JP2017098907A - System and method for traffic analysis - Google Patents
System and method for traffic analysis Download PDFInfo
- Publication number
- JP2017098907A JP2017098907A JP2015232388A JP2015232388A JP2017098907A JP 2017098907 A JP2017098907 A JP 2017098907A JP 2015232388 A JP2015232388 A JP 2015232388A JP 2015232388 A JP2015232388 A JP 2015232388A JP 2017098907 A JP2017098907 A JP 2017098907A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- traffic
- information
- tunnel
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 112
- 238000000034 method Methods 0.000 title description 36
- 238000004891 communication Methods 0.000 claims abstract description 46
- 230000005641 tunneling Effects 0.000 claims abstract description 34
- 239000000284 extract Substances 0.000 claims abstract description 9
- 238000003860 storage Methods 0.000 claims description 34
- 238000004220 aggregation Methods 0.000 claims description 30
- 230000002776 aggregation Effects 0.000 claims description 30
- 238000005553 drilling Methods 0.000 claims description 2
- 238000005259 measurement Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 28
- 238000012545 processing Methods 0.000 description 15
- 230000005540 biological transmission Effects 0.000 description 13
- 238000005070 sampling Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000000691 measurement method Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、トラフィック解析システムおよびトラフィック解析方法に関する。 The present invention relates to a traffic analysis system and a traffic analysis method.
昨今、ネットワークを利用したサービスは多様化しており、安定したネットワークを提供することの重要性は増している。このような状況において、DDoS(Distributed Denial of Service)攻撃に代表されるネットワークへの攻撃は多様化し、また大規模化しており、大きな脅威となっている。なお、DDoS攻撃とは、特定の組織・企業のサーバを狙ってサイバー攻撃を行うサービス不能攻撃の1つであり、標的サーバへデータを多量に送信して、サーバ機能を無効化させるものである。 In recent years, services using networks have been diversified, and the importance of providing stable networks is increasing. In such a situation, attacks on networks represented by DDoS (Distributed Denial of Service) attacks are diversified and large-scale, which is a great threat. The DDoS attack is one of denial-of-service attacks in which a cyber attack is aimed at a specific organization / corporate server, and a large amount of data is transmitted to the target server to invalidate the server function. .
通信を監視しトラフィックの計測を行い、ネットワークの状態を正確かつ効率的に把握することで、ネットワークへの攻撃が発生した際、迅速に対応することができる。従来、通信を監視しトラフィックを計測する方法として、SNMP(Simple Network Management Protocol)を利用する方法や、パケットキャプチャを行う方法が知られている。 By monitoring communication, measuring traffic, and accurately and efficiently grasping the state of the network, it is possible to respond quickly when an attack on the network occurs. Conventionally, as a method for monitoring communication and measuring traffic, a method using SNMP (Simple Network Management Protocol) and a method for performing packet capture are known.
SNMPを利用する方法は、インタフェースを通過したバイト数やパケット数をカウントすることはできるが、IP(Internet Protocol)アドレス単位やプロトコル単位といった詳細解析をすることはできない。また、パケットキャプチャを行う方法は、特定の区間を流れる全てのパケットを取得するため詳細な解析を行うことはできるが、取得するデータ量が非常に多くなってしまい、定常的に使用するには不向きである。 The method using SNMP can count the number of bytes and packets that have passed through the interface, but cannot perform detailed analysis such as an IP (Internet Protocol) address unit or a protocol unit. In addition, the packet capture method can perform detailed analysis because all packets flowing in a specific section can be acquired, but the amount of data to be acquired becomes very large, so that it can be used regularly. It is unsuitable.
このため、近年ではNetFlow、sFlow、IPFIX(Internet Protocol Flow Information Export)といったネットワーク機器が出力するフローを利用したトラフィック計測方法が普及している。フローとは、ネットワーク機器を流れるトラフィックに対して、送受信IPアドレス・ポート番号・プロトコル等の情報を専用のフォーマットで出力するものである。 For this reason, in recent years, traffic measurement methods using flows output from network devices such as NetFlow, sFlow, and IPFIX (Internet Protocol Flow Information Export) have become widespread. The flow is to output information such as transmission / reception IP address, port number, protocol, etc. in a dedicated format for the traffic flowing through the network device.
フローを利用したトラフィック計測方法によれば、SNMPより詳細な情報を、パケットキャプチャよりも少ないデータ量で得ることができ、IPアドレス単位やプロトコル単位のトラフィック解析が容易となる。 According to the traffic measurement method using a flow, more detailed information than SNMP can be obtained with a smaller data amount than packet capture, and traffic analysis in units of IP addresses or protocols is facilitated.
特に、ネットワーク上の脅威を検知するための一般的な手法として、NetFlowを利用した解析が知られている(例えば非特許文献1)。NetFlowを利用することで、L2TP(Layer 2 Tunneling Protocol)やGRE(Generic Routing Encapsulation)のように元のIPパケットにトンネル用のヘッダを付加する技術や、MPLS(Multi-Protocol Label Switching)のように元のIPパケットにラベルを付加する技術が使用されたネットワークであっても、そのネットワークにどのようなパケットが流れているかを把握できることも知られている(例えば非特許文献2)。
In particular, analysis using NetFlow is known as a general technique for detecting a threat on a network (for example, Non-Patent Document 1). By using NetFlow, technologies such as L2TP (
しかしながら、従来のNetFlowを利用した解析には、トンネリングプロトコルが使われているネットワークの中継区間からのみフローを取得できる環境においては、トラフィックの計測を正確に行うことができないという問題があった。 However, the conventional analysis using NetFlow has a problem that traffic cannot be accurately measured in an environment where a flow can be acquired only from a relay section of a network in which a tunneling protocol is used.
例えば、末端の機器の処理能力や通信が複数のネットワークにまたがることに起因して、末端の機器からNetFlowを取得することができず、ネットワークの中継区間の機器からのみNetFlowを取得できる場合がある。このとき、NetFlowからは、カプセル化されたパケットのヘッダ部分に関する情報は得られるものの、ペイロード部分に関する情報を得ることができない。そのため、ペイロード部分に含まれるパケットについての情報を得ることができず、トラフィックの計測を正確に行うことができない。 For example, there is a case where NetFlow cannot be acquired from a terminal device and NetFlow can be acquired only from a device in a relay section of the network due to the processing capability and communication of the terminal device extending over a plurality of networks. . At this time, information regarding the header portion of the encapsulated packet can be obtained from NetFlow, but information regarding the payload portion cannot be obtained. Therefore, information about the packet included in the payload portion cannot be obtained, and traffic cannot be measured accurately.
本発明のトラフィック解析システムは、暗号化されていないトンネルを確立するトンネリングプロトコルであって、ユーザ通信のパケットにヘッダを付加しカプセル化するトンネリングプロトコルが使われているネットワークからサンプリングされたパケットの、前記トンネリングプロトコルによって付加されたヘッダに含まれるトラフィックに関する情報とサンプリングされたパケットの全部または一部とを関連付けたフローサンプルを要素として持つフローパケットから、前記トラフィックに関する情報であるトンネルパケット情報を抽出し、前記サンプリングされたパケットの全部または一部から前記ユーザ通信のパケットのヘッダに含まれるトンネル内部のトラフィックに関する情報である内部パケット情報を抽出する解析部と、前記トンネルパケット情報および前記内部パケット情報から所定の条件に基づいて通信量を集計する集計部と、前記トンネルパケット情報、前記内部パケット情報および前記通信量を関連付けたデータを保存する保存部と、を有することを特徴とする。 The traffic analysis system of the present invention is a tunneling protocol for establishing an unencrypted tunnel, and a packet sampled from a network in which a tunneling protocol for adding and encapsulating a header to a user communication packet is used. Tunnel packet information that is information about the traffic is extracted from a flow packet having as an element a flow sample that associates information about the traffic included in the header added by the tunneling protocol with all or part of the sampled packet. An analysis unit that extracts internal packet information that is information about traffic inside the tunnel included in a header of the user communication packet from all or a part of the sampled packet; and A totaling unit that totals traffic based on a predetermined condition from tunnel packet information and internal packet information; and a storage unit that stores data associated with the tunnel packet information, internal packet information, and traffic It is characterized by that.
また、本発明のトラフィック解析方法は、暗号化されていないトンネルを確立するトンネリングプロトコルであって、ユーザ通信のパケットにヘッダを付加しカプセル化するトンネリングプロトコルが使われているネットワークからサンプリングされたパケットの、前記トンネリングプロトコルによって付加されたヘッダに含まれるトラフィックに関する情報とサンプリングされたパケットの全部または一部とを関連付けたフローサンプルを要素として持つフローパケットから、前記トラフィックに関する情報であるトンネルパケット情報を抽出し、前記サンプリングされたパケットの全部または一部から前記ユーザ通信のパケットのヘッダに含まれるトンネル内部のトラフィックに関する情報である内部パケット情報を抽出する解析工程と、前記トンネルパケット情報および前記内部パケット情報から所定の条件に基づいて通信量を集計する集計工程と、前記トンネルパケット情報、前記内部パケット情報および前記通信量を関連付けたデータを保存する保存工程と、を含んだことを特徴とする。 Further, the traffic analysis method of the present invention is a tunneling protocol for establishing an unencrypted tunnel, which is a packet sampled from a network using a tunneling protocol for adding a header to a packet for user communication and encapsulating it. From the flow packet having as an element a flow sample that associates all or part of the sampled packet with information about the traffic included in the header added by the tunneling protocol, tunnel packet information that is information about the traffic An analysis step of extracting and extracting internal packet information that is information relating to traffic inside the tunnel included in a header of the packet of user communication from all or a part of the sampled packets; A totaling step of totaling traffic based on a predetermined condition from the tunnel packet information and the internal packet information; and a storage step of storing data associated with the tunnel packet information, the internal packet information and the traffic. It is characterized by including.
本発明によれば、トンネリングプロトコルが使われているネットワークの中継区間からのみフローを取得できる環境において、トラフィックの計測を正確に行うことができる。 According to the present invention, it is possible to accurately measure traffic in an environment where a flow can be acquired only from a relay section of a network in which a tunneling protocol is used.
以下に、本願に係るトラフィック解析システムおよびトラフィック解析方法の実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本発明が限定されるものではない。 Embodiments of a traffic analysis system and a traffic analysis method according to the present application will be described below in detail with reference to the drawings. In addition, this invention is not limited by this embodiment.
[第1の実施形態]
まず、図1を用いてトラフィック解析システムの概要について説明する。図1は、第1の実施形態に係るトラフィック解析システムの概要を示す図である。図1に示すように、トラフィック解析システム1は、解析装置20を有する。ネットワーク2は、ユーザ端末30、CPE(Customer Premises Equipment)40、LAC(L2TP Access Concentrator)50、ルータ60、作成装置10およびLNS(L2TP Network Server)70を有する。また、ネットワーク2の作成装置10は、ルータ60に接続されている。なお、作成装置10とルータ60とは一体化された装置であってもよい。
[First Embodiment]
First, the outline of the traffic analysis system will be described with reference to FIG. FIG. 1 is a diagram illustrating an outline of a traffic analysis system according to the first embodiment. As shown in FIG. 1, the traffic analysis system 1 has an
ユーザ端末30は、ユーザ通信のパケットを送出する。CPE40は、ユーザ端末30から送出されたパケットに対して必要に応じて変換等を行う。LAC50は、パケットにヘッダを付加しカプセル化する。ルータ60は、パケットを中継する。LNS70は、カプセル化されたパケットのカプセル化を解除する。これにより、LAC50とLNS70の間にはトンネル80が構成される。そして、トンネル80内にはカプセル化されたトンネルトラフィックのパケット81が流れる。なお、ネットワーク2においては、トンネルトラフィック以外のトラフィックが発生していてもよい。
The
トンネル80は、暗号化されていないトンネルを確立するトンネリングプロトコルであって、ユーザ通信のパケットにヘッダを付加しカプセル化するトンネリングプロトコルによって確立される。このようなトンネリングプロトコルの例として、例えばL2TPやGRE等がある。また、トンネル80は、IPv6 over IPv4トンネリング、またはIPv4 over IPv6トンネリングによって確立されたトンネルであってもよい。
The
作成装置10は、ルータ60によって中継されるパケットを基にフローパケット90を作成し、作成したフローパケット90を解析装置20に送信する。解析装置20は、フローパケット90を解析し、解析した結果をトンネルトラフィック情報および内部トラフィック情報として保存する。解析装置20は、さらにトンネルトラフィック情報および内部トラフィック情報をグラフとして出力することもできる。
The creation device 10 creates a
[第1の実施形態の構成]
まず、トラフィック解析システム1の解析対象となるフローパケット90について説明する。その後、トラフィック解析システム1の解析装置20の構成について説明するとともに、フローパケット90の解析方法について説明する。
[Configuration of First Embodiment]
First, the
[解析対象のフローパケット]
第1の実施形態においては、例として、フローパケット90はネットワーク2の作成装置10によって作成され、解析装置20へ送信されるものとする。なお、作成装置10はルータ60と一体であってもよい。また、ネットワーク2のルータ60を含む機器に作成装置20と同様の機能を持たせる構成としてもよい。また、フローパケット90を作成するための装置および方法は、ここで説明するものに限られず、既知の装置および方法を用いることとしてもよい。
[Flow packet to be analyzed]
In the first embodiment, as an example, the
作成装置10は、ルータからパケットのサンプリングを行う。作成装置10は、あらかじめ設定されたサンプリングの割合であるサンプリングレートに従って、ルータ60によって中継されるパケットのサンプリングを行う。例えば、サンプリングレートを1/10000と設定した場合、作成装置10は、ルータ60によって中継されるパケットを10000個に1個の割合でサンプリングする。
The creation device 10 samples packets from the router. The creation apparatus 10 samples the packets relayed by the
さらに、作成装置10は、パケットのサンプリングとは別に、ルータ60によって中継されるパケットの数やサイズといった、パケットの量をさらに取得するようにしてもよい。このとき、作成装置10は、サンプリングレートによらず、ルータ60によって中継されるパケットの数やサイズを取得するようにしてもよい。また、ルータ60によって中継されるパケットには、カプセル化されたトンネルトラフィックのパケット、およびそれ以外の非トンネルトラフィックのパケットの両方が含まれる。
Furthermore, the creation apparatus 10 may further acquire the amount of packets such as the number and size of the packets relayed by the
ここで、図3を用いて、作成装置10が抽出するトンネルトラフィックのパケット81について説明する。図3は、トンネルトラフィックのパケットの一例を示す図である。図3に示すように、トンネルトラフィックのパケット81は、イーサネット(登録商標)ヘッダ811、IPヘッダ812、UDPヘッダ813、L2TPヘッダ814、PPPヘッダ815、IPヘッダ816、TCP(Transmission Control Protocol)/UDP(User Datagram Protocol)ヘッダ817およびデータ818を有する。
Here, the
ユーザ端末30から送出されるユーザ通信のパケットには、ヘッダとしてIPヘッダ816およびTCP/UDPヘッダ817が含まれ、ペイロードとしてデータ818が含まれる。そして、LAC50は、ユーザ通信のパケットに、イーサネットヘッダ811、IPヘッダ812、UDPヘッダ813、L2TPヘッダ814およびPPPヘッダ815を付加する。なお、図3の例では、ネットワーク2で用いられるトンネリングプロトコルをL2TPとしている。
The user communication packet transmitted from the
また、以降の説明において、イーサネットヘッダ811、IPヘッダ812、UDPヘッダ813、L2TPヘッダ814、PPPヘッダ815をトンネリングプロトコルのヘッダ82aと呼び、IPヘッダ816、TCP/UDPヘッダ817およびデータ818をトンネリングプロトコルのペイロード82bと呼ぶ。また、イーサネットヘッダ811およびIPヘッダ812をIPヘッダ83aと呼び、UDPヘッダ813、L2TPヘッダ814、PPPヘッダ815、IPヘッダ816、TCP/UDPヘッダ817およびデータ818をIPペイロード83bと呼ぶ。
In the following description, the
作成装置10は、フローパケット90を作成する。まず、図4を用いて、フローパケット90について説明する。図4は、フローパケットの一例を示す図である。図4に示すように、フローパケット90は、フローヘッダ91およびn個(n>0)のフローサンプル92を有する。作成装置10は、フローヘッダ91にフローパケット90が生成された時刻や、フローパケット90のシーケンス番号等を含める。また、作成装置10は、抽出したトンネルトラフィックのパケット81に含まれる各ヘッダの情報を基にフローサンプル92を作成する。
The creation device 10 creates a
ここで、図5を用いて、フローサンプル92について説明する。図5は、フローサンプルに含まれる要素の一例を示す図である。作成装置10は、例えば図5の「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル番号」および「ToS」をIPヘッダ812から取得する。また、作成装置10は、例えば図5の「送信元ポート番号」および「宛先ポート番号」をUDPヘッダ813から取得する。また、作成装置10は、図5の「送信インタフェースのSNMP Interface Index」および「受信インタフェースのSNMP Interface Index」をルータ60から直接取得する。
Here, the
さらに、作成装置10は、トンネルトラフィックのパケット81の数やサイズを取得している場合、パケットの量をさらに含むフローパケット90を作成する。例えば、作成装置10は、取得したトンネルトラフィックのパケット81の数やサイズを、「フローのパケット総バイト数」および「フローの総パケット数」とする。
Furthermore, when acquiring the number and size of the
また、作成装置10は、サンプリングされたパケットの全部または一部をフローパケット90に含める。作成装置10は、例えばIPペイロード83bを図5の「サンプリングされたパケットの全部または一部」とする。このように、作成装置10は、パケットのヘッダ部分だけでなく、ペイロード部分に関する情報をフローパケット90に含めるため、解析装置20においてペイロード部分から得られる情報に基づく解析を行うことができるようになる。
Further, the creation device 10 includes all or part of the sampled packet in the
また、作成装置10は、図5に示すようなフローサンプル92の各要素を項目として有するテンプレート情報をフローパケット90に含めるようにしてもよい。このとき、作成装置10は、例えば各項目に値を設定することでフローサンプル92を作成する。また、フローサンプル92の数nは、ネットワーク環境により可変である。例えば、作成装置10は、所定時間の間に作成されたフローサンプル92の数をnとしてもよいし、フローの消滅が確認できた時点までに作成されたフローサンプル92の数をnとしてもよい。なお、作成装置10は、非トンネルトラフィックのパケットについても同様にフローサンプル92を作成するようにしてもよい。
Further, the creation apparatus 10 may include template information having each element of the
作成装置10は、作成したフローパケット90を解析装置20に送信する。作成装置10は、あらかじめ集計間隔として設定された時間が経過するたびにフローパケット90を送信するようにしてもよい。
The creation device 10 transmits the created
[解析装置の構成]
次に、図2を用いて解析装置20の構成について説明する。図2は、第1の実施形態に係る解析装置の構成を示すブロック図である。図2に示すように、解析装置20は、送受信部21、解析部22、集計部23、保存部24、表示部25および記憶部26を有する。
[Configuration of analyzer]
Next, the configuration of the
解析装置20の送受信部21は、作成装置10によって送信されたフローパケット90を受信する。送受信部21は、受信したフローパケット90を解析部22へ受け渡す。
The transmission / reception unit 21 of the
解析装置20の解析部22は、フローパケット90からトラフィックに関する情報であるトンネルパケット情報を抽出し、サンプリングされたパケットの全部または一部からユーザ通信のパケットのヘッダに含まれるトンネル内部のトラフィックに関する情報である内部パケット情報を抽出することで、フローパケット90を解析する。
The analysis unit 22 of the
解析部22は、まずフローサンプル92の「宛先ポート番号」や「プロトコル番号」等に基づいて、当該フローサンプル92がトンネルトラフィックのパケットに関するものであるか、もしくは非トンネルトラフィックのパケットに関するものであるかを判定する。そして、解析部22は、フローパケット92に基づいて、内部パケット情報、トンネルパケット情報および非トンネルパケット情報を作成する。
Based on the “destination port number” and “protocol number” of the
解析部22は、トンネルトラフィックのパケットに関するものであると判定されたフローサンプル92に基づいて、内部パケット情報を作成する。ここで、内部パケット情報について、図6を用いて説明する。図6は、内部パケット情報に含まれる要素の一例を示す図である。図6に示すように、内部パケット情報には、例えば「ID」、「日時」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「ToS」および「パケットサイズ」が含まれる。
The analysis unit 22 creates internal packet information based on the
解析部22は、内部パケット情報の「日時」として、例えばフローヘッダ91に含まれる、フローパケットが生成された時刻を取得する。また、解析部22は、内部パケット情報を識別するための値である「ID」を設定する。
The analysis unit 22 acquires, for example, the time when the flow packet included in the
また、解析部22は、フローサンプル92の「サンプリングされたパケットの全部または一部」から取得したIPヘッダ816およびTCP/UDPヘッダ817から、内部パケット情報の「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「ToS」を取得する。なお、フローサンプル92の「サンプリングされたパケットの全部または一部」にTCPやUDPの情報が含まれていない場合、解析部22は、内部パケット情報の「送信元ポート番号」および「宛先ポート番号」に情報が含まれていないことを示す値を設定する。
Further, the analysis unit 22 uses the “source IP address” and “destination IP” of the internal packet information from the
また、フローサンプル92に「フローのパケット総バイト数」および「フローの総パケット数」が含まれる場合、集計部23は、これらのパケット量を基に通信量を集計する。例えば、解析部22は、内部パケット情報の「パケットサイズ」を式(1)によって計算する。
パケットサイズ=フローのパケット総バイト数/フローの総パケット数・・・(1)
When the
Packet size = total number of bytes in the flow / total number of packets in the flow (1)
解析部22は、トンネルトラフィックのパケットに関するものであると判定されたフローサンプル92、および非トンネルトラフィックのパケットに関するものであると判定されたフローサンプル92に基づいて、トンネルパケット情報および非トンネルパケット情報を作成する。ここで、図7を用いて、トンネルパケット情報および非トンネルパケット情報について説明する。図7は、トンネルパケット情報および非トンネルパケット情報に含まれる要素の一例を示す図である。
The analysis unit 22 determines the tunnel packet information and the non-tunnel packet information based on the
図7に示すように、トンネルパケット情報および非トンネルパケット情報には、例えば「ID」、「日時」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「送信インタフェースのSNMP Interface Index」、「受信インタフェースのSNMP Interface Index」、「ToS」、「パケットサイズ」および「トンネルフラグ」が含まれる。なお、フローサンプル92にTCPやUDPの情報が含まれていない場合、解析部22は、トンネルパケット情報および非トンネルパケット情報の「送信元ポート番号」および「宛先ポート番号」に情報が含まれていないことを示す値を設定する。
As shown in FIG. 7, the tunnel packet information and the non-tunnel packet information include, for example, “ID”, “date / time”, “source IP address”, “destination IP address”, “source port number”, “destination port” “Number”, “protocol number”, “SNMP interface index of transmission interface”, “SNMP interface index of reception interface”, “ToS”, “packet size”, and “tunnel flag”. When the
解析部22は、トンネルパケット情報および非トンネルパケット情報を識別するための値である「ID」を発行する。このとき、解析部22は、同一のフローパケットサンプル92から作成された内部パケット情報とトンネルパケット情報については、「ID」が同一となるようにする。
The analysis unit 22 issues “ID” which is a value for identifying the tunnel packet information and the non-tunnel packet information. At this time, the analysis unit 22 causes the “ID” to be the same for the internal packet information and the tunnel packet information created from the same
また、解析部22は、フローサンプル92から、トンネルパケット情報および非トンネルパケット情報の「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「送信インタフェースのSNMP Interface Index」、「受信インタフェースのSNMP Interface Index」、「ToS」を取得する。解析部22は、トンネルパケット情報および非トンネルパケット情報の「日時」および「パケットサイズ」を、内部パケット情報の場合と同様の方法によって取得する。
In addition, the analysis unit 22 extracts the “source IP address”, “destination IP address”, “source port number”, “destination port number”, “protocol number” of the tunnel packet information and the non-tunnel packet information from the
また、解析部22は、トンネルパケット情報および非トンネルパケット情報の「トンネルフラグ」について、トンネルパケット情報と非トンネルパケット情報との間で異なる値を設定する。例えば、解析部22は、トンネルパケット情報の「トンネルフラグ」を「TRUE」とし、非トンネルパケット情報の「トンネルフラグ」を「FALSE」とする。 Further, the analysis unit 22 sets different values for the “tunnel flag” of the tunnel packet information and the non-tunnel packet information between the tunnel packet information and the non-tunnel packet information. For example, the analysis unit 22 sets “tunnel flag” of the tunnel packet information to “TRUE” and sets “tunnel flag” of the non-tunnel packet information to “FALSE”.
解析装置20の集計部23は、トンネルパケット情報および内部パケット情報から所定の条件に基づいて通信量を集計する。また、解析装置20の保存部24は、トンネルパケット情報、内部パケット情報および通信量を関連付けたデータを記憶部26に保存する。まず、集計部23および保存部24によるトンネルパケット情報および非トンネルパケット情報の作成方法を説明し、次に、集計部23および保存部24による内部トラフィック情報の作成方法について説明する。
The totaling
[トンネルトラフィック情報および非トンネルトラフィック情報の作成方法]
まず、トンネルトラフィック情報および非トンネルトラフィック情報の作成方法について説明する。集計部23は、トンネルパケット情報および非トンネルパケット情報について所定の条件に基づいて通信量を集計する。ここで、条件とは、例えばトラフィックを確認したい期間、集計間隔、送信元IPアドレスや送信元ポート番号等の情報の単位等である。なお、これらの条件は、解析装置20の設定の初期値としてあらかじめ設定されていてもよい。
[How to create tunnel traffic information and non-tunnel traffic information]
First, a method for creating tunnel traffic information and non-tunnel traffic information will be described. The totaling
集計部23は、所定の条件を満たすトンネルパケット情報および非トンネルパケット情報をグループ化する。例えば、期間の条件を所定の日の0:00〜1:00とし、集計間隔の条件を5分とし、情報の単位の条件をプロトコル番号とする。以降、集計部23によってグループ化された各グループを集計グループと呼ぶ。
The
集計部23は、例えば、トンネルパケット情報に含まれる所定の要素が同一であるトンネルパケット情報をグループ化し、また、関連するトンネルパケット情報が同一であり、かつ内部パケット情報に含まれる所定の要素が同一である内部パケット情報をグループ化し、通信量を集計する。
The
例として、集計部23が情報の単位の条件をプロトコル番号としてグループ化を行った場合の例を図8に示す。図8は、トンネルパケット情報および非トンネルパケット情報のグループ化の一例を示す図である。図8の例では、プロトコル番号が同一であるトンネルパケット情報および非トンネルパケット情報は同一の集計グループとなる。
As an example, FIG. 8 shows an example in which the totaling
集計部23は、グループ化を行った後、集計グループごとに式(2)および式(3)によって通信量を計算する。なお、集計部23は、式(2)によって容量を計算し、式(3)によってパケット数を計算する。
通信量[bps]=(集計グループに所属するトンネルパケット情報または非トンネルパケット情報のパケットサイズ要素の合計値/サンプリングレート)/集計間隔・・・(2)
通信量[pps]=(集計グループに所属するトンネルパケット情報または非トンネルパケット情報の数/サンプリングレート)/集計間隔・・・(3)
After performing grouping, the totaling
Traffic [bps] = (total value of packet size elements of tunnel packet information or non-tunnel packet information belonging to the aggregation group / sampling rate) / aggregation interval (2)
Traffic [pps] = (number of tunnel packet information or non-tunnel packet information belonging to the total group / sampling rate) / total interval (3)
例えば、集計グループに所属するトンネルパケット情報または非トンネルパケット情報のパケットサイズ要素の合計値が3M[b]、集計グループに所属するトンネルパケット情報または非トンネルパケット情報の数が3450個、サンプリングレートが1/10000、集計間隔が5分すなわち300秒である場合、式(2)より通信量[bps]は100Mbpsとなり、式(3)より通信量[pps]は11500ppsとなる。 For example, the total value of the packet size elements of tunnel packet information or non-tunnel packet information belonging to the aggregation group is 3M [b], the number of tunnel packet information or non-tunnel packet information belonging to the aggregation group is 3450, and the sampling rate is When 1/10000 and the aggregation interval is 5 minutes, that is, 300 seconds, the communication amount [bps] is 100 Mbps from the equation (2), and the communication amount [pps] is 11500 pps from the equation (3).
保存部24は、集計部23によって行われたグループ化および集計の結果を、トンネルトラフィック情報261または非トンネルトラフィック情報262として記憶部26に保存する。図9を用いてトンネルトラフィック情報261および非トンネルトラフィック情報262について説明する。図9は、トンネルトラフィック情報および非トンネルトラフィック情報に含まれる要素の一例を示す図である。
The storage unit 24 stores the results of grouping and aggregation performed by the
図9に示すように、トンネルトラフィック情報261および非トンネルトラフィック情報262には、例えば「トラフィックID」、「期間」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「送信インタフェースのSNMP Interface Index」、「受信インタフェースのSNMP Interface Index」、「ToS」、「通信量[bps]」、「通信量[pps]」および「内部トラフィックID」が含まれる。なお、トンネルトラフィック情報261および非トンネルトラフィック情報262に含まれる要素は、「トラフィックID」、「期間」、「通信量[bps]」、「通信量[pps]」、「内部トラフィックID」、集計の単位となる要素(例えば、図5の場合だとプロトコル番号)、すなわち集計に利用した要素だけでもよい。
As shown in FIG. 9, the
保存部24は、トンネルトラフィック情報261および非トンネルトラフィック情報262を識別するための値である「トラフィックID」を設定する。保存部24は、トンネルトラフィック情報261および非トンネルトラフィック情報262の「期間」として、集計部23の期間の条件を設定する。
The storage unit 24 sets “traffic ID” which is a value for identifying the
また、保存部24は、トンネルトラフィック情報261および非トンネルトラフィック情報262の「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「送信インタフェースのSNMP Interface Index」、「受信インタフェースのSNMP Interface Index」、「ToS」等をトンネルパケット情報および非トンネルパケット情報から取得する。
Further, the storage unit 24 includes “source IP address”, “destination IP address”, “source port number”, “destination port number”, “protocol number”, “protocol number”, and “
保存部24は、トンネルトラフィック情報261および非トンネルトラフィック情報262の「内部トラフィックID」として、関連する内部トラフィック情報263の「内部トラフィックID」を設定する。このとき、保存部24は、トンネルトラフィック情報261については1つ以上の「内部トラフィックID」を設定し、非トンネルトラフィック情報262についてはトンネルトラフィック情報でないことを示す値を設定する。なお、内部トラフィック263の作成方法については後述する。
The storage unit 24 sets the “internal traffic ID” of the related
[内部トラフィック情報の作成方法]
次に、内部トラフィック情報の作成方法について説明する。集計部23は、前述の集計グループに含まれるトンネルパケット情報に関連する内部パケット情報について、所定の条件に基づいて通信量を集計する。ここで、条件は、例えばトンネルトラフィック情報および非トンネルトラフィック情報の集計に用いた条件と異なってもよい。
[How to create internal traffic information]
Next, a method for creating internal traffic information will be described. The totaling
集計部23は、同一の集計グループに含まれる所定の条件を満たす内部パケット情報をグループ化する。集計部23は、グループ化を行った後、グループごとに式(4)および式(5)によって通信量を計算する。なお、集計部23は、式(4)によって容量を計算し、式(5)によってパケット数を計算する。
通信量[bps]=集計グループの通信量[bps]×(自グループに所属する内部パケット情報のパケットサイズ要素の合計値/集計グループに所属するパケット情報のパケットサイズ要素の合計値)・・・(4)
通信量[pps]=集計グループの通信量[pps]×(自グループに所属する内部パケット情報の数/集計グループに所属する内部パケット情報の数)・・・(5)
The
Traffic [bps] = Total group traffic [bps] x (Total value of packet size elements of internal packet information belonging to own group / Total value of packet size elements of packet information belonging to total group) (4)
Communication volume [pps] = Total communication volume [pps] × (Number of internal packet information belonging to own group / Number of internal packet information belonging to total group) (5)
例えば、集計グループの通信量[bps]が100Mbps、自グループに所属するパケット情報のパケットサイズ要素の合計値が22.5GB、集計グループに所属するパケット情報のパケットサイズ要素の合計値が45GBである場合、式(4)より通信量[bps]は50Mbpsとなる。 For example, the communication amount [bps] of the aggregation group is 100 Mbps, the total value of the packet size elements of the packet information belonging to the own group is 22.5 GB, and the total value of the packet size elements of the packet information belonging to the aggregation group is 45 GB. In this case, the communication amount [bps] is 50 Mbps according to the equation (4).
また、通信量[pps]が115000pps、自グループに所属する内部パケット情報の数が1200個、集計グループに所属する内部パケット情報の数が3450個である場合、式(5)より通信量[pps]は40000ppsとなる。 Further, when the communication amount [pps] is 115000 pps, the number of internal packet information belonging to the own group is 1200, and the number of internal packet information belonging to the aggregation group is 3450, the communication amount [pps] is obtained from the equation (5). ] Is 40,000 pps.
保存部24は、集計部23によって行われたグループ化および集計の結果を、内部トラフィック情報263として記憶部26に保存する。図10を用いて内部トラフィック情報263について説明する。図10は、内部トラフィック情報に含まれる要素の一例を示す図である。
The storage unit 24 stores the results of grouping and aggregation performed by the
図10に示すように、内部トラフィック情報263には、例えば「内部トラフィックID」、「期間」、「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「ToS」、「通信量[bps]」および「通信量[pps]」が含まれる。なお、内部トラフィック情報263に含まれる要素は、「内部トラフィックID」、「期間」、「通信量[bps]」、「通信量[pps]」、集計の単位となる要素(例えば、宛先IPアドレス)、すなわち集計に利用した要素だけでもよい。
As shown in FIG. 10, the
保存部24は、内部トラフィック情報263を識別するための値である「内部トラフィックID」を設定する。保存部24は、内部トラフィック情報263の「期間」として、集計部23の期間の条件を設定する。
The storage unit 24 sets “internal traffic ID” that is a value for identifying the
また、保存部24は、内部トラフィック情報263の「送信元IPアドレス」、「宛先IPアドレス」、「送信元ポート番号」、「宛先ポート番号」、「プロトコル番号」、「ToS」等を内部パケット情報から取得する。ここで、保存部24は、設定した「内部トラフィックID」を、関連するトンネルトラフィック情報261の「内部トラフィックID」にも設定する。
Further, the storage unit 24 stores the “source IP address”, “destination IP address”, “source port number”, “destination port number”, “protocol number”, “ToS”, etc. of the
また、トンネルトラフィック情報261および内部トラフィック情報263は、「内部トラフィックID」によって関連付けられることで、図11に示すような「トンネルトラフィック情報 has−a 内部トラフィック情報」という関係のデータ構造で表される。図11は、トンネルトラフィック情報と内部トラフィック情報の関係を示す図である。
Further, the
図11に示すように、「トラフィックID」が「トラフィックA」であるトンネルトラフィック情報261の「内部トラフィックID」は「トラフィックB」、「トラフィックC」および「トラフィックD」である。そのため、「トラフィックID」が「トラフィックA」であるトンネルトラフィック情報261は、「内部トラフィックID」が「トラフィックB」である内部トラフィック情報263、「トラフィックC」である内部トラフィック情報263、および「トラフィックD」である内部トラフィック情報263とそれぞれ関連付けられる。
As shown in FIG. 11, the “internal traffic ID” of the
解析装置20の表示部25は、保存部24によって保存されたデータから、トンネルパケット情報をドリルダウンすることで該トンネルパケット情報に関連する内部パケット情報および通信量を取得し、該内部パケット情報に対応する通信量をドリルダウン型のチャートを用いて表示する。
The display unit 25 of the
図12および図13を用いて、表示部25が出力するグラフについて説明する。図12は、トンネルトラフィックのグラフの一例を示す図である。また、図13は、ドリルダウンしたトンネルトラフィックのグラフの一例を示す図である。 A graph output from the display unit 25 will be described with reference to FIGS. 12 and 13. FIG. 12 is a diagram illustrating an example of a tunnel traffic graph. FIG. 13 is a diagram illustrating an example of a tunnel traffic graph drilled down.
図12に示すように、表示部25は、トンネルトラフィックまたは非トンネルトラフィックであるトラフィックAについてのグラフを作成する。図12は、所定の日の23:00〜3:00における、プロトコル番号が「115」のトラフィックを、30分周期で集計した場合のグラフを示している。このとき、トラフィックAがトンネルトラフィックである場合であっても、図12のグラフからは内部トラフィック情報263を把握することができない。
As shown in FIG. 12, the display unit 25 creates a graph for traffic A that is tunnel traffic or non-tunnel traffic. FIG. 12 shows a graph in a case where traffic having the protocol number “115” at 23:00 to 3:00 on a predetermined day is totaled in a cycle of 30 minutes. At this time, even if the traffic A is tunnel traffic, the
図13は、図12に示すグラフのトラフィックAについてさらにドリルダウンした場合のグラフである。図13に示すように、ドリルダウンを実施すると、図11で示した関係を利用し、内部トラフィックB、内部トラフィックC、内部トラフィックDの内部トラフィック情報263をグラフに表すことができ、トンネルの内部でどのようなトラフィックが発生していたかを把握することができる。
FIG. 13 is a graph when the traffic A in the graph shown in FIG. 12 is further drilled down. As shown in FIG. 13, when drill-down is performed, the
[第1の実施形態の処理]
図14を用いて、トラフィック解析システム1の解析装置20における解析処理について説明する。図14は、トラフィック解析システムの解析処理の一例を示すフローチャートである。まず、図14に示すように、管理者等によってトラフィックを集計する条件が指定される(ステップS21)。なお、条件の指定は事前に行われていることとしてもよい。
[Process of First Embodiment]
The analysis process in the
次に、解析部22は、フローパケットから、指定された条件と一致したトンネルパケット情報および非トンネルパケット情報を抽出する(ステップS22)。そして、集計部23は、抽出した情報を集計する単位でグループ化する(ステップS23)。
Next, the analysis unit 22 extracts tunnel packet information and non-tunnel packet information that match the specified condition from the flow packet (step S22). Then, the totaling
以降、解析装置20は、それぞれのグループについてループ処理を行う(ステップS24)。まず、集計部23は、グループごとに通信量を計算する(ステップS25)。次に、グループがトンネルに関するトラフィック情報のものでない場合(ステップS26、No)、保存部24は、当該トラフィック情報を非トンネルトラフィック情報として保存し(ステップS29)、次のループへ進む。また、グループがトンネルに関するトラフィック情報のものである場合(ステップS26、Yes)、集計部23は、内部トラフィックの集計処理を行う(ステップS27)。
Thereafter, the
また、トラフィック解析システム1は、図15に示す方法で解析処理を行うこととしてもよい。図15は、トラフィック解析システムの解析処理の一例を示すフローチャートである。図14に示す方法では、内部トラフィックの集計処理(ステップS27)は、グループがトンネルに関するトラフィック情報のものであるか否かの判定(ステップS26)がYesである場合に行われる。一方、図15においては、内部トラフィックの集計処理は、解析処理の中では行われず、例えばグラフ表示でトンネルトラフィック情報をドリルダウンした際に行われる。 Further, the traffic analysis system 1 may perform analysis processing by the method shown in FIG. FIG. 15 is a flowchart illustrating an example of analysis processing of the traffic analysis system. In the method shown in FIG. 14, the internal traffic counting process (step S27) is performed when the determination (step S26) of whether or not the group is for traffic information related to the tunnel is Yes. On the other hand, in FIG. 15, the internal traffic aggregation processing is not performed in the analysis processing, but is performed, for example, when tunnel traffic information is drilled down in a graph display.
図16を用いて、内部トラフィックの集計処理について説明する。図16は、トラフィック解析システムの集計処理の一例を示すフローチャートである。まず、図16に示すように、解析部22は、フローパケットから、処理中のトンネルに関連した内部パケット情報を抽出する(ステップS271)。そして、管理者等によってトラフィックを集計する条件が指定される(ステップS272)。なお、条件の指定は事前に行われていることとしてもよい。 The internal traffic counting process will be described with reference to FIG. FIG. 16 is a flowchart illustrating an example of the aggregation process of the traffic analysis system. First, as shown in FIG. 16, the analysis unit 22 extracts internal packet information related to the tunnel being processed from the flow packet (step S271). Then, a condition for totaling traffic is designated by the administrator or the like (step S272). The conditions may be specified in advance.
そして、集計部23は、抽出した情報を集計する単位でグループ化する(ステップS273)。以降、解析装置20は、それぞれのグループについてループ処理を行う(ステップS274)。まず、集計部23は、グループごとに通信量を計算する(ステップS275)。次に、保存部24は、内部パケット情報およびステップS275における集計部23の計算結果を内部トラフィック情報として保存し(ステップS276)、次のループへ進む。解析装置20は、以上のループ処理を全てのグループについて繰り返す(ステップS277)。
Then, the totaling
図15に戻り、解析処理について説明する。内部トラフィックの集計処理が完了すると、保存部24は、トンネルパケット情報およびステップS25における集計部23の計算結果をトンネルトラフィック情報として保存し(ステップS28)、次のループへ進む。解析装置20は、以上のループ処理を全てのグループについて繰り返す(ステップS30)。
Returning to FIG. 15, the analysis process will be described. When the internal traffic counting process is completed, the storage unit 24 stores the tunnel packet information and the calculation result of the totaling
[第1の実施形態の効果]
第1の実施形態において、解析部22は、暗号化されていないトンネルを確立するトンネリングプロトコル(例えばL2TP、またはGRE)であって、ユーザ通信のパケットにヘッダを付加しカプセル化するトンネリングプロトコルが使われているネットワークからサンプリングされたパケットの、トンネリングプロトコルによって付加されたヘッダに含まれるトラフィックに関する情報とサンプリングされたパケットの全部または一部とを関連付けたフローサンプルを要素として持つフローパケットから、トラフィックに関する情報であるトンネルパケット情報を抽出し、サンプリングされたパケットの全部または一部からユーザ通信のパケットのヘッダに含まれるトンネル内部のトラフィックに関する情報である内部パケット情報を抽出する。また、集計部23は、トンネルパケット情報および内部パケット情報から所定の条件に基づいて通信量を集計する。そして、保存部24は、トンネルパケット情報、内部パケット情報および通信量を関連付けたデータを保存する。
[Effect of the first embodiment]
In the first embodiment, the analysis unit 22 is a tunneling protocol (for example, L2TP or GRE) that establishes an unencrypted tunnel, and uses a tunneling protocol that adds a header to a user communication packet and encapsulates it. From a flow packet whose element is a flow sample that associates all or part of the sampled packet with information about the traffic contained in the header added by the tunneling protocol of the packet sampled from the network The tunnel packet information, which is information, is extracted, and the internal packet information, which is information related to the traffic inside the tunnel included in the header of the user communication packet, is extracted from all or part of the sampled packets. To. The totaling
このように、第1の実施形態のトラフィック解析システム1は、サンプリングされたパケットの全部または一部からトラフィックの計測に必要な情報を得ることができる。これにより、第1の実施形態によれば、トンネリングプロトコルが使われているネットワークの中継区間からのみフローを取得できる環境において、トラフィックの計測を正確に行うことができる。 As described above, the traffic analysis system 1 according to the first embodiment can obtain information necessary for measuring traffic from all or a part of the sampled packets. Thus, according to the first embodiment, it is possible to accurately measure traffic in an environment in which a flow can be acquired only from a relay section of a network in which a tunneling protocol is used.
集計部23は、ルータ60および作成装置10によって取得されたパケット量を基に通信量を集計する。これにより、通信量の推定をより正確に行うことができるようになり、トラフィックの計測の精度を向上させることができる。
The totaling
集計部23は、トンネルパケット情報に含まれる所定の要素が同一であるトンネルパケット情報をグループ化し、また、関連するトンネルパケット情報が同一であり、かつ内部パケット情報に含まれる所定の要素が同一である内部パケット情報をグループ化し、通信量を集計する。これにより、トンネルのトラフィック情報とトンネル内部のトラフィック情報のうち、トラフィックの計測に必要な情報が関連付けられるため、計測の効率が向上する。
The totaling
また、表示部25は、保存部24によって保存されたデータから、トンネルパケット情報および通信量を関連付けたトンネルトラフィック情報を取得し、トンネルトラフィック情報をドリルダウンすることで、該トンネルトラフィック情報に関連する内部パケット情報および通信量を関連付けた内部トラフィック情報をドリルダウン型のチャートを用いて表示する。これにより、トンネル内部のトラフィック情報を、ユーザが視覚的に認識することができるようになる。 Further, the display unit 25 acquires tunnel traffic information associated with the tunnel packet information and the traffic from the data stored by the storage unit 24, and drills down the tunnel traffic information to relate to the tunnel traffic information. The internal packet information and the internal traffic information associated with the traffic are displayed using a drill-down chart. As a result, the traffic information inside the tunnel can be visually recognized by the user.
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPU(Central Processing Unit)および当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device is realized by a CPU (Central Processing Unit) and a program analyzed and executed by the CPU, or hardware by wired logic. Can be realized as
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 In addition, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above-described document and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
一実施形態として、解析装置20は、パッケージソフトウェアやオンラインソフトウェアとして上記の作成または監視を実行する作成プログラムまたは解析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の作成プログラムまたは解析プログラムを情報処理装置に実行させることにより、情報処理装置を解析装置20として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末等がその範疇に含まれる。
[program]
As one embodiment, the
また、解析装置20は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の作成または監視に関するサービスを提供するサーバ装置として実装することもできる。例えば、解析装置20は、フローパケットを入力とし、グラフを出力とする解析サービスを提供するサーバ装置として実装される。この場合、解析装置20は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の作成または解析に関するサービスを提供するクラウドとして実装することとしてもかまわない。
The
図17は、プログラムが実行されることにより、解析装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
FIG. 17 is a diagram illustrating an example of a computer in which an analysis apparatus is realized by executing a program. The
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、作成装置10または解析装置20の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、作成装置10または解析装置20における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
The hard disk drive 1090 stores, for example, an
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
The setting data used in the processing of the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093およびプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093およびプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
1 トラフィック解析システム
2 ネットワーク
10 作成装置
20 解析装置
21 送受信部
22 解析部
23 集計部
24 保存部
25 表示部
26 記憶部
30 ユーザ端末
40 CPE
50 LAC
60 ルータ
70 LNS
80 トンネル
81 トンネルトラフィックのパケット
90 フローパケット
261 トンネルトラフィック情報
262 非トンネルトラフィック情報
263 内部トラフィック情報
DESCRIPTION OF SYMBOLS 1
50 LAC
60 routers 70 LNS
80
Claims (7)
前記トンネルパケット情報および前記内部パケット情報から所定の条件に基づいて通信量を集計する集計部と、
前記トンネルパケット情報、前記内部パケット情報および前記通信量を関連付けたデータを保存する保存部と、
を有することを特徴とするトラフィック解析システム。 A tunneling protocol for establishing an unencrypted tunnel, and a header added by the tunneling protocol of a packet sampled from a network using a tunneling protocol for adding and encapsulating a header to a user communication packet The tunnel packet information, which is information related to the traffic, is extracted from the flow packet having as an element a flow sample that associates the information related to the traffic included in the sample with all or part of the sampled packet, and all the sampled packets are extracted. Or an analysis unit that extracts internal packet information that is information about traffic inside the tunnel included in a header of the packet of the user communication from a part;
A totaling unit for totaling traffic based on predetermined conditions from the tunnel packet information and the internal packet information;
A storage unit for storing data associated with the tunnel packet information, the internal packet information, and the traffic;
A traffic analysis system comprising:
前記解析部は、前記IPペイロードの全部または一部から前記内部パケット情報を抽出することを特徴とする請求項1から5のいずれか1項に記載のトラフィック解析システム。 The flow packet includes all or part of an IP payload as all or part of the sampled packet of the flow sample;
The traffic analysis system according to any one of claims 1 to 5, wherein the analysis unit extracts the internal packet information from all or a part of the IP payload.
前記トンネルパケット情報および前記内部パケット情報から所定の条件に基づいて通信量を集計する集計工程と、
前記トンネルパケット情報、前記内部パケット情報および前記通信量を関連付けたデータを保存する保存工程と、
を含んだことを特徴とするトラフィック解析方法。 A tunneling protocol for establishing an unencrypted tunnel, and a header added by the tunneling protocol of a packet sampled from a network using a tunneling protocol for adding and encapsulating a header to a user communication packet The tunnel packet information, which is information related to the traffic, is extracted from the flow packet having as an element a flow sample that associates the information related to the traffic included in the sample with all or part of the sampled packet, and all the sampled packets are extracted. Or an analysis step of extracting internal packet information that is information about traffic inside the tunnel included in a header of the packet of user communication from a part,
A totaling step of totaling traffic based on predetermined conditions from the tunnel packet information and the internal packet information;
A storage step of storing data associated with the tunnel packet information, the internal packet information, and the traffic;
The traffic analysis method characterized by including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015232388A JP6290849B2 (en) | 2015-11-27 | 2015-11-27 | Traffic analysis system and traffic analysis method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015232388A JP6290849B2 (en) | 2015-11-27 | 2015-11-27 | Traffic analysis system and traffic analysis method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017098907A true JP2017098907A (en) | 2017-06-01 |
JP6290849B2 JP6290849B2 (en) | 2018-03-07 |
Family
ID=58817544
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015232388A Active JP6290849B2 (en) | 2015-11-27 | 2015-11-27 | Traffic analysis system and traffic analysis method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6290849B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018066228A1 (en) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
JP2019097069A (en) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | Format converter and format conversion program |
JP2019106621A (en) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | Abnormality detection system, abnormality detection method, and abnormality detection program |
CN111083190A (en) * | 2018-10-18 | 2020-04-28 | 三星电子株式会社 | Method and electronic device for processing data |
WO2021149245A1 (en) * | 2020-01-24 | 2021-07-29 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
WO2023148900A1 (en) * | 2022-02-03 | 2023-08-10 | 日本電信電話株式会社 | Network information visualization device, network information visualization method, network information visualization program, and network information visualization system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080031141A1 (en) * | 2006-08-01 | 2008-02-07 | Tekelec | Methods, systems, and computer program products for monitoring tunneled internet protocol (IP) traffic on a high bandwidth IP network |
JP2009016987A (en) * | 2007-07-02 | 2009-01-22 | Alaxala Networks Corp | Remote traffic monitoring method |
-
2015
- 2015-11-27 JP JP2015232388A patent/JP6290849B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080031141A1 (en) * | 2006-08-01 | 2008-02-07 | Tekelec | Methods, systems, and computer program products for monitoring tunneled internet protocol (IP) traffic on a high bandwidth IP network |
JP2009016987A (en) * | 2007-07-02 | 2009-01-22 | Alaxala Networks Corp | Remote traffic monitoring method |
Non-Patent Citations (1)
Title |
---|
ピラウォン ミナサイ、他: "アンダーレイ障害検知方式", 電子情報通信学会技術研究報告, vol. 101, no. 5, JPN6018003802, 9 April 2009 (2009-04-09), JP, pages 15, ISSN: 0003734225 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018066228A1 (en) * | 2016-10-06 | 2018-04-12 | 日本電信電話株式会社 | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
JPWO2018066228A1 (en) * | 2016-10-06 | 2019-01-31 | 日本電信電話株式会社 | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
US10735564B2 (en) | 2016-10-06 | 2020-08-04 | Nippon Telegraph And Telephone Corporation | Flow information analysis apparatus, flow information analysis method, and flow information analysis program |
JP2019097069A (en) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | Format converter and format conversion program |
JP2019106621A (en) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | Abnormality detection system, abnormality detection method, and abnormality detection program |
CN111083190A (en) * | 2018-10-18 | 2020-04-28 | 三星电子株式会社 | Method and electronic device for processing data |
US11418452B2 (en) | 2018-10-18 | 2022-08-16 | Samsung Electronics Co., Ltd. | Method and electronic device processing data |
WO2021149245A1 (en) * | 2020-01-24 | 2021-07-29 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
JPWO2021149245A1 (en) * | 2020-01-24 | 2021-07-29 | ||
JP7215604B2 (en) | 2020-01-24 | 2023-01-31 | 日本電信電話株式会社 | Conversion device, conversion method and conversion program |
WO2023148900A1 (en) * | 2022-02-03 | 2023-08-10 | 日本電信電話株式会社 | Network information visualization device, network information visualization method, network information visualization program, and network information visualization system |
Also Published As
Publication number | Publication date |
---|---|
JP6290849B2 (en) | 2018-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6290849B2 (en) | Traffic analysis system and traffic analysis method | |
Tan et al. | In-band network telemetry: A survey | |
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
US10361969B2 (en) | System and method for managing chained services in a network environment | |
CN102739457B (en) | Network flow recognition system and method based on DPI (Deep Packet Inspection) and SVM (Support Vector Machine) technology | |
EP3222006B1 (en) | Passive performance measurement for inline service chaining | |
EP3304853B1 (en) | Detection of malware and malicious applications | |
JP6598382B2 (en) | Incremental application of resources for network traffic flows based on heuristics and business policies | |
Xue et al. | Linkscope: Toward detecting target link flooding attacks | |
JP6571883B2 (en) | Flow information analysis apparatus, flow information analysis method, and flow information analysis program | |
EP3472987A1 (en) | Method for classifying the payload of encrypted traffic flows | |
US9391895B2 (en) | Network system and switching method thereof | |
JP2006352831A (en) | Network controller and method of controlling the same | |
EP3591910B1 (en) | Monitoring device, monitoring method and monitoring program | |
JP2011035932A (en) | Network controller and controlling method thereof | |
US20230164043A1 (en) | Service application detection | |
CN114006829B (en) | Method, network device and medium for synthesizing detection parameters based on historical data | |
US20180309647A1 (en) | Length Control For Packet Header Sampling | |
JP2009016987A (en) | Remote traffic monitoring method | |
WO2014040193A1 (en) | Method and system for monitoring network communications | |
CN101267353A (en) | A load-independent method for detecting network abuse | |
Custura et al. | Is it possible to extend IPv6? | |
Zhang et al. | Accurate online traffic classification with multi-phases identification methodology | |
Kumar et al. | Comparison: Wireshark on different parameters | |
Espinal et al. | Traffic analysis of internet applications on mobile devices over LTE and wireless networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170224 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180110 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180208 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6290849 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |