特許第5955720号(P5955720)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > エヌ・ティ・ティ・コミュニケーションズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧

特許5955720監視装置、監視方法および監視プログラム
<>
  • 特許5955720-監視装置、監視方法および監視プログラム 図000002
  • 特許5955720-監視装置、監視方法および監視プログラム 図000003
  • 特許5955720-監視装置、監視方法および監視プログラム 図000004
  • 特許5955720-監視装置、監視方法および監視プログラム 図000005
  • 特許5955720-監視装置、監視方法および監視プログラム 図000006
  • 特許5955720-監視装置、監視方法および監視プログラム 図000007
  • 特許5955720-監視装置、監視方法および監視プログラム 図000008
  • 特許5955720-監視装置、監視方法および監視プログラム 図000009
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5955720
(24)【登録日】2016年6月24日
(45)【発行日】2016年7月20日
(54)【発明の名称】監視装置、監視方法および監視プログラム
(51)【国際特許分類】
   H04L 12/70 20130101AFI20160707BHJP
   H04L 12/24 20060101ALI20160707BHJP
【FI】
   H04L12/70 100Z
   H04L12/24
【請求項の数】11
【全頁数】21
(21)【出願番号】特願2012-210622(P2012-210622)
(22)【出願日】2012年9月25日
(65)【公開番号】特開2014-68108(P2014-68108A)
(43)【公開日】2014年4月17日
【審査請求日】2014年12月18日
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100101247
【弁理士】
【氏名又は名称】高橋 俊一
(74)【代理人】
【識別番号】100095500
【弁理士】
【氏名又は名称】伊藤 正和
(74)【代理人】
【識別番号】100098327
【弁理士】
【氏名又は名称】高松 俊雄
(72)【発明者】
【氏名】神谷 和憲
(72)【発明者】
【氏名】水口 孝則
(72)【発明者】
【氏名】杉本 周
(72)【発明者】
【氏名】山形 育平
【審査官】 衣鳩 文彦
(56)【参考文献】
【文献】 特開平07−273764(JP,A)
【文献】 特開2003−198545(JP,A)
【文献】 特開2008−072496(JP,A)
【文献】 特開2005−027211(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/24
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視装置であって、
ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置と、
監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
ユーザの識別子とともに解析データの参照要求が入力されると、前記アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段
とを備えることを特徴とする監視装置。
【請求項2】
前記処理手段は、監視対象ネットワークごとにエージェントを備え、
各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与される
ことを特徴とする請求項1に記載の監視装置。
【請求項3】
前記記憶装置は、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを記憶し、
前記処理手段は、前記監視対象ネットワークの前記監視対象機器にデータを送信する際、前記処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信する
ことを特徴とする請求項1または2に記載の監視装置。
【請求項4】
前記記憶装置はさらに、前記監視対象ネットワークの識別子と、当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを記憶し、
前記処理手段は、前記監視対象機器からトラフィックデータを受信すると、前記監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する
ことを特徴とする請求項1ないし3のいずれか1項に記載の監視装置。
【請求項5】
前記監視対象機器のアドレスは、プライベートアドレス空間のアドレスである
ことを特徴とする請求項4に記載の監視装置。
【請求項6】
監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視方法であって、
複数の監視対象ネットワークに属する複数の監視対象機器のそれぞれが、当該監視対象機器のトラフィックデータを、監視装置に送信するステップと、
前記監視装置が、前記トラフィックデータを受信し、トラフィックデータを送信した監視対象機器の属する監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データに記憶するステップと、
前記監視装置が、前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶するステップと、
前記監視装置が、ユーザの識別子とともに解析データの参照要求が入力されると、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力するステップ
とを備えることを特徴とする監視方法。
【請求項7】
前記監視装置は、監視対象ネットワークごとに設けられたエージェントを備え、
各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与され、
前記トラフィックデータを、監視装置に送信するステップは、前記複数の監視対象機器のそれぞれが、当該監視対象機器の属する監視対象ネットワークに対応するエージェントのアドレスを宛先として、前記トラフィックデータを前記監視装置に送信する
ことを特徴とする請求項6に記載の監視方法。
【請求項8】
前記監視対象ネットワークの前記監視対象機器にデータを送信する際、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信するステップ
をさらに備えることを特徴とする請求項6または7に記載の監視方法。
【請求項9】
前記トラフィック蓄積データに記憶するステップは、前記監視対象機器からトラフィックデータを受信すると、監視対象ネットワークの識別子と当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する
ことを特徴とする請求項6ないし8のいずれか1項に記載の監視方法。
【請求項10】
前記監視対象機器のアドレスは、プライベートアドレス空間のアドレスである
ことを特徴とする請求項9に記載の監視方法。
【請求項11】
監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視プログラムであって、
コンピュータは、
ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置を備え、
前記コンピュータを、
監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、
前記トラフィック蓄積データから、前記監視対象ネットワークごとに前記トラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、
ユーザの識別子とともに解析データの参照要求が入力されると、前記アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段
として機能させることを特徴とする監視プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視装置、監視方法および監視プログラムに関する。
【背景技術】
【0002】
近年、通信ネットワークの発達に伴い、大量のトラフィックが発生している。通信ネットワーク上のトラフィック量の変動を監視することは、異常トラフィックの発見、ネットワークリソースの配置設計等に資する重要な技術である。
【0003】
従来、トラフィックを監視する際、その監視対象のポイントであるネットワーク内のノードに、それぞれ監視用のプローブを立てる技術が一般的であった。この監視方法は、例えば、専用のソフトウェアやハードウェアによって実現される。また、監視対象のネットワークごとに、ネットワーク内の各ノードから監視データを収集する監視装置を設ける方法がある。この方法では、ひとつの監視装置が、監視対象のひとつのネットワークのトラフィックを、集中的に監視する。
【0004】
例えば、ソフトウェアとハードウェアが一体のアプライアンスボックスとして提供して、トラフィックの監視する方法もある(例えば、非特許文献1参照。)。 また、ネットワーク経由で、トラフィックを監視する方法もある(例えば、非特許文献2参照。)。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】NTTコミュニケーションズ、” IPネットワーク運用者向けオペレーションシステム「トラフィック解析ツール」の提供について”、[online]、[平成24年9月18日検索]、インターネット<http://www.ntt.com/release/monthNEWS/detail/20080804.html>
【非特許文献2】NTTコミュニケーションズ、” グローバルIPネットワークサービスにて「トラフィック解析ツール・ネットワーク型」の提供開始”、[online]、[平成24年9月18日検索]、インターネット<http://www.ntt.com/serviceinfo/monthinfo/detail/20090706.html>
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、非特許文献1および非特許文献2に記載のトラフィック監視方法において、監視対象のネットワークごとに監視装置を設ける必要があるため、監視装置の設置にコストがかかる問題があった。また、一般的なコンピュータを用いて監視装置を実装するとしても、その監視機能を実現するためのソフトウェアを要するので、監視対象ネットワークのノードごと、またはネットワークごとに、このようなソフトウェアのインストールをすることになる。従って、ユーザにとって、これらのソフトウェアのライセンス費用によるコスト負担が、大きくなってしまう問題があった。さらに、ハードウェアまたはソフトウェアで実現するに関わらず、その装置のメンテナンスにかかるコストも膨大になるという問題があった。
【0007】
従って本発明の目的は、複数の通信ネットワークのトラフィックを監視する監視装置、監視方法および監視プログラムを提供することである。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明の第1の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視装置に関する。即ち本発明の第1の特徴に係る監視装置は、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置と、
監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段とを備える。
【0009】
ここで処理手段は、監視対象ネットワークごとにエージェントを備えても良い。各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与される。
【0010】
また、記憶装置は、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを記憶し、処理手段は、監視対象ネットワークの監視対象機器にデータを送信する際、処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信しても良い。
【0011】
さらに、記憶装置はさらに、監視対象ネットワークの識別子と、当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを記憶し、処理手段は、監視対象機器からトラフィックデータを受信すると、監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶しても良い。
【0012】
また、監視対象機器のアドレスは、プライベートアドレス空間のアドレスであっても良い。
【0013】
本発明の第2の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視方法に関する。即ち本発明の第2の特徴に係る監視方法は、複数の監視対象ネットワークに属する複数の監視対象機器のそれぞれが、当該監視対象機器のトラフィックデータを、監視装置に送信するステップと、監視装置が、トラフィックデータを受信し、トラフィックデータを送信した監視対象機器の属する監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データに記憶するステップと、監視装置が、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶するステップと、監視装置が、ユーザの識別子とともに解析データの参照要求が入力されると、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力するステップとを備える。
【0014】
ここで監視装置は、監視対象ネットワークごとに設けられたエージェントを備え、各エージェントには、対応する監視対象ネットワークから送信されるトラフィックデータの宛先となるアドレスが付与されても良い。この場合、トラフィックデータを、監視装置に送信するステップは、複数の監視対象機器のそれぞれが、当該監視対象機器の属する監視対象ネットワークに対応するエージェントのアドレスを宛先として、トラフィックデータを監視装置に送信する。
【0015】
また、監視対象ネットワークの監視対象機器にデータを送信する際、監視対象ネットワークの識別子と、当該監視対象ネットワークに送信する際に用いるアドレスとを対応づけた処理アドレスデータを読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信するステップをさらに備えても良い。
【0016】
