JP2004064694A - Load distribution method for packet collection in communication network, and its device - Google Patents
Load distribution method for packet collection in communication network, and its device Download PDFInfo
- Publication number
- JP2004064694A JP2004064694A JP2002223872A JP2002223872A JP2004064694A JP 2004064694 A JP2004064694 A JP 2004064694A JP 2002223872 A JP2002223872 A JP 2002223872A JP 2002223872 A JP2002223872 A JP 2002223872A JP 2004064694 A JP2004064694 A JP 2004064694A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- rule
- network
- collection
- packet collection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、通信ネットワークにおけるパケット収集の負荷分散方法及びその装置に関するものである。更に詳述すれば本発明は、負荷分散の際に収集するパケットに関して取りこぼしが発生せず、且つTCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することができる通信ネットワークにおけるパケット収集の負荷分散方法及びその装置に関するものである。
【0002】
【従来の技術】
インターネット等の通信ネットワーク内の通信状況を把握する手段として、ネットワーク内を流れているパケットを収集分析する手法が広く用いられている。従来、この手法はネットワーク内のトラフィックを調べるために用いられてきたが、近年、インターネットを介した不正な侵入が増えてくるに従い、収集したパケットを詳しく分析することにより不正な侵入を検知し、利用者に通知を行なうネットワーク侵入検知システムNIDS(Network Intrusion Detection System)が利用されるようになってきた。
【0003】
一方で、ネットワークの速度は年々高速化されており、基幹ネットワークにおいてはGb(ギガビット)/sのオーダのネットワークが利用されることが多くなってきた。このような高速ネットワークにおいては、パケットの収集分析システムの処理能力の問題で、ネットワークを流れるすべてのパケットを収集して分析することが非常に困難になっている。
【0004】
高速ネットワークのトラフィックを測定する際には、受信パケットを一定の割合で間引いて収集分析を行なうことで、分析結果より実トラフィックを推定することが可能であるが、ネットワーク侵入検知システムNIDSでは、受信パケットを間引くことで不正な侵入を見逃すことになりかねず、又TCP(Transmission Control Prorocol)での一連の通信に於いては、通信で用いられている複数のパケットより通信を復元して、不正な通信かどうかを検知するので、高速なネットワークにおいても全てのパケットを受信して分析する必要がある。
【0005】
高速なネットワークにおいて、処理能力が十分ではないパケット収集分析装置を用いて全てのパケットを収集分析する解決策として、複数台のパケット収集分析装置をネットワークに接続して、パケット収集分析処理を負荷分散する方法がある。この方法では、ネットワークを流れるパケットを、複数台のパケット収集分析装置の内の何れか一台で処理を行なえば良いため、一台当たり−が処理するパケット数を減らすことができる。
【0006】
上記の負荷分散に関連して、特開2000−293496号公報には、(1)ネットワーク上で各種サービスを提供しているサーバの負荷を分散する、(2)ネットワーク上において各種サービスを効率良く提供する、という目的を達成するために以下の手段が開示されている。
【0007】
第1の手段は、同種のサービス提供サーバが複数登録されたサービス提供サイトが端末からの求めに応じてサービス情報を提供するネットワークにおいて、前記サービス提供サーバの負荷を分散する装置であって、各サービス提供サーバの負荷状況を検出する負荷分散処理部と、サービス提供サーバの各IPアドレスをサービス提供サイトのドメイン名に対応させて記憶するデータベースを備え、端末からドメイン名を指定してサービス情報の提供要求が受信されると、前記負荷分散処理部によって検出された各サービス提供サーバの負荷状況に基づいて、負荷が軽い方のサービス提供サーバのIPアドレスを当該端末に通知するIPアドレス通知手段である。
【0008】
第2の手段は、上記第1の手段において、負荷分散処理部とIPアドレス通知手段とを各サービス提供サーバが接続されるルータ上に設け、かつ、サービス提供サーバのルータへの接続を検出すると、各サービス提供サーバに自動的にIPアドレスを割り当てた後、このIPアドレスをIPアドレス通知手段に通知するIPアドレス割当手段を備え、前記IPアドレス通知手段は、このIPアドレス割当手段から通知されたIPアドレスを前記データベースに登録するという手段である。
【0009】
そして、特開2001−344227号公報には、ネットワーク内に分散している複数のリソース情報を階層的に監視し、リソース情報データベースを分散することと、ネットワーク内に分散している複数のリソース情報を監視する際の監視トラフィックを軽減することを目的として以下の手段が開示されている。
【0010】
ネットワーク内に分散している複数のリソース情報を収集する階層型リソース監視システムであり、統括管理ステーションと、該統括管理ステーションにネットワークで接続された複数の分散管理ステーションを備え、前記各ステーションのそれぞれは、複数の管理ノードと、リソース情報データベースが接続され、設定された管理項目にしたがい該管理ノードからリソース情報を収集して該リソース情報データベースに格納するリソース情報収集手段と、ステーション間でのリソース情報の転送を行うリソース情報転送手段を備え、前記統括管理ステーションは、管理構成データベースが接続され、該管理構成データベースから各ステーションごとの管理項目を取得し、他のステーションに管理項目を転送し、自ステーションの前記リソース情報収集手段に管理項目を設定する統括管理構成制御手段を備え、前記分散管理ステーションは、統括管理構成制御手段から転送された管理項目を前記リソース情報収集手段に設定する分散管理構成制御手段を備えるようにしている。また、前記リソース情報転送手段は、他のステーションにリソース情報を要求して取得し、他のステーションからリソース情報の要求を受けたときリソース情報データベースを検索して要求されたリソース情報を該他のステーションに転送するようにしている。また、前記分散管理ステーションは、管理項目定義ファイルが接続され、前記分散管理構成制御手段は、前記統括管理構成制御手段から転送された管理項目を該管理項目定義ファイルに格納するようにしている。また、前記分散管理構成制御手段は、分散管理ステーションにおける管理項目が変更された場合、変更内容を前記統括管理構成制御手段に通知し、該統括管理構成制御手段は通知された変更内容を前記管理構成データベースに格納するようにしている。また、前記リソース情報転送手段は、他のステーションからリソース情報の要求に応じて、管理ノードの限定、リソースの種類の限定、リソース収集期間の限定、月平均または、週平均または、日平均による集約を行ってリソース情報を取得し、転送するようにしている。
【0011】
又、特開2002−91936号公報には、サーバへのアクセス集中が突発的に発生した場合においても適切な負荷分散を実現でき、かつ、サーバ・システム全体を高い性能に保つことができる動的負荷分散を実現する負荷分散装置及び方法を実現すること、を目的として以下の手段が提供されている。
【0012】
1)負荷分散装置において、クライアントからのサービス要求パケットのパケット・ヘッダを分析し、当該サービス要求パケットの要求内容に基づいてサーバで実行される処理負荷の大きさを負荷評価値として見積もる手段と、サーバ毎に過去一定時間における振り分けられたサービス要求パケットの負荷評価値の累計値を負荷状態値として保持する手段と、前記負荷状態値をもとにサービス要求を振り分けるサーバを決定する手段を提供する。
【0013】
2)負荷分散装置において、クライアントからのサービス要求パケットのパケット・ヘッダより、要求するサービスの種類、要求するコンテンツ・データのサイズ、要求するコンテンツ・データを生成するための実行プログラムのうち、少なくとも一つを識別する手段と、これらの情報によりサーバで実行される処理負荷の大きさを負荷評価値として見積もる手段を提供する。
【0014】
3)前記2)の負荷見積もりを実現するために、サーバ・システム稼動前、もしくは予備システムにおいて、サーバが提供可能な全サービス、全コンテンツ・データのアクセス要求を各サーバに対して行う手段と、前記要求に対する応答時間を測定する手段と、前記要求に基づいて各サーバが処理を実行する際のCPU負荷を測定する手段と、前記応答時間、CPU負荷、及び、応答データのサイズにより、サービス要求データが各サーバに与える負荷の大きさを示す負荷評価値を求めるためのデータを生成する手段を提供する。
【0015】
【発明が解決しようとする課題】
従来の技術には、以下に説明する問題点があった。
【0016】
上記の開示されている手段・方法では、パケット収集を負荷分散する際に必要な次の条件を満たすものがなかった。
【0017】
第一の条件は、負荷分散の際に、収集するパケットの取りこぼしが発生しないようにする必要があるという点である。それぞれのパケット収集分析装置が単純にパケットを間引いて収集するだけでは、パケットの取りこぼしが発生してしまう。更に、複数のパケット収集分析装置で二重に収集を行なってしまうということが発生するため、何らかの方法で複数のパケット収集分析装置が排他的にパケット収集を行なうように構成する必要がある。
第二の条件は、TCP等、複数のパケットで一連の通信を実現している場合、それらのパケットは一台のパケット収集分析装置で処理する必要があるという点である。TCPによる一連の通信が複数のパケット収集分析装置に跨って収集されると、通信を復元することができず、不正侵入の検出等の処理が困難になってしまい問題である。
【0018】
本発明は、以上の従来技術における問題点を鑑みてなされたものであって、その目的とするところは、上記の2つの条件を満たすパケット収集分析処理の負荷分散方法、つまり負荷分散の際に収集するパケットに関して取りこぼしが発生せず、且つTCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することができる通信ネットワークにおけるパケット収集の負荷分散方法及びその装置を提供することにある。
【0019】
【課題を解決するための手段】
前記課題を解決する本出願第一の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、ネットワーク上を流れるパケットを、ルールを設定したパケット収集分析装置で収集し且つ前記ルールに基づいて分析することを特徴とするものである。
【0020】
従って以上の本出願第一の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、負荷分散の際に収集するパケットに関して取りこぼしが発生せず、且つTCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することが可能となる。
【0021】
前記課題を解決する本出願第二の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記パケットは、該パケットの識別子情報と前記ルールとによって、前記パケット収集分析装置の何れか一台のみに収集分析されることを特徴とするものである。
【0022】
従って以上の本出願第二の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、負荷分散の際に収集するパケットに関して取りこぼしが発生せず、然も重複してパケットを収集することがない。
【0023】
前記課題を解決する本出願第三の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一の発明の通信ネットワークにおけるパケット収集の負荷分散方法高速演算器に於いて、前記パケットの識別子情報と前記ルールとによって、一つのTCPコネクションで用いられる複数のパケットは、全て、特定の一台のパケット収集分析装置に収集分析されることを特徴とするものである。
【0024】
従って以上の本出願第三の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、TCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することが可能となる。
【0025】
前記課題を解決する本出願第四の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一乃至第三の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記パケット収集分析装置は、ネットワーク侵入検知システムであることを特徴とするものである。
【0026】
従って以上の本出願第四の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、収集したパケットを分析することにより、ネットワークへの不正侵入を検知することができる。
【0027】
前記課題を解決する本出願第五の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第四の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記ネットワーク侵入検知システムは、パケット受信部とルールとルール判別部と不正侵入検知部とから構成されることを特徴とするものである。
【0028】
従って以上の本出願第五の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、収集したパケットをルールに従って判別でき、ルールにマッチしたパケットだけを不正侵入検知部で検知することが可能となる。
【0029】
前記課題を解決する本出願第六の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一乃至第三及び第五の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記ルールは、送信元IPアドレスと、送信先IPアドレスとによって設定されていることを特徴とするものである。
【0030】
従って以上の本出願第六の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、負荷分散の際に収集するパケットに関して取りこぼしが発生せず、且つTCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することが可能となる。
【0031】
前記課題を解決する本出願第七の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一乃至第三及び第五の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記ルールは、送信元IPアドレスと送信先IPアドレスと送信元ポートと送信先ポートとにより設定されていることを特徴とするものである。
【0032】
従って以上の本出願第七の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、特定のホストに通信が集中するようなネットワークで、特定のホストの通信を負荷分散して、パケットの収集分析を行なうことが可能となる。
【0033】
前記課題を解決する本出願第八の発明の通信ネットワークにおけるパケット収集の負荷分散方法は、本出願第一の発明の通信ネットワークにおけるパケット収集の負荷分散方法に於いて、前記ルールを前記パケット収集分析装置から独立してルール判別装置として前記パケット収集分析装置の前段に設置してルール判別を行なうようにしたことを特徴とするするものである。
【0034】
従って以上の本出願第八の発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、既存のパケット収集分析システムの構成を大幅に変更することなく、パケットの収集分析処理を行なうことが可能となる。
【0035】
前記課題を解決する本出願第九の発明の通信ネットワークにおけるパケット収集の負荷分散装置は、ネットワークに接続し、該ネットワーク上を流れるパケットを収集分析するパケット収集分析装置であって、該パケット収集分析装置はネットワーク侵入検知システムであることを特徴とするものである。
【0036】
従って以上の本出願第九の発明の通信ネットワークにおけるパケット収集の負荷分散装置によれば、ネットワーク上を流れるパケットをネットワーク侵入検知システムで収集分析することが可能となる。
【0037】
前記課題を解決する本出願第十の発明の通信ネットワークにおけるパケット収集の負荷分散装置は、本出願第九の発明の通信ネットワークにおけるパケット収集の負荷分散装置に於いて、前記ネットワーク侵入検知システムは、パケット受信部と、ルール判定部と、不正侵入検知部と、ルールとから構成され、前記パケット受信部で受信した前記パケットは、該パケットの識別子情報と前記ルールとにより前記ルール判別部で判別され、前記ルールに一致する場合には前記パケットを前記不正侵入検知部に渡し、前記ルールに一致しない場合には前記パケットを破棄するように構成したことを特徴とするものである。
【0038】
従って以上の本出願第十の発明の通信ネットワークにおけるパケット収集の負荷分散装置によれは、負荷分散の際に収集するパケットに関して取りこぼしが発生せず、且つTCPによる一連のパケットを複数台に跨ることなく一台のネットワーク侵入検知ッシステムで収集することが可能となる。
【0039】
前記課題を解決する本出願第十一の発明の通信ネットワークにおけるパケット収集の負荷分散装置は、本出願第九の発明の通信ネットワークにおけるパケット収集の負荷分散装置に於いて、前記ルールは、送信元IPアドレスと送信先IPアドレス、又は前記送信元IPアドレスと前記送信先IPアドレストと送信元ポートと送信先ポートとにより設定されていることを特徴とするものである。
【0040】
従って以上の本出願第十一の通信ネットワークにおけるパケット収集の負荷分散装置によれば、特定のホストに通信が集中するようなネットワークで、特定のホストの通信を負荷分散して、且つ既存のパケット収集分析システムの構成を大幅に変更することなく、パケットの収集分析処理を行なうことが可能となる。
【0041】
本出願第十二の発明の通信ネットワークにおけるパケット収集の負荷分散方法をコンピュータで実行するためのプログラムは、ネットワーク上を流れるパケットを、ルールを設定したパケット収集分析装置で収集し且つ前記ルールに基づいて分析する通信ネットワークにおけるパケット収集の負荷分散方法を実行可能にしたので、本出願の発明の通信ネットワークにおけるパケット収集の負荷分散方法を効率良くコンピュータで実行することができる。
【0042】
本出願第十三の発明の通信ネットワークにおけるパケット収集の負荷分散方法をコンピュータで実行するためのプログラムを記録したコンピュータ読み取り可能な記録媒体は、ネットワーク上を流れるパケットを、ルールを設定したパケット収集分析装置で収集し且つ前記ルールに基づいて分析する通信ネットワークにおけるパケット収集の負荷分散方法をコンピュータで実行するためのプログラムをコンピュータに読み取り効率良く実行することができる。
【0043】
【発明の実施の形態】
本発明の実施の形態を説明する。本発明の通信ネットワークにおけるパケット収集の負荷分散方法は、インターネットなどパケットを用いた通信ネットワークで利用されるネットワークトラフィック測定システムやネットワーク侵入検知システムなどにおける通信パケットの収集動作において、パケットに含まれている識別子情報を用いて、あらかじめ決めておいたルールに従って、パケットのグループ化を行ない、それぞれ異なるグループのパケットのみを収集する装置を複数台設置することで、パケット収集処理の負荷分散を行ない、高速なネットワークにおいてもパケットを取りこぼさずにパケットの収集を可能にする方式を提供するものである。
【0044】
図1は、本発明の通信ネットワークにおけるパケット収集の負荷分散方法及びその装置の、実施の形態を示す概略構成図である。インターネット11と内部ネットワーク12とは、ルータ101とルータ102とを介してネットワーク13で接続されている。
【0045】
ネットワーク13を流れるパケットの収集は、複数台のパケット収集分析装置201〜20nで行なう。パケット収集分析装置201〜20nには、予めパケット収集の際に用いるルール211〜21nが設定されている。ルール211〜21nは、通信パケットのグループ化に用い、パケットに記録されている識別子によって、パケットはルール211〜21nのどれか一つに必ず分類されるように、又一連の通信で用いられる複数のパケットは同じグループに分類されるように、適宜設定されている。
【0046】
パケット収集分析装置201〜20nは、ネットワーク13を流れるパケットを一旦受信し、受信したパケットがパケット収集分析装置に設定されているルール211〜21nを満たしているかどうかを調べる。ルールを満たしている場合は、受信したパケットの収集分析処理を行なうが、ルールを満たしていない場合は、受信したパケットを破棄する。
【0047】
受信したパケットは、ルール211〜21nの内の何れか一つを必ず満たすように設定されているため、受信したパケットを収集分析するのは、常にパケット収集分析装置201〜20nの内の何れか一台になる。これにより、パケット収集処理の負荷分散が可能になる。
【0048】
【実施例】
図2は、本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第一実施例を示す概略構成図である。第一実施例は、インターネット11と内部ネットワーク12とを接続するネットワーク13上を流れるIP(Internet Protocol)パケットを収集して、インターネットからの不正な侵入を検知する構成例であり、インターネット11とネットワーク13とを接続するルータ101と、ネットワーク13と内部ネットワーク12とを接続するルータ102と、ネットワーク13を流れるパケットを収集して不正な侵入を検知するネットワーク侵入検知システム201’〜20n’とから構成されている。尚、ネットワーク侵入検知システム201’〜20n’は、ルータ101とルータ102の間を流れるパケットが全て受信できるようにネットワーク13に接続されている。
【0049】
図3は、ネットワーク侵入検知システム201’〜20n’単体の概略内部構成図である。パケット受信部22nはネットワーク13を流れるパケットを受信して、その後に受信パケットをルール判別部23nに渡す。ルール判別部23nはパケット受信部22nより受信パケットを受け取り、受信パケットに含まれる識別子がルール21nを満たしているかどうかを判別し、ルールを満たしたパケットのみを不正侵入検知部24nに渡す。不正侵入検知部24nはルール判別部23nより受け取ったパケットを分析し、不正侵入を検知する。尚、不正侵入検知部24nは、従来のネットワーク侵入検知システムと同等の構成のものである。
【0050】
次に、図2および図3を参照して本実施例の全体の動作について詳細に説明する。まず、図2において、インターネット11と内部ネットワーク12との間の通信が発生すると、ルータ101とルータ102とを介してネットワーク13にパケットが流れ、そのパケットデータはネットワーク侵入検知システム201’〜20n’の全てにおいて受信される。ネットワーク侵入検知システム201’〜20n’は、設定されているルール211〜21nの内容以外は全て同じ構成であるので、以降、図3を参照して、ネットワーク侵入検知システム20n’の動作について説明する。
【0051】
図3において、ネットワーク侵入検知システム20n’に受信されたパケットデータは、まずパケット受信部22nに入力され、パケットデータをそのままルール判別部23nに渡す。ルール判別部23nでは、パケット受信部22nよりパケットデータを受け取ると、ルール21nを参照して、パケットデータに含まれている識別子がルール21nに設定されているルールとマッチしているかどうかを判別する。ルール21nには複数のルール(サブルール)を設定することが可能であり、複数のサブルールが設定されている場合は、ルール判別部23nは複数のサブルールの内の何れか一つのサブルールにパケットデータの識別子が一致しているかどうかを判別する。
【0052】
ルール判別部23nは、ルール判別を行ない、パケットデータがルール21nに設定されているルールに一致している場合のみ、パケットデータを不正侵入検知部24nに渡し、ルールに一致していない場合は破棄する。このようにして受信したパケットデータに対する処理を終了する。不正侵入検知部24nでは、ルール判別部23nからルールに一致したパケットデータのみを受け取り、受け取ったパケットデータを用いて不正侵入が行なわれているかどうかを検知する。
【0053】
図4は、ルール211〜21nの設定例についての説明図である。図4を参照して、ネットワーク侵入検知システム201’〜20n’に設定されているルール211〜21nについて詳細に説明する。侵入検知の処理を複数のネットワーク侵入検知システムで適切に負荷分散するため、ネットワーク13を流れるパケットは、ネットワーク侵入検出システム201’〜20n’の内の何れか一つで必ず処理されるようにしなければならない。又、TCP(Transmission Control Protocol)を用いた通信の場合、通信ホスト間でコネクションを生成して、複数のパケットにより通信が行なわれるが、侵入検知を行う際には、一つのコネクションによる通信のパケットをまとめて処理を行なう必要があるため、TCPによる通信の侵入検出処理を負荷分散する場合、一つのTCPコネクションで用いられているパケットが一つのネットワーク侵入検出システムで纏めて処理される必要がある。そのために、ルールを設定するに当たり以下の条件を満たす必要がある。
【0054】
(1)受信したパケットの識別子は、ルール211〜21nの何れか一つに必ず一致すること。
(2)一つのTCPコネクションで用いられている複数のパケットの識別子は、同じルールに一致すること。
【0055】
図4に示したルール211〜21nの設定例は、上記の条件を満たしたものである。この設定例では、IPアドレスを識別子として用いており、内部ネットワークで利用されているアドレスの範囲によりグループ分けを行なっている。又、1つのルールは、更に2つのサブルールa、bで構成されている。2つのサブルールa、bを用いて、内部ネットワークアドレスが送信元アドレス、送信先アドレスのどちらの場合でも同じルールに分類されるようになっている。尚、本実施例ではIPパケットをパケットの識別子として用いたが、通信を適切に分類できる識別子であれば、どのような識別子を用いても構わない。
【0056】
次に、具体例を用いて第一実施例の動作を更に説明する。図5は、第一実施例に係わり、具体例を説明する概略構成図である。この具体例において、内部ネットワーク12は、ネットワークアドレスが11.11.10.0、11.11.11.0、11.11.12.0、11.11.13.0で、ネットマスクはそれぞれ255.255.255.0である4つのネットワークで構成されており、それらのネットワークがルータ102に接続されているものとする。
【0057】
又、ネットワーク侵入検出システムは201’〜204’の4台を設置し、ネットワーク侵入検出システム201’には、図6のルール211が設定されているものとする。同様にネットワーク侵入検出システム202’にはルール212が、ネットワーク侵入検出システム203’にはルール213が、ネットワーク侵入検出システム214’にはルール214が設定されているものとする。
【0058】
図7に示すIPアドレスのパケットが、番号順にネットワーク13に流れた場合について説明する。まず番号1のパケットがネットワーク13に流れると、ネットワーク侵入検出システム201’〜204’の全てでパケットデータが受信される。即ち、番号1のパケットは、ネットワーク侵入検出システム201’〜204’で受信され、以下に示すようにそれぞれのネットワーク侵入検出システム内でルール判定が行なわれる。つまり、パケットデータはネットワーク侵入検出システム内部のパケット受信部221〜224で受信され、ルール判別部231〜234に渡され、次いでルール判別部ではルール211〜214と比較が行なわれ、パケットデータのIPアドレスがどのルールにマッチするか比較される。
【0059】
図6より、図7の番号1のパケットは、ルール211のサブルールaにマッチすることが分かる。このため、ルール判別部231でのみパケットデータを不正侵入検知部241に渡し、ルール判別部232〜234ではパケットデータは破棄される。以上の動作により、図7の番号1のパケットはネットワーク侵入検出システム201’で処理される。
【0060】
同様に、図7の番号4、番号7、番号9のパケットは、番号1のパケットと送信元、送信先のIPアドレスが同一なので、ルール211のサブルールaにマッチし、番号1のパケットと同様にネットワーク侵入検出システム201’で処理される。番号2、番号5番号8のパケットは送信元、送信先IPアドレスが同一であり、ルール211のサブルールbにマッチするため、ネットワーク侵入検出システム201’で処理される。番号1、4、7、9のパケットのIPアドレスと、番号2、5、8のパケットのIPアドレスは、送信元と送信先の関係が逆転しているが、どちらもルール211にマッチしているのでネットワーク侵入検出システム201’で処理される。
【0061】
番号3のパケットはルール213のサブルールaにマッチするため、ネットワーク侵入検出システム203’で処理される。番号6のパケットはルール214のサブルールbにマッチするため、ネットワーク侵入検出システム204’で処理される。番号10のパケットはルール213のサブルールbにマッチするため、ネットワーク侵入検出システム203’で処理される。
【0062】
以上のように、内部ネットワークのアドレスによりパケットの処理を行なうネットワーク侵入検出システムが一意に決定され、侵入検出処理が分散化されることとなる。
【0063】
以上で説明したように、実施例によれば、以下の第1、第2、及び第3の効果を発揮する。
【0064】
第1の効果は、パケットの収集分析を行なう処理を、複数のパケット収集分析装置に負荷分散することで、高速なネットワークにおいても、パケットを取りこぼすことなく、ネットワークを流れる全てのパケットを対象とした収集分析が可能となる。
【0065】
その理由は、パケット収集分析装置にそれぞれ設定し分析を行なうパケットを判別するルールに関して、それぞれの装置に設定するルールはそれぞれ排他的な内容とし、更にネットワークを流れるパケットは設定されたルールの何れか1つに必ずマッチするように設定し、パケットは必ず複数のパケット収集分析装置の何れか一台で分析されるように構成したためである。
【0066】
第2の効果は、既存のパケット収集分析システムの構成を大幅に変更することなく、パケットの収集分析処理を負荷分散できることにある。
【0067】
その理由は、既存のパケット収集分析システムにパケットデータを入力する前に、本発明によって処理を行なうパケットデータの選別を行なうことで負荷分散を実現しているためである。例えば図3を参照すると、既存のパケット収集分析システムは図3の不正侵入検知部24nに相当し、不正侵入検知部24nへの入力をルール判別部23nとルール21nとで選別して行なう構成となっている。そのため、不正侵入検知部24nには既存のネットワーク不正侵入システムを適用することが可能である。
【0068】
第3の効果は、パケットの収集分析処理を行なう際に、パケットの収集分析を行なう複数の装置間で処理の同期を行なったり、情報のやり取りを行なうことなく負荷分散できることにある。
【0069】
その理由は、各パケット収集分析装置において、あらかじめ装置間で排他的になるように設定したルールを用いてパケットを選別することで処理の負荷分散を実現しているためである。
【0070】
次に、本発明の第二実施例について図面を参照して詳細に説明する。図8は、本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第二実施例を示した概略構成図である。
【0071】
図8を参照すると、第二実施例では、パケット収集分析装置内にルールを備えずに、ルールを設定していないパケット収集分析装置がネットワーク13とルール判別部301〜30nを介して接続されている点が、第一実施例と異なる。第二実施例では、図3のパケット受信部22n、ルール判別部23n、ルール21nをルール判別装置として取り出したものであり、既存のパケット収集分析装置を用いて本発明の負荷分散を実現する実施例である。
【0072】
第二実施例の動作は、第一実施例の動作とほぼ同じである。図3における不正侵入検知部24nが第二実施例ではパケット収集分析装置20nに相当し、図2及び図3の第一実施例ではルール判別部23nの出力が装置内部で不正侵入検知部24nに渡されるが、第二実施例ではルール判別部23nの出力はルール判別装置301〜30nから出力され、パケット収集分析装置201〜20nに渡される。内部構成が多少異なるだけであるので、達成される効果は第一実施例と全く同様である。
【0073】
次に、本発明の第三実施例について図面を参照して詳細に説明する。図9は、本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第三の実施例に係わり、ルール設定例についての説明図である。
【0074】
第三実施例では、5台の装置に負荷分散を行ない、特定のホストに通信が集中するようなネットワークで、負荷分散を行なうためにどのようにルールを設定したら良いか、そのルール設定の一例を示している。第三実施例では、特定のホストへの通信を分散して収集するために、IPアドレスの他にTCPP、UDP(User Datagram Protocol)の通信で使用されるポート番号をも用いてルールを設定している。
【0075】
5つのルールのうち、ルール211〜ルール214に通信が集中するホスト11.11.10.1のTCP、UDPの通信がマッチするように設定し、その他の通信はルール215にマッチするように設定している。特定のホストに通信が集中する場合、通常は特定のホストの特定のポート番号(例えばWWWサーバであればポート番号80)に通信が集中するため、ルール211〜ルール214では、送信元IPアドレスと送信先ポートを組み合わせて(或いは送信先IPアドレスと送信元ポートを組み合わせて)ルールを設定している。
【0076】
TCPの通信の場合は、一連の通信は同じパケット収集分析装置で処理されることが望ましいため、一連の通信は同じルールにマッチする必要があるが、TCPによる一連の通信ではポート番号は変更されないので、ルール211〜ルール214において、一連の通信で利用されているパケットは同じルールにマッチすることになる。このように設定することで、特定のホストの通信を負荷分散してパケットの収集分析を行なうことが可能となる。
【0077】
【発明の効果】
本発明の通信ネットワークにおけるパケット収集の負荷分散方法によれば、パケット収集分析装置に、パケットを判別するルールを設定し、それぞれの装置に設定するルールはそれぞれ排他的な内容とし、且つネットワークを流れるパケットは設定されたルールの何れか1つに必ずマッチするように設定したので、以下のような優れた効果を発揮する。
(1)高速なネットワークにおいても、パケットの取りこぼすことなく、ネットワークを流れるすべてのパケットを対象とした収集分析が可能となる。
(2)TCPによる一連のパケットを複数台に跨ることなく一台のパケット収集分析装置で収集することができる。
(3)既存のパケット収集分析システムの構成を大幅に変更することなく、パケットの収集分析処理を負荷分散できる。
(4)パケットの収集分析処理を行なう際に、パケットの収集分析を行なう複数の装置間で処理の同期を行なったり、情報のやり取りを行なうことなく負荷分散できる。
【図面の簡単な説明】
【図1】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の実施の形態を示す概略構成図である。
【図2】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第一実施例を示す概略構成図である。
【図3】図2のネットワーク侵入検知システムの概略内部構成図である。
【図4】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第一実施例に係わり、ルールの設定例についての説明図である。
【図5】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第一実施例に係わり、具体例を説明する概略構成図である。
【図6】図5の具体例に係わり、ルールの設定例についての説明図である。
【図7】図5の具体例に係わり、IPアドレスについての説明図である。
【図8】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第二実施例を示す概略構成図である。
【図9】本発明の通信ネットワークにおけるパケット収集の負荷分散方法の第三実施例に係わり、ルールの設定例についての説明図である。
【符号の説明】
11 インターネット
12 内部ネットワーク
13 ネットワーク
101、102 ルータ
201、202、・・・20n パケット収集分析装置
201’、202’、・・・20n’ ネットワーク侵入検知システム
211、212、・・・21n ルール
221、222、・・・22n パケット受信部
231、232、・・・23n ルール判別部
241、242、・・・24n 不正侵入検知部
301、302、・・・30n ルール判別装置
IP Internet Protocol
TCP Transmission Control Protocol
UDP User Datagram Protocol
WWW World Wide Web[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a load distribution method and apparatus for packet collection in a communication network. More specifically, according to the present invention, a single packet collection / analysis device can prevent a packet to be collected at the time of load distribution from being missed, and a series of packets by TCP without straddling a plurality of packets. The present invention relates to a load distribution method and apparatus for packet collection in a communication network.
[0002]
[Prior art]
As a means for grasping the communication status in a communication network such as the Internet, a method of collecting and analyzing packets flowing in the network is widely used. Traditionally, this method has been used to examine traffic in the network, but in recent years, as the number of unauthorized intrusions via the Internet has increased, fraudulent intrusions have been detected by analyzing the collected packets in detail, A network intrusion detection system NIDS (Network Intrusion Detection System) for notifying users has been used.
[0003]
On the other hand, the speed of networks is increasing year by year, and networks of the order of Gb (gigabit) / s are often used in backbone networks. In such a high-speed network, it is very difficult to collect and analyze all packets flowing through the network due to the problem of the processing capability of the packet collection and analysis system.
[0004]
When measuring high-speed network traffic, actual traffic can be estimated from the analysis result by thinning out received packets at a fixed rate and performing collection analysis. However, the network intrusion detection system NIDS does not By thinning out the packets, an unauthorized intrusion may be overlooked. In a series of communication by TCP (Transmission Control Protocol), the communication is restored from a plurality of packets used in the communication, and the illegal intrusion is restored. It is necessary to receive and analyze all packets even in a high-speed network because it detects whether the communication is appropriate.
[0005]
In a high-speed network, as a solution to collect and analyze all packets using a packet collection and analysis device with insufficient processing capacity, connect multiple packet collection and analysis devices to the network and distribute the load of the packet collection and analysis process. There is a way to do that. According to this method, any one of a plurality of packet collection / analysis devices may process a packet flowing through the network, so that the number of packets processed per − can be reduced.
[0006]
In connection with the above load distribution, Japanese Patent Application Laid-Open No. 2000-293496 discloses that (1) distribute the load of a server providing various services on a network, and (2) efficiently distribute various services on a network. In order to achieve the purpose of providing, the following means are disclosed.
[0007]
A first means is an apparatus for distributing the load of the service providing server in a network in which a service providing site in which a plurality of service providing servers of the same type are registered provides service information in response to a request from a terminal, A load distribution processing unit for detecting a load state of the service providing server; and a database for storing each IP address of the service providing server in association with a domain name of the service providing site. When the provision request is received, based on the load status of each service providing server detected by the load distribution processing unit, the IP address notifying means for notifying the terminal of the IP address of the service providing server with a lighter load to the terminal. is there.
[0008]
The second means is that, in the first means, the load distribution processing unit and the IP address notifying means are provided on a router to which each service providing server is connected, and when the connection of the service providing server to the router is detected. Automatically assigning an IP address to each service providing server, and then notifying the IP address to an IP address notifying unit, wherein the IP address notifying unit is notified by the IP address notifying unit. This is a means for registering an IP address in the database.
[0009]
Japanese Patent Application Laid-Open No. 2001-344227 discloses that a plurality of resource information distributed in a network are hierarchically monitored, a resource information database is distributed, and a plurality of resource information distributed in the network are distributed. The following means are disclosed for the purpose of reducing the monitoring traffic when monitoring the traffic.
[0010]
A hierarchical resource monitoring system that collects information on a plurality of resources distributed in a network, comprising a central management station, and a plurality of distributed management stations connected to the central management station via a network. A plurality of management nodes, a resource information database is connected, resource information collection means for collecting resource information from the management nodes according to set management items, and storing the resource information in the resource information database; A resource information transfer unit for transferring information, wherein the central management station is connected to a management configuration database, acquires a management item for each station from the management configuration database, transfers the management item to another station, The resources of the own station The information management means includes a general management configuration control means for setting management items, and the distributed management station includes a distributed management configuration control means for setting the management items transferred from the general management configuration control means to the resource information collection means. Like that. Further, the resource information transfer means requests and obtains resource information from another station, and when receiving a request for resource information from another station, searches the resource information database to retrieve the requested resource information from the other station. Transfer to the station. The distributed management station is connected to a management item definition file, and the distributed management configuration control means stores the management items transferred from the general management configuration control means in the management item definition file. Further, when the management item in the distributed management station is changed, the distributed management configuration control means notifies the general management configuration control means of the change, and the general management configuration control means manages the notified change content in the management. It is stored in the configuration database. In addition, the resource information transfer unit may limit management nodes, limit resource types, limit resource collection periods, monthly average, weekly average, or daily average in response to a request for resource information from another station. To obtain and transfer resource information.
[0011]
Japanese Patent Application Laid-Open No. 2002-91936 discloses a dynamic load control system capable of realizing appropriate load distribution even when access concentration to a server suddenly occurs and maintaining the entire server system at high performance. The following means are provided for the purpose of realizing a load distribution apparatus and method for realizing load distribution.
[0012]
1) means for analyzing a packet header of a service request packet from a client in a load distribution device, and estimating, as a load evaluation value, a magnitude of a processing load executed by a server based on the request content of the service request packet; Provided are means for holding, as a load state value, the cumulative value of the load evaluation values of the service request packets distributed in the past fixed time for each server, and means for determining the server to which the service request is distributed based on the load state value. .
[0013]
2) In the load distribution device, at least one of the type of the requested service, the size of the requested content data, and the execution program for generating the requested content data from the packet header of the service request packet from the client. And means for estimating the magnitude of the processing load executed by the server as a load evaluation value based on the information.
[0014]
3) means for making an access request for all services and all content data that can be provided by the server to each server before the server system is operated or in the spare system in order to realize the load estimation of 2) above; Means for measuring a response time to the request, means for measuring a CPU load when each server executes processing based on the request, and a service request based on the response time, the CPU load, and the size of the response data. A means is provided for generating data for obtaining a load evaluation value indicating a magnitude of a load applied to each server by the data.
[0015]
[Problems to be solved by the invention]
The prior art has the problems described below.
[0016]
None of the means and methods disclosed above satisfy the following conditions necessary for load distribution of packet collection.
[0017]
The first condition is that it is necessary to prevent a packet to be collected from being missed during load distribution. If each packet collection / analysis device simply collects the packets by thinning them out, packets will be missed. Furthermore, since it may occur that a plurality of packet collection / analysis devices perform double collection, a plurality of packet collection / analysis devices must be configured to exclusively collect packets by some method.
The second condition is that when a series of communication is realized by a plurality of packets such as TCP, those packets need to be processed by one packet collection / analysis device. If a series of TCP communication is collected across a plurality of packet collection / analysis devices, communication cannot be restored, and processing such as detection of unauthorized intrusion becomes difficult.
[0018]
The present invention has been made in view of the above-described problems in the related art, and an object thereof is to provide a load distribution method of a packet collection analysis process that satisfies the above two conditions, that is, a load distribution method. Provided is a packet collection load distribution method and apparatus in a communication network in which a packet to be collected does not drop and a series of packets by TCP can be collected by one packet collection and analysis device without straddling a plurality of packets. Is to do.
[0019]
[Means for Solving the Problems]
According to a first aspect of the present invention, there is provided a load distribution method for collecting packets in a communication network, wherein a packet flowing on the network is collected by a packet collection / analysis device in which a rule is set and analyzed based on the rule. It is characterized by the following.
[0020]
Therefore, according to the load distribution method of packet collection in the communication network of the first invention of the present application described above, a packet to be collected at the time of load distribution does not drop, and a series of packets by TCP extends over a plurality of packets. And it is possible to collect the data with one packet collection analyzer.
[0021]
The load balancing method for packet collection in the communication network according to the second invention of the present application that solves the above-mentioned problem is a load balancing method for packet collection in the communication network according to the first invention of the present application, wherein the packet is a packet of the packet. According to another aspect of the present invention, only one of the packet collection / analysis devices is collected and analyzed based on the identifier information and the rule.
[0022]
Therefore, according to the load distribution method of packet collection in the communication network of the second invention of the present application described above, the packets to be collected at the time of load distribution do not drop, and the packets are not redundantly collected. .
[0023]
In order to solve the above-mentioned problem, a load distribution method for packet collection in a communication network according to the third invention of the present application is a method for distributing load for packet collection in a communication network according to the first invention of the present application, wherein According to the information and the rules, a plurality of packets used in one TCP connection are all collected and analyzed by one specific packet collection and analysis device.
[0024]
Therefore, according to the load distribution method of packet collection in the communication network of the third invention of the present application, a series of packets by TCP can be collected by one packet collection and analysis device without straddling a plurality of packets. .
[0025]
In order to solve the above problem, the load distribution method of packet collection in the communication network according to the fourth invention of the present application is a method according to the load distribution method of packet collection in the communication network of the first to third inventions of the present application. The device is a network intrusion detection system.
[0026]
Therefore, according to the load distribution method of packet collection in the communication network of the fourth invention of the present application, by analyzing the collected packets, it is possible to detect unauthorized intrusion into the network.
[0027]
In order to solve the above problems, the load distribution method of packet collection in the communication network of the fifth invention of the present application is a load distribution method of packet collection in the communication network of the fourth invention of the present application, wherein the network intrusion detection system comprises: It comprises a packet receiving section, a rule, a rule discriminating section, and an unauthorized intrusion detecting section.
[0028]
Therefore, according to the load distribution method of packet collection in the communication network of the fifth invention of the present application, the collected packets can be determined according to the rules, and only the packets that match the rules can be detected by the unauthorized intrusion detecting unit. Become.
[0029]
The load balancing method of packet collection in the communication network of the sixth invention of the present application that solves the above-mentioned problem is the load balancing method of packet collection in the communication network of the first to third and fifth inventions of the present application. The rule is characterized by being set by a source IP address and a destination IP address.
[0030]
Therefore, according to the load distribution method for packet collection in the communication network of the sixth invention of the present application described above, a packet to be collected at the time of load distribution does not drop, and a series of packets by TCP extends over a plurality of packets. And it is possible to collect the data with one packet collection analyzer.
[0031]
The load balancing method of packet collection in the communication network of the seventh invention of the present application that solves the above-mentioned problem is the load balancing method of packet collection in the communication network of the first to third and fifth inventions of the present application. The rule is characterized by being set by a source IP address, a destination IP address, a source port, and a destination port.
[0032]
Therefore, according to the load distribution method of packet collection in the communication network of the seventh invention of the present application, in a network in which communication is concentrated on a specific host, the load of the communication of the specific host is distributed to collect the packet. Analysis can be performed.
[0033]
In order to solve the above problem, the load distribution method of packet collection in the communication network according to the eighth invention of the present application is the load distribution method of packet collection in the communication network of the first invention of the present application. The apparatus is characterized in that a rule discriminating apparatus is installed in front of the packet collection and analysis apparatus independently of the apparatus and performs rule discrimination.
[0034]
Therefore, according to the load distribution method of packet collection in the communication network of the eighth invention of the present application, it is possible to perform packet collection and analysis processing without significantly changing the configuration of an existing packet collection and analysis system. Become.
[0035]
According to a ninth aspect of the present invention, there is provided a packet collection and load analyzing apparatus for collecting and analyzing packets flowing through a network, the packet collection and analysis apparatus being connected to a network. The device is a network intrusion detection system.
[0036]
Therefore, according to the load distribution apparatus for packet collection in the communication network of the ninth invention of the present application, it is possible to collect and analyze packets flowing on the network by the network intrusion detection system.
[0037]
The load balancing device for packet collection in the communication network of the tenth invention of the present application that solves the above problem is a load balancing device for packet collection in the communication network of the ninth invention of the present application, wherein the network intrusion detection system comprises: A packet receiving unit, a rule determining unit, an unauthorized intrusion detecting unit, and a rule, wherein the packet received by the packet receiving unit is determined by the rule determining unit based on the identifier information of the packet and the rule. When the packet matches the rule, the packet is passed to the unauthorized intrusion detection unit, and when the packet does not match the rule, the packet is discarded.
[0038]
Therefore, according to the load distribution device for packet collection in the communication network of the tenth invention of the present application, the packet to be collected at the time of load distribution does not drop, and a series of packets by TCP extends over a plurality of units. And it can be collected by one network intrusion detection system.
[0039]
The load balancing device for packet collection in the communication network of the eleventh invention of the present application which solves the above-mentioned problem is a load balancing device for packet collection in the communication network of the ninth invention of the present application, wherein the rule The IP address and the destination IP address, or the source IP address, the destination IP address, the source port, and the destination port are set.
[0040]
Therefore, according to the packet distribution load distribution device in the eleventh communication network of the present application, in a network in which communication is concentrated on a specific host, the communication of the specific host is load-balanced and the existing packet is distributed. The packet collection / analysis process can be performed without significantly changing the configuration of the collection / analysis system.
[0041]
A program for causing a computer to execute the load distribution method of packet collection in a communication network according to the twelfth invention of the present application is a program for collecting packets flowing on a network by a packet collection / analysis device in which rules are set, and based on the rules Since the load distribution method of packet collection in the communication network to be analyzed in the communication network can be executed, the load distribution method of packet collection in the communication network of the present invention can be efficiently executed by a computer.
[0042]
A computer-readable recording medium having recorded thereon a program for executing the load distribution method of packet collection in a communication network according to the thirteenth aspect of the present invention by a computer is provided. A program for executing a load distribution method of packet collection in a communication network, which is collected by an apparatus and analyzed based on the rule, can be read by a computer and efficiently executed by the computer.
[0043]
BEST MODE FOR CARRYING OUT THE INVENTION
An embodiment of the present invention will be described. The load distribution method for packet collection in a communication network according to the present invention is included in a packet in a communication packet collection operation in a network traffic measurement system or a network intrusion detection system used in a communication network using a packet such as the Internet. Using the identifier information, the packets are grouped according to a predetermined rule, and a plurality of devices that collect only the packets of different groups are installed. An object of the present invention is to provide a method for collecting packets without dropping packets even in a network.
[0044]
FIG. 1 is a schematic configuration diagram showing an embodiment of a method and an apparatus for load distribution of packet collection in a communication network according to the present invention. The
[0045]
The collection of packets flowing through the
[0046]
The packet collection /
[0047]
Since the received packet is set so as to always satisfy any one of the
[0048]
【Example】
FIG. 2 is a schematic configuration diagram showing a first embodiment of a load distribution method for packet collection in a communication network according to the present invention. The first embodiment is a configuration example in which IP (Internet Protocol) packets flowing over a
[0049]
FIG. 3 is a schematic internal configuration diagram of the network
[0050]
Next, the overall operation of this embodiment will be described in detail with reference to FIGS. First, in FIG. 2, when communication between the
[0051]
In FIG. 3, the packet data received by the network
[0052]
The
[0053]
FIG. 4 is an explanatory diagram of a setting example of the
[0054]
(1) The identifier of the received packet must match any one of the
(2) The identifiers of a plurality of packets used in one TCP connection must match the same rule.
[0055]
The setting examples of the
[0056]
Next, the operation of the first embodiment will be further described using a specific example. FIG. 5 is a schematic configuration diagram illustrating a specific example according to the first embodiment. In this specific example, the
[0057]
It is also assumed that four network intrusion detection systems 201 'to 204' are installed, and the
[0058]
A case will be described where the packets of the IP addresses shown in FIG. First, when the packet of the
[0059]
From FIG. 6, it can be seen that the packet of
[0060]
Similarly, since the packets No. 4, No. 7, and No. 9 in FIG. 7 have the same source and destination IP addresses as the No. 1 packet, they match the sub-rule a of the
[0061]
Since the packet of the
[0062]
As described above, the network intrusion detection system that performs packet processing based on the address of the internal network is uniquely determined, and the intrusion detection processing is distributed.
[0063]
As described above, according to the embodiment, the following first, second, and third effects are exhibited.
[0064]
The first effect is that the processing of collecting and analyzing packets is load-balanced among a plurality of packet collecting and analyzing apparatuses, so that even in a high-speed network, all packets flowing through the network can be targeted without dropping packets. Collected analysis can be performed.
[0065]
The reason is that, regarding the rules for setting packets to be analyzed in the packet collection and analysis device, the rules to be set in each device have exclusive contents, and the packets flowing through the network must be one of the set rules. This is because it is set so that one packet is always matched, and the packet is always analyzed by any one of the plurality of packet collection / analysis devices.
[0066]
The second effect is that the load of the packet collection / analysis processing can be distributed without significantly changing the configuration of the existing packet collection / analysis system.
[0067]
The reason is that load distribution is realized by selecting packet data to be processed according to the present invention before inputting the packet data into the existing packet collection and analysis system. For example, referring to FIG. 3, the existing packet collection / analysis system corresponds to the unauthorized
[0068]
A third effect is that when performing packet collection / analysis processing, the load can be distributed without synchronizing processes or exchanging information between a plurality of devices that perform packet collection / analysis.
[0069]
The reason for this is that in each packet collection / analysis device, processing load distribution is realized by selecting packets using rules set in advance to be exclusive among the devices.
[0070]
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. FIG. 8 is a schematic configuration diagram showing a second embodiment of the load distribution method for packet collection in the communication network of the present invention.
[0071]
Referring to FIG. 8, in the second embodiment, a packet collection / analysis device that does not have a rule in the packet collection / analysis device and has no rule set is connected to the
[0072]
The operation of the second embodiment is almost the same as the operation of the first embodiment. The unauthorized
[0073]
Next, a third embodiment of the present invention will be described in detail with reference to the drawings. FIG. 9 is an explanatory diagram of a rule setting example according to the third embodiment of the load distribution method of packet collection in the communication network of the present invention.
[0074]
In the third embodiment, an example of how to set rules to perform load distribution in a network in which communication is concentrated on a specific host by performing load distribution on five devices, and an example of the rule setting Is shown. In the third embodiment, a rule is set using a port number used in TCPP and UDP (User Datagram Protocol) communication in addition to an IP address in order to collect and collect communication to a specific host. ing.
[0075]
Of the five rules, TCP and UDP communications of the host 11.11.10.1 where communication concentrates on the
[0076]
In the case of TCP communication, since a series of communications is desirably processed by the same packet collection and analysis device, the series of communications must match the same rule, but the port number is not changed in the series of TCP communications Therefore, in
[0077]
【The invention's effect】
According to the load distribution method of packet collection in the communication network of the present invention, rules for discriminating packets are set in the packet collection / analysis device, rules set for each device have exclusive contents, and flow through the network. Since the packet is set so as to always match any one of the set rules, the following excellent effects are exhibited.
(1) Even in a high-speed network, collection and analysis of all packets flowing through the network can be performed without dropping packets.
(2) A single packet collection / analysis device can collect a series of packets by TCP without straddling a plurality of packets.
(3) The load of packet collection and analysis processing can be distributed without significantly changing the configuration of an existing packet collection and analysis system.
(4) When performing the packet collection / analysis processing, the load can be distributed without synchronizing the processing and exchanging information between a plurality of devices that perform the packet collection / analysis.
[Brief description of the drawings]
FIG. 1 is a schematic configuration diagram illustrating an embodiment of a load distribution method for packet collection in a communication network according to the present invention.
FIG. 2 is a schematic configuration diagram showing a first embodiment of a load distribution method of packet collection in a communication network according to the present invention.
FIG. 3 is a schematic internal configuration diagram of the network intrusion detection system of FIG. 2;
FIG. 4 is an explanatory diagram of a rule setting example according to a first embodiment of a packet collection load distribution method in a communication network of the present invention.
FIG. 5 is a schematic configuration diagram illustrating a specific example according to the first embodiment of the load distribution method of packet collection in the communication network of the present invention.
FIG. 6 is an explanatory diagram of an example of setting rules according to the specific example of FIG. 5;
FIG. 7 is an explanatory diagram of an IP address according to the specific example of FIG. 5;
FIG. 8 is a schematic configuration diagram showing a second embodiment of the load distribution method of packet collection in the communication network of the present invention.
FIG. 9 is an explanatory diagram of a rule setting example according to a third embodiment of the packet collection load distribution method in the communication network of the present invention.
[Explanation of symbols]
11 Internet
12 Internal network
13 Network
101, 102 router
201, 202,... 20n packet collection / analysis device
201 ', 202', ... 20n 'Network intrusion detection system
211, 212,... 21n rule
221, 222,... 22n packet receiving unit
231, 232,... 23n rule discriminator
241, 242,... 24n Intrusion detection section
.., 30n rule discriminating apparatus
IP Internet Protocol
TCP Transmission Control Protocol
UDP User Datagram Protocol
WWW World Wide Web
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002223872A JP2004064694A (en) | 2002-07-31 | 2002-07-31 | Load distribution method for packet collection in communication network, and its device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002223872A JP2004064694A (en) | 2002-07-31 | 2002-07-31 | Load distribution method for packet collection in communication network, and its device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004064694A true JP2004064694A (en) | 2004-02-26 |
Family
ID=31943518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002223872A Pending JP2004064694A (en) | 2002-07-31 | 2002-07-31 | Load distribution method for packet collection in communication network, and its device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004064694A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010512035A (en) * | 2006-11-14 | 2010-04-15 | エフエムアール エルエルシー | Detection and prohibition of fraud in the network |
JP2010178299A (en) * | 2009-02-02 | 2010-08-12 | Hitachi Ltd | Frame capturing system and frame captureing method |
-
2002
- 2002-07-31 JP JP2002223872A patent/JP2004064694A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010512035A (en) * | 2006-11-14 | 2010-04-15 | エフエムアール エルエルシー | Detection and prohibition of fraud in the network |
JP2010178299A (en) * | 2009-02-02 | 2010-08-12 | Hitachi Ltd | Frame capturing system and frame captureing method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4667437B2 (en) | Abnormal traffic detection apparatus, abnormal traffic detection method, and abnormal traffic detection program | |
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
US8180892B2 (en) | Apparatus and method for multi-user NAT session identification and tracking | |
US6363477B1 (en) | Method for analyzing network application flows in an encrypted environment | |
JP4774357B2 (en) | Statistical information collection system and statistical information collection device | |
US9485155B2 (en) | Traffic analysis of data flows | |
US7623466B2 (en) | Symmetric connection detection | |
US8789135B1 (en) | Scalable stateful firewall design in openflow based networks | |
US8260907B2 (en) | Methods, systems and computer program products for triggered data collection and correlation of status and/or state in distributed data processing systems | |
US7889656B2 (en) | Binned duration flow tracking | |
US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
KR101295708B1 (en) | Apparatus for capturing traffic and apparatus, system and method for analyzing traffic | |
CN101803305A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US8005000B1 (en) | Effective measurement/notification of SLA in a service oriented networked environment | |
JP6783261B2 (en) | Threat information extraction device and threat information extraction system | |
Moustafa et al. | Flow aggregator module for analysing network traffic | |
JP4985435B2 (en) | Monitoring and analyzing apparatus, method, and program | |
CN101854366B (en) | Peer-to-peer network flow-rate identification method and device | |
JP3943581B1 (en) | Apparatus and method for detecting a load balancing system. | |
JP4246238B2 (en) | Traffic information distribution and collection method | |
US20060067220A1 (en) | Port tracking on dynamically negotiated ports | |
JP2004064694A (en) | Load distribution method for packet collection in communication network, and its device | |
Moradi et al. | On collection of large-scale multi-purpose datasets on internet backbone links | |
Rajaboevich et al. | Analysis of methods for measuring available bandwidth and classification of network traffic | |
JP2008135871A (en) | Network monitoring system, network monitoring method, and network monitoring program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040427 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050726 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050802 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051003 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060117 |