WO2023157052A1

WO2023157052A1 - 収集装置、収集方法および収集プログラム

Info

Publication number: WO2023157052A1
Application number: PCT/JP2022/005826
Authority: WO
Inventors: 晶規古田; 裕平林; 篤史須藤; 千晴森岡; 勇樹三好; 里美井上; 賢杜山田
Original assignee: 日本電信電話株式会社
Priority date: 2022-02-15
Filing date: 2022-02-15
Publication date: 2023-08-24
Also published as: JPWO2023157052A1

Abstract

特定部（１５ｂ）が、過去のフロー情報に基づいて、トラヒックのパスを特定する。判別部（１５ｃ）が、指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置を判別する。

Description

収集装置、収集方法および収集プログラム

　本発明は、収集装置、収集方法および収集プログラムに関する。

　ネットワークにおけるフロー統計情報を送出する技術として、ＮｅｔＦｌｏｗが知られている（非特許文献１参照）。

"RFC3954　Cisco　Systems　NetFlow　Services　Export　Version　9"、[online]、2004年10月、［2022年1月11日検索］、インターネット<URL：https://datatracker.ietf.org/doc/html/rfc3954.html>

　しかしながら、従来技術によれば、ネットワークの制約を加味しつつ、監視したいイベントを重点監視することが困難である。例えば、複雑大規模化するキャリア網に対して、フロー統計情報を格納するデータレイクへの通信路は潤沢ではないため、フロー統計情報の収集粒度を低くしたりする必要があり、タイムリーに障害やセキュリティ脅威を検出することが困難である。一方、重要ユーザ申告、ＤＤｏＳ攻撃、ＯＳアップデート、ＯＴＴ（Over　The　Top）障害等のイベントを監視するには、全てのイベントの情報を収集する必要があって情報量が膨大であるため、必要なイベントのトラヒックを重点監視することが困難である。

　本発明は、上記に鑑みてなされたものであって、ネットワークの制約を加味しつつ、監視したいイベントを重点監視することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る収集装置は、過去のフロー情報に基づいて、トラヒックのパスを特定する特定部と、指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置を判別する判別部と、を有することを特徴とする。

　本発明によれば、ネットワークの制約を加味しつつ、監視したいイベントを重点監視することが可能となる。

図１は、本実施形態の収集装置の概要を説明するための図である。図２は、収集装置を含む収集システムの構成を説明するための図である。図３は、収集装置の概略構成を例示する模式図である。図４は、収集処理手順を示すフローチャートである。図５は、従来の技術を説明するための図である。図６は、収集プログラムを実行するコンピュータの一例を示す図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［収集装置の概要］
　図１は、本実施形態の収集装置の概要を説明するための図である。収集装置１０は、重要ユーザ申告、ＤＤｏＳ攻撃、ＯＳアップデート、ＯＴＴ障害等のイベントが発生した際に、トラヒックの交流上に配置されているルータ等のネットワーク装置２（ＮＥ、Network　Element）やＩＦ（Interface）を重点的に監視する。

　具体的には、収集装置１０は、通常時に得られデータレイク４に格納されているフロー情報を元に、予めトラヒックパスを解決しておく。イベントが発生した際には、収集装置１０は、該当ユーザのトラヒックが経由するルータとＩＦとを判別して監視対象とし、該当ユーザのＩＦのサンプリングレートを上げて、ｘＦｌｏｗ変換装置３からフロー統計情報を収集するように制御する。

　これにより、収集装置１０は、全体として情報削減しつつ、重点監視したいフロー統計情報を最大限に収集し、発生頻度の少ない事象を捉えることが可能となる。全てのルータとＩＦとの組み合わせ数をＮ、イベントに関するトラヒックが経由るルータとＩＦと組み合わせ数をＫとすると、情報削減効果はＫ／Ｎとなる。

［収集システムの構成］
　図２は、収集装置を含む収集システムの構成を説明するための図である。図２に示すように、収集システム１は、収集装置１０の他に、ＶＰＮ上のルータ２、ｘＦｌｏｗ変換装置３、データレイク４を含んで構成される。

　ルータ２は、従来のルータ２ａの機能に対し、後述する収集処理に関する外付け装置２ｂの機能が追加されたものである。外付け装置２ｂは、ＮＰ（Network　Processor）等を用いて実現され、後述するように、収集装置１０の指示に応じて、ルータ２ａに対して収集対象のフロー統計情報の出力／停止等の設定変更を行う。

　ｘＦｌｏｗ変換装置３は、ルータ２ａからフロー統計情報を収集し、収集したフロー統計情報をデータレイク４に格納する。その際に、ｘＦｌｏｗ変換装置３は、後述する収集処理で指定されたサンプリングレートでフロー統計情報の収集を行う。データレイク４は、データベース装置等で実現され、収集されたフロー統計情報を格納する。

　収集装置１０は、後述するように、データレイク４から取得した通常時のフロー統計情報を用いて、予めトラヒックパスを解決しておく。また、収集装置１０は、監視したいイベントのイベント情報やユーザ情報を受信した場合に、イベントに関するトラヒックパスを特定してパス上にあるルータ２を判別し、重点的なフロー統計情報の収集対象とする。そして、収集装置１０は、フロー統計情報の収集対象のルータ２の外付け装置２ｂに、収集対象のフロー統計情報の出力／停止等の収集位置に応じた設定変更を指示する。

［収集装置の構成］
　図３は、収集装置の概略構成を例示する模式図である。図３に例示するように、本実施形態の収集装置１０は、パソコン等の汎用コンピュータで実現され、入力部１１、出力部１２、通信制御部１３、記憶部１４、および制御部１５を備える。

　入力部１１は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部１５に対して処理開始などの各種指示情報を入力する。出力部１２は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。例えば、出力部１２には、後述する収集処理の結果が表示される。

　通信制御部１３は、ＮＩＣ（Network　Interface　Card）等で実現され、ＬＡＮ（Local　Area　Network）やインターネットなどの電気通信回線を介した外部の装置と制御部１５との通信を制御する。例えば、通信制御部１３は、ルータ２や、ルータ２のフロー統計情報を出力するｘＦｌｏｗ変換装置３、データレイク４等と制御部１５との通信を制御する。

　記憶部１４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部１４には、収集装置１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部１４は、通信制御部１３を介して制御部１５と通信する構成でもよい。

　制御部１５は、ＣＰＵ（Central　Processing　Unit）等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部１５は、図３に例示するように、取得部１５ａ、特定部１５ｂ、判別部１５ｃおよび指示部１５ｄとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。例えば、取得部１５ａは、その他の機能部とは異なる装置として実装されてもよい。また、制御部１５は、その他の機能部を備えてもよい。

　取得部１５ａは、過去のフロー情報を取得する。例えば、取得部１５ａは、入力部１１あるいは通信制御部１３を介して、データレイク４に格納されている通常時のフロー情報を取得する。

　取得部１５ａは、後述する収集処理に先立って、取得した過去のフロー情報を記憶部１４に記憶させてもよい。あるいは、取得部１５ａは、これらの情報を記憶部１４に記憶させずに、以下に説明する特定部１５ｂに転送してもよい。

　特定部１５ｂは、過去のフロー情報に基づいて、トラヒックのパスを特定する。具体的には、特定部１５ｂは、データレイク４から取得された通常時のフロー情報について、トラヒックのパスを解決する。

　判別部１５ｃは、指定されたイベントに関するトラヒックについて、特定されたパス上のルータ２を判別する。具体的には、監視対象のイベントを指定する情報が入力部１１あるいは通信制御部１３を介して入力された場合に、判別部１５ｃは、特定部１５ｂが特定したイベントに関するトラヒックのパス上のルータ２とＩＦとを判別する。例えば、判別部１５ｃは、図１に例示したように、イベントのＵｓｅｒＢのトラヒックのルータ２とＩＦとを判別する。

　指示部１５ｄは、判別されたルータ２からのフロー統計情報の収集を指示する。具体的には、指示部１５ｄは、通信制御部１３を介して、判別されたルータ２の外付け装置２ｂに対し、ｘＦｌｏｗ変換装置３にフロー統計情報を出力するように、設定変更を指示する。

　例えば、図１に示した例では、指示部１５ｄが、ＵｓｅｒＢが収容されているルータ２の外付け装置２ｂに対し、フロー統計情報の出力を指示している。一方、指示部１５ｄは、ＵｓｅｒＡおよびＵｓｅｒＣが収容されているルータ２の外付け装置２ｂに対し、フロー統計情報の出力を停止するように指示している。これにより、収集システム１は、イベントに関連するＵｓｅｒＢに限定したフロー統計情報を収集することが可能となる。

　また、指示部１５ｄは、判別されたルータ２からのフロー統計情報の収集粒度を、このルータ２以外のルータ２からのフロー統計情報の収集粒度より高くするように収集を指示してもよい。具体的には、指示部１５ｄは、判別したルータ２からのサンプリングレートを、それ以外のルータ２のサンプリングレートより高くするように、ｘＦｌｏｗ変換装置３に指定する。

　これにより、収集システム１は、監視対象のトラヒックのフロー統計情報を重点的に収集し、それ以外のトラヒックのフロー統計情報の収集を最低限に抑制することが可能となる。このように、ネットワークの制約を加味して、監視対象のトラヒックのフロー統計情報を最大限に収集することが可能となる。

［収集処理］
　次に、図４を参照して、本実施形態に係る収集装置１０による収集処理について説明する。図４は、収集処理手順を示すフローチャートである。図４のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。

　まず、取得部１５ａが、通常時のフロー情報をデータレイク４から取得する。また、特定部１５ｂが、取得された通常時のフロー情報に基づいて、トラヒックのパスを特定する（ステップＳ１）。

　また、イベントを指定する情報が入力された場合に、特定部１５ｂがイベントに関するトラヒックのパスを特定し、判別部１５ｃが、トラヒックのパス上のルータ２とＩＦとを判別する（ステップＳ２）。

　そして、指示部１５ｄは、判別されたルータ２からのフロー統計情報の収集を指示する（ステップＳ３）。具体的には、指示部１５ｄは、通信制御部１３を介して、判別されたルータ２の外付け装置２ｂに対し、ｘＦｌｏｗ変換装置３へのフロー統計情報の出力を指示する。また、指示部１５ｄは、その他のルータ２の外付け装置２ｂに対し、ｘＦｌｏｗ変換装置３へのフロー統計情報の出力の停止を指示する。

　または、指示部１５ｄは、各ルータ２からのサンプリングレートをｘＦｌｏｗ変換装置３に指定する。その際に、指示部１５ｄは、判別したルータ２からのサンプリングレートを、それ以外のルータ２のサンプリングレートより高くするように、ｘＦｌｏｗ変換装置３に指定する。これにより、一連の収集処理が終了する。

　その後、ｘＦｌｏｗ変換装置３により、判別されたルータ２からのフロー統計情報が重点的に収集され、データレイク４に格納される。

［効果］
　以上、説明したように、本実施形態の収集装置１０において、特定部１５ｂが、過去のフロー情報に基づいて、トラヒックのパスを特定する。判別部１５ｃが、指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置（ルータ）２を判別する。

　ここで、図５は、従来の技術を説明するための図である。図５に例示するように、従来のＮｅｔＦｌｏｗを含むｘＦｌｏｗによれば、収集するフロー統計情報のサンプリングレートをユーザごとに変更することは困難であった。そのため、重点監視したいユーザに関するイベントがあっても、収集する情報量が膨大となるため、手厚く監視することが困難であった。

　これに対し、本実施形態の収集装置１０によれば、イベントに関連するトラヒックが経由するルータ２を、重点監視の対象のルータ２として判別することが可能となる。したがって、全体として情報削減しつつ、重点監視したいフロー統計情報を最大限に収集し、発生頻度の少ない事象を捉えることが可能となる。このように、ネットワークの制約を加味しつつ、監視したいイベントを重点監視することが可能となる。

　また、指示部１５ｄが、判別されたルータ２からのフロー統計情報の収集を指示する。これにより、収集装置１０は、重点監視の対象のイベントに限定してフロー統計情報を収集することが可能となる。

　また、指示部１５ｄは、判別されたルータ２からのフロー統計情報の収集粒度を、該ルータ２以外のルータ２からのフロー統計情報の収集粒度より高くするように、収集を指示する。これにより、監視対象のトラヒックのフロー統計情報を重点的に収集し、それ以外のトラヒックのフロー統計情報の収集を最低限に抑制することが可能となる。このように、収集装置１０によれば、ネットワークの制約を加味して、監視対象のトラヒックのフロー統計情報を最大限に収集することが可能となる。

［プログラム］
　上記実施形態に係る収集装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、収集装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の収集処理を実行する収集プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の収集プログラムを情報処理装置に実行させることにより、情報処理装置を収集装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）などの移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）などのスレート端末などがその範疇に含まれる。また、収集装置１０の機能を、クラウドサーバに実装してもよい。

　図６は、収集プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、収集プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した収集装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、収集プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、収集プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、収集プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１　収集システム
　２、２ａ　ネットワーク装置（ルータ）
　２ｂ　外付け装置
　３　ｘＦｌｏｗ変換装置
　４　データレイク
　１０　収集装置
　１１　入力部
　１２　出力部
　１３　通信制御部
　１４　記憶部
　１５　制御部
　１５ａ　取得部
　１５ｂ　特定部
　１５ｃ　判別部
　１５ｄ　指示部

Claims

　過去のフロー情報に基づいて、トラヒックのパスを特定する特定部と、
　指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置を判別する判別部と、
　を有することを特徴とする収集装置。
　判別された前記ネットワーク装置からのフロー統計情報の収集を指示する指示部をさらに有することを特徴とする請求項１に記載の収集装置。
　前記指示部は、判別された前記ネットワーク装置からのフロー統計情報の収集粒度を、該ネットワーク装置以外のネットワーク装置からのフロー統計情報の収集粒度より高くするように、収集を指示することを特徴とする請求項２に記載の収集装置。
　収集装置が実行する収集方法であって、
　過去のフロー情報に基づいて、トラヒックのパスを特定する特定工程と、
　指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置を判別する判別工程と、
　を含んだことを特徴とする収集方法。
　過去のフロー情報に基づいて、トラヒックのパスを特定する特定ステップと、
　指定されたイベントに関するトラヒックについて、特定されたパス上のネットワーク装置を判別する判別ステップと、
　をコンピュータに実行させるための収集プログラム。