WO2024105892A1 - Conversion device, conversion method, and conversion program - Google Patents
Conversion device, conversion method, and conversion program Download PDFInfo
- Publication number
- WO2024105892A1 WO2024105892A1 PCT/JP2022/042930 JP2022042930W WO2024105892A1 WO 2024105892 A1 WO2024105892 A1 WO 2024105892A1 JP 2022042930 W JP2022042930 W JP 2022042930W WO 2024105892 A1 WO2024105892 A1 WO 2024105892A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- xflow
- packet
- header
- conversion device
- determination unit
- Prior art date
Links
- 238000006243 chemical reaction Methods 0.000 title claims abstract description 90
- 238000000034 method Methods 0.000 title claims description 44
- 238000012545 processing Methods 0.000 claims description 40
- 238000010586 diagram Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 12
- 238000007493 shaping process Methods 0.000 description 5
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000002775 capsule Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Definitions
- the present invention relates to a conversion device, a conversion method, and a conversion program.
- xFlow technology which samples packets and transfers the header portion of the packets themselves (header samples) to aggregate and analyze traffic.
- a format conversion technology that analyzes the packet header information inside and outside the capsule to identify packets received as RAW packets, header samples, or xFlow packets, and enables different processing or analysis for each attribute, such as group.
- a conversion device that performs the format conversion described in Patent Document 3 may receive xFlow packets whose xFlow header field configurations differ depending on the model of the source NW (Network) device, even if the xFlow type (IPFIX, NetFlow, etc.) is the same.
- NW Network
- IPFIX IPFIX, NetFlow, etc.
- the present invention has been made in consideration of the above, and aims to reduce the processing load required to analyze packet headers.
- the conversion device is characterized by having a determination unit that determines whether an xFlow packet is to be processed based on the L2 header, L3 header, L4 header, and xFlow header contained in the xFlow packet, and an analysis unit that analyzes the xFlow packet that is determined by the determination unit to be to be processed.
- the present invention can reduce the processing load required to analyze packet headers.
- FIG. 1 is a block diagram illustrating an example of a configuration of a communication system according to an embodiment.
- FIG. 2 is a diagram illustrating the flow of processing in the conversion device.
- FIG. 3 is a block diagram showing an example of the configuration of a conversion device.
- FIG. 4 is a diagram illustrating an example of an xFlow packet.
- FIG. 5 is a diagram illustrating an example of the template rule table.
- FIG. 6 is a diagram illustrating an example of the transmission filter table.
- FIG. 7 is a flowchart showing the flow of processing by the conversion device.
- FIG. 8 is a flowchart showing the flow of the transmission filter process.
- FIG. 9 is a diagram for explaining a procedure for updating the transparent filter table.
- FIG. 10 is a diagram showing an example of rewriting the xFlow header.
- FIG. 11 is a diagram illustrating an example of a computer that realizes a conversion device by executing a program.
- the converter of the present embodiment performs protocol analysis and format conversion on xFlow packets having characteristics that are predetermined as targets of format conversion. On the other hand, there are cases where an encapsulated packet that is not a target of format conversion is input to the converter.
- the conversion device has a function for determining whether a received encapsulated packet is an xFlow packet that is subject to format conversion. Furthermore, the conversion device reduces the processing load in protocol analysis and format conversion by rewriting the field configuration (hereinafter sometimes referred to as the header pattern) of the header (hereinafter sometimes referred to as the xFlow header) of an xFlow packet that is determined to be subject to format conversion.
- the header pattern hereinafter sometimes referred to as the header pattern
- the xFlow header the header of an xFlow packet that is determined to be subject to format conversion.
- FIG. 1 is a block diagram showing an example of a configuration of a communication system according to an embodiment.
- the communication system 1 according to the embodiment includes a plurality of network devices 2, a conversion device 10, and a plurality of analysis devices 3.
- the plurality of network devices 2 and the conversion device 10 communicate with each other via a network N.
- the configuration shown in Fig. 1 is merely an example, and the specific configuration and the number of each device are not limited to those shown in the figure.
- the network device 2 samples packets in the traffic to be monitored.
- the network device 2 transfers xFlow packets that encapsulate the sampled packet header samples to the conversion device 10.
- a sample template and an option template are defined in advance as templates for xFlow packets.
- the network device 2 is configured to send xFlow packets to the UDP port of the conversion device 10 that corresponds to the xFlow header pattern defined in the network device 2.
- the network device 2 can transfer statistical information on flows, such as the number of packets, to the conversion device 10 together with the xFlow packets to be transferred, or as separate xFlow packets.
- the network device 2 can transfer mirrored encapsulated packets to the conversion device 10.
- the analysis device 3 analyzes the traffic. For example, the analysis device 3 uses statistical information contained in the xFlow packets received from the conversion device 10 to count packets in the traffic to be monitored.
- the conversion device 10 converts the xFlow packets received from the network device 2 into xFlow packets in a format that corresponds to the processing content of the analysis device 3.
- the conversion device 10 pre-sets the UDP port for receiving xFlow packets from the network device 2 for each xFlow header pattern. This makes it possible to identify the xFlow header pattern based on the UDP dst port of the xFlow packets received from the network device 2.
- Figure 2 is a diagram that explains the process flow in the conversion device.
- the conversion device 10 receives the mirrored encapsulated packet and an xFlow packet including a header sample of the packet from the network device 2.
- the mirrored encapsulated packet includes an outer packet header and an inner packet header.
- the xFlow packet includes the packet header of the xFlow packet in addition to the outer packet header and inner packet header.
- the conversion device 10 performs a packet transparency determination for the received xFlow packet (step S1).
- the conversion device 10 determines that the xFlow packet that matches the template is subject to format conversion, and passes it on to the next process.
- the conversion device 10 rewrites the packet headers of the xFlow packets that are determined to be subject to format conversion during the pass-through determination (step S2).
- the conversion device 10 identifies the header information of the xFlow packet (the outer packet header, the inner packet header, and the packet header of the xFlow packet) through protocol analysis (step S3).
- the conversion device 10 groups the xFlow packets based on conditions related to the identified header information (step S4).
- the conversion device 10 performs information shaping defined for each group (step S5). For example, for xFlow packets classified into group "#1”, the conversion device 10 performs inner statistical processing to obtain statistics on the inner packet header. For xFlow packets classified into group "#2”, the conversion device 10 performs outer statistical processing to obtain statistics on the outer header. For xFlow packets classified into group "#3", the conversion device 10 performs header deletion to delete the outer header.
- the conversion device 10 transmits the xFlow packet after performing information shaping to a specified destination.
- the destination is, for example, the analysis device 3.
- "xFlow analysis device A”, "xFlow analysis device B”, and "packet capture device C" in Figure 2 are examples of the analysis device 3.
- Fig. 3 is a block diagram showing an example of the configuration of the conversion device.
- the conversion device 10 includes a communication unit 11, a storage unit 12, and a control unit 13.
- the communication unit 11 is an interface for transmitting and receiving data between other devices (e.g., the network device 2 and the analysis device 3).
- the communication unit 11 is a network interface card (NIC).
- Figure 4 is a diagram showing an example of an xFlow packet.
- the communication unit 11 receives Data packets and Template packets as xFlow packets. Furthermore, the Data packets include Sample Data packets and Option Data packets. Furthermore, the Template packets include Sample Template packets and Option Template packets.
- Sample Data portion of a Sample Data packet contains one or more packet headers of an encapsulated packet.
- Sample Template packets and Option Template packets are templates for Sample Data packets and Option Data packets, respectively.
- Sample Data packets, Option Data packets, Sample Template packets, and Option Template packets all contain an xFlow header in addition to the L2 header (Ether), L3 header (IP), and L4 header (UDP) of an xFlow packet.
- the xFlow header is included in the packet header of the xFlow packet.
- the conversion device 10 can distinguish between Sample Template packets, Option Template packets, and Data packets (Sample Data packets or Option Data packets) from the Set ID value in the xFlow header. The method by which the conversion device 10 distinguishes between packets will be described later.
- the storage unit 12 is a storage device such as a hard disk drive (HDD), a solid state drive (SSD), or an optical disk. Note that the storage unit 12 may also be a semiconductor memory in which data can be rewritten, such as a random access memory (RAM), a flash memory, or a non-volatile static random access memory (NVSRAM).
- HDD hard disk drive
- SSD solid state drive
- NVSRAM non-volatile static random access memory
- the storage unit 12 stores data related to the OS (Operating System) and various programs executed by the conversion device 10.
- the storage unit 12 stores a template rule table 121 and a transparent filter table 122.
- the template rule table 121 is used to create the transparent filter table 122.
- the transparent filter table 122 is also used to determine whether an xFlow packet is transparent.
- the template rule table 121 and the transparent filter table 122 are set in advance before the xFlow packet is determined to be transparent.
- FIG. 5 shows an example of a template rule table.
- xFlow packets are sent and received using IPv4.
- the protocol for sending and receiving xFlow packets is not limited to IPv4 and may be, for example, IPv6.
- the receiving UDP port is preset for each header pattern of the xFlow packet.
- a sample template and an option template are predefined as templates for the xFlow packet.
- the template rule table 121 is created based on the set UDP port and the defined template.
- the template rule table 121 includes items such as "Src IP”, “Dst UDP Port”, “Obs ID (Observation Domain ID)”, “Sample Template ID”, and "Option Template ID”.
- the "Src IP” item is the IP address of the network device 2 that is the sender of the xFlow packet.
- the "Dst UDP Port” item is the receiving UDP port for each header pattern set in the conversion device 10, and is the UDP dst port of the xFlow packet to be received.
- the "Obs ID (Observation Domain ID)” item, the "Sample Template ID” item, and the “Option Template ID” item are information included in the xFlow header, and are defined as templates (Sample Template and Option Template).
- Figure 5 shows a row where "Src IP” is "192.168.1.1/32", “Dst UDP Port” is “4739”, “Obs ID (Observation Domain ID)” is "1234567890”, “Sample Template ID” is "384", and "Option Template ID” is "640".
- each row in the template rule table 121 and the transparent filter table 122 may be referred to as a rule.
- FIG 6 is a diagram showing an example of a transparent filter table.
- the transparent filter table 122 like the template rule table 121, includes items such as "Src IP”, “Dst UDP Port”, “Obs ID (Observation Domain ID)", “Sample Template ID”, and “Option Template ID”. These items in the transparent filter table 122 store the same values as those in the template rule table 121. On the other hand, rules that do not exist in the template rule table 121 may be registered in the transparent filter table 122.
- the transparent filter table 122 includes items such as “Enable”, “Sample Recv Flag”, “Option Recv Flag”, “Sample WDT”, and “Option WDT”.
- the "Enable” item indicates whether or not the rule is described in the template rule table 121. If the same rule is described in the template rule table 121 (if it exists as a record), the value of the "Enable” item is "1", and if it is not described in the template rule table 121, the value of the "Enable” item is "0".
- Sample Recv Flag and “Option Recv Flag” items indicate the rule status for Sample Data packets and Option Data packets, respectively.
- the values of these items are “1” if the rule is enabled, and "0" if the rule is disabled.
- sample WDT and “Option WDT” indicate the time until each rule becomes invalid.
- the conversion device 10 receives a template (Sample Template packet or Option Template packet) that matches a rule, it sets the initial value of the timer to the corresponding item “Sample WDT” or item “Option WDT” and starts decrementing the items “Sample WDT” and "Option WDT” in accordance with the timer.
- the conversion device 10 updates the value of the corresponding item “Sample Recv Flag” or item “Option Recv Flag” to "0.”
- sample Recv Flag “Option Recv Flag”, “Sample WDT”, and “Option WDT” are registered and updated during filter transparency determination. At that time, each item in the transparent filter table 122 is registered and updated independently for the aforementioned Sample Template and Option Template.
- the control unit 13 controls the entire conversion device 10.
- the control unit 13 is, for example, an electronic circuit such as a CPU (Central Processing Unit), MPU (Micro Processing Unit), or GPU (Graphics Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
- CPU Central Processing Unit
- MPU Micro Processing Unit
- GPU Graphics Processing Unit
- ASIC Application Specific Integrated Circuit
- FPGA Field Programmable Gate Array
- the control unit 13 also has an internal memory for storing programs and control data that define various processing procedures, and executes each process using the internal memory.
- the control unit 13 also functions as various processing units by running various programs.
- control unit 13 has a determination unit 131, a rewriting unit 132, an analysis unit 133, a grouping unit 134, and a shaping unit 135.
- the determination unit 131 performs packet transparency determination (corresponding to step S1 in FIG. 2).
- the process flow of the conversion device 10, including the packet transparency determination, will be described with reference to FIG. 7.
- FIG. 7 is a flowchart showing the process flow of the conversion device.
- the determination unit 131 discards xFlow packets that it determines are not to be processed in step S13 or step S14 of FIG. 7.
- the rewriting unit 132 rewrites the xFlow header of the xFlow packet that the determination unit 131 determines are to be processed (step S19).
- the analysis unit 133, grouping unit 134, and shaping unit 135 analyze and convert the xFlow packet whose xFlow header has been rewritten (step S20).
- FIG. 7 mainly describes the packet transparency determination, and the details of the processing from step S19 onwards will be described later.
- the network device 2 also sends xFlow packets to the UDP port indicated in the rule set in the template rule table 121.
- the packets received by the conversion device 10 are not necessarily xFlow packets that comply with the rule.
- the conversion device 10 receives an xFlow packet, it starts the process shown in FIG. 7.
- the determination unit 131 determines whether the received xFlow packet was received via IPv4 and complies with the UDP protocol (step S11).
- step S11 If the received xFlow packet was received via IPv4 and conforms to the UDP protocol (step S11, Yes), the determination unit 131 proceeds to step S12.
- the determination unit 131 discards the xFlow packet (step S14) and terminates the process.
- step S12 the determination unit 131 determines whether the destination port that received the xFlow packet is a port that has been set in the "Destination UDP Port" item of the transparent filter table 122.
- step S12 If the destination port that received the xFlow packet is a port that has been set in the "Destination UDP Port" item of the transparent filter table 122 (step S12, Yes), the determination unit 131 proceeds to step S15.
- the determination unit 131 discards the xFlow packet (step S13) and terminates the process.
- step S15 the determination unit 131 determines whether the Set ID in the xFlow header is "2". If the Set ID in the xFlow header is "2" (step S15, Yes), the determination unit 131 regards the xFlow packet as a Sample Template packet and proceeds to step S18. Note that here, an example of the Set ID when the xFlow packet is an IPFIX packet will be described as an example.
- step S15 determines whether the Set ID is "2" (step S15, No). If the Set ID in the xFlow header is not "2" (step S15, No), the determination unit 131 determines whether the Set ID is "3" (step S16). If the Set ID in the xFlow header is "3" (step S16, Yes), the determination unit 131 regards the xFlow packet as an Option Template packet and proceeds to step S18.
- step S16 determines whether the Set ID is "256" or greater (step S17). If the Set ID in the xFlow header is "256" or greater (step S17, Yes), the determination unit 131 regards the xFlow packet as a Data packet (Sample Data packet or Option Data packet) and proceeds to step S18.
- step S17 If the Set ID in the xFlow header is not "256" or greater (step S17, No), the determination unit 131 discards the xFlow packet (step S14) and terminates the process.
- the determination unit 131 either discards the xFlow packet (step S14) or passes the xFlow packet to subsequent processing (step S19).
- FIG. 8 is a flowchart showing the flow of the transparent filter processing.
- the value of each item in the transparent filter table 122 will be represented as a variable with the name of each item as the variable name.
- the determination unit 131 determines that the xFlow packet is a Data packet (Sample Data packet or Option Data packet), that is, when the process proceeds from S17 in FIG. 7 to the transparent filter process (step S18).
- step S181 If the rule shown in step S181 exists (step S181, Yes), the determination unit 131 regards the xFlow packet as a Sample Data packet and passes the xFlow packet to subsequent processing (step S19).
- step S182 If the rule shown in step S182 exists (step S182, Yes), the determination unit 131 regards the xFlow packet as an Option Data packet and passes the xFlow packet to subsequent processing (step S19).
- step S182 determines whether the rule shown in step S182 does not exist (step S182, No). If the rule shown in step S182 does not exist (step S182, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
- the determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists whose Src IP, dst UDP Port, Obs ID, and Sample Template ID match those of the xFlow packet (step S183).
- step S183 If the rule shown in step S183 exists (step S183, Yes), the determination unit 131 proceeds to step S184.
- step S183 determines whether the rule shown in step S183 does exist (step S183, No). If the rule shown in step S183 does not exist (step S183, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
- the determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists whose Src IP, dst UDP Port, Obs ID, and Option Template ID match those of the xFlow packet (step S186).
- step S186 If the rule shown in step S186 exists (step S186, Yes), the determination unit 131 proceeds to step S187.
- step S186 determines whether the rule shown in step S186 does exist (step S186, No). If the rule shown in step S186 does not exist (step S186, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
- the determination unit 131 determines whether or not an xFlow packet is to be processed based on the L2 header, L3 header, L4 header, and xFlow header contained in the xFlow packet. Furthermore, an xFlow packet to be processed is an xFlow packet that is to be subjected to protocol analysis and subsequent format conversion.
- the determination unit 131 can determine whether or not the xFlow packet was received via IPv4 from the Ether header, which is an L2 header.
- the determination unit 131 can make a determination based on information in the IP header, which is an L3 header, and the UDP header and xFlow header, which are L4 headers.
- FIG. 9 is a diagram illustrating the procedure by which the transparent filter table is updated.
- the determination unit 131 sets timers in the transparent filter table 122 independently for Sample Template packets and Option Template packets.
- 122a indicates the transparent filter table 122 at the first time.
- the determination unit 131 updates both the Sample Recv Flag and Option Recv Flag corresponding to the rule to "1", and sets the timer initial value "10" for both the Sample WDT and the Option WDT item. Note that the timer is measured in seconds, for example, and the determination unit 131 decrements the timer in one-second cycles until it reaches 0.
- the judgment unit 131 updates the Recv Flag and Option Recv Flag to "0".
- the determination unit 131 updates the Sample Recv Flag of that rule to "1" and sets the Sample WDT to the timer's initial value of "10.”
- the determination unit 131 when the determination unit 131 receives an xFlow packet that matches a template and has a specific value set in a field of the xFlow header, it sets a timer and determines that the xFlow packet that matches the template is to be processed until the timer times out, and after the timer times out, it determines that the xFlow packet that matches the template is not to be processed.
- An xFlow packet with a specific value set in a field of the xFlow header is, for example, an xFlow packet with "2" or "3" set in the Set ID of the xFlow header.
- the rewriting unit 132 rewrites the xFlow header that has been determined by the determination unit 131 to be subject to format conversion and that has been passed to it (corresponding to step S2 in FIG. 2).
- the rewriting unit 132 rewrites the xFlow headers of multiple xFlow packets that have been determined by the determination unit 131 to be analysis targets and have different field configurations in their xFlow headers so that the field configurations of the xFlow headers of the multiple xFlow packets match a pre-specified field configuration.
- the rewriting unit 132 rewrites the xFlow headers of each of the Sample Data packets and Option Data packets passed from the determination unit 131 to unify the field configurations, i.e., the header patterns.
- the rewriting unit 132 can identify the header pattern by the UDP dst port of the xFlow packet.
- the rewriting unit 132 also holds information on the UDP dst port of the xFlow packet and the rewriting type number corresponding to that port in a table in advance.
- the rewriting type number corresponds to the xFlow header pattern of the received xFlow packet and the rewriting process information on which header pattern to rewrite it to, and a value is set for each combination of the header patterns before and after rewriting.
- the rewriting unit 132 determines the rewriting process of the header pattern of the xFlow packet that is determined by the determination unit 131 to be the analysis target and conforms to the UDP protocol, based on the UDP dst port, and rewrites the xFlow header of the xFlow packet. If the header patterns before and after rewriting are the same, the xFlow header is not rewritten. Also, it is assumed that the field configuration of the header pattern after rewriting is set in advance and stored by the conversion device 10.
- the field configuration of the header pattern after rewriting includes, for example, fields that are included in all header patterns to be rewritten. In addition, fields that are newly added as a result of rewriting are filled with zeros (zero padding).
- FIG. 10 is a diagram showing an example of rewriting the xFlow header, where the header pattern after rewriting is pattern C.
- the IPFIX header of pattern A and the IPFIX header of pattern B in FIG. 10 have header patterns to be rewritten.
- the rewriting unit 132 rewrites the IPFIX header of pattern A and the IPFIX header of pattern B to unify them into fields of pattern C.
- the rewriting unit 132 adds a 1-byte field "IPFIX Set/Direction” and a 2-byte field "IPFIX Set/dataLinkFrameSize" to the A pattern according to the rewriting process information associated with the rewriting type number corresponding to the UDP dst Port of the xFlow packet of the A pattern.
- the rewriting unit 132 also enters 0 into the added fields.
- the rewrite unit 132 adds a 1-byte field "IPFIX Set/Direction" to the pattern B according to the rewrite process information associated with the rewrite type number corresponding to the UDP dst port of the xFlow packet of the pattern B.
- the rewrite unit 132 also enters 0 into the added field.
- the analysis unit 133 analyzes the xFlow packet that the determination unit 131 has determined to be the target of processing. Furthermore, the xFlow header of the xFlow packet that the determination unit 131 has determined to be the target of processing may be rewritten by the rewriting unit 132. In such a case, for example, the analysis unit 133 performs protocol analysis of the xFlow packet whose xFlow header has been rewritten by the rewriting unit 132 (corresponding to step S3 in FIG. 2).
- the grouping unit 134 performs packet grouping (corresponding to step S4 in FIG. 2).
- the formatting unit 135 performs information formatting (corresponding to step S5 in FIG. 2).
- the conversion device 10 transmits the information obtained by the information formatting by the formatting unit 135 to the analysis device 3.
- the conversion device 10 includes a determination unit 131 and an analysis unit 133.
- the determination unit 131 determines whether or not an xFlow packet is a processing target based on the L2 header, L3 header, L4 header, and xFlow header included in the xFlow packet.
- the analysis unit 133 analyzes the xFlow packet determined by the determination unit 131 to be a processing target. In this manner, the determination by the determination unit 131 narrows down the xFlow packets to be analyzed by the analysis unit 133. As a result, according to this embodiment, it is possible to reduce the processing load required for analyzing packet headers.
- the determination unit 131 When the determination unit 131 receives an xFlow packet that matches a template and has a specific value set in a field of the xFlow header, it sets a timer and determines that the xFlow packet that matches the template is to be processed until the timer times out, and after the timer times out, it determines that the xFlow packet that matches the template is not to be processed.
- the conversion device 10 further includes a rewriting unit 132.
- the rewriting unit 132 rewrites the xFlow headers of multiple xFlow packets that have been determined by the determination unit 131 to be the subject of analysis and have different field configurations in their xFlow headers so that the field configurations of the xFlow headers of the multiple xFlow packets become a pre-specified field configuration. Even if the xFlow type is the same, there are xFlow packets that have different field configurations in their xFlow headers. According to this embodiment, it becomes possible to efficiently analyze such xFlow packets.
- the rewriting unit 132 rewrites the xFlow header of an xFlow packet that is determined by the determination unit 131 to be an analysis target and conforms to the UDP protocol, so that the field configuration of the xFlow header of the xFlow packet becomes the field configuration associated with the UDP port that received the xFlow packet. This enables the conversion device 10 to easily manage the field configuration of the rewritten destination by associating it with the source.
- Each component of the conversion device 10 shown in Fig. 1 is a functional concept, and does not necessarily have to be physically configured as shown in the figure.
- the specific form of distribution and integration of the functions of the conversion device 10 is not limited to that shown in the figure, and all or part of it can be functionally or physically distributed or integrated in any unit depending on various loads, usage conditions, etc.
- each process performed by the conversion device 10 may be realized, in whole or in part, by a CPU and a program analyzed and executed by the CPU. Furthermore, each process performed by the conversion device 10 may be realized as hardware using wired logic.
- [program] 11 is a diagram showing an example of a computer in which a conversion device is realized by executing a program.
- the computer 1000 has, for example, a memory 1010 and a CPU 1020.
- the computer 1000 also has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These components are connected by a bus 1080.
- the memory 1010 includes a ROM 1011 and a RAM 1012.
- the ROM 1011 stores a boot program such as a BIOS (Basic Input Output System).
- BIOS Basic Input Output System
- the hard disk drive interface 1030 is connected to a hard disk drive 1090.
- the disk drive interface 1040 is connected to a disk drive 1100.
- a removable storage medium such as a magnetic disk or optical disk is inserted into the disk drive 1100.
- the serial port interface 1050 is connected to a mouse 1110 and a keyboard 1120, for example.
- the video adapter 1060 is connected to a display 1130, for example.
- the hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, the program that defines each process of the conversion device 10 is implemented as a program module 1093 in which code executable by the computer 1000 is written.
- the program module 1093 is stored, for example, in the hard disk drive 1090.
- a program module 1093 for executing processes similar to the functional configuration of the conversion device 10 is stored in the hard disk drive 1090.
- the hard disk drive 1090 may be replaced by an SSD.
- the setting data used in the processing of the above-mentioned embodiment is stored as program data 1094, for example, in memory 1010 or hard disk drive 1090.
- the CPU 1020 reads the program module 1093 or program data 1094 stored in memory 1010 or hard disk drive 1090 into RAM 1012 as necessary and executes it.
- the program module 1093 and program data 1094 may not necessarily be stored in the hard disk drive 1090, but may be stored in a removable storage medium, for example, and read by the CPU 1020 via the disk drive 1100 or the like.
- the program module 1093 and program data 1094 may be stored in another computer connected via a network (such as a LAN (Local Area Network), WAN (Wide Area Network)).
- the program module 1093 and program data 1094 may then be read by the CPU 1020 from the other computer via the network interface 1070.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
A conversion device according to an embodiment assesses, on the basis of a L2 header, a L3 header, a L4 header, and a xFlow header that are included in a xFlow packet, whether the xFlow packet is an object to be processed for protocol analysis or format conversion. The conversion device then performs protocol analysis and furthermore performs format conversion on the xFlow packet that has been assessed to be an object to be processed.
Description
本発明は、変換装置、変換方法及び変換プログラムに関する。
The present invention relates to a conversion device, a conversion method, and a conversion program.
従来、パケットのサンプリングを行い、パケットのヘッダ部分そのもの(ヘッダサンプル)を転送することによりトラヒックの集計及び分析等を行うxFlow技術が知られている。
Conventionally, xFlow technology is known, which samples packets and transfers the header portion of the packets themselves (header samples) to aggregate and analyze traffic.
また、RAWパケット、ヘッダサンプル又はxFlowパケットとして受信したカプセル化パケットについて、カプセルの外側及び内側のパケットヘッダ情報を解析してパケットを識別し、グループ等の属性ごとに異なる処理又は分析を可能にするフォーマット変換技術が知られている。
In addition, a format conversion technology is known that analyzes the packet header information inside and outside the capsule to identify packets received as RAW packets, header samples, or xFlow packets, and enables different processing or analysis for each attribute, such as group.
しかしながら、従来の技術には、パケットヘッダの解析に要する処理負荷が大きいという問題がある。
However, conventional technology has the problem that analyzing packet headers requires a large processing load.
例えば、特許文献3に記載されたフォーマット変換を行う変換装置には、xFlow種別(IPFIX、NetFlow等)が同じであっても、送信元のNW(Network)装置の機種等によってxFlowヘッダのフィールド構成が異なるxFlowパケットが入力される場合がある。そのようなxFlowパケットを解析する場合、xFlowパケットの先頭からカプセル化パケット位置を検出する処理、及びヘッダ解析等が必要になり、変換装置の処理負荷が増大する。
For example, a conversion device that performs the format conversion described in Patent Document 3 may receive xFlow packets whose xFlow header field configurations differ depending on the model of the source NW (Network) device, even if the xFlow type (IPFIX, NetFlow, etc.) is the same. When analyzing such xFlow packets, processing to detect the position of the encapsulated packet from the beginning of the xFlow packet and header analysis, etc. are required, which increases the processing load of the conversion device.
本発明は、上記に鑑みてなされたものであって、パケットヘッダの解析に要する処理負荷を低減させることを目的とする。
The present invention has been made in consideration of the above, and aims to reduce the processing load required to analyze packet headers.
上述した課題を解決し、目的を達成するために、本発明に係る変換装置は、xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、前記xFlowパケットが処理対象であるか否かを判定する判定部と、前記判定部によって処理対象であると判定されたxFlowパケットを解析する解析部と、を有することを特徴とする。
In order to solve the above-mentioned problems and achieve the object, the conversion device according to the present invention is characterized by having a determination unit that determines whether an xFlow packet is to be processed based on the L2 header, L3 header, L4 header, and xFlow header contained in the xFlow packet, and an analysis unit that analyzes the xFlow packet that is determined by the determination unit to be to be processed.
本発明によれば、パケットヘッダの解析に要する処理負荷を低減させることができる。
The present invention can reduce the processing load required to analyze packet headers.
以下に、本願に係る変換装置、変換方法及び変換プログラムの実施の形態を図面に基づいて詳細に説明する。また、本発明は、以下に説明する実施の形態により限定されるものではない。
Below, the embodiments of the conversion device, conversion method, and conversion program according to the present application are described in detail with reference to the drawings. Furthermore, the present invention is not limited to the embodiments described below.
[第1の実施形態]
本実施形態の変換装置は、フォーマット変換の対象としてあらかじめ決められた特徴を持つxFlowパケットに対してプロトコル解析及びフォーマット変換を行う。一方で、変換装置には、フォーマット変換の対象ではないカプセル化パケットが入力される場合がある。 [First embodiment]
The converter of the present embodiment performs protocol analysis and format conversion on xFlow packets having characteristics that are predetermined as targets of format conversion. On the other hand, there are cases where an encapsulated packet that is not a target of format conversion is input to the converter.
本実施形態の変換装置は、フォーマット変換の対象としてあらかじめ決められた特徴を持つxFlowパケットに対してプロトコル解析及びフォーマット変換を行う。一方で、変換装置には、フォーマット変換の対象ではないカプセル化パケットが入力される場合がある。 [First embodiment]
The converter of the present embodiment performs protocol analysis and format conversion on xFlow packets having characteristics that are predetermined as targets of format conversion. On the other hand, there are cases where an encapsulated packet that is not a target of format conversion is input to the converter.
そこで、変換装置は、受信したカプセル化パケットがフォーマット変換の対象のxFlowパケットであるか否かを判定する機能を備える。さらに、変換装置は、フォーマット変換の対象と判定したxFlowパケットのヘッダ(以下、xFlowヘッダと呼ぶ場合がある。)のフィールド構成(以下、ヘッダパターンと呼ぶ場合がある。)を書き換えることにより、プロトコル解析及びフォーマット変換における処理負荷を低減させる。
The conversion device has a function for determining whether a received encapsulated packet is an xFlow packet that is subject to format conversion. Furthermore, the conversion device reduces the processing load in protocol analysis and format conversion by rewriting the field configuration (hereinafter sometimes referred to as the header pattern) of the header (hereinafter sometimes referred to as the xFlow header) of an xFlow packet that is determined to be subject to format conversion.
[通信システムの構成]
図1は、実施の形態に係る通信システムの構成の一例を示すブロック図である。図1に示すように、実施の形態に係る通信システム1は、複数のNW装置2と、変換装置10と、複数の分析装置3と、を有する。例えば、複数のNW装置2と、変換装置10とは、ネットワークNを介して通信を行う。なお、図1に示す構成は一例に過ぎず、具体的な構成及び各装置の数は図示のものに限定されない。 [Configuration of communication system]
Fig. 1 is a block diagram showing an example of a configuration of a communication system according to an embodiment. As shown in Fig. 1, thecommunication system 1 according to the embodiment includes a plurality of network devices 2, a conversion device 10, and a plurality of analysis devices 3. For example, the plurality of network devices 2 and the conversion device 10 communicate with each other via a network N. Note that the configuration shown in Fig. 1 is merely an example, and the specific configuration and the number of each device are not limited to those shown in the figure.
図1は、実施の形態に係る通信システムの構成の一例を示すブロック図である。図1に示すように、実施の形態に係る通信システム1は、複数のNW装置2と、変換装置10と、複数の分析装置3と、を有する。例えば、複数のNW装置2と、変換装置10とは、ネットワークNを介して通信を行う。なお、図1に示す構成は一例に過ぎず、具体的な構成及び各装置の数は図示のものに限定されない。 [Configuration of communication system]
Fig. 1 is a block diagram showing an example of a configuration of a communication system according to an embodiment. As shown in Fig. 1, the
NW装置2は、監視対象のトラヒックにおいてパケットのサンプリングを行う。NW装置2は、サンプリングしたパケットヘッダサンプルをカプセル化したxFlowパケットを、変換装置10に転送する。NW装置2では、xFlowパケットのテンプレートとしてSample Template及びOption Templateがあらかじめ定義されている。NW装置2は、当該NW装置2で定義されたxFlowヘッダパターンに対応した変換装置10のUDP Port宛にxFlowパケットを送信するよう設定されている。NW装置2は、パケット数等のフローに関する統計情報を、転送するxFlowパケットとともに、又は別のxFlowパケットとして変換装置10に転送することができる。また、NW装置2は、xFlowパケットだけでなく、ミラーリングされたカプセル化パケットを変換装置10に転送することができる。
The network device 2 samples packets in the traffic to be monitored. The network device 2 transfers xFlow packets that encapsulate the sampled packet header samples to the conversion device 10. In the network device 2, a sample template and an option template are defined in advance as templates for xFlow packets. The network device 2 is configured to send xFlow packets to the UDP port of the conversion device 10 that corresponds to the xFlow header pattern defined in the network device 2. The network device 2 can transfer statistical information on flows, such as the number of packets, to the conversion device 10 together with the xFlow packets to be transferred, or as separate xFlow packets. In addition to xFlow packets, the network device 2 can transfer mirrored encapsulated packets to the conversion device 10.
分析装置3は、トラヒックの分析を行う。例えば、分析装置3は、変換装置10から受信したxFlowパケットに含まれる統計情報を用いて、監視対象のトラヒックにおけるパケットの集計等を行う。
The analysis device 3 analyzes the traffic. For example, the analysis device 3 uses statistical information contained in the xFlow packets received from the conversion device 10 to count packets in the traffic to be monitored.
変換装置10は、NW装置2から受信したxFlowパケットを、分析装置3の処理内容に応じた形式のxFlowパケットに変換する。変換装置10では、NW装置2からxFlowパケットを受信するUDP Portを、xFlowヘッダパターンごとにあらかじめ設定する。これにより、NW装置2から受信するxFlowパケットのUDP dst Portに基づいてxFlowヘッダパターンを識別できる。
The conversion device 10 converts the xFlow packets received from the network device 2 into xFlow packets in a format that corresponds to the processing content of the analysis device 3. The conversion device 10 pre-sets the UDP port for receiving xFlow packets from the network device 2 for each xFlow header pattern. This makes it possible to identify the xFlow header pattern based on the UDP dst port of the xFlow packets received from the network device 2.
ここで、図2を用いて変換装置10の処理の流れを説明する。図2は、変換装置における処理の流れを説明する図である
Here, we will explain the process flow of the conversion device 10 using Figure 2. Figure 2 is a diagram that explains the process flow in the conversion device.
図2に示すように、変換装置10は、ミラーリングされたカプセル化パケット、及びパケットのヘッダサンプルを含むxFlowパケットをNW装置2から受信する。
As shown in FIG. 2, the conversion device 10 receives the mirrored encapsulated packet and an xFlow packet including a header sample of the packet from the network device 2.
図2に示すように、ミラーリングされたカプセル化パケットは、Outerパケットヘッダ及びInnerパケットヘッダを含む。また、xFlowパケットは、Outerパケットヘッダ及びInnerパケットヘッダに加え、xFlowパケットのパケットヘッダを含む。
As shown in Figure 2, the mirrored encapsulated packet includes an outer packet header and an inner packet header. Also, the xFlow packet includes the packet header of the xFlow packet in addition to the outer packet header and inner packet header.
まず、変換装置10は、受信したxFlowパケットに対しパケット透過判定を行う(ステップS1)。ここでは、変換装置10は、テンプレートに合致するxFlowパケットをフォーマット変換の対象と判定し、次の処理へ透過させる(受け渡す)。
First, the conversion device 10 performs a packet transparency determination for the received xFlow packet (step S1). Here, the conversion device 10 determines that the xFlow packet that matches the template is subject to format conversion, and passes it on to the next process.
次に、変換装置10は、通過判定においてフォーマット変換の対象と判定されたxFlowパケットのパケットヘッダを書き換える(ステップS2)。
Next, the conversion device 10 rewrites the packet headers of the xFlow packets that are determined to be subject to format conversion during the pass-through determination (step S2).
さらに、変換装置10は、プロトコル解析によりxFlowパケットのヘッダ情報(Outerパケットヘッダ、Innerパケットヘッダ及びxFlowパケットのパケットヘッダ)を識別(ステップS3)する。
Furthermore, the conversion device 10 identifies the header information of the xFlow packet (the outer packet header, the inner packet header, and the packet header of the xFlow packet) through protocol analysis (step S3).
続いて、変換装置10は、識別したヘッダ情報に関する条件に基づいてxFlowパケットをグルーピングする(ステップS4)。
Then, the conversion device 10 groups the xFlow packets based on conditions related to the identified header information (step S4).
そして、変換装置10は、グループごとに定義された情報整形を実行する(ステップS5)。例えば、変換装置10は、グループ「#1」に分類されたxFlowパケットについては、Innerパケットヘッダの統計を求めるInner統計処理を実行する。また、例えば、変換装置10は、グループ「#2」に分類されたxFlowパケットについては、Outerヘッダの統計を求めるOuter統計処理を実行する。また、例えば、変換装置10は、グループ「#3」に分類されたxFlowパケットについては、Outerヘッダを削除するヘッダ削除を実行する。
Then, the conversion device 10 performs information shaping defined for each group (step S5). For example, for xFlow packets classified into group "#1", the conversion device 10 performs inner statistical processing to obtain statistics on the inner packet header. For xFlow packets classified into group "#2", the conversion device 10 performs outer statistical processing to obtain statistics on the outer header. For xFlow packets classified into group "#3", the conversion device 10 performs header deletion to delete the outer header.
変換装置10は、情報整形を実行した後のxFlowパケットを、指定された送信先に送信する。送信先は、例えば分析装置3である。図2の「xFlow分析装置A」、「xFlow分析装置B」、「パケットキャプチャ装置C」は、分析装置3の例である。
The conversion device 10 transmits the xFlow packet after performing information shaping to a specified destination. The destination is, for example, the analysis device 3. "xFlow analysis device A", "xFlow analysis device B", and "packet capture device C" in Figure 2 are examples of the analysis device 3.
[変換装置の構成]
次に、図3を用いて変換装置10の構成を説明する。図3は、変換装置の構成の一例を示すブロック図である。図2に示すように、変換装置10は、通信部11、記憶部12及び制御部13を有する。 [Configuration of conversion device]
Next, the configuration of theconversion device 10 will be described with reference to Fig. 3. Fig. 3 is a block diagram showing an example of the configuration of the conversion device. As shown in Fig. 2, the conversion device 10 includes a communication unit 11, a storage unit 12, and a control unit 13.
次に、図3を用いて変換装置10の構成を説明する。図3は、変換装置の構成の一例を示すブロック図である。図2に示すように、変換装置10は、通信部11、記憶部12及び制御部13を有する。 [Configuration of conversion device]
Next, the configuration of the
通信部11は、他の装置(例えば、NW装置2及び分析装置3)との間でデータの送受信を行うためのインタフェースである。例えば、通信部11はNIC(Network Interface Card)である。
The communication unit 11 is an interface for transmitting and receiving data between other devices (e.g., the network device 2 and the analysis device 3). For example, the communication unit 11 is a network interface card (NIC).
ここで、図4を用いて、通信部11がNW装置2から受信するxFlowパケットについて説明する。図4は、xFlowパケットの例を示す図である。
Here, we will use Figure 4 to explain the xFlow packets that the communication unit 11 receives from the network device 2. Figure 4 is a diagram showing an example of an xFlow packet.
通信部11は、xFlowパケットとしてDataパケット及びTemplateパケットを受信する。さらに、Dataパケットは、Sample DataパケットとOption Dataパケットを含む。また、Templateパケットは、Sample TemplateパケットとOption Templateパケットを含む。
The communication unit 11 receives Data packets and Template packets as xFlow packets. Furthermore, the Data packets include Sample Data packets and Option Data packets. Furthermore, the Template packets include Sample Template packets and Option Template packets.
Sample DataパケットのSample Data部分には、カプセル化パケットのパケットヘッダが1つ以上含まれる。また、Sample Templateパケット及びOption Templateパケットは、それぞれSample DataパケットとOption Dataパケットのテンプレートである。
The Sample Data portion of a Sample Data packet contains one or more packet headers of an encapsulated packet. Also, Sample Template packets and Option Template packets are templates for Sample Data packets and Option Data packets, respectively.
Sample Dataパケット、Option Dataパケット、Sample Templateパケット、及びOption Templateパケットは、いずれもxFlowパケットのL2ヘッダ(Ether)、L3ヘッダ(IP)、L4ヘッダ(UDP)に加え、xFlowヘッダを含む。すなわち、xFlowヘッダは、xFlowパケットのパケットヘッダに包含される。
Sample Data packets, Option Data packets, Sample Template packets, and Option Template packets all contain an xFlow header in addition to the L2 header (Ether), L3 header (IP), and L4 header (UDP) of an xFlow packet. In other words, the xFlow header is included in the packet header of the xFlow packet.
変換装置10は、xFlowヘッダのSet ID値から、Sample Templateパケットと、Option Templateと、Dataパケット(Sample Dataパケット又はOption Dataパケット)と、を識別することができる。変換装置10による各パケットの識別方法については後述する。
The conversion device 10 can distinguish between Sample Template packets, Option Template packets, and Data packets (Sample Data packets or Option Data packets) from the Set ID value in the xFlow header. The method by which the conversion device 10 distinguishes between packets will be described later.
記憶部12は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部12は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。
The storage unit 12 is a storage device such as a hard disk drive (HDD), a solid state drive (SSD), or an optical disk. Note that the storage unit 12 may also be a semiconductor memory in which data can be rewritten, such as a random access memory (RAM), a flash memory, or a non-volatile static random access memory (NVSRAM).
記憶部12は、変換装置10で実行されるOS(Operating System)及び各種プログラムに関するデータを記憶する。例えば、記憶部12は、テンプレートルールテーブル121及び透過フィルタテーブル122を記憶する。
The storage unit 12 stores data related to the OS (Operating System) and various programs executed by the conversion device 10. For example, the storage unit 12 stores a template rule table 121 and a transparent filter table 122.
テンプレートルールテーブル121は、透過フィルタテーブル122の作成に用いられる。また、透過フィルタテーブル122は、xFlowパケットの透過判定に用いられる。なお、テンプレートルールテーブル121及び透過フィルタテーブル122は、xFlowパケットの透過判定が行われる前に事前に設定される。
The template rule table 121 is used to create the transparent filter table 122. The transparent filter table 122 is also used to determine whether an xFlow packet is transparent. The template rule table 121 and the transparent filter table 122 are set in advance before the xFlow packet is determined to be transparent.
図5は、テンプレートルールテーブルの一例を示す図である。なお、本実施形態では、xFlowパケットはIPv4により送受信されるものとする。ただし、xFlowパケットを送受信するプロトコルはIPv4に限られず、例えばIPv6であってもよい。
FIG. 5 shows an example of a template rule table. In this embodiment, it is assumed that xFlow packets are sent and received using IPv4. However, the protocol for sending and receiving xFlow packets is not limited to IPv4 and may be, for example, IPv6.
ここで、変換装置10では、xFlowパケットのヘッダパターンごとに受信UDP Portがあらかじめ設定されている。また、NW装置2では、xFlowパケットのテンプレートとしてSample Template及びOption Templateがあらかじめ定義されている。テンプレートルールテーブル121は、設定されたUDP Port及び定義されたテンプレートに基づいて作成される。
Here, in the conversion device 10, the receiving UDP port is preset for each header pattern of the xFlow packet. Also, in the network device 2, a sample template and an option template are predefined as templates for the xFlow packet. The template rule table 121 is created based on the set UDP port and the defined template.
図5に示すように、テンプレートルールテーブル121は、「Src IP」、「Dst UDP Port」、「Obs ID(Observation Domain ID)」、「Sample Template ID」、「Option Template ID」といった項目を含む。
As shown in FIG. 5, the template rule table 121 includes items such as "Src IP", "Dst UDP Port", "Obs ID (Observation Domain ID)", "Sample Template ID", and "Option Template ID".
項目「Src IP」は、xFlowパケットの送信元のNW装置2のIPアドレスである。項目「Dst UDP Port」は、変換装置10で設定されたヘッダパターンごとの受信UDP Portであり、受信するxFlowパケットのUDP dst Portである。項目「Obs ID(Observation Domain ID)」、項目「Sample Template ID」、項目「Option Template ID」はxFlowヘッダに含まれる情報であり、テンプレート(Sample Template及びOption Template)として定義される。
The "Src IP" item is the IP address of the network device 2 that is the sender of the xFlow packet. The "Dst UDP Port" item is the receiving UDP port for each header pattern set in the conversion device 10, and is the UDP dst port of the xFlow packet to be received. The "Obs ID (Observation Domain ID)" item, the "Sample Template ID" item, and the "Option Template ID" item are information included in the xFlow header, and are defined as templates (Sample Template and Option Template).
例えば、図5には、「Src IP」が「192.168.1.1/32」であり、「Dst UDP Port」が「4739」であり、「Obs ID(Observation Domain ID)」が「1234567890」であり、「Sample Template ID」が「384」であり、「Option Template ID」が「640」である行が示されている。
For example, Figure 5 shows a row where "Src IP" is "192.168.1.1/32", "Dst UDP Port" is "4739", "Obs ID (Observation Domain ID)" is "1234567890", "Sample Template ID" is "384", and "Option Template ID" is "640".
なお、以降の説明では、テンプレートルールテーブル121及び透過フィルタテーブル122の各行をルールと呼ぶ場合がある。
In the following explanation, each row in the template rule table 121 and the transparent filter table 122 may be referred to as a rule.
図6は、透過フィルタテーブルの一例を示す図である。図6に示すように、透過フィルタテーブル122は、テンプレートルールテーブル121と同じく、「Src IP」、「Dst UDP Port」、「Obs ID(Observation Domain ID)」、「Sample Template ID」、「Option Template ID」といった項目を含む。これらの透過フィルタテーブル122の項目には、テンプレートルールテーブル121と同じ値が格納される。一方で、透過フィルタテーブル122には、テンプレートルールテーブル121には存在しないルールが登録される場合がある。
Figure 6 is a diagram showing an example of a transparent filter table. As shown in Figure 6, the transparent filter table 122, like the template rule table 121, includes items such as "Src IP", "Dst UDP Port", "Obs ID (Observation Domain ID)", "Sample Template ID", and "Option Template ID". These items in the transparent filter table 122 store the same values as those in the template rule table 121. On the other hand, rules that do not exist in the template rule table 121 may be registered in the transparent filter table 122.
さらに、透過フィルタテーブル122は、「Enable」、「Sample Recv Flag」、「Option Recv Flag」、「Sample WDT」、「Option WDT」といった項目を含む。
Furthermore, the transparent filter table 122 includes items such as "Enable", "Sample Recv Flag", "Option Recv Flag", "Sample WDT", and "Option WDT".
項目「Enable」は、ルールがテンプレートルールテーブル121に記述されているか否かを示す。同じルールがテンプレートルールテーブル121に記述されている場合(レコードとして存在している場合)は項目「Enable」の値は「1」であり、テンプレートルールテーブル121に記述されていない場合は項目「Enable」の値は「0」である。
The "Enable" item indicates whether or not the rule is described in the template rule table 121. If the same rule is described in the template rule table 121 (if it exists as a record), the value of the "Enable" item is "1", and if it is not described in the template rule table 121, the value of the "Enable" item is "0".
項目「Sample Recv Flag」及び項目「Option Recv Flag」は、それぞれSample Dataパケット及びOption Dataパケットに対するルールの状態である。これらの項目の値は、ルールが有効である場合は「1」であり、ルールが無効である場合は「0」である。
The "Sample Recv Flag" and "Option Recv Flag" items indicate the rule status for Sample Data packets and Option Data packets, respectively. The values of these items are "1" if the rule is enabled, and "0" if the rule is disabled.
また、項目「Sample Recv Flag」及び項目「Option Recv Flag」は、それぞれ項目「Sample WDT」及び項目「Option WDT」に対応する。
In addition, the items "Sample Recv Flag" and "Option Recv Flag" correspond to the items "Sample WDT" and "Option WDT", respectively.
例えば、項目「Sample WDT」の値が「0」より大きい場合、当該ルールは有効であり、項目「Sample Recv Flag」の値は「1」となる。一方、項目「Sample WDT」の値が「0」より大きくない場合、当該ルールは無効であり、項目「Sample Recv Flag」の値は「0」となる。
For example, if the value of the item "Sample WDT" is greater than "0", the rule is valid and the value of the item "Sample Recv Flag" is "1". On the other hand, if the value of the item "Sample WDT" is not greater than "0", the rule is invalid and the value of the item "Sample Recv Flag" is "0".
例えば、項目「Option WDT」の値が「0」より大きい場合、当該ルールは有効であり、項目「Option Recv Flag」の値は「1」となる。一方、項目「Option WDT」の値が「0」より大きくない場合、当該ルールは無効であり、項目「Option Recv Flag」の値は「0」となる。
For example, if the value of the item "Option WDT" is greater than "0", the rule is valid and the value of the item "Option Recv Flag" is "1". On the other hand, if the value of the item "Option WDT" is not greater than "0", the rule is invalid and the value of the item "Option Recv Flag" is "0".
項目「Sample WDT」及び項目「Option WDT」は、各ルールが無効になるまでの時間である。変換装置10は、ルールに合致するテンプレート(Sample Templateパケット又はOption Templateパケット)を受信すると、対応する項目「Sample WDT」又は項目「Option WDT」にタイマーの初期値を設定するとともに、タイマーに合わせて項目「Sample WDT」及び項目「Option WDT」のデクリメントを開始する。
The items "Sample WDT" and "Option WDT" indicate the time until each rule becomes invalid. When the conversion device 10 receives a template (Sample Template packet or Option Template packet) that matches a rule, it sets the initial value of the timer to the corresponding item "Sample WDT" or item "Option WDT" and starts decrementing the items "Sample WDT" and "Option WDT" in accordance with the timer.
変換装置10は、タイマーがタイムアウト(項目「Sample WDT」及び項目「Option WDT」の値が0)すると、対応する項目「Sample Recv Flag」又は項目「Option Recv Flag」の値を「0」に更新する。
When the timer times out (the values of the items "Sample WDT" and "Option WDT" are 0), the conversion device 10 updates the value of the corresponding item "Sample Recv Flag" or item "Option Recv Flag" to "0."
なお、項目「Sample Recv Flag」、項目「Option Recv Flag」、項目「Sample WDT」、及び項目「Option WDT」は、フィルタ透過判定において登録及び更新が行われる。その際、透過フィルタテーブル122の各項目は、前述のSample TemplateとOption Templateについて独立に登録及び更新が行われる。
Note that the items "Sample Recv Flag", "Option Recv Flag", "Sample WDT", and "Option WDT" are registered and updated during filter transparency determination. At that time, each item in the transparent filter table 122 is registered and updated independently for the aforementioned Sample Template and Option Template.
制御部13は、変換装置10全体を制御する。制御部13は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。
The control unit 13 controls the entire conversion device 10. The control unit 13 is, for example, an electronic circuit such as a CPU (Central Processing Unit), MPU (Micro Processing Unit), or GPU (Graphics Processing Unit), or an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or FPGA (Field Programmable Gate Array).
また、制御部13は、各種の処理手順を規定したプログラム及び制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部13は、各種のプログラムが動作することにより各種の処理部として機能する。
The control unit 13 also has an internal memory for storing programs and control data that define various processing procedures, and executes each process using the internal memory. The control unit 13 also functions as various processing units by running various programs.
例えば、制御部13は、判定部131、書き換え部132、解析部133、グルーピング部134及び整形部135を有する。
For example, the control unit 13 has a determination unit 131, a rewriting unit 132, an analysis unit 133, a grouping unit 134, and a shaping unit 135.
判定部131は、パケット透過判定(図2のステップS1に相当)を行う。図7を用いて、パケット透過判定を含む変換装置10の処理の流れを説明する。図7は、変換装置の処理の流れを示すフローチャートである。
The determination unit 131 performs packet transparency determination (corresponding to step S1 in FIG. 2). The process flow of the conversion device 10, including the packet transparency determination, will be described with reference to FIG. 7. FIG. 7 is a flowchart showing the process flow of the conversion device.
なお、判定部131は、処理対象でないと判定したxFlowパケットを、図7のステップS13又はステップS14において廃棄する。また、書き換え部132は、判定部131によって処理対象であると判定されたxFlowパケットのxFlowヘッダの書き換えを行う(ステップS19)。その後、解析部133、グルーピング部134及び整形部135は、xFlowヘッダの書き換えが行われたxFlowパケットの解析及び変換を行う(ステップS20)。なお、図7では主にパケット透過判定について説明し、ステップS19以降の処理の詳細については後述する。
Note that the determination unit 131 discards xFlow packets that it determines are not to be processed in step S13 or step S14 of FIG. 7. The rewriting unit 132 rewrites the xFlow header of the xFlow packet that the determination unit 131 determines are to be processed (step S19). After that, the analysis unit 133, grouping unit 134, and shaping unit 135 analyze and convert the xFlow packet whose xFlow header has been rewritten (step S20). Note that FIG. 7 mainly describes the packet transparency determination, and the details of the processing from step S19 onwards will be described later.
また、NW装置2は、テンプレートルールテーブル121に設定されたルールに示されたUDP PortにxFlowパケットを送信する。ただし、変換装置10が受信するパケットは、ルールに従ったxFlowパケットであるとは限らない。変換装置10は、xFlowパケットを受信すると図7の処理を開始する。
The network device 2 also sends xFlow packets to the UDP port indicated in the rule set in the template rule table 121. However, the packets received by the conversion device 10 are not necessarily xFlow packets that comply with the rule. When the conversion device 10 receives an xFlow packet, it starts the process shown in FIG. 7.
図7に示すように、判定部131は、受信したxFlowパケットがIPv4により受信され、かつUDPプロトコルに従ったものであるか否かを判定する(ステップS11)。
As shown in FIG. 7, the determination unit 131 determines whether the received xFlow packet was received via IPv4 and complies with the UDP protocol (step S11).
判定部131は、受信したxFlowパケットがIPv4により受信され、かつUDPプロトコルに従ったものである場合(ステップS11、Yes)、ステップS12へ進む。
If the received xFlow packet was received via IPv4 and conforms to the UDP protocol (step S11, Yes), the determination unit 131 proceeds to step S12.
一方、判定部131は、受信したxFlowパケットがIPv4により受信されたものでないか、又はUDPプロトコルに従ったものでない場合(ステップS11、No)、xFlowパケットを廃棄し(ステップS14)、処理を終了する。
On the other hand, if the received xFlow packet was not received via IPv4 or does not comply with the UDP protocol (step S11, No), the determination unit 131 discards the xFlow packet (step S14) and terminates the process.
ステップS12において、判定部131は、xFlowパケットを受信したDst Portが、透過フィルタテーブル122の項目「Dst UDP Port」に設定済みのPortであるか否かを判定する。
In step S12, the determination unit 131 determines whether the destination port that received the xFlow packet is a port that has been set in the "Destination UDP Port" item of the transparent filter table 122.
判定部131は、xFlowパケットを受信したDst Portが、透過フィルタテーブル122の項目「Dst UDP Port」に設定済みのPortである場合(ステップS12、Yes)、ステップS15へ進む。
If the destination port that received the xFlow packet is a port that has been set in the "Destination UDP Port" item of the transparent filter table 122 (step S12, Yes), the determination unit 131 proceeds to step S15.
判定部131は、xFlowパケットを受信したDst Portが、透過フィルタテーブル122の項目「Dst UDP Port」に設定済みのPortでない場合(ステップS12、No)、xFlowパケットを廃棄し(ステップS13)、処理を終了する。
If the destination port that received the xFlow packet is not a port that has been set in the "Destination UDP Port" item of the transparent filter table 122 (step S12, No), the determination unit 131 discards the xFlow packet (step S13) and terminates the process.
ステップS15では、判定部131は、xFlowヘッダのSet IDが「2」であるか否かを判定する。判定部131は、xFlowヘッダのSet IDが「2」である場合(ステップS15、Yes)、xFlowパケットをSample Templateパケットとみなし、ステップS18へ進む。なお、ここでは例としてxFlowパケットがIPFIXパケットである場合のSet IDの例を説明する。
In step S15, the determination unit 131 determines whether the Set ID in the xFlow header is "2". If the Set ID in the xFlow header is "2" (step S15, Yes), the determination unit 131 regards the xFlow packet as a Sample Template packet and proceeds to step S18. Note that here, an example of the Set ID when the xFlow packet is an IPFIX packet will be described as an example.
判定部131は、xFlowヘッダのSet IDが「2」でない場合(ステップS15、No)、Set IDが「3」であるか否かを判定する(ステップS16)。判定部131は、xFlowヘッダのSet IDが「3」である場合(ステップS16、Yes)、xFlowパケットをOption Templateパケットとみなし、ステップS18へ進む。
If the Set ID in the xFlow header is not "2" (step S15, No), the determination unit 131 determines whether the Set ID is "3" (step S16). If the Set ID in the xFlow header is "3" (step S16, Yes), the determination unit 131 regards the xFlow packet as an Option Template packet and proceeds to step S18.
判定部131は、xFlowヘッダのSet IDが「3」でない場合(ステップS16、No)、Set IDが「256」以上であるか否かを判定する(ステップS17)。判定部131は、xFlowヘッダのSet IDが「256」以上である場合(ステップS17、Yes)、xFlowパケットをDataパケット(Sample Dataパケット又はOption Dataパケット)とみなし、ステップS18へ進む。
If the Set ID in the xFlow header is not "3" (step S16, No), the determination unit 131 determines whether the Set ID is "256" or greater (step S17). If the Set ID in the xFlow header is "256" or greater (step S17, Yes), the determination unit 131 regards the xFlow packet as a Data packet (Sample Data packet or Option Data packet) and proceeds to step S18.
判定部131は、xFlowヘッダのSet IDが「256」以上でない場合(ステップS17、No)、xFlowパケットを廃棄し(ステップS14)、処理を終了する。
If the Set ID in the xFlow header is not "256" or greater (step S17, No), the determination unit 131 discards the xFlow packet (step S14) and terminates the process.
判定部131は、透過フィルタ処理(ステップS18)の結果に応じて、xFlowパケットを廃棄するか(ステップS14)、又はxFlowパケットを後段の処理(ステップS19)に受け渡す。
Depending on the result of the transparent filter processing (step S18), the determination unit 131 either discards the xFlow packet (step S14) or passes the xFlow packet to subsequent processing (step S19).
図8を用いて、透過フィルタ処理(図7のステップS18)の流れを説明する。図8は、透過フィルタ処理の流れを示すフローチャートである。以降の説明では、透過フィルタテーブル122の各項目の値を、各項目名を変数名とする変数として表す。例えば、項目「Sample Recv Flag」の値が「1」であることは、「Sample Recv Flag=1」のように表記する。また、透過フィルタテーブル122にルールが存在するか否かを判定する処理では、Enable=1であることが前提である。すなわち、判定部131は、Enable=1でないルールを存在しないルールとみなす。
The flow of the transparent filter processing (step S18 in FIG. 7) will be explained using FIG. 8. FIG. 8 is a flowchart showing the flow of the transparent filter processing. In the following explanation, the value of each item in the transparent filter table 122 will be represented as a variable with the name of each item as the variable name. For example, the value of the item "Sample Recv Flag" being "1" will be represented as "Sample Recv Flag=1". Furthermore, the process of determining whether or not a rule exists in the transparent filter table 122 is premised on Enable=1. In other words, the determination unit 131 considers a rule for which Enable is not 1 to be a non-existent rule.
まず、判定部131がxFlowパケットをDataパケット(Sample Dataパケット又はOption Dataパケット)とみなした場合、すなわち図7のS17から透過フィルタ処理(ステップS18)へ進んだ場合の処理を説明する。
First, we will explain the process when the determination unit 131 determines that the xFlow packet is a Data packet (Sample Data packet or Option Data packet), that is, when the process proceeds from S17 in FIG. 7 to the transparent filter process (step S18).
判定部131は、透過フィルタテーブル122を参照し、Sample Recv Flag=1、かつxFlowパケットのSet ID=Sample Template ID、かつxFlowパケットとSrc IP、dst UDP Port、Obs IDが合致する行(ルール)が存在するか否かを判定する(ステップS181)。
The determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists in which Sample Recv Flag=1, the Set ID of the xFlow packet=Sample Template ID, and the Src IP, dst UDP Port, and Obs ID match those of the xFlow packet (step S181).
判定部131は、ステップS181に示すルールが存在する場合(ステップS181、Yes)、xFlowパケットをSample Dataパケットとみなし、xFlowパケットを後段の処理(ステップS19)に受け渡す。
If the rule shown in step S181 exists (step S181, Yes), the determination unit 131 regards the xFlow packet as a Sample Data packet and passes the xFlow packet to subsequent processing (step S19).
判定部131は、ステップS181に示すルールが存在しない場合(ステップS181、No)、透過フィルタテーブル122を参照し、Sample Recv Flag=1、かつxFlowパケットのSet ID=Option Template ID、かつxFlowパケットとSrc IP、dst UDP Port、Obs IDが合致する行(ルール)が存在するか否かを判定する(ステップS182)。
If the rule shown in step S181 does not exist (step S181, No), the determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists in which Sample Recv Flag=1, the Set ID of the xFlow packet=Option Template ID, and the Src IP, dst UDP Port, and Obs ID of the xFlow packet match (step S182).
判定部131は、ステップS182に示すルールが存在する場合(ステップS182、Yes)、xFlowパケットをOption Dataパケットとみなし、xFlowパケットを後段の処理(ステップS19)に受け渡す。
If the rule shown in step S182 exists (step S182, Yes), the determination unit 131 regards the xFlow packet as an Option Data packet and passes the xFlow packet to subsequent processing (step S19).
一方、判定部131は、ステップS182に示すルールが存在しない場合(ステップS182、No)、ステップS14へ進みxFlowパケットを廃棄する。
On the other hand, if the rule shown in step S182 does not exist (step S182, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
次に、判定部131がxFlowパケットをSample Templateパケットとみなした場合、すなわち図7のS15から透過フィルタ処理(ステップS18)へ進んだ場合の処理を説明する。
Next, we will explain the processing when the determination unit 131 determines that the xFlow packet is a Sample Template packet, that is, when the process proceeds from S15 in FIG. 7 to the transparent filter processing (step S18).
判定部131は、透過フィルタテーブル122を参照し、xFlowパケットとSrc IP、dst UDP Port、Obs ID、Sample Template IDが合致する行(ルール)が存在するか否かを判定する(ステップS183)。
The determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists whose Src IP, dst UDP Port, Obs ID, and Sample Template ID match those of the xFlow packet (step S183).
判定部131は、ステップS183に示すルールが存在する場合(ステップS183、Yes)、ステップS184へ進む。
If the rule shown in step S183 exists (step S183, Yes), the determination unit 131 proceeds to step S184.
一方、判定部131は、ステップS183に示すルールが存在しない場合(ステップS183、No)、ステップS14へ進みxFlowパケットを廃棄する。
On the other hand, if the rule shown in step S183 does not exist (step S183, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
ステップS184では、判定部131は、合致した行のタイマーをセットする。すなわち、判定部131は、Sample WDTにタイマ初期値を設定し、Sample Recv Flag=1と設定する。
In step S184, the determination unit 131 sets the timer for the matching row. That is, the determination unit 131 sets the timer initial value in Sample WDT and sets Sample Recv Flag=1.
さらに、判定部131は、セットしたタイマーがタイムアウトになった場合、Sample WDT=0、Sample Recv Flag=0と設定する(ステップS185)。
Furthermore, if the set timer times out, the determination unit 131 sets Sample WDT=0 and Sample Recv Flag=0 (step S185).
続いて、判定部131がxFlowパケットをOption Templateパケットとみなした場合、すなわち図7のS16から透過フィルタ処理(ステップS18)へ進んだ場合の処理を説明する。
Next, we will explain the processing when the determination unit 131 determines that the xFlow packet is an Option Template packet, that is, when the process proceeds from S16 in FIG. 7 to the transparent filter processing (step S18).
判定部131は、透過フィルタテーブル122を参照し、xFlowパケットとSrc IP、dst UDP Port、Obs ID、Option Template IDが合致する行(ルール)が存在するか否かを判定する(ステップS186)。
The determination unit 131 refers to the transparent filter table 122 and determines whether or not a row (rule) exists whose Src IP, dst UDP Port, Obs ID, and Option Template ID match those of the xFlow packet (step S186).
判定部131は、ステップS186に示すルールが存在する場合(ステップS186、Yes)、ステップS187へ進む。
If the rule shown in step S186 exists (step S186, Yes), the determination unit 131 proceeds to step S187.
一方、判定部131は、ステップS186に示すルールが存在しない場合(ステップS186、No)、ステップS14へ進みxFlowパケットを廃棄する。
On the other hand, if the rule shown in step S186 does not exist (step S186, No), the determination unit 131 proceeds to step S14 and discards the xFlow packet.
ステップS187では、判定部131は、合致した行のタイマーをセットする。すなわち、判定部131は、Option WDTにタイマ初期値を設定し、Option Recv Flag=1と設定する。
In step S187, the determination unit 131 sets the timer for the matching row. That is, the determination unit 131 sets the timer initial value to Option WDT and sets Option Recv Flag = 1.
さらに、判定部131は、セットしたタイマーがタイムアウトになった場合、Option WDT=0、Option Recv Flag=0と設定する(ステップS188)。
Furthermore, if the set timer times out, the determination unit 131 sets Option WDT=0 and Option Recv Flag=0 (step S188).
このように、判定部131は、xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、xFlowパケットが処理対象であるか否かを判定する。また、処理対象のxFlowパケットは、プロトコル解析、及び後に続くフォーマット変換の対象のxFlowパケットである。
In this way, the determination unit 131 determines whether or not an xFlow packet is to be processed based on the L2 header, L3 header, L4 header, and xFlow header contained in the xFlow packet. Furthermore, an xFlow packet to be processed is an xFlow packet that is to be subjected to protocol analysis and subsequent format conversion.
例えば、判定部131は、図7のステップS11では、L2ヘッダであるイーサヘッダから、xFlowパケットがIPv4によって受信されたか否かを判定することができる。
For example, in step S11 of FIG. 7, the determination unit 131 can determine whether or not the xFlow packet was received via IPv4 from the Ether header, which is an L2 header.
また、図8のステップ181等では、判定部131は、L3ヘッダであるIPヘッダ、L4ヘッダであるUDPヘッダ及びxFlowヘッダの情報に基づき判定を行うことができる。
Furthermore, in step 181 of FIG. 8, the determination unit 131 can make a determination based on information in the IP header, which is an L3 header, and the UDP header and xFlow header, which are L4 headers.
図9を用いて、判定部131が透過フィルタテーブル122を更新する手順を説明する。図9は、透過フィルタテーブルを更新する手順を説明する図である。判定部131は、Sample TemplateパケットとOption Templateパケットについて独立に透過フィルタテーブル122にタイマーをセットする。
The procedure by which the determination unit 131 updates the transparent filter table 122 will be described with reference to FIG. 9. FIG. 9 is a diagram illustrating the procedure by which the transparent filter table is updated. The determination unit 131 sets timers in the transparent filter table 122 independently for Sample Template packets and Option Template packets.
図9の122aは、第1の時刻の透過フィルタテーブル122である。第1の時刻において、変換装置10は、Src IP=192.168.1.1/32であるルールに合致するSample Templateパケットと、当該ルールに合致するOption Templateパケットの両方を受信したものとする。
In FIG. 9, 122a indicates the transparent filter table 122 at the first time. At the first time, the conversion device 10 receives both a Sample Template packet that matches the rule with Src IP=192.168.1.1/32, and an Option Template packet that matches the rule.
このとき、判定部131は、ルールに対応するSample Recv FlagとOption Recv Flagの両方を「1」に更新するとともに、Sample WDTと項目Option WDTの両方にタイマーの初期値「10」を設定する。なお、タイマーの単位は例えば秒であり、判定部131は1秒周期で0になるまでタイマーをデクリメントする。
At this time, the determination unit 131 updates both the Sample Recv Flag and Option Recv Flag corresponding to the rule to "1", and sets the timer initial value "10" for both the Sample WDT and the Option WDT item. Note that the timer is measured in seconds, for example, and the determination unit 131 decrements the timer in one-second cycles until it reaches 0.
設定したタイマーが「0」、すなわちタイムアウトになった場合、判定部131はRecv FlagとOption Recv Flagを「0」に更新する。
If the set timer is "0", i.e., if a timeout occurs, the judgment unit 131 updates the Recv Flag and Option Recv Flag to "0".
ただし、図9の122bに示すように、タイムアウト前にルールに合致するSample Templateパケットを変換装置10がさらに受信した場合、判定部131は当該ルールのSample Recv Flagを「1」に更新するとともに、Sample WDTにタイマーの初期値「10」を設定する。
However, as shown in 122b of FIG. 9, if the conversion device 10 further receives a Sample Template packet that matches the rule before the timeout, the determination unit 131 updates the Sample Recv Flag of that rule to "1" and sets the Sample WDT to the timer's initial value of "10."
このように、判定部131は、テンプレートに合致するxFlowパケットであって、xFlowヘッダのフィールドに特定の値が設定されたxFlowパケットを受信した場合、タイマーをセットし、タイマーがタイムアウトするまでの間、テンプレートに合致するxFlowパケットが処理対象であると判定し、タイマーがタイムアウトした後は、テンプレートに合致するxFlowパケットが処理対象でないと判定する。なお、xFlowヘッダのフィールドに特定の値が設定されたxFlowパケットは、例えばxFlowヘッダのSet IDに「2」又は「3」が設定されたxFlowパケットである。
In this way, when the determination unit 131 receives an xFlow packet that matches a template and has a specific value set in a field of the xFlow header, it sets a timer and determines that the xFlow packet that matches the template is to be processed until the timer times out, and after the timer times out, it determines that the xFlow packet that matches the template is not to be processed. An xFlow packet with a specific value set in a field of the xFlow header is, for example, an xFlow packet with "2" or "3" set in the Set ID of the xFlow header.
図3に戻り、書き換え部132は、判定部131によってフォーマット変換の対象と判定され、受け渡されたxFlowヘッダを書き換える(図2のステップS2に相当)。
Returning to FIG. 3, the rewriting unit 132 rewrites the xFlow header that has been determined by the determination unit 131 to be subject to format conversion and that has been passed to it (corresponding to step S2 in FIG. 2).
書き換え部132は、判定部131によって解析対象であると判定された複数のxFlowパケットであって、xFlowヘッダのフィールド構成が異なる複数のxFlowパケットのxFlowヘッダのフィールド構成が、あらかじめ指定されたフィールド構成になるように、複数のxFlowパケットのxFlowヘッダを書き換える。書き換え部132は、判定部131から受け渡されたSample Dataパケット及びOption Dataパケットそれぞれについて、xFlowヘッダを書き換えてフィールド構成、すなわちヘッダパターンを統一する。
The rewriting unit 132 rewrites the xFlow headers of multiple xFlow packets that have been determined by the determination unit 131 to be analysis targets and have different field configurations in their xFlow headers so that the field configurations of the xFlow headers of the multiple xFlow packets match a pre-specified field configuration. The rewriting unit 132 rewrites the xFlow headers of each of the Sample Data packets and Option Data packets passed from the determination unit 131 to unify the field configurations, i.e., the header patterns.
書き換え部132は、ヘッダパターンをxFlowパケットのUDP dst Portで識別することができる。また、書き換え部132は、xFlowパケットのUDP dst Portと、そのPortに対応する書き換え種別番号の情報をあらかじめテーブルに保持している。書き換え種別番号は、受信したxFlowパケットのxFlowヘッダパターンと、それをどのヘッダパターンに書き換えるかという書き換え処理情報に対応しており、書き換え前後のヘッダパターンの組み合わせごとに値が設定されている。このことを利用して、書き換え部132は、判定部131によって解析対象であると判定されたxFlowパケットであって、UDPプロトコルに従うxFlowパケットのヘッダパターンの書き換え処理をUDP dst Portに基づいて決定し、xFlowパケットのxFlowヘッダを書き換える。書き換え前後のヘッダパターンが同じ場合は、xFlowヘッダを書き換えない。また、書き換え後のヘッダパターンのフィールド構成は、あらかじめ設定され、変換装置10によって記憶されているものとする。
The rewriting unit 132 can identify the header pattern by the UDP dst port of the xFlow packet. The rewriting unit 132 also holds information on the UDP dst port of the xFlow packet and the rewriting type number corresponding to that port in a table in advance. The rewriting type number corresponds to the xFlow header pattern of the received xFlow packet and the rewriting process information on which header pattern to rewrite it to, and a value is set for each combination of the header patterns before and after rewriting. Using this, the rewriting unit 132 determines the rewriting process of the header pattern of the xFlow packet that is determined by the determination unit 131 to be the analysis target and conforms to the UDP protocol, based on the UDP dst port, and rewrites the xFlow header of the xFlow packet. If the header patterns before and after rewriting are the same, the xFlow header is not rewritten. Also, it is assumed that the field configuration of the header pattern after rewriting is set in advance and stored by the conversion device 10.
書き換え後のヘッダパターンのフィールド構成には、例えば、書き換え対象の全てのヘッダパターンに含まれるフィールドを含む。また、書き換えにより新たに追加されるフィールドには0を入れる(0埋め(zero padding))。
The field configuration of the header pattern after rewriting includes, for example, fields that are included in all header patterns to be rewritten. In addition, fields that are newly added as a result of rewriting are filled with zeros (zero padding).
図10を用いて、書き換え部132によるがxFlowヘッダを書き換える手順を説明する。図10は、xFlowヘッダを書き換える例を示す図であり、書き換え後のヘッダパターンをCパターンとしている。
The procedure for rewriting the xFlow header by the rewriting unit 132 will be described with reference to FIG. 10. FIG. 10 is a diagram showing an example of rewriting the xFlow header, where the header pattern after rewriting is pattern C.
図10のAパターンのIPFIXヘッダ、及びBパターンのIPFIXヘッダは、書き換え対象のヘッダパターンを有する。また、書き換え部132は、AパターンのIPFIXヘッダ及びBパターンのIPFIXヘッダを書き換えて、Cパターンのフィールドに統一する。AパターンとBパターンのxFlowパケットのUDP dst Portに対応する書き換え種別番号に対応付けられた書き換え処理情報は、いずれも書き換え後のヘッダパターンがCパターンになるような書き換えを示している。
The IPFIX header of pattern A and the IPFIX header of pattern B in FIG. 10 have header patterns to be rewritten. In addition, the rewriting unit 132 rewrites the IPFIX header of pattern A and the IPFIX header of pattern B to unify them into fields of pattern C. The rewrite process information associated with the rewrite type number corresponding to the UDP dst Port of the xFlow packets of patterns A and B both indicates rewriting so that the header pattern after rewriting becomes pattern C.
書き換え部132は、AパターンのxFlowパケットのUDP dst Portに対応する書き換え種別番号に対応付けられた書き換え処理情報に従い、1バイトのフィールド「IPFIX Set/Direction」、及び2バイトのフィールド「IPFIX Set/dataLinkFrameSize」をAパターンに追加する。また、書き換え部132は、追加したフィールドに0を入れる。
The rewriting unit 132 adds a 1-byte field "IPFIX Set/Direction" and a 2-byte field "IPFIX Set/dataLinkFrameSize" to the A pattern according to the rewriting process information associated with the rewriting type number corresponding to the UDP dst Port of the xFlow packet of the A pattern. The rewriting unit 132 also enters 0 into the added fields.
書き換え部132は、BパターンのxFlowパケットのUDP dst Portに対応する書き換え種別番号に対応付けられた書き換え処理情報に従い、1バイトのフィールド「IPFIX Set/Direction」をBパターンに追加する。また、書き換え部132は、追加したフィールドに0を入れる。
The rewrite unit 132 adds a 1-byte field "IPFIX Set/Direction" to the pattern B according to the rewrite process information associated with the rewrite type number corresponding to the UDP dst port of the xFlow packet of the pattern B. The rewrite unit 132 also enters 0 into the added field.
図3に戻り、解析部133は、判定部131によって処理対象であると判定されたxFlowパケットを解析する。また、判定部131によって処理対象であると判定されたxFlowパケットは、書き換え部132によってxFlowヘッダが書き換えられる場合がある。その場合、例えば、解析部133は、書き換え部132によってxFlowヘッダが書き換えられたxFlowパケットのプロトコル解析を行う(図2のステップS3に相当)。
Returning to FIG. 3, the analysis unit 133 analyzes the xFlow packet that the determination unit 131 has determined to be the target of processing. Furthermore, the xFlow header of the xFlow packet that the determination unit 131 has determined to be the target of processing may be rewritten by the rewriting unit 132. In such a case, for example, the analysis unit 133 performs protocol analysis of the xFlow packet whose xFlow header has been rewritten by the rewriting unit 132 (corresponding to step S3 in FIG. 2).
グルーピング部134は、パケットのグルーピング(図2のステップS4に相当)を行う。
The grouping unit 134 performs packet grouping (corresponding to step S4 in FIG. 2).
整形部135は、情報整形(図2のステップS5に相当)を行う。また、変換装置10は、整形部135による情報整形により得られた情報を分析装置3に送信する。
The formatting unit 135 performs information formatting (corresponding to step S5 in FIG. 2). In addition, the conversion device 10 transmits the information obtained by the information formatting by the formatting unit 135 to the analysis device 3.
[第1の実施形態の効果]
これまで説明してきたように、実施形態に係る変換装置10は、判定部131及び解析部133を有する。判定部131は、xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、xFlowパケットが処理対象であるか否かを判定する。解析部133は、判定部131によって処理対象であると判定されたxFlowパケットを解析する。このように、判定部131の判定により、解析部133が解析する対象のxFlowパケットが絞り込まれる。その結果、本実施形態によれば、パケットヘッダの解析に要する処理負荷を低減させることができる。 [Effects of the First Embodiment]
As described above, theconversion device 10 according to the embodiment includes a determination unit 131 and an analysis unit 133. The determination unit 131 determines whether or not an xFlow packet is a processing target based on the L2 header, L3 header, L4 header, and xFlow header included in the xFlow packet. The analysis unit 133 analyzes the xFlow packet determined by the determination unit 131 to be a processing target. In this manner, the determination by the determination unit 131 narrows down the xFlow packets to be analyzed by the analysis unit 133. As a result, according to this embodiment, it is possible to reduce the processing load required for analyzing packet headers.
これまで説明してきたように、実施形態に係る変換装置10は、判定部131及び解析部133を有する。判定部131は、xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、xFlowパケットが処理対象であるか否かを判定する。解析部133は、判定部131によって処理対象であると判定されたxFlowパケットを解析する。このように、判定部131の判定により、解析部133が解析する対象のxFlowパケットが絞り込まれる。その結果、本実施形態によれば、パケットヘッダの解析に要する処理負荷を低減させることができる。 [Effects of the First Embodiment]
As described above, the
判定部131は、テンプレートに合致するxFlowパケットであって、xFlowヘッダのフィールドに特定の値が設定されたxFlowパケットを受信した場合、タイマーをセットし、タイマーがタイムアウトするまでの間、テンプレートに合致するxFlowパケットが処理対象であると判定し、タイマーがタイムアウトした後は、テンプレートに合致するxFlowパケットが処理対象でないと判定する。
When the determination unit 131 receives an xFlow packet that matches a template and has a specific value set in a field of the xFlow header, it sets a timer and determines that the xFlow packet that matches the template is to be processed until the timer times out, and after the timer times out, it determines that the xFlow packet that matches the template is not to be processed.
変換装置10は、さらに書き換え部132を有する。書き換え部132は、判定部131によって解析対象であると判定された複数のxFlowパケットであって、xFlowヘッダのフィールド構成が異なる複数のxFlowパケットのxFlowヘッダのフィールド構成が、あらかじめ指定されたフィールド構成になるように、複数のxFlowパケットのxFlowヘッダを書き換える。xFlow種別が同じであっても、xFlowヘッダのフィールド構成が異なるxFlowパケットが存在する。本実施形態によれば、そのようなxFlowパケットを効率良く解析することが可能になる。
The conversion device 10 further includes a rewriting unit 132. The rewriting unit 132 rewrites the xFlow headers of multiple xFlow packets that have been determined by the determination unit 131 to be the subject of analysis and have different field configurations in their xFlow headers so that the field configurations of the xFlow headers of the multiple xFlow packets become a pre-specified field configuration. Even if the xFlow type is the same, there are xFlow packets that have different field configurations in their xFlow headers. According to this embodiment, it becomes possible to efficiently analyze such xFlow packets.
書き換え部132は、判定部131によって解析対象であると判定されたxFlowパケットであって、UDPプロトコルに従うxFlowパケットのxFlowヘッダのフィールド構成が、xFlowパケットを受信したUDPポートに対応付けられたフィールド構成になるように、xFlowパケットのxFlowヘッダを書き換える。これにより、変換装置10は、書き換え先のフィールド構成を送信元に対応付けて容易に管理することができる。
The rewriting unit 132 rewrites the xFlow header of an xFlow packet that is determined by the determination unit 131 to be an analysis target and conforms to the UDP protocol, so that the field configuration of the xFlow header of the xFlow packet becomes the field configuration associated with the UDP port that received the xFlow packet. This enables the conversion device 10 to easily manage the field configuration of the rewritten destination by associating it with the source.
[システム構成]
図1に示した変換装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、変換装置10の機能の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。 [System configuration]
Each component of theconversion device 10 shown in Fig. 1 is a functional concept, and does not necessarily have to be physically configured as shown in the figure. In other words, the specific form of distribution and integration of the functions of the conversion device 10 is not limited to that shown in the figure, and all or part of it can be functionally or physically distributed or integrated in any unit depending on various loads, usage conditions, etc.
図1に示した変換装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、変換装置10の機能の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。 [System configuration]
Each component of the
また、変換装置10においておこなわれる各処理は、全部又は任意の一部が、CPU及びCPUにより解析実行されるプログラムにて実現されてもよい。また、変換装置10においておこなわれる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
Furthermore, each process performed by the conversion device 10 may be realized, in whole or in part, by a CPU and a program analyzed and executed by the CPU. Furthermore, each process performed by the conversion device 10 may be realized as hardware using wired logic.
また、実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部又は一部を手動的に行うこともできる。もしくは、手動的におこなわれるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
Furthermore, among the processes described in the embodiments, all or part of the processes described as being performed automatically can also be performed manually. Alternatively, all or part of the processes described as being performed manually can also be performed automatically using known methods. In addition, the information including the processing procedures, control procedures, specific names, various data, and parameters described above and illustrated can be modified as appropriate unless otherwise specified.
[プログラム]
図11は、プログラムが実行されることにより、変換装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。 [program]
11 is a diagram showing an example of a computer in which a conversion device is realized by executing a program. Thecomputer 1000 has, for example, a memory 1010 and a CPU 1020. The computer 1000 also has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. These components are connected by a bus 1080.
図11は、プログラムが実行されることにより、変換装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。 [program]
11 is a diagram showing an example of a computer in which a conversion device is realized by executing a program. The
メモリ1010は、ROM1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The memory 1010 includes a ROM 1011 and a RAM 1012. The ROM 1011 stores a boot program such as a BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to a hard disk drive 1090. The disk drive interface 1040 is connected to a disk drive 1100. A removable storage medium such as a magnetic disk or optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to a mouse 1110 and a keyboard 1120, for example. The video adapter 1060 is connected to a display 1130, for example.
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、変換装置10の各処理を規定するプログラムは、コンピュータ1000により実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、変換装置10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
The hard disk drive 1090 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, the program that defines each process of the conversion device 10 is implemented as a program module 1093 in which code executable by the computer 1000 is written. The program module 1093 is stored, for example, in the hard disk drive 1090. For example, a program module 1093 for executing processes similar to the functional configuration of the conversion device 10 is stored in the hard disk drive 1090. The hard disk drive 1090 may be replaced by an SSD.
また、上述した実施の形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
Furthermore, the setting data used in the processing of the above-mentioned embodiment is stored as program data 1094, for example, in memory 1010 or hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 or program data 1094 stored in memory 1010 or hard disk drive 1090 into RAM 1012 as necessary and executes it.
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The program module 1093 and program data 1094 may not necessarily be stored in the hard disk drive 1090, but may be stored in a removable storage medium, for example, and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and program data 1094 may be stored in another computer connected via a network (such as a LAN (Local Area Network), WAN (Wide Area Network)). The program module 1093 and program data 1094 may then be read by the CPU 1020 from the other computer via the network interface 1070.
以上、本発明者によってなされた発明を適用した実施の形態について説明したが、本実施の形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施の形態に基づいて当業者等によりなされる他の実施の形態、実施例及び運用技術等はすべて本発明の範疇に含まれる。
The above describes an embodiment of the invention made by the inventor, but the present invention is not limited to the descriptions and drawings that form part of the disclosure of the present invention according to this embodiment. In other words, all other embodiments, examples, and operational techniques made by those skilled in the art based on this embodiment are included in the scope of the present invention.
1 通信システム
2 NW装置
3 分析装置
10 変換装置
11 通信部
12 記憶部
13 制御部
121 テンプレートルールテーブル
122 透過フィルタテーブル
131 判定部
132 書き換え部
133 解析部
134 グルーピング部
135 整形部 REFERENCE SIGNSLIST 1 Communication system 2 Network device 3 Analysis device 10 Conversion device 11 Communication unit 12 Storage unit 13 Control unit 121 Template rule table 122 Transparent filter table 131 Determination unit 132 Rewriting unit 133 Analysis unit 134 Grouping unit 135 Shaping unit
2 NW装置
3 分析装置
10 変換装置
11 通信部
12 記憶部
13 制御部
121 テンプレートルールテーブル
122 透過フィルタテーブル
131 判定部
132 書き換え部
133 解析部
134 グルーピング部
135 整形部 REFERENCE SIGNS
Claims (5)
- xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、前記xFlowパケットが処理対象であるか否かを判定する判定部と、
前記判定部によって処理対象であると判定されたxFlowパケットを解析する解析部と、
を有することを特徴とする変換装置。 a determination unit that determines whether or not an xFlow packet is to be processed based on an L2 header, an L3 header, an L4 header, and an xFlow header included in the xFlow packet;
an analysis unit that analyzes an xFlow packet that is determined to be a processing target by the determination unit;
A conversion device comprising: - 前記判定部は、テンプレートに合致するxFlowパケットであって、xFlowヘッダのフィールドに特定の値が設定されたxFlowパケットを受信した場合、タイマーをセットし、前記タイマーがタイムアウトするまでの間、前記テンプレートに合致するxFlowパケットが処理対象であると判定し、前記タイマーがタイムアウトした後は、前記テンプレートに合致するxFlowパケットが処理対象でないと判定することを特徴とする請求項1に記載の変換装置。 The conversion device according to claim 1, characterized in that when the determination unit receives an xFlow packet that matches a template and has a specific value set in a field of the xFlow header, the determination unit sets a timer, determines that the xFlow packet that matches the template is to be processed until the timer times out, and determines that the xFlow packet that matches the template is not to be processed after the timer times out.
- 前記判定部によって解析対象であると判定され、xFlowヘッダのフィールド構成が異なる複数のxFlowパケットであって、UDPプロトコルに従う複数のxFlowパケットのxFlowヘッダのフィールド構成を、前記複数のxFlowパケットを受信したUDPポートに対応付けられた書き換え処理情報に基づいて書き換えることを特徴とする請求項1に記載の変換装置。 The conversion device according to claim 1, characterized in that the conversion device rewrites the field configurations of the xFlow headers of multiple xFlow packets that are determined by the determination unit to be analysis targets and have different field configurations of the xFlow headers according to the UDP protocol based on rewrite processing information associated with the UDP ports that received the multiple xFlow packets.
- 変換装置によって実行される変換方法であって、
xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、前記xFlowパケットが処理対象であるか否かを判定する判定工程と、
前記判定工程によって処理対象であると判定されたxFlowパケットを解析する解析工程と、
を含むことを特徴とする変換方法。 A conversion method performed by a conversion device, comprising:
a determination step of determining whether or not the xFlow packet is to be processed based on an L2 header, an L3 header, an L4 header, and an xFlow header included in the xFlow packet;
an analysis step of analyzing an xFlow packet determined to be a processing target by the determination step;
A method for converting, comprising: - コンピュータに、
xFlowパケットに含まれるL2ヘッダ、L3ヘッダ、L4ヘッダ、及びxFlowヘッダを基に、前記xFlowパケットが処理対象であるか否かを判定する判定ステップと、
前記判定ステップによって処理対象であると判定されたxFlowパケットを解析する解析ステップと、
を実行させることを特徴とする変換プログラム。 On the computer,
a determination step of determining whether or not the xFlow packet is a processing target based on an L2 header, an L3 header, an L4 header, and an xFlow header included in the xFlow packet;
an analysis step of analyzing the xFlow packet determined to be a processing target in the determination step;
A conversion program characterized by causing a user to execute the above steps.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/042930 WO2024105892A1 (en) | 2022-11-18 | 2022-11-18 | Conversion device, conversion method, and conversion program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/042930 WO2024105892A1 (en) | 2022-11-18 | 2022-11-18 | Conversion device, conversion method, and conversion program |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2024105892A1 true WO2024105892A1 (en) | 2024-05-23 |
Family
ID=91084122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2022/042930 WO2024105892A1 (en) | 2022-11-18 | 2022-11-18 | Conversion device, conversion method, and conversion program |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2024105892A1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010011382A (en) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | Communication device and communication method |
JP2012074867A (en) * | 2010-09-28 | 2012-04-12 | Oki Electric Ind Co Ltd | Traffic monitoring system, traffic monitoring method and network management system |
JP2016092622A (en) * | 2014-11-05 | 2016-05-23 | 富士通株式会社 | Information processing system, method for controlling information processing system, and switch device |
WO2021149245A1 (en) * | 2020-01-24 | 2021-07-29 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
WO2022176035A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
-
2022
- 2022-11-18 WO PCT/JP2022/042930 patent/WO2024105892A1/en unknown
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010011382A (en) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | Communication device and communication method |
JP2012074867A (en) * | 2010-09-28 | 2012-04-12 | Oki Electric Ind Co Ltd | Traffic monitoring system, traffic monitoring method and network management system |
JP2016092622A (en) * | 2014-11-05 | 2016-05-23 | 富士通株式会社 | Information processing system, method for controlling information processing system, and switch device |
WO2021149245A1 (en) * | 2020-01-24 | 2021-07-29 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
WO2022176035A1 (en) * | 2021-02-16 | 2022-08-25 | 日本電信電話株式会社 | Conversion device, conversion method, and conversion program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5167501B2 (en) | Network monitoring system and its operation method | |
US20120182891A1 (en) | Packet analysis system and method using hadoop based parallel computation | |
JP4392294B2 (en) | Communication statistics collection device | |
DK2241058T3 (en) | A method for configuring the ACLS on a network device on the basis of the flow information | |
Kim et al. | ONTAS: Flexible and scalable online network traffic anonymization system | |
JP6825096B2 (en) | Systems and methods for scalable network modeling | |
JP4658098B2 (en) | Flow information limiting apparatus and method | |
JP2009510815A (en) | Method and system for reassembling packets before search | |
EP2768200B1 (en) | Receiving data packets | |
RU2517411C1 (en) | Method of managing connections in firewall | |
JP2020174257A (en) | Registration system, registration method, and registration program | |
JP7480907B2 (en) | CONVERSION DEVICE, CONVERSION METHOD, AND CONVERSION PROGRAM | |
JP2016019052A (en) | Packet processing device, control program, and control method of packet processing device | |
EP3120528B1 (en) | System and method for adapting to network protocol updates | |
US20050283639A1 (en) | Path analysis tool and method in a data transmission network including several internet autonomous systems | |
WO2024105892A1 (en) | Conversion device, conversion method, and conversion program | |
JP5961745B2 (en) | Communication device or packet transfer method | |
JP2017163250A (en) | Communication device, communication system, communication control device, communication method, and communication control method | |
WO2022176034A1 (en) | Conversion device, conversion method, and conversion program | |
JP2008060763A (en) | Network node | |
JP5643609B2 (en) | COMMUNICATION DEVICE, PROCESSING METHOD THEREOF, AND PROGRAM | |
WO2022070348A1 (en) | Transfer device, transfer method, and transfer program | |
Ahsan et al. | Performace evaluation of TCP cubic, compound TCP and NewReno under Windows 20H1, via 802.11 n Link to LTE Core Network | |
Bui et al. | A generic interface for Open vSwitch | |
WO2024038523A1 (en) | Conversion device, conversion method, and conversion program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22965866 Country of ref document: EP Kind code of ref document: A1 |