JP2009077136A - トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法 - Google Patents

トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法 Download PDF

Info

Publication number
JP2009077136A
JP2009077136A JP2007243943A JP2007243943A JP2009077136A JP 2009077136 A JP2009077136 A JP 2009077136A JP 2007243943 A JP2007243943 A JP 2007243943A JP 2007243943 A JP2007243943 A JP 2007243943A JP 2009077136 A JP2009077136 A JP 2009077136A
Authority
JP
Japan
Prior art keywords
traffic
identification
statistical information
information
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007243943A
Other languages
English (en)
Inventor
Yuzuru Igarashi
譲 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2007243943A priority Critical patent/JP2009077136A/ja
Publication of JP2009077136A publication Critical patent/JP2009077136A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 処理量を抑えつつ、所望のトラフィックを精度良く観測することができるようにする。
【解決手段】 トラヒック情報収集システムは、トラヒックの統計情報を得て提供するトラヒック情報提供装置と、提供されたトラヒックの統計情報を取得するトラヒック情報取得装置とを有する。トラヒック情報提供装置は、複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力する手段と、各識別レベルのトラヒックについて、統計情報を得る手段とを備える。トラヒック情報取得装置は、得られた各識別レベルのトラヒックの統計情報を分析する手段と、識別条件を設定させる手段とを備える。
【選択図】 図1

Description

本発明は、トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法に関し、例えば、ネットワーク上の通信トラヒックの異常を効率良く検知する場合に適用し得るものである。
従来、DoS攻撃のようなトラヒック異常を検出するために、以下のような方法でトラフィック情報を取得している。
監視対象ネットワークあるいは監視対象回線のパケットを特定サンプリングレートで監視し、送信先/受信先アドレス、送信先/受信先ポート等により集約した後、トラヒックの変化を解析し、異常トラヒック検出を実施するモジュールへ情報を展関する。情報の集約方法と情報展聞方法では、一般的に、NetFlowスイッチングやSNMP/MIBと呼ばれるプロトコルを利用している(非特許文献1、2参照)。
トラヒック流量が少なく観測のためのシステムリソース(メモリ、CPU資源)に余裕がある場合は、サンプリングレートを100%として、監視対象ネットワーク又は回線の全パケットに対してトラヒック統計情報を取得するが、高速回線(例えば、NGN(次世代ネットワークの回線)の監視などの場合には、監視装置の負荷とリソースの上限からサンプリングレートを落とし、パケットをそのサンプリングレートに従ってサンプリングしてトラヒック統計情報を取得することで監視をする。
RFC 1157 RFC 1213
全トラヒックに対して統計情報の収集が可能でることが望ましい。
しかし、従来方式では、高速トラヒックに対して監視装置のリソース(負荷、メモリ量)の制限から、パケットサンプリングによる統計情報の収集が行われており、全トラヒックに対して統計情報を収集する場合に比較すれば収集の精度は低くなる。すなわち、特定のサンプリングレートでパケットを監視する場合、サンプリングレートを落とすと、パケットの監視漏れによる変化の見逃しが発生し、サンプリングレートが高いと、まれにトラヒックのバースト転送の変化に過敏に反応しすぎるケースがあり、特徴のあるトラヒック状況の変化を見逃す可能性があり、異常トラヒックの検出がうまくできない場合がある。
そのため、変化があるトラフィックを効率的に観測することができるトラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法が望まれている。
第1の本発明は、トラヒックの統計情報を得て提供するトラヒック情報提供装置と、提供されたトラヒックの統計情報を取得するトラヒック情報取得装置とを有するトラヒック情報収集システムにおいて、(1)上記トラヒック情報提供装置は、(1−1)複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、(1−2)各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段とを備え、(2)上記トラヒック情報取得装置は、(2−1)上記統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、(2−2)上記トラヒック識別手段に識別条件を設定させる識別条件設定手段とを備えることを特徴とする。
第2の本発明は、トラヒックの統計情報を得て、トラヒック情報取得装置に提供するトラヒック情報提供装置において、(1)複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、(2)各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段とを備えることを特徴とする。
第3の本発明は、第2の本発明のトラヒック情報提供装置が得たトラヒックの統計情報を取得するトラヒック情報取得装置において、(1)トラヒック情報提供装置における統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、(2)トラヒック情報提供装置におけるトラヒック識別手段に識別条件を設定させる識別条件設定手段とを備えることを特徴とする。
第4の本発明は、トラヒックの統計情報を得て、トラヒック情報取得装置に提供させるためのトラヒック情報提供プログラムであって、CPUを、(1)複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、(2)各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段と
して機能させることを特徴とする。
第5の本発明は、第2の本発明のトラヒック情報提供装置が得たトラヒックの統計情報を取得するためのトラヒック情報取得プログラムであって、CPUを、(1)トラヒック情報提供装置における統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、(2)トラヒック情報提供装置におけるトラヒック識別手段に識別条件を設定させる識別条件設定手段として機能させることを特徴とする。
第6の本発明は、トラヒックの統計情報を得て提供するトラヒック情報提供装置と、提供されたトラヒックの統計情報を取得するトラヒック情報取得装置とを有するトラヒック情報収集システムにおけるトラヒック情報収集方法であって、(1)上記トラヒック情報提供装置は、トラヒック識別手段及び統計情報収集手段を有すると共に、上記トラヒック情報取得装置は、トラヒック分析手段及び識別条件設定手段を有し、(2)上記識別条件設定手段は、上記トラヒック識別手段に識別条件を設定し、(3)上記トラヒック識別手段は、複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は上記識別条件設定手段によって設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力し、(4)上記統計情報収集手段は、各識別レベルのトラヒックについて、統計情報を得、(5)上記トラヒック分析手段は、上記統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析することを特徴とする。
本発明によれば、処理量を抑えつつ、所望のトラフィックを精度良く観測することができる。
(A)主たる実施形態
以下、本発明によるトラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法の一実施形態を、図面を参照しながら詳述する。
(A−1)実施形態の構成
実施形態のトラヒック情報収集システム1は、図2に示すように、トラヒック情報提供装置2とトラヒック情報取得装置3とを備える。トラヒック情報提供装置2は、トラヒック情報を得てトラヒック情報取得装置3に提供するものであり、トラヒック情報取得装置3は、トラヒック情報提供装置2が提供したトラヒック情報を保存したり分析したりするものである。
トラヒック情報提供装置2は、例えば、ルータ4からスイッチ5への物理的な回線などに介挿されて提供するトラヒック情報を取得するものであっても良く、また、ルータ4やスイッチ5などがコピーしたトラヒックが与えられるように、ルータ4やスイッチ5に近接(内蔵でも良い)して設けられたものであっても良い。トラヒック情報取得装置3は、例えば、ネットワーク管理装置(NMS)の一機能として設けられる。
図1は、トラヒック情報収集システム1の機能的構成を示すブロック図である。図1において、トラヒック情報収集システム1は、パケット受信部10、パケット識別部11、統計情報収集部12、パケット送信部13、統計情報転送部14、異常トラヒック検出モジュール部15及びパケット識別情報設定部16を有する。
ここで、パケット受信部10、パケット識別部11、統計情報収集部12、パケット送信部13、及び、統計情報転送部14の転送元構成がトラヒック情報提供装置2の構成要素であり、統計情報転送部14の転送先構成、異常トラヒック検出モジュール部15、及び、パケット識別情報設定部16がトラヒック情報取得装置3の構成要素である。
パケット識別部11及び統計情報収集部12は、例えば、トラヒック情報提供装置2に設けられているCPU、及び、CPUが実行するプログラム(トラヒック情報提供プログラム)で実現される。異常トラヒック検出モジュール部15及びパケット識別情報設定部16も、例えば、トラヒック情報取得装置3に設けられているCPU、及び、CPUが実行するプログラム(トラヒック情報取得プログラム)で実現される。
パケット受信部10は、トラヒック情報(トラヒックの統計情報)の取得のために、トラヒック情報提供装置2に与えられたパケット(統計情報収集対象パケット)を受け付けるものである。
パケット識別部11は、パケット受信部10が受け付けた統計情報収集対象パケットを識別し、識別レベル毎に分類するものである。パケット識別部11は、レベル1識別部11A、レベル2識別部11B、レベル0サンプリング部11C及びレベル1サンプリング部11Dを有する。
レベル1識別部11Aは、受信した統計情報収集対象パケットのうち、設定された絞込み要件に該当するパケット(レベル1のパケット)を抽出するものである。レベル2識別部11Bは、受信した統計情報収集対象パケットのうち、設定された特定要件に該当するパケット(レベル2のパケット)を抽出するものである。受信した統計情報収集対象パケットのうち、レベル1識別部11Aによっても、レベル2識別部11Bによっても抽出されなかったものがレベル0のパケットである。
なお、レベル1識別部11A及びレベル2識別部11Bはそれぞれ、絞込み要件、特定要件が設定されていない場合には抽出動作を実行しないものである。レベル1識別部11Aに絞込み要件が設定されておらず、しかも、レベル2識別部11Bに特定要件が設定されていない場合には、受信したパケットは全てレベル0のパケットとして取り扱われる。
レベル0サンプリング部11Cは、レベル0のパケットを第1のサンプリングレートでサンプリングするものであり、レベル1サンプリング部11Dは、レベル1のパケットを第2のサンプリングレートでサンプリングするものである。ここで、第1のサンプリングレートは第2のサンプリングレートより小さい値になされている。従って、当該パケット識別部11からは、レベル2のパケットは全数出力され、レベル1のパケットは多少間引かれて出力され、レベル0のパケットはかなり間引かれて出力される。
統計情報収集部12は、パケット識別レベルに対応した情報収集を行うものである。そのため、統計情報収集部12は、レベル0情報収集部12A、レベル1情報収集部12B、レベル2情報収集部12Cを有する。レベル0情報収集部12A、レベル1情報収集部12B及びレベル2情報収集部12Cの機能は、動作の説明の項で明らかにするが、レベル0情報収集部12Aは、トラヒックの概要(全体概況)を把握可能な観点からトラヒックの統計情報を得、レベル1情報収集部12Bは、トラヒックの概要から異常の恐れがあるときに絞り込んだトラヒックの統計情報を得、レベル2情報収集部12Cは、絞り込んだトラヒックから異常の可能性が非常に高いときに特定のトラヒックの統計情報を得るものである。
パケット送信部13は、受信パケットを外部に送出するものである。パケット送信部13は、単なる転送機能だけでなく、ルーティング機能やシェーパー機能などを備えていても良く、また、異常トラヒック検出モジュール部15等の制御下で受信パケットの廃棄(転送しない)を行うようにしても良い。なお、ルータ4やスイッチ5などがコピーしたトラヒックがトラヒック情報提供装置2に与えられる場合には、パケット送信部13は省略される。
統計情報転送部14は、統計情報収集部12が収集、蓄積したトラヒックの統計情報(レベル0統計情報、レベル1統計情報、レベル2統計情報)を、異常トラヒック検出モジュール部15へ引き渡すものである。転送周期は固定されたものであっても良く、また、異常トラヒック検出モジュール部15が自ら統計情報収集部12の統計情報を参照できるようにしても良い。例えば、統計情報転送部14による転送が実行されたときには、統計情報収集部12の蓄積情報はクリアされ、蓄積が新たに開始される。
異常トラヒック検出モジュール部15は、統計情報転送部14によって、統計情報収集部12から転送されてきたトラヒックの統計情報に基づき、異常トラヒックがあるか否か、ある場合にはその異常トラヒックを特定するものである。
異常トラヒック検出モジュール部15は、異常トラヒックの検出のために、概要分析部15A、絞込み分析部15B、特定分析部15Cを有する。概要分析部15Aは、レベル0の統計情報を分析し、トラヒックの異常が生じている恐れを検出するものであり、絞込み分析部15Bは、レベル1の統計情報を分析し、トラヒックを絞り込んで見てトラヒックの異常が生じている可能性があることを検出するものであり、特定分析部15Cは、レベル2の統計情報を分析し、トラヒックを特定して異常があることを検出するものである。
パケット識別情報設定部16は、パケット識別部11に対して、絞込み要件や特定要件を設定させるものである。パケット識別情報設定部16は、絞込み特徴抽出部16A及び特定特徴抽出部16Bを有する。絞込み特徴抽出部16Aは、概要分析部15Aの分析結果に応じ、異常が生じている恐れがあるトラヒック群(パケット群)を規定する絞込み条件を定めて、上述したレベル1識別部11Aに設定するものである。特定特徴抽出部16Bは、絞込み分析部15Bの分析結果に応じ、異常が生じている可能性が高いトラヒックを規定する特定条件を定めて、上述したレベル2識別部11Bに設定するものである。
(A−2)実施形態の動作
次に、実施形態のトラヒック情報収集システムの動作(トラヒック情報収集方法)を説明する。以下では、異常トラヒックが存在しないときから、DoS攻撃などによるような異常トラヒックが生じるようになった変化があった場合の動作例を説明する。
トラヒックの統計情報の取得のために、トラヒック情報提供装置2に与えられた統計情報収集対象パケットは、パケット受信部10において受け付けられ、パケット識別部11に与えられる。
異常トラヒックが生じておらず、バースト的な正常トラヒックも存在しないような状況においては、パケット識別部11に対し、絞込み要件も特定要件も設定されていない。このような状態においては、パケット受信部10からパケット識別部11へ与えられた統計情報収集対象パケット(動作の項においてはIPパケットであるとする)は全てレベル0のパケットとして扱われ、レベル0サンプリング部11Cによって、第1のサンプリングレートに従って一部が選択されて統計情報収集部12に与えられる。
統計情報収集部12には、選択されたレベル0のパケットだけが入力されるので、レベル0情報収集部12Aだけが機能する。レベル0情報収集部12Aは、トラヒック全体の概況を表すような統計情報を得る。例えば、IPパケットに係るトラヒックを規定する、送信元ポート番号、宛先ポート番号、送信元IPアドレス、宛先IPアドレス、UDPかTCPかを表すプロトコルフラグの計5タプルのうち、宛先ポート番号毎に、パケット数を集計する。なお、統計情報収集部12によって計数処理された統計情報収集対象パケットは、パケット送信部13に与えられて送信される。
統計情報転送部14が、例えば、所定周期毎に、宛先ポート番号毎のパケット数をレベル0の統計情報として、異常トラヒック検出モジュール部15に転送し、転送後、宛先ポート番号毎のパケット数をクリアする。
異常トラヒック検出モジュール部15においては、レベル0の統計情報だけが与えられるので、概要分析部15Aだけが機能する。概要分析部15Aは、例えば、宛先ポート番号毎のパケット数をそれぞれ、第1の閾値と比較し、パケット数が第1の閾値を超えている送信元ポート番号が存在するか否かを判別する(トラヒック概要を分析する)。第1の閾値は、異常トラヒックが生じておらず、バースト的な正常トラヒックも存在しないような状況では、当該閾値を超えるパケット数が生じない値に選定されており、この段階では、パケット数が第1の閾値を超えている送信元ポート番号が存在しないという結果が得られる。そのため、絞込み特徴抽出部16Aも機能せず、レベル1識別部11Aに絞込み条件が設定されない。
このような正常な状態から、DoS攻撃などによるような異常トラヒックが生じる状態に変化したとする。
このような変化直後においては、パケット識別部11も統計情報収集部12も、上述したように、レベル0のパケットだけを処理する動作を行う。
しかしながら、異常トラヒックに係る送信元ポート番号を有するパケットの数は多くなり、概要分析部15Aによる処理により、パケット数が第1の閾値を超えている送信元ポート番号が存在すると判定される。その結果、絞込み特徴抽出部16Aは、レベル1識別部11Aによってその送信元ポート番号のパケットを抽出させる絞込み条件を、レベル1識別部11Aに設定する。
この絞込み条件の設定により、パケット受信部10からパケット識別部11へ与えられたパケットのうち、絞込み条件に該当するパケット(レベル1のトラヒック)は、レベル1識別部11Aによって抽出され、レベル1サンプリング部11Dによって、第2のサンプリングレートに従って一部が選択されて統計情報収集部12に与えられ、絞込み条件に該当しないパケットは、レベル0サンプリング部11Cによって、第1のサンプリングレートに従って一部が選択されて統計情報収集部12に与えられる。
統計情報収集部12のレベル0情報収集部12Aは上述した動作を行う。また、統計情報収集部12のレベル1情報収集部12Bは、例えば、上述した5タプルのうち、送信元ポート番号、宛先ポート番号、送信元IPアドレス及び宛先IPアドレスが同一の組毎に、パケット数を集計する。なお、統計情報収集部12によって計数処理されたレベル1の統計情報収集対象パケットも、パケット送信部13に与えられて送信される。
統計情報転送部14は、絞込み条件が設定されているときも、所定周期毎に、レベル0の統計情報やレベル1の統計情報(組毎のパケット数)を、異常トラヒック検出モジュール部15に転送し、転送後、宛先ポート番号毎のパケット数や組毎のパケット数をクリアする。
概要分析部15Aの動作は上述の場合と同様である。絞込み分析部15Bは、例えば、送信元ポート番号、宛先ポート番号、送信元IPアドレス及び宛先IPアドレスが同一の組毎のパケット数をそれぞれ、第2の閾値と比較し、パケット数が第2の閾値を超えている組が存在するか否かを判別する(絞り込んだトラヒック群を分析する)。第2の閾値は、異常トラヒックが生じておらず、バースト的な正常トラヒックも存在しないような状況では、当該第2の閾値を超えるパケット数が生じない値であって、異常トラヒックが生じている場合には(バースト的な正常トラヒックが存在する場合も同様な結果となる)、当該第2の閾値を超えるパケット数が生じる値に選定されている。この段階では、異常トラヒックが存在するため、異常トラヒックに係る、送信元ポート番号、宛先ポート番号、送信元IPアドレス及び宛先IPアドレスが同一の組のパケット数は多くなり、絞込み分析部15Bによる処理により、パケット数が第2の閾値を超えている組が存在すると判定される。その結果、特定特徴抽出部16Bは、レベル2識別部11Bによってその組のパケットを抽出させる特定条件を、レベル2識別部11Bに設定する。
なお、特定条件をレベル2識別部11Bに設定しても、絞込み条件をそのままレベル1識別部11Aに継続して設定するようにしても良く、また、特定条件をレベル2識別部11Bに設定する場合には特定条件に係るトラヒックを絞込み条件の該当トラヒックから除外するようにしても良い。
特定条件が設定されても、レベル0及びレベル1に係るトラヒックの処理は、上述の通りである。そのため、以下では、レベル2のトラヒックに対する処理を説明する。
特定条件の設定により、パケット受信部10からパケット識別部11へ与えられたパケットのうち、特定条件に該当するパケット(レベル2のトラヒック)は、レベル2識別部11Bによって抽出され、抽出されたものはサンプリングされることなく全て統計情報収集部12に与えられる。
統計情報収集部12のレベル2情報収集部12Cは、例えば、レベル2のパケットをUDPかTCPかによって集計したり、受信時刻の時系列又は平均受信間隔を得たり、パケットのペイロードが同一か否かなどによって集計したり、特定条件のトラヒックが異常か否かを最終的に判断できるレベル2の統計情報を得る。なお、レベル2情報収集部12Cが処理したパケットも、パケット送信部13に与えられるが、パケット送信部13は直ちには送信せず、異常トラヒック検出モジュール部15からの指示を待ち受ける。
統計情報転送部14は、所定周期毎に、レベル2の統計情報を、異常トラヒック検出モジュール部15に転送し、転送後、その情報をクリアする。
異常トラヒック検出モジュール部15の特定分析部15Cは、レベル2の統計情報を分析し、その特定トラヒックが異常トラヒックか否かを最終的に決定する。特定分析部15Cは、例えば、パケットの再送処理が実行されていないのに、同一内容のパケットが短時間に集中している場合には、異常トラヒックと判断する。異常トラヒックを検出した場合の措置方法は、既存のいずれの方法を適用しても良い。例えば、当該ネットワークの、フィルタリングを行う機能を有する装置に通知したり、パケット送信部13で廃棄させたりしても良い。
なお、絞込み分析部15Bや概要分析部15Aによって、閾値を超えていたものが閾値を超えなくなったと判断された場合には、特定条件の設定や絞込み条件の設定は解除される。また、異なる複数の異常トラヒックが生じているような状況では、それぞれについて、特定条件や絞込み条件の設定が実行され、レベル2情報収集部12Cやレベル1情報収集部12Bも、それぞれ、異なる特定条件や絞込み条件に応じた情報の収集動作を行う。
(A−3)実施形態の効果
上記実施形態によれば、トラヒックの識別レベルを複数にすると共に、識別レベルが低いほどトラヒックのサンプリングレートを小さくし、低いレベルの識別によるトラヒックの統計情報を分析し、異常トラヒックの可能性がある場合に、一段上の識別レベルでトラヒックを識別して統計情報を得て分析することに移行するようにしたので、処理量を抑えつつ、異常トラフィックを精度良く観測することができる。
例えば、レベル0の場合、サンプリングされたパケットを、宛先ポート番号毎に集計するので、その処理負担は小さい。しかし、一旦、異常の可能性があると判断されると、レベル1、レベル2に徐々に移行し、レベル2では特定パケットの全数を確認するので、異常トラヒックを精度良く検出することができる。なお、概要分析に、宛先IPアドレス毎のパケット数を適用しても良いが(これは他の実施形態となる)、ポート番号はアプリケーションと対応することが多く、IPアドレスより異常が反映される率が高く、また、ポート番号は16ビットであってIPアドレスの32ビットより処理が容易であるので、実施形態のように、宛先ポート番号毎のパケット数を概要分析に適用することが好ましい。
異常の可能性があると判断された場合だけ、絞込み条件や特定条件を設定(エントリ)するようにしたので、パケット識別部11に絞込み条件や特定条件を記載する検索テーブルを設けたとしても、エントリ数が少なく、小容量の検索テーブルとした場合にも、検索テーブルがオーバーフローするようなことを防止できる(検索テーブルエントリが枯渇しない)。また、レベル1及びレベル2については、限定されたトラヒックについてのみ、情報の蓄積、収集を実行すれば良く、メモリ容量を抑えることができる。
また、統計情報収集部12や異常トラヒック検出モジュール部15の処理などは、並列処理が可能であり、全体処理の高速化が実現可能である。
さらに、監視対象を絞り込んでいく段階で、絞り込むトラヒックの属性に依存したサンプリングレートを設定でき、個別事象(レベル)に最適なサンプリングレートでの監視を行うことができる。
レベル0の場合、サンプリングされたパケットを宛先ポート番号毎に集計するので、NGNなどの高速回線(パケット数が多い)であっても、上記実施形態を適用することができる。
(B)他の実施形態
上記実施形態では、パケット識別情報設定部16が、異常トラヒック検出モジュール部15の分析結果に応じて自動的に絞込み条件や特定条件を設定するものを示したが、異常トラヒック検出モジュール部15の分析結果を監視オペレータに提示し、監視オペレータの指示に応じて、絞込み条件や特定条件を設定するようにしても良い。また、監視オペレータが、異常トラヒック検出モジュール部15の分析結果に関係なく、絞込み条件や特定条件を設定できるようにしても良い。
また、上記実施形態においては、トラヒックの識別レベルがレベル0〜レベル2の3段階のものを示したが、識別レベルの段階数はこれに限定されるものではない。例えば、識別レベルが低いものほど、上述した5タプルのうちで特定される条件を少なくすれば良い。また、識別レベルを規定する情報は、上述した5タプルの情報に限定されない。例えば、音声に係るパケットか映像に係るパケットかをも、識別レベルを規定するタプルとするようにしても良い。
例えば、パケット識別部11、統計情報収集部12、異常トラヒック検出モジュール部15及びパケット識別情報設定部16を、CPU、及び、CPUが実行するプログラムで実現する場合には、識別レベルをN段階も可能とするようにプログラムを構成しておき、トラヒック情報提供装置2が設けられる位置のトラヒック又はハードウェアのパケット処理能力に応じて、識別レベルの段階をチューニングするようにしても良い。
レベル1対象ポリシーで識別されるパケットは、必要があれば所定のサンプリングレートにより観測パケットをサンプリングした後に、複数の分類方法によりトラヒック統計情報を収集する機能へ引き渡される。
各識別レベルにおける統計情報の収集方法が上記実施形態のものに限定されないことは勿論である。例えば、レベル0情報収集部12Aが、送信先及び送信元ポートの組毎にパケット数を計数するものであっても良い。
上記実施形態では、レベル0及びレベル1については、所定時間当たりのパケット数を統計情報とするものを示したが、他の情報であっても良いことは勿論であり、例えば、クリアした後、パケット数が所定パケット数に達するまでの時間を統計情報とするようにしても良い。また、レベル2についても、上記で説明した以外の情報を統計情報としても良いことは勿論である。
上記実施形態では、異常トラヒックの検出するために、トラヒックの統計情報を取得するものを示したが、通信品質(例えばQoS)を把握するためにトラヒックの識別レベルを制御するようにしても良い。すなわち、観測内容はトラヒックの異常に限定されるものではない。
実施形態のトラヒック情報収集システムの機能的構成を示すブロック図である。 実施形態のトラヒック情報収集システムにおける構成要素のネットワーク内での配置位置の説明図である。
符号の説明
1…トラヒック情報収集システム、
2…トラヒック情報提供装置、
3…トラヒック情報取得装置、
10…パケット受信部、
11…パケット識別部、11A…レベル1識別部、11B…レベル2識別部、11C…レベル0サンプリング部、11D…レベル1サンプリング部、
12…統計情報収集部、12A…レベル0情報収集部、12B…レベル1情報収集部、12C…レベル2情報収集部、
13…パケット送信部、
14…統計情報転送部、
15…異常トラヒック検出モジュール部、15A…概要分析部、15B…絞込み分析部、15C…特定分析部、
16…パケット識別情報設定部、16A…絞込み特徴抽出部、16B…特定特徴抽出部。

Claims (6)

  1. トラヒックの統計情報を得て提供するトラヒック情報提供装置と、提供されたトラヒックの統計情報を取得するトラヒック情報取得装置とを有するトラヒック情報収集システムにおいて、
    上記トラヒック情報提供装置は、
    複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、
    各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段とを備え、
    上記トラヒック情報取得装置は、
    上記統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、
    上記トラヒック識別手段に識別条件を設定させる識別条件設定手段とを備える
    ことを特徴とするトラヒック情報収集システム。
  2. トラヒックの統計情報を得て、トラヒック情報取得装置に提供するトラヒック情報提供装置において、
    複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、
    各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段と
    を備えることを特徴とするトラヒック情報提供装置。
  3. 請求項2のトラヒック情報提供装置が得たトラヒックの統計情報を取得するトラヒック情報取得装置において、
    トラヒック情報提供装置における統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、
    トラヒック情報提供装置におけるトラヒック識別手段に識別条件を設定させる識別条件設定手段と
    を備えることを特徴とするトラヒック情報取得装置。
  4. トラヒックの統計情報を得て、トラヒック情報取得装置に提供させるためのトラヒック情報提供プログラムであって、
    CPUを、
    複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力するトラヒック識別手段と、
    各識別レベルのトラヒックについて、統計情報を得る統計情報収集手段と
    して機能させることを特徴とするトラヒック情報提供プログラム。
  5. 請求項2のトラヒック情報提供装置が得たトラヒックの統計情報を取得するためのトラヒック情報取得プログラムであって、
    CPUを、
    トラヒック情報提供装置における統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析するトラヒック分析手段と、
    トラヒック情報提供装置におけるトラヒック識別手段に識別条件を設定させる識別条件設定手段と
    して機能させることを特徴とするトラヒック情報取得プログラム。
  6. トラヒックの統計情報を得て提供するトラヒック情報提供装置と、提供されたトラヒックの統計情報を取得するトラヒック情報取得装置とを有するトラヒック情報収集システムにおけるトラヒック情報収集方法であって、
    上記トラヒック情報提供装置は、トラヒック識別手段及び統計情報収集手段を有すると共に、上記トラヒック情報取得装置は、トラヒック分析手段及び識別条件設定手段を有し、
    上記識別条件設定手段は、上記トラヒック識別手段に識別条件を設定し、
    上記トラヒック識別手段は、複数段階の識別レベルによってトラヒックを識別可能であり、最下位の識別レベル以外は上記識別条件設定手段によって設定された識別条件によって、入力されたトラヒックを識別すると共に、各識別レベルによって定まっているサンプリングレートに応じて、識別したトラヒックを選択して出力し、
    上記統計情報収集手段は、各識別レベルのトラヒックについて、統計情報を得、
    上記トラヒック分析手段は、上記統計情報収集手段が得た、各識別レベルのトラヒックの統計情報を分析する
    ことを特徴とするトラヒック情報収集方法。
JP2007243943A 2007-09-20 2007-09-20 トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法 Pending JP2009077136A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007243943A JP2009077136A (ja) 2007-09-20 2007-09-20 トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007243943A JP2009077136A (ja) 2007-09-20 2007-09-20 トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法

Publications (1)

Publication Number Publication Date
JP2009077136A true JP2009077136A (ja) 2009-04-09

Family

ID=40611695

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007243943A Pending JP2009077136A (ja) 2007-09-20 2007-09-20 トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法

Country Status (1)

Country Link
JP (1) JP2009077136A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253907A (ja) * 2008-04-10 2009-10-29 Fujitsu Ltd ネットワーク監視プログラム、ネットワーク監視方法およびネットワーク監視装置
WO2012127894A1 (ja) 2011-03-18 2012-09-27 日本電気株式会社 ネットワークシステム、及びスイッチ方法
JP2012253735A (ja) * 2011-06-03 2012-12-20 Fluke Corp 効率的なネットフローデータ解析のための方法及び装置
JP2015050555A (ja) * 2013-08-30 2015-03-16 Kddi株式会社 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム
JP2016054448A (ja) * 2014-09-04 2016-04-14 日本電信電話株式会社 ネットワーク装置管理システム
JP2017511072A (ja) * 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253907A (ja) * 2008-04-10 2009-10-29 Fujitsu Ltd ネットワーク監視プログラム、ネットワーク監視方法およびネットワーク監視装置
US7876702B2 (en) 2008-04-10 2011-01-25 Fujitsu Limited Computer program product, apparatus and method for monitoring network and regulating packets on a network path
JP4659850B2 (ja) * 2008-04-10 2011-03-30 富士通株式会社 ネットワーク監視プログラム、ネットワーク監視方法およびネットワーク監視装置
WO2012127894A1 (ja) 2011-03-18 2012-09-27 日本電気株式会社 ネットワークシステム、及びスイッチ方法
US9391895B2 (en) 2011-03-18 2016-07-12 Nec Corporation Network system and switching method thereof
JP2012253735A (ja) * 2011-06-03 2012-12-20 Fluke Corp 効率的なネットフローデータ解析のための方法及び装置
JP2015050555A (ja) * 2013-08-30 2015-03-16 Kddi株式会社 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム
JP2017511072A (ja) * 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション
US10291534B2 (en) 2014-04-11 2019-05-14 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
JP2016054448A (ja) * 2014-09-04 2016-04-14 日本電信電話株式会社 ネットワーク装置管理システム

Similar Documents

Publication Publication Date Title
JP4983671B2 (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US10397260B2 (en) Network system
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US9391895B2 (en) Network system and switching method thereof
US9825868B2 (en) Incremental application of resources to network traffic flows based on heuristics and business policies
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
US10637885B2 (en) DoS detection configuration
US20070160073A1 (en) Packet communications unit
US20070204060A1 (en) Network control apparatus and network control method
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
JP2009077136A (ja) トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法
EP3378208B1 (en) Handling network threats
CN111835708A (zh) 一种特征信息分析方法及装置
CN111314179B (zh) 网络质量检测方法、装置、设备和存储介质
US20150264071A1 (en) Analysis system and analysis apparatus
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
JP2008219127A (ja) ネットワーク品質計測装置、ネットワーク品質計測方法及びネットワーク品質計測プログラム
WO2015087404A1 (ja) 情報処理装置及び情報処理方法及びプログラム
JP2017060074A (ja) ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法
JP2005210601A (ja) 不正侵入検知装置
KR20140051776A (ko) 플로우 기반의 네트워크 모니터링을 위한 장치 및 네트워크 모니터링 시스템
WO2022270766A1 (ko) 자동 패킷 분석 기반의 지능형 네트워크 관리 장치 및 그 방법
Hintze et al. InfiniBand network monitoring: Challenges and possibilities
JP2019213029A (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP2012227805A (ja) 中継装置とこれを有する通信システム及びコンピュータプログラム