JP4246238B2 - トラフィック情報の配信及び収集方法 - Google Patents
トラフィック情報の配信及び収集方法 Download PDFInfo
- Publication number
- JP4246238B2 JP4246238B2 JP2007028730A JP2007028730A JP4246238B2 JP 4246238 B2 JP4246238 B2 JP 4246238B2 JP 2007028730 A JP2007028730 A JP 2007028730A JP 2007028730 A JP2007028730 A JP 2007028730A JP 4246238 B2 JP4246238 B2 JP 4246238B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic information
- traffic
- class
- packet
- information distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネットに代表されるネットワーク上を流れるトラフィックをモニタする際に、大容量化したネットワーク上のトラフィックを効率的にモニタする手法に関し、特に、トラフィック情報の配信及び収集方法に関する。
大規模、大容量化したネットワークでは、膨大なトラフィックを全てモニタすることができない。そのため、パケットをサンプリングすることにより、全体のトラフィック量を推定する手法が採用されている。この場合、トラフィック量の大容量化に応じて、サンプリングレートを小さくする必要性があるが、トラフィック量が小さい異常トラフィックについては、検出不可能となることも考えられ、効率的なトラフィック・モニタ手法が必要とされている。
従来のフロー統計配信プロトコル(sFlow(非特許文献2参照),NetFlow(非特許文献1参照))は、NW機器(Network機器)のIF(Interface)上で受信する全てのパケットを対象にサンプリングが行われている。また、フロー統計配信プロトコルのひとつであるIPFIXプロトコル(非特許文献3参照)では、フィルタ条件とサンプリングを組み合わせることでより柔軟なトラフィック測定を可能としているが、情報の配信方法については、一律同じ方式が適用される。このため、あるアプリケーションの分析により、より詳細なトラフィック情報の配信が必要な場合には、そのほかのトラフィックについてもより詳細なトラフィック情報の配信が必要となり、全体の情報転送量が大きくなるという問題がある。
このような状況の中で、より柔軟にトラフィックを抽出する手法として、一次的に異常と検知されたトラフィックを抽出して、大容量のトラフィックから埋もれないようにする機能や、フロー条件をもとにより柔軟にフロー統計を実施する機能が考案されている(特許文献1参照)。
しかし、サンプリングの前に特定のパケットをフィルタリングすることやサンプリング前にパケットを分類する案などは考案されているが、分類されたクラス単位にトラフィックの配信方法まで設定可能とするような機能は、現状存在しない。また、クラス化された際に、特定のクラスにトラフィックが集中することで、他のクラスのトラフィック情報が配信されなくなるという問題も解決されていない。
DDoS攻撃トラフィックなどの異常トラフィックを検知する目的から、ネットワーク上に流れているトラフィックをモニタするフロー統計配信プロトコル(sFlow,netFlow,IPFIX)に注目が集まっている。しかし、ネットワーク上に流れるトラフィック量は、年々増加傾向にあり、トラフィックをモニタする手法もサンプリング間隔を上げるだけでは、複雑化するトラフィックの傾向を把握することが困難となっている。
近年、NW機器が実装するフィルタ機能(アクセスリスト機能)を用いることで、トラフィックを選択し、サンプリングを行うことによって、大容量のトラフィックの中から抽出したいパケットのみに絞り込み、サンプリングレートを大きくすることによって、特定パケットに注力して監視する機能が提案されている(特許文献1、非特許文献3)。この機能は、フィルタリングにより分類したクラス単位にサンプリングレートを設定することが示されているが、ボットネットなどに代表される不正トラフィックは、より巧妙となっており、サンプリングレートを大きくして、ボリュームベースで異常を検知することは難しい状況となっている。
近年の不正トラフィックについては、パケットのアプリケーション(ペイロード)部分まで分析をしないと異常を検知できないといった問題があり、年々トラフィックが増加していく中で、トラフィック抽出手法のスケーラビリティを維持しつつ、重要なトラフィックに対してアプリケーション部分の情報をどう抽出していくのかが課題となっている。
現在、パケットのフィルタリング処理、サンプリング処理、パケットのコピー、フロー集約情報のカウンタ処理等は、ハードウェア化されているため、より高速化されている。しかし、トラフィック情報配信プロトコルのパケット作成処理などは、NW機器(ルータ、スイッチ等)のメインCPUのソフトウェア上で実行される場合が多く、配信処理のボトルネックとなっている場合が多い。図1は、配信するパケット情報の切り出しサイズを256byteとした場合(図1の△参照)と64byteとした場合(図1の◆参照)のルータの負荷状況の様子である。横軸は配信トラフィック情報(Kpps)であり、縦軸はCPU使用率%である。配信量を小さくした方が、よりルータの負担が少ない結果となっている。
従来の技術においては、あるパケットのペイロード部分の分析のために配信する切り取りパケット長を長くした場合、分析においては、その情報が不要なパケットも同じパケット長で配信されることになり非常に非効率である。このため、クラスに応じて抽出するパケット長や配信方法を変更可能とすることで、より効率的なトラフィックの配信が可能となる。
また、通常は、トラフィック量が小さいため、当該クラスのサンプリングを大きくした場合においても、急激にトラフィック量が増える場合などがある。その場合には、NW機器のCPUが負荷状態となり、他のクラスのトラフィックを配信できなくなることやNW機器のそのほかの機能へも影響がでるといった問題がある。本機能では、クラス毎に配信するトラフィックデータの最大限度量を規定しておくことで、これらの問題の発生を回避する。
また、各アプリケーションによって分析に有効なパケットサイズが変わってくるため(図2にアプリケーション毎に有効なパケットサイズの一例を示す。)、クラス単位に配信方法が変更できることは有益である。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、トラフィック情報をトラフィック情報収集機器に配信するトラフィック情報配信機器におけるトラフィック情報配信方法であって、前記トラフィック情報配信機器は、分類手段とクラス別処理手段とトラフィック情報配信データ作成配信手段とを有し、前記分類手段が、受信したパケットを各クラスに分類し、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたトラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法を選択し、前記トラフィック情報配信データ作成配信手段が、前記クラス別処理手段で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、該トラフィック情報配信パケットを前記トラフィック情報収集機器に配信するトラフィック情報配信方法である。
第2の発明は、第1の発明のトラフィック情報配信方法であって、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められた配信限度量に基づいて、限度量が超過している場合には、当該トラフィック情報の配信を停止し、限度量を下回った際に、当該トラフィック情報の配信を開始するトラフィック情報配信方法である。
第3の発明は、第1又は第2のトラフィック情報配信方法であって、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたサンプリングレート及び/又はサンプリングアルゴリズムに基づいてパケットサンプリングを行うトラフィック情報配信方法である。
第4の発明は、第1〜第3の発明のトラフィック情報配信方法であって、前記トラフィック情報配信機器はフィルタ条件設定テーブルを有し、前記フィルタ条件設定テーブルは、パケットのヘッダに関わる情報である宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength、および、NW機器が当該パケットをルーティングするための特性情報である受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Communityのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものであり、前記分類手段が、前記フィルタ条件設定テーブルに基づいて、受信したパケットを各クラスに分類するトラフィック情報配信方法である。
第5の発明は、第4の発明のトラフィック情報配信方法であって、前記トラフィック情報配信機器はトラフィック測定情報テーブルを有し、前記トラフィック測定情報テーブルは、前記クラス識別子に対応して、トラフィック配信方法、サンプリングレート、サンプリングアルゴリズム、配信量の限度量の1以上が設定されたものであり、前記クラス別処理手段が、前記トラフィック測定情報テーブルに基づいて、クラス別の処理を行うトラフィック情報配信方法である。
第6の発明は、第5の発明のトラフィック情報配信方法であって、前記トラフィック情報配信データ作成配信手段が、前記トラフィック情報配信パケットの各トラフィック情報に、前記フィルタ条件識別子及び/又は前記クラス識別子を付加するトラフィック情報配信方法である。
第7の発明は、第6の発明のトラフィック情報配信方法によってトラフィック情報の配信を行う前記トラフィック情報配信機器から、トラフィック情報を収集するトラフィック情報収集機器におけるトラフィック情報収集方法であって、前記トラフィック情報収集機器が、前記トラフィック情報配信機器から収集した各トラフィック情報に付加されたクラス識別子及び/又はフィルタ条件識別子をもとに、トラフィック分析装置群の中から適切なトラフィック分析装置に対して、トラフィック情報を振り分けるトラフィック情報収集方法である。
本発明により、クラスに応じて抽出するパケット長や配信方法を変更可能とすることで、より効率的なトラフィックの配信が可能となる。また、クラス毎に配信するトラフィックデータの最大限度量を規定しておくことで、NW機器のCPUが負荷状態となり、他のクラスのトラフィックを配信できなくなることやNW機器のそのほかの機能へも影響がでるといった問題の発生を回避することができる。また、クラス毎にサンプリングレートやサンプリングプロトコルを変更することができる。
本発明の実施形態は、サンプリングの前に、パケットを分類し、ある特定のトラフィックについては、例えば、サンプリングレートを大きくして、アプリケーションのペイロード部分を含むパケット情報を監視・分析し、それ以外のトラフィックについては、より集約を行った上で、トラフィック情報を配信することを可能とするより効率な測定を行うものである。また、これにより、大規模ネットワークでのトラフィック測定というスケーラビリティを維持しつつ、より詳細なトラフィック監視・分析が可能となる。すなわち、本実施形態は、複数のフィルタ条件をもとに、NW機器(ルータ、スイッチ)などで受信されるIPパケットを、複数のクラスに分類し、分類したクラス単位にサンプリングレート、サンプリングアルゴリズム、トラフィック情報収集機器への情報配信方法、配信限度量を定義することで、パケットのアプリケーション毎のトラフィック分析方法に応じたトラフィック情報配信方法を可能とする。この機能は、NW機器(ルータ、スイッチ)などに実装されることを想定している。
以下、本発明の実施の形態を図面を用いて詳細に説明する。
図3に全体概要図を示す。図3において、301はネットワークであり、302はネットワーク301上に配置されたNW機器である。図では4個のNW機器302−1〜302−4が配置されているが、何個でもよい。303はトラフィック情報を収集するトラフィック情報収集機器である。304はトラフィック分析装置群である。図では、トラフィック分析装置群304は、異常パケットの収集・分析装置311、Unroutable/未使用アドレストラフィック分析装置312、Signature分析装置313、TCP status分析・ICMP分析装置314、VoIP品質分析装置315、Protocol Analyzer316から構成されているが、これは一例であり、これらの一部の分析装置だけで構成してもよいし、これら以外の分析装置を含んでいてもよい。また、これらの分析装置は一般に使用されている装置を使用すればよいので、その詳細な説明は省略する。
図3に全体概要図を示す。図3において、301はネットワークであり、302はネットワーク301上に配置されたNW機器である。図では4個のNW機器302−1〜302−4が配置されているが、何個でもよい。303はトラフィック情報を収集するトラフィック情報収集機器である。304はトラフィック分析装置群である。図では、トラフィック分析装置群304は、異常パケットの収集・分析装置311、Unroutable/未使用アドレストラフィック分析装置312、Signature分析装置313、TCP status分析・ICMP分析装置314、VoIP品質分析装置315、Protocol Analyzer316から構成されているが、これは一例であり、これらの一部の分析装置だけで構成してもよいし、これら以外の分析装置を含んでいてもよい。また、これらの分析装置は一般に使用されている装置を使用すればよいので、その詳細な説明は省略する。
NW機器302は階層的フロー統計機能を有する。階層的フロー統計機能とは、クラスに分類し重要度などの用途に応じたフロー統計を行う機能である。ネットワーク301上を流れるパケットが入力されると、NW機器302は、サンプリング前に各クラスに分類し、各クラス毎に処理して、トラフィック情報配信データを作成し、フロー配信プロトコルを用いて、トラフィック情報配信データをトラフィック情報収集機器303に配信する。NW機器302は、典型的にはルータやスイッチ等であるが、トラフィック情報配信機能に注目すれば、トラフィック情報配信機器ということができる。
トラフィック情報収集機器303は、ネットワーク301上のNW機器302−1〜302−4から受信したトラフィック情報配信データをクラス単位/フィルタ条件単位に振り分けてトラフィック分析装置群304のそれぞれの分析装置311〜316に配信する。
トラフィック分析装置群304のそれぞれの分析装置311〜316はトラフィック情報収集機器303から振り分け配信されたトラフィック情報を使用してそれぞれの分析を行う。
図4に本機能をもつNW機器302の構成図を示す。401はIFであり、IF401をとおしてパケット441〜443がNW機器302に流入する。
402はトラフィックをフィルタ条件に従いクラスに分類する分類手段である。分類手段402は、フィルタ条件設定テーブル700に基づいて、受信したパケットを階層的に各クラスに分類する。なお、フィルタ条件テーブル700については、図7を用いて後述する。
403は分類手段402でクラスに分類されたパケットを各クラス毎に処理するクラス別処理手段である。クラス別処理手段403は、トラフィック測定情報テーブル800に基づいて、クラス別の処理を行う。なお、トラフィック測定情報テーブル800については、図8を用いて後述する。
図4では、受信したSIPパケット441、icmpパケット442、Otherパケット(その他のパケット)443を、分類手段402が、それぞれクラス#1、クラス#2、クラス#3に分類する例を示している。
クラス別処理手段403は、クラス#1に分類されたSIPパケット441に対して、410で示すように、Rate=1/1でサンプリングし(411)、情報配信手法の選択を行い(412)、配信限度量のチェックを行う(413)。また、クラス別処理手段403は、クラス#2に分類されたicmpパケット442に対して、420で示すように、Rate=1/100でサンプリングし(421)、情報配信手法の選択を行い(422)、配信限度量のチェックを行う(423)。また、クラス別処理手段403は、クラス#3に分類されたOtherパケット443に対して、430で示すように、Rate=1/10000でサンプリングし(431)、情報配信手法の選択を行い(432)、配信限度量のチェックを行う(433)。図4では、分類手段402が3つのクラスに分類し、クラス別処理手段403は3のクラス毎に処理しているが、一般的には、分類手段402が、受信したパケットを複数のクラスに分類し、クラス別処理手段403が、分類手段402により複数のクラスに分類されたパケットに対して、各クラス毎の処理、例えば、トラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法の選択を行えばよい。
404はクラス別処理手段403からのデータに基づいて、トラフィック情報配信データを作成し、トラフィック情報配信プロトコル・パケット450をトラフィック情報収集機器303に配信するトラフィック情報配信データ作成配信手段である。トラフィック情報配信プロトコル・パケット450は、トラフィック情報配信プロトコルにより、トラフィック情報を配信するトラフィック情報配信パケットである。すなわち、トラフィック情報配信データ作成配信手段404は、クラス別処理手段403で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、そのトラフィック情報配信パケットをトラフィック情報収集機器303に配信する。
以下、NW機器302のクラス別処理手段403の処理について更に詳細に説明する。
サンプリング411、421、431においては、例えば、サンプリングレートは、M個のパケットの通過でN個のパケットを抽出する場合には、N/Mをレートとする。サンプリングアルゴリズムについては、ランダムにサンプリングするのか、規則的に抽出するのか、時間周期でパケットをサンプリングするのかが選択できるものとする。
サンプリング411、421、431においては、例えば、サンプリングレートは、M個のパケットの通過でN個のパケットを抽出する場合には、N/Mをレートとする。サンプリングアルゴリズムについては、ランダムにサンプリングするのか、規則的に抽出するのか、時間周期でパケットをサンプリングするのかが選択できるものとする。
情報配信手法の選択412、422、432においては、トラフィック情報収集機器への情報配信方法は、大きく2つに分けられる。1つは、パケットのある部分を切り出してそれをコピーして配信する方法(以下、これをパケット抽出手法と呼ぶ。)であり、もう一つは、フロー識別情報(IPヘッダに含まれる送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコル)単位にパケット数、バイト数を集約して配信する方法(以下、これをフロー集約手法と呼ぶ。)になる。
パケット抽出手法においては、その配信方法に関するパラメータをクラス単位に指定可能とする。以下に指定可能とするパラメータを示す。
・パケットコピー開始ヘッダ情報:抽出したパケットの中で、配信するためのコピー開始箇所の情報としてヘッダ種別(Ethernetヘッダ,IPヘッダ,UDP,TCPヘッダ)を指定する。
・オフセット情報:上記ヘッダ種別からパケットの切り出し開始部分を示すオフセット値(byte)である。
・抽出最大長:パケットの切り出し開始部分からコピー可能な最大長(byte)である。
・パケットコピー開始ヘッダ情報:抽出したパケットの中で、配信するためのコピー開始箇所の情報としてヘッダ種別(Ethernetヘッダ,IPヘッダ,UDP,TCPヘッダ)を指定する。
・オフセット情報:上記ヘッダ種別からパケットの切り出し開始部分を示すオフセット値(byte)である。
・抽出最大長:パケットの切り出し開始部分からコピー可能な最大長(byte)である。
フロー集約手法においても、その配信方法に関するパラメータをクラス単位に指定可能とする。以下に指定可能とするパラメータを示す。
・フローキー情報:前述したフロー識別情報をキー情報として集約する以外にIP/UDP/TCPヘッダ、Ethernetヘッダ、Labelヘッダの各属性情報や受信/出力IF番号、パケット・ルーティング特性情報(Next−Hop,BGP Next−hop,originAS,peerASなど)を指定可能とする。このキー情報をもとに、フロー・エントリ情報が作成され、以降、同一のキー情報をもつパケットを抽出した際は、このエントリの集計属性情報に対して積算処理される。抽出したパケットの中で、該当するフロー・エントリがない場合には、新規に作成される。
・集計属性情報:フローキーをもとに集約する際に、集約すべき属性情報を指定する。例えば、パケット数、パケットLengthの総計(総Byte数)などが該当する。
・タイムアウト情報:ある識別情報をもとに集約をしていた際に、ある周期内で、その識別情報に関する集計属性情報に変化がない場合に、このフロー・エントリ情報を削除して、トラフィック情報収集機器にこの情報を配信することを定めたタイムアウト値(秒)である。
・フローキー情報:前述したフロー識別情報をキー情報として集約する以外にIP/UDP/TCPヘッダ、Ethernetヘッダ、Labelヘッダの各属性情報や受信/出力IF番号、パケット・ルーティング特性情報(Next−Hop,BGP Next−hop,originAS,peerASなど)を指定可能とする。このキー情報をもとに、フロー・エントリ情報が作成され、以降、同一のキー情報をもつパケットを抽出した際は、このエントリの集計属性情報に対して積算処理される。抽出したパケットの中で、該当するフロー・エントリがない場合には、新規に作成される。
・集計属性情報:フローキーをもとに集約する際に、集約すべき属性情報を指定する。例えば、パケット数、パケットLengthの総計(総Byte数)などが該当する。
・タイムアウト情報:ある識別情報をもとに集約をしていた際に、ある周期内で、その識別情報に関する集計属性情報に変化がない場合に、このフロー・エントリ情報を削除して、トラフィック情報収集機器にこの情報を配信することを定めたタイムアウト値(秒)である。
以上のように情報配信手法の選択412、422、432により、クラス単位に定めたトラフィック情報の配信方法によって、各クラスのトラフィック情報は、トラフィック情報収集機器303に配信されるが、特定のクラスのトラフィック量が増えることによって、他のクラスの情報が配信されなくなるという状況を回避するため、クラス単位に配信量の限度量を定めておき、配信限度量のチェック413、423、433により配信限度量のチェックが行われる。この限度量は、パケット抽出手法においては、pps(packets per second)を単位とし、フロー集約手法においては、fps(flow records per second)を単位とする。
トラフィック情報配信データ作成配信手段404が、これらのトラフィック情報をトラフィック情報収集機器303に配信する際には、各クラスの識別子及び該当したフィルタ条件識別子をトラフィック情報に付加して配信する。配信するためのプロトコルとしては、IPFIX,sFlow,NetFlowなどのトラフィック情報配信プロトコルが適用される。パケット抽出手法にて抽出されたトラフィック情報はパケット情報として、フロー集約手法として選択された情報はフローレコード情報として、トラフィック情報配信プロトコルのパケットに格納される。各クラスを示すクラス識別子及びフィルタ条件識別子は、各トラフィック情報に付加される。
図5に、このようにして作成されたトラフィック情報配信プロトコル・パケット450の構成を示す。501はトラフィック情報配信プロトコル・パケットのヘッダであり、502−1〜502−Nはトラフィック情報#1〜#Nである。トラフィック情報#1(502−1)はフロー集約手法の場合のトラフィック情報である。510はトラフィック情報#1のヘッダであり、511はフローキー情報であり、512は集計属性情報であり、513はクラス識別子であり、514はフィルタ条件識別子である。ヘッダ510にサンプリングレート、サンプリングアルゴリズムが記述される。フローキー情報511と集計属性情報512がフローレコード情報である。一方、トラフィック情報#N−1(502−N−1)はパケット抽出手法の場合のトラフィック情報である。520はトラフィック情報#N−1のヘッダであり、521はパケットコピー情報であり、522は関連属性情報であり、523はクラス識別子であり、524はフィルタ条件識別子である。パケットコピー情報521がパケット情報である。
トラフィック情報収集機器303では、各トラフィック情報に付加された各クラスを示すクラス識別子513、523及びフィルタ条件識別子514、524により、受信したトラフィック情報のクラス及びフィルタ条件の識別が可能となり、トラフィック分析をする際にトラフィック分析装置群304に対して情報の振り分けが可能となる。
これにより、重要なパケットについては、サンプリングレートを大きくした上で、パケット抽出手法にてアプリケーションのペイロードも含む情報をトラフィック情報収集機器303に配信することが可能となり、トラフィック分析装置群304では、パケットのアプリケーション部分も含めたトラフィックの分析を行うことが可能となる。また、全体的なトラフィック動向を測ることを目的としているクラスに対しては、サンプリングレートを小さくした上で、OriginAS単位の集約など粒度の荒いフロー集約手法にてトラフィック情報収集機器303に配信することが可能となり、スケーラビリティを維持することが可能となる。
ここで、図6のようなあるプロバイダのネットワークをもとに階層的フロー統計手法の適用方法を示す。図6は、あるプロバイダの概念図である。図6において、601はこのプロバイダのNW(Network)であり、602はNW601に接続されたマスユーザアクセス網であり、603はNW601に接続された重要顧客のアクセス網である。604は外部NW#1であり、ルータ#1(606)を介してNW601に接続されている。605は外部NW#2であり、ルータ#2(607)を介してNW601に接続されている。
このプロバイダは、以下のようなアドレスの設定方針のNW601をもっているものとする。
・マスユーザアクセス網602として、お客さま用のアドレスとして、アドレスブロック192.0.2.0/26をもつ。
・重要顧客のアクセス網603として、このお客さま用のアドレスとして、アドレスブロック192.0.2.64/26をもつ。
・NW601網内のリンクアドレスとして、アドレスブロック192.0.2.128/26をもつ
・プロバイダの基幹サーバとして、DNSサーバ608とSIPサーバ610がそれぞれ、192.0.2.200、192.0.2.210のアドレスをもつ。
・マスユーザアクセス網602として、お客さま用のアドレスとして、アドレスブロック192.0.2.0/26をもつ。
・重要顧客のアクセス網603として、このお客さま用のアドレスとして、アドレスブロック192.0.2.64/26をもつ。
・NW601網内のリンクアドレスとして、アドレスブロック192.0.2.128/26をもつ
・プロバイダの基幹サーバとして、DNSサーバ608とSIPサーバ610がそれぞれ、192.0.2.200、192.0.2.210のアドレスをもつ。
ここで、外部NW#1(604)とルータ#1(606)を結ぶルータ#1(606)のIFで階層的フロー統計手法を適用させた場合の例を示す。
ルータ#1(606)では、パケットをクラスわけするためのフィルタ条件設定テーブルとクラス毎のトラフィック測定情報テーブルをもつ。図7にフィルタ条件設定テーブルと図8にトラフィック測定情報テーブルを示す。
図7のフィルタ条件設定テーブル700において、701はフィルタ条件識別子を、702は宛先IPアドレス帯域を、703は送信元IPアドレス帯域を、704はプロトコルを、705は宛先ポート番号を、706は送信元ポート番号を、707はTCP Flagsを、708はクラス識別子を、それぞれ設定する欄である。
図7のフィルタ条件設定テーブルにおいては、宛先IPアドレス帯域、送信元IPアドレス帯域、プロトコル、宛先ポート番号、送信元ポート番号、TCP Flagsを設定可能とする例を示しているが、一般には、パケットのヘッダに関わる情報(宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength)やNW機器が当該パケットをルーティングするための特性情報(受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Community)を設定可能としてもよい。すなわち、フィルタ条件設定テーブルは、これらのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものでもよい。
図8のトラフィック測定情報テーブルにおいて、801はクラス識別子を、802はサンプリングアルゴリズムを、803はサンプリングレートを、804はトラフィック配信方法を、805はパケットコピー開始箇所情報を、806はオフセット情報を、807は抽出最大長を、808は関連属性情報を、809はフローキー情報を、810は集計属性情報を、811はタイムアウト情報を、812は配信量の限度量を、それぞれ設定する欄である。トラフィック配信方法804においてパケット抽出手法を設定した場合は、パケットコピー開始箇所情報805、オフセット情報806、抽出最大長807、関連属性情報808を設定する。一方、トラフィック配信方法804においてフロー集計手法を設定した場合は、フローキー情報809、集計属性情報810、タイムアウト情報811を設定する。
図7のフィルタ条件設定テーブル700では、フィルタ条件識別子1〜4までは、Privateアドレスを使用しているなどの本来あってはならないパケットが外部NWから流入した場合を想定しており、これをクラス1としている。以降は、重要なサーバへの監視をサーバ単位にクラス2、3とし、最終的に外部NW#2に流れていくトラフィックについては、クラス7として設定している。パケットを受信した際は、フィルタ条件識別子の若番(小さい番号)から順次検索されるものとして、条件に合致した箇所でそのパケットのクラスが確定する。
すなわち、分類手段402は、図7のフィルタ条件設定テーブル700に基づいて、本来あってはならないパケットについてはフィルタ条件識別子1〜4、クラス識別子1とし、宛先がDNSサーバ608(192.0.2.200)であるパケットについてはフィルタ条件識別子5、クラス識別子2とし、宛先がSIPサーバ610(192.0.2.210)であるパケットについてはフィルタ条件識別子6、クラス識別子3とし、宛先が重要顧客のアクセス網603(192.0.2.64/26)であるパケットについてはフィルタ条件識別子7、クラス識別子4とし、宛先がマスユーザアクセス網602(192.0.2.0/26)であるパケットについてはフィルタ条件識別子8、クラス識別子5とし、宛先がNW網601(192.0.2.128/26)であるパケットについてはフィルタ条件識別子9、クラス識別子6とし、それ以外のパケットについてはフィルタ条件識別子10、クラス識別子7とする。
クラスが決定したパケットは、クラス単位に設定されたトラフィック測定情報テーブル800にそって、トラフィック情報として集計される。
例えば、SIPサーバ610に向けのトラフィック(クラス識別子3)については、SDPの部分まで分析可能なように抽出するコピーパケット部分の長さを多くしている(抽出最大長:750byte)。また、これに対して外部NW#2(605)に流れ出るトラフィック(クラス識別子7)は、それほど詳細な分析は必要ないため、ピアリングするAS番号単位にトラフィックを集計するように設定されている(フローキー情報:PeeringAS)。
上記のように外部NW#1(604)からルータ#1(606)に受信したパケットは、フィルタ条件設定テーブル700をもとにクラスわけされ、トラフィック測定情報テーブル800の設定内容に従い、トラフィック情報として成形されて、トラフィック情報配信プロトコルのパケット450に格納される。
トラフィック情報収集機器303では、クラス識別子、フィルタ条件識別子をもとに特定の分析装置に振り分けを行う。例えば、SIPパケット(フィルタ条件識別子6、クラス識別子3)に対しては、SIPプロトコル用の分析装置に振り分け配信される。
以上説明した実施形態のNW機器の各手段は、記憶装置に記憶されたプログラムをCPUが処理することにより実現される。また、そのプログラムの一部または全部をハードウェアで構成してもよい。また、NW機器の各テーブルは記憶装置に記憶される。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
301…ネットワーク、302…NW機器(トラフィック情報配信機器)、303…トラフィック情報収集機器、304…トラフィック分析装置群、401…IF、402…分類手段、403…クラス別処理手段、404…トラフィック情報配信データ作成配信手段、441…SIPパケット、442…icmpパケット、443…Otherパケット、410、420、430…クラス#1、クラス#2、クラス#3に分類されたパケットの処理、411、421、431…サンプリング、412、422、432…情報配信手法の選択、413、423、433…配信限度量のチェック、450…トラフィック情報配信プロトコル・パケット、501…トラフィック情報配信プロトコル・パケットのヘッダ、502−1〜502−N…トラフィック情報#1〜#N、510…トラフィック情報#1のヘッダ、511…フローキー情報、512…集計属性情報、513…クラス識別子、514…フィルタ条件識別子、520…トラフィック情報#N−1のヘッダ、521…パケットコピー情報、522…関連属性情報、523…クラス識別子、524…フィルタ条件識別子、601…プロバイダのNW、602…マスユーザアクセス網、603…重要顧客のアクセス網、604…外部NW#1、605…外部NW#2、606…ルータ#1、607…ルータ#2、608…DNSサーバ、610…SIPサーバ、700…フィルタ条件設定テーブル、800…トラフィック測定情報テーブル
Claims (7)
- トラフィック情報をトラフィック情報収集機器に配信するトラフィック情報配信機器におけるトラフィック情報配信方法であって、
前記トラフィック情報配信機器は、分類手段とクラス別処理手段とトラフィック情報配信データ作成配信手段とを有し、
前記分類手段が、受信したパケットを各クラスに分類し、
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたトラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法を選択し、
前記トラフィック情報配信データ作成配信手段が、前記クラス別処理手段で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、該トラフィック情報配信パケットを前記トラフィック情報収集機器に配信する
ことを特徴とするトラフィック情報配信方法。 - 請求項1に記載のトラフィック情報配信方法であって、
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められた配信限度量に基づいて、限度量が超過している場合には、当該トラフィック情報の配信を停止し、限度量を下回った際に、当該トラフィック情報の配信を開始することを特徴とするトラフィック情報配信方法。 - 請求項1又は2に記載のトラフィック情報配信方法であって、
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたサンプリングレート及び/又はサンプリングアルゴリズムに基づいてパケットサンプリングを行うことを特徴とするトラフィック情報配信方法。 - 請求項1ないし3のいずれか1項に記載のトラフィック情報配信方法であって、
前記トラフィック情報配信機器はフィルタ条件設定テーブルを有し、
前記フィルタ条件設定テーブルは、パケットのヘッダに関わる情報である宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength、および、NW機器が当該パケットをルーティングするための特性情報である受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Communityのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものであり、
前記分類手段が、前記フィルタ条件設定テーブルに基づいて、受信したパケットを各クラスに分類する
ことを特徴とするトラフィック情報配信方法。 - 請求項4に記載のトラフィック情報配信方法であって、
前記トラフィック情報配信機器はトラフィック測定情報テーブルを有し、
前記トラフィック測定情報テーブルは、前記クラス識別子に対応して、トラフィック配信方法、サンプリングレート、サンプリングアルゴリズム、配信量の限度量の1以上が設定されたものであり、
前記クラス別処理手段が、前記トラフィック測定情報テーブルに基づいて、クラス別の処理を行う
ことを特徴とするトラフィック情報配信方法。 - 請求項5に記載のトラフィック情報配信方法であって、
前記トラフィック情報配信データ作成配信手段が、前記トラフィック情報配信パケットの各トラフィック情報に、前記フィルタ条件識別子及び/又は前記クラス識別子を付加することを特徴とするトラフィック情報配信方法。 - 請求項6に記載のトラフィック情報配信方法によってトラフィック情報の配信を行う前記トラフィック情報配信機器から、トラフィック情報を収集するトラフィック情報収集機器におけるトラフィック情報収集方法であって、
前記トラフィック情報収集機器が、前記トラフィック情報配信機器から収集した各トラフィック情報に付加されたクラス識別子及び/又はフィルタ条件識別子をもとに、トラフィック分析装置群の中から適切なトラフィック分析装置に対して、トラフィック情報を振り分けることを特徴とするトラフィック情報収集方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007028730A JP4246238B2 (ja) | 2007-02-08 | 2007-02-08 | トラフィック情報の配信及び収集方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007028730A JP4246238B2 (ja) | 2007-02-08 | 2007-02-08 | トラフィック情報の配信及び収集方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008193628A JP2008193628A (ja) | 2008-08-21 |
| JP4246238B2 true JP4246238B2 (ja) | 2009-04-02 |
Family
ID=39753252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007028730A Active JP4246238B2 (ja) | 2007-02-08 | 2007-02-08 | トラフィック情報の配信及び収集方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4246238B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100955208B1 (ko) | 2010-02-02 | 2010-04-29 | 주식회사 나우콤 | 고속네트워크용 패킷분산처리시스템 및 이를 이용한 고속네트워크용 패킷분산처리방법 |
| JP5480056B2 (ja) * | 2010-07-30 | 2014-04-23 | アラクサラネットワークス株式会社 | パケット転送装置、パケット転送装置管理システム及びパケット転送装置管理方法 |
| WO2013133676A1 (ko) * | 2012-03-08 | 2013-09-12 | 삼성전자 주식회사 | 무선 통신 시스템에서 무선 억세스 네트워크의 트래픽 제어 방법 및 장치 |
| JP6196262B2 (ja) * | 2015-06-18 | 2017-09-13 | ビッグローブ株式会社 | トラフィック分析システム、トラフィック情報送信方法およびプログラム |
-
2007
- 2007-02-08 JP JP2007028730A patent/JP4246238B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008193628A (ja) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103314557B (zh) | 网络系统、控制器、交换机和业务监控方法 | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| US9860154B2 (en) | Streaming method and system for processing network metadata | |
| EP3151470B1 (en) | Analytics for a distributed network | |
| JP4341413B2 (ja) | 統計収集装置を備えたパケット転送装置および統計収集方法 | |
| Callado et al. | A survey on internet traffic identification | |
| US7623466B2 (en) | Symmetric connection detection | |
| US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
| US7843827B2 (en) | Method and device for configuring a network device | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| MX2010006846A (es) | Metodo para configuracion de acls en dispositivo de red basado en informacion de flujo. | |
| JP5017440B2 (ja) | ネットワーク制御装置およびその制御方法 | |
| WO2005029751A2 (en) | Systems and methods to support quality of service in communications networks | |
| WO2014110293A1 (en) | An improved streaming method and system for processing network metadata | |
| JP4246238B2 (ja) | トラフィック情報の配信及び収集方法 | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| Liu et al. | Next generation internet traffic monitoring system based on netflow | |
| JP4871775B2 (ja) | 統計情報収集装置 | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP4643692B2 (ja) | トラヒック情報の収集方法およびトラヒック受信装置 | |
| Ehrlich et al. | Passive flow monitoring of hybrid network connections regarding quality of service parameters for the industrial automation | |
| Callado et al. | A Survey on Internet Traffic Identification and Classification | |
| Žádník | Network monitoring based on ip data flows |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4246238 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120116 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |