JP5587256B2 - Route monitoring apparatus, route monitoring method, and route monitoring program - Google Patents

Route monitoring apparatus, route monitoring method, and route monitoring program Download PDF

Info

Publication number
JP5587256B2
JP5587256B2 JP2011143962A JP2011143962A JP5587256B2 JP 5587256 B2 JP5587256 B2 JP 5587256B2 JP 2011143962 A JP2011143962 A JP 2011143962A JP 2011143962 A JP2011143962 A JP 2011143962A JP 5587256 B2 JP5587256 B2 JP 5587256B2
Authority
JP
Japan
Prior art keywords
route information
route
information
path
collected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011143962A
Other languages
Japanese (ja)
Other versions
JP2013012881A (en
Inventor
弘 倉上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2011143962A priority Critical patent/JP5587256B2/en
Publication of JP2013012881A publication Critical patent/JP2013012881A/en
Application granted granted Critical
Publication of JP5587256B2 publication Critical patent/JP5587256B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、経路監視装置、経路監視方法及び経路監視プログラムに関する。   The present invention relates to a route monitoring device, a route monitoring method, and a route monitoring program.

一般に、IP(Internet Protocol)ネットワークは、プロバイダ等の単一組織による管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)毎に分けられる。このようなAS間でのルーティングは、一つの様態として、EGP(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルによって行なわれる。かかるEGPとしては、例えば、AS間の経路制御を行なうBGP(Border Gateway Protocol)がある。   Generally, an IP (Internet Protocol) network is divided into AS (Autonomous System) which is a set of networks operated under the management of a single organization such as a provider. Such routing between ASs is performed by a routing protocol called EGP (Exterior Gateway Protocol) as one aspect. As such EGP, for example, there is BGP (Border Gateway Protocol) that performs path control between ASs.

そして、BGPが適用されるIPネットワークでは、AS間によってBGPメッセージが送受されることにより、AS間を流れるパケットの経路が決定され、AS間の通信が可能になる。すなわち、AS間の通信は、BGPメッセージが正常に伝搬されていないと、安定したネットワーク通信を実現できない可能性がある。安定したネットワーク通信の実現を目的として、AS間で送受されるBGPメッセージ等の経路情報の広告が正常に伝搬されているかを監視するために、従来では、各ASにエージェントを設置して経路情報を観測する技術がある。   In an IP network to which BGP is applied, a BGP message is transmitted and received between ASs, whereby a route of a packet flowing between ASs is determined, and communication between ASs becomes possible. That is, in the communication between ASs, there is a possibility that stable network communication cannot be realized unless the BGP message is normally propagated. For the purpose of realizing stable network communication, in order to monitor whether advertisement of route information such as a BGP message transmitted and received between ASs is normally propagated, conventionally, an agent is installed in each AS to provide route information. There is a technology to observe.

特開平11−243422号公報JP-A-11-243422

しかしながら、従来技術では、広告されている経路情報の変動を検出することができないとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができないという問題がある。具体的には、ASを保持するプロバイダ等によっては経路情報を公開できない場合があり、かかる場合に、自己のASとは異なる他のAS内のエージェントによって観測された経路情報を、自己のASのエージェントが利用することができない。また、自己のASは保持しているものの未広告である経路情報に対して、自己のASとは異なる他のASが広告した場合に検出することは困難である。   However, the conventional technology has a problem that it is not possible to detect a change in the advertised route information, and it is not possible to detect an advertisement of route information other than a route that is properly assigned. Specifically, there is a case where the route information cannot be disclosed depending on the provider or the like holding the AS. In such a case, the route information observed by an agent in another AS different from the own AS is used. The agent cannot use it. In addition, it is difficult to detect when other AS different from its own AS advertises the route information that is not yet advertised although it has its own AS.

そこで、本発明は、上記に鑑みてなされたものであって、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能である経路監視装置、経路監視方法及び経路監視プログラムを提供することを目的とする。   Therefore, the present invention has been made in view of the above, and is capable of detecting a change in advertised route information and detecting an advertisement of route information other than a normally assigned route. It is an object of the present invention to provide a path monitoring apparatus, a path monitoring method, and a path monitoring program that can be used.

上述した課題を解決し、目的を達成するため、本発明に係る経路監視装置は、ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信部と、前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部とを有する。   In order to solve the above-described problems and achieve the object, a path monitoring apparatus according to the present invention is a path monitoring apparatus that monitors path information indicating a communication path between autonomous systems connected to a network, and The route information receiving unit that receives the route information from the connected network device, and the route information received by the route information receiving unit are collected. When the collected route information is an update target, the route information is connected to the network. Route information collection that updates all route information indicating all communication routes between the autonomous systems, and adds a deletion flag to the all route information to indicate deletion when the collected route information is to be deleted And the IP address prefix included in the collected route information when the route information collected by the route information collecting unit is an update target. A path fluctuation detection unit that extracts existing path information that matches the path information from the entire path information, compares the extracted existing path information with the collected path information, and detects a fluctuation in path information; and A route that matches the prefix of the IP address included in the route information of the autonomous system in which the change is detected, when the change detection unit detects that the route information of the autonomous system that is the source of the route information has changed. In order to identify the autonomous system from which the fluctuation | variation was detected, and the identification number for identifying the said autonomous system contained in the extracted regular route information which extracts information from the regular route information which shows the normally allocated route information And a path information verification unit that determines that the identification number is abnormal if they do not match.

本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの一つの様態によれば、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能であるという効果を奏する。   According to one aspect of the route monitoring device, the route monitoring method, and the route monitoring program according to the present invention, it is possible to detect a change in the advertised route information, and other than a route that is normally assigned. There is an effect that it is possible to detect advertisement of route information.

図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of a network to which the route monitoring apparatus according to the first embodiment is applied. 図2は、実施例1に係る経路監視装置の構成例を示す図である。FIG. 2 is a diagram illustrating a configuration example of the path monitoring apparatus according to the first embodiment. 図3は、経路情報の属性の例を示す図である。FIG. 3 is a diagram illustrating an example of attributes of route information. 図4は、全経路情報の例を示す図である。FIG. 4 is a diagram illustrating an example of all route information. 図5は、経路情報照合処理の例を示す図である。FIG. 5 is a diagram illustrating an example of the route information matching process. 図6は、経路情報照合処理の例を示す図である。FIG. 6 is a diagram illustrating an example of route information matching processing. 図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。FIG. 7 is a flowchart illustrating an example of a flow of route monitoring processing according to the first embodiment. 図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。FIG. 8 is a diagram showing that the route monitoring program according to the present invention is specifically realized using a computer.

以下に添付図面を参照して、本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。   Embodiments of a route monitoring apparatus, a route monitoring method, and a route monitoring program according to the present invention will be described below with reference to the accompanying drawings. In addition, this invention is not limited by the following examples.

[ネットワーク構成]
図1を用いて、実施例1に係る経路監視装置が適用されるネットワークの構成について説明する。図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。 [Network configuration]
A configuration of a network to which the route monitoring apparatus according to the first embodiment is applied will be described with reference to FIG. FIG. 1 is a diagram illustrating a configuration example of a network to which the route monitoring apparatus according to the first embodiment is applied.

例えば、図1に示すように、実施例1におけるネットワークには、AS10〜AS30が含まれる。AS10には、実施例1に係る経路監視装置100と、ルータ11と、ルータ12と、端末13とが含まれる。また、AS20には、ルータ21が含まれる。また、AS30には、ルータ31と、Webサーバ32とが含まれる。   For example, as shown in FIG. 1, the network in the first embodiment includes AS10 to AS30. The AS 10 includes the path monitoring apparatus 100 according to the first embodiment, the router 11, the router 12, and the terminal 13. The AS 20 includes a router 21. The AS 30 includes a router 31 and a Web server 32.

ルータ11は、ルータ12と、ルータ31と、経路監視装置100とに接続され、AS間の通信経路を示す経路情報を送受する。かかる経路情報は、例えば、BGPメッセージである。また、ルータ12は、ルータ11と、ルータ21と、端末13と、経路監視装置100とに接続され、ルータ11、ルータ21又は経路監視装置100との間で経路情報を送受する。このように、各AS内に配置されるルータ間の接続により、各ASが相互に接続される。具体的には、図1において、AS10は、AS20及びAS30と相互に接続され、AS20は、AS10と相互に接続され、AS30は、AS10と相互に接続されている。なお、ASやルータの数は、図示のものに限られるわけではない。   The router 11 is connected to the router 12, the router 31, and the route monitoring device 100, and transmits / receives route information indicating a communication route between ASs. Such route information is, for example, a BGP message. The router 12 is connected to the router 11, the router 21, the terminal 13, and the route monitoring device 100, and transmits / receives route information to / from the router 11, the router 21, or the route monitoring device 100. In this way, the ASs are connected to each other by connection between routers arranged in each AS. Specifically, in FIG. 1, AS 10 is connected to AS 20 and AS 30, AS 20 is connected to AS 10, and AS 30 is connected to AS 10. Note that the number of ASs and routers is not limited to that illustrated.

端末13は、AS10内に形成されるローカルネットワークN1に配置される。かかる端末13は、ルータ12を介して、他の端末やサーバとの間でパケットを送受する。Webサーバ32は、AS30内に配置され、例えば、端末13からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末13に送信する。経路監視装置100は、ネットワークに接続されるAS間の経路情報を監視する。かかる経路監視装置100による処理については後述する。   The terminal 13 is arranged in the local network N1 formed in the AS 10. Such a terminal 13 sends and receives packets to and from other terminals and servers via the router 12. The Web server 32 is arranged in the AS 30 and, for example, transmits an HTML (HyperText Markup Language) document or the like to the terminal 13 when accessed from the terminal 13. The route monitoring device 100 monitors route information between ASs connected to the network. Processing performed by the route monitoring apparatus 100 will be described later.

[経路監視装置の構成]
次に、図2を用いて、実施例1に係る経路監視装置100の構成を説明する。図2は、実施例1に係る経路監視装置100の構成例を示す図である。 [Configuration of route monitoring device]
Next, the configuration of the route monitoring apparatus 100 according to the first embodiment will be described with reference to FIG. FIG. 2 is a diagram illustrating a configuration example of the route monitoring apparatus 100 according to the first embodiment.

例えば、図2に示すように、経路監視装置100は、記憶部110と制御部120とを有し、ネットワークに接続されるAS間の経路情報を監視する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。かかる記憶部110には、正規経路情報記憶部111が含まれる。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。   For example, as illustrated in FIG. 2, the route monitoring apparatus 100 includes a storage unit 110 and a control unit 120 and monitors route information between ASs connected to the network. The storage unit 110 stores, for example, data required for various processes by the control unit 120 and various processing results by the control unit 120. The storage unit 110 includes a regular route information storage unit 111. The storage unit 110 is, for example, a semiconductor memory device such as a random access memory (RAM), a read only memory (ROM), and a flash memory, or a storage device such as a hard disk or an optical disk.

正規経路情報記憶部111は、例えば、インターネット、ルーティング又はレジストリ等で正規に割り当てられた経路情報を記憶する。かかる正規経路情報記憶部111によって記憶される経路情報は、一つの様態として、任意の契機で経路監視装置100によって受信されて登録される。   The regular route information storage unit 111 stores route information that is normally assigned by the Internet, routing, registry, or the like. The route information stored by the regular route information storage unit 111 is received and registered by the route monitoring apparatus 100 at an arbitrary timing as one aspect.

制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部120には、経路情報受信部121と、経路情報収集部122と、経路変動検出部123と、経路情報照合部124と、経路情報表示部125と、経路情報通知部126とが含まれる。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。   The control unit 120 includes, for example, a control program, a program defining various processing procedures, and an internal memory for storing required data. The control unit 120 includes a route information reception unit 121, a route information collection unit 122, a route fluctuation detection unit 123, a route information collation unit 124, a route information display unit 125, and a route information notification unit 126. It is. The control unit 120 is an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array), or an electronic circuit such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit).

経路情報受信部121は、例えば、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する。ここで、図3を用いて、経路情報について説明する。図3は、経路情報の属性の例を示す図である。例えば、図3に示すように、経路情報には、メッセージ発生日時と、メッセージタイプ(アップデート,削除)と、対向ルータと、自AS番号と、プレフィックスと、ASパスと、生成元AS番号と、隣接AS番号と、次ホップアドレスと、コミュニティとが含まれる。   The route information receiving unit 121 receives route information from a network device such as a router connected to the network, for example. Here, the route information will be described with reference to FIG. FIG. 3 is a diagram illustrating an example of attributes of route information. For example, as shown in FIG. 3, the route information includes message generation date and time, message type (update, delete), opposite router, own AS number, prefix, AS path, source AS number, The adjacent AS number, the next hop address, and the community are included.

メッセージ発生日時とは、ネットワークで送受される経路情報のメッセージが発生した日時を示す情報である。メッセージタイプ(アップデート,削除)とは、経路情報の更新(追加)又は削除を示す情報である。対向ルータとは、経路情報を送信したルータを識別するための情報である。自AS番号とは、自己の経路監視装置を含むASを識別するための情報である。プレフィックスとは、経路情報の送信先IPアドレスを示す情報である。   The message occurrence date and time is information indicating the date and time when a message of route information transmitted and received on the network is generated. The message type (update, delete) is information indicating update (addition) or deletion of route information. The opposite router is information for identifying the router that transmitted the route information. The own AS number is information for identifying an AS including its own route monitoring device. A prefix is information indicating a transmission destination IP address of route information.

また、ASパスとは、経路情報の送受で経由したASの経路を示す情報である。生成元AS番号とは、ASパスから抽出できる情報であり、経路情報の生成元であるASを識別するための識別番号を示す情報である。隣接AS番号とは、ASパスから抽出できる情報であり、経路監視装置100を含むASに隣接するASを識別するための識別番号を示す情報である。次ホップアドレスとは、経路情報を送信先へ送信するときに、次に中継するルータのIPアドレスを示す情報である。コミュニティとは、「経路情報を外部のAS又は他のルータに広告しない」等の経路情報を取り扱うときのポリシーを示す情報である。   The AS path is information indicating an AS route through which route information is sent and received. The generation source AS number is information that can be extracted from the AS path, and is information indicating an identification number for identifying the AS that is the generation source of the route information. The adjacent AS number is information that can be extracted from the AS path, and is information indicating an identification number for identifying an AS adjacent to the AS including the route monitoring device 100. The next hop address is information indicating an IP address of a router to be relayed next when route information is transmitted to a transmission destination. The community is information indicating a policy when handling route information such as “Do not advertise route information to external AS or other routers”.

これらのうち、経路情報受信部121は、例えば、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、対向ルータ毎且つ時系列毎に、記憶部110に含まれる経路情報記憶部(図示せず)に蓄積していく。図1の例では、経路情報受信部121は、ルータ11から受信した経路情報について、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、ルータ11を識別するための情報とタイムスタンプとを付与して経路情報記憶部に登録する。なお、経路情報受信部121は、ルータ12から受信した経路情報についても同様に処理する。   Among these, the route information receiving unit 121 acquires, for example, a prefix, an AS path, a community, and a next hop address, and a route information storage unit (not shown) included in the storage unit 110 for each opposing router and for each time series. ). In the example of FIG. 1, the route information receiving unit 121 acquires a prefix, an AS path, a community, and a next hop address for the route information received from the router 11, and assigns information for identifying the router 11 and a time stamp. And registered in the route information storage unit. The route information receiving unit 121 processes the route information received from the router 12 in the same manner.

具体的に例を挙げると、経路情報受信部121は、プレフィックスが「192.168.1.1」、ASパスが「2」、コミュニティが「2:65000」、次ホップアドレスが「192.168.1.1」であり、ルータ31によって生成されたアップデート対象の経路情報をルータ11から受信した場合に、「ルータ11,タイムスタンプ,192.168.0.0/24,2,2:65000,192.168.1.1,Update」の情報を経路情報記憶部に登録する。一方、削除対象の経路情報である場合に、経路情報受信部121は、「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」の情報を経路情報記憶部に登録する。   To give a specific example, the route information receiving unit 121 has a prefix “192.168.1.1”, an AS path “2”, a community “2: 65000”, and a next hop address “192.168.”. .1.1 ”and when the route information to be updated generated by the router 31 is received from the router 11,“ Router 11, Time Stamp, 192.168.0.0/24, 2, 2: 65000 ”. , 192.168.1.1, Update ”is registered in the route information storage unit. On the other hand, in the case of the route information to be deleted, the route information receiving unit 121 registers information of “router 11, time stamp, 192.168.0.0/24, Withdraw” in the route information storage unit.

また、経路情報受信部121は、例えば、受信した経路情報に基づいて、AS間の全ての通信経路を示す全経路情報についても、記憶部110に含まれる全経路情報記憶部(図示せず)に蓄積していく。一つの様態として、経路情報受信部121は、1時間等の一定時間ごとに全経路情報記憶部に登録する。   Further, the route information receiving unit 121 also includes, for example, an all route information storage unit (not shown) included in the storage unit 110 for all route information indicating all communication routes between ASs based on the received route information. To accumulate. As one aspect, the route information receiving unit 121 registers in the all route information storage unit at regular intervals such as one hour.

ここで、図4を用いて、全経路情報について説明する。図4は、全経路情報の例を示す図である。例えば、図4に示すように、全経路情報には、ルータ名と、タイムスタンプと、プレフィックスと、ASパスと、コミュニティと、次ホップアドレスと、Update/Withdrawとが含まれる。これらのデータ例としては、ルータ名「ルータ11」、タイムスタンプ「2011−03−28 12:34:56」、プレフィックス「192.168.0.0/24」、ASパス「2」、コミュニティ「2:65000」、次ホップアドレス「192.168.1.1」、Update/Withdraw「Update」となる。   Here, the entire route information will be described with reference to FIG. FIG. 4 is a diagram illustrating an example of all route information. For example, as shown in FIG. 4, the entire route information includes a router name, a time stamp, a prefix, an AS path, a community, a next hop address, and an Update / Withdraw. Examples of these data include a router name “Router 11”, a time stamp “2011-03-28 12:34:56”, a prefix “192.168.0.0/24”, an AS path “2”, a community “ 2: 65000 ”, next hop address“ 192.168.1.1 ”, and Update / Withdraw“ Update ”.

これらのうち、経路情報受信部121は、例えば、「ルータ11,タイムスタンプ」の後に、経路情報「192.168.0.0/24,2,2:65000,192.168.1.1」や「192.168.1.0/24,2:65001,192.168.1.1」等の情報を全経路情報記憶部に登録する。   Among these, the route information receiving unit 121, for example, after the “router 11, time stamp”, the route information “192.168.0.0/24, 2, 2: 65000, 192.168.1.1”. And information such as “192.168.1.0/24, 2: 65001, 192.168.1.1” is registered in the all-route information storage unit.

経路情報収集部122は、例えば、経路情報受信部121によって受信された経路情報
を収集し、プレフィックス、生成元AS番号、隣接AS番号、ASパス、コミュニティ、次ホップアドレスの経路情報について、アップデート対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部を更新する。また、経路情報収集部122は、例えば、収集した経路情報が削除対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部に削除対象であることを示す削除フラグを付与する。 The route information collection unit 122, for example, collects route information received by the route information reception unit 121, and updates the prefix, generation AS number, adjacent AS number, AS path, community, and next hop address route information. If it is, a time stamp is given and the all-route information storage unit is updated for each opposing router. In addition, for example, when the collected route information is a deletion target, the route information collection unit 122 adds a time stamp and sets a deletion flag indicating that it is a deletion target in all the route information storage units for each opposing router. Give.

削除フラグの付与について例を挙げると、経路情報収集部122は、経路情報受信部121から「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」である削除対象の経路情報を収集した場合に、プレフィックス「192.168.0.0/24」を保持する経路情報を全経路情報記憶部から検索し、「ルータ11,タイムスタンプ、192.168.0.0/24,2,2:65000,192.168.1.1,Withdraw」のように、経路情報を補完する。   For example, the route information collection unit 122 receives the route information to be deleted from the route information receiving unit 121 as “router 11, time stamp, 192.168.0.0/24, Withdraw”. When collected, the route information holding the prefix “192.168.0.0/24” is searched from the entire route information storage unit, and “router 11, time stamp, 192.168.0.0/24,2 , 2: 65000, 192.168.1.1, Withdraw].

ここで、経路情報収集部122は、経路情報の検索時に、一部でもIPアドレス空間が重なる既存の経路情報を検索結果とする。具体的には、経路情報収集部122は、「192.168.0.0/24」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/24」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/24」の生成元AS番号等の経路情報と、「192.168.0.0/22」の生成元AS番号等の経路情報を比較した経路情報の不一致の検出に利用できる。   Here, when searching for route information, the route information collection unit 122 uses the existing route information with overlapping IP address spaces as a search result. Specifically, when the route information collection unit 122 collects route information having a prefix of “192.168.0.0/24”, “192.168.0.0/22” or the like “192” .168.0.0 / 24 "as a search result. As a result, the path information comparing the path information such as the source AS number of “192.168.0.0/24” and the path information such as the source AS number of “192.168.0.0/22” is compared. Can be used to detect discrepancies.

同様に、経路情報収集部122は、「192.168.0.0/20」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/20」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/22」の生成元AS番号等の経路情報と、「192.168.0.0/20」の生成元AS番号等の経路情報とを比較した経路情報の不一致の検出に利用できる。   Similarly, when the route information collection unit 122 collects route information having a prefix of “192.168.0.0/20”, “192.168.168 / 22” or the like “192.168. .0.0 / 20 "as a search result. Accordingly, the route information such as the generation AS number of “192.168.0.0/22” and the route information such as the generation AS number of “192.168.0.0/20” are compared. It can be used to detect information mismatch.

かかる経路情報は、一つの様態として、Patricia Trie等のツリーを構成するデータ構造を用いて、経路のプロトコルに従って経路情報に優先度をつけて保持しても良い。なお、経路情報収集部122は、経路情報受信部121から全経路情報を収集した場合には、全経路情報記憶部を再構成する。   In one aspect, the route information may be stored with priority given to the route information according to the route protocol using a data structure that forms a tree such as Patrice Trie. The route information collection unit 122 reconfigures the all route information storage unit when all route information is collected from the route information reception unit 121.

経路変動検出部123は、例えば、経路情報収集部122によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレス空間と重なる既存の経路情報を全経路情報記憶部から抽出する。そして、経路変動検出部123は、抽出した既存の経路情報と更新対象の経路情報との、隣接AS番号、生成元AS番号、ASパス、コミュニティ、次ホップアドレスを比較する。このとき、経路変動検出部123は、双方の経路情報が異なる場合に、該当する既存の経路情報と更新対象の経路情報とを、アラート情報として経路情報通知部126に通知する。また、経路変動検出部123は、既存の経路情報が存在しないとき、アラートの要因が生成元AS番号の変動であるときには、経路情報照合部124にも通知する。   For example, when the route information collected by the route information collection unit 122 is an update target, the route variation detection unit 123 stores the existing route information that overlaps the IP address space included in the collected route information. Extract from the part. Then, the route fluctuation detection unit 123 compares the adjacent AS number, the generation AS number, the AS path, the community, and the next hop address between the extracted existing route information and the route information to be updated. At this time, the route fluctuation detection unit 123 notifies the route information notification unit 126 of the corresponding existing route information and the update target route information as alert information when both pieces of route information are different. In addition, when there is no existing route information, the route fluctuation detection unit 123 also notifies the route information matching unit 124 when the cause of the alert is a change in the generation AS number.

例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/24」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。   For example, the route fluctuation detection unit 123 has the prefix of the update target route information “192.168.0.0/24”, the generation AS number “AS20”, and the existing route information prefix is When “192.168.0.0/22” and the source AS number is “AS30”, the prefix of the route information to be updated is included in the prefix of the existing route information. Alert target.

このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/24,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス:192.168.0.0/22,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも長いため、「192.168.0.0/24」宛てのIPパケットは、既存の経路情報のAS30ではなく、更新対象の経路情報のAS20に向かって送信される。これは、経路のルーティングにおいては、プレフィックス長の長いプレフィックスが優先的に選択されるためである。   The alert content at this time is, for example, “alert type: source AS number fluctuation, update target route prefix: 192.168.0.0/24, update target route source AS number: AS20, existing route Prefix: 192.168.0.0/22, existing route generation source AS number: AS30, receiving router: router 12, time stamp: 2011-03-11 ". In this example, since the prefix length of the route information to be updated is longer than the prefix length of the existing route information, the IP packet addressed to “192.168.0.0/24” is the AS30 of the existing route information. Instead, it is transmitted toward the AS 20 of the route information to be updated. This is because a prefix having a long prefix length is preferentially selected in route routing.

他の例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/24」及び「192.168.1.0/24」、生成元AS番号がいずれも「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。   As another example, the route fluctuation detection unit 123 has the prefix of the update target route information “192.168.0.0/22”, the generation source AS number “AS20”, and the existing route information When the prefixes are “192.168.0.0/24” and “192.168.1.0/24” and the source AS number is “AS30”, the prefix of the route information to be updated is an existing one. Since it is included in the prefix of the route information, it is set as an alert target as a change in the generation AS number.

このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/22,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス1:192.168.0.0/24,既存経路の生成元AS番号1:AS30,既存経路のプレフィックス2:192.168.1.0/24,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも短いため、「192.168.0.0/24」及び「192.168.1.0/24」宛てのIPパケットは、既存の経路情報のAS30に向かって送信され、既存経路に対する影響はない。但し、「192.168.2.0/23」の経路が有効になり、「192.168.2.0/23」宛てのIPパケットは、更新対象の経路情報のAS20に向かって送信される。   The alert content at this time is, for example, “alert type: source AS number fluctuation, update target route prefix: 192.168.0.0/22, update target route source AS number: AS20, existing route Prefix 1: 192.168.0.0/24, existing route generation source AS number 1: AS30, existing route prefix 2: 192.168.1.0/24, existing route generation source AS number: AS30, "Receiving router: router 12, time stamp: 2011-03-11". In this example, since the prefix length of the route information to be updated is shorter than the prefix length of the existing route information, “192.168.0.0/24” and “192.168.1.0/24” The destination IP packet is transmitted toward the AS 30 of the existing route information, and there is no influence on the existing route. However, the route “192.168.2.0/23” becomes valid, and the IP packet addressed to “192.168.2.0/23” is transmitted toward the AS 20 of the route information to be updated. .

また、経路変動検出部123は、例えば、生成元AS番号変動のアラート対象となる経路情報(プレフィックス、生成元AS番号)について、経路情報が削除された場合でも、生成元AS番号変動の経路削除アラートとして、削除経路のプレフィックス、生成元AS番号の経路情報を経路情報照合部124と経路情報通知部126とに送信する。また、生成元AS番号の変動以外のアラートとしては、例えば、隣接AS番号変動、ASパス変動、コミュニティ変動、次ホップアドレス変動等が生成される。これらにより、経路変動検出部123は、広告されていて受信している経路情報に対する変動を検出する。   Further, for example, even if the route information is deleted for the route information (prefix, source AS number) that is the alert target of the source AS number change, the route change detection unit 123 deletes the route of the source AS number change. As the alert, the prefix of the deleted route and the route information of the generation source AS number are transmitted to the route information matching unit 124 and the route information notification unit 126. Further, as alerts other than the generation AS number change, for example, adjacent AS number change, AS path change, community change, next hop address change, and the like are generated. As a result, the route fluctuation detection unit 123 detects a change in the route information that has been advertised and received.

経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号変動のアラート情報を受信した場合に、受信したアラート情報に含まれる更新対象経路のプレフィックス又は既存経路のプレフィックスに、一部でもIPアドレス空間が重なる経路情報(プレフィックス、AS番号)を正規経路情報記憶部111から抽出する。そして、経路情報照合部124は、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。   For example, when the alert information of the source AS number variation is received from the route variation detection unit 123, the route information collation unit 124 partially adds the update target route prefix or the existing route prefix included in the received alert information. However, route information (prefix and AS number) with overlapping IP address spaces is extracted from the regular route information storage unit 111. Then, the route information matching unit 124, among the extracted regular route information (prefix, AS number), the AS number of the regular route information having the longest prefix length, and the generation source AS of the route information to be updated included in the alert information. Match numbers. At this time, the route information collation unit 124, as a result of the collation, as an alert of the abnormality generation source AS number, as the alert of the abnormality generation source AS number, the update target route information (prefix, generation source AS number) and regular route information (prefix, AS Number) to the route information notification unit 126.

図5は、経路情報照合処理の例を示す図である。図5では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/24」、生成元AS番号が「5」である場合を例に挙げる。なお、図5における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。   FIG. 5 is a diagram illustrating an example of the route information matching process. In FIG. 5, as regular route information, the prefix is “192.168.0.0/22”, the AS number is “2”, the prefix is “192.168.0.0/20”, and the AS number is “ 3 ”, the reception path information is a prefix“ 192.168.0.0/24 ”, and the generation source AS number is“ 5 ”. Note that the reception path information in FIG. 5 refers to the path information included in the received alert information.

このとき、経路情報照合部124は、受信経路情報のIPアドレス空間が正規経路情報のIPアドレス空間に含まれ、受信経路情報のIPアドレス空間を含む正規経路情報のうち、最もプレフィックス長が長いプレフィックス「192.168.0.0/22」のAS番号「2」と、受信経路情報のプレフィックス「192.168.0.0/24」の生成元AS番号「5」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。   At this time, the route information matching unit 124 includes the prefix having the longest prefix length among the regular route information including the IP address space of the received route information, in which the IP address space of the received route information is included in the IP address space of the received route information. The AS number “2” of “192.168.0.0/22” is compared with the generation source AS number “5” of the prefix “192.168.0.0/24” of the reception path information. Then, the route information matching unit 124 determines that there is an abnormality because of the mismatch as a result of the matching, and sets it as an alert target.

また、経路情報照合部124は、抽出した全ての正規経路情報(プレフィックス、AS番号)のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、全ての正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。   Further, the route information matching unit 124 checks the AS numbers of all the extracted regular route information (prefix, AS number) and the generation source AS number of the update target route information included in the alert information. At this time, the route information matching unit 124 uses the updated route information (prefix, source AS number) and all the regular route information (prefix) as an alert of the abnormality generation source AS number when there is a mismatch as a result of the comparison. , AS number) to the route information notification unit 126.

図6は、経路情報照合処理の例を示す図である。図6では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/18」、生成元AS番号が「6」である場合を例に挙げる。なお、図6における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。   FIG. 6 is a diagram illustrating an example of route information matching processing. In FIG. 6, as regular route information, the prefix is “192.168.0.0/22”, the AS number is “2”, the prefix is “192.168.0.0/20”, and the AS number is “ 3 ”, the reception path information is a prefix“ 192.168.0.0/18 ”, and the generation source AS number is“ 6 ”. Note that the reception route information in FIG. 6 refers to route information included in the received alert information.

このとき、経路情報照合部124は、受信経路情報のIPアドレス空間を正規経路情報のプレフィックス「192.168.0.0/22」のAS番号「2」、並びに、プレフィックス「192.168.0.0/20」のAS番号「3」と、受信経路情報のプレフィックス「192.168.0.0/18」の生成元AS番号「6」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。   At this time, the route information matching unit 124 uses the IP address space of the received route information as the AS number “2” of the prefix “192.168.0.0/22” of the regular route information, and the prefix “192.168.8.0”. .0 / 20 ”and the generation source AS number“ 6 ”of the prefix“ 192.168.0.0/18 ”of the reception path information are collated. Then, the route information matching unit 124 determines that there is an abnormality because of the mismatch as a result of the matching, and sets it as an alert target.

また、経路情報照合部124は、例えば、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とが一致し、且つ、既存の経路情報のプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、既存の経路情報の生成元AS番号とが異なる場合に、異常生成元AS終了のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、既存の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。   Further, the route information matching unit 124 generates, for example, the AS number of the regular route information having the longest prefix length among the extracted regular route information (prefix and AS number) and the update target route information included in the alert information. Among the regular route information having the IP address space that matches the original AS number and includes the prefix of the existing route information, the AS number of the regular route information having the longest prefix length and the generation source AS of the existing route information When the number is different, as an alert of abnormal generation source AS termination, update target route information (prefix, generation source AS number), existing route information (prefix, generation source AS number), and regular route information (prefix) , AS number) to the route information notification unit 126.

また、経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号の経路変動による削除アラートを受信した場合に、アラートのプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラートの生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号の終了アラートとして、生成元AS番号の経路変動による削除アラートの経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。   Further, when the route information matching unit 124 receives, for example, a deletion alert due to the route variation of the generation AS number from the route variation detection unit 123, the prefix among the regular route information having the IP address space including the alert prefix is included. The AS number of the regular route information having the longest length is checked against the alert generation AS number. At this time, the route information matching unit 124, as a result of the matching, if there is a mismatch, the route information (prefix, source AS number) of the deletion alert due to the route change of the source AS number is used as the end alert of the abnormality source AS number. And the normal route information (prefix, AS number) are notified to the route information notification unit 126.

経路情報表示部125は、例えば、経路監視装置100の利用者によって所定操作がなされた場合に、経路情報収集部122、経路変動検出部123、経路情報照合部124、経路情報通知部126に保持される情報を取得し、ディスプレイやモニタ等の表示装置に表示出力する。   The route information display unit 125 is stored in the route information collection unit 122, the route fluctuation detection unit 123, the route information matching unit 124, and the route information notification unit 126, for example, when a predetermined operation is performed by the user of the route monitoring apparatus 100. Information is acquired and displayed on a display device such as a display or a monitor.

経路情報通知部126は、例えば、経路変動検出部123、経路情報照合部124から受信したアラートを経路情報表示部125に通知するとともに、アラートのうち、経路監視装置100の利用者によって外部装置への送信が許可されているアラート情報を、予め設定された外部装置に対して送信する。また、経路情報通知部126は、外部装置からアラートを受信した場合に、経路情報表示部125に通知する。これにより、他のASで伝搬している自己の経路監視装置100を含むASの経路情報に対するアラートを認識することができる。   For example, the route information notification unit 126 notifies the route information display unit 125 of the alert received from the route fluctuation detection unit 123 and the route information collation unit 124, and among the alerts, the user of the route monitoring device 100 sends it to an external device. The alert information that is permitted to be transmitted is transmitted to a preset external device. The route information notification unit 126 notifies the route information display unit 125 when an alert is received from an external device. As a result, it is possible to recognize an alert for AS route information including the own route monitoring device 100 propagating in another AS.

[実施例1に係る経路監視処理]
次に、図7を用いて、実施例1に係る経路監視処理の流れを説明する。図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。 [Route Monitoring Processing According to Embodiment 1]
Next, the flow of the route monitoring process according to the first embodiment will be described with reference to FIG. FIG. 7 is a flowchart illustrating an example of a flow of route monitoring processing according to the first embodiment.

例えば、図7に示すように、経路監視装置100は、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する(ステップS101)。そして、経路監視装置100は、受信した経路情報に基づいて、全経路情報記憶部に対し、更新又は削除フラグを付与する(ステップS102)。   For example, as shown in FIG. 7, the route monitoring apparatus 100 receives route information from a network device such as a router connected to the network (step S101). Then, the route monitoring apparatus 100 gives an update or delete flag to the all route information storage unit based on the received route information (step S102).

続いて、経路監視装置100は、受信した経路情報が更新対象であるか否かを判定する(ステップS103)。このとき、経路監視装置100は、経路情報が更新対象である場合に(ステップS103肯定)、既存の経路情報と受信した経路情報とを比較して、経路情報の変動を検出する(ステップS104)。一方、経路監視装置100は、経路情報が更新対象でない場合に(ステップS103否定)、処理を終了する。   Subsequently, the route monitoring apparatus 100 determines whether or not the received route information is an update target (step S103). At this time, when the route information is to be updated (Yes at Step S103), the route monitoring apparatus 100 compares the existing route information with the received route information and detects a change in the route information (Step S104). . On the other hand, when the route information is not an update target (No at Step S103), the route monitoring apparatus 100 ends the process.

その後、経路監視装置100は、生成元AS番号変動のアラート情報が検出されたか否かを判定する(ステップS105)。このとき、経路監視装置100は、生成元AS番号変動のアラート情報が検出された場合に(ステップS105肯定)、対象のAS番号と正規経路情報のAS番号とを照合し、不一致であるときに異常であると判定する(ステップS106)。一方、経路監視装置100は、生成元AS番号変動のアラート情報が検出されない場合に(ステップS105否定)、処理を終了する。   Thereafter, the route monitoring apparatus 100 determines whether or not alert information indicating that the generation source AS number has changed has been detected (step S105). At this time, the route monitoring device 100 collates the target AS number with the AS number of the regular route information when the alert information of the generation source AS number variation is detected (Yes at Step S105), It is determined that there is an abnormality (step S106). On the other hand, the route monitoring device 100 ends the process when the alert information of the generation source AS number variation is not detected (No at Step S105).

[実施例1による効果]
上述したように、経路監視装置100は、例えば、受信した経路情報が削除対象であっても削除することなく全経路情報に削除フラグを付与し、更新対象の経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を全経路情報から抽出して、更新対象の経路情報と抽出した既存の経路情報とを比較して経路情報の変動を検出し、経路情報の変動が検出された経路情報のIPアドレスに一致する経路情報を、正規経路情報から抽出して、変動が検出された経路情報のAS番号と、抽出した正規経路情報のAS番号とが不一致である場合に異常であると判定する。これらの結果、経路監視装置100は、広告されている経路情報の変動を検出することができるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができる。 [Effects of Example 1]
As described above, for example, the route monitoring apparatus 100 assigns a deletion flag to all route information without deleting even if the received route information is a deletion target, and the prefix of the IP address included in the update target route information. The existing route information that matches is extracted from all the route information, the route information to be updated is compared with the extracted existing route information to detect the change in route information, and the route in which the change in route information is detected Route information that matches the IP address of the information is extracted from the normal route information, and it is abnormal when the AS number of the route information in which the fluctuation is detected does not match the AS number of the extracted normal route information. judge. As a result, the route monitoring apparatus 100 can detect a change in the advertised route information, and can detect an advertisement of route information other than the route that is normally assigned.

さて、これまで本発明に係る経路監視装置の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)構成、(2)プログラム、において異なる実施例を説明する。   Although the embodiments of the route monitoring apparatus according to the present invention have been described so far, the present invention may be implemented in various different forms other than the embodiments described above. Therefore, different embodiments in (1) configuration and (2) program will be described.

(1)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報については、特記する場合を除いて任意に変更することができる。例えば、上記実施例では、経路情報受信部121〜経路情報通知部126までを含む経路監視装置100を説明したが、経路情報受信部121〜経路変動検出部123までを含む、経路情報の変動を検出する経路監視装置としても良い。 (1) Configuration In addition, information including processing procedures, control procedures, specific names, various data, parameters, and the like shown in the above documents and drawings can be arbitrarily changed unless otherwise specified. . For example, in the above-described embodiment, the route monitoring apparatus 100 including the route information receiving unit 121 to the route information notifying unit 126 has been described. However, the route information including the route information receiving unit 121 to the route change detecting unit 123 is changed. A path monitoring device for detection may be used.

また、図示した経路監視装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。例えば、経路情報受信部121と経路情報収集部122とを、受信した経路情報の蓄積と全経路情報の蓄積及び更新とを行なう「経路情報処理部」として統合しても良い。   Each component of the illustrated route monitoring apparatus 100 is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various burdens or usage conditions. Can be integrated. For example, the route information receiving unit 121 and the route information collecting unit 122 may be integrated as a “route information processing unit” that accumulates received route information and accumulates and updates all route information.

また、経路監視装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。   In addition, each or all of the processing functions performed in the route monitoring apparatus 100 are realized by a CPU and a program that is analyzed and executed by the CPU, or is realized as hardware by wired logic. obtain.

(2)プログラム
図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。 (2) Program FIG. 8 is a diagram showing that the route monitoring program according to the present invention is specifically realized using a computer. As illustrated in FIG. 8, the computer 1000 includes, for example, a memory 1001, a CPU 1002, a hard disk drive interface 1003, a disk drive interface 1004, a serial port interface 1005, a video adapter 1006, and a network interface 1007. These units are connected by a bus 1008.

メモリ1001は、図8に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図8に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図8に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図8に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図8に例示するように、例えばディスプレイ1013に接続される。   As illustrated in FIG. 8, the memory 1001 includes a ROM 1001a and a RAM 1001b. The ROM 1001a stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1003 is connected to the hard disk drive 1009 as illustrated in FIG. The disk drive interface 1004 is connected to the disk drive 1010 as illustrated in FIG. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1010. The serial port interface 1005 is connected to, for example, a mouse 1011 and a keyboard 1012 as illustrated in FIG. The video adapter 1006 is connected to a display 1013, for example, as illustrated in FIG.

ここで、図8に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係る経路監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した経路情報受信部121と同様の処理を実行する経路情報受信手順と、経路情報収集部122と同様の処理を実行する経路情報収集手順と、経路変動検出部123と同様の処理を実行する経路変動検出手順と、経路情報照合部124と同様の処理を実行する経路情報照合手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明した正規経路情報記憶部111に記憶されるデータのように、経路監視プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、経路情報受信手順、経路情報収集手順、経路変動検出手順、経路情報照合手順を実行する。   Here, as illustrated in FIG. 8, the hard disk drive 1009 stores, for example, an OS (Operating System) 1009a, an application program 1009b, a program module 1009c, and program data 1009d. That is, the route monitoring program according to the present invention is stored in, for example, the hard disk drive 1009 as a program module 1009c in which a command executed by the computer 1000 is described. Specifically, a route information reception procedure for executing processing similar to that of the route information reception unit 121 described in the above embodiment, a route information collection procedure for executing processing similar to that of the route information collection unit 122, and route fluctuation detection The hard disk drive 1009 stores a program module 1009c in which a route fluctuation detection procedure for executing the same processing as that of the unit 123 and a route information verification procedure for executing the same processing as that of the route information matching unit 124 are described. Further, like the data stored in the regular path information storage unit 111 described in the above embodiment, data used for processing by the path monitoring program is stored as, for example, the hard disk drive 1009 as program data 1009d. The CPU 1002 reads the program module 1009c and program data 1009d stored in the hard disk drive 1009 to the RAM 1001b as necessary, and executes a route information reception procedure, a route information collection procedure, a route variation detection procedure, and a route information collation procedure. .

なお、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。   Note that the program module 1009c and program data 1009d related to the path monitoring program are not limited to being stored in the hard disk drive 1009, but are stored in, for example, a removable storage medium and read out by the CPU 1002 via the disk drive 1010 or the like. May be. Alternatively, the program module 1009c and the program data 1009d related to the route monitoring program are stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.), and the network interface 1007 is stored. Via the CPU 1002.

100 経路監視装置
110 記憶部
111 正規経路情報記憶部
120 制御部
121 経路情報受信部
122 経路情報収集部
123 経路変動検出部
124 経路情報照合部
125 経路情報表示部
126 経路情報通知部 DESCRIPTION OF SYMBOLS 100 Path | route monitoring apparatus 110 Memory | storage part 111 Regular path | route information memory | storage part 120 Control part 121 Path | route information receiving part 122 Path | route information collection part 123 Path | route fluctuation | variation detection part 124 Path | route information collation part 125 Path | route information display part 126 Path | route information notification part

Claims (5)

ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信するとともに、受信した経路情報に基づいて、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を全経路情報記憶部に蓄積する経路情報受信部と、
前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、
前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を、前記削除フラグが付与された経路情報を含む前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、
前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一部でもIPアドレス空間が重なる経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報のうちプレフィックス長が最も長い正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部と
を有することを特徴とする経路監視装置。 A route monitoring device that monitors route information indicating a communication route between autonomous systems connected to a network,
The route information is received from the network device connected to the network, and all route information indicating all the communication routes between the autonomous systems connected to the network based on the received route information A route information receiver that accumulates in
The collected routing information received by the route information receiving unit, when the collected route information is updated, if prior Symbol Updated all routing information, the collected routing information is deleted, the total A route information collection unit that adds a deletion flag indicating that the route information is to be deleted;
When the route information collected by the route information collection unit is an update target, the existing route information that matches the prefix of the IP address included in the collected route information is replaced with the route information with the deletion flag. A path fluctuation detecting unit that extracts a change in path information by extracting from the entire path information including, comparing the extracted existing path information with the collected path information,
If the route information of the autonomous system is a generator of the route information by said path change detector is detected that fluctuates one IP address prefix included in the route information of the autonomous system is detected variation Also extracts the route information with overlapping IP address space from the normal route information indicating the normally assigned route information , and identifies the autonomous system included in the normal route information with the longest prefix length among the extracted normal route information A path information collating unit that collates an identification number for identifying an autonomous system in which a change is detected, and determines that it is abnormal if they do not match apparatus. 前記経路情報受信部は、前記ネットワーク機器から受信した経路情報に基づいて、前記ネットワーク機器毎且つ時系列毎に経路情報を生成するとともに、前記全経路情報を生成することを特徴とする請求項1に記載の経路監視装置。   The route information receiving unit generates the route information for each network device and for each time series based on the route information received from the network device, and generates the entire route information. The route monitoring device described in 1. 前記経路変動検出部は、前記収集された経路情報に含まれるIPアドレス空間が一部でも重なる既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出することを特徴とする請求項1又は2に記載の経路監視装置。   The route fluctuation detection unit extracts existing route information that overlaps even part of the IP address space included in the collected route information from the entire route information, and extracts the existing route information and the collected route information, The route monitoring apparatus according to claim 1, wherein a change in route information is detected by comparing the two. ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置で実行される経路監視方法であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信するとともに、受信した経路情報に基づいて、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を全経路情報記憶部に蓄積する経路情報受信工程と、
前記経路情報受信工程によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集工程と、
前記経路情報収集工程によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を、前記削除フラグが付与された経路情報を含む前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出工程と、
前記経路変動検出工程によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一部でもIPアドレス空間が重なる経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報のうちプレフィックス長が最も長い正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合工程と
を含んだことを特徴とする経路監視方法。 A route monitoring method executed by a route monitoring device that monitors route information indicating a communication route between autonomous systems connected to a network,
The route information is received from the network device connected to the network, and all route information indicating all the communication routes between the autonomous systems connected to the network based on the received route information Route information receiving process stored in the
The collected routing information received by the route information receiving step, when the collected route information is updated, if prior Symbol Updated all routing information, the collected routing information is deleted, the total A route information collecting step for adding a deletion flag indicating that the route information is to be deleted;
When the route information collected by the route information collection step is an update target, the existing route information that matches the prefix of the IP address included in the collected route information is replaced with the route information with the deletion flag. A path fluctuation detection step for extracting fluctuations of path information by extracting from the entire path information including, comparing the extracted existing path information with the collected path information, and
If the route information of the autonomous system is a generator of the route information by said path change detection step is detected that fluctuates one IP address prefix included in the route information of the autonomous system is detected variation Also extracts the route information with overlapping IP address space from the normal route information indicating the normally assigned route information , and identifies the autonomous system included in the normal route information with the longest prefix length among the extracted normal route information And a path information matching step that compares the identification number for identifying the autonomous system in which the fluctuation is detected and determines that it is abnormal if there is a mismatch. Monitoring method. コンピュータを請求項1〜3のいずれか1つに記載の経路監視装置として機能させるための経路監視プログラム。   A route monitoring program for causing a computer to function as the route monitoring device according to claim 1.
JP2011143962A 2011-06-29 2011-06-29 Route monitoring apparatus, route monitoring method, and route monitoring program Expired - Fee Related JP5587256B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011143962A JP5587256B2 (en) 2011-06-29 2011-06-29 Route monitoring apparatus, route monitoring method, and route monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011143962A JP5587256B2 (en) 2011-06-29 2011-06-29 Route monitoring apparatus, route monitoring method, and route monitoring program

Publications (2)

Publication Number Publication Date
JP2013012881A JP2013012881A (en) 2013-01-17
JP5587256B2 true JP5587256B2 (en) 2014-09-10

Family

ID=47686396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011143962A Expired - Fee Related JP5587256B2 (en) 2011-06-29 2011-06-29 Route monitoring apparatus, route monitoring method, and route monitoring program

Country Status (1)

Country Link
JP (1) JP5587256B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5916164B1 (en) * 2014-12-09 2016-05-11 ソフトバンク株式会社 Route control apparatus and program
JP6460893B2 (en) * 2015-04-15 2019-01-30 エヌ・ティ・ティ・コミュニケーションズ株式会社 Communication path monitoring device, communication system, failure determination method, and program
KR102092668B1 (en) * 2019-01-21 2020-03-24 주식회사 엘지유플러스 Apparatus and method for registration of routing information
KR102471892B1 (en) * 2019-01-21 2022-11-29 주식회사 엘지유플러스 Apparatus and method for registration of routing information
CN115051917A (en) * 2021-03-09 2022-09-13 华为技术有限公司 Method for automatically generating autonomous system AS identifier, first network equipment and system
CN113285879B (en) * 2021-05-19 2022-11-25 郑州埃文计算机科技有限公司 Method for carrying out network security transmission by bypassing appointed geographic area

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4413539B2 (en) * 2003-06-27 2010-02-10 古河電気工業株式会社 ROUTING CONTROL METHOD, DATA COLLECTING DEVICE, AND ROUTING CONTROL SYSTEM
JP4191135B2 (en) * 2004-12-21 2008-12-03 日本電信電話株式会社 Route detection apparatus, route detection method, and route detection program
JP4413833B2 (en) * 2005-08-15 2010-02-10 日本電信電話株式会社 Illegal route monitoring system and method
JP4542580B2 (en) * 2007-11-06 2010-09-15 日本電信電話株式会社 Route hijack detection method, route monitoring device, route hijack detection system, and route hijack detection program
JP5080549B2 (en) * 2009-11-30 2012-11-21 日本電信電話株式会社 Network monitoring method and network monitoring apparatus

Also Published As

Publication number Publication date
JP2013012881A (en) 2013-01-17

Similar Documents

Publication Publication Date Title
JP5587256B2 (en) Route monitoring apparatus, route monitoring method, and route monitoring program
US9584398B2 (en) Methods and apparatus to utilize route parameter sets for exchanging routes in a communication network
US20190081958A1 (en) Identifying Malware Devices with Domain Name System (DNS) Queries
US7379426B2 (en) Routing loop detection program and routing loop detection method
US8751787B2 (en) Method and device for integrating multiple threat security services
US11108816B2 (en) Constructible automata for internet routes
US10129276B1 (en) Methods and apparatus for identifying suspicious domains using common user clustering
JP4317828B2 (en) Network monitoring apparatus and network monitoring method
US7684339B2 (en) Communication control system
Iamartino et al. Measuring bgp route origin registration and validation
US20170289283A1 (en) Automated dpi process
US11658863B1 (en) Aggregation of incident data for correlated incidents
Beverly et al. Measuring and characterizing IPv6 router availability
CN109818804B (en) Network monitoring method and device
CN113849820A (en) Vulnerability detection method and device
US20110055924A1 (en) Graph structures for event matching
US20140337069A1 (en) Deriving business transactions from web logs
US20080285563A1 (en) Routing Information Management Apparatus and Computer Program of the Same
JP5221594B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
JP2010161524A (en) Method for detecting failure link based on path control protocol, node device and program
JP4365869B2 (en) ROUTE INFORMATION CHANGE METHOD, ROUTE INFORMATION CHANGE DEVICE, AND ROUTE INFORMATION CHANGE PROGRAM
JP6652912B2 (en) Network device and abnormality detection system
JP5782958B2 (en) Information processing apparatus and program
JP2006067279A (en) Intrusion detection system and communication equipment
CN105743875A (en) Information Processing Device, Method, And Medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140722

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140723

R150 Certificate of patent or registration of utility model

Ref document number: 5587256

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees