Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6151827B2 - Monitoring control device, monitoring device, monitoring system, and monitoring program - Google Patents
[go: Go Back, main page]

JP6151827B2 - Monitoring control device, monitoring device, monitoring system, and monitoring program - Google Patents

Monitoring control device, monitoring device, monitoring system, and monitoring program Download PDF

Info

Publication number
JP6151827B2
JP6151827B2 JP2016118122A JP2016118122A JP6151827B2 JP 6151827 B2 JP6151827 B2 JP 6151827B2 JP 2016118122 A JP2016118122 A JP 2016118122A JP 2016118122 A JP2016118122 A JP 2016118122A JP 6151827 B2 JP6151827 B2 JP 6151827B2
Authority
JP
Japan
Prior art keywords
data
monitoring
traffic
monitoring target
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016118122A
Other languages
Japanese (ja)
Other versions
JP2016174420A (en
Inventor
和憲 神谷
和憲 神谷
孝則 水口
孝則 水口
周 杉本
周 杉本
育平 山形
育平 山形
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Business Inc
Original Assignee
NTT Docomo Business Inc
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Business Inc, NTT Communications Corp filed Critical NTT Docomo Business Inc
Priority to JP2016118122A priority Critical patent/JP6151827B2/en
Publication of JP2016174420A publication Critical patent/JP2016174420A/en
Application granted granted Critical
Publication of JP6151827B2 publication Critical patent/JP6151827B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視装置、監視方法および監視プログラムに関する。   The present invention relates to a monitoring device, a monitoring method, and a monitoring program for processing traffic data of a monitoring target device belonging to a monitoring target network.

近年、通信ネットワークの発達に伴い、大量のトラフィックが発生している。通信ネットワーク上のトラフィック量の変動を監視することは、異常トラフィックの発見、ネットワークリソースの配置設計等に資する重要な技術である。   In recent years, with the development of communication networks, a large amount of traffic is generated. Monitoring fluctuations in the amount of traffic on a communication network is an important technology that contributes to discovery of abnormal traffic, network resource layout design, and the like.

従来、トラフィックを監視する際、その監視対象のポイントであるネットワーク内のノードに、それぞれ監視用のプローブを立てる技術が一般的であった。この監視方法は、例えば、専用のソフトウェアやハードウェアによって実現される。また、監視対象のネットワークごとに、ネットワーク内の各ノードから監視データを収集する監視装置を設ける方法がある。この方法では、ひとつの監視装置が、監視対象のひとつのネットワークのトラフィックを、集中的に監視する。   Conventionally, when monitoring traffic, a technique of setting a monitoring probe at each node in the network, which is a monitoring target point, has been common. This monitoring method is realized by, for example, dedicated software or hardware. There is also a method of providing a monitoring device for collecting monitoring data from each node in the network for each network to be monitored. In this method, one monitoring apparatus centrally monitors the traffic of one network to be monitored.

例えば、ソフトウェアとハードウェアが一体のアプライアンスボックスとして提供して、トラフィックの監視する方法もある(例えば、非特許文献1参照。)。 また、ネットワーク経由で、トラフィックを監視する方法もある(例えば、非特許文献2参照。)。   For example, there is a method of monitoring traffic by providing software and hardware as an integrated appliance box (see Non-Patent Document 1, for example). There is also a method for monitoring traffic via a network (see, for example, Non-Patent Document 2).

NTTコミュニケーションズ、” IPネットワーク運用者向けオペレーションシステム「トラフィック解析ツール」の提供について”、[online]、[平成24年9月18日検索]、インターネット<http://www.ntt.com/release/monthNEWS/detail/20080804.html>NTT Communications, “Provision of Operation System“ Traffic Analysis Tool ”for IP Network Operators”, [online], [searched on September 18, 2012], Internet <http://www.ntt.com/release/ monthNEWS / detail / 20080804.html> NTTコミュニケーションズ、” グローバルIPネットワークサービスにて「トラフィック解析ツール・ネットワーク型」の提供開始”、[online]、[平成24年9月18日検索]、インターネット<http://www.ntt.com/serviceinfo/monthinfo/detail/20090706.html>NTT Communications, “Starting the provision of“ Traffic Analysis Tool / Network ”with Global IP Network Service”, [online], [Searched on September 18, 2012], Internet <http://www.ntt.com/ serviceinfo / monthinfo / detail / 20090706.html>

しかしながら、非特許文献1および非特許文献2に記載のトラフィック監視方法において、監視対象のネットワークごとに監視装置を設ける必要があるため、監視装置の設置にコストがかかる問題があった。また、一般的なコンピュータを用いて監視装置を実装するとしても、その監視機能を実現するためのソフトウェアを要するので、監視対象ネットワークのノードごと、またはネットワークごとに、このようなソフトウェアのインストールをすることになる。従って、ユーザにとって、これらのソフトウェアのライセンス費用によるコスト負担が、大きくなってしまう問題があった。さらに、ハードウェアまたはソフトウェアで実現するに関わらず、その装置のメンテナンスにかかるコストも膨大になるという問題があった。   However, in the traffic monitoring methods described in Non-Patent Document 1 and Non-Patent Document 2, since it is necessary to provide a monitoring device for each network to be monitored, there is a problem that the installation of the monitoring device is expensive. Even if a monitoring device is mounted using a general computer, software for realizing the monitoring function is required, so such software is installed for each node of the monitoring target network or for each network. It will be. Therefore, there has been a problem that the cost burden due to the license cost of these software is increased for the user. Furthermore, there is a problem that the cost for maintenance of the apparatus becomes enormous regardless of whether it is realized by hardware or software.

従って本発明の目的は、複数の通信ネットワークのトラフィックを監視する監視制御装置、監視装置、監視システム、および監視プログラムを提供することである。 Accordingly, an object of the present invention is to provide a monitoring control device, a monitoring device, a monitoring system, and a monitoring program for monitoring traffic of a plurality of communication networks.

上記課題を解決するために、本発明の第1の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視装置に関する。即ち本発明の第1の特徴に係る監視装置は、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置と、
監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段とを備える。
In order to solve the above-described problem, a first feature of the present invention relates to a monitoring device that processes traffic data of a monitoring target device belonging to a monitoring target network. That is, the monitoring device according to the first aspect of the present invention includes a storage device that stores access right data in which a user identifier is associated with an identifier of a monitoring target network to which the user can refer to traffic analysis data;
A processing unit that receives traffic data from a monitoring target device belonging to the monitoring target network, associates the identifier of the monitoring target network with the received traffic data, and stores the traffic data in the traffic storage data; The traffic data is extracted every time, the analysis means for storing the traffic analysis data generated from the extracted traffic data in association with the identifier of the monitored network, and the analysis data reference request are inputted together with the user identifier And analysis providing means for outputting traffic analysis data associated with the identifier of the monitored network corresponding to the input user identifier based on the access right data.

ここで処理手段は、監視対象ネットワークごとにエージェントを備えても良い。各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与される。   Here, the processing means may include an agent for each monitored network. Each agent is given an address as a destination of traffic data transmitted from the corresponding monitored network.

また、記憶装置は、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを記憶し、処理手段は、監視対象ネットワークの監視対象機器にデータを送信する際、処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信しても良い。   The storage device stores processing address data in which the identifier of the monitoring target network is associated with the address used when transmitting to the monitoring target network, and the processing unit stores the data in the monitoring target device of the monitoring target network. When transmitting, the processing address data may be read and the data may be transmitted to an address corresponding to the monitoring target network.

さらに、記憶装置はさらに、監視対象ネットワークの識別子と、当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを記憶し、処理手段は、監視対象機器からトラフィックデータを受信すると、監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶しても良い。   Furthermore, the storage device further stores monitoring target data in which the identifier of the monitoring target network is associated with the identifier of the monitoring target device belonging to the monitoring target network, and the processing unit receives traffic data from the monitoring target device. Read the monitoring target data, extract the identifier of the monitoring target network corresponding to the identifier of the monitoring target device of the transmission source, and correspond the identifier of the monitoring target network, the address of the monitoring target device, and the received traffic data Then, it may be stored in the traffic accumulation data.

また、監視対象機器のアドレスは、プライベートアドレス空間のアドレスであっても良い。   Further, the address of the monitoring target device may be an address in a private address space.

本発明の第2の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視方法に関する。即ち本発明の第2の特徴に係る監視方法は、複数の監視対象ネットワークに属する複数の監視対象機器のそれぞれが、当該監視対象機器のトラフィックデータを、監視装置に送信するステップと、監視装置が、トラフィックデータを受信し、トラフィックデータを送信した監視対象機器の属する監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データに記憶するステップと、監視装置が、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶するステップと、監視装置が、ユーザの識別子とともに解析データの参照要求が入力されると、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力するステップとを備える。   The second feature of the present invention relates to a monitoring method for processing traffic data of monitored devices belonging to a monitored network. That is, the monitoring method according to the second aspect of the present invention includes a step in which each of a plurality of monitoring target devices belonging to a plurality of monitoring target networks transmits the traffic data of the monitoring target device to the monitoring device; Receiving the traffic data, associating the received traffic data with the identifier of the monitored network to which the monitored device to which the monitored device that sent the traffic data belongs is stored in the traffic accumulation data, and the monitoring device The traffic data is extracted for each monitoring target network, the traffic analysis data generated from the extracted traffic data is stored in association with the identifier of the monitoring target network, and the monitoring device analyzes with the user identifier Data reference request entered The identifier of the monitored network corresponding to the input user identifier is based on the access right data that associates the identifier of the user with the identifier of the monitored network that the user can refer to the traffic analysis data. Outputting correlated traffic analysis data.

ここで監視装置は、監視対象ネットワークごとに設けられたエージェントを備え、各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与されても良い。この場合、トラフィックデータを、監視装置に送信するステップは、複数の監視対象機器のそれぞれが、当該監視対象機器の属する監視対象ネットワークに対応するエージェントのアドレスを宛先として、トラフィックデータを監視装置に送信する。   Here, the monitoring device may include an agent provided for each monitoring target network, and each agent may be given an address as a destination of traffic data transmitted from the corresponding monitoring target network. In this case, in the step of transmitting the traffic data to the monitoring device, each of the plurality of monitored devices transmits the traffic data to the monitoring device with the address of the agent corresponding to the monitored network to which the monitored device belongs as the destination. To do.

また、監視対象ネットワークの監視対象機器にデータを送信する際、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信するステップをさらに備えても良い。   In addition, when transmitting data to the monitoring target device of the monitoring target network, processing address data in which the identifier of the monitoring target network is associated with the address used when transmitting to the monitoring target network is read, and the monitoring target network The method may further include a step of transmitting data to an address corresponding to.

さらに、トラフィック蓄積データに記憶するステップは、監視対象機器からトラフィックデータを受信すると、監視対象ネットワークの識別子と当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶しても良い。   Further, in the step of storing in the traffic accumulation data, when the traffic data is received from the monitoring target device, the monitoring target data in which the identifier of the monitoring target network is associated with the identifier of the monitoring target device belonging to the monitoring target network is read. The identifier of the monitoring target network corresponding to the identifier of the monitoring target device of the transmission source is extracted, and the identifier of the monitoring target network, the address of the monitoring target device, and the received traffic data are associated with each other and stored in the traffic accumulation data. May be.

また、監視対象機器のアドレスは、プライベートアドレス空間のアドレスであっても良い。   Further, the address of the monitoring target device may be an address in a private address space.

本発明の第3の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視プログラムに関する。ここでコンピュータは、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置を備える。本発明の第3の特徴に係る監視プログラムは、コンピュータを、監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段として機能させる。   A third feature of the present invention relates to a monitoring program for processing traffic data of a monitoring target device belonging to a monitoring target network. Here, the computer includes a storage device that stores access right data in which a user identifier is associated with an identifier of a monitoring target network to which the user can refer to traffic analysis data. According to a third aspect of the present invention, a monitoring program receives traffic data from a monitoring target device belonging to a monitoring target network, associates the identifier of the monitoring target network with the received traffic data, and accumulates traffic. Analysis that extracts traffic data for each monitored network from processing means that stores data and accumulated traffic data, and stores traffic analysis data generated from the extracted traffic data in association with the identifier of the monitored network When the analysis data reference request is input together with the means and the user identifier, the traffic analysis data associated with the monitored network identifier corresponding to the input user identifier is output based on the access right data. Provide analysis To function as a stage.

本発明によれば、複数の通信ネットワークのトラフィックを監視する監視制御装置、監視装置、監視システム、および監視プログラムを提供することができる。 ADVANTAGE OF THE INVENTION According to this invention, the monitoring control apparatus, monitoring apparatus, monitoring system, and monitoring program which monitor the traffic of a some communication network can be provided.

本発明の実施の形態に係る監視システムのシステム構成を説明する図である。It is a figure explaining the system configuration | structure of the monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る監視システムにおいて、監視対象ネットワークからトラフィックデータを送信する場合の処理を説明するシーケンス図である。It is a sequence diagram explaining the process in the case of transmitting traffic data from the monitoring object network in the monitoring system which concerns on embodiment of this invention. 本発明の実施の形態に係る監視システムにおいて、監視装置から監視対象ネットワークに下りデータを送信する場合の処理を説明するシーケンス図である。In the monitoring system which concerns on embodiment of this invention, it is a sequence diagram explaining the process in the case of transmitting downlink data from a monitoring apparatus to a monitoring object network. 本発明の実施の形態に係る監視装置のハードウェア構成と機能ブロックを説明する図である。It is a figure explaining the hardware constitutions and functional block of the monitoring apparatus which concerns on embodiment of this invention. 本発明の実施の形態に係る監視対象データのデータ構造とデータの一例を説明する図である。It is a figure explaining an example of data structure and data of monitoring object data concerning an embodiment of the invention. 本発明の実施の形態に係る処理アドレスデータのデータ構造とデータの一例を説明する図である。It is a figure explaining an example of a data structure and data of processing address data concerning an embodiment of the invention. 本発明の実施の形態に係るトラフィック蓄積データのデータ構造とデータの一例を説明する図である。It is a figure explaining an example of a data structure and data of traffic accumulation data concerning an embodiment of the invention. 本発明の実施の形態に係るアクセス権データのデータ構造とデータの一例を説明する図である。It is a figure explaining an example of a data structure and data of access right data concerning an embodiment of the invention.

次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。   Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals.

(監視システム)
図1を参照して、本発明の実施の形態に係る監視システム3を説明する。監視システム3は、監視装置1、監視制御装置2、第1の監視対象ネットワーク10a、第2の監視対象ネットワーク10b、第1の端末21a、第2の端末21b、第3の端末21cおよび第4の端末21dを備える。図1に示す例では、監視装置1が、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bの2つのネットワークを監視する場合を説明するが、監視装置1が監視するネットワークの数はこれに限らない。
(Monitoring system)
A monitoring system 3 according to an embodiment of the present invention will be described with reference to FIG. The monitoring system 3 includes a monitoring device 1, a monitoring control device 2, a first monitoring target network 10a, a second monitoring target network 10b, a first terminal 21a, a second terminal 21b, a third terminal 21c, and a fourth. Terminal 21d. In the example illustrated in FIG. 1, a case is described in which the monitoring device 1 monitors two networks, the first monitoring target network 10a and the second monitoring target network 10b, but the number of networks monitored by the monitoring device 1 is as follows. Not limited to this.

監視装置1および監視制御装置2は、相互に通信可能に接続されている。監視装置1は、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aと相互に通信可能に接続されるとともに、第2の暗号化ネットワーク15bを介して、第2の監視対象ネットワーク10bと相互に通信可能に接続される。これらの監視対象ネットワークは、個別のユーザの所有、もしくは異なる管理下になるものであり、例えば、企業のイントラネットでも良いし、通信業者が提供する公衆ネットワークでも良い。   The monitoring device 1 and the monitoring control device 2 are connected so that they can communicate with each other. The monitoring apparatus 1 is connected to the first monitoring target network 10a via the first encryption network 15a so as to be able to communicate with each other, and is connected to the second monitoring target via the second encryption network 15b. The network 10b is connected to be communicable with each other. These monitored networks are owned by individual users or under different management, and may be, for example, a corporate intranet or a public network provided by a communication company.

本発明の実施の形態において、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bを特に区別しない場合、単に監視対象ネットワーク10と記載する場合がある。また、第1の端末21a、第2の端末21b、第3の端末21cおよび第4の端末21dを特に区別しない場合、単に端末21と記載する場合がある。第1の暗号化ネットワーク15aおよび第2の暗号化ネットワーク15bを特に区別しない場合、単に暗号化ネットワーク15と記載する場合がある。   In the embodiment of the present invention, when the first monitoring target network 10a and the second monitoring target network 10b are not particularly distinguished, they may be simply referred to as the monitoring target network 10. In addition, when the first terminal 21a, the second terminal 21b, the third terminal 21c, and the fourth terminal 21d are not particularly distinguished, they may be simply referred to as the terminal 21. When the first encryption network 15a and the second encryption network 15b are not particularly distinguished, they may be simply referred to as the encryption network 15.

暗号化ネットワーク15は、例えばVPNなどの既存の仮想専用線技術を用いて確保されたセキュアの通信路である。より具体的には暗号化ネットワーク15は、例えば、IPSecのような暗号通信のためのプロトコルを用いることができる。本発明の実施の形態に係る監視システム3において、監視対象ネットワーク10と監視装置1とを、暗号化ネットワーク15で接続する。これにより、監視装置1を、監視対象ネットワーク10の外側に設置し、監視装置1が、複数の監視対象ネットワーク10を監視すること実現している。   The encryption network 15 is a secure communication path secured using an existing virtual leased line technology such as VPN. More specifically, the encryption network 15 can use a protocol for encryption communication such as IPSec. In the monitoring system 3 according to the embodiment of the present invention, the monitoring target network 10 and the monitoring device 1 are connected by the encryption network 15. Thereby, the monitoring device 1 is installed outside the monitoring target network 10, and the monitoring device 1 realizes monitoring of the plurality of monitoring target networks 10.

なお本発明の実施の形態において、暗号化ネットワーク15では、データ通信の実データを送信することなく、データのヘッダ部分に関するトラフィックデータのみを送信する。従って暗号化ネットワーク15は、実データを含まないトラフィックデータの送信に適した程度のセキュリティが確保されていれば良い。   In the embodiment of the present invention, the encrypted network 15 transmits only the traffic data related to the header portion of the data without transmitting the actual data of the data communication. Therefore, the encryption network 15 only needs to have a security level suitable for transmission of traffic data that does not include actual data.

本発明の実施の形態に係る監視システム3において、監視装置1は、監視対象ネットワーク10に属する監視対象機器11のトラフィックデータを処理する。監視装置1は、いわゆるネットワーククラウド上のサーバで実装され、複数の監視対象ネットワーク10内のそれぞれ複数の監視対象機器11のトラフィックデータを収集し、監視する。監視装置1は、物理的に単一のサーバも良いし、またクラウド内で物理的には複数の装置が仮想的に構成されたサーバであっても良い。監視装置1は、このようなサーバ上に、所定の処理を実行するためのソフトウェアプログラムがインストールされることにより実現されている。   In the monitoring system 3 according to the embodiment of the present invention, the monitoring device 1 processes the traffic data of the monitoring target device 11 belonging to the monitoring target network 10. The monitoring device 1 is implemented by a server on a so-called network cloud, and collects and monitors traffic data of each of a plurality of monitoring target devices 11 in the plurality of monitoring target networks 10. The monitoring device 1 may be a physically single server, or may be a server in which a plurality of devices are physically configured in the cloud. The monitoring device 1 is realized by installing a software program for executing predetermined processing on such a server.

監視制御装置2は、監視システム3における監視対象ネットワーク10の監視サービスを提供する事業者が管理する装置である。監視制御装置2は、監視装置1の各種設定や異常時の対応などの指示を入力したり、監視装置1の稼働状況の表示などの管理に関する情報を表示したりする。また、監視制御装置2は、新たに監視対象ネットワーク10や監視対象機器11が追加される場合、その情報を、監視装置1に入力する。監視装置1は入力された情報に基づいて、データを更新したりエージェントを増やしたりする。このように、監視制御装置2は、監視装置1に対する人手によるデータの入出力を担い、GUIにより監視装置1の設定管理を容易に実現することができる。   The monitoring control device 2 is a device managed by a business operator that provides a monitoring service for the monitoring target network 10 in the monitoring system 3. The monitoring control device 2 inputs instructions such as various settings of the monitoring device 1 and responses to abnormalities, and displays management-related information such as display of the operating status of the monitoring device 1. In addition, when a monitoring target network 10 or a monitoring target device 11 is newly added, the monitoring control device 2 inputs the information to the monitoring device 1. The monitoring device 1 updates data or increases the number of agents based on the input information. As described above, the monitoring control device 2 is responsible for manually inputting / outputting data to / from the monitoring device 1 and can easily realize setting management of the monitoring device 1 using the GUI.

監視対象ネットワーク10は、端末21に通信ネットワークサービスを提供するとともに、トラフィックデータを送信することによって、監視装置1に監視される。   The monitoring target network 10 is monitored by the monitoring device 1 by providing a communication network service to the terminal 21 and transmitting traffic data.

第1の監視対象ネットワーク10aは、第1の監視対象機器11aおよび第1の中継装置14aを備える。第1の監視対象ネットワーク10aは、ほかに複数の監視対象機器を備えても良い。第1の監視対象機器11aやこれらの監視対象機器は、監視装置1によるトラフィックの監視対象の装置であって、例えば、ルータである。第1の監視対象ネットワーク10aの第1の監視対象機器11aおよびこれらの監視対象機器は、それぞれ、監視装置1と送受信する際、アドレス“NWD_11”、“NWD_12”および“NWD_13”を用いる。アドレス“NWD_11”、“NWD_12”および“NWD_13”は、第1の監視対象ネットワーク10a内で一意に識別されるアドレスである。   The first monitoring target network 10a includes a first monitoring target device 11a and a first relay device 14a. The first monitoring target network 10a may include a plurality of other monitoring target devices. The first monitoring target device 11a and these monitoring target devices are devices to be monitored for traffic by the monitoring device 1, and are, for example, routers. The first monitoring target device 11a of the first monitoring target network 10a and these monitoring target devices use addresses “NWD — 11”, “NWD — 12”, and “NWD — 13” when transmitting and receiving to and from the monitoring device 1, respectively. The addresses “NWD — 11”, “NWD — 12”, and “NWD — 13” are addresses uniquely identified in the first monitored network 10a.

第1の中継装置14aは、第1の監視対象機器11aおよびこれらの監視対象機器が、それぞれトラフィックデータを監視装置1に送信する際に、トラフィックデータを中継する装置である。第1の中継装置14aは、各監視対象機器から監視装置1宛のトラフィックデータを受信すると、所定のアルゴリズムで暗号化して第1の暗号化ネットワーク15aにデータを送出する。また第1の中継装置14aは、監視装置1から、第1の監視対象ネットワーク10aの各監視対象機器宛のデータを受信すると、所定のアルゴリズムで復号化して各監視対象機器に送信する。   The first relay device 14 a is a device that relays traffic data when the first monitoring target device 11 a and these monitoring target devices transmit traffic data to the monitoring device 1, respectively. When receiving the traffic data addressed to the monitoring device 1 from each monitoring target device, the first relay device 14a encrypts the data with a predetermined algorithm and sends the data to the first encrypted network 15a. Further, when the first relay device 14a receives from the monitoring device 1 data destined for each monitored device in the first monitored network 10a, the first relay device 14a decrypts the data with a predetermined algorithm and transmits it to each monitored device.

第2の監視対象ネットワーク10bの各装置も、第1の監視対象ネットワーク10aの各装置と同様の構成を備える。第2の監視対象ネットワーク10bの第2の監視対象機器11bおよびこれらの監視対象機器は、それぞれ、監視装置1と送受信する際、アドレス“NWD_21”、“NWD_22”および“NWD_23”を用いる。アドレス“NWD_21”、“NWD_22”および“NWD_23” は、第2の監視対象ネットワーク10b内で一意に識別されるアドレスである。   Each device of the second monitored network 10b also has the same configuration as each device of the first monitored network 10a. The second monitoring target device 11b of the second monitoring target network 10b and these monitoring target devices use addresses “NWD — 21”, “NWD — 22”, and “NWD — 23” when transmitting and receiving to and from the monitoring device 1, respectively. The addresses “NWD — 21”, “NWD — 22”, and “NWD — 23” are addresses uniquely identified in the second monitored network 10b.

本発明の実施の形態において、第1の監視対象ネットワーク10aの第1の中継装置14aと、第2の監視対象ネットワーク10bの第2の中継装置14bとを区別しない場合、単に中継装置14と記載する場合がある。また、第1の監視対象機器11a、第2の監視対象機器11bおよびそのほかの監視対象機器を特に区別しない場合、単に監視対象機器11と記載する場合がある。   In the embodiment of the present invention, when the first relay device 14a of the first monitored network 10a and the second relay device 14b of the second monitored network 10b are not distinguished, they are simply described as the relay device 14. There is a case. In addition, when the first monitoring target device 11a, the second monitoring target device 11b, and other monitoring target devices are not particularly distinguished, they may be simply referred to as the monitoring target device 11.

なお、各監視対象機器11は、複数のアドレスが付与されていても良い。端末21にネットワークサービスを提供する際、各監視対象機器11は例えば、ネットワークサービスを提供するために、表側ネットワークのためのグローバルアドレスを用いる。監視装置1にトラフィックデータなどを送信する際、監視対象機器11は例えば、裏側ネットワークのためのプライベートアドレスを用いる。   Each monitored device 11 may be given a plurality of addresses. When providing a network service to the terminal 21, each monitored device 11 uses, for example, a global address for the front side network in order to provide the network service. When transmitting traffic data or the like to the monitoring device 1, the monitored device 11 uses, for example, a private address for the back side network.

本発明の実施の形態において、監視対象機器11側からみた監視対象機器11のアドレスは、少なくとも各監視対象ネットワーク10内では一意に識別できる場合を想定する。本発明の実施の形態に係る監視システム3は、所定のひとつの監視対象ネットワーク10内で一意に識別されたアドレスであって、複数の監視対象ネットワーク10内では、重複するアドレスであっても、対応することができる。   In the embodiment of the present invention, it is assumed that the address of the monitoring target device 11 viewed from the monitoring target device 11 side can be uniquely identified at least within each monitoring target network 10. The monitoring system 3 according to the embodiment of the present invention is an address uniquely identified in one predetermined monitoring target network 10, and even if there are overlapping addresses in the plurality of monitoring target networks 10, Can respond.

中継装置14は、監視対象ネットワーク10内の各ノードから、各ノードのトラフィックデータを収集する。トラフィックデータは例えば、(1)各監視対象機器11を通過するパケットの個数、(2)送信元アドレス毎もしくは宛先アドレス毎のパケットの個数等の統計情報、(3)すべてのパケットのヘッダ情報の一部もしくは全部、および(4)各監視対象機器11を通過するパケットのうち、一部サンプリングされたパケットのヘッダ情報の一部もしくは全部、のうちいずれかひとつ以上である。   The relay device 14 collects traffic data of each node from each node in the monitoring target network 10. The traffic data includes, for example, (1) the number of packets passing through each monitored device 11, (2) statistical information such as the number of packets for each source address or destination address, and (3) the header information of all packets. It is one or more of a part or all of (4) part or all of the header information of a partially sampled packet among the packets passing through each monitored device 11.

このトラフィックデータの収集方法としては、NetFlow、sFlowなどの既存のネットワーク分析管理プロトコルを用いることが可能である。これらのプロトコルをサポートしている監視対象機器11も普及している。各監視対象機器11は、所定の手順に従って、トラフィックデータを生成し、暗号化ネットワーク15を介して監視装置1に入力する。このとき各監視対象機器11は、例えば、当該ノードを通過するパケットを所定のサンプリングレートによりサンプリングし、さらに、サンプリングされたパケットのうちヘッダ情報のみをトラフィックデータとして生成する。ここで中継装置14は、パケットのヘッダ情報をそのまま、トラフィックデータとして監視装置1に入力しても良いし、ヘッダ情報を解析したり、暗号化したりして生成したトラフィックデータを、監視装置1に入力しても良い。   As a method for collecting the traffic data, it is possible to use an existing network analysis management protocol such as NetFlow or sFlow. Monitored devices 11 that support these protocols are also widespread. Each monitoring target device 11 generates traffic data according to a predetermined procedure, and inputs the traffic data to the monitoring device 1 via the encryption network 15. At this time, for example, each monitoring target device 11 samples a packet passing through the node at a predetermined sampling rate, and further generates only header information of the sampled packet as traffic data. Here, the relay device 14 may input the header information of the packet as it is to the monitoring device 1 as traffic data, or the traffic data generated by analyzing or encrypting the header information is sent to the monitoring device 1. You may enter.

ここで監視対象ネットワーク10の監視対象機器11のサンプリングレートは、適宜適切に設定される。例えば、サンプリングレートは、監視対象機器11を流れるトラフィック量、暗号化ネットワーク15の容量、監視対象ネットワークの性質、ユーザからの要望等によって、トラフィック監視の品質を保つ範囲で、決定される。サンプリングレートが低い場合、急峻なトラフィックの変化に追従できず、トラフィック監視の品質が低下する。このため急峻なトラフィック変化が想定される監視対象ネットワーク10の監視対象機器11や、故障やハッキングなどのトラフィック異常に即時に対応する必要がある監視対象ネットワーク10の監視対象機器11については、サンプリングレートを高く設定する。これにより、監視品質を向上させることができる。一方、トラフィックの季節変動などの長期的なトラフィック変動の監視を目的とする場合、その監視対象ネットワーク10のノードについて、サンプリングレートを低く設定する。これにより、長期的な変動監視を、低廉なコストで対応することができる。   Here, the sampling rate of the monitoring target device 11 of the monitoring target network 10 is appropriately set as appropriate. For example, the sampling rate is determined within a range in which the quality of traffic monitoring is maintained depending on the amount of traffic flowing through the monitoring target device 11, the capacity of the encryption network 15, the nature of the monitoring target network, the request from the user, and the like. When the sampling rate is low, it is impossible to follow a steep change in traffic, and the quality of traffic monitoring deteriorates. For this reason, the sampling rate of the monitoring target device 11 of the monitoring target network 10 in which a sudden traffic change is assumed, or the monitoring target device 11 of the monitoring target network 10 that needs to respond immediately to a traffic abnormality such as a failure or hacking, Set high. Thereby, monitoring quality can be improved. On the other hand, when the purpose is to monitor long-term traffic fluctuations such as seasonal traffic fluctuations, the sampling rate is set low for the nodes of the monitoring target network 10. Thereby, long-term fluctuation monitoring can be handled at low cost.

端末21は、監視対象ネットワーク10の利用者の端末である。端末21は、監視対象ネットワーク10を介して監視装置1に接続される場合もあるし、監視対象ネットワーク10とは異なる通信ネットワークを介して、監視装置1に接続される場合もある。端末21は、監視対象ネットワークが提供する表側ネットワークのサービスを享受する。さらに端末21は、端末21を操作するユーザの属性によって、そのユーザにアクセス権のある監視対象ネットワーク10のトラフィック解析データ144を閲覧する場合もある。例えば、第1の監視対象ネットワーク10aと第2の監視対象ネットワーク10bとが、同一企業に管理されるネットワークであって、一方がアメリカのネットワークで、もう一方が日本のネットワークであるとする。第1の端末21aのユーザがアメリカおよび日本のネットワークの両方のトラフィック解析データ144を閲覧できる場合、監視装置1は、これらの両方のトラフィック解析データ144を第1の端末21aに提供する。また第3の端末21cは、どちらか一方のトラフィック解析データ144のみを閲覧できる場合、監視装置1は、閲覧可能なトラフィック解析データ144を第3の端末21cに提供する。   The terminal 21 is a user terminal of the monitoring target network 10. The terminal 21 may be connected to the monitoring device 1 via the monitoring target network 10 or may be connected to the monitoring device 1 via a communication network different from the monitoring target network 10. The terminal 21 enjoys the service of the front side network provided by the monitored network. Furthermore, the terminal 21 may browse the traffic analysis data 144 of the monitoring target network 10 to which the user has access rights depending on the attribute of the user who operates the terminal 21. For example, it is assumed that the first monitored network 10a and the second monitored network 10b are networks managed by the same company, one being an American network and the other being a Japanese network. When the user of the first terminal 21a can view the traffic analysis data 144 of both the US and Japanese networks, the monitoring device 1 provides both of the traffic analysis data 144 to the first terminal 21a. When the third terminal 21c can browse only one of the traffic analysis data 144, the monitoring device 1 provides the traffic analysis data 144 that can be browsed to the third terminal 21c.

(監視方法)
図2および図3を参照して、本発明の実施の形態に係る監視方法を説明する。
(Monitoring method)
The monitoring method according to the embodiment of the present invention will be described with reference to FIGS.

図2において、第1の監視対象ネットワーク10aの第1の監視対象機器11aのトラフィックデータと、第2の監視対象ネットワーク10bの第2の監視対象機器11bのトラフィックデータとを、監視装置1に送信する場合を説明する。ここで、第1の監視対象ネットワーク10aの第1の監視対象機器11aは、監視装置1と接続する際、アドレス“NWD_11”を用いる。第2の監視対象ネットワーク10bの第2の監視対象機器11bは、監視装置1と接続する際、アドレス“NWD_21”を用いる。   In FIG. 2, the traffic data of the first monitored device 11a of the first monitored network 10a and the traffic data of the second monitored device 11b of the second monitored network 10b are transmitted to the monitoring device 1. The case where it does is demonstrated. Here, the first monitoring target device 11a of the first monitoring target network 10a uses the address “NWD — 11” when connecting to the monitoring device 1. The second monitoring target device 11b of the second monitoring target network 10b uses the address “NWD — 21” when connecting to the monitoring device 1.

また、監視装置1は、第1の処理手段121aおよび第2の処理手段121bを備える。第1の処理手段121aに、アドレス“NWP_1”が付与され、第1の処理手段121aは、第1の監視対象ネットワーク10aのトラフィックデータを処理する。第2の処理手段121bに、アドレス“NWP_2”が付与され、第2の処理手段121bは、第2の監視対象ネットワーク10bのトラフィックデータを処理する。   In addition, the monitoring device 1 includes a first processing unit 121a and a second processing unit 121b. The address “NWP_1” is assigned to the first processing unit 121a, and the first processing unit 121a processes the traffic data of the first monitored network 10a. The address “NWP_2” is assigned to the second processing unit 121b, and the second processing unit 121b processes the traffic data of the second monitored network 10b.

まずステップS101において第1の監視対象機器11aは、トラフィックデータを第1の中継装置14aに送信する。このとき、トラフィックデータの送信元アドレスは、“NWD_11”で、宛先アドレスは、 “NWP_1”である。このトラフィックデータは、第1の監視対象機器11aのトラフィックのヘッダ部のデータや、このヘッダ部をサンプリングしたり解析したりして得られたデータである。   First, in step S101, the first monitoring target device 11a transmits traffic data to the first relay device 14a. At this time, the source address of the traffic data is “NWD — 11” and the destination address is “NWP — 1”. This traffic data is data of the header part of the traffic of the first monitoring target device 11a, or data obtained by sampling or analyzing the header part.

第1の監視対象ネットワーク10aの第1の中継装置14aが、第1の監視対象機器11aからトラフィックデータを受信すると、ステップS102において第1の中継装置14aは、受信したトラフィックデータを暗号化する。ステップS103において第1の中継装置14aは、暗号化したトラフィックデータを、第1の暗号化ネットワーク15aを介して、監視装置1に送信する。   When the first relay device 14a of the first monitored network 10a receives traffic data from the first monitored device 11a, in step S102, the first relay device 14a encrypts the received traffic data. In step S103, the first relay device 14a transmits the encrypted traffic data to the monitoring device 1 via the first encrypted network 15a.

監視装置1は、第1の監視対象ネットワーク10aから暗号化済みトラフィックデータを受信すると、ステップS104において送受信手段100が、そのデータを復号化する。さらにステップS105において送受信手段100は、受信したデータの宛先アドレス“NWP_1”に対応する第1の処理手段121aに、復号化したデータを入力する。   When the monitoring device 1 receives the encrypted traffic data from the first monitored network 10a, the transmission / reception means 100 decrypts the data in step S104. In step S105, the transmission / reception unit 100 inputs the decrypted data to the first processing unit 121a corresponding to the destination address “NWP_1” of the received data.

第1の処理手段121aは、復号化されたデータを受信すると、ステップS106においてそのデータを、トラフィック蓄積データ143に記憶する。第1の処理手段121aは、第1の監視対象ネットワーク10aの識別子と、第1の監視対象機器11aのアドレス“NWD_11”と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。   When the first processing unit 121a receives the decrypted data, the first processing unit 121a stores the data in the traffic accumulation data 143 in step S106. The first processing unit 121a associates the identifier of the first monitoring target network 10a with the address “NWD_11” of the first monitoring target device 11a and the received traffic data, and stores them in the traffic accumulation data 143. .

またステップS107において第2の監視対象機器11bは、トラフィックデータを第2の中継装置14bに送信する。このとき、トラフィックデータの送信元アドレスは、“NWD_21”で、宛先アドレスは、 “NWP_2”である。このトラフィックデータは、第2の監視対象機器11bのトラフィックのヘッダ部のデータや、このヘッダ部をサンプリングしたり解析したりして得られたデータである。   In step S107, the second monitoring target device 11b transmits the traffic data to the second relay device 14b. At this time, the source address of the traffic data is “NWD — 21” and the destination address is “NWP — 2”. This traffic data is data of the header part of the traffic of the second monitoring target device 11b, or data obtained by sampling or analyzing the header part.

第2の監視対象ネットワーク10bの第2の中継装置14bが、第2の監視対象機器11bからトラフィックデータを受信すると、ステップS108において第2の中継装置14bは、受信したトラフィックデータを暗号化する。ステップS109において第2の中継装置14bは、暗号化したトラフィックデータを、第2の暗号化ネットワーク15bを介して、監視装置1に送信する。   When the second relay device 14b of the second monitored network 10b receives the traffic data from the second monitored device 11b, in step S108, the second relay device 14b encrypts the received traffic data. In step S109, the second relay device 14b transmits the encrypted traffic data to the monitoring device 1 via the second encrypted network 15b.

監視装置1は、第2の監視対象ネットワーク10bから暗号化済みトラフィックデータを受信すると、ステップS110において送受信手段100が、そのデータを復号化する。さらにステップS111において送受信手段100は、受信したデータの宛先アドレス“NWP_2”に対応する第2の処理手段121bに、復号化したデータを入力する。   When the monitoring device 1 receives the encrypted traffic data from the second monitoring target network 10b, the transmission / reception means 100 decrypts the data in step S110. In step S111, the transmission / reception unit 100 inputs the decrypted data to the second processing unit 121b corresponding to the destination address “NWP_2” of the received data.

第2の処理手段121bは、復号化されたデータを受信すると、そのデータを、トラフィック蓄積データ143に記憶する。第2の処理手段121bは、第2の監視対象ネットワーク10bの識別子と、第2の監視対象機器11bのアドレス“NWD_21”と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。   When receiving the decrypted data, the second processing unit 121b stores the data in the traffic accumulation data 143. The second processing unit 121b associates the identifier of the second monitoring target network 10b with the address “NWD — 21” of the second monitoring target device 11b and the received traffic data, and stores them in the traffic accumulation data 143. .

図3を参照して、監視装置1が、第1の監視対象機器11aおよび第2の監視対象機器11bにそれぞれ下りデータを送信する場合を説明する。図3に示す例において、監視装置1の送受信手段100は、第1の送信手段102aと、第2の送信手段102bとを備える。第1の送信手段102aは、第1の監視対象ネットワーク10aに送信するためのアドレス“RD_1”が付与される。第2の送信手段102bは、第2の監視対象ネットワーク10bに送信するためのアドレス“RD_2”が付与される。下りデータは例えば、監視対象機器11におけるサンプリングレートやヘッダの解析方法などの情報である。   With reference to FIG. 3, the case where the monitoring apparatus 1 transmits downlink data to the first monitoring target device 11a and the second monitoring target device 11b will be described. In the example shown in FIG. 3, the transmission / reception means 100 of the monitoring apparatus 1 includes a first transmission means 102a and a second transmission means 102b. The first transmission means 102a is given an address “RD_1” for transmission to the first monitored network 10a. The second transmission means 102b is given an address “RD_2” for transmission to the second monitored network 10b. The downlink data is, for example, information such as a sampling rate and header analysis method in the monitoring target device 11.

まず、第1の処理手段121aは、第1の監視対象ネットワーク10aの第1の監視対象機器11aに下りデータを送信する際、ステップS201において、宛先アドレスとして“NWD_11”を指定して、第1の送信手段102aに入力する。ステップS202において第1の送信手段102aは、入力された下りデータを暗号化して、ステップS203において第1の暗号化ネットワーク15aを介して、第1の中継装置14aに送信する。   First, when transmitting the downlink data to the first monitored device 11a of the first monitored network 10a, the first processing unit 121a designates “NWD — 11” as the destination address in step S201, To the transmission means 102a. In step S202, the first transmission means 102a encrypts the input downlink data and transmits it to the first relay device 14a via the first encryption network 15a in step S203.

第1の中継装置14aは、監視装置1から暗号化済み下りデータを受信すると、ステップS204においてそのデータを復号化する。さらにステップS205において第1の中継装置14aは、復号化した下りデータを、宛先アドレス“NWD_11”に対応する第1の監視対象機器11aに入力する。第1の監視対象機器11aは、受信した下りデータに基づいて、サンプリングレートの変更などの処理をする。   When receiving the encrypted downlink data from the monitoring device 1, the first relay device 14a decrypts the data in step S204. Further, in step S205, the first relay device 14a inputs the decoded downlink data to the first monitoring target device 11a corresponding to the destination address “NWD_11”. The first monitoring target device 11a performs processing such as changing the sampling rate based on the received downlink data.

また、第2の処理手段121bは、第2の監視対象ネットワーク10bの第2の監視対象機器11bに下りデータを送信する際、ステップS206において、宛先アドレスとして“NWD_21”を指定して、第2の送信手段102bに入力する。ステップS207において第2の送信手段102bは、入力された下りデータを暗号化して、ステップS208において第2の暗号化ネットワーク15bを介して、第2の中継装置14bに送信する。   In addition, when the second processing unit 121b transmits downlink data to the second monitored device 11b of the second monitored network 10b, the second processing unit 121b specifies “NWD — 21” as the destination address in step S206, and sets the second data To the transmission means 102b. In step S207, the second transmission means 102b encrypts the input downlink data and transmits it to the second relay device 14b via the second encryption network 15b in step S208.

第2の中継装置14bは、監視装置1から暗号化済み下りデータを受信すると、ステップS209においてそのデータを復号化する。さらにステップS210において第2の中継装置14bは、復号化した下りデータを、宛先アドレス“NWD_21”に対応する第2の監視対象機器11bに入力する。第2の監視対象機器11bは、受信した下りデータに基づいて、サンプリングレートの変更などの処理をする。   When receiving the encrypted downlink data from the monitoring device 1, the second relay device 14b decrypts the data in step S209. Further, in step S210, the second relay device 14b inputs the decoded downlink data to the second monitoring target device 11b corresponding to the destination address “NWD — 21”. The second monitoring target device 11b performs processing such as changing the sampling rate based on the received downlink data.

なお図2および図3においては、監視装置1からみた監視対象機器11のアドレスが重複する場合、具体的には、“NWD_11”と“NWD_21”が同一の場合にも対応可能な実装例である。図2に示す例では、各監視対象機器11が、当該監視対象機器11が属する監視対象ネットワーク10を処理する処理手段に付与されたアドレスを宛先として指定する。また図3に示す例では、送受信手段100が、監視対象ネットワーク10ごとの送信手段を有し、各処理手段が、所定の送信手段に下りデータを入力する。本発明の実施の形態は、監視対象機器11のアドレスの重複を解決し、監視対象ネットワーク10ごとにトラフィックデータの収集することができる。   2 and FIG. 3 are implementation examples that can cope with the case where the addresses of the monitoring target devices 11 as viewed from the monitoring device 1 overlap, specifically, the case where “NWD — 11” and “NWD — 21” are the same. . In the example illustrated in FIG. 2, each monitoring target device 11 specifies, as a destination, an address given to a processing unit that processes the monitoring target network 10 to which the monitoring target device 11 belongs. In the example shown in FIG. 3, the transmission / reception means 100 has a transmission means for each monitored network 10, and each processing means inputs downlink data to a predetermined transmission means. The embodiment of the present invention can solve the duplication of the address of the monitoring target device 11 and collect the traffic data for each monitoring target network 10.

(監視装置)
図4を参照して、本発明の実施の形態に係る監視装置1を説明する。監視装置1は、中央処理制御装置120、記憶装置140および送受信手段100を備えた一般的なコンピュータである。送受信手段100は、通信インタフェースなどの送受信装置をそれぞれ仮想化した手段であっても良い。
(Monitoring device)
With reference to FIG. 4, the monitoring apparatus 1 which concerns on embodiment of this invention is demonstrated. The monitoring device 1 is a general computer that includes a central processing control device 120, a storage device 140, and transmission / reception means 100. The transmission / reception unit 100 may be a unit that virtualizes transmission / reception devices such as communication interfaces.

記憶装置140は、監視プログラムを記憶するとともに、監視対象データ141、処理アドレスデータ142、トラフィック蓄積データ143、トラフィック解析データおよびアクセス権データ145を記憶する。   The storage device 140 stores a monitoring program and also stores monitoring target data 141, processing address data 142, traffic accumulation data 143, traffic analysis data, and access right data 145.

監視対象データ141は、監視対象ネットワーク10の識別子と、当該監視対象ネットワーク10に属する監視対象機器11の識別子とを対応づけたデータである。監視対象データ141は、図5に示すように、監視対象ネットワークID“NW_1”と、このネットワークに属する監視対象機器ID“NWD_11”とを対応づけて記憶する。図5に示す例において、監視対象ネットワークID”NW_1“は、図1に示す第1の監視対象ネットワークIDの識別子であり、監視対象機器ID“NWD_11”は、図1に示す第1の監視対象機器11aのアドレスである。   The monitoring target data 141 is data in which the identifier of the monitoring target network 10 is associated with the identifier of the monitoring target device 11 belonging to the monitoring target network 10. As shown in FIG. 5, the monitoring target data 141 stores the monitoring target network ID “NW_1” and the monitoring target device ID “NWD — 11” belonging to this network in association with each other. In the example shown in FIG. 5, the monitoring target network ID “NW_1” is an identifier of the first monitoring target network ID shown in FIG. 1, and the monitoring target device ID “NWD — 11” is the first monitoring target shown in FIG. This is the address of the device 11a.

処理アドレスデータ142は、監視装置1が、各監視対象ネットワーク10とデータを送受信するときに参照するデータである。処理アドレスデータ142は、監視対象ネットワーク10の識別子をキーに、上りデータを処理するときに用いるアドレスと、下りデータを処理するときに用いるアドレスとを対応づける。   The processing address data 142 is data that the monitoring device 1 refers to when transmitting / receiving data to / from each monitoring target network 10. The processing address data 142 associates an address used when processing upstream data with an address used when processing downstream data, using the identifier of the monitored network 10 as a key.

ここで、上りデータを処理するときに用いる上り処理アドレスは、監視対象機器11から送信されたトラフィックデータの宛先アドレスである。この上りアドレスは、当該監視対象機器11が属する監視対象ネットワーク10のトラフィックデータを処理する処理手段に割り当てられたアドレスである。この上り処理アドレスを、対応する監視対象ネットワーク10の監視対象機器11も保持する。具体的には、第1の監視対象ネットワーク10aの第1の監視対象機器11aのトラフィックは第1の処理手段121aが処理する。そこで、第1の監視対象ネットワーク“NW_1”に、第1の処理手段121aのアドレス“NWP_1”が対応づけられている。また第1の監視対象機器11aは、第1の処理手段121aのアドレス“NWP_1”を予め保持し、このアドレスを使って第1の処理手段121aにトラフィックデータを送信する。   Here, the uplink processing address used when processing the uplink data is the destination address of the traffic data transmitted from the monitored device 11. This upstream address is an address assigned to the processing means for processing the traffic data of the monitored network 10 to which the monitored device 11 belongs. The uplink processing address is also held by the monitoring target device 11 of the corresponding monitoring target network 10. Specifically, the first processing unit 121a processes the traffic of the first monitoring target device 11a of the first monitoring target network 10a. Therefore, the address “NWP_1” of the first processing unit 121a is associated with the first monitoring target network “NW_1”. The first monitored device 11a holds the address “NWP_1” of the first processing unit 121a in advance, and transmits traffic data to the first processing unit 121a using this address.

下りデータを処理するときに用いる下り処理アドレスは、監視対象ネットワーク10の識別子と、当該監視対象ネットワーク10に送信する際に用いる送受信手段100のアドレスである。具体的には、第1の監視対象ネットワーク10aの第1の監視対象機器11aに下りデータを送信する際、第1の処理手段121aは、送受信手段100の第1の送信手段102aに下りデータを入力する。そこで、第1の監視対象ネットワーク“NW_1”に、第1の送信手段102aのアドレス“RD_1”が対応づけられている。   The downlink processing address used when processing downlink data is the identifier of the monitoring target network 10 and the address of the transmission / reception means 100 used when transmitting to the monitoring target network 10. Specifically, when transmitting downlink data to the first monitoring target device 11a of the first monitoring target network 10a, the first processing unit 121a transmits the downlink data to the first transmission unit 102a of the transmission / reception unit 100. input. Therefore, the address “RD_1” of the first transmission unit 102a is associated with the first monitoring target network “NW_1”.

トラフィック蓄積データ143は、監視対象機器11から受信したトラフィックデータを、監視対象機器11の識別子と、この監視対象機器11の属する監視対象ネットワーク10の識別子とを対応づけたデータである。トラフィック蓄積データ143は、図7に示すように、監視対象ネットワークID“NW_1”と、監視対象機器ID“NWE_12”と、この監視対象機器11から受信したトラフィックデータとを対応づけて記憶する。監視対象ネットワークID“NW_1”は、図1に示す第1の監視対象ネットワーク10aの識別子である。監視対象機器ID“NWD_11”は、図1に示す第1の監視対象ネットワーク10aに属する監視対象機器11のアドレスである。トラフィック蓄積データ143は、各レコードを識別するためにさらに、トラフィックデータの受信時刻を対応づけても良い。   The traffic accumulation data 143 is data in which the traffic data received from the monitored device 11 is associated with the identifier of the monitored device 11 and the identifier of the monitored network 10 to which the monitored device 11 belongs. As shown in FIG. 7, the traffic accumulation data 143 stores the monitoring target network ID “NW_1”, the monitoring target device ID “NWE — 12”, and the traffic data received from the monitoring target device 11 in association with each other. The monitoring target network ID “NW_1” is an identifier of the first monitoring target network 10a shown in FIG. The monitoring target device ID “NWD — 11” is the address of the monitoring target device 11 belonging to the first monitoring target network 10a shown in FIG. The traffic accumulation data 143 may further associate the reception time of the traffic data in order to identify each record.

トラフィック解析データ144は、トラフィック蓄積データ143に蓄積されたトラフィックデータを、監視対象ネットワーク10ごとに解析したデータである。従ってトラフィック解析データ144は、監視対象ネットワーク10の識別子と、この監視対象ネットワーク10の解析データとを対応づける。解析データは、この監視対象ネットワーク10に属する監視対象機器11のトラフィックデータから生成される。   The traffic analysis data 144 is data obtained by analyzing the traffic data stored in the traffic storage data 143 for each monitoring target network 10. Therefore, the traffic analysis data 144 associates the identifier of the monitoring target network 10 with the analysis data of the monitoring target network 10. The analysis data is generated from the traffic data of the monitoring target device 11 belonging to the monitoring target network 10.

アクセス権データ145は、トラフィック解析データ144の参照の問い合わせを受けた際、問い合わせしたユーザのアクセス権に基づいて参照可能なトラフィック解析データ144を出力するために参照される。アクセス権データ145は、図8に示すように、ユーザIDと、このユーザが参照可能なネットワークIDとを対応づけたデータである。ここでネットワークIDは、監視対象ネットワーク10の識別子である。図8に示す例において、ユーザID“UID_001“のユーザは、第1の監視対象ネットワーク10aに関するトラフィック解析データ144のみを参照可能であることを示す。ユーザID“UID_003“のユーザは、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bに関するトラフィック解析データ144を参照可能であることを示す。   The access right data 145 is referred to in order to output the traffic analysis data 144 that can be referred to based on the access right of the inquired user when receiving an inquiry to refer to the traffic analysis data 144. As shown in FIG. 8, the access right data 145 is data in which a user ID is associated with a network ID that can be referred to by the user. Here, the network ID is an identifier of the monitoring target network 10. In the example illustrated in FIG. 8, the user with the user ID “UID — 001” can refer to only the traffic analysis data 144 related to the first monitoring target network 10a. This indicates that the user with the user ID “UID — 003” can refer to the traffic analysis data 144 regarding the first monitoring target network 10a and the second monitoring target network 10b.

送受信手段100は、監視対象ネットワーク10からの接続を受け付けて処理手段121に入力するとともに、処理手段121の処理結果を返す。送受信手段100は、受信手段101、第1の送信手段102a、第2の送信手段102b、・・・・第nの送信手段102nを備える。   The transmission / reception unit 100 receives a connection from the monitoring target network 10 and inputs the connection to the processing unit 121, and returns the processing result of the processing unit 121. The transmission / reception unit 100 includes a reception unit 101, a first transmission unit 102a, a second transmission unit 102b,..., An nth transmission unit 102n.

受信手段101は、監視対象ネットワーク10から受信したデータを、その宛先に従って、処理手段121に入力する。具体的には、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aの監視対象機器11から受信したトラフィックデータの宛先は、第1の処理手段121aであるので、受信したトラフィックデータを第1の処理手段121aに入力する。同様に、受信手段101は、受信したトラフィックデータの宛先に応じて、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nのいずれかに入力する。   The receiving unit 101 inputs the data received from the monitoring target network 10 to the processing unit 121 according to the destination. Specifically, since the destination of the traffic data received from the monitored device 11 of the first monitored network 10a via the first encrypted network 15a is the first processing unit 121a, the received traffic Data is input to the first processing means 121a. Similarly, the receiving unit 101 inputs one of the first processing unit 121a, the second processing unit 121b,..., And the nth processing unit 121n according to the destination of the received traffic data.

ここで受信手段101は、各監視対象ネットワーク10から暗号化されたトラフィックデータが送信された場合、復号化して処理手段に入力する。   Here, when encrypted traffic data is transmitted from each monitored network 10, the receiving unit 101 decrypts and inputs the decrypted traffic data to the processing unit.

第1の送信手段102aは、中央処理制御装置120から入力されたデータを、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aに送信する。第1の送信手段102aが送信するデータの宛先は、第1の監視対象ネットワーク10aに属するいずれかの監視対象機器11のアドレスが設定される。監視対象ネットワーク10は、第1の処理手段121a、第1の送信手段102aおよび第1の暗号化ネットワーク15aを介して受信したデータを、その宛先に従って監視対象機器11に送信する。図6に示す処理アドレスデータ142において、第1の送信手段102aは、アドレス“RD_1”が対応づけられる。   The first transmission unit 102a transmits the data input from the central processing control device 120 to the first monitoring target network 10a via the first encryption network 15a. As the destination of the data transmitted by the first transmission unit 102a, the address of any one of the monitoring target devices 11 belonging to the first monitoring target network 10a is set. The monitored network 10 transmits the data received via the first processing unit 121a, the first transmitting unit 102a, and the first encrypted network 15a to the monitored device 11 according to the destination. In the processing address data 142 shown in FIG. 6, the first transmission means 102a is associated with the address “RD_1”.

第2の送信手段102b、およびその他の送信手段も同様である。   The same applies to the second transmission unit 102b and other transmission units.

ここで、送受信手段100の受信手段101、第1の送信手段102a、第2の送信手段102b、…第nの送信手段102nの各処理は、物理的に個別の手段でなくとも良く、論理的に設定されるものでもかまわない。例えば、仮想化技術により実現しても良いし、各手段の処理を、一つの送受信装置を時間的に振り分けることにより実現しても良い。   Here, the processing of the receiving means 101, the first transmitting means 102a, the second transmitting means 102b,..., The nth transmitting means 102n of the transmitting / receiving means 100 may not be physically separate means, but logically. It does not matter even if it is set to. For example, it may be realized by a virtualization technique, or the processing of each unit may be realized by distributing one transmission / reception device in terms of time.

また送受信手段100は、各監視対象ネットワーク10から暗号化されたデータが送信された場合、復号化して処理手段121に入力する。また送受信手段100は、必要に応じて、処理手段121が出力したデータを暗号化して、各監視対象ネットワーク10に送信する。   In addition, when encrypted data is transmitted from each monitoring target network 10, the transmission / reception unit 100 decrypts and inputs the decrypted data to the processing unit 121. Further, the transmission / reception unit 100 encrypts the data output from the processing unit 121 as necessary, and transmits the encrypted data to each monitored network 10.

制御装置インタフェース150は、監視装置1が監視制御装置2と通信するためのインタフェースである。制御装置インタフェース150は、監視制御装置2から入力された情報を、中央処理制御装置120に入力する。   The control device interface 150 is an interface for the monitoring device 1 to communicate with the monitoring control device 2. The control device interface 150 inputs information input from the monitoring control device 2 to the central processing control device 120.

解析提供インタフェース160は、監視装置1が端末21と通信するためのインタフェースである。ここで、端末21は、解析提供インタフェース160を介して、端末21を利用しているユーザが閲覧可能な監視対象ネットワーク10のトラフィック解析データ144を参照することができる。ここで、監視装置1は、端末21がアクセス可能なポータルサイトを提供して、ユーザにポータルサイトを介してログインさせて、ユーザのアクセス権に応じたトラフィック解析データ144を提供しも良い。   The analysis providing interface 160 is an interface for the monitoring apparatus 1 to communicate with the terminal 21. Here, the terminal 21 can refer to the traffic analysis data 144 of the monitored network 10 that can be browsed by the user using the terminal 21 via the analysis providing interface 160. Here, the monitoring device 1 may provide a portal site accessible by the terminal 21 and allow the user to log in via the portal site to provide the traffic analysis data 144 according to the access right of the user.

中央処理制御装置120は、処理手段121、解析手段122および解析提供手段123を備える。   The central processing control device 120 includes processing means 121, analysis means 122, and analysis providing means 123.

処理手段121は、監視対象ネットワーク10に属する監視対象機器11からトラフィックデータを受信し、当該監視対象ネットワーク10の識別子と、監視対象機器11のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。ここで、本発明の実施の形態において処理手段121は、監視対象機器11からトラフィックデータを受信すると、監視対象データ141を読み出して、送信元の監視対象機器11の識別子に対応する監視対象ネットワーク10の識別子を抽出する。処理手段121は、当該監視対象ネットワーク10の識別子と、送信元の監視対象機器11のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。この方法は、他の監視対象機器11とアドレスに重複がない監視対象機器11からトラフィックデータを受信した場合に好適である。   The processing unit 121 receives traffic data from the monitoring target device 11 belonging to the monitoring target network 10, and stores the traffic data by associating the identifier of the monitoring target network 10, the address of the monitoring target device 11, and the received traffic data. Store in data 143. Here, in the embodiment of the present invention, when the traffic data is received from the monitoring target device 11, the processing unit 121 reads the monitoring target data 141 and monitors the monitoring target network 10 corresponding to the identifier of the transmission source monitoring target device 11. Extract the identifier of. The processing unit 121 stores the identifier of the monitoring target network 10, the address of the monitoring target device 11 of the transmission source, and the received traffic data in the traffic accumulation data 143 in association with each other. This method is suitable when traffic data is received from the monitored device 11 whose address does not overlap with that of the other monitored device 11.

本発明の実施の形態において処理手段121は、監視対象ネットワーク10ごとにエージェントを備え、各エージェントには、対応する監視対象ネットワーク10から送信されるトラフィックデータの宛先となるアドレスが付与される。ここで、各エージェントに付与されるアドレスは、IPアドレスでも良いし、IPアドレスとポート番号の組み合わせであっても良い。監視対象機器11がトラフィックデータを送信する際の宛先を一意に識別できれば良い。   In the embodiment of the present invention, the processing unit 121 includes an agent for each monitored network 10, and each agent is given an address as a destination of traffic data transmitted from the corresponding monitored network 10. Here, the address given to each agent may be an IP address or a combination of an IP address and a port number. It suffices if the monitoring target device 11 can uniquely identify the destination when the traffic data is transmitted.

具体的には、処理手段121は、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nなどの複数のエージェントを有する。ここで、処理手段121の第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nの各処理は、物理的に個別の手段でなくとも良く、論理的に設定されるものでもかまわない。例えば、各手段の処理を、時間的に振り分けて実行することにより実現しても良い。   Specifically, the processing unit 121 includes a plurality of agents such as a first processing unit 121a, a second processing unit 121b,... An nth processing unit 121n. Here, each process of the first processing unit 121a, the second processing unit 121b,..., The n-th processing unit 121n of the processing unit 121 does not have to be a physically separate unit and is logically set. It doesn't matter. For example, the processing of each unit may be realized by sorting and executing in time.

第1の処理手段121aは、第1の監視対象ネットワーク10aに属する監視対象機器11のトラフィックデータを受信する。本発明の実施の形態において、第1の処理手段121aには、アドレス“NWP_1”が付与される。第1の監視対象ネットワーク10aに属する監視対象機器11は、アドレス“NWP_1”宛に、トラフィックデータを送信することにより、第1の処理手段121aは、第1の監視対象ネットワーク10aの監視対象機器11が送信したトラフィックデータを受信する。第1の処理手段121aは、このように受信したトラフィックデータを、第1の監視対象ネットワーク10aの識別子と、送信元の監視対象機器11の識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。ここで送信元の第1の監視対象機器11aの識別子は、第1の監視対象ネットワーク10a内で一意に識別可能なプライベートアドレスでも良い。第1の処理手段121aが、このようなプライベートアドレスに、第1の監視対象ネットワーク10aの識別子を対応づけることにより、監視装置1のすべての監視対象機器11から一意に識別することができる。   The first processing unit 121a receives traffic data of the monitoring target device 11 belonging to the first monitoring target network 10a. In the embodiment of the present invention, the address “NWP_1” is assigned to the first processing means 121a. The monitored device 11 belonging to the first monitored network 10a transmits the traffic data to the address “NWP_1”, so that the first processing unit 121a causes the monitored device 11 of the first monitored network 10a. Receive traffic data sent by. The first processing unit 121a associates the received traffic data with the identifier of the first monitoring target network 10a, the identifier of the monitoring target device 11 of the transmission source, and the received traffic data. Store in the accumulated data 143. Here, the identifier of the transmission source first monitoring target device 11a may be a private address that can be uniquely identified in the first monitoring target network 10a. The first processing unit 121a can uniquely identify all the monitoring target devices 11 of the monitoring device 1 by associating the identifier of the first monitoring target network 10a with such a private address.

第2の処理手段121bは、第2の監視対象ネットワーク10bに属する監視対象機器のトラフィックデータを受信する。本発明の実施の形態において、第2の処理手段121bには、アドレス“NWP_2”が付与される。第2の監視対象ネットワーク10bに属する監視対象機器11は、アドレス“NWP_2”宛に、トラフィックデータを送信することにより、第2の処理手段121bは、第2の監視対象ネットワーク10bの監視対象機器11が送信したトラフィックデータを受信する。第2の処理手段121bは、このように受信したトラフィックデータを、第2の監視対象ネットワーク10bの識別子と、送信元の監視対象機器11の識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。ここで送信元の監視対象機器11の識別子は、第2の監視対象ネットワーク10b内で一意に識別可能なプライベートアドレスでも良い。第2の処理手段121bが、このようなプライベートアドレスに、第2の監視対象ネットワーク10bの識別子を対応づけることにより、監視装置1のすべての監視対象機器11から一意に識別することができる。   The second processing unit 121b receives the traffic data of the monitoring target device belonging to the second monitoring target network 10b. In the embodiment of the present invention, the address “NWP_2” is assigned to the second processing unit 121b. The monitored device 11 belonging to the second monitored network 10b transmits the traffic data to the address “NWP_2”, whereby the second processing unit 121b causes the monitored device 11 of the second monitored network 10b to be monitored. Receive traffic data sent by. The second processing unit 121b associates the received traffic data with the identifier of the second monitoring target network 10b, the identifier of the monitoring target device 11 of the transmission source, and the received traffic data. Store in the accumulated data 143. Here, the identifier of the transmission target monitored device 11 may be a private address that can be uniquely identified in the second monitored network 10b. The second processing unit 121b can uniquely identify all the monitoring target devices 11 of the monitoring apparatus 1 by associating the identifier of the second monitoring target network 10b with such a private address.

例えば図1に示す例において、第1の監視対象ネットワーク10aの第1の監視対象機器11aは、アドレス“NWD_11”が付与され、第2の監視対象ネットワーク10bの第2の監視対象機器11bは、アドレス“NWD_21”が付与される。ここで、アドレス“NWD_11”と“NWD_21”とが同一の場合を考える。監視装置1は、このような監視対象機器11からトラフィックデータを受信したとしても、その送信元アドレスが同一の場合、いずれの監視対象機器から受信したのか判別できない。   For example, in the example illustrated in FIG. 1, the first monitoring target device 11a of the first monitoring target network 10a is assigned the address “NWD — 11”, and the second monitoring target device 11b of the second monitoring target network 10b is An address “NWD — 21” is assigned. Here, consider a case where the addresses “NWD — 11” and “NWD — 21” are the same. Even if the monitoring apparatus 1 receives traffic data from such a monitoring target device 11, it cannot determine from which monitoring target device the same transmission source address is received.

そこで第1の監視対象ネットワーク10aに属する第1の監視対象機器11aが、第1の処理手段121a宛にトラフィックデータを送信する。これにより監視装置1は、第1の処理手段121aがそのトラフィックデータを受信し、そのトラフィックデータの送信元を、第1の監視対象ネットワーク10aに属する第1の監視対象機器11aと把握することができる。第2の監視対象ネットワーク10bに属する第2の監視対象機器11bについても同様である。第2の監視対象ネットワーク10aに属する第2の監視対象機器11bが、第2の処理手段121b宛にトラフィックデータを送信する。これにより監視装置1は、第2の処理手段121bが受信したトラフィックデータの送信元を、第2の監視対象ネットワーク10bに属する第2の監視対象機器11bと把握することができる。   Therefore, the first monitored device 11a belonging to the first monitored network 10a transmits the traffic data to the first processing unit 121a. As a result, the monitoring apparatus 1 can recognize that the first processing unit 121a receives the traffic data and the transmission source of the traffic data is the first monitoring target device 11a belonging to the first monitoring target network 10a. it can. The same applies to the second monitored device 11b belonging to the second monitored network 10b. The second monitored device 11b belonging to the second monitored network 10a transmits the traffic data to the second processing unit 121b. Thereby, the monitoring apparatus 1 can grasp | ascertain the transmission source of the traffic data which the 2nd process means 121b received as the 2nd monitoring object apparatus 11b which belongs to the 2nd monitoring object network 10b.

またさらに、処理手段121が、監視対象機器11の属する監視対象ネットワーク10の識別子と、トラフィックデータの送信元の監視対象機器11のアドレスとを対応づけて、トラフィック蓄積データに記憶する。これにより、監視対象機器11のアドレスが重複している場合でも、トラフィック蓄積データ143内で、どの監視対象機器11が出力したトラフィックデータかを一意に識別することができる。   Furthermore, the processing unit 121 associates the identifier of the monitoring target network 10 to which the monitoring target device 11 belongs with the address of the monitoring target device 11 that is the transmission source of the traffic data, and stores them in the traffic accumulation data. Thereby, even when the addresses of the monitoring target devices 11 are duplicated, it is possible to uniquely identify which monitoring target device 11 outputs the traffic data in the traffic accumulation data 143.

このように、処理手段121が、複数のエージェントを備えて処理する方法は、他の監視対象機器11とアドレスが重複する監視対象機器11からトラフィックデータを受信する場合に好適である。また他の実施例として、他の監視対象機器11とアドレス重複の有無にかかわらず、処理手段121が、複数のエージェントを備えて処理する方法を適用しても良い。   As described above, the method in which the processing unit 121 includes a plurality of agents is suitable for receiving traffic data from the monitoring target device 11 having the same address as that of the other monitoring target device 11. As another embodiment, a method in which the processing unit 121 includes a plurality of agents for processing regardless of the presence or absence of address duplication with other monitored devices 11 may be applied.

処理手段121が、監視対象機器11宛にデータを送信する際、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nが、各監視対象ネットワーク10の監視対象機器11に入力する。例えば、後述する解析手段122によって、監視対象ネットワーク10になんらかの異常が生じた場合、処理手段121は、その監視対象ネットワーク10の管理者にアラーム情報を送信する。また、各監視対象ネットワーク10に属する端末21の要求に応じて、処理手段121は、当該端末21で閲覧可能なトラフィック解析データ144を提供する。さらに、適切なトラフィックデータを得るためのサンプリングレートの設定指示などのデータを、処理手段121は、監視対象ネットワーク10の監視対象機器11に送信する。   When the processing unit 121 transmits data to the monitoring target device 11, the first processing unit 121 a, the second processing unit 121 b,..., The nth processing unit 121 n is monitored by the monitoring target device 11 of each monitoring target network 10. To enter. For example, when an abnormality occurs in the monitoring target network 10 by the analysis unit 122 described later, the processing unit 121 transmits alarm information to the administrator of the monitoring target network 10. Further, in response to a request from a terminal 21 belonging to each monitored network 10, the processing unit 121 provides traffic analysis data 144 that can be viewed on the terminal 21. Further, the processing unit 121 transmits data such as a sampling rate setting instruction for obtaining appropriate traffic data to the monitoring target device 11 of the monitoring target network 10.

このような、処理手段121が、監視対象ネットワーク10の監視対象機器11にデータを送信する際、処理アドレスデータ142を読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信する。具体的には、第1の処理手段121aが第1の監視対象ネットワーク10aの第1の監視対象機器11aにデータを送信する場合、処理アドレスデータ142から、第1の監視対象ネットワーク10aに対応する下り処理アドレス“RD_1”を抽出する。第1の処理手段121aは、送受信手段100のアドレス“RD_1”に対応する送信手段、具体的には第1の送信手段102aにデータを入力する。第1の送信手段102aは、にデータが入力されると、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aにデータを送信する。   When such a processing unit 121 transmits data to the monitoring target device 11 of the monitoring target network 10, the processing address data 142 is read and the data is transmitted to an address corresponding to the monitoring target network. Specifically, when the first processing unit 121a transmits data to the first monitoring target device 11a of the first monitoring target network 10a, the processing address data 142 corresponds to the first monitoring target network 10a. The downstream processing address “RD_1” is extracted. The first processing unit 121a inputs data to the transmission unit corresponding to the address “RD_1” of the transmission / reception unit 100, specifically, the first transmission unit 102a. When data is input to the first transmission unit 102a, the first transmission unit 102a transmits the data to the first monitoring target network 10a via the first encryption network 15a.

解析手段122は、処理手段121によって収集されたトラフィックデータを、監視対象ネットワークごとに解析し、トラフィック解析データ144に記憶する。解析手段122は、トラフィック蓄積データ143から、監視対象ネットワーク10ごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データ144を、監視対象ネットワーク10の識別子に対応づけて記憶する。解析手段122は、トラフィック蓄積データ143から、第1の監視対象ネットワーク10aの識別子が対応づけられたトラフィックデータを抽出し、所定の手法で解析する。その結果得られるトラフィック解析データ144を、第1の監視対象ネットワーク10aの識別子と対応づけて、記憶装置140に記憶する。   The analysis unit 122 analyzes the traffic data collected by the processing unit 121 for each monitoring target network and stores the traffic data in the traffic analysis data 144. The analysis unit 122 extracts traffic data for each monitoring target network 10 from the traffic accumulation data 143, and stores the traffic analysis data 144 generated from the extracted traffic data in association with the identifier of the monitoring target network 10. The analysis unit 122 extracts the traffic data associated with the identifier of the first monitoring target network 10a from the traffic accumulation data 143, and analyzes it by a predetermined method. The traffic analysis data 144 obtained as a result is stored in the storage device 140 in association with the identifier of the first monitoring target network 10a.

解析手段122は、さまざまなタイプのトラフィック変動の分析を行うことで、新たなネットワーク設計の基礎データとして用いることを可能とする。また、解析手段122は、トラフィック異常時のデータの蓄積とパターンの解析によって、故障やハッキングのタイプに応じたトラフィックパターンを得ることも可能とする。このように出力されるトラフィック解析データ144は、たとえば、需要変動予測にも用いるなど、幅広い応用が期待できる。   The analysis unit 122 can be used as basic data for new network design by analyzing various types of traffic fluctuations. The analysis unit 122 can also obtain a traffic pattern according to the type of failure or hacking by accumulating data and analyzing the pattern when the traffic is abnormal. The traffic analysis data 144 output in this way can be expected to have a wide range of applications, for example, for use in demand fluctuation prediction.

解析提供手段123は、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データ145に基づいて、入力されたユーザの識別子に対応する監視対象ネットワーク10の識別子に対応づけられたトラフィック解析データ144を出力する。図8に示す例において、ユーザID“UID_001“のユーザから参照要求があると、解析提供手段123は、第1の監視対象ネットワーク10aに関するトラフィック解析データ144のみを提供する。ユーザID“UID_003“のユーザから参照要求があると、解析提供手段123は、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bに関するトラフィック解析データ144を提供する。   When an analysis data reference request is input together with a user identifier, the analysis providing unit 123 is configured to receive traffic associated with the identifier of the monitoring target network 10 corresponding to the input user identifier based on the access right data 145. The analysis data 144 is output. In the example shown in FIG. 8, when there is a reference request from the user with the user ID “UID — 001”, the analysis providing unit 123 provides only the traffic analysis data 144 related to the first monitored network 10a. When there is a reference request from the user with the user ID “UID_003”, the analysis providing unit 123 provides the traffic analysis data 144 regarding the first monitored network 10a and the second monitored network 10b.

このような本発明の実施の形態に係る監視システム3は、ネットワーク上のサーバ上にある監視装置1において、複数の監視対象ネットワーク10内のそれぞれ複数の監視対象機器11のトラフィック情報を収集する。さらに監視システム3は、監視対象ネットワーク10の単位で、所定の監視対象ネットワーク10に属する複数の監視対象機器11のトラフィックを収集して解析することで、この監視対象ネットワーク10を監視する。   Such a monitoring system 3 according to the embodiment of the present invention collects traffic information of a plurality of monitoring target devices 11 in each of the plurality of monitoring target networks 10 in the monitoring device 1 on the server on the network. Further, the monitoring system 3 monitors the monitoring target network 10 by collecting and analyzing the traffic of the plurality of monitoring target devices 11 belonging to the predetermined monitoring target network 10 in units of the monitoring target network 10.

このような本発明の実施の形態に係る監視システム3は、複数の監視対象ネットワーク10を、ひとつの監視装置1が監視することができる。従来のように、個々の監視対象ネットワーク10にひとつの監視装置が必要であった場合に比べ、監視対象ネットワーク10のユーザにとっては、従来に比べ導入コストを軽減することができる。また、本発明の実施の形態に係る監視システム3は、従来の監視装置のためのハードウェアおよびソフトウェアを容易する必要もなく維持管理コストも、軽減することができる。   In such a monitoring system 3 according to the embodiment of the present invention, a single monitoring device 1 can monitor a plurality of monitoring target networks 10. Compared to the case where one monitoring device is required for each individual monitoring target network 10 as in the prior art, the introduction cost can be reduced for the user of the monitoring target network 10 compared to the conventional case. In addition, the monitoring system 3 according to the embodiment of the present invention does not require easy hardware and software for a conventional monitoring device, and can reduce maintenance costs.

また監視対象ネットワーク10の監視対象機器11は、ユーザの通信内容にかかわるような実データを含まずにヘッダ情報およびヘッダの解析情報のみを送付する。これにより、監視対象ネットワーク10および監視装置1間のセキュリティを、相対的に安価なセキュリティシステムで実現することで、監視対象ネットワーク10外の監視装置1にトラフィックデータを送信することができる。これにより、ユーザが必要とするセキュリティを確保しつつ、事業者は安価にサービスを提供することができる。   Further, the monitoring target device 11 of the monitoring target network 10 sends only header information and header analysis information without including actual data related to the user's communication contents. Thereby, traffic data can be transmitted to the monitoring apparatus 1 outside the monitoring target network 10 by realizing the security between the monitoring target network 10 and the monitoring apparatus 1 with a relatively inexpensive security system. Accordingly, the business operator can provide the service at a low cost while ensuring the security required by the user.

また、監視装置1を提供する事業者にとっては、複数の監視対象ネットワーク10を1箇所で集中して監視することができるので、その運用コストおよび保守コストが大幅に軽減することが期待できる。また、複数のネットワークからトラフィックデータを集約して収集することにより、監視装置1は、膨大な通信トラフィックデータを容易に解析することができる。これにより、新たなネットワーク設計の基礎データに資することが可能となる。   In addition, since the provider who provides the monitoring apparatus 1 can monitor a plurality of monitoring target networks 10 in a centralized manner, it can be expected that the operation cost and the maintenance cost are greatly reduced. Further, by collecting and collecting traffic data from a plurality of networks, the monitoring device 1 can easily analyze a large amount of communication traffic data. Thereby, it becomes possible to contribute to basic data for new network design.

このように本発明の実施の形態に係る監視システム3は、監視対象ネットワーク10のユーザおよびサービス提供者双方にとって、従来技術では得られない、大きな効果が期待できる。   As described above, the monitoring system 3 according to the embodiment of the present invention can be expected to have a great effect that cannot be obtained by the conventional technology for both the user of the monitoring target network 10 and the service provider.

(変形例)
本発明の実施の形態においては、各監視対象ネットワーク10の監視対象機器11のアドレスがプライベートアドレス空間で、監視対象ネットワーク10を越えて重複する可能性がある場合を説明した。一方変形例においては、監視対象機器11のアドレスが重複しない場合を説明する。
(Modification)
In the embodiment of the present invention, the case has been described in which the address of the monitoring target device 11 of each monitoring target network 10 may be duplicated across the monitoring target network 10 in the private address space. On the other hand, in the modified example, a case where the addresses of the monitoring target devices 11 do not overlap will be described.

本発明の変形例において、図1に示す例のアドレス“NWD_11”、“NWD_12”、“NWD_13”、“NWD_21”、“NWD_22”および“NWD_23”がすべて異なる場合を想定する。また、本発明の変形例において、図4に示すような、送受信手段100が複数の仮想化手段を備える必要もなく、処理手段121も複数のエージェントを備える必要がない。変形例において、監視装置1に一つのアドレスが付与されていれば良い。   In the modification of the present invention, it is assumed that the addresses “NWD — 11”, “NWD — 12”, “NWD — 13”, “NWD — 21”, “NWD — 22”, and “NWD — 23” in the example shown in FIG. Further, in the modification of the present invention, as shown in FIG. 4, the transmission / reception unit 100 does not need to include a plurality of virtualization units, and the processing unit 121 does not need to include a plurality of agents. In the modification, it is sufficient that one address is given to the monitoring device 1.

監視対象ネットワーク10の監視対象機器11は、監視装置1のアドレスを宛先アドレスに設定して、トラフィックデータを送信する。監視装置1の処理手段121は、監視対象機器11からトラフィックデータを受信すると、監視対象データ141を読み出して、送信元の監視対象機器11の識別子に対応する監視対象ネットワーク10の識別子を抽出する。さらに処理手段121は、当該監視対象ネットワーク10の識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。   The monitoring target device 11 of the monitoring target network 10 sets the address of the monitoring device 1 as a destination address and transmits traffic data. When receiving the traffic data from the monitoring target device 11, the processing unit 121 of the monitoring device 1 reads the monitoring target data 141 and extracts the identifier of the monitoring target network 10 corresponding to the identifier of the transmission source monitoring target device 11. Further, the processing unit 121 stores the identifier of the monitoring target network 10, the address of the monitoring target device, and the received traffic data in association with each other in the traffic accumulation data 143.

また監視装置1が監視対象機器11にデータを送信する際、送受信手段100を介して、その監視対象機器11のアドレス宛にデータを送信すればよい。   Further, when the monitoring apparatus 1 transmits data to the monitoring target device 11, the data may be transmitted to the address of the monitoring target device 11 via the transmission / reception unit 100.

ほかの実施例として、監視装置1と監視対象ネットワーク10とがVPNで接続されている場合、処理手段121は、そのデータが送信されたVPNの識別子によって、送信元の監視対象ネットワーク10を特定しても良い。具体的には、処理手段121は、第1の暗号化ネットワーク15aを介してトラフィックデータを受信すると、その送信元の監視対象機器11は、第1の監視対象ネットワーク10aに属すると把握することができる。また、監視装置1が監視対象機器11にデータを送信する際、送受信手段100を介して、その監視対象機器11のアドレス宛にデータを送信すれば良い。   As another embodiment, when the monitoring apparatus 1 and the monitoring target network 10 are connected by VPN, the processing unit 121 identifies the monitoring target network 10 of the transmission source by the identifier of the VPN to which the data is transmitted. May be. Specifically, when the processing unit 121 receives traffic data via the first encrypted network 15a, the processing unit 121 can recognize that the transmission-target monitored device 11 belongs to the first monitored network 10a. it can. Further, when the monitoring device 1 transmits data to the monitoring target device 11, the data may be transmitted to the address of the monitoring target device 11 via the transmission / reception unit 100.

(その他の実施の形態)
上記のように、本発明の実施の形態によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
(Other embodiments)
As described above, the embodiments of the present invention have been described. However, it should not be understood that the descriptions and drawings constituting a part of this disclosure limit the present invention. From this disclosure, various alternative embodiments, examples, and operational techniques will be apparent to those skilled in the art.

例えば、本発明の実施の形態に記載したサービス制御装置は、図3に示すように一つのハードウェア上に構成されても良いし、その機能や処理数に応じて複数のハードウェア上に構成されても良い。   For example, the service control apparatus described in the embodiment of the present invention may be configured on a single piece of hardware as shown in FIG. 3, or may be configured on a plurality of pieces of hardware according to the functions and the number of processes. May be.

本発明はここでは記載していない様々な実施の形態などを含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。   It goes without saying that the present invention includes various embodiments not described herein. Therefore, the technical scope of the present invention is defined only by the invention specifying matters according to the scope of claims reasonable from the above description.

1 監視装置
2 監視制御装置
3 監視システム
10 監視対象ネットワーク
11 監視対象機器
14 中継装置
15 暗号化ネットワーク
21 端末
100 送受信手段
101 受信手段
102 送信手段
120 中央処理制御装置
121 処理手段
122 解析手段
123 解析提供手段
140 記憶装置
141 監視対象データ
142 処理アドレスデータ
143 トラフィック蓄積データ
144 トラフィック解析データ
145 アクセス権データ
DESCRIPTION OF SYMBOLS 1 Monitoring apparatus 2 Monitoring control apparatus 3 Monitoring system 10 Monitoring target network 11 Monitoring target apparatus 14 Relay apparatus 15 Encryption network 21 Terminal 100 Transmission / reception means 101 Reception means 102 Transmission means 120 Central processing control apparatus 121 Processing means 122 Analysis means 123 Analysis provision Means 140 Storage device 141 Monitored data 142 Processing address data 143 Traffic accumulation data 144 Traffic analysis data 145 Access right data

Claims (10)

複数の監視対象ネットワークにそれぞれ属する複数の監視対象機器のトラフィックデータを処理する監視装置に接続する監視制御装置であって、
前記監視装置は、
ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置と、
前記複数の監視対象ネットワークにそれぞれ属する前記複数の監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
ユーザの識別子とともに解析データの参照要求が入力されると、前記アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段とを備え、
前記監視制御装置は、新たに追加される監視対象ネットワークのデータまたは監視対象機器のデータを、前記監視装置に入力することを特徴とする監視制御装置。
A monitor control device connected to a monitoring device for processing traffic data for a plurality of the plurality respectively belonging to the monitored network monitoring target device,
The monitoring device
A storage device that stores access right data in which a user identifier is associated with an identifier of a monitored network to which the user can refer to traffic analysis data;
Receives traffic data from said plurality of monitored devices belonging to each of the plurality of the monitored network, and processing means for storing the traffic stored data and the identifier of the monitored network, and a traffic data received in association with,
Analyzing means for extracting the traffic data for each monitored network from the traffic accumulation data, and storing traffic analysis data generated from the extracted traffic data in association with an identifier of the monitored network;
When the analysis data reference request is inputted together with the user identifier, the analysis provision is made to output the traffic analysis data associated with the identifier of the monitored network corresponding to the inputted user identifier based on the access right data. Means and
The monitoring and control apparatus inputs the newly added monitoring target network data or monitoring target device data to the monitoring apparatus.
前記監視装置の前記処理手段は、監視対象ネットワークごとにエージェントを備え、
各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与される
ことを特徴とする請求項1に記載の監視制御装置。
The processing means of the monitoring device includes an agent for each monitored network,
The monitoring control apparatus according to claim 1, wherein each agent is assigned an address that is a destination of traffic data transmitted from a corresponding monitoring target network.
前記監視装置の前記記憶装置は、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを記憶し、
前記監視装置の前記処理手段は、前記監視対象ネットワークの前記監視対象機器にデータを送信する際、前記処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信する
ことを特徴とする請求項1または2に記載の監視制御装置。
The storage device of the monitoring device stores processing address data in which an identifier of a monitoring target network is associated with an address used when transmitting to the monitoring target network,
The processing means of the monitoring device reads the processing address data and transmits the data to an address corresponding to the monitoring target network when transmitting data to the monitoring target device of the monitoring target network. The monitoring control device according to claim 1 or 2.
前記監視装置の前記記憶装置はさらに、前記監視対象ネットワークの識別子と、当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを記憶し、
前記監視装置の前記処理手段は、前記監視対象機器からトラフィックデータを受信すると、前記監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する
ことを特徴とする請求項1ないし3のいずれか1項に記載の監視制御装置。
The storage device of the monitoring device further stores monitoring target data in which the identifier of the monitoring target network is associated with the identifier of the monitoring target device belonging to the monitoring target network,
When receiving the traffic data from the monitoring target device, the processing unit of the monitoring device reads the monitoring target data, extracts an identifier of the monitoring target network corresponding to the identifier of the transmission source monitoring target device, and The monitoring control device according to any one of claims 1 to 3, wherein the identifier of the target network, the address of the monitoring target device, and the received traffic data are associated with each other and stored in the traffic accumulation data.
前記監視対象機器のアドレスは、プライベートアドレス空間のアドレスである
ことを特徴とする請求項4に記載の監視制御装置。
The monitoring control apparatus according to claim 4, wherein the address of the monitoring target device is an address in a private address space.
複数の監視対象ネットワークにそれぞれ属する複数の監視対象機器のトラフィックデータを処理する監視装置であって、
前記監視対象ネットワークと前記監視装置とが、通信路を介して接続する場合、
ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークに接続する通信路の識別子とを対応づけたアクセス権データを記憶する記憶装置と、
前記複数の監視対象ネットワークにそれぞれ属する前記複数の監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークに接続する通信路の識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークに接続する通信路の識別子に対応づけて記憶する解析手段と、
ユーザの識別子とともに解析データの参照要求が入力されると、前記アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークに接続する通信路の識別子に対応づけられたトラフィック解析データを出力する解析提供手段
とを備えることを特徴とする監視装置。
A monitoring device for processing traffic data of a plurality of monitored devices belonging to each of the plurality of monitored network,
When the monitored network and the monitoring device are connected via a communication path,
A storage device for storing access right data in which a user identifier is associated with an identifier of a communication path connected to a monitoring target network to which the user can refer to traffic analysis data;
Receiving said traffic data from a plurality of said plurality of monitored devices belonging respectively to the monitored network, and stores the traffic data stored in association with the identifier of the channel to be connected to the monitored network, and a traffic data received Processing means;
An analysis for extracting the traffic data for each monitored network from the traffic accumulation data and storing the traffic analysis data generated from the extracted traffic data in association with an identifier of a communication path connected to the monitored network Means,
When the analysis data reference request is input together with the user identifier, the traffic analysis data associated with the identifier of the communication path connected to the monitored network corresponding to the input user identifier based on the access right data An analysis providing means for outputting the monitoring device.
複数の監視対象ネットワークにそれぞれ属する複数の監視対象機器のトラフィックデータを処理する監視装置と、前記監視装置に接続する監視制御装置を備える監視システムであって、
前記監視装置は、
ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置と、
前記複数の監視対象ネットワークにそれぞれ属する前記複数の監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
ユーザの識別子とともに解析データの参照要求が入力されると、前記アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段とを備え、
前記監視制御装置は、新たに追加される監視対象ネットワークのデータまたは監視対象機器のデータを、前記監視装置に入力することを特徴とする監視システム。
A monitoring system comprising a monitoring device, a monitoring control device connected to the monitoring device for processing traffic data of a plurality of monitored devices belonging to each of the plurality of monitored network,
The monitoring device
A storage device that stores access right data in which a user identifier is associated with an identifier of a monitored network to which the user can refer to traffic analysis data;
Receives traffic data from said plurality of monitored devices belonging to each of the plurality of the monitored network, and processing means for storing the traffic stored data and the identifier of the monitored network, and a traffic data received in association with,
Analyzing means for extracting the traffic data for each monitored network from the traffic accumulation data, and storing traffic analysis data generated from the extracted traffic data in association with an identifier of the monitored network;
When the analysis data reference request is inputted together with the user identifier, the analysis provision is made to output the traffic analysis data associated with the identifier of the monitored network corresponding to the inputted user identifier based on the access right data. Means and
The monitoring control apparatus inputs the newly added monitoring target network data or monitoring target device data to the monitoring apparatus.
複数の監視対象ネットワークにそれぞれ属する複数の監視対象機器のトラフィックデータを処理する監視装置であって、
前記複数の監視対象ネットワークにそれぞれ属する前記複数の監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
解析データの参照要求が入力されると、前記参照要求の入力元のユーザがアクセス権を有するトラフィック解析データを出力する解析提供手段
とを備えることを特徴とする監視装置。
A monitoring device for processing traffic data of a plurality of monitored devices belonging to each of the plurality of monitored network,
Receives traffic data from said plurality of monitored devices belonging to each of the plurality of the monitored network, and processing means for storing the traffic stored data and the identifier of the monitored network, and a traffic data received in association with,
Analyzing means for extracting the traffic data for each monitored network from the traffic accumulation data, and storing traffic analysis data generated from the extracted traffic data in association with an identifier of the monitored network;
A monitoring apparatus comprising: an analysis providing unit that outputs, when an analysis data reference request is inputted, a traffic analysis data to which a user who has input the reference request has an access right.
前記監視対象機器から受信するトラフィックデータは、前記監視対象機器において所定のサンプリングレートでサンプリングされたパケットのデータである
ことを特徴とする請求項8に記載の監視装置。
9. The monitoring apparatus according to claim 8, wherein the traffic data received from the monitoring target device is packet data sampled at a predetermined sampling rate in the monitoring target device.
複数の監視対象ネットワークにそれぞれ属する複数の監視対象機器のトラフィックデータを処理する監視プログラムであって、
コンピュータを、
前記複数の監視対象ネットワークにそれぞれ属する前記複数の監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
解析データの参照要求が入力されると、前記参照要求の入力元のユーザがアクセス権を有するトラフィック解析データを出力する解析提供手段
として機能させることを特徴とする監視プログラム。
A monitoring program for processing traffic data of a plurality of monitored devices belonging to each of the plurality of monitored network,
Computer
Receives traffic data from said plurality of monitored devices belonging to each of the plurality of the monitored network, and processing means for storing the traffic stored data and the identifier of the monitored network, and a traffic data received in association with,
Analyzing means for extracting the traffic data for each monitored network from the traffic accumulation data, and storing traffic analysis data generated from the extracted traffic data in association with an identifier of the monitored network;
When the analysis data reference request is inputted, the monitoring request program functions as an analysis providing means for outputting traffic analysis data to which a user who has inputted the reference request has access right.
JP2016118122A 2016-06-14 2016-06-14 Monitoring control device, monitoring device, monitoring system, and monitoring program Active JP6151827B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016118122A JP6151827B2 (en) 2016-06-14 2016-06-14 Monitoring control device, monitoring device, monitoring system, and monitoring program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016118122A JP6151827B2 (en) 2016-06-14 2016-06-14 Monitoring control device, monitoring device, monitoring system, and monitoring program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2012210622A Division JP5955720B2 (en) 2012-09-25 2012-09-25 Monitoring device, monitoring method and monitoring program

Publications (2)

Publication Number Publication Date
JP2016174420A JP2016174420A (en) 2016-09-29
JP6151827B2 true JP6151827B2 (en) 2017-06-21

Family

ID=57009309

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016118122A Active JP6151827B2 (en) 2016-06-14 2016-06-14 Monitoring control device, monitoring device, monitoring system, and monitoring program

Country Status (1)

Country Link
JP (1) JP6151827B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10221059B2 (en) 2004-03-31 2019-03-05 Ch&I Technologies, Inc. Refillable material transfer system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3873034B1 (en) * 2020-02-28 2024-08-28 Siemens Aktiengesellschaft Method and system for detecting data traffic in a communication network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07273764A (en) * 1994-04-01 1995-10-20 Fujitsu Ltd Network management system
JP3484084B2 (en) * 1998-11-10 2004-01-06 株式会社東芝 Monitoring control device and information communication device monitoring device
JP2005073093A (en) * 2003-08-27 2005-03-17 Fujitsu Ltd Integrated monitoring system and integrated monitoring method
JP2006050433A (en) * 2004-08-06 2006-02-16 Nippon Telegr & Teleph Corp <Ntt> Traffic monitoring device, communication network traffic monitoring system, and monitoring method
JP2008072496A (en) * 2006-09-14 2008-03-27 Oki Electric Ind Co Ltd Network monitoring system, communication quality measuring system and communication quality measuring method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10221059B2 (en) 2004-03-31 2019-03-05 Ch&I Technologies, Inc. Refillable material transfer system

Also Published As

Publication number Publication date
JP2016174420A (en) 2016-09-29

Similar Documents

Publication Publication Date Title
US10397260B2 (en) Network system
US10230599B2 (en) System and method for network traffic profiling and visualization
US9860154B2 (en) Streaming method and system for processing network metadata
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
US7944844B2 (en) Methods and apparatus to monitor network layer functionalities
CN105634998B (en) Method and system for unified monitoring of physical machine and virtual machine in multi-tenant environment
Hyun et al. Real‐time and fine‐grained network monitoring using in‐band network telemetry
CA2897664A1 (en) An improved streaming method and system for processing network metadata
WO2020041872A1 (en) Systems, methods and computer program products for scalable, low-latency processing of streaming data
JP2016184870A (en) Network information output system and network information output method
JP5882961B2 (en) Controller, computer system, network configuration changing method, and network configuration changing program
JP6151827B2 (en) Monitoring control device, monitoring device, monitoring system, and monitoring program
JP5955720B2 (en) Monitoring device, monitoring method and monitoring program
Chi et al. An AMI threat detection mechanism based on SDN networks
CN104412545A (en) Communication method, information processing apparatus, communication system, program, node, and communication terminal
KR20180058592A (en) Software Defined Network Controller
KR20180058593A (en) Software Defined Network Whitebox Switch
KR102318686B1 (en) Improved method for sequrity employing network
JP2008219383A (en) Network monitoring system, method and program
JP4864927B2 (en) Network failure cause analysis method
JP2014183480A (en) Network supervision system and network supervision method
JP2008135871A (en) Network monitoring system, network monitoring method, and network monitoring program
CN116582424B (en) Switch configuration method and device, storage medium and electronic equipment
JP2008060672A (en) Passed packet monitoring apparatus and method
JP2005151136A (en) Network information providing system for virtual closed network and network information server

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170509

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170525

R150 Certificate of patent or registration of utility model

Ref document number: 6151827

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250