Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5600626B2 - Traffic passing route analysis method, program, and apparatus - Google Patents
[go: Go Back, main page]

JP5600626B2 - Traffic passing route analysis method, program, and apparatus - Google Patents

Traffic passing route analysis method, program, and apparatus Download PDF

Info

Publication number
JP5600626B2
JP5600626B2 JP2011069899A JP2011069899A JP5600626B2 JP 5600626 B2 JP5600626 B2 JP 5600626B2 JP 2011069899 A JP2011069899 A JP 2011069899A JP 2011069899 A JP2011069899 A JP 2011069899A JP 5600626 B2 JP5600626 B2 JP 5600626B2
Authority
JP
Japan
Prior art keywords
traffic
information
individual
aggregated
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011069899A
Other languages
Japanese (ja)
Other versions
JP2012205205A (en
Inventor
賢治 堀
貴仁 吉原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2011069899A priority Critical patent/JP5600626B2/en
Publication of JP2012205205A publication Critical patent/JP2012205205A/en
Application granted granted Critical
Publication of JP5600626B2 publication Critical patent/JP5600626B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はトラヒック通過経路解析に関し、特に、汎用的なファイアウォール装置において通常利用可能な機能に基づいて、トラヒックフローを省力かつ高精度に把握可能とするトラヒック通過経路解方法、プログラム及び装置に関する。 The present invention relates to traffic passing path analysis, in particular, on the basis of the normal features available in generic firewall device, traffic passing path analysis method capable grasp the traffic flow to the labor-saving and high accuracy, a program, and apparatus.

ファイアウォール(Firewall)装置は、管理対象ネットワークと外部ネットワークとの接続点に設置されるルータの一種である。ファイアウォール装置は、管理対象ネットワークの安全性を高めるために、組織毎のトラヒック疎通方針(セキュリティ・ポリシ、以下「ポリシ情報」という)に基づいて必要なパケットのみを通過させ、危険なパケットを阻止する。従って、ファイアウォール装置の構成情報(ルール情報)は、そのポリシ情報に基づいて適切に設定される必要がある。尚、ファイアウォール装置は、管理対象ネットワーク内のセグメントネットワーク同士の間(例えば部署aのイントラネットと部署bのイントラネットとの間)に配置されるものであってもよい。   A firewall device is a type of router installed at a connection point between a managed network and an external network. In order to increase the safety of the managed network, the firewall device allows only necessary packets to pass based on the traffic communication policy (security policy, hereinafter referred to as “policy information”) for each organization and blocks dangerous packets. . Therefore, the configuration information (rule information) of the firewall device needs to be appropriately set based on the policy information. The firewall device may be arranged between the segment networks in the managed network (for example, between the intranet of department a and the intranet of department b).

一般に、ネットワーク管理者は、各部署(例えば各イントラネットの管理者)から、ファイアウォール装置の設定を依頼する「オーダシート(依頼書)」を受け取る。ネットワーク管理者は、それらオーダシートと組織の基本方針とに基づいて、「ポリシ情報」を作成する。ポリシ情報は、複数の「ポリシ要素」の順列によって構成される。ファイアウォール管理装置は、そのポリシ情報に基づいて、ファイアウォール装置毎に「ルール情報」を作成する。ルール情報も、複数の「ルール要素」の順列によって構成される。そして、ファイアウォール管理装置は、ファイアウォール装置毎に、ルール情報を送信する。   In general, a network administrator receives an “order sheet (request form)” for requesting setting of a firewall device from each department (for example, an administrator of each intranet). The network manager creates “policy information” based on the order sheet and the basic policy of the organization. The policy information is composed of a permutation of a plurality of “policy elements”. The firewall management device creates “rule information” for each firewall device based on the policy information. The rule information is also configured by a permutation of a plurality of “rule elements”. Then, the firewall management device transmits rule information for each firewall device.

構築済みのネットワークを対象に、ファイアウォールやルータのトラヒック疎通状態が設計通りか否かを評価、診断の上、問題箇所を指摘し修正する作業を行う場合がある。そこではトラヒックフローの現状分析が課題となる。トラヒックフローとは、例えば、計算機A0から計算機B0へのトラヒックはファイアウォールFW1, FW2を経由する、といった通過経路の情報である。このような情報の解析は、小規模かつ静的な経路設定のみで運用されるネットワークでは、属人的な作業により実現することも可能である。しかし今日、ファイアウォールやルータが10台以上あったり、動的経路制御を用いるようなネットワーク構成が通常である。このような環境では属人的な作業によって誤りなく速やかに分析を行うことは不可能である。   In some cases, it may be necessary to evaluate and diagnose whether or not the traffic communication status of the firewall or router is as designed for the network that has already been constructed. There is an issue of analyzing the current state of traffic flow. The traffic flow is, for example, information on a route through which traffic from the computer A0 to the computer B0 passes through the firewalls FW1 and FW2. Such information analysis can also be realized by personal work in a network that is operated only by small and static route setting. Today, however, network configurations typically have more than 10 firewalls and routers and use dynamic routing. In such an environment, it is impossible to perform analysis promptly and without error by personal work.

このような事情に関連して、以下の従来技術(NetFlow, 非特許文献1, 非特許文献2)では、汎用のファイアウォール装置に新たな機能や付加装置を追加することで、ファイアウォール上のトラヒックフローの解析が可能となる。   In relation to such circumstances, the following conventional technologies (NetFlow, Non-Patent Document 1, Non-Patent Document 2) add a new function or additional device to a general-purpose firewall device, and traffic flow on the firewall. Can be analyzed.

Cisco、「Introduction to Cisco IOS NetFlow - A Technical Overview」、[online]、[平成23年2月21日検索]、インターネット<URL:http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6555/ps6601/prod_white_paper0900aecd80406232.html>Cisco, “Introduction to Cisco IOS NetFlow-A Technical Overview”, [online], [searched February 21, 2011], Internet <URL: http://www.cisco.com/en/US/prod/collateral /iosswrel/ps6537/ps6555/ps6601/prod_white_paper0900aecd80406232.html> Cisco、「IETF RFC 3954: Cisco Systems NetFlow Services Export Version 9」、[online]、[平成23年2月21日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3954.txt>Cisco, “IETF RFC 3954: Cisco Systems NetFlow Services Export Version 9,” [online], [searched February 21, 2011], Internet <URL: http://www.ietf.org/rfc/rfc3954.txt >

しかしながら上記の従来技術は、在来の汎用的な装置で利用できないことや、ファイアウォール装置の負荷増大、付加装置の導入・設置手間・コストが実用上の問題となる。 However, the above-described prior art cannot be used with conventional general-purpose devices, the load on the firewall device is increased, and the introduction / installation effort / cost of additional devices become practical problems.

本発明の目的は、上記の従来技術の課題を解決し、必ずしも汎用には利用し難い手法(例えば、動的経路情報やNetFlowなど、ファイアウォール装置に負荷のかかる手法)を用いず、汎用的なファイアウォール装置にて通常利用可能な機能に基づいて、ネットワークのトラヒックフローを省力かつ高精度に把握可能とするトラヒック通過経路解析方法、プログラム及び装置を提供することにある。   The purpose of the present invention is to solve the above-mentioned problems of the prior art, and does not necessarily use a technique that is not necessarily widely used (for example, a technique that loads a firewall device such as dynamic route information or NetFlow). It is an object of the present invention to provide a traffic passage route analysis method, program, and apparatus that can grasp a network traffic flow with reduced labor and high accuracy on the basis of functions normally available in a firewall apparatus.

上記の従来技術の課題を解決するため、本発明はトラヒック通過経路解析方法であって、所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報とする段階と、前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報とする段階と、前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する段階を備えることを特徴とする。   In order to solve the above-described problems of the prior art, the present invention is a traffic passage route analysis method, and the arrival date and time of each traffic in each firewall device and the firewall device to which the traffic has arrived from a plurality of predetermined firewall devices, , Obtaining the individual traffic information by associating the information of the transmission source and destination of the traffic with each other, and the individual traffic constituting the individual traffic information with the match of the transmission source and the destination and the arrival date and time Grouping based on proximity within a predetermined standard to obtain aggregated traffic information, and for each aggregated traffic constituting the aggregated traffic information, each individual traffic belonging to the aggregated traffic in the order of arrival date and time Find the permutation of the firewall devices that the traffic has arrived at Characterized in that it comprises the step of estimating the said population about traffic from a common source as the passing path of the entire traffic flow leading to the destination.

また、本発明はトラヒック通過経路プログラムであって、コンピュータに前記トラヒック解析方法を実行させることで当該コンピュータをトラヒック通過経路解析装置として機能させることを特徴とする。   In addition, the present invention is a traffic passage program, which causes a computer to function as a traffic passage analysis device by causing the computer to execute the traffic analysis method.

また、本発明はトラヒック通過経路解析装置であって、所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報を作成する個別トラヒック情報作成部と、前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報を作成する集約トラヒック情報作成部と、前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する通過経路推定部を備えることを特徴とする。   Further, the present invention is a traffic passage analysis device, and from a plurality of predetermined firewall devices, the arrival date and time of each traffic in each firewall device, the firewall device that the traffic has reached, the transmission source and destination of the traffic, The individual traffic information creating unit that creates the individual traffic information by associating and acquiring the information, and the individual traffic constituting the individual traffic information within the predetermined criteria of the coincidence of the transmission source and the destination and the arrival date and time An aggregated traffic information creating unit that creates aggregated traffic information by grouping on the basis of proximity of each other, and for each aggregated traffic constituting the aggregated traffic information, in order of arrival date and time of each individual traffic belonging to the aggregated traffic, Order of firewall devices that individual traffic arrived The calculated, characterized by comprising a passage path estimation unit for estimating a that order column as the passing path of the entire traffic flow leading to the destination from the aggregate traffic to a common source.

さらに、前記個別トラヒック情報を各ファイアウォール装置の記録したトラヒックログを参照して求めることを特徴とする。   Further, the individual traffic information is obtained by referring to a traffic log recorded by each firewall device.

本発明によれば、汎用的なファイアウォール装置において通常取得可能な各種項目からなる個別トラヒック情報に基づいて、トラヒックフローの通過経路を推定することができる。特に、個別トラヒック情報を汎用的なファイアウォール装置におけるトラヒックログを参照して作成することで、過負荷や追加コストなどを避けて通過経路を推定することができる。   ADVANTAGE OF THE INVENTION According to this invention, the passage route of a traffic flow can be estimated based on the individual traffic information which consists of various items normally acquirable in a general-purpose firewall apparatus. In particular, by creating individual traffic information with reference to a traffic log in a general-purpose firewall device, it is possible to estimate a passage route while avoiding overload and additional costs.

本発明に係るシステムの一例を示す図である。It is a figure which shows an example of the system which concerns on this invention. 本発明を説明するためのトラヒックフローおよびトラヒックログ(トラヒック情報)の例である。It is an example of the traffic flow and traffic log (traffic information) for demonstrating this invention. 本発明のトラヒック通過経路解析装置の機能ブロック図である。It is a functional block diagram of the traffic passage analysis device of the present invention. 本発明のトラヒック通過経路解析方法のフローチャートである。It is a flowchart of the traffic passage route analysis method of the present invention. 個別トラヒック情報を表形式で示した例である。It is an example which showed individual traffic information in the table form. 集約トラヒック情報を表形式で示した例である。It is the example which showed aggregated traffic information in the table format. 通過経路を推定するフローチャートである。It is a flowchart which estimates a passage route. 通過経路推定フローに伴って更新される通過経路情報や、集約トラヒックと通過経路との対応情報の例である。It is an example of the correspondence information of the passage route information updated with a passage route estimation flow, and aggregated traffic and a passage route.

以下に、図面を参照して本発明を詳細に説明する。図1は、本発明に係るシステムの一例であり、トラヒック通過経路解析装置と、通過するトラヒックフローの解析対象となるファイアウォール装置との関係の一例を示す図である。   Hereinafter, the present invention will be described in detail with reference to the drawings. FIG. 1 is an example of a system according to the present invention, and is a diagram illustrating an example of a relationship between a traffic passage analysis device and a firewall device that is an analysis target of a passing traffic flow.

トラヒック通過経路解析装置1は、解析対象である所定の複数のファイアウォール装置20から必要な情報を取得して、トラヒックフローを解析する。ファイアウォール装置20は、管理対象ネットワーク50と、一般にインターネット全体70に含まれる外部ネットワーク60との間に配置される。管理対象ネットワーク50は複数の内部ネットワーク40を含み、当該ネットワーク内のパケット転送をルータ30が担う。   The traffic passage analysis device 1 obtains necessary information from a plurality of predetermined firewall devices 20 to be analyzed, and analyzes the traffic flow. The firewall device 20 is disposed between the management target network 50 and an external network 60 that is generally included in the entire Internet 70. The managed network 50 includes a plurality of internal networks 40, and the router 30 is responsible for packet transfer within the network.

例えば、管理対象ネットワーク50はある会社のネットワークであり、内部ネットワーク40は当該会社の各部署のイントラネットである。なお、図1では必ずしもそのような配置で示されていないが、ファイアウォール装置20は、管理対象ネットワーク50と外部ネットワーク60との間のみでなく、管理対象ネットワーク50内の内部ネットワーク40の間に配置されるものであってもよい。   For example, the management target network 50 is a network of a company, and the internal network 40 is an intranet of each department of the company. Although not necessarily shown in such an arrangement in FIG. 1, the firewall device 20 is arranged not only between the managed network 50 and the external network 60 but also between the internal networks 40 in the managed network 50. It may be done.

本発明では基本的に、図1のように解析対象のファイアウォール装置20が管理対象ネットワーク50内にあることを想定する。そしてトラヒック通過経路解析装置1は、これらファイアウォール装置20の管理も担う装置であれば、解析したトラヒックフローが管理上の基本情報として有効に活用できるため好ましい。しかし、必要な情報を取得できさえすれば、管理対象ネットワーク50の内外を問わず、任意のファイアウォール装置を解析対象に加えることができる。   In the present invention, it is basically assumed that the firewall device 20 to be analyzed is in the management target network 50 as shown in FIG. The traffic passage analysis device 1 is preferably a device that also manages these firewall devices 20, since the analyzed traffic flow can be effectively used as basic information for management. However, as long as necessary information can be acquired, any firewall device can be added to the analysis target regardless of inside or outside of the management target network 50.

ファイアウォール装置20は、外部ネットワーク60(又は内部のセグメントネットワーク40)から受信したパケットが、いずれのルール要素に該当するか照合する。そして、該当するルール要素に記述されるアクションに基づいて、そのパケットの転送可否が決定される。   The firewall device 20 checks which rule element the packet received from the external network 60 (or the internal segment network 40) corresponds to. Based on the action described in the corresponding rule element, whether or not the packet can be transferred is determined.

ファイアウォール装置20は、パケット毎の疎通結果を、「トラヒックログ」(または「アクセスログ」)として記録することができる。「トラヒックログ」とは、どのパケットに対し、どのルール要素によって、どのアクションを採ったかを表す記録である。本発明においては、ファイアウォール装置20から必要な情報を取得できるように、予め対応するトラヒックログの項目を記録するように設定しておくものとする。   The firewall device 20 can record a communication result for each packet as a “traffic log” (or “access log”). The “traffic log” is a record indicating which action is taken by which rule element for which packet. In the present invention, it is assumed that a corresponding traffic log item is recorded in advance so that necessary information can be acquired from the firewall device 20.

トラヒックログの取得は、ファイアウォール装置20が所定期間に渡って取得した後に、Syslogプロトコルなどによって図1に不図示のログ保管サーバに送信し、保管したログをトラヒック通過経路解析装置1が取得してもよい。また、ファイアウォール装置20から直接取得してもよい。いずれにせよ、ファイアウォール装置20に過負荷を掛けないような任意の手法によって取得することができる。   The traffic log is acquired by the firewall device 20 for a predetermined period, and then sent to a log storage server (not shown in FIG. 1) using the Syslog protocol, etc., and the traffic passing path analysis device 1 acquires the stored log. Also good. Alternatively, it may be acquired directly from the firewall device 20. In any case, it can be obtained by any method that does not overload the firewall device 20.

なおまた、本発明においてトラヒック通過経路解析装置1に必要となる情報はトラヒックログから取得するものとして説明するが、本発明はこれに限定されるものではない。すなわち、ファイアウォール装置20におけるトラヒックに対する同様の情報を取得することができ、ファイアウォール装置20に過負荷を掛けないならば、必ずしもログ経由で情報を取得する必要はない。本発明においてトラヒックログを利用するのは、汎用のファイアウォール装置20において通常の管理手法において記録することが可能であり、比較的容易に取得しうる情報の一実施形態としての利用である。この際、トラヒックログに記録可能な全ての種類の情報が必要となるわけでもない。なおまた、各情報の技術的意義の説明を容易にするための便宜としても、一般的なトラヒックログの用語又は略語を適宜借用して説明を行うものとする。   In the present invention, the information necessary for the traffic passing path analyzing apparatus 1 is described as being acquired from the traffic log, but the present invention is not limited to this. That is, similar information regarding traffic in the firewall device 20 can be acquired, and if the firewall device 20 is not overloaded, it is not always necessary to acquire information via a log. In the present invention, the traffic log is used as an embodiment of information that can be recorded by a general-purpose firewall device 20 by a normal management method and can be acquired relatively easily. At this time, not all types of information that can be recorded in the traffic log are required. In addition, as a convenience for facilitating the explanation of the technical significance of each piece of information, general traffic log terms or abbreviations are appropriately borrowed for explanation.

図2は、本発明を説明するために一貫して用いるトラヒックフロー及びトラヒックログ(前述の通り、トラヒックログはより一般には、トラヒック情報であってもよい)の例である。図2の上段側には、所定配置のファイアウォール装置FW1乃至FW5及びトラヒックの送信元又は宛先となるホスト(A)(B)(C)が例として示されている。なお、これらファイアウォール装置のうち、FW1及びFW2を解析対象として定めることとする。   FIG. 2 is an example of a traffic flow and a traffic log that are consistently used to describe the present invention (as described above, the traffic log may more generally be traffic information). In the upper part of FIG. 2, firewall devices FW1 to FW5 of a predetermined arrangement and hosts (A), (B), and (C) that are traffic sources or destinations are shown as examples. Of these firewall devices, FW1 and FW2 are defined as analysis targets.

なお、図1ではシステム全体を説明するために、特に区別を設けない一連のファイアウォール装置20として説明したが、本発明においてはファイアウォール装置同士の区別が必要である。よって、以降の説明でファイアウォール装置を参照する際には当該FW1乃至FW5などを用いるとする。   In FIG. 1, in order to describe the entire system, a series of firewall devices 20 with no particular distinction has been described. However, in the present invention, distinction between firewall devices is necessary. Therefore, when referring to the firewall device in the following description, it is assumed that the FW1 to FW5 are used.

図2では、順次発生したトラヒックフローの例として以下のようなTf1、Tf2及びTf3が示されている。
Tf1及びTf2:送信元(src)=(A)、宛先(dst)=(B)、利用サービス(service)=http
Tf3:送信元(src)=(A)、宛先(dst)=(B)、利用サービス(service)=ssh
In FIG. 2, the following Tf1, Tf2, and Tf3 are shown as examples of the traffic flow that occurs sequentially.
Tf1 and Tf2: transmission source (src) = (A), destination (dst) = (B), service used (service) = http
Tf3: Source (src) = (A), Destination (dst) = (B), Service used (service) = ssh

図2上段に示すように、Tf1は送信元(A)より宛先(C)へと送られたhttpサービスのパケットのトラヒックフローであり、途中でファイアウォール装置FW1、FW2及びFW3を順次疎通許可され通過して宛先に到達している。同じくTf2も送信元(A)より宛先(C)へと送られたhttpサービスのパケットのトラヒックフローであり、途中でファイアウォール装置FW1、FW2及びFW3を順次通過している宛先に到達している。さらに、Tf3は送信元(A)より宛先(C)へと送られたsshサービスのパケットのトラヒックフローであるが、途中でファイアウォール装置FW1において疎通拒否され、宛先には到達していない。   As shown in the upper part of Fig. 2, Tf1 is the traffic flow of the packet of the http service sent from the source (A) to the destination (C), and the firewall devices FW1, FW2 and FW3 are sequentially allowed to pass through and pass through And the destination has been reached. Similarly, Tf2 is a traffic flow of the packet of the http service sent from the transmission source (A) to the destination (C), and reaches the destination that sequentially passes through the firewall devices FW1, FW2, and FW3 on the way. Further, Tf3 is a traffic flow of the packet of the ssh service sent from the transmission source (A) to the destination (C), but the firewall apparatus FW1 refuses to communicate on the way and does not reach the destination.

以上のように各トラヒックフローTf1乃至Tf3が順次疎通許可又は拒否された経過の後に、各ファイアウォール装置FW1乃至FW5には当該経過を記録したトラヒックログが残る。図2下段には各ファイアウォール装置のトラヒックログのうち、特に解析対象であるFW1及びFW2における例を示してある。(T1)、(T2)及び(T3)はFW1において記録されたそれぞれトラヒックフローTf1,Tf2及びTf3に対応するトラヒックログである。(T4)及び(T5)はFW2において記録されたそれぞれトラヒックフローTf1及びTf2に対応するトラヒックログである。なお、トラヒックログ(トラヒック情報)とトラヒックフローとの対応づけを行うことは本発明の特徴であり、詳細については後述する。   As described above, after the traffic flows Tf1 to Tf3 are sequentially permitted or rejected, traffic logs that record the progress remain in the firewall devices FW1 to FW5. The lower part of FIG. 2 shows an example of FW1 and FW2 that are analysis targets, among traffic logs of each firewall device. (T1), (T2) and (T3) are traffic logs corresponding to the traffic flows Tf1, Tf2 and Tf3 recorded in FW1, respectively. (T4) and (T5) are traffic logs corresponding to the traffic flows Tf1 and Tf2 recorded in FW2, respectively. Note that the association between a traffic log (traffic information) and a traffic flow is a feature of the present invention, and details will be described later.

トラヒックログの項目内容は、例えば(T1)については項目の順に次の通りであり、上記トラヒックフローTf1の記録となっている。当該ログの項目の書式は、汎用的なファイアウォール装置の一例であるNetScreen(登録商標)における例であるが、別書式のログであっても同様に本発明は実施可能である。さらに前述の通り、本発明は必ずしもログという形式によらなくとも、同様の情報を取得することのできる任意のファイアウォール装置を対象とすることができる。   The content of the items in the traffic log is, for example, as follows in the order of items for (T1), and is a record of the traffic flow Tf1. The format of the log item is an example in NetScreen (registered trademark), which is an example of a general-purpose firewall device, but the present invention can be similarly implemented even in a log of another format. Further, as described above, the present invention can be applied to any firewall device that can acquire the same information without necessarily using a log format.

「FW1」ファイアウォール装置FW1にて取得されたトラヒックログである。
「acl1 policy=001」当該トラヒックT1のパケットは、FW1が有する各物理インタフェースのうち、アクセス制御リストacl1が設定されている物理インタフェースに到達し、当該アクセス制御リスト内のポリシID=001のポリシが適用された。
「src=(A)」当該トラヒックの送信元ホストは(A)である。(一般に、IPアドレスとして示される。)
「dst=(B)」当該トラヒックの宛先ホストは(B)である。(送信元と同様に、一般に、IPアドレスとして示される。)
“FW1” is a traffic log acquired by the firewall device FW1.
“Acl1 policy = 001” The packet of the traffic T1 reaches the physical interface for which the access control list acl1 is set among the physical interfaces of FW1, and the policy with policy ID = 001 in the access control list Applied.
“Src = (A)” The transmission source host of the traffic is (A). (Generally shown as an IP address.)
“Dst = (B)” The destination host of the traffic is (B). (Similar to the sender, it is generally shown as an IP address.)

「service=http」当該トラヒックが利用したサービスはhttpである。(その他にも、ssh,telnet,ftp,SMTPなど各種プロトコルのサービスがありうる。)
「action=allow」当該トラヒックはFW1において受信され、動作結果としては疎通を許可された。(拒否された場合は「action=deny」となる。)
「start_time=t1」当該トラヒックの発生日時すなわちFW1における受信日時はt1である。t1の部分は、一般に年・月・日・分・秒などで指定される。(なお、当該トラヒックフローに対応するFW2における受信日時はt1よりわずかに遅れたt1+dt1である。本発明では後述のように、このような情報から通過経路を求める。)
「duaration=1」当該トラヒックのFW1における継続時間は1(単位は所定の任意の単位)である。
「send=100」当該トラヒックの送信バイト数は100である。
「rcvd=10」当該トラヒックの受信バイト数は10である。
“Service = http” The service used by the traffic is http. (In addition, there can be various protocol services such as ssh, telnet, ftp, and SMTP.)
“Action = allow” The traffic was received by FW1 and communication was permitted as an operation result. (If rejected, “action = deny”.)
“Start_time = t1” The occurrence date and time of the traffic, that is, the reception date and time at FW1 is t1. The t1 part is generally specified by year, month, day, minute, second, etc. (Note that the reception date and time in FW2 corresponding to the traffic flow is t1 + dt1 slightly delayed from t1. In the present invention, the passage route is obtained from such information as described later.)
“Duaration = 1” The duration of the traffic in FW1 is 1 (the unit is a predetermined arbitrary unit).
“Send = 100” The number of transmitted bytes of the traffic is 100.
“Rcvd = 10” The number of received bytes of the traffic is 10.

なおまた、図2下段には示していないが、トラヒックログの項目内容としてさらに送信元ポート番号「SrcPort」及び宛先ポート番号「DstPort」の指定があってもよい。その他にも種々の項目を利用してもよい。   Although not shown in the lower part of FIG. 2, the source port number “SrcPort” and the destination port number “DstPort” may be further specified as the contents of the traffic log items. Various other items may also be used.

図3に、本発明に係るトラヒック通過経路解析装置1の機能ブロック図を示す。トラヒック通過経路解析装置1は、ログ取得部2(又はトラヒック情報取得部2)、個別トラヒック情報作成部3、集約トラヒック情報作成部4、通過経路推定部5及び表示部6を備える。このうち個別トラヒック情報作成部3はさらに、到達装置識別部31、インタフェース識別部32、到達日時取得部33、送信元・宛先取得部34、ポート取得部35及び付属情報取得部36を含む。また通過経路推定部5は確度算出部51を含む。   FIG. 3 shows a functional block diagram of the traffic passage analysis device 1 according to the present invention. The traffic passage analysis device 1 includes a log acquisition unit 2 (or traffic information acquisition unit 2), an individual traffic information creation unit 3, an aggregated traffic information creation unit 4, a passage route estimation unit 5, and a display unit 6. Among these, the individual traffic information creation unit 3 further includes a reaching device identification unit 31, an interface identification unit 32, an arrival date acquisition unit 33, a transmission source / destination acquisition unit 34, a port acquisition unit 35, and an attached information acquisition unit 36. The passage route estimation unit 5 includes an accuracy calculation unit 51.

図4に、本発明に係るトラヒック通過経路解析方法のフローチャートを示し、各ステップの説明と共に図3の各機能ブロックの役割を説明する。ステップS1では、ログ取得部2が、図1又は図2に示したような所定の複数のファイアウォール装置にアクセスして、又は当該複数のファイアウォール装置のトラヒックログを保管しているSyslogサーバ等にアクセスして、当該所定の複数のファイアウォール装置よりトラヒックログを取得する。あるいは、必ずしもログという形式を経ずに、所定の複数のファイアウォール装置に直接又は間接にアクセスして、トラヒック情報取得部2がトラヒックログの情報と同等のトラヒック情報を取得してもよい。   FIG. 4 shows a flowchart of the traffic passing route analyzing method according to the present invention, and the role of each functional block in FIG. In step S1, the log acquisition unit 2 accesses a predetermined plurality of firewall devices as shown in FIG. 1 or FIG. 2, or accesses a syslog server or the like that stores traffic logs of the plurality of firewall devices. Then, a traffic log is acquired from the predetermined plurality of firewall devices. Alternatively, the traffic information acquisition unit 2 may acquire the traffic information equivalent to the traffic log information by directly or indirectly accessing a predetermined plurality of firewall devices without necessarily passing through the log format.

ステップS2では、ステップS1で取得した情報を用いて、個別トラヒック情報作成部3が個別トラヒック情報を作成する。個別トラヒック情報の例を図5に示す。図5の例は、図2で説明した解析対象となる各ファイアウォール装置FW1及びFW2の各ログ出力T1乃至T5に対する、個別トラヒック情報を表の形式で表している。図5に示すように、個別トラヒック情報とは、簡単に説明すれば各ファイアウォール装置から取得したトラヒックログをマージした情報である。   In step S2, the individual traffic information creation unit 3 creates individual traffic information using the information acquired in step S1. An example of the individual traffic information is shown in FIG. The example of FIG. 5 represents individual traffic information in the form of a table for the log outputs T1 to T5 of the firewall devices FW1 and FW2 to be analyzed described in FIG. As shown in FIG. 5, the individual traffic information is information obtained by merging the traffic logs acquired from the respective firewall devices in a simple description.

個別トラヒック情報作成部3はマージを行うためにまず、各トラヒックログに登場するトラヒック(T1乃至T5)に、一貫したユニークなIDを付与する。当該IDを、既にトラヒックログを説明した際に用いたT1乃至T5によって表すものとする。当該付与されたIDは、図5にトラヒックID(TID)の欄に示されている。   In order to perform merging, the individual traffic information creation unit 3 first assigns a consistent and unique ID to traffic (T1 to T5) appearing in each traffic log. The ID is represented by T1 to T5 used when the traffic log has already been described. The assigned ID is shown in the traffic ID (TID) column in FIG.

こうして識別された各トラヒック(個別トラヒックと呼ぶこととする)に対して、個別トラヒック情報作成部3に含まれる到達装置識別部31乃至付属情報取得部36は、以下のようにそれぞれトラヒックログから所定の情報を抽出して対応づける。なお、トラヒックログでは一般に1行毎に各トラヒックの情報が記載されているので、ある特定のトラヒックについての情報は全て同じ行より抽出される。   For each of the traffic thus identified (referred to as individual traffic), the reaching device identification unit 31 through the attached information acquisition unit 36 included in the individual traffic information creation unit 3 respectively from the traffic log as described below. Extract and associate information. In the traffic log, since information on each traffic is generally described for each line, all information on a specific traffic is extracted from the same line.

到達装置識別部31は当該個別トラヒックの到達したファイアウォール装置の情報を対応づける。例えば個別トラヒックT1にはファイアウォール装置FW1を対応付ける。また、インタフェース識別部32は、当該トラヒックが当該ファイアウォール装置において到達した物理インタフェースを取得する。   The reaching device identification unit 31 associates the information of the firewall device that the individual traffic has reached. For example, the firewall device FW1 is associated with the individual traffic T1. In addition, the interface identification unit 32 acquires a physical interface that the traffic has reached in the firewall device.

一般にファイアウォール装置は、パケット等の入力側及び出力側の両者において、複数の物理インタフェースを有することができる。インタフェース識別部32は、当該トラヒックが到達した(到達すなわち疎通許可及び疎通拒否の両方の場合を含む)、このような入力側及び出力側の物理インタフェースの識別情報を取得する。当該識別情報は、トラヒックログから取得するのであれば、各物理インタフェースにおいて設定されているアクセス制御リスト(acl)の名称などから取得することができる。例えば個別トラヒックT1には、ファイアウォール装置FW1におけるアクセス制御リストacl1の設定された物理インタフェースが、到達したインタフェースとして対応づけられる。なお、アクセス制御リストの項目が取得できない種類のログであれば、予め各ファイアウォール装置の構成情報を読み込んでおき、ログ内からアクセス制御リストの項目に対応する情報を抽出するようにすればよい。   In general, a firewall device can have a plurality of physical interfaces on both the input side and the output side of a packet or the like. The interface identification unit 32 acquires the identification information of the physical interfaces on the input side and the output side when the traffic has arrived (including cases where the traffic has reached, that is, communication permission and communication rejection). If the identification information is obtained from the traffic log, it can be obtained from the name of the access control list (acl) set in each physical interface. For example, the physical interface set in the access control list acl1 in the firewall apparatus FW1 is associated with the individual traffic T1 as the reached interface. If the access control list item cannot be acquired, the configuration information of each firewall device may be read in advance, and information corresponding to the access control list item may be extracted from the log.

これら到達装置識別部31及びインタフェース識別部32の両者で取得された情報はペアで、図5におけるトラヒック観測箇所(appeared at)の欄に示されている。例えば個別トラヒックT1に対しては「FW1 acl1」が対応づけられている。   The information acquired by both the reaching device identifying unit 31 and the interface identifying unit 32 is a pair, and is shown in the column of “appeared at” in FIG. For example, “FW1 acl1” is associated with the individual traffic T1.

到達日時取得部33は、当該個別トラヒックが当該ファイアウォール装置に到達した日時を取得する。すなわち、トラヒックログから取得するのでればstart_timeの項目を取得して当該個別トラヒックに対応づける。図5では例えば個別トラヒックT1に対しては、2010/09/16 20:29:00(2010年9月16日20時29分0秒)が対応づけられる。   The arrival date acquisition unit 33 acquires the date and time when the individual traffic arrived at the firewall device. That is, if it is acquired from the traffic log, the start_time item is acquired and associated with the individual traffic. In FIG. 5, for example, the individual traffic T1 is associated with 2010/09/16 20:29:00 (September 16, 2010, 20: 29: 0).

送信元・宛先取得部34は、当該個別トラヒックの送信先及び宛先を取得する。すなわち、トラヒックログから取得するのであればsrc及びdstの項目をIPアドレスとして取得して当該個別トラヒックに対応づける。図5では例えば個別トラヒックT1に対しては送信元IPアドレス10.0.0.1及び宛先IPアドレス172.19.76.1が対応づけられる。   The transmission source / destination acquisition unit 34 acquires the transmission destination and destination of the individual traffic. That is, if it is acquired from the traffic log, the src and dst items are acquired as IP addresses and associated with the individual traffic. In FIG. 5, for example, the source IP address 10.0.0.1 and the destination IP address 172.19.76.1 are associated with the individual traffic T1.

ポート取得部35は、当該個別トラヒックの送信元ポート番号及び宛先ポート番号の両者又はいずれか一方を取得する。ポート取得部35がポート番号を取得できる場合は、当該個別トラヒックはTCP又はUDPによるものとなる。   The port acquisition unit 35 acquires the source port number and / or the destination port number of the individual traffic. When the port acquisition unit 35 can acquire the port number, the individual traffic is based on TCP or UDP.

その他さらに、付属情報取得部36によって各種の情報を取得してもよい。例えば図5にそれぞれsend及びrcvdという項目で示されているように、当該個別トラヒックの送信バイト数及び受信バイト数を取得してもよい。   In addition, various information may be acquired by the attached information acquisition unit 36. For example, as indicated by the items “send” and “rcvd” in FIG. 5, respectively, the number of transmitted bytes and the number of received bytes of the individual traffic may be acquired.

また付属情報取得部36では例えば利用プロトコルを取得してもよい。図5の例では個別トラヒックT1乃至T5は全てTCPプロトコルとなっておいる。付属情報取得部36はさらに、各プロトコルに特有の情報を取得してもよい。TCPプロトコルを利用している場合であれば、どのサービスを利用したかを取得してもよい。この場合トラヒックログから取得するのであれば、serviceの項目より取得する。   Further, the attached information acquisition unit 36 may acquire a use protocol, for example. In the example of FIG. 5, the individual traffic T1 to T5 are all TCP protocol. The attached information acquisition unit 36 may further acquire information specific to each protocol. If the TCP protocol is used, the service used may be acquired. In this case, if it is obtained from the traffic log, it is obtained from the service item.

以上、ステップS2で各種情報を取得して個別トラヒック情報作成部3が個別トラヒック情報を作成すると、ステップS3では、集約トラヒック情報作成部4が個別トラヒック情報を用いて集約トラヒック情報を作成する。図6に集約トラヒック情報の例を示す。図6では集約トラヒック情報の例として、図5の個別トラヒック情報より作成された集約トラヒック情報が表形式で示されている。   As described above, when various information is acquired in step S2 and the individual traffic information creation unit 3 creates individual traffic information, in step S3, the aggregated traffic information creation unit 4 creates aggregated traffic information using the individual traffic information. FIG. 6 shows an example of aggregated traffic information. In FIG. 6, as an example of the aggregated traffic information, aggregated traffic information created from the individual traffic information of FIG. 5 is shown in a table format.

集約トラヒック情報とは、個別トラヒック情報における個別トラヒックを集約すなわちグループ化して各集約トラヒックとした情報である。各集約トラヒックは、図2において説明したような順次発生したトラヒックフローの各々(Tf1,Tf2,Tf3等)を表すように、個別トラヒックから集約される。   The aggregated traffic information is information that aggregates individual traffic in the individual traffic information, that is, groups them into each aggregated traffic. Each aggregated traffic is aggregated from the individual traffic so as to represent each of the sequentially generated traffic flows (Tf1, Tf2, Tf3, etc.) as described in FIG.

集約トラヒック情報作成部4は各集約トラヒックを求めてIDを付与する。当該IDは図6においてATID(Aggregated Traffic ID)すなわち集約トラヒックIDの欄にAT1,AT2,AT3,…等のように示されている。例えばAT1は図2におけるトラヒックフローTf1に相当し、当該AT1を構成している個別トラヒック欄(consists of欄)に示されているように、図6の個別トラヒックT1及びT4を集約したものである。同様にAT2はトラヒックフローTf2に相当し、個別トラヒックT2及びT3を集約したものである。AT3はトラヒックフローTf3に相当し、集約の結果、構成個別トラヒックはT3のみとなったものである。   The aggregated traffic information creation unit 4 obtains each aggregated traffic and assigns an ID. The ID is shown as AT1, AT2, AT3, etc. in the column of ATID (Aggregated Traffic ID), that is, the aggregated traffic ID in FIG. For example, AT1 corresponds to the traffic flow Tf1 in FIG. 2, and is a collection of the individual traffic T1 and T4 in FIG. 6 as shown in the individual traffic column (consists of column) constituting the AT1. . Similarly, AT2 corresponds to traffic flow Tf2, and aggregates individual traffic T2 and T3. AT3 corresponds to the traffic flow Tf3, and as a result of aggregation, the individual configuration traffic is only T3.

構成個別トラヒックの数は集約数(aggregate count)の欄に示され、AT1,AT2,AT3でそれぞれ2,2,1となっている。なお、図6では解析対象のファイアウォール装置がFW1及びFW2の2台であり、個別トラヒックが2個以内で構成される集約トラヒックが例として示されているが、解析対象のファイアウォール装置が3台以上であれば、個別トラヒックが3個以上で構成される集約トラヒックも作成されうる。   The number of configuration individual traffics is shown in the column of aggregate count (AT1, AT2, AT3, respectively, 2, 2, 1). Note that in FIG. 6, there are two firewall devices to be analyzed, FW1 and FW2, and aggregated traffic consisting of up to two individual traffics is shown as an example, but there are three or more firewall devices to be analyzed Then, aggregated traffic composed of three or more individual traffics can be created.

集約トラヒック情報作成部4がこのような集約トラヒックを作成する各実施形態は次の通りである。   Each embodiment in which the aggregated traffic information creation unit 4 creates such aggregated traffic is as follows.

一実施形態では、同一の集約トラヒックに属する個別トラヒック同士が満たすべき最低限の条件である、送信元及び宛先の同一性を利用する。送信元及び宛先については、送信元・宛先取得部34による取得によって、個別トラヒック情報において参照可能となっている。さらに、一般に送信元及び宛先のみならず、同一の集約トラヒックでは利用ポート番号も共通であるので、集約トラヒック情報作成部4はポート取得部35で取得されたポート番号の同一性も利用してよい。   In one embodiment, the identity of a transmission source and a destination, which is the minimum condition that individual traffic belonging to the same aggregated traffic should satisfy, is used. The transmission source and destination can be referred to in the individual traffic information by acquisition by the transmission source / destination acquisition unit. Furthermore, since not only the transmission source and the destination but also the same port number is used for the same aggregated traffic, the aggregated traffic information creation unit 4 may also use the identity of the port number acquired by the port acquisition unit 35. .

図6に示されているように、例えば集約トラヒックAT1については、送信元IPアドレス(Src IP)及び宛先IPアドレス(Dst IP)はそれぞれ10.0.0.1及び172.19.76.1であり、構成個別トラヒックT1及びT4におけるアドレスと同一のアドレスである。また、ポート番号(送信元Src Port及び宛先Dst Port)も同様に、T1及びT4における番号と同一となっている。   As shown in FIG. 6, for example, for aggregate traffic AT1, the source IP address (Src IP) and the destination IP address (Dst IP) are 10.0.0.1 and 172.19.76.1, respectively, and the configuration individual traffic T1 and It is the same address as the address in T4. Similarly, the port numbers (source Src Port and destination Dst Port) are the same as the numbers in T1 and T4.

また、ネットワークが正常に動作していれば一般に、同一ファイアウォール装置を2回以上経由するトラヒックフローは存在しない。よって、追加的な一実施形態として、集約トラヒック情報作成部4では、同一の集約トラヒック内に到達装置識別部31が取得したファイアウォール装置が同一のものが存在しないように集約トラヒック情報を作成してもよい。同様の理由でさらに、各ファイアウォール装置においてインタフェース識別部32が取得した物理インタフェースの区別まで含めて同一のものが存在しないように集約トラヒック情報を作成してもよい。   In general, if the network is operating normally, there is no traffic flow that passes through the same firewall device more than once. Therefore, as an additional embodiment, the aggregated traffic information creating unit 4 creates aggregated traffic information so that the same firewall device acquired by the reaching device identifying unit 31 does not exist in the same aggregated traffic. Also good. For the same reason, the aggregated traffic information may be created so that there is no same thing including the distinction of the physical interface acquired by the interface identifying unit 32 in each firewall device.

さらにまた、1つのトラヒックフローのデータが順次ファイアウォール装置で中継処理された場合、到達時刻はほぼ同一時刻となる。より正確には、到達時刻は所定範囲内での一連の値として得られる。よって、同一の集約トラヒックに属するための追加の条件として、到達日時取得部33で取得した到達日時同士が所定範囲内に収まることを利用することができる。   Furthermore, when data of one traffic flow is sequentially relayed by the firewall device, the arrival times are almost the same time. More precisely, the arrival time is obtained as a series of values within a predetermined range. Therefore, as an additional condition for belonging to the same aggregated traffic, it can be used that the arrival dates and times acquired by the arrival date and time acquisition unit 33 fall within a predetermined range.

例えばAT1では、個別トラヒックT1及びT4の到達日時は、
T1:2010/09/16 20:29:00すなわち(2010年9月16日20時29分0秒)
T4:2010/09/16 20:29:01すなわち(2010年9月16日20時29分1秒)
である。T1とT4との到達日時の差が1秒(当該1秒は例としての値である)であり、T1又はT4とその他の個別トラヒックとの到達日時の差は1分以上ある。このことから、T1及びT4が同一の集約トラヒックAT1に属し、その他のトラヒックは別の集約トラヒックに属するという判断を行うことができる。AT1に対しては、到達日時の情報がstart timeの欄に最先のT1の値で代表して、2010/09/16 20:29:0〜として示されている。同様にして、到達日時の差が1秒である個別トラヒックT2とT5とが集約トラヒックAT2に属するという判断も行うことができる。
For example, in AT1, the arrival date and time of individual traffic T1 and T4 is
T1: 2010/09/16 20:29:00 That is (September 16, 2010 20: 29: 0)
T4: 2010/09/16 20:29:01 ie (September 16, 2010 20:29:01)
It is. The difference in arrival date and time between T1 and T4 is 1 second (the 1 second is an example value), and the difference in arrival date and time between T1 or T4 and other individual traffic is 1 minute or more. From this, it can be determined that T1 and T4 belong to the same aggregated traffic AT1, and other traffic belongs to different aggregated traffic. For AT1, arrival date information is represented in the start time column as the first T1 value as 2010/09/16 20: 29: 0. Similarly, it can also be determined that the individual traffic T2 and T5 whose arrival time difference is 1 second belong to the aggregated traffic AT2.

当該到達時刻を利用する実施形態も、送信元及び宛先の同一性と同様に、本発明において必須である。特に後述のステップS4で通過経路における順序を求めるために必須である。   The embodiment using the arrival time is also essential in the present invention, as is the identity of the transmission source and the destination. In particular, it is essential for obtaining the order in the passage route in step S4 described later.

なおまた、上記のような到達時刻による集約トラヒックの判断を行う前提として、図4のステップS1では、予め各ファイアウォール装置における計時情報同士の同期を取ってから、トラヒックログ等を取得するものとする。もしくは、各ファイアウォール装置における計時情報同士には誤差が存在することを前提に、ログ取得部2で取得するトラヒックログにおける各ファイアウォール装置のクロックで記載された到達時刻を、トラヒック通過経路解析装置1のクロックに修正するようにしてもよい。   In addition, as a premise for determining the aggregated traffic based on the arrival time as described above, in step S1 in FIG. 4, the traffic information and the like are acquired after the timing information in each firewall device is synchronized in advance. . Alternatively, on the assumption that there is an error between the timing information in each firewall device, the arrival time described by the clock of each firewall device in the traffic log acquired by the log acquisition unit 2 is You may make it correct to a clock.

例えば、ファイアウォール装置FW1のクロックを1秒後方に修正することでトラヒック通過経路解析装置1のクロックと一致し、また、ファイアウォール装置FW2のクロックを2秒後方に修正することでトラヒック通過経路解析装置1のクロックと一致する、ということを予め計測しておき、FW1での到達時刻とFW2での到達時刻とを一律にトラヒック通過経路解析装置1におけるクロック情報に修正する。   For example, by correcting the clock of the firewall device FW1 backward by 1 second, it matches the clock of the traffic passage route analysis device 1, and by correcting the clock of the firewall device FW2 backward by 2 seconds, the traffic passage route analysis device 1 The arrival time at FW1 and the arrival time at FW2 are uniformly corrected to the clock information in the traffic path analysis device 1 in advance.

以上のような各実施形態の組み合わせの他にも、到達装置識別部31乃至付属情報取得部36で取得した各情報の同一性又は類似性を利用して、集約トラヒック情報の作成を行うことができる。例えば図6では、付属情報取得部36で取得した送信バイト数及び受信バイト数もsend/rcvd欄に示されている。このような情報も追加利用してよい。   In addition to the combinations of the embodiments described above, it is possible to create aggregated traffic information using the identity or similarity of each piece of information acquired by the reaching device identification unit 31 to the attached information acquisition unit 36. it can. For example, in FIG. 6, the number of transmitted bytes and the number of received bytes acquired by the attached information acquiring unit 36 are also shown in the send / rcvd column. Such information may also be used additionally.

以上のように、図4のステップS3において集約トラヒック情報作成部4が集約トラヒック情報を作成した後、ステップS4では、通過経路推定部5が集約トラヒック情報を用いて通過経路を推定する。図7は通過経路を推定するフローチャートであり、図4のステップS4内の詳細フローである。   As described above, after the aggregated traffic information creating unit 4 creates aggregated traffic information in step S3 of FIG. 4, in step S4, the passing route estimation unit 5 estimates the passing route using the aggregated traffic information. FIG. 7 is a flowchart for estimating the passage route, and is a detailed flow in step S4 of FIG.

図7の各ステップS41乃至S43は、繰り返し判断のステップS44に示されているように、集約トラヒック情報の各集約トラヒックATi(i=1,2,3,…)につき順次実行され、全ての集約トラヒックについて処理が行われる。開始ステップS40では集約トラヒックの識別カウンタi=1として、1番目の集約トラヒックAT1を処理対象として定め、ステップS41に進む。   Steps S41 to S43 in FIG. 7 are sequentially executed for each aggregated traffic ATi (i = 1, 2, 3,...) Of the aggregated traffic information, as shown in the step S44 of the repeated determination, and all aggregates are performed. Processing is performed for traffic. In start step S40, the aggregated traffic identification counter i = 1 is set, and the first aggregated traffic AT1 is determined as a processing target, and the process proceeds to step S41.

ステップS41では、i番目の集約トラヒックATiにつき、通過経路情報を構築する。通過経路情報とは、集約トラヒックを構成する全個別トラヒックに共通の送信元から同じく共通の宛先に至る際の、当該集約トラヒックに対応するトラヒックフローが通過したファイアウォール装置及び物理インタフェースの順序としての通過経路(パス)を特定する情報であり、当該送信元及び宛先と対応付けて構築される。ここで、ファイアウォール装置及び物理インタフェースの通過順序は、集約トラヒック情報(及び個別トラヒック情報)を参照して、当該ファイアウォール装置及び物理インタフェースに対応する個別トラヒックの到達日時(図5のstart time)の順に定められる。   In step S41, passage route information is constructed for the i-th aggregated traffic ATi. Passing path information refers to the passage of the firewall device and the physical interface through which the traffic flow corresponding to the aggregated traffic has passed when it reaches the same common destination from the common source for all individual traffic constituting the aggregated traffic. This is information for specifying a route, and is constructed in association with the transmission source and destination. Here, the order of passage of the firewall device and the physical interface refers to the aggregated traffic information (and individual traffic information), in the order of arrival date and time (start time in FIG. 5) of the individual traffic corresponding to the firewall device and the physical interface. Determined.

ステップS42では、ATiより構築された通過経路に基づき、それまでに作成されている通過経路情報の全体を更新する。すなわち、当該ATiの通過経路と同じ通過経路が既に作成されている通過経路情報内に存在するならば、新規の通過経路の追加(及びID付与)は行わず、逆に存在しないのならば、新規の通過経路として追加(及びID付与)を行う。   In step S42, the entire passage route information created so far is updated based on the passage route constructed from ATi. That is, if the same passage route as the passage route of the ATi exists in the passage route information that has already been created, the addition of new passage route (and ID assignment) is not performed, and conversely, if it does not exist, Add (and give ID) as a new route.

ステップS43では、当該集約トラヒックATiと通過経路情報との対応づけを行う。当該対応づけは、ステップS42と異なり、ATiより構築された通過経路が既に存在するか否かによらずに行う。   In step S43, the aggregated traffic ATi is associated with the passage route information. Unlike the step S42, the association is performed regardless of whether or not a passage route constructed from ATi already exists.

ステップS44では前述の通り、全ての集約トラヒックATiにつき処理が行われたか判断し、行われていないのであればカウンタiを1つ増やして次の集約トラヒックAT(i+1)につきステップS41乃至S43の処理を行う。   In step S44, as described above, it is determined whether processing has been performed for all aggregate traffic ATi. If not, counter i is incremented by one and steps S41 to S43 are performed for the next aggregate traffic AT (i + 1). Perform the process.

図8に、以上のようなフローに従って順次作成・更新される通過経路情報の例などを、表形式で示す。図8の(1)がステップS42での通過経路情報の例であり、(2)がステップS43での集約トラヒックと通過経路との対応づけの例である。各表はステップS40において項目部分以外が空欄の状態であり、以降のステップを辿るごとに上段側から順次作成される。図8では、(1)におけるP1及びP2の行と、(2)におけるAT1,AT2及びAT3の行は、図6に示す集約トラヒック情報をAT1から始めて順次処理して得られるものであり、AT1,AT2及びAT3については図6と図8で共通である。   FIG. 8 shows, in tabular form, an example of passage route information that is sequentially created and updated according to the above flow. (1) of FIG. 8 is an example of the passage route information in step S42, and (2) is an example of correspondence between the aggregated traffic and the passage route in step S43. Each table is blank in step S40 except for the item portion, and is created sequentially from the upper side each time the subsequent steps are followed. In FIG. 8, the rows of P1 and P2 in (1) and the rows of AT1, AT2, and AT3 in (2) are obtained by sequentially processing the aggregated traffic information shown in FIG. Therefore, AT2 and AT3 are common to FIGS.

図8の(1)には通過経路情報の例が示されている。PIDは通過経路情報を構成する通過経路に順次付与されるIDである。各通過経路には、送信元(Src IP)と、途中到達するファイアウォール装置及び物理インタフェース(FW/acl名)並びにそれらの到達順列と、宛先(Dst IP)とが対応付けられている。IDがP1の通過経路P1は、最初の処理対象である図6の集約トラヒックAT1より構築されたものであり、以下[1]〜[4]のように順次特定されている。
[1]送信元(10.0.0.1)より送信→[2](FW1 acl1)を通過→[3](FW2 acl2)を通過→[4]宛先(172.19.76.1)に到達
ここで特に[2][3]の順序については、前述の個別トラヒックT1及びT4の到達時刻の順で定められている。そして当該最初に処理された集約トラヒックAT1は、(2)に示すように通過経路P1と対応づけられる。
FIG. 8 (1) shows an example of passage route information. The PID is an ID that is sequentially assigned to the passage routes that constitute the passage route information. Each passage route is associated with a transmission source (Src IP), a firewall device and physical interface (FW / acl name) that arrives halfway, their arrival sequence, and a destination (Dst IP). The passing route P1 with the ID P1 is constructed from the aggregated traffic AT1 of FIG. 6 that is the first processing target, and is sequentially specified as [1] to [4] below.
[1] Send from source (10.0.0.1) → [2] (FW1 acl1) → [3] (FW2 acl2) → [4] Destination (172.19.76.1) The order of [3] is determined in the order of the arrival times of the individual traffics T1 and T4 described above. The aggregated traffic AT1 processed first is associated with the passage route P1 as shown in (2).

AT1の次の、2番目に処理される集約トラヒックAT2は、通過経路がAT1で求められたP1と同様となるので、(1)の表に新規ID追加は行われない。そして(2)で示すように、AT2とP1とを対応づける。3番目に処理される集約トラヒックAT3は、図2で説明したようにFW1において疎通拒否され、図6に示すように個別トラヒックT3のみで構成される。従ってAT3の通過経路は、
[1]送信元(10.0.0.1)より送信→[2](FW acl1)に到達して遮断される→[3]宛先(172.19.76.1)には到達せず
となり、P1とは異なるので新規にIDが付与され、(1)に示すように通過経路P2が対応づけられる。さらに(2)に示すようにAT3とP2との対応づけが行われる。なお、(1)には示していないが、通過経路情報の各々は疎通許可/拒否の情報を追加で含んでいてもよい。
The aggregated traffic AT2 to be processed second after AT1 is the same as P1 whose transit route is obtained by AT1, and therefore no new ID is added to the table of (1). Then, as shown in (2), AT2 and P1 are associated with each other. The aggregated traffic AT3 to be processed third is refused to communicate in FW1 as described in FIG. 2, and is composed of only the individual traffic T3 as shown in FIG. Therefore, the passage route of AT3 is
[1] Transmission from source (10.0.0.1) → [2] (FW acl1) is reached and blocked → [3] Destination (172.19.76.1) is not reached and is different from P1, so new Is assigned an ID, and the passage route P2 is associated as shown in (1). Further, as shown in (2), the correspondence between AT3 and P2 is performed. Although not shown in (1), each of the passage route information may additionally include communication permission / rejection information.

さらに、図8では4番目に処理された集約トラヒックAT4についての結果も示されている。当該AT4の通過経路はP1と宛先及びFW2における通過物理インタフェースが異なり、またP2とも異なるので、新たな通過経路としてP3が追加されている。   Further, FIG. 8 also shows the result for the aggregated traffic AT4 processed fourth. Since the passing route of AT4 is different in P1 from the destination and the passing physical interface in FW2, and also different from P2, P3 is added as a new passing route.

なお、図7及び図8の説明では、通過経路の特定は通過したファイアウォール装置及び物理インタフェースの順序によって行うとしたが、物理インタフェースの特定を除外して、より簡略に、通過したファイアウォール装置のみの順序によって行ってもよい。   In the description of FIG. 7 and FIG. 8, the passage route is specified according to the order of the firewall device and the physical interface that has passed. However, by omitting the specification of the physical interface, more simply, only the firewall device that has passed. You may carry out by order.

以上、ステップS4で通過経路推定部5が通過経路の推定を行うと、次にステップS5では、推定された通過経路の情報に基づいて確度算出部51が各通過経路についての確度の算出を行う。なお、当該ステップS5はオプションであり、スキップしてもよい。   As described above, when the passage route estimation unit 5 estimates the passage route in step S4, in step S5, the accuracy calculation unit 51 calculates the accuracy for each passage route based on the estimated passage route information. . Note that step S5 is optional and may be skipped.

確度とは、各通過経路の「確からしさ」を数値化したものであり、次のような事情に基づいて数値化されるものである。通常、同一対地(送信元/宛先 IPの対)間のトラヒックフローには、すべて同一の通過経路が紐付く(対応付けられる)はずである。しかし障害、パケット順序逆転、ファイアウォール装置でのログ処理遅滞による記録到達時刻の誤差などのため、トラヒック登場順序の一時的ずれが生じる場合もありうる。この結果、同一対地間のトラヒックフローに複数の異なる通過経路が紐付いて見え、管理者が通過経路判別を誤る可能性がある。また、上記T3(AT3)のように中途でdenyとなるトラヒックフローとなる可能性もある。   The accuracy is a numerical value of the “probability” of each passing route, and is calculated based on the following circumstances. Normally, traffic flows between the same ground (source / destination IP pair) should all be associated (associated) with the same passage route. However, there may be a temporary shift in the traffic appearance order due to a failure, a packet order reversal, or an error in the arrival time of the recording due to a delay in log processing in the firewall device. As a result, a plurality of different passage routes appear to be associated with the traffic flow between the same ground, and there is a possibility that the administrator makes a mistake in passage route discrimination. Further, there is a possibility that the traffic flow becomes deny in the middle like T3 (AT3).

そこで、同一対地間の通過経路であるが、途中通過するファイアウォール装置及び物理インタフェースが通過順列全体として異なる通過経路同士について、紐付けられた集約トラヒックの数(登場頻度)をカウントして確度を与えることができる。なお、一般に障害等の発生は正常状態に比べてまれであるという前提のもと、登場頻度を確度として利用することができる。   Therefore, it is a passage route between the same ground, but the accuracy is obtained by counting the number of aggregated traffic (appearance frequency) associated with each other for passage routes whose firewall interfaces and physical interfaces that pass in the middle differ as a whole passage permutation. be able to. In general, the appearance frequency can be used as the accuracy on the assumption that the occurrence of a failure or the like is rare compared to the normal state.

例えば、図8の(2)のAT1からAT4まで処理された状態での、同一対地(送信元 IPアドレス=10.0.0.1、宛先 IPアドレス=172.19.76.1)間の通過経路であるP1とP2についての確度f(P)は、次のように求めることができる。すなわち、P1にはAT1及びAT2の2個が紐付けられ、P2にはAT3の1個が紐付けられていることから、
f(P1)=2/3, f(P2)=1/3
として求められる。
For example, with respect to P1 and P2 which are passing routes between the same ground (source IP address = 10.0.0.1, destination IP address = 172.19.76.1) in the state processed from AT1 to AT4 in (2) of Fig. 8 The accuracy f (P) of can be obtained as follows. That is, two AT1 and AT2 are tied to P1, and one AT3 is tied to P2,
f (P1) = 2/3, f (P2) = 1/3
As required.

すなわち上記の例は、確度算出部51が、送信元及び宛先が共通であり通過の順列が異なる通過経路の各々に対して、各通過経路に対応づけられた集約トラヒックの数に基づいた確度を与える例である。   That is, in the above example, the accuracy calculation unit 51 calculates the accuracy based on the number of aggregate traffic associated with each passing route for each of the passing routes having the same transmission source and destination and different permutations of passing. It is an example to give.

前述のように、通過経路情報の各々に疎通許可/拒否の情報をも追加で含めるならば、当該情報を確度算出に利用することで、上記のような登場頻度のみで算出される確度よりもさらに精度の高い確度を求めるようにすることもできる。あるいは、登場頻度のみで確度を算出して、詳細を確認したい場合には、管理者が適宜トラヒックログの情報に遡って確認するようにしてもよい。   As described above, if communication passage permission / rejection information is additionally included in each passage route information, by using the information for accuracy calculation, the accuracy calculated only by the appearance frequency as described above is used. Furthermore, it is possible to obtain a highly accurate accuracy. Alternatively, when the accuracy is calculated only by the appearance frequency and it is desired to check the details, the administrator may check the information of the traffic log as appropriate.

以上、図4の各ステップの処理及び対応する図3のログ取得部2乃至通過経路推定部5の役割を説明した。本発明においては、表示部6によって、適宜各ステップでの途中経過及び最終結果を表示し、管理者などの判断に供することができる。すなわち、管理者からの表示要求に応じて、図5のような個別トラヒック情報、図6のような集約トラヒック情報、図8のような通過経路情報、ステップS5で算出する同一対地間の通過経路同士の確度などを、表示部6を用いて適宜表示することができる。当該管理者からの要求に応じた表示に関しては、GUI(グラフィカルユーザインタフェース)やCLI(コマンドラインインタフェース)など、種々の周知の手法を利用することができる。   The processing of each step in FIG. 4 and the corresponding roles of the log acquisition unit 2 to the passage route estimation unit 5 in FIG. 3 have been described above. In the present invention, the display unit 6 can appropriately display the progress and final results in each step, and can be used for the judgment of an administrator or the like. That is, in response to a display request from the administrator, the individual traffic information as shown in FIG. 5, the aggregated traffic information as shown in FIG. 6, the passage information as shown in FIG. 8, and the route between the same ground calculated in step S5 The accuracy between each other can be appropriately displayed using the display unit 6. Various known methods such as GUI (Graphical User Interface) and CLI (Command Line Interface) can be used for the display in response to the request from the administrator.

なお本発明は、図4の各ステップをコンピュータに実行させることで、当該コンピュータを図3に記載のトラヒック通過経路解析装置として機能させるトラヒック通過経路解析プログラムとして実施することもできる。当該コンピュータは当該プログラムを読み込んで、上記各ステップを実行するトラヒック通過経路解析装置として機能する。   Note that the present invention can also be implemented as a traffic passage analysis program that causes a computer to execute the steps of FIG. 4 to cause the computer to function as the traffic passage analysis device illustrated in FIG. The computer functions as a traffic passage analysis device that reads the program and executes the above steps.

以上、本発明によれば、汎用的なファイアウォール装置において通常取得可能な各種項目からなる個別トラヒック情報に基づいて、トラヒックフローの通過経路を推定することができる。特に、個別トラヒック情報を汎用的なファイアウォール装置におけるトラヒックログを参照して作成することで、過負荷や追加コストなどを避けて通過経路を推定することができる。   As described above, according to the present invention, it is possible to estimate the passage route of a traffic flow based on individual traffic information including various items that can be normally acquired in a general-purpose firewall device. In particular, by creating individual traffic information with reference to a traffic log in a general-purpose firewall device, it is possible to estimate a passage route while avoiding overload and additional costs.

1…トラヒック通過経路解析装置、2…ログ取得部(トラヒック情報取得部)、3…個別トラヒック情報作成部、4…集約トラヒック情報作成部、5…通過経路推定部、6…表示部   DESCRIPTION OF SYMBOLS 1 ... Traffic passage analysis apparatus, 2 ... Log acquisition part (traffic information acquisition part), 3 ... Individual traffic information creation part, 4 ... Aggregation traffic information creation part, 5 ... Passage path estimation part, 6 ... Display part

Claims (9)

所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報とする段階と、
前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報とする段階と、
前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する段階を備え
前記集約トラヒック情報とする段階にてさらに、個別トラヒックが到達したファイアウォール装置が同一となる個別トラヒック同士は同一グループとしないようにして前記集約トラヒック情報とすることを特徴とするトラヒック通過経路解析方法。
Individual traffic information obtained by associating and acquiring information on the arrival date and time of each traffic in each firewall device, the firewall device that the traffic has reached, and the source and destination of the traffic from a plurality of predetermined firewall devices And the stage of
Grouping each individual traffic constituting the individual traffic information into aggregate traffic information by grouping the individual traffic based on the matching of the transmission source and destination and proximity within a predetermined standard of arrival date and time;
For each aggregated traffic that constitutes the aggregated traffic information, a permutation of firewall devices that the individual traffic has reached is obtained in order of arrival date and time of each individual traffic belonging to the aggregated traffic, and the permutation is common to the aggregated traffic. Estimating as a passing route of the entire traffic flow from the source to the destination ,
Further at the step of said aggregated traffic information, traffic passing path analysis method characterized by be Rukoto said aggregated traffic information as dedicated traffic between the firewall device is identical to the dedicated traffic has reached not the same group .
所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報とする段階と、
前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報とする段階と、
前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する段階を備え
前記通過経路とする段階にてさらに、前記順列並びに各集約トラヒックで共通の送信元及び宛先、が共通となる集約トラヒックの全体に一つの通過経路を対応づけることを特徴とするトラヒック通過経路解析方法。
Individual traffic information obtained by associating and acquiring information on the arrival date and time of each traffic in each firewall device, the firewall device that the traffic has reached, and the source and destination of the traffic from a plurality of predetermined firewall devices And the stage of
Grouping each individual traffic constituting the individual traffic information into aggregate traffic information by grouping the individual traffic based on the matching of the transmission source and destination and proximity within a predetermined standard of arrival date and time;
For each aggregated traffic that constitutes the aggregated traffic information, a permutation of firewall devices that the individual traffic has reached is obtained in order of arrival date and time of each individual traffic belonging to the aggregated traffic, and the permutation is common to the aggregated traffic. Estimating as a passing route of the entire traffic flow from the source to the destination ,
Further at block to the passage path, traffic passage path analysis, characterized in association Rukoto one passage path throughout the aggregate traffic the permutation, and the common source and destination for each aggregate traffic, is a common Method.
前記個別トラヒック情報とする段階にてさらに、各トラヒックに割り当てられたポート番号を追加で取得して前記対応づけることで前記個別トラヒック情報とし、
前記集約トラヒック情報とする段階にてさらに、ポート番号の一致に基づいて各個別トラヒックをグループ化して前記集約トラヒック情報とする請求項1または2に記載のトラヒック通過経路解析方法。
In the step of setting the individual traffic information, the port number assigned to each traffic is additionally acquired and associated with the individual traffic information.
3. The traffic passing route analyzing method according to claim 1, wherein the individual traffic is further grouped based on a match of port numbers to obtain the aggregated traffic information at the stage of the aggregated traffic information.
前記個別トラヒック情報とする段階にてさらに、トラヒックが到達したファイアウォール装置において当該トラヒックが到達した物理インタフェースを追加で取得して前記対応づけることで前記個別トラヒック情報とし、
前記通過経路として推定する段階にてさらに、前記到達日時の順に、各個別トラヒックが到達したファイアウォール装置と該ファイアウォール装置にて到達した物理インタフェースとのペアの順列を求め、該順列をトラヒック全体としての通過経路として推定することを特徴とする請求項1ないし3のいずれかに記載のトラヒック通過経路解析方法。
Further, in the step of setting the individual traffic information, the individual traffic information is obtained by additionally acquiring and associating the physical interface that the traffic has reached in the firewall device that the traffic has reached,
Further, in the step of estimating as the passage route, in the order of the arrival date and time, a permutation of a pair of a firewall device to which each individual traffic has arrived and a physical interface that has arrived at the firewall device is obtained, and the permutation is determined as the entire traffic. traffic passing path analysis method according to any one of claims 1 to 3, characterized in that estimating the passage path.
前記所定の複数のファイアウォール装置は汎用のファイアウォール装置であり、前記個別トラヒック情報とする段階にて、各ファイアウォール装置の記録したトラヒックログを参照して前記個別トラヒック情報を求める請求項1ないしのいずれかに記載のトラヒック通過経路解析方法。 Any said predetermined plurality of firewall apparatus is a general-purpose firewall device, wherein at the step of the individual traffic information, of claims 1 to 4 recorded traffic log reference to each firewall apparatus for determining the individual traffic information The traffic passage route analysis method according to claim 1. 管理者からの表示要求に応じて、前記個別トラヒック情報、前記集約トラヒック情報及び前記通過経路のうち少なくとも1つを表示する段階をさらに備えることを特徴とする請求項1ないしのいずれかに記載のトラヒック通過経路解析方法。 Depending on the display request from the administrator, the dedicated traffic information, according to any one of claims 1 to 5, further comprising the step of displaying at least one of said aggregated traffic information and the passage path Traffic passage route analysis method. 請求項1ないしのいずれかに記載のトラヒック通過経路解析方法をコンピュータに実行させることで、当該コンピュータをトラヒック通過経路解析装置として機能させることを特徴とするトラヒック通過経路解析プログラム。 A traffic passage analysis program for causing a computer to function as a traffic passage analysis device by causing a computer to execute the traffic passage route analysis method according to any one of claims 1 to 6 . 所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報を作成する個別トラヒック情報作成部と、
前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報を作成する集約トラヒック情報作成部と、
前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する通過経路推定部を備え、
前記集約トラヒック情報作成部にてさらに、個別トラヒックが到達したファイアウォール装置が同一となる個別トラヒック同士は同一グループとしないようにして前記集約トラヒック情報とすることを特徴とするトラヒック通過経路解析装置。
Individual traffic information is obtained by associating and acquiring information on the arrival date and time of each traffic in each firewall device, the firewall device that the traffic has reached, and the source and destination of the traffic from a plurality of predetermined firewall devices. An individual traffic information creation section to be created;
An aggregated traffic information creating unit that creates aggregated traffic information by grouping each individual traffic constituting the individual traffic information based on a match between the transmission source and destination and proximity within a predetermined criterion of arrival date and time;
For each aggregated traffic that constitutes the aggregated traffic information, a permutation of firewall devices that the individual traffic has reached is obtained in order of arrival date and time of each individual traffic belonging to the aggregated traffic, and the permutation is common to the aggregated traffic. A passage route estimation unit that estimates a passage route as a whole traffic flow from the transmission source to the destination,
The aggregated traffic information creation unit in addition, individual traffic between the firewall device is identical to the dedicated traffic reaches the traffic passing path analyzer according to claim to Rukoto said aggregated traffic information not to the same group.
所定の複数のファイアウォール装置より、各ファイアウォール装置における各トラヒックの到達日時と、当該トラヒックが到達したファイアウォール装置と、当該トラヒックの送信元及び宛先と、の情報を対応付けて取得して個別トラヒック情報を作成する個別トラヒック情報作成部と、
前記個別トラヒック情報を構成する各個別トラヒックを、その送信元及び宛先の一致並びに到達日時の所定基準内での近接に基づいてグループ化して集約トラヒック情報を作成する集約トラヒック情報作成部と、
前記集約トラヒック情報を構成する各集約トラヒックに対して、当該集約トラヒックに属する各個別トラヒックの到達日時の順に、各個別トラヒックが到達したファイアウォール装置の順列を求め、該順列を当該集約トラヒックに共通の送信元から宛先へ至るトラヒックフロー全体としての通過経路として推定する通過経路推定部を備え、
前記通過経路推定部にてさらに、前記順列並びに各集約トラヒックで共通の送信元及び宛先、が共通となる集約トラヒックの全体に一つの通過経路を対応づけることを特徴とするトラヒック通過経路解析装置。
Individual traffic information is obtained by associating and acquiring information on the arrival date and time of each traffic in each firewall device, the firewall device that the traffic has reached, and the source and destination of the traffic from a plurality of predetermined firewall devices. An individual traffic information creation section to be created;
An aggregated traffic information creating unit that creates aggregated traffic information by grouping each individual traffic constituting the individual traffic information based on a match between the transmission source and destination and proximity within a predetermined criterion of arrival date and time;
For each aggregated traffic that constitutes the aggregated traffic information, a permutation of firewall devices that the individual traffic has reached is obtained in order of arrival date and time of each individual traffic belonging to the aggregated traffic, and the permutation is common to the aggregated traffic. A passage route estimation unit that estimates a passage route as a whole traffic flow from the transmission source to the destination,
Further in the passage path estimating unit, said permutation and the common source and destination for each aggregate traffic, the traffic passes through path analyzing apparatus according to claim association Rukoto one passage path throughout the aggregate traffic as a common .
JP2011069899A 2011-03-28 2011-03-28 Traffic passing route analysis method, program, and apparatus Expired - Fee Related JP5600626B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011069899A JP5600626B2 (en) 2011-03-28 2011-03-28 Traffic passing route analysis method, program, and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011069899A JP5600626B2 (en) 2011-03-28 2011-03-28 Traffic passing route analysis method, program, and apparatus

Publications (2)

Publication Number Publication Date
JP2012205205A JP2012205205A (en) 2012-10-22
JP5600626B2 true JP5600626B2 (en) 2014-10-01

Family

ID=47185676

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011069899A Expired - Fee Related JP5600626B2 (en) 2011-03-28 2011-03-28 Traffic passing route analysis method, program, and apparatus

Country Status (1)

Country Link
JP (1) JP5600626B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455167B1 (en) 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
JP6378655B2 (en) * 2015-08-24 2018-08-22 日本電信電話株式会社 Monitoring device and monitoring method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3934030B2 (en) * 2002-08-30 2007-06-20 株式会社エヌ・ティ・ティ・データ Packet passing route search method and program causing computer to execute the method
US7760663B2 (en) * 2004-04-19 2010-07-20 Jds Uniphase Corporation Packet tracing using dynamic packet filters
JP2006262036A (en) * 2005-03-17 2006-09-28 Yokogawa Electric Corp Packet path tracking system
JP4924057B2 (en) * 2007-01-24 2012-04-25 富士通株式会社 Router, method thereof and management server using the same
JP4829194B2 (en) * 2007-09-21 2011-12-07 日本電信電話株式会社 Network analysis system

Also Published As

Publication number Publication date
JP2012205205A (en) 2012-10-22

Similar Documents

Publication Publication Date Title
AU2021209277B2 (en) Efficient packet capture for cyber threat analysis
US12184471B2 (en) Traffic outage detection in the internet
US10630706B2 (en) Modeling behavior in a network
US10356106B2 (en) Detecting anomaly action within a computer network
EP3447979B1 (en) Switching system and method based on virtual interfaces
US8997232B2 (en) Iterative automatic generation of attribute values for rules of a web application layer attack detector
CN109376532A (en) Power network security monitoring method and system based on the analysis of ELK log collection
JP2018038062A (en) Network system, control device, communication device, communication control method, and communication control program
Iamartino et al. Measuring bgp route origin registration and validation
EP3223495B1 (en) Detecting an anomalous activity within a computer network
CN108353068A (en) SDN controller-assisted intrusion prevention system
JP6441725B2 (en) Network information output system and network information output method
JP7075348B2 (en) How to analyze the source and destination of Internet traffic
CN106209775A (en) Application type identification method and device for SSL encrypted network stream
US10033734B2 (en) Apparatus management system, apparatus management method, and program
JPWO2013039083A1 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, AND COMMUNICATION METHOD
CN117879936B (en) A dynamic virtualized network security management method and system based on NFV
US11411919B2 (en) Deep packet inspection application classification systems and methods
JP2022515990A (en) Systems and methods for monitoring traffic flow in communication networks
CN111698110A (en) Network equipment performance analysis method, system, equipment and computer medium
JP5600626B2 (en) Traffic passing route analysis method, program, and apparatus
RU2697698C2 (en) Method of processing network traffic using firewall method
JP2015012317A (en) Route identifying device, route identifying method, and program
CN108833282A (en) Data forwarding method, system, device and SDN switch
CN107147577A (en) A data forwarding method and system based on software-defined network SDN

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140521

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140717

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140806

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140818

R150 Certificate of patent or registration of utility model

Ref document number: 5600626

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees