JP2008244640A - System, method, and program for analyzing monitoring information, network monitoring system, and management device - Google Patents

System, method, and program for analyzing monitoring information, network monitoring system, and management device Download PDF

Info

Publication number
JP2008244640A
JP2008244640A JP2007079772A JP2007079772A JP2008244640A JP 2008244640 A JP2008244640 A JP 2008244640A JP 2007079772 A JP2007079772 A JP 2007079772A JP 2007079772 A JP2007079772 A JP 2007079772A JP 2008244640 A JP2008244640 A JP 2008244640A
Authority
JP
Japan
Prior art keywords
monitoring
information
network
monitoring information
monitoring system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007079772A
Other languages
Japanese (ja)
Inventor
Takuhiko Miura
卓彦 三浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2007079772A priority Critical patent/JP2008244640A/en
Publication of JP2008244640A publication Critical patent/JP2008244640A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To analyze different monitoring viewpoints integrally by solving the difference in a network monitoring method and by integrating information between a network and a system. <P>SOLUTION: A monitoring information analysis system has: one or a plurality of monitoring system means that are provided in each of a plurality of network systems and monitor each prescribed object to be monitored according to each original monitoring method; a monitoring information request means for requesting monitoring information managed by each monitoring system means to whole or one portion of respective monitoring system means on respective network systems; and an integration analysis processing means for receiving the monitoring information from respective monitoring system means requested by the monitoring information request means and performing integral analysis processing based on the monitoring information from respective monitoring system means. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、監視情報解析システム、監視情報解析方法、監視情報解析プログラム、ネットワーク監視システム及び管理装置に関し、例えば、広帯域ネットワーク上のトラフィックフロー情報を多地点で観測する多地点広帯域トラフィック監視システムに適用し得る。   The present invention relates to a monitoring information analysis system, a monitoring information analysis method, a monitoring information analysis program, a network monitoring system, and a management device. For example, the present invention is applied to a multipoint broadband traffic monitoring system that observes traffic flow information on a broadband network at multiple points. Can do.

近年、ネットワーク上では、複雑かつ高度なウィルスや障害等が日々発生している。また、近年のネットワーク技術の進展に伴い、ネットワークが一般的に広く普及されているが、今後、さらなる技術の進展により、広帯域のネットワークが広く導入され、社会基盤として浸透することが期待される。そこで、既存規模のネットワークだけでなく、大規模な広帯域ネットワークを監視することができ、ネットワーク異常を効率的検出するシステムが強く望まれている。   In recent years, complicated and sophisticated viruses and failures have occurred on the network every day. In addition, with the progress of network technology in recent years, networks are generally widely spread, but it is expected that broadband networks will be widely introduced and penetrated as a social infrastructure in the future due to further technological progress. Therefore, a system that can monitor not only an existing scale network but also a large-scale broadband network and efficiently detect a network abnormality is strongly desired.

従来のネットワークトラフィック監視システムとしては、種々の技術があるが、そのうちの1つとして、ネットワーク上を通過するパケットのパケット情報に基づいて、通信パケット量等のトラフィック情報を監視する技術がある(特許文献1参照)。   There are various technologies as a conventional network traffic monitoring system, and one of them is a technology for monitoring traffic information such as the amount of communication packets based on packet information of packets passing through the network (patent). Reference 1).

また、ネットワークトラフィック監視システムは、例えば図2に示すように、SNMP(Simple Network Management Protocol)、sFlow、RMON(Remote Monitoring MIB)等のプロトコルを用いて、ルータやスイッチングハブ等を通過するパケットを収集してトラフィック量を監視する方法や、又例えば図3に示すように、スイッチングハブ等の中継装置がミラーポートを備え、ミラーポート経由でパケットを収集してトラフィック量を監視する方法等がある。   The network traffic monitoring system collects packets passing through routers, switching hubs, etc. using protocols such as SNMP (Simple Network Management Protocol), sFlow, and RMON (Remote Monitoring MIB) as shown in FIG. Then, there are a method for monitoring the traffic volume, and a method for monitoring the traffic volume by collecting packets via the mirror port, for example, as shown in FIG.

これらの各監視方法で監視できる情報は、それぞれ異なるものである。そのため、ネットワーク管理者は、必要に応じて、各セグメントで監視する監視方法を決定し、セグメント毎に監視対象を設定し、セグメント毎の監視結果を出力表示できるようにしている。   Information that can be monitored by each of these monitoring methods is different. Therefore, the network administrator determines a monitoring method to be monitored for each segment as necessary, sets a monitoring target for each segment, and outputs and displays a monitoring result for each segment.

ところで、ネットワークトラフィック監視とシステム監視とは、それぞれ異なる視点で実施されるものである。つまり、ネットワークトラフィック監視は、ネットワーク上をパケットが正常に流れているか否かを監視するものであるのに対し、システム監視は、特定の監視対象装置(例えば、メールサーバやWWWサーバ等)が正常に稼動しているか否かを監視するものである。   By the way, network traffic monitoring and system monitoring are implemented from different viewpoints. In other words, while network traffic monitoring is for monitoring whether or not a packet is flowing normally on the network, system monitoring is normal for a specific monitoring target device (for example, a mail server or a WWW server). It monitors whether or not it is operating.

従来、複数のセグメントを管理するネットワーク管理者は、上記のように、セグメント毎に決定した監視方法による複数のネットワークトラフィック監視と、メールサーバ等を監視対象とする複数のシステム監視との両者を監視している。   Conventionally, a network administrator who manages a plurality of segments monitors both a plurality of network traffic monitoring by a monitoring method determined for each segment as described above and a plurality of system monitoring for monitoring a mail server or the like. is doing.

そのため、ネットワーク上で何らかの障害やウィルス感染等が発生した場合、ネットワーク管理者は、それぞれ連携されていない多数の監視システムの結果を参照しながら、障害等の解析を個別的に行ない、監視結果同士の関連性を解明していき、障害等の原因を追求している。   Therefore, when some kind of failure or virus infection occurs on the network, the network administrator analyzes the failure individually while referring to the results of many monitoring systems that are not linked to each other. We are trying to elucidate the relationship between and investigate the causes of disabilities.

特開平5−260063号公報JP-A-5-260063

上述したように、従来のネットワークトラフィック監視システムは、監視方法が異なることから、それぞれのセグメント毎で監視設定することが必要であった。また、ネットワークトラフィック監視システムとは別に、例えばメールサーバ等のような監視対象装置を監視するシステム監視を設けることが必要であった。   As described above, since the conventional network traffic monitoring system has different monitoring methods, it is necessary to perform monitoring setting for each segment. In addition to the network traffic monitoring system, it is necessary to provide system monitoring for monitoring a monitoring target device such as a mail server.

そのため、ネットワーク管理者は、それぞれ連携されていない多種多様な複数の監視システムの結果を用いて解析処理する必要があり、解析時におけるネットワーク管理者の負担が大きいという問題がある。また、ネットワークの大規模化・複雑化に伴い、この問題解決がさらに重要となる。   Therefore, it is necessary for the network administrator to perform analysis processing using the results of a wide variety of monitoring systems that are not linked to each other, and there is a problem that the burden on the network administrator at the time of analysis is large. In addition, as the network becomes larger and more complicated, it is more important to solve this problem.

さらに、近年のセキュリティ管理の重要性から早期の対応が求められるところ、従来の複雑な解析処理の効率化が強く望まれている。   Furthermore, since the early response is required due to the importance of security management in recent years, the efficiency of the conventional complicated analysis processing is strongly desired.

そこで、ネットワーク監視方法の違いの解決、ネットワークとシステム間の情報統合を行ない、異なる監視視点を統合的に解析する、監視情報解析システム、監視情報解析方法、監視情報解析プログラム、ネットワーク監視システム及び管理装置が求められている。   Therefore, a monitoring information analysis system, a monitoring information analysis method, a monitoring information analysis program, a network monitoring system, and a management for solving differences in network monitoring methods, integrating information between networks and systems, and analyzing different monitoring viewpoints in an integrated manner A device is sought.

かかる課題を解決するために、第1の本発明の監視情報解析システムは、(1)複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段と、(2)各ネットワークシステム上の各監視システム手段の全部又は一部に対して、各監視システム手段が管理する監視情報を要求する監視情報要求手段と、(3)監視情報要求手段から要求された各監視システム手段から監視情報を受け取り、各監視システム手段からの監視情報に基づく統合的な解析処理を行なう統合解析処理手段とを備えることを特徴とする。   In order to solve such a problem, the monitoring information analysis system according to the first aspect of the present invention is (1) monitoring a predetermined monitoring object according to a unique monitoring method provided in each of a plurality of network systems. A plurality of monitoring system means; (2) monitoring information requesting means for requesting monitoring information managed by each monitoring system means for all or part of each monitoring system means on each network system; and (3) monitoring. And an integrated analysis processing means for receiving monitoring information from each monitoring system means requested by the information requesting means and performing integrated analysis processing based on the monitoring information from each monitoring system means.

第2の本発明のネットワーク監視システムは、(1)複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段と、(2)各ネットワークシステム上の各監視システム手段の全部又は一部に対して、各監視システム手段が管理する監視情報を要求する監視情報要求手段と、(3)監視情報要求手段から要求された各監視システム手段から監視情報を受け取り、各監視システム手段からの監視情報に基づく統合的な解析処理を行なう統合解析処理手段とを備えることを特徴とする。   A network monitoring system according to a second aspect of the present invention includes: (1) one or a plurality of monitoring system means provided in each of a plurality of network systems, each for monitoring a predetermined monitoring target according to a unique monitoring method; ) Monitoring information requesting means for requesting monitoring information managed by each monitoring system means for all or part of each monitoring system means on each network system; and (3) each monitoring requested by the monitoring information requesting means. And integrated analysis processing means for receiving monitoring information from the system means and performing integrated analysis processing based on the monitoring information from each monitoring system means.

第3の本発明の管理装置は、複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム装置と、各監視システム装置からの監視情報に基づいて所定の集約情報を管理する管理装置とを備えるネットワーク監視システムを構成する管理装置において、(1)各ネットワークシステム上の各監視システム装置の全部又は一部に対して、各監視システム装置が管理する監視情報を要求する監視情報要求手段と、(2)監視情報要求手段から要求された各監視システム装置から監視情報を受け取り、各監視システム装置からの監視情報に基づく統合的な解析処理を行なう統合解析処理手段とを有することを特徴とする。   The management device according to the third aspect of the present invention includes one or a plurality of monitoring system devices that are provided in each of a plurality of network systems and that respectively monitor a predetermined monitoring target according to a unique monitoring method, and from each monitoring system device In a management apparatus constituting a network monitoring system comprising a management apparatus that manages predetermined aggregate information based on monitoring information, (1) each monitoring system for all or a part of each monitoring system apparatus on each network system Monitoring information requesting means for requesting monitoring information managed by the system apparatus; (2) receiving monitoring information from each monitoring system apparatus requested by the monitoring information requesting means, and integrating information based on the monitoring information from each monitoring system apparatus And integrated analysis processing means for performing analysis processing.

第4の本発明の監視情報解析方法は、複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段が管理する監視情報を解析する監視情報解析方法であって、(1)監視情報要求手段が、各ネットワークシステム上の各監視システム手段の全部又は一部に対して、各監視システム手段が管理する監視情報を要求する監視情報要求工程と、(2)統合解析処理手段が、監視情報要求手段から要求された各監視システム手段から監視情報を受け取り、各監視システム手段からの監視情報に基づく統合的な解析処理を行なう統合解析処理工程とを有することを特徴とする。   According to a fourth aspect of the present invention, there is provided a monitoring information analysis method comprising: monitoring information managed by one or a plurality of monitoring system means for monitoring a predetermined monitoring target according to a unique monitoring method provided in each of a plurality of network systems. A monitoring information analyzing method for analyzing, wherein (1) the monitoring information requesting unit requests monitoring information managed by each monitoring system unit from all or a part of each monitoring system unit on each network system. And (2) integration in which the integrated analysis processing means receives monitoring information from each monitoring system means requested by the monitoring information request means and performs integrated analysis processing based on the monitoring information from each monitoring system means. And an analysis processing step.

第5の本発明の監視情報化遺跡プログラムは、複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段が管理する監視情報を解析する監視情報解析プログラムであって、コンピュータに、(1)各ネットワークシステム上の各監視システム手段の全部又は一部に対して、各監視システム手段が管理する監視情報を要求する監視情報要求手段、(2)監視情報要求手段から要求された各監視システム手段から監視情報を受け取り、各監視システム手段からの監視情報に基づく統合的な解析処理を行なう統合解析処理手段として機能させるものである。   The monitoring information computerized ruin program according to the fifth aspect of the present invention is the monitoring information managed by one or a plurality of monitoring system means for monitoring each predetermined monitoring object according to a unique monitoring method provided in each of the plurality of network systems. A monitoring information analysis program for requesting monitoring information managed by each monitoring system means to all or a part of each monitoring system means on each network system. Means (2) receiving monitoring information from each monitoring system means requested by the monitoring information requesting means, and functioning as integrated analysis processing means for performing integrated analysis processing based on the monitoring information from each monitoring system means .

本発明の監視情報解析システム、監視情報解析方法、監視情報解析プログラム、ネットワーク監視システム及び管理装置によれば、ネットワーク監視方法の違いの解決、ネットワークとシステム間の情報統合を行ない、異なる監視視点を統合的に解析することができる。   According to the monitoring information analysis system, the monitoring information analysis method, the monitoring information analysis program, the network monitoring system, and the management apparatus of the present invention, the difference between the network monitoring methods, the information integration between the network and the system, and the different monitoring viewpoints It can be analyzed in an integrated manner.

(A)第1の実施形態
以下、本発明の監視情報解析システム、監視情報解析方法、監視情報解析プログラム、ネットワーク監視システム及び管理装置の第1の実施形態を図面を参照して説明する。 (A) First Embodiment Hereinafter, a first embodiment of a monitoring information analysis system, a monitoring information analysis method, a monitoring information analysis program, a network monitoring system, and a management apparatus according to the present invention will be described with reference to the drawings.

(A−1)第1の実施形態の構成
図4は、第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。図4において、第1の実施形態のネットワーク監視システム6は、複数(図4では4個)のネットワーク9−1〜9−4が中継装置5を通じてそれぞれ接続されている。 (A-1) Configuration of the First Embodiment FIG. 4 is a configuration diagram showing the overall configuration of the network monitoring system of the first embodiment. 4, in the network monitoring system 6 of the first embodiment, a plurality (four in FIG. 4) of networks 9-1 to 9-4 are connected through the relay device 5, respectively.

なお、図4では、説明を分かり易くするため、ネットワーク9−1とネットワーク9−2との間のみ、中継装置5−1及び5−2による接続の様子を示すが、他のネットワーク間の接続も同様に中継装置を通じて接続する。   In FIG. 4, for the sake of easy understanding, the state of connection by the relay devices 5-1 and 5-2 is shown only between the network 9-1 and the network 9-2. Are also connected through a relay device.

また、説明便宜上、ネットワーク9−1は、複数のネットワークのセキュリティを統合的に管理する主体的なシステムを備えるものとし、ネットワーク9−2〜9−4は、被管理ネットワークとして説明する。   Further, for convenience of explanation, the network 9-1 is assumed to include a main system that integrally manages the security of a plurality of networks, and the networks 9-2 to 9-4 are described as managed networks.

各ネットワーク9−1〜9−4は、それぞれ自律的な管理ポリシーで運用されるネットワークシステムであり、1個のネットワークを1個のセグメントとし、例えば、ISP(インターネットサービスプロバイダ)等のネットワークシステム等が該当する。また、各ネットワーク9−1〜9−4のネットワーク媒体としては、例えば、電気回線や光ファイバ回線等の有線回線や、無線回線を一部又は全部に有するものを適用することができる。OSI基本参照モデルのトランスポート層に対応するプロトコルとしては、特に限定されないが、例えば、TCP、UDP、ICMP等を適用することができる。   Each of the networks 9-1 to 9-4 is a network system that is operated according to an autonomous management policy. One network is one segment, for example, a network system such as an ISP (Internet Service Provider). Is applicable. Moreover, as a network medium of each of the networks 9-1 to 9-4, for example, a wired line such as an electric line or an optical fiber line, or a part having all or part of a wireless line can be applied. The protocol corresponding to the transport layer of the OSI basic reference model is not particularly limited, and for example, TCP, UDP, ICMP, or the like can be applied.

また、各ネットワーク9−1〜9−4のシステム構成は、それぞれのシステム運用に応じた構成要素を備えることができる。   In addition, the system configuration of each of the networks 9-1 to 9-4 can include components according to each system operation.

ネットワーク9−1は、マネージャ装置1、収集プローブ装置2、管理者端末7、他トラフィック監視装置4−1、システム監視装置8−1、中継装置5−1を少なくとも有して構成される。   The network 9-1 includes at least a manager device 1, a collection probe device 2, an administrator terminal 7, another traffic monitoring device 4-1, a system monitoring device 8-1, and a relay device 5-1.

また、ネットワーク9−2〜9−4は、それぞれ、他トラフィック監視装置4−2〜4−4、システム監視装置8−2〜8−4、中継装置5(5−2)、を少なくとも有して構成される。   Each of the networks 9-2 to 9-4 includes at least other traffic monitoring devices 4-2 to 4-4, system monitoring devices 8-2 to 8-4, and a relay device 5 (5-2). Configured.

他トラフィック監視装置4−1〜4−4は、それぞれのネットワーク9−1〜9−4上のネットワークトラフィックを所定の監視方法で監視するネットワークトラフィック監視装置である。他トラフィック監視装置4−1〜4−4は、既存のネットワークトラフィック監視装置を適用することができ、例えば、SNMPプロトコル等を用いた監視システムの管理装置や、sFlowやRMONなどを用いた監視システムの管理装置や、中継装置を通過するパケットのパケット情報を収集する管理装置などが該当する。   The other traffic monitoring devices 4-1 to 4-4 are network traffic monitoring devices that monitor network traffic on the respective networks 9-1 to 9-4 by a predetermined monitoring method. The other traffic monitoring devices 4-1 to 4-4 can apply existing network traffic monitoring devices. For example, a monitoring system management device using the SNMP protocol or the like, a monitoring system using sFlow, RMON, or the like. Or a management device that collects packet information of packets passing through the relay device.

システム監視装置8−1〜8−4は、それぞれのネットワーク9−1〜9−4上の管理対象装置(例えば、メールサーバ、WWWサーバ、FTPサーバ等のアプリケーションサーバなど)をシステム監視するシステム監視装置である。システム監視装置8−1〜8−4は、例えば、ファイアウォールサーバや、不正侵入検知装置(例えば、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System))等が該当する。   The system monitoring devices 8-1 to 8-4 are system monitors that monitor the management target devices (for example, application servers such as a mail server, a WWW server, and an FTP server) on the respective networks 9-1 to 9-4. Device. The system monitoring devices 8-1 to 8-4 correspond to, for example, firewall servers, unauthorized intrusion detection devices (for example, IDS (Intrusion Detection System), IPS (Intrusion Prevention System)), and the like.

中継装置5(5−1〜5−2)は、図4では各ネットワーク9−1〜9−4間を接続するルータを想定して示すが、これに限定されず、スイッチングハブ等の中継装置も該当する。   In FIG. 4, the relay device 5 (5-1 to 5-2) is assumed to be a router that connects the networks 9-1 to 9-4. However, the relay device 5 (5-1 to 5-2) is not limited to this, and the relay device such as a switching hub is used. Also applies.

収集プローブ装置2は、例えば中継装置5−1と接続し、中継装置5−1上を通過するパケットを全て取得し、全てのパケットのパケット情報に基づいて、所定の収集条件に該当するトラフィックのトラフィック量(以下、トラフィックフロー統計情報ともいう)を計測するものである。   The collection probe device 2 is connected to, for example, the relay device 5-1, acquires all the packets that pass on the relay device 5-1, and based on the packet information of all the packets, the traffic corresponding to a predetermined collection condition is acquired. It measures the traffic volume (hereinafter also referred to as traffic flow statistical information).

また、収集プローブ装置2は、常時又は周期的に、計測したトラフィックフロー統計情報をマネージャ装置1に与えるものである。収集プローブ装置2は、マネージャ装置1から監視対象の設定情報を受け取ると、その設定情報に応じて、パケット情報を収集する収集条件を設定するものである。収集プローブ装置2は、複数の収集条件を設定することができ、それぞれの収集条件毎のトラフィックフロー統計情報を計測する。   Further, the collection probe apparatus 2 gives the measured traffic flow statistical information to the manager apparatus 1 constantly or periodically. When the collection probe apparatus 2 receives the setting information to be monitored from the manager apparatus 1, the collection probe apparatus 2 sets collection conditions for collecting packet information according to the setting information. The collection probe apparatus 2 can set a plurality of collection conditions, and measures traffic flow statistical information for each collection condition.

さらに、収集プローブ装置2は、ネットワーク9−1上に複数設置することができ、これにより、多拠点で計測したトラフィックフロー統計情報をマネージャ装置1に集約することができる。また、説明便宜上、収集プローブ装置2はネットワーク9−1にのみ設置するものとするが、他のネットワーク(他のセグメント)上に1又は複数備えるようにしてもよい。   Furthermore, a plurality of collection probe devices 2 can be installed on the network 9-1, whereby traffic flow statistical information measured at multiple locations can be collected in the manager device 1. For convenience of explanation, the collection probe device 2 is installed only in the network 9-1. However, one or more collection probe devices 2 may be provided on another network (other segment).

図5は、収集プローブ装置2が有する主な内部機能を示す機能ブロック図である。図5に示すように、収集プローブ装置2は、パケット取得部201、パケット情報保持部202、収集対象選定部203、マネージャ送受信部204、解析部205、トラフィック量記憶部206、を少なくとも有する。   FIG. 5 is a functional block diagram showing main internal functions of the collection probe apparatus 2. As illustrated in FIG. 5, the collection probe apparatus 2 includes at least a packet acquisition unit 201, a packet information holding unit 202, a collection target selection unit 203, a manager transmission / reception unit 204, an analysis unit 205, and a traffic amount storage unit 206.

パケット取得部201は、中継装置5を通過する全ての通信パケットを捕捉するものである。パケット取得部201の取得方法としては、例えば、中継装置5(例えばルータやスイッチングハブ等)からSNMP等のプロトコルを用いて取得する方法や、中継装置5のミラーポートに接続し、ネットワーク上を流れるパケットを取得する方法等が適用できる。   The packet acquisition unit 201 captures all communication packets that pass through the relay device 5. As an acquisition method of the packet acquisition unit 201, for example, a method of acquiring from the relay device 5 (for example, a router or a switching hub) using a protocol such as SNMP, or a connection to the mirror port of the relay device 5 and flowing over the network A method of acquiring a packet can be applied.

パケット情報保持部202は、パケット取得部201により取得された全通信パケットのパケット情報を受信時刻に対応付けて保持するものである。パケット情報保持方法としては、種々の方法を適用することができる。   The packet information holding unit 202 holds packet information of all communication packets acquired by the packet acquisition unit 201 in association with reception times. Various methods can be applied as the packet information holding method.

収集対象選定部203は、マネージャ装置1からの設定情報に従って、パケット情報の収集対象の条件を選定するものである。また、収集対象選定部203は、複数の収集対象の条件を選定するようにしてもよいし、監視する時間条件が過去の時間範囲のものを選定するようにしてもよい。   The collection target selection unit 203 selects conditions for collecting packet information according to the setting information from the manager device 1. In addition, the collection target selection unit 203 may select a plurality of collection target conditions, or may select a time condition to be monitored in the past time range.

ここで、マネージャ装置1からの設定情報は、例えば、監視対象を特定する監視条件(例えば、送信元IPアドレス、送信先IPアドレス、VLANタグ番号、通信ポート番号等)及び監視時間範囲を特定する時間条件(例えば、監視開始時刻、監視終了時刻等)を有するパケット情報解析ルール情報や、アラート設定情報(例えば、ポートスキャンやIPスイープ等の不正通信の設定情報や、ポート又はアプリケーション単位での閾値超過に対する設定情報等)等を有するものである。   Here, the setting information from the manager device 1 specifies, for example, a monitoring condition for specifying a monitoring target (for example, a transmission source IP address, a transmission destination IP address, a VLAN tag number, a communication port number, etc.) and a monitoring time range. Packet information analysis rule information having time conditions (for example, monitoring start time, monitoring end time, etc.), alert setting information (for example, setting information of unauthorized communication such as port scan or IP sweep, threshold value in units of ports or applications) Etc.) and the like.

マネージャ送受信部204は、マネージャ装置1との間で、各種情報を授受するものである。また、マネージャ送受信部204はトラフィック量記憶部206に記憶されているトラフィックフロー統計情報を、所定時間間隔毎にマネージャ装置1に送信するものである。なお、トラフィックフロー統計情報を送信する時間間隔は、任意に設定・変更することができるものであり、マネージャ装置1からの指示に応じて設定・変更するようにしてもよい。   The manager transmission / reception unit 204 exchanges various types of information with the manager device 1. The manager transmission / reception unit 204 transmits traffic flow statistical information stored in the traffic amount storage unit 206 to the manager device 1 at predetermined time intervals. The time interval for transmitting the traffic flow statistical information can be arbitrarily set / changed, and may be set / changed in accordance with an instruction from the manager device 1.

解析部205は、収集対象選定部203が選定した収集条件に従って、現在通過するパケットの個数やサイズを単位時間毎に集計し、当該収集対象のトラフィックのトラフィック量を計測するものである。これにより、監視対象のトラフィックフロー統計情報をリアルタイムに求めることができる。   The analysis unit 205 measures the traffic volume of the traffic to be collected by counting the number and size of currently passing packets according to the collection conditions selected by the collection target selection unit 203 for each unit time. Thereby, the traffic flow statistical information to be monitored can be obtained in real time.

また、解析部205は、収集対象選定部203が複数の収集条件を選定する場合には、それぞれの収集条件に従ったトラフィックフロー統計情報を計測するようにしてもよいし、また、収集対象選定部203が過去の時間範囲を監視対象とする収集条件を選定する場合には、過去に取得保持したデータベース(図5に図示しない)を用いて、過去の時間範囲内での収集条件に従ったトラフィックフロー統計情報を計測するようにしてもよい。   Further, when the collection target selection unit 203 selects a plurality of collection conditions, the analysis unit 205 may measure traffic flow statistical information according to each collection condition, or the collection target selection When the unit 203 selects a collection condition for monitoring a past time range, the database 203 (not shown in FIG. 5) acquired and held in the past is used to follow the collection condition within the past time range. Traffic flow statistical information may be measured.

トラフィック量記憶部206は、解析部205が求めたトラフィックフロー統計情報を記憶するものである。このトラフィック量記憶部206に記憶されるトラフィックフロー統計情報は、常時又は周期的に、マネージャ送受信部204によりマネージャ装置1に送信される。   The traffic amount storage unit 206 stores the traffic flow statistical information obtained by the analysis unit 205. The traffic flow statistical information stored in the traffic volume storage unit 206 is transmitted to the manager device 1 by the manager transmission / reception unit 204 constantly or periodically.

図4に戻り、マネージャ装置1について説明する。マネージャ装置1は、複数の収集プローブ装置2が収集したトラフィック情報を常時又は周期的に取得し、所定の監視対象毎のトラフィックフロー情報を集計するものである。これにより、多地点に配置された各収集プローブ装置2からのトラフィックフローの統計情報を集約することができ、さらに、これらのトラフィックフローの統計情報を加工することで、広帯域ネットワーク全体のトラフィック解析を得ることができる。   Returning to FIG. 4, the manager device 1 will be described. The manager device 1 acquires traffic information collected by a plurality of collection probe devices 2 constantly or periodically, and aggregates traffic flow information for each predetermined monitoring target. Thereby, it is possible to aggregate the traffic flow statistical information from each of the collection probe devices 2 arranged at multiple points. Furthermore, by processing these traffic flow statistical information, the traffic analysis of the entire broadband network can be performed. Obtainable.

また、マネージャ装置1は、他トラフィック監視装置4−1〜4−4に対して、各他トラフィック監視装置4−1〜4−4が観測した観測情報を要求し、各他トラフィック4−1〜4−4から受け取ったそれぞれの観測情報を管理すると共に、それぞれの観測情報を用いて所定のトラフィックフロー統計情報を解析するものである。   Further, the manager device 1 requests the other traffic monitoring devices 4-1 to 4-4 for the observation information observed by each of the other traffic monitoring devices 4-1 to 4-4, and the other traffic 4-1 to 4-4. Each piece of observation information received from 4-4 is managed, and predetermined traffic flow statistical information is analyzed using each piece of observation information.

これにより、収集プローブ装置2からのトラフィックフロー統計情報の集約解析だけでなく、他のネットワーク4−2〜4−4上のトラフィック観測情報を用いた集約解析もできる。   Thereby, not only the aggregation analysis of the traffic flow statistical information from the collection probe apparatus 2, but also the aggregation analysis using the traffic observation information on the other networks 4-2 to 4-4 can be performed.

また、一般に他トラフィック監視装置4−1〜4−4の監視方法はネットワーク毎(セグメント毎)で異なり、観測情報も異なる。そのため、従来は、各トラフィック監視装置4−1〜4−4の観測情報の連携が図れなかったが、マネージャ装置1が各他トラフィック監視装置4−1〜4−4からの観測情報を用いて集約解析を行なうことで、監視方法や観測情報が異なる場合でも統合的に集約解析が可能となる。   Generally, the monitoring methods of the other traffic monitoring devices 4-1 to 4-4 are different for each network (for each segment), and the observation information is also different. Therefore, conventionally, the observation information of each of the traffic monitoring devices 4-1 to 4-4 cannot be linked, but the manager device 1 uses the observation information from each of the other traffic monitoring devices 4-1 to 4-4. By performing the aggregate analysis, it is possible to perform the aggregate analysis in an integrated manner even when the monitoring method and observation information are different.

さらに、マネージャ装置1は、システム監視装置8−1〜8−4に対して、各システム監視装置8−1〜8−4が監視する管理対象装置の通信ログ情報を要求し、各システム監視装置8−1〜8−4からの通信ログ情報を管理すると共に、管理対象装置の障害発生時に、その障害に関する情報を用いて解析処理を行なうものである。   Furthermore, the manager device 1 requests the communication log information of the management target device monitored by each of the system monitoring devices 8-1 to 8-4 from the system monitoring devices 8-1 to 8-4, and each system monitoring device. In addition to managing the communication log information from 8-1 to 8-4, when the failure of the management target device occurs, the analysis processing is performed using the information related to the failure.

これにより、システム監視装置8−1〜8−4との間で連携処理を図ることができ、その結果、管理対象装置の障害原因が、管理対象装置における障害であるのか、又はネットワークを通じた障害であるのか等、ネットワークトラフィックを考慮して統合的な解析処理をとることができる。   As a result, it is possible to perform cooperation processing with the system monitoring devices 8-1 to 8-4. As a result, whether the failure cause of the management target device is a failure in the management target device or a failure through the network. It is possible to take an integrated analysis process in consideration of network traffic.

図1は、第1の実施形態のマネージャ装置1が有する主な機能構成を示す機能ブロック図である。図1に示すように、マネージャ装置1は、観測情報設定部101、統合解析部102、出力制御部103、情報統合データベース部104、を少なくとも有する。   FIG. 1 is a functional block diagram illustrating a main functional configuration of the manager device 1 according to the first embodiment. As illustrated in FIG. 1, the manager device 1 includes at least an observation information setting unit 101, an integrated analysis unit 102, an output control unit 103, and an information integrated database unit 104.

観測情報設定部103は、管理者端末7からの指示を受けて、他トラフィック監視装置4−1〜4−4、システム監視装置8−1〜8−4に対して観測情報の要求を行なうものである。   The observation information setting unit 103 requests observation information from the other traffic monitoring devices 4-1 to 4-4 and the system monitoring devices 8-1 to 8-4 in response to an instruction from the administrator terminal 7. It is.

なお、他トラフィック監視装置4−1〜4−4やシステム監視装置8−1〜8−4は、それぞれ独自の監視方法に従って、それぞれ予め設定された監視対象を監視し、監視結果を管理する。第1の実施形態の観測情報設定部103は、他トラフィック監視装置4−1〜4−4やシステム監視装置8−1〜8−4が管理する管理情報(観測情報)を統合的に収集させるために寄与するものである。   The other traffic monitoring devices 4-1 to 4-4 and the system monitoring devices 8-1 to 8-4 monitor the monitoring targets set in advance according to their own monitoring methods, and manage the monitoring results. The observation information setting unit 103 according to the first embodiment collects management information (observation information) managed by the other traffic monitoring devices 4-1 to 4-4 and the system monitoring devices 8-1 to 8-4 in an integrated manner. To contribute.

ここで、観測情報設定部103は、管理者端末7の指示の下、取得する観測情報についての所望の情報項目を指定して要求する。   Here, the observation information setting unit 103 specifies and requests a desired information item for the observation information to be acquired under the instruction of the administrator terminal 7.

図6及び図9は、観測情報設定部103が観測情報の要求の際に指定する情報項目例を示す説明図である。   6 and 9 are explanatory diagrams illustrating examples of information items specified by the observation information setting unit 103 when requesting observation information.

図6及び図9において、観測情報設定部103は、観測情報の要求の際に指定する情報項目例としては、例えば、監視条件と時間条件とを指定できる。監視条件としては、例えば、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、VLAN番号等がある。また、時間条件としては、例えば、監視開始時刻、監視終了時刻がある。   6 and 9, the observation information setting unit 103 can specify, for example, monitoring conditions and time conditions as information item examples to be specified when requesting observation information. Examples of the monitoring condition include a transmission source IP address, a transmission destination IP address, a transmission source port number, a transmission destination port number, and a VLAN number. The time condition includes, for example, a monitoring start time and a monitoring end time.

情報項目については、図6に示す項目の全てを指定項目としてもよいし、又は一部を指定項目としてもよい。   Regarding the information items, all of the items shown in FIG. 6 may be designated items, or a part may be designated items.

また、時間条件としては、図6の「No.1」のように、監視時間範囲が指定されていないものや、図6の「No.2」〜「No.4」のように、監視開始時刻、監視終了時刻が指定されているものとすることができる。   Also, as the time condition, the monitoring start range is not specified as in “No. 1” in FIG. 6 or the monitoring time range is not specified, as in “No. 2” to “No. 4” in FIG. The time and the monitoring end time can be specified.

また、観測情報設定部103は、複数の観測情報の項目を指定することができる。さらに、観測情報設定部103は、全部の他トラフィック監視装置4−1〜4−4、システム監視装置8−1〜8−4に要求するようにしてもよいし、又は、管理者端末7からの指示に従って指示された一部の装置に対して要求するようにしてもよい。このとき、要求する他トラフィック監視装置4やシステム監視装置8毎に、それぞれ異なる観測情報の項目を指定してもよい。   The observation information setting unit 103 can specify a plurality of items of observation information. Further, the observation information setting unit 103 may make a request to all the other traffic monitoring devices 4-1 to 4-4 and the system monitoring devices 8-1 to 8-4, or from the administrator terminal 7. The request may be made to a part of the devices instructed according to the instruction. At this time, different observation information items may be designated for each of the other traffic monitoring devices 4 and system monitoring devices 8 to be requested.

また、観測情報設定部103は、管理者端末7からの指示に限らず、例えば、他トラフィック監視装置4やシステム監視装置8から異常発生の情報通知を受け、この情報通知に基づいて観測情報を要求してもよい。この情報通知に、例えば、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、VLAN番号、異常検知時刻等の情報の全部又は一部が含まれている場合、観測情報設定部103は、この情報通知に含まれる情報項目を指定して、観測情報を要求する。   The observation information setting unit 103 is not limited to an instruction from the administrator terminal 7, but receives, for example, information on the occurrence of an abnormality from the other traffic monitoring device 4 or the system monitoring device 8, and sets the observation information based on this information notification. You may request. When this information notification includes all or a part of information such as a transmission source IP address, transmission destination IP address, transmission source port number, transmission destination port number, VLAN number, abnormality detection time, etc., observation information The setting unit 103 requests observation information by designating information items included in the information notification.

統合解析部102は、1又は複数の収集プローブ装置2から取得したトラフィックフロー統計情報に基づいて、所定の集約方法で加工して集約解析を行なうものである。   Based on the traffic flow statistical information acquired from one or a plurality of collection probe devices 2, the integrated analysis unit 102 processes the data by a predetermined aggregation method and performs an aggregation analysis.

また、統合解析部102は、必要に応じて、情報統合データベース部104を参照し、各他トラフィック監視装置4−1〜4−4の観測情報、各システム監視装置8−1〜8−4の通信路具情報に基づいて、所定の集約方法で加工して集約解析を行なうものである。   In addition, the integrated analysis unit 102 refers to the information integration database unit 104 as necessary, and observes the observation information of each of the other traffic monitoring devices 4-1 to 4-4 and the information of each of the system monitoring devices 8-1 to 8-4. Based on the communication path information, it is processed by a predetermined aggregation method to perform aggregation analysis.

ここで、統合解析部102による集約の仕方としては、種々の処理を適用することができ、例えば、物理的観点からの集約方法、論理的観点からの集約方法、時間的観点からの集約方法、これらを1又は複数組み合わせた方法等を適用できる。   Here, as a method of aggregation by the integrated analysis unit 102, various processes can be applied. For example, an aggregation method from a physical viewpoint, an aggregation method from a logical viewpoint, an aggregation method from a temporal viewpoint, A method of combining one or more of these can be applied.

例えば、物理的観点からの集約方法としては、(a)ネットワーク別(セグメント別)のトラフィック量、(b)ネットワークが採用するプロトコル(例えば、TCP/IP、ATM、OC3、SONET)別のトラフィック量、(c)ある特定通信先についてのネットワーク別のトラフィック量、等のような観点から集約する方法である。   For example, as an aggregation method from a physical point of view, (a) traffic volume by network (by segment), (b) traffic volume by protocol (for example, TCP / IP, ATM, OC3, SONET) adopted by the network (C) A method of aggregating from a viewpoint such as a traffic amount by network for a specific communication destination.

また例えば、論理的観点からの集約方法としては、(e)ある特定通信先についてのトラフィック量や、(f)セキュリティ攻撃に使用される特殊なデータ別(例えば、Synパケットや、属性の誤ったパケット等)のトラフィック量、等の観点からの集約方法である。   Further, for example, as a method of aggregation from a logical viewpoint, (e) traffic volume for a specific communication destination, (f) special data used for a security attack (for example, a Syn packet or an attribute error) Packet) and the like.

さらに、例えば、時間的観点からの集約方法としては、(g)例えば、分、時、日などの時間間隔のトラフィック量、(h)時間範囲(例えば、過去の時間範囲、過去の開始時刻から現在時刻の範囲等)のトラフィック量、等の観点からの集約方法である。例えば、1分毎、1週間毎、1ヶ月毎の集約情報や、「○月○日、○時×分〜○時□分までの、1分毎のトラフィック量」等の集約ができる。   Further, for example, as an aggregation method from a time point of view, (g) For example, traffic volume at time intervals such as minutes, hours, days, etc., (h) Time range (for example, past time range, past start time) This is an aggregation method from the viewpoint of the traffic volume of the current time range. For example, it is possible to aggregate information such as aggregate information for every minute, week, month, or “amount of traffic per minute from XX month, XX hour x minute to XX hour □”.

出力制御部103は、各収集プローブ装置2−1〜2−2が解析したトラフィックフロー統計情報を全収集プローブ装置2−1〜2−2から取得し、各トラフィックフロー統計情報に基づいて所定の加工処理(例えば、集計処理等)を施し、その処理結果を管理者端末7に出力するものである。   The output control unit 103 acquires the traffic flow statistical information analyzed by each of the collection probe devices 2-1 to 2-2 from all the collection probe devices 2-1 to 2-2, and performs predetermined processing based on each traffic flow statistical information. A processing process (for example, an aggregation process or the like) is performed, and the processing result is output to the administrator terminal 7.

情報統合データベース部104は、各他トラフィック監視装置4−1〜4−4から受け取った各他トラフィック監視装置4−1〜4−4の観測情報を、各他トラフィック監視装置4−1〜4−4毎に保持するものである。また、情報統合データベース部104は、各システム監視装置8−1〜8−4が管理する管理対象装置の通信ログ情報を、各システム監視装置8−1〜8−4から受け取り、これら各通信ログ情報を各システム監視装置8−1〜8−4毎に保持するものである。   The information integration database unit 104 uses the observation information of the other traffic monitoring devices 4-1 to 4-4 received from the other traffic monitoring devices 4-1 to 4-4, and the other traffic monitoring devices 4-1 to 4- It is held every 4th. Further, the information integration database unit 104 receives communication log information of the management target devices managed by the system monitoring devices 8-1 to 8-4 from the system monitoring devices 8-1 to 8-4, and receives these communication logs. Information is held for each of the system monitoring devices 8-1 to 8-4.

また、情報統合データベース部104が保持する各他トラフィック監視装置4−1〜4−4の観測情報、各システム監視装置8−1〜8−4の通信ログ情報は、統合解析部102に与えられる。   Further, the observation information of each of the other traffic monitoring devices 4-1 to 4-4 and the communication log information of each of the system monitoring devices 8-1 to 8-4 held by the information integration database unit 104 are given to the integrated analysis unit 102. .

図4に戻り、管理者端末7は、第1の実施形態のネットワーク監視システム6の管理者が操作する端末であり、例えばパーソナルコンピュータ等の情報処理装置が該当する。管理者端末7は、管理者の操作を受けて、監視対象の設定情報を取り込み、その監視対象の設定情報をマネージャ装置1に与えたり、又、管理者の操作を受けて、マネージャ装置1と連携して、所定の加工処理されたトラフィックフロー統計結果を表示するものである。   Returning to FIG. 4, the administrator terminal 7 is a terminal operated by the administrator of the network monitoring system 6 of the first embodiment, and corresponds to an information processing apparatus such as a personal computer. The administrator terminal 7 receives the setting information of the monitoring target in response to the operation of the administrator, gives the setting information of the monitoring target to the manager device 1, and receives the operation of the administrator, In cooperation, it displays the traffic flow statistical results that have been subjected to predetermined processing.

(A−2)第1の実施形態の動作
次に、第1の実施形態のネットワーク監視システム6において、ネットワークトラフィックの監視条件を自動的に追加し、ネットワークを監視する処理動作を図面を参照しながら説明する。 (A-2) Operation of the First Embodiment Next, in the network monitoring system 6 of the first embodiment, processing conditions for automatically adding network traffic monitoring conditions and monitoring the network will be described with reference to the drawings. While explaining.

図1において、まず、収集プローブ装置2において、中継装置5を通過する全てのパケットが取得され、全パケットのパケット情報を保持し、所定の収集条件に該当するトラフィックフロー統計情報が計測される。そして、収集プローブ装置2において、計測されたトラフィックフロー統計情報は、所定の時間間隔毎にマネージャ装置1に送信される(ステップS1)。   In FIG. 1, first, all packets passing through the relay device 5 are acquired in the collection probe device 2, packet information of all packets is held, and traffic flow statistical information corresponding to a predetermined collection condition is measured. Then, in the collection probe device 2, the measured traffic flow statistical information is transmitted to the manager device 1 at predetermined time intervals (step S1).

以上の処理は、ネットワーク監視システム6の基本的なネットワーク監視処理の流れである。これにより、マネージャ装置1は、全ての収集プローブ装置2から収集したトラフィックフロー統計情報を基にして、所定の加工処理を施して集約した集計結果を得て、その集計結果を管理者端末7に出力させることができる。   The above processing is a flow of basic network monitoring processing of the network monitoring system 6. As a result, the manager device 1 obtains an aggregate result obtained by performing a predetermined processing process based on the traffic flow statistical information collected from all the collection probe devices 2, and sends the aggregate result to the administrator terminal 7. Can be output.

その後、ネットワーク9−1〜9−4のいずれかで何らかの異常が発生したとする。   Thereafter, it is assumed that some abnormality occurs in any of the networks 9-1 to 9-4.

この場合、管理者の操作を受けて、他トラフィック監視装置4−1〜4−4、システム監視装置8−1〜8−4で観測した観測結果を取得すべき旨の指示情報が、管理者端末7からマネージャ装置1の観測情報設定部101に対して通知される(ステップS2)。   In this case, in response to the operation of the administrator, the instruction information indicating that the observation results observed by the other traffic monitoring devices 4-1 to 4-4 and the system monitoring devices 8-1 to 8-4 should be acquired is the administrator. Notification is sent from the terminal 7 to the observation information setting unit 101 of the manager device 1 (step S2).

このとき、管理者端末7からの指示情報としては、取得すべき情報項目(例えば、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、VLAN番号、監視開始時刻、監視終了時刻等の全部又は一部の項目)が指定される。   At this time, the instruction information from the administrator terminal 7 includes information items to be acquired (for example, transmission source IP address, transmission destination IP address, transmission source port number, transmission destination port number, VLAN number, monitoring start time, monitoring All or some items such as end time) are designated.

そうすると、観測情報設定部は、他トラフィック監視装置4、システム監視装置8に対して、観測情報の要求を行なう(ステップS3)。このとき、管理者端末7から指示された情報項目も同時に通知する。   Then, the observation information setting unit requests observation information from the other traffic monitoring device 4 and the system monitoring device 8 (step S3). At this time, the information item instructed from the administrator terminal 7 is also notified at the same time.

マネージャ装置1の観測情報設定部101から観測情報の要求を受けると、他トラフィック監視装置4、システム監視装置8では、指定された観測情報が読み出され、指定された観測情報がマネージャ装置1に送信される(ステップS4)。   When the observation information request is received from the observation information setting unit 101 of the manager device 1, the other traffic monitoring device 4 and the system monitoring device 8 read the specified observation information, and the specified observation information is sent to the manager device 1. It is transmitted (step S4).

他トラフィック監視装置4、システム監視装置8からの観測情報は、マネージャ装置1の情報統合データベース部104に保持され、情報統合データベース部104に保持される観測情報が統合解析部102に与えられる(ステップS5)。   Observation information from the other traffic monitoring device 4 and the system monitoring device 8 is held in the information integrated database unit 104 of the manager device 1, and the observation information held in the information integrated database unit 104 is given to the integrated analysis unit 102 (step). S5).

統合解析部102では、情報統合データベース部104に保持される各観測情報を用いて、所定の集約方法に従って所定のトラフィック量が求められ、求められたトラフィック量が、出力制御部103の制御の下、管理者端末7の表示部に出力表示される(ステップS6、S7)。   The integrated analysis unit 102 obtains a predetermined traffic amount according to a predetermined aggregation method using each observation information held in the information integration database unit 104, and the obtained traffic amount is controlled by the output control unit 103. The output is displayed on the display unit of the administrator terminal 7 (steps S6 and S7).

以下では、例えば、各ネットワーク9−2〜9−4でそれぞれ異なるネットワーク監視方式を行なっている場合に、マネージャ装置1が他ネットワーク監視装置4−2〜4−4と連携して統合的な集約解析を行なう場合の例を、図7及び図8を参照して説明する。   In the following description, for example, when each network 9-2 to 9-4 performs a different network monitoring method, the manager device 1 performs integrated aggregation in cooperation with the other network monitoring devices 4-2 to 4-4. An example in the case of performing analysis will be described with reference to FIGS.

図7は、セグメントC上で発生したある通信のトラフィック量の時系列変化を示す説明図である。図8は、統合解析部102により解析された解析結果を示す説明図である。   FIG. 7 is an explanatory diagram showing a time-series change in the traffic volume of a certain communication that has occurred on segment C. FIG. FIG. 8 is an explanatory diagram showing an analysis result analyzed by the integrated analysis unit 102.

例えば、セグメントAのトラフィック監視装置4−2は、ネットワーク9−2上を流れるパケットを収集してネットワークトラフィックを監視する方法であるとする。   For example, it is assumed that the traffic monitoring apparatus 4-2 of the segment A is a method of monitoring network traffic by collecting packets flowing on the network 9-2.

また、セグメントBのトラフィック監視装置4−3は、ルータやスイッチ等の中継装置からSNMPを用いてネットワークトラフィックを監視する方法であるとする。   In addition, it is assumed that the traffic monitoring apparatus 4-3 of the segment B is a method of monitoring network traffic using SNMP from a relay apparatus such as a router or a switch.

さらに、セグメントCのトラフィック監視装置4−4は、ルータやスイッチ等の中継装置からsFlow、RMONを利用してネットワークトラフィックを監視する方法であるとする。   Further, it is assumed that the traffic monitoring device 4-4 of the segment C is a method of monitoring network traffic using sFlow and RMON from a relay device such as a router or a switch.

そして、例えば、セグメントC上で、ワームや不正通信等の異常トラフィックを検知した場合、他のセグメントに影響を与える場合がある。そこで、セグメントCで生じた異常を示す、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、VLAN番号、時刻情報等を基にして、他のセグメントのトラフィック量を解析する。   For example, when abnormal traffic such as a worm or unauthorized communication is detected on the segment C, it may affect other segments. Therefore, based on the transmission source IP address, transmission destination IP address, transmission source port number, transmission destination port number, VLAN number, time information, etc., indicating the abnormality that occurred in segment C, the traffic volume of other segments is analyzed. To do.

なお、以下では、ある通信のトラフィック量の時系列変化を解析する場合を例示するが、解析方法はこれに限定されない。   In the following, a case where a time-series change in the traffic volume of a certain communication is analyzed is exemplified, but the analysis method is not limited to this.

図7において、セグメントCで、ある通信のトラフィック量の異常は、例えば、3/1の12:00付近で生じたものとする。   In FIG. 7, it is assumed that an abnormality in the traffic amount of a certain communication in segment C occurs, for example, near 12:00 on 3/1.

そこで、ある特定の時間帯(図7では、3/1の12:00付近)にトラフィック量が急激に増大している場合、例えば3/1の12:00を監視開始時刻を時間条件とし、トラフィック異常を引き起こす情報(例えば、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、VLAN番号等)を監視条件として、管理者端末7は、マネージャ装置1の観測情報設定部101に対して指示情報を通知する。   Therefore, when the traffic volume is rapidly increasing in a specific time zone (in FIG. 7, around 11:00 of 3/1), for example, 12:00 of 3/1 is set as the time condition of the monitoring start time, The administrator terminal 7 sets the observation information of the manager device 1 using information that causes traffic abnormality (for example, transmission source IP address, transmission destination IP address, transmission source port number, transmission destination port number, VLAN number, etc.) as monitoring conditions. The instruction information is notified to the unit 101.

その後、マネージャ装置1の観測情報設定部101は、セグメントA(ネットワーク9−2)の他トラフィック監視装置4−2とセグメントB(ネットワーク9−3)の他トラフィック監視装置4−3とに対して、観測情報を要求する。   Thereafter, the observation information setting unit 101 of the manager device 1 performs the other traffic monitoring device 4-2 on the segment A (network 9-2) and the other traffic monitoring device 4-3 on the segment B (network 9-3). Request observation information.

これを受けて、セグメントA(ネットワーク9−2)及びセグメントB(ネットワーク9−3)の他トラフィック監視装置4−2及び4−3から所望の観測情報が、マネージャ装置1に送信される。   In response to this, desired observation information is transmitted to the manager device 1 from the other traffic monitoring devices 4-2 and 4-3 of the segment A (network 9-2) and the segment B (network 9-3).

他トラフィック監視装置4−2及び4−3からの観測情報がマネージャ装置1の情報統合データベース部104に与えられると、マネージャ装置1の統合解析部102は、監視条件に該当するトラフィック量の時系列変化を各セグメント毎に解析する。   When the observation information from the other traffic monitoring devices 4-2 and 4-3 is given to the information integrated database unit 104 of the manager device 1, the integrated analysis unit 102 of the manager device 1 performs a time series of traffic amounts corresponding to the monitoring conditions. Change is analyzed for each segment.

つまり、統合解析部102は、まず、セグメントB(ネットワーク9−3)の他トラフィック監視装置4−3からの観測情報に基づいて、所定の単位時間毎のトラフィック量を求め、そのトラフィック量に基づいて時系列変化を求める。   That is, first, the integrated analysis unit 102 obtains a traffic amount per predetermined unit time based on observation information from the other traffic monitoring device 4-3 of the segment B (network 9-3), and based on the traffic amount. To obtain time series changes.

次に、統合解析部102は、セグメントA(ネットワーク9−2)の他トラフィック監視装置4−2からの観測情報に基づいて、所定の単位時間毎のトラフィック量を求め、そのトラフィック量に基づいて時系列変化を求める。   Next, the integrated analysis unit 102 obtains a traffic amount per predetermined unit time based on the observation information from the other traffic monitoring device 4-2 of the segment A (network 9-2), and based on the traffic amount. Find time series changes.

そして、これらセグメント毎のトラフィック量の時系列変化を、比較可能な状態、例えば、図8(A)に示すように、両者のトラフィック量の時系列変化の様子を重ね合わせた状態で、管理者端末7に出力表示する。   Then, in a state where the time-series changes in the traffic volume for each segment can be compared, for example, as shown in FIG. The output is displayed on the terminal 7.

さらに、図8(B)に示しように、セグメントCでのトラフィック量の時系列変化も、セグメントA及びセグメントBのトラフィック量の時系列変化を重ね合わせた結果に、重ね合わせて、管理者端末7に出力表示する。   Further, as shown in FIG. 8B, the time series change of the traffic volume in the segment C is also superimposed on the result of superposing the time series change of the traffic volume of the segment A and the segment B, and the administrator terminal 7 is output and displayed.

図8(B)より、異常発生が生じたセグメントCと隣接するセグメントBでは、異常発発生時刻から約6時間遅れの3/1の18:00付近で、セグメントCで生じたトラフィック量の異常を識別する特徴に近似する特徴の異常が発生していることがわかる。   From FIG. 8B, in the segment B adjacent to the segment C where the abnormality occurred, the traffic volume abnormality occurred in the segment C around 3/18: 00, which is about 6 hours behind the abnormality occurrence time. It can be seen that an abnormality of the feature that approximates the feature that identifies

さらに、図8(B)より、セグメントBに隣接するセグメントAにおいても、さらに時間経過後に、セグメントCで生じたトラフィック量の異常を識別する特徴と近似する特徴の異常が発生していることがわかる。   Further, as shown in FIG. 8B, also in segment A adjacent to segment B, a feature abnormality that approximates the feature that identifies the traffic amount abnormality that occurred in segment C has occurred after a lapse of time. Recognize.

(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、マネージャ装置が、他のネットワーク上の他の監視システムと連携することにより、他の監視システムが管理する情報を収集し、他の監視システムの管理情報を統合して解析することができる。その結果、各監視システムによる障害・事象解析を不要とすることができる。 (A-3) Effect of First Embodiment As described above, according to the first embodiment, the manager device cooperates with another monitoring system on another network, so that another monitoring system can Information to be managed can be collected and management information of other monitoring systems can be integrated and analyzed. As a result, failure / event analysis by each monitoring system can be made unnecessary.

また、例えば、SNMPを用いた監視システム等はIP網に接続されているシステム監視対象とするが、第1の実施形態によれば、アプリケーションサーバ等を監視するシステム監視装置からの管理情報も収集して統合解析するので、ネットワークトラフィック監視だけでなく、例えば、Webサーバの状態や、入管システムの記録情報、ネットワーク接続機器の稼動情報等の情報も同時に監視することができる。   Also, for example, a monitoring system using SNMP is a system monitoring target connected to the IP network, but according to the first embodiment, management information is collected from a system monitoring device that monitors an application server or the like. Since the integrated analysis is performed, not only the network traffic monitoring but also information such as the status of the Web server, the record information of the immigration system, and the operation information of the network connection device can be simultaneously monitored.

(B)他の実施形態
(B−1)第1の実施形態では、1つのネットワークで1台のマネージャ装置を備える場合を示したが、複数台のマネージャ装置を備えるようにしてもよい。この場合、複数台のマネージャ装置をさらに統括する統括管理装置を備えるようにしてもよい。 (B) Other Embodiments (B-1) In the first embodiment, one manager device is provided in one network, but a plurality of manager devices may be provided. In this case, an overall management device that further supervises a plurality of manager devices may be provided.

また、1台の観測プローブ装置が、複数の中継装置を通過するトラフィックフローを観測するようにしてもよい。この場合、観測プローブ装置が、どのルータを通過したトラフィックフローの統計情報であるかを識別する必要がある。   Further, one observation probe device may observe a traffic flow passing through a plurality of relay devices. In this case, the observation probe device needs to identify which router the traffic flow has passed through is statistical information.

(B−2)第1の実施形態で説明した収集プローブ装置が有する各機能部は、物理的に同一の収集プローブ装置に搭載されていなくてもよい。つまり、各機能部間で連携処理を図ることができ、第1の実施形態で説明した機能を実現することができれば、各機能部は別々に分散配置されてもよい。同様に、第1の実施形態のマネージャ装置が有する各機能部も、別々に分散配置されてもよい。 (B-2) The functional units included in the collection probe device described in the first embodiment may not be physically mounted on the same collection probe device. That is, as long as cooperation processing can be achieved between the functional units and the functions described in the first embodiment can be realized, the functional units may be separately distributed. Similarly, each functional unit included in the manager device of the first embodiment may be separately distributed.

また、マネージャ装置が、収集プローブ装置の機能部の一部又は全部を有するようにしてもよいし、収集プローブ装置が、マネージャ装置の機能部の一部又は全部を有するようにしてもよい。   The manager device may have a part or all of the functional units of the collection probe device, or the collection probe device may have some or all of the functional units of the manager device.

さらに、中継装置が、収集プローブ装置の有する機能部の一部又は全部を搭載するようにしてもよいし、マネージャ装置の有する機能部の一部又は全部を搭載するようにしてもよい。また、中継装置が、収集プローブ装置の機能部の一部又は全部と、マネージャ装置の機能部の一部又は全部を搭載するようにしてもよい。   Furthermore, the relay device may be mounted with part or all of the functional units included in the collection probe device, or may be mounted with part or all of the functional units included in the manager device. Further, the relay device may be mounted with a part or all of the functional units of the collection probe device and a part or all of the functional units of the manager device.

(B−3)第1の実施形態では、マネージャ装置1は、全ての収集プローブ装置2の監視対象の設定情報を共通に管理する場合を示した。しかし、マネージャ装置1が、監視対象の設定情報を、1又は複数の収集プローブ装置2毎に管理するようにしてもよい。 (B-3) In the first embodiment, the manager device 1 has shown a case where the monitoring target setting information of all the collection probe devices 2 is managed in common. However, the manager device 1 may manage the setting information to be monitored for each one or a plurality of collection probe devices 2.

(B−4)観測情報設定部は、管理者端末から指示を受けた場合に限らず、他の監視システムから、障害やウィルスなどの検知情報を受け取った場合、この検知情報に基づいて観測情報の要求を行なうようにしても良い。また、所定の時間間隔ごとに、観測情報の要求を行うようにしてもよい。 (B-4) The observation information setting unit is not limited to receiving an instruction from the administrator terminal. When the detection information such as a failure or a virus is received from another monitoring system, the observation information setting unit is based on the detection information. You may make it request | require. Further, the observation information may be requested at predetermined time intervals.

(B−5)第1の実施形態で説明した収集プローブ装置及びマネージャ装置は、ハードウェア資源(例えばCPU等)がプログラムを実行して実現するソフトウェア処理で実現できる。つまり、収集プローブ装置及びマネージャ装置の各種機能はプログラムとして格納されるものである。なお、収集プローブ装置及びマネージャ装置の処理をハードウェアで実現するようにしてもよい。 (B-5) The collection probe device and the manager device described in the first embodiment can be realized by software processing realized by a hardware resource (for example, a CPU) executing a program. That is, various functions of the collection probe device and the manager device are stored as programs. Note that the processing of the collection probe device and the manager device may be realized by hardware.

第1の実施形態のマネージャ装置の内部構成を示すブロック図である。It is a block diagram which shows the internal structure of the manager apparatus of 1st Embodiment. 従来のネットワーク監視システムを説明する説明図である(その1)。It is explanatory drawing explaining the conventional network monitoring system (the 1). 従来のネットワーク監視システムを説明する説明図である(その2)。It is explanatory drawing explaining the conventional network monitoring system (the 2). 第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。1 is a configuration diagram illustrating an overall configuration of a network monitoring system according to a first embodiment. 第1の実施形態の収集プローブ装置の内部構成を示す機能ブロック図である。It is a functional block diagram which shows the internal structure of the collection probe apparatus of 1st Embodiment. 第1の実施形態の観測情報の情報項目例を説明する説明図である(その1)。It is explanatory drawing explaining the information item example of the observation information of 1st Embodiment (the 1). 第1の実施形態において、セグメントC上でのトラフィック量の時系列変化を示す説明図である。FIG. 6 is an explanatory diagram showing a time-series change in traffic volume on a segment C in the first embodiment. 第1の実施形態における統合解析結果を示す説明図である。It is explanatory drawing which shows the integrated analysis result in 1st Embodiment. 第1の実施形態の観測情報の情報項目例を説明する説明図である(その2)。It is explanatory drawing explaining the example of the information item of the observation information of 1st Embodiment (the 2).

符号の説明Explanation of symbols

1…マネージャ装置、2…収集プローブ装置、4−1〜4−4…他トラフィック監視装置、5−1〜5−2…中継装置、6…ネットワーク監視システム、7…管理者端末、8−1〜8−4…システム監視装置、9−1〜9−4…ネットワーク、101…観測情報設定部、102…統合解析部、103…出力制御部、104…情報統合データベース部。   DESCRIPTION OF SYMBOLS 1 ... Manager apparatus, 2 ... Collection probe apparatus, 4-1 to 4-4 ... Other traffic monitoring apparatus, 5-1 to 5-2 ... Relay apparatus, 6 ... Network monitoring system, 7 ... Administrator terminal, 8-1 -8-4 ... system monitoring device, 9-1 to 9-4 ... network, 101 ... observation information setting unit, 102 ... integrated analysis unit, 103 ... output control unit, 104 ... information integration database unit.

Claims (8)

複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段と、
上記各ネットワークシステム上の上記各監視システム手段の全部又は一部に対して、上記各監視システム手段が管理する監視情報を要求する監視情報要求手段と、
上記監視情報要求手段から要求された上記各監視システム手段から上記監視情報を受け取り、上記各監視システム手段からの上記監視情報に基づく統合的な解析処理を行なう統合解析処理手段と
を備えることを特徴とする監視情報解析システム。 One or a plurality of monitoring system means provided in each of the plurality of network systems, each for monitoring a predetermined monitoring object according to a unique monitoring method;
Monitoring information requesting means for requesting monitoring information managed by each of the monitoring system means to all or a part of each of the monitoring system means on each of the network systems;
Integrated analysis processing means for receiving the monitoring information from each of the monitoring system means requested by the monitoring information request means and performing integrated analysis processing based on the monitoring information from each of the monitoring system means. Monitoring information analysis system. 上記各監視システム手段が、上記各ネットワークシステムのトラフィックを監視するネットワークトラフィック監視システム手段、及び又は、上記各ネットワークシステム上の1又は複数の監視対象装置を監視するシステム監視手段であることを特徴とする請求項1に記載の監視情報解析システム。   Each of the monitoring system means is network traffic monitoring system means for monitoring traffic of each network system and / or system monitoring means for monitoring one or a plurality of monitoring target devices on each network system. The monitoring information analysis system according to claim 1. 上記監視情報要求手段が、上記監視情報を要求する際、要求する上記監視情報の情報項目を指定することを特徴とする請求項1又は2に記載の監視情報解析システム。   The monitoring information analysis system according to claim 1 or 2, wherein when the monitoring information request means requests the monitoring information, an information item of the monitoring information to be requested is designated. 複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段と、
上記各ネットワークシステム上の上記各監視システム手段の全部又は一部に対して、上記各監視システム手段が管理する監視情報を要求する監視情報要求手段と、
上記監視情報要求手段から要求された上記各監視システム手段から上記監視情報を受け取り、上記各監視システム手段からの上記監視情報に基づく統合的な解析処理を行なう統合解析処理手段と
を備えることを特徴とするネットワーク監視システム。 One or a plurality of monitoring system means provided in each of the plurality of network systems, each for monitoring a predetermined monitoring object according to a unique monitoring method;
Monitoring information requesting means for requesting monitoring information managed by each of the monitoring system means to all or a part of each of the monitoring system means on each of the network systems;
Integrated analysis processing means for receiving the monitoring information from each of the monitoring system means requested by the monitoring information request means and performing integrated analysis processing based on the monitoring information from each of the monitoring system means. Network monitoring system. 1又は複数の監視回線上を流れる全通信パケットのパケット情報に基づいて、所定の収集条件のトラフィックフロー情報を求める複数の収集手段を備え、
上記統合解析手段が、上記各収集手段からの上記トラフィックフロー情報も用いて、統合的な解析処理を行なうことを特徴とする請求項4に記載のネットワーク監視システム。 A plurality of collection means for obtaining traffic flow information of a predetermined collection condition based on packet information of all communication packets flowing on one or a plurality of monitoring lines;
The network monitoring system according to claim 4, wherein the integrated analysis unit performs an integrated analysis process using the traffic flow information from each of the collection units. 複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム装置と、
上記各監視システム装置からの監視情報に基づいて所定の集約情報を管理する管理装置と
を備えるネットワーク監視システムを構成する上記管理装置において、
上記各ネットワークシステム上の上記各監視システム装置の全部又は一部に対して、上記各監視システム装置が管理する監視情報を要求する監視情報要求手段と、
上記監視情報要求手段から要求された上記各監視システム装置から上記監視情報を受け取り、上記各監視システム装置からの上記監視情報に基づく統合的な解析処理を行なう統合解析処理手段と
を有することを特徴とする管理装置。 One or a plurality of monitoring system devices provided in each of a plurality of network systems, each for monitoring a predetermined monitoring target according to a unique monitoring method;
In the management device constituting a network monitoring system comprising: a management device that manages predetermined aggregate information based on monitoring information from each of the monitoring system devices;
Monitoring information requesting means for requesting monitoring information managed by each monitoring system device to all or a part of each monitoring system device on each network system;
Integrated analysis processing means for receiving the monitoring information from each of the monitoring system devices requested by the monitoring information requesting means and performing integrated analysis processing based on the monitoring information from each of the monitoring system devices. Management device. 複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段が管理する監視情報を解析する監視情報解析方法であって、
監視情報要求手段が、上記各ネットワークシステム上の上記各監視システム手段の全部又は一部に対して、上記各監視システム手段が管理する監視情報を要求する監視情報要求工程と、
統合解析処理手段が、上記監視情報要求手段から要求された上記各監視システム手段から上記監視情報を受け取り、上記各監視システム手段からの上記監視情報に基づく統合的な解析処理を行なう統合解析処理工程と
を有することを特徴とする監視情報解析方法。 A monitoring information analysis method for analyzing monitoring information managed by one or a plurality of monitoring system means for monitoring each predetermined monitoring object according to a unique monitoring method provided in each of a plurality of network systems,
A monitoring information requesting step for requesting monitoring information managed by each of the monitoring system means to all or a part of each of the monitoring system means on each network system;
Integrated analysis processing step, wherein the integrated analysis processing means receives the monitoring information from each of the monitoring system means requested by the monitoring information request means, and performs integrated analysis processing based on the monitoring information from each of the monitoring system means And a monitoring information analyzing method characterized by comprising: 複数のネットワークシステムのそれぞれにおいて設けられた、それぞれ独自の監視方法に従ってそれぞれ所定の監視対象を監視する1又は複数の監視システム手段が管理する監視情報を解析する監視情報解析プログラムであって、
コンピュータに、
上記各ネットワークシステム上の上記各監視システム手段の全部又は一部に対して、上記各監視システム手段が管理する監視情報を要求する監視情報要求手段、
上記監視情報要求手段から要求された上記各監視システム手段から上記監視情報を受け取り、上記各監視システム手段からの上記監視情報に基づく統合的な解析処理を行なう統合解析処理手段
として機能させる監視情報解析プログラム。 A monitoring information analysis program for analyzing monitoring information managed by one or a plurality of monitoring system means for monitoring each predetermined monitoring object according to a unique monitoring method provided in each of a plurality of network systems,
On the computer,
Monitoring information requesting means for requesting monitoring information managed by each monitoring system means to all or a part of each monitoring system means on each network system;
Monitoring information analysis for receiving the monitoring information from the monitoring system means requested by the monitoring information requesting means and functioning as an integrated analysis processing means for performing an integrated analysis process based on the monitoring information from the monitoring system means program.
JP2007079772A 2007-03-26 2007-03-26 System, method, and program for analyzing monitoring information, network monitoring system, and management device Pending JP2008244640A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007079772A JP2008244640A (en) 2007-03-26 2007-03-26 System, method, and program for analyzing monitoring information, network monitoring system, and management device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007079772A JP2008244640A (en) 2007-03-26 2007-03-26 System, method, and program for analyzing monitoring information, network monitoring system, and management device

Publications (1)

Publication Number Publication Date
JP2008244640A true JP2008244640A (en) 2008-10-09

Family

ID=39915467

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007079772A Pending JP2008244640A (en) 2007-03-26 2007-03-26 System, method, and program for analyzing monitoring information, network monitoring system, and management device

Country Status (1)

Country Link
JP (1) JP2008244640A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226507A (en) * 2009-03-24 2010-10-07 Nec Corp Network management apparatus, network management method, and program
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method
CN103314557A (en) * 2011-01-17 2013-09-18 日本电气株式会社 Network system, controller, switch, and traffic monitoring method
JP7563227B2 (en) 2021-02-22 2024-10-08 日本電信電話株式会社 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010226507A (en) * 2009-03-24 2010-10-07 Nec Corp Network management apparatus, network management method, and program
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method
CN103314557A (en) * 2011-01-17 2013-09-18 日本电气株式会社 Network system, controller, switch, and traffic monitoring method
JP5717057B2 (en) * 2011-01-17 2015-05-13 日本電気株式会社 Network system, controller, switch, and traffic monitoring method
JP2015111902A (en) * 2011-01-17 2015-06-18 日本電気株式会社 Network system, controller, switch and traffic monitoring method
JP7563227B2 (en) 2021-02-22 2024-10-08 日本電信電話株式会社 Network monitoring and control system, monitoring and control device, analysis and monitoring server, and network monitoring and control method

Similar Documents

Publication Publication Date Title
US11121947B2 (en) Monitoring and analysis of interactions between network endpoints
KR102183897B1 (en) An apparatus for anomaly detecting of network based on artificial intelligent and method thereof, and system
EP3366006B1 (en) Triggered in-band operations, administration, and maintenance in a network environment
US7986632B2 (en) Proactive network analysis system
US9667521B2 (en) System and method for network traffic profiling and visualization
Berthier et al. Nfsight: netflow-based network awareness tool
US9154383B2 (en) System and method to extend the capabilities of a web browser of a web application issue root cause determination techniques
US20110270957A1 (en) Method and system for logging trace events of a network device
JP6220625B2 (en) Delay monitoring system and delay monitoring method
JP2007013590A (en) Network monitoring system, network monitoring device and program
Zheng et al. Safeguarding building automation networks: THE-driven anomaly detector based on traffic analysis
US20180288083A1 (en) Comparing Metrics From Different Data Flows to Detect Flaws in Network Data Collection for Anomaly Detection
CN106453434A (en) Monitoring method and monitoring system for network traffic
JP2008085819A (en) Network abnormality detection system, network abnormality detection method, and network abnormality detection program
Popa et al. Using traffic self-similarity for network anomalies detection
JP2008244640A (en) System, method, and program for analyzing monitoring information, network monitoring system, and management device
JP2008244632A (en) System, method, and program for setting object to be monitored, network monitoring system, management device, and collection device
Krejčí et al. Traffic measurement and analysis of building automation and control networks
JP2008244635A (en) System, method, and program for monitoring network, and collecting device
Kučera et al. Fault Detection in Building management system networks
Sperotto et al. Anomaly characterization in flow-based traffic time series
JP2008085812A (en) Network monitoring system, network monitoring method, and network monitoring program
JP5362769B2 (en) Network monitoring apparatus and network monitoring method
JP2008219383A (en) Network monitoring system, method and program
CN114172881A (en) Network security verification method, device and system based on prediction

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090324

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090721