JP2008193628A - Traffic information distribution and collection method - Google Patents
Traffic information distribution and collection method Download PDFInfo
- Publication number
- JP2008193628A JP2008193628A JP2007028730A JP2007028730A JP2008193628A JP 2008193628 A JP2008193628 A JP 2008193628A JP 2007028730 A JP2007028730 A JP 2007028730A JP 2007028730 A JP2007028730 A JP 2007028730A JP 2008193628 A JP2008193628 A JP 2008193628A
- Authority
- JP
- Japan
- Prior art keywords
- traffic information
- class
- traffic
- packet
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、インターネットに代表されるネットワーク上を流れるトラフィックをモニタする際に、大容量化したネットワーク上のトラフィックを効率的にモニタする手法に関し、特に、トラフィック情報の配信及び収集方法に関する。 The present invention relates to a method for efficiently monitoring traffic on a large-capacity network when monitoring traffic flowing on a network represented by the Internet, and more particularly to a method for distributing and collecting traffic information.
大規模、大容量化したネットワークでは、膨大なトラフィックを全てモニタすることができない。そのため、パケットをサンプリングすることにより、全体のトラフィック量を推定する手法が採用されている。この場合、トラフィック量の大容量化に応じて、サンプリングレートを小さくする必要性があるが、トラフィック量が小さい異常トラフィックについては、検出不可能となることも考えられ、効率的なトラフィック・モニタ手法が必要とされている。 In a large-scale and large-capacity network, it is not possible to monitor all the enormous traffic. Therefore, a method of estimating the total traffic amount by sampling the packet is adopted. In this case, it is necessary to reduce the sampling rate as the traffic volume increases. However, it is possible that abnormal traffic with a small traffic volume may not be detected, and an efficient traffic monitoring method. Is needed.
従来のフロー統計配信プロトコル(sFlow(非特許文献2参照),NetFlow(非特許文献1参照))は、NW機器(Network機器)のIF(Interface)上で受信する全てのパケットを対象にサンプリングが行われている。また、フロー統計配信プロトコルのひとつであるIPFIXプロトコル(非特許文献3参照)では、フィルタ条件とサンプリングを組み合わせることでより柔軟なトラフィック測定を可能としているが、情報の配信方法については、一律同じ方式が適用される。このため、あるアプリケーションの分析により、より詳細なトラフィック情報の配信が必要な場合には、そのほかのトラフィックについてもより詳細なトラフィック情報の配信が必要となり、全体の情報転送量が大きくなるという問題がある。 The conventional flow statistics distribution protocols (sFlow (see Non-Patent Document 2), NetFlow (see Non-Patent Document 1)) sample all packets received on the IF (Interface) of an NW device (Network device). Has been done. The IPFIX protocol (see Non-Patent Document 3), which is one of the flow statistics distribution protocols, enables more flexible traffic measurement by combining filter conditions and sampling. However, the information distribution method is uniformly the same method. Applies. For this reason, if it is necessary to distribute more detailed traffic information according to the analysis of an application, more detailed traffic information must be distributed for other traffic, which increases the total information transfer amount. is there.
このような状況の中で、より柔軟にトラフィックを抽出する手法として、一次的に異常と検知されたトラフィックを抽出して、大容量のトラフィックから埋もれないようにする機能や、フロー条件をもとにより柔軟にフロー統計を実施する機能が考案されている(特許文献1参照)。 Under such circumstances, as a method of extracting traffic more flexibly, it is possible to extract traffic that is temporarily detected as abnormal and prevent it from being buried in a large volume of traffic, based on flow conditions. Has been devised to flexibly implement flow statistics (see Patent Document 1).
しかし、サンプリングの前に特定のパケットをフィルタリングすることやサンプリング前にパケットを分類する案などは考案されているが、分類されたクラス単位にトラフィックの配信方法まで設定可能とするような機能は、現状存在しない。また、クラス化された際に、特定のクラスにトラフィックが集中することで、他のクラスのトラフィック情報が配信されなくなるという問題も解決されていない。 However, although a plan to filter a specific packet before sampling or a method of classifying a packet before sampling has been devised, a function that allows setting a traffic distribution method for each classified class, Currently does not exist. In addition, the problem that traffic information of other classes is not distributed due to the concentration of traffic in a specific class when classified is not solved.
DDoS攻撃トラフィックなどの異常トラフィックを検知する目的から、ネットワーク上に流れているトラフィックをモニタするフロー統計配信プロトコル(sFlow,netFlow,IPFIX)に注目が集まっている。しかし、ネットワーク上に流れるトラフィック量は、年々増加傾向にあり、トラフィックをモニタする手法もサンプリング間隔を上げるだけでは、複雑化するトラフィックの傾向を把握することが困難となっている。 For the purpose of detecting abnormal traffic such as DDoS attack traffic, attention has been focused on flow statistics distribution protocols (sFlow, netFlow, IPFIX) for monitoring traffic flowing on the network. However, the amount of traffic flowing on the network is increasing year by year, and it is difficult to grasp the trend of complicated traffic only by increasing the sampling interval in the traffic monitoring method.
近年、NW機器が実装するフィルタ機能(アクセスリスト機能)を用いることで、トラフィックを選択し、サンプリングを行うことによって、大容量のトラフィックの中から抽出したいパケットのみに絞り込み、サンプリングレートを大きくすることによって、特定パケットに注力して監視する機能が提案されている(特許文献1、非特許文献3)。この機能は、フィルタリングにより分類したクラス単位にサンプリングレートを設定することが示されているが、ボットネットなどに代表される不正トラフィックは、より巧妙となっており、サンプリングレートを大きくして、ボリュームベースで異常を検知することは難しい状況となっている。
In recent years, by using a filter function (access list function) implemented by NW devices, by selecting traffic and performing sampling, it is possible to narrow down only to packets that are desired to be extracted from a large volume of traffic and increase the sampling rate. Has proposed a function of monitoring by focusing on a specific packet (
近年の不正トラフィックについては、パケットのアプリケーション(ペイロード)部分まで分析をしないと異常を検知できないといった問題があり、年々トラフィックが増加していく中で、トラフィック抽出手法のスケーラビリティを維持しつつ、重要なトラフィックに対してアプリケーション部分の情報をどう抽出していくのかが課題となっている。 In recent years, there is a problem that illegal traffic cannot be detected unless analysis is performed up to the application (payload) part of the packet. As traffic increases year by year, it is important to maintain the scalability of the traffic extraction method. The issue is how to extract application information for traffic.
現在、パケットのフィルタリング処理、サンプリング処理、パケットのコピー、フロー集約情報のカウンタ処理等は、ハードウェア化されているため、より高速化されている。しかし、トラフィック情報配信プロトコルのパケット作成処理などは、NW機器(ルータ、スイッチ等)のメインCPUのソフトウェア上で実行される場合が多く、配信処理のボトルネックとなっている場合が多い。図1は、配信するパケット情報の切り出しサイズを256byteとした場合(図1の△参照)と64byteとした場合(図1の◆参照)のルータの負荷状況の様子である。横軸は配信トラフィック情報(Kpps)であり、縦軸はCPU使用率%である。配信量を小さくした方が、よりルータの負担が少ない結果となっている。 At present, packet filtering processing, sampling processing, packet copying, flow aggregation information counter processing, and the like are implemented in hardware, and are therefore faster. However, the packet creation process of the traffic information distribution protocol is often executed on the software of the main CPU of the NW device (router, switch, etc.) and often becomes a bottleneck of the distribution process. FIG. 1 shows the load status of the router when the cut-out size of the packet information to be distributed is 256 bytes (see Δ in FIG. 1) and 64 bytes (see ◆ in FIG. 1). The horizontal axis is distribution traffic information (Kpps), and the vertical axis is CPU usage rate%. The smaller the amount of distribution, the less the burden on the router.
従来の技術においては、あるパケットのペイロード部分の分析のために配信する切り取りパケット長を長くした場合、分析においては、その情報が不要なパケットも同じパケット長で配信されることになり非常に非効率である。このため、クラスに応じて抽出するパケット長や配信方法を変更可能とすることで、より効率的なトラフィックの配信が可能となる。 In the conventional technique, when the cut packet length to be distributed for analysis of the payload portion of a packet is increased, in the analysis, packets that do not require that information are also distributed with the same packet length. Efficiency. For this reason, by making it possible to change the packet length and the distribution method to be extracted according to the class, more efficient traffic distribution is possible.
また、通常は、トラフィック量が小さいため、当該クラスのサンプリングを大きくした場合においても、急激にトラフィック量が増える場合などがある。その場合には、NW機器のCPUが負荷状態となり、他のクラスのトラフィックを配信できなくなることやNW機器のそのほかの機能へも影響がでるといった問題がある。本機能では、クラス毎に配信するトラフィックデータの最大限度量を規定しておくことで、これらの問題の発生を回避する。 In addition, since the traffic volume is usually small, there are cases where the traffic volume suddenly increases even when the sampling of the class is increased. In that case, there is a problem that the CPU of the NW device becomes in a load state and traffic of other classes cannot be distributed, and other functions of the NW device are affected. This function avoids these problems by defining the maximum amount of traffic data to be distributed for each class.
また、各アプリケーションによって分析に有効なパケットサイズが変わってくるため(図2にアプリケーション毎に有効なパケットサイズの一例を示す。)、クラス単位に配信方法が変更できることは有益である。 In addition, since the packet size effective for analysis varies depending on each application (an example of the effective packet size for each application is shown in FIG. 2), it is beneficial that the distribution method can be changed for each class.
本明細書において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。 Of the inventions disclosed in this specification, the outline of typical ones will be briefly described as follows.
第1の発明は、トラフィック情報をトラフィック情報収集機器に配信するトラフィック情報配信機器におけるトラフィック情報配信方法であって、前記トラフィック情報配信機器は、分類手段とクラス別処理手段とトラフィック情報配信データ作成配信手段とを有し、前記分類手段が、受信したパケットを各クラスに分類し、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたトラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法を選択し、前記トラフィック情報配信データ作成配信手段が、前記クラス別処理手段で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、該トラフィック情報配信パケットを前記トラフィック情報収集機器に配信するトラフィック情報配信方法である。 A first invention is a traffic information distribution method in a traffic information distribution device that distributes traffic information to a traffic information collection device, wherein the traffic information distribution device includes classification means, class-specific processing means, traffic information distribution data creation and distribution And the classification means classifies the received packet into each class, and the class-specific processing means performs traffic determined for each class with respect to the packet classified into each class by the classification means. Based on the information distribution method, either a packet extraction method for extracting a part of the packet or a flow aggregation method for aggregating the flow is selected, and the traffic information distribution data creation / distribution means performs the class-specific processing Trough composed of each traffic information by the delivery method selected by the means Tsu create a click information distribution packet is traffic information distribution method for distributing the traffic information distribution packet to the traffic information collection device.
第2の発明は、第1の発明のトラフィック情報配信方法であって、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められた配信限度量に基づいて、限度量が超過している場合には、当該トラフィック情報の配信を停止し、限度量を下回った際に、当該トラフィック情報の配信を開始するトラフィック情報配信方法である。 2nd invention is the traffic information delivery method of 1st invention, Comprising: The delivery limit amount set to each class with respect to the packet classified into each class by the said classification | category process means by the said classification | category means If the limit amount is exceeded, the traffic information distribution method stops distribution of the traffic information and starts distribution of the traffic information when the limit amount is exceeded.
第3の発明は、第1又は第2のトラフィック情報配信方法であって、前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたサンプリングレート及び/又はサンプリングアルゴリズムに基づいてパケットサンプリングを行うトラフィック情報配信方法である。 3rd invention is the 1st or 2nd traffic information delivery method, Comprising: The sampling rate defined in each class with respect to the packet classified into each class by the said classifying means by the said classifying means And / or a traffic information distribution method for performing packet sampling based on a sampling algorithm.
第4の発明は、第1〜第3の発明のトラフィック情報配信方法であって、前記トラフィック情報配信機器はフィルタ条件設定テーブルを有し、前記フィルタ条件設定テーブルは、パケットのヘッダに関わる情報である宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength、および、NW機器が当該パケットをルーティングするための特性情報である受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Communityのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものであり、前記分類手段が、前記フィルタ条件設定テーブルに基づいて、受信したパケットを各クラスに分類するトラフィック情報配信方法である。 4th invention is the traffic information delivery method of 1st-3rd invention, Comprising: The said traffic information delivery apparatus has a filter condition setting table, The said filter condition setting table is the information regarding the header of a packet. A destination address, source address, protocol, destination port number, source port number, TCP flag, TOS, destination MAC address, source MAC address, label, IP version, packet length, and NW device route the packet Filter condition identifier and class identifier corresponding to one or more of reception IF information, transmission destination IF information, Next-Hop address, BGP Next-Hop address, Peering AS number, Origin AS number, and BGP Community, which are characteristic information for But In the traffic information distribution method, the classification unit classifies the received packet into each class based on the filter condition setting table.
第5の発明は、第4の発明のトラフィック情報配信方法であって、前記トラフィック情報配信機器はトラフィック測定情報テーブルを有し、前記トラフィック測定情報テーブルは、前記クラス識別子に対応して、トラフィック配信方法、サンプリングレート、サンプリングアルゴリズム、配信量の限度量の1以上が設定されたものであり、前記クラス別処理手段が、前記トラフィック測定情報テーブルに基づいて、クラス別の処理を行うトラフィック情報配信方法である。 5th invention is the traffic information delivery method of 4th invention, Comprising: The said traffic information delivery apparatus has a traffic measurement information table, and the said traffic measurement information table respond | corresponds to the said class identifier, traffic delivery A traffic information distribution method in which one or more of a method, a sampling rate, a sampling algorithm, and a distribution amount limit are set, and the processing unit by class performs processing by class based on the traffic measurement information table It is.
第6の発明は、第5の発明のトラフィック情報配信方法であって、前記トラフィック情報配信データ作成配信手段が、前記トラフィック情報配信パケットの各トラフィック情報に、前記フィルタ条件識別子及び/又は前記クラス識別子を付加するトラフィック情報配信方法である。 6th invention is the traffic information delivery method of 5th invention, Comprising: The said traffic information delivery data preparation delivery means adds the said filter condition identifier and / or the said class identifier to each traffic information of the said traffic information delivery packet. Is a traffic information distribution method to which is added.
第7の発明は、第6の発明のトラフィック情報配信方法によってトラフィック情報の配信を行う前記トラフィック情報配信機器から、トラフィック情報を収集するトラフィック情報収集機器におけるトラフィック情報収集方法であって、前記トラフィック情報収集機器が、前記トラフィック情報配信機器から収集した各トラフィック情報に付加されたクラス識別子及び/又はフィルタ条件識別子をもとに、トラフィック分析装置群の中から適切なトラフィック分析装置に対して、トラフィック情報を振り分けるトラフィック情報収集方法である。 A seventh invention is a traffic information collecting method in a traffic information collecting device that collects traffic information from the traffic information distributing device that distributes traffic information by the traffic information distributing method of the sixth invention, wherein the traffic information Based on the class identifier and / or filter condition identifier added to each traffic information collected by the traffic information distribution device, the collection device sends traffic information to an appropriate traffic analysis device from the group of traffic analysis devices. Is a traffic information collection method.
本発明により、クラスに応じて抽出するパケット長や配信方法を変更可能とすることで、より効率的なトラフィックの配信が可能となる。また、クラス毎に配信するトラフィックデータの最大限度量を規定しておくことで、NW機器のCPUが負荷状態となり、他のクラスのトラフィックを配信できなくなることやNW機器のそのほかの機能へも影響がでるといった問題の発生を回避することができる。また、クラス毎にサンプリングレートやサンプリングプロトコルを変更することができる。 According to the present invention, the packet length to be extracted and the distribution method can be changed according to the class, thereby enabling more efficient traffic distribution. In addition, by specifying the maximum amount of traffic data to be distributed for each class, the CPU of the NW device becomes in a load state, and other classes of traffic cannot be distributed, and other functions of the NW device are also affected. It is possible to avoid the occurrence of problems such as The sampling rate and sampling protocol can be changed for each class.
本発明の実施形態は、サンプリングの前に、パケットを分類し、ある特定のトラフィックについては、例えば、サンプリングレートを大きくして、アプリケーションのペイロード部分を含むパケット情報を監視・分析し、それ以外のトラフィックについては、より集約を行った上で、トラフィック情報を配信することを可能とするより効率な測定を行うものである。また、これにより、大規模ネットワークでのトラフィック測定というスケーラビリティを維持しつつ、より詳細なトラフィック監視・分析が可能となる。すなわち、本実施形態は、複数のフィルタ条件をもとに、NW機器(ルータ、スイッチ)などで受信されるIPパケットを、複数のクラスに分類し、分類したクラス単位にサンプリングレート、サンプリングアルゴリズム、トラフィック情報収集機器への情報配信方法、配信限度量を定義することで、パケットのアプリケーション毎のトラフィック分析方法に応じたトラフィック情報配信方法を可能とする。この機能は、NW機器(ルータ、スイッチ)などに実装されることを想定している。 Embodiments of the present invention classify packets prior to sampling, and for certain traffic, for example, increase the sampling rate to monitor and analyze packet information including the payload portion of the application, otherwise For traffic, more efficient measurement is performed that enables distribution of traffic information after further aggregation. This also enables more detailed traffic monitoring and analysis while maintaining the scalability of measuring traffic in a large-scale network. That is, according to the present embodiment, IP packets received by an NW device (router, switch) or the like are classified into a plurality of classes based on a plurality of filter conditions, and a sampling rate, a sampling algorithm, By defining the information distribution method and distribution limit amount to the traffic information collecting device, a traffic information distribution method according to the traffic analysis method for each application of the packet is made possible. This function is assumed to be installed in an NW device (router, switch) or the like.
以下、本発明の実施の形態を図面を用いて詳細に説明する。
図3に全体概要図を示す。図3において、301はネットワークであり、302はネットワーク301上に配置されたNW機器である。図では4個のNW機器302−1〜302−4が配置されているが、何個でもよい。303はトラフィック情報を収集するトラフィック情報収集機器である。304はトラフィック分析装置群である。図では、トラフィック分析装置群304は、異常パケットの収集・分析装置311、Unroutable/未使用アドレストラフィック分析装置312、Signature分析装置313、TCP status分析・ICMP分析装置314、VoIP品質分析装置315、Protocol Analyzer316から構成されているが、これは一例であり、これらの一部の分析装置だけで構成してもよいし、これら以外の分析装置を含んでいてもよい。また、これらの分析装置は一般に使用されている装置を使用すればよいので、その詳細な説明は省略する。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
FIG. 3 shows an overall schematic diagram. In FIG. 3,
NW機器302は階層的フロー統計機能を有する。階層的フロー統計機能とは、クラスに分類し重要度などの用途に応じたフロー統計を行う機能である。ネットワーク301上を流れるパケットが入力されると、NW機器302は、サンプリング前に各クラスに分類し、各クラス毎に処理して、トラフィック情報配信データを作成し、フロー配信プロトコルを用いて、トラフィック情報配信データをトラフィック情報収集機器303に配信する。NW機器302は、典型的にはルータやスイッチ等であるが、トラフィック情報配信機能に注目すれば、トラフィック情報配信機器ということができる。
The
トラフィック情報収集機器303は、ネットワーク301上のNW機器302−1〜302−4から受信したトラフィック情報配信データをクラス単位/フィルタ条件単位に振り分けてトラフィック分析装置群304のそれぞれの分析装置311〜316に配信する。
The traffic
トラフィック分析装置群304のそれぞれの分析装置311〜316はトラフィック情報収集機器303から振り分け配信されたトラフィック情報を使用してそれぞれの分析を行う。
Each
図4に本機能をもつNW機器302の構成図を示す。401はIFであり、IF401をとおしてパケット441〜443がNW機器302に流入する。
FIG. 4 shows a configuration diagram of the
402はトラフィックをフィルタ条件に従いクラスに分類する分類手段である。分類手段402は、フィルタ条件設定テーブル700に基づいて、受信したパケットを階層的に各クラスに分類する。なお、フィルタ条件テーブル700については、図7を用いて後述する。
A
403は分類手段402でクラスに分類されたパケットを各クラス毎に処理するクラス別処理手段である。クラス別処理手段403は、トラフィック測定情報テーブル800に基づいて、クラス別の処理を行う。なお、トラフィック測定情報テーブル800については、図8を用いて後述する。
図4では、受信したSIPパケット441、icmpパケット442、Otherパケット(その他のパケット)443を、分類手段402が、それぞれクラス#1、クラス#2、クラス#3に分類する例を示している。
FIG. 4 shows an example in which the
クラス別処理手段403は、クラス#1に分類されたSIPパケット441に対して、410で示すように、Rate=1/1でサンプリングし(411)、情報配信手法の選択を行い(412)、配信限度量のチェックを行う(413)。また、クラス別処理手段403は、クラス#2に分類されたicmpパケット442に対して、420で示すように、Rate=1/100でサンプリングし(421)、情報配信手法の選択を行い(422)、配信限度量のチェックを行う(423)。また、クラス別処理手段403は、クラス#3に分類されたOtherパケット443に対して、430で示すように、Rate=1/10000でサンプリングし(431)、情報配信手法の選択を行い(432)、配信限度量のチェックを行う(433)。図4では、分類手段402が3つのクラスに分類し、クラス別処理手段403は3のクラス毎に処理しているが、一般的には、分類手段402が、受信したパケットを複数のクラスに分類し、クラス別処理手段403が、分類手段402により複数のクラスに分類されたパケットに対して、各クラス毎の処理、例えば、トラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法の選択を行えばよい。
The class-
404はクラス別処理手段403からのデータに基づいて、トラフィック情報配信データを作成し、トラフィック情報配信プロトコル・パケット450をトラフィック情報収集機器303に配信するトラフィック情報配信データ作成配信手段である。トラフィック情報配信プロトコル・パケット450は、トラフィック情報配信プロトコルにより、トラフィック情報を配信するトラフィック情報配信パケットである。すなわち、トラフィック情報配信データ作成配信手段404は、クラス別処理手段403で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、そのトラフィック情報配信パケットをトラフィック情報収集機器303に配信する。
以下、NW機器302のクラス別処理手段403の処理について更に詳細に説明する。
サンプリング411、421、431においては、例えば、サンプリングレートは、M個のパケットの通過でN個のパケットを抽出する場合には、N/Mをレートとする。サンプリングアルゴリズムについては、ランダムにサンプリングするのか、規則的に抽出するのか、時間周期でパケットをサンプリングするのかが選択できるものとする。
Hereinafter, the process of the class-
In
情報配信手法の選択412、422、432においては、トラフィック情報収集機器への情報配信方法は、大きく2つに分けられる。1つは、パケットのある部分を切り出してそれをコピーして配信する方法(以下、これをパケット抽出手法と呼ぶ。)であり、もう一つは、フロー識別情報(IPヘッダに含まれる送信元/宛先IPアドレス、送信元/宛先ポート番号、プロトコル)単位にパケット数、バイト数を集約して配信する方法(以下、これをフロー集約手法と呼ぶ。)になる。
In the information
パケット抽出手法においては、その配信方法に関するパラメータをクラス単位に指定可能とする。以下に指定可能とするパラメータを示す。
・パケットコピー開始ヘッダ情報:抽出したパケットの中で、配信するためのコピー開始箇所の情報としてヘッダ種別(Ethernetヘッダ,IPヘッダ,UDP,TCPヘッダ)を指定する。
・オフセット情報:上記ヘッダ種別からパケットの切り出し開始部分を示すオフセット値(byte)である。
・抽出最大長:パケットの切り出し開始部分からコピー可能な最大長(byte)である。
In the packet extraction method, parameters relating to the distribution method can be specified for each class. The parameters that can be specified are shown below.
Packet copy start header information: A header type (Ethernet header, IP header, UDP, TCP header) is specified as copy start location information for distribution in the extracted packet.
Offset information: an offset value (byte) indicating a packet extraction start portion from the header type.
Extraction maximum length: This is the maximum length (bytes) that can be copied from the cutout start portion of the packet.
フロー集約手法においても、その配信方法に関するパラメータをクラス単位に指定可能とする。以下に指定可能とするパラメータを示す。
・フローキー情報:前述したフロー識別情報をキー情報として集約する以外にIP/UDP/TCPヘッダ、Ethernetヘッダ、Labelヘッダの各属性情報や受信/出力IF番号、パケット・ルーティング特性情報(Next−Hop,BGP Next−hop,originAS,peerASなど)を指定可能とする。このキー情報をもとに、フロー・エントリ情報が作成され、以降、同一のキー情報をもつパケットを抽出した際は、このエントリの集計属性情報に対して積算処理される。抽出したパケットの中で、該当するフロー・エントリがない場合には、新規に作成される。
・集計属性情報:フローキーをもとに集約する際に、集約すべき属性情報を指定する。例えば、パケット数、パケットLengthの総計(総Byte数)などが該当する。
・タイムアウト情報:ある識別情報をもとに集約をしていた際に、ある周期内で、その識別情報に関する集計属性情報に変化がない場合に、このフロー・エントリ情報を削除して、トラフィック情報収集機器にこの情報を配信することを定めたタイムアウト値(秒)である。
Also in the flow aggregation method, parameters relating to the distribution method can be specified for each class. The parameters that can be specified are shown below.
Flow key information: In addition to aggregating the above-described flow identification information as key information, IP / UDP / TCP header, Ethernet header, and Label header attribute information, reception / output IF numbers, packet routing characteristic information (Next-Hop) , BGP Next-hop, originAS, peerAS, etc.). Based on this key information, flow entry information is created. Thereafter, when packets having the same key information are extracted, integration processing is performed on the total attribute information of this entry. If there is no corresponding flow entry in the extracted packet, it is newly created.
Aggregated attribute information: Specifies attribute information to be aggregated when aggregation is performed based on flow keys. For example, the number of packets, the total of packet lengths (total number of bytes), and the like are applicable.
Timeout information: When aggregation is performed based on certain identification information, if there is no change in the aggregate attribute information related to the identification information within a certain period, this flow entry information is deleted and traffic information is deleted. This is a timeout value (seconds) that determines that this information is distributed to the collection device.
以上のように情報配信手法の選択412、422、432により、クラス単位に定めたトラフィック情報の配信方法によって、各クラスのトラフィック情報は、トラフィック情報収集機器303に配信されるが、特定のクラスのトラフィック量が増えることによって、他のクラスの情報が配信されなくなるという状況を回避するため、クラス単位に配信量の限度量を定めておき、配信限度量のチェック413、423、433により配信限度量のチェックが行われる。この限度量は、パケット抽出手法においては、pps(packets per second)を単位とし、フロー集約手法においては、fps(flow records per second)を単位とする。
As described above, the traffic information of each class is distributed to the traffic
トラフィック情報配信データ作成配信手段404が、これらのトラフィック情報をトラフィック情報収集機器303に配信する際には、各クラスの識別子及び該当したフィルタ条件識別子をトラフィック情報に付加して配信する。配信するためのプロトコルとしては、IPFIX,sFlow,NetFlowなどのトラフィック情報配信プロトコルが適用される。パケット抽出手法にて抽出されたトラフィック情報はパケット情報として、フロー集約手法として選択された情報はフローレコード情報として、トラフィック情報配信プロトコルのパケットに格納される。各クラスを示すクラス識別子及びフィルタ条件識別子は、各トラフィック情報に付加される。
When the traffic information distribution data creation / distribution means 404 distributes the traffic information to the traffic
図5に、このようにして作成されたトラフィック情報配信プロトコル・パケット450の構成を示す。501はトラフィック情報配信プロトコル・パケットのヘッダであり、502−1〜502−Nはトラフィック情報#1〜#Nである。トラフィック情報#1(502−1)はフロー集約手法の場合のトラフィック情報である。510はトラフィック情報#1のヘッダであり、511はフローキー情報であり、512は集計属性情報であり、513はクラス識別子であり、514はフィルタ条件識別子である。ヘッダ510にサンプリングレート、サンプリングアルゴリズムが記述される。フローキー情報511と集計属性情報512がフローレコード情報である。一方、トラフィック情報#N−1(502−N−1)はパケット抽出手法の場合のトラフィック情報である。520はトラフィック情報#N−1のヘッダであり、521はパケットコピー情報であり、522は関連属性情報であり、523はクラス識別子であり、524はフィルタ条件識別子である。パケットコピー情報521がパケット情報である。
FIG. 5 shows the configuration of the traffic information
トラフィック情報収集機器303では、各トラフィック情報に付加された各クラスを示すクラス識別子513、523及びフィルタ条件識別子514、524により、受信したトラフィック情報のクラス及びフィルタ条件の識別が可能となり、トラフィック分析をする際にトラフィック分析装置群304に対して情報の振り分けが可能となる。
In the traffic
これにより、重要なパケットについては、サンプリングレートを大きくした上で、パケット抽出手法にてアプリケーションのペイロードも含む情報をトラフィック情報収集機器303に配信することが可能となり、トラフィック分析装置群304では、パケットのアプリケーション部分も含めたトラフィックの分析を行うことが可能となる。また、全体的なトラフィック動向を測ることを目的としているクラスに対しては、サンプリングレートを小さくした上で、OriginAS単位の集約など粒度の荒いフロー集約手法にてトラフィック情報収集機器303に配信することが可能となり、スケーラビリティを維持することが可能となる。
As a result, for important packets, it is possible to distribute information including application payloads to the traffic
ここで、図6のようなあるプロバイダのネットワークをもとに階層的フロー統計手法の適用方法を示す。図6は、あるプロバイダの概念図である。図6において、601はこのプロバイダのNW(Network)であり、602はNW601に接続されたマスユーザアクセス網であり、603はNW601に接続された重要顧客のアクセス網である。604は外部NW#1であり、ルータ#1(606)を介してNW601に接続されている。605は外部NW#2であり、ルータ#2(607)を介してNW601に接続されている。
Here, a method of applying the hierarchical flow statistical method based on a certain provider's network as shown in FIG. 6 will be described. FIG. 6 is a conceptual diagram of a certain provider. In FIG. 6, 601 is an NW (Network) of this provider, 602 is a mass user access network connected to the
このプロバイダは、以下のようなアドレスの設定方針のNW601をもっているものとする。
・マスユーザアクセス網602として、お客さま用のアドレスとして、アドレスブロック192.0.2.0/26をもつ。
・重要顧客のアクセス網603として、このお客さま用のアドレスとして、アドレスブロック192.0.2.64/26をもつ。
・NW601網内のリンクアドレスとして、アドレスブロック192.0.2.128/26をもつ
・プロバイダの基幹サーバとして、DNSサーバ608とSIPサーバ610がそれぞれ、192.0.2.200、192.0.2.210のアドレスをもつ。
It is assumed that this provider has the following address setting policy NW601.
The mass
The important
The address block 192.0.2.128/26 is provided as a link address in the NW601 network. The
ここで、外部NW#1(604)とルータ#1(606)を結ぶルータ#1(606)のIFで階層的フロー統計手法を適用させた場合の例を示す。 Here, an example in which the hierarchical flow statistical method is applied to the IF of the router # 1 (606) connecting the external NW # 1 (604) and the router # 1 (606) is shown.
ルータ#1(606)では、パケットをクラスわけするためのフィルタ条件設定テーブルとクラス毎のトラフィック測定情報テーブルをもつ。図7にフィルタ条件設定テーブルと図8にトラフィック測定情報テーブルを示す。 Router # 1 (606) has a filter condition setting table for classifying packets and a traffic measurement information table for each class. FIG. 7 shows a filter condition setting table and FIG. 8 shows a traffic measurement information table.
図7のフィルタ条件設定テーブル700において、701はフィルタ条件識別子を、702は宛先IPアドレス帯域を、703は送信元IPアドレス帯域を、704はプロトコルを、705は宛先ポート番号を、706は送信元ポート番号を、707はTCP Flagsを、708はクラス識別子を、それぞれ設定する欄である。 In the filter condition setting table 700 of FIG. 7, 701 is a filter condition identifier, 702 is a destination IP address band, 703 is a source IP address band, 704 is a protocol, 705 is a destination port number, and 706 is a source. A column for setting a port number, 707 for TCP Flags, and 708 for a class identifier.
図7のフィルタ条件設定テーブルにおいては、宛先IPアドレス帯域、送信元IPアドレス帯域、プロトコル、宛先ポート番号、送信元ポート番号、TCP Flagsを設定可能とする例を示しているが、一般には、パケットのヘッダに関わる情報(宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength)やNW機器が当該パケットをルーティングするための特性情報(受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Community)を設定可能としてもよい。すなわち、フィルタ条件設定テーブルは、これらのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものでもよい。 The filter condition setting table in FIG. 7 shows an example in which the destination IP address band, the source IP address band, the protocol, the destination port number, the source port number, and TCP Flags can be set. Information (destination address, source address, protocol, destination port number, source port number, TCP flag, TOS, destination MAC address, source MAC address, label, IP version, packet Length) and NW device Characteristic information (reception IF information, transmission destination IF information, Next-Hop address, BGP Next-Hop address, Peering AS number, Origin AS number, BGP Community) for routing the packet may be settable. That is, the filter condition setting table may be one in which a filter condition identifier and a class identifier are set corresponding to one or more of these.
図8のトラフィック測定情報テーブルにおいて、801はクラス識別子を、802はサンプリングアルゴリズムを、803はサンプリングレートを、804はトラフィック配信方法を、805はパケットコピー開始箇所情報を、806はオフセット情報を、807は抽出最大長を、808は関連属性情報を、809はフローキー情報を、810は集計属性情報を、811はタイムアウト情報を、812は配信量の限度量を、それぞれ設定する欄である。トラフィック配信方法804においてパケット抽出手法を設定した場合は、パケットコピー開始箇所情報805、オフセット情報806、抽出最大長807、関連属性情報808を設定する。一方、トラフィック配信方法804においてフロー集計手法を設定した場合は、フローキー情報809、集計属性情報810、タイムアウト情報811を設定する。
In the traffic measurement information table of FIG. 8, 801 is a class identifier, 802 is a sampling algorithm, 803 is a sampling rate, 804 is a traffic distribution method, 805 is packet copy start location information, 806 is offset information, 807 Is a column for setting the maximum extraction length, 808 for related attribute information, 809 for flow key information, 810 for aggregate attribute information, 811 for timeout information, and 812 for limiting the amount of distribution. When the packet extraction method is set in the
図7のフィルタ条件設定テーブル700では、フィルタ条件識別子1〜4までは、Privateアドレスを使用しているなどの本来あってはならないパケットが外部NWから流入した場合を想定しており、これをクラス1としている。以降は、重要なサーバへの監視をサーバ単位にクラス2、3とし、最終的に外部NW#2に流れていくトラフィックについては、クラス7として設定している。パケットを受信した際は、フィルタ条件識別子の若番(小さい番号)から順次検索されるものとして、条件に合致した箇所でそのパケットのクラスが確定する。
In the filter condition setting table 700 of FIG. 7, it is assumed that the
すなわち、分類手段402は、図7のフィルタ条件設定テーブル700に基づいて、本来あってはならないパケットについてはフィルタ条件識別子1〜4、クラス識別子1とし、宛先がDNSサーバ608(192.0.2.200)であるパケットについてはフィルタ条件識別子5、クラス識別子2とし、宛先がSIPサーバ610(192.0.2.210)であるパケットについてはフィルタ条件識別子6、クラス識別子3とし、宛先が重要顧客のアクセス網603(192.0.2.64/26)であるパケットについてはフィルタ条件識別子7、クラス識別子4とし、宛先がマスユーザアクセス網602(192.0.2.0/26)であるパケットについてはフィルタ条件識別子8、クラス識別子5とし、宛先がNW網601(192.0.2.128/26)であるパケットについてはフィルタ条件識別子9、クラス識別子6とし、それ以外のパケットについてはフィルタ条件識別子10、クラス識別子7とする。
That is, the classifying
クラスが決定したパケットは、クラス単位に設定されたトラフィック測定情報テーブル800にそって、トラフィック情報として集計される。 Packets whose classes are determined are aggregated as traffic information along the traffic measurement information table 800 set for each class.
例えば、SIPサーバ610に向けのトラフィック(クラス識別子3)については、SDPの部分まで分析可能なように抽出するコピーパケット部分の長さを多くしている(抽出最大長:750byte)。また、これに対して外部NW#2(605)に流れ出るトラフィック(クラス識別子7)は、それほど詳細な分析は必要ないため、ピアリングするAS番号単位にトラフィックを集計するように設定されている(フローキー情報:PeeringAS)。
For example, for the traffic (class identifier 3) destined for the
上記のように外部NW#1(604)からルータ#1(606)に受信したパケットは、フィルタ条件設定テーブル700をもとにクラスわけされ、トラフィック測定情報テーブル800の設定内容に従い、トラフィック情報として成形されて、トラフィック情報配信プロトコルのパケット450に格納される。
As described above, the packets received from the external NW # 1 (604) to the router # 1 (606) are classified into classes based on the filter condition setting table 700, and as traffic information according to the setting contents of the traffic measurement information table 800. It is shaped and stored in the
トラフィック情報収集機器303では、クラス識別子、フィルタ条件識別子をもとに特定の分析装置に振り分けを行う。例えば、SIPパケット(フィルタ条件識別子6、クラス識別子3)に対しては、SIPプロトコル用の分析装置に振り分け配信される。
The traffic
以上説明した実施形態のNW機器の各手段は、記憶装置に記憶されたプログラムをCPUが処理することにより実現される。また、そのプログラムの一部または全部をハードウェアで構成してもよい。また、NW機器の各テーブルは記憶装置に記憶される。 Each unit of the network device of the embodiment described above is realized by the CPU processing a program stored in the storage device. Moreover, you may comprise a part or all of the program with a hardware. Each table of the NW device is stored in the storage device.
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Of course.
301…ネットワーク、302…NW機器(トラフィック情報配信機器)、303…トラフィック情報収集機器、304…トラフィック分析装置群、401…IF、402…分類手段、403…クラス別処理手段、404…トラフィック情報配信データ作成配信手段、441…SIPパケット、442…icmpパケット、443…Otherパケット、410、420、430…クラス#1、クラス#2、クラス#3に分類されたパケットの処理、411、421、431…サンプリング、412、422、432…情報配信手法の選択、413、423、433…配信限度量のチェック、450…トラフィック情報配信プロトコル・パケット、501…トラフィック情報配信プロトコル・パケットのヘッダ、502−1〜502−N…トラフィック情報#1〜#N、510…トラフィック情報#1のヘッダ、511…フローキー情報、512…集計属性情報、513…クラス識別子、514…フィルタ条件識別子、520…トラフィック情報#N−1のヘッダ、521…パケットコピー情報、522…関連属性情報、523…クラス識別子、524…フィルタ条件識別子、601…プロバイダのNW、602…マスユーザアクセス網、603…重要顧客のアクセス網、604…外部NW#1、605…外部NW#2、606…ルータ#1、607…ルータ#2、608…DNSサーバ、610…SIPサーバ、700…フィルタ条件設定テーブル、800…トラフィック測定情報テーブル
DESCRIPTION OF
Claims (7)
前記トラフィック情報配信機器は、分類手段とクラス別処理手段とトラフィック情報配信データ作成配信手段とを有し、
前記分類手段が、受信したパケットを各クラスに分類し、
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたトラフィック情報の配信手法に基づいて、パケットの一部を抽出するパケット抽出手法又はフローを集約するフロー集約手法のいずれかの配信手法を選択し、
前記トラフィック情報配信データ作成配信手段が、前記クラス別処理手段で選択された配信手法による各トラフィック情報により構成されたトラフィック情報配信パケットを作成し、該トラフィック情報配信パケットを前記トラフィック情報収集機器に配信する
ことを特徴とするトラフィック情報配信方法。 A traffic information distribution method in a traffic information distribution device that distributes traffic information to a traffic information collection device,
The traffic information distribution device has classification means, class-specific processing means, and traffic information distribution data creation and distribution means,
The classification means classifies the received packet into each class,
A packet extraction technique or flow in which the class-specific processing means extracts a part of the packet based on the traffic information distribution technique defined for each class for the packet classified into each class by the classification means. Select one of the flow aggregation methods to be aggregated,
The traffic information distribution data creation / distribution means creates a traffic information distribution packet composed of each traffic information by the distribution method selected by the class-specific processing means, and distributes the traffic information distribution packet to the traffic information collection device A traffic information distribution method characterized by:
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められた配信限度量に基づいて、限度量が超過している場合には、当該トラフィック情報の配信を停止し、限度量を下回った際に、当該トラフィック情報の配信を開始することを特徴とするトラフィック情報配信方法。 The traffic information distribution method according to claim 1,
If the limit processing unit exceeds the limit for the packet classified into each class by the classifying unit based on the delivery limit determined for each class, the class-specific processing unit A traffic information distribution method characterized in that distribution is stopped and distribution of the traffic information is started when the amount falls below a limit.
前記クラス別処理手段が、前記分類手段により各クラスに分類されたパケットに対して、各クラスに定められたサンプリングレート及び/又はサンプリングアルゴリズムに基づいてパケットサンプリングを行うことを特徴とするトラフィック情報配信方法。 The traffic information distribution method according to claim 1 or 2,
The traffic information distribution, wherein the class-specific processing unit performs packet sampling on the packets classified into the classes by the classifying unit based on a sampling rate and / or a sampling algorithm determined for each class. Method.
前記トラフィック情報配信機器はフィルタ条件設定テーブルを有し、
前記フィルタ条件設定テーブルは、パケットのヘッダに関わる情報である宛先アドレス、送信元アドレス、プロトコル、宛先ポート番号、送信元ポート番号、TCPフラグ、TOS、宛先MACアドレス、送信元MACアドレス、ラベル、IPバージョン、パケットLength、および、NW機器が当該パケットをルーティングするための特性情報である受信IF情報、送信先IF情報、Next−Hopアドレス、BGP Next−Hopアドレス、PeeringAS番号、OriginAS番号、BGP Communityのうちの1以上に対応してフィルタ条件識別子とクラス識別子が設定されたものであり、
前記分類手段が、前記フィルタ条件設定テーブルに基づいて、受信したパケットを各クラスに分類する
ことを特徴とするトラフィック情報配信方法。 The traffic information distribution method according to any one of claims 1 to 3,
The traffic information distribution device has a filter condition setting table,
The filter condition setting table includes a destination address, a source address, a protocol, a destination port number, a source port number, a TCP flag, a TOS, a destination MAC address, a source MAC address, a label, and an IP, which are information related to the packet header. Version, packet Length, and reception IF information, destination IF information, Next-Hop address, BGP Next-Hop address, Peering AS number, Origin AS number, BGP Community, which are characteristic information for routing the packet by the NW device Filter condition identifier and class identifier are set corresponding to one or more of them,
The traffic information distribution method, wherein the classifying unit classifies received packets into classes based on the filter condition setting table.
前記トラフィック情報配信機器はトラフィック測定情報テーブルを有し、
前記トラフィック測定情報テーブルは、前記クラス識別子に対応して、トラフィック配信方法、サンプリングレート、サンプリングアルゴリズム、配信量の限度量の1以上が設定されたものであり、
前記クラス別処理手段が、前記トラフィック測定情報テーブルに基づいて、クラス別の処理を行う
ことを特徴とするトラフィック情報配信方法。 The traffic information distribution method according to claim 4,
The traffic information distribution device has a traffic measurement information table,
The traffic measurement information table is set with one or more of a traffic distribution method, a sampling rate, a sampling algorithm, and a distribution amount limit corresponding to the class identifier,
The traffic information distribution method, wherein the class-specific processing means performs class-specific processing based on the traffic measurement information table.
前記トラフィック情報配信データ作成配信手段が、前記トラフィック情報配信パケットの各トラフィック情報に、前記フィルタ条件識別子及び/又は前記クラス識別子を付加することを特徴とするトラフィック情報配信方法。 The traffic information distribution method according to claim 5,
A traffic information distribution method, wherein the traffic information distribution data creation / distribution means adds the filter condition identifier and / or the class identifier to each traffic information of the traffic information distribution packet.
前記トラフィック情報収集機器が、前記トラフィック情報配信機器から収集した各トラフィック情報に付加されたクラス識別子及び/又はフィルタ条件識別子をもとに、トラフィック分析装置群の中から適切なトラフィック分析装置に対して、トラフィック情報を振り分けることを特徴とするトラフィック情報収集方法。 A traffic information collection method in a traffic information collection device that collects traffic information from the traffic information distribution device that distributes traffic information by the traffic information distribution method according to claim 6,
Based on the class identifier and / or filter condition identifier added to each piece of traffic information collected from the traffic information distribution device, the traffic information collection device selects an appropriate traffic analysis device from the traffic analysis device group. A traffic information collecting method characterized by sorting traffic information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007028730A JP4246238B2 (en) | 2007-02-08 | 2007-02-08 | Traffic information distribution and collection method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007028730A JP4246238B2 (en) | 2007-02-08 | 2007-02-08 | Traffic information distribution and collection method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008193628A true JP2008193628A (en) | 2008-08-21 |
| JP4246238B2 JP4246238B2 (en) | 2009-04-02 |
Family
ID=39753252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007028730A Active JP4246238B2 (en) | 2007-02-08 | 2007-02-08 | Traffic information distribution and collection method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4246238B2 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100955208B1 (en) | 2010-02-02 | 2010-04-29 | 주식회사 나우콤 | Packet distributed processing system for high speed network and packet distributed processing method for high speed network |
| JP2012034192A (en) * | 2010-07-30 | 2012-02-16 | Alaxala Networks Corp | Packet transfer device, packet transfer device management system, and packet transfer device management method |
| KR20130103446A (en) * | 2012-03-08 | 2013-09-23 | 삼성전자주식회사 | Method and apparatus for controlling traffic of radio access network in a wireless communication system |
| JP2017011393A (en) * | 2015-06-18 | 2017-01-12 | ビッグローブ株式会社 | Traffic analysis system, traffic information transmission method, and program |
-
2007
- 2007-02-08 JP JP2007028730A patent/JP4246238B2/en active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100955208B1 (en) | 2010-02-02 | 2010-04-29 | 주식회사 나우콤 | Packet distributed processing system for high speed network and packet distributed processing method for high speed network |
| JP2012034192A (en) * | 2010-07-30 | 2012-02-16 | Alaxala Networks Corp | Packet transfer device, packet transfer device management system, and packet transfer device management method |
| KR20130103446A (en) * | 2012-03-08 | 2013-09-23 | 삼성전자주식회사 | Method and apparatus for controlling traffic of radio access network in a wireless communication system |
| KR102046323B1 (en) * | 2012-03-08 | 2019-11-19 | 삼성전자주식회사 | Method and apparatus for controlling traffic of radio access network in a wireless communication system |
| JP2017011393A (en) * | 2015-06-18 | 2017-01-12 | ビッグローブ株式会社 | Traffic analysis system, traffic information transmission method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4246238B2 (en) | 2009-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103314557B (en) | Network system, controller, switch, and traffic monitoring method | |
| JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
| JP4341413B2 (en) | PACKET TRANSFER APPARATUS HAVING STATISTICS COLLECTION APPARATUS AND STATISTICS COLLECTION METHOD | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| Callado et al. | A survey on internet traffic identification | |
| EP3151470B1 (en) | Analytics for a distributed network | |
| US8582428B1 (en) | Methods and apparatus for flow classification and flow measurement | |
| JP5660198B2 (en) | Network system and switching method | |
| US20160234094A1 (en) | Streaming method and system for processing network metadata | |
| JP2006352831A (en) | Network controller and method of controlling the same | |
| Yang et al. | SDN-based DDoS attack detection with cross-plane collaboration and lightweight flow monitoring | |
| JP5017440B2 (en) | Network control apparatus and control method thereof | |
| MX2010006846A (en) | Method for configuring acls on network device based on flow information. | |
| JP2005508593A (en) | System and method for realizing routing control of information in network | |
| US20120026914A1 (en) | Analyzing Network Activity by Presenting Topology Information with Application Traffic Quantity | |
| JP4246238B2 (en) | Traffic information distribution and collection method | |
| WO2020027250A1 (en) | Infection spread attack detection device, attack origin specification method, and program | |
| Pekar et al. | Towards threshold‐agnostic heavy‐hitter classification | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| JP4871775B2 (en) | Statistical information collection device | |
| JP2008135871A (en) | Network monitoring system, network monitoring method, and network monitoring program | |
| Liu et al. | Next generation internet traffic monitoring system based on netflow | |
| JP4643692B2 (en) | Traffic information collecting method and traffic receiving apparatus | |
| Ehrlich et al. | Passive flow monitoring of hybrid network connections regarding quality of service parameters for the industrial automation | |
| Teixeira et al. | Intelligent network client profiler |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090107 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4246238 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120116 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130116 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |