JP4519791B2 - トラフィック情報収集システムおよびネットワーク機器 - Google Patents
トラフィック情報収集システムおよびネットワーク機器 Download PDFInfo
- Publication number
- JP4519791B2 JP4519791B2 JP2006060510A JP2006060510A JP4519791B2 JP 4519791 B2 JP4519791 B2 JP 4519791B2 JP 2006060510 A JP2006060510 A JP 2006060510A JP 2006060510 A JP2006060510 A JP 2006060510A JP 4519791 B2 JP4519791 B2 JP 4519791B2
- Authority
- JP
- Japan
- Prior art keywords
- sampling
- traffic information
- network device
- index
- filter condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、トラフィック情報収集システムおよびネットワーク機器に係り、特に、インターネットに代表されるネットワーク上を流れるトラフィックをモニタする際に、大容量化したネットワーク上のトラフィックを効率的にモニタする手法に関する。
従来のフロー統計配信プロトコル(sFlow,NetFlow)では、入力インタフェース(IF)で受信する全てのパケットを対象にサンプリングを行っている。ベンダによっては、フィルタを実施したうえで、サンプリングを行う手法を可能としているが、配信する情報に差異がないため、フィルタの条件の有無やフィルタ内容について、トラフィック情報収集機器が把握することができない状況にある。この場合に、設定可能なフィルタ条件は自在であるが、フィルタ条件などを配信する仕組みがない。
また、フロー統計配信プロトコルのひとつであるIPFIXプロトコルでは(下記、非特許文献1参照)、フィルタ条件など設定された全ての情報を配信することとしているため、情報転送量が大きくなるという問題がある。
また、IPFIXプロトコルで定義された技術は、全ての情報を通知できる反面、フィルタ条件は、各パラメータをAND条件で判定するのみである。フィルタの条件を排他的に指定することや異なるフィールドのフィルタ条件をOR条件として扱うことができず、プロトコルの制約により、フィルタ設定内容に制約がある。
また、フロー統計配信プロトコルのひとつであるIPFIXプロトコルでは(下記、非特許文献1参照)、フィルタ条件など設定された全ての情報を配信することとしているため、情報転送量が大きくなるという問題がある。
また、IPFIXプロトコルで定義された技術は、全ての情報を通知できる反面、フィルタ条件は、各パラメータをAND条件で判定するのみである。フィルタの条件を排他的に指定することや異なるフィールドのフィルタ条件をOR条件として扱うことができず、プロトコルの制約により、フィルタ設定内容に制約がある。
なお、本願発明に関連する先行技術文献としては以下のものがある。
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9
http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt RFC3954 Cisco NetFlow version9
前述したように、NetFlow,sFlowは、フィルタ設定情報を自在に設定可能であるが、フィルタ条件などを配信する機能がなく、また、IPFIXプロトコルでは、設定情報は通知可能であるが、フィルタ条件を設定する際の制約がある。また、全ての情報を配信するため、情報量が多くなるという問題点があった。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となし、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となし、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、前記ネットワーク機器は、パケットを選択するフィルタリング手段と、パケットを抽出するサンプリング手段と、前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知する第1レポート手段とを有し、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有することを特徴とする。
(2)(1)において、前記ネットワーク機器の前記第1レポート手段は、前記フィルタリング手段においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(1)ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、前記ネットワーク機器は、パケットを選択するフィルタリング手段と、パケットを抽出するサンプリング手段と、前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知する第1レポート手段とを有し、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有することを特徴とする。
(2)(1)において、前記ネットワーク機器の前記第1レポート手段は、前記フィルタリング手段においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(3)(1)または(2)において、前記ネットワーク機器は、前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知する第2レポート手段を有し、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有する。
(4)(3)において、前記ネットワーク機器の前記第2レポート手段は、前記フィルタリング手段において前記パケットを階層的に分類し、前記サンプリング手段において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(4)(3)において、前記ネットワーク機器の前記第2レポート手段は、前記フィルタリング手段において前記パケットを階層的に分類し、前記サンプリング手段において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(5)ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備え、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有するトラフィック情報収集システムにおけるネットワーク機器であって、パケットを選択するフィルタリング機能部と、パケットを抽出するサンプリング機能部と、前記フィルタリング機能部のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知する第1レポート機能部とを有することを特徴とする。
(6)(5)において、前記第1レポート機能部は、前記フィルタリング機能部においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(6)(5)において、前記第1レポート機能部は、前記フィルタリング機能部においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(7)(5)または(6)において、前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有し、前記サンプリング機能部のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知する第2レポート機能部を有する。
(8)(7)において、前記第2レポート機能部は、前記フィルタリング機能部において前記パケットを階層的に分類し、前記サンプリング機能部において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
(8)(7)において、前記第2レポート機能部は、前記フィルタリング機能部において前記パケットを階層的に分類し、前記サンプリング機能部において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知する。
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となしたので、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる。
本発明によれば、トラフィック情報収集機器が、少ない情報量でネットワーク機器でパケットをフィルタした条件を収集可能となし、かつ、これを変更可能となしたので、情報量を削減し、フィルタ設定条件の制約を受けずに、効率的にトラフィック情報収集することが可能となる。
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラフィック情報収集システムの概略構成を示すブロック図である。
図1において、1はパケット、10はルータなどのネットワーク機器(以下、単に、NW機器という)、20はトラフィック情報収集機器である。
NW機器10は、入力インタフェース(IF)11と、フィルタ機能部12と、サンプリング機能部13と、レポート機能部14と、フィルタ機能部12のMIB(Management Information Base)15と、サンプリング機能部13のMIB16とを有する。
トラフィック情報収集機器20は、ネットワーク機器10から配信されたトラフィック情報を収集・蓄積する トラフィック情報収集蓄積機能部21と、 トラフィック情報収集蓄積機能部21で収集したトラフィック情報を分析するトラフィック分析機能部22と、ネットワーク機器10から通知されたINDEX情報に基づき、ネットワーク機器のMIB(15,16)からフィルタ条件、あるいは、サンプリングレートを取得し、かつ、ネットワーク機器のMIB(15,16)に、フィルタ条件、あるいは、サンプリングレートを設定するSNMP機能部23と、トラフィック情報を表示するトラフィック画面表示機能部24とを有する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
図1は、本発明の実施例のトラフィック情報収集システムの概略構成を示すブロック図である。
図1において、1はパケット、10はルータなどのネットワーク機器(以下、単に、NW機器という)、20はトラフィック情報収集機器である。
NW機器10は、入力インタフェース(IF)11と、フィルタ機能部12と、サンプリング機能部13と、レポート機能部14と、フィルタ機能部12のMIB(Management Information Base)15と、サンプリング機能部13のMIB16とを有する。
トラフィック情報収集機器20は、ネットワーク機器10から配信されたトラフィック情報を収集・蓄積する トラフィック情報収集蓄積機能部21と、 トラフィック情報収集蓄積機能部21で収集したトラフィック情報を分析するトラフィック分析機能部22と、ネットワーク機器10から通知されたINDEX情報に基づき、ネットワーク機器のMIB(15,16)からフィルタ条件、あるいは、サンプリングレートを取得し、かつ、ネットワーク機器のMIB(15,16)に、フィルタ条件、あるいは、サンプリングレートを設定するSNMP機能部23と、トラフィック情報を表示するトラフィック画面表示機能部24とを有する。
選択的トラフィックモニタ機能を有するNW機器10は、フィルタ機能部12で、パケットの特性情報をもとにトラフィックを選択し、サンプリング機能部13で、予め決まられたサンプリングレートに基づき、モニタ対象とするパケットを抽出する。
抽出されたパケットは、レポート機能部14から、フロー(Source IP アドレス,Destination IP アドレス,Protocol,Source Port, Destination Port)毎のカウンタもしくは、当該パケットのヘッダ情報の上位Byteのみのトラフィック情報として、トラフィック情報収集機器20に配信される。
本実施例では、前述のトラフィック情報を配信する際に、レポート機能部14が、フロー統計配信プロトコルの拡張情報を用いて、使用したサンプリング間隔や使用したフィルタ条件に関わるMIB情報のINDEXを配信し、SNMP(Simple Network Management Protocol)により、その設定情報の取得及び設定を可能とする。
これにより、トラフィック情報収集機器20では、設定情報を収集して、集約情報の一部として活用することを可能とし、Webなどでトラフィック量を表示する際には、そのフィルタ条件を表示することを可能とする。また、トラフィックを分析し、自律的にフィルタ条件を制御することで、異常トラフィックの更なる絞りこみを可能とし、検出精度を向上させることが可能となる。
抽出されたパケットは、レポート機能部14から、フロー(Source IP アドレス,Destination IP アドレス,Protocol,Source Port, Destination Port)毎のカウンタもしくは、当該パケットのヘッダ情報の上位Byteのみのトラフィック情報として、トラフィック情報収集機器20に配信される。
本実施例では、前述のトラフィック情報を配信する際に、レポート機能部14が、フロー統計配信プロトコルの拡張情報を用いて、使用したサンプリング間隔や使用したフィルタ条件に関わるMIB情報のINDEXを配信し、SNMP(Simple Network Management Protocol)により、その設定情報の取得及び設定を可能とする。
これにより、トラフィック情報収集機器20では、設定情報を収集して、集約情報の一部として活用することを可能とし、Webなどでトラフィック量を表示する際には、そのフィルタ条件を表示することを可能とする。また、トラフィックを分析し、自律的にフィルタ条件を制御することで、異常トラフィックの更なる絞りこみを可能とし、検出精度を向上させることが可能となる。
図2は、本実施例において、サンプリングレートを格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例では、NW機器10のサンプリング機能部13上で、複数のサンプリング・インスタンスを生成した場合には、そのINDEXがインスタンスIDとなっている場合が多い。そのため、インスタンスIDを通知する。
拡張情報を通知する手法としては、sFlow version5 にて、Enterprise Tagを拡張することが可能となっているため、これを利用する。また、NetFlow version9 では予めEterprise Tagを定めておき、Template(Template Flow Set)内に含めることで、トラフィック情報(Data Flow Set)に含めて、これを通知することを可能とする。
ここでは、図2のAに示すように、このType名を、「Sampling Rate INDEX」とする。トラフィック情報収集機器20では、サンプリング間隔が格納されるMIB16のオブジェクトIDを予め、保持しておき、このデータにアクセスする際には、通知されたINDEXの情報をオブジェクトIDに付与(アペンド)して、SNMPにてアクセスする。
トラフィック分析機能部20で、トラフィック測定機能(フロー統計配信プロトコル)での測定結果に基づき、SNMP機能部23に指示することで、サンプリング間隔を制御することができる。
本実施例では、NW機器10のサンプリング機能部13上で、複数のサンプリング・インスタンスを生成した場合には、そのINDEXがインスタンスIDとなっている場合が多い。そのため、インスタンスIDを通知する。
拡張情報を通知する手法としては、sFlow version5 にて、Enterprise Tagを拡張することが可能となっているため、これを利用する。また、NetFlow version9 では予めEterprise Tagを定めておき、Template(Template Flow Set)内に含めることで、トラフィック情報(Data Flow Set)に含めて、これを通知することを可能とする。
ここでは、図2のAに示すように、このType名を、「Sampling Rate INDEX」とする。トラフィック情報収集機器20では、サンプリング間隔が格納されるMIB16のオブジェクトIDを予め、保持しておき、このデータにアクセスする際には、通知されたINDEXの情報をオブジェクトIDに付与(アペンド)して、SNMPにてアクセスする。
トラフィック分析機能部20で、トラフィック測定機能(フロー統計配信プロトコル)での測定結果に基づき、SNMP機能部23に指示することで、サンプリング間隔を制御することができる。
図3は、本実施例において、合致したフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例では、NW機器10のフィルタ機能部12において、条件合致したフィルタ条件を格納したMIB15のINDEXをフロー統計配信プロトコルの拡張情報として通知する。
フィルタ条件は、ベンダ毎のプライベートMIBオブジェクトに格納される。そのため、トラフィック情報収集機器20は、NW機器10のフィルタ条件を格納したオブジェクトIDとそのSYNTAXを項目毎に保持しておき、INDEXの通知を受けた際に、このオブジェクトIDとINDEXからMIB16ヘアクセスする。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様に拡張情報を活用する。ここでは、図3のAに示すように、このType名を「Match Filter Index」とする。「Object Number」には、対象オブジェクトにアクセスする際に必要とするINDEXのオブジェクト数を示す。
これにより、トラフィック情報収集機器20では、トラフィック画面表示機能部24に、トラフィック量(bps, pps)などと併せて、フィルタ条件を表示することが可能となる。
また、トラフィック分析機能部22では、フィルタ条件のINDEXをもとにトラフィック量を集約することが可能となる。これにより、トラフィック測定機能(フロー統計配信プロトコル)にて配信できない情報をもとにトラフィック量を把握することが可能となる。例えば、フィルタ条件で、TCPのWindowサイズ20000以下のパケットをフィルタ条件とした場合に、トラフィック分析機能部22では、INDEXをもとにデータ集約を行うことで、TCP SYNフラグだけのトラフィック量を把握することが可能となる。
本実施例では、NW機器10のフィルタ機能部12において、条件合致したフィルタ条件を格納したMIB15のINDEXをフロー統計配信プロトコルの拡張情報として通知する。
フィルタ条件は、ベンダ毎のプライベートMIBオブジェクトに格納される。そのため、トラフィック情報収集機器20は、NW機器10のフィルタ条件を格納したオブジェクトIDとそのSYNTAXを項目毎に保持しておき、INDEXの通知を受けた際に、このオブジェクトIDとINDEXからMIB16ヘアクセスする。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様に拡張情報を活用する。ここでは、図3のAに示すように、このType名を「Match Filter Index」とする。「Object Number」には、対象オブジェクトにアクセスする際に必要とするINDEXのオブジェクト数を示す。
これにより、トラフィック情報収集機器20では、トラフィック画面表示機能部24に、トラフィック量(bps, pps)などと併せて、フィルタ条件を表示することが可能となる。
また、トラフィック分析機能部22では、フィルタ条件のINDEXをもとにトラフィック量を集約することが可能となる。これにより、トラフィック測定機能(フロー統計配信プロトコル)にて配信できない情報をもとにトラフィック量を把握することが可能となる。例えば、フィルタ条件で、TCPのWindowサイズ20000以下のパケットをフィルタ条件とした場合に、トラフィック分析機能部22では、INDEXをもとにデータ集約を行うことで、TCP SYNフラグだけのトラフィック量を把握することが可能となる。
図5は、本実施例において、合致しないフィルタ条件を格納したMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。なお、図5において、15−1〜15−4は、フィルタ機能部12のMIBである。
NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用した場合に、合致したフィルタ条件の前に評価されるフィルタ条件が存在する。
そこで、本実施例では、前段のフィルタ条件の排他となっているため、この前段の条件についてもトラフィック情報収集機器20に通知し、フィルタ条件毎のトラフィック情報を分析することを可能とする。
図4は、NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用する場合の概念を示す図である。
図4のINDEX1→2→3→4→5の順にフィルタ条件が適用され、INDEX=5のフィルタ条件に合致した場合に、前段で評価されたINDEX=1,2,3,4を通知する。
これにより、INDEX=5のフィルタ条件は、全てのパケットを選択するフィルタ条件となっているが、INDEX=1,2,3,4のフィルタ条件以外のトラフィックが適用されていることをトラフィック情報収集機器20に通知可能となる。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様である。ここでは、図5のAに示すように、このType名を「No Match Previous Filter Indexs」とする。「Previous Index Number」には、対象オブジェクトにアクセスする際に必要とするINDEX数を示す。
NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用した場合に、合致したフィルタ条件の前に評価されるフィルタ条件が存在する。
そこで、本実施例では、前段のフィルタ条件の排他となっているため、この前段の条件についてもトラフィック情報収集機器20に通知し、フィルタ条件毎のトラフィック情報を分析することを可能とする。
図4は、NW機器10のフィルタ機能部12において、複数のフィルタ条件を適用する場合の概念を示す図である。
図4のINDEX1→2→3→4→5の順にフィルタ条件が適用され、INDEX=5のフィルタ条件に合致した場合に、前段で評価されたINDEX=1,2,3,4を通知する。
これにより、INDEX=5のフィルタ条件は、全てのパケットを選択するフィルタ条件となっているが、INDEX=1,2,3,4のフィルタ条件以外のトラフィックが適用されていることをトラフィック情報収集機器20に通知可能となる。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様である。ここでは、図5のAに示すように、このType名を「No Match Previous Filter Indexs」とする。「Previous Index Number」には、対象オブジェクトにアクセスする際に必要とするINDEX数を示す。
図7は、本実施例において、階層化サンプリング手法での対象サンプリンググループのMIBオブジェクトのINDEXをフロー統計配信プロトコルの拡張情報として通知する方法を説明するための図である。
本実施例において、NW機器10のフィルタ機能部(12−1〜12−6)において、パケットを階層的に分類し、サンプリング機能部(13−1〜13−3)において、それぞれの階層で特定のサンプリング間隔でサンプリングを実施する場合に、全階層のサンプリング・インスタンスをグループ化し、サンプリング間隔が格納されたMIBオブジェクトのINDEXを通知する。
例えば、図6に示すように、NW機器10における、ある入力インタフェース(IF)11から流入したパケットは、フィルタ機能部(12−1〜12−6)の複数のフィルタ条件により、3階層に分類される。それぞれの階層では、サンプリング機能部(13−1〜13−3)において、予め決まられたサンプリング間隔でサンプリングされる。なお、図6において、16−1〜16−3は、サンプリング機能部(13−1〜13−3)のMIBである。
MIBオブジェクトのINDEXが、各インスタンス IDである場合に、各トラフィック測定機能(フロー統計配信プロトコル)の拡張情報として、インスタンス ID=1,2,3が階層化グループに含まれることを通知する。この場合に、各サンプリングインスタンスは、同一のトラフィック測定ポイント(scope, sourceid)であることが条件となる。
本実施例において、NW機器10のフィルタ機能部(12−1〜12−6)において、パケットを階層的に分類し、サンプリング機能部(13−1〜13−3)において、それぞれの階層で特定のサンプリング間隔でサンプリングを実施する場合に、全階層のサンプリング・インスタンスをグループ化し、サンプリング間隔が格納されたMIBオブジェクトのINDEXを通知する。
例えば、図6に示すように、NW機器10における、ある入力インタフェース(IF)11から流入したパケットは、フィルタ機能部(12−1〜12−6)の複数のフィルタ条件により、3階層に分類される。それぞれの階層では、サンプリング機能部(13−1〜13−3)において、予め決まられたサンプリング間隔でサンプリングされる。なお、図6において、16−1〜16−3は、サンプリング機能部(13−1〜13−3)のMIBである。
MIBオブジェクトのINDEXが、各インスタンス IDである場合に、各トラフィック測定機能(フロー統計配信プロトコル)の拡張情報として、インスタンス ID=1,2,3が階層化グループに含まれることを通知する。この場合に、各サンプリングインスタンスは、同一のトラフィック測定ポイント(scope, sourceid)であることが条件となる。
拡張情報を通知する手法としては、サンプリング間隔を通知する手法と同様である。ここでは、図7のAに示すように、このType名を「Stratified Sampling Group lndexs」とする。「Group Index Number」には、当該グループ内に含まれるINDEX数を示す。
「Sampling Rate Index」と「Stratified Sampling Group Indexs」を通知することで、トラフィック情報収集機器20のトラフィック分析機能部22では、複数のサンプリング・インスタンスのうち、階層化サンプリングを実施しているグループを特定することが可能となる。
これにより、各サンプリング・インスタンスで処理するトラフィック量を推定することの他に、NW機器10の入力インタフェース(IF)11に流れ込んだトラフィック量全体についても、推定することが可能となる。
以上説明したように、本実施例では、サンプリングの前に、パケットをフィルタすることで、ある特定のトラフィックに絞込み、トラフィックをモニタすることで、トラフィック情報をより効率的に測定することができる。
また、トラフィック情報収集機器20が、その集約結果、分析結果に応じて、自律的にサンプリング間隔、フィルタ条件を変更することができるので、異常トラフィックの検出精度を向上させることが可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
「Sampling Rate Index」と「Stratified Sampling Group Indexs」を通知することで、トラフィック情報収集機器20のトラフィック分析機能部22では、複数のサンプリング・インスタンスのうち、階層化サンプリングを実施しているグループを特定することが可能となる。
これにより、各サンプリング・インスタンスで処理するトラフィック量を推定することの他に、NW機器10の入力インタフェース(IF)11に流れ込んだトラフィック量全体についても、推定することが可能となる。
以上説明したように、本実施例では、サンプリングの前に、パケットをフィルタすることで、ある特定のトラフィックに絞込み、トラフィックをモニタすることで、トラフィック情報をより効率的に測定することができる。
また、トラフィック情報収集機器20が、その集約結果、分析結果に応じて、自律的にサンプリング間隔、フィルタ条件を変更することができるので、異常トラフィックの検出精度を向上させることが可能となる。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
1 パケット
10 ネットワーク機器
11 入力インタフェース(IF)
12 フィルタ機能部
13,13−1〜13−3 サンプリング機能部
14 レポート機能部
15,15−1〜15−4,16−1〜16−3 MIB(Management Information Base)
20 トラフィック情報収集機器
21 トラフィック情報収集蓄積機能部
22 トラフィック分析機能部
23 SNMP機能部
24 トラフィック画面表示機能部
10 ネットワーク機器
11 入力インタフェース(IF)
12 フィルタ機能部
13,13−1〜13−3 サンプリング機能部
14 レポート機能部
15,15−1〜15−4,16−1〜16−3 MIB(Management Information Base)
20 トラフィック情報収集機器
21 トラフィック情報収集蓄積機能部
22 トラフィック分析機能部
23 SNMP機能部
24 トラフィック画面表示機能部
Claims (8)
- ネットワーク機器と、前記ネットワーク機器から配信されるトラフィック情報を収集するトラフィック情報収集機器とを備えるトラフィック情報収集システムであって、
前記ネットワーク機器は、パケットを選択するフィルタリング手段と、
パケットを抽出するサンプリング手段と、
前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知する第1レポート手段とを有し、
前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、
前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有することを特徴とするトラフィック情報収集システム。 - 前記ネットワーク機器の前記第1レポート手段は、前記フィルタリング手段においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項1に記載のトラフィック情報収集システム。
- 前記ネットワーク機器は、前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知する第2レポート手段を有し、
前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、
前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有することを特徴とする請求項1または請求項2に記載のトラフィック情報収集システム。 - 前記ネットワーク機器の前記第2レポート手段は、前記フィルタリング手段において前記パケットを階層的に分類し、前記サンプリング手段において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項3に記載のトラフィック情報収集システム。
- ネットワーク機器と、前記ネットワーク機器から配信されたトラフィック情報を収集するトラフィック情報収集機器とを備え、
前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記フィルタリング手段のフィルタ条件が格納されたMIBオブジェクトからフィルタ条件を取得する手段と、
前記ネットワーク機器の前記フィルタリング手段のフィルタ条件が格納されるMIBオブジェクトに、前記フィルタ条件を設定する手段とを有するトラフィック情報収集システムにおけるネットワーク機器であって、
パケットを選択するフィルタリング機能部と、
パケットを抽出するサンプリング機能部と、
前記フィルタリング機能部のフィルタ条件が格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して前記トラフィック情報収集機器に通知する第1レポート機能部とを有することを特徴とするネットワーク機器。 - 前記第1レポート機能部は、前記フィルタリング機能部においてパケットを選択する際に複数のフィルタ条件を使用した場合に、合致したフィルタ条件の前段で評価が行われたフィルタ条件を格納するMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項5に記載のネットワーク機器。
- 前記トラフィック情報収集機器は、前記ネットワーク機器から通知されたINDEX情報に基づき、前記ネットワーク機器における前記サンプリング手段のサンプリングレートが格納されたMIBオブジェクトからサンプリングレートを取得する手段と、
前記ネットワーク機器の前記サンプリング手段のサンプリングレートを格納するMIBオブジェクトに、前記サンプリングレートを設定する手段とを有し、
前記サンプリング機能部のサンプリングレートが格納されたMIBオブジェクトのINDEX情報を、フロー統計配信プロトコルの拡張情報を利用して、前記トラフィック情報収集機器に通知する第2レポート機能部を有することを特徴とする請求項5または請求項6に記載のネットワーク機器。 - 前記第2レポート機能部は、前記フィルタリング機能部において前記パケットを階層的に分類し、前記サンプリング機能部において複数のサンプリング・インスタンスでサンプリングした場合に、前記複数のサンプリング・インスタンスをグループ化し、そのグループに属するサンプリング・インスタンスのサンプリングレートを格納したMIBオブジェクトのINDEXを、フロー統計配信プロトコルの拡張情報を用いて、前記トラフィック情報収集機器に通知することを特徴とする請求項7に記載のネットワーク機器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006060510A JP4519791B2 (ja) | 2006-03-07 | 2006-03-07 | トラフィック情報収集システムおよびネットワーク機器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006060510A JP4519791B2 (ja) | 2006-03-07 | 2006-03-07 | トラフィック情報収集システムおよびネットワーク機器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007243373A JP2007243373A (ja) | 2007-09-20 |
| JP4519791B2 true JP4519791B2 (ja) | 2010-08-04 |
Family
ID=38588491
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006060510A Expired - Fee Related JP4519791B2 (ja) | 2006-03-07 | 2006-03-07 | トラフィック情報収集システムおよびネットワーク機器 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4519791B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4523612B2 (ja) * | 2007-03-07 | 2010-08-11 | 日本電信電話株式会社 | 経路情報・mib情報をもとにしたトラフィック監視方法 |
| WO2009118827A1 (ja) * | 2008-03-25 | 2009-10-01 | 富士通株式会社 | フロー情報収集装置 |
| JP4643692B2 (ja) * | 2008-08-18 | 2011-03-02 | 日本電信電話株式会社 | トラヒック情報の収集方法およびトラヒック受信装置 |
| KR101564643B1 (ko) | 2013-10-17 | 2015-11-09 | 한국전자통신연구원 | 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법 |
| US11677627B2 (en) * | 2018-06-29 | 2023-06-13 | Forescout Technologies, Inc. | Dynamic segmentation management |
| US11271812B2 (en) | 2018-06-29 | 2022-03-08 | Forescout Technologies, Inc. | Segmentation management including visualization, configuration, simulation, or a combination thereof |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07183932A (ja) * | 1993-12-24 | 1995-07-21 | Hitachi Ltd | 階層型ネットワーク管理システム |
| JP2002140242A (ja) * | 2000-10-31 | 2002-05-17 | Canon Inc | ネットワーク管理装置およびネットワーク管理方法および記憶媒体 |
| JP2005286684A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Ltd | トラフィックフロー計測環境設定方式 |
-
2006
- 2006-03-07 JP JP2006060510A patent/JP4519791B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07183932A (ja) * | 1993-12-24 | 1995-07-21 | Hitachi Ltd | 階層型ネットワーク管理システム |
| JP2002140242A (ja) * | 2000-10-31 | 2002-05-17 | Canon Inc | ネットワーク管理装置およびネットワーク管理方法および記憶媒体 |
| JP2005286684A (ja) * | 2004-03-30 | 2005-10-13 | Hitachi Ltd | トラフィックフロー計測環境設定方式 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007243373A (ja) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| US9667521B2 (en) | System and method for network traffic profiling and visualization | |
| EP3151470B1 (en) | Analytics for a distributed network | |
| Isolani et al. | Interactive monitoring, visualization, and configuration of OpenFlow-based SDN | |
| US10637756B2 (en) | Traffic analytics service for telemetry routers and monitoring systems | |
| JP4519791B2 (ja) | トラフィック情報収集システムおよびネットワーク機器 | |
| US20160234094A1 (en) | Streaming method and system for processing network metadata | |
| JP2001203691A (ja) | ネットワークトラフィック監視システム及びそれに用いる監視方法 | |
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| KR20080031177A (ko) | 분산 트래픽 분석 | |
| US11650994B2 (en) | Monitoring network traffic to determine similar content | |
| CN112511383A (zh) | 网络流量监测方法及装置 | |
| Pekar et al. | Towards threshold‐agnostic heavy‐hitter classification | |
| Benes et al. | Look at my Network: An insight into the ISP Backbone Traffic | |
| JP2016146581A (ja) | トラヒック情報収集装置およびトラヒック情報収集方法 | |
| JP2008072496A (ja) | ネットワーク監視システム、通信品質測定システム及び通信品質測定方法 | |
| JP5684748B2 (ja) | ネットワーク品質監視装置及びネットワーク品質監視方法 | |
| JP4246238B2 (ja) | トラフィック情報の配信及び収集方法 | |
| US9979613B2 (en) | Analyzing network traffic in a computer network | |
| JP4938042B2 (ja) | フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム | |
| Xu | Network Behavior Analysis | |
| Cisco | Analyzer Data Exporting and Collecting Entries | |
| JP5362769B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
| JP5833934B2 (ja) | パケットキャプチャーシステムおよびパケットキャプチャー方法 | |
| JP5528372B2 (ja) | フロー品質劣化特定装置及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080819 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081016 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090217 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091006 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091130 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100518 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100519 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130528 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4519791 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140528 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |