JP5163724B2 - Traffic monitoring system, traffic monitoring method and network management system - Google Patents

Traffic monitoring system, traffic monitoring method and network management system Download PDF

Info

Publication number
JP5163724B2
JP5163724B2 JP2010217469A JP2010217469A JP5163724B2 JP 5163724 B2 JP5163724 B2 JP 5163724B2 JP 2010217469 A JP2010217469 A JP 2010217469A JP 2010217469 A JP2010217469 A JP 2010217469A JP 5163724 B2 JP5163724 B2 JP 5163724B2
Authority
JP
Japan
Prior art keywords
traffic
network
monitoring
communication terminal
flow rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010217469A
Other languages
Japanese (ja)
Other versions
JP2012074867A (en
Inventor
圭 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2010217469A priority Critical patent/JP5163724B2/en
Publication of JP2012074867A publication Critical patent/JP2012074867A/en
Application granted granted Critical
Publication of JP5163724B2 publication Critical patent/JP5163724B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明はトラフィック監視システム、トラフィック監視方法及び網管理システムに関し、例えば、同一の通信端末を宛先とする外部ネットワークから流入するトラフィック量が過剰であるか監視する場合に適用し得るものである。   The present invention relates to a traffic monitoring system, a traffic monitoring method, and a network management system, and can be applied to, for example, monitoring whether the amount of traffic flowing in from an external network destined for the same communication terminal is excessive.

いわゆる一般的な網管理システム(NMS;Network Management System)は、ルータ、スイッチといったネットワーク機器よりトラフィック情報を直接送信させ、受信したトラフィック情報に基づいてトラフィック分析を行うというものである(非特許文献1参照)。今日では、トラフィックが、データ、音楽、映像などのマルチメディアトラフィックであって、ストリーミングに通信端末に供給することが求められるトラフィックが多く、トラフィック量自体は従前より多くなっていく傾向にある。そのため、ルータ、スイッチといったネットワーク機器への入力速度も数十Gbpsというように、非常に高速になっている。   A so-called general network management system (NMS) is such that traffic information is directly transmitted from a network device such as a router or a switch, and traffic analysis is performed based on the received traffic information (Non-patent Document 1). reference). Today, traffic is multimedia traffic such as data, music, and video, and there is much traffic that is required to be supplied to a communication terminal for streaming, and the traffic volume itself tends to be larger than before. For this reason, the input speed to network devices such as routers and switches is very high, such as several tens of Gbps.

RFC3418RFC3418

今日、メガキャリアが運営するような大規模ネットワークにおける加入者は、数百万〜数千万である。このような数百万〜数千万の加入者のトラフィック情報を分析する場合、トラフィックを中継するネットワーク機器や網管理システムの処理性能を超えてしまい、十分な分析ができない嫌いがあった。例えば、ネットワーク機器において、数十Gbpsの入力トラフィックを中継処理するだけでも処理負荷が大きい状況で、網管理システムから指示された監視対象のトラフィックの流入を監視することは、ネットワーク機器が有する処理性能を超える嫌いがあった。また例えば、網管理システムにおいても、今日のようなデータの種類や転送方法によってトラフィック量が多い状況では、ネットワーク機器に指示して転送させるトラフィック情報も膨大となり易く、処理性能を超えてしまい、十分な分析ができない嫌いがあった。   Today, there are millions to tens of millions of subscribers in large networks operated by megacarriers. When analyzing traffic information of such millions to tens of millions of subscribers, the processing performance of network devices and network management systems that relay traffic is exceeded, and there is a dislike that sufficient analysis cannot be performed. For example, in a network device, monitoring the inflow of the monitoring target traffic instructed from the network management system in a situation where the processing load is large even if the input traffic of several tens of Gbps is relayed, the processing performance of the network device There was a dislike over. In addition, for example, even in a network management system, in a situation where there is a large amount of traffic depending on the type of data and the transfer method as in today, the traffic information instructed to the network device to be transferred is likely to be enormous, exceeding the processing performance and sufficient. There was a dislike that could not be analyzed.

このような不都合を回避しようとすると、ネットワーク機器がトラフィックをサンプリング(抜取り)し、このようなサンプリングされたトラフィック情報を網管理システムが分析することも考えられる。   In order to avoid such an inconvenience, it is also conceivable that the network device samples (samples) traffic, and the network management system analyzes such sampled traffic information.

しかしながら、このようにした場合、DDoS攻撃等に見られるように、ネットワークへの複数の入口より流入したトラフィックが、結果的に1つのターゲットの通信端末に向かうような過剰トラフィックを検知することが非常に難しくなり、仮に検知できたとしても、その時点が遅く、通信端末が既に機能不全に陥っていることも生じる。   However, in this case, as seen in a DDoS attack or the like, it is extremely difficult to detect excessive traffic that flows from a plurality of entrances to the network and eventually goes to one target communication terminal. Even if it can be detected, the point in time is late and the communication terminal is already malfunctioning.

そのため、ネットワークの各種機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができるトラフィック監視システム、トラフィック監視方法及び網管理システムが望まれている。   Therefore, there is a demand for a traffic monitoring system, a traffic monitoring method, and a network management system that can quickly detect excess traffic while reducing processing loads on various devices and network management systems in the network.

第1の本発明は、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視システムにおいて、上記通信端末を収容した第1のネットワーク機器において、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、1又は複数の第2のネットワーク機器のそれぞれにおいて、第2の監視時間における上記通信端末へのトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、上記第1のネットワーク機器の監視結果と、上記各第2のネットワーク機器の監視結果とに基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 According to a first aspect of the present invention, there is provided a traffic monitoring system for monitoring traffic to an arbitrary communication terminal in a network as traffic to be monitored. In a first network device accommodating the communication terminal, a first connection to the communication terminal is performed . It is monitored whether the traffic flow rate during the monitoring time exceeds the first alarm threshold, and the traffic flow rate to the communication terminal during the second monitoring time is the first in each of the one or more second network devices. 2, whether the traffic to the communication terminal is excessive traffic based on the monitoring result of the first network device and the monitoring result of the second network device. It is characterized by determining whether or not.

第2の本発明は、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視方法において、上記通信端末を収容した第1のネットワーク機器が、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、上記第1のネットワーク機器において、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたと判断された場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれが、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 The second of the present invention is a traffic monitoring method of monitoring traffic to any communication terminal in the network as a traffic monitored, the first network device which accommodates the communication terminal, the first to the communication terminal Whether or not the traffic flow rate during the monitoring time exceeds the first alarm threshold is determined, and in the first network device, it is determined that the traffic flow rate to the communication terminal exceeds the first alarm threshold. In this case, whether or not each of the network boundary devices provided at the boundary between the network and the external network has exceeded the second alarm threshold for the traffic flow rate during the second monitoring time to the communication terminal. to monitor, on the basis of the monitoring result of each network boundary device, the communication terminal Characterized in that to determine whether the traffic is in excess traffic.

第3の本発明によれば、ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとする監視を、主導権を持って進行させる上記ネットワークにおける網管理システムにおいて、上記通信端末を収容した第1のネットワーク機器に、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視させ、上記第1のネットワーク機器の監視結果が、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたことを表している場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれに、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視させ、上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする。 According to the third aspect of the present invention, in the network management system in the network in which monitoring with traffic to any communication terminal in the network as traffic to be monitored proceeds with initiative, the communication terminal is accommodated in the network management system. 1 network device to monitor whether or not the traffic flow rate during the first monitoring time to the communication terminal exceeds the first alarm threshold, and the monitoring result of the first network device is sent to the communication terminal. Represents that the traffic flow rate of the second network exceeds the first alarm threshold value, each of all network boundary devices provided at the boundary between the network and the external network is connected to the second communication terminal. to monitor whether the traffic flow exceeds the second alarm threshold in the monitoring time, said values Based on the monitoring result of the network boundary device, and discriminates whether the traffic to the communication terminal is turned over traffic.

本発明によれば、ネットワークの各種機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができるトラフィック監視システム、トラフィック監視方法及び網管理システムを実現できる。   According to the present invention, it is possible to realize a traffic monitoring system, a traffic monitoring method, and a network management system that can quickly detect excess traffic while reducing processing loads on various devices and network management systems in the network.

第1の実施形態のトラフィック監視システムに係る構成要素を示すブロック図である。It is a block diagram which shows the component which concerns on the traffic monitoring system of 1st Embodiment. 第1の実施形態における網管理システムの機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of the network management system in 1st Embodiment. 第1の実施形態におけるネットワーク機器、ネットワーク境界機器などのトラフィック中継機器の過剰トラフィック監視機能に係る内部構成を示すブロック図である。It is a block diagram which shows the internal structure which concerns on the excess traffic monitoring function of traffic relay apparatuses, such as a network apparatus and a network boundary apparatus in 1st Embodiment. 第1の実施形態のトラフィック監視システムによる過剰トラフィックの監視動作時のシーケンス図である。It is a sequence diagram at the time of the monitoring operation of the excess traffic by the traffic monitoring system of 1st Embodiment. 第2の実施形態のトラフィック監視システムによる過剰トラフィックの監視動作時のシーケンス図である。It is a sequence diagram at the time of the monitoring operation of the excess traffic by the traffic monitoring system of 2nd Embodiment. 第3の実施形態におけるネットワーク機器の過剰トラフィック監視機能に係る内部構成を示すブロック図である。It is a block diagram which shows the internal structure which concerns on the excess traffic monitoring function of the network device in 3rd Embodiment. 第3の実施形態のトラフィック監視システムによる過剰トラフィックの監視動作時のシーケンス図である。It is a sequence diagram at the time of the monitoring operation of the excess traffic by the traffic monitoring system of 3rd Embodiment.

(A)第1の実施形態
以下、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第1の実施形態を、図面を参照しながら説明する。
(A) First Embodiment A traffic monitoring system, a traffic monitoring method, and a network management system according to a first embodiment of the present invention will be described below with reference to the drawings.

(A−1)第1の実施形態の構成
図1は、第1の実施形態のトラフィック監視システムに係る構成要素を示すブロック図である。
(A-1) Configuration of First Embodiment FIG. 1 is a block diagram showing components related to the traffic monitoring system of the first embodiment.

図1において、第1の実施形態のトラフィック監視システム1は、網管理システム(NMS)2と、通信端末3を収容したネットワーク機器4と、ネットワーク間の境界に位置している1又は複数(図1は2個の例を示している)のネットワーク境界機器5−1、5−2とが協働して過剰トラフィックを監視するものである。   In FIG. 1, a traffic monitoring system 1 according to the first embodiment includes a network management system (NMS) 2, a network device 4 that accommodates a communication terminal 3, and one or more (see FIG. 1 shows two examples) and network boundary devices 5-1 and 5-2 cooperate to monitor excess traffic.

網管理システム2は、通信端末3及びネットワーク機器4が属すると共に、ネットワーク境界機器5−1、5−2が境界に配置されているネットワーク6を管理するものである。網管理システム2は、過剰トラフィックの監視では、ネットワーク機器4、ネットワーク境界機器5−1、5−2に対し、監視対象のトラフィック情報とアラート用閾値とを与えるものである。第1の実施形態の場合、網管理システム2は、第1段階の処理として、ネットワーク機器4に監視対象のトラフィック情報とアラート用閾値とを与えてそのトラフィックが過剰トラフィックか判断させ、過剰トラフィックと判断された場合に第2段階の処理に移行し、ネットワーク境界機器5−1、5−2に対し、監視対象のトラフィック特定情報とアラート用閾値とを与えてそのトラフィックが過剰トラフィックか判断させる。   The network management system 2 manages the network 6 to which the communication terminal 3 and the network device 4 belong and the network boundary devices 5-1 and 5-2 are arranged at the boundary. The network management system 2 provides traffic information to be monitored and a threshold for alerting to the network device 4 and the network boundary devices 5-1 and 5-2 in monitoring excess traffic. In the case of the first embodiment, as a first stage process, the network management system 2 gives the network device 4 traffic information to be monitored and an alert threshold value to determine whether the traffic is excessive traffic. If it is determined, the process shifts to the second stage process, and the network boundary devices 5-1 and 5-2 are given the monitoring target traffic specifying information and the alert threshold value to determine whether the traffic is excessive traffic.

通信端末3は、監視対象のトラフィックの宛先端末として書き出したものである。通信端末3は、例えば、IP電話端末、通信機能を有する情報処理端末など、任意の種類の端末である。   The communication terminal 3 is written as the destination terminal of the traffic to be monitored. The communication terminal 3 is an arbitrary type of terminal such as an IP telephone terminal or an information processing terminal having a communication function.

ネットワーク機器4は、通信端末3へのトラフィックを最終的に通信端末3へ送出する、通信端末3を収容したネットワーク機器として書き出したものである。ネットワーク機器4は、例えば、ルータやスイッチやなどが該当し、ゲートウェイ、ゲートウェイルータなどのネットワーク境界機器であっても良い。ネットワーク機器4は、上述のように、網管理システム2の制御下で、指示されたトラフィックが過剰トラフィックか判断する。   The network device 4 is written out as a network device containing the communication terminal 3 that finally sends traffic to the communication terminal 3 to the communication terminal 3. The network device 4 corresponds to, for example, a router or a switch, and may be a network boundary device such as a gateway or a gateway router. As described above, the network device 4 determines whether the instructed traffic is excessive traffic under the control of the network management system 2.

ネットワーク境界機器5−1、5−2は、外部ネットワークからのトラフィックをネットワーク6に流入させるネットワーク機器として書き出したものである。ネットワーク境界機器5−1、5−2は、例えばゲートウェイ、ゲートウェイルータである。   The network boundary devices 5-1 and 5-2 are written as network devices that allow traffic from an external network to flow into the network 6. The network boundary devices 5-1 and 5-2 are, for example, gateways and gateway routers.

図2は、網管理システム2の機能的構成を示すブロック図である。網管理システム2は、専用装置として構築されたものであっても良く、また、コンピュータに網管理システム用のプログラムをロードしたものであっても良いが、機能的には、図2で示すことができる。   FIG. 2 is a block diagram showing a functional configuration of the network management system 2. The network management system 2 may be constructed as a dedicated device or may be a computer loaded with a program for the network management system. Functionally, the network management system 2 is shown in FIG. Can do.

網管理システム2は、制御部10とデータベース11とを有する。制御部10は、監視対象のトラフィックの情報を取り込む監視対象取込部12、第1段階の監視を指示する第1段階監視指示部13、第2段階の監視を指示する第2段階監視指示部14及びトラフィックの規制を指示する規制処理部15を有する。データベース11は、ネットワーク6の構成のデータや、監視対象のトラフィックのデータが格納されている。   The network management system 2 includes a control unit 10 and a database 11. The control unit 10 includes a monitoring target capturing unit 12 that captures information on traffic to be monitored, a first stage monitoring instruction unit 13 that instructs first stage monitoring, and a second stage monitoring instruction unit that instructs second stage monitoring. 14 and a restriction processing unit 15 for instructing traffic restriction. The database 11 stores data on the configuration of the network 6 and data on traffic to be monitored.

監視対象取込部12は、キーボードから入力された監視対象のトラフィックの情報や、保守員の端末から送信されてきた監視対象のトラフィックの情報を取り込むものである。監視対象取込部12は、データベース11に取り込んだ監視対象のトラフィック情報を格納させる。ここで、監視対象のトラフィック情報とは、過剰トラフィックの流入の恐れがある、トラフィックの流入量を確認したい通信端末3を特定する情報(例えば、ネットワーク6がIP網であればIPアドレス)である。   The monitoring target capture unit 12 captures information on the traffic to be monitored input from the keyboard and information on the traffic to be monitored transmitted from the maintenance staff's terminal. The monitoring target acquisition unit 12 stores the traffic information of the monitoring target acquired in the database 11. Here, the traffic information to be monitored is information (for example, an IP address if the network 6 is an IP network) that identifies the communication terminal 3 for which there is a risk of excessive traffic inflow and for which the amount of traffic inflow is to be confirmed. .

以上では、保守員などが監視対象のトラフィック情報を入力する場合を示したが、外部ネットワークの網管理システムから監視対象のトラフィック情報を受け入れるようにしても良く、また、網管理システム2、ネットワーク機器4又はネットワーク境界機器5−1、5−2が監視対象のトラフィック情報を自動的に定めるようにしても良い。例えば、外部ネットワークの網管理システムが、その外部ネットワーク内の処理で異常なトラフィックを発見し、その宛先が当該ネットワーク6内の通信端末である場合にその旨を当該ネットワーク6の網管理システム2に通知し、通知された網管理システム2が、外部ネットワークでの異常トラフィックの宛先アドレスを、当該ネットワーク6でのアドレスに変換して、監視対象のトラフィック情報を得るようにしても良い。また例えば、ネットワーク機器4又はネットワーク境界機器5−1、5−2が、抜取り検査により、データ部が空のような異常パケットを検出したときに、所定時間内に同じ異常パケット(送信元アドレスだけ異なっていても良い)が到来したか確認し、到来したときに、異常パケットの宛先アドレスを得て、監視対象のトラフィック情報を得るようにしても良い。   In the above, the case where the maintenance staff inputs the traffic information to be monitored has been described. However, the traffic information to be monitored may be received from the network management system of the external network. 4 or network boundary devices 5-1, 5-2 may automatically determine the traffic information to be monitored. For example, when the network management system of the external network finds abnormal traffic in the processing in the external network and the destination is a communication terminal in the network 6, the network management system 2 of the network 6 notifies that fact. The notified network management system 2 may convert the destination address of the abnormal traffic in the external network into the address in the network 6 to obtain the traffic information to be monitored. Further, for example, when the network device 4 or the network boundary device 5-1, 5-2 detects an abnormal packet whose data part is empty by sampling inspection, the same abnormal packet (only the source address) It is also possible to check whether or not the traffic information to be monitored is obtained by obtaining the destination address of the abnormal packet.

第1段階監視指示部13は、データベース11の格納データに基づき、監視対象のトラフィック情報に係る通信端末3を収容しているネットワーク機器4を割り出し、そのネットワーク機器4に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させる。アラート用閾値は、例えば、20Mbpsなど、過剰トラフィックか否かを切り分けるための閾値である。アラート用閾値は、網管理システム2が固定的に保持していても良い。また、保守員が、監視対象のトラフィック情報を入力させる際に、通信端末3の処理能力を考慮してアラート用閾値を定めて入力するようにしても良い。さらに、保守員が、監視対象のトラフィック情報を入力させる際に、通信端末3の機種名等の種類特定情報を入力し、網管理システム2が内蔵する種類特定情報からアラート用閾値への変換テーブルを参照してアラート用閾値を得るようにしても良い。   Based on the data stored in the database 11, the first stage monitoring instruction unit 13 determines the network device 4 that accommodates the communication terminal 3 related to the traffic information to be monitored, and sends the traffic information to be monitored to the network device 4. Give the alert threshold and monitor the traffic. The alert threshold is a threshold for determining whether there is excessive traffic, such as 20 Mbps. The network management system 2 may hold the alert threshold value fixedly. Further, when the maintenance person inputs the traffic information to be monitored, the alert threshold may be determined and input in consideration of the processing capability of the communication terminal 3. Furthermore, when the maintenance staff inputs the traffic information to be monitored, the type identification information such as the model name of the communication terminal 3 is input, and the conversion table from the type identification information built in the network management system 2 to the alert threshold value is stored. The alert threshold may be obtained with reference to FIG.

第1段階監視指示部13は、ネットワーク機器4からアラートが上がってきたときには、そのことをデータベース11の監視対象のトラフィック情報に関連付けて格納すると共に、第2段階監視指示部14を起動する。第2段階監視指示部14は、データベース11の格納データに基づき、ネットワーク6の全てのネットワーク境界機器5−1、5−2を認識し、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させる。   When an alert is received from the network device 4, the first stage monitoring instruction unit 13 stores the alert in association with the traffic information to be monitored in the database 11 and activates the second stage monitoring instruction unit 14. The second stage monitoring instruction unit 14 recognizes all the network boundary devices 5-1 and 5-2 of the network 6 based on the data stored in the database 11, and sends all the network boundary devices 5-1 and 5-2 to The traffic is monitored by giving the traffic information to be monitored and an alert threshold.

この第2段階でのアラート用閾値は、第1段階でのアラート用閾値をネットワーク境界機器数で割った値に、調整用の係数αを掛けた値である。例えば、第1段階のアラート用閾値が20Mbpsであってネットワーク境界機器数が2であれば、第2段階のアラート用閾値は20×α/2となる。調整用係数αを1としても良い(すなわち、調整用係数を適用しなくても良い)が、DDoS攻撃などで各ネットワーク境界機器からの流入量が均一にならないことを考慮し、調整用係数αを1より小さくしても良い。なお、各ネットワーク境界機器のそれぞれについて、トラフィックの種類を問わずにトラフィックの平均流入量を検出しておき、この平均流入量に応じて、ネットワーク境界機器毎に調整用係数αを定めるようにしても良い。   The alert threshold value in the second stage is a value obtained by multiplying the alert threshold value in the first stage by the number of network boundary devices and the adjustment coefficient α. For example, if the first-stage alert threshold is 20 Mbps and the number of network boundary devices is 2, the second-stage alert threshold is 20 × α / 2. The adjustment coefficient α may be set to 1 (that is, the adjustment coefficient may not be applied), but the adjustment coefficient α is considered in consideration of the inflow from each network boundary device not being uniform due to a DDoS attack or the like. May be smaller than 1. For each network boundary device, the average inflow amount of traffic is detected regardless of the type of traffic, and the adjustment coefficient α is determined for each network boundary device according to this average inflow amount. Also good.

なお、ネットワーク境界機器5−1、5−2に流入する際のトラフィックにおける通信端末3のアドレスと、ネットワーク6内を流れる際の通信端末3のアドレスとが異なっている場合には、第2段階監視指示部14は、アドレス変換(例えば、ローカルアドレスからグローバルアドレスへの変換)をした上で、全てのネットワーク境界機器5−1、5−2に監視対象のトラフィック情報を与えることとなる。アドレス変換では、アドレス解決装置と通信して変換先のアドレスを得るようにしても良い。また、アドレス変換を、ネットワーク境界機器5−1、5−2側の処理で実現するようにしても良い。   If the address of the communication terminal 3 in the traffic flowing into the network boundary devices 5-1 and 5-2 is different from the address of the communication terminal 3 when flowing in the network 6, the second stage The monitoring instruction unit 14 performs address conversion (for example, conversion from a local address to a global address), and then gives traffic information to be monitored to all the network boundary devices 5-1 and 5-2. In the address conversion, communication with an address resolution device may be performed to obtain a conversion destination address. Further, the address conversion may be realized by processing on the network boundary device 5-1, 5-2 side.

第2段階監視指示部14は、いずれかのネットワーク境界機器5−1、5−2からアラートが上がってきたときには、そのことをデータベース11の監視対象のトラフィック情報に関連付けて格納する。第2段階監視指示部14は、適宜、規制処理部15を起動する。例えば、第2段階監視指示部14は、いずれか1個のネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良く、また、所定個数のネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良く、さらには、全てのネットワーク境界機器がアラートを上げてきたことによって規制処理部15を起動しても良い。ここでの所定個数は、絶対的な個数であっても良く、ネットワーク境界機器数の所定割合を整数化した個数であっても良い。例えば、調整用係数αが1に近い値であれば、1個のネットワーク境界機器からのアラートを起動条件として十分であり、調整用係数αが1からかなり小さい値であれば、複数のネットワーク境界機器からのアラートを起動条件とすることが好ましい。   When an alert is raised from any one of the network boundary devices 5-1 and 5-2, the second stage monitoring instruction unit 14 stores this in association with the traffic information to be monitored in the database 11. The second stage monitoring instruction unit 14 activates the restriction processing unit 15 as appropriate. For example, the second-stage monitoring instruction unit 14 may activate the restriction processing unit 15 when any one of the network boundary devices raises an alert, and a predetermined number of network boundary devices raise the alert. The restriction processing unit 15 may be activated when it has been received, and furthermore, the restriction processing unit 15 may be activated when all network boundary devices have raised an alert. The predetermined number here may be an absolute number or a number obtained by converting a predetermined ratio of the number of network boundary devices into an integer. For example, if the adjustment coefficient α is a value close to 1, an alert from one network boundary device is sufficient as a start condition, and if the adjustment coefficient α is a value considerably smaller than 1, a plurality of network boundaries It is preferable to use an alert from the device as the activation condition.

規制処理部15は、監視対象のトラフィック情報に係る通信端末3へのトラフィックを分析し、その分析結果に応じて、必要ならば、通信端末3へのトラフィックを規制する。通信端末3への過剰トラフィックの監視では、後述するように、パケットの宛先及びパケット長だけを問題とし、パケットの送信元や内容を見ないが、規制処理部15による分析では、送信元の同一や内容の同一、類似、内容の有無などを捉え、DDoS攻撃であるか否かなどを判定する。通信端末3へのトラフィックの規制方法としては、例えば、ネットワーク境界機器5−1、5−2による廃棄を挙げることができる。   The restriction processing unit 15 analyzes the traffic to the communication terminal 3 related to the traffic information to be monitored, and restricts the traffic to the communication terminal 3 if necessary according to the analysis result. In monitoring excess traffic to the communication terminal 3, as will be described later, only the packet destination and the packet length are problems, and the transmission source and contents of the packet are not seen. However, in the analysis by the restriction processing unit 15, the same transmission source is identified. Whether the content is the same, similar, or the presence of content is determined to determine whether or not it is a DDoS attack. Examples of a method for restricting traffic to the communication terminal 3 include discarding by the network boundary devices 5-1 and 5-2.

なお、網管理システム2とネットワーク機器4との通信や、網管理システム2とネットワーク境界機器5−1、5−2との通信には、例えば、SNMPが利用される。   For example, SNMP is used for communication between the network management system 2 and the network device 4 and communication between the network management system 2 and the network boundary devices 5-1 and 5-2.

図3は、ネットワーク機器4、ネットワーク境界機器5−1、5−2などのトラフィック中継機器20の過剰トラフィック監視機能に係る内部構成を示すブロック図である。ネットワーク機器4やネットワーク境界機器5−1、5−2は、ルータ、スイッチ、ゲートウェイなどが該当し、中継に係る処理の詳細は機器の種類によって異なるが、第1の実施形態の場合、過剰トラフィック監視機能に係る内部構成は同様である。   FIG. 3 is a block diagram showing an internal configuration relating to an excess traffic monitoring function of the traffic relay device 20 such as the network device 4 and the network boundary devices 5-1, 5-2. The network device 4 and the network boundary devices 5-1 and 5-2 correspond to routers, switches, gateways, and the like, and details of processing related to relay differ depending on the type of the device. The internal configuration related to the monitoring function is the same.

図3において、トラフィック中継機器20は、ヘッダ抽出部21、監視対象記憶部22、監視対象判別部23、流量計測部24及び監視結果報告部25を有する。   In FIG. 3, the traffic relay device 20 includes a header extraction unit 21, a monitoring target storage unit 22, a monitoring target determination unit 23, a flow rate measurement unit 24, and a monitoring result report unit 25.

ヘッダ抽出部21は、当該トラフィック中継機器20に流入したパケットのヘッダを抽出するものである。   The header extraction unit 21 extracts a header of a packet that has flowed into the traffic relay device 20.

監視対象記憶部22は、網管理システム2から与えられた監視対象のトラフィック情報及びアラート用閾値を記憶するものである。図1では通信端末3を1台だけ示しているが、過剰トラフィックの監視対象に係る通信端末3は複数あっても良く、複数あれば、監視対象記憶部22には、複数組の監視対象のトラフィック情報及びアラート用閾値が格納される。   The monitoring target storage unit 22 stores the monitoring target traffic information and the alert threshold given from the network management system 2. Although only one communication terminal 3 is shown in FIG. 1, there may be a plurality of communication terminals 3 related to the monitoring target of excess traffic. If there are a plurality of communication terminals 3, a plurality of sets of monitoring targets are stored in the monitoring target storage unit 22. Traffic information and alert thresholds are stored.

監視対象判別部23は、ヘッダ抽出部21によって抽出されたヘッダの宛先アドレスが、監視対象記憶部22に記憶されている監視対象のトラフィック情報(通信端末3のアドレス)に合致しているか否かを判別するものである。宛先アドレスだけの判別であり、送信元アドレスが異なっているパケットでも、宛先アドレスが同じパケットは、同様に処理される。例えば、DDoS攻撃の場合、パケットの宛先アドレスが同じであっても送信元アドレスが異なっていることが多いためである。   The monitoring target determination unit 23 determines whether the destination address of the header extracted by the header extraction unit 21 matches the monitoring target traffic information (address of the communication terminal 3) stored in the monitoring target storage unit 22. Is to discriminate. Only the destination address is discriminated, and packets having the same destination address are processed in the same manner even if the source address is different. For example, in the case of a DDoS attack, even if the destination address of the packet is the same, the source address is often different.

流量計測部24は、今回の到来パケットが監視対象のトラフィックであると、抽出されたヘッダのパケット長(例えば、単位はバイトになっている)を、それまでのパケット長の積算値に積算(加算)させるものである。監視対象が複数ある場合には、流量計測部24も、監視対象毎に積算値を計数する。   If the current incoming packet is the traffic to be monitored, the flow rate measuring unit 24 adds the packet length of the extracted header (for example, the unit is bytes) to the integrated value of the packet length so far ( Add). When there are a plurality of monitoring targets, the flow rate measurement unit 24 also counts the integrated value for each monitoring target.

トラフィック中継機器20は、網管理システム2から監視対象のトラフィック情報及びアラート用閾値が与えられたときから、予め定まっている所定時間(監視時間)だけトラフィックを監視するものである。ネットワーク機器4と、ネットワーク境界機器5−1、5−2とで監視時間が異なっていても良い。例えば、ネットワーク境界機器5−1、5−2の監視時間を、ネットワーク機器4の監視時間より長くするようにしても良い。また、監視時間をも、網管理システム2が指示するようにしても良い。   The traffic relay device 20 monitors traffic for a predetermined time (monitoring time) determined in advance from when the traffic information to be monitored and the alert threshold value are given from the network management system 2. The monitoring time may be different between the network device 4 and the network boundary devices 5-1 and 5-2. For example, the monitoring time of the network boundary devices 5-1 and 5-2 may be longer than the monitoring time of the network device 4. The network management system 2 may also indicate the monitoring time.

監視結果報告部25は、監視する所定時間が終了したときに、パケット長積算値とアラート用閾値に基づいて監視結果を生成し、網管理システム2に報告するものである。例えば、トラフィックの監視時間が1秒であれば、パケット長積算値(単位はバイト)をビット数に置き換えた値がトラフィック流量を表す値になる。また例えば、トラフィックの監視時間が5秒であれば、パケット長積算値を5で割って1秒当たりのパケット長積算値を求め、求められた1秒当たりのパケット長積算値をビット数に置き換えた値がトラフィック流量を表す値になり、若しくは、パケット長積算値をビット数に置き換えた値を5で割った値がトラフィック流量を表す値になる。監視結果報告部25は、求められたトラフィック流量を、監視対象記憶部22に記憶されているアラート用閾値と比較し、トラフィック流量がアラート用閾値以上のときにアラートという監視結果を生成し、トラフィック流量がアラート用閾値より小さいときに正常という監視結果を生成する。   The monitoring result reporting unit 25 generates a monitoring result based on the packet length integrated value and the alert threshold when a predetermined time for monitoring ends, and reports it to the network management system 2. For example, if the traffic monitoring time is 1 second, a value obtained by replacing the packet length integrated value (unit: bytes) with the number of bits is a value representing the traffic flow rate. Also, for example, if the traffic monitoring time is 5 seconds, the packet length integrated value is divided by 5 to obtain the packet length integrated value per second, and the obtained packet length integrated value per second is replaced with the number of bits. A value obtained by dividing the packet length integrated value by the number of bits by 5 is a value representing the traffic flow rate. The monitoring result reporting unit 25 compares the obtained traffic flow rate with the alert threshold value stored in the monitoring target storage unit 22, and generates a monitoring result called alert when the traffic flow rate is equal to or higher than the alert threshold value. When the flow rate is smaller than the alert threshold value, a monitoring result indicating normality is generated.

(A−2)第1の実施形態の動作
次に、第1の実施形態に係るトラフィック監視システム1の過剰トラフィックの監視動作(トラフィック監視方法)を説明する。
(A-2) Operation of First Embodiment Next, a first excess traffic monitoring operation traffic monitoring system 1 according to the embodiment (the traffic monitoring method) will be described.

トラフィック監視システム1の動作は、DDoS攻撃のトラフィックの流れを考慮して定められたものである。図1に示すように、通信端末3へのDDoSトラフィックは、複数のネットワーク境界機器5−1及び5−2に分散してネットワーク6内に流入し、その分散しているDDoSトラフィックが、ネットワーク境界機器5−1、5−2とネットワーク機器4との間に複数の中継機器を介したとしても、通信端末3を収容しているネットワーク機器4で合流し、大きな量のトラフィックとなって通信端末3を攻撃する。このような流れを考慮して、トラフィック監視システム1の動作が定められている。   The operation of the traffic monitoring system 1 is determined in consideration of the traffic flow of the DDoS attack. As shown in FIG. 1, the DDoS traffic to the communication terminal 3 is distributed to a plurality of network boundary devices 5-1 and 5-2 and flows into the network 6, and the distributed DDoS traffic is transferred to the network boundary. Even if a plurality of relay devices are interposed between the devices 5-1 and 5-2 and the network device 4, they merge at the network device 4 housing the communication terminal 3 and become a large amount of traffic. Attack 3 Considering such a flow, the operation of the traffic monitoring system 1 is determined.

図4は、第1の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。   FIG. 4 is a sequence diagram of the traffic monitoring system 1 according to the first embodiment during the excessive traffic monitoring operation.

網管理システム2は、監視対象のトラフィック情報を取り込むと(ステップS1)、監視対象のトラフィック情報に係る通信端末3を収容しているネットワーク機器4を割り出して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS2)。   When the network management system 2 fetches the traffic information to be monitored (step S1), the network management system 2 determines the network device 4 that accommodates the communication terminal 3 related to the traffic information to be monitored, and the traffic information to be monitored and the alert threshold value. To request the monitoring of the occurrence of excessive traffic (presence of the possibility of excessive traffic) (step S2).

ネットワーク機器4は、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS3)、得られた監視結果を網管理システム2に返信する(ステップS4)。   The network device 4 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, compares the measured traffic flow rate per unit time with the alert threshold value (step S3), and obtains it. The monitoring result is returned to the network management system 2 (step S4).

網管理システム2は、ネットワーク機器4からの監視結果がアラートになっているか否かを判別する(ステップS5)。網管理システム2は、アラートになっていなければその監視対象のトラフィックの監視を終了する(ステップS6)。これに対して、ネットワーク機器4からの監視結果がアラートになっていると、網管理システム2は、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS7−1、S7−2)。   The network management system 2 determines whether or not the monitoring result from the network device 4 is an alert (step S5). If the alert is not an alert, the network management system 2 ends the monitoring of the traffic to be monitored (step S6). On the other hand, when the monitoring result from the network device 4 is an alert, the network management system 2 sends the traffic information to be monitored to each of all the network boundary devices 5-1 and 5-2. An alert threshold value is given, and a request is made to monitor the presence or absence of excess traffic (presence of excess traffic) (steps S7-1 and S7-2).

各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS8−1、S8−2)、得られた監視結果を網管理システム2に返信する(ステップS9−1、S9−2)。   Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, and determines the flow rate per unit time of the measured traffic flow rate as an alert threshold value. (Steps S8-1 and S8-2), and the obtained monitoring results are returned to the network management system 2 (steps S9-1 and S9-2).

網管理システム2は、図4では省略しているが、全てのネットワーク境界機器5−1、5−2の監視結果が返信されると、監視対象のトラフィックに対する措置等が必要か否かを判断する。例えば、アラートの監視結果が所定数得られたときには、網管理システム2は、通信端末3を宛先とするトラフィックを詳細に分析し、必要ならば、全てのネットワーク境界機器5−1、5−2に対して廃棄を指示する。   Although omitted in FIG. 4, the network management system 2 determines whether or not measures for the traffic to be monitored are necessary when the monitoring results of all the network boundary devices 5-1 and 5-2 are returned. To do. For example, when a predetermined number of alert monitoring results are obtained, the network management system 2 analyzes in detail the traffic destined for the communication terminal 3, and if necessary, all the network boundary devices 5-1, 5-2. Is to be discarded.

(A−3)第1の実施形態の効果
第1の実施形態によれば、過剰トラフィックの監視のために、通信端末を収容しているネットワーク機器が所定時間だけ監視し、必要ならば全てのネットワーク境界機器が所定時間だけ監視するので、常時監視を行っているのでなく、しかも、ネットワークの一部の機器だけが監視を実行すれば良く、ネットワーク機器、ネットワーク境界機器、網管理システムの処理負荷を小さく抑えることができる。ネットワーク全体としても、監視のための負荷が抑えられていることになる。
(A-3) Effect of the first embodiment According to the first embodiment, the network device accommodating the communication terminal monitors only for a predetermined time in order to monitor excess traffic, and if necessary, all Since the network boundary device monitors for a predetermined time, it is not always monitored, and only a part of the network needs to be monitored. The processing load of the network device, network boundary device, and network management system Can be kept small. As a whole, the monitoring load is reduced.

しかも、ネットワーク機器での監視時間とネットワーク境界機器での監視時間の合計時間程度で過剰トラフィックを検知できる。すなわち、過剰トラフィックを迅速に検知することができる。   In addition, excess traffic can be detected with a total time of the monitoring time at the network device and the monitoring time at the network boundary device. That is, excess traffic can be detected quickly.

また、第1の実施形態によれば、トラフィックの宛先だけに基づいて過剰トラフィックを判断しているため、過剰トラフィックの原因(DDoS攻撃、Winny等の第2世代P2P)が不明であっても過剰トラフィックを検知することができる。   In addition, according to the first embodiment, excess traffic is determined based only on the destination of the traffic, so even if the cause of excess traffic (second generation P2P such as DDoS attack, Winny, etc.) is unknown, it is excessive. Traffic can be detected.

(B)第2の実施形態
次に、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第2の実施形態を、図面を参照しながら説明する。
(B) Second Embodiment Next, a traffic monitoring system, a traffic monitoring method, and a network management system according to a second embodiment of the present invention will be described with reference to the drawings.

第1の実施形態では、第2段階の監視で過剰トラフィックの有無をネットワーク境界機器5−1、5−2が判断するものであった。この第2の実施形態は、第2段階の監視で過剰トラフィックの有無を網管理システム2が判断するものである。以下、第1の実施形態との相違点を中心に説明する。   In the first embodiment, the network boundary devices 5-1 and 5-2 determine the presence or absence of excess traffic in the second stage of monitoring. In the second embodiment, the network management system 2 determines whether or not there is excess traffic in the second stage of monitoring. Hereinafter, a description will be given focusing on differences from the first embodiment.

第2の実施形態のトラフィック監視システム1における各構成要素の配置も、上述した図1で表すことができる。また、第2の実施形態の網監視システム2の機能的構成も、上述した図2で表すことができる。さらに、第2の実施形態のトラフィック中継機器20におけるトラフィック監視面の内部構成も、上述した図3で表すことができる。但し、各構成要素について、以下のような相違がある。   The arrangement of each component in the traffic monitoring system 1 of the second embodiment can also be expressed in FIG. 1 described above. Further, the functional configuration of the network monitoring system 2 of the second embodiment can also be expressed in FIG. 2 described above. Furthermore, the internal configuration of the traffic monitoring surface in the traffic relay device 20 of the second embodiment can also be represented in FIG. 3 described above. However, each component has the following differences.

第2の実施形態の網監視システム2における第2段階監視指示部14は、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報を与えてトラフィックを監視させるものである。   The second stage monitoring instruction unit 14 in the network monitoring system 2 according to the second embodiment gives traffic information to be monitored to all the network boundary devices 5-1 and 5-2 to monitor the traffic.

第2の実施形態の場合、このような監視指示に対しては、各ネットワーク境界機器5−1、5−2はそれぞれ、指示されたトラフィックを監視し、監視結果として、アラートの有無ではなく、検出されたトラフィック流量を送出する。すなわち、トラフィック中継機器20(5−1、5−2)における監視結果報告部25は、流量計測部24が所定時間の間だけ計測した監視対象のトラフィックの流量を、監視結果として網管理システムに報告する。監視結果に含める情報は、トラフィック流量そのものではなく、それから得られた単位時間当たりのトラフィック流量であっても良い。   In the case of the second embodiment, in response to such a monitoring instruction, each of the network boundary devices 5-1 and 5-2 monitors the instructed traffic, and the monitoring result is not the presence or absence of an alert, Send the detected traffic flow. That is, the monitoring result reporting unit 25 in the traffic relay device 20 (5-1, 5-2) uses the flow rate of the monitoring target traffic measured by the flow rate measuring unit 24 for a predetermined time as a monitoring result to the network management system. Report. The information included in the monitoring result may be not the traffic flow itself but the traffic flow per unit time obtained therefrom.

第2の実施形態の網監視システム2における規制処理部15は、全てのネットワーク境界機器5−1、5−2から報告されたトラフィック流量の合計トラフィック流量を算出した後、監視時間で割って、単位時間当たりの合計トラフィック流量を求め、この単位時間当たりの合計トラフィック流量とアラート用閾値とを大小比較して、過剰トラフィックか否かを判断する。   The restriction processing unit 15 in the network monitoring system 2 of the second embodiment calculates the total traffic flow of the traffic flow reported from all the network boundary devices 5-1, 5-2, and then divides by the monitoring time. The total traffic flow per unit time is obtained, and the total traffic flow per unit time is compared with the alert threshold value to determine whether or not there is excessive traffic.

図5は、第2の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。   FIG. 5 is a sequence diagram at the time of the excessive traffic monitoring operation by the traffic monitoring system 1 according to the second embodiment.

網管理システム2が、ネットワーク機器4からの監視結果がアラートになっているか否かを判別し(ステップS5)、網管理システム2は、アラートになっていなければその監視対象のトラフィックの監視を終了する(ステップS6)までの処理は、第1の実施形態と同様である。   The network management system 2 determines whether or not the monitoring result from the network device 4 is an alert (step S5). If the alert is not an alert, the network management system 2 finishes monitoring the traffic to be monitored. The processing up to (step S6) is the same as in the first embodiment.

第2の実施形態の場合、ネットワーク機器4からの監視結果がアラートになっていると、網管理システム2は、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報を与えて、トラフィック流量を計測することを依頼する(ステップS7A−1、S7A−2)。   In the case of the second embodiment, when the monitoring result from the network device 4 is an alert, the network management system 2 performs monitoring for each of all the network boundary devices 5-1 and 5-2. Give traffic information and request to measure traffic flow (steps S7A-1 and S7A-2).

各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し(ステップS8A−1、S8A−2)、計測されたトラフィック流量を監視結果として網管理システム2に返信する(ステップS9A−1、S9A−2)。   Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time (steps S8A-1 and S8A-2), and calculates the measured traffic flow rate. The monitoring result is returned to the network management system 2 (steps S9A-1 and S9A-2).

網監視システム2は、全てのネットワーク境界機器5−1、5−2から報告されたトラフィック流量の合計トラフィック流量を算出した後、監視時間で割って、単位時間当たりの合計トラフィック流量を求め、この単位時間当たりの合計トラフィック流量とアラート用閾値とを大小比較して、過剰トラフィックか否かを判断する(ステップS10)。過剰トラフィックと判断した後の対応は、第1の実施形態と同様である。   The network monitoring system 2 calculates the total traffic flow of the traffic flow reported from all the network boundary devices 5-1, 5-2, and then divides by the monitoring time to obtain the total traffic flow per unit time. The total traffic flow per unit time is compared with the alert threshold to determine whether there is excessive traffic (step S10). The response after determining excessive traffic is the same as in the first embodiment.

第2の実施形態によっても、第1の実施形態と同様な効果を奏することができる。すなわち、ネットワーク機器やネットワーク境界機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができる。   According to the second embodiment, the same effect as that of the first embodiment can be obtained. That is, it is possible to quickly detect excess traffic while reducing the processing load on the network device, the network boundary device, and the network management system.

(C)第3の実施形態
次に、本発明によるトラフィック監視システム、トラフィック監視方法及び網管理システムの第3の実施形態を、図面を参照しながら説明する。
(C) Third Embodiment Next, a traffic monitoring system, a traffic monitoring method, and a network management system according to a third embodiment of the present invention will be described with reference to the drawings.

第1及び第2の実施形態は、網管理システム2が主導権をとって過剰トラフィックを監視するものであった。この第3の実施形態は、通信端末3を収容するネットワーク機器4が主導権をとって過剰トラフィックを監視するものである。以下、第1の実施形態との相違点を中心に説明する。   In the first and second embodiments, the network management system 2 takes the initiative to monitor excess traffic. In the third embodiment, the network device 4 that accommodates the communication terminal 3 takes the initiative to monitor excess traffic. Hereinafter, a description will be given focusing on differences from the first embodiment.

第3の実施形態のトラフィック監視システム1における各構成要素の配置も、上述した図1で表すことができる。   The arrangement of each component in the traffic monitoring system 1 of the third embodiment can also be represented in FIG. 1 described above.

第3の実施形態の場合、網管理システム1は、ネットワーク機器4からの要求に応じてネットワーク機器4にネットワーク境界機器5−1、5−2の情報を渡す機能だけを果たすものであり、その機能的な構成の図示は省略する。   In the case of the third embodiment, the network management system 1 performs only the function of passing information on the network boundary devices 5-1 and 5-2 to the network device 4 in response to a request from the network device 4. The functional configuration is not shown.

図6は、第3の実施形態におけるネットワーク機器4の過剰トラフィック監視機能に係る内部構成を示すブロック図である。   FIG. 6 is a block diagram illustrating an internal configuration relating to an excess traffic monitoring function of the network device 4 according to the third embodiment.

図6において、ネットワーク機器4は、ヘッダ抽出部31、監視対象取込部32、監視対象判別部33、流量計測部34及び第2段階監視指示部35を有する。   In FIG. 6, the network device 4 includes a header extraction unit 31, a monitoring target capture unit 32, a monitoring target determination unit 33, a flow rate measurement unit 34, and a second stage monitoring instruction unit 35.

ここで、ヘッダ抽出部31、監視対象判別部33及び流量計測部34は、上述した図3で示したものと同様であるので、その説明は省略する。   Here, the header extraction unit 31, the monitoring target determination unit 33, and the flow rate measurement unit 34 are the same as those shown in FIG.

監視対象取込部32は、キーボードから入力された監視対象のトラフィックの情報や、通信端末3若しくは保守員の端末から送信されてきた監視対象のトラフィックの情報を取り込んで保持するものである。すなわち、第3の実施形態の場合、監視対象のトラフィック情報を、監視対象のトラフィックの宛先端末である通信端末3を収容しているネットワーク機器4に入力することとなっている。ここで、監視に必要となるアラート用閾値は、予めネットワーク機器4に保持させておいても良く、また、監視対象のトラフィック情報を入力するさいに併せて入力させるようにしても良く、さらに、ネットワーク機器4が網管理システム2に要求して網管理システム2から得るようにしても良い。   The monitoring target capturing unit 32 captures and holds monitoring target traffic information input from the keyboard and monitoring target traffic information transmitted from the communication terminal 3 or the maintenance staff terminal. That is, in the case of the third embodiment, the traffic information to be monitored is input to the network device 4 that accommodates the communication terminal 3 that is the destination terminal of the traffic to be monitored. Here, the threshold value for alerting necessary for monitoring may be stored in the network device 4 in advance, or may be input together with the input of traffic information to be monitored, The network device 4 may request the network management system 2 to obtain it from the network management system 2.

第3の実施形態における監視対象判別部33は、ヘッダ抽出部31によって抽出されたヘッダの宛先アドレスが、監視対象取込部32が取り込んで保持している監視対象のトラフィック情報(通信端末3のアドレス)に合致しているか否かを判別することになる。   The monitoring target determination unit 33 according to the third embodiment is configured so that the destination address of the header extracted by the header extraction unit 31 is the traffic information (the communication terminal 3 of the communication terminal 3) that the monitoring target acquisition unit 32 acquires and holds. Address) is determined.

第2段階監視指示部35は、監視する所定時間が終了したときに、流量計測部34によるパケット長積算値とアラート用閾値を大小比較し、パケット長積算値がアラート用閾値より大きいアラートと結果を得たときに、網管理システム2からネットワーク6の全てのネットワーク境界機器5−1、5−2の情報を得て、全てのネットワーク境界機器5−1、5−2に、監視対象のトラフィック情報とアラート用閾値とを与えてトラフィックを監視させるものである。   The second stage monitoring instructing unit 35 compares the packet length integrated value by the flow rate measuring unit 34 with the alert threshold when the predetermined time for monitoring ends, and the alert and result that the packet length integrated value is larger than the alert threshold. Is obtained from the network management system 2 for all the network boundary devices 5-1 and 5-2 of the network 6, and the traffic to be monitored is transmitted to all the network boundary devices 5-1 and 5-2. Information and an alert threshold value are given to monitor traffic.

また、第2段階監視指示部35は、いずれか若しくは所定個数以上若しくは全てのネットワーク境界機器5−1、5−2からアラートという監視結果が上がってきたときには、監視対象のトラフィックが過剰トラフィックであると判断し、網監視システム2に通知するものである。このとき、網管理システム2は、第1の実施形態で規制処理部15の機能として説明した機能を実行することになる。   In addition, the second stage monitoring instruction unit 35 indicates that the monitoring target traffic is excessive traffic when a monitoring result called alert is raised from any or a predetermined number or all of the network boundary devices 5-1 and 5-2. And the network monitoring system 2 is notified. At this time, the network management system 2 executes the function described as the function of the restriction processing unit 15 in the first embodiment.

この第3の実施形態の場合、ネットワーク境界機器5−1、5−2に対する過剰トラフィックの監視の指示元(言い換えると、監視結果の報告先)が、第1の実施形態における網管理システム2からネットワーク機器4に変更になっているが、その点を除けば、ネットワーク境界機器5−1、5−2は第1の実施形態のものと同様である。すなわち、各ネットワーク境界機器5−1、5−2の内部構成は、上述した図3で表すことができ、その説明は省略する。   In the case of this third embodiment, the instruction source (in other words, the monitoring result report destination) for monitoring excess traffic for the network boundary devices 5-1 and 5-2 is sent from the network management system 2 in the first embodiment. Except for this point, the network boundary devices 5-1 and 5-2 are the same as those in the first embodiment. That is, the internal configuration of each of the network boundary devices 5-1 and 5-2 can be represented by the above-described FIG.

図7は、第3の実施形態のトラフィック監視システム1による過剰トラフィックの監視動作時のシーケンス図である。   FIG. 7 is a sequence diagram at the time of an excessive traffic monitoring operation by the traffic monitoring system 1 according to the third embodiment.

ネットワーク機器4は、監視対象のトラフィック情報を取り込むと(ステップS50)、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し、アラート状態か判断する(ステップS51)。ネットワーク機器4は、アラート状態になっていなければその監視対象のトラフィックの監視を終了する(ステップS52)。これに対して、ネットワーク機器4は、アラート状態になっていると、全てのネットワーク境界機器5−1、5−2のそれぞれに対して、監視対象のトラフィック情報とアラート用閾値とを与えて、過剰トラフィックの発生有無(過剰トラフィックになっている恐れの有無)の監視を依頼する(ステップS53−1、S53−2)。   When the network device 4 captures the traffic information to be monitored (step S50), the network device 4 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, and calculates the flow rate per unit time of the measured traffic flow rate. Compared with the threshold for alert, it is determined whether the alert state is present (step S51). If the network device 4 is not in the alert state, the monitoring of the traffic to be monitored ends (step S52). On the other hand, when the network device 4 is in the alert state, the network device 4 gives the traffic information to be monitored and the alert threshold value to each of the network boundary devices 5-1 and 5-2, A request is made to monitor the presence or absence of excess traffic (presence or absence of fear of excessive traffic) (steps S53-1, S53-2).

各ネットワーク境界機器5−1、5−2はそれぞれ、通信端末3を宛先とする指示されたトラフィックの流量を所定時間だけ計測し、計測されたトラフィック流量の単位時間当たりの流量を、アラート用閾値と比較し(ステップS54−1、S54−2)、得られた監視結果をネットワーク機器4に返信する(ステップS55−1、S55−2)。   Each of the network boundary devices 5-1 and 5-2 measures the flow rate of the instructed traffic destined for the communication terminal 3 for a predetermined time, and determines the flow rate per unit time of the measured traffic flow rate as an alert threshold value. (Steps S54-1, S54-2), and the obtained monitoring results are returned to the network device 4 (steps S55-1, S55-2).

ネットワーク機器4は、全てのネットワーク境界機器5−1、5−2から返信された監視結果に基づいて、過剰トラフィックか否かを判断する(ステップS56)。ネットワーク機器4は、過剰トラフィックでないと判断した場合には、監視対象のトラフィックに対する監視を終了する(ステップS57)。これに対して、ネットワーク機器4は、過剰トラフィックと判断した場合には、網監視システム2に通知する(ステップS58)。   The network device 4 determines whether or not the traffic is excessive based on the monitoring results returned from all the network boundary devices 5-1 and 5-2 (step S56). When determining that the traffic is not excessive traffic, the network device 4 ends the monitoring of the traffic to be monitored (step S57). On the other hand, if the network device 4 determines that the traffic is excessive, it notifies the network monitoring system 2 (step S58).

図示は省略するが、このとき、網管理システム2は、例えば、通信端末3を宛先とするトラフィックを詳細に分析し、必要ならば、全てのネットワーク境界機器5−1、5−2に対して廃棄を指示する。   Although illustration is omitted, at this time, the network management system 2 analyzes the traffic destined for the communication terminal 3 in detail, and if necessary, for all the network boundary devices 5-1, 5-2. Direct disposal.

第3の実施形態によっても、第1の実施形態と同様な効果を奏することができる。すなわち、ネットワーク機器やネットワーク境界機器や網管理システムの処理負荷を小さく抑えながら、過剰トラフィックを迅速に検知することができる。   According to the third embodiment, the same effect as that of the first embodiment can be obtained. That is, it is possible to quickly detect excess traffic while reducing the processing load on the network device, the network boundary device, and the network management system.

第3の実施形態によれば、第1の実施形態と比較し、ネットワーク機器の処理負荷が多少増加するが、その分、網管理システムの処理負荷を減少させることができる。   According to the third embodiment, the processing load of the network device is slightly increased as compared with the first embodiment, but the processing load of the network management system can be reduced correspondingly.

(D)他の実施形態
上記各実施形態の説明においても、種々変形実施形態に言及したが、さらに、以下に例示するような変形実施形態を挙げることができる。
(D) Other Embodiments In the description of each of the above embodiments, various modified embodiments have been referred to. However, modified embodiments exemplified below can be cited.

上記各実施形態においては、第2段階の監視がネットワーク境界機器5−1、5−2で行われるものを示したが、通信端末3を収容しているネットワーク機器4に1ホップで通信し得る全てのネットワーク機器が、第2段階の監視の実行機器であっても良い。   In each of the embodiments described above, the second stage monitoring is performed by the network boundary devices 5-1, 5-2. However, the network device 4 accommodating the communication terminal 3 can communicate with one hop. All the network devices may be second stage monitoring execution devices.

上記各実施形態においては、ネットワーク機器4における監視と、ネットワーク境界機器5−1、5−2における監視とを時間順次に行うものを示したが、両監視を並行的に実行するようにしても良い。このような場合において、例えば、網管理システム2は、ネットワーク機器4の監視結果がアラートでなければネットワーク境界機器5−1〜5−2の監視結果を無視し、ネットワーク機器4の監視結果がアラートのときにだけネットワーク境界機器5−1〜5−2の監視結果を参照するようにしても良い。   In each of the above embodiments, the monitoring in the network device 4 and the monitoring in the network boundary devices 5-1 and 5-2 are performed in time sequence. However, both monitoring operations may be performed in parallel. good. In such a case, for example, if the monitoring result of the network device 4 is not an alert, the network management system 2 ignores the monitoring result of the network boundary devices 5-1 to 5-2, and the monitoring result of the network device 4 is an alert. The monitoring results of the network boundary devices 5-1 to 5-2 may be referred to only when

上記各実施形態においては、トラフィック流量を所定時間でのビット数(例えば[Mbps])で把握するものを示したが、パケット数など、他のパラメータを用いるようにしても良い。   In each of the above embodiments, the traffic flow rate is grasped by the number of bits in a predetermined time (for example, [Mbps]), but other parameters such as the number of packets may be used.

上記各実施形態においては、監視対象のトラフィックを、通信端末3のアドレスで特定するものを示したが、他の方法で特定するようにしても良い。例えば、通信端末3のアドレスとネットワーク機器4におけるポート番号とで特定するようにしても良い。   In each of the embodiments described above, the traffic to be monitored is specified by the address of the communication terminal 3, but may be specified by other methods. For example, the communication terminal 3 address and the port number in the network device 4 may be specified.

上記各実施形態においては、過剰トラフィックを2段階の監視で検出するものを示したが、3段階以上の監視で検出するようにしても良い。例えば、第1段階の監視を、通信端末3を収容しているネットワーク機器4が行い、第2段階の監視を、通信端末3を収容しているネットワーク機器4に1ホップで通信し得る全てのネットワーク機器が行い、第3段階の監視を、ネットワーク境界機器5−1、5−2が行うようにしても良い。また例えば、第1段階の監視を、通信端末3を収容しているネットワーク機器4が行い、第2段階の監視を、ネットワーク境界機器5−1、5−2が行い、第3段階の監視を、当該ネットワーク6の隣接ネットワークにおけるネットワーク境界機器で行うようにしても良い。隣接ネットワークにおけるネットワーク境界機器での監視を当該ネットワーク6へのトラフィックの流入が全て同じ隣接ネットワークからという条件が成立する場合のみ、行うようにしても良い。隣接ネットワークにおけるネットワーク境界機器で監視する場合には、当該ネットワーク6の網管理システム2から隣接ネットワークの網管理システムに通知し、隣接ネットワークの網管理システムの管理下で監視を実行させるようにすれば良い。   In each of the above-described embodiments, an example in which excess traffic is detected by two-stage monitoring has been described, but it may be detected by three-stage or more monitoring. For example, the first stage of monitoring is performed by the network device 4 that accommodates the communication terminal 3, and the second stage of monitoring can be performed in one hop to the network device 4 that accommodates the communication terminal 3. The network device may perform the third-stage monitoring, and the network boundary devices 5-1 and 5-2 may perform the monitoring. Further, for example, the first stage monitoring is performed by the network device 4 that accommodates the communication terminal 3, the second stage monitoring is performed by the network boundary devices 5-1 and 5-2, and the third stage monitoring is performed. The network boundary device in the adjacent network of the network 6 may be used. The monitoring at the network boundary device in the adjacent network may be performed only when the condition that all the inflows of traffic to the network 6 are from the same adjacent network is satisfied. When monitoring with a network boundary device in the adjacent network, the network management system 2 of the network 6 notifies the network management system of the adjacent network, and the monitoring is executed under the management of the network management system of the adjacent network. good.

また、ネットワーク境界機器5−1、5−2の監視によって過剰トラフィックと判断された場合の措置を、隣接ネットワークに反映させるようにしても良い。すなわち、過剰トラフィックの情報を隣接ネットワークの網管理システムに通知し、隣接ネットワークへの入口などにおいてトラフィックの廃棄などの対応を実行してもらうようにしても良い。   Further, the measures when it is determined that the traffic is excessive by monitoring the network boundary devices 5-1 and 5-2 may be reflected in the adjacent network. That is, information on excess traffic may be notified to the network management system of the adjacent network, and a response such as discarding of traffic may be performed at the entrance to the adjacent network.

上記第3の実施形態においては、ネットワーク機器4に監視対象取込部32を設けて監視対象のトラフィック情報を取り込むものを示したが、網管理システム2に監視対象取込部を設けて監視対象のトラフィック情報を取り込んでネットワーク機器4に通知し、これ以降、ネットワーク機器4が主導権をもって過剰トラフィックか否かの監視を行うものであっても良い。   In the third embodiment, the monitoring target capturing unit 32 is provided in the network device 4 to capture the traffic information of the monitoring target. However, the monitoring target capturing unit is provided in the network management system 2 to be monitored. The network device 4 may be fetched and notified to the network device 4 and thereafter, the network device 4 may take the initiative to monitor whether there is excessive traffic.

上記各実施形態におけるネットワーク機器やネットワーク境界機器が、ルータ、スイッチ、ゲートウェイ等である場合を意図して説明したが、このような機器がセッションボーダコントローラであっても良い。この場合、セッション確立後、通信という2段階の処理でトラフィックが流れるので、トラフィック流量を通信端末3宛ての発呼数(例えば、SIPにおけるINVITEメッセージの数)で監視するようにすれば良い。   Although the case where the network device and the network boundary device in each of the above embodiments is a router, a switch, a gateway, or the like has been described, such a device may be a session border controller. In this case, after the session is established, traffic flows in a two-stage process called communication, so the traffic flow rate may be monitored by the number of calls destined for the communication terminal 3 (for example, the number of INVITE messages in SIP).

1…トラフィック監視システム、2…網管理システム(NMS)、3…通信端末、4…ネットワーク機器、5−1、5−2…ネットワーク境界機器、6…ネットワーク、10…制御部、11…データベース、12…監視対象取込部、13…第1段階監視指示部、14…第2段階監視指示部、15…規制処理部、20…トラフィック中継機器、21…ヘッダ抽出部、22…監視対象記憶部、23…監視対象判別部、24…流量計測部、25…監視結果報告部、31…ヘッダ抽出部、32…監視対象取込部、33…監視対象判別部、34…流量計測部、35…第2段階監視指示部。   DESCRIPTION OF SYMBOLS 1 ... Traffic monitoring system, 2 ... Network management system (NMS), 3 ... Communication terminal, 4 ... Network equipment, 5-1, 5-2 ... Network boundary equipment, 6 ... Network, 10 ... Control part, 11 ... Database, DESCRIPTION OF SYMBOLS 12 ... Monitoring object take-in part, 13 ... 1st step monitoring instruction | indication part, 14 ... 2nd step monitoring instruction | indication part, 15 ... Restriction processing part, 20 ... Traffic relay apparatus, 21 ... Header extraction part, 22 ... Monitoring object memory | storage part , 23... Monitoring target determination unit, 24... Flow rate measurement unit, 25... Monitoring result report unit, 31... Header extraction unit, 32. Second stage monitoring instruction unit.

Claims (6)

ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視システムにおいて、
上記通信端末を収容した第1のネットワーク機器において、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、
1又は複数の第2のネットワーク機器のそれぞれにおいて、第2の監視時間における上記通信端末へのトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、
上記第1のネットワーク機器の監視結果と、上記各第2のネットワーク機器の監視結果とに基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とするトラフィック監視システム。
In a traffic monitoring system that monitors traffic to any communication terminal in the network as monitored traffic,
In the first network device accommodating the communication terminal, monitoring whether the traffic flow rate in the first monitoring time to the communication terminal exceeds the first alarm threshold,
In each of the one or more second network devices, monitoring whether the traffic flow rate to the communication terminal in the second monitoring time exceeds a second alarm threshold value,
Determining whether or not the traffic to the communication terminal is excessive traffic based on the monitoring result of the first network device and the monitoring result of the second network device. Monitoring system.
上記1又は複数の第2のネットワーク機器が、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器であることを特徴とする請求項1に記載のトラフィック監視システム。   The traffic monitoring system according to claim 1, wherein the one or more second network devices are all network boundary devices provided at a boundary between the network and an external network. 上記各第2のネットワーク機器の監視動作は、上記第1のネットワーク機器において、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたと判断された場合に起動され、上記第1の監視時間が上記第2の監視時間より短いことを特徴とする請求項1又は2に記載のトラフィック監視システム。 The monitoring operation of each of the second network devices is started when it is determined in the first network device that the traffic flow rate to the communication terminal has exceeded the first alarm threshold, and the first monitoring device The traffic monitoring system according to claim 1, wherein the time is shorter than the second monitoring time . 上記ネットワークを管理する網管理システムが、上記第1のネットワーク機器における監視及び上記各第2のネットワーク機器における監視を依頼し、監視結果を取り込んで上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別することを特徴とする請求項1〜3のいずれかに記載のトラフィック監視システム。 Network management system for managing the network, the first call for monitoring and the monitoring of each second network device in a network device, Nde Captures monitoring result traffic to the communication terminal becomes excessive traffic It is discriminate | determined whether it exists , The traffic monitoring system in any one of Claims 1-3 characterized by the above-mentioned. ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとして監視するトラフィック監視方法において、
上記通信端末を収容した第1のネットワーク機器が、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視すると共に、
上記第1のネットワーク機器において、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたと判断された場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれが、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視し、
上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とするトラフィック監視方法。
In a traffic monitoring method for monitoring traffic to any communication terminal in a network as traffic to be monitored,
The first network device accommodating the communication terminal monitors whether or not the traffic flow rate in the first monitoring time to the communication terminal exceeds a first alarm threshold value, and
In the first network device, when it is determined that the traffic flow rate to the communication terminal exceeds the first alarm threshold, all the network boundary devices provided at the boundary between the network and the external network Each monitoring whether the traffic flow rate during the second monitoring time to the communication terminal exceeds a second alarm threshold;
A traffic monitoring method comprising: determining whether or not traffic to the communication terminal is excessive traffic based on a monitoring result of each network boundary device .
ネットワークにおける任意の通信端末へのトラフィックを監視対象のトラフィックとする監視を、主導権を持って進行させる上記ネットワークにおける網管理システムにおいて、
上記通信端末を収容した第1のネットワーク機器に、上記通信端末への第1の監視時間におけるトラフィック流量が第1のアラーム用閾値を超えたか否かを監視させ、
上記第1のネットワーク機器の監視結果が、上記通信端末へのトラフィック流量が第1のアラーム用閾値を超えたことを表している場合に、上記ネットワークと外部ネットワークとの境界に設けられている全てのネットワーク境界機器のそれぞれに、上記通信端末への第2の監視時間におけるトラフィック流量が第2のアラーム用閾値を超えたか否かを監視させ、
上記各ネットワーク境界機器の監視結果に基づいて、上記通信端末へのトラフィックが過剰トラフィックになっているか否かを判別する
ことを特徴とする網管理システム。
In the network management system in the network in which monitoring with traffic to any communication terminal in the network as the monitoring target traffic proceeds with initiative,
Causing the first network device accommodating the communication terminal to monitor whether or not the traffic flow rate during the first monitoring time to the communication terminal exceeds a first alarm threshold;
When the monitoring result of the first network device indicates that the traffic flow rate to the communication terminal has exceeded the first alarm threshold value, all provided at the boundary between the network and the external network Each of the network boundary devices monitors whether the traffic flow rate to the communication terminal in the second monitoring time exceeds a second alarm threshold value,
A network management system characterized by determining whether or not traffic to the communication terminal is excessive traffic based on a monitoring result of each network boundary device .
JP2010217469A 2010-09-28 2010-09-28 Traffic monitoring system, traffic monitoring method and network management system Active JP5163724B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010217469A JP5163724B2 (en) 2010-09-28 2010-09-28 Traffic monitoring system, traffic monitoring method and network management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010217469A JP5163724B2 (en) 2010-09-28 2010-09-28 Traffic monitoring system, traffic monitoring method and network management system

Publications (2)

Publication Number Publication Date
JP2012074867A JP2012074867A (en) 2012-04-12
JP5163724B2 true JP5163724B2 (en) 2013-03-13

Family

ID=46170635

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010217469A Active JP5163724B2 (en) 2010-09-28 2010-09-28 Traffic monitoring system, traffic monitoring method and network management system

Country Status (1)

Country Link
JP (1) JP5163724B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014148613A1 (en) 2013-03-22 2014-09-25 日本電気株式会社 Network statistical information providing system, network statistical information providing method, and program
US10560871B2 (en) 2015-05-29 2020-02-11 Huawei Technologies Co., Ltd. Operation processing method and device
WO2024105892A1 (en) * 2022-11-18 2024-05-23 日本電信電話株式会社 Conversion device, conversion method, and conversion program
CN118138434B (en) * 2024-05-07 2024-07-23 江西达途数字技术有限公司 Hierarchical management method and hierarchical management system for distributed network management platform

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003333092A (en) * 2002-05-14 2003-11-21 Mitsubishi Electric Corp Network system, method of tracing attack packet and method of preventing attack packet
JP4545647B2 (en) * 2005-06-17 2010-09-15 富士通株式会社 Attack detection / protection system
US8689326B2 (en) * 2006-01-16 2014-04-01 Cyber Solutions Inc. Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic
JP4380710B2 (en) * 2007-02-26 2009-12-09 沖電気工業株式会社 Traffic anomaly detection system, traffic information observation device, and traffic information observation program
JP4570652B2 (en) * 2007-11-02 2010-10-27 日本電信電話株式会社 Unauthorized access monitoring apparatus and method

Also Published As

Publication number Publication date
JP2012074867A (en) 2012-04-12

Similar Documents

Publication Publication Date Title
US10673874B2 (en) Method, apparatus, and device for detecting e-mail attack
US10652078B2 (en) Triggered in-band operations, administration, and maintenance in a network environment
CN102045363B (en) Establishment, identification control method and device for network flow characteristic identification rule
US10129115B2 (en) Method and system for network monitoring using signature packets
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
JP5666685B2 (en) Failure analysis apparatus, system thereof, and method thereof
US8850578B2 (en) Network intrusion detection
US20150215365A1 (en) Dynamic management of collaboration sessions using real-time text analytics
KR20100120823A (en) Voip anomaly traffic detection method with flow-level data
US7903657B2 (en) Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor
US20160255003A1 (en) Network apparatus, communication system, abnormal traffic detection method, and program
US20140149572A1 (en) Monitoring and diagnostics in computer networks
JP5163724B2 (en) Traffic monitoring system, traffic monitoring method and network management system
KR101602189B1 (en) traffic analysis and network monitoring system by packet capturing of 10-giga bit data
EP2053783A1 (en) Method and system for identifying VoIP traffic in networks
EP3682595A1 (en) Obtaining local area network diagnostic test results
Li et al. A VoIP traffic identification scheme based on host and flow behavior analysis
JP2008048131A (en) P2p traffic monitoring and control system, and method therefor
KR101587845B1 (en) Method for detecting distributed denial of services attack apparatus thereto
EP2369807A1 (en) Impairment detection and recording of isochronous media streams
US8036116B2 (en) VoIP network element performance detection for IP NSEP special service
Xia et al. Cids: Adapting legacy intrusion detection systems to the cloud with hybrid sampling
RU2485695C2 (en) Method to verify virtual connection for transfer of multimedia data with specified characteristics
GB2566467A (en) Obtaining local area network diagnostic test results
JP2006333089A (en) Traffic monitoring device

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120824

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120904

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5163724

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150