JP4489714B2 - パケット集約方法、装置、およびプログラム - Google Patents
パケット集約方法、装置、およびプログラム Download PDFInfo
- Publication number
- JP4489714B2 JP4489714B2 JP2006061170A JP2006061170A JP4489714B2 JP 4489714 B2 JP4489714 B2 JP 4489714B2 JP 2006061170 A JP2006061170 A JP 2006061170A JP 2006061170 A JP2006061170 A JP 2006061170A JP 4489714 B2 JP4489714 B2 JP 4489714B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- flow
- interval
- aggregating
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネットなどの任意の識別子を用いて通信するオープンなネットワーク環境上での、大量のパケットを送りつけるネットワークの計測のための方法、装置、およびプログラムに関する。
1つ以上のパケットで構成され、送り元と宛先が変わらないパケット群をフローと呼ぶ。パケット通過時にパケットに含まれるネットワーク層のヘッダとトランスポート層のヘッダの一部の値を参照し、参照したヘッダの値が同値であるものを同一のフローとみなすのが従来のフロー技術である(非特許文献1参照)。到着したパケットのネットワーク層プロトコルヘッダとトランスポート層プロトコルヘッダに含まれる情報のうち、プロトコル、ソースアドレス、宛先アドレス、ソースポート、宛先ポート、パケットの優先度が全て一致する場合、同一フローとなる。
フロー情報を特定のフォーマットに従って計測用パケットにパケット化し、この計測用パケットをネットワーク計測用の端末に送信することで、そのノードの通信内容の把握が可能となる。
しかし、非特許文献2によるとDDoS(Distributed Denial Of Service attack)と呼ばれるソースアドレスを分散させて大量のデータを送り続ける攻撃トラフィック、ポートスキャンと呼ばれる対象のホストの全ポートに接続を試みてサービス状態ならびに脆弱性を検出するための攻撃トラフィック等が発生したときに、フロー数が急激に増大する。そのため計測用端末に送信されるパケットも増大し、計測用端末が接続されている計測用ネットワークにおいても輻輳が発生する。
[平成18年1月5日閲覧 インターネット]http://www.ietf.org/rfc/rfc3954.txt Cristian Estan, Ken Keys, David Moore, George Varghese: "Building a better netflow", ACM SIGCOMM Computer Communication Review, 34, Issue 4, pp. 245 - 256 (2004). K. -C. Lan, A. Hussain and D. Dutta: "The effect of malicious traffic on the network", In Proceedings of Passive and Active Measurement Workshop, La Jolla, California (2003)
[平成18年1月5日閲覧 インターネット]http://www.ietf.org/rfc/rfc3954.txt Cristian Estan, Ken Keys, David Moore, George Varghese: "Building a better netflow", ACM SIGCOMM Computer Communication Review, 34, Issue 4, pp. 245 - 256 (2004). K. -C. Lan, A. Hussain and D. Dutta: "The effect of malicious traffic on the network", In Proceedings of Passive and Active Measurement Workshop, La Jolla, California (2003)
攻撃時における計測用ネットワークの輻輳発生を回避する必要がある。フローの生成量または総データ量を減らす方法には、パケットのサンプリング間隔を長くする方法、属性の種類毎に同一属性を持つフローを集約する方法がある。
上述した2つの方法はともにすべてのパケットを対象としてデータ量を減らすために情報量が減りネットワーク状態の解析能力が通常時よりも低くなる。
したがって、本発明の目的は、攻撃時のみ攻撃と思われるパケット群を集約してサンプリングレートなど情報の精度に関わるパラメータを変更せずにフローの生成を抑制するパケット集約方法、装置、プログラムを提供することである。
本発明では上記の課題を解決するために、任意の識別子を用いて通信するオープンなネットワーク環境上で、記憶装置を備えたパケット処理装置のネットワークインタフェースから入力されるパケットのヘッダ情報に含まれる一部の情報と、パケット内に含まれない情報であるパケット間隔を用いて近似属性を持つパケットを集約する。
1つ以上のパケットで構成され、送り元と宛先が変わらないパケット群をフローと呼ぶ。到着したパケットのネットワーク層プロトコルヘッダとトランスポート層プロトコルヘッダに含まれる情報のうち、プロトコル、ソースアドレス、宛先アドレス、ソースポート、宛先ポート、パケットの優先度が全て一致する場合、同一フローとなる。本発明では区別のためにこの全て一致したフローを完全同一フローと記載する。
本発明では、パケットのソースアドレス、宛先アドレス、ソースポート、宛先ポートのうちどれかが1項目異なった場合でも、パケットのサイズが同一で、パケットの間隔が既存のフローの平均値、中央値、最頻値等の集合を代表する統計値から一定の割合で算出した増減値内に収まっていれば、同一のフローとみなす。フローの平均値、中央値、最頻値等の集合を代表する統計値を、本発明ではフローの代表統計値と記載する。
本発明のパケット集約装置は、記憶装置にパケットのパケット間隔を記録するパケット間隔記録部と、パケット間隔から算出される統計値を元にパケットを集約するフロー判定部と、その情報を外部装置に送信する送信部を有する。
計測用パケットを送信するノードに入力されたパケットをもとにフロー間のパケットの到着間隔を調べる。非特許文献3によると、DDoSのトラフィックはRTT(Round Trip Time)の分散が小さく、時間差が少ない。また、ワームの感染により起こるDDoSはパケット長と、送出パケット間隔が固定されている場合が多いことが知られている。
したがって、これまで攻撃時にパケット毎に別フローと数えられていたフロー群が、パケットのネットワーク層プロトコルヘッダとトランスポート層プロトコルヘッダの情報の1項目が異なっていてもパケット間隔が近似値を持つもの同士を同一フローとみなして数える方法によって集約されるためフロー数が減少する。
フロー判定部は到着したパケットと記録済みの既存フローを検索し、完全に同一ならば、既存のフローとして数える。既存フローとソースアドレス、宛先アドレス、ソースポート、宛先ポートのどれか1項目のみ異なった場合は、既存フローのパケット間隔の代表統計値と標準偏差を元に同一フローとみなせる区間を決定し、新しいパケットの到着間隔がこの区間内にある場合、同一フローとして数える。それ以外は新規フローとして数える。
パケット間隔記録部はフロー毎にパケット間隔の値と、それらから求められた代表統計値と標準偏差の値、最終到達パケットの時間を保持する。代表統計値、標準偏差値が攻撃時の値に牽引されて常に攻撃時の傾向になるのを避けるために、一定数の最新のパケットを利用する。
フロー判定部によって該当フローと判定された新規パケットは到着時間の絶対時間をパケット間隔記録部が持つ最終到達パケットの時間と比較し、新規パケットのパケット間隔を算出する。また、新しく算出されたパケット間隔を既存の値と合わせて、代表統計値と標準偏差を求める。
送信部はフローの基本情報として時間情報、ソースアドレス、宛先アドレス、ソースポート、宛先ポート、経路情報、入出力インタフェース名、パケット数、バイト数等の情報を含んだ上で、攻撃トラフィックのパケット間でどのヘッダフィールドが異なるかを示す情報と、パケット間で異なったフィールドの参考値を送信する。最後に加えた2つの情報により、到着間隔によるパケット集約時に集約された情報を受信側で復元できる。
本発明によれば、パケット間隔にばらつきのある通常のトラフィックは、IPヘッダとトランスポートレイヤーのヘッダの情報によってフローの仕分けが行われる。一方、攻撃パケットはパケット間隔にばらつきが少ない。本発明により、攻撃時にパケット毎に意図的に分散されたソースアドレス等のヘッダ情報のどれかにパケット毎に差異があっても、同一フローとして集約される。これによって攻撃等の異常トラフィックのみを対象に集約が行えるため、サンプリングレート等の情報の精度に関わるパラメータを変更することなく、計測用端末へ計測用パケットを転送している計測用ネットワークにおける輻輳の発生を抑制することができる。
次に、本発明の実施の形態について図面を参照して説明する。
図1は本発明の一実施形態によるネットワークシステムの構成を示す図である。
インターネット10は互いに相互接続性を持つノード11〜14を有している。計測用端末20は、ノード11からノード11を通過したパケットのフロー情報のパケットを受信する。ノード11に接続された端末30はサーバ、ノード12〜14に接続された端末41〜43はクライアントであり、サーバクライアント間で通信が行われている。
ここで、端末41〜43のどれかまたは全てがウイルスやワームに感染する、または第三者によって制御が乗っ取られるなどの理由から端末30に対するネットワーク攻撃が発生する。複数の端末が攻撃を始めた場合はソースアドレスが分散する。また、単一の端末からの攻撃の場合でもソースアドレスが詐称される可能性があるため、ソースアドレスが分散する可能性がある。これらの攻撃の発生によってインターネット10全体における通信量が増えるが、特にノード11と端末30に対する通信量が増えて、ノード11が持つ回線が輻輳し端末30は正常な通信が不可能な状態に陥る。
さらに、ノード11は計測用端末20に対してフロー情報をパケット化して送信しているため、ノード11上で観測されるフロー数が増大した結果大量のパケットを送信する。そのためノード11と計測用端末20との間の計測用ネットワークをも輻輳させ、攻撃の2次被害が発生する。場合によっては、計測用端末20を資源不足状態に陥らせる可能性もある。
以降、ノード11において本発明を用いた計測用ネットワークの輻輳の対策を説明する。
図2は計測用端末20のブロック図である。フロー判定部211は、ネットワークインタフェース232からパケットを受け取ると、記憶装置231内に図3に示す形式で記録されているフロー情報群221から完全同一フローまたは、ソースアドレス331、ソースポート332、宛先アドレス、宛先ポート333のどれかひとつのみが異なるが、到着パケットのパケット間隔がそのフローの平均および標準偏差と任意の有意水準から求められる信頼区間内という条件を満たす近似フローを検索する。
パケット間隔記録部212はフロー判定部211によって判定された該当フローの情報を更新する。フロー判定部211によって既存のフロー情報には該当フローが存在しないと判定された場合は新規フローを作成し、新規フロー作成時にはパケットの情報を記録する。
記憶装置231に記録されていたフローはパケット送信部213によって特定のフォーマットに従ったパケットに変換され、図1における計測用端末20などの外部機器に送信される。
図3にパケット間隔記録部212によって記憶装置231に記録されるフロー情報の一例を示す。フロー情報311、312、313は宛先アドレスを識別子として分類されている。さらにその中に個別のフローレコード321、322、323が複数含まれる。フローレコードはソースアドレス331、ソースポート332、宛先ポート333が異なれば異なるフローレコードに分類される。
フローレコードはプロトコル330、ソースアドレス331、ソースポート332、宛先ポート333、パケット数334、オクテット数335、フロー開始時間(最初のパケットが到着した)時間336、フロー終了時間(最終のパケットが到着した)時間337、それまでに到着したパケットのパケット間隔を複数保持する配列338、近似検索の相違点を示すフラグ339、平均パケット間隔341、パケット間隔の標準偏差値342の情報を最低限持つ。近似検索の相違点を示すフラグ339は近似検索によって同一フロー内に分類されたパケット間で異なるフィールドが存在する場合に、どのフィールドが異なっているかを示しており、ソースアドレス、ソースポート、宛先アドレス、宛先ポートのどれかを示す。
パケットが新しく到着すると、フロー判定部211は、パケットのヘッダ情報とフローレコードの情報を比較する。ここで完全同一フローがある場合、引き続いて処理するパケット間隔記録部212においてパケット数334、オクテット数335、フロー終了時間337、を更新し、パケット間隔配列338、平均パケット間隔341、パケット間隔の標準偏差値342を再計算し、記録する。
フロー判定部211における処理の流れの一例を図4に示す。フロー判定部211においてソースアドレス、ソースポート、宛先アドレス、宛先ポートのどれか一項目が異なる場合は近似検索を始めるが、既に近似検索の相違点を示すフラグ339によってそのフローにおいて過去にどの項目が異なったかが示されている場合はその項目が異なっているかのみチェックする(ステップ401〜410)。たとえば新しいパケットと既存のフローを比較した場合に宛先ポートが異なり、既にフラグ339が、ソースアドレスが異なることを示している場合は新しいパケットとの相違点と既存の相違点が異なるので、そのフローレコードのチェックを中止し、次のチェックレコードの比較を始める(ステップ411〜413)。フラグが0の場合と、フラグ339と既存フローと新しいパケットとの相違点が同じならば、近似検索を継続する。
フロー判定部211でここまでの条件が満たされた場合は、パケットサイズを比較して、同値ならば、新規パケットのパケット間隔と、フローの平均パケット間隔とを比較する(ステップ414、415)。ユーザによって指定される信頼水準[X]をもとに平均と標準偏差を用いて、同一フローとみなす区間を定める。新規パケットの到着間隔がその区間内であれば、そのパケットは比較したフローと同一フローと判定され、フロー判定部211は該当フローの情報をパケット間隔記録部212に渡す(ステップ416)。
パケット間隔記録部212では新規パケットのパケット間隔をパケット間隔配列338に新たに追加する。パケット間隔配列338はユーザによって指定される個数[N]だけ、保持する。その後新しい平均値と、次のフロー判定に用いる標準偏差の値を算出する。
パケット送信部213は、通信が持続して一定時間が経過するかまたは、ステートフルなプロトコルを利用している場合は通信の終了を示すパケットを持って、フローの終了とみなし、終了したフロー数が一定数たまったらパケット化して、外部機器に送信する。この際に、近似検索によって集約されたフローレコードに関しては情報を付加する。
従来技術のNetflowに本発明を応用して拡張した例を図5に示す。図5はNetflow Version 5と呼ばれる形式のパケットフォーマットである。図5内下部のレコードがフロー情報を伝達するためのフォーマットであり、pad1(8bit)とpad2(16bit)が使用していないフィールドである。pad1内4bitを利用して、集約したパケット間で異なるフィールド、即ちソースアドレス、ソースポート、宛先アドレス、宛先ポートのどれかを示す。図6にその表現方法の例を示す。SA611、DA612、SP613、DP614はそれぞれソースアドレス、ソースポート、宛先アドレス、宛先ポートのフィールドが集約されたことを示す。pad2には、参考となる値を挿入する。例えば、分散されていた宛先ポート番号が集約された場合には、dstportフィールドにポート番号の最小値、pad2フィールドにポート番号の最大値を挿入する。
なお、本発明のパケット集約方法は、その機能を実現するためのプログラムを、コンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
10 インターネット
11〜14 ノード
20 計測用端末
30 端末(サーバー)
41,42,43 端末(クライアント)
211 フロー判定部
212 パケット間隔記録部
213 パケット送信部
221 フロー情報群
231 記憶装置
232 ネットワークインタフェース
11〜14 ノード
20 計測用端末
30 端末(サーバー)
41,42,43 端末(クライアント)
211 フロー判定部
212 パケット間隔記録部
213 パケット送信部
221 フロー情報群
231 記憶装置
232 ネットワークインタフェース
Claims (6)
- 任意の識別子を用いて通信するオープンなネットワーク環境上で、記憶装置を備えたパケット処理装置のネットワークインタフェースから入力されるパケットのヘッダ情報に含まれる一部の情報を参照して近似属性を持つパケットを集約するパケット集約方法であって、
記憶装置にパケット間隔を記録するステップと、
前記パケット間隔から算出される統計値を元にパケットを集約するフローを決定するステップと、
を有するパケット集約方法。 - 任意の識別子を用いて通信するオープンなネットワーク環境上で、記憶装置を備えたパケット処理装置のネットワークインタフェースから入力されるパケットのヘッダ情報に含まれる一部の情報を参照して近似属性を持つパケットを集約するパケット集約装置であって、
前記記憶装置にパケット間隔を記録するパケット間隔記録部と、
前記パケット間隔から算出される統計値を元にパケットを集約するフロー判定部と、
を有することを特徴とするパケット集約装置。 - 前記フロー判定部は、ネットワーク層のプロトコル、ソースアドレス、宛先アドレス、トランスポート層のソースポート、宛先ポートの条件が完全に一致しなくても、パケットのサイズが一定でパケット間隔がその所定の統計値から一定区間内であれば、その該当するフローに集約する、請求項2記載のパケット集約装置。
- 前記パケット間隔記録部は、ネットワーク層のプロトコル、ソースアドレス、宛先アドレス、トランスポート層のソースポート、宛先ポートなどの条件により分類されたフロー毎に、パケット間隔およびその所定の統計値と、標準偏差値を算出し、保持する、請求項2記載のパケット集約装置。
- 集約されたパケットの情報を、ネットワークで接続された外部端末に、属性の異なるパケットが集約されたことを示す情報を含めて送信するパケット送信部を有する、請求項2から4のいずれかに記載のパケット集約装置。
- 任意の識別子を用いて通信するオープンなネットワーク環境上で、記憶装置を備えたパケット処理装置のネットワークインタフェースから入力されるパケットのヘッダ情報に含まれる一部の情報を参照して近似属性を持つパケットを集約するパケット集約プログラムであって、
記憶装置にパケット間隔を記録する処理と、
前記パケット間隔から算出される統計値を元にパケットを集約するフローを決定する処理と、
をコンピュータに実行させるためのパケット集約プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006061170A JP4489714B2 (ja) | 2006-03-07 | 2006-03-07 | パケット集約方法、装置、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006061170A JP4489714B2 (ja) | 2006-03-07 | 2006-03-07 | パケット集約方法、装置、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007243428A JP2007243428A (ja) | 2007-09-20 |
| JP4489714B2 true JP4489714B2 (ja) | 2010-06-23 |
Family
ID=38588540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006061170A Expired - Fee Related JP4489714B2 (ja) | 2006-03-07 | 2006-03-07 | パケット集約方法、装置、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4489714B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002141931A (ja) * | 2000-10-30 | 2002-05-17 | Sharp Corp | ルータ装置及び経路制御方法 |
| JP2004328307A (ja) * | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
| JP2006019816A (ja) * | 2004-06-30 | 2006-01-19 | Nippon Telegr & Teleph Corp <Ntt> | フローレベル通信品質管理装置と方法およびプログラム |
-
2006
- 2006-03-07 JP JP2006061170A patent/JP4489714B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002141931A (ja) * | 2000-10-30 | 2002-05-17 | Sharp Corp | ルータ装置及び経路制御方法 |
| JP2004328307A (ja) * | 2003-04-24 | 2004-11-18 | Mitsubishi Electric Corp | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
| JP2006019816A (ja) * | 2004-06-30 | 2006-01-19 | Nippon Telegr & Teleph Corp <Ntt> | フローレベル通信品質管理装置と方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007243428A (ja) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8239565B2 (en) | Flow record restriction apparatus and the method | |
| EP2289221B1 (en) | Network intrusion protection | |
| US7609629B2 (en) | Network controller and control method with flow analysis and control function | |
| US9497208B2 (en) | Distributed network protection | |
| JP4392294B2 (ja) | 通信統計収集装置 | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US8270309B1 (en) | Systems for monitoring delivery performance of a packet flow between reference nodes | |
| US20070248084A1 (en) | Symmetric connection detection | |
| US9634851B2 (en) | System, method, and computer readable medium for measuring network latency from flow records | |
| WO2016110273A1 (zh) | 一种对访问请求进行限制的系统和方法 | |
| JP5947838B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| GB2415319A (en) | Method of generating a monitoring datagram | |
| JP5017440B2 (ja) | ネットワーク制御装置およびその制御方法 | |
| JP2005348416A (ja) | フロー単位のトラフィック推定 | |
| JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
| Rajaboevich et al. | Analysis of methods for measuring available bandwidth and classification of network traffic | |
| JP2018029303A (ja) | 通知システムおよび通知方法 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP2005110038A (ja) | 輻輳検知装置、tcpトラヒックの輻輳検知方法およびプログラム | |
| KR20050054414A (ko) | 아이피 프래그먼트 패킷에 대한 동적 필터링 방법 | |
| JP6228262B2 (ja) | 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム | |
| JP5990491B2 (ja) | ネットワーク品質測定システム及び方法及びプログラム | |
| JP2018191210A (ja) | パケット中継装置及びパケット中継システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100223 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100324 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100331 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |