JP2008244635A - ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 - Google Patents
ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 Download PDFInfo
- Publication number
- JP2008244635A JP2008244635A JP2007079737A JP2007079737A JP2008244635A JP 2008244635 A JP2008244635 A JP 2008244635A JP 2007079737 A JP2007079737 A JP 2007079737A JP 2007079737 A JP2007079737 A JP 2007079737A JP 2008244635 A JP2008244635 A JP 2008244635A
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- condition
- collection
- information
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 264
- 238000000034 method Methods 0.000 title claims description 24
- 238000004891 communication Methods 0.000 claims abstract description 21
- 230000008569 process Effects 0.000 claims description 10
- 238000005259 measurement Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 20
- 239000000523 sample Substances 0.000 description 42
- 238000001514 detection method Methods 0.000 description 17
- 230000005540 biological transmission Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000009385 viral infection Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】予め監視対象を限定するのではなく、過去に遡って監視対象を指定し、既存保存データから分析に必要な監視対象のデータを生成することができるようにする。
【解決手段】本発明のネットワーク監視システムは、監視回線上の全通信パケットのパケット情報を受信時刻情報と対応付けてパケット情報保持部の保持し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、各収集手段からのトラフィックフロー情報に基づく所定の監視対象の集計情報を管理する管理手段と、外部の監視対象通知手段からの少なくとも監視時間条件を有する監視対象特定情報より新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段とを備え、各収集手段は、新たな収集条件の監視時間条件が過去の時間範囲である場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求める。
【選択図】 図1
【解決手段】本発明のネットワーク監視システムは、監視回線上の全通信パケットのパケット情報を受信時刻情報と対応付けてパケット情報保持部の保持し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、各収集手段からのトラフィックフロー情報に基づく所定の監視対象の集計情報を管理する管理手段と、外部の監視対象通知手段からの少なくとも監視時間条件を有する監視対象特定情報より新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段とを備え、各収集手段は、新たな収集条件の監視時間条件が過去の時間範囲である場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求める。
【選択図】 図1
Description
本発明は、ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置に関し、例えば、広帯域ネットワーク上のトラフィックフロー情報を多地点で観測する多地点広帯域トラフィック監視システムに適用し得る。
近年、ネットワーク上では、複雑かつ高度なウィルスが日々発生している。また、近年のネットワーク技術の進展に伴い、ネットワークが一般的に広く普及されているが、今後、さらなる技術の進展により、広帯域のネットワークが広く導入され、社会基盤として浸透することが期待される。そこで、既存規模のネットワークだけでなく、大規模な広帯域ネットワークを監視することができ、ネットワーク異常を効率的に検出するシステムが強く望まれている。
従来、ネットワーク監視システムとしては、種々の技術があるが、そのうちの1つとして、ネットワーク上を通過するパケットのパケット情報に基づいて、通信パケット量等のトラフィック情報を監視する技術がある(特許文献1参照)。
例えば、ネットワーク上のパケット量を監視する技術としては、例えば、図2に示すように、SNMP(Simple Network Management Protocol)等のプロトコルを用いて、監視装置が、ルータやスイッチングハブ等の中継装置から、通過するパケット量を取得し、監視する技術や、また例えば、図3に示すように、スイッチングハブ等の中継装置がミラーポートを備え、ミラーポート経由のパケットを監視装置に与え、監視装置がパケット量を直接計測する技術などがある。
従来のネットワーク監視システムでは、事前に監視条件を設定しておき、その事前設定した条件に従って、リアルタイムにネットワークトラフィックを監視し、トラフィックフロー量を解析している。
ところで、例えば、ネットワーク障害やウィルス感染等は、いつ、どこで発生するか分からないため、従来の障害等の調査・解析方法は、セキュリティシステムのセキュリティ事象(例えば、スイッチダウンやトラフィックフロー量の急増検出等)が発生した後、過去の通信データを利用して改めて行なうこととしている。
従来のネットワーク監視システムは、上述したように、事前設定された時間条件や監視条件に基づいてネットワークを監視することとしている。従って、ネットワーク監視システムの時間条件や監視条件を設定変更することで対応することも考えられる。
しかしながら、一般に、ネットワークトラフィックの特性は、長期的な時間単位でみた場合には周期的な特性が見受けられるが、突発的な事象等は再現することなく逐次変化を続けている。そのため、ネットワーク監視に係る時間条件や監視条件を複数設定する必要があるが、記憶領域が圧縮されてしまい、設定する条件によってはデータ取得できないという問題があった。
そのため、予め監視対象を限定するのではなく、過去に遡って監視対象を指定し、既存保存データから分析に必要な監視対象のデータを生成することができる、ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置が求められている。
かかる課題を解決するために、第1の本発明のネットワーク監視システムは、(1)1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けて保持するパケット情報保持部を有し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、(2)各収集手段からのトラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段と、(3)管理手段における監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段とを備え、(1−1)各収集手段は、監視対象設定管理手段から受け取った新たな収集条件の監視時間条件が過去の時間範囲を指定する場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求めることを特徴とする。
第2の本発明の収集装置は、1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けて保持するパケット情報保持部を有し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、各収集手段からのトラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段と、管理手段における監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段とを備えるネットワーク監視システムを構成する各収集装置において、(1)各収集手段が、監視対象設定管理手段から受け取った新たな収集条件の監視時間条件が過去の時間範囲を指定する場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求めることを特徴とする。
第3の本発明のネットワーク監視方法は、複数の収集手段、管理手段及び監視対象設定管理手段を備え、(1)各収集手段が、1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けてパケット情報保持部に保持し、所定の収集条件のトラフィックフロー情報を求める収集工程と、(2)管理手段が、各収集手段からのトラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理工程と、(3)管理手段における監視対象を特定する監視条件を管理する監視対象設定管理手段が、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理工程とを備え、(1−1)各収集手段は、監視対象設定管理手段から受け取った新たな収集条件の監視時間条件が過去の時間範囲を指定する場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求めることを特徴とする。
第4の本発明のネットワーク監視プログラムは、コンピュータに、(1)1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けてパケット情報保持部に保持し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段、(2)各収集手段からのトラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段、(3)管理手段における監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな収集条件として各収集手段に設定させる監視対象設定管理手段として機能させ、さらに、(1−1)各収集手段として、監視対象設定管理手段から受け取った新たな収集条件の監視時間条件が過去の時間範囲を指定する場合、パケット情報保持部を参照して、新たな収集条件のトラフィックフロー情報を求めさせるプログラム。
本発明のネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置によれば、予め監視対象を限定するのではなく、過去に遡って監視対象を指定し、既存保存データから分析に必要な監視対象のデータを生成することができる。
(A)第1の実施形態
以下、本発明のネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置の第1の実施形態を図面を参照して説明する。
以下、本発明のネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置の第1の実施形態を図面を参照して説明する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。図1において、第1の実施形態のネットワーク監視システム6は、マネージャ装置1、収集プローブ装置2(2−1〜2−2)、検知装置3、中継装置5(5−1〜5−2)、管理者端末7、を少なくとも有して構成される。
図1は、第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。図1において、第1の実施形態のネットワーク監視システム6は、マネージャ装置1、収集プローブ装置2(2−1〜2−2)、検知装置3、中継装置5(5−1〜5−2)、管理者端末7、を少なくとも有して構成される。
第1の実施形態では、ネットワーク媒体としては、例えば、電気回線や光ファイバ回線等の有線回線や、無線回線を一部又は全部に有するものを適用することができる。また、OSI基本参照モデルのトランスポート層に対応するプロトコルとしては、特に限定されないが、例えば、TCP、UDP、ICMP等を適用することができる。
収集プローブ装置2−1〜2−2は、中継装置5−1〜5−2と接続し、中継装置5−1〜5−2上を通過するパケットを全て取得し、全てのパケットのパケット情報に基づいて、所定の収集条件に該当するトラフィックのトラフィック量(以下、トラフィックフロー統計情報ともいう)を計測するものである。また、収集プローブ装置2−1〜2−2は、常時又は周期的に、計測したトラフィックフロー統計情報をマネージャ装置1に与えるものである。
また、収集プローブ装置2−1〜2−2は、マネージャ装置1から監視対象の設定情報を受け取ると、その設定情報に応じて、パケット情報を収集する収集条件を設定するものである。
さらに、収集プローブ装置2−1〜2−2は、マネージャ装置1から監視対象の設定情報を受け取ると、その設定情報である時間条件が過去の時間範囲であるか否かを判断するものであり、過去の時間条件とする設定情報である場合には、既に保持しているパケット情報の中から、過去の時間範囲内の条件に該当するパケット情報を抽出して、解析処理を行なうものである。
これにより、予め複数の監視対象についての条件を設定する必要がないので、分析に必要なデータのみを効率的に蓄積することができる。
なお、時間条件が過去の時間範囲でない場合、収集プローブ装置2−1〜2−2は、当該設定情報に基づく収集条件を追加的に設定し、並列的な処理ができる。
図4は、第1の実施形態の収集プローブ装置2(2−1〜2−2)が有する主な内部機能を示す機能ブロック図である。図4に示すように、収集プローブ装置2は、パケット取得部201、パケット情報保持部202、収集対象選定部203、マネージャ送受信部204、解析部205、新規トラフィック量記憶部206、既存パケット情報記憶部207、パケット情報収集部208、解析部209、指定時間条件トラフィック量記憶部210、を少なくとも有する。
パケット取得部201は、中継装置5を通過する全ての通信パケットを捕捉するものである。パケット取得部201の取得方法としては、例えば、中継装置5(例えばルータやスイッチングハブ等)からSNMP等のプロトコルを用いて取得する方法や、中継装置5のミラーポートに接続し、ネットワーク上を流れるパケットを取得する方法等が適用できる。
パケット情報保持部202は、パケット取得部201により取得された全通信パケットのパケット情報を受信時刻に対応付けて保持するものである。
収集対象選定部203は、マネージャ装置1からの設定情報に従って、パケット情報の収集対象の条件を選定するものである。
ここで、マネージャ装置1からの設定情報は、例えば、監視対象を特定する監視条件(例えば、送信元IPアドレス、送信先IPアドレス、VLANタグ番号、通信ポート番号等)及び監視時間範囲を特定する時間条件(例えば、監視開始時刻、監視終了時刻等)を有するパケット情報解析ルール情報や、アラート設定情報(例えば、ポートスキャンやIPスイープ等の不正通信の設定情報や、ポートまたはアプリケーション単位での閾値超過に対する設定情報等)等を有するものである。
また、収集対象選定部203は、マネージャ装置1からの設定情報に基づいて、時間条件が過去の時間情報であるか否かを判断するものである。そして、時間条件が過去の時間情報であるとき、収集対象選定部203は、パケット情報収集部208に対し、既存パケット情報記憶部207に保持されるパケット情報から、設定情報に含まれている過去の時間条件及び監視条件に従ったパケット情報を収集させるものである。
マネージャ送受信部204は、マネージャ装置1との間で、各種情報を授受するものである。また、マネージャ送受信部204は、新規トラフィック量記憶部206及び指定時間条件トラフィック量記憶部210に記憶されているトラフィックフロー統計情報を、所定時間間隔毎にマネージャ装置1に送信するものである。なお、トラフィックフロー統計情報を送信する時間間隔は、任意に設定・変更することができるものであり、マネージャ装置1からの指示に応じて設定・変更するようにしてもよい。
解析部205は、収集対象選定部203が選定した収集条件に従って、現在通過するパケットの個数やサイズを単位時間毎に集計し、当該収集対象のトラフィックのトラフィック量を計測するものである。これにより、監視対象のトラフィックフロー統計情報をリアルタイムに求めることができる。
新規トラフィック量記憶部206は、解析部205が求めたトラフィックフロー統計情報を記憶するものである。この新規トラフィック量記憶部206に記憶されるトラフィックフロー統計情報は、常時又は周期的に、マネージャ送受信部204によりマネージャ装置1に送信される。
パケット情報収集部208は、収集対象選定部203の指示を受けて、過去の時間条件及び監視条件に従ったパケット情報を、既存パケット情報記憶部207から収集するものである。これにより、過去の時間範囲内で通過した、監視条件に該当するパケット情報を抽出することができる。
解析部209は、パケット情報収集部208により収集されたパケット情報に基づいて、トラフィックフロー統計情報を計測するものである。これにより、過去の時間範囲内で条件に該当するパケットのトラフィックフロー統計情報を計測することができる。
指定時間条件トラフィック量記憶部210は、解析部209が求めた過去の時間範囲内の監視条件に該当するトラフィックフロー統計情報を記憶するものである。この指定時間条件トラフィック量記憶部210に記憶されるトラフィックフロー統計情報も、常時又は周期的に、マネージャ送受信部204によりマネージャ装置1に送信される。
上述した新規トラフィック量記憶部206は、従来の記憶領域同様に短期でクリアされるものであるのに対し、指定時間条件トラフィック量記憶部210は、長期に保存することができる。これにより、過去の時間範囲内で解析したデータのみを長期に亘って保存することができる。そのため、分析に必要なデータのみを記憶することで、記憶領域を節約し、かつ、有用な情報のみを蓄積することができる。
図1に戻り、マネージャ装置1について説明する。マネージャ装置1は、複数の収集プローブ装置2−1〜2−2が収集したトラフィック情報を常時又は周期的に取得し、所定の監視対象毎のトラフィックフロー情報を集計するものである。これにより、多地点に配置された各収集プローブ装置2からのトラフィックフローの統計情報を集約することができ、さらに、これらのトラフィックフローの統計情報を加工することで、広帯域ネットワーク全体のトラフィック解析を得ることができる。
また、マネージャ装置1は、管理者端末7又は検知装置3から、ネットワークトラフィックの監視対象を特定する設定情報を取り込むと、その監視対象の設定情報を管理すると共に、その監視対象の設定情報を全ての収集プローブ装置2(2−1〜2−2)に通知するものである。
なお、ネットワークトラフィックの監視対象の設定情報の初期設定は、基本的には、管理者端末7からの指示によるものとするが、その後の設定は、管理者端末7からの指示だけでなく、検知装置3からの指示によっても、自動的に設定される。
図5は、第1の実施形態のマネージャ装置1が有する主な機能構成を示す機能ブロック図である。図5に示すように、マネージャ装置1は、監視設定受付部101、監視対象設定管理部102、出力制御部103、を有する。
監視設定受付部101は、管理者端末7及び又は検知装置3から監視対象の設定情報を受け取り、その監視対象の設定情報を監視対象設定管理部102に与えるものである。
ここで、管理者端末7からの監視対象の設定情報としては、管理者の操作を受けて、取り込んだ設定情報が該当する。また、検知装置3からの監視対象の設定情報としては、検知装置3が検知したパケットのパケット情報及び検知時間に関する情報が該当する。
監視対象設定管理部102は、監視設定受付部101が取得した1又は複数の監視対象の設定情報を管理すると共に、これら監視対象の設定情報を全ての収集プローブ装置2(2−1〜2−2)に通知するものである。
図6は、監視対象の設定情報の構成例を説明する説明図である。図6において、監視対象の設定情報としては、上述したように、例えば送信元IPアドレス、送信先IPアドレス、VLAN番号、プロトコルID、通信ポート番号等の監視条件と、監視時間を示す時間条件とを、少なくとも有する情報である。
図6において、時間条件は、「条件No.1」のように、監視時間範囲が指定されていないものや、「条件No.2」〜「条件No.4」のように監視時間範囲が指定されているものとすることができる。「条件No.2」は、2007/2/01から2007/3/1の範囲を監視する条件である。「条件No.3」は、2007/2/1から2007/301の範囲で、「192.168.1.0」のネットワークから「192.168.2.0」のネットワークの通信のみを抽出する条件である。「条件No.4」は、2007/2/1から2007/3/1まで範囲で、「192.168.1.100」のホストから「192.168.2.200」のホストへの通信のみを抽出する条件である。
このような時間条件を設けることで、過去の時間範囲を条件とする場合には、全収集プローブ装置2−1〜2−2に対して、過去の時間範囲の中で監視条件に該当するトラフィック量の解析を遡及的に実行させることができる。
なお、図6では、監視対象設定管理部102が2種類の条件を管理する場合を示したが、3種類以上の条件も管理できる。この場合、時間条件が設定されているものが2種類以上であってもよいし、及び又は、時間条件が設定されていないものが2種類以上であってもよい。
出力制御部103は、各収集プローブ装置2−1〜2−2が解析したトラフィックフロー統計情報を全収集プローブ装置2−1〜2−2から取得し、各トラフィックフロー統計情報に基づいて所定の加工処理(例えば、集計処理等)を施し、その処理結果を管理者端末7に出力するものである。
図1に戻り、管理者端末7は、第1の実施形態のネットワーク監視システム6の管理者が操作する端末であり、例えばパーソナルコンピュータ等の情報処理装置が該当する。管理者端末7は、管理者の操作を受けて、監視対象の設定情報を取り込み、その監視対象の設定情報をマネージャ装置1に与えたり、又、管理者の操作を受けて、マネージャ装置1と連携して、所定の加工処理されたトラフィックフロー統計結果を表示するものである。
検知装置3は、所定の通信無効条件やインシデント事象に一致する通信内容のパケットを検知するセキュリティシステムであり、例えば、ファイアウォールやIDS/IPS等に代表されるセキュリティシステムが該当する。検知装置3は、所定検知条件に一致するパケットを検知すると、そのパケット情報(例えば、送信元IPアドレス、送信先IPアドレス、VLAN番号、ポート番号、プロトコルID等)及び検知時刻情報を、マネージャ装置1に与えるものである。なお、図1では、説明便宜上、1個の検知装置3を示した場合を示すが、複数個の検知装置3を備えるものとしてもよい。
中継装置5(5−1〜5−2)は、例えば、スイッチングハブやルータ等の装置が該当し、通過するパケットを全て対応する収集プローブ装置2−1〜2−2に与えるものである。
(A−2)第1の実施形態の動作
次に、第1の実施形態のネットワーク監視システム6において、過去の時間条件及び監視条件に従ったトラフィックを自動的に監視する処理動作を図面を参照しながら説明する。
次に、第1の実施形態のネットワーク監視システム6において、過去の時間条件及び監視条件に従ったトラフィックを自動的に監視する処理動作を図面を参照しながら説明する。
図1において、ネットワーク監視システム6の管理者が、管理者端末7を用いて、監視対象の設定情報を入力すると、管理者端末7は、入力された監視対象の設定情報をマネージャ装置1に与える(ステップS1)。
なお、ステップS1での監視対象の設定情報は、従来と同様の事前に設定される設定情報に相当する。すなわち、監視対象の設定情報としては、例えば、送信元IPアドレス、送信先IPアドレス、VLAN番号、通信ポート番号等の監視条件と、時間条件(ここでは、過去の時間範囲としない条件)とを有するものである。
マネージャ装置1では、監視設定受付部101が、監視対象の設定情報を管理者端末1から受け取ると、その受け取った監視対象の設定情報を監視対象設定管理部102に与える。監視対象の設定情報が監視対象設定管理部102に与えられると、監視対象の設定情報は、監視対象設定管理部102により管理されると共に、監視対象設定管理部102により全ての収集プローブ装置2−1〜2−2に通知される(ステップS2)。
監視対象設定管理部102から監視対象の設定情報が各収集プローブ装置2−1〜2−2に与えられると、各収集プローブ装置2−1〜2−2では、監視対象の設定情報の時間条件の内容に応じて、以下の動作を行なう。
図7は、各収集プローブ装置2−1〜2−2におけるトラフィック量の計測動作を示すフローチャートである。
図7において、マネージャ送受信部204が監視対象の設定情報を取得すると(ステップS101)、収集対象選定部203は、監視対象の設定情報に従って、パケットの収集条件を設定し、監視対象の設定情報に含まれている時間条件に基づいて、過去の監視時間範囲のものであるか否かを判断する(ステップS102)。
そして、当該時間条件が過去の監視時間範囲のものである場合、処理はステップS106に移行し、そうでない場合、処理はステップS103に移行する。
ここでは、当該監視対象の設定情報は、過去の監視時間範囲とない場合を想定しているので、ステップS103に移行する。
このとき、収集プローブ装置2−1〜2−2は、中継装置5−1〜5−2を通過する全てのパケットを取得し、全てのパケット情報を保持している(図1のステップS3)。
ステップS103では、解析部205が、収集対象選定部203の指示の下、監視対象の設定情報に従ったトラフィックのトラフィック量を計測し(ステップS103)、その計測したトラフィック量を新規トラフィック量記憶部206に記憶する(ステップS104)。
そして、新規トラフィック量記憶部206に記憶されているトラフィック量が、一定時間間隔で、マネージャ装置1に送信される(ステップS105、図1のステップS4)。
以上は、ネットワーク監視システム6の基本的なネットワーク監視処理の流れである。これにより、マネージャ装置1は、全ての収集プローブ装置2−1〜2−2から収集したトラフィックフロー統計情報を基にして、所定の加工処理を施して集約した集計結果を得て、その集計結果を管理者端末7に出力させることができる。
その後、何らかのネットワーク障害やウィルス発生等が発生し、これら事象についての原因追求を行なうものとする。
このとき、上記事象の特定情報が、監視対象の設定情報として、管理者端末7又は検知装置3からマネージャ装置1に与えられる(ステップS5)。この監視対象の設定情報は、過去の監視時間範囲が指定された時間条件を有するものとする。
マネージャ装置1では、監視設定受付部101が、監視対象の設定情報を管理者端末7から受け取ると、その受け取った監視対象の設定情報を監視対象設定管理部102に与える。そして、監視対象設定管理部102が、全ての収集プローブ装置2−1〜2−2に監視対象の設定情報を通知する(ステップS6)。
収集プローブ装置2−1〜2−2では、マネージャ送受信部204が、マネージャ装置1からの監視対象の設定情報を受け取ると、上記同様に、図7に示す動作フローを行なう。
図7において、マネージャ送受信部204が監視対象の設定情報を取得すると(ステップS101)、収集対象選定部203は、監視対象の設定情報の時間条件及び監視条件に従ってパケットの収集条件を設定し、監視対象の設定情報の時間条件に基づいて、過去の監視時間範囲のものであるか否かを判断する(ステップS102)。
ここでは、時間条件が過去の監視時間範囲を指定するものであるから、処理はステップS106に移行する。
すなわち、時間条件が過去の監視対象範囲を指定するものであると判断されると、パケット情報収集部208が起動し(ステップS106)、パケット情報収集部208が、既存パケット情報記憶部207に保持されているパケット情報から、時間条件で指定された過去の監視時間範囲内で監視条件に該当するパケット情報を収集する(ステップS107)。
そして、解析部209は、パケット情報収集部208が収集したパケット情報に基づいて、監視条件に従ったパケットのトラフィック量を計測する(ステップS108)。
このとき、パケット情報収集部208及び解析部209の処理は、解析部205が現在行なっているトラフィック量の計測処理とは別個に行なわれる処理であり、並列処理が可能である。これにより、現在の監視条件に従ったトラフィックフロー統計情報の計測をリアルタイムに行なうと共に、過去の時間範囲内での監視条件に従ったトラフィックフロー統計情報を計測することができる。
解析部209により計測されたトラフィック量は、指定時間条件トラフィック量記憶部210に記憶され(ステップS109)、一定時間間隔で、マネージャ装置1に送信される(ステップS110、図1のステップS7)。
以上のように、監視対象の設定情報の時間条件が過去の監視時間範囲を指定するものである場合に、過去の監視時間範囲内で監視条件に該当するトラフィックフロー統計情報を解析することができる。これにより、例えば、過去1時間前に、A国を発信源としたB国への攻撃が発生した場合、1時間前に遡り、再度、A国を発信源とする特定範囲のトラフィックの解析することができる。
(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、ネットワーク監視中に、複数の監視条件を追加することができるため、監視状態を初期化することなく、監視時間及び監視範囲を変化させることができる。
以上のように、第1の実施形態によれば、ネットワーク監視中に、複数の監視条件を追加することができるため、監視状態を初期化することなく、監視時間及び監視範囲を変化させることができる。
その結果、多拠点・広域網のネットワーク監視において、時間条件、監視条件に影響を受けないシステム的な監視を実現することができる。
(B)他の実施形態
(B−1)第1の実施形態では、1つのネットワークで1台のマネージャ装置を備える場合を示したが、複数台のマネージャ装置を備えるようにしてもよい。この場合、複数台のマネージャ装置をさらに統括する統括管理装置を備えるようにしてもよい。
(B−1)第1の実施形態では、1つのネットワークで1台のマネージャ装置を備える場合を示したが、複数台のマネージャ装置を備えるようにしてもよい。この場合、複数台のマネージャ装置をさらに統括する統括管理装置を備えるようにしてもよい。
また、1台の観測プローブ装置が、複数の中継装置を通過するトラフィックフローを観測するようにしてもよい。この場合、観測プローブ装置が、どのルータを通過したトラフィックフローの統計情報であるかを識別する必要がある。
(B−2)第1の実施形態で説明した収集プローブ装置が有する各機能部は、物理的に同一の収集プローブ装置に搭載されていなくてもよい。つまり、各機能部間で連携処理を図ることができ、第1の実施形態で説明した機能を実現することができれば、各機能部は別々に分散配置されてもよい。同様に、第1の実施形態のマネージャ装置が有する各機能部も、別々に分散配置されてもよい。
また、マネージャ装置が、収集プローブ装置の機能部の一部又は全部を有するようにしてもよいし、収集プローブ装置が、マネージャ装置の機能部の一部又は全部を有するようにしてもよい。
さらに、中継装置が、収集プローブ装置の有する機能部の一部又は全部を搭載するようにしてもよいし、マネージャ装置の有する機能部の一部又は全部を搭載するようにしてもよい。また、中継装置が、収集プローブ装置の機能部の一部又は全部と、マネージャ装置の機能部の一部又は全部を搭載するようにしてもよい。
(B−3)第1の実施形態では、検知装置が、過去の監視時間範囲を指定した時間条件の設定情報を設定する場合を説明した。しかし、リアルタイムに当該事象のトラフィックを監視させる場合には、過去の監視時間範囲を指定していない、設定情報を設定するようにしてもよい。
また、第1の実施形態において、時間条件は、監視開始時刻と監視終了時刻とが設定されたものとしたが、監視開始時刻だけ指定されているものであってもよい。これにより、過去に生じた事象について、過去から現在までのトラフィック量を解析することができる。
(B−4)第1の実施形態では、マネージャ装置1は、全ての収集プローブ装置2の監視対象の設定情報を共通に管理する場合を示した。しかし、マネージャ装置1が、監視対象の設定情報を、1又は複数の収集プローブ装置2毎に管理するようにしてもよい。
(B−5)第1の実施形態で説明した収集プローブ装置及びマネージャ装置は、ハードウェア資源(例えばCPU等)がプログラムを実行して実現するソフトウェア処理で実現できる。つまり、収集プローブ装置及びマネージャ装置の各種機能はプログラムとして格納されるものである。なお、収集プローブ装置及びマネージャ装置の処理をハードウェアで実現するようにしてもよい。
1…マネージャ装置、2−1〜2−2…収集プローブ装置、3…検知装置、5−1〜5−2…中継装置、101、301…監視設定受付部、102…監視対象設定管理部、103…出力制御部、201…パケット取得部、202…パケット保持部、203…収集対象選定部、204…マネージャ送受信部、205、209…解析部、206…新規トラフィック量記憶部、207…既存パケット情報記憶部、208…パケット情報収集部、210…指定時間条件トラフィック量記憶部。
Claims (5)
- 1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けて保持するパケット情報保持部を有し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、
上記各収集手段からの上記トラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段と、
上記管理手段における上記監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな上記収集条件として上記各収集手段に設定させる監視対象設定管理手段と
を備え、
上記各収集手段は、上記監視対象設定管理手段から受け取った上記新たな収集条件の上記監視時間条件が過去の時間範囲を指定する場合、上記パケット情報保持部を参照して、上記新たな収集条件のトラフィックフロー情報を求めることを特徴とするネットワーク監視システム。 - 上記各収集手段は、
上記監視対象設定管理手段からの上記新たな収集条件の上記監視時間条件が過去の監視時間範囲を指定するものであるか否かを判定する時間条件判定部と、
上記監視時間条件が過去の監視時間範囲を指定するものである場合、既設の上記収集条件に基づく上記トラフィックフロー情報の計測とは別に、上記新たな収集条件に基づく上記トラフィックフロー情報の計測を行なうトラフィックフロー情報計測部と
を有することを特徴とするネットワーク監視システム。 - 1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けて保持するパケット情報保持部を有し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段と、
上記各収集手段からの上記トラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段と、
上記管理手段における上記監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな上記収集条件として上記各収集手段に設定させる監視対象設定管理手段と
を備えるネットワーク監視システムを構成する上記各収集装置であって、
上記各収集手段が、上記監視対象設定管理手段から受け取った上記新たな収集条件の上記監視時間条件が過去の時間範囲を指定する場合、上記パケット情報保持部を参照して、上記新たな収集条件のトラフィックフロー情報を求めることを特徴とする収集装置。 - 複数の収集手段、管理手段及び監視対象設定管理手段を備え、
上記各収集手段が、1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けてパケット情報保持部に保持し、所定の収集条件のトラフィックフロー情報を求める収集工程と、
上記管理手段が、上記各収集手段からの上記トラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理工程と、
上記管理手段における上記監視対象を特定する監視条件を管理する上記監視対象設定管理手段が、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな上記収集条件として上記各収集手段に設定させる監視対象設定管理工程と
を備え、
上記各収集手段は、上記監視対象設定管理手段から受け取った上記新たな収集条件の上記監視時間条件が過去の時間範囲を指定する場合、上記パケット情報保持部を参照して、上記新たな収集条件のトラフィックフロー情報を求めることを特徴とするネットワーク監視方法。 - コンピュータに、
1又は複数の監視回線上を流れる全通信パケットのパケット情報を、それぞれの受信時刻情報と対応付けてパケット情報保持部に保持し、所定の収集条件のトラフィックフロー情報を求める複数の収集手段、
上記各収集手段からの上記トラフィックフロー情報に基づいて集計した所定の監視対象の集計情報を管理する管理手段、
上記管理手段における上記監視対象を特定する監視条件を管理するものであって、外部の監視対象通知手段から受け取った、少なくとも監視時間条件を有する監視対象特定情報に基づいて新たな監視設定条件を設定し、その監視設定条件を新たな上記収集条件として上記各収集手段に設定させる監視対象設定管理手段
として機能させ、さらに、
上記各収集手段として、上記監視対象設定管理手段から受け取った上記新たな収集条件の上記監視時間条件が過去の時間範囲を指定する場合、上記パケット情報保持部を参照して、上記新たな収集条件のトラフィックフロー情報を求めさせるネットワーク監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007079737A JP2008244635A (ja) | 2007-03-26 | 2007-03-26 | ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007079737A JP2008244635A (ja) | 2007-03-26 | 2007-03-26 | ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008244635A true JP2008244635A (ja) | 2008-10-09 |
Family
ID=39915462
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007079737A Pending JP2008244635A (ja) | 2007-03-26 | 2007-03-26 | ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008244635A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012080425A (ja) * | 2010-10-04 | 2012-04-19 | Fujitsu Ltd | 指示システム、指示方法、及び記憶制御装置。 |
TWI624816B (zh) * | 2013-06-03 | 2018-05-21 | Horiba Ltd | 行車管理系統、行車記錄裝置和管理方法 |
JPWO2021059842A1 (ja) * | 2019-09-26 | 2021-04-01 | ||
CN113489609A (zh) * | 2021-06-30 | 2021-10-08 | 上海森浦信息服务有限公司 | 受限网络下系统的监控方法、装置及电子设备 |
WO2023112173A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | トラフィック監視装置、トラフィック監視方法、及びプログラム |
-
2007
- 2007-03-26 JP JP2007079737A patent/JP2008244635A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012080425A (ja) * | 2010-10-04 | 2012-04-19 | Fujitsu Ltd | 指示システム、指示方法、及び記憶制御装置。 |
US8775612B2 (en) | 2010-10-04 | 2014-07-08 | Fujitsu Limited | Instruction system, method, and recording control apparatus |
TWI624816B (zh) * | 2013-06-03 | 2018-05-21 | Horiba Ltd | 行車管理系統、行車記錄裝置和管理方法 |
JPWO2021059842A1 (ja) * | 2019-09-26 | 2021-04-01 | ||
JP7310905B2 (ja) | 2019-09-26 | 2023-07-19 | 日本電気株式会社 | 監視方法、監視システム、プログラム、及び管理サーバ |
CN113489609A (zh) * | 2021-06-30 | 2021-10-08 | 上海森浦信息服务有限公司 | 受限网络下系统的监控方法、装置及电子设备 |
WO2023112173A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | トラフィック監視装置、トラフィック監視方法、及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11121947B2 (en) | Monitoring and analysis of interactions between network endpoints | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US9667521B2 (en) | System and method for network traffic profiling and visualization | |
WO2018126645A1 (zh) | 一种通信网络管理方法及其装置 | |
US7752307B2 (en) | Technique of analyzing an information system state | |
Asrodia et al. | Network traffic analysis using packet sniffer | |
US20080219173A1 (en) | Network test apparatus, network test method and network test program | |
US20070153689A1 (en) | Method and apparatus for monitoring malicious traffic in communication networks | |
US20110270957A1 (en) | Method and system for logging trace events of a network device | |
JP2007013590A (ja) | ネットワーク監視システム、ネットワーク監視装置及びプログラム | |
JP6220625B2 (ja) | 遅延監視システムおよび遅延監視方法 | |
JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
CN108809708A (zh) | 一种电力通信网络节点故障检测系统 | |
JP2008085819A (ja) | ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム | |
JP2008244635A (ja) | ネットワーク監視システム、ネットワーク監視方法、ネットワーク監視プログラム及び収集装置 | |
CN100377534C (zh) | 一种网络蠕虫检测系统及方法 | |
GB2594107A (en) | Network analytics | |
JP2008244632A (ja) | 監視対象設定システム、監視対象設定方法、監視対象設定プログラム、ネットワーク監視システム、管理装置及び収集装置 | |
JP2008072496A (ja) | ネットワーク監視システム、通信品質測定システム及び通信品質測定方法 | |
US10673689B2 (en) | System and method for managing alerts using a state machine | |
KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
JP2008219383A (ja) | ネットワーク監視システム、方法及びプログラム | |
JP2013179491A (ja) | ネットワーク品質監視装置及びネットワーク品質監視方法 | |
JP2008244640A (ja) | 監視情報解析システム、監視情報解析方法、監視情報解析プログラム、ネットワーク監視システム及び管理装置 | |
JP5362769B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090324 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090518 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090908 |