JP6071809B2 - トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム - Google Patents

トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム Download PDF

Info

Publication number
JP6071809B2
JP6071809B2 JP2013179791A JP2013179791A JP6071809B2 JP 6071809 B2 JP6071809 B2 JP 6071809B2 JP 2013179791 A JP2013179791 A JP 2013179791A JP 2013179791 A JP2013179791 A JP 2013179791A JP 6071809 B2 JP6071809 B2 JP 6071809B2
Authority
JP
Japan
Prior art keywords
traffic
source address
traffic analysis
appliance
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013179791A
Other languages
English (en)
Other versions
JP2015050555A (ja
Inventor
圭介 黒木
圭介 黒木
林 通秋
通秋 林
延孝 松本
延孝 松本
淳 松野
淳 松野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2013179791A priority Critical patent/JP6071809B2/ja
Publication of JP2015050555A publication Critical patent/JP2015050555A/ja
Application granted granted Critical
Publication of JP6071809B2 publication Critical patent/JP6071809B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信のトラフィックに係る、トラフィック分析システム、トラフィック分析方法およびコンピュータプログラムに関する。
従来、トラフィック分析技術として、例えば特許文献1、2に記載の技術が知られている。特許文献1に記載の従来技術では、トラフィックを転送するルータ等の通信中継装置にトラフィック分析の一部の機能を持たせることにより、トラフィック分析装置の負荷を下げるようにしている。特許文献2に記載の従来技術では、通信中継装置がトラフィック分析装置からの指示に応じてサンプルパケットをトラフィック分析装置へ送信し、トラフィック分析装置がサンプルパケットの分析を行うことにより、通常時のトラフィック分析装置の負荷を下げるようにしている。
特開2011−35932号公報 特開2010−283516号公報
しかし、上述した特許文献1に記載の従来技術では、通常のトラフィック転送処理のために複数の通信プロトコルを動作させたルータ等の通信中継装置に対して余計な処理負荷をかけることになる。特許文献2に記載の従来技術では、トラフィック分析装置がサンプルパケットを要求するタイミングの与え方が人手による場合、トラフィック分析の即時性を確保できない。また、一度に大量のサンプルパケットがトラフィック分析装置に供給されると、トラフィック分析装置が過負荷状態になる可能性がある。
本発明は、このような事情を考慮してなされたもので、トラフィック分析の対象にするトラフィックを適切に選択することができるトラフィック分析システム、トラフィック分析方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明に係るトラフィック分析システムは、特定の通信装置で受信されるトラフィックの分析を行うトラフィック分析システムであり、前記特定の通信装置の代替装置と、前記トラフィックの一部である部分トラフィックを前記代替装置へ送信するスイッチと、前記代替装置を監視する装置監視部と、前記装置監視部の監視結果に基づいて、前記スイッチに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御部と、を備え、前記装置監視部の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中から前記分析の対象にするトラフィックを選択する、ことを特徴とする。
(2)本発明に係るトラフィック分析システムにおいては、上記(1)のトラフィック分析システムにおいて、前記スイッチ制御部は、前記スイッチに対し、所定以上の処理負荷を発生させる前記部分トラフィックの中から一部を前記代替装置へ送信させることを特徴とする。
(3)本発明に係るトラフィック分析システムにおいては、上記(1)または(2)のいずれかのトラフィック分析システムにおいて、前記代替装置は、複数の前記部分トラフィックの各々に対応して複数設けられることを特徴とする。
(4)本発明に係るトラフィック分析システムにおいては、上記(1)から(3)のいずれかのトラフィック分析システムにおいて、前記代替装置は、前記特定の通信装置の冗長装置であることを特徴とする。
(5)本発明に係るトラフィック分析システムにおいては、上記(1)から(3)のいずれかのトラフィック分析システムにおいて、前記代替装置は仮想マシンで作成されていることを特徴とする。
(6)本発明に係るトラフィック分析システムにおいては、上記(5)のトラフィック分析システムにおいて、前記部分トラフィックに対応する前記代替装置を前記仮想マシンで作成させる仮想マシン作成制御部を備えたことを特徴とする。
(7)本発明に係るトラフィック分析システムにおいては、上記(1)から(6)のいずれかのトラフィック分析システムにおいて、前記トラフィックの送信元アドレスの中から、前記部分トラフィックの送信元アドレスを分割する送信元アドレス管理部を備えたことを特徴とする。
(8)本発明に係るトラフィック分析方法は、特定の通信装置で受信されるトラフィックの分析を行うトラフィック分析方法であり、前記トラフィックの一部である部分トラフィックを前記特定の通信装置の代替装置へ送信させるスイッチステップと、前記代替装置を監視する装置監視ステップと、前記装置監視ステップの監視結果に基づいて、前記スイッチステップに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御ステップと、前記装置監視部の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中から前記分析の対象にするトラフィックを選択するステップと、を含むことを特徴とする。
(9)本発明に係るコンピュータプログラムは、特定の通信装置で受信されるトラフィックの一部である部分トラフィックを前記特定の通信装置の代替装置へ送信させるスイッチステップと、前記代替装置の監視結果に基づいて、前記スイッチステップに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御ステップと、前記代替装置の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中からトラフィック分析の対象にするトラフィックを選択するステップと、をコンピュータに実行させるためのコンピュータプログラムであることを特徴とする。
本発明によれば、トラフィック分析の対象にするトラフィックを適切に選択することができるという効果が得られる。
本発明の第1実施形態に係るトラフィック分析システム1の構成を示すブロック図である。 図1に示す経路制御DB130の構成例を示す図である。 図1に示す構成管理DB150の構成例を示す図である。 図1に示す送信元アドレスDB120の構成例を示す図である。 本発明の第1実施形態に係るトラフィック分析処理の手順を示すシーケンスチャートである。 本発明の第1実施形態に係るトラフィック分析処理の手順を示すシーケンスチャートである。 本発明の第1実施形態に係るトラフィック分析処理の手順を示すシーケンスチャートである。 本発明の第1実施形態に係るトラフィック分析処理の手順を示すシーケンスチャートである。 本発明の第1実施形態に係るトラフィック分析処理を説明するための図である。 本発明の第1実施形態に係るトラフィック分析処理を説明するための図である。 本発明の第1実施形態に係るトラフィック分析処理を説明するための図である。 本発明の第1実施形態に係るトラフィック分析処理を説明するための図である。 本発明の第1実施形態に係るトラフィック分析処理を説明するための図である。 本発明の第1実施形態に係る送信元アドレス分割処理の説明図である。 本発明の第1実施形態に係る送信元アドレス分割処理の説明図である。 本発明の第1実施形態に係る送信元アドレス分割処理の説明図である。 本発明の第2実施形態に係るトラフィック分析システム1の構成を示すブロック図である。 本発明の第3実施形態に係るトラフィック分析システム1の構成を示すブロック図である。 本発明の第4実施形態に係るトラフィック分析システム1の構成を示すブロック図である。
以下、図面を参照し、本発明の実施形態について説明する。
[第1実施形態]
図1は、本発明の第1実施形態に係るトラフィック分析システム1の構成を示すブロック図である。図1において、制御部10は、装置監視部11と送信元アドレス管理部12とスイッチ(SW)制御部13と仮想マシン作成制御部14と構成管理部15を有する。送信元アドレス管理部12は送信元アドレスデータベース(送信元アドレスDB)120を有する。SW制御部13は経路制御データベース(経路制御DB)130を有する。構成管理部15は構成管理データベース(構成管理DB)150を有する。制御部10は、単独の装置として構成されてもよく、または、制御部10の各部11〜15のうちの一つまたは複数ごとに一装置として構成されてもよい。
トラフィック分析装置20およびダミーサーバ装置30は、中間スイッチ(中間SW)40に接続されている。中間SW40は、トラフィックを転送する中継装置60に接続されている。中間SW40は、トラフィックの転送機能およびミラーリング機能を有する。中間SW40および中継装置60として、例えば、レイヤ3(L3)のスイッチ(L3SW)などが挙げられる。
トラフィック分析装置20は、中間SW40から入力されるトラフィックを対象にしてトラフィック分析を行う。
ダミーサーバ装置30は、仮想マシン基盤としての機能を有し、仮想マシンの作成を行う。ダミーサーバ装置30は、事前に作成された仮想スイッチ(仮想SW)300を有する。仮想SW300は、トラフィックの転送機能を有する。仮想SW300は、例えばL3SWの機能を有する。
アプライアンス装置(ア01、イ01、ウ01)51−1、2、3およびアプライアンス装置(ア02、イ02、ウ02)52−1、2、3は、中間SW40に接続されている。各アプライアンス装置(ア01、イ01、ウ01)51−1、2、3を特に区別しないときは、アプライアンス装置51と称する。各アプライアンス装置(ア02、イ02、ウ02)52−1、2、3を特に区別しないときは、アプライアンス装置52と称する。アプライアンス装置51、52は、通信装置である。アプライアンス装置51、52として、例えば、ファイアウォール装置、NAT(Network Address Translation)装置、WAN(Wide Area Network)高速化装置などが挙げられる。アプライアンス装置52は、アプライアンス装置51の冗長装置である。
制御部10は、各装置20、30、40、51−1〜3、52−1〜3と通信ネットワークを介してデータを送受する。
制御部10において、装置監視部11は、監視対象の装置の監視を行う。送信元アドレス管理部12は、トラフィックの送信元アドレスを管理する。SW制御部13は、中間SW40および仮想SW300の制御を行う。仮想マシン作成制御部14は、ダミーサーバ装置30に対して仮想マシンの作成の制御を行う。構成管理部15は、中間SW40に接続される装置構成を管理する。
図2は、経路制御DB130の構成例を示す図である。経路制御DB130は、SW制御部13の制御対象のスイッチのノード名と、パケットの一致条件と、該一致条件を満たすパケットに対する処理内容とを組にして格納する。SW制御部13は、経路制御DB130に基づいて、制御対象のスイッチを制御する。経路制御DB130の形式として、例えばオープンフロー(OpenFlow)が挙げられる。
図3は、構成管理DB150の構成例を示す図である。構成管理DB150は、中間SW40のポート名と、該ポート名のポートの接続先の装置のノード名と、該接続先の装置のIPアドレスと、該接続先の装置の冗長装置のノード名と、該冗長装置の冗長分担とを組にして格納する。構成管理部15は、構成管理DB150に基づいて、中間SW40に接続される装置構成の情報を取得する。
図4は、送信元アドレスDB120の構成例を示す図である。送信元アドレスDB120は、2種類のデータベースを有する。図4(1)に示される送信元アドレスDB120は、中継装置60から中間SW40に入力されるトラフィックの送信元IPアドレスおよび宛先IPアドレスを格納する。図4(2)に示される送信元アドレスDB120は、図(1)に示される送信元アドレスDB120に格納される送信元IPアドレスをサブネットごとにまとめたものである。図4(2)に示される送信元アドレスDB120は、サブネットごとの送信元IPアドレスと、該サブネットに含まれる送信元IPアドレスの個数と、該サブネットに含まれる送信元IPアドレスのトラフィックが経由するアプライアンス装置の識別子とを組にして格納する。
次に、図5〜図13を参照して、図1に示すトラフィック分析システム1の動作を説明する。図5〜図8は、本実施形態に係るトラフィック分析処理の手順を示すシーケンスチャートである。図9〜図13は、本実施形態に係るトラフィック分析処理を説明するための図である。
図9には、通常時のトラフィックの流れが示されている。通常時には、トラフィックは、一方の中継装置60から中間SW40へ入力され、中間SW40によってアプライアンス装置51へ転送され、アプライアンス装置51から中間SW40へ転送され、中間SW40によってもう一方の中継装置60へ転送される。この通常時には、トラフィック分析装置20に対して、トラフィックは入力されない。
また、通常時には、中間SW40は、新規通過パケットのヘッダ情報を装置監視部11へ送信する。装置監視部11は、その新規通過パケットのヘッダ情報を送信元アドレス管理部12へ渡す。送信元アドレス管理部12は、その新規通過パケットのヘッダ情報に含まれるアドレス情報と、経路制御DB130および構成管理DB150の情報とに基づいて、送信元アドレスDB120を更新する。
(ステップS1)アプライアンス装置51が、装置監視部11に対して、アラームを送信する。例えば、アプライアンス装置51に所定以上の処理負荷が発生した時に、アラームが送信される。処理負荷としては、例えば、アプライアンス装置51に入力されるトラフィック量、アプライアンス装置51のCPU使用率などが挙げられる。
(ステップS2、S3、S4)装置監視部11は、アプライアンス装置51からアラームを受信すると、該アラームをSW制御部13へ伝達する。
(ステップS5)SW制御部13は、装置監視部11からアラームを受信すると、送信元アドレス管理部12に対して、アドレス分割を依頼する。
(ステップS6)送信元アドレス管理部12は、SW制御部13からのアドレス分割の依頼に応じて、送信元アドレスの分割を行う。この送信元アドレスの分割では、送信元アドレスDB120に格納されている送信元IPアドレスのうち、アプライアンス装置51を経由しているトラフィックの送信元IPアドレスを、所定の分割数に所定の割合で分割する。その分割数および分割の割合は、任意に設定可能とする。ここでは、所定の分割数は2であり、均等に分割するとする。
(ステップS7、S8)送信元アドレス管理部12は、送信元アドレスの分割結果をSW制御部13へ送信する。
(ステップS9、S10)SW制御部13は、送信元アドレス管理部12から受信した送信元アドレスの分割結果に基づいて、中間SW40に対し、アプライアンス装置51を経由しているトラフィックの一部(部分トラフィック)を、アプライアンス装置52を経由するように変更させる指示を行う。ここでは、アプライアンス装置51を経由しているトラフィックの半分が部分トラフィックとなる。
(ステップS11、S12)中間SW40は、SW制御部13からの指示に従って、部分トラフィックをアプライアンス装置52経由に変更する。これにより、図10に示されるように、中継装置60から中間SW40に入力されるトラフィックのうち、半分はアプライアンス装置51経由の経路rt1を流れ、もう半分(部分トラフィック)はアプライアンス装置52経由の経路rt2を流れるようになる。次いで、中間SW40は、該スイッチ制御の完了をSW制御部13へ通知する。
(ステップS13、S14)SW制御部13は、中間SW40の制御結果を送信元アドレス管理部12へ通知する。
(ステップS15、S16)送信元アドレス管理部12は、SW制御部13から受信した中間SW40の制御結果に基づいて、送信元アドレスDB120を更新する。次いで、送信元アドレス管理部12は、該更新の完了をSW制御部13へ通知する。
(ステップS17)SW制御部13は、装置監視部11に対して、アプライアンス装置51、52の監視を依頼する。
(ステップS18)装置監視部11は、SW制御部13からの依頼に応じて、アプライアンス装置51、52の監視を開始する。この監視では、アラームの情報に基づいて監視項目を特化させてもよい。例えば、CPUに関するアラームであればCPUの監視を行う、または、トラフィックに関するアラームであればトラフィックの監視を行うなどが挙げられる。
(ステップS19、S20)アプライアンス装置51、52は、装置監視部11からの監視要求に応じて、監視情報を装置監視部11へ送信する。
(ステップS21)装置監視部11は、アプライアンス装置51、52から受信した監視情報に基づいて、アプライアンス装置51、52の処理負荷を判定する。この判定では、アプライアンス装置51、52の中に所定以上の処理負荷であるものがあるか否かを判定する。
ステップS21の判定の結果、所定以上の処理負荷であるものがない、つまり全てのアプライアンス装置51、52が所定未満の処理負荷(低負荷)である場合には処理を終了する。この場合、アプライアンス装置51へのトラフィックの集中がアラームの原因と考えられ、特にトラフィック自体に原因があるわけではないので、トラフィック分析装置20によるトラフィック分析は実施しない。
一方、ステップS21の判定の結果、アプライアンス装置51、52の中に所定以上の処理負荷(高負荷)であるものがある場合には、ステップS22に進む。
図11は、アプライアンス装置51、52の処理負荷の判定方法を説明するための図である。ここでは、処理負荷としてCPU使用率を用い、所定のCPU使用率の閾値は80%であるとする。なお、図11中のCPU使用率および所定のCPU使用率の閾値は説明の便宜上の値である。また、図11にはアプライアンス装置(ア01)51−1とアプライアンス装置(ア02)52−1を例示している。
図11(1)の例では、アプライアンス装置(ア01)51−1とアプライアンス装置(ア02)52−1の2台にトラフィックを分散させた結果、アプライアンス装置(ア01)51−1とアプライアンス装置(ア02)52−1の両方ともに、CPU使用率は80%未満(低負荷)となっている。このため、特にトラフィック分析は実施しない。
一方、図11(2)、(3)の例では、アプライアンス装置(ア01)51−1とアプライアンス装置(ア02)52−1の2台にトラフィックを分散させた結果でも、アプライアンス装置(ア01)51−1とアプライアンス装置(ア02)52−1の中に、CPU使用率が80%以上(高負荷)のものがある。このため、高負荷のアプライアンス装置に入力されているトラフィックについては、トラフィック自体にアラームの原因がある可能性がある。
(ステップS22、S23)装置監視部11は、アプライアンス装置51、52の中で高負荷のアプライアンス装置の情報(アプライアンス情報)をSW制御部13へ通知する。
(ステップS24、S25)SW制御部13は、装置監視部11から受信したアプライアンス情報に基づいて、中間SW40に対し、高負荷のアプライアンス装置に入力されているトラフィックを、トラフィック分析装置20およびダミーサーバ装置30の両方へそれぞれミラーリングさせる指示を行う。
(ステップS26、S27)中間SW40は、SW制御部13からの指示に従って、高負荷のアプライアンス装置に入力されているトラフィックを、トラフィック分析装置20およびダミーサーバ装置30の両方へそれぞれミラーリングさせる。これにより、図12に示されるように、中継装置60から中間SW40に入力されるトラフィックのうち、高負荷のアプライアンス装置に入力されているトラフィックが、経路cp1でトラフィック分析装置20へミラーリングされ、また、経路cp2でダミーサーバ装置30へミラーリングされる。これ以降、トラフィック分析装置20は、中間SW40から入力されたトラフィックを対象にしてトラフィック分析を行う。次いで、中間SW40は、該スイッチ制御の完了をSW制御部13へ通知する。
(ステップS28、S29)SW制御部13は、中間SW40の制御結果を送信元アドレス管理部12へ通知する。
(ステップS30、S31)送信元アドレス管理部12は、SW制御部13から受信した中間SW40の制御結果に基づいて、送信元アドレスDB120を更新する。次いで、送信元アドレス管理部12は、該更新の完了をSW制御部13へ通知する。
(ステップS32、S33)SW制御部13は、仮想マシン作成制御部14に対して、アプライアンス装置51、52の仮想マシンの作成を依頼する。この作成依頼の仮想マシンは、アプライアンス装置51、52と同じ機能の装置パラメータを有するものである。
(ステップS34、S35)仮想マシン作成制御部14は、ダミーサーバ装置30に対して、アプライアンス装置51、52の仮想マシンを複数作成させる。この作成させる仮想マシンの数は、任意に設定可能である。例えば、事前に仮想マシンの作成数を決めておいてもよく、または、作成可能な最大数まで仮想マシンを作成してもよい。ここでは、3台の仮想マシンを作成させるとする。
(ステップS36、S37)ダミーサーバ装置30は、仮想マシンを作成し、仮想マシンの作成完了を仮想マシン作成制御部14へ通知する。
(ステップS38、S39)仮想マシン作成制御部14は、仮想マシン作成依頼の完了をSW制御部13へ通知する。ここで、SW制御部13は、作成された仮想マシンの構成情報を構成管理部15へ通知し、構成管理DB150を更新させる。
(ステップS40)SW制御部13は、送信元アドレス管理部12に対して、アドレス分割を依頼する。このアドレス分割の依頼では、作成された仮想マシンの数分に、ミラーリングしているトラフィックを分けるように、送信元アドレスを分割させる。その分割の割合は、任意に設定可能とする。ここでは、均等に分割するとする。
(ステップS41)送信元アドレス管理部12は、SW制御部13からのアドレス分割の依頼に応じて、送信元アドレスの分割を行う。この送信元アドレスの分割では、送信元アドレスDB120に格納されている送信元IPアドレスのうち、ミラーリングしているトラフィックの送信元IPアドレスを、仮想マシンの数分に均等に分ける。
(ステップS42、S43)送信元アドレス管理部12は、送信元アドレスの分割結果をSW制御部13へ送信する。
(ステップS44、S45)SW制御部13は、送信元アドレス管理部12から受信した送信元アドレスの分割結果に基づいて、仮想SW300に対し、ミラーリングしているトラフィックを各仮想マシンに分配させる指示を行う。
(ステップS46、S47)仮想SW300は、SW制御部13からの指示に従って、ミラーリングにより入力されているトラフィック(ミラーリングトラフィック)を各仮想マシンに分配する。次いで、仮想SW300、該スイッチ制御の完了をSW制御部13へ通知する。
図13は、各仮想マシンへの分配を説明するための図である。図13において、3台の仮想マシン(VM)310−1、2、3が作成されている。仮想SW300は、SW制御部13からの指示に従って、ミラーリングトラフィックを3台の仮想マシン310−1、2、3に分配する。ここでは、各仮想マシン310−1、2、3に対して、均等にミラーリングトラフィックの1/3ずつが各経路rt11、rt12、rt13で入力される。
(ステップS48、S49)SW制御部13は、仮想SW300の制御結果を送信元アドレス管理部12へ通知する。
(ステップS50、S51)送信元アドレス管理部12は、SW制御部13から受信した仮想SW300の制御結果に基づいて、送信元アドレスDB120を更新する。次いで、送信元アドレス管理部12は、該更新の完了をSW制御部13へ通知する。
(ステップS52)SW制御部13は、装置監視部11に対して、仮想マシン310−1、2、3の監視を依頼する。
(ステップS53)装置監視部11は、SW制御部13からの依頼に応じて、仮想マシン310−1、2、3の監視を開始する。この監視では、アラームの情報に基づいて監視項目を特化させてもよい。例えば、CPUに関するアラームであればCPUの監視を行う、または、トラフィックに関するアラームであればトラフィックの監視を行うなどが挙げられる。
(ステップS54、S55)仮想マシン310−1、2、3は、装置監視部11からの監視要求に応じて、監視情報を装置監視部11へ送信する。
(ステップS56)装置監視部11は、仮想マシン310−1、2、3から受信した監視情報に基づいて、仮想マシン310−1、2、3の処理負荷を判定する。この判定では、仮想マシン310−1、2、3の中に所定未満の処理負荷であるものがあるか否かを判定する。この判定の結果、所定未満の処理負荷(低負荷)であるものがある場合には、ステップS60に進む。一方、低負荷であるものがない場合には、ステップS57に進む。
(ステップS57、S58)装置監視部11は、仮想マシン310−1、2、3の中に低負荷であるものがない旨をSW制御部13へ通知する。
(ステップS59)SW制御部13は、仮想マシン作成制御部14に対して、仮想マシンの追加の作成を依頼する。この仮想マシンの追加の作成の理由は、現状の3台の仮想マシン310−1、2、3へのトラフィック分配では、仮想マシン310−1、2、3の処理負荷に顕著な差がでないので、仮想マシンを追加してトラフィックの分配数を増やすことにより、処理負荷の増加とは無関係のトラフィックを発見しやすくするためである。この後、ステップS33へ戻る。
(ステップS60、S61)装置監視部11は、仮想マシン310−1、2、3の中で低負荷の仮想マシンの情報(仮想マシン情報)をSW制御部13へ通知する。
(ステップS62、S63)SW制御部13は、装置監視部11から受信した仮想マシン情報に基づいて、中間SW40に対し、低負荷の仮想マシンに入力されているトラフィックを、トラフィック分析装置20およびダミーサーバ装置30へミラーリングすることの停止を指示する。
(ステップS64、S65)中間SW40は、SW制御部13からの指示に従って、低負荷の仮想マシンに入力されているトラフィックを、トラフィック分析装置20およびダミーサーバ装置30へミラーリングすることを停止する。これにより、トラフィック分析装置20のトラフィック分析の対象のトラフィックが当該ミラーリング停止分だけ減るので、トラフィック分析装置20の負荷が軽くなる。次いで、中間SW40は、該スイッチ制御の完了をSW制御部13へ通知する。
(ステップS66、S67)SW制御部13は、中間SW40の制御結果を送信元アドレス管理部12へ通知する。
(ステップS68、S69)送信元アドレス管理部12は、SW制御部13から受信した中間SW40の制御結果に基づいて、送信元アドレスDB120を更新する。次いで、送信元アドレス管理部12は、該更新の完了をSW制御部13へ通知する。
(ステップS70)SW制御部13は、トラフィック分析装置20から分析完了の通知を受信したかを確認する。この結果、トラフィック分析装置20から分析完了の通知を受信した場合には、ステップS71に進む。一方、トラフィック分析装置20から分析完了の通知を受信していない場合には、ステップS40に戻り、送信元アドレス管理部12へアドレス分割の依頼を行う。このアドレス分割の依頼では、仮想マシン310−1、2、3に分配しているトラフィックの分配の仕方を変更(送信元アドレスの分割のやり直し)することにより、処理負荷の増加とは無関係のトラフィックの発見を試みる。
(ステップS71)SW制御部13は終了処理を行う。この終了処理として、トラフィック分析装置20から受けたトラフィック転送に係る指示の実行、ミラーリングの停止、監視の停止、仮想マシンの削除、データベースの更新などが挙げられる。
次に、図14から図16を参照して、本実施形態に係る送信元アドレス分割処理を説明する。図14から図16は、本実施形態に係る送信元アドレス分割処理の説明図である。図14において、送信元アドレス群ad1、ad2がアプライアンス装置(ア01)51−1を経由しているトラフィックの送信元IPアドレスである。ここでは、該送信元アドレス群ad1、ad2を3等分する。また、分割割合の誤差は±10%まで許容する。
(1)まず、送信元アドレス分割の対象のアプライアンス装置(ア01)51−1を経由するトラフィックの送信元IPアドレスの数を合算する。この結果、合算値は133である。
(2)次いで、分割数「3」で合算値「133」を割る。この結果、商は44.333・・・となる。
(3)次いで、分割後の各アドレス数が商の±10%になるまで、送信元アドレス群ad1、ad2の等分を繰り返す。つまり、分割後の3つのアドレス群の各アドレス数が40から48までの範囲になるように、送信元アドレス群ad1、ad2を3つに分ける。
(4)この結果、図14に例示される3つの送信元アドレス群A、B、Cが作成される。
次に、図15において、送信元アドレス群Aのトラフィックは仮想マシン310−1に分配され、送信元アドレス群Bのトラフィックは仮想マシン310−2に分配され、送信元アドレス群Cのトラフィックは仮想マシン310−3に分配されている。ここでは、送信元アドレス群A、B、Cに含まれる送信元IPアドレスのうち、図15中の下線の送信元IPアドレス群がアラームの原因のトラフィックのものとする。そして、該アラームの原因のトラフィックが含まれていない送信元アドレス群Bのトラフィックが分配されている仮想マシン310−2のみが低負荷となっている。このため、送信元アドレス群Bのトラフィックについては、トラフィック分析装置20およびダミーサーバ装置30へのミラーリングを停止する。そして、高負荷の仮想マシン310−1、3に分配されている送信元アドレス群A、Cのトラフィックについては、アドレス分割の再計算を行い、3台の仮想マシン310−1、2、3へ3等分して分配することを行う。これにより、処理負荷の増加とは無関係のトラフィックの発見を試みる。
次に、図16において、送信元アドレス群A、Cに対するアドレス分割の再計算の結果、図16中に示される送信元アドレス群D,E,Fが作成されている。送信元アドレス群Dのトラフィックは仮想マシン310−1に分配され、送信元アドレス群Eのトラフィックは仮想マシン310−2に分配され、送信元アドレス群Fのトラフィックは仮想マシン310−3に分配されている。そして、アラームの原因のトラフィックが含まれていない送信元アドレス群Eのトラフィックが分配されている仮想マシン310−2のみが低負荷となっている。このため、送信元アドレス群Eのトラフィックについては、トラフィック分析装置20およびダミーサーバ装置30へのミラーリングを停止する。そして、高負荷の仮想マシン310−1、3に分配されている送信元アドレス群D、Fのトラフィックについては、アドレス分割の再計算を行い、3台の仮想マシン310−1、2、3へ3等分して分配することを行う。これにより、処理負荷の増加とは無関係のトラフィックの発見を試みる。
上述した第1実施形態では、アプライアンス装置52および仮想マシン310−1、2、3がアプライアンス装置51の代替装置に対応する。
[第2実施形態]
第2実施形態は第1実施形態の変形例である。図17は、本発明の第2実施形態に係るトラフィック分析システム1の構成を示すブロック図である。図17において、図1の各部に対応する部分には同一の符号を付している。図17に示す第2実施形態において、図1に示す第1実施形態と異なる点は、アプライアンス装置を仮想マシンで作成する点である。以下、第1実施形態と異なる点を説明する。
図17において、トラフィック分析システム1は、仮想アプライアンスサーバ装置70を有する。仮想アプライアンスサーバ装置70は、仮想マシン基盤としての機能を有し、仮想マシンの作成を行う。仮想アプライアンスサーバ装置70は、仮想マシンにより作成された、仮想アプライアンス装置(ア01、イ01、ウ01)71−1、2、3および仮想アプライアンス装置(ア02、イ02、ウ02)72−1、2、3、並びに仮想SW73を有する。
仮想アプライアンス装置(ア01、イ01、ウ01)71−1、2、3および仮想アプライアンス装置(ア02、イ02、ウ02)72−1、2、3は、図1に示す第1実施形態のアプライアンス装置(ア01、イ01、ウ01)51−1、2、3およびアプライアンス装置(ア02、イ02、ウ02)52−1、2、3に対応する。
仮想アプライアンスサーバ装置70は、仮想マシン作成制御部14からの制御により、図13に示される仮想マシン310−1、2、3を作成する。そして、仮想SW73は図1に示す第1実施形態の仮想SW300に対応する。
上述した第2実施形態では、仮想アプライアンス装置72および仮想マシン310−1、2、3が仮想アプライアンス装置71の代替装置に対応する。
[第3実施形態]
第3実施形態は第1実施形態の変形例である。図18は、本発明の第3実施形態に係るトラフィック分析システム1の構成を示すブロック図である。図18において、図1の各部に対応する部分には同一の符号を付している。図18に示す第3実施形態において、図1に示す第1実施形態と異なる点は、アプライアンス装置および中間SWを仮想マシンで作成する点である。以下、第1実施形態と異なる点を説明する。
図18において、トラフィック分析システム1は、仮想アプライアンス・中継サーバ装置80を有する。仮想アプライアンス・中継サーバ装置80は、仮想マシン基盤としての機能を有し、仮想マシンの作成を行う。仮想アプライアンス・中継サーバ装置80は、仮想マシンにより作成された、仮想アプライアンス装置(ア01、イ01、ウ01)81−1、2、3および仮想アプライアンス装置(ア02、イ02、ウ02)82−1、2、3、並びに仮想SW83を有する。
仮想アプライアンス装置(ア01、イ01、ウ01)81−1、2、3および仮想アプライアンス装置(ア02、イ02、ウ02)82−1、2、3は、図1に示す第1実施形態のアプライアンス装置(ア01、イ01、ウ01)51−1、2、3およびアプライアンス装置(ア02、イ02、ウ02)52−1、2、3に対応する。
仮想アプライアンス・中継サーバ装置80は、仮想マシン作成制御部14からの制御により、図13に示される仮想マシン310−1、2、3を作成する。仮想SW83は、図1に示す第1実施形態の中間SW40および仮想SW300に対応する。
上述した第3実施形態では、仮想アプライアンス装置82および仮想マシン310−1、2、3が仮想アプライアンス装置81の代替装置に対応する。
[第4実施形態]
図19は、本発明の第4実施形態に係るトラフィック分析システム1の構成を示すブロック図である。図19において、図1の各部に対応する部分には同一の符号を付している。図19に示す第4実施形態において、図1に示す第1実施形態と異なる点は、ダミーサーバ装置を使用しない点である。以下、第1実施形態と異なる点を説明する。
第1実施形態では、図13に示されるように、アプライアンス装置51の代替装置として仮想マシン310−1、2、3を作成し、該仮想マシン310−1、2、3に対して、中継装置60から中間SW40に入力されるトラフィックのうち、高負荷のアプライアンス装置に入力されているトラフィック(アラームの原因を含むと判定されたトラフィック)を分配した。そして、装置監視部11が該仮想マシン310−1、2、3を監視した。
本第4実施形態では、アプライアンス装置51の代替装置として、アプライアンス装置51の冗長装置であるアプライアンス装置52を使用する。そして、第1実施形態の仮想マシン310−1、2、3に対するトラフィックの分配と同様に、中継装置60から中間SW40に入力されるトラフィックのうち、高負荷のアプライアンス装置に入力されているトラフィックを、中間SW40によって、各アプライアンス装置(ア02、イ02、ウ02)52−1、2、3に分配する。そして、装置監視部11が、該アプライアンス装置(ア02、イ02、ウ02)52−1、2、3を監視する。これにより、第4実施形態によれば、ダミーサーバ装置30および仮想マシン作成制御部14は不要となる。
上述した第4実施形態では、アプライアンス装置52がアプライアンス装置51の代替装置に対応する。
上述した実施形態によれば、トラフィック分析装置20に入力するトラフィックを、アラームの原因を含むと判定されたトラフィックに絞り込むことができる。これにより、トラフィック分析装置20の負荷を適切に軽減することができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
なお、本発明は、様々なトラフィックの分析に適用可能である。例えば、ネットワーク機器等に対する攻撃を検知するために行われるトラフィック分析に適用可能である。ネットワーク機器等に対する攻撃として、例えばDoS(Denial of Service attack)やDDoS(Distributed Denial of Service attack)などが挙げられる。
また、上述したトラフィック分析システム1を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…トラフィック分析システム、10…制御部、11…装置監視部、12…送信元アドレス管理部、13…スイッチ(SW)制御部、14…仮想マシン作成制御部、15…構成管理部、20…トラフィック分析装置、30…ダミーサーバ装置、40…中間スイッチ(中間SW)、51,52…アプライアンス装置、60…中継装置、70…仮想アプライアンスサーバ装置、71,72,81,82…仮想アプライアンス装置、80…仮想アプライアンス・中継サーバ装置、120…送信元アドレスデータベース(送信元アドレスDB)、130…経路制御データベース(経路制御DB)、150…構成管理データベース(構成管理DB)、73,83,300…仮想スイッチ(仮想SW)

Claims (9)

  1. 特定の通信装置で受信されるトラフィックの分析を行うトラフィック分析システムであり、
    前記特定の通信装置の代替装置と、
    前記トラフィックの一部である部分トラフィックを前記代替装置へ送信するスイッチと、
    前記代替装置を監視する装置監視部と、
    前記装置監視部の監視結果に基づいて、前記スイッチに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御部と、を備え、
    前記装置監視部の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中から前記分析の対象にするトラフィックを選択する、
    ことを特徴とするトラフィック分析システム。
  2. 前記スイッチ制御部は、前記スイッチに対し、所定以上の処理負荷を発生させる前記部分トラフィックの中から一部を前記代替装置へ送信させることを特徴とする請求項1に記載のトラフィック分析システム。
  3. 前記代替装置は、複数の前記部分トラフィックの各々に対応して複数設けられることを特徴とする請求項1または2のいずれか1項に記載のトラフィック分析システム。
  4. 前記代替装置は、前記特定の通信装置の冗長装置であることを特徴とする請求項1から3のいずれか1項に記載のトラフィック分析システム。
  5. 前記代替装置は仮想マシンで作成されていることを特徴とする請求項1から3のいずれか1項に記載のトラフィック分析システム。
  6. 前記部分トラフィックに対応する前記代替装置を前記仮想マシンで作成させる仮想マシン作成制御部を備えたことを特徴とする請求項5に記載のトラフィック分析システム。
  7. 前記トラフィックの送信元アドレスの中から、前記部分トラフィックの送信元アドレスを分割する送信元アドレス管理部を備えたことを特徴とする請求項1から6のいずれか1項に記載のトラフィック分析システム。
  8. 特定の通信装置で受信されるトラフィックの分析を行うトラフィック分析方法であり、
    前記トラフィックの一部である部分トラフィックを前記特定の通信装置の代替装置へ送信させるスイッチステップと、
    前記代替装置を監視する装置監視ステップと、
    前記装置監視ステップの監視結果に基づいて、前記スイッチステップに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御ステップと、
    前記装置監視部の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中から前記分析の対象にするトラフィックを選択するステップと、
    を含むことを特徴とするトラフィック分析方法。
  9. 特定の通信装置で受信されるトラフィックの一部である部分トラフィックを前記特定の通信装置の代替装置へ送信させるスイッチステップと、
    前記代替装置の監視結果に基づいて、前記スイッチステップに対し、前記代替装置へ送信する前記部分トラフィックを変更させるスイッチ制御ステップと、
    前記代替装置の監視結果に基づいて、前記特定の通信装置で受信されるトラフィックの中からトラフィック分析の対象にするトラフィックを選択するステップと、
    をコンピュータに実行させるためのコンピュータプログラム。
JP2013179791A 2013-08-30 2013-08-30 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム Active JP6071809B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013179791A JP6071809B2 (ja) 2013-08-30 2013-08-30 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013179791A JP6071809B2 (ja) 2013-08-30 2013-08-30 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2015050555A JP2015050555A (ja) 2015-03-16
JP6071809B2 true JP6071809B2 (ja) 2017-02-01

Family

ID=52700240

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013179791A Active JP6071809B2 (ja) 2013-08-30 2013-08-30 トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6071809B2 (ja)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7213264B2 (en) * 2002-01-31 2007-05-01 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US7743415B2 (en) * 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
US8516104B1 (en) * 2005-12-22 2013-08-20 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting anomalies in aggregated traffic volume data
JP4324189B2 (ja) * 2006-11-01 2009-09-02 日本電信電話株式会社 異常トラヒック検出方法およびその装置およびプログラム
JP2009077136A (ja) * 2007-09-20 2009-04-09 Oki Electric Ind Co Ltd トラヒック情報提供装置、トラヒック情報取得装置、トラヒック情報収集システム、トラヒック情報提供プログラム、トラヒック情報取得プログラム及びトラヒック情報収集方法
US8248928B1 (en) * 2007-10-09 2012-08-21 Foundry Networks, Llc Monitoring server load balancing
JP2011188276A (ja) * 2010-03-09 2011-09-22 Hitachi Ltd トラヒック観測システム
US20120174220A1 (en) * 2010-12-31 2012-07-05 Verisign, Inc. Detecting and mitigating denial of service attacks

Also Published As

Publication number Publication date
JP2015050555A (ja) 2015-03-16

Similar Documents

Publication Publication Date Title
US7843896B2 (en) Multicast control technique using MPLS
US11165879B2 (en) Proxy server failover protection in a content delivery network
US10742556B2 (en) Tactical traffic engineering based on segment routing policies
US9391856B2 (en) End-to-end monitoring and optimization of a content delivery network using anycast routing
US10505804B2 (en) System and method of discovering paths in a network
US8738766B1 (en) End-to-end monitoring and optimization of a content delivery network using anycast routing
US11456956B2 (en) Systems and methods for dynamic connection paths for devices connected to computer networks
US10027712B2 (en) System and method for distributed load balancing with distributed direct server return
US7509424B2 (en) Load-balancing device and computer-readable recording medium in which load-balancing program is recorded
EP2985971A1 (en) Reputation-based instruction processing over an information centric network
US9055076B1 (en) System and method for distributed load balancing with load balancer clients for hosts
US20060262786A1 (en) Inter-domain routing technique using MPLS
EP3148125A1 (en) Setting method, server device and service chain system
KR20120098655A (ko) 서비스 품질(qos) 기반 시스템, 네트워크 및 조언자
US9160648B2 (en) Content-centric network and method of performing routing between domains therefor
CN112822106A (zh) 段路由业务处理方法、装置、源节点及存储介质
US20090150564A1 (en) Per-user bandwidth availability
Kannan et al. Adaptive routing mechanism in SDN to limit congestion
JP5870995B2 (ja) 通信システム、制御装置、計算機、ノードの制御方法およびプログラム
Li et al. Efficient routing for middlebox policy enforcement in software-defined networking
JP6071809B2 (ja) トラフィック分析システム、トラフィック分析方法およびコンピュータプログラム
JP2013004995A (ja) コンテンツ優先転送方法、コンテンツ優先転送プログラムおよびコンテンツ優先転送ゲートウェイ
CN106254576B (zh) 一种报文转发方法及装置
US20230412498A1 (en) Encapsulating network performance metrics in border gateway protocol to support customer-driven path selection
JP3842624B2 (ja) 経路情報収集方法、装置、およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20160128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161227

R150 Certificate of patent or registration of utility model

Ref document number: 6071809

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150