アドレス変換装置におけるセッションログ記録方法及びアドレス変換テーブル再現装置
【課題】アドレス変換装置のセッション情報のセッションログから任意の時刻におけるアドレス変換テーブルを再現するに際して、再現時間を短縮する。
【解決手段】アドレス変換装置10とログ解析装置20とを備えたアドレス変換テーブル再現装置1であって、入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部11と、前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部12と、セッション情報を記録するセッションログ記憶部21と、ユーザ要求を受け付けるユーザインタフェース部22と、ユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部23と、再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部24とを備える。
【解決手段】アドレス変換装置10とログ解析装置20とを備えたアドレス変換テーブル再現装置1であって、入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部11と、前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部12と、セッション情報を記録するセッションログ記憶部21と、ユーザ要求を受け付けるユーザインタフェース部22と、ユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部23と、再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部24とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アドレス変換装置を通過するセッションのセッションログ記録方法、及び、そのセッションログを解析することで過去の任意の時点においてアドレス変換装置が保持していたアドレス変換テーブルを再現することができるアドレス変換テーブル再現装置に関する。
【背景技術】
【0002】
IPネットワークにおいては、プライベートアドレスを使用するネットワークからグローバルアドレスを使用するネットワーク(インターネット)に接続するために、一般的にNAT(Network Address Translator)と呼ばれるアドレス変換装置を使用することが行われている。また、アドレス変換装置は、異なるバージョンのIPを使用するネットワーク(例:IPv4ネットワークとIPv6ネットワーク)を相互接続する場合にも使用される。
アドレス変換装置では、変換前のセッション情報(送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、トランスポートプロトコル)と変換後のセッション情報を対応付けたアドレス変換テーブルを保持している。
【0003】
近年、IPv4アドレス枯渇が問題となっており、その影響を緩和する方法として、非特許文献1に示されるように、通信事業者(ISP)単位でアドレス変換を実施する方法が提案されている。この場合、非特許文献2に示されるように、使用するアドレス変換装置は大規模なものとなり、また一つのグローバルアドレスを複数のユーザで共用するため、セッションログの管理が必須となる。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】"Common Functions of Large Scale NAT", draft-nishitani-cgn-02 (Internet draft)
【非特許文献2】キャリア・グレードNATで変わるインターネット第6回 キャリア・グレードNATのログ管理の必須要件 http://itpro.nikkeibp.co.jp/article/COLUMN/20090318/326814/
【発明の概要】
【発明が解決しようとする課題】
【0005】
アドレス変換装置が現在保持するアドレス変換テーブルは、通常アドレス変換装置にログインすることで確認することができる。
【0006】
しかしながら、上述のアドレス変換装置によれば、変換前のセッション情報(送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、トランスポートプロトコル)と変換後のセッション情報を対応付けた過去のアドレス変換テーブルを確認することはできない。
【0007】
その一方、ネットワークの運用管理においては、障害原因調査等で過去の状態を調査することが多くあるため、アドレス変換装置が導入されたネットワークにおいて、アドレス変換装置における過去のアドレス変換テーブルを確認できるようにすることが重要である。過去のアドレス変換テーブルが確認できれば、例えば過去のある時刻において特定ユーザから多数のセッションがアドレス変換装置を通過していた場合に、そのユーザを簡単に特定できる等の利点がある。
【0008】
過去のアドレス変換テーブルを確認する方法としては、定期的に現在のアドレス変換テーブルを取得し保存することも考えられるが、この方法では保存した時点でのアドレス変換テーブルが確認できるのみであり、任意の時刻におけるアドレス変換テーブルを確認することはできない。また、通信事業者が使用する大規模アドレス変換装置では、アドレス変換テーブルのサイズは巨大となるため、頻繁にアドレス変換テーブルを保存するとアドレス変換装置に負荷がかかるという問題がある。
【0009】
また、アドレス変換装置を通過する全てのセッションとその開始、終了時刻をログに記録することで、任意の時刻におけるアドレス変換テーブルを再現することは可能である。しかしながらこの場合、アドレス変換テーブルを正確に再現するには、ログを最初から確認する必要があるため、確認するログの量が多くなるにしたがい再現するまでに時間がかかるという問題がある。
【0010】
本発明は上記事情に鑑みて提案されたもので、アドレス変換装置のセッション情報のセッションログから任意の時刻におけるアドレス変換テーブルを再現するに際して、再現時間を短縮することができるアドレス変換装置におけるセッションログ記録方法及びアドレス変換テーブル再現装置を提供することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成するため請求項1の発明は、アドレス変換装置を通過するセッションのログを記録する方法において、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を記録することを特徴としている。
【0012】
請求項2は、請求項1のアドレス変換装置におけるセッションログ記録方法において、前記一定間隔は、演算された複数のセッションの平均継続時間を基に算出されるサンプリング時間であり、前記サンプリング時間を一定周期で変更することを特徴としている。
【0013】
請求項3は、入出力のセッションのアドレス情報を変換するアドレス変換装置と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置とを備えたアドレス変換テーブル再現装置であって、次の構成を含むことを特徴としている。
前記アドレス変換装置は、
入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部と、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部と、
を備える。
前記ログ解析装置は、
前記セッションログ読取部で読み取った情報を記録するセッションログ記憶部と、
ユーザ要求を受け付けるユーザインタフェース部と、
前記セッションログ記録部から情報を読み込み、前記ユーザインタフェース部でユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部と、
再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部と、
を備える。
【0014】
請求項4は、請求項3のアドレス変換テーブル再現装置において、前記アドレス変換装置は、前記セッションログ読取部で読み取るセッション情報から各セッションの平均継続時間を計算するセッション平均継続時間計算部を備え、
前記セッションログ読取部は、前記セッション平均継続時間計算部で計算された複数のセッションの平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録することを特徴としている。
【0015】
請求項5は、請求項4のアドレス変換テーブル再現装置において、
前記ログ解析装置は、前記セッションログ記憶部に記憶されるセッションログの増加量を監視するログ記憶量監視部を備え、
前記セッション平均継続時間計算部は、前記増加量を考慮して前記サンプリング時間を算出することを特徴としている。
【発明の効果】
【0016】
本発明のアドレス変換装置におけるセッションログ記録方法(請求項1)によれば、アドレス変換装置を通過するセッションのログを記録するに際して、セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔でセッション情報を記録することで、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。その結果、セッションの開始時まで遡ってログを確認する場合に比較して、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【0017】
請求項2のセッションログ記録方法によれば、セッション情報を記録する間隔(サンプリング時間)を複数のセッションの平均継続時間に応じて変更することで、アドレス変換装置の使用状況に適したセッション情報の記録を行うことができる。
【0018】
請求項3のアドレス変換テーブル再現装置によれば、セッション情報のログから任意の時刻におけるアドレス変換テーブルを再現する際、その時刻から、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。その結果、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【0019】
請求項4のアドレス変換テーブル再現装置によれば、アドレス変換装置がセッション平均継続時間計算部を備えることで、複数のセッションの平均継続時間を計算することができ、平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録するので、アドレス変換装置の使用状況に適したセッション情報の記録を行うことができる。
【0020】
請求項5のアドレス変換テーブル再現装置によれば、前記ログ解析装置がログ記憶量監視部を備えることで、監視された増加量を考慮したサンプリング時間がセッション平均継続時間計算部で算出可能となり、アドレス変換装置で処理するセッションが増加した場合に適したセッション情報の記録を行うことができる。
【図面の簡単な説明】
【0021】
【図1】本発明のアドレス変換テーブル再現装置の実施形態の一例を示すブロック図である。
【図2】アドレス変換装置の利用形態を示す模式図である。
【図3】アドレス領域とセッションとの関係を示す模式図である。
【図4】アドレス変換装置がログとして記憶するセッション情報を示す説明図である。
【図5】アドレス変換テーブル再現装置のログ解析装置におけるセッションログ記録部に記録されたセッション情報の一例を示す説明図である。
【図6】(a)(b)はアドレス変換テーブル再現装置で再現したアドレス変換テーブルの一例を示す説明図である。
【発明を実施するための形態】
【0022】
以下、本発明のアドレス変換テーブル再現装置の実施形態の一例について、図1乃至図6を参照しながら説明する。
本発明のアドレス変換テーブル再現装置1は、図1に示すように、パケットの入出力におけるセッションの情報をアドレス変換テーブルに基づいて変換するアドレス変換装置10と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置20とを備えて構成されている。アドレス変換装置10は、図2に示すように、異なるアドレス領域(アドレス領域Aとアドレス領域B)を使用するネットワーク同士を接続するための装置である。異なるアドレス領域の接続例としては、IPv4プライベートアドレスとグローバルアドレス、IPv4アドレスとIPv6アドレス等がある。
【0023】
アドレス変換装置10は、アドレス変換部11と、セッションログ読取部12と、セッション平均継続時間計算部13とを有している。
アドレス変換部11は、パケット入力された入力セッションのアドレス情報を予め記憶されているアドレス変換テーブルに基づいて変換しパケット出力するものである。
【0024】
図3に、アドレス変換装置10のアドレス変換部11で対応付けされるアドレス領域とセッションとの関係を示す。セッションは、通信を行う両ホストのアドレスとポート番号、トランスポート層プロトコル(TCPやUDP等)で区別する。
例えば、アドレス領域Aのエンドホスト8とアドレス領域Bのエンドホスト9間のセッションがアドレス変換装置10を通過する場合、図3に示すように、アドレス領域Aのエンド側アドレス/ポートは、アドレス変換装置においてアドレス領域BのNAT側アドレス/ポートに変換され、アドレス領域AのNAT側アドレス/ポートは、アドレス領域Bのエンド側アドレス/ポートに変換される。アドレス変換装置10のアドレス変換部11では、この対応をアドレス変換テーブルのエントリとして、セッションが継続する限り保持する。なお、アドレス領域AがIPv4プライベートアドレスでアドレス領域BがIPv4グローバルアドレス(インターネット)の場合のように、アドレス領域AのNAT側アドレス/ポートとアドレス領域Bのエンド側アドレス/ポートが同じとなる(変換されない)場合もある。
【0025】
図4に、アドレス変換部11がログとして保持するセッション情報の例を示す。セッション情報は、「時刻」「セッションID」「セッション状況」「アドレス領域A エンド側アドレス」「アドレス領域A NAT側アドレス」「アドレス領域A NAT側ポート番号」「アドレス領域B NAT側アドレス」「アドレス領域B NAT側ポート番号」「アドレス領域B エンド側アドレス」「アドレス領域B エンド側ポート番号」「トランスポート層プロトコル」を有している。
「セッションID」は、各セッションに対して割り当てる任意の値であり、セッション開始時に割り当てられる。「セッション状況」は、セッションの種類である開始(start)、終了(end)、継続(cont)を区別するためのものである。セッションの終了(end)または継続(cont)を保持する場合は、「時刻」「セッションID」「セッション状況」の情報のみを保持してもよい。
【0026】
セッションログ読取部12は、セッションの開始時、終了時とともに、継続中のセッションについて、予め設定された一定間隔で上述したログとしてアドレス変換部11が保持するセッション情報を読み取り、後述するセッションログ記録部21に記録するものである。
セッションログ読取部12及びセッションログ記録部21では、セッションの開始時及び終了時だけではなく、継続中のセッションについても、予め設定された一定間隔でログとしてアドレス変換部11が保持するセッション情報を読み取って記録するセッションログ記録方法を採用することが重要となる。
【0027】
セッションログの記録間隔は、短すぎると記録されるログの量が膨大になる可能性があり、長すぎるとログからアドレス変換テーブルを再現する際に、ログを過去に遡る期間が長くなり、その結果確認するログの量が多くなる可能性がある。具体的には、セッションログの記録間隔は、3分程度に設定されている。また、この記録間隔(予め設定された一定間隔)は、常時固定された記録間隔でもよいし、後述するように情報に基づいて一定周期で変更するようにしてもよい。
【0028】
ログを記録する期間(記録間隔)を決定する方法の一例として、セッションの平均継続時間より決定する方法が考えられる。
この場合は、セッションログ読取部12で読み取るセッション情報から各セッションの継続時間を抽出し、セッション全体の平均継続時間を計算するセッション平均継続時間計算部13を設ける。
【0029】
セッションの継続時間とは、そのセッションの開始から終了までの時間であり、トランスポートプロトコル毎に、そのトランスポートプロトコルを利用する全セッションの平均継続時間を定期的に算出し、その時間を継続セッションのログ記録間隔とする。継続セッションのログ記録間隔は、セッションの平均継続時間を算出したタイミングで更新される。
すなわち、セッション平均継続時間計算部13では、トランスポートプロトコル毎に全てのセッションのセッション継続時間をデータとして記憶し、一定期間毎に全セッションの平均継続時間を算出することが行われる。そして、この平均継続時間からサンプリング時間(記録間隔)を算出し、一定周期で変更されるサンプリング時間(記録間隔)を基にセッションログ読取部12においてセッション情報が読み取られる。サンプリング時間は、例えば、単純に全セッションの継続時間をデータ数で除して算出してもよいし、データに重みを付けたり、或いは、各セッションの継続時間を基に所望の計算式により算出するようにしてもよい。
【0030】
前記ログ解析装置20は、セッションログ記憶部21と、ユーザインタフェース部22と、ログ解析部23と、再現アドレス変換テーブル記録部24と、ログ記憶量監視部25とを有している。
セッションログ記憶部21は、セッションログ読取部12で読み取った情報を順次記録するものである。
【0031】
ユーザインタフェース部22は、ユーザがアドレス変換装置10のアドレス変換部11におけるアドレス変更テーブルを確認したいというユーザ要求を受け付けるもので、ユーザは、アドレス変更テーブルを再現したい時刻(日時)を入力する。
【0032】
ログ解析部23は、セッションログ記録部21から情報を読み込み、ユーザインタフェース部22でユーザが要求した過去の任意の時刻において、アドレス変換部11が保持していたアドレス変換テーブルをセッションログから解析して再現するものである。
再現アドレス変換テーブル記録部24は、ログ解析部23で再現した再現アドレス変換テーブルを順次記録するものであり、再現アドレス変換テーブルはユーザ要求を受けた場合にユーザインタフェース部22からユーザ側へ出力される。
【0033】
ログ記憶量監視部25は、セッションログ読取部21によりセッションログ記憶部21に記憶されるセッションログの増加量を監視するものであり、ログの増加割合(バイト/分等で判断する)をセッション平均継続時間計算部13に通知する。セッション平均継続時間計算部13では、セッション平均継続時間を算出するに際して、ログ記憶量監視部25から通知された増加割合値を加味して計算する。すなわち、セッション平均継続時間計算部13は、ログの増加量を考慮してサンプリング時間(記録間隔)を算出する。例えば、ログ記憶監視部25から通知された増加割合値をPとし、Pがある値以上である場合に、次式で示されるように、計算した平均継続時間にαPを加えることで補正セッション平均継続時間を得ることができる。
(補正セッション平均継続時間)=(計算したセッション平均継続時間)+αP
αは、任意の値であり、装置で設定可能なように構成されている。
【0034】
ログ記憶監視部25で検知されたログの増加割合値Pがある値以上の場合にのみ(計算したセッション平均継続時間)の補正を行うようにしたのは、ログの増加割合が小さい場合は、ログの増加割合を抑制する必要がないと考えられるからである。ログの増加割合がある値以上の場合にのみ、継続セッションを記録する記録間隔を大きくしてログの増加割合を抑制する。
【0035】
次に、上述したアドレス変換テーブル再現装置1の動作について説明する。
アドレス変換装置10のアドレス変換部11は、パケットの入力に際して、それが既に存在するセッションのパケットである場合は、アドレス変換部11が保持するアドレス変換テーブルにしたがって、アドレス/ポート変換を行い、変換されたパケットを出力する。アドレス変換部11において新たなセッションの開始やセッションの終了が検知された場合は、セッションログ読取部12において、例えば図4に示したような形式でその情報を読み取り、ログ解析装置20に通知してセッションログ記録部21にセッションログとして記録する。
【0036】
セッション平均継続時間計算部13では、アドレス変換部11を通過するセッションの平均継続時間を計算し、その結果をセッションログ記録部12に通知する。セッションログ記録部12において、通知された平均継続時間の間隔で、継続中のセッションのセッション情報を記録する。ログ解析部20では、ユーザインタフェース部22からユーザ要求が通知されると、アドレス変換部11から通知されたセッションログから、ユーザが要求した時刻におけるアドレス変換テーブルを再現し、ユーザインタフェース部22を通してユーザ側に表示する。また、再現したアドレス変換テーブルは、再現アドレス変換テーブル記録部24に記録され、別のユーザが同じ時刻のアドレス変換テーブルを要求した場合は、再現アドレス変換テーブル記録部24で既に記録された再現アドレス変換テーブルを表示することで、不要な計算を削減する。
【0037】
次に、ログ解析装置20における再現アドレス変換テーブルの再現方法について説明する。
ここではセッションログ記憶部21に記憶されたセッションログが図5に示すような場合、これらのセッションログからアドレス変換テーブルを再現する方法を述べる。なお、図5において、継続中のセッションのログ記録間隔は3分とする。
【0038】
図5のログから、2009/1/1 12:06:10におけるアドレス変換テーブルを再現する場合は以下の処理が行われる。
先ず、継続中セッションのログ記録間隔が3分であることから、再現したい時刻の3分前のログから確認する。ここでは2009/1/1 12:03:10から確認する。すなわち、12:03:10以降12:06:10までの間で、(1)開始されかつ終了していないセッション、(2)継続中のセッション、がアドレス変換テーブルのエントリに含まれることになる。図5では、12:03:10以降12:06:10までに、セッションID 102のセッションが開始され、セッションID 100のセッションが継続中であることから、図6(a)に示すように、前記2つのセッションが2009/1/1 12:06:10においてアドレス変換テーブルに含まれる。
【0039】
別の例として、図5のログから2009/1/1 12:10:00におけるアドレス変換テーブルを再現する場合は、12:07:00からのログを確認する。12:07:00から12:10:00の間で、セッションID 103のセッションが開始され、またセッションID 102のセッションが継続中であることから、図6(b)に示すように、前記2つのセッションが12:10:00においてアドレス変換テーブルに含まれる。
【0040】
また、過去に再現した再現アドレス変換テーブルを再現アドレス変換テーブル記録部24に記録している場合は、次のような処理が行われる。
ある時刻のアドレス変換テーブルを再現する場合、その時刻から継続中セッションのログ記録間隔だけ遡った時刻の間に、再現アドレス変換テーブル記録部24に記録された再現アドレス変換テーブルXが存在する場合は、再現アドレス変換テーブルXの時刻から再現したい時刻までのログを確認して、所望の再現アドレス変換テーブルを再現する。具体的には、その間に開始されたセッションを再現アドレス変換テーブルXに追加し、終了したセッションを再現アドレス変換テーブルXから削除して、所望の再現アドレス変換テーブルを再現する。
【0041】
上述したアドレス変換テーブル再現装置1によれば、ユーザ要求によりセッションログ記録部21に記憶されたセッションログから任意の時刻におけるアドレス変換テーブルを再現するに際して、セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔でセッション情報をセッションログ記録部21に記録するというセッションログ記録方法を採用することで、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。
そのため、セッションの開始時まで遡ってログを確認する場合に比較して、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【符号の説明】
【0042】
1…アドレス変換テーブル再現装置、 10…アドレス変換装置、 11…アドレス変換部、 12…セッションログ読取部、 13…セッション平均継続時間計算部、 20…ログ解析装置、 21…セッションログ記録部、 22…ログ解析部、 23…ユーザインタフェース部、 24…再現変換テーブル記録部、 25…ログ記憶量監視部。
【技術分野】
【0001】
本発明は、アドレス変換装置を通過するセッションのセッションログ記録方法、及び、そのセッションログを解析することで過去の任意の時点においてアドレス変換装置が保持していたアドレス変換テーブルを再現することができるアドレス変換テーブル再現装置に関する。
【背景技術】
【0002】
IPネットワークにおいては、プライベートアドレスを使用するネットワークからグローバルアドレスを使用するネットワーク(インターネット)に接続するために、一般的にNAT(Network Address Translator)と呼ばれるアドレス変換装置を使用することが行われている。また、アドレス変換装置は、異なるバージョンのIPを使用するネットワーク(例:IPv4ネットワークとIPv6ネットワーク)を相互接続する場合にも使用される。
アドレス変換装置では、変換前のセッション情報(送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、トランスポートプロトコル)と変換後のセッション情報を対応付けたアドレス変換テーブルを保持している。
【0003】
近年、IPv4アドレス枯渇が問題となっており、その影響を緩和する方法として、非特許文献1に示されるように、通信事業者(ISP)単位でアドレス変換を実施する方法が提案されている。この場合、非特許文献2に示されるように、使用するアドレス変換装置は大規模なものとなり、また一つのグローバルアドレスを複数のユーザで共用するため、セッションログの管理が必須となる。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】"Common Functions of Large Scale NAT", draft-nishitani-cgn-02 (Internet draft)
【非特許文献2】キャリア・グレードNATで変わるインターネット第6回 キャリア・グレードNATのログ管理の必須要件 http://itpro.nikkeibp.co.jp/article/COLUMN/20090318/326814/
【発明の概要】
【発明が解決しようとする課題】
【0005】
アドレス変換装置が現在保持するアドレス変換テーブルは、通常アドレス変換装置にログインすることで確認することができる。
【0006】
しかしながら、上述のアドレス変換装置によれば、変換前のセッション情報(送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、トランスポートプロトコル)と変換後のセッション情報を対応付けた過去のアドレス変換テーブルを確認することはできない。
【0007】
その一方、ネットワークの運用管理においては、障害原因調査等で過去の状態を調査することが多くあるため、アドレス変換装置が導入されたネットワークにおいて、アドレス変換装置における過去のアドレス変換テーブルを確認できるようにすることが重要である。過去のアドレス変換テーブルが確認できれば、例えば過去のある時刻において特定ユーザから多数のセッションがアドレス変換装置を通過していた場合に、そのユーザを簡単に特定できる等の利点がある。
【0008】
過去のアドレス変換テーブルを確認する方法としては、定期的に現在のアドレス変換テーブルを取得し保存することも考えられるが、この方法では保存した時点でのアドレス変換テーブルが確認できるのみであり、任意の時刻におけるアドレス変換テーブルを確認することはできない。また、通信事業者が使用する大規模アドレス変換装置では、アドレス変換テーブルのサイズは巨大となるため、頻繁にアドレス変換テーブルを保存するとアドレス変換装置に負荷がかかるという問題がある。
【0009】
また、アドレス変換装置を通過する全てのセッションとその開始、終了時刻をログに記録することで、任意の時刻におけるアドレス変換テーブルを再現することは可能である。しかしながらこの場合、アドレス変換テーブルを正確に再現するには、ログを最初から確認する必要があるため、確認するログの量が多くなるにしたがい再現するまでに時間がかかるという問題がある。
【0010】
本発明は上記事情に鑑みて提案されたもので、アドレス変換装置のセッション情報のセッションログから任意の時刻におけるアドレス変換テーブルを再現するに際して、再現時間を短縮することができるアドレス変換装置におけるセッションログ記録方法及びアドレス変換テーブル再現装置を提供することを目的としている。
【課題を解決するための手段】
【0011】
上記目的を達成するため請求項1の発明は、アドレス変換装置を通過するセッションのログを記録する方法において、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を記録することを特徴としている。
【0012】
請求項2は、請求項1のアドレス変換装置におけるセッションログ記録方法において、前記一定間隔は、演算された複数のセッションの平均継続時間を基に算出されるサンプリング時間であり、前記サンプリング時間を一定周期で変更することを特徴としている。
【0013】
請求項3は、入出力のセッションのアドレス情報を変換するアドレス変換装置と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置とを備えたアドレス変換テーブル再現装置であって、次の構成を含むことを特徴としている。
前記アドレス変換装置は、
入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部と、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部と、
を備える。
前記ログ解析装置は、
前記セッションログ読取部で読み取った情報を記録するセッションログ記憶部と、
ユーザ要求を受け付けるユーザインタフェース部と、
前記セッションログ記録部から情報を読み込み、前記ユーザインタフェース部でユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部と、
再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部と、
を備える。
【0014】
請求項4は、請求項3のアドレス変換テーブル再現装置において、前記アドレス変換装置は、前記セッションログ読取部で読み取るセッション情報から各セッションの平均継続時間を計算するセッション平均継続時間計算部を備え、
前記セッションログ読取部は、前記セッション平均継続時間計算部で計算された複数のセッションの平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録することを特徴としている。
【0015】
請求項5は、請求項4のアドレス変換テーブル再現装置において、
前記ログ解析装置は、前記セッションログ記憶部に記憶されるセッションログの増加量を監視するログ記憶量監視部を備え、
前記セッション平均継続時間計算部は、前記増加量を考慮して前記サンプリング時間を算出することを特徴としている。
【発明の効果】
【0016】
本発明のアドレス変換装置におけるセッションログ記録方法(請求項1)によれば、アドレス変換装置を通過するセッションのログを記録するに際して、セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔でセッション情報を記録することで、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。その結果、セッションの開始時まで遡ってログを確認する場合に比較して、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【0017】
請求項2のセッションログ記録方法によれば、セッション情報を記録する間隔(サンプリング時間)を複数のセッションの平均継続時間に応じて変更することで、アドレス変換装置の使用状況に適したセッション情報の記録を行うことができる。
【0018】
請求項3のアドレス変換テーブル再現装置によれば、セッション情報のログから任意の時刻におけるアドレス変換テーブルを再現する際、その時刻から、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。その結果、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【0019】
請求項4のアドレス変換テーブル再現装置によれば、アドレス変換装置がセッション平均継続時間計算部を備えることで、複数のセッションの平均継続時間を計算することができ、平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録するので、アドレス変換装置の使用状況に適したセッション情報の記録を行うことができる。
【0020】
請求項5のアドレス変換テーブル再現装置によれば、前記ログ解析装置がログ記憶量監視部を備えることで、監視された増加量を考慮したサンプリング時間がセッション平均継続時間計算部で算出可能となり、アドレス変換装置で処理するセッションが増加した場合に適したセッション情報の記録を行うことができる。
【図面の簡単な説明】
【0021】
【図1】本発明のアドレス変換テーブル再現装置の実施形態の一例を示すブロック図である。
【図2】アドレス変換装置の利用形態を示す模式図である。
【図3】アドレス領域とセッションとの関係を示す模式図である。
【図4】アドレス変換装置がログとして記憶するセッション情報を示す説明図である。
【図5】アドレス変換テーブル再現装置のログ解析装置におけるセッションログ記録部に記録されたセッション情報の一例を示す説明図である。
【図6】(a)(b)はアドレス変換テーブル再現装置で再現したアドレス変換テーブルの一例を示す説明図である。
【発明を実施するための形態】
【0022】
以下、本発明のアドレス変換テーブル再現装置の実施形態の一例について、図1乃至図6を参照しながら説明する。
本発明のアドレス変換テーブル再現装置1は、図1に示すように、パケットの入出力におけるセッションの情報をアドレス変換テーブルに基づいて変換するアドレス変換装置10と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置20とを備えて構成されている。アドレス変換装置10は、図2に示すように、異なるアドレス領域(アドレス領域Aとアドレス領域B)を使用するネットワーク同士を接続するための装置である。異なるアドレス領域の接続例としては、IPv4プライベートアドレスとグローバルアドレス、IPv4アドレスとIPv6アドレス等がある。
【0023】
アドレス変換装置10は、アドレス変換部11と、セッションログ読取部12と、セッション平均継続時間計算部13とを有している。
アドレス変換部11は、パケット入力された入力セッションのアドレス情報を予め記憶されているアドレス変換テーブルに基づいて変換しパケット出力するものである。
【0024】
図3に、アドレス変換装置10のアドレス変換部11で対応付けされるアドレス領域とセッションとの関係を示す。セッションは、通信を行う両ホストのアドレスとポート番号、トランスポート層プロトコル(TCPやUDP等)で区別する。
例えば、アドレス領域Aのエンドホスト8とアドレス領域Bのエンドホスト9間のセッションがアドレス変換装置10を通過する場合、図3に示すように、アドレス領域Aのエンド側アドレス/ポートは、アドレス変換装置においてアドレス領域BのNAT側アドレス/ポートに変換され、アドレス領域AのNAT側アドレス/ポートは、アドレス領域Bのエンド側アドレス/ポートに変換される。アドレス変換装置10のアドレス変換部11では、この対応をアドレス変換テーブルのエントリとして、セッションが継続する限り保持する。なお、アドレス領域AがIPv4プライベートアドレスでアドレス領域BがIPv4グローバルアドレス(インターネット)の場合のように、アドレス領域AのNAT側アドレス/ポートとアドレス領域Bのエンド側アドレス/ポートが同じとなる(変換されない)場合もある。
【0025】
図4に、アドレス変換部11がログとして保持するセッション情報の例を示す。セッション情報は、「時刻」「セッションID」「セッション状況」「アドレス領域A エンド側アドレス」「アドレス領域A NAT側アドレス」「アドレス領域A NAT側ポート番号」「アドレス領域B NAT側アドレス」「アドレス領域B NAT側ポート番号」「アドレス領域B エンド側アドレス」「アドレス領域B エンド側ポート番号」「トランスポート層プロトコル」を有している。
「セッションID」は、各セッションに対して割り当てる任意の値であり、セッション開始時に割り当てられる。「セッション状況」は、セッションの種類である開始(start)、終了(end)、継続(cont)を区別するためのものである。セッションの終了(end)または継続(cont)を保持する場合は、「時刻」「セッションID」「セッション状況」の情報のみを保持してもよい。
【0026】
セッションログ読取部12は、セッションの開始時、終了時とともに、継続中のセッションについて、予め設定された一定間隔で上述したログとしてアドレス変換部11が保持するセッション情報を読み取り、後述するセッションログ記録部21に記録するものである。
セッションログ読取部12及びセッションログ記録部21では、セッションの開始時及び終了時だけではなく、継続中のセッションについても、予め設定された一定間隔でログとしてアドレス変換部11が保持するセッション情報を読み取って記録するセッションログ記録方法を採用することが重要となる。
【0027】
セッションログの記録間隔は、短すぎると記録されるログの量が膨大になる可能性があり、長すぎるとログからアドレス変換テーブルを再現する際に、ログを過去に遡る期間が長くなり、その結果確認するログの量が多くなる可能性がある。具体的には、セッションログの記録間隔は、3分程度に設定されている。また、この記録間隔(予め設定された一定間隔)は、常時固定された記録間隔でもよいし、後述するように情報に基づいて一定周期で変更するようにしてもよい。
【0028】
ログを記録する期間(記録間隔)を決定する方法の一例として、セッションの平均継続時間より決定する方法が考えられる。
この場合は、セッションログ読取部12で読み取るセッション情報から各セッションの継続時間を抽出し、セッション全体の平均継続時間を計算するセッション平均継続時間計算部13を設ける。
【0029】
セッションの継続時間とは、そのセッションの開始から終了までの時間であり、トランスポートプロトコル毎に、そのトランスポートプロトコルを利用する全セッションの平均継続時間を定期的に算出し、その時間を継続セッションのログ記録間隔とする。継続セッションのログ記録間隔は、セッションの平均継続時間を算出したタイミングで更新される。
すなわち、セッション平均継続時間計算部13では、トランスポートプロトコル毎に全てのセッションのセッション継続時間をデータとして記憶し、一定期間毎に全セッションの平均継続時間を算出することが行われる。そして、この平均継続時間からサンプリング時間(記録間隔)を算出し、一定周期で変更されるサンプリング時間(記録間隔)を基にセッションログ読取部12においてセッション情報が読み取られる。サンプリング時間は、例えば、単純に全セッションの継続時間をデータ数で除して算出してもよいし、データに重みを付けたり、或いは、各セッションの継続時間を基に所望の計算式により算出するようにしてもよい。
【0030】
前記ログ解析装置20は、セッションログ記憶部21と、ユーザインタフェース部22と、ログ解析部23と、再現アドレス変換テーブル記録部24と、ログ記憶量監視部25とを有している。
セッションログ記憶部21は、セッションログ読取部12で読み取った情報を順次記録するものである。
【0031】
ユーザインタフェース部22は、ユーザがアドレス変換装置10のアドレス変換部11におけるアドレス変更テーブルを確認したいというユーザ要求を受け付けるもので、ユーザは、アドレス変更テーブルを再現したい時刻(日時)を入力する。
【0032】
ログ解析部23は、セッションログ記録部21から情報を読み込み、ユーザインタフェース部22でユーザが要求した過去の任意の時刻において、アドレス変換部11が保持していたアドレス変換テーブルをセッションログから解析して再現するものである。
再現アドレス変換テーブル記録部24は、ログ解析部23で再現した再現アドレス変換テーブルを順次記録するものであり、再現アドレス変換テーブルはユーザ要求を受けた場合にユーザインタフェース部22からユーザ側へ出力される。
【0033】
ログ記憶量監視部25は、セッションログ読取部21によりセッションログ記憶部21に記憶されるセッションログの増加量を監視するものであり、ログの増加割合(バイト/分等で判断する)をセッション平均継続時間計算部13に通知する。セッション平均継続時間計算部13では、セッション平均継続時間を算出するに際して、ログ記憶量監視部25から通知された増加割合値を加味して計算する。すなわち、セッション平均継続時間計算部13は、ログの増加量を考慮してサンプリング時間(記録間隔)を算出する。例えば、ログ記憶監視部25から通知された増加割合値をPとし、Pがある値以上である場合に、次式で示されるように、計算した平均継続時間にαPを加えることで補正セッション平均継続時間を得ることができる。
(補正セッション平均継続時間)=(計算したセッション平均継続時間)+αP
αは、任意の値であり、装置で設定可能なように構成されている。
【0034】
ログ記憶監視部25で検知されたログの増加割合値Pがある値以上の場合にのみ(計算したセッション平均継続時間)の補正を行うようにしたのは、ログの増加割合が小さい場合は、ログの増加割合を抑制する必要がないと考えられるからである。ログの増加割合がある値以上の場合にのみ、継続セッションを記録する記録間隔を大きくしてログの増加割合を抑制する。
【0035】
次に、上述したアドレス変換テーブル再現装置1の動作について説明する。
アドレス変換装置10のアドレス変換部11は、パケットの入力に際して、それが既に存在するセッションのパケットである場合は、アドレス変換部11が保持するアドレス変換テーブルにしたがって、アドレス/ポート変換を行い、変換されたパケットを出力する。アドレス変換部11において新たなセッションの開始やセッションの終了が検知された場合は、セッションログ読取部12において、例えば図4に示したような形式でその情報を読み取り、ログ解析装置20に通知してセッションログ記録部21にセッションログとして記録する。
【0036】
セッション平均継続時間計算部13では、アドレス変換部11を通過するセッションの平均継続時間を計算し、その結果をセッションログ記録部12に通知する。セッションログ記録部12において、通知された平均継続時間の間隔で、継続中のセッションのセッション情報を記録する。ログ解析部20では、ユーザインタフェース部22からユーザ要求が通知されると、アドレス変換部11から通知されたセッションログから、ユーザが要求した時刻におけるアドレス変換テーブルを再現し、ユーザインタフェース部22を通してユーザ側に表示する。また、再現したアドレス変換テーブルは、再現アドレス変換テーブル記録部24に記録され、別のユーザが同じ時刻のアドレス変換テーブルを要求した場合は、再現アドレス変換テーブル記録部24で既に記録された再現アドレス変換テーブルを表示することで、不要な計算を削減する。
【0037】
次に、ログ解析装置20における再現アドレス変換テーブルの再現方法について説明する。
ここではセッションログ記憶部21に記憶されたセッションログが図5に示すような場合、これらのセッションログからアドレス変換テーブルを再現する方法を述べる。なお、図5において、継続中のセッションのログ記録間隔は3分とする。
【0038】
図5のログから、2009/1/1 12:06:10におけるアドレス変換テーブルを再現する場合は以下の処理が行われる。
先ず、継続中セッションのログ記録間隔が3分であることから、再現したい時刻の3分前のログから確認する。ここでは2009/1/1 12:03:10から確認する。すなわち、12:03:10以降12:06:10までの間で、(1)開始されかつ終了していないセッション、(2)継続中のセッション、がアドレス変換テーブルのエントリに含まれることになる。図5では、12:03:10以降12:06:10までに、セッションID 102のセッションが開始され、セッションID 100のセッションが継続中であることから、図6(a)に示すように、前記2つのセッションが2009/1/1 12:06:10においてアドレス変換テーブルに含まれる。
【0039】
別の例として、図5のログから2009/1/1 12:10:00におけるアドレス変換テーブルを再現する場合は、12:07:00からのログを確認する。12:07:00から12:10:00の間で、セッションID 103のセッションが開始され、またセッションID 102のセッションが継続中であることから、図6(b)に示すように、前記2つのセッションが12:10:00においてアドレス変換テーブルに含まれる。
【0040】
また、過去に再現した再現アドレス変換テーブルを再現アドレス変換テーブル記録部24に記録している場合は、次のような処理が行われる。
ある時刻のアドレス変換テーブルを再現する場合、その時刻から継続中セッションのログ記録間隔だけ遡った時刻の間に、再現アドレス変換テーブル記録部24に記録された再現アドレス変換テーブルXが存在する場合は、再現アドレス変換テーブルXの時刻から再現したい時刻までのログを確認して、所望の再現アドレス変換テーブルを再現する。具体的には、その間に開始されたセッションを再現アドレス変換テーブルXに追加し、終了したセッションを再現アドレス変換テーブルXから削除して、所望の再現アドレス変換テーブルを再現する。
【0041】
上述したアドレス変換テーブル再現装置1によれば、ユーザ要求によりセッションログ記録部21に記憶されたセッションログから任意の時刻におけるアドレス変換テーブルを再現するに際して、セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔でセッション情報をセッションログ記録部21に記録するというセッションログ記録方法を採用することで、継続中セッションのログ記録間隔だけ遡った時刻からのログを確認するだけで、アドレス変換テーブルを再現することができる。
そのため、セッションの開始時まで遡ってログを確認する場合に比較して、ログの確認量が少なくなるため、アドレス変換テーブルの再現時間を短縮することができる。
【符号の説明】
【0042】
1…アドレス変換テーブル再現装置、 10…アドレス変換装置、 11…アドレス変換部、 12…セッションログ読取部、 13…セッション平均継続時間計算部、 20…ログ解析装置、 21…セッションログ記録部、 22…ログ解析部、 23…ユーザインタフェース部、 24…再現変換テーブル記録部、 25…ログ記憶量監視部。
【特許請求の範囲】
【請求項1】
アドレス変換装置を通過するセッションのログを記録する方法において、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を記録することを特徴とするアドレス変換装置におけるセッションログ記録方法。
【請求項2】
前記一定間隔は、演算された複数のセッションの平均継続時間を基に算出されるサンプリング時間であり、前記サンプリング時間を一定周期で変更する請求項1に記載のアドレス変換装置におけるセッションログ記録方法。
【請求項3】
入出力のセッションのアドレス情報を変換するアドレス変換装置と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置とを備えたアドレス変換テーブル再現装置であって、
前記アドレス変換装置は、
入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部と、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部と、
前記ログ解析装置は、
前記セッションログ読取部で読み取った情報を記録するセッションログ記憶部と、
ユーザ要求を受け付けるユーザインタフェース部と、
前記セッションログ記録部から情報を読み込み、前記ユーザインタフェース部でユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部と、
再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部と、
を備えたことを特徴とするアドレス変換テーブル再現装置。
【請求項4】
前記アドレス変換装置は、前記セッションログ読取部で読み取るセッション情報から各セッションの平均継続時間を計算するセッション平均継続時間計算部を備え、
前記セッションログ読取部は、前記セッション平均継続時間計算部で計算された複数のセッションの平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録する請求項3に記載のアドレス変換テーブル再現装置。
【請求項5】
前記ログ解析装置は、前記セッションログ記憶部に記憶されるセッションログの増加量を監視するログ記憶量監視部を備え、
前記セッション平均継続時間計算部は、前記増加量を考慮して前記サンプリング時間を算出する請求項4に記載のアドレス変換テーブル再現装置。
【請求項1】
アドレス変換装置を通過するセッションのログを記録する方法において、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を記録することを特徴とするアドレス変換装置におけるセッションログ記録方法。
【請求項2】
前記一定間隔は、演算された複数のセッションの平均継続時間を基に算出されるサンプリング時間であり、前記サンプリング時間を一定周期で変更する請求項1に記載のアドレス変換装置におけるセッションログ記録方法。
【請求項3】
入出力のセッションのアドレス情報を変換するアドレス変換装置と、ユーザが要求した時刻におけるアドレス変換テーブルを再現するログ解析装置とを備えたアドレス変換テーブル再現装置であって、
前記アドレス変換装置は、
入力セッションのアドレス情報をアドレス変換テーブルに基づいて変換するアドレス変換部と、
前記セッションの開始時、終了時とともに、継続中のセッションについて予め設定された一定間隔で前記セッションの情報を読み取るセッションログ読取部と、
前記ログ解析装置は、
前記セッションログ読取部で読み取った情報を記録するセッションログ記憶部と、
ユーザ要求を受け付けるユーザインタフェース部と、
前記セッションログ記録部から情報を読み込み、前記ユーザインタフェース部でユーザが要求した過去の任意の時刻において、前記アドレス変換部が保持していたアドレス変換テーブルを再現するログ解析部と、
再現したアドレス変換テーブルを記録する再現アドレス変換テーブル記録部と、
を備えたことを特徴とするアドレス変換テーブル再現装置。
【請求項4】
前記アドレス変換装置は、前記セッションログ読取部で読み取るセッション情報から各セッションの平均継続時間を計算するセッション平均継続時間計算部を備え、
前記セッションログ読取部は、前記セッション平均継続時間計算部で計算された複数のセッションの平均継続時間を基に算出されるサンプリング時間により各セッションの情報を記録する請求項3に記載のアドレス変換テーブル再現装置。
【請求項5】
前記ログ解析装置は、前記セッションログ記憶部に記憶されるセッションログの増加量を監視するログ記憶量監視部を備え、
前記セッション平均継続時間計算部は、前記増加量を考慮して前記サンプリング時間を算出する請求項4に記載のアドレス変換テーブル再現装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2011−24093(P2011−24093A)
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願番号】特願2009−168853(P2009−168853)
【出願日】平成21年7月17日(2009.7.17)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願日】平成21年7月17日(2009.7.17)
【出願人】(000208891)KDDI株式会社 (2,700)
【Fターム(参考)】
[ Back to top ]