JP2009171431A - トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム - Google Patents

トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム Download PDF

Info

Publication number
JP2009171431A
JP2009171431A JP2008009470A JP2008009470A JP2009171431A JP 2009171431 A JP2009171431 A JP 2009171431A JP 2008009470 A JP2008009470 A JP 2008009470A JP 2008009470 A JP2008009470 A JP 2008009470A JP 2009171431 A JP2009171431 A JP 2009171431A
Authority
JP
Japan
Prior art keywords
traffic
analysis
unit
alert
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008009470A
Other languages
English (en)
Inventor
Joo Hwa Tan
ジューホア タン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2008009470A priority Critical patent/JP2009171431A/ja
Priority to CNA200810174864XA priority patent/CN101488882A/zh
Priority to US12/355,060 priority patent/US20090185503A1/en
Publication of JP2009171431A publication Critical patent/JP2009171431A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークのトラフィックを確実且つ高精度に分析するトラフィック分析装置を提供すること。
【解決手段】ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置700であって、ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置100からリアルタイムで収集するリアルタイム統計情報設定管理部704、リアルタイム統計情報モニタ部706と、トラフィック収集装置100からリアルタイムで収集した情報に関するアラート条件を設定するアラート条件設定部708と、アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部710と、を備える。
【選択図】図6

Description

本発明は、トラフィック分析装置、トラフィック分析方法及びトラフィック分析システムに関する。
従来、回線のトラフィックを分析する方法として、トラフィック収集装置が収集したトラフィックデータを吸い上げ、専門業者にトラフィック分析を依頼する手法が知られている。また、トラフィック収集装置が収集したトラフィックデータをそのままカウンタ表や波形に変換し、管理者がこれらの波形を基に分析を行う手法が知られている。
特開2007−006477号公報
しかしながら、近時においては、音声・映像・データの統合により、IPネットワークに流れるトラフィックの種類や量が増え、ネットワーク(NW)の運用上や、一定品質サービス提供上において、トラフィックの状態把握と管理が不可欠となっている。このため、ネットワークのトラフィックを収集できるよう、トラフィック収集装置が開発されている。
そして、ネットワークの状態をより正確に把握するために、収集するデータの精度が上がり、収集するトラフィックの種類も増大している。これに伴い、収集されたデータが膨大になり、データの分析が益々複雑となり、ネットワークトラフィック分析のノウハウが無い場合は、分析の重点が分からず、分析が困難になるという問題が生じている。また、膨大なデータの吸い上げ、処理、分析に時間がかかるという問題も生じている。これに伴い、管理者の負担やネットワーク運用費用が増大する。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、ネットワークのトラフィックを確実且つ高精度に分析することが可能な、新規かつ改良されたトラフィック分析装置、トラフィック分析方法及びトラフィック分析システムを提供することにある。
上記課題を解決するために、本発明のある観点によれば、ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置であって、ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と、前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するアラート条件設定部と、前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と、を備えるトラフィック分析装置が提供される。
上記構成によれば、ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置において、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件が設定され、設定されたアラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生される。従って、リアルタイムで異常トラフィック/正常トラフィックをモニタして監視することができ、アラート条件に該当した場合に管理者に認知させることでトラフィックの実態を容易に分析することができる。
また、前記トラフィック収集装置からリアルタイムで収集した情報に関して、1時間毎の波形、1日毎の波形、又は1月毎の波形に基づいてトラフィックを分析するトラフィック分析部を備えるものであってもよい。かかる構成によれば、1時間毎の波形、1日毎の波形、又は1月毎の波形に基づいてトラフィックを分析できるため、トラフィックの実態を精度よく分析することができる。
また、前記トラフィック分析部の分析結果に基づいてレポートを作成する分析レポート作成部を備えるものであってもよい。かかる構成によれば、分析レポートに基づいて管理者側でトラフィックの実態を容易に把握することができる。
また、前記トラフィック収集装置からリアルタイムで収集した情報は、前記トラフィック収集装置のパケットフィルタで収集された情報、又は異常トラフィックとして収集された情報を含み、前記トラフィック分析部は、前記パケットフィルタで収集された情報に基づく全受信パケットの基本統計分析、前記パケットフィルタで収集された情報に基づく特定範囲のパケットの統計分析、又は前記異常トラフィックの分析を行うものであってもよい。かかる構成によれば、パケットフィルタで収集された情報に基づく全受信パケットの基本統計分析、パケットフィルタで収集された情報に基づく特定範囲のパケットの統計分析、又は前記異常トラフィックの分析を行うことにより、各分析条件に基づいてトラフィックの実態を詳細に分析することができる。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するステップと、前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するステップと、前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるステップと、を備えるトラフィック分析方法が提供される。
上記構成によれば、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件が設定され、設定されたアラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生される。従って、リアルタイムで異常トラフィック/正常トラフィックをモニタして監視することができ、アラート条件に該当した場合に管理者に認知させることでトラフィックの実態を容易に分析することができる。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置とが接続されたトラフィック分析システムであって、前記トラフィック分析装置は、ネットワークとアクセス網との間の通信データに関する情報を前記トラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と、前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するアラート条件設定部と、前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と、を備えるトラフィック分析システムが提供される。
上記構成によれば、ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置とが接続されたトラフィック分析システムにおいて、トラフィック分析装置では、ネットワークとアクセス網との間の通信データに関する情報がトラフィック収集装置からリアルタイムで収集され、トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件が設定され、設定されたアラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートが発生される。従って、リアルタイムで異常トラフィック/正常トラフィックをモニタして監視することができ、アラート条件に該当した場合に管理者に認知させることでトラフィックの実態を容易に分析することができる。
本発明によれば、ネットワークのトラフィックを確実且つ高精度に分析することが可能な、トラフィック分析装置、トラフィック分析方法及びトラフィック分析システムを提供することができる。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
先ず、本発明の題1の実施形態について説明する。図1は、本発明の一実施形態に係るトラフィック収集装置100のネットワーク200への設置構成を示す模式図である。図1の例では、アクセス網300とISP(Internet Services Provider)400間の回線に通信信号を分岐して出力する転送装置(ネットワークタップ装置)500,510,520,530を配置し、転送装置500,510,520,530のIn(入力)側(アクセス網300側)、Out(出力)側(ISP400側)の分岐の出力回線をそれぞれトラフィック収集装置100の回線側のIn側、Out側に接続する。同様に、トラフィック収集装置100のモニタ側の出力回線をモニタリング装置600に接続する。図1の例では、モニタリング装置600は、単独でインライン設置が可能な装置を想定している。
図1に示すように、トラフィック収集装置100には、トラフィックの分析を行うトラフィック分析装置(A)700が接続されている。
転送装置500とトラフィック収集装置100によってアクセス網300とISP400間の複数の回線トラフィック情報が収集される。トラフィック分析装置700は、複数の回線から収集したトラフィックを自動的に分析し、分析結果の重点を抽出して分析レポートを作成する。トラフィック分析装置700は、設定された秒/分間隔で定期的にこれらのトラフィックデータを吸い上げ、トラフィックの監視を実施しながら、リアルタイムで表と波形を表示し、定時レポートや分析レポートを生成する。
同様に、他のアクセス網300とISP400間の回線に配置された転送装置500を介して、トラフィック収集装置100によってトラフィック情報が収集され、トラフィック分析装置(B)700、トラフィック分析装置(C)700により分析が行われる。
図2は、トラフィック収集装置100の機能と構成を示す模式図である。図2(A)に示すように、トラフィック収集装置100は、収集機能、異常トラフィック検出機能、情報保持機能を備える。また、図2(B)は、トラフィック収集装置100の機能ブロック構成を示す模式図である。受信部105は、転送装置510,520,530からIn側、Out側の入力を区別して受信する。入力(Ingress)パケットフィルタ部110は、回線側の各転送装置510,520,530から受信したパケットからイーサヘッド、IPヘッダ、TCP/UDPヘッダの識別子を抽出して検索し、識別子に基づいてフィルタリングすることができる。
異常トラフィック検出部120は、Ingressパケットフィルタ部110を通過したIn側、Out側の双方のパケットを処理することで、セッションとして認識することができる。
出力(Egress)パケットフィルタ部170は、Ingressパケットフィルタ部110と同様に、ヘッダの識別子に基づいてパケットをフィルタリングすることができる。Egressパケットフィルタ部170を通過したパケットは、モニタ側の送信部180より送信される。
管理部190は、Ingressパケットフィルタ部110の統計収集部191、異常トラフィック検出部120の統計収集部192、Egressパケットフィルタ部170の統計収集部193、Ingressパケットフィルタ部110の設定部194、異常トラフィック検出部120の設定部195、及びEgressパケットフィルタ部170の設定部196から構成される。
管理部190は、送受信部195を介してトラフィック分析装置700と接続され、トラフィック分析装置700との統計情報、設定情報のインターフェースになる。
以下、図3、図4、及び図5に基づいて、トラフィック収集装置100のIngress/Egressパケットフィルタ部110,170の構成、異常トラフィック検出部120の構成、セッション処理のフローについて説明する。これらの情報、条件を基に、図8のリアルタイム統計情報設定管理部704が設計される。
図3にIngressパケットフィルタ部110、Egressパケットフィルタ部170の構成を示す。これらのパケットフィルタ部110,170は、パケットフィルタテーブル115で構成されている。ポリシールールに設定できるイーサヘッダ、IPヘッダ、TCP/UDPヘッダの識別子としては、図3に示すように、VLAN−ID、イーサプライオリティ(Ether Priority)、イーサタイプ(Ether Type)、宛先IPアドレス、送信元IPアドレス、TOS、プロトコル番号、TCPフラグ、宛先ポート番号、送信元ポート番号が挙げられる。それぞれの識別子には、マスクビットを指定して範囲検索が可能である。
パケットフィルタテーブル115は、各エントリに優先度が付与されており、図3に示す例では、小さい番号が高優先度とされている。識別子を検索した結果、より高優先度にヒットしたエントリが採用され、予め設定された各エントリに対応するアクション(permit、もしくはdeny)に従って、通過(permit)か廃棄(deny)が選択される。また、パケットフィルタテーブル115は、エントリ毎の統計情報として、パケットカウンタ(pps)とバイトカウンタ(bps)を備えている。パケットカウンタとバイトカウンタは、検索の結果、ヒットした全てのエントリで加算される。
図4は、異常トラフィック検出部120の構成を示す模式図である。異常トラフィック検出部120に入力されたIn側とOut側の双方のパケットは、セッション処理部122に入力され、図5のセッション処理のフローチャートに従って処理される。
ここで、図5のセッション処理について説明する。先ず、ステップS1では、セッション処理部にパケットが入力される。次のステップS2では、シグネチャを検索し、シグネチャがヒットした場合は、ステップS3へ進む。ステップS3では、シグネチャ異常パケット統計情報を加算し、ステップS4でパケットを廃棄する。
ステップS2でシグネチャがミスヒットの場合は、ステップS5に進み、セッション管理テーブルを検索する。セッション管理テーブルでパケットがヒットした場合は、ステップS6へ進み、FIN/RSTを受信したか否かを判定する。ステップS6で、FIN/RSTを受信した場合は、ステップS7へ進み、ステップS8のガーベージタイマの終了を受けて、セッション管理テーブルを削除する。その後、ステップS9でセッション異常パケット統計情報を加算し、ステップS10でパケットを廃棄する。
一方、ステップS5で、セッション管理テーブルがミスヒットの場合は、ステップS11へ進み、最初のパケット(1stパケット)を受信する。次のステップS12では、ガーベージタイマを設定し、次のステップS13では、同時セッション数の登録の有無を判定する。
ステップS13で同時セッション数の登録が有る場合は、ステップS14へ進み、同時セッション数が上限値であるか否かを判定する。ステップS14で同時セッション数が上限値の場合は、ステップS15で同時セッション数が上限値を超えた異常パケットの統計情報を加算し、ステップS10でパケットを廃棄する。一方、ステップS14で同時セッション数が上限値でない場合、またはステップS13で同時セッション数の登録がない場合は、ステップS16へ進む。
ステップS16では、秒間セッション数の登録の有無を判定し、秒間セッション数の登録がある場合は、ステップS17で秒間セッション数が上限値であるか否かを判定する。テップS17で秒間セッション数が上限値の場合は、ステップS18で秒間セッション数が上限値を超えたパケットの統計情報を加算し、ステップS19でパケットを廃棄する。一方、ステップS17で秒間セッション数が上限値でない場合、またはステップS16で秒間セッション数の登録がない場合は、ステップS20へ進む。
ステップS20では、セッション統計情報を加算する。次のステップS21では、セッション管理テーブルを登録する。次のステップS22では、パケットを出力する。ステップS22の後は処理を終了する(END)。
セッション処理部122で処理されたセッションは、セッション管理テーブル124に登録される。このとき、登録される識別子は図4に示す5つの識別子(宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号、送信元ポート番号)である。セッション統計情報保持部126は、セッション管理テーブル124に登録され、その時点で、維持されているセッション数を宛先IPアドレスと送信元IPアドレスの組み合わせ単位で保持している。
異常トラフィック検出部120に入力されたパケットは、図5のステップS2において、シグネチャ保持部128に登録された各シグネチャとマッチングして、当該パケットが異常パケットであるか否かを判断する。シグネチャ保持部128に登録されたシグネチャは、異常パケットであるパターンを記述しているものであり、例えば、宛先IPアドレスと送信元IPアドレスが同一であったり、送信元IPアドレスが詐称されていたり、宛先のホストでIPパケットを再構築したときに最大長を超えるなどのパターンを記述している。異常パケット統計情報保持部129は、シグネチャ単位に検出した異常パケット数を保持しており、ステップS2でシグネチャがヒットした場合は、ステップS3で異常パケット統計情報が加算される。
トラフィック分析装置700は、トラフィック収集装置100の管理部190のIngressパケットフィルタ統計収集部191、異常トラフィック検出統計収集部192、Egressパケットフィルタ統計収集部193によって収集されたデータを秒/分間隔で定期的に吸い上げ、処理、監視、リアルタイムの表と波形表示、レポート等を生成する。トラフィック分析装置700は、トラフィック収集装置100が収集したデータを基にレポートと分析を実施するため、収集したデータのフォーマット情報や、データの収集方法などを認識する。
図6は、トラフィック分析装置700の機能と、その機能を実現するための構成を示す模式図である。トラフィック分析装置700は演算処理部(CPU)を備え、トラフィック分析装置700の各構成要素は演算処理部をソフトウェア(プログラム)によって機能させることで実現できる。
図6(A)は、トラフィック分析装置700の機能を示しており、図6(B)はトラフィック分析装置700の構成を示している。図6(A)に示すように、トラフィック分析装置700は、構成管理機能、リアルタイムモニタ機能、監視機能、アラート通知機能、定時レポート機能、自動分析機能(トラフィック分析機能)、データ蓄積機能を有する。
また、図6(B)に示すように、トラフィック分析装置700は、構成管理部702、リアルタイム統計情報設定管理部704、リアルタイム統計情報モニタ部706、アラート条件設定部708、アラート管理通知部710、定時レポート設定管理部712、定時統計情報モニタ部714、定時統計情報レポート作成部716、トラフィック分析設定管理部718、トラフィック分析部720、分析レポート作成部722、及びデータベース部724を備える。また、トラフィック分析装置700は、トラフィック収集装置100との間で情報を送受信する送受信部730、統合管理装置800との間で情報を送受信する送受信部732を備える。
トラフィック分析装置700がトラフィック監視において発するアラートや、生成した定時レポートと分析レポートは、複数のトラフィック分析装置(A)700、トラフィック分析装置(B)700、トラフィック分析装置(C)700を統合管理する統合管理装置800に送られる。図7は、統合管理装置800の機能構成を示す模式図である。統合管理装置800は、構成管理機能部802、アラーム表示機能部804、レポート蓄積機能部806を備える。管理者は、統合管理装置800にて、複数のトラフィック分析装置700を統合管理し、各トラフィック分析装置700のトラフィックデータを参照することができる。
トラフィック分析装置700のリアルタイムモニタ機能(リアルタイムモニタ機能部)は、リアルタイム統計情報設定管理部704とリアルタイム統計情報モニタ部706により実現される。
図8及び図9は、リアルタイム統計情報設定管理部704の構成を示す模式図である。リアルタイム統計情報設定管理部704は、トラフィック分析装置700によるリアルタイムの情報収集に際し、モニタする情報の設定を管理する。図8に示すように、リアルタイム統計情報設定管理部704は、モニタ基本設定、モニタ項目設定を管理する。モニタ項目設定として、Ingress/Egressモニタ設定と異常トラフィックモニタ設定がある。Ingress/Egressモニタ設定には、全受信パケット基本統計設定とポリシールール統計設定がある。そして、ポリシールール統計設定としては、図9に示すように、宛先/送信元IPアドレス範囲指定統計の項目選択による設定と、TCP/UDPポート番号分析指定設定がある。更に、TCP/UDPポート番号分析指定にはTCP/UDPポート番号指定統計の項目選択による設定がある。
図10は、リアルタイム統計情報モニタ部706の処理を示す模式図である。リアルタイム統計情報モニタ部706は、リアルタイムモニタ間隔設定で設定された時間間隔でトラフィック収集装置100よりデータを取得する(ステップS31)。そして、取得したデータの平均値pps/bpsを算出し(ステップS32)、30分間のリアルタイムモニタ波形の表示を更新する(ステップS33)。ステップS2で算出された平均値pps/bpsはリアルタイムモニタ監視Aに出力される。
トラフィック分析装置700の監視機能とアラート通知機能は、リアルタイム統計情報モニタ部706と、アラート条件設定部708及びアラート管理通知部710との連携で実現される。
図11は、アラート条件設定部708で行われる設定を示す模式図である。図11に示すように、アラート条件設定部708では、主にリアルタイム統計情報モニタの監視設定が行われ、アラート発生時に統合監視装置800にアラート情報を送付し、管理者にメールを発送する等のアクションを行う。
図12は、アラート管理通知部710の処理を示すフローチャートである。アラート管理通知部710は、リアルタイムモニタ監視Aに出力された平均値pps/bpsに基づいてアラートを発生させる。先ず、ステップS41では、リアルタイム統計情報モニタの監視設定の有無を確認し、監視設定がある場合はステップS42へ進む。ステップS42では、上限閾値の設定の有無を確認し、上限設定値が有る場合は、次のステップS43で平均値pps/bpsが上限閾値を超えたか否かを判定する。
ステップS43で上限閾値を超えている場合は、ステップS44へ進み、連続発生回数を超えたか否かを判定する。連続発生回数を超えている場合は、ステップS45へ進み、アラートを発生する。具体的には、統合監視装置へのアラート情報の送付、管理者へのメール発送等の処理を行う。
一方、ステップS42で上限閾値の設定が無い場合、ステップS43で上限閾値を越えていない場合、またはステップS44で連続発生回数を超えていない場合は、ステップS46へ進む。ステップS46では、下限閾値の設定の有無を確認し、下限閾値が設定されている場合は、ステップS47へ進む。
ステップS47では、下限閾値を超えたか否か(下限閾値を下回ったか否か)を判定し、下限閾値を超えている場合は、ステップS48へ進み、連続発生回数を超えたか否かを判定する。連続発生回数を超えている場合は、ステップS49へ進み、アラートを発生する。具体的には、統合監視装置800へのアラート情報の送付、管理者へのメール発送等の処理を行う。
一方、ステップS41で監視設定が無い場合、ステップS46で下限閾値が設定されていない場合、ステップS47で下限閾値超えが発生していない場合、またはステップS48で連続発生回数を超えていない場合は、アクションを発生させない。以上のように、アラート管理通知部710は、アラート条件設定部708の設定と平均値pps/bpsとの比較によりアラートを発生させることができる。
トラフィック分析装置700の定時レポート機能は、定時レポート設定管理部712と定時統計情報モニタ部714、及び定時統計情報レポート作成部716により実現される。
図13は、定時レポート設定管理部712、定時統計情報モニタ部714、及び定時統計情報レポート作成部716で行われる処理を示す模式図である。図13に示すように、定時レポート設定管理部712は、レポートの基本設定を行う。定時統計情報モニタ部714は、所定の時間間隔(例えば1分間隔)でトラフィック収集装置100よりデータを取得する処理を行う。定時統計情報レポート作成部716は、図13に示すステップS51〜S53、ステップS54〜S56、ステップS57〜S59の処理により時表波形レポート、日表波形レポート、月表波形レポートの保持/表示を行う。時表波形レポートはトラフィック分析部Bに出力され、日表波形レポートはトラフィック分析部Cに出力され、月表波形レポートはトラフィック分析部Dに出力される。
トラフィック分析装置700のトラフィック分析機能は、トラフィック分析設定管理部718と、トラフィック分析部720及び分析レポート作成部722により、定時レポートのデータを分析することによって実現される。
図14は、トラフィック分析設定管理部718による処理を示す模式図である。図14に示すように、トラフィック分析設定管理部718では、分析基本設定が行われ、分析対象選択により、Ingress/Egressモニタの全受信パケット基本統計分析(X)、Ingress/Egressモニタのポリシールール統計分析、異常トラフィックモニタの分析(Z)が選択される。Ingress/Egressモニタのポリシールール統計分析としては、宛先/送信元IPアドレス範囲(サブネット)指定統計分析(Y1)、TCP/UDPポート番号指定統計分析(Y2)の処理が行われる。
図15〜図18は、トラフィック分析部720及び分析レポート作成部724による処理を示す模式図である。ここで、図15は、Ingress/Egressモニタの全受信パケット基本統計分析(X)を示している。トラフィック分析部720では、定時統計情報レポート作成部716から出力された時表波形レポート、日表波形レポート、月表波形レポートに基づいてトラフィックの分析を行う。
トラフィック分析部Bには、時表波形レポートが入力され、指定期間の全時表のデータ(1分間平均値(pps/bps))を大→小順に並び替え(ステップS61)、上位5位の瞬間トラフィックデータの量(pps/bps)と日時を分析レポートに出力する(ステップS62)。また、ステップS1で並び換えたデータを指定の段階に分け、各段階のデータ割合(各段階のデータ個数/全段階のデータ個数)を算出する(ステップS63)。そして、各段階の情報(トラフィック量範囲/データ個数/割合)を分析レポートに出力する(ステップS64)。
トラフィック分析部Cには、日表波形レポートが入力され、指定期間の全日表のデータ(1時間平均値(pps/bps))を大→小順に並び替え(ステップS65)、上位1割のトラフィックの発生時間帯を集計し、1割のトラフィック量範囲と上位3位の時間帯をトラフィック量集中する時間帯として分析レポートに出力する(ステップS66)。
トラフィック分析部Dには、月表波形レポートが入力され、指定期間の月表のデータ(1日平均値(pps/bps))をサブネット毎に大→小順に並び替え(ステップS67)、上位3位の日平均データのトラフィック量(pps/bps)と日付を分析レポートに出力する(ステップS68)。
分析レポート作成部722は、トラフィック分析部720によるトラフィック分析に基づいて分析レポートを作成し(ステップS69)、これを保持、表示する(ステップS70)。
また、図16は、宛先/送信元IPアドレス範囲(サブネット)指定統計分析(Y1)を示している。図16の基本的な処理は図15と同様であるが、図16ではサブネット毎に処理が行われる。
また、図17は、TCP/UDPポート番号指定統計分析(Y2)を示す模式図である。
図17の基本的な処理は図15と同様であるが、図17では音声/映像/制御/その他のデータ毎に処理が行われる。
また、図18は、異常トラフィックモニタの分析(Z)を示す模式図である。図18に示すように、トラフィック分析部Bには時表波形レポートが入力され、指定期間の全時表のデータ(1分間平均値(pps/bps))から、シグネチャ異常/セッション異常/同時セッション数超え異常/秒間セッション数超え異常/全異常パケット数毎項目ごとに異常パケットを統計する(ステップS81)。そして、各種異常パケットの割合を算出し、その結果を分析レポートに出力する(ステップS82)。
トラフィック分析部Cには、日表波形レポートが入力され、指定期間の全日表のデータ(1時間平均値(pps/bps))をシグネチャ異常/セッション異常/同時セッション数超え異常/秒間セッション数超え異常毎に大→小順に並び替え(ステップS83)、各種異常毎に、異常トラフィックの発生時間帯を集計し、上位3位の時間帯(異常頻発時間帯)を割り出し、分析レポートに出力する(ステップS84)。
トラフィック分析部Dには、月表波形レポートが入力され、指定期間の月表のデータ(1日平均値(pps/bps))をシグネチャ異常/セッション異常/同時セッション数超え異常/秒間セッション数超え異常毎に大→小順に並び替え(ステップS85)、各種異常毎に、異常トラフィックの発生日時・曜日を集計し、上位3位の日付・曜日(異常頻発日付・曜日)を割り出し、分析レポートに出力する(ステップS86)。また、指定期間の月表のデータ(1日平均値(pps/bps))より、全異常パケット数を統計し(ステップS87)、全異常パケット数/全正常受信パケット数の割合を算出し、分析レポートに出力する(ステップS88)。
分析レポート作成部722は、トラフィック分析部720によるトラフィック分析に基づいて分析レポートを作成し(ステップS89)、これを保持、表示する(ステップS90)。
以上説明したように本実施形態によれば、リアルタイムで異常トラフィック/正常トラフィックをモニタと監視でき、管理者に閾値超えのアラートメールを発送できる。また、時表/日表/月表の定時レポート(波形)を生成できるため、トラフィックの実態を容易に分析することができる。
また、Ingress/Egressモニタの全受信パケット基本統計分析により、上位5位の瞬間トラフィック量とその発生日時、各段階のトラフィックの割合、上位1割のトラフィック量範囲とこれらのトラフィックが集中する上位3位の時間帯、上位3位の日平均データのトラフィック量(pps/bps)と日付等を分析することが可能となる。
また、宛先/送信元IPアドレス範囲(サブネット)指定の統計分析により、サブネット毎に、上位3位の瞬間トラフィック量とその発生日時、各段階のトラフィックの割合、上位1割のトラフィック量範囲とこれらのトラフィックが集中する上位3位の時間帯、上位3位の日平均データのトラフィック量(pps/bps)と日付、全体的各サブネットのトラフィック割合等を分析することが可能となる。
また、TCP/UDPポート番号指定統計分析により、音声/映像/制御/その他毎の各段階のトラフィックの割合、上位3位の瞬間トラフィックデータの量(pps/bps)と日時、上位1割のトラフィック量範囲とその集中時間帯上位3位、上位3位の日平均データのトラフィック量(pps/bps)と日付、全体的にそれぞれのトラフィック割合等を分析することができる。
また、異常トラフィックモニタの分析により、各種異常パケットの割合、異常トラフィックの発生時間帯の上位3位、発生日付(曜日)の上位3位、全異常パケット数と全正常受信パケット数の割合等を分析することができる。
従って、本実施形態によれば、ネットワーク管理者が自分でトラフィックを分析、或いは、専門業者にトラフィック分析を依頼する必要がなく、容易に各回線の状態を把握することができる。これにより、ネットワーク管理者の負担や、ネットワーク運用費用を低減することが可能となる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明の一実施形態に係るトラフィック収集装置のネットワークへの設置構成を示す模式図である。 トラフィック収集装置の機能と構成を示す模式図である。 Ingressパケットフィルタ部、Egressパケットフィルタ部の構成を示す模式図である。 異常トラフィック検出部の構成を示す模式図である。 セッション処理部による処理を示すフローチャートである。 トラフィック分析装置の機能と、その機能を実現するための構成を示す模式図である。 統合管理装置の機能構成を示す模式図である。 リアルタイム統計情報設定管理部の構成を示す模式図である。 リアルタイム統計情報設定管理部の構成を示す模式図である。 リアルタイム統計情報モニタ部の処理を示す模式図である。 アラート条件設定部で行われる設定を示す模式図である。 アラート管理通知部の処理を示すフローチャートである。 定時レポート設定管理部、定時統計情報モニタ部、及び定時統計情報レポート作成部で行われる処理を示す模式図である。 トラフィック分析設定管理部による処理を示す模式図である。 トラフィック分析部及び分析レポート作成部による処理を示す模式図である。 トラフィック分析部及び分析レポート作成部による処理を示す模式図である。 トラフィック分析部及び分析レポート作成部による処理を示す模式図である。 トラフィック分析部及び分析レポート作成部による処理を示す模式図である。
符号の説明
100 トラフィック収集装置
700 トラフィック分析装置
704 リアルタイム統計情報設定管理部
706 リアルタイム統計情報モニタ部
708 アラート条件設定部
710 アラート管理通知部
720 トラフィック分析部
722 分析レポート作成部

Claims (6)

  1. ネットワークへ接続されるアクセス網のトラフィックを分析するトラフィック分析装置であって:
    ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と;
    前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するアラート条件設定部と;
    前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と;
    を備えることを特徴とする、トラフィック分析装置。
  2. 前記トラフィック収集装置からリアルタイムで収集した情報に関して、1時間毎の波形、1日毎の波形、又は1月毎の波形に基づいてトラフィックを分析するトラフィック分析部を備えることを特徴とする、請求項1に記載のトラフィック分析装置。
  3. 前記トラフィック分析部の分析結果に基づいてレポートを作成する分析レポート作成部を備えることを特徴とする、請求項2に記載のトラフィック分析装置。
  4. 前記トラフィック収集装置からリアルタイムで収集した情報は、前記トラフィック収集装置のパケットフィルタで収集された情報、又は異常トラフィックとして収集された情報を含み、
    前記トラフィック分析部は、前記パケットフィルタで収集された情報に基づく全受信パケットの基本統計分析、前記パケットフィルタで収集された情報に基づく特定範囲のパケットの統計分析、又は前記異常トラフィックの分析を行うことを特徴とする、請求項2に記載のトラフィック分析装置。
  5. ネットワークとアクセス網との間の通信データに関する情報をトラフィック収集装置からリアルタイムで収集するステップと;
    前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するステップと;
    前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるステップと;
    を備えることを特徴とする、トラフィック分析方法。
  6. ネットワークとのアクセス網からトラフィック情報を収集するトラフィック収集装置と、前記トラフィック情報を分析するトラフィック分析装置とが接続されたトラフィック分析システムであって:
    前記トラフィック分析装置は:
    ネットワークとアクセス網との間の通信データに関する情報を前記トラフィック収集装置からリアルタイムで収集するリアルタイムモニタ機能部と;
    前記トラフィック収集装置からリアルタイムで収集した情報に関するアラート条件を設定するアラート条件設定部と;
    前記アラート条件に基づいて、ネットワークとアクセス網との間のトラフィックに関するアラートを発生させるアラート管理通知部と;
    を備えることを特徴とする、トラフィック分析システム。
JP2008009470A 2008-01-18 2008-01-18 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム Pending JP2009171431A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2008009470A JP2009171431A (ja) 2008-01-18 2008-01-18 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
CNA200810174864XA CN101488882A (zh) 2008-01-18 2008-11-10 通信量分析装置、通信量分析方法以及通信量分析系统
US12/355,060 US20090185503A1 (en) 2008-01-18 2009-01-16 Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008009470A JP2009171431A (ja) 2008-01-18 2008-01-18 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム

Publications (1)

Publication Number Publication Date
JP2009171431A true JP2009171431A (ja) 2009-07-30

Family

ID=40876434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008009470A Pending JP2009171431A (ja) 2008-01-18 2008-01-18 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム

Country Status (3)

Country Link
US (1) US20090185503A1 (ja)
JP (1) JP2009171431A (ja)
CN (1) CN101488882A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046286A1 (ja) * 2010-10-04 2012-04-12 エンパイア テクノロジー ディベロップメント エルエルシー 情報処理装置およびプログラム
WO2015140927A1 (ja) * 2014-03-18 2015-09-24 株式会社日立製作所 データ転送監視システム、データ転送監視方法、および拠点システム
JP2017112590A (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
WO2017104122A1 (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
WO2019117052A1 (ja) 2017-12-13 2019-06-20 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
JP2020102776A (ja) * 2018-12-21 2020-07-02 株式会社日立製作所 ネットワーク分析システム、ネットワーク分析装置及びネットワーク分析方法

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
JP5987062B2 (ja) * 2012-10-29 2016-09-06 富士機械製造株式会社 監視区間自動設定装置、工作機械、および監視区間自動設定方法
CN104378219A (zh) * 2013-08-12 2015-02-25 中兴通讯股份有限公司 路由器流量数据智能分析的方法和装置
WO2016185721A1 (ja) * 2015-05-21 2016-11-24 日本電気株式会社 パケット分析装置及びパケット分析方法
CN105577473B (zh) * 2015-12-21 2019-06-04 重庆大学 一种基于网络流量模型的多业务流量生成系统
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
EP3648408A1 (en) * 2018-10-31 2020-05-06 Atos Nederland B.V. Monitoring system performance
CN110213112A (zh) * 2019-06-14 2019-09-06 广州志浩信念网络科技有限公司 一种用户行为分析方法及系统
CN110798850B (zh) * 2019-10-15 2022-09-06 深圳市高德信通信股份有限公司 一种运营商网络接入方法
CN110838952B (zh) * 2019-10-31 2023-02-07 深圳市高德信通信股份有限公司 一种网络流量监控管理系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005151289A (ja) * 2003-11-18 2005-06-09 Kddi Corp ログ分析装置およびログ分析プログラム
JP2005236547A (ja) * 2004-02-18 2005-09-02 Nippon Telegr & Teleph Corp <Ntt> トラフィック評価装置、トラフィック評価方法、トラフィック評価プログラム、記憶媒体及びトラフィック表示装置
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法
JP2006164038A (ja) * 2004-12-09 2006-06-22 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
JP2007094997A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd Idsのイベント解析及び警告システム
JP2008507222A (ja) * 2004-07-22 2008-03-06 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US7788718B1 (en) * 2002-06-13 2010-08-31 Mcafee, Inc. Method and apparatus for detecting a distributed denial of service attack
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
JP2006019808A (ja) * 2004-06-30 2006-01-19 Toshiba Corp 中継装置および中継装置の優先制御方法
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US7760859B2 (en) * 2005-03-07 2010-07-20 Net Optics, Inc. Intelligent communications network tap port aggregator
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7584507B1 (en) * 2005-07-29 2009-09-01 Narus, Inc. Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet
US8464329B2 (en) * 2006-02-21 2013-06-11 Watchguard Technologies, Inc. System and method for providing security for SIP-based communications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006510277A (ja) * 2002-12-13 2006-03-23 セタシア ネットワークス コーポレイション 相関関数を用いてネットワーク攻撃を検出するネットワーク帯域異常検出装置及び方法
JP2005151289A (ja) * 2003-11-18 2005-06-09 Kddi Corp ログ分析装置およびログ分析プログラム
JP2005236547A (ja) * 2004-02-18 2005-09-02 Nippon Telegr & Teleph Corp <Ntt> トラフィック評価装置、トラフィック評価方法、トラフィック評価プログラム、記憶媒体及びトラフィック表示装置
JP2008507222A (ja) * 2004-07-22 2008-03-06 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム
JP2006164038A (ja) * 2004-12-09 2006-06-22 Nippon Telegr & Teleph Corp <Ntt> DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
JP2007094997A (ja) * 2005-09-30 2007-04-12 Fujitsu Ltd Idsのイベント解析及び警告システム

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012046286A1 (ja) * 2010-10-04 2012-04-12 エンパイア テクノロジー ディベロップメント エルエルシー 情報処理装置およびプログラム
US9087351B2 (en) 2010-10-04 2015-07-21 Empire Technology Development Llc Flat rate pricing with packet-frequency-aware billing system for mobile broadband communication
WO2015140927A1 (ja) * 2014-03-18 2015-09-24 株式会社日立製作所 データ転送監視システム、データ転送監視方法、および拠点システム
CN105917618A (zh) * 2014-03-18 2016-08-31 株式会社日立制作所 数据转发监视系统、数据转发监视方法以及据点系统
JPWO2015140927A1 (ja) * 2014-03-18 2017-04-06 株式会社日立製作所 データ転送監視システム、データ転送監視方法、および拠点システム
JP2017112590A (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
WO2017104122A1 (ja) * 2015-12-14 2017-06-22 パナソニックIpマネジメント株式会社 通信装置、通信方法、及び通信プログラム
US10713106B2 (en) 2015-12-14 2020-07-14 Panasonic Intellectual Property Management Co., Ltd. Communication device, communication method and non-transitory storage medium
WO2019117052A1 (ja) 2017-12-13 2019-06-20 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
US11461463B2 (en) 2017-12-13 2022-10-04 Nec Corporation Information processing device, information processing method, and recording medium
JP2020102776A (ja) * 2018-12-21 2020-07-02 株式会社日立製作所 ネットワーク分析システム、ネットワーク分析装置及びネットワーク分析方法
JP7103929B2 (ja) 2018-12-21 2022-07-20 株式会社日立製作所 ネットワーク分析システム、ネットワーク分析装置及びネットワーク分析方法

Also Published As

Publication number Publication date
US20090185503A1 (en) 2009-07-23
CN101488882A (zh) 2009-07-22

Similar Documents

Publication Publication Date Title
JP2009171431A (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
JP4983671B2 (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
CN101933290B (zh) 基于流信息对网络设备上的acl进行配置的方法
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8813220B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
CN102238023B (zh) 一种生成网络管理系统的告警数据的方法及装置
CN107104840A (zh) 一种日志监控方法、装置及系统
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US20190007292A1 (en) Apparatus and method for monitoring network performance of virtualized resources
JP2003533925A (ja) ネットワーク用のセキュリティ・カメラ
CN108900374A (zh) 一种应用于dpi设备的数据处理方法和装置
CN107181743A (zh) 网络直播数据上报方法及装置
US20070168505A1 (en) Performance monitoring in a network
JP2009088936A (ja) ネットワーク監視装置及びネットワーク監視方法
CN110266726B (zh) 一种识别ddos攻击数据流的方法及装置
CN111600863A (zh) 网络入侵检测方法、装置、系统和存储介质
US20190007285A1 (en) Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom
CN108206769A (zh) 过滤网络质量告警的方法、装置、设备和介质
US8826296B2 (en) Method of supervising a plurality of units in a communications network
CN111741007B (zh) 一种基于网络层报文解析的金融业务实时监控系统及方法
CN113242208B (zh) 基于网络流的网络态势分析系统
CN105025006B (zh) 一种积极的信息安全运维平台
CN106656398A (zh) 一种时钟同步监管方法和装置
CN108063764B (zh) 一种网络流量处理方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100917

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20121009