JP4346096B2 - Traffic data aggregating apparatus and traffic data aggregating method - Google Patents

Traffic data aggregating apparatus and traffic data aggregating method Download PDF

Info

Publication number
JP4346096B2
JP4346096B2 JP2006044726A JP2006044726A JP4346096B2 JP 4346096 B2 JP4346096 B2 JP 4346096B2 JP 2006044726 A JP2006044726 A JP 2006044726A JP 2006044726 A JP2006044726 A JP 2006044726A JP 4346096 B2 JP4346096 B2 JP 4346096B2
Authority
JP
Japan
Prior art keywords
field
aggregation
traffic data
information
operation instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006044726A
Other languages
Japanese (ja)
Other versions
JP2007228113A (en
Inventor
淳史 小林
圭介 石橋
公洋 山本
裕 廣川
仁明 坂本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2006044726A priority Critical patent/JP4346096B2/en
Publication of JP2007228113A publication Critical patent/JP2007228113A/en
Application granted granted Critical
Publication of JP4346096B2 publication Critical patent/JP4346096B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、トラフィックデータ集約装置およびトラフィックデータ集約方法に係り、特に、インターネットに代表されるネットワーク上を流れるトラフィックデータをモニタする際に、大容量化したネットワーク上のトラフィックデータを効率的に柔軟に集約する手法に関する。   The present invention relates to a traffic data aggregating apparatus and a traffic data aggregating method, and in particular, when monitoring traffic data flowing on a network typified by the Internet, the traffic data on a large-capacity network is efficiently and flexibly changed. It relates to the method of aggregation.

近年、DDoS攻撃トラフィックなどの異常トラフィックを検知する目的から、ネットワーク上に流れているトラフィックをモニタする機能(sFlow,netFlow,IPFIX)に注目が集まっている。
従来、トラフィックデータの集約は、ネットワーク機器(以下、NW機器という)内やトラフィックデータ情報収集機器内で、システム独自に実施されている。この場合、集約に使用されるキーとなる情報は、システムに依存して決められたもので、予めシステムで変更等を行うことはできない。
現在、Net Flowなどを利用して、集約したトラフィックデータを配信する機能が具備されているが、それは、システムにより固定的となっている。
また、IPFIXにて提案されている集約手法(IPFIX-aggregation)では、ユーザによって集約手法を可変可能とすることが提案されている。(下記、非特許文献1参照) In recent years, attention has been focused on functions (sFlow, netFlow, IPFIX) for monitoring traffic flowing on a network for the purpose of detecting abnormal traffic such as DDoS attack traffic.
Conventionally, the aggregation of traffic data has been performed by the system independently in a network device (hereinafter referred to as NW device) or a traffic data information collection device. In this case, the information used as a key used for aggregation is determined depending on the system, and cannot be changed in the system in advance.
Currently, a function for distributing aggregated traffic data using Net Flow or the like is provided, but this is fixed by the system.
Moreover, in the aggregation method (IPFIX-aggregation) proposed by IPFIX, it is proposed that the aggregation method can be changed by the user. (See Non-Patent Document 1 below)

なお、本願発明に関連する先行技術文献としては以下のものがある。
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9 As prior art documents related to the invention of the present application, there are the following.
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9

しかしながら、IPFIXにて提案されている集約手法(IPFIX-aggregation)は、以下の点で、十分柔軟性があるとはいえない。
(a)キー情報に指定可能な情報は、予め制限されているため、BYTE値などをもとにした統計データを算出することができない。キー情報に指定可能なフィールドは、Flow-Keyに指定されたもの以外には、指定できない。
(b)外部情報など追加情報をキー情報として、集約する手法が考えられていない。
(c)集約の際に、失われる情報を補正するための追加情報について、その生成手法について検討されていない。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィックデータ集約装置およびトラフィックデータ集約方法において、ユーザの用途に応じた柔軟なトラフィックデータの集約を可能とする技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。 However, the aggregation method (IPFIX-aggregation) proposed in IPFIX is not sufficiently flexible in the following points.
(A) Since information that can be specified as key information is limited in advance, statistical data based on the BYTE value cannot be calculated. The fields that can be specified in the key information cannot be specified other than those specified in Flow-Key.
(B) A method of collecting additional information such as external information as key information has not been considered.
(C) A method of generating additional information for correcting information lost during aggregation has not been studied.
The present invention has been made to solve the above-described problems of the prior art, and an object of the present invention is to aggregate traffic data flexibly in accordance with a user's application in a traffic data aggregation device and a traffic data aggregation method. It is to provide a technology that makes it possible.
The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、集約したトラフィックデータの各フローレコードに追加する情報を指示する補正情報追加指示テンプレートと、前記補正情報追加指示テンプレートに従い、起動されるアプリケーションプロセスと、前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約するとともに、前記補正情報追加指示テンプレートに基づき、前記アプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得する集約プロセスとを備えることを特徴とする。 Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
(1) In accordance with an aggregation instruction template for instructing an aggregation method for each flow record of traffic data, a correction information addition instruction template for instructing information to be added to each flow record of aggregated traffic data, and the correction information addition instruction template, Based on the activated application process and the aggregation instruction template, the flow records of each distributed traffic data are aggregated, and based on the correction information addition instruction template, the application process is activated, and each of the aggregated traffic data And an aggregation process for obtaining correction information to be added to the flow record .

(2)(1)において、前記集約指示テンプレートは、各フィールド単位に記述される第1ないし第3の動作指示語を含み、前記第1の動作指示語は、当該第1の動作指示語が記述されたフィールドが、フローレコードの集約の際にキー情報となるフィールドであることを表し、前記第2の動作指示語は、当該第2の動作指示語が記述されたフィールドが、フローレコードの集約の際にそのまま引き継がれるフィールドであることを表し、前記第3の動作指示語は、当該第3の動作指示語が記述されたフィールドが、フローレコードの集約の際に破棄されるフィールドであることを表す。
(3)(1)または(2)において、前記補正情報追加指示テンプレートは、各フィールド単位に記述される補正情報追加動作指示語を含み、前記補正情報追加動作指示語が記述されたフィールドには、起動されるアプリケーションプロセスを指定する情報と、引用するフィールドを指定する情報も記述される。 (2) In (1) , the aggregation instruction template includes first to third operation instruction words described in units of fields, and the first operation instruction word includes the first operation instruction word. The described field represents a field that becomes key information when the flow records are aggregated, and the second operation instruction word is the field in which the second operation instruction word is described. The third operation instruction word is a field in which the field in which the third operation instruction word is described is discarded when the flow records are aggregated. Represents that.
(3) In (1) or (2), the correction information addition instruction template includes a correction information addition operation instruction word described in each field unit, and the field in which the correction information addition operation instruction word is described Information specifying the application process to be started and information specifying the field to be cited are also described.

(4)トラフィックデータの各フローレコードに追加する情報を指示する情報追加指示テンプレートと、トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、集約したトラフィックデータの各フローレコードに追加する補正情報を指示する補正情報追加指示テンプレートと、前記情報追加指示テンプレートに従い、起動される第1のアプリケーションプロセスと、前記補正情報追加指示テンプレートに従い、起動される第2のアプリケーションプロセスと、前記情報追加指示テンプレートに基づき、前記第1のアプリケーションプロセスを起動し、配信されたトラフィックデータの各フローレコードに追加する情報を取得する情報追加プロセスと、前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約するとともに、前記補正情報追加指示テンプレートに基づき、前記第2のアプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得する集約プロセスとを備えることを特徴とする。 (4) An information addition instruction template for instructing information to be added to each flow record of traffic data, an aggregation instruction template for instructing an aggregation method of each flow record of traffic data, and an addition to each flow record of aggregated traffic data A correction information addition instruction template for instructing correction information, a first application process activated in accordance with the information addition instruction template, a second application process activated in accordance with the correction information addition instruction template, and the information addition Based on the instruction template, the first application process is started, and an information addition process for acquiring information to be added to each flow record of the distributed traffic data, and each of the distributed traffic based on the aggregation instruction template With aggregating Flow Records Kkudeta, based on the correction information addition instruction template, activating the second application process, it is provided with a aggregation process of obtaining correction information to be added to each flow record traffic data aggregation It is characterized by.

(5)トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、集約したトラフィックデータの各フローレコードに追加する補正情報を指示する補正情報追加指示テンプレートと、前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約する集約プロセスとを備えることを特徴とするトラフィックデータ集約装置のトラフィックデータ集約方法であって、前記集約プロセスは、前記補正情報追加指示テンプレートに基づき、前記アプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得し、前記取得した補正情報を、新規のフィールドに追加するとともに、前記集約指示テンプレートで指示されたフィールドをキー情報として、前記集約指示テンプレートで指示されたフィールド情報を合算、あるいは、前記集約指示テンプレートで指示されたフィールドを破棄することにより、配信された各トラフィックデータのフローレコードを集約することを特徴とする。 (5) Based on the aggregation instruction template for instructing the aggregation method of each flow record of traffic data, the correction information addition instruction template for instructing correction information to be added to each flow record of the aggregated traffic data, and the aggregation instruction template, A traffic data aggregation method of a traffic data aggregation device, comprising: an aggregation process for aggregating flow records of each distributed traffic data, wherein the aggregation process is based on the correction information addition instruction template, Starts an application process, acquires correction information to be added to each flow record of the aggregated traffic data, adds the acquired correction information to a new field, and keys the field indicated in the aggregation instruction template As broadcast, combined field information instructed by the aggregation instruction template, or by destroying the indicated fields by the aggregation instruction template, characterized by aggregating Flow Records distributed each traffic data were .

本発明では、ルータ等のネットワーク機器(以下、NW機器という)から出力されるトラフィックデータを受信し、フローレコードの追加、集約を行い、トラフィックデータを汎用的に集約する。
一般的なトラフィックデータの集約方法は、送信元IPアドレスなどの値をキー情報として、ある時間内のトラフィックデータを集約する。集約する際のカウンタ値については、BYTE量、フロー数などがこれに該当する。
これらのキー情報やカウンタ値については、システム固定に予め決められているもので、汎用性がない。例えば、BYTE量などをキー情報として、フロー数の分布などを算出することができない。
本発明では、外部情報などをもとにフロー情報に新たなフィールド値を追加する情報追加プロセスと複数のフローレコードを集約する集約プロセスの2つのプロセスにて、フロー情報の汎用的な集約機能を実現する。
各プロセスは、実行手順を指し示す指示テンプレートをもとに動作し、指示テンプレートに応じて、柔軟な集約方法を実現する。
また、集約の際に、失われる情報を補正する情報も追加する。例えば、集約の際には、カウンタ値以外の情報は、失われることが多い。即ち、集約によりある時間内のBYTE数の総計は、算出可能となるが、フロー当たりのBYTE数といった情報が失われてしまう。このような失われる情報を補正するために、例えば、1フロー当たりの平均BYTE量や1フロー当たりの最小BYTE量などが、利用できる。これについても集約プロセスが、指示テンプレートに従って、動作することで、この追加情報を生成することを可能とする。 In the present invention, traffic data output from a network device (hereinafter referred to as NW device) such as a router is received, flow records are added and aggregated, and traffic data is generalized.
A general method for aggregating traffic data aggregates traffic data within a certain period of time using values such as a source IP address as key information. As for the counter value at the time of aggregation, the amount of BYTE, the number of flows, and the like correspond to this.
These key information and counter values are determined in advance as fixed to the system, and are not versatile. For example, the distribution of the number of flows cannot be calculated using the BYTE amount or the like as key information.
In the present invention, a general aggregation function for flow information is provided in two processes, an information addition process for adding a new field value to flow information based on external information and the like and an aggregation process for aggregating a plurality of flow records. Realize.
Each process operates based on an instruction template indicating an execution procedure, and realizes a flexible aggregation method according to the instruction template.
In addition, information for correcting information lost during aggregation is also added. For example, during aggregation, information other than the counter value is often lost. That is, the total number of BYTEs within a certain time can be calculated due to aggregation, but information such as the number of BYTEs per flow is lost. In order to correct such lost information, for example, an average BYTE amount per flow or a minimum BYTE amount per flow can be used. Also in this case, the aggregation process operates according to the instruction template, so that this additional information can be generated.

本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明のトラフィックデータ集約装置およびトラフィックデータ集約方法によれば、ユーザの用途に応じた柔軟なトラフィックデータの集約が可能となる。 The effects obtained by the representative ones of the inventions disclosed in the present application will be briefly described as follows.
According to the traffic data aggregating apparatus and the traffic data aggregating method of the present invention, it is possible to aggregate traffic data flexibly according to a user's application.

以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラフィックデータ集約装置の概略構成を示すブロック図である。
図1において、1−1,1−2はアプリケーションプロセス、2は追加指示テンプレート、3は集約指示テンプレート、5は情報追加プロセス、6は集約プロセス、10−1〜10−4はNW機器、11はトラフィックデータ集約装置、12はデータベースあるいは外部トラフィック情報収集機器である。
本実施例のトラフィックデータ集約装置11は、主にトラフィック情報収集機器に実装されることを前提としているが、集約機能を具備するNW機器に実装してもよい。
NW機器(10−1〜10−4)から配信されるトラフィックデータは、ミラーリングされたパケット及びトラフィックフロー統計配信プロトコル(sFlow,netFbw,IPFIX)の情報など様々である。
NW機器(10−1〜10−4)から配信されたトラフィックデータは、トラフィックデータ集約装置11において集約され、当該集約された情報は、図1の12に示す、自システム内のデータベースに保持するか、あるいは、トラフィックフロー統計配信プロトコルで外部トラフィック情報収集機器に配信される。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In all the drawings for explaining the embodiments, parts having the same functions are given the same reference numerals, and repeated explanation thereof is omitted.
FIG. 1 is a block diagram showing a schematic configuration of a traffic data aggregating apparatus according to an embodiment of the present invention.
In FIG. 1, 1-1 and 1-2 are application processes, 2 is an addition instruction template, 3 is an aggregation instruction template, 5 is an information addition process, 6 is an aggregation process, 10-1 to 10-4 are NW devices, 11 Is a traffic data aggregating device, and 12 is a database or external traffic information collecting device.
The traffic data aggregating apparatus 11 of the present embodiment is premised on being mainly mounted on a traffic information collecting device, but may be mounted on an NW device having an aggregation function.
The traffic data distributed from the NW devices (10-1 to 10-4) includes various information such as mirrored packets and traffic flow statistics distribution protocols (sFlow, netFbw, IPFIX).
The traffic data distributed from the NW devices (10-1 to 10-4) is aggregated in the traffic data aggregating apparatus 11, and the aggregated information is held in a database in its own system indicated by 12 in FIG. Alternatively, it is distributed to an external traffic information collecting device by a traffic flow statistics distribution protocol.

本明細書でいうフローとは、トラフィックデータに関して共通な情報要素をもつデータをフローと呼ぶ。
NW機器(10−1〜10−4)から受信するフロー情報は、送信元lPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルなどをキー情報にBYTE数、パケット数などのカウンタ情報が格納されている。これらひとつのフロー情報をフローレコードといい、各情報要素をフィールドと定義する。
フロー情報を受信した情報追加プロセス5は、情報追加指示テンプレート2をもとに各フローレコードに必要とされるフィールドを追加する。
情報追加指示テンプレート2は、フィールド単位に動作指示語が設定される。情報追加指示テンプレート2の動作指示語は、”use”,”nouse”,”add”の3つである。
情報追加指示テンプレート2で、”use”が指定された場合、このフィールドで設定された値は、新たなフィールドを追加する際に、引用されることを意味する。
また、”nouse”が指定された場合は、このプロセスでは、このフィールドを参照しないことを意味する。
更に、追加する情報要素については、”add”を指定する。”add”が指定されるフィールドについては、この他、起動する別のアプリケーションプロセスの識別子が含まれており、そのアプリケーションプロセスに引用されるフィールドIDも設定される。 As used herein, a flow refers to data having information elements common to traffic data.
The flow information received from the NW device (10-1 to 10-4) is a counter such as the number of BYTEs and the number of packets using the transmission source IP address, transmission source port number, destination IP address, destination port number, protocol, etc. as key information. Information is stored. This single flow information is called a flow record, and each information element is defined as a field.
The information addition process 5 that has received the flow information adds a required field to each flow record based on the information addition instruction template 2.
In the information addition instruction template 2, an operation instruction word is set for each field. The operation instruction words of the information addition instruction template 2 are three, “use”, “nouse”, and “add”.
When “use” is specified in the information addition instruction template 2, it means that the value set in this field is quoted when a new field is added.
If “nouse” is designated, this means that this field is not referred to in this process.
Further, “add” is designated for the information element to be added. In addition to the field for which “add” is specified, an identifier of another application process to be started is included, and a field ID cited in the application process is also set.

情報追加プロセス5は、このアプリケーションプロセス(1−1)に、指定されたフィールド値を引数として渡すことで、新たな追加情報を取得することを可能とする。
また、NW機器(10−1〜10−4)から受信したフローレコード内に既に追加予定のフィールド値が含まれている場合は、情報追加指示テンプレート2に従って、指定のアプリケーションが起動され、起動結果により、情報が上書きされる。
例えば、図2に示す情報追加指示テンプレート2では、「送信元BGP NEXT-HOPアドレス」が追加されており、この追加指示の内容は、02のフィールドIDに記載の送信元IPアドレスをもとに、アプリケーション識別子がBGPSEARCHのアプリケーションプロセスを起動し、対応する経路のBGP(Border Gateway Protocol) NEXT-HOPアドレスを検索して求めることを意味している。
同様に、図2に示す情報追加指示テンプレート2には、「宛先BGP NEXT-HOPアドレス」が追加されており、この追加指示の内容は、03のフィールドIDに記載の宛先IPアドレスをもとに、対応する経路のBGP NEXT-HOPアドレスを検索して求めることを意味している。 The information addition process 5 can acquire new additional information by passing the designated field value as an argument to the application process (1-1).
When the field record to be added is already included in the flow record received from the NW device (10-1 to 10-4), the designated application is activated according to the information addition instruction template 2, and the activation result Thus, the information is overwritten.
For example, in the information addition instruction template 2 shown in FIG. 2, “transmission source BGP NEXT-HOP address” is added, and the content of this addition instruction is based on the transmission source IP address described in the field ID 02. This means that an application process whose application identifier is BGPSEARCH is started, and a BGP (Border Gateway Protocol) NEXT-HOP address of the corresponding route is searched for and obtained.
Similarly, a “destination BGP NEXT-HOP address” is added to the information addition instruction template 2 shown in FIG. 2, and the content of this addition instruction is based on the destination IP address described in the field ID 03. This means that the BGP NEXT-HOP address of the corresponding route is searched and obtained.

図2に示す情報追加指示テンプレート2により、情報が追加された場合のフロー情報を図3に示す。なお、図3において、10はNW機器である。
図3に示す例では、情報追加プロセス5が、図3の情報追加指示テンプレート2に従い、アプリケーション識別子がBGPSEARCHのアプリケーションプロセスを起動する。その際に、02のフィールドIDに記載の送信元IPアドレス=”10.10.10.10”を引数として渡すことで、送信元BGP NEXT-HOPアドレス=”30.30.30.30”を取得することが可能となる。また、宛先IPアドレスの場合も同様である。
これにより、NW機器10から配信される、7−1のフロー情報に、送信元BGP NEXT-HOPアドレスと、宛先BGP NEXT-HOPアドレスのフィールドが追加され、7−2のフロー情報が得られる。
また、既に、BYTE数というフィールド値が、NW機器10から送信される情報に含まれているにも関わらず、”add”設定されている場合には、この値を上書きする。
例えば、送信されるBYTE数を”キロBYTE”単位にして、小数点以下は四捨五入する場合の情報追加指示テンプレート2を図4に示す。また、図4に示す情報追加指示テンプレート2により、情報が追加された場合のフロー情報を図5に示す。
図4に示す例では、情報追加プロセス5が、図4の情報追加指示テンプレート2に従い、アプリケーション識別子がKBYTEのアプリケーションプロセスを起動する。その際に、05のフィールドIDに記載のBYTE数=”45907”を引数として渡すことで、”46”キロBYTEとして結果を取得する。そして、NW機器10から配信される、7−3のフロー情報に、既に設定済みのBYTE数フィールドに対して上書きすることにより、7−4のフロー情報が得られる。 FIG. 3 shows flow information when information is added by the information addition instruction template 2 shown in FIG. In FIG. 3, reference numeral 10 denotes an NW device.
In the example shown in FIG. 3, the information addition process 5 starts an application process whose application identifier is BGPSEARCH according to the information addition instruction template 2 of FIG. At that time, the source BGP NEXT-HOP address = “30.30.30.30” can be acquired by passing the source IP address = “10.10.10.10” described in the field ID of 02 as an argument. The same applies to the destination IP address.
As a result, fields of the source BGP NEXT-HOP address and the destination BGP NEXT-HOP address are added to the flow information 7-1 distributed from the NW device 10, and the flow information 7-2 is obtained.
Further, when the field value of the BYTE number is already set in the information transmitted from the NW device 10 even though it is set to “add”, this value is overwritten.
For example, FIG. 4 shows an information addition instruction template 2 in the case where the number of BYTEs to be transmitted is set to “kilo-BYTE” and rounded off after the decimal point. FIG. 5 shows flow information when information is added by the information addition instruction template 2 shown in FIG.
In the example shown in FIG. 4, the information addition process 5 starts an application process whose application identifier is KBYTE according to the information addition instruction template 2 of FIG. At this time, the result is acquired as “46” kilobytes by passing the BYTE number = “45907” described in the field ID of 05 as an argument. Then, the flow information 7-4 is obtained by overwriting the already set BYTE number field to the flow information 7-3 distributed from the NW device 10.

本明細書では、複数のフローレコードを集約することによって、生成される新たなレコードを集約フローレコードと呼ぶ。
フロー情報を引き継いだ集約プロセス6は、集約指示テンプレート3をもとに各フローレコードを集約する。
図6に示すように、集約指示テンプレート3は、フィールド単位に動作指示語が設定される。集約指示テンプレート3の動作指示語は、”key”,”keep”,”discard”の3つである。
集約指示テンプレート3で、”key”が指定された場合は、このフィールドで設定された値は、集約フローレコードのキー情報となることを意味する。
例えば、IPアドレスフィールドと、プレフィックスフィールドの両方が、”key”と指定された場合には、IPアドレスにプレフィックをマスクして、そのマスクされた値が、キー情報として利用される。
また、”keep”が指定された場合には、そのフィールド値は、集約フローレコードにおいてもそのまま引き継がれる。 In this specification, a new record generated by aggregating a plurality of flow records is referred to as an aggregated flow record.
The aggregation process 6 that has inherited the flow information aggregates each flow record based on the aggregation instruction template 3.
As shown in FIG. 6, in the aggregation instruction template 3, operation instruction words are set for each field. The operation instruction words of the aggregation instruction template 3 are three, “key”, “keep”, and “discard”.
When “key” is designated in the aggregation instruction template 3, it means that the value set in this field becomes key information of the aggregation flow record.
For example, when both the IP address field and the prefix field are designated as “key”, the prefix is masked on the IP address, and the masked value is used as key information.
When “keep” is designated, the field value is inherited as it is in the aggregated flow record.

”keep”で指定されたフィールド値がカウンタであれば、合算して引き継がれ、追加情報などの場合には、そのままの情報が引き継がれる。引き継ぐべき情報が、被集約フローレコード内で、一致しない場合、無効値が設定されることとする。
”discard”が指定された場合には、そのフィールドは、集約プロセス6内で破棄される。
図6に、送信元IPアドレスをプレフィック値でマスクして、この値を集約キーとする場合の集約指示テンプレート3の設定例を示す。
図6に示す集約指示テンプレート3により、情報が集約された場合の集約フロー情報を図7に示す。
図7では、集約プロセス6が、NW機器10から配信される、7−5、7−6のフロー情報に対して、送信元IPアドレス、宛先IPアドレス、送信元プレフィックス値、宛先プレフィックス値をキー情報として、BYTE数、PACKET数を合算する。これにより、7−8のフロー情報が得られる。 If the field value specified by “keep” is a counter, it is added and inherited. In the case of additional information, the information is inherited as it is. If the information to be taken over does not match in the aggregated flow record, an invalid value is set.
If “discard” is specified, the field is discarded in the aggregation process 6.
FIG. 6 shows a setting example of the aggregation instruction template 3 when the transmission source IP address is masked with a prefix value and this value is used as the aggregation key.
FIG. 7 shows aggregation flow information when information is aggregated by the aggregation instruction template 3 shown in FIG.
In FIG. 7, the aggregation process 6 uses the source IP address, the destination IP address, the source prefix value, and the destination prefix value as keys for the flow information 7-5 and 7-6 distributed from the NW device 10. As information, the number of BYTEs and the number of PACKETs are added together. Thereby, the flow information 7-8 is obtained.

本実施例では、集約を実施する際に、損失する情報を補正するためにフィールドを追加する機能を有する。この機能は、集約プロセス6の集約過程の中で、補正情報追加指示テンプレート4をもとに各フローレコードに必要とされるフィールドを追加する。
補正情報追加指示テンプレート4は、フィールド単位に動作指示語が設定される。補正情報追加指示テンプレート4の動作指示語は、”use”,”nouse”,”add”の3つである。
補正情報追加指示テンプレート4で、”use”が指定された場合、このフィールドで設定された値は、新たなフィールドを追加する際に、引用されることを意味する。
また、”nouse”が指定された場合は、このプロセスでは、このフィールドを参照しないことを意味する。
更に、追加する情報要素については、”add”を指定する。”add”が指定されるフィールドについては、この他、起動する別のアプリケーション識別子が、含まれており、そのアプリケーションに引用されるフィールドlDも設定される。
引数として指定される情報は、ここで指定されるフィールドIDの他に、集約フローレコードのキー情報も含まれる。 The present embodiment has a function of adding a field to correct lost information when performing aggregation. This function adds a field required for each flow record based on the correction information addition instruction template 4 during the aggregation process of the aggregation process 6.
In the correction information addition instruction template 4, an operation instruction word is set for each field. The operation instruction words of the correction information addition instruction template 4 are “use”, “nouse”, and “add”.
When “use” is designated in the correction information addition instruction template 4, it means that the value set in this field is quoted when a new field is added.
If “nouse” is designated, this means that this field is not referred to in this process.
Further, “add” is designated for the information element to be added. In addition to the field for which “add” is specified, another application identifier to be activated is included, and a field ID referred to by the application is also set.
The information specified as an argument includes key information of the aggregated flow record in addition to the field ID specified here.

補正することを目的に追加されるフィールドとしては、以下のような例が挙げられる。
(1)フローカウント数(集約フローレコード内の被集約フロー数)
(2)平均ACTIVE TIME(集約フローレコード内の被集約フローの平均ACTIVE時間)
(3)最小ACTIVE TIME(集約フローレコード内の被集約フローの最小ACTIVE時間)
(4)最大ACTIVE TIME(集約フローレコード内の被集約フローの最大ACTIVE時間)
(5)SYNカウント数(TCP Flagなどの情報をもとにSYNフラグが設定されていたフロー数)
(6)ACKカウント数(TCP Flagなどの情報をもとにACKフラグが設定されていたフロー数)
(7)PSHカウント数(TCP Flagなどの情報をもとにPSHフラグが設定されていたフロー数)
(8)FINカウント数(TCP Flagなどの情報をもとにFINフラグが設定されていたフロー数)
(9)RSTカウント数(TCP Flagなどの情報をもとにRSTフラグが設定されていたフロー数)
図8は、補正情報追加指示テンプレート4の一例を示す図である。
図8に示す例では、集約プロセス6が、例えば、アプリケーション識別子がAVE-ACTIVEのアプリケーションプロセスを起動する。その際に、12、13のフィールドIDに記載の、フロー開始時間、フロー終了時間を引数として渡すことで、フロー開始時間、フロー終了時間をもとに、集約対象となったフローレコード内の平均ACTIVE-TIMEを求めることができる。また、集約対象となったフローレコード内の最小ACTIVE-TIMEを求める場合も同様である。 Examples of fields added for the purpose of correction include the following.
(1) Flow count (number of aggregated flows in the aggregated flow record)
(2) Average ACTIVE TIME (Average ACTIVE time of aggregated flows in the aggregated flow record)
(3) Minimum ACTIVE TIME (Minimum ACTIVE time of aggregated flows in the aggregated flow record)
(4) Maximum ACTIVE TIME (Maximum active time of aggregated flows in the aggregated flow record)
(5) SYN count (number of flows for which SYN flag was set based on information such as TCP Flag)
(6) ACK count (number of flows for which ACK flag was set based on information such as TCP Flag)
(7) PSH count (the number of flows for which the PSH flag was set based on information such as TCP Flag)
(8) FIN count (the number of flows for which the FIN flag was set based on information such as TCP Flag)
(9) RST count (number of flows for which the RST flag was set based on information such as TCP Flag)
FIG. 8 is a diagram illustrating an example of the correction information addition instruction template 4.
In the example shown in FIG. 8, the aggregation process 6 starts an application process whose application identifier is AVE-ACTIVE, for example. At that time, by passing the flow start time and flow end time described in the field IDs of 12 and 13 as arguments, the average in the flow records targeted for aggregation based on the flow start time and flow end time You can ask for ACTIVE-TIME. The same applies to the determination of the minimum ACTIVE-TIME in the flow record that is the aggregation target.

個々のホスト間の通信量を把握するためには、送信元IPアドレス−宛先IPアドレスをキー情報として、集約する必要がある。但し、この条件で集約を行った場合、送信元IPアドレス−宛先Pアドレスの組み合わせは、相当量に達するため、効果的にフローレコード数を削減できない。
この場合、送信元IPアドレス及び宛先IPアドレスのハッシュ値を求めて、ハッシュ値をキー情報とした集約を行えば、フローレコード数の削減及び個々のホスト間の通信量を把握といった目的を達成できる。
また、集約により個々のフロー情報を補正する目的で、平均ACTIVE TIME、最小ACTIVE TIMEを追加する場合について説明する。
図9に、本ケースの場合の情報追加指示テンプレート2を、図10に、本ケースの場合の集約指示テンプレート3を、図11に、本ケースの場合の補正情報追加指示テンプレート4を示す。
また、図12に、図9に示す情報追加指示テンプレート2、図10に示す集約指示テンプレート3、図11に示す補正情報追加指示テンプレート4により生成されるフロー情報を示す。 In order to grasp the communication amount between individual hosts, it is necessary to aggregate the source IP address and the destination IP address as key information. However, when aggregation is performed under these conditions, the number of flow records cannot be effectively reduced because the combination of the source IP address and the destination P address reaches a considerable amount.
In this case, if the hash values of the source IP address and the destination IP address are obtained and aggregation is performed using the hash values as key information, the purpose of reducing the number of flow records and grasping the communication amount between individual hosts can be achieved. .
In addition, a case where an average ACTIVE TIME and a minimum ACTIVE TIME are added for the purpose of correcting individual flow information by aggregation will be described.
FIG. 9 shows an information addition instruction template 2 in this case, FIG. 10 shows an aggregation instruction template 3 in this case, and FIG. 11 shows a correction information addition instruction template 4 in this case.
FIG. 12 shows flow information generated by the information addition instruction template 2 shown in FIG. 9, the aggregation instruction template 3 shown in FIG. 10, and the correction information addition instruction template 4 shown in FIG.

情報追加プロセス5において、情報追加プロセス5が、図9の情報追加指示テンプレート2に従い、アプリケーション識別子がHASHのアプリケーションプロセス(1−5)を起動する。それにより、NW機器10から配信される、7−9のフロー情報に、ハッシュ(送信元IPアドレス)とハッシュ(宛先IPアドレス)のフィールドが追加され、7−10のフロー情報が得られる。
また、集約プロセス6が、図10の集約指示テンプレート3に従い、ハッシュ(送信元IPアドレス)とハッシュ(宛先IPアドレス)をキー情報として、BYTE数、PACKET数を合算する。
さらに、図11の補正情報追加指示テンプレート4に従い、アプリケーション識別子がAVE-ACTIVEのアプリケーションプロセス(1−6)と、アプリケーション識別子がMIN-ACTIVEのアプリケーションプロセス(1−7)を起動する。これにより、集約対象となったフローレコード内の平均ACTIVE TIMEと、最小ACTIVE TIMEを求め、7−11のフロー情報が得られる。 In the information addition process 5, the information addition process 5 starts the application process (1-5) whose application identifier is HASH according to the information addition instruction template 2 of FIG. As a result, the fields of hash (source IP address) and hash (destination IP address) are added to the flow information 7-9 distributed from the network device 10, and the flow information 7-10 is obtained.
Further, the aggregation process 6 adds the BYTE number and the PACKET number using the hash (source IP address) and the hash (destination IP address) as key information according to the aggregation instruction template 3 of FIG.
Furthermore, according to the correction information addition instruction template 4 of FIG. 11, an application process (1-6) with an application identifier AVE-ACTIVE and an application process (1-7) with an application identifier MIN-ACTIVE are started. Thereby, the average ACTIVE TIME and the minimum ACTIVE TIME in the flow records to be aggregated are obtained, and the flow information 7-11 is obtained.

以上説明したように、本実施例によれば、指示テンプレート(2,3,4)をもとに各プロセスが動作することで、ユーザが任意に考えた集約手法を構築することが可能となる。
この指示テンプレートは、SNMPで利用されるMIBとするか、システムによって変更可能とするconfiguration情報等にするなど、予めユーザによって、定義されるものである。
本実施例により、効率的で、柔軟な集約手法が実装されることで、動的に集約の方法を変更することが可能となり、設備設計の把握、異常トラフィックの検知等様々な用途で利用されるトラフィック監視機能において特に有益となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 As described above, according to the present embodiment, each process operates based on the instruction template (2, 3, 4), so that it is possible to construct an aggregation method arbitrarily thought by the user. .
This instruction template is defined in advance by the user, such as MIB used in SNMP or configuration information that can be changed by the system.
By implementing an efficient and flexible aggregation method according to this embodiment, it is possible to dynamically change the aggregation method, and it can be used for various purposes such as grasping equipment design and detecting abnormal traffic. This is particularly useful for traffic monitoring functions.
As mentioned above, the invention made by the present inventor has been specifically described based on the above embodiments. However, the present invention is not limited to the above embodiments, and various modifications can be made without departing from the scope of the invention. Of course.

本発明の実施例のトラフィックデータ集約装置の概略構成を示すブロック図である。It is a block diagram which shows schematic structure of the traffic data aggregation apparatus of the Example of this invention. 本発明の実施例の情報追加指示テンプレートの一例を示す図である。It is a figure which shows an example of the information addition instruction | indication template of the Example of this invention. 図2に示す情報追加指示テンプレートにより、情報が追加された場合のフロー情報を示す図である。It is a figure which shows the flow information when information is added by the information addition instruction | indication template shown in FIG. 本発明の実施例の情報追加指示テンプレートの他の例を示す図である。It is a figure which shows the other example of the information addition instruction | indication template of the Example of this invention. 図4に示す情報追加指示テンプレートにより、情報が追加された場合のフロー情報を示す図である。It is a figure which shows the flow information when information is added by the information addition instruction | indication template shown in FIG. 本発明の実施例の集約指示テンプレートの一例を示す図である。It is a figure which shows an example of the aggregation instruction | indication template of the Example of this invention. 図6に示す集約指示テンプレートにより、情報が集約された場合の集約フロー情報を示す図である。FIG. 7 is a diagram illustrating aggregation flow information when information is aggregated according to the aggregation instruction template illustrated in FIG. 6. 本発明の実施例の補正情報追加指示テンプレートの一例を示す図である。It is a figure which shows an example of the correction information addition instruction | indication template of the Example of this invention. 本発明の実施例のトラフィックデータ集約装置の一例の情報追加指示テンプレートを示す図である。It is a figure which shows the information addition instruction | indication template of an example of the traffic data aggregation apparatus of the Example of this invention. 本発明の実施例のトラフィックデータ集約装置の一例の集約指示テンプレートを示す図である。It is a figure which shows the aggregation instruction | indication template of an example of the traffic data aggregation apparatus of the Example of this invention. 本発明の実施例のトラフィックデータ集約装置の一例の補正情報追加指示テンプレートを示す図である。It is a figure which shows the correction information addition instruction | indication template of an example of the traffic data aggregation apparatus of the Example of this invention. 図9に示す情報追加指示テンプレート、図10に示す集約指示テンプレート、図11に示す補正情報追加指示テンプレートにより生成されるフロー情報を示す図である。FIG. 11 is a diagram illustrating flow information generated by the information addition instruction template illustrated in FIG. 9, the aggregation instruction template illustrated in FIG. 10, and the correction information addition instruction template illustrated in FIG. 11.

符号の説明Explanation of symbols

1−1〜1−7 アプリケーションプロセス
2 追加指示テンプレート
3 集約指示テンプレート
5 情報追加プロセス
6 集約プロセス
7−1〜7−11 フローレコード
10,10−1〜10−4 ネットワーク機器
11 トラフィックデータ集約装置
12 データベースあるいは外部トラフィック情報収集機器 1-1 to 1-7 Application Process 2 Addition Instruction Template 3 Aggregation Instruction Template 5 Information Addition Process 6 Aggregation Process 7-1 to 7-11 Flow Record 10, 10-1 to 10-4 Network Device 11 Traffic Data Aggregation Device 12 Database or external traffic information collection device

Claims (3)

トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、集約したトラフィックデータの各フローレコードに追加する情報を指示する補正情報追加指示テンプレートと、
前記補正情報追加指示テンプレートに従い、起動されるアプリケーションプロセスと、
前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約するとともに、前記補正情報追加指示テンプレートに基づき、前記アプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得する集約プロセスとを備え、
前記集約指示テンプレートは、各フィールド単位に記述される第1ないし第3の動作指示語を含み、
前記第1の動作指示語は、当該第1の動作指示語が記述されたフィールドが、フローレコードの集約の際にキー情報となるフィールドであることを表し、
前記第2の動作指示語は、当該第2の動作指示語が記述されたフィールドが、フローレコードの集約の際にそのまま引き継がれるフィールドであることを表し、
前記第3の動作指示語は、当該第3の動作指示語が記述されたフィールドが、フローレコードの集約の際に破棄されるフィールドであることを表すものであり、
前記補正情報追加指示テンプレートは、各フィールド単位に記述される補正情報追加動作指示語を含み、
前記補正情報追加動作指示語が記述されたフィールドには、起動されるアプリケーションプロセスを指定する情報と、引用するフィールドを指定する情報が記述されること、
を特徴とするトラフィックデータ集約装置。 An aggregation instruction template for instructing how to aggregate each flow record of traffic data, a correction information addition instruction template for instructing information to be added to each flow record of aggregated traffic data,
In accordance with the correction information addition instruction template, an application process that is started,
Based on the aggregation instruction template, the flow records of the distributed traffic data are aggregated, and the application process is activated based on the correction information addition instruction template to add to the flow records of the aggregated traffic data. and a aggregation process of obtaining,
The aggregation instruction template includes first to third operation instruction words described in each field unit,
The first operation instruction word represents that the field in which the first operation instruction word is described is a field that becomes key information when the flow records are aggregated,
The second operation instruction word represents that the field in which the second operation instruction word is described is a field that is directly inherited when the flow records are aggregated,
The third operation instruction word represents that the field in which the third operation instruction word is described is a field that is discarded when the flow records are aggregated.
The correction information addition instruction template includes a correction information addition operation instruction word described in each field unit,
In the field in which the correction information addition operation instruction word is described, information specifying an application process to be started and information specifying a field to be cited are described;
A traffic data aggregating device. トラフィックデータの各フローレコードに追加する情報を指示する情報追加指示テンプレートと、
トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、
集約したトラフィックデータの各フローレコードに追加する補正情報を指示する補正情報追加指示テンプレートと、
前記情報追加指示テンプレートに従い、起動される第1のアプリケーションプロセスと、
前記補正情報追加指示テンプレートに従い、起動される第2のアプリケーションプロセスと、
前記情報追加指示テンプレートに基づき、前記第1のアプリケーションプロセスを起動し、配信されたトラフィックデータの各フローレコードに追加する情報を取得する情報追加プロセスと、
前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約するとともに、前記補正情報追加指示テンプレートに基づき、前記第2のアプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得する集約プロセスとを備え、
前記集約指示テンプレートは、各フィールド単位に記述される第1ないし第3の動作指示語を含み、
前記第1の動作指示語は、当該第1の動作指示語が記述されたフィールドが、フローレコードの集約の際にキー情報となるフィールドであることを表し、
前記第2の動作指示語は、当該第2の動作指示語が記述されたフィールドが、フローレコードの集約の際にそのまま引き継がれるフィールドであることを表し、
前記第3の動作指示語は、当該第3の動作指示語が記述されたフィールドが、フローレコードの集約の際に破棄されるフィールドであることを表すものであり、
前記補正情報追加指示テンプレートは、各フィールド単位に記述される補正情報追加動作指示語を含み、
前記補正情報追加動作指示語が記述されたフィールドには、起動されるアプリケーションプロセスを指定する情報と、引用するフィールドを指定する情報が記述されること、
を特徴とするトラフィックデータ集約装置。 An information addition instruction template for instructing information to be added to each flow record of traffic data;
An aggregation instruction template that indicates how to aggregate each flow record of traffic data;
A correction information addition instruction template for instructing correction information to be added to each flow record of the aggregated traffic data;
A first application process to be started in accordance with the information addition instruction template;
A second application process to be started in accordance with the correction information addition instruction template;
An information addition process for starting the first application process based on the information addition instruction template and acquiring information to be added to each flow record of the distributed traffic data;
Based on the aggregation instruction template, the flow records of each distributed traffic data are aggregated, and based on the correction information addition instruction template, the second application process is started and added to each flow record of the aggregated traffic data. and a aggregation process of obtaining correction information,
The aggregation instruction template includes first to third operation instruction words described in each field unit,
The first operation instruction word represents that the field in which the first operation instruction word is described is a field that becomes key information when the flow records are aggregated,
The second operation instruction word represents that the field in which the second operation instruction word is described is a field that is directly inherited when the flow records are aggregated,
The third operation instruction word represents that the field in which the third operation instruction word is described is a field that is discarded when the flow records are aggregated.
The correction information addition instruction template includes a correction information addition operation instruction word described in each field unit,
In the field in which the correction information addition operation instruction word is described, information specifying an application process to be started and information specifying a field to be cited are described;
A traffic data aggregating device. トラフィックデータの各フローレコードの集約方法を指示する集約指示テンプレートと、
集約したトラフィックデータの各フローレコードに追加する補正情報を指示する補正情報追加指示テンプレートと、
前記集約指示テンプレートに基づき、配信された各トラフィックデータのフローレコードを集約する集約プロセスとを備えることを特徴とするトラフィックデータ集約装置のトラフィックデータ集約方法であって、
前記集約指示テンプレートは、各フィールド単位に記述される第1ないし第3の動作指示語を含み、
前記第1の動作指示語は、当該第1の動作指示語が記述されたフィールドが、フローレコードの集約の際にキー情報となるフィールドであることを表し、
前記第2の動作指示語は、当該第2の動作指示語が記述されたフィールドが、フローレコードの集約の際にそのまま引き継がれるフィールドであることを表し、
前記第3の動作指示語は、当該第3の動作指示語が記述されたフィールドが、フローレコードの集約の際に破棄されるフィールドであることを表すものであり、
前記補正情報追加指示テンプレートは、各フィールド単位に記述される補正情報追加動作指示語を含み、
前記補正情報追加動作指示語が記述されたフィールドには、起動されるアプリケーションプロセスを指定する情報と、引用するフィールドを指定する情報が記述されており、
前記集約プロセスは、前記補正情報追加指示テンプレートに基づき、前記アプリケーションプロセスを起動し、集約したトラフィックデータの各フローレコードに追加する補正情報を取得し、前記取得した補正情報を、新規のフィールドに追加するとともに、前記集約指示テンプレートで指示されたフィールドをキー情報として、前記集約指示テンプレートで指示されたフィールド情報を合算、あるいは、前記集約指示テンプレートで指示されたフィールドを破棄することにより、配信された各トラフィックデータのフローレコードを集約することを特徴とするトラフィックデータ集約方法。

An aggregation instruction template that indicates how to aggregate each flow record of traffic data;
A correction information addition instruction template for instructing correction information to be added to each flow record of the aggregated traffic data;
A traffic data aggregation method for a traffic data aggregation device, comprising: an aggregation process for aggregating flow records of each distributed traffic data based on the aggregation instruction template,
The aggregation instruction template includes first to third operation instruction words described in each field unit,
The first operation instruction word represents that the field in which the first operation instruction word is described is a field that becomes key information when the flow records are aggregated,
The second operation instruction word represents that the field in which the second operation instruction word is described is a field that is directly inherited when the flow records are aggregated,
The third operation instruction word represents that the field in which the third operation instruction word is described is a field that is discarded when the flow records are aggregated.
The correction information addition instruction template includes a correction information addition operation instruction word described in each field unit,
In the field in which the correction information addition operation instruction word is described, information specifying an application process to be started and information specifying a field to be cited are described,
The aggregation process starts the application process based on the correction information addition instruction template, acquires correction information to be added to each flow record of the aggregated traffic data, and adds the acquired correction information to a new field. In addition, the field indicated by the aggregation instruction template is used as key information, the field information indicated by the aggregation instruction template is added together, or the field indicated by the aggregation instruction template is discarded. A traffic data aggregation method characterized by aggregating flow records of each traffic data.

JP2006044726A 2006-02-22 2006-02-22 Traffic data aggregating apparatus and traffic data aggregating method Active JP4346096B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006044726A JP4346096B2 (en) 2006-02-22 2006-02-22 Traffic data aggregating apparatus and traffic data aggregating method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006044726A JP4346096B2 (en) 2006-02-22 2006-02-22 Traffic data aggregating apparatus and traffic data aggregating method

Publications (2)

Publication Number Publication Date
JP2007228113A JP2007228113A (en) 2007-09-06
JP4346096B2 true JP4346096B2 (en) 2009-10-14

Family

ID=38549500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006044726A Active JP4346096B2 (en) 2006-02-22 2006-02-22 Traffic data aggregating apparatus and traffic data aggregating method

Country Status (1)

Country Link
JP (1) JP4346096B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5892248B2 (en) * 2012-07-13 2016-03-23 日本電気株式会社 Centralized metering device, centralized metering method, and centralized metering program

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5014282B2 (en) * 2008-08-06 2012-08-29 アラクサラネットワークス株式会社 Communication data statistics apparatus, communication data statistics method and program
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5892248B2 (en) * 2012-07-13 2016-03-23 日本電気株式会社 Centralized metering device, centralized metering method, and centralized metering program

Also Published As

Publication number Publication date
JP2007228113A (en) 2007-09-06

Similar Documents

Publication Publication Date Title
Claise Rfc 3954: Cisco systems netflow services export version 9
US11888651B2 (en) Virtual private network VPN service optimization method and device
JP5958570B2 (en) Network system, controller, switch, and traffic monitoring method
US9584531B2 (en) Out-of band IP traceback using IP packets
JP4267633B2 (en) Network system and traffic information aggregating apparatus
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
US7995477B2 (en) Collecting network traffic information
JP4658098B2 (en) Flow information limiting apparatus and method
US20090168648A1 (en) Method and System for Annotating Network Flow Information
US11973795B2 (en) BGP message sending method, BGP message receiving method, and device
US11070386B2 (en) Controlling an aggregate number of unique PIM joins in one or more PIM join/prune messages received from a PIM neighbor
US8964763B2 (en) Inter-router communication method and module
JP4346096B2 (en) Traffic data aggregating apparatus and traffic data aggregating method
CN103457803A (en) Device and method for recognizing P2P flow
JP2010193083A (en) Communication system, and communication method
Durresi et al. Efficient and secure autonomous system based traceback
CN106789705B (en) Method and device for transmitting control message
JP2012160941A (en) Information processing device, information processing method and program
JP6746541B2 (en) Transfer system, information processing device, transfer method, and information processing method
JP2011049757A (en) Flow information generator, storage method and program
WO2015161552A1 (en) Method and device for traffic policing based on token bucket
Long et al. Research on DPM Algorithm Based on Abnormal Flow in IPv6 Network
Carpinteiro et al. Chain-of-Trust Packet Marking
Jain Introduction to OpenFlow
Upadhaya Netflow, Flow-tools tutorial

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080819

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081016

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090317

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090514

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090625

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090709

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090713

R151 Written notification of patent or utility model registration

Ref document number: 4346096

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120724

Year of fee payment: 3

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090909

A072 Dismissal of procedure [no reply to invitation to correct request for examination]

Free format text: JAPANESE INTERMEDIATE CODE: A072

Effective date: 20100119

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130724

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350