JP2009089241A - 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム - Google Patents

異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム Download PDF

Info

Publication number
JP2009089241A
JP2009089241A JP2007258798A JP2007258798A JP2009089241A JP 2009089241 A JP2009089241 A JP 2009089241A JP 2007258798 A JP2007258798 A JP 2007258798A JP 2007258798 A JP2007258798 A JP 2007258798A JP 2009089241 A JP2009089241 A JP 2009089241A
Authority
JP
Japan
Prior art keywords
traffic
destination
address
abnormal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007258798A
Other languages
English (en)
Other versions
JP4667437B2 (ja
Inventor
Kazuaki Chikira
和明 千喜良
Hideo Mori
英雄 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007258798A priority Critical patent/JP4667437B2/ja
Priority to PCT/JP2008/067317 priority patent/WO2009044660A1/ja
Priority to US12/679,029 priority patent/US8422386B2/en
Priority to CN2008801079028A priority patent/CN101803312B/zh
Priority to EP08834894A priority patent/EP2187577B1/en
Publication of JP2009089241A publication Critical patent/JP2009089241A/ja
Priority to HK10108662.8A priority patent/HK1142200A1/xx
Application granted granted Critical
Publication of JP4667437B2 publication Critical patent/JP4667437B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】スイッチを通過するトラフィックの宛先IPアドレスを予め登録することなく、効率良く迅速に異常トラフィックを検知する異常トラフィック検知装置を得ること。
【解決手段】スイッチを通過するトラフィックの情報を用いて通信装置への異常トラフィックを検知する異常トラフィック検知装置において、トラフィックの量情報を、通信装置毎の量情報テーブルとして記憶する宛先IPアドレスカウント部C1〜C4と、新たな宛先IPアドレスを有したトラフィックがスイッチを通過する度にこの宛先IPアドレスに対応する量情報テーブルに新たな宛先IPアドレスの量情報を登録しながら、通信装置毎の量情報テーブルに量情報を格納させるトラフィック分離部21と、量情報テーブル内の量情報に基づいて、スイッチ内を流れるトラフィック量の異常を検知する異常トラフィック判定部J1〜J4と、を備える。
【選択図】 図3

Description

本発明は、IX(Internet Exchange)で異常トラフィックを検知する異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムに関するものである。
近年、インターネット上のISP(Internet Service Provider)間で通信を可能とするため、各ISPをIX(相互接続ポイント)によって相互接続している。このようなIXを用いたネットワークでは、ISPに対して大量のパケットを送信することによってISPの負荷を増加させ、ISPのサービスを妨害するDDoS(Distributed Denial of Service)攻撃が問題となっている。例えば、インターネットや社内ネットワークへの不正侵入や攻撃を監視する侵入検知システムとしては、IDS(Intrusion Detection System)がある。このIDSでは、ネットワーク上を流れるパケットを監視・解析し、シグネチャ(シグネチャデータベース)呼ばれる攻撃手法のデータベースを参照して不正侵入や攻撃を自動検知している。シグネチャは、既知の不正アクセスのパターンとして、トラフィックのヘッダおよびペイロードに含まれるデータの特徴を記憶するデータベースであり、新たな攻撃手法が発見される度に、データベース内の情報が更新される。
ところで、DDoS攻撃の特徴はトラフィック量の大きさにあるので、IXに到着する全てのトラフィックに対して各トラフィックとシグネチャとが一致するか否かを確認していると、IXが高負荷状態に陥ってしまう。
そこで、従来のDDoS攻撃の検知システムでは、シグネチャを監視するのではなく、トラフィック量を監視することによってDDoS攻撃の検知を行なっていた。トラフィック量の監視の際には、全トラフィック量の監視とともに、プロトコル毎、宛先IP(Internet Protocol)アドレス毎といった単位でトラフィック量を集計した値を監視している。DDoS攻撃の検知システムでは、トラフィック量が分かればよいので、ネットワークを流れる全てのトラフィックの内容を全て監視する必要はない。このため、監視対象のネットワークを構成するスイッチやルータからトラフィックの統計情報だけを受信すれば、効率良くトラフィック量を監視することが可能となる。市販のスイッチやルータでは、トラフィック統計情報の出力形式としてsFlowやnetflowが採用されている(非特許文献1,2参照)。
また、サーバをサービス不能にするDDoS攻撃は、攻撃の的となるサーバに対してトラフィックが急増するという特徴がある。したがって、異常トラフィックを検知するには、宛先IPアドレスを特定することが有効である。例えば、特許文献1に記載のパケット処理方法では、事前に登録した宛先IPアドレス毎にトラフィック量を観測している。
Network Working Group Request for Comments:3176 Category: Informational "InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks" [online] P.Phaal S.Panchen N.McKee InMon Corp. September 2001 「平成19年9月4日検索」、インターネット<URL:http://www.ietf.org/rfc/rfc3176.txt> Network Working Group Request for Comments:3954 Category: Informational "Cisco Systems NetFlow Services Export Version 9" [online] B. Claise, Ed. Cisco Systems October 2004 「平成19年9月4日検索」、インターネット<URL:http://www.ietf.org/rfc/rfc3954.txt> 特開2003−283548号公報
上記第1〜第3の従来技術では、トラフィック観測点が社内ネットワークやデータセンタの入り口であれば、宛先IPアドレスが限定されているので、監視すべき宛先IPアドレスを事前に登録することが可能である。
しかしながら、IXにおいてDDoS攻撃を検知するために、上記第1〜第3の従来技術を適用してトラフィックを監視すると、以下のような問題点が発生する。すなわち、IXを通過するトラフィックに宛先IPアドレスが限定されていないので、宛先IPアドレスを予め登録することはできない。このため、IXでは事前登録した宛先アドレスに基づいたトラフィック量の観測を行なうことができないといった問題があった。
また、一定のメモリ領域を確保し、新しい宛先IPアドレスが出現するたびに、新たに出現した宛先IPアドレスをインデックスとして登録していくと、インデックスの種類が増大し、インデックスの種類の増大に伴ってトラフィックをカウントする際の計算量が大きくなってしまうという問題があった。
また、宛先IPアドレスを特定できた場合であっても、IXではこの宛先IPアドレスに向けたトラフィックを遮断することはできない。このため、DDoS攻撃などによる異常トラフィックを検知した場合、DDoS攻撃を行なうトラフィックが最初に経由するISPに、異常トラフィックを検知したことを通知する必要がある。したがって、宛先IPアドレスを特定するだけでなく、異常トラフィックの発生を通知すべきISPを特定することも必要になる。
本発明は、上記に鑑みてなされたものであって、スイッチを通過するトラフィックの宛先IPアドレスを予め登録することなく、効率良く迅速に異常トラフィックを検知する異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムを得ることを目的とする。
上述した課題を解決し、目的を達成するために、請求項1に係る発明は、スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際に前記スイッチを通過するトラフィックをモニタするとともに、モニタしたトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知する異常トラフィック検知装置において、前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する量情報記憶部と、前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定するとともに、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる格納制御部と、前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定部と、を備えることを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記格納制御部は、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記判定部は、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶し、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする。
また、請求項4に係る発明は、スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際に前記スイッチを通過するトラフィックをモニタするとともに、モニタしたトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知する異常トラフィック検知方法において、前記トラフィック情報を取得するトラフィック情報取得ステップと、前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定する宛先特定ステップと、前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する際に、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる量情報格納ステップと、前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定ステップと、を含むことを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記量情報格納ステップは、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記異常トラフィック判定ステップは、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶しておき、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする。
また、請求項7に係る発明は、スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際にモニタされた前記スイッチを通過するトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知することをコンピュータに実行させる異常トラフィック検知プログラムにおいて、前記トラフィック情報を取得するトラフィック情報取得ステップと、前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定する宛先特定ステップと、前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する際に、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる量情報格納ステップと、前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定ステップと、をコンピュータに実行させることを特徴とする。
また、請求項8に係る発明は、上記の発明において、前記量情報格納ステップは、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする。
また、請求項9に係る発明は、上記の発明において、前記異常トラフィック判定ステップは、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶しておき、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする。
請求項1、4または7の発明によれば、トラフィックの宛先となっている通信装置毎の量情報テーブルにトラフィックの量情報を格納させるので、小さなメモリサイズの量情報テーブルに各量情報を格納でき、効率良く迅速に異常トラフィックを検知することが可能になるという効果を奏する。
また、請求項2、5または8の発明によれば、予め宛先MACアドレスおよび宛先VLANに対応する通信装置の情報を記憶しておくので、トラフィックの宛先となっている通信装置を容易に特定することが可能になるという効果を奏する。
また、請求項3、6または9の発明によれば、トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を量情報テーブル毎に記憶しているので、スイッチ内を流れるトラフィックの量が異常であるか否かの判定を量情報テーブル毎に容易に判定することが可能になるという効果を奏する。
以下に、本発明に係る異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
まず、本実施例に係る異常トラフィック検知の概念について説明する。図1は、実施例1に係る異常トラフィック検知の概念を説明するための説明図である。異常トラフィック検知システム200は、ISP間などで送受信されるパケットを監視して、IX(サーバやネットワーク)上での異常トラフィック(例えばDDoS攻撃に対する異常トラフィック)を検知するシステムである。
異常トラフィック検知システム200は、レイヤ2スイッチ11がISP1〜x(xは自然数)の間で送受信されるパケットの中継処理を行なっている。そして、異常トラフィックの検知処理を行なう異常トラフィック検知装置100が、レイヤ2スイッチ11を介してインターネット接続されたISP1〜xの間でトラフィックが送受信される際に、レイヤ2スイッチ11を通過するトラフィックをモニタしている。異常トラフィック検知装置100は、モニタしたトラフィックに関する情報(トラフィック情報)を用いてISP1〜xへの異常トラフィックを検知する。
具体的には、異常トラフィック検知装置100は、レイヤ2スイッチ11を流れるトラフィックに関する情報としてsFlowパケット51を取得(受信)する(1)。そして、異常トラフィック検知装置100は、受信したsFlowパケット51に含まれる宛先MACアドレスおよびVLAN情報を用いて、トラフィックを経由ISP毎にカウントする。このとき、異常トラフィック検知装置100は、各ISP1〜xに対応するカウンタテーブル(トラフィックの量に関する情報をカウントする量情報テーブル)50を作成し、各カウンタテーブルで宛先IPアドレス毎にトラフィックをカウントする(2)。
異常トラフィック検知装置100は、カウンタテーブルに格納したトラフィックの量に関する情報(パケット数やパケットサイズ)(量情報)と、カウンタテーブル毎に設定されたトラフィックの閾値とを比較し(3)、異常トラフィックの検知を行なう(4)。
ISP1〜ISPxの間で新たなパケットの送受信が行われると、異常トラフィック検知装置100は、新たなsFlowパケットとしてsFlowパケット52を取得する(5)。異常トラフィック検知装置100は、sFlowパケット52に対応するカウンタテーブルを特定し、特定したカウンタテーブル内からsFlowパケット52に対応する宛先IPアドレスを検索(登録位置を検索)する(6)。
そして、異常トラフィック検知装置100は、sFlowパケット52に対応する宛先IPアドレスを検索できた場合には、既存のカウンタをプラス1してトラフィックのカウント(追加)を行なう。異常トラフィック検知装置100は、sFlowパケット52に対応する宛先IPアドレスを検索できなかった場合には、sFlowパケット52に対応する宛先IPアドレスを、sFlowパケット52に対応するカウンタテーブル内に新規登録してトラフィックのカウントを行なう(7)。
このように、各トラフィックのカウント値などをISP毎のカウンタテーブルに格納させているので、トラフィックのカウント値を格納する1つのメモリ領域は、全トラフィックのカウント値をまとめて1つのカウンタテーブルに記憶する場合のメモリ領域よりも狭くなる。例えば、各トラフィックのカウント値(ISP毎のカウンタテーブル)を格納するメモリ領域のサイズがそれぞれNである場合、全トラフィックのカウント値をまとめて記憶する場合のメモリ領域のサイズはxNになる。
本実施例では、各トラフィックのカウント値をISP毎のカウンタテーブルに格納しているので、各トラフィックがカウンタテーブル内に登録されているか否かの判断を行なう際の宛先IPアドレスの検索を迅速に行なうことが可能となる。これにより、IXで発生する異常トラフィックを効率良く迅速に検知することが可能となる。
図2は、本発明の実施例1に係る異常トラフィック検知装置を備えた異常トラフィック検知システムの構成を示す図である。異常トラフィック検知システム200は、ISP1〜4と、各ISP1〜4の代表ルータ(図示せず)を介してISP1〜4と接続するレイヤ2スイッチ11と、レイヤ2スイッチ11と接続する異常トラフィック検知装置100とを備えている。
異常トラフィック検知システム200では、レイヤ2スイッチ11と各ISP1〜4の代表ルータとによって、トラフィックの観測地点であるIXを構成している。各ISP1〜4は、レイヤ2スイッチ11を経由して他のISPとの間で通信を行う通信装置である。
異常トラフィック検知装置100は、レイヤ2スイッチ11に接続するトラフィック情報送信部30と、トラフィック情報送信部30に接続する異常トラフィック解析部20とを有している。本実施例の異常トラフィック検知装置100では、トラフィック情報送信部30がレイヤ2スイッチ11を流れるトラフィックをモニタするとともに、モニタしたトラフィックに関する情報をsFlowパケットとして異常トラフィック解析部20に送信する。異常トラフィック解析部20では、トラフィック情報送信部30から送信されたsFlowパケットを受信し、受信したsFlowパケットの内容を解析することによって異常トラフィックの検知を行なう。
ここで、異常トラフィック解析部20の構成について説明する。図3は、異常トラフィック解析部の構成を示すブロック図である。異常トラフィック解析部20は、トラフィック分離部(格納制御部)21と、宛先IPアドレスカウント部(量情報記憶部)C1〜C4と、異常トラフィック判定部J1〜J4を有している。
宛先IPアドレスカウント部C1〜C4は、トラフィック分離部21に接続している。異常トラフィック判定部J1は、宛先IPアドレスカウント部C1に接続し、異常トラフィック判定部J2は、宛先IPアドレスカウント部C2に接続している。また、異常トラフィック判定部J3は、宛先IPアドレスカウント部C3に接続し、異常トラフィック判定部J4は、宛先IPアドレスカウント部C4に接続している。
異常トラフィック解析部20では、宛先IPアドレスカウント部と異常トラフィック判定部は、IXに接続されているISPと同数だけ配設される。本実施例の異常トラフィック検知システム200は、ISPを4つ備えているので、宛先IPアドレスカウント部と異常トラフィック判定部はそれぞれ4つ存在する。宛先IPアドレスカウント部C1がISP1に対応し、宛先IPアドレスカウント部C2がISP2に対応している。また、宛先IPアドレスカウント部C3がISP3に対応し、宛先IPアドレスカウント部C4がISP4に対応している。
トラフィック分離部21は、トラフィックを経由ISP毎に分離する。具体的には、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプル(Ether(登録商標)フレームなど)を、例えば先頭から順に読み込む。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。また、トラフィック分離部21は、読み込んだフレームサンプルから、宛先IPアドレスとフレームサンプルのサイズを抽出する。
そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに対応するISPを、後述のIX管理情報(IXが管理しているISPの代表ルータに関する情報)の中から検索する。トラフィック分離部21は、抽出した宛先IPアドレスとフレームサンプルのサイズを、検索したISPに対応する宛先IPアドレスカウント部(宛先IPアドレスカウント部C1〜C4の何れか)に送信する。
宛先IPアドレスカウント部C1〜C4は、それぞれ後述のカウンタテーブル101〜104(宛先IPアドレスに対応するフレームサンプルの出現回数やサイズなどを格納する情報テーブル)を保持している。
宛先IPアドレスカウント部C1〜C4は、トラフィック分離部21から受信した宛先IPアドレスを、自身が保持するカウンタテーブルから検索する。宛先IPアドレスカウント部C1〜C4は、自身が保持するカウンタテーブルに検索対象の宛先IPアドレス(後述のインデックス)が存在しない場合、自身が保持するカウンタテーブルのインデックスに検索対象のインデックスを追加する。
また、宛先IPアドレスカウント部C1〜C4は、トラフィック分離部21から宛先IPアドレスとフレームサンプルのサイズを受信すると、受信した情報を用いて自身が保持するカウンタテーブルを更新する。
異常トラフィック判定部J1〜J4は、異常トラフィック解析部20がIX側から受信したsFlowパケットの内容を解析することによって異常トラフィックの検知を行なう。具体的には、異常トラフィック判定部J1〜J4は、それぞれ所定の周期(例えば一定周期)毎に自身が監視するカウンタテーブル101〜104の各インデックスの「カウンタ」などの値と、自身が予め保持している閾値情報(異常トラフィックの検知判定に用いる閾値の情報)とを比較する。異常トラフィック判定部J1〜J4は、この比較結果に基づいて、異常トラフィックを検知する。
つぎに、異常トラフィック検知装置100の動作手順について説明する。異常トラフィック検知装置100のトラフィック情報送信部30は、レイヤ2スイッチ11を流れるトラフィックをモニタする。そして、トラフィック情報送信部30は、モニタしたトラフィックに関する情報をsFlowパケットとして異常トラフィック解析部20に送信する。
ここで、トラフィック情報送信部30から異常トラフィック解析部20へsFlowパケットが送られてきた際の、異常トラフィック解析部20の動作について説明する。まず、sFlowパケットに含まれているフレームサンプルに基づいて、宛先IPアドレスをカウントする処理について説明し、その後、異常トラフィックの検知処理について説明する。
図4は、宛先IPアドレスのカウント処理手順を示すフローチャートである。異常トラフィック解析部20は、IXのレイヤ2スイッチ11から送られてくるsFlowパケットを、トラフィック情報送信部30を介して受信する(ステップS110)。
図5は、レイヤ2スイッチから送られてくるsFlowパケットの一例を示す図である。sFlowパケットは、1〜複数のフレームサンプル(sFlowパケットサンプル)を含んで構成されており、各フレームサンプルには、「サンプル番号」、「宛先MACアドレス」、「宛先VLAN」、「宛先IPアドレス」、「サイズ」が対応付けられている。
「サンプル番号」は、フレームサンプルを識別する情報であり、「宛先MACアドレス」は、フレームサンプルの宛先MAC(Media Access Control Address)アドレスである。また、「宛先VLAN」は、フレームサンプルの宛先となるVLAN(Virtual Local Area Network)を識別する情報であり、「宛先IPアドレス」は、フレームサンプルの宛先IPアドレスである。「サイズ」はフレームサンプルのサイズである。
例えば、「サンプル番号」が”1”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0001”であり、「宛先VLAN」が”1”である。また、このフレームサンプルの「宛先IPアドレス」は”192.168.1.1”であり、「サイズ」は”100”である。以下、異常トラフィック解析部20が、IXのレイヤ2スイッチ11から図5に示すsFlowパケットを受信した場合の、異常トラフィック解析部20の動作について説明する。
異常トラフィック解析部20では、レイヤ2スイッチ11から送られてくるsFlowパケットを受信すると、このsFlowパケットをトラフィック分離部21に送る。トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルを、先頭から順に読み込む。
トラフィック分離部21は、まず「サンプル番号」が”1”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに対応(一致)するISPを、図6に示すIX管理情報の中から検索する。
図6は、IX管理情報の構成を示す図である。IX管理情報は、図2に示したISP1〜4の代表ルータが持つ「MACアドレス」と「宛先VLAN」の一覧(情報テーブル)であり、「ISP」、「宛先MACアドレス」、「宛先VLAN」が対応付けされている。「ISP」は、ISPを識別する情報である。
本実施例では、「ISP」が”1”であるISPがISP1であり、「ISP」が”2”であるISPがISP2である。また、「ISP」が”3”であるISPがISP3であり、「ISP」が”4”であるISPがISP4である。
IX管理情報の「宛先MACアドレス」と「宛先VLAN」は、ISP1〜4がIXに接続する際に接続点となる代表ルータのインタフェースのMACアドレスとVLANである。「宛先MACアドレス」と「宛先VLAN」は、IXが顧客管理(IXに接続するISP1〜4の管理)に利用している情報である。
「サンプル番号」が”1”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0001”であり、「宛先VLAN」が”1”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0001”であり、かつ「宛先VLAN」が”1”であるISPは、ISP1である。したがって、トラフィック分離部21は、「サンプル番号」が”1”のフレームサンプルは、ISP1に向かうトラフィックである(経由ISPがISP1である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”1”のトラフィックを、ISP1に対応付ける。
トラフィック分離部21は、「サンプル番号」が”1”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”1”のトラフィックを、ISP1のトラフィックとしてsFlowパケットから分離(抽出)する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”1”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.1.1”と、「サイズ」の”100”を、宛先IPアドレスカウント部C1(ISP1に対応する宛先IPアドレスカウント部)に送信する。宛先IPアドレスカウント部C1は、トラフィック分離部21から「宛先IPアドレス」の”192.168.1.1”と、「サイズ」の”100”を受信する。
宛先IPアドレスカウント部C1〜C4は、図7〜図10に示すカウンタテーブル101〜104を保持している。宛先IPアドレスカウント部C1〜C4が保持している各カウンタテーブル101〜104は、それぞれ独立した別々のテーブルである。図7に示すカウンタテーブル101は、宛先IPアドレスカウント部C1のカウンタテーブルであり、図8に示すカウンタテーブル102は、宛先IPアドレスカウント部C2のカウンタテーブルである。また、図9に示すカウンタテーブル103は、宛先IPアドレスカウント部C3のカウンタテーブルであり、図10に示すカウンタテーブル104は、宛先IPアドレスカウント部C4のカウンタテーブルである。
図7〜図10に示すカウンタテーブル101〜104は、「宛先IPアドレス」(インデックス)と、このインデックスに対応するフレームサンプルの出現回数およびサイズの総和を記憶する情報テーブルである。各カウンタテーブル101〜104では、各インデックスの出現回数(「カウンタ」の値)と各インデックスに対応するフレームサンプルの「サイズ」をインデックス毎に格納するとともに、全インデックスの出現回数の総和(「累計カウンタ」の値)と全インデックスの「累計サイズ」を格納している。
例えば、図7に示すカウンタテーブル101は、「宛先IPアドレス」が”192.168.1.1”の「カウンタ」が”1”であり、「サイズ」が”100”であることを示している。また、カウンタテーブル101は、「宛先IPアドレス」が”192.168.1.1”の「累計カウンタ」が”1”であり、「累計サイズ」が”100”であることを示している。
なお、各カウンタテーブル101〜104では、初期状態でのインデックスは存在していない。宛先IPアドレスカウント部C1〜C4は、トラフィック分離部21から新たな「宛先IPアドレス」を受信した際に、カウンタテーブル101〜104に新たなインデックスを追加する。
宛先IPアドレスカウント部C1は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.1.1”を、自身が保持するカウンタテーブル(図7に示したカウンタテーブル101)のインデックスから検索する。
宛先IPアドレスカウント部C1は、自身が保持するカウンタテーブル101に検索対象のインデックスが存在しない場合、自身が保持するカウンタテーブル101のインデックスに検索対象のインデックスを追加する。
初期状態ではカウンタテーブル101にインデックスが存在しないので、宛先IPアドレスカウント部C1は、カウンタテーブル101のインデックスに”192.168.1.1”を追加する。
さらに、宛先IPアドレスカウント部C1は、「カウンタ」の”1”と「サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル101に格納する。また、宛先IPアドレスカウント部C1は、「累計カウンタ」の値を1だけインクリメントして”1”とし、「累計サイズ」を”100”とする。そして、宛先IPアドレスカウント部C1は、「累計カウンタ」の”1”と「累計サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル101に格納する(ステップS140)。この時点で、宛先IPアドレスカウント部C1が保持するカウンタテーブルの状態は、図7に示したカウンタテーブル101となる。
つぎに、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたか否かを判断する(ステップS150)。
読み込んだフレームサンプルの全てに対して宛先IPアドレスをカウントしていなければ(ステップS150、No)、トラフィック分離部21は、次の「サンプル番号」のフレームサンプルを、sFlowパケットから読み込む。ここでのトラフィック分離部21は、「サンプル番号」が”2”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。
そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに一致するISPを、図6に示すIX管理情報の中から検索する。「サンプル番号」が”2”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0002”であり、「宛先VLAN」が”1”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0002”であり、かつ「宛先VLAN」が”1”であるISPは、ISP2である。したがって、トラフィック分離部21は、「サンプル番号」が”2”のフレームサンプルは、ISP2に向かうトラフィックである(経由ISPがISP2である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”2”のトラフィックを、ISP2に対応付ける。
トラフィック分離部21は、「サンプル番号」が”2”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”2”のトラフィックを、ISP2のトラフィックとしてsFlowパケットから分離する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”2”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.2.1”と、「サイズ」の”100”を、宛先IPアドレスカウント部C2(ISP2に対応する宛先IPアドレスカウント部)に送信する。
宛先IPアドレスカウント部C2は、トラフィック分離部21から「宛先IPアドレス」の”192.168.2.1”と、「サイズ」の”100”を受信する。宛先IPアドレスカウント部C2は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.2.1”を、自身が保持するカウンタテーブル(図8に示したカウンタテーブル102)のインデックスから検索する。
宛先IPアドレスカウント部C2は、自身が保持するカウンタテーブル102に検索対象のインデックスが存在しない場合、自身が保持するカウンタテーブル102のインデックスに検索対象のインデックスを追加する。
初期状態ではカウンタテーブル102にインデックスが存在しないので、宛先IPアドレスカウント部C2は、カウンタテーブル102のインデックスに”192.168.2.1”を追加する。
さらに、宛先IPアドレスカウント部C2は、「カウンタ」の”1”と「サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル102に格納する。また、宛先IPアドレスカウント部C2は、「累計カウンタ」の値を1だけインクリメントして”1”とし、「累計サイズ」を”100”とする。そして、宛先IPアドレスカウント部C2は、「累計カウンタ」の”1”と「累計サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル102に格納する(ステップS140)。
つぎに、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたか否かを判断する(ステップS150)。
読み込んだフレームサンプルの全てに対して宛先IPアドレスをカウントしていなければ(ステップS150、No)、トラフィック分離部21は、次の「サンプル番号」のフレームサンプルを、sFlowパケットから読み込む。ここでのトラフィック分離部21は、「サンプル番号」が”3”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。
そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに一致するISPを、図6に示すIX管理情報の中から検索する。「サンプル番号」が”3”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0003”であり、「宛先VLAN」が”2”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0003”であり、かつ「宛先VLAN」が”2”であるISPは、ISP4である。したがって、トラフィック分離部21は、「サンプル番号」が”3”のフレームサンプルは、ISP4に向かうトラフィックである(経由ISPがISP4である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”3”のトラフィックを、ISP4に対応付ける。
トラフィック分離部21は、「サンプル番号」が”3”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”3”のトラフィックを、ISP2のトラフィックとしてsFlowパケットから分離する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”3”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.3.1”と、「サイズ」の”100”を、宛先IPアドレスカウント部C4(ISP4に対応する宛先IPアドレスカウント部)に送信する。
宛先IPアドレスカウント部C4は、トラフィック分離部21から「宛先IPアドレス」の”192.168.3.1”と、「サイズ」の”100”を受信する。宛先IPアドレスカウント部C4は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.3.1”を、自身が保持するカウンタテーブル(図10に示したカウンタテーブル104)のインデックスから検索する。
宛先IPアドレスカウント部C4は、自身が保持するカウンタテーブル104に検索対象のインデックスが存在しない場合、自身が保持するカウンタテーブル104のインデックスに検索対象のインデックスを追加する。
初期状態ではカウンタテーブル104にインデックスが存在しないので、宛先IPアドレスカウント部C4は、カウンタテーブル104のインデックスに”192.168.3.1”を追加する。
さらに、宛先IPアドレスカウント部C4は、「カウンタ」の”1”と「サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル104に格納する。また、宛先IPアドレスカウント部C4は、「累計カウンタ」の値を1だけインクリメントして”1”とし、「累計サイズ」を”100”とする。そして、宛先IPアドレスカウント部C4は、「累計カウンタ」の”1”と「累計サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル104に格納する(ステップS140)。この時点で、宛先IPアドレスカウント部C4が保持するカウンタテーブルの状態は、図10に示したカウンタテーブル104となる。
つぎに、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたか否かを判断する(ステップS150)。
読み込んだフレームサンプルの全てに対して宛先IPアドレスをカウントしていなければ(ステップS150、No)、トラフィック分離部21は、次の「サンプル番号」のフレームサンプルを、sFlowパケットから読み込む。ここでのトラフィック分離部21は、「サンプル番号」が”4”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。
そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに一致するISPを、図6に示すIX管理情報の中から検索する。「サンプル番号」が”4”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0002”であり、「宛先VLAN」が”1”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0002”であり、かつ「宛先VLAN」が”1”であるISPは、ISP2である。したがって、トラフィック分離部21は、「サンプル番号」が”4”のフレームサンプルは、ISP2に向かうトラフィックである(経由ISPがISP2である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”4”のトラフィックを、ISP2に対応付ける。
トラフィック分離部21は、「サンプル番号」が”4”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”4”のトラフィックを、ISP2のトラフィックとしてsFlowパケットから分離する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”4”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.2.2”と、「サイズ」の”100”を、宛先IPアドレスカウント部C2(ISP2に対応する宛先IPアドレスカウント部)に送信する。
宛先IPアドレスカウント部C2は、トラフィック分離部21から「宛先IPアドレス」の”192.168.2.2”と、「サイズ」の”100”を受信する。宛先IPアドレスカウント部C2は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.2.2”を、自身が保持するカウンタテーブル(図8に示したカウンタテーブル102)のインデックスから検索する。
宛先IPアドレスカウント部C2が保持するカウンタテーブル102には、検索対象のインデックス”192.168.2.2”が存在しないので、宛先IPアドレスカウント部C2は、カウンタテーブル102のインデックスに”192.168.2.2”を追加する。さらに、宛先IPアドレスカウント部C2は、「カウンタ」の”1”と「サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル102に格納(追加)する。また、宛先IPアドレスカウント部C2は、「累計カウンタ」の値を1だけインクリメントして”2”とし、「累計サイズ」に100を加算して”200”とする。そして、宛先IPアドレスカウント部C2は、「累計カウンタ」の”2”と「累計サイズ」の”200”を、追加したインデックスに対応付けてカウンタテーブル102に格納(上書き)する(ステップS140)。この時点で、宛先IPアドレスカウント部C2が保持するカウンタテーブルの状態は、図8に示したカウンタテーブル102となる。
つぎに、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたか否かを判断する(ステップS150)。
読み込んだフレームサンプルの全てに対して宛先IPアドレスをカウントしていなければ(ステップS150、No)、トラフィック分離部21は、次の「サンプル番号」のフレームサンプルを、sFlowパケットから読み込む。ここでのトラフィック分離部21は、「サンプル番号」が”5”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。
そして、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに一致するISPを、図6に示すIX管理情報の中から検索する。「サンプル番号」が”5”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0003”であり、「宛先VLAN」が”1”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0003”であり、かつ「宛先VLAN」が”1”であるISPは、ISP3である。したがって、トラフィック分離部21は、「サンプル番号」が”5”のフレームサンプルは、ISP3に向かうトラフィックである(経由ISPがISP3である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”5”のトラフィックを、ISP3に対応付ける。
トラフィック分離部21は、「サンプル番号」が”5”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”5”のトラフィックを、ISP3のトラフィックとしてsFlowパケットから分離する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”5”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.3.2”と、「サイズ」の”100”を、宛先IPアドレスカウント部C3(ISP3に対応する宛先IPアドレスカウント部)に送信する。
宛先IPアドレスカウント部C3は、トラフィック分離部21から「宛先IPアドレス」の”192.168.3.2”と、「サイズ」の”100”を受信する。宛先IPアドレスカウント部C4は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.3.2”を、自身が保持するカウンタテーブル(図9に示したカウンタテーブル103)のインデックスから検索する。
宛先IPアドレスカウント部C3は、自身が保持するカウンタテーブル103に検索対象のインデックスが存在しない場合、自身が保持するカウンタテーブル103のインデックスに検索対象のインデックスを追加する。
初期状態ではカウンタテーブル103にインデックスが存在しないので、宛先IPアドレスカウント部C3は、カウンタテーブル103のインデックスに”192.168.3.2”を追加する。
さらに、宛先IPアドレスカウント部C3は、「カウンタ」の”1”と「サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル103に格納する。また、宛先IPアドレスカウント部C3は、「累計カウンタ」の値を1だけインクリメントして”1”とし、「累計サイズ」を”100”とする。そして、宛先IPアドレスカウント部C3は、「累計カウンタ」の”1”と「累計サイズ」の”100”を、追加したインデックスに対応付けてカウンタテーブル103に格納する(ステップS140)。
つぎに、トラフィック分離部21は、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたか否かを判断する(ステップS150)。
読み込んだフレームサンプルの全てに対して宛先IPアドレスをカウントしていなければ(ステップS150、No)、トラフィック分離部21は、次の「サンプル番号」のフレームサンプルを、sFlowパケットから読み込む。ここでのトラフィック分離部21は、「サンプル番号」が”6”のフレームサンプルを、sFlowパケットから読み込む(ステップS120)。トラフィック分離部21は、読み込んだフレームサンプルから宛先MACアドレスと宛先VLANを抽出する。
つぎに、トラフィック分離部21は、抽出したMACアドレスとVLANの組み合わせに一致するISPを、図6に示すIX管理情報の中から検索する。「サンプル番号」が”6”のフレームサンプルは、「宛先MACアドレス」が”0000.0000.0003”であり、「宛先VLAN」が”1”である。トラフィック分離部21は、この「宛先MACアドレス」および「宛先VLAN」に一致するISPをIX管理情報から検索する。図6のIX管理情報に示すように、「宛先MACアドレス」が”0000.0000.0003”であり、「宛先VLAN」が”1”であるISPは、ISP3である。したがって、トラフィック分離部21は、「サンプル番号」が”6”のフレームサンプルは、ISP3に向かうトラフィックである(経由ISPがISP3である)と判定する。そして、トラフィック分離部21は、「サンプル番号」が”6”のトラフィックを、ISP3に対応付ける。
トラフィック分離部21は、「サンプル番号」が”6”のフレームサンプルの情報として、「宛先IPアドレス」と「サイズ」をsFlowパケットから抽出する。これにより、トラフィック分離部21は、「サンプル番号」が”6”のトラフィックを、ISP3のトラフィックとしてsFlowパケットから分離する(ステップS130)。トラフィック分離部21は、「サンプル番号」が”6”のフレームサンプルの情報として、「宛先IPアドレス」の”192.168.3.2”と、「サイズ」の”100”を、宛先IPアドレスカウント部C3(ISP3に対応する宛先IPアドレスカウント部)に送信する。
宛先IPアドレスカウント部C3は、トラフィック分離部21から「宛先IPアドレス」の”192.168.3.2”と、「サイズ」の”100”を受信する。宛先IPアドレスカウント部C3は、トラフィック分離部21から受信した「宛先IPアドレス」の”192.168.3.2”を、自身が保持するカウンタテーブル103のインデックスから検索する。
宛先IPアドレスカウント部C3が保持するカウンタテーブル103には、検索対象のインデックス”192.168.3.2”が存在するので、宛先IPアドレスカウント部C3は、カウンタテーブル103から「宛先IPアドレス」の”192.168.3.2”を抽出することができる。
宛先IPアドレスカウント部C3は、抽出したインデックスに対応するフレームサンプルの「カウンタ」を1だけインクリメントして”2”とし、抽出したインデックスに対応するフレームサンプルの「サイズ」に100を加算して”200”とする。そして、宛先IPアドレスカウント部C3は、「カウンタ」の”2”と「サイズ」の”200”を、抽出したインデックスに対応付けてカウンタテーブル103に格納(上書き)する。
また、宛先IPアドレスカウント部C3は、「累計カウンタ」の値を1だけインクリメントして”2”とし、「累計サイズ」に100を加算して”200”とする。そして、宛先IPアドレスカウント部C3は、「累計カウンタ」の”2”と「累計サイズ」の”200”を、追加したインデックスに対応付けてカウンタテーブル103に格納(上書き)する(ステップS140)。この時点で、宛先IPアドレスカウント部C4が保持するカウンタテーブルの状態は、図10に示したカウンタテーブル103となる。以後、異常トラフィック解析部20では、sFlowパケットを受信する度にステップS120〜S150の処理を繰り返す。
トラフィック分離部21が、受信したsFlowパケットに含まれているフレームサンプルの全てに対して宛先IPアドレスをカウントしたと判断すると(ステップS150、Yes)、異常トラフィック解析部20は新たなsFlowパケットの受信待ち状態となる。この後、異常トラフィック判定部J1〜J4では、異常トラフィック解析部20がIXから受信したsFlowパケットの内容を解析することによって異常トラフィックの検知を行なう。
つぎに、異常トラフィック判定部J1〜J4による異常トラフィックの検知処理について説明する。図11は、異常トラフィックの検知処理手順を示すフローチャートである。異常トラフィック判定部J1〜J4は、それぞれ所定の周期(例えば一定周期)毎に自身が監視するカウンタテーブル101〜104の各インデックスの「カウンタ」などの値と、自身が予め保持している閾値情報(カウンタテーブル毎のトラフィックの閾値)とを比較する。
具体的には、異常トラフィック判定部J1が、宛先IPアドレスカウント部C1の保持する各インデックスの「カウンタ」などの値と、予め保持している閾値(図12に示す閾値情報)とを比較し、異常トラフィック判定部J2が、宛先IPアドレスカウント部C2の保持する各インデックスの「カウンタ」などの値と、予め保持している閾値(図13に示す閾値情報)とを比較する。また、異常トラフィック判定部J3が、宛先IPアドレスカウント部C3の保持する各インデックスの「カウンタ」などの値と、予め保持している閾値(図14に示す閾値情報)とを比較し、異常トラフィック判定部J4が、宛先IPアドレスカウント部C4の保持する各インデックスの「カウンタ」などの値と、予め保持している閾値(図15に示す閾値情報)とを比較する(ステップS210)。
図12は、異常トラフィック判定部J1が保持している閾値情報の構成を示す図であり、図13は、異常トラフィック判定部J2が保持している閾値情報の構成を示す図である。また、図14は、異常トラフィック判定部J3が保持している閾値情報の構成を示す図であり、図15は、異常トラフィック判定部J4が保持している閾値情報の構成を示す図である。
図12〜図15に示す閾値情報は、「カウンタ閾値」と「累計カウンタ閾値」とが対応付けされた情報テーブルである。「カウンタ閾値」は、宛先IPアドレスカウント部C1〜C4によってカウントされたフレームサンプルの「カウンタ」の値(図7〜図10に示した「カウンタ」の値)と比較される閾値である。「カウンタ閾値」には、フレームサンプルのサイズの閾値である「サイズ閾値」が対応付けられている。「累計カウンタ閾値」は、フレームサンプルの「カウンタ」の値の総和(図7〜図10に示した「累計カウンタ」の値)と比較される閾値である。「累計カウンタ閾値」には、フレームサンプルの「累計サイズ」の閾値である「累計サイズ閾値」が対応付けられている。
例えば、図12に示す閾値情報は、「カウンタ閾値」が”2”であり、「サイズ閾値」が”200”である。また、「累計カウンタ閾値」が”2”であり、「累計サイズ閾値」が”200”である。
異常トラフィック判定部J1〜J4は、宛先IPアドレスカウント部C1〜C4が保持しているカウンタテーブル101〜104と、異常トラフィック判定部J1〜J4が予め保持している閾値情報との比較結果に基づいて、異常トラフィックを検知する。異常トラフィック判定部J1〜J4は、例えばインデックスの「カウンタ」の値または「サイズ」の値が、「カウンタ閾値」または「サイズ閾値」を上回っている場合や、インデックスの「累計カウンタ」の値または「累計サイズ」の値が、「累計カウンタ閾値」または「累計サイズ閾値」を上回っている場合に異常トラフィックであると判断する。
異常トラフィック判定部J1〜J4は、宛先IPアドレスカウント部C1〜C4からインデックスの「カウンタ」の値、「サイズ」の値、「累計カウンタ」の値、「累計サイズ」の値を読み込んだ後、宛先IPアドレスカウント部C1〜C4にカウンタテーブル101〜104の値をクリアさせる(ステップS220)。異常トラフィック判定部J1〜J4は、異常トラフィックがあるか否かを判定してから所定時間が経過するまで(ステップS230、No)、待機状態となる。
異常トラフィック判定部J1〜J4は、前回異常トラフィックがあるか否かを判定してから所定時間が経過すると(ステップS230、Yes)、自身が監視するカウンタテーブル101〜104の各インデックスの値と、自身が予め保持している閾値情報とを比較する(ステップS210)。異常トラフィック判定部J1〜J4は、ステップS210〜S230の処理を繰り返す。
つぎに、異常トラフィック判定部J1〜J4による異常トラフィックの判定処理を詳細に説明する。異常トラフィック判定部J1は、宛先IPアドレスカウント部C1が保持するカウンタテーブル101から、インデックス”192.168.1.1”の「カウンタ」の値である”1”と「サイズ」の値である”100”とを読み込む。
そして、異常トラフィック判定部J1は、自身が保持している図12に示す「カウンタ閾値」の”2”と、宛先IPアドレスカウント部C1から読み込んだ「カウンタ」の値”1”とを比較する。また、異常トラフィック判定部J1は、「サイズ閾値」の”200”と、宛先IPアドレスカウント部C1から読み込んだサイズ”100”とを比較する。
異常トラフィック判定部J1が宛先IPアドレスカウント部C1から読み込んだ「カウンタ」の値は、異常トラフィック判定部J1が保持している「カウンタ閾値」よりも小さい。また、異常トラフィック判定部J1が宛先IPアドレスカウント部C1から読み込んだ「サイズ」の値は、異常トラフィック判定部J1が保持している「サイズ閾値」の値よりも小さい。
さらに、異常トラフィック判定部J1は、宛先IPアドレスカウント部C1が保持するカウンタテーブル101から、インデックス”192.168.1.1”の「累計カウンタ」の値である”1”と、「累計サイズ」の値である”100”を読み込む。
そして、異常トラフィック判定部J1は、自身が保持している図12に示す「累計カウンタ閾値」の”2”と、宛先IPアドレスカウント部C1から読み込んだ「累計カウンタ」の”1”とを比較する。また、異常トラフィック判定部J1は、「累計サイズ閾値」の”200”と、宛先IPアドレスカウント部C1から読み込んだ「累計サイズ」の”100”とを比較する。
異常トラフィック判定部J1が宛先IPアドレスカウント部C1から読み込んだ「累計カウンタ」の値は、異常トラフィック判定部J1が保持している「累計カウンタ閾値」よりも小さい。また、異常トラフィック判定部J1が宛先IPアドレスカウント部C1から読み込んだ「累計サイズ」の値は、異常トラフィック判定部J1が保持している「累計サイズ閾値」よりも小さい。したがって、ここでの異常トラフィック判定部J1は、IXでの異常トラフィックは無いと判断する。
異常トラフィック判定部J2は、宛先IPアドレスカウント部C2が保持するカウンタテーブル102からインデックス”192.168.2.1”の「カウンタ」の値である”1”と「サイズ」の値である”100”とを読み込む。
そして、異常トラフィック判定部J2は、自身が保持している図13に示す「カウンタ閾値」の”2”と、宛先IPアドレスカウント部C2から読み込んだ「カウンタ」の値”1”とを比較する。また、異常トラフィック判定部J1は、「サイズ閾値」の”200”と、宛先IPアドレスカウント部C1から読み込んだ「サイズ」の値”100”とを比較する。
異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだインデックス”192.168.2.1”の「カウンタ」の値は、異常トラフィック判定部J2が保持している「カウンタ閾値」よりも小さい。また、異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだインデックス”192.168.2.1”の「サイズ」の値は、異常トラフィック判定部J1が保持している「サイズ閾値」よりも小さい。
さらに、異常トラフィック判定部J2は、宛先IPアドレスカウント部C2が保持するカウンタテーブル102からインデックス”192.168.2.2” の「カウンタ」の値である”2”と「サイズ」の値である”100”とを読み込む。
そして、異常トラフィック判定部J2は、自身が保持している図13に示す「カウンタ閾値」の”2”と、宛先IPアドレスカウント部C2から読み込んだ「カウンタ」の値”1”とを比較する。また、異常トラフィック判定部J2は、「サイズ閾値」の”200”と、宛先IPアドレスカウント部C2から読み込んだ「サイズ」の値”100”とを比較する。
異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだインデックス”192.168.2.2”の「カウンタ」の値は、異常トラフィック判定部J2が保持している「カウンタ閾値」よりも小さい。また、異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだインデックス”192.168.2.2”の「サイズ」は、異常トラフィック判定部J1が保持している「サイズ閾値」よりも小さい。
さらに、異常トラフィック判定部J2は、宛先IPアドレスカウント部C2が保持するカウンタテーブル102から、インデックス”192.168.2.1”およびインデックス”192.168.2.2”の「累計カウンタ」の値である”2”と「累計サイズ」の値である”200”を読み込む。
そして、異常トラフィック判定部J2は、自身が保持している図12に示す「累計カウンタ閾値」の”2”と、宛先IPアドレスカウント部C2から読み込んだ「累計カウンタ」の”2”とを比較する。また、異常トラフィック判定部J2は、「累計サイズ閾値」の”200”と、宛先IPアドレスカウント部C2から読み込んだ「累計サイズ」の”200”とを比較する。
異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだ「累計カウンタ」の値は、異常トラフィック判定部J2が保持している「累計カウンタ閾値」の値以上である。また、異常トラフィック判定部J2が宛先IPアドレスカウント部C2から読み込んだ「累計サイズ」の値は、異常トラフィック判定部J2が保持している「累計サイズ閾値」の値以上である。したがって、ここでの異常トラフィック判定部J2は、IXで異常トラフィックが発生したと判断(異常トラフィックを検知)する。このとき、異常トラフィック判定部J2は、異常トラフィックの内容が「ISP2へのパケット数およびパケットサイズの超過」であると判断する。
異常トラフィック判定部J3は、宛先IPアドレスカウント部C3が保持するカウンタテーブル103から、インデックス”192.168.3.2”の「カウンタ」の値”2”と「サイズ」の”200”を読み込む。
そして、異常トラフィック判定部J3は、自身が保持している図14に示す「カウンタ閾値」の”2”と、宛先IPアドレスカウント部C3から読み込んだ「カウンタ」の値”2”とを比較する。また、異常トラフィック判定部J3は、「サイズ閾値」の“200”と、宛先IPアドレスカウント部C3から読み込んだ「サイズ」の”200”とを比較する。
異常トラフィック判定部J3が宛先IPアドレスカウント部C3から読み込んだインデックス”192.168.3.2”の「カウンタ」の値は、異常トラフィック判定部J3が保持している「カウンタ閾値」の値以上である。また、異常トラフィック判定部J3が宛先IPアドレスカウント部C3から読み込んだインデックス”192.168.3.2”の「サイズ」の値は、異常トラフィック判定部J3が保持している「サイズ閾値」の値以上である。
さらに、異常トラフィック判定部J3は、宛先IPアドレスカウント部C3が保持するカウンタテーブル103から、インデックス”192.168.3.2”の「累計カウンタ」の値である”2”と「累計サイズ」の値である”200”を読み込む。
そして、異常トラフィック判定部J3は、自身が保持している図14に示す「累計カウンタ閾値」の”10”と、宛先IPアドレスカウント部C3から読み込んだ「累計カウンタ」の”2”とを比較する。また、異常トラフィック判定部J3は、「累計サイズ閾値」の”800”と、宛先IPアドレスカウント部C3から読み込んだ「累計サイズ」の”200”とを比較する。
異常トラフィック判定部J3が宛先IPアドレスカウント部C3から読み込んだ「累計カウンタ」の値は、異常トラフィック判定部J3が保持している「累計カウンタ閾値」よりも小さい。また、異常トラフィック判定部J3が宛先IPアドレスカウント部C3から読み込んだ「累計サイズ」の値は、異常トラフィック判定部J3が保持している「累計サイズ閾値」の値よりも小さい。
したがって、ここでの異常トラフィック判定部J3は、IXで異常トラフィックが発生したと判断する。このとき、異常トラフィック判定部J3は、異常トラフィックの内容が「インデックス”192.168.3.2”宛てのパケット数およびパケットサイズの超過」であると判断する。
異常トラフィック判定部J4は、宛先IPアドレスカウント部C4が保持するカウンタテーブル104から、インデックス”192.168.3.1”の「カウンタ」の値である”1”と「サイズ」の値である”100”とを読み込む。
そして、異常トラフィック判定部J4は、自身が保持している図15に示す「カウンタ閾値」の”5”と、宛先IPアドレスカウント部C4から読み込んだ「カウンタ」の値”1”とを比較する。また、異常トラフィック判定部J4は、「サイズ閾値」の「500」と、宛先IPアドレスカウント部C4から読み込んだ「サイズ」の”100”とを比較する。
異常トラフィック判定部J4が宛先IPアドレスカウント部C4から読み込んだ「カウンタ」の値は、異常トラフィック判定部J4が保持している「カウンタ閾値」よりも小さい。また、異常トラフィック判定部J4が宛先IPアドレスカウント部C4から読み込んだ「サイズ」の値は、異常トラフィック判定部J4が保持している「サイズ閾値」よりも小さい。
さらに、異常トラフィック判定部J4は、宛先IPアドレスカウント部C4が保持するカウンタテーブル104から、インデックス”192.168.3.1”の「累計カウンタ」の値である”1”と「累計サイズ」の値である”100”を読み込む。
そして、異常トラフィック判定部J4は、自身が保持している図15に示す「累計カウンタ閾値」の”5”と、宛先IPアドレスカウント部C4から読み込んだ「累計カウンタ」の値”1”とを比較する。また、異常トラフィック判定部J4は、「累計サイズ閾値」の「500」と、宛先IPアドレスカウント部C4から読み込んだ「累計サイズ」の値”100”とを比較する。
異常トラフィック判定部J4が宛先IPアドレスカウント部C4から読み込んだ「累計カウンタ」の値は、異常トラフィック判定部J4が保持している「累計カウンタ閾値」よりも小さい。また、異常トラフィック判定部J4が宛先IPアドレスカウント部C4から読み込んだ「累計サイズ」の値は、異常トラフィック判定部J4が保持している「累計サイズ閾値」よりも小さい。したがって、ここでの異常トラフィック判定部J4は、IXでの異常トラフィックは無いと判断する。
換言すると、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「カウンタ」の値、このインデックスの「サイズ」の値、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「累計カウンタ」の値、このインデックスの「累計サイズ」の値が、それぞれ「カウンタ閾値」、「サイズ閾値」、「累計カウンタ閾値」、累計サイズ閾値」の値よりも小さい場合に、異常トラフィック判定部J1〜J4は、IXでの異常トラフィックは無いと判断する。
また、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「カウンタ」の値が、「カウンタ閾値」の値以上である場合に、異常トラフィック判定部J1〜J4は、IXで異常トラフィックが発生したと判断する。この場合、異常トラフィック判定部J1〜J4は、それぞれ図7〜図10に示すカウンタテーブル101〜104に格納されているインデックスのうち、異常トラフィックの検知対象となっているインデックス宛てのパケット量の超過であると判断する。
また、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「サイズ」の値が、「サイズ閾値」の値以上である場合に、異常トラフィック判定部J1〜J4は、IXで異常トラフィックが発生したと判断する。この場合、異常トラフィック判定部J1〜J4は、それぞれ図7〜図10に示すカウンタテーブル101〜104に格納されているインデックスのうち、異常トラフィックの検知対象となっているインデックス宛てのパケット量の超過であると判断する。
なお、異常トラフィック判定部J1〜J4は、インデックスの「カウンタ」の値が「カウンタ閾値」の値以上であり、かつインデックスの「サイズ」の値が、「サイズ閾値」の値以上である場合に、IXで異常トラフィックが発生したと判断してもよい。この場合も、異常トラフィック判定部J1〜J4は、それぞれ図7〜図10に示すカウンタテーブル101〜104に格納されているインデックスのうち、異常トラフィックの検知対象となっているインデックス宛てのパケット量の超過であると判断する。
また、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「累計カウンタ」の値が、「累計カウンタ閾値」の値以上である場合に、異常トラフィック判定部J1〜J4は、IXで異常トラフィックが発生したと判断する。この場合、異常トラフィック判定部J1〜J4は、自身(異常トラフィックの発生と判断した異常トラフィック判定部)に対応するISP(ISP1〜4の何れか)のパケット数が超過したと判断する。
また、宛先IPアドレスカウント部C1〜C4から読み込んだインデックスの「累計サイズ」の値が、「累計サイズ閾値」の値以上である場合に、異常トラフィック判定部J1〜J4は、IXで異常トラフィックが発生したと判断する。この場合、異常トラフィック判定部J1〜J4は、自身に対応するISPのパケット数が超過したと判断する。
なお、異常トラフィック判定部J1〜J4は、インデックスの「累計カウンタ」の値が「累計カウンタ閾値」の値以上であり、かつインデックスの「累計サイズ」の値が、「累計サイズ閾値」の値以上である場合に、IXで異常トラフィックが発生したと判断してもよい。この場合も、異常トラフィック判定部J1〜J4は、自身に対応するISPのパケット数が超過したと判断する。
また、異常トラフィック判定部J1〜J4は、「カウンタ」の値が「カウンタ閾値」の値以上であり、かつ「サイズ」の値が「サイズ閾値」の値以上であり、かつ「累計カウンタ」の値が「累計カウンタ閾値」の値以上であり、かつ「累計サイズ」の値が、「累計サイズ閾値」の値以上である場合に、IXで異常トラフィックが発生したと判断してもよい。
なお、異常トラフィック判定部J1〜J4による異常トラフィックの判定は、それぞれ何れのタイミングで行なってもよい。異常トラフィック判定部J1〜J4で同時に異常トラフィックの判定を行なってもよいし、異常トラフィック判定部J1〜J4で順番に異常トラフィックの判定を行なってもよい。
つぎに、本実施例の異常トラフィック検知システム200でトラフィック量を算出する場合の計算量と、従来の通信システムでトラフィック量を算出する場合の計算量と、について説明する。以下では、異常トラフィック検知システム200が4つのISPを備える場合の計算量と、従来の計算量とを比較して、各計算量の違いを説明する。
図16は、異常トラフィック検知システムでトラフィック量を算出する場合の計算量を説明するための図であり、図17は、従来の通信システムでトラフィック量を算出する場合の計算量を説明するための図である。
本実施例の異常トラフィック検知システム200では、宛先IPアドレスカウント部C1〜C4に、それぞれのカウンタテーブルを保持するための予め決められたサイズがNのメモリを確保しておく。そして、確保した各メモリ上に、それぞれのカウンタテーブル101〜104を配置する。換言すると、異常トラフィック検知システム200では、異常トラフィック解析部20内に確保しておいたメモリ領域を、ISPと同数の4つに分割し、各メモリ領域でカウンタテーブル101〜104を記憶する。そして、各宛先IPアドレスカウント部C1〜C4に設けられたメモリ(カウンタテーブル101〜104)へは、宛先IPアドレスをインデックスとしたリストが格納されていくものとする。
各カウンタテーブル101〜104では、インデックスとそのカウンタ値を保持しているが、ここではトラフィック量の計算量の一例としてインデックス検索の計算量を比較する場合について説明する。したがって、以下の説明ではインデックスを保持するメモリ領域に対してインデックス検索の計算量を算出し、カウンタ値が格納されるメモリ領域についての計算量は考慮しない。
図16に示すように、異常トラフィック検知システム200では、レイヤ2スイッチ11が所定の宛先IPアドレスを含むsF1owパケットを送信すると、まずトラフィック分離部21によって検索対象となるカウンタテーブルを決定する。検索対象となるカウンタテーブルを決定する際に必要な宛先IPアドレスの比較回数(計算回数)の期待値は2である。したがって、IPパケットのサンプルをm(mは自然数)個受信した場合の比較回数の期待値は2mである。
トラフィック分離部21は、検索対象となるカウンタテーブルを決定した後、サイズがNのメモリ(インデックス)から宛先IPアドレスを検索する。その際、線形サーチによって宛先IPアドレスの検索を行った場合の比較回数の期待値はN/2である。以上より、IPパケットのサンプルをm個受信した場合の比較回数の期待値は2m+Nm/2である。
一方、図17に示すように、従来の通信システムは、トラフィック分離部を有していないので、予め確保しておいたメモリにそのまま1つのカウンタテーブルを配置する。従来の通信システムでは、レイヤ2スイッチ11が所定の宛先IPアドレスを含むsF1owパケットを受信すると、サイズが4Nのインデックスから宛先IPアドレスを検索する。
観測される宛先IPアドレスの種類は、トラフィック分離部21の有無に依存しないので、通信システム内(異常トラフィックを解析する装置)に合計メモリサイズとして4Nのメモリ領域を確保しておく。その際、線形サーチによって宛先IPアドレスの検索を行った場合の比較回数の期待値は2Nである。従って、IPパケットのサンプルをm個受信した場合の比較回数の期待値は2Nmである。
レイヤ2スイッチ11に接続されるISPの数をp(pは自然数)個とすると、従来の通信システム(トラフィック分離部21を持たない通信システム)では、(pNm/2)回の比較処理が必要である。一方、本実施例の異常トラフィック検知システム200では、比較処理が((p+N)m/2)回となる。したがって、pの値とNの値が大きくなるほど、異常トラフィック検知システム200がトラフィック量を計算する際の負荷の軽減度が大きくなる。以上より、異常トラフィック検知システム200によってトラフィック量を算出する場合の方が、従来の通信システムによってトラフィック量を算出する場合よりも、トラフィック量を計算する際の負荷が軽減されることがわかる。
なお、本実施例では、異常トラフィック検知システム200が1つのレイヤ2スイッチ11を備える場合について説明したが、異常トラフィック検知システム200では、IXの規模に応じてレイヤ2スイッチ11を複数台配設してもよい。
また、本実施例では、異常トラフィック検知システム200が4つのISP1〜4を備える場合について説明したが、異常トラフィック検知システム200がISPを3つ以下または5つ以上備える構成としてもよい。
また、本実施例では、レイヤ2スイッチ11がISP1〜4と接続する場合について説明したが、レイヤ2スイッチ11がIDC(インターネットデータセンター)やパーソナルコンピュータなどの他の通信装置に接続する構成としてもよい。
なお、本実施例では、sFlowパケットを用いて異常トラフィックを検知したが、レイヤ2スイッチ11を流れるトラフィックに関する情報を含んでいれば、sFlowパケット以外のパケットを用いて異常トラフィックを検知してもよい。
なお、本実施例では、異常トラフィック解析部20が、宛先IPアドレスカウント部C1〜C4と同数の異常トラフィック判定部J1〜J4を有する場合について説明したが、異常トラフィック判定部は3つ以下であってもよい。この場合、1つの異常トラフィック判定部が複数の宛先IPアドレスカウント部に対して異常トラフィックを検知する。
なお、本実施例では、異常トラフィック検知装置100のトラフィック情報送信部30がレイヤ2スイッチ11を流れるトラフィックをモニタしてsFlowパケットを異常トラフィック解析部20に送信する場合について説明したが、レイヤ2スイッチ11が直接異常トラフィック解析部20にsFlowパケットを送信してもよい。この場合、異常トラフィック検知装置100は、トラフィック情報送信部30を備える必要はない。また、この場合、レイヤ2スイッチ11と異常トラフィック解析部20を接続しておく。
このように実施例1によれば、sFlowパケットで「宛先MACアドレス」と「宛先VLAN」が「宛先IPアドレス」に対応付けられており、IX管理情報で「宛先MACアドレス」と「宛先VLAN」がISPに対応付けられているので、宛先IPアドレスに到達するために最初に経由するISPの特定を容易に行なえる。
また、経由ISP毎にトラフィックを分離してカウントしているので、異常トラフィックの発生したISPを容易に特定することが可能となる。これにより、異常トラフィックの発生したISPに異常トラフィックの発生したことを容易に通知することが可能となる。
また、経由ISP毎にトラフィックを分離した後に、宛先IPアドレスの分布計測(カウント)を行うので、記憶しておく宛先IPアドレス(トラフィック)の分布範囲(記憶領域)が狭くなる。これにより、検索対象となるインデックスの数が少なくなるので、宛先IPアドレスの検索処理を行なう際の処理負荷が、従来の検索方法の場合よりも軽減される。したがって、簡易な構成で効率良く迅速に異常トラフィックを検知することが可能となる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下に示すように、(1)システム構成等、(2)プログラム、にそれぞれ区分けして異なる実施例を説明する。
(1)システム構成等
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。また、実施例1で説明した異常トラフィック検知装置100は、レイヤ2スイッチ11に組み込むこともできる。
(2)プログラム
なお、実施例1で説明した異常トラフィックの検知方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラムは、IXでの異常トラフィックの検知に適している。
実施例1に係る異常トラフィック検知の概念を説明するための説明図である。 実施例1に係る異常トラフィック検知装置を備えた異常トラフィック検知システムの構成を示す図である。 異常トラフィック解析部の構成を示すブロック図である。 宛先IPアドレスのカウント処理手順を示すフローチャートである。 レイヤ2スイッチから送られてくるsFlowパケットの一例を示す図である。 IX管理情報の構成を示す図である。 カウンタテーブル(1)の構成を示す図である。 カウンタテーブル(2)の構成を示す図である。 カウンタテーブル(3)の構成を示す図である。 カウンタテーブル(4)の構成を示す図である。 異常トラフィックの検知処理手順を示すフローチャートである。 閾値情報(1)の構成を示す図である。 閾値情報(2)の構成を示す図である。 閾値情報(3)の構成を示す図である。 閾値情報(4)の構成を示す図である。 異常トラフィック検知システムでトラフィック量を算出する場合の計算量を説明するための図である。 従来の通信システムでトラフィック量を算出する場合の計算量を説明するための図である。
符号の説明
1〜4 ISP
11 レイヤ2スイッチ
20 異常トラフィック解析部
21 トラフィック分離部
30 トラフィック情報送信部
51,52 sFlowパケット
100 異常トラフィック検知装置
101〜104 カウンタテーブル
200 異常トラフィック検知システム
C1〜C4 アドレスカウント部
J1〜J4 異常トラフィック判定部

Claims (9)

  1. スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際に前記スイッチを通過するトラフィックをモニタするとともに、モニタしたトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知する異常トラフィック検知装置において、
    前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する量情報記憶部と、
    前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定するとともに、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる格納制御部と、
    前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定部と、
    を備えることを特徴とする異常トラフィック検知装置。
  2. 前記格納制御部は、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする請求項1に記載の異常トラフィック検知装置。
  3. 前記判定部は、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶し、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする請求項1または2に記載の異常トラフィック検知装置。
  4. スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際に前記スイッチを通過するトラフィックをモニタするとともに、モニタしたトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知する異常トラフィック検知方法において、
    前記トラフィック情報を取得するトラフィック情報取得ステップと、
    前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定する宛先特定ステップと、
    前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する際に、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる量情報格納ステップと、
    前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定ステップと、
    を含むことを特徴とする異常トラフィック検知方法。
  5. 前記量情報格納ステップは、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする請求項4に記載の異常トラフィック検知方法。
  6. 前記異常トラフィック判定ステップは、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶しておき、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする請求項4または5に記載の異常トラフィック検知方法。
  7. スイッチを介してインターネット接続された通信装置間でトラフィックが送受信される際にモニタされた前記スイッチを通過するトラフィックに関するトラフィック情報を用いて前記通信装置への異常トラフィックを検知することをコンピュータに実行させる異常トラフィック検知プログラムにおいて、
    前記トラフィック情報を取得するトラフィック情報取得ステップと、
    前記トラフィックの宛先となっている通信装置と前記スイッチとを接続するルータ、および前記トラフィックの宛先IPアドレスを前記トラフィック情報に基づいて特定する宛先特定ステップと、
    前記トラフィック情報に含まれる前記トラフィックの量に関する量情報を、前記トラフィックの宛先となっている通信装置毎の量情報テーブルとして記憶する際に、特定した宛先IPアドレスが前記量情報テーブルに格納されていない新たな宛先IPアドレスの場合には、前記新たな宛先IPアドレスを前記量情報テーブルに登録させてから特定した通信装置に対応する量情報テーブルに前記量情報を格納させ、特定した宛先IPアドレスが既に前記量情報テーブルに格納されている宛先IPアドレスの場合には、特定した通信装置に対応する量情報テーブルに前記量情報を格納させる量情報格納ステップと、
    前記量情報テーブルに格納されている量情報に基づいて、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記通信装置毎または前記ルータ毎に判定する異常トラフィック判定ステップと、
    をコンピュータに実行させることを特徴とする異常トラフィック検知プログラム。
  8. 前記量情報格納ステップは、前記トラフィック情報に含まれる宛先MACアドレスおよび宛先VLANと、予め記憶しておく前記宛先MACアドレスおよび宛先VLANに対応する通信装置の情報と、に基づいて前記トラフィックの宛先となっている通信装置を特定することを特徴とする請求項7に記載の異常トラフィック検知プログラム。
  9. 前記異常トラフィック判定ステップは、前記トラフィックの量が異常であるか否かを判定する際に用いる量情報の閾値を前記量情報テーブル毎に記憶しておき、前記量情報テーブルに格納されている量情報と、当該量情報に対応する閾値とを前記量情報テーブル毎に比較することによって、前記スイッチ内を流れるトラフィックの量が異常であるか否かを前記量情報テーブル毎に判定することを特徴とする請求項7または8に記載の異常トラフィック検知プログラム。
JP2007258798A 2007-10-02 2007-10-02 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム Active JP4667437B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2007258798A JP4667437B2 (ja) 2007-10-02 2007-10-02 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
PCT/JP2008/067317 WO2009044660A1 (ja) 2007-10-02 2008-09-25 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
US12/679,029 US8422386B2 (en) 2007-10-02 2008-09-25 Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program
CN2008801079028A CN101803312B (zh) 2007-10-02 2008-09-25 异常业务检测装置、异常业务检测方法及异常业务检测程序
EP08834894A EP2187577B1 (en) 2007-10-02 2008-09-25 Abnormal traffic detection device, abnormal traffic detection method, and abnormal traffic detection program
HK10108662.8A HK1142200A1 (en) 2007-10-02 2010-09-13 Abnormal traffic detection device, abnormal traffic detection method, and abnormal traffic detection program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007258798A JP4667437B2 (ja) 2007-10-02 2007-10-02 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム

Publications (2)

Publication Number Publication Date
JP2009089241A true JP2009089241A (ja) 2009-04-23
JP4667437B2 JP4667437B2 (ja) 2011-04-13

Family

ID=40526089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007258798A Active JP4667437B2 (ja) 2007-10-02 2007-10-02 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム

Country Status (6)

Country Link
US (1) US8422386B2 (ja)
EP (1) EP2187577B1 (ja)
JP (1) JP4667437B2 (ja)
CN (1) CN101803312B (ja)
HK (1) HK1142200A1 (ja)
WO (1) WO2009044660A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6071026B1 (ja) * 2015-09-16 2017-02-01 広東睿江云計算股▲ふん▼有限公司 異常フロー検知方法
JP2018032906A (ja) * 2016-08-22 2018-03-01 日本電信電話株式会社 DDoS連携対処装置、DDoS連携対処方法及びプログラム

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1466261B1 (en) 2002-01-08 2018-03-07 Seven Networks, LLC Connection architecture for a mobile network
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
JP4667437B2 (ja) 2007-10-02 2011-04-13 日本電信電話株式会社 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
CA2806527A1 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
US8775613B2 (en) 2010-10-14 2014-07-08 Electronics And Telecommunications Research Institute Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
KR20120071123A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 비정상 트래픽 감지 장치 및 방법
GB2517815A (en) 2011-04-19 2015-03-04 Seven Networks Inc Shared resource and virtual resource management in a networked environment
GB2504037B (en) 2011-04-27 2014-12-24 Seven Networks Inc Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources
CN102291411B (zh) * 2011-08-18 2013-11-06 网宿科技股份有限公司 针对dns服务的防ddos攻击方法和系统
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
EP2789137A4 (en) 2011-12-06 2015-12-02 Seven Networks Inc SYSTEM OF REDUNDANTLY CLUSTERED MACHINES FOR PROVIDING TILTING MECHANISMS IN MOBILE TRAFFIC MANAGEMENT AND NETWORK RESOURCE PRESERVATION
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
WO2013086455A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation
EP2792188B1 (en) 2011-12-14 2019-03-20 Seven Networks, LLC Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US20130316675A1 (en) * 2012-05-24 2013-11-28 Seven Networks, Inc. Facilitation of mobile operator billing based on wireless network traffic management and tracking of destination address in conjunction with billing policies
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
JP5958354B2 (ja) * 2013-01-16 2016-07-27 富士通株式会社 通信監視装置、発生予測方法及び発生予測プログラム
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US9326185B2 (en) 2013-03-11 2016-04-26 Seven Networks, Llc Mobile network congestion recognition for optimization of mobile traffic
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US9774566B2 (en) * 2013-11-29 2017-09-26 Acer Incorporated Communication method and mobile electronic device using the same
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
US10021130B2 (en) * 2015-09-28 2018-07-10 Verizon Patent And Licensing Inc. Network state information correlation to detect anomalous conditions
CN106027559B (zh) * 2016-07-05 2019-07-05 国家计算机网络与信息安全管理中心 基于网络会话统计特征的大规模网络扫描检测方法
JP6793524B2 (ja) * 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
JP6760185B2 (ja) * 2017-03-31 2020-09-23 住友電気工業株式会社 中継装置、検知方法および検知プログラム
EP3422659A1 (en) * 2017-06-30 2019-01-02 Thomson Licensing Method of blocking distributed denial of service attacks and corresponding apparatus
US11750622B1 (en) 2017-09-05 2023-09-05 Barefoot Networks, Inc. Forwarding element with a data plane DDoS attack detector
US11108812B1 (en) 2018-04-16 2021-08-31 Barefoot Networks, Inc. Data plane with connection validation circuits
JP6927155B2 (ja) * 2018-05-30 2021-08-25 日本電信電話株式会社 異常検出装置、異常検出方法および異常検出プログラム
CN112583850B (zh) * 2020-12-27 2023-02-24 杭州迪普科技股份有限公司 网络攻击防护方法、装置及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004356906A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体
JP2005057408A (ja) * 2003-08-01 2005-03-03 Nippon Telegr & Teleph Corp <Ntt> Upc装置
JP2007116405A (ja) * 2005-10-20 2007-05-10 Alaxala Networks Corp 異常トラヒックの検出方法およびパケット中継装置

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6298123B1 (en) * 1998-03-26 2001-10-02 Bell Atlantic Network Services, Inc. Interconnect traffic tracking
US6954462B1 (en) * 2000-07-31 2005-10-11 Cisco Technology, Inc. Method and apparatus for determining a multilayer switching path
JP3657569B2 (ja) 2002-03-20 2005-06-08 日本電信電話株式会社 パケット処理方法および通信装置
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US9794272B2 (en) 2006-01-03 2017-10-17 Alcatel Lucent Method and apparatus for monitoring malicious traffic in communication networks
JP4126707B2 (ja) * 2006-07-28 2008-07-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報システムの状態を解析する技術
JP4871775B2 (ja) * 2007-04-06 2012-02-08 アラクサラネットワークス株式会社 統計情報収集装置
JP4667437B2 (ja) 2007-10-02 2011-04-13 日本電信電話株式会社 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004356906A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策プログラム、及び記録媒体
JP2005057408A (ja) * 2003-08-01 2005-03-03 Nippon Telegr & Teleph Corp <Ntt> Upc装置
JP2007116405A (ja) * 2005-10-20 2007-05-10 Alaxala Networks Corp 異常トラヒックの検出方法およびパケット中継装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6071026B1 (ja) * 2015-09-16 2017-02-01 広東睿江云計算股▲ふん▼有限公司 異常フロー検知方法
JP2017059232A (ja) * 2015-09-16 2017-03-23 広東睿江云計算股▲ふん▼有限公司 異常フロー検知方法
US10505958B2 (en) 2015-09-16 2019-12-10 Guangdong Eflycloud Computing Co., LTD Method for detecting abnormal traffic
JP2018032906A (ja) * 2016-08-22 2018-03-01 日本電信電話株式会社 DDoS連携対処装置、DDoS連携対処方法及びプログラム

Also Published As

Publication number Publication date
CN101803312B (zh) 2013-08-14
US8422386B2 (en) 2013-04-16
EP2187577A4 (en) 2011-07-20
WO2009044660A1 (ja) 2009-04-09
CN101803312A (zh) 2010-08-11
EP2187577B1 (en) 2013-01-02
EP2187577A1 (en) 2010-05-19
JP4667437B2 (ja) 2011-04-13
HK1142200A1 (en) 2010-11-26
US20100220619A1 (en) 2010-09-02

Similar Documents

Publication Publication Date Title
JP4667437B2 (ja) 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
CN113315682B (zh) 生成信息传输性能警告的方法、系统和装置
US9455995B2 (en) Identifying source of malicious network messages
JP4547342B2 (ja) ネットワーク制御装置と制御システム並びに制御方法
US20090180393A1 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
TW201703465A (zh) 網路異常偵測技術
JP4412031B2 (ja) ネットワーク監視システム及びその方法、プログラム
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
JP4570652B2 (ja) 不正アクセス監視装置およびその方法
JP2007336512A (ja) 統計情報収集システム及び統計情報収集装置
US8593974B2 (en) Communication conditions determination method, communication conditions determination system, and determination apparatus
JP2015535669A (ja) 暗号化されたセッションのモニタリング
JP2011035932A (ja) ネットワーク制御装置およびその制御方法
JP4985435B2 (ja) 監視分析装置、方法、及び、プログラム
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP2005130121A (ja) ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム
JP4434053B2 (ja) 不正侵入検知装置
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
JP2005110038A (ja) 輻輳検知装置、tcpトラヒックの輻輳検知方法およびプログラム
US20080192637A1 (en) Rule verification apparatus and rule verification method
KR20120071863A (ko) Irc 명령어 패턴을 이용한 봇넷 탐지 시스템 및 그 방법
JP2009081736A (ja) パケット転送装置及びパケット転送プログラム
JP2013255196A (ja) ネットワーク監視装置及びネットワーク監視方法
JP2004064694A (ja) 通信ネットワークにおけるパケット収集の負荷分散方法及びその装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100209

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100824

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101020

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140121

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4667437

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350