ネットワークシステム及びトラヒック情報集約装置
【課題】監視サーバによって受信されるデータ量を削減する。
【解決手段】ネットワークにおいてデータを転送するルータ装置に接続されるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続される監視サーバと、を備えるネットワークシステムにおいて、前記トラヒック情報集約装置は、前記ルータ装置からトラヒック情報を受信し、前記受信したトラヒック情報に集約識別子を付与し、前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする。
【解決手段】ネットワークにおいてデータを転送するルータ装置に接続されるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続される監視サーバと、を備えるネットワークシステムにおいて、前記トラヒック情報集約装置は、前記ルータ装置からトラヒック情報を受信し、前記受信したトラヒック情報に集約識別子を付与し、前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラヒック情報集約装置及び監視サーバを備えるネットワークシステムに関し、特に、トラヒック情報を集約する技術に関する。
【背景技術】
【0002】
従来のトラヒック情報監視システムは、ルータ装置、トラヒック情報集約装置及び監視サーバを備える。トラヒック情報集約装置は、ルータ装置に接続される。また、監視サーバは、トラヒック情報集約装置に接続される。
【0003】
ルータ装置は、トラフック情報をトラヒック情報集約装置に送信する。トラヒック情報集約装置は、ルータ装置から受信したトラヒック情報を、ファイルとして記憶する。そして、トラヒック情報集約装置は、監視サーバからトラヒック情報を要求されると、トラヒック情報のファイルを監視サーバに送信する。
【0004】
なお、トラヒック情報の集約に関しては、非特許文献1に開示されている。
【非特許文献1】IPFIX Aggregation <draft-dressler-ipfix-aggregation-02.txt>、インターネット<URL:http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt>
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来のトラヒック情報監視システムでは、監視サーバは、ファイル単位でトラヒック情報を受信する。つまり、監視サーバは、特定のトラヒック情報だけを受信することができない。そのため、監視サーバによって受信されるデータ量が多くなるという問題があった。これによって、従来のトラヒック情報監視システムでは、大規模ネットワークにおけるシステム拡張性に問題があった。
【0006】
本発明は、前述した問題点に鑑みてなされたものであって、監視サーバによって受信されるデータ量を削減するネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の代表的な形態は、ネットワークにおいてデータを転送するルータ装置に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続され、プロセッサ、メモリ及びインタフェースを備える監視サーバと、を備えるネットワークシステムにおいて、前記トラヒック情報集約装置は、前記ルータ装置からトラヒック情報を受信し、前記受信したトラヒック情報に集約識別子を付与し、前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする。
【発明の効果】
【0008】
本発明の代表的な形態によれば、監視サーバによって受信されるデータ量を削減できる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態を図面を参照して説明する。
【0010】
(第1の実施の形態)
図1は、本発明の第1の実施の形態のトラヒック情報監視システムの構成のブロック図である。
【0011】
トラヒック情報監視システムは、ルータ装置111、トラヒック情報集約装置121及び監視サーバ131を備える。トラヒック情報集約装置121は、一台以上のルータ装置111に接続される。また、監視サーバ131は、一台以上のトラヒック情報集約装置121に接続される。
【0012】
ルータ装置111は、異なるネットワークを相互に接続する。つまり、ルータ装置111は、ネットワーク上を流れるデータを転送する。また、ルータ装置111は、トラヒック情報をトラヒック情報集約装置121に送信する。
【0013】
トラヒック情報集約装置121は、ルータ装置111から送信されたトラヒック情報を集約する。なお、トラヒック情報集約装置121については、図2で詳細を説明する。監視サーバ131は、CPU、メモリ及びインタフェースを備える計算機である。
【0014】
なお、ルータ装置111とトラヒック情報集約装置121とが同一の筐体内にあってもよい。また、監視サーバ131とトラヒック情報集約装置121とが同一の筐体内にあってもよい。
【0015】
次に、トラヒック情報監視システムの処理の概略を説明する。
【0016】
ルータ装置111は、接続されているトラヒック情報集約装置121に、トラヒック情報を送信する。トラヒック情報は、例えば、NetFlow又はsFlowなどである。
【0017】
トラヒック情報集約装置121は、ルータ装置111からトラヒック情報を受信する。次に、トラヒック情報集約装置121は、受信したトラヒック情報をファイルとして記憶する。
【0018】
次に、トラヒック情報集約装置121は、記憶しているトラヒック情報を集約することによって、集約情報を作成する。なお、集約情報は、トラヒック情報に関する統計情報である。
【0019】
次に、トラヒック情報集約装置121は、NetFlowなどのプロトコルを用いて、作成した集約情報を監視サーバ131に送信する。
【0020】
一方、監視サーバ131は、クエリ要求をトラヒック情報集約装置121に送信する。トラヒック情報集約装置121は、監視サーバ131からクエリ要求を受信すると、記憶しているトラヒック情報の中から、当該クエリ要求に対応するトラヒック情報を検索する。そして、トラヒック情報集約装置121は、検索したトラヒック情報を監視サーバ131に送信する。
【0021】
図2は、本発明の第1の実施の形態のトラヒック情報集約装置121の構成のブロック図である。
【0022】
トラヒック情報集約装置121は、通信インタフェース部301、制御処理プロセッサ320、データ入出力制御部304、データ記憶装置306、管理者入出力部(図示省略)及びメモリ(図示省略)を備える。
【0023】
通信インタフェース部301は、ルータ装置111及び監視サーバ131に接続される。
【0024】
データ記憶装置306は、各種情報を記憶する。具体的には、データ記憶装置306は、トラヒック情報テーブル307を記憶する。トラヒック情報テーブル307には、ルータ装置111から送信されたトラヒック情報が格納される。なお、トラヒック情報テーブル307については、図3で詳細を説明する。
【0025】
データ入出力制御部304は、データ記憶装置306に対するデータの入出力を制御する。
【0026】
管理者入出力部には、管理者から情報が入力される。また、管理者入出力部は、各種情報を出力する。例えば、管理者入出力部は、ディスプレイ及びキーボード等を含む。
【0027】
制御処理プロセッサ320は、メモリに記憶されているプログラムを実行することによって、通信プロトコル制御部302及びサーバ制御論理部303を実現する。メモリには、制御処理プロセッサ32によって実行されるプログラム及び制御処理プロセッサ320によって必要とされる情報が記憶される。
【0028】
通信プロトコル処理部302は、通信プロトコルを処理する。具体的には、通信プロトコル処理部302は、トラヒック情報集約装置121の内部のプロトコルと外部のプロトコルとを相互に変換する。
【0029】
また、サーバ制御論理部303は、トラヒック情報蓄積部310、集約処理部311、集約情報送信部312、クエリ処理部313及び集約タイマ処理部314を含む。
【0030】
トラヒック情報蓄積部310は、ルータ装置111からトラヒック情報を受信する。そして、トラヒック情報蓄積部310は、受信したトラヒック情報をトラヒック情報テーブル307に格納する。
【0031】
集約処理部311は、トラヒック情報テーブル307に格納されているトラヒック情報を集約することによって、集約情報を作成する。
【0032】
集約情報送信部312は、集約処理部311によって作成された集約情報を、監視サーバ131に送信する。
【0033】
クエリ処理部313は、監視サーバ131からクエリ要求を受信する。クエリ処理部313は、受信したクエリ要求に対応するトラヒック情報を、トラヒック情報テーブル307から検索する。そして、クエリ処理部313は、検索したトラヒック情報をクエリ結果として、監視サーバ131に送信する。
【0034】
集約タイマ処理部314は、集約処理部311に集約用のタイマを提供する。これによって、集約処理部311は、所定の時間内に受信されたトラヒック情報を集約することによって、集約情報を作成する。
【0035】
図3は、本発明の第1の実施の形態のトラヒック情報テーブル307の構成図である。
【0036】
トラヒック情報テーブル307は、トラヒック情報識別子(RECORD_ID)3071、送信元IPアドレス(IPV4_SRC_ADDR)3072、送信先IPアドレス(IPV4_DST_ADDR)3073、バイト数(IN_BYTES)3074及び集約識別子(AGGR_ID)3075を含む。
【0037】
トラヒック情報識別子3071は、トラヒック情報の一意な識別子である。送信元IPアドレス3072は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信元のIPアドレスである。送信先IPアドレス3073は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のIPアドレスである。
【0038】
バイト数3074は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローにおいて送信されるデータのバイト数である。集約識別子3075は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する集約情報の一意な識別子である。集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を集約する際に使用される。更に、集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を検索する際にも使用される。
【0039】
図4は、本発明の第1の実施の形態のトラヒック情報監視システムの処理のシーケンス図である。
【0040】
まず、監視サーバ131はトラヒック情報集約装置121に集約条件を送信する(501)。
【0041】
集約条件は、トラヒック情報集約装置121がトラヒック情報を集約する条件である。具体的には、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、送信元IPアドレスのプレフィックス、送信先IPアドレスのプレフィックス、AS(Autonomous System)、プロトコル番号又はToS(Type of Service)が、集約条件として送信される。また、これらの組み合わせが、集約条件として送信されてもよい。なお、集約条件については、図5で詳細を説明する。
【0042】
トラヒック情報集約装置121は、集約条件を監視サーバから受信する。すると、トラヒック情報集約装置121は、受信した集約条件を、当該トラヒック情報集約装置121に備わるメモリに記憶する。そして、トラヒック情報集約装置121は、到着確認パケット(ACK)を監視サーバ131に送信する(502)。
【0043】
一方、ルータ装置111は、トラヒック情報をトラヒック情報集約装置121に送信する。
【0044】
トラヒック情報集約装置121は、トラヒック情報を受信する(503、504、505)。すると、トラヒック情報集約装置121は、受信したトラヒック情報を、トラヒック情報テーブル307に格納する。
【0045】
具体的には、トラヒック情報集約装置121は、受信したトラヒック情報にトラヒック情報識別子を付与する。更に、トラヒック情報集約装置121は、メモリに記憶されている集約条件に基づいて、受信したトラヒック情報に集約識別子を付与する。
【0046】
次に、トラヒック情報集約装置121は、トラヒック情報テーブル307に新たなレコードを作成する。次に、トラヒック情報集約装置121は、付与したトラヒック情報識別子を、新たなレコードのトラヒック情報識別子3071に格納する。次に、トラヒック情報集約装置121は、付与した集約識別子を、新たなレコードの集約識別子3075に格納する。
【0047】
次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローの送信元IPアドレスを、新たなレコードの送信元IPアドレス3072に格納する。次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローの送信先IPアドレスを、新たなレコードの送信先IPアドレス3073に格納する。次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローのバイト数を、新たなレコードのバイト数3074に格納する。
【0048】
このようにして、トラヒック情報集約装置121は、受信したトラヒック情報をトラヒック情報テーブル307に格納する。
【0049】
次に、トラヒック情報集約装置121は、トラヒック情報テーブル307に格納されているトラヒック情報を集約する。なお、トラヒック情報集約装置121は、所定の時間内に受信されたトラヒック情報を集約する。所定の時間は、集約タイマ処理部314によって測定される。
【0050】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307の集約識別子3075が同一のトラヒック情報を集約することによって、集約情報を作成する。なお、トラヒック情報集約装置121によって実行される集約処理については、図6で詳細を説明する。
【0051】
次に、トラヒック情報集約装置121は、作成した集約情報を監視サーバ131に送信する(506)。本実施の形態における集約情報には、集約識別子が含まれる。なお、集約情報については、図7で詳細を説明する。
【0052】
監視サーバ131は、集約情報をトラヒック情報集約装置121から受信する。すると、監視サーバ131は、ACKを監視サーバに送信する(507)。
【0053】
その後、監視サーバ131は、トラヒック情報集約装置121にクエリ要求を送信する(508)。本実施の形態におけるクエリ要求には、集約識別子が含まれる。なお、クエリ要求については、図8で詳細を説明する。
【0054】
トラヒック情報集約装置121は、クエリ要求を監視サーバ131から受信する。すると、トラヒック情報集約装置121は、当該クエリ要求に含まれる集約識別子に基づいて、トラヒック情報テーブル307の中から、当該クエリ要求に対応するトラヒック情報を検索する。
【0055】
そして、トラヒック情報集約装置121は、検索したトラヒック情報を、クエリ結果として監視サーバ131に送信する。なお、クエリ結果については、図9で詳細を説明する。
【0056】
図5は、本発明の第1の実施の形態の監視サーバ131によって送信される集約条件の説明図である。
【0057】
集約条件は、集約のキー(AGGR_KEY)、集約する値(AGGR_VALUE)、及び集約識別子の種類(AGGR_ID_TYPE)を含む。
【0058】
トラヒック情報集約装置121は、集約のキーが同一の値のトラヒック情報を集約することによって、集約情報を作成する。集約する値は、トラヒック情報に含まれる値のうち、トラヒック情報集約装置121によって集約される値である。
【0059】
集約識別子の種類は、集約情報に付与される識別子の種類である。
【0060】
本説明図の集約条件では、集約のキーは、送信元IPアドレス(IPV4_SRC_ADDR)と送信先IPアドレス(IPV4_DST_ADDR)との組み合わせである。また、集約する値は、通信フローのバイト数(IN_BYTES)である。
【0061】
また、集約識別子の種類は、シークエンシャルである。この場合、トラヒック情報集約装置121は、順番に低い番号を集約識別子とする。
【0062】
トラヒック情報集約装置121は、図5に示す集約条件を受信する。その後、トラヒック情報集約装置121は、当該集約条件に基づいて、トラヒック情報をトラヒック情報テーブル307(図3)に格納する。
【0063】
図6は、本発明の第1の実施の形態のトラヒック情報集約装置121の集約処理の説明図である。
【0064】
ここでは、図5に示す集約条件の場合を説明する。
【0065】
トラヒック情報集約装置121は、送信元IPアドレスと送信先IPアドレスとの組み合わせが同一の通信フローに関するトラヒック情報を集約する。
【0066】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307(図3)の送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一のレコードを選択する。次に、トラヒック情報集約装置121は、選択したレコードに対応するトラヒック情報に、同一の集約識別子を付与する。そして、トラヒック情報集約装置121は、同一の集約識別子が付与されたトラヒック情報を集約することによって、集約情報を作成する。
【0067】
例えば、トラヒック情報集約装置121は、トラヒック情報識別子3071の「1」によって識別されるレコード201、トラヒック情報識別子3071の「2」によって識別されるレコード202及びトラヒック情報識別子3071の「4」によって識別されるレコード204を、トラヒック情報テーブル307(図3)から選択する。なぜなら、これらのレコード201、202及び204に対応するトラヒック情報は、送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一だからである。
【0068】
そして、トラヒック情報集約装置121は、レコード201に対応するトラヒック情報、レコード202に対応するトラヒック情報及びレコード204に対応するトラヒック情報に、集約識別子の「1」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「1」を、レコード201、202及び204の集約識別子3075に格納する。
【0069】
次に、トラヒック情報集約装置121は、選択したすべてのレコード201、202及び204のバイト数3074の合計を算出することによって、集約情報206を作成する。
【0070】
同様に、トラヒック情報集約装置121は、トラヒック情報識別子3071の「3」によって識別されるレコード203及びトラヒック情報識別子3071の「5」によって識別されるレコード205を、トラヒック情報テーブル307から選択する。なぜなら、これらのレコード203及び205に対応するトラヒック情報は、送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一だからである。
【0071】
そして、トラヒック情報集約装置121は、レコード203に対応するトラヒック情報及びレコード205に対応するトラヒック情報に、集約識別子の「2」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「2」を、レコード203及び205の集約識別子3075に格納する。
【0072】
次に、トラヒック情報集約装置121は、選択したすべてのレコード203及び205のバイト数3074の合計を算出することによって、集約情報207を作成する。
【0073】
図7は、本発明の第1の実施の形態のトラヒック情報集約装置121によって送信される集約情報の説明図である。
【0074】
集約情報は、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)、通信フローのバイト数の合計値(IN_BYTES)及び集約識別子(AGGR_ID)を含む。
【0075】
集約情報に含まれる送信元IPアドレスは、当該集約情報に対応する通信フローの送信元のIPアドレスである。また、集約情報に含まれる送信先IPアドレスは、当該集約情報に対応する通信フローの送信先のIPアドレスである。集約情報に含まれる通信フローのバイト数の合計値は、当該集約情報に対応する通信フローにおいて送信されたデータのバイト数の合計値である。また、集約識別子は、当該集約情報の一意な識別子である。
【0076】
本説明図の集約情報では、送信元IPアドレスは「192.168.1.1」である。また、送信先IPアドレスは「192.168.1.2」である。また、通信フローのバイト数の合計値は、「448」バイトである。また、集約識別子は「1」である。
【0077】
図8は、本発明の第1の実施の形態の監視サーバ131によって送信されるクエリ要求の説明図である。
【0078】
クエリ要求には、要求される情報の種類が含まれる。本説明図のクエリ要求では、トラヒック情報識別子(RECORD_ID)、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)及び通信フローのバイト数(IN_BYTES)が要求される。
【0079】
また、クエリ要求には、検索の条件として、集約識別子(AGGR_ID)が含まれる。本説明図のクエリ要求は、集約識別子が「1」であるトラヒック情報の検索を要求する。
【0080】
トラヒック情報集約装置121は、クエリ要求を受信すると、当該クエリ要求から集約識別子を抽出する。次に、トラヒック情報集約装置121は、抽出した集約識別子によって識別される集約情報に対応するトラヒック情報を特定する。そして、トラヒック情報集約装置121は、特定したトラヒック情報を、クエリ結果として監視サーバ131に送信する。
【0081】
具体的には、トラヒック情報集約装置121は、抽出した集約識別子とトラヒック情報テーブル307の集約識別子3075とが一致するレコードを、トラヒック情報テーブル307から選択する。次に、トラヒック情報集約装置121は、選択したレコードから、トラヒック情報識別子3071、送信元IPアドレス3072、送信先IPアドレス3073及びバイト数3074を抽出する。次に、トラヒック情報集約装置121は、抽出したトラヒック情報識別子3071、送信元IPアドレス3072、送信先IPアドレス3073及びバイト数3074を、クエリ結果として監視サーバ131に送信する。
【0082】
従来のトラヒック情報集約装置は、送信元IPアドレス及び送信先IPアドレスを検索のキーとして検索する。つまり、従来のトラヒック情報集約装置は、複数の列を検索しなければならない。一方、本実施の形態のトラヒック情報集約装置121は、集約識別子を検索のキーとして、トラヒック情報を検索する。そのため、本実施の形態では、トラヒック情報集約装置121の検索処理の負担が低減される。
【0083】
IPアドレスがIPv4アドレスの場合、検索キーの長さは64ビットとなる。また、IPアドレスがIPv6アドレスの場合、検索キーの長さは256ビットとなる。一方、本実施の形態では、検索キーの長さは数ビットとなる。つまり、本実施の形態では、検索キーの長さが短いので、トラヒック情報集約装置121の検索処理の負担が更に低減される。
【0084】
図9は、本発明の第1の実施の形態のトラヒック情報集約装置121によって送信されるクエリ結果の説明図である。
【0085】
クエリ結果には、クエリ要求に対応するすべてのトラヒック情報が含まれる。具体的には、クエリ結果は、トラヒック情報識別子(RECORD_ID)、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)及び通信フローのバイト数(IN_BYTES)を、クエリ要求に対応するトラヒック情報ごとに含む。
【0086】
以上のように、本発明の第1の実施の形態では、トラヒック情報集約装置121は、トラヒック情報に集約識別子を付与する。そして、トラヒック情報集約装置121は、集約識別子を用いて、集約処理を行う。また、監視サーバ131は、集約識別子を検索のキーとして指定する。そのため、トラヒック情報集約装置121は、指定された集約識別子を用いて、検索処理を行う。つまり、トラヒック情報集約装置121は、集約識別子に基づいて、集約処理及び検索処理の二つの処理を行うことができる。
【0087】
(第2の実施の形態)
本発明の第2の実施の形態では、トラヒック情報集約装置121は、送信先IPアドレス及び送信先ポート番号に基づいて、トラヒック情報を集約する。
【0088】
第2の実施の形態のトラヒック情報監視システムの構成は、第1の実施の形態のトラヒック情報監視システム(図1)と同一なので説明を省略する。また、第2の実施の形態のトラヒック情報監視システムの処理の概要は、第1の実施の形態のトラヒック情報監視システムの処理(図4)と同一なので説明を省略する。
【0089】
図10は、本発明の第2の実施の形態の監視サーバ131によって送信される集約条件の説明図である。
【0090】
集約条件は、集約のキー(AGGR_KEY)、集約する値(AGGR_VALUE)、及び集約識別子の種類(AGGR_ID_TYPE)を含む。
【0091】
第2の実施の形態の集約条件では、集約のキーは、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせである。また、集約する値は、通信フローのパケット数(IN_PKTS)である。
【0092】
また、集約識別子の種類は、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせである。
【0093】
トラヒック情報集約装置121は、図10の集約条件を受信する。その後、トラヒック情報集約装置121は、当該集約条件に基づいて、トラヒック情報をトラヒック情報テーブル307に格納する。
【0094】
図11は、本発明の第2の実施の形態のトラヒック情報テーブル307の構成図である。
【0095】
トラヒック情報テーブル307は、トラヒック情報識別子(RECORD_ID)3071、送信先IPアドレス(IPV4_DST_ADDR)3073、送信先ポート番号(L4_DST_PORT)3076、パケット数(IN_PKTS)3077及び集約識別子(AGGR_ID)3078を含む。
【0096】
トラヒック情報識別子3071は、トラヒック情報の一意な識別子である。送信先IPアドレス3073は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のIPアドレスである。送信先ポート番号3076は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のポート番号である。
【0097】
パケット数3077は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローにおいて送信されるパケットの数である。集約識別子3078は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する集約情報の一意な識別子である。集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を集約する際に使用される。更に、集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を検索する際にも使用される。
【0098】
第2の実施の形態では、監視サーバ131は、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせを、集約識別子の種類として指定する。そのため、トラヒック情報集約装置121は、トラヒック情報に対応する通信フローの送信先のIPアドレスと送信先のポート番号との組み合わせを、集約識別子3078に格納する。
【0099】
図12は、本発明の第2の実施の形態のトラヒック情報集約装置121の集約処理の説明図である。
【0100】
ここでは、図10に示す集約条件の場合を説明する。
【0101】
トラヒック情報集約装置121は、送信先IPアドレスと送信先ポート番号との組み合わせが同一の通信フローに関するトラヒック情報を集約する。
【0102】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307(図11)の送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一のレコードを選択する。次に、トラヒック情報集約装置121は、選択したレコードに対応するトラヒック情報に、同一の集約識別子を付与する。そして、トラヒック情報集約装置121は、同一の集約識別子が付与されたトラヒック情報を集約することによって、集約情報を作成する。
【0103】
例えば、トラヒック情報集約装置121は、トラヒック情報識別子3071の「1」によって識別されるレコード601、トラヒック情報識別子3071の「2」によって識別されるレコード602及びトラヒック情報識別子3071の「4」によって識別されるレコード604を、トラヒック情報テーブル307(図11)から選択する。なぜなら、これらのレコード601、602及び604に対応するトラヒック情報は、送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一だからである。
【0104】
そして、トラヒック情報集約装置121は、レコード601に対応するトラヒック情報、レコード602に対応するトラヒック情報及びレコード604に対応するトラヒック情報に、集約識別子の「192.168.1.1,20」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「192.168.1.1,20」を、レコード601、602及び604の集約識別子3078に格納する。
【0105】
次に、トラヒック情報集約装置121は、選択したすべてのレコード601、602及び604のパケット数3077の合計を算出することによって、集約情報606を作成する。
【0106】
同様に、トラヒック情報集約装置121は、トラヒック情報識別子3071の「3」によって識別されるレコード603及びトラヒック情報識別子3071の「5」によって識別されるレコード605を、トラヒック情報テーブル307から選択する。なぜなら、これらのレコード603及び605に対応するトラヒック情報は、送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一だからである。
【0107】
そして、トラヒック情報集約装置121は、レコード603に対応するトラヒック情報及びレコード605に対応するトラヒック情報に、集約識別子の「192.168.1.3,80」を付与する。そのため、トラヒック情報集約装置121は、付与された集約識別子の「192.168.1.3,80」を、レコード603及び605の集約識別子3078に格納する。
【0108】
次に、トラヒック情報集約装置121は、選択したすべてのレコード603及び605のパケット数3077の合計を算出することによって、集約情報607を作成する。
【0109】
図13は、本発明の第2の実施の形態のトラヒック情報集約装置121によって送信される集約情報の説明図である。
【0110】
集約情報は、送信先IPアドレス(IPV4_DST_ADDR)、送信先ポート番号(L4_DST_PORT)、通信フローのパケット数の合計値(IN_PKTS)及び集約識別子(AGGR_ID)を含む。
【0111】
集約情報に含まれる送信先IPアドレスは、当該集約情報に対応する通信フローの送信先のIPアドレスである。また、集約情報に含まれる送信先ポート番号は、当該集約情報に対応する通信フローの送信先のポート番号である。集約情報に含まれる通信フローのパケット数の合計値は、当該集約情報に対応する通信フローにおいて送信されたパケット数の合計値である。また、集約識別子は、当該集約情報の一意な識別子である。
【0112】
本説明図の集約情報では、送信先IPアドレスは「192.168.1.1」である。また、送信先ポート番号は「20」である。また、通信フローのパケット数の合計値は、「15」である。また、集約識別子は「192.168.1.1,20」である。
【0113】
図14は、本発明の第2の実施の形態の監視サーバ131によって送信されるクエリ要求の説明図である。
【0114】
クエリ要求には、要求される情報の種類が含まれる。本説明図のクエリ要求では、通信フローのパケット数(IN_PKTS)が要求される。
【0115】
また、クエリ要求には、検索の条件として、集約識別子(AGGR_ID)が含まれる。本説明図のクエリ要求は、集約識別子が「192.168.1.1,20」であるトラヒック情報の検索を要求する。
【0116】
トラヒック情報集約装置121は、クエリ要求を受信すると、当該クエリ要求から集約識別子を抽出する。次に、トラヒック情報集約装置121は、抽出した集約識別子によって識別される集約情報に対応するトラヒック情報を特定する。そして、トラヒック情報集約装置121は、特定したトラヒック情報を、クエリ結果として監視サーバ131に送信する。
【0117】
具体的には、トラヒック情報集約装置121は、抽出した集約識別子とトラヒック情報テーブル307の集約識別子3078とが一致するレコードを、トラヒック情報テーブル307から選択する。次に、トラヒック情報集約装置121は、選択したレコードから、トラヒック情報識別子3071及びパケット数3077を抽出する。次に、トラヒック情報集約装置121は、抽出したトラヒック情報識別子3071及びパケット数3077を、クエリ結果として監視サーバ131に送信する。
【0118】
図15は、本発明の第2の実施の形態のトラヒック情報集約装置121によって送信されるクエリ結果の説明図である。
【0119】
クエリ結果には、クエリ要求に対応するすべてのトラヒック情報が含まれる。具体的には、クエリ結果は、トラヒック情報識別子(RECORD_ID)及び通信フローのパケット数(IN_PKTS)を、クエリ要求に対応するトラヒック情報ごとに含む。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施の形態のトラヒック情報監視システムの構成のブロック図である。
【図2】本発明の第1の実施の形態のトラヒック情報集約装置の構成のブロック図である。
【図3】本発明の第1の実施の形態のトラヒック情報テーブルの構成図である。
【図4】本発明の第1の実施の形態のトラヒック情報監視システムの処理のシーケンス図である。
【図5】本発明の第1の実施の形態の監視サーバによって送信される集約条件の説明図である。
【図6】本発明の第1の実施の形態のトラヒック情報集約装置の集約処理の説明図である。
【図7】本発明の第1の実施の形態のトラヒック情報集約装置によって送信される集約情報の説明図である。
【図8】本発明の第1の実施の形態の監視サーバによって送信されるクエリ要求の説明図である。
【図9】本発明の第1の実施の形態のトラヒック情報集約装置によって送信されるクエリ結果の説明図である。
【図10】本発明の第2の実施の形態の監視サーバによって送信される集約条件の説明図である。
【図11】本発明の第2の実施の形態のトラヒック情報テーブルの構成図である。
【図12】本発明の第2の実施の形態のトラヒック情報集約装置の集約処理の説明図である。
【図13】本発明の第2の実施の形態のトラヒック情報集約装置によって送信される集約情報の説明図である。
【図14】本発明の第2の実施の形態の監視サーバによって送信されるクエリ要求の説明図である。
【図15】本発明の第2の実施の形態のトラヒック情報集約装置によって送信されるクエリ結果の説明図である。
【符号の説明】
【0121】
111 ルータ装置
121 トラヒック情報集約装置
131 監視サーバ
301 通信インタフェース部
302 通信プロトコル処理部
303 サーバ制御論理部
304 データ入出力制御部
306 データ記憶装置
307 トラヒック情報テーブル
310 トラヒック情報蓄積部
311 集約処理部
312 集約情報送信部
313 クエリ処理部
314 集約タイマ処理部
320 制御処理プロセッサ
【技術分野】
【0001】
本発明は、トラヒック情報集約装置及び監視サーバを備えるネットワークシステムに関し、特に、トラヒック情報を集約する技術に関する。
【背景技術】
【0002】
従来のトラヒック情報監視システムは、ルータ装置、トラヒック情報集約装置及び監視サーバを備える。トラヒック情報集約装置は、ルータ装置に接続される。また、監視サーバは、トラヒック情報集約装置に接続される。
【0003】
ルータ装置は、トラフック情報をトラヒック情報集約装置に送信する。トラヒック情報集約装置は、ルータ装置から受信したトラヒック情報を、ファイルとして記憶する。そして、トラヒック情報集約装置は、監視サーバからトラヒック情報を要求されると、トラヒック情報のファイルを監視サーバに送信する。
【0004】
なお、トラヒック情報の集約に関しては、非特許文献1に開示されている。
【非特許文献1】IPFIX Aggregation <draft-dressler-ipfix-aggregation-02.txt>、インターネット<URL:http://www.ietf.org/internet-drafts/draft-dressler-ipfix-aggregation-02.txt>
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来のトラヒック情報監視システムでは、監視サーバは、ファイル単位でトラヒック情報を受信する。つまり、監視サーバは、特定のトラヒック情報だけを受信することができない。そのため、監視サーバによって受信されるデータ量が多くなるという問題があった。これによって、従来のトラヒック情報監視システムでは、大規模ネットワークにおけるシステム拡張性に問題があった。
【0006】
本発明は、前述した問題点に鑑みてなされたものであって、監視サーバによって受信されるデータ量を削減するネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の代表的な形態は、ネットワークにおいてデータを転送するルータ装置に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続され、プロセッサ、メモリ及びインタフェースを備える監視サーバと、を備えるネットワークシステムにおいて、前記トラヒック情報集約装置は、前記ルータ装置からトラヒック情報を受信し、前記受信したトラヒック情報に集約識別子を付与し、前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする。
【発明の効果】
【0008】
本発明の代表的な形態によれば、監視サーバによって受信されるデータ量を削減できる。
【発明を実施するための最良の形態】
【0009】
以下、本発明の実施の形態を図面を参照して説明する。
【0010】
(第1の実施の形態)
図1は、本発明の第1の実施の形態のトラヒック情報監視システムの構成のブロック図である。
【0011】
トラヒック情報監視システムは、ルータ装置111、トラヒック情報集約装置121及び監視サーバ131を備える。トラヒック情報集約装置121は、一台以上のルータ装置111に接続される。また、監視サーバ131は、一台以上のトラヒック情報集約装置121に接続される。
【0012】
ルータ装置111は、異なるネットワークを相互に接続する。つまり、ルータ装置111は、ネットワーク上を流れるデータを転送する。また、ルータ装置111は、トラヒック情報をトラヒック情報集約装置121に送信する。
【0013】
トラヒック情報集約装置121は、ルータ装置111から送信されたトラヒック情報を集約する。なお、トラヒック情報集約装置121については、図2で詳細を説明する。監視サーバ131は、CPU、メモリ及びインタフェースを備える計算機である。
【0014】
なお、ルータ装置111とトラヒック情報集約装置121とが同一の筐体内にあってもよい。また、監視サーバ131とトラヒック情報集約装置121とが同一の筐体内にあってもよい。
【0015】
次に、トラヒック情報監視システムの処理の概略を説明する。
【0016】
ルータ装置111は、接続されているトラヒック情報集約装置121に、トラヒック情報を送信する。トラヒック情報は、例えば、NetFlow又はsFlowなどである。
【0017】
トラヒック情報集約装置121は、ルータ装置111からトラヒック情報を受信する。次に、トラヒック情報集約装置121は、受信したトラヒック情報をファイルとして記憶する。
【0018】
次に、トラヒック情報集約装置121は、記憶しているトラヒック情報を集約することによって、集約情報を作成する。なお、集約情報は、トラヒック情報に関する統計情報である。
【0019】
次に、トラヒック情報集約装置121は、NetFlowなどのプロトコルを用いて、作成した集約情報を監視サーバ131に送信する。
【0020】
一方、監視サーバ131は、クエリ要求をトラヒック情報集約装置121に送信する。トラヒック情報集約装置121は、監視サーバ131からクエリ要求を受信すると、記憶しているトラヒック情報の中から、当該クエリ要求に対応するトラヒック情報を検索する。そして、トラヒック情報集約装置121は、検索したトラヒック情報を監視サーバ131に送信する。
【0021】
図2は、本発明の第1の実施の形態のトラヒック情報集約装置121の構成のブロック図である。
【0022】
トラヒック情報集約装置121は、通信インタフェース部301、制御処理プロセッサ320、データ入出力制御部304、データ記憶装置306、管理者入出力部(図示省略)及びメモリ(図示省略)を備える。
【0023】
通信インタフェース部301は、ルータ装置111及び監視サーバ131に接続される。
【0024】
データ記憶装置306は、各種情報を記憶する。具体的には、データ記憶装置306は、トラヒック情報テーブル307を記憶する。トラヒック情報テーブル307には、ルータ装置111から送信されたトラヒック情報が格納される。なお、トラヒック情報テーブル307については、図3で詳細を説明する。
【0025】
データ入出力制御部304は、データ記憶装置306に対するデータの入出力を制御する。
【0026】
管理者入出力部には、管理者から情報が入力される。また、管理者入出力部は、各種情報を出力する。例えば、管理者入出力部は、ディスプレイ及びキーボード等を含む。
【0027】
制御処理プロセッサ320は、メモリに記憶されているプログラムを実行することによって、通信プロトコル制御部302及びサーバ制御論理部303を実現する。メモリには、制御処理プロセッサ32によって実行されるプログラム及び制御処理プロセッサ320によって必要とされる情報が記憶される。
【0028】
通信プロトコル処理部302は、通信プロトコルを処理する。具体的には、通信プロトコル処理部302は、トラヒック情報集約装置121の内部のプロトコルと外部のプロトコルとを相互に変換する。
【0029】
また、サーバ制御論理部303は、トラヒック情報蓄積部310、集約処理部311、集約情報送信部312、クエリ処理部313及び集約タイマ処理部314を含む。
【0030】
トラヒック情報蓄積部310は、ルータ装置111からトラヒック情報を受信する。そして、トラヒック情報蓄積部310は、受信したトラヒック情報をトラヒック情報テーブル307に格納する。
【0031】
集約処理部311は、トラヒック情報テーブル307に格納されているトラヒック情報を集約することによって、集約情報を作成する。
【0032】
集約情報送信部312は、集約処理部311によって作成された集約情報を、監視サーバ131に送信する。
【0033】
クエリ処理部313は、監視サーバ131からクエリ要求を受信する。クエリ処理部313は、受信したクエリ要求に対応するトラヒック情報を、トラヒック情報テーブル307から検索する。そして、クエリ処理部313は、検索したトラヒック情報をクエリ結果として、監視サーバ131に送信する。
【0034】
集約タイマ処理部314は、集約処理部311に集約用のタイマを提供する。これによって、集約処理部311は、所定の時間内に受信されたトラヒック情報を集約することによって、集約情報を作成する。
【0035】
図3は、本発明の第1の実施の形態のトラヒック情報テーブル307の構成図である。
【0036】
トラヒック情報テーブル307は、トラヒック情報識別子(RECORD_ID)3071、送信元IPアドレス(IPV4_SRC_ADDR)3072、送信先IPアドレス(IPV4_DST_ADDR)3073、バイト数(IN_BYTES)3074及び集約識別子(AGGR_ID)3075を含む。
【0037】
トラヒック情報識別子3071は、トラヒック情報の一意な識別子である。送信元IPアドレス3072は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信元のIPアドレスである。送信先IPアドレス3073は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のIPアドレスである。
【0038】
バイト数3074は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローにおいて送信されるデータのバイト数である。集約識別子3075は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する集約情報の一意な識別子である。集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を集約する際に使用される。更に、集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を検索する際にも使用される。
【0039】
図4は、本発明の第1の実施の形態のトラヒック情報監視システムの処理のシーケンス図である。
【0040】
まず、監視サーバ131はトラヒック情報集約装置121に集約条件を送信する(501)。
【0041】
集約条件は、トラヒック情報集約装置121がトラヒック情報を集約する条件である。具体的には、送信元IPアドレス、送信先IPアドレス、送信元ポート番号、送信先ポート番号、送信元IPアドレスのプレフィックス、送信先IPアドレスのプレフィックス、AS(Autonomous System)、プロトコル番号又はToS(Type of Service)が、集約条件として送信される。また、これらの組み合わせが、集約条件として送信されてもよい。なお、集約条件については、図5で詳細を説明する。
【0042】
トラヒック情報集約装置121は、集約条件を監視サーバから受信する。すると、トラヒック情報集約装置121は、受信した集約条件を、当該トラヒック情報集約装置121に備わるメモリに記憶する。そして、トラヒック情報集約装置121は、到着確認パケット(ACK)を監視サーバ131に送信する(502)。
【0043】
一方、ルータ装置111は、トラヒック情報をトラヒック情報集約装置121に送信する。
【0044】
トラヒック情報集約装置121は、トラヒック情報を受信する(503、504、505)。すると、トラヒック情報集約装置121は、受信したトラヒック情報を、トラヒック情報テーブル307に格納する。
【0045】
具体的には、トラヒック情報集約装置121は、受信したトラヒック情報にトラヒック情報識別子を付与する。更に、トラヒック情報集約装置121は、メモリに記憶されている集約条件に基づいて、受信したトラヒック情報に集約識別子を付与する。
【0046】
次に、トラヒック情報集約装置121は、トラヒック情報テーブル307に新たなレコードを作成する。次に、トラヒック情報集約装置121は、付与したトラヒック情報識別子を、新たなレコードのトラヒック情報識別子3071に格納する。次に、トラヒック情報集約装置121は、付与した集約識別子を、新たなレコードの集約識別子3075に格納する。
【0047】
次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローの送信元IPアドレスを、新たなレコードの送信元IPアドレス3072に格納する。次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローの送信先IPアドレスを、新たなレコードの送信先IPアドレス3073に格納する。次に、トラヒック情報集約装置121は、受信したトラヒック情報に対応する通信フローのバイト数を、新たなレコードのバイト数3074に格納する。
【0048】
このようにして、トラヒック情報集約装置121は、受信したトラヒック情報をトラヒック情報テーブル307に格納する。
【0049】
次に、トラヒック情報集約装置121は、トラヒック情報テーブル307に格納されているトラヒック情報を集約する。なお、トラヒック情報集約装置121は、所定の時間内に受信されたトラヒック情報を集約する。所定の時間は、集約タイマ処理部314によって測定される。
【0050】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307の集約識別子3075が同一のトラヒック情報を集約することによって、集約情報を作成する。なお、トラヒック情報集約装置121によって実行される集約処理については、図6で詳細を説明する。
【0051】
次に、トラヒック情報集約装置121は、作成した集約情報を監視サーバ131に送信する(506)。本実施の形態における集約情報には、集約識別子が含まれる。なお、集約情報については、図7で詳細を説明する。
【0052】
監視サーバ131は、集約情報をトラヒック情報集約装置121から受信する。すると、監視サーバ131は、ACKを監視サーバに送信する(507)。
【0053】
その後、監視サーバ131は、トラヒック情報集約装置121にクエリ要求を送信する(508)。本実施の形態におけるクエリ要求には、集約識別子が含まれる。なお、クエリ要求については、図8で詳細を説明する。
【0054】
トラヒック情報集約装置121は、クエリ要求を監視サーバ131から受信する。すると、トラヒック情報集約装置121は、当該クエリ要求に含まれる集約識別子に基づいて、トラヒック情報テーブル307の中から、当該クエリ要求に対応するトラヒック情報を検索する。
【0055】
そして、トラヒック情報集約装置121は、検索したトラヒック情報を、クエリ結果として監視サーバ131に送信する。なお、クエリ結果については、図9で詳細を説明する。
【0056】
図5は、本発明の第1の実施の形態の監視サーバ131によって送信される集約条件の説明図である。
【0057】
集約条件は、集約のキー(AGGR_KEY)、集約する値(AGGR_VALUE)、及び集約識別子の種類(AGGR_ID_TYPE)を含む。
【0058】
トラヒック情報集約装置121は、集約のキーが同一の値のトラヒック情報を集約することによって、集約情報を作成する。集約する値は、トラヒック情報に含まれる値のうち、トラヒック情報集約装置121によって集約される値である。
【0059】
集約識別子の種類は、集約情報に付与される識別子の種類である。
【0060】
本説明図の集約条件では、集約のキーは、送信元IPアドレス(IPV4_SRC_ADDR)と送信先IPアドレス(IPV4_DST_ADDR)との組み合わせである。また、集約する値は、通信フローのバイト数(IN_BYTES)である。
【0061】
また、集約識別子の種類は、シークエンシャルである。この場合、トラヒック情報集約装置121は、順番に低い番号を集約識別子とする。
【0062】
トラヒック情報集約装置121は、図5に示す集約条件を受信する。その後、トラヒック情報集約装置121は、当該集約条件に基づいて、トラヒック情報をトラヒック情報テーブル307(図3)に格納する。
【0063】
図6は、本発明の第1の実施の形態のトラヒック情報集約装置121の集約処理の説明図である。
【0064】
ここでは、図5に示す集約条件の場合を説明する。
【0065】
トラヒック情報集約装置121は、送信元IPアドレスと送信先IPアドレスとの組み合わせが同一の通信フローに関するトラヒック情報を集約する。
【0066】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307(図3)の送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一のレコードを選択する。次に、トラヒック情報集約装置121は、選択したレコードに対応するトラヒック情報に、同一の集約識別子を付与する。そして、トラヒック情報集約装置121は、同一の集約識別子が付与されたトラヒック情報を集約することによって、集約情報を作成する。
【0067】
例えば、トラヒック情報集約装置121は、トラヒック情報識別子3071の「1」によって識別されるレコード201、トラヒック情報識別子3071の「2」によって識別されるレコード202及びトラヒック情報識別子3071の「4」によって識別されるレコード204を、トラヒック情報テーブル307(図3)から選択する。なぜなら、これらのレコード201、202及び204に対応するトラヒック情報は、送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一だからである。
【0068】
そして、トラヒック情報集約装置121は、レコード201に対応するトラヒック情報、レコード202に対応するトラヒック情報及びレコード204に対応するトラヒック情報に、集約識別子の「1」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「1」を、レコード201、202及び204の集約識別子3075に格納する。
【0069】
次に、トラヒック情報集約装置121は、選択したすべてのレコード201、202及び204のバイト数3074の合計を算出することによって、集約情報206を作成する。
【0070】
同様に、トラヒック情報集約装置121は、トラヒック情報識別子3071の「3」によって識別されるレコード203及びトラヒック情報識別子3071の「5」によって識別されるレコード205を、トラヒック情報テーブル307から選択する。なぜなら、これらのレコード203及び205に対応するトラヒック情報は、送信元IPアドレス3072と送信先IPアドレス3073との組み合わせが同一だからである。
【0071】
そして、トラヒック情報集約装置121は、レコード203に対応するトラヒック情報及びレコード205に対応するトラヒック情報に、集約識別子の「2」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「2」を、レコード203及び205の集約識別子3075に格納する。
【0072】
次に、トラヒック情報集約装置121は、選択したすべてのレコード203及び205のバイト数3074の合計を算出することによって、集約情報207を作成する。
【0073】
図7は、本発明の第1の実施の形態のトラヒック情報集約装置121によって送信される集約情報の説明図である。
【0074】
集約情報は、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)、通信フローのバイト数の合計値(IN_BYTES)及び集約識別子(AGGR_ID)を含む。
【0075】
集約情報に含まれる送信元IPアドレスは、当該集約情報に対応する通信フローの送信元のIPアドレスである。また、集約情報に含まれる送信先IPアドレスは、当該集約情報に対応する通信フローの送信先のIPアドレスである。集約情報に含まれる通信フローのバイト数の合計値は、当該集約情報に対応する通信フローにおいて送信されたデータのバイト数の合計値である。また、集約識別子は、当該集約情報の一意な識別子である。
【0076】
本説明図の集約情報では、送信元IPアドレスは「192.168.1.1」である。また、送信先IPアドレスは「192.168.1.2」である。また、通信フローのバイト数の合計値は、「448」バイトである。また、集約識別子は「1」である。
【0077】
図8は、本発明の第1の実施の形態の監視サーバ131によって送信されるクエリ要求の説明図である。
【0078】
クエリ要求には、要求される情報の種類が含まれる。本説明図のクエリ要求では、トラヒック情報識別子(RECORD_ID)、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)及び通信フローのバイト数(IN_BYTES)が要求される。
【0079】
また、クエリ要求には、検索の条件として、集約識別子(AGGR_ID)が含まれる。本説明図のクエリ要求は、集約識別子が「1」であるトラヒック情報の検索を要求する。
【0080】
トラヒック情報集約装置121は、クエリ要求を受信すると、当該クエリ要求から集約識別子を抽出する。次に、トラヒック情報集約装置121は、抽出した集約識別子によって識別される集約情報に対応するトラヒック情報を特定する。そして、トラヒック情報集約装置121は、特定したトラヒック情報を、クエリ結果として監視サーバ131に送信する。
【0081】
具体的には、トラヒック情報集約装置121は、抽出した集約識別子とトラヒック情報テーブル307の集約識別子3075とが一致するレコードを、トラヒック情報テーブル307から選択する。次に、トラヒック情報集約装置121は、選択したレコードから、トラヒック情報識別子3071、送信元IPアドレス3072、送信先IPアドレス3073及びバイト数3074を抽出する。次に、トラヒック情報集約装置121は、抽出したトラヒック情報識別子3071、送信元IPアドレス3072、送信先IPアドレス3073及びバイト数3074を、クエリ結果として監視サーバ131に送信する。
【0082】
従来のトラヒック情報集約装置は、送信元IPアドレス及び送信先IPアドレスを検索のキーとして検索する。つまり、従来のトラヒック情報集約装置は、複数の列を検索しなければならない。一方、本実施の形態のトラヒック情報集約装置121は、集約識別子を検索のキーとして、トラヒック情報を検索する。そのため、本実施の形態では、トラヒック情報集約装置121の検索処理の負担が低減される。
【0083】
IPアドレスがIPv4アドレスの場合、検索キーの長さは64ビットとなる。また、IPアドレスがIPv6アドレスの場合、検索キーの長さは256ビットとなる。一方、本実施の形態では、検索キーの長さは数ビットとなる。つまり、本実施の形態では、検索キーの長さが短いので、トラヒック情報集約装置121の検索処理の負担が更に低減される。
【0084】
図9は、本発明の第1の実施の形態のトラヒック情報集約装置121によって送信されるクエリ結果の説明図である。
【0085】
クエリ結果には、クエリ要求に対応するすべてのトラヒック情報が含まれる。具体的には、クエリ結果は、トラヒック情報識別子(RECORD_ID)、送信元IPアドレス(IPV4_SRC_ADDR)、送信先IPアドレス(IPV4_DST_ADDR)及び通信フローのバイト数(IN_BYTES)を、クエリ要求に対応するトラヒック情報ごとに含む。
【0086】
以上のように、本発明の第1の実施の形態では、トラヒック情報集約装置121は、トラヒック情報に集約識別子を付与する。そして、トラヒック情報集約装置121は、集約識別子を用いて、集約処理を行う。また、監視サーバ131は、集約識別子を検索のキーとして指定する。そのため、トラヒック情報集約装置121は、指定された集約識別子を用いて、検索処理を行う。つまり、トラヒック情報集約装置121は、集約識別子に基づいて、集約処理及び検索処理の二つの処理を行うことができる。
【0087】
(第2の実施の形態)
本発明の第2の実施の形態では、トラヒック情報集約装置121は、送信先IPアドレス及び送信先ポート番号に基づいて、トラヒック情報を集約する。
【0088】
第2の実施の形態のトラヒック情報監視システムの構成は、第1の実施の形態のトラヒック情報監視システム(図1)と同一なので説明を省略する。また、第2の実施の形態のトラヒック情報監視システムの処理の概要は、第1の実施の形態のトラヒック情報監視システムの処理(図4)と同一なので説明を省略する。
【0089】
図10は、本発明の第2の実施の形態の監視サーバ131によって送信される集約条件の説明図である。
【0090】
集約条件は、集約のキー(AGGR_KEY)、集約する値(AGGR_VALUE)、及び集約識別子の種類(AGGR_ID_TYPE)を含む。
【0091】
第2の実施の形態の集約条件では、集約のキーは、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせである。また、集約する値は、通信フローのパケット数(IN_PKTS)である。
【0092】
また、集約識別子の種類は、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせである。
【0093】
トラヒック情報集約装置121は、図10の集約条件を受信する。その後、トラヒック情報集約装置121は、当該集約条件に基づいて、トラヒック情報をトラヒック情報テーブル307に格納する。
【0094】
図11は、本発明の第2の実施の形態のトラヒック情報テーブル307の構成図である。
【0095】
トラヒック情報テーブル307は、トラヒック情報識別子(RECORD_ID)3071、送信先IPアドレス(IPV4_DST_ADDR)3073、送信先ポート番号(L4_DST_PORT)3076、パケット数(IN_PKTS)3077及び集約識別子(AGGR_ID)3078を含む。
【0096】
トラヒック情報識別子3071は、トラヒック情報の一意な識別子である。送信先IPアドレス3073は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のIPアドレスである。送信先ポート番号3076は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローの送信先のポート番号である。
【0097】
パケット数3077は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する通信フローにおいて送信されるパケットの数である。集約識別子3078は、当該レコードのトラヒック情報識別子3071によって識別されるトラヒック情報に対応する集約情報の一意な識別子である。集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を集約する際に使用される。更に、集約識別子3078は、トラヒック情報集約装置121がトラヒック情報を検索する際にも使用される。
【0098】
第2の実施の形態では、監視サーバ131は、送信先IPアドレス(IPV4_DST_ADDR)と送信先ポート番号(L4_DST_PORT)との組み合わせを、集約識別子の種類として指定する。そのため、トラヒック情報集約装置121は、トラヒック情報に対応する通信フローの送信先のIPアドレスと送信先のポート番号との組み合わせを、集約識別子3078に格納する。
【0099】
図12は、本発明の第2の実施の形態のトラヒック情報集約装置121の集約処理の説明図である。
【0100】
ここでは、図10に示す集約条件の場合を説明する。
【0101】
トラヒック情報集約装置121は、送信先IPアドレスと送信先ポート番号との組み合わせが同一の通信フローに関するトラヒック情報を集約する。
【0102】
具体的には、トラヒック情報集約装置121は、トラヒック情報テーブル307(図11)の送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一のレコードを選択する。次に、トラヒック情報集約装置121は、選択したレコードに対応するトラヒック情報に、同一の集約識別子を付与する。そして、トラヒック情報集約装置121は、同一の集約識別子が付与されたトラヒック情報を集約することによって、集約情報を作成する。
【0103】
例えば、トラヒック情報集約装置121は、トラヒック情報識別子3071の「1」によって識別されるレコード601、トラヒック情報識別子3071の「2」によって識別されるレコード602及びトラヒック情報識別子3071の「4」によって識別されるレコード604を、トラヒック情報テーブル307(図11)から選択する。なぜなら、これらのレコード601、602及び604に対応するトラヒック情報は、送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一だからである。
【0104】
そして、トラヒック情報集約装置121は、レコード601に対応するトラヒック情報、レコード602に対応するトラヒック情報及びレコード604に対応するトラヒック情報に、集約識別子の「192.168.1.1,20」を付与する。そこで、トラヒック情報集約装置121は、付与された集約識別子の「192.168.1.1,20」を、レコード601、602及び604の集約識別子3078に格納する。
【0105】
次に、トラヒック情報集約装置121は、選択したすべてのレコード601、602及び604のパケット数3077の合計を算出することによって、集約情報606を作成する。
【0106】
同様に、トラヒック情報集約装置121は、トラヒック情報識別子3071の「3」によって識別されるレコード603及びトラヒック情報識別子3071の「5」によって識別されるレコード605を、トラヒック情報テーブル307から選択する。なぜなら、これらのレコード603及び605に対応するトラヒック情報は、送信先IPアドレス3073と送信先ポート番号3076との組み合わせが同一だからである。
【0107】
そして、トラヒック情報集約装置121は、レコード603に対応するトラヒック情報及びレコード605に対応するトラヒック情報に、集約識別子の「192.168.1.3,80」を付与する。そのため、トラヒック情報集約装置121は、付与された集約識別子の「192.168.1.3,80」を、レコード603及び605の集約識別子3078に格納する。
【0108】
次に、トラヒック情報集約装置121は、選択したすべてのレコード603及び605のパケット数3077の合計を算出することによって、集約情報607を作成する。
【0109】
図13は、本発明の第2の実施の形態のトラヒック情報集約装置121によって送信される集約情報の説明図である。
【0110】
集約情報は、送信先IPアドレス(IPV4_DST_ADDR)、送信先ポート番号(L4_DST_PORT)、通信フローのパケット数の合計値(IN_PKTS)及び集約識別子(AGGR_ID)を含む。
【0111】
集約情報に含まれる送信先IPアドレスは、当該集約情報に対応する通信フローの送信先のIPアドレスである。また、集約情報に含まれる送信先ポート番号は、当該集約情報に対応する通信フローの送信先のポート番号である。集約情報に含まれる通信フローのパケット数の合計値は、当該集約情報に対応する通信フローにおいて送信されたパケット数の合計値である。また、集約識別子は、当該集約情報の一意な識別子である。
【0112】
本説明図の集約情報では、送信先IPアドレスは「192.168.1.1」である。また、送信先ポート番号は「20」である。また、通信フローのパケット数の合計値は、「15」である。また、集約識別子は「192.168.1.1,20」である。
【0113】
図14は、本発明の第2の実施の形態の監視サーバ131によって送信されるクエリ要求の説明図である。
【0114】
クエリ要求には、要求される情報の種類が含まれる。本説明図のクエリ要求では、通信フローのパケット数(IN_PKTS)が要求される。
【0115】
また、クエリ要求には、検索の条件として、集約識別子(AGGR_ID)が含まれる。本説明図のクエリ要求は、集約識別子が「192.168.1.1,20」であるトラヒック情報の検索を要求する。
【0116】
トラヒック情報集約装置121は、クエリ要求を受信すると、当該クエリ要求から集約識別子を抽出する。次に、トラヒック情報集約装置121は、抽出した集約識別子によって識別される集約情報に対応するトラヒック情報を特定する。そして、トラヒック情報集約装置121は、特定したトラヒック情報を、クエリ結果として監視サーバ131に送信する。
【0117】
具体的には、トラヒック情報集約装置121は、抽出した集約識別子とトラヒック情報テーブル307の集約識別子3078とが一致するレコードを、トラヒック情報テーブル307から選択する。次に、トラヒック情報集約装置121は、選択したレコードから、トラヒック情報識別子3071及びパケット数3077を抽出する。次に、トラヒック情報集約装置121は、抽出したトラヒック情報識別子3071及びパケット数3077を、クエリ結果として監視サーバ131に送信する。
【0118】
図15は、本発明の第2の実施の形態のトラヒック情報集約装置121によって送信されるクエリ結果の説明図である。
【0119】
クエリ結果には、クエリ要求に対応するすべてのトラヒック情報が含まれる。具体的には、クエリ結果は、トラヒック情報識別子(RECORD_ID)及び通信フローのパケット数(IN_PKTS)を、クエリ要求に対応するトラヒック情報ごとに含む。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施の形態のトラヒック情報監視システムの構成のブロック図である。
【図2】本発明の第1の実施の形態のトラヒック情報集約装置の構成のブロック図である。
【図3】本発明の第1の実施の形態のトラヒック情報テーブルの構成図である。
【図4】本発明の第1の実施の形態のトラヒック情報監視システムの処理のシーケンス図である。
【図5】本発明の第1の実施の形態の監視サーバによって送信される集約条件の説明図である。
【図6】本発明の第1の実施の形態のトラヒック情報集約装置の集約処理の説明図である。
【図7】本発明の第1の実施の形態のトラヒック情報集約装置によって送信される集約情報の説明図である。
【図8】本発明の第1の実施の形態の監視サーバによって送信されるクエリ要求の説明図である。
【図9】本発明の第1の実施の形態のトラヒック情報集約装置によって送信されるクエリ結果の説明図である。
【図10】本発明の第2の実施の形態の監視サーバによって送信される集約条件の説明図である。
【図11】本発明の第2の実施の形態のトラヒック情報テーブルの構成図である。
【図12】本発明の第2の実施の形態のトラヒック情報集約装置の集約処理の説明図である。
【図13】本発明の第2の実施の形態のトラヒック情報集約装置によって送信される集約情報の説明図である。
【図14】本発明の第2の実施の形態の監視サーバによって送信されるクエリ要求の説明図である。
【図15】本発明の第2の実施の形態のトラヒック情報集約装置によって送信されるクエリ結果の説明図である。
【符号の説明】
【0121】
111 ルータ装置
121 トラヒック情報集約装置
131 監視サーバ
301 通信インタフェース部
302 通信プロトコル処理部
303 サーバ制御論理部
304 データ入出力制御部
306 データ記憶装置
307 トラヒック情報テーブル
310 トラヒック情報蓄積部
311 集約処理部
312 集約情報送信部
313 クエリ処理部
314 集約タイマ処理部
320 制御処理プロセッサ
【特許請求の範囲】
【請求項1】
ネットワークにおいてデータを転送するルータ装置に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続され、プロセッサ、メモリ及びインタフェースを備える監視サーバと、を備えるネットワークシステムにおいて、
前記トラヒック情報集約装置は、
前記ルータ装置からトラヒック情報を受信し、
前記受信したトラヒック情報に集約識別子を付与し、
前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、
前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、
前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とするネットワークシステム。
【請求項2】
前記トラヒック情報集約装置は、前記トラヒック情報に対応する通信フローにおける送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号及び送信先のポート番号のうち少なくとも一つを参照して、前記トラヒック情報に集約識別子を付与することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記トラヒック情報集約装置は、所定の時間内に受信したトラヒック情報を集約することによって、前記集約情報を作成することを特徴とする請求項1に記載のネットワークシステム。
【請求項4】
前記トラヒック情報集約装置は、
前記トラヒック情報の一意な識別子であるトラヒック情報識別子と、当該トラヒック情報に付与された集約識別子と、の対応を示すトラヒック情報テーブルを記憶し、
前記トラヒック情報テーブルを参照して、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする請求項1に記載のネットワークシステム。
【請求項5】
前記監視サーバは、前記集約識別子の付与方法を前記トラヒック情報集約装置に指示し、
前記トラヒック情報集約装置は、前記指示された集約識別子の付与方法を用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項1に記載のネットワークシステム。
【請求項6】
前記監視サーバは、低い番号から順に集約識別子を付与する方法、又はIPアドレスとポート番号との組み合わせを集約識別子として付与する方法のいずれかを前記トラヒック情報集約装置に指示可能であることを特徴とする請求項5に記載のネットワークシステム。
【請求項7】
前記トラヒック情報集約装置が、前記ルータ装置内に備わることを特徴とする請求項1に記載のネットワークシステム。
【請求項8】
ルータ装置と、監視サーバと、に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置において、
前記プロセッサは、
前記ルータ装置からトラヒック情報を受信し、
前記受信したトラヒック情報に集約識別子を付与し、
前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、
前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、
前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とするトラヒック情報集約装置。
【請求項9】
前記プロセッサは、前記トラヒック情報に対応する通信フローにおける送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号及び送信先のポート番号のうち少なくとも一つを参照して、前記トラヒック情報に集約識別子を付与することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項10】
前記プロセッサは、所定の時間内に受信したトラヒック情報を集約することによって、集約情報を作成することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項11】
前記プロセッサは、
前記トラヒック情報の一意な識別子であるトラヒック情報識別子と、当該トラヒック情報に付与された集約識別子と、の対応を示すトラヒック情報テーブルを前記メモリに記憶し、
前記トラヒック情報テーブルを参照して、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項12】
前記プロセッサは、前記監視サーバから指示された前記集約識別子の付与方法を用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項13】
前記プロセッサは、低い番号から順に集約識別子を付与する方法、又はIPアドレスとポート番号との組み合わせを集約識別子として付与する方法のいずれかを用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項12に記載のトラヒック情報集約装置。
【請求項14】
前記ルータ装置内に備わることを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項1】
ネットワークにおいてデータを転送するルータ装置に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置と、前記トラヒック情報集約装置に接続され、プロセッサ、メモリ及びインタフェースを備える監視サーバと、を備えるネットワークシステムにおいて、
前記トラヒック情報集約装置は、
前記ルータ装置からトラヒック情報を受信し、
前記受信したトラヒック情報に集約識別子を付与し、
前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、
前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、
前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とするネットワークシステム。
【請求項2】
前記トラヒック情報集約装置は、前記トラヒック情報に対応する通信フローにおける送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号及び送信先のポート番号のうち少なくとも一つを参照して、前記トラヒック情報に集約識別子を付与することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記トラヒック情報集約装置は、所定の時間内に受信したトラヒック情報を集約することによって、前記集約情報を作成することを特徴とする請求項1に記載のネットワークシステム。
【請求項4】
前記トラヒック情報集約装置は、
前記トラヒック情報の一意な識別子であるトラヒック情報識別子と、当該トラヒック情報に付与された集約識別子と、の対応を示すトラヒック情報テーブルを記憶し、
前記トラヒック情報テーブルを参照して、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする請求項1に記載のネットワークシステム。
【請求項5】
前記監視サーバは、前記集約識別子の付与方法を前記トラヒック情報集約装置に指示し、
前記トラヒック情報集約装置は、前記指示された集約識別子の付与方法を用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項1に記載のネットワークシステム。
【請求項6】
前記監視サーバは、低い番号から順に集約識別子を付与する方法、又はIPアドレスとポート番号との組み合わせを集約識別子として付与する方法のいずれかを前記トラヒック情報集約装置に指示可能であることを特徴とする請求項5に記載のネットワークシステム。
【請求項7】
前記トラヒック情報集約装置が、前記ルータ装置内に備わることを特徴とする請求項1に記載のネットワークシステム。
【請求項8】
ルータ装置と、監視サーバと、に接続され、プロセッサ、メモリ及びインタフェースを備えるトラヒック情報集約装置において、
前記プロセッサは、
前記ルータ装置からトラヒック情報を受信し、
前記受信したトラヒック情報に集約識別子を付与し、
前記付与された集約識別子に基づいて、前記トラヒック情報を集約することによって、前記トラヒック情報を統計処理した集約情報を作成し、
前記作成された集約情報及び前記付与された集約識別子を前記監視サーバに送信し、
前記集約識別子を含む検索要求を前記監視サーバから受信すると、当該受信した検索要求に含まれる集約識別子に基づいて、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とするトラヒック情報集約装置。
【請求項9】
前記プロセッサは、前記トラヒック情報に対応する通信フローにおける送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号及び送信先のポート番号のうち少なくとも一つを参照して、前記トラヒック情報に集約識別子を付与することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項10】
前記プロセッサは、所定の時間内に受信したトラヒック情報を集約することによって、集約情報を作成することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項11】
前記プロセッサは、
前記トラヒック情報の一意な識別子であるトラヒック情報識別子と、当該トラヒック情報に付与された集約識別子と、の対応を示すトラヒック情報テーブルを前記メモリに記憶し、
前記トラヒック情報テーブルを参照して、前記受信したトラヒック情報の中から、要求されたトラヒック情報を検索することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項12】
前記プロセッサは、前記監視サーバから指示された前記集約識別子の付与方法を用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項8に記載のトラヒック情報集約装置。
【請求項13】
前記プロセッサは、低い番号から順に集約識別子を付与する方法、又はIPアドレスとポート番号との組み合わせを集約識別子として付与する方法のいずれかを用いて、前記トラヒック情報に集約識別子を付与することを特徴とする請求項12に記載のトラヒック情報集約装置。
【請求項14】
前記ルータ装置内に備わることを特徴とする請求項8に記載のトラヒック情報集約装置。
【図1】
【図2】
【図3】
【図5】
【図6】
【図11】
【図12】
【図4】
【図7】
【図8】
【図9】
【図10】
【図13】
【図14】
【図15】
【図2】
【図3】
【図5】
【図6】
【図11】
【図12】
【図4】
【図7】
【図8】
【図9】
【図10】
【図13】
【図14】
【図15】
【公開番号】特開2007−228513(P2007−228513A)
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願番号】特願2006−50154(P2006−50154)
【出願日】平成18年2月27日(2006.2.27)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、総務省、次世代バックボーンに関する委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願日】平成18年2月27日(2006.2.27)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成17年度、総務省、次世代バックボーンに関する委託研究、産業再生法第30条の適用を受ける特許出願
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]