• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    ネットワーク機器アドレスをネットワーク機器のドメイン名に効率的に変換する。本発明は、ネットワークルータからエクスポートされたネットワークフロー記録を使用して機器に入力する/機器から出力するトラフィックについての情報を提供するシステム及び方法を提供する。ネットワーク機器からエクスポートされるネットワークフロー情報は、ネットワーク機器のネットワークアドレスを使用して、フロー内のネットワーク機器を識別する。あるアプリケーションは、ネットワーク機器のユーザフレンドリなホスト名を表示する。この方法は、ネットワーク機器アドレスをネットワーク機器のドメイン名に効率的に変換するために必要なステップを記述する。
    公开号:JP2011509561A
    申请号:JP2010539441
    申请日:2008-12-12
    公开日:2011-03-24
    发明作者:ステファンス、ジョッシュ
    申请人:ソーラーウインズ ワールドワイド エルエルシー;
    IPC主号:H04L12-56
    专利说明:

    [0001] 本発明は、ネットワークルータからエクスポートされたネットワークフローデータを使用して、機器に対して入出力されるトラフィックについての情報を提供することに関する。ネットワーク機器からエクスポートされるネットワークフロー情報は、当該ネットワーク機器のネットワークアドレスを使用して、当該フロー内の当該ネットワーク機器を識別する。本出願は、当該ネットワーク機器のユーザフレンドリーな名を使用して、ネットワーク機器アドレスを当該ネットワーク機器のドメイン名に効率的に変換するのに必要なステップを記述する。]
    背景技術

    [0002] ネットワーク使用データは、契約者課金、マーケッティング・顧客ケア、製品開発、ネットワークオペレーション管理、ネットワーク・システム容量計画及びセキュリティのような多くの重要ビジネスのために役に立つ。ネットワーク使用データは、当事者間の通信セッションにおいて交換される本文情報を含むことはないが、1又は複数のタイプのメタデータ(すなわち、“データについてのデータ”)を含む“フロー記録”として知られている多くの使用詳細記録を含む。公知のネットワークフロー記録プロトコルとして、Netflow(登録商標)、sFlow(登録商標)、jFlow(登録商標)、cFlow(登録商標)及びNetstream(登録商標)等がある。ここで使用されているように、フロー記録は、ある時間間隔内で共通の発信元パラメータ及び宛先パラメータを有するIPパケットのストリームによって、一方向ネットワークの使用状況を計測する際の小さな単位として、定義される。]
    [0003] 各フロー記録内に含まれるメタデータのタイプは、使用されるサービス及びネットワークのタイプに基づいて変化し、フロー記録を提供するネットワーク機器が特定の機器であるか否かによって変化することもある。一般的に、フロー記録は、特定のイベント又は当事者間の特定の通信接続についての詳細使用情報を提供する。この情報は、例えば、通信開始時刻、通信終了時刻、送信データの発信元(又は発信者)、送信データの宛先(又は受信者)及び送信データ量である。フロー記録は、非常に短い時間(数ミリ秒から数秒、時には数分)の使用情報を要約する。使用されるサービス及びネットワークのタイプによっては、フロー記録は、転送プロトコル、転送データのタイプ、提供されるサービスのタイプ(ToS)等についての情報を含んでもよい。電話ネットワークにおいては、使用情報となるフロー記録は通話詳細記録(CDRs)と呼ばれる。]
    [0004] ネットワーク監視においては、有意な監視結果を作成するために、ネットワークフロー記録が収集され、格納され、分析される。ネットワーク使用分析システムは、これらのフロー記録を処理し、様々なビジネスを支援するレポート又は要約データファイルを生成する。ネットワーク使用分析システムは、ネットワークが誰によってどのように使用されつつあるかについての情報を提供する。ネットワーク混雑及びネットワーク不正使用に起因する問題のような、顧客満足関連の諸問題を識別する(又は予想する)ために、ネットワーク使用分析システムが使用され得る。例えば、契約者使用態様の関数として、ネットワークの使用状況を監視して、ユーザの閲覧履歴を追跡したり、将来のネットワーク容量を予想したり、ネットワークの悪用、虚偽使用及び窃盗使用を示す使用態様を識別したりすることができる。]
    発明が解決しようとする課題

    [0005] さらに、ウイルスを識別する公知技術には限界がある。公知技術は一般的に、ネットワーク資源の使用を監視する、不自然に多量のネットワーク資源を要求するアプリケーションを識別する、というような、ウイルスの副作用を探索する技術である。しかしながら、ウイルスと、多量のネットワーク資源を要求する適法なアプリケーションとを区別することは難しい場合もある。また、ウイルスは、検知されることを避けようとして進化しつつある。ウイルスは、しばらくの間、起動信号を待ちながらシステム上で休眠していることもある。例えば、悪性ウイルスは、秘密データが取得されるまでは休眠しているかも知れない。このように、ウイルスが積極的に活動していないうちは、ウイルスは最小限の副産物を作成するだけなので、検出されにくい。]
    課題を解決するための手段

    [0006] (発明の要約)
    このような必要性に応えるべく、本発明の実施形態は、ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換するシステム及び方法を提供する。ある実施形態においては、前記システムは、フロー記録を作成するネットワーク機器、前記ネットワーク機器から前記フロー記録を受け取り前記フロー記録を格納するフロー記録ストレージ、前記格納されたフロー記録にアクセスし前記格納されたフロー記録に含まれる数値ネットワークアドレスを識別するデータ分析ツール、及び、前記数値ネットワークアドレスを受け取り前記数値ネットワークアドレスに対応する文字列ネットワークアドレスを識別するアドレス分析ツールを含む。]
    [0007] オプションとして、前記フロー記録ストレージは、前記文字列ネットワークアドレスを受け取り、前記文字列ネットワークアドレスを含むように前記格納されたフロー記録を修正する。前記システムは、さらに、前記フロー記録と前記文字列ネットワークアドレスを受け取り表示するユーザインタフェースを含んでもよい。オプションとして、前記ネットワーク機器は、ユーザインタフェースから、前記数値ネットワークアドレスの指示を受け取り、前記数値ネットワークアドレスをアクセス制御リストに付加する。また、前記ユーザインタフェースは、予め定義された判断基準に応じて前記数値ネットワークアドレスの前記指示を転送してもよい。データ入力装置が、前記判断基準を定義してもよい。前記アドレス分析ツールは、さらに、前記数値ネットワークアドレスを文字列ネットワークアドレスに関連付けるマッピングテーブルを含んでもよい。また、前記アドレス分析ツールは、ネットワークにアクセスして前記マッピングテーブルにデータを入力するデータエージェントを含んでもよい。]
    [0008] 他の実施形態においては、本発明は、ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換する方法を含む。この実施形態においては、当該方法は、ネットワーク機器からフロー記録を受け取り、前記ネットワーク機器からの前記フロー記録を格納するステップを含んでもよい。次に、前記格納されたフロー記録に含まれるネットワークアドレスの位置が検索され、前記数値ネットワークアドレスに対応するホスト名が識別される。]
    [0009] オプションとして、前記方法は、前記ホスト名を含むように前記格納されたフロー記録を修正するステップを有してもよい。また、前記方法は、前記フロー記録及び前記ホスト名を表示するステップを含んでもよい。前記方法は、前記ネットワーク機器が前記ネットワークアドレスの指示を受け取るステップを含んでもよい。前記ネットワークアドレスの指示は、予め定義された判断基準に応じて送信されてもよい。オプションとして、前記方法は、データの入力を受けて前記判断基準を定義するステップを含んでもよい。また、オプションとして、前記方法は、前記ネットワークアドレスをホスト名に関連付けるマッピングテーブルを設定するステップを含んでもよい。また、前記方法は、ネットワークにアクセスして前記マッピングテーブルにデータを入力するデータエージェントを設定してもよい。]
    [0010] 他の実施形態においては、ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを動的に変換するシステムは、フローの記録を受け取りかつ格納するフロー記録ストレージシステム及びデータ分析機器を含む。前記データ分析機器は、前記ストレージシステムにアクセスして前記フロー記録内でネットワークアドレスを識別し、前記フロー記録を修正して前記ネットワークアドレスをホスト名に置換する。オプションとして、前記データ分析機器は、前記ネットワークアドレスを前記ホスト名に関連付けるマッピングテーブルを含む。前記データ分析機器は、前記ホスト名を保持する前記フロー記録を表示するユーザインタフェースを含んでもよい。また、前記データ分析機器は、前記ネットワークアドレスを受け取り、ネットワークにアクセスして前記ホスト名を識別し、前記マッピングテーブルに前記ネットワークアドレス及び前記ホスト名を入力するデータエージェントを含んでもよい。]
    [0011] オプションとして、前記データエージェントは、ある回数の試行の後又はある期間の経過後停止し、エラーメッセージを返信して前記ネットワークアドレスに関連付けられているホスト名が容易に発見できないことを示す。また、オプションとして、前記マッピングは、ある期間の経過後失効するので、前記データエージェントは、前記ネットワークアドレスと前記ホスト名との間のマッピング関係を最新状態で保持できる。]
    図面の簡単な説明

    [0012] 添付する図面を参照しつつ後記する詳細説明を読めば、本発明の、いくつかの実施形態の前記した又は他の目的、特徴及び効果が明らかになる。]
    [0013] 本発明のある実施形態に係る、ネットワークの一例である。
    フロー記録の一例である。
    本発明のある実施形態に係る、フロー記録を格納するテーブルの一例である。
    本発明のある実施形態に係る、集計フロー記録を格納するテーブルの一例である。
    本発明のある実施形態に係る、アドレスマッピングテーブルの一例である。
    本発明のある実施形態に係る図5Aのアドレスマッピングテーブルを使用して変換された図3のフロー記録データテーブルの一例である。
    本発明のある実施形態に係る、ネットワークノード、アクセス制御システム及びフロー記録格納システム間の通信を説明するフロー図である。
    本発明のある実施形態に係る、ユーザフレンドリーなアドレスを含むフロー記録を生成する方法のステップを示すフロー図である。
    本発明のある実施形態に係る、ユーザフレンドリーなアドレスを含むフロー記録を生成する方法のステップを示すフロー図である。] 図3 図5A
    実施例

    [0014] 図1に示されるように、ある実施形態においては、ネットワーク使用分析システム111は、データ収集システムサーバ130、データストレージシステム140を含む。データ収集システムサーバ130は、リスナとも呼ばれ、格納用及び分析用のすべての様々なネットワークエージェント120からフロー190を収集するセンタサーバである。データ収集システムサーバ130は、ローカルエリアネットワークのようなIPネットワーク112の一部であるネットワーク機器であるフロー記録生成機器120からフロー記録を受け取る。ある実施形態においては、IPネットワーク112は、インターネット115を含む。] 図1
    [0015] 一般に、フロー記録生成機器120は、“回線速度”で未加工ネットワークトラフィックを処理し当該トラフィックからフロー記録を生成することができるあらゆるネットワーク機器を含む。代表的なフロー記録生成機器120は、ルータ、スイッチ及びゲートウエイを含み、ある場合においては、アプリケーションサーバシステム及びネットワークプローブを含んでもよい。多くの場合、フロー記録生成機器120によって生成される小さなフロー記録は、フロー記録190のストリームとしてデータ収集システムサーバ130にエクスポートされる。]
    [0016] ネットワーク情報及びインターネットプロトコルトラフィック情報を収集するネットワーク設備上で様々なネットワークプロトコルが実行される。典型的には、ルータのような様々なネットワークエージェント120は、フロー記録を生成することができるフロー特徴を有している。フロー記録190は、典型的にはユーザデータグラムプロトコル(UDP)パケット又はストリーム制御送信プロトコル(SCTP)パケットの形でネットワークエージェント120からエクスポートされ、フロー収集器を使用して収集される。さらに情報が必要な場合は、http://www.ietf.org/html.charters/ipfix-charter.html.にてインターネットプロトコルフロー情報エクスポート(IPFIX)のためのインターネット工学タスクフォース(IETF)を参照されたい。]
    [0017] 前記したように、フロー記録190は、UDP又はSCTPを使用してネットワークエージェント120によって送信される。効率面の理由から、ネットワークエージェント120は、一旦エクスポートされたフロー記録を格納することはない。UDPフローでは、ネットワークエージェント120及びデータ収集サーバ130の間のネットワーク混雑に起因してフロー記録190が読み飛ばされる場合、フロー記録は永久に失われたままになることもある。なぜなら、ネットワークエージェント120がフロー記録190を再送する方法はないからである。ルータのプロセッサに不要な負荷をかけることを回避するために、フローがインタフェースごとに起動されるようにしてもよい。このように、フロー記録190は、二重カウントを回避しネットワークエージェント120の処理を省くことができるようなインタフェースへのパケット入力に一般的に基づく。また、ネットワークエージェント120は、読み飛ばされたパケットについてのフロー記録をエクスポートしてもよい。]
    [0018] ネットワークフローは、多くの方法で定義される。ある実施形態においては、フローは5要素を含む。すなわち、発信元IPアドレス、宛先IPアドレス、発信元TCPポート、宛先TCPポート及びIPプロトコルを定義するパケットの一方向シーケンスである。典型的には、ネットワークエージェント120は、フローが終了したと判断したとき、フロー記録を出力する。ネットワークエージェント120は当該処理を“フローエイジング”によって実行する。既存のフローについての新たなトラフィックを発見したとき、ネットワークエージェント120は、エイジングカウンタをリセットする。また、TCPフロー中にTCPセッションが終了すると、ネットワークエージェント120は、フローを終了する。ネットワークエージェント120は、フローが継続中であっても、固定された間隔でフロー記録を出力することもできる。代替的に、管理者は、ネットワークエージェント120上でフロー特性を定義し得る。]
    [0019] フロー記録190は、所与のフロー中に、トラフィックについての様々な情報を含み得る。公知の代表的なフロー記録例200は、図2(従来技術)に記述されるように、以下の値を含む。具体的には、公知のフロー記録200は、バージョン番号210を含み使用されつつあるフローのタイプを識別する。シーケンス番号220は、フロー記録を識別する。] 図2
    [0020] 図2の説明を続ける。入出力インタフェース簡易ネットワーク管理プロトコル(SNMP)指標が使用されて、SNMPを介してネットワーク機器を動的に識別し得る。SNMPは、ネットワーク管理システムによって使用されて、ネットワークに接続された機器が、管理上の留意点を保証する条件を満たしているか否かを監視するものであり、アプリケーションレイヤプロトコル、データベーススキーマ、及び、データオブジェクトのセットを含む、ネットワーク管理についての基準のセットからなる。SNMPは、管理されるシステム上の変数の形で管理データを明示する。当該変数は、システム設定を記述する。これらの変数は、管理アプリケーションによって入力を促され得る(設定されることもある)。スロット式のハードウエアが追加され又は除去されるときはいつでも、モジュール式の機器がそのSNMP指標の番号を付け直す。指標値は、典型的には、起動時に割り当てられ、次回再起動するまでは不変である。] 図2
    [0021] 図2の説明を続ける。フロー記録200のそれぞれは、典型的には、開始時刻及び終了時刻タイムスタンプ240を含む、データ送信についての情報を含む。データ送信についての他の情報は、フロー中のバイト数及び/又はパケット数についての情報250を含む。発信元アドレス及び宛先アドレス、発信元アドレスポート番号及び宛先アドレスポート番号、転送プロトコル並びにサービスのタイプ(ToS)を既述するヘッダデータ260のような、データ伝送条件もフロー記録200に含まれ得る。転送制御プロトコル(TCP)については、フロー記録200は、フローを通じて現れるすべてのTCPフラグの結合をさらに示してもよい。TCPではよく知られているように、データ送信は、例えば確認フラグ(ACKs)のペアによる、一連の通信確認が必要である。TCPフラグのバランスが取れていないということは、メッセージが送信されたものの受け取られていない、のようなメッセージ障害が起きたことを示唆する。] 図2
    [0022] 次に図1を説明する。データ収集システムサーバ130は、ストリーミングフロー記録190を、フロー記録生成機器120から、通信リンク170を介して受け取る。ある実施形態においては、フロー記録生成機器120は、ネットワーク112に含まれてもよい。他の実施形態においては、フロー記録生成機器120は、ネットワーク112と機能的に接続されてはいるが、ネットワーク112からは物理的に離れた場所に実装される。図1では、データ収集システムサーバ130から離れたものとして示されているが、他の実施形態では、フロー記録生成機器120は、データ分析システムサーバ130の一部であってもよい。] 図1
    [0023] データ分析システムサーバ150は、フロー記録190にアクセスしたうえでこれを使用し、予め定義されたネットワーク使用統計分析を実行する。一般的に、データ分析システムサーバ150は、ネットワーク混雑並びにネットワークの不正使用、虚偽使用及び窃盗使用のような1又は複数のネットワーク使用に関する諸問題を解決するために定義されている様々な統計モデルを実装する。データ分析システムサーバ150は、フロー記録190及び統計モデルを使用して、統計結果を生成する。当該結果は、後にデータストレージシステム140に格納されてもよい。統計結果を格納する代表的な実施形態の詳細は後記する。フローデータを分析することによって、データ分析システムサーバ150は、ネットワーク内のトラフィックフロー及びトラフィック量を図示することができる。データ分析システム150の適用例は、さらに詳しく後記する。]
    [0024] ある実施形態においては、データ分析システムサーバ150は、フロー記録190の相互分析をするために、ユーザインタフェース160に応答してもよい。ユーザインタフェース160は、キーボード、マウス、タッチパッド、表示スクリーンのような当業者には公知であるあらゆる入出力機器を含んでもよい。ある例では、統計結果の図解表示が、ユーザインタフェース160の表示スクリーンに対して出力されてもよい。]
    [0025] ある実施形態においては、データ分析システムサーバ150は、コンピュータソフトウエアプログラムを含む。当該プログラムは、1又は複数のコンピュータ又はサーバ上で実行可能であり、本発明の様々な実施形態にしたがってネットワーク使用データを分析する。データストレージシステム140は、データ収集システムサーバ130及び/又はデータ分析システムサーバ150の外側にあるものとして示されているが、データストレージシステム140は、サーバ130又はサーバ150の何れかの内部に配置されることも可能である。データストレージシステム140は、当業者には公知であるあらゆる揮発性メモリ(例えばRAM)及び/又は不揮発性メモリ(例えば、ハードディスクドライブ又は他の持続的ストレージ機器)を含んでもよい。]
    [0026] 本発明の好適な実施形態においては、データ分析ツール150は、アドレスデータストレージシステム170を使用してフロー記録データを解釈するのに必要とされる分析を実行する。具体的には、アドレスデータストレージシステム170は、図2において記述されたように、フローの発信元機器及び宛先機器ごとにアドレスを受け取る。前記したように、フロー記録190は、典型的には1又は複数のIPアドレス又は他の数値アドレス形式を含む。インターネットプロトコルは、現在使用されている2つのバージョンを有する。すなわち、IPバージョン4(IPv4)及びIPバージョン6(IPv6)である。IPv4は32ビット(4バイト)アドレスを使用するのに対し、IPv6は、128ビット(16バイト)アドレスを有する。] 図2
    [0027] 図5においてより詳しく後記するように、アドレスデータストレージシステム170は、数値IPアドレスを文字列アドレスにマッピングするデータベースを含む。このことによって、ユーザは、より容易にフロー記録190を調べることができる。]
    [0028] 複数のフロー記録200をストレージ機器140に格納するための代表的テーブル300の例が図3に示されている。具体的には、描写されているテーブル300は、受け取られたフロー記録200ごとにフロー記録識別子310を割り当てる列を含む。テーブル300は、受け取られたフロー記録200ごとに発信元IPアドレス320を記憶する列、受け取られたフロー記録200ごとに宛先IPアドレス330を記憶する列、受け取られたフロー記録200ごとにタイムスタンプ340を記憶する列、及び、フロー記録200に関連付けられたフローのバイトサイズ350を記憶する列も含む。] 図3
    [0029] 図3の例では、フローテーブル300は、フロー記録識別子310が示しているように、4つのフローを記述する4つのフロー記録を含む。この例では、1〜3番目のフローは、s1〜s3という発信元アドレスから、それぞれd1〜d3という宛先アドレスに対して送信されたものであり、4番目のフローは、s3という発信元アドレスから送信されたフローである。ここには記載されていないが、フローテーブル300は、QoS、転送プロトコルのようなフロー記録200の他の属性を、図2にて前記したように含むこともできる。図3のフローテーブル300の説明を続ける。タイムスタンプ値340は、それぞれのフローに関連付けられた時刻を示す。バイトサイズ値350は、それぞれのフローのサイズを示す。これらの値は、列310のフロー記録識別子1〜4に関連付けられている。] 図2 図3
    [0030] 図4に進む。フローデータテーブル300に記載のデータを、公知の技術によって集計してもよい。例えば、集計フローテーブル400は、発信元IPアドレス420をキーとして集計されている。このように、集計フローテーブル400は、列ごとに集計結果を示すが、その集計は、1又は複数の予め定義された期間ごとに行われることがわかる。例えば、集計フローテーブル400は、テーブル300の発信元IPアドレス420のそれぞれに関連付けられたフロー記録410の総数を示す列を含む。集計フローテーブル400は、テーブル400の発信元IPアドレス420ごとに、フローの合計バイトサイズをさらに示している。集計フローテーブル400の適用例は、後記する。フロー記録190は、例えば、図2のフロー記録200に記述される1又は複数のフロー記録カテゴリにしたがって、所望の方法で集計されてよいことは、フロー記録テーブル300を参照すれば当然に分かる。] 図2 図4
    [0031] アドレスデータストレージシステム170に格納されるマッピングテーブル500が図5Aに例示されている。具体的には、マッピングテーブル500は、数値IPアドレスを対応する文字列アドレスにマッピングするために使用される。図の例では、1つのIPアドレス510が、1つの文字列アドレス520にマッピングされる。具体的に、図3のフロー記録テーブル300との関連で説明を続ける。マッピングテーブル500は、フロー記録テーブル300に含まれる発信元アドレス及び宛先アドレスごとに対応した文字列アドレスを含む。マッピングテーブル500の形式はさらに詳しく後記するが、マッピングテーブル500の適用は、初めて導入されたものである。] 図3 図5A
    [0032] 図5Bでは、マッピングテーブル500を使用して、修正フローテーブル530が生成され、フローデータストレージシステム140に格納される。具体的には、修正フローテーブル530は図3のフロー記録テーブル300に対応していることが分かる。具体的には、修正テーブル530は、受け取られたフロー記録200のそれぞれを特定するフロー記録識別子540を割り当てる列も含む。修正テーブル530は、受け取られたフロー記録200のそれぞれに対応する発信元アドレス550を記憶する列、受け取られたフロー記録200のそれぞれに対応する宛先アドレス560を記憶する列、受け取られたフロー記録200のそれぞれに対応するタイムスタンプ570を記憶する列、及び、受け取られたフロー記録200に関連付けられたフローのバイトサイズ580を記憶する列も含む。発信元IPアドレス320及び宛先IPアドレス330は、マッピングテーブル500の文字列アドレス520に置換されていることを除けば、以上から、修正フローテーブル530は図3のフロー記録テーブルに対応していることが分かる。] 図3 図5B
    [0033] 図1に戻る。データ分析ツール150は、オプションとして、データエージェント151を含んでもよい。データエージェント151は、典型的には、所与のIPアドレスに関連付けられた文字列アドレスを決定するソフトウエアツールである。通常のインターネット操作では、ユーザが1つの文字列アドレスを入力すると、当該文字列アドレスはネームサーバに送信されて、1つのIPアドレスに変換される。データエージェントは、IPネットワーク112を介してネームサーバにアクセスし、ある数値IPアドレスに関連付けられた1つの文字列アドレスを決定することによって、逆方向の操作も行う。好ましくは、IPアドレスから文字列アドレスへのマッピングが将来の使用に備えて格納される。こうすることによって、次回フロー記録200内にIPアドレスが含まれていると、マッピングテーブル500内の既存マッピングを使用して、マッピングを再度取得するためにデータエージェントにアクセスすることなく文字列アドレスを決定できる。] 図1
    [0034] 図6に、修正フロー記録テーブル500を生成し使用する処理フローが記述されている。処理フロー600に含まれる構成要素には、ネットワークノード610、ネットワーク監視システム620、アドレス分析システム630及びユーザインタフェース640がある。これらの構成要素の機能を説明する。ネットワークノードは、フロー記録650をネットワーク監視システム620に送信する。ネットワーク監視システム620は、従来から知られているフロー記録収集技術にしたがってフロー記録を収集し格納する。アドレス分析システム630は、ネットワーク監視システム620に格納されているフロー記録データ660にアクセスし、当該データを取得する。アドレス分析システム630は、例えば、前記したようにIPアドレスを文字列アドレスに関連付けているマッピングテーブルを使用することによって、フロー記録データ660に含まれるIPアドレスを識別する。アドレス分析システム630は、フロー記録データ660に含まれるIPアドレスを文字列アドレスに置換し、ネットワーク監視システム620で格納するために、変換されたフロー記録670を返送する。ユーザは、ユーザインタフェース640を使用して、ネットワーク監視システム620から、変換されたフロー記録データ680を要求してもよい。] 図6
    [0035] 図7Aには、本発明の実施形態に係るフロー記録アドレス変換方法700が開示されている。ステップ710において、ネットワーク構成要素が、前記したように既知の技術にしたがって監視され、ステップ720において、フロー記録が収集される。典型的には、ステップ710及びステップ720は、ルータ、ハブ、サーバのような殆どのネットワーク構成要素に既に含まれている機能を使用して実行されてもよいし、フロー記録テーブル300のようなフロー記録テーブルを収集し格納するために使用されてもよい。ステップ720で収集されたフロー記録は、ステップ730において分析される。例えば、フロー記録は、フロー記録に含まれる様々な宛先IPアドレス及び発信元IPアドレスの位置を特定するために検索されてもよい。] 図7A
    [0036] アクセス制御方法700の説明を続ける。ステップ730において分析されたフロー記録のIPアドレスは、ステップ740において識別される。具体的には、前記したように、例えば、IPアドレスを文字列アドレスに変換する表記法を含むアドレスマッピングテーブル、又は、アドレスサーバにアクセスして数値IPアドレスを文字列アドレスに変換するデータエージェントのいずれかを使用することによって、機器アドレスとしてよりユーザフレンドリーなバージョンが決定される。ステップ750において、フロー記録内のこれらの文字列アドレスがユーザに送信され、必要に応じて使用されてもよい。例えば、IPアドレスに加えて、又はIPアドレスに替えて、文字列アドレスを反映するためにフロー記録が更新され得る。オプションとして、文字列アドレス、並びに、時刻、サイズ及びフロー継続時間のような、フロー記録に関連付けられたトラフィックの他の態様を示すフロー記録データをユーザが受け取ってもよい。]
    [0037] 図7Bに記述するように、ステップ740においてIPアドレスを特定する処理は、ステップ741においてアドレステーブル内でIPアドレスを発見することを含む。アドレステーブルは、IPアドレスと文字列アドレスとを関連付ける。ステップ742においてIPアドレスが特定された場合は、IPアドレスに関連付けられている、アドレステーブル内に発見された文字列アドレスが、ステップ745において返信される。] 図7B
    [0038] ステップ742においてIPアドレスが特定されない場合は、当該IPアドレスを含みかつ、前記した技術を使用して決定され得る、文字列アドレスに対するあらゆるマッピングを含むように、ステップ743においてテーブルが更新される。さらに、アドレステーブル内に発見された、IPアドレスと1又は複数の文字列アドレスとの間のマッピングは、予め定義された期間に限り有効であり当該期間の経過後は失効する。このようにすることによって、マッピングが再生成され得る。このように、マッピングテーブルは、定期的に更新され、数値IPアドレスに関連付けられた文字列アドレスの変化のようなアドレスマッピングの変化を反映することができる。マッピングが更新されて新たな情報を反映した後、又は、陳腐化した(又は古くなりすぎた)マッピングを削除した後、ステップ744において、予め特定された回数だけIPアドレスの検索が繰り返される。すなわち、IPアドレスを発見するために再度マッピングが検索される。予め特定された回数の繰り返し又は試行の後、又は、予め特定された期間の経過後、ステップ746において、IPアドレスの検索は終了する。典型的には、ステップ746においてIPアドレスの検索が終了した場合、エラーメッセージが作成され、ユーザ又は管理者に送信される。]
    [0039] ある実施形態を参照しながら本発明を説明したが、本発明の主旨を逸脱することなく、様々な追加、削除、置換又は他の修正が可能である。したがって、本発明は前記した発明を実施するための形態に限定されるのではなく、添付の特許請求の範囲によってのみ限定される。]
    权利要求:

    請求項1
    ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換するシステムであって、前記システムは、フロー記録を作成するネットワーク機器と、前記フロー記録を前記ネットワーク機器から受け取り前記フロー記録を格納するフロー記録ストレージと、前記格納されたフロー記録にアクセスし、前記格納されたフロー記録に含まれる数値ネットワークアドレスを特定するデータ分析ツールと、マッピングテーブルを有するアドレス分析ツールと、を有し、前記マッピングテーブルは、数値ネットワークアドレスを文字列ネットワークアドレスの候補にマッピングする複数のマッピングを有し、前記マッピングのそれぞれは、前記数値ネットワークアドレスの候補の1つを、前記文字列ネットワークアドレスの候補の1つに関連付け、前記アドレス分析ツールは、前記数値ネットワークアドレスを受け取り、前記数値ネットワークアドレスに対応する前記マッピングの1つを特定し、前記1つの特定されたマッピング内の対応する文字列ネットワークアドレスを返信すること、を特徴とするシステム。
    請求項2
    前記フロー記録ストレージは、前記文字列ネットワークアドレスを受け取り、前記文字列ネットワークアドレスを含むように前記格納されたフロー記録を修正すること、を特徴とする請求項1に記載のシステム。
    請求項3
    前記システムは、前記フロー記録及び前記文字列ネットワークアドレスを受け取りかつ表示するユーザインタフェースを有すること、を特徴とする請求項1に記載のシステム。
    請求項4
    前記ネットワーク機器は、前記ユーザインタフェースから前記数値ネットワークアドレスの指示を受け取ること、を特徴とする請求項3に記載のシステム。
    請求項5
    前記ユーザインタフェースは、予め定義された判断基準に応じて前記数値ネットワークアドレスの指示を送信すること、を特徴とする請求項4に記載のシステム
    請求項6
    前記アドレス分析ツールは、データエージェントを有し、前記データエージェントは、前記ネットワークにアクセスし、前記数値ネットワークアドレスの候補が前記数値ネットワークアドレスを含まないときは、前記マッピングテーブルの新たなマッピングを動的に生成すること、を特徴とする請求項1に記載のシステム。
    請求項7
    前記アドレス分析ツールは、前記受け取られた数値ネットワークアドレスについての前記新たなマッピングを検索すること、を特徴とする請求項6に記載のシステム。
    請求項8
    前記受け取られた数値ネットワークアドレスが前記新たなマッピングに含まれていないときは、前記データエージェントは、新たなマッピングの生成を繰り返し、前記アドレス分析ツールは、前記受け取られた数値ネットワークアドレスを探して前記新たなマッピングを再度検索すること、を特徴とする請求項7に記載のシステム。
    請求項9
    前記アドレス分析ツールは、ある時間の経過後、又は予め特定された回数の試行後、前記受け取られた数値ネットワークアドレスの検索を終了すること、を特徴とする請求項8に記載のシステム。
    請求項10
    前記マッピングのそれぞれは、予め特定された時間の経過後失効すること、を特徴とする請求項1に記載のシステム。
    請求項11
    ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを変換する方法であって、前記方法は、前記ネットワーク機器からフロー記録を受け取り、前記ネットワーク機器からの前記フロー記録を格納し、前記格納されたフロー記録に含まれるネットワークアドレスを特定し、数値ネットワークアドレスとホスト名とを1対1に関連付けて記憶しているマッピングテーブルにアクセスし、前記数値ネットワークアドレスに対応するホスト名を特定すること、を特徴とする方法。
    請求項12
    前記方法は、前記ホスト名を含むように前記格納されたフロー記録を修正すること、を特徴とする請求項11に記載の方法。
    請求項13
    前記方法は、前記フロー記録及び前記ホスト名を表示すること、を特徴とする請求項11に記載の方法。
    請求項14
    前記方法は、前記ネットワークアドレスが前記マッピングテーブルに含まれない場合は、ネットワークにアクセスして前記マッピングテーブルにデータを入力するデータエージェントを設定すること、を特徴とする請求項11に記載の方法。
    請求項15
    前記データエージェントは、予め特定された回数だけ又は予め特定された期間だけ作動すること、を特徴とする請求項11に記載の方法。
    請求項16
    前記マッピングテーブルのマッピングは、予め特定された期間の経過後失効すること、を特徴とする請求項11に記載の方法。
    請求項17
    ネットワーク機器のネットワークフロー内のホスト名にネットワークアドレスを動的に変換するシステムであって、前記システムは、前記フローの記録を受け取り格納するフロー記録ストレージシステムと、データ分析機器と、を有し、前記データ分析機器は、前記ストレージシステムにアクセスして前記フロー記録内のネットワークアドレスを特定し、前記フロー記録を修正して前記ネットワークアドレスをホスト名に置換すること、を特徴とするシステム。
    請求項18
    前記データ分析機器は、前記ネットワークアドレスを前記ホスト名に関連付けるマッピングテーブルを有すること、を特徴とする請求項17に記載のシステム。
    請求項19
    前記システムは、前記ホスト名を含む前記フロー記録を表示するユーザインタフェースを有すること、を特徴とする請求項17に記載のシステム。
    請求項20
    前記データ分析機器は、データエージェントを有し、前記データエージェントは、前記ネットワークアドレスを受け取り、ネットワークにアクセスして前記ホスト名を特定し、マッピングテーブルに前記ネットワークアドレス及び前記ホスト名を入力すること、を特徴とする請求項17に記載のシステム。
    請求項21
    前記データエージェントは、予め特定された回数だけ又は予め特定された期間だけ作動すること、を特徴とする請求項20に記載のシステム。
    請求項22
    前記マッピングテーブルのマッピングは、予め特定された期間の経過後失効すること、を特徴とする請求項20に記載のシステム。
    請求項23
    複数のマッピングを有するマッピングテーブルであって、前記マッピングのそれぞれは、数値ネットワークアドレスとホスト名とを1対1に関連付けて記憶しており、前記マッピングテーブルは、フロー記録に含まれるネットワークアドレスを受け取り、前記ネットワークアドレスに対応するホスト名を特定し、前記マッピングテーブルが、前記数値ネットワークアドレスに関連付けられたマッピングを有さない場合は、前記ネットワークアドレスをデータエージェントに送信し、前記データエージェントは、前記ネットワークアドレスを受け取り、ネットワークにアクセスして前記ホスト名を特定し、マッピングテーブルに、前記ネットワークアドレスを前記ホスト名にマッピングする新たなマッピングを入力すること、を特徴とするマッピングテーブル。
    請求項24
    前記マッピングテーブルのマッピングは、予め特定された期間の経過後失効すること、を特徴とする請求項23に記載のマッピングテーブル。
    类似技术:
    公开号 | 公开日 | 专利标题
    US10404556B2|2019-09-03|Methods and computer program products for correlation analysis of network traffic in a network device
    US9456019B2|2016-09-27|Web page load time prediction and simulation
    US8135979B2|2012-03-13|Collecting network-level packets into a data structure in response to an abnormal condition
    US6570867B1|2003-05-27|Routes and paths management
    US7231442B2|2007-06-12|Global network monitoring system
    JP4392294B2|2009-12-24|Communication statistics collection device
    US6363477B1|2002-03-26|Method for analyzing network application flows in an encrypted environment
    US6112238A|2000-08-29|System and method for analyzing remote traffic data in a distributed computing environment
    US6189038B1|2001-02-13|Generic notifications framework system and method for enhancing operation of a management station on a network
    JP5160556B2|2013-03-13|分散型コンピュータネットワークに基づくログファイル分析方法およびシステム
    US7505872B2|2009-03-17|Methods and apparatus for impact analysis and problem determination
    US6515967B1|2003-02-04|Method and apparatus for detecting a fault in a multicast routing infrastructure
    DE602004004863T2|2007-11-15|Verteilte Architektur zur Echtzeit - Flussmessung auf der Ebene einer Netzwerkdomäne
    US7240325B2|2007-07-03|Methods and apparatus for topology discovery and representation of distributed applications and services
    EP2474145B1|2019-01-30|Measuring attributes of client-server applications
    KR101548021B1|2015-08-28|네트워크 관리 방법
    ES2574788T3|2016-06-22|Method to configure ACL on network device based on flow information
    DE602005004130T2|2009-01-08|Verteilte Verkehrsanalyse
    EP1367771B1|2008-10-29|Passive network monitoring system
    US7668953B1|2010-02-23|Rule-based network management approaches
    US7124204B2|2006-10-17|Threshold-based database synchronization system and method
    US9154383B2|2015-10-06|System and method to extend the capabilities of a web browser of a web application issue root cause determination techniques
    US7634671B2|2009-12-15|Determining power consumption in IT networks
    JP5015951B2|2012-09-05|Httpセッション負荷の特性を明らかにするデータを収集するための方法及び装置
    WO2016038139A1|2016-03-17|Managing network forwarding configurations using algorithmic policies
    同族专利:
    公开号 | 公开日
    AU2008341098B2|2013-07-11|
    US20090154363A1|2009-06-18|
    EP2240854B8|2018-03-28|
    BRPI0821369A2|2015-06-16|
    JP5557749B2|2014-07-23|
    AU2008341098A1|2009-07-02|
    CN101933313A|2010-12-29|
    WO2009082438A3|2009-08-13|
    CA2709892A1|2009-07-02|
    EP2240854A2|2010-10-20|
    EP2240854B1|2018-02-21|
    MX2010006844A|2010-12-20|
    WO2009082438A2|2009-07-02|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2011-11-03| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20111102 |
    2013-02-25| A977| Report on retrieval|Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130225 |
    2013-03-21| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130319 |
    2013-06-20| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130619 |
    2014-01-08| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140107 |
    2014-04-08| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140407 |
    2014-04-25| TRDD| Decision of grant or rejection written|
    2014-05-08| A01| Written decision to grant a patent or to grant a registration (utility model)|Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140507 |
    2014-06-12| A61| First payment of annual fees (during grant procedure)|Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140603 |
    2014-06-13| R150| Certificate of patent or registration of utility model|Ref document number: 5557749 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
    2017-03-07| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2018-05-15| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2019-05-14| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2020-04-03| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    2021-05-10| R250| Receipt of annual fees|Free format text: JAPANESE INTERMEDIATE CODE: R250 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]