[要約] RFC 7015は、IPFIXプロトコルのためのフロー集約に関する規格であり、フロー情報の効率的なエクスポートを目的としています。このRFCは、フロー情報の集約方法とその利点について説明しています。

Internet Engineering Task Force (IETF)                       B. Trammell
Request for Comments: 7015                                    ETH Zurich
Category: Standards Track                                      A. Wagner
ISSN: 2070-1721                                              Consecom AG
                                                               B. Claise
                                                     Cisco Systems, Inc.
                                                          September 2013
        

Flow Aggregation for the IP Flow Information Export (IPFIX) Protocol

IPフロー情報エクスポート(IPFIX)プロトコルのフロー集約

Abstract

概要

This document provides a common implementation-independent basis for the interoperable application of the IP Flow Information Export (IPFIX) protocol to the handling of Aggregated Flows, which are IPFIX Flows representing packets from multiple Original Flows sharing some set of common properties. It does this through a detailed terminology and a descriptive Intermediate Aggregation Process architecture, including a specification of methods for Original Flow counting and counter distribution across intervals.

このドキュメントは、IPフロー情報エクスポート(IPFIX)プロトコルの相互運用可能なアプリケーションの一般的な実装に依存しない基礎を提供します。これは、いくつかの共通のプロパティセットを共有する複数の元のフローからのパケットを表すIPFIXフローである、集約フローの処理に使用されます。これは、詳細な用語と説明的な中間集約プロセスアーキテクチャを介して行われます。これには、元のフローのカウント方法の間隔の指定とカウンターの分散の方法の仕様が含まれます。

Status of This Memo

本文書の状態

This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7015.

このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7015で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2013 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2013 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents
   1. Introduction ....................................................3
      1.1. IPFIX Protocol Overview ....................................4
      1.2. IPFIX Documents Overview ...................................5
   2. Terminology .....................................................5
   3. Use Cases for IPFIX Aggregation .................................7
   4. Architecture for Flow Aggregation ...............................8
      4.1. Aggregation within the IPFIX Architecture ..................8
      4.2. Intermediate Aggregation Process Architecture .............12
           4.2.1. Correlation and Normalization ......................14
   5. IP Flow Aggregation Operations .................................15
      5.1. Temporal Aggregation through Interval Distribution ........15
           5.1.1. Distributing Values across Intervals ...............16
           5.1.2. Time Composition ...................................18
           5.1.3. External Interval Distribution .....................19
      5.2. Spatial Aggregation of Flow Keys ..........................19
           5.2.1. Counting Original Flows ............................21
           5.2.1. Counting Distinct Key Values .......................22
      5.3. Spatial Aggregation of Non-key Fields .....................22
           5.3.1. Counter Statistics .................................22
           5.3.2. Derivation of New Values from Flow Keys and
                  Non-key fields .....................................23
      5.4. Aggregation Combination ...................................23
   6. Additional Considerations and Special Cases in Flow
      Aggregation ....................................................24
      6.1. Exact versus Approximate Counting during Aggregation ......24
      6.2. Delay and Loss Introduced by the IAP ......................24
      6.3. Considerations for Aggregation of Sampled Flows ...........24
      6.4. Considerations for Aggregation of Heterogeneous Flows .....25
   7. Export of Aggregated IP Flows Using IPFIX ......................25
      7.1. Time Interval Export ......................................25
      7.2. Flow Count Export .........................................25
           7.2.1. originalFlowsPresent ...............................26
        
           7.2.2. originalFlowsInitiated .............................26
           7.2.3. originalFlowsCompleted .............................26
           7.2.4. deltaFlowCount .....................................26
      7.3. Distinct Host Export ......................................27
           7.3.1. distinctCountOfSourceIPAddress .....................27
           7.3.2. distinctCountOfDestinationIPAddress ................27
           7.3.3. distinctCountOfSourceIPv4Address ...................27
           7.3.4. distinctCountOfDestinationIPv4Address ..............28
           7.3.5. distinctCountOfSourceIPv6Address ...................28
           7.3.6. distinctCountOfDestinationIPv6Address ..............28
      7.4. Aggregate Counter Distribution Export .....................28
           7.4.1. Aggregate Counter Distribution Options Template ....29
           7.4.2. valueDistributionMethod Information Element ........29
   8. Examples .......................................................31
      8.1. Traffic Time Series per Source ............................32
      8.2. Core Traffic Matrix .......................................37
      8.3. Distinct Source Count per Destination Endpoint ............42
      8.4. Traffic Time Series per Source with Counter Distribution ..44
   9. Security Considerations ........................................46
   10. IANA Considerations ...........................................46
   11. Acknowledgments ...............................................46
   12. References ....................................................47
      12.1. Normative References .....................................47
      12.2. Informative References ...................................47
        
1. Introduction
1. はじめに

The assembly of packet data into Flows serves a variety of different purposes, as noted in the requirements [RFC3917] and applicability statement [RFC5472] for the IP Flow Information Export (IPFIX) protocol [RFC7011]. Aggregation beyond the Flow level, into records representing multiple Flows, is a common analysis and data reduction technique as well, with applicability to large-scale network data analysis, archiving, and inter-organization exchange. This applicability in large-scale situations, in particular, led to the inclusion of aggregation as part of the IPFIX Mediation Problem Statement [RFC5982], and the definition of an Intermediate Aggregation Process in the Mediator framework [RFC6183].

フローへのパケットデータのアセンブリは、IPフロー情報エクスポート(IPFIX)プロトコル[RFC7011]の要件[RFC3917]および適用性ステートメント[RFC5472]に記載されているように、さまざまな目的に役立ちます。フローレベルを超えた、複数のフローを表すレコードへの集約は、一般的な分析およびデータ削減手法でもあり、大規模なネットワークデータ分析、アーカイブ、および組織間の交換にも適用できます。特に、大規模な状況でのこの適用性により、IPFIX調停問題ステートメント[RFC5982]の一部として集計が含まれ、メディエーターフレームワーク[RFC6183]で中間集計プロセスが定義されました。

Aggregation is used for analysis and data reduction in a wide variety of applications, for example, in traffic matrix calculation, generation of time series data for visualizations or anomaly detection, or data reduction for long-term trending and storage. Depending on the keys used for aggregation, it may additionally have an anonymizing effect on the data: for example, aggregation operations that eliminate IP addresses make it impossible to later directly identify nodes using those addresses.

集約は、トラフィックマトリックスの計算、可視化や異常検出のための時系列データの生成、長期的な傾向や保存のためのデータ削減など、さまざまなアプリケーションでの分析とデータ削減に使用されます。集計に使用されるキーによっては、データに匿名化の効果が追加される場合があります。たとえば、IPアドレスを削除する集計操作により、後でそれらのアドレスを使用してノードを直接識別することができなくなります。

Aggregation, as defined and described in this document, covers the applications defined in [RFC5982], including Sections 5.1 "Adjusting Flow Granularity", 5.4 "Time Composition", and 5.5 "Spatial Composition". However, Section 4.2 of this document specifies a more flexible architecture for an Intermediate Aggregation Process than that envisioned by the original Mediator work [RFC5982]. Instead of a focus on these specific limited use cases, the Intermediate Aggregation Process is specified to cover any activity commonly described as "Flow aggregation". This architecture is intended to describe any such activity without reference to the specific implementation of aggregation.

このドキュメントで定義および説明されている集約は、セクション5.1「フロー粒度の調整」、5.4「時間構成」、および5.5「空間構成」を含む、[RFC5982]で定義されたアプリケーションをカバーしています。ただし、このドキュメントのセクション4.2では、元のMediatorの作業[RFC5982]で想定されているものよりも柔軟な中間集約プロセスのアーキテクチャを指定しています。これらの特定の限られた使用例に焦点を当てるのではなく、中間集約プロセスは、「フロー集約」として一般的に説明されるアクティビティをカバーするように指定されています。このアーキテクチャは、集計の特定の実装を参照せずに、そのようなアクティビティを説明することを目的としています。

An Intermediate Aggregation Process may be applied to data collected from multiple Observation Points, as it is natural to use aggregation for data reduction when concentrating measurement data. This document specifically does not address the protocol issues that arise when combining IPFIX data from multiple Observation Points and exporting from a single Mediator, as these issues are general to IPFIX Mediation; they are therefore treated in detail in the Mediation Protocol document [IPFIX-MED-PROTO].

中間集計プロセスは、複数の観測ポイントから収集されたデータに適用できます。これは、測定データを集中させる場合、データ削減のために集計を使用するのが自然だからです。これらの問題はIPFIXメディエーションに一般的であるため、このドキュメントでは、複数の観測ポイントからのIPFIXデータを組み合わせて単一のメディエーターからエクスポートするときに発生するプロトコルの問題については特に取り上げていません。したがって、それらは調停プロトコル文書[IPFIX-MED-PROTO]で詳細に扱われます。

Since Aggregated Flows as defined in the following section are essentially Flows, the IPFIX protocol [RFC7011] can be used to export, and the IPFIX File Format [RFC5655] can be used to store, aggregated data "as is"; there are no changes necessary to the protocol. This document provides a common basis for the application of IPFIX to the handling of aggregated data, through a detailed terminology, Intermediate Aggregation Process architecture, and methods for Original Flow counting and counter distribution across intervals. Note that Sections 5, 6, and 7 of this document are normative.

次のセクションで定義する集約フローは基本的にフローであるため、IPFIXプロトコル[RFC7011]を使用してエクスポートでき、IPFIXファイル形式[RFC5655]を使用して集約データを「そのまま」格納できます。プロトコルに必要な変更はありません。このドキュメントでは、詳細な用語、中間集計プロセスアーキテクチャ、および元のフローのカウントとインターバル全体でのカウンタの分散の方法を通じて、IPFIXを集計データの処理に適用するための共通の基礎を提供します。このドキュメントのセクション5、6、7は規範的であることに注意してください。

1.1. IPFIX Protocol Overview
1.1. IPFIXプロトコルの概要

In the IPFIX protocol, { type, length, value } tuples are expressed in Templates containing { type, length } pairs, specifying which { value } fields are present in data records conforming to the Template, giving great flexibility as to what data is transmitted. Since Templates are sent very infrequently compared with Data Records, this results in significant bandwidth savings. Various different data formats may be transmitted simply by sending new Templates specifying the { type, length } pairs for the new data format. See [RFC7011] for more information.

IPFIXプロトコルでは、{type、length、value}のタプルは{type、length}のペアを含むテンプレートで表現され、テンプレートに準拠するデータレコードにどの{value}フィールドが存在するかを指定し、どのデータが送信されるかについて大きな柔軟性を提供します。テンプレートはデータレコードと比較して送信される頻度が非常に低いため、帯域幅を大幅に節約できます。新しいデータフォーマットの{type、length}ペアを指定する新しいテンプレートを送信するだけで、さまざまな異なるデータフォーマットを送信できます。詳細については、[RFC7011]を参照してください。

The IPFIX Information Element Registry [IANA-IPFIX] defines a large number of standard Information Elements that provide the necessary { type } information for Templates. The use of standard elements enables interoperability among different vendors' implementations.

IPFIX情報要素レジストリ[IANA-IPFIX]は、テンプレートに必要な{タイプ}情報を提供する多数の標準情報要素を定義しています。標準要素を使用すると、さまざまなベンダーの実装間の相互運用が可能になります。

Additionally, non-standard enterprise-specific elements may be defined for private use.

さらに、非標準の企業固有の要素を私的使用のために定義できます。

1.2. IPFIX Documents Overview
1.2. IPFIXドキュメントの概要

"Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information" [RFC7011] and its associated documents define the IPFIX protocol, which provides network engineers and administrators with access to IP traffic Flow information.

「フロー情報交換のためのIPフロー情報エクスポート(IPFIX)プロトコルの仕様」[RFC7011]とその関連ドキュメントは、ネットワークエンジニアと管理者にIPトラフィックフロー情報へのアクセスを提供するIPFIXプロトコルを定義しています。

IPFIX has a formal description of IPFIX Information Elements, their names, types, and additional semantic information, as specified in the IPFIX Information Model [RFC7012]. The IPFIX Information Element registry [IANA-IPFIX] is maintained by IANA. New Information Element definitions can be added to this registry subject to an Expert Review [RFC5226], with additional process considerations described in [RFC7013].

IPFIXには、IPFIX情報モデル[RFC7012]で指定されているように、IPFIX情報要素、その名前、タイプ、および追加のセマンティック情報の正式な説明があります。 IPFIX情報要素レジストリ[IANA-IPFIX]は、IANAによって管理されています。 [RFC7013]で説明されている追加のプロセス考慮事項を使用して、エキスパートレビュー[RFC5226]の対象となるこのレジストリに新しい情報要素定義を追加できます。

"Architecture for IP Flow Information Export" [RFC5470] defines the architecture for the export of measured IP Flow information out of an IPFIX Exporting Process to an IPFIX Collecting Process and the basic terminology used to describe the elements of this architecture, per the requirements defined in "Requirements for IP Flow Information Export" [RFC3917]. The IPFIX protocol document [RFC7011] covers the details of the method for transporting IPFIX Data Records and Templates via a congestion-aware transport protocol from an IPFIX Exporting Process to an IPFIX Collecting Process.

「IPフロー情報エクスポートのアーキテクチャ」[RFC5470]は、測定されたIPフロー情報をIPFIXエクスポートプロセスからIPFIX収集プロセスにエクスポートするためのアーキテクチャと、定義された要件に従って、このアーキテクチャの要素を説明するために使用される基本的な用語を定義します「IPフロー情報エクスポートの要件」[RFC3917]。 IPFIXプロトコルドキュメント[RFC7011]は、IPFIXエクスポートプロセスからIPFIX収集プロセスに輻輳認識トランスポートプロトコルを介してIPFIXデータレコードとテンプレートをトランスポートする方法の詳細をカバーしています。

"IP Flow Information Export (IPFIX) Mediation: Problem Statement" [RFC5982] introduces the concept of IPFIX Mediators, and defines the use cases for which they were designed; "IP Flow Information Export (IPFIX) Mediation: Framework" [RFC6183] then provides an architectural framework for Mediators. Protocol-level issues (e.g., Template and Observation Domain handling across Mediators) are covered by "Operation of the IP Flow Information Export (IPFIX) Protocol on IPFIX Mediators" [IPFIX-MED-PROTO].

「IPフロー情報エクスポート(IPFIX)メディエーション:問題ステートメント」[RFC5982]は、IPFIXメディエーターの概念を紹介し、それらが設計されたユースケースを定義しています。 「IPフロー情報エクスポート(IPFIX)メディエーション:フレームワーク」[RFC6183]は、メディエーターにアーキテクチャフレームワークを提供します。プロトコルレベルの問題(メディエーター間でのテンプレートおよび監視ドメインの処理など)は、「IPFIXメディエーターでのIPフロー情報エクスポート(IPFIX)プロトコルの操作」[IPFIX-MED-PROTO]でカバーされています。

This document specifies an Intermediate Process for Flow aggregation that may be applied at an IPFIX Mediator, as well as at an original Observation Point prior to export, or for analysis and data reduction purposes after receipt at a Collecting Process.

このドキュメントは、IPFIXメディエーターとエクスポート前の元の観測ポイントで、または収集プロセスで受け取った後の分析とデータ削減の目的で適用できるフロー集約の中間プロセスを指定します。

2. Terminology
2. 用語

Terms used in this document that are defined in the Terminology section of the IPFIX protocol document [RFC7011] are to be interpreted as defined there.

このドキュメントで使用されている用語は、IPFIXプロトコルドキュメント[RFC7011]の用語セクションで定義されており、そこで定義されているものとして解釈されます。

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。

In addition, this document defines the following terms:

さらに、このドキュメントでは次の用語を定義しています。

Aggregated Flow: A Flow, as defined by [RFC7011], derived from a set of zero or more Original Flows within a defined Aggregation Interval. Note that an Aggregated Flow is defined in the context of an Intermediate Aggregation Process only. Once an Aggregated Flow is exported, it is essentially a Flow as in [RFC7011] and can be treated as such.

集約されたフロー:[RFC7011]で定義されている、定義された集約間隔内のゼロ個以上の元のフローのセットから派生したフロー。集約フローは、中間集約プロセスのコンテキストでのみ定義されることに注意してください。集約されたフローがエクスポートされると、それは本質的には[RFC7011]のようなフローであり、そのように扱うことができます。

Intermediate Aggregation Process: an Intermediate Aggregation Process (IAP), as in [RFC6183], that aggregates records, based upon a set of Flow Keys or functions applied to fields from the record.

中間集約プロセス:[RFC6183]のように、レコードのフィールドに適用されるフローキーまたは関数のセットに基づいてレコードを集約する中間集約プロセス(IAP)。

Aggregation Interval: A time interval imposed upon an Aggregated Flow. Intermediate Aggregation Processes may use a regular Aggregation Interval (e.g., "every five minutes", "every calendar month"), though regularity is not necessary. Aggregation intervals may also be derived from the time intervals of the Original Flows being aggregated.

集約間隔:集約フローに課される時間間隔。中間集約プロセスでは、定期的な集約間隔(「5分ごと」、「毎月」など)を使用できますが、規則性は必要ありません。集約間隔は、集約される元のフローの時間間隔から導出することもできます。

Partially Aggregated Flow: A Flow during processing within an Intermediate Aggregation Process; refers to an intermediate data structure during aggregation within the Intermediate Aggregation Process architecture detailed in Section 4.2.

部分的に集約されたフロー:中間集約プロセス内の処理中のフロー。セクション4.2で詳述されている中間集約プロセスアーキテクチャ内の集約中の中間データ構造を指します。

Original Flow: A Flow given as input to an Intermediate Aggregation Process in order to generate Aggregated Flows.

元のフロー:集約フローを生成するために中間集約プロセスへの入力として与えられるフロー。

Contributing Flow: An Original Flow that is partially or completely represented within an Aggregated Flow. Each Aggregated Flow is made up of zero or more Contributing Flows, and an Original Flow may contribute to zero or more Aggregated Flows.

寄与フロー:集約フロー内で部分的または完全に表される元のフロー。各集約フローは0個以上の寄与フローで構成され、元のフローは0個以上の集約フローに寄与する場合があります。

Original Exporter: The Exporter from which the Original Flows are received; meaningful only when an IAP is deployed at a Mediator.

元のエクスポーター:元のフローを受け取るエクスポーター。 IAPがメディエーターにデプロイされている場合にのみ意味があります。

The terminology presented herein improves the precision of, but does not supersede or contradict the terms related to, Mediation and aggregation defined in the Mediation Problem Statement [RFC5982] and the Mediation Framework [RFC6183] documents. Within this document, the terminology defined in this section is to be considered normative.

本書に記載されている用語は、調停問題ステートメント[RFC5982]および調停フレームワーク[RFC6183]ドキュメントで定義されている調停および集約に関連する用語の精度を向上させますが、それに取って代わったり、矛盾したりすることはありません。このドキュメントでは、このセクションで定義されている用語は規範的であると見なされます。

3. Use Cases for IPFIX Aggregation
3. IPFIX集約の使用例

Aggregation, as a common data reduction method used in traffic data analysis, has many applications. When used with a regular Aggregation Interval and Original Flows containing timing information, it generates time series data from a collection of Flows with discrete intervals, as in the example in Section 8.1. This time series data is itself useful for a wide variety of analysis tasks, such as generating input for network anomaly detection systems or driving visualizations of volume per time for traffic with specific characteristics. As a second example, traffic matrix calculation from Flow data, as shown in Section 8.2 is inherently an aggregation action, by spatially aggregating the Flow Key down to input or output interface, address prefix, or autonomous system (AS).

トラフィックデータ分析で使用される一般的なデータ削減方法である集約には、多くのアプリケーションがあります。通常の集約間隔とタイミング情報を含む元のフローで使用すると、セクション8.1の例のように、離散間隔を持つフローのコレクションから時系列データが生成されます。この時系列データ自体は、ネットワーク異常検出システムの入力の生成や、特定の特性を持つトラフィックの時間あたりのボリュームの視覚化の駆動など、さまざまな分析タスクに役立ちます。 2番目の例として、セクション8.2に示すように、フローデータからのトラフィックマトリックス計算は、フローキーを入力または出力インターフェイス、アドレスプレフィックス、または自律システム(AS)に空間的に集約することによる、本質的に集約アクションです。

Irregular or data-dependent Aggregation Intervals and key aggregation operations can also be used to provide adaptive aggregation of network Flow data. Here, full Flow Records can be kept for Flows of interest, while Flows deemed "less interesting" to a given application can be aggregated. For example, in an IPFIX Mediator equipped with traffic classification capabilities for security purposes, potentially malicious Flows could be exported directly, while known-good or probably-good Flows (e.g., normal web browsing) could be exported simply as time series volumes per web server.

不規則またはデータ依存の集約間隔と主要な集約操作を使用して、ネットワークフローデータの適応集約を提供することもできます。ここでは、対象のフローの完全なフローレコードを保持できますが、特定のアプリケーションにとって「あまり興味がない」と見なされたフローは集約できます。たとえば、セキュリティの目的でトラフィック分類機能を備えたIPFIXメディエーターでは、悪意のある可能性のあるフローを直接エクスポートできますが、正常またはおそらく良好なフロー(通常のWebブラウジングなど)は、Webごとの時系列ボリュームとしてエクスポートできますサーバ。

Aggregation can also be applied to final analysis of stored Flow data, as shown in the example in Section 8.3. All such aggregation applications in which timing information is not available or not important can be treated as if an infinite Aggregation Interval applies.

セクション8.3の例に示すように、集約は保存されたフローデータの最終分析にも適用できます。タイミング情報が利用できない、または重要でないそのようなすべての集約アプリケーションは、無限の集約間隔が適用されるかのように扱うことができます。

Note that an Intermediate Aggregation Process that removes potentially sensitive information as identified in [RFC6235] may tend to have an anonymizing effect on the Aggregated Flows as well; however, any application of aggregation as part of a data protection scheme should ensure that all the issues raised in [RFC6235] are addressed, specifically Sections 4 ("Anonymization of IP Flow Data"), 7.2 ("IPFIX-Specific Anonymization Guidelines"), and 9 ("Security Considerations").

[RFC6235]で特定された潜在的な機密情報を削除する中間集約プロセスは、集約フローにも匿名化の影響を与える傾向があることに注意してください。ただし、データ保護スキームの一部として集約を適用する場合は、[RFC6235]で提起されたすべての問題、特にセクション4(「IPフローデータの匿名化」)、7.2(「IPFIX固有の匿名化ガイドライン」)に対処する必要があります。 、および9(「セキュリティに関する考慮事項」)。

While much of the discussion in this document, and all of the examples, apply to the common case that the Original Flows to be aggregated are all of the same underlying type (i.e., are represented with identical Templates or compatible Templates containing a core set Information Elements that can be freely converted to one another), and that each packet observed by the Metering Process associated with the Original Exporter is represented, this is not a necessary assumption. Aggregation can also be applied as part of a technique using both aggregation and correlation to pull together multiple views of the same traffic from different Observation Points using different Templates. For example, consider a set of applications running at different Observation Points for different purposes -- one generating Flows with round-trip times for passive performance measurement, and one generating billing records. Once correlated, these Flows could be used to produce Aggregated Flows containing both volume and performance information together. The correlation and normalization operation described in Section 4.2.1 handles this specific case of correlation. Flow correlation in the general case is outside the scope of this document.

このドキュメントの多くの説明とすべての例は、集約される元のフローがすべて同じ基本タイプである一般的なケースに適用されます(つまり、同一のテンプレートまたはコアセット情報を含む互換性のあるテンプレートで表されます)相互に自由に変換できる要素)、および元のエクスポーターに関連付けられたメータリングプロセスによって監視される各パケットが表されること、これは必須の仮定ではありません。集約は、集約と相関の両方を使用する手法の一部として適用し、異なるテンプレートを使用して、異なる観測ポイントからの同じトラフィックの複数のビューをまとめることもできます。たとえば、さまざまな目的でさまざまな観測ポイントで実行されている一連のアプリケーションについて考えてみましょう。1つはパッシブパフォーマンス測定用の往復時間でフローを生成し、もう1つは請求レコードを生成します。いったん関連付けられると、これらのフローを使用して、ボリューム情報とパフォーマンス情報の両方を一緒に含む集約フローを作成できます。セクション4.2.1で説明する相関および正規化操作は、この特定の相関のケースを処理します。一般的な場合のフロー相関は、このドキュメントの範囲外です。

4. Architecture for Flow Aggregation
4. フロー集約のアーキテクチャ

This section specifies the architecture of the Intermediate Aggregation Process and how it fits into the IPFIX architecture.

このセクションでは、中間集計プロセスのアーキテクチャと、それがIPFIXアーキテクチャにどのように適合するかを示します。

4.1. Aggregation within the IPFIX Architecture
4.1. IPFIXアーキテクチャー内の集約

An Intermediate Aggregation Process could be deployed at any of three places within the IPFIX architecture. While aggregation is most commonly done within a Mediator that collects Original Flows from an Original Exporter and exports Aggregated Flows, aggregation can also occur before initial export, or after final collection, as shown in Figure 1. The presence of an IAP at any of these points is, of course, optional.

中間集計プロセスは、IPFIXアーキテクチャ内の3つの場所のいずれかに展開できます。集計は通常、元のエクスポーターから元のフローを収集し、集計されたフローをエクスポートするメディエーター内で行われますが、図1に示すように、最初のエクスポートの前、または最後の収集の後に集計を行うこともできます。これらのいずれかでのIAPの存在もちろん、ポイントはオプションです。

   +===========================================+
   |  IPFIX Exporter        +----------------+ |
   |                        | Metering Proc. | |
   | +-----------------+    +----------------+ |
   | | Metering Proc.  | or |      IAP       | |
   | +-----------------+----+----------------+ |
   | |           Exporting Process           | |
   | +-|----------------------------------|--+ |
   +===|==================================|====+
       |                                  |
   +===|===========================+      |
   |   |  Aggregating Mediator     |      |
   + +-V-------------------+       |      |
   | | Collecting Process  |       |      |
   + +---------------------+       |      |
   | |         IAP         |       |      |
   + +---------------------+       |      |
   | |  Exporting Process  |       |      |
   + +-|-------------------+       |      |
   +===|===========================+      |
       |                                  |
   +===|==================================|=====+
   |   | Collector                        |     |
   | +-V----------------------------------V-+   |
   | |         Collecting Process           |   |
   | +------------------+-------------------+   |
   |                    |        IAP        |   |
   |                    +-------------------+   |
   |  (Aggregation      |   File Writer     |   |
       for Storage)     +-----------|-------+   |
   +================================|===========+
                                    |
                             +------V-----------+
                             |    IPFIX File    |
                             +------------------+
        

Figure 1: Potential Aggregation Locations

図1:潜在的な集約場所

The Mediator use case is further shown in Figures A and B in [RFC6183].

Mediatorの使用例は、[RFC6183]の図AおよびBにさらに示されています。

Aggregation can be applied for either intermediate or final analytic purposes. In certain circumstances, it may make sense to export Aggregated Flows directly after metering, for example, if the Exporting Process is applied to drive a time series visualization, or when Flow data export bandwidth is restricted and Flow or packet sampling is not an option. Note that this case, where the Aggregation Process is essentially integrated into the Metering Process, is basically covered by the IPFIX architecture [RFC5470]: the Flow Keys used are simply a subset of those that would normally be used, and time intervals may be chosen other than those available from the cache policies customarily offered by the Metering Process. A Metering Process in this arrangement MAY choose to simulate the generation of larger Flows in order to generate Original Flow counts, if the application calls for compatibility with an Intermediate Aggregation Process deployed in a separate location.

集計は、中間または最終の分析目的に適用できます。特定の状況では、たとえば、エクスポートプロセスを適用して時系列の視覚化を推進する場合や、フローデータエクスポートの帯域幅が制限されており、フローまたはパケットのサンプリングがオプションでない場合など、測定後すぐに集約フローをエクスポートすることが理にかなっています。集計プロセスが基本的にメータリングプロセスに統合されているこのケースは、基本的にIPFIXアーキテクチャ[RFC5470]でカバーされていることに注意してください。使用されるフローキーは、通常使用されるフローキーのサブセットであり、時間間隔を選択できます。メータリングプロセスによって通常提供されるキャッシュポリシーから利用可能なポリシー以外。この配置のメータリングプロセスは、アプリケーションが別の場所に展開された中間集約プロセスとの互換性を要求する場合、元のフローカウントを生成するために、より大きなフローの生成をシミュレートすることを選択できます。

In the specific case that an Intermediate Aggregation Process is employed for data reduction for storage purposes, it can take Original Flows from a Collecting Process or File Reader and pass Aggregated Flows to a File Writer for storage.

中間集約プロセスがストレージ目的のデータ削減に使用される特定のケースでは、収集プロセスまたはファイルリーダーから元のフローを取得して、集約フローをストレージ用のファイルライターに渡すことができます。

Deployment of an Intermediate Aggregation Process within a Mediator [RFC5982] is a much more flexible arrangement. Here, the Mediator consumes Original Flows and produces Aggregated Flows; this arrangement is suited to any of the use cases detailed in Section 3. In a Mediator, Original Flows from multiple sources can also be aggregated into a single stream of Aggregated Flows. The architectural specifics of this arrangement are not addressed in this document, which is concerned only with the aggregation operation itself. See [IPFIX-MED-PROTO] for details.

メディエーター[RFC5982]内での中間集約プロセスの配備は、はるかに柔軟な取り決めです。ここで、メディエーターは元のフローを消費し、集約されたフローを生成します。この配置は、セクション3で詳述する使用例のいずれにも適しています。メディエーターでは、複数のソースからの元のフローを、集約されたフローの単一のストリームに集約することもできます。このアレンジメントのアーキテクチャの詳細は、このドキュメントでは扱われていません。これは、集約操作自体にのみ関係しています。詳細については、[IPFIX-MED-PROTO]を参照してください。

The data paths into and out of an Intermediate Aggregation Process are shown in Figure 2.

中間集約プロセスに出入りするデータパスを図2に示します。

   packets --+               IPFIX Messages      IPFIX Files
             |                     |                  |
             V                     V                  V
   +==================+ +====================+ +=============+
   | Metering Process | | Collecting Process | | File Reader |
   |                  | +====================+ +=============+
   | (Original Flows  |            |                  |
   |    or direct     |            |  Original Flows  |
   |   aggregation)   |            V                  V
   + - - - - - - - - -+======================================+
   |           Intermediate Aggregation Process (IAP)        |
   +=========================================================+
             | Aggregated                  Aggregated |
             | Flows                            Flows |
             V                                        V
   +===================+                       +=============+
   | Exporting Process |                       | File Writer |
   +===================+                       +=============+
             |                                        |
             V                                        V
       IPFIX Messages                            IPFIX Files
        

Figure 2: Data Paths through the Aggregation Process

図2:集約プロセスのデータパス

Note that as Aggregated Flows are IPFIX Flows, an Intermediate Aggregation Process may aggregate already Aggregated Flows from an upstream IAP as well as Original Flows from an upstream Original Exporter or Metering Process.

集約されたフローはIPFIXフローであるため、中間集約プロセスは、上流のIAPからの集約済みフローと、上流の元のエクスポーターまたはメータリングプロセスからの元のフローを集約する場合があることに注意してください。

Aggregation may also need to correlate Original Flows from multiple Metering Processes, each according to a different Template with different Flow Keys and values. This arrangement is shown in Figure 3; in this case, the correlation and normalization operation described in Section 4.2.1 handles merging the Original Flows before aggregation.

集計では、それぞれが異なるフローキーと値を持つ異なるテンプレートに従って、複数の計測プロセスからの元のフローを関連付ける必要がある場合もあります。この配置を図3に示します。この場合、セクション4.2.1で説明されている相関および正規化操作は、集約前に元のフローのマージを処理します。

   packets --+---------------------+------------------+
             |                     |                  |
             V                     V                  V
   +====================+ +====================+ +====================+
   | Metering Process 1 | | Metering Process 2 | | Metering Process n |
   +====================+ +====================+ +====================+
             |                     |  Original Flows  |
             V                     V                  V
   +==================================================================+
   | Intermediate Aggregation Process  +  correlation / normalization |
   +==================================================================+
             | Aggregated                  Aggregated |
             | Flows                            Flows |
             V                                        V
   +===================+                       +=============+
   | Exporting Process |                       | File Writer |
   +===================+                       +=============+
             |                                        |
             +------------> IPFIX Messages <----------+
        

Figure 3: Aggregating Original Flows from Multiple Metering Processes

図3:複数の計測プロセスからの元のフローの集約

4.2. Intermediate Aggregation Process Architecture
4.2. 中間集約プロセスアーキテクチャ

Within this document, an Intermediate Aggregation Process can be seen as hosting a function composed of four types of operations on Partially Aggregated Flows, as illustrated in Figure 4: interval distribution (temporal), key aggregation (spatial), value aggregation (spatial), and aggregate combination. "Partially Aggregated Flows", as defined in Section 2, are essentially the intermediate results of aggregation, internal to the Intermediate Aggregation Process.

このドキュメントでは、中間集計プロセスは、図4に示すように、部分的に集計されたフローに対する4種類の操作で構成される関数をホストしていると見なすことができます。間隔の分布(時間)、キーの集計(空間)、値の集計(空間)、と集計の組み合わせ。セクション2で定義されている「部分的に集約されたフロー」は、基本的に、中間集約プロセス内部の集約の中間結果です。

           Original Flows  /   Original Flows requiring correlation
   +=============|===================|===================|=============+
   |             |   Intermediate    |    Aggregation    |   Process   |
   |             |                   V                   V             |
   |             |   +-----------------------------------------------+ |
   |             |   |   (optional) correlation and normalization    | |
   |             |   +-----------------------------------------------+ |
   |             |                          |                          |
   |             V                          V                          |
   |  +--------------------------------------------------------------+ |
   |  |                interval distribution (temporal)              | |
   |  +--------------------------------------------------------------+ |
   |           | ^                         | ^                |        |
   |           | |  Partially Aggregated   | |                |        |
   |           V |         Flows           V |                |        |
   |  +-------------------+       +--------------------+      |        |
   |  |  key aggregation  |<------|  value aggregation |      |        |
   |  |     (spatial)     |------>|      (spatial)     |      |        |
   |  +-------------------+       +--------------------+      |        |
   |            |                          |                  |        |
   |            |   Partially Aggregated   |                  |        |
   |            V          Flows           V                  V        |
   |  +--------------------------------------------------------------+ |
   |  |                     aggregate combination                    | |
   |  +--------------------------------------------------------------+ |
   |                                       |                           |
   +=======================================|===========================+
                                           V
                                   Aggregated Flows
        

Figure 4: Conceptual Model of Aggregation Operations within an IAP

図4:IAP内の集約操作の概念モデル

Interval distribution: a temporal aggregation operation that imposes an Aggregation Interval on the Partially Aggregated Flow. This Aggregation Interval may be regular, irregular, or derived from the timing of the Original Flows themselves. Interval distribution is discussed in detail in Section 5.1.

間隔分布:部分的に集約されたフローに集約間隔を課す一時的な集約操作。この集約間隔は、規則的、不規則、または元のフロー自体のタイミングから導出される場合があります。区間分布については、セクション5.1で詳しく説明します。

Key aggregation: a spatial aggregation operation that results in the addition, modification, or deletion of Flow Key fields in the Partially Aggregated Flows. New Flow Keys may be derived from existing Flow Keys (e.g., looking up an AS number (ASN) for an IP address), or "promoted" from specific non-key fields (e.g., when aggregating Flows by packet count per Flow). Key aggregation can also add new non-key fields derived from Flow Keys that are deleted during key aggregation: mainly counters of unique reduced keys. Key aggregation is discussed in detail in Section 5.2.

キー集計:部分的に集計されたフローのフローキーフィールドの追加、変更、または削除をもたらす空間集計操作。新しいフローキーは、既存のフローキーから派生する(IPアドレスのAS番号(ASN)を検索するなど)か、特定の非キーフィールドから "昇格"することができます(フローごとのパケット数でフローを集計する場合など)。キー集計では、キー集計中に削除されるフローキーから派生した新しい非キーフィールドを追加することもできます。主に、一意の削減キーのカウンターです。鍵の集計については、セクション5.2で詳しく説明します。

Value aggregation: a spatial aggregation operation that results in the addition, modification, or deletion of non-key fields in the Partially Aggregated Flows. These non-key fields may be "demoted" from existing key fields, or derived from existing key or non-key fields. Value aggregation is discussed in detail in Section 5.3.

値の集計:部分的に集計されたフロー内の非キーフィールドの追加、変更、または削除をもたらす空間集計操作。これらの非キーフィールドは、既存のキーフィールドから「降格」するか、既存のキーフィールドまたは非キーフィールドから派生させることができます。値の集計については、セクション5.3で詳しく説明します。

Aggregate combination: an operation combining multiple Partially Aggregated Flows having undergone interval distribution, key aggregation, and value aggregation that share Flow Keys and Aggregation Intervals into a single Aggregated Flow per set of Flow Key values and Aggregation Interval. Aggregate combination is discussed in detail in Section 5.4.

集約の組み合わせ:フローキーと集約間隔を共有する、間隔の配布、キーの集約、および値の集約を経た複数の部分的に集約されたフローを、フローのキー値と集約の間隔のセットごとに1つの集約されたフローに組み合わせる操作。集計の組み合わせについては、セクション5.4で詳しく説明します。

Correlation and normalization: an optional operation that applies when accepting Original Flows from Metering Processes that export different views of essentially the same Flows before aggregation. The details of correlation and normalization are specified in Section 4.2.1, below.

相関と正規化:集約前に基本的に同じフローの異なるビューをエクスポートするメータリングプロセスから元のフローを受け入れるときに適用されるオプションの操作。相関と正規化の詳細は、以下のセクション4.2.1で指定されています。

The first three of these operations may be carried out any number of times in any order, either on Original Flows or on the results of one of the operations above, with one caveat: since Flows carry their own interval data, any spatial aggregation operation implies a temporal aggregation operation, so at least one interval distribution step, even if implicit, is required by this architecture. This is shown as the first step for the sake of simplicity in the diagram above. Once all aggregation operations are complete, aggregate combination ensures that for a given Aggregation Interval, set of Flow Key values, and Observation Domain, only one Flow is produced by the Intermediate Aggregation Process.

これらの操作の最初の3つは、元のフローまたは上記のいずれかの操作の結果に対して、任意の順序で何度でも実行できますが、1つの注意点があります。フローは独自の間隔データを運ぶため、空間集約操作は、このアーキテクチャーでは、一時的な集約操作であるため、たとえ暗黙的であっても、少なくとも1つの間隔分散ステップが必要です。上の図では、簡単にするためにこれを最初のステップとして示しています。すべての集約操作が完了すると、集約の組み合わせにより、特定の集約間隔、フローキー値のセット、および監視ドメインについて、中間集約プロセスによって生成されるフローは1つだけになります。

This model describes the operations within a single Intermediate Aggregation Process, and it is anticipated that most aggregation will be applied within a single process. However, as the steps in the model may be applied in any order and aggregate combination is idempotent, any number of Intermediate Aggregation Processes operating in series can be modeled as a single process. This allows aggregation operations to be flexibly distributed across any number of processes, should application or deployment considerations so dictate.

このモデルは、単一の中間集約プロセス内の操作を記述しており、ほとんどの集約は単一プロセス内で適用されることが予想されます。ただし、モデルのステップは任意の順序で適用でき、集約の組み合わせはべき等であるため、連続して動作する任意の数の中間集約プロセスを単一のプロセスとしてモデル化できます。これにより、アプリケーションまたはデプロイメントの考慮事項に応じて、集約操作を任意の数のプロセスに柔軟に分散できます。

4.2.1. Correlation and Normalization
4.2.1. 相関と正規化

When accepting Original Flows from multiple Metering Processes, each of which provides a different view of the Original Flow as seen from the point of view of the IAP, an optional correlation and normalization operation combines each of these single Flow Records into a set of unified Partially Aggregated Flows before applying interval distribution. These unified Flows appear as if they had been measured at a single Metering Process that used the union of the set of Flow Keys and non-key fields of all Metering Processes sending Original Flows to the IAP.

IAPの観点から見たように、それぞれが元のフローの異なるビューを提供する複数の計測プロセスから元のフローを受け入れる場合、オプションの相関および正規化操作は、これらの単一のフローレコードのそれぞれを一連の統合された部分的に組み合わせます間隔分布を適用する前の集約されたフロー。これらの統合されたフローは、元のフローをIAPに送信するすべてのメータリングプロセスのフローキーと非キーフィールドのセットの結合を使用する単一のメータリングプロセスで測定されたかのように見えます。

Since, due to export errors or other slight irregularities in Flow metering, the multiple views may not be completely consistent; normalization involves applying a set of corrections that are specific to the aggregation application in order to ensure consistency in the unified Flows.

エクスポートエラーまたはフローメータリングのその他のわずかな不規則性のため、複数のビューは完全に一貫していない場合があります。正規化には、統合されたフローの一貫性を確保するために、集約アプリケーションに固有の一連の修正を適用することが含まれます。

In general, correlation and normalization should take multiple views of essentially the same Flow, as determined by the configuration of the operation itself, and render them into a single unified Flow. Flows that are essentially different should not be unified by the correlation and normalization operation. This operation therefore requires enough information about the configuration and deployment of Metering Processes from which it correlates Original Flows in order to make this distinction correctly and consistently.

一般に、相関と正規化は、操作自体の構成によって決定されるように、本質的に同じフローの複数のビューを取得し、それらを単一の統合フローにレンダリングする必要があります。本質的に異なるフローは、相関および正規化操作によって統合されるべきではありません。したがって、この操作では、この区別を正確かつ一貫して行うために、元のフローを関連付ける計量プロセスの構成と展開に関する十分な情報が必要です。

The exact steps performed to correlate and normalize Flows in this step are application, implementation, and deployment specific, and will not be further specified in this document.

このステップでフローを相関および正規化するために実行される正確なステップは、アプリケーション、実装、およびデプロイメントに固有であり、このドキュメントではこれ以上指定しません。

5. IP Flow Aggregation Operations
5. IPフロー集約操作

As stated in Section 2, an Aggregated Flow is simply an IPFIX Flow generated from Original Flows by an Intermediate Aggregation Process. Here, we detail the operations by which this is achieved within an Intermediate Aggregation Process.

セクション2で述べたように、集約されたフローは、中間の集約プロセスによって元のフローから生成されたIPFIXフローです。ここでは、中間集計プロセスでこれを実現するための操作について詳しく説明します。

5.1. Temporal Aggregation through Interval Distribution
5.1. 間隔分布による時間的集計

Interval distribution imposes a time interval on the resulting Aggregated Flows. The selection of an interval is specific to the given aggregation application. Intervals may be derived from the Original Flows themselves (e.g., an interval may be selected to cover the entire time containing the set of all Flows sharing a given Key, as in Time Composition, described in Section 5.1.2) or externally imposed; in the latter case the externally imposed interval may be regular (e.g., every five minutes) or irregular (e.g., to allow for different time resolutions at different times of day, under different network conditions, or indeed for different sets of Original Flows).

間隔分布は、結果の集約フローに時間間隔を課します。間隔の選択は、特定の集約アプリケーションに固有です。間隔は、元のフロー自体から派生させることもできます(たとえば、間隔は、セクション5.1.2で説明されている時間構成のように、特定のキーを共有するすべてのフローのセットを含む時間全体をカバーするように選択できます)または外部から強制することができます。後者の場合、外部から課せられた間隔は、規則的(たとえば、5分ごと)または不規則(たとえば、異なる時間帯、異なるネットワーク条件下、または実際には異なる元のフローのセットで異なる時間分解能を可能にするため)です。

The length of the imposed interval itself has trade-offs. Shorter intervals allow higher-resolution aggregated data and, in streaming applications, faster reaction time. Longer intervals generally lead to greater data reduction and simplified counter distribution. Specifically, counter distribution is greatly simplified by the choice of an interval longer than the duration of longest Original Flow, itself generally determined by the Original Flow's Metering Process active timeout; in this case, an Original Flow can contribute to at most two Aggregated Flows, and the more complex value distribution methods become inapplicable.

課された間隔の長さ自体にはトレードオフがあります。間隔が短いほど、集約されたデータの解像度が高くなり、ストリーミングアプリケーションでは反応時間が速くなります。間隔が長くなると、一般に、データが大幅に削減され、カウンターの配布が簡素化されます。具体的には、カウンターの配布は、元のフローのメータリングプロセスのアクティブタイムアウトによって一般的に決定される、元のフローの最長の期間よりも長い間隔を選択することで大幅に簡素化されます。この場合、元のフローは最大2つの集約フローに寄与する可能性があり、より複雑な値の分散方法は適用できなくなります。

   |                |                |                |
   | |<--Flow A-->| |                |                |
   |        |<--Flow B-->|           |                |
   |          |<-------------Flow C-------------->|   |
   |                |                |                |
   |   interval 0   |   interval 1   |   interval 2   |
        

Figure 5: Illustration of Interval Distribution

図5:間隔分布の図

In Figure 5, we illustrate three common possibilities for interval distribution as applies with regular intervals to a set of three Original Flows. For Flow A, the start and end times lie within the boundaries of a single interval 0; therefore, Flow A contributes to only one Aggregated Flow. Flow B, by contrast, has the same duration but crosses the boundary between intervals 0 and 1; therefore, it will contribute to two Aggregated Flows, and its counters must be distributed among these Flows; though, in the two-interval case, this can be simplified somewhat simply by picking one of the two intervals or proportionally distributing between them. Only Flows like Flow A and Flow B will be produced when the interval is chosen to be longer than the duration of longest Original Flow, as above. More complicated is the case of Flow C, which contributes to more than two Aggregated Flows and must have its counters distributed according to some policy as in Section 5.1.1.

図5では、3つの元のフローのセットに定期的な間隔で適用される、間隔分散の3つの一般的な可能性を示しています。フローAの場合、開始時間と終了時間は単一の間隔0の境界内にあります。したがって、フローAは1つの集約フローにのみ寄与します。対照的に、フローBの持続時間は同じですが、間隔0と1の間の境界を通過します。したがって、2つの集約されたフローに寄与し、そのカウンターはこれらのフロー間で分散する必要があります。ただし、2つの間隔の場合は、2つの間隔の1つを選択するか、間隔を比例的に分散することで、これを多少単純化できます。上記のように、間隔が最も長い元のフローの継続時間よりも長くなるように選択された場合、フローAやフローBのようなフローのみが生成されます。より複雑なのは、フローCの場合です。これは、3つ以上の集約フローに寄与し、セクション5.1.1のようなポリシーに従ってカウンターを分散させる必要があります。

5.1.1. Distributing Values across Intervals
5.1.1. 間隔全体での値の分散

In general, counters in Aggregated Flows are treated the same as in any Flow. Each counter is independently calculated as if it were derived from the set of packets in the Original Flow. For example, delta counters are summed, the most recent total count for each Original Flow taken then summed across Flows, and so on.

一般に、集約されたフローのカウンターは、他のフローと同じように扱われます。各カウンターは、元のフローのパケットのセットから派生したかのように独立して計算されます。たとえば、デルタカウンターが合計され、取得された各元のフローの最新の合計数がフロー全体で合計されます。

When the Aggregation Interval is guaranteed to be longer than the longest Original Flow, a Flow can cross at most one Interval boundary, and will therefore contribute to at most two Aggregated Flows. Most common in this case is to arbitrarily but consistently choose to account the Original Flow's counters either to the first or to the last Aggregated Flow to which it could contribute.

集約間隔が最長の元のフローよりも長いことが保証されている場合、フローは最大で1つの間隔の境界を通過できるため、最大で2つの集約されたフローに寄与します。この場合の最も一般的なのは、元のフローのカウンターを、それが寄与する可能性のある最初または最後の集約フローのいずれかにカウントすることを任意ではありますが一貫して選択することです。

However, this becomes more complicated when the Aggregation Interval is shorter than the longest Original Flow in the source data. In such cases, each Original Flow can incompletely cover one or more time intervals, and apply to one or more Aggregated Flows. In this case, the Intermediate Aggregation Process must distribute the counters in the Original Flows across one or more resulting Aggregated Flows. There are several methods for doing this, listed here in roughly increasing order of complexity and accuracy; most of these are necessary only in specialized cases.

ただし、集計間隔がソースデータの元の最長フローよりも短い場合、これはさらに複雑になります。そのような場合、各元のフローは1つ以上の時間間隔を不完全にカバーし、1つ以上の集約されたフローに適用できます。この場合、中間集約プロセスは、元のフローのカウンターを、1つ以上の結果の集約フローに分散する必要があります。これを行うにはいくつかの方法があり、ここでは複雑さと正確さの大まかに昇順でリストされています。これらのほとんどは、特殊な場合にのみ必要です。

End Interval: The counters for an Original Flow are added to the counters of the appropriate Aggregated Flow containing the end time of the Original Flow.

終了間隔:元のフローのカウンターは、元のフローの終了時刻を含む適切な集約フローのカウンターに追加されます。

Start Interval: The counters for an Original Flow are added to the counters of the appropriate Aggregated Flow containing the start time of the Original Flow.

開始間隔:元のフローのカウンターは、元のフローの開始時刻を含む適切な集約フローのカウンターに追加されます。

Mid Interval: The counters for an Original Flow are added to the counters of a single appropriate Aggregated Flow containing some timestamp between start and end time of the Original Flow.

中間の間隔:元のフローのカウンターは、元のフローの開始時刻と終了時刻の間のタイムスタンプを含む単一の適切な集約フローのカウンターに追加されます。

Simple Uniform Distribution: Each counter for an Original Flow is divided by the number of time intervals the Original Flow covers (i.e., of appropriate Aggregated Flows sharing the same Flow Keys), and this number is added to each corresponding counter in each Aggregated Flow.

単純な均一分布:元のフローの各カウンターは、元のフローがカバーする(つまり、同じフローキーを共有する適切な集約フローの)時間間隔の数で除算され、この数が各集約フローの対応する各カウンターに追加されます。

Proportional Uniform Distribution: This is like simple uniform distribution, but accounts for the fractional portions of a time interval covered by an Original Flow in the first and last time interval. Each counter for an Original Flow is divided by the number of time _units_ the Original Flow covers, to derive a mean count rate. This rate is then multiplied by the number of time units in the intersection of the duration of the Original Flow and the time interval of each Aggregated Flow.

比例均一分布:これは単純な均一分布に似ていますが、最初と最後の時間間隔で元のフローによってカバーされる時間間隔の端数部分を考慮します。元のフローの各カウンターは、元のフローがカバーする時間数_単位_で除算され、平均カウントレートを導き出します。次に、このレートに、元のフローの継続時間と各集約フローの時間間隔の交点にある時間単位の数を掛けます。

Simulated Process: Each counter of the Original Flow is distributed among the intervals of the Aggregated Flows according to some function the Intermediate Aggregation Process uses based upon properties of Flows presumed to be like the Original Flow. For example, Flow Records representing bulk transfer might follow a more or less proportional uniform distribution, while interactive processes are far more bursty.

シミュレートされたプロセス:元のフローの各カウンターは、元のフローに似ていると推定されるフローのプロパティに基づいて中間集約プロセスが使用するいくつかの関数に従って、集約されたフローの間隔に分散されます。たとえば、一括転送を表すフローレコードは、多かれ少なかれ比例した均一分布に従う可能性がありますが、対話型プロセスははるかにバースト的です。

Direct: The Intermediate Aggregation Process has access to the original packet timings from the packets making up the Original Flow, and uses these to distribute or recalculate the counters.

直接:中間集約プロセスは、元のフローを構成するパケットからの元のパケットタイミングにアクセスし、これらを使用してカウンターを配布または再計算します。

A method for exporting the distribution of counters across multiple Aggregated Flows is detailed in Section 7.4. In any case, counters MUST be distributed across the multiple Aggregated Flows in such a way that the total count is preserved, within the limits of accuracy of the implementation. This property allows data to be aggregated and re-aggregated with negligible loss of original count information. To avoid confusion in interpretation of the aggregated data, all the counters in a given Aggregated Flow MUST be distributed via the same method.

複数の集約フローにまたがるカウンターの分布をエクスポートする方法は、セクション7.4で詳しく説明されています。いずれの場合も、実装の精度の制限内で合計数が維持されるように、カウンターを複数の集約フローに分散する必要があります。このプロパティを使用すると、元のカウント情報がほとんど失われることなく、データを集約および再集約できます。集約されたデータの解釈の混乱を避けるために、特定の集約されたフロー内のすべてのカウンターは、同じメソッドを介して配布される必要があります。

More complex counter distribution methods generally require that the interval distribution process track multiple "current" time intervals at once. This may introduce some delay into the aggregation operation, as an interval should only expire and be available for export when no additional Original Flows applying to the interval are expected to arrive at the Intermediate Aggregation Process.

より複雑なカウンター配布方法では、間隔配布プロセスで複数の「現在の」時間間隔を一度に追跡する必要があります。間隔に適用される追加の元のフローが中間集約プロセスに到着すると予想されない場合にのみ、間隔が期限切れになり、エクスポートに使用できるため、これにより、集約操作に多少の遅延が生じる可能性があります。

Note, however, that since there is no guarantee that Flows from the Original Exporter will arrive in any given order, whether for transport-specific reasons (i.e., UDP reordering) or reasons specific to the implementation of the Metering Process or Exporting Process, even simpler distribution methods may need to deal with Flows arriving in an order other than start time or end time. Therefore, the use of larger intervals does not obviate the need to buffer Partially Aggregated Flows within "current" time intervals, to ensure the IAP can accept Flow time intervals in any arrival order. More generally, the interval distribution process SHOULD accept Flow start and end times in the Original Flows in any reasonable order. The expiration of intervals in interval distribution operations is dependent on implementation and deployment requirements, and it MUST be made configurable in contexts in which "reasonable order" is not obvious at implementation time. This operation may lead to delay and loss introduced by the IAP, as detailed in Section 6.2.

ただし、元のエクスポーターからのフローが、トランスポート固有の理由(つまり、UDPの並べ替え)であろうと、メータリングプロセスまたはエクスポートプロセスの実装に固有の理由であろうと、特定の順序で到着する保証はないので注意してください。より単純な配布方法では、開始時刻または終了時刻以外の順序で到着するフローを処理する必要がある場合があります。したがって、より大きな間隔を使用しても、「現在の」時間間隔内で部分的に集約されたフローをバッファリングする必要がなくなり、IAPが任意の到着順にフロー時間間隔を受け入れることができるようになります。より一般的には、間隔分散プロセスは、元のフローのフローの開始時間と終了時間を適切な順序で受け入れる必要があります(SHOULD)。間隔分散操作の間隔の有効期限は、実装とデプロイメントの要件に依存し、実装時に「合理的な順序」が明確でないコンテキストで構成可能にする必要があります。セクション6.2で詳述されているように、この操作はIAPによって導入される遅延と損失につながる可能性があります。

5.1.2. Time Composition
5.1.2. 時間構成

Time Composition, as in Section 5.4 of [RFC5982] (or interval combination), is a special case of aggregation, where interval distribution imposes longer intervals on Flows with matching keys and "chained" start and end times, without any key reduction, in order to join long-lived Flows that may have been split (e.g., due to an active timeout shorter than the actual duration of the Flow). Here, no Key aggregation is applied, and the Aggregation Interval is chosen on a per-Flow basis to cover the interval spanned by the set of Aggregated Flows. This may be applied alone in order to normalize split Flows, or it may be applied in combination with other aggregation functions in order to obtain more accurate Original Flow counts.

[RFC5982]のセクション5.4(または間隔の組み合わせ)のような時間合成は、集計の特殊なケースです。ここで、間隔の分布は、一致するキーと「連鎖」された開始時間と終了時間を含むフローに長い間隔を課します。分割された可能性のある長期間有効なフローに参加するため(たとえば、アクティブなタイムアウトがフローの実際の期間よりも短いため)。ここでは、キー集約は適用されていません。集約間隔は、集約フローのセットがまたがる間隔をカバーするために、フローごとに選択されています。これは、分割されたフローを正規化するために単独で適用することも、より正確な元のフロー数を取得するために他の集計関数と組み合わせて適用することもできます。

5.1.3. External Interval Distribution
5.1.3. 外部間隔分布

Note that much of the difficulty of interval distribution at an IAP can be avoided simply by configuring the original Exporters to synchronize the time intervals in the Original Flows with the desired aggregation interval. The resulting Original Flows would then be split to align perfectly with the time intervals imposed during interval imposition, as shown in Figure 6, though this may reduce their usefulness for non-aggregation purposes. This approach allows the Intermediate Aggregation Process to use Start Interval or End Interval distribution, while having equivalent information to that available to direct interval distribution.

IAPでの間隔分散の困難さの多くは、元のフローの時間間隔を目的の集約間隔と同期するように元のエクスポーターを構成するだけで回避できることに注意してください。結果の元のフローは分割され、図6に示すように、間隔の強制中に課せられた時間間隔と完全に一致しますが、これは非集約目的での有用性を低下させる可能性があります。このアプローチにより、中間集約プロセスは、開始間隔または終了間隔の配布を使用でき、間隔配布を指示するために利用可能な情報と同等の情報を得ることができます。

   |                |                |                |
   |<----Flow D---->|<----Flow E---->|<----Flow F---->|
   |                |                |                |
   |   interval 0   |   interval 1   |   interval 2   |
        

Figure 6: Illustration of External Interval Distribution

図6:外部間隔分布の図

5.2. Spatial Aggregation of Flow Keys
5.2. フローキーの空間集計

Key aggregation generates a new set of Flow Key values for the Aggregated Flows from the Original Flow Key and non-key fields in the Original Flows or from correlation of the Original Flow information with some external source. There are two basic operations here. First, Aggregated Flow Keys may be derived directly from Original Flow Keys through reduction, or they may be derived by the dropping of fields or precision in the Original Flow Keys. Second, Aggregated Flow Keys may be derived through replacement, e.g., by removing one or more fields from the Original Flow and replacing them with fields derived from the removed fields. Replacement may refer to external information (e.g., IP to AS number mappings). Replacement may apply to Flow Keys as well as non-key fields. For example, consider an application that aggregates Original Flows by packet count (i.e., generating an Aggregated Flow for all one-packet Flows, one for all two-packet Flows, and so on). This application would promote the packet count to a Flow Key.

キー集約は、元のフローの元のフローキーと非キーフィールドから、または元のフロー情報と外部ソースとの相関から、集約フローの新しいフローキー値のセットを生成します。ここには2つの基本的な操作があります。第1に、集約フローキーは、元のフローキーからリダクションを介して直接派生させることも、元のフローキーのフィールドまたは精度をドロップすることによって派生させることもできます。第2に、集約されたフローキーは、たとえば、元のフローから1つ以上のフィールドを削除し、それらを削除されたフィールドから派生したフィールドで置き換えるなど、置換によって導出できます。交換は、外部情報(IPからAS番号へのマッピングなど)を参照する場合があります。置換は、フローキーと非キーフィールドに適用される場合があります。たとえば、元のフローをパケットカウントで集約するアプリケーションを考えます(つまり、すべての1パケットフロー、1つはすべて2パケットフローなどの集約フローを生成します)。このアプリケーションは、パケット数をフローキーに昇格させます。

Key aggregation may also result in the addition of new non-key fields to the Aggregated Flows, namely, Original Flow counters and unique reduced key counters. These are treated in more detail in Sections 5.2.1 and 5.2.2, respectively.

キーの集約により、集約されたフローに新しい非キーフィールド、つまり、元のフローカウンターと一意の削減されたキーカウンターが追加される場合もあります。これらについては、それぞれセクション5.2.1および5.2.2で詳しく説明します。

In any key aggregation operation, reduction and/or replacement may be applied any number of times in any order. Which of these operations are supported by a given implementation is implementation and application dependent.

任意のキー集約操作では、削減および/または置換は、任意の順序で何度でも適用できます。これらの操作のどれが特定の実装でサポートされているかは、実装とアプリケーションに依存します。

Original Flow Keys

元のフローキー

   +---------+---------+----------+----------+-------+-----+
   | src ip4 | dst ip4 | src port | dst port | proto | tos |
   +---------+---------+----------+----------+-------+-----+
        |         |         |          |         |      |
     retain   mask /24      X          X         X      X
        |         |
        V         V
   +---------+-------------+
   | src ip4 | dst ip4 /24 |
   +---------+-------------+
        

Aggregated Flow Keys (by source address and destination /24 network)

集約フローキー(送信元アドレスおよび宛先/ 24ネットワーク別)

Figure 7: Illustration of Key Aggregation by Reduction

図7:削減によるキー集約の図

Figure 7 illustrates an example reduction operation, aggregation by source address and destination /24 network. Here, the port, protocol, and type-of-service information is removed from the Flow Key, the source address is retained, and the destination address is masked by dropping the lower 8 bits.

図7は、送信元アドレスと宛先/ 24ネットワークによる集約操作の例を示しています。ここでは、ポート、プロトコル、サービスタイプの情報がフローキーから削除され、送信元アドレスが保持され、宛先アドレスは下位8ビットを削除することでマスクされます。

Original Flow Keys

元のフローキー

   +---------+---------+----------+----------+-------+-----+
   | src ip4 | dst ip4 | src port | dst port | proto | tos |
   +---------+---------+----------+----------+-------+-----+
        |         |         |          |         |      |
        V         V         |          |         |      |
   +-------------------+    X          X         X      X
   | ASN lookup table  |
   +-------------------+
        |         |
        V         V
   +---------+---------+
   | src asn | dst asn |
   +---------+---------+
        

Aggregated Flow Keys (by source and destination ASN)

集約フローキー(ソースおよび宛先ASNごと)

Figure 8: Illustration of Key Aggregation by Reduction and Replacement

図8:削減と置換によるキー集約の図

Figure 8 illustrates an example reduction and replacement operation, aggregation by source and destination Border Gateway Protocol (BGP) Autonomous System Number (ASN) without ASN information available in the Original Flow. Here, the port, protocol, and type-of-service information is removed from the Flow Keys, while the source and destination addresses are run though an IP address to ASN lookup table, and the Aggregated Flow Keys are made up of the resulting source and destination ASNs.

図8は、元のフローで利用可能なASN情報なしの送信元と宛先のボーダーゲートウェイプロトコル(BGP)自律システム番号(ASN)による集約と置換操作の例を示しています。ここでは、ポート、プロトコル、サービスタイプの情報がフローキーから削除され、送信元アドレスと宛先アドレスはIPアドレスからASNルックアップテーブルを介して実行され、集約されたフローキーは結果のソースで構成されます。および宛先ASN。

5.2.1. Counting Original Flows
5.2.1. 元のフローのカウント

When aggregating multiple Original Flows into an Aggregated Flow, it is often useful to know how many Original Flows are present in the Aggregated Flow. Section 7.2 introduces four new Information Elements to export these counters.

複数のオリジナルフローを1つの集約フローに集約する場合、集約フローに存在するオリジナルフローの数を知っておくと役立つことがよくあります。セクション7.2では、これらのカウンターをエクスポートするための4つの新しい情報要素を紹介しています。

There are two possible ways to count Original Flows, which we call conservative and non-conservative. Conservative Flow counting has the property that each Original Flow contributes exactly one to the total Flow count within a set of Aggregated Flows. In other words, conservative Flow counters are distributed just as any other counter during interval distribution, except each Original Flow is assumed to have a Flow count of one. When a count for an Original Flow must be distributed across a set of Aggregated Flows, and a distribution method is used that does not account for that Original Flow completely within a single Aggregated Flow, conservative Flow counting requires a fractional representation.

元のフローをカウントするには2つの方法があり、これを保守的と非保守的に呼びます。保守的なフローカウントには、各元のフローが、集約されたフローのセット内の合計フローカウントに1つだけ貢献するという特性があります。つまり、保守的なフローカウンターは、各元のフローのフローカウントが1であると想定されることを除いて、間隔分散中に他のカウンターと同じように分散されます。元のフローのカウントを集約フローのセット全体に分散する必要があり、単一の集約フロー内で元のフローを完全に考慮しない分散方法を使用する場合、保守的なフローのカウントには分数表現が必要です。

By contrast, non-conservative Flow counting is used to count how many Contributing Flows are represented in an Aggregated Flow. Flow counters are not distributed in this case. An Original Flow that is present within N Aggregated Flows would add N to the sum of non-conservative Flow counts, one to each Aggregated Flow. In other words, the sum of conservative Flow counts over a set of Aggregated Flows is always equal to the number of Original Flows, while the sum of non-conservative Flow counts is strictly greater than or equal to the number of Original Flows.

対照的に、非保守的なフローカウントは、集約されたフローで表現される寄与フローの数をカウントするために使用されます。この場合、フローカウンターは配布されません。 N個の集約フロー内に存在する元のフローは、各保守済みフローごとに1つずつ、非保守的なフローカウントの合計にNを追加します。つまり、一連の集約フローの保守的なフローカウントの合計は常に元のフローの数と同じですが、非保守的なフローカウントの合計は元のフローの数と厳密に等しいかそれ以上です。

For example, consider Flows A, B, and C as illustrated in Figure 5. Assume that the key aggregation step aggregates the keys of these three Flows to the same aggregated Flow Key, and that start interval counter distribution is in effect. The conservative Flow count for interval 0 is 3 (since Flows A, B, and C all begin in this interval), and for the other two intervals is 0. The non-conservative Flow count for interval 0 is also 3 (due to the presence of Flows A, B, and C), for interval 1 is 2 (Flows B and C), and for interval 2 is 1 (Flow C). The sum of the conservative counts 3 + 0 + 0 = 3, the number of Original Flows; while the sum of the non-conservative counts 3 + 2 + 1 = 6.

たとえば、図5に示すように、フローA、B、およびCについて考えます。キー集約ステップでこれら3つのフローのキーを同じ集約フローキーに集約し、開始間隔カウンターの配布が有効であるとします。間隔0の保守的なフローカウントは3(フローA、B、Cはすべてこの間隔で開始されるため)であり、他の2つの間隔は0です。間隔0の非保守的なフローカウントも3(フローA、B、Cの存在)、間隔1は2(フローBおよびC)、間隔2は1(フローC)です。保守的なカウントの合計3 + 0 + 0 = 3、元のフローの数。一方、非保守的な数の合計は3 + 2 + 1 = 6です。

Note that the active and inactive timeouts used to generate Original Flows, as well as the cache policy used to generate those Flows, have an effect on how meaningful either the conservative or non-conservative Flow count will be during aggregation. In general, Original Exporters using the IPFIX Configuration Model SHOULD be configured to export Flows with equal or similar activeTimeout and inactiveTimeout configuration values, and the same cacheMode, as defined in [RFC6728]. Original Exporters not using the IPFIX Configuration Model SHOULD be configured equivalently.

元のフローの生成に使用されるアクティブタイムアウトと非アクティブタイムアウト、およびそれらのフローの生成に使用されるキャッシュポリシーは、集約中の保守的または非保守的なフローカウントの意味に影響することに注意してください。一般に、IPFIX構成モデルを使用する元のエクスポーターは、[RFC6728]で定義されているように、等しいまたは類似のactiveTimeoutおよびinactiveTimeout構成値、および同じcacheModeを使用してフローをエクスポートするように構成する必要があります。 IPFIX構成モデルを使用しない元のエクスポーターは同等に構成する必要があります。

5.2.2. Counting Distinct Key Values
5.2.2. 個別のキー値のカウント

One common case in aggregation is counting distinct key values that were reduced away during key aggregation. The most common use case for this is counting distinct hosts per Flow Key; for example, in host characterization or anomaly detection, distinct sources per destination or distinct destinations per source are common metrics. These new non-key fields are added during key aggregation.

集計の一般的なケースの1つは、キーの集計中に削減された個別のキー値をカウントすることです。これの最も一般的な使用例は、フローキーごとに異なるホストをカウントすることです。たとえば、ホストの特性評価または異常検出では、宛先ごとに異なる送信元または送信元ごとに異なる宛先が一般的なメトリックです。これらの新しい非キーフィールドは、キーの集計中に追加されます。

For such applications, Information Elements for distinct counts of IPv4 and IPv6 addresses are defined in Section 7.3. These are named distinctCountOf(KeyName). Additional such Information Elements should be registered with IANA on an as-needed basis.

このようなアプリケーションの場合、IPv4アドレスとIPv6アドレスの異なる数の情報要素は、セクション7.3で定義されています。これらは、distinctCountOf(KeyName)という名前です。追加のそのような情報要素は、必要に応じてIANAに登録する必要があります。

5.3. Spatial Aggregation of Non-key Fields
5.3. 非キーフィールドの空間集計

Aggregation operations may also lead to the addition of value fields that are demoted from key fields or are derived from other value fields in the Original Flows. Specific cases of this are treated in the subsections below.

集計操作により、キーフィールドから降格したり、元のフローの他の値フィールドから派生した値フィールドが追加される場合もあります。これの特定のケースは、以下のサブセクションで扱われます。

5.3.1. Counter Statistics
5.3.1. カウンター統計

Some applications of aggregation may benefit from computing different statistics than those native to each non-key field (e.g., flags are natively combined via union and delta counters by summing). For example, minimum and maximum packet counts per Flow, mean bytes per packet per Contributing Flow, and so on. Certain Information Elements for these applications are already provided in the IANA IPFIX Information Elements registry [IANA-IPFIX] (e.g., minimumIpTotalLength).

集計の一部のアプリケーションは、各非キーフィールドに固有の統計とは異なる統計を計算することで利益を得る可能性があります(たとえば、フラグは、和によってユニオンカウンターとデルタカウンターを介してネイティブに結合されます)。たとえば、フローごとの最小および最大パケット数、寄与フローごとのパケットあたりの平均バイト数などです。これらのアプリケーションの特定の情報要素は、IANA IPFIX情報要素レジストリ[IANA-IPFIX](minimumIpTotalLengthなど)ですでに提供されています。

A complete specification of additional aggregate counter statistics is outside the scope of this document, and should be added in the future to the IANA IPFIX Information Elements registry on a per-application, as-needed basis.

追加の集計カウンター統計の完全な仕様はこのドキュメントの範囲外であり、将来的には必要に応じてアプリケーションごとにIANA IPFIX情報要素レジストリに追加する必要があります。

5.3.2. Derivation of New Values from Flow Keys and Non-key fields
5.3.2. フローキーと非キーフィールドからの新しい値の導出

More complex operations may lead to other derived fields being generated from the set of values or Flow Keys reduced away during aggregation. A prime example of this is sample entropy calculation. This counts distinct values and frequency, so it is similar to distinct key counting as in Section 5.2.2; however, it may be applied to the distribution of values for any Flow field.

より複雑な操作を行うと、値のセットから生成される他の派生フィールドまたはフローキーが集計中に削減されます。これの主な例は、サンプルのエントロピー計算です。これは個別の値と頻度をカウントするため、セクション5.2.2の個別のキーカウントと同様です。ただし、任意のフローフィールドの値の分布に適用できます。

Sample entropy calculation provides a one-number normalized representation of the value spread and is useful for anomaly detection. The behavior of entropy statistics is such that a small number of keys showing up very often drives the entropy value down towards zero, while a large number of keys, each showing up with lower frequency, drives the entropy value up.

サンプルエントロピー計算は、値の広がりの1数値の正規化された表現を提供し、異常検出に役立ちます。エントロピー統計の動作は、出現する少数のキーが非常に頻繁にエントロピー値をゼロに向かって低下させる一方で、多数のキーがそれぞれ低い頻度で出現することにより、エントロピー値を上昇させます。

Entropy statistics are generally useful for identifier keys, such as IP addresses, port numbers, AS numbers, etc. They can also be calculated on Flow length, Flow duration fields, and the like, even if this generally yields less distinct value shifts when the traffic mix changes.

エントロピー統計は一般に、IPアドレス、ポート番号、AS番号などの識別子キーに役立ちます。これらは、フロー長、フロー期間フィールドなどで計算することもできます。トラフィックミックスの変更。

As a practical example, one host scanning a lot of other hosts will drive source IP entropy down and target IP entropy up. A similar effect can be observed for ports. This pattern can also be caused by the scan-traffic of a fast Internet worm. A second example would be a Distributed Denial of Service (DDoS) flooding attack against a single target (or small number of targets) that drives source IP entropy up and target IP entropy down.

実際の例として、1つのホストが他の多くのホストをスキャンすると、ソースIPエントロピーが低下し、ターゲットIPエントロピーが上昇します。ポートでも同様の効果が見られます。このパターンは、高速インターネットワームのスキャントラフィックによっても発生します。 2番目の例は、単一のターゲット(または少数のターゲット)に対する分散型サービス拒否(DDoS)フラッディング攻撃で、ソースIPエントロピーを上げ、ターゲットIPエントロピーを下げます。

A complete specification of additional derived values or entropy Information Elements is outside the scope of this document. Any such Information Elements should be added in the future to the IANA IPFIX Information Elements registry on a per-application, as-needed basis.

追加の派生値またはエントロピー情報要素の完全な仕様は、このドキュメントの範囲外です。そのような情報要素は、将来、必要に応じてアプリケーションごとにIANA IPFIX情報要素レジストリに追加する必要があります。

5.4. Aggregation Combination
5.4. 集約の組み合わせ

Interval distribution and key aggregation together may generate multiple Partially Aggregated Flows covering the same time interval with the same set of Flow Key values. The process of combining these Partially Aggregated Flows into a single Aggregated Flow is called aggregation combination. In general, non-Key values from multiple Contributing Flows are combined using the same operation by which values are combined from packets to form Flows for each Information Element. Delta counters are summed, flags are unioned, and so on.

間隔分散とキー集約により、同じフローキー値のセットで同じ時間間隔をカバーする複数の部分的に集約されたフローが生成される場合があります。これらの部分的に集約されたフローを単一の集約されたフローに組み合わせるプロセスは、集約の組み合わせと呼ばれます。一般に、複数の寄与フローからの非キー値は、同じ情報を使用して結合されます。これにより、値がパケットから結合されて、各情報要素のフローが形成されます。デルタカウンターは合計され、フラグは結合されます。

6. Additional Considerations and Special Cases in Flow Aggregation
6. フロー集約における追加の考慮事項と特殊なケース
6.1. Exact versus Approximate Counting during Aggregation
6.1. 集計中の正確なカウントと概算

In certain circumstances, particularly involving aggregation by devices with limited resources, and in situations where exact aggregated counts are less important than relative magnitudes (e.g., driving graphical displays), counter distribution during key aggregation may be performed by approximate counting means (e.g., Bloom filters). The choice to use approximate counting is implementation and application dependent.

特定の状況、特にリソースが限られているデバイスによる集約が関係している場合、および正確な集約カウントが相対的な大きさよりも重要でない状況(たとえば、グラフィック表示の駆動)では、キー集約中のカウンター配布は、概算のカウント手段(Bloomなど)によって実行されます。フィルター)。概算カウントの使用の選択は、実装とアプリケーションに依存します。

6.2. Delay and Loss Introduced by the IAP
6.2. IAPによって導入される遅延と損失

When accepting Original Flows in export order from traffic captured live, the Intermediate Aggregation Process waits for all Original Flows that may contribute to a given interval during interval distribution. This is generally dominated by the active timeout of the Metering Process measuring the Original Flows. For example, with Metering Processes configured with a five-minute active timeout, the Intermediate Aggregation Process introduces a delay of at least five minutes to all exported Aggregated Flows to ensure it has received all Original Flows. Note that when aggregating Flows from multiple Metering Processes with different active timeouts, the delay is determined by the maximum active timeout.

ライブキャプチャされたトラフィックからエクスポートフローで元のフローを受け入れる場合、中間集約プロセスは、間隔分散中に特定の間隔に寄与する可能性があるすべての元のフローを待ちます。これは通常、元のフローを測定するメータリングプロセスのアクティブタイムアウトによって支配されます。たとえば、5分のアクティブタイムアウトで構成されたメータリングプロセスでは、中間集約プロセスは、すべてのエクスポートされた集約フローに少なくとも5分の遅延を導入して、すべての元のフローを確実に受信したことを確認します。アクティブタイムアウトが異なる複数のメータリングプロセスからのフローを集約する場合、遅延は最大アクティブタイムアウトによって決定されることに注意してください。

In certain circumstances, additional delay at the original Exporter may cause an IAP to close an interval before the last Original Flow(s) accountable to the interval arrives. In this case, the IAP MAY drop the late Original Flow(s). Accounting of Flows lost at an Intermediate Process due to such issues is covered in [IPFIX-MED-PROTO].

特定の状況では、元のエクスポーターでの追加の遅延により、間隔に責任がある最後の元のフローが到着する前に、IAPが間隔を閉じることがあります。この場合、IAPは遅いオリジナルフローをドロップする場合があります。このような問題が原因で中間プロセスで失われたフローのアカウンティングは、[IPFIX-MED-PROTO]でカバーされています。

6.3. Considerations for Aggregation of Sampled Flows
6.3. サンプリングされたフローの集約に関する考慮事項

The accuracy of Aggregated Flows may also be affected by sampling of the Original Flows, or sampling of packets making up the Original Flows. At the time of writing, the effect of sampling on Flow aggregation is still an open research question. However, to maximize the comparability of Aggregated Flows, aggregation of sampled Flows should only be applied to Original Flows sampled using the same sampling rate and sampling algorithm, Flows created from packets sampled using the same sampling rate and sampling algorithm, or Original Flows that have been normalized as if they had the same sampling rate and algorithm before aggregation. For more on packet sampling within IPFIX, see [RFC5476]. For more on Flow sampling within the IPFIX Mediator framework, see [RFC7014].

集約フローの精度は、元のフローのサンプリング、または元のフローを構成するパケットのサンプリングによっても影響を受ける場合があります。これを書いている時点では、サンプリングがフローの集計に与える影響は、未解決の研究課題です。ただし、集約されたフローの比較可能性を最大にするために、サンプリングされたフローの集約は、同じサンプリングレートとサンプリングアルゴリズムを使用してサンプリングされた元のフロー、同じサンプリングレートとサンプリングアルゴリズムを使用してサンプリングされたパケットから作成されたフロー、または集約前のサンプリングレートとアルゴリズムが同じであるかのように正規化されます。 IPFIX内のパケットサンプリングの詳細については、[RFC5476]を参照してください。 IPFIX Mediatorフレームワーク内のフローサンプリングの詳細については、[RFC7014]を参照してください。

6.4. Considerations for Aggregation of Heterogeneous Flows
6.4. 不均一なフローの集約に関する考慮事項

Aggregation may be applied to Original Flows from different sources and of different types (i.e., represented using different, perhaps wildly different Templates). When the goal is to separate the heterogeneous Original Flows and aggregate them into heterogeneous Aggregated Flows, each aggregation should be done at its own Intermediate Aggregation Process. The Observation Domain ID on the Messages containing the output Aggregated Flows can be used to identify the different Processes and to segregate the output.

集約は、さまざまなソースからのさまざまなタイプの元のフローに適用できます(つまり、さまざまな、おそらく大きく異なるテンプレートを使用して表されます)。異種の元のフローを分離して異種の集約フローに集約することが目的である場合、各集約は独自の中間集約プロセスで実行する必要があります。出力集約フローを含むメッセージの監視ドメインIDを使用して、さまざまなプロセスを識別し、出力を分離できます。

However, when the goal is to aggregate these Flows into a single stream of Aggregated Flows representing one type of data, and if the Original Flows may represent the same original packet at two different Observation Points, the Original Flows should be correlated by the correlation and normalization operation within the IAP to ensure that each packet is only represented in a single Aggregated Flow or set of Aggregated Flows differing only by aggregation interval.

ただし、これらのフローを1つのタイプのデータを表す集約されたフローの単一のストリームに集約することが目標であり、元のフローが2つの異なる観測ポイントで同じ元のパケットを表す可能性がある場合、元のフローは相関とIAP内の正規化操作により、各パケットが単一の集約フローまたは集約間隔のみが異なる一連の集約フローでのみ表現されるようにします。

7. Export of Aggregated IP Flows Using IPFIX
7. IPFIXを使用した集約IPフローのエクスポート

In general, Aggregated Flows are exported in IPFIX as any other Flow. However, certain aspects of Aggregated Flow export benefit from additional guidelines or new Information Elements to represent aggregation metadata or information generated during aggregation. These are detailed in the following subsections.

一般に、集約されたフローは、他のフローと同様にIPFIXにエクスポートされます。ただし、集約されたフローのエクスポートの特定の側面は、追加のガイドラインまたは新しい情報要素の恩恵を受けて、集約メタデータまたは集約中に生成される情報を表します。これらについては、以下のサブセクションで詳しく説明します。

7.1. Time Interval Export
7.1. 時間間隔エクスポート

Since an Aggregated Flow is simply a Flow, the existing timestamp Information Elements in the IPFIX Information Model (e.g., flowStartMilliseconds, flowEndNanoseconds) are sufficient to specify the time interval for aggregation. Therefore, no new aggregation-specific Information Elements for exporting time interval information are necessary.

集約されたフローは単なるフローであるため、IPFIX情報モデルの既存のタイムスタンプ情報要素(flowStartMilliseconds、flowEndNanosecondsなど)で、集約の時間間隔を指定できます。したがって、時間間隔情報をエクスポートするための新しい集約固有の情報要素は必要ありません。

Each Aggregated Flow carrying timing information SHOULD contain both an interval start and interval end timestamp.

タイミング情報を伝送する各集約フローには、インターバル開始タイムスタンプとインターバル終了タイムスタンプの両方を含める必要があります(SHOULD)。

7.2. Flow Count Export
7.2. フローカウントエクスポート

The following four Information Elements are defined to count Original Flows as discussed in Section 5.2.1.

セクション5.2.1で説明したように、次の4つの情報要素は、元のフローをカウントするために定義されています。

7.2.1. originalFlowsPresent
7.2.1. originalFlowsPresent

Description: The non-conservative count of Original Flows contributing to this Aggregated Flow. Non-conservative counts need not sum to the original count on re-aggregation.

説明:この集約フローに寄与している元のフローの非保守的な数。非保守的なカウントは、再集計時に元のカウントと合計する必要はありません。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: deltaCounter

データ型のセマンティクス:deltaCounter

ElementID: 375

ElementID:375

7.2.2. originalFlowsInitiated
7.2.2. originalFlowsInitiated

Description: The conservative count of Original Flows whose first packet is represented within this Aggregated Flow. Conservative counts must sum to the original count on re-aggregation.

説明:最初のパケットがこの集約フロー内で表される元のフローの控えめな数。保守的なカウントは、再集計時に元のカウントと合計する必要があります。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: deltaCounter

データ型のセマンティクス:deltaCounter

ElementID: 376

ElementID:376

7.2.3. originalFlowsCompleted
7.2.3. originalFlowsCompleted

Description: The conservative count of Original Flows whose last packet is represented within this Aggregated Flow. Conservative counts must sum to the original count on re-aggregation.

説明:最後のパケットがこの集約フロー内で表される元のフローの控えめな数。保守的なカウントは、再集計時に元のカウントと合計する必要があります。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: deltaCounter

データ型のセマンティクス:deltaCounter

ElementID: 377

ElementID:377

7.2.4. deltaFlowCount
7.2.4. deltaFlowCount

Description: The conservative count of Original Flows contributing to this Aggregated Flow; may be distributed via any of the methods expressed by the valueDistributionMethod Information Element.

説明:この集約されたフローに寄与する元のフローの控えめなカウント。 valueDistributionMethod情報要素で表される任意のメソッドを介して配布できます。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: deltaCounter

データ型のセマンティクス:deltaCounter

ElementID: 3

ElementID:3

7.3. Distinct Host Export
7.3. 異なるホストのエクスポート

The following six Information Elements represent the distinct counts of source and destination network-layer addresses used to export distinct host counts reduced away during key aggregation.

次の6つの情報要素は、キー集約中に削減された個別のホスト数をエクスポートするために使用される送信元と宛先のネットワーク層アドレスの個別数を表します。

7.3.1. distinctCountOfSourceIPAddress
7.3.1. distinctCountOfSourceIPAddress

Description: The count of distinct source IP address values for Original Flows contributing to this Aggregated Flow, without regard to IP version. This Information Element is preferred to the IP-version-specific counters, unless it is important to separate the counts by version.

説明:IPバージョンに関係なく、この集約フローに関与する元のフローの個別の送信元IPアドレス値の数。バージョンごとにカウントを分けることが重要でない限り、この情報要素はIPバージョン固有のカウンターよりも優先されます。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 378

ElementID:378

7.3.2. distinctCountOfDestinationIPAddress
7.3.2. distinctCountOfDestinationIPAddress

Description: The count of distinct destination IP address values for Original Flows contributing to this Aggregated Flow, without regard to IP version. This Information Element is preferred to the version-specific counters below, unless it is important to separate the counts by version.

説明:IPバージョンに関係なく、この集約フローに関与する元のフローの個別の宛先IPアドレス値の数。この情報要素は、バージョンごとにカウントを分けることが重要でない限り、以下のバージョン固有のカウンターよりも優先されます。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 379

ElementID:379

7.3.3. distinctCountOfSourceIPv4Address
7.3.3. distinctCountOfSourceIPv4Address

Description: The count of distinct source IPv4 address values for Original Flows contributing to this Aggregated Flow.

説明:この集約されたフローに関与する元のフローの個別のソースIPv4アドレス値の数。

Abstract Data Type: unsigned32

抽象データ型:unsigned32

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 380

ElementID:380

7.3.4. distinctCountOfDestinationIPv4Address
7.3.4. distinctCountOfDestinationIPv4Address

Description: The count of distinct destination IPv4 address values for Original Flows contributing to this Aggregated Flow.

説明:この集約フローに関与する元のフローの個別の宛先IPv4アドレス値の数。

Abstract Data Type: unsigned32

抽象データ型:unsigned32

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 381

ElementID:381

7.3.5. distinctCountOfSourceIPv6Address
7.3.5. distinctCountOfSourceIPv6Address

Description: The count of distinct source IPv6 address values for Original Flows contributing to this Aggregated Flow.

説明:この集約フローに関与している元のフローの個別のソースIPv6アドレス値の数。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 382

ElementID:382

7.3.6. distinctCountOfDestinationIPv6Address
7.3.6. differentCountOfDestinationIPv6Address

Description: The count of distinct destination IPv6 address values for Original Flows contributing to this Aggregated Flow.

説明:この集約フローに関与する元のフローの個別の宛先IPv6アドレス値の数。

Abstract Data Type: unsigned64

抽象データ型:unsigned64

Data Type Semantics: totalCounter

データ型セマンティクス:totalCounter

ElementID: 383

ElementID:383

7.4. Aggregate Counter Distribution Export
7.4. 集計カウンター分布のエクスポート

When exporting counters distributed among Aggregated Flows, as described in Section 5.1.1, the Exporting Process MAY export an Aggregate Counter Distribution Option Record for each Template describing Aggregated Flow records; this Options Template is described below. It uses the valueDistributionMethod Information Element, also defined below. Since, in many cases, distribution is simple, accounting the counters from Contributing Flows to the first Interval to which they contribute, this is the default situation, for which no Aggregate Counter Distribution Record is necessary; Aggregate Counter Distribution Records are only applicable in more exotic situations, such as using an Aggregation Interval smaller than the durations of Original Flows.

セクション5.1.1で説明されているように、集約されたフロー間で分散されたカウンターをエクスポートする場合、エクスポートプロセスは、集約されたフローレコードを記述する各テンプレートの集約カウンター配布オプションレコードをエクスポートできます。このオプションテンプレートについては、以下で説明します。 valueDistributionMethod情報要素を使用します。これも以下で定義されます。多くの場合、分布は単純で、寄与フローから寄与する最初の間隔までのカウンターを考慮しているため、これはデフォルトの状況であり、集計カウンター分布レコードは必要ありません。集計カウンター配布レコードは、元のフローの期間よりも短い集計間隔を使用するなど、より特殊な状況でのみ適用できます。

7.4.1. Aggregate Counter Distribution Options Template
7.4.1. 集計カウンター配布オプションテンプレート

This Options Template defines the Aggregate Counter Distribution Record, which allows the binding of a value distribution method to a Template ID. The scope is the Template ID, whose uniqueness, per [RFC7011], is local to the Transport Session and Observation Domain that generated the Template ID. This is used to signal to the Collecting Process how the counters were distributed. The fields are as below:

このオプションテンプレートは、集計カウンター配布レコードを定義します。これにより、値配布方法をテンプレートIDにバインドできます。スコープはテンプレートIDであり、その一意性は[RFC7011]に従い、テンプレートIDを生成したトランスポートセッションおよび監視ドメインに対してローカルです。これは、カウンターがどのように配分されたかを収集プロセスに通知するために使用されます。フィールドは次のとおりです。

   +-----------------------------+-------------------------------------+
   | IE                          | Description                         |
   +-----------------------------+-------------------------------------+
   | templateId [scope]          | The Template ID of the Template     |
   |                             | defining the Aggregated Flows to    |
   |                             | which this distribution option      |
   |                             | applies.  This Information Element |
   |                             | MUST be defined as a Scope field.   |
   | valueDistributionMethod     | The method used to distribute the   |
   |                             | counters for the Aggregated Flows   |
   |                             | defined by the associated Template. |
   +-----------------------------+-------------------------------------+
        
7.4.2. valueDistributionMethod Information Element
7.4.2. valueDistributionMethod情報要素

Description: A description of the method used to distribute the counters from Contributing Flows into the Aggregated Flow records described by an associated scope, generally a Template. The method is deemed to apply to all the non-Key Information Elements in the referenced scope for which value distribution is a valid operation; if the originalFlowsInitiated and/or originalFlowsCompleted Information Elements appear in the Template, they are not subject to this distribution method, as they each infer their own distribution method. This is intended to be a complete set of possible value distribution methods; it is encoded as follows:

説明:寄与フローからのカウンターを、関連するスコープ(通常はテンプレート)によって記述された集約フローレコードに配布するために使用される方法の説明。このメソッドは、値の分布が有効な操作である、参照されるスコープ内のすべての非キー情報要素に適用されると見なされます。 originalFlowsInitiatedおよび/またはoriginalFlowsCompleted情報要素がテンプレートに表示される場合、それらはそれぞれ独自の配布方法を推測するため、この配布方法の対象ではありません。これは、可能な値の分散方法の完全なセットであることを意図しています。次のようにエンコードされます。

   +-------+-----------------------------------------------------------+
   | Value | Description                                               |
   +-------+-----------------------------------------------------------+
   | 0     | Unspecified: The counters for an Original Flow are        |
   |       | explicitly not distributed according to any other method  |
   |       | defined for this Information Element; use for arbitrary   |
   |       | distribution, or distribution algorithms not described by |
   |       | any other codepoint.                                      |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 1     | Start Interval: The counters for an Original Flow are     |
   |       | added to the counters of the appropriate Aggregated Flow  |
   |       | containing the start time of the Original Flow.  This     |
   |       | should be assumed the default if value distribution       |
   |       | information is not available at a Collecting Process for  |
   |       | an Aggregated Flow.                                       |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 2     | End Interval: The counters for an Original Flow are added |
   |       | to the counters of the appropriate Aggregated Flow        |
   |       | containing the end time of the Original Flow.             |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 3     | Mid Interval: The counters for an Original Flow are added |
   |       | to the counters of a single appropriate Aggregated Flow   |
   |       | containing some timestamp between start and end time of   |
   |       | the Original Flow.                                        |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 4     | Simple Uniform Distribution: Each counter for an Original |
   |       | Flow is divided by the number of time intervals the       |
   |       | Original Flow covers (i.e., of appropriate Aggregated     |
   |       | Flows sharing the same Flow Key), and this number is      |
   |       | added to each corresponding counter in each Aggregated    |
   |       | Flow.                                                     |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 5     | Proportional Uniform Distribution: Each counter for an    |
   |       | Original Flow is divided by the number of time units the  |
   |       | Original Flow covers, to derive a mean count rate.  This  |
   |       | mean count rate is then multiplied by the number of time  |
   |       | units in the intersection of the duration of the Original |
   |       | Flow and the time interval of each Aggregated Flow.       |
   |       |  This is like simple uniform distribution, but accounts   |
   |       | for the fractional portions of a time interval covered by |
   |       | an Original Flow in the first and last time interval.     |
   |       | --------------------------------------------------------- |
        
   |       | --------------------------------------------------------- |
   | 6     | Simulated Process: Each counter of the Original Flow is   |
   |       | distributed among the intervals of the Aggregated Flows   |
   |       | according to some function the Intermediate Aggregation   |
   |       | Process uses based upon properties of Flows presumed to   |
   |       | be like the Original Flow.  This is essentially an        |
   |       | assertion that the Intermediate Aggregation Process has   |
   |       | no direct packet timing information but is nevertheless   |
   |       | not using one of the other simpler distribution methods.  |
   |       | The Intermediate Aggregation Process specifically makes   |
   |       | no assertion as to the correctness of the simulation.     |
   |       | --------------------------------------------------------- |
   |       |                                                           |
   | 7     | Direct: The Intermediate Aggregation Process has access   |
   |       | to the original packet timings from the packets making up |
   |       | the Original Flow, and uses these to distribute or        |
   |       | recalculate the counters.                                 |
   +-------+-----------------------------------------------------------+
        

Abstract Data Type: unsigned8

抽象データ型:unsigned8

ElementID: 384

ElementID:384

8. Examples
8. 例

In these examples, the same data, described by the same Template, will be aggregated multiple different ways; this illustrates the various different functions that could be implemented by Intermediate Aggregation Processes. Templates are shown in IESpec format as introduced in [RFC7013]. The source data format is a simplified Flow: timestamps, traditional 5-tuple, and octet count; the Flow Key fields are the 5-tuple. The Template is shown in Figure 9.

これらの例では、同じテンプレートで記述された同じデータが複数の異なる方法で集約されます。これは、中間集計プロセスによって実装できるさまざまな機能を示しています。テンプレートは、[RFC7013]で導入されたIESpec形式で表示されます。ソースデータ形式は単純化されたフローです。タイムスタンプ、従来の5タプル、オクテットカウント。フローキーフィールドは5タプルです。テンプレートを図9に示します。

   flowStartMilliseconds(152)[8]
   flowEndMilliseconds(153)[8]
   sourceIPv4Address(8)[4]{key}
   destinationIPv4Address(12)[4]{key}
   sourceTransportPort(7)[2]{key}
   destinationTransportPort(11)[2]{key}
   protocolIdentifier(4)[1]{key}
   octetDeltaCount(1)[8]
        

Figure 9: Input Template for Examples

図9:例の入力テンプレート

The data records given as input to the examples in this section are shown below; timestamps are given in H:MM:SS.sss format. In this and subsequent figures, flowStartMilliseconds is shown in H:MM:SS.sss format as 'start time', flowEndMilliseconds is shown in H:MM:SS.sss format as 'end time', sourceIPv4Address is shown as 'source ip4' with the following 'port' representing sourceTransportPort, destinationIPv4Address is shown as 'dest ip4' with the following 'port' representing destinationTransportPort, protocolIdentifier is shown as 'pt', and octetDeltaCount as 'oct'.

このセクションの例への入力として指定されたデータレコードを以下に示します。タイムスタンプはH:MM:SS.sss形式で指定されます。この図と後続の図では、flowStartMillisecondsはH:MM:SS.sss形式で「開始時刻」として示され、flowEndMillisecondsはH:MM:SS.sss形式で「終了時刻」として示され、sourceIPv4Addressは「source ip4」として示されます。次の「port」がsourceTransportPortを表し、destinationIPv4Addressが「dest ip4」として表示され、次の「port」がdestinationTransportPortを表し、protocolIdentifierが「pt」、octetDeltaCountが「oct」として表示されます。

  start time |end time   |source ip4 |port |dest ip4      |port|pt|  oct
  9:00:00.138 9:00:00.138 192.0.2.2   47113 192.0.2.131    53   17   119
  9:00:03.246 9:00:03.246 192.0.2.2   22153 192.0.2.131    53   17    83
  9:00:00.478 9:00:03.486 192.0.2.2   52420 198.51.100.2   443  6   1637
  9:00:07.172 9:00:07.172 192.0.2.3   56047 192.0.2.131    53   17   111
  9:00:07.309 9:00:14.861 192.0.2.3   41183 198.51.100.67  80   6  16838
  9:00:03.556 9:00:19.876 192.0.2.2   17606 198.51.100.68  80   6  11538
  9:00:25.210 9:00:25.210 192.0.2.3   47113 192.0.2.131    53   17   119
  9:00:26.358 9:00:30.198 192.0.2.3   48458 198.51.100.133 80   6   2973
  9:00:29.213 9:01:00.061 192.0.2.4   61295 198.51.100.2   443  6   8350
  9:04:00.207 9:04:04.431 203.0.113.3 41256 198.51.100.133 80   6    778
  9:03:59.624 9:04:06.984 203.0.113.3 51662 198.51.100.3   80   6    883
  9:00:30.532 9:06:15.402 192.0.2.2   37581 198.51.100.2   80   6  15420
  9:06:56.813 9:06:59.821 203.0.113.3 52572 198.51.100.2   443  6   1637
  9:06:30.565 9:07:00.261 203.0.113.3 49914 198.51.100.133 80   6    561
  9:06:55.160 9:07:05.208 192.0.2.2   50824 198.51.100.2   443  6   1899
  9:06:49.322 9:07:05.322 192.0.2.3   34597 198.51.100.3   80   6   1284
  9:07:05.849 9:07:09.625 203.0.113.3 58907 198.51.100.4   80   6   2670
  9:10:45.161 9:10:45.161 192.0.2.4   22478 192.0.2.131    53   17    75
  9:10:45.209 9:11:01.465 192.0.2.4   49513 198.51.100.68  80   6   3374
  9:10:57.094 9:11:00.614 192.0.2.4   64832 198.51.100.67  80   6    138
  9:10:59.770 9:11:02.842 192.0.2.3   60833 198.51.100.69  443  6   2325
  9:02:18.390 9:13:46.598 203.0.113.3 39586 198.51.100.17  80   6  11200
  9:13:53.933 9:14:06.605 192.0.2.2   19638 198.51.100.3   80   6   2869
  9:13:02.864 9:14:08.720 192.0.2.3   40429 198.51.100.4   80   6  18289
        

Figure 10: Input Data for Examples

図10:例の入力データ

8.1. Traffic Time Series per Source
8.1. ソースごとのトラフィック時系列

Aggregating Flows by source IP address in time series (i.e., with a regular interval) can be used in subsequent heavy-hitter analysis and as a source parameter for statistical anomaly detection techniques. Here, the Intermediate Aggregation Process imposes an interval, aggregates the key to remove all key fields other than the source IP address, then combines the result into a stream of Aggregated Flows. The imposed interval of five minutes is longer than the majority of Flows; for those Flows crossing interval boundaries, the entire Flow is accounted to the interval containing the start time of the Flow.

時系列のソースIPアドレスによるフローの集約(つまり、定期的な間隔)は、後続のヘビーヒッター分析で、統計異常検出手法のソースパラメーターとして使用できます。ここで、中間集約プロセスは間隔を課し、キーを集約して送信元IPアドレス以外のすべてのキーフィールドを削除し、結果を集約フローのストリームに結合します。課された5分の間隔は、大部分のフローよりも長くなります。間隔の境界を越えるフローの場合、フロー全体は、フローの開始時間を含む間隔に含まれます。

In this example, the Partially Aggregated Flows after each conceptual operation in the Intermediate Aggregation Process are shown. These are meant to be illustrative of the conceptual operations only, and not to suggest an implementation (indeed, the example shown here would not necessarily be the most efficient method for performing these operations). Subsequent examples will omit the Partially Aggregated Flows for brevity.

この例では、中間集約プロセスの各概念的な操作後の部分的に集約されたフローが示されています。これらは、概念的な操作のみを説明するためのものであり、実装を示唆するものではありません(実際、ここに示す例は、必ずしもこれらの操作を実行するための最も効率的な方法とは限りません)。以降の例では、簡潔にするために部分的に集約されたフローを省略します。

The input to this process could be any Flow Record containing a source IP address and octet counter; consider for this example the Template and data from the introduction. The Intermediate Aggregation Process would then output records containing just timestamps, source IP, and octetDeltaCount, as in Figure 11.

このプロセスへの入力は、ソースIPアドレスとオクテットカウンターを含む任意のフローレコードです。この例では、概要のテンプレートとデータを検討してください。中間集計プロセスは、図11に示すように、タイムスタンプ、ソースIP、およびoctetDeltaCountのみを含むレコードを出力します。

   flowStartMilliseconds(152)[8]
   flowEndMilliseconds(153)[8]
   sourceIPv4Address(8)[4]
   octetDeltaCount(1)[8]
        

Figure 11: Output Template for Time Series per Source

図11:ソースごとの時系列の出力テンプレート

Assume the goal is to get 5-minute (300 s) time series of octet counts per source IP address. The aggregation operations would then be arranged as in Figure 12.

ソースIPアドレスごとに5分間(300秒)の時系列オクテットカウントを取得することが目標であると想定します。集約操作は、図12のように配置されます。

                    Original Flows
                          |
                          V
              +-----------------------+
              | interval distribution |
              |  * impose uniform     |
              |    300s time interval |
              +-----------------------+
                  |
                  | Partially Aggregated Flows
                  V
   +------------------------+
   |  key aggregation       |
   |   * reduce key to only |
   |     sourceIPv4Address  |
   +------------------------+
                  |
                  | Partially Aggregated Flows
                  V
             +-------------------------+
             |  aggregate combination  |
             |   * sum octetDeltaCount |
             +-------------------------+
                          |
                          V
                  Aggregated Flows
        

Figure 12: Aggregation Operations for Time Series per Source

図12:ソースごとの時系列の集計操作

After applying the interval distribution step to the source data in Figure 10, only the time intervals have changed; the Partially Aggregated Flows are shown in Figure 13. Note that interval distribution follows the default Start Interval policy; that is, the entire Flow is accounted to the interval containing the Flow's start time.

図10のソースデータに間隔分布ステップを適用した後、時間間隔のみが変更されました。部分的に集約されたフローを図13に示します。間隔分散はデフォルトの開始間隔ポリシーに従うことに注意してください。つまり、フロー全体は、フローの開始時間を含む間隔に含まれます。

  start time |end time   |source ip4 |port |dest ip4      |port|pt|  oct
  9:00:00.000 9:05:00.000 192.0.2.2   47113 192.0.2.131    53   17   119
  9:00:00.000 9:05:00.000 192.0.2.2   22153 192.0.2.131    53   17    83
  9:00:00.000 9:05:00.000 192.0.2.2   52420 198.51.100.2   443  6   1637
  9:00:00.000 9:05:00.000 192.0.2.3   56047 192.0.2.131    53   17   111
  9:00:00.000 9:05:00.000 192.0.2.3   41183 198.51.100.67  80   6  16838
  9:00:00.000 9:05:00.000 192.0.2.2   17606 198.51.100.68  80   6  11538
  9:00:00.000 9:05:00.000 192.0.2.3   47113 192.0.2.131    53   17   119
  9:00:00.000 9:05:00.000 192.0.2.3   48458 198.51.100.133 80   6   2973
  9:00:00.000 9:05:00.000 192.0.2.4   61295 198.51.100.2   443  6   8350
  9:00:00.000 9:05:00.000 203.0.113.3 41256 198.51.100.133 80   6    778
  9:00:00.000 9:05:00.000 203.0.113.3 51662 198.51.100.3   80   6    883
  9:00:00.000 9:05:00.000 192.0.2.2   37581 198.51.100.2   80   6  15420
  9:00:00.000 9:05:00.000 203.0.113.3 39586 198.51.100.17  80   6  11200
  9:05:00.000 9:10:00.000 203.0.113.3 52572 198.51.100.2   443  6   1637
  9:05:00.000 9:10:00.000 203.0.113.3 49914 197.51.100.133 80   6    561
  9:05:00.000 9:10:00.000 192.0.2.2   50824 198.51.100.2   443  6   1899
  9:05:00.000 9:10:00.000 192.0.2.3   34597 198.51.100.3   80   6   1284
  9:05:00.000 9:10:00.000 203.0.113.3 58907 198.51.100.4   80   6   2670
  9:10:00.000 9:15:00.000 192.0.2.4   22478 192.0.2.131    53   17    75
  9:10:00.000 9:15:00.000 192.0.2.4   49513 198.51.100.68  80   6   3374
  9:10:00.000 9:15:00.000 192.0.2.4   64832 198.51.100.67  80   6    138
  9:10:00.000 9:15:00.000 192.0.2.3   60833 198.51.100.69  443  6   2325
  9:10:00.000 9:15:00.000 192.0.2.2   19638 198.51.100.3   80   6   2869
  9:10:00.000 9:15:00.000 192.0.2.3   40429 198.51.100.4   80   6  18289
        

Figure 13: Interval Imposition for Time Series per Source

図13:ソースごとの時系列の間隔の面付け

After the key aggregation step, all Flow Keys except the source IP address have been discarded, as shown in Figure 14. This leaves duplicate Partially Aggregated Flows to be combined in the final operation.

キー集約ステップの後、図14に示すように、送信元IPアドレスを除くすべてのフローキーが破棄されました。これにより、重複する部分的に集約されたフローが最終的な操作で結合されたままになります。

   start time |end time   |source ip4 |octets
   9:00:00.000 9:05:00.000 192.0.2.2      119
   9:00:00.000 9:05:00.000 192.0.2.2       83
   9:00:00.000 9:05:00.000 192.0.2.2     1637
   9:00:00.000 9:05:00.000 192.0.2.3      111
   9:00:00.000 9:05:00.000 192.0.2.3    16838
   9:00:00.000 9:05:00.000 192.0.2.2    11538
   9:00:00.000 9:05:00.000 192.0.2.3      119
   9:00:00.000 9:05:00.000 192.0.2.3     2973
   9:00:00.000 9:05:00.000 192.0.2.4     8350
   9:00:00.000 9:05:00.000 203.0.113.3    778
   9:00:00.000 9:05:00.000 203.0.113.3    883
   9:00:00.000 9:05:00.000 192.0.2.2    15420
   9:00:00.000 9:05:00.000 203.0.113.3  11200
   9:05:00.000 9:10:00.000 203.0.113.3   1637
   9:05:00.000 9:10:00.000 203.0.113.3    561
   9:05:00.000 9:10:00.000 192.0.2.2     1899
   9:05:00.000 9:10:00.000 192.0.2.3     1284
   9:05:00.000 9:10:00.000 203.0.113.3   2670
   9:10:00.000 9:15:00.000 192.0.2.4       75
   9:10:00.000 9:15:00.000 192.0.2.4     3374
   9:10:00.000 9:15:00.000 192.0.2.4      138
   9:10:00.000 9:15:00.000 192.0.2.3     2325
   9:10:00.000 9:15:00.000 192.0.2.2     2869
   9:10:00.000 9:15:00.000 192.0.2.3    18289
        

Figure 14: Key Aggregation for Time Series per Source

図14:ソースごとの時系列のキー集約

Aggregate combination sums the counters per key and interval; the summations of the first two keys and intervals are shown in detail in Figure 15.

集計の組み合わせは、キーと間隔ごとのカウンターを合計します。最初の2つのキーと間隔の合計は、図15に詳細に示されています。

     start time |end time   |source ip4 |octets
     9:00:00.000 9:05:00.000 192.0.2.2      119
     9:00:00.000 9:05:00.000 192.0.2.2       83
     9:00:00.000 9:05:00.000 192.0.2.2     1637
     9:00:00.000 9:05:00.000 192.0.2.2    11538
   + 9:00:00.000 9:05:00.000 192.0.2.2    15420
                                          -----
   = 9:00:00.000 9:05:00.000 192.0.2.2    28797
        
     9:00:00.000 9:05:00.000 192.0.2.3      111
     9:00:00.000 9:05:00.000 192.0.2.3    16838
     9:00:00.000 9:05:00.000 192.0.2.3      119
   + 9:00:00.000 9:05:00.000 192.0.2.3     2973
                                          -----
   = 9:00:00.000 9:05:00.000 192.0.2.3    20041
        

Figure 15: Summation during Aggregate Combination

図15:集約結合中の合計

This can be applied to each set of Partially Aggregated Flows to produce the final Aggregated Flows that are shown in Figure 16, as exported by the Template in Figure 11.

これを部分的に集約されたフローの各セットに適用して、図11のテンプレートによってエクスポートされた、図16に示す最終的な集約されたフローを生成できます。

   start time |end time   |source ip4 |octets
   9:00:00.000 9:05:00.000 192.0.2.2    28797
   9:00:00.000 9:05:00.000 192.0.2.3    20041
   9:00:00.000 9:05:00.000 192.0.2.4     8350
   9:00:00.000 9:05:00.000 203.0.113.3  12861
   9:05:00.000 9:10:00.000 192.0.2.2     1899
   9:05:00.000 9:10:00.000 192.0.2.3     1284
   9:05:00.000 9:10:00.000 203.0.113.3   4868
   9:10:00.000 9:15:00.000 192.0.2.2     2869
   9:10:00.000 9:15:00.000 192.0.2.3    20614
   9:10:00.000 9:15:00.000 192.0.2.4     3587
        

Figure 16: Aggregated Flows for Time Series per Source

図16:ソースごとの時系列の集約フロー

8.2. Core Traffic Matrix
8.2. コアトラフィックマトリックス

Aggregating Flows by source and destination ASN in time series is used to generate core traffic matrices. The core traffic matrix provides a view of the state of the routes within a network, and it can be used for long-term planning of changes to network design based on traffic demand. Here, imposed time intervals are generally much longer than active Flow timeouts. The traffic matrix is reported in terms of octets, packets, and flows, as each of these values may have a subtly different effect on capacity planning.

時系列の送信元および宛先ASNによるフローの集約は、コアトラフィックマトリックスの生成に使用されます。コアトラフィックマトリックスは、ネットワーク内のルートの状態のビューを提供し、トラフィックの需要に基づいたネットワーク設計の変更の長期計画に使用できます。ここで、課された時間間隔は、一般的にアクティブなフロータイムアウトよりもはるかに長くなります。トラフィックマトリックスは、オクテット、パケット、およびフローの観点から報告されます。これらの値はそれぞれ、キャパシティプランニングに微妙に異なる影響を与える可能性があるためです。

This example demonstrates key aggregation using derived keys and Original Flow counting. While some Original Flows may be generated by Exporting Processes on forwarding devices, and therefore contain the bgpSourceAsNumber and bgpDestinationAsNumber Information Elements, Original Flows from Exporting Processes on dedicated measurement devices without routing data contain only a destinationIPv[46]Address. For these Flows, the Mediator must look up a next-hop AS from an IP-to-AS table, replacing source and destination addresses with ASNs. The table used in this example is shown in Figure 17. (Note that due to limited example address space, in this example we ignore the common practice of routing only blocks of /24 or larger.)

この例では、派生キーとオリジナルフローカウントを使用したキー集計を示します。一部の元のフローは転送デバイスのエクスポートプロセスによって生成される可能性があり、bgpSourceAsNumberおよびbgpDestinationAsNumber情報要素を含みますが、ルーティングデータのない専用の測定デバイスのエクスポートプロセスからの元のフローには、destinationIPv [46] Addressのみが含まれます。これらのフローの場合、メディエーターはIP-to-ASテーブルからネクストホップASを検索し、送信元アドレスと宛先アドレスをASNで置き換える必要があります。この例で使用されているテーブルを図17に示します(アドレス空間の例が限られているため、この例では、/ 24以上のブロックのみをルーティングする一般的な方法を無視しています)。

prefix |ASN 192.0.2.0/25 64496 192.0.2.128/25 64497 198.51.100/24 64498 203.0.113.0/24 64499

プレフィックス| ASN 192.0.2.0/25 64496 192.0.2.128/25 64497 198.51.100 / 24 64498 203.0.113.0/24 64499

Figure 17: Example ASN Map

図17:ASNマップの例

The Template for Aggregated Flows produced by this example is shown in Figure 18.

この例で作成された集約フローのテンプレートを図18に示します。

   flowStartMilliseconds(152)[8]
   flowEndMilliseconds(153)[8]
   bgpSourceAsNumber(16)[4]
   bgpDestinationAsNumber(17)[4]
   octetDeltaCount(1)[8]
        

Figure 18: Output Template for Traffic Matrix

図18:トラフィックマトリックスの出力テンプレート

Assume the goal is to get 60-minute time series of octet counts per source/destination ASN pair. The aggregation operations would then be arranged as in Figure 19.

目的は、送信元/宛先ASNペアごとに60分の時系列のオクテットカウントを取得することであると想定します。集計操作は、図19のように配置されます。

                    Original Flows
                          |
                          V
              +-----------------------+
              | interval distribution |
              |  * impose uniform     |
              |    3600s time interval|
              +-----------------------+
                  |
                  | Partially Aggregated Flows
                  V
   +------------------------+
   |  key aggregation       |
   |  * reduce key to only  |
   |    sourceIPv4Address + |
   |    destIPv4Address     |
   +------------------------+
                  |
                  V
   +------------------------+
   |  key aggregation       |
   |  * replace addresses   |
   |    with ASN from map   |
   +------------------------+
                  |
                  | Partially Aggregated Flows
                  V
             +-------------------------+
             |  aggregate combination  |
             |   * sum octetDeltaCount |
             +-------------------------+
                          |
                          V
                  Aggregated Flows
        

Figure 19: Aggregation Operations for Traffic Matrix

図19:トラフィックマトリックスの集計操作

After applying the interval distribution step to the source data in Figure 10, the Partially Aggregated Flows are shown in Figure 20. Note that the Flows are identical to those in the interval distribution step in the previous example, except the chosen interval (1 hour, 3600 seconds) is different; therefore, all the Flows fit into a single interval.

図10のソースデータに間隔分散ステップを適用すると、部分的に集約されたフローが図20に表示されます。フローは、選択した間隔(1時間、 3600秒)は異なります。したがって、すべてのフローが単一の間隔に収まります。

   start time |end time |source ip4 |port |dest ip4      |port|pt|  oct
   9:00:00     10:00:00  192.0.2.2   47113 192.0.2.131    53   17   119
   9:00:00     10:00:00  192.0.2.2   22153 192.0.2.131    53   17    83
   9:00:00     10:00:00  192.0.2.2   52420 198.51.100.2   443  6   1637
   9:00:00     10:00:00  192.0.2.3   56047 192.0.2.131    53   17   111
   9:00:00     10:00:00  192.0.2.3   41183 198.51.100.67  80   6  16838
   9:00:00     10:00:00  192.0.2.2   17606 198.51.100.68  80   6  11538
   9:00:00     10:00:00  192.0.2.3   47113 192.0.2.131    53   17   119
   9:00:00     10:00:00  192.0.2.3   48458 198.51.100.133 80   6   2973
   9:00:00     10:00:00  192.0.2.4   61295 198.51.100.2   443  6   8350
   9:00:00     10:00:00  203.0.113.3 41256 198.51.100.133 80   6    778
   9:00:00     10:00:00  203.0.113.3 51662 198.51.100.3   80   6    883
   9:00:00     10:00:00  192.0.2.2   37581 198.51.100.2   80   6  15420
   9:00:00     10:00:00  203.0.113.3 52572 198.51.100.2   443  6   1637
   9:00:00     10:00:00  203.0.113.3 49914 197.51.100.133 80   6    561
   9:00:00     10:00:00  192.0.2.2   50824 198.51.100.2   443  6   1899
   9:00:00     10:00:00  192.0.2.3   34597 198.51.100.3   80   6   1284
   9:00:00     10:00:00  203.0.113.3 58907 198.51.100.4   80   6   2670
   9:00:00     10:00:00  192.0.2.4   22478 192.0.2.131    53   17    75
   9:00:00     10:00:00  192.0.2.4   49513 198.51.100.68  80   6   3374
   9:00:00     10:00:00  192.0.2.4   64832 198.51.100.67  80   6    138
   9:00:00     10:00:00  192.0.2.3   60833 198.51.100.69  443  6   2325
   9:00:00     10:00:00  203.0.113.3 39586 198.51.100.17  80   6  11200
   9:00:00     10:00:00  192.0.2.2   19638 198.51.100.3   80   6   2869
   9:00:00     10:00:00  192.0.2.3   40429 198.51.100.4   80   6  18289
        

Figure 20: Interval Imposition for Traffic Matrix

図20:トラフィックマトリックスのインターバルインポジション

The next steps are to discard irrelevant key fields and to replace the source and destination addresses with source and destination ASNs in the map; the results of these key aggregation steps are shown in Figure 21.

次の手順では、無関係なキーフィールドを破棄し、送信元アドレスと宛先アドレスをマップ内の送信元ASNと宛先ASNに置き換えます。これらの主要な集約ステップの結果を図21に示します。

   start time |end time |source ASN |dest ASN |octets
   9:00:00     10:00:00  AS64496     AS64497      119
   9:00:00     10:00:00  AS64496     AS64497       83
   9:00:00     10:00:00  AS64496     AS64498     1637
   9:00:00     10:00:00  AS64496     AS64497      111
   9:00:00     10:00:00  AS64496     AS64498    16838
   9:00:00     10:00:00  AS64496     AS64498    11538
   9:00:00     10:00:00  AS64496     AS64497      119
   9:00:00     10:00:00  AS64496     AS64498     2973
   9:00:00     10:00:00  AS64496     AS64498     8350
   9:00:00     10:00:00  AS64499     AS64498      778
   9:00:00     10:00:00  AS64499     AS64498      883
   9:00:00     10:00:00  AS64496     AS64498    15420
   9:00:00     10:00:00  AS64499     AS64498     1637
   9:00:00     10:00:00  AS64499     AS64498      561
   9:00:00     10:00:00  AS64496     AS64498     1899
   9:00:00     10:00:00  AS64496     AS64498     1284
   9:00:00     10:00:00  AS64499     AS64498     2670
   9:00:00     10:00:00  AS64496     AS64497       75
   9:00:00     10:00:00  AS64496     AS64498     3374
   9:00:00     10:00:00  AS64496     AS64498      138
   9:00:00     10:00:00  AS64496     AS64498     2325
   9:00:00     10:00:00  AS64499     AS64498    11200
   9:00:00     10:00:00  AS64496     AS64498     2869
   9:00:00     10:00:00  AS64496     AS64498    18289
        

Figure 21: Key Aggregation for Traffic Matrix: Reduction and Replacement

図21:トラフィックマトリックスの主要な集約:削減と置換

Finally, aggregate combination sums the counters per key and interval. The resulting Aggregated Flows containing the traffic matrix, shown in Figure 22, are then exported using the Template in Figure 18. Note that these Aggregated Flows represent a sparse matrix: AS pairs for which no traffic was received have no corresponding record in the output.

最後に、集計の組み合わせは、キーと間隔ごとのカウンターを合計します。図22に示すトラフィックマトリックスを含む結果の集約フローは、図18のテンプレートを使用してエクスポートされます。これらの集約フローはスパースマトリックスを表すことに注意してください。トラフィックが受信されなかったASペアは、対応する出力が出力にありません。

   start time  end time  source ASN  dest ASN  octets
   9:00:00     10:00:00  AS64496     AS64497      507
   9:00:00     10:00:00  AS64496     AS64498    86934
   9:00:00     10:00:00  AS64499     AS64498    17729
        

Figure 22: Aggregated Flows for Traffic Matrix

図22:トラフィックマトリックスの集約フロー

The output of this operation is suitable for re-aggregation: that is, traffic matrices from single links or Observation Points can be aggregated through the same interval imposition and aggregate combination steps in order to build a traffic matrix for an entire network.

この操作の出力は再集約に適しています。つまり、単一のリンクまたは観測ポイントからのトラフィックマトリックスを同じ間隔のインポジションと集約の組み合わせ手順で集約して、ネットワーク全体のトラフィックマトリックスを構築できます。

8.3. Distinct Source Count per Destination Endpoint
8.3. 宛先エンドポイントごとの個別のソース数

Aggregating Flows by destination address and port, and counting distinct sources aggregated away, can be used as part of passive service inventory and host characterization. This example shows aggregation as an analysis technique, performed on source data stored in an IPFIX File. As the Transport Session in this File is bounded, removal of all timestamp information allows summarization of the entire time interval contained within the interval. Removal of timing information during interval imposition is equivalent to an infinitely long imposed time interval. This demonstrates both how infinite intervals work, and how unique counters work. The aggregation operations are summarized in Figure 23.

宛先アドレスとポートによるフローの集約、および集約された個別のソースのカウントは、パッシブサービスインベントリとホストの特性評価の一部として使用できます。この例は、IPFIXファイルに格納されているソースデータに対して実行される、分析手法としての集計を示しています。このファイルのトランスポートセッションは制限されているため、すべてのタイムスタンプ情報を削除すると、間隔に含まれる時間間隔全体を要約できます。間隔の強制中にタイミング情報を削除することは、無限に長い強制時間間隔と同じです。これは、無限の間隔が機能する方法と、一意のカウンターが機能する方法の両方を示しています。集約操作を図23に要約します。

                    Original Flows
                          |
                          V
              +-----------------------+
              | interval distribution |
              |  * discard timestamps |
              +-----------------------+
                  |
                  | Partially Aggregated Flows
                  V
   +----------------------------+
   |  value aggregation         |
   |  * discard octetDeltaCount |
   +----------------------------+
                  |
                  | Partially Aggregated Flows
                  V
   +----------------------------+
   |  key aggregation           |
   |   * reduce key to only     |
   |     destIPv4Address +      |
   |     destTransportPort,     |
   |   * count distinct sources |
   +----------------------------+
                  |
                  | Partially Aggregated Flows
                  V
       +----------------------------------------------+
       |  aggregate combination                       |
       |   * no-op (distinct sources already counted) |
       +----------------------------------------------+
                          |
                          V
                  Aggregated Flows
        

Figure 23: Aggregation Operations for Source Count

図23:ソース数の集計操作

The Template for Aggregated Flows produced by this example is shown in Figure 24.

この例で作成された集約フローのテンプレートを図24に示します。

   destinationIPv4Address(12)[4]
   destinationTransportPort(11)[2]
   distinctCountOfSourceIPAddress(378)[8]
        

Figure 24: Output Template for Source Count

図24:ソース数の出力テンプレート

Interval distribution, in this case, merely discards the timestamp information from the Original Flows in Figure 10, and as such is not shown. Likewise, the value aggregation step simply discards the octetDeltaCount value field. The key aggregation step reduces the key to the destinationIPv4Address and destinationTransportPort, counting the distinct source addresses. Since this is essentially the output of this aggregation function, the aggregate combination operation is a no-op; the resulting Aggregated Flows are shown in Figure 25.

この場合の間隔分布は、図10の元のフローからのタイムスタンプ情報を単に破棄するだけなので、表示されません。同様に、値の集計手順では、octetDeltaCount値フィールドが破棄されるだけです。キー集約ステップでは、キーをdestinationIPv4AddressおよびdestinationTransportPortに削減し、個別の送信元アドレスをカウントします。これは基本的にこの集約関数の出力であるため、集約結合操作は何もしません。結果の集約フローを図25に示します。

dest ip4 |port |dist src 192.0.2.131 53 3 198.51.100.2 80 1 198.51.100.2 443 3 198.51.100.67 80 2 198.51.100.68 80 2 198.51.100.133 80 2 198.51.100.3 80 3 198.51.100.4 80 2 198.51.100.17 80 1 198.51.100.69 443 1

dest ip4 | port | dist src 192.0.2.131 53 3 198.51.100.2 80 1 198.51.100.2 443 3 198.51.100.67 80 2 198.51.100.68 80 2 198.51.100.133 80 2 198.51.100.3 80 3 198.51.100.4 80 2 198.51.100.17 80 1 198.51.100.69 443 1

Figure 25: Aggregated Flows for Source Count

図25:ソース数の集約されたフロー

8.4. Traffic Time Series per Source with Counter Distribution
8.4. カウンター分布のあるソースごとのトラフィック時系列

Returning to the example in Section 8.1, note that our source data contains some Flows with durations longer than the imposed interval of five minutes. The default method for dealing with such Flows is to account them to the interval containing the Flow's start time.

セクション8.1の例に戻ると、ソースデータには、5分の強制間隔よりも長い期間のフローが含まれていることに注意してください。このようなフローを処理するためのデフォルトの方法は、フローの開始時間を含む間隔にそれらを考慮することです。

In this example, the same data is aggregated using the same arrangement of operations and the same output Template as in Section 8.1, but using a different counter distribution policy, Simple Uniform Distribution, as described in Section 5.1.1. In order to do this, the Exporting Process first exports the Aggregate Counter Distribution Options Template, as in Figure 26.

この例では、セクション8.1と同じ操作の配置と同じ出力テンプレートを使用して同じデータが集約されますが、セクション5.1.1で説明されているように、異なるカウンター配布ポリシーのSimple Uniform Distributionが使用されます。これを行うために、図26に示すように、エクスポートプロセスは最初に集計カウンター配布オプションテンプレートをエクスポートします。

   templateId(12)[2]{scope}
   valueDistributionMethod(384)[1]
        

Figure 26: Aggregate Counter Distribution Options Template

図26:集計カウンター配布オプションテンプレート

This Template is followed by an Aggregate Counter Distribution Record described by this Template; assuming the output Template in Figure 11 has ID 257, this record would appear as in Figure 27.

このテンプレートの後には、このテンプレートで記述された集計カウンター分布レコードが続きます。図11の出力テンプレートのIDが257であるとすると、このレコードは図27のようになります。

template ID | value distribution method 257 4 (simple uniform)

テンプレートID |価値分布法257 4(単純均一)

Figure 27: Aggregate Counter Distribution Record

図27:集計カウンター分布レコード

Following metadata export, the aggregation steps follow as before. However, two long Flows are distributed across multiple intervals in the interval imposition step, as indicated with "*" in Figure 28. Note the uneven distribution of the three-interval, 11200-octet Flow into three Partially Aggregated Flows of 3733, 3733, and 3734 octets; this ensures no cumulative error is injected by the interval distribution step.

メタデータのエクスポートに続いて、以前のように集計手順が続きます。ただし、2つの長いフローは、図28の「*」で示されているように、インターバルインポジションステップで複数のインターバルに分散されます。3インターバルの11200オクテットフローが3733、3733、および3734オクテット。これにより、間隔分布ステップによって累積エラーが挿入されることがなくなります。

 start time |end time   |source ip4 |port |dest ip4      |port|pt|  oct
 9:00:00.000 9:05:00.000 192.0.2.2   47113 192.0.2.131    53   17   119
 9:00:00.000 9:05:00.000 192.0.2.2   22153 192.0.2.131    53   17    83
 9:00:00.000 9:05:00.000 192.0.2.2   52420 198.51.100.2   443  6   1637
 9:00:00.000 9:05:00.000 192.0.2.3   56047 192.0.2.131    53   17   111
 9:00:00.000 9:05:00.000 192.0.2.3   41183 198.51.100.67  80   6  16838
 9:00:00.000 9:05:00.000 192.0.2.2   17606 198.51.100.68  80   6  11538
 9:00:00.000 9:05:00.000 192.0.2.3   47113 192.0.2.131    53   17   119
 9:00:00.000 9:05:00.000 192.0.2.3   48458 198.51.100.133 80   6   2973
 9:00:00.000 9:05:00.000 192.0.2.4   61295 198.51.100.2   443  6   8350
 9:00:00.000 9:05:00.000 203.0.113.3 41256 198.51.100.133 80   6    778
 9:00:00.000 9:05:00.000 203.0.113.3 51662 198.51.100.3   80   6    883
 9:00:00.000 9:05:00.000 192.0.2.2   37581 198.51.100.2   80   6   7710*
 9:00:00.000 9:05:00.000 203.0.113.3 39586 198.51.100.17  80   6   3733*
 9:05:00.000 9:10:00.000 203.0.113.3 52572 198.51.100.2   443  6   1637
 9:05:00.000 9:10:00.000 203.0.113.3 49914 197.51.100.133 80   6    561
 9:05:00.000 9:10:00.000 192.0.2.2   50824 198.51.100.2   443  6   1899
 9:05:00.000 9:10:00.000 192.0.2.3   34597 198.51.100.3   80   6   1284
 9:05:00.000 9:10:00.000 203.0.113.3 58907 198.51.100.4   80   6   2670
 9:05:00.000 9:10:00.000 192.0.2.2   37581 198.51.100.2   80   6   7710*
 9:05:00.000 9:10:00.000 203.0.113.3 39586 198.51.100.17  80   6   3733*
 9:10:00.000 9:15:00.000 192.0.2.4   22478 192.0.2.131    53   17    75
 9:10:00.000 9:15:00.000 192.0.2.4   49513 198.51.100.68  80   6   3374
 9:10:00.000 9:15:00.000 192.0.2.4   64832 198.51.100.67  80   6    138
 9:10:00.000 9:15:00.000 192.0.2.3   60833 198.51.100.69  443  6   2325
 9:10:00.000 9:15:00.000 192.0.2.2   19638 198.51.100.3   80   6   2869
 9:10:00.000 9:15:00.000 192.0.2.3   40429 198.51.100.4   80   6  18289
 9:10:00.000 9:15:00.000 203.0.113.3 39586 198.51.100.17  80   6   3734*
        

Figure 28: Distributed Interval Imposition for Time Series per Source

図28:ソースごとの時系列の分散間隔の面付け

Subsequent steps are as in Section 8.1; the results, to be exported using the Template shown in Figure 11, are shown in Figure 29, with Aggregated Flows differing from the example in Section 8.1 indicated by "*".

以降の手順はセクション8.1と同じです。図11に示すテンプレートを使用してエクスポートする結果を図29に示します。集約されたフローがセクション8.1の例とは異なり、「*」で示されています。

   start time |end time   |source ip4 |octets
   9:00:00.000 9:05:00.000 192.0.2.2    21087*
   9:00:00.000 9:05:00.000 192.0.2.3    20041
   9:00:00.000 9:05:00.000 192.0.2.4     8350
   9:00:00.000 9:05:00.000 203.0.113.3   5394*
   9:05:00.000 9:10:00.000 192.0.2.2     9609*
   9:05:00.000 9:10:00.000 192.0.2.3     1284
   9:05:00.000 9:10:00.000 203.0.113.3   8601*
   9:10:00.000 9:15:00.000 192.0.2.2     2869
   9:10:00.000 9:15:00.000 192.0.2.3    20614
   9:10:00.000 9:15:00.000 192.0.2.4     3587
   9:10:00.000 9:15:00.000 203.0.113.3   3734*
        

Figure 29: Aggregated Flows for Time Series per Source with Counter Distribution

図29:カウンター分布のあるソースごとの時系列の集約フロー

9. Security Considerations
9. セキュリティに関する考慮事項

This document specifies the operation of an Intermediate Aggregation Process with the IPFIX protocol; the Security Considerations for the protocol itself in Section 11 of [RFC7011] therefore apply. In the common case that aggregation is performed on a Mediator, the Security Considerations for Mediators in Section 9 of [RFC6183] apply as well.

このドキュメントでは、IPFIXプロトコルを使用した中間集約プロセスの操作について説明しています。したがって、[RFC7011]のセクション11に記載されているプロトコル自体のセキュリティに関する考慮事項が適用されます。メディエーターで集約が実行される一般的なケースでは、[RFC6183]のセクション9のメディエーターのセキュリティに関する考慮事項も適用されます。

As mentioned in Section 3, certain aggregation operations may tend to have an anonymizing effect on Flow data by obliterating sensitive identifiers. Aggregation may also be combined with anonymization within a Mediator, or as part of a chain of Mediators, to further leverage this effect. In any case in which an Intermediate Aggregation Process is applied as part of a data anonymization or protection scheme, or is used together with anonymization as described in [RFC6235], the Security Considerations in Section 9 of [RFC6235] apply.

セクション3で説明したように、特定の集計操作は、機密識別子を消去することにより、フローデータに匿名化の影響を与える傾向があります。集約は、メディエーター内で、またはメディエーターのチェーンの一部として匿名化と組み合わせて、この効果をさらに活用することもできます。中間集計プロセスがデータの匿名化または保護スキームの一部として適用される場合、または[RFC6235]で説明されているように匿名化と一緒に使用される場合は、[RFC6235]のセクション9のセキュリティに関する考慮事項が適用されます。

10. IANA Considerations
10. IANAに関する考慮事項

This document specifies the creation of new IPFIX Information Elements in the IPFIX Information Element registry [IANA-IPFIX], as defined in Section 7 above. IANA has assigned Information Element numbers to these Information Elements, and entered them into the registry.

このドキュメントでは、上記のセクション7で定義されているように、IPFIX情報要素レジストリ[IANA-IPFIX]に新しいIPFIX情報要素を作成することを指定します。 IANAはこれらの情報要素に情報要素番号を割り当て、レジストリに入力しました。

11. Acknowledgments
11. 謝辞

Special thanks to Elisa Boschi for early work on the concepts laid out in this document. Thanks to Lothar Braun, Christian Henke, and Rahul Patel for their reviews and valuable feedback, with special thanks to Paul Aitken for his multiple detailed reviews. This work is materially supported by the European Union Seventh Framework Programme under grant agreement 257315 (DEMONS).

このドキュメントで説明されている概念の初期の作業についてElisa Boschiに特に感謝します。レビューと貴重なフィードバックを提供してくれたLothar Braun、Christian Henke、Rahul Patelに感謝します。PaulAitkenが複数の詳細なレビューをしてくれて特に感謝しています。この作業は、助成金契約257315(悪魔)に基づく欧州連合第7フレームワークプログラムによって実質的にサポートされています。

12. References
12. 参考文献
12.1. Normative References
12.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.

[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、2008年5月。

[RFC7011] Claise, B., Ed., Trammell, B., Ed., and P. Aitken, "Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of Flow Information", STD 77, RFC 7011, September 2013.

[RFC7011] Claise、B。、編、Trammell、B。、編、およびP. Aitken、「フロー情報の交換のためのIPフロー情報エクスポート(IPFIX)プロトコルの仕様」、STD 77、RFC 7011、 2013年9月。

12.2. Informative References
12.2. 参考引用

[RFC3917] Quittek, J., Zseby, T., Claise, B., and S. Zander, "Requirements for IP Flow Information Export (IPFIX)", RFC 3917, October 2004.

[RFC3917] Quittek、J.、Zseby、T.、Claise、B。、およびS. Zander、「IPフロー情報エクスポート(IPFIX)の要件」、RFC 3917、2004年10月。

[RFC5470] Sadasivan, G., Brownlee, N., Claise, B., and J. Quittek, "Architecture for IP Flow Information Export", RFC 5470, March 2009.

[RFC5470] Sadasivan、G.、Brownlee、N.、Claise、B。、およびJ. Quittek、「Architecture for IP Flow Information Export」、RFC 5470、2009年3月。

[RFC5472] Zseby, T., Boschi, E., Brownlee, N., and B. Claise, "IP Flow Information Export (IPFIX) Applicability", RFC 5472, March 2009.

[RFC5472] Zseby、T.、Boschi、E.、Brownlee、N。、およびB. Claise、「IP Flow Information Export(IPFIX)Applicability」、RFC 5472、2009年3月。

[RFC5476] Claise, B., Johnson, A., and J. Quittek, "Packet Sampling (PSAMP) Protocol Specifications", RFC 5476, March 2009.

[RFC5476] Claise、B.、Johnson、A。、およびJ. Quittek、「Packet Sampling(PSAMP)Protocol Specifications」、RFC 5476、2009年3月。

[RFC5655] Trammell, B., Boschi, E., Mark, L., Zseby, T., and A. Wagner, "Specification of the IP Flow Information Export (IPFIX) File Format", RFC 5655, October 2009.

[RFC5655] Trammell、B.、Boschi、E.、Mark、L.、Zseby、T。、およびA. Wagner、「Specification of the IP Flow Information Export(IPFIX)File Format」、RFC 5655、2009年10月。

[RFC5982] Kobayashi, A. and B. Claise, "IP Flow Information Export (IPFIX) Mediation: Problem Statement", RFC 5982, August 2010.

[RFC5982]小林、A。およびB. Claise、「IPフロー情報エクスポート(IPFIX)調停:問題の説明」、RFC 5982、2010年8月。

[RFC6183] Kobayashi, A., Claise, B., Muenz, G., and K. Ishibashi, "IP Flow Information Export (IPFIX) Mediation: Framework", RFC 6183, April 2011.

[RFC6183]小林明朗、クレイズB.、ムエンツG.、石橋健二、「IPフロー情報エクスポート(IPFIX)メディエーション:フレームワーク」、RFC 6183、2011年4月。

[RFC6235] Boschi, E. and B. Trammell, "IP Flow Anonymization Support", RFC 6235, May 2011.

[RFC6235] Boschi、E。およびB. Trammell、「IP Flow Anonymization Support」、RFC 6235、2011年5月。

[RFC6728] Muenz, G., Claise, B., and P. Aitken, "Configuration Data Model for the IP Flow Information Export (IPFIX) and Packet Sampling (PSAMP) Protocols", RFC 6728, October 2012.

[RFC6728] Muenz、G.、Claise、B。、およびP. Aitken、「IPフロー情報エクスポート(IPFIX)およびパケットサンプリング(PSAMP)プロトコルの構成データモデル」、RFC 6728、2012年10月。

[RFC7012] Claise, B., Ed. and B. Trammell, Ed., "Information Model for IP Flow Information Export (IPFIX)", RFC 7012, September 2013.

[RFC7012]クレイズ、B。、エド。およびB. Trammell、編、「IPフロー情報エクスポート(IPFIX)の情報モデル」、RFC 7012、2013年9月。

[RFC7013] Trammell, B. and B. Claise, "Guidelines for Authors and Reviewers of IP Flow Information Export (IPFIX) Information Elements", BCP 184, RFC 7013, September 2013.

[RFC7013] Trammell、B。およびB. Claise、「作成者とIPフロー情報エクスポート(IPFIX)情報要素のレビューアのためのガイドライン」、BCP 184、RFC 7013、2013年9月。

[RFC7014] D'Antonio, S., Zseby, T., Henke, C., and L. Peluso, "Flow Selection Techniques", RFC 7014, September 2013.

[RFC7014] D'Antonio、S.、Zseby、T.、Henke、C。、およびL. Peluso、「Flow Selection Techniques」、RFC 7014、2013年9月。

[IANA-IPFIX] IANA, "IP Flow Information Export (IPFIX) Entities", <http://www.iana.org/assignments/ipfix>.

[IANA-IPFIX] IANA、「IP Flow Information Export(IPFIX)Entities」、<http://www.iana.org/assignments/ipfix>。

[IPFIX-MED-PROTO] Claise, B., Kobayashi, A., and B. Trammell, "Operation of the IP Flow Information Export (IPFIX) Protocol on IPFIX Mediators", Work in Progress, July 2013.

[IPFIX-MED-PROTO] Claise、B.、Kobayashi、A。、およびB. Trammell、「IPFIX MediatorsでのIPフロー情報エクスポート(IPFIX)プロトコルの動作」、2013年7月、進行中。

Authors' Addresses

著者のアドレス

Brian Trammell Swiss Federal Institute of Technology Zurich Gloriastrasse 35 8092 Zurich Switzerland

ブライアントラメルスイス連邦工科大学チューリッヒGloriastrasse 35 8092チューリッヒスイス

   Phone: +41 44 632 70 13
   EMail: trammell@tik.ee.ethz.ch
        

Arno Wagner Consecom AG Bleicherweg 64a 8002 Zurich Switzerland

Arno Wagner Consecom AG Bleicherweg 64a 8002チューリッヒスイス

   EMail: arno@wagner.name
        

Benoit Claise Cisco Systems, Inc. De Kleetlaan 6a b1 1831 Diegem Belgium

Benoit Claise Cisco Systems、Inc. De Kleetlaan 6a b1 1831 Diegem Belgium

   Phone: +32 2 704 5622
   EMail: bclaise@cisco.com