JP4547342B2 - ネットワーク制御装置と制御システム並びに制御方法 - Google Patents

ネットワーク制御装置と制御システム並びに制御方法 Download PDF

Info

Publication number
JP4547342B2
JP4547342B2 JP2006019980A JP2006019980A JP4547342B2 JP 4547342 B2 JP4547342 B2 JP 4547342B2 JP 2006019980 A JP2006019980 A JP 2006019980A JP 2006019980 A JP2006019980 A JP 2006019980A JP 4547342 B2 JP4547342 B2 JP 4547342B2
Authority
JP
Japan
Prior art keywords
packet
packets
count
combination
traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006019980A
Other languages
English (en)
Other versions
JP2006314077A (ja
Inventor
義則 渡辺
隆史 磯部
秀光 樋口
毅 相本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2006019980A priority Critical patent/JP4547342B2/ja
Priority to US11/365,609 priority patent/US7609629B2/en
Publication of JP2006314077A publication Critical patent/JP2006314077A/ja
Priority to US12/470,000 priority patent/US8358592B2/en
Application granted granted Critical
Publication of JP4547342B2 publication Critical patent/JP4547342B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

技術分野は、ネットワーク上のパケットをネットワーク間で転送するネットワーク制御装置およびシステムに関し、特に大量のトラフィックの中から不適切なトラフィックを効率よく検出し、該トラフィックの転送を制御することができるネットワーク制御装置およびシステムに関する。
インターネットやLANの利用が普及するとともに、それらのネットワークの安定した運用の重要性が増している。特にインターネットにおいては不特定多数のユーザが様々なアプリケーションを利用する。そのため、インターネットサービスプロバイダが想定する以上の過負荷トラフィック、あるいは、攻撃やネットワークワームの流布などの不正行為によるトラフィックが発生する可能性が高く、これらをどのように検知、制御し、通常の通信の安定性を確保するかが課題となっている。
このような課題に対処するための代表的な技術の一つとして、侵入検知システムが知られている。侵入検知システムは、不正なパケットのパターンを事前にデータベースとして保持しておき、受信したパケットと該データベース内容の比較を行うことで不正なパケットを検知するシステムである。侵入検知システムは、検査対象パケットと膨大な不正パケットのデータベースとの比較を行うため、その処理速度が問題となることがあるが、たとえば、保護対象ネットワーク内に存在するサーバの種類に応じて比較対象とするデータベース内容をあらかじめ絞り込んでおくことで処理を高速化する方法などが開示されている(例えば、特許文献1参照)。
また、ネットワークが輻輳を起こすような過大なトラフィックが発生した場合の対処技術としては、ユーザやコンピュータといった単位で監視対象をあらかじめ決めておき、該監視対象ごとのトラフィック量などの情報を計測して、輻輳発生時に前記トラフィック量が多い監視対象のトラフィックに対して帯域制限を行う方法などが開示されている(例えば、特許文献2参照)。
さらに、最近では、インターネットのバックボーンネットワークなどの膨大なトラフィックが流れるネットワークにおいて、所定の特徴を持ち、大きな帯域を占有するトラフィックを高速に抽出するためにバスケット解析を応用したトラフィックの解析方法などが開示されている(例えば、特許文献3参照)。バスケット解析とは、データマイニング手法の一つで、小売店等で一緒に買われることが多い商品の組み合わせを見つけるためのデータ解析である。
特開2003−223375公報 特開2001−217842公報 特開2005−285048公報
特許文献1の技術は、パターンマッチングにより不正なパケットの検知を行う侵入検知システムにおいて、マッチングを行うパターンを削減することにより処理の高速化を図ろうというものである。例えば組織ネットワークの入口程度のトラフィックで、限定されたサービスしか利用しないネットワークでは有効と考えられる。しかし、パケット毎のパターンマッチング処理を行っているという点で処理速度の限界はあり、インターネットのバックボーンネットワーク程度のトラフィックに対応するのは困難であるという課題があった。
また、特許文献2の技術は、監視対象を事前に決めておき、該監視対象の利用トラフィック量をデータベースにより管理しようというものである。限定された監視対象の環境で利用する分には問題ないかもしれない。しかし、不特定多数のコンピュータ等のトラフィックが通過するインターネットのバックボーンネットワークに適用しようとすると、監視対象を事前に決めておくという運用が困難となり、仮に適用するにしても膨大なメモリ等のリソースが必要になってしまうという課題があった。
また、特許文献3の技術は、特許文献1の技術や特許文献2の技術で問題となる処理性能やメモリ等の必要リソース量の問題を解決しているかもしれない。しかし、抽出したトラフィックの特性(例えば、DDoS攻撃、ネットワークワームの拡散、P2Pファイル交換など)を精度よく判定するために必要な情報の取得までは配慮されていない。そのため、抽出したトラフィックに対して遮断等の制御を行おうとした場合に、抽出されたトラフィックに対して誤った制御を行ってしまうことを防ぐことが難しいという課題があった。
そこで、インターネットのバックボーンネットワークのような膨大なトラフィックが流れるネットワークにおいても不正なトラフックを高速に抽出してその特性を判定可能なネットワーク制御装置およびシステムを検討した。
また、監視対象を制限することなく、過大なトラフィックを発生するネットワーク上の装置を少ないメモリリソースで抽出可能なネットワーク制御装置およびシステムを検討した。
また、抽出されて特性が判定されたトラフィックに対して、事前に設定された制御ポリシーに従って自動的に制御を行うことが可能なネットワーク制御装置およびシステムを検討した。
上記課題を考慮して、例えば、転送するパケットのヘッダ部分に含まれる項目の任意の組み合わせ毎にパケット数を積算する手段と、該手段による積算値が所定のしきい値を超えたかどうかを判定する手段を設け、前記パケット数が前記しきい値を超えた時に、前記項目の組み合わせと前記項目の組み合わせとは異なる組み合わせの積算値から前記転送するパケットの種別を判定する技術を提供する。
また、上記課題を考慮して、例えば、前記パケット数を積算する手段において、項目組み合わせと積算値の組み合わせを保持する領域の割り当てに前記項目組み合わせのハッシュ値を用いる割り当て手段と、前記割り当て手段が既に他の項目組み合わせの積算で使用中の領域を割り当てた場合に、前記領域の積算値を減算する手段を設け、前記積算値が前記減算の結果0となったときに、後から現れた項目組み合わせが前記領域を上書き利用する技術を提供する。
また、上記課題を考慮して、トラフィック中の特定のパケットに対して転送可否や使用帯域を制御するフロー制御手段と、前記パケットの種別の判定結果に応じて前記フロー制御手段の設定を変更する技術を提供する。
すなわち、本明細書では少なくとも、一つ以上のネットワークに接続する手段と、前記ネットワークを流れるパケットをモニタする手段と、前記モニタする手段によって得られたパケット中の任意の一つ又は二つ以上の組み合わせのフィールドの値が同一であるパケットの数を積算する手段と、積算したパケットの数が指定のしきい値を超えたときに、前記任意の一つ又は二つ以上の組み合わせとは異なる任意の一つ又は二つ以上の組み合わせのフィールドの値から前記指定のしきい値を超えた数のパケットの特性を推定するパケット推定手段とを備えたネットワーク制御装置を開示している。
その他の課題、手段、効果は、実施例の詳細説明と共に明らかにされる。
上記手段によれば、パケットのパターンマッチングを行わずに、不正なパケットを抽出し、その特性を判定できるため、トラフィックの多い高速なネットワークにも適用できるようになるという効果がある
また、上記手段によれば、特定トラフィックの検出のために限られた記憶領域しか使用できない場合であっても、監視対象パケットを特に制限することなく頻出するトラフィックのパケットを抽出できるようになるという効果がある。
また、上記手段によれば、特定トラフィックを検出したときに、前記トラフィックをあらかじめ指定されたルールに従って制御できるようになるため、高速なネットワークにおいても不正なトラフィックに対して迅速に遮断あるいは帯域制限などの対策を行えるようになるという効果がある。
本発明の実施に好適な実施形態を説明する。ただし、本発明はこの実施形態に限定されない。
ネットワーク制御装置及びシステム並びに制御方法の実施例について、図面を用いて説明する。
実施例1を説明する。図1は、本実施形態の一実施例によるネットワーク制御装置の構成図を示したものである。図中、101は本実施形態によるネットワーク制御装置、102はネットワーク制御装置101に指示を与えたり状態を表示させたりするための入出力装置、103、104、105はネットワーク制御装置101に接続されるネットワークである。
ネットワーク制御装置101は、パケット転送処理部106と特定トラフィック検出・制御部107で構成される。接続インタフェース108は、パケット転送処理部106と特定トラフィック検出・制御部107を接続し、パケット転送処理部106と特定トラフィック検出・制御部107の間でデータ交換を可能とする。
パケット転送処理部106は、CPU109、メモリ110、ネットワーク103、104、105との間でパケットの送受信を行うパケット送受信部111、前記パケットの遮断や帯域制限を行うフロー制御部112から構成される。メモリ110には、前記パケットに含まれる送信先アドレスに応じて転送すべきネットワークを決定するための経路テーブル113、パケット送受信部111が受信したパケットを一時的に格納しておくためのパケットバッファ114が含まれる。また、フロー制御部112には、前記パケットに対して行うべき遮断や帯域制限のルールを格納するためのフロー制御情報メモリ115が含まれる。
特定トラフィック検出・制御部107は、CPU116、メモリ117から構成される。メモリ117には、パケット転送処理部106から送られるトラフィック情報を格納するトラフィック情報バッファ118、前記トラフィック情報からパケット転送処理部106が転送したパケットの統計値を格納するためのパケットカウントテーブル119、前記統計値の判定を行うのに必要なしきい値を格納するためのしきい値テーブル120、前記統計情報が前記しきい値を超えたときに行うべき処理を記述した制御ポリシテーブル121が含まれる。
以上の構成において、パケット転送処理部106は、ネットワーク103、104、105からパケットを受信すると、該パケットに関するトラフィック情報を生成して特定トラフィック検出・制御部107に渡すと共に、経路テーブル113の内容に従って前記パケットを転送先ネットワークに送信する。特定トラフィック検出・制御部107は、前記トラフィック情報を統計的に処理しながら不正なトラフィックを検出し、必要に応じて前記不正なトラフィックの遮断や帯域制限を行うための設定情報を生成してパケット転送処理部106のフロー制御情報メモリ115に設定するように動作する。
以下、ネットワーク制御装置101の動作の一例を、図5のフローチャートを用いて詳細に説明する。まず、ネットワーク103、104、105のいずれかからパケット501がパケット送受信部111に届いたときのパケット転送処理部106の処理を詳細に説明する。
パケット送受信部111にパケット501が届くと、パケット受信処理を開始する(ステップ502)。具体的には、パケット送受信部111が受信したパケット501の内容をパケットバッファ114に書き込むとともに、パケット501の到着をCPU109に割り込み信号等により通知する。この時、フロー制御情報メモリ115には、パケット501を遮断する、あるいは帯域制限するというルールは設定されていないものとする。
次に、CPU109は、パケットバッファ114に格納されたパケットの内容からトラフィック情報を生成する(ステップ503)。前記トラフィック情報は、前記パケットのIPヘッダ、および、TCPヘッダまたはUDPヘッダに含まれる送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号を取りだして生成される。トラフィック情報の要素はこれらに限定されるわけではなく、必要に応じて他の要素を加えてもよい。生成された前記トラフィック情報は、メモリ110内に一時的に保持しておく。
次に、CPU109は、メモリ110内に一時的に格納されている前記トラフィック情報をトラフィック情報505として特定トラフィック検出・制御部107へ送信する(ステップ504)。
図6は、トラフィック情報505の内容の一例を示したものである。1パケット分のトラフィック情報は、送信元IPアドレス602、宛先IPアドレス603、送信元ポート番号604、宛先ポート番号605、プロトコル番号606から構成され、これらの組が複数格納された構造となっている。格納されているパケット数は、パケット数601に示される。
なお、1パケット分のトラフィック情報は前記の5種類に限定するものではなく、必要に応じてIPヘッダ、および、TCPヘッダまたはUDPヘッダに含まれる他の項目の値、または、TCPヘッダまたはUDPヘッダの後ろに続くデータの一部であってもよい。
さらには、L2TPやPPPなどのトンネリングプロトコルのパケットに格納されたIPパケット中のIPヘッダ、および、TCPヘッダまたはUDPヘッダに含まれる他の項目の値、または、TCPヘッダまたはUDPヘッダの後ろに続くデータの一部であってもよい。
さらには、IPパケットを格納するレイヤ2パケットのイーサネット(イーサネットは登録商標)ヘッダやMPLSラベルの情報であってもよい。
さらには、一つのパケットの先頭から指定のバイト数分(例えば256バイト)の内容をそのまま格納するようにしてもよい。
なお、トラフィック情報505に複数のパケットの情報を格納できるようにしているのは、パケット転送処理部106から特定トラフィック検出・制御部107へのデータ転送回数を減らして性能を向上させるためであり、トラフィック情報505に格納するパケットの情報の数は任意である。
また、ステップ503におけるパケットからのトラフィック情報の取り出しは、受信パケット全てではなく、適当なサンプリング処理により選択されたパケットに対してのみ行うようにしても良い。これにより、膨大なトラフィックが流れる高速ネットワークにおいても処理可能となる。
さらに、前記サンプリング処理において、特定の特徴を持ったパケットについては全てをサンプリングしてトラフィック情報の取り出しの対象としても良い。特定の特徴とは、例えば、TCPパケットにおいてSYNフラグが立っているパケットである。これにより、高速ネットワークにおいて対象とする不適切なトラフィックの検知精度を向上させることができる。
次に、CPU109は、ステップ503で生成されたトラフィック情報が適当な数だけメモリ110内に集まった時に、それらをトラフィック情報505に構成して特定トラフィック検出・制御部107へ送信すると共に、メモリ110内に蓄えられた前記トラフィック情報を削除する(ステップ504)。特定トラフィック検出・制御部107への具体的な送信方法としては、例えば、CPU109が接続インタフェース108を通してメモリ118内に設けられたトラフィック情報バッファ118にトラフィック情報505を直接書き込むと共に、該書き込み処理の完了を、CPU116へ接続インタフェース108
を経由した割り込み信号により通知する方法などがある。
次に、CPU109は、パケットバッファ114に格納されているパケットの転送先ネットワークを、経路テーブル113を参照して決定する(ステップ506)。経路テーブル113には、パケットの宛先IPアドレスに対応してどのネットワーク(本実施例では、ネットワーク103、104、105のいずれか)に送信すべきかが記述されているので、パケット501から宛先IPアドレスを取り出し、該IPアドレスを経路テーブル113から検索することで転送先ネットワークを決定することができる。
最後に、パケットバッファ114に格納されているパケットを、ステップ506で決定した転送先ネットワークへパケット508として送信する(ステップ507)。
一方、特定トラフィック検出・制御部107では、ステップ504の処理によりCPU116にトラフィック情報505の転送が通知されると、CPU116は、トラフィック情報505の分析処理を行い、不適切なトラフィックを検出した場合に該トラフィックの遮断、あるいは、帯域制限を行うためのフロー制御設定情報510を生成してパケット転送処理部106へ送信する処理を行う(ステップ509)。
フロー制御設定情報510を受け取ったパケット転送処理部106は、CPU109がフロー制御設定情報510の内容をフロー制御設定メモリ115に書き込む(ステップ511)。以後、フロー制御部112は、フロー制御設定情報510で指定されたパケットに対して、遮断や帯域制限等のフロー制御設定情報510で指定された制御を行うようになる。以上が、ネットワーク制御装置101の全体フローの説明である。
次に、ステップ509に示した特定トラフィック検出・制御部107によるトラフィック情報分析処理の詳細について、図7、図8、図9のフローチャートを用いてさらに詳細に説明する。
図7は、ステップ509におけるCPU116の詳細動作を示したフローチャートである。CPU116は、まず、トラフィック情報バッファ118に格納されたトラフィック情報から、1パケット分のトラフィック情報を取得し(ステップ701)、該トラフィック情報の分析を行いパケットカウントテーブル119の更新処理を行う(ステップ702)。
パケットカウントテーブル119の構造を図2に示す。本実施例におけるトラフィック情報分析処理では、トラフィック情報を構成する各項目の任意の組み合わせを生成し、前記項目の組み合わせを含むパケット数の積算処理を行うことで特徴的なトラフィックを抽出するという分析方式を用いている。パケットカウントテーブル119は、前記積算処理の結果を保持するためのテーブルである。本実施例の場合、前記トラフィック情報を構成する項目は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号の4種類とし、前記4種類の項目から任意のn項目(1≦n≦4)の組み合わせを生成する。パケットカウントテーブル119は、n=1の場合の積算値を格納する項目数1テーブル201、n=2の場合の積算値を格納する項目数2テーブル202、n=3の場合の積算値を格納する項目数3テーブル203、n=4の場合の積算値を格納する項目数4テーブル204で構成される。なお、各テーブルを第1カウント部、第2カウント部などと表現することもある。
なお、本実施例では処理対象項目を前記4種類としているが、検知したいトラフィックの特性に応じてさらに別の項目を加えたり、あるいは削除したりしてもよい。例えば、TCPセッションの確立、切断処理に関連するトラフィックを抽出するためにTCPヘッダ中のフラグ情報を含めてもよい。あるいは、トラフィックの特性をより正確に把握するために、TCPヘッダまたはUDPヘッダの後ろに続くアプリケーションデータの先頭何バイト分かを含めてもよい。あるいは、MPLSラベルが付いている場合に、前記MPLSラベルの値も含め、LSP毎にトラフィックの分析を行えるようにしてもよい。あるいは、L2TPなどのトンネリングプロトコルを使用しているときに、トンネル識別子を含め、トンネル毎にその中を通過するトラフィックの分析を行えるようにしてもよい。
ここで、ステップ702におけるパケットカウントテーブル119更新処理の詳細について、別のフローチャートを用いて説明する。図9は、ステップ702の詳細処理内容を示すフローチャートである。
CPU116は、まず前記4種類の項目から任意のn個から選び出した項目組み合わせを生成する(ステップ901)。生成する項目組み合わせは、数学的に得られる全ての組み合わせでも良いが、処理負荷の軽減による高速化を目的として、一部の組み合わせに限定してもよい。
次にステップ901で生成された項目組み合わせの中から一つを選択し、前記選択された項目組み合わせを含むパケット数を積算するためのパケットカウントテーブル119内のエントリを決定する(ステップ902)。前記選択された項目組み合わせが一つの項目からなるものであれば、項目数1テーブル201より、二つの項目からなるものであれば項目数2テーブル202より、三つの項目からなるものであれば項目数3テーブル203より、四つの項目からなるものであれば項目数4テーブル204より選択する。選択のアルゴリズムとしては、例えば前記選択された項目組み合わせに対して適当なハッシュ関数を適用し、得られたハッシュ値をエントリ数で割った余りをエントリ番号とする方法などがある。
ステップ902で使用するエントリが決定したら、該エントリの現状の内容を確認する(ステップ903)。
もし、前記エントリが未使用であった場合は、前記エントリ内の項目の種類フィールドと値フィールドに前記選択された項目組み合わせ内容を書き込み、カウンタ値フィールドを0にした後(ステップ904)、前記エントリ内のパケット数フィールドに1を加える(ステップ905)。
また、ステップ903の結果、前記エントリが前記選択された項目組み合わせですでに使用中であれば、そのまま前記エントリ内のカウンタ値に1を加えるためにステップ905へジャンプする。
一方、ステップ903の結果、前記エントリが、別項目の組み合わせで既に使用中であった場合は、前記エントリ内のパケット数から1を引き(ステップ906)、結果が0となった場合はステップ904へスキップし、そうでなければステップ908へスキップする(ステップ907)。これは、異なる項目の組み合わせがパケットカウントテーブル119内の同一エントリを使おうとした場合に、頻出する組み合わせの方がパケットカウントテーブル119内に残り易くするための処理である。
次に、CPU116は、前記エントリ内のパケット数フィールドの値が所定のしきい値を超えているかどうかを確認する(ステップ908)。前記所定のしきい値は、しきい値テーブル120に格納されている。しきい値テーブル120の内容は図3に示す通りである。しきい値は複数定義することができ、それぞれにしきい値レベルと呼ぶレベル番号を定義することができる。図3の例では、しきい値レベルは1から5の5段階が定義されているが、段階数はこれに限定されるものではない。しきい値テーブル120の内容は入出力装置102を通して事前に設定しておくものとする。
ステップ908にて、前記パケット数フィールドの値がしきい値テーブル120のしきい値フィールドに定義されている値のいずれかと一致した場合、CPU116は、しきい値越えが発生したと判断し、しきい値越え情報を生成する(ステップ909)。しきい値越え情報の内容は図8に示す通りで、しきい値越えが発生したエントリが含まれるテーブルの種類(本実施例の場合、項目数1テーブル201から項目数4テーブル204のいずれか)を示すテーブル種別801、前記エントリの番号を示すエントリ番号802、しきい値テーブル120において前記しきい値越えが発生したときのしきい値に対応するしきい値レベル803、分析対象となっているトラフィック情報に含まれる送信元IPアドレス804、宛先IPアドレス805、送信元ポート番号806、宛先ポート番号807、プロトコル番号808から構成される。生成されたしきい値越え情報は、メモリ117内に一時的に格納される。
ステップ902からステップ909までの処理は、ステップ901で生成された項目組み合わせの全てに対して実行されるまで繰り返す(ステップ910)。以上がステップ702の詳細動作説明である。
図7のフローチャートに戻り、ステップ702が完了すると、ステップ907にて生成されたしきい値越え情報がメモリ117に存在するかどうかを確認する(ステップ703)。もし、存在していたら、該しきい値越え情報が不適切なトラフィックであるかどうかを判定する処理を実行する(ステップ704)。本実施例では、不適切なトラフィックとしてネットワークワームの拡散トラフィックと、ネットワーク上のコンピュータ等に対するDDoS攻撃トラフィックを判定可能としている。
ここで、ステップ704における問題トラフィック判別処理の詳細を、別のフローチャートを用いて説明する。図10は、ステップ704の詳細処理内容を示すフローチャートである。
CPU116は、まず、前記しきい値越え情報の中のテーブル種別801とエントリ番号802で特定されるパケットカウントテーブル119中のエントリに含まれる項目の種類フィールドの内容を確認する(ステップ1001)。
前記テーブル種別801が項目数2テーブルを示しており、前記エントリに含まれる種類フィールドの値が送信元IPアドレスと宛先ポート番号であった場合、前記しきい値越え情報が示すトラフィックはネットワークワームの拡散トラフィックの可能性があると判断し、これを確認するためのステップ1002以降の処理を実行する。
ネットワークワームに感染したコンピュータは、ワームを拡散するためのトラフィックをランダムな多数のコンピュータに対して送信する場合が多く、かつ、該トラフィックは特定のポート番号宛である場合が普通である。そのため、送信元IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測された場合、前記パケットはネットワークワームの拡散トラフィックの可能性があると判定できる。
ただし、前記パケットが本当にネットワークワームの拡散トラフィックである可能性が高いと判定するためには、パケットカウントテーブル119中の他のエントリ内容も確認する必要がある。例えば、特定の2台のコンピュータ間で通常の1対1通信を行っていた場合も、同様に送信元IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測されるためである。
そこで、このような正常トラフィックとネットワークワームの拡散トラフィックを区別するために、項目数3テーブル203内のエントリに前記しきい値越え情報の送信元IPアドレスと宛先ポート番号を含み、さらに三つ目の項目として種類フィールドが宛先IPアドレスであるエントリを検索する(ステップ1002)。
ステップ1002において前記エントリが見つかり、かつ、該エントリのパケット数フィールドの値が通常通信と判定するのに十分大きな値であった場合、前記トラフィックは通常通信であると判断し(ステップ1003)、そうでなければ、前記トラフィックはネットワークワーム拡散トラフィックであると判定する(ステップ1004)。
また、ステップ1001において、前記テーブル種別801が項目数2テーブルを示しており、前記エントリに含まれる種類フィールドの値が宛先IPアドレスと宛先ポート番号であった場合、前記しきい値越え情報が示すトラフィックはDDoS攻撃トラフィックの可能性があると判断し、これを確認するためのステップ1005以降の処理を実行する。
DDoS攻撃を受けているコンピュータには、多数の他のコンピュータから同一のポート番号に対して通信要求が送られてくる。そのため、宛先IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測された場合、前記パケットはDDoS攻撃トラフィックの可能性があると判定できる。
ただし、前記パケットが本当にDDoS攻撃トラフィックである可能性が高いと判定するためには、パケットカウントテーブル119中の他のエントリ内容も確認する必要がある。例えば、特定の2台のコンピュータ間で通常の1対1通信を行っていた場合も、同様に宛先IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測されるためである。
そこで、このような正常トラフィックとDDoS攻撃トラフィックを区別するために、項目数3テーブル203内のエントリに前記しきい値越え情報の宛先IPアドレスと宛先ポート番号を含み、さらに三つ目の項目として種類フィールドが送信元IPアドレスであるエントリを検索する(ステップ1005)。
ステップ1005において前記エントリが見つかり、かつ、該エントリのパケット数フィールドの値が通常通信と判定するのに十分大きな値であった場合、前記トラフィックは通常通信であると判断し(ステップ1006)、そうでなければ前記トラフィックはDDoS攻撃トラフィックであると判定する(ステップ1007)。以上が、ステップ704の詳細動作説明である。
本実施例では、検知可能な問題トラフィックの例としてネットワークワーム拡散トラフィックとDDoS攻撃トラフィックの判定方法を示しているが、本実施形態により検知可能な問題トラフィックはこれらに限定されるものではなく、パケットカウントテーブル119の分析により、例えば、特定のコンピュータが過大なトラフィックを生成しているときに、該トラフィックの元となっているアプリケーションの種類(例えばP2Pファイル交換など)を推定することもできる。
図7のフローチャートに戻り、ステップ702で生成されたしきい値越え情報がステップ704により問題トラフィックであると判定された場合(ステップ705)、CPU116は、前記問題トラフィックに対する制御方法が制御ポリシテーブル121に記載されているかどうかを検索する(ステップ706)。
図4は、制御ポリシテーブル121の構成を示した図である。制御ポリシテーブル121は、ネットワークワーム拡散トラフィックやDDoS攻撃トラフィック等のトラフィック種別毎にフィルタによる遮断や帯域制限等の制御内容を定義するテーブルである。さらに、前記トラフィック種別に対してIPアドレスやポート番号等による限定条件を設定することができ、これにより同一のトラフィック種別に対し、異なる限定条件ごとに異なる制御内容を定義することを可能とするものである。制御ポリシテーブル121の内容は、入出力装置102を通して事前に設定しておくものとする。
ステップ706では、ステップ704で判定された問題トラフィックの種別と、ステップ702で生成されたしきい値越え情報に含まれる情報(しきい値レベル804からプロトコル番号809)に合致するトラフィック種別と限定条件を持ったエントリを制御ポリシテーブル121から検索する。
ステップ706で前記問題トラフィックに合致する制御ポリシテーブル121のエントリが見つかったら(ステップ707)、CPU116は、前記エントリに書かれた制御内容に応じたフロー制御設定情報510を生成し、パケット転送処理部106へ送信する(ステップ708)。この時、問題トラフィックを発見したことをレポート情報として入出力装置102に表示したり、あるいはメモリ117中に記録する等の処理を行っても良い
以上で、ステップ701で取得した1パケット分のトラフィック情報に対する分析処理を完了する。トラフィック情報バッファ118内に未処理のトラフィック情報が残っていたら、ステップ702以降を繰り返し、全パケット分のトラフィック情報の処理を完了したらステップ509を終了する(ステップ709)。以上が特定トラフィック検出・制御部107におけるトラフィック情報分析の詳細処理内容である。
本実施例によれば、ネットワーク間でパケットの転送を行うネットワーク制御装置において、高速なネットワークに接続されていても転送するパケットから問題トラフィックと考えられるトラフィックを効率よく抽出し、かつ、該トラフィックに対して遮断や帯域制御等の対策を自動的に行えるようになるという効果がある。
実施例2を説明する。図11は、本実施形態の第二の実施例によるネットワーク制御システムの構成図を示したものである。図中、1101はネットワーク103、104、105の間のパケット転送を行うパケット転送処理装置、1102はパケット転送処理装置から受け取った情報を分析するネットワーク制御装置である。
パケット転送装置処理1101は、CPU1103、メモリ1104、ネットワーク103、104、105、ネットワーク制御装置1102との間でパケットの送受信を行うパケット送受信部1105、フロー制御部1106から構成される。メモリ1104には、前記パケットに含まれる送信先アドレスに応じて転送すべきネットワークを決定するための経路テーブル1107、パケット送受信部1105が受信したパケットを一時的に格納しておくためのパケットバッファ1108が含まれる。また、フロー制御部1106には、前記パケットに対して行うべきフィルタリングや帯域制限のルールを格納するための
フロー制御情報メモリ1109が含まれる。
ネットワーク制御装置1102は、CPU1110、メモリ1111、パケット転送装置処理1101との間のパケット転送を行うパケット送受信部1112から構成される。メモリ1111には、パケット転送処理装置1101から送られるトラフィック情報を格納するトラフィック情報バッファ1113、前記トラフィック情報からパケット転送処理装置1101が転送したパケットの統計値を格納するためのパケットカウントテーブル1114、前記統計値の判定を行うのに必要なしきい値を格納するためのしきい値テーブル1115、前記統計情報が前記しきい値を超えたときに行うべき処理を記述した制御ポリシテーブル1116が含まれる。
以上の構成において、パケット転送処理装置1101は、ネットワーク103、104、105からパケットを受信すると、該パケットに関するトラフィック情報を生成してネットワーク制御装置1102に送信すると共に、経路テーブル1107の内容に従って前記パケットを転送先ネットワークに送信すると。ネットワーク制御装置1102は、前記トラフィック情報を統計的に処理しながら不正なトラフィックを検出し、必要に応じて前記不正なトラフィックのフィルタリングや帯域制限を行うための設定情報を生成してパケット転送処理装置1101に送信し、パケット転送処理装置1101内のフロー制御部1106に設定するように動作する。
以下、図11のネットワーク制御システムの詳細動作の一例を、図12のフローチャートを用いて説明する。まず、ネットワーク103、104、105のいずれかからパケット1201がパケット送受信部1105に届いたときのパケット転送処理装置1101の処理を詳細に説明する。
パケット送受信部1105にパケット1201が届くと、パケット受信処理を開始する(ステップ1202)。具体的には、パケット送受信部1105が受信したパケット1201の内容をパケットバッファ1108に書き込むとともに、パケット1201の到着をCPU1103に割り込み信号等により通知する。この時、フロー制御情報メモリ1109には、パケット1201を遮断する、あるいは帯域制限するというルールは設定されていないものとする。
次に、CPU1103は、パケットバッファ1108に格納されたパケットの内容からトラフィック情報を生成する(ステップ1203)。前記トラフィック情報の生成方法は、図5のフローチャートのステップ503と同様であり、その内容は図6に示したトラフィック情報505の内容と同一である。あるいは、トラフィック情報1205は、前記パケットを単にミラーリングしたものであってもよい。
次に、CPU109は、前記トラフィック情報をトラフィック情報1205としてパケット送受信部1105を通してネットワーク制御装置1102へ送信する(ステップ1204)。この時、フロー制御情報メモリ1109には、トラフィック情報1205を遮断する、あるいは帯域制限するというルールは設定されていないものとする。
ステップ1204では、適当なパケット数分のトラフィック情報をまとめてネットワーク制御装置1102へ送信するという点も、図5のフローチャートのステップ504と同様である。
次に、CPU1103は、パケットバッファ1108に格納されているパケットの転送先ネットワークを経路テーブル1107を参照して決定する(ステップ1206)。経路テーブル1107の内容は、図1に示した実施例1の経路テーブル113の内容と同様である。
最後に、パケットバッファ1108に格納されているパケットを、ステップ1206で決定した転送先ネットワークへパケット1208として送信する(ステップ1207)。
一方、ネットワーク制御装置1102では、ステップ1204の処理によりトラフィック情報1205を受信すると、パケット送受信部1112が受信したトラフィック情報1205の内容をトラフィック情報バッファ1113へ格納すると共に、トラフィック情報1205の受信をCPU1110に割り込み信号等により通知する(ステップ1209)。
CPU1110にトラフィック情報1205の転送が通知されると、CPU1110は、トラフィック情報1205の分析処理を行い、不適切なトラフィックを検出した場合に該トラフィックの遮断、あるいは、帯域制限を行うためのフロー制御設定情報1211を生成し、パケット送受信部1112を通してパケット転送処理装置1101へ送信する処理を行う(ステップ1210)。
フロー制御設定情報1211を受け取ったパケット転送処理装置1101は、CPU1103がフロー制御設定情報1211の内容をフロー制御設定メモリ1109に書き込む(ステップ1212)。以後、フロー制御部1106は、フロー制御設定情報1211で指定されたパケットに対して遮断や帯域制限等のフロー制御設定情報1211で指定された制御を行うようになる。
ネットワーク制御装置1102によるトラフィック情報分析処理(ステップ1210)の内容は、実施例1における特定トラフィック検出・制御部107によるトラフィック情報分析処理(図5のステップ509)と同様であり、詳細説明は省略する。パケットカウントテーブル1113、しきい値テーブル1115、制御ポリシテーブル1116の内容は、それぞれ図1に示したパケットカウントテーブル119、しきい値テーブル120、制御ポリシテーブル121の内容と同様である。
以上が、本実施例によるネットワーク制御システムの全体フローの説明である。
本実施例によれば、転送したトラフィックに関する情報などを、ネットワークを通して外部に送信する機能を備えた既存のパケット転送装置に対し、前記トラフィックに関する情報を収集して分析する装置を付加するだけで、問題トラフィックと考えられるトラフィックを高速に抽出し、かつ、該トラフィックに対して遮断や帯域制御等の対策を自動的に行えるネットワーク制御システムを容易に構成できるようになるという効果がある。
実施例3を説明する。図13は、図2に示した実施例1におけるパケットカウントテーブル119の他の実施形態を示した図であり、パケットカウントテーブル119と同様にトラフィック情報を構成する各項目の任意の組み合わせを生成し、前記項目の組み合わせを含むパケット数の積算処理を行うためのテーブルである。
本実施例の場合、前記トラフィック情報を構成する項目は、送信元IPアドレス(src ip)、宛先IPアドレス(dst ip)、送信元ポート番号(src port)、宛先ポート番号(dst port)の4種類とし、前記4種類の項目から任意のn項目(1≦n≦4)の組み合わせを生成する。
なお、本実施例では処理対象項目を前記4種類としているが、検知したいトラフィックの特性に応じてさらに別の項目を加えたり、あるいは削除したりしてもよい。例えば、TCPセッションの確立、切断処理に関連するトラフィックを抽出するためにTCPヘッダ中のフラグ情報を含めてもよい。あるいは、トラフィックの特性をより正確に把握するために、TCPヘッダまたはUDPヘッダの後ろに続くアプリケーションデータの先頭何バイト分かを含めてもよい。あるいは、MPLSラベルが付いている場合に、前記MPLSラベルの値も含め、LSP毎にトラフィックの分析を行えるようにしてもよい。あるいは、L2TPなどのトンネリングプロトコルを使用しているときに、トンネル識別子を含め、トンネル毎にその中を通過するトラフィックの分析を行えるようにしてもよい。
パケットカウントテーブル1300では、組み合わせ項目数に関係なく、すべてのエントリが前記トラフィック情報を構成する項目のフィールドを持ち、前記項目のうち、組み合わせを構成する項目であれば前記フィールドには前記項目の値を格納し、それ以外の項目であれば、前記組み合わせを持つパケット数のカウント中に出現した値の種類数を格納する。そのため、前記各項目に対応したフィールドには、前記フィールドに格納される数値が前記項目の値なのか、出現種類数なのかを示す属性フィールドを持つ。
たとえば、図13においてエントリ番号4のエントリでは、送信元IPアドレスがZ、宛先IPアドレスがY、宛先ポート番号がdであるパケットが20個出現し、前記20個のパケットに含まれていた送信元ポート番号の種類が8種類であったことを表している。
パケットカウントテーブル1300を使用する場合、図7に示したパケットカウントテーブル更新処理(ステップ702)のフローチャートは、図14に示すものとなる。以下、図14を用い、パケットカウントテーブル1300を使用した場合のステップ702の処理について説明する。
まず、CPU116は、ステップ1401にて補助テーブル1500の初期化処理を行う。
補助テーブル1500は、図15に示す構造を持ったテーブルで、前記項目の組み合わせのそれぞれに対応するエントリから構成される。一つの前記エントリには、前記組み合わせに含まれない項目について新規に出現した値があるかどうかを示す新規出現フラグと、前記項目の組み合わせについてパケット数をカウントしているパケットカウントテーブル1300中のエントリ番号を格納するフィールドから構成される。
補助テーブル1500の初期化処理とは、前記エントリの全てについて前記新規出現フラグの全ての値を0とし、前記エントリ番号のフィールドをエントリ番号無しを表す値とする処理である。
次に、CPU116は、前記4種類の項目から任意のn個から選び出した項目組み合わせを生成する(ステップ1402)。生成する項目組み合わせは、数学的に得られる全ての組み合わせでも良いが、処理負荷の軽減による高速化を目的として、一部の組み合わせに限定してもよい。
次にステップ1402で生成された項目組み合わせの中から一つを選択し、前記選択された項目組み合わせを含むパケット数を積算するためのパケットカウントテーブル1300内のエントリを決定する(ステップ1403)。選択のアルゴリズムとしては、例えば前記選択された項目組み合わせに対して適当なハッシュ関数を適用し、得られたハッシュ値をエントリ数で割った余りをエントリ番号とする方法などがある。
ステップ1403で使用するエントリが決定したら、該エントリの現状の内容を確認する(ステップ1404)。
もし、前記エントリが未使用であった場合は、前記エントリ内の各項目のうち、前記組み合わせに含まれる項目についてその属性フィールドを「値」として前記項目の値を書き込み、前記組み合わせに含まれない項目についてはその属性フィールドを「出現種類数」としてその値を0とする。そして、パケット数フィールドを0にする(ステップ1405)。
次に、補助テーブル1500の更新処理を行う(ステップ1406)。具体的には、前記組み合わせから任意の一つの項目を取り除いた組み合わせに対応する補助テーブル1500中のエントリの新規出現フラグのうち、前記取り除いた項目に対応するフィールドの値を1とする。この処理を前記組み合わせから任意の一つの項目を取り除いたすべての組み合わせについて実施する。ステップ1406の処理は、ある項目の組み合わせに対し、前記組み合わせに含まれない項目に新たな値が出現したことを記憶しておく役目をする。
次に、ステップ1403で選択されたエントリ内のパケット数フィールドに1を加え(ステップ1407)、補助テーブル1500中の前記組み合わせに対応するエントリのエントリ番号フィールドにステップ1403で選択されたパケットカウントテーブル1300のエントリのエントリ番号を格納する(ステップ1408)。
一方、ステップ1404の結果、前記エントリが前記選択された項目組み合わせですでに使用中であれば、そのまま前記エントリ内のパケット数に1を加えるためにステップ1407へジャンプする。前記エントリがすでに前記選択された項目組み合わせですでに使用中ということは、過去に出現した項目の組み合わせということであるから、補助テーブル1500の新規出現フラグを更新する必要はなく、したがってステップ1406を実行する必要はない。
一方、ステップ1404の結果、前記エントリが、別項目の組み合わせで既に使用中であった場合は、前記エントリ内のパケット数から1を引き(ステップ1409)、結果が0となった場合はステップ1405へスキップし、そうでなければステップ1411へスキップする(ステップ1410)。これは、異なる項目の組み合わせがパケットカウントテーブル1300内の同一エントリを使おうとした場合に、頻出する組み合わせの方がパケットカウントテーブル1300内に残り易くするための処理である。
次に、CPU116は、前記エントリ内のパケット数フィールドの値が所定のしきい値を超えているかどうかを確認する(ステップ1411)。前記所定のしきい値は、しきい値テーブル120に格納されている。
ステップ1411にて、前記パケット数フィールドの値がしきい値テーブル120のしきい値フィールドに定義されている値のいずれかと一致した場合、CPU116は、しきい値越えが発生したと判断し、しきい値越え情報を生成する(ステップ1412)。本実施例におけるしきい値越え情報の内容は、図8に示すしきい値越え情報からテーブル種別801を除いたものである。生成されたしきい値越え情報は、メモリ117内に一時的に格納される。
ステップ1403からステップ1412までの処理は、ステップ1402で生成された項目組み合わせの全てに対して実行されるまで繰り返す(ステップ1413)。
最後に、補助テーブル1500を参照し、パケットカウントテーブル1300中の各エントリで属性フィールドの値が「出現種類数」となっている項目の値を更新する(ステップ1414)。具体的には、補助テーブル1500の各エントリのエントリ番号フィールドで示されるパケットカウントテーブル1300のエントリに対し、前記補助テーブル1500のエントリの新規出現フラグが1となっている項目に対応する値を1増加する。これを補助テーブル1500の全エントリについて実行する。
以上が本実施例によるパケットカウントテーブル1300を使用した場合のステップ702の詳細動作説明である。
さらに、本実施例によるパケットカウントテーブル1300を使用する場合、図7に示した問題トラフィック判別処理(ステップ704)のフローチャートは、図16に示すものに置き換わる。以下、図16を用い、パケットカウントテーブル1300を使用した場合のステップ704の処理について説明する。
CPU116は、まず、前記しきい値越え情報の中のエントリ番号802で特定されるパケットカウントテーブル1300中のエントリに含まれる項目のうち、属性フィールドが「値」となっている項目の組み合わせを確認する(ステップ1601)。
前記エントリに含まれる項目で属性フィールドが「値」となっている項目の組み合わせが送信元IPアドレスと宛先ポート番号であった場合、前記しきい値越え情報が示すトラフィックはネットワークワームの拡散トラフィックの可能性があると判断し、これを確認するためのステップ1602以降の処理を実行する。
ネットワークワームに感染したコンピュータは、ワームを拡散するためのトラフィックをランダムな多数のコンピュータに対して送信する場合が多く、かつ、該トラフィックは特定のポート番号宛である場合が普通である。そのため、送信元IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測された場合、前記パケットはネットワークワームの拡散トラフィックの可能性があると判定できる。
ところが、例えば、特定の2台のコンピュータ間で通常の1対1通信を行っていた場合も、同様に送信元IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測される。そこで、このような正常トラフィックとネットワークワームの拡散トラフィックを区別するために、前記エントリ中に示される宛先IPアドレスの出現種類数を確認する(ステップ1602)。
ステップ1602において前記出現種類数が前記しきい値と等しいか、近い値であった場合、前記トラフィックは不特定多数のコンピュータに対して同一宛先ポート番号のパケットを送信していたことを意味し、前記トラフィックはネットワークワーム拡散トラフィックである可能性が高いと判定する(ステップ1603)。
また、ステップ1601において、前記エントリに含まれる項目で属性フィールドが「値」となっている項目の組み合わせが宛先IPアドレスと宛先ポート番号であった場合、前記しきい値越え情報が示すトラフィックはDDoS攻撃トラフィックの可能性があると判断し、これを確認するためのステップ1604以降の処理を実行する。
DDoS攻撃を受けているコンピュータには、多数の他のコンピュータから同一のポート番号に対して通信要求が送られてくる。そのため、宛先IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測された場合、前記パケットはDDoS攻撃トラフィックの可能性が高いと判定できる。
ところが、例えば、特定の2台のコンピュータ間で通常の1対1通信を行っていた場合も、同様に宛先IPアドレスと宛先ポート番号の組み合わせが同一であるパケットが多数観測される。そこで、このような正常トラフィックとDDoS攻撃トラフィックを区別するために、前記エントリ中に示される送信元IPアドレスの出現種類数を確認する(ステップ1604)。
ステップ1604において前記出現種類数が前記しきい値と等しいか、近い値であった場合、前記トラフィックは不特定多数のコンピュータから同一宛先IPアドレス、かつ、同一宛先ポート番号のパケットが送信されていたことを意味し、前記トラフィックはDDoS攻撃トラフィックの可能性が高い判定する(ステップ1605)。
以上が本実施例によるパケットカウントテーブル1300を使用した場合のステップ704の詳細動作説明である。
本実施例によれば、項目の組み合わせごとのパケット数のカウントと同時に組み合わせに含まれない項目の出現種類数をカウントできるため、問題トラフィックの判別をより少ないCPU負荷で高速に実行できるようになるという効果がある。さらに、基本的な問題トラフィック判別処理を高速化できることで、他の項目の組み合わせに対するパケット数のカウント情報を併用したより高精度の問題トラフィック判別処理も実用的なCPU負荷と処理速度で実行できるようになるという効果がある。
例えば、ステップ704であるトラフィックがDDoS攻撃である可能性が高いと判定されたとき、これが本当の攻撃なのか多数のコンピュータからの通常のアクセスが大量に発生しているだけなのかを他の項目の組み合わせに対するカウント情報を併用することで識別可能となる。この場合、他の項目の組み合わせとは攻撃対象となっているコンピュータから送信される逆向きのトラフィックであり、具体的には、送信元IPアドレスが攻撃と判定されたトラフィックの宛先IPアドレスであり、送信元ポート番号が前記攻撃と判定されたトラフィックの宛先ポート番号となっている2項目の組み合わせで、宛先IPアドレスの出現種類数が多数あるものである。前記他の組み合わせのカウント情報をパケットカウントテーブル1300から検索し、そのパケット数がDDoS攻撃の判定に利用した項目組み合わせのパケット数と同等以上であれば、応答パケットが相当数返されていることを意味し、DDoS攻撃ではなく通常のアクセスが集中している可能性が高いと判断できる。
なお、上記の説明では実施例1で示した構成(図1の構成)においてパケットカウントテーブル119を本実施例によるパケットカウントテーブル1300で置き換えた場合の例について示したが、実施例2で示した構成(図11)においてパケットカウントテーブル1114を本実施例によるパケットカウントテーブル1300に置き換えても同様の効果がある。
以上実施例で説明したが、本発明の他の実施形態1は、パケット中の任意の一つ又は二つ以上の組み合わせのフィールドの値が同一であるパケットの数を積算する手段は、前記パケット数の積算値を保持する領域を前記フィールドの値の組み合わせのハッシュ値から求め、得られた前記領域が他の項目の組み合わせの積算値の保持に既に利用されていた場合は、前記他の項目組み合わせの積算値を減算し、前記積算値が0となったときのみ前記項目組み合わせのパケット数の積算に利用するようにしたネットワーク制御装置である。
本発明の他の実施形態2は、前記モニタする手段は、装置管理者の指定の割合でパケットをサンプリングしたものだけをモニタするネットワーク制御装置である。
本発明の他の実施形態3は、前記モニタする手段は、装置管理者の指定の特徴を持つパケットは全てサンプリングするネットワーク制御装置である。
本発明の他の実施形態4は、複数のネットワークに接続され、前記ネットワークの間でパケットの転送を行う手段と、前記パケットに対する転送可否や使用ネットワーク帯域の制御を行うフロー制御手段を備え、前記パケット判別手段により得られた特性に応じて前記フロー制御手段の設定を変更するネットワーク制御装置である。
本発明の他の実施形態5は、パケット判別手段により得られた特性に従って、前記パケット判別手段で判別の対象となったパケットの制御方法を指示するためのフロー制御情報を送信する手段を備えたネットワーク制御装置である。
本発明の他の実施形態6は、複数のネットワークに接続され、前記ネットワークの間でパケットの転送を行う手段と、前記パケットのモニタ情報を送信する手段と、前記パケットに対する転送可否や使用ネットワーク帯域の制御を行うフロー制御手段と、前記フロー制御手段に対する設定情報を受信する手段を備えたパケット転送装置と、上記ネットワーク制御装置から構成され、前記ネットワーク制御装置は前記モニタ情報を前記パケット転送装置から受信し、フロー制御情報を前記パケット転送装置に対して送信することを特徴とするネットワーク制御システムである。
本発明の他の実施形態7は、接続したネットワークを流れるパケットをモニタし、モニタによって得られたパケット中の任意の一つ又は二つ以上の組み合わせのフィールドの値が同一であるパケットの数を積算し、積算したパケットの数が指定のしきい値を超えたときに、前記任意の一つ又は二つ以上の組み合わせとは異なる任意の一つ又は二つ以上の組み合わせのフィールドの値から前記指定のしきい値を超えた数のパケットの特性を推定するネットワーク制御方法である。
実施例1のネットワーク制御装置の構成の一例を示す図。 実施例1におけるパケットカウントテーブルの内容の一例を示す図。 実施例1におけるしきい値テーブルの内容の一例を示す図。 実施例1における制御ポリシテーブルの内容の一例を示す図。 実施例1のネットワーク制御装置の動作の一例を示すフローチャート。 実施例1におけるトラフィック情報の内容の一例を示す図。 実施例1におけるトラフィック情報分析処理の詳細の一例を示すフローチャート。 実施例1におけるしきい値越え情報の内容の一例を示す図。 実施例1におけるパケットカウントテーブル更新処理の詳細の一例を示すフローチャート。 実施例1における問題トラフィック判別処理の詳細の一例を示すフローチャート。 実施例2のネットワーク制御システムの構成を示す図。 実施例2のネットワーク制御システムの動作の一例を示すフローチャート。 実施例3におけるパケットカウントテーブルの内容の一例を示す図。 実施例3におけるパケットカウントテーブル更新処理の詳細の一例を示すフローチャート。 実施例3における補助テーブルの内容の一例を示す図。 実施例3における問題トラフィック判別処理の詳細の一例を示すフローチャート。
符号の説明
101 ネットワーク制御装置
102 入出力装置
103、104、105 ネットワーク
106 パケット転送部
107 特定トラフィック検出・制御部
108 接続インタフェース
109、116 CPU
110、117 メモリ
111 パケット送受信部
112 フロー制御部
113 経路テーブル
114 パケットバッファ
115 フロー制御情報メモリ
118 トラフィック情報バッファ
119 パケットカウントテーブル
120 しきい値テーブル
121 制御ポリシテーブル

Claims (20)

  1. パケットを送受信するネットワークを制御するネットワーク制御装置であって、
    パケットのフロー情報に含まれる複数の項目のうち、任意の組み合わせである一または複数の項目からなる第1の項目グループが一致するパケットをカウントする第1カウント部と、
    前記フロー情報のうち前記第1の項目グループとは異なる組み合わせである任意の一または複数の項目からなる第2の項目グループが一致するパケットをカウントする第2カウント部と、
    前記第1カウント部によるカウントが所定値を超えたときに、当該第1カウント部によるカウントと前記第2カウント部によるカウントとによって異常種類を判定する特定トラフィック検出部とを有する。
  2. 請求項1のネットワーク制御装置であって、
    回線からパケットを受信するパケット受信部と、
    前記パケット受信部で受信したパケットからフロー情報を取得するフロー情報取得部とを有する。
  3. 請求項1のネットワーク制御装置であって、
    前記フロー情報は、送信元IPアドレスと宛先IPアドレスと送信元ポート番号と宛先ポート番号のうち少なくとも一つの項目を含む。
  4. 請求項1のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第1カウント部でカウントしている送信元アドレスの項目と宛先ポート番号の項目とを含む前記第1の項目グループが一致するパケットのカウントが所定値を超えたとき、前記第2カウント部でカウントしている送信元アドレスの項目と送信元ポート番号の項目とを含む第2の項目グループが一致するパケットのカウントが所定値を超えたか否かを判定する。
  5. 請求項4のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第2の項目グループが一致するパケットのカウントが所定値を超えたと判定したとき、当該パケットの異常種類をネットワークワームと判定する。
  6. 請求項1のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第1カウント部でカウントしている宛先アドレスの項目と宛先ポート番号とを含む前記第1の項目グループが一致するパケットのカウントが所定値を超えたとき、前記第2カウント部でカウントしている送信元アドレスの項目と送信元ポート番号の項目とを含む第2の項目グループが一致するパケットのカウントが所定値を超えたか否かを判定する。
  7. 請求項6のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第2の項目グループが一致するパケットのカウントが所定値を超えたと判定したとき、当該パケットの異常種類をDDoSと判定する。
  8. 請求項1のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第1カウント部でカウントしている送信元アドレスの項目と宛先ポート番号の項目とを含む前記第1の項目グループが一致するパケットのカウントが所定値を超えたとき、前記第2カウント部でカウントしている前記第2の項目グループに含まれる宛先アドレスが一致するパケットのカウントが所定条件か否かを判定する。
  9. 請求項8のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第2カウント部でカウントしている宛先アドレスが一致するパケットのカウントが前記所定条件であると判定したとき、当該パケットの異常種類をネットワークワームと判定する。
  10. 請求項1のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第1カウント部でカウントしている宛先アドレスの項目と宛先ポート番号の項目とを含む前記第1の項目グループが一致するパケットのカウントが所定値を超えたとき、前記第2カウント部でカウントしている前記第2の項目グループに含まれる送信元アドレスのカウントが所定条件か否かを判定する。
  11. 請求項10のネットワーク制御装置であって、
    前記特定トラフィック検出部は、前記第2カウント部でカウントしている送信元アドレスが一致するパケットのカウントが前記所定条件であると判定したとき、当該パケットの異常種類をDDoSと判定する。
  12. 一つ以上のネットワークに接続する接続手段と、
    前記ネットワークを流れるパケットをモニタするモニタ手段と、
    前記モニタする手段によって得られたパケット中の任意の一つ又は二つ以上のフィールドを含む第1の組み合わせのフィールドの値が同一であるパケットの数を積算する第1組み合わせ積算手段と、
    積算したパケットの数が指定のしきい値を超えたときに、前記第1の組み合わせとは異なる任意の一つ又は二つ以上のフィールドを含む第2の組み合わせのフィールドの値から前記指定のしきい値を超えた数のパケットの特性を推定するパケット推定手段とを備えたネットワーク制御装置。
  13. 請求項12のネットワーク制御装置であって、
    前記第1の組み合わせのフィールドの値が同一であるパケットにおいて、当該第1の組み合わせに含まれないフィールドの値の出現数を積算する出現数積算手段を備え、
    前記パケット推定手段は、前記第2の組み合わせのフィールドの値と前記出現数積算手段で積算した出現数のいずれか一方、または、両方により前記パケットの特性を推定する。
  14. 請求項12または13のネットワーク制御装置であって、
    前記第1組み合わせ積算手段は、前記第1の組み合わせのフィールドの値が同一であるパケットのパケット数を示す第1の積算値を保持する領域を前記フィールドの値の組み合わせのハッシュ値から求め、得られた前記領域が、前記第1の組み合わせとは異なる他の組み合わせのフィールドの値が同一であるパケットのパケット数を示す第2の積算値保持するために既に使用されていた場合は、前記第2の積算値から1を減算し、前記第2の積算値が0となったときのみ前記領域を前記第1の積算値を保持する領域として使用する。
  15. 請求項12から14のいずれかのネットワーク制御装置であって、
    前記モニタ手段は、サンプリングしたパケットをモニタする。
  16. 請求項12から15のいずれかのネットワーク制御装置であって、
    複数のネットワークに接続され、前記ネットワークの間でパケットの転送を行う手段と、
    前記パケットに対する転送可否や使用ネットワーク帯域の制御を行うフロー制御手段とを備え、
    前記フロー制御手段は、前記パケット判別手段により得られた特性に応じて設定を変更する。
  17. 請求項12から16のいずれかのネットワーク制御装置であって、
    前記パケット判別手段により得られた特性に従って、前記パケット判別手段で判別の対象となったパケットの制御方法を指示するためのフロー制御情報を送信する手段を備える。
  18. 請求項17のネットワーク制御装置、及び、複数のネットワークに接続され、前記ネットワークの間でパケットの転送を行う手段と、前記パケットのモニタ情報を送信する手段と、前記パケットに対する転送可否や使用ネットワーク帯域の制御を行うフロー制御手段と、前記フロー制御手段に対する設定情報を受信する手段とを備えたパケット転送装置から構成され、前記ネットワーク制御装置は前記モニタ情報を前記パケット転送装置から受信し、フロー制御情報を前記パケット転送装置に対して送信するネットワーク制御システム。
  19. ネットワークを制御するネットワーク制御方法であって、
    接続したネットワークを流れるパケットをモニタし、
    モニタによって得られたパケット中の任意の一つ又は二つ以上のフィールドを含む第1の組み合わせのフィールドの値が同一であるパケットの数を積算し、
    積算したパケットの数が指定のしきい値を超えたときに、前記第1の組み合わせとは異なる任意の一つ又は二つ以上のフィールドを含む第2の組み合わせのフィールドの値から前記指定のしきい値を超えた数のパケットの特性を推定する。
  20. 請求項19のネットワーク制御方法であって、
    前記第1の組み合わせのフィールドの値が同一であるパケットにおいて、当該第1の組み合わせに含まれないフィールドの値の出現数を積算し、
    前記第2の組み合わせのフィールドの値及び前記積算した出現数から前記指定のしきい値を超えたパケットの特性を推定する。
JP2006019980A 2005-04-06 2006-01-30 ネットワーク制御装置と制御システム並びに制御方法 Expired - Fee Related JP4547342B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2006019980A JP4547342B2 (ja) 2005-04-06 2006-01-30 ネットワーク制御装置と制御システム並びに制御方法
US11/365,609 US7609629B2 (en) 2005-04-06 2006-03-02 Network controller and control method with flow analysis and control function
US12/470,000 US8358592B2 (en) 2005-04-06 2009-05-21 Network controller and control method with flow analysis and control function

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2005109744 2005-04-06
JP2006019980A JP4547342B2 (ja) 2005-04-06 2006-01-30 ネットワーク制御装置と制御システム並びに制御方法

Publications (2)

Publication Number Publication Date
JP2006314077A JP2006314077A (ja) 2006-11-16
JP4547342B2 true JP4547342B2 (ja) 2010-09-22

Family

ID=37084359

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006019980A Expired - Fee Related JP4547342B2 (ja) 2005-04-06 2006-01-30 ネットワーク制御装置と制御システム並びに制御方法

Country Status (2)

Country Link
US (2) US7609629B2 (ja)
JP (1) JP4547342B2 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5015014B2 (ja) * 2006-01-16 2012-08-29 株式会社サイバー・ソリューションズ トラヒック分析診断装置及びトラヒック分析診断システム並びにトラヒック追跡システム
JP4776412B2 (ja) * 2006-03-23 2011-09-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 パケット転送装置、パケット転送方法、及びプログラム
JP4774357B2 (ja) * 2006-05-18 2011-09-14 アラクサラネットワークス株式会社 統計情報収集システム及び統計情報収集装置
US7697418B2 (en) * 2006-06-12 2010-04-13 Alcatel Lucent Method for estimating the fan-in and/or fan-out of a node
JP4734223B2 (ja) 2006-11-29 2011-07-27 アラクサラネットワークス株式会社 トラヒック分析装置および分析方法
US8279885B2 (en) * 2007-09-25 2012-10-02 Packeteer, Inc. Lockless processing of command operations in multiprocessor systems
US8111707B2 (en) * 2007-12-20 2012-02-07 Packeteer, Inc. Compression mechanisms for control plane—data plane processing architectures
US7813277B2 (en) * 2007-06-29 2010-10-12 Packeteer, Inc. Lockless bandwidth management for multiprocessor networking devices
US9419867B2 (en) * 2007-03-30 2016-08-16 Blue Coat Systems, Inc. Data and control plane architecture for network application traffic management device
US8059532B2 (en) * 2007-06-21 2011-11-15 Packeteer, Inc. Data and control plane architecture including server-side triggered flow policy mechanism
US7698410B2 (en) * 2007-04-27 2010-04-13 Yahoo! Inc. Context-sensitive, self-adjusting targeting models
US20110066896A1 (en) * 2008-05-16 2011-03-17 Akihiro Ebina Attack packet detecting apparatus, attack packet detecting method, video receiving apparatus, content recording apparatus, and ip communication apparatus
KR100870871B1 (ko) * 2008-05-29 2008-11-27 (주)한드림넷 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템
KR100995582B1 (ko) 2008-08-01 2010-11-25 주식회사 바넷정보기술 대량 데이터 유출 방지를 통한 db 보안방법 및 장치
JP5014282B2 (ja) 2008-08-06 2012-08-29 アラクサラネットワークス株式会社 通信データ統計装置、通信データ統計方法およびプログラム
JP4878630B2 (ja) * 2009-03-25 2012-02-15 日本電信電話株式会社 通信サーバおよびDoS攻撃防御方法
KR101352553B1 (ko) 2009-12-07 2014-01-15 한국전자통신연구원 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
US20110138463A1 (en) * 2009-12-07 2011-06-09 Electronics And Telecommunications Research Institute Method and system for ddos traffic detection and traffic mitigation using flow statistics
JP2012151689A (ja) * 2011-01-19 2012-08-09 Alaxala Networks Corp トラヒック情報収集装置、ネットワーク制御装置およびトラヒック情報収集方法
JP5287898B2 (ja) * 2011-02-21 2013-09-11 沖電気工業株式会社 フロー監視装置、フロー監視方法およびプログラム
CN103081407B (zh) 2011-03-03 2015-11-25 株式会社日立制作所 故障分析装置、故障分析***及故障分析方法
JP5610482B2 (ja) * 2011-06-10 2014-10-22 株式会社日立製作所 パケットキャプチャーシステムおよびパケットキャプチャー方法
TWI619038B (zh) * 2011-11-07 2018-03-21 Admedec Co Ltd Safety box
JP2013172524A (ja) * 2012-02-20 2013-09-02 Toshiba Corp ネットワーク監視装置およびネットワーク監視方法
JP5870009B2 (ja) 2012-02-20 2016-02-24 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継方法及び装置
US9237082B2 (en) * 2012-03-26 2016-01-12 Hewlett Packard Enterprise Development Lp Packet descriptor trace indicators
JP5883770B2 (ja) * 2012-11-15 2016-03-15 株式会社日立製作所 ネットワーク異常検知システム、および、分析装置
JP2014187521A (ja) * 2013-03-22 2014-10-02 Nec Corp トラフィック監視システム
JP6060051B2 (ja) * 2013-08-08 2017-01-11 アラクサラネットワークス株式会社 パケット中継装置及びパケット中継方法
US20160212158A1 (en) * 2013-08-28 2016-07-21 Hewlett Packard Enterprise Development Lp Distributed pattern discovery
US9088508B1 (en) * 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
JP6476853B2 (ja) * 2014-12-26 2019-03-06 富士通株式会社 ネットワーク監視システム及び方法
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10341384B2 (en) * 2015-07-12 2019-07-02 Avago Technologies International Sales Pte. Limited Network function virtualization security and trust system
US10237287B1 (en) * 2016-02-11 2019-03-19 Awake Security, Inc. System and method for detecting a malicious activity in a computing environment
US10218717B1 (en) * 2016-02-11 2019-02-26 Awake Security, Inc. System and method for detecting a malicious activity in a computing environment
US10218733B1 (en) * 2016-02-11 2019-02-26 Awake Security, Inc. System and method for detecting a malicious activity in a computing environment
US20180083985A1 (en) * 2016-09-20 2018-03-22 ShieldX Networks, Inc. Systems and methods for network security event filtering and translation
US10469528B2 (en) * 2017-02-27 2019-11-05 Arbor Networks, Inc. Algorithmically detecting malicious packets in DDoS attacks
JP6708575B2 (ja) * 2017-03-01 2020-06-10 日本電信電話株式会社 分類装置、分類方法および分類プログラム
JP7155754B2 (ja) * 2018-08-24 2022-10-19 日本電信電話株式会社 推定方法、推定装置および推定プログラム
CN110392034B (zh) * 2018-09-28 2020-10-13 新华三信息安全技术有限公司 一种报文处理方法及装置
AU2019380750A1 (en) * 2018-11-13 2021-07-01 Wenspire Method and device for monitoring data output by a server
US11330011B2 (en) * 2020-02-25 2022-05-10 Arbor Networks, Inc. Avoidance of over-mitigation during automated DDOS filtering
US11792209B2 (en) * 2020-12-31 2023-10-17 Imperva, Inc. Robust learning of web traffic

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283554A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2004356906A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置
JP2005134974A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2297341A1 (en) * 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
JP2001217842A (ja) 2000-02-01 2001-08-10 Fujitsu Ltd Lan型ネットワーク制御装置
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
JP2003223375A (ja) 2002-01-30 2003-08-08 Toshiba Corp 不正アクセス検知装置および不正アクセス検知方法
US7478096B2 (en) * 2003-02-26 2009-01-13 Burnside Acquisition, Llc History preservation in a computer storage system
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7417951B2 (en) * 2003-12-17 2008-08-26 Electronics And Telecommunications Research Institute Apparatus and method for limiting bandwidths of burst aggregate flows
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
JP2005285048A (ja) 2004-03-31 2005-10-13 Kenichi Yoshida データ解析方式
US7966658B2 (en) * 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
US7669240B2 (en) * 2004-07-22 2010-02-23 International Business Machines Corporation Apparatus, method and program to detect and control deleterious code (virus) in computer network
US7961731B2 (en) * 2005-03-31 2011-06-14 Alcatel-Lucent Usa Inc. Method and system for real-time detection of hidden traffic patterns
US20060288296A1 (en) * 2005-05-12 2006-12-21 David Rosenbluth Receptor array for managing network traffic data
KR100716620B1 (ko) * 2005-08-17 2007-05-09 고려대학교 산학협력단 평행 좌표계를 이용한 네트워크 감시 장치 및 방법
US7971256B2 (en) * 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283554A (ja) * 2002-03-22 2003-10-03 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2004356906A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体
JP2005038116A (ja) * 2003-07-18 2005-02-10 Hitachi Ltd 不正侵入分析装置
JP2005134974A (ja) * 2003-10-28 2005-05-26 Fujitsu Ltd ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置

Also Published As

Publication number Publication date
US20090232000A1 (en) 2009-09-17
US7609629B2 (en) 2009-10-27
US20060230167A1 (en) 2006-10-12
JP2006314077A (ja) 2006-11-16
US8358592B2 (en) 2013-01-22

Similar Documents

Publication Publication Date Title
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
JP6453976B2 (ja) ネットワークシステム、制御装置、通信制御方法および通信制御プログラム
EP1742416B1 (en) Method, computer readable medium and system for analyzing and management of application traffic on networks
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
JP4759389B2 (ja) パケット通信装置
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn***的工作方法
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4734223B2 (ja) トラヒック分析装置および分析方法
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
JP4626811B2 (ja) ポートホッピング検出システム、ポートホッピング検出装置、ポートホッピング検出方法、及びプログラム
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
JP4988632B2 (ja) パケット中継装置およびトラフィックモニタシステム
JP2010092236A (ja) 情報処理装置、プログラム、および記録媒体
WO2020027250A1 (ja) 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム
KR101469285B1 (ko) 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법
JP4994323B2 (ja) 中継装置
JP2019213029A (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
JP4871775B2 (ja) 統計情報収集装置
CN100484029C (zh) 网络控制装置和控制***及控制方法
JP3949610B2 (ja) 攻撃パケット対策システム及び攻撃パケット対策方法
JP4235907B2 (ja) ワーム伝播監視システム
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法
JP4489714B2 (ja) パケット集約方法、装置、およびプログラム
JP5300642B2 (ja) 通信網における頻出フロー検出方法と装置およびプログラム
JP2004064694A (ja) 通信ネットワークにおけるパケット収集の負荷分散方法及びその装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080715

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080715

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100622

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100705

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4547342

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees