JP4643692B2 - トラヒック情報の収集方法およびトラヒック受信装置 - Google Patents

トラヒック情報の収集方法およびトラヒック受信装置 Download PDF

Info

Publication number
JP4643692B2
JP4643692B2 JP2008209624A JP2008209624A JP4643692B2 JP 4643692 B2 JP4643692 B2 JP 4643692B2 JP 2008209624 A JP2008209624 A JP 2008209624A JP 2008209624 A JP2008209624 A JP 2008209624A JP 4643692 B2 JP4643692 B2 JP 4643692B2
Authority
JP
Japan
Prior art keywords
traffic
traffic information
filter condition
distribution device
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008209624A
Other languages
English (en)
Other versions
JP2010045704A (ja
Inventor
裕 廣川
淳史 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008209624A priority Critical patent/JP4643692B2/ja
Publication of JP2010045704A publication Critical patent/JP2010045704A/ja
Application granted granted Critical
Publication of JP4643692B2 publication Critical patent/JP4643692B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、インターネットに代表される大規模ネットワーク上を流れるトラヒックをモニタする際に、ネットワーク上のトラヒックを効率的にモニタする手法に関し、特に、トラヒック情報の収集及び振り分け方法に関する。
大規模、大容量化したネットワークにおいては、膨大なトラヒック全てについてパケット単位での観測を行うことは困難である。そのため、トラヒックのフロー集約やパケットのサンプリングといった技術が必要となる。現在はsFlow(非特許文献1参照)やNetFlow(非特許文献2参照)といったフロー統計配信プロトコルを用いてネットワーク上のトラヒックを監視する技術が、ルータやスイッチといったNW機器(Network機器)に主に導入されている。
sFlowやNetFlowといった従来のフロー統計配信プロトコルは、NW機器のIF(Interface)上で受信する全てのパケットを対象にサンプリングが行われている。また、フロー統計配信プロトコルの一つであるIPFIXプロトコル(非特許文献3参照)では、フィルタ条件とサンプリングを組み合わせることでより柔軟なトラヒック測定を可能としているが、情報の配信方法については、一律同じ方式が適用される。
このような状況の中で、より柔軟にトラヒックを抽出する方法として、一次的に異常として検出されたトラヒックを抽出して、大容量のトラヒックの中に埋もれないようにする機能や、フロー条件を元に、より柔軟にフロー統計を実施する機能が考案されている。更に、特定のパケットのフィルタリングやパケットの分類を行ってからサンプリングされたトラヒックの配信方法を、分類されたフィルタ条件毎に設定可能とする機能も考案されている。
しかし、NW機器でパケットのフィルタリングやパケットの分類を行うためには、ネットワーク上でトラヒックの監視を行っている複数のNW機器にフィルタ条件などの設定を行わなければならない。同様に、フロー配信パケットを受信する装置についても、アプリケーション毎に適した処理を行うための振り分け条件を設定しなければならない。
また、より詳細なトラヒック分析を行おうとすると、フィルタ条件として設定しなければならない項目も多くなり、一つのNW機器毎の設定に要する作業量も大きくなってしま
う。
今後NW機器においてフィルタ条件毎にフロー情報を配信する機能が増え、設定を変更する頻度も多くなれば、それを設定する作業に要するコストが大きくなる。更に、受信したフロー情報を受信する装置側についても、NW機器で用いられたフィルタ条件毎に異なる処理(分析・転送・蓄積など)をフロー情報に対して行うためには、同様にフィルタ条件の設定作業をしなければならない。
IPFIXによるフロー配信機能を有したNW機器に対して、XMLで記述された設定ファイルを、Netconfプロトコル(非特許文献4参照)を用いて外部のサーバから投入する手法が存在する。これにより、NW機器におけるフィルタ条件を動的かつ効率的に設定することが可能となる。しかし、受信装置側における各フィルタ条件に合致するフローレコードに対して行う処理の内容を、NW機器の設定と連携させ同時に設定する機能は、現状存在しない。
また、IPFIXのConfiguration Data Model(非特許文献5参照)には受信装置側の処理内容に関する設定条件については、定義されていない。また、設定したフィルタ条件毎に割り振るIDのような識別子は定義されていない。そのため、多様なトラヒック情報を扱うようになると、フィルタ条件の項目が多くなり、トラヒック情報とフィルタ条件のマッチング処理を行う際には、それら全ての項目についてマッチング処理を行わなければならないため、コレクタの負荷が高くなる。
RFC3176,"InMon Corporation's sFlow:A Method for Monitoring Traffic in Switched and Routed Networks",September 2001 RFC3954,"Cisco Systems NetFlow Services Export Version 9",October 2004 draft-ietf-ipfix-protocol-26.txt,"Specification of the IPFIX Protocol for the Exchange of IP Traffic Flow Information",September 2007 RFC4741,"NETCONF Configuration Protocol",December 2006 draft-muenz-ipfix-configuration-04.txt,"Configuration Data Model for IPFIX and PSAMP",February 2008
従来の技術は、トラヒック情報配信機器(NW機器)で行われるフィルタリング処理に用いるフィルタ条件と、トラヒック受信装置側で振り分け処理に用いる振り分け条件を連携させるための手段が無く、フィルタ条件の設定を変える度に手動で設定しなおさなければならないため効率が悪い。本機能では、トラヒック情報配信機器のフィルタ条件とトラヒック受信装置の振り分け条件を同一のファイルで記述することにより、両機器の設定を連携させることを可能とした。
また、従来の技術においては、配信されるフロー配信パケットをフィルタ条件毎に分類する際に、フローレコードの内容を参照しフィルタ条件とのマッチングを行うため、大量のフローレコードを扱う際に、効率が悪くなる。本機能では、フィルタ条件毎に固有の識別番号を持たせ、配信されるフロー統計内にも識別番号を記載することにより、フロー統計情報を受信する側は、フロー統計情報を全て参照しなくとも、当該識別番号をだけを参照し、フィルタ条件毎の振り分けを行うことにより、より効率的な処理が可能となる。NW機器側でトラヒック情報を配信する際に、合致したフィルタ条件の識別番号を配信するトラヒック情報内に格納することで、トラヒック情報受信装置(コレクタ)側は、当該識別番号を参照するだけで、フィルタ条件に関する処理を行うことが可能となる。
本発明の目的は、トラヒック情報配信機器で用いるフィルタリング条件と、トラヒック受信装置側で行う処理を連携させるための技術を提供することにある。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、トラヒック情報配信機器から配信されるトラヒック情報を収集するトラヒック受信装置におけるトラヒック情報収集方法であって、前記トラヒック受信装置は、フィルタ条件設定手段とフロー処理手段とを有し、前記フィルタ条件設定手段が、前記トラヒック情報配信機器が用いるフィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含むフィルタ条件を前記トラヒック情報配信機器と前記フロー処理手段に投入し、前記トラヒック情報配信機器に、投入したフィルタ条件にマッチするトラヒックのトラヒック情報を前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含ませて配信させ、前記フロー処理手段が、前記トラヒック情報配信機器から配信されたトラヒック情報を該トラヒック情報に含まれた前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報のみを参照して分類し、該識別情報のフィルタ条件に基づくトラヒック情報の処理を前記フィルタ条件毎に行う、ことを特徴とする。
第2の発明は、第1の発明において、前記フロー処理手段は、デコード手段と分類手段とアクション実行手段とを有し、前記デコード手段が、前記トラヒック情報配信機器から配信されたトラヒック情報をデコードし、前記分類手段が、デコードされたトラヒック情報を前記フィルタ条件毎に分類し、前記アクション実行手段が、前記分類手段によりフィルタ条件毎に分類されたトラヒック情報に対して、前記フィルタ条件設定手段によってフィルタ条件毎に定められたトラヒック情報の処理を行う、ことを特徴とする。
第3の発明は、第1の発明において、前記フィルタ条件設定手段が、前記トラヒック情報配信機器で用いるフィルタ条件と、前記フロー処理手段でフィルタ条件毎に行うトラヒック情報の処理を、同一の設定ファイルで記述することを特徴とする。
の発明は、トラヒック情報配信機器から配信されるトラヒック情報を収集するトラヒック受信装置であって、前記トラヒック情報配信機器が用いるフィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含むフィルタ条件を前記トラヒック情報配信機器と前記フロー処理手段に投入し、前記トラヒック情報配信機器に、投入したフィルタ条件にマッチするトラヒックのトラヒック情報を前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含ませて配信させるフィルタ条件設定手段と、前記トラヒック情報配信機器から配信されたトラヒック情報を該トラヒック情報に含まれた前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報のみを参照して分類し、該識別情報のフィルタ条件に基づくトラヒック情報の処理を前記フィルタ条件毎に行うフロー処理手段と、を備えることを特徴とする。
本発明により、トラヒック情報配信機器で用いるフィルタリング条件と、トラヒック受信装置側で行う処理を連携させることができる。また、トラヒック受信装置とトラヒック情報配信機器を連携させる際の設定を簡略化する。また、識別番号を用いたマッチングを行うことにより、振り分け処理の負荷を減らし、大量のフロー統計情報を処理することが可能となる。
本発明の実施の形態のトラヒック情報収集方法は、受信したIPパケットを分類し、あらかじめ設定したフィルタ条件にマッチする特定のトラヒックについて、サンプリングを行い、パケット情報をフロー配信パケット(sFlow,IPFIX,NetFlowなど)として配信するルータと連携し、ルータへのフィルタ条件の投入を行い、配信されたフロー配信パケットを受信し、フィルタ条件毎のトラヒック分析装置への転送や、フロー配信パケット内に含まれる情報に沿った蓄積方式での蓄積といった処理を行うことにより、より詳細なトラヒックの監視・分析を可能とするものである。また、これにより、トラヒックの分析結果を反映させた新たなフィルタ条件を自動生成し、ルータに追加設定するといった、柔軟なトラヒック監視・分析を可能とする。
本発明の実施の形態は、トラヒック受信装置として、フロー配信機能を有したルータとは別の専用のサーバに実装されることを想定している。
以下、本発明の実施の形態を、図面を用いて詳細に説明する。
図1に全体概要図を示す。100は本発明の実施の形態のトラヒック受信装置、110はフィルタ条件設定部、120はフロー処理部である。111はトラヒック受信装置100のGUIである。130はネットワーク、131−1〜131−3はネットワーク130上に配置されたフロー配信機能を有したルータ(一般的には、フロー配信機能(トラヒック情報配信機能)を有したトラヒック情報配信機器)である。140はトラヒック分析装置群、141は異常パケットの収集・分析装置、142はUnroutable/未使用アドレストラヒック分析装置、143はシグネチャ分析装置、144はTCPステータス分析装置・ICMP分析装置、145はVoIP品質分析装置、146はProtocol Analyzerである。150は侵入検知システム(IDS)、160は外部サーバである。
図1の例において、監視対象となるネットワーク130上にフロー配信機能を有したルータ131が3台配置されている。図1の例ではルータの数は3台だが、ルータ131の数には特に制限は無い。
図の中央のトラヒック受信装置100は、各ルータ131が配信するフロー配信パケットを受信する本実施の形態の機能を搭載したサーバである。トラヒック受信装置100は、フロー配信ルータ131が用いるフィルタ条件をトラヒック情報配信機器とフロー処理部120に投入するフィルタ条件設定部110と、フロー配信ルータ131から配信されたトラヒック情報に対して前記フィルタ条件に基づくトラヒック情報の処理を前記フィルタ条件毎に行うフロー処理部120と、を備える。
図の例では、トラヒック分析装置群140として異常パケットの収集・分析装置141、Unroutable/未使用アドレストラヒック分析装置142、シグネチャ分析装置143、TCPステータス分析装置・ICMP分析装置144、VoIP品質分析装置145、Protcol Analyzer146といった装置が配置されているが、これらは一例であり、これらの一部の分析装置だけで構成してもよいし、これら以外の分析装置を含んでいてもよい。また、トラヒック受信装置100はトラヒック分析装置群140や侵入検知システム(IDS)150にフローレコードの情報を基に構築したイーサフレームの転送を行う。これらのトラヒック分析装置群140やIDS150は一般に使用されている装置を使用すればよいので、その詳細な説明は省略する。また、図の例のように、トラヒック受信装置100は各ルータ131に設定するフィルタ条件を外部のサーバ160から受け取ることができる。
図2に本機能を搭載したトラヒック受信装置100の構成図を示す。
トラヒック受信装置100はフロー処理部120とフィルタ条件設定部110から構成されている。更に、フロー処理部120はデコード部121、分類部122、アクション実行部123から構成される。203はトラヒック受信装置100のIFである。
デコード部121は受信したフロー配信パケット201をデコードし、パケット内のフローレコード210を読み取ることができる形式に変換する。
分類部122は、フロー配信パケット201がルータ131で分類された際に用いられたフィルタ条件に従って、デコードされたフローレコードの分類を行う。
アクション実行部123では、分類部122でフィルタ条件毎に分類されたフローレコードに対して、トラヒック分析装置群140の各トラヒック分析装置へのフロー配信パケット202の転送、IDS150へのイーサフレームの転送、一定周期毎のフローレコードの蓄積、といったフィルタ条件毎に定められた処理を実行する。
フィルタ条件設定部110はルータでIPパケットの分類を行う際に用いるフィルタ条件を作成し、ルータ131に投入する。フィルタ条件設定部110は、Web画面上のGUI111から操作により、ルータ131とトラヒック受信装置100で共有可能な設定ファイルを作成する。この設定ファイルは、例えば、XML形式で記述される。もしくは外部サーバ160からXMLフォーマットでフィルタ条件を記述した設定ファイルを投入することにより、フィルタ条件を作成する。また、作成したフィルタ条件はルータ131とトラヒック受信装置100の分類部122に投入される。
以下に、本発明の機能を搭載したトラヒック受信装置100の動作手順を図1に従って示す。
(1)フィルタ条件の作成
まず初めに監視対象のネットワーク130上のルータ131で監視したいトラヒックのフィルタ条件を作成する(205)。フィルタ条件には宛先/送信元IPアドレス、上位プロトコル、宛先/送信元ポート番号といった5タプルの情報の他、TCPフラグ、TOS、宛先/送信元MACアドレス、IPバージョン、パケット長、BGPNexthopといった項目のうち、1つ以上を指定し作成する。また、作成したフィルタ条件には、個別の識別番号を設定する。更に、各フィルタ条件にはフロー処理部120のアクション実行部123で行われる処理の内容が指定される。
(2)フィルタ条件の投入
作成されたフィルタ条件は、フィルタ条件設定部110によりネットワーク130上のルータ131とフロー処理部120の分類部122に投入される。
(3)トラヒック情報の配信
フロー情報配信機能を有したルータ131はネットワーク130上に流れるパケットが入力されると、設定されたフィルタ条件に従ってパケットを分類し、フィルタ条件毎にサンプリング等の処理を行い、フロー配信パケット201を作成し、フロー配信プロトコルを用いてトラヒック受信装置100に配信する。この時、フロー配信パケット201にはフィルタ条件の識別番号の情報も記載する。
(4)トラヒック情報の処理
トラヒック受信装置100が持つフロー配信パケット受信用のIF203を通してフロー配信パケット201はトラヒック受信装置100に流入する。
トラヒック受信装置100にフロー配信パケット201が流入すると、まずデコード部121でフローレコードを読み込むことが出来る形式にフロー配信パケットがデコードされる(221)。
次に、デコード部121でデコードされたフローレコードは、ルータ131で適用されたフィルタ条件に従って、分類部122で分類(振り分け)される(222)。この際、フローレコードの分類にはフィルタ条件作成時に割り振った識別番号を参照することにより、フィルタ条件とフローレコードのマッチングを行うよりも効率的に分類処理を行うことができる。
次に、アクション実行部123でフィルタ条件に記載された処理が、フィルタ条件毎に分類されたフローレコードに対して行われる。アクション実行部123で行われる処理は複数考えられる。本実施の形態では3種類の処理が行われている。一つ目はトラヒック分析装置群140へのフロー配信パケット202の転送である。特定のフィルタ条件に合致するフローレコードでフロー配信パケット202を再構成し、指定されたサンプリングレートで、指定されたIPアドレスとポート番号に宛てて送信する(223)。二つ目はIDS150へのフローサンプルの転送である。フローサンプルのイーサフレームを指定されたMACアドレスに強制的に転送する(224)。三つ目はフローレコードの蓄積である。特定のフィルタ条件に合致したフローレコードのDB121への蓄積を一定周期毎に行う(225)。蓄積したフローレコードは、汎用的なパケット解析ツールやトラヒック分析ツール等で利用することができる。各フローレコードは、アクション実行部123で行われる処理の中から一つ以上を指定され処理が行われる。
図3に、本発明の実施の形態で使用するフロー配信パケット201、202の構成例を示す。フロー配信パケット201、202はフロー配信プロトコルのバージョン、フロー配信元のルータのIPアドレス、パケット内のフローレコード数などの情報を記載したパケットヘッダ220を持つ。パケットヘッダ220に記載される情報は、用いられるフロー配信プロトコルによって異なる。フロー配信パケット201、202は一つ以上のフローレコード210を持つ。211はフローレコードの内容である。本実施の形態においては、フロー配信パケット作成時に、各フローレコードの分類に用いられたフィルタ条件に割り振られた識別番号212を、各フローレコードの中に記述する。トラヒック受信装置100は、この識別番号212を参照することにより各フローレコードをフィルタ条件毎に分類する。
図4に、本発明の実施の形態で使用するフィルタ条件設定ファイル400の例を示す。図4の例はXMLを用いて記述している。フィルタ条件設定ファイル400は、フィルタ条件を記述するAccessList410と、トラヒック受信装置100でフィルタ条件毎に行う処理の詳細を記述するActionList420から構成される。AccessList410は複数のフィルタ条件FilterMatch411を記述することが可能である。各フィルタ条件FilterMatch411内には、フィルタ条件毎に割り振られる識別番号FilterId412が記述され、実際のフィルタ条件の項目infoElementValue414とトラヒック受信装置100で行う処理を指定するActionProcess413が記述される。infoElementValue414とActionProcess413は一つのFilterMatch411につき複数記述することが可能である。ActionList420はAccessList410内で記述される各ActionProcess413について詳細な情報423を記述する。
図4に示すフィルタ条件設定ファイルは、フィルタ条件設定部110が作成する。フィルタ条件設定部110はこのフィルタ条件をルータ131とフロー処理部120の分類部122へ投入する。本実施の形態では、フィルタ条件設定部110は図4のAccessList410とActionList420の両方をルータ131とフロー処理部120の分類部122へ投入するが、ルータ131ではAccessList410のみを読み込み利用し、ActionList420は無視する。フロー処理部120の分類部122ではAccessList410とActionList420の両方を読み込み利用する。フィルタ条件設定部110がルータ131にはAccessList410のみを投入するようにしてもよい。
本実施の形態により、トラヒック受信装置(コレクタ)100の振り分け条件の設定ファイルとルータ(NW機器)131のフィルタ条件の設定ファイルを統一化し、トラヒック受信装置100とルータ131を連携させる際の設定を簡略化する。トラヒック受信装置100とルータ131を連携により、あるトラヒック分析装置で検出した例えば攻撃トラヒックやスキャンと思われるような特定のフローに対して、更に詳細な分析ができるように、その特定フローだけを取り出して別の分析装置で監視するためのフィルタ条件を追加する、といったような柔軟なトラヒックの分析が可能となる。また、識別番号を用いたマッチングを行うことにより、分類(振り分け)処理の負荷を減らし、大量のフロー統計情報を処理することが可能となる。
本実施の形態のトラヒック受信装置は、1または複数のコンピュータとプログラムで構成することができる。また、そのプログラムの一部または全部に代えてハードウェアで構成してもよい。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施形態の全体概要図である。 本発明の実施形態のコレクタの構成図である。 本発明の実施形態で用いるフロー配信パケットの構成例である。 本発明の実施形態で用いるフィルタ条件設定ファイルの例である。
符号の説明
100…トラヒック受信装置、110…フィルタ条件設定部、120…フロー処理部、111…トラヒック受信装置のGUI、130…ネットワーク、131−1〜131−3…フロー配信機能を有したルータ、140…トラヒック分析装置群、141…異常パケットの収集・分析装置、142…Unroutable/未使用アドレストラヒック分析装置、143…シグネチャ分析装置、144…TCPステータス分析装置・ICMP分析装置、145…VoIP品質分析装置、146…Protocol Analyzer、150…侵入検知システム(IDS)、160…外部サーバ、121…デコード部、122…分類部、123…アクション実行部、203…IF、201、202…フロー配信パケット、210…フローレコード、220…パケットヘッダ、211…フローレコードの内容、400…フィルタ条件設定ファイル

Claims (4)

  1. トラヒック情報配信機器から配信されるトラヒック情報を収集するトラヒック受信装置におけるトラヒック情報収集方法であって、
    前記トラヒック受信装置は、フィルタ条件設定手段とフロー処理手段とを有し、
    前記フィルタ条件設定手段が、前記トラヒック情報配信機器が用いるフィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含むフィルタ条件を前記トラヒック情報配信機器と前記フロー処理手段に投入し、前記トラヒック情報配信機器に、投入したフィルタ条件にマッチするトラヒックのトラヒック情報を前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含ませて配信させ、
    前記フロー処理手段が、前記トラヒック情報配信機器から配信されたトラヒック情報を該トラヒック情報に含まれた前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報のみを参照して分類し、該識別情報のフィルタ条件に基づくトラヒック情報の処理を前記フィルタ条件毎に行う、
    ことを特徴とするトラヒック情報収集方法。
  2. 請求項1に記載のトラヒック情報収集方法であって、
    前記フロー処理手段は、デコード手段と分類手段とアクション実行手段とを有し、
    前記デコード手段が、前記トラヒック情報配信機器から配信されたトラヒック情報をデコードし、
    前記分類手段が、デコードされたトラヒック情報を前記フィルタ条件毎に分類し、
    前記アクション実行手段が、前記分類手段によりフィルタ条件毎に分類されたトラヒック情報に対して、前記フィルタ条件設定手段によってフィルタ条件毎に定められたトラヒック情報の処理を行う、
    ことを特徴とするトラヒック情報収集方法。
  3. 請求項1に記載のトラヒック情報収集方法であって、
    前記フィルタ条件設定手段が、前記トラヒック情報配信機器で用いるフィルタ条件と、前記フロー処理手段でフィルタ条件毎に行うトラヒック情報の処理を、同一の設定ファイルで記述することを特徴とするトラヒック情報収集方法。
  4. トラヒック情報配信機器から配信されるトラヒック情報を収集するトラヒック受信装置であって、
    前記トラヒック情報配信機器が用いるフィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含むフィルタ条件を前記トラヒック情報配信機器と前記フロー処理手段に投入し、前記トラヒック情報配信機器に、投入したフィルタ条件にマッチするトラヒックのトラヒック情報を前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報を含ませて配信させるフィルタ条件設定手段と、
    前記トラヒック情報配信機器から配信されたトラヒック情報を該トラヒック情報に含まれた前記フィルタ条件とトラヒック受信装置のアクションの内容を示す識別情報のみを参照して分類し、該識別情報のフィルタ条件に基づくトラヒック情報の処理を前記フィルタ条件毎に行うフロー処理手段と、
    を備えることを特徴とするトラヒック受信装置。
JP2008209624A 2008-08-18 2008-08-18 トラヒック情報の収集方法およびトラヒック受信装置 Expired - Fee Related JP4643692B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008209624A JP4643692B2 (ja) 2008-08-18 2008-08-18 トラヒック情報の収集方法およびトラヒック受信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008209624A JP4643692B2 (ja) 2008-08-18 2008-08-18 トラヒック情報の収集方法およびトラヒック受信装置

Publications (2)

Publication Number Publication Date
JP2010045704A JP2010045704A (ja) 2010-02-25
JP4643692B2 true JP4643692B2 (ja) 2011-03-02

Family

ID=42016678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008209624A Expired - Fee Related JP4643692B2 (ja) 2008-08-18 2008-08-18 トラヒック情報の収集方法およびトラヒック受信装置

Country Status (1)

Country Link
JP (1) JP4643692B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102992390A (zh) * 2012-12-14 2013-03-27 暨南大学 一种纳米氧化锌溶胶和氧化锌亚微米球的制备方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5583038B2 (ja) * 2011-01-25 2014-09-03 三菱電機株式会社 パケットキャプチャ装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002091508A (ja) * 2000-09-20 2002-03-29 Unisia Jecs Corp 制御ユニットのキャリブレーションシステム
JP2004350198A (ja) * 2003-05-26 2004-12-09 Mitsubishi Electric Corp ネットワーク制御システム
JP2004363947A (ja) * 2003-06-04 2004-12-24 Ntt Docomo Inc トラヒック収集装置
JP2005286684A (ja) * 2004-03-30 2005-10-13 Hitachi Ltd トラフィックフロー計測環境設定方式
JP2006333089A (ja) * 2005-05-26 2006-12-07 Oki Electric Ind Co Ltd トラヒック監視装置
JP2007074385A (ja) * 2005-09-07 2007-03-22 Yokogawa Electric Corp ネットワーク機器
JP2007243373A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> トラフィック情報収集システム、ネットワーク機器およびトラフィック情報収集機器

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002091508A (ja) * 2000-09-20 2002-03-29 Unisia Jecs Corp 制御ユニットのキャリブレーションシステム
JP2004350198A (ja) * 2003-05-26 2004-12-09 Mitsubishi Electric Corp ネットワーク制御システム
JP2004363947A (ja) * 2003-06-04 2004-12-24 Ntt Docomo Inc トラヒック収集装置
JP2005286684A (ja) * 2004-03-30 2005-10-13 Hitachi Ltd トラフィックフロー計測環境設定方式
JP2006333089A (ja) * 2005-05-26 2006-12-07 Oki Electric Ind Co Ltd トラヒック監視装置
JP2007074385A (ja) * 2005-09-07 2007-03-22 Yokogawa Electric Corp ネットワーク機器
JP2007243373A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> トラフィック情報収集システム、ネットワーク機器およびトラフィック情報収集機器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102992390A (zh) * 2012-12-14 2013-03-27 暨南大学 一种纳米氧化锌溶胶和氧化锌亚微米球的制备方法

Also Published As

Publication number Publication date
JP2010045704A (ja) 2010-02-25

Similar Documents

Publication Publication Date Title
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
JP5958570B2 (ja) ネットワークシステム、コントローラ、スイッチ、及びトラフィック監視方法
US7420929B1 (en) Adaptive network flow analysis
US7840664B2 (en) Automated characterization of network traffic
JP5660198B2 (ja) ネットワークシステム、及びスイッチ方法
JP5201415B2 (ja) ログ情報発行装置、ログ情報発行方法およびプログラム
JP5684680B2 (ja) フロー統計集約
US20090238088A1 (en) Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system
CN106972985A (zh) 加速dpi设备数据处理与转发的方法和dpi设备
CN113542049A (zh) 检测计算机网络内丢的包的方法、网络装置以及存储介质
CN1878141A (zh) 网络控制装置及其控制方法
JP2017060074A (ja) ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法
JP4643692B2 (ja) トラヒック情報の収集方法およびトラヒック受信装置
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP4244355B2 (ja) 通過パケット監視装置および方法
Liu et al. Next generation internet traffic monitoring system based on netflow
JP6151827B2 (ja) 監視制御装置、監視装置、監視システム、および監視プログラム
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP2008219383A (ja) ネットワーク監視システム、方法及びプログラム
Manesh et al. An improved approach towards network forensic investigation of HTTP and FTP protocols
CN116319468B (zh) 网络遥测方法、装置、交换机、网络、电子设备和介质
JP5955720B2 (ja) 監視装置、監視方法および監視プログラム
JP2008099105A (ja) トラフィックデータ中継システム、およびトラフィックデータの分散配置方法
JP2012151689A (ja) トラヒック情報収集装置、ネットワーク制御装置およびトラヒック情報収集方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100601

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101130

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101202

R150 Certificate of patent or registration of utility model

Ref document number: 4643692

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131210

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees