JP7444249B2 - テーブルエントリ数計測装置、方法、およびプログラム - Google Patents
テーブルエントリ数計測装置、方法、およびプログラム Download PDFInfo
- Publication number
- JP7444249B2 JP7444249B2 JP2022527267A JP2022527267A JP7444249B2 JP 7444249 B2 JP7444249 B2 JP 7444249B2 JP 2022527267 A JP2022527267 A JP 2022527267A JP 2022527267 A JP2022527267 A JP 2022527267A JP 7444249 B2 JP7444249 B2 JP 7444249B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- new
- detection
- detected
- received packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 23
- 238000001514 detection method Methods 0.000 claims description 74
- 238000013519 translation Methods 0.000 claims description 54
- 238000012545 processing Methods 0.000 claims description 29
- 238000004891 communication Methods 0.000 claims description 27
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 238000005259 measurement Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
[テーブルエントリ数計測装置]
まず、図1を参照して、本実施の形態にかかるテーブルエントリ数計測装置10について説明する。図1は、テーブルエントリ数計測装置の構成を示すブロック図である。
網I/F11は、通信網NWとの間でパケットを用いたデータ通信を行うように構成されている。
[操作入力装置]
操作入力装置12は、キーボード、マウス、タッチパネルなどの操作入力装置からなり、オペレータの操作を検出して制御装置15へ出力するように構成されている。
[画面表示装置]
画面表示装置13は、LCDなどの画面表示装置からなり、制御装置15から出力されたメニュー画面、設定画面、監視結果画面などの各種画面を表示するように構成されている。
記憶装置14は、ハードディスクや半導体メモリなどの記憶装置からなり、制御装置15で実行する、アドレス変換テーブルのエントリ数計測処理に用いる処理データやプログラム14Pを記憶するように構成されている。
プログラム14Pは、制御装置15のCPUと協働することにより、エントリ数計測処理を実行する各種処理部を実現するためのプログラムである。プログラム14Pは、接続された外部装置や記録媒体から、予め読み出されて記憶装置14に格納される。
制御装置15は、一般的なサーバ装置とFPGA(Field-Programable Gate Array)アクセラレータとの組み合わせから構成されている。FPGAアクセラレータを用いることで高速パケット処理を行えるため、40Gbps(Gigabits per second)や100Gbpsといった高速ネットワークにおけるトラフィック監視にも適用できる。一方、低速ネットワークにおいては高速パケット処理を必要としないため、すべての処理をソフトウェア実装したサーバ単体で構成することもできる。
制御装置15で実現される主な処理部として、パケット受信部15A、ヘッダ解析部15B、新規フロー検出部15C、フロー計数部15D、および初期化部15Eがある。
パケット受信部15Aは、網I/F11を介して通信網NWから、NATやNAPTなどの監視対象となるアドレス変換処理で扱うパケットを受信するように構成されている。パケット受信部15Aで受信するパケットは、テーブルエントリ数計測装置10に向けて送信されたパケットでもよいが、スイッチ、ルータ、ネットワークタップなどのネットワーク機器でコピー(キャプチャ)されたパケットであってもよい。
ヘッダ解析部15Bは、パケット受信部15Aで受信した受信パケットのヘッダから、予め指定されている1つまたは複数のフィールド値を抽出するように構成されている。
フローとは、パケットが属するグループを指し、送信元、送信先を特定するIPアドレスやポート番号などのフィールド値(識別子)が、何らかの共通項を持ったパケットの集合を指している。一般的には、フロー識別の際、MACアドレス、プロトコル、IPアドレス、ポート番号などのフィールド値が用いられる。特に、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルの組み合わせ(5-tuple)が、フロー識別によく利用される。また、仮想化ネットワークではVLAN IDやVXLAN IDなどのフィールド値を用いることもある。
新規フロー検出部15Cは、ヘッダ解析部15Bで得られたフィールド値に基づいて、通信方向を考慮しないフロー識別を行い、得られた識別結果に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出するように構成されている。新規フロー検出部15Cの詳細については後述する。
フロー計数部15Dは、新規フロー検出部15Cで得られた検出結果に基づいて、周期Pごとに新規フローを計数し、得られた計数結果を、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのエントリ数として、画面表示装置13あるいは網I/F11を介して接続された上位装置(図示せず)へ出力するように構成されている。
初期化部15Eは、予め設定されている一定時間長の周期Pを計時し、周期Pの到来に応じて新規フロー検出部15Cおよびフロー計数部15Dに初期化を指示することにより、新規フロー検出部15Cおよびフロー計数部15Dで保持している検出結果や計数結果を初期化(リセット)するように構成されている。
次に、図2を参照して、新規フロー検出部15Cおよびフロー計数部15Dの詳細について説明する。図2は、新規フロー検出部およびフロー計数部の詳細を示すブロック図である。
新規フロー検出部15Cは、新規フロー検出処理を実行する処理部として、フロー識別部21、フロー記憶部22、新規フロー判定部23を備えている。また、フロー計数部15Dは、新規フロー計数処理を実行する処理部として、フローカウンタ24を備えている。
フロー識別部21は、ヘッダ解析部15Bで得られた解析結果に含まれるフィールド値に基づいて、受信パケットが属するフローを識別し、得られた識別結果に基づいて、フロー記憶部22のアクセス先アドレスを決定するように構成されている。
フロー記憶部22は、予め登録されているフローごとに、検出の有無を示す二値データ(0、1)からなる検出フラグを保持し、フロー識別部21で得られたアクセス先アドレスへのアクセスに応じて、対応する検出フラグを新規フロー判定部23へ出力し、新規フロー判定部23からの指示に応じて検出フラグを更新し、初期化部15Eからの初期化指示に応じて全フローの検出フラグを「0」に初期化するように構成されている。
新規フロー判定部23は、フロー記憶部22から出力された検出フラグに基づいて、受信パケットが属するフローが、周期Pにおいて始めて検出された新規フローか否かを判定し、検出フラグが「0」を示しており新規フローである判定した場合にのみ、フローカウンタ24に対して、カウント値のインクリメントを指示するとともに、フロー記憶部22の検出フラグを「1」に更新するように構成されている。これにより、検出フラグが「1」を示しており新規フローではないと判定した場合には、フローカウンタ24に対するインクリメント指示および検出フラグの更新は行われない。
フローカウンタ24は、新規フロー判定部23からのインクリメント指示に応じてカウント値をインクリメント(+1)し、初期化部15Eからの初期化指示に応じてカウント値を「0」に初期化するように構成されている。
次に、本実施の形態にかかるテーブルエントリ数計測装置10の動作について説明する。ここでは、新規フロー検出部15Cにおける新規フロー判定動作、フロー計数部15Dにおける新規フロー計数動作、制御装置15におけるエントリ数計測例およびエントリ数計測動作について、それぞれ個別に説明する。
まず、図3を参照して、新規フロー検出部15Cにおける新規フロー判定動作について説明する。図3は、新規フロー判定動作を示す説明図である。
まず、フロー識別部21によりアクセス先アドレスが決定されて、フロー記憶部22がアクセスされると、アクセス先アドレスに保持された検出フラグが新規フロー判定部23に出力される。
次に、図4を参照して、フロー計数部15Dにおける新規フロー計数動作について説明する。図4は、新規フロー計数動作を示す説明図であり、横軸が時間を示し、縦軸がカウント値を示している。
フロー計数部15Dは、新規フロー検出部15Cからインクリメント指示が出力された場合、フローカウンタ24のカウント値をインクリメント(+1)する。また、初期化部15Eから初期化指示があった場合、フローカウンタ24のカウント値を「0」にリセットする。
次に、図5を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測例について説明する。図5は、エントリ数計測例を示すタイミングチャートである。
以下では、制御装置15が、通信方向を区別しないフロー識別を行うものとし、周期Pは、監視対象となるアドレス変換処理で用いるアドレス変換テーブルのタイムアウト時間と同じ長さとする。
次に、図6を参照して、制御装置15におけるアドレス変換テーブルのエントリ数計測動作について説明する。図6は、エントリ数計測処理を示すフローチャートである。
制御装置15は、まず、予め設定されている一定時間長の周期Pが到来したか確認し(ステップS100)、周期Pが到来しておらず計数区間中である場合(ステップS100:YES)、後述のステップS103へ移行する。
制御装置15は、ステップS103において、パケット受信部15Aで新たなパケットが受信されているか確認し(ステップS103)、新たなパケットが受信されていない場合(ステップS103:NO)、前述したステップS100へ戻る。
次に、制御装置15は、フロー識別部21で得られたアクセス先アドレスに基づきフロー記憶部22をアクセスすることにより、フロー記憶部22から、受信パケットが属するフローに関する検出フラグを取得する(ステップS112)。
この後、制御装置15は、操作入力装置12で検出されたオペレータ操作や、予め設定されている計数動作終了時刻などに基づいて、計数動作終了タイミングか否か確認し(ステップS116)、計数動作を継続する場合(ステップS116:NO)、前述したステップS100に戻る。また、計数動作終了タイミングである場合(ステップS116:YES)、一連のエントリ数計測処理を終了する。
このように、本実施の形態は、制御装置15において、新規フロー検出部15Cが、ヘッダ解析部15Bで取得したフィールド値に基づいて、受信パケットが属するフローのうちから、一定時間長の周期P内で新規に検出した新規フローを検出し、フロー計数部15Dが、新規フロー検出部15Cで検出された新規フローのフロー数を周期Pごとに計数するようにしたものである。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。
Claims (4)
- 通信網との間でパケットを用いたデータ通信を行う網I/Fと、
前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備え、
前記制御装置は、
前記受信パケットのヘッダから予め設定されているフィールド値を取得するように構成されたヘッダ解析部と、
前記ヘッダ解析部で取得したフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するように構成された新規フロー検出部と、
前記新規フロー検出部で検出された前記新規フローのフロー数を前記周期ごとに計数するように構成されたフロー計数部とを備え、
前記新規フロー検出部は、
前記ヘッダ解析部で取得したフィールド値に基づいて前記受信パケットが属するフローを識別するように構成されたフロー識別部と、
前記周期ごとに、当該周期内に検出されたフローに関する検出状況を記憶するように構成されたフロー記憶部と、
前記フロー記憶部で記憶する前記検出状況に基づいて、前記フロー識別部で識別した前記受信パケットが属するフローが、前記新規フローであるか否かを判定する新規フロー判定部と
を備え
前記フロー記憶部は、前記検出状況として、前記フローに対応付けられたアドレスごとに、前記周期内に当該フローの検出有無を示す検出フラグを記憶し、
前記フロー識別部は、前記受信パケットのフィールド値のハッシュ値に基づいて前記受信パケットが属するフローと対応するアドレスを決定し、
前記新規フロー判定部は、前記フロー識別部で決定した前記アドレスに基づき前記フロー記憶部から取得した前記検出フラグが検出なしを示す場合、前記フローが新規フローであると判定して、前記フロー記憶部の前記検出フラグを検出ありに更新する
ことを特徴とするテーブルエントリ数計測装置。 - 請求項1に記載のテーブルエントリ数計測装置において、
前記制御装置は、前記周期ごとに、前記新規フロー検出部の検出状況と前記フロー計数部のフロー数を初期化する初期化部をさらに備えることを特徴とするテーブルエントリ数計測装置。 - 通信網との間でパケットを用いたデータ通信を行う網I/Fと、前記網I/Fを介して前記通信網から、ネットワーク機器でのアドレス変換処理の対象となるパケットを受信し、得られた受信パケットに基づき検出した新規フローを計数することにより、前記ネットワーク機器で用いるアドレス変換テーブルのエントリ数を計測する制御装置とを備えるテーブルエントリ数計測装置で用いられるテーブルエントリ数計測方法であって、
前記制御装置が、
前記受信パケットのヘッダから予め設定されているフィールド値を取得するステップと、
前記取得されたフィールド値に基づいて、前記受信パケットが属するフローのうちから、一定時間長の周期内で新規に検出した新規フローを検出するステップと、
前記検出された前記新規フローのフロー数を前記周期ごとに計数するステップと
を実行し、
前記新規フローを検出するステップは、
前記取得されたフィールド値に基づいて前記受信パケットが属するフローを識別するように構成されたフロー識別ステップと、
前記周期ごとに、当該周期内に検出されたフローに関する検出状況を記憶するように構成されたフロー記憶ステップと、
前記フロー記憶ステップで記憶する前記検出状況に基づいて、前記フロー識別ステップで識別した前記受信パケットが属するフローが、前記新規フローであるか否かを判定する新規フロー判定ステップと
を備え
前記フロー記憶ステップは、前記検出状況として、前記フローに対応付けられたアドレスごとに、前記周期内に当該フローの検出有無を示す検出フラグを記憶し、
前記フロー識別ステップは、前記受信パケットのフィールド値のハッシュ値に基づいて前記受信パケットが属するフローと対応するアドレスを決定し、
前記新規フロー判定ステップは、前記フロー識別ステップで決定した前記アドレスに基づき前記フロー記憶ステップで取得した前記検出フラグが検出なしを示す場合、前記フローが新規フローであると判定して、前記検出フラグを検出ありに更新する
ことを特徴とするテーブルエントリ数計測方法。 - コンピュータを、請求項1または請求項2に記載のテーブルエントリ数計測装置を構成する各部として機能させるためのテーブルエントリ数計測プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2020/020498 WO2021240585A1 (ja) | 2020-05-25 | 2020-05-25 | テーブルエントリ数計測装置、方法、およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2021240585A1 JPWO2021240585A1 (ja) | 2021-12-02 |
JP7444249B2 true JP7444249B2 (ja) | 2024-03-06 |
Family
ID=78723139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022527267A Active JP7444249B2 (ja) | 2020-05-25 | 2020-05-25 | テーブルエントリ数計測装置、方法、およびプログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7444249B2 (ja) |
WO (1) | WO2021240585A1 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013017055A (ja) | 2011-07-04 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 同時フロー数変動量推定方法及び装置 |
-
2020
- 2020-05-25 WO PCT/JP2020/020498 patent/WO2021240585A1/ja active Application Filing
- 2020-05-25 JP JP2022527267A patent/JP7444249B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013017055A (ja) | 2011-07-04 | 2013-01-24 | Nippon Telegr & Teleph Corp <Ntt> | 同時フロー数変動量推定方法及び装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2021240585A1 (ja) | 2021-12-02 |
JPWO2021240585A1 (ja) | 2021-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2562438C2 (ru) | Сетевая система и способ управления сетью | |
US9094309B2 (en) | Detecting transparent network communication interception appliances | |
US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
DK2869495T3 (en) | Node de-duplication in a network monitoring system | |
US20150249666A1 (en) | Communication device and communication control method in communication device | |
US11528252B2 (en) | Network device identification with randomized media access control identifiers | |
WO2019159833A1 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
US11245712B2 (en) | Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code | |
JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
JP7444249B2 (ja) | テーブルエントリ数計測装置、方法、およびプログラム | |
CN113098776B (zh) | 一种网络拓扑的确定方法、装置、设备及存储介质 | |
JP2016092485A (ja) | 情報処理システム、管理装置及び情報処理システムの制御方法 | |
KR101984478B1 (ko) | Sdn 기반의 동적 네트워크 트래픽 분석을 통한 데이터 전송 경로 결정 방법 및 장치 | |
KR20110067871A (ko) | Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법 | |
Manzanares‐Lopez et al. | A virtualized infrastructure to offer network mapping functionality in SDN networks | |
KR100920528B1 (ko) | Arp 스푸핑 탐지 및 방어 방법 및 그에 따른 시스템 | |
JP7120030B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
KR101940482B1 (ko) | Tcp/ip 헤더 및 http 쿠키에 기반한 nat 내부 호스트 식별 장치 및 방법 | |
KR100550012B1 (ko) | 고속의 패킷 포워딩을 위한 주소 번역 프로토콜 테이블관리방법 및 관리장치 | |
JP7164140B2 (ja) | 通信解析装置、通信解析方法およびプログラム | |
KR102089417B1 (ko) | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 | |
JP7414149B2 (ja) | コネクション数計測装置、方法、およびプログラム | |
WO2021240586A1 (ja) | コネクション数計測装置、コネクション状態検出装置、コネクション状態検出方法、およびコネクション数計測プログラム | |
JP2018110359A (ja) | 仮想マシン管理プログラム、仮想マシン管理装置および仮想マシン管理方法 | |
Wang et al. | A Survey on the Classic Active Measurement Methods for IPv6 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220825 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231023 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7444249 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |