経路監視装置、経路監視方法及び経路監視プログラム
【課題】広告されている経路情報の変動を検出するとともに、正規に割り当てられている経路以外の経路情報の広告を検出することを課題とする。
【解決手段】経路監視装置は、ネットワーク機器から経路情報を受信する。また、経路監視装置は、受信した経路情報が削除対象であっても削除することなく、全経路情報に削除対象であることを示す削除フラグを付与する。また、経路監視装置は、受信した経路情報が更新対象である場合に、該経路情報と、IPアドレスのプレフィックスに一致する既存の経路情報とを比較して、経路情報の変動を検出する。また、経路監視装置は、経路情報の変動が検出されると、該経路情報のAS番号と、IPアドレスのプレフィックスに一致する正規の経路情報のAS番号とを照合し、不一致であれば異常であると判定する。
【解決手段】経路監視装置は、ネットワーク機器から経路情報を受信する。また、経路監視装置は、受信した経路情報が削除対象であっても削除することなく、全経路情報に削除対象であることを示す削除フラグを付与する。また、経路監視装置は、受信した経路情報が更新対象である場合に、該経路情報と、IPアドレスのプレフィックスに一致する既存の経路情報とを比較して、経路情報の変動を検出する。また、経路監視装置は、経路情報の変動が検出されると、該経路情報のAS番号と、IPアドレスのプレフィックスに一致する正規の経路情報のAS番号とを照合し、不一致であれば異常であると判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、経路監視装置、経路監視方法及び経路監視プログラムに関する。
【背景技術】
【0002】
一般に、IP(Internet Protocol)ネットワークは、プロバイダ等の単一組織による管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)毎に分けられる。このようなAS間でのルーティングは、一つの様態として、EGP(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルによって行なわれる。かかるEGPとしては、例えば、AS間の経路制御を行なうBGP(Border Gateway Protocol)がある。
【0003】
そして、BGPが適用されるIPネットワークでは、AS間によってBGPメッセージが送受されることにより、AS間を流れるパケットの経路が決定され、AS間の通信が可能になる。すなわち、AS間の通信は、BGPメッセージが正常に伝搬されていないと、安定したネットワーク通信を実現できない可能性がある。安定したネットワーク通信の実現を目的として、AS間で送受されるBGPメッセージ等の経路情報の広告が正常に伝搬されているかを監視するために、従来では、各ASにエージェントを設置して経路情報を観測する技術がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−243422号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、広告されている経路情報の変動を検出することができないとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができないという問題がある。具体的には、ASを保持するプロバイダ等によっては経路情報を公開できない場合があり、かかる場合に、自己のASとは異なる他のAS内のエージェントによって観測された経路情報を、自己のASのエージェントが利用することができない。また、自己のASは保持しているものの未広告である経路情報に対して、自己のASとは異なる他のASが広告した場合に検出することは困難である。
【0006】
そこで、本発明は、上記に鑑みてなされたものであって、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能である経路監視装置、経路監視方法及び経路監視プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するため、本発明に係る経路監視装置は、ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信部と、前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部とを有する。
【発明の効果】
【0008】
本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの一つの様態によれば、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能であるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。
【図2】図2は、実施例1に係る経路監視装置の構成例を示す図である。
【図3】図3は、経路情報の属性の例を示す図である。
【図4】図4は、全経路情報の例を示す図である。
【図5】図5は、経路情報照合処理の例を示す図である。
【図6】図6は、経路情報照合処理の例を示す図である。
【図7】図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。
【図8】図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0010】
以下に添付図面を参照して、本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。
【実施例1】
【0011】
[ネットワーク構成]
図1を用いて、実施例1に係る経路監視装置が適用されるネットワークの構成について説明する。図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。
【0012】
例えば、図1に示すように、実施例1におけるネットワークには、AS10〜AS30が含まれる。AS10には、実施例1に係る経路監視装置100と、ルータ11と、ルータ12と、端末13とが含まれる。また、AS20には、ルータ21が含まれる。また、AS30には、ルータ31と、Webサーバ32とが含まれる。
【0013】
ルータ11は、ルータ12と、ルータ31と、経路監視装置100とに接続され、AS間の通信経路を示す経路情報を送受する。かかる経路情報は、例えば、BGPメッセージである。また、ルータ12は、ルータ11と、ルータ21と、端末13と、経路監視装置100とに接続され、ルータ11、ルータ21又は経路監視装置100との間で経路情報を送受する。このように、各AS内に配置されるルータ間の接続により、各ASが相互に接続される。具体的には、図1において、AS10は、AS20及びAS30と相互に接続され、AS20は、AS10と相互に接続され、AS30は、AS10と相互に接続されている。なお、ASやルータの数は、図示のものに限られるわけではない。
【0014】
端末13は、AS10内に形成されるローカルネットワークN1に配置される。かかる端末13は、ルータ12を介して、他の端末やサーバとの間でパケットを送受する。Webサーバ32は、AS30内に配置され、例えば、端末13からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末13に送信する。経路監視装置100は、ネットワークに接続されるAS間の経路情報を監視する。かかる経路監視装置100による処理については後述する。
【0015】
[経路監視装置の構成]
次に、図2を用いて、実施例1に係る経路監視装置100の構成を説明する。図2は、実施例1に係る経路監視装置100の構成例を示す図である。
【0016】
例えば、図2に示すように、経路監視装置100は、記憶部110と制御部120とを有し、ネットワークに接続されるAS間の経路情報を監視する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。かかる記憶部110には、正規経路情報記憶部111が含まれる。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
【0017】
正規経路情報記憶部111は、例えば、インターネット、ルーティング又はレジストリ等で正規に割り当てられた経路情報を記憶する。かかる正規経路情報記憶部111によって記憶される経路情報は、一つの様態として、任意の契機で経路監視装置100によって受信されて登録される。
【0018】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部120には、経路情報受信部121と、経路情報収集部122と、経路変動検出部123と、経路情報照合部124と、経路情報表示部125と、経路情報通知部126とが含まれる。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。
【0019】
経路情報受信部121は、例えば、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する。ここで、図3を用いて、経路情報について説明する。図3は、経路情報の属性の例を示す図である。例えば、図3に示すように、経路情報には、メッセージ発生日時と、メッセージタイプ(アップデート,削除)と、対向ルータと、自AS番号と、プレフィックスと、ASパスと、生成元AS番号と、隣接AS番号と、次ホップアドレスと、コミュニティとが含まれる。
【0020】
メッセージ発生日時とは、ネットワークで送受される経路情報のメッセージが発生した日時を示す情報である。メッセージタイプ(アップデート,削除)とは、経路情報の更新(追加)又は削除を示す情報である。対向ルータとは、経路情報を送信したルータを識別するための情報である。自AS番号とは、自己の経路監視装置を含むASを識別するための情報である。プレフィックスとは、経路情報の送信先IPアドレスを示す情報である。
【0021】
また、ASパスとは、経路情報の送受で経由したASの経路を示す情報である。生成元AS番号とは、ASパスから抽出できる情報であり、経路情報の生成元であるASを識別するための識別番号を示す情報である。隣接AS番号とは、ASパスから抽出できる情報であり、経路監視装置100を含むASに隣接するASを識別するための識別番号を示す情報である。次ホップアドレスとは、経路情報を送信先へ送信するときに、次に中継するルータのIPアドレスを示す情報である。コミュニティとは、「経路情報を外部のAS又は他のルータに広告しない」等の経路情報を取り扱うときのポリシーを示す情報である。
【0022】
これらのうち、経路情報受信部121は、例えば、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、対向ルータ毎且つ時系列毎に、記憶部110に含まれる経路情報記憶部(図示せず)に蓄積していく。図1の例では、経路情報受信部121は、ルータ11から受信した経路情報について、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、ルータ11を識別するための情報とタイムスタンプとを付与して経路情報記憶部に登録する。なお、経路情報受信部121は、ルータ12から受信した経路情報についても同様に処理する。
【0023】
具体的に例を挙げると、経路情報受信部121は、プレフィックスが「192.168.1.1」、ASパスが「2」、コミュニティが「2:65000」、次ホップアドレスが「192.168.1.1」であり、ルータ31によって生成されたアップデート対象の経路情報をルータ11から受信した場合に、「ルータ11,タイムスタンプ,192.168.0.0/24,2,2:65000,192.168.1.1,Update」の情報を経路情報記憶部に登録する。一方、削除対象の経路情報である場合に、経路情報受信部121は、「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」の情報を経路情報記憶部に登録する。
【0024】
また、経路情報受信部121は、例えば、受信した経路情報に基づいて、AS間の全ての通信経路を示す全経路情報についても、記憶部110に含まれる全経路情報記憶部(図示せず)に蓄積していく。一つの様態として、経路情報受信部121は、1時間等の一定時間ごとに全経路情報記憶部に登録する。
【0025】
ここで、図4を用いて、全経路情報について説明する。図4は、全経路情報の例を示す図である。例えば、図4に示すように、全経路情報には、ルータ名と、タイムスタンプと、プレフィックスと、ASパスと、コミュニティと、次ホップアドレスと、Update/Withdrawとが含まれる。これらのデータ例としては、ルータ名「ルータ11」、タイムスタンプ「2011−03−28 12:34:56」、プレフィックス「192.168.0.0/24」、ASパス「2」、コミュニティ「2:65000」、次ホップアドレス「192.168.1.1」、Update/Withdraw「Update」となる。
【0026】
これらのうち、経路情報受信部121は、例えば、「ルータ11,タイムスタンプ」の後に、経路情報「192.168.0.0/24,2,2:65000,192.168.1.1」や「192.168.1.0/24,2:65001,192.168.1.1」等の情報を全経路情報記憶部に登録する。
【0027】
経路情報収集部122は、例えば、経路情報受信部121によって受信された経路情報
を収集し、プレフィックス、生成元AS番号、隣接AS番号、ASパス、コミュニティ、次ホップアドレスの経路情報について、アップデート対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部を更新する。また、経路情報収集部122は、例えば、収集した経路情報が削除対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部に削除対象であることを示す削除フラグを付与する。
【0028】
削除フラグの付与について例を挙げると、経路情報収集部122は、経路情報受信部121から「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」である削除対象の経路情報を収集した場合に、プレフィックス「192.168.0.0/24」を保持する経路情報を全経路情報記憶部から検索し、「ルータ11,タイムスタンプ、192.168.0.0/24,2,2:65000,192.168.1.1,Withdraw」のように、経路情報を補完する。
【0029】
ここで、経路情報収集部122は、経路情報の検索時に、一部でもIPアドレス空間が重なる既存の経路情報を検索結果とする。具体的には、経路情報収集部122は、「192.168.0.0/24」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/24」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/24」の生成元AS番号等の経路情報と、「192.168.0.0/22」の生成元AS番号等の経路情報を比較した経路情報の不一致の検出に利用できる。
【0030】
同様に、経路情報収集部122は、「192.168.0.0/20」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/20」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/22」の生成元AS番号等の経路情報と、「192.168.0.0/20」の生成元AS番号等の経路情報とを比較した経路情報の不一致の検出に利用できる。
【0031】
かかる経路情報は、一つの様態として、Patricia Trie等のツリーを構成するデータ構造を用いて、経路のプロトコルに従って経路情報に優先度をつけて保持しても良い。なお、経路情報収集部122は、経路情報受信部121から全経路情報を収集した場合には、全経路情報記憶部を再構成する。
【0032】
経路変動検出部123は、例えば、経路情報収集部122によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレス空間と重なる既存の経路情報を全経路情報記憶部から抽出する。そして、経路変動検出部123は、抽出した既存の経路情報と更新対象の経路情報との、隣接AS番号、生成元AS番号、ASパス、コミュニティ、次ホップアドレスを比較する。このとき、経路変動検出部123は、双方の経路情報が異なる場合に、該当する既存の経路情報と更新対象の経路情報とを、アラート情報として経路情報通知部126に通知する。また、経路変動検出部123は、既存の経路情報が存在しないとき、アラートの要因が生成元AS番号の変動であるときには、経路情報照合部124にも通知する。
【0033】
例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/24」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。
【0034】
このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/24,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス:192.168.0.0/22,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも長いため、「192.168.0.0/24」宛てのIPパケットは、既存の経路情報のAS30ではなく、更新対象の経路情報のAS20に向かって送信される。これは、経路のルーティングにおいては、プレフィックス長の長いプレフィックスが優先的に選択されるためである。
【0035】
他の例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/24」及び「192.168.1.0/24」、生成元AS番号がいずれも「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。
【0036】
このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/22,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス1:192.168.0.0/24,既存経路の生成元AS番号1:AS30,既存経路のプレフィックス2:192.168.1.0/24,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも短いため、「192.168.0.0/24」及び「192.168.1.0/24」宛てのIPパケットは、既存の経路情報のAS30に向かって送信され、既存経路に対する影響はない。但し、「192.168.2.0/23」の経路が有効になり、「192.168.2.0/23」宛てのIPパケットは、更新対象の経路情報のAS20に向かって送信される。
【0037】
また、経路変動検出部123は、例えば、生成元AS番号変動のアラート対象となる経路情報(プレフィックス、生成元AS番号)について、経路情報が削除された場合でも、生成元AS番号変動の経路削除アラートとして、削除経路のプレフィックス、生成元AS番号の経路情報を経路情報照合部124と経路情報通知部126とに送信する。また、生成元AS番号の変動以外のアラートとしては、例えば、隣接AS番号変動、ASパス変動、コミュニティ変動、次ホップアドレス変動等が生成される。これらにより、経路変動検出部123は、広告されていて受信している経路情報に対する変動を検出する。
【0038】
経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号変動のアラート情報を受信した場合に、受信したアラート情報に含まれる更新対象経路のプレフィックス又は既存経路のプレフィックスに、一部でもIPアドレス空間が重なる経路情報(プレフィックス、AS番号)を正規経路情報記憶部111から抽出する。そして、経路情報照合部124は、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0039】
図5は、経路情報照合処理の例を示す図である。図5では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/24」、生成元AS番号が「5」である場合を例に挙げる。なお、図5における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。
【0040】
このとき、経路情報照合部124は、受信経路情報のIPアドレス空間が正規経路情報のIPアドレス空間に含まれ、受信経路情報のIPアドレス空間を含む正規経路情報のうち、最もプレフィックス長が長いプレフィックス「192.168.0.0/22」のAS番号「2」と、受信経路情報のプレフィックス「192.168.0.0/24」の生成元AS番号「5」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。
【0041】
また、経路情報照合部124は、抽出した全ての正規経路情報(プレフィックス、AS番号)のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、全ての正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0042】
図6は、経路情報照合処理の例を示す図である。図6では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/18」、生成元AS番号が「6」である場合を例に挙げる。なお、図6における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。
【0043】
このとき、経路情報照合部124は、受信経路情報のIPアドレス空間を正規経路情報のプレフィックス「192.168.0.0/22」のAS番号「2」、並びに、プレフィックス「192.168.0.0/20」のAS番号「3」と、受信経路情報のプレフィックス「192.168.0.0/18」の生成元AS番号「6」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。
【0044】
また、経路情報照合部124は、例えば、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とが一致し、且つ、既存の経路情報のプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、既存の経路情報の生成元AS番号とが異なる場合に、異常生成元AS終了のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、既存の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0045】
また、経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号の経路変動による削除アラートを受信した場合に、アラートのプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラートの生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号の終了アラートとして、生成元AS番号の経路変動による削除アラートの経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0046】
経路情報表示部125は、例えば、経路監視装置100の利用者によって所定操作がなされた場合に、経路情報収集部122、経路変動検出部123、経路情報照合部124、経路情報通知部126に保持される情報を取得し、ディスプレイやモニタ等の表示装置に表示出力する。
【0047】
経路情報通知部126は、例えば、経路変動検出部123、経路情報照合部124から受信したアラートを経路情報表示部125に通知するとともに、アラートのうち、経路監視装置100の利用者によって外部装置への送信が許可されているアラート情報を、予め設定された外部装置に対して送信する。また、経路情報通知部126は、外部装置からアラートを受信した場合に、経路情報表示部125に通知する。これにより、他のASで伝搬している自己の経路監視装置100を含むASの経路情報に対するアラートを認識することができる。
【0048】
[実施例1に係る経路監視処理]
次に、図7を用いて、実施例1に係る経路監視処理の流れを説明する。図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。
【0049】
例えば、図7に示すように、経路監視装置100は、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する(ステップS101)。そして、経路監視装置100は、受信した経路情報に基づいて、全経路情報記憶部に対し、更新又は削除フラグを付与する(ステップS102)。
【0050】
続いて、経路監視装置100は、受信した経路情報が更新対象であるか否かを判定する(ステップS103)。このとき、経路監視装置100は、経路情報が更新対象である場合に(ステップS103肯定)、既存の経路情報と受信した経路情報とを比較して、経路情報の変動を検出する(ステップS104)。一方、経路監視装置100は、経路情報が更新対象でない場合に(ステップS103否定)、処理を終了する。
【0051】
その後、経路監視装置100は、生成元AS番号変動のアラート情報が検出されたか否かを判定する(ステップS105)。このとき、経路監視装置100は、生成元AS番号変動のアラート情報が検出された場合に(ステップS105肯定)、対象のAS番号と正規経路情報のAS番号とを照合し、不一致であるときに異常であると判定する(ステップS106)。一方、経路監視装置100は、生成元AS番号変動のアラート情報が検出されない場合に(ステップS105否定)、処理を終了する。
【0052】
[実施例1による効果]
上述したように、経路監視装置100は、例えば、受信した経路情報が削除対象であっても削除することなく全経路情報に削除フラグを付与し、更新対象の経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を全経路情報から抽出して、更新対象の経路情報と抽出した既存の経路情報とを比較して経路情報の変動を検出し、経路情報の変動が検出された経路情報のIPアドレスに一致する経路情報を、正規経路情報から抽出して、変動が検出された経路情報のAS番号と、抽出した正規経路情報のAS番号とが不一致である場合に異常であると判定する。これらの結果、経路監視装置100は、広告されている経路情報の変動を検出することができるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができる。
【実施例2】
【0053】
さて、これまで本発明に係る経路監視装置の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)構成、(2)プログラム、において異なる実施例を説明する。
【0054】
(1)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報については、特記する場合を除いて任意に変更することができる。例えば、上記実施例では、経路情報受信部121〜経路情報通知部126までを含む経路監視装置100を説明したが、経路情報受信部121〜経路変動検出部123までを含む、経路情報の変動を検出する経路監視装置としても良い。
【0055】
また、図示した経路監視装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。例えば、経路情報受信部121と経路情報収集部122とを、受信した経路情報の蓄積と全経路情報の蓄積及び更新とを行なう「経路情報処理部」として統合しても良い。
【0056】
また、経路監視装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0057】
(2)プログラム
図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0058】
メモリ1001は、図8に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図8に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図8に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図8に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図8に例示するように、例えばディスプレイ1013に接続される。
【0059】
ここで、図8に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係る経路監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した経路情報受信部121と同様の処理を実行する経路情報受信手順と、経路情報収集部122と同様の処理を実行する経路情報収集手順と、経路変動検出部123と同様の処理を実行する経路変動検出手順と、経路情報照合部124と同様の処理を実行する経路情報照合手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明した正規経路情報記憶部111に記憶されるデータのように、経路監視プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、経路情報受信手順、経路情報収集手順、経路変動検出手順、経路情報照合手順を実行する。
【0060】
なお、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0061】
100 経路監視装置
110 記憶部
111 正規経路情報記憶部
120 制御部
121 経路情報受信部
122 経路情報収集部
123 経路変動検出部
124 経路情報照合部
125 経路情報表示部
126 経路情報通知部
【技術分野】
【0001】
本発明は、経路監視装置、経路監視方法及び経路監視プログラムに関する。
【背景技術】
【0002】
一般に、IP(Internet Protocol)ネットワークは、プロバイダ等の単一組織による管理下において運用されるネットワークの集合であるAS(Autonomous System:自律システム)毎に分けられる。このようなAS間でのルーティングは、一つの様態として、EGP(Exterior Gateway Protocol)と呼ばれるルーティングプロトコルによって行なわれる。かかるEGPとしては、例えば、AS間の経路制御を行なうBGP(Border Gateway Protocol)がある。
【0003】
そして、BGPが適用されるIPネットワークでは、AS間によってBGPメッセージが送受されることにより、AS間を流れるパケットの経路が決定され、AS間の通信が可能になる。すなわち、AS間の通信は、BGPメッセージが正常に伝搬されていないと、安定したネットワーク通信を実現できない可能性がある。安定したネットワーク通信の実現を目的として、AS間で送受されるBGPメッセージ等の経路情報の広告が正常に伝搬されているかを監視するために、従来では、各ASにエージェントを設置して経路情報を観測する技術がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開平11−243422号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来技術では、広告されている経路情報の変動を検出することができないとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができないという問題がある。具体的には、ASを保持するプロバイダ等によっては経路情報を公開できない場合があり、かかる場合に、自己のASとは異なる他のAS内のエージェントによって観測された経路情報を、自己のASのエージェントが利用することができない。また、自己のASは保持しているものの未広告である経路情報に対して、自己のASとは異なる他のASが広告した場合に検出することは困難である。
【0006】
そこで、本発明は、上記に鑑みてなされたものであって、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能である経路監視装置、経路監視方法及び経路監視プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するため、本発明に係る経路監視装置は、ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信部と、前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部とを有する。
【発明の効果】
【0008】
本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの一つの様態によれば、広告されている経路情報の変動を検出することが可能であるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することが可能であるという効果を奏する。
【図面の簡単な説明】
【0009】
【図1】図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。
【図2】図2は、実施例1に係る経路監視装置の構成例を示す図である。
【図3】図3は、経路情報の属性の例を示す図である。
【図4】図4は、全経路情報の例を示す図である。
【図5】図5は、経路情報照合処理の例を示す図である。
【図6】図6は、経路情報照合処理の例を示す図である。
【図7】図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。
【図8】図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。
【発明を実施するための形態】
【0010】
以下に添付図面を参照して、本発明に係る経路監視装置、経路監視方法及び経路監視プログラムの実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。
【実施例1】
【0011】
[ネットワーク構成]
図1を用いて、実施例1に係る経路監視装置が適用されるネットワークの構成について説明する。図1は、実施例1に係る経路監視装置が適用されるネットワークの構成例を示す図である。
【0012】
例えば、図1に示すように、実施例1におけるネットワークには、AS10〜AS30が含まれる。AS10には、実施例1に係る経路監視装置100と、ルータ11と、ルータ12と、端末13とが含まれる。また、AS20には、ルータ21が含まれる。また、AS30には、ルータ31と、Webサーバ32とが含まれる。
【0013】
ルータ11は、ルータ12と、ルータ31と、経路監視装置100とに接続され、AS間の通信経路を示す経路情報を送受する。かかる経路情報は、例えば、BGPメッセージである。また、ルータ12は、ルータ11と、ルータ21と、端末13と、経路監視装置100とに接続され、ルータ11、ルータ21又は経路監視装置100との間で経路情報を送受する。このように、各AS内に配置されるルータ間の接続により、各ASが相互に接続される。具体的には、図1において、AS10は、AS20及びAS30と相互に接続され、AS20は、AS10と相互に接続され、AS30は、AS10と相互に接続されている。なお、ASやルータの数は、図示のものに限られるわけではない。
【0014】
端末13は、AS10内に形成されるローカルネットワークN1に配置される。かかる端末13は、ルータ12を介して、他の端末やサーバとの間でパケットを送受する。Webサーバ32は、AS30内に配置され、例えば、端末13からアクセスされた場合に、HTML(HyperText Markup Language)文書等を端末13に送信する。経路監視装置100は、ネットワークに接続されるAS間の経路情報を監視する。かかる経路監視装置100による処理については後述する。
【0015】
[経路監視装置の構成]
次に、図2を用いて、実施例1に係る経路監視装置100の構成を説明する。図2は、実施例1に係る経路監視装置100の構成例を示す図である。
【0016】
例えば、図2に示すように、経路監視装置100は、記憶部110と制御部120とを有し、ネットワークに接続されるAS間の経路情報を監視する。記憶部110は、例えば、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶する。かかる記憶部110には、正規経路情報記憶部111が含まれる。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
【0017】
正規経路情報記憶部111は、例えば、インターネット、ルーティング又はレジストリ等で正規に割り当てられた経路情報を記憶する。かかる正規経路情報記憶部111によって記憶される経路情報は、一つの様態として、任意の契機で経路監視装置100によって受信されて登録される。
【0018】
制御部120は、例えば、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有する。かかる制御部120には、経路情報受信部121と、経路情報収集部122と、経路変動検出部123と、経路情報照合部124と、経路情報表示部125と、経路情報通知部126とが含まれる。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又はCPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。
【0019】
経路情報受信部121は、例えば、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する。ここで、図3を用いて、経路情報について説明する。図3は、経路情報の属性の例を示す図である。例えば、図3に示すように、経路情報には、メッセージ発生日時と、メッセージタイプ(アップデート,削除)と、対向ルータと、自AS番号と、プレフィックスと、ASパスと、生成元AS番号と、隣接AS番号と、次ホップアドレスと、コミュニティとが含まれる。
【0020】
メッセージ発生日時とは、ネットワークで送受される経路情報のメッセージが発生した日時を示す情報である。メッセージタイプ(アップデート,削除)とは、経路情報の更新(追加)又は削除を示す情報である。対向ルータとは、経路情報を送信したルータを識別するための情報である。自AS番号とは、自己の経路監視装置を含むASを識別するための情報である。プレフィックスとは、経路情報の送信先IPアドレスを示す情報である。
【0021】
また、ASパスとは、経路情報の送受で経由したASの経路を示す情報である。生成元AS番号とは、ASパスから抽出できる情報であり、経路情報の生成元であるASを識別するための識別番号を示す情報である。隣接AS番号とは、ASパスから抽出できる情報であり、経路監視装置100を含むASに隣接するASを識別するための識別番号を示す情報である。次ホップアドレスとは、経路情報を送信先へ送信するときに、次に中継するルータのIPアドレスを示す情報である。コミュニティとは、「経路情報を外部のAS又は他のルータに広告しない」等の経路情報を取り扱うときのポリシーを示す情報である。
【0022】
これらのうち、経路情報受信部121は、例えば、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、対向ルータ毎且つ時系列毎に、記憶部110に含まれる経路情報記憶部(図示せず)に蓄積していく。図1の例では、経路情報受信部121は、ルータ11から受信した経路情報について、プレフィックス、ASパス、コミュニティ、次ホップアドレスを取得し、ルータ11を識別するための情報とタイムスタンプとを付与して経路情報記憶部に登録する。なお、経路情報受信部121は、ルータ12から受信した経路情報についても同様に処理する。
【0023】
具体的に例を挙げると、経路情報受信部121は、プレフィックスが「192.168.1.1」、ASパスが「2」、コミュニティが「2:65000」、次ホップアドレスが「192.168.1.1」であり、ルータ31によって生成されたアップデート対象の経路情報をルータ11から受信した場合に、「ルータ11,タイムスタンプ,192.168.0.0/24,2,2:65000,192.168.1.1,Update」の情報を経路情報記憶部に登録する。一方、削除対象の経路情報である場合に、経路情報受信部121は、「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」の情報を経路情報記憶部に登録する。
【0024】
また、経路情報受信部121は、例えば、受信した経路情報に基づいて、AS間の全ての通信経路を示す全経路情報についても、記憶部110に含まれる全経路情報記憶部(図示せず)に蓄積していく。一つの様態として、経路情報受信部121は、1時間等の一定時間ごとに全経路情報記憶部に登録する。
【0025】
ここで、図4を用いて、全経路情報について説明する。図4は、全経路情報の例を示す図である。例えば、図4に示すように、全経路情報には、ルータ名と、タイムスタンプと、プレフィックスと、ASパスと、コミュニティと、次ホップアドレスと、Update/Withdrawとが含まれる。これらのデータ例としては、ルータ名「ルータ11」、タイムスタンプ「2011−03−28 12:34:56」、プレフィックス「192.168.0.0/24」、ASパス「2」、コミュニティ「2:65000」、次ホップアドレス「192.168.1.1」、Update/Withdraw「Update」となる。
【0026】
これらのうち、経路情報受信部121は、例えば、「ルータ11,タイムスタンプ」の後に、経路情報「192.168.0.0/24,2,2:65000,192.168.1.1」や「192.168.1.0/24,2:65001,192.168.1.1」等の情報を全経路情報記憶部に登録する。
【0027】
経路情報収集部122は、例えば、経路情報受信部121によって受信された経路情報
を収集し、プレフィックス、生成元AS番号、隣接AS番号、ASパス、コミュニティ、次ホップアドレスの経路情報について、アップデート対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部を更新する。また、経路情報収集部122は、例えば、収集した経路情報が削除対象である場合に、タイムスタンプを付与して、対向ルータ毎に全経路情報記憶部に削除対象であることを示す削除フラグを付与する。
【0028】
削除フラグの付与について例を挙げると、経路情報収集部122は、経路情報受信部121から「ルータ11,タイムスタンプ,192.168.0.0/24,Withdraw」である削除対象の経路情報を収集した場合に、プレフィックス「192.168.0.0/24」を保持する経路情報を全経路情報記憶部から検索し、「ルータ11,タイムスタンプ、192.168.0.0/24,2,2:65000,192.168.1.1,Withdraw」のように、経路情報を補完する。
【0029】
ここで、経路情報収集部122は、経路情報の検索時に、一部でもIPアドレス空間が重なる既存の経路情報を検索結果とする。具体的には、経路情報収集部122は、「192.168.0.0/24」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/24」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/24」の生成元AS番号等の経路情報と、「192.168.0.0/22」の生成元AS番号等の経路情報を比較した経路情報の不一致の検出に利用できる。
【0030】
同様に、経路情報収集部122は、「192.168.0.0/20」のプレフィックスを持つ経路情報を収集したときに、「192.168.0.0/22」等の「192.168.0.0/20」を含んだプレフィックスを検索結果とする。これにより、「192.168.0.0/22」の生成元AS番号等の経路情報と、「192.168.0.0/20」の生成元AS番号等の経路情報とを比較した経路情報の不一致の検出に利用できる。
【0031】
かかる経路情報は、一つの様態として、Patricia Trie等のツリーを構成するデータ構造を用いて、経路のプロトコルに従って経路情報に優先度をつけて保持しても良い。なお、経路情報収集部122は、経路情報受信部121から全経路情報を収集した場合には、全経路情報記憶部を再構成する。
【0032】
経路変動検出部123は、例えば、経路情報収集部122によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレス空間と重なる既存の経路情報を全経路情報記憶部から抽出する。そして、経路変動検出部123は、抽出した既存の経路情報と更新対象の経路情報との、隣接AS番号、生成元AS番号、ASパス、コミュニティ、次ホップアドレスを比較する。このとき、経路変動検出部123は、双方の経路情報が異なる場合に、該当する既存の経路情報と更新対象の経路情報とを、アラート情報として経路情報通知部126に通知する。また、経路変動検出部123は、既存の経路情報が存在しないとき、アラートの要因が生成元AS番号の変動であるときには、経路情報照合部124にも通知する。
【0033】
例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/24」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。
【0034】
このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/24,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス:192.168.0.0/22,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも長いため、「192.168.0.0/24」宛てのIPパケットは、既存の経路情報のAS30ではなく、更新対象の経路情報のAS20に向かって送信される。これは、経路のルーティングにおいては、プレフィックス長の長いプレフィックスが優先的に選択されるためである。
【0035】
他の例を挙げると、経路変動検出部123は、更新対象の経路情報のプレフィックスが「192.168.0.0/22」、生成元AS番号が「AS20」であり、既存の経路情報のプレフィックスが「192.168.0.0/24」及び「192.168.1.0/24」、生成元AS番号がいずれも「AS30」であるとき、更新対象の経路情報のプレフィックスが既存の経路情報のプレフィックスに含まれるので、生成元AS番号の変動としてアラート対象とする。
【0036】
このときのアラートの内容は、例えば、「アラート種別:生成元AS番号変動,更新対象経路のプレフィックス:192.168.0.0/22,更新対象経路の生成元AS番号:AS20,既存経路のプレフィックス1:192.168.0.0/24,既存経路の生成元AS番号1:AS30,既存経路のプレフィックス2:192.168.1.0/24,既存経路の生成元AS番号:AS30,受信ルータ:ルータ12,タイムスタンプ:2011−03−11」となる。また、この例において、更新対象の経路情報のプレフィックス長が既存の経路情報のプレフィックス長よりも短いため、「192.168.0.0/24」及び「192.168.1.0/24」宛てのIPパケットは、既存の経路情報のAS30に向かって送信され、既存経路に対する影響はない。但し、「192.168.2.0/23」の経路が有効になり、「192.168.2.0/23」宛てのIPパケットは、更新対象の経路情報のAS20に向かって送信される。
【0037】
また、経路変動検出部123は、例えば、生成元AS番号変動のアラート対象となる経路情報(プレフィックス、生成元AS番号)について、経路情報が削除された場合でも、生成元AS番号変動の経路削除アラートとして、削除経路のプレフィックス、生成元AS番号の経路情報を経路情報照合部124と経路情報通知部126とに送信する。また、生成元AS番号の変動以外のアラートとしては、例えば、隣接AS番号変動、ASパス変動、コミュニティ変動、次ホップアドレス変動等が生成される。これらにより、経路変動検出部123は、広告されていて受信している経路情報に対する変動を検出する。
【0038】
経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号変動のアラート情報を受信した場合に、受信したアラート情報に含まれる更新対象経路のプレフィックス又は既存経路のプレフィックスに、一部でもIPアドレス空間が重なる経路情報(プレフィックス、AS番号)を正規経路情報記憶部111から抽出する。そして、経路情報照合部124は、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0039】
図5は、経路情報照合処理の例を示す図である。図5では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/24」、生成元AS番号が「5」である場合を例に挙げる。なお、図5における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。
【0040】
このとき、経路情報照合部124は、受信経路情報のIPアドレス空間が正規経路情報のIPアドレス空間に含まれ、受信経路情報のIPアドレス空間を含む正規経路情報のうち、最もプレフィックス長が長いプレフィックス「192.168.0.0/22」のAS番号「2」と、受信経路情報のプレフィックス「192.168.0.0/24」の生成元AS番号「5」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。
【0041】
また、経路情報照合部124は、抽出した全ての正規経路情報(プレフィックス、AS番号)のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、全ての正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0042】
図6は、経路情報照合処理の例を示す図である。図6では、正規経路情報として、プレフィックスが「192.168.0.0/22」、AS番号が「2」、及び、プレフィックスが「192.168.0.0/20」、AS番号が「3」であり、受信経路情報として、プレフィックス「192.168.0.0/18」、生成元AS番号が「6」である場合を例に挙げる。なお、図6における受信経路情報とは、受信したアラート情報に含まれる経路情報のことを指す。
【0043】
このとき、経路情報照合部124は、受信経路情報のIPアドレス空間を正規経路情報のプレフィックス「192.168.0.0/22」のAS番号「2」、並びに、プレフィックス「192.168.0.0/20」のAS番号「3」と、受信経路情報のプレフィックス「192.168.0.0/18」の生成元AS番号「6」とを照合する。そして、経路情報照合部124は、照合の結果、不一致であるため異常と判定し、アラート対象とする。
【0044】
また、経路情報照合部124は、例えば、抽出した正規経路情報(プレフィックス、AS番号)のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラート情報に含まれる更新対象の経路情報の生成元AS番号とが一致し、且つ、既存の経路情報のプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、既存の経路情報の生成元AS番号とが異なる場合に、異常生成元AS終了のアラートとして、更新対象の経路情報(プレフィックス、生成元AS番号)と、既存の経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0045】
また、経路情報照合部124は、例えば、経路変動検出部123から生成元AS番号の経路変動による削除アラートを受信した場合に、アラートのプレフィックスを含むIPアドレス空間を持つ正規経路情報のうち、プレフィックス長が最も長い正規経路情報のAS番号と、アラートの生成元AS番号とを照合する。このとき、経路情報照合部124は、照合の結果、不一致である場合に異常生成元AS番号の終了アラートとして、生成元AS番号の経路変動による削除アラートの経路情報(プレフィックス、生成元AS番号)と、正規経路情報(プレフィックス、AS番号)とを経路情報通知部126に通知する。
【0046】
経路情報表示部125は、例えば、経路監視装置100の利用者によって所定操作がなされた場合に、経路情報収集部122、経路変動検出部123、経路情報照合部124、経路情報通知部126に保持される情報を取得し、ディスプレイやモニタ等の表示装置に表示出力する。
【0047】
経路情報通知部126は、例えば、経路変動検出部123、経路情報照合部124から受信したアラートを経路情報表示部125に通知するとともに、アラートのうち、経路監視装置100の利用者によって外部装置への送信が許可されているアラート情報を、予め設定された外部装置に対して送信する。また、経路情報通知部126は、外部装置からアラートを受信した場合に、経路情報表示部125に通知する。これにより、他のASで伝搬している自己の経路監視装置100を含むASの経路情報に対するアラートを認識することができる。
【0048】
[実施例1に係る経路監視処理]
次に、図7を用いて、実施例1に係る経路監視処理の流れを説明する。図7は、実施例1に係る経路監視処理の流れの例を示すフローチャートである。
【0049】
例えば、図7に示すように、経路監視装置100は、ネットワークに接続されるルータ等のネットワーク機器から経路情報を受信する(ステップS101)。そして、経路監視装置100は、受信した経路情報に基づいて、全経路情報記憶部に対し、更新又は削除フラグを付与する(ステップS102)。
【0050】
続いて、経路監視装置100は、受信した経路情報が更新対象であるか否かを判定する(ステップS103)。このとき、経路監視装置100は、経路情報が更新対象である場合に(ステップS103肯定)、既存の経路情報と受信した経路情報とを比較して、経路情報の変動を検出する(ステップS104)。一方、経路監視装置100は、経路情報が更新対象でない場合に(ステップS103否定)、処理を終了する。
【0051】
その後、経路監視装置100は、生成元AS番号変動のアラート情報が検出されたか否かを判定する(ステップS105)。このとき、経路監視装置100は、生成元AS番号変動のアラート情報が検出された場合に(ステップS105肯定)、対象のAS番号と正規経路情報のAS番号とを照合し、不一致であるときに異常であると判定する(ステップS106)。一方、経路監視装置100は、生成元AS番号変動のアラート情報が検出されない場合に(ステップS105否定)、処理を終了する。
【0052】
[実施例1による効果]
上述したように、経路監視装置100は、例えば、受信した経路情報が削除対象であっても削除することなく全経路情報に削除フラグを付与し、更新対象の経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を全経路情報から抽出して、更新対象の経路情報と抽出した既存の経路情報とを比較して経路情報の変動を検出し、経路情報の変動が検出された経路情報のIPアドレスに一致する経路情報を、正規経路情報から抽出して、変動が検出された経路情報のAS番号と、抽出した正規経路情報のAS番号とが不一致である場合に異常であると判定する。これらの結果、経路監視装置100は、広告されている経路情報の変動を検出することができるとともに、正規に割り当てられている経路以外の経路情報の広告を検出することができる。
【実施例2】
【0053】
さて、これまで本発明に係る経路監視装置の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)構成、(2)プログラム、において異なる実施例を説明する。
【0054】
(1)構成
また、上記文書中や図面中等で示した処理手順、制御手順、具体的名称、各種のデータやパラメタ等を含む情報については、特記する場合を除いて任意に変更することができる。例えば、上記実施例では、経路情報受信部121〜経路情報通知部126までを含む経路監視装置100を説明したが、経路情報受信部121〜経路変動検出部123までを含む、経路情報の変動を検出する経路監視装置としても良い。
【0055】
また、図示した経路監視装置100の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部又は一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。例えば、経路情報受信部121と経路情報収集部122とを、受信した経路情報の蓄積と全経路情報の蓄積及び更新とを行なう「経路情報処理部」として統合しても良い。
【0056】
また、経路監視装置100にて行われる各処理機能は、その全部又は任意の一部が、CPU及び該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
【0057】
(2)プログラム
図8は、本発明に係る経路監視プログラムがコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1001と、CPU1002と、ハードディスクドライブインタフェース1003と、ディスクドライブインタフェース1004と、シリアルポートインタフェース1005と、ビデオアダプタ1006と、ネットワークインタフェース1007とを有し、これらの各部はバス1008によって接続される。
【0058】
メモリ1001は、図8に例示するように、ROM1001a及びRAM1001bを含む。ROM1001aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1003は、図8に例示するように、ハードディスクドライブ1009に接続される。ディスクドライブインタフェース1004は、図8に例示するように、ディスクドライブ1010に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1010に挿入される。シリアルポートインタフェース1005は、図8に例示するように、例えばマウス1011、キーボード1012に接続される。ビデオアダプタ1006は、図8に例示するように、例えばディスプレイ1013に接続される。
【0059】
ここで、図8に例示するように、ハードディスクドライブ1009は、例えば、OS(Operating System)1009a、アプリケーションプログラム1009b、プログラムモジュール1009c、プログラムデータ1009dを記憶する。すなわち、本発明に係る経路監視プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1009cとして、例えばハードディスクドライブ1009に記憶される。具体的には、上記実施例で説明した経路情報受信部121と同様の処理を実行する経路情報受信手順と、経路情報収集部122と同様の処理を実行する経路情報収集手順と、経路変動検出部123と同様の処理を実行する経路変動検出手順と、経路情報照合部124と同様の処理を実行する経路情報照合手順とが記述されたプログラムモジュール1009cが、ハードディスクドライブ1009に記憶される。また、上記実施例で説明した正規経路情報記憶部111に記憶されるデータのように、経路監視プログラムによる処理に用いられるデータは、プログラムデータ1009dとして、例えばハードディスクドライブ1009に記憶される。そして、CPU1002が、ハードディスクドライブ1009に記憶されたプログラムモジュール1009cやプログラムデータ1009dを必要に応じてRAM1001bに読み出し、経路情報受信手順、経路情報収集手順、経路変動検出手順、経路情報照合手順を実行する。
【0060】
なお、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ハードディスクドライブ1009に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1010等を介してCPU1002によって読み出されてもよい。あるいは、経路監視プログラムに係るプログラムモジュール1009cやプログラムデータ1009dは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1007を介してCPU1002によって読み出されてもよい。
【符号の説明】
【0061】
100 経路監視装置
110 記憶部
111 正規経路情報記憶部
120 制御部
121 経路情報受信部
122 経路情報収集部
123 経路変動検出部
124 経路情報照合部
125 経路情報表示部
126 経路情報通知部
【特許請求の範囲】
【請求項1】
ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信部と、
前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、
前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、
前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部と
を有することを特徴とする経路監視装置。
【請求項2】
前記経路情報受信部は、前記ネットワーク機器から受信した経路情報に基づいて、前記ネットワーク機器毎且つ時系列毎に経路情報を生成するとともに、前記全経路情報を生成することを特徴とする請求項1に記載の経路監視装置。
【請求項3】
前記経路変動検出部は、前記収集された経路情報に含まれるIPアドレス空間が一部でも重なる既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出することを特徴とする請求項1又は2に記載の経路監視装置。
【請求項4】
ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置で実行される経路監視方法であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信工程と、
前記経路情報受信工程によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集工程と、
前記経路情報収集工程によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出工程と、
前記経路変動検出工程によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合工程と
を含んだことを特徴とする経路監視方法。
【請求項5】
コンピュータを請求項1〜3のいずれか1つに記載の経路監視装置として機能させるための経路監視プログラム。
【請求項1】
ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信部と、
前記経路情報受信部によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集部と、
前記経路情報収集部によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出部と、
前記経路変動検出部によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合部と
を有することを特徴とする経路監視装置。
【請求項2】
前記経路情報受信部は、前記ネットワーク機器から受信した経路情報に基づいて、前記ネットワーク機器毎且つ時系列毎に経路情報を生成するとともに、前記全経路情報を生成することを特徴とする請求項1に記載の経路監視装置。
【請求項3】
前記経路変動検出部は、前記収集された経路情報に含まれるIPアドレス空間が一部でも重なる既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出することを特徴とする請求項1又は2に記載の経路監視装置。
【請求項4】
ネットワークに接続される自律システム間の通信経路を示す経路情報を監視する経路監視装置で実行される経路監視方法であって、
前記ネットワークに接続されるネットワーク機器から前記経路情報を受信する経路情報受信工程と、
前記経路情報受信工程によって受信された経路情報を収集し、収集した経路情報が更新対象である場合に、前記ネットワークに接続される自律システム間の全ての通信経路を示す全経路情報を更新し、収集した経路情報が削除対象である場合に、前記全経路情報に削除対象であることを示す削除フラグを付与する経路情報収集工程と、
前記経路情報収集工程によって収集された経路情報が更新対象である場合に、収集された経路情報に含まれるIPアドレスのプレフィックスに一致する既存の経路情報を前記全経路情報から抽出し、抽出した既存の経路情報と収集された経路情報とを比較して、経路情報の変動を検出する経路変動検出工程と、
前記経路変動検出工程によって経路情報の生成元である自律システムの経路情報が変動していることを検出された場合に、変動を検出された自律システムの経路情報に含まれるIPアドレスのプレフィックスに一致する経路情報を、正規に割り当てられた経路情報を示す正規経路情報から抽出し、抽出した正規経路情報に含まれる前記自律システムを識別するための識別番号と、変動を検出された自律システムを識別するための識別番号とを照合し、不一致であれば異常であると判定する経路情報照合工程と
を含んだことを特徴とする経路監視方法。
【請求項5】
コンピュータを請求項1〜3のいずれか1つに記載の経路監視装置として機能させるための経路監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2013−12881(P2013−12881A)
【公開日】平成25年1月17日(2013.1.17)
【国際特許分類】
【出願番号】特願2011−143962(P2011−143962)
【出願日】平成23年6月29日(2011.6.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年1月17日(2013.1.17)
【国際特許分類】
【出願日】平成23年6月29日(2011.6.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]