネットワーク1において、一台の解析マネージャ装置5と複数台のフロー収集装置4が接続されている。フロー収集装置4は、ネットワーク上にある周辺のルータやスイッチ等の通信機器6からフロー情報7の収集を行い、収集したフロー情報7に基づいて、トラフィック情報8を作成する。そして、作成したトラフィック情報8を解析マネージャ装置5に、それぞれ送信する(詳しくは後述)。
また、フロー収集装置4によるフロー情報7の収集は、各フロー収集装置間で同期をとり、所定のインターバル時間T(秒)(図3参照)毎に行われる。インターバル時間T(秒)は、ネットワークの回線スピードやトラフィック量等に応じて調整され、秒単位で設定が可能である。
解析マネージャ装置5は、フロー収集装置4から送信されたトラフィック情報8を受信して解析を行い、ネットワークにおけるトラフィックの状態をユーザに通知する(詳しくは後述)。
〔フロー収集装置と解析マネージャ装置の構成〕
図2は、フロー収集装置4と解析マネージャ装置5のブロック図である。フロー収集装置4は、制御部9、通信部10、表示部11、入力部12及び記憶部13を備えて構成される。
制御部9は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等を有して構成され、フロー収集装置4の各機能部を統括的に制御する。
通信部10は、外部機器とデータ通信するための機能部であり、ネットワークインターフェース等により構成される。表示部11は、LCD(Liquid Crystal Display)等によって構成され、制御部9から出力される表示データに基づいて各種情報を表示する。
入力部12は、キーボード等によって構成され、ユーザにより押下操作されたキーの操作信号を制御部9に出力する。記憶部13は、読み書き可能な不揮発性メモリやハードディスク等から構成され、制御部9が実行する各種プログラムに用いられるデータや、当該プログラムで処理されたデータ等を記憶する。
解析マネージャ装置5は、制御部14、通信部15、表示部16、入力部17及び記憶部18を備えて構成される。尚、各構成要素の説明は、フロー収集装置4と同様なので省略する。
〔第1の実施形態:送信タイミングの調整〕
以下、複数のフロー収集装置4と、解析マネージャ装置5におけるトラフィック情報8の送信タイミングの調整についての第1の実施形態を説明する。
フロー収集装置4の通信部10は、周辺の通信機器6からフロー情報7を受け取り、記憶部13を送る。そして、制御部9はフロー情報7を記憶部13に記憶する。
次に制御部9は、記憶されたフロー情報7を読み出し、そのフロー情報7に基づいて、トラフィック情報8を作成する。制御部9は所定の時間、待機してから、作成したトラフィック情報8を、通信部13を介して解析マネージャ装置5へ送信する。この待機する時間を以下、待機時間と称す。
待機時間の設定において、入力部12からユーザが手動で設定してもよいし、他の端末から受信した信号に基づいて設定してもよい。
図3は、複数のフロー収集装置4における送信タイミングの調整の概要図である。自ネットワーク1内にフロー収集装置4が3台あり、各フロー収集装置4をそれぞれ、フロー収集装置4A、フロー収集装置4B、フロー収集装置4Cとする。
フロー収集装置4の処理は、周辺の通信機器6からフロー情報7を収集する「フロー収集処理x」、収集したフロー情報7に基づいてトラフィック情報8を作成する「トラフィック情報作成処理y」、作成したトラフィック情報8を解析マネージャ装置5に送信する「トラフィック情報送信処理z」の3つに大きく分けられる。
各フロー収集装置4は、トラフィック情報作成処理xにかかる時間と、トラフィック情報送信処理yにかかる時間とが、同じ長さになるように設定する。この時間の長さをTd秒とする。
ここで、フロー収集装置4Aの待機時間は0秒、フロー収集装置4Bの待機時間はTd秒、フロー収集装置4Cの待機時間は2Td秒(=Td+Td)と、ユーザによって手動で設定されているとする。
この場合、フロー収集装置4Bは、トラフィック情報作成処理yを完了後、Td秒待機してからトラフィック情報送信処理zを行う。また、フロー収集装置4Cは、トラフィック情報作成処理yを完了後、2Td秒(=Td+Td)待機してからトラフィック情報送信処理zを行う。
その結果、フロー収集装置4A、4B、4Cのトラフィック情報送信処理zは、順次連続で行われる。そのため、トラフィック情報送信処理zはそれぞれ同一のタイミングで重なって行われることがなく、解析マネージャ装置5にポーリングのような特殊なスケジューリング機能を持たせる必要はない。従って、解析マネージャ装置5への回線の負担と解析マネージャ装置5の負荷を軽減し、効率よく、リアルタイム性を損なうことなく、解析マネージャ装置5へトラフィック情報8の送信が行われる。
〔第2の実施形態:送信タイミングの調整〕
次に、送信タイミングの調整についての第2の実施形態を説明する。本実施形態は、解析マネージャ装置5から送られてきた「管理番号」と「固定基準時間」に基づいて、フロー収集装置4がそれぞれ待機時間を算出する。以下、詳しく説明する。
管理番号とは、解析マネージャ装置5によって割り当てられる各フロー収集装置4に固有の整数値である。また、固定基準時間とは、待機時間の基準となる時間であり、解析マネージャ装置5において、ユーザによって入力部17から設定される。尚、他のコンピュータから受信した信号に基づいて設定されてもよい。ここでは、固定基準時間を、トラフィック情報作成処理yに係る時間Td(秒)とする。
図4を用いて、解析マネージャ装置5が、管理番号と固定基準時間をフロー収集装置4に通知するシーケンスを説明する。フロー収集装置4は、ネットワークに接続されると、解析マネージャ装置5へ接続されたことを知らせる接続信号を送信する(ステップS1)。解析マネージャ装置5は、接続信号を受信すると、フロー収集装置4の管理番号を生成し(ステップS2)、管理番号と固定基準時間をフロー収集装置4へ通知する(ステップS3)。
フロー収集装置4は、管理番号と固定基準時間を解析マネージャ装置5から受け取り、これらの値に基づいて、待機時間を算出する(ステップS4)。待機時間は、管理番号と固定基準時間を乗算して算出される。算出された待機時間は、各フロー収集装置4において設定される。
図5を用いて、フロー収集装置4が複数台ある場合における、待機時間を算出する具体例を示す。ここでフロー収集装置4は3台あり、各フロー収集装置4をそれぞれ、フロー収集装置4A、フロー収集装置4B、フロー収集装置4Cとする。
解析マネージャ装置5は、フロー収集装置4Aに管理番号を「0」、フロー収集装置4Bに管理番号を「1」、フロー収集装置4Cに管理番号を「2」、として振り分ける。
解析マネージャ装置5は、各フロー収集装置4に固定基準時間と管理番号を通知する(ステップS11)。各フロー収集装置4は、受け取った固定基準時間と管理番号を乗算して、待機時間を算出する(ステップS12)。具体的には、フロー収集装置4Aの待機時間は0秒(=Td×0)、フロー収集装置4Bの待機時間はTd秒(=Td×1)、フロー収集装置4Cの待機時間は2Td秒(=Td×2)となる。
以上、本実施形態によれば、各フロー収集装置4の送信タイミングが重ならずに連続的になるように、各フロー収集装置4に対して自動で待機時間が設定される。従ってユーザが手動で待機時間を調整する必要がなく、通信監視システムの設定の煩わしさは軽減される。
〔変形例:送信タイミングの調整〕
尚、一定期間フロー収集装置4からトラフィック情報8が送信されなくなった場合、フロー収集装置4がネットワーク上から無くなったとして、解析マネージャ装置5は、該当する管理番号を開放する。開放された管理番号は、以後、新たにネットワーク上に接続されたフロー収集装置4に通知される。このとき、解析マネージャ装置5は、使用されていない最小の番号を、管理番号として割り振る。
そのため、通信監視システム運用中にフロー収集装置4が増減しても自動的に送信タイミングが調整されるので、フロー収集装置4が増減するたびに各フロー収集装置4の待機時間を、ユーザが手動で調整する必要がない。
〔第3の実施形態:宛先情報〕
〔フロー収集装置の動作〕
以下、通信監視システムにおける宛先毎の異常トラフィックの検出についての第3の実施形態について説明する。図6は、フロー情報7を収集する際のフロー収集装置4のフローチャート図である。これらの処理は、制御部9で行われる。
先ず、フロー収集装置4は、フロー情報7を周辺の通信機器6から受信する(ステップS21)。具体的には、sFlowパケットやNetFlowパケット等のフローデータを有しているフローパケットを受信する。フロー受信装置4は、sFlowパケットとNetFlowパケットが混在しても、それぞれ正しく認識する。
sFlowとはInMon社、NetFlowとはCiscoSystems社が提唱したサンプリングされたフローデータをベースとした計測技術である。
sFlowパケット、NetFlowパケットには、複数のフローデータが登録されており、ルータやスイッチ等の通信機器6間のリンク毎のフローデータを一つのパケットに集約している。これらsFlowパケット、NetFlowパケット等の、フローデータを使用した情報のことをフロー情報と呼ぶ。
フロー収集装置4は、複数のフローデータを単独のフローデータに分解する。その際、フロー収集装置は、分解された単独のフローデータに、どのリンクのフローデータなのかを識別するリンク情報を付加する。
そして、フロー収集装置4は、フローデータの種類毎にエントリを行い、エントリ毎にIPパケット数、TCPパケット数等の統計項目の統計値を取っていく。フロー収集装置4が受信したフローデータが既にエントリされている場合は、該当フローデータの統計項目に、受信したフローデータ中のIPパケット数、TCPパケット数等の値を加算していく。また、フロー収集装置4によって受信されたフローデータがエントリされていない場合は、新たにフローデータをエントリし、統計項目に受信したフローデータ中のIPパケット数、TCPパケット数等の値をカウントしていく。
統計項目は、「IPパケット数」、「IPバイト数」、「IPバイト分布:29〜63バイトのIPパケット数」、「IPバイト分布:1024以上のIPパケット数」、「TCPパケット数」、「UDPパケット数」、「ICMPパケット数」、「TCP−SYN数」、「TCP−RST数」、「TCP−FIN数」、「TCP−FTP−DATA数」、「TCP−HTTP数」、「UDP−WellKnown数」、「ICMP−Request数」、「ICMP−UnReachable数」から成る。ここで統計項目は、ここに示したものに限るものではなく、適宜変更可能である。
「IPパケット数」は、インターバル時間T(秒)の間にフロー収集装置4が受け取ったIPパケットの総数である。「IPバイト数」は、その受け取ったIPパケットのバイト総数である。
「IPバイト分布」は、その受け取ったIPパケットのバイト数の範囲毎の、IPパケットの総数である。バイト数の範囲は、0〜28バイト、29〜63バイト、1024バイト以上等のように分けられる。
「TCPパケット数」は、その受け取ったIPパケットのうち、TCPパケットの総数である。「UDPパケット数」は、その受け取ったIPパケットのうち、UDPパケットの総数である。「ICMPパケット数」は、そのIPパケットのうち、ICMPパケットの総数である。
「TCP−SYN数」は、インターバル時間T(秒)中にフロー収集装置4が受け取ったTCPパケットのうち、SYNパケットの総数である。「TCP−RST数」は、その受け取ったTCPパケットのうち、RSTパケットの総数である。「TCP−FIN数」は、その受け取ったTCPパケットのうち、FINパケットの総数である。
「TCP―FTP―DATA数」は、その受け取ったTCPパケットのうち、FTP DATAパケットの総数である。「TCP―HTTP数」は、その受け取ったTCPパケットのうち、HTTPパケットの総数である。
「UDP―WellKnown数」は、インターバル時間T(秒)中にフロー収集装置4が受け取ったUDPパケットのうち、WellKnownパケットの総数である。
「ICMP―Request数」は、インターバル時間T(秒)中にフロー収集装置4が受け取ったICMPパケットのうち、Requestパケットの総数である。「ICMP―UnReachable数」は、その受け取ったICMPパケットのうち、UnReachableパケットの総数である。
ステップS21のフロー情報受信後、インターバル期間内に受信したフロー情報7を、付加されたリンク情報に基づいてリンク毎に分類し、統計項目に、統計値を加算していく(ステップS22)。
インターバル期間の境界を判断した時点で、図8のような該当インターバルの特定リンクにおける統計項目の統計値のテーブル(以下、統計値テーブルと称す)を作成する。
以下、図8において、「IPPkt」はIPパケット数、「IPByte」はIPバイト数、「IPByte29−63」は29〜63バイトのIPバイト分布、「IPByte1024−」は1024バイト以上のIPバイト分布、「TCP」はTCPパケット数、「UDP」はUDPパケット数、「ICMP」はICMPパケット数、「SYN」はTCP−SYN数、「RST」はTCP−RST数、「FIN」はTCP−FIN数、「TCPFTPDATA」はTCP−FTP−DATA数、「TCPHTTP」はTCP−HTTP数、「UDPWellKnown」はUDP−WellKnown数、「ICMPRequest」はICMP−Request数、「ICMPUnReachable」はICMP−UnReachable数に対応している。
また、ステップS22と並行して、インターバル期間の境界を判断した時点で、図9のようなTopNテーブルを作成する(ステップS23)。TopNテーブルとは、該当インターバルの特定リンクにおけるIPパケット数を基準とした上位N番目までの宛先IPアドレス(宛先ホスト)とその統計項目の統計値を抽出したテーブルである。
そして、ステップS22、S23で作成された統計値テーブルとTopNテーブルを、トラフィック情報8として集約する(ステップS24)。次に、ステップS24で集約されたトラフィック情報8を解析マネージャ装置5に送信する(ステップS25)。
以上のフロー収集装置4の動作によって、フロー情報7からトラフィック情報8が作成される。
〔解析マネージャ装置の動作〕
図7は、各フロー収集装置4からトラフィック情報8を受信した後の、解析マネージャ装置5におけるトラフィック情報8の解析処理のフローチャート図である。
先ず、解析マネージャ装置5は、各フロー収集装置4から受け取ったトラフィック情報8を、フロー収集装置4で作成した図8に示す統計値テーブルに基づいて、リンク毎に分類する(ステップS31)。ステップS32以降、分類したリンク毎に処理を行う。
次に、リンク単位で、それぞれのリンク全体のトラフィック量が閾値を超えているかを判定する(ステップS32)。解析マネージャ装置5は、リンクにおけるIPパケットの閾値を記憶部18に保持している。この閾値は、ユーザによって入力部17より設定可能である。
この閾値と図8の統計値テーブルのIPパケット数とを比較して、IPパケット数の方が大きい値だったらトラフィック量が閾値を超えていると判定する。閾値の方が大きい値だったらトラフィック量は閾値を超えていないと判定する。
閾値を超えていないリンクは、ネットワークのトラフィックに対して脅威は無いと判定する。また、閾値を超えている場合は、該当リンクに異常トラフィックが存在するものと判定してステップS33の処理へと進む。
次に、異常トラフィックが存在していると判定されたリンクに対して、IPパケット数の多い宛先ホストの上位N番目までの統計値の情報(以後、TopN情報と称す)を抽出する(ステップS33)。ここでは、フロー収集装置4において、図9に示すTopNテーブルが既に作成されている為、このTopNテーブルを使用する。そのため、解析マネージャ装置5において、特別なソート処理等を行う必要はない。
次に、TopNテーブルの、宛先ホスト毎の各統計項目に対して統計項目異常スコアを算出する(ステップS34)。統計項目異常スコアの算出には、以下の式(1)を使う。
統計項目異常スコア=
標準異常スコア+閾値超過スコア+閾値超過継続スコア+閾値変化度スコア
・・・・(1)
式(1)における標準異常スコアは、統計項目毎に設定されている。解析マネージャ装置5は、記憶部18に、図10に示す統計項目に標準異常スコアを対応させたテーブル(以下、標準異常スコアテーブルと称す)を保持している。ここでは、一般に、異常トラフィックの発生要因となりやすい統計項目ほど異常スコアを高くしている。この異常スコアは、各ネットワーク状況等に合わせて適宜変更することが可能である。
また、解析マネージャ装置5は、記憶部18に、図11に示す統計項目に閾値を対応させたテーブル(以下、閾値テーブルと称す)を保持しており、統計項目毎に統計値が閾値を超えたかどうかを判断する。
統計項目の統計値が閾値を超えた場合、標準異常スコアの値は、標準異常スコアテーブルの統計項目に対応した標準異常スコアの値が設定される。統計項目の統計値が閾値を超えない場合は、標準異常スコアの値は0と設定される。
式(1)における閾値超過スコアは、閾値からの超過度を示すスコアである。閾値超過スコアは、次式(2)で表される。
閾値超過スコア=a×C/T ・・・・(2)
ここで、Cは特定の統計項目の統計値、Tは特定の統計項目の閾値、aは例えば、0.5のように影響度を調整可能な係数とする。
このスコアが加算されることで、統計項目異常スコアの値は高くなる。そのため、一つの統計項目のみが異常であっても、超過度が高ければ、その宛先ホストへのトラフィックは異常であると判断されるようになる。
式(1)における閾値超過継続スコアは、統計値が閾値を超過した時間を示すスコアである。閾値超過継続スコアは、次式(3)で表される。
閾値超過継続スコア=b×N ・・・・(3)
ここで、Nは閾値超過の継続インターバル回数、bは例えば、0.5のように影響度を調整可能な係数とする。
これにより閾値超過度が微小な値であっても、長時間にわたり閾値超過状態が続くことで、統計項目異常スコアの値は高くなる。
式(1)における閾値変化度スコアは、統計値の異常スコアの変化度を示すスコアである。閾値変化度スコアは、次式(4)で表される。
閾値変化度スコア=c×|D| ・・・・(4)
ここで、Dは前回の閾値超過スコアから今回の閾値超過スコアを引いたもの、cは例えば、0.5のように影響度を調整可能な係数とする。
これにより、閾値超過状態の激しい変動があった場合、統計項目異常スコアの値は高くなる。
式(1)に基づいて統計項目毎の異常スコアを算出した結果を図12に示す。ここでは、ある特定のインターバルでの統計値を参考例にしているため、異常スコアの算出には「標準異常スコア」と「閾値超過スコア(a=1)」のみ使用している。
具体的な算出例として、宛先Aの統計項目「IPパケット数」の異常スコアを挙げる。ここで、標準異常スコアは1、閾値超過スコアの係数は1、統計値は443855、閾値は33300である。よって、式(1)により、異常スコアは14(=1+(1×443855/33300))となる。
次に、宛先ホスト毎に統計項目異常スコアを加算して、宛先ホスト毎異常スコアを算出する。図13に算出結果を示す。そして、宛先ホスト毎異常スコアの値に基づいて、異常トラフィックが存在するリンクにおいて、どの宛先ホストへのトラフィックが異常なのかを判定する(ステップS35)。この判定には、図14のような宛先ホスト毎異常スコアに異常ステータスを対応させたテーブル(以下、異常ステータステーブルと称す)を使用する。異常ステータステーブルは、解析マネージャ装置5が記憶部18に保持している。
異常ステータスとは、ネットワークの異常度であり、異常ステータスを「正常」、「通知」、「注意」、「警告」、「緊急」、「遮断」の6つのレベルに分けられる。正常、通知、注意、警告、緊急、遮断の順にネットワークの異常度が高くなる。
そして、異常スコアが0の場合は「正常」、異常スコアが1〜5の場合は「通知」、異常スコアが6〜10の場合は「注意」、異常スコアが11〜15の場合は「警告」、異常スコアが21以上の場合は「遮断」と判定する。
例えば、図13において、宛先Aの宛先ホスト毎異常スコアは2364である。図14の異常ステータステーブルを参照すると異常ステータスは「遮断」となる。
さらに、図12中の統計項目異常スコアを参照して、宛先の異常ステータスの異常度が高くなっている原因を特定することができる。例えば、図12中の宛先Aにおいて、UDP−WellKnown数の統計項目異常スコアが2220となっているため、宛先Aの異常ステータスが「遮断」となっている原因は、宛先AへのDos攻撃UDP Floodであると特定される。
また、図14における異常スコアと異常ステータスの対応は、ユーザによって、解析マネージャ装置5の入力部17によって、適宜設定可能である。
解析マネージャ装置5は、この異常ステータスを表示部16に表示し、ユーザへ異常トラフィックが存在するリンクの、宛先毎の異常ステータスを知らせる。
以上、本実施形態によれば、ユーザは、異常トラフィックが存在するリンクの宛先毎の異常ステータスを知ることができる。そのため、ユーザは、この異常ステータスに応じて、特定宛先ホストへのトラフィックの帯域制御や遮断を行うことで、ネットワークの状態を最適に保つことができる。
特に、処理が複雑なプロトコル解析処理をしなくても、特定リンク内の特定宛先ホストへの異常トラフィックを特定することができる。
〔変形例:宛先情報〕
尚、特定のポート番号を使用するP2Pアプリケーションのトラフィックがネットワークの通信帯域に影響を及ぼすほどの高トラフィックとなった場合を考える。このとき、フロー収集装置4において、フロー情報7に含まれる特定のポート番号の統計項目をトラフィック情報8に新たに設定すれば、解析マネージャ装置5における統計項目異常スコア算出時に、統計項目異常スコアが高い値として現れるため、高レイヤのプロトコル解析処理を行わなくても異常ホストを特定できる。
また、フロー収集装置4において、図9のTopNテーブルを作成した後、各宛先ホストの送信元ホスト毎の、IPパケット数を基準とした上位N番目までの送信元IPアドレス(送信元ホスト)とその統計項目の統計値を抽出したテーブルを作成し(以下、送信元毎TopNテーブルと称す)、トラフィック情報8に追加する。
解析マネージャ装置5は、トラフィック情報8に追加された送信元毎TopNテーブルに基づいて、異常トラフィックが存在するリンクの異常ステータスが高い宛先について、高トラフィックを発生している送信元ホストの識別を行うことができる。
さらに、宛先ホスト毎異常スコアを算出した方法と同様に、数式(1)を使用し、送信元毎の異常スコアを算出し、異常トラフィックを発生させている送信元を特定することもできる。
通信監視システムのシステム図。 フロー収集装置、解析マネージャ装置のブロック図。 複数のフロー収集装置における送信タイミングの調整の概要図。 新規にフロー収集装置を追加した際の通信シーケンス図。 待機時間の算出における通信監視システムのシーケンス図。 フロー収集装置のフローチャート。 解析マネージャ装置のフローチャート。 統計値テーブルのデータ構成を示す図。 TopNテーブルのデータ構成を示す図。 標準異常スコアテーブルのデータ構成を示す図。 閾値テーブルのデータ構成を示す図。 異常スコア算出結果を示す図。 宛先ホスト毎異常スコア算出結果を示す図。 異常ステータステーブルのデータ構成を示す図。
符号の説明
1 自ネットワーク
2 他ネットワーク
3 ホストコンピュータ
4 フロー収集装置
5 解析マネージャ装置
6 通信機器(ルータ又はスイッチ)
7 フロー情報
8 トラフィック情報
9 制御部
10 通信部
11 表示部
12 入力部
13 記憶部
14 制御部
15 通信部
16 表示部
17 入力部
18 記憶部

Claims (17)

  1. 複数のフロー収集装置と、
    前記フロー収集装置から受信したトラフィック情報の解析を行う解析マネージャ装置と、
    をそれぞれネットワーク回線に接続した通信監視システムにおいて、
    前記フロー収集装置は、
    周辺の通信装置からフロー情報を収集するフロー収集手段と、
    前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段と、
    前記解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段と、
    を備えることを特徴とする通信監視システム。
  2. 前記情報送信手段は、
    前記情報作成手段のトラフィック情報の作成時間に基づいて前記待機時間を算出する第1待機時間算出手段、
    を有することを特徴とする請求項1に記載の通信監視システム。
  3. 前記解析マネージャ装置は、
    前記各フロー収集装置に固有の管理番号を振り分け、その各フロー収集装置に通知する番号通知手段を更に備え、
    前記情報作成手段は、
    前記解析マネージャ装置によって通知された前記管理番号に基づいて前記待機時間を算出する第2待機時間算出手段、
    を有することを特徴とする請求項1に記載の通信監視システム。
  4. 前記番号通知手段は、
    前記フロー収集装置の台数が増減した場合、再び前記管理番号を振り分けて各フロー収集装置に再通知する番号再通知手段、
    を有することを特徴とする請求項3に記載の通信監視システム。
  5. 複数のフロー収集装置と、
    前記フロー収集装置から受信したトラフィック情報の解析を行う解析マネージャ装置と、
    をそれぞれネットワーク回線に接続した通信監視システムにおいて、
    前記フロー収集装置は、
    通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段と、
    前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段と、
    前記情報作成手段によって作成されたトラフィック情報を、前記解析マネージャ装置に送信する情報送信手段と、
    を備えることを特徴とする通信監視システム。
  6. 前記解析マネージャ装置は、
    トラフィック量の閾値と、前記フロー収集装置から送信されたトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段と、
    前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段と、
    を更に備えることを特徴とする請求項5に記載の通信監視システム。
  7. 前記フロー情報は、送信元情報を含み、
    前記情報作成手段は、
    前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける各宛先の送信元毎のトラフィック情報を作成する送信元毎情報作成手段、
    を有することを特徴とする請求項6に記載の通信監視システム。
  8. 前記異常判定手段は、
    トラフィック量の閾値と、前記フロー収集装置から送信されたトラフィック情報とに基づいて、特定リンクの特定宛先への特定送信元のトラフィックの異常を判定する送信元毎異常判定手段、
    を有することを特徴とする請求項7に記載の通信監視システム。
  9. 周辺の通信装置からフロー情報を収集するフロー収集手段と、
    前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段と、
    トラフィック情報の解析を行う解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段と、
    を備えることを特徴とするフロー収集装置。
  10. 前記情報送信手段は、
    前記情報作成手段のトラフィック情報の作成時間に基づいて前記待機時間を算出する待機時間算出手段、
    を有することを特徴とする請求項9に記載のフロー収集装置。
  11. 通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段と、
    前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段と、
    前記情報作成手段によって作成されたトラフィック情報を、トラフィック情報の解析を行う解析マネージャ装置に送信する情報送信手段と、
    を備えることを特徴とするフロー収集装置。
  12. 前記フロー情報は、送信元情報を含み、
    前記情報作成手段は、
    前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける各宛先の送信元毎のトラフィック情報を作成する送信元毎情報作成手段、
    を有することを特徴とする請求項11に記載のフロー収集装置。
  13. トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける宛先毎のトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段と、
    前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段と、
    を備えることを特徴とする解析マネージャ装置。
  14. 前記異常判定手段は、
    トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける各宛先の送信元毎のトラフィック情報とに基づいて、特定リンクの特定宛先への特定送信元のトラフィックの異常を判定する送信元毎異常判定手段、
    を有することを特徴とする請求項13に記載の解析マネージャ装置。
  15. コンピュータを、
    周辺の通信装置からフロー情報を収集するフロー収集手段、
    前記フロー収集手段によって収集されたフロー情報に基づいて、トラフィック情報を作成する情報作成手段、
    トラフィック情報の解析を行う解析マネージャ装置に前記情報作成手段によって作成されたトラフィック情報を、所定の待機時間、待機してから送信する情報送信手段、
    として機能させるためのプログラム。
  16. コンピュータを、
    通信装置同士を結ぶリンク毎の宛先情報を含むフロー情報を、周辺の通信装置から収集するフロー収集手段、
    前記フロー収集手段によって収集されたフロー情報に基づいて、各リンクにおける宛先毎のトラフィック情報を作成する情報作成手段、
    前記情報作成手段によって作成されたトラフィック情報を、トラフィック情報の解析を行う解析マネージャ装置に送信する情報送信手段、
    として機能させるためのプログラム。
  17. コンピュータを、
    トラフィック量の閾値と、フロー収集装置から送信された各リンクにおける宛先毎のトラフィック情報とに基づいて、特定リンクの特定宛先へのトラフィックの異常を判定する異常判定手段、
    前記異常判定手段によって判定されたトラフィックの異常をユーザに通知する通知手段、
    として機能させるためのプログラム。
JP2006257743A 2006-09-22 2006-09-22 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム Pending JP2008079138A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006257743A JP2008079138A (ja) 2006-09-22 2006-09-22 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006257743A JP2008079138A (ja) 2006-09-22 2006-09-22 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム

Publications (1)

Publication Number Publication Date
JP2008079138A true JP2008079138A (ja) 2008-04-03

Family

ID=39350695

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006257743A Pending JP2008079138A (ja) 2006-09-22 2006-09-22 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム

Country Status (1)

Country Link
JP (1) JP2008079138A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010273092A (ja) * 2009-05-21 2010-12-02 Kddi Corp トラヒック記録装置、トラヒック記録方法およびトラヒック記録プログラム
JP2017041821A (ja) * 2015-08-21 2017-02-23 日本電信電話株式会社 トラヒック観測システムおよび方法
JP2019168901A (ja) * 2018-03-23 2019-10-03 日本電気株式会社 情報処理装置、情報処理方法及びプログラム
JPWO2022003760A1 (ja) * 2020-06-29 2022-01-06

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010273092A (ja) * 2009-05-21 2010-12-02 Kddi Corp トラヒック記録装置、トラヒック記録方法およびトラヒック記録プログラム
JP2017041821A (ja) * 2015-08-21 2017-02-23 日本電信電話株式会社 トラヒック観測システムおよび方法
JP2019168901A (ja) * 2018-03-23 2019-10-03 日本電気株式会社 情報処理装置、情報処理方法及びプログラム
JP7139642B2 (ja) 2018-03-23 2022-09-21 日本電気株式会社 情報処理装置、情報処理方法及びプログラム
JPWO2022003760A1 (ja) * 2020-06-29 2022-01-06
WO2022003760A1 (ja) * 2020-06-29 2022-01-06 日本電信電話株式会社 トラヒックデータを収集するネットワーク転送装置を決定する装置、方法、システム、プログラム

Similar Documents

Publication Publication Date Title
US11805143B2 (en) Method and system for confident anomaly detection in computer network traffic
CN104506482B (zh) 网络攻击检测方法及装置
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
EP2288086B1 (en) Network monitoring device, bus system monitoring device, method and program
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
EP1980054B1 (en) Method and apparatus for monitoring malicious traffic in communication networks
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
US8687507B2 (en) Method, arrangement and system for monitoring a data path in a communication network
EP3138008B1 (en) Method and system for confident anomaly detection in computer network traffic
JP6014932B2 (ja) ネットワーク装置、性能制御方法及びネットワークシステム
JP2011035932A (ja) ネットワーク制御装置およびその制御方法
Wang et al. A bandwidth-efficient int system for tracking the rules matched by the packets of a flow
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
Ono et al. A design of port scan detection method based on the characteristics of packet-in messages in openflow networks
JP2007074383A (ja) 情報システム
Imputato et al. Revisiting design choices in queue disciplines: The PIE case
US11895146B2 (en) Infection-spreading attack detection system and method, and program
JP2005286684A (ja) トラフィックフロー計測環境設定方式
JP3953999B2 (ja) 輻輳検知装置、tcpトラヒックの輻輳検知方法およびプログラム
JP2002164890A (ja) ネットワークの診断装置
KR101380292B1 (ko) 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템
CN118137679B (zh) 变电站安全智慧管控集成系统