JP2009044226A - Connection restriction system and method - Google Patents

Connection restriction system and method Download PDF

Info

Publication number
JP2009044226A
JP2009044226A JP2007204185A JP2007204185A JP2009044226A JP 2009044226 A JP2009044226 A JP 2009044226A JP 2007204185 A JP2007204185 A JP 2007204185A JP 2007204185 A JP2007204185 A JP 2007204185A JP 2009044226 A JP2009044226 A JP 2009044226A
Authority
JP
Japan
Prior art keywords
connection
extraction
connection destination
information
keyword
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007204185A
Other languages
Japanese (ja)
Inventor
Hitoshi Irino
仁志 入野
Shinichiro Chagi
愼一郎 茶木
Masaru Katayama
勝 片山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007204185A priority Critical patent/JP2009044226A/en
Publication of JP2009044226A publication Critical patent/JP2009044226A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a connection restriction system and a connection restriction method which can defend a computer at a connection place from excessive connections regardless of the layer or the protocol. <P>SOLUTION: The connection restriction system receiving a plurality of connection request packets transmitted to a connection place and managing the provision of those connection request packets to that connection place includes an inspection means 100 for searching an extraction object packet having a keyword for detecting a connection place identifier from the plurality of connection request packets, extracting the connection place identifier from the extraction object packet thus searched and counting the number of extracted connection place identifiers, and a means 200 for controlling the provision of connection request packets to the connection place based on the number of extracted connection place identifiers. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、インターネットなどの任意の識別子を用いて通信するオープンなネットワーク環境上に接続されたサーバなどの計算機の制御に関し、特には、計算機ネットワークにおいて、大量の接続要求により計算機がサービス不能に陥ることを防御する技術に関する。   The present invention relates to control of a computer such as a server connected on an open network environment that communicates using an arbitrary identifier such as the Internet, and in particular, in a computer network, the computer becomes incapable of service due to a large number of connection requests. It relates to technology to prevent this.

サーバなどのホスト(計算機)は、クライアントからの大量の接続要求によって、接続数が許容可能な接続数を超えた場合または処理量が許容可能な処理量を超えた場合、サービス不能に陥る場合がある。   A host (computer) such as a server may become out of service if the number of connections exceeds the allowable number of connections due to a large number of connection requests from clients, or if the amount of processing exceeds the allowable amount of processing. is there.

例えば、SIP(Session Initiation Protocol)サーバは、ある単位時間に大量のINVITEメソッドを要求されると、サービス不能に陥る可能性がある。ある単位時間に大量のINVITEメソッドを要求することは、DoS(Denial of Services)攻撃の一種である。   For example, a SIP (Session Initiation Protocol) server may fall out of service if a large number of INVITE methods are requested in a certain unit time. Requesting a large number of INVITE methods in a unit time is a kind of DoS (Denial of Services) attack.

特許文献1には、VoIP(Voice over Internet Protocol)を利用したシステムにおける大量接続要求の対策技術が記載されている。具体的には、特許文献1には、IPアドレスを用いて大量接続要求を制限する技術が記載されている。   Patent Document 1 describes a countermeasure technology for a mass connection request in a system using VoIP (Voice over Internet Protocol). Specifically, Patent Document 1 describes a technique for restricting mass connection requests using IP addresses.

なお、DoS攻撃は、特定のプロトコルに限定されない。例えば、HTTPのリクエストを大量に発する攻撃もある。この種の攻撃は、非特許文献1において、BruteForceとして分類されており、HTTP floodとして紹介されている。
特開2004−320636号公報 Jelena Mirkovic and Peter Reiher,“A taxonomy of DDoS attack and DDoS defense mechanisms”, ACM SIGCOMM Computer Communications Review archive, Volume 34, Issue 2 (April 2004) The DoS attack is not limited to a specific protocol. For example, there is an attack that issues a large number of HTTP requests. This type of attack is classified as BruteForce in Non-Patent Document 1, and is introduced as an HTTP flood.
JP 2004-320636 A Jelena Mirkovic and Peter Reiher, “A taxonomy of DDoS attack and DDoS defense mechanisms”, ACM SIGCOMM Computer Communications Review archive, Volume 34, Issue 2 (April 2004)

意図的・非意図的に関わらず大量接続によって資源枯渇に陥る可能性があるサーバなどのホストへの接続数を制限することにより、その大量接続からホストを防御するためには、接続の種類毎にそれぞれの対策が必要となる。   In order to protect a host from such a large number of connections by restricting the number of connections to a host such as a server that may be depleted of resources due to a large number of connections, whether intentionally or unintentionally, each type of connection Each measure is necessary.

特許文献1に記載された対策は、IP以外のプロトコルには適用できない。また、SIPのように下位のプロトコルを限定しないプロトコルの場合、コネクションレス型のプロトコルの利用によってIPアドレスの偽装も可能となる。特許文献1に記載された対策は、IPアドレスの偽装には対応できず、接続制限が偽装によってすり抜けられる可能性がある。   The countermeasure described in Patent Document 1 cannot be applied to protocols other than IP. In the case of a protocol that does not limit lower protocols such as SIP, an IP address can be camouflaged by using a connectionless protocol. The countermeasure described in Patent Document 1 cannot cope with forgery of an IP address, and there is a possibility that connection restrictions may be bypassed by forgery.

本発明の目的は、レイヤやプロトコルにとらわれることなく、大量接続から接続先である計算機を防御することが可能な接続制限システムおよび接続制限方法を提供することである。   An object of the present invention is to provide a connection restriction system and a connection restriction method capable of protecting a computer that is a connection destination from a large number of connections without being bound by layers or protocols.

上記目的を達成するため、本発明の接続制限システムは、接続先宛に送信された複数の接続要求パケットを受け付け、前記接続先への前記接続要求パケットの提供を管理する接続制限システムであって、前記複数の接続要求パケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから前記接続先識別子を抽出し、前記接続先識別子の抽出数をカウントする検査手段と、前記接続先識別子の抽出数に基づいて、前記接続先への前記接続要求パケットの提供を制御する制御手段と、を含む。   In order to achieve the above object, a connection restriction system of the present invention is a connection restriction system that accepts a plurality of connection request packets transmitted to a connection destination and manages the provision of the connection request packet to the connection destination. , Searching for an extraction target packet having a keyword for detecting a connection destination identifier from the plurality of connection request packets, extracting the connection destination identifier from the extracted extraction target packet, and extracting the number of connection destination identifiers And a control means for controlling the provision of the connection request packet to the connection destination based on the number of extracted connection destination identifiers.

本発明の接続制限方法は、接続先宛に送信された複数の接続要求パケットを受け付け、前記接続先への前記接続要求パケットの提供を管理する接続制限システムが行う接続制限方法であって、前記複数の接続要求パケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから前記接続先識別子を抽出し、前記接続先識別子の抽出数をカウントする検査ステップと、前記接続先識別子の抽出数に基づいて、前記接続先への前記接続要求パケットの提供を制御する制御ステップと、を含む。   The connection restriction method of the present invention is a connection restriction method performed by a connection restriction system that accepts a plurality of connection request packets transmitted to a connection destination and manages the provision of the connection request packet to the connection destination. A plurality of connection request packets are searched for an extraction target packet having a keyword for detecting a connection destination identifier, the connection destination identifier is extracted from the searched extraction target packet, and the number of connection destination identifiers extracted is counted. And a control step of controlling provision of the connection request packet to the connection destination based on the number of connection destination identifiers extracted.

上記発明によれば、複数の接続要求パケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットが検索され、その検索された抽出対象パケットから接続先識別子が抽出され、その接続先識別子の抽出数がカウントされる。   According to the above invention, an extraction target packet having a keyword for detecting a connection destination identifier is searched from a plurality of connection request packets, a connection destination identifier is extracted from the searched extraction target packet, and the connection destination identifier is extracted. The number of extractions is counted.

このため、接続先識別子の種類に応じてキーワードが適宜設定されれば、IPアドレスに限らない接続先識別子を検出することが可能になる。よって、レイヤやプロトコルにとらわれることなく、接続先を特定することが可能になり、接続先を大量接続要求から防御することが可能になる。   For this reason, if a keyword is appropriately set according to the type of connection destination identifier, it is possible to detect a connection destination identifier that is not limited to an IP address. Therefore, it is possible to specify a connection destination without being bound by a layer or a protocol, and it is possible to protect the connection destination from a mass connection request.

なお、前記検査手段は、前記キーワードが設定されるキーワードテーブルと、前記接続先識別子を抽出するための抽出情報が設定される抽出用テーブルと、カウンタテーブルと、前記複数の接続要求パケットから、前記キーワードテーブルに設定されたキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから、前記抽出用テーブルに設定された抽出情報にしたがって前記接続先識別子を抽出し、前記カウンタテーブルを用いて前記接続先識別子の抽出数をカウントする検査部と、を含むことが望ましい。   The inspection means includes a keyword table in which the keyword is set, an extraction table in which extraction information for extracting the connection destination identifier is set, a counter table, and the plurality of connection request packets. The extraction target packet having the keyword set in the keyword table is searched, the connection destination identifier is extracted from the searched extraction target packet according to the extraction information set in the extraction table, and the counter table is used. And an inspection unit that counts the number of extracted connection destination identifiers.

上記発明によれば、検査部は、接続先識別子を抽出するための抽出情報にしたがって接続先識別子を抽出する。   According to the above invention, the inspection unit extracts the connection destination identifier according to the extraction information for extracting the connection destination identifier.

このため、上記効果に加えて、接続先識別子の種類に応じて抽出情報を適宜設定することが可能となり、IPアドレスに限らない接続先識別子を検出することが可能になる。   For this reason, in addition to the above effects, the extraction information can be appropriately set according to the type of the connection destination identifier, and it is possible to detect a connection destination identifier that is not limited to the IP address.

また、前記キーワードテーブルには、前記接続要求パケットにおいて前記キーワードの検索を開始する位置を示す検索オフセットが、前記キーワードに対応づけて設定可能であり、前記検査部は、前記検索オフセットが前記キーワードに対応づけて設定されている場合、前記接続要求パケットにおいて当該検索オフセットに示された位置から前記キーワードの検索を開始することが望ましい。   In the keyword table, a search offset indicating a position to start searching for the keyword in the connection request packet can be set in association with the keyword, and the inspection unit sets the search offset to the keyword. When set in association with each other, it is desirable to start searching for the keyword from the position indicated by the search offset in the connection request packet.

上記発明によれば、上記効果に加えて、抽出対象パケットを効率よく検索することが可能になる。   According to the above invention, in addition to the above effects, it is possible to efficiently search for the extraction target packet.

また、前記抽出情報は、前記抽出対象パケットにおいて前記接続先識別子の抽出を開始する位置を示す抽出オフセットと抽出される情報の長さを示す抽出長とを含むオフセット情報と、パターンマッチング用文字列を含むパターン情報と、のいずれかであり、前記検査部は、前記抽出情報として前記オフセット情報が用いられている場合には、前記抽出対象パケットにおいて前記抽出オフセットに示された位置から前記抽出長に示された長さの情報を前記接続先識別子として抽出し、前記抽出情報として前記パターン情報が用いられている場合には、前記抽出対象パケットにおいて前記パターンマッチング用文字列のパターンマッチングを行い当該パターンマッチング用文字列に続く情報を前記接続先識別子として抽出することが望ましい。   The extracted information includes offset information including an extraction offset indicating a position where extraction of the connection destination identifier is started in the extraction target packet and an extraction length indicating the length of the extracted information, and a pattern matching character string. And when the offset information is used as the extraction information, the inspection unit extracts the extraction length from the position indicated by the extraction offset in the extraction target packet. When the pattern information is used as the extraction information, the pattern matching character string is subjected to pattern matching in the extraction target packet. It is desirable to extract information following the character string for pattern matching as the connection destination identifier.

上記発明によれば、上記効果に加えて、接続先識別子を効率よく抽出することが可能になる。   According to the above invention, in addition to the above effects, it is possible to efficiently extract the connection destination identifier.

また、前記キーワードテーブルには、前記キーワードが複数設定され、前記キーワードテーブルに設定された前記複数のキーワードから選択された複数のキーワードを特定するための特定情報が設定されるアクションテーブルをさらに含み、前記検査部は、前記複数の接続要求パケットから、前記特定情報にて特定される複数のキーワードを有するパケットを、前記抽出対象パケットとして検索することが望ましい。   The keyword table further includes an action table in which a plurality of the keywords are set, and specific information for specifying a plurality of keywords selected from the plurality of keywords set in the keyword table is set. The inspection unit preferably searches, as the extraction target packet, a packet having a plurality of keywords specified by the specifying information from the plurality of connection request packets.

上記発明によれば、上記効果に加えて、抽出対象パケットを効率よく検索することが可能になる。   According to the above invention, in addition to the above effects, it is possible to efficiently search for the extraction target packet.

また、前記接続先識別子の加工手法が設定される加工テーブルと、前記接続先識別子が設定される展開キーワードテーブルと、をさらに含み、前記検査部は、前記抽出された接続先識別子を前記加工テーブルに設定された加工手法にしたがって加工して前記展開キーワードテーブルに設定することが望ましい。   Further, a processing table in which a processing method of the connection destination identifier is set, and an expanded keyword table in which the connection destination identifier is set, and the inspection unit stores the extracted connection destination identifier in the processing table. It is desirable to process according to the processing method set in the above and set it in the expanded keyword table.

上記発明によれば、例えば、接続先識別子を利用者が認識しやすい形式に変換することが可能になる。   According to the above invention, for example, the connection destination identifier can be converted into a format that is easy for the user to recognize.

本発明によれば、レイヤやプロトコルにとらわれることなく、大量接続から接続先を防御することが可能になる。   According to the present invention, it is possible to protect a connection destination from a large number of connections without being bound by layers or protocols.

以下、本発明の実施形態を図面を参照して説明する。   Embodiments of the present invention will be described below with reference to the drawings.

図1Aは、本発明の一実施形態の接続制限システムを示したブロック図である。   FIG. 1A is a block diagram showing a connection restriction system according to an embodiment of the present invention.

図1Aにおいて、接続制限システムは、検査装置100と、制御システム200とを含む。   In FIG. 1A, the connection restriction system includes an inspection device 100 and a control system 200.

検査装置100は、検査手段の一例であり、検査機器1と、DB(データベース)1aとを含む。制御システム200は、制御手段の一例であり、判断機器2と、DB2aと、制御機器3と、DB3aと、を含む。   The inspection apparatus 100 is an example of inspection means, and includes an inspection device 1 and a DB (database) 1a. The control system 200 is an example of a control unit, and includes a determination device 2, a DB 2a, a control device 3, and a DB 3a.

検査機器1は、検査部の一例であり、例えば、計算機である接続元10から、ルータ等のネットワーク機器11、インターネット等のネットワーク12、および、ルータ等のネットワーク機器5を介して入力されるパケット、具体的には、接続先(制御対象)であるホスト(計算機)4宛に送信された複数の接続要求パケット(以下、単に「パケット」と称する。)を取得する。なお、接続元10や接続先であるホスト4は、1台に限らず複数台あってもよい。   The inspection device 1 is an example of an inspection unit. For example, a packet input from a connection source 10 that is a computer via a network device 11 such as a router, a network 12 such as the Internet, and a network device 5 such as a router. Specifically, a plurality of connection request packets (hereinafter simply referred to as “packets”) transmitted to the host (computer) 4 that is the connection destination (control target) are acquired. Note that the connection source 10 and the connection destination host 4 are not limited to one, and a plurality of hosts 4 may be provided.

検査機器1は、取得されたパケット内部から必要となる情報を取得し、その取得結果を判断機器2に通知する。   The inspection device 1 acquires necessary information from the acquired packet and notifies the determination device 2 of the acquisition result.

判断機器2は、検査機器1より通知された情報を元に、大量接続がされている宛先と、その接続元と、パケットの制御方法と、に関する情報を管理する。   Based on the information notified from the inspection device 1, the determination device 2 manages information regarding destinations that are connected in large numbers, connection sources, and packet control methods.

判断機器2は、ホスト4の資源枯渇を防御する場合は、制御方法として、ホスト4宛のパケットの廃棄またはレートリミットを選択する。   When protecting the host 4 from exhaustion of resources, the determination device 2 selects discard of the packet addressed to the host 4 or rate limit as a control method.

制御機器3は、防御対象となるホスト4宛てのパケットを、判断機器2において決定された制御方法に基づいて制御する。   The control device 3 controls the packet addressed to the host 4 to be protected based on the control method determined by the determination device 2.

制御機器3は、防御対象となる機器(本実施形態ではホスト4)の前段に具備される。   The control device 3 is provided in front of the device to be protected (host 4 in this embodiment).

検査機器1は、制御機器3行きのパケットを検査することが目的であるため、図1Aに示したように、インラインで制御機器3の前段に置かれてもよい。   Since the purpose of the inspection device 1 is to inspect the packet destined for the control device 3, it may be placed in front of the control device 3 in-line as shown in FIG. 1A.

また、図1Bに示したように、制御機器3の手前のネットワーク機器5が、ポートミラーリング等の方法で、制御機器3行きパケットをコピーし、そのコピーを検査機器1に送信し、検査機器1が、そのコピーを検査してもよい。なお、図1Bにおいて、図1Aに示したものと同一のものには同一符号を付してある。   Further, as shown in FIG. 1B, the network device 5 in front of the control device 3 copies the packet destined for the control device 3 by a method such as port mirroring, and transmits the copy to the inspection device 1. However, the copy may be inspected. In FIG. 1B, the same components as those shown in FIG. 1A are denoted by the same reference numerals.

判断機器2は、検査機器1と制御機器3に接続され、それらの中間にあればよく、インラインか否かは問わない。   The determination device 2 is connected to the inspection device 1 and the control device 3 and may be in the middle of them, whether or not it is inline.

検査機器1と判断機器2と制御機器3は、それぞれ、情報を保持するためのDB1a、2aおよび3aを保持する。また、DB1a、2aおよび3aは、検査機器1と判断機器2と制御機器3がアクセス可能ならば一体となっていてもよい。   The inspection device 1, the determination device 2, and the control device 3 respectively hold DBs 1a, 2a, and 3a for holding information. The DBs 1a, 2a, and 3a may be integrated as long as the inspection device 1, the determination device 2, and the control device 3 are accessible.

検査機器1と判断機器2と制御機器3は、一体の機器として構成されてもよい。なお、検査機器1と制御機器3が一体の機器であってもよい。また、検査機器1と判断機器2が一体の機器であってもよい。また、判断機器2と制御機器3が一体の機器であってもよい。また、1つの判断機器2に、複数の検査機器1と制御機器3が接続されてもよい。また、1つの判断機器2に、検査機器1と制御機器3が一体となった機器が複数接続されてもよい。   The inspection device 1, the determination device 2, and the control device 3 may be configured as an integrated device. The inspection device 1 and the control device 3 may be an integrated device. The inspection device 1 and the determination device 2 may be an integrated device. Further, the determination device 2 and the control device 3 may be an integrated device. A plurality of inspection devices 1 and control devices 3 may be connected to one determination device 2. A plurality of devices in which the inspection device 1 and the control device 3 are integrated may be connected to one determination device 2.

なお、検査装置100は、接続先宛に送信された複数のパケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索する。検査装置100は、その検索された抽出対象パケットから接続先識別子を抽出し、接続先識別子の抽出数をカウントする。   The inspection apparatus 100 searches for an extraction target packet having a keyword for detecting a connection destination identifier from a plurality of packets transmitted to the connection destination. The inspection apparatus 100 extracts a connection destination identifier from the retrieved extraction target packet, and counts the number of connection destination identifiers extracted.

例えば、検査装置100は、任意の文字列検索方法またはバイト列検索方法を用いて、接続先の識別子と接続元の識別子を記録する。なお、接続先の識別子と、接続元の識別子は、IPアドレスに限らない任意の文字列を含むバイト列とする。   For example, the inspection apparatus 100 records a connection destination identifier and a connection source identifier using an arbitrary character string search method or byte string search method. Note that the identifier of the connection destination and the identifier of the connection source are byte strings including arbitrary character strings that are not limited to IP addresses.

制御システム200は、検査装置100がカウントした接続先識別子の抽出数に基づいて、接続先へのパケットの提供を制御する。   The control system 200 controls the provision of packets to the connection destination based on the number of connection destination identifiers extracted by the inspection apparatus 100.

例えば、制御システム200は、接続先に対するパケットの数が単位時間当たりの閾値を超えた場合に、接続先の接続数を制限することで、サーバなどのホスト(接続先)4の資源枯渇を回避する。
(実施例)
検査機器1の処理は、2段階に分かれる。 For example, the control system 200 avoids resource depletion of the host (connection destination) 4 such as a server by limiting the number of connections at the connection destination when the number of packets for the connection destination exceeds a threshold per unit time. To do.
(Example)
The processing of the inspection device 1 is divided into two stages.

具体的には、検査機器1の処理は、初期設定テーブル群を用いたパケット検索と、展開キーワードテーブル群を用いた検索とに分かれる。   Specifically, the processing of the inspection device 1 is divided into a packet search using the initial setting table group and a search using the expanded keyword table group.

初期設定テーブル群に設定される情報は、利用者から与えられる。展開キーワードテーブル群に設定される情報は、初期設定テーブル群から自動生成される。   Information set in the initial setting table group is given by the user. Information set in the expanded keyword table group is automatically generated from the initial setting table group.

図2は、初期設定テーブル群1Aの一例を示した説明図である。なお、初期設定テーブル群1Aは、DB1aに設けられている。   FIG. 2 is an explanatory diagram showing an example of the initial setting table group 1A. The initial setting table group 1A is provided in the DB 1a.

図2において、初期設定テーブル群1Aは、キーワードテーブル1A1と、抽出テーブル1A2と、オフセット抽出テーブル1A3と、パターン抽出テーブル1A4と、加工テーブル1A5と、アクションテーブル1A6と、閾値テーブル1A7と、を含む。   In FIG. 2, the initial setting table group 1A includes a keyword table 1A1, an extraction table 1A2, an offset extraction table 1A3, a pattern extraction table 1A4, a processing table 1A5, an action table 1A6, and a threshold table 1A7. .

なお、抽出テーブル1A2と、オフセット抽出テーブル1A3と、パターン抽出テーブル1A4とで、抽出用テーブルが構成される。   The extraction table 1A2, the offset extraction table 1A3, and the pattern extraction table 1A4 constitute an extraction table.

キーワードテーブル1A1は、検査機器1に入力されるパケットの中から抽出対象パケットを検索するために利用される。   The keyword table 1A1 is used to search for an extraction target packet from among packets input to the inspection device 1.

キーワードテーブル1A1では、キーワードID1A1aが、番号を保持する。キーワード1A1bが、任意のバイト列(キーワード)、すなわち、文字列かデータ列を保持する。キーワードタイプ1A1cが、そのキーワードのタイプを保持する。また、検索開始位置のオフセットを明示的に指定する場合は、その値がオフセット1A1dに保持される。   In the keyword table 1A1, the keyword ID 1A1a holds a number. The keyword 1A1b holds an arbitrary byte string (keyword), that is, a character string or a data string. Keyword type 1A1c holds the type of the keyword. When the search start position offset is explicitly specified, the value is held in the offset 1A1d.

本例では、キーワードID「1」は、30バイト目から「0x0a01010a」のデータ列を検索することを意味する。   In this example, the keyword ID “1” means that a data string “0x0a01010a” is searched from the 30th byte.

なお、本例のオフセットの30バイト目は、MPLS(Multi-Protocol Label Switching)やVLAN(Virtual LAN)などの第2層を拡張するヘッダがないことを前提とし、Ethernet HeaderとIP Headerが隣接している場合に、Ethernet Headerを先頭とした場合に、IP Header内の宛先IPアドレスフィールドの開始位置となる。   Note that the 30th byte of the offset in this example assumes that there is no header that extends the second layer such as MPLS (Multi-Protocol Label Switching) and VLAN (Virtual LAN), and the Ethernet Header and IP Header are adjacent. In this case, when the Ethernet Header is set as the head, it becomes the start position of the destination IP address field in the IP Header.

「0x0a01010a」は、10進数表記での「10.1.1.10」と同意である。   “0x0a01010a” is equivalent to “10.1.1.10” in decimal notation.

キーワードID「2」におけるオフセットの36バイト目は、上記前提に加えて、IP Headerに一切の拡張ヘッダがない場合、トランスポートヘッダ内の宛先ポートとなる。   In addition to the above assumption, the 36th byte of the offset in the keyword ID “2” is the destination port in the transport header when there is no extension header in the IP header.

「0x13C4」は、10進数表記での「5060」を示している。   “0x13C4” indicates “5060” in decimal notation.

同様に、キーワードID「3」、「4」、「5」、「6」の、「0x0a01010b」、「0x50」、「0x0a010178」、「B80」のそれぞれは、10進数表記での、「10.1.1.11」、「80」、「10.1.1.120」、「2944」を意味している。   Similarly, each of “0x0a01010b”, “0x50”, “0x0a010178”, and “B80” of the keyword IDs “3”, “4”, “5”, and “6” is represented by “10. 1.1.11 ”,“ 80 ”,“ 10.1.1.120 ”,“ 2944 ”.

抽出テーブル1A2は、キーワードテーブル1A1に基づいて検索されたパケット(抽出対象パケット)から接続先識別子を抽出するために用いられる。抽出方法としては、オフセットを用いた抽出方法と、パターンマッチングを用いた抽出方法が存在する。   The extraction table 1A2 is used to extract a connection destination identifier from a packet (extraction target packet) searched based on the keyword table 1A1. As extraction methods, there are an extraction method using offset and an extraction method using pattern matching.

抽出テーブル1A2では、抽出タイプ1A2bには、「オフセット方式」か、「パターンマッチング方式」が指定される。   In the extraction table 1A2, “offset method” or “pattern matching method” is designated as the extraction type 1A2b.

抽出タイプ1A2bに「オフセット方式」(オフセット)が指定された場合、その抽出タイプ1A2bに対応する関連ID1A2cには、オフセット抽出テーブル1A3内のオフセット抽出ID1A3aのいずれかの番号が指定される。   When “offset method” (offset) is specified for the extraction type 1A2b, any number of the offset extraction ID1A3a in the offset extraction table 1A3 is specified for the related ID 1A2c corresponding to the extraction type 1A2b.

また、抽出タイプ1A2bに「パターンマッチング方式」(パターン)が指定された場合、その抽出タイプ1A2bに対応する関連ID1A2cには、パターンマッチング抽出テーブル1A4内のパターン抽出ID1A4bのいずれかの番号が指定される。   In addition, when “pattern matching method” (pattern) is specified for the extraction type 1A2b, any one of the pattern extraction IDs 1A4b in the pattern matching extraction table 1A4 is specified for the related ID 1A2c corresponding to the extraction type 1A2b. The

したがって、抽出タイプ1A2bは、次に参照するデータベースのテーブル名を指定していることとなる。   Therefore, the extraction type 1A2b designates the table name of the database to be referred to next.

本例では、抽出テーブル1A2内の抽出ID「1」は、オフセット抽出テーブル1A3内のオフセット抽出ID「1」と関連する。また、抽出テーブル1A2内の抽出ID「3」は、パターン抽出テーブル1A4内のパターン抽出ID「1」と関連する。   In this example, the extraction ID “1” in the extraction table 1A2 is related to the offset extraction ID “1” in the offset extraction table 1A3. The extraction ID “3” in the extraction table 1A2 is related to the pattern extraction ID “1” in the pattern extraction table 1A4.

オフセット抽出テーブル1A3では、抽出オフセット1A3bに、抽出するバイト列の開始位置を示すオフセットが指定され、抽出長1A3cに、そのバイト列の長さが指定される。なお、抽出オフセット1A3bと抽出長1A3cとで、オフセット情報を構成する。   In the offset extraction table 1A3, an offset indicating the start position of the byte string to be extracted is specified in the extraction offset 1A3b, and the length of the byte string is specified in the extraction length 1A3c. The extraction offset 1A3b and the extraction length 1A3c constitute offset information.

オフセット抽出テーブル1A3内のオフセット抽出ID「1」は、26バイト目から4バイト分情報を抽出することを意味している。上記前提においては、オフセット抽出ID「1」は、ソースIPアドレス(接続元識別子)の抽出を意味している。   The offset extraction ID “1” in the offset extraction table 1A3 means that 4 bytes of information are extracted from the 26th byte. In the above premise, the offset extraction ID “1” means extraction of the source IP address (connection source identifier).

パターン抽出テーブル1A4では、抽出パターン1A4bに、抽出する文字列(パターンマッチング用文字列)のパターンマッチングの式が保持される。なお、抽出パターン1A4bは、パターン情報を構成する。   In the pattern extraction table 1A4, the extraction pattern 1A4b holds a pattern matching expression of the character string to be extracted (character string for pattern matching). The extracted pattern 1A4b constitutes pattern information.

なお、このパターンマッチングに用いる方法は、どういった手段でもよく、本例ではperl(Practical Extraction and Report Language)言語の正規表現に準じた表記を用いている。   Any method may be used for the pattern matching. In this example, a notation according to a regular expression of perl (Practical Extraction and Report Language) language is used.

本例において、パターン抽出テーブル1A4内のパターン抽出ID「1」は、“INVITE sip”の文字列に続く文字列を抽出することを述べている。   In this example, the pattern extraction ID “1” in the pattern extraction table 1A4 describes that a character string following the character string “INVITE sip” is extracted.

加工テーブル1A5は、後述するようにアクションテーブル1A6に基づいて取得された値(例えば、接続元識別子および接続先識別子)を、なんらかの方法(関数)に基づいて加工する場合の関数名(加工手法)を保持する。   The processing table 1A5 is a function name (processing method) for processing values (for example, a connection source identifier and a connection destination identifier) acquired based on the action table 1A6 based on some method (function) as described later. Hold.

閾値テーブル1A7は、アクションテーブル1A6にて指定され、展開キーワードテーブル1B1に引き継がれる閾値の情報を保持し、ソース(接続元)だけのデータ量の閾値、宛先(接続先)だけのデータ量の閾値、ソースと宛先間のデータ量の閾値の3種類の情報を保持する。   The threshold value table 1A7 holds information on threshold values specified in the action table 1A6 and carried over to the expanded keyword table 1B1. The threshold value for the data amount only for the source (connection source) and the threshold value for the data amount only for the destination (connection destination). 3 types of information of the threshold of the data amount between the source and the destination are held.

アクションテーブル1A6では、アクション1A6bに、キーワードテーブル1A1のキーワードID1A1aの組合せ条件式の情報が保持される。   In the action table 1A6, information on the combination conditional expression of the keyword ID 1A1a of the keyword table 1A1 is held in the action 1A6b.

ソース抽出ID1A6cには、ソースの情報(接続元識別子)を抽出するために使用する、抽出テーブル1A2内の抽出ID1A2aの番号が保持される。   The source extraction ID 1A6c holds the number of the extraction ID 1A2a in the extraction table 1A2, which is used to extract source information (connection source identifier).

ソース加工ID1A6dには、抽出されたソース情報を加工するために使用する、加工テーブル1A5内の加工ID1A5aの番号が保持される。   The source processing ID 1A6d holds the number of the processing ID 1A5a in the processing table 1A5 that is used to process the extracted source information.

宛先抽出ID1A6eには、宛先の情報(接続先識別子)を抽出するために使用する、抽出テーブル1A2内の抽出ID1A2aの番号が保持される。   The destination extraction ID 1A6e holds the number of the extraction ID 1A2a in the extraction table 1A2 used for extracting destination information (connection destination identifier).

宛先加工ID1A6fには、抽出された宛先情報を加工するために使用する、加工テーブル1A5内の加工ID1A5aの番号が保持される。   The destination processing ID 1A6f holds the number of the processing ID 1A5a in the processing table 1A5 that is used to process the extracted destination information.

閾値ID1A6gには、閾値テーブル1A7内の閾値ID1A7aの番号が保持される。   The threshold ID 1A6g holds the number of the threshold ID 1A7a in the threshold table 1A7.

図3は、展開キーワードテーブル群1Bの一例を示した説明図である。なお、展開キーワードテーブル群1Bは、DB1a、DB1b、DB1cの何れかまたは全てに設けられており、適切な同期などを用いて検査機器1、判断機器2、制御機器3で同じ情報が参照できる状態になっている。   FIG. 3 is an explanatory diagram showing an example of the expanded keyword table group 1B. The expanded keyword table group 1B is provided in any or all of DB1a, DB1b, and DB1c, and the same information can be referred to by the inspection device 1, the determination device 2, and the control device 3 using appropriate synchronization or the like. It has become.

図3において、展開キーワードテーブル群1Bは、展開キーワードテーブル1B1および展開キーワードパケットカウントテーブル1B2を含む。なお、図3では、展開キーワードテーブル1B1と展開キーワードパケットカウントテーブル1B2が分かれているが、これらは、対応する展開IDに基づいて結合されてもよい。   In FIG. 3, the expansion keyword table group 1B includes an expansion keyword table 1B1 and an expansion keyword packet count table 1B2. In FIG. 3, the expanded keyword table 1B1 and the expanded keyword packet count table 1B2 are separated, but these may be combined based on the corresponding expanded ID.

展開キーワードテーブル1B1には、初期設定テーブル群1Aに基づいて検査機器1によって抽出されたパケットの情報が登録される。   In the expanded keyword table 1B1, information on packets extracted by the inspection device 1 based on the initial setting table group 1A is registered.

展開キーワードテーブル1B1では、ソース1B1bには、パケットのソースを意味する接続元識別子(例えば、データ列)が保持される。   In the expanded keyword table 1B1, the source 1B1b holds a connection source identifier (for example, a data string) that means the source of the packet.

ソースタイプ1B1cには、接続元識別子のタイプを示す、文字列(ASCII)またはデータ列(BINARY)が保持される。   The source type 1B1c holds a character string (ASCII) or a data string (BINARY) indicating the type of the connection source identifier.

ソースオフセット1B1dには、必要な場合は、オフセットが指定される。   In the source offset 1B1d, an offset is designated if necessary.

同様に、宛先1B1eには、パケットの宛先を意味する接続先識別子(例えば、データ列)が保持される。   Similarly, the destination 1B1e holds a connection destination identifier (for example, a data string) that means the destination of the packet.

宛先タイプ1B1fには、接続先識別子のタイプを示す、文字列(ASCII)またはデータ列(BINARY)が保持される。   The destination type 1B1f holds a character string (ASCII) or a data string (BINARY) indicating the type of the connection destination identifier.

宛先オフセット1B1gには、必要な場合は、オフセットが指定される。   In the destination offset 1B1g, an offset is designated if necessary.

展開キーワードパケットカウントテーブル1B2内のパケットカウンタ1B2aでは、展開IDごとに、識別子の抽出数がカウントされる。   The packet counter 1B2a in the expanded keyword packet count table 1B2 counts the number of extracted identifiers for each expanded ID.

展開キーワードテーブル1B1内の閾値1B1hには、展開ID(ソースのみ、宛先のみ、ソース宛先間)に対応する閾値が入る。   The threshold value 1B1h in the expansion keyword table 1B1 includes a threshold value corresponding to the expansion ID (source only, destination only, between source destinations).

次に、動作を説明する。   Next, the operation will be described.

検査機器1は、アクションテーブル1A6内のアクション1A6bの条件式に基づいて、パケットを検索し、その検索されたパケットから情報を抽出して、その抽出結果に基づき展開キーワードテーブル1B1および展開キーワードパケットカウントテーブル1B2に情報を登録する。   The inspection device 1 searches the packet based on the conditional expression of the action 1A6b in the action table 1A6, extracts information from the searched packet, and expands the expanded keyword table 1B1 and the expanded keyword packet count based on the extraction result. Information is registered in the table 1B2.

具体的には、まず、検査機器1は、アクション1A6bの条件式内のキーワードID1A1aにて特定される検索を順々に行う。   Specifically, first, the inspection device 1 sequentially performs searches specified by the keyword ID 1A1a in the conditional expression of the action 1A6b.

検査機器1は、任意の文字列(ASCII)またはデータ列(BINARY)の検索を使用して、入力されたパケットから、予め初期設定テーブル群1Aのキーワードテーブル1A1に保持されているキーワードを検索する。   The inspection device 1 uses a search of an arbitrary character string (ASCII) or data string (BINARY) to search for keywords stored in the keyword table 1A1 of the initial setting table group 1A from the input packet in advance. .

例として、アクションID「1」の場合、検査機器1は、キーワードID「1」、「2」および「7」に設定されている検索条件にしたがって、入力される複数のパケットから、30バイト目が「0x0a01010a」(宛先IPアドレスが10.1.1.10)で、かつ、36バイト目が「0x13c4」(宛先ポート番号が5060)で、かつ、「INVITE」の文字列が含まれているパケット(抽出対象パケット)を検索する。   For example, in the case of the action ID “1”, the inspection device 1 determines the 30th byte from a plurality of input packets according to the search conditions set in the keyword IDs “1”, “2”, and “7”. Is "0x0a01010a" (destination IP address is 10.1.1.10), the 36th byte is "0x13c4" (destination port number is 5060), and the character string "INVITE" is included Search for packets (extracted packets).

続いて、検査機器1は、アクションIDごとに、検索されたパケットから、アクションテーブル1A6内のソース抽出ID1A6cに保持された抽出IDに基づいてデータ(接続元識別子)を抽出する。   Subsequently, for each action ID, the inspection device 1 extracts data (connection source identifier) from the retrieved packet based on the extraction ID held in the source extraction ID 1A6c in the action table 1A6.

例として、アクションID「1」の場合、検査機器1は、まず、ソース抽出ID1A6cに保持された抽出ID「1」を読み取る。続いて、検査機器1は、抽出テーブル1A2を参照して、抽出ID「1」に関連づけられているオフセット抽出テーブル1A3のオフセット抽出ID「1」を選定する。続いて、検査機器1は、検索されたパケットから、オフセット抽出ID「1」の抽出条件(26バイト目から4バイト分データを抽出するという条件)にしたがって、データ(接続元識別子)を抽出する。   For example, in the case of the action ID “1”, the inspection device 1 first reads the extraction ID “1” held in the source extraction ID 1A6c. Subsequently, the inspection device 1 refers to the extraction table 1A2 and selects the offset extraction ID “1” of the offset extraction table 1A3 associated with the extraction ID “1”. Subsequently, the inspection device 1 extracts data (connection source identifier) from the retrieved packet according to the extraction condition of the offset extraction ID “1” (condition that data of 4 bytes is extracted from the 26th byte). .

続いて、検査機器1は、アクションテーブル1A6のソース抽出ID1A6cを用いて抽出された結果を、展開キーワードテーブル1B1のソース1B1bに設定する。   Subsequently, the inspection device 1 sets the result extracted using the source extraction ID 1A6c of the action table 1A6 in the source 1B1b of the expanded keyword table 1B1.

ただし、ソース抽出ID1A6cに対応するソース加工ID1A6dに、加工IDの番号が設定されている場合は、検査機器1は、その加工ID1A5aに基づいて、データ(接続元識別子)を加工する。   However, when the processing ID number is set in the source processing ID 1A6d corresponding to the source extraction ID 1A6c, the inspection device 1 processes the data (connection source identifier) based on the processing ID 1A5a.

加工ID「1」の「getnameinfo」は、DNS(Domain Name System)を用いた名前変換(加工手法)を意味している。   “Getnameinfo” of the processing ID “1” means name conversion (processing method) using DNS (Domain Name System).

IPアドレスを指定して行う通信はIPアドレスを覚える必要性など不便な点があるため、DNSを介したホスト名を用いて通信が行われるのが一般的である。   Since communication performed by designating an IP address has inconveniences such as the necessity of memorizing the IP address, communication is generally performed using a host name via DNS.

したがって、同一のホストの指定方法にIPアドレスとホスト名の2種類が存在する。展開キーワードテーブル1B1に登録する際にIPアドレスのみを登録すると、ホスト名を用いられたパケットをチェックできないため、名前変換を行う。加工前状態と加工結果は共に展開キーワードテーブルに登録される。また図に示していないが、名前からアドレスへの変換(加工)を行えば、異なるアドレスファミリーの情報を取得もできる。   Therefore, there are two types of IP address and host name in the same host designation method. If only the IP address is registered when registering in the expanded keyword table 1B1, the packet using the host name cannot be checked, so name conversion is performed. Both the pre-processing state and the processing result are registered in the expanded keyword table. Although not shown in the figure, information of different address families can be acquired by performing conversion (processing) from a name to an address.

展開キーワードテーブル1B1のソースオフセット1B1dには、抽出方法が「オフセット」だった場合に、オフセット抽出テーブル1A3の抽出オフセット1A3bの値が引き継がれる。   When the extraction method is “offset”, the value of the extraction offset 1A3b of the offset extraction table 1A3 is succeeded to the source offset 1B1d of the expansion keyword table 1B1.

また、検査機器1は、抽出方法が「オフセット」だった場合に、ソースタイプ1B1cに「BINARY」を設定し、一方、抽出方法が「パターンマッチ」だった場合に、ソースタイプ1B1cに「ASCII」を設定する。   Further, when the extraction method is “offset”, the inspection device 1 sets “BINARY” to the source type 1B1c, while when the extraction method is “pattern match”, the inspection type 1 sets “ASCII” to the source type 1B1c. Set.

検査機器1は、同様の方法で、展開キーワードテーブル1B1内の、宛先1B1e、宛先タイプ1B1f、および、宛先オフセット1B1gに情報を設定する。   The inspection device 1 sets information in the destination 1B1e, the destination type 1B1f, and the destination offset 1B1g in the expanded keyword table 1B1 by the same method.

以上のようにして、検査機器1は、生成された情報を、展開キーワードテーブル1B1に登録する。   As described above, the inspection device 1 registers the generated information in the expanded keyword table 1B1.

同時に、検査機器1は、展開キーワードパケットカウントテーブル1B2内の該当展開IDのパケットカウンタ1B2aに1を記録する。既に、該当展開IDのパケットカウンタ1B2aに数値が登録済みの場合は、検査機器1は、そのパケットカウンタ1B2aを1増加(インクリメント)する。   At the same time, the inspection device 1 records 1 in the packet counter 1B2a of the corresponding expansion ID in the expansion keyword packet count table 1B2. If the numerical value has already been registered in the packet counter 1B2a of the corresponding development ID, the inspection device 1 increments (increments) the packet counter 1B2a by one.

検査機器1は、展開キーワードテーブル1B1へ新規にデータを登録する場合、1つの検索結果から、ソースだけ、宛先だけ、ソース宛先両方の計3種類の情報を登録する。   When newly registering data in the expanded keyword table 1B1, the inspection device 1 registers a total of three types of information including only the source, only the destination, and both the source and destination from one search result.

その際に、検査機器1は、アクションテーブル1A6の閾値ID1A6gで設定された情報(閾値IDの番号)に基づいて、閾値テーブル1A7の該当IDのソース閾値1A7b、宛先閾値1A7c、ソース宛先間閾値1A7dのそれぞれを、展開キーワードテーブル1B1内の、ソースだけの情報、宛先だけの情報、および、ソース宛先両方の情報に対応する閾値1B1hに設定する。   At that time, based on the information (threshold ID number) set in the threshold ID 1A6g of the action table 1A6, the inspection device 1 uses the source threshold 1A7b, the destination threshold 1A7c, and the inter-source destination threshold 1A7d of the corresponding ID in the threshold table 1A7. Are set to a threshold value 1B1h corresponding to both source-only information, destination-only information, and source-destination information in the expanded keyword table 1B1.

展開キーワードテーブル1B1に保持される情報は、上記が最低限の情報となり、さらに、検査機器1が、取得した情報を展開キーワードテーブル1B1に追記する場合に、例えばバイト量のカウンタ等を追記してもよい。   The information held in the expanded keyword table 1B1 is the minimum information described above. Further, when the inspection device 1 adds the acquired information to the expanded keyword table 1B1, for example, a byte amount counter is added. Also good.

展開キーワードテーブル1B1が容量等の制限で追記不可となる場合は、検査機器1は、LRU(LeastRecentlyUsed)等を用いて、最も参照されていないキーワードから削除していけばよい。   When the expanded keyword table 1B1 cannot be additionally written due to the limitation of the capacity or the like, the inspection device 1 may be deleted from the least referenced keyword using LRU (Least Recently Used) or the like.

検査機器1は、これら、展開キーワードテーブル1B1および展開キーワードパケットカウントテーブル1B2の情報を定期的に、判断機器2に通知する。通知の時間間隔は、用途に合わせて外部より設定される。例えば、リアルタイム性が求められれば、1秒といった細かい間隔になる。   The inspection device 1 periodically notifies the determination device 2 of the information in the expanded keyword table 1B1 and the expanded keyword packet count table 1B2. The notification time interval is set from the outside according to the application. For example, if real-time performance is required, the interval is as fine as 1 second.

検査機器1と判断機器2が一体の場合は、内部のメモリコピー、プロセス間メッセージなどを用いて、通知が行われる。   When the inspection device 1 and the determination device 2 are integrated, notification is performed using an internal memory copy, an interprocess message, or the like.

検査機器1と判断機器2が分離している場合は、何らかの通信方法で、それらの情報を通知する。   When the inspection device 1 and the determination device 2 are separated, the information is notified by some communication method.

例えば、検査機器1が、これらデータベースをプライベートMIB(Management Information Base)で保持しておけば、判断機器2は、SNMP(Simple Network Management Protocol)を介して、それらの情報を取得すればよい。もしくは、ベンダー独自の情報が定義可能なIPFIXなどを用いて、検査機器1が、判断機器2にデータを送信してもよい。また、DB間のレプリケーション(複製の作成技術)を用いてもよい。   For example, if the inspection device 1 holds these databases in a private MIB (Management Information Base), the determination device 2 may acquire such information via SNMP (Simple Network Management Protocol). Alternatively, the inspection device 1 may transmit data to the determination device 2 using IPFIX or the like that can define vendor-specific information. Further, replication between DBs (replication creation technology) may be used.

一体の場合でも分離している場合でも、検査機器1と判断機器2がデータベースを共有している場合は、データベースの相互参照で情報の通信を実現できる。   Whether integrated or separated, when the inspection device 1 and the determination device 2 share a database, information communication can be realized by cross-referencing the database.

判断機器2は、送信されたカウンタ情報(パケットカウンタ1B2aの値)を元に、閾値判定を行う。   The determination device 2 performs threshold determination based on the transmitted counter information (value of the packet counter 1B2a).

判断機器2は、単位時間当たりに閾値を超過した、ソースのみ、もしくは、ソースと宛先の組み合わせの情報(カウンタ情報)を含むパケットのマークを“低”とする。また、判断機器2は、一旦閾値を超過した後に閾値を下回ったカウンタ情報を有するパケットのマークを“普通”に戻す。   The determination device 2 sets the mark of the packet including the information of only the source or the combination of the source and the destination (counter information) exceeding the threshold per unit time to “low”. In addition, the determination device 2 returns the mark of the packet having the counter information that has fallen below the threshold value after exceeding the threshold value to “normal”.

判断機器2は、この結果を、制御機器3に通知する。   The determination device 2 notifies the control device 3 of this result.

この通知の方法は、検査機器1と判断機器2の場合と同じである。   This notification method is the same as that for the inspection device 1 and the determination device 2.

なお、判断機器2は、マークが“低”の情報だけを制御機器3に送信すればよい。   Note that the determination device 2 only needs to transmit only information with the mark “low” to the control device 3.

マークが“低”の情報だけを送信する場合は、判断機器2は、過去の情報でマークが“低”となっていたが、新しく通知された情報でそれが報告されていない場合は、マークを“普通”としてみなす。   In the case of transmitting only information with the mark “low”, the judgment device 2 uses the past information when the mark is “low”, but the newly notified information does not report it. Is considered “normal”.

また、判断機器2は、宛先のみの情報において、カウンタ情報が閾値を超えた場合は、マークを“保護”にする。   Further, the determination device 2 sets the mark to “protect” when the counter information exceeds the threshold in the information of only the destination.

単位時間当たりの判断のために、展開キーワードパケットカウンタテーブル1B2に開始時刻が記録されてもよい。   For the determination per unit time, the start time may be recorded in the expanded keyword packet counter table 1B2.

制御機器3は、開始時刻を、単位時間毎に更新し、該当パケットが観測された時刻から開始時刻を減算して得られた時間を利用して、単位時間内か否かを判断する。ソースオフセット1B1dには、必要な場合は、接続元識別子を検索するために用いる開始オフセットが指定される。   The control device 3 updates the start time every unit time, and uses the time obtained by subtracting the start time from the time when the corresponding packet is observed to determine whether the time is within the unit time. In the source offset 1B1d, a start offset used for searching for a connection source identifier is specified, if necessary.

また上記のLRUなどを実行するために、展開キーワードパケットカウントテーブル1B2に、最終アクセス時刻が記録されてもよい。   Further, in order to execute the above LRU or the like, the last access time may be recorded in the expanded keyword packet count table 1B2.

制御機器3は、この情報に基づいて、再度パケットの情報をチェックする。   The control device 3 checks the packet information again based on this information.

制御機器3は、展開キーワードテーブル1B1に示されたパケットに対して制御を行う。宛先オフセット1B1gには、必要な場合は、接続先識別子を検索するために用いる開始オフセットが指定される。   The control device 3 controls the packet indicated in the expanded keyword table 1B1. In the destination offset 1B1g, a start offset used for searching for a connection destination identifier is designated if necessary.

制御機器3は、マークが“低”とされた以外のパケットについては、マークが“低”とされたパケットよりも高いマークを設定し、相対的にマークが“低”とされたパケットの優先度が低くなる。   The control device 3 sets a higher mark than the packet whose mark is “low” for packets other than those whose mark is “low”, and priority is given to the packet whose mark is relatively “low”. The degree becomes lower.

この制御は、もしも、後段にDiffservなどに対応したネットワーク機器があれば、DSCP(Diff-serv Code Point)などの値を、リマークするだけでもよいし、制御機器3自身が、CBWFQ(Class Based Weighted Fare Queuing)等を用いたキューイング処理をすればよい。   If there is a network device corresponding to Diffserv or the like in the subsequent stage, this control may simply remark a value such as DSCP (Diff-serv Code Point), or the control device 3 itself may perform CBWFQ (Class Based Weighted). For example, queuing processing using Fare Queuing) may be performed.

また、宛先が“保護”となっている場合は、制御機器3は、トークンバケットなどを用いて、単位時間当たりに転送されるパケット数を制限(例えば、パケットを廃棄して制限)すればよい。   In addition, when the destination is “protected”, the control device 3 may limit the number of packets transferred per unit time (for example, discard packets to limit) using a token bucket or the like. .

なお、本例は一例であり、初期設定テーブル群1Aのキーワードテーブル1A1、抽出テーブル1A2、オフセット抽出テーブル1A3、パターン抽出テーブル1A4、閾値テーブル1A7、加工テーブル1A5は、正規化せずに単一または例示したよりも少ない数のテーブルとしてもよい。   This example is an example, and the keyword table 1A1, the extraction table 1A2, the offset extraction table 1A3, the pattern extraction table 1A4, the threshold value table 1A7, and the processing table 1A5 of the initial setting table group 1A may be single or The number of tables may be smaller than that illustrated.

同様に、展開キーワードテーブル1B1と展開キーワードパケットカウントテーブル1B2は、正規化せずに単一のテーブルであってもよい。   Similarly, the expansion keyword table 1B1 and the expansion keyword packet count table 1B2 may be a single table without being normalized.

本実施形態によれば、以下の効果を奏する。   According to this embodiment, the following effects can be obtained.

レイヤやプロトコルを限定することなく、大量接続数の接続を限定することができる。   A large number of connections can be limited without limiting layers and protocols.

また、その制御の判断となる情報もIPアドレスに限定されないため、IPアドレスによる偽装によるすり抜けも回避できる上に、VLAN情報などIPより下位の情報やSIP URI等の上位の情報も利用できる。   In addition, since the information for determining the control is not limited to the IP address, it is possible to avoid slipping by impersonation by the IP address, and it is possible to use lower information such as VLAN information and higher information such as SIP URI.

また、展開キーワードテーブル登録時に加工を行うプロセスを挿入することで、例えば名前変換を行えば、同一ホストに対する複数の指定を統一することができる。   Further, by inserting a process for processing when registering the expanded keyword table, for example, if name conversion is performed, a plurality of designations for the same host can be unified.

本実施形態によれば、検査装置100は、接続先宛に送信された複数のパケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索し、その検索された抽出対象パケットから接続先識別子を抽出し、接続先識別子の抽出数をカウントする。   According to the present embodiment, the inspection apparatus 100 searches an extraction target packet having a keyword for detecting a connection destination identifier from a plurality of packets transmitted to the connection destination, and from the extracted extraction target packet The connection destination identifier is extracted, and the number of connection destination identifiers extracted is counted.

このため、接続先識別子の種類に応じてキーワードが適宜設定されれば、IPアドレスに限らない接続先識別子を検出することが可能になる。よって、レイヤやプロトコルにとらわれることなく、接続先を特定することが可能になり、接続先を大量接続要求から防御することが可能になる。   For this reason, if a keyword is appropriately set according to the type of connection destination identifier, it is possible to detect a connection destination identifier that is not limited to an IP address. Therefore, it is possible to specify a connection destination without being bound by a layer or a protocol, and it is possible to protect the connection destination from a mass connection request.

また、検査機器1は、抽出テーブル1A2とオフセット抽出テーブル1A3とパターン抽出テーブル1A4に設定された抽出情報にしたがって接続先識別子を抽出し、展開キーワードテーブル1B1と展開キーワードパケットカウントテーブル1B2からなるカウンタテーブルを用いて、接続先識別子の抽出数をカウントする。   Further, the inspection device 1 extracts a connection destination identifier according to the extraction information set in the extraction table 1A2, the offset extraction table 1A3, and the pattern extraction table 1A4, and a counter table including the expansion keyword table 1B1 and the expansion keyword packet count table 1B2. Is used to count the number of connection destination identifiers extracted.

この場合、接続先識別子の種類に応じて抽出情報を適宜設定することが可能となり、IPアドレスに限らない接続先識別子を検出することが可能になる。   In this case, the extraction information can be appropriately set according to the type of the connection destination identifier, and a connection destination identifier that is not limited to the IP address can be detected.

また、検査機器1は、検索オフセットがキーワードに対応づけて設定されている場合、パケットにおいて検索オフセットに示された位置からキーワードの検索を開始する。   When the search offset is set in association with the keyword, the inspection device 1 starts searching for the keyword from the position indicated by the search offset in the packet.

この場合、無駄な検索を不要にでき、抽出対象パケットを効率よく検索することが可能になる。   In this case, useless search can be eliminated, and the extraction target packet can be searched efficiently.

また、検査機器1は、抽出情報としてオフセット情報が用いられている場合には、抽出対象パケットにおいて抽出オフセットに示された位置から抽出長に示された長さの情報を接続先識別子として抽出する。また、検査機器1は、抽出情報としてパターン情報が用いられている場合には、抽出対象パケットにおいて文字列のパターンマッチングを行い、その文字列に続く情報を接続先識別子として抽出する。   When the offset information is used as the extraction information, the inspection device 1 extracts the length information indicated by the extraction length from the position indicated by the extraction offset in the extraction target packet as the connection destination identifier. . When the pattern information is used as the extraction information, the inspection device 1 performs pattern matching of the character string in the extraction target packet, and extracts information subsequent to the character string as a connection destination identifier.

この場合、抽出予定の接続先識別子の種類に応じて抽出手法を変更することが可能になり、接続先識別子を効率よく抽出することが可能になる。   In this case, the extraction method can be changed according to the type of the connection destination identifier to be extracted, and the connection destination identifier can be extracted efficiently.

また、検査機器1は、複数のパケットから、アクション(特定情報)1A6aにて特定される複数のキーワードを有するパケットを、抽出対象パケットとして検索する。   Also, the inspection device 1 searches for a packet having a plurality of keywords specified by the action (specific information) 1A6a as a packet to be extracted from the plurality of packets.

この場合、抽出対象パケットの検索条件を詳細にできるので、抽出対象パケットを効率よく検索することが可能になる。   In this case, since the search conditions for the extraction target packet can be detailed, it is possible to efficiently search for the extraction target packet.

また、検査機器1は、抽出された接続先識別子を、加工テーブル1A5に設定された加工関数(加工手法)1A5bにしたがって加工して、展開キーワードテーブル1B1に登録する。   Further, the inspection device 1 processes the extracted connection destination identifier in accordance with the processing function (processing method) 1A5b set in the processing table 1A5, and registers it in the expanded keyword table 1B1.

この場合、例えば、接続先識別子を利用者が認識しやすい形式に変換することが可能になる。   In this case, for example, the connection destination identifier can be converted into a format that is easy for the user to recognize.

以上説明した実施形態および実施例において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。   In the embodiments and examples described above, the illustrated configuration is merely an example, and the present invention is not limited to the configuration.

本発明の一実施形態の接続制限システムを示したブロック図である。It is the block diagram which showed the connection restriction | limiting system of one Embodiment of this invention. 本発明の他の実施形態の接続制限システムを示したブロック図である。It is the block diagram which showed the connection restriction | limiting system of other embodiment of this invention. 初期設定テーブル群1Aの一例を示した説明図である。It is explanatory drawing which showed an example of the initial setting table group 1A. 展開キーワードテーブル1B1および展開キーワードパケットカウントテーブル1B2の一例を示した説明図である。It is explanatory drawing which showed an example of the expansion | deployment keyword table 1B1 and the expansion | deployment keyword packet count table 1B2.

符号の説明Explanation of symbols

1 検査機器
2 判断機器
3 制御機器
1a、2a、3a DB
4 ホスト
5 ネットワーク機器
10 接続元
11 ネットワーク機器
12 ネットワーク
100 検査装置
200 制御システム
1A 初期設定テーブル群
1A1 キーワードテーブル
1A2 抽出テーブル
1A3 オフセット抽出テーブル
1A4 パターン抽出テーブル
1A5 加工テーブル
1A6 アクションテーブル
1A7 閾値テーブル
1B1 展開キーワードテーブル
1B2 展開キーワードパケットカウントテーブル DESCRIPTION OF SYMBOLS 1 Inspection apparatus 2 Judgment apparatus 3 Control apparatus 1a, 2a, 3a DB
4 Host 5 Network device 10 Connection source 11 Network device 12 Network 100 Inspection device 200 Control system 1A Initial setting table group 1A1 Keyword table 1A2 Extraction table 1A3 Offset extraction table 1A4 Pattern extraction table 1A5 Processing table 1A6 Action table 1A7 Threshold table 1B1 Expanded keyword Table 1B2 Expanded keyword packet count table

Claims (7)

接続先宛に送信された複数の接続要求パケットを受け付け、前記接続先への前記接続要求パケットの提供を管理する接続制限システムであって、
前記複数の接続要求パケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから前記接続先識別子を抽出し、前記接続先識別子の抽出数をカウントする検査手段と、
前記接続先識別子の抽出数に基づいて、前記接続先への前記接続要求パケットの提供を制御する制御手段と、を含む接続制限システム。 A connection restriction system that accepts a plurality of connection request packets transmitted to a connection destination and manages the provision of the connection request packet to the connection destination;
The extraction target packet having a keyword for detecting a connection destination identifier is searched from the plurality of connection request packets, the connection destination identifier is extracted from the searched extraction target packet, and the number of connection destination identifiers extracted is calculated. Inspection means for counting;
Control means for controlling provision of the connection request packet to the connection destination based on the number of connection destination identifiers extracted. 前記検査手段は、
前記キーワードが設定されるキーワードテーブルと、
前記接続先識別子を抽出するための抽出情報が設定される抽出用テーブルと、
カウンタテーブルと、
前記複数の接続要求パケットから、前記キーワードテーブルに設定されたキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから、前記抽出用テーブルに設定された抽出情報にしたがって前記接続先識別子を抽出し、前記カウンタテーブルを用いて前記接続先識別子の抽出数をカウントする検査部と、を含む、請求項1に記載の接続制限システム。 The inspection means includes
A keyword table in which the keywords are set;
An extraction table in which extraction information for extracting the connection destination identifier is set;
A counter table,
The extraction target packet having the keyword set in the keyword table is searched from the plurality of connection request packets, and the connection destination identifier is extracted from the searched extraction target packet according to the extraction information set in the extraction table. And a check unit that counts the number of extracted connection destination identifiers using the counter table. 前記キーワードテーブルには、前記接続要求パケットにおいて前記キーワードの検索を開始する位置を示す検索オフセットが、前記キーワードに対応づけて設定可能であり、
前記検査部は、前記検索オフセットが前記キーワードに対応づけて設定されている場合、前記接続要求パケットにおいて当該検索オフセットに示された位置から前記キーワードの検索を開始する、請求項2に記載の接続制限システム。 In the keyword table, a search offset indicating a position to start searching for the keyword in the connection request packet can be set in association with the keyword,
The connection according to claim 2, wherein, when the search offset is set in association with the keyword, the inspection unit starts searching for the keyword from a position indicated by the search offset in the connection request packet. Limit system. 前記抽出情報は、前記抽出対象パケットにおいて前記接続先識別子の抽出を開始する位置を示す抽出オフセットと抽出される情報の長さを示す抽出長とを含むオフセット情報と、パターンマッチング用文字列を含むパターン情報と、のいずれかであり、
前記検査部は、前記抽出情報として前記オフセット情報が用いられている場合には、前記抽出対象パケットにおいて前記抽出オフセットに示された位置から前記抽出長に示された長さの情報を前記接続先識別子として抽出し、前記抽出情報として前記パターン情報が用いられている場合には、前記抽出対象パケットにおいて前記パターンマッチング用文字列のパターンマッチングを行い当該パターンマッチング用文字列に続く情報を前記接続先識別子として抽出する、請求項2または3に記載の接続制限システム。 The extraction information includes offset information including an extraction offset indicating a position where extraction of the connection destination identifier is started in the extraction target packet and an extraction length indicating a length of the extracted information, and a pattern matching character string. Pattern information, and
When the offset information is used as the extraction information, the inspection unit obtains information about the length indicated in the extraction length from the position indicated in the extraction offset in the extraction target packet. When the pattern information is extracted as an identifier and the pattern information is used as the extraction information, the pattern matching character string is subjected to pattern matching in the extraction target packet, and information following the pattern matching character string is transmitted to the connection destination. The connection restriction system according to claim 2 or 3, wherein the connection restriction system is extracted as an identifier. 前記キーワードテーブルには、前記キーワードが複数設定され、
前記キーワードテーブルに設定された前記複数のキーワードから選択された複数のキーワードを特定するための特定情報が設定されるアクションテーブルをさらに含み、
前記検査部は、前記複数の接続要求パケットから、前記特定情報にて特定される複数のキーワードを有するパケットを、前記抽出対象パケットとして検索する、請求項2から4のいずれか1項に記載の接続制限システム。 A plurality of the keywords are set in the keyword table,
An action table in which specific information for specifying a plurality of keywords selected from the plurality of keywords set in the keyword table is set;
5. The inspection unit according to claim 2, wherein the inspection unit searches, as the extraction target packet, a packet having a plurality of keywords specified by the specific information from the plurality of connection request packets. 6. Connection restriction system. 前記接続先識別子の加工手法が設定される加工テーブルと、
前記接続先識別子が設定される展開キーワードテーブルと、をさらに含み、
前記検査部は、前記抽出された接続先識別子を前記加工テーブルに設定された加工手法にしたがって加工して前記展開キーワードテーブルに設定する、請求項2から5のいずれか1項に記載の接続制限システム。 A processing table in which a processing method of the connection destination identifier is set;
An expanded keyword table in which the connection destination identifier is set;
The connection restriction according to claim 2, wherein the inspection unit processes the extracted connection destination identifier according to a processing method set in the processing table and sets the extracted connection destination identifier in the expanded keyword table. system. 接続先宛に送信された複数の接続要求パケットを受け付け、前記接続先への前記接続要求パケットの提供を管理する接続制限システムが行う接続制限方法であって、
前記複数の接続要求パケットから、接続先識別子を検出するためのキーワードを有する抽出対象パケットを検索し、当該検索された抽出対象パケットから前記接続先識別子を抽出し、前記接続先識別子の抽出数をカウントする検査ステップと、
前記接続先識別子の抽出数に基づいて、前記接続先への前記接続要求パケットの提供を制御する制御ステップと、を含む接続制限方法。 A connection restriction method performed by a connection restriction system that accepts a plurality of connection request packets transmitted to a connection destination and manages the provision of the connection request packet to the connection destination,
The extraction target packet having a keyword for detecting a connection destination identifier is searched from the plurality of connection request packets, the connection destination identifier is extracted from the searched extraction target packet, and the number of connection destination identifiers extracted is calculated. An inspection step to count;
And a control step of controlling provision of the connection request packet to the connection destination based on the number of connection destination identifiers extracted.
JP2007204185A 2007-08-06 2007-08-06 Connection restriction system and method Pending JP2009044226A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007204185A JP2009044226A (en) 2007-08-06 2007-08-06 Connection restriction system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007204185A JP2009044226A (en) 2007-08-06 2007-08-06 Connection restriction system and method

Publications (1)

Publication Number Publication Date
JP2009044226A true JP2009044226A (en) 2009-02-26

Family

ID=40444534

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007204185A Pending JP2009044226A (en) 2007-08-06 2007-08-06 Connection restriction system and method

Country Status (1)

Country Link
JP (1) JP2009044226A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013737A (en) * 2004-06-24 2006-01-12 Fujitsu Ltd Device for eliminating abnormal traffic

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013737A (en) * 2004-06-24 2006-01-12 Fujitsu Ltd Device for eliminating abnormal traffic

Similar Documents

Publication Publication Date Title
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
JP4392294B2 (en) Communication statistics collection device
WO2018107784A1 (en) Method and device for detecting webshell
JP4664257B2 (en) Attack detection system and attack detection method
US9258289B2 (en) Authentication of IP source addresses
US8904524B1 (en) Detection of fast flux networks
JP5713445B2 (en) Communication monitoring system and method, communication monitoring device, virtual host device, and communication monitoring program
CN104994016B (en) Method and apparatus for packet classification
KR20130014226A (en) Dns flooding attack detection method on the characteristics by attack traffic type
CN107682470B (en) Method and device for detecting public network IP availability in NAT address pool
JP2020017809A (en) Communication apparatus and communication system
WO2011032321A1 (en) Data forwarding method, data processing method, system and device thereof
WO2017185912A1 (en) Method and apparatus for collecting statistics about terminal device information based on hash node
US11671405B2 (en) Dynamic filter generation and distribution within computer networks
JP2007208861A (en) Illegal access monitoring apparatus and packet relaying device
JP4743901B2 (en) Method, system and computer program for detecting unauthorized scanning on a network
CN107690004B (en) Method and device for processing address resolution protocol message
US8788823B1 (en) System and method for filtering network traffic
US20230367875A1 (en) Method for processing traffic in protection device, and protection device
CN110224932B (en) Method and system for rapidly forwarding data
US10516665B2 (en) Network management apparatus, network management method, and recording medium
JP5385867B2 (en) Data transfer apparatus and access analysis method
JP2009044226A (en) Connection restriction system and method
TW201132055A (en) Routing device and related packet processing circuit
JP6476853B2 (en) Network monitoring system and method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090714

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110406

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110727