JP5221594B2 - Network monitoring apparatus, network monitoring method, and network monitoring program - Google Patents
Network monitoring apparatus, network monitoring method, and network monitoring program Download PDFInfo
- Publication number
- JP5221594B2 JP5221594B2 JP2010122036A JP2010122036A JP5221594B2 JP 5221594 B2 JP5221594 B2 JP 5221594B2 JP 2010122036 A JP2010122036 A JP 2010122036A JP 2010122036 A JP2010122036 A JP 2010122036A JP 5221594 B2 JP5221594 B2 JP 5221594B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- unit
- storage unit
- time
- route information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムに関する。 The present invention relates to a network monitoring device, a network monitoring method, and a network monitoring program.
一般に、IP(Internet Protocol)ネットワークは、共通の管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)毎に分けられる。このようなAS間でのルーティングは、EGP(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルによって行われる。EGPとしては、例えば、AS間の経路制御を行うBGP(Border Gateway Protocol)が知られている。 Generally, an IP (Internet Protocol) network is divided for each AS (Autonomous System) that is a set of networks operated under a common management. Such routing between ASs is performed by a routing protocol called EGP (Exterior Gateway Protocol). As EGP, for example, BGP (Border Gateway Protocol) that performs path control between ASs is known.
BGPが適用されるIPネットワークでは、AS間によってBGPメッセージが送受されることにより、AS間を流通するパケットの経路が決定される。このAS間のパケット流通経路は、AS間のケーブル故障等によって変動する場合がある。経路変動が発生すると、各AS間を流通するトラフィック量が変動するので、安定したネットワーク通信が困難になるおそれがある。そこで、通信事業者等は、安全なネットワーク運用を目的として、ネットワークの経路変動を監視したり、ネットワークのトラフィック等を監視したりする。 In an IP network to which BGP is applied, a route of a packet that circulates between ASs is determined by sending and receiving BGP messages between ASs. The packet distribution path between ASs may fluctuate due to a cable failure between ASs. When a route change occurs, the amount of traffic flowing between the ASs changes, which may make it difficult to perform stable network communication. Therefore, a communication carrier or the like monitors network path fluctuations or network traffic for the purpose of safe network operation.
例えば、所定のAS間を流通するトラフィック量を定期的に取得し、現在のトラフィック量と、直前のトラフィック量とを比較することでトラフィック変動量を監視する技術が知られている。 For example, a technique is known in which the amount of traffic flowing between predetermined ASs is periodically acquired, and the traffic fluctuation amount is monitored by comparing the current traffic amount with the immediately preceding traffic amount.
しかしながら、上記の従来技術には、トラフィック変動の要因を正確に抽出することが困難であるという問題がある。例えば、例えば、現在のトラフィック量と、直前のトラフィック量とを比較する技術では、トラフィック変動量を検出することが可能であっても、トラフィック変動の要因を正確に特定することは困難である。近年、IPネットワーク環境が普及している状況において、トラフィック変動の要因を正確に抽出する技術が求められている。 However, the above-described conventional technology has a problem that it is difficult to accurately extract a factor of traffic fluctuation. For example, for example, with a technology that compares the current traffic volume with the immediately previous traffic volume, it is difficult to accurately identify a factor of traffic fluctuation even if the traffic fluctuation can be detected. In recent years, in a situation where an IP network environment is widespread, a technique for accurately extracting a factor of traffic fluctuation is required.
そこで、本発明は、上記に鑑みてなされたものであって、トラフィック変動の要因を正確に抽出することができるネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムを提供することを目的とする。 Therefore, the present invention has been made in view of the above, and an object of the present invention is to provide a network monitoring device, a network monitoring method, and a network monitoring program capable of accurately extracting a factor of traffic fluctuation.
上述した課題を解決し、目的を達成するために、本発明に係るネットワーク監視装置は、ネットワークに含まれる自律システムを監視するネットワーク監視装置であって、前記自律システムを流通するトラフィックの経路を示す経路情報の属性毎に、該属性を含む経路を流通するトラフィック量を集計するトラフィック集計部と、前記経路情報の属性毎に、前記トラフィック集計部によって集計されたトラフィック量から、監視対象日時から所定の周期分だけ過去の日時における所定の時間範囲分のトラフィック量を複数の日時について抽出する抽出部と、前記抽出部によって抽出された複数の日時に対応するトラフィック量のうち、トラフィックの変動分布が前記監視対象日時におけるトラフィックの変動分布と類似するトラフィック量に基づいて、トラフィックの変動許容範囲を示す閾値を前記経路情報の属性毎に算出する閾値算出部と、前記経路情報の属性毎に、前記監視対象日時におけるトラフィック量が前記閾値算出部によって算出された閾値の範囲内に含まれるか否かを検出するトラフィック変動検出部とを有することを特徴とする。 In order to solve the above-described problems and achieve the object, a network monitoring apparatus according to the present invention is a network monitoring apparatus that monitors an autonomous system included in a network, and shows a route of traffic flowing through the autonomous system. For each attribute of the route information, a traffic totaling unit that totals the amount of traffic that circulates the route including the attribute, and for each attribute of the route information, the traffic amount totaled by the traffic totaling unit An extraction unit that extracts a traffic amount corresponding to a predetermined time range in the past date and time for a plurality of dates and a traffic fluctuation distribution among traffic amounts corresponding to the plurality of dates and times extracted by the extraction unit. Traffic volume similar to the traffic fluctuation distribution at the monitoring date and time Therefore, a threshold value calculation unit that calculates a threshold value indicating a traffic fluctuation allowable range for each attribute of the route information, and a traffic amount at the monitoring target date and time is calculated by the threshold value calculation unit for each attribute of the route information. And a traffic fluctuation detection unit that detects whether or not it falls within a threshold range.
また、本発明に係るネットワーク監視方法は、ネットワークに含まれる自律システムを監視するネットワーク監視方法であって、コンピュータが、前記自律システムを流通するトラフィックの経路を示す経路情報の属性毎に、該属性を含む経路を流通するトラフィック量を集計するトラフィック集計工程と、前記経路情報の属性毎に、前記トラフィック集計工程によって集計されたトラフィック量から、監視対象日時から所定の周期分だけ過去の日時における所定の時間範囲分のトラフィック量を複数の日時について抽出する抽出工程と、前記抽出工程によって抽出された複数の日時に対応するトラフィック量のうち、トラフィックの変動分布が前記監視対象日時におけるトラフィックの変動分布と類似するトラフィック量に基づいて、トラフィックの変動許容範囲を示す閾値を前記経路情報の属性毎に算出する閾値算出工程と、前記経路情報の属性毎に、前記監視対象日時におけるトラフィック量が前記閾値算出工程によって算出された閾値の範囲内に含まれるか否かを検出するトラフィック変動検出工程とを含むことを特徴とする。 Further, the network monitoring method according to the present invention is a network monitoring method for monitoring an autonomous system included in a network, wherein the attribute is assigned to each attribute of route information indicating a route of traffic flowing through the autonomous system. A traffic totaling step for totaling the traffic volume that circulates the route including the route, and for each attribute of the route information, from the traffic amount totaled by the traffic totaling step, a predetermined period in the past date and time from the monitoring target date and time An extraction process for extracting a traffic amount for a time range of a plurality of dates and times, and a traffic fluctuation distribution corresponding to a plurality of dates and times extracted by the extraction process is a traffic fluctuation distribution at the monitoring target date and time Traffic based on traffic volume similar to A threshold calculation step for calculating a threshold value indicating an allowable fluctuation range for each route information attribute, and a threshold range in which the traffic amount at the monitoring target date and time is calculated by the threshold calculation step for each attribute of the route information And a traffic fluctuation detecting step for detecting whether or not the data is included in the network.
また、本発明に係るネットワーク監視プログラムは、コンピュータを上記のネットワーク監視装置として機能させることを特徴とする。 A network monitoring program according to the present invention causes a computer to function as the network monitoring device.
本発明に係るネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムは、トラフィック変動の要因を正確に特定することができるという効果を奏する。 The network monitoring device, the network monitoring method, and the network monitoring program according to the present invention have an effect that the factors of traffic fluctuation can be specified accurately.
以下に、本発明に係るネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例により本発明が限定されるものではない。 Hereinafter, embodiments of a network monitoring apparatus, a network monitoring method, and a network monitoring program according to the present invention will be described in detail with reference to the drawings. In addition, this invention is not limited by this Example.
[ネットワーク構成]
まず、図1を用いて、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例について説明する。図1は、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。
[Network configuration]
First, a configuration example of a network to which the network monitoring apparatus according to the first embodiment is applied will be described with reference to FIG. FIG. 1 is a diagram illustrating a configuration example of a network to which the network monitoring apparatus according to the first embodiment is applied.
図1に示すように、実施例1におけるネットワーク1には、AS10〜AS80が含まれる。AS10は、実施例1に係るネットワーク監視装置100と、ルータ11及び12と、端末13とを含む。また、AS20は、ルータ21を含み、AS30は、ルータ31と、Webサーバ32とを含む。
As shown in FIG. 1, the
ルータ11とルータ21とは、相互に接続される。すなわち、ルータ11は、AS10を経由するトラフィックをAS20に中継する処理を行うとともに、AS20を経由するトラフィックをルータ21から受け付ける。また、ルータ12とルータ31とは、相互に接続される。すなわち、ルータ12は、AS10を経由するトラフィックをAS30に中継する処理を行うとともに、AS30を経由するトラフィックをルータ31から受け付ける。図1に示した例では、AS40〜AS80内に配置されるルータを図示することを省略したが、AS40〜AS80には、ルータが配置されているものとする。そして、AS40〜AS80は、自AS内のルータと他のAS内のルータとが接続されることにより、他のASと接続される。
The
このようにして、各AS内に配置されるルータ間が接続されることにより、各ASは相互に接続される。図1に示した例では、AS10は、AS20とAS30とAS80と相互に接続され、AS20は、AS10とAS50とAS60と相互に接続され、AS30は、AS10とAS40と相互に接続され、AS40は、AS30とAS80と相互に接続され、AS70は、AS50とAS60と相互に接続されている。 In this way, the ASs are connected to each other by connecting the routers arranged in each AS. In the example shown in FIG. 1, AS10 is connected to AS20, AS30, and AS80, AS20 is connected to AS10, AS50, and AS60, AS30 is connected to AS10 and AS40, and AS40 is connected to AS40. , AS30 and AS80 are mutually connected, and AS70 is mutually connected with AS50 and AS60.
このようなAS間の接続関係は、「ASリンク」と呼ばれる。図1に示した例では、AS10とAS20とはASリンクL12により接続されており、AS10とAS30とはASリンクL13により接続されている。このように、各AS間は、図1に示した例において、「L」から始まる符号を付したASリンクによって接続される。 Such a connection relationship between ASs is called an “AS link”. In the example shown in FIG. 1, AS10 and AS20 are connected by AS link L12, and AS10 and AS30 are connected by AS link L13. As described above, the ASs are connected by the AS link having the symbol starting with “L” in the example illustrated in FIG. 1.
端末13は、AS10内に形成されるローカルネットワークN1に配置される。かかる端末13は、ルータ11と接続されており、ルータ11を介して、他の端末やサーバとの間でパケットの送受を行う。また、Webサーバ32は、AS30内に配置されており、例えば、端末13からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末13に送信する。
The
ネットワーク監視装置100は、AS10を監視しており、ルータ11及び12と接続される。かかるネットワーク監視装置100は、ルータ11及び12から、AS10を経由するトラフィックの送信先プレフィックスと、かかるトラフィックが経由するASの経路(ASパス)とを含む経路情報を収集する。図1に示した例では、ネットワーク監視装置100は、AS10内に配置されるので、例えば、I−BGP(Internal−BGP)におけるOPENメッセージやUPDATEメッセージ等をルータ11及び12から受信することにより、経路情報を収集する。
The
また、ネットワーク監視装置100は、ルータ11及び12から、AS10を経由するトラフィックの送信元IPアドレス、送信先IPアドレス及びトラフィック量を含むフロー情報を収集する。例えば、ネットワーク監視装置100は、sFlow(登録商標)、NetFlow、IPFIX等の技術により、ルータ11〜13等からフロー情報を収集する。
Further, the
そして、実施例1に係るネットワーク監視装置100は、ルータ11及び12から収集した経路情報及びフロー情報を用いて、経路情報の属性ごとに、かかる属性を含む経路を流通するトラフィック量を時系列に集計する。なお、実施例1における経路情報の属性とは、例えば、BGPメッセージに含まれる「送信先プレフィックス」、「ASパス」、「ネクストホップ」及び「コミュニティ」や、ASパスから抽出可能な「ピアAS(隣接AS)」、「オリジンAS(経路情報生成元のAS)」、「ASリンク」、「ASパス長」等である。すなわち、ネットワーク監視装置100は、例えば、送信先プレフィックス毎に、かかる送信先プレフィックスに流通するトラフィック量を時系列に集計する。また、例えば、ネットワーク監視装置100は、ASパス毎に、かかるASパスを流通するトラフィック量を時系列に集計したり、ASリンク毎に、かかるASリンクを流通するトラフィック量を時系列に集計したりする。
Then, the
なお、ネットワーク監視装置100は、BGPメッセージから収集した送信先プレフィックスのうち、トラフィックの集計対象とするプレフィックスを、プレフィックス長が最も長いプレフィックス及びかかるプレフィックスが有する属性値のみとする。これは、経路のルーティングにおいては、プレフィックス長の長いプレフィックスが優先的に選択されるためである。すなわち、ネットワーク監視装置100は、プレフィックス長が最も長いプレフィックスのみをトラフィックの集計対象とすることで、トラフィックを多重加算することを防止することができる。
Note that the
そして、ネットワーク監視装置100は、経路情報の属性毎に集計したトラフィック量を用いて、経路情報の属性毎にトラフィック量を監視する。以下に、ネットワーク監視装置100によるトラフィック変動検出処理の概要について説明する。ここでは、ネットワーク監視装置100が送信先プレフィックス毎に集計されたトラフィック量を監視する場合を例に挙げて説明する。
Then, the
ネットワーク監視装置100は、まず、送信先プレフィックス毎に時系列に集計されたトラフィック量から、トラフィック監視対象の日時(以下、「監視対象日時」と表記する場合がある)から所定の周期分だけ過去の日時における所定の時間範囲分のトラフィック量を複数の日時について抽出する。そして、ネットワーク監視装置100は、抽出した複数の日時におけるトラフィック量のうち、トラフィック量の変動分布が監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量を特定する。
First, the
例えば、ネットワーク監視装置100は、送信先プレフィックス毎に集計されたトラフィック量から、監視対象日時の前日におけるトラフィック量や、監視対象日時から1週間前の日時におけるトラフィック量等を取得する。そして、ネットワーク監視装置100は、取得した各日時におけるトラフィック量のうち、トラフィック量の変動分布が監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量を特定する。
For example, the
そして、ネットワーク監視装置100は、前述において特定したトラフィック量に基づいて、トラフィックの変動許容範囲を示す閾値を算出する。例えば、ネットワーク監視装置100は、前述において特定したトラフィック量の平均値を算出し、算出した平均値に所定のマージンを加減することにより、トラフィックの変動許容範囲を示す閾値を算出する。そして、ネットワーク監視装置100は、監視対象日時における監視対象のトラフィック量が、前述において算出した閾値の範囲内に含まれない場合に、警告を通知する。
Then, the
上記では、ネットワーク監視装置100が送信先プレフィックス毎に集計されたトラフィック量を監視する場合を例に挙げて説明したが、ネットワーク監視装置100は、経路情報の各属性について、上記の閾値算出処理と、トラフィック変動検出処理とを行う。
In the above description, the case where the
このように、実施例1に係るネットワーク監視装置100は、経路情報の属性毎にトラフィック量を集計し、経路情報の属性毎にトラフィックの変動を監視する。これにより、実施例1に係るネットワーク監視装置100は、経路情報の属性毎にトラフィック変動の異常を検出することができる。すなわち、ネットワーク監視装置100は、トラフィック変動の異常を検出した場合に、かかる異常に影響を与えた経路情報の属性を抽出することができるので、トラフィック変動の要因となった経路変動を抽出することができる。
As described above, the
また、実施例1に係るネットワーク監視装置100は、トラフィック変動検出処理において、監視対象日時より所定の周期分だけ過去の日時におけるトラフィック量を複数の日時について抽出し、抽出した複数の日時におけるトラフィック量のうち、トラフィック量の変動分布が監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量に基づいて、トラフィックの変動許容範囲を示す閾値を算出する。監視対象日時とトラフィック変動が類似している日時におけるトラフィック変動は、監視対象日時のその後のトラフィック変動と類似する可能性が高い。すなわち、実施例1に係るネットワーク監視装置100は、監視対象日時とトラフィック変動が類似している日時におけるトラフィック変動に基づいて閾値を算出するので、トラフィック変動の異常を正確に検出することができる。以上のことから、トラフィック変動の要因を正確に抽出することができる。以下に、実施例1に係るネットワーク監視装置100の構成や処理手順について詳細に説明する。
Further, the
[ネットワーク監視装置の構成]
次に、図2を用いて、実施例1に係るネットワーク監視装置100の構成について説明する。図2は、実施例1に係るネットワーク監視装置100の構成例を示すブロック図である。
[Configuration of network monitoring device]
Next, the configuration of the
図2に示すように、実施例1に係るネットワーク監視装置100は、ネットワーク情報記憶部110と、経路情報格納部121と、フロー情報格納部122と、トラフィック量記憶部130と、トラフィック集計部141と、閾値算出部142と、トラフィック変動検出部143と、検出履歴記憶部144と、警告部145とを有する。
As illustrated in FIG. 2, the
ネットワーク情報記憶部110は、各種情報を記憶する記憶デバイスであり、経路情報記憶部111と、属性変更情報記憶部112と、フロー情報記憶部113を有する。ネットワーク情報記憶部110に記憶される各種情報は、後述する経路情報格納部121やフロー情報格納部122によって格納及び更新される。経路情報記憶部111、属性変更情報記憶部112、フロー情報記憶部113については、経路情報格納部121やフロー情報格納部122とともに説明する。
The network
経路情報格納部121は、ルータ11等からBGPメッセージを受信し、受信したBGPメッセージに含まれる各種情報を経路情報格納部121に格納する。具体的には、経路情報格納部121は、ルータ11等から、I−BGPにおけるOPENメッセージやUPDATEメッセージ等を受信することにより経路情報を収集する。そして、経路情報格納部121は、ルータ11等から収集した経路情報を経路情報記憶部111に格納する。
The route
経路情報格納部121によって収集される経路情報には、トラフィックの送信先のネットワークアドレスを示す送信先プレフィックス、経路情報の追加又は削除を示す情報、ネクストホップアドレス、トラフィックが経由するASの経路であるASパス等が含まれる。経路情報格納部121は、このような経路情報に含まれる各種情報を経路情報記憶部111に格納する。このとき、経路情報格納部121は、ASパスの情報から、自装置が属するAS10に隣接するピアAS、経路情報を生成したオリジンAS、ASパス長、隣り合うASの組合せであるASリンクを抽出して、抽出した各種情報についても経路情報記憶部111に格納する。
The route information collected by the route
ここで、図3に、経路情報記憶部111の一例を示す。図3に示すように、経路情報記憶部111は、「受信時刻」、「ルータアドレス」、「追加/削除」、「プレフィックス」、「ネクストホップ」、「ASパス」、「コミュニティ」、「ピアAS」、「オリジンAS」、「ASパス長」、「ASリンク」といった項目を有する。
Here, FIG. 3 shows an example of the route
「受信時刻」は、経路情報格納部121がルータからBGPメッセージを受信した日時、又は、BGPメッセージが生成された日時を示す。なお、図3では、「受信時刻」に月日時分の単位で日時が記憶される例を示している。しかし、「受信時刻」には、例えば、年月日時分秒の単位で日時が記憶されてもよい。以下で説明する他の記憶部における「受信時刻」についても、年月日時分秒の単位で日時が記憶されてもよい。
“Reception time” indicates the date and time when the path
「ルータアドレス」は、BGPメッセージを送信したルータのIPアドレスを示す。なお、図3に示した例において、「ルータアドレス」に記憶されている「RA11」は、図1に示したルータ11のIPアドレスであり、「RA12」は、ルータ12のIPアドレスであるものとする。「追加/削除」は、経路情報が追加であるか、又は、削除であるかを識別する情報を示す。
“Router address” indicates the IP address of the router that has transmitted the BGP message. In the example shown in FIG. 3, “RA11” stored in “router address” is the IP address of the
「プレフィックス」は、BGPメッセージに含まれる送信先プレフィックスを示す。なお、図3に示した例において、「プレフィックス」に記憶されている「M.0.0.0/N」は、図1に示したAS10〜AS80のうち、AS”M”0と接続されるネットワークのネットワークアドレスを示すものとする。例えば、図3の「プレフィックス」に記憶されている「50.0.0.0/24」は、AS50と接続されるネットワークのネットワークアドレスを示し、「70.0.0.0/24」は、AS70と接続されるネットワークのネットワークアドレスを示すものとする。
“Prefix” indicates a destination prefix included in the BGP message. In the example shown in FIG. 3, “M.0.0.0 / N” stored in “Prefix” is connected to AS “M” 0 among AS10 to AS80 shown in FIG. Network address of the network to be used. For example, “50.0.0.0/24” stored in “Prefix” in FIG. 3 indicates the network address of the network connected to the
「ネクストホップ」は、BGPメッセージに含まれるネクストホップアドレスを示す。「ASパス」は、BGPメッセージに含まれるASパスを示す。なお、図3では、「ASパス」に、BGPメッセージが経由したASの順が、かかるASのAS番号を右から順に空白によって区切って記憶される例を示している。また、ASのAS番号とは、ASを識別する識別情報であり、図1に示した各ASに付した符号であるものする。例えば、AS10のAS番号は「10」であり、AS20のAS番号は「20」である。「コミュニティ」は、BGPメッセージに含まれるコミュニティを示す。
“Next hop” indicates the next hop address included in the BGP message. “AS path” indicates an AS path included in the BGP message. Note that FIG. 3 shows an example in which the AS order through which the BGP message passes is stored in the “AS path” by separating the AS number of the AS in order from the right by a space. The AS AS number is identification information for identifying the AS, and is a code given to each AS shown in FIG. For example, the AS number of the
「ピアAS」は、経路情報格納部121によってASパスから抽出される情報であり、ネットワーク監視装置100が設置されているAS10と隣接するASを示す。「オリジンAS」は、経路情報格納部121によってASパスから抽出される情報であり、経路情報を生成したASを示す。なお、図3では、「ピアAS」及び「オリジンAS」に、ピアASのAS番号が記憶される例を示している。
“Peer AS” is information extracted from the AS path by the route
「ASパス長」及び「ASリンク」は、経路情報格納部121によってASパスから抽出される情報である。なお、図3では、「ASリンク」に、ASリンクを識別するための情報として、図1に示した各ASリンクに付した符号が記憶される例を示している。また、図3では、「ASリンク」に、ASリンクを示す情報がカンマ区切りで記憶される例を示している。また、上記の「ASパス長」などは、BGPメッセージに含まれる場合もある。かかる場合には、経路情報格納部121は、BGPメッセージに含まれるASパス長を経路情報記憶部111に格納する。
“AS path length” and “AS link” are information extracted from the AS path by the route
したがって、図3に例示した経路情報記憶部111の1行目は、例えば、受信時刻「4月10日10時00分」に、経路情報格納部121が、IPアドレスが「RA11」であるルータ11から、送信先プレフィックス「50.0.0.0/24」、ネクストホップ「RA11」、ASパス「10 20 50」、コミュニティ「C11」を含むBGPメッセージを受信したことを示している。そして、図3に例示した経路情報記憶部111の1行目は、ASパスが「10 20 50」であるので、AS10に隣接するピアASが「AS20」であり、経路情報を生成したASが「AS50」であり、ASパス長が「3」であり、ASリンクが「ASリンクL12」と「ASリンクL25」である例を示している。
Therefore, the first line of the route
なお、経路情報が削除される場合には、BGPメッセージに「ASパス」等の属性情報が含まれない場合がある。したがって、経路情報格納部121は、経路情報が削除される旨の情報を含むBGPメッセージを受信した場合には、「ネクストホップ」、「ASパス」、「コミュニティ」、「ピアAS」、「オリジンAS」、「ASパス長」、「ASリンク」といった項目に、以下の条件(A1)〜(A3)を全て満たすレコードに記憶されている情報をコピーする。
(A1)経路情報記憶部111の「ルータアドレス」に記憶されている情報と、BGPメッセージの送信元のルータのIPアドレスとが一致する
(A2)経路情報記憶部111の「プレフィックス」に記憶されている情報と、BGPメッセージに含まれる送信先プレフィックスとが一致する
(A3)上記の(A1)及び(A2)を満たすレコードのうち、「受信時刻」が最大(直近の日時)である
When the route information is deleted, attribute information such as “AS path” may not be included in the BGP message. Therefore, when receiving a BGP message including information indicating that the route information is to be deleted, the route
(A1) The information stored in the “router address” of the route
また、経路情報格納部121は、ルータ11等から受信した経路情報に基づいて、経路情報の属性が変更されたか否かを検出し、検出した変更内容を属性変更情報記憶部112に格納する。具体的には、経路情報格納部121は、ルータ11等からBGPメッセージを受信した場合に、経路情報記憶部111から、上記の条件(A1)〜(A3)を全て満たすレコードを取得する。
Further, the route
そして、経路情報格納部121は、上記の条件(A1)〜(A3)を全て満たすレコードを取得した場合には、取得したレコードに含まれる各種情報と、ルータ11等から受信したBGPメッセージに含まれる各種情報やかかる各種情報から抽出される各種情報とを比較して、ネクストホップ、ピアAS、オリジンAS、ASパスのいずれかに変更があったか否かを検出する。そして、経路情報格納部121は、いずれかの情報に変更があった場合には、変更内容を属性変更情報記憶部112に格納する。
When the route
例えば、図3に例示した経路情報記憶部111の2行目と5行目とを参照すると、双方のレコードにおけるルータアドレス及びプレフィックスは一致する。したがって、経路情報格納部121は、図3に例示した経路情報記憶部111の5行目に対応するBGPメッセージを受信したときに、かかるBGPメッセージに含まれる各種情報と、図3に例示した経路情報記憶部111の2行目に記憶されているレコードとを比較する。そして、経路情報格納部121は、ASパスが「10 20 50 70」から「10 20 60 70」に変更されたことを検出し、検出した変更内容を属性変更情報記憶部112に格納する。
For example, referring to the second and fifth lines of the route
また、経路情報格納部121は、図3に例示した経路情報記憶部111の7行目に対応するBGPメッセージを受信したときに、かかるBGPメッセージに含まれる各種情報と、図3に例示した経路情報記憶部111の3行目に記憶されているレコードとを比較する。そして、経路情報格納部121は、ASパスが「10 30 40」から「10 80 40」に変更され、ピアASが「AS30」から「AS80」に変更されたことを検出し、検出した変更内容を属性変更情報記憶部112に格納する。
Further, when the route
また、経路情報格納部121は、図3に例示した経路情報記憶部111の6行目に対応するBGPメッセージを受信したときに、かかるBGPメッセージに含まれる各種情報と、図3に例示した経路情報記憶部111の4行目に記憶されているレコードとを比較する。そして、経路情報格納部121は、経路情報が削除されたことを検出し、検出結果を属性変更情報記憶部112に格納する。
Further, when the route
図4に、属性変更情報記憶部112の一例を示す。図4に示すように、属性変更情報記憶部112は、「受信時刻」、「ルータアドレス」、「ネクストホップ変更」、「ピアAS変更」、「オリジンAS変更」、「ASパス変更」、「プレフィックス」、「ネクストホップ」、「ASパス」、「コミュニティ」といった項目を有する。
FIG. 4 shows an example of the attribute change
「受信時刻」、「ルータアドレス」、「プレフィックス」、「ネクストホップ」、「ASパス」、「コミュニティ」は、図3に示した経路情報記憶部111が有する各項目に対応する。
“Reception time”, “router address”, “prefix”, “next hop”, “AS path”, and “community” correspond to the items included in the route
「ネクストホップ変更」は、ネクストホップが変更された場合に格納される情報であり、変更前のネクストホップと変更後のネクストホップとが格納される。「ピアAS変更」は、ピアASが変更された場合に格納される情報であり、変更前後のピアASが格納される。「オリジンAS変更」は、オリジンASが変更された場合に格納される情報であり、変更前後のオリジンASが格納される。「ASパス変更」は、ASパスが変更された場合に格納される情報であり、変更前後のASパスが格納される。 The “next hop change” is information stored when the next hop is changed, and stores the next hop before the change and the next hop after the change. “Peer AS change” is information stored when the peer AS is changed, and the peer AS before and after the change is stored. “Origin AS change” is information stored when the origin AS is changed, and stores the origin AS before and after the change. “AS path change” is information stored when the AS path is changed, and the AS paths before and after the change are stored.
例えば、図4に例示した属性変更情報記憶部112の1行目は、経路情報格納部121が、図3に例示した経路情報記憶部111の5行目に対応するBGPメッセージを受信した際に格納される情報である。具体的には、図4に例示した属性変更情報記憶部112の1行目は、時刻「4月16日21時」に受信したBGPメッセージによって、ASパスが「10 20 50 70」から「10 20 60 70」に変更されたことを示している。
For example, the first line of the attribute change
図2の説明に戻って、フロー情報格納部122は、ルータ11等からフロー情報を受信し、受信したフロー情報に含まれる各種情報をフロー情報記憶部113に格納する。具体的には、ルータ11等は、sFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合に、フロー情報をネットワーク監視装置100へ送信する。フロー情報格納部122は、ルータ11等から送信されるフロー情報を受信することにより、フロー情報を収集する。
Returning to the description of FIG. 2, the flow
フロー情報格納部122によって収集されるフロー情報には、トラフィックの送信元端末のIPアドレス及びポート番号、トラフィックの送信先端末のIPアドレス及びポート番号、パケットの流通に用いられるプロトコル、トラフィック量等が含まれる。フロー情報格納部122は、このようなフロー情報に含まれる各種情報をフロー情報記憶部113に格納する。
The flow information collected by the flow
図5に、フロー情報記憶部113の一例を示す。図5に示すように、フロー情報記憶部113は、「受信時刻」、「ルータアドレス」、「インタフェースID」、「送信元IPアドレス」、「送信先IPアドレス」、「プロトコル」、「送信元ポート番号」、「送信先ポート番号」、「トラフィック量」といった項目を有する。
FIG. 5 shows an example of the flow
「受信時刻」は、フロー情報格納部122がルータからフロー情報を受信した日時、又は、ルータによってフロー情報が生成された日時を示す。「ルータアドレス」は、フロー情報を送信したルータのIPアドレスを示す。「インタフェースID」は、フロー情報を送信したルータのインタフェースを識別する識別情報を示す。図5に示した例において、「インタフェースID」に記憶されている「IF11a」は、ルータ12と接続されているルータ11のインタフェースを示すものとする。
“Reception time” indicates the date and time when the flow
「送信元IPアドレス」、「送信先IPアドレス」、「プロトコル」、「送信元ポート番号」、「送信先ポート番号」、「トラフィック量」は、上述したように、フロー情報に含まれる各種情報を示す。 As described above, “source IP address”, “destination IP address”, “protocol”, “source port number”, “destination port number”, and “traffic volume” are various information included in the flow information. Indicates.
図2の説明に戻って、トラフィック量記憶部130は、経路情報の属性毎に、所定の時間間隔に対応付けてトラフィック量を時系列に記憶する。具体的には、トラフィック量記憶部130は、プレフィックス単位記憶部131と、オリジンAS単位記憶部132と、ピアAS単位記憶部133と、ASパス単位記憶部134と、ASリンク単位記憶部135と、ルータアドレス単位記憶部136とを有する。トラフィック量記憶部130に記憶される各種情報は、後述するトラフィック集計部141によって格納及び更新される。
Returning to the description of FIG. 2, the traffic
なお、トラフィック量記憶部130に記憶されるトラフィック量は、経路情報記憶部111に記憶されるプレフィックスのうち、プレフィックス長が最も長いプレフィックスに対応するトラフィック量や、かかるプレフィックスが有する属性値に対応するトラフィック量のみである。
The traffic volume stored in the traffic
図6に、プレフィックス単位記憶部131の一例を示す。図6に示すように、プレフィックス単位記憶部131は、「集計時刻」、「プレフィックス」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「集計時刻」は、トラフィックが流通した時刻を示す。図6に示した例では、トラフィックの集計時間間隔が「5分」である場合を示している。「プレフィックス」は、経路情報に含まれる送信先プレフィックスを示し、図3に示した経路情報記憶部111の「プレフィックス」に対応する。「入力トラフィック量」は、ASに入力されるトラフィックを示す。「出力トラフィック量」は、ASから出力されるトラフィックを示す。実施例1に係るネットワーク監視装置100は、AS10内に配置されるので、「入力トラフィック量」は、AS10に入力されるトラフィック量を示し、「出力トラフィック量」は、AS10から出力されるトラフィック量を示す。
FIG. 6 shows an example of the prefix
例えば、図6に例示したプレフィックス単位記憶部131の1行目は、「4月13日10時0分〜10時5分」に、プレフィックスが「50.0.0.0/24」であるトラフィックがAS10に「50Mbps」だけ入力され、プレフィックスが「50.0.0.0/24」であるトラフィックがAS10から「250Mbps」だけ出力されたことを示している。
For example, the first line of the prefix
図7に、オリジンAS単位記憶部132の一例を示す。図7に示すように、オリジンAS単位記憶部132は、「集計時刻」、「オリジンAS」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「オリジンAS」は、図3に示した経路情報記憶部111の「オリジンAS」に対応する。「入力トラフィック量」は、対応する「オリジンAS」に記憶されているASがオリジンASである経路を流通してAS10に入力されるトラフィックを示す。「出力トラフィック量」は、AS10から出力され、対応する「オリジンAS」に記憶されているASがオリジンASである経路を流通するトラフィックを示す。
FIG. 7 shows an example of the origin AS
例えば、図7に例示したオリジンAS単位記憶部132の3行目は、「4月13日10時0分〜10時5分」に、オリジンASがAS50である経路を流通するトラフィックがAS10に「50Mbps」だけ入力され、オリジンASがAS50である経路を流通するトラフィックがAS10から「250Mbps」だけ出力されたことを示している。
For example, in the third line of the origin AS
図8に、ピアAS単位記憶部133の一例を示す。図8に示すように、ピアAS単位記憶部133は、「集計時刻」、「ピアAS」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「ピアAS」は、図3に示した経路情報記憶部111の「ピアAS」に対応する。「入力トラフィック量」は、対応する「ピアAS」に記憶されているASがピアASである経路を流通してAS10に入力されるトラフィックを示す。「出力トラフィック量」は、AS10から出力され、対応する「ピアAS」に記憶されているASがピアASである経路を流通するトラフィックを示す。
FIG. 8 shows an example of the peer AS
例えば、図8に例示したピアAS単位記憶部133の1行目は、「4月13日10時0分〜10時5分」に、ピアASがAS20である経路を流通するトラフィックがAS10に「250Mbps」だけ入力され、ピアASがAS20である経路を流通するトラフィックがAS10から「350Mbps」だけ出力されたことを示している。
For example, the first line of the peer AS
図9に、ASパス単位記憶部134の一例を示す。図9に示すように、ASパス単位記憶部134は、「集計時刻」、「ASパス」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「ASパス」は、図3に示した経路情報記憶部111の「ASパス」に対応する。「入力トラフィック量」は、対応する「ASパス」に記憶されている経路を流通してAS10に入力されるトラフィックを示す。「出力トラフィック量」は、AS10から出力され、対応する「ASパス」に記憶されている経路を流通するトラフィックを示す。
FIG. 9 shows an example of the AS path
例えば、図9に例示したASパス単位記憶部134の1行目は、「4月13日10時0分〜10時5分」に、ASパス「10 20 50」が示す経路を流通するトラフィックがAS10に「50Mbps」だけ入力され、ASパス「10 20 50」が示す経路を流通するトラフィックがAS10から「250Mbps」だけ出力されたことを示している。
For example, the first line of the AS path
図10に、ASリンク単位記憶部135の一例を示す。図10に示すように、ASリンク単位記憶部135は、「集計時刻」、「ASリンク」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「ASリンク」は、図3に示した経路情報記憶部111の「ASリンク」に対応する。「入力トラフィック量」は、対応する「ASリンク」に記憶されているASリンクを流通してAS10に入力されるトラフィックを示す。「出力トラフィック量」は、AS10から出力され、対応する「ASリンク」に記憶されているASリンクを流通するトラフィックを示す。
FIG. 10 shows an example of the AS link
例えば、図10に例示したASリンク単位記憶部135の1行目は、「4月13日10時0分〜10時5分」に、ASリンクL12を流通するトラフィックがAS10に「250Mbps」だけ入力され、ASリンク12を流通するトラフィックがAS10から「350Mbps」だけ出力されたことを示している。
For example, the first line of the AS link
図11に、ルータアドレス単位記憶部136の一例を示す。図11に示すように、ルータアドレス単位記憶部136は、「集計時刻」、「ルータアドレス」、「入力トラフィック量」、「出力トラフィック量」といった項目を有する。「ルータアドレス」は、図3に示した経路情報記憶部111の「ルータアドレス」に対応する。「入力トラフィック量」は、対応する「ルータアドレス」に記憶されているルータに入力されるトラフィックを示す。「出力トラフィック量」は、対応する「ルータアドレス」に記憶されているルータから出力されるトラフィックを示す。
FIG. 11 shows an example of the router address
図2の説明に戻って、トラフィック集計部141は、フロー情報記憶部113に記憶されている送信元IPアドレスと送信先IPアドレスとトラフィック量、及び、経路情報記憶部111に記憶されているプレフィックスとに基づいて、経路情報の属性毎にトラフィック量を集計する。
Returning to the description of FIG. 2, the
具体的には、トラフィック集計部141は、所定の時間間隔で送信先プレフィックス毎にトラフィックを集計し、集計結果をプレフィックス単位記憶部131に格納する。また、トラフィック集計部141は、所定の時間間隔でオリジンAS毎にトラフィックを集計し、集計結果をオリジンAS単位記憶部132に格納する。また、トラフィック集計部141は、所定の時間間隔でピアAS毎にトラフィックを集計し、集計結果をピアAS単位記憶部133に格納する。また、トラフィック集計部141は、所定の時間間隔でASパス毎にトラフィックを集計し、集計結果をASパス単位記憶部134に格納する。また、トラフィック集計部141は、所定の時間間隔でASリンク毎にトラフィックを集計し、集計結果をASリンク単位記憶部135に格納する。また、トラフィック集計部141は、所定の時間間隔でルータのIPアドレス毎にトラフィックを集計し、集計結果をルータアドレス単位記憶部136に格納する。
Specifically, the
なお、トラフィック集計部141は、上記以外の経路情報の属性についても、かかる属性毎にトラフィック量を集計する。具体的には、トラフィック集計部141は、ネクストホップ毎にトラフィックを集計し、コミュニティ毎にトラフィックを集計し、ASパス長毎にトラフィックを集計し、各々の集計結果を図示しない記憶部に格納する。
Note that the
ここで、トラフィック集計部141によるトラフィック集計処理について説明する。なお、ここでは、経路情報記憶部111が図3に示した状態であり、フロー情報記憶部113が図5に示した状態であるものとする。また、以下では、トラフィック集計部141は、5分間隔でトラフィック量を集計するものとする。
Here, the traffic totaling process by the
トラフィック集計部141は、まず、フロー情報記憶部113から、受信時刻が集計対象時間に該当するレコードを取得する。そして、トラフィック集計部141は、取得したレコードに含まれるトラフィック量を、入力トラフィックと出力トラフィックとに分けて、プレフィックス毎に集計する。このとき、フロー情報記憶部113は、経路情報記憶部111に記憶されているプレフィックス毎にトラフィック量を集計する。そして、トラフィック集計部141は、集計したトラフィック量をプレフィックス単位記憶部131に格納する。なお、トラフィック集計部141は、経路情報記憶部111に記憶されているプレフィックスのうち、プレフィックス長が最も長いプレフィックスのみをトラフィックの集計対象とする。
The
例えば、集計対象時間が「4月13日10時0分〜10時5分」である場合に、トラフィック集計部141は、図5に例示したフロー情報記憶部113の1行目〜6行目のレコードを取得する。そして、トラフィック集計部141は、取得したレコードに含まれるトラフィック量がAS10に入力される入力トラフィックを示すか、又は、AS10から出力される出力トラフィックを示すかを判定する。
For example, when the aggregation target time is “10:00 on April 13, 10:10 to 10: 5”, the
ここで、トラフィックの入出力を判定する処理について、図5に示したフロー情報記憶部113の1行目のレコードを例に挙げて説明する。図5に示したフロー情報記憶部113の1行目を参照すると、ルータアドレスが「RA11」であり、インタフェースIDが「IF11a」であり、送信元IPアドレスが「10.0.0.1」であり、送信先IPアドレスが「50.0.0.1」である。
Here, the process of determining traffic input / output will be described by taking the record in the first row of the flow
上述したように、ルータアドレス「RA11」はルータ11を示し、インタフェースID「IF11a」は、ルータ12と接続されるルータ11のインタフェースを示す。また、プレフィックス「M.0.0.0/N」は、AS10〜AS80のうち、AS”M”0と接続されるネットワークのネットワークアドレスを示す。すなわち、IPアドレス「10.0.0.1」に対応するネットワークアドレス「10.0.0.0/N」は、AS10と接続されるネットワークであり、IPアドレス「50.0.0.1」に対応するネットワークアドレス「50.0.0.0/N」は、AS50と接続されるネットワークである。
As described above, the router address “RA11” indicates the
したがって、フロー情報記憶部113の1行目は、AS10からAS50へ流通するトラフィックが「150Mbps」であることを示している。言い換えれば、図5に示したフロー情報記憶部113の1行目は、AS10内のルータ11のインタフェースからルータ12に出力されるトラフィック量が「150Mbps」であることを示している。
Therefore, the first line of the flow
同様の理由により、例えば、図5に例示したフロー情報記憶部113の2行目は、ルータ11からルータ12に出力されるトラフィック量が「100Mbps」であることを示し、図5に例示したフロー情報記憶部113の3行目は、ルータ12からルータ11に入力されるトラフィック量が「50Mbps」であることを示している。
For the same reason, for example, the second row of the flow
このように、トラフィック集計部141は、フロー情報記憶部113に記憶されているルータアドレス、インタフェースID、送信元IPアドレス及び送信先IPアドレスに基づいて、トラフィックが流通するルータのインタフェースを特定することができ、さらに、かかるトラフィックがルータのインタフェースに入力されるのか出力されるのかを特定することができる。
As described above, the
このようにしてトラフィックの入出力を判定した後に、トラフィック集計部141は、経路情報記憶部111からプレフィックスを取得する。ここでは、集計対象時間が「4月13日10時0分〜10時5分」であるので、図3に示した経路情報記憶部111には、1行目〜4行目までしか情報が記憶されていない。したがって、トラフィック集計部141は、経路情報記憶部111からプレフィックス「50.0.0.0/24」、「70.0.0.0/16」、「40.0.0.0/24」及び「30.0.0.0/16」を取得する。
After determining the traffic input / output in this way, the
続いて、トラフィック集計部141は、フロー情報記憶部113から取得したレコードのうち、送信元IPアドレスがプレフィックス「50.0.0.0/24」に属するレコードを特定する。ここでは、トラフィック集計部141は、フロー情報記憶部113の3行目のレコードを特定する。そして、トラフィック集計部141は、プレフィックス「50.0.0.0/24」の入力トラフィックとして、フロー情報記憶部113の3行目のレコードに含まれるトラフィック量「50Mbps」を集計する。
Subsequently, the
続いて、トラフィック集計部141は、フロー情報記憶部113から取得したレコードのうち、送信先IPアドレスがプレフィックス「50.0.0.0/24」に属するレコードを特定する。ここでは、トラフィック集計部141は、フロー情報記憶部113の1行目及び2行目のレコードを特定する。そして、トラフィック集計部141は、プレフィックス「50.0.0.0/24」の出力トラフィックとして、フロー情報記憶部113の1行目及び2行目のレコードに含まれるトラフィック量「150Mbps」と「100Mbps」とを加算した「250Mbps」を集計する。
Subsequently, the
同様にして、トラフィック集計部141は、プレフィックス「70.0.0.0/16」の出力トラフィックとしてトラフィック量「200Mbps」を集計し、プレフィックス「70.0.0.0/16」の入力トラフィックとしてトラフィック量「100Mbps」を集計する。
Similarly, the
そして、トラフィック集計部141は、集計したトラフィック量をプレフィックス単位記憶部131に格納する。具体的には、図6に例示したプレフィックス単位記憶部131のように、トラフィック集計部141は、集計時刻「4月13日10時0分〜10時5分」と、プレフィックス「50.0.0.0/24」と、入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを対応付けて、プレフィックス単位記憶部131に格納する。また、トラフィック集計部141は、集計時刻「4月13日10時0分〜10時5分」と、プレフィックス「70.0.0.0/16」と、入力トラフィック量「200Mbps」と、出力トラフィック量「100Mbps」とを対応付けて、プレフィックス単位記憶部131に格納する。
Then, the
続いて、トラフィック集計部141は、オリジンAS毎にトラフィック量を集計する。具体的には、トラフィック集計部141は、経路情報記憶部111から、オリジンASを取得する。上述したように、ここでは、監視対象時間が「4月13日10時0分〜10時5分」であるので、図3に示した経路情報記憶部111には、1行目〜4行目までしか情報が記憶されていない。したがって、トラフィック集計部141は、経路情報記憶部111から、オリジンASとして、AS30、AS40、AS50、AS70を取得する。
Subsequently, the
そして、トラフィック集計部141は、経路情報記憶部111から、AS30がオリジンASであるプレフィックス「30.0.0.0/16」を取得する。そして、トラフィック集計部141は、プレフィックス単位記憶部131から、プレフィックス「30.0.0.0/16」に対応する入力トラフィック量と出力トラフィック量とを取得する。図6に示すように、プレフィックス単位記憶部131は、集計時刻「4月13日10時0分〜10時5分」に対応する入力トラフィック量及び出力トラフィック量を保持しない。したがって、トラフィック集計部141は、プレフィックス単位記憶部131から、プレフィックス「30.0.0.0/16」に対応する入力トラフィック量及び出力トラフィック量を取得しない。
Then, the
そして、トラフィック集計部141は、図7に示すように、集計時刻「4月13日10時0分〜10時5分」と、オリジンAS「30」と、入力トラフィック量「0Mbps」と、出力トラフィック量「0Mbps」とを対応付けて、オリジンAS単位記憶部132に格納する。同様に、トラフィック集計部141は、オリジンAS「40」と、入力トラフィック量「0Mbps」と、出力トラフィック量「0Mbps」とを対応付けて、オリジンAS単位記憶部132に格納する。
Then, as shown in FIG. 7, the
また、トラフィック集計部141は、経路情報記憶部111から、AS50がオリジンASであるプレフィックス「50.0.0.0/24」を取得する。そして、トラフィック集計部141は、図6に例示したプレフィックス単位記憶部131から、プレフィックス「50.0.0.0/24」に対応する入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを取得する。そして、トラフィック集計部141は、図7に示すように、集計時刻「4月13日10時0分〜10時5分」と、オリジンAS「50」と、入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを対応付けて、オリジンAS単位記憶部132に格納する。同様に、トラフィック集計部141は、集計時刻「4月13日10時0分〜10時5分」と、オリジンAS「70」と、入力トラフィック量「200Mbps」と、出力トラフィック量「100Mbps」とを対応付けて、オリジンAS単位記憶部132に格納する。
In addition, the
続いて、トラフィック集計部141は、ピアAS毎にトラフィック量を集計する。具体的には、トラフィック集計部141は、経路情報記憶部111から、ピアASを取得する。ここでは、トラフィック集計部141は、経路情報記憶部111から、ピアASとして、AS20、AS30を取得する。
Subsequently, the
そして、トラフィック集計部141は、経路情報記憶部111から、AS20がピアASであるプレフィックス「50.0.0.0/24」及び「70.0.0.0/16」を取得する。そして、トラフィック集計部141は、プレフィックス単位記憶部131から、プレフィックス「50.0.0.0/24」に対応する入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを取得する。また、トラフィック集計部141は、プレフィックス単位記憶部131から、プレフィックス「70.0.0.0/16」に対応する入力トラフィック量「200Mbps」と、出力トラフィック量「100Mbps」とを取得する。
Then, the
そして、トラフィック集計部141は、プレフィックス「50.0.0.0/24」に対応する入力トラフィック量「50Mbps」と、プレフィックス「70.0.0.0/16」に対応する入力トラフィック量「200Mbps」とを加算して「250Mbps」を算出する。また、トラフィック集計部141は、プレフィックス「50.0.0.0/24」に対応する出力トラフィック量「250Mbps」と、プレフィックス「70.0.0.0/16」に対応する出力トラフィック量「100Mbps」とを加算して「350Mbps」を算出する。
Then, the
そして、トラフィック集計部141は、図8に示すように、集計時刻「4月13日10時0分〜10時5分」と、ピアAS「20」と、入力トラフィック量「250Mbps」と、出力トラフィック量「350Mbps」とを対応付けて、ピアAS単位記憶部133に格納する。同様に、トラフィック集計部141は、集計時刻「4月13日10時0分〜10時5分」と、ピアAS「30」と、入力トラフィック量「0Mbps」と、出力トラフィック量「0Mbps」とを対応付けて、ピアAS単位記憶部133に格納する。
Then, as shown in FIG. 8, the
また、トラフィック集計部141は、経路情報記憶部111から、AS50がピアASであるプレフィックス「50.0.0.0/24」を取得する。そして、トラフィック集計部141は、図6に例示したプレフィックス単位記憶部131から、プレフィックス「50.0.0.0/24」に対応する入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを取得する。そして、トラフィック集計部141は、図7に示すように、集計時刻「4月13日10時0分〜10時5分」と、ピアAS「50」と、入力トラフィック量「50Mbps」と、出力トラフィック量「250Mbps」とを対応付けて、ピアAS単位記憶部133に格納する。同様に、トラフィック集計部141は、ピアAS「70」と、入力トラフィック量「200Mbps」と、出力トラフィック量「100Mbps」とを対応付けて、ピアAS単位記憶部133に格納する。
Further, the
同様にして、トラフィック集計部141は、ASパス毎にトラフィックを集計してASパス単位記憶部134を更新し、ASリンク毎にトラフィックを集計してASリンク単位記憶部135を更新し、ルータアドレス毎にトラフィックを集計してルータアドレス単位記憶部136を更新する。
Similarly, the
閾値算出部142は、トラフィック監視を行う場合に、トラフィック量記憶部130に記憶されている情報に基づいて、後述するトラフィック変動検出部143によってトラフィック量の異常が検出される際に用いられる閾値を算出する。後述するトラフィック変動検出部143は、経路情報の属性毎に、トラフィック量が異常であるか否かを判定する。したがって、閾値算出部142は、経路情報の属性毎に、入力トラフィック用の閾値と、出力トラフィック用の閾値とを算出する。なお、入力トラフィック用の閾値を算出する処理と、出力トラフィック用の閾値を算出する処理とは同様であるので、以下では、入力トラフィック用の閾値と、出力トラフィック用の閾値とのいずれでもよい場合には、双方を区別せずに説明する。
When performing traffic monitoring, the threshold
具体的には、閾値算出部142は、プレフィックス単位記憶部131に記憶されている情報を用いて、トラフィック変動検出部143によってプレフィックス毎のトラフィック量が異常であるか否かが判定される際に用いられる閾値を算出する。同様に、閾値算出部142は、オリジンAS毎、ピアAS毎、ASパス毎、ASリンク毎、ルータアドレス毎のトラフィック量が異常であるか否かが判定される際に用いられる閾値をそれぞれ算出する。
Specifically, the threshold
ここで、図12及び図13を用いて、閾値算出部142による閾値算出処理について詳細に説明する。図12は、トラフィック変動の一例を示す図である。図13は、単位時間当たりのトラフィック変動の一例を示す図である。なお、閾値算出部142による閾値算出処理は、経路情報の属性によって異なるものではないので、ここでは、プレフィックス毎のトラフィック量に対応する閾値を算出する場合を例に挙げて説明する。すなわち、図12は、プレフィックス単位記憶部131に記憶されているトラフィック量をグラフで表した図であるものとする。
Here, the threshold value calculation processing by the threshold
図12に示した例では、後述するトラフィック変動検出部143が、トラフィック監視対象日時における監視時間帯「t0」におけるトラフィックが異常であるか否かを検出するものとする。なお、実施例1において、監視時間帯は、図6〜図11に例示した集計時刻に対応するものとする。すなわち、図6〜図11に示した例では、監視時間帯は、「5分」となる。
In the example illustrated in FIG. 12, it is assumed that the traffic
かかる場合に、閾値算出部142は、プレフィックス単位記憶部131から、閾値を算出するために用いる単位時間(以下、「閾値算出単位時間」と表記する場合がある)分のトラフィック量を取得する。このとき、閾値算出部142は、プレフィックス単位記憶部131から、例えば、監視時間帯「t0」の直前における閾値算出単位時間「t1」分のトラフィック量を取得する。
In such a case, the threshold
また、閾値算出部142は、プレフィックス単位記憶部131から、閾値算出単位時間「t1」における日時よりも所定の周期分だけ過去であり、かつ、かかる日時と同時間帯であるトラフィック量を取得する。ここで、実施例1における閾値算出部142は、上記の「所定の周期」として、「1日」、「1週間(7日)」、「直近の休日」を用いる。
Further, the threshold
すなわち、閾値算出部142は、図12に示した例において、閾値算出単位時間「t1」における日時よりも1日前であり、かつ、かかる日時と同時間帯である閾値算出単位時間「t2」におけるトラフィック量を取得する。また、閾値算出部142は、閾値算出単位時間「t1」における日時に対して直近の休日であり、かつ、かかる日時と同時間帯である閾値算出単位時間「t3」におけるトラフィック量を取得する。また、閾値算出部142は、閾値算出単位時間「t1」における日時よりも1週間前であり、かつ、かかる日時と同時間帯である閾値算出単位時間「t4」におけるトラフィック量を取得する。
That is, in the example illustrated in FIG. 12, the
例えば、閾値算出単位時間が「1時間」であり、監視時間帯「t0」が「4月13日10時0分〜10時5分」であるものとする。かかる場合に、閾値算出部142は、監視時間帯t0=「4月13日10時0分〜10時5分」の直前における閾値算出単位時間「t1」=「4月13日9時〜10時」のトラフィック量を取得する。また、閾値算出部142は、「1日」前のトラフィック量として、閾値算出単位時間「t2」=「4月12日9時〜10時」のトラフィック量を取得する。また、閾値算出部142は、「直近の休日」のトラフィック量として、閾値算出単位時間「t3」=「4月11日9時〜10時」のトラフィック量を取得する。なお、ここでは、「4月11日」が休日であるものとする。また、閾値算出部142は、「1週間」前のトラフィック量として、閾値算出単位時間「t4」=「4月6日9時〜10時」のトラフィック量を取得する。
For example, it is assumed that the threshold calculation unit time is “1 hour” and the monitoring time zone “t0” is “April 13, 10:00 to 10: 5”. In such a case, the threshold
そして、閾値算出部142は、このようにして取得した閾値算出単位時間「t2」〜「t4」のトラフィック量のうち、トラフィック量の変動分布が、監視時間帯「t0」の直前における閾値算出単位時間「t1」のトラフィック量の変動分布と類似するトラフィック量を抽出する。そして、閾値算出部142は、抽出したトラフィック量を用いてトラフィック量の変動許容範囲である閾値を算出する。
Then, the threshold
なお、「所定の周期」として「1日」を用いる理由は、トラフィック変動は前日と大きく変わらないことが多いからであり、前日のトラフィック量と大きく異なる場合には、異常であると判定できるからである。また、「所定の周期」として「1週間」を用いる理由は、トラフィック変動は同じ曜日で大きく変わらないことが多いからである。また、「所定の周期」として「直近の休日」を用いる理由は、トラフィック変動は平日と休日で異なる場合があり、監視対象日が祝日である場合には、前日や1週間前のトラフィック量と比較しても正しいトラフィック変動検出処理を行えない可能性があるからである。しかし、「所定の周期」に「直近の休日」を用いることで、監視対象日が祝日であっても正確にトラフィック変動検出処理を行うことができ、その結果、トラフィック変動の要因を正確に抽出することができる。 The reason for using “1 day” as the “predetermined period” is that traffic fluctuations are often not significantly different from the previous day, and when the traffic volume on the previous day is significantly different, it can be determined that there is an abnormality. It is. The reason for using “one week” as the “predetermined period” is that traffic fluctuations often do not change significantly on the same day of the week. Also, the reason for using “most recent holiday” as the “predetermined period” is that traffic fluctuations may differ between weekdays and holidays, and if the monitoring target day is a holiday, the traffic volume of the previous day or one week ago This is because there is a possibility that correct traffic fluctuation detection processing cannot be performed even if the comparison is made. However, by using “the most recent holiday” as the “predetermined period”, traffic fluctuation detection processing can be performed accurately even if the monitoring target day is a holiday, and as a result, the factors of traffic fluctuation can be accurately extracted. can do.
ここで、閾値算出部142によるトラフィック量の類似性を判定する処理の一例について説明する。閾値算出単位時間「t1」〜「t4」におけるトラフィック量は、例えば、図13に例示するように、所定の集計時間間隔毎に集計されたトラフィック量で表される。閾値算出部142は、図13のように表されるトラフィック量の変動分布が類似するか否かを判定する場合に、例えば、閾値算出単位時間「t1」におけるトラフィック量の平均値を算出する。また、閾値算出部142は、閾値算出単位時間「t2」におけるトラフィック量の平均値、閾値算出単位時間「t3」におけるトラフィック量の平均値、閾値算出単位時間「t4」におけるトラフィック量の平均値についても算出する。そして、閾値算出部142は、閾値算出単位時間「t2」〜「t4」におけるトラフィック量のうち、トラフィック量の平均値が閾値算出単位時間「t1」におけるトラフィック量の平均値に最も近いトラフィック量が、閾値算出単位時間「t1」におけるトラフィック量に最も類似すると判定する。
Here, an example of a process for determining the similarity of the traffic amount by the
また、例えば、閾値算出部142は、トラフィック量の最大値と最小値との差異であるトラフィック変動幅を算出して類似性を判断してもよい。具体的には、閾値算出部142は、閾値算出単位時間「t1」〜「t4」におけるトラフィック量のトラフィック変動幅をそれぞれ算出する。そして、閾値算出部142は、閾値算出単位時間「t2」〜「t4」におけるトラフィック量のうち、トラフィック変動幅が閾値算出単位時間「t1」におけるトラフィック変動幅に最も近いトラフィック量が、閾値算出単位時間「t1」におけるトラフィック量に最も類似すると判定してもよい。
For example, the threshold
続いて、閾値算出部142による閾値算出処理の一例について説明する。閾値算出部142は、上記のようにして閾値算出単位時間「t1」におけるトラフィック量と類似する閾値算出単位時間のトラフィック量として、図13に例示するトラフィック量を抽出したものとする。かかる場合に、閾値算出部142は、例えば、図13に例示したトラフィック量の平均値T10を算出する。そして、閾値算出部142は、図13に例示するように、平均値T10にマージンM10を加算することで上限閾値T11を算出し、閾値T10からマージンM10を減算することで下限閾値T12を算出する。このように算出された上限閾値T11〜下限閾値T12が、変動許容範囲の閾値となる。
Next, an example of threshold calculation processing by the
なお、閾値算出部142は、トラフィック量の平均値と標準偏差を用いて、トラフィック量が所定の乖離度を超えた場合にかかるトラフィック量が異常であると判定されるように閾値を算出してもよい。
The
図2の説明に戻って、トラフィック変動検出部143は、経路情報の属性毎に、監視時間帯におけるトラフィック量が、閾値算出部142によって算出されたトラフィック用の閾値の範囲に含まれるか否かを判定する。なお、トラフィック変動検出部143は、入力トラフィックと、出力トラフィックとの双方について、閾値との比較処理を行う。入力トラフィックに対する処理と出力トラフィックに対する処理とは同様であるので、以下では、入力トラフィックに対する処理と出力トラフィックに対する処理とのいずれでもよい場合には、双方を区別せずに説明する。
Returning to the description of FIG. 2, the traffic
そして、トラフィック変動検出部143は、出力トラフィック量についても同様に判定する。そして、トラフィック変動検出部143は、監視対象時間におけるトラフィック量が閾値の範囲内に含まれない場合には、トラフィック量が異常であることを検出する。そして、トラフィック変動検出部143は、検出結果を検出履歴記憶部144に格納する。例えば、トラフィック変動検出部143は、トラフィック量の異常を検出した日時から、トラフィック量の異常を検出しなくなった日時までの異常検出区間を検出履歴記憶部144に格納する。トラフィック変動検出部143は、経路情報の属性毎に、このようなトラフィック変動検出処理を行う。
And the traffic fluctuation |
検出履歴記憶部144は、トラフィック変動検出部143による検出結果を記憶する。例えば、検出履歴記憶部144は、上述したように、トラフィック変動検出部143によってトラフィック量が異常であると検出された異常検出区間を記憶する。
The detection
なお、上記の閾値算出部142は、検出履歴記憶部144に記憶されている異常検出区間を除外して閾値を算出する。図14を用いて具体的に説明する。図14は、トラフィック変動の一例を示す図である。閾値算出部142は、図14に示したトラフィック量から閾値を算出する場合に、検出履歴記憶部144を参照して、異常検出区間G11を特定する。そして、閾値算出部142は、特定した異常検出区間G11を除外してトラフィック量の平均値等を算出することにより、閾値を算出する。
The threshold
警告部145は、トラフィック変動検出部143によってトラフィック量の異常が検出された場合に、警告を通知する。具体的には、警告部145は、トラフィック変動検出部143によってトラフィック量の異常が検出された場合に、経路情報記憶部111、属性変更情報記憶部112、フロー情報記憶部113等に記憶されている各種情報を含む警告を、図示しない表示部に表示したり、ネットワーク管理者等に通知したりする。
The
例えば、警告部145は、トラフィック変動検出部143によって、プレフィックス毎のトラフィック量に対して異常が検出された場合には、経路情報記憶部111から、異常が検出されたプレフィックスに対応する各種情報を取得するとともに、属性変更情報記憶部112から異常が検出されたプレフィックスに対応する各種情報を取得する。このとき、警告部145は、経路情報記憶部111や属性変更情報記憶部112から、「受信時刻」に記憶されている情報が、異常が検出された日時の近傍である各種情報を取得する。そして、警告部145は、経路情報記憶部111や属性変更情報記憶部112から取得した各種情報をネットワーク管理者等に通知する。
For example, when the traffic
また、例えば、警告部145は、トラフィック変動検出部143によって、オリジンAS単位記憶部132に記憶されているオリジンAS毎のトラフィック量に対してトラフィック量の異常が検出された場合には、経路情報記憶部111から、異常が検出されたオリジンASに対応する各種情報を取得するとともに、属性変更情報記憶部112から異常が検出されたオリジンASに対応する各種情報を取得し、取得した各種情報をネットワーク管理者等に通知する。
Further, for example, when the traffic
このようにして、警告部145は、トラフィック変動検出部143によってトラフィック量の異常が検出された場合に、検出対象の経路情報の属性に関する各種情報を経路情報記憶部111、属性変更情報記憶部112やフロー情報記憶部113等から取得して、取得した各種情報をネットワーク管理者等に通知する。
In this way, when the traffic
[トラフィック集計処理手順]
次に、図15を用いて、実施例1に係るネットワーク監視装置100によるトラフィック集計処理の手順について説明する。図15は、実施例1に係るネットワーク監視装置100によるトラフィック集計処理手順を示すフローチャートである。
[Traffic aggregation processing procedure]
Next, the procedure of the traffic totaling process performed by the
図15に示すように、ネットワーク監視装置100の経路情報格納部121は、ルータ11等からBGPメッセージを受信することで経路情報を収集し(ステップS101)、収集した経路情報を経路情報記憶部111に格納する(ステップS102)。また、経路情報格納部121は、経路情報の属性が変更されている場合に(ステップS103肯定)、変更内容を属性変更情報記憶部112に格納する(ステップS104)。
As illustrated in FIG. 15, the route
また、ネットワーク監視装置100のフロー情報格納部122は、ルータ11等からフロー情報を受信することでフロー情報を収集し(ステップS105)、収集したフロー情報をフロー情報記憶部113に格納する(ステップS106)。そして、トラフィック集計部141は、フロー情報記憶部113にトラフィック量を、経路情報の属性毎に集計する(ステップS107)。
The flow
なお、上記のS101〜S104における処理手順と、S105及びS106における処理手順とは、同時に行われてもよいし、いずれか一方のみが行われてもよい。また、S107における処理手順は、S101〜S107における処理手順の後に行われる必要はなく、独立して定期的に行われてもよい。 Note that the processing procedures in S101 to S104 and the processing procedures in S105 and S106 may be performed simultaneously, or only one of them may be performed. Moreover, the process procedure in S107 does not need to be performed after the process procedure in S101 to S107, and may be performed periodically independently.
[トラフィック変動検出処理手順]
次に、図16を用いて、実施例1に係るネットワーク監視装置100によるトラフィック変動検出処理の手順について説明する。図16は、実施例1に係るネットワーク監視装置100によるトラフィック変動検出処理手順を示すフローチャートである。
[Traffic fluctuation detection processing procedure]
Next, the procedure of traffic fluctuation detection processing by the
図16に示すように、ネットワーク監視装置100の閾値算出部142は、監視タイミングになった場合に(ステップS201肯定)、監視対象日時から所定の周期分だけ過去の日時における閾値算出単位時間分のトラフィック量を複数の日時について抽出する(ステップS202)。
As illustrated in FIG. 16, the
そして、閾値算出部142は、ステップS202において抽出した複数の日時におけるトラフィック量のうち、トラフィック量の変動分布が監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量を特定し(ステップS203)、特定したトラフィック量に基づいて閾値を算出する(ステップS204)。このとき、閾値算出部142は、検出履歴記憶部144に記憶されている異常検出区間を除外して閾値を算出する。
Then, the threshold
そして、トラフィック変動検出部143は、監視対象日時におけるトラフィック量が、閾値の範囲内に含まれるか否かを判定する(ステップS205)。トラフィック変動検出部143によって、トラフィック量が閾値の範囲内に含まれないと判定された場合には(ステップS205否定)、警告部145は、属性変更情報記憶部112に記憶されている属性情報の変更内容を含む警告を通知する(ステップS206)。
Then, the traffic
ネットワーク監視装置100は、経路情報の全属性についてトラフィック変動検出処理を行っていない場合には(ステップS207否定)、ステップS202に戻る。一方、ネットワーク監視装置100は、経路情報の全属性についてトラフィック変動検出処理を行った場合には(ステップS207肯定)、処理を終了する。
When the
[実施例1の効果]
上述してきたように、実施例1に係るネットワーク監視装置100は、経路情報の属性毎にトラフィック量を集計し、経路情報の属性毎にトラフィックの変動を監視する。また、ネットワーク監視装置100は、トラフィック変動検出処理において、監視対象日時より所定の周期分だけ過去の日時におけるトラフィック量を複数の日時について抽出し、抽出した複数の日時におけるトラフィック量のうち、トラフィック量の変動分布が監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量に基づいて、トラフィックの変動許容範囲を示す閾値を算出する。これにより、実施例1に係るネットワーク監視装置100は、以上のことから、トラフィック変動の要因を正確に抽出することができる。また、実施例1に係るネットワーク監視装置100は、経路情報の属性として送受信ホスト数が少ないトラフィックに対しても、トラフィック異常として検出することが可能になり、トラフィック変動要因として経路変動要因を抽出することができる。
[Effect of Example 1]
As described above, the
また、実施例1に係るネットワーク監視装置100は、トラフィック変動の異常を検出した場合に、異常が検出されたトラフィックに対応する経路情報の属性の変更内容等をを含む警告を通知する。これにより、ネットワーク監視装置100は、ネットワーク管理者等にトラフィック変動の要因を通知することができる。
In addition, when the
また、実施例1に係るネットワーク監視装置100は、トラフィック変動の異常が検出された異常検出区間におけるトラフィック量を除外して閾値を算出するので、トラフィック変動の要因をより正確に抽出することができる。
In addition, the
ところで、本願の開示するネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムは、上述した実施例以外にも、種々の異なる形態にて実施されてよい。そこで、実施例2では、本願の開示するネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラムの他の実施例について説明する。 Incidentally, the network monitoring device, the network monitoring method, and the network monitoring program disclosed in the present application may be implemented in various different forms other than the above-described embodiments. Accordingly, in the second embodiment, another embodiment of the network monitoring device, the network monitoring method, and the network monitoring program disclosed in the present application will be described.
[周期]
上記実施例1では、閾値算出部142が、所定の周期として、「1日」、「1週間(7日)」、「直近の休日」を用いる例を示した。しかし、これは一例であって、閾値算出部142は、所定の周期として、「1日」、「2日」、「3日」等の1日おきの周期を用いてもよいし、「1週間」、「2週間」、「3週間」等の1週間おきの周期を用いてもよい。
[period]
In the first embodiment, the threshold
[閾値算出処理]
上記実施例1では、閾値算出部142が、トラフィック量記憶部130に記憶されているトラフィック量に基づいて閾値を算出する例を示した。しかし、トラフィック量記憶部130にトラフィック量が記憶されている場合や、トラフィック量記憶部130に監視対象日時におけるトラフィック量の変動分布と類似するトラフィック量が記憶されていない場合には、閾値算出部142は、予め定められている閾値を用いてもよい。
[Threshold calculation processing]
In the first embodiment, the example in which the
[グループ化]
また、上記のトラフィック変動検出部143は、複数の属性について同時期にトラフィック異常を検出している場合に、経路情報記憶部111に記憶されている情報や、属性変更情報記憶部112に記憶されている情報に基づいて、属性の変更内容やBGPメッセージが重複しているか否かを判定してもよい。そして、トラフィック変動検出部143は、属性の変更内容やBGPメッセージが重複している場合には、かかる複数の属性におけるトラフィック変動については、同一の要因であるものとして、かかる複数の属性をグループ化する。そして、トラフィック変動検出部143は、トラフィック異常が検出されている複数の属性と、重複している属性の変更内容やBGPメッセージとに対して同一のグループIDを付与し、グループID毎に、属性の変更内容やBGPメッセージに含まれる各種情報を表示部に表示したり、ネットワーク管理者等に通知したりしてもよい。
[Group]
In addition, the traffic
[経路情報]
また、上記のトラフィック集計部141等は、上記の経路情報記憶部111に重複するBGPメッセージが格納されている場合には、マージした後に処理を行ってもよい。してもよい。
[Route information]
In addition, the
[システム構成等]
また、上記実施例において、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図2に示したフロー情報格納部122とトラフィック集計部141とは統合されてもよいし、閾値算出部142とトラフィック変動検出部143とは統合されてもよい。
[System configuration, etc.]
Further, in the above-described embodiment, each component of each illustrated apparatus is functionally conceptual and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the flow
[プログラム]
また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図17を用いて、図2に示したネットワーク監視装置100と同様の機能を有するネットワーク監視プログラムを実行するコンピュータの一例を説明する。
[program]
The various processes described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. Therefore, in the following, an example of a computer that executes a network monitoring program having the same function as that of the
図17は、開示の技術に係るネットワーク監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図17に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
FIG. 17 is a diagram illustrating that information processing by the network monitoring program according to the disclosed technique is specifically realized using a computer. As illustrated in FIG. 17, the
メモリ1010は、図17に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図17に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図17に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図17に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図17に例示するように、例えばディスプレイ1061に接続される。
The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012 as illustrated in FIG. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1031 as illustrated in FIG. The disk drive interface 1040 is connected to the
ここで、図17に例示するように、ハードディスクドライブ1031は、例えば、OS、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係るネットワーク監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。具体的には、上記実施例で説明した経路情報格納部121と同様の情報処理を実行する経路情報格納手順と、フロー情報格納部122と同様の情報処理を実行するフロー情報格納手順と、トラフィック集計部141と同様の情報処理を実行するトラフィック集計手順と、閾値算出部142と同様の情報処理を実行する閾値算出手順と、トラフィック変動検出部143と同様の情報処理を実行するトラフィック変動検出手順と、警告部145と同様の情報処理を実行する警告手順とが記述されたプログラムモジュールが、ハードディスクドライブ1031に記憶される。
Here, as illustrated in FIG. 17, the hard disk drive 1031 stores, for example, an OS, application programs, program modules, and program data. In other words, the network monitoring program according to the disclosed technique is stored in, for example, the hard disk drive 1031 as a program module in which a command executed by the
また、上記実施例で説明したネットワーク情報記憶部110、トラフィック量記憶部130及び検出履歴記憶部144に記憶されるデータのように、ネットワーク監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出し、経路情報格納手順、フロー情報格納手順、トラフィック集計手順、閾値算出手順、トラフィック変動検出手順、警告手順を実行する。
In addition, data used for information processing by the network monitoring program, such as data stored in the network
なお、ネットワーク監視プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、転送プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
Note that the program module and program data related to the network monitoring program are not limited to being stored in the hard disk drive 1031, but may be stored in, for example, a removable storage medium and read out by the
1 ネットワーク
10〜80 AS
11、12、21、31 ルータ
13 端末
32 Webサーバ
100 ネットワーク監視装置
110 ネットワーク情報記憶部
111 経路情報記憶部
112 属性変更情報記憶部
113 フロー情報記憶部
121 経路情報格納部
122 フロー情報格納部
130 トラフィック量記憶部
131 プレフィックス単位記憶部
132 オリジンAS単位記憶部
133 ピアAS単位記憶部
134 ASパス単位記憶部
135 ASリンク単位記憶部
136 ルータアドレス単位記憶部
141 トラフィック集計部
142 閾値算出部
143 トラフィック変動検出部
144 検出履歴記憶部
145 警告部
1 network 10-80 AS
11, 12, 21, 31
Claims (7)
前記自律システムを流通するトラフィックの経路を示す経路情報の属性毎に、該属性を含む経路を流通するトラフィック量を集計するトラフィック集計部と、
前記経路情報の属性毎に、前記トラフィック集計部によって集計されたトラフィック量から、監視対象日時から所定の周期分だけ過去の日時における所定の時間範囲分のトラフィック量を複数の日時について抽出する抽出部と、
前記抽出部によって抽出された複数の日時に対応するトラフィック量のうち、トラフィック量の平均値又は最大変動幅が前記監視対象日時におけるトラフィック量の平均値又は最大変動幅と最も近いトラフィック量を特定し、特定したトラフィック量の平均値に所定値を加減した変動許容範囲である閾値を前記経路情報の属性毎に算出する閾値算出部と、
前記経路情報の属性毎に、前記監視対象日時におけるトラフィック量が前記閾値算出部によって算出された閾値の範囲内に含まれるか否かを検出するトラフィック変動検出部と
を有することを特徴とするネットワーク監視装置。 A network monitoring device for monitoring an autonomous system included in a network,
For each attribute of route information indicating the route of traffic flowing through the autonomous system, a traffic totaling unit that totals the amount of traffic flowing through the route including the attribute;
An extraction unit that extracts, for a plurality of dates and times, a traffic amount for a predetermined time range in the past date and time for a predetermined period from the monitoring target date and time, from the traffic amount totaled by the traffic counting unit for each attribute of the route information When,
Of the amount of traffic corresponding to a plurality of time extracted by the extraction unit, to identify the nearest traffic volume and the average value or the maximum fluctuation width of the traffic volume in the average value or the maximum fluctuation width of the traffic volume the monitoring target date A threshold value calculation unit that calculates a threshold value that is a fluctuation allowable range obtained by adding or subtracting a predetermined value to the average value of the identified traffic amount for each attribute of the route information;
A traffic fluctuation detecting unit that detects whether the traffic volume at the monitoring target date and time is included within a threshold range calculated by the threshold value calculating unit for each attribute of the route information. Monitoring device.
前記トラフィック変動検出部によって、前記閾値の範囲に前記監視対象日時におけるトラフィック量が含まれないと判定された場合に、該トラフィック量に対応する経路情報の属性の変更内容を前記属性変更情報記憶部から取得し、取得した変更内容を含む警告を通知する警告部と
をさらに備えたことを特徴とする請求項1に記載のネットワーク監視装置。 A route information storage unit that collects route information from the autonomous system and detects the change content of the attribute included in the route information, and stores the change content in the attribute change information storage unit;
When the traffic fluctuation detection unit determines that the traffic amount at the monitoring target date and time is not included in the threshold range, the attribute change information storage unit displays the change contents of the attribute of the route information corresponding to the traffic amount. The network monitoring apparatus according to claim 1, further comprising: a warning unit that obtains a warning including the acquired change content.
前記閾値の範囲に前記監視対象日時におけるトラフィック量が含まれないと判定した日時から、該記閾値の範囲に該監視対象日時におけるトラフィック量が含まれると判定した日時までの異常検出区間を所定の検出履歴記憶部に格納し、
前記閾値算出部は、
前記抽出部によって抽出されたトラフィック量のうち、トラフィック量の平均値又は最大変動幅が前記監視対象日時におけるトラフィック量の平均値又は最大変動幅と最も近いトラフィック量を特定し、特定したトラフィック量から前記異常検出区間におけるトラフィック量を除外して前記閾値を算出する
ことを特徴とする請求項1又は2に記載のネットワーク監視装置。 The traffic fluctuation detection unit
An abnormality detection interval from a date / time at which it is determined that the traffic amount at the monitoring target date / time is not included in the threshold range to a date / time at which the traffic amount at the monitoring date / time is determined to be included in the threshold range is a predetermined value. Store it in the detection history storage,
The threshold value calculation unit
Of the traffic volumes extracted by the extraction unit, the traffic volume average value or maximum fluctuation range specifies the traffic volume closest to the traffic volume average value or maximum fluctuation width at the monitoring target date and time, and from the identified traffic volume The network monitoring apparatus according to claim 1, wherein the threshold value is calculated by excluding a traffic amount in the abnormality detection section .
前記トラフィック集計部によって集計されたトラフィック量のうち、監視対象日時から所定の週数だけ過去のトラフィック量と、該監視対象日時から所定の日数だけ過去のトラフィック量と、監視対象日時に対して直近の休日のトラフィック量とを抽出する
ことを特徴とする請求項1〜3のいずれか一つに記載のネットワーク監視装置。 The extraction unit includes:
Of the traffic volume aggregated by the traffic aggregation unit, the traffic volume in the past for a predetermined number of weeks from the monitoring date and time, the traffic volume in the past for the predetermined number of days from the monitoring date and time, and the monitoring date and time The network monitoring device according to any one of claims 1 to 3, wherein a traffic volume of a holiday is extracted.
前記トラフィック変動検出部によって前記閾値の範囲にトラフィック量が含まれないと複数の属性について判定された場合に、該複数の属性に対応する変更内容を前記属性変更情報記憶部から取得し、取得した変更内容が重複する場合には、該複数の属性を一括して警告を行う
ことを特徴とする請求項2に記載のネットワーク監視装置。 The warning part is
When a plurality of attributes are determined that the traffic amount is not included in the threshold range by the traffic fluctuation detection unit, change contents corresponding to the plurality of attributes are acquired from the attribute change information storage unit and acquired. The network monitoring apparatus according to claim 2, wherein, when the contents of change are duplicated, the plurality of attributes are collectively alerted.
コンピュータが、
前記自律システムを流通するトラフィックの経路を示す経路情報の属性毎に、該属性を含む経路を流通するトラフィック量を集計するトラフィック集計工程と、
前記経路情報の属性毎に、前記トラフィック集計工程によって集計されたトラフィック量から、監視対象日時から所定の周期分だけ過去の日時における所定の時間範囲分のトラフィック量を複数の日時について抽出する抽出工程と、
前記抽出工程によって抽出された複数の日時に対応するトラフィック量のうち、トラフィック量の平均値又は最大変動幅が前記監視対象日時におけるトラフィック量の平均値又は最大変動幅と最も近いトラフィック量を特定し、特定したトラフィック量の平均値に所定値を加減した変動許容範囲である閾値を前記経路情報の属性毎に算出する閾値算出工程と、
前記経路情報の属性毎に、前記監視対象日時におけるトラフィック量が前記閾値算出工程によって算出された閾値の範囲内に含まれるか否かを検出するトラフィック変動検出工程と
を含むことを特徴とするネットワーク監視方法。 A network monitoring method for monitoring an autonomous system included in a network,
Computer
For each attribute of route information indicating the route of traffic flowing through the autonomous system, a traffic counting step of counting the amount of traffic flowing through the route including the attribute;
An extraction step for extracting a traffic amount for a predetermined time range in the past date and time for a predetermined period from the monitoring target date and time, for a plurality of dates and times, from the traffic amount totaled by the traffic counting step for each attribute of the route information When,
Among traffic volumes corresponding to a plurality of dates and times extracted by the extraction step, a traffic volume whose average value or maximum fluctuation range is closest to the average or maximum fluctuation range of traffic volume at the monitoring date and time is specified. A threshold value calculation step for calculating a threshold value that is a fluctuation allowable range obtained by adding or subtracting a predetermined value to the average value of the identified traffic volume for each attribute of the route information;
A traffic fluctuation detecting step for detecting whether or not the traffic volume at the monitoring target date and time is included in the threshold value range calculated by the threshold value calculating step for each attribute of the route information. Monitoring method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010122036A JP5221594B2 (en) | 2010-05-27 | 2010-05-27 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010122036A JP5221594B2 (en) | 2010-05-27 | 2010-05-27 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011250201A JP2011250201A (en) | 2011-12-08 |
| JP5221594B2 true JP5221594B2 (en) | 2013-06-26 |
Family
ID=45414885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010122036A Active JP5221594B2 (en) | 2010-05-27 | 2010-05-27 | Network monitoring apparatus, network monitoring method, and network monitoring program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5221594B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8913482B2 (en) * | 2012-06-01 | 2014-12-16 | Telefonaktiebolaget L M Ericsson (Publ) | Enhancements to PIM fast re-route with upstream activation packets |
| JP5757579B2 (en) * | 2012-08-13 | 2015-07-29 | 日本電信電話株式会社 | Non-normal communication detection device and non-normal communication detection method |
| JP7491049B2 (en) | 2020-05-19 | 2024-05-28 | 富士通株式会社 | Anomaly detection method and anomaly detection program |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001223709A (en) * | 2000-02-10 | 2001-08-17 | Fujitsu Fip Corp | LAN-to-LAN connecting device and recording medium for recording LAN-to-LAN connecting program |
| JP2007259368A (en) * | 2006-03-27 | 2007-10-04 | Nec Commun Syst Ltd | Exchange load control method, load control system, and load control program |
-
2010
- 2010-05-27 JP JP2010122036A patent/JP5221594B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011250201A (en) | 2011-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7379426B2 (en) | Routing loop detection program and routing loop detection method | |
| US12229032B1 (en) | Evaluating machine and process performance in distributed system | |
| CN105049291B (en) | A method of detection exception of network traffic | |
| CN101471824B (en) | System and method for monitoring abnormity of BGP network | |
| JP6692178B2 (en) | Communications system | |
| JP5283192B2 (en) | Method, node device, and program for detecting faulty link in real time based on routing protocol | |
| JP5221594B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| JP5587256B2 (en) | Route monitoring apparatus, route monitoring method, and route monitoring program | |
| JP2007013590A (en) | Network monitoring system, network monitoring device and program | |
| CN112887208A (en) | Route leakage detection method, device and equipment | |
| CN110071843B (en) | Fault positioning method and device based on flow path analysis | |
| JP6248379B2 (en) | I/O device, memory monitoring method, and transmission device | |
| JP2008085819A (en) | Network abnormality detection system, network abnormality detection method, and network abnormality detection program | |
| US10805206B1 (en) | Method for rerouting traffic in software defined networking network and switch thereof | |
| JP4871775B2 (en) | Statistical information collection device | |
| CN117527547A (en) | Fault node detection method and device, electronic equipment and storage medium | |
| Cheng et al. | Longitudinal study of BGP monitor session failures | |
| WO2015136812A1 (en) | Middle server, network system, and method for narrowing down location and cause of deterioration in communication quality therein | |
| Zhao et al. | Locating the root cause of large-scale BGP anomaly with routing dependence | |
| JP2019153981A (en) | Communication device, communication system, and communication method | |
| Lad et al. | Inferring the origin of routing changes using link weights | |
| TW201928747A (en) | Server and monitoring method thereof | |
| JP5829183B2 (en) | Method, node device, and program for detecting faulty node device or faulted link in real time based on routing protocol | |
| JP2008085812A (en) | Network monitoring system, network monitoring method, and network monitoring program | |
| JP5362769B2 (en) | Network monitoring apparatus and network monitoring method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110902 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120803 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121024 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130305 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130307 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160315 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5221594 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |