JP2006195924A - Network compatible electronic device - Google Patents
Network compatible electronic device Download PDFInfo
- Publication number
- JP2006195924A JP2006195924A JP2005009560A JP2005009560A JP2006195924A JP 2006195924 A JP2006195924 A JP 2006195924A JP 2005009560 A JP2005009560 A JP 2005009560A JP 2005009560 A JP2005009560 A JP 2005009560A JP 2006195924 A JP2006195924 A JP 2006195924A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- data
- threshold
- electronic device
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークに接続可能な電子機器に関し、より特定的には、ネットワーク上のトラフィックの制御が可能な電子装置に関する。 The present invention relates to an electronic device connectable to a network, and more particularly to an electronic device capable of controlling traffic on the network.
近年、インターネットに代表されるコンピュータネットワークやネットワーク接続機器の普及に伴い、ADSLやFTTHといったインターネットへの常時接続環境が、企業または家庭へ盛んに導入されている。これに伴って、家庭などにおいて利用される電化製品の多くが、ネットワーク接続のためのインタフェースを持ち始めており、ネットワーク接続が可能となってきている(以下、ネットワークに接続可能な電化製品をネット家電と記す)。 In recent years, with the spread of computer networks and network connection devices typified by the Internet, an environment for constant connection to the Internet such as ADSL and FTTH has been actively introduced into businesses and homes. Along with this, many appliances used in homes and the like have begun to have an interface for network connection, and network connection has become possible (hereinafter, electric appliances that can be connected to a network are referred to as network appliances). ).
しかし、ネット家電が宅外ネットワークと常時接続されることによって、宅内に接続されたネット家電は、不正アクセスなどの攻撃対象となる可能性がある。不正アクセスとは、外部ネットワークから行われる不正な攻撃のことである。たとえば、不正アクセスとして、ネット家電への不正侵入や、ネット家電に対して大量のデータを送信することによってサービスを不能にする攻撃(DDoS Attack)、宅内システムの脆弱性を狙った攻撃などがある。このような攻撃を受けることによって、ネット家電の使用者が気づかないうちに、攻撃を受けた当該ネット家電が、踏み台となって、他の機器に対して、新たな不正アクセスを行ってしまう可能性がある。たとえば、ネット家電がウィルスやワームに感染することによって、感染したネット家電が外部の機器にDoS攻撃を仕掛けてしまう場合がある。また、ネット家電そのものに存在する不具合やソフトウエアバグによっても、外部の不正アクセスを行ってしまう場合がある。このような不正アクセスは、一般的に、大量のデータを送信することが多く、トラフィックを異常に増大させてしまう。 However, when the home appliance is always connected to the outside network, the home appliance connected to the home may be an attack target such as unauthorized access. Unauthorized access is an unauthorized attack made from an external network. For example, as unauthorized access, there are illegal intrusions into internet home appliances, attacks that disable services by sending large amounts of data to internet home appliances (DDoS Attack), attacks targeting vulnerabilities in home systems, etc. . By receiving such an attack, the user of the home appliance may become aware of the unauthorized access to other devices without being aware of the user of the home appliance. There is sex. For example, when an internet home appliance is infected with a virus or a worm, the infected internet home appliance may cause a DoS attack to an external device. In addition, external unauthorized access may occur due to problems or software bugs existing in the Internet home appliance itself. Such unauthorized access generally transmits a large amount of data, and increases traffic abnormally.
従来、不正アクセスを防止するためのシステムとして、侵入検知システム(Intrusion Detection System)が提案されている。侵入検知システムは、たとえば、不正アクセスを検出するために、攻撃と推測されるパケットの特徴をパターン化したパターンデータ(シグネチャ)を用い、ネットワーク上を流れるパケットとシグネチャとを比較し、比較結果が一致すれば、攻撃を受けている可能性があるとして、不正アクセスを防止するための手段を講じる。シグネチャを用いる侵入検知システムは、シグネチャ型と呼ばれる。 Conventionally, an intrusion detection system (Intrusion Detection System) has been proposed as a system for preventing unauthorized access. For example, in order to detect unauthorized access, the intrusion detection system uses pattern data (signature) obtained by patterning the characteristics of a packet that is presumed to be an attack, and compares the packet flowing over the network with the signature. If they match, it is possible that an attack has occurred and measures are taken to prevent unauthorized access. Intrusion detection systems that use signatures are called signature types.
また、ネットワーク・機器間のトラフィックを計測することによって、攻撃を受けているか否かを判断し、トラフィックが一定の制限値を超えた場合、攻撃を受けているとして、不正アクセスを防止するための手段を講じるシステムが提案されている(特許文献1参照)。不正アクセスを防止するための手段として、特許文献1に記載のシステムは、インターネットからネット家電に対して送信されたデータの量と当該データを送信してきた送信元のIPアドレスとを、所定時間毎に測定し、測定したデータ量が予め設定されている規定値以上となったら、規定値以上のデータ量を送信してきた特定送信元IPアドレスからのデータを破棄する。
上述のように、従来のシグネチャ型侵入検知システムおよび特許文献1に記載のシステムは、ネット家電へ送信される異常データによってトラフィックが異常に増大したことを検出することができる。しかし、このような従来のシステムでは、ネット家電が踏み台となることによって、あるいはネット家電上のソフトウエアバグによって、当該ネット家電自身から異常データを大量に送信することによってトラフィックを異常に増大させてしまうといった事態には、対応することができなかった。 As described above, the conventional signature-type intrusion detection system and the system described in Patent Document 1 can detect that traffic has increased abnormally due to abnormal data transmitted to network home appliances. However, in such a conventional system, traffic is abnormally increased by sending a large amount of abnormal data from the Internet home appliance itself due to the Internet home appliance becoming a stepping stone or due to a software bug on the Internet home appliance. I could not cope with the situation.
また、特許文献1に記載のシステムでは、異常を検出するための規定値が固定の値となっていたため、ネット家電の動作状態によってトラフィックが大きく変動するような場合に、誤検知や過検知が発生してしまう場合がある。このような事態は、異常と判断するための既定値が高すぎるために、トラフィックの異常な増大が発生している場合であっても、正常な通信と判断された結果、通信が許可されてしまうときに発生する。あるいは、このような事態は、異常と判断するための既定値が小さすぎるために、正常な通信であるにも関わらず、異常な通信と判断された結果、通信が制限されてしまうときに発生する。 In addition, in the system described in Patent Document 1, since the specified value for detecting an abnormality is a fixed value, when the traffic fluctuates greatly depending on the operating state of the Internet home appliance, erroneous detection or overdetection may occur. May occur. In such a situation, because the default value for determining an abnormality is too high, even if an abnormal increase in traffic occurs, the communication is permitted as a result of determining that the communication is normal. Occurs when Alternatively, such a situation occurs when the default value for determining an abnormality is too small, and communication is restricted as a result of being determined to be abnormal communication despite normal communication. To do.
それゆえ、本発明の目的は、ネット家電自身から異常データを大量に送信するような場合であっても、トラフィック増大を防止することができ、かつ動作状態に応じて、通信を制限するための閾値を制御することができる電子機器を提供することである。 Therefore, an object of the present invention is to prevent an increase in traffic even when a large amount of abnormal data is transmitted from the network home appliance itself, and to limit communication according to the operation state. An electronic device capable of controlling a threshold value is provided.
上記課題を解決するために、本発明は、以下のような特徴を有する。本発明は、ネットワークに接続された機器と通信可能なネットワーク対応型電子機器であって、送信したいデータの量を測定するトラフィック測定手段と、送信するデータの量を制限するための制限閾値を制御する閾値制御手段と、トラフィック測定手段によって測定されたデータの量が制限閾値を超えている場合、送信するデータの量を制御するトラフィック制御手段と、ネットワークとの間のトラフィックが変化する前兆を検出するトラフィック変化前兆検出手段とを備える。トラフィック変化前兆検出手段は、トラフィックが変化する前兆を検出した場合、閾値制御手段に対して、トラフィック変化後の動作状態に適した値に制限閾値を変更させる。 In order to solve the above problems, the present invention has the following features. The present invention is a network compatible electronic device capable of communicating with a device connected to a network, and controls a traffic measurement means for measuring the amount of data to be transmitted and a limit threshold for limiting the amount of data to be transmitted. If the amount of data measured by the threshold control means and the traffic measurement means exceeds the limit threshold, a traffic control means for controlling the amount of data to be transmitted and a sign of change in traffic between the networks are detected. Traffic change sign detection means. The traffic change sign detection means, when detecting a sign that the traffic changes, causes the threshold control means to change the limit threshold value to a value suitable for the operation state after the traffic change.
本発明によれば、送信したいデータの量が制限閾値を超える場合、送信したいデータの量が制限されることとなるので、異常なデータを大量に送信するような場合であっても、トラフィック増大が防止されることとなる。さらに、本発明によれば、トラフィックの変化の前兆が検出された場合、トラフィック変化後の動作状態に適した値に制限閾値が変更されるので、動作状態に応じて、通信を制限するための閾値を制御することができる電子機器が提供されることとなる。 According to the present invention, when the amount of data to be transmitted exceeds the limit threshold, the amount of data to be transmitted is limited. Therefore, even if a large amount of abnormal data is transmitted, traffic increases. Will be prevented. Furthermore, according to the present invention, when a sign of traffic change is detected, the limit threshold is changed to a value suitable for the operation state after the traffic change, so that the communication is limited according to the operation state. An electronic device capable of controlling the threshold value is provided.
好ましくは、閾値制御手段は、トラフィックを変化させる前兆となるトリガーパケットに関する情報とトリガーパケットに対応する候補閾値とを閾値情報として記憶しており、トラフィック変化前兆検出手段は、閾値情報に基づいて、送受信されるパケットがトリガーパケットであるか否かを判断し、当該パケットがトリガーパケットである場合、当該トリガーパケットに対応する候補閾値を制限閾値とするとよい。 Preferably, the threshold control means stores information on a trigger packet that is a precursor to changing traffic and a candidate threshold corresponding to the trigger packet as threshold information, and the traffic change precursor detection means is based on the threshold information, It is determined whether or not a packet to be transmitted / received is a trigger packet. When the packet is a trigger packet, a candidate threshold corresponding to the trigger packet may be set as a limit threshold.
これにより、トリガーパケットに応じた候補閾値を制限閾値とするだけで、トラフィック変化後の動作状態に適した制限閾値が設定されることとなる。 Thereby, the limit threshold suitable for the operation state after the traffic change is set only by setting the candidate threshold corresponding to the trigger packet as the limit threshold.
たとえば、トラフィック制御手段は、送信するデータの全部を破棄することによって、送信するデータの量を制御するとよい。 For example, the traffic control means may control the amount of data to be transmitted by discarding all of the data to be transmitted.
これにより、電子機器は、異常に大量のデータの送信を一切行わなくなる。 As a result, the electronic device does not transmit any abnormally large amount of data.
たとえば、トラフィック制御手段は、送信するデータの一部を破棄することによって、送信するデータの量を制御するとよい。 For example, the traffic control means may control the amount of data to be transmitted by discarding part of the data to be transmitted.
これにより、電子機器は、ある程度の通信を確保することができる。 Thereby, the electronic device can ensure a certain amount of communication.
たとえば、トラフィック制御手段は、特定の宛先に対するデータを送信しないことによって、送信するデータの量を制御するとよい。 For example, the traffic control means may control the amount of data to be transmitted by not transmitting data for a specific destination.
これにより、電子機器は、大量のデータを特定の宛先に送らなくなる。 As a result, the electronic device does not send a large amount of data to a specific destination.
好ましくは、閾値制御手段は、トラフィック測定手段によって測定されたデータの量が制限閾値を下回る状態が一定時間継続した場合、現在の制限閾値を変更前の制限閾値に戻すとよい。 Preferably, the threshold control unit may return the current limit threshold to the limit threshold before the change when a state in which the amount of data measured by the traffic measurement unit is below the limit threshold continues for a certain period of time.
これにより、電子機器は、一定時間が経過すれば、制限閾値を元の制限閾値に戻すこととなる。 As a result, the electronic device returns the limit threshold to the original limit threshold after a certain period of time has elapsed.
好ましくは、閾値制御手段は、現在の制限閾値が変更前の制限閾値よりも大きい場合に限って、トラフィック測定手段によって測定されたデータの量が制限閾値を下回る状態が一定時間継続した場合、現在の制限閾値を変更前の制限閾値に戻すとよい。 Preferably, the threshold control unit is configured so that only when the current limit threshold is larger than the limit threshold before the change, when the state in which the amount of data measured by the traffic measurement unit is below the limit threshold continues for a certain period of time, The limit threshold value may be returned to the limit threshold value before the change.
これにより、電子機器は、制限閾値の高い状態が一定期間継続すれば、制限閾値の低い状態に変更することができる。よって、制限閾値が高い状態を悪用したワームやコンピュータウイルスが、不正に大量のデータを送信すると自体を回避することができる。 Thus, the electronic device can be changed to a state with a low limit threshold if the state with a high limit threshold continues for a certain period. Therefore, if a worm or computer virus that abuses a state with a high limit threshold value illegally transmits a large amount of data, it can be avoided.
好ましくは、トラフィック測定手段は、送信したいデータの量の平均値を測定し、トラフィック制御手段は、トラフィック測定手段によって測定された平均値が制限閾値を超えている場合、送信するデータの量を制御するとよい。 Preferably, the traffic measurement unit measures an average value of the amount of data to be transmitted, and the traffic control unit controls the amount of data to be transmitted when the average value measured by the traffic measurement unit exceeds a limit threshold. Good.
これにより、安定的に動作する電子機器が提供されることとなる。 Thereby, an electronic device that operates stably is provided.
本発明によれば、送信したいデータの量が制限閾値を超える場合、送信したいデータの量が制限されることとなるので、異常なデータを大量に送信するような場合であっても、トラフィック増大が防止されることとなる。さらに、本発明によれば、トラフィックの変化の前兆が検出された場合、トラフィック変化後の動作状態に適した値に制限閾値が変更されるので、動作状態に応じて、通信を制限するための閾値を制御することができる電子機器が提供されることとなる。したがって、電子機器の動作モードに応じてトラフィックが大きく変動する場合でも、電子機器は、誤検知や過検知無く、トラフィックを制御することができる。 According to the present invention, when the amount of data to be transmitted exceeds the limit threshold, the amount of data to be transmitted is limited. Therefore, even if a large amount of abnormal data is transmitted, traffic increases. Will be prevented. Furthermore, according to the present invention, when a sign of traffic change is detected, the limit threshold is changed to a value suitable for the operation state after the traffic change, so that the communication is limited according to the operation state. An electronic device capable of controlling the threshold value is provided. Therefore, even when the traffic fluctuates greatly according to the operation mode of the electronic device, the electronic device can control the traffic without erroneous detection or overdetection.
以下、本発明の実施形態について、図面を参照しながら説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態における電子機器1が適用されるシステム全体の構成および電子機器1の機能的構成を示すブロック図である。図1において、電子機器1は、ネットワーク2を介して、PC3と接続されている。なお、ここで、電子機器1に接続されるPCは、一つであるとしたが、二つ以上であってもよい。
FIG. 1 is a block diagram illustrating a configuration of an entire system to which an electronic device 1 according to an embodiment of the present invention is applied and a functional configuration of the electronic device 1. In FIG. 1, an electronic device 1 is connected to a
電子機器1は、たとえば、ネットワークカメラや、テレビ、DVD機器、HD−DVD機器、オーディオコンポ、PC、携帯情報端末、携帯電話等の電子機器であって、有線および/または無線によって、ネットワーク2に接続された他の機器と通信可能なネットワーク対応型電子機器である。 The electronic device 1 is an electronic device such as a network camera, a TV, a DVD device, an HD-DVD device, an audio component, a PC, a portable information terminal, a mobile phone, and the like, and is connected to the network 2 by wire and / or wireless. This is a network-compatible electronic device that can communicate with other connected devices.
PC3は、ネットワーク2を介して、電子機器1と通信可能な電子機器である。
The
ネットワーク2は、たとえば、インターネット網等である。 The network 2 is, for example, the Internet network.
図1において、電子機器1は、通信制御部101と、機器アプリケーション部102とを備える。通信制御部101は、トラフィック変化前兆検出部103と、トラフィック制御部104と、トラフィック測定部105と、閾値制御部106とを含む。
In FIG. 1, the electronic device 1 includes a
通信制御部101は、ネットワーク2を介して送信されたパケットを受信して、機器アプリケーション部102に送信すると共に、機器アプリケーション部102からのパケットをネットワーク2に送信する。また、通信制御部101は、送信するパケットの量を制御することによって、電子機器1とネットワーク2との間のトラフィックを制御する。トラフィックの制御は、電子機器1からネットワーク2へ送信されるデータによって、トラフィックが異常に増大するのを防止するために行われる。
The
機器アプリケーション部102は、電子機器1が備えるアプリケーションを実行する。基本的には、実行されるアプリケーションは、ユーザが所望しているアプリケーションである。しかし、本実施形態において、機器アプリケーション部102は、ワームやコンピュータウイルス等による所望しない処理も実行することとする。機器アプリケーション部102は、必要に応じて、通信制御部101からのパケットを受信し、通信制御部101にパケットを送信する。
The
トラフィック変化前兆検出部103は、ネットワーク2と電子機器1との間のトラフィックが変化する前兆を検出する。具体的には、トラフィック変化前兆検出部103は、ネットワーク2またはトラフィック制御部104から送られてくるパケットを解析することによって、当該パケットがトリガーパケットであるか否かを検出する。ここで、トリガーパケットとは、トラフィックが変化する前兆となる情報を含むパケットのことをいう。たとえば、動画像転送要求を含むPC3から電子機器1へのパケット(動画像転送要求パケット)や、動画像転送終了要求を含むPC3から電子機器1へのパケット(動画像転送終了要求パケット)、電子機器1による動画像の送信開始を示す情報が含まれるパケット(たとえば、MPEG2−TSのヘッダ)や、電子機器1による動画像の送信終了を示す情報が含まれるパケット(たとえば、MPEG2−TSにおける最後のパケット)がトリガーパケットとなる。
The traffic change
トラフィック変化前兆検出部103は、トリガーパケットを検出した場合、閾値制御部106に対して、閾値を制御するように指示する。また、トラフィック変化前兆検出部103は、トラフィック制御部104からのパケットをネットワーク2に送信すると共に、ネットワーク2からのパケットを機器アプリケーション部102に送信する。
When the traffic change
トラフィック測定部105は、機器アプリケーション部102からのパケットの量、すなわち、送信したいデータの量を測定し、測定したデータの量を計測トラフィック値として、トラフィック制御部104に伝えると共に、機器アプリケーション部102からのパケットをトラフィック制御部104に送る。
The
トラフィック制御部104は、トラフィック制御部104からの計測トラフィック値と閾値制御部106に設定されている制限閾値とを比較して、トラフィック測定部105から送られてくるパケットをトラフィック変化前兆検出部103に送るか、それともトラフィック制御部104から送られてくるパケットを破棄するかを決定することによって、送信するデータの量を制御する。ここで制限閾値とは、送信するデータの量を制限するために設定された閾値である。
The
閾値制御部106は、トリガーパケットの種類に応じた閾値が候補閾値として登録されている閾値情報を記憶している。閾値制御部106は、トラフィック変化前兆検出部103からの指示に応じて、閾値情報に登録されている候補閾値を制限閾値として設定し、トラフィック制御部104からの指示に応じて、当該制限閾値をトラフィック制御部104に渡す。
The
図2は、閾値情報の一例を示す図である。図2に示すように、閾値情報は、リスト番号に対応させて、トリガーパケットに関する情報と、候補閾値とを含む。ここでは、トリガーパケットに関する情報には、送信元IPアドレス、送信先IPアドレス、およびパケットの内容が含まれるとする。送信元IPアドレスは、トリガーパケットの送信元を示す情報である。送信元を特に特定しない場合、“any”が登録される。送信元を特定する場合、IPアドレスが登録される。送信先IPアドレスは、トリガーパケットの送信先を示す情報である。送信先を特に特定しない場合、“any”が登録される。送信先を特定する場合、IPアドレスが登録される。パケットの内容は、トリガーパケットの内容を示す情報である。たとえば、パケットの内容として、動画転送要求や、動画転送終了要求、動画の開始情報、動画の終了情報等がある。候補閾値は、トラフィック制御部104において、パケット破棄を判断するための閾値であり、一定時間内に測定されるパケットの数の合計や、一定時間内に測定されるパケットサイズの合計などである。候補閾値は、対応するトリガーパケットの送受信によってトラフィックが変化した後の動作状態に適した値に設定されている。図2に示す例では、1秒間に測定されるパケットのサイズの合計が閾値として用いられている。このように、閾値情報には、トラフィックを変化させる前兆となるトリガーパケットに関する情報とトリガーパケットに対応する候補閾値とが記述されている。閾値情報に記述された特徴を認識することによって、電子機器1は、受信したパケットがトリガーパケットであるか否かを判断することができる。
FIG. 2 is a diagram illustrating an example of threshold information. As illustrated in FIG. 2, the threshold information includes information related to the trigger packet and a candidate threshold in association with the list number. Here, it is assumed that the information regarding the trigger packet includes the transmission source IP address, the transmission destination IP address, and the packet contents. The transmission source IP address is information indicating the transmission source of the trigger packet. When the transmission source is not particularly specified, “any” is registered. When specifying a transmission source, an IP address is registered. The transmission destination IP address is information indicating the transmission destination of the trigger packet. When the transmission destination is not particularly specified, “any” is registered. When specifying a transmission destination, an IP address is registered. The packet content is information indicating the content of the trigger packet. For example, the contents of the packet include a moving image transfer request, a moving image transfer end request, moving image start information, moving image end information, and the like. The candidate threshold is a threshold for determining packet discard in the
図2に示すリスト番号“1”では、パケットの内容が“動画転送要求”である場合に、候補閾値が2.5Mbpsであると設定されている。このように、動画転送要求が他の機器からあった場合、電子機器1は、当該要求の後、大量のデータを当該他の機器に送信することとなるので、トラフィック変化後の動作状態に適した値として、候補閾値は、高く設定されている。 In the list number “1” shown in FIG. 2, the candidate threshold is set to 2.5 Mbps when the packet content is “video transfer request”. As described above, when the video transfer request is issued from another device, the electronic device 1 transmits a large amount of data to the other device after the request, which is suitable for the operation state after the traffic change. As a value, the candidate threshold is set high.
リスト番号“2”では、パケットの内容が“動画転送終了要求”であった場合に、候補閾値が0.5Mbpsであると設定されている。動画転送終了要求が他の機器からあった場合、電子機器1は、大量のデータの送信を終了するので、トラフィック変化後の動作状態に適した値として、候補閾値は、低く設定されている。 In the list number “2”, the candidate threshold is set to 0.5 Mbps when the packet content is “video transfer end request”. When the video transfer end request is received from another device, the electronic device 1 ends the transmission of a large amount of data, so the candidate threshold is set low as a value suitable for the operation state after the traffic change.
リスト番号“3”では、パケットの内容が“動画の開始情報”である場合に、候補閾値が2.5Mbpsと設定されている。リスト番号“3”では、リスト番号“1”と異なり、電子機器1が自ら動画データを送信する場合を想定している。“動画の開始情報”は、たとえば、MPEG2−TSのヘッダ情報等である。動画の開始情報がトラフィック制御部104に入力された場合、その後、大量のデータが機器アプリケーション部102から出力されることとなるので、トラフィック変化後の動作状態に適した値として、候補閾値は、高く設定されている。
In the list number “3”, the candidate threshold is set to 2.5 Mbps when the content of the packet is “moving image start information”. In the list number “3”, unlike the list number “1”, it is assumed that the electronic device 1 transmits moving image data by itself. The “moving picture start information” is, for example, MPEG2-TS header information. When the start information of the moving image is input to the
リスト番号“4”では、リスト番号“2”と異なり、電子機器1が自ら動画データを送信していた場合を想定している。“動画の終了情報”は、たとえば、MPEG2−TSの最後のパケットに含まれる情報等である。動画の終了情報がトラフィック制御部104に入力された場合、その後、大量のデータの送信を終了するので、トラフィック変化後の動作状態に適した値として、候補閾値は、低く設定されている。
In the list number “4”, unlike the list number “2”, it is assumed that the electronic device 1 has transmitted moving image data by itself. “Movie end information” is, for example, information included in the last packet of MPEG2-TS. When the end information of the moving image is input to the
図3は、パケットを送信する場合の電子機器1の動作を示すフローチャートである。以下、図3を参照しながら、パケットを送信する場合の電子機器1の動作について説明する。 FIG. 3 is a flowchart showing the operation of the electronic device 1 when transmitting a packet. Hereinafter, the operation of the electronic apparatus 1 when transmitting a packet will be described with reference to FIG.
まず、機器アプリケーション部102は、送信すべきパケットを出力する(ステップS101)。次に、トラフィック測定部105は、機器アプリケーション部102が出力するパケットの数をカウントし、一定時間当たりに出力されるパケットの数を求めて、一定時間当たりのパケットの数に応じたデータサイズを計測トラフィック値とする(ステップS102)。
First, the
次に、トラフィック制御部104は、トラフィック測定部105が求めた計測トラフィック値が、閾値制御部106に設定されている制限閾値以上であるか否かを判断する(ステップS103)。計測トラフィック値が制限閾値以上である場合、トラフィック制御部104は、トラフィック測定部105から送られてくるパケットを全て破棄して(ステップS104)、処理を終了する。一方、計測トラフィック値が制限閾値以上でない場合、トラフィック制御部104は、トラフィック測定部105から送られてくるパケットをトラフィック変化前兆検出部103に送って、ステップS105の動作に進む。
Next, the
ステップS105において、トラフィック変化前兆検出部103は、トラフィック制御部104から送られてくるパケットがトリガーパケットであるか否かを判断し、トリガーパケットであれば、閾値制御部106に登録されている閾値情報を参照して、当該トリガーパケットに対応する候補閾値が制限閾値となるように制御して、処理を終了する。
In step S105, the traffic change
図4は、図3のステップS105におけるトラフィック変化前兆検出部103の詳しい動作を示すフローチャートである。以下、図4を参照しながら、図3のステップS105におけるトラフィック変化前兆検出部103の詳しい動作について説明する。
FIG. 4 is a flowchart showing a detailed operation of the traffic change
まず、トラフィック変化前兆検出部103は、トラフィック制御部104から送られてくるパケットがトリガーパケットであるか否か、すなわち、ネットワーク2との間のトラフィックが変化する前兆があるか否かを判断する(ステップS201)。具体的には、トラフィック変化前兆検出部103は、当該パケットの内容を認識し、認識したパケットの内容が閾値制御部106内の閾値情報に登録されているか否かを判断し、登録されている場合、トリガーパケットであると判断する。当該パケットがトリガーパケットでない場合、トラフィック変化前兆検出部103は、当該パケットをネットワーク2に送出し(ステップS202)、処理を終了する。一方、当該パケットがトリガーパケットである場合、トラフィック変化前兆検出部103は、ステップS203の動作に進む。
First, the traffic change
ステップS203において、トラフィック変化前兆検出部103は、閾値情報を参照して、当該トリガーパケットのパケットの内容に対応する候補閾値を認識する。次に、トラフィック変化前兆検出部103は、ステップS203において認識した候補閾値を制限閾値とするように、閾値制御部106を制御する。それに応じて、閾値制御部106は、制限閾値を変更する(ステップS204)。これにより、トラフィック変化後の動作状態に適した値に制限閾値が変更される。次に、トラフィック変化前兆検出部103は、トラフィック制御部104から送られてきたパケットをネットワーク2に送出して(ステップS205)、処理を終了する。
In step S203, the traffic change
図5は、ネットワーク2から送られてくるパケットを受信する場合の電子機器1の動作を示すフローチャートである。以下、図5を参照しながら、パケットを受信する場合の電子機器1の動作について説明する。 FIG. 5 is a flowchart showing the operation of the electronic device 1 when receiving a packet sent from the network 2. Hereinafter, the operation of the electronic apparatus 1 when receiving a packet will be described with reference to FIG.
ネットワーク2からパケットが送られてきたら、トラフィック変化前兆検出部103は、送られてきたパケットを受信する(ステップS301)。次に、トラフィック変化前兆検出部103は、受信したパケットがトリガーパケットであるか否かを判断する(ステップS302)。具体的には、トラフィック変化前兆検出部103は、当該パケットの内容を認識し、認識したパケットの内容が閾値制御部106内の閾値情報に登録されているか否かを判断し、登録されている場合、トリガーパケットであると判断する。当該パケットがトリガーパケットでない場合、トラフィック変化前兆検出部103は、当該パケットを機器アプリケーション部102へ送り(ステップS303)、処理を終了する。一方、当該パケットがトリガーパケットである場合、トラフィック変化前兆検出部103は、ステップS304の動作に進む。
When a packet is sent from the network 2, the traffic change
ステップS304において、トラフィック変化前兆検出部103は、閾値情報を参照して、当該トリガーパケットのパケットの内容に対応する候補閾値を認識する。次に、トラフィック変化前兆検出部103は、ステップS304において認識した候補閾値を制限閾値とするように、閾値制御部106に命令する。それに応じて、閾値制御部106は、制限閾値を変更する(ステップS305)。これにより、トラフィック変化後の動作状態に適した値に制限閾値が変更される。次に、トラフィック変化前兆検出部103は、ネットワーク2から送られてきたパケットを機器アプリケーション部102へ送って(ステップS306)、処理を終了する。
In step S304, the traffic change
このように、本実施形態では、電子機器1が送信するデータの量が制限閾値を超える場合、送信すべきデータが破棄されることとなる。したがって、電子機器1自身が異常なデータを大量に送信するような場合であっても、トラフィック増大を防止することができる。さらに、本実施形態では、電子機器1は、送信すべきデータおよび受信したデータがトラフィックの変化の前兆となるトリガーパケットであるか否かを判断する。トリガーパケットである場合、電子機器1は、トリガーパケット送信後(受信後)の動作状態に適した値となるように、制限閾値を変更する。これによって、大量のデータを送信しなければならない場合、電子機器1は、制限閾値を高くして、大量のデータを破棄することなく送信する。一方、大量のデータを送信しなくてもよい場合、電子機器1は、制限閾値を低くし、異常データが大量に送信される場合、パケットを破棄するようにする。したがって、動作状態に応じて、通信を制限するための閾値を制御することができる電子機器が提供されることとなる。 Thus, in this embodiment, when the amount of data transmitted by the electronic device 1 exceeds the limit threshold, the data to be transmitted is discarded. Therefore, even when the electronic device 1 itself transmits a large amount of abnormal data, an increase in traffic can be prevented. Furthermore, in the present embodiment, the electronic device 1 determines whether the data to be transmitted and the received data are trigger packets that serve as a precursor to a change in traffic. If it is a trigger packet, the electronic device 1 changes the limit threshold value so as to be a value suitable for the operation state after the trigger packet is transmitted (after reception). Thus, when a large amount of data must be transmitted, the electronic device 1 increases the limit threshold and transmits the large amount of data without discarding it. On the other hand, when it is not necessary to transmit a large amount of data, the electronic device 1 lowers the limit threshold value and discards the packet when a large amount of abnormal data is transmitted. Therefore, an electronic device capable of controlling a threshold for restricting communication according to an operation state is provided.
なお、上記実施形態において、トラフィック変化前兆検出部103は、送信または受信パケットがトリガーパケットであるか否かを判断することによって、トラフィックが変化する前兆であるか否かを検出することとしたが、トラフィックが変化する前兆であるか否かの検出は、これに限られるものではない。トラフィック変化前兆検出部103は、パケットのヘッダ等、送信または受信パケットに含まれる情報を認識することによって、トラフィックが変化する前兆を検出するようにしてもよい。また、トラフィック変化前兆検出部103は、機器アプリケーション部102からの直接的な指示によって、トラフィックが変化する前兆を検出するようにしてもよい。また、トラフィック変化前兆検出部103は、PC3からの直接的な指示によって、トラフィックが変化する前兆を検出するようにしてもよい。このように、トラフィック変化前兆検出部103は、トラフィックが変化する前兆を検出することができれば、上述の動作に限られるものではない。動画像を送受信する場合、動画像の要求元の機器は、動画像を送信する機器に対して、トラフィックが変化するので、制限閾値を変更するように要求し、それに応じて、トラフィック変化前兆検出部103は、トラフィックが変化する前兆を検出し、閾値制御部106に制限閾値を変更させてもよい。
In the above embodiment, the traffic change
なお、上記実施形態における通信制御部101は、ハードウエア的に実現されても良いし、ソフトウエア的に実現されてもよい。
Note that the
ハードウエア的に実現される場合、トラフィック変化前兆検出部103と、トラフィック制御部104と、トラフィック測定部105と、閾値制御部106とは、典型的には集積回路であるLSIとして実現される。これらはそれぞれ1チップ化されても良いし、一部または全てを含むように1チップ化されても良い。ここでは、集積回路をLSIとしたが、集積度の違いにより、IC、システムLSI、スーパーLSI、ウルトラLSIと呼称されることもある。また、集積回路化の手法はLSIに限るものではなく、専用回路または汎用プロセッサで実現しても良い。LSI製造後に、プログラムすることが可能なFPGA(Field Programmable Gate Array)や、LSI内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。さらには、半導体技術の進歩または派生する別技術によりLSIに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いてトラフィック変化前兆検出部103と、トラフィック制御部104と、トラフィック測定部105と、閾値制御部106とは、集積化されても良い。上記派生技術としては、バイオ技術の適応等が可能性としてありえる。
When implemented in hardware, the traffic change
ソフトウエア的に実現される場合、通信制御部は、記憶装置と、中央演算装置とを備えるハードウエアであるコンピュータ装置に、記憶装置に格納されているプログラムを実行することによって実現される。当該プログラムは、当該コンピュータ装置に上記実施形態で示した動作を実行させることができる。 When implemented in software, the communication control unit is implemented by executing a program stored in a storage device on a computer device that is hardware including a storage device and a central processing unit. The program can cause the computer apparatus to execute the operations described in the above embodiment.
なお、上記実施形態では、計測トラフィック値が制限閾値以上である場合、トラフィック制御部104は、送信すべきデータを全て破棄することとした(図3のステップS104参照)。しかし、計測トラフィック値が制限閾値以上となった場合の動作は、これに限られるものではない。たとえば、計測トラフィック値が制限閾値以上となった場合、トラフィック制御部104は、送信するデータが制限閾値以下のトラフィック量となるように、データを間引いて送信してもよいし、ワームやコンピュータウイルス等が原因で発生した異常な特定のデータだけを破棄するようにしてもよい。また、トラフィック制御部104は、特定の宛先に対するデータを送信しないことによって、送信するデータの量を制御してもよい。
In the above embodiment, when the measured traffic value is equal to or greater than the limit threshold, the
なお、上記実施形態では、計測トラフィック値として、一定時間当たりのパケットの数に応じたデータサイズを用いることとしたが、一定時間当たりのパケットの数を用いてもよい。この場合、閾値情報に設定されている閾値は、一定時間当たりのパケットの数となる。 In the above embodiment, the data size corresponding to the number of packets per fixed time is used as the measured traffic value, but the number of packets per fixed time may be used. In this case, the threshold set in the threshold information is the number of packets per fixed time.
上記実施形態では、トリガーパケットを受信した場合、制限閾値が設定され、その後、設定された制限閾値を用いて、パケットを破棄するか否かの判断が実行されることとなる。トリガーパケットが受信されていない初期状態では、閾値制御部106は、ユーザが設定した値または予め設定さえている初期値を制限閾値として用いるようにするとよい。また、通信制御部101の電源が入る毎に、閾値制御部106は、制限閾値を初期化してもよい。
In the above embodiment, when a trigger packet is received, a limit threshold is set, and thereafter, using the set limit threshold, it is determined whether to discard the packet. In an initial state in which the trigger packet is not received, the
上記実施形態において、閾値制御部106は、トリガーパケットがトラフィック変化前兆検出部103によって検出されない限り、制限閾値を変更しない。しかし、閾値制御部106は、トラフィック測定部105によって測定されたデータの量が制限閾値を下回る状態が一定時間継続した場合、現在の制限閾値を変更前の制限閾値に戻すようにしてもよい。ただし、トリガーパケットが動画転送終了要求パケットである場合に、制限閾値を低く設定している状況においては、制限閾値が下回る状態が一定時間継続していても、何ら問題がない。よって、閾値制御部106は、現在の制限閾値が変更前の制限閾値よりも大きい場合に限って、トラフィック測定部105によって測定されたデータの量が制限閾値を下回る状態が一定時間継続した場合、現在の制限閾値を変更前の制限閾値に戻すようにするとよい。これにより、制限閾値が高い状態が長時間継続することによって、制限閾値が高い状態を悪用したワームやコンピュータウイルスによって、大量の異常なデータを電子機器1が送信してしまうといった自体を回避することができる。
In the embodiment, the
なお、トラフィック測定部105は、送信したいデータの量の平均値を測定し、当該平均値を計測トラフィック値とするとよい。この場合、トラフィック制御部104は、当該平均値が制限閾値を超えているか否かを判断し、超えている場合、送信するデータの量を制御する。これにより、ある瞬間だけトラフィックが増大するようなデータが機器アプリケーション部102から出力されたような場合には、制限閾値が変更されないこととなり、電子機器1が安定的に動作することとなる。
The
上記実施形態の実施例として、以下のような例がある。 Examples of the above embodiment include the following examples.
たとえば、電子機器1は、ネットワークに接続されており、PC3からデータ送信要求を受信することができ、動画データ等の大きなデータをデータ送信終了要求があるまで送信し続けるような電子機器であるとする。
For example, the electronic device 1 is connected to a network, can receive a data transmission request from the
電子機器1は、初期状態において、トラフィックの制限閾値が低く設定されているとする。初期状態において、PC3は、ネットワーク2を介して、電子機器1に対して、データ送信要求を含むパケット(以下、データ送信要求パケットという)を送信したとする。電子機器1は、データ送信要求パケットを受信する。通信制御部101は、トラフィック変化前兆検出部103において、受信したデータ送信要求パケットを解析して、トリガーパケット検であるか否かを判断する。ここでは、データ送信要求パケットは、トラフィックの増大の前兆となるパケットであるので、トリガーパケットであるとする。トラフィック変化前兆検出部103は、データ送信要求パケットに対応する候補閾値を閾値制御部106内の閾値情報に基づいて認識する。そして、トラフィック変化前兆検出部103は、認識した候補閾値を制限閾値とするように、閾値制御部106に命令する。これに応じて、閾値制御部106は、制限閾値を設定する。ここでの制限閾値は、たとえば、データ送信要求に応じて発生するトラフィックの上限値である。
The electronic device 1 is assumed to have a low traffic limit threshold in the initial state. In the initial state, it is assumed that the
トラフィック変化前兆検出部103は、制限閾値を閾値制御部106に設定させると、トリガーパケットであるデータ送信要求パケットを機器アプリケーション部102に送る。機器アプリケーション部102は、データ送信要求パケットを受信し、それに応じて、データ送信要求パケットに記述された送信先IPアドレスに対して、データの送信を開始する。
When the traffic change
機器アプリケーション部102から送信されるデータは、トラフィック測定部105およびトラフィック制御部104を経由する。トラフィック測定部105は、機器アプリケーション部102から送信されるパケット数をカウントしてトラフィック値を測定している。ここで測定したトラフィック値が制限閾値を超えなければ、トラフィック制御部104は、トラフィック変化前兆検出部103に対して、パケットをネットワーク2へ送信させる。
Data transmitted from the
上記例では、制限閾値が、データ転送時に発生するトラフィックの上限値に設定されているので、機器アプリケーション部102からのパケットは、滞りなく、ネットワーク2へ送信される。
In the above example, since the limit threshold is set to the upper limit value of traffic generated during data transfer, the packet from the
PC3がデータ送信を終了するために、データ送信終了要求パケットを電子機器1へ送信した場合、電子機器1のトラフィック変化前兆検出部103は、データ送信終了要求パケット」をトリガーパケットであるとして検出し、制限閾値を閾値制御部106に変更させる。これによって、制限閾値は、データ転送時の閾値よりも低い値に設定される。これにより、データ転送が終了しているのに、制限閾値が高い状態のままであることが回避される。もし、データ送信終了要求パケットが受信できなかった場合、制限閾値が高い状態が続いてしまう。このような場合、電子機器1は、異常なデータを送信してしまう場合がある。したがって、トラフィック変化前兆検出部103は、データ送信要求パケットを受信した後、データ送信終了要求パケットを受信できない状態が一定時間続いたら、制限閾値をトリガーパケットによって変更される以前の値に戻すようにしてもよい。以上が、正常な通信シーケンスである。
When the
異常な通信シーケンスとしては、電子機器1への攻撃やソフトウエアバグによるものが考えられる。そのような異常な通信が起こったために、電子機器1が、ネットワーク2に対して、大量のデータを送信しようとした場合を考える。電子機器1から送信されるデータは、トラフィック測定部105およびトラフィック制御部104を必ず経由するので、このような大量のデータは、制限閾値を超える量であれば、トラフィック制御部104によって破棄されることとなる。よって、電子機器1から、異常な大量のデータが送信されることが防止される。
As an abnormal communication sequence, an attack on the electronic device 1 or a software bug may be considered. Consider a case where the electronic device 1 tries to transmit a large amount of data to the network 2 because of such abnormal communication. Since data transmitted from the electronic device 1 always passes through the
本発明にかかるネットワーク対応型電子機器は、異常データを大量に送信するような場合であっても、トラフィック増大を防止することができ、かつ動作状態に応じて、通信を制限するための閾値を制御することができ、ネット家電や各種通信装置等に有用である。 The network-compatible electronic device according to the present invention can prevent an increase in traffic even when a large amount of abnormal data is transmitted, and sets a threshold for restricting communication according to the operation state. It can be controlled and is useful for Internet home appliances and various communication devices.
1 電子機器
2 ネットワーク
3 PC
101 通信制御部
102 機器アプリケーション部
103 トラフィック変化前兆検出部
104 トラフィック制御部
105 トラフィック測定部
106 閾値制御部
1 Electronic equipment 2
101
Claims (8)
送信したいデータの量を測定するトラフィック測定手段と、
送信するデータの量を制限するための制限閾値を制御する閾値制御手段と、
前記トラフィック測定手段によって測定されたデータの量が前記制限閾値を超えている場合、送信するデータの量を制御するトラフィック制御手段と、
前記ネットワークとの間のトラフィックが変化する前兆を検出するトラフィック変化前兆検出手段とを備え、
前記トラフィック変化前兆検出手段は、前記トラフィックが変化する前兆を検出した場合、前記閾値制御手段に対して、トラフィック変化後の動作状態に適した値に前記制限閾値を変更させる、ネットワーク対応型電子機器。 A network compatible electronic device capable of communicating with a device connected to a network,
A traffic measurement means that measures the amount of data you want to send,
Threshold control means for controlling a limit threshold for limiting the amount of data to be transmitted;
Traffic control means for controlling the amount of data to be transmitted when the amount of data measured by the traffic measurement means exceeds the limit threshold;
Traffic change sign detection means for detecting a sign of traffic change with the network,
When the traffic change sign detection unit detects a sign that the traffic changes, the network control type electronic device causes the threshold control unit to change the limit threshold value to a value suitable for an operation state after the traffic change. .
前記トラフィック変化前兆検出手段は、前記閾値情報に基づいて、送受信されるパケットがトリガーパケットであるか否かを判断し、当該パケットがトリガーパケットである場合、当該トリガーパケットに対応する候補閾値を前記制限閾値とする、請求項1に記載のネットワーク対応型電子機器。 The threshold control means stores information about a trigger packet that is a precursor to changing traffic and a candidate threshold corresponding to the trigger packet as threshold information,
The traffic change sign detection means determines whether or not a packet to be transmitted / received is a trigger packet based on the threshold information. If the packet is a trigger packet, the traffic change sign detection unit determines a candidate threshold corresponding to the trigger packet The network compatible electronic device according to claim 1, wherein the network compatible electronic device is a limit threshold.
前記トラフィック制御手段は、前記トラフィック測定手段によって測定された前記平均値が前記制限閾値を超えている場合、送信するデータの量を制御する、請求項1に記載のネットワーク対応型電子機器。
The traffic measuring means measures an average value of the amount of data to be transmitted,
The network-enabled electronic device according to claim 1, wherein the traffic control unit controls the amount of data to be transmitted when the average value measured by the traffic measurement unit exceeds the limit threshold.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005009560A JP2006195924A (en) | 2005-01-17 | 2005-01-17 | Network compatible electronic device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005009560A JP2006195924A (en) | 2005-01-17 | 2005-01-17 | Network compatible electronic device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006195924A true JP2006195924A (en) | 2006-07-27 |
Family
ID=36801948
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005009560A Pending JP2006195924A (en) | 2005-01-17 | 2005-01-17 | Network compatible electronic device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006195924A (en) |
-
2005
- 2005-01-17 JP JP2005009560A patent/JP2006195924A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Acar et al. | Web-based attacks to discover and control local IoT devices | |
US20070140275A1 (en) | Method of preventing denial of service attacks in a cellular network | |
US9125130B2 (en) | Blacklisting based on a traffic rule violation | |
WO2006069522A1 (en) | A method, system and apparatus for realizing the data service safety of the mobile communication system | |
US20170331803A1 (en) | Method for authenticating a networked endpoint using a physical (power) challenge | |
US20070130624A1 (en) | Method and system for a pre-os quarantine enforcement | |
US20140115705A1 (en) | Method for detecting illegal connection and network monitoring apparatus | |
US10044812B2 (en) | Communication device, terminal device, and computer program product | |
KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
CN105939348A (en) | MAC address authentication method and apparatus | |
US8108904B1 (en) | Selective persistent storage of controller information | |
CN111133427A (en) | Generating and analyzing network profile data | |
US8159948B2 (en) | Methods and apparatus for many-to-one connection-rate monitoring | |
JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
JP7462757B2 (en) | Network security protection method and protection device | |
JP6834768B2 (en) | Attack detection method, attack detection program and relay device | |
CN109617972B (en) | Connection establishing method and device, electronic equipment and storage medium | |
JP2012533235A (en) | Programmable device for network-based packet filter | |
US20070140121A1 (en) | Method of preventing denial of service attacks in a network | |
JP2006195924A (en) | Network compatible electronic device | |
JP5596626B2 (en) | DoS attack detection method and DoS attack detection device | |
US10015288B2 (en) | Communication apparatus and control method of communication apparatus | |
US7870285B2 (en) | Mitigating subscriber side attacks in a cable network | |
EP4047885A1 (en) | Method and system for processing network service, and gateway device | |
US20090190602A1 (en) | Method for detecting gateway in private network and apparatus for executing the method |