JP2015080193A - ネットワーク装置およびこれを用いた選別的情報モニタリング方法 - Google Patents

ネットワーク装置およびこれを用いた選別的情報モニタリング方法 Download PDF

Info

Publication number
JP2015080193A
JP2015080193A JP2014115611A JP2014115611A JP2015080193A JP 2015080193 A JP2015080193 A JP 2015080193A JP 2014115611 A JP2014115611 A JP 2014115611A JP 2014115611 A JP2014115611 A JP 2014115611A JP 2015080193 A JP2015080193 A JP 2015080193A
Authority
JP
Japan
Prior art keywords
information
monitoring
packet
network
monitored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014115611A
Other languages
English (en)
Inventor
熙 ▲眠▼ 金
Heemin Kim
熙 ▲眠▼ 金
正 ▲漢▼ 尹
Jeong-Han Yun
正 ▲漢▼ 尹
京 鎬 金
Kyung Ho Kim
京 鎬 金
禹 年 金
Woonyon Kim
禹 年 金
正 澤 徐
Jungtaek Seo
正 澤 徐
應 紀 朴
Eungki Park
應 紀 朴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2015080193A publication Critical patent/JP2015080193A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/14Arrangements for monitoring or testing data switching networks using software, i.e. software packages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】受信されるすべてのパケットから必要な情報(パケットのフィールド情報)だけをユーザがモニタリングできるネットワーク装置およびこれを用いた選別的情報モニタリング方法を提示する。【解決手段】前記ネットワーク装置は、モニタリング対象ホストに接続され、モニタリング対象ホストからネットワークパケットを受信する1つ以上の物理インタフェースと、1つ以上の物理インタフェースを介して収集されるネットワークパケットに対して選別的な情報抽出が可能となるようにフィルタリングするコンフィギュラブルモニタリング部を含むスイッチファブリックモジュールとを含む。【選択図】図1

Description

本発明は、ネットワーク装置およびこれを用いた選別的情報モニタリング方法に関するものであって、より詳細には、選別的情報だけをモニタリングできるネットワーク装置およびこれを用いた選別的情報モニタリング方法に関するものである。
今日のネットワークは、多くのサービスによって多くのセキュリティ脅威にさらされている。このような問題を解決するために、既存のネットワークにセキュリティ装備を追加して運営している。
外部の攻撃を遮断するために、ファイアウォールを用いてネットワークを保護し、IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)を用いて外部への侵入の試みおよびハッキングの試みをリアルタイムに探知し防御している。
しかし、今日のネットワークに対する攻撃は、特定ホストのハッキングの試みだけでなく、ネットワークの装備にエラーを誘発してネットワーク不能化を誘発するセキュリティ脅威にもさらされている。このような攻撃を防御するために、ネットワークのパケットをリアルタイムに分析可能な技術および探知可能な技術の開発が行われている。
内部ネット監視のためには、ネットワークスイッチを通過するすべてのトラフィックをモニタリングしなければならない。このために、現在使用可能な方法は、ネットワークスイッチミラーリング手法とタッピング手法がある。
ネットワークスイッチミラーリング手法は、ネットワークスイッチ内のソフトウェアがモニタリング対象パケットをコピーし、モニタリングしようとするスイッチインタフェースに伝送する方式である。これは、トラフィックが多い場合、ネットワークスイッチリソース(CPUなど)を多く使用し、ネットワークスイッチ自体の性能に問題を起こすことがある。
タッピング手法は、モニタリングしようとするスイッチインタフェースごとにタッピング装備を設け、電気的にパケットをコピーする装備である。この場合、24個のポートをモニタリングするためには、24個の装備を設けなければならない。また、24個のポートでモニタリングしようとするトラフィックを1つのポートに集めてモニタリングするには、トラフィックアグリゲータ(Aggregator)という別の装備が必要である。すなわち、現実的に線接続が複雑化して管理が難しく、追加装備の価格が非常に高くて導入しにくい。
従来の方式における最大の問題は、モニタリングしようとするトラフィックの量が多い場合、パケットドロップ(Drop)が発生するほかない点である。
1Gポート24個ですべてのパケットを1つのトラフィック分析システムがモニタリングしようとする場合、最大24Gbpsを1つのポートに集めてトラフィック分析システムに伝送しなければならない。しかし、スイッチインタフェースが処理可能な最大容量は1Gbpsであるので、23個のインタフェースでミラーリングされる23Gbpsのトラフィックをすべて収集することができない。
このような現象は、トラフィックアグリゲータにおいても類似していて、価格によって、10Gポートを支援するなど、大容量ポートを支援したりするが、このような物理的限界状況は発生するほかない。
関連する先行技術としては、通信データを収集および分析する内容が、大韓民国登録特許第10−0814546号(通信データを収集して分析する装置および方法)に開示された。
他の関連する先行技術としては、内部ネットワーク上における有害トラフィックをリアルタイムに見つけ、それに伴う適切な対応を行えるように支援する内容が、大韓民国登録特許第10−0671044号(内部ネットワーク上の有害トラフィック分析システムおよび方法)に開示された。
大韓民国登録特許第10−0814546号明細書 大韓民国登録特許第10−0671044号明細書
本発明は、上記の従来の問題を解決するためになされたものであって、受信されるすべてのパケットから必要な情報(パケットのフィールド情報)だけをユーザがモニタリングできるネットワーク装置およびこれを用いた選別的情報モニタリング方法を提供することを目的とする。
上記の目的を達成するために、本発明の好ましい実施態様にかかるネットワーク装置は、モニタリング対象ホストに接続され、前記モニタリング対象ホストからネットワークパケットを受信する1つ以上の物理インタフェースと、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットに対して選別的な情報抽出が可能となるようにフィルタリングするコンフィギュラブルモニタリング部を含むスイッチファブリックモジュールとを含む。
好ましくは、前記コンフィギュラブルモニタリング部は、入力されるモニタリング設定情報に基づいて、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットからモニタリングする情報だけを抽出するパケット情報フィルタリング部と、前記パケット情報フィルタリング部から抽出したモニタリング情報を、前記モニタリング設定情報内の伝送方式に従って伝送する情報伝送部とを含むことができる。
好ましくは、前記モニタリング設定情報は、モニタリングするパケットの条件を含むモニタリング対象と、前記収集されたネットワークパケットからどの情報だけをモニタリングするかを決定するモニタリング情報と、前記モニタリング情報をどのインタフェースに伝送するかおよびモニタリング情報伝送方式を決定するモニタリング方式とを含むことができる。
好ましくは、前記モニタリング対象は、モニタリングする前記物理インタフェースの名称と、それぞれの物理インタフェースで前記モニタリングするパケットがインバウンドであるか、アウトバウンドであるかを明示した情報とを含むことができる。
好ましくは、前記モニタリング情報は、レイヤ2パケットの情報抽出の場合、プリアンブル、開始フィールド、目的地MAC、送信元MAC、および長さタイプを含むことができる。
好ましくは、前記モニタリング情報は、レイヤ3パケットの情報抽出の場合、送信元IPアドレス、宛先IPアドレス、ヘッダ長さ、プロトコル番号、およびTTLを含むことができる。
好ましくは、前記モニタリング情報は、レイヤ4パケットの情報抽出の場合、送信元ポート、宛先ポート、シーケンスナンバー、ACKナンバー、およびフラグを含むことができる。
好ましくは、前記モニタリング情報伝送方式は、前記ネットワークパケットの形態をそのまま維持する単一パケットコピー方式、前記単一パケットコピー方式でコピーした部分を、ユーザの所望するプロトコルを用いてモニタリング情報受信装備に伝送する単一パケットコピー遠隔伝送方式、前記モニタリング情報受信装備に、特定のプロトコルを用いて前記ネットワークパケットのモニタリング情報だけをモニタリング対象パケットが発生する度に伝送する単一パケット情報遠隔伝送方式、および複数のパケットのモニタリング情報を1つのパケットに集めて伝送する複数パケット情報遠隔伝送方式のうちの1つであってよい。
好ましくは、前記モニタリング情報は、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットのタイムスタンプと、どの物理インタフェースを介して入ったネットワークパケットであるかを示すインタフェース名とを含むことができる。
本発明の好ましい実施態様にかかる選別的情報モニタリング方法は、モニタリング対象ホストに接続された1つ以上の物理インタフェースが、前記モニタリング対象ホストからのネットワークパケットを受信するステップと、コンフィギュラブルモニタリング部が、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットに対して選別的な情報抽出が可能となるようにフィルタリングするステップとを含む。
好ましくは、前記選別的な情報抽出が可能となるようにフィルタリングするステップは、入力されるモニタリング設定情報に基づいて、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットからモニタリングする情報だけを抽出するステップと、前記抽出したモニタリング情報を、前記モニタリング設定情報内の伝送方式に従って伝送するステップとを含むことができる。
このような構成の本発明によれば、正確なトラフィック分析のために、パケットドロップ(packet drop)なくすべてのパケットから特定情報をモニタリングできるため、パケットからトラフィック分析システムの所望する(すなわち、ユーザの所望する)情報だけをモニタリング可能とする。
これにより、モニタリングのために伝送するトラフィックの量が減少し、すべてのパケットの情報をモニタリング可能とする。
本発明の実施形態にかかるネットワーク装置の構成図である。 図1に示されたコンフィギュラブルモニタリング部の内部構成図である。 本発明の実施形態に採用されるパケットのモニタリング対象情報を例示した図である。 モニタリング対象情報の中から一部だけをモニタリング情報として決定する方式を説明する図である。 単一パケットコピー方式と単一パケットコピー遠隔伝送方式の比較を示した図である。 単一パケット情報遠隔伝送の例を示した図である。 複数パケット情報遠隔伝送の例を示した図である。 本発明の実施形態にかかる選別的情報モニタリング方法を説明するフローチャートである。
本発明は、多様な変更を加えることができ、様々な実施形態を有することができるが、特定の実施形態を図面に例示および詳細に説明する。
しかし、これは、本発明を特定の実施形態に対して限定しようとするのではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物または代替物を含むことが理解されなければならない。
本出願で使用された用語は、単に特定の実施形態を説明するために使用されたものであり、本発明を限定しようとするものではない。単数の表現は、文脈上別途に明示されない限り、複数の表現を含む。本出願において、「含む」または「有する」などの用語は、明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指すものであり、1つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないことが理解されなければならない。
別途に定義されない限り、技術的または科学的な用語を含み、ここで使用されるすべての用語は、本発明の属する技術分野における通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使用される、辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有すると解釈されなければならず、本出願で明らかに定義しない限り、理想的または過度に形式的な意味で解釈されない。
以下、添付した図面を参照して、本発明の好ましい実施形態をより詳細に説明する。本発明を説明するにあたり、全体的な理解を容易にするために、図面上の同一の構成要素については同一の参照符号を使用し、同一の構成要素について重複した説明は省略する。
図1は、本発明の実施形態にかかるネットワーク装置の構成図であり、図2は、図1に示されたコンフィギュラブルモニタリング部の内部構成図であり、図3は、本発明の実施形態に採用されるパケットのモニタリング対象情報を例示した図であり、図4は、モニタリング対象情報の中から一部だけをモニタリング情報として決定する方式を説明する図であり、図5は、単一パケットコピー方式と単一パケットコピー遠隔伝送方式の比較を示した図であり、図6は、単一パケット情報遠隔伝送の例を示した図であり、図7は、複数パケット情報遠隔伝送の例を示した図である。
図1において、本発明の実施形態にかかるネットワーク装置は、物理(PHY)インタフェース10と、管理インタフェース12と、管理部14と、中央処理装置16と、メモリ18と、電源部20と、スイッチファブリックモジュール22とを含む。
物理(PHY)インタフェース10は、モニタリング対象ホスト(図示せず)に接続される物理的なインタフェースである。物理インタフェース10は、モニタリング対象ホストからネットワークパケットを受信することができる。物理インタフェース10は複数個から構成できる。
管理インタフェース12は、管理部14の設定および管理のための物理的インタフェースである。
中央処理装置16は、ソフトウェア命令などを処理し、演算を担当する機能を果たす。
メモリ18は、ソフトウェア命令などの情報を一時的に格納する。
電源部20は、本発明の装置を駆動するための電源を提供する物理的インタフェースである。
スイッチファブリックモジュール22は、コンフィギュラブルモニタリング部(Configurable Monitoring Module)(CMM)24と、スイッチング部(Switching Module)(SM)26とを含む。ここで、コンフィギュラブルモニタリング部24は、1つ以上の物理インタフェース10を介して収集されるネットワークパケットに対して必要な情報だけを選別的に抽出可能にフィルタリングを行うモジュールである。スイッチング部26は、物理的に接続されたモニタリング対象ホストのネットワーク接続のためのスイッチング機能を担当する。コンフィギュラブルモニタリング部24およびスイッチング部26は、それぞれ個別的なモジュール形態で構成できる。
一方、コンフィギュラブルモニタリング部24は、図2のように、パケット情報フィルタリング部24aと、情報伝送部24bとを含む。
パケット情報フィルタリング部24aは、管理部14を介してユーザの決定したモニタリング設定情報に基づいて、当該ネットワーク装置で収集したパケットからモニタリングする情報だけを抽出する。すなわち、パケット情報フィルタリング部24aは、管理部14を介して入力されるパケット情報フィルタリング命令(モニタリング設定情報を含む)に基づいて、1つ以上の物理インタフェース10を介して収集されるネットワークパケットからモニタリングする情報だけを抽出する。
情報伝送部24bは、パケット情報フィルタリング部24aから抽出したモニタリング情報を、モニタリング設定情報内の伝送方式に従ってモニタリング情報受信装備(図示せず)に伝送する。
パケット情報フィルタリング部24aに入力されるモニタリング設定情報のために、ユーザが決定すべき事項は、モニタリング対象、モニタリング情報、およびモニタリング方式である。
モニタリング対象とは、下記の表1に示す、モニタリングするパケットの条件を意味する。
Figure 2015080193
モニタリング情報とは、パケットからどの情報だけをモニタリングするかを決定するものである。当該情報に基づいてパケット全体をモニタリングするか、パケットの一部情報だけをモニタリングする。
パケットからモニタリングする情報は、図3のように例示することができる。ユーザは、図4のように、モニタリング対象情報の中から一部だけをモニタリング情報として設定する。図4をみると、モニタリング情報は、1つ以上の物理インタフェースを介して収集されるネットワークパケットのタイムスタンプ(timestamp;T)と、どの物理インタフェースを介して入ったネットワークパケットであるかを示すインタフェース名(P)とを含むことができる。タイムスタンプ(T)は、パケットがネットワーク装置に到着した時間と見なしてもよい。
ここで、モニタリング情報に設定されるべき情報がレイヤ2パケットの情報の場合(すなわち、レイヤ(Layer)2パケットの情報抽出の場合)は、{“プリアンブル”、“SOF”、“目的地MAC”、“送信元MAC”、“長さ/タイプ”}を基準としてパケットの選別が可能である。
“プリアンブル”は、イーサネット(登録商標)フレームが伝送されたかを知らせる機能を担当するフィールドである。
“SOF(Start of Frame)”は、フレームの開始を知らせる役割を果たすフィールドである。
“目的地MAC”は、目的地ホストのハードウェアのアドレスである。
“送信元MAC”は、送信元ホストのハードウェアのアドレスである。
“長さ/タイプ”は、フレームのデータ長さとプロトコルのイーサタイブ(Ether Type)値を示す。イーサタイプ値は、使用する通信プロトコルに関する内容であって、IPv4、ARP、Appletalk、IEEE802.1Q IPv6などの通信プロトコルに関する内容を含んでいる。
一方、モニタリング情報に設定されるべき情報がレイヤ3パケットの情報の場合(すなわち、レイヤ(Layer)3パケットの情報抽出の場合)は、ネットワークセッションに関する抽出情報で、IPヘッダのフィールドを基準として選別するものである。本発明では、通信の接続性とモニタリングに必要なフィールドを{“送信元IPアドレス”、“宛先IPアドレス”、“ヘッダ長さ”、“プロトコル番号”、“TTL”}を基準として選別が可能である。
“送信元IPアドレス”は、パケットの送信元IPアドレスである。
“宛先IPアドレス”は、パケットの宛先IPアドレスである。
“ヘッダ長さ”は、当該パケットのIPヘッダの長さである。
“プロトコル”は、当該パケットのプロトコル形態に関するもので、TCP、UDP、ICMPなどのプロトコルの番号を表す。
“TTL”は、ネットワークのパケットの生存期間を表す。
一方、モニタリング情報に設定されるべき情報がレイヤ4パケットの情報の場合(すなわち、レイヤ(Layer)4パケットの情報抽出の場合)は、「送信元ポート」、「宛先ポート」、「シーケンスナンバー」、「ACKナンバー」、「フラグ」フィールドの情報を使用する。
“送信元ポート”は、送信元のポートナンバーである。
“宛先ポート”は、宛先のポートナンバーである。
“シーケンスナンバー”は、パケットの応答番号および確認番号である。
“ACKナンバー”は、パケットの応答番号である。
“フラグ”は、ヘッダにおいてデータの流れおよび接続制御に関するものであって、略8Bitを用いる。「フラグ」フィールドは、CWR、ECE、URG、ACK、PSH、RST、SYN、FINに分類できる。
そして、モニタリング方式では、モニタリング情報をネットワーク装備のどのインタフェースに伝送するかおよびモニタリング情報伝送方式を決定しなければならない。ここで、モニタリング情報伝送方式は、下記の表2の通り、4つあり得る。
Figure 2015080193
表2において、「単一パケットコピー」は、ミラーリングやタッピング装備のように、モニタリング対象パケットの形態をそのまま維持する方式である。管理部14の設定により、モニタリング情報に基づいてモニタリング対象パケットの一部分は除外できる。
「単一パケットコピー遠隔伝送」は、「単一パケットコピー」方式でコピーした部分を、ユーザの所望するプロトコルを用いて本発明で提案するネットワーク装置がモニタリング情報を受信する装備に伝送する方式である。
図5は、「単一パケットコピー」方式と「単一パケットコピー遠隔伝送」方式(UDPプロトコルの使用時)を簡単に比較した図である。この時、MACヘッダ(MAC header)、IPヘッダ(IP header)、UDPヘッダ(UDP header)において、送信元MAC(src MAC)、送信元IP(src IP)、送信元ポート(src port)は、本発明で提案するネットワーク装置に関する情報であり、宛先MAC(dst MAC)、宛先IP(dst IP)、宛先ポート(dst port)は、モニタリング情報を受信する装備に関する情報を意味する。
一方、「単一パケット情報遠隔伝送」は、本発明で提案するネットワーク装置が、モニタリング情報を受信する装備に、特定のプロトコルを用いてモニタリング対象パケットのモニタリング情報だけをモニタリング対象パケットが発生する度に伝送するものである。
図6は、「単一パケット情報遠隔伝送」の例である。伝送プロトコルがUDPであり、モニタリング情報がタイムスタンプ(T)、送信元IP(Src IP)、目的地IP(Dst IP)の場合、当該情報だけをUDPペイロード(UDP payload)部分を利用して伝送するものである。この時、MACヘッダ(MAC header)、IPヘッダ(IP header)、UDPヘッダ(UDP header)において、送信元MAC(src MAC)、送信元IP(src IP)、送信元ポート(src port)は、本発明で提案するネットワーク装置に関する情報であり、宛先MAC(dst MAC)、宛先IP(dst IP)、宛先ポート(dst port)は、モニタリング情報を受信する装備に関する情報を意味する。
このようにする場合、本発明で提案するネットワーク装置とモニタリング情報を受信する装備とがネットワーク上に接続されてさえいれば、遠隔での伝送が可能である利点がある。また、モニタリング情報にタイムスタンプ(T)を含んで伝送するため、モニタリング情報の伝送から発生する時間のディレイに関係なく、モニタリング対象パケットが本発明で提示するネットワーク装置に到着する時刻情報を正確に知ることができる利点がある。
そして、「複数パケット情報遠隔伝送」は、「単一パケット情報遠隔伝送」と類似の方式であるが、複数のパケットのモニタリング情報を1つのパケットに集めて伝送する方式である。
図7は、「複数パケット情報遠隔伝送」の例を示す。モニタリング情報が決定されており、1つのパケットで伝送可能な最大容量を決定すると、1つのパケットで複数のモニタリングパケットの情報を伝送可能であるかを知ることができる。このようにすれば、1つのパケットで複数のモニタリング対象パケットの情報を伝送することができ、モニタリング情報伝送量および速度(pps、packet per second)を大きく減少させることができる。特に、ppsの減少は、モニタリング情報受信システムの性能の限界による、受信過程でのパケットドロップ(packet drop)などの問題を低減することができる。
図8は、本発明の実施形態にかかる選別的情報モニタリング方法を説明するフローチャートである。
まず、S10において、物理(PHY)インタフェース10がモニタリング対象ホスト(図示せず)からパケットを受信する。物理(PHY)インタフェース10は、入力されたパケットをスイッチファブリックモジュール22のコンフィギュラブルモニタリング部24に送る。
S12において、コンフィギュラブルモニタリング部24は、モニタリング対象ホストであるか否かを、管理部14で設定された情報に基づいてモニタリング対象ホストをモニタリングするか否かを決定する。
仮に、モニタリング対象ホストでない場合には、モニタリングを行わず(S14)、モニタリング対象ホストであれば、コンフィギュラブルモニタリング部24は、図3および図4の形態でモニタリング情報の抽出を行う(S16)。
次に、S18において、コンフィギュラブルモニタリング部24は、モニタリング情報の抽出が完了すると、モニタリング伝送方式を確認する。ここで、モニタリング伝送方式は、表2のような方式で決定して処理する。これは、モニタリング対象パケットの場合、パケット全体をモニタリングするか、それとも一部情報だけをモニタリングするかを決定して処理する。
コンフィギュラブルモニタリング部24は、管理部14のパケットモニタリング設定情報に基づいて単一パケットコピー伝送が設定されていれば、モニタリング対象パケットから、モニタリング情報を含むように、モニタリング対象パケットの最初から一定バイトまでだけ、またはモニタリング対象パケットの全体をコピーして伝送する(S20)。
コンフィギュラブルモニタリング部24は、管理部14のパケットモニタリング設定情報に基づいて単一パケットコピー遠隔伝送が設定されていれば、モニタリング対象パケットから、モニタリング情報を含むように、モニタリング対象パケットの最初から一定バイトまでだけ、またはモニタリング対象パケットの全体をコピーし、特定のプロトコルを用いて伝送する(S22)。
コンフィギュラブルモニタリング部24は、管理部14のパケットモニタリング設定情報に基づいて単一パケット情報遠隔伝送が設定されていれば、プロトコルによってヘッダを生成し、モニタリング情報を追加して伝送する(S24)。
コンフィギュラブルモニタリング部24は、管理部14のパケットモニタリング設定情報に基づいて複数パケット情報遠隔伝送が設定されていれば、用意された伝送パケットがあるかを確認する(S26)。
S26での確認の結果、用意された伝送パケットがなければ、コンフィギュラブルモニタリング部24は、プロトコルによってヘッダを生成し、モニタリング情報を追加した伝送パケットを生成する(S28)。S28では、生成した伝送パケットを伝送しない。
S26での確認の結果、用意された伝送パケットがあれば、伝送パケットにモニタリング情報が追加可能であるかを確認する(S30)。
仮に、伝送パケットにモニタリング情報を追加できれば、コンフィギュラブルモニタリング部24は、伝送パケットにモニタリング情報を追加する(S32)。
逆に、伝送パケットにモニタリング情報を追加できなければ、コンフィギュラブルモニタリング部24は、現在までの伝送パケットを伝送する(S34)。
以上、図面および明細書で最適な実施形態が開示された。ここで、特定の用語が使用されたが、これは、単に本発明を説明するための目的で使用されたものであり、意味の限定や特許請求の範囲に記載された本発明の範囲を制限するために使用されたものではない。そのため、本技術分野における通常の知識を有する者であれば、これから多様な変形および均等な他の実施形態が可能である点を理解することができる。したがって、本発明の真の技術的保護範囲は、添付した特許請求の範囲の技術的思想によって定められなければならない。
10:物理インタフェース
12:管理インタフェース
14:管理部
16:中央処理装置
18:メモリ
20:電源部
22:スイッチファブリックモジュール
24:コンフィギュラブルモニタリング部
26:スイッチング部
24a:パケット情報フィルタリング部
24b:情報伝送部

Claims (18)

  1. モニタリング対象ホストに接続され、前記モニタリング対象ホストからネットワークパケットを受信する1つ以上の物理インタフェースと、
    前記1つ以上の物理インタフェースを介して収集されるネットワークパケットに対して選別的な情報抽出が可能となるようにフィルタリングするコンフィギュラブルモニタリング部を含むスイッチファブリックモジュールとを含むことを特徴とする、ネットワーク装置。
  2. 前記コンフィギュラブルモニタリング部は、
    入力されるモニタリング設定情報に基づいて、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットからモニタリングする情報だけを抽出するパケット情報フィルタリング部と、
    前記パケット情報フィルタリング部から抽出したモニタリング情報を、前記モニタリング設定情報内の伝送方式に従って伝送する情報伝送部とを含むことを特徴とする、請求項1に記載のネットワーク装置。
  3. 前記モニタリング設定情報は、モニタリングするパケットの条件を含むモニタリング対象と、前記収集されたネットワークパケットからどの情報だけをモニタリングするかを決定するモニタリング情報と、前記モニタリング情報をどのインタフェースに伝送するかおよびモニタリング情報伝送方式を決定するモニタリング方式とを含むことを特徴とする、請求項2に記載のネットワーク装置。
  4. 前記モニタリング対象は、モニタリングする前記物理インタフェースの名称と、それぞれの物理インタフェースで前記モニタリングするパケットがインバウンドであるか、アウトバウンドであるかを明示した情報とを含むことを特徴とする、請求項3に記載のネットワーク装置。
  5. 前記モニタリング情報は、レイヤ2パケットの情報抽出の場合、プリアンブル、開始フィールド、目的地MAC、送信元MAC、および長さタイプを含むことを特徴とする、請求項3に記載のネットワーク装置。
  6. 前記モニタリング情報は、レイヤ3パケットの情報抽出の場合、送信元IPアドレス、宛先IPアドレス、ヘッダ長さ、プロトコル番号、およびTTLを含むことを特徴とする、請求項3に記載のネットワーク装置。
  7. 前記モニタリング情報は、レイヤ4パケットの情報抽出の場合、送信元ポート、宛先ポート、シーケンスナンバー、ACKナンバー、およびフラグを含むことを特徴とする、請求項3に記載のネットワーク装置。
  8. 前記モニタリング情報伝送方式は、
    前記ネットワークパケットの形態をそのまま維持する単一パケットコピー方式、前記単一パケットコピー方式でコピーした部分を、ユーザの所望するプロトコルを用いてモニタリング情報受信装備に伝送する単一パケットコピー遠隔伝送方式、前記モニタリング情報受信装備に、特定のプロトコルを用いて前記ネットワークパケットのモニタリング情報だけをモニタリング対象パケットが発生する度に伝送する単一パケット情報遠隔伝送方式、および複数のパケットのモニタリング情報を1つのパケットに集めて伝送する複数パケット情報遠隔伝送方式のうちの1つであることを特徴とする、請求項3に記載のネットワーク装置。
  9. 前記モニタリング情報は、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットのタイムスタンプと、どの物理インタフェースを介して入ったネットワークパケットであるかを示すインタフェース名とを含むことを特徴とする、請求項2に記載のネットワーク装置。
  10. モニタリング対象ホストに接続された1つ以上の物理インタフェースが、前記モニタリング対象ホストからのネットワークパケットを受信するステップと、
    コンフィギュラブルモニタリング部が、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットに対して選別的な情報抽出が可能となるようにフィルタリングするステップとを含むことを特徴とする、選別的情報モニタリング方法。
  11. 前記選別的な情報抽出が可能となるようにフィルタリングするステップは、
    入力されるモニタリング設定情報に基づいて、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットからモニタリングする情報だけを抽出するステップと、
    前記抽出したモニタリング情報を、前記モニタリング設定情報内の伝送方式に従って伝送するステップとを含むことを特徴とする、請求項10に記載の選別的情報モニタリング方法。
  12. 前記モニタリング設定情報は、モニタリングするパケットの条件を含むモニタリング対象と、前記収集されたネットワークパケットからどの情報だけをモニタリングするかを決定するモニタリング情報と、前記モニタリング情報をどのインタフェースに伝送するかおよびモニタリング情報伝送方式を決定するモニタリング方式とを含むことを特徴とする、請求項11に記載の選別的情報モニタリング方法。
  13. 前記モニタリング対象は、モニタリングする前記物理インタフェースの名称と、それぞれの物理インタフェースで前記モニタリングするパケットがインバウンドであるか、アウトバウンドであるかを明示した情報とを含むことを特徴とする、請求項12に記載の選別的情報モニタリング方法。
  14. 前記モニタリング情報は、レイヤ2パケットの情報抽出の場合、プリアンブル、開始フィールド、目的地MAC、送信元MAC、および長さタイプを含むことを特徴とする、請求項12に記載の選別的情報モニタリング方法。
  15. 前記モニタリング情報は、レイヤ3パケットの情報抽出の場合、送信元IPアドレス、宛先IPアドレス、ヘッダ長さ、プロトコル番号、およびTTLを含むことを特徴とする、請求項12に記載の選別的情報モニタリング方法。
  16. 前記モニタリング情報は、レイヤ4パケットの情報抽出の場合、送信元ポート、宛先ポート、シーケンスナンバー、ACKナンバー、およびフラグを含むことを特徴とする、請求項12に記載の選別的情報モニタリング方法。
  17. 前記モニタリング情報伝送方式は、
    前記ネットワークパケットの形態をそのまま維持する単一パケットコピー方式、前記単一パケットコピー方式でコピーした部分を、ユーザの所望するプロトコルを用いてモニタリング情報受信装備に伝送する単一パケットコピー遠隔伝送方式、前記モニタリング情報受信装備に、特定のプロトコルを用いて前記ネットワークパケットのモニタリング情報だけをモニタリング対象パケットが発生する度に伝送する単一パケット情報遠隔伝送方式、および複数のパケットのモニタリング情報を1つのパケットに集めて伝送する複数パケット情報遠隔伝送方式のうちの1つであることを特徴とする、請求項12に記載の選別的情報モニタリング方法。
  18. 前記モニタリング情報は、前記1つ以上の物理インタフェースを介して収集されるネットワークパケットのタイムスタンプと、どの物理インタフェースを介して入ったネットワークパケットであるかを示すインタフェース名とを含むことを特徴とする、請求項11に記載の選別的情報モニタリング方法。
JP2014115611A 2013-10-17 2014-06-04 ネットワーク装置およびこれを用いた選別的情報モニタリング方法 Pending JP2015080193A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2013-0123776 2013-10-17
KR1020130123776A KR101564643B1 (ko) 2013-10-17 2013-10-17 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법

Publications (1)

Publication Number Publication Date
JP2015080193A true JP2015080193A (ja) 2015-04-23

Family

ID=52826075

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014115611A Pending JP2015080193A (ja) 2013-10-17 2014-06-04 ネットワーク装置およびこれを用いた選別的情報モニタリング方法

Country Status (3)

Country Link
US (1) US9742699B2 (ja)
JP (1) JP2015080193A (ja)
KR (1) KR101564643B1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230180005A1 (en) * 2021-03-17 2023-06-08 Magdata Inc. Apparatus, system, and method for monitoring network security and performance

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004207962A (ja) * 2002-12-25 2004-07-22 Nec Commun Syst Ltd 高速ルータ、パケットモニタシステムとパケットモニタ方法
JP2007081938A (ja) * 2005-09-15 2007-03-29 Matsushita Electric Ind Co Ltd 装置診断システム
JP2007243373A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> トラフィック情報収集システム、ネットワーク機器およびトラフィック情報収集機器
JP2007336512A (ja) * 2006-05-18 2007-12-27 Alaxala Networks Corp 統計情報収集システム及び統計情報収集装置
JP2009231890A (ja) * 2008-03-19 2009-10-08 Alaxala Networks Corp パケット中継装置およびトラフィックモニタシステム
JP2012151673A (ja) * 2011-01-19 2012-08-09 Oki Networks Co Ltd 通信装置、通信システム及び通信プログラム
JP2012156695A (ja) * 2011-01-25 2012-08-16 Mitsubishi Electric Corp パケットキャプチャ装置
JP2012169756A (ja) * 2011-02-10 2012-09-06 Hitachi Ltd 暗号化通信検査システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2351175C (en) 1998-11-24 2016-05-03 Niksun, Inc. Apparatus and method for collecting and analyzing communications data
JP2003023464A (ja) * 2001-07-11 2003-01-24 Kddi Corp 時刻情報付パケット収集蓄積システム
KR100671044B1 (ko) 2005-09-21 2007-01-17 유넷시스템주식회사 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법
US20070245016A1 (en) * 2006-04-18 2007-10-18 Lian Li System and method of single-channel account reporting
US7656812B2 (en) * 2006-07-27 2010-02-02 Cisco Technology, Inc. Monitoring of data packets in a fabric
US7742408B2 (en) 2006-08-04 2010-06-22 Fujitsu Limited System and method for filtering packets in a switching environment
KR100850629B1 (ko) * 2007-02-01 2008-08-05 에스케이 텔레콤주식회사 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004207962A (ja) * 2002-12-25 2004-07-22 Nec Commun Syst Ltd 高速ルータ、パケットモニタシステムとパケットモニタ方法
JP2007081938A (ja) * 2005-09-15 2007-03-29 Matsushita Electric Ind Co Ltd 装置診断システム
JP2007243373A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> トラフィック情報収集システム、ネットワーク機器およびトラフィック情報収集機器
JP2007336512A (ja) * 2006-05-18 2007-12-27 Alaxala Networks Corp 統計情報収集システム及び統計情報収集装置
JP2009231890A (ja) * 2008-03-19 2009-10-08 Alaxala Networks Corp パケット中継装置およびトラフィックモニタシステム
JP2012151673A (ja) * 2011-01-19 2012-08-09 Oki Networks Co Ltd 通信装置、通信システム及び通信プログラム
JP2012156695A (ja) * 2011-01-25 2012-08-16 Mitsubishi Electric Corp パケットキャプチャ装置
JP2012169756A (ja) * 2011-02-10 2012-09-06 Hitachi Ltd 暗号化通信検査システム

Also Published As

Publication number Publication date
US9742699B2 (en) 2017-08-22
US20150109936A1 (en) 2015-04-23
KR101564643B1 (ko) 2015-11-09
KR20150045016A (ko) 2015-04-28

Similar Documents

Publication Publication Date Title
US7636305B1 (en) Method and apparatus for monitoring network traffic
JP5883920B2 (ja) パケット重複排除のためのシステムおよび方法
Qadeer et al. Network traffic analysis and intrusion detection using packet sniffer
JP4759389B2 (ja) パケット通信装置
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US8724466B2 (en) Packet filtering
US10243862B2 (en) Systems and methods for sampling packets in a network flow
EP3846406A1 (en) Dynamic security actions for network tunnels against spoofing
WO2016101783A1 (zh) 一种攻击数据包的处理方法、装置及系统
US8958318B1 (en) Event-based capture of packets from a network flow
CN106416171B (zh) 一种特征信息分析方法及装置
EP3257202B1 (en) Correlating packets in communications networks
EP3720075B1 (en) Data transmission method and virtual switch
WO2015070626A1 (zh) 网络协同防御方法、装置和系统
JP2009088936A (ja) ネットワーク監視装置及びネットワーク監視方法
US9641485B1 (en) System and method for out-of-band network firewall
CN103001966A (zh) 一种私网ip的处理、识别方法及装置
JP2015080193A (ja) ネットワーク装置およびこれを用いた選別的情報モニタリング方法
CN105850091B (zh) 用于提供通信服务提供方和提供服务的ip服务器之间的连接的方法、边界网络装置以及ip服务器
CN102546387B (zh) 一种数据报文的处理方法、装置及系统
WO2017118428A1 (zh) 实现报文检错的方法及装置
Cisco Configuring IP Services
Cisco Configuring IP Services
TWM504990U (zh) 網路防護系統
Zhu et al. Analysis of the Technologies for Host and Port Scanning

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160727

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20161206