JP4860745B2 - Bgpトラヒック変動監視装置、方法、およびシステム - Google Patents
Bgpトラヒック変動監視装置、方法、およびシステム Download PDFInfo
- Publication number
- JP4860745B2 JP4860745B2 JP2009265130A JP2009265130A JP4860745B2 JP 4860745 B2 JP4860745 B2 JP 4860745B2 JP 2009265130 A JP2009265130 A JP 2009265130A JP 2009265130 A JP2009265130 A JP 2009265130A JP 4860745 B2 JP4860745 B2 JP 4860745B2
- Authority
- JP
- Japan
- Prior art keywords
- bgp
- traffic
- fluctuation
- information
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、BGPプロトコルにより通知される経路の経路変動要因によるトラヒック変動を検知する監視技術に関する。
インターネットはインターネット・サービス・プロバイダ(Internet Service Provider:ISP)や企業や大学などの異なる組織によって運営される1万以上の自律システム(Autonomous System:AS)が有機的に接続されたものである。上述のAS間は、専用線或いはインターネット・エクスチェンジ(Internet Exchange:IX)によって接続され、ボーダ・ゲートウェイ・プロトコル(Border Gateway Protocol:BGP)によりBGP経路情報を交換する。交換する情報は、経路情報に対して経由するBGP Nexthopアドレス属性、ASパス属性、Community属性となる。
トラヒックを経由するASの隣接AS番号は、ASパス属性の先頭番号を示す番号で、BGPプロトコルを受信する当該ISPからみて、直接隣接するASを表す。また、ASパス属性の末尾番号を示す番号は、Origin AS番号を表し、当該経路の最終到着先のASを示すものである。隣接AS番号とOrigin AS番号内に記述されたAS番号列は、途中経由するASを示している。また、BGP Nexthopアドレス属性は、BGPプロトコルを受信するルータから見て、次の向う先のBGPルータのIPアドレスを示す。Communityとは、これらの経路に対して、ネットワークオペレータなどが、経路情報の識別を容易に可能とするために、任意に設定可能な識別子である。これは、非特許文献1で示されるように、地域情報単位や顧客種別単位に付与することは一般的と言われている。
このようにBGPは、異なるAS間の経路情報を交換するためのプロトコルであり、同一AS内の主要なバックボーンルータ間においてもインターネット全体の経路情報を交換するためのプロトコルである。
このようにインターネットのトラヒックの宛先は、BGPによって交換される経路情報をもとにしており、経路情報の変動は、同一AS内のルータ間のトラヒックの変動はもとより、隣接ASへの流入・流出トラヒックに多大な影響を与える。経路の変更は、ルータ等の故障や機器間を接続するケーブルの故障などによって、発生することがあるが、バックボーンネットワーク上のトラヒックに影響を与えるため、それを監視することが、要望されている。
しかし、経路の変動量(つまりBGPのUpdateメッセージ数)は、1分間においても数千に上り、単純に監視することは容易ではない。隣接AS(PeerAS)もしくはNexthopアドレス単位に経路数を収集し、その変動量を監視するシステムも考えられるが、経路数の変動量と実際のトラヒック量の変動量は、関連性がなく、経路数が大きく変化した場合でもトラヒックに影響を与えない場合もある。
また、BGPの受信情報を選別、グループ化し、共通部分を抽出することで、インターネット上の原因探索も可能であるが、これも実際のトラヒックとの関連性がないため、実際にトラヒックが流れていない箇所の問題を検出してしまうという問題を抱えている。
これに対して、非特許文献2では、受信した経路を分析し、トラヒック変動の起こすタイプに分類し、実際のトラヒックに突合させることで、その影響度を予測するためのシステムを開発している。しかし、当該手法では、トラヒック変動量の予測を行っているのみで、リアルタイムに監視を行い、実際に発生したトラヒック変動量をもとに、関連する経路情報を付き合わせて、その原因探索を行うということができていない。
RFC4384 BGP Communities for Data Collection
Jian Wu, Z. Morley Mao, Jennifer Rexford, and Jia Wang, Finding a needle in a haystack: Pinpointing significant BGP routing changes in an IP network, Proc. Networked Systems Design and Implementation, May 2005.
J. Scudder, et. al, "BGP Monitoring Protocol, " Internet-Draft <draft-ietf-grow-bmp-02>, July, 2009.
インターネット上に流れるトラヒック量は増加しているが、ISP間のパケット・ルーティングは、BGPプロトコルにより通知される経路情報によって決められている。トラヒックの変動は、攻撃トラヒックやルータなどの障害に起因する場合もあるが、BGP経路変動による要因で変動する場合もありうる。急激なトラヒック変動が発生した場合には、ルータ、回線を逼迫し、サービスに支障をきたすことも考えられる。このようなトラヒック変動を迅速に検知し、その要因となるBGP経路変動を探索することが要望されている。
BGP経路の監視システムとトラヒック変動の監視システムは、個々に多く存在するが、その双方のデータを監視し、突合することで経路変動によるトラヒック変動の原因検知を行うシステムは、まだない。特に、経路においては、1分間で数千の経路情報を分析する必要があり、また、膨大なトラヒック量と突合させることが必要である。
本発明の目的は、BGP経路変動要因によるトラヒック変動を検知する技術を提供することである。
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
第1の発明は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、を備えることを特徴とする。
第2の発明は、第1の発明において、前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とする。
第3の発明は、第1の発明において、前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備えることを特徴とする。
第4の発明は、第3の発明において、前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とする。
第5の発明は、第1の発明において、前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とする。
本発明により、BGP経路変動要因によるトラヒック変動を検知することができる。
図1に本発明の実施例のシステムの構成概要図を示す。図1において、100はBGPトラヒック変動監視装置、101はBGP経路受信部、102はトラヒック情報受信部、103は相関性照合機能部、110は自ASドメイン、111〜115は自ASドメイン110内のルータ、120は隣接AS#1、121は隣接AS#1(120)内のルータ、130は隣接AS#1(120)を経由して接続されているインターネット、140は隣接AS#2、141は隣接AS#2(140)内のルータ、150は隣接AS#3、151は隣接AS#3(150)内のルータ、160は隣接AS#3を経由して接続されているインターネット、170は端末Web描画クライアントである。各AS内のルータの数は任意であり、図示されたものに限定されない。
自ASドメイン110にBGPトラヒック変動監視装置100を配置する。BGPトラヒック変動監視装置100は、直接的にBGPルータ111〜115とBGPプロトコルにて接続し、BGP経路情報を収集するものとする。ここでは、BGP以外にBMPプロトコル(非特許文献3)を用いて経路情報を収集することでもよい。また、BGPトラヒック変動監視装置100は、自ASドメイン110内の全BGPルータと接続するのではなく、複数のルート・リフレクタとBGPにより接続し、経路を収集することでもよい。
また、BGPトラヒック変動監視装置100は、自ASドメイン110内の各ルータ,スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集する。また、自AS以外の顧客ユーザのルータ、スイッチからNetFlow,sFlow,IPFIXといったトラヒック配信プロトコルによってフロー情報と呼ばれるトラヒック情報を収集し、自ASのBGPの経路情報をもとにトラヒック集計することも可能とする。
自ASドメイン110から得られるトラヒック情報は、フロー情報とよばれ、パケットのIP/TCP/UDP/ICMPのヘッダ情報が含まれる。
本実施例のBGPトラヒック変動監視装置は、BGPの変動状況と実際のトラヒック変動を相関させ、これに合致するものを経路変動によるトラヒック変動として検知する。BGPの経路変動は、既に受信したBGP経路情報と新たに受信したBGP経路情報を比較し、トラヒック変動に寄与するBGP属性単位に変更したか否かを判定し、分類分けを行う。NetFlow,sFlow,IPFIXによりルータより配信されるトラヒック情報(フロー情報と呼ばれる)を用いて、BGP属性単位のトラヒック量を集計する。トラヒック量の変動は、ある時間間隔に測定したトラヒック量とその前周期で測定したトラヒック量の類似度をもとに評価する。その類似度がある閾値を逸脱し、最も影響度の大きいBGP属性を抽出し、トラヒック変動が発生した時間間隔内で、実際にBGP経路変動が発生していたのか否かを評価することで、BGP経路変動によるトラヒック変動であると識別する。
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報206(図2参照)を蓄積するBGP経路受信部101と、トラヒック情報を収集し、BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データ404(図4参照)を蓄積するトラヒック情報受信部102と、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部103とで構成される。
BGPトラヒック変動監視装置100は、BGP Updateメッセージを収集・分類し、このBGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、過去のデータとの類似度からトラヒック変動を検出し、トラヒック変動に寄与した属性条件で、当該時間間隔にBGP Updateの変更有無を評価することにより、BGP経路変動要因によるトラヒック変動を検知することができる。
以下に各部の動作について記述する。
[BGP経路受信部の動作概要]
図2にBGP経路受信部101の詳細構成を示す。図2において、201はBGPセッション管理部、202はルーティング管理機能部、203はBGP Update分類機能部、204は2分岐ルーティングテーブル、205は削除済み経路テーブル、206はBGPログ情報である。
図2にBGP経路受信部101の詳細構成を示す。図2において、201はBGPセッション管理部、202はルーティング管理機能部、203はBGP Update分類機能部、204は2分岐ルーティングテーブル、205は削除済み経路テーブル、206はBGPログ情報である。
BGPセッション管理部201では、各BGPルータ単位に接続をおこない経路情報を収集する。
BGP Update分類機能部203では、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類し、BGPログ情報206を蓄積する。
ルーティング管理機能部202では、BGP経路情報をルーティングテーブルとして管理する。その際に、ピアリング先のアドレス単位に情報を格納する。格納する情報は、2分岐ルーティングテーブル204、削除済み経路テーブル205、がある。
2分岐ルーティングテーブル204は、一般にルーティング用に構成されるPatricia Trieが作成され、これは、ルーティング管理機能部202にて、常に最新の状態が維持され、BGPピアリングアドレス先単位に構成される。2分岐ルーティングテーブル204には、経路(ネットワークアドレス、プレフィックスレングス)の他にBGPにより受け付けた時刻とBGP属性情報も格納する。Updateメッセージを受けた場合には、常に情報が更新され、同じ情報のものは上書きされる。Withdrawメッセージを受信した際には、2分岐ルーティングテーブルから当該経路の削除も行う。
削除済み経路テーブル205は、Withdrawメッセージを受信した際に、ルーティング管理機能部202にて当該経路とBGPにより受け付けた時刻を削除済み経路テーブル205に格納する。
BGPログ情報206は、BGP Update分類機能部203にて受信したBGP Updateメッセージを分類し、各経路単位にログ情報として蓄積する。BGPのUpdateの分類は、以下の表1に分類する。BGPの属性に変更があったか否かは、2分岐ルーティングテーブル204を参照し、その検索結果の情報が、受信したBGP Updateに含まれる属性と比較して評価する。複数のBGP属性が変更している場合には、複数のメッセージタイプが指定されることを可能とする。例えば、BGP Nexthop属性とPeerASの双方に変更があった場合には、複数のメッセージタイプ(PとH)が指定される。Withdraw,OriginAS,PeerAS,BGP Nexthop,AS path Changeがあるものについては、トラヒック変動に影響を及ぼす可能性がある経路変動を示す。
実際の分類する際の手法を以下に示す。
図3はBGPメッセージ分類方法を示す図である。BGP経路情報を受信すると、BGP Update分類機能部203は、301でWithdrawメッセージか?を判断し、Yesの場合はメッセージタイプ:Wを設定する。Noの場合は302で2分岐ルーティングテーブル204を参照し同一の経路情報は存在するか?を判断する。Yesの場合は303でOriginASは同一か?を判断する。Yesの場合は304に進み、Noの場合はメッセージタイプ:Oを設定した後304に進む。304でPeerASは同一か?を判断する。Yesの場合は305に進み、Noの場合はメッセージタイプ:Pを設定した後305に進む。305でBGP NextHopは同一か?を判断する。Yesの場合は306に進み、Noの場合はメッセージタイプ:Hを設定した後306に進む。306でAS Path同一か?(PeerAS,OriginAS以外)を判断する。Yesの場合は307に進み、Noの場合はメッセージタイプ:Cを設定した後307に進む。307でCommunityは同一か?を判断する。Yesの場合は308に進み、Noの場合はメッセージタイプ:Mを設定した後308に進む。308で上記の属性が同一か?を判断し、Yesであればメッセージタイプ:Dを設定する。302でNoの場合は、309で削除済み経路テーブル205を参照し、削除済み経路テーブルに存在するか?を判断する。Yesの場合はメッセージタイプ:Rを設定し、Noの場合はメッセージタイプ:Nを設定する。
分類された経路情報は、各メッセージタイプの情報を含めて、以下の表2の情報要素を含めたBGPログ情報206として格納する。
[トラヒック情報受信部の動作概要]
BGP経路受信部101とは別に、トラヒック情報受信部102では、BGP属性単位のトラヒック項目を集計する。図4にトラヒックデータ情報受信部102の構成図を示す。図4において、401はフロー情報受信部、402はトラヒック集計機能部、403はピアリングIP管理テーブル、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204はBGP経路受信部101によってBGPピアリング先IPアドレス単位に作成されたものである。
BGP経路受信部101とは別に、トラヒック情報受信部102では、BGP属性単位のトラヒック項目を集計する。図4にトラヒックデータ情報受信部102の構成図を示す。図4において、401はフロー情報受信部、402はトラヒック集計機能部、403はピアリングIP管理テーブル、404はトラヒック集計データ、204は2分岐ルーティングテーブルである。2分岐ルーティングテーブル204はBGP経路受信部101によってBGPピアリング先IPアドレス単位に作成されたものである。
トラヒック集計機能部402では、フロー情報受信部401が収集したトラヒック情報をもとに2分岐ルーティングテーブル204を検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計する。また、トラヒック集計機能部402では、BGPの属性単位にトラヒック集計を行う際に、2分岐ルーティングテーブル204の中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択する。
トラヒック集計機能部402がBGP属性単位のトラヒック項目を集計する際には、送信元IPアドレス、送信先IPアドレスをもとに、2分岐ルーティングテーブル204を参照してBGP属性情報を収集する必要がある。BGPピアリング先のルータ単位に格納されている2分岐ルーティングテーブル204のどのテーブルを使用するかを決定する必要がある。予め、トラヒック情報受信部102には、BGP接続先のピアリングルータの全IFアドレス(IPアドレスと当該ネットマスク)が格納されているピアリングIP管理テーブル403を保持する。これは、SNMPにより当該ルータからIP−MIBをもとに収集することでよい。また、このピアリングIP管理テーブル403は、BGPピアリング接続先ルータの地域情報も保持しておく。これをもとにトラヒック集計機能部402では、以下の順に参照先テーブルを選定する。
1)NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
2)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスが、BGP接続先のピアリングルータがもつ全IFのネットワークアドレスに属する場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
3)上記以外で、フロー情報内に含まれるNextHopアドレスが、BGP接続先のピアリングルータがもつ全IFのIPアドレスに含まれていた場合に、当該ピアリングルータの2分岐ルーティングテーブルを使用する。
4)上記以外で、NetFlow,IPFIX,sFlowにて配信される送信元IPアドレスから地域情報を参照し、同一地域に属するピアリングルータの2分岐ルーティングテーブルを使用する。
トラヒック集計機能部402では、トラヒック集計の際に、受信したトラヒック情報に含まれる送信元IPアドレス、送信先IPアドレスをもとに、BGP経路受信部101で構成した2分岐ルーティングテーブル204を参照してBGP経路情報を収集する。テーブル参照の際には、アドレスレングスが最長一致(ロンゲストマッチ)となるように、検索を行う。得られたBGP経路情報をもとにBGP属性単位で、下記のトラヒック項目を集計する。
− Origin AS
− PeerAS
− BGP Nexthopアドレス
− AS Path
− AS Link(AS Pathに含まれる任意に隣接するASの対)
− Prefix
− Community
− PeerAS
− BGP Nexthopアドレス
− AS Path
− AS Link(AS Pathに含まれる任意に隣接するASの対)
− Prefix
− Community
上記のトラヒック項目は、全トラヒックについて集計するのではなく、ある単位時間あたりのトラヒック流量(バイト数,パケット数、フロー数)をもとに上位N位までの項目のみを集計することでもよい。上記のトラヒック項目は、経路変動がない定常的な状態であれば、日変動によるトラヒックの変動を除けば、上位N位のトラヒックの類似性は維持される。OriginASは、最終的な基点ASに向けたトラヒック量を表すものである、PeerASは、隣接するASとのトラヒック量を表し、AS Path,AS Linkについては、インターネットに自AS発・自AS着のトラヒックがどのようなASを経由したかを表す。また、Communityは、非特許文献1によると一般的に地域単位で、Community番号をアサインしている場合が多く、Community単位のトラヒック量は、地域単位のトラヒック量を表す。また、BGP Nexthopアドレスは、自AS領域の出口ルータを指すため、出口ルータ向きのトラヒック量を示す。
これらのトラヒック量は、ルータの収容能力や物理回線などの設備設計をする上では、重要な情報であり、BGP経路の変動により、急激なトラヒック変動が発生した場合には、設備設計の再検討が必要となるばかりではなく、ある回線・ルータへのトラヒックが逼迫し、サービスに支障をきたすこともある。そのため、これらのトラヒック量を集計することが必要である。
[相関性照合機能部の動作概要]
相関性照合機能部103では、時間的に前後するトラヒック集計データ404の類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報206を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。
相関性照合機能部103では、時間的に前後するトラヒック集計データ404の類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔のBGPログ情報206を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する。
相関性照合機能部103では、得られたトラヒック集計データ404とBGPログ情報206から相関性を評価する。トラヒック集計データの変動は、以下の手順で、前周期との類似度をもとに評価する。特許文献1を参考とする。
・周期毎にトラヒック量上位のキー属性をもとにトラヒック変動(増減)を検出する。
・ある特定のキー属性に対して、ランキングの順位変動が大きい場合にアラートとして検出する。その際に、トラヒック変動要因となりうるキー属性もあわせてアラートとする。
・トラヒック分析を行うキー属性は、集計済みのトラヒック項目に対して実施する。
・トラヒック変動の検出は、以下の検出式に従う。
− OriginAS(例)のTop Nの順位変動を検知すると仮定する。
− 上位N位のOriginASのトラヒック量(b/s)を抽出。
− ある時間(t)のi位のOriginASをf(i,t)とする。
− OriginASのある時間(t)のトラヒック量をc(f(i,t),t)とする。
− ある時間(t)の上位N位までのトラヒック量データ列を抽出
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(N,t),t)}(i=1,2,…,N)
− 1スロット前の時間(t−1)のf(i,t)をもとにしたトラヒック量データ列を抽出
− C(t−1)i={c(f(1,t),t−1),c(f(2,t),t−1),…,c(f(N,t),t−1)}(i=1,2,…,N)
− その際にランク外のトラヒック量は、0とみなす。
− 配列{(C(t)i,C(t−1)i)}(i=1,2,…,N)の相関係数を求める。
− 相関係数r(t,t−1)とすると以下のようになる。
− OriginAS(例)のTop Nの順位変動を検知すると仮定する。
− 上位N位のOriginASのトラヒック量(b/s)を抽出。
− ある時間(t)のi位のOriginASをf(i,t)とする。
− OriginASのある時間(t)のトラヒック量をc(f(i,t),t)とする。
− ある時間(t)の上位N位までのトラヒック量データ列を抽出
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(N,t),t)}(i=1,2,…,N)
− 1スロット前の時間(t−1)のf(i,t)をもとにしたトラヒック量データ列を抽出
− C(t−1)i={c(f(1,t),t−1),c(f(2,t),t−1),…,c(f(N,t),t−1)}(i=1,2,…,N)
− その際にランク外のトラヒック量は、0とみなす。
− 配列{(C(t)i,C(t−1)i)}(i=1,2,…,N)の相関係数を求める。
− 相関係数r(t,t−1)とすると以下のようになる。
− cavg(t)は、ある時間(t)の上位N位のトラヒック量の平均。
− cavg(t−1)は、時間(t)の上位N位のOriginASをもとにした時間(t−1)のトラヒック量の平均。
− 相関係数は、1から−1の値をとり、より1に近い場合は、順位変動がないと判断。
− ある閾値(M:例えば0.5)を下回ったときに変動があったとして、infoレベルの表示を実施。
− 相関係数は、1から−1の値をとり、より1に近い場合は、順位変動がないと判断。
− ある閾値(M:例えば0.5)を下回ったときに変動があったとして、infoレベルの表示を実施。
・変動原因と推定されるf(i,t)(例:OriginAS)とトラヒック量c(f(i,t),t)について検出する。変動原因の探索は、それぞれのf(i,t)のデータを省いて相関係数をもとめ、閾値より大きいものを抽出する。以下に示す。
− ある順位(k)のデータを抜いたデータ列を作成
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(k,t),t),…,c(f(N,t),t)}
− これにより得られた相関係数をr(k)(t,t−1)とする。
− ある順位(k)のデータを抜いたデータ列を作成
− C(t)i={c(f(1,t),t),c(f(2,t),t),…,c(f(k,t),t),…,c(f(N,t),t)}
− これにより得られた相関係数をr(k)(t,t−1)とする。
・予め指定されるパラメータは以下の通り。
− N:順位変動検出機能にて有効とする上位N位までのトラヒック・ランキング情報。(キー属性毎に指定可能とする。)
− M:相関係数の閾値(1〜0),閾値Mより小さい場合にアラート対象とする。(閾値は、キー属性種別毎に指定可能とする。)
− N:順位変動検出機能にて有効とする上位N位までのトラヒック・ランキング情報。(キー属性毎に指定可能とする。)
− M:相関係数の閾値(1〜0),閾値Mより小さい場合にアラート対象とする。(閾値は、キー属性種別毎に指定可能とする。)
以下に、トラヒック変動が発生した場合の事象イメージを示す。
相関性照合機能部103は、得られたトラヒック変動が発生したトラヒック項目と発生要因となったBGP属性値をもとに、実際に経路変動が発生しているかを判定する。判定手法は、BGP属性単位に以下のように行う。
・前周期のトラヒック量から、変動に起因したBGP属性値のトラヒック項目が、増加したか減少したかを評価し、BGPログ情報206と比較評価を行う。
・変動に起因したBGP属性値のトラヒック項目が増加した場合は、トラヒック変動が発生した期間のBGPログ情報206と比較評価を行う。
図5は、トラヒック項目が増加した場合の比較評価方法を示す図ある。
501で、当該BGP属性値を含む、BGPメッセージタイプ=New(N),Renew(R)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は502に進み、トラヒック項目により分類する。503で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。504で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。505で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。506で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。507で、当該BGP属性値を新規情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
・変動に起因したBGP属性値のトラヒック項目が減少した場合は、トラヒック変動が発生した期間のBGPログ情報と比較評価を行う。
図6は、トラヒック項目が減少した場合の比較評価方法を示す図である。
601で、当該BGP属性値を含む、BGPメッセージタイプ=Withdraw(W)のBGPログ情報が発生しているか?の判断を行う。Yesの場合はBGP経路情報によるトラヒック変動と判断する。Noの場合は602に進み、トラヒック項目により分類する。603で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=OriginAS Change(O)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。604で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=PeerAS Change(P)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。605で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=BGP NextHop Change(H)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。606で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=AS Path Change(C)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。607で、当該BGP属性値を旧情報に含む、BGPメッセージタイプ=Community(M)のBGPログ情報が発生しているか?を判断し、Yesの場合はBGP経路変動によるトラヒック変動と判断する。
また、これらの結果を、実際の当該BGP属性値のトラヒック項目とその情報を含むBGPメッセージタイプ毎のBGPログ情報206を時系列に表示することも可能とする。トラヒック量とBGPメッセージタイプ別の発生数を同じ時間軸で表示可能とし、特定のBGP属性値で絞りこみを行って実際に得られた結果から、BGP変動によるトラヒック変動の相関性を確認することも可能とする。図7にトラヒック量の時系列変化とBGPメッセージタイプ別の発生数の時系列変化を同じ時間軸で表示した表示例を示す。このような表示は、BGPトラヒック変動監視装置100が端末Web描画クライアント170を介して行ってもよいし、他の方法で表示してもよい。
以上説明したBGPトラヒック変動監視装置は、コンピュータとプログラムで構成できる。また、そのプログラムの一部または全部をハードウェアで構成してもよい。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
100…BGPトラヒック変動監視装置、101…BGP経路受信部、102…トラヒック情報受信部、103…相関性照合機能部、110…自ASドメイン、111〜115…自ASドメイン110内のルータ、120…隣接AS#1、121…隣接AS#1(120)内のルータ、130…隣接AS#1(120)を経由して接続されているインターネット、140…隣接AS#2、141…隣接AS#2(140)内のルータ、150…隣接AS#3、151…隣接AS#3(150)内のルータ、160…隣接AS#3を経由して接続されているインターネット、170…端末Web描画クライアント、201…BGPセッション管理部、202…ルーティング管理機能部、203…BGP Update分類機能部、204…2分岐ルーティングテーブル、205…削除済み経路テーブル、206…はBGPログ情報、401…フロー情報受信部、402…トラヒック集計機能部、403…ピアリングIP管理テーブル、404…トラヒック集計データ
Claims (7)
- BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置であって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信部と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信部と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能部と、
を備えることを特徴とするBGPトラヒック変動監視装置。 - 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、新たに受信したBGP Updateメッセージを既に受信したBGP Updateメッセージと比較し、トラヒック変動に影響があるBGPの属性単位にUpdateメッセージを分類するBGP Update分類機能部を備えることを特徴とするBGPトラヒック変動監視装置。 - 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGP経路受信部は、BGP経路情報をルーティングテーブルとして管理するルーティング管理機能部を備え、
前記トラヒック情報受信部は、収集したトラヒック情報をもとに前記ルーティングテーブルを検索し、トラヒック変動に影響があるBGPの属性単位にトラヒックを集計するトラヒック集計機能部を備える
ことを特徴とするBGPトラヒック変動監視装置。 - 請求項3に記載のBGPトラヒック変動監視装置において、
前記トラヒック集計機能部は、BGPの属性単位にトラヒック集計を行う際に、前記ルーティングテーブルの中から、送信元IPアドレス、NextHopアドレス、または地域情報に基づいて、参照先とするルーティングテーブルを選択することを特徴とするBGPトラヒック変動監視装置。 - 請求項1に記載のBGPトラヒック変動監視装置において、
前記BGPトラヒック変動監視装置は、BGPの属性単位のトラヒック量の時系列変化と当該BGP属性が変化したことを示すBGP Updateメッセージの発生量の時系列変化を表示することを特徴とするBGPトラヒック変動監視装置。 - BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視装置におけるBGPトラヒック変動監視方法であって、
BGPトラヒック変動監視装置は、BGP経路受信部とトラヒック情報受信部と相関性照合機能部を備え、
前記BGP経路受信部が、BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積し、
前記トラヒック情報受信部が、トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積し、
前記相関性照合機能部が、時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する、
ことを特徴とするBGPトラヒック変動監視方法。 - BGP経路変動要因によるトラヒック変動を検知するBGPトラヒック変動監視システムであって、
BGP Updateメッセージを収集し、そのBGP経路情報を管理するとともに、BGP UpdateメッセージをBGPの属性単位に分類したBGPログ情報を蓄積するBGP経路受信手段と、
トラヒック情報を収集し、前記BGP経路情報をもとにBGPの属性単位にトラヒック集計を行い、集計したトラヒック集計データを蓄積するトラヒック情報受信手段と、
時間的に前後するトラヒック集計データの類似度からトラヒック変動を検出し、トラヒック変動に寄与したBGPの属性値と当該時間間隔の前記BGPログ情報を比較し、当該BGPの属性値に関するBGP経路変動が発生していたのか否かを評価する相関性照合機能手段と、
を備えることを特徴とするBGPトラヒック変動監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009265130A JP4860745B2 (ja) | 2009-11-20 | 2009-11-20 | Bgpトラヒック変動監視装置、方法、およびシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009265130A JP4860745B2 (ja) | 2009-11-20 | 2009-11-20 | Bgpトラヒック変動監視装置、方法、およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011109587A JP2011109587A (ja) | 2011-06-02 |
| JP4860745B2 true JP4860745B2 (ja) | 2012-01-25 |
Family
ID=44232556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009265130A Active JP4860745B2 (ja) | 2009-11-20 | 2009-11-20 | Bgpトラヒック変動監視装置、方法、およびシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4860745B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713162A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 统计bgp团体属性或扩展团体属性流量值的方法及装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4955083B2 (ja) * | 2010-02-19 | 2012-06-20 | 日本電信電話株式会社 | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
| JP2014187521A (ja) * | 2013-03-22 | 2014-10-02 | Nec Corp | トラフィック監視システム |
| CN107959636B (zh) * | 2016-10-17 | 2021-01-26 | 新华三技术有限公司 | Bgp消息的发送方法及装置 |
| CN108134707B (zh) * | 2016-12-01 | 2021-08-03 | 华为技术有限公司 | 一种路由检测的方法、系统及网络设备 |
| JP7084271B2 (ja) * | 2018-09-28 | 2022-06-14 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 異常検知装置、異常検知方法および異常検知プログラム |
| CN114143085B (zh) * | 2021-11-30 | 2023-08-01 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及系统 |
| CN115914043A (zh) * | 2022-11-30 | 2023-04-04 | 中盈优创资讯科技有限公司 | 一种基于bgp路由和dns的客户调度行为分析方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243489A (ja) * | 2006-03-07 | 2007-09-20 | Kddi Corp | 経路変動判定装置及びコンピュータプログラム |
| JP4523612B2 (ja) * | 2007-03-07 | 2010-08-11 | 日本電信電話株式会社 | 経路情報・mib情報をもとにしたトラフィック監視方法 |
| JP4422176B2 (ja) * | 2007-08-09 | 2010-02-24 | 日本電信電話株式会社 | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 |
-
2009
- 2009-11-20 JP JP2009265130A patent/JP4860745B2/ja active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106713162A (zh) * | 2015-11-17 | 2017-05-24 | 中国移动通信集团公司 | 统计bgp团体属性或扩展团体属性流量值的方法及装置 |
| EP3379781A4 (en) * | 2015-11-17 | 2019-02-20 | China Mobile Communications Group Co., Ltd | COMMUNITY BGP COMMUNITY ATTRIBUTE COUNTING METHOD OR EXTENSIVE COMMUNITY ATTRIBUTE FLOW VALUE, AND DEVICE |
| CN106713162B (zh) * | 2015-11-17 | 2020-01-21 | 中国移动通信集团公司 | 统计bgp团体属性或扩展团体属性流量值的方法及装置 |
| US11032184B2 (en) | 2015-11-17 | 2021-06-08 | China Mobile Communications Group Co., Ltd. | Method and device for collecting traffic flow value of BGP community attribute or BGP extended community attribute |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011109587A (ja) | 2011-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4860745B2 (ja) | Bgpトラヒック変動監視装置、方法、およびシステム | |
| US11818025B2 (en) | Methods, systems, and apparatus to generate information transmission performance alerts | |
| EP2081321A2 (en) | Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor | |
| JP4667437B2 (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| JP5207082B2 (ja) | コンピュータシステム、及びコンピュータシステムの監視方法 | |
| JP5120784B2 (ja) | 通信ネットワークシステムにおけるネットワーク上の品質劣化箇所を推定する方法 | |
| US20060262772A1 (en) | System and methods for providing a network path verification protocol | |
| US20030120769A1 (en) | Method and system for determining autonomous system transit volumes | |
| US8270305B2 (en) | Node device, node system, and method and program for changing statistic information management table used for the node device | |
| CN101931628B (zh) | 一种域内源地址的验证方法和装置 | |
| JP5283192B2 (ja) | 経路制御プロトコルに基づいて障害リンクをリアルタイムに検出する方法、ノード装置及びプログラム | |
| US20140355453A1 (en) | Method and arrangement for fault analysis in a multi-layer network | |
| US20110013525A1 (en) | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes | |
| JP2008153752A (ja) | 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム | |
| JP2005285040A (ja) | ネットワーク監視システム及びその方法、プログラム | |
| JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
| Zhang et al. | A framework for measuring and predicting the impact of routing changes | |
| CN110995606B (zh) | 一种拥塞分析方法及装置 | |
| JP4244355B2 (ja) | 通過パケット監視装置および方法 | |
| JP2016146581A (ja) | トラヒック情報収集装置およびトラヒック情報収集方法 | |
| JP4871775B2 (ja) | 統計情報収集装置 | |
| KR100596389B1 (ko) | 다단계 트래픽 흐름 관리 장치 및 방법 | |
| JP4955083B2 (ja) | トラヒック変動監視装置、トラヒック変動監視方法、およびトラヒック変動監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111014 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111101 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111102 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4860745 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141111 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |