ネットワーク監視装置及びネットワーク監視方法
【課題】正確なトラフィック量を監視すること。
【解決手段】実施形態に係るネットワーク監視装置は、複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報をインタフェース毎に収集する。また、ネットワーク監視装置は、複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する。また、ネットワーク監視装置は、接続関係に基づいて、収集したトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、トラフィック量を集計する。
【解決手段】実施形態に係るネットワーク監視装置は、複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報をインタフェース毎に収集する。また、ネットワーク監視装置は、複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する。また、ネットワーク監視装置は、接続関係に基づいて、収集したトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、トラフィック量を集計する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ネットワーク監視装置及びネットワーク監視方法に関する。
【背景技術】
【0002】
IP(Internet Protocol)ネットワークには、パケット等の各種データ(以下、「トラフィック」と表記する場合がある)を中継する複数の中継装置(ルータやスイッチ等)が含まれる。一般に、このようなIPネットワークには、安全なネットワーク運用を目的として、ネットワーク監視装置が設置されることが多い。かかるネットワーク監視装置は、例えば、IPネットワーク内の中継装置によって送受信されるトラフィックに関するフロー情報を収集し、収集したフロー情報をネットワーク管理者等に提供する。これにより、ネットワーク管理者は、例えば、中継装置毎に収集されたフロー情報に基づいて、所定の端末に対してDoS(Denial of Service)攻撃等が行われているか否かを判断する場合がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−89241号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の従来技術では、正確なトラフィック量を監視することが困難な場合がある。具体的には、ネットワーク管理者は、中継装置毎に収集されたフロー情報に基づいてトラフィック量を監視するので、所定の端末宛のトラフィックが複数の中継装置に分散して流通している場合には、かかる端末宛の正確なトラフィック量を監視することが困難である。
【0005】
本発明は、上記に鑑みてなされたものであって、正確なトラフィック量を監視することができるネットワーク監視装置及びネットワーク監視方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
実施形態に係るネットワーク監視装置は、トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置であって、前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集部と、前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得部と、前記取得部によって取得された接続関係に基づいて、前記収集部によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計部とを備えることを特徴とする。
【発明の効果】
【0007】
実施形態に係るネットワーク監視装置及びネットワーク監視方法は、正確なトラフィック量を監視することができるという効果を奏する。
【図面の簡単な説明】
【0008】
【図1】図1は、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。
【図2】図2は、実施例1に係るネットワーク監視装置の構成例を示すブロック図である。
【図3】図3は、実施例1におけるトラフィック情報記憶部の一例を示す図である。
【図4】図4は、実施例1におけるIF情報記憶部の一例を示す図である。
【図5】図5は、実施例1におけるトラフィック量記憶部の一例を示す図である。
【図6】図6は、実施例1に係るネットワーク監視装置による集計処理手順を示すフローチャートである。
【図7】図7は、ネットワーク監視プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0009】
以下に、本発明に係るネットワーク監視装置及びネットワーク監視方法の実施例を図面に基づいて詳細に説明する。なお、この実施例により本発明が限定されるものではない。
【実施例1】
【0010】
[ネットワーク構成]
まず、図1を用いて、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例について説明する。図1は、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。図1に例示するように、実施例1におけるネットワーク1には、共通の管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)10、20及び30が含まれる。
【0011】
AS10には、実施例1に係るネットワーク監視装置100と、ルータ11、12及び13と、端末14が設置されるユーザネットワーク40とが含まれる。また、AS20にはルータ21が含まれ、AS30にはルータ31とWebサーバ32とが含まれる。
【0012】
ルータ11は、ルータ31と接続されるインタフェース(以下、「IF」と表記する場合がある)11aと、ルータ12と接続されるIF11bと、ネットワーク監視装置100と接続されるIF11cと、ルータ13と接続されるIF11dとを有する。また、ルータ12は、ルータ21と接続されるIF12aと、ルータ11と接続されるIF12bと、ネットワーク監視装置100と接続されるIF12cと、ユーザネットワーク40と接続されるIF12dとを有する。また、ルータ13は、ルータ11と接続されるIF13aと、ネットワーク監視装置100と接続されるIF13bと、ユーザネットワーク40と接続されるIF13cとを有する。
【0013】
ルータ21は、ルータ12と接続されるIF21aを有する。なお、図1では図示することを省略したが、ルータ21は、IF21a以外のIFも有し、AS20内に配置されるルータ、端末又はサーバ等と接続される。また、ルータ31は、Webサーバ32と接続されるIF31aと、ルータ11と接続されるIF31bとを有する。
【0014】
端末14は、エンドユーザ等によって利用される情報処理装置であり、ルータ12やルータ13等を介して、他の端末やサーバとの間でトラフィックを送受する。なお、図1では図示することを省略したが、ユーザネットワーク40は、ルータ12やルータ13と接続されるアクセスルータ又はスイッチ等を有する。Webサーバ32は、各種Webサービスを提供する。例えば、Webサーバ32は、端末14からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末14に送信する。
【0015】
このように、図1に示した例では、AS10内のルータ11とルータ12とは、相互に接続される。具体的には、ルータ11とルータ12とは、IF11b及びIF12bによって接続される。また、ルータ11とルータ13とは、IF11d及びIF13aによって接続される。さらに、AS10内のルータ12とAS20内のルータ21とは、IF12a及びIF21aによって接続され、AS10内のルータ11とAS30内のルータ31とは、IF11a及びIF31bによって接続される。すなわち、ルータ11及びルータ31は、AS10とAS30とを接続するエッジルータであり、ルータ12及びルータ21は、AS10とAS20とを接続するエッジルータである。
【0016】
ネットワーク監視装置100は、ルータ11、ルータ12及びルータ13から、かかるルータ11〜13が有するIF(IF11a等)によって送受信されるトラフィックに関するトラフィック情報を受信する。実施例1においては、ルータ11〜13にsFlow(登録商標)、NetFlow、IPFIX等の技術が適用されており、ネットワーク監視装置100は、ルータ11〜13等からフロー情報をトラフィック情報として受信する。すなわち、実施例1に係るネットワーク監視装置100は、ルータ11〜13が有するIF(IF11a等)毎に、かかるIFによって送受信されるトラフィック量を示すフロー情報を収集する。
【0017】
ここで、Webサーバ32から端末14を宛先(送信先)とするトラフィックが出力された場合に、かかるトラフィックは、ルータ31のIF31aに入力され、ルータ31のIF31bからルータ11のIF11aに出力される。そして、かかるトラフィックは、例えば、ルータ11のIF11dからルータ13のIF13aに出力された後に、ルータ13のIF13cからユーザネットワーク40に出力される。
【0018】
上記の通り、ネットワーク監視装置100は、ルータ11〜13が有するIF(IF11a等)毎にフロー情報を収集する。このため、ネットワーク監視装置100は、ルータ11のIF11aによって送受信されたトラフィック量を示すフロー情報や、IF11dによって送受信されたトラフィック量を示すフロー情報や、IF13aによって送受信されたトラフィック量を示すフロー情報や、IF13cによって送受信されたトラフィック量を示すフロー情報等を収集する。
【0019】
このため、ネットワーク管理者は、例えばユーザネットワーク40を監視対象とする場合に、単にネットワーク監視装置100によって収集されたフロー情報を参照するだけでは、ユーザネットワーク40によって送受信される正確なトラフィック量を監視することが困難である。例えば、ネットワーク管理者が、ユーザネットワーク40によって受信されるトラフィック量を監視するものとする。かかる場合に、ネットワーク管理者は、宛先(送信先)が端末14であるフロー情報を抽出する作業や、抽出したフロー情報によって示されるトラフィック量を加算する作業や、複数の中継装置に分散して流通しているトラフィックを統合する作業等を要するので、ユーザネットワーク40によって受信される正確なトラフィック量を監視するには煩雑な作業を行うことになる。
【0020】
実施例1に係るネットワーク監視装置100は、監視対象のネットワークや端末によって送受信される正確なトラフィック量を集計し、ネットワーク管理者に提供する。これにより、ネットワーク監視装置100は、正確なトラフィック量の監視を可能にする。以下に、このようなネットワーク監視装置100について詳細に説明する。
【0021】
[ネットワーク監視装置の構成]
まず、図2を用いて、実施例1に係るネットワーク監視装置100の構成について説明する。図2は、実施例1に係るネットワーク監視装置100の構成例を示すブロック図である。図2に例示するように、実施例1に係るネットワーク監視装置100は、記憶部110と、制御部120とを有する。なお、図2では図示することを省略したが、ネットワーク監視装置100は、ルータ11〜13との間で各種データを送受するためのIFを有する。また、ネットワーク監視装置100は、各種情報や操作指示を入力するための入力部(キーボード、マウス等)や、各種情報を表示する表示デバイス(液晶表示装置等)を有してもよい。
【0022】
記憶部110は、ハードディスク又は半導体メモリ素子等の記憶デバイスである。実施例1における記憶部110は、図2に例示するように、トラフィック情報記憶部111と、IF情報記憶部112と、トラフィック量記憶部113とを有する。トラフィック情報記憶部111は、後述するトラフィック情報収集部121によって各種情報が格納される。IF情報記憶部112は、後述するIF情報取得部122によって各種情報が格納される。トラフィック量記憶部113は、後述するトラフィック集計部124によって各種情報が格納される。トラフィック情報記憶部111、IF情報記憶部112、トラフィック量記憶部113に格納される各種情報については、制御部120とともに説明する。
【0023】
制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路であり、ネットワーク監視装置100の全体制御を行う。実施例1における制御部120は、図2に例示するように、トラフィック情報収集部121と、IF情報取得部122と、監視対象管理部123と、トラフィック集計部124と、トラフィック変動検出部125とを有する。
【0024】
トラフィック情報収集部121は、ネットワーク監視装置100と接続されているルータから、かかるルータによって送受信されるトラフィックに関するトラフィック情報を収集する。具体的には、実施例1におけるトラフィック情報収集部121は、ルータ11〜13から、ルータ11〜13が有するIF(IF11a等)によって送受信されるトラフィック量を含むフロー情報をトラフィック情報として受信し、受信したフロー情報に含まれる各種情報をトラフィック情報記憶部111に格納する。例えば、ルータ11〜13は、sFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合に、フロー情報をネットワーク監視装置100に送信する。そして、トラフィック情報収集部121は、ルータ11〜13によって送信されるフロー情報を受信することによりフロー情報を収集し、収集したフロー情報をトラフィック情報記憶部111に格納する。
【0025】
なお、ルータ11〜13にACL−based sFlow(登録商標)等が適用されている場合には、ネットワーク管理者等が監視対象のユーザネットワーク40のネットワークアドレス等をルータ11〜13に設定することにより、かかるルータ11〜13は、設定されたネットワークアドレスに対応するフロー情報をネットワーク監視装置100に送信することができる。
【0026】
このようなトラフィック情報収集部121によって収集されるフロー情報には、トラフィックの送信元である装置のIPアドレス及びポート番号、トラフィックの宛先である装置のIPアドレス及びポート番号、パケットの流通に用いられるプロトコル、トラフィック量等が含まれる。そして、トラフィック情報収集部121は、フロー情報に含まれる各種情報をトラフィック情報記憶部111に格納する。
【0027】
ここで、図3に、実施例1におけるトラフィック情報記憶部111の一例を示す。図3に例示するように、トラフィック情報記憶部111は、「受信時刻」、「ルータアドレス」、「インタフェースID」、「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「トラフィック量」といった項目を有する。
【0028】
「受信時刻」は、トラフィック情報収集部121がルータ11等からフロー情報を受信した日時、又は、ルータ11等によってフロー情報が生成された日時等を示す。なお、図3では、トラフィック情報記憶部111の「受信時刻」に月日及び時分が記憶される例を示したが、「受信時刻」に記憶される日時情報はこれに限られない。例えば、トラフィック情報記憶部111の「受信時刻」には、年月日時分秒が記憶されてもよい。
【0029】
「ルータアドレス」は、フロー情報を送信したルータのIPアドレスを示す。図3に示した例において、「ルータアドレス」は、図1に示した各ルータに付した参照符号であるものとする。例えば、ルータ11のルータアドレスは、「11」であるものとする。
【0030】
「インタフェースID」は、フロー情報が示すトラフィック量を送受信したIFを識別する識別情報を示す。図3に示した例において、「インタフェースID」は、図1に示した各IFに付した参照符号であるものとする。例えば、IF11aのインタフェースIDは、「11a」であるものとする。
【0031】
「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「トラフィック量」は、上述したように、フロー情報に含まれる各種情報を示す。なお、図3に示した「送信元IPアドレス」及び「宛先IPアドレス」に記憶されているIPアドレスのうち、「X.X.X.X」はWebサーバ32のIPアドレスを示し、「Y.Y.Y.Y」は端末14のIPアドレスを示し、「Z.Z.Z.Z」は、AS20内の図示しない端末又はサーバのIPアドレスを示すものとする。また、図3では、「トラフィック量」にバイト(Byte)単位で示される数値が記憶される例を示したが、これに限られない。例えば、トラフィック情報記憶部111の「トラフィック量」には、パケット量等が記憶されてもよい。
【0032】
例えば、図3に示した受信時刻「4月13日10時1分」の1行目に対応するフロー情報は、ルータ11のIF11aによって、IPアドレスが「X.X.X.X」であるWebサーバ32からIPアドレスが「Y.Y.Y.Y」である端末14宛のトラフィックが受信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「10KB(キロバイト)」であることを示している。また、例えば、図3に示した受信時刻「4月13日10時1分」の2行目に対応するフロー情報は、ルータ11のIF11dによって、Webサーバ32から端末14宛のトラフィックが送信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「10KB」であることを示している。
【0033】
また、例えば、図3に示した受信時刻「4月13日10時2分」の1行目に対応するフロー情報は、ルータ13のIF13cによって、IPアドレスが「Y.Y.Y.Y」である端末14からIPアドレスが「X.X.X.X」であるWebサーバ32宛のトラフィックが受信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「5KB」であることを示している。また、例えば、図3に示した受信時刻「4月13日10時2分」の2行目に対応するフロー情報は、ルータ13のIF13aによって、端末14からWebサーバ32宛のトラフィックが送信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「5KB」であることを示している。
【0034】
なお、トラフィック情報記憶部111に記憶されているトラフィック量が、IFによって送信されたトラフィックであるか又は受信されたトラフィックであるかは、「送信元IPアドレス」及び「宛先IPアドレス」や、各ルータの接続関係によって判別することができる。例えば、送信元がWebサーバ32であり宛先が端末14であるトラフィックは、ルータ31、ルータ11、ルータ13によって順に中継されることで端末14に到達するか、又は、ルータ31、ルータ11、ルータ12によって順に中継されることで端末14に到達する。このため、ルータ11のIF11aは、かかるトラフィックを受信することはあっても送信することはないといってよい。また、ルータ11のIF11b又は11dは、かかるトラフィックを送信することはあっても受信することはないといってよい。
【0035】
図2の説明に戻って、IF情報取得部122は、ネットワーク監視装置100と接続されているルータから、かかるルータが有するIFに関するインタフェース情報を取得する。そして、IF情報取得部122は、取得したインタフェース情報に基づいて、IF間の接続関係情報を取得し、取得した接続関係情報をIF情報記憶部112に格納する。
【0036】
具体的には、実施例1におけるIF情報取得部122は、SNMP(Simple Network Management Protocol)等によってルータ11〜13にアクセスし、MIB(Management Information Base)情報及びインタフェースアドレス情報をインタフェース情報として取得する。例えば、IF情報取得部122は、RFC2233(The Interfaces Group MIB)に規定されるインタフェースインデックス(ifindex)、インタフェースエイリアス(ifAlias)、インタフェースデスクリプション(ifDescription)等のMIB情報を取得する。
【0037】
そして、IF情報取得部122は、ルータ11〜13から取得したMIB情報及びインタフェースアドレス情報等を解析することにより、同一のサブネットに属する2つのIFが接続されていると判定する。そして、IF情報取得部122は、かかる2つのIFが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。図1に示した例の場合、IF情報取得部122は、ルータ11のIF11bのインタフェースアドレスと、ルータ12のIF12bのインタフェースアドレスとが同一のサブネットに属することを取得するので、IF11bとIF12bとが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。同様に、IF情報記憶部112は、ルータ11のIF11dとルータ13のIF13aとが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。
【0038】
図4に、実施例1におけるIF情報記憶部112の一例を示す。図4に示した例では、IF情報取得部122は、ルータ11のIF11bとルータ12のIF12bとが接続されていることを示す接続関係情報と、ルータ11のIF11dとルータ13のIF13aとが接続されていることを示す接続関係情報とを記憶する。
【0039】
図2の説明に戻って、監視対象管理部123は、監視対象とするユーザネットワークや端末、及び、監視対象とする各ルータのIF等を管理する。具体的には、監視対象管理部123は、ネットワーク管理者による設定操作やシステムで予め決められている監視対象に関する情報等に従って、監視対象のユーザネットワークや端末毎に、トラフィック量の集計対象とするIFを特定するための情報(インタフェースID等)を保持する。
【0040】
例えば、ネットワーク管理者によって、監視対象とするユーザネットワーク40のネットワークアドレスを設定する操作が行われたものとする。かかる場合に、監視対象管理部123は、例えば、ユーザネットワーク40のネットワークアドレスに対応付けて、かかるユーザネットワーク40によって送受信されるトラフィックが流通し得るIF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a、IF13cのインタフェースID等を記憶部110等に保持する。なお、監視対象管理部123は、IF情報記憶部112に記憶されている情報に基づいて、ユーザネットワーク40によって送受信されるトラフィックが流通するIFを特定することができる。
【0041】
また、例えば、ネットワーク管理者によって、監視対象とする端末14のIPアドレスを設定する操作が行われたものとする。かかる場合に、監視対象管理部123は、例えば、端末14のIPアドレスに対応付けて、IF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a、IF13cのインタフェースID等を記憶部110等に保持する。
【0042】
トラフィック集計部124は、IF情報取得部122によって収集されたフロー情報を用いて、監視対象のユーザネットワークや端末によって送受されるトラフィック量を集計する。具体的には、トラフィック集計部124は、監視対象管理部123によって管理されている監視対象に関する情報に基づいて、監視対象のユーザネットワークや端末毎に、トラフィック量の集計対象とするIFに対応するフロー情報をトラフィック情報記憶部111から取得し、取得したフロー情報を用いてトラフィック量を集計する。
【0043】
ここで、実施例1におけるトラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、トラフィック情報記憶部111に記憶されているフロー情報のうち複数のルータを経由した同一のトラフィックを示す複数のフロー情報を特定し、特定した複数のフロー情報の中から所定のフロー情報を用いて、トラフィック量の集計処理を行う。具体的には、実施例1におけるトラフィック集計部124は、トラフィック量の集計対象とするIFのうち、ネットワーク監視装置100が属するAS10内のルータと接続されるIF以外のIFに対応するフロー情報を用いてトラフィック量を集計する。言い換えれば、トラフィック集計部124は、AS10内に含まれるルータ11〜13が有する各IFから、AS10内のルータ11〜13と対向して接続関係にあるIFについてはトラフィック量の集計対象から除外する。
【0044】
例えば、図1に示した例の場合、ルータ11のIF11bは、AS10内のルータ12と接続され、ルータ11のIF11dは、AS10内のルータ13と接続される。また、ルータ12のIF12bは、AS10内のルータ11と接続され、ルータ13のIF13aは、AS10内のルータ11と接続される。このとき、トラフィック集計部124は、監視対象がユーザネットワーク40や端末14である場合に、監視対象管理部123によってトラフィック量の集計対象として管理されているIF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a及びIF13cから、IF11b、IF11d、IF12b、IF13a以外のIF11a、IF12a、IF12d及びIF13cに対応するフロー情報を用いてトラフィック量を集計する。
【0045】
また、実施例1におけるトラフィック集計部124は、監視対象のユーザネットワークや端末が宛先や送信元に指定されているトラフィックのトラフィック量を集計する場合に、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量と、監視対象のユーザネットワークや端末に入力されるトラフィック量と、監視対象のユーザネットワークや端末から出力されるトラフィック量と、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量とを分けて集計する。
【0046】
この点について図1に示した例を用いて説明する。なお、ここでは、監視対象がユーザネットワーク40であるものとする。トラフィック集計部124は、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量として、IF11aが受信したユーザネットワーク40宛のトラフィック量とIF12aが受信したユーザネットワーク40宛のトラフィック量との総和を集計する。また、トラフィック集計部124は、監視対象のユーザネットワーク40に入力されるトラフィック量として、IF12dが送信したトラフィック量とIF13cが送信したトラフィック量との総和を集計する。また、トラフィック集計部124は、監視対象のユーザネットワーク40から出力されるトラフィック量として、IF12dが受信したトラフィック量とIF13cが受信したトラフィック量との総和を集計する。また、トラフィック集計部124は、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量として、IF11aが送信したトラフィック量のうち送信元がユーザネットワーク40であるトラフィック量と、IF12aが送信したトラフィック量のうち送信元がユーザネットワーク40であるトラフィック量との総和を集計する。
【0047】
そして、トラフィック集計部124は、このようにして集計したトラフィック量の総和をトラフィック量記憶部113に格納する。実施例1におけるトラフィック集計部124は、所定の受信時刻の範囲毎に、トラフィック量を集計し、集計結果をトラフィック量記憶部113に格納する。
【0048】
図5に、実施例1におけるトラフィック量記憶部113の一例を示す。図5に例示するように、トラフィック量記憶部113は、「受信時刻範囲」、「総トラフィック量」といった項目を有する。「受信時刻範囲」は、図3に例示したトラフィック情報記憶部111の受信時刻の範囲を示す。
【0049】
「総トラフィック量」は、受信時刻範囲に含まれるフロー情報から集計されたトラフィック量の総和を示す。図5に示した例では、「総トラフィック量」は、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別される。「AS入力」は、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量を示す。「監視対象入力」は、監視対象のユーザネットワークや端末に入力されるトラフィック量を示す。「監視対象出力」は、監視対象のユーザネットワークや端末から出力されるトラフィック量を示す。「AS出力」は、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量を示す。
【0050】
このようなトラフィック集計部124による処理の一例について説明する。ここでは、トラフィック情報記憶部111は、図3に例示した各種情報を記憶し、IF情報記憶部112は、図4に例示した各種情報を記憶するものとする。また、監視対象がユーザネットワーク40であるものとする。また、トラフィック集計部124による監視対象の受信時刻の範囲は、「4月13日10時0分〜10時10分」であるものとする。
【0051】
かかる場合に、トラフィック集計部124は、トラフィック情報記憶部111に記憶されているフロー情報のうち、受信時刻「4月13日10時1分」に対応する4レコードのフロー情報と、受信時刻「4月13日10時3分」に対応する2レコードのフロー情報とを、外部AS(AS20又はAS30)からユーザネットワーク40宛に送信されたトラフィックに対応するフロー情報として抽出する。これは、送信元IPアドレスが外部AS(AS20又はAS30)に属するサーバ等のIPアドレスを示し、宛先IPアドレスが監視対象のユーザネットワーク40に含まれる端末14のIPアドレスを示すからである。
【0052】
続いて、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、上記において抽出した6レコードのフロー情報から、AS10内のルータと接続されるIFに対応するフロー情報を除外する。すなわち、トラフィック集計部124は、インタフェースIDが「11d」、「13a」に対応する2レコードのフロー情報を除外し、トラフィック量の集計対象を4レコードのフロー情報に絞り込む。
【0053】
そして、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「11a」に対応するフロー情報に記憶されているトラフィック量「10KB」と、インタフェースID「12a」に対応するフロー情報に記憶されているトラフィック量「20KB」とを加算した「30KB」を、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「30KB」を図5に例示したトラフィック量記憶部113の「AS入力」に格納する。
【0054】
また、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「13c」に対応するフロー情報に記憶されているトラフィック量「10KB」と、インタフェースID「12d」に対応するフロー情報に記憶されているトラフィック量「20KB」とを加算した「30KB」を、監視対象のユーザネットワーク40に入力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「30KB」を図5に例示したトラフィック量記憶部113の「監視対象入力」に格納する。
【0055】
さらに、トラフィック集計部124は、トラフィック情報記憶部111に記憶されているフロー情報のうち、受信時刻「4月13日10時2分」に対応する4レコードのフロー情報と、受信時刻「4月13日10時4分」に対応する2レコードのフロー情報とを、ユーザネットワーク40から外部AS(AS20又はAS30)宛に送信されたトラフィックに対応するフロー情報として抽出する。これは、送信元IPアドレスがユーザネットワーク40に含まれる端末14のIPアドレスを示し、宛先IPアドレスが外部AS(AS20又はAS30)に属するサーバ等のIPアドレスを示すからである。
【0056】
続いて、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、上記において抽出した6レコードのフロー情報から、AS10内のルータと接続されるIFに対応するフロー情報を除外する。すなわち、トラフィック集計部124は、インタフェースIDが「11d」、「13a」に対応する2レコードのフロー情報を除外し、トラフィック量の集計対象を4レコードのフロー情報に絞り込む。
【0057】
そして、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「13c」に対応するフロー情報に記憶されているトラフィック量「5KB」と、インタフェースID「12d」に対応するフロー情報に記憶されているトラフィック量「10KB」とを加算した「15KB」を、監視対象のユーザネットワーク40から出力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「15KB」を図5に例示したトラフィック量記憶部113の「監視対象出力」に格納する。
【0058】
また、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「11a」に対応するフロー情報に記憶されているトラフィック量「5KB」と、インタフェースID「12a」に対応するフロー情報に記憶されているトラフィック量「10KB」とを加算した「15KB」を、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「15KB」を図5に例示したトラフィック量記憶部113の「AS出力」に格納する。
【0059】
このように、実施例1におけるトラフィック集計部124は、複数のルータを経由した同一トラフィックが存在する場合であっても、かかるトラフィックを送受信したIFの数だけトラフィック量を加算せずに、監視対象のユーザネットワークや端末と接続されるエッジルータのIF(IF12d、IF13c)や、外部ASと接続されるエッジルータのIF(IF11a、IF12a)によって送受信されたトラフィック量を加算する。これにより、トラフィック集計部124は、監視対象のユーザネットワークや端末によって送受信されたトラフィック量を正確に算出することができる。この結果、ネットワーク管理者は、監視対象のユーザネットワークや端末によって送受信された正確なトラフィック量を監視することができる。
【0060】
また、トラフィック集計部124は、上記例のように、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を算出する。これにより、トラフィック集計部124は、AS10が外部ASから受信したトラフィック量のうち監視対象のユーザネットワークや端末に送信されたトラフィック量を算出することができるとともに、監視対象のユーザネットワークや端末が受信したトラフィック量を算出することができる。また、トラフィック集計部124は、監視対象のユーザネットワークや端末が受信したトラフィック量を算出することができるとともに、AS10が外部ASに送信したトラフィック量のうち監視対象のユーザネットワークや端末が送信したトラフィック量を算出することができる。
【0061】
図2の説明に戻って、トラフィック変動検出部125は、トラフィック集計部124によって集計された総トラフィック量を監視する。具体的には、トラフィック変動検出部125は、トラフィック量記憶部113に記憶されている総トラフィック量を監視し、トラフィック量が所定の閾値の範囲外に変動した場合に、ネットワーク管理者等に警告を出力する。例えば、トラフィック変動検出部125は、ネットワーク管理者が利用するユーザ端末等に電子メールを送信したり、ネットワーク監視装置100の表示画面に警告画面を表示したり、ネットワーク監視装置100のスピーカ等から警告音を出力したりする。
【0062】
トラフィック変動検出部125による処理の一例について説明する。例えば、監視対象のユーザネットワーク40によって送受信されるトラフィックのフロー情報について、「プロトコル=TCP」かつ「TCPフラグ=SYN」のような条件が設定されている場合、通常時には大量のトラフィック量が流通しない。このような場合に、トラフィック変動検出部125は、総トラフィック量が所定の上限閾値を超えた場合に、異常と判定して警告を出力する。また、例えば、トラフィック集計部124は、一定値異常のトラフィック量が流通する環境である場合には、総トラフィック量が所定の下限閾値を下回った際に、異常と判定して警告を出力する。
【0063】
なお、ネットワーク監視装置100は、Webサーバとしての機能を有してもよい。かかる場合に、トラフィック変動検出部125は、監視対象のユーザネットワークや端末毎に、異なるURL(Uniform Resource Locator)によりアクセス可能なWeb画面を提供してもよい。例えば、トラフィック変動検出部125は、トラフィック情報記憶部111やトラフィック量記憶部113に記憶されている各種情報を用いて、監視対象のユーザネットワークによって送受信されるIF毎のトラフィック情報(総トラフィック量等)をグラフや表によって表示するWeb画面を提供してもよい。
【0064】
[ネットワーク監視装置による集計処理手順]
次に、図6を用いて、実施例1に係るネットワーク監視装置100によるトラフィック量の集計処理の手順について説明する。図6は、実施例1に係るネットワーク監視装置100による集計処理手順を示すフローチャートである。
【0065】
なお、トラフィック情報収集部121及びIF情報取得部122による処理手順については図示することを省略するが、トラフィック情報収集部121は、ルータ11〜13からフロー情報を受信するたびに、かかるフロー情報をトラフィック情報記憶部111に格納する。また、IF情報取得部122は、例えば、ネットワーク監視装置100の起動等にルータ11〜13にアクセスすることでインタフェース情報を取得し、取得したインタフェース情報をIF情報記憶部112に格納する。
【0066】
図6に示すように、ネットワーク監視装置100のトラフィック集計部124は、監視タイミングであるか否かを判定する(ステップS101)。このとき、トラフィック集計部124は、監視タイミングでない場合には(ステップS101否定)、監視タイミングになるまで待機する。なお、監視タイミングとは、例えば、トラフィック量記憶部113の受信時刻範囲の時間(例えば、10分)が経過するタイミング等に該当する。
【0067】
一方、トラフィック集計部124は、監視タイミングである場合には(ステップS101肯定)、監視対象管理部123によって管理されている監視対象に関する情報を取得する(ステップS102)。すなわち、トラフィック集計部124は、監視対象のユーザネットワークや端末、及び、トラフィック量の集計対象とするIFに関する情報を取得する。また、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報を取得する(ステップS103)。
【0068】
続いて、トラフィック集計部124は、接続関係情報に基づいて、トラフィック情報記憶部111に記憶されているフロー情報のうち複数のルータを経由した同一のトラフィックを示す複数のフロー情報を特定する(ステップS104)。そして、トラフィック集計部124は、特定した複数のフロー情報の中から所定のフロー情報を用いて、トラフィック量を集計する(ステップS105)。
【0069】
なお、トラフィック集計部124は、複数のルータを経由していないトラフィックを示す複数のフロー情報も用いて、トラフィック量を集計する。また、実施例1におけるトラフィック集計部124は、図5に示した例のように、トラフィックの流通方向等を分別してトラフィック量を集計する。
【0070】
続いて、トラフィック変動検出部125は、トラフィック集計部124によって集計された総トラフィック量が所定の閾値の範囲外に変動したか否かを判定する(ステップS106)。ここで、トラフィック変動検出部125は、総トラフィック量が所定の閾値の範囲外に変動した場合には(ステップS106肯定)、ネットワーク管理者等に警告を出力する(ステップS107)。一方、トラフィック変動検出部125は、総トラフィック量が所定の閾値の範囲外に変動していない場合には(ステップS106否定)、警告を出力しない。
【0071】
このようにして、ネットワーク監視装置100は、監視タイミングになるたびに(ステップS101肯定)、上記ステップS102〜S107による処理手順を行う。
【0072】
[実施例1の効果]
上述してきたように、実施例1に係るネットワーク監視装置100は、複数のルータを経由した同一トラフィックが存在する場合や、複数の送信元から監視対象のユーザネットワーク等にトラフィックが送信される場合や、監視対象のユーザネットワーク等から複数の宛先にトラフィックが送信される場合であっても、監視対象のユーザネットワーク等によって送受信されるトラフィック量を正確に集計することができる。これにより、実施例1に係るネットワーク監視装置100は、例えば、DoS攻撃等が行われているか否かを正確に判定することができ、DoS攻撃等が行われている場合に、ネットワーク管理者に警告を通知することができる。
【実施例2】
【0073】
ところで、本発明に係るネットワーク監視装置及びネットワーク監視方法は、上述した実施例以外にも、種々の異なる形態にて実施されてよい。そこで、実施例2では、本発明に係るネットワーク監視装置及びネットワーク監視方法の他の実施例について説明する。
【0074】
[監視対象]
上記実施例1では、監視対象管理部123が、監視対象のユーザネットワーク40や端末14によって送受信されるトラフィックが流通し得る全IFのインタフェースID等を保持する例を示した。しかし、監視対象管理部123は、ネットワーク管理者によって指定されたIFのインタフェースID等を保持してもよい。すなわち、トラフィック量の集計対象とするIFは、ネットワーク管理者によって指定されてもよい。例えば、監視対象管理部123は、ネットワーク管理者によってIF11a、IF12a、IF12d及びIF13cが指定された場合に、かかるIFに対応するフロー情報を用いて、トラフィック量を集計する。
【0075】
また、監視対象管理部123は、監視対象のユーザネットワーク40や端末14によって送受信されるトラフィックが流通し得る全IFのインタフェースID等をトラフィックの集計対象とせずに、IF情報記憶部112に記憶されている接続関係情報に基づいて、AS10内のルータと接続されるIFを除外したIFをトラフィックの集計対象としてもよい。かかる場合には、トラフィック集計部124は、接続関係情報に基づいて、集計対象のIFを絞り込む処理を行わなくてよい。
【0076】
[VLAN]
また、上記実施例1において、ルータ11〜13が有する各IFにVLANが設定されている場合には、トラフィック情報収集部121は、IF及びVLAN−ID毎に、フロー情報を収集する。かかる場合、トラフィック情報収集部121は、図3に示したトラフィック情報記憶部111の「インタフェースID」に、「VLAN−ID」を格納するか、又は、「インタフェースID及びVLAN−ID」を格納する。また、IF情報取得部122は、インタフェースID及びVLAN−IDを用いて、接続関係情報を取得する。すなわち、IF情報取得部122は、同一のサブネットに属し、かつ、同一のVLAN−IDが設定されている2つのIFが存在する場合に、かかる2つのIFが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。このとき、監視対象管理部123は、ユーザネットワークや端末、及び、VLAN−IDの組合せを監視対象の条件としてもよい。かかる場合に、トラフィック集計部124は、インタフェースID及びVLAN−ID毎に収集されるフロー情報を用いてトラフィック量を集計するが、同一のサブネットに属し、かつ、同一のVLAN−IDが設定されているIFについてはトラフィック量の集計対象から除外する。
【0077】
[集計処理]
また、上記実施例1では、トラフィック集計部124が、IF情報取得部122によって取得された接続関係情報に基づいて、AS10内のルータ11〜13と対向して接続関係にあるIFについてはトラフィック量の集計対象から除外する例を示した。しかし、ルータ11〜13が保持するインタフェースデスクリプション等に「Peer」、「Backbone」、「Customer」等の対向通信機器情報が設定されている場合には、トラフィック集計部124は、このインタフェースデスクリプション等に基づいて、トラフィック量の集計対象とするIFを抽出してもよい。例えば、インタフェースデスクリプション等に「Backbone」が設定されているIFがAS10内のルータ11〜13と対向して接続関係にあることを示す場合には、トラフィック集計部124は、インタフェースデスクリプション等に「Backbone」が設定されているIFをトラフィック量の集計対象から除外してもよい。
【0078】
[集計単位]
また、上記実施例1では、トラフィック集計部124が、図5に示した例のように、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を集計する例を示した。しかし、トラフィック集計部124は、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を集計しなくてもよい。例えば、トラフィック集計部124は、「監視対象入力」及び「監視対象出力」の総トラフィック量のみを集計してもよいし、「AS入力」及び「AS出力」の総トラフィック量のみを集計してもよい。
【0079】
[トラフィック情報]
また、上記実施例1では、トラフィック情報の一例としてフロー情報を例に挙げて説明した。しかし、トラフィック情報はフロー情報に限られない。例えば、ルータ11〜13が送信元IPアドレスと宛先IPアドレスとIFとの組合せ毎に、トラフィック量を集計する機能を有する場合には、かかる集計情報をトラフィック情報としてもよい。
【0080】
[中継装置]
また、上記実施例1では、図1に例示したように、中継装置としてルータを例に挙げて説明した。しかし、中継装置はルータに限られない。例えば、実施例1における各ルータは、スイッチ等の中継装置であってもよい。
【0081】
[システム構成]
また、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、図3〜図5等に例示した各種情報は、あくまで一例であって任意の情報に変更することができる。
【0082】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0083】
例えば、上記実施例1では、IF情報取得部122が、ルータ11〜13からインタフェース情報を取得した後に、接続関係情報をIF情報記憶部112に格納する例を示した。しかし、IF情報取得部122は、ルータ11〜13から取得したインタフェース情報を記憶部110に格納するだけの処理を行ってもよい。そして、監視対象管理部123やトラフィック集計部124がIF情報取得部122によって取得されたインタフェース情報に基づいて接続関係情報を取得し、取得した接続関係情報をIF情報記憶部112に格納してもよい。
【0084】
[プログラム]
また、上記実施例1において説明したネットワーク監視装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施例1に係るネットワーク監視装置100が実行する処理をコンピュータが実行可能な言語で記述したネットワーク監視プログラムを作成することもできる。この場合、コンピュータがネットワーク監視プログラムを実行することにより、上記実施例1と同様の効果を得ることができる。さらに、かかるネットワーク監視プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたネットワーク監視プログラムをコンピュータに読み込ませて実行することにより上記実施例1と同様の処理を実現してもよい。以下に、図7に示したネットワーク監視装置100と同様の機能を実現するネットワーク監視プログラムを実行するコンピュータの一例を説明する。
【0085】
図7は、ネットワーク監視プログラムを実行するコンピュータ1000を示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0086】
メモリ1010は、図7に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図7に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図7に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図7に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図7に例示するように、例えばディスプレイ1061に接続される。
【0087】
ここで、図7に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のネットワーク監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。例えば、図2に例示したトラフィック情報収集部121と同様の情報処理を実行するトラフィック情報収集手順と、IF情報取得部122と同様の情報処理を実行するIF情報取得手順と、監視対象管理部123と同様の情報処理を実行する監視対象管理手順と、トラフィック集計部124と同様の情報処理を実行するトラフィック集計手順と、トラフィック変動検出部125と同様の情報処理を実行するトラフィック変動検出手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
【0088】
また、上記実施例で説明したネットワーク監視装置100が保持する各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、トラフィック情報収集手順、IF情報取得手順、監視対象管理手順、トラフィック集計手順、トラフィック変動検出手順を実行する。
【0089】
なお、ネットワーク監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、ネットワーク監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0090】
1 ネットワーク
10、20、30 AS
11、12、13、21、31 ルータ
11a、11b、11c、11d IF
12a、12b、12c、12d IF
13a、13b、13c IF
14 端末
40 ユーザネットワーク
100 ネットワーク監視装置
110 記憶部
111 トラフィック情報記憶部
112 IF情報記憶部
113 トラフィック量記憶部
120 制御部
121 トラフィック情報収集部
122 IF情報取得部
123 監視対象管理部
124 トラフィック集計部
125 トラフィック変動検出部
【技術分野】
【0001】
本発明の実施形態は、ネットワーク監視装置及びネットワーク監視方法に関する。
【背景技術】
【0002】
IP(Internet Protocol)ネットワークには、パケット等の各種データ(以下、「トラフィック」と表記する場合がある)を中継する複数の中継装置(ルータやスイッチ等)が含まれる。一般に、このようなIPネットワークには、安全なネットワーク運用を目的として、ネットワーク監視装置が設置されることが多い。かかるネットワーク監視装置は、例えば、IPネットワーク内の中継装置によって送受信されるトラフィックに関するフロー情報を収集し、収集したフロー情報をネットワーク管理者等に提供する。これにより、ネットワーク管理者は、例えば、中継装置毎に収集されたフロー情報に基づいて、所定の端末に対してDoS(Denial of Service)攻撃等が行われているか否かを判断する場合がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−89241号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の従来技術では、正確なトラフィック量を監視することが困難な場合がある。具体的には、ネットワーク管理者は、中継装置毎に収集されたフロー情報に基づいてトラフィック量を監視するので、所定の端末宛のトラフィックが複数の中継装置に分散して流通している場合には、かかる端末宛の正確なトラフィック量を監視することが困難である。
【0005】
本発明は、上記に鑑みてなされたものであって、正確なトラフィック量を監視することができるネットワーク監視装置及びネットワーク監視方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
実施形態に係るネットワーク監視装置は、トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置であって、前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集部と、前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得部と、前記取得部によって取得された接続関係に基づいて、前記収集部によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計部とを備えることを特徴とする。
【発明の効果】
【0007】
実施形態に係るネットワーク監視装置及びネットワーク監視方法は、正確なトラフィック量を監視することができるという効果を奏する。
【図面の簡単な説明】
【0008】
【図1】図1は、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。
【図2】図2は、実施例1に係るネットワーク監視装置の構成例を示すブロック図である。
【図3】図3は、実施例1におけるトラフィック情報記憶部の一例を示す図である。
【図4】図4は、実施例1におけるIF情報記憶部の一例を示す図である。
【図5】図5は、実施例1におけるトラフィック量記憶部の一例を示す図である。
【図6】図6は、実施例1に係るネットワーク監視装置による集計処理手順を示すフローチャートである。
【図7】図7は、ネットワーク監視プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0009】
以下に、本発明に係るネットワーク監視装置及びネットワーク監視方法の実施例を図面に基づいて詳細に説明する。なお、この実施例により本発明が限定されるものではない。
【実施例1】
【0010】
[ネットワーク構成]
まず、図1を用いて、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例について説明する。図1は、実施例1に係るネットワーク監視装置が適用されるネットワークの構成例を示す図である。図1に例示するように、実施例1におけるネットワーク1には、共通の管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)10、20及び30が含まれる。
【0011】
AS10には、実施例1に係るネットワーク監視装置100と、ルータ11、12及び13と、端末14が設置されるユーザネットワーク40とが含まれる。また、AS20にはルータ21が含まれ、AS30にはルータ31とWebサーバ32とが含まれる。
【0012】
ルータ11は、ルータ31と接続されるインタフェース(以下、「IF」と表記する場合がある)11aと、ルータ12と接続されるIF11bと、ネットワーク監視装置100と接続されるIF11cと、ルータ13と接続されるIF11dとを有する。また、ルータ12は、ルータ21と接続されるIF12aと、ルータ11と接続されるIF12bと、ネットワーク監視装置100と接続されるIF12cと、ユーザネットワーク40と接続されるIF12dとを有する。また、ルータ13は、ルータ11と接続されるIF13aと、ネットワーク監視装置100と接続されるIF13bと、ユーザネットワーク40と接続されるIF13cとを有する。
【0013】
ルータ21は、ルータ12と接続されるIF21aを有する。なお、図1では図示することを省略したが、ルータ21は、IF21a以外のIFも有し、AS20内に配置されるルータ、端末又はサーバ等と接続される。また、ルータ31は、Webサーバ32と接続されるIF31aと、ルータ11と接続されるIF31bとを有する。
【0014】
端末14は、エンドユーザ等によって利用される情報処理装置であり、ルータ12やルータ13等を介して、他の端末やサーバとの間でトラフィックを送受する。なお、図1では図示することを省略したが、ユーザネットワーク40は、ルータ12やルータ13と接続されるアクセスルータ又はスイッチ等を有する。Webサーバ32は、各種Webサービスを提供する。例えば、Webサーバ32は、端末14からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末14に送信する。
【0015】
このように、図1に示した例では、AS10内のルータ11とルータ12とは、相互に接続される。具体的には、ルータ11とルータ12とは、IF11b及びIF12bによって接続される。また、ルータ11とルータ13とは、IF11d及びIF13aによって接続される。さらに、AS10内のルータ12とAS20内のルータ21とは、IF12a及びIF21aによって接続され、AS10内のルータ11とAS30内のルータ31とは、IF11a及びIF31bによって接続される。すなわち、ルータ11及びルータ31は、AS10とAS30とを接続するエッジルータであり、ルータ12及びルータ21は、AS10とAS20とを接続するエッジルータである。
【0016】
ネットワーク監視装置100は、ルータ11、ルータ12及びルータ13から、かかるルータ11〜13が有するIF(IF11a等)によって送受信されるトラフィックに関するトラフィック情報を受信する。実施例1においては、ルータ11〜13にsFlow(登録商標)、NetFlow、IPFIX等の技術が適用されており、ネットワーク監視装置100は、ルータ11〜13等からフロー情報をトラフィック情報として受信する。すなわち、実施例1に係るネットワーク監視装置100は、ルータ11〜13が有するIF(IF11a等)毎に、かかるIFによって送受信されるトラフィック量を示すフロー情報を収集する。
【0017】
ここで、Webサーバ32から端末14を宛先(送信先)とするトラフィックが出力された場合に、かかるトラフィックは、ルータ31のIF31aに入力され、ルータ31のIF31bからルータ11のIF11aに出力される。そして、かかるトラフィックは、例えば、ルータ11のIF11dからルータ13のIF13aに出力された後に、ルータ13のIF13cからユーザネットワーク40に出力される。
【0018】
上記の通り、ネットワーク監視装置100は、ルータ11〜13が有するIF(IF11a等)毎にフロー情報を収集する。このため、ネットワーク監視装置100は、ルータ11のIF11aによって送受信されたトラフィック量を示すフロー情報や、IF11dによって送受信されたトラフィック量を示すフロー情報や、IF13aによって送受信されたトラフィック量を示すフロー情報や、IF13cによって送受信されたトラフィック量を示すフロー情報等を収集する。
【0019】
このため、ネットワーク管理者は、例えばユーザネットワーク40を監視対象とする場合に、単にネットワーク監視装置100によって収集されたフロー情報を参照するだけでは、ユーザネットワーク40によって送受信される正確なトラフィック量を監視することが困難である。例えば、ネットワーク管理者が、ユーザネットワーク40によって受信されるトラフィック量を監視するものとする。かかる場合に、ネットワーク管理者は、宛先(送信先)が端末14であるフロー情報を抽出する作業や、抽出したフロー情報によって示されるトラフィック量を加算する作業や、複数の中継装置に分散して流通しているトラフィックを統合する作業等を要するので、ユーザネットワーク40によって受信される正確なトラフィック量を監視するには煩雑な作業を行うことになる。
【0020】
実施例1に係るネットワーク監視装置100は、監視対象のネットワークや端末によって送受信される正確なトラフィック量を集計し、ネットワーク管理者に提供する。これにより、ネットワーク監視装置100は、正確なトラフィック量の監視を可能にする。以下に、このようなネットワーク監視装置100について詳細に説明する。
【0021】
[ネットワーク監視装置の構成]
まず、図2を用いて、実施例1に係るネットワーク監視装置100の構成について説明する。図2は、実施例1に係るネットワーク監視装置100の構成例を示すブロック図である。図2に例示するように、実施例1に係るネットワーク監視装置100は、記憶部110と、制御部120とを有する。なお、図2では図示することを省略したが、ネットワーク監視装置100は、ルータ11〜13との間で各種データを送受するためのIFを有する。また、ネットワーク監視装置100は、各種情報や操作指示を入力するための入力部(キーボード、マウス等)や、各種情報を表示する表示デバイス(液晶表示装置等)を有してもよい。
【0022】
記憶部110は、ハードディスク又は半導体メモリ素子等の記憶デバイスである。実施例1における記憶部110は、図2に例示するように、トラフィック情報記憶部111と、IF情報記憶部112と、トラフィック量記憶部113とを有する。トラフィック情報記憶部111は、後述するトラフィック情報収集部121によって各種情報が格納される。IF情報記憶部112は、後述するIF情報取得部122によって各種情報が格納される。トラフィック量記憶部113は、後述するトラフィック集計部124によって各種情報が格納される。トラフィック情報記憶部111、IF情報記憶部112、トラフィック量記憶部113に格納される各種情報については、制御部120とともに説明する。
【0023】
制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路であり、ネットワーク監視装置100の全体制御を行う。実施例1における制御部120は、図2に例示するように、トラフィック情報収集部121と、IF情報取得部122と、監視対象管理部123と、トラフィック集計部124と、トラフィック変動検出部125とを有する。
【0024】
トラフィック情報収集部121は、ネットワーク監視装置100と接続されているルータから、かかるルータによって送受信されるトラフィックに関するトラフィック情報を収集する。具体的には、実施例1におけるトラフィック情報収集部121は、ルータ11〜13から、ルータ11〜13が有するIF(IF11a等)によって送受信されるトラフィック量を含むフロー情報をトラフィック情報として受信し、受信したフロー情報に含まれる各種情報をトラフィック情報記憶部111に格納する。例えば、ルータ11〜13は、sFlow(登録商標)、NetFlow、IPFIX等の技術が適用されている場合に、フロー情報をネットワーク監視装置100に送信する。そして、トラフィック情報収集部121は、ルータ11〜13によって送信されるフロー情報を受信することによりフロー情報を収集し、収集したフロー情報をトラフィック情報記憶部111に格納する。
【0025】
なお、ルータ11〜13にACL−based sFlow(登録商標)等が適用されている場合には、ネットワーク管理者等が監視対象のユーザネットワーク40のネットワークアドレス等をルータ11〜13に設定することにより、かかるルータ11〜13は、設定されたネットワークアドレスに対応するフロー情報をネットワーク監視装置100に送信することができる。
【0026】
このようなトラフィック情報収集部121によって収集されるフロー情報には、トラフィックの送信元である装置のIPアドレス及びポート番号、トラフィックの宛先である装置のIPアドレス及びポート番号、パケットの流通に用いられるプロトコル、トラフィック量等が含まれる。そして、トラフィック情報収集部121は、フロー情報に含まれる各種情報をトラフィック情報記憶部111に格納する。
【0027】
ここで、図3に、実施例1におけるトラフィック情報記憶部111の一例を示す。図3に例示するように、トラフィック情報記憶部111は、「受信時刻」、「ルータアドレス」、「インタフェースID」、「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「トラフィック量」といった項目を有する。
【0028】
「受信時刻」は、トラフィック情報収集部121がルータ11等からフロー情報を受信した日時、又は、ルータ11等によってフロー情報が生成された日時等を示す。なお、図3では、トラフィック情報記憶部111の「受信時刻」に月日及び時分が記憶される例を示したが、「受信時刻」に記憶される日時情報はこれに限られない。例えば、トラフィック情報記憶部111の「受信時刻」には、年月日時分秒が記憶されてもよい。
【0029】
「ルータアドレス」は、フロー情報を送信したルータのIPアドレスを示す。図3に示した例において、「ルータアドレス」は、図1に示した各ルータに付した参照符号であるものとする。例えば、ルータ11のルータアドレスは、「11」であるものとする。
【0030】
「インタフェースID」は、フロー情報が示すトラフィック量を送受信したIFを識別する識別情報を示す。図3に示した例において、「インタフェースID」は、図1に示した各IFに付した参照符号であるものとする。例えば、IF11aのインタフェースIDは、「11a」であるものとする。
【0031】
「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル」、「送信元ポート番号」、「宛先ポート番号」、「トラフィック量」は、上述したように、フロー情報に含まれる各種情報を示す。なお、図3に示した「送信元IPアドレス」及び「宛先IPアドレス」に記憶されているIPアドレスのうち、「X.X.X.X」はWebサーバ32のIPアドレスを示し、「Y.Y.Y.Y」は端末14のIPアドレスを示し、「Z.Z.Z.Z」は、AS20内の図示しない端末又はサーバのIPアドレスを示すものとする。また、図3では、「トラフィック量」にバイト(Byte)単位で示される数値が記憶される例を示したが、これに限られない。例えば、トラフィック情報記憶部111の「トラフィック量」には、パケット量等が記憶されてもよい。
【0032】
例えば、図3に示した受信時刻「4月13日10時1分」の1行目に対応するフロー情報は、ルータ11のIF11aによって、IPアドレスが「X.X.X.X」であるWebサーバ32からIPアドレスが「Y.Y.Y.Y」である端末14宛のトラフィックが受信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「10KB(キロバイト)」であることを示している。また、例えば、図3に示した受信時刻「4月13日10時1分」の2行目に対応するフロー情報は、ルータ11のIF11dによって、Webサーバ32から端末14宛のトラフィックが送信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「10KB」であることを示している。
【0033】
また、例えば、図3に示した受信時刻「4月13日10時2分」の1行目に対応するフロー情報は、ルータ13のIF13cによって、IPアドレスが「Y.Y.Y.Y」である端末14からIPアドレスが「X.X.X.X」であるWebサーバ32宛のトラフィックが受信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「5KB」であることを示している。また、例えば、図3に示した受信時刻「4月13日10時2分」の2行目に対応するフロー情報は、ルータ13のIF13aによって、端末14からWebサーバ32宛のトラフィックが送信されたことを示しており、さらに、かかるトラフィックのトラフィック量が「5KB」であることを示している。
【0034】
なお、トラフィック情報記憶部111に記憶されているトラフィック量が、IFによって送信されたトラフィックであるか又は受信されたトラフィックであるかは、「送信元IPアドレス」及び「宛先IPアドレス」や、各ルータの接続関係によって判別することができる。例えば、送信元がWebサーバ32であり宛先が端末14であるトラフィックは、ルータ31、ルータ11、ルータ13によって順に中継されることで端末14に到達するか、又は、ルータ31、ルータ11、ルータ12によって順に中継されることで端末14に到達する。このため、ルータ11のIF11aは、かかるトラフィックを受信することはあっても送信することはないといってよい。また、ルータ11のIF11b又は11dは、かかるトラフィックを送信することはあっても受信することはないといってよい。
【0035】
図2の説明に戻って、IF情報取得部122は、ネットワーク監視装置100と接続されているルータから、かかるルータが有するIFに関するインタフェース情報を取得する。そして、IF情報取得部122は、取得したインタフェース情報に基づいて、IF間の接続関係情報を取得し、取得した接続関係情報をIF情報記憶部112に格納する。
【0036】
具体的には、実施例1におけるIF情報取得部122は、SNMP(Simple Network Management Protocol)等によってルータ11〜13にアクセスし、MIB(Management Information Base)情報及びインタフェースアドレス情報をインタフェース情報として取得する。例えば、IF情報取得部122は、RFC2233(The Interfaces Group MIB)に規定されるインタフェースインデックス(ifindex)、インタフェースエイリアス(ifAlias)、インタフェースデスクリプション(ifDescription)等のMIB情報を取得する。
【0037】
そして、IF情報取得部122は、ルータ11〜13から取得したMIB情報及びインタフェースアドレス情報等を解析することにより、同一のサブネットに属する2つのIFが接続されていると判定する。そして、IF情報取得部122は、かかる2つのIFが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。図1に示した例の場合、IF情報取得部122は、ルータ11のIF11bのインタフェースアドレスと、ルータ12のIF12bのインタフェースアドレスとが同一のサブネットに属することを取得するので、IF11bとIF12bとが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。同様に、IF情報記憶部112は、ルータ11のIF11dとルータ13のIF13aとが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。
【0038】
図4に、実施例1におけるIF情報記憶部112の一例を示す。図4に示した例では、IF情報取得部122は、ルータ11のIF11bとルータ12のIF12bとが接続されていることを示す接続関係情報と、ルータ11のIF11dとルータ13のIF13aとが接続されていることを示す接続関係情報とを記憶する。
【0039】
図2の説明に戻って、監視対象管理部123は、監視対象とするユーザネットワークや端末、及び、監視対象とする各ルータのIF等を管理する。具体的には、監視対象管理部123は、ネットワーク管理者による設定操作やシステムで予め決められている監視対象に関する情報等に従って、監視対象のユーザネットワークや端末毎に、トラフィック量の集計対象とするIFを特定するための情報(インタフェースID等)を保持する。
【0040】
例えば、ネットワーク管理者によって、監視対象とするユーザネットワーク40のネットワークアドレスを設定する操作が行われたものとする。かかる場合に、監視対象管理部123は、例えば、ユーザネットワーク40のネットワークアドレスに対応付けて、かかるユーザネットワーク40によって送受信されるトラフィックが流通し得るIF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a、IF13cのインタフェースID等を記憶部110等に保持する。なお、監視対象管理部123は、IF情報記憶部112に記憶されている情報に基づいて、ユーザネットワーク40によって送受信されるトラフィックが流通するIFを特定することができる。
【0041】
また、例えば、ネットワーク管理者によって、監視対象とする端末14のIPアドレスを設定する操作が行われたものとする。かかる場合に、監視対象管理部123は、例えば、端末14のIPアドレスに対応付けて、IF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a、IF13cのインタフェースID等を記憶部110等に保持する。
【0042】
トラフィック集計部124は、IF情報取得部122によって収集されたフロー情報を用いて、監視対象のユーザネットワークや端末によって送受されるトラフィック量を集計する。具体的には、トラフィック集計部124は、監視対象管理部123によって管理されている監視対象に関する情報に基づいて、監視対象のユーザネットワークや端末毎に、トラフィック量の集計対象とするIFに対応するフロー情報をトラフィック情報記憶部111から取得し、取得したフロー情報を用いてトラフィック量を集計する。
【0043】
ここで、実施例1におけるトラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、トラフィック情報記憶部111に記憶されているフロー情報のうち複数のルータを経由した同一のトラフィックを示す複数のフロー情報を特定し、特定した複数のフロー情報の中から所定のフロー情報を用いて、トラフィック量の集計処理を行う。具体的には、実施例1におけるトラフィック集計部124は、トラフィック量の集計対象とするIFのうち、ネットワーク監視装置100が属するAS10内のルータと接続されるIF以外のIFに対応するフロー情報を用いてトラフィック量を集計する。言い換えれば、トラフィック集計部124は、AS10内に含まれるルータ11〜13が有する各IFから、AS10内のルータ11〜13と対向して接続関係にあるIFについてはトラフィック量の集計対象から除外する。
【0044】
例えば、図1に示した例の場合、ルータ11のIF11bは、AS10内のルータ12と接続され、ルータ11のIF11dは、AS10内のルータ13と接続される。また、ルータ12のIF12bは、AS10内のルータ11と接続され、ルータ13のIF13aは、AS10内のルータ11と接続される。このとき、トラフィック集計部124は、監視対象がユーザネットワーク40や端末14である場合に、監視対象管理部123によってトラフィック量の集計対象として管理されているIF11a、IF11b、IF11d、IF12a、IF12b、IF12d、IF13a及びIF13cから、IF11b、IF11d、IF12b、IF13a以外のIF11a、IF12a、IF12d及びIF13cに対応するフロー情報を用いてトラフィック量を集計する。
【0045】
また、実施例1におけるトラフィック集計部124は、監視対象のユーザネットワークや端末が宛先や送信元に指定されているトラフィックのトラフィック量を集計する場合に、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量と、監視対象のユーザネットワークや端末に入力されるトラフィック量と、監視対象のユーザネットワークや端末から出力されるトラフィック量と、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量とを分けて集計する。
【0046】
この点について図1に示した例を用いて説明する。なお、ここでは、監視対象がユーザネットワーク40であるものとする。トラフィック集計部124は、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量として、IF11aが受信したユーザネットワーク40宛のトラフィック量とIF12aが受信したユーザネットワーク40宛のトラフィック量との総和を集計する。また、トラフィック集計部124は、監視対象のユーザネットワーク40に入力されるトラフィック量として、IF12dが送信したトラフィック量とIF13cが送信したトラフィック量との総和を集計する。また、トラフィック集計部124は、監視対象のユーザネットワーク40から出力されるトラフィック量として、IF12dが受信したトラフィック量とIF13cが受信したトラフィック量との総和を集計する。また、トラフィック集計部124は、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量として、IF11aが送信したトラフィック量のうち送信元がユーザネットワーク40であるトラフィック量と、IF12aが送信したトラフィック量のうち送信元がユーザネットワーク40であるトラフィック量との総和を集計する。
【0047】
そして、トラフィック集計部124は、このようにして集計したトラフィック量の総和をトラフィック量記憶部113に格納する。実施例1におけるトラフィック集計部124は、所定の受信時刻の範囲毎に、トラフィック量を集計し、集計結果をトラフィック量記憶部113に格納する。
【0048】
図5に、実施例1におけるトラフィック量記憶部113の一例を示す。図5に例示するように、トラフィック量記憶部113は、「受信時刻範囲」、「総トラフィック量」といった項目を有する。「受信時刻範囲」は、図3に例示したトラフィック情報記憶部111の受信時刻の範囲を示す。
【0049】
「総トラフィック量」は、受信時刻範囲に含まれるフロー情報から集計されたトラフィック量の総和を示す。図5に示した例では、「総トラフィック量」は、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別される。「AS入力」は、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量を示す。「監視対象入力」は、監視対象のユーザネットワークや端末に入力されるトラフィック量を示す。「監視対象出力」は、監視対象のユーザネットワークや端末から出力されるトラフィック量を示す。「AS出力」は、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量を示す。
【0050】
このようなトラフィック集計部124による処理の一例について説明する。ここでは、トラフィック情報記憶部111は、図3に例示した各種情報を記憶し、IF情報記憶部112は、図4に例示した各種情報を記憶するものとする。また、監視対象がユーザネットワーク40であるものとする。また、トラフィック集計部124による監視対象の受信時刻の範囲は、「4月13日10時0分〜10時10分」であるものとする。
【0051】
かかる場合に、トラフィック集計部124は、トラフィック情報記憶部111に記憶されているフロー情報のうち、受信時刻「4月13日10時1分」に対応する4レコードのフロー情報と、受信時刻「4月13日10時3分」に対応する2レコードのフロー情報とを、外部AS(AS20又はAS30)からユーザネットワーク40宛に送信されたトラフィックに対応するフロー情報として抽出する。これは、送信元IPアドレスが外部AS(AS20又はAS30)に属するサーバ等のIPアドレスを示し、宛先IPアドレスが監視対象のユーザネットワーク40に含まれる端末14のIPアドレスを示すからである。
【0052】
続いて、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、上記において抽出した6レコードのフロー情報から、AS10内のルータと接続されるIFに対応するフロー情報を除外する。すなわち、トラフィック集計部124は、インタフェースIDが「11d」、「13a」に対応する2レコードのフロー情報を除外し、トラフィック量の集計対象を4レコードのフロー情報に絞り込む。
【0053】
そして、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「11a」に対応するフロー情報に記憶されているトラフィック量「10KB」と、インタフェースID「12a」に対応するフロー情報に記憶されているトラフィック量「20KB」とを加算した「30KB」を、外部AS(AS20及びAS30)からAS10に入力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「30KB」を図5に例示したトラフィック量記憶部113の「AS入力」に格納する。
【0054】
また、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「13c」に対応するフロー情報に記憶されているトラフィック量「10KB」と、インタフェースID「12d」に対応するフロー情報に記憶されているトラフィック量「20KB」とを加算した「30KB」を、監視対象のユーザネットワーク40に入力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「30KB」を図5に例示したトラフィック量記憶部113の「監視対象入力」に格納する。
【0055】
さらに、トラフィック集計部124は、トラフィック情報記憶部111に記憶されているフロー情報のうち、受信時刻「4月13日10時2分」に対応する4レコードのフロー情報と、受信時刻「4月13日10時4分」に対応する2レコードのフロー情報とを、ユーザネットワーク40から外部AS(AS20又はAS30)宛に送信されたトラフィックに対応するフロー情報として抽出する。これは、送信元IPアドレスがユーザネットワーク40に含まれる端末14のIPアドレスを示し、宛先IPアドレスが外部AS(AS20又はAS30)に属するサーバ等のIPアドレスを示すからである。
【0056】
続いて、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報に基づいて、上記において抽出した6レコードのフロー情報から、AS10内のルータと接続されるIFに対応するフロー情報を除外する。すなわち、トラフィック集計部124は、インタフェースIDが「11d」、「13a」に対応する2レコードのフロー情報を除外し、トラフィック量の集計対象を4レコードのフロー情報に絞り込む。
【0057】
そして、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「13c」に対応するフロー情報に記憶されているトラフィック量「5KB」と、インタフェースID「12d」に対応するフロー情報に記憶されているトラフィック量「10KB」とを加算した「15KB」を、監視対象のユーザネットワーク40から出力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「15KB」を図5に例示したトラフィック量記憶部113の「監視対象出力」に格納する。
【0058】
また、トラフィック集計部124は、上記において絞り込んだ4レコードのフロー情報のうち、インタフェースID「11a」に対応するフロー情報に記憶されているトラフィック量「5KB」と、インタフェースID「12a」に対応するフロー情報に記憶されているトラフィック量「10KB」とを加算した「15KB」を、AS10から外部AS(AS20及びAS30)に出力されるトラフィック量として算出する。トラフィック集計部124は、このようにして算出した総トラフィック量「15KB」を図5に例示したトラフィック量記憶部113の「AS出力」に格納する。
【0059】
このように、実施例1におけるトラフィック集計部124は、複数のルータを経由した同一トラフィックが存在する場合であっても、かかるトラフィックを送受信したIFの数だけトラフィック量を加算せずに、監視対象のユーザネットワークや端末と接続されるエッジルータのIF(IF12d、IF13c)や、外部ASと接続されるエッジルータのIF(IF11a、IF12a)によって送受信されたトラフィック量を加算する。これにより、トラフィック集計部124は、監視対象のユーザネットワークや端末によって送受信されたトラフィック量を正確に算出することができる。この結果、ネットワーク管理者は、監視対象のユーザネットワークや端末によって送受信された正確なトラフィック量を監視することができる。
【0060】
また、トラフィック集計部124は、上記例のように、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を算出する。これにより、トラフィック集計部124は、AS10が外部ASから受信したトラフィック量のうち監視対象のユーザネットワークや端末に送信されたトラフィック量を算出することができるとともに、監視対象のユーザネットワークや端末が受信したトラフィック量を算出することができる。また、トラフィック集計部124は、監視対象のユーザネットワークや端末が受信したトラフィック量を算出することができるとともに、AS10が外部ASに送信したトラフィック量のうち監視対象のユーザネットワークや端末が送信したトラフィック量を算出することができる。
【0061】
図2の説明に戻って、トラフィック変動検出部125は、トラフィック集計部124によって集計された総トラフィック量を監視する。具体的には、トラフィック変動検出部125は、トラフィック量記憶部113に記憶されている総トラフィック量を監視し、トラフィック量が所定の閾値の範囲外に変動した場合に、ネットワーク管理者等に警告を出力する。例えば、トラフィック変動検出部125は、ネットワーク管理者が利用するユーザ端末等に電子メールを送信したり、ネットワーク監視装置100の表示画面に警告画面を表示したり、ネットワーク監視装置100のスピーカ等から警告音を出力したりする。
【0062】
トラフィック変動検出部125による処理の一例について説明する。例えば、監視対象のユーザネットワーク40によって送受信されるトラフィックのフロー情報について、「プロトコル=TCP」かつ「TCPフラグ=SYN」のような条件が設定されている場合、通常時には大量のトラフィック量が流通しない。このような場合に、トラフィック変動検出部125は、総トラフィック量が所定の上限閾値を超えた場合に、異常と判定して警告を出力する。また、例えば、トラフィック集計部124は、一定値異常のトラフィック量が流通する環境である場合には、総トラフィック量が所定の下限閾値を下回った際に、異常と判定して警告を出力する。
【0063】
なお、ネットワーク監視装置100は、Webサーバとしての機能を有してもよい。かかる場合に、トラフィック変動検出部125は、監視対象のユーザネットワークや端末毎に、異なるURL(Uniform Resource Locator)によりアクセス可能なWeb画面を提供してもよい。例えば、トラフィック変動検出部125は、トラフィック情報記憶部111やトラフィック量記憶部113に記憶されている各種情報を用いて、監視対象のユーザネットワークによって送受信されるIF毎のトラフィック情報(総トラフィック量等)をグラフや表によって表示するWeb画面を提供してもよい。
【0064】
[ネットワーク監視装置による集計処理手順]
次に、図6を用いて、実施例1に係るネットワーク監視装置100によるトラフィック量の集計処理の手順について説明する。図6は、実施例1に係るネットワーク監視装置100による集計処理手順を示すフローチャートである。
【0065】
なお、トラフィック情報収集部121及びIF情報取得部122による処理手順については図示することを省略するが、トラフィック情報収集部121は、ルータ11〜13からフロー情報を受信するたびに、かかるフロー情報をトラフィック情報記憶部111に格納する。また、IF情報取得部122は、例えば、ネットワーク監視装置100の起動等にルータ11〜13にアクセスすることでインタフェース情報を取得し、取得したインタフェース情報をIF情報記憶部112に格納する。
【0066】
図6に示すように、ネットワーク監視装置100のトラフィック集計部124は、監視タイミングであるか否かを判定する(ステップS101)。このとき、トラフィック集計部124は、監視タイミングでない場合には(ステップS101否定)、監視タイミングになるまで待機する。なお、監視タイミングとは、例えば、トラフィック量記憶部113の受信時刻範囲の時間(例えば、10分)が経過するタイミング等に該当する。
【0067】
一方、トラフィック集計部124は、監視タイミングである場合には(ステップS101肯定)、監視対象管理部123によって管理されている監視対象に関する情報を取得する(ステップS102)。すなわち、トラフィック集計部124は、監視対象のユーザネットワークや端末、及び、トラフィック量の集計対象とするIFに関する情報を取得する。また、トラフィック集計部124は、IF情報記憶部112に記憶されている接続関係情報を取得する(ステップS103)。
【0068】
続いて、トラフィック集計部124は、接続関係情報に基づいて、トラフィック情報記憶部111に記憶されているフロー情報のうち複数のルータを経由した同一のトラフィックを示す複数のフロー情報を特定する(ステップS104)。そして、トラフィック集計部124は、特定した複数のフロー情報の中から所定のフロー情報を用いて、トラフィック量を集計する(ステップS105)。
【0069】
なお、トラフィック集計部124は、複数のルータを経由していないトラフィックを示す複数のフロー情報も用いて、トラフィック量を集計する。また、実施例1におけるトラフィック集計部124は、図5に示した例のように、トラフィックの流通方向等を分別してトラフィック量を集計する。
【0070】
続いて、トラフィック変動検出部125は、トラフィック集計部124によって集計された総トラフィック量が所定の閾値の範囲外に変動したか否かを判定する(ステップS106)。ここで、トラフィック変動検出部125は、総トラフィック量が所定の閾値の範囲外に変動した場合には(ステップS106肯定)、ネットワーク管理者等に警告を出力する(ステップS107)。一方、トラフィック変動検出部125は、総トラフィック量が所定の閾値の範囲外に変動していない場合には(ステップS106否定)、警告を出力しない。
【0071】
このようにして、ネットワーク監視装置100は、監視タイミングになるたびに(ステップS101肯定)、上記ステップS102〜S107による処理手順を行う。
【0072】
[実施例1の効果]
上述してきたように、実施例1に係るネットワーク監視装置100は、複数のルータを経由した同一トラフィックが存在する場合や、複数の送信元から監視対象のユーザネットワーク等にトラフィックが送信される場合や、監視対象のユーザネットワーク等から複数の宛先にトラフィックが送信される場合であっても、監視対象のユーザネットワーク等によって送受信されるトラフィック量を正確に集計することができる。これにより、実施例1に係るネットワーク監視装置100は、例えば、DoS攻撃等が行われているか否かを正確に判定することができ、DoS攻撃等が行われている場合に、ネットワーク管理者に警告を通知することができる。
【実施例2】
【0073】
ところで、本発明に係るネットワーク監視装置及びネットワーク監視方法は、上述した実施例以外にも、種々の異なる形態にて実施されてよい。そこで、実施例2では、本発明に係るネットワーク監視装置及びネットワーク監視方法の他の実施例について説明する。
【0074】
[監視対象]
上記実施例1では、監視対象管理部123が、監視対象のユーザネットワーク40や端末14によって送受信されるトラフィックが流通し得る全IFのインタフェースID等を保持する例を示した。しかし、監視対象管理部123は、ネットワーク管理者によって指定されたIFのインタフェースID等を保持してもよい。すなわち、トラフィック量の集計対象とするIFは、ネットワーク管理者によって指定されてもよい。例えば、監視対象管理部123は、ネットワーク管理者によってIF11a、IF12a、IF12d及びIF13cが指定された場合に、かかるIFに対応するフロー情報を用いて、トラフィック量を集計する。
【0075】
また、監視対象管理部123は、監視対象のユーザネットワーク40や端末14によって送受信されるトラフィックが流通し得る全IFのインタフェースID等をトラフィックの集計対象とせずに、IF情報記憶部112に記憶されている接続関係情報に基づいて、AS10内のルータと接続されるIFを除外したIFをトラフィックの集計対象としてもよい。かかる場合には、トラフィック集計部124は、接続関係情報に基づいて、集計対象のIFを絞り込む処理を行わなくてよい。
【0076】
[VLAN]
また、上記実施例1において、ルータ11〜13が有する各IFにVLANが設定されている場合には、トラフィック情報収集部121は、IF及びVLAN−ID毎に、フロー情報を収集する。かかる場合、トラフィック情報収集部121は、図3に示したトラフィック情報記憶部111の「インタフェースID」に、「VLAN−ID」を格納するか、又は、「インタフェースID及びVLAN−ID」を格納する。また、IF情報取得部122は、インタフェースID及びVLAN−IDを用いて、接続関係情報を取得する。すなわち、IF情報取得部122は、同一のサブネットに属し、かつ、同一のVLAN−IDが設定されている2つのIFが存在する場合に、かかる2つのIFが接続されていることを示す接続関係情報をIF情報記憶部112に格納する。このとき、監視対象管理部123は、ユーザネットワークや端末、及び、VLAN−IDの組合せを監視対象の条件としてもよい。かかる場合に、トラフィック集計部124は、インタフェースID及びVLAN−ID毎に収集されるフロー情報を用いてトラフィック量を集計するが、同一のサブネットに属し、かつ、同一のVLAN−IDが設定されているIFについてはトラフィック量の集計対象から除外する。
【0077】
[集計処理]
また、上記実施例1では、トラフィック集計部124が、IF情報取得部122によって取得された接続関係情報に基づいて、AS10内のルータ11〜13と対向して接続関係にあるIFについてはトラフィック量の集計対象から除外する例を示した。しかし、ルータ11〜13が保持するインタフェースデスクリプション等に「Peer」、「Backbone」、「Customer」等の対向通信機器情報が設定されている場合には、トラフィック集計部124は、このインタフェースデスクリプション等に基づいて、トラフィック量の集計対象とするIFを抽出してもよい。例えば、インタフェースデスクリプション等に「Backbone」が設定されているIFがAS10内のルータ11〜13と対向して接続関係にあることを示す場合には、トラフィック集計部124は、インタフェースデスクリプション等に「Backbone」が設定されているIFをトラフィック量の集計対象から除外してもよい。
【0078】
[集計単位]
また、上記実施例1では、トラフィック集計部124が、図5に示した例のように、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を集計する例を示した。しかし、トラフィック集計部124は、「AS入力」、「監視対象入力」、「監視対象出力」、「AS出力」に分別して、総トラフィック量を集計しなくてもよい。例えば、トラフィック集計部124は、「監視対象入力」及び「監視対象出力」の総トラフィック量のみを集計してもよいし、「AS入力」及び「AS出力」の総トラフィック量のみを集計してもよい。
【0079】
[トラフィック情報]
また、上記実施例1では、トラフィック情報の一例としてフロー情報を例に挙げて説明した。しかし、トラフィック情報はフロー情報に限られない。例えば、ルータ11〜13が送信元IPアドレスと宛先IPアドレスとIFとの組合せ毎に、トラフィック量を集計する機能を有する場合には、かかる集計情報をトラフィック情報としてもよい。
【0080】
[中継装置]
また、上記実施例1では、図1に例示したように、中継装置としてルータを例に挙げて説明した。しかし、中継装置はルータに限られない。例えば、実施例1における各ルータは、スイッチ等の中継装置であってもよい。
【0081】
[システム構成]
また、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、図3〜図5等に例示した各種情報は、あくまで一例であって任意の情報に変更することができる。
【0082】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0083】
例えば、上記実施例1では、IF情報取得部122が、ルータ11〜13からインタフェース情報を取得した後に、接続関係情報をIF情報記憶部112に格納する例を示した。しかし、IF情報取得部122は、ルータ11〜13から取得したインタフェース情報を記憶部110に格納するだけの処理を行ってもよい。そして、監視対象管理部123やトラフィック集計部124がIF情報取得部122によって取得されたインタフェース情報に基づいて接続関係情報を取得し、取得した接続関係情報をIF情報記憶部112に格納してもよい。
【0084】
[プログラム]
また、上記実施例1において説明したネットワーク監視装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施例1に係るネットワーク監視装置100が実行する処理をコンピュータが実行可能な言語で記述したネットワーク監視プログラムを作成することもできる。この場合、コンピュータがネットワーク監視プログラムを実行することにより、上記実施例1と同様の効果を得ることができる。さらに、かかるネットワーク監視プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたネットワーク監視プログラムをコンピュータに読み込ませて実行することにより上記実施例1と同様の処理を実現してもよい。以下に、図7に示したネットワーク監視装置100と同様の機能を実現するネットワーク監視プログラムを実行するコンピュータの一例を説明する。
【0085】
図7は、ネットワーク監視プログラムを実行するコンピュータ1000を示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0086】
メモリ1010は、図7に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図7に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図7に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図7に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図7に例示するように、例えばディスプレイ1061に接続される。
【0087】
ここで、図7に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のネットワーク監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。例えば、図2に例示したトラフィック情報収集部121と同様の情報処理を実行するトラフィック情報収集手順と、IF情報取得部122と同様の情報処理を実行するIF情報取得手順と、監視対象管理部123と同様の情報処理を実行する監視対象管理手順と、トラフィック集計部124と同様の情報処理を実行するトラフィック集計手順と、トラフィック変動検出部125と同様の情報処理を実行するトラフィック変動検出手順とが記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
【0088】
また、上記実施例で説明したネットワーク監視装置100が保持する各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、トラフィック情報収集手順、IF情報取得手順、監視対象管理手順、トラフィック集計手順、トラフィック変動検出手順を実行する。
【0089】
なお、ネットワーク監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、ネットワーク監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【符号の説明】
【0090】
1 ネットワーク
10、20、30 AS
11、12、13、21、31 ルータ
11a、11b、11c、11d IF
12a、12b、12c、12d IF
13a、13b、13c IF
14 端末
40 ユーザネットワーク
100 ネットワーク監視装置
110 記憶部
111 トラフィック情報記憶部
112 IF情報記憶部
113 トラフィック量記憶部
120 制御部
121 トラフィック情報収集部
122 IF情報取得部
123 監視対象管理部
124 トラフィック集計部
125 トラフィック変動検出部
【特許請求の範囲】
【請求項1】
トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置であって、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集部と、
前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得部と、
前記取得部によって取得された接続関係に基づいて、前記収集部によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計部と
を備えたことを特徴とするネットワーク監視装置。
【請求項2】
前記集計部は、
前記収集部によって収集されたトラフィック情報のうち、前記ネットワークと該ネットワーク以外の外部ネットワークとを接続する中継装置のインタフェースによって送受信されるトラフィックに関するトラフィック情報を特定し、特定したトラフィック情報を用いて、前記トラフィック量を集計する
ことを特徴とする請求項1に記載のネットワーク監視装置。
【請求項3】
前記集計部は、
前記収集部によって収集されたトラフィック情報のうち、前記ユーザネットワークのネットワークアドレスが送信先又は送信元として指定されているトラフィック情報を抽出し、抽出したトラフィック情報を用いて、前記トラフィック量を集計する
ことを特徴とする請求項1又は2に記載のネットワーク監視装置。
【請求項4】
前記収集部は、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を、該インタフェースに設定されているVLAN−ID毎に収集し、
前記集計部は、
前記収集部によって収集されたトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量をVLAN−ID毎に集計する
ことを特徴とする請求項1〜3のいずれか一つに記載のネットワーク監視装置。
【請求項5】
前記集計部は、
前記ユーザネットワークに含まれる端末装置毎に、該端末装置によって送受信されるトラフィック量を集計する
ことを特徴とする請求項1〜4のいずれか一つに記載のネットワーク監視装置。
【請求項6】
前記集計部によって集計されたトラフィック量が所定の閾値の範囲外に変動したことを検出した場合に、警告を出力する警告部
をさらに備えたことを特徴とする請求項1〜5のいずれか一つに記載のネットワーク監視装置。
【請求項7】
トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置で実行されるネットワーク監視方法あって、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集工程と、
前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得工程と、
前記取得工程によって取得された接続関係に基づいて、前記収集工程によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計工程と
を含んだことを特徴とするネットワーク監視方法。
【請求項1】
トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置であって、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集部と、
前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得部と、
前記取得部によって取得された接続関係に基づいて、前記収集部によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計部と
を備えたことを特徴とするネットワーク監視装置。
【請求項2】
前記集計部は、
前記収集部によって収集されたトラフィック情報のうち、前記ネットワークと該ネットワーク以外の外部ネットワークとを接続する中継装置のインタフェースによって送受信されるトラフィックに関するトラフィック情報を特定し、特定したトラフィック情報を用いて、前記トラフィック量を集計する
ことを特徴とする請求項1に記載のネットワーク監視装置。
【請求項3】
前記集計部は、
前記収集部によって収集されたトラフィック情報のうち、前記ユーザネットワークのネットワークアドレスが送信先又は送信元として指定されているトラフィック情報を抽出し、抽出したトラフィック情報を用いて、前記トラフィック量を集計する
ことを特徴とする請求項1又は2に記載のネットワーク監視装置。
【請求項4】
前記収集部は、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を、該インタフェースに設定されているVLAN−ID毎に収集し、
前記集計部は、
前記収集部によって収集されたトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量をVLAN−ID毎に集計する
ことを特徴とする請求項1〜3のいずれか一つに記載のネットワーク監視装置。
【請求項5】
前記集計部は、
前記ユーザネットワークに含まれる端末装置毎に、該端末装置によって送受信されるトラフィック量を集計する
ことを特徴とする請求項1〜4のいずれか一つに記載のネットワーク監視装置。
【請求項6】
前記集計部によって集計されたトラフィック量が所定の閾値の範囲外に変動したことを検出した場合に、警告を出力する警告部
をさらに備えたことを特徴とする請求項1〜5のいずれか一つに記載のネットワーク監視装置。
【請求項7】
トラフィックを中継する複数の中継装置を含むネットワークと接続される所定のユーザネットワークによって送受信されるトラフィックを監視するネットワーク監視装置で実行されるネットワーク監視方法あって、
前記複数の中継装置が有するインタフェースによって送受信されるトラフィックに関するトラフィック情報を該インタフェース毎に収集する収集工程と、
前記複数の中継装置が有するインタフェースに関するインタフェース情報を収集し、収集したインタフェース情報に基づいてインタフェース間の接続関係を取得する取得工程と、
前記取得工程によって取得された接続関係に基づいて、前記収集工程によって収集されたトラフィック情報から複数の中継装置を経由したトラフィックを示す複数のトラフィック情報を特定し、特定した複数のトラフィック情報のうち所定のトラフィック情報を用いて、前記ユーザネットワークによって送受信されるトラフィック量を集計する集計工程と
を含んだことを特徴とするネットワーク監視方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−244302(P2012−244302A)
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願番号】特願2011−110676(P2011−110676)
【出願日】平成23年5月17日(2011.5.17)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成24年12月10日(2012.12.10)
【国際特許分類】
【出願日】平成23年5月17日(2011.5.17)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]