さらに、トラフィック蓄積データに記憶するステップは、監視対象機器からトラフィックデータを受信すると、監視対象ネットワークの識別子と当該監視対象ネットワークに属する監視対象機器の識別子とを対応づけた監視対象データを読み出して、送信元の監視対象機器の識別子に対応する監視対象ネットワークの識別子を抽出し、当該監視対象ネットワークの識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶しても良い。
【0017】
また、監視対象機器のアドレスは、プライベートアドレス空間のアドレスであっても良い。
【0018】
本発明の第3の特徴は、監視対象ネットワークに属する監視対象機器のトラフィックデータを処理する監視プログラムに関する。ここでコンピュータは、ユーザの識別子と、当該ユーザがトラフィック解析データを参照可能な監視対象ネットワークの識別子とを対応づけたアクセス権データを記憶する記憶装置を備える。本発明の第3の特徴に係る監視プログラムは、コンピュータを、監視対象ネットワークに属する監視対象機器からトラフィックデータを受信し、当該監視対象ネットワークの識別子と、受信したトラフィックデータとを対応づけてトラフィック蓄積データに記憶する処理手段と、トラフィック蓄積データから、監視対象ネットワークごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データを、当該監視対象ネットワークの識別子に対応づけて記憶する解析手段と、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データに基づいて、入力されたユーザの識別子に対応する監視対象ネットワークの識別子に対応づけられたトラフィック解析データを出力する解析提供手段として機能させる。
【発明の効果】
【0019】
本発明によれば、複数の通信ネットワークのトラフィックを監視する監視装置、監視方法および監視プログラムを提供することができる。
【図面の簡単な説明】
【0020】
図1】本発明の実施の形態に係る監視システムのシステム構成を説明する図である。
図2】本発明の実施の形態に係る監視システムにおいて、監視対象ネットワークからトラフィックデータを送信する場合の処理を説明するシーケンス図である。
図3】本発明の実施の形態に係る監視システムにおいて、監視装置から監視対象ネットワークに下りデータを送信する場合の処理を説明するシーケンス図である。
図4】本発明の実施の形態に係る監視装置のハードウェア構成と機能ブロックを説明する図である。
図5】本発明の実施の形態に係る監視対象データのデータ構造とデータの一例を説明する図である。
図6】本発明の実施の形態に係る処理アドレスデータのデータ構造とデータの一例を説明する図である。
図7】本発明の実施の形態に係るトラフィック蓄積データのデータ構造とデータの一例を説明する図である。
図8】本発明の実施の形態に係るアクセス権データのデータ構造とデータの一例を説明する図である。
【発明を実施するための形態】
【0021】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一または類似の部分には同一または類似の符号を付している。
【0022】
(監視システム)
図1を参照して、本発明の実施の形態に係る監視システム3を説明する。監視システム3は、監視装置1、監視制御装置2、第1の監視対象ネットワーク10a、第2の監視対象ネットワーク10b、第1の端末21a、第2の端末21b、第3の端末21cおよび第4の端末21dを備える。図1に示す例では、監視装置1が、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bの2つのネットワークを監視する場合を説明するが、監視装置1が監視するネットワークの数はこれに限らない。
【0023】
監視装置1および監視制御装置2は、相互に通信可能に接続されている。監視装置1は、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aと相互に通信可能に接続されるとともに、第2の暗号化ネットワーク15bを介して、第2の監視対象ネットワーク10bと相互に通信可能に接続される。これらの監視対象ネットワークは、個別のユーザの所有、もしくは異なる管理下になるものであり、例えば、企業のイントラネットでも良いし、通信業者が提供する公衆ネットワークでも良い。
【0024】
本発明の実施の形態において、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bを特に区別しない場合、単に監視対象ネットワーク10と記載する場合がある。また、第1の端末21a、第2の端末21b、第3の端末21cおよび第4の端末21dを特に区別しない場合、単に端末21と記載する場合がある。第1の暗号化ネットワーク15aおよび第2の暗号化ネットワーク15bを特に区別しない場合、単に暗号化ネットワーク15と記載する場合がある。
【0025】
暗号化ネットワーク15は、例えばVPNなどの既存の仮想専用線技術を用いて確保されたセキュアの通信路である。より具体的には暗号化ネットワーク15は、例えば、IPSecのような暗号通信のためのプロトコルを用いることができる。本発明の実施の形態に係る監視システム3において、監視対象ネットワーク10と監視装置1とを、暗号化ネットワーク15で接続する。これにより、監視装置1を、監視対象ネットワーク10の外側に設置し、監視装置1が、複数の監視対象ネットワーク10を監視すること実現している。
【0026】
なお本発明の実施の形態において、暗号化ネットワーク15では、データ通信の実データを送信することなく、データのヘッダ部分に関するトラフィックデータのみを送信する。従って暗号化ネットワーク15は、実データを含まないトラフィックデータの送信に適した程度のセキュリティが確保されていれば良い。
【0027】
本発明の実施の形態に係る監視システム3において、監視装置1は、監視対象ネットワーク10に属する監視対象機器11のトラフィックデータを処理する。監視装置1は、いわゆるネットワーククラウド上のサーバで実装され、複数の監視対象ネットワーク10内のそれぞれ複数の監視対象機器11のトラフィックデータを収集し、監視する。監視装置1は、物理的に単一のサーバも良いし、またクラウド内で物理的には複数の装置が仮想的に構成されたサーバであっても良い。監視装置1は、このようなサーバ上に、所定の処理を実行するためのソフトウェアプログラムがインストールされることにより実現されている。
【0028】
監視制御装置2は、監視システム3における監視対象ネットワーク10の監視サービスを提供する事業者が管理する装置である。監視制御装置2は、監視装置1の各種設定や異常時の対応などの指示を入力したり、監視装置1の稼働状況の表示などの管理に関する情報を表示したりする。また、監視制御装置2は、新たに監視対象ネットワーク10や監視対象機器11が追加される場合、その情報を、監視装置1に入力する。監視装置1は入力された情報に基づいて、データを更新したりエージェントを増やしたりする。このように、監視制御装置2は、監視装置1に対する人手によるデータの入出力を担い、GUIにより監視装置1の設定管理を容易に実現することができる。
【0029】
監視対象ネットワーク10は、端末21に通信ネットワークサービスを提供するとともに、トラフィックデータを送信することによって、監視装置1に監視される。
【0030】
第1の監視対象ネットワーク10aは、第1の監視対象機器11aおよび第1の中継装置14aを備える。第1の監視対象ネットワーク10aは、ほかに複数の監視対象機器を備えても良い。第1の監視対象機器11aやこれらの監視対象機器は、監視装置1によるトラフィックの監視対象の装置であって、例えば、ルータである。第1の監視対象ネットワーク10aの第1の監視対象機器11aおよびこれらの監視対象機器は、それぞれ、監視装置1と送受信する際、アドレス“NWD_11”、“NWD_12”および“NWD_13”を用いる。アドレス“NWD_11”、“NWD_12”および“NWD_13”は、第1の監視対象ネットワーク10a内で一意に識別されるアドレスである。
【0031】
第1の中継装置14aは、第1の監視対象機器11aおよびこれらの監視対象機器が、それぞれトラフィックデータを監視装置1に送信する際に、トラフィックデータを中継する装置である。第1の中継装置14aは、各監視対象機器から監視装置1宛のトラフィックデータを受信すると、所定のアルゴリズムで暗号化して第1の暗号化ネットワーク15aにデータを送出する。また第1の中継装置14aは、監視装置1から、第1の監視対象ネットワーク10aの各監視対象機器宛のデータを受信すると、所定のアルゴリズムで復号化して各監視対象機器に送信する。
【0032】
第2の監視対象ネットワーク10bの各装置も、第1の監視対象ネットワーク10aの各装置と同様の構成を備える。第2の監視対象ネットワーク10bの第2の監視対象機器11bおよびこれらの監視対象機器は、それぞれ、監視装置1と送受信する際、アドレス“NWD_21”、“NWD_22”および“NWD_23”を用いる。アドレス“NWD_21”、“NWD_22”および“NWD_23” は、第2の監視対象ネットワーク10b内で一意に識別されるアドレスである。
【0033】
本発明の実施の形態において、第1の監視対象ネットワーク10aの第1の中継装置14aと、第2の監視対象ネットワーク10bの第2の中継装置14bとを区別しない場合、単に中継装置14と記載する場合がある。また、第1の監視対象機器11a、第2の監視対象機器11bおよびそのほかの監視対象機器を特に区別しない場合、単に監視対象機器11と記載する場合がある。
【0034】
なお、各監視対象機器11は、複数のアドレスが付与されていても良い。端末21にネットワークサービスを提供する際、各監視対象機器11は例えば、ネットワークサービスを提供するために、表側ネットワークのためのグローバルアドレスを用いる。監視装置1にトラフィックデータなどを送信する際、監視対象機器11は例えば、裏側ネットワークのためのプライベートアドレスを用いる。
【0035】
本発明の実施の形態において、監視対象機器11側からみた監視対象機器11のアドレスは、少なくとも各監視対象ネットワーク10内では一意に識別できる場合を想定する。本発明の実施の形態に係る監視システム3は、所定のひとつの監視対象ネットワーク10内で一意に識別されたアドレスであって、複数の監視対象ネットワーク10内では、重複するアドレスであっても、対応することができる。
【0036】
中継装置14は、監視対象ネットワーク10内の各ノードから、各ノードのトラフィックデータを収集する。トラフィックデータは例えば、(1)各監視対象機器11を通過するパケットの個数、(2)送信元アドレス毎もしくは宛先アドレス毎のパケットの個数等の統計情報、(3)すべてのパケットのヘッダ情報の一部もしくは全部、および(4)各監視対象機器11を通過するパケットのうち、一部サンプリングされたパケットのヘッダ情報の一部もしくは全部、のうちいずれかひとつ以上である。
【0037】
このトラフィックデータの収集方法としては、NetFlow、sFlowなどの既存のネットワーク分析管理プロトコルを用いることが可能である。これらのプロトコルをサポートしている監視対象機器11も普及している。各監視対象機器11は、所定の手順に従って、トラフィックデータを生成し、暗号化ネットワーク15を介して監視装置1に入力する。このとき各監視対象機器11は、例えば、当該ノードを通過するパケットを所定のサンプリングレートによりサンプリングし、さらに、サンプリングされたパケットのうちヘッダ情報のみをトラフィックデータとして生成する。ここで中継装置14は、パケットのヘッダ情報をそのまま、トラフィックデータとして監視装置1に入力しても良いし、ヘッダ情報を解析したり、暗号化したりして生成したトラフィックデータを、監視装置1に入力しても良い。
【0038】
ここで監視対象ネットワーク10の監視対象機器11のサンプリングレートは、適宜適切に設定される。例えば、サンプリングレートは、監視対象機器11を流れるトラフィック量、暗号化ネットワーク15の容量、監視対象ネットワークの性質、ユーザからの要望等によって、トラフィック監視の品質を保つ範囲で、決定される。サンプリングレートが低い場合、急峻なトラフィックの変化に追従できず、トラフィック監視の品質が低下する。このため急峻なトラフィック変化が想定される監視対象ネットワーク10の監視対象機器11や、故障やハッキングなどのトラフィック異常に即時に対応する必要がある監視対象ネットワーク10の監視対象機器11については、サンプリングレートを高く設定する。これにより、監視品質を向上させることができる。一方、トラフィックの季節変動などの長期的なトラフィック変動の監視を目的とする場合、その監視対象ネットワーク10のノードについて、サンプリングレートを低く設定する。これにより、長期的な変動監視を、低廉なコストで対応することができる。
【0039】
端末21は、監視対象ネットワーク10の利用者の端末である。端末21は、監視対象ネットワーク10を介して監視装置1に接続される場合もあるし、監視対象ネットワーク10とは異なる通信ネットワークを介して、監視装置1に接続される場合もある。端末21は、監視対象ネットワークが提供する表側ネットワークのサービスを享受する。さらに端末21は、端末21を操作するユーザの属性によって、そのユーザにアクセス権のある監視対象ネットワーク10のトラフィック解析データ144を閲覧する場合もある。例えば、第1の監視対象ネットワーク10aと第2の監視対象ネットワーク10bとが、同一企業に管理されるネットワークであって、一方がアメリカのネットワークで、もう一方が日本のネットワークであるとする。第1の端末21aのユーザがアメリカおよび日本のネットワークの両方のトラフィック解析データ144を閲覧できる場合、監視装置1は、これらの両方のトラフィック解析データ144を第1の端末21aに提供する。また第3の端末21cは、どちらか一方のトラフィック解析データ144のみを閲覧できる場合、監視装置1は、閲覧可能なトラフィック解析データ144を第3の端末21cに提供する。
【0040】
(監視方法)
図2および図3を参照して、本発明の実施の形態に係る監視方法を説明する。
【0041】
図2において、第1の監視対象ネットワーク10aの第1の監視対象機器11aのトラフィックデータと、第2の監視対象ネットワーク10bの第2の監視対象機器11bのトラフィックデータとを、監視装置1に送信する場合を説明する。ここで、第1の監視対象ネットワーク10aの第1の監視対象機器11aは、監視装置1と接続する際、アドレス“NWD_11”を用いる。第2の監視対象ネットワーク10bの第2の監視対象機器11bは、監視装置1と接続する際、アドレス“NWD_21”を用いる。
【0042】
また、監視装置1は、第1の処理手段121aおよび第2の処理手段121bを備える。第1の処理手段121aに、アドレス“NWP_1”が付与され、第1の処理手段121aは、第1の監視対象ネットワーク10aのトラフィックデータを処理する。第2の処理手段121bに、アドレス“NWP_2”が付与され、第2の処理手段121bは、第2の監視対象ネットワーク10bのトラフィックデータを処理する。
【0043】
まずステップS101において第1の監視対象機器11aは、トラフィックデータを第1の中継装置14aに送信する。このとき、トラフィックデータの送信元アドレスは、“NWD_11”で、宛先アドレスは、 “NWP_1”である。このトラフィックデータは、第1の監視対象機器11aのトラフィックのヘッダ部のデータや、このヘッダ部をサンプリングしたり解析したりして得られたデータである。
【0044】
第1の監視対象ネットワーク10aの第1の中継装置14aが、第1の監視対象機器11aからトラフィックデータを受信すると、ステップS102において第1の中継装置14aは、受信したトラフィックデータを暗号化する。ステップS103において第1の中継装置14aは、暗号化したトラフィックデータを、第1の暗号化ネットワーク15aを介して、監視装置1に送信する。
【0045】
監視装置1は、第1の監視対象ネットワーク10aから暗号化済みトラフィックデータを受信すると、ステップS104において送受信手段100が、そのデータを復号化する。さらにステップS105において送受信手段100は、受信したデータの宛先アドレス“NWP_1”に対応する第1の処理手段121aに、復号化したデータを入力する。
【0046】
第1の処理手段121aは、復号化されたデータを受信すると、ステップS106においてそのデータを、トラフィック蓄積データ143に記憶する。第1の処理手段121aは、第1の監視対象ネットワーク10aの識別子と、第1の監視対象機器11aのアドレス“NWD_11”と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。
【0047】
またステップS107において第2の監視対象機器11bは、トラフィックデータを第2の中継装置14bに送信する。このとき、トラフィックデータの送信元アドレスは、“NWD_21”で、宛先アドレスは、 “NWP_2”である。このトラフィックデータは、第2の監視対象機器11bのトラフィックのヘッダ部のデータや、このヘッダ部をサンプリングしたり解析したりして得られたデータである。
【0048】
第2の監視対象ネットワーク10bの第2の中継装置14bが、第2の監視対象機器11bからトラフィックデータを受信すると、ステップS108において第2の中継装置14bは、受信したトラフィックデータを暗号化する。ステップS109において第2の中継装置14bは、暗号化したトラフィックデータを、第2の暗号化ネットワーク15bを介して、監視装置1に送信する。
【0049】
監視装置1は、第2の監視対象ネットワーク10bから暗号化済みトラフィックデータを受信すると、ステップS110において送受信手段100が、そのデータを復号化する。さらにステップS111において送受信手段100は、受信したデータの宛先アドレス“NWP_2”に対応する第2の処理手段121bに、復号化したデータを入力する。
【0050】
第2の処理手段121bは、復号化されたデータを受信すると、そのデータを、トラフィック蓄積データ143に記憶する。第2の処理手段121bは、第2の監視対象ネットワーク10bの識別子と、第2の監視対象機器11bのアドレス“NWD_21”と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。
【0051】
図3を参照して、監視装置1が、第1の監視対象機器11aおよび第2の監視対象機器11bにそれぞれ下りデータを送信する場合を説明する。図3に示す例において、監視装置1の送受信手段100は、第1の送信手段102aと、第2の送信手段102bとを備える。第1の送信手段102aは、第1の監視対象ネットワーク10aに送信するためのアドレス“RD_1”が付与される。第2の送信手段102bは、第2の監視対象ネットワーク10bに送信するためのアドレス“RD_2”が付与される。下りデータは例えば、監視対象機器11におけるサンプリングレートやヘッダの解析方法などの情報である。
【0052】
まず、第1の処理手段121aは、第1の監視対象ネットワーク10aの第1の監視対象機器11aに下りデータを送信する際、ステップS201において、宛先アドレスとして“NWD_11”を指定して、第1の送信手段102aに入力する。ステップS202において第1の送信手段102aは、入力された下りデータを暗号化して、ステップS203において第1の暗号化ネットワーク15aを介して、第1の中継装置14aに送信する。
【0053】
第1の中継装置14aは、監視装置1から暗号化済み下りデータを受信すると、ステップS204においてそのデータを復号化する。さらにステップS205において第1の中継装置14aは、復号化した下りデータを、宛先アドレス“NWD_11”に対応する第1の監視対象機器11aに入力する。第1の監視対象機器11aは、受信した下りデータに基づいて、サンプリングレートの変更などの処理をする。
【0054】
また、第2の処理手段121bは、第2の監視対象ネットワーク10bの第2の監視対象機器11bに下りデータを送信する際、ステップS206において、宛先アドレスとして“NWD_21”を指定して、第2の送信手段102bに入力する。ステップS207において第2の送信手段102bは、入力された下りデータを暗号化して、ステップS208において第2の暗号化ネットワーク15bを介して、第2の中継装置14bに送信する。
【0055】
第2の中継装置14bは、監視装置1から暗号化済み下りデータを受信すると、ステップS209においてそのデータを復号化する。さらにステップS210において第2の中継装置14bは、復号化した下りデータを、宛先アドレス“NWD_21”に対応する第2の監視対象機器11bに入力する。第2の監視対象機器11bは、受信した下りデータに基づいて、サンプリングレートの変更などの処理をする。
【0056】
なお図2および図3においては、監視装置1からみた監視対象機器11のアドレスが重複する場合、具体的には、“NWD_11”と“NWD_21”が同一の場合にも対応可能な実装例である。図2に示す例では、各監視対象機器11が、当該監視対象機器11が属する監視対象ネットワーク10を処理する処理手段に付与されたアドレスを宛先として指定する。また図3に示す例では、送受信手段100が、監視対象ネットワーク10ごとの送信手段を有し、各処理手段が、所定の送信手段に下りデータを入力する。本発明の実施の形態は、監視対象機器11のアドレスの重複を解決し、監視対象ネットワーク10ごとにトラフィックデータの収集することができる。
【0057】
(監視装置)
図4を参照して、本発明の実施の形態に係る監視装置1を説明する。監視装置1は、中央処理制御装置120、記憶装置140および送受信手段100を備えた一般的なコンピュータである。送受信手段100は、通信インタフェースなどの送受信装置をそれぞれ仮想化した手段であっても良い。
【0058】
記憶装置140は、監視プログラムを記憶するとともに、監視対象データ141、処理アドレスデータ142、トラフィック蓄積データ143、トラフィック解析データおよびアクセス権データ145を記憶する。
【0059】
監視対象データ141は、監視対象ネットワーク10の識別子と、当該監視対象ネットワーク10に属する監視対象機器11の識別子とを対応づけたデータである。監視対象データ141は、図5に示すように、監視対象ネットワークID“NW_1”と、このネットワークに属する監視対象機器ID“NWD_11”とを対応づけて記憶する。図5に示す例において、監視対象ネットワークID”NW_1“は、図1に示す第1の監視対象ネットワークIDの識別子であり、監視対象機器ID“NWD_11”は、図1に示す第1の監視対象機器11aのアドレスである。
【0060】
処理アドレスデータ142は、監視装置1が、各監視対象ネットワーク10とデータを送受信するときに参照するデータである。処理アドレスデータ142は、監視対象ネットワーク10の識別子をキーに、上りデータを処理するときに用いるアドレスと、下りデータを処理するときに用いるアドレスとを対応づける。
【0061】
ここで、上りデータを処理するときに用いる上り処理アドレスは、監視対象機器11から送信されたトラフィックデータの宛先アドレスである。この上りアドレスは、当該監視対象機器11が属する監視対象ネットワーク10のトラフィックデータを処理する処理手段に割り当てられたアドレスである。この上り処理アドレスを、対応する監視対象ネットワーク10の監視対象機器11も保持する。具体的には、第1の監視対象ネットワーク10aの第1の監視対象機器11aのトラフィックは第1の処理手段121aが処理する。そこで、第1の監視対象ネットワーク“NW_1”に、第1の処理手段121aのアドレス“NWP_1”が対応づけられている。また第1の監視対象機器11aは、第1の処理手段121aのアドレス“NWP_1”を予め保持し、このアドレスを使って第1の処理手段121aにトラフィックデータを送信する。
【0062】
下りデータを処理するときに用いる下り処理アドレスは、監視対象ネットワーク10の識別子と、当該監視対象ネットワーク10に送信する際に用いる送受信手段100のアドレスである。具体的には、第1の監視対象ネットワーク10aの第1の監視対象機器11aに下りデータを送信する際、第1の処理手段121aは、送受信手段100の第1の送信手段102aに下りデータを入力する。そこで、第1の監視対象ネットワーク“NW_1”に、第1の送信手段102aのアドレス“RD_1”が対応づけられている。
【0063】
トラフィック蓄積データ143は、監視対象機器11から受信したトラフィックデータを、監視対象機器11の識別子と、この監視対象機器11の属する監視対象ネットワーク10の識別子とを対応づけたデータである。トラフィック蓄積データ143は、図7に示すように、監視対象ネットワークID“NW_1”と、監視対象機器ID“NWE_12”と、この監視対象機器11から受信したトラフィックデータとを対応づけて記憶する。監視対象ネットワークID“NW_1”は、図1に示す第1の監視対象ネットワーク10aの識別子である。監視対象機器ID“NWD_11”は、図1に示す第1の監視対象ネットワーク10aに属する監視対象機器11のアドレスである。トラフィック蓄積データ143は、各レコードを識別するためにさらに、トラフィックデータの受信時刻を対応づけても良い。
【0064】
トラフィック解析データ144は、トラフィック蓄積データ143に蓄積されたトラフィックデータを、監視対象ネットワーク10ごとに解析したデータである。従ってトラフィック解析データ144は、監視対象ネットワーク10の識別子と、この監視対象ネットワーク10の解析データとを対応づける。解析データは、この監視対象ネットワーク10に属する監視対象機器11のトラフィックデータから生成される。
【0065】
アクセス権データ145は、トラフィック解析データ144の参照の問い合わせを受けた際、問い合わせしたユーザのアクセス権に基づいて参照可能なトラフィック解析データ144を出力するために参照される。アクセス権データ145は、図8に示すように、ユーザIDと、このユーザが参照可能なネットワークIDとを対応づけたデータである。ここでネットワークIDは、監視対象ネットワーク10の識別子である。図8に示す例において、ユーザID“UID_001“のユーザは、第1の監視対象ネットワーク10aに関するトラフィック解析データ144のみを参照可能であることを示す。ユーザID“UID_003“のユーザは、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bに関するトラフィック解析データ144を参照可能であることを示す。
【0066】
送受信手段100は、監視対象ネットワーク10からの接続を受け付けて処理手段121に入力するとともに、処理手段121の処理結果を返す。送受信手段100は、受信手段101、第1の送信手段102a、第2の送信手段102b、・・・・第nの送信手段102nを備える。
【0067】
受信手段101は、監視対象ネットワーク10から受信したデータを、その宛先に従って、処理手段121に入力する。具体的には、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aの監視対象機器11から受信したトラフィックデータの宛先は、第1の処理手段121aであるので、受信したトラフィックデータを第1の処理手段121aに入力する。同様に、受信手段101は、受信したトラフィックデータの宛先に応じて、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nのいずれかに入力する。
【0068】
ここで受信手段101は、各監視対象ネットワーク10から暗号化されたトラフィックデータが送信された場合、復号化して処理手段に入力する。
【0069】
第1の送信手段102aは、中央処理制御装置120から入力されたデータを、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aに送信する。第1の送信手段102aが送信するデータの宛先は、第1の監視対象ネットワーク10aに属するいずれかの監視対象機器11のアドレスが設定される。監視対象ネットワーク10は、第1の処理手段121a、第1の送信手段102aおよび第1の暗号化ネットワーク15aを介して受信したデータを、その宛先に従って監視対象機器11に送信する。図6に示す処理アドレスデータ142において、第1の送信手段102aは、アドレス“RD_1”が対応づけられる。
【0070】
第2の送信手段102b、およびその他の送信手段も同様である。
【0071】
ここで、送受信手段100の受信手段101、第1の送信手段102a、第2の送信手段102b、…第nの送信手段102nの各処理は、物理的に個別の手段でなくとも良く、論理的に設定されるものでもかまわない。例えば、仮想化技術により実現しても良いし、各手段の処理を、一つの送受信装置を時間的に振り分けることにより実現しても良い。
【0072】
また送受信手段100は、各監視対象ネットワーク10から暗号化されたデータが送信された場合、復号化して処理手段121に入力する。また送受信手段100は、必要に応じて、処理手段121が出力したデータを暗号化して、各監視対象ネットワーク10に送信する。
【0073】
制御装置インタフェース150は、監視装置1が監視制御装置2と通信するためのインタフェースである。制御装置インタフェース150は、監視制御装置2から入力された情報を、中央処理制御装置120に入力する。
【0074】
解析提供インタフェース160は、監視装置1が端末21と通信するためのインタフェースである。ここで、端末21は、解析提供インタフェース160を介して、端末21を利用しているユーザが閲覧可能な監視対象ネットワーク10のトラフィック解析データ144を参照することができる。ここで、監視装置1は、端末21がアクセス可能なポータルサイトを提供して、ユーザにポータルサイトを介してログインさせて、ユーザのアクセス権に応じたトラフィック解析データ144を提供しも良い。
【0075】
中央処理制御装置120は、処理手段121、解析手段122および解析提供手段123を備える。
【0076】
処理手段121は、監視対象ネットワーク10に属する監視対象機器11からトラフィックデータを受信し、当該監視対象ネットワーク10の識別子と、監視対象機器11のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。ここで、本発明の実施の形態において処理手段121は、監視対象機器11からトラフィックデータを受信すると、監視対象データ141を読み出して、送信元の監視対象機器11の識別子に対応する監視対象ネットワーク10の識別子を抽出する。処理手段121は、当該監視対象ネットワーク10の識別子と、送信元の監視対象機器11のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。この方法は、他の監視対象機器11とアドレスに重複がない監視対象機器11からトラフィックデータを受信した場合に好適である。
【0077】
本発明の実施の形態において処理手段121は、監視対象ネットワーク10ごとにエージェントを備え、各エージェントには、対応する監視対象ネットワーク10から送信されるトラフィックデータの宛先となるアドレスが付与される。ここで、各エージェントに付与されるアドレスは、IPアドレスでも良いし、IPアドレスとポート番号の組み合わせであっても良い。監視対象機器11がトラフィックデータを送信する際の宛先を一意に識別できれば良い。
【0078】
具体的には、処理手段121は、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nなどの複数のエージェントを有する。ここで、処理手段121の第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nの各処理は、物理的に個別の手段でなくとも良く、論理的に設定されるものでもかまわない。例えば、各手段の処理を、時間的に振り分けて実行することにより実現しても良い。
【0079】
第1の処理手段121aは、第1の監視対象ネットワーク10aに属する監視対象機器11のトラフィックデータを受信する。本発明の実施の形態において、第1の処理手段121aには、アドレス“NWP_1”が付与される。第1の監視対象ネットワーク10aに属する監視対象機器11は、アドレス“NWP_1”宛に、トラフィックデータを送信することにより、第1の処理手段121aは、第1の監視対象ネットワーク10aの監視対象機器11が送信したトラフィックデータを受信する。第1の処理手段121aは、このように受信したトラフィックデータを、第1の監視対象ネットワーク10aの識別子と、送信元の監視対象機器11の識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。ここで送信元の第1の監視対象機器11aの識別子は、第1の監視対象ネットワーク10a内で一意に識別可能なプライベートアドレスでも良い。第1の処理手段121aが、このようなプライベートアドレスに、第1の監視対象ネットワーク10aの識別子を対応づけることにより、監視装置1のすべての監視対象機器11から一意に識別することができる。
【0080】
第2の処理手段121bは、第2の監視対象ネットワーク10bに属する監視対象機器のトラフィックデータを受信する。本発明の実施の形態において、第2の処理手段121bには、アドレス“NWP_2”が付与される。第2の監視対象ネットワーク10bに属する監視対象機器11は、アドレス“NWP_2”宛に、トラフィックデータを送信することにより、第2の処理手段121bは、第2の監視対象ネットワーク10bの監視対象機器11が送信したトラフィックデータを受信する。第2の処理手段121bは、このように受信したトラフィックデータを、第2の監視対象ネットワーク10bの識別子と、送信元の監視対象機器11の識別子と、受信したトラフィックデータとを対応づけて、トラフィック蓄積データ143に記憶する。ここで送信元の監視対象機器11の識別子は、第2の監視対象ネットワーク10b内で一意に識別可能なプライベートアドレスでも良い。第2の処理手段121bが、このようなプライベートアドレスに、第2の監視対象ネットワーク10bの識別子を対応づけることにより、監視装置1のすべての監視対象機器11から一意に識別することができる。
【0081】
例えば図1に示す例において、第1の監視対象ネットワーク10aの第1の監視対象機器11aは、アドレス“NWD_11”が付与され、第2の監視対象ネットワーク10bの第2の監視対象機器11bは、アドレス“NWD_21”が付与される。ここで、アドレス“NWD_11”と“NWD_21”とが同一の場合を考える。監視装置1は、このような監視対象機器11からトラフィックデータを受信したとしても、その送信元アドレスが同一の場合、いずれの監視対象機器から受信したのか判別できない。
【0082】
そこで第1の監視対象ネットワーク10aに属する第1の監視対象機器11aが、第1の処理手段121a宛にトラフィックデータを送信する。これにより監視装置1は、第1の処理手段121aがそのトラフィックデータを受信し、そのトラフィックデータの送信元を、第1の監視対象ネットワーク10aに属する第1の監視対象機器11aと把握することができる。第2の監視対象ネットワーク10bに属する第2の監視対象機器11bについても同様である。第2の監視対象ネットワーク10aに属する第2の監視対象機器11bが、第2の処理手段121b宛にトラフィックデータを送信する。これにより監視装置1は、第2の処理手段121bが受信したトラフィックデータの送信元を、第2の監視対象ネットワーク10bに属する第2の監視対象機器11bと把握することができる。
【0083】
またさらに、処理手段121が、監視対象機器11の属する監視対象ネットワーク10の識別子と、トラフィックデータの送信元の監視対象機器11のアドレスとを対応づけて、トラフィック蓄積データに記憶する。これにより、監視対象機器11のアドレスが重複している場合でも、トラフィック蓄積データ143内で、どの監視対象機器11が出力したトラフィックデータかを一意に識別することができる。
【0084】
このように、処理手段121が、複数のエージェントを備えて処理する方法は、他の監視対象機器11とアドレスが重複する監視対象機器11からトラフィックデータを受信する場合に好適である。また他の実施例として、他の監視対象機器11とアドレス重複の有無にかかわらず、処理手段121が、複数のエージェントを備えて処理する方法を適用しても良い。
【0085】
処理手段121が、監視対象機器11宛にデータを送信する際、第1の処理手段121a、第2の処理手段121b、…第nの処理手段121nが、各監視対象ネットワーク10の監視対象機器11に入力する。例えば、後述する解析手段122によって、監視対象ネットワーク10になんらかの異常が生じた場合、処理手段121は、その監視対象ネットワーク10の管理者にアラーム情報を送信する。また、各監視対象ネットワーク10に属する端末21の要求に応じて、処理手段121は、当該端末21で閲覧可能なトラフィック解析データ144を提供する。さらに、適切なトラフィックデータを得るためのサンプリングレートの設定指示などのデータを、処理手段121は、監視対象ネットワーク10の監視対象機器11に送信する。
【0086】
このような、処理手段121が、監視対象ネットワーク10の監視対象機器11にデータを送信する際、処理アドレスデータ142を読み出して、当該監視対象ネットワークに対応するアドレス宛にデータを送信する。具体的には、第1の処理手段121aが第1の監視対象ネットワーク10aの第1の監視対象機器11aにデータを送信する場合、処理アドレスデータ142から、第1の監視対象ネットワーク10aに対応する下り処理アドレス“RD_1”を抽出する。第1の処理手段121aは、送受信手段100のアドレス“RD_1”に対応する送信手段、具体的には第1の送信手段102aにデータを入力する。第1の送信手段102aは、にデータが入力されると、第1の暗号化ネットワーク15aを介して、第1の監視対象ネットワーク10aにデータを送信する。
【0087】
解析手段122は、処理手段121によって収集されたトラフィックデータを、監視対象ネットワークごとに解析し、トラフィック解析データ144に記憶する。解析手段122は、トラフィック蓄積データ143から、監視対象ネットワーク10ごとにトラフィックデータを抽出し、抽出されたトラフィックデータから生成したトラフィック解析データ144を、監視対象ネットワーク10の識別子に対応づけて記憶する。解析手段122は、トラフィック蓄積データ143から、第1の監視対象ネットワーク10aの識別子が対応づけられたトラフィックデータを抽出し、所定の手法で解析する。その結果得られるトラフィック解析データ144を、第1の監視対象ネットワーク10aの識別子と対応づけて、記憶装置140に記憶する。
【0088】
解析手段122は、さまざまなタイプのトラフィック変動の分析を行うことで、新たなネットワーク設計の基礎データとして用いることを可能とする。また、解析手段122は、トラフィック異常時のデータの蓄積とパターンの解析によって、故障やハッキングのタイプに応じたトラフィックパターンを得ることも可能とする。このように出力されるトラフィック解析データ144は、たとえば、需要変動予測にも用いるなど、幅広い応用が期待できる。
【0089】
解析提供手段123は、ユーザの識別子とともに解析データの参照要求が入力されると、アクセス権データ145に基づいて、入力されたユーザの識別子に対応する監視対象ネットワーク10の識別子に対応づけられたトラフィック解析データ144を出力する。図8に示す例において、ユーザID“UID_001“のユーザから参照要求があると、解析提供手段123は、第1の監視対象ネットワーク10aに関するトラフィック解析データ144のみを提供する。ユーザID“UID_003“のユーザから参照要求があると、解析提供手段123は、第1の監視対象ネットワーク10aおよび第2の監視対象ネットワーク10bに関するトラフィック解析データ144を提供する。
【0090】
このような本発明の実施の形態に係る監視システム3は、ネットワーク上のサーバ上にある監視装置1において、複数の監視対象ネットワーク10内のそれぞれ複数の監視対象機器11のトラフィック情報を収集する。さらに監視システム3は、監視対象ネットワーク10の単位で、所定の監視対象ネットワーク10に属する複数の監視対象機器11のトラフィックを収集して解析することで、この監視対象ネットワーク10を監視する。
【0091】
このような本発明の実施の形態に係る監視システム3は、複数の監視対象ネットワーク10を、ひとつの監視装置1が監視することができる。従来のように、個々の監視対象ネットワーク10にひとつの監視装置が必要であった場合に比べ、監視対象ネットワーク10のユーザにとっては、従来に比べ導入コストを軽減することができる。また、本発明の実施の形態に係る監視システム3は、従来の監視装置のためのハードウェアおよびソフトウェアを容易する必要もなく維持管理コストも、軽減することができる。
【0092】
また監視対象ネットワーク10の監視対象機器11は、ユーザの通信内容にかかわるような実データを含まずにヘッダ情報およびヘッダの解析情報のみを送付する。これにより、監視対象ネットワーク10および監視装置1間のセキュリティを、相対的に安価なセキュリティシステムで実現することで、監視対象ネットワーク10外の監視装置1にトラフィックデータを送信することができる。これにより、ユーザが必要とするセキュリティを確保しつつ、事業者は安価にサービスを提供することができる。
【0093】
また、監視装置1を提供する事業者にとっては、複数の監視対象ネットワーク10を1箇所で集中して監視することができるので、その運用コストおよび保守コストが大幅に軽減することが期待できる。また、複数のネットワークからトラフィックデータを集約して収集することにより、監視装置1は、膨大な通信トラフィックデータを容易に解析することができる。これにより、新たなネットワーク設計の基礎データに資することが可能となる。
【0094】
このように本発明の実施の形態に係る監視システム3は、監視対象ネットワーク10のユーザおよびサービス提供者双方にとって、従来技術では得られない、大きな効果が期待できる。
【0095】
(変形例)
本発明の実施の形態においては、各監視対象ネットワーク10の監視対象機器11のアドレスがプライベートアドレス空間で、監視対象ネットワーク10を越えて重複する可能性がある場合を説明した。一方変形例においては、監視対象機器11のアドレスが重複しない場合を説明する。
【0096】
本発明の変形例において、図1に示す例のアドレス“NWD_11”、“NWD_12”、“NWD_13”、“NWD_21”、“NWD_22”および“NWD_23”がすべて異なる場合を想定する。また、本発明の変形例において、図4に示すような、送受信手段100が複数の仮想化手段を備える必要もなく、処理手段121も複数のエージェントを備える必要がない。変形例において、監視装置1に一つのアドレスが付与されていれば良い。
【0097】
監視対象ネットワーク10の監視対象機器11は、監視装置1のアドレスを宛先アドレスに設定して、トラフィックデータを送信する。監視装置1の処理手段121は、監視対象機器11からトラフィックデータを受信すると、監視対象データ141を読み出して、送信元の監視対象機器11の識別子に対応する監視対象ネットワーク10の識別子を抽出する。さらに処理手段121は、当該監視対象ネットワーク10の識別子と、監視対象機器のアドレスと、受信したトラフィックデータとを対応づけてトラフィック蓄積データ143に記憶する。
【0098】
また監視装置1が監視対象機器11にデータを送信する際、送受信手段100を介して、その監視対象機器11のアドレス宛にデータを送信すればよい。
【0099】
ほかの実施例として、監視装置1と監視対象ネットワーク10とがVPNで接続されている場合、処理手段121は、そのデータが送信されたVPNの識別子によって、送信元の監視対象ネットワーク10を特定しても良い。具体的には、処理手段121は、第1の暗号化ネットワーク15aを介してトラフィックデータを受信すると、その送信元の監視対象機器11は、第1の監視対象ネットワーク10aに属すると把握することができる。また、監視装置1が監視対象機器11にデータを送信する際、送受信手段100を介して、その監視対象機器11のアドレス宛にデータを送信すれば良い。
【0100】
(その他の実施の形態)
上記のように、本発明の実施の形態によって記載したが、この開示の一部をなす論述および図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例および運用技術が明らかとなる。
【0101】
例えば、本発明の実施の形態に記載したサービス制御装置は、図3に示すように一つのハードウェア上に構成されても良いし、その機能や処理数に応じて複数のハードウェア上に構成されても良い。
【0102】
本発明はここでは記載していない様々な実施の形態などを含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0103】
1 監視装置
2 監視制御装置
3 監視システム
10 監視対象ネットワーク
11 監視対象機器
14 中継装置
15 暗号化ネットワーク
21 端末
100 送受信手段
101 受信手段
102 送信手段
120 中央処理制御装置
121 処理手段
122 解析手段
123 解析提供手段
140 記憶装置
141 監視対象データ
142 処理アドレスデータ
143 トラフィック蓄積データ
144 トラフィック解析データ
145 アクセス権データ
図1
図2
図3
図4
図5
図6
図7
図8
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.