JP2003224607A - サーバ計算機保護装置および同装置のデータ転送制御方法 - Google Patents
サーバ計算機保護装置および同装置のデータ転送制御方法Info
- Publication number
- JP2003224607A JP2003224607A JP2002022486A JP2002022486A JP2003224607A JP 2003224607 A JP2003224607 A JP 2003224607A JP 2002022486 A JP2002022486 A JP 2002022486A JP 2002022486 A JP2002022486 A JP 2002022486A JP 2003224607 A JP2003224607 A JP 2003224607A
- Authority
- JP
- Japan
- Prior art keywords
- data request
- server computer
- server
- data
- threshold value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Multi Processors (AREA)
- Communication Control (AREA)
Abstract
ータ要求の回数を設定しなくてもサーバ計算機を保護す
ることができるとともに、サーバの処理能力を有効利用
でき、更にクライアントからのリクエスト数が急速に増
加した場合でも、サーバ計算機の保護をしつつ、サーバ
計算機の処理能力を有効かつ継続して利用でき、クライ
アントからのリクエスト数の大きな変動に対しても、サ
ーバ計算機との間で常に安定したパケット交換動作を維
持することのできるサーバ計算機保護装置および同装置
のデータ転送制御方法を提供することを課題とする。 【解決手段】閾値出力手段17は、サーバ応答測定手段
と、タイムアウト計数手段と、保留計数手段と、閾値計
数手段とを備えて、データ要求送信手段14に保留され
たデータ要求の状態、サーバ計算機からの応答状態等に
基づいて、上記データ要求の回数の閾値を動的に可変し
設定して出力する。
Description
は特定多数のクライアントをパケット交換ネットワーク
経由で1台あるいは複数台のサーバ計算機に接続した、
クライアント/サーバシステムに於いて、上記サーバ計
算機への不正アクセスの防止あるいは不正アクセスの検
知を行う機能を実現する際に用いて好適なサーバ計算機
保護装置、およびサーバ計算機保護装置のデータ転送制
御方法に関する。
ントをパケット交換ネットワーク経由で1台あるいは複
数台のサーバ計算機に接続した、クライアント/サーバ
システムに於いて、上記サーバ計算機への不正アクセス
の防止あるいは検知を行う機能をもつ装置として、クラ
イアントとサーバ計算機との間に介在され、クライアン
トからサーバ計算機に送出されるデータ要求について、
そのデータ要求の転送先サーバが過去の一定期間内に受
信したデータ要求の単位時間当たりの回数を監視して、
その回数をもとに、サーバ計算機が過負荷となるか否か
を判断する機構を備えたサーバ計算機保護装置が存在す
る。
成例を図3に示す。図3に於いて、30は従来の構成に
よるサーバ計算機保護装置であり、ネットワークインタ
フェース31A,31Bと、接続転送手段32とを備え
て構成される。上記接続転送手段32は、データ要求受
信手段33、データ要求送信手段34、サーバデータ要
求計測手段35、閾値保持手段36、閾値比較手段37
等により構成される。
ットワークセグメント(A)を介してクライアントとの
間でパケットを送受信する機能を持つ。
ーバ計算機との間でパケットを送受信する機能を持ち、
データ要求受信手段34から渡されたデータ要求をサー
バ計算機へ送出し、サーバ計算機からデータ(パケッ
ト)を受信する機能を持つ。
信手段33は、ネットワークインタフェース31Aとの
間でパケットを交換し、クライアントから送出されたデ
ータ要求をサーバに代って受取る機能を持つ。
37からの比較結果を受取り、その内容がサーバデータ
要求計測手段35により計測されたデータ要求の回数が
閾値保持手段36に保持された閾値を下回っていること
を示す場合は、データ要求受信手段33が受取ったデー
タ要求をクライアントが実際にデータを要求している本
来のサーバ計算機へネットワークインタフェース31
(B)を介し転送する機能を持つ。
要求受信手段33が受信したクライアントからサーバ計
算機へのデータ要求について、そのデータ要求を転送す
る転送先のサーバ計算機が過去の一定期間内に受信した
データ要求の回数を計測する機能を持つ。
タ要求の回数を閾値として保持する機能を持つ。
手段35により計測されたデータ要求の回数と、閾値保
持手段36に保持されたデータ要求の閾値とを比較し
て、その比較結果をデータ要求送信手段34に伝える機
能を持つ。
値保持手段36に格納される情報の一例を示す図あり、
ここでは、保護の対象となる各サーバ計算機のネットワ
ークアドレスと、その各サーバ計算機に於ける単位時間
(この例では1分間)での処理可能なデータ要求の回数
とが閾値として保持される。
て、閾値保持手段36には、図4のような保護の対象と
なる各サーバ計算機と、その各サーバ計算機で処理可能
なデータ要求の回数を示す閾値とが保持されていたとす
る。即ち、この図4に示す例では、保護の対象となる各
サーバ計算機として「192.168.1.31」のネ
ットワークアドレスをもつサーバ計算機と、「192.
168.1.32」のネットワークアドレスをもつサー
バ計算機とが存在し、「192.168.1.31」の
ネットワークアドレスをもつサーバ計算機の閾値「10
0」、「192.168.1.32」のネットワークア
ドレスをもつサーバ計算機の閾値「150」がそれぞれ
単位時間(ここでは1分間)での現在までのデータ要求
の回数として保持されている。
2.168.1.31」のネットワークアドレスをもつ
サーバ計算機に対してデータ要求を送出したとする。
受信されたデータ要求のパケットは、データ要求受信手
段33が、サーバに成り代り受取る。データ要求受信手
段33はクライアントからの接続要求への応答などの処
理も行う。この際、データ要求受信手段33は、「19
2.168.1.31」のネットワークアドレスをもつ
サーバ計算機のネットワークアドレスをそのまま用い
て、クライアントから送出されたデータ要求を受取る方
法の他に、クライアントに明示的に別のネットワークア
ドレスを伝えておき、クライアントが当該別のネットワ
ークアドレスに対して、「192.168.1.31」
のネットワークアドレスをもつサーバ計算機へのデータ
要求を送ることで、データ要求受信手段33が当該デー
タ要求をサーバに成り代り受取ることを可能にする方法
等もある。
受取ったデータ要求は、データ要求送信手段34へ渡さ
れる。サーバデータ要求計測手段35は、当該データ要
求について、要求先のサーバ計算機が過去の一定期間内
に受信したデータ要求の回数を計測している。
ったデータ要求がデータ要求送信手段34へ渡された時
点で、サーバデータ要求計測手段35が計測した、「1
92.168.1.31」のネットワークアドレスをも
つサーバ計算機で過去の一分間に受取ったデータ要求の
回数が、例えば「85」であったとする。
比較手段37に問い合わせを行う。閾値比較手段37
は、閾値保持手段36に保持された、「192.16
8.1.31」のネットワークアドレスをもつサーバ計
算機の閾値が「100」と、上記サーバデータ要求計測
手段35で計測したデータ要求の回数「85」とを比較
照合し、この際は上記サーバデータ要求計測手段35で
計測したデータ要求の回数「85」が閾値保持手段36
に保持された、「192.168.1.31」のネット
ワークアドレスをもつサーバ計算機の閾値「100」を
超えていないので、計測したデータ要求回数が閾値内に
あることを示す比較結果の値をデータ要求送信手段34
に渡す。
37から、計測したデータ要求回数が閾値内にあること
を示す比較結果の値を受けると、ネットワークインタフ
ェース31Bを介して、「192.168.1.31」
のネットワークアドレスをもつサーバ計算機へ、上記デ
ータ要求のパケットを送出(転送)する。この際、デー
タ要求送信手段34はサーバ計算機への接続要求などの
処理も行う。
ークアドレスをもつサーバ計算機は、サーバ計算機保護
装置30を経由してクライアントから受取ったデータ要
求に応じたデータを送出する。このサーバ計算機より送
出されたデータはネットワークセグメント(B)を経由
してネットワークインタフェース31Bに受取られ、ネ
ットワークインタフェース31Aを介して要求元のクラ
イアントに渡される。この際、クライアントに明示的に
データ要求受信手段33が用いる別のアドレスを伝えて
いた場合は、ネットワークインタフェース31Aからク
ライアントへ送出されるデータが、上記別のアドレスか
らの応答の形でクライアントへ送られる。また、データ
要求受信手段33が「192.168.1.31」のネ
ットワークアドレスをもつサーバ計算機のネットワーク
アドレスをそのまま用いて、クライアントから送出され
たデータ要求を受取る方法を用いた場合は、ネットワー
クインタフェース31Bで受信された、「192.16
8.1.31」のネットワークアドレスをもつサーバ計
算機からのデータが、当該データを運ぶパケットのヘッ
ダのポート番号やシーケンス番号、チェックサムなどを
書き換えられた後、ネットワークインタフェース31A
から要求元のクライアントへ送出される。
れたデータ要求がサーバ計算機に送られ、その要求に応
じたデータが、サーバ計算機からクライアントに渡され
る。
段33で受け取ったデータ要求がデータ要求送信手段3
4へ渡された際に、サーバデータ要求計測手段35が計
測した、「192.168.1.31」のネットワーク
アドレスをもつサーバ計算機で過去の一分間に受取った
データ要求の回数が、例えば「103回」であったとす
る。この状態でデータ要求送信手段34は閾値比較手段
37に問い合わせを行う。閾値比較手段37は、閾値保
持手段36に保持された、「192.168.1.3
1」のネットワークアドレスをもつサーバ計算機の閾値
が「100」と、上記サーバデータ要求計測手段35で
計測したデータ要求の回数「103」とを比較照合し、
この際は上記サーバデータ要求計測手段35で計測した
データ要求の回数「103」が閾値保持手段36に保持
された、「192.168.1.31」のネットワーク
アドレスをもつサーバ計算機の閾値「100」を超えて
いるので、計測したデータ要求回数が閾値を超えたこと
を示す比較結果の値をデータ要求送信手段34に渡す。
37から計測したデータ要求回数が閾値を超えたことを
示す比較結果の値を受けると、上記データ要求受信手段
33より受けたデータ要求のパケットを破棄する。
保護装置に於いては以下のような問題があった。即ち、
従来のサーバ計算機保護装置では、各々のサーバ計算機
が一定期間内に処理可能なデータ要求の回数を予め閾値
として設定しておく必要があった。しかし、サーバ計算
機が一定期間内に処理可能なデータ要求の回数は、デー
タ要求の内容等によって大きく異なることから、適正な
閾値の設定が難しく、適正でない誤った閾値を設定して
しまった場合は、サーバ計算機の保護が行なえなかった
り、あるいは、サーバ計算機は保護できても、サーバの
処理能力を有効利用できなくなる等の問題があった。
は、サーバ計算機各々について、サーバ計算機が一定期
間内に処理可能なデータ要求の回数を、予め閾値として
設定しておく必要があり、その適正な閾値の難しく、適
正でない誤った値を閾値として設定してしまった場合
は、サーバ計算機の保護が行なえなかったり、あるい
は、サーバ計算機は保護できても、サーバの処理能力を
有効利用できなくなる等の問題があった。
バ計算機からの応答を受信するまでの時間を測定し、一
定時間内に応答が受信できなかった場合、サーバが処理
可能なデータ要求回数を超えたものとして、その時点で
の平均データ要求回数を閾値として用いたり、サーバ上
にサーバ計算機の負荷を測定する手段を設け、サーバ計
算機の負荷が一定以上になった時点での平均データ要求
回数を閾値として用いたりするサーバ計算機保護装置が
考えられるが、急速にクライアントからのリクエスト数
が増加した場合、平均データ要求回数はサーバが一定期
間内に処理可能なデータ要求の回数と隔たりのある値と
なってしまい、平均データ要求回数を閾値として用いて
しまうと、サーバの処理能力を有効利用できなくなった
り、サーバの保護ができなかったりするなどの問題が生
じる。
利用者が、サーバ各々の処理可能なデータ要求の回数を
設定しなくてもサーバ計算機の保護を行なうことができ
るとともに、サーバの処理能力を有効利用できるサーバ
計算機保護装置および同装置のデータ転送制御方法を提
供することを目的とする。
スト数が急速に増加した場合に於いても、サーバ計算機
の保護をしつつ、サーバ計算機の処理能力を有効かつ継
続して利用でき、クライアントからのリクエスト数の大
きな変動に対しても、サーバ計算機との間で常に安定し
たパケット交換動作を維持することのできるサーバ計算
機保護装置および同装置のデータ転送制御方法を提供す
ることを目的とする。
からサーバに送られるデータ要求の単位時間あたりの回
数を計測し、その計測値と閾値との比較の結果に応じ
て、前記受信したデータ要求を保留し若しくは要求先の
サーバ計算機に転送するサーバ計算機保護装置に於い
て、前記受信したデータ要求の保留状態と前記データ要
求をサーバに送出した際のサーバからの応答状態をもと
に前記閾値を動的に可変制御して、前記クライアントに
代わり受信したサーバ計算機へのデータ要求が急激に増
加した際に、前記サーバ計算機保護装置からサーバ計算
機へ転送されるデータ要求の急激な増加を所定の変動範
囲内に抑制するデータ転送制御機能を実現したことを特
徴とする。
れたデータ要求をサーバに代わり受信し、当該受信した
クライアントからサーバ計算機へのデータ要求につい
て、当該サーバ計算機が過去の一定期間内に受信した前
記データ要求の回数を計測して、当該計測したデータ要
求の回数を閾値と比較し、当該比較の結果に応じて前記
受信したデータ要求を保留し若しくは要求先のサーバ計
算機に転送するサーバ計算機保護装置に於いて、前記受
信したデータ要求の保留状態と前記データ要求をサーバ
に送出した際のサーバからの応答状態をもとに前記閾値
を動的に可変制御する手段を具備したことを特徴とす
る。
れたデータ要求をサーバに代わり受信する要求受信手段
と、前記要求受信手段が受信したクライアントからサー
バ計算機へのデータ要求について、前記サーバ計算機が
過去の一定期間内に受信した前記データ要求の回数を計
測する計測手段と、前記計測手段で計測されたデータ要
求の回数を比較の対象とする閾値を出力する閾値出力手
段と、前記計測手段で計測されたデータ要求の回数を前
記閾値出力手段より出力される閾値と比較する比較手段
と、前記比較手段の比較の結果、前記計測手段で計測し
たデータ要求の回数が前記閾値を超えた際は前記要求受
信手段が受信したデータ要求を保留し、前記計測手段で
計測したデータ要求の回数が前記閾値を超えない際は前
記要求受信手段が受信したデータ要求をサーバ計算機に
送出するデータ要求送信手段とを具備し、前記閾値出力
手段に、前記要求受信手段が受信したデータ要求の一定
時間内での保留回数を計数する保留計数手段と、前記デ
ータ要求送信手段からデータ要求を送出した際に、当該
データ要求を受信したサーバ計算機から応答を受信する
までの所要時間を測定するサーバ応答測定手段と、前記
サーバ応答測定手段で測定した所要時間が予め設定した
一定時間を超えた回数を過去の一定時間内に於いて計数
するタイムアウト計数手段と、前記比較手段に出力する
閾値を保持する保持手段を有し、一定時間毎に、前記保
留計数手段の計数値を入力して、当該計数値が一定値以
下の場合は前記保持手段の値を指定した減算率で減算
し、前記保留計数手段の計数値が一定値を超え、かつ前
記タイムアウト計数手段の計数値が一定値以下の場合
は、前記保持手段の値を指定した加算率で加算する閾値
計数手段とを具備して、前記データ要求送信手段は、前
記閾値出力手段に設けた閾値計数手段より出力された動
的な閾値をもとに、受信したデータ要求の送出を制御す
ることを特徴とする。
れたデータ要求をサーバに代わり受信する要求受信手段
と、前記要求受信手段が受信したクライアントからサー
バ計算機へのデータ要求について、前記サーバ計算機が
過去の一定期間内に受信した前記データ要求の回数を計
測する計測手段と、前記計測手段で計測されたデータ要
求の回数を比較の対象とする閾値を出力する閾値出力手
段と、前記計測手段で計測されたデータ要求の回数を前
記閾値出力手段より出力される閾値と比較する比較手段
と、前記比較手段の比較の結果、前記計測手段で計測し
たデータ要求の回数が前記閾値を超えた際は前記要求受
信手段が受信したデータ要求を保留し、前記計測手段で
計測したデータ要求の回数が前記閾値を超えない際は前
記要求受信手段が受信したデータ要求をサーバ計算機に
送出するデータ要求送信手段とを具備し、前記閾値出力
手段に、前記要求受信手段が受信したデータ要求の過去
の一定時間内での保留回数を計数する保留計数手段と、
前記データ要求送信手段からデータ要求を送出した際
に、当該データ要求を受信したサーバ計算機から応答を
受信するまでの所要時間を測定するサーバ応答測定手段
と、前記比較手段に出力する閾値を保持する保持手段を
有し、一定時間毎に、前記保留計数手段の計数値を入力
して、当該計数値が一定値以下の場合は前記保持手段の
値を指定した減算率で減算し、前記保留計数手段の計数
値が一定値を超えている場合は予め設定された上限値を
超えない範囲で前記保持手段の値を指定した加算率で加
算する閾値計数手段とを具備して、前記データ要求送信
手段が前記閾値出力手段の前記閾値計数手段より出力さ
れた動的な閾値をもとに、受信したデータ要求の送出を
制御することを特徴とする。
れたデータ要求をサーバに代わり受信し、当該受信した
クライアントからサーバ計算機へのデータ要求につい
て、当該サーバ計算機が過去の一定期間内に受信した前
記データ要求の回数を計測して、当該計測したデータ要
求の回数を閾値と比較し、当該比較の結果に応じて前記
受信したデータ要求を保留し若しくは要求先のサーバ計
算機に転送するサーバ計算機保護装置のデータ転送制御
方法に於いて、前記受信したデータ要求の保留状態と前
記データ要求をサーバに送出した際のサーバからの応答
状態をもとに前記閾値を動的に可変制御して、前記クラ
イアントに代わり受信したサーバ計算機へのデータ要求
が急激に増加した際に、前記サーバ計算機保護装置から
サーバ計算機へ転送されるデータ要求の急激な増加を所
定の変動範囲内に抑制するデータ転送制御を行うことを
特徴とする。
機能をもつことで、利用者が、サーバ各々の処理可能な
データ要求の回数を設定しなくてもサーバ計算機の保護
を行なうことができるとともに、サーバの処理能力を最
大限に有効利用できるサーバ計算機保護装置が実現でき
る。また、急速にクライアントからのリクエスト数が増
加した場合であっても、サーバ計算機の保護を行なうこ
とができるとともに、サーバの処理能力を最大限に有効
利用できるサーバ計算機保護装置が実現できる。
施形態を説明する。
バ計算機保護装置の構成を示すブロック図である。
ーバ計算機保護装置10は、ネットワークインタフェー
ス11A,11Bと、接続転送手段12とを具備して構
成される。
ットワークセグメント(A)を介してクライアントとの
間でパケットを送受信する機能を持つ。ネットワークイ
ンタフェース11Bは、ネットワークセグメント(B)
を介してサーバ計算機との間でパケットを送受信する機
能を持ち、接続転送手段12に設けたデータ要求受信手
段13から渡されたデータ要求のパケットをサーバ計算
機へ送出し、サーバ計算機からデータを受信する機能を
持つ。
13と、データ要求送信手段14と、サーバデータ要求
計測手段15と、閾値比較手段16と、閾値出力手段1
7とを具備して構成される。
信手段13は、ネットワークインタフェース11Aとの
間でパケットを交換し、クライアントから送出されたデ
ータ要求をサーバに代って受取る機能を持つ。
16からの比較結果を受取り、サーバデータ要求計測手
段15で計測されたデータ要求の回数が閾値出力手段1
7から出力された閾値を下回っていた場合、データ要求
受信手段13が受取ったデータ要求のパケットを、クラ
イアントが実際にデータを要求している本来のサーバ計
算機へネットワークインタフェース11Bを介して転送
し、サーバデータ要求計測手段15で計測されたデータ
要求の回数が閾値保持手段16に保持された閾値を上回
っていた場合、データ要求受信手段13が受取ったデー
タ要求のパケットを保留バッファ14aに保留する機能
を持つ。
要求受信手段13が受信したデータ要求について、要求
先(転送先)のサーバが過去の一定期間内に受信したデ
ータ要求の回数を計測する機能を持つ。
測手段15で計測されたデータ要求の回数と、閾値出力
手段17から出力された閾値とを比較し、その比較結果
の内容をデータ要求送信手段14に伝える機能を持つ。
と、タイムアウト計数手段と、保留計数手段と、閾値計
数手段とを備えて、データ要求送信手段14に保留され
たデータ要求の状態、サーバ計算機からの応答状態等に
基づいて、上記データ要求の回数の閾値を動的に可変し
設定して出力する機能を持つ。
を示すブロック図であり、保留計数手段171と、サー
バ応答測定手段172と、閾値計数手段173と、タイ
ムアウト計数手段174とを備えて構成される。
段14に於いて過去の一定期間内に保留したデータ要求
の回数を計数し、その計数値を加減算制御信号(up/
down)として閾値計数手段173に送出する。
送信手段14がデータ要求のパケットを送出してからサ
ーバ計算機より応答を受信するまでの所要時間を測定
し、その測定時間情報をタイムアウト計数手段174に
送出する。
1より出力された計数値を加減算制御信号(up/do
wn)として入力し、更にタイムアウト計数手段174
より出力された測定時間情報を入力して、これらの入力
情報をもとに、定期的に、閾値となる数値の加減算を行
い、その計数値を閾値として閾値比較手段16に送出す
る機能を持つ。
答測定手段172より出力された測定時間情報で示され
る測定時間について、過去一定時間毎の、予め設定した
時間を超えた回数を計数し、その回数が予め設定した回
数を超えた際に、閾値計数手段173に初期化制御信号
(preset)を送出する機能をもつ。
発明に係るサーバ計算機保護装置の動作を説明する。
てデータ要求を送出すると、当該データ要求がネットワ
ークセグメント(A)を介してネットワークインタフェ
ース11Aに受信される。
されたデータ要求は、データ要求受信手段13がサーバ
計算機に代って受取る。この際、データ要求受信手段1
3は、クライアントからの接続要求への応答などの処理
も行う。データ要求受信手段13は受取ったデータ要求
をデータ要求送信手段14へ渡す。
信手段13からデータ要求を受け取ると、閾値比較手段
16から比較結果の内容を取得し、その内容に従い、デ
ータ要求受信手段13で受信したデータ要求のパケット
を保留するか要求先のサーバ計算機に転送するかを決定
する。
いて、サーバデータ要求計測手段15は、当該データ要
求について、要求先のサーバが過去の一定期間内に受信
した当該データ要求の回数を測定している。
14から比較結果の内容についての問い合わせを受ける
と、まず、閾値出力手段17から、その時点での閾値を
取得し、次に、サーバデータ要求計数手段15から、測
定されたデータ要求の回数を取得して、その取得した閾
値と測定された回数とを比較し、その比較結果の内容を
データ要求送信手段14に渡す。
手段16から取得した比較結果の内容が、サーバデータ
要求計測手段15で測定したデータ要求の回数が閾値を
上回っていることを示していると、データ要求受信手段
13より受けたデータ要求を保留する。
ータ要求を保留した際、その旨が閾値出力手段17に通
知される。
171は、データ要求送信手段14が保留したデータ要
求の数(データ要求のパケットの個数)をカウントして
おり、データ要求送信手段14からデータ要求を保留し
た通知を受ける毎に、その計数値を更新(+1)する。
この保留計数手段171の計数値は加減算制御信号(u
p/down)として閾値計数手段173に送出され
る。
1より受けた計数値を加減算制御信号(up/dow
n)として、その値を定期的に判定し、その値が、一定
値以下であれば、データ要求の量に対して閾値に余裕が
あると判断して、閾値として出力する自己の計数値を予
め指定した減算率で減算する。また、その値が、一定値
を超えていれば、データ要求の量に対して閾値が小さい
と判断して、閾値として出力する自己の計数値を予め指
定した加算率で加算する。この閾値計数手段173で加
減算処理された計数値が閾値として閾値比較手段16に
渡される。
閾値が指定の加算/減算率で追従することで、急速にク
ライアントからのリクエスト数(データ要求の回数)が
増加した場合であっても、サーバ計算機へのデータ要求
の急増を防ぐことができ、サーバ計算機を保護すること
ができる。
タ要求計測手段15で測定したデータ要求の回数が閾値
を下回っていることを示していると、データ要求受信手
段13より受けたデータ要求をネットワークインタフェ
ース11Bを介してクライアントが実際にデータを要求
している本来のサーバ計算機へ送出する。
計算機への接続要求などの処理も行う。サーバ計算機は
受取ったデータ要求に応じてデータを送出する。サーバ
計算機から送出されたデータはネットワークインタフェ
ース11Bに受信され、ネットワークインタフェース1
1Aより送信されて、ネットワークインタフェース11
Aを介し、データ要求元のクライアントに渡される。
いて、閾値出力手段17に設けられたサーバ応答測定手
段172は、データ要求送信手段14がデータ要求に関
わるパケットを送出してからサーバ計算機より応答を受
信するまでの所要時間を測定し、その測定した時間情報
をタイムアウト計数手段174に送出する。
答測定手段172から受けた測定時間が、予め設定した
一定時間を超えたことを判定する度に、その回数を計数
する。更に、そのその回数が予め設定した回数を超える
と、閾値計数手段173に初期化制御信号(prese
t)を送出する。
手段174から初期化制御信号(preset)を受け
ると、閾値として出力する自己の計数値を、予め設定し
た最小値と現在の計数値の間の数値、例えばその中間の
値に初期化する。
出力する計数値は、以降、前述したように、クライアン
トから送出されたデータ要求の数(データ要求受信手段
13で受信したデータ要求の数)と、保留計数手段17
1の計数値とによって加減算される。
ーバ計算機各々に於ける処理可能なデータ要求の回数を
設定しなくても、サーバ計算機の保護を行なうことがで
きるとともに、サーバ計算機の処理能力を最大限に有効
利用できるサーバ計算機保護装置が実現できる。また、
急速にクライアントからのリクエスト数(データ要求の
回数)が増加した場合であっても、サーバ計算機の保護
を行なうことができるとともに、サーバの処理能力を最
大限に有効利用できるサーバ計算機保護装置が実現でき
る。
用者が、サーバ各々の処理可能なデータ要求の回数を設
定しなくてもサーバ計算機の保護を行なうことができる
とともに、サーバの処理能力を有効利用できる。更に本
発明によれば、クライアントからのリクエスト数が急速
に増加した場合に於いても、サーバ計算機の保護をしつ
つ、サーバ計算機の処理能力を有効かつ継続して利用で
き、クライアントからのリクエスト数の大きな変動に対
しても、サーバ計算機との間で常に安定したパケット交
換動作を維持することができる。
置の構成を示すブロック図。
すブロック図。
ック図。
れた内容の一例を示す図。
Claims (7)
- 【請求項1】 クライアントから送出されたデータ要求
をサーバに代わり受信し、当該受信したクライアントか
らサーバ計算機へのデータ要求について、当該サーバ計
算機が過去の一定期間内に受信した前記データ要求の回
数を計測して、当該計測したデータ要求の回数を閾値と
比較し、当該比較の結果に応じて前記受信したデータ要
求を保留し若しくは要求先のサーバ計算機に転送するサ
ーバ計算機保護装置に於いて、 前記受信したデータ要求の保留状態と前記データ要求を
サーバに送出した際のサーバからの応答状態をもとに前
記閾値を動的に可変制御する手段を具備したことを特徴
とするサーバ計算機保護装置。 - 【請求項2】 クライアントから送出されたデータ要求
をサーバに代わり受信する要求受信手段と、 前記要求受信手段が受信したクライアントからサーバ計
算機へのデータ要求について、前記サーバ計算機が過去
の一定期間内に受信した前記データ要求の回数を計測す
る計測手段と、 前記計測手段で計測されたデータ要求の回数を比較の対
象とする閾値を出力する閾値出力手段と、 前記計測手段で計測されたデータ要求の回数を前記閾値
出力手段より出力される閾値と比較する比較手段と、 前記比較手段の比較の結果、前記計測手段で計測したデ
ータ要求の回数が前記閾値を超えた際は前記要求受信手
段が受信したデータ要求を保留し、前記計測手段で計測
したデータ要求の回数が前記閾値を超えない際は前記要
求受信手段が受信したデータ要求をサーバ計算機に送出
するデータ要求送信手段とを具備し、 前記閾値出力手段に、 前記要求受信手段が受信したデータ要求の一定時間内で
の保留回数を計数する保留計数手段と、 前記データ要求送信手段からデータ要求を送出した際
に、当該データ要求を受信したサーバ計算機から応答を
受信するまでの所要時間を測定するサーバ応答測定手段
と、 前記サーバ応答測定手段で測定した所要時間が予め設定
した一定時間を超えた回数を過去の一定時間内に於いて
計数するタイムアウト計数手段と、 前記比較手段に出力する閾値を保持する保持手段を有
し、一定時間毎に、前記保留計数手段の計数値を入力し
て、当該計数値が一定値以下の場合は前記保持手段の値
を指定した減算率で減算し、前記保留計数手段の計数値
が一定値を超え、かつ前記タイムアウト計数手段の計数
値が一定値以下の場合は、前記保持手段の値を指定した
加算率で加算する閾値計数手段とを具備して、 前記データ要求送信手段は、前記閾値出力手段に設けた
閾値計数手段より出力された動的な閾値をもとに、受信
したデータ要求の送出を制御することを特徴とするサー
バ計算機保護装置。 - 【請求項3】 クライアントから送出されたデータ要求
をサーバに代わり受信する要求受信手段と、 前記要求受信手段が受信したクライアントからサーバ計
算機へのデータ要求について、前記サーバ計算機が過去
の一定期間内に受信した前記データ要求の回数を計測す
る計測手段と、 前記計測手段で計測されたデータ要求の回数を比較の対
象とする閾値を出力する閾値出力手段と、 前記計測手段で計測されたデータ要求の回数を前記閾値
出力手段より出力される閾値と比較する比較手段と、 前記比較手段の比較の結果、前記計測手段で計測したデ
ータ要求の回数が前記閾値を超えた際は前記要求受信手
段が受信したデータ要求を保留し、前記計測手段で計測
したデータ要求の回数が前記閾値を超えない際は前記要
求受信手段が受信したデータ要求をサーバ計算機に送出
するデータ要求送信手段とを具備し、 前記閾値出力手段に、 前記要求受信手段が受信したデータ要求の過去の一定時
間内での保留回数を計数する保留計数手段と、 前記データ要求送信手段からデータ要求を送出した際
に、当該データ要求を受信したサーバ計算機から応答を
受信するまでの所要時間を測定するサーバ応答測定手段
と、 前記比較手段に出力する閾値を保持する保持手段を有
し、一定時間毎に、前記保留計数手段の計数値を入力し
て、当該計数値が一定値以下の場合は前記保持手段の値
を指定した減算率で減算し、前記保留計数手段の計数値
が一定値を超えている場合は予め設定された上限値を超
えない範囲で前記保持手段の値を指定した加算率で加算
する閾値計数手段とを具備して、 前記データ要求送信手段が前記閾値出力手段の前記閾値
計数手段より出力された動的な閾値をもとに、受信した
データ要求の送出を制御することを特徴とするサーバ計
算機保護装置。 - 【請求項4】 前記データ要求送信手段は、保留したデ
ータ要求をそれぞれ異る時間経過の後、再度、サーバ計
算機への送出を試みる手段を具備したことを特徴とする
請求項1または2または3記載のサーバ計算機保護装
置。 - 【請求項5】 前記タイムアウト計数手段は、前記サー
バ応答測定手段で測定した所要時間が予め設定した一定
時間を超えた回数を過去の一定時間内に於いて計数し、
当該計数値が一定値を超えている場合は、閾値計数手段
の値を予め指定の最小値乃至現在の計数値で初期化する
手段をを具備したことを特徴とする請求項2記載のサー
バ計算機保護装置。 - 【請求項6】 前記閾値計数手段を初期化した際の閾値
計数手段の計数値の履歴を保持する閾値初期化履歴保持
手段を具備し、前記閾値計数手段の計数値を加算する加
算率は、前記閾値初期化履歴保持手段に保持された履歴
に基づき決定されることを特徴とする請求項5記載のサ
ーバ計算機保護装置。 - 【請求項7】 クライアントから送出されたデータ要求
をサーバに代わり受信し、当該受信したクライアントか
らサーバ計算機へのデータ要求について、当該サーバ計
算機が過去の一定期間内に受信した前記データ要求の回
数を計測して、当該計測したデータ要求の回数を閾値と
比較し、当該比較の結果に応じて前記受信したデータ要
求を保留し若しくは要求先のサーバ計算機に転送するサ
ーバ計算機保護装置のデータ転送制御方法に於いて、 前記受信したデータ要求の保留状態と前記データ要求を
サーバに送出した際のサーバからの応答状態をもとに前
記閾値を動的に可変制御して、前記クライアントに代わ
り受信したサーバ計算機へのデータ要求が急激に増加し
た際に、前記サーバ計算機保護装置からサーバ計算機へ
転送されるデータ要求の急激な増加を所定の変動範囲内
に抑制するデータ転送制御を行うことを特徴とするサー
バ計算機保護装置のデータ転送制御方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002022486A JP3566699B2 (ja) | 2002-01-30 | 2002-01-30 | サーバ計算機保護装置および同装置のデータ転送制御方法 |
EP03002012A EP1335560B1 (en) | 2002-01-30 | 2003-01-28 | Server computer protection apparatus and method for controlling data transfer by the same |
DE60306823T DE60306823T2 (de) | 2002-01-30 | 2003-01-28 | Schutzvorrichtung und Verfahren für Server-Computer zur Steuerung von Datenübertragung durch dieselbe |
US10/352,904 US7415722B2 (en) | 2002-01-30 | 2003-01-29 | Server computer protection apparatus and method for controlling data transfer by the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002022486A JP3566699B2 (ja) | 2002-01-30 | 2002-01-30 | サーバ計算機保護装置および同装置のデータ転送制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2003224607A true JP2003224607A (ja) | 2003-08-08 |
JP3566699B2 JP3566699B2 (ja) | 2004-09-15 |
Family
ID=27606349
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002022486A Expired - Lifetime JP3566699B2 (ja) | 2002-01-30 | 2002-01-30 | サーバ計算機保護装置および同装置のデータ転送制御方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US7415722B2 (ja) |
EP (1) | EP1335560B1 (ja) |
JP (1) | JP3566699B2 (ja) |
DE (1) | DE60306823T2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008059040A (ja) * | 2006-08-29 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | 負荷制御システムおよび方法 |
JP2020017806A (ja) * | 2018-07-23 | 2020-01-30 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4503934B2 (ja) * | 2002-09-26 | 2010-07-14 | 株式会社東芝 | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 |
JP2005235043A (ja) * | 2004-02-23 | 2005-09-02 | Fujitsu Ltd | 情報処理装置及び方法 |
US7966661B2 (en) * | 2004-04-29 | 2011-06-21 | Microsoft Corporation | Network amplification attack mitigation |
US8203941B2 (en) * | 2004-05-28 | 2012-06-19 | Hewlett-Packard Development Company, L.P. | Virus/worm throttle threshold settings |
US8321573B2 (en) * | 2004-09-17 | 2012-11-27 | Sanyo Electric Co., Ltd. | Communications terminal with optimum send interval |
WO2006110454A1 (en) * | 2005-04-07 | 2006-10-19 | Qualcomm Incorporated | Method and apparatus for throttling access to a shared resource |
DE102005058878B4 (de) * | 2005-12-09 | 2007-08-09 | Infineon Technologies Ag | Datentransfervorrichtung und Verfahren zum Senden von Daten |
WO2007125942A1 (ja) * | 2006-04-26 | 2007-11-08 | Nippon Telegraph And Telephone Corporation | 負荷制御装置およびその方法 |
US9026575B2 (en) * | 2006-09-28 | 2015-05-05 | Alcatel Lucent | Technique for automatically configuring a communication network element |
US8850029B2 (en) * | 2008-02-14 | 2014-09-30 | Mcafee, Inc. | System, method, and computer program product for managing at least one aspect of a connection based on application behavior |
EP2161896A1 (en) * | 2008-09-05 | 2010-03-10 | Zeus Technology Limited | Supplying data files to requesting stations |
US20100153543A1 (en) * | 2008-12-17 | 2010-06-17 | Bo Lee | Method and System for Intelligent Management of Performance Measurements In Communication Networks |
TWI437437B (zh) * | 2009-09-23 | 2014-05-11 | Silicon Motion Inc | 資料接收方法、具有資料接收機制的電子裝置以及儲存系統 |
US9454431B2 (en) * | 2010-11-29 | 2016-09-27 | International Business Machines Corporation | Memory selection for slice storage in a dispersed storage network |
US9251367B2 (en) * | 2011-03-25 | 2016-02-02 | Nec Corporation | Device, method and program for preventing information leakage |
US9800455B1 (en) | 2012-02-08 | 2017-10-24 | Amazon Technologies, Inc. | Log monitoring system |
US10929551B2 (en) * | 2013-03-13 | 2021-02-23 | Comcast Cable Communications, Llc | Methods and systems for managing data assets |
US20150271044A1 (en) * | 2014-03-24 | 2015-09-24 | International Business Machines Corporation | Browser response optimization |
CN104468782B (zh) * | 2014-12-05 | 2017-11-14 | 北京国双科技有限公司 | 网络数据获取方法及装置 |
CN104486414B (zh) * | 2014-12-15 | 2018-04-03 | 北京国双科技有限公司 | 网络数据展示方法及装置 |
CN109842587B (zh) * | 2017-11-27 | 2021-11-12 | 北京京东尚科信息技术有限公司 | 监测系统安全的方法和装置 |
US11201878B2 (en) * | 2018-11-13 | 2021-12-14 | Intel Corporation | Bus-off attack prevention circuit |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5459837A (en) * | 1993-04-21 | 1995-10-17 | Digital Equipment Corporation | System to facilitate efficient utilization of network resources in a computer network |
US6006264A (en) * | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
JP2000172620A (ja) | 1998-12-07 | 2000-06-23 | Nippon Telegr & Teleph Corp <Ntt> | 中継型アプリケーションサーバ負荷制御方法及びシステム及び中継型アプリケーションサーバ負荷制御プログラムを格納した記憶媒体 |
US6442608B1 (en) * | 1999-01-14 | 2002-08-27 | Cisco Technology, Inc. | Distributed database system with authoritative node |
US6693905B1 (en) * | 1999-04-09 | 2004-02-17 | Matsushita Electric Industrial Co., Ltd. | Data exchange unit |
JP2000322365A (ja) | 1999-05-12 | 2000-11-24 | Hitachi Ltd | サーバコンピュータの受付制限方法 |
US7137144B1 (en) | 2000-02-11 | 2006-11-14 | International Business Machines Corporation | Technique of defending against network connection flooding attacks |
US6789203B1 (en) * | 2000-06-26 | 2004-09-07 | Sun Microsystems, Inc. | Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests |
US6799276B1 (en) * | 2000-06-26 | 2004-09-28 | Sun Microsystems, Inc. | Method and apparatus for restraining connection request stream associated with high volume burst client in a distributed network |
US20020138643A1 (en) * | 2000-10-19 | 2002-09-26 | Shin Kang G. | Method and system for controlling network traffic to a network computer |
-
2002
- 2002-01-30 JP JP2002022486A patent/JP3566699B2/ja not_active Expired - Lifetime
-
2003
- 2003-01-28 EP EP03002012A patent/EP1335560B1/en not_active Expired - Lifetime
- 2003-01-28 DE DE60306823T patent/DE60306823T2/de not_active Expired - Fee Related
- 2003-01-29 US US10/352,904 patent/US7415722B2/en not_active Expired - Lifetime
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008059040A (ja) * | 2006-08-29 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | 負荷制御システムおよび方法 |
JP2020017806A (ja) * | 2018-07-23 | 2020-01-30 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
WO2020022209A1 (ja) * | 2018-07-23 | 2020-01-30 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
JP7078850B2 (ja) | 2018-07-23 | 2022-06-01 | 日本電信電話株式会社 | ネットワーク制御装置及びネットワーク制御方法 |
US11451481B2 (en) | 2018-07-23 | 2022-09-20 | Nippon Telegraph And Telephone Corporation | Network control apparatus and network control method |
Also Published As
Publication number | Publication date |
---|---|
US20030145236A1 (en) | 2003-07-31 |
EP1335560A2 (en) | 2003-08-13 |
JP3566699B2 (ja) | 2004-09-15 |
DE60306823D1 (de) | 2006-08-31 |
EP1335560A3 (en) | 2004-03-10 |
US7415722B2 (en) | 2008-08-19 |
EP1335560B1 (en) | 2006-07-19 |
DE60306823T2 (de) | 2007-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2003224607A (ja) | サーバ計算機保護装置および同装置のデータ転送制御方法 | |
US11119956B2 (en) | Dual-driver interface | |
US6772202B2 (en) | Queuing system, method and computer program product for network data transfer | |
JP5189974B2 (ja) | 負荷制御装置およびその方法 | |
JP2007221207A (ja) | 管理装置及び通信システム | |
JP2004164553A (ja) | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 | |
US20050038891A1 (en) | Client server networks | |
KR20130007792A (ko) | 다중 프로세서를 지원하는 인터럽트 발생을 위한 장치 및 방법 | |
US7366785B2 (en) | Communication control apparatus, communication control method and communication control program product | |
WO2007074343B1 (en) | Processing received data | |
EP3031190B1 (en) | Location based technique for detecting devices employing multiple addresses | |
JP4365381B2 (ja) | 通信制御方法及び通信制御装置 | |
US20030002441A1 (en) | Reduction of server overload | |
JP3566700B2 (ja) | サーバ計算機保護装置および同装置のデータ転送制御方法 | |
JP2004179983A (ja) | ネットワーク機器制御システム | |
JP5786733B2 (ja) | 監視装置、プログラム及び監視方法 | |
JP2002016633A (ja) | 通信状態制御方法および通信状態制御システム | |
KR100368108B1 (ko) | 부하 분산기 | |
JPH05219119A (ja) | データ入力規制方式 | |
CN117596310A (zh) | 数据处理方法及装置、处理器 | |
US20030169759A1 (en) | Communication device for processing data received from network | |
JP2006163481A (ja) | データ転送装置及びデータ配信システム | |
KR20210120787A (ko) | 데이터 패킷 손실을 관리하는 이미지 디스플레이 장치 및 방법 | |
CN115987901A (zh) | 报文发送方法、装置、设备及存储介质 | |
JPH04178705A (ja) | 診断装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040528 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040608 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040610 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 3566699 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090618 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100618 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100618 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110618 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120618 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130618 Year of fee payment: 9 |
|
EXPY | Cancellation because of completion of term |