(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-02-15
(45)【発行日】2023-02-24
(54)【発明の名称】異常ホストのモニタニング
(51)【国際特許分類】
H04L 43/00 20220101AFI20230216BHJP
H04L 12/22 20060101ALI20230216BHJP
H04L 12/66 20060101ALI20230216BHJP
H04L 41/0895 20220101ALI20230216BHJP
【FI】
H04L43/00
H04L12/22
H04L12/66
H04L41/0895
【請求項の数】
11
(21)【出願番号】P 2021555483
(86)(22)【出願日】2020-03-19
(65)【公表番号】
(43)【公表日】2022-05-11
(86)【国際出願番号】 CN2020080223
(87)【国際公開番号】W WO2020187295
(87)【国際公開日】2020-09-24
【審査請求日】2021-09-14
(31)【優先権主張番号】201910212398.8
(32)【優先日】2019-03-20
(33)【優先権主張国・地域又は機関】CN
(73)【特許権者】
【識別番号】518056748
【氏名又は名称】新華三技術有限公司
【氏名又は名称原語表記】NEW H3C TECHNOLOGIES CO., LTD.
(74)【代理人】
【識別番号】110002468
【氏名又は名称】弁理士法人後藤特許事務所
(72)【発明者】
【氏名】候 叶飛
【審査官】鈴木 香苗
(56)【参考文献】
【文献】特開2011-124774(JP,A)
【文献】米国特許出願公開第2018/0027012(US,A1)
【文献】韓国公開特許第10-2016-0002269(KR,A)
【文献】特開2012-147377(JP,A)
【文献】米国特許出願公開第2016/0359888(US,A1)
【文献】特開2005-198090(JP,A)
【文献】中国特許出願公開第106888217(CN,A)
【文献】中国特許出願公開第107438068(CN,A)
【文献】特開2016-208092(JP,A)
【文献】特開2014-011674(JP,A)
【文献】特開2000-183968(JP,A)
【文献】特開2006-197518(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/00
H04L 12/22
H04L 12/66
H04L 41/0895
(57)【特許請求の範囲】
【請求項1】
データ処理機器に用いられる異常ホストモニタニング方法であって、デプロイ済みホストのホスト情報をコントローラから取得するステップであって、前記ホスト情報は、前記デプロイ済みホストのアドレス情報を含むステップと、
ルーティング管理機器と交渉してボーダーゲートウェイプロトコル(BGP)ピアを確立するステップと、
検出すべきホストのルーティング情報を取得するステップであって、前記ルーティング情報は、前記検出すべきホストのアドレス情報を含むステップと、
前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれているか否かを特定するステップと、
前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれていない場合に、前記検出すべきホストを異常ホストとして特定するステップと、を含み、
前記検出すべきホストのルーティング情報を取得するステップは、
前記ルーティング管理機器から送信された前記検出すべきホストのルーティング情報を受信することを含む、
ことを特徴とする異常ホストモニタニング方法。
【請求項2】
前記異常ホストモニタニング方法は、前記デプロイ済みホストのリンク層検出プロトコル(LLDP)情報を前記コントローラから取得し、前記LLDP情報は、前記デプロイ済みホストに関連する第1エッジ機器の機器情報を含み、前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれている場合に、前記異常ホストモニタニング方法は、
目標ホストに関連する第1エッジ機器の機器情報を前記LLDP情報から取得するステップであって、前記目標ホストは、前記検出すべきホストと同じアドレス情報を有するデプロイ済みホストであるステップと、
前記検出すべきホストに関連する第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが異なる場合に、前記検出すべきホストを前記異常ホストとして特定するステップであって、前記検出すべきホストに関連する前記第2エッジ機器の機器情報は、前記ルーティング情報に含まれるステップと、を更に含み、
ことを特徴とする請求項1に記載の異常ホストモニタニング方法。
【請求項3】
前記ホスト情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記LLDP情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記目標ホストに関連する前記第1エッジ機器の機器情報を前記LLDP情報から取得するステップは、
前記目標ホストのアドレス情報に基づいて当該目標ホストのホスト情報を検索し、前記目標ホストのホスト識別子を取得することと、
前記目標ホストのホスト識別子に基づいて当該目標ホストのLLDP情報を検索し、前記目標ホストに関連する前記第1エッジ機器の機器情報を取得することと、を含むことを特徴とする請求項2に記載の異常ホストモニタニング方法。
【請求項4】
前記検出すべきホストに関連する前記第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが同じである場合に、前記検出すべきホストを正常ホストとして特定するステップを更に含むことを特徴とする請求項2に記載の異常ホストモニタニング方法。
【請求項5】
前記検出すべきホストのルーティング情報を取得した後、前記異常ホストモニタニング方法は、前記検出すべきホストに対応するエントリが履歴データベースに存在するか否かを特定するステップと、
前記検出すべきホストに対応するエントリが前記履歴データベースに存在する場合に、前記ルーティング情報及び前記ルーティング情報の取得時間を前記エントリに記憶するステップと、
前記検出すべきホストに対応するエントリが前記履歴データベースに存在しない場合に、前記検出すべきホストに対応するエントリを前記履歴データベースに追加し、追加されたエントリに前記ルーティング情報及び前記ルーティング情報の取得時間を記憶するステップと、を更に含むことを特徴とする請求項1に記載の異常ホストモニタニング方法。
【請求項6】
データ処理機器に用いられる異常ホストモニタニング装置であって、デプロイ済みホストのホスト情報をコントローラから取得するための第1取得モジュールであって、前記ホスト情報は、前記デプロイ済みホストのアドレス情報を含む第1取得モジュールと、
ルーティング管理機器と交渉してBGPピアを確立するための確立モジュールと、
検出すべきホストのルーティング情報を取得するための第2取得モジュールであって、前記ルーティング情報は、前記検出すべきホストのアドレス情報を含む第2取得モジュールと、
前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれているか否かを特定するための第1判断モジュールと、
前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれていない場合に、前記検出すべきホストを異常ホストとして特定するための第1特定モジュールと、を備え、
前記第2取得モジュールは、前記ルーティング管理機器から送信された前記検出すべきホストのルーティング情報を受信するために用いられる、
ことを特徴とする異常ホストモニタニング装置。
【請求項7】
前記異常ホストモニタニング装置は、前記デプロイ済みホストのLLDP情報を前記コントローラから取得するための第3取得モジュールを更に備え、前記LLDP情報は、前記デプロイ済みホストに関連する第1エッジ機器の機器情報を含み、前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれている場合に、前記異常ホストモニタニング装置は、
目標ホストに関連する前記第1エッジ機器の機器情報を前記LLDP情報から取得するための第4取得モジュールであって、前記目標ホストは、前記検出すべきホストと同じアドレス情報を有するデプロイ済みホストである第4取得モジュールと、
前記検出すべきホストに関連する第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが異なる場合に、前記検出すべきホストを前記異常ホストとして特定するための第2特定モジュールであって、前記検出すべきホストに関連する前記第2エッジ機器の機器情報は、前記ルーティング情報に含まれる第2特定モジュールと、を更に備え、
ことを特徴とする請求項6に記載の異常ホストモニタニング装置。
【請求項8】
前記ホスト情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記LLDP情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記第4取得モジュールは、前記目標ホストのアドレス情報に基づいて当該目標ホストのホスト情報を検索し、前記目標ホストのホスト識別子を取得し、前記目標ホストのホスト識別子に基づいて当該目標ホストのLLDP情報を検索し、前記目標ホストに関連する前記第1エッジ機器の機器情報を取得するために用いられることを特徴とする請求項7に記載の異常ホストモニタニング装置。
【請求項9】
前記第2特定モジュールは、更に、前記検出すべきホストに関連する前記第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが同じである場合に、前記検出すべきホストを正常ホストとして特定するために用いられることを特徴とする請求項7に記載の異常ホストモニタニング装置。
【請求項10】
前記異常ホストモニタニング装置は、前記検出すべきホストのルーティング情報が前記第2取得モジュールによって取得された後、前記検出すべきホストに対応するエントリが履歴データベースに存在するか否かを特定するための第2判断モジュールと、
前記検出すべきホストに対応するエントリが前記履歴データベースに存在する場合に、前記ルーティング情報及び前記ルーティング情報の取得時間を前記エントリに記憶するための記憶モジュールと、
前記検出すべきホストに対応するエントリが前記履歴データベースに存在しない場合に、前記検出すべきホストに対応するエントリを前記履歴データベースに追加し、追加されたエントリに前記ルーティング情報及び前記ルーティング情報の取得時間を記憶するための追加モジュールと、を更に備えることを特徴とする請求項6に記載の異常ホストモニタニング装置。
【請求項11】
データ処理機器であって、機器読み取り可能な記憶媒体と、プロセッサと、を備え、
前記機器読み取り可能な記憶媒体には、機器読み取り可能な指令が記憶され、
前記プロセッサは、前記機器読み取り可能な指令を呼び出すことにより、請求項1から5の何れか一項に記載の異常ホストモニタニング方法を実行することを特徴とするデータ処理機器。
【発明の詳細な説明】
【背景技術】
【0001】
イーサネット仮想プライベートネットワーク(Ethernet Virtual Private Network、EVPN)は、レイヤ2仮想プライベートネットワーク(Virtual Private Network、VPN)技術であり、制御プレーンがマルチプロトコルボーダーゲートウェイプロトコル(Multi Protocol Border Gateway Protocol、MP-BGP)を用いてルーティング情報を通知し、データプレーンが仮想拡張可能ローカルエリアネットワーク(Virtual eXtensible Local Area Network、VXLAN)カプセル化方式を用いてパケットを転送する。VXLANは、IP(Internet Protocol)ネットワークに基づく、媒体アクセス制御(Media Access Control、MAC)及びユーザデータグラムプロトコル(User Datagram Protocol、UDP)のカプセル化形態を採用したレイヤ2VPN技術である。VXLANは、既存のサービスプロバイダ又は企業IPネットワークに基づいて、分散のサイトへレイヤ2相互接続を提供可能であるとともに、異なるテナントへサービスのアイソレーションを提供することもできる。
【0002】
EVPNネットワークは、ホスト及びエッジ機器を備える。エッジ機器は、ホストの転送エントリを学習し、転送エントリを利用してデータパケットをホストへ送信してもよい。例えば、エッジ機器Aは、ホストAから送信されたアドレス解析プロトコル(Address Resolution Protocol、ARP)パケットを受信した後、ホストAの転送エントリ1を学習し、ホストAのアドレスをエッジ機器Bへ通知し、エッジ機器Bは、ホストAの転送エントリ2を学習する。エッジ機器Bは、ホストBからホストAに送信されたデータパケットを受信すると、転送エントリ2を利用してデータパケットをエッジ機器Aへ送信し、エッジ機器Aは、転送エントリ1を利用してデータパケットをホストAへ送信する。
【図面の簡単な説明】
【0003】
本発明の実施例又は従来技術における技術案がより明瞭に説明されるように、以下では、本発明の実施例又は従来技術の記述に使用必要な図面を簡単に紹介する。明らかに、以下の記述に係る図面が単に本発明に記載の幾つかの実施例に過ぎず、当業者であれば、本発明の実施例のこれらの図面から他の図面を取得可能である。
【図1】本発明の一実施例における応用場面の模式図である。
【図2】本発明の一実施例における異常ホストモニタニング方法のフローチャートである。
【図3】本発明の別の実施例における異常ホストモニタニング方法のフローチャートである。
【図4】本発明の一実施例における異常ホストモニタニング装置の構成図である。
【図5】本発明の一実施例におけるデータ処理機器のハードウェア構成図である。
【発明を実施するための形態】
【0004】
本発明の実施例で使用される用語は、単に特定の実施例を記述する目的であり、本発明を制限するためのものではない。本発明及び添付する特許請求の範囲で使用される単数形式の「一種」、「前記」及び「当該」も、文脈から他の意味を明瞭で分かる場合でなければ、複数の形式も含むことを意図する。理解すべきことは、本文で使用される用語「及び/又は」が、1つ又は複数の関連する列挙項目を含む如何なる或いは全ての可能な組み合わせを指す。
【0005】
理解すべきことは、本発明の実施例において第1、第2、第3等という用語を用いて各種の情報を記述するが、これらの情報は、これらの用語に限定されるものではない。これらの用語は、単に同一のタイプの情報同士を区分するために用いられる。例えば、本発明の範囲を逸脱しない限り、第1情報が第2情報と呼称されてもよく、類似的に、第2情報が第1情報と呼称されてもよい。これは、コンテキストに依存する。例えば、ここで使用される言葉「場合」は、「…とき」や「…ときに」あるいは「特定の状況に応じて」として解釈されてもよい。
【0006】
EVPNネットワークが攻撃を受けたときに、攻撃者がホストを介して大量の攻撃ARPパケットを送信する可能性があるため、エッジ機器は、大量の転送エントリを学習してしまう。このように、エントリリソースの浪費が発生し、エッジ機器の処理性能へ影響を与える。そこで、一例では、エッジ機器は、ARPパケットを受信した後、ARPパケットをコントローラへ送信して、ARPパケットが攻撃者から送信されたものであるかをコントローラに分析させる。ARPパケットが攻撃者から送信されたものである場合に、コントローラは、警告情報を生成して、管理者に攻撃行為に応対させてもよい。
【0007】
しかし、EVPNネットワークに大量のARPパケットが存在し、これらのARPパケットが攻撃者から送信されたものであるか否かはコントローラによって分析されることは、作業量が非常に大きくて、コントローラの大量のリソースが費やされ、処理性能が低減される。
【0008】
本発明の実施例は、異常ホストモニタニング方法を提出する。当該方法は、ホスト、エッジ機器、コントローラ、クラウドプラットフォーム、ルーティング管理機器及びデータ処理機器を含むネットワーク、例えばEVPNネットワーク等に適用可能である。図1は、本発明の実施例の応用場面の模式図である。図1において、ホスト111及びホスト112を例として説明したが、実際の応用において、ホストの数は、より多くなってもよい。また、エッジ機器121及びエッジ機器122を例として説明したが、実際の応用において、エッジ機器の数は、より多くなってもよい。
【0009】
ホスト111と112は、物理サーバ上で配置された仮想マシンであってもよく、物理サーバであってもよく、他のタイプのホスト、例えば、パソコン、端末機器、移動端末等であってもよい。
【0010】
エッジ機器121と122は、VXLANトンネルエンドポイント(VXLAN Tunnel End Point、VTEP)機器であってもよく、他のタイプのエッジ機器であってもよい。更に、VTEP機器は、EVPNネットワークのエッジ機器としてもよく、VXLANに関する処理は、何れもVTEP機器で行われる。
【0011】
コントローラ141は、ソフトウェア定義ネットワーク(Software Define Network、SDN)コントローラであってもよく、他のタイプのコントローラであってもよい。クラウドプラットフォーム151は、Openstackクラウドプラットフォームであってもよく、他のタイプのクラウドプラットフォームであってもよい。EVPNネットワークは、Openstackクラウドプラットフォーム及びSDNコントローラを用いて制御プレーンの機能を実現する。
【0012】
ルーティング管理機器131は、EVPNネットワークにおける全てのルーティング情報を収集する。例えば、ルーティング管理機器131は、ルートリフレクタ(Route Reflector、RR)であってもよく、他のタイプの機器であってもよい。
【0013】
データ処理機器161は、ビッグデータ処理システムにおける機器であってもよく、データ処理機器161は、ビッグデータ技術を採用してデータ収集、データ分析、データ記憶、データ統計、データマイニング等の機能を実現してもよい。
【0014】
本発明の実施例における異常ホストモニタニング方法を紹介する前に、以下の技術を先に紹介する。
【0015】
1、ホストタイプ。本実施例におけるホストは、デプロイ済みホストと検出すべきホストとに分けられてもよい。デプロイ済みホストは、ネットワークに本当に配置されたホストであり、正当なホストである。デプロイ済みホストは、オンラインホストとオフラインホストを含んでもよい。オンラインホストは、既にネットワークにアクセスしたホストであり、オフラインホストは、ネットワークへアクセスしていないホストであり、オンラインホストとオフラインホストは、何れもネットワークに本当に配置された正当なホストである。
【0016】
検出すべきホストは、検出が必要なホストであり、本実施例における異常ホストモニタニング方法は、当該検出すべきホストが異常ホストであるか否かを検出する。検出すべきホストが異常ホストである場合に、検出すべきホストは、デプロイ済みホストに属さず、異常処理を行う必要がある。検出すべきホストが異常ホストではなく、即ち、検出すべきホストが正常ホストである場合に、検出すべきホストは、デプロイ済みホストに属し、ネットワークへのアクセスが許可される。
【0017】
2、コントローラは、デプロイ済みホストのホスト情報を取得し、当該ホスト情報をローカルに記録する。
【0018】
一例では、クラウドプラットフォームは、テナントへホストを作成し(例えば、物理サーバ上でテナントへ仮想マシンを作成し、又は、物理サーバをテナントへ割り当てる)、当該ホストへホスト情報を割り当ててもよい。区分の便宜上、クラウドプラットフォームがテナントへ作成した全てのホストは、何れもデプロイ済みホストと呼称される。その後、クラウドプラットフォームは、デプロイ済みホストのホスト情報をコントローラへ送信して当該ホスト情報を記憶させる。
【0019】
注意すべきことは、EVPNネットワークにおける全てのデプロイ済みホストが何れもクラウドプラットフォームによって作成されてもよい。つまり、クラウドプラットフォームからコントローラへ送信されたホスト情報は、全てのデプロイ済みホストのホスト情報を含む。
【0020】
ホスト情報は、アドレス情報とホスト識別子を含んでもよいが、それらに限定されない。更に、当該アドレス情報は、IPアドレス、MACアドレス及びネットワーク識別子を含んでもよいが、それらに限定されない。ネットワーク識別子は、VNI(VXLAN Network Identifier、仮想拡張可能ローカルエリアネットワークのネットワーク識別子)等であってもよい。ホストが物理サーバ上に配置された仮想マシンである場合に、当該ホスト識別子は、当該仮想マシンの所在する物理サーバの機器識別子となってもよく、ホストが物理サーバである場合に、当該ホスト識別子は、当該物理サーバの機器識別子となってもよい。
【0021】
表1は、コントローラに記憶されたホスト情報の例示であり、これらのホスト情報は、EVPNネットワークにおける全てのデプロイ済みホストのホスト情報の例示であり、以降ではこれらのホスト情報を例として説明する。
【表1】
【0022】
3、コントローラは、上記デプロイ済みホストのリンク層検出プロトコル(Link Layer Discovery Protocol、LLDP)情報を取得し、デプロイ済みホストのLLDP情報をローカルに記憶してもよい。当該LLDP情報は、デプロイ済みホストに対応するホスト識別子、デプロイ済みホストに関連するエッジ機器の機器情報を含んでもよいが、それらに限定されない。当該機器情報は、IPアドレス及び/又はMACアドレス等を含んでもよい。
【0023】
一例では、デプロイ済みホストが物理サーバ上に配置された仮想マシンである場合に、デプロイ済みホストに対応するホスト識別子は、当該仮想マシンの所在する物理サーバの機器識別子となってもよく、デプロイ済みホストに関連するエッジ機器は、当該仮想マシンの所在する物理サーバに接続されたエッジ機器となってもよい。又は、デプロイ済みホストが物理サーバである場合に、デプロイ済みホストに対応するホスト識別子は、当該物理サーバの機器識別子となってもよく、デプロイ済みホストに関連するエッジ機器は、当該物理サーバに接続されたエッジ機器となってもよい。
【0024】
上記実施例を参照すると、デプロイ済みホストは、オンラインホストとオフラインホストを含んでもよい。オンラインホストに関し、オンラインホストのLLDP情報を取得するために、以下の方式を参照してもよい。
【0025】
図1に示すように、ホスト111がオンラインした後、即ち、ホスト111がオンラインホストになると、ホスト111は、ホスト111に接続されたエッジ機器121へLLDPパケットを送信してもよい。当該LLDPパケットは、ホスト111の管理アドレス、ホスト識別子等のコンテンツを含む。エッジ機器121は、LLDPパケットを受信した後、openflowを介して当該LLDPパケットをコントローラ141へ送信してもよい。
【0026】
ここで、コントローラ141は、エッジ機器121へ制御フローテーブルを配信してもよく、この制御フローテーブルは、エッジ機器121がLLDPパケットをコントローラ141へ送信するために用いられる。例えば、この制御フローテーブルのマッチフィールは、プロトコルタイプがLLDPタイプであることを含み、アクションは、コントローラへ報告することを含む。これにより、エッジ機器121は、LLDPパケットを受信した後、当該LLDPパケットが当該制御フローテーブルにマッチングしたため、LLDPパケットをコントローラ141へ送信してもよい。
【0027】
コントローラ141は、LLDPパケットを受信した後、ホスト111の管理アドレス、ホスト識別子等のコンテンツをLLDPパケットから取得する。また、コントローラ141が全てのエッジ機器を管理できるため、コントローラ141は、エッジ機器121から送信されたLLDPパケットを受信した後、エッジ機器121の機器情報(例えば、IPアドレス、MACアドレス等)を取得してもよい。このように、コントローラ141は、ホスト111のホスト識別子とエッジ機器121の機器情報を取得可能であり、当該ホスト識別子と当該機器情報は、ホスト111のLLDP情報に含まれる。
【0028】
オフラインホストに関し、オフラインホストのLLDP情報を取得するために、以下の方式を採用してもよい。
【0029】
(1)ホスト112がオンラインしておらず、且つオフラインホスト112が物理サーバ上に配置された仮想マシンであると仮定すれば、当該物理サーバが既にオンラインしている場合に、物理サーバは、当該物理サーバに接続されたエッジ機器122へLLDPパケットを送信してもよい。当該LLDPパケットは、物理サーバのホスト識別子を含み、このホスト識別子は、当該物理サーバ上に配置された全ての仮想マシンのホスト識別子でもある。
【0030】
エッジ機器122は、LLDPパケットを受信した後、当該LLDPパケットをコントローラ141へ送信する。コントローラ141は、LLDPパケットを受信した後、物理サーバのホスト識別子をLLDPパケットから取得し、エッジ機器122の機器情報(例えば、IPアドレス、MACアドレス等)を取得する。物理サーバのホスト識別子とエッジ機器122の機器情報は、ホスト112のLLDP情報に含まれる。
【0031】
(2)ホスト111がオンラインしておらず、且つオフラインホスト111が物理サーバであると仮定すれば、エッジ機器121は、ホスト111へLLDPパケットを送信してもよく、当該LLDPパケットには、エッジ機器121の機器情報(例えば、IPアドレス、MACアドレス等)が付加されてもよい。一例では、ホスト111がオンラインしていないが、そのオペレーティングシステム及びLLDPデーモンが依然として正常に動作しているため、オンラインしていない場合に、エッジ機器121から送信されたLLDPパケットを受信可能である。ホスト111は、LLDPパケットを受信した後、エッジ機器121の機器情報、ホスト111のホスト識別子をクラウドプラットフォーム151へ送信してもよい。ホストがクラウドプラットフォームによって直接制御されるため、内部チャンネルを介して情報をクラウドプラットフォームへ送信してもよい。クラウドプラットフォーム151は、エッジ機器121の機器情報、ホスト111のホスト識別子をコントローラ141へ送信し、エッジ機器121の機器情報、ホスト111のホスト識別子は、エッジ機器121のLLDP情報に含まれる。
【0032】
このように、コントローラ141は、各デプロイ済みホストのLLDP情報を取得し、各デプロイ済みホストのLLDP情報を記憶してもよい。表2は、LLDP情報の1つの例示である。
【表2】
【0033】
4、ルーティング管理機器は、ルーティング情報を受信し、当該ルーティング情報をエッジ機器に同期させる。
【0034】
一例では、図1に示すように、ホスト111は、オンラインしているとき、エッジ機器121へARPパケット(例えば、ARP要求パケット又はGratuitous ARPパケット等)を送信する。エッジ機器121は、ARPパケットを受信した後、ARPパケットのソースアドレス(即ち、ホスト111のアドレス、例えば、IPアドレス及び/又はMACアドレス等)とARPパケットのイングレスポートとの対応関係を転送エントリに記録してもよい。
【0035】
更に、エッジ機器121は、当該ARPパケットを受信した後、更にBGPメッセージ(例えば、MP-BGPメッセージ)を生成してもよい。当該BGPメッセージは、ルーティング情報を含んでもよい。当該ルーティング情報は、ホスト111のアドレス情報(当該アドレス情報は、IPアドレス、MACアドレス及びネットワーク識別子を含んでもよい)、エッジ機器121の機器情報(当該機器情報は、IPアドレス、MACアドレス等を含んでもよい)を含んでもよいが、それらに限定されない。
【0036】
エッジ機器121は、BGPメッセージを生成した後、BGPメッセージをエッジ機器122へ送信してもよい。エッジ機器122は、BGPメッセージを受信した後、BGPメッセージからホスト111のアドレス情報を取得し、ホスト111のアドレス情報(例えば、IPアドレス、MACアドレス及びネットワーク識別子等)とトンネルとの対応関係を転送エントリに記録してもよく、この転送エントリの学習手順について限定しない。当該トンネルは、エッジ機器122とエッジ機器121との間のトンネル、例えばVXLANトンネル等であってもよい。
【0037】
エッジ機器121がBGPメッセージをエッジ機器122へ送信することは、以下の2種の方式を含んでもよいが、それらに限定されない。
【0038】
方式一では、エッジ機器121がBGPメッセージをエッジ機器122へ直接送信可能である。
【0039】
方式二では、エッジ機器121がBGPメッセージをルーティング管理機器131へ送信し、ルーティング管理機器131がBGPメッセージを受信した後、当該BGPメッセージをエッジ機器122へ送信してもよい。
【0040】
方式一を実現するために、いずれか2つのエッジ機器の間でBGPピアを確立する必要がある。例えば、100個のエッジ機器が存在するときに、それぞれのエッジ機器は、何れも他の99個のエッジ機器とのBGPピアを確立する必要があり、ネットワークリソース及びCPU(Central Processing Unit)リソースの消耗は、非常に大きい。
【0041】
実施形態二では、EVPNネットワークにルーティング管理機器131(例えば、ルートリフレクタ)を配置してもよい。このように、各エッジ機器がルーティング管理機器131とのBGPピアを確立するだけでよく、他のエッジ機器とのBGPピアを確立する必要がなくなり、ネットワークリソース及びCPUリソースの消耗が低減される。
【0042】
EVPNネットワークにルーティング管理機器131が配置されたときに、方式二を用いてBGPメッセージを伝送してもよい。即ち、各エッジ機器は、BGPメッセージを送信する際、BGPメッセージをルーティング管理機器131へ送信し、ルーティング管理機器131にBGPメッセージを他のエッジ機器へ送信させる。
【0043】
本発明の実施例では、方式二を採用することを例として説明する。方式二を採用するときに、ルーティング管理機器131は、EVPNネットワークで生成された全てのBGPメッセージを収集可能であり、各BGPメッセージは、何れも配布者で配布されたルーティング情報、例えば、ホストのアドレス情報、エッジ機器の機器情報等を含む。
【0044】
上記応用場面において、本発明は、異常ホストモニタニング方法を提供する。図2は、異常ホストモニタニング方法のフロー模式図である。図2を参照すると、当該方法は、データ処理機器に適用可能であり、当該方法は、以下のステップを含んでもよい。
【0045】
ステップ201では、デプロイ済みホストのホスト情報をコントローラから取得する。当該ホスト情報は、デプロイ済みホストのアドレス情報を含む。また、当該ホスト情報は、デプロイ済みホストのホスト識別子を更に含んでもよい。
【0046】
上記実施例を参照すると、EVPNネットワークにおける全てのデプロイ済みホストのホスト情報が既にコントローラに記憶されたため、データ処理機器は、EVPNネットワークにおける全てのデプロイ済みホストのホスト情報をコントローラから取得可能である。表1に示すように、これらのホスト情報は、アドレス情報及びホスト識別子を含んでもよいが、それらに限定されない。当該アドレス情報は、IPアドレス、MACアドレス及びネットワーク識別子等を含んでもよいが、それらに限定されない。
【0047】
ステップ202では、検出すべきホストのルーティング情報を取得し、当該ルーティング情報は、検出すべきホストのアドレス情報を含む。検出すべきホストは、検出が必要なホストであり、異常ホスト又は正常ホストである。
【0048】
一例では、データ処理機器は、ルーティング管理機器と交渉してBGPピアを確立してもよい。具体的に、データ処理機器にBGPプロトコルを配置してもよい。このように、データ処理機器は、ルーティング管理機器と交渉してBGPピアを確立することができ、このBGPピアの確立手順について限定しない。
【0049】
一例では、検出すべきホストのルーティング情報を取得することは、ルーティング管理機器から送信された検出すべきホストのルーティング情報を受信することを含んでもよいが、それらに限定されない。
【0050】
具体的に、データ処理機器が既にルーティング管理機器と交渉してBGPピアを確立したため、ルーティング管理機器は、ルーティング情報を受信するたびに、当該ルーティング情報をデータ処理機器へ送信してもよい。
【0051】
具体的に、上記実施例を参照すると、ルーティング管理機器は、EVPNネットワークで生成された全てのBGPメッセージを収集してもよい。BGPメッセージは、ルーティング情報を含み、当該ルーティング情報は、検出すべきホストのアドレス情報、及び、検出すべきホストに関連するエッジ機器の機器情報を含んでもよい。データ処理機器が既にルーティング管理機器と交渉してBGPピアを確立したため、ルーティング管理機器は、各BGPメッセージを収集したときに、当該BGPメッセージをデータ処理機器へ送信する。データ処理機器は、BGPメッセージを受信した後、ルーティング情報、例えば、検出すべきホストのアドレス情報、検出すべきホストに関連するエッジ機器の機器情報をBGPメッセージから取得してもよい。
【0052】
ステップ203では、デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれているか否かを特定する。
【0053】
デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれていない場合に、ステップ204を実行してもよい。デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれている場合に、ステップ205を実行してもよい。
【0054】
ステップ204では、当該検出すべきホストを異常ホストとして特定する。
【0055】
ステップ205では、当該検出すべきホストを正常ホストとして特定する。
【0056】
一例では、データ処理機器は、表1に示すように、EVPNネットワークにおける全てのデプロイ済みホストのホスト情報をコントローラから取得してもよい。これにより、表1に示すホスト情報に検出すべきホストのアドレス情報が含まれている場合に、検出すべきホストを正常ホストとして特定してもよく、表1に示すホスト情報に検出すべきホストのアドレス情報が含まれていない場合に、検出すべきホストを異常ホストとして特定してもよい。
【0057】
1つの場合に、図1に示すように、ホスト111(検出すべきホストと仮定する)は、オンラインした後、エッジ機器121へARPパケットを送信する。ホスト111が正常ホストである場合に、ARPパケットに付加されるのは、本当のアドレス情報、例えば、IPアドレスA及びMACアドレスAである。
【0058】
エッジ機器121は、ARPパケットを受信した後、ホスト111に対するBGPメッセージを生成し、当該BGPメッセージをルーティング管理機器131へ送信してもよい。ルーティング管理機器131は、当該BGPメッセージを受信した後、当該BGPメッセージをデータ処理機器161へ送信してもよい。
【0059】
当該BGPメッセージは、ルーティング情報を含んでもよく、当該ルーティング情報は、ホスト111のIPアドレスAとMACアドレスA、ホスト111のネットワーク識別子(例えば、VNI1)、エッジ機器121の機器情報(IPアドレス1とMACアドレス1)を含んでもよいが、それらに限定されない。
【0060】
この場合に、ルーティング情報に含まれるホスト111のアドレス情報がIPアドレスA、MACアドレスA及びネットワーク識別子VNI1であり、表1に示すホスト情報に上記アドレス情報が含まれているか否かは、判断される。表1に示すホスト情報が上記アドレス情報を含むため、ホスト111を正常ホストとして特定可能である。
【0061】
別の場合に、図1に示すように、ホスト111(検出すべきホストと仮定する)は、オンラインした後、エッジ機器121へARPパケットを送信する。ホスト111が異常ホスト(例えば、攻撃者)である場合に、ARPパケットに付加されるのは、攻撃者が偽造したアドレス情報、例えば、IPアドレスAAA及びMACアドレスAAAである。
【0062】
エッジ機器121は、ARPパケットを受信した後、ホスト111に対するBGPメッセージを生成し、当該BGPメッセージをルーティング管理機器131へ送信してもよい。ルーティング管理機器131は、当該BGPメッセージを受信した後、当該BGPメッセージをデータ処理機器161へ送信してもよい。
【0063】
当該BGPメッセージは、ルーティング情報を含んでもよく、当該ルーティング情報は、ホスト111のIPアドレスAAAとMACアドレスAAA、ホスト111のネットワーク識別子(例えば、VNI1)、エッジ機器121の機器情報(IPアドレス1とMACアドレス1)を含んでもよいが、それらに限定されない。
【0064】
この場合に、ルーティング情報に含まれるホスト111のアドレス情報がIPアドレスAAA、MACアドレスAAA及びネットワーク識別子VNI1であり、表1に示すホスト情報に上記アドレス情報が含まれているか否かは、判断される。表1に示すホスト情報が上記アドレス情報を含まないため、ホスト111を異常ホストとして特定してもよい。
【0065】
一例では、データ処理機器161は、ホスト111を異常ホストとして特定したときに、警告情報も生成して管理者に攻撃行為に応対させてもよい。この処理手順について繰り返し説明しない。
【0066】
上記技術案によると、本発明の実施例では、データ処理機器(通常は、ビッグデータ処理システム)が、デプロイ済みホストのホスト情報をコントローラから取得し、ルーティング管理機器から検出すべきホストのルーティング情報を取得し、ホスト情報及びルーティング情報に基づいて検出すべきホストが異常ホストであるか否かを分析可能であるため、ビッグデータ処理システムのデータ収集能力及びデータ処理能力は、十分に発揮され、検出すべきホストが異常ホストであるか否かは、正確に分析される。上記方式により、コントローラを介して検出すべきホストが異常ホストであるか否かを分析する必要がなくなり、コントローラの作業量が低減され、コントローラの処理リソースが節約され、コントローラの処理性能が向上する。上記方式において、ビッグデータ技術に基づいて検出すべきホストが異常ホストであるか否かを分析し、ホスト行為の分析、異常検出及びエラー訂正を行うため、ネットワーク管理者は、各ホストのネットワークアクセス情報を正確に把握し、ホストの異常アクセス行為を迅速に感知することができる。
【0067】
上記応用場面において、本発明は、別の異常ホストモニタニング方法を更に提供する。図3は、異常ホストモニタニング方法のフローの模式図である。図3に示すように、当該方法は、データ処理機器に適用可能であり、当該方法は、以下のステップを含んでもよい。
【0068】
ステップ301では、デプロイ済みホストのホスト情報をコントローラから取得する。当該ホスト情報は、デプロイ済みホストのアドレス情報を含む。また、当該ホスト情報は、デプロイ済みホストのホスト識別子を更に含んでもよい。
【0069】
ステップ301の実施手順は、ステップ201を参照すればよいため、ここで繰り返し説明しない。
【0070】
ステップ302では、デプロイ済みホストのLLDP情報をコントローラから取得する。当該LLDP情報は、デプロイ済みホストのホスト識別子、デプロイ済みホストに関連する第1エッジ機器の機器情報を含む。
【0071】
上記実施例を参照すると、EVPNネットワークにおける全てのデプロイ済みホストのLLDP情報が既にコントローラに記憶されたため、データ処理機器は、EVPNネットワークにおける全てのデプロイ済みホストのLLDP情報をコントローラから取得してもよい。表2に示すように、これらのLLDP情報は、デプロイ済みホストのホスト識別子、当該デプロイ済みホストに関連する第1エッジ機器の機器情報を含んでもよいが、それらに限定されない。
【0072】
ステップ303では、検出すべきホストのルーティング情報を取得し、当該ルーティング情報は、検出すべきホストのアドレス情報、検出すべきホストに関連する第2エッジ機器の機器情報、例えば、IPアドレス及び/又はMACアドレスを含む。検出すべきホストに関連するエッジ機器は、第2エッジ機器と呼称されてもよい。ステップ303の実施手順は、ステップ202を参照すればよいため、ここで繰り返し説明しない。
【0073】
ステップ304では、デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれているか否かを特定する。
【0074】
デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれていない場合に、ステップ305を実行してもよく、デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれている場合に、ステップ306を実行してもよい。
【0075】
ステップ305では、当該検出すべきホストを異常ホストとして特定する。
【0076】
一例では、データ処理機器は、EVPNネットワークにおける全てのデプロイ済みホストのホスト情報をコントローラから取得してもよい。表1に示すように、これを基に、表1に示すホスト情報に検出すべきホストのアドレス情報が含まれていない場合に、検出すべきホストを異常ホストとして特定してもよい。表1に示すホスト情報に検出すべきホストのアドレス情報が含まれている場合に、ステップ306及び後続のステップを実行してもよい。
【0077】
ステップ306では、目標ホストに関連する第1エッジ機器の機器情報をLLDP情報から取得する。記述の便宜上、本実施例では、アドレス情報が前記検出すべきホストと同じであるデプロイ済みホストを目標ホストと呼称する。
【0078】
上記実施例を参照すると、デプロイ済みホストのホスト情報は、デプロイ済みホストのアドレス情報、デプロイ済みホストのホスト識別子を含み、LLDP情報は、デプロイ済みホストのホスト識別子、デプロイ済みホストに関連する第1エッジ機器の機器情報を含み、ルーティング情報は、検出すべきホストのアドレス情報を含む。
【0079】
これにより、デプロイ済みホストのアドレス情報に検出すべきホストのアドレス情報が含まれている場合に、目標ホストに関連する第1エッジ機器の機器情報をLLDP情報から取得することは、目標ホストのアドレス情報(目標ホストのアドレス情報と検出すべきホストのアドレス情報とが同じである)に基づいてホスト情報を検索し、目標ホストのホスト識別子を取得することと、目標ホストのホスト識別子に基づいてLLDP情報を検索し、目標ホストに関連する第1エッジ機器の機器情報を取得することと、を含んでもよい。
【0080】
例えば、表1に示すように、ホスト情報がアドレス情報とホスト識別子との対応関係を含むため、データ処理機器は、検出すべきホストのアドレス情報に基づいて表1に示すホスト情報を検索することにより、検出すべきホストのアドレス情報と同じであるデプロイ済みホスト(即ち、目標ホスト)のホスト識別子を特定してもよい。
【0081】
例えば、検出すべきホストのアドレス情報がIPアドレスA、MACアドレスA及びネットワーク識別子VNI1である場合に、検出すべきホストのアドレス情報に基づいて表1に示すホスト情報を検索すると、表1においてヒットして目標ホストのホスト識別子をaaaとして取得可能である。更に例えば、検出すべきホストのアドレス情報がIPアドレスB、MACアドレスB及びネットワーク識別子VNI1である場合に、検出すべきホストのアドレス情報に基づいて表1に示すホスト情報を検索すると、ヒットして目標ホストのホスト識別子をbbbとして取得可能である。
【0082】
目標ホストのホスト識別子をaaaとして取得した後、ホスト識別子aaaによって表2に示すLLDP情報を検索し、目標ホストに関連する第1エッジ機器の機器情報をIPアドレス1及びMACアドレス1として取得する。
【0083】
ステップ307では、第2エッジ機器の機器情報(即ち、ルーティング情報に付加される機器情報)と目標ホストに関連する第1エッジ機器の機器情報とが同じであるか否かを特定する。
【0084】
第2エッジ機器の機器情報と目標ホストに関連する第1エッジ機器の機器情報とが異なる場合に、ステップ308を実行してもよく、第2エッジ機器の機器情報と目標ホストに関連する第1エッジ機器の機器情報とが同じである場合に、ステップ309を実行してもよい。
【0085】
上記実施例を参照すると、検出すべきホストのルーティング情報に第2エッジ機器の機器情報が含まれており、また、目標ホストに関連する第1エッジ機器の機器情報が既に取得されたため、本ステップ307では、検出すべきホストに関連する第2エッジ機器の機器情報と目標ホストに関連する第1エッジ機器の機器情報とが同じであるか否かを判断可能である。
【0086】
ステップ308では、当該検出すべきホストを異常ホストとして特定する。
【0087】
ステップ309では、当該検出すべきホストを正常ホストとして特定する。
【0088】
1つの場合に、図1に示すように、ホスト111(検出すべきホストと仮定する)は、オンラインした後、エッジ機器121へARPパケットを送信してもよい。ホスト111が正常ホストである場合に、ARPパケットに付加されるのは、本当のアドレス情報、例えば、IPアドレスA及びMACアドレスAである。
【0089】
エッジ機器121は、ARPパケットを受信した後、ホスト111に対するBGPメッセージを生成し、当該BGPメッセージをルーティング管理機器131へ送信してもよい。ルーティング管理機器131は、当該BGPメッセージを受信した後、当該BGPメッセージをデータ処理機器161へ送信してもよい。
【0090】
当該BGPメッセージは、ルーティング情報を含んでもよく、当該ルーティング情報は、ホスト111のIPアドレスAとMACアドレスA、ホスト111のネットワーク識別子(例えば、VNI1)、エッジ機器121の機器情報(IPアドレス1とMACアドレス1)を含んでもよいが、それらに限定されない。エッジ機器121の機器情報は、検出すべきホストに関連する第2エッジ機器の機器情報である。
【0091】
この場合に、ルーティング情報に含まれるホスト111のアドレス情報がIPアドレスA、MACアドレスA及びネットワーク識別子VNI1であり、データ処理機器161は、表1に示すホスト情報に上記アドレス情報が含まれているか否かを判断してもよい。表1に示すホスト情報に上記アドレス情報が含まれているため、上記アドレス情報に対応する目標ホストのホスト識別子、例えば、ホスト識別子aaaをホスト情報から取得可能である。その後、データ処理機器161は、ホスト識別子aaaに基づいて表2に示すLLDP情報を検索し、ホスト識別子aaaに対応する機器情報を取得してもよい。即ち、当該機器情報は、IPアドレス1及びMACアドレス1である。ホスト識別子aaaに対応する機器情報は、目標ホストに関連する第1エッジ機器の機器情報である。
【0092】
以上のように、検出すべきホストに関連する第2エッジ機器の機器情報は、IPアドレス1とMACアドレス1であり、目標ホストに関連する第1エッジ機器の機器情報は、IPアドレス1とMACアドレス1である。つまり、上記2つの機器情報は、同じである。したがって、ホスト111が正常ホストであることは、特定できる。
【0093】
別の場合に、図1に示すように、ホスト111(検出すべきホストと仮定する)は、オンラインした後、エッジ機器121へARPパケットを送信してもよい。ホスト111が異常ホスト(例えば、攻撃者)である場合に、ARPパケットに含まれるのは、攻撃者が偽造したアドレス情報となる。攻撃者が偽造したのがホスト112のアドレス情報である場合に、ARPパケットに含まれるのは、IPアドレスB及びMACアドレスBとなる。
【0094】
エッジ機器121は、ARPパケットを受信した後、ホスト111に対するBGPメッセージを生成し、当該BGPメッセージをルーティング管理機器131へ送信してもよい。ルーティング管理機器131は、当該BGPメッセージを受信した後、当該BGPメッセージをデータ処理機器161へ送信してもよい。
【0095】
当該BGPメッセージは、ルーティング情報を含んでもよく、当該ルーティング情報は、ホスト111のIPアドレスBとMACアドレスB、ホスト111のネットワーク識別子(例えば、VNI1)、エッジ機器121の機器情報(IPアドレス1とMACアドレス1)を含んでもよいが、それらに限定されない。
【0096】
この場合に、ルーティング情報に含まれるホスト111のアドレス情報がIPアドレスB、MACアドレスB及びネットワーク識別子VNI1であり、データ処理機器161は、表1に示すホスト情報に上記アドレス情報が含まれているか否かを判断してもよい。表1に示すホスト情報に上記アドレス情報が含まれているため、上記アドレス情報に対応する目標ホストのホスト識別子、例えば、ホスト識別子bbbをホスト情報から取得可能である。その後、データ処理機器161は、ホスト識別子bbbに基づいて表2に示すLLDP情報を検索し、ホスト識別子bbbに対応する機器情報を取得してもよい。即ち、当該機器情報は、IPアドレス2とMACアドレス2である。ホスト識別子bbbに対応する機器情報は、目標ホストに関連する第1エッジ機器の機器情報である。
【0097】
このように、検出すべきホストに関連する第2エッジ機器の機器情報は、IPアドレス1とMACアドレス1であり、目標ホストに関連する第1エッジ機器の機器情報は、IPアドレス2とMACアドレス2である。つまり、上記2つの機器情報は、異なる。したがって、ホスト111が異常ホストであることは、特定可能である。
【0098】
以上のように、ホスト111がARPパケットを送信する際に、ARPパケットに付加されたのが攻撃者の偽造した正当なホストのアドレス情報であっても、データ処理機器161は、ホスト111を異常ホストとして認識可能である。
【0099】
一例では、データ処理機器161は、ホスト111を異常ホストとして特定したときに、警告情報も生成して管理者に攻撃行為に応対させてもよい。この処理手順について繰り返し説明しない。
【0100】
上記技術案によると、本発明の実施例では、攻撃者の偽造したのが正常ホストのアドレス情報であっても、データ処理機器(通常は、ビッグデータ処理システム)はこの検出すべきホストが異常ホストであるか否かを分析可能であるため、正常ホストと異常ホストとを認識する正確率は高められ、ビッグデータ処理システムのデータ収集能力及びデータ処理能力は、十分に発揮することができる。上記方式により、コントローラを介して検出すべきホストが異常ホストであるか否かを分析する必要がなくなり、コントローラの作業量が低減され、コントローラの処理リソースが節約され、コントローラの処理性能が向上する。上記方式において、ビッグデータ技術に基づいて検出すべきホストが異常ホストであるか否かを分析し、ホスト行為の分析、異常検出及びエラー訂正を行うため、ネットワーク管理者は、各ホストのネットワークアクセス情報を正確に把握し、ホストの異常アクセス行為を迅速に感知することができる。
【0101】
上記実施例では、検出すべきホストのルーティング情報(例えば、アドレス情報、検出すべきホストに関連するエッジ機器の機器情報)がデータ処理機器によって取得された後、当該検出すべきホストに対応するエントリが履歴データベースに存在するか否かを特定することと、前記検出すべきホストに対応するエントリが前記履歴データベースに存在する場合に、前記ルーティング情報及び前記ルーティング情報の取得時間を当該エントリに記憶することと、前記検出すべきホストに対応するエントリが前記履歴データベースに存在しない場合に、当該検出すべきホストに対応するエントリを履歴データベースに追加し、追加されたエントリに前記ルーティング情報及び前記ルーティング情報の取得時間を記憶することと、を更に含んでもよい。
【0102】
例えば、表3は、履歴データベースの1つの例示であり、当該履歴データベースは、ルーティング情報を記録する。無論、表3は、1つの例示に過ぎず、他のコンテンツを含んでもよく、ここで限定されない。
【表3】
【0103】
一例では、ホスト111がオフラインしてから再度オンラインすると仮定すれば、ホスト111は、ARPパケットを再送してもよい。エッジ機器121は、当該ARPパケットを受信した後、ルーティング管理機器131へBGPメッセージを送信してもよい。ルーティング管理機器131は、BGPメッセージをデータ処理機器161へ送信してもよい。データ処理機器161は、ホスト111のルーティング情報を最終的に取得する。この手順は、上記実施例を参照すればよく、繰り返し説明しない。当該ルーティング情報は、ホスト111のアドレス情報(例えば、IPアドレスA、MACアドレスAとネットワーク識別子VNI1)、エッジ機器121の機器情報(例えば、IPアドレス1とMACアドレス1)を含む。データ処理機器161は、当該ルーティング情報の取得時間、例えば時刻Dを更に特定してもよい。
【0104】
本発明の実施例では、データ処理機器161は、アドレス情報(例えば、IPアドレスA、MACアドレスAとネットワーク識別子VNI1)に対応するエントリが表3に示す履歴データベースに存在するか否かを判断してもよい。存在するため、表4に示すように、IPアドレスA、MACアドレスAとネットワーク識別子VNI1、IPアドレス1とMACアドレス1、時刻Dの対応関係を当該エントリに記憶する。
【表4】
【0105】
このように、本実施例では、ビッグデータシステムが膨大な情報を記憶可能であるため、データ処理機器161は、エントリに既存したルーティング情報を置換するのではなく、エントリにルーティング情報を追加することができる。即ち、長期間にわたってルーティング情報を保存可能であり、時間順で保存可能であり、情報を高速に検索することができる。ビッグデータシステムが膨大な情報を記憶可能であるため、履歴データベースには、正常ルーティング時の情報だけでなく、異常ルーティング時の情報も記憶され得る。履歴データベースは、更に履歴時間に応じて検索可能であるため、長期間に渡るアクセス行為異常の原因の遡りをサポートする。例えば、上述した表3や4に示すように、IPアドレスB、MACアドレスB及びネットワーク識別子VNI1に対応するホストは、時刻Cで異常が発生する。したがって、ビッグデータシステムで保存された時系列属性を有する膨大な情報に基づいて、履歴の任意時間点における異常アクセス行為を高速に遡ることができる。
【0106】
上記実施例では、データ処理機器161は、データ収集器とデータ分析器を更に備えてもよく、データ収集器は、データの収集を実施し、データ分析器は、データの分析を実施する。こうすると、データ収集器は、ステップ301-ステップ303を実行可能であり、データ分析器は、ステップ304-ステップ309を実行可能である。
【0107】
上記方法と同様な出願思想に基づき、本発明の実施例は、異常ホストモニタニング装置を更に提出する。当該異常ホストモニタニング装置は、データ処理機器に用いられる。図4は、前記装置の構成図であり、図4に示すように、前記装置は、以下のモジュールを備える。
【0108】
第1取得モジュール41は、デプロイ済みホストのホスト情報をコントローラから取得する。前記ホスト情報は、前記デプロイ済みホストのアドレス情報を含む。
【0109】
第2取得モジュール42は、検出すべきホストのルーティング情報を取得する。前記ルーティング情報は、前記検出すべきホストのアドレス情報を含む。
【0110】
第1判断モジュール43は、前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれているか否かを特定する。
【0111】
第1特定モジュール44は、前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれていない場合に、前記検出すべきホストを異常ホストとして特定する。
【0112】
一例では、前記装置は、ルーティング管理機器と交渉してBGPピアを確立するための確立モジュールを更に備え(図示せず)、前記第2取得モジュール42は、前記ルーティング管理機器から送信された検出すべきホストのルーティング情報を受信するために用いられる。
【0113】
一例では、前記装置は、前記デプロイ済みホストのLLDP情報を前記コントローラから取得するための第3取得モジュールを更に備える(図示せず)。前記LLDP情報は、前記デプロイ済みホストに関連する第1エッジ機器の機器情報を含む。前記デプロイ済みホストのアドレス情報に前記検出すべきホストのアドレス情報が含まれている場合に、前記装置は、目標ホストに関連する前記第1エッジ機器の機器情報を前記LLDP情報から取得するための第4取得モジュールを更に備える(図示せず)。前記目標ホストは、前記検出すべきホストと同じアドレス情報を有するデプロイ済みホストである。第2特定モジュールは、前記検出すべきホストに関連する第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが異なる場合に、前記検出すべきホストを前記異常ホストとして特定する。前記検出すべきホストに関連する前記第2エッジ機器の機器情報は、前記ルーティング情報に含まれる。
【0114】
一例では、前記ホスト情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記LLDP情報は、前記デプロイ済みホストのホスト識別子を更に含み、前記第4取得モジュールは、具体的に、前記目標ホストのアドレス情報に基づいて当該目標ホストのホスト情報を検索し、前記目標ホストのホスト識別子を取得し、前記目標ホストのホスト識別子に基づいて当該目標ホストのLLDP情報を検索し、前記目標ホストに関連する前記第1エッジ機器の機器情報を取得するために用いられる。
【0115】
一例では、前記第2特定モジュールは、更に、前記検出すべきホストに関連する前記第2エッジ機器の機器情報と前記目標ホストに関連する前記第1エッジ機器の機器情報とが同じである場合に、前記検出すべきホストを正常ホストとして特定するために用いられる。
【0116】
一例では、前記装置は、前記検出すべきホストのルーティング情報が前記第2取得モジュールによって取得された後、前記検出すべきホストに対応するエントリが履歴データベースに存在するか否かを特定するための第2判断モジュールと、前記検出すべきホストに対応するエントリが前記履歴データベースに存在する場合に、前記ルーティング情報及び前記ルーティング情報の取得時間を前記エントリに記憶するための記憶モジュールと、前記検出すべきホストに対応するエントリが前記履歴データベースに存在しない場合に、前記検出すべきホストに対応するエントリを前記履歴データベースに追加し、追加されたエントリに前記ルーティング情報及び前記ルーティング情報の取得時間を記憶するための追加モジュールとを更に備える(図示せず)。
【0117】
本発明の実施例は、データ処理機器を提供する。ハードウェア実装から言うと、データ処理機器のハードウェアアーキテクチャ模式図の詳細は、図5に示されてもよい。データ処理機器は、機器読み取り可能な記憶媒体502とプロセッサ501を備える。前記データ処理機器は、インターフェース503とバス504を更に備えてもよい。前記機器読み取り可能な記憶媒体502には、前記プロセッサ501によって実行され得る機器の実行可能な指令が記憶される。前記プロセッサ501は、機器読み取り可能な記憶媒体502と通信し、機器読み取り可能な記憶媒体502に記憶された機器の実行可能な指令を読み取って実行することにより、本発明の上記例示に開示された異常ホストのモニタニング操作を実施する。インターフェース503は、コントローラ、ルーティング管理機器への接続に用いられてもよい。プロセッサ501、機器読み取り可能な記憶媒体502とインターフェース503の間では、バス504を介して互いに通信可能である。
【0118】
ここで、機器読み取り可能な記憶媒体は、如何なる電気的なもの、磁気的なもの、光学的なもの又は他の物理的記憶装置であってもよく、情報(例えば、実行可能な指令、データ等)を含むか記憶可能である。例えば、機器読み取り可能な記憶媒体は、揮発性メモリ、RAM(Radom Access Memory、ランダムアクセスメモリ)及び不揮発性メモリ、フラッシュメモリ、記憶ドライバ(例えば、ハードディスクドライバ)、ソリッド・ステート・ディスク、如何なるタイプの記憶ディスク(例えば、光ディスク、dvd等)若しくは類似する記憶媒体、又はそれらの組み合わせであってもよい。
【0119】
上記実施例で説明されるシステム、装置、モジュール又は手段は、具体的にコンピュータチップ又は実体によって実施されてもよく、又はある機能を有する製品によって実施されてもよい。1つの典型的な実施機器は、コンピュータである。コンピュータの具体的な形式は、パソコン、ラップトップコンピュータ、携帯電話、カメラ電話、スマートフォン、PDA、メディアプレーヤー、ナビゲーション機器、電子メール送受信機器、ゲームコンソール、タブレットPC、ウェアラブル機器又はこれらの機器のうちの任意何種かの機器の組み合わせであってもよい。
【0120】
記述の便宜上、上記装置を記述する際、機能に応じて各種の手段に区分してそれぞれ記述する。無論、本発明の実施時に、各手段の機能は、同一又は複数のソフトウェア及び/又はハードウェアで実現されてもよい。
【0121】
本分野における技術者であれば理解できるように、本発明の実施例は、方法、システム又はコンピュータプログラム製品として提供され得る。したがって、本発明は、100%ハードウェアの実施例、100%ソフトウェアの実施例、又はソフトウェアとハードウェアとを組み合わせた態様の実施例の形式を採用してもよい。また、本発明の実施例は、1つ又は複数の、コンピュータ利用可能なプログラムコードを含むコンピュータ利用可能な記憶媒体(磁気ディスクメモリ、CD-ROM、光学メモリ等を含むが、それらに限定されない)で実施されるコンピュータプログラム製品の形式を採用してもよい。
【0122】
本発明は、本発明の実施例の方法、機器(システム)及びコンピュータプログラム製品に基づくフローチャート及び/又はブロック図を参照して記述されている。コンピュータプログラム指令にてフローチャート及び/又はブロック図における各フロー及び/又はブロック、並びにフローチャート及び/又はブロック図におけるフロー及び/又はブロックの組み合わせを実施可能であることは理解されるべきである。これらのコンピュータプログラム指令を汎用コンピュータ、専用コンピュータ、組み込み型処理機器又は他のプログラム可能なデータ処理機器のプロセッサへ供給して1つのマシンを生成することにより、コンピュータ又は他のプログラム可能なデータ処理機器のプロセッサで実行される指令にて、フローチャートの1つのフロー若しくは複数のフロー及び/又はブロック図の1つのブロック若しくは複数のブロックにおける指定の機能を実施するための装置を発生してもよい。
【0123】
また、これらのコンピュータプログラム指令は、更に、コンピュータ又は他のプログラム可能なデータ処理機器が特定の方式で動作するようガイドできるコンピュータ可読メモリに記憶されてもよい。このように、当該コンピュータ可読メモリに記憶された指令は、指令装置を含む製品を生成し、当該指令装置は、フローチャートの1つのフロー若しくは複数のフロー及び/又はブロック図の1つのブロック若しくは複数のブロックにおける指定の機能を実現する。
【0124】
これらのコンピュータプログラム指令は、コンピュータ又は他のプログラム可能なデータ処理機器にロードされて、コンピュータ又は他のプログラム可能な機器に一連の操作ステップを実施してコンピュータで実現される処理を生成してもよい。これにより、コンピュータ又は他のプログラム可能な機器で実行される指令は、フローチャートの1つのフロー若しくは複数のフロー及び/又はブロック図の1つのブロック若しくは複数のブロックにおける指定の機能を実現するステップを提供する。
【0125】
上述したのは、本発明の実施例に過ぎず、本発明を制限するためのものではない。当業者にとって、本発明は種々な変更や変形があり得る。本発明の精神及び原則内でなされた如何なる変更、均等物による置換、改良等も、本発明の保護範囲内に含まれる。
【図1】
【図2】
【図3】
【図4】
【図5】