JP2006197103A - Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device - Google Patents
Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device Download PDFInfo
- Publication number
- JP2006197103A JP2006197103A JP2005005262A JP2005005262A JP2006197103A JP 2006197103 A JP2006197103 A JP 2006197103A JP 2005005262 A JP2005005262 A JP 2005005262A JP 2005005262 A JP2005005262 A JP 2005005262A JP 2006197103 A JP2006197103 A JP 2006197103A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- output
- unit
- detection
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク中のパケットを精査して不正侵入を検知、及び遮断する装置(Intrusion Detection and Prevention System装置、以下、この装置をIPSと記述する)における品質(性能及び攻撃検知)の評価を行う技術に関する。 The present invention evaluates quality (performance and attack detection) in a device (Intrusion Detection and Prevention System device, hereinafter referred to as IPS) that detects and blocks unauthorized intrusion by examining packets in the network. It relates to the technology to be performed.
従来のIPSの品質を評価する方法としては、擬似的なネットワーク負荷を発生させる装置(以下、擬似的負荷装置と記述する)を用いて試験環境を構築して行うのが一般的である。 As a conventional method for evaluating the quality of IPS, a test environment is generally constructed by using a device that generates a pseudo network load (hereinafter referred to as a pseudo load device).
図18は従来のIPS評価試験環境を説明するものである。図のように、IPS評価試験環境は、擬似的負荷装置1、評価対象IPS2、IPS管理端末3、攻撃用端末4、
ハブ5、試験用ネットワーク6から構成されている。
FIG. 18 illustrates a conventional IPS evaluation test environment. As shown in the figure, the IPS evaluation test environment includes a
It is composed of a
このIPS評価試験環境による評価方法について説明する。まず、擬似的負荷装置1の一端から擬似パケットを固定パケット長・一定間隔で評価対象IPS2に送信して、他端にて受信する。これにより試験用ネットワーク6にバックグラウンド負荷を発生させ、攻撃用端末4からハブ5を介して試験用ネットワーク6に攻撃パケットを送信する。以上により、評価対象IPS2が攻撃パケットを正常に検知可能であるかどうかの検証を行う。
An evaluation method using this IPS evaluation test environment will be described. First, a pseudo packet is transmitted from one end of the
また、以下の特許文献1では、擬似パケットにてバースト性の強いトラフィックを生成して、評価対象ネットワークのパケット損失と遅延の測定を行う技術が述べられている。よって、この技術によって図19のようにIPSを配置して評価する評価方法も考えられる。
Further,
図19の評価方法は、IPネットワーク11、前記特許文献1による性能測定装置12、ルータ13a、13b,評価対象IPS14、IPS管理端末15、攻撃用端末16、ハブ17、及びIPS導入予定ネットワーク18から構成される。先の図18と同様、IPネットワーク11のあるルータ13a,13b間に、従来の性能測定装置12の一端から試験パケットを送信して、他端にて受信する。ただし、この従来技術で使用する試験パケットは、異なるパケット長・異なるパケット間隔でIPS導入予定ネットワーク18に送信される。これによりIPS導入予定ネットワーク18に負荷のかかった状態で攻撃用端末16からハブ17を介して攻撃パケットを挿入し、評価対象IPS14が正常に検知するかどうかの検証を行う。この技術によれば、バックグラウンド負荷が一定ではない状態において評価対象IPS14の検証が可能である。
The evaluation method of FIG. 19 is based on the IP network 11, the
また、この従来技術によれば、擬似パケットにより評価対象IPS14を接続したネットワークのパケット遅延測定、及びパケット損失検証が可能である。
Further, according to this conventional technique, it is possible to measure the packet delay and verify the packet loss of the network to which the
この従来技術によるパケット損失検証では、性能測定装置12からIPS導入予定ネットワーク18に送信したパケット数と、IPS導入予定ネットワーク18から受信したパケット数を比較することでパケットの損失を検出する。また、損失したパケットを特定するために、個々のパケットのIPアドレスとフラグメントID、フラグメントオフセットを、送信時及び受信時にそれぞれ記憶する。
In the packet loss verification according to this conventional technique, the packet loss is detected by comparing the number of packets transmitted from the
この従来技術のパケット損失検証において必要となるバッファ容量を説明する。損失したパケットを特定するためにIPヘッダの情報をパケット識別子として使用する。これには送信元IPアドレス、宛先IPアドレスがそれぞれ32bit、フラグメントIDが16bit、フラグメントオフセットが13bitで、1パケットにつき合計93bitの情報が必要となる。1Gイーサネット(登録商標)のフル帯域においてショートパケットを用いてパケット損失検証を行う場合、送信パケット用と受信パケット用で、併せて約3.7Gbyteのバッファ容量を必要とする。
IPSの性能は、バックグラウンド負荷に大きく依存するため、ユーザ実環境での評価が必要である。しかし、従来技術では、IPSを導入するユーザ実環境で十分な品質を満たすかどうかを正確かつ容易に評価できないといった問題があった。図18の従来例の場合、転送パケット長・転送間隔がユーザの実環境とは全く異なる。また、図19の従来例の場合においても、バースト性の強いトラフィックでの検証は実現できるが、擬似パケットによる検証であるためユーザ実環境での検証ではない。さらに、この従来技術を用いた図19の試験環境では、ユーザ実環境内にIPSを配置することにより、評価対象IPSでパケットの損失が発生してしまう可能性がり、ネットワークを使用するユーザに影響が出てしまう恐れがある。 Since the performance of the IPS greatly depends on the background load, it is necessary to evaluate it in the user's actual environment. However, the conventional technology has a problem in that it cannot be accurately and easily evaluated whether or not sufficient quality is satisfied in the actual user environment where IPS is introduced. In the case of the conventional example of FIG. 18, the transfer packet length and transfer interval are completely different from the actual environment of the user. Also, in the case of the conventional example of FIG. 19, verification with traffic having strong burstiness can be realized, but since it is verification by a pseudo packet, it is not verification in the actual user environment. Further, in the test environment of FIG. 19 using this prior art, the packet loss may occur in the evaluation target IPS by arranging the IPS in the actual user environment, which affects the user who uses the network. May come out.
パケット損失検証においては、図19の従来技術では検証時間が長くなるに従って必要となるバッファ容量が増加してしまう。また、IPSはIP上位のプロトコルやアプリケーションに依存してパケットの損失が発生する傾向が強く、この情報はIPSの導入を検討する上で有効な情報である。そのため、パケット損失時にIP上位プロトコルの情報まで識別できることが望ましい。しかし、図19の従来技術のようにIPヘッダによる識別子に加えてIP上位層の情報を記憶するのでは、さらに多くのバッファ容量が必要となってしまう。 In packet loss verification, the buffer capacity required for the prior art of FIG. 19 increases as the verification time increases. In addition, IPS has a strong tendency to cause packet loss depending on an IP upper protocol and application, and this information is effective information for considering introduction of IPS. For this reason, it is desirable to be able to identify even the information of the upper IP protocol when a packet is lost. However, storing the information of the IP upper layer in addition to the identifier by the IP header as in the prior art of FIG. 19 requires more buffer capacity.
また、図18及び図19のように、攻撃パケットをネットワークに挿入する際にハブを用いたのでは、ネットワークのトラフィックによって攻撃パケットが挿入されない場合がある。 Further, as shown in FIGS. 18 and 19, if a hub is used when inserting an attack packet into the network, the attack packet may not be inserted due to network traffic.
本発明の目的は、ユーザ実環境に影響を与えずに、ユーザの実環境で正確かつ容易にIPSの評価を行い、IPSによる損失パケットの特定を行う装置の提供にある。 An object of the present invention is to provide an apparatus that accurately and easily evaluates an IPS in a user's real environment and identifies a lost packet by the IPS without affecting the user's real environment.
本発明の検知用パケット生成装置は、
所定のパケットを検知対象として検知するパケット検知装置に検知させるためのパケットを生成する検知用パケット生成装置において、
前記パケット検知装置に検知させるための検知用パケットを生成する検知用パケット生成部と、
所定のネットワークに向かう複数のパケットの流れを示すパケットトラフィックと前記検知用パケット生成部が生成した前記検知用パケットとを入力し、入力した前記パケットトラフィックに含まれる複数のパケットと入力した前記検知用パケットとを混合して混合パケットとして出力する混合部と、
前記混合部が出力した混合パケットを入力し、入力した前記混合パケットに基づいて前記混合パケットの複製である複製パケットを生成し、前記混合パケットと前記複製パケットとを出力対象として前記出力対象のうちいずれかを前記パケット検知装置に向けて出力パケットとして出力するとともに、前記出力パケットとして出力しない出力対象を残余パケットとして前記残余パケットに含まれる前記検知用パケットを削除し、前記検知用パケットが削除された前記残余パケットを前記所定のネットワークに向けて出力する複製部と
を備えたことを特徴とする。
The detection packet generation device of the present invention includes:
In a detection packet generation device that generates a packet for detection by a packet detection device that detects a predetermined packet as a detection target,
A detection packet generator for generating a detection packet for causing the packet detection device to detect;
Input the packet traffic indicating the flow of a plurality of packets toward a predetermined network and the detection packet generated by the detection packet generator, and input the plurality of packets included in the input packet traffic A mixing unit that mixes the packets and outputs them as mixed packets;
The mixed packet output by the mixing unit is input, a duplicate packet that is a duplicate of the mixed packet is generated based on the input mixed packet, and the mixed packet and the duplicate packet are set as output targets. Any one of them is output as an output packet toward the packet detection device, the output packet not output as the output packet is set as a residual packet, the detection packet included in the residual packet is deleted, and the detection packet is deleted And a duplicating unit that outputs the remaining packet to the predetermined network.
本発明の検知用パケット生成装置は、パケットトラフィックと検知用パケットとを混合する混合部及び混合パケットを複製する複製部とを備えたので、所定のパケットを検知するIPSをユーザの実環境において評価することができる。 Since the detection packet generation apparatus of the present invention includes a mixing unit that mixes packet traffic and detection packets and a replication unit that replicates the mixed packets, an IPS that detects a predetermined packet is evaluated in a user's actual environment. can do.
実施の形態1.
図1〜図16を使用して実施の形態1を説明する。図1は、実施の形態1に係るIPS検証システムの構成を説明する図である。図に示すように、IPS検証システムは、IPS評価装置101、IPネットワーク200、ルータ300a、300b、評価対象IPS400、IPS管理端末500、及びIPS導入予定ネットワーク600を備える。IPS導入予定ネットワーク600にIPS評価装置101をインラインで接続するとともに、評価対象IPS400をにIPS評価装置101接続することで、ルータ300a,300b間の実トラフィック(パケットトラフィック)を使用して評価対象IPS400の検証を行う。
The first embodiment will be described with reference to FIGS. FIG. 1 is a diagram for explaining the configuration of the IPS verification system according to the first embodiment. As shown in the figure, the IPS verification system includes an
図2は、実施の形態1に係るIPS評価装置101の内部構成を示す図である。図に示すように、IPS評価装置101は、次の各処理部を備える。すなわち、IPS評価装置101は、入力部102、遅延測定部103、損失検出部104、攻撃パケット生成部105、トリガパケット生成部106、第1測定パケット分配部107、第2測定パケット分配部108、上り分配部109、下り分配部110、上り挿入制御部111、下り挿入制御部112、上りフィルタ部113、下りフィルタ部114、出力部116を備える。また、図に示すようにバックグラウンドトラフィック115は、バックグラウンドトラフィック上り115aと、バックグラウンドトラフィック下り115bから成る。また、上り分配部109は上り方向(第1測定パケット分配部107方向)に評価用トラフィック117を出力し、下り分配部110は下り方向(第2測定パケット分配部108方向)に評価用トラフィック117を出力する。
FIG. 2 is a diagram showing an internal configuration of the
IPS導入予定ネットワーク600に接続したIPS評価装置101において、バックグラウンドトラフィック115がユーザの実ネットワークである。IPS評価装置101では、イーサネット(登録商標)等の全二重通信において双方向の通信でIPSの評価が可能となる構成である。また、バックグラウンドトラフィック115は、上り分配部109と下り分配部110によってネットワークが分岐している。上り分配部109は、バックグラウンドトラフィック上り115aのパケットのコピーを評価用トラフィック117側に送信する。下り分配部110は、バックグラウンドトラフィック下り115bのパケットのコピーを評価用トラフィック117側に送信する。このようにコピーすることにより、評価用トラフィック117は、バックグラウンドトラフィック115と同じ通信状態が実現できる。このコピーした評価用トラフィック117を使用して評価対象IPS400の評価を行う。
In the
IPS評価装置101では、評価対象IPS400の攻撃パケット検知検証、パケット遅延測定、パケット損失検証を行う。すなわち、IPS評価装置101は、検知用パケット生成装置、パケット通過時間評価装置及びパケット損失評価装置の機能を備える。IPS評価装置101については、後述のように、それぞれ検知用パケット生成装置、パケット通過時間評価装置及びパケット損失評価装置として説明する。
The
IPS評価装置101の動作について説明する前に、入力部102がIPS管理端末500から受信した情報を攻撃パケット生成部105や上りフィルタ部113等の各処理部に通知するまでを図3のフローチャート、及び図4〜図6に沿って説明する。
(1)まず、IPS評価装置101で行う検証種類は、(a)攻撃パケット検知検証、あるいは(b)パケット遅延測定、あるいは(c)パケット損失検証の3種類のいずれかとなる(S1)。検証種類の指示はIPS管理端末500が行う。
(2)図3における検証種類が攻撃パケット検知検証であるときのフローについて図4を参照して説明する。なお図4は検証方向が上りの場合を示している。IPS管理端末500は、図4に示すように、「検証種類の指示」、「攻撃パケット情報」及び「検証方向」を入力部102に通知する。「攻撃パケット情報」とは、攻撃パケットのIPアドレス、上位プロトコルの情報などであり、入力部102は「攻撃パケット情報」を攻撃パケット生成部105へ通知する(S2)。
(3)また、検証方向の指示が上り方向である場合は(S3)、入力部102は、これを攻撃パケット生成部105へ通知するとともに(S4)、加えて前記「攻撃パケット情報」を上りフィルタ部113へ通知する(S5)。
(4)検証方向の指示が下り方向である場合は(S3)、入力部102は、これを攻撃パケット生成部105へ通知するとともに(S6)、前記「攻撃パケット情報」を下りフィルタ部114へ通知する(S7)。
(5)その後、攻撃パケット検知検証の開始指示を各処理部へ通知し(S8)、検証を開始する。
Before explaining the operation of the
(1) First, the type of verification performed by the
(2) A flow when the verification type in FIG. 3 is attack packet detection verification will be described with reference to FIG. FIG. 4 shows a case where the verification direction is uplink. As shown in FIG. 4, the
(3) If the verification direction instruction is the upward direction (S3), the
(4) If the verification direction instruction is the downlink direction (S3), the
(5) Thereafter, an instruction to start attack packet detection verification is sent to each processing unit (S8), and verification is started.
次に、図3における検証種類がパケット遅延測定であるときのフローについて図5を参照して説明する。なお図5は、検証方向が上りの場合を示している。検証種類がパケット遅延測定の場合、入力部102は、IPS管理端末500から検証種類がパケット遅延測定であること、トリガパケット情報、及び検証方向を通知される。
(1)パケット遅延測定の場合は、入力部102は「トリガパケット情報」として、トリガパケットのIPアドレス、上位プロトコルの情報の通知を受ける。入力部102は、この「トリガパケット情報」を遅延測定部103、トリガパケット生成部106へ通知する(S9)。
(2)また、検証方向の指示が上り方向である場合は(S10)、これを遅延測定部103、トリガパケット生成部106、第1測定パケット分配部107及び第2測定パケット分配部108へ通知するとともに(S11)、加えて前記「トリガパケット情報」を上りフィルタ部113へ通知する(S12)。
(3)検証方向の指示が下り方向である場合は(S10)、これを遅延測定部103(S13)、トリガパケット生成部106、第1測定パケット分配部107及び第2測定パケット分配部108へ通知するとともに、加えて「トリガパケット情報」を下りフィルタ部114へ通知する(S14)。
(4)その後、入力部102はパケット遅延測定の開始指示を各処理部へ通知し(S15)、検証を開始する。
Next, a flow when the verification type in FIG. 3 is packet delay measurement will be described with reference to FIG. FIG. 5 shows a case where the verification direction is uplink. When the verification type is packet delay measurement, the
(1) In the case of packet delay measurement, the
(2) If the verification direction instruction is the uplink direction (S10), this is notified to the
(3) When the verification direction is in the down direction (S10), this is sent to the delay measurement unit 103 (S13), the trigger
(4) Thereafter, the
次に、図3における検証種類がパケット損失検証であるときのフローについて図6を参照して説明する。なお図6は、検証方向が上りの場合を示している。検証種類がパケット損失検証の場合、入力部102は、IPS管理端末500から検証種類がパケット損失検証であること、及び検証方向を通知される。
(1)パケット損失検証の場合は、入力部102は、パケット損失検証時間の情報を損失検出部104へ通知する(S16)。
(2)また、検証方向の指示が上り方向である場合は(S17)、これを損失検出部104、第1測定パケット分配部107及び第2測定パケット分配部108へ通知する(S18)。
(3)検証方向の指示が下り方向である場合は(S17)、これを損失検出部104、第1測定パケット分配部107及び第2測定パケット分配部108へ通知する(S19)。
(4)その後、入力部102はパケット損失検証の開始指示を各処理部へ通知し(S20)、検証を開始する。
Next, a flow when the verification type in FIG. 3 is packet loss verification will be described with reference to FIG. FIG. 6 shows a case where the verification direction is uplink. When the verification type is packet loss verification, the
(1) In the case of packet loss verification, the
(2) If the verification direction instruction is the uplink direction (S17), this is notified to the
(3) If the verification direction instruction is the downlink direction (S17), this is notified to the
(4) Thereafter, the
以上が(a)攻撃パケット検知検証、(b)パケット遅延測定、(c)パケット損失検証のそれぞれの場合に、図2の入力部102がIPS管理端末500から情報の通知を受け、通知を受けた情報を各処理部に通知するまでのフローである。
In the above cases (a) attack packet detection verification, (b) packet delay measurement, and (c) packet loss verification, the
次に、上り方向の場合を例にとり、IPS評価装置101による評価対象IPS400に対する(a)攻撃パケット検知検証、(b)パケット遅延測定、(c)パケット損失検証のそれぞれの検証について説明する。
Next, taking the case of the upstream direction as an example, each of (a) attack packet detection verification, (b) packet delay measurement, and (c) packet loss verification on the
まず、図7、図8を使用して評価対象IPS400に対する攻撃パケット検知検証について説明する。攻撃パケット検知検証の場合、IPS評価装置101は、検知用パケット生成装置としての機能を有し、検知用パケット生成装置と見ることができる。図7において、第1測定パケット分配部107、上り分配部109及び上りフィルタ部113は、複製部150を構成している。
(1)攻撃パケット生成部105(検知用パケット生成部の一例)は、「攻撃パケット情報」により指定されたIPアドレス、上位プロトコル等により、評価対象IPS400が検出すべき攻撃パケット(検知用パケットの一例)を生成する。攻撃パケット生成部105は、検証方向が上り方向である指示に従い、上り挿入制御部111へ攻撃パケットを渡す(S101)。
(2)上り挿入制御部111は、バックグラウンドトラフィック上り115a(パケットトラフィック)入力するとともに、攻撃パケット生成部105から攻撃パケットを入力し、バックグラウンドトラフィック上り115aに含まれるパケットと攻撃パケットとを混合し、「混合パケット」として、複製部150の上り分配部109に出力する(S102)。
(3)上り分配部109は、上り挿入制御部111から「混合パケット」を入力し、入力した「混合パケット」のコピーを「複製パケット」として生成する。そして、上り分配部109は、「複製パケット」(出力パケット)を第1測定パケット分配部107に向け、評価用トラフィック117として出力する(S103)。また、複製元である「混合パケット」(残余パケット)を上りフィルタ部113に出力する。なお、「複製パケット」を上りフィルタ部113に出力し、「混合パケット」を第1測定パケット分配部107に出力しても構わない。上り分配部109は、「混合パケット」と「複製パケット」とを出力対象とし、一方を第1測定パケット分配部107へ出力し、他方を上りフィルタ部113へ出力すればよい。いずに出力するかは、予め設定しておけばよい。
(4)攻撃パケット検知検証においては、第1測定パケット分配部107は、評価用トラフィック117における上り方向のパケットを通過させ、下り方向のパケットを遮断する(S104)。
(5)第1測定パケット分配部107は、攻撃パケットを含む「複製パケット」を評価対象IPS400に送信する(S105)。
(6)評価対象IPS400は、攻撃パケットの検知をIPS管理端末500に通知する(S106)。これにより、ユーザ実環境において攻撃パケットが正しく検知されるかどうかの検証が可能となる。
(7)また、上りフィルタ部113は、入力した「混合パケット」について、あらかじめ入力部102から通知された攻撃パケット情報とIPアドレス、上位プロトコル等が一致するパケット(攻撃パケット)を遮断する(S107)。これにより、「混合パケット」に含まれる攻撃パケットを遮断する。上りフィルタ部113は、「混合パケット」(残余パケット)から攻撃パケットが削除されたバックグラウンドトラフィック上り115aを出力する。これにより、IPS評価装置101外部のユーザ実ネットワークに影響を与えないことを実現している。
First, attack packet detection verification for the
(1) The attack packet generation unit 105 (an example of a detection packet generation unit) is configured to detect an attack packet (detection packet of the detection packet) to be detected by the
(2) The uplink insertion control unit 111 inputs the
(3) The
(4) In the attack packet detection verification, the first measurement
(5) The first measurement
(6) The
(7) For the input “mixed packet”, the
次に、図9、図10を使用して、評価対象IPS400に対するパケット遅延測定について説明する。パケット遅延測定の場合、IPS評価装置101は、評価対象IPS400をパケットが通過する場合の通過時間を評価するパケット通過時間評価装置と見ることができる。図9において、第1測定パケット分配部107、上り分配部109及び上りフィルタ部113は、複製部150を構成している。
(1)トリガパケット生成部106(評価用パケット生成部の一例)は、「トリガパケット情報」により指定されたIPアドレス、上位プロトコル等により、遅延測定部103がパケット遅延測定を行うための「トリガパケット」(評価用パケット)を生成する。そして、検証方向が上り方向である指示に従い、上り挿入制御部111へ「トリガパケット」を渡す(S201)。
(2)上り挿入制御部111は、バックグラウンドトラフィック上り115a(パケットトラフィック)入力するとともに、トリガパケット生成部106から「トリガパケット」を入力し、バックグラウンドトラフィック上り115aに含まれるパケットと「トリガパケット」とを混合し、「混合パケット」として、複製部150の上り分配部109に出力する(S202)。
(3)上り分配部109は、上り挿入制御部111から「混合パケット」を入力し、入力した「混合パケット」のコピーを「第1複製パケット」として生成する。そして、上り分配部109は、「第1複製パケット」を第1測定パケット分配部107に向け、評価用トラフィック117として出力する(S203)。また、複製元である「混合パケット」を上りフィルタ部113に出力する。
(4)第1測定パケット分配部107は、上り分配部109から「第1複製パケット」を入力すると「第1複製パケット」を複製元として「第2複製パケット」を生成し、生成した「第2複製パケット」(第2出力パケット)を遅延測定部103へ送信するとともに、上り分配部109から入力した「第1複製パケット」(第1出力パケット)を評価対象IPS400に送信する(S204)。
(5)このとき、遅延測定部103は、第1測定パケット分配部107から受信した「第2複製パケット」に含まれるトリガパケットの受信時刻を記録する(S205)。
(6)第2測定パケット分配部108は、評価対象IPS400を通過した「第1複製パケット」を受信し、受信した「第1複製パケット」を遅延測定部103へ送信する(S206)。
(7)遅延測定部103は、第2測定パケット分配部108から受信した「第1複製パケット」に含まれる「トリガパケット」の受信時刻を記録する。遅延測定部103は、「第2複製パケット」に含まれるトリガパケットの受信時刻と、「第1複製パケット」に含まれるトリガパケットの受信時刻との時刻差により、評価対象IPS400中継によるトリガパケットの遅延時間を得る(S207)。
(8)遅延測定部103は、パケット遅延測定結果を出力部116に通知し(S208)、出力部116はこれをIPS管理端末500へ通知する(S209)。
(9)また、上りフィルタ部113は、上り分配部109から入力した「混合パケット」について、あらかじめ入力部102から通知されたトリガパケット情報とIPアドレス、上位プロトコル等が一致するパケット(トリガパケット)を遮断する。これにより、「混合パケット」に含まれるトリガパケットを遮断する。上りフィルタ部113は、「混合パケット」(第3出力パケット)からトリガパケットが削除されたバックグラウンドトラフィック上り115aを出力する。これにより、IPS評価装置101外部のユーザ実ネットワークに影響を与えないことを実現している。
(10)なお、上記では複製部150の上り分配部109が混合パケットを複製元として「第1複製パケット」を生成し第1測定パケット分配部107へ出力した。そして、第1測定パケット分配部107が「第1複製パケット」を複製元として「第2複製パケット」を生成し遅延測定部103に出力した。また、上り分配部109は「混合パケット」を上りフィルタ部113へ出力し、上りフィルタ部113により「混合パケット」に含まれるトリガパケットを削除した。しかし、これに限るものではなく、複製部150は、上り挿入制御部111が出力した「混合パケット」を入力し、入力した「混合パケット」に基づいて混合パケットの複製である「第1複製パケット」と「第2複製パケット」とを生成すればよい。そして、「混合パケット」と「第1複製パケット」と「第2複製パケット」とを出力対象として、これら出力対象のうちいずれかを評価対象IPS400(パケット検知装置)に向けて第1出力パケットとして出力し、第1出力パケットとして出力しない出力対象のうちのいずれかを「第2出力パケット」として遅延測定部103(通過時間評価部)に出力し、第1出力パケットとしても第2出力パケットとしても出力しない出力対象を第3出力パケットとして第3出力パケットに含まれる「トリガパケット」(評価用パケット)を削除し、「トリガパケット」が削除された第3出力パケットを所定のネットワークに向け、バックグラウンドトラフィック上り115aとして出力すればよい。
Next, packet delay measurement for the
(1) The trigger packet generation unit 106 (an example of an evaluation packet generation unit) is configured to execute a “trigger” for the
(2) The uplink insertion control unit 111 inputs the
(3) The
(4) When the first measurement
(5) At this time, the
(6) The second measurement
(7) The
(8) The
(9) Further, the
(10) In the above description, the
次に、図11、図12を使用して、評価対象IPS400に対するパケット損失検証について説明する。パケット遅延測定の場合、IPS評価装置101は、評価対象IPS400(パケット検知装置)をパケットが通過する場合のパケットの損失を評価するパケット損失評価装置と見ることができる。図11において、第1測定パケット分配部107、上り分配部109及び上りフィルタ部113は、複製部150を構成している。パケット損失検証において主として動作するのは、上り分配部109、損失検出部104、第1測定パケット分配部107、及び第2測定パケット分配部108である。
(1)上り挿入制御部111は、バックグラウンドトラフィック上り115a(パケットトラフィック)を入力して、そのまま通過させる(S301)。
(2)上り分配部109は、上り挿入制御部111からバックグラウンドトラフィック上り115aを入力し、入力した「バックグラウンドトラフィック上り115a」に含まれる複数のパケット(以下、「複製元パケット」という)のコピーを、「第1複製パケット」として生成する。そして、上り分配部109は、「第1複製パケット」を第1測定パケット分配部107に向け、評価用トラフィック117として出力するとともに、「複製元パケット」を上りフィルタ部113に出力する(S302)。
(3)第1測定パケット分配部107は、上り分配部109から「第1複製パケット」を入力すると、「第1複製パケット」を複製元として「第2複製パケット」を生成し、生成した「第2複製パケット」(第2出力パケット)を損失検出部104へ送信するとともに、上り分配部109から入力した「第1複製パケット」(第1出力パケット)を評価対象IPS400に送信する(S303)。
(4)第2測定パケット分配部108は、評価対象IPS400を通過した「第1複製パケット」(第1出力パケット)を受信し、受信した「第1複製パケット」を損失検出部104へ送信する(S304)。
(6)損失検出部104は、第2測定パケット分配部108から「第1複製パケット」を受信し、第2測定パケット分配部108から受信した「第1複製パケット」と、第1測定パケット分配部107から受信した「第2複製パケット」に基づき、評価対象IPS400を通過するパケットの損失を評価する(S305)。具体的な評価については、図15の説明で後述する。
(7)なお上記では、複製部150の上り分配部109が「複製元パケット」を複製元として「第1複製パケット」を生成し、第1測定パケット分配部107へ出力した。そして、第1測定パケット分配部107は、「第1複製パケット」を複製元として「第2複製パケット」を生成し、損失検出部104に出力した。しかし、これに限るものではなく、複製部150は、上り挿入制御部111を通過した「複製元パケット」を入力し、入力した「複製元パケット」に基づいて複製元パケットの複製である「第1複製パケット」と「第2複製パケット」とを生成すればよい。そして、「複製元パケット」と「第1複製パケット」と「第2複製パケット」とを出力対象として、これら出力対象のうちいずれかを評価対象IPS400(パケット検知装置)に向けて第1出力パケットとして出力し、第1出力パケットとして出力しない出力対象のうちのいずれかを「第2出力パケット」として損失検出部104に出力し、第1出力パケットとしても第2出力パケットとしても出力しない出力対象を第3出力パケットとして所定のネットワークに向け、バックグラウンドトラフィック上り115aとして出力すればよい。
Next, packet loss verification for the
(1) The uplink insertion control unit 111 inputs the
(2) The
(3) When the first measurement
(4) The second
(6) The
(7) In the above description, the
次に、損失検出部104の内部構成を説明する。図13は、損失検出部104の内部構成を示す図である。図に示すように、損失検出部104は、全体制御部1041、入力部1042(第2出力パケット入力部)、入力部1043(第1出力パケット入力部)、バッファ制御部1044(格納制御部)、パケット情報バッファ部1045(格納部)及びタイマー部1046を備える。
Next, the internal configuration of the
全体制御部1041は、損失検出部104の内部全体の制御を行う。全体制御部1041の処理フローチャートを図14に示す。図14を参照して、全体制御部1041の動作を説明する。
(1)全体制御部1041は、IPS評価装置101の入力部102から損失検証指示を受信すると(T1)、損失検出部104内の各部へ開始通知と検証方向を通知する(T2)。
(2)その後は、タイマー部1046から検証経過時間を受信し(T3)、一定時間が経過した場合(T4)、入力停止を入力部1042に通知する(T5)。
(3)さらにタイマー部1046から検証経過時間を受信し(T6)、一定時間が経過した場合(T7)、終了通知を各部に通知する(T8)。
(4)その後、バッファ制御部1044が行うパケット損失検出判定を受信し(T9)、パケット損失を検出(T10)した場合は、パケット損失検出を出力部116へ通知し(T11)、パケット損失を検出(T10)しなかった場合は、パケット損失未検出を出力部116へ通知する(T12)。
(5)検証方向が上りである場合、入力部1042は、評価対象IPS400通過前の「第2複製パケット」(第2出力パケット)を受信し、入力部1043は、評価対象IPS400通過後の「第1複製パケット」(第1出力パケット)を受信する。
(6)入力部1042、及び入力部1043は、それぞれ受信した「第2複製パケット」及び「第1複製パケット」のそれぞれのパケットが保有するパケット情報をバッファ制御部1044に通知する。ここで「パケット情報」とは、「パケットを識別するためのIPヘッダ情報(IPアドレス、フラグメントID、フラグメントオフセット)と、パケット損失が発生した場合に、評価対象IPS400が、どのアプリケーションに依存してパケットを損失したかを知るためのIP上位プロトコルの情報」(第1個別保有情報の一例、第2個別保有情報の一例)である。
(7)また、入力部1042は、全体制御部1041からの入力停止通知により、評価対象IPS400通過前の「第2複製パケット」についての「パケット情報」(第2個別保有情報の一例)をバッファ制御部1044に通知することを停止する。また、入力部1043は、終了通知により、評価対象IPS400通過後の「第1複製パケット」についての「パケット情報」(第1個別保有情報の一例)をバッファ制御部1044へ通知することを停止する。
(8)バッファ制御部1044は、評価対象IPS400通過前パケットと通過後パケットのパケット情報と、パケット情報バッファ部1045とを使用して、評価対象IPS400によるパケットの損失を検出する。
(9)バッファ制御部1044の処理フローチャートを図15に示す。
The
(1) When receiving the loss verification instruction from the
(2) Thereafter, the verification elapsed time is received from the timer unit 1046 (T3), and when the fixed time has elapsed (T4), the
(3) Further, the verification elapsed time is received from the timer unit 1046 (T6), and when a predetermined time has elapsed (T7), an end notification is notified to each unit (T8).
(4) After that, the packet loss detection determination performed by the
(5) When the verification direction is uplink, the
(6) The
(7) Further, the
(8) The
(9) A processing flowchart of the
図15では、バッファ制御部1044は、開始通知を受信(U1)後は終了通知を受信(U2)するまで以下の処理を繰り返す。
(1)評価対象IPS400通過前の「第2複製パケット」を受信した場合(U3)、その「パケット情報」をパケット情報バッファ部1045に登録する(U4)。
(2)評価対象IPS400通過後の「第1複製パケット」を受信した場合(U3)、受信した「第1複製パケット」の「パケット情報」でパケット情報バッファ部1045を検索し(U5)、ヒットしたエントリをパケット情報バッファ部1045から削除する(U6)。
(3)終了通知を受信後は、パケット情報バッファ部1045に残っているエントリがあるかどうかをチェックして(U7)、結果を全体制御部1041へ通知する(U8)。
In FIG. 15, after receiving the start notification (U1), the
(1) When the “second duplicate packet” before passing through the
(2) When the “first duplicate packet” after passing through the
(3) After receiving the end notification, it is checked whether there is an entry remaining in the packet information buffer unit 1045 (U7), and the result is notified to the overall control unit 1041 (U8).
バッファ制御部1044の機能を実装により実現するためには、パケット情報バッファ部1045が、検索可能なバッファであるCAM(Content Addresable Memory:内容参照可能メモリ)を用いることで実現可能である。送信元IPアドレス、宛先IPアドレス、フラグメントID、フラグメントオフセットの合計93bitを検索に使用するデータ列とし、これを1エントリとしてパケット情報バッファ部1045にて登録、検索、削除の処理を行うことで、上記の方式が実現可能である。
In order to realize the function of the
また、この検索用データ列に加えて、IP上位プロトコルの情報として96bitのデータ格納用のバッファを持つとした場合、容量が512MbyteのCAMを用いることにより、約2,300万エントリ分のバッファとなる。これはIPショートパケットが1Gbpsネットワークに約14秒間転送されるパケット数である。 In addition to this search data string, if it has a 96-bit data storage buffer as IP upper protocol information, a buffer of about 23 million entries can be obtained by using a CAM with a capacity of 512 Mbytes. Become. This is the number of packets for which IP short packets are transferred to a 1 Gbps network for about 14 seconds.
上記の方式では、評価対象IPS400通過後の「第1複製パケット」の受信ごとにバッファの開放を行うため、パケット損失検証時間が増えても必要となるバッファ容量は一定以上増えない。上記方式で必要なバッファ容量は、評価対象IPS400で抱え込む最大パケット数に依存するが、2300万個ものパケットを抱え込むことは考えられず、上記方式は、512Mbyte容量のCAMで十分実現可能である。
In the above method, since the buffer is released every time the “first duplicate packet” is received after passing through the
タイマー部1046は、パケット損失検証時間を制御するためのもので、検証開始から一定時間ごとに経過時間を全体制御部1041に通知する。
The
パケット損失検証実施後は、損失検出部104は、損失検証結果を出力部116に通知し、出力部116はこれをIPS管理端末500へ通知する。
After performing the packet loss verification, the
以上は上り方向の通信における各検証を示したが、下り方向も同様に実装可能である。 The above shows each verification in the uplink communication, but the downlink can be similarly implemented.
次に、図16を使用して、上り挿入制御部111、および下り挿入制御部112の構造について説明する。上り挿入制御部111と下り挿入制御部112の構造は同様であり、図16は、上り挿入制御部111の構成を示している。上り挿入制御部111は、入力部1112、パケットバッファ部1113、出力部1114、割り込みパケット入力部1115を備える。
(1)入力部1112は、バックグラウンドトラフィック115を流れるパケット(以下、ユーザパケットと記述する)をパケットバッファ部1113に一時的に格納する。
(2)割り込みパケット入力部1115は、「攻撃パケット」あるいは「トリガパケット」(以下、割り込みパケットと記述する)を攻撃パケット生成部105、あるいはトリガパケット生成部106から受信し、出力部1114に送信する。
(3)出力部1114は、ユーザパケットと割り込みパケットをバックグラウンドトラフィック115に送信する。
(4)パケットバッファ部1113は、バックグラウンドトラフィック115がフル帯域でパケットが転送中である場合であっても、割り込みパケットを確実にバックグラウンドトラフィック115に挿入し、また、割り込みパケットの挿入中に上り挿入制御部111の入力を停止させないためのものである。パケットバッファ部1113に一時的に滞留したデータは、ユーザパケットがフル帯域で流れなくなったときに解消される。
Next, the structures of the uplink insertion control unit 111 and the downlink insertion control unit 112 will be described using FIG. The structures of the uplink insertion control unit 111 and the downlink insertion control unit 112 are the same, and FIG. 16 shows the configuration of the uplink insertion control unit 111. The uplink insertion control unit 111 includes an
(1) The
(2) The interrupt
(3) The
(4) The
以上のように本実施の形態1によれば、あるユーザの実ネットワークにIPSを導入しようと検討する際に、そのIPSが対象ネットワークで十分な品質を満たすかどうかを正確かつ容易に検証することが可能である。 As described above, according to the first embodiment, when considering the introduction of IPS into a real network of a certain user, it is accurately and easily verified whether or not the IPS satisfies a sufficient quality in the target network. Is possible.
また、IPSによって損失されるパケットを特定する場合においても、検証時間によって必要となるバッファ量が増えることは無いため、バッファ量削減にも有効である。 Further, even when a packet lost due to IPS is specified, the required buffer amount does not increase depending on the verification time, which is effective in reducing the buffer amount.
また、攻撃パケット検知検証時の攻撃パケット、パケット遅延測定時のトリガパケットを確実にネットワークに挿入することが可能である。また、IPネットワークにおけるIPSの導入支援システムであるが、IP以外のネットワークへの適用も可能である。 Further, it is possible to reliably insert an attack packet at the time of attack packet detection verification and a trigger packet at the time of packet delay measurement into the network. Further, although the IPS introduction support system in the IP network is applicable to a network other than the IP.
実施の形態1のIPS評価装置は、攻撃パケット生成部と、挿入制御部と、複製部とを備えたので、実環境において、評価対象IPSによる攻撃パケットの検知を評価することができる。 Since the IPS evaluation apparatus according to the first embodiment includes the attack packet generation unit, the insertion control unit, and the duplication unit, it is possible to evaluate the detection of the attack packet by the evaluation target IPS in a real environment.
実施の形態1のIPS評価装置は、トリガパケット生成部と、遅延測定部と、挿入制御部と、複製部とを備えたので、実環境において、評価対象IPSをパケットが通過する場合の遅延時間を測定することができる。 Since the IPS evaluation apparatus according to the first embodiment includes the trigger packet generation unit, the delay measurement unit, the insertion control unit, and the duplication unit, the delay time when the packet passes through the evaluation target IPS in the actual environment. Can be measured.
実施の形態1のIPS評価装置は、損出検出部と、複製部とを備えたので、実環境において、評価対象IPSをパケットが通過する場合のパケットの損失を検証することができる。 Since the IPS evaluation apparatus according to the first embodiment includes the loss detection unit and the duplication unit, it is possible to verify the packet loss when the packet passes through the evaluation target IPS in an actual environment.
実施の形態1の損出検出部は、バッファ制御部がパケット情報バッファ部を検索し、ヒットしたパケット情報をパケット情報バッファ部から削除するので、パケット損失の検証時間が増えた場合であってもバッファ容量を一定以下に抑えることができる。 In the loss detection unit of the first embodiment, the buffer control unit searches the packet information buffer unit and deletes the hit packet information from the packet information buffer unit. Therefore, even if the packet loss verification time increases. The buffer capacity can be kept below a certain level.
実施の形態2.
図17を参照して実施の形態2を説明する。図17は、実施の形態1の図7に示した検知用パケット生成装置に対して、別の例を示す図である。図7に示した例では、「混合パケット」を複製した。すなわち、「混合パケット」は、バックグラウンドトラフィック上り115aを構成するパケットと、攻撃パケットとを含んでいるので、「混合パケット」を複製する場合は、バックグラウンドトラフィック上り115aを構成するパケットと、攻撃パケットとを複製する。これに対して、本実施の形態2では、攻撃パケットは複製せず、バックグラウンドトラフィック上り115aを構成するパケットのみ複製する。そして、複製部150は、入力した「バックグラウンドトラフィック上り115aを構成するパケット」あるいは「バックグラウンドトラフィック上り115aを構成するパケットの複製」に攻撃パケットを含めて評価対象IPS400に送信する。攻撃パケットを含めない方の「バックグラウンドトラフィック上り115aを構成するパケット」あるいは「バックグラウンドトラフィック上り115aを構成するパケットの複製」は、バックグラウンドトラフィック上り115aとして出力する。これにより、図7で必要とした上りフィルタ部113は不要となる。
The second embodiment will be described with reference to FIG. FIG. 17 is a diagram illustrating another example of the detection packet generation device illustrated in FIG. 7 of the first embodiment. In the example shown in FIG. 7, the “mixed packet” is duplicated. That is, since the “mixed packet” includes a packet constituting the
図17では、検知用パケット生成装置としてのIPS評価装置101は、以下の動作である。
(1)攻撃パケット生成部105(検知用パケット生成部)は、評価対象IPS400(パケット検知装置)に検知させるための攻撃パケット(検知用パケット)を生成する。
(2)複製部150の上り分配部109は、バックグラウンドトラフィック上り115a(パケットトラフィック)と攻撃パケット生成部105が生成した攻撃パケットとを入力する。そして、入力したバックグラウンドトラフィック上り115aに含まれる複数のパケットを複製元として複製パケットを生成する。そして、複製元である複数のパケットと、複製した「複製パケット」とのいずれかに、入力した攻撃パケットを混合し、「混合パケット」として評価対象IPS400に向けて出力するとともに、攻撃パケットが混合されなかった前記複数のパケットと「複製パケット」とのいずれかを、前記所定のネットワークに向けてバックグラウンドトラフィック上り115aとして出力する。なお、下りの場合も同様である。
In FIG. 17, the
(1) The attack packet generation unit 105 (detection packet generation unit) generates an attack packet (detection packet) for the evaluation target IPS 400 (packet detection device) to detect.
(2) The
実施の形態2のIPS評価装置は、複製部がバックグラウンドトラフィック上り115aを構成するパケットのみを複製するので、攻撃パケットの削除が不要となる。
In the IPS evaluation apparatus according to the second embodiment, since the duplicating unit duplicates only the packet constituting the
1 擬似的負荷装置、2 評価対象IPS、3 IPS管理端末、4 攻撃用端末、5 ハブ、6 試験用ネットワーク、11 IPネットワーク、12 性能測定装置、13 ルータ、14 評価対象IPS、15 IPS管理端末、16 攻撃用端末、17 ハブ、18 IPS導入予定ネットワーク、101 IPS評価装置、102 入力部、103 遅延測定部、104 損失検出部、105 攻撃パケット生成部、106 トリガパケット生成部、107 第1測定パケット分配部、108 第2測定パケット分配部、109 上り分配部、110 下り分配部、111 上り挿入制御部、112 下り挿入制御部、113 上りフィルタ部、114 下りフィルタ部、115 バックグラウンドトラフィック、115a バックグラウンドトラフィック上り、115b バックグラウンドトラフィック下り、116 出力部、117 評価用トラフィック、200 IPネットワーク、300a,300b ルータ、400 評価対象IPS、500 IPS管理端末、600 IPS導入予定ネットワーク、1041 全体制御部、1042 入力部、1043 入力部、1044 バッファ制御部、1045 パケット情報バッファ部、1046 タイマー部、1112 入力部、1113 パケットバッファ部、1114 出力部、1115 割り込みパケット入力部。 1 pseudo load device, 2 evaluation target IPS, 3 IPS management terminal, 4 attack terminal, 5 hub, 6 test network, 11 IP network, 12 performance measurement device, 13 router, 14 evaluation target IPS, 15 IPS management terminal , 16 Attack terminal, 17 Hub, 18 IPS planned network, 101 IPS evaluation apparatus, 102 input unit, 103 delay measurement unit, 104 loss detection unit, 105 attack packet generation unit, 106 trigger packet generation unit, 107 first measurement Packet distribution unit, 108 Second measurement packet distribution unit, 109 Up distribution unit, 110 Down distribution unit, 111 Up insertion control unit, 112 Down insertion control unit, 113 Up filter unit, 114 Down filter unit, 115 Background traffic, 115a Background traffic Upstream, 115b Background traffic down, 116 output unit, 117 evaluation traffic, 200 IP network, 300a, 300b router, 400 evaluation target IPS, 500 IPS management terminal, 600 IPS planned network, 1041 overall control unit, 1042 input Unit, 1043 input unit, 1044 buffer control unit, 1045 packet information buffer unit, 1046 timer unit, 1112 input unit, 1113 packet buffer unit, 1114 output unit, 1115 interrupt packet input unit.
Claims (7)
前記パケット検知装置に検知させるための検知用パケットを生成する検知用パケット生成部と、
所定のネットワークに向かう複数のパケットの流れを示すパケットトラフィックと前記検知用パケット生成部が生成した前記検知用パケットとを入力し、入力した前記パケットトラフィックに含まれる複数のパケットと入力した前記検知用パケットとを混合して混合パケットとして出力する混合部と、
前記混合部が出力した混合パケットを入力し、入力した前記混合パケットに基づいて前記混合パケットの複製である複製パケットを生成し、前記混合パケットと前記複製パケットとを出力対象として前記出力対象のうちいずれかを前記パケット検知装置に向けて出力パケットとして出力するとともに、前記出力パケットとして出力しない出力対象を残余パケットとして前記残余パケットに含まれる前記検知用パケットを削除し、前記検知用パケットが削除された前記残余パケットを前記所定のネットワークに向けて出力する複製部と
を備えたことを特徴とする検知用パケット生成装置。 In a detection packet generation device that generates a packet for detection by a packet detection device that detects a predetermined packet as a detection target, a detection packet generation unit that generates a detection packet for detection by the packet detection device;
Input the packet traffic indicating the flow of a plurality of packets toward a predetermined network and the detection packet generated by the detection packet generator, and input the plurality of packets included in the input packet traffic A mixing unit that mixes the packets and outputs them as mixed packets;
The mixed packet output by the mixing unit is input, a duplicate packet that is a duplicate of the mixed packet is generated based on the input mixed packet, and the mixed packet and the duplicate packet are set as output targets. Any one of them is output as an output packet toward the packet detection device, the output packet not output as the output packet is set as a residual packet, the detection packet included in the residual packet is deleted, and the detection packet is deleted And a duplicating unit that outputs the residual packet toward the predetermined network.
ネットワークを攻撃するパケットを検知し、
前記検知用パケット生成部は、
前記検知用パケットとして、前記ネットワークを攻撃するパケットを生成することを特徴とする請求項1記載の検知用パケット生成装置。 The packet detection device includes:
Detect packets that attack the network,
The detection packet generator is
The detection packet generation device according to claim 1, wherein a packet that attacks the network is generated as the detection packet.
前記通過時間の評価に使用する評価用パケットを生成する評価用パケット生成部と、
前記通過時間を評価する通過時間評価部と、
所定のネットワークに向かう複数のパケットの流れを示すパケットトラフィックと前記評価用パケット生成部が生成した前記評価用パケットとを入力し、入力した前記パケットトラフィックに含まれる複数のパケットと入力した前記評価用パケットとを混合して混合パケットとして出力する混合部と、
前記混合部が出力した混合パケットを入力し、入力した前記混合パケットに基づいて前記混合パケットの複製である第1複製パケットと第2複製パケットとを生成し、前記混合パケットと前記第1複製パケットと前記第2複製パケットとを出力対象として前記出力対象のうちいずれかを前記パケット検知装置に向けて第1出力パケットとして出力し、前記第1出力パケットとして出力しない前記出力対象のうちのいずれかを第2出力パケットとして前記通過時間評価部に出力し、前記第1出力パケットとしても前記第2出力パケットとしても出力しない前記出力対象を第3出力パケットとして前記第3出力パケットに含まれる前記評価用パケットを削除し、前記評価用パケットが削除された前記第3出力パケットを前記所定のネットワークに向けて出力する複製部と
を備え、
前記通過時間評価部は、
前記複製部が出力した前記第2出力パケットと前記パケット検知装置を通過した前記第1出力パケットとを入力し、入力した前記第2出力パケットに含まれる前記評価用パケットと入力した前記第1出力パケットに含まれる前記評価用パケットとのそれぞれの入力時刻を記録し、記録したそれぞれの前記入力時刻に基づいて、前記パケット検知装置を通過するパケットの通過時間を評価することを特徴するパケット通過時間評価装置。 An evaluation packet generator for generating an evaluation packet used for evaluating the passage time in a packet passage time evaluation device for evaluating a passage time when a packet passes through a packet detection device that detects a predetermined packet as a detection target; ,
A transit time evaluation unit for evaluating the transit time;
Input the packet traffic indicating the flow of a plurality of packets toward a predetermined network and the evaluation packet generated by the evaluation packet generator, and input the plurality of packets included in the input packet traffic A mixing unit that mixes the packets and outputs them as mixed packets;
The mixed packet output by the mixing unit is input, and based on the input mixed packet, a first duplicate packet and a second duplicate packet that are duplicates of the mixed packet are generated, and the mixed packet and the first duplicate packet are generated. And the second duplicate packet as an output target, any one of the output targets is output to the packet detection device as a first output packet, and any one of the output targets that is not output as the first output packet Is output to the transit time evaluation unit as the second output packet, and the output target that is not output as the first output packet or the second output packet is included in the third output packet as the third output packet. And the third output packet from which the evaluation packet has been deleted is transferred to the predetermined network. Only and a replication unit for outputting,
The transit time evaluation unit
The second output packet output from the duplicating unit and the first output packet that has passed through the packet detection device are input, and the first output that is input to the evaluation packet included in the input second output packet A packet transit time characterized by recording each input time with the evaluation packet included in the packet and evaluating a transit time of the packet passing through the packet detection device based on each recorded input time Evaluation device.
パケットの損失を評価する損失評価部と、
所定のネットワークに向かう複数のパケットの流れを示すパケットトラフィックを入力し、入力した前記パケットトラフィックに含まれる複数のパケットに基づいて前記複数のパケットの複製である第1複製パケットと第2複製パケットとを生成し、前記複数のパケットと前記第1複製パケットと前記第2複製パケットとを出力対象として前記出力対象のうちいずれかを前記パケット検知装置に向けて第1出力パケットとして出力し、前記第1出力パケットとして出力しない前記出力対象のうちのいずれかを第2出力パケットとして前記損失評価部に出力し、前記第1出力パケットとしても前記第2出力パケットとしても出力しない前記出力対象を第3出力パケットとして前記所定のネットワークに向けて出力する複製部と
を備え、
前記損失評価部は、
前記パケット検知装置を通過した前記第1出力パケットと前記複製部が出力した前記第2出力パケットとを入力し、入力した前記第1出力パケットと入力した前記第2出力パケットとに基づいて、前記パケット検知装置を通過するパケットの損失を評価することを特徴とするパケット損失評価装置。 In a packet loss evaluation device that evaluates the loss of the packet that passes when a packet passes through a packet detection device that detects a predetermined packet as a detection target,
A loss evaluation unit for evaluating packet loss;
A packet traffic indicating a flow of a plurality of packets toward a predetermined network is input, and a first replication packet and a second replication packet that are duplicates of the plurality of packets based on the plurality of packets included in the input packet traffic, Generating the plurality of packets, the first duplicate packet, and the second duplicate packet as output targets, and outputting any one of the output targets to the packet detection device as a first output packet, Any one of the output targets that are not output as one output packet is output as a second output packet to the loss evaluation unit, and the output target that is not output as either the first output packet or the second output packet is the third output packet. A duplicating unit that outputs the output packet toward the predetermined network;
The loss evaluation unit
Based on the input first output packet and the input second output packet, the first output packet that has passed through the packet detector and the second output packet output by the duplicating unit are input. A packet loss evaluation apparatus characterized by evaluating a loss of a packet passing through a packet detection apparatus.
前記複製部から前記第2出力パケットを入力する第2出力パケット入力部と、
前記パケット検知装置を通過した前記第1出力パケットを入力する第1出力パケット入力部と、
前記第2出力パケット入力部が入力した前記第2出力パケットに含まれるそれぞれのパケットが保有する第2個別保有情報を格納する格納部と、
前記第1出力パケット入力部が入力した第1出力パケットに含まれるそれぞれのパケットが保有する第1個別保有情報を使用して前記第1個別保有情報に対応する前記第2個別保有情報を前記格納部から検索し、前記第1個別保有情報に対応する前記第2個別保有情報がヒットした場合にヒットした前記第2個別保有情報を前記格納部から削除し、前記格納部から削除した前記第2個別保有情報の削除結果に基づいて前記パケット検知装置を通過するパケットの損失を評価する格納制御部と
を備えたことを特徴とする請求項4記載のパケット損失評価装置。 The loss evaluation unit
A second output packet input unit for inputting the second output packet from the duplication unit;
A first output packet input unit for inputting the first output packet that has passed through the packet detection device;
A storage unit for storing second individual possession information possessed by each packet included in the second output packet input by the second output packet input unit;
The second individual holding information corresponding to the first individual holding information is stored using the first individual holding information held by each packet included in the first output packet input by the first output packet input unit. When the second individual holding information corresponding to the first individual holding information is hit, the second individual holding information that has been hit is deleted from the storage unit and deleted from the storage unit. 5. The packet loss evaluation apparatus according to claim 4, further comprising: a storage control unit that evaluates a loss of a packet passing through the packet detection apparatus based on a deletion result of the individual possession information.
内容参照可能メモリ(CAM:Content Addresable Memory)を含むことを特徴とする請求項5記載のパケット損失評価装置。 The storage unit
6. The packet loss evaluation apparatus according to claim 5, further comprising a content referable memory (CAM).
前記パケット検知装置に検知させるための検知用パケットを生成する検知用パケット生成部と、
所定のネットワークに向かう複数のパケットの流れを示すパケットトラフィックと前記検知用パケット生成部が生成した前記検知用パケットとを入力し、入力した前記パケットトラフィックに含まれる複数のパケットに基づいて前記複数のパケットの複製である複製パケットを生成し、前記複数のパケットと前記複製パケットとのいずれかに、入力した前記検知用パケットを混合して混合パケットとして前記パケット検知装置に向けて出力するとともに、前記検知用パケットが混合されなかった前記複数のパケットと前記複製パケットとのいずれかを、前記所定のネットワークに向けて出力する複製部と
を備えたことを特徴とする検知用パケット生成装置。 In a detection packet generation device that generates a packet for detection by a packet detection device that detects a predetermined packet as a detection target, a detection packet generation unit that generates a detection packet for detection by the packet detection device;
Input a packet traffic indicating a flow of a plurality of packets toward a predetermined network and the detection packet generated by the detection packet generator, and based on the plurality of packets included in the input packet traffic A duplicate packet that is a duplicate of a packet is generated, and the input detection packet is mixed with any of the plurality of packets and the duplicate packet, and is output to the packet detection device as a mixed packet. An apparatus for generating a detection packet, comprising: a duplication unit that outputs any one of the plurality of packets and the duplication packet in which no detection packet is mixed to the predetermined network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005005262A JP2006197103A (en) | 2005-01-12 | 2005-01-12 | Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005005262A JP2006197103A (en) | 2005-01-12 | 2005-01-12 | Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006197103A true JP2006197103A (en) | 2006-07-27 |
Family
ID=36802834
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005005262A Pending JP2006197103A (en) | 2005-01-12 | 2005-01-12 | Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006197103A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9235492B2 (en) | 2010-03-05 | 2016-01-12 | Nec Corporation | Control policy adjusting apparatus, method of adjusting control policy, and program |
CN115277440A (en) * | 2022-05-09 | 2022-11-01 | 南京赛宁信息技术有限公司 | Method and system for generating hybrid traffic in network target range |
-
2005
- 2005-01-12 JP JP2005005262A patent/JP2006197103A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9235492B2 (en) | 2010-03-05 | 2016-01-12 | Nec Corporation | Control policy adjusting apparatus, method of adjusting control policy, and program |
CN115277440A (en) * | 2022-05-09 | 2022-11-01 | 南京赛宁信息技术有限公司 | Method and system for generating hybrid traffic in network target range |
CN115277440B (en) * | 2022-05-09 | 2023-08-22 | 南京赛宁信息技术有限公司 | Method and system for generating mixed flow in network target range |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4683383B2 (en) | Method and system for resilient packet reverse detection in wireless mesh and sensor networks | |
Huang et al. | Attack analysis and detection for ad hoc routing protocols | |
Compagno et al. | Poseidon: Mitigating interest flooding DDoS attacks in named data networking | |
He et al. | Detecting encrypted stepping-stone connections | |
Wu et al. | What if routers are malicious? mitigating content poisoning attack in ndn | |
CN105516204B (en) | A kind of high security network date storage method | |
US20070166051A1 (en) | Repeater, repeating method, repeating program, and network attack defending system | |
CN101945117A (en) | Method and equipment for preventing source address spoofing attack | |
CN108737447A (en) | User Datagram Protocol traffic filtering method, apparatus, server and storage medium | |
Mzrak et al. | Detecting malicious packet losses | |
JP2006197103A (en) | Detection packet generating device, packet passing time evaluating device, and packet loss evaluating device | |
Hlavacek et al. | Beyond limits: How to disable validators in secure networks | |
JP2020109953A (en) | Method and corresponding device for protecting vehicle from cyber attack | |
CN109905408A (en) | Network safety protection method, system, readable storage medium storing program for executing and terminal device | |
CN113810398B (en) | Attack protection method, device, equipment and storage medium | |
KR101518852B1 (en) | Security system including ips device and ids device and operating method thereof | |
Rohrmair et al. | Using data-independence in the analysis of intrusion detection systems | |
KR100602147B1 (en) | System and method for preventing from network virus, and computer-readable storage medium recorded program thereof | |
JP2002123435A (en) | Device and method for providing information | |
He et al. | Packet scheduling against stepping-stone attacks with chaff | |
JP2008197910A (en) | Rule verification device and rule verification method | |
JP2004146931A (en) | Packet transfer apparatus and information notice method at illegitimate access detection by the packet transfer apparatus | |
JP2005175993A (en) | Worm propagation monitoring system | |
Ruan et al. | Mitigating Content Caching Attack in NDN. | |
JP2004363913A (en) | Communication path analysis apparatus and method |