JP4244355B2 - 通過パケット監視装置および方法 - Google Patents

通過パケット監視装置および方法 Download PDF

Info

Publication number
JP4244355B2
JP4244355B2 JP2006232005A JP2006232005A JP4244355B2 JP 4244355 B2 JP4244355 B2 JP 4244355B2 JP 2006232005 A JP2006232005 A JP 2006232005A JP 2006232005 A JP2006232005 A JP 2006232005A JP 4244355 B2 JP4244355 B2 JP 4244355B2
Authority
JP
Japan
Prior art keywords
monitoring
packet
packet relay
relay device
passing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006232005A
Other languages
English (en)
Other versions
JP2008060672A (ja
Inventor
一浩 大倉
毅 八木
正雄 田邉
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006232005A priority Critical patent/JP4244355B2/ja
Publication of JP2008060672A publication Critical patent/JP2008060672A/ja
Application granted granted Critical
Publication of JP4244355B2 publication Critical patent/JP4244355B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、ISP(Internet Service Provider)ネットワークを通過するパケットの異常監視手段として、監視制御装置を用いた広域監視と詳細監視の階層型監視制御方式を導入し、複数ユーザへの監視サービスの提供において、監視装置の共有化によるコストの低減化を行う通過パケット監視装置および方法に関する。
近年、DoS(Denial of Service)攻撃やDDoS(Distributed Denial of Service)攻撃、あるいは災害時トラヒック等の異常トラヒックを検出する目的から、ISPネットワークを通過するパケットを監視する機能の重要性が増している。
従来、異常トラヒックの検出を目的として利用される通過パケット監視装置として、IDS(Intrusion Detection System)やProbe装置が存在する。前者の装置例は、予め装置内に記録している異常パケットデータと観測パケットデータの比較から異常検出を行うシグネチャマッチング技術や、定常時の通過パケット特性と観測パケットデータの差分情報から異常性を検出するAnomaly検出技術により構成されている。
また、後者の製品例としては、非特許文献1に示す装置があり、実パケットデータの収集とその解析機能を提供する。尚、非特許文献2に記載のNetFlowデータと非特許文献3に示されるsFlowデータ(以後、「フローデータ」と記載する)が、実パケットデータのデータ標準として広くサポートされる傾向にある。
そして、前記両装置の共通的機能としては、TCP/IP(Transmission Control Protocol/Internet Protocol)で疎通されるパケットを、パケットヘッダ部の構成項目の情報(例えば、送信先IPアドレス、送信元IPアドレス、送信先ポート番号、送信元ポート番号、プロトコル、生存期間(TTL,Time To Live)等の値)で識別し(以降、「フロー」と記載する)、このフローの単位でパケット特性を詳細に監視する機能が挙げられる(以降、「詳細監視」と記載する)。この詳細監視により、特定の宛先IPアドレスを持つ通過パケットに対して、Webサイト等の受信端末単位、あるいはHTTP(Hyper Text Transfer Protocol)等の受信端末サービス単位で異常性を監視することが可能となる。
また、ISPネットワーク側で通過パケット監視を行う場合、図1に示す通り、これら装置(Probe装置3−1,2、IDS装置4−1,2)は、受信端末収容ネットワーク2−1〜4とISPネットワーク7との接続地点に位置するルータ等のパケット中継装置5−1〜4(以下、「受信端末収容パケット中継装置」と記載する)の近傍に配備される。つまり、受信端末収容ネットワーク単位で設置され、個別ユーザ単位での通過パケット監視を行う運用がとられる。これにより、特定受信端末宛の通過パケットから異常パケットを高い精度で検出する監視サービスの提供が可能となる。
一方、ISPネットワーク全体の通過パケットを対象とした監視手段として、非特許文献4に示す通過パケット交流分布監視技術が存在する。これは、詳細監視手段に比べ、監視粒度を粗くしてネットワーク全体の通過パケット監視を行い、異常パケットが通過しているネットワーク地点を推定することを目的とする監視手段(以降、「広域監視」と記載する)である。
特に、ISPネットワークを構成する複数の受信端末収容パケット中継装置を監視ポイントとし、2対の受信端末収容パケット中継装置間、又は各受信端末収容パケット中継装置の通過パケット情報を集約したPoP−PoP(Point of Presence)間等の通過パケット交流分布を観測対象とする。通過パケット交流分布の観測は、各受信端末収容パケット中継装置が生成するフローデータを集約し、広域監視に必要な程度にデータ量が削減された通過パケット情報に基づいて、通過パケットのヘッダ情報の送信元と送信先の対で構成される情報配列を作成して行う。この広域監視手段により、ISPネットワーク内で単一設置された広域監視装置を用いて、ネットワーク全体の通過パケットの異常性を、受信端末収容パケット中継装置単位の監視粒度で監視することが可能となる。
"nGenius Gigabit Ethernet Probe"、[online]、米国NetScout社、[2006年7月10日検索、インターネット<URL:http://www.netscout.com/docs/datasheets/NetScout_ds_Gigabit_Ethernet_Probe.pdf> B. Claise,"Cisco Systems NetFlow Services Export Version 9",RFC3954,October 2004 P. Phaal,"InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks",RFC3176,September 2001 廣川祐他、"次世代バックボーン向けトラヒック監視システムの開発"、2006 電子情報通信学会総合大会、BS−5−11、March.2006
しかしながら、ISP事業者が複数ユーザに対して通過パケット監視サービスを提供する場合、従来技術には以下の課題が存在する。
まず、詳細監視を行うIDSやプローブ装置は、ユーザ単位の通過パケットに対し、フロー単位で詳細に監視することが可能であるが、各装置のパケット処理能力は1Gbps程度であり限界がある。従って、複数ユーザへのサービス提供では、当該装置を受信端末収容ネットワーク単位で設置することが必要となり、装置コストの負担が課題となる。
一方、広域監視装置を用いた場合、サービス提供の対象ユーザ数に関わらず、ネットワーク内で単一の装置を用いて監視サービスを提供することができる。しかし、広域監視装置の監視粒度は、受信端末収容パケット中継装置単位であり、特定受信端末宛通過パケット単位での詳細な監視サービスの提供は不可能である。例えば、DDoS攻撃のような、特定ユーザサイトを宛先アドレスとして持つパケットが集中する異常パケットの発生に対し、フロー単位でパケット監視して異常パケット検知を行うことは困難である。
これらのことから、従来技術である詳細監視又は広域監視を個別に用いた場合、装置コストに関する経済性と通過パケットの監視粒度の点で、両監視手段の間にトレードオフが存在し、これが複数ユーザへのサービス提供の際の課題となる。
上述した課題を解決するため、この発明は、広域監視手段を用いてISPネットワーク全体における異常パケットの存在を推定した後、同パケットを共有化された詳細監視装置によりフロー単位で監視する階層型監視方式を採用する。DDoS攻撃等の異常パケットは、ISPネットワークの局所地点に集中するため、詳細監視装置を共有化して利用し、同共有装置による局所的な詳細監視を行うことでサービス提供する。これにより、複数ユーザへの監視サービスの提供を経済化することが可能となる。
この発明の特徴である階層型監視方式は、新たに導入する監視制御機能によってなされる広域監視状態と詳細監視状態の遷移動作によって実現される。この発明の通過パケット監視装置の槻要を図2に示す(図2については「発明を実施するための最良の形態」の項で詳細に説明する)。また、以下に、請求項1から4の発明について、各請求項で採用している主な手段と工程に関する説明を行う。
請求項1に係る発明は、複数のパケット中継装置を含むネットワークにおいて、通過するパケットを監視する通過パケット監視装置であり、広域監視手段、監視制御手段、および詳細監視手段を有している。
また、前記広域監視手段は、各パケット中継装置が生成するフローデータを収集する手段と、これを用いて通過パケット交流分布を監視する手段と、異常パケットを中継する受信端末収容パケット中継装置を特定し、異常パケット量を計測する手段と、これらからなる広域監視情報を監視制御装置へ送信する手段を備えることを特徴としている。
また、前記監視制御手段は、本発明の特徴的技術であり、広域監視情報を受信した場合に、状態管理番号(状態管理を識別する情報であり、一般的には状態管理識別情報である)を生成して広域監視状態から詳細監視状態への遷移を管理する手段と、詳細監視を行うためのフローデータを生成するよう受信端末収容パケット中継装置に送信するパケット中継装置コマンドを決定する手段と、当該コマンドを同パケット中継装置へ送信する手段と、前記詳細監視装置に対して詳細監視指示情報を送信する手段と、詳細監視情報を受信した場合に状態管理番号に基づき状態遷移を管理し、異常パケットを中継する受信端末収容パケット中継装置の識別子、並びに異常パケットからなるフローの識別子およびパケット量を出力する手段を備えることを特徴としている。
また、前記詳細監視手段は、前記監視制御手段から送信された詳細監視指示情報を受信した場合、状態管理番号を蓄積する手段と、当該詳細監視指示情報で指定されるパケット中継装置を通過するパケットをフロー単位で詳細監視する手段と、異常パケットを検出したとき、該当するフローの識別子と通過パケット量を特定する手段と、前記監視制御装置に対して詳細監視情報として前記状態管理番号、前記通過パケット量、および前記フロー識別子を送信する手段を備えることを特徴としている。
また、請求項2に係る発明は、請求項1に係る発明において、前記広域監視手段と前記詳細監視手段が同一装置内に実装されている場合であり、前記監視制御手段において、前記パケット中継装置コマンドが、所定のフローデータ出力間隔とフローデータ標本化間隔に基づいて決定されることを特徴としている。
また、請求項3に係る発明は、請求項1に係る発明において、前記広域監視手段と前記詳細監視手段が異なる装置内に実装されている場合であり、前記監視制御手段において、前記パケット中継装置コマンドが、当該詳細監視手段を含む装置の宛先アドレスと、所定のフローデータ出力間隔、およびフローデータ標本化間隔に基づいて決定されることを特徴としている。
また、請求項4に係る発明は、請求項1の通過パケット監視装置の通過パケット監視方法である。
請求項1または4の発明によれば、通過パケットの存在をネットワーク全体に渡り広域に監視し、その後、局所的に存在する異常パケットに対して、詳細監視手段を用いてフロー単位の監視を行うことを可能としている。これにより、ISPネットワークにおいて共有化して設置された詳細監視手段を用いて、複数ユーザへの通過パケット監視サービスが可能となる。つまり、通過パケットの監視粒度を一定の詳細レベルに保持したまま、詳細監視手段を具備する装置に関する導入コストあるいは運用コストを削減することができるという効果を奏する。
また、請求項1の発明によれば、広域監視手段によりISPネットワーク全体を対象とした広域監視を行い、詳細監視手段によりフロー単位の詳細監視を行うことを可能としている。これにより、ISPネットワーク全体の通過パケットを監視対象とし、異常性の検出は特定受信端末単位あるいは特定受信端末サービス単位での詳細粒度で実施できるという効果を奏する。
また、請求項2の発明によれば、詳細監視手段の所定のパケット処理能力に応じて、パケット中継装置が生成するフローデータ情報量を制御することが可能となり、許容される詳細監視能力の範囲で実現可能な詳細粒度の監視サービスの提供を行うことができるという効果を奏する。尚、フローデータ情報量は、パケット中継装置のフローデータ出力間隔とフローデータ標本化間隔を、監視制御手段により所定の値に制御することでなされる。
また、請求項3の発明によれば、詳細監視手段が広域監視手段とは別の装置に実装され、あるいは複数の詳細監視手段が別の装置として実装される場合、パケット中継装置のフローデータ出力先をこれらの詳細監視手段宛に制御することにより、詳細監視手段の効率的な共有化を行うことが可能となる。例えば、詳細監視手段を二重化し、サービス提供上の安定運用を可能とするという効果を奏する。
以下に添付図面を参照して、通過パケット監視装置および方法の実施例1〜2を詳細に説明する。
各実施例の説明に先立って、本発明に係る通過パケット監視装置の概要を図2により説明しておく。通過パケット監視装置は、図2に示す広域監視機能40と監視制御機能50と詳細監視機能60とを有している。通過パケット監視装置は、これらの機能を実現する手段を備えており、その手段はコンピュータとプログラムで構成することができ、その一部または全部をハードウェアで構成することもできる。なお、図2においてはISPネットワーク20において、受信端末21−2宛に例えばDDoS攻撃が発生しており、受信端末収容パケット中継装置30−4と受信端末収容ネットワーク22−2を接続する回線が異常通過パケット23により輻輳しているものとする。
ISPネットワーク20と受信端末収容ネットワーク22−1〜4は、受信端末収容パケット中継装置30−1〜4で接続されている。各受信端末収容パケット中継装置は、sFlowデータあるいはNetFlowデータを生成し、フローデータとして広域監視機能40に所定のフローデータ出力間隔とフローデータ標本化間隔で送信している。なお、両間隔の値が小さいほど、より精度の高い通過パケット監視が可能となる。前記フローデータ出力間隔は、受信端末収容パケット中継装置がフローデータを固定サイズのデータ群として生成する際の時間間隔であり、前記フローデータ標本間隔は、受信端末収容パケット中継装置が実パケットをサンプリング抽出する際の、抽出するパケット比率を示す。
広域監視機能40は、フローデータを集約して通過パケット交流分布を監視し、異常通過パケットが受信端末収容パケット中継装置30−4を通過している情報を含む広域監視情報を送信する(図2の(1)参照)。
次に、監視制御機能50は、受信端末収容パケット中継装置30−4に対し、詳細監視のためのフローデータ出力条件で受信端末収容パケット中継装置30−4が動作するようパケット中継装置コマンドを送信する(図2の(2)を参照)。なお、パケット中継装置コマンドは、通常、ルータ等のパケット中継装置が具備するCLI(Command Line Interface)等のエントリ登録、変更、削除機能により実現されてもよい。
受信端末収容パケット中継装置30−4は、パケット中継装置コマンドで指定されたフローデータ出力条件により、フローデータを詳細監視機能60へ送信する(図2の(3)を参照)。詳細監視機能60は、フロー単位の詳細監視を行い、受信端末21−2宛のDDoS攻撃パケットが発生していることを検出し、監視制御機能50へ詳細監視情報として送信する(図2の(4)を参照)。
最後に、監視制御機能50は、監視結果として受信端末収容パケット中継装置30−4の識別子、受信端末21−2宛パケットのフロー識別子、および当該フローのパケット量を出力する。
なお、本発明に係る通過パケット監視装置では、単体のハードウェアとして広域監視機能、監視制御機能、詳細監視機能を実装してもよいし、あるいは、異なるハードウェア内に各機能が実装されてもよい。
実施例1では、本発明の広域監視機能、監視制御機能、および詳細監視機能が単一の装置内に実装され、同一IPアドレスを有する場合について説明する。まず、受信端末収容パケット中継装置、および当該3機能の構成について、図3〜8を用いて説明する。図3〜6は、パケット中継装置および各3機能の機能ブロック図であり、図7〜8は監視制御機能が具備するテーブルの構成である。
まず、図2に記載の受信端末収容パケット中継装置30−1〜4の構成について図3を用いて説明する。受信端末収容パケット中継装置30は、ネットワークインターフェース部30−a,f,h、ルーティング機能部30g、フロー情報蓄積部30e、フローデータ生成部30d、フローデータ送信部30c、およびパケット中継装置コマンド受信部30bを備えている。ネットワークインターフェース部30−a,f,hは、LAN(Local Area Network)あるいはWAN(Wide Area Network)インタフェースボードなどの通信デバイスであり、他の受信端末収容パケット中継装置や受信端末21−1〜4とのデータ送受信処理を行う。
ルーティング機能部30gは、ネットワークインターフェース部30h,30fを介してパケットを受取り、受取ったパケットの転送先をルーティングテーブルに基づいて決定し、決定した宛先に対して当該パケットを転送する処理を行う。フロー情報蓄積部30eは、パケットの転送処理に関する転送パケット統計情報などの、フローデータを生成するために必要なパケット情報を蓄積する蓄積部であり、フローデータ生成部30dに対して情報参照機能を提供する。
フローデータ生成部30dは、NetFlowデータあるいはsFlowデータ(フローデータ)を所定のデータフォーマットに従って生成し、フローデータ送信部30cおよびネットワークインターフェース部30aを介して監視制御機能にフローデータを送信する。また、フローデータ出力条件は、監視制御機能からネットワークインターフェース部30aを介してパケット中継装置コマンド受信部30bに送信されるコマンド情報により決定され、当該フローデータ出力条件で指定された変数値によりフローデータ生成部30dでデータ生成される。
次に、広域監視機能40の構成について図4を用いて説明する。図4に示すように、広域監視機能40は、フローデータ集約部40gと、通過パケット交流分布蓄積部40fと、通過パケット交流分布監視部40eと、受信端末収容パケット中継装置特定部40aと、通過パケット量測定部40bと、広域監視情報送信部40cを備えている。入出力インターフェース部40dは、LAN(Local Area Network)ボードなどの通信デバイスであり、受信端末収容パケット中継装置や監視制御機能などの他装置等とのデータ送受信処理を行う。
フローデータ集約部40gは、ISPネットワーク内の複数の受信端末収容パケット中継装置が生成するフローデータを収集して集約し、通過パケット交流分布蓄積部40fに送信する。通過パケット交流分布蓄積部40fでは、例えば、図2の受信端末収容パケット中継装置30−1と30−2間の通過パケット量(数)、受信端末収容パケット中継装置30−1と30−3間の通過パケット量(数)、同様に30−1と30−4間、といった受信端末収容パケット中継装置2つのペアの通過パケット量(数)を配列化して蓄積する。通過パケット量(数)の測定は、通過パケット量測定部40bが通過パケット交流分布蓄積部40fの集約フローデータを参照して測定し、結果値を再度、通過パケット交流分布蓄積部40fに書込む処理を行う。なお、この場合、受信端末収容パケット中継装置30−1〜4の4台の装置が存在するため、当該交流分布配列は16個(4×4)の通過パケット量(数)を持つことになる。
通過パケット交流分布監視部40eは、当該交流分布配列の通過パケット量(数)が所定の閾値(例えば、一定時間あたりのbyte数、あるいはパケット数でありシステム的に保持している値)を超えた場合、受信端末収容パケット中継装置特定部40aと通過パケット量測定部40bに、それぞれ受信端末収容パケット中継装置の特定と、その通過パケット量(数)を特定する処理を依頼する。
その結果、広域監視情報送信部40cと入出力インターフェース部40dを介して、当該受信端末収容パケット中継装置識別子と通過パケット量(数)が監視制御機能へ送信される。
つづいて、監視制御機能50の構成について、図5を用いて説明する。図5に示すように、監視制御機能50は、入出力インターフェース部50jと、広域監視情報受信部50gと、閾値判定部50bと、状態管理テーブル50aと、パケット中継装置コマンド決定処理部50cと、パケット中継装置送受信部50hと、パケット中継装置コマンドテーブル50fと、詳細監視情報処理部50dと、詳細監視機能送受信部50iと、詳細監視結果出力部50eを備える。入出力インターフェース部50jは、LAN(Local Area Network)ボードなどの通信デバイスであり、受信端末収容パケット中継装置、広域監視機能、あるいは監視制御機能などの他装置等とのデータ送受信処理を行う。
広域監視情報受信部50gは、広域監視機能から入出力インターフェース部50jを介して受信した広域監視情報を閾値判定部50bに送信する。閾値判定部50bは、当該広域監視情報に含まれる受信端末収容パケット中継装置識別子に該当する閾値を、状態管理テーブル50aの検索により取得し、当該閾値よりも通過パケット量(数)が大きい値の場合は、状態管理番号を発行し、状態管理テーブル50aに書込み処理を行う。当該閾値は、一定期間内のbyte数若しくはパケット数であってもよく、かかる閾値判定処理により広域監視から詳細監視への遷移判断を、異常パケットの量と受信端末収容パケット中継装置のパケット中継処理能力等の比較に基づいて行うことが可能となる。また、状態管理番号を発行し、状態管理テーブル50aに蓄積して管理することにより、複数の広域監視情報を受信した場合の監視状態遷移の管理を行うことが可能となる。なお、状態管理番号は、状態管理を識別する情報であり、一般的には状態管理識別情報ということができる。
次に、パケット中継装置コマンド決定処理部50cは、パケット中継装置コマンドテーブル50fを検索し、フローデータ出力条件に該当するパケット中継装置コマンドを取得し、パケット中継装置送受信部50hと入出力インターフェース部50jを介して、受信端末収容パケット中継装置へ当該パケット中継装置コマンドを送信する。この際、当該パケット中継装置コマンドで指定された受信端末収容パケット中継装置内でのエントリ処理の結果応答に対して、パケット中継装置送受信部50hがリトライ処理を行い、処理の正常終了の保障処理を行う。
つづいて、詳細監視情報処理部50dは、状態管理テーブル50aおよびパケット中継装置コマンドテーブル50fを検索し、状態管理番号、パケット中継装置識別子、およびフローデータ出力条件からなる詳細監視指示情報を生成する。当該情報は、詳細監視機能送受信部50iおよび入出力インターフェース50jを介して、詳細監視機能に送信される。当該詳細監視機能からの処理結果応答の受信は、詳細監視機能送受信部50iが行い、一定期間内の処理結果応答が無い場合のリトライ処理は、当該詳細監視機能送受信部50iによってなされる。詳細監視情報を受信した場合、詳細監視結果出力部50eにより、外部装置に対して、受信端末収容パケット中継装置識別子、並びに当該詳細監視情報に含まれるフロー識別子およびフロー流量(数)(当該フローのパケット量(数))が出力される。
なお、状態管理テーブル50aの構成を図7に示す。図7に示すように、受信端末収容パケット中継装置毎に、その識別子、閾値、監視状態、および状態管理番号が蓄積されている。例えば、広域監視情報に含まれる受信端末収容パケット中継識別子が「ERT2」で受信された場合、異常パケットを中継している受信端末収容パケット中継装置は、「番号」が「2」の行に記載の「パケット中継装置2」であることを示している。また、閾値判定部50bでの判定処理は、「1Gbps」以上の値が用いられる。生成された状態管理番号「2006071000」は、同行に当該値で蓄積され、以降、詳細監視状態へ遷移することの状態管理処理の識別値として「監視状態」が「階層型監視」と変更される。
また、図5のパケット中継装置コマンドテーブル50fの構成を図8に示す。図8に示されるように、パケット中継装置コマンドテーブルは、受信端末収容パケット中継装置識別子に対するフローデータ出力条件(出力間隔、標本化間隔、詳細監視機能宛先)と受信端末収容パケット中継装置種別を規定するテーブル(図8(a))と、受信端末収容パケット中継装置種別に対するコマンド列を規定するテーブル(図8(b))からなる。
例えば、「番号」が「1」の列で示される受信端末収容パケット中継装置識別子「ERT1」に該当する受信端末収容パケット中継装置のフローデータ出力条件は、「出力間隔」を10sec毎とし、「標本化間隔」は128パケットに1パケットを標本抽出することとし、フローデータの出力先として「10.10.10.2」へ出力するという条件を示している。ここで当該中継装置の装置種別である「受信端末収容パケット中継装置種別」は「TYPE1」であるため、図8(b)のテーブルの「番号」が「1」の行を参照することで、装置個別のコマンド列を取得し、最終的には詳細監視指示情報として、例えば、コマンド文字列{set interval 10 sec;set sample 128;set dest 10.10.10.2}が生成されることとなる。
つづいて、詳細監視機能60の構成について図6を用いて説明する。図6に示すように、詳細監視機能60は、入出力インターフェース部60gと、詳細監視指示情報受信部60dと、状態管理テーブル60aと、詳細監視部60bと、詳細監視情報送信部60eと、フローデータ蓄積部60cと、フローデータ受信部60fを備える。入出力インターフェース部60gは、LAN(Local Area Network)ボードなどの通信デバイスであり、監視制御機能および受信端末収容パケット中継装置などの他装置等とのデータ送受信処理を行う。
詳細監視指示情報受信部60dは、入出力インターフェース部60gを介して、監視制御機能から詳細監視指示情報を受信し、当該情報に含まれる状態管理番号を状態管理テーブル60aに蓄積する。これは、詳細監視結果として、詳細監視情報を後続処理で当該監視制御機能に送信する際に当該状態管理番号を付与し、当該監視制御機能が状態管理を行うことを可能とするためである。
詳細監視部60bは、フローデータ蓄積部60cを参照し、受信端末収容パケット中継装置から送信されるフローデータをフロー単位で監視する。例えば、特定の受信端末宛IPアドレス(10.10.10.1)を持つ通過パケット量(数)が大きい場合には、当該パケットを更に宛先ポート番号(80,25,443)などで分割して各パケット量(数)を監視し、受信端末サービス単位での監視を行う。この場合、宛先ポート番号(80)を持つパケット量が大きい場合には、受信端末(宛先IPアドレス=10.10.10.1)のHTTPサービス(宛先ポート番号=80)に対して異常通過パケットが発生しているという詳細監視結果が得られることとなる。
このようにして、詳細監視部60bは、異常パケットを含むフロー識別子、通過パケット量、および状態管理テーブル60aに蓄積した状態管理番号からなる詳細監視情報を、詳細監視情報送信部60eを介して監視制御機能に送信する。
上述した実施例の説明では、本発明を実現する各機能(広域監視機能、監視制御機能、詳細監視機能)を機能面から説明した。これらは、上述した各機能に加えて、CPU(Central Processing Unit)、メモリ、ハードディスクといったデバイスを備えているものとする。また、各機能は、それぞれCPUによって処理されるプログラムのモジュールであってもよい。そして、各モジュールは1つのCPUで処理されてもよく、複数のCPUにより分散して処理されてもよい。
次に、本実施例1に係る通過パケット監視装置の処理手順の概要について図9〜11を用いて説明する。図9は、広域監視機能から監視制御機能に対して広域監視情報を送信し、当該監視制御機能が受信端末収容パケット中継装置に対して、パケット中継装置コマンドを送信するまでの処理手順を示すフローチャートである。同図に示すように、広域監視機能はパケット交流分布を監視し(S101)、閾値以上のパケット量を検出した場合(S102,Yes)、広域監視情報を送信する(S103)。監視制御機能は、広域監視情報に含まれる通過パケット量が閾値以上の場合(S104,Yes)、パケット中継装置コマンドを受信端末収容パケット中継装置に対して送信する(S105)。
また、図10は、監視制御装置が受信端末収容パケット中継装置からの結果応答を待つ処理手順を示すフローチャートである。監視制御機能は、正常終了の結果応答を受信した場合(S202,Yes)、詳細監視指示情報を詳細監視機能に送信する(S203)。一方、正常終了を受信しない場合は(S202,No)、リトライ処理(S204)を行う。
また、図11は、詳細監視機能による詳細監視の実施から、監視制御機能による詳細監視情報の出力処理までの処理手順を示すフローチャートである。まず、詳細監視機能が、詳細監視指示情報を受信した場合(S301,Yes)、当該詳細監視機能は、フローデータを監視し(S302)、閾値以上のパケット量を検出した場合(S303,Yes),フロー識別子を特定する(S305)。その結果、詳細監視情報を監視制御機能に送信する(S304)。
監視制御機能は、詳細監視指示情報を送信した後(図10,S203)、所定の期間、応答待ち処理を行っている(S306)。詳細監視情報を受信した場合(S307)、当該情報に含まれる受信端末収容パケット中継装置識別子、通過パケット量、およびフロー識別子を出力し(S308)、終了する。なお、所定の期間を過ぎても詳細監視情報を受信しない場合(S307,No)、再度、詳細監視機能に対して詳細監視指示情報の送信によるリトライ処理を行う(S309)。
上述のとおり、実施例1の説明では、本発明の広域監視機能、監視制御機能、および詳細監視機能が単一の装置内に実装された場合について、広域監視から詳細監視への階層型監視を行うための通過パケット監視装置に関して、機能面と処理手順面からの詳細な説明を行った。
実施例2では、実施例1の広域監視機能と詳細監視機能が、異なる装置内に実装され、異なるIPアドレスを有する場合について、通過パケット監視装置の構成について説明する。具体的には、詳細監視機能が複数台で負荷分散しながら動作するケースなどが考えられる。
実施例1の構成と異なる点は、広域監視機能と詳細監視機能が異なるIPアドレスを持つことである。また、複数の詳細監視機能が同時稼動する場合は、各詳細監視機能がそれぞれ異なるIPアドレスを持つ。つまり、受信端末収容パケット中継装置がフローデータを送信する際の、詳細監視機能の宛先IPアドレスが異なる点が実施例1と主な違いである。以下、実施例2における各機能等の構成を詳細に説明する。
まず、受信端末収容パケット中継装置、広域監視機能、監視制御機能、および詳細監視機能の機能ブロック構成については、上述の実施例1に関する説明と同様であり、それぞれ図3〜6で示す構成と同じものとなる。
次に、詳細監視機能の宛先IPアドレス値が反映される部分である監視制御機能中のパケット中継装置コマンドテーブル(図8)について説明する。特に、図8(a)で示すテーブル上の詳細監視機能宛先に当該IPアドレスが記載されることで、フローデータの出力先が制御される。すなわち、監視制御機能が、当該IPアドレス値をフローデータ出力条件の一部として、受信端末収容パケット中継装置にコマンドを送信することにより、同中継装置からのフローデータの出力先が所定の詳細監視機能宛先となる。また、複数の詳細監視機能が同時稼動する場合には、図8(a)に示すよう、受信端末収容パケット中継装置毎に担当する詳細監視機能を割り当て、該当するIPアドレスを同テーブルの「詳細監視機能宛先」に登録することで所望の動作を実現することが可能となる。
以上、本発明の広域監視機能と詳細監視機能が、異なる装置内に実装された場合について、通過パケット監視装置の構成について説明した。
以上、実施例1、2に基づいて詳細に説明したが、基本的な点をまとめると次のようになる。通過パケット監視装置は広域監視手段と監視制御手段と詳細監視手段とを有する。
広域監視手段は、各パケット中継装置からフローデータを収集する手段と、収集されたフローデータを用いて、ネットワーク全体について、パケット中継装置の対を通過する通過パケット量の分布である通過パケット交流分布を監視する手段と、所定の閾値以上の通過パケット量を検出した場合、当該通過パケットを受信端末収容側で疎通する受信端末収容パケット中継装置を特定し、当該受信端末収容パケット中継装置が疎通する通過パケット量を計測する手段と、前記受信端末収容パケット中継装置を識別する受信端末収容パケット中継装置識別子および前記通過パケット量を含む広域監視情報を前記監視制御手段に送信する手段と、を備える。
これにより、広域監視手段は、広域監視状態におけるフローデータを収集し、ネットワーク全体について通過パケット交流分布を監視し、所定の閾値以上の通過パケット量を検出した場合、広域監視情報を監視制御手段に送信する。
監視制御手段は、前記広域監視情報を受信した場合、前記受信端末収容パケット中継装置識別子で特定されるパケット中継装置に対する所定の閾値よりも前記通過パケット量が大きいときに、状態管理を識別する情報である状態管理識別情報を生成する手段と、前記パケット中継装置に送信するパケット中継装置コマンドを当該パケット中継装置により出力されるフローデータに関する所定の出力条件であるフローデータ出力条件に基づいて決定するパケット中継装置コマンド決定手段と、前記パケット中継装置コマンドを前記パケット中継装置へ送信する手段と、前記パケット中継装置識別子、前記フローデータ出力条件、および前記状態管理識別情報を含む詳細監視指示情報を生成する手段と、前記詳細監視指示情報を前記詳細監視手段に送信する手段と、前記詳細監視手段から詳細監視情報を受信した場合、当該詳細監視情報に含まれる状態管理識別情報に対応する受信端末収容パケット中継装置識別子並びに当該詳細監視情報に含まれるフロー識別子およびパケット量を出力する手段と、を備える。
これにより、監視制御手段は、広域監視手段から広域監視情報を受信すると、受信端末収容パケット中継装置識別子で特定されるパケット中継装置に対する所定の閾値よりも通過パケット量が大きいときに、状態管理を識別する情報である状態管理識別情報を生成し、詳細監視状態へ移行する。詳細監視状態へ移行すると、パケット中継装置コマンドを当該パケット中継装置により出力されるフローデータに関する所定の出力条件であるフローデータ出力条件に基づいて決定し、前記パケット中継装置へ送信する。また、パケット中継装置識別子、フローデータ出力条件、および状態管理識別情報を含む詳細監視指示情報を前記詳細監視手段に送信する。なお、この詳細監視のためのフローデータ出力条件は、広域監視状態におけるフローデータ出力条件よりも出力間隔や標本化間隔の間隔を短いものとすることができる。
詳細監視手段は、前記詳細監視指示情報を受信した場合、前記受信端末収容パケット中継装置識別子に該当するパケット中継装置が出力するフローデータを監視する手段と、前記フローデータ出力条件に基づいて前記パケット中継装置の通過パケットをフロー単位で詳細分析し、所定の閾値以上の通過パケット量を有するフローを検出した場合、当該フローの宛先情報を含むフロー識別子を特定する手段と、前記状態管理識別情報、前記通過パケット量、および前記フロー識別子を含む詳細監視情報を、前記監視制御手段に送信する手段と、を備える。
これにより、詳細監視手段は、詳細監視指示情報を受信した場合、受信端末収容パケット中継装置識別子に該当するパケット中継装置が出力するフローデータを監視し、前記フローデータ出力条件に基づいて前記パケット中継装置の通過パケットをフロー単位で詳細分析し、詳細監視情報を、前記監視制御手段に送信する。
このようにして、通過パケットの存在をネットワーク全体に渡り広域に監視し、その後、局所的に存在する異常パケットに対して、詳細監視手段を用いてフロー単位の監視を行うことを可能としている。
以上のように、本発明に係る通過パケット監視装置および方法は、ISPネットワークを通過するパケットの異常監視手段として有用であり、特に、監視制御機能を用いた広域監視と詳細監視の階層型監視制御方式を導入することで、複数ユーザへの監視サービスの提供において、監視装置の共有化によるコストの低減化が可能となる点で有益である。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
従来技術を用いた通過パケット監視手段の概要を示す図である。 本発明に係る通過パケット監視装置の概要を示す図である。 受信端末収容パケット中継装置の構成を示すブロック図である。 広域監視機能の構成を示すブロック図である。 監視制御機能の構成を示すブロック図である。 詳細監視機能の構成を示すブロック図である。 監視制御機能が具備する状態管理テーブルの例である。 パケット中継装置コマンドテーブルの例である。 広域監視機能と監視制御機能の連携処理手順を示すフローチャートである。 監視制御機能のパケット中継装置応答待ち処理手順を示すフローチャートである。 詳細監視機能と監視制御機能の連携処理手順を示すフローチャートである。
符号の説明
1,21…受信端末、2,22…受信端末収容ネットワーク、3…Probe装置、4…IDS装置、5…パケット中継装置、7,20…ISPネットワーク、23…異常通過パケット、30…受信端末収容パケット中継装置、30a,f,h…ネットワークインターフェース部、30b…パケット中継装置コマンド受信部、30c…フローデータ送信部、30d…フローデータ生成部、30e…フロー情報蓄積部、30g…ルーティング機能部、40…広域監視機能、40a…受信端末収容パケット中継装置特定部、40b…通過パケット量測定部、40c…広域監視情報送信部、40d…入出力インターフェース部、40e…通過パケット交流分布監視部、40f…通過パケット交流分布蓄積部、40g…フローデータ集約部、50…監視制御機能、50a…状態管理テーブル、50b…閾値判定部、50c…パケット中継装置コマンド決定処理部、50d…詳細監視情報処理部、50e…詳細監視結果出力部、50f…パケット中継装置コマンドテーブル、50g…広域監視情報受信部、50h…パケット中継装置送受信部、50i…詳細監視機能送受信部、50j…入出力インターフェース部、60…詳細監視機能、60a…状態管理テーブル、60b…詳細監視部、60c…フローデータ蓄積部、60d…詳細監視指示情報受信部、60e…詳細監視情報送信部、60f…フローデータ受信部、60g…入出力インターフェース部

Claims (4)

  1. 通過パケットを疎通する複数のパケット中継装置を含むネットワークにおいて通過パケットを監視する通過パケット監視装置であって、
    広域監視手段と、
    監視制御手段と、
    詳細監視手段と、
    を有し、
    前記広域監視手段は、
    前記各パケット中継装置からフローデータを収集する手段と、
    収集されたフローデータを用いて、前記ネットワーク全体について、パケット中継装置の対を通過する通過パケット量の分布である通過パケット交流分布を監視し、通過パケット交流分布の通過パケット量が所定の閾値を超えた場合、当該通過パケットを受信端末収容側で疎通する受信端末収容パケット中継装置を特定し、当該受信端末収容パケット中継装置が疎通する通過パケット量を計測する手段と、
    前記受信端末収容パケット中継装置を識別する受信端末収容パケット中継装置識別子および前記通過パケット量を含む広域監視情報を前記監視制御手段に送信する手段と、
    を備え、
    前記監視制御手段は、
    前記広域監視情報を受信した場合、前記受信端末収容パケット中継装置識別子で特定されるパケット中継装置に対する所定の閾値よりも前記通過パケット量が大きいときに、状態管理を識別する情報である状態管理識別情報を生成し、当該パケット中継装置に送信するパケット中継装置コマンドを当該パケット中継装置により出力されるフローデータに関する所定の出力条件であるフローデータ出力条件に基づいて決定し、決定したパケット中継装置コマンドを当該パケット中継装置へ送信する手段と、
    前記パケット中継装置識別子、前記フローデータ出力条件、および前記状態管理識別情報を含む詳細監視指示情報を生成する手段と、
    前記詳細監視指示情報を前記詳細監視手段に送信する手段と、
    前記詳細監視手段から詳細監視情報を受信した場合、当該詳細監視情報に含まれる状態管理識別情報に対応する受信端末収容パケット中継装置識別子並びに当該詳細監視情報に含まれるフロー識別子およびパケット量を出力する手段と、
    を備え、
    前記詳細監視手段は、
    前記詳細監視指示情報を受信した場合、前記受信端末収容パケット中継装置識別子に該当するパケット中継装置が出力するフローデータを監視する手段と、
    前記フローデータ出力条件に基づいて前記パケット中継装置の通過パケットをフロー単位で詳細分析し、所定の閾値以上の通過パケット量を有するフローを検出した場合、当該フローの宛先情報を含むフロー識別子を特定する手段と、
    前記状態管理識別情報、前記通過パケット量、および前記フロー識別子を含む詳細監視情報を、前記監視制御手段に送信する手段と、
    を備えることを特徴とする通過パケット監視装置。
  2. 請求項1に記載の通過パケット監視装置であって、
    前記広域監視手段と前記詳細監視手段が、前記ネットワークに設置された同一装置内に設けられ、かつ同一宛先アドレスを有し、
    前記監視制御手段のパケット中継装置コマンド決定手段は、所定のフローデータ出力間隔とフローデータ標本化間隔からなるフローデータ出力条件に基づいて、パケット中継装置コマンドを決定することを特徴とする通過パケット監視装置。
  3. 請求項1に記載の通過パケット監視装置であって、
    前記広域監視手段と前記詳細監視手段が、前記ネットワークに設置された異なる装置内に設けられ、かつ異なる宛先アドレスを有し、
    前記監視制御手段のパケット中継装置コマンド決定手段は、パケット中継装置のフローデータ出力先として前記詳細監視手段の宛先アドレスを指定し、当該宛先アドレス、並びに所定のフローデータ出力間隔およびフローデータ標本化間隔からなるフローデータ出力条件に基づいて、パケット中継コマンドを決定することを特徴とする通過パケット監視装置。
  4. 通過パケットを疎通する複数のパケット中継装置を含むネットワークにおいて通過パケットを監視する通過パケット監視装置の通過パケット監視方法であって、
    前記通過パケット監視装置は、
    広域監視手段と、
    監視制御手段と、
    詳細監視手段と、
    を有し、
    前記広域監視手段が、
    前記各パケット中継装置からフローデータを収集し、
    収集されたフローデータを用いて、前記ネットワーク全体について、パケット中継装置の対を通過する通過パケット量の分布である通過パケット交流分布を監視し、通過パケット交流分布の通過パケット量が所定の閾値を超えた場合、当該通過パケットを受信端末収容側で疎通する受信端末収容パケット中継装置を特定し、当該受信端末収容パケット中継装置が疎通する通過パケット量を計測し、
    前記受信端末収容パケット中継装置を識別する受信端末収容パケット中継装置識別子および前記通過パケット量を含む広域監視情報を前記監視制御手段に送信し、
    前記監視制御手段が、
    前記広域監視情報を受信した場合、前記受信端末収容パケット中継装置識別子で特定されるパケット中継装置に対する所定の閾値よりも前記通過パケット量が大きいときに、状態管理を識別する情報である状態管理識別情報を生成し、当該パケット中継装置に送信するパケット中継装置コマンドを当該パケット中継装置により出力されるフローデータに関する所定の出力条件であるフローデータ出力条件に基づいて決定し、決定したパケット中継装置コマンドを当該パケット中継装置へ送信し、
    前記パケット中継装置識別子、前記フローデータ出力条件、および前記状態管理識別情報を含む詳細監視指示情報を生成し、
    前記詳細監視指示情報を前記詳細監視手段に送信し、
    前記詳細監視手段から詳細監視情報を受信した場合、当該詳細監視情報に含まれる状態管理識別情報に対応する受信端末収容パケット中継装置識別子並びに当該詳細監視情報に含まれるフロー識別子およびパケット量を出力し、
    前記詳細監視手段が、
    前記詳細監視指示情報を受信した場合、前記受信端末収容パケット中継装置識別子に該当するパケット中継装置が出力するフローデータを監視し、
    前記フローデータ出力条件に基づいて前記パケット中継装置の通過パケットをフロー単位で詳細分析し、所定の閾値以上の通過パケット量を有するフローを検出した場合、当該フローの宛先情報を含むフロー識別子を特定し、
    前記状態管理識別情報、前記通過パケット量、および前記フロー識別子を含む詳細監視情報を、前記監視制御手段に送信する、
    ことを特徴とする通過パケット監視方法。
JP2006232005A 2006-08-29 2006-08-29 通過パケット監視装置および方法 Expired - Fee Related JP4244355B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006232005A JP4244355B2 (ja) 2006-08-29 2006-08-29 通過パケット監視装置および方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006232005A JP4244355B2 (ja) 2006-08-29 2006-08-29 通過パケット監視装置および方法

Publications (2)

Publication Number Publication Date
JP2008060672A JP2008060672A (ja) 2008-03-13
JP4244355B2 true JP4244355B2 (ja) 2009-03-25

Family

ID=39242962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006232005A Expired - Fee Related JP4244355B2 (ja) 2006-08-29 2006-08-29 通過パケット監視装置および方法

Country Status (1)

Country Link
JP (1) JP4244355B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5470145B2 (ja) * 2009-04-22 2014-04-16 アラクサラネットワークス株式会社 認証スイッチおよび端末認証方法
WO2011118575A1 (ja) * 2010-03-24 2011-09-29 日本電気株式会社 通信システム、制御装置およびトラヒック監視方法
EP2530874B1 (en) * 2011-06-03 2020-04-29 AirMagnet, Inc. Method and apparatus for detecting network attacks using a flow based technique
JP5610482B2 (ja) * 2011-06-10 2014-10-22 株式会社日立製作所 パケットキャプチャーシステムおよびパケットキャプチャー方法
JP6287154B2 (ja) 2013-12-12 2018-03-07 富士通株式会社 パケット保存方法、パケット保存プログラム及びパケット保存装置

Also Published As

Publication number Publication date
JP2008060672A (ja) 2008-03-13

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
Chen et al. Measuring TCP round-trip time in the data plane
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
EP2187577B1 (en) Abnormal traffic detection device, abnormal traffic detection method, and abnormal traffic detection program
EP3735762B1 (en) In-band telemetry with limited extra bytes
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US9178794B2 (en) Communication quality monitoring system, communication quality monitoring method and recording medium
EP2081321A2 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
CN103444132B (zh) 网络系统及其交换方法
US8274911B2 (en) Network monitoring system and path extracting method
JP2005508593A (ja) ネットワークで情報のルーティング制御を実現するためのシステム及び方法
JP4244355B2 (ja) 通過パケット監視装置および方法
JP2010088031A (ja) アンダーレイネットワーク障害検知方法及びネットワークシステム
JP4860745B2 (ja) Bgpトラヒック変動監視装置、方法、およびシステム
JP2012004781A (ja) 構成情報取得方法、仮想プローブおよび構成情報取得制御装置
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
JP4425255B2 (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP6151827B2 (ja) 監視制御装置、監視装置、監視システム、および監視プログラム
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP2006050442A (ja) トラヒック監視方法及びシステム
KR101380292B1 (ko) 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템
JP4165828B2 (ja) 通信ネットワーク、ネットワーク制御サーバ、トラヒック制御方法、およびプログラム
JP5955720B2 (ja) 監視装置、監視方法および監視プログラム
CN114884882B (zh) 一种流量可视化方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081001

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081007

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081224

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081226

R150 Certificate of patent or registration of utility model

Ref document number: 4244355

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120116

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130116

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees