JP5163724B2 - Traffic monitoring system, traffic monitoring method and network management system - Google Patents
Traffic monitoring system, traffic monitoring method and network management system Download PDFInfo
- Publication number
- JP5163724B2 JP5163724B2 JP2010217469A JP2010217469A JP5163724B2 JP 5163724 B2 JP5163724 B2 JP 5163724B2 JP 2010217469 A JP2010217469 A JP 2010217469A JP 2010217469 A JP2010217469 A JP 2010217469A JP 5163724 B2 JP5163724 B2 JP 5163724B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- network
- monitoring
- communication terminal
- flow rate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明はトラフィック監視システム、トラフィック監視方法及び網管理システムに関し、例えば、同一の通信端末を宛先とする外部ネットワークから流入するトラフィック量が過剰であるか監視する場合に適用し得るものである。 The present invention relates to a traffic monitoring system, a traffic monitoring method, and a network management system, and can be applied to, for example, monitoring whether the amount of traffic flowing in from an external network destined for the same communication terminal is excessive.
いわゆる一般的な網管理システム(NMS;Network Management System)は、ルータ、スイッチといったネットワーク機器よりトラフィック情報を直接送信させ、受信したトラフィック情報に基づいてトラフィック分析を行うというものである(非特許文献1参照)。今日では、トラフィックが、データ、音楽、映像などのマルチメディアトラフィックであって、ストリーミングに通信端末に供給することが求められるトラフィックが多く、トラフィック量自体は従前より多くなっていく傾向にある。そのため、ルータ、スイッチといったネットワーク機器への入力速度も数十Gbpsというように、非常に高速になっている。 A so-called general network management system (NMS) is such that traffic information is directly transmitted from a network device such as a router or a switch, and traffic analysis is performed based on the received traffic information (Non-patent Document 1). reference). Today, traffic is multimedia traffic such as data, music, and video, and there is much traffic that is required to be supplied to a communication terminal for streaming, and the traffic volume itself tends to be larger than before. For this reason, the input speed to network devices such as routers and switches is very high, such as several tens of Gbps.
今日、メガキャリアが運営するような大規模ネットワークにおける加入者は、数百万〜数千万である。このような数百万〜数千万の加入者のトラフィック情報を分析する場合、トラフィックを中継するネットワーク機器や網管理システムの処理性能を超えてしまい、十分な分析ができない嫌いがあった。例えば、ネットワーク機器において、数十Gbpsの入力トラフィックを中継処理するだけでも処理負荷が大きい状況で、網管理システムから指示された監視対象のトラフィックの流入を監視することは、ネットワーク機器が有する処理性能を超える嫌いがあった。また例えば、網管理システムにおいても、今日のようなデータの種類や転送方法によってトラフィック量が多い状況では、ネットワーク機器に指示して転送させるトラフィック情報も膨大となり易く、処理性能を超えてしまい、十分な分析ができない嫌いがあった。 Today, there are millions to tens of millions of subscribers in large networks operated by megacarriers. When analyzing traffic information of such millions to tens of millions of subscribers, the processing performance of network devices and network management systems that relay traffic is exceeded, and there is a dislike that sufficient analysis cannot be performed. For example, in a network device, monitoring the inflow of the monitoring target traffic instructed from the network management system in a situation where the processing load is large even if the input traffic of several tens of Gbps is relayed, the processing performance of the network device There was a dislike over. In addition, for example, even in a network management system, in a situation where there is a large amount of traffic depending on the type of data and the transfer method as in today, the traffic information instructed to the network device to be transferred is likely to be enormous, exceeding the processing performance and sufficient. There was a dislike that could not be analyzed.
このような不都合を回避しようとすると、ネットワーク機器がトラフィックをサンプリング(抜取り)し、このようなサンプリングされたトラフィック情報を網管理システムが分析することも考えられる。 In order to avoid such an inconvenience, it is also conceivable that the network device samples (samples) traffic, and the network management system analyzes such sampled traffic information.
しかしながら、このようにした場合、DDoS攻撃等に見られるように、ネットワークへの複数の入口より流入したトラフィックが、結果的に1つのターゲットの通信端末に向かうような過剰トラフィックを検知することが非常に難しくなり、仮に検知できたとしても、その時点が遅く、通信端末が既に機能不全に陥っていることも生じる。 However, in this case, as seen in a DDoS attack or the like, it is extremely difficult to detect excessive traffic that flows from a plurality of entrances to the network and eventually goes to one target communication terminal. Even if it can be detected, the point in time is late and the communication terminal is already malfunctioning.
そのため、ネットワークの各種機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができるトラフィック監視システム、トラフィック監視方法及び網管理システムが望まれている。 Therefore, there is a demand for a traffic monitoring system, a traffic monitoring method, and a network management system that can quickly detect excess traffic while reducing processing loads on various devices and network management systems in the network.
第1の本発明は、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視システムにおいて、上記通信端末を収容した第1のネットワーク機器において、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、1又は複数の第2のネットワーク機器のそれぞれにおいて、第2の監視時間における上記通信端末へのトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、上記第1のネットワーク機器の監視結果と、上記各第2のネットワーク機器の監視結果とに基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 According to a first aspect of the present invention, there is provided a traffic monitoring system for monitoring traffic to an arbitrary communication terminal in a network as traffic to be monitored. In a first network device accommodating the communication terminal, a first connection to the communication terminal is performed . It is monitored whether the traffic flow rate during the monitoring time exceeds the first alarm threshold, and the traffic flow rate to the communication terminal during the second monitoring time is the first in each of the one or more second network devices. 2, whether the traffic to the communication terminal is excessive traffic based on the monitoring result of the first network device and the monitoring result of the second network device. It is characterized by determining whether or not.
第2の本発明は、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視方法において、上記通信端末を収容した第1のネットワーク機器が、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、上記第1のネットワーク機器において、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたと判断された場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれが、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 The second of the present invention is a traffic monitoring method of monitoring traffic to any communication terminal in the network as a traffic monitored, the first network device which accommodates the communication terminal, the first to the communication terminal Whether or not the traffic flow rate during the monitoring time exceeds the first alarm threshold is determined, and in the first network device, it is determined that the traffic flow rate to the communication terminal exceeds the first alarm threshold. In this case, whether or not each of the network boundary devices provided at the boundary between the network and the external network has exceeded the second alarm threshold for the traffic flow rate during the second monitoring time to the communication terminal. to monitor, on the basis of the monitoring result of each network boundary device, the communication terminal Characterized in that to determine whether the traffic is in excess traffic.
第3の本発明によれば、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとする監視を、主導権を持って進行させる上記ネットワークにおける網管理システムにおいて、上記通信端末を収容した第1のネットワーク機器に、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視させ、上記第1のネットワーク機器の監視結果が、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたことを表している場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれに、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視させ、上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 According to the third aspect of the present invention, in the network management system in the network in which monitoring with traffic to any communication terminal in the network as traffic to be monitored proceeds with initiative, the communication terminal is accommodated in the network management system. 1 network device to monitor whether or not the traffic flow rate during the first monitoring time to the communication terminal exceeds the first alarm threshold, and the monitoring result of the first network device is sent to the communication terminal. Represents that the traffic flow rate of the second network exceeds the first alarm threshold value, each of all network boundary devices provided at the boundary between the network and the external network is connected to the second communication terminal. to monitor whether the traffic flow exceeds the second alarm threshold in the monitoring time, said values Based on the monitoring result of the network boundary device, and discriminates whether the traffic to the communication terminal is turned over traffic.
本発明によれば、ネットワークの各種機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができるトラフィック監視システム、トラフィック監視方法及び網管理システムを実現できる。 According to the present invention, it is possible to realize a traffic monitoring system, a traffic monitoring method, and a network management system that can quickly detect excess traffic while reducing processing loads on various devices and network management systems in the network.
(A)第1の実施形態
以下、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第1の実施形態を、図面を参照しながら説明する。
(A) First Embodiment A traffic monitoring system, a traffic monitoring method, and a network management system according to a first embodiment of the present invention will be described below with reference to the drawings.
(A−1)第1の実施形態の構成
図1は、第1の実施形態のトラフィック監視システムに係る構成要素を示すブロック図である。
(A-1) Configuration of First Embodiment FIG. 1 is a block diagram showing components related to the traffic monitoring system of the first embodiment.
図1において、第1の実施形態のトラフィック監視システム1は、網管理システム(NMS)2と、通信端末3を収容したネットワーク機器4と、ネットワーク間の境界に位置している1又は複数(図1は2個の例を示している)のネットワーク境界機器5−1、5−2とが協働して過剰トラフィックを監視するものである。
In FIG. 1, a
網管理システム2は、通信端末3及びネットワーク機器4が属すると共に、ネットワーク境界機器5−1、5−2が境界に配置されているネットワーク6を管理するものである。網管理システム2は、過剰トラフィックの監視では、ネットワーク機器4、ネットワーク境界機器5−1、5−2に対し、監視対象のトラフィック情報とアラート用閾値とを与えるものである。第1の実施形態の場合、網管理システム2は、第1段階の処理として、ネットワーク機器4に監視対象のトラフィック情報とアラート用閾値とを与えてそのトラフィックが過剰トラフィックか判断させ、過剰トラフィックと判断された場合に第2段階の処理に移行し、ネットワーク境界機器5−1、5−2に対し、監視対象のトラフィック特定情報とアラート用閾値とを与えてそのトラフィックが過剰トラフィックか判断させる。
The
通信端末3は、監視対象のトラフィックの宛先端末として書き出したものである。通信端末3は、例えば、IP電話端末、通信機能を有する情報処理端末など、任意の種類の端末である。 The communication terminal 3 is written as the destination terminal of the traffic to be monitored. The communication terminal 3 is an arbitrary type of terminal such as an IP telephone terminal or an information processing terminal having a communication function.
ネットワーク機器4は、通信端末3へのトラフィックを最終的に通信端末3へ送出する、通信端末3を収容したネットワーク機器として書き出したものである。ネットワーク機器4は、例えば、ルータやスイッチやなどが該当し、ゲートウェイ、ゲートウェイルータなどのネットワーク境界機器であっても良い。ネットワーク機器4は、上述のように、網管理システム2の制御下で、指示されたトラフィックが過剰トラフィックか判断する。
The
ネットワーク境界機器5−1、5−2は、外部ネットワークからのトラフィックをネットワーク6に流入させるネットワーク機器として書き出したものである。ネットワーク境界機器5−1、5−2は、例えばゲートウェイ、ゲートウェイルータである。
The network boundary devices 5-1 and 5-2 are written as network devices that allow traffic from an external network to flow into the
図2は、網管理システム2の機能的構成を示すブロック図である。網管理システム2は、専用装置として構築されたものであっても良く、また、コンピュータに網管理システム用のプログラムをロードしたものであっても良いが、機能的には、図2で示すことができる。
FIG. 2 is a block diagram showing a functional configuration of the
網管理システム2は、制御部10とデータベース11とを有する。制御部10は、監視対象のトラフィックの情報を取り込む監視対象取込部12、第1段階の監視を指示する第1段階監視指示部13、第2段階の監視を指示する第2段階監視指示部14及びトラフィックの規制を指示する規制処理部15を有する。データベース11は、ネットワーク6の構成のデータや、監視対象のトラフィックのデータが格納されている。
The
監視対象取込部12は、キーボードから入力された監視対象のトラフィックの情報や、保守員の端末から送信されてきた監視対象のトラフィックの情報を取り込むものである。監視対象取込部12は、データベース11に取り込んだ監視対象のトラフィック情報を格納させる。ここで、監視対象のトラフィック情報とは、過剰トラフィックの流入の恐れがある、トラフィックの流入量を確認したい通信端末3を特定する情報(例えば、ネットワーク6がIP網であればIPアドレス)である。
The monitoring
以上では、保守員などが監視対象のトラフィック情報を入力する場合を示したが、外部ネットワークの網管理システムから監視対象のトラフィック情報を受け入れるようにしても良く、また、網管理システム2、ネットワーク機器4又はネットワーク境界機器5−1、5−2が監視対象のトラフィック情報を自動的に定めるようにしても良い。例えば、外部ネットワークの網管理システムが、その外部ネットワーク内の処理で異常なトラフィックを発見し、その宛先が当該ネットワーク6内の通信端末である場合にその旨を当該ネットワーク6の網管理システム2に通知し、通知された網管理システム2が、外部ネットワークでの異常トラフィックの宛先アドレスを、当該ネットワーク6でのアドレスに変換して、監視対象のトラフィック情報を得るようにしても良い。また例えば、ネットワーク機器4又はネットワーク境界機器5−1、5−2が、抜取り検査により、データ部が空のような異常パケットを検出したときに、所定時間内に同じ異常パケット(送信元アドレスだけ異なっていても良い)が到来したか確認し、到来したときに、異常パケットの宛先アドレスを得て、監視対象のトラフィック情報を得るようにしても良い。
In the above, the case where the maintenance staff inputs the traffic information to be monitored has been described. However, the traffic information to be monitored may be received from the network management system of the external network. 4 or network boundary devices 5-1, 5-2 may automatically determine the traffic information to be monitored. For example, when the network management system of the external network finds abnormal traffic in the processing in the external network and the destination is a communication terminal in the
第1段階監視指示部13は、データベース11の格納データに基づき、監視対象のトラフィック情報に係る通信端末3を収容しているネットワーク機器4を割り出し、そのネットワーク機器4に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させる。アラート用閾値は、例えば、20Mbpsなど、過剰トラフィックか否かを切り分けるための閾値である。アラート用閾値は、網管理システム2が固定的に保持していても良い。また、保守員が、監視対象のトラフィック情報を入力させる際に、通信端末3の処理能力を考慮してアラート用閾値を定めて入力するようにしても良い。さらに、保守員が、監視対象のトラフィック情報を入力させる際に、通信端末3の機種名等の種類特定情報を入力し、網管理システム2が内蔵する種類特定情報からアラート用閾値への変換テーブルを参照してアラート用閾値を得るようにしても良い。
Based on the data stored in the
第1段階監視指示部13は、ネットワーク機器4からアラートが上がってきたときには、そのことをデータベース11の監視対象のトラフィック情報に関連付けて格納すると共に、第2段階監視指示部14を起動する。第2段階監視指示部14は、データベース11の格納データに基づき、ネットワーク6の全てのネットワーク境界機器5−1、5−2を認識し、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させる。
When an alert is received from the
この第2段階でのアラート用閾値は、第1段階でのアラート用閾値をネットワーク境界機器数で割った値に、調整用の係数αを掛けた値である。例えば、第1段階のアラート用閾値が20Mbpsであってネットワーク境界機器数が2であれば、第2段階のアラート用閾値は20×α/2となる。調整用係数αを1としても良い(すなわち、調整用係数を適用しなくても良い)が、DDoS攻撃などで各ネットワーク境界機器からの流入量が均一にならないことを考慮し、調整用係数αを1より小さくしても良い。なお、各ネットワーク境界機器のそれぞれについて、トラフィックの種類を問わずにトラフィックの平均流入量を検出しておき、この平均流入量に応じて、ネットワーク境界機器毎に調整用係数αを定めるようにしても良い。 The alert threshold value in the second stage is a value obtained by multiplying the alert threshold value in the first stage by the number of network boundary devices and the adjustment coefficient α. For example, if the first-stage alert threshold is 20 Mbps and the number of network boundary devices is 2, the second-stage alert threshold is 20 × α / 2. The adjustment coefficient α may be set to 1 (that is, the adjustment coefficient may not be applied), but the adjustment coefficient α is considered in consideration of the inflow from each network boundary device not being uniform due to a DDoS attack or the like. May be smaller than 1. For each network boundary device, the average inflow amount of traffic is detected regardless of the type of traffic, and the adjustment coefficient α is determined for each network boundary device according to this average inflow amount. Also good.
なお、ネットワーク境界機器5−1、5−2に流入する際のトラフィックにおける通信端末3のアドレスと、ネットワーク6内を流れる際の通信端末3のアドレスとが異なっている場合には、第2段階監視指示部14は、アドレス変換(例えば、ローカルアドレスからグローバルアドレスへの変換)をした上で、全てのネットワーク境界機器5−1、5−2に監視対象のトラフィック情報を与えることとなる。アドレス変換では、アドレス解決装置と通信して変換先のアドレスを得るようにしても良い。また、アドレス変換を、ネットワーク境界機器5−1、5−2側の処理で実現するようにしても良い。
If the address of the communication terminal 3 in the traffic flowing into the network boundary devices 5-1 and 5-2 is different from the address of the communication terminal 3 when flowing in the
第2段階監視指示部14は、いずれかのネットワーク境界機器5−1、5−2からアラートが上がってきたときには、そのことをデータベース11の監視対象のトラフィック情報に関連付けて格納する。第2段階監視指示部14は、適宜、規制処理部15を起動する。例えば、第2段階監視指示部14は、いずれか1個のネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良く、また、所定個数のネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良く、さらには、全てのネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良い。ここでの所定個数は、絶対的な個数であっても良く、ネットワーク境界機器数の所定割合を整数化した個数であっても良い。例えば、調整用係数αが1に近い値であれば、1個のネットワーク境界機器からのアラートを起動条件として十分であり、調整用係数αが1からかなり小さい値であれば、複数のネットワーク境界機器からのアラートを起動条件とすることが好ましい。
When an alert is raised from any one of the network boundary devices 5-1 and 5-2, the second stage
規制処理部15は、監視対象のトラフィック情報に係る通信端末3へのトラフィックを分析し、その分析結果に応じて、必要ならば、通信端末3へのトラフィックを規制する。通信端末3への過剰トラフィックの監視では、後述するように、パケットの宛先及びパケット長だけを問題とし、パケットの送信元や内容を見ないが、規制処理部15による分析では、送信元の同一や内容の同一、類似、内容の有無などを捉え、DDoS攻撃であるか否かなどを判定する。通信端末3へのトラフィックの規制方法としては、例えば、ネットワーク境界機器5−1、5−2による廃棄を挙げることができる。
The
なお、網管理システム2とネットワーク機器4との通信や、網管理システム2とネットワーク境界機器5−1、5−2との通信には、例えば、SNMPが利用される。
For example, SNMP is used for communication between the
図3は、ネットワーク機器4、ネットワーク境界機器5−1、5−2などのトラフィック中継機器20の過剰トラフィック監視機能に係る内部構成を示すブロック図である。ネットワーク機器4やネットワーク境界機器5−1、5−2は、ルータ、スイッチ、ゲートウェイなどが該当し、中継に係る処理の詳細は機器の種類によって異なるが、第1の実施形態の場合、過剰トラフィック監視機能に係る内部構成は同様である。
FIG. 3 is a block diagram showing an internal configuration relating to an excess traffic monitoring function of the traffic relay device 20 such as the
図3において、トラフィック中継機器20は、ヘッダ抽出部21、監視対象記憶部22、監視対象判別部23、流量計測部24及び監視結果報告部25を有する。
In FIG. 3, the traffic relay device 20 includes a
ヘッダ抽出部21は、当該トラフィック中継機器20に流入したパケットのヘッダを抽出するものである。
The
監視対象記憶部22は、網管理システム2から与えられた監視対象のトラフィック情報及びアラート用閾値を記憶するものである。図1では通信端末3を1台だけ示しているが、過剰トラフィックの監視対象に係る通信端末3は複数あっても良く、複数あれば、監視対象記憶部22には、複数組の監視対象のトラフィック情報及びアラート用閾値が格納される。
The monitoring target storage unit 22 stores the monitoring target traffic information and the alert threshold given from the
監視対象判別部23は、ヘッダ抽出部21によって抽出されたヘッダの宛先アドレスが、監視対象記憶部22に記憶されている監視対象のトラフィック情報(通信端末3のアドレス)に合致しているか否かを判別するものである。宛先アドレスだけの判別であり、送信元アドレスが異なっているパケットでも、宛先アドレスが同じパケットは、同様に処理される。例えば、DDoS攻撃の場合、パケットの宛先アドレスが同じであっても送信元アドレスが異なっていることが多いためである。
The monitoring
流量計測部24は、今回の到来パケットが監視対象のトラフィックであると、抽出されたヘッダのパケット長(例えば、単位はバイトになっている)を、それまでのパケット長の積算値に積算(加算)させるものである。監視対象が複数ある場合には、流量計測部24も、監視対象毎に積算値を計数する。
If the current incoming packet is the traffic to be monitored, the flow
トラフィック中継機器20は、網管理システム2から監視対象のトラフィック情報及びアラート用閾値が与えられたときから、予め定まっている所定時間(監視時間)だけトラフィックを監視するものである。ネットワーク機器4と、ネットワーク境界機器5−1、5−2とで監視時間が異なっていても良い。例えば、ネットワーク境界機器5−1、5−2の監視時間を、ネットワーク機器4の監視時間より長くするようにしても良い。また、監視時間をも、網管理システム2が指示するようにしても良い。
The traffic relay device 20 monitors traffic for a predetermined time (monitoring time) determined in advance from when the traffic information to be monitored and the alert threshold value are given from the
監視結果報告部25は、監視する所定時間が終了したときに、パケット長積算値とアラート用閾値に基づいて監視結果を生成し、網管理システム2に報告するものである。例えば、トラフィックの監視時間が1秒であれば、パケット長積算値(単位はバイト)をビット数に置き換えた値がトラフィック流量を表す値になる。また例えば、トラフィックの監視時間が5秒であれば、パケット長積算値を5で割って1秒当たりのパケット長積算値を求め、求められた1秒当たりのパケット長積算値をビット数に置き換えた値がトラフィック流量を表す値になり、若しくは、パケット長積算値をビット数に置き換えた値を5で割った値がトラフィック流量を表す値になる。監視結果報告部25は、求められたトラフィック流量を、監視対象記憶部22に記憶されているアラート用閾値と比較し、トラフィック流量がアラート用閾値以上のときにアラートという監視結果を生成し、トラフィック流量がアラート用閾値より小さいときに正常という監視結果を生成する。
The monitoring result reporting unit 25 generates a monitoring result based on the packet length integrated value and the alert threshold when a predetermined time for monitoring ends, and reports it to the
(A−2)第1の実施形態の動作
次に、第1の実施形態に係るトラフィック監視システム1の過剰トラフィックの監視動作(トラフィック監視方法)を説明する。
(A-2) Operation of First Embodiment Next, a first excess traffic monitoring operation
トラフィック監視システム1の動作は、DDoS攻撃のトラフィックの流れを考慮して定められたものである。図1に示すように、通信端末3へのDDoSトラフィックは、複数のネットワーク境界機器5−1及び5−2に分散してネットワーク6内に流入し、その分散しているDDoSトラフィックが、ネットワーク境界機器5−1、5−2とネットワーク機器4との間に複数の中継機器を介したとしても、通信端末3を収容しているネットワーク機器4で合流し、大きな量のトラフィックとなって通信端末3を攻撃する。このような流れを考慮して、トラフィック監視システム1の動作が定められている。
The operation of the
図4は、第1の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。
FIG. 4 is a sequence diagram of the
網管理システム2は、監視対象のトラフィック情報を取り込むと(ステップS1)、監視対象のトラフィック情報に係る通信端末3を収容しているネットワーク機器4を割り出して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS2)。
When the
ネットワーク機器4は、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS3)、得られた監視結果を網管理システム2に返信する(ステップS4)。
The
網管理システム2は、ネットワーク機器4からの監視結果がアラートになっているか否かを判別する(ステップS5)。網管理システム2は、アラートになっていなければその監視対象のトラフィックの監視を終了する(ステップS6)。これに対して、ネットワーク機器4からの監視結果がアラートになっていると、網管理システム2は、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS7−1、S7−2)。
The
各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS8−1、S8−2)、得られた監視結果を網管理システム2に返信する(ステップS9−1、S9−2)。 Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, and determines the flow rate per unit time of the measured traffic flow rate as an alert threshold value. (Steps S8-1 and S8-2), and the obtained monitoring results are returned to the network management system 2 (steps S9-1 and S9-2).
網管理システム2は、図4では省略しているが、全てのネットワーク境界機器5−1、5−2の監視結果が返信されると、監視対象のトラフィックに対する措置等が必要か否かを判断する。例えば、アラートの監視結果が所定数得られたときには、網管理システム2は、通信端末3を宛先とするトラフィックを詳細に分析し、必要ならば、全てのネットワーク境界機器5−1、5−2に対して廃棄を指示する。
Although omitted in FIG. 4, the
(A−3)第1の実施形態の効果
第1の実施形態によれば、過剰トラフィックの監視のために、通信端末を収容しているネットワーク機器が所定時間だけ監視し、必要ならば全てのネットワーク境界機器が所定時間だけ監視するので、常時監視を行っているのでなく、しかも、ネットワークの一部の機器だけが監視を実行すれば良く、ネットワーク機器、ネットワーク境界機器、網管理システムの処理負荷を小さく抑えることができる。ネットワーク全体としても、監視のための負荷が抑えられていることになる。
(A-3) Effect of the first embodiment According to the first embodiment, the network device accommodating the communication terminal monitors only for a predetermined time in order to monitor excess traffic, and if necessary, all Since the network boundary device monitors for a predetermined time, it is not always monitored, and only a part of the network needs to be monitored. The processing load of the network device, network boundary device, and network management system Can be kept small. As a whole, the monitoring load is reduced.
しかも、ネットワーク機器での監視時間とネットワーク境界機器での監視時間の合計時間程度で過剰トラフィックを検知できる。すなわち、過剰トラフィックを迅速に検知することができる。 In addition, excess traffic can be detected with a total time of the monitoring time at the network device and the monitoring time at the network boundary device. That is, excess traffic can be detected quickly.
また、第1の実施形態によれば、トラフィックの宛先だけに基づいて過剰トラフィックを判断しているため、過剰トラフィックの原因(DDoS攻撃、Winny等の第2世代P2P)が不明であっても過剰トラフィックを検知することができる。 In addition, according to the first embodiment, excess traffic is determined based only on the destination of the traffic, so even if the cause of excess traffic (second generation P2P such as DDoS attack, Winny, etc.) is unknown, it is excessive. Traffic can be detected.
(B)第2の実施形態
次に、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第2の実施形態を、図面を参照しながら説明する。
(B) Second Embodiment Next, a traffic monitoring system, a traffic monitoring method, and a network management system according to a second embodiment of the present invention will be described with reference to the drawings.
第1の実施形態では、第2段階の監視で過剰トラフィックの有無をネットワーク境界機器5−1、5−2が判断するものであった。この第2の実施形態は、第2段階の監視で過剰トラフィックの有無を網管理システム2が判断するものである。以下、第1の実施形態との相違点を中心に説明する。
In the first embodiment, the network boundary devices 5-1 and 5-2 determine the presence or absence of excess traffic in the second stage of monitoring. In the second embodiment, the
第2の実施形態のトラフィック監視システム1における各構成要素の配置も、上述した図1で表すことができる。また、第2の実施形態の網監視システム2の機能的構成も、上述した図2で表すことができる。さらに、第2の実施形態のトラフィック中継機器20におけるトラフィック監視面の内部構成も、上述した図3で表すことができる。但し、各構成要素について、以下のような相違がある。
The arrangement of each component in the
第2の実施形態の網監視システム2における第2段階監視指示部14は、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報を与えてトラフィックを監視させるものである。
The second stage
第2の実施形態の場合、このような監視指示に対しては、各ネットワーク境界機器5−1、5−2はそれぞれ、指示されたトラフィックを監視し、監視結果として、アラートの有無ではなく、検出されたトラフィック流量を送出する。すなわち、トラフィック中継機器20(5−1、5−2)における監視結果報告部25は、流量計測部24が所定時間の間だけ計測した監視対象のトラフィックの流量を、監視結果として網管理システムに報告する。監視結果に含める情報は、トラフィック流量そのものではなく、それから得られた単位時間当たりのトラフィック流量であっても良い。
In the case of the second embodiment, in response to such a monitoring instruction, each of the network boundary devices 5-1 and 5-2 monitors the instructed traffic, and the monitoring result is not the presence or absence of an alert, Send the detected traffic flow. That is, the monitoring result reporting unit 25 in the traffic relay device 20 (5-1, 5-2) uses the flow rate of the monitoring target traffic measured by the flow
第2の実施形態の網監視システム2における規制処理部15は、全てのネットワーク境界機器5−1、5−2から報告されたトラフィック流量の合計トラフィック流量を算出した後、監視時間で割って、単位時間当たりの合計トラフィック流量を求め、この単位時間当たりの合計トラフィック流量とアラート用閾値とを大小比較して、過剰トラフィックか否かを判断する。
The
図5は、第2の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。
FIG. 5 is a sequence diagram at the time of the excessive traffic monitoring operation by the
網管理システム2が、ネットワーク機器4からの監視結果がアラートになっているか否かを判別し(ステップS5)、網管理システム2は、アラートになっていなければその監視対象のトラフィックの監視を終了する(ステップS6)までの処理は、第1の実施形態と同様である。
The
第2の実施形態の場合、ネットワーク機器4からの監視結果がアラートになっていると、網管理システム2は、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報を与えて、トラフィック流量を計測することを依頼する(ステップS7A−1、S7A−2)。
In the case of the second embodiment, when the monitoring result from the
各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し(ステップS8A−1、S8A−2)、計測されたトラフィック流量を監視結果として網管理システム2に返信する(ステップS9A−1、S9A−2)。 Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time (steps S8A-1 and S8A-2), and calculates the measured traffic flow rate. The monitoring result is returned to the network management system 2 (steps S9A-1 and S9A-2).
網監視システム2は、全てのネットワーク境界機器5−1、5−2から報告されたトラフィック流量の合計トラフィック流量を算出した後、監視時間で割って、単位時間当たりの合計トラフィック流量を求め、この単位時間当たりの合計トラフィック流量とアラート用閾値とを大小比較して、過剰トラフィックか否かを判断する(ステップS10)。過剰トラフィックと判断した後の対応は、第1の実施形態と同様である。
The
第2の実施形態によっても、第1の実施形態と同様な効果を奏することができる。すなわち、ネットワーク機器やネットワーク境界機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができる。 According to the second embodiment, the same effect as that of the first embodiment can be obtained. That is, it is possible to quickly detect excess traffic while reducing the processing load on the network device, the network boundary device, and the network management system.
(C)第3の実施形態
次に、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第3の実施形態を、図面を参照しながら説明する。
(C) Third Embodiment Next, a traffic monitoring system, a traffic monitoring method, and a network management system according to a third embodiment of the present invention will be described with reference to the drawings.
第1及び第2の実施形態は、網管理システム2が主導権をとって過剰トラフィックを監視するものであった。この第3の実施形態は、通信端末3を収容するネットワーク機器4が主導権をとって過剰トラフィックを監視するものである。以下、第1の実施形態との相違点を中心に説明する。
In the first and second embodiments, the
第3の実施形態のトラフィック監視システム1における各構成要素の配置も、上述した図1で表すことができる。
The arrangement of each component in the
第3の実施形態の場合、網管理システム1は、ネットワーク機器4からの要求に応じてネットワーク機器4にネットワーク境界機器5−1、5−2の情報を渡す機能だけを果たすものであり、その機能的な構成の図示は省略する。
In the case of the third embodiment, the
図6は、第3の実施形態におけるネットワーク機器4の過剰トラフィック監視機能に係る内部構成を示すブロック図である。
FIG. 6 is a block diagram illustrating an internal configuration relating to an excess traffic monitoring function of the
図6において、ネットワーク機器4は、ヘッダ抽出部31、監視対象取込部32、監視対象判別部33、流量計測部34及び第2段階監視指示部35を有する。
In FIG. 6, the
ここで、ヘッダ抽出部31、監視対象判別部33及び流量計測部34は、上述した図3で示したものと同様であるので、その説明は省略する。
Here, the
監視対象取込部32は、キーボードから入力された監視対象のトラフィックの情報や、通信端末3若しくは保守員の端末から送信されてきた監視対象のトラフィックの情報を取り込んで保持するものである。すなわち、第3の実施形態の場合、監視対象のトラフィック情報を、監視対象のトラフィックの宛先端末である通信端末3を収容しているネットワーク機器4に入力することとなっている。ここで、監視に必要となるアラート用閾値は、予めネットワーク機器4に保持させておいても良く、また、監視対象のトラフィック情報を入力するさいに併せて入力させるようにしても良く、さらに、ネットワーク機器4が網管理システム2に要求して網管理システム2から得るようにしても良い。
The monitoring
第3の実施形態における監視対象判別部33は、ヘッダ抽出部31によって抽出されたヘッダの宛先アドレスが、監視対象取込部32が取り込んで保持している監視対象のトラフィック情報(通信端末3のアドレス)に合致しているか否かを判別することになる。
The monitoring
第2段階監視指示部35は、監視する所定時間が終了したときに、流量計測部34によるパケット長積算値とアラート用閾値を大小比較し、パケット長積算値がアラート用閾値より大きいアラートと結果を得たときに、網管理システム2からネットワーク6の全てのネットワーク境界機器5−1、5−2の情報を得て、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させるものである。
The second stage monitoring instructing
また、第2段階監視指示部35は、いずれか若しくは所定個数以上若しくは全てのネットワーク境界機器5−1、5−2からアラートという監視結果が上がってきたときには、監視対象のトラフィックが過剰トラフィックであると判断し、網監視システム2に通知するものである。このとき、網管理システム2は、第1の実施形態で規制処理部15の機能として説明した機能を実行することになる。
In addition, the second stage
この第3の実施形態の場合、ネットワーク境界機器5−1、5−2に対する過剰トラフィックの監視の指示元(言い換えると、監視結果の報告先)が、第1の実施形態における網管理システム2からネットワーク機器4に変更になっているが、その点を除けば、ネットワーク境界機器5−1、5−2は第1の実施形態のものと同様である。すなわち、各ネットワーク境界機器5−1、5−2の内部構成は、上述した図3で表すことができ、その説明は省略する。
In the case of this third embodiment, the instruction source (in other words, the monitoring result report destination) for monitoring excess traffic for the network boundary devices 5-1 and 5-2 is sent from the
図7は、第3の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。
FIG. 7 is a sequence diagram at the time of an excessive traffic monitoring operation by the
ネットワーク機器4は、監視対象のトラフィック情報を取り込むと(ステップS50)、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し、アラート状態か判断する(ステップS51)。ネットワーク機器4は、アラート状態になっていなければその監視対象のトラフィックの監視を終了する(ステップS52)。これに対して、ネットワーク機器4は、アラート状態になっていると、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS53−1、S53−2)。
When the
各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS54−1、S54−2)、得られた監視結果をネットワーク機器4に返信する(ステップS55−1、S55−2)。 Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, and determines the flow rate per unit time of the measured traffic flow rate as an alert threshold value. (Steps S54-1, S54-2), and the obtained monitoring results are returned to the network device 4 (steps S55-1, S55-2).
ネットワーク機器4は、全てのネットワーク境界機器5−1、5−2から返信された監視結果に基づいて、過剰トラフィックか否かを判断する(ステップS56)。ネットワーク機器4は、過剰トラフィックでないと判断した場合には、監視対象のトラフィックに対する監視を終了する(ステップS57)。これに対して、ネットワーク機器4は、過剰トラフィックと判断した場合には、網監視システム2に通知する(ステップS58)。
The
図示は省略するが、このとき、網管理システム2は、例えば、通信端末3を宛先とするトラフィックを詳細に分析し、必要ならば、全てのネットワーク境界機器5−1、5−2に対して廃棄を指示する。
Although illustration is omitted, at this time, the
第3の実施形態によっても、第1の実施形態と同様な効果を奏することができる。すなわち、ネットワーク機器やネットワーク境界機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができる。 According to the third embodiment, the same effect as that of the first embodiment can be obtained. That is, it is possible to quickly detect excess traffic while reducing the processing load on the network device, the network boundary device, and the network management system.
第3の実施形態によれば、第1の実施形態と比較し、ネットワーク機器の処理負荷が多少増加するが、その分、網管理システムの処理負荷を減少させることができる。 According to the third embodiment, the processing load of the network device is slightly increased as compared with the first embodiment, but the processing load of the network management system can be reduced correspondingly.
(D)他の実施形態
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに、以下に例示するような変形実施形態を挙げることができる。
(D) Other Embodiments In the description of each of the above embodiments, various modified embodiments have been referred to. However, modified embodiments exemplified below can be cited.
上記各実施形態においては、第2段階の監視がネットワーク境界機器5−1、5−2で行われるものを示したが、通信端末3を収容しているネットワーク機器4に1ホップで通信し得る全てのネットワーク機器が、第2段階の監視の実行機器であっても良い。
In each of the embodiments described above, the second stage monitoring is performed by the network boundary devices 5-1, 5-2. However, the
上記各実施形態においては、ネットワーク機器4における監視と、ネットワーク境界機器5−1、5−2における監視とを時間順次に行うものを示したが、両監視を並行的に実行するようにしても良い。このような場合において、例えば、網管理システム2は、ネットワーク機器4の監視結果がアラートでなければネットワーク境界機器5−1〜5−2の監視結果を無視し、ネットワーク機器4の監視結果がアラートのときにだけネットワーク境界機器5−1〜5−2の監視結果を参照するようにしても良い。
In each of the above embodiments, the monitoring in the
上記各実施形態においては、トラフィック流量を所定時間でのビット数(例えば[Mbps])で把握するものを示したが、パケット数など、他のパラメータを用いるようにしても良い。 In each of the above embodiments, the traffic flow rate is grasped by the number of bits in a predetermined time (for example, [Mbps]), but other parameters such as the number of packets may be used.
上記各実施形態においては、監視対象のトラフィックを、通信端末3のアドレスで特定するものを示したが、他の方法で特定するようにしても良い。例えば、通信端末3のアドレスとネットワーク機器4におけるポート番号とで特定するようにしても良い。
In each of the embodiments described above, the traffic to be monitored is specified by the address of the communication terminal 3, but may be specified by other methods. For example, the communication terminal 3 address and the port number in the
上記各実施形態においては、過剰トラフィックを2段階の監視で検出するものを示したが、3段階以上の監視で検出するようにしても良い。例えば、第1段階の監視を、通信端末3を収容しているネットワーク機器4が行い、第2段階の監視を、通信端末3を収容しているネットワーク機器4に1ホップで通信し得る全てのネットワーク機器が行い、第3段階の監視を、ネットワーク境界機器5−1、5−2が行うようにしても良い。また例えば、第1段階の監視を、通信端末3を収容しているネットワーク機器4が行い、第2段階の監視を、ネットワーク境界機器5−1、5−2が行い、第3段階の監視を、当該ネットワーク6の隣接ネットワークにおけるネットワーク境界機器で行うようにしても良い。隣接ネットワークにおけるネットワーク境界機器での監視を当該ネットワーク6へのトラフィックの流入が全て同じ隣接ネットワークからという条件が成立する場合のみ、行うようにしても良い。隣接ネットワークにおけるネットワーク境界機器で監視する場合には、当該ネットワーク6の網管理システム2から隣接ネットワークの網管理システムに通知し、隣接ネットワークの網管理システムの管理下で監視を実行させるようにすれば良い。
In each of the above-described embodiments, an example in which excess traffic is detected by two-stage monitoring has been described, but it may be detected by three-stage or more monitoring. For example, the first stage of monitoring is performed by the
また、ネットワーク境界機器5−1、5−2の監視によって過剰トラフィックと判断された場合の措置を、隣接ネットワークに反映させるようにしても良い。すなわち、過剰トラフィックの情報を隣接ネットワークの網管理システムに通知し、隣接ネットワークへの入口などにおいてトラフィックの廃棄などの対応を実行してもらうようにしても良い。 Further, the measures when it is determined that the traffic is excessive by monitoring the network boundary devices 5-1 and 5-2 may be reflected in the adjacent network. That is, information on excess traffic may be notified to the network management system of the adjacent network, and a response such as discarding of traffic may be performed at the entrance to the adjacent network.
上記第3の実施形態においては、ネットワーク機器4に監視対象取込部32を設けて監視対象のトラフィック情報を取り込むものを示したが、網管理システム2に監視対象取込部を設けて監視対象のトラフィック情報を取り込んでネットワーク機器4に通知し、これ以降、ネットワーク機器4が主導権をもって過剰トラフィックか否かの監視を行うものであっても良い。
In the third embodiment, the monitoring
上記各実施形態におけるネットワーク機器やネットワーク境界機器が、ルータ、スイッチ、ゲートウェイ等である場合を意図して説明したが、このような機器がセッションボーダコントローラであっても良い。この場合、セッション確立後、通信という2段階の処理でトラフィックが流れるので、トラフィック流量を通信端末3宛ての発呼数(例えば、SIPにおけるINVITEメッセージの数)で監視するようにすれば良い。 Although the case where the network device and the network boundary device in each of the above embodiments is a router, a switch, a gateway, or the like has been described, such a device may be a session border controller. In this case, after the session is established, traffic flows in a two-stage process called communication, so the traffic flow rate may be monitored by the number of calls destined for the communication terminal 3 (for example, the number of INVITE messages in SIP).
1…トラフィック監視システム、2…網管理システム(NMS)、3…通信端末、4…ネットワーク機器、5−1、5−2…ネットワーク境界機器、6…ネットワーク、10…制御部、11…データベース、12…監視対象取込部、13…第1段階監視指示部、14…第2段階監視指示部、15…規制処理部、20…トラフィック中継機器、21…ヘッダ抽出部、22…監視対象記憶部、23…監視対象判別部、24…流量計測部、25…監視結果報告部、31…ヘッダ抽出部、32…監視対象取込部、33…監視対象判別部、34…流量計測部、35…第2段階監視指示部。
DESCRIPTION OF
Claims (6)
上記通信端末を収容した第1のネットワーク機器において、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、
1又は複数の第2のネットワーク機器のそれぞれにおいて、第2の監視時間における上記通信端末へのトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、
上記第1のネットワーク機器の監視結果と、上記各第2のネットワーク機器の監視結果とに基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とするトラフィック監視システム。 In a traffic monitoring system that monitors traffic to any communication terminal in the network as monitored traffic,
In the first network device accommodating the communication terminal, monitoring whether the traffic flow rate in the first monitoring time to the communication terminal exceeds the first alarm threshold,
In each of the one or more second network devices, monitoring whether the traffic flow rate to the communication terminal in the second monitoring time exceeds a second alarm threshold value,
Determining whether or not the traffic to the communication terminal is excessive traffic based on the monitoring result of the first network device and the monitoring result of the second network device. Monitoring system.
上記通信端末を収容した第1のネットワーク機器が、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、
上記第1のネットワーク機器において、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたと判断された場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれが、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、
上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とするトラフィック監視方法。 In a traffic monitoring method for monitoring traffic to any communication terminal in a network as traffic to be monitored,
The first network device accommodating the communication terminal monitors whether or not the traffic flow rate in the first monitoring time to the communication terminal exceeds a first alarm threshold value, and
In the first network device, when it is determined that the traffic flow rate to the communication terminal exceeds the first alarm threshold, all the network boundary devices provided at the boundary between the network and the external network Each monitoring whether the traffic flow rate during the second monitoring time to the communication terminal exceeds a second alarm threshold;
A traffic monitoring method comprising: determining whether or not traffic to the communication terminal is excessive traffic based on a monitoring result of each network boundary device .
上記通信端末を収容した第1のネットワーク機器に、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視させ、
上記第1のネットワーク機器の監視結果が、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたことを表している場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれに、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視させ、
上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とする網管理システム。 In the network management system in the network in which monitoring with traffic to any communication terminal in the network as the monitoring target traffic proceeds with initiative,
Causing the first network device accommodating the communication terminal to monitor whether or not the traffic flow rate during the first monitoring time to the communication terminal exceeds a first alarm threshold;
When the monitoring result of the first network device indicates that the traffic flow rate to the communication terminal has exceeded the first alarm threshold value, all provided at the boundary between the network and the external network Each of the network boundary devices monitors whether the traffic flow rate to the communication terminal in the second monitoring time exceeds a second alarm threshold value,
A network management system characterized by determining whether or not traffic to the communication terminal is excessive traffic based on a monitoring result of each network boundary device .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010217469A JP5163724B2 (en) | 2010-09-28 | 2010-09-28 | Traffic monitoring system, traffic monitoring method and network management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010217469A JP5163724B2 (en) | 2010-09-28 | 2010-09-28 | Traffic monitoring system, traffic monitoring method and network management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012074867A JP2012074867A (en) | 2012-04-12 |
JP5163724B2 true JP5163724B2 (en) | 2013-03-13 |
Family
ID=46170635
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010217469A Active JP5163724B2 (en) | 2010-09-28 | 2010-09-28 | Traffic monitoring system, traffic monitoring method and network management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5163724B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014148613A1 (en) | 2013-03-22 | 2014-09-25 | 日本電気株式会社 | Network statistical information providing system, network statistical information providing method, and program |
US10560871B2 (en) | 2015-05-29 | 2020-02-11 | Huawei Technologies Co., Ltd. | Operation processing method and device |
WO2024105892A1 (en) * | 2022-11-18 | 2024-05-23 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
CN118138434B (en) * | 2024-05-07 | 2024-07-23 | 江西达途数字技术有限公司 | Hierarchical management method and hierarchical management system for distributed network management platform |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003333092A (en) * | 2002-05-14 | 2003-11-21 | Mitsubishi Electric Corp | Network system, method of tracing attack packet and method of preventing attack packet |
JP4545647B2 (en) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | Attack detection / protection system |
US8689326B2 (en) * | 2006-01-16 | 2014-04-01 | Cyber Solutions Inc. | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic |
JP4380710B2 (en) * | 2007-02-26 | 2009-12-09 | 沖電気工業株式会社 | Traffic anomaly detection system, traffic information observation device, and traffic information observation program |
JP4570652B2 (en) * | 2007-11-02 | 2010-10-27 | 日本電信電話株式会社 | Unauthorized access monitoring apparatus and method |
-
2010
- 2010-09-28 JP JP2010217469A patent/JP5163724B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012074867A (en) | 2012-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
US10652078B2 (en) | Triggered in-band operations, administration, and maintenance in a network environment | |
CN102045363B (en) | Establishment, identification control method and device for network flow characteristic identification rule | |
US10129115B2 (en) | Method and system for network monitoring using signature packets | |
US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
JP5666685B2 (en) | Failure analysis apparatus, system thereof, and method thereof | |
US8850578B2 (en) | Network intrusion detection | |
US20150215365A1 (en) | Dynamic management of collaboration sessions using real-time text analytics | |
KR20100120823A (en) | Voip anomaly traffic detection method with flow-level data | |
US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
US20160255003A1 (en) | Network apparatus, communication system, abnormal traffic detection method, and program | |
US20140149572A1 (en) | Monitoring and diagnostics in computer networks | |
JP5163724B2 (en) | Traffic monitoring system, traffic monitoring method and network management system | |
KR101602189B1 (en) | traffic analysis and network monitoring system by packet capturing of 10-giga bit data | |
EP2053783A1 (en) | Method and system for identifying VoIP traffic in networks | |
EP3682595A1 (en) | Obtaining local area network diagnostic test results | |
Li et al. | A VoIP traffic identification scheme based on host and flow behavior analysis | |
JP2008048131A (en) | P2p traffic monitoring and control system, and method therefor | |
KR101587845B1 (en) | Method for detecting distributed denial of services attack apparatus thereto | |
EP2369807A1 (en) | Impairment detection and recording of isochronous media streams | |
US8036116B2 (en) | VoIP network element performance detection for IP NSEP special service | |
Xia et al. | Cids: Adapting legacy intrusion detection systems to the cloud with hybrid sampling | |
RU2485695C2 (en) | Method to verify virtual connection for transfer of multimedia data with specified characteristics | |
GB2566467A (en) | Obtaining local area network diagnostic test results | |
JP2006333089A (en) | Traffic monitoring device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120824 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121030 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121120 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121203 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5163724 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |