ネットワーク経路指定を監視するための方法及びシステム
開示した方法及びシステムは、複数のネットワーク・ルータ(108)から経路指定データを収集する段階と、ネットワークデータを入手するためルータ(104a、106a)及び時間にわたってこの経路指定データを収集する段階とを含む。このネットワークデータをユーザ(114)に実時間でストリーミングでき、ユーザ(114)はこのデータを対話的に照会できる。一実施形態では、ボーダーゲートウェイ・プロトコル(BGP)(112)更新トラフィックのリポジトリを用いて対話的な経路指定分析、ドリルダウン、及び証拠性の確保を実行できる。選択した経路指定問題を検出するために警報を設定できる。警報の設定において、各ルータ(104、106)のメッセージデータはタイムスタンプ順に処理できる。各ルータ(104、106)からの現在のメッセージデータを以前のメッセージデータと比較して、条件状態を特定できる。条件状態が時間的相関基準及び/又は空間的相関基準に合致すると、警報を提供することができる。
【発明の詳細な説明】
【関連出願】
【0001】
本願は、2003年3月18日付けで提出された米国仮特許出願第60/455,722号の開示全体の優先権を主張し、その開示全体はここに引用して援用する。
【背景技術】
【0002】
(1)技術分野
開示した方法及びシステムは、ネットワーク経路指定の監視に関するもので、詳細には、複数のネットワーク・ルータからのネットワークデータを監視し、収集し、分析し、ユーザに提供することに関する。
(2)背景技術
【0003】
ほとんどのユーザには透過的だが、典型的にはインターネットやワールド・ワイド・ウェブ(WWW)などのグローバル経路指定インフラストラクチャは完全に自動化されたシステムではない。これは、世界中の多数のネットワーク・オペレータやネットワーク技術者のたゆまぬ努力に依存している。偶発的な構成の誤りや故障は頻繁に発生し、インフラストラクチャに対する意図的な攻撃は常に存在する脅威である。外部ボーダーゲートウェイ・プロトコル(BGP)経路指定に関わる問題は、エクストラネット、仮想私設ネットワーク(VPN)、ポータル、ロジスティック・チェーン、ネットワーク配信サービス、及び他の分散形ITシステムのシームレスな動作を脅かす。典型的には、既存のネットワーク監視ソリューションは、組織の内部ルータを監視するにとどまっている。こうした監視では、その組織のルータにアクセするためにネットワークの他のノードが採用する経路の動的変化を観察する機会が与えられない。
【0004】
BGP経路指定は、グローバル通信インフラストラクチャの極めて重要な部分である。BGPは経路指定情報のグローバル再分散の仕組みを提供するので、構成の誤り、ハードウェア問題、ルータ・ソフトウェアのバグ、及びネットワーク攻撃によるBGPにおける障害はネットワーク接続された企業に深刻で手痛い影響を与えかねない。一般に、グローバルなインターネットは、BGPを用いて互いに結びつけられた複数の自律システム(AS)から構成されうる。これら自律システムは独立して管理されるIPネットワークを含むことができ、数千台の大型ルータを備えた世界的企業から単一のPCルータを持つ小さな事業体まで様々な規模にわたる。BGPルータのグローバル協調は行われていない。その代わり、BGPルータは、その隣接ルータから受信する経路指定メッセージに適用されるローカル管理ポリシーに従って経路を選択し、再通知する。一般に、このポリシー協調は隣接の自律システムに限られており、従って、BGP経路は自律システムから自律システムへ区分的に構築される。上手く管理された自律システムは自分たちのポリシーを調整しているが、世界中に広がりかねない問題の発生源となりうる自律システムも存在する。
【0005】
BGP(バージョン4)の設計は1990年代初期のインターネット環境に基づいている。. 1994年の6月に、約400のアクティブな自律システムが存在し、完全なテーブルには約20,000のプレフィックスが存在し、これらプレフィックスはネットワーク上のノードのグループ分けを識別していた。最大の自律システムは約30の隣接システムを備えていた。又、ネットワーク・アクセス・ポイント(NAP)ルータは一ヶ月に1ギガバイト程度のBGPメッセージを受信していたかもしれない。対照的に、2002年の12月時点では、約17,000のアクティブな自律システムが存在し、完全なテーブルには約120,000のプレフィックスが存在し、1つの自律システムが3,000を超える隣接システムを持つことがあった。経路指定トラフィックの大幅な増加に対応して、ベンダーはルータの速度及びBGP実装の質を向上させてきたが、経路指定の複雑さに対処又はそれを処理するツールの作成はそれほど発展してこなかった。今日では、ボーダー・ルータが交換するBGPメッセージ・ストリームは急激に増減し且つ大量であり、更に、1つのインターネット交換局の単一ルータで一日当たり数ギガバイトを超えることがある。又、経路指定パターンは常に変化している。インターネット・トラフィックにグローバルな影響を与えるBGP経路指定に関わる問題はごく普通の問題となっている。
【0006】
こうした問題には、ルータ構成上の誤り、リンク・レイヤ故障、ソフトウェア・バグ、並びに高速スキャン及びDoS攻撃からの付随被害を含む無数の原因がある。BGPの不安定性は頻繁にサービスの低下に繋がり、接続性が完全に失われることがある。BGP経路変更の伝搬はネットワーク上で比較的遅くなることがあり、収束時間は数十秒から数分である。こうした経路変更は、一時的な到達不能性及びパケット・ドロップを引き起こすことがあり、これは今日の高速ネットワークにおける大量のトラフィック・フローに大きな影響を与えかねない。構成上の誤り又は攻撃は、事態が改善するまで長時間にわたることがある。経路指定問題は、経済的に大きな影響を及ぼしかねない。BGP動作の正確性及び安定性は、エクストラネット、仮想私設ネットワーク(VPN)、ポータル、サプライヤとプロバイダ間のロジスティック・チェーン、ネットワーク配信サービス、及び他の機密ITシステムのシームレスな動作にとって必須となることがある。仮想ネットワークは、経路指定問題を解決するものとして頻繁に宣伝されているが、それ自身の管理範囲を越えた複数自律システムを横断する他の接続と同じ程度にBGP経路指定障害の影響を受けることがある。
【0007】
企業トラフィックの戦略的に重要なネットワークへの経路指定を妨げるBGP障害は、その根本原因がリモート自律システムに存在する場合、特にいらだたしいものである。従って、グローバル通信の必要条件としては、迅速に問題を緩和するためにグローバル経路指定の健全性を監視する必要性が示唆される。しかし、適切なツールが欠如していることで、既存のネットワーク監視システムを単一自律システムの範囲に限定しかねない。ネットワーク・デバイス及び集約トラフィックを監視するための基本的な簡易ネットワーク管理プロトコル(SNMP)に基づくシステムは、ネットワーク接続された組織に普通に配置されている。こうしたシステムは、監視している自律システム内でのトラフィック・フローに関する重要な情報を提供できるが、一般にその自律システムを出たトラフィックに関する情報は提供できない。事実、外部アドレスへのトラフィックはその宛先に到着するまでに平均で3から4つの自律システムを通過する。組織のトラフィックに影響を与える経路指定問題が発生したことをその組織に迅速に知らせるグローバルBGP監視システムは、その問題がインターネットのどこから発しているかに関わらず、総合的ネットワーク管理、安全、又はサーベイランス・システムの重要な構成要素となりうる。
【0008】
しかし、既存の典型的なネットワーク監視ソリューションは、組織の内部ルータに限定されることがある。こうしたソリューションは、ネットワークの管理境界を越えたところで生じる問題を解決できないし、問題が次のホップピア及び/又はプロバイダ・ネットワークを越えたところで生じる場合はとりわけ解決困難である。基本的には、単一ルータは、そして単一の自律システムすらも、インターネットを近視眼的にしか見ることができないと言える。すなわち、これらは自分自身から他の自律システムのネットワークへ発せられる経路を見ることはできるが、インターネットを横断する他の経路を見ることはできない。しかし、不可視ルータに基づいて挙動を相関させることで、BGP問題を一局所に限定する助けとなりうる。
【0009】
実時間のBGP経路指定警報の発生及びその根本原因の解決には、複数のルータ及び複数の自律システムを監視する必要がある。経路指定テーブルを定期的に分析することでは不十分であり、それはこうした定期分析が、時間的に固定したスナップショットを提供するのみであって、ネットワークを伝搬する経路指定変更の動的状態が欠けているからである。BGP監視、トラブルシューティング、及びセキュリティー評価の現在の実施状態は、典型的には、自分自身のルータのSNMPに基づく監視と、インターネット・プロトコル(IP)BGP出力を処理する様々な手段と、リモート・ルッキンググラス・ルータ内のルータの検査、北アメリカ・ネットワーク運営者グループ(NANOG)及び他の同様のメーリングリストなど様々な運営者グループから協同的助けを求めることの組合せに基づいている。こうしたアプローチは時間がかかり、労働集約的であり、高度の技能を備えた専門家を必要とする。
発明の概要
【0010】
開示した方法及びシステムは、ネットワークにおける多数の眺望地点から見ることができる、ネットワークへの経路の進展を実時間で監視できるネットワーク監視サービスを含む。ボーダーゲートウェイ・プロトコル更新トラフィックの大規模なリポジトリを用いて、対話的な経路指定分析、ドリルダウン、及び証拠性の確保(原語:forensic)を実行できる。経路指定メッセージデータはネットワーク上の多数のルータから収集でき、複数のルータ及び時間にわたって相関できる。更に、リポジトリ内のデータは、経路指定レジストリデータ及び/又はドメイン名サービス(DNS)データと相関できる。一実施形態では、このネットワークデータを実時間で(例えば、XML又は他のフォーマットで)ユーザにストリーミングでき、付加的に且つ/或いは随意選択で、ユーザはこのデータを対話的に照会できる。選択した経路指定問題を検出するために警報を設定できる。警報の設定において、ルータのメッセージデータはタイムスタンプ順に処理できる。ルータからの現在のメッセージデータを以前のメッセージデータと比較して条件状態を特定できる。条件状態が時間的相関基準及び/又は空間的相関基準を満たすと、警報を提供することができる。
【0011】
本明細書では、警報を「作動する」という用語及び警報に関する「作動」の派生語は、警報の設定、確立、維持、及び/又は提供を含むものと理解でき、警報は音声、映像、及び/又は他のインジケータでよい。更に、開示した方法及びシステムでは、条件又は他の基準が「閾値を超えた」時に警報を作動させるが、こうした表現は、1つの値(例えばデータ)を別の値(例えば警報閾値)と比較し、この比較に基づいて警報を設定/作動させること、及び/又は警報を設定/作動させないことも含み且つそれを示すことは理解可能なはずである。本明細書では、警報の「一時休止」とは、それ以前に提供、設定、維持、且つ/又は確立されていた警報を設定解除、クリア、提供しない、維持しない、且つ/又は他の方法で除去することだと理解できる。
【0012】
一実施形態では、開示した方法及びシステムは、コンピュータ可読媒体に具体的に格納されたコンピュータ・プログラムであって、コンピュータにネットワーク・トラフィックの監視を可能とさせるよう動作可能なコンピュータ・プログラムを含み、ネットワーク上の複数ルータから経路指定メッセージデータを収集し、これら経路指定メッセージデータを複数ルータ及び時間にわたって相関し、且つ経路指定パターンを得るためにこの相関データを分析する命令を含むことができる。この経路指定メッセージデータは、ボーダーゲートウェイ・プロトコルのメッセージデータとすることができる。データを収集する段階は、経路指定レジストリデータ及びドメイン名サービスデータを含む、ネットワークに関する構造情報の収集を含むことができる。この構造情報は、経路指定メッセージデータと相関可能である。経路指定パターンは、ネットワークを介して実時間でストリーミングできる。データを収集する段階は、収集ルータと地理的に多様な地点に位置したリモート・ピアルータとの間でセッションを確立する段階を含みうる。
【0013】
このコンピュータ・プログラムは、経路指定パターンに基づいて1つ又は複数の警報(例えば、経路指定警報)を提供するための命令を含むことができる。経路指定警報を提供するには、このコンピュータ・プログラムは、ネットワーク・プレフィックスに付いてメッセージデータをタイムスタンプ順に処理し、プレフィックスに関する現在のメッセージデータをこのプレフィックスの以前のメッセージデータと比較して、このプレフィックスの警報条件の条件状態を特定し、この条件状態が時間的相関基準及び/又は空間的相関基準を満たす時に経路指定警報を作動するための命令を含むことができる。作動した経路指定警報のグラフをユーザに表示できる。
【0014】
少なくとも1つの警報条件が所定の時間にわたり高となっていることを条件状態が示した時に、このコンピュータ・プログラムは、条件状態が時間的相関基準を満たしていると判断できる。又、同一の警報条件が高になっていることを所定数のプレフィックスの条件状態が示した時に、このコンピュータ・プログラムは、条件状態が空間的相関基準を満たしていると判断できる。更に、同一の警報条件が高となっていることを、指定した地理的分布を備えた所定数のプレフィックスの条件状態が示した時に、このコンピュータ・プログラムは、条件状態が空間的相関基準を満たしていると判断できる。
【0015】
経路指定警報を提供するための命令は、経路指定警報に値を割り当てる命令と、それら値に処理スキームを適用する命令(例えば時間の経過と共に値を減少する)と、警報の値を所定値に比較すること(例えば、識別した経路指定警報が所定の値を下回った時)に基づいて識別した経路指定警報を除去する命令とを含むことができる。一組の警報は集約して、複合警報を得ることができる。集約するための命令は、経路指定警報を、ネットワーク・プレフィックス、ネットワーク上の自律システム、及び/又はネットワーク上のサブネットワークに基づいて組み合わせる命令を含むことができる。ネットワーク・プレフィックスに基づいて経路指定警報を組み合わせる命令は、より詳細なプレフィックスのリスト及び/又は起点自律システム・プレフィックスのリストを、より詳細なプレフィックスのネットワーク・プレフィックスのリストに関する経路指定メッセージデータに基づいて生成する命令と、それぞれのリストから選択したより詳細なプレフィックスに関する経路指定警報と起点自律システム・プレフィックスに関する経路指定警報とを組み合わせる命令とを含むことができる。
【0016】
相関データを分析する命令は、1つ又は複数の時系列の相関データを処理する命令を含むことができる。この処理は、時系列の選択した部分にわたり類似パターンのメッセージデータを備えた複数ルータに対応した相関データ内の特徴を検出することにより実行する。特徴を検出する命令は、経路指定メッセージデータが閾値数のプレフィックスを上回ったのを示したことを、複数ルータに関する相関データが示した時を特定する命令を含むことができる。これら命令は、上述の特徴の相関データに対応するネットワーク上のサブネットワーク及び/又は自律システムを識別する命令と、上述した時系列の選択部分の時間スケールを変更する命令とを含むことができる。処理する命令は、特徴検出、相関、及びクラスタ技法を含む信号処理技法を適用する命令を含むことができ、こうした技法は、本明細書で記載したように複数の時間尺度にわって適用できる。
【0017】
経路指定メッセージデータ及び/又は相関データのグラフをユーザに表示できる。ユーザは、グラフ表示に基づいてこうしたデータを対話的に照会できる。このコンピュータ・プログラムは、これら照会を処理し且つ照会に一致したデータをユーザに示すための命令を含むことができる。
【0018】
一実施形態では、ネットワークデータを実時間で配信するための方法は、ネットワーク上の複数ルータから経路指定データを収集する段階と、ネットワークデータを得るため複数のルータ及び時間にわたってこの経路指定データを相関する段階と、ネットワークデータをユーザにネットワークを介してストリーミングする段階とを含む。経路指定データを相関する段階は、複数ネットワーク・メトリックのうち少なくとも1つを特定する段階を含むことができる。これらメトリックには、グローバルに到達可能なネットワーク・プレフィックスのメトリック、ネットワークの全経路指定メッセージ・トラフィックを示す強度メトリック、到達不能なネットワーク・メトリック、経路不安定性メトリック、経路不安定性の評価点分布メトリックが含まれる。
【0019】
グローバルに到達可能なネットワーク・プレフィックスのメトリックを特定する段階は、所定の時間フレームにわたるデフォルトフリー(原語:default-free)の経路指定テーブルのサイズを特定する段階を含むことができ、よってこのメトリックは、接続性喪失及び劣化イベント並びにネットワークにおけるサイズの変化を反映する。強度メトリックを特定する段階は、全経路通知メッセージ・トラフィック及び全取り消しメッセージ・トラフィックを特定する段階を含むことができる。到達不能なネットワーク・メトリックを特定する段階は、一時的に到達不能と推測されるサブネットワークの数を追跡する段階を含むことができ、この段階は、予想レベルのサブネットワーク到着及び退去を補正するためにそれ以前の到達性にも随意選択で依存している。経路不安定性メトリックを特定する段階は、不安定性評価点を各プレフィックスへの経路に適用する段階と、時間の経過と共に各プレフィックスに関する不安定性評価点を累計的に計算する段階と、経路が安定化した後に不安定性評価点を抑制する段階とを含むことができる。経路不安定性の評価点の分散メトリックを特定する段階は、重大度及びプレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリック(原語:vectoral
metrics)を特定する段階を含むことができる。
【0020】
この方法は、異なる時間スケールにわたって、類似パターンのネットワーク・メトリックを備えた複数ルータの幾つかに対応するネットワークデータにおける特徴を検出する段階を含むことができる。特徴を検出する段階に含まれうる段階としては、幾つかのプレフィックスが少なくとも1つのメトリックに関して閾値数のプレフィックスを上回ったことを、上述の複数ルータの幾つかそれぞれに関するネットワークデータが示す時を特定する段階がある。この方法は、こうした特徴のネットワークデータに関連付けられたプレフィックスに対応したサブネットワーク及び/又は自律システムを識別する段階を含むことができる。
【0021】
一実施形態では、ネットワークに関する経路指定警報を提供するための方法は、ネットワークに分散した複数のピア・ルータに関して、ボーダーゲートウェイ・プロトコル(BGP)「更新」メッセージを、当該BGP「更新」メッセージにおいて識別されたネットワーク・プレフィックスに付いて、タイムスタンプ順に処理する段階と、受信した現在のメッセージと受信した以前のメッセージの比較に基づいて、ネットワーク・プレフィックスに関して少なくとも1つの警報条件を設定する段階と、それら警報条件を時間及び複数ピア・ルータにわたって相関する段階と、これら警報条件の少なくとも1つが時間的相関基準及び/又は空間的相関基準を満たした時に、ネットワーク・プレフィックスに関する経路指定警報を作動する段階とを含むことができる。この警報条件が時間的相関基準を満たすのは、その条件が所定の期間にわたり設定されているときである。又、この警報条件が空間的相関基準を満たすのは、その条件が所定数のピア・ルータに関して設定されているか、特定した地理的分布を備えた所定数のピア・ルータに関して設定されているときである。
【0022】
経路指定警報を提供する段階は、値をそれら経路指定警報に割り当てる段階と、処理スキームをそれら値に適用する段階と、識別された経路指定警報が所定の値となった時に、その経路指定警報を除去する段階とを含むことができる。こうした処理スキームは時間に基づいて値を減少可能だが、他の処理スキームを用いてもよい(例えば、時間に関わりなく一定なもの、固定及び減少スキームなど)。ネットワーク・プレフィックス、ネットワーク上の自律システム、及び/又はネットワーク上のサブネットワークに基づいて経路指定警報を組み合わせることによって、一組の経路指定警報を集約して、複合警報を得ることができる。この方法は、より詳細なプレフィックスのリスト及び/又は起点自律システム・プレフィックスのリストを、これらネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成でき、更に、それぞれのリストから選択したより詳細なプレフィックスに関する経路指定警報と、起点自律システム・プレフィックスに関する経路指定警報とを組み合わせ可能である。
【0023】
この方法は、様々な基準に基づいて様々な警報条件を設定できる。それらには、プレフィックスがアドバータイズされた時に、そのプレフィックスの「アドバータイズ済み」条件を高に設定すること、プレフィックスが1つ又は複数の異なるBGP属性を付きでアドバータイズされた時か、プレフィックスが取り消された時に、そのプレフィックスの「変更済み」条件を高に設定すること、プレフィックスがより長いASPATH付きでアドバータイズされた時か、プレフィックスが取り消された時に、そのプレフィックスの「劣化」条件を高に設定すること、プレフィックスが取り消された時に、そのプレフィックスの「取り消し済み」条件を高に設定すること、プレフィックスが取り消されており、詳細性がより低いプレフィックスへの経路が存在しない時に、そのプレフィックスの「到達不能」条件を高に設定すること、未許可のより詳細なプレフィックスがアドバータイズされている時に、そのプレフィックスの「分解」条件を高に設定すること、プレフィックスがネットワーク上の未許可自律システムによりアドバータイズされている時か、ネットワーク上の自律システムが未許可プレフィックスをアドバータイズしている時に、そのプレフィックスの「起点」条件を高に設定することが含まれる。
【発明を実施するための最良の形態】
【0024】
全体的な理解を可能とするため、幾つかの例示的な実施形態を次に説明するが、通常の技能を備えた当業者であれば、本明細書に記載されたシステム及び方法を変更及び修正して、他の適切な応用例となるシステム及び方法を提供できることや、それ以外の追加及び修正が、本明細書に記載されたシステム及び方法の範囲から逸脱することなく可能であることは理解するはずである。
【0025】
特記しない限り、ある実施形態の詳細を変える典型的な特徴の実現としてこれらの例示的な実施形態を理解できるはずである。従って、特記しない限り、実例の特徴、構成要素、モジュール、及び/又は様態を、開示したシステム又は方法から逸脱することなく、他の方法で、組み合わせたり、分離したり、交換したり、且つ/或いは再編成したりすることができる。加えて、構成要素の形状及びサイズも代表的なものであり、特記しない限り、本開示で記載した代表的システム又は方法に影響を与えることなく変更できる。
【0026】
本開示は、ネットワークにおける多数の眺望地点から見ることができる、ネットワークへの経路の進展を監視できるネットワーク監視サービスに関する。一実施形態では、これら方法及びシステムは実質的に実時間で実行できる。経路指定メッセージデータはネットワーク上の多数のルータから収集でき、ボーダーゲートウェイ・プロトコル(BGP)更新トラフィックのリポジトリに格納できる。リポジトリ内のデータは複数ルータ及び時間を横断して相関できる。更に、リポジトリ内のデータは、経路指定レジストリデータ及び/又はドメイン名サービス(DNS)データと相関できる。収集したデータに対しては、対話式照会、経路指定分析、ドリルダウン、及び証拠性の確保を実行できる。更に、データ及び分析は、例えば実時間でユーザにストリーミングできる。選択した経路指定問題を検出する他の警報を提供且つ/又は設定できる。警報の設定において、ルータのメッセージデータはタイムスタンプ順に処理できる。ルータからの現在のメッセージデータを以前のメッセージデータと比較して条件状態を特定できる。条件状態が時間的相関基準及び/又は空間的相関基準を満たすと、警報を提供することができる。
【0027】
便宜上そして説明を容易とするため、これらシステム及び方法は、本明細書ではグローバル・インターネット共に用いる代表的なシステム及び方法を参照して説明できる。ただし、本明細書に記載したシステム及び方法は開示した実施形態に限定されず、他の構成を備えた他のネットワークに応用可能であり、ネットワーク活動を監視するためにデータを収集する他の応用例及び/又は手段を含むことができる。更に、こうした他のネットワーク、構成、及び/又はデータに対応するための入力、処理、及び/又は出力の付加、修正、及び/又は他の変更も、本明細書に記載したシステム及び方法では考慮されており、当業者なら実行可能である。
【0028】
図1を参照すると、本明細書で説明する方法及びシステムを組み込み可能なネットワーク100が図示されている。ネットワーク100は、多数の自律システム(AS)102及び/又はルータ104を含むことができるが、図1ではその内の少数のみを図示する。本明細書で上述したように、グローバル・インターネット上の自律システムの数は20,000に近づいている。本明細書では、自律システムとは、単一の明確に定義された経路指定ポリシーを備えた1つ又は複数のインターネット・プロトコル(IP)ネットワークの接続グループであって、単一の管理実体(例えば、大学、企業、企業の部門など)のために共通のネットワーク管理者(又は管理者のグループ)により管理され、且つ経路指定ドメインとして本明細書で呼ぶことができる接続グループとすることができる。所与のネットワーク上のノードは同一のネットワーク・プレフィックスを共有するが、一意のホスト番号を備えている。自律システムは、1つ又は複数の自律システム・ボーダー・ルータ106を含むことができ、ボーダーゲートウェイ・プロトコル(BGP)を用いる他の自律システムと経路指定情報を共有できる。
【0029】
幾つかの自律システム・ルータ106及び/又はルータ104(106a及び104aの参照番号を付けた)は、収集ルータ108とのピアリング・セッションを維持できる。一般に、これらピアリング・セッションはサイレントだが、セッションには、自律システム・ルータ106a及びルータ104aにデータを返信することを含みうる。ルータ104a及び自律システム・ルータ106aは、ネットワーク100における経路指定メッセージの全体像を提供するために、ネットワーク100全体にわたり戦略的に配置されている。収集ルータ108は、自律システム・ルータ106a及びルータ104aから経路指定メッセージデータを処理のため収集できる。収集ルータ108は他のルータに経路を通知することはなく、収集した経路指定メッセージデータはアクティブなネットワーク要素の経路指定メッセージデータを反映できる。説明を明確にするため、図1の収集ルータ108はネットワーク100から分離して図示してある。現実には、収集ルータ108の一部又は全部をネットワーク100内に分散できる。
【0030】
収集ルータ108は、収集したメッセージデータを、このデータを格納又は保存できる1つ又は複数の分析サーバ110に転送できる(図1ではBGPデータベース112により具現化して示した)。説明を明確且つ容易とするため、分析サーバ110及びデータベース112は本明細書では単一のものとして図示し、考慮できるが、複数の同期化したサーバ110及びデータベース112の使用も考慮されている。ネットワーク監視サービスを1つ又は複数のクライアント114に提供するため、1つ又は複数の分析サーバ110は、1つ又は複数のデータベース112からのメッセージデータを処理し、処理したデータにアクセスし、処理し、且つ/又は表示するためのツールをクライアント114に提供する。クライアント114は、ネットワーク100における多数の眺望地点(収集ルータ108)から見える、自分のネットワークへの進展する経路(原語:evolving
routes)を監視できる。複数の分析サーバ110を用いる場合は、分析サーバ110は複数のデータベース112にわたり分散可能なデータを処理するため同期化できる。従って、更にこれらデータベース112を同期化でき、有線及び/又は無線通信プロトコル並びに/或いは技法を用いて通信できる。
【0031】
データベース112は、BGP「更新」メッセージデータ、経路指定レジストリデータ、DNSデータ、及び/又は当業者が取得可能且つ/或いは考慮可能な他のネットワークデータを含むことができる。ルータ104及び自律システム・ルータ106のようなBGPスピーキング・ルータは、BGP「更新」メッセージを隣接ルータに送信して、特定のネットワークへの最適な経路を通知するか、使用不可能となった経路を取り消す。隣接するBGPスピーキング・ルータは、これら「更新」をその隣接ルータに伝搬し、それが繰り返される。こうした「更新」にはタイムスタンプが打刻され、プレフィックスの特徴を記述可能なBGP属性(本明細書では「属性」と呼ぶ)を保持できる。例えば、ASPATH属性は、通過した一連の自律システムをそのプレフィックスの起点となる自律システムまで列挙する。他の属性には、これらに限定する訳ではないが、次のホップ、iBGP次のホップ、第三者次のホップ、原点、アグリゲータ、ローカル参照、マルチ・イグジット・ディスクリミネータ(MED)、MED及び内部ゲートウェイ・プロトコル(IGP)メトリック、重み、コミュニティ、周知コミュニティ、及び非イクスポート・コミュニティなどが含まれる。イベント影響グローバル経路指定は、1つ又は複数のルータが根本原因経路指定イベント(例えばセッション開始、ルータ・シャットダウン、又はセッション喪失、セッション・リセット、及び/或いは内部ゲートウェイ・プロトコル(IGP)到達性又は自律システム106への接続性の変更など)を検出した後に、概ね同時に一定数の「更新」メッセージを発することにより開始されうる。
【0032】
「更新」は、ネットワーク100のトポロジを移動する波面のようにBGPスピーキング・ルータを伝搬していくのが分かる。当業者であれば、ルータ104a及び自律システム・ルータ106aで受信された「更新」メッセージの相関分析により、経路指定問題を検出し、発生場所を突き止められることが理解できるであろう。これは、地理学的に格子状に分散したセンサからのデータを相関させることにより地震を検出し、震源を突き止められることに似ている。典型的には、「更新」は多くのルータにより発せられ、多くの根本原因を反映する。伝搬は波面の重ね合わせに例えることができる。図1の分析サーバ110は、個別のプレフィックスに関して「更新」を追跡、相関でき、且つ/又は異なる収集ルータ108に到着するプレフィックスを集約して、「更新」の発生原因となった経路指定イベントを見出し、診断する助けとする。処理技法には、特徴検出方式(例えば、ベイズ分類辞、ニューラル・ネットワークなど)、クラスタ化、及び/又は複数のセンサからの複数の時系列データを相関するための他の信号処理技法が含まれる。
【0033】
上述の相関をデータベース112からのタイムスタンプ付きの更新データに適用することで、分析サーバ110は多くのネットワーク監視サービスをクライアント114に提供できる。これらサービスには、所与の時間帯/期間/間隔における経路指定分析と、監視データを(例えば実時間で)クライアント114へのストリーミングと、及びクライアント114にクライアントのネットワーク外部に起因するBGP経路指定問題を検出し、診断する能力を与えるための(例えば、実時間の)警報とが含まれる。
【0034】
図2は、分析サーバ110が、ユーザ114にネットワーク100経路指定の監視及び分析用に表示できる代表的なユーザインターフェース200を示す。インターフェース200は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。インターフェース200は、メニューバー204、ナビゲーション・ボタン206、及び探索フィールド208を含むことができる持続的ウィンドウ制御フレームワーク202を含むように構成できる。更に、ウィンドウ制御フレームワーク202は、カレンダー・ナビゲーション・ツール210、進行インディケータ212、プレフィックス・インディケータ214、リフレッシュ・セレクタ216、ツール・インディケータ218、及び/又は他のナビゲーション・ツール、選択ツール、インディケータなどを含むこともできる。ウィンドウ制御フレームワーク202に加え、インターフェース200は、要求されたデータを表示するためのウィンドウ220を含むことができる。
【0035】
メニューバー204は幾つかのプルダウン・メニューを備えることができる。図2は、ファイル、編集、ツール、ビューマーク、プレフィックス、警報、及びヘルプメニューを図示しているが、メニューの数はこれよりも多くても少なくてもよく、且つ/或いはこれ以外のメニュー配列も考慮できる。特に、ツールメニュー222は、利用可能データ表示、分析、及び警報ツールのリストを含むことができる。ツールメニュー222から任意のツールを選択すると、ウィンドウ220の内容が選択したツールの使用を反映して変化する。
【0036】
ビューマーク・メニュー224では、ビューマークの作成と、ビューマークの取り出しとが可能で、そのビューマークが作成された時点でのウィンドウ220におけるデータビューへの参照を保存できる。ビューマークは、ウィンドウ220におけるデータビューに対応した拡張マーク付け言語(XML)レコードを含むことができる。ビューマークは、このデータビューの将来の取り出し及び/又はこのデータビューの共有(例えば、ビューマークを別のクライアント114に電子メールすることによる)のために使用できる。一例として、一連のビューマークをデータ分析時に作成して、これらビューマークを順に取り出すことで分析の時間的進行を表すことができる。ビューマーク・メニュー224は、ビューマークの作成及び追加、既存ビューマークのリストの表示、表示のためのビューマーク選択(現在のデータビューと取り替えるか、現在のデータビューに新しいデータビューを重ねることによる)、ビューマークのコピー、ビューマークの編集、及び/又はビューマークの削除を含むことができる。
【0037】
プレフィックス・メニュー226では、プレフィックス固有分析ツールに直接リンクするために後に選択できるネットワーク・プレフィックスのリストを作成、選択、編集、且つ/或いは削除する諸機能が利用できる。警報メニュー228では、分析サーバ110による実時間警報の提供に関して本明細書で詳述するように、警報を作成且つ編集する諸機能が利用できる。
【0038】
ナビゲーション・ボタン206では、選択及び設定変更の取り消し及び再実行、分析サーバ110からのデータ再ロード、最近利用可能となったデータの追跡、及び/又はデータ要求中止の諸機能が利用できる。探索ツール208は、データを取得するためにデータベース112の探索又は照会機能を提供できる。照会には、自律システム番号、プレフィックス名、ドメイン名、及び/又は他のネットワーク属性による照会が含まれるが、これらに限定されない。探索が終了すると、ウィンドウ220は、選択した自律システム、プレフィックス、及び/又はドメイン名に関係した接続性情報を表示できる。従って、探索ツール208は、データ表示用の多数のツールへの入口点となりうる。図2は、ネットワーク100に関するより一般的性質の経路指定情報をクライアント114に提供できる、ウィンドウ220内の初期インターフェースを図示する。これら情報には、アクティブな自律システム及びプレフィックスの数、例えばBGP通知/取り消し、テーブルサイズ、到達不能ネットワーク、ブラックホール攻撃、不安定性の主要原因のリストなど全体的なネットワーク安定性メトリックが含まれる。
【0039】
カレンダー・ナビゲーション・ツール210は、分析のためのデータの時間フレーム又は時間帯(例えば、時間間隔、期間など)の選択を可能とする。代表的なインターフェース200に関しては、カレンダー・ナビゲーション・ツール210は、データウィンドウを開始するための日付及び時間を選択するカレンダー230と、集約BGPプレフィックス通知/取り消しレートのグラフ表示に重ね合わせた時間範囲スライダ232と、時間範囲スライダ232の広さを調節するためのスライダ制御手段234とを含むことができる。カレンダー230を介してデータウィンドウの開始を選択すると、時間範囲スライダ232の左端がセットされる。開始を調節するには、例えば、時間範囲スライダ232の左端をマウスでクリック/選択し且つ「ドラグ」する(例えば、操作、移動)などしてスライド232の左端を移動させればよい。このウィンドウの範囲を調整するには、時間範囲スライダ232の右端を移動させればよい。時間範囲スライダ232は、マウスでドラグすることにより左右に移動させ、範囲を変更することなく開始時間を変更できる。当業者であれば、インターフェース200のカレンダー・ナビゲーション・ツール210に追加する或いはそれに代わる時間フレームを選択するための他のグラフ表示及び/又は手段を考慮できる。
【0040】
進行インディケータ212は、クライアント114が要求するデータに関わる状態情報を表示できる。例えば、状態情報は、保留状態の要求のカウントと、保留状態の要求からどれだけの量のデータがダウンロードされたかの表示と、メモリ使用状態の表示とを含むことができる。プレフィックス・インディケータ214は、分析サーバ110がどのプレフィックスを処理しているかを示すことができる。リフレッシュ・セレクタ216により、クライアント114はリフレッシュ・レートを選択できる。この機能により、上述の選択した速度で最新データを追跡するためウィンドウ220が表示を更新できる。ツール・インディケータ218は、ツールメニュー222から選択したツールを表示できる。
【0041】
図3は、クライアント114にグローバル経路指定レポートをウィンドウ320内で表示するための代表的なユーザインターフェース300を示すが、これはツールメニュー322から選択され、ツール・インディケータ318により示す。一般的に、インターフェース300は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク302を備えている。従って、参照番号を100ずらして類似の特徴を示した。インターフェース300は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。グローバル経路指定レポートツールは、選択した時間範囲に関してネットワーク100内の経路指定アクティビティのビューを提供できる。ウィンドウ320に示したレポートは、BGP通知336と、BGP取り消し338と、経路指定テーブルサイズとの3つの別個のツールを含むことができる。
【0042】
BGP通知336及びBGP取り消し338は、それぞれカレンダー・ナビゲーション・ツール310により選択された時間フレームで記録された、BGPプレフィックス通知レート及び取り消しレートの、グローバルに相関した三次元プロットを提供できる。X軸は時間を示し、Z軸はそれぞれプレフィックス通知/取り消しの数を示す。Y軸にその目盛りを付けた平行な個別プロット線は、表示した組のルータ104a及び自律システム・ルータ106aに対応し、収集ルータ108に関連付けられており、本明細書ではピア104a、106aとも呼ぶ。
【0043】
プロット336、338は、それぞれ別個のピア104a、106aから受信したプレフィックス通知及び取り消しレートにおける時間的相関を観察可能にする。Y軸に平行な波状或いはフェンス状の特徴は、表示したピア104a、106aの殆どにより記録された経路指定イベントで、ネットワーク100内でグローバルに伝搬するプレフィックス通知又は取り消しのサージを引き起こすイベントを示すことができる。単一のピア104a、106aに関する単一のピーク及び/又は他の特徴は、経路指定不安定性を報告する単一の自律システム102又はルータ104を示すことができる。プロット336、338は、プロット軸を修正し、プロット中の特徴を拡大するための制御手段を含むことができる。例えば、クライアント114は、X軸にそって範囲を選択することで波状の特徴342を拡大できる。制御手段を用いると、選択した範囲に従ってプロットを再プロットできる。
【0044】
経路指定テーブルサイズ340は、多数の収集ルータ108に関するBGP転送テーブルのサイズの二次元プロットを表示できる。X軸は時間を示し、プロットBGP通知346及びBGP取り消し338に示した範囲に一致する。Y軸は別個の経路指定可能プレフィックスの数を示し、各プレフィックスが一度に列挙される。プロット340の各線は単一のBGP経路指定テーブルに対応する。プロット340は、例えば所与の時間間隔内で線が増加又は減少する際に、ネットワークにグローバルに影響を与える経路指定イベントを示すことができる。これはBGP通知336及びBGP取り消し338の特徴と相関可能である。経路指定テーブルサイズ340は、プロットの軸を修正するための制御手段を含むことができる。
【0045】
プロット336乃至340に加え、ウィンドウ320は分析ボックス344を含むことができ、このボックス344は、プロット336乃至340で表示された選択データにおいて検出された重要な経路指定イベントに関する詳細情報を提供できる。分析ボックス344を表示する際に、分析サーバ110は、経路指定イベントを識別できる波状の特徴342などの選択データを相関に関して処理できる。プロット338においてタグ346、348で示したように、こうしたイベントはタグ付けできる。各タグに関して、分析ボックス344は関連付けたタブ350を含むことができる。タブを選択することで、分析サーバ110は関連付けられたイベントを分析して、検出したイベントの考えられる原因を特定できる。この分析結果は、プレフィックスを通知又は取り消した自律システム及びプレフィックスのリストとして分析ボックス344に表示できる。本明細書で詳述するように、分析ボックス344に表示された自律システム及びプレフィックスは、ツールメニュー222から自律システム近隣グラフ・ツール及びプリフィックス・ツールなどの他のツールにリンクできる。
【0046】
上述のように、ツールメニュー222はプレフィックス・ツールを含むことができ、これらツールにより、分析サーバ110は、選択した期間にわたる選択した単一又は一群のプレフィックスに関してデータベース112からのBGP更新データを処理可能である。このデータは処理して、様々な形式でクライアント114に提示できる。これら形式には、経路指定サマリーと、生トラフィックのテーブルと、経路変更と、経路停止及び経路状態と、プロバイダ・マップとの形での選択したプレフィックスに関する経路指定アクティビティの概要を含む。
【0047】
図4は、ツールメニュー422(図示しない)から選択された、クライアント114にプロバイダ・マップ436をウィンドウ420内で表示するための代表的なユーザインターフェース400の一部を示す。このインターフェースでは、ツール・インディケータ418は選択したプレフィックスを示す。一般的に、インターフェース400は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク402を備えている。従って、参照番号を図2の参照番号から200ずらして類似の特徴を示した。インターフェース400は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0048】
プロバイダ・マップ436は、起点自律システムと、ピア104a、106aから選択した期間にわたり観察された選択したプレフィックスへの経路の近傍部分とを表示できる。従って、プロバイダ・マップ436は、ネットワークから選択したプレフィックスまでの経路の部分グラフと、これら経路が時間と共にどのように変化してきたかを示すことができる。プロバイダ・マップ436は、選択プレフィックスをカバーする1つ又は複数のプレフィックス438を識別できる。プレフィックス438は単一の選択プレフィックスを含むことができ、且つ/或いは図4の代表的なプロバイダ・マップ436に示したように、選択プレフィックスを含む1つ又は複数の集約(詳細性が低い)プレフィックスからなる列を含むこともできる。該当する場合は、分析サーバ110は複数の起点プレフィックスを検出、表示できる。
【0049】
プレフィックスと自律システム440との間の接続、自律システム440と1つ又は複数のネットワーク・プロバイダ442との接続、及び/又は自律システム440とネットワーク・コア自律システム444との間の接続は、色分け、陰影付け、或いはそれ以外の方法で明確に表示して、様々な接続を区別可能とし、これら接続が通知されたパスか取り消したパスの何れを表すのかを区別できる。接続の太さは、プレフィックスを通知又は取り消しており且つそのASPATHが当該区分を含むピア104a、106aの割合を質的に示す。
【0050】
更に、図4は、プレフィックス固有データの時間進行を調べるための再生制御機構466を示している。ビデオ・カセット・レコーダの周知の制御手段と類似した再生制御機構446の早送り、巻き戻し、停止、一時停止、再生、又はその他の機能を選択することで、クライアント114は表示されている期間を連続的又は漸進的に変化させられる。プロバイダ・マップ436に関連して図示されているが、再生制御機構446は、上述の様々なプレフィックス・ツールに適用できる。再生制御機構446は、色分け、陰影付け、或いはそれ以外の方法で明確に表示したブロック・インディケータを備えた時間範囲表示448を備えることもできる。ブロック・インディケータは、通知又は取り消しの数を質的に示すようにサイズ決めされる。時間範囲表示448を拡張して多数のピア104a、106aを表示できるが、これはアップストリームの自律システムによるフラップ・ダンピング及び他の経路指定イベントの識別並びに/又は追跡などで有用である。
【0051】
図5は、ツールメニュー522から選択するか、探索ウィンドウ508から選択する、クライアント114に自律システム隣接グラフ536をウィンドウ520内で表示するための代表的なインターフェース500を示す。代表的なユーザインターフェース500に関しては、ツール・インディケータ518は、自律システム隣接グラフ536が自律システム探索の結果であることを表示する。一般的に、インターフェース500は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク502を備えている。従って、参照番号を図2の参照番号から300ずらして類似の特徴を示した。インターフェース500は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0052】
自律システム隣接グラフ536は、当該自律システムの経路レジストリ情報538と、この自律システムが起点となるネットワーク・プレフィックスのリスト540と、近接グラフ542とを含むことができる。リスト540は、起点となる自律システムが採用する集約ポリシーのビューを提供するために、クラス無しドメイン間経路制御方式(CIDR)ツリーとして編成できる。こうしたツリー構造体で通常可能なように、このツリーは、プレフィックス近くのアイコンをクリック/選択することで拡大又は縮小できる。随意選択で、リスト540から1つ又は複数のプレフィックスを選択すると、クライアント114が使用可能なプレフィックス・ツールのリストを表示可能としてもよい。
【0053】
近接グラフ542は、指定した自律システム(代表的なインターフェース500では自律システム番号6830)を隣接自律システムの星状グラフの中心に表示する。自律システムは、隣接した自律システムの数に従って色付けしたり、それ以外の方法で区別したりできる。近接グラフ542は、クライアント114の選択に従って、アップストリーム隣接システム、ダウンストリーム隣接システム、又は両方を含むことができる。アップストリーム隣接システムは、指定した自律システムより、BGPメッセージのASPATH属性において収集ルータ108により近く見えるシステムを含むことができ、ダウンストリーム隣接システムはより遠く見えるシステムである。したがって、アップストリーム隣接システムはプロバイダ・ネットワークである傾向がある一方、ダウンストリーム隣接システムは顧客ネットワークである傾向がある。しかし、アップストリーム隣接システムとダウンストリーム隣接システムとの他の関係も考慮できる。随意選択だが、近接グラフ542から何れかの自律システムを選択すると、選択したその自律システムの近接グラフ536を表示するようにしてもよい。随意選択だが、クライアント114は、タブ544で示したように、隣接システム情報を表形式でビューすることを選択できるようにしてもよく、この場合は、BGPメッセージにおいて最近現れた各隣接関係を示すことができる。
【0054】
本明細書で記載した方法及びシステムは、随意選択で上述のように経路指定データ及び/又はデータベース112のデータの追加分析結果から得られたデータを、クライアント114にストリーミングできる。一般的に、ストリーミングは、グローバル・ネットワークBGP経路指定の状態及び安定性に関する、XML形式で配信されるレポートを(例えば実時間で)提供することを含むことができる。データは定期的に更新可能であり、更新時期はクライアント114が選択し、サンプリング・レートは表示対象のデータに合わせて選択できる。データストリームには、グローバルに到達可能なネットワーク・プレフィックスの数と、経路通知及び取り消しメッセージ・トラフィックの強度と、到達不能なネットワークの数と、経路不安定性の評価点と、経路不安定性の評価点の分散と、到達不能なネットワークの数の地理的分散と、ピア104a、106aからなる組における経路変更の数が最も多いネットワークのリストと、数が最大か又は起点となる不安定なネットワークを備えた自律システムのリストと、クライアント114がデータベース112から要求できる他のデータとを含むことができる。
【0055】
グローバルに到達可能なネットワーク・プレフィックスの数は、選択した期間においてデフォルトフリー(原語:default-free)の経路指定テーブルのサイズに基づくことができる。強度は、選択した期間における経路指定メッセージ・トラフィック全体を示すことができる。到達可能なネットワークの数は、一時的に到達不能と推測されるネットワークの数を追跡できるが、これは、経済的且つ工学的活動による通常レベルのネットワーク到着及び退去処理を補正するためにそれ以前の到達性にも依存している。経路不安定性の評価点は、不安定性の評価点を各ネットワーク・プレフィックスへの経路に適用することで不安定な経路の母集団を追跡できる。プレフィックスの不安定性の複数評価点を経時的に累積的に計算し、経路が安定化した後で抑制できる。
【0056】
経路不安定性の評価点の分散には、重大度とネットワーク・プレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリックを含むことができる。地理的分散は、接続性障害の影響を地理的に特定できる。不安定なネットワークと不安定な自律システムのリストも接続性障害の監視及び解決の助けとなりうる。
【0057】
更に、上述のデータ表現もストリーミング・データ表現も、経路指定イベントの可能性及び/又は実際の発生の監視を含み、且つ/又はこうしたイベントの可能性及び/又は実際の発生をクライアント114に知らせるための経路指定警報を含むことができる。警報は、日常のネットワーク運営コストの引き下げを可能とする、ネットワーク関連問題を検出し、診断する機能を提供できる。経路指定警報は階層的に編成できる。最も下の階層の警報はアトミック警報と呼ぶことができ、後述するように、所与のネットワーク・プレフィックスへの経路が、定義した様態で変化したことが観察されると作動するものである。例えば、このプレフィックスが少なくとも一定の閾値数のピア104a、106aから到達不能となった場合、又は無許可の起点自律システムを備えたプレフィックスへの経路がピア104a、106aにより通知された時に作動するアトミック警報を構成できる。更に、本明細書に記載されたシステム及び方法を構成して、アトミック警報に応答してリモート・ネットワーク管理システムにより収集及び相関されるSNMPトラップを生成するようにしてもよい。
【0058】
アトミック警報の上に位置した警報階層は複合警報又は警報グループと呼ぶことができ、一組の警報の状態を集約するものである。複合警報はプレフィックス警報を含むことができ、これらは、(1)プレフィックス(P)自身に関する一組のアトミック警報、及び(2)Pに含まれるクライアントが承認したより詳細なネットワーク・プレフィックスに関するプレフィックス警報の組である警報の2つの部分集合を組み合わせることができる。後者の組は、Pに関する承認されたより詳細なものが存在しない場合は空となりうる。プレフィックス警報の構成時に、本明細書で記載した方法及びシステムは、例えば4週間などの、以前の期間にわたりピア104a、106aから受信したBGP「更新」の分析に基づいてより詳細なもののリストと起点自律システムのリストとを初期化できる。生成したリストはクライアント114が編集できる。
【0059】
複合警報は更に自律システム警報を含むことができ、その要素には、所与の自律システムが起点となったプレフィックスに関するプレフィックス警報を含むことができる。所与の自律システムに関する自律システム警報の構成時に、本明細書で記載した方法及びシステムは、以前の期間にわたりピア104a、106aから受信したBGP「更新」の分析に基づいてこの自律システムが起点となるプレフィックスのリストを初期化できる。このリストは、プレフィックスを追加及び削除することによりクライアント114が編集できる。他の複合警報をカスタム構成するには、既存のプレフィックス警報及び/又は複合警報をグループ分けすることで可能である。グループ分けには、ネットワークがどの組織に所有されているか、その物理的位置、及び/又はその戦略的重要性を反映させることができる。
【0060】
これら警報は、実時間モード及び履歴モードを含む様々なモードで動作可能である。実時間モードでは、BGP「更新」メッセージがピア104a、106aから到着した時点で、これらメッセージに応答して警報を計算できる。履歴モードでは、上述した時間ナビゲーション・ツールを用いて選択した開始時間を始点として、データベース112内の記録保管済みBGP「更新」から警報を計算できる。履歴モードは「時間旅行」を提供でき、これによって、警報構成パラメータを微調整するにあたって、構成済み警報がどのように過去の経路指定イベントを検出できたはずであるかをユーザがビューできる。更に、履歴モードは証拠性確保の分析に役立ち、この場合は、特定のイベントが発生した時点で警報を作動させるように構成する、
【0061】
上述のように、アトミック警報は単一の主要プレフィックスP及びトリガ条件を特徴とする。一定のトリガ条件に関して、アトミック警報は、承認されたより詳細なプレフィックスのリスト又はプレフィックスPに関する承認された起点自律システムのリストを更なる特徴としてもよい。ピア104a、106aのBGPメッセージは分析サーバ110が分析して、警報状態又はピアに関する条件を特定できる。様々な警報タイプが、受信したBGP「更新」に基づいてアトミック警報をトリガできる。警報タイプは図1に示したものを含みうるが、当業者であればこれ以外のタイプの警報を考慮できるはずである。各警報タイプに関して、対応するピア警報条件タイプが存在しうる。
【0062】
【表1】
【0063】
図6は、分析サーバ110が、受信したBGP「更新」メッセージに基づいてプレフィックスPに関する条件状態を設定できる方法600を示す。図1の分析サーバ110は、「更新」メッセージを受け取り(602)、「更新」メッセージのネットワーク層到達性情報(NLRI)フィールドに含まれているプレフィックスP又はある程度詳細なプレフィックスを特定する(604)。分析サーバ110は、特定したプレフィックスに関し、表1に示した条件の条件状態を設定又はクリアできる。図6は、条件状態を設定且つ/又はクリアするための代表的な方法を示すが、ここに示した動作は、当業者であれば開示した方法から逸脱することなく、これより多く或いは少ない動作でそれ以外の様態で組み合わせ、分離、交換、及び/又は再構成可能である。
【0064】
図6の代表的な方法は、プレフィックスPが「アドバータイズ」されているかを特定できる(606)。アドバータイズされていれば、「アドバータイズ済み」状態を高に設定し、必要に応じて「取り消し済み」及び「到達不能」状態をクリアする(608)。ステップ610で特定されるように、プレフィックスPが1つ又は複数の異なる属性付きでアドバータイズされていれば、「変更」状態は高に設定される(612)。ステップ614で特定したように、プレフィックスPがより長いASPATH付きでアドバータイズされていれば、「劣化」状態が高に設定される(616)。ステップ618で特定するように、より詳細なプレフィックスだが、許可されたより詳細なプレフィックスのリストには載っていないプレフィックスがアドバータイズされている場合は、「分解」状態が高に設定される(620)。ステップ622で特定されるように、プレフィックスPが未許可自律システムを起点とするとアドバータイズされているか、自律システムが未許可プレフィックスを通知している場合、「起点」状態は高に設定される(624)。ステップ610、614、618、又は622で特定した条件が満たされていない場合は、それぞれステップ626、628、630、又は632で示したように、「変更済み」状態、「劣化」状態、「分解」状態、又は「起点」状態がクリアされ、「A」で示したように、方法600はこれら条件状態の相関に進むことができる。
【0065】
もしプレフィックスPがステップ606で特定されたように「取り消され」ていれば、ステップ634で示したように「取り消し済み」、「変更済み」、及び「劣化」状態を高に設定でき、「アドバータイズ済み」、「分解」、及び「起点」状態をクリアできる。ステップ636で特定されたように、同一ピアから詳細性がより低いプレフィックスPへの経路が存在しない場合は、「到達不能」状態を高に設定できる(638)。経路が存在する場合は、「到達不能」状態はクリアでき(640)、方法600は、「A」で示したように条件状態の相関に進むことができる。次は条件状態の設定の例を示すことができる。
【0066】
第1の例では、BGP「更新」がピア0から受信され(602)、プレフィックス192.168.0.0/16に関するものと特定される(604)。このメッセージは取り消しを含むと判断され(606)、ステップ634で示したように「取り消し済み」、「変更済み」、及び「劣化」状態を高に設定され、「アドバータイズ済み」、「分解」、及び「起点」状態がクリアされる。この例に関しては、ピア0は192.168.0.0/16への有効な経路を以前は備えていたが、同一ピアからPの詳細性がより低いプレフィックスへの経路が存在せず、「到達不能」状態が高に設定される。後のBGP「更新」が192.168.0.0/16への経路のアドバータイズメント付きで同一ピアから受信されれば、ステップ608で示したように、「取り消し済み」及び「到達不能」条件状態はクリアできる。
【0067】
第2の例では、ピア0からのBGP「更新」は、プレフィックス192.168.12.0/24の取り消しを含んでいる。上述したが、ステップ634で示したように「取り消し」、「変更済み」、及び「劣化」状態が高に設定され、同時に「アドバータイズ済み」、「分解」、及び「起点」状態がクリアされる。この例に関し、ピア0は192.168.0.0/16及び192.168.12.0.0/24への有効な経路を以前は備えていた。192.168.0.0/16への経路はまだ存在するので、より詳細なものには全く到達不能ではなく、「到達不能」条件状態はステップ640でクリアされる。
【0068】
図7は、方法600で特定された条件状態に基づいてアトミック警報をトリガできる方法700を示す。方法700は「A」から開始でき、方法600からの1つ又は複数の警報条件状態が高に設定されているかを特定する(702)。高に設定されている警報条件状態を、作動した警報条件と呼ぶこともできる。或いは逆に、警報条件が作動した時に、この警報条件状態が高に設定される。作動した各警報条件について、方法700は作動の累積履歴を調べて、時間的及び/又は空間的相関基準が満たされているかを判断できる。
【0069】
ピア警報状態条件は、作動時に(警報条件状態が高に設定される時に)タイムスタンプを打刻できる。更に、クライアントが構成可能な「最小」及び「最大」保持時間を、1つ又は複数の警報条件に関連付け可能である。警報条件を作動してからの時間が、少なくとも最小保持時間と同じで最大保持時間よりも長くなければ、ステップ704に示したように、時間的な相関基準は満たされる。一般に、最大保持時間はデフォルトでゼロに設定することができ、警報条件が作動と直後に報告される。又、最大保持時間はデフォルトで無限に設定することができ、最大保持時間はなくなる。
【0070】
各ピア警報条件は、クライアントが構成可能なピア多様性閾値を含むことができる。この値はアトミック警報を作動させるための最小数のピア条件警報を示すことができる。ステッ706で特定されるように、所与の警報条件に付いて作動したピア条件警報の数が多様性閾値を上回る場合は、空間的な相関基準が満たされる。閾値数のピア警報条件が満たされる必要があるという要件により、1つ又は少数のピアによる「ノイズ」信号であって、大多数のルータが見るルータの挙動を反映しないことがある「ノイズ」信号を減らすことができる。多様性閾値は、地理的に離間したルータ及び/又は閾値数のルータを包含するように構成できる。例えば、多様性閾値を構成して、閾値数のピア条件が単一の地理的地点に集中するのでなく、一定の地理的領域に分散することを要求できる。
【0071】
時間的な相関基準及び空間的な相関基準の何れかが所与の警報条件に関して満たされると、関連付けられたアトミック警報が作動でき(708)、或いは、関連付けられたアトミック警報が既に作動状態にある場合は作動状態を維持できる。時間的な相関基準及び空間的な相関基準の一方が所与の警報条件に関して満たされていない場合は、関連付けられたアトミック警報は非作動モードに維持され(710)、或いは、関連付けられたアトミック警報が既に作動状態にある場合は「一時休止」にできる。アトミック警報が作動すると、警戒を発することができ(712)、且つログに記録できる(714)。同様に、ログの入力は、いつ警報が一時休止したかを示すことができる。方法700は、継続的に(716)方法600から高い条件状態が受信されていないかをチェックできる。
【0072】
図8は、作動したアトミック警報に関して追跡可能なオプションの追加基準を示す。方法700の時間的及び空間的な相関基準に加えて、アトミック警報は警報状態を特徴とすることもできる。アトミック警報が作動すると、図8の方法800は、ステップ802に示したようにこの警報の状態を一定の初期値に設定可能である。警報状態を時間の経過と共に変えることができる処理スキームを、警報状態に適用できる(804)。この関数に基づいた警報状態は(例えば5秒ごとで)定期的に特定できる(806)。ステップ808に示したように、処理スキームに基づいた警報状態がある閾値を満たすと、警報が一時休止して(810)、そのイベントをログに記録できる(812)。一実施形態では、この処理スキームは、クライアント114が指定した半減期をそなえた指数関数的減衰とすることができるが、他の処理スキームも使用できる。例えば、こうした処理スキームには、警報状態が一定の時間間隔にわたって実質的に変化しない段階関数、及び/又は時間に基づいて且つ/或いは時間の経過と共に変化可能な他の処理スキームを含むことができる。
【0073】
アトミック警報に加え、本明細書で記載した方法及びシステムは、上述したように複合警報又は警報グループをサポートできる。警報グループは、クライアント114によって予め定義且つ/或いは構成できる。アトミック警報と違って、警報グループはイベント駆動型でなくてもよい。むしろ、警報グループは、定義した方法で自分自身の構成要素であるアトミック警報を組み合わせて自分自身の状態を計算可能である。警報表示用の限られたスペースを効率的に利用するため、複合警報を非常に大きな組の警報の代理として用いることもできる。階層管理を容易にするため、図2のメニューバー204の警報メニューは、表2に示した警報グループも含んだ予め定義した警報グループを提供できる。
【0074】
【表2】
【0075】
警報グループは、それ自身に含まれる警報の個別状態に基づいて自身の状態を計算する。こうした状態の計算に用いる処理スキームは、そのグループの使用目的に従ってクライアント114が選択できる。代表的な処理スキームには、最大スキーム、平均スキーム、及び/又は重み付き平均スキームが含まれるが、必ずしもそれらには限定されない。最大スキームを用いるグループに関しては、この状態を、そのグループの構成要素内で最高及び/又は最大状態として計算できる。例えば、4つの警報からなるグループが{0.5,
0.2, 0.1, 0.0}という個別に計算した状態を持つとすると、このグループ全体の状態は最大値=0.5となるはずである。平均スキームを用いるグループに関しては、この状態を、そのグループ構成要素の状態の合計を構成要素の数で割ったものとして計算できる。例えば、4つの警報からなるグループが{0.5,
0.2, 0.1, 0.0}という個別に計算した状態を持つとすると、このグループの平均状態は(0.5+0.2+0.1)/4=0.4となるはずである。
【0076】
重み付き平均スキームを用いるグループに関してこの状態を計算するには、構成要素の状態に重みを適用し、重み付き状態を加算し、且つ正規化のため重みの合計で除算すればよい。重みはクライアント114が割り当てできる。例えば、1番目の警報が他より10倍重要である4つの警報からなるグループにおいて、クライアント114は{10,
1, 1, 1}という重みを割り当てられる。ある時点においてこれら4つの警報が{0.5, 0.2, 0.1, 0.0}という状態を持つとすると、この警報グループ全体は、{10*0.5+1*0.2+1*0.1+1*0.0}/13=0.408となるはずである。平均スキームは、重みを等しくした重み付き平均スキームの特別な場合を含むことができることも注目されたい。様々な重み付けスキームが使用できる。
【0077】
図9は、ツールメニュー922又は警報メニュー928から選択された、警報データを構成し、ウィンドウ920内でクライアント114にグラフ表示するための代表的なユーザインターフェース900を示す。このインターフェースでは、ツール・インディケータ918は実時間警報監視モードを示す。一般的に、インターフェース900は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク902を備えている。従って、参照番号を図2の参照番号から700ずらして類似の特徴を示した。インターフェース900は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0078】
代表的なインターフェース900では、実時間又は履歴警報ツールがツールメニュー922又は警報メニュー928から起動された時に、構成済み警報を、グラフ938に隣接したツリー構造体936として表示できる。最初は、ツリー構造体936は、各最上レベル・プレフィックス警報と、各自律システム警報と、各名前付き警報グループとの何れかに関して1行を表示できる。クライアント114はこの表示を対話的に拡大して、個々の基本(すなわちアトミック)警報のレベルまで、グループ内の構成要素警報を調べることができる。対話的なツリー構造体936の最上レベルより下にある構成要素警報と、クライアント114が手動で不能にした警報との表示は抑制又はその他の方法で非表示とし、限られた画面スペースをより効率的に使用できる。これらの警報は、アクティブになった時点で順番どおりに表示できる。
【0079】
グラフ938の線は、ツリー構造体936の隣接する線に一致できる。グラフ938の線は、ナビゲーション・ボタン及び/又はツール906、910を用いて選択できる期間における警報履歴の状態インディケータ940及びプロット942を含むことができる。様々な状態レベルを示すため、状態インディケータ940は色付け、陰影付け、或いはその他の方法で区別できる。実時間の警報監視については、代表的なインターフェース900に示したように、ウィンドウ920を、分析サーバ110による処理に伴って最新の警報データで定期的に更新できる。上述のように、警報データは、経路指定データのストリーミングに類似した様態でストリーミングでき、クライアント114がリフレッシュ・セレクタ916を用いて更新時期を選択できる。
【0080】
プロット942は、図6に関連して述べたように、相関のないピア警報「設定」及び「クリア」イベントの指定を含むことができる。表示したイベントの種類を示すため、これら指定は色付け、陰影付け、或いはその他の方法で区別できる。相関のない低レベルのイベントから、表示された最近の期間における各警報の進展状態に変化を引き起こす根本的な経路指定アクティビティがどのようなものかがよく分かる。設定/クリア表示又は指定は、構成要素の警報からそれらを含む警報グループまで「遡る」ことができる。従って、任意の警報グループに関する履歴コンテキスト・プロットは、その構成要素の低レベル設定/クリア・イベントと、再帰的に(原語:recursively)その構成要素の構成要素の低レベル設定/クリア・イベントとを表示できる。
【0081】
プロット線は、経時的にプロットされたアトミック警報及び複合警報の現在の状態を示すことができる。警報が警戒状態にあるアトミック警報かどうかを示すため、これらプロット線は色付け、陰影付け、或いはその他の方法で区別できる。クライアント114がグラフ938から任意の警報を選択すると、ウィンドウ920の下方フレーム944が、選択した警報についての追加情報を表示できる。クライアント114は、図7に関連して述べたようにこの詳細警報と、図6に関連して述べたように観察した状態を発生した設定/クリア・イベントとを調べることができる。警報グループは、それら構成要素の警報からの警戒及び低レベル・イベントを、表示目的で融合し且つ/或いはその他の様態で組み合わせることができる。
【0082】
警報情報を表示するだけでなく、警報メニュー928は警報の構成を作成且つ/又は編集するためのツールを含むこともできる。例えば、プレフィックス警報は、標準的なドット十進法表記法(例えば、10.1.2.0/24)で基本プレフィックスを入力することによって作成できる。本明細書に記載した方法及びシステムは、所定の時間フレームでデータベース112におけるプレフィックス・アドバータイズメント履歴データ内を探索して、より詳細性が低いプレフィックス及びより詳細なネットワークを識別できる。クライアント114は、こうした詳細性が低いプレフィックスに警報を出すよう選択でき、更に、より詳細なネットワーク情報を使って、基本プレフィックスの「分解」警報を予め構成し、所望なら集約プレフィックス警報に再帰的に取り込むことができる。
【0083】
自律システム警報に関しては、クライアント114は自律システム番号を入力できる。すると、本明細書に記載した方法及びシステムは、所定の時間フレームでデータベース112におけるプレフィックス・アドバータイズメント履歴データ内を探索して、その自律システムを起点とするプレフィックスのリストを初期化できる。警報構成を編集するには、グラフ938及び/又はツリー構造体936から警報を選択し、編集ツールを選択すればよい。
【0084】
代表的なユーザインターフェース200、300、400、500、および900を含んだ、分析サーバ110がユーザ114に提供できるユーザインターフェースは、様々なインターフェース間をナビゲートするためのハイパーリンクを含むことができる。例えば、図2の不安定性の主要な起点のリストにおける自律システム番号及びアドレスには、それぞれ図5のインターフェース500と図4のインターフェース400とを含めることができる。図2のリストにあるASN
7137をクリック/選択することにより、図5のグラフ536に類似した、ASN 7137の自律システム隣接グラフをユーザ114に提示できる。他のユーザインターフェースからの別のデータを同様にハイパーリンクして、これら様々なインターフェース間でのナビゲーションを可能とし、よってユーザ114に対話的な照会機能を提供できる。
【0085】
本明細書に記載したシステム構成要素、インターフェース、及び方法を構成する多くの方法があることは明らかである。開示した方法及びシステムは、ネットワークサーバ、パーソナル及びポータブル・コンピュータを含む便利なプロセッサ・プラットホーム、並びに他の処理プラットフォーム上にインストールできる。処理能力の向上に従って、携帯型情報端末、コンピュータ腕時計、携帯電話、及び/又は他の携帯装置を含む上記以外のプラットフォームも考慮できる。開示した方法及びシステムは、公知のネットワーク管理システム及び方法に統合できる。開示した方法及びシステムはSNMPエージェントとして動作でき、適合管理プラットフォームを実行するリモート・マシンのIPアドレスで構成できる。従って、開示した方法及びシステムの範囲は、本明細書に記載した例により限定されることはなく、特許請求の範囲及びその法律的均等物の全範囲を含む。
【0086】
本明細書に記載した方法及びシステムは、特定のハードウェア又はソフトウェア構成に限定されるものでなく、多くの計算環境又は処理環境で応用可能である。これら方法及びシステムは、ハードウェア又はソフトウェア、或いはハードウェアとソフトウェアの組合せによっても実現可能である。これら方法及びシステムは1つ又は複数のコンピュータ・プログラムで実装できるが、コンピュータ・プログラムは1つ又は複数のプロセッサ実行可能命令を含むものと理解できる。こうした1つ又は複数のコンピュータ・プログラムは、1つ又は複数のプログラム可能プロセッサで実行可能であり、且つ、そのプロセッサが読み出し可能な1つ又は複数の記憶媒体(揮発性及び不揮発性記憶装置、並びに/或いは記憶素子)上に格納でき、1つ又は複数の入力装置、及び/又は1つ又は複数の出力装置を含むことができる。従って、このプロセッサは、入力データを得るために1つ又は複数の入力装置にアクセスでき、且つ出力データを通信するために1つ又は複数の出力装置にアクセスできる。こうした入力及び/又は出力装置は次の1つ又は複数を含むことができる。すなわち、ランダムアクセスムモリ(RAM)、ディスクアレイ(RAID)、フロッピー(登録商標)ドライブ、CD、DVD、磁気ディスク、内部ハードドライブ、外部ハードドライブ、メモリスティック、又は、本明細書で記載したようにプロセッサがアクセス可能な他の記憶装置であるが、上述の例は、全てを網羅しているわけではなく、例示的であって限定的ではない。
【0087】
これら1つ又は複数のプログラムは、コンピュータシステムと通信する1つ又は複数の高レベル手続き形言語又はオブジェクト指向プログラミング言語で実現できる。しかし、こうしたプログラムは、所望なら、アセンブリ言語又は機械言語で実装できる。この言語はコンパイルしても、解釈してもよい。
【0088】
上述のように、これら1つ又は複数のプロセッサは、独立して或いはネットワーク環境で協同して動作可能な1つ又は複数の装置に埋め込まれていてもよく、このネットワークには、例えば、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)を含むことができ、更にイントラネット及び/又はインターネット及び/又は別のネットワークが含まれうる。こうした1つ又は複数のネットワークは、ケーブル接続若しくはワイヤレス接続されたもの又はそれらの組合せでもよく、更に、こうした異なるプロセッサ間の通信を促進する1つ又は複数の通信プロトコルを使用可能である。これらプロセッサは分散型処理用に構成することもでき、実施形態によっては、必要に応じてクライアント・サーバモデルを使用できる。従って、これら方法及びシステムは、複数のプロセッサ及び/又はプロセッサ装置を使用可能であり、これらプロセッサ命令は、こうした単一又は複数のプロセッサ/装置間で分割できる。
【0089】
こうした1つ又は複数プロセッサを統合したこうした1つ又は複数の装置又はコンピュータシステムは、例えば、1つ又は複数のパーソナルコンピュータ、ワークステーション(例えば、Sun、HP)、個人情報機器(PDA)、携帯電話、ラップトップ装置、手持ち型装置などの手持ち式装置、又は上述したように動作可能なプロセッサと統合可能な他の装置を含むことができる。従って、本明細書に記載の装置は全てを網羅したものでなく、限定目的でなく例示目的で記載されている。
【0090】
「マイクロプロセッサ」及び「プロセッサ」又は「こうしたマイクロプロセッサ」及び「こうしたプロセッサ」の説明は、スタンドアロン及び/又は分散型環境において通信可能で、従って他のプロセッサと有線又は無線で通信するように構成可能な、1つ又は複数のマイクロプロセッサを含むと理解でき、こうした1つ又は複数のプロセッサは、互いに類似か異なる装置としてよい1つ又は複数のプロセッサ制御装置上で動作するように構成できる。従って、こうした「マイクロプロセッサ」又は「プロセッサ」という用語の使用は、中央演算処理装置、論理演算装置、専用集積回路(IC)、及び/又はタスクエンジンを含むと理解することもできるが、これらは限定目的でなく例示目的で列挙したものである。
【0091】
更に、特に指定されていない限り、メモリという用語には、上述のプロセッサ制御装置の内部又は外部にあるプロセッサ可読且つアクセス可能な記憶素子及び/又は構成要素を含むことができ、様々な通信プロトコルを用いて有線又は無線ネットワークを介してアクセスでき、更に、特に指定がなければ、内部及び外部メモリ素子を含むように構成でき、又、こうしたメモリは使用例次第では隣接的且つ/或いは区分編成されていてもよい。従って、データベースという用語は、1つ又は複数のメモリ結合を含むと理解でき、こうした用語には、市販のデータベース製品(SQL、インフォミックス、オラクル)及び所有権を主張できるデータベースを含むことができ、更に、メモリを、リンク、待ち行列、グラフ、ツリーなどに関連付ける他の構造も含むことができるが、こうした構造は限定目的でなく例示目的で述べたものである。
【0092】
ネットワークについて言及したが、これはインターネット全体に限定するものでなく、その部分を含むことができる。マイクロプロセッサ命令又はマイクロプロセッサ実行可能命令の説明には、上述の記載に従って、プログラム可能ハードウェアが含まれると理解できる。
【0093】
特に記載した場合を除き、「実質的に」という言葉は、厳密な関係、条件、構成、配向、及び/又は他の特徴並びに変更を含むが、こうした変更は、通常の技能を備えた当業者の理解では開示した方法及びシステムに著しく影響しない程度のものを言う。更に、実時間に関する本明細書での説明は、「実質的に実時間で」を省略したものと理解できる。これら方法及びシステムの例示した実施形態は、幾つかの局面が「実時間」であると説明しているが、こうした局面は他の様態でも提供できる。
【0094】
本開示全体にわたり、冠詞「一つの(原語:a)」又は「一つの(原語:an)」を用いて名詞を修飾したが、特に記載した場合を除き、こうした冠詞の使用は便宜的なものであって1つ又は複数の修飾された名詞を含むものと理解できる。
【0095】
これらの方法及びシステムは、特定の実施形態に関連して説明してきたが、それに限定されない。言うまでもなく、上述の教示を参考にすれば、多くの修正及び変更が可能なことが明らかとなることもあろう。
【0096】
当業者であれば、本明細書で説明し図示した部材の詳細、材料、及び配列に多くの付加的変更を行うことができる。従って、本明細書に記載の方法及びシステムは開示された実施形態に限定されるものではなく、具体的に記載されたものとは異なる様態で実行可能であって、法律によって許された最大の範囲で解釈されるべきである。
【図面の簡単な説明】
【0097】
【図1】本明細書で説明する方法及びシステムを組み込み可能なネットワーク環境を示す。
【図2】ネットワーク経路指定データの監視及び分析のための代表的なユーザインターフェースを示す。
【図3】グローバル経路指定レポート用の代表的なユーザインターフェースを示す。
【図4】プロバイダ・マップ用の代表的なユーザインターフェースを示す。
【図5】自律システム隣接グラフ用の代表的なユーザインターフェースを示す。
【図6】条件状態を設定するための方法に関するフローチャートを示す。
【図7】条件状態に基づいて警報をトリガするための方法に関するフローチャートを示す。
【図8】時間の経過と共に警報状態を変更するための方法に関するフローチャートを示す。
【図9】警報監視及び構成用の代表的なユーザインターフェースを示す。
【関連出願】
【0001】
本願は、2003年3月18日付けで提出された米国仮特許出願第60/455,722号の開示全体の優先権を主張し、その開示全体はここに引用して援用する。
【背景技術】
【0002】
(1)技術分野
開示した方法及びシステムは、ネットワーク経路指定の監視に関するもので、詳細には、複数のネットワーク・ルータからのネットワークデータを監視し、収集し、分析し、ユーザに提供することに関する。
(2)背景技術
【0003】
ほとんどのユーザには透過的だが、典型的にはインターネットやワールド・ワイド・ウェブ(WWW)などのグローバル経路指定インフラストラクチャは完全に自動化されたシステムではない。これは、世界中の多数のネットワーク・オペレータやネットワーク技術者のたゆまぬ努力に依存している。偶発的な構成の誤りや故障は頻繁に発生し、インフラストラクチャに対する意図的な攻撃は常に存在する脅威である。外部ボーダーゲートウェイ・プロトコル(BGP)経路指定に関わる問題は、エクストラネット、仮想私設ネットワーク(VPN)、ポータル、ロジスティック・チェーン、ネットワーク配信サービス、及び他の分散形ITシステムのシームレスな動作を脅かす。典型的には、既存のネットワーク監視ソリューションは、組織の内部ルータを監視するにとどまっている。こうした監視では、その組織のルータにアクセするためにネットワークの他のノードが採用する経路の動的変化を観察する機会が与えられない。
【0004】
BGP経路指定は、グローバル通信インフラストラクチャの極めて重要な部分である。BGPは経路指定情報のグローバル再分散の仕組みを提供するので、構成の誤り、ハードウェア問題、ルータ・ソフトウェアのバグ、及びネットワーク攻撃によるBGPにおける障害はネットワーク接続された企業に深刻で手痛い影響を与えかねない。一般に、グローバルなインターネットは、BGPを用いて互いに結びつけられた複数の自律システム(AS)から構成されうる。これら自律システムは独立して管理されるIPネットワークを含むことができ、数千台の大型ルータを備えた世界的企業から単一のPCルータを持つ小さな事業体まで様々な規模にわたる。BGPルータのグローバル協調は行われていない。その代わり、BGPルータは、その隣接ルータから受信する経路指定メッセージに適用されるローカル管理ポリシーに従って経路を選択し、再通知する。一般に、このポリシー協調は隣接の自律システムに限られており、従って、BGP経路は自律システムから自律システムへ区分的に構築される。上手く管理された自律システムは自分たちのポリシーを調整しているが、世界中に広がりかねない問題の発生源となりうる自律システムも存在する。
【0005】
BGP(バージョン4)の設計は1990年代初期のインターネット環境に基づいている。. 1994年の6月に、約400のアクティブな自律システムが存在し、完全なテーブルには約20,000のプレフィックスが存在し、これらプレフィックスはネットワーク上のノードのグループ分けを識別していた。最大の自律システムは約30の隣接システムを備えていた。又、ネットワーク・アクセス・ポイント(NAP)ルータは一ヶ月に1ギガバイト程度のBGPメッセージを受信していたかもしれない。対照的に、2002年の12月時点では、約17,000のアクティブな自律システムが存在し、完全なテーブルには約120,000のプレフィックスが存在し、1つの自律システムが3,000を超える隣接システムを持つことがあった。経路指定トラフィックの大幅な増加に対応して、ベンダーはルータの速度及びBGP実装の質を向上させてきたが、経路指定の複雑さに対処又はそれを処理するツールの作成はそれほど発展してこなかった。今日では、ボーダー・ルータが交換するBGPメッセージ・ストリームは急激に増減し且つ大量であり、更に、1つのインターネット交換局の単一ルータで一日当たり数ギガバイトを超えることがある。又、経路指定パターンは常に変化している。インターネット・トラフィックにグローバルな影響を与えるBGP経路指定に関わる問題はごく普通の問題となっている。
【0006】
こうした問題には、ルータ構成上の誤り、リンク・レイヤ故障、ソフトウェア・バグ、並びに高速スキャン及びDoS攻撃からの付随被害を含む無数の原因がある。BGPの不安定性は頻繁にサービスの低下に繋がり、接続性が完全に失われることがある。BGP経路変更の伝搬はネットワーク上で比較的遅くなることがあり、収束時間は数十秒から数分である。こうした経路変更は、一時的な到達不能性及びパケット・ドロップを引き起こすことがあり、これは今日の高速ネットワークにおける大量のトラフィック・フローに大きな影響を与えかねない。構成上の誤り又は攻撃は、事態が改善するまで長時間にわたることがある。経路指定問題は、経済的に大きな影響を及ぼしかねない。BGP動作の正確性及び安定性は、エクストラネット、仮想私設ネットワーク(VPN)、ポータル、サプライヤとプロバイダ間のロジスティック・チェーン、ネットワーク配信サービス、及び他の機密ITシステムのシームレスな動作にとって必須となることがある。仮想ネットワークは、経路指定問題を解決するものとして頻繁に宣伝されているが、それ自身の管理範囲を越えた複数自律システムを横断する他の接続と同じ程度にBGP経路指定障害の影響を受けることがある。
【0007】
企業トラフィックの戦略的に重要なネットワークへの経路指定を妨げるBGP障害は、その根本原因がリモート自律システムに存在する場合、特にいらだたしいものである。従って、グローバル通信の必要条件としては、迅速に問題を緩和するためにグローバル経路指定の健全性を監視する必要性が示唆される。しかし、適切なツールが欠如していることで、既存のネットワーク監視システムを単一自律システムの範囲に限定しかねない。ネットワーク・デバイス及び集約トラフィックを監視するための基本的な簡易ネットワーク管理プロトコル(SNMP)に基づくシステムは、ネットワーク接続された組織に普通に配置されている。こうしたシステムは、監視している自律システム内でのトラフィック・フローに関する重要な情報を提供できるが、一般にその自律システムを出たトラフィックに関する情報は提供できない。事実、外部アドレスへのトラフィックはその宛先に到着するまでに平均で3から4つの自律システムを通過する。組織のトラフィックに影響を与える経路指定問題が発生したことをその組織に迅速に知らせるグローバルBGP監視システムは、その問題がインターネットのどこから発しているかに関わらず、総合的ネットワーク管理、安全、又はサーベイランス・システムの重要な構成要素となりうる。
【0008】
しかし、既存の典型的なネットワーク監視ソリューションは、組織の内部ルータに限定されることがある。こうしたソリューションは、ネットワークの管理境界を越えたところで生じる問題を解決できないし、問題が次のホップピア及び/又はプロバイダ・ネットワークを越えたところで生じる場合はとりわけ解決困難である。基本的には、単一ルータは、そして単一の自律システムすらも、インターネットを近視眼的にしか見ることができないと言える。すなわち、これらは自分自身から他の自律システムのネットワークへ発せられる経路を見ることはできるが、インターネットを横断する他の経路を見ることはできない。しかし、不可視ルータに基づいて挙動を相関させることで、BGP問題を一局所に限定する助けとなりうる。
【0009】
実時間のBGP経路指定警報の発生及びその根本原因の解決には、複数のルータ及び複数の自律システムを監視する必要がある。経路指定テーブルを定期的に分析することでは不十分であり、それはこうした定期分析が、時間的に固定したスナップショットを提供するのみであって、ネットワークを伝搬する経路指定変更の動的状態が欠けているからである。BGP監視、トラブルシューティング、及びセキュリティー評価の現在の実施状態は、典型的には、自分自身のルータのSNMPに基づく監視と、インターネット・プロトコル(IP)BGP出力を処理する様々な手段と、リモート・ルッキンググラス・ルータ内のルータの検査、北アメリカ・ネットワーク運営者グループ(NANOG)及び他の同様のメーリングリストなど様々な運営者グループから協同的助けを求めることの組合せに基づいている。こうしたアプローチは時間がかかり、労働集約的であり、高度の技能を備えた専門家を必要とする。
発明の概要
【0010】
開示した方法及びシステムは、ネットワークにおける多数の眺望地点から見ることができる、ネットワークへの経路の進展を実時間で監視できるネットワーク監視サービスを含む。ボーダーゲートウェイ・プロトコル更新トラフィックの大規模なリポジトリを用いて、対話的な経路指定分析、ドリルダウン、及び証拠性の確保(原語:forensic)を実行できる。経路指定メッセージデータはネットワーク上の多数のルータから収集でき、複数のルータ及び時間にわたって相関できる。更に、リポジトリ内のデータは、経路指定レジストリデータ及び/又はドメイン名サービス(DNS)データと相関できる。一実施形態では、このネットワークデータを実時間で(例えば、XML又は他のフォーマットで)ユーザにストリーミングでき、付加的に且つ/或いは随意選択で、ユーザはこのデータを対話的に照会できる。選択した経路指定問題を検出するために警報を設定できる。警報の設定において、ルータのメッセージデータはタイムスタンプ順に処理できる。ルータからの現在のメッセージデータを以前のメッセージデータと比較して条件状態を特定できる。条件状態が時間的相関基準及び/又は空間的相関基準を満たすと、警報を提供することができる。
【0011】
本明細書では、警報を「作動する」という用語及び警報に関する「作動」の派生語は、警報の設定、確立、維持、及び/又は提供を含むものと理解でき、警報は音声、映像、及び/又は他のインジケータでよい。更に、開示した方法及びシステムでは、条件又は他の基準が「閾値を超えた」時に警報を作動させるが、こうした表現は、1つの値(例えばデータ)を別の値(例えば警報閾値)と比較し、この比較に基づいて警報を設定/作動させること、及び/又は警報を設定/作動させないことも含み且つそれを示すことは理解可能なはずである。本明細書では、警報の「一時休止」とは、それ以前に提供、設定、維持、且つ/又は確立されていた警報を設定解除、クリア、提供しない、維持しない、且つ/又は他の方法で除去することだと理解できる。
【0012】
一実施形態では、開示した方法及びシステムは、コンピュータ可読媒体に具体的に格納されたコンピュータ・プログラムであって、コンピュータにネットワーク・トラフィックの監視を可能とさせるよう動作可能なコンピュータ・プログラムを含み、ネットワーク上の複数ルータから経路指定メッセージデータを収集し、これら経路指定メッセージデータを複数ルータ及び時間にわたって相関し、且つ経路指定パターンを得るためにこの相関データを分析する命令を含むことができる。この経路指定メッセージデータは、ボーダーゲートウェイ・プロトコルのメッセージデータとすることができる。データを収集する段階は、経路指定レジストリデータ及びドメイン名サービスデータを含む、ネットワークに関する構造情報の収集を含むことができる。この構造情報は、経路指定メッセージデータと相関可能である。経路指定パターンは、ネットワークを介して実時間でストリーミングできる。データを収集する段階は、収集ルータと地理的に多様な地点に位置したリモート・ピアルータとの間でセッションを確立する段階を含みうる。
【0013】
このコンピュータ・プログラムは、経路指定パターンに基づいて1つ又は複数の警報(例えば、経路指定警報)を提供するための命令を含むことができる。経路指定警報を提供するには、このコンピュータ・プログラムは、ネットワーク・プレフィックスに付いてメッセージデータをタイムスタンプ順に処理し、プレフィックスに関する現在のメッセージデータをこのプレフィックスの以前のメッセージデータと比較して、このプレフィックスの警報条件の条件状態を特定し、この条件状態が時間的相関基準及び/又は空間的相関基準を満たす時に経路指定警報を作動するための命令を含むことができる。作動した経路指定警報のグラフをユーザに表示できる。
【0014】
少なくとも1つの警報条件が所定の時間にわたり高となっていることを条件状態が示した時に、このコンピュータ・プログラムは、条件状態が時間的相関基準を満たしていると判断できる。又、同一の警報条件が高になっていることを所定数のプレフィックスの条件状態が示した時に、このコンピュータ・プログラムは、条件状態が空間的相関基準を満たしていると判断できる。更に、同一の警報条件が高となっていることを、指定した地理的分布を備えた所定数のプレフィックスの条件状態が示した時に、このコンピュータ・プログラムは、条件状態が空間的相関基準を満たしていると判断できる。
【0015】
経路指定警報を提供するための命令は、経路指定警報に値を割り当てる命令と、それら値に処理スキームを適用する命令(例えば時間の経過と共に値を減少する)と、警報の値を所定値に比較すること(例えば、識別した経路指定警報が所定の値を下回った時)に基づいて識別した経路指定警報を除去する命令とを含むことができる。一組の警報は集約して、複合警報を得ることができる。集約するための命令は、経路指定警報を、ネットワーク・プレフィックス、ネットワーク上の自律システム、及び/又はネットワーク上のサブネットワークに基づいて組み合わせる命令を含むことができる。ネットワーク・プレフィックスに基づいて経路指定警報を組み合わせる命令は、より詳細なプレフィックスのリスト及び/又は起点自律システム・プレフィックスのリストを、より詳細なプレフィックスのネットワーク・プレフィックスのリストに関する経路指定メッセージデータに基づいて生成する命令と、それぞれのリストから選択したより詳細なプレフィックスに関する経路指定警報と起点自律システム・プレフィックスに関する経路指定警報とを組み合わせる命令とを含むことができる。
【0016】
相関データを分析する命令は、1つ又は複数の時系列の相関データを処理する命令を含むことができる。この処理は、時系列の選択した部分にわたり類似パターンのメッセージデータを備えた複数ルータに対応した相関データ内の特徴を検出することにより実行する。特徴を検出する命令は、経路指定メッセージデータが閾値数のプレフィックスを上回ったのを示したことを、複数ルータに関する相関データが示した時を特定する命令を含むことができる。これら命令は、上述の特徴の相関データに対応するネットワーク上のサブネットワーク及び/又は自律システムを識別する命令と、上述した時系列の選択部分の時間スケールを変更する命令とを含むことができる。処理する命令は、特徴検出、相関、及びクラスタ技法を含む信号処理技法を適用する命令を含むことができ、こうした技法は、本明細書で記載したように複数の時間尺度にわって適用できる。
【0017】
経路指定メッセージデータ及び/又は相関データのグラフをユーザに表示できる。ユーザは、グラフ表示に基づいてこうしたデータを対話的に照会できる。このコンピュータ・プログラムは、これら照会を処理し且つ照会に一致したデータをユーザに示すための命令を含むことができる。
【0018】
一実施形態では、ネットワークデータを実時間で配信するための方法は、ネットワーク上の複数ルータから経路指定データを収集する段階と、ネットワークデータを得るため複数のルータ及び時間にわたってこの経路指定データを相関する段階と、ネットワークデータをユーザにネットワークを介してストリーミングする段階とを含む。経路指定データを相関する段階は、複数ネットワーク・メトリックのうち少なくとも1つを特定する段階を含むことができる。これらメトリックには、グローバルに到達可能なネットワーク・プレフィックスのメトリック、ネットワークの全経路指定メッセージ・トラフィックを示す強度メトリック、到達不能なネットワーク・メトリック、経路不安定性メトリック、経路不安定性の評価点分布メトリックが含まれる。
【0019】
グローバルに到達可能なネットワーク・プレフィックスのメトリックを特定する段階は、所定の時間フレームにわたるデフォルトフリー(原語:default-free)の経路指定テーブルのサイズを特定する段階を含むことができ、よってこのメトリックは、接続性喪失及び劣化イベント並びにネットワークにおけるサイズの変化を反映する。強度メトリックを特定する段階は、全経路通知メッセージ・トラフィック及び全取り消しメッセージ・トラフィックを特定する段階を含むことができる。到達不能なネットワーク・メトリックを特定する段階は、一時的に到達不能と推測されるサブネットワークの数を追跡する段階を含むことができ、この段階は、予想レベルのサブネットワーク到着及び退去を補正するためにそれ以前の到達性にも随意選択で依存している。経路不安定性メトリックを特定する段階は、不安定性評価点を各プレフィックスへの経路に適用する段階と、時間の経過と共に各プレフィックスに関する不安定性評価点を累計的に計算する段階と、経路が安定化した後に不安定性評価点を抑制する段階とを含むことができる。経路不安定性の評価点の分散メトリックを特定する段階は、重大度及びプレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリック(原語:vectoral
metrics)を特定する段階を含むことができる。
【0020】
この方法は、異なる時間スケールにわたって、類似パターンのネットワーク・メトリックを備えた複数ルータの幾つかに対応するネットワークデータにおける特徴を検出する段階を含むことができる。特徴を検出する段階に含まれうる段階としては、幾つかのプレフィックスが少なくとも1つのメトリックに関して閾値数のプレフィックスを上回ったことを、上述の複数ルータの幾つかそれぞれに関するネットワークデータが示す時を特定する段階がある。この方法は、こうした特徴のネットワークデータに関連付けられたプレフィックスに対応したサブネットワーク及び/又は自律システムを識別する段階を含むことができる。
【0021】
一実施形態では、ネットワークに関する経路指定警報を提供するための方法は、ネットワークに分散した複数のピア・ルータに関して、ボーダーゲートウェイ・プロトコル(BGP)「更新」メッセージを、当該BGP「更新」メッセージにおいて識別されたネットワーク・プレフィックスに付いて、タイムスタンプ順に処理する段階と、受信した現在のメッセージと受信した以前のメッセージの比較に基づいて、ネットワーク・プレフィックスに関して少なくとも1つの警報条件を設定する段階と、それら警報条件を時間及び複数ピア・ルータにわたって相関する段階と、これら警報条件の少なくとも1つが時間的相関基準及び/又は空間的相関基準を満たした時に、ネットワーク・プレフィックスに関する経路指定警報を作動する段階とを含むことができる。この警報条件が時間的相関基準を満たすのは、その条件が所定の期間にわたり設定されているときである。又、この警報条件が空間的相関基準を満たすのは、その条件が所定数のピア・ルータに関して設定されているか、特定した地理的分布を備えた所定数のピア・ルータに関して設定されているときである。
【0022】
経路指定警報を提供する段階は、値をそれら経路指定警報に割り当てる段階と、処理スキームをそれら値に適用する段階と、識別された経路指定警報が所定の値となった時に、その経路指定警報を除去する段階とを含むことができる。こうした処理スキームは時間に基づいて値を減少可能だが、他の処理スキームを用いてもよい(例えば、時間に関わりなく一定なもの、固定及び減少スキームなど)。ネットワーク・プレフィックス、ネットワーク上の自律システム、及び/又はネットワーク上のサブネットワークに基づいて経路指定警報を組み合わせることによって、一組の経路指定警報を集約して、複合警報を得ることができる。この方法は、より詳細なプレフィックスのリスト及び/又は起点自律システム・プレフィックスのリストを、これらネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成でき、更に、それぞれのリストから選択したより詳細なプレフィックスに関する経路指定警報と、起点自律システム・プレフィックスに関する経路指定警報とを組み合わせ可能である。
【0023】
この方法は、様々な基準に基づいて様々な警報条件を設定できる。それらには、プレフィックスがアドバータイズされた時に、そのプレフィックスの「アドバータイズ済み」条件を高に設定すること、プレフィックスが1つ又は複数の異なるBGP属性を付きでアドバータイズされた時か、プレフィックスが取り消された時に、そのプレフィックスの「変更済み」条件を高に設定すること、プレフィックスがより長いASPATH付きでアドバータイズされた時か、プレフィックスが取り消された時に、そのプレフィックスの「劣化」条件を高に設定すること、プレフィックスが取り消された時に、そのプレフィックスの「取り消し済み」条件を高に設定すること、プレフィックスが取り消されており、詳細性がより低いプレフィックスへの経路が存在しない時に、そのプレフィックスの「到達不能」条件を高に設定すること、未許可のより詳細なプレフィックスがアドバータイズされている時に、そのプレフィックスの「分解」条件を高に設定すること、プレフィックスがネットワーク上の未許可自律システムによりアドバータイズされている時か、ネットワーク上の自律システムが未許可プレフィックスをアドバータイズしている時に、そのプレフィックスの「起点」条件を高に設定することが含まれる。
【発明を実施するための最良の形態】
【0024】
全体的な理解を可能とするため、幾つかの例示的な実施形態を次に説明するが、通常の技能を備えた当業者であれば、本明細書に記載されたシステム及び方法を変更及び修正して、他の適切な応用例となるシステム及び方法を提供できることや、それ以外の追加及び修正が、本明細書に記載されたシステム及び方法の範囲から逸脱することなく可能であることは理解するはずである。
【0025】
特記しない限り、ある実施形態の詳細を変える典型的な特徴の実現としてこれらの例示的な実施形態を理解できるはずである。従って、特記しない限り、実例の特徴、構成要素、モジュール、及び/又は様態を、開示したシステム又は方法から逸脱することなく、他の方法で、組み合わせたり、分離したり、交換したり、且つ/或いは再編成したりすることができる。加えて、構成要素の形状及びサイズも代表的なものであり、特記しない限り、本開示で記載した代表的システム又は方法に影響を与えることなく変更できる。
【0026】
本開示は、ネットワークにおける多数の眺望地点から見ることができる、ネットワークへの経路の進展を監視できるネットワーク監視サービスに関する。一実施形態では、これら方法及びシステムは実質的に実時間で実行できる。経路指定メッセージデータはネットワーク上の多数のルータから収集でき、ボーダーゲートウェイ・プロトコル(BGP)更新トラフィックのリポジトリに格納できる。リポジトリ内のデータは複数ルータ及び時間を横断して相関できる。更に、リポジトリ内のデータは、経路指定レジストリデータ及び/又はドメイン名サービス(DNS)データと相関できる。収集したデータに対しては、対話式照会、経路指定分析、ドリルダウン、及び証拠性の確保を実行できる。更に、データ及び分析は、例えば実時間でユーザにストリーミングできる。選択した経路指定問題を検出する他の警報を提供且つ/又は設定できる。警報の設定において、ルータのメッセージデータはタイムスタンプ順に処理できる。ルータからの現在のメッセージデータを以前のメッセージデータと比較して条件状態を特定できる。条件状態が時間的相関基準及び/又は空間的相関基準を満たすと、警報を提供することができる。
【0027】
便宜上そして説明を容易とするため、これらシステム及び方法は、本明細書ではグローバル・インターネット共に用いる代表的なシステム及び方法を参照して説明できる。ただし、本明細書に記載したシステム及び方法は開示した実施形態に限定されず、他の構成を備えた他のネットワークに応用可能であり、ネットワーク活動を監視するためにデータを収集する他の応用例及び/又は手段を含むことができる。更に、こうした他のネットワーク、構成、及び/又はデータに対応するための入力、処理、及び/又は出力の付加、修正、及び/又は他の変更も、本明細書に記載したシステム及び方法では考慮されており、当業者なら実行可能である。
【0028】
図1を参照すると、本明細書で説明する方法及びシステムを組み込み可能なネットワーク100が図示されている。ネットワーク100は、多数の自律システム(AS)102及び/又はルータ104を含むことができるが、図1ではその内の少数のみを図示する。本明細書で上述したように、グローバル・インターネット上の自律システムの数は20,000に近づいている。本明細書では、自律システムとは、単一の明確に定義された経路指定ポリシーを備えた1つ又は複数のインターネット・プロトコル(IP)ネットワークの接続グループであって、単一の管理実体(例えば、大学、企業、企業の部門など)のために共通のネットワーク管理者(又は管理者のグループ)により管理され、且つ経路指定ドメインとして本明細書で呼ぶことができる接続グループとすることができる。所与のネットワーク上のノードは同一のネットワーク・プレフィックスを共有するが、一意のホスト番号を備えている。自律システムは、1つ又は複数の自律システム・ボーダー・ルータ106を含むことができ、ボーダーゲートウェイ・プロトコル(BGP)を用いる他の自律システムと経路指定情報を共有できる。
【0029】
幾つかの自律システム・ルータ106及び/又はルータ104(106a及び104aの参照番号を付けた)は、収集ルータ108とのピアリング・セッションを維持できる。一般に、これらピアリング・セッションはサイレントだが、セッションには、自律システム・ルータ106a及びルータ104aにデータを返信することを含みうる。ルータ104a及び自律システム・ルータ106aは、ネットワーク100における経路指定メッセージの全体像を提供するために、ネットワーク100全体にわたり戦略的に配置されている。収集ルータ108は、自律システム・ルータ106a及びルータ104aから経路指定メッセージデータを処理のため収集できる。収集ルータ108は他のルータに経路を通知することはなく、収集した経路指定メッセージデータはアクティブなネットワーク要素の経路指定メッセージデータを反映できる。説明を明確にするため、図1の収集ルータ108はネットワーク100から分離して図示してある。現実には、収集ルータ108の一部又は全部をネットワーク100内に分散できる。
【0030】
収集ルータ108は、収集したメッセージデータを、このデータを格納又は保存できる1つ又は複数の分析サーバ110に転送できる(図1ではBGPデータベース112により具現化して示した)。説明を明確且つ容易とするため、分析サーバ110及びデータベース112は本明細書では単一のものとして図示し、考慮できるが、複数の同期化したサーバ110及びデータベース112の使用も考慮されている。ネットワーク監視サービスを1つ又は複数のクライアント114に提供するため、1つ又は複数の分析サーバ110は、1つ又は複数のデータベース112からのメッセージデータを処理し、処理したデータにアクセスし、処理し、且つ/又は表示するためのツールをクライアント114に提供する。クライアント114は、ネットワーク100における多数の眺望地点(収集ルータ108)から見える、自分のネットワークへの進展する経路(原語:evolving
routes)を監視できる。複数の分析サーバ110を用いる場合は、分析サーバ110は複数のデータベース112にわたり分散可能なデータを処理するため同期化できる。従って、更にこれらデータベース112を同期化でき、有線及び/又は無線通信プロトコル並びに/或いは技法を用いて通信できる。
【0031】
データベース112は、BGP「更新」メッセージデータ、経路指定レジストリデータ、DNSデータ、及び/又は当業者が取得可能且つ/或いは考慮可能な他のネットワークデータを含むことができる。ルータ104及び自律システム・ルータ106のようなBGPスピーキング・ルータは、BGP「更新」メッセージを隣接ルータに送信して、特定のネットワークへの最適な経路を通知するか、使用不可能となった経路を取り消す。隣接するBGPスピーキング・ルータは、これら「更新」をその隣接ルータに伝搬し、それが繰り返される。こうした「更新」にはタイムスタンプが打刻され、プレフィックスの特徴を記述可能なBGP属性(本明細書では「属性」と呼ぶ)を保持できる。例えば、ASPATH属性は、通過した一連の自律システムをそのプレフィックスの起点となる自律システムまで列挙する。他の属性には、これらに限定する訳ではないが、次のホップ、iBGP次のホップ、第三者次のホップ、原点、アグリゲータ、ローカル参照、マルチ・イグジット・ディスクリミネータ(MED)、MED及び内部ゲートウェイ・プロトコル(IGP)メトリック、重み、コミュニティ、周知コミュニティ、及び非イクスポート・コミュニティなどが含まれる。イベント影響グローバル経路指定は、1つ又は複数のルータが根本原因経路指定イベント(例えばセッション開始、ルータ・シャットダウン、又はセッション喪失、セッション・リセット、及び/或いは内部ゲートウェイ・プロトコル(IGP)到達性又は自律システム106への接続性の変更など)を検出した後に、概ね同時に一定数の「更新」メッセージを発することにより開始されうる。
【0032】
「更新」は、ネットワーク100のトポロジを移動する波面のようにBGPスピーキング・ルータを伝搬していくのが分かる。当業者であれば、ルータ104a及び自律システム・ルータ106aで受信された「更新」メッセージの相関分析により、経路指定問題を検出し、発生場所を突き止められることが理解できるであろう。これは、地理学的に格子状に分散したセンサからのデータを相関させることにより地震を検出し、震源を突き止められることに似ている。典型的には、「更新」は多くのルータにより発せられ、多くの根本原因を反映する。伝搬は波面の重ね合わせに例えることができる。図1の分析サーバ110は、個別のプレフィックスに関して「更新」を追跡、相関でき、且つ/又は異なる収集ルータ108に到着するプレフィックスを集約して、「更新」の発生原因となった経路指定イベントを見出し、診断する助けとする。処理技法には、特徴検出方式(例えば、ベイズ分類辞、ニューラル・ネットワークなど)、クラスタ化、及び/又は複数のセンサからの複数の時系列データを相関するための他の信号処理技法が含まれる。
【0033】
上述の相関をデータベース112からのタイムスタンプ付きの更新データに適用することで、分析サーバ110は多くのネットワーク監視サービスをクライアント114に提供できる。これらサービスには、所与の時間帯/期間/間隔における経路指定分析と、監視データを(例えば実時間で)クライアント114へのストリーミングと、及びクライアント114にクライアントのネットワーク外部に起因するBGP経路指定問題を検出し、診断する能力を与えるための(例えば、実時間の)警報とが含まれる。
【0034】
図2は、分析サーバ110が、ユーザ114にネットワーク100経路指定の監視及び分析用に表示できる代表的なユーザインターフェース200を示す。インターフェース200は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。インターフェース200は、メニューバー204、ナビゲーション・ボタン206、及び探索フィールド208を含むことができる持続的ウィンドウ制御フレームワーク202を含むように構成できる。更に、ウィンドウ制御フレームワーク202は、カレンダー・ナビゲーション・ツール210、進行インディケータ212、プレフィックス・インディケータ214、リフレッシュ・セレクタ216、ツール・インディケータ218、及び/又は他のナビゲーション・ツール、選択ツール、インディケータなどを含むこともできる。ウィンドウ制御フレームワーク202に加え、インターフェース200は、要求されたデータを表示するためのウィンドウ220を含むことができる。
【0035】
メニューバー204は幾つかのプルダウン・メニューを備えることができる。図2は、ファイル、編集、ツール、ビューマーク、プレフィックス、警報、及びヘルプメニューを図示しているが、メニューの数はこれよりも多くても少なくてもよく、且つ/或いはこれ以外のメニュー配列も考慮できる。特に、ツールメニュー222は、利用可能データ表示、分析、及び警報ツールのリストを含むことができる。ツールメニュー222から任意のツールを選択すると、ウィンドウ220の内容が選択したツールの使用を反映して変化する。
【0036】
ビューマーク・メニュー224では、ビューマークの作成と、ビューマークの取り出しとが可能で、そのビューマークが作成された時点でのウィンドウ220におけるデータビューへの参照を保存できる。ビューマークは、ウィンドウ220におけるデータビューに対応した拡張マーク付け言語(XML)レコードを含むことができる。ビューマークは、このデータビューの将来の取り出し及び/又はこのデータビューの共有(例えば、ビューマークを別のクライアント114に電子メールすることによる)のために使用できる。一例として、一連のビューマークをデータ分析時に作成して、これらビューマークを順に取り出すことで分析の時間的進行を表すことができる。ビューマーク・メニュー224は、ビューマークの作成及び追加、既存ビューマークのリストの表示、表示のためのビューマーク選択(現在のデータビューと取り替えるか、現在のデータビューに新しいデータビューを重ねることによる)、ビューマークのコピー、ビューマークの編集、及び/又はビューマークの削除を含むことができる。
【0037】
プレフィックス・メニュー226では、プレフィックス固有分析ツールに直接リンクするために後に選択できるネットワーク・プレフィックスのリストを作成、選択、編集、且つ/或いは削除する諸機能が利用できる。警報メニュー228では、分析サーバ110による実時間警報の提供に関して本明細書で詳述するように、警報を作成且つ編集する諸機能が利用できる。
【0038】
ナビゲーション・ボタン206では、選択及び設定変更の取り消し及び再実行、分析サーバ110からのデータ再ロード、最近利用可能となったデータの追跡、及び/又はデータ要求中止の諸機能が利用できる。探索ツール208は、データを取得するためにデータベース112の探索又は照会機能を提供できる。照会には、自律システム番号、プレフィックス名、ドメイン名、及び/又は他のネットワーク属性による照会が含まれるが、これらに限定されない。探索が終了すると、ウィンドウ220は、選択した自律システム、プレフィックス、及び/又はドメイン名に関係した接続性情報を表示できる。従って、探索ツール208は、データ表示用の多数のツールへの入口点となりうる。図2は、ネットワーク100に関するより一般的性質の経路指定情報をクライアント114に提供できる、ウィンドウ220内の初期インターフェースを図示する。これら情報には、アクティブな自律システム及びプレフィックスの数、例えばBGP通知/取り消し、テーブルサイズ、到達不能ネットワーク、ブラックホール攻撃、不安定性の主要原因のリストなど全体的なネットワーク安定性メトリックが含まれる。
【0039】
カレンダー・ナビゲーション・ツール210は、分析のためのデータの時間フレーム又は時間帯(例えば、時間間隔、期間など)の選択を可能とする。代表的なインターフェース200に関しては、カレンダー・ナビゲーション・ツール210は、データウィンドウを開始するための日付及び時間を選択するカレンダー230と、集約BGPプレフィックス通知/取り消しレートのグラフ表示に重ね合わせた時間範囲スライダ232と、時間範囲スライダ232の広さを調節するためのスライダ制御手段234とを含むことができる。カレンダー230を介してデータウィンドウの開始を選択すると、時間範囲スライダ232の左端がセットされる。開始を調節するには、例えば、時間範囲スライダ232の左端をマウスでクリック/選択し且つ「ドラグ」する(例えば、操作、移動)などしてスライド232の左端を移動させればよい。このウィンドウの範囲を調整するには、時間範囲スライダ232の右端を移動させればよい。時間範囲スライダ232は、マウスでドラグすることにより左右に移動させ、範囲を変更することなく開始時間を変更できる。当業者であれば、インターフェース200のカレンダー・ナビゲーション・ツール210に追加する或いはそれに代わる時間フレームを選択するための他のグラフ表示及び/又は手段を考慮できる。
【0040】
進行インディケータ212は、クライアント114が要求するデータに関わる状態情報を表示できる。例えば、状態情報は、保留状態の要求のカウントと、保留状態の要求からどれだけの量のデータがダウンロードされたかの表示と、メモリ使用状態の表示とを含むことができる。プレフィックス・インディケータ214は、分析サーバ110がどのプレフィックスを処理しているかを示すことができる。リフレッシュ・セレクタ216により、クライアント114はリフレッシュ・レートを選択できる。この機能により、上述の選択した速度で最新データを追跡するためウィンドウ220が表示を更新できる。ツール・インディケータ218は、ツールメニュー222から選択したツールを表示できる。
【0041】
図3は、クライアント114にグローバル経路指定レポートをウィンドウ320内で表示するための代表的なユーザインターフェース300を示すが、これはツールメニュー322から選択され、ツール・インディケータ318により示す。一般的に、インターフェース300は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク302を備えている。従って、参照番号を100ずらして類似の特徴を示した。インターフェース300は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。グローバル経路指定レポートツールは、選択した時間範囲に関してネットワーク100内の経路指定アクティビティのビューを提供できる。ウィンドウ320に示したレポートは、BGP通知336と、BGP取り消し338と、経路指定テーブルサイズとの3つの別個のツールを含むことができる。
【0042】
BGP通知336及びBGP取り消し338は、それぞれカレンダー・ナビゲーション・ツール310により選択された時間フレームで記録された、BGPプレフィックス通知レート及び取り消しレートの、グローバルに相関した三次元プロットを提供できる。X軸は時間を示し、Z軸はそれぞれプレフィックス通知/取り消しの数を示す。Y軸にその目盛りを付けた平行な個別プロット線は、表示した組のルータ104a及び自律システム・ルータ106aに対応し、収集ルータ108に関連付けられており、本明細書ではピア104a、106aとも呼ぶ。
【0043】
プロット336、338は、それぞれ別個のピア104a、106aから受信したプレフィックス通知及び取り消しレートにおける時間的相関を観察可能にする。Y軸に平行な波状或いはフェンス状の特徴は、表示したピア104a、106aの殆どにより記録された経路指定イベントで、ネットワーク100内でグローバルに伝搬するプレフィックス通知又は取り消しのサージを引き起こすイベントを示すことができる。単一のピア104a、106aに関する単一のピーク及び/又は他の特徴は、経路指定不安定性を報告する単一の自律システム102又はルータ104を示すことができる。プロット336、338は、プロット軸を修正し、プロット中の特徴を拡大するための制御手段を含むことができる。例えば、クライアント114は、X軸にそって範囲を選択することで波状の特徴342を拡大できる。制御手段を用いると、選択した範囲に従ってプロットを再プロットできる。
【0044】
経路指定テーブルサイズ340は、多数の収集ルータ108に関するBGP転送テーブルのサイズの二次元プロットを表示できる。X軸は時間を示し、プロットBGP通知346及びBGP取り消し338に示した範囲に一致する。Y軸は別個の経路指定可能プレフィックスの数を示し、各プレフィックスが一度に列挙される。プロット340の各線は単一のBGP経路指定テーブルに対応する。プロット340は、例えば所与の時間間隔内で線が増加又は減少する際に、ネットワークにグローバルに影響を与える経路指定イベントを示すことができる。これはBGP通知336及びBGP取り消し338の特徴と相関可能である。経路指定テーブルサイズ340は、プロットの軸を修正するための制御手段を含むことができる。
【0045】
プロット336乃至340に加え、ウィンドウ320は分析ボックス344を含むことができ、このボックス344は、プロット336乃至340で表示された選択データにおいて検出された重要な経路指定イベントに関する詳細情報を提供できる。分析ボックス344を表示する際に、分析サーバ110は、経路指定イベントを識別できる波状の特徴342などの選択データを相関に関して処理できる。プロット338においてタグ346、348で示したように、こうしたイベントはタグ付けできる。各タグに関して、分析ボックス344は関連付けたタブ350を含むことができる。タブを選択することで、分析サーバ110は関連付けられたイベントを分析して、検出したイベントの考えられる原因を特定できる。この分析結果は、プレフィックスを通知又は取り消した自律システム及びプレフィックスのリストとして分析ボックス344に表示できる。本明細書で詳述するように、分析ボックス344に表示された自律システム及びプレフィックスは、ツールメニュー222から自律システム近隣グラフ・ツール及びプリフィックス・ツールなどの他のツールにリンクできる。
【0046】
上述のように、ツールメニュー222はプレフィックス・ツールを含むことができ、これらツールにより、分析サーバ110は、選択した期間にわたる選択した単一又は一群のプレフィックスに関してデータベース112からのBGP更新データを処理可能である。このデータは処理して、様々な形式でクライアント114に提示できる。これら形式には、経路指定サマリーと、生トラフィックのテーブルと、経路変更と、経路停止及び経路状態と、プロバイダ・マップとの形での選択したプレフィックスに関する経路指定アクティビティの概要を含む。
【0047】
図4は、ツールメニュー422(図示しない)から選択された、クライアント114にプロバイダ・マップ436をウィンドウ420内で表示するための代表的なユーザインターフェース400の一部を示す。このインターフェースでは、ツール・インディケータ418は選択したプレフィックスを示す。一般的に、インターフェース400は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク402を備えている。従って、参照番号を図2の参照番号から200ずらして類似の特徴を示した。インターフェース400は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0048】
プロバイダ・マップ436は、起点自律システムと、ピア104a、106aから選択した期間にわたり観察された選択したプレフィックスへの経路の近傍部分とを表示できる。従って、プロバイダ・マップ436は、ネットワークから選択したプレフィックスまでの経路の部分グラフと、これら経路が時間と共にどのように変化してきたかを示すことができる。プロバイダ・マップ436は、選択プレフィックスをカバーする1つ又は複数のプレフィックス438を識別できる。プレフィックス438は単一の選択プレフィックスを含むことができ、且つ/或いは図4の代表的なプロバイダ・マップ436に示したように、選択プレフィックスを含む1つ又は複数の集約(詳細性が低い)プレフィックスからなる列を含むこともできる。該当する場合は、分析サーバ110は複数の起点プレフィックスを検出、表示できる。
【0049】
プレフィックスと自律システム440との間の接続、自律システム440と1つ又は複数のネットワーク・プロバイダ442との接続、及び/又は自律システム440とネットワーク・コア自律システム444との間の接続は、色分け、陰影付け、或いはそれ以外の方法で明確に表示して、様々な接続を区別可能とし、これら接続が通知されたパスか取り消したパスの何れを表すのかを区別できる。接続の太さは、プレフィックスを通知又は取り消しており且つそのASPATHが当該区分を含むピア104a、106aの割合を質的に示す。
【0050】
更に、図4は、プレフィックス固有データの時間進行を調べるための再生制御機構466を示している。ビデオ・カセット・レコーダの周知の制御手段と類似した再生制御機構446の早送り、巻き戻し、停止、一時停止、再生、又はその他の機能を選択することで、クライアント114は表示されている期間を連続的又は漸進的に変化させられる。プロバイダ・マップ436に関連して図示されているが、再生制御機構446は、上述の様々なプレフィックス・ツールに適用できる。再生制御機構446は、色分け、陰影付け、或いはそれ以外の方法で明確に表示したブロック・インディケータを備えた時間範囲表示448を備えることもできる。ブロック・インディケータは、通知又は取り消しの数を質的に示すようにサイズ決めされる。時間範囲表示448を拡張して多数のピア104a、106aを表示できるが、これはアップストリームの自律システムによるフラップ・ダンピング及び他の経路指定イベントの識別並びに/又は追跡などで有用である。
【0051】
図5は、ツールメニュー522から選択するか、探索ウィンドウ508から選択する、クライアント114に自律システム隣接グラフ536をウィンドウ520内で表示するための代表的なインターフェース500を示す。代表的なユーザインターフェース500に関しては、ツール・インディケータ518は、自律システム隣接グラフ536が自律システム探索の結果であることを表示する。一般的に、インターフェース500は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク502を備えている。従って、参照番号を図2の参照番号から300ずらして類似の特徴を示した。インターフェース500は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0052】
自律システム隣接グラフ536は、当該自律システムの経路レジストリ情報538と、この自律システムが起点となるネットワーク・プレフィックスのリスト540と、近接グラフ542とを含むことができる。リスト540は、起点となる自律システムが採用する集約ポリシーのビューを提供するために、クラス無しドメイン間経路制御方式(CIDR)ツリーとして編成できる。こうしたツリー構造体で通常可能なように、このツリーは、プレフィックス近くのアイコンをクリック/選択することで拡大又は縮小できる。随意選択で、リスト540から1つ又は複数のプレフィックスを選択すると、クライアント114が使用可能なプレフィックス・ツールのリストを表示可能としてもよい。
【0053】
近接グラフ542は、指定した自律システム(代表的なインターフェース500では自律システム番号6830)を隣接自律システムの星状グラフの中心に表示する。自律システムは、隣接した自律システムの数に従って色付けしたり、それ以外の方法で区別したりできる。近接グラフ542は、クライアント114の選択に従って、アップストリーム隣接システム、ダウンストリーム隣接システム、又は両方を含むことができる。アップストリーム隣接システムは、指定した自律システムより、BGPメッセージのASPATH属性において収集ルータ108により近く見えるシステムを含むことができ、ダウンストリーム隣接システムはより遠く見えるシステムである。したがって、アップストリーム隣接システムはプロバイダ・ネットワークである傾向がある一方、ダウンストリーム隣接システムは顧客ネットワークである傾向がある。しかし、アップストリーム隣接システムとダウンストリーム隣接システムとの他の関係も考慮できる。随意選択だが、近接グラフ542から何れかの自律システムを選択すると、選択したその自律システムの近接グラフ536を表示するようにしてもよい。随意選択だが、クライアント114は、タブ544で示したように、隣接システム情報を表形式でビューすることを選択できるようにしてもよく、この場合は、BGPメッセージにおいて最近現れた各隣接関係を示すことができる。
【0054】
本明細書で記載した方法及びシステムは、随意選択で上述のように経路指定データ及び/又はデータベース112のデータの追加分析結果から得られたデータを、クライアント114にストリーミングできる。一般的に、ストリーミングは、グローバル・ネットワークBGP経路指定の状態及び安定性に関する、XML形式で配信されるレポートを(例えば実時間で)提供することを含むことができる。データは定期的に更新可能であり、更新時期はクライアント114が選択し、サンプリング・レートは表示対象のデータに合わせて選択できる。データストリームには、グローバルに到達可能なネットワーク・プレフィックスの数と、経路通知及び取り消しメッセージ・トラフィックの強度と、到達不能なネットワークの数と、経路不安定性の評価点と、経路不安定性の評価点の分散と、到達不能なネットワークの数の地理的分散と、ピア104a、106aからなる組における経路変更の数が最も多いネットワークのリストと、数が最大か又は起点となる不安定なネットワークを備えた自律システムのリストと、クライアント114がデータベース112から要求できる他のデータとを含むことができる。
【0055】
グローバルに到達可能なネットワーク・プレフィックスの数は、選択した期間においてデフォルトフリー(原語:default-free)の経路指定テーブルのサイズに基づくことができる。強度は、選択した期間における経路指定メッセージ・トラフィック全体を示すことができる。到達可能なネットワークの数は、一時的に到達不能と推測されるネットワークの数を追跡できるが、これは、経済的且つ工学的活動による通常レベルのネットワーク到着及び退去処理を補正するためにそれ以前の到達性にも依存している。経路不安定性の評価点は、不安定性の評価点を各ネットワーク・プレフィックスへの経路に適用することで不安定な経路の母集団を追跡できる。プレフィックスの不安定性の複数評価点を経時的に累積的に計算し、経路が安定化した後で抑制できる。
【0056】
経路不安定性の評価点の分散には、重大度とネットワーク・プレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリックを含むことができる。地理的分散は、接続性障害の影響を地理的に特定できる。不安定なネットワークと不安定な自律システムのリストも接続性障害の監視及び解決の助けとなりうる。
【0057】
更に、上述のデータ表現もストリーミング・データ表現も、経路指定イベントの可能性及び/又は実際の発生の監視を含み、且つ/又はこうしたイベントの可能性及び/又は実際の発生をクライアント114に知らせるための経路指定警報を含むことができる。警報は、日常のネットワーク運営コストの引き下げを可能とする、ネットワーク関連問題を検出し、診断する機能を提供できる。経路指定警報は階層的に編成できる。最も下の階層の警報はアトミック警報と呼ぶことができ、後述するように、所与のネットワーク・プレフィックスへの経路が、定義した様態で変化したことが観察されると作動するものである。例えば、このプレフィックスが少なくとも一定の閾値数のピア104a、106aから到達不能となった場合、又は無許可の起点自律システムを備えたプレフィックスへの経路がピア104a、106aにより通知された時に作動するアトミック警報を構成できる。更に、本明細書に記載されたシステム及び方法を構成して、アトミック警報に応答してリモート・ネットワーク管理システムにより収集及び相関されるSNMPトラップを生成するようにしてもよい。
【0058】
アトミック警報の上に位置した警報階層は複合警報又は警報グループと呼ぶことができ、一組の警報の状態を集約するものである。複合警報はプレフィックス警報を含むことができ、これらは、(1)プレフィックス(P)自身に関する一組のアトミック警報、及び(2)Pに含まれるクライアントが承認したより詳細なネットワーク・プレフィックスに関するプレフィックス警報の組である警報の2つの部分集合を組み合わせることができる。後者の組は、Pに関する承認されたより詳細なものが存在しない場合は空となりうる。プレフィックス警報の構成時に、本明細書で記載した方法及びシステムは、例えば4週間などの、以前の期間にわたりピア104a、106aから受信したBGP「更新」の分析に基づいてより詳細なもののリストと起点自律システムのリストとを初期化できる。生成したリストはクライアント114が編集できる。
【0059】
複合警報は更に自律システム警報を含むことができ、その要素には、所与の自律システムが起点となったプレフィックスに関するプレフィックス警報を含むことができる。所与の自律システムに関する自律システム警報の構成時に、本明細書で記載した方法及びシステムは、以前の期間にわたりピア104a、106aから受信したBGP「更新」の分析に基づいてこの自律システムが起点となるプレフィックスのリストを初期化できる。このリストは、プレフィックスを追加及び削除することによりクライアント114が編集できる。他の複合警報をカスタム構成するには、既存のプレフィックス警報及び/又は複合警報をグループ分けすることで可能である。グループ分けには、ネットワークがどの組織に所有されているか、その物理的位置、及び/又はその戦略的重要性を反映させることができる。
【0060】
これら警報は、実時間モード及び履歴モードを含む様々なモードで動作可能である。実時間モードでは、BGP「更新」メッセージがピア104a、106aから到着した時点で、これらメッセージに応答して警報を計算できる。履歴モードでは、上述した時間ナビゲーション・ツールを用いて選択した開始時間を始点として、データベース112内の記録保管済みBGP「更新」から警報を計算できる。履歴モードは「時間旅行」を提供でき、これによって、警報構成パラメータを微調整するにあたって、構成済み警報がどのように過去の経路指定イベントを検出できたはずであるかをユーザがビューできる。更に、履歴モードは証拠性確保の分析に役立ち、この場合は、特定のイベントが発生した時点で警報を作動させるように構成する、
【0061】
上述のように、アトミック警報は単一の主要プレフィックスP及びトリガ条件を特徴とする。一定のトリガ条件に関して、アトミック警報は、承認されたより詳細なプレフィックスのリスト又はプレフィックスPに関する承認された起点自律システムのリストを更なる特徴としてもよい。ピア104a、106aのBGPメッセージは分析サーバ110が分析して、警報状態又はピアに関する条件を特定できる。様々な警報タイプが、受信したBGP「更新」に基づいてアトミック警報をトリガできる。警報タイプは図1に示したものを含みうるが、当業者であればこれ以外のタイプの警報を考慮できるはずである。各警報タイプに関して、対応するピア警報条件タイプが存在しうる。
【0062】
【表1】
【0063】
図6は、分析サーバ110が、受信したBGP「更新」メッセージに基づいてプレフィックスPに関する条件状態を設定できる方法600を示す。図1の分析サーバ110は、「更新」メッセージを受け取り(602)、「更新」メッセージのネットワーク層到達性情報(NLRI)フィールドに含まれているプレフィックスP又はある程度詳細なプレフィックスを特定する(604)。分析サーバ110は、特定したプレフィックスに関し、表1に示した条件の条件状態を設定又はクリアできる。図6は、条件状態を設定且つ/又はクリアするための代表的な方法を示すが、ここに示した動作は、当業者であれば開示した方法から逸脱することなく、これより多く或いは少ない動作でそれ以外の様態で組み合わせ、分離、交換、及び/又は再構成可能である。
【0064】
図6の代表的な方法は、プレフィックスPが「アドバータイズ」されているかを特定できる(606)。アドバータイズされていれば、「アドバータイズ済み」状態を高に設定し、必要に応じて「取り消し済み」及び「到達不能」状態をクリアする(608)。ステップ610で特定されるように、プレフィックスPが1つ又は複数の異なる属性付きでアドバータイズされていれば、「変更」状態は高に設定される(612)。ステップ614で特定したように、プレフィックスPがより長いASPATH付きでアドバータイズされていれば、「劣化」状態が高に設定される(616)。ステップ618で特定するように、より詳細なプレフィックスだが、許可されたより詳細なプレフィックスのリストには載っていないプレフィックスがアドバータイズされている場合は、「分解」状態が高に設定される(620)。ステップ622で特定されるように、プレフィックスPが未許可自律システムを起点とするとアドバータイズされているか、自律システムが未許可プレフィックスを通知している場合、「起点」状態は高に設定される(624)。ステップ610、614、618、又は622で特定した条件が満たされていない場合は、それぞれステップ626、628、630、又は632で示したように、「変更済み」状態、「劣化」状態、「分解」状態、又は「起点」状態がクリアされ、「A」で示したように、方法600はこれら条件状態の相関に進むことができる。
【0065】
もしプレフィックスPがステップ606で特定されたように「取り消され」ていれば、ステップ634で示したように「取り消し済み」、「変更済み」、及び「劣化」状態を高に設定でき、「アドバータイズ済み」、「分解」、及び「起点」状態をクリアできる。ステップ636で特定されたように、同一ピアから詳細性がより低いプレフィックスPへの経路が存在しない場合は、「到達不能」状態を高に設定できる(638)。経路が存在する場合は、「到達不能」状態はクリアでき(640)、方法600は、「A」で示したように条件状態の相関に進むことができる。次は条件状態の設定の例を示すことができる。
【0066】
第1の例では、BGP「更新」がピア0から受信され(602)、プレフィックス192.168.0.0/16に関するものと特定される(604)。このメッセージは取り消しを含むと判断され(606)、ステップ634で示したように「取り消し済み」、「変更済み」、及び「劣化」状態を高に設定され、「アドバータイズ済み」、「分解」、及び「起点」状態がクリアされる。この例に関しては、ピア0は192.168.0.0/16への有効な経路を以前は備えていたが、同一ピアからPの詳細性がより低いプレフィックスへの経路が存在せず、「到達不能」状態が高に設定される。後のBGP「更新」が192.168.0.0/16への経路のアドバータイズメント付きで同一ピアから受信されれば、ステップ608で示したように、「取り消し済み」及び「到達不能」条件状態はクリアできる。
【0067】
第2の例では、ピア0からのBGP「更新」は、プレフィックス192.168.12.0/24の取り消しを含んでいる。上述したが、ステップ634で示したように「取り消し」、「変更済み」、及び「劣化」状態が高に設定され、同時に「アドバータイズ済み」、「分解」、及び「起点」状態がクリアされる。この例に関し、ピア0は192.168.0.0/16及び192.168.12.0.0/24への有効な経路を以前は備えていた。192.168.0.0/16への経路はまだ存在するので、より詳細なものには全く到達不能ではなく、「到達不能」条件状態はステップ640でクリアされる。
【0068】
図7は、方法600で特定された条件状態に基づいてアトミック警報をトリガできる方法700を示す。方法700は「A」から開始でき、方法600からの1つ又は複数の警報条件状態が高に設定されているかを特定する(702)。高に設定されている警報条件状態を、作動した警報条件と呼ぶこともできる。或いは逆に、警報条件が作動した時に、この警報条件状態が高に設定される。作動した各警報条件について、方法700は作動の累積履歴を調べて、時間的及び/又は空間的相関基準が満たされているかを判断できる。
【0069】
ピア警報状態条件は、作動時に(警報条件状態が高に設定される時に)タイムスタンプを打刻できる。更に、クライアントが構成可能な「最小」及び「最大」保持時間を、1つ又は複数の警報条件に関連付け可能である。警報条件を作動してからの時間が、少なくとも最小保持時間と同じで最大保持時間よりも長くなければ、ステップ704に示したように、時間的な相関基準は満たされる。一般に、最大保持時間はデフォルトでゼロに設定することができ、警報条件が作動と直後に報告される。又、最大保持時間はデフォルトで無限に設定することができ、最大保持時間はなくなる。
【0070】
各ピア警報条件は、クライアントが構成可能なピア多様性閾値を含むことができる。この値はアトミック警報を作動させるための最小数のピア条件警報を示すことができる。ステッ706で特定されるように、所与の警報条件に付いて作動したピア条件警報の数が多様性閾値を上回る場合は、空間的な相関基準が満たされる。閾値数のピア警報条件が満たされる必要があるという要件により、1つ又は少数のピアによる「ノイズ」信号であって、大多数のルータが見るルータの挙動を反映しないことがある「ノイズ」信号を減らすことができる。多様性閾値は、地理的に離間したルータ及び/又は閾値数のルータを包含するように構成できる。例えば、多様性閾値を構成して、閾値数のピア条件が単一の地理的地点に集中するのでなく、一定の地理的領域に分散することを要求できる。
【0071】
時間的な相関基準及び空間的な相関基準の何れかが所与の警報条件に関して満たされると、関連付けられたアトミック警報が作動でき(708)、或いは、関連付けられたアトミック警報が既に作動状態にある場合は作動状態を維持できる。時間的な相関基準及び空間的な相関基準の一方が所与の警報条件に関して満たされていない場合は、関連付けられたアトミック警報は非作動モードに維持され(710)、或いは、関連付けられたアトミック警報が既に作動状態にある場合は「一時休止」にできる。アトミック警報が作動すると、警戒を発することができ(712)、且つログに記録できる(714)。同様に、ログの入力は、いつ警報が一時休止したかを示すことができる。方法700は、継続的に(716)方法600から高い条件状態が受信されていないかをチェックできる。
【0072】
図8は、作動したアトミック警報に関して追跡可能なオプションの追加基準を示す。方法700の時間的及び空間的な相関基準に加えて、アトミック警報は警報状態を特徴とすることもできる。アトミック警報が作動すると、図8の方法800は、ステップ802に示したようにこの警報の状態を一定の初期値に設定可能である。警報状態を時間の経過と共に変えることができる処理スキームを、警報状態に適用できる(804)。この関数に基づいた警報状態は(例えば5秒ごとで)定期的に特定できる(806)。ステップ808に示したように、処理スキームに基づいた警報状態がある閾値を満たすと、警報が一時休止して(810)、そのイベントをログに記録できる(812)。一実施形態では、この処理スキームは、クライアント114が指定した半減期をそなえた指数関数的減衰とすることができるが、他の処理スキームも使用できる。例えば、こうした処理スキームには、警報状態が一定の時間間隔にわたって実質的に変化しない段階関数、及び/又は時間に基づいて且つ/或いは時間の経過と共に変化可能な他の処理スキームを含むことができる。
【0073】
アトミック警報に加え、本明細書で記載した方法及びシステムは、上述したように複合警報又は警報グループをサポートできる。警報グループは、クライアント114によって予め定義且つ/或いは構成できる。アトミック警報と違って、警報グループはイベント駆動型でなくてもよい。むしろ、警報グループは、定義した方法で自分自身の構成要素であるアトミック警報を組み合わせて自分自身の状態を計算可能である。警報表示用の限られたスペースを効率的に利用するため、複合警報を非常に大きな組の警報の代理として用いることもできる。階層管理を容易にするため、図2のメニューバー204の警報メニューは、表2に示した警報グループも含んだ予め定義した警報グループを提供できる。
【0074】
【表2】
【0075】
警報グループは、それ自身に含まれる警報の個別状態に基づいて自身の状態を計算する。こうした状態の計算に用いる処理スキームは、そのグループの使用目的に従ってクライアント114が選択できる。代表的な処理スキームには、最大スキーム、平均スキーム、及び/又は重み付き平均スキームが含まれるが、必ずしもそれらには限定されない。最大スキームを用いるグループに関しては、この状態を、そのグループの構成要素内で最高及び/又は最大状態として計算できる。例えば、4つの警報からなるグループが{0.5,
0.2, 0.1, 0.0}という個別に計算した状態を持つとすると、このグループ全体の状態は最大値=0.5となるはずである。平均スキームを用いるグループに関しては、この状態を、そのグループ構成要素の状態の合計を構成要素の数で割ったものとして計算できる。例えば、4つの警報からなるグループが{0.5,
0.2, 0.1, 0.0}という個別に計算した状態を持つとすると、このグループの平均状態は(0.5+0.2+0.1)/4=0.4となるはずである。
【0076】
重み付き平均スキームを用いるグループに関してこの状態を計算するには、構成要素の状態に重みを適用し、重み付き状態を加算し、且つ正規化のため重みの合計で除算すればよい。重みはクライアント114が割り当てできる。例えば、1番目の警報が他より10倍重要である4つの警報からなるグループにおいて、クライアント114は{10,
1, 1, 1}という重みを割り当てられる。ある時点においてこれら4つの警報が{0.5, 0.2, 0.1, 0.0}という状態を持つとすると、この警報グループ全体は、{10*0.5+1*0.2+1*0.1+1*0.0}/13=0.408となるはずである。平均スキームは、重みを等しくした重み付き平均スキームの特別な場合を含むことができることも注目されたい。様々な重み付けスキームが使用できる。
【0077】
図9は、ツールメニュー922又は警報メニュー928から選択された、警報データを構成し、ウィンドウ920内でクライアント114にグラフ表示するための代表的なユーザインターフェース900を示す。このインターフェースでは、ツール・インディケータ918は実時間警報監視モードを示す。一般的に、インターフェース900は図2のインターフェース200に対応しており、図2のウィンドウ制御フレームワーク202に似た持続的ウィンドウ制御フレームワーク902を備えている。従って、参照番号を図2の参照番号から700ずらして類似の特徴を示した。インターフェース900は例示目的で示したもので、他のデータ配置並びにデータ操作及びビュー用の制御手段も考慮されている。
【0078】
代表的なインターフェース900では、実時間又は履歴警報ツールがツールメニュー922又は警報メニュー928から起動された時に、構成済み警報を、グラフ938に隣接したツリー構造体936として表示できる。最初は、ツリー構造体936は、各最上レベル・プレフィックス警報と、各自律システム警報と、各名前付き警報グループとの何れかに関して1行を表示できる。クライアント114はこの表示を対話的に拡大して、個々の基本(すなわちアトミック)警報のレベルまで、グループ内の構成要素警報を調べることができる。対話的なツリー構造体936の最上レベルより下にある構成要素警報と、クライアント114が手動で不能にした警報との表示は抑制又はその他の方法で非表示とし、限られた画面スペースをより効率的に使用できる。これらの警報は、アクティブになった時点で順番どおりに表示できる。
【0079】
グラフ938の線は、ツリー構造体936の隣接する線に一致できる。グラフ938の線は、ナビゲーション・ボタン及び/又はツール906、910を用いて選択できる期間における警報履歴の状態インディケータ940及びプロット942を含むことができる。様々な状態レベルを示すため、状態インディケータ940は色付け、陰影付け、或いはその他の方法で区別できる。実時間の警報監視については、代表的なインターフェース900に示したように、ウィンドウ920を、分析サーバ110による処理に伴って最新の警報データで定期的に更新できる。上述のように、警報データは、経路指定データのストリーミングに類似した様態でストリーミングでき、クライアント114がリフレッシュ・セレクタ916を用いて更新時期を選択できる。
【0080】
プロット942は、図6に関連して述べたように、相関のないピア警報「設定」及び「クリア」イベントの指定を含むことができる。表示したイベントの種類を示すため、これら指定は色付け、陰影付け、或いはその他の方法で区別できる。相関のない低レベルのイベントから、表示された最近の期間における各警報の進展状態に変化を引き起こす根本的な経路指定アクティビティがどのようなものかがよく分かる。設定/クリア表示又は指定は、構成要素の警報からそれらを含む警報グループまで「遡る」ことができる。従って、任意の警報グループに関する履歴コンテキスト・プロットは、その構成要素の低レベル設定/クリア・イベントと、再帰的に(原語:recursively)その構成要素の構成要素の低レベル設定/クリア・イベントとを表示できる。
【0081】
プロット線は、経時的にプロットされたアトミック警報及び複合警報の現在の状態を示すことができる。警報が警戒状態にあるアトミック警報かどうかを示すため、これらプロット線は色付け、陰影付け、或いはその他の方法で区別できる。クライアント114がグラフ938から任意の警報を選択すると、ウィンドウ920の下方フレーム944が、選択した警報についての追加情報を表示できる。クライアント114は、図7に関連して述べたようにこの詳細警報と、図6に関連して述べたように観察した状態を発生した設定/クリア・イベントとを調べることができる。警報グループは、それら構成要素の警報からの警戒及び低レベル・イベントを、表示目的で融合し且つ/或いはその他の様態で組み合わせることができる。
【0082】
警報情報を表示するだけでなく、警報メニュー928は警報の構成を作成且つ/又は編集するためのツールを含むこともできる。例えば、プレフィックス警報は、標準的なドット十進法表記法(例えば、10.1.2.0/24)で基本プレフィックスを入力することによって作成できる。本明細書に記載した方法及びシステムは、所定の時間フレームでデータベース112におけるプレフィックス・アドバータイズメント履歴データ内を探索して、より詳細性が低いプレフィックス及びより詳細なネットワークを識別できる。クライアント114は、こうした詳細性が低いプレフィックスに警報を出すよう選択でき、更に、より詳細なネットワーク情報を使って、基本プレフィックスの「分解」警報を予め構成し、所望なら集約プレフィックス警報に再帰的に取り込むことができる。
【0083】
自律システム警報に関しては、クライアント114は自律システム番号を入力できる。すると、本明細書に記載した方法及びシステムは、所定の時間フレームでデータベース112におけるプレフィックス・アドバータイズメント履歴データ内を探索して、その自律システムを起点とするプレフィックスのリストを初期化できる。警報構成を編集するには、グラフ938及び/又はツリー構造体936から警報を選択し、編集ツールを選択すればよい。
【0084】
代表的なユーザインターフェース200、300、400、500、および900を含んだ、分析サーバ110がユーザ114に提供できるユーザインターフェースは、様々なインターフェース間をナビゲートするためのハイパーリンクを含むことができる。例えば、図2の不安定性の主要な起点のリストにおける自律システム番号及びアドレスには、それぞれ図5のインターフェース500と図4のインターフェース400とを含めることができる。図2のリストにあるASN
7137をクリック/選択することにより、図5のグラフ536に類似した、ASN 7137の自律システム隣接グラフをユーザ114に提示できる。他のユーザインターフェースからの別のデータを同様にハイパーリンクして、これら様々なインターフェース間でのナビゲーションを可能とし、よってユーザ114に対話的な照会機能を提供できる。
【0085】
本明細書に記載したシステム構成要素、インターフェース、及び方法を構成する多くの方法があることは明らかである。開示した方法及びシステムは、ネットワークサーバ、パーソナル及びポータブル・コンピュータを含む便利なプロセッサ・プラットホーム、並びに他の処理プラットフォーム上にインストールできる。処理能力の向上に従って、携帯型情報端末、コンピュータ腕時計、携帯電話、及び/又は他の携帯装置を含む上記以外のプラットフォームも考慮できる。開示した方法及びシステムは、公知のネットワーク管理システム及び方法に統合できる。開示した方法及びシステムはSNMPエージェントとして動作でき、適合管理プラットフォームを実行するリモート・マシンのIPアドレスで構成できる。従って、開示した方法及びシステムの範囲は、本明細書に記載した例により限定されることはなく、特許請求の範囲及びその法律的均等物の全範囲を含む。
【0086】
本明細書に記載した方法及びシステムは、特定のハードウェア又はソフトウェア構成に限定されるものでなく、多くの計算環境又は処理環境で応用可能である。これら方法及びシステムは、ハードウェア又はソフトウェア、或いはハードウェアとソフトウェアの組合せによっても実現可能である。これら方法及びシステムは1つ又は複数のコンピュータ・プログラムで実装できるが、コンピュータ・プログラムは1つ又は複数のプロセッサ実行可能命令を含むものと理解できる。こうした1つ又は複数のコンピュータ・プログラムは、1つ又は複数のプログラム可能プロセッサで実行可能であり、且つ、そのプロセッサが読み出し可能な1つ又は複数の記憶媒体(揮発性及び不揮発性記憶装置、並びに/或いは記憶素子)上に格納でき、1つ又は複数の入力装置、及び/又は1つ又は複数の出力装置を含むことができる。従って、このプロセッサは、入力データを得るために1つ又は複数の入力装置にアクセスでき、且つ出力データを通信するために1つ又は複数の出力装置にアクセスできる。こうした入力及び/又は出力装置は次の1つ又は複数を含むことができる。すなわち、ランダムアクセスムモリ(RAM)、ディスクアレイ(RAID)、フロッピー(登録商標)ドライブ、CD、DVD、磁気ディスク、内部ハードドライブ、外部ハードドライブ、メモリスティック、又は、本明細書で記載したようにプロセッサがアクセス可能な他の記憶装置であるが、上述の例は、全てを網羅しているわけではなく、例示的であって限定的ではない。
【0087】
これら1つ又は複数のプログラムは、コンピュータシステムと通信する1つ又は複数の高レベル手続き形言語又はオブジェクト指向プログラミング言語で実現できる。しかし、こうしたプログラムは、所望なら、アセンブリ言語又は機械言語で実装できる。この言語はコンパイルしても、解釈してもよい。
【0088】
上述のように、これら1つ又は複数のプロセッサは、独立して或いはネットワーク環境で協同して動作可能な1つ又は複数の装置に埋め込まれていてもよく、このネットワークには、例えば、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)を含むことができ、更にイントラネット及び/又はインターネット及び/又は別のネットワークが含まれうる。こうした1つ又は複数のネットワークは、ケーブル接続若しくはワイヤレス接続されたもの又はそれらの組合せでもよく、更に、こうした異なるプロセッサ間の通信を促進する1つ又は複数の通信プロトコルを使用可能である。これらプロセッサは分散型処理用に構成することもでき、実施形態によっては、必要に応じてクライアント・サーバモデルを使用できる。従って、これら方法及びシステムは、複数のプロセッサ及び/又はプロセッサ装置を使用可能であり、これらプロセッサ命令は、こうした単一又は複数のプロセッサ/装置間で分割できる。
【0089】
こうした1つ又は複数プロセッサを統合したこうした1つ又は複数の装置又はコンピュータシステムは、例えば、1つ又は複数のパーソナルコンピュータ、ワークステーション(例えば、Sun、HP)、個人情報機器(PDA)、携帯電話、ラップトップ装置、手持ち型装置などの手持ち式装置、又は上述したように動作可能なプロセッサと統合可能な他の装置を含むことができる。従って、本明細書に記載の装置は全てを網羅したものでなく、限定目的でなく例示目的で記載されている。
【0090】
「マイクロプロセッサ」及び「プロセッサ」又は「こうしたマイクロプロセッサ」及び「こうしたプロセッサ」の説明は、スタンドアロン及び/又は分散型環境において通信可能で、従って他のプロセッサと有線又は無線で通信するように構成可能な、1つ又は複数のマイクロプロセッサを含むと理解でき、こうした1つ又は複数のプロセッサは、互いに類似か異なる装置としてよい1つ又は複数のプロセッサ制御装置上で動作するように構成できる。従って、こうした「マイクロプロセッサ」又は「プロセッサ」という用語の使用は、中央演算処理装置、論理演算装置、専用集積回路(IC)、及び/又はタスクエンジンを含むと理解することもできるが、これらは限定目的でなく例示目的で列挙したものである。
【0091】
更に、特に指定されていない限り、メモリという用語には、上述のプロセッサ制御装置の内部又は外部にあるプロセッサ可読且つアクセス可能な記憶素子及び/又は構成要素を含むことができ、様々な通信プロトコルを用いて有線又は無線ネットワークを介してアクセスでき、更に、特に指定がなければ、内部及び外部メモリ素子を含むように構成でき、又、こうしたメモリは使用例次第では隣接的且つ/或いは区分編成されていてもよい。従って、データベースという用語は、1つ又は複数のメモリ結合を含むと理解でき、こうした用語には、市販のデータベース製品(SQL、インフォミックス、オラクル)及び所有権を主張できるデータベースを含むことができ、更に、メモリを、リンク、待ち行列、グラフ、ツリーなどに関連付ける他の構造も含むことができるが、こうした構造は限定目的でなく例示目的で述べたものである。
【0092】
ネットワークについて言及したが、これはインターネット全体に限定するものでなく、その部分を含むことができる。マイクロプロセッサ命令又はマイクロプロセッサ実行可能命令の説明には、上述の記載に従って、プログラム可能ハードウェアが含まれると理解できる。
【0093】
特に記載した場合を除き、「実質的に」という言葉は、厳密な関係、条件、構成、配向、及び/又は他の特徴並びに変更を含むが、こうした変更は、通常の技能を備えた当業者の理解では開示した方法及びシステムに著しく影響しない程度のものを言う。更に、実時間に関する本明細書での説明は、「実質的に実時間で」を省略したものと理解できる。これら方法及びシステムの例示した実施形態は、幾つかの局面が「実時間」であると説明しているが、こうした局面は他の様態でも提供できる。
【0094】
本開示全体にわたり、冠詞「一つの(原語:a)」又は「一つの(原語:an)」を用いて名詞を修飾したが、特に記載した場合を除き、こうした冠詞の使用は便宜的なものであって1つ又は複数の修飾された名詞を含むものと理解できる。
【0095】
これらの方法及びシステムは、特定の実施形態に関連して説明してきたが、それに限定されない。言うまでもなく、上述の教示を参考にすれば、多くの修正及び変更が可能なことが明らかとなることもあろう。
【0096】
当業者であれば、本明細書で説明し図示した部材の詳細、材料、及び配列に多くの付加的変更を行うことができる。従って、本明細書に記載の方法及びシステムは開示された実施形態に限定されるものではなく、具体的に記載されたものとは異なる様態で実行可能であって、法律によって許された最大の範囲で解釈されるべきである。
【図面の簡単な説明】
【0097】
【図1】本明細書で説明する方法及びシステムを組み込み可能なネットワーク環境を示す。
【図2】ネットワーク経路指定データの監視及び分析のための代表的なユーザインターフェースを示す。
【図3】グローバル経路指定レポート用の代表的なユーザインターフェースを示す。
【図4】プロバイダ・マップ用の代表的なユーザインターフェースを示す。
【図5】自律システム隣接グラフ用の代表的なユーザインターフェースを示す。
【図6】条件状態を設定するための方法に関するフローチャートを示す。
【図7】条件状態に基づいて警報をトリガするための方法に関するフローチャートを示す。
【図8】時間の経過と共に警報状態を変更するための方法に関するフローチャートを示す。
【図9】警報監視及び構成用の代表的なユーザインターフェースを示す。
【特許請求の範囲】
【請求項1】
コンピュータ可読媒体上に具体的に格納されたコンピュータ・プログラムであって、
複数のネットワーク・ルータから経路指定メッセージデータを収集するためのプロセッサ命令と、
相関データを入手するため、複数ルータ及び時間にわたって前記経路指定メッセージデータを相関するためのプロセッサ命令とを含む、コンピュータ・プログラム。
【請求項2】
前記相関データに基づいて経路指定パターンを得るための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項3】
経路指定メッセージデータを収集するための前記命令が、ボーダーゲートウェイ・プロトコルのメッセージデータを収集するための命令を含む、請求項1に記載のコンピュータ・プログラム。
【請求項4】
当該ネットワークに関する構造情報を収集するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項5】
構造情報を収集するための前記命令が、経路指定レジストリデータとドメイン名サービスデータとの少なくとも一方を収集するための命令を含む、請求項4に記載のコンピュータ・プログラム。
【請求項6】
相関するための前記命令が、前記構造情報を前記経路指定メッセージデータと相関するための命令を含む、請求項5に記載のコンピュータ・プログラム。
【請求項7】
前記経路指定パターンを実時間で前記ネットワークを介してストリーミングするための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項8】
収集するための前記命令が、地理的に多様な地点に位置したルータ間でセッションを確立するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項9】
前記経路指定パターンに基づいて少なくとも1つの警報を提供するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項10】
少なくとも1つの警報を提供するための前記命令が、
ネットワーク・プレフィックスに付いて前記メッセージデータをタイムスタンプ順に処理するための命令と、
各プレフィックスに関する現在のメッセージデータを、当該プレフィックスの以前のメッセージデータと比較して、当該プレフィックスの警報条件の条件状態を特定するための命令と、
前記条件状態と、時間的相関基準及び空間的相関基準のうち少なくとも1つとの比較に基づいて、前記プレフィックスの少なくとも1つの警報を提供するための命令とを含む、請求項9に記載のコンピュータ・プログラム。
【請求項11】
前記警報条件の少なくとも1つが所定の時間にわたって高となっていることを前記条件状態が示した時に、前記状態条件が前記時間的相関基準を満たしていると判断するための命令と、
同一の警報条件が高になっていることを所定数のプレフィックスの条件状態が示した時に、前記条件状態が前記空間的相関基準を満たしている、と判断するための命令とを更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項12】
同一の警報条件が高となっていることを、指定した地理的分布を備えた所定数のプレフィックスの前記条件状態が示した時に、前記条件状態が前記空間的相関基準を満たしていると判断するための命令を更に含む、請求項11に記載のコンピュータ・プログラム。
【請求項13】
少なくとも1つの警報を提供するための前記命令が、
値を前記少なくとも1つの警報に割り当てるための命令と、
時間に基づいて処理スキームを前記値に適用する段階と、
前記少なくとも1つの警報の識別されたものを、当該識別された警報の前記値の所定値との比較に基づいて、除去するための命令とを含む、請求項10に記載のコンピュータ・プログラム。
【請求項14】
複合警報を得るために、前記少なくとも1つの警報の組を集約する命令を更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項15】
前記集約する命令が、前記少なくとも1つの警報を、ネットワーク・プレフィックス、当該ネットワーク上の自律システム、及び当該ネットワーク上のサブネットワークの少なくとも1つに基づいて組み合わせるための命令を含む、請求項14に記載のコンピュータ・プログラム。
【請求項16】
ネットワーク・プレフィックスに基づいて前記少なくとも1つの警報を組み合わせるための命令が、
より詳細なプレフィックスのリストと起点自律システム・プレフィックスのリストとの一方を、前記ネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成するための命令と、
それぞれのリストから選択した前記より詳細なプレフィックスに関する前記少なくとも1つの警報と、前記起点自律システム・プレフィックスに関する前記少なくとも1つの警報とを組み合わせるための命令とを含む、請求項15に記載のコンピュータ・プログラム。
【請求項17】
ユーザに前記少なくとも1つの警報のグラフを表示するための命令を更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項18】
経路指定パターンを得るための前記命令が、前記相関データの少なくとも一つの時系列を処理するための命令を含む、請求項2に記載のコンピュータ・プログラム。
【請求項19】
少なくとも一つの時系列を処理するための前記命令が、前記少なくとも1つの時系列の選択した部分にわたる、類似パターンのメッセージデータを備えたルータに対応した前記相関データ内の特徴を検出するための命令を含む、請求項18に記載のコンピュータ・プログラム。
【請求項20】
特徴を検出するための前記命令は、前記経路指定メッセージデータが閾値数のプレフィックスを上回ったのを示したことを、前記各ルータに関する相関データが示した時を特定するための命令を含む、請求項19に記載のコンピュータ・プログラム。
【請求項21】
前記特徴の前記相関データに対応した、前記ネットワーク上のサブネットワークと自律システムとの少なくとも一方を識別するための命令を更に含む、請求項20に記載のコンピュータ・プログラム。
【請求項22】
前記少なくとも1つの時系列の前記選択部分の時間スケールを変化させるための命令を更に含む、請求項19に記載のコンピュータ・プログラム。
【請求項23】
処理するための前記命令が、特徴検出、相関、及びクラスタ化を含む信号処理技法のリストから取られた処理技法を適用するための命令を含む、請求項18に記載のコンピュータ・プログラム。
【請求項24】
前記経路指定メッセージデータと前記相関データとの少なくとも一方のグラフをユーザに表示するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項25】
表示するための前記命令が、
ユーザ照会を前記グラフ表示に基づいて対話的に処理するための命令と、
前記経路指定メッセージデータ及び前記相関データのうち、前記照会に一致するデータを前記ユーザに表示するための命令とを含む、請求項24に記載のコンピュータ・プログラム。
【請求項26】
表示するための前記命令が、前記グラフ表示及びその関連づけられた経路指定データに対応したレコードを生成するための命令を含み、当該レコードを読み出すと前記関連付けられた経路指定データに従って前記グラフ表示が生成される、請求項24に記載のコンピュータ・プログラム。
【請求項27】
前記レコードが、拡張マーク付け言語(XML)レコードである、請求項26に記載のコンピュータ・プログラム。
【請求項28】
複数のネットワーク・ルータから経路指定データを収集する段階と、
ネットワークデータを入手するため、ルータ及び時間にわたって前記経路指定データを相関する段階とを含む、方法。
【請求項29】
前記ネットワークデータをユーザに当該ネットワークを介してストリーミングする段階を更に含む、請求項28に記載の方法。
【請求項30】
前記経路指定データを相関する前記段階が、少なくとも1つネットワーク・メトリックを特定する段階を含み、当該少なくとも1つのネットワーク・メトリックが、グローバルに到達可能なネットワーク・プレフィックスのメトリックと、前記ネットワークの全経路指定メッセージ・トラフィックを示す強度メトリックと、到達不能なネットワーク・メトリックと、経路不安定性メトリックと、経路不安定性の評価点分布メトリックとを含む、請求項28に記載の方法。
【請求項31】
前記グローバルに到達可能なネットワーク・プレフィックスのメトリックを特定する前記段階が、所定の時間フレームにわたるデフォルトフリーの経路指定テーブルのサイズを特定する段階を含む、請求項30に記載の方法。
【請求項32】
前記グローバルに到達可能なネットワーク・プレフィックスが、接続性喪失及び劣化イベント並びに前記ネットワークのサイズの変動を表す、請求項30に記載の方法。
【請求項33】
前記強度メトリックを特定する前記段階が、全経路通知メッセージ・トラフィック及び全取り消しメッセージ・トラフィックを特定する段階を含む、請求項30に記載の方法。
【請求項34】
前記到達不能なネットワーク・メトリックを特定する前記段階が、一時的に到達不能と推測されるサブネットワークの数を追跡する段階を含み、この段階は、予想レベルのサブネットワーク到着及び退去を補正するためにそれ以前の到達性にも随意選択で依存する、請求項30に記載の方法。
【請求項35】
前記経路不安定性メトリックを特定する前記段階が、
不安定性評価点を各プレフィックスに適用する段階と、
時間tの経過と共に各プレフィックスへの経路の前記不安定性評価点を累計的に計算する段階と、
経路が安定化した後に、前記不安定性評価点を抑制する段階とを含む、請求項30に記載の方法。
【請求項36】
前記経路不安定性の評価点の分散メトリックを特定する前記段階が、重大度及びプレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリックを特定する段階を含む、請求項30に記載の方法。
【請求項37】
異なる時間スケールにわたって、類似パターンのネットワーク・メトリックを備えたルータに対応した前記ネットワークデータにおける特徴を検出する段階を更に含む、請求項30に記載の方法。
【請求項38】
特徴を検出する前記段階は、幾つかのプレフィックスが少なくとも1つのメトリックに関して閾値数のプレフィックスを上回ったことを、前記ルータのそれぞれに関する前記ネットワークデータが示す時を特定する段階を含む、請求項37に記載の方法。
【請求項39】
前記特徴の前記ネットワークデータに関連付けられたプレフィックスに一致したサブネットワークと自律システムとの少なくとも一方を識別する段階を更に含む、請求項38に記載の方法。
【請求項40】
ネットワークにおける複数のルータに関して、ボーダーゲートウェイ・プロトコル(BGP)「更新」メッセージを、当該BGP「更新」メッセージにおいて識別された各ネットワーク・プレフィックスに付いて、タイムスタンプ順に処理する段階と、
受信した現在のメッセージと受信した以前のメッセージの比較に基づいて、各ネットワーク・プレフィックスに関して少なくとも1つの警報条件を設定する段階と、
前記少なくとも1つの警報条件を時間及びルータにわたって相関する段階と、
前記少なくとも1つの警報条件と、時間的相関基準と空間的相関基準とのうち少なくとも一方との比較に基づいて、ネットワーク・プレフィックスの少なくとも1つの警報を提供する段階とを含む、方法。
【請求項41】
少なくとも1つの警報を提供する前記段階が、
前記少なくとも1つの警報条件が所定の期間にわたり設定されている時に、前記少なくとも1つの警報条件が前記時間的相関基準を満たすと判断する段階と、
前記少なくとも1つの警報条件が所定数のルータに設定されている時に、前記少なくとも1つの警報条件が前記空間的相関基準を満たすと判断する段階とを含む、請求項40に記載の方法。
【請求項42】
少なくとも1つの警報を提供する前記段階は、前記少なくとも1つの警報条件が、指定した地理的分布を備えた所定数のルータに設定されている時に、前記少なくとも1つの警報条件が前記空間的相関基準を満たすと判断する段階を含む、請求項41に記載の方法。
【請求項43】
少なくとも1つの警報を提供する前記段階が、
値を前記少なくとも1つの警報それぞれに割り当てる段階と、
前記値を時間と共に変化させる処理スキームを、前記値に適用する段階と、
前記少なくとも1つの警報のうち識別されたものを、当該識別された警報の前記値が所定値に達した時に除去する段階とを含む、請求項40に記載の方法。
【請求項44】
処理スキームを適用する前記段階が、時間に基づいて前記値を減少させる段階と、時間に基づいて前記値を維持する段階と、時間に基づいて前記値を増加させる段階との少なくとも1つを含む、請求項43に記載の方法。
【請求項45】
複合警報を得るために、前記少なくとも1つの警報の組を集約する段階を更に含む、請求項40に記載の方法。
【請求項46】
集約する前記段階が、前記少なくとも1つの警報を、ネットワーク・プレフィックス、前記ネットワーク上の自律システム、及び前記ネットワーク上のサブネットワークの少なくとも一つに基づいて組み合わせる段階を含む、請求項40に記載の方法。
【請求項47】
前記少なくとも1つの警報を、ネットワーク・プレフィックスに基づいて組み合わせる前記段階が、
より詳細なプレフィックスのリストと起点自律システム・プレフィックスのリストとの少なくとも一方を、前記ネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成する段階と、
それぞれのリストから選択した前記より詳細なプレフィックスに関する前記少なくとも1つの警報と、前記起点自律システム・プレフィックスに関する前記少なくとも1つの警報とを組み合わせる段階とを含む、請求項46に記載の方法。
【請求項48】
少なくとも1つの警報を設定する前記段階が、
プレフィックスがアドバータイズされた時に、当該プレフィックスの「アドバータイズ済み」条件を高に設定する段階と、
プレフィックスが少なくとも1つの異なる属性を付けてアドバータイズされた時に、当該プレフィックスの「変更済み」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの前記「変更済み」条件を高に設定する段階と、
プレフィックスがより長いASPATH付きでアドバータイズされた時に、当該プレフィックスの「劣化」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの前記「劣化」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの「取り消し済み」条件を高に設定する段階と、
プレフィックスが取り消されており、詳細性がより低いプレフィックスへの経路が存在しない時に、当該プレフィックスの「到達不能」条件を高に設定する段階と、
未許可のより詳細なプレフィックスがアドバータイズされている時に、当該プレフィックスの「分解」条件を高に設定する段階と、
プレフィックスが当該ネットワーク上の未許可自律システムによりアドバータイズされている時に、当該プレフィックスの「起点」条件を高に設定する段階と、
当該ネットワーク上の自律システムが未許可プレフィックスをアドバータイズしている時に、当該プレフィックスの前記「起点」条件を高に設定する段階との少なくとも1つを含む、請求項40に記載の方法。
【請求項1】
コンピュータ可読媒体上に具体的に格納されたコンピュータ・プログラムであって、
複数のネットワーク・ルータから経路指定メッセージデータを収集するためのプロセッサ命令と、
相関データを入手するため、複数ルータ及び時間にわたって前記経路指定メッセージデータを相関するためのプロセッサ命令とを含む、コンピュータ・プログラム。
【請求項2】
前記相関データに基づいて経路指定パターンを得るための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項3】
経路指定メッセージデータを収集するための前記命令が、ボーダーゲートウェイ・プロトコルのメッセージデータを収集するための命令を含む、請求項1に記載のコンピュータ・プログラム。
【請求項4】
当該ネットワークに関する構造情報を収集するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項5】
構造情報を収集するための前記命令が、経路指定レジストリデータとドメイン名サービスデータとの少なくとも一方を収集するための命令を含む、請求項4に記載のコンピュータ・プログラム。
【請求項6】
相関するための前記命令が、前記構造情報を前記経路指定メッセージデータと相関するための命令を含む、請求項5に記載のコンピュータ・プログラム。
【請求項7】
前記経路指定パターンを実時間で前記ネットワークを介してストリーミングするための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項8】
収集するための前記命令が、地理的に多様な地点に位置したルータ間でセッションを確立するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項9】
前記経路指定パターンに基づいて少なくとも1つの警報を提供するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項10】
少なくとも1つの警報を提供するための前記命令が、
ネットワーク・プレフィックスに付いて前記メッセージデータをタイムスタンプ順に処理するための命令と、
各プレフィックスに関する現在のメッセージデータを、当該プレフィックスの以前のメッセージデータと比較して、当該プレフィックスの警報条件の条件状態を特定するための命令と、
前記条件状態と、時間的相関基準及び空間的相関基準のうち少なくとも1つとの比較に基づいて、前記プレフィックスの少なくとも1つの警報を提供するための命令とを含む、請求項9に記載のコンピュータ・プログラム。
【請求項11】
前記警報条件の少なくとも1つが所定の時間にわたって高となっていることを前記条件状態が示した時に、前記状態条件が前記時間的相関基準を満たしていると判断するための命令と、
同一の警報条件が高になっていることを所定数のプレフィックスの条件状態が示した時に、前記条件状態が前記空間的相関基準を満たしている、と判断するための命令とを更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項12】
同一の警報条件が高となっていることを、指定した地理的分布を備えた所定数のプレフィックスの前記条件状態が示した時に、前記条件状態が前記空間的相関基準を満たしていると判断するための命令を更に含む、請求項11に記載のコンピュータ・プログラム。
【請求項13】
少なくとも1つの警報を提供するための前記命令が、
値を前記少なくとも1つの警報に割り当てるための命令と、
時間に基づいて処理スキームを前記値に適用する段階と、
前記少なくとも1つの警報の識別されたものを、当該識別された警報の前記値の所定値との比較に基づいて、除去するための命令とを含む、請求項10に記載のコンピュータ・プログラム。
【請求項14】
複合警報を得るために、前記少なくとも1つの警報の組を集約する命令を更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項15】
前記集約する命令が、前記少なくとも1つの警報を、ネットワーク・プレフィックス、当該ネットワーク上の自律システム、及び当該ネットワーク上のサブネットワークの少なくとも1つに基づいて組み合わせるための命令を含む、請求項14に記載のコンピュータ・プログラム。
【請求項16】
ネットワーク・プレフィックスに基づいて前記少なくとも1つの警報を組み合わせるための命令が、
より詳細なプレフィックスのリストと起点自律システム・プレフィックスのリストとの一方を、前記ネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成するための命令と、
それぞれのリストから選択した前記より詳細なプレフィックスに関する前記少なくとも1つの警報と、前記起点自律システム・プレフィックスに関する前記少なくとも1つの警報とを組み合わせるための命令とを含む、請求項15に記載のコンピュータ・プログラム。
【請求項17】
ユーザに前記少なくとも1つの警報のグラフを表示するための命令を更に含む、請求項10に記載のコンピュータ・プログラム。
【請求項18】
経路指定パターンを得るための前記命令が、前記相関データの少なくとも一つの時系列を処理するための命令を含む、請求項2に記載のコンピュータ・プログラム。
【請求項19】
少なくとも一つの時系列を処理するための前記命令が、前記少なくとも1つの時系列の選択した部分にわたる、類似パターンのメッセージデータを備えたルータに対応した前記相関データ内の特徴を検出するための命令を含む、請求項18に記載のコンピュータ・プログラム。
【請求項20】
特徴を検出するための前記命令は、前記経路指定メッセージデータが閾値数のプレフィックスを上回ったのを示したことを、前記各ルータに関する相関データが示した時を特定するための命令を含む、請求項19に記載のコンピュータ・プログラム。
【請求項21】
前記特徴の前記相関データに対応した、前記ネットワーク上のサブネットワークと自律システムとの少なくとも一方を識別するための命令を更に含む、請求項20に記載のコンピュータ・プログラム。
【請求項22】
前記少なくとも1つの時系列の前記選択部分の時間スケールを変化させるための命令を更に含む、請求項19に記載のコンピュータ・プログラム。
【請求項23】
処理するための前記命令が、特徴検出、相関、及びクラスタ化を含む信号処理技法のリストから取られた処理技法を適用するための命令を含む、請求項18に記載のコンピュータ・プログラム。
【請求項24】
前記経路指定メッセージデータと前記相関データとの少なくとも一方のグラフをユーザに表示するための命令を更に含む、請求項1に記載のコンピュータ・プログラム。
【請求項25】
表示するための前記命令が、
ユーザ照会を前記グラフ表示に基づいて対話的に処理するための命令と、
前記経路指定メッセージデータ及び前記相関データのうち、前記照会に一致するデータを前記ユーザに表示するための命令とを含む、請求項24に記載のコンピュータ・プログラム。
【請求項26】
表示するための前記命令が、前記グラフ表示及びその関連づけられた経路指定データに対応したレコードを生成するための命令を含み、当該レコードを読み出すと前記関連付けられた経路指定データに従って前記グラフ表示が生成される、請求項24に記載のコンピュータ・プログラム。
【請求項27】
前記レコードが、拡張マーク付け言語(XML)レコードである、請求項26に記載のコンピュータ・プログラム。
【請求項28】
複数のネットワーク・ルータから経路指定データを収集する段階と、
ネットワークデータを入手するため、ルータ及び時間にわたって前記経路指定データを相関する段階とを含む、方法。
【請求項29】
前記ネットワークデータをユーザに当該ネットワークを介してストリーミングする段階を更に含む、請求項28に記載の方法。
【請求項30】
前記経路指定データを相関する前記段階が、少なくとも1つネットワーク・メトリックを特定する段階を含み、当該少なくとも1つのネットワーク・メトリックが、グローバルに到達可能なネットワーク・プレフィックスのメトリックと、前記ネットワークの全経路指定メッセージ・トラフィックを示す強度メトリックと、到達不能なネットワーク・メトリックと、経路不安定性メトリックと、経路不安定性の評価点分布メトリックとを含む、請求項28に記載の方法。
【請求項31】
前記グローバルに到達可能なネットワーク・プレフィックスのメトリックを特定する前記段階が、所定の時間フレームにわたるデフォルトフリーの経路指定テーブルのサイズを特定する段階を含む、請求項30に記載の方法。
【請求項32】
前記グローバルに到達可能なネットワーク・プレフィックスが、接続性喪失及び劣化イベント並びに前記ネットワークのサイズの変動を表す、請求項30に記載の方法。
【請求項33】
前記強度メトリックを特定する前記段階が、全経路通知メッセージ・トラフィック及び全取り消しメッセージ・トラフィックを特定する段階を含む、請求項30に記載の方法。
【請求項34】
前記到達不能なネットワーク・メトリックを特定する前記段階が、一時的に到達不能と推測されるサブネットワークの数を追跡する段階を含み、この段階は、予想レベルのサブネットワーク到着及び退去を補正するためにそれ以前の到達性にも随意選択で依存する、請求項30に記載の方法。
【請求項35】
前記経路不安定性メトリックを特定する前記段階が、
不安定性評価点を各プレフィックスに適用する段階と、
時間tの経過と共に各プレフィックスへの経路の前記不安定性評価点を累計的に計算する段階と、
経路が安定化した後に、前記不安定性評価点を抑制する段階とを含む、請求項30に記載の方法。
【請求項36】
前記経路不安定性の評価点の分散メトリックを特定する前記段階が、重大度及びプレフィックスのサイズに従って経路不安定性の内訳を表す一組のベクトル・メトリックを特定する段階を含む、請求項30に記載の方法。
【請求項37】
異なる時間スケールにわたって、類似パターンのネットワーク・メトリックを備えたルータに対応した前記ネットワークデータにおける特徴を検出する段階を更に含む、請求項30に記載の方法。
【請求項38】
特徴を検出する前記段階は、幾つかのプレフィックスが少なくとも1つのメトリックに関して閾値数のプレフィックスを上回ったことを、前記ルータのそれぞれに関する前記ネットワークデータが示す時を特定する段階を含む、請求項37に記載の方法。
【請求項39】
前記特徴の前記ネットワークデータに関連付けられたプレフィックスに一致したサブネットワークと自律システムとの少なくとも一方を識別する段階を更に含む、請求項38に記載の方法。
【請求項40】
ネットワークにおける複数のルータに関して、ボーダーゲートウェイ・プロトコル(BGP)「更新」メッセージを、当該BGP「更新」メッセージにおいて識別された各ネットワーク・プレフィックスに付いて、タイムスタンプ順に処理する段階と、
受信した現在のメッセージと受信した以前のメッセージの比較に基づいて、各ネットワーク・プレフィックスに関して少なくとも1つの警報条件を設定する段階と、
前記少なくとも1つの警報条件を時間及びルータにわたって相関する段階と、
前記少なくとも1つの警報条件と、時間的相関基準と空間的相関基準とのうち少なくとも一方との比較に基づいて、ネットワーク・プレフィックスの少なくとも1つの警報を提供する段階とを含む、方法。
【請求項41】
少なくとも1つの警報を提供する前記段階が、
前記少なくとも1つの警報条件が所定の期間にわたり設定されている時に、前記少なくとも1つの警報条件が前記時間的相関基準を満たすと判断する段階と、
前記少なくとも1つの警報条件が所定数のルータに設定されている時に、前記少なくとも1つの警報条件が前記空間的相関基準を満たすと判断する段階とを含む、請求項40に記載の方法。
【請求項42】
少なくとも1つの警報を提供する前記段階は、前記少なくとも1つの警報条件が、指定した地理的分布を備えた所定数のルータに設定されている時に、前記少なくとも1つの警報条件が前記空間的相関基準を満たすと判断する段階を含む、請求項41に記載の方法。
【請求項43】
少なくとも1つの警報を提供する前記段階が、
値を前記少なくとも1つの警報それぞれに割り当てる段階と、
前記値を時間と共に変化させる処理スキームを、前記値に適用する段階と、
前記少なくとも1つの警報のうち識別されたものを、当該識別された警報の前記値が所定値に達した時に除去する段階とを含む、請求項40に記載の方法。
【請求項44】
処理スキームを適用する前記段階が、時間に基づいて前記値を減少させる段階と、時間に基づいて前記値を維持する段階と、時間に基づいて前記値を増加させる段階との少なくとも1つを含む、請求項43に記載の方法。
【請求項45】
複合警報を得るために、前記少なくとも1つの警報の組を集約する段階を更に含む、請求項40に記載の方法。
【請求項46】
集約する前記段階が、前記少なくとも1つの警報を、ネットワーク・プレフィックス、前記ネットワーク上の自律システム、及び前記ネットワーク上のサブネットワークの少なくとも一つに基づいて組み合わせる段階を含む、請求項40に記載の方法。
【請求項47】
前記少なくとも1つの警報を、ネットワーク・プレフィックスに基づいて組み合わせる前記段階が、
より詳細なプレフィックスのリストと起点自律システム・プレフィックスのリストとの少なくとも一方を、前記ネットワーク・プレフィックスの経路指定メッセージデータに基づいて生成する段階と、
それぞれのリストから選択した前記より詳細なプレフィックスに関する前記少なくとも1つの警報と、前記起点自律システム・プレフィックスに関する前記少なくとも1つの警報とを組み合わせる段階とを含む、請求項46に記載の方法。
【請求項48】
少なくとも1つの警報を設定する前記段階が、
プレフィックスがアドバータイズされた時に、当該プレフィックスの「アドバータイズ済み」条件を高に設定する段階と、
プレフィックスが少なくとも1つの異なる属性を付けてアドバータイズされた時に、当該プレフィックスの「変更済み」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの前記「変更済み」条件を高に設定する段階と、
プレフィックスがより長いASPATH付きでアドバータイズされた時に、当該プレフィックスの「劣化」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの前記「劣化」条件を高に設定する段階と、
プレフィックスが取り消された時に、当該プレフィックスの「取り消し済み」条件を高に設定する段階と、
プレフィックスが取り消されており、詳細性がより低いプレフィックスへの経路が存在しない時に、当該プレフィックスの「到達不能」条件を高に設定する段階と、
未許可のより詳細なプレフィックスがアドバータイズされている時に、当該プレフィックスの「分解」条件を高に設定する段階と、
プレフィックスが当該ネットワーク上の未許可自律システムによりアドバータイズされている時に、当該プレフィックスの「起点」条件を高に設定する段階と、
当該ネットワーク上の自律システムが未許可プレフィックスをアドバータイズしている時に、当該プレフィックスの前記「起点」条件を高に設定する段階との少なくとも1つを含む、請求項40に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2007−525047(P2007−525047A)
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−507307(P2006−507307)
【出願日】平成16年3月18日(2004.3.18)
【国際出願番号】PCT/US2004/008263
【国際公開番号】WO2004/084038
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(505350215)レネシス コーポレーション (1)
【氏名又は名称原語表記】RENESYS CORPORATION
【住所又は居所原語表記】35 South Main Street, Hanover,NH 03750 (US).
【Fターム(参考)】
【公表日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成16年3月18日(2004.3.18)
【国際出願番号】PCT/US2004/008263
【国際公開番号】WO2004/084038
【国際公開日】平成16年9月30日(2004.9.30)
【出願人】(505350215)レネシス コーポレーション (1)
【氏名又は名称原語表記】RENESYS CORPORATION
【住所又は居所原語表記】35 South Main Street, Hanover,NH 03750 (US).
【Fターム(参考)】
[ Back to top ]