JP4425255B2 - Network monitoring system, network monitoring method, and network monitoring program - Google Patents

Network monitoring system, network monitoring method, and network monitoring program Download PDF

Info

Publication number
JP4425255B2
JP4425255B2 JP2006264966A JP2006264966A JP4425255B2 JP 4425255 B2 JP4425255 B2 JP 4425255B2 JP 2006264966 A JP2006264966 A JP 2006264966A JP 2006264966 A JP2006264966 A JP 2006264966A JP 4425255 B2 JP4425255 B2 JP 4425255B2
Authority
JP
Japan
Prior art keywords
information
route information
route
observation
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006264966A
Other languages
Japanese (ja)
Other versions
JP2008085812A (en
Inventor
卓彦 三浦
和英 土屋
喜胤 橘
正男 四本木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2006264966A priority Critical patent/JP4425255B2/en
Publication of JP2008085812A publication Critical patent/JP2008085812A/en
Application granted granted Critical
Publication of JP4425255B2 publication Critical patent/JP4425255B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムに関し、例えば、広帯域ネットワークのトラフィックを多地点で観測する多地点広帯域トラフィックを測定するネットワーク監視システムに適用し得る。   The present invention relates to a network monitoring system, a network monitoring method, and a network monitoring program. For example, the present invention can be applied to a network monitoring system that measures multi-point broadband traffic that observes traffic of a broadband network at multiple points.

近年、ネットワーク技術の発展に伴い、その重要性が高まり、ネットワークシステムが社会基盤として浸透している。その一方で、高度化・複雑化した新しいウィルスが日々発生しており、ウィルス感染等の脅威がネットワーク障害を引き起こし、その被害はネットワークの規模に応じて大きくなる。そこで、ネットワークのトラフィックを監視し、異常を検出するシステムが強く望まれている。   In recent years, with the development of network technology, its importance has increased, and network systems have penetrated as social infrastructure. On the other hand, new and sophisticated viruses are generated every day. Threats such as virus infections cause network failures, and the damage increases with the scale of the network. Therefore, a system that monitors network traffic and detects anomalies is strongly desired.

従来、ネットワークにおける異常を検出するシステムとして、特許文献1に示す技術がある。   Conventionally, there is a technique disclosed in Patent Document 1 as a system for detecting an abnormality in a network.

特許文献1には、ネットワーク内に配置された複数の監視対象機器から内部におけるトラフィック流量情報を取得し、正常なトラフィックと、正常でないトラフィックの総量とを比較し、正常でないトラフィックの総量が所定の比率を超えた場合に異常と判定する障害検出装置が記載されている。   In Patent Literature 1, internal traffic flow information is acquired from a plurality of monitoring target devices arranged in a network, normal traffic is compared with the total amount of abnormal traffic, and the total amount of abnormal traffic is predetermined. A failure detection device that determines an abnormality when the ratio is exceeded is described.

特開2005−72723号公報JP 2005-72723 A

ところで、AS(Autonomous System)単位や動的に通信経路を変更するネットワーク単位のトラフィック情報を収集装置が収集し、これら収集装置が収集したトラフィック情報に基づいて、大規模なネットワークのトラフィックを観測する多地点広帯域トラフィック監視システムがある。   By the way, the collection device collects traffic information in AS (Autonomous System) units or network units that dynamically change communication paths, and observes traffic on a large-scale network based on the traffic information collected by these collection devices. There is a multipoint broadband traffic monitoring system.

このような多地点広帯域トラフィック観測システムにおいては、通信トラフィックの経路が動的に変化するため、各収集装置がAS単位等のトラフィックを静的に収集しようとすると、トラフィック量の少ない場合においても、通常の場合と同様の処理を行う必要があるので、収集装置の処理負荷が大きくなってしまう。   In such a multi-point wideband traffic observation system, the path of communication traffic changes dynamically. Therefore, if each collection device attempts to statically collect traffic such as AS units, even when the traffic volume is small, Since it is necessary to perform the same processing as in a normal case, the processing load on the collection device increases.

また、特定事象がトラフィック内で生じた場合、経路変更によって監視ポイントを変更し追跡し、特定事象の分析や解析をすることが望まれる。   In addition, when a specific event occurs in traffic, it is desired to change and track a monitoring point by changing a route and analyze or analyze the specific event.

そのため、上記課題を踏まえ、経路情報の変化に動的に対応するトラフィック観測を行なうことで、経路情報の変化に追従したトラフィック観測を可能とし、効率的かつ精度の高いトラフィックフローの分析を実現するネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムが求められている。   Therefore, based on the above issues, traffic observation that dynamically responds to changes in route information enables traffic observation that follows changes in route information, enabling efficient and highly accurate traffic flow analysis. There is a need for a network monitoring system, a network monitoring method, and a network monitoring program.

かかる課題を解決するために、第1の本発明のネットワーク監視システムは、自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視システムであって、(1)各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する複数の収集手段と、(2)各収集手段により収集された収集情報を受け取り、観測設定に従って各収集情報を集計する集計手段と、(3)各自律システムの接続機器間で交換される経路情報を収集する複数の経路情報収集手段と、(4)各経路情報収集手段から各経路情報を受け取り、各経路情報を保持する経路情報保持手段と、(5)経路情報保持手段を監視し、経路情報の変化を検出する動的変化検出手段と、(6)動的変化検出手段により経路情報の動的変化が検出されると、集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定を指示する観測設定指示手段とを備えることを特徴とする。 In order to solve this problem, the network monitoring system according to the first aspect of the present invention is a network that monitors traffic in a network that includes a plurality of autonomous systems that can set route information according to an autonomous routing policy. A monitoring system comprising: (1) a plurality of collecting means for acquiring communication data flowing on a connection line between connected devices connecting between each autonomous system and collecting traffic information of an observation target set for observation; (2) Aggregation means for receiving collection information collected by each collection means and totaling each collection information according to the observation setting; (3) Multiple routes for collecting route information exchanged between connected devices of each autonomous system Information collection means, and (4) route information holding means for receiving each route information from each route information collecting means and holding each route information , (5) a routing information holding means to monitor the dynamic change detecting means for detecting a change of the routing information, the dynamic change of the routing information is detected by (6) dynamic change detecting means, the collecting unit Recognize changed routes and dynamically change the acquisition contents of observation settings according to the dynamic change of the route information for the collection means that observes the traffic information of the changed route that has changed dynamically characterized in that it comprises a monitoring setting instruction means for instructing the observation setting instructing.

第2の本発明のネットワーク監視方法は、自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視方法であって、(1)複数の収集手段が、各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する収集工程と、(2)集計手段が、各収集手段により収集された収集情報を受け取り、観測設定に従って上記各収集情報を集計する集計工程と、(3)経路情報収集手段が、各自律システムの接続機器間で交換される経路情報を収集する経路情報収集工程と、(4)経路情報保持手段が、経路情報収集手段から各経路情報を受け取り、各経路情報を保持する経路情報保持工程と、(5)動的変化検出手段が、経路情報保持手段を監視し、経路情報の変化を検出する動的変化検出工程と、(6)観測設定指示手段が、動的変化検出手段により経路情報の動的変化が検出されると、集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定を指示する観測設定指示工程とを備えることを特徴とする。 A network monitoring method according to a second aspect of the present invention is a network monitoring method for monitoring traffic on a network configured by including a plurality of autonomous systems capable of setting route information according to an autonomous routing policy. ) A collection process in which a plurality of collection means acquire communication data flowing on connection lines between connected devices that connect each autonomous system, and collect traffic information of observation targets that are set for observation; (2) aggregation A means for receiving the collected information collected by each collecting means and totaling the collected information according to the observation setting; and (3) a route in which the route information collecting means is exchanged between connected devices of each autonomous system. a route information collection process to gather information, and (4) route information holding means receives the route information from the route information collection unit, each path information A path information holding step, (5) a dynamic change detecting unit that monitors the path information holding unit and detects a change in path information, and (6) an observation setting instruction unit When a dynamic change in the route information is detected by the automatic change detection unit, the route information is recognized by the collection unit that recognizes the changed route by the aggregation unit and observes the traffic information of the changed route that has changed dynamically. An observation setting instructing step for instructing the observation setting for instructing to dynamically change the acquisition content of the observation setting in accordance with the dynamic change of the observation setting.

第3の本発明のネットワーク監視プログラムは、自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視プログラムであって、各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する複数の収集手段と、ネットワークを介して接続する統合管理装置を、()各収集手段により収集された収集情報を受け取り、観測設定に従って各収集情報を集計する集計手段、()各自律システムの接続機器間で交換される経路情報を収集する経路情報収集手段、(3)経路情報収集手段から各経路情報を受け取り、各経路情報を保持する経路情報保持手段、()経路情報保持手段を監視し、経路情報の変化を検出する動的変化検出手段、()動的変化検出手段により経路情報の動的変化が検出されると、集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定を指示する観測設定指示手段として機能させるプログラムである。 Network monitoring program of the third aspect of the present invention is a network monitoring program for monitoring the traffic of a network formed has a plurality of autonomous systems can set route information by autonomous routing policy, each autonomous An integrated management device that acquires communication data that flows on the connection line between connected devices that connect systems and collects traffic information of the observation target that is set for observation, and an integrated management device that is connected via a network . (1) receives the collected information collected by the collecting means, collecting unit to aggregate the collected information in accordance with the observation setting, (2) routing information to gather routing information exchanged between connected devices each autonomous system collecting means, (3) receives the route information from the route information collection unit, the path information holding for holding the route information Means, (4) the routing information holding means to monitor the dynamic change detecting means for detecting a change of the routing information, the dynamic change of the routing information is detected by (5) dynamic change detecting means, the collecting unit Recognize changed routes and dynamically change the acquisition contents of observation settings according to the dynamic change of the route information for the collection means that observes the traffic information of the changed route that has changed dynamically This is a program that functions as observation setting instruction means for instructing the observation setting to be instructed.

本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムによれば、自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークにおいて、自律システムの接続機器間の経路情報変化に追従したトラフィック設定を実現することができ、効率的なトラフィックフローの分析及び精度の高い観測データの収集を実現することができる。   According to the network monitoring system, the network monitoring method, and the network monitoring program of the present invention, in a network that includes a plurality of autonomous systems that can set route information according to an autonomous routing policy, the connected devices of the autonomous system It is possible to realize traffic setting that follows changes in route information between them, and to realize efficient traffic flow analysis and collection of highly accurate observation data.

(A)第1の実施形態
以下、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムの第1の実施形態について図面を参照して説明する。 (A) First Embodiment A network monitoring system, a network monitoring method, and a network monitoring program according to a first embodiment of the present invention will be described below with reference to the drawings.

第1の実施形態は、広帯域ネットワークを構成する小規模ネットワーク(例えば、AS単位又は動的に経路情報を変更可能なネットワーク等)のトラフィック情報を観測し、これら小規模ネットワークのトラフィック情報を集計して、広帯域ネットワークのトラフィック情報を観測する多地点広帯域ネットワークのトラフィック監視システムに、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを適用する場合を説明する。   The first embodiment observes traffic information of a small-scale network (for example, an AS unit or a network whose path information can be dynamically changed) constituting a broadband network, and aggregates the traffic information of these small-scale networks. A case where the network monitoring system, the network monitoring method, and the network monitoring program of the present invention are applied to a traffic monitoring system of a multipoint broadband network that observes traffic information of the broadband network will be described.

(A−1)第1の実施形態の構成
図1は、第1の実施形態のネットワーク監視システムの全体的な構成を示す構成図である。 (A-1) Configuration of the First Embodiment FIG. 1 is a configuration diagram showing the overall configuration of the network monitoring system of the first embodiment.

図1において、第1の実施形態のネットワーク監視システム4は、複数のAS1〜AS5を有して構成される広帯域ネットワークのトラフィックを監視するシステムであり、各AS1〜AS5は、他のASと接続するルータ3(3−1〜3−5)を有する。   In FIG. 1, a network monitoring system 4 according to the first embodiment is a system for monitoring traffic in a broadband network configured with a plurality of AS1 to AS5, and each AS1 to AS5 is connected to another AS. Router 3 (3-1 to 3-5).

また、図1において、第1の実施形態のネットワーク監視システム4は、各AS間のトラフィックを観測する収集装置2(2−1〜2−6)と、統合管理装置1とを少なくとも有して構成される。   In FIG. 1, the network monitoring system 4 of the first embodiment includes at least a collection device 2 (2-1 to 2-6) that observes traffic between ASs and an integrated management device 1. Composed.

AS1〜AS5は、例えば、企業ネットワークシステムやネットワーク接続業者等が管理する自律的なシステムであり、それぞれのシステムで独立して運用するポリシーに従ったルーティングプロトコルにより自律的な経路情報(ルーティングテーブル)を保持するものである。また、各AS1〜AS5においては、他のASとの接続境界にルータ3−1〜3−5を備えている。   AS1 to AS5 are autonomous systems managed by, for example, a corporate network system or a network connection company, and autonomous route information (routing table) by a routing protocol according to a policy that is independently operated in each system. Is to hold. In each AS1 to AS5, routers 3-1 to 3-5 are provided at connection boundaries with other ASs.

各ルータ3−1〜3−5は、所定の経路情報交換プロトコル(例えば、BGPやOSPFなどのプロトコル)を用いて、他のASとの間で、各AS1〜AS5における経路情報(ルーティングテーブル)を交換しあい、各AS間の通信データの授受を行なうものである。   Each router 3-1 to 3-5 uses a predetermined route information exchange protocol (for example, a protocol such as BGP or OSPF) to route information (routing table) in each AS1 to AS5 with another AS. Are exchanged, and communication data is exchanged between the ASs.

収集装置2−1〜2−6は、各AS間の回線上を流れる全ての通信データやルータ3間で交換される経路情報(ルーティングテーブル)を取得し、全通信データを記憶するものである。   The collection devices 2-1 to 2-6 acquire all communication data flowing on the lines between the ASs and route information (routing table) exchanged between the routers 3 and store all communication data. .

また、収集装置2−1〜2−6は、経路情報(ルーティングテーブル)の作成又は更新を行なうと共に、設定されている観測設定に従って、取得した通信データを分析・解析し、観測対象の統計データを収集するものである。すなわち、収集装置2−1〜2−6は、特定のアプリケーション別のトラフィック量や、特定の送信元又は送信先のトラフィック量や、監視回線のトラフィック量などを収集する。ここで、収集装置2−1〜2−6の観測設定は、統合管理装置1からの指示に応じて設定され、統合管理装置1からの指示に従って、起動又は停止をしたり、観測対象の内容が設定されたりする。   In addition, the collection devices 2-1 to 2-6 create or update the route information (routing table), analyze and analyze the acquired communication data according to the set observation settings, and observe the statistical data to be observed Is to collect. That is, the collection devices 2-1 to 2-6 collect the traffic volume for each specific application, the traffic volume of a specific transmission source or transmission destination, the traffic volume of the monitoring line, and the like. Here, the observation settings of the collection devices 2-1 to 2-6 are set according to an instruction from the integrated management device 1, and are activated or stopped according to the instruction from the integrated management device 1, or the contents of the observation target Is set.

さらに、収集装置2−1〜2−6は、収集装置2−1〜2−6は、定期的に、監視設定に基づくトラフィックフローの統計データ、及び、経路情報を統合管理装置1に与えるものである。   Further, the collecting devices 2-1 to 2-6 regularly provide the integrated management device 1 with traffic flow statistical data and route information based on the monitoring settings. It is.

なお、収集装置2−1はAS1とAS2との間を流れるトラフィックフローを収集し、収集装置2−2はAS2とAS3との間を流れるトラフィックフローを収集し、収集装置2−3はAS3とAS5との間を流れるトラフィックフローを収集し、収集装置2−4はAS2とAS4との間を流れるトラフィックフローを収集し、収集装置2−5はAS3とAS4との間を流れるトラフィックフローを収集し、収集装置2−6はAS4とAS5との間を流れるトラフィックフローを収集するものである。   The collection device 2-1 collects the traffic flow flowing between AS1 and AS2, the collection device 2-2 collects the traffic flow flowing between AS2 and AS3, and the collection device 2-3 is connected to AS3. The traffic flow flowing between AS5 is collected, the collecting device 2-4 collects the traffic flow flowing between AS2 and AS4, and the collecting device 2-5 collects the traffic flow flowing between AS3 and AS4 The collection device 2-6 collects the traffic flow flowing between AS4 and AS5.

統合管理装置1は、複数の収集装置2−1〜2−6からの収集情報(統計データ)を取得し、所定の集約方法に従って収集情報(統計データ)を集計するものである。また、統合管理装置1は、複数の収集装置2−1〜2−6から経路情報(ルーティングテーブル)を受け取り、広帯域ネットワークにおける経路情報を管理するものである。   The integrated management apparatus 1 acquires collected information (statistical data) from the plurality of collecting apparatuses 2-1 to 2-6, and totals the collected information (statistical data) according to a predetermined aggregation method. The integrated management device 1 receives route information (routing table) from a plurality of collection devices 2-1 to 2-6, and manages route information in the broadband network.

統合管理装置1における統計データの集約方法の詳細は後述するが、統合管理装置1を備えることにより、常時監視回線を監視することができ、各統計データを集計することにより、AS1〜AS5を統合した広帯域ネットワークにおけるトラフィックを監視することができる。すなわち、統合管理装置1は、AS1〜AS5を統合した広帯域ネットワークのトラフィックフローの集約データに基づいて、AS1〜AS5を統合した広帯域ネットワーク上において、監視回線毎のトラフィック情報や、アプリケーション別のトラフィック情報や、特定の送信元からのトラフィック情報や、特定の送信先へのトラフィック情報等を少なくとも収集し、トラフィック異常などを監視する。また、統合管理装置1は、集約データを参照して、観測設定に基づく異常検出の条件を満たした場合には、トラフィック異常であることを検出し、この場合には図示しない管理者端末に対してアラームを通知するアラーム通知機能を有する。   Although details of the statistical data aggregation method in the integrated management apparatus 1 will be described later, by providing the integrated management apparatus 1, it is possible to monitor the monitoring line at all times, and to integrate AS1 to AS5 by totaling the statistical data. Traffic in a wideband network can be monitored. That is, the integrated management device 1 performs traffic information for each monitoring line and traffic information for each application on the broadband network integrating AS1 to AS5 based on aggregated data of traffic flows of the broadband network integrating AS1 to AS5. In addition, at least traffic information from a specific transmission source, traffic information to a specific transmission destination, and the like are collected to monitor traffic abnormalities. Further, the integrated management device 1 refers to the aggregated data, and detects that there is a traffic abnormality when the abnormality detection condition based on the observation setting is satisfied. And an alarm notification function for notifying an alarm.

また、統合管理装置1は、経路情報の動的変化を検出すると、変更後の経路を監視する収集装置2に対し、観測設定の指示を行なうものである。この統合管理装置1による経路情報の動的変化に応じた観測設定処理については、動作の項で詳細に説明する。   When the integrated management device 1 detects a dynamic change in route information, the integrated management device 1 instructs the collection device 2 that monitors the changed route to perform observation setting. The observation setting process according to the dynamic change of the route information by the integrated management apparatus 1 will be described in detail in the operation section.

図2は、収集装置2のハードウェア構成を示すブロック図である。また、図3は、収集装置2が実現する機能を示す機能ブロック図である。   FIG. 2 is a block diagram illustrating a hardware configuration of the collection device 2. FIG. 3 is a functional block diagram showing functions realized by the collection device 2.

図2に示すように、収集装置2は、CPU21、記憶部22、通信部23を少なくとも有する。CPU21は、収集装置2における全体の制御機能を司っているものである。記憶部22は、例えば、ROM、RAM(EEPROMなどの不揮発性の書き込み可能メモリを含む概念である)等により構成されているものである。例えば、CPU21は、ROMに格納されている固定データやRAMに格納されているテンポラリーデータを用い、RAMをワーキングメモリとして、ROMに格納されている処理プログラムを実行することにより、収集装置2の機能を制御する。また、通信部23は、所定の通信プロトコルに従って、統合管理装置1との間の情報の送受信とルータ3間の情報の受信するものである。   As illustrated in FIG. 2, the collection device 2 includes at least a CPU 21, a storage unit 22, and a communication unit 23. The CPU 21 is responsible for the overall control function of the collection device 2. The storage unit 22 includes, for example, a ROM, a RAM (which is a concept including a nonvolatile writable memory such as an EEPROM), and the like. For example, the CPU 21 uses the fixed data stored in the ROM or the temporary data stored in the RAM, and executes the processing program stored in the ROM using the RAM as a working memory, whereby the function of the collection device 2 is achieved. To control. The communication unit 23 transmits and receives information to and from the integrated management apparatus 1 and receives information between the routers 3 according to a predetermined communication protocol.

図3において、この実施形態の収集装置2が実現する主な機能部としては、通信データ収集機能部221、データ保存管理機能部223、異常検出機能部224、一時蓄積機能部225、通信データ記憶部226、統計データ記憶部227、一時蓄積データ記憶部228、経路情報記憶部220、を少なくとも有する。   In FIG. 3, the main function units realized by the collection device 2 of this embodiment include a communication data collection function unit 221, a data storage management function unit 223, an abnormality detection function unit 224, a temporary storage function unit 225, and a communication data storage. Unit 226, statistical data storage unit 227, temporarily accumulated data storage unit 228, and path information storage unit 220.

通信データ収集機能部221は、AS間で交換される経路情報を取得し、経路情報記憶部220に経路情報を与えて、経路情報の作成又は更新をするものである。経路情報の取得は、パケットタイプに基づいて経路情報交換プロトコルを認識することで実現することができる。また、通信データ収集機能部221は、定期的に経路情報を統合管理装置1に与えるものである。   The communication data collection function unit 221 acquires route information exchanged between ASs, provides route information to the route information storage unit 220, and creates or updates route information. The acquisition of route information can be realized by recognizing the route information exchange protocol based on the packet type. The communication data collection function unit 221 periodically provides route information to the integrated management apparatus 1.

また、通信データ収集機能部221は、監視回線であるAS間の接続回線上を流れる通信データを取得し、取得した通信データを通信データ記憶部226に記憶するものである。ここで、第1の実施形態では、通信データ収集機能部221の監視回線が超高速回線(例えば、3Gbps等)を想定し、通信データの超高速取得に係る処理負荷が増大することとなるので、通常時のサンプリング速度で通信データの取得を行なうものとし、統合管理装置1からの指示を受けてから超高速取得(超高速回線に対応できるサンプリング速度での取得)を行なうようにする。   The communication data collection function unit 221 acquires communication data that flows on the connection line between the ASs that are monitoring lines, and stores the acquired communication data in the communication data storage unit 226. Here, in the first embodiment, it is assumed that the monitoring line of the communication data collection function unit 221 is an ultra-high-speed line (for example, 3 Gbps), and the processing load related to the ultra-high-speed acquisition of communication data increases. The communication data is acquired at a normal sampling rate, and after receiving an instruction from the integrated management apparatus 1, an ultra-high-speed acquisition (acquisition at a sampling rate compatible with an ultra-high-speed line) is performed.

さらに、通信データ収集機能部221は、観測設定に従って、通信データに基づくトラフィックフローの統計処理を行なうものであり、その統計処理により得られたトラフィックフローの統計データを統計データ記憶部227に記憶するものである。また、通信データ収集機能部221は、所定のトラフィックフローの統計データを統合管理装置1に通知する。   Further, the communication data collection function unit 221 performs a traffic flow statistical process based on the communication data in accordance with the observation settings, and stores the traffic flow statistical data obtained by the statistical process in the statistical data storage unit 227. Is. In addition, the communication data collection function unit 221 notifies the integrated management device 1 of statistical data of a predetermined traffic flow.

ここで、観測設定の情報としては、例えば、超高速取得をするか否かの命令、特定アプリケーションの名称や、特定送信元又は送信先のアドレス情報(例えば、OSI基本参照モデルの第3層、第4層におけるアドレス情報)や、監視対象とする特定の経路情報(AS番号を含む情報)、異常検出の条件情報等が該当する。   Here, the observation setting information includes, for example, an instruction on whether or not to perform ultra-high-speed acquisition, the name of a specific application, and address information of a specific source or destination (for example, the third layer of the OSI basic reference model, Address information in the fourth layer), specific route information to be monitored (information including AS number), condition information for abnormality detection, and the like.

これにより、通信データ収集機能部221は、観測設定情報に従って、監視回線のトラフィックフローの統計データを収集することができる。すなわち、通信データ収集機能部221は、記憶している通信データのヘッダ情報に基づいて、アプリケーションプロトコルの判別、送信元アドレスの判別、送信先アドレスの判別などを行ない、所定時間内において、観測対象のアプリケーション別のトラフィック情報、観測対象の送信元アドレス別のトラフィック情報、観測対象の送信先アドレス別のトラフィック情報、監視対象の経路別のトラフィック情報等を収集し、観測対象のトラフィック情報を把握することができる。   Thereby, the communication data collection function part 221 can collect the statistical data of the traffic flow of a monitoring line according to observation setting information. That is, the communication data collection function unit 221 performs application protocol determination, transmission source address determination, transmission destination address determination, and the like based on the header information of the stored communication data. To collect traffic information by application, traffic information by source address to be observed, traffic information by destination address to be observed, traffic information by route to be monitored, etc. be able to.

観測設定情報取得機能部222は、統合管理装置1から観測設定に関するリクエスト情報を受信すると、受信した観測設定に関するリクエスト情報に含まれている観測設定情報を観測設定情報記憶部229に設定するものである。なお、観測設定情報の配信に所定の暗号化処理(例えばSSL通信)を利用してもよい。   When the observation setting information acquisition function unit 222 receives the request information regarding the observation setting from the integrated management apparatus 1, the observation setting information acquisition function unit 222 sets the observation setting information included in the received request information regarding the observation setting in the observation setting information storage unit 229. is there. A predetermined encryption process (for example, SSL communication) may be used for the distribution of the observation setting information.

データ保存管理機能部223は、通信データ記憶部226の記憶容量を監視し、所定の記憶量を超えると、古いデータから削除するものである。これにより、全ての通信データを取得するために、過大な記憶容量の記憶装置を用意することなく、通信データを記憶することができる。   The data storage management function unit 223 monitors the storage capacity of the communication data storage unit 226, and deletes old data when it exceeds a predetermined storage capacity. Thereby, in order to acquire all the communication data, it is possible to store the communication data without preparing a storage device having an excessive storage capacity.

異常検出機能部224は、通信データ記憶部226に記憶されている通信データに基づいて、特定の送信先へのトラフィック量や、特定の送信元からのトラフィック量や、送信先や送信元に関係なくポート種別毎のトラフィック量を監視し、それぞれのトラフィック量が、それぞれの設定された閾値を超えた場合にトラフィック異常を検出する機能である。これにより、例えば、いわゆるPortScanやいわゆるIPスイープやポート種別毎のトラフィック異常を判定できる。また、異常検出機能部224が異常を検出すると、検出した異常に関する異常検出情報を統合管理装置1に対し通知する。このとき、異常検出情報としては、例えば、収集装置2の識別情報、監視ネットワークの識別情報、閾値条件(例えば、アプリケーションプロトコル名や閾値の値や単位など)、異常時のトラフィック量、検知時刻などとする。また、異常検出情報の通知方法としては、例えば、メール通知やSNMPTRAP通知などを適用することができる。   Based on the communication data stored in the communication data storage unit 226, the abnormality detection function unit 224 is related to the traffic amount to a specific transmission destination, the traffic amount from a specific transmission source, the transmission destination and the transmission source. This is a function that monitors the traffic volume for each port type and detects a traffic abnormality when each traffic volume exceeds a set threshold value. Thereby, for example, so-called PortScan, so-called IP sweep, or traffic abnormality for each port type can be determined. Further, when the abnormality detection function unit 224 detects an abnormality, it notifies the integrated management apparatus 1 of abnormality detection information regarding the detected abnormality. At this time, as the abnormality detection information, for example, the identification information of the collection device 2, the identification information of the monitoring network, threshold conditions (for example, application protocol name, threshold value and unit, etc.), traffic volume at the time of abnormality, detection time, etc. And Moreover, as a notification method of abnormality detection information, e-mail notification, SNMPTRAP notification, etc. are applicable, for example.

一時蓄積機能部225は、異常検出機能部224により異常が検出されると、異常検出時の通信データ情報を一時的に蓄積するものである。これにより、異常検出時の通信データ情報を別に保存することができる。一時蓄積機能部225は、例えば、異常検出時の通信データにハードリンク等を設置することで実現することができ、また通常の通信データの保存期間が経過しても消去できないようにしても良い。このように、蓄積機能部225は、いわゆるスナップショット機能として、集約の効率化を図るためのものであり、収集情報(統計データ)の転送軽減ができれば分散配置しても良い。   The temporary storage function unit 225 temporarily stores communication data information when an abnormality is detected when an abnormality is detected by the abnormality detection function unit 224. Thereby, the communication data information at the time of abnormality detection can be saved separately. The temporary storage function unit 225 can be realized, for example, by installing a hard link or the like in communication data at the time of detecting an abnormality, and may not be deleted even after a normal communication data storage period has elapsed. . As described above, the accumulation function unit 225 is a so-called snapshot function for improving the efficiency of aggregation, and may be arranged in a distributed manner as long as transfer of collected information (statistical data) can be reduced.

通信データ記憶部226は、データ保存管理機能部223の管理の下、通信データ収集機能部221が取得した全ての通信データを記憶するものである。統計データ記憶部227は、通信データ収集機能部221が収集した監視回線のトラフィックフローの統計データを記憶するものである。一時蓄積データ記憶部228は、一時蓄積機能部225の指示の下、異常検出時の通信データ情報を一時的に記憶するものである。   The communication data storage unit 226 stores all communication data acquired by the communication data collection function unit 221 under the management of the data storage management function unit 223. The statistical data storage unit 227 stores the statistical data of the traffic flow of the monitoring line collected by the communication data collection function unit 221. Temporary storage data storage unit 228 temporarily stores communication data information when an abnormality is detected under the instruction of temporary storage function unit 225.

経路情報記憶部220は、通信データ収集機能部221が取得した経路情報を記憶するものである。   The route information storage unit 220 stores the route information acquired by the communication data collection function unit 221.

次に、統合管理装置1のハードウェア構成及び機能を図面を参照しながら説明する。図4は、統合管理装置1のハードウェア構成を示すブロック図である。また、図5は、統合管理装置1が実現する機能を示す機能ブロック図である。   Next, the hardware configuration and functions of the integrated management apparatus 1 will be described with reference to the drawings. FIG. 4 is a block diagram illustrating a hardware configuration of the integrated management apparatus 1. FIG. 5 is a functional block diagram showing functions realized by the integrated management apparatus 1.

図4に示すように、統合管理装置1は、CPU11、記憶部12、通信部13を少なくとも有する。CPU11は、統合管理装置1における全体の制御機能を司っているものである。記憶部12は、例えば、ROM、RAM(EEPROMなどの不揮発性の書き込み可能メモリを含む概念である)等により構成されているものである。例えば、CPU11は、ROMに格納されている固定データやRAMに格納されているテンポラリーデータを用い、RAMをワーキングメモリとして、ROMに格納されている処理プログラムを実行することにより、統合管理装置1の機能を制御する。また、通信部13は、所定の通信プロトコルに従って、収集装置2との間で情報を送受信するものである。   As illustrated in FIG. 4, the integrated management apparatus 1 includes at least a CPU 11, a storage unit 12, and a communication unit 13. The CPU 11 is responsible for the overall control function of the integrated management apparatus 1. The storage unit 12 includes, for example, a ROM, a RAM (which is a concept including a nonvolatile writable memory such as an EEPROM), and the like. For example, the CPU 11 uses the fixed data stored in the ROM and the temporary data stored in the RAM, and executes the processing program stored in the ROM using the RAM as a working memory. Control the function. The communication unit 13 transmits / receives information to / from the collection device 2 according to a predetermined communication protocol.

図5において、この実施形態の統合管理装置1が実現する主な機能は、統計データ収集機能部121、統計データ集約機能部122、動的変化検出機能部123、観測設定管理機能部124、異常検出機能部125、経路情報記憶部127、統計データ記憶部128、集約データ記憶部129、を少なくとも有する。   In FIG. 5, the main functions realized by the integrated management apparatus 1 of this embodiment are the statistical data collection function unit 121, the statistical data aggregation function unit 122, the dynamic change detection function unit 123, the observation setting management function unit 124, and the abnormality. It has at least a detection function unit 125, a path information storage unit 127, a statistical data storage unit 128, and an aggregate data storage unit 129.

統計データ収集機能部121は、各収集装置2からの統計データを取得し、取得した統計データを統計データ記憶部128に与えて記憶するものである。また、統計データ収集機能部121は、各収集装置2からの経路情報を取得し、取得した経路情報を経路情報記憶部127に記憶するものである。   The statistical data collection function unit 121 acquires statistical data from each collection device 2 and gives the acquired statistical data to the statistical data storage unit 128 for storage. The statistical data collection function unit 121 acquires route information from each collection device 2 and stores the acquired route information in the route information storage unit 127.

ここで、統計データは、各収集装置2から収集したトラフィックフローの統計データであり、例えば、観測対象であるアプリケーション別のトラフィック情報や、観測対象である送信先アドレス別のトラフィック情報や、観測対象である送信元アドレス別のトラフィック情報、監視対象である経路間別のトラフィック情報である。   Here, the statistical data is the statistical data of the traffic flow collected from each collection device 2, for example, the traffic information for each application that is the observation target, the traffic information for each transmission destination address that is the observation target, and the observation target Traffic information for each source address and traffic information for each route to be monitored.

統計データ集約機能部122は、統計データ記憶部128に記憶されている統計データに基づいて、所定の観測設定に従った集約データを作成し、作成した集約データを集約データ記憶部129に記憶するものである。   The statistical data aggregation function unit 122 creates aggregated data according to predetermined observation settings based on the statistical data stored in the statistical data storage unit 128, and stores the created aggregated data in the aggregated data storage unit 129. Is.

ここで、統計データ集約機能部122は、観測設定に従って観測対象のトラフィック情報を集約するが、その集約方法としては、例えば、物理的な観点から集約する方法、論理的な観点から集約する方法、時間的な観点から集約する方法、若しくは、これら上記の集約方法を組み合わせた集約方法などがある。   Here, the statistical data aggregation function unit 122 aggregates the traffic information to be observed according to the observation setting. As the aggregation method, for example, a method of aggregation from a physical viewpoint, a method of aggregation from a logical viewpoint, There are a method of aggregation from a time point of view, or an aggregation method that combines these aggregation methods.

物理的な観点からの集約方法は、例えば、(a)監視回線毎の集約、(b)監視回線が採用するプロトコル毎の集約、(c)特定接続先の複数の監視回線毎の集約、(d)接続先全ての監視回線毎の集約などのように物理的に有形なものを集約の対象とし、統計データを集約する方法をいう。   Aggregation methods from a physical point of view include, for example, (a) aggregation for each monitoring line, (b) aggregation for each protocol adopted by the monitoring line, (c) aggregation for a plurality of monitoring lines at a specific connection destination, ( d) A method of collecting statistical data by targeting physically tangible items such as aggregating every monitoring line of all connection destinations.

(a)監視回線毎の集約は、監視回線毎に統計データを集約する方法であり、例えば、収集装置2からの統計データに当該収集装置2が監視したネットワークの識別情報を含ませるようにし、そのネットワーク識別情報に基づいてネットワーク別の統計データを識別し、各監視回線毎に統計データを集計(例えば、パケット数の集計、帯域(データ量)の集計等)することでき実現できる。これにより、例えば、光回線と電気回線等のように媒体が異なるネットワークを監視する収集装置2と、各ネットワーク上の設置ロケーションの異なる収集装置2からの統計データであっても、各ネットワーク毎の集約データを集計することができ、回線媒体の違いによるトラフィック量の差分や物理的に離れているネットワークのトラフィック量を集計することができる。 (A) Aggregation for each monitoring line is a method for aggregating statistical data for each monitoring line. For example, the statistical data from the collection device 2 includes the identification information of the network monitored by the collection device 2; Based on the network identification information, the statistical data for each network is identified, and the statistical data is aggregated for each monitoring line (for example, aggregation of the number of packets, aggregation of the bandwidth (data amount), etc.). Thus, for example, statistical data from the collection device 2 that monitors networks with different media such as an optical line and an electric line and the collection device 2 with different installation locations on each network can be obtained for each network. Aggregated data can be aggregated, and traffic volume differences due to differences in circuit media and traffic volumes of physically separated networks can be aggregated.

(b)監視回線プロトコル毎の集約は、例えば、TCP/IP、ATM、OC3、SONETなどそれぞれ監視回線プロトコルが異なる収集装置2をグループ化し、各プロトコルの違いによるトラフィック量の差分や同一プロトコルのトラフィック量の集約を集計するものである。これにより、アプリケーションプロトコル毎のトラフィック量の違いを示すことができる。 (B) Aggregation for each monitoring line protocol is performed by grouping, for example, collection devices 2 having different monitoring line protocols, such as TCP / IP, ATM, OC3, SONET, and the like. It is an aggregation of quantity. Thereby, the difference in traffic volume for each application protocol can be shown.

(c)特定接続先の複数の監視回線毎の集約は、例えば、ある特定の送信先(宛先)に対する通信があった複数の監視回線のトラフィック量を集計するものである。これにより、ある特定の送信先に対する通信を監視することができる。これは、特定のネットワークアドレスや特定のTCPポート番号、特定のUDPポート番号を識別することにより、実現することができる。 (C) Aggregation for each of the plurality of monitoring lines at the specific connection destination is, for example, totaling the traffic amounts of the plurality of monitoring lines that have communicated with a specific transmission destination (destination). Thereby, communication with respect to a certain specific transmission destination can be monitored. This can be realized by identifying a specific network address, a specific TCP port number, or a specific UDP port number.

(d)接続先全ての監視回線毎の集約は、例えば、同一の送信元から全接続先に対する回線6をグループ化し、その同一の送信元からのトラフィック量を集計するものである。これにより、ある特定の送信元からの通信を監視することができる。 (D) Aggregation of all connection destinations for each monitoring line is, for example, grouping the lines 6 from the same transmission source to all connection destinations and totaling the traffic volume from the same transmission source. Thereby, it is possible to monitor communication from a specific transmission source.

論理的な観点からの集約方法は、例えば、(e)特定の送受信先の通信毎の集約、(f)セキュリティ攻撃に使用される特殊なデータ毎の集約などのように論理的なものを集約の対象として、統計データを集約する方法をいう。   The aggregation method from a logical point of view is, for example, logical aggregation such as (e) aggregation for each communication of a specific transmission / reception destination, (f) aggregation for each special data used for security attacks, etc. A method of collecting statistical data as the target of the above.

(e)特定送受信先通信毎の集約は、特定の宛先への通信、若しくは特定の発信元からの通信の統計データを集約する。 (E) Aggregation for each specific transmission / reception destination communication aggregates statistical data of communication to a specific destination or communication from a specific source.

(f)特殊データのみの集約は、セキュリティ攻撃に使用される特殊な攻撃用パケットデータ(例えば、Synパケットや、属性の誤ったパケット等)の統計データを集約する。 (F) Aggregation of special data only aggregates statistical data of special attack packet data (for example, a Syn packet or a packet with an incorrect attribute) used for a security attack.

時間的な観点からの集約方法は、(g)例えば、分、時、日、月などの時間間隔で収集情報を集約する方法をいう。例えば、5分毎、1時間毎、1日毎、1週間毎、1ヶ月毎の集約情報を作成できる。   The aggregation method from the viewpoint of time refers to (g) a method of aggregating collected information at time intervals such as minutes, hours, days, and months. For example, aggregate information can be created every 5 minutes, every hour, every day, every week, or every month.

動的変化検出機能部123は、経路情報記憶部127に記憶されているAS間の経路情報を監視しており、経路情報の動的変化を検出するものである。   The dynamic change detection function unit 123 monitors the route information between ASs stored in the route information storage unit 127 and detects a dynamic change in the route information.

観測設定管理機能部124は、動的変化検出機能部123により経路情報の動的変化が検出されると、経路情報記憶部127及び集約データ記憶部129を参照して、変更後の経路を観測している収集装置2に対し、観測設定指示を行なうものである。   When the dynamic change detection function unit 123 detects a dynamic change in route information, the observation setting management function unit 124 refers to the route information storage unit 127 and the aggregated data storage unit 129 and observes the changed route. The observation setting instruction is given to the collecting device 2 that is in operation.

このとき、観測設定管理機能部124は、例えば、すべての経路情報の動的変化に応じて観測設定の指示を行なうようにしてもよいし、又は、集約データ記憶部129を参照し、動的に変化する前の経路におけるトラフィック量が閾値を超えている場合(すなわち、変更前の経路のトラフィック量が多い場合)に観測設定の指示を行なうようにしたり、特定のアプリケーションプロトコルによるトラフィックである場合に観測設定の指示を行なうようにしたりしてもよい。   At this time, for example, the observation setting management function unit 124 may instruct observation setting according to the dynamic change of all the route information, or refer to the aggregated data storage unit 129 and dynamically When the traffic volume on the route before the change to 超 え exceeds the threshold (that is, when the traffic volume on the route before the change is large), the observation setting is instructed, or the traffic is based on a specific application protocol Or, the observation setting may be instructed.

また、収集装置2に対する観測設定指示の内容としては、例えば、超高速取得をすることの命令、特定のアプリケーションのトラフィック情報の観測、特定の送信先からのトラフィック情報の取得、特定の送信元へのトラフィック情報の取得などを適用し得る。   The contents of the observation setting instruction to the collection device 2 include, for example, an instruction for performing ultra-high-speed acquisition, observation of traffic information of a specific application, acquisition of traffic information from a specific destination, to a specific source The acquisition of traffic information can be applied.

異常検出機能部125は、集約データ記憶部129に記憶されている集約データに基づいて、例えば、ppsやbpsで表わされるトラフィックの流量や、単位時間当たりのスキャン数及び又はスイープホスト数などが閾値を超過していないか、通常と大きく乖離していないか判断し、通知データの異常の度合いを数値化(例えば、%表示)し、異常が検出された場合に、各収集装置2の設定ファイルを配布し、特定の送信元若しくは送信先のデータを監視する設定や、グループ化範囲の設定、閾値の更新などを実施するものである。この設定値は、各収集装置2に反映され、新たな設定での監視を継続することができる。   Based on the aggregated data stored in the aggregated data storage unit 129, the anomaly detection function unit 125 is based on the traffic flow expressed in pps or bps, the number of scans per unit time and / or the number of sweep hosts, for example. It is judged whether it is not exceeded or greatly deviated from normal, the degree of abnormality of notification data is quantified (for example, displayed in%), and when an abnormality is detected, the setting file of each collecting device 2 Is distributed, and settings for monitoring data of a specific transmission source or transmission destination, setting of a grouping range, updating of a threshold value, and the like are performed. This set value is reflected in each collection device 2, and monitoring with the new setting can be continued.

経路情報記憶部127は、各収集装置2からの経路情報を記憶するものであり、統計データ記憶部128は、各収集装置121からの統計データを記憶するものであり、集約データ記憶部129は、統計データ集約機能部122により集約された集約データを記憶するものである。   The route information storage unit 127 stores route information from each collection device 2, the statistical data storage unit 128 stores statistical data from each collection device 121, and the aggregated data storage unit 129 The aggregated data aggregated by the statistical data aggregation function unit 122 is stored.

(A−2)第1の実施形態の動作
次に、第1の実施形態のネットワーク監視システム4において、経路情報の動的変化に応じた観測設定処理の動作について図面を参照しながら説明する。 (A-2) Operation of the First Embodiment Next, in the network monitoring system 4 of the first embodiment, the operation of the observation setting process according to the dynamic change of route information will be described with reference to the drawings.

以下では、図1に示すAS1(送信元)からAS5(送信先)に対する通信トラフィックフローに注目し、AS1からAS5への通信経路が動的に変化した場合の観測設定処理の動作を説明する。   In the following, focusing on the communication traffic flow from AS1 (transmission source) to AS5 (transmission destination) shown in FIG. 1, the operation of the observation setting process when the communication path from AS1 to AS5 changes dynamically will be described.

まず、各AS1〜AS5のルータ3−1〜3−5は、所定の経路情報交換プロトコルを用いて、ルータ間で経路情報(ルーティングテーブル)の交換を行なう(ステップS1)。   First, the routers 3-1 to 3-5 of each AS1 to AS5 exchange route information (routing table) between routers using a predetermined route information exchange protocol (step S1).

また、各ルータ3−1〜3−5が交換しあう経路情報は、各収集装置2−1〜2−6の通信データ収集機能部221により取得され(ステップS2)、各収集装置2−1〜2−6において、取得された経路情報は、経路情報記憶部220に記憶されると共に、統合管理装置1に与えられる(ステップS3)。   Further, the path information exchanged by each router 3-1 to 3-5 is acquired by the communication data collection function unit 221 of each collection device 2-1 to 2-6 (step S2), and each collection device 2-1 is exchanged. In 2-6, the acquired route information is stored in the route information storage unit 220 and is given to the integrated management apparatus 1 (step S3).

ここで、ルータ3−1〜3−5が適用する経路情報交換プロトコルは、特に限定されないが、この実施形態では、例えばインターネット等に代表される広帯域ネットワークを想定しているので、例えば、BGPやOSPFなどを適用することができる。   Here, the route information exchange protocol applied by the routers 3-1 to 3-5 is not particularly limited. However, in this embodiment, for example, a broadband network represented by the Internet or the like is assumed. OSPF or the like can be applied.

なお、図1では、説明をわかりやすくするために、ルータ3−1とルータ3−2との間で交換される経路情報が、収集装置2−1及び統合管理装置1に与えられる場合を示すが、すべてのルータ3−1〜3−5間で交換される経路情報についても、同様に処理される。   FIG. 1 shows a case in which route information exchanged between the router 3-1 and the router 3-2 is given to the collection device 2-1 and the integrated management device 1 for easy understanding. However, the route information exchanged between all the routers 3-1 to 3-5 is similarly processed.

ここで、AS1(送信元)からAS5(送信先)への通信トラフィックについて注目すると、当初のトラフィックフローは、AS1→AS2→AS3→AS5の経路で流れるものとする。   Here, when attention is paid to the communication traffic from AS1 (transmission source) to AS5 (transmission destination), the initial traffic flow is assumed to flow along the route of AS1 → AS2 → AS3 → AS5.

そうすると、ルータ3−1、ルータ3−2及びルータ3−3のそれぞれから見た経路情報(ルーティングテーブル)は、図6の(A−1)〜(A−3)に示すようなものである。なお、図6(A−4)は、ルータ3−4から見たルーティングテーブルの内容例であり、この時点では、送信先をAS5とする経路情報は作成されていないものとする。   Then, the route information (routing table) seen from each of the router 3-1, the router 3-2, and the router 3-3 is as shown in (A-1) to (A-3) of FIG. . FIG. 6A-4 shows an example of the contents of the routing table viewed from the router 3-4. At this time, it is assumed that route information having the transmission destination AS5 has not been created.

すなわち、図6(A−1)は、ルータ3−1から見て、AS5を送信先とするときの通信データの転送先をルータ3−2のアドレスとすることを示し、図6(A−2)は、ルータ3−2から見て、AS5を送信先とするときの通信データの転送先をルータ3−3のアドレスとすることを示し、図6(A−3)は、ルータ3−3から見て、AS5を送信先とするときの通信データの転送先をルータ3−5のアドレスとすることを示す。   That is, FIG. 6A-1 shows that the address of the router 3-2 is the transfer destination of the communication data when the AS5 is the transmission destination as seen from the router 3-1, and FIG. 2) shows that the address of the router 3-3 is the transfer destination of the communication data when the AS 5 is the transmission destination when viewed from the router 3-2. FIG. 3 indicates that the transfer destination of communication data when AS5 is the transmission destination is the address of the router 3-5.

また、統合管理装置1においても、図6と同様の経路情報(ルーティングテーブル)が管理されている。   Also in the integrated management apparatus 1, the same route information (routing table) as that in FIG. 6 is managed.

図1において、AS1からAS5に向けて通信データが送信されると、通信データは、ルータ3−1〜3−3により、経路情報(ルーティングテーブル)に基づく転送処理が施され、ルータ間を介して送信先であるAS5のルータ3−5に転送される(ステップS4)。   In FIG. 1, when communication data is transmitted from AS1 to AS5, the communication data is subjected to transfer processing based on route information (routing table) by routers 3-1 to 3-3, and passes between routers. Then, it is transferred to the router 3-5 of the AS 5 that is the transmission destination (step S4).

このとき、収集装置2−1〜2−3は、統合管理装置1から指示を受けており、超高速取得を行なうものとして設定されているものとする。   At this time, it is assumed that the collection devices 2-1 to 2-3 have received instructions from the integrated management device 1 and are set to perform ultra-high-speed acquisition.

ルータ間を流れる通信データは、各収集装置2−1〜2−3の通信データ収集機能部221により超高速取得され(ステップS5)、取得された通信データは通信データ記憶部226に記憶され、観測対象のトラフィックフローの統計処理が行なわれる。   The communication data flowing between the routers is acquired at a high speed by the communication data collection function unit 221 of each collection device 2-1 to 2-3 (step S5), and the acquired communication data is stored in the communication data storage unit 226. Statistical processing of the traffic flow to be observed is performed.

そして、各収集装置2−1〜2−3において統計処理されたトラフィックフローの統計データは、統合管理装置1の統計データ収集機能部121に与えられ(ステップS6)、統計データ記憶部128に記憶されると共に、統計データ集約データ機能部122により監視対象のトラフィックフローの統計データが集計され、集約データとして集約データ記憶部129に記憶される。   The statistical data of the traffic flow statistically processed in each of the collection devices 2-1 to 2-3 is given to the statistical data collection function unit 121 of the integrated management device 1 (step S6) and stored in the statistical data storage unit 128. At the same time, the statistical data of the traffic flow to be monitored is aggregated by the statistical data aggregated data function unit 122 and stored in the aggregated data storage unit 129 as aggregated data.

ここで、AS1からAS5へのトラフィックフローにおいて、何らかの事象が生じ、図6(B−1)〜(B−4)に示すように、経路情報が変化し、AS1からAS5へのトラフックフローの経路が、AS1→AS2→AS4→AS5に変わったとする。   Here, some event occurs in the traffic flow from AS1 to AS5, and as shown in FIGS. 6 (B-1) to (B-4), the route information changes, and the traffic flow route from AS1 to AS5. Is changed from AS1 to AS2 to AS4 to AS5.

すなわち、図6(B−2)に示すように、ルータ3−2から見た、AS経路情報(ルーティングテーブル)が、送信先をAS5とする転送先がルータ3−3からルータ3−4に変更したとする。   That is, as shown in FIG. 6 (B-2), the AS route information (routing table) seen from the router 3-2 indicates that the forwarding destination whose destination is AS5 is changed from the router 3-3 to the router 3-4. Suppose that it has changed.

これに応じて、図6(B−3)に示すように、ルータ3−3から見た、送信先をAS5とする経路情報が削除され、図6(B−4)に示すように、ルータ3−4から見て、送信先をAS5とする転送先がルータ3−5とする経路情報が新たに追加されるものとする。   Accordingly, as shown in FIG. 6 (B-3), the route information with the destination AS5 as seen from the router 3-3 is deleted, and as shown in FIG. 6 (B-4), the router As seen from 3-4, it is assumed that route information whose destination is AS5 and whose destination is the router 3-5 is newly added.

そうすると、ステップS1〜S3と同様に、各ルータ3−1〜3−5間で交換する経路情報は、収集装置2−1〜2−5により取得され、統合管理装置1に与えられ、統合管理装置1の統計データ収集機能部121により経路情報の更新が行なわれる。   Then, as in steps S1 to S3, the path information exchanged between the routers 3-1 to 3-5 is acquired by the collection devices 2-1 to 2-5, and is given to the integrated management device 1 for integrated management. The route information is updated by the statistical data collection function unit 121 of the apparatus 1.

図7は、統合管理装置1における経路情報の動的変化に応じた観測設定処理の動作を示すフローチャートである。   FIG. 7 is a flowchart showing the operation of the observation setting process according to the dynamic change of the route information in the integrated management apparatus 1.

図7において、経路情報が変化し、経路情報記憶部127に記憶されている経路情報が更新されると、動的変化検出機能部123により経路情報の動的変化が検出される(ステップS21)。   In FIG. 7, when the route information changes and the route information stored in the route information storage unit 127 is updated, the dynamic change detection function unit 123 detects the dynamic change of the route information (step S21). .

動的変化検出機能部123により経路情報の動的変化が検出されると、観測設定管理機能部124は、経路情報記憶部127及び集約データ記憶部129を参照し、変更前の経路のトラフィック情報を分析すると共に(ステップS22)、変更後の経路の収集装置2を特定し(ステップS23)、収集装置2に対し観測設定の指示を行なう(ステップS24)。   When the dynamic change of the route information is detected by the dynamic change detection function unit 123, the observation setting management function unit 124 refers to the route information storage unit 127 and the aggregated data storage unit 129, and traffic information of the route before the change (Step S22), the collection device 2 of the route after the change is specified (step S23), and an observation setting instruction is given to the collection device 2 (step S24).

例えば、図6に示すように、経路情報が変化すると、AS1からAS5へのトラフィックフローが、AS1→AS2→AS4→AS5の経路に変更する(S7)。   For example, as shown in FIG. 6, when the route information changes, the traffic flow from AS1 to AS5 changes to the route of AS1 → AS2 → AS4 → AS5 (S7).

そうすると、観測設定管理機能部124は、ルータ3−2とルータ3−4との間を観測する収集装置2−4と、ルータ3−4とルータ3−5との間を観測する収集装置2−6に対し、観測設定の指示を行なう(S8)。   Then, the observation setting management function unit 124 collects the collection device 2-4 that observes between the router 3-2 and the router 3-4, and the collection device 2 that observes between the router 3-4 and the router 3-5. The observation setting is instructed to -6 (S8).

このように、経路情報の動的変化に応じて観測設定ができるようになれば、収集装置2−4及び2−6について、通常のワイヤスピードのデータ取得で設定しておき、経路が変わり、トラフィック量が多くなることを認識したときに、超高速取得の設定を指示することができるので、収集装置の処理負荷の軽減を図ることができる。また、特定事象の追跡をする際にも、追跡先となる回線を観測している収集装置に対して、観測設定することにより、収集装置の処理負荷を軽減しながら、効率よく追跡を実現することができる。   Thus, if observation setting can be performed according to the dynamic change of the route information, the collection devices 2-4 and 2-6 are set by normal wire speed data acquisition, the route changes, When it is recognized that the amount of traffic increases, it is possible to instruct the setting of ultra-high speed acquisition, so that the processing load on the collection device can be reduced. In addition, when tracking a specific event, it is possible to efficiently track while reducing the processing load on the collection device by setting the observation setting for the collection device that is observing the line to be tracked. be able to.

(A−3)第1の実施形態の効果
以上のように、第1の実施形態によれば、経路情報の動的変化に応じて観測設定することにより、収集装置が静的に観測する場合に比べ、収集装置の処理負荷を軽減することができる。 (A-3) Effect of the First Embodiment As described above, according to the first embodiment, the collection device performs static observation by performing observation setting according to the dynamic change of route information. As compared with the above, the processing load of the collecting apparatus can be reduced.

また、第1の実施形態によれば、特定事象がトラフィック内で発生した場合でも、経路変更によるトラフィックの追跡を実現することができ、効率的に特定事象の分析・解析を実現することができる。   Further, according to the first embodiment, even when a specific event occurs in the traffic, it is possible to realize the tracking of the traffic by changing the route, and to efficiently analyze and analyze the specific event. .

(B)他の実施形態
第1の実施形態において、収集装置、統合管理装置の機能構成は、ネットワーク上で接続可能であり、上記第1の実施形態で説明した機能を実現できるのであれば、それぞれの機能を実現するサーバとして分散配置されるようにしても良いし、また同一サーバ内に備えるようにしても良い。 (B) Other Embodiments In the first embodiment, if the functional configurations of the collection device and the integrated management device can be connected on a network and can implement the functions described in the first embodiment, The servers that realize the respective functions may be distributed and may be provided in the same server.

上述した収集装置、統合管理装置及び観測設定管理装置の各機能は、ソフトウェアとしてコンピュータにより実行され得る処理プログラムとして実現されるが、ハードウェアとして実現するようにしても良い。   Each function of the collection device, the integrated management device, and the observation setting management device described above is realized as a processing program that can be executed by a computer as software, but may be realized as hardware.

第1の実施形態のネットワーク監視システムの全体構成図である。1 is an overall configuration diagram of a network monitoring system according to a first embodiment. 第1の実施形態の収集装置のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the collection apparatus of 1st Embodiment. 第1の実施形態の収集装置が実現する機能を示す機能ブロック図である。It is a functional block diagram which shows the function which the collection device of 1st Embodiment implement | achieves. 第1の実施形態の統合管理装置のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the integrated management apparatus of 1st Embodiment. 第1の実施形態の統合管理装置が実現する機能を示す機能ブロック図である。It is a functional block diagram which shows the function which the integrated management apparatus of 1st Embodiment implement | achieves. 第1の実施形態の経路情報の構成例を示す説明図である。It is explanatory drawing which shows the structural example of the route information of 1st Embodiment. 第1の実施形態の経路情報の動的変化に応じた観測設定処理を示すフローチャートである。It is a flowchart which shows the observation setting process according to the dynamic change of the route information of 1st Embodiment.

符号の説明Explanation of symbols

1…統合管理装置、2(2−1〜2−6)…収集装置、3(3−1〜3−5)…ルータ(接続機器)、4…ネットワーク監視システム。   DESCRIPTION OF SYMBOLS 1 ... Integrated management apparatus, 2 (2-1 to 2-6) ... Collection apparatus, 3 (3-1 to 3-5) ... Router (connection apparatus), 4 ... Network monitoring system.

Claims (4)

自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視システムであって、
上記各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する複数の収集手段と、
上記各収集手段により収集された収集情報を受け取り、観測設定に従って上記各収集情報を集計する集計手段と、
上記各自律システムの接続機器間で交換される経路情報を収集する複数の経路情報収集手段と、
上記各経路情報収集手段から上記各経路情報を受け取り、上記各経路情報を保持する経路情報保持手段と、
上記経路情報保持手段を監視し、上記経路情報の変化を検出する動的変化検出手段と、
上記動的変化検出手段により上記経路情報の動的変化が検出されると、上記集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する上記収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定指示手段と
を備えることを特徴とするネットワーク監視システム。 A network monitoring system for monitoring traffic on a network configured with a plurality of autonomous systems capable of setting route information by an autonomous routing policy,
A plurality of collection means for acquiring communication data flowing on a connection line between connected devices connecting the autonomous systems, and collecting traffic information of an observation target set for observation;
Aggregating means for receiving the collected information collected by each collecting means and totaling the collected information according to the observation setting;
A plurality of route information collection means for collecting route information exchanged between connected devices of each of the autonomous systems;
Route information holding means for receiving each route information from each route information collecting means and holding each route information;
Dynamic change detection means for monitoring the route information holding means and detecting changes in the route information;
When the dynamic change of the route information is detected by the dynamic change detection means, the collecting means for recognizing the changed route by the counting means and observing the traffic information of the changed route that has changed dynamically. On the other hand, a network monitoring system comprising observation setting instruction means for instructing to dynamically change the acquisition contents of the observation setting in accordance with the dynamic change of the route information. 上記観測設定指示手段が、通常時よりも高速のサンプリング速度でトラフィック情報を取得させる超高速取得命令を含む観測設定を指示することを特徴とする請求項1に記載のネットワーク監視システム。   The network monitoring system according to claim 1, wherein the observation setting instruction unit instructs observation setting including an ultra-high speed acquisition command for acquiring traffic information at a sampling rate higher than normal. 自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視方法であって、
複数の収集手段が、上記各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する収集工程と、
集計手段が、上記各収集手段により収集された収集情報を受け取り、観測設定に従って上記各収集情報を集計する集計工程と、
経路情報収集手段が、上記各自律システムの接続機器間で交換される経路情報を収集する経路情報収集工程と、
経路情報保持手段が、上記経路情報収集手段から上記各経路情報を受け取り、上記各経路情報を保持する経路情報保持工程と、
動的変化検出手段が、上記経路情報保持手段を監視し、上記経路情報の変化を検出する動的変化検出工程と、
観測設定指示手段が、上記動的変化検出手段により上記経路情報の動的変化が検出されると、上記集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する上記収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定指示工程と
を備えることを特徴とするネットワーク監視方法。 A network monitoring method for monitoring traffic on a network configured with a plurality of autonomous systems capable of setting route information by an autonomous routing policy,
A collection step in which a plurality of collection means acquire communication data flowing on a connection line between connection devices connecting the autonomous systems, and collect traffic information of an observation target that is set for observation,
A counting step in which the counting means receives the collected information collected by each of the collecting means and totals the collected information according to the observation setting;
Route information collection means, the route information collection step that collects the routing information that is exchanged between connected devices of each autonomous system,
Path information holding means receives said respective path information from top Kikei path information collecting unit, and the path information holding step for holding the respective path information,
A dynamic change detecting unit that monitors the route information holding unit and detects a change in the route information;
When the observation setting instruction means detects the dynamic change of the route information by the dynamic change detection means, the observation setting instruction means recognizes the changed route by the counting means, and displays the traffic information of the changed route that has changed dynamically. A network monitoring method comprising: an observation setting instruction step for instructing the collecting means for observation to dynamically change the acquisition contents of the observation setting according to the dynamic change of the route information. 自律的なルーティングポリシーにより経路情報を設定することができる自律システムを複数有して構成されるネットワークのトラフィックを監視するネットワーク監視プログラムであって、
記各自律システム間を接続する接続機器間の接続回線上を流れる通信データを取得し、観測設定されている観測対象のトラフィック情報を収集する複数の収集手段と、ネットワークを介して接続する統合管理装置を
上記各収集手段により収集された収集情報を受け取り、観測設定に従って上記各収集情報を集計する集計手段、
上記各自律システムの接続機器間で交換される経路情報を収集する経路情報収集手段、
記経路情報収集手段から上記各経路情報を受け取り、上記各経路情報を保持する経路情報保持手段、
上記経路情報保持手段を監視し、上記経路情報の変化を検出する動的変化検出手段、
上記動的変化検出手段により上記経路情報の動的変化が検出されると、上記集計手段により変化した経路を認識し、動的に変化した変更後の経路のトラフィック情報を観測する上記収集手段に対し、上記経路情報の動的変化に応じて観測設定の取得内容を動的に変更するように指示する観測設定指示手段
として機能させることを特徴とするネットワーク監視プログラム。 A network monitoring program for monitoring traffic on a network configured with a plurality of autonomous systems capable of setting route information by an autonomous routing policy,
Acquires a communication data flowing connection over line between connected devices for connecting upper SL each autonomous system, a plurality of collecting means for collecting traffic information of the observation target is observed set, integrated connecting via the network Management device
Aggregating means for receiving the collected information collected by each of the collecting means and totaling the collected information according to the observation setting,
Route information collection unit that collects the routing information that is exchanged between connected devices of each autonomous system,
Receive the respective path information from top Kikei path information collecting means, the route information holding means for holding the respective path information,
Dynamic change detection means for monitoring the route information holding means and detecting changes in the route information;
When the dynamic change of the route information is detected by the dynamic change detection means, the collecting means for recognizing the changed route by the counting means and observing the traffic information of the changed route that has changed dynamically. On the other hand, a network monitoring program that functions as observation setting instruction means for instructing to dynamically change the acquisition contents of the observation setting in accordance with the dynamic change of the route information.
JP2006264966A 2006-09-28 2006-09-28 Network monitoring system, network monitoring method, and network monitoring program Active JP4425255B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006264966A JP4425255B2 (en) 2006-09-28 2006-09-28 Network monitoring system, network monitoring method, and network monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006264966A JP4425255B2 (en) 2006-09-28 2006-09-28 Network monitoring system, network monitoring method, and network monitoring program

Publications (2)

Publication Number Publication Date
JP2008085812A JP2008085812A (en) 2008-04-10
JP4425255B2 true JP4425255B2 (en) 2010-03-03

Family

ID=39356176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006264966A Active JP4425255B2 (en) 2006-09-28 2006-09-28 Network monitoring system, network monitoring method, and network monitoring program

Country Status (1)

Country Link
JP (1) JP4425255B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5035217B2 (en) * 2008-10-30 2012-09-26 富士通株式会社 Network system, network monitoring device and integrated monitoring device
JP5080549B2 (en) * 2009-11-30 2012-11-21 日本電信電話株式会社 Network monitoring method and network monitoring apparatus
JP4955083B2 (en) * 2010-02-19 2012-06-20 日本電信電話株式会社 Traffic fluctuation monitoring device, traffic fluctuation monitoring method, and traffic fluctuation monitoring system
JP2013062627A (en) * 2011-09-12 2013-04-04 Nippon Telegr & Teleph Corp <Ntt> Network information storage device, method, and program
WO2017019106A1 (en) * 2015-07-30 2017-02-02 Hewlett Packard Enterprise Development Lp Traffic on defined network having aggregations of network devices

Also Published As

Publication number Publication date
JP2008085812A (en) 2008-04-10

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
Chen et al. Measuring TCP round-trip time in the data plane
CN105493450B (en) The method and system of service exception in dynamic detection network
EP3151470B1 (en) Analytics for a distributed network
US9577906B2 (en) Scalable performance monitoring using dynamic flow sampling
CN108063765B (en) SDN system suitable for solving network security
US8649380B2 (en) Distributed network management
EP2745468B1 (en) Network-wide flow monitoring in split architecture networks
JP2007013590A (en) Network monitoring system, network monitoring device and program
WO2011155510A1 (en) Communication system, control apparatus, packet capture method and program
US9847925B2 (en) Accurate measurement of distributed counters
US20110296005A1 (en) Method and system for monitoring control signal traffic over a computer network
EP1583281A1 (en) High-speed traffic measurement and analysis methodologies and protocols
US20040015583A1 (en) Network management apparatus
JP2008085819A (en) Network abnormality detection system, network abnormality detection method, and network abnormality detection program
JP4425255B2 (en) Network monitoring system, network monitoring method, and network monitoring program
US20200092211A1 (en) Packet telemetry data via first hop node configuration
JP2012004781A (en) Configuration information acquisition method, virtual probe and configuration information acquisition control apparatus
JP2008072496A (en) Network monitoring system, communication quality measuring system and communication quality measuring method
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
JP4244355B2 (en) Passed packet monitoring apparatus and method
JP2013223191A (en) Communication system, control device, packet collection method and program
JP2008092069A (en) System, method and program for managing observation setting
Cheng et al. Longitudinal study of BGP monitor session failures
Rewaskar et al. Testing the scalability of overlay routing infrastructures

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090915

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091208

R150 Certificate of patent or registration of utility model

Ref document number: 4425255

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121218

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121218

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131218

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350