[go: up one dir, main page]

JP7535951B2 - COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM - Google Patents

COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM Download PDF

Info

Publication number
JP7535951B2
JP7535951B2 JP2021000720A JP2021000720A JP7535951B2 JP 7535951 B2 JP7535951 B2 JP 7535951B2 JP 2021000720 A JP2021000720 A JP 2021000720A JP 2021000720 A JP2021000720 A JP 2021000720A JP 7535951 B2 JP7535951 B2 JP 7535951B2
Authority
JP
Japan
Prior art keywords
information
netflow
threshold
received
network traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021000720A
Other languages
Japanese (ja)
Other versions
JP2022106040A (en
Inventor
圭佑 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2021000720A priority Critical patent/JP7535951B2/en
Publication of JP2022106040A publication Critical patent/JP2022106040A/en
Application granted granted Critical
Publication of JP7535951B2 publication Critical patent/JP7535951B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークを監視するコレクタ装置、ネットワーク監視方法、プログラム、及びネットワーク監視システムに関する。 The present invention relates to a collector device for monitoring a network, a network monitoring method, a program, and a network monitoring system.

複雑化するネットワークを運用及び管理するためには、ネットワークを流れるトラフィックの状況を常に監視して、問題が発生した場合に即座に対応することが重要である。ネットワークトラフィックの状況や正常性を確認するために、NetFlow(非特許文献1参照)などの技術が用いられる。 To operate and manage increasingly complex networks, it is important to constantly monitor the status of traffic flowing through the network and respond immediately if a problem occurs. Technologies such as NetFlow (see Non-Patent Document 1) are used to check the status and normality of network traffic.

NetFlowとは、ルータやスイッチなどのネットワーク中継装置、又は、ネットワーク中継装置からミラーリングされたトラフィックを受信する専用装置(以降、「センサ」と呼ぶ)によってネットワークトラフィックのフロー統計情報を取得し、トラフィック分析装置(以降、「コレクタ」と呼ぶ)に送信するための通信プロトコルである。フローチャート統計情報を受信したコレクタは、種々の目的に応じてトラフィックの可視化や分析ができる。このようなフロー統計情報を収集して分析するシステムは、特許文献1や特許文献2に開示されている。 NetFlow is a communication protocol for acquiring flow statistics of network traffic by network relay devices such as routers and switches, or dedicated devices that receive mirrored traffic from network relay devices (hereafter referred to as "sensors"), and transmitting the information to a traffic analysis device (hereafter referred to as "collector"). The collector that receives the flow statistics can visualize and analyze traffic for various purposes. Systems for collecting and analyzing such flow statistics are disclosed in Patent Document 1 and Patent Document 2.

特開2018-38062号公報JP 2018-38062 A 特開2016-144153号公報JP 2016-144153 A

RFC3954 ”Cisco Systems NetFlow Services Export Version 9”,Cisco Systems,2004年10月RFC3954 “Cisco Systems NetFlow Services Export Version 9”, Cisco Systems, October 2004

NetFlowのようなプロトコルを用いてセンサが取得したフロー統計情報をコレクタが収集して分析する方法では、センサから収集されるフロー統計が現実のトラフィックの状況を表さない状態が生じることがある。例えば、センサが故障などの不具合によって統計情報を送信できなくなる、又は、ネットワークトラフィックの増加や統計情報の収集ポイントの増加によって、フロー統計情報を格納するパケットを組み立てて送信する処理が追いつかなくなり、フロー統計情報が欠損することがある。その結果、コレクタは、正確な監視や分析が不可能になるという課題がある。 In a method in which a collector collects and analyzes flow statistics acquired by a sensor using a protocol such as NetFlow, situations can arise in which the flow statistics collected from the sensor do not represent the actual traffic situation. For example, a sensor may be unable to send statistical information due to a malfunction such as a breakdown, or an increase in network traffic or an increase in the number of statistical information collection points may cause the process of assembling and sending packets that store the flow statistics to be unable to keep up, resulting in a loss of flow statistics. As a result, the collector is faced with the problem of being unable to perform accurate monitoring or analysis.

具体的には、例えば、ネットワーク内のいくつかのフロー統計情報取得ポイントに設置された複数のセンサと、それらのセンサからフロー統計情報を収集する一つのコレクタで構成されたネットワークシステムにおいて、一部のセンサが不具合等で停止すると、停止したセンサからのフロー統計情報が欠落する。しかし、コレクタではフロー統計情報が届かないことが、実際にネットワークトラフィックが流れなくなったことを意味するのか、センサに問題が発生していることを意味するのかの区別が困難である。従って、コレクタがトラフィックを分析し、トラフィック量に基づいてアラームを発する監視を行う場合、実際のトラフィック量は変化していないにもかかわらず、トラフィックが減少したと誤って判定され、不要なアラームを発するという課題がある。 Specifically, for example, in a network system consisting of multiple sensors installed at several flow statistics acquisition points within a network and one collector that collects flow statistics from those sensors, if one of the sensors stops due to a malfunction or other reason, the flow statistics from the stopped sensor will be missing. However, it is difficult for the collector to distinguish whether the lack of flow statistics means that network traffic has actually stopped flowing or that a problem has occurred with the sensor. Therefore, when the collector analyzes traffic and performs monitoring to issue an alarm based on the traffic volume, there is a problem in that it may erroneously determine that traffic has decreased even though the actual traffic volume has not changed, and issue an unnecessary alarm.

また、監視対象のネットワークトラフィックの量が何らかの問題(例えば、外部からのネットワーク攻撃や、ネットワーク内端末のマルウェア感染による異常トラフィックの発生など)で増加したにもかかわらず、フロー統計情報を取得するセンサの処理性能を超えたことによって、正しいフロー統計情報をコレクタに送信できなかった場合、トラフィックを分析し、トラフィック量に基づいてアラームを発する監視を行うコレクタにおいて、本来アラームを発するべき事象に対してアラームを発しないという課題がある。 In addition, if the volume of network traffic being monitored increases due to some problem (for example, an external network attack or abnormal traffic caused by a malware infection on a terminal within the network), but the volume exceeds the processing capacity of the sensor that acquires the flow statistics, and correct flow statistics cannot be sent to the collector, there is an issue that the collector, which analyzes traffic and issues alarms based on the traffic volume, does not issue an alarm for an event that should actually be issued.

本発明の目的は、NetFlow情報を用いたネットワークトラフィックの監視において、アラームを適切に生成することにある。すなわち、トラフィックのフロー統計情報をセンサで取得し、そのフロー統計情報をコレクタが収集して分析等を行うネットワーク監視システムにおいて、センサの異常やフロー統計情報取得能力の限界によってコレクタが収集するフロー統計情報と実際のトラフィックの状況とに乖離が発生した場合でも、コレクタが不要なアラームを発する、又は、必要なアラームを発することができないといった状況を抑制するネットワーク監視システムを提供することを目的とする。 The object of the present invention is to appropriately generate alarms when monitoring network traffic using NetFlow information. In other words, in a network monitoring system in which traffic flow statistics are acquired by a sensor and collected by a collector for analysis, etc., the object is to provide a network monitoring system that prevents the collector from issuing unnecessary alarms or being unable to issue necessary alarms even if a deviation occurs between the flow statistics collected by the collector and the actual traffic situation due to an abnormality in the sensor or limitations in the flow statistics acquisition capacity.

本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置であって、ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信部と、前記センサ装置から判定用情報として前記センサ装置の死活情報を受信する情報受信部と、前記受信した死活情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記センサ装置毎に定められたセンサ閾値情報を用いて、ネットワークトラフィックの監視に用いる閾値情報を更新する閾値情報修正部と、前記更新された閾値情報を用いてネットワークトラフィックが正常かを判定する閾値判定部とを備えることを特徴とする。 A representative example of the invention disclosed in the present application is as follows: That is, a collector device that monitors network traffic using NetFlow information includes a NetFlow information receiving unit that acquires NetFlow information from a sensor device that receives network traffic and generates NetFlow information, an information receiving unit that receives alive information of the sensor device from the sensor device as information for determination , a threshold information correction unit that uses the received alive information to determine whether a statistical value of the received NetFlow information is correct, and if it is determined that the statistical value of the received NetFlow information is incorrect, updates threshold information used to monitor network traffic using sensor threshold information determined for each sensor device, and a threshold determination unit that uses the updated threshold information to determine whether network traffic is normal .

本発明の一態様によれば、センサの不具合や能力を超える過剰なトラフィックが発生した場合でも適切にアラームを生成できる。 According to one aspect of the present invention, an alarm can be generated appropriately even if a sensor malfunctions or excessive traffic occurs that exceeds the sensor's capacity.

第一の実施形態におけるネットワーク監視システムの構成例を示す図である。FIG. 1 illustrates an example of a configuration of a network monitoring system according to a first embodiment. 第一の実施形態におけるセンサの構成例を示すブロック図である。FIG. 2 is a block diagram showing a configuration example of a sensor according to the first embodiment. 第一の実施形態におけるコレクタの構成例を示すブロック図である。FIG. 2 is a block diagram showing an example of the configuration of a collector according to the first embodiment. 第一の実施形態におけるコレクタの動作シーケンスを示す図である。FIG. 4 is a diagram illustrating an operation sequence of a collector in the first embodiment. 第一の実施形態における死活情報蓄積部の構成例を示す図である。4 is a diagram illustrating an example of the configuration of a life and death information accumulation unit according to the first embodiment; FIG. 第一の実施形態におけるセンサ/閾値関連情報保持部の構成例を示す図である。4 is a diagram illustrating an example of the configuration of a sensor/threshold value association information storage unit according to the first embodiment; FIG. 第一の実施形態における閾値情報保持部の構成例を示す図である。4 is a diagram illustrating an example of the configuration of a threshold information storage unit according to the first embodiment; 第一の実施形態において、全てのセンサが正常に稼働している状態のNetFlow情報に基づいて導出されたトラフィックのトラフィック量の一例を示す図である。11 is a diagram showing an example of a traffic volume of traffic derived based on NetFlow information in a state in which all sensors are operating normally in the first embodiment; FIG. 第一の実施形態において、一部のセンサが停止した状態のNetFlow情報に基づいて導出されたトラフィックのトラフィック量の一例を示す図である。11 is a diagram illustrating an example of a traffic volume of traffic derived based on NetFlow information in a state where some sensors are stopped in the first embodiment. FIG. 第二の実施形態におけるセンサの構成例を示すブロック図である。FIG. 11 is a block diagram showing an example of the configuration of a sensor according to a second embodiment. 第二の実施形態におけるコレクタの構成例を示すブロック図である。FIG. 11 is a block diagram showing an example of the configuration of a collector according to a second embodiment. 第二の実施形態におけるコレクタの動作シーケンスを示す図である。FIG. 11 is a diagram showing an operation sequence of a collector in the second embodiment. 第二の実施形態におけるNetFlow情報蓄積部の構成例を示す図である。FIG. 13 is a diagram illustrating an example of the configuration of a NetFlow information storage unit in the second embodiment. 第二の実施形態におけるパケット統計蓄積部の構成例を示す図である。FIG. 11 illustrates an example of the configuration of a packet statistics accumulation unit according to the second embodiment; 第二の実施形態における補正後NetFlow情報蓄積部の構成例を示す図である。FIG. 13 is a diagram illustrating an example of the configuration of a corrected NetFlow information storage unit in the second embodiment.

<実施形態1>
図1は、第一の実施形態におけるネットワーク監視システムの構成例を示す図である。 <Embodiment 1>
FIG. 1 is a diagram illustrating an example of the configuration of a network monitoring system according to the first embodiment.

ネットワーク監視システムは、監視対象のネットワーク100と、監視対象のネットワーク100に含まれるネットワーク機器200と、トラフィックの統計情報を取得するセンサ300と、統計情報を収集し分析するコレクタ400と、管理端末500とから構成される。ネットワーク機器200は、監視対象のネットワーク100に含まれ、監視対象のネットワーク100においてデータを転送する。センサ300は、各監視対象のネットワーク機器200に接続されて、ネットワーク100を流れるトラフィックの統計情報を取得する。コレクタ400は、センサ300に接続されて、センサ300が生成した統計情報を収集し分析する。管理端末500は、コレクタ400から出力される分析情報を管理者が参照等を行うために操作される計算機である。 The network monitoring system is composed of a network 100 to be monitored, network devices 200 included in the network 100 to be monitored, a sensor 300 that acquires statistical information on traffic, a collector 400 that collects and analyzes the statistical information, and a management terminal 500. The network devices 200 are included in the network 100 to be monitored, and transfer data in the network 100 to be monitored. The sensor 300 is connected to each network device 200 to be monitored, and acquires statistical information on traffic flowing through the network 100. The collector 400 is connected to the sensor 300, and collects and analyzes the statistical information generated by the sensor 300. The management terminal 500 is a computer operated by an administrator to refer to the analysis information output from the collector 400, etc.

第一の実施形態は、コレクタ400がセンサ300の異常(例えば、故障による停止など)を認識できるようにした上で、不要なアラームの発生の抑制を目的とした構成の一例である。 The first embodiment is an example of a configuration that allows the collector 400 to recognize an abnormality in the sensor 300 (e.g., a stop due to a malfunction) and aims to suppress the generation of unnecessary alarms.

なお、ネットワーク機器200、センサ300、及びコレクタ400は1台以上の任意の台数でよく、これらの間も任意の接続手段によって構成できる。ネットワーク機器200、センサ300、及びコレクタ400が複数存在し、説明の中でそれらを区別する必要がある場合は、例えばネットワーク機器200であればネットワーク機器200-1のように、数字を付加した符号により区別する。図1の構成例は、ネットワーク機器200とセンサ300がそれぞれn台あり、コレクタ400が1台あるシステムの例を示している。 The number of network devices 200, sensors 300, and collectors 400 may be any number greater than one, and any connection means may be used between them. When there are multiple network devices 200, sensors 300, and collectors 400 and it is necessary to distinguish between them in the description, they are distinguished by reference characters with numbers added, such as network device 200-1 for network device 200. The configuration example in Figure 1 shows an example of a system with n network devices 200 and n sensors 300, and one collector 400.

図2は、第一の実施形態におけるセンサ300の構成例を示すブロック図である。 Figure 2 is a block diagram showing an example configuration of the sensor 300 in the first embodiment.

センサ300は、CPU340、メモリ310、記憶部320、及び複数のネットワークインタフェース330-1、330-2(図中では、ネットワークインタフェースをNW-IFと略して記載)を有する。ネットワークインタフェース330-1はネットワーク機器200に接続され、ネットワークインタフェース330-2はコレクタ400に接続される。 The sensor 300 has a CPU 340, a memory 310, a storage unit 320, and multiple network interfaces 330-1 and 330-2 (network interfaces are abbreviated as NW-IF in the figure). The network interface 330-1 is connected to the network device 200, and the network interface 330-2 is connected to the collector 400.

CPU340は、メモリ310に格納されたプログラムを実行する演算装置である。なお、CPU340がプログラムを実行して行う処理の一部を、他の演算装置(例えば、FPGAやASICなどのハードウェアによる演算装置)で実行してもよい。 The CPU 340 is a computing device that executes the programs stored in the memory 310. Note that some of the processing performed by the CPU 340 executing the programs may be executed by another computing device (e.g., a hardware computing device such as an FPGA or ASIC).

メモリ310は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU340が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。具体的には、メモリ310には、CPU330によって実行されるプログラム、すなわちトラフィック受信部311、NetFlow情報生成部312、NetFlow情報送信部313、死活情報生成部314、死活情報送信部315、MIB(Management Information Base)応答部316、及びMIB要求受信/応答送信部317を構成するためのプログラムが格納される。 Memory 310 includes ROM, which is a non-volatile storage element, and RAM, which is a volatile storage element. ROM stores unchanging programs (e.g., BIOS) and the like. RAM is a high-speed, volatile storage element such as DRAM (Dynamic Random Access Memory), and temporarily stores programs executed by CPU 340 and data used when executing the programs. Specifically, memory 310 stores programs executed by CPU 330, namely, programs for constituting traffic receiving unit 311, NetFlow information generating unit 312, NetFlow information transmitting unit 313, alive/dead information generating unit 314, alive/dead information transmitting unit 315, MIB (Management Information Base) response unit 316, and MIB request receiving/response transmitting unit 317.

記憶部320は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の記憶装置である。また、記憶部320は、CPU340がプログラムの実行時に使用するデータ(例えば、取得したトラフィックの統計情報を保持するフロー情報蓄積部321)、及びCPU340が実行するプログラムを格納する。すなわち、プログラムは、記憶部320から読み出されて、メモリ310にロードされて、CPU340によって実行されることによって、センサ300の各機能を実現する。 The storage unit 320 is, for example, a large-capacity, non-volatile storage device such as a magnetic storage device (HDD) or a flash memory (SSD). The storage unit 320 also stores data used by the CPU 340 when executing a program (for example, a flow information accumulation unit 321 that holds acquired traffic statistical information) and the program executed by the CPU 340. That is, the program is read from the storage unit 320, loaded into the memory 310, and executed by the CPU 340 to realize each function of the sensor 300.

図2の構成において、センサ300がネットワーク100のトラフィックに関する統計情報を取得してコレクタ400に送信する処理を説明する。 In the configuration of FIG. 2, the process in which the sensor 300 acquires statistical information about traffic on the network 100 and transmits it to the collector 400 will be described.

ネットワーク機器200は、ネットワーク100を流れるトラフィックデータをミラーリングして、その複製をセンサ300に送信する。センサ300は、ネットワークインタフェース330-1で、ネットワーク機器200から送信されたデータを受信する。 The network device 200 mirrors the traffic data flowing through the network 100 and transmits a copy to the sensor 300. The sensor 300 receives the data transmitted from the network device 200 via the network interface 330-1.

トラフィック受信部311は、ネットワークインタフェース330-1が受信したトラフィックデータを受け取り、そのトラフィックの統計情報の一種であるフロー情報を生成し、生成されたフロー情報をフロー情報蓄積部321に蓄積する。ここで、フロー情報とは、例えば、受信したトラフィックを構成するパケットのヘッダ部分に含まれる送信元アドレスや送信先アドレス等で識別されるフロー毎に観測されたパケットの数やデータ量(観測された個々のパケットの長さの総和)などである。 The traffic receiving unit 311 receives traffic data received by the network interface 330-1, generates flow information, which is a type of statistical information on that traffic, and stores the generated flow information in the flow information storage unit 321. Here, flow information refers to, for example, the number of packets and the amount of data (the sum of the lengths of the individual packets observed) observed for each flow identified by the source address and destination address contained in the header portion of the packets that make up the received traffic.

NetFlow情報生成部312は、フロー情報蓄積部321に蓄積されたフロー情報を、一定時間毎にまとめ、NetFlowプロトコルで規定されるパケットフォーマットに準拠したNetFlow情報に変換する。NetFlow情報送信部313は、変換されたNetFlow情報をNetFlow情報生成部312から受け取り、NetFlowプロトコルの規定に従ってネットワークインタフェース330-2からコレクタ400に送信する。 The NetFlow information generation unit 312 collects the flow information stored in the flow information storage unit 321 at regular intervals and converts it into NetFlow information that conforms to the packet format defined by the NetFlow protocol. The NetFlow information transmission unit 313 receives the converted NetFlow information from the NetFlow information generation unit 312 and transmits it from the network interface 330-2 to the collector 400 in accordance with the provisions of the NetFlow protocol.

次に、コレクタ400がセンサ300の異常を認識するために必要なセンサ300側の処理を説明する。 Next, we will explain the processing on the sensor 300 side that is necessary for the collector 400 to recognize an abnormality in the sensor 300.

まず、死活情報生成部314が、センサ300の動作状況を示す死活情報を生成する。ここで死活情報とは、センサ300が正常に稼働しているかを示す情報である。死活情報生成部314は、例えば、センサ300自身の故障監視機能によって正常稼働を認識した場合は、正常を意味する情報を生成し、部分的な故障により統計情報取得やコレクタ400に対するNetFlow情報の送信不能を認識した場合は、NetFlow情報の送信停止を意味する情報を生成する。 First, the alive information generating unit 314 generates alive information indicating the operating status of the sensor 300. Here, alive information is information indicating whether the sensor 300 is operating normally. For example, when the alive information generating unit 314 recognizes that the sensor 300 is operating normally through its own fault monitoring function, it generates information indicating normal operation, and when it recognizes that a partial fault has caused it to be unable to obtain statistical information or to transmit NetFlow information to the collector 400, it generates information indicating that transmission of NetFlow information has been stopped.

死活情報送信部315は、死活情報生成部314が生成した死活情報を所定フォーマットのパケットに格納して、ネットワークインタフェース330-2を通してコレクタ400に送信する。なお、死活情報は、死活状態の変化にかかわらず所定の時間間隔で定期的に送信するとよい。もし、センサ300全体が停止して死活情報を送信不可能になった場合、コレクタ400は死活情報の受信を監視し、死活情報パケットが一定時間以上届かなくなったことによって、センサ300の異常を認識可能となる。 The alive/dead information sending unit 315 stores the alive/dead information generated by the alive/dead information generating unit 314 in a packet of a specified format and sends it to the collector 400 via the network interface 330-2. The alive/dead information should be sent periodically at a specified time interval regardless of changes in the alive/dead state. If the entire sensor 300 stops and it becomes impossible to send alive/dead information, the collector 400 monitors the reception of alive/dead information, and becomes able to recognize an abnormality in the sensor 300 when the alive/dead information packet is not received for a certain period of time or more.

あるいは、死活情報は死活情報送信部315から自発的に送信するのではなく、コレクタ400が死活情報を取得するために送信したMIB要求に応答して送信してもよい。この場合、MIB要求受信/応答送信部317が、コレクタ400からSNMP(Simple Network Management Protocol)などのプロトコルによるMIB要求をネットワークインタフェース330-2経由で受信し、受信したMIB要求をMIB応答部316に伝える。MIB応答部316は、MIB要求の内容が死活情報取得であることを認識して、死活情報生成部314から死活情報を取得する。MIB要求受信/応答送信部317は、死活情報生成部314が取得した死活情報をMIB要求への応答としてネットワークインタフェース330-2からコレクタ400に送信する。MIB要求/応答による方法においても、コレクタ400は、要求に対する応答が無い場合に、センサ300の異常を認識できる。 Alternatively, the alive/dead information may not be sent spontaneously from the alive/dead information sending unit 315, but may be sent in response to an MIB request sent by the collector 400 to obtain alive/dead information. In this case, the MIB request receiving/response sending unit 317 receives an MIB request from the collector 400 using a protocol such as SNMP (Simple Network Management Protocol) via the network interface 330-2, and transmits the received MIB request to the MIB response unit 316. The MIB response unit 316 recognizes that the content of the MIB request is to obtain alive/dead information, and obtains alive/dead information from the alive/dead information generating unit 314. The MIB request receiving/response sending unit 317 transmits the alive/dead information obtained by the alive/dead information generating unit 314 from the network interface 330-2 to the collector 400 as a response to the MIB request. Even with the MIB request/response method, the collector 400 can recognize an abnormality in the sensor 300 if there is no response to the request.

以上が本実施例におけるセンサ300の構成と動作である。 The above is the configuration and operation of the sensor 300 in this embodiment.

次に、本実施例におけるコレクタ400の構成と動作を説明する。 Next, we will explain the configuration and operation of the collector 400 in this embodiment.

図3は、第一の実施形態におけるコレクタ400の構成例を示すブロック図である。 Figure 3 is a block diagram showing an example configuration of the collector 400 in the first embodiment.

コレクタ400は、CPU440、メモリ410、例えばハードディスクやSSDなどの記憶部420、及び複数のネットワークインタフェース430-1、430-2(図中では、ネットワークインタフェースをNW-IFと略して記載)を有する。ネットワークインタフェース430-1はセンサ300に接続され、ネットワークインタフェース430-2は管理端末500に接続される。 The collector 400 has a CPU 440, memory 410, a storage unit 420 such as a hard disk or SSD, and multiple network interfaces 430-1 and 430-2 (network interfaces are abbreviated as NW-IF in the figure). Network interface 430-1 is connected to the sensor 300, and network interface 430-2 is connected to the management terminal 500.

CPU440は、メモリ410に格納されたプログラムを実行する演算装置である。なお、CPU440がプログラムを実行して行う処理の一部を、他の演算装置(例えば、FPGAやASICなどのハードウェアによる演算装置)で実行してもよい。 The CPU 440 is a computing device that executes the programs stored in the memory 410. Note that some of the processing performed by the CPU 440 executing the programs may be executed by another computing device (e.g., a hardware computing device such as an FPGA or ASIC).

メモリ410は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含む。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、CPU440が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。具体的には、メモリ410には、CPU440が実行するプログラム、すなわちNetFlow情報受信部411、死活情報受信部412、MIB要求送信/応答受信部413、閾値情報修正部414、NetFlow閾値判定部415、及びSyslog/Trap送信部416を構成するためのプログラムが格納される。 The memory 410 includes a ROM, which is a non-volatile storage element, and a RAM, which is a volatile storage element. The ROM stores unchanging programs (e.g., BIOS) and the like. The RAM is a high-speed, volatile storage element such as a DRAM (Dynamic Random Access Memory), and temporarily stores programs executed by the CPU 440 and data used when the programs are executed. Specifically, the memory 410 stores programs executed by the CPU 440, namely, programs for constituting the NetFlow information receiving unit 411, the alive information receiving unit 412, the MIB request transmission/response receiving unit 413, the threshold information correction unit 414, the NetFlow threshold determination unit 415, and the Syslog/Trap transmission unit 416.

記憶部420は、例えば、磁気記憶装置(HDD)、フラッシュメモリ(SSD)等の大容量かつ不揮発性の記憶装置である。また、記憶部420は、CPU440がプログラムの実行時に使用するデータ(例えば、NetFlow情報蓄積部421、死活情報蓄積部422、センサ/閾値関連情報保持部423、閾値情報保持部424)、及びCPU440が実行するプログラムを格納する。すなわち、プログラムは、記憶部420から読み出されて、メモリ410にロードされて、CPU440によって実行されることによって、コレクタ400の各機能を実現する。 The storage unit 420 is, for example, a large-capacity, non-volatile storage device such as a magnetic storage device (HDD) or a flash memory (SSD). The storage unit 420 also stores data used by the CPU 440 when executing a program (for example, the NetFlow information accumulation unit 421, the alive/dead information accumulation unit 422, the sensor/threshold related information holding unit 423, and the threshold information holding unit 424), and the program executed by the CPU 440. That is, the program is read from the storage unit 420, loaded into the memory 410, and executed by the CPU 440 to realize each function of the collector 400.

図3の構成において、コレクタ400がセンサ300から受信したNetFlow情報を分析する処理を説明する。 In the configuration of Figure 3, the process by which the collector 400 analyzes the NetFlow information received from the sensor 300 is described below.

まず、ネットワークインタフェース430-1は、センサ300から送信されたNetFlow情報を含むパケットを受信する。そして、NetFlow情報受信部411は、ネットワークインタフェース430-1が受信したパケットからNetFlow情報を取り出し、NetFlow情報蓄積部421に蓄積する。 First, the network interface 430-1 receives a packet containing NetFlow information transmitted from the sensor 300. Then, the NetFlow information receiving unit 411 extracts the NetFlow information from the packet received by the network interface 430-1 and stores it in the NetFlow information storage unit 421.

次に、コレクタ400は、受信したNetFlow情報を分析する。本実施例では、予め指定された閾値に基づいてトラフィック量の増減を監視する分析処理を例に説明する。 Next, the collector 400 analyzes the received NetFlow information. In this embodiment, an analysis process that monitors the increase or decrease in traffic volume based on a pre-specified threshold will be described as an example.

NetFlow閾値判定部415は、NetFlow情報蓄積部421に蓄積されたNetFlow情報からフロー毎のトラフィック量を導出し、導出されるフロー毎のトラフィック量と閾値情報保持部424に格納された閾値情報とを比較する。なお、閾値情報保持部424に設定される閾値情報の例については後述する。 The NetFlow threshold determination unit 415 derives the traffic volume for each flow from the NetFlow information stored in the NetFlow information storage unit 421, and compares the derived traffic volume for each flow with the threshold information stored in the threshold information storage unit 424. An example of the threshold information set in the threshold information storage unit 424 will be described later.

比較の結果、トラフィック量が所定の上限閾値を超えた、又は、トラフィック量が所定の下限閾値を下回った等のトラフィックが異常と判定された場合、判定結果をSyslog/Trap送信部416に送信する。Syslog/Trap送信部416は、ネットワークインタフェース430-2を通して管理端末500に異常発生を示す情報を送信する。管理端末500は、異常発生を示す情報に含まれる判定結果を、例えばディスプレイ等の管理画面に表示する等によって、異常の発生を管理者に認識させる。 If the comparison determines that the traffic is abnormal, such as the traffic volume exceeding a predetermined upper threshold or falling below a predetermined lower threshold, the determination result is sent to the Syslog/Trap sending unit 416. The Syslog/Trap sending unit 416 sends information indicating the occurrence of an abnormality to the management terminal 500 via the network interface 430-2. The management terminal 500 makes the administrator aware of the occurrence of an abnormality by displaying the determination result included in the information indicating the occurrence of an abnormality, for example, on a management screen such as a display.

ここで、本実施例においてトラフィック分析処理に用いている閾値情報について、さらに説明する。 Here, we further explain the threshold information used in the traffic analysis process in this embodiment.

図6は、センサ/閾値関連情報保持部423の構成例を示す図である。 Figure 6 shows an example of the configuration of the sensor/threshold related information storage unit 423.

センサ/閾値関連情報保持部423は、トラフィックの正常性を判定する際に参照される閾値情報を保持するテーブルで構成される。 The sensor/threshold related information storage unit 423 is composed of a table that stores threshold information that is referenced when determining the normality of traffic.

センサ/閾値関連情報保持部423は複数のエントリを有し、各エントリは、監視対象とするトラフィック中のフローを指定する対象フロー条件4231、統計情報の送信元となるセンサ300の識別子であるセンサ情報4232、及びセンサ情報4232が示すセンサ300で取得された対象フロー条件4231のフローに対するトラフィック量の上限閾値4233と下限閾値4234が関連付けられた情報を含む。 The sensor/threshold related information storage unit 423 has multiple entries, and each entry includes a target flow condition 4231 that specifies the flow in the traffic to be monitored, sensor information 4232 that is the identifier of the sensor 300 that is the source of the statistical information, and information that associates an upper threshold 4233 and a lower threshold 4234 of the traffic volume for the flow of the target flow condition 4231 acquired by the sensor 300 indicated by the sensor information 4232.

対象フロー条件4231は、例えば、監視対象のトラフィックが標準的なTCP/IPプロトコルに準拠する場合、IPヘッダ内の送信元IPアドレスが特定の値である、又は、アプリケーションサービスの種類を示すTCPヘッダ内の宛先ポート番号が特定の値である等の条件である。センサ情報4232は、例えばセンサ300のIPアドレスである。上限閾値4233及び下限閾値4234は、分析対象とする統計情報の正常動作と判定される値の範囲であり、例えばbyte/secを単位とする時間当たりのトラフィック量などで表される。 The target flow condition 4231 is, for example, a condition in which the traffic to be monitored conforms to a standard TCP/IP protocol, the source IP address in the IP header is a specific value, or the destination port number in the TCP header indicating the type of application service is a specific value. The sensor information 4232 is, for example, the IP address of the sensor 300. The upper threshold 4233 and the lower threshold 4234 are a range of values that are determined to be normal operation of the statistical information to be analyzed, and are expressed, for example, by the amount of traffic per hour in units of bytes/sec.

センサ/閾値関連情報保持部423には、監視対象とするネットワークの規模、利用されているアプリケーションの種類、センサ300の配置などの、ネットワークで転送される情報や監視の目的に基づいて、管理者が管理端末500を通して適切な値が予め設定される。図6では、同一の対象フロー条件「条件A」に対して、センサ情報で識別される3台のセンサ300毎に異なる上限閾値と下限閾値を設定している例を示す。 In the sensor/threshold related information storage unit 423, appropriate values are preset by the administrator through the management terminal 500 based on the purpose of monitoring and information transferred over the network, such as the size of the network to be monitored, the type of application being used, and the placement of the sensors 300. Figure 6 shows an example in which different upper and lower thresholds are set for each of three sensors 300 identified by the sensor information for the same target flow condition "Condition A."

図7は、閾値情報保持部424の構成例を示す図である。 Figure 7 shows an example of the configuration of the threshold information storage unit 424.

閾値情報保持部424は、前述した通り、NetFlow閾値判定部415が判定する際に直接参照する閾値情報を格納するテーブルで構成される。 As described above, the threshold information storage unit 424 is configured as a table that stores threshold information that the NetFlow threshold determination unit 415 directly references when making its determination.

閾値情報保持部424は複数のエントリを有し、各エントリは、分析対象とするトラフィックを指定する対象フロー条件4241、対象フロー条件4241のフローに対するトラフィック量の上限閾値4243と下限閾値4244が関連付けられた情報を含む。 The threshold information storage unit 424 has multiple entries, and each entry includes a target flow condition 4241 that specifies the traffic to be analyzed, and information that associates an upper threshold 4243 and a lower threshold 4244 of the traffic volume for the flow of the target flow condition 4241.

閾値情報保持部424には、対象フロー条件4241を満たすフローを計測する複数のセンサ300で計測されるトラフィック量の合計値に対する閾値が保持される。 The threshold information storage unit 424 stores a threshold for the total traffic volume measured by multiple sensors 300 that measure flows that satisfy the target flow condition 4241.

図6と図7に示される実際の数値例を用いて対象フロー条件が「条件A」の場合を例に説明する。「条件A」を満たすトラフィックは、図6に示すとおり、3台のセンサ300で計測され、それぞれの上限閾値4233の値の合計値である21,000,000と下限閾値4234の値の合計値である12,000,000が、図7の閾値情報保持部424の対象フロー条件4241が「条件A」であるエントリの上限閾値4243と下限閾値4244にそれぞれ格納される。これらの値は、センサ/閾値関連情報保持部423に値が設定された段階で、まず初期値として算出、格納されている。 The case where the target flow condition is "Condition A" will be explained as an example using the actual numerical examples shown in Figures 6 and 7. Traffic that satisfies "Condition A" is measured by three sensors 300 as shown in Figure 6, and the sum of the upper threshold 4233 values, 21,000,000, and the sum of the lower threshold 4234 values, 12,000,000, are stored in the upper threshold 4243 and lower threshold 4244 of the entry in the threshold information storage unit 424 in Figure 7 where the target flow condition 4241 is "Condition A". These values are first calculated and stored as initial values when the values are set in the sensor/threshold related information storage unit 423.

さらに、コレクタ400は、センサ300の停止などの不具合が発生した際に、トラフィック異常を誤って判定しないように、閾値情報保持部424に保持される閾値を再計算して補正する。以下に、閾値補正のためのコレクタ400の動作を説明する。なお、ここで説明する処理は、前述したNetFlow受信部441及びNetFlow閾値判定部415によるNetFlow情報の受信処理と閾値判定処理とは独立して並列に実行される。 Furthermore, when a malfunction such as a stoppage of the sensor 300 occurs, the collector 400 recalculates and corrects the threshold value stored in the threshold information storage unit 424 so as not to erroneously determine a traffic abnormality. The operation of the collector 400 for threshold correction will be described below. Note that the process described here is executed in parallel, independently of the NetFlow information reception process and threshold determination process by the NetFlow receiving unit 441 and the NetFlow threshold determination unit 415 described above.

図4は、第一の実施形態におけるコレクタ400において、センサ300から死活情報を受信してから閾値情報保持部424の補正した閾値情報を格納するまでの動作シーケンスを示す図である。 Figure 4 is a diagram showing the operational sequence in the collector 400 in the first embodiment from receiving alive information from the sensor 300 to storing the corrected threshold information in the threshold information storage unit 424.

まず、センサ300がコレクタ400に死活情報を送信する。コレクタ400の死活情報受信部412は、ネットワークインタフェース430-1を通して、その死活情報を受信し(ステップS601)、受信した死活情報に基づいて死活情報蓄積部422を更新する(ステップS602)。なお、センサ300の動作状況を収集する死活監視装置を設け、死活情報受信部412は、センサ300から死活情報を受信せず、当該死活監視装置からセンサ300の死活情報を受信してもよい。 First, the sensor 300 transmits alive/dead information to the collector 400. The alive/dead information receiving unit 412 of the collector 400 receives the alive/dead information through the network interface 430-1 (step S601), and updates the alive/dead information storage unit 422 based on the received alive/dead information (step S602). Note that an alive/dead monitoring device that collects the operating status of the sensor 300 may be provided, and the alive/dead information receiving unit 412 may receive the alive/dead information of the sensor 300 from the alive/dead monitoring device, rather than receiving the alive/dead information from the sensor 300.

図5は、死活情報蓄積部422の構成例を示す図である。死活情報蓄積部422は複数のエントリを有し、各エントリは、死活情報送信元センサ300の識別子であるセンサ情報4221と、センサ情報4221が示すセンサ300の状態を示す死活状況4222と、センサ情報4221が示すセンサ300から最新の死活情報を受信した時刻である最新受信時刻4223が関連付けられた情報を含む。本実施例では、センサ情報4221はセンサ300のIPアドレス、死活状況4222はセンサ情報4221が示すセンサ300が正常動作している場合には「1」を、異常が発生してNetFlow情報を送信できない状態である場合には「0」を格納している。 Figure 5 is a diagram showing an example of the configuration of the alive/dead information accumulation unit 422. The alive/dead information accumulation unit 422 has multiple entries, and each entry includes information in which sensor information 4221, which is an identifier of the sensor 300 that sent the alive/dead information, alive/dead status 4222 indicating the state of the sensor 300 indicated by the sensor information 4221, and latest reception time 4223 indicating the time when the latest alive/dead information was received from the sensor 300 indicated by the sensor information 4221 are associated. In this embodiment, the sensor information 4221 stores the IP address of the sensor 300, and the alive/dead status 4222 stores "1" when the sensor 300 indicated by the sensor information 4221 is operating normally, and "0" when an abnormality has occurred and the sensor 300 cannot transmit NetFlow information.

ステップS602において、死活情報蓄積部422は次のように更新される。 In step S602, the alive/dead information accumulation unit 422 is updated as follows:

まず、死活情報受信部412は、受信した死活情報の送信元IPアドレスとセンサ情報4221が同じ死活情報蓄積部422のエントリを検索し、そのエントリの死活状況4222に「0」又は「1」を設定し、該死活情報の受信時刻を最新受信時刻4223に格納する。なお、受信した死活情報の送信元IPアドレスとセンサ情報4221が同じ死活情報蓄積部422のエントリが見つからない場合は、新規にエントリを作成する。 First, the alive/dead information receiving unit 412 searches for an entry in the alive/dead information storage unit 422 where the source IP address of the received alive/dead information is the same as the sensor information 4221, sets the alive/dead status 4222 of that entry to "0" or "1", and stores the reception time of the alive/dead information in the latest reception time 4223. If no entry in the alive/dead information storage unit 422 where the source IP address of the received alive/dead information is the same as the sensor information 4221 is found, a new entry is created.

また、ステップS602において、死活情報受信部412は、死活情報蓄積部422の各エントリの最新受信時刻4223の値を確認し、最新受信時刻4223の値と現在時刻の差が所定値以上であるエントリがある場合、該エントリの死活状況4222を「0」に設定する。これは、定期的な死活情報の送信が停止したことによるセンサ300の異常を認識するための処理である。 In addition, in step S602, the alive/dead information receiving unit 412 checks the value of the latest received time 4223 of each entry in the alive/dead information storage unit 422, and if there is an entry whose difference between the value of the latest received time 4223 and the current time is equal to or greater than a predetermined value, sets the alive/dead status 4222 of that entry to "0." This is a process for recognizing an abnormality in the sensor 300 caused by the periodic transmission of alive/dead information being stopped.

図4のシーケンス図に戻り説明を続ける。次に、死活情報受信部412は、ステップ602で死活情報蓄積部422の更新によって死活状況4222の値が変化したエントリがある場合、すなわち、死活状況が変化したセンサ300がある場合、死活情報の変化を閾値情報修正部414に通知する(ステップS603)。 Returning to the sequence diagram in FIG. 4, the explanation will be continued. Next, if there is an entry whose value of the alive/dead status 4222 has changed due to the update of the alive/dead information storage unit 422 in step 602, i.e., if there is a sensor 300 whose alive/dead status has changed, the alive/dead information receiving unit 412 notifies the threshold information correcting unit 414 of the change in the alive/dead information (step S603).

閾値情報修正部414は、ステップ603において通知を受け取ると、死活情報蓄積部422から死活情報を取得し(ステップS604)、さらに、センサ/閾値関連情報保持部423の各エントリに格納されたセンサ300の閾値情報を取得する(ステップS605)。 When the threshold information correction unit 414 receives the notification in step S603, it acquires alive information from the alive information accumulation unit 422 (step S604), and further acquires the threshold information of the sensor 300 stored in each entry of the sensor/threshold association information holding unit 423 (step S605).

次に、閾値情報修正部414は、ステップS604で取得した死活情報に基づいて、受信したNetFlow情報が正しいか(すなわち、センサ300が動作していないので、NetFlow情報が誤っている可能性があるか)を判定し、NetFlow情報が誤っている可能性がある場合、ステップS605で取得した閾値情報に基づいて、センサ300の死活状況に基づいた適切な閾値情報を再計算する(ステップS606)。 Next, the threshold information correction unit 414 determines whether the received NetFlow information is correct (i.e., whether the NetFlow information is likely to be incorrect because the sensor 300 is not operating) based on the alive/dead information acquired in step S604, and if there is a possibility that the NetFlow information is incorrect, it recalculates appropriate threshold information based on the alive/dead status of the sensor 300 based on the threshold information acquired in step S605 (step S606).

ここで、閾値情報の再計算の一例として、図5及び図6に示される各種情報の数値例に基づいて具体的に計算した例を示す。 Here, as an example of recalculating threshold information, we will show a specific example of calculation based on the numerical examples of various information shown in Figures 5 and 6.

まず、ステップS602の処理によって死活情報蓄積部422が更新された結果、図5に示すようにエントリ番号1のセンサ300(IPアドレス192.168.0.1)の死活状況4222が「0」、すなわち、NetFlow情報が送信できない状態に変化した場合を考える。 First, consider the case where the alive status information storage unit 422 is updated by the processing in step S602, and as a result, the alive status 4222 of the sensor 300 (IP address 192.168.0.1) with entry number 1 changes to "0" as shown in FIG. 5, i.e., the NetFlow information cannot be transmitted.

この状態で、閾値情報修正部414はステップS606において、死活情報蓄積部422の死活状況4222が「1」となっているセンサ300だけの閾値を用いて、上限閾値と下限閾値を再計算する。図5及び図6に示される数値例の場合、死活情報蓄積部422のエントリ#2と#3のセンサ300だけが正常稼働しているので、それらを対象とした「条件A」を満たすトラフィックの新たな閾値情報は、センサ/閾値関連情報保持部423のエントリ#2と#3のセンサ300の閾値を用いて、上限閾値が15,000,000、下限閾値が9,000,000と再計算される。 In this state, in step S606, the threshold information correction unit 414 recalculates the upper threshold and the lower threshold using the thresholds of only the sensors 300 whose alive/dead status 4222 in the alive/dead information accumulation unit 422 is set to "1". In the case of the numerical example shown in Figures 5 and 6, only the sensors 300 in entries #2 and #3 in the alive/dead information accumulation unit 422 are operating normally, so the new threshold information for traffic satisfying "Condition A" for these sensors is recalculated using the thresholds of the sensors 300 in entries #2 and #3 in the sensor/threshold related information holding unit 423, with the upper threshold being 15,000,000 and the lower threshold being 9,000,000.

次に、閾値情報修正部414は、ステップS606で再計算された閾値情報を上書きして、閾値情報保持部424を更新する(ステップ607)。 Next, the threshold information correction unit 414 overwrites the threshold information recalculated in step S606 and updates the threshold information storage unit 424 (step S607).

なお、閾値情報修正部414は、センサ300に異常が発生したこと、及び、その異常発生に伴い異常判定の閾値を再計算したことを管理者に通知するため、これらの通知情報を含むパケットを、ネットワークインタフェース430-2を通して管理端末500に送信してもよい。管理端末500は、受信した通知情報をディスプレイ等の管理画面に表示する。 The threshold information correction unit 414 may send a packet including this notification information to the management terminal 500 via the network interface 430-2 to notify the administrator that an abnormality has occurred in the sensor 300 and that the abnormality determination threshold has been recalculated in response to the occurrence of the abnormality. The management terminal 500 displays the received notification information on a management screen such as a display.

以上のように、個々のセンサ300で期待されるNetFlow情報の上限閾値と下限閾値を予めセンサ/閾値関連情報保持部423に設定しておくことによって、閾値情報修正部414の処理によりセンサ300の死活状況に応じて通信の正常性を適切に判断するための上限閾値、下限閾値を得られるようになる。 As described above, by setting the upper and lower thresholds of the NetFlow information expected from each sensor 300 in advance in the sensor/threshold related information storage unit 423, the upper and lower thresholds for appropriately determining the normality of communication according to the alive status of the sensor 300 can be obtained by processing of the threshold information correction unit 414.

図8及び図9は、本実施例により閾値を再計算する効果を分かりやすく説明するために、コレクタ400が収集した統計情報に基づく単位時間あたりのトラフィック量の変化と閾値の関係を模式的に表した図である。 Figures 8 and 9 are diagrams that show the relationship between the change in traffic volume per unit time based on statistical information collected by the collector 400 and the threshold, in order to clearly explain the effect of recalculating the threshold in this embodiment.

図8は、全てのセンサ300が正常に稼働している状態で、第一の実施形態のコレクタ400が受信したNetFlow情報に基づいて導出された「条件A」を満たすトラフィックのトラフィック量の一例を示す図である。 Figure 8 shows an example of the traffic volume of traffic that satisfies "Condition A" derived based on the NetFlow information received by the collector 400 of the first embodiment when all sensors 300 are operating normally.

図は、時間により変化するトラフィック量612と、図7に示す初期設定された状態で閾値情報保持部424が保持する「条件A」を満たすトラフィック量の上限閾値611と下限閾値613を表す。トラフィック量612が上限閾値611と下限閾値613の間に収まっており、トラフィック量612に異常が発生していない。 The figure shows the traffic volume 612 that changes over time, and the upper threshold 611 and lower threshold 613 of the traffic volume that satisfy "Condition A" stored in the threshold information storage unit 424 in the initially set state shown in FIG. 7. The traffic volume 612 falls between the upper threshold 611 and the lower threshold 613, and no abnormality has occurred in the traffic volume 612.

図9は、一部のセンサ300が動作を停止してNetFlow情報の一部が受信できなくなった状態で、第一の実施形態のコレクタ400が受信したNetFlow情報に基づいて導出された「条件A」を満たすトラフィックのトラフィック量の一例を示す図である。 Figure 9 shows an example of the traffic volume of traffic that satisfies "Condition A" derived based on the NetFlow information received by the collector 400 of the first embodiment when some of the sensors 300 have stopped operating and some of the NetFlow information cannot be received.

図中、時間により変化するトラフィック量622と、閾値情報修正部414がセンサ300の死活状況に基づく閾値情報の再計算前のトラフィック量の上限閾値611と下限閾値613と、閾値情報修正部414がセンサ300の死活状況に基づく閾値情報の再計算後のトラフィック量の上限閾値621と下限閾値623を表す。トラフィック量622は、停止しているセンサ300からの情報が含まれないため、実際のトラフィック量より少ない値となっている。同様に、再計算後の上限閾値621と下限閾値623は、再計算前の上限閾値611と下限閾値613より停止しているセンサ300の分少なくなっている。 In the figure, the traffic volume 622 that changes with time, the upper threshold 611 and lower threshold 613 of the traffic volume before the threshold information correction unit 414 recalculates the threshold information based on the alive status of the sensor 300, and the upper threshold 621 and lower threshold 623 of the traffic volume after the threshold information correction unit 414 recalculates the threshold information based on the alive status of the sensor 300. The traffic volume 622 is a value less than the actual traffic volume because it does not include information from stopped sensors 300. Similarly, the upper threshold 621 and lower threshold 623 after recalculation are less than the upper threshold 611 and lower threshold 613 before recalculation by the number of stopped sensors 300.

図9に示すように、一部のセンサ300の停止によってコレクタ400が統計情報に基づいて算出するトラフィック量が実際のトラフィック量より小さくなった場合に、上限閾値及び下限閾値を再計算しないとトラフィック量が正常でも異常とする誤判定が発生し得る。しかし、センサ300の停止を考慮して上限閾値及び下限閾値を再計算すれば、そのような誤検知を抑制できることがわかる。 As shown in FIG. 9, if the traffic volume calculated by the collector 400 based on statistical information becomes smaller than the actual traffic volume due to the stoppage of some of the sensors 300, a false positive determination that the traffic volume is abnormal may occur even when the traffic volume is normal, unless the upper and lower thresholds are recalculated. However, it can be seen that such false positives can be suppressed by recalculating the upper and lower thresholds taking into account the stoppage of the sensors 300.

以上に説明したように、本実施例によれば、統計情報を取得するセンサ300とその統計情報を収集して分析するコレクタ400から構成されるネットワーク監視システムにおいて、一部のセンサ300が故障等で停止した場合でも、コレクタ400が実行する分析処理におけるトラフィック異常の誤判定を抑制できる。このため、ネットワーク管理者が不要な対処作業を行ってしまう、又は、必要な問題対応の作業を行えないといったネットワーク管理上の問題発生を低減できる。 As described above, according to this embodiment, in a network monitoring system consisting of sensors 300 that acquire statistical information and collectors 400 that collect and analyze that statistical information, even if some of the sensors 300 stop due to a malfunction or the like, it is possible to suppress erroneous determination of traffic abnormalities in the analysis process performed by the collectors 400. This reduces the occurrence of network management problems, such as network administrators performing unnecessary countermeasures or being unable to perform necessary problem-solving tasks.

<実施形態2>
第二の実施形態におけるネットワーク監視システムの構成例は、図1に示した第一の実施形態のネットワーク監視システムにおいて、センサ300を後述する第二の実施形態によるセンサ350に、コレクタ400を後述する第二の実施形態によるコレクタ450にそれぞれ置き換えたものである。なお、第二の実施形態において、第一の実施形態と同じ構成及び機能については同じ符号を付し、それらの説明は省略する。 <Embodiment 2>
A configuration example of the network monitoring system in the second embodiment is obtained by replacing the sensor 300 with a sensor 350 according to a second embodiment described later, and the collector 400 with a collector 450 according to a second embodiment described later, in the network monitoring system of the first embodiment shown in Fig. 1. Note that in the second embodiment, the same configurations and functions as those in the first embodiment are denoted by the same reference numerals, and descriptions thereof will be omitted.

第二の実施形態では、センサ350又はコレクタ450の性能不足等の問題でフロー統計情報の送信に欠落が発生した場合でも、コレクタ450がパケット統計情報を併用して本来のフロー統計情報を推定して補正することによって、本来発生すべきアラームの未発生などの問題を抑制する。ここで、パケット統計情報とは、NetFlowが扱うフロー統計のようにフローの区別を行わず、単純に単位時間あたりに受信したトラフィック全体のパケット数や総バイト数(各パケットの長さの総和)などが計測された、ネットワークトラフィックのデータ量を示す統計情報である。 In the second embodiment, even if there is a missed transmission of flow statistics due to a problem such as insufficient performance of the sensor 350 or the collector 450, the collector 450 uses the packet statistics information in addition to the flow statistics to estimate and correct the original flow statistics, thereby suppressing problems such as failure to issue an alarm that should have been issued. Here, packet statistics is statistical information that indicates the amount of data in the network traffic, such as the number of packets and the total number of bytes (the sum of the lengths of each packet) of the entire traffic received per unit time, without distinguishing flows as in the flow statistics handled by NetFlow.

図10は、第二の実施形態におけるセンサ350の構成例を示すブロック図である。 Figure 10 is a block diagram showing an example configuration of a sensor 350 in the second embodiment.

センサ350は、CPU340、メモリ310、記憶部320、及び複数のネットワークインタフェース330-1、330-2(図中では、ネットワークインタフェースをNW-IFと略して記載)を有する。ネットワークインタフェース330-1はネットワーク機器200に接続され、ネットワークインタフェース330-2はコレクタ400に接続される。 The sensor 350 has a CPU 340, a memory 310, a storage unit 320, and multiple network interfaces 330-1 and 330-2 (network interfaces are abbreviated as NW-IF in the figure). The network interface 330-1 is connected to the network device 200, and the network interface 330-2 is connected to the collector 400.

メモリ310には、CPU330によって実行されるプログラム、すなわちトラフィック受信部311、NetFlow情報生成部312、NetFlow情報送信部313、MIB(Management Information Base)応答部316、MIB要求受信/応答送信部317、パケット統計生成部318、及びパケット統計送信部319を構成するためのプログラムが格納される。センサ350は、死活情報生成部314、及び死活情報送信部315を有してもよい。 The memory 310 stores programs executed by the CPU 330, namely, programs for constituting a traffic receiving unit 311, a NetFlow information generating unit 312, a NetFlow information transmitting unit 313, a MIB (Management Information Base) response unit 316, a MIB request receiving/response transmitting unit 317, a packet statistics generating unit 318, and a packet statistics transmitting unit 319. The sensor 350 may have a vital information generating unit 314, and a vital information transmitting unit 315.

記憶部320は、CPU340がプログラムの実行時に使用するデータ(例えば、取得したトラフィックの統計情報を保持するフロー情報蓄積部321、パケット統計蓄積部322)、及びCPU340が実行するプログラムを格納する。 The memory unit 320 stores data used by the CPU 340 when the CPU 340 executes a program (e.g., the flow information storage unit 321 that holds acquired traffic statistics information, and the packet statistics storage unit 322), and the program executed by the CPU 340.

図10の構成において、センサ350がネットワーク100のトラフィックに関する統計情報を取得してコレクタ450にNetFlow情報として送信する処理は、第一の実施形態のセンサ300が統計情報をコレクタ400に送信する処理と同じなので、説明を省略する。 In the configuration of FIG. 10, the process in which the sensor 350 acquires statistical information about traffic on the network 100 and transmits it to the collector 450 as NetFlow information is the same as the process in which the sensor 300 in the first embodiment transmits statistical information to the collector 400, so a description of this process is omitted.

さらに、センサ350は、トラフィック受信部311がネットワーク機器200から受信したトラフィックに関する情報をパケット統計生成部318に転送する。パケット統計生成部318が、トラフィックに関する情報に基づいてパケット統計情報を生成し、生成したパケット統計情報をパケット統計蓄積部322に格納する。パケット統計情報の生成は、計測時にフローの識別が不要となることから処理負荷が小さく、計測対象のトラフィック量が増えた場合でも、高精度に計測できる。 Furthermore, the sensor 350 transfers information relating to the traffic received by the traffic receiving unit 311 from the network device 200 to the packet statistics generating unit 318. The packet statistics generating unit 318 generates packet statistics based on the traffic information and stores the generated packet statistics in the packet statistics accumulating unit 322. The generation of packet statistics does not require flow identification during measurement, so the processing load is small, and high-precision measurement is possible even when the amount of traffic being measured increases.

さらに、パケット統計蓄積部322に格納された内容は、パケット統計送信部319が所定のフォーマットのパケットに格納し、所定の時間間隔でネットワークインタフェース330-2を通してコレクタ450に送信する。又は、コレクタ450からパケット統計情報の取得を目的に送信されたSNMPなどのプロトコルによるMIB要求をネットワークインタフェース330-2経由でMIB応答部316が受信し、MIB応答部316が受信したMIB要求の内容を解釈してMIB要求受信/応答送信部317に応答の送信を指示し、MIB要求受信/応答送信部317がパケット統計蓄積部322から取得したパケット統計情報をMIB要求へ応答としてネットワークインタフェース330-2経由でコレクタ450に送信してもよい。 Furthermore, the contents stored in the packet statistics accumulation unit 322 are stored in packets of a specified format by the packet statistics transmission unit 319, and are transmitted to the collector 450 via the network interface 330-2 at specified time intervals. Alternatively, the MIB response unit 316 may receive an MIB request by a protocol such as SNMP transmitted from the collector 450 for the purpose of acquiring packet statistics information via the network interface 330-2, and the MIB response unit 316 may interpret the contents of the received MIB request and instruct the MIB request reception/response transmission unit 317 to transmit a response, and the MIB request reception/response transmission unit 317 may transmit the packet statistics information acquired from the packet statistics accumulation unit 322 to the collector 450 via the network interface 330-2 as a response to the MIB request.

図11は、第二の実施形態におけるコレクタ450の構成例を示すブロック図である。 Figure 11 is a block diagram showing an example configuration of the collector 450 in the second embodiment.

コレクタ450は、CPU440、メモリ410、例えばハードディスクやSSDなどの記憶部420、及び複数のネットワークインタフェース430-1、430-2(図中では、ネットワークインタフェースをNW-IFと略して記載)を有する。ネットワークインタフェース430-1はセンサ300に接続され、ネットワークインタフェース430-2は管理端末500に接続される。 The collector 450 has a CPU 440, memory 410, a storage unit 420 such as a hard disk or SSD, and multiple network interfaces 430-1 and 430-2 (network interfaces are abbreviated as NW-IF in the figure). Network interface 430-1 is connected to the sensor 300, and network interface 430-2 is connected to the management terminal 500.

メモリ410には、CPU440が実行するプログラム、すなわちNetFlow情報受信部411、MIB要求送信/応答受信部413、NetFlow閾値判定部415、Syslog/Trap送信部416、パケット統計受信部417、及びNetFlow情報修正部418を構成するためのプログラムが格納される。コレクタ450は、死活情報受信部412、及び閾値情報修正部414を有してもよい。 The memory 410 stores programs executed by the CPU 440, namely, programs for constituting a NetFlow information receiving unit 411, an MIB request sending/response receiving unit 413, a NetFlow threshold determining unit 415, a Syslog/Trap sending unit 416, a packet statistics receiving unit 417, and a NetFlow information correcting unit 418. The collector 450 may also have a vital information receiving unit 412, and a threshold information correcting unit 414.

記憶部420は、CPU440がプログラムの実行時に使用するデータ(例えば、NetFlow情報蓄積部421、閾値情報保持部424、パケット統計蓄積部425、補正NetFlow情報蓄積部426)、及びCPU440が実行するプログラムを格納する。 The memory unit 420 stores data used by the CPU 440 when executing a program (e.g., the NetFlow information accumulation unit 421, the threshold information holding unit 424, the packet statistics accumulation unit 425, and the corrected NetFlow information accumulation unit 426), and the program executed by the CPU 440.

図11の構成において、センサ350からNetFlow情報を受信して、NetFlow情報蓄積部421に格納する処理は、第一の実施形態によるコレクタ400の処理と同じなので、説明を省略する。 In the configuration of FIG. 11, the process of receiving NetFlow information from the sensor 350 and storing it in the NetFlow information storage unit 421 is the same as the process of the collector 400 in the first embodiment, so a description thereof will be omitted.

さらに、コレクタ450は、センサ350からパケット統計情報を取得して、既に受信済みのNetFlow情報蓄積部421内のフロー情報を補正する。この補正処理は、センサ350のNetFlow処理能力を超えるトラフィックがネットワーク100で発生し、そのトラフィックに関してコレクタ450が受信したNetFlow情報に誤差が含まれると予想される場合に、NetFlow情報を補正し、コレクタ450による異常の誤判定の可能性を低減する。NetFlow情報に誤差が含まれているかを推定する際にセンサ350が取得して格納したパケット統計蓄積部322の情報を利用する。以下に、そのためのコレクタ450の動作を説明する。 Furthermore, the collector 450 acquires packet statistics information from the sensor 350 and corrects the flow information already received in the NetFlow information storage unit 421. This correction process corrects the NetFlow information when traffic that exceeds the NetFlow processing capacity of the sensor 350 occurs in the network 100 and the NetFlow information received by the collector 450 regarding that traffic is expected to contain an error, thereby reducing the possibility of the collector 450 misjudging an anomaly. When estimating whether the NetFlow information contains an error, the information acquired and stored by the sensor 350 in the packet statistics storage unit 322 is used. The operation of the collector 450 for this purpose is described below.

図12は、第二の実施形態におけるコレクタ450がセンサ350からパケット統計情報を受信してから補正したNetFlow情報を補正NetFlow情報蓄積部426へ格納するまでの動作シーケンスを示す図である。なお、ここで説明する処理は、NetFlow受信部441によるNetFlow情報の受信処理や、NetFlow閾値判定部415による閾値判定処理とは独立して並列に実行される。 Figure 12 is a diagram showing the operation sequence from when the collector 450 in the second embodiment receives packet statistical information from the sensor 350 to when the corrected NetFlow information is stored in the corrected NetFlow information storage unit 426. Note that the processing described here is executed independently and in parallel with the NetFlow information reception processing by the NetFlow receiving unit 441 and the threshold determination processing by the NetFlow threshold determination unit 415.

まず、センサ350がコレクタ450にパケット統計情報を送信する。コレクタ450のパケット統計受信部417は、ネットワークインタフェース430-1を通して、そのパケット統計情報を受信し(ステップS701)、受信したパケット統計情報をパケット統計蓄積部425へ格納する(ステップS702)。 First, the sensor 350 transmits packet statistics information to the collector 450. The packet statistics receiving unit 417 of the collector 450 receives the packet statistics information through the network interface 430-1 (step S701), and stores the received packet statistics information in the packet statistics storage unit 425 (step S702).

図14は、パケット統計蓄積部425の構成例を示す図である。パケット統計蓄積部425は、複数のエントリを有し、各エントリは、単位時間ごとに計測されたパケット統計情報として、統計取得時刻を示す時刻4251と、単位時間中に計測されたパケット数4252と、単位時間中に計測された全パケットのパケット長の総和であるバイト数4253が関連付けられた情報を含む。図示した統計情報は一例であり、他の統計情報を格納してもよい。 Figure 14 is a diagram showing an example of the configuration of the packet statistics accumulation unit 425. The packet statistics accumulation unit 425 has multiple entries, and each entry includes packet statistical information measured per unit time, which is associated with a time 4251 indicating the time of statistics acquisition, the number of packets measured during the unit time 4252, and the number of bytes 4253 which is the sum of the packet lengths of all packets measured during the unit time. The statistical information shown in the figure is an example, and other statistical information may be stored.

図12のシーケンス図に戻り説明を続ける。NetFlow情報修正部418は、パケット統計受信部417の処理と並行して、所定のタイミングで(例えば、周期的に)パケット統計蓄積部425からパケット統計情報を取得し(ステップS703)、さらに、NetFlow情報蓄積部421からNetFlow情報を取得する(S704)。 Returning to the sequence diagram of FIG. 12, the explanation will be continued. In parallel with the processing of the packet statistics receiving unit 417, the NetFlow information correction unit 418 acquires packet statistics information from the packet statistics accumulation unit 425 at a predetermined timing (e.g., periodically) (step S703), and further acquires NetFlow information from the NetFlow information accumulation unit 421 (S704).

図13は、NetFlow情報蓄積部421の構成例を示す図である。NetFlow情報蓄積部421は複数のエントリを有し、各エントリは、NetFlow情報が取得された時刻4211と、フローを識別する情報である送信元アドレス4212及び送信先アドレス4213と、フロー毎のパケット数4214と、フロー毎のパケット長の総和であるバイト数4215を関連付けた情報を含む。なお、フローを識別する情報は一例であり、例えばパケットのヘッダに含まれるTCPやUDPのポート番号などを含んでもよい。また、パケット数やバイト数以外の統計情報を含んでもよい。 Figure 13 is a diagram showing an example of the configuration of the NetFlow information accumulation unit 421. The NetFlow information accumulation unit 421 has multiple entries, and each entry includes information that associates the time 4211 when the NetFlow information was acquired, a source address 4212 and a destination address 4213 that are information for identifying a flow, the number of packets for each flow 4214, and the number of bytes 4215 that is the total packet length for each flow. Note that the information for identifying a flow is an example, and may include, for example, a TCP or UDP port number included in the packet header. It may also include statistical information other than the number of packets and the number of bytes.

図12のシーケンス図に戻り説明を続ける。NetFlow情報修正部418は、取得したパケット統計情報とNetFlow情報を比較し、この比較結果に基づいて受信済みのNetFlow情報を補正する(ステップS705)。そして、補正後のNetFlow情報を補正NetFlow情報蓄積部426に格納する(S706)。 Returning to the sequence diagram in Figure 12, the explanation will continue. The NetFlow information correction unit 418 compares the acquired packet statistical information with the NetFlow information, and corrects the received NetFlow information based on the comparison result (step S705). Then, the corrected NetFlow information is stored in the corrected NetFlow information storage unit 426 (S706).

図15は、補正後NetFlow情報蓄積部426の構成例を示す図である。補正後NetFlow情報蓄積部426の構成は、NetFlow情報蓄積部421と同じなので、その説明は省略する。 Figure 15 is a diagram showing an example of the configuration of the corrected NetFlow information accumulation unit 426. The configuration of the corrected NetFlow information accumulation unit 426 is the same as that of the NetFlow information accumulation unit 421, so a description thereof will be omitted.

ここで、図13、図14、図15に示す具体的な数値例を用いて、NetFlow情報の補正を行う処理(ステップS705)の一例を説明する。 Here, an example of the process of correcting NetFlow information (step S705) will be described using the specific numerical examples shown in Figures 13, 14, and 15.

NetFlow情報修正部418は、ステップS705において、ステップS703で取得したパケット統計情報とステップ704で取得したNetFlow情報内の統計情報を時刻ごとに比較して、受信したNetFlow情報が正しいか(すなわち、センサ350が動作していないので、NetFlow情報が誤っている可能性があるか)を判定する。もし、同一時刻に異なるフローに関する複数のNetFlow情報が存在する場合、それらのフローの各統計情報の合計値と比較し、判定する。 In step S705, the NetFlow information correction unit 418 compares the packet statistical information acquired in step S703 with the statistical information in the NetFlow information acquired in step S704 for each time, and determines whether the received NetFlow information is correct (i.e., whether the NetFlow information is likely to be incorrect because the sensor 350 is not operating). If there are multiple pieces of NetFlow information relating to different flows at the same time, the total value of the statistical information for those flows is compared to make a determination.

例えば、時刻「2020/1/1 09:59」におけるパケット統計情報のパケット数4252は「3」、バイト数4253は「384」であり(図14のエントリ#1)、同時刻に取得されたNetFlow情報の合計も、パケット数4214は「3」、バイト数4215は「384」である(図13のエントリ#1)。この統計値が一致する場合、NetFlow情報修正部418はこの時刻におけるNetFlow情報が正しく、補正は不要と判定する。 For example, the packet statistics information at time "2020/1/1 09:59" shows the number of packets 4252 as "3" and the number of bytes 4253 as "384" (entry #1 in FIG. 14), and the total of the NetFlow information acquired at the same time also shows the number of packets 4214 as "3" and the number of bytes 4215 as "384" (entry #1 in FIG. 13). If these statistical values match, the NetFlow information correction unit 418 determines that the NetFlow information at this time is correct and no correction is required.

一方、時刻「2020/1/1 10:00」におけるパケット統計情報のパケット数4252は「10,000」、バイト数4253は「1,280,000」であり(図14のエントリ#2)、同時刻に取得されたNetFlow情報の合計は、パケット数4214は「5,000」、バイト数4215は「640,000」である(図13のエントリ#2からエントリ#6までのパケット数とバイト数それぞれの合計値)。前述した通り、パケット統計情報は誤差が極めて少ない統計値が期待できるが、NetFlow情報はセンサ350やコレクタ450の処理能力を超えるトラフィックのタイミングでは精度良く計測できないことがあり、この差分は、このような理由によって発生した誤差であると考えられる。このような差分が発生した場合、NetFlow情報修正部418は、NetFlow情報を補正する。 On the other hand, the packet count 4252 of the packet statistics information at the time "2020/1/1 10:00" is "10,000" and the byte count 4253 is "1,280,000" (entry #2 in FIG. 14), and the total of the NetFlow information acquired at the same time is the packet count 4214 of "5,000" and the byte count 4215 of "640,000" (total values of the packet counts and byte counts from entry #2 to entry #6 in FIG. 13). As described above, the packet statistics information is expected to provide statistical values with extremely small errors, but the NetFlow information may not be measured accurately at the timing of traffic that exceeds the processing capacity of the sensor 350 or collector 450, and this difference is considered to be an error that occurs for such a reason. When such a difference occurs, the NetFlow information correction unit 418 corrects the NetFlow information.

補正の方法はいくつかあるが、例えば、パケット統計情報の統計値を、各フローに均等に配分し、均等配分された統計値を各NetFlow情報に加算して、補正後のNetFlow情報を算出してもよい。また、パケット統計情報の統計値を、NetFlow情報の統計値の比率で各フローに案分し、按分された統計値を各NetFlow情報に加算して、補正後のNetFlow情報を算出してもよい。図13の例で説明すると、時刻「2020/1/1 10:00」における5個のNetFlow情報(図13のエントリ#2からエントリ#6)は、エントリ#3のパケット数4214が2,000で、バイト数4215が256,000であり、他のエントリのパケット数4214が1,000で、バイト数4215が128,000である。このため、NetFlow情報修正部418は、同時刻のパケット統計情報の統計値であるパケット数4252「12,000」と、バイト数4253「7,680,000」を、それぞれパケット数4214及びバイト数4215の比で5個のフローに配分した値をNetFlow情報の補正値として算出する。図15は、その算出結果を補正後NetFlow情報蓄積部に格納した状態を表している。なお、前述の方法は、センサ350又はコレクタ450の性能不足等によるフロー統計情報の欠落が、各フローにおいて均等な確率で発生すると期待できる場合に効果的な推定方法の一例である。パケット統計情報の統計値から各フローの統計値を推定する方法は、上記に限定されるものではない。 There are several methods of correction, but for example, the statistical values of the packet statistical information may be evenly distributed to each flow, and the evenly distributed statistical values may be added to each NetFlow information to calculate the corrected NetFlow information. In addition, the statistical values of the packet statistical information may be prorated to each flow in the ratio of the statistical values of the NetFlow information, and the prorated statistical values may be added to each NetFlow information to calculate the corrected NetFlow information. In the example of FIG. 13, the five pieces of NetFlow information (entries #2 to #6 in FIG. 13) at the time "2020/1/1 10:00" are as follows: the number of packets 4214 of entry #3 is 2,000, the number of bytes 4215 is 256,000, and the number of packets 4214 of the other entries is 1,000, and the number of bytes 4215 is 128,000. Therefore, the NetFlow information correction unit 418 calculates the corrected value of the NetFlow information by distributing the packet count 4252 "12,000" and byte count 4253 "7,680,000", which are the statistical values of the packet statistical information at the same time, to the five flows in the ratio of the packet count 4214 and byte count 4215, respectively. FIG. 15 shows the state in which the calculation result is stored in the NetFlow information accumulation unit after correction. Note that the above method is an example of an effective estimation method when it is expected that the loss of flow statistical information due to insufficient performance of the sensor 350 or collector 450 will occur with equal probability in each flow. The method of estimating the statistical value of each flow from the statistical value of the packet statistical information is not limited to the above.

以上の処理によって、補正したNetFlow情報が補正NetFlow情報蓄積部426に格納される。第二の実施形態では、NetFlow閾値判定部415(図11では図示省略)は、NetFlow情報蓄積部421ではなく、補正NetFlow情報蓄積部426の値と閾値とを比較して、トラフィックの異常を判定する。 By the above processing, the corrected NetFlow information is stored in the corrected NetFlow information accumulation unit 426. In the second embodiment, the NetFlow threshold determination unit 415 (not shown in FIG. 11) compares the value of the corrected NetFlow information accumulation unit 426 with a threshold, instead of the NetFlow information accumulation unit 421, to determine traffic abnormalities.

なお、NetFlow情報修正部418は、パケット統計情報に基づいてNetFlow情報の修正が行われたことを管理者に通知するため、これらの通知情報を含むパケットを、ネットワークインタフェース430-2を通して管理端末500に送信してもよい。管理端末500は、ディスプレイ等の管理画面に受信した通知情報を表示する。 The NetFlow information correction unit 418 may send a packet including this notification information to the management terminal 500 via the network interface 430-2 to notify the administrator that the NetFlow information has been corrected based on the packet statistical information. The management terminal 500 displays the received notification information on a management screen such as a display.

以上に説明したように、本実施例によれば、フロー単位の統計情報を取得するセンサ300とその統計情報を収集して分析するコレクタ400から構成されるネットワーク監視システムにおいて、センサ300やコレクタ400の性能不足によってコレクタ400が収集するフロー単位の統計情報に誤差が含まれる場合でも、パケット単位の統計情報を併用してフロー単位の統計情報を推定して補正でき、コレクタ400が実行する分析処理におけるトラフィック異常の誤判定を抑制できる。 As described above, according to this embodiment, in a network monitoring system consisting of a sensor 300 that acquires flow-based statistical information and a collector 400 that collects and analyzes that statistical information, even if the flow-based statistical information collected by the collector 400 contains errors due to insufficient performance of the sensor 300 or the collector 400, the flow-based statistical information can be estimated and corrected by using packet-based statistical information in combination, thereby suppressing erroneous determination of traffic abnormalities in the analysis process performed by the collector 400.

以上に第二の実施形態の特有の機能について説明したが、第一の実施形態のコレクタ400と第二の実施形態のコレクタ450を組み合わせて、両方の機能を有するコレクタを構成してもよい。 The unique functions of the second embodiment have been described above, but the collector 400 of the first embodiment and the collector 450 of the second embodiment may be combined to form a collector having the functions of both.

以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。 The present invention has been described in detail above with reference to the attached drawings, but the present invention is not limited to such specific configurations, and includes various modifications and equivalent configurations within the spirit of the appended claims.

100 監視対象のネットワーク
200 ネットワーク機器
300、350 センサ
310 メモリ
311 トラフィック受信部
312 NetFlow情報生成部
313 NetFlow情報送信部
314 死活情報生成部
315 死活情報送信部
316 MIB応答部
317 MIB要求受信/応答送信部
318 パケット統計生成部
319 パケット統計送信部
320 記憶部
321 フロー情報蓄積部
322 パケット統計蓄積部
330 ネットワークインタフェース
340 CPU
400、450 コレクタ
410 メモリ
411 NetFlow受信部
412 死活情報を死活情報受信部
413 MIB要求送信/応答受信部
414 閾値情報修正部
415 NetFlow閾値判定部
416 Syslog/Trap送信部
417 パケット統計受信部
418 NetFlow情報修正部
420 記憶部
421 NetFlow情報蓄積部
422 死活情報蓄積部
423 センサ/閾値関連情報保持部
424 閾値情報保持部
425 パケット統計蓄積部
426 補正NetFlow情報蓄積部
430 ネットワークインタフェース
440 CPU
500 管理端末 100 Network to be monitored 200 Network device 300, 350 Sensor 310 Memory 311 Traffic receiver 312 NetFlow information generator 313 NetFlow information transmitter 314 Alive/dead information generator 315 Alive/dead information transmitter 316 MIB response unit 317 MIB request receiver/response transmitter 318 Packet statistics generator 319 Packet statistics transmitter 320 Storage unit 321 Flow information storage unit 322 Packet statistics storage unit 330 Network interface 340 CPU
400, 450 Collector 410 Memory 411 NetFlow receiving unit 412 Alive/dead information receiving unit 413 MIB request sending/response receiving unit 414 Threshold information correcting unit 415 NetFlow threshold determining unit 416 Syslog/Trap sending unit 417 Packet statistics receiving unit 418 NetFlow information correcting unit 420 Storage unit 421 NetFlow information accumulating unit 422 Alive/dead information accumulating unit 423 Sensor/threshold related information holding unit 424 Threshold information holding unit 425 Packet statistics accumulating unit 426 Corrected NetFlow information accumulating unit 430 Network interface 440 CPU
500 Management terminal

Claims (11)

NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置であって、
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信部と、
前記センサ装置から判定用情報として前記センサ装置の死活情報を受信する情報受信部と
前記受信した死活情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記センサ装置毎に定められたセンサ閾値情報を用いて、ネットワークトラフィックの監視に用いる閾値情報を更新する閾値情報修正部と、
前記更新された閾値情報を用いてネットワークトラフィックが正常かを判定する閾値判定部とを備えることを特徴とするコレクタ装置。 A collector device that monitors network traffic using NetFlow information,
a NetFlow information receiving unit that acquires NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
an information receiving unit that receives, from the sensor device , alive information of the sensor device as information for determination ;
a threshold information correction unit that uses the received alive information to determine whether a statistical value of the received NetFlow information is correct, and when it is determined that the statistical value of the received NetFlow information is incorrect, updates threshold information used for monitoring network traffic using sensor threshold information defined for each sensor device;
a threshold determination unit that determines whether network traffic is normal by using the updated threshold information . NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置であって、A collector device that monitors network traffic using NetFlow information,
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信部と、a NetFlow information receiving unit that acquires NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報としてネットワークトラフィックのデータ量を示す統計情報を受信する情報受信部と、an information receiving unit that receives statistical information indicating a data volume of network traffic as information for determination from the sensor device;
前記受信した統計情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記受信したNetFlow情報を修正するNetFlow情報修正部と、a NetFlow information correction unit that uses the received statistical information to determine whether a statistical value of the received NetFlow information is correct, and corrects the received NetFlow information when it is determined that the statistical value of the received NetFlow information is incorrect;
前記修正されたNetFlow情報を蓄積する補正NetFlow情報補正部と、a corrected NetFlow information correcting unit that accumulates the corrected NetFlow information;
前記修正されたNetFlow情報を用いてネットワークトラフィックが正常かを判定する閾値判定部とを備えることを特徴とするコレクタ装置。and a threshold determination unit that determines whether network traffic is normal using the corrected NetFlow information. 請求項1に記載のコレクタ装置であって、2. The collector device of claim 1,
前記センサ装置毎にセンサ閾値情報が定められており、Sensor threshold information is defined for each of the sensor devices,
前記閾値情報修正部は、前記死活情報によって正常でないと判定されたセンサ装置のセンサ閾値情報の分だけ前記監視に用いる閾値情報を減少することを特徴とするコレクタ装置。The collector device according to the present invention is characterized in that the threshold information correction unit reduces the threshold information used for the monitoring by an amount equivalent to the sensor threshold information of a sensor device determined to be abnormal based on the alive/dead information. 請求項3に記載のコレクタ装置であって、4. A collector device according to claim 3,
前記センサ装置毎及びフロー条件毎の上限閾値及び下限閾値を含むセンサ閾値情報を保持するセンサ/閾値関連情報保持部と、a sensor/threshold related information storage unit that stores sensor threshold information including an upper limit threshold and a lower limit threshold for each sensor device and each flow condition;
前記ネットワークトラフィックの監視に用いる上限閾値及び下限閾値を含む閾値情報を保持する閾値情報保持部とを備え、a threshold information storage unit that stores threshold information including an upper limit threshold and a lower limit threshold used for monitoring the network traffic,
前記閾値情報修正部は、前記センサ/閾値関連情報保持部を参照して、前記閾値情報保持部に保持された閾値情報を更新することを特徴とするコレクタ装置。The collector device according to the present invention, wherein the threshold information correction unit updates the threshold information held in the threshold information holding unit by referring to the sensor/threshold association information holding unit. 請求項2に記載のコレクタ装置であって、3. A collector device according to claim 2,
前記補正NetFlow情報補正部は、The corrected NetFlow information correcting unit
前記センサ装置から受信したNetFlow情報の合計値と前記受信した統計情報の差を計算し、Calculating a difference between a total value of the NetFlow information received from the sensor device and the received statistical information;
前記受信したNetFlow情報の比に従って、前記計算された差を各センサ装置から受信したNetFlow情報に分配して、前記NetFlow情報を修正することを特徴とするコレクタ装置。a collector device for distributing the calculated difference to NetFlow information received from each sensor device according to a ratio of the received NetFlow information, thereby correcting the NetFlow information. NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置が実行するネットワーク監視方法であって、A network monitoring method executed by a collector device that monitors network traffic using NetFlow information, comprising:
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信手順と、A NetFlow information receiving procedure for acquiring NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報として前記センサ装置の死活情報を受信する情報受信手順と、an information receiving step of receiving, from the sensor device, alive/dead information of the sensor device as information for determination;
前記受信した死活情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記センサ装置毎に定められたセンサ閾値情報を用いて、ネットワークトラフィックの監視に用いる閾値情報を更新する閾値情報修正手順と、a threshold information correction step of determining whether a statistical value of the received NetFlow information is correct using the received alive information, and updating threshold information used for monitoring network traffic using sensor threshold information defined for each sensor device when it is determined that the statistical value of the received NetFlow information is incorrect;
前記更新された閾値情報を用いてネットワークトラフィックが正常かを判定する閾値判定手順とを備えることを特徴とするネットワーク監視方法。a threshold determination step of determining whether network traffic is normal using the updated threshold information. NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置が実行するネットワーク監視方法であって、A network monitoring method executed by a collector device that monitors network traffic using NetFlow information, comprising:
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信手順と、A NetFlow information receiving procedure for acquiring NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報としてネットワークトラフィックのデータ量を示す統計情報を受信する情報受信手順と、an information receiving step of receiving statistical information indicating a data volume of network traffic as information for determination from the sensor device;
前記受信した統計情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報が正しくないと判定された場合、前記受信したNetFlow情報を修正するNetFlow情報修正手順と、a NetFlow information correction procedure for determining whether a statistical value of the received NetFlow information is correct using the received statistical information, and correcting the received NetFlow information if it is determined that the received NetFlow information is incorrect;
前記修正されたNetFlow情報を蓄積する補正NetFlow情報補正部と、a corrected NetFlow information correcting unit that accumulates the corrected NetFlow information;
前記修正されたNetFlow情報を用いてネットワークトラフィックが正常かを判定する閾値判定手順とを備えることを特徴とするネットワーク監視方法。A network monitoring method comprising a threshold judgment step of judging whether network traffic is normal using the corrected NetFlow information. コレクタ装置に、NetFlow情報を用いてネットワークトラフィックを監視させるためのプログラムであって、A program for causing a collector device to monitor network traffic using NetFlow information,
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信手順と、A NetFlow information receiving procedure for acquiring NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報として前記センサ装置の死活情報を受信する情報受信手順と、an information receiving step of receiving, from the sensor device, alive/dead information of the sensor device as information for determination;
前記受信した死活情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記センサ装置毎に定められたセンサ閾値情報を用いて、ネットワークトラフィックの監視に用いる閾値情報を更新する閾値情報修正手順と、a threshold information correction step of determining whether a statistical value of the received NetFlow information is correct using the received alive information, and updating threshold information used for monitoring network traffic using sensor threshold information defined for each sensor device when it is determined that the statistical value of the received NetFlow information is incorrect;
前記更新された閾値情報を用いてネットワークトラフィックが正常かを判定する閾値判定手順とをコレクタ装置に実行させるためのプログラム。and a threshold determination procedure for determining whether network traffic is normal using the updated threshold information. コレクタ装置に、NetFlow情報を用いてネットワークトラフィックを監視させるためのプログラムであって、A program for causing a collector device to monitor network traffic using NetFlow information,
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信手順と、A NetFlow information receiving procedure for acquiring NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報としてネットワークトラフィックのデータ量を示す統計情報を受信する情報受信手順と、an information receiving step of receiving statistical information indicating a data volume of network traffic as information for determination from the sensor device;
前記受信した統計情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記受信したNetFlow情報を修正するNetFlow情報修正手順と、a NetFlow information correction procedure for determining whether a statistical value of the received NetFlow information is correct using the received statistical information, and correcting the received NetFlow information if it is determined that the statistical value of the received NetFlow information is incorrect;
前記修正されたNetFlow情報を蓄積する補正NetFlow情報補正部と、a corrected NetFlow information correcting unit that accumulates the corrected NetFlow information;
前記修正されたNetFlow情報を用いてネットワークトラフィックが正常かを判定する閾値判定手順とをコレクタ装置に実行させるためのプログラム。and a threshold determination procedure for determining whether network traffic is normal using the corrected NetFlow information. ネットワークの状態を監視するネットワーク監視システムであって、A network monitoring system for monitoring a network state,
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置と、A sensor device that receives network traffic and generates NetFlow information;
前記NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置とを備え、a collector device that monitors network traffic using the NetFlow information;
前記センサ装置は、The sensor device includes:
センサ装置自身の死活情報を所定のタイミングで生成する死活情報生成部と、a vital information generating unit that generates vital information of the sensor device itself at a predetermined timing;
前記生成された死活情報を所定のタイミングでコレクタ装置へ送信する死活情報送信部とを有し、a vital information transmission unit that transmits the generated vital information to a collector device at a predetermined timing;
前記コレクタ装置は、The collector device comprises:
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信部と、a NetFlow information receiving unit that acquires NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報として前記センサ装置の死活情報を受信する情報受信部と、an information receiving unit that receives, from the sensor device, alive information of the sensor device as information for determination;
前記受信した死活情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記センサ装置毎に定められたセンサ閾値情報を用いて、ネットワークトラフィックの監視に用いる閾値情報を更新する閾値情報修正部と、a threshold information correction unit that uses the received alive information to determine whether a statistical value of the received NetFlow information is correct, and when it is determined that the statistical value of the received NetFlow information is incorrect, updates threshold information used for monitoring network traffic using sensor threshold information defined for each sensor device;
前記更新された閾値情報を用いてネットワークトラフィックが正常かを判定する閾値判定部とを有することを特徴とするネットワーク監視システム。a threshold determination unit that determines whether network traffic is normal by using the updated threshold information. ネットワークの状態を監視するネットワーク監視システムであって、A network monitoring system for monitoring a network state,
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置と、A sensor device that receives network traffic and generates NetFlow information;
前記NetFlow情報を用いてネットワークトラフィックを監視するコレクタ装置とを備え、a collector device that monitors network traffic using the NetFlow information;
前記センサ装置は、前記センサ装置からトラフィック量を示す統計情報を所定のタイミングでコレクタ装置へ送信する統計送信部を有し、the sensor device has a statistics transmission unit that transmits statistical information indicating a traffic volume from the sensor device to a collector device at a predetermined timing;
前記コレクタ装置は、The collector device comprises:
ネットワークトラフィックを受信してNetFlow情報を生成するセンサ装置からNetFlow情報を取得するNetFlow情報受信部と、a NetFlow information receiving unit that acquires NetFlow information from a sensor device that receives network traffic and generates NetFlow information;
前記センサ装置から判定用情報として前記統計情報を受信する情報受信部と、an information receiving unit that receives the statistical information as determination information from the sensor device;
前記受信した統計情報を用いて、前記受信したNetFlow情報の統計値が正しいかを判定し、前記受信したNetFlow情報の統計値が正しくないと判定された場合、前記受信したNetFlow情報を修正するNetFlow情報修正部と、a NetFlow information correction unit that uses the received statistical information to determine whether a statistical value of the received NetFlow information is correct, and corrects the received NetFlow information when it is determined that the statistical value of the received NetFlow information is incorrect;
前記修正されたNetFlow情報を蓄積する補正NetFlow情報補正部と、a corrected NetFlow information correcting unit that accumulates the corrected NetFlow information;
前記修正されたNetFlow情報を用いてネットワークトラフィックが正常かを判定する閾値判定部とを備えを有することを特徴とするネットワーク監視システム。and a threshold determination unit that determines whether network traffic is normal using the corrected NetFlow information.
JP2021000720A 2021-01-06 2021-01-06 COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM Active JP7535951B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021000720A JP7535951B2 (en) 2021-01-06 2021-01-06 COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021000720A JP7535951B2 (en) 2021-01-06 2021-01-06 COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM

Publications (2)

Publication Number Publication Date
JP2022106040A JP2022106040A (en) 2022-07-19
JP7535951B2 true JP7535951B2 (en) 2024-08-19

Family

ID=82448914

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021000720A Active JP7535951B2 (en) 2021-01-06 2021-01-06 COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM

Country Status (1)

Country Link
JP (1) JP7535951B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117914710A (en) * 2022-10-11 2024-04-19 华为技术有限公司 Processing method and device for network flow problem

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015106349A (en) 2013-12-02 2015-06-08 日本電信電話株式会社 Communication system, communication method, and client device
JP2018007203A (en) 2016-07-08 2018-01-11 一般財団法人電力中央研究所 Sensor node and collection device for radio sensor network, and radio sensor network system
US20180020015A1 (en) 2016-06-14 2018-01-18 Sdn Systems, Llc System and method for automated network monitoring and detection of network anomalies

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015106349A (en) 2013-12-02 2015-06-08 日本電信電話株式会社 Communication system, communication method, and client device
US20180020015A1 (en) 2016-06-14 2018-01-18 Sdn Systems, Llc System and method for automated network monitoring and detection of network anomalies
JP2018007203A (en) 2016-07-08 2018-01-11 一般財団法人電力中央研究所 Sensor node and collection device for radio sensor network, and radio sensor network system

Also Published As

Publication number Publication date
JP2022106040A (en) 2022-07-19

Similar Documents

Publication Publication Date Title
CN103081407B (en) Fail analysis device, trouble analysis system and failure analysis methods
US10129115B2 (en) Method and system for network monitoring using signature packets
CN109617743B (en) Network performance monitoring and service testing system and testing method
JP5201415B2 (en) Log information issuing device, log information issuing method and program
JP5207082B2 (en) Computer system and computer system monitoring method
JP4648838B2 (en) Network monitoring support apparatus, network monitoring support method, and network monitoring support program
CN101483547A (en) Evaluation method and system for network burst affair
EP3316520B1 (en) Bfd method and apparatus
JP7500770B2 (en) NETWORK PERFORMANCE MONITORING METHOD, NETWORK DEVICE, AND STORAGE MEDIUM
CN106658381B (en) A landslide early warning method based on wireless sensor network
JP2010088031A (en) Fault detection method of underlay network, and network system
CN106487612A (en) A kind of server node monitoring method, monitoring server and system
EP3787240B1 (en) Device for anomaly detection, method and program for anomaly detection
JP7535951B2 (en) COLLECTOR DEVICE, NETWORK MONITORING METHOD, PROGRAM, AND NETWORK MONITORING SYSTEM
US20060072479A1 (en) Method and system for managing a network slowdown
WO2023084599A1 (en) Traffic monitoring device and traffic monitoring program
JP2014033242A (en) Communication system and network fault detection method
US8693338B2 (en) Quality measuring system, quality measuring apparatus, quality measuring method, and program
JP5904140B2 (en) Transmission apparatus and abnormality detection method
JP2002185567A (en) Network performance monitoring method
JP4477512B2 (en) Physical line monitoring method for packet communication
JP4158480B2 (en) Network quality degradation judgment system
US20230067780A1 (en) Flow information collection apparatus and method of generating flow information
WO2024161622A1 (en) Service impact occurrence detector, service impact occurrence detecting method, and service impact occurrence detecting program
JP2020136992A (en) Network management system, network management method, and network management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230728

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240325

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240716

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240806

R150 Certificate of patent or registration of utility model

Ref document number: 7535951

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150