JP7447910B2 - 送信制御装置、送信制御方法、および、送信制御プログラム - Google Patents
送信制御装置、送信制御方法、および、送信制御プログラム Download PDFInfo
- Publication number
- JP7447910B2 JP7447910B2 JP2021553973A JP2021553973A JP7447910B2 JP 7447910 B2 JP7447910 B2 JP 7447910B2 JP 2021553973 A JP2021553973 A JP 2021553973A JP 2021553973 A JP2021553973 A JP 2021553973A JP 7447910 B2 JP7447910 B2 JP 7447910B2
- Authority
- JP
- Japan
- Prior art keywords
- flow
- information
- xflow
- rate
- collector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims description 109
- 238000000034 method Methods 0.000 title claims description 60
- 230000006870 function Effects 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 7
- 230000006854 communication Effects 0.000 description 7
- 230000007423 decrease Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000010365 information processing Effects 0.000 description 5
- 230000001174 ascending effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、送信制御装置、送信制御方法、および、送信制御プログラムに関する。
ネットワークの監視やトラヒックの傾向分析のため、ネットワーク装置が、対象となるフローのパケットのサンプリングを行い、サンプリングしたパケットのヘッダ情報からフローの統計情報等を作成し、フローコレクタ(以下、適宜、コレクタと略す)に送信したり、サンプリングしたパケットのヘッダ部分そのものをコレクタに送信したりする技術がある。そして、コレクタは、ネットワーク装置から受信したフローの情報に基づき、当該フローのトラヒックの傾向分析等を行う。
NetFlow(RFC3954)、[2019年10月16日検索]、インターネット<URL:https://www.ietf.org/rfc/rfc3954.txt>
IPFIX(RFC5103)、[2019年10月16日検索]、インターネット<URL:https://www.ietf.org/rfc/rfc5103.txt>
sFlow、[2019年10月16日検索]、インターネット<URL:https://sflow.org/sflow_version_5.txt>
Information Elements for Data Link Layer Traffic Measurement(RFC7133)、[2019年10月16日検索]、インターネット<URL:https://tools.ietf.org/html/rfc7133>
pmacct、[2019年10月16日検索]、インターネット<URL:http://www.pmacct.net/>
nProbe、[2019年10月16日検索]、インターネット<https://www.ntop.org/products/netflow/nprobe/>
ここで、異なる分析機能を備えるコレクタを用意し、コレクタそれぞれがトラヒックの傾向分析、DDoS(Distributed Denial of Service attack)検知等を行う場合もある。このような場合、コレクタごとに分析の処理能力が異なったり、分析に必要な情報量が異なったりする。そのため、例えば、ネットワーク装置が、上記のフローの情報を複数のコレクタへ同報で送信すると、コレクタの中には、フローの情報があふれてコレクタの処理能力が低下してしまったり、フローの情報が足りないためコレクタの分析精度や検知精度が低下してしまったりするおそれがある。
ここで、コレクタの処理能力が足りない場合、同じ機能を備えるコレクタの台数を増やして、各ネットワーク装置がフローの情報を別々のコレクタに送信することも考えられる。しかし、この方法は、各コレクタが同じフローの情報を二重に持つことになるため効率が低い。また、この方法は、フローの情報が各コレクタに分散してしまうため、各コレクタがフローの分析を行う場合に、フローの分析精度が低下してしまうという問題がある。
そこで、本発明は、前記した問題を解決し、各コレクタがフローの分析を行う際の効率を向上させ、かつ、分析精度の低下を防止することを課題とする。
前記した課題を解決するため、本発明は、ネットワーク装置からフローのパケットを受信する受信部と、受信したパケットのフローの情報の送信先となる1以上のフローコレクタの情報を記憶する記憶部と、前記フローコレクタの処理能力に応じて、当該フローコレクタへ前記フローの情報を送信する際のレートを決定するレート決定部と、前記受信したパケットのヘッダ情報に基づき、当該パケットのフローの情報の送信先となるフローコレクタを選択する選択部と、前記フローの情報を、前記フローコレクタごとに決定されたレートで当該フローコレクタへ送信する送信処理部と、を備えることを特徴とする。
本発明によれば、各コレクタがフローの分析を行う際の効率を向上させ、かつ、分析精度の低下を防止することができる。
[動作例]
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、本実施形態に限定されない。まず、図1を用いて、本実施形態の送信制御装置10を含むシステムの動作例を説明する。ネットワーク装置1、送信制御装置10、フローコレクタ20の数は、図1に示す数に限定されない。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、本実施形態に限定されない。まず、図1を用いて、本実施形態の送信制御装置10を含むシステムの動作例を説明する。ネットワーク装置1、送信制御装置10、フローコレクタ20の数は、図1に示す数に限定されない。
なお、以下の説明において、システムが扱うxFlowパケットは、例えば、NetFlow、IPFIX、sFlow等のパケットである。
また、送信制御装置10が、フローコレクタ20へ送信するxFlowパケットの情報(xFlow情報)は、ネットワーク装置1から受信したxFlowパケットに関する情報を、フローコレクタ20において処理可能な形式にした情報である。なお、xFlowパケットに関する情報は、例えば、ネットワーク装置1から受信したxFlowパケットの統計情報であってもよいし、ネットワーク装置1から受信したxFlowパケットそのものであってもよい。
システムは、例えば、ネットワーク装置1と、送信制御装置10と、フローコレクタ20とを備える。ネットワーク装置1は、例えば、ルータ等であり、xFlowパケットのサンプリングを行い、サンプリングしたxFlowパケットを送信制御装置10へ送信する。
送信制御装置10は、ネットワーク装置1によりサンプリングされたxFlowパケットに基づきxFlow情報を生成し、各フローコレクタ20に送信する。フローコレクタ20は、受信したxFlow情報に基づき、xFlowの分析や各種検知を行う。
図1においては、送信制御装置10のxFlow情報の送信先のフローコレクタ20が、フローコレクタ20A(20A-1,20A-2)と、フローコレクタ20Bとである場合を例に説明する。フローコレクタ20Aは、受信したxFlow情報からbotの検知を行う。フローコレクタ20Bは、受信したxFlow情報からフローの傾向を分析する。
また、以下では、特に区別しない場合は、フローコレクタ20A,20Bをまとめてフローコレクタ20と呼ぶ。また、同様に、2つのフローコレクタ20A-1,20A-2をまとめてフローコレクタ20Aと呼ぶ。このフローコレクタ20A-1,20A-2にはそれぞれ同じ機能が装備されるものとする。
ここで送信制御装置10は、フローコレクタ20それぞれの処理能力に応じたレートでxFlow情報を送信する。
例えば、フローコレクタ20Bの処理能力に比べ、フローコレクタ20A-1,20A-2の処理能力の方が低い場合、送信制御装置10は、フローコレクタ20A-1,20A-2へxFlow情報を送信する際のレートを、フローコレクタ20Bへ送信する際のレートよりも低くする。
具体例を挙げる。送信制御装置10は、フローコレクタ20BへxFlow情報を送信する際のレート(最終レートRL)を1/10とし、フローコレクタ20A-1,20A-2へxFlow情報を送信する際のレート(最終レートRL)を1/100とする。このようにすることで、フローコレクタ20A-1,20A-2において、xFlow情報があふれてしまうことを防止できる。
また、送信制御装置10が、フローコレクタ20A-1,20A-2にxFlow情報を送信する際、当該xFlow情報のもととなったxFlowパケットのヘッダ情報に基づき、当該xFlow情報の送信先のフローコレクタを選択する。
例えば、送信制御装置10は、ネットワーク装置1から受信したxFlowパケットのヘッダ情報に示される送信元IPアドレスおよび送信先IPアドレスの組み合わせが同じxFlowパケットに関するxFlow情報については、当該xFlow情報の送信先のフローコレクタ20Aを同じフローコレクタ20Aにする。
これにより、送信制御装置10は、例えば、同じフローのxFlowパケットのxFlow情報を同じフローコレクタ20Aに送信することができる。その結果、フローコレクタ20Aにおける当該フローの分析精度が低下することを防止することができる。
[構成例]
次に、図2を用いて送信制御装置10の構成例を示す図である。送信制御装置10は、通信部11と、記憶部12と、制御部13とを備える。
次に、図2を用いて送信制御装置10の構成例を示す図である。送信制御装置10は、通信部11と、記憶部12と、制御部13とを備える。
通信部11は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部11は、ネットワークと有線または無線で接続され、ネットワーク装置1、フローコレクタ20との間で各種データの送受信を行う。
記憶部12は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。
記憶部12は、制御部13が各種処理を実行する際に参照する情報を記憶する。例えば、記憶部12は、フローコレクタ情報を記憶する。このフローコレクタ情報は、例えば、xFlow情報の送信先となるフローコレクタ20それぞれの処理能力、機能、アドレス等を示した情報である。
制御部13は、送信制御装置10全体の制御を司る。制御部13は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、送信制御装置10内部の記憶装置に記憶されている各種プログラム(送信制御プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。
制御部13は、例えば、受信部130と、生成部131と、レート決定部132と、送信先選択部(選択部)133と、送信処理部134とを備える。
受信部130は、ネットワーク装置1からxFlowパケットを受信する。生成部131は、受信部130により受信されたたxFlowパケットに基づき、当該xFlowパケットのxFlow情報を生成する。
レート決定部132は、生成部131により生成されたxFlow情報を各フローコレクタ20へ送信する際のレートを決定する。具体的には、レート決定部132は、フローコレクタ20それぞれの処理能力に応じ、当該フローコレクタ20へxFlow情報を送信する際のレートを決定する。このレート決定部132の詳細は、具体例を交えながら後記する。
送信先選択部133は、生成部131により生成されたxFlow情報の送信先となるフローコレクタ20を選択する。
例えば、送信先選択部133は、xFlow情報の送信先となるフローコレクタ20に、同じ機能のフローコレクタ20が複数ある場合を考える。この場合、生成部131により生成されたxFlow情報のうち、送信元アドレスまたは送信先アドレスの少なくともいずれかが同じxFlowパケットに関するxFlow情報の送信先を、上記の同じ機能のフローコレクタ20から選択したいずれか1つのフローコレクタ20とする。
例えば、xFlow情報の送信先となるフローコレクタ20として、それぞれ同じ機能を持つフローコレクタ20A-1とフローコレクタ20A-2とがある場合を考える。この場合、送信先選択部133は、送信元アドレスおよび送信先アドレスの組み合わせが同じxFlow情報の送信先として、フローコレクタ20A‐1とフローコレクタ20A-2のうちいずれかのフローコレクタ20を選択する。これにより、例えば、同じフローの双方向のxFlow情報がそれぞれ同じフローコレクタ20に到達する。
送信処理部134は、生成部131により生成されたxFlow情報を、レート決定部132により決定されたレートで各フローコレクタ20へ送信する。例えば、送信処理部134は、xFlow情報をフローコレクタ20ごとに決定されたレートで送信する。
このような送信制御装置10によれば、各フローコレクタ20がフローの分析を行う際の効率を向上させ、かつ、分析精度の低下を防止することができる。
[処理手順の例]
次に、図3を用いて、送信制御装置10の処理手順の例を説明する。
次に、図3を用いて、送信制御装置10の処理手順の例を説明する。
送信制御装置10の受信部130は、ネットワーク装置1からxFlowパケットを受信する(S1)。そして、生成部131は、S1で受信したxFlowパケットのxFlow情報を生成する(S2)。その後、レート決定部132は、各フローコレクタ20へxFlow情報の送信する際のレートを決定する(S3)。
また、xFlow情報の送信先のフローコレクタ20に同じ機能のフローコレクタ20が複数ある場合、送信先選択部133は、送信元および送信先の少なくともいずれが同じxFlow情報の送信先として、上記の同じ機能のフローコレクタ20群から1つのフローコレクタ20を選択する(S4:送信先の決定)。
そして、送信処理部134は、S2で生成されたxFlow情報を、S3で決定したレートで各フローコレクタ20へ送信する(S5:各フローコレクタへの送信処理)。なお、S4で送信先選択部133が、xFlow情報の送信先のフローコレクタ20を選択した場合、送信処理部134は、S4で選択されたフローコレクタ20へ当該xFlow情報を送信する。
このようにすることで、送信制御装置10は各フローコレクタ20の処理能力に応じたレートでxFlow情報を送信することができる。また、送信制御装置10は、xFlow情報の送信先のフローコレクタ20に同じ機能のフローコレクタ20が複数ある場合、送信元および送信先の少なくともいずれが同じxFlow情報については、当該xFlow情報を同じフローコレクタ20に送信することができる。その結果、各フローコレクタ20がフローの分析を行う際の効率を向上させ、かつ、分析精度の低下を防止することができる。
[レートの調整の例]
次に、図4を用いて、送信制御装置10におけるxFlow情報を各フローコレクタ20へ送信する際のレートの調整方法の例を説明する。レートの調整方法は、例えば、(1)相対レートを用いる方法、(2)絶対レートを用いる方法、(3)フローコレクタへの出力レートを制限する方法がある。
次に、図4を用いて、送信制御装置10におけるxFlow情報を各フローコレクタ20へ送信する際のレートの調整方法の例を説明する。レートの調整方法は、例えば、(1)相対レートを用いる方法、(2)絶対レートを用いる方法、(3)フローコレクタへの出力レートを制限する方法がある。
なお、以下の説明において、送信制御装置10がxFlow情報をフローコレクタ20A,20Bへ送信する場合を例に説明する。ここで、フローコレクタ20Aの処理能力は、フローコレクタ20Bの処理能力よりも低いものとする。
(1)相対レートを用いる方法
まず、(1)相対レートを用いる方法について説明する。例えば、送信制御装置10が、ネットワーク装置1からレートRIでサンプリングされたxFlowパケットを受信すると、受信したxFlowパケットのxFlow情報をフローコレクタ20ごとに決められた設定レートRCでフローコレクタ20へ送信する。
まず、(1)相対レートを用いる方法について説明する。例えば、送信制御装置10が、ネットワーク装置1からレートRIでサンプリングされたxFlowパケットを受信すると、受信したxFlowパケットのxFlow情報をフローコレクタ20ごとに決められた設定レートRCでフローコレクタ20へ送信する。
つまり、各フローコレクタ20における最終レートRLは、以下の式(1)に示す値となる。
RL=RI×RC…式(1)
ここでレート決定部132は、例えば、フローコレクタ20の処理能力に応じ、フローコレクタ20Bの設定レートRCを1/1とし、フローコレクタ20Aの設定レートRCを1/10とする。
そして、送信処理部134は、上記の各フローコレクタ20の設定レートRCに従い、受信したxFlowパケットのxFlow情報をレート=1/10でフローコレクタ20Aへ送信する。また、送信処理部134は、受信したxFlowパケットのxFlow情報をレート=1/1でフローコレクタ20Bへ送信する。その結果、フローコレクタ20Aに入力されるxFlow情報の最終レートRLは、1/100となる。また、フローコレクタ20Bに入力されるxFlow情報の最終レートRLは、1/10となる。
このようにすることで、送信制御装置10は、xFlow情報を各フローコレクタ20の処理能力に応じた設定レートで送信することができる。
(2)絶対レートを用いる方法
図4に戻り、(2)絶対レートを用いる方法について説明する。ここでも、送信制御装置10が、ネットワーク装置1から、レートRIでサンプリングされたxFlowパケットを受信する場合を例に説明する。なお、このサンプリングされたxFlowパケットには、上記のレートRIを示す情報が付与されているものとする。
図4に戻り、(2)絶対レートを用いる方法について説明する。ここでも、送信制御装置10が、ネットワーク装置1から、レートRIでサンプリングされたxFlowパケットを受信する場合を例に説明する。なお、このサンプリングされたxFlowパケットには、上記のレートRIを示す情報が付与されているものとする。
送信制御装置10は、ネットワーク装置1からxFlowパケットを受信すると、上記のレートRIを示す情報を参照し、各フローコレクタ20に入力されるxFlow情報の最終レートRLが、各フローコレクタ20の設定レートRCとなるよう各フローコレクタ20へxFlow情報を送信する際のレートを制御する。
例えば、フローコレクタ20Aの設定レートRCが1/100であり、フローコレクタ20Bの設定レートRCが1/10である場合を考える。
この場合、RI≦RCであるときは、送信制御装置10は、ネットワーク装置1から受信したxFlowパケットのxFlow情報をレート1/1でフローコレクタ20へ送信する。一方、RI>RCであるときは、送信制御装置10は、xFlow情報をRC=RLとなるようなレートで各フローコレクタ20へ送信する。
上記の(2)絶対レートを用いる方法は、(1)相対レートを用いる方法に比べて、各フローコレクタ20に入力されるxFlow情報のレートが分かりやすいというメリットがある。
(3)フローコレクタへの出力レートを制限する方法
図4に戻り、(3)フローコレクタへの出力レートを制限する方法について説明する。この方法は、送信制御装置10が各フローコレクタ20へxFlow情報を送信する際のレート(出力レート)を制限する方法である。
図4に戻り、(3)フローコレクタへの出力レートを制限する方法について説明する。この方法は、送信制御装置10が各フローコレクタ20へxFlow情報を送信する際のレート(出力レート)を制限する方法である。
すなわち、送信制御装置10は、上記のRIの値にかかわらず、xFlow情報のフローコレクタ20への出力レートが当該フローコレクタ20に設定された設定値を超える場合に当該フローコレクタ20への出力レートを制限する。
例えば、フローコレクタ20Aの設定値(設定フロー量F)が1000flow/secであり、フローコレクタ20Bの設定値(設定フロー量F)が10000flow/secであり、送信制御装置10が、ネットワーク装置1から受信したxFlowパケットのフロー量が5000flow/secである場合を考える。
この場合、送信制御装置10がネットワーク装置1から受信したxFlowパケットのフロー量(5000flow/sec)は、フローコレクタ20Aの設定値(1000flow/sec)を超えている。よって、送信制御装置10は、フローコレクタ20AへのxFlow情報のフロー量が1000flow/sec未満となるよう、フローコレクタ20Aへの出力レートを制限する。一方、ネットワーク装置1から受信したxFlowパケットは、フローコレクタ20Bの設定値(10000flow/sec)は超えていない。よって、送信制御装置10は、フローコレクタ20Bへの出力レートの制限は行わない。
上記の方法は、送信制御装置10が受信するxFlowパケットのフロー量に関わらず、各フローコレクタ20の処理性能の上限を超えないようにすることができる、というメリットがある。
次に、図5を用いて、上記の(1)相対レートを用いる方法における処理手順の例を説明する。なお、ここで送信処理部134が各フローコレクタ20に送信するxFlow情報はxFlowパケットそのものである場合を例に説明する。
まず、送信制御装置10の受信部130が、ネットワーク装置1からxFlowパケットを受信すると(S11)、送信処理部134は、S mod RCを計算する(S12)。なお、上記のSは、S11で受信したxFlowパケットのシーケンスナンバーである。また、上記のRCは、xFlowパケットの送信先のフローコレクタ20に設定されたレートの逆数である。
S12の計算結果が0であれば(S12で「0」)、送信処理部134は、S11で受信したxFlowパケットを当該フローコレクタ20へ送信し(S13)、S11へ戻る。一方、S12の計算結果が0以外であれば(S12で「0以外」)、送信処理部134は、S11で受信したxFlowパケットを廃棄し(S14)、S11へ戻る。
次に、図6を用いて、上記の(2)絶対レートを用いる方法における処理手順の例を説明する。
まず、送信制御装置10は、入力サンプリングレートRI(上記のレートRI)を記憶する(S21)。例えば、送信制御装置10の受信部130は、ネットワーク装置1からレートRIを受信すると、レートRIを記憶部12に記憶する。
次に、送信処理部134は、RI≦RCか否かを判定し(S22)、RI≦RCであれば(S22でYes)、RCを1にする(S23)。そして、S25へ進む。一方、RI≦RCでなければ(S22でNo)、送信処理部134は、レートRcをRC/RIにする(S24)。そして、S25へ進む。
例えば、RCが1/100であり、RIが1/10である場合、送信処理部134はxFlowパケットをフローコレクタ20へ送信する際のレートRcを1/10にする。これにより、ネットワーク装置1で受信したxFlowパケットに対する、フローコレクタ20に入力されるxFlowパケットのレートを1/100にすることができる。
図6のS25~S28の処理は、図5のS11~S14の処理と同様なので説明を省略する。
次に、図7を用いて、上記の(3)フローコレクタへの出力レートを制限する方法における処理手順の例を説明する。
まず、送信制御装置10の受信部130が、ネットワーク装置1からxFlowパケットを受信すると(S31)、送信処理部134は、過去1秒間にフローコレクタ20へ送信したxFlowパケットのフロー量を確認する(S32)。そして、確認したxFlowパケットのフロー量がF(フローコレクタ20の設定フロー量F)未満であれば(S32で「F未満」)、送信処理部134は、S31で受信したxFlowパケットをネットワーク装置1へ送信する(S33)。そして、S31へ戻る。一方、過去1秒間にフローコレクタ20へ送信したxFlowパケットのフロー量が、F(フローコレクタ20の設定フロー量F)以上であれば(S32で「F以上」)、送信処理部134は、S31で受信したxFlowパケットを廃棄する(S34)。そして、S31へ戻る。
[フローコレクタの選択の例]
前記したとおり、送信制御装置10からのxFlow情報の送信先に同じ機能のフローコレクタ20が複数ある場合、これらのフローコレクタ20からいずれかのフローコレクタ20を選択する。
前記したとおり、送信制御装置10からのxFlow情報の送信先に同じ機能のフローコレクタ20が複数ある場合、これらのフローコレクタ20からいずれかのフローコレクタ20を選択する。
例えば、図8に示すように、送信制御装置10からのxFlow情報の送信先となるフローコレクタ20として、フローコレクタ20A(フローコレクタ#1)~フローコレクタ20N(フローコレクタ#N)がある場合を考える。なお、フローコレクタ20A(フローコレクタ#1)~フローコレクタ20N(フローコレクタ#N)は、それぞれ同じ機能を備えるものとする。
例えば、送信制御装置10がネットワーク装置1からxFlowパケットを受信すると、当該xFlowパケットのヘッダ情報に基づき、当該xFlowパケットのxFlow情報の送信先となるフローコレクタ20を選択する。
ここで、xFlow情報の送信先となるフローコレクタ20の選択方法としては、例えば、(1)並べ替えハッシュを用いる方法、(2)自アドレスハッシュを用いる方法等が考えられる。
(1)並べ替えハッシュを用いる方法は、例えば、以下のようにして行われる。
送信制御装置10は、ネットワーク装置1から受信したxFlowパケットの送信元アドレスおよび送信先アドレスの組み合わせを昇順に並べ替え、それをキーとしたハッシュ値を計算し、計算したハッシュ値に対応するフローコレクタ20を選択する。そして、送信制御装置10は、当該送信元アドレスおよび送信先アドレスを持つxFlowパケットのxFlow情報を、選択したフローコレクタ20へ送信する。
このようにすることで、受信したxFlowパケット群のうち、送信元アドレスと送信先アドレスが同じxFlowパケット(例えば、A→BのxFlowパケットおよびB→AのxFlowパケット)に関するxFlow情報が同じフローコレクタ20に送信される。これにより、フローコレクタ20は、双方向の通信(例えば、A→Bの通信およびB→Aの通信)を分析することができる。
(2)自アドレスハッシュを用いる方法は、例えば、以下のようにして行われる。
まず、送信制御装置10は、予め自アドレスを決めておく。ここでの自アドレスの数は、単数であってもよいし複数であってもよい。そして、送信制御装置10がネットワーク装置1から受信したxFlowパケット群のヘッダ情報を参照して、送信元アドレスまたは送信先アドレスに自アドレスが設定されているxFlowパケットを抽出する。そして、送信制御装置10は、抽出したxFlowパケットについて当該自アドレスをキーとしたハッシュ値を計算し、計算したハッシュ値に対応するフローコレクタ20へ当該xFlowパケットのxFlow情報を送信する。
このようにすることで、受信したxFlowパケット群のうち、送信元アドレスまたは送信先アドレスが所定のアドレス(上記の自アドレス)であるxFlowパケットのxFlow情報が同じフローコレクタ20に送信される。これにより、例えば、送信元アドレスまたは送信先アドレスが所定のアドレスである通信を、すべて同じフローコレクタ20へ送信することができる。その結果、フローコレクタ20は、所定のアドレスを送信元または送信先とする通信を分析することができる。
なお、上記の自アドレスの区別方法としては、例えば、送信制御装置10において自アドレスのリストを用意しておき、当該リストに基づき、自アドレスを区別する方法が考えられる。
また、ネットワーク装置1が送信制御装置10へxFlowパケットを送信する際、当該xFlowパケットが、ネットワーク装置1から見て出方向から来たパケットか、入方向から来たパケットかを示す識別情報を付与して送信してもよい。この場合、送信制御装置10は、ネットワーク装置1から受信したxFlowパケットに、出方向を示す識別情報が付与されていれば、当該xFlowパケットの送信元は自アドレスであると判断する。また、送信制御装置10は、xFlowパケットに入方向を示す識別情報が付与されていれば、当該xFlowパケットの送信先が自アドレスであると判断する。
次に、図9を用いて、上記の(1)並べ替えハッシュを用いる方法の処理手順の例を説明する。なお、図9および図10において、「A」はxFlowパケットの送信元アドレスを示し、「B」はxFlowパケットの送信先アドレスを示すものとする。
まず、送信制御装置10の受信部130が、ネットワーク装置1からxFlowパケット(A→B)を受信する(S51)。次に、送信先選択部133は、受信したxFlowパケットのAまたはBをキーとして昇順に並べ替える(S52:A/Bを昇順に並べ替え)。その後、送信先選択部133は、ABのハッシュ値Hを計算する(S53)。そして、送信先選択部133が計算したハッシュ値Hに対応するフローコレクタ#Hを、当該xFlowパケットのxFlow情報の送信先として選択する。そして、送信処理部134は、当該xFlowパケットのxFlow情報をフローコレクタ#Hに送信する(S54)。
次に、図10を用いて、上記の(2)自アドレスハッシュを用いる方法の処理手順の例を説明する。
まず、送信制御装置10の受信部130が、ネットワーク装置1からxFlowパケット(A→B)を受信する(S61)。次に、送信先選択部133は、受信したxFlowパケットが出方向のトラヒックか否かを判定する(S62)。
S62で、送信先選択部133が受信したxFlowパケットが出方向のトラヒックと判定した場合(S62でYes)、Aのハッシュ値Hを計算する(S63)。その後、S65へ進む。一方、S62で、送信先選択部133が受信したxFlowパケットが出方向のトラヒックではないと判定した場合(S62でNo)、Bのハッシュ値Hを計算する(S64)。その後、送信先選択部133が計算したハッシュ値Hに対応するフローコレクタ#Hを、当該xFlowパケットのxFlow情報の送信先として選択する。そして、送信処理部134は、当該xFlowパケットのxFlow情報をフローコレクタ#Hに送信する(S65)。
このようにすることで、送信制御装置10は、xFlow情報の送信先のフローコレクタ20に同じ機能のフローコレクタ20が複数ある場合、送信元および送信先の少なくともいずれが同じxFlowパケットのxFlow情報については、当該xFlow情報を同じフローコレクタ20に送信することができる。
[プログラム]
また、上記の実施形態で述べた送信制御装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を送信制御装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、送信制御装置10を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた送信制御装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を送信制御装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等がその範疇に含まれる。また、送信制御装置10を、クラウドサーバに実装してもよい。
図12を用いて、上記のプログラム(送信制御プログラム)を実行するコンピュータの一例を説明する。図12に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図12に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の送信制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 ネットワーク装置
10 送信制御装置
20,20A,20B フローコレクタ
12 記憶部
13 制御部
130 受信部
131 生成部
132 レート決定部
133 送信先選択部
134 送信処理部
10 送信制御装置
20,20A,20B フローコレクタ
12 記憶部
13 制御部
130 受信部
131 生成部
132 レート決定部
133 送信先選択部
134 送信処理部
Claims (3)
- ネットワーク装置からフローのパケットを受信する受信部と、
受信したパケットのフローの情報の送信先となる1以上のフローコレクタの情報を記憶する記憶部と、
前記フローコレクタの処理能力に応じて設定されたレートと、前記ネットワーク装置が前記パケットをサンプリングした際のレートとの積により、当該フローコレクタへ前記フローの情報を送信する際のレートを決定するレート決定部と、
前記フローの情報の送信先のフローコレクタに、同じ機能のフローコレクタが複数ある場合、前記受信したパケットの送信元アドレスおよび送信先アドレスの組み合わせのハッシュ値を計算し、前記受信したパケットのフローの情報について、前記同じ機能のフローコレクタのうち、前記ハッシュ値に対応する1つのフローコレクタを送信先として選択する選択部と、
前記フローの情報を、前記フローコレクタごとに決定されたレートで当該フローコレクタへ送信する送信処理部と、
を備えることを特徴とする送信制御装置。 - ネットワーク装置からフローのパケットを受信する工程と、
受信したパケットのフローの情報の送信先となるフローコレクタの処理能力に応じて設定されたレートと、前記ネットワーク装置が前記パケットをサンプリングした際のレートとの積により、当該フローコレクタへ前記フローの情報を送信する際のレートを決定する工程と、
前記フローの情報の送信先のフローコレクタに、同じ機能のフローコレクタが複数ある場合、前記受信したパケットの送信元アドレスおよび送信先アドレスの組み合わせのハッシュ値を計算し、前記受信したパケットのフローの情報について、前記同じ機能のフローコレクタのうち、前記ハッシュ値に対応する1つのフローコレクタを送信先として選択する工程と、
前記フローの情報を、前記フローコレクタごとに決定されたレートで当該フローコレクタへ送信する工程と、
を含むことを特徴とする送信制御方法。 - ネットワーク装置からフローのパケットを受信するステップと、
受信したパケットのフローの情報の送信先となるフローコレクタの処理能力に応じて設定されたレートと、前記ネットワーク装置が前記パケットをサンプリングした際のレートとの積により、当該フローコレクタへ前記フローの情報を送信する際のレートを決定するステップと、
前記フローの情報の送信先のフローコレクタに、同じ機能のフローコレクタが複数ある場合、前記受信したパケットの送信元アドレスおよび送信先アドレスの組み合わせのハッシュ値を計算し、前記受信したパケットのフローの情報について、前記同じ機能のフローコレクタのうち、前記ハッシュ値に対応する1つのフローコレクタを送信先として選択するステップと、
前記フローの情報を、前記フローコレクタごとに決定されたレートで当該フローコレクタへ送信するステップと、
をコンピュータに実行させることを特徴とする送信制御プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/042693 WO2021084668A1 (ja) | 2019-10-30 | 2019-10-30 | 送信制御装置、送信制御方法、および、送信制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021084668A1 JPWO2021084668A1 (ja) | 2021-05-06 |
| JP7447910B2 true JP7447910B2 (ja) | 2024-03-12 |
Family
ID=75715903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021553973A Active JP7447910B2 (ja) | 2019-10-30 | 2019-10-30 | 送信制御装置、送信制御方法、および、送信制御プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20220407794A1 (ja) |
| JP (1) | JP7447910B2 (ja) |
| WO (1) | WO2021084668A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230254225A1 (en) * | 2022-02-06 | 2023-08-10 | Arista Networks, Inc. | Generating hybrid network activity records |
| WO2024154267A1 (ja) * | 2023-01-18 | 2024-07-25 | 日本電信電話株式会社 | 情報処理装置、情報処理方法、および、情報処理プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336512A (ja) | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
| US20150281092A1 (en) | 2014-04-01 | 2015-10-01 | Endace Technology Limited | Hash tag load balancing |
| JP2018164141A (ja) | 2017-03-24 | 2018-10-18 | アラクサラネットワークス株式会社 | 通信装置及び通信方法 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004084474A1 (en) * | 2003-03-17 | 2004-09-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for obtaining information about a transmission capability |
| JP3731665B2 (ja) * | 2003-03-27 | 2006-01-05 | ソニー株式会社 | データ通信システム、情報処理装置および情報処理方法、記録媒体、並びに、プログラム |
| US9621473B2 (en) * | 2004-08-18 | 2017-04-11 | Open Text Sa Ulc | Method and system for sending data |
| JP2006128820A (ja) * | 2004-10-26 | 2006-05-18 | Canon Inc | データ処理装置、データ処理システム及びデータ処理方法 |
| JP4526458B2 (ja) * | 2005-07-29 | 2010-08-18 | 富士通株式会社 | パケット処理装置及びパケット処理プログラム |
| US7733781B2 (en) * | 2006-04-24 | 2010-06-08 | Broadcom Corporation | Distributed congestion avoidance in a network switching system |
| US8577817B1 (en) * | 2011-03-02 | 2013-11-05 | Narus, Inc. | System and method for using network application signatures based on term transition state machine |
| WO2010118182A2 (en) * | 2009-04-08 | 2010-10-14 | Eamonn Gormley | Hybrid rate limiting based on data bit and data packet counts |
| US8291058B2 (en) * | 2010-02-19 | 2012-10-16 | Intrusion, Inc. | High speed network data extractor |
| CN103155487A (zh) * | 2010-10-26 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于使用业务样本来检测可疑数据泄漏的方法和系统 |
| US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
| US8780909B2 (en) * | 2012-03-21 | 2014-07-15 | Cisco Technology, Inc. | System and method for modifying media protocol feedback loop based on mobile system information |
| US8964554B2 (en) * | 2012-06-07 | 2015-02-24 | Broadcom Corporation | Tunnel acceleration for wireless access points |
| US9185015B2 (en) * | 2013-02-19 | 2015-11-10 | Broadcom Corporation | Application aware elephant flow identification |
| US9426071B1 (en) * | 2013-08-22 | 2016-08-23 | Fireeye, Inc. | Storing network bidirectional flow data and metadata with efficient processing technique |
| US20150106530A1 (en) * | 2013-10-15 | 2015-04-16 | Nokia Corporation | Communication Efficiency |
| WO2015170474A1 (ja) * | 2014-05-09 | 2015-11-12 | 日本電気株式会社 | パケット伝送装置、パケット伝送システムおよびパケット伝送方法 |
| CN105474602B (zh) * | 2014-06-17 | 2019-02-05 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
| RU2649298C1 (ru) * | 2014-10-31 | 2018-03-30 | Нек Корпорейшн | Устройство шлюза и способ управления им |
| US9813306B1 (en) * | 2014-12-16 | 2017-11-07 | Amazon Technologies, Inc. | Response rate limiting device |
| US9930057B2 (en) * | 2015-10-05 | 2018-03-27 | Cisco Technology, Inc. | Dynamic deep packet inspection for anomaly detection |
| CN108073445B (zh) * | 2016-11-18 | 2021-10-22 | 腾讯科技(深圳)有限公司 | 基于分布式流计算的背压处理方法和系统 |
| US10693748B2 (en) * | 2017-04-12 | 2020-06-23 | Microsoft Technology Licensing, Llc | Activity feed service |
| US10880206B2 (en) * | 2018-06-13 | 2020-12-29 | Futurewei Technologies, Inc. | Multipath selection system and method for datacenter-centric metro networks |
| US11032190B2 (en) * | 2018-09-12 | 2021-06-08 | Corsa Technology Inc. | Methods and systems for network security universal control point |
-
2019
- 2019-10-30 WO PCT/JP2019/042693 patent/WO2021084668A1/ja active Application Filing
- 2019-10-30 JP JP2021553973A patent/JP7447910B2/ja active Active
- 2019-10-30 US US17/773,430 patent/US20220407794A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007336512A (ja) | 2006-05-18 | 2007-12-27 | Alaxala Networks Corp | 統計情報収集システム及び統計情報収集装置 |
| US20150281092A1 (en) | 2014-04-01 | 2015-10-01 | Endace Technology Limited | Hash tag load balancing |
| JP2018164141A (ja) | 2017-03-24 | 2018-10-18 | アラクサラネットワークス株式会社 | 通信装置及び通信方法 |
Non-Patent Citations (3)
| Title |
|---|
| Atsushi Kobayashi,IPFIX Mediation; Problem Statement,RFC 5982,2010年08月,P.1-25 |
| 小林 淳史 Atsushi KOBAYASHI,IPフロー計測技術と標準化,電子情報通信学会誌 第93巻 第4号 THE JOURNAL OF THE INSTITUTE OF ELECTRONICS,INFORMATION AND COMMUNICATION ENGINEERS,日本,社団法人電子情報通信学会,2010年04月01日,P.280-286 |
| 小林 淳史 Atsushi KOBAYASHI,フロー計測技術を用いた多目的トラヒック計測技術の検討 Multipurpose Traffic Monitoring with Flow-based Measurement,電子情報通信学会技術研究報告 Vol.109 No.137 IEICE Technical Report,日本,社団法人電子情報通信学会 ,2009年07月10日,P.43-48 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220407794A1 (en) | 2022-12-22 |
| JPWO2021084668A1 (ja) | 2021-05-06 |
| WO2021084668A1 (ja) | 2021-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Megyesi et al. | How quick is QUIC? | |
| US8326984B1 (en) | Selective compression for network connections | |
| US8477798B1 (en) | Selectively enabling network packet concatenation based on metrics | |
| US20060140193A1 (en) | Optimization of a TCP connection | |
| JP7447910B2 (ja) | 送信制御装置、送信制御方法、および、送信制御プログラム | |
| WO2012127894A1 (ja) | ネットワークシステム、及びスイッチ方法 | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| JP5017440B2 (ja) | ネットワーク制御装置およびその制御方法 | |
| Wamser et al. | Traffic characterization of a residential wireless Internet access | |
| Abbas et al. | A stateless fairness-driven active queue management scheme for efficient and fair bandwidth allocation in congested Internet routers | |
| JP5093160B2 (ja) | 通信装置 | |
| CN1773993A (zh) | 会话中继设备和会话中继方法 | |
| US20070041323A1 (en) | Traffic control system, traffic control method, communication device and computer program | |
| Kharat et al. | Modified QUIC protocol with congestion control for improved network performance | |
| KR20100024723A (ko) | 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법 | |
| CN101958841A (zh) | 限制p2p应用的方法及设备 | |
| JP4572719B2 (ja) | トラフィック制御装置及びトラフィック制御方法並びにプログラム | |
| Khalil et al. | Exploration of tcp parameters for enhanced performance in a datacenter environment | |
| US20230254234A1 (en) | Imparting device, imparting method, and imparting program | |
| US9774515B2 (en) | Router and resource assignment method thereof | |
| JP2019140573A (ja) | 監視システム、監視方法及び監視プログラム | |
| KR20140125508A (ko) | 트래픽 최적화 기능을 갖는 통신 노드 및 통신 노드에서 트래픽 최적화를 위한 방법 | |
| Murthy et al. | Towards a data‐driven framework for optimizing security‐efficiency tradeoff in QUIC | |
| An et al. | Evaluating SIP-based VoIP communication quality and network security | |
| Wu et al. | Size-based flow management prototype for dynamic DMZ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230314 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230515 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230829 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231122 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20231122 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20231211 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240212 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7447910 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |