CN1878141A - 网络控制装置及其控制方法 - Google Patents
网络控制装置及其控制方法 Download PDFInfo
- Publication number
- CN1878141A CN1878141A CNA2006100850317A CN200610085031A CN1878141A CN 1878141 A CN1878141 A CN 1878141A CN A2006100850317 A CNA2006100850317 A CN A2006100850317A CN 200610085031 A CN200610085031 A CN 200610085031A CN 1878141 A CN1878141 A CN 1878141A
- Authority
- CN
- China
- Prior art keywords
- packet
- control unit
- network control
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在网络控制装置(10)中设有业务统计分析处理部(13),检测异常业务。在检测出异常业务时,在数据包传送处理部(11)中设定过滤器,从而停止异常业务的传送,同时在统计信息数据包中重叠异常检测信息后,输出到业务解析装置。
Description
技术领域
本发明涉及网络控制装置和其控制方法,特别涉及与异常业务的检测有关的网络控制装置和其控制方法。
背景技术
包含电话及广播的各种各样的服务开始通过IP网提供,流动在IP网上的业务的质量管理技术在迅速地发展。关于业务的检测技术或监视技术,即使是IETF等标准化组织也在推进标准化。而使用业务分析技术的通信质量控制功能的产品化也在进行。
首先,论述由IETF等推进标准化的被称为sFlow的业务监视方法(P.Phaal、其他2名、“A Method for Monitoring Traffic inSwitched and Routed Networks”、[online]、2001年9月、IETF、[平成17年4月19日检索]、因特网<URL:http//www.ietf.org/rfc/rfc3176.txt>。以下,称为文献1)。在sFlow中,路由器(或交换机:以下相同)进行传送中的数据包(业务)的采样处理和已被采样的数据包的截取,形成所对应的sFlow数据包。从路由器输出的sFlow数据包输出到被称为收集器(collector)或分析器的业务解析装置,业务解析装置进行这些sFlow数据包的累计和统计解析及向管理者显示结果。这种sFlow技术以数据包的测量技术为中心,主要记载路由器输出到业务解析装置的sFlow数据包的信息要素。分析功能委托给各销售商的业务解析装置的安装中(也有显示主体的产品),在sFlow技术中没有路由器装置内部具备分析功能的技术。
接着,作为在路由器(或交换机:以下相同)内具备了业务分析技术的产品的例子,论述被称为CLEAR-Flow的业务监视方法(“WHITE PAPER CLEAR-Flow”、[online]、2004年、[平成18年2月19日检索]、因特网<URL:http//www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP.pdf>。以下,称为文献2)。CLEAR-Flow的动作流由‘监视’、‘解析’、‘对应’三级构成。业务分析技术相当于路由器内进行的‘监视’级。在‘监视’级中将焦点放在与监视基准一致的数据包,发现一致的数据包时(步骤1-过滤)时使用事件计数器跟踪发生的状况(步骤2-计数),在超过预先设定的阈值时执行所设定的行动(步骤3-阈值)。‘监视’级的结果是,在检测出该业务时,移至‘解析’级。在‘解析’级中,进行需要更详细的解析的情况下的动作,路由器将该业务数据包数据传送到具备更高级的解析功能的外部装置。作为该业务数据的传送,有镜像方式、隧道方式、sFlow方式这三种方式。外部装置使用这些信息进行更高级的业务解析。CLEAR-Flow需要使用者预先指定将对于监视对象的监视基准指定为被装入交换机的CLEAR-Flow分类。例如,如非专利文献2中记载的那样,进行对传送到特定端口的SYN数据包的个数计数的设定。接受这种设定,由路由器·交换机进行‘监视’,检测的结果是,输送到外部装置的业务数据变成与预先设定的检测条件一致的业务数据。
再有,虽然未公开,但作为与本发明相关的申请,有日本特愿2005-109744号。
发明内容
在文献1中记载的sFlow技术中,路由器进行传送中的业务(数据包)的采样处理和采样后的数据包的截取并生成业务数据包。从路由器输出的业务数据包是采样后的各个数据包的截取信息。路由器装置内部不进行以信息的累计或数据包的报头内信息为对象的统计解析处理。因此,在检测大容量的业务中隐藏的蠕虫、DDoS(Distributed Denial Of Service:分布式拒绝服务)等的特征性业务的现象的情况下,存在从路由器输出的业务数据包也成比例地变为大容量,路由器的sFlow数据包生成负荷和朝向业务解析装置的传送负荷以及对网络的频带的负荷进一步增大的课题。
在文献2中记载的CLEAR-Flow技术中,在路由器内具备‘监视’处理功能,进行对象业务的提炼处理。需要使用者预先将要检测的业务对象指定为CLEAR-Flow分类,从与设定的分类条件一致的业务内,检测明显的业务作为该业务(步骤1-过滤)。不具备本发明的业务统计分析处理部13所执行的提取业务整体之中的特征业务的功能、及汇集微小业务并使特征业务显露的功能。
此外,路由器只在检测出该业务的情况下进行传送(‘解析’级),不必始终向业务解析装置传送。由此,要传送的该业务信息的生成负荷和朝向业务解析装置的传送负荷、以及对网络的频带的负荷减小。但是,传送的该业务信息是各个数据包的副本,所以仍然存在传送时的传送量大的课题。在CLEAR-Flow技术中,业务解析装置具备有汇集成特征信息的功能。
本发明的目的是,解决非专利文献1及非专利文献2的课题,提供一种网络控制装置,可以用网络控制装置(路由器或交换机)进行业务分析,汇集成特征信息,并降低传送负荷、成本。
为了实现上述目的,本发明采用以下结构:在网络控制装置(路由器或交换机)中设置业务统计分析处理部,用该业务统计分析处理部13监视特征性的业务。该业务统计分析处理部检测出特征性的业务时,将特征性的业务的特征要素或流量(时间间隔及在其间传送的业务量)的信息装入数据包,将该汇集信息传送到业务解析装置。此外,采用了以下结构:网络控制装置的进行业务统计分析处理的分析范围(以数据包的哪个信息要素为对象进行分析等)的设定,可以用控制信息内的参数从上级装置(业务解析装置等)进行变更。
附图说明
图1是说明业务的监视系统结构的方框图。
图2是网络控制装置的方框图。
图3是业务解析装置的方框图。
图4是说明数据包计数表的图。
图5是说明阈值表的图。
图6是说明异常检测信息表的图。
图7是说明检测出异常流的流统计信息的数据包的图。
图8是业务分析处理部的处理流程图。
图9是业务分析处理部的异常判定处理流程图。
图10是说明业务解析装置发送到网络控制装置的控制信息数据包的图。
图11是说明第2实施例的检测出异常流的流统计信息的数据包的图。
图12是说明检测出异常流的流统计信息的数据包的异常流检测信息的结构例的图。
图13是说明第3实施例的包含了具有认证功能的网络解析装置的业务的监视系统结构的方框图。
图14是表示包含了异常流检测信息的认证数据包的结构例的图。
图15是表示数据包计数表的另一例子的图。
图16是表示检测出异常流的流统计信息的数据包的异常流检测信息中的项域(item field)结构例的图。
具体实施方式
以下,关于本发明的实施方式,采用实施例,一边参照附图一边进行说明。
<实施例1>
使用图1至图10、以及图12、图15、图16来说明本发明的第1实施例。这里,图1是说明业务的监视系统结构的方框图。图2是网络控制装置的方框图。图3是业务解析装置的方框图。图4和图5是说明数据包计数表的图。图5是说明阈值表的图。图6是说明异常检测信息表的图。图7、图12、图16是说明检测出异常流的流统计信息的数据包的图。图8是业务分析处理部的处理流程图。图9是业务分析处理部的异常判定处理流程图。图10是说明业务解析装置对网络控制装置发送的控制信息数据包的图。
在图1中,业务的监视系统100包括:连接到多个网络1-11、1-12、…、1-1n的网络控制装置10-1;连接到多个网络1-k1、1-k2、…、1-km的网络控制装置10-k;以及业务解析装置20。网络控制装置10对业务解析装置20输送流统计信息。相反地,业务解析装置20对网络控制装置10输送控制信息(参数等)。
这里,流统计信息中,包含网络控制装置10检测出的异常信息。而在控制信息中,包含业务解析装置20基于异常信息所判定的计数器的复位、阈值级别的变更(阈值的增加指示)。此外,相反地在异常业务少时,包含阈值的减少指示。通过这样构成,由网络控制装置10对异常业务进行分析/检测,所以可以根据异常业务的状况变更阈值等级。其结果是,可以形成与异常业务的状况对应的灵敏度。再有,业务解析装置20和网络控制装置10-k之间的流统计信息、控制信息的箭头,因简化图示而省略了。
图2所示的网络控制装置10包括:数据包传送处理部11;统计信息取得生成部12;以及业务统计分析处理部13。而统计信息取得生成部12包括采样统计处理部121和业务异常检测信息数据包生成部122。
通常数据包由数据包传送处理部11传送到传送目的地。此外,通常数据包从数据包传送处理部11向采样统计处理部121进行副本传送。采样统计处理部121按预定的比例进行采样,将包含作为采样对象的数据包的报头的N字节截取。采样统计处理部121将所截取的数据包的一部分重叠后形成有效负荷中所存储的数据包(sFlow数据包),作为统计信息数据包,经由数据包传送处理部11,传送到业务解析装置20。
此外,采样统计处理部121将作为采样对象的数据包传送到业务统计分析处理部13。业务统计分析处理部13通过数据包传送处理部11预先获取来自业务解析装置20的控制信息数据包,并且阈值被设定。业务统计分析处理部13使用该阈值检测业务异常。检测出业务异常的业务统计分析处理部13对业务异常检测信息数据包生成部122传送异常检测信息。业务异常检测信息数据包生成部122根据异常检测信息,生成异常检测信息数据包,并传送到采样统计处理部121。接收了异常检测信息数据包的采样统计处理部121在sFlow数据包后附加异常流检测信息,作为统计信息数据包,经由数据包传送处理部11,传送到业务解析装置20。
本实施例的网络控制装置10,可以从外部改变阈值,所以可以形成能够改变控制参数的、可以检测业务异常的网络控制装置。
图3所示的业务解析装置20包括:数据包传送处理部21;统计处理部22;分析处理部23;以及控制信息数据包生成部24。从网络控制装置10传送来的统计信息数据包,通过数据包传送处理部21被传送到统计处理部22,接收统计处理。统计处理部22将统计处理结果传送到分析处理部23。分析处理部23使用统计处理结果进行分析处理。分析处理部23根据分析处理结果,将检测出业务异常的网络控制装置10的后述的数据包计数表的计数值复位,并使计数值的阈值增加。具体地说,使控制信息数据包生成部24生成对计数值的复位和阈值的变更进行控制的数据包,将其通过数据包传送处理部21向网络控制装置10传送。
图4所示的数据包计数表200是网络控制装置10的业务统计分析处理部13中保持的表。数据包计数表200包括:项目数1表201;项目数2表202;项目数3表203;以及项目数4表204。项目数1表203与项目1的种类和值相对应,保持业务统计分析处理部13已计数的数据包数。这里,src ip是source ip,意味着发送方的IP地址。而dst port是destination port,意味着发送目的地的端口号。
项目数2表202按项目1的种类和值及项目2的种类和值的“与”条件对数据包数进行计数。项目数3表203和项目数4表204都按项目数3或项目数4的“与”条件对数据包数进行计数。数据包计数表的数据包数按预定的间隔进行复位。此外,复位也可以根据业务解析装置20发送的控制信息来实施。
数据包计数表的项目栏从数据包的信息中选择。作为信息的例子,有包含在IP报头、TCP报头、UDP报头、MPLS报头、MAC报头等的报头中的信息或有效负荷数据的散列值等。在这种意义上,数据包计数表根据数据包的报头信息对数据包的到达数进行计数。
图15的数据包计数表1500是图4所示的数据包计数表200的其他实施方式。
在本实施例,识别业务的项目为发送方IP地址(src ip)、目的地IP地址(dst ip)、发送方端口号(src port)、目的地端口号(dst port)四种,由所述四种项目生成任意的n项目(1≤n≤4)的组合。所述项目的种类示于项目域1501中。
再有,在本实施例,将处理对象项目作为所述四种,但也可以根据要检测的业务的特性而进一步附加其他的项目,或进行删除。例如,为了提取与TCP通话的确立、截断处理相关联的业务,也可以包含TCP报头中的标志信息。或者,为了更正确地掌握业务的特性,也可以包含接续在TCP报头或UDP报头之后的、应用数据的开头几个字节部分。或者,在附加有MPLS标记的情况下,也可以还包含所述MPLS标记的值,对每个LSP进行业务的分析。或者,在使用L2TP等隧道协议时,也可以包含隧道识别符,对每个隧道进行通过其中的业务的分析。
在数据包计数表1500的值域1503中,如果是作为所述组合的构成要素的项目,则存储有所述项目的值,如果不是所述组合的构成要素的项目,则存储有在具有所述组合的数据包的计数中出现的所述项目的值的种类数。表示在值域1503中存储的数值是值还是出现种类数的信息存储在属性域1502中。
例如,图15中条目号4的条目中,表示发送方IP地址为Z、目的地IP地址为Y、目的地端口号为d的数据包出现20个,并表示所述20个数据包中包含的发送方端口号的种类为8种。
而且,数据包计数表1500的各条目具有:用于对每个所述条目计数数据包数的数据包数域1504、用于对所述条目中作为计数对象的数据包长度进行累计的累计八位数域1505、保持将所述条目中开始了数据包数的计数的时刻的计数开始时刻域1506。
与数据包计数表200的不同在于,在对着眼于某个项目的组合的数据包数进行计数时,对于未包含在所述项目的组合中的项目是否出现了几个不同的值同时进行计数。
图5所示的阈值表,是保持在网络控制装置10的业务统计分析处理部13中的表。阈值表30包括:流类别31;检测等级32;以及阈值33。流类别31具体地说,是蠕虫、DDoS等业务异常。这里,对于流X的数据包,在超过500并检测出时,判定为检测等级1,超过1000并检测出时,判定为检测等级2。再有,这些阈值根据来自业务解析装置20的控制信息被重写。
图6所示的异常检测信息表是网络控制装置10的业务统计分析处理部13所生成,并被传送到业务异常检测信息数据包生成部122的表。异常检测信息表80是将流构成要素串行连接的表。具体地说,具有检测出的流的DDoS、蠕虫等的流类别、作为检测出的流的可疑度的检测等级、作为TCP/IP报头的信息的发送方·目的地地址、发送方·目的地名端口、层4的协议类别、作为网络控制装置的网络接口信息的接口。另外,也可以加入层2或应用的信息。
检测出异常流的流统计信息的数据包(图7)是网络控制装置10的采样统计处理部121所生成的数据包。流信息数据包40包括:MAC报头41、IP报头42、UDP报头43、流信息44、以及异常流检测信息45。MAC报头41、IP报头42、UDP报头43、以及流信息44所构成的数据包是sFlow的数据包。但是,在流信息数据包40中被附加异常流检测信息45,意味着网络控制装置10检测出业务的异常。
用图12和图16说明异常流检测信息45的构成例子。
异常流检测信息45包括:流类别1201、采样率1202、阈值1203、累计八位数1204、累计时间1205、项数1206、多个项1207。流类别1201表示被检测出的流的类别。在流类别的值中,例如加入DDoS、蠕虫等的类别信息。采样率1202表示流检测时的数据包采样率,存储有采样统计处理部121保持的采样率。阈值1203表示以通知本消息为契机的数据包计数数的阈值,存储有阈值表30的阈值33的某一个值。累计八位数1204表示在数据包计数数超过阈值为止之间所接收的数据包长度的总八位数,存储有数据包数域1504超过了阈值的数据包计数表1500的条目的累计八位数域1505的值。
条目累计时间1205表示从对由本消息通知的流的数据包计数数开始计数至超过阈值为止的时间,存储有数据包数域1504超过了阈值的数据包计数表1500的条目的计数开始时刻1506的值和当前时刻之差。项数1206表示本消息中包含的项1207的数。在数据包计数表1500的例子中一个条目由四个项目构成,所以项数1206的值为4。项1207表示数据包数1504超过了阈值的数据包计数表1500的条目中包含的各项目的内容。
项1207为图16所示的结构。项目1601表示项的种类,具体地说,存储有数据包计数表1500的项目域1501中所示的src ip或dstip等识别信息。属性1602存储有数据包计数表1500的属性域1502中所示的‘值’或‘出现种类数’。值1603存储有数据包计数表1500的值域1503中所示的值。
通过网络控制装置10在检测出异常流时将包含上述那样的信息的数据包发送到业务解析装置20,业务解析装置20可从所述信息中以很少的处理负荷在短时间内掌握异常流的种类及规模、持续时间等。
下面,使用图8,说明网络控制装置10的业务统计分析处理部13的动作。业务统计分析处理部13接收采样统计处理部121所采样的数据包(S501)。业务统计分析处理部13使用数据包的报头信息,将图4所示的数据包计数表200的相应条目(一般存在多个)的数据包数增加(S502)。在不存在相应条目的情况下,形成新的条目。此时,可事先设定作为新条目的形成对象的所述报头信息中的项目的组合,而且,还可通过控制信息数据包50的控制信息54进行变更。接着,参照项目2表202和图5所示的阈值表30,在表示可疑流的项目的组合中调查有无超过了检测等级1的阈值的条目(S503)。在没有的情况下(“否”),返回到步骤501,在有的情况下(“是”)转移到异常判定。在异常判定(S504),判断为异常的情况下(“是”),再次参照阈值表,形成图6所示的异常检测信息表80(S505)。再有,在判断为没有异常的情况下(“否”),返回到步骤501。业务统计分析处理部13将异常检测信息表80传送到业务异常检测信息生成部122(S506)。
使用图9,作为网络蠕虫和DDoS的检测流程更详细地说明图8的步骤503和步骤504。
首先,对项目数2表202中超过了阈值的项目的种类和值的组合进行判断(S1001)。在“scr ip”和“dst port”或“dst ip”和“dst port”以外的组合的情况下,结束检测流程。
项目数2表202中超过了阈值的种类的项目和值的组合为“scrip”和“dst port”时,对项目数3表进行检索(S1002)。在项目数3表中,确认是否存在“scr ip”和“dst port”相同,表示是特定的主机间的通信的条目(S1003)。这里,作为表示是特定的主机间的通信的项目,采用“dst ip”。如果该结果为“是”,则判断为不是蠕虫并结束处理。另一方面,如果结果为“否”,则判断为蠕虫(S1004)。
另一方面,项目数2表202中超过了阈值的项目的种类和值的组合为“dst ip”和“dst port”时,对项目数3表进行检索(S1005)。在项目数3表中,确认是否存在“scr ip”和“dstport”相同,表示是特定的主机间的通信的条目(S1006)。这里,作为表示是特定的主机间的通信的第3项目,采用“scr ip”。如果该结果为“是”,则是特定的2台终端间的P2P通信,判断为不是DDoS并结束处理。另一方面,如果结果为“否”,则判断是从多个发送方向特定的目的地的通信即DDoS(S1007)。
返回到图2,接收了异常检测信息表80的业务异常检测信息生成部122根据异常检测信息表生成图7所示的异常流检测信息45。业务异常检测信息生成部122将异常流检测信息45传送到采样统计处理部121。采样统计处理部121将在通常的sFlow数据包之后追加了异常流检测信息45的流统计信息数据包40传送到业务解析装置20。
网络控制装置10与此同时对数据包传送处理部11的输出部设定未图示的过滤器(filter),停止异常数据包的传送。
在图3中,接收到已追加了异常流检测信息45的流统计信息数据包40的业务解析装置20,在分析处理部23中进行分析,在是图5的流X的异常且检测等级2以上的情况下,判定不能进行进一步的检测。其结果是,进行数据包计数表的复位,将流X的检测等级1的阈值设为1000、检测等级2的阈值设为2000,通过控制信息生成部24,将控制信息数据包50送到网络控制装置10。
业务解析装置20的控制信息数据包生成部24生成图10所示的业务解析装置发送到网络控制装置的控制信息数据包。控制信息数据包50包括:MAC报头51、IP报头52、UDP报头53、以及控制信息54。控制信息54包括计数复位信号、参数等。
再有,在上述实施例中作为sFlow进行了说明,但即使是NetFlow、或者镜像产生的数据包也可以,不限于它们。控制信息54也可以包括在数据包计数表中变更作为数据包数计数的对象的项目的组合设定信息的信息、或者变更阈值表的流类别和检测等级的信息。而且,也可以不变更流X的检测等级1和2的阈值,而设置新的检测等级3(阈值:2000)。
此外,业务异常发生时的异常通知的发送目的地不限于业务解析装置,也可以是更高级的网络监视装置。
根据本实施例,可以由分散配置的网络控制装置(路由器或交换机)进行异常业务、过负荷业务的分析。其结果是,可以降低业务解析装置(收集器或分析器)的分析负荷。此外,通过在以往的sFlow统计信息中附加异常业务的分析信息,可以进行产生了以往的Flow统计计算服务器的功能的扩展。而且,根据本实施例,即使对于今后新发生的网络攻击,通过根据攻击模型而变更数据包计数表和阈值表的设定,仍然可以应对。
在本实施例中,如果在业务统计分析处理部13中采用处理负荷小的算法,将其内置在网络控制装置10中,由网络控制装置10实施业务分析和信息汇集,则可以减小网络控制装置10的对业务解析装置20的数据包传送负荷,进而减小对网络的频带的负荷。
而且,可以将业务分析分散给各网络控制装置10来实施,所以可以减轻业务解析装置20的处理负荷和成本。
<实施例2>
下面,用图11来说明第2实施例。本实施例的系统结构与第1实施例相同。图11是说明其他实施例的检测了异常流的流统计信息的数据包的图。
图11所示的检测了异常流的流统计信息的数据包是网络控制装置10的采样统计处理部121所生成的数据包。流信息数据包60包括:MAC报头61、IP报头62、UDP报头63、以及异常流检测信息64。
在该实施例中,对业务解析装置20仅传送异常流检测信息。因此,采样统计处理部121的处理简单。
此外,业务异常发生时的异常通知的发送目的地不限于业务解析装置,也可以是更高级的网络监视装置。此外,与通常数据包同样,也可以通过网络,通知网络管理者的PC。
<实施例3>
下面用图13和图14说明第3实施例。图13表示作为业务解析装置使用了具有RADIUS协议等认证功能的认证服务器的认证系统。图13所示的认证系统包括连接了多个PC的多个网络、连接了多个网络的网络控制装置及认证服务器。PC经由网络控制装置被认证服务器认证。网络控制装置按认证/再认证的定时,将相应的PC的异常业务检测信息发送到认证服务器。认证服务器使用认证信息进行认证,使用异常业务检测信息进行相应PC的业务控制。
网络控制装置和认证服务器间,如图14所示,除了原始的认证信息以外,还附加有异常业务检测信息。
根据本实施方式,由网络控制装置对异常业务进行分析/检测,所以可以减少业务解析装置的负荷,可以减小网络控制装置10的对业务解析装置20的数据包传送负荷,进而可以减小对网络的频带的负荷。
此外,根据本实施方式,在经由网络控制装置进行PC认证的系统中,通过在认证/再认证时从网络控制装置向认证服务器传送PC单位的异常业务检测信息,从而除了静态的认证信息(密码、数字署名信息等)以外,还添加动态的业务信息,所以除了认证功能以外,还可进行相应PC的业务控制。
Claims (12)
1.一种网络控制装置,配置在网络和业务解析装置之间,与所述网络之间进行数据包的传送,其中,所述网络控制装置:
接收所述业务解析装置发送的控制信息,
使用所述控制信息中包含的参数进行所述数据包的监视,
在检测出业务异常时,将检测出的异常信息发送到所述业务解析装置。
2.如权利要求1所述的网络控制装置,其中,
还包含数据包计数表,所述数据包计数表根据所述数据包的报头信息,对数据包的到达数进行计数,
根据所述控制信息,将所述数据包计数表的所述到达数复位。
3.如权利要求2所述的网络控制装置,其中,
还包含由与流类别对应的多个阈值组成的阈值表,
在所述到达数超过所述阈值时,参照所述数据包计数表来判定业务异常。
4.一种网络控制装置,配置在网络和业务解析装置之间,设置有数据包传送处理部,与所述网络之间进行数据包的传送,其中,所述网络控制装置包括:
采样统计处理部,进行所接收的数据包的采样;和
业务统计分析处理部,进行异常业务的检测。
5.如权利要求4所述的网络控制装置,其中,
在所述业务统计处理部检测出业务异常时,对所述业务解析装置发送异常检测通知。
6.如权利要求4所述的网络控制装置,其中,
在所述业务统计处理部检测出业务异常时,停止该业务异常的数据包的传送。
7.如权利要求4所述的网络控制装置,其中,
根据来自所述业务解析装置的控制信息,可变更所述业务统计处理部的业务异常检测参数。
8.一种网络控制装置的控制方法,包括:
从网络接收数据包的步骤;
对基于所接收的数据包的报头信息的数据包计数表的到达数进行更新的步骤;
比较所述到达数和预定的阈值的步骤;
在所述到达数超过所述阈值时,实施异常判定的步骤;以及
在判定为业务异常时,发送业务异常通知的步骤。
9.如权利要求8所述的网络控制装置的控制方法,其中,
所述业务异常通知的发送目的地是业务解析装置。
10.如权利要求8所述的网络控制装置的控制方法,其中,
所述所接收的数据包是采样后的数据包。
11.一种系统,将PC和网络控制装置及认证服务器经由网络连接,进行所述PC的认证,其中,包括:
所述网络控制装置在认证/再认证时,将相应的所述PC的异常业务信息发送到所述认证服务器。
12.如权利要求1的网络控制装置,其中,
所述检测出的异常信息包含:对与被发送的数据包的发送方或接收目的地有关的信息进行确定的项目、该项目的属性、以及该项目的值。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005147948 | 2005-05-20 | ||
| JP147948/2005 | 2005-05-20 | ||
| JP077978/2006 | 2006-03-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1878141A true CN1878141A (zh) | 2006-12-13 |
Family
ID=37510437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100850317A Pending CN1878141A (zh) | 2005-05-20 | 2006-05-22 | 网络控制装置及其控制方法 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5017440B2 (zh) |
| CN (1) | CN1878141A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102577263A (zh) * | 2009-10-29 | 2012-07-11 | 惠普发展公司,有限责任合伙企业 | 监测加鉴别性标记的分组的交换机 |
| CN102884768A (zh) * | 2010-06-08 | 2013-01-16 | 日本电气株式会社 | 通信系统、控制装置、分组捕获方法和分组捕获程序 |
| WO2013185489A1 (zh) * | 2012-06-13 | 2013-12-19 | 华为技术有限公司 | 分析信令流量的方法及装置 |
| CN106464577A (zh) * | 2014-06-18 | 2017-02-22 | 日本电信电话株式会社 | 网络系统、控制装置、通信装置、通信控制方法以及通信控制程序 |
| CN110266556A (zh) * | 2013-04-29 | 2019-09-20 | 瑞典爱立信有限公司 | 动态检测网络中的业务异常的方法和系统 |
| CN115412431A (zh) * | 2021-05-10 | 2022-11-29 | 瑞昱半导体股份有限公司 | 网络交换器以及异常检测方法 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106817340B (zh) | 2015-11-27 | 2020-05-08 | 阿里巴巴集团控股有限公司 | 预警决策的方法、节点及子系统 |
| JP6652912B2 (ja) * | 2016-12-21 | 2020-02-26 | アラクサラネットワークス株式会社 | ネットワーク装置および異常検知システム |
| JP7483664B2 (ja) | 2021-07-28 | 2024-05-15 | Kddi株式会社 | 通信解析システム、通信解析方法及びコンピュータプログラム |
| WO2023112175A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | トラフィック監視装置、トラフィック監視方法、及びプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05143377A (ja) * | 1991-11-18 | 1993-06-11 | Hitachi Ltd | アラーム通知方式 |
| JP2001057554A (ja) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | クラッカー監視システム |
| JP2001203691A (ja) * | 2000-01-19 | 2001-07-27 | Nec Corp | ネットワークトラフィック監視システム及びそれに用いる監視方法 |
| JP2001331390A (ja) * | 2000-05-22 | 2001-11-30 | Mitsubishi Electric Corp | ネットワーク管理システム |
| JP2003258903A (ja) * | 2002-03-04 | 2003-09-12 | Hitachi Ltd | 通信路監視システム |
| JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
| JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
| JP2004259146A (ja) * | 2003-02-27 | 2004-09-16 | Nippon Telegr & Teleph Corp <Ntt> | 閾値自動設定方法及びシステム |
-
2006
- 2006-05-22 CN CNA2006100850317A patent/CN1878141A/zh active Pending
-
2010
- 2010-10-08 JP JP2010228075A patent/JP5017440B2/ja not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102577263A (zh) * | 2009-10-29 | 2012-07-11 | 惠普发展公司,有限责任合伙企业 | 监测加鉴别性标记的分组的交换机 |
| CN102884768A (zh) * | 2010-06-08 | 2013-01-16 | 日本电气株式会社 | 通信系统、控制装置、分组捕获方法和分组捕获程序 |
| WO2013185489A1 (zh) * | 2012-06-13 | 2013-12-19 | 华为技术有限公司 | 分析信令流量的方法及装置 |
| US9763109B2 (en) | 2012-06-13 | 2017-09-12 | Huawei Technologies Co., Ltd. | Method and apparatus for analyzing signaling traffic |
| CN110266556A (zh) * | 2013-04-29 | 2019-09-20 | 瑞典爱立信有限公司 | 动态检测网络中的业务异常的方法和系统 |
| CN106464577A (zh) * | 2014-06-18 | 2017-02-22 | 日本电信电话株式会社 | 网络系统、控制装置、通信装置、通信控制方法以及通信控制程序 |
| US10397260B2 (en) | 2014-06-18 | 2019-08-27 | Nippon Telegraph And Telephone Corporation | Network system |
| CN106464577B (zh) * | 2014-06-18 | 2019-10-29 | 日本电信电话株式会社 | 网络系统、控制装置、通信装置以及通信控制方法 |
| US10476901B2 (en) | 2014-06-18 | 2019-11-12 | Nippon Telegraph And Telephone Corporation | Network system, control apparatus, communication apparatus, communication control method, and communication control program |
| CN115412431A (zh) * | 2021-05-10 | 2022-11-29 | 瑞昱半导体股份有限公司 | 网络交换器以及异常检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5017440B2 (ja) | 2012-09-05 |
| JP2011035932A (ja) | 2011-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1878141A (zh) | 网络控制装置及其控制方法 | |
| US7729271B2 (en) | Detection method for abnormal traffic and packet relay apparatus | |
| Binkley et al. | An algorithm for anomaly-based botnet detection. | |
| US7936682B2 (en) | Detecting malicious attacks using network behavior and header analysis | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| US11546266B2 (en) | Correlating discarded network traffic with network policy events through augmented flow | |
| KR100997182B1 (ko) | 플로우 정보 제한장치 및 방법 | |
| JP2007336512A (ja) | 統計情報収集システム及び統計情報収集装置 | |
| Hugelshofer et al. | OpenLIDS: a lightweight intrusion detection system for wireless mesh networks | |
| US8904534B2 (en) | Method and apparatus for detecting scans in real-time | |
| CN101035034A (zh) | 一种检测报文攻击的方法及装置 | |
| Dubendorfer et al. | A framework for real-time worm attack detection and backbone monitoring | |
| CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
| WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| KR101469285B1 (ko) | 정책기반 라우팅을 이용한 선택적인 인터넷 트래픽 분석 시스템 및 그 방법 | |
| JP2017060074A (ja) | ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法 | |
| JP2008072496A (ja) | ネットワーク監視システム、通信品質測定システム及び通信品質測定方法 | |
| US7266088B1 (en) | Method of monitoring and formatting computer network data | |
| JP4246238B2 (ja) | トラフィック情報の配信及び収集方法 | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
| WO2022104738A1 (zh) | 一种木马检测方法、装置和设备 | |
| JP2009049592A (ja) | Ipフロー計測回路およびipフロー計測方法 | |
| Žádník | Network monitoring based on ip data flows | |
| Limmer et al. | Flow-based front payload aggregation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20061213 |
|
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |