JP2006311048A - 帯域制御装置 - Google Patents
帯域制御装置 Download PDFInfo
- Publication number
- JP2006311048A JP2006311048A JP2005129351A JP2005129351A JP2006311048A JP 2006311048 A JP2006311048 A JP 2006311048A JP 2005129351 A JP2005129351 A JP 2005129351A JP 2005129351 A JP2005129351 A JP 2005129351A JP 2006311048 A JP2006311048 A JP 2006311048A
- Authority
- JP
- Japan
- Prior art keywords
- restriction
- traffic
- processing unit
- control device
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 処理負荷を増大させることなく所定のトラフィックを検知することが可能であり、該トラヒックを規制することが可能な帯域制御装置を提供する。
【解決手段】 Layer4による規制処理を規制対象のアプリケーションによるトラヒックであると判定された規制対象トラヒックに実施するL4処理部と、アプリケーションレイヤーによる規制処理を規制対象トラヒックに実施するアプリケーション処理部と、流入したトラヒックから規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、規制候補トラヒックのデータとシグニチャパターンとを比較することで該規制候補トラヒックが規制対象トラヒックであるか否かを判定し、規制対象トラヒック対する規制処理の実施をL4処理部またはアプリケーション処理部の少なくとも一方に指示する規制判定処理部とを有する構成とする。
【選択図】 図3
【解決手段】 Layer4による規制処理を規制対象のアプリケーションによるトラヒックであると判定された規制対象トラヒックに実施するL4処理部と、アプリケーションレイヤーによる規制処理を規制対象トラヒックに実施するアプリケーション処理部と、流入したトラヒックから規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、規制候補トラヒックのデータとシグニチャパターンとを比較することで該規制候補トラヒックが規制対象トラヒックであるか否かを判定し、規制対象トラヒック対する規制処理の実施をL4処理部またはアプリケーション処理部の少なくとも一方に指示する規制判定処理部とを有する構成とする。
【選択図】 図3
Description
本発明はネットワークを介して送受信されるトラヒックに対して帯域制御や規制を行うための帯域制御装置に関する。
近年、インターネット等のネットワークを介して様々なサービスが提供されているため、インターネットのトラヒックが増大し続けている。サービスには大量のデータを高速に伝送する形態もあるため、他ユーザの利用帯域を圧迫してしまう問題が生じる。特に、トラヒックの増大を招くネットワークの利用形態としてピアツーピア(Peer-to-Peer、以下P2Pと称す)が知られている。そのため、このP2Pアプリケーションによるトラヒックを検知し、該トラヒックが専有する伝送帯域を制限する等の規制を行う必要がある。
しかしながら、P2Pアプリケーションでは、ポート番号を動的に選択してデータの送受信に利用するため、P2Pアプリケーションによるトラヒックであることを検知するのが困難な問題がある。そこで、P2Pアプリケーションによるトラヒックを検知するための手法が、例えば非特許文献1で提案されている。
非特許文献1では、P2Pアプリケーションによってランダムに利用されるポート番号を管理するためのポート番号テーブルを用意しておき、該ポート番号テーブル内の情報に基づきP2Pアプリケーションによるトラヒックであるか否かを判断する技術が開示されている。非特許文献1に記載の技術では、ポート番号テーブルに、P2Pアプリケーション毎にランダムに使用しているポート番号を列挙しておき、キャプチャしたトラヒックのデータがどのポート番号を使用しているかを検索することでP2Pアプリケーションによるトラヒックであるか否かを判定している。
Myung-Sup Kim, Hun-Jeong Kang, and James W. Hong, "Towards Peer-to-Peer Traffic Analysis Using Flows", Self-Managing Distributed Systems: 14th IFIP/IEEE International Workshop On Distributed Systems: Operations and Management, DSOM 2003.
Myung-Sup Kim, Hun-Jeong Kang, and James W. Hong, "Towards Peer-to-Peer Traffic Analysis Using Flows", Self-Managing Distributed Systems: 14th IFIP/IEEE International Workshop On Distributed Systems: Operations and Management, DSOM 2003.
上述した非特許文献1に記載された技術では、P2Pアプリケーションにしたがって通信装置が所定の範囲内のポート番号をランダムに利用することを前提としている。すなわち、P2Pアプリケーションで利用するポート番号は既知の範囲内であり、利用するポートが数十程度に限られることを前提にポート番号テーブルを作成し、該ポート番号テーブルを用いてP2Pアプリケーションによるトラヒックであるか否かを判断している。したがって、採りうる全ての範囲内でランダムにポート番号を選択するアプリケーションのトラヒックを検知するために非特許文献1で提案された方法を採用すると、ポート番号テーブルが巨大なものとなるため特定のトラヒックを検知するための処理負荷が増大してしまう。
そのため、ポート番号を手がかりとすることなく、トラヒックデータをそれぞれ解析して規制対象のアプリケーションによるトラヒックであるか否かを判定することが望ましい。規制対象のアプリケーションによるトラヒック、すなわち所定のトラヒックであるか否かを判定するには、一般にトラヒックデータがシグニチャパターン(signature pattern)と一致するか否かを確認すればよい。シグニチャパターンは、例えばトラヒックの特定パケットの所定位置に含まれる既知の固定文字列等のように、トラヒックデータの特徴を示した情報である。
しかしながら、アプリケーションによっては取得したトラヒックデータのままではシグニチャパターンと比較できないものがある。例えば、トラヒックデータがアプリケーションのプロトコルにしたがって暗号化されている場合や正規化処理を必要とする場合、シグニチャパターンと比較するためには、暗号化されたデータを復号する処理や正規化処理が必要になる。
したがって、トラヒックデータを解析して特定のトラヒックを検知する方法でも、各トラヒックデータをシグニチャパターンと比較可能なデータに変換するための処理(以下、このような処理を「前処理」と称す)が必要となるため、処理負荷が増大してしまう問題がある。
なお、ポート番号をランダムに使用するためにトラヒックの検知が困難な問題は、P2Pアプリケーションに限らず、他のアプリケーションにも当てはまる問題である。例えば、マルチメディアサービスのプロトコルとして知られたRealMedia、QuickTime、SIP等もデータ転送時にランダムにポート番号を使用する。
本発明は上記したような従来の技術が有する問題点を解決するためになされたものであり、処理負荷を増大させることなく特定のトラヒックを検知することが可能であり、当該トラヒックを規制することが可能な帯域制御装置を提供することを目的とする。
上記目的を達成するため本発明の帯域制御装置は、ネットワークを介して送受信されるトラヒックに対して帯域制御や規制を行うための帯域制御装置であって、
Layer4による規制処理を、予め決められた規制対象のアプリケーションによるトラヒックであると判定された規制対象トラヒックに実施するL4処理部と、
アプリケーションレイヤーによる規制処理を、前記規制対象トラヒックに実施するアプリケーション処理部と、
流入した前記トラヒックから前記規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、前記規制候補トラヒックのデータと前記規制対象トラヒックのデータの特徴を示すシグニチャパターンとを比較することで該規制候補トラヒックが前記規制対象トラヒックであるか否かを判定し、前記規制対象トラヒック対する規制処理の実施を前記L4処理部または前記アプリケーション処理部の少なくとも一方に指示する規制判定処理部と、
を有する構成である。
Layer4による規制処理を、予め決められた規制対象のアプリケーションによるトラヒックであると判定された規制対象トラヒックに実施するL4処理部と、
アプリケーションレイヤーによる規制処理を、前記規制対象トラヒックに実施するアプリケーション処理部と、
流入した前記トラヒックから前記規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、前記規制候補トラヒックのデータと前記規制対象トラヒックのデータの特徴を示すシグニチャパターンとを比較することで該規制候補トラヒックが前記規制対象トラヒックであるか否かを判定し、前記規制対象トラヒック対する規制処理の実施を前記L4処理部または前記アプリケーション処理部の少なくとも一方に指示する規制判定処理部と、
を有する構成である。
上記のように構成された帯域制御装置では、規制判定処理部が、流入したトラヒックから規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、規制候補トラヒックのデータとシグニチャパターンとを比較することで該規制候補トラヒックが規制対象トラヒックであるか否かを判定する。したがって、規制候補トラヒックのデータに対してのみ前処理を実施すれば済む。
本発明によれば、流入したトラヒックから規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、規制候補トラヒックのデータとシグニチャパターンとを比較することで該規制候補トラヒックが規制対象トラヒックであるか否かを判定するため、規制候補トラヒックのデータに対してのみ前処理を実施すれば済む。
したがって、トラヒックのデータに対する前処理が大幅に低減するため、処理負荷を抑制しつつ規制対象のアプリケーションによるトラヒック(規制対象トラヒック)を検知することが可能になる。
よって、採りうる全ての範囲内でランダムにポート番号を選択するアプリケーションのトラヒックであっても、処理負荷を増大させることなく検知することが可能であり、該アプリケーションによるトラヒックを規制することが可能になる。
次に本発明について図面を参照して説明する。
図1は本発明の帯域制御装置を有する通信システムの一構成例を示すブロック図であり、図2は本発明の帯域制御装置を有する通信システムの他の構成例を示すブロック図である。
図1及び図2に示すように、本発明の通信システムは、通信装置54、帯域制御装置56及び通信装置55を有し、通信装置54、帯域制御装置56及び通信装置55が管理系ネットワーク58を形成する構成である。また、端末装置51、52及び53が通信装置54、帯域制御装置56及び通信装置55を介してインターネット57に接続される構成、または端末装置51、52及び53がインターネット57を介して通信装置54、帯域制御装置56及び通信装置55に接続される構成である。
図1に示す通信システムは、端末装置51、52及び53が通信装置54、帯域制御装置56及び通信装置55を介してインターネット57に接続される構成であり、帯域制御装置56が規制対象のアプリケーションで動作している端末装置52のトラヒックのみを規制し、規制対象のアプリケーションで動作していない端末装置51及び53のトラヒックをそのまま通過させる様子を示している。図1は、端末装置51、52及び53からインターネット57へ送信されるトラヒックを規制する構成であり、企業や教育機関等が有するネットワークに本発明の帯域制御装置56を適用する例である。
図2に示す通信システムは、端末装置51、52及び53がインターネット57を介して通信装置54、帯域制御装置56及び通信装置55に接続される構成であり、帯域制御装置56がインターネット57を介して受信した規制対象のアプリケーションで動作している端末装置52のトラヒックのみを規制し、規制対象のアプリケーションで動作していない端末装置51及び53のトラヒックをそのまま通過させる様子を示している。図2は、インターネット57を介して端末装置51〜53から受信したトラヒックを規制する構成であり、インターネット57への接続サービスを提供するサービスプロバイダ等のネットワークに本発明の帯域制御装置56を適用する例である。
なお、通信システムを構成する端末装置51、52及び53並びに通信装置54及び55の数は、図1及び図2に示した数に限定されるものではなく、いくつであってもよい。
以下では、通信装置54、55や帯域制御装置56が備える通信用のプロトコルスタック(protocol stack)のうち、Layer2、Layer3、Layer4を、それぞれL2、L3、L4と略す。各Layerの具体的なプロトコルとしては、Layer2にはEthernet(富士ゼロックス株式会社の登録商標)、Layer3にはIP(Internet Protocol:RFC791)、Layer4にはTCP(Transmission Control Protocol:RFC793)やUDP(User Datagram Protocol:RFC768)等がある。
図3は本発明の帯域制御装置の一構成例を示すブロック図である。
図3に示すように、本発明の帯域制御装置56は、規制判定処理部100、L2終端処理部120、L3処理部130、L4処理部140及びアプリケーション処理部150を有する構成である。
L2終端処理部120は、入力ポート及び出力ポートを少なくとも1組以上を備え、Layer2の終端処理を行う。入力ポートからはトラヒックが流入し、出力ポートからは帯域制御装置56による規制処理が実施されたトラヒックが送出される。
L3処理部130は、L3規制処理部131及びL3終端処理部132を備えた構成である。L3終端処理部は、L2終端処理部と接続され、Layer3の終端処理を行う。また、L3規制処理部は、規制判定処理部100からの指示にしたがって、Layer3による規制処理を各トラヒックに実施する。Layer3での規制処理には、例えば送信元のIPアドレス毎にトラヒックを監視し、トラヒックが多いIPアドレスからのデータを一定時間だけ強制的に廃棄する方法等がある。
L4処理部140は、L4規制処理部141及びL4終端処理部142を備えた構成である。L4終端処理部は、L3終端処理部と接続され、Layer4の終端処理を行う。また、L4規制処理部は、規制判定処理部100からの指示にしたがってLayer4による規制処理を規制対象トラヒックに実施する。
Layer4による規制処理には、コネクション型プロトコルあるいはコネクションレス型プロトコルに応じて以下に示す方法が考えられる。
例えば、Layer4がコネクション型プロトコル場合は、規制対象のアプリケーションで動作している装置(IPアドレス)とのコネクションを規制する方法、及び規制対象のアプリケーションで動作している全ての装置からのトラヒック(但し、装置に登録されたポート番号を除く)を一括して規制する方法が考えられる。例えばLayer4のプロトコルがTCP(RFC793)の場合、いずれの規制方法においても、L4規制処理部141により、RST(Reset Flag)を発行することでコネクションを強制的に切断したり、所定量の遅延を規制対象トラヒックに付加することで帯域を制限すればよい。いずれの処理も一定時間後に解除する。
一方、Layer4がコネクションレス型プロトコル(UDP)の場合は、L4規制処理部141により、規制対象となるトラヒックのデータを一定時間だけ強制的に廃棄する方法がある。
アプリケーション処理部150は、アプリケーション規制処理部151、通知処理部152、統計処理部153、シグニチャ比較前処理部154及びシグニチャ比較処理部155を備えた構成である。
アプリケーション規制処理部151は、規制判定処理部100からの指示にしたがってアプリケーションレイヤーによる規制処理を規制対象トラヒックに実施する。本規制処理はプロトコルが既知であるアプリケーションの場合に実施する。実際にトラヒックを規制する際には、例えば規制対象のアプリケーションのプロトコルにしたがって、アプリケーション規制処理部151から規制対象のアプリケーションによるサービスを受けている複数の装置に対してネットワークを介して通信切断を一定時間だけ通知すればよい。
統計処理部153は、L4終端処理部142による処理後のトラヒックから該トラヒックに関連する各種統計値を算出する。算出した統計値は通知処理部152へ送信する。統計値としては、単位時間当たりのコネクション数、データ転送量、使用ポート数等がある。統計処理部153は、これらの統計値のなかから少なくともいずれか一つを算出すればよい。なお、使用ポート数については、同一ポートを使用する場合は加算の対象外とする。
シグニチャ比較前処理部154は、規制判定処理部100からの指示にしたがって、規制判定処理部100で規制対象トラヒックの可能性が高いと判定された規制候補トラヒックのうち、シグニチャパターンと比較できないトラヒックデータに対して必要な前処理を行う。例えば暗号化されたデータであれば、復号処理を行うことでシグニチャパターンとの比較を可能にする。
シグニチャ比較処理部155は、規制判定処理部100からの指示にしたがって規制候補トラヒックのデータとシグニチャパターンとを比較し、該規制候補トラヒックが規制対象トラヒックであるか否かを判定し、通知処理部152に判定結果を送信する。
シグニチャパターンは、上述したようにトラヒックの特定パケットの所定位置に含まれる既知の固定文字列等、規制対象トラヒックのデータの特徴を示すパターンデータである。シグニチャパターンには、設計者や帯域制御装置の管理者等が設定した後述する閾値、あるいは使用ポート数やデータ転送量等の統計情報を付加してもよい。シグニチャパターンは、例えば帯域制御装置56の起動時に、不揮発性の不図示の記憶装置からシグニチャ比較処理部155に読み込まれる。
通知処理部152は、統計処理部153で求めた統計値、またはシグニチャ比較処理部155の判定結果を規制判定部100で解釈可能なフォーマットに変換し、規制判定処理部100へ通知する。
規制判定処理部100は、規制判定部101及び規制リスト102を備えた構成である。規制判定部101は、通知処理部152から受け取った情報を基にトラヒックに対する規制処理の要否を判断し、規制が必要な場合は規制リスト102内の情報にしたがってL4規制処理部141またはアプリケーション規制処理部151の少なくとも一方に規制処理の実施を指示する。なお、規制判定部101は、L3規制処理部131に対しても必要に応じて規制処理の実施を指示する。規制リスト102には、規制対象トラヒックに対して実施する規制処理の内容(規制指示)及び規制処理で用いる各種情報が格納される。
また、規制判定部101は、通知処理部152から受け取った情報から送信元のIPアドレス毎にトラヒックの統計値をそれぞれ抽出し、抽出した統計値と規制リスト102に格納された所定の閾値とを比較する。そして、統計値が閾値を越えている場合は対応するトラヒックが規制対象トラヒックの可能性が高い規制候補トラヒックであると判定し、シグニチャ比較前処理部154へ指示して該規制候補トラヒックのデータへの前処理を実行させる。
本発明では規制判定部101で用いる閾値を処理負荷に応じて変更可能にする。その場合、規制判定部101は、帯域制御装置の処理負荷を定期的に監視し、処理負荷に応じて閾値を変更する。例えば負荷が高いときは閾値を上げて前処理を行うトラヒックを減らし、負荷が低いときは閾値を下げて前処理を行うトラヒックを増やせばよい。
処理負荷の監視対象は帯域制御装置56に限る必要はなく、例えば管理系ネットワーク58に接続された他の通信装置から定期的に負荷情報を送信させ、該負荷情報に応じて閾値を変更してもよい。図1に示した構成では、例えばSNMP(Simple Network Management Protocol)を利用して通信装置54及び通信装置55からそれぞれの負荷情報を取得し、取得した負荷情報を基に閾値を変更する。
なお、本発明の帯域制御装置56は、図3に示した各構成要素の機能を実現するLSIや論理回路等によって構成してもよく、ネットワークとの通信機能を備えた情報処理装置(コンピュータ)によって実現してもよい。その場合、情報処理装置は、CPUを含む処理装置と、CPUの処理で必要な情報を記憶する記憶装置と、CPUに本発明の帯域制御装置56の処理を実行させるためのプログラムが記録された記録媒体とを備え、処理装置は、記録媒体に格納されたプログラムを読み込み、CPUにより該プログラムにしたがって処理することで図3に示した各構成要素の機能をそれぞれ実現する。図1及び図2に示した通信装置54及び55並びに端末装置51,52及び53も、帯域制御装置56と同様にネットワークとの通信機能を備えた情報処理装置(コンピュータ)によって実現可能である。
次に、本発明の帯域制御装置56の動作について図4を用いて説明する。
図4は本発明の帯域制御装置の処理手順を示すフローチャートである。
図4に示すように、本発明の帯域制御装置56は、ネットワークからトラヒックが流入すると、まずL2終端処理部120によりL2終端処理を実施する(ステップS1)。続いて、L3終端処理部132によりL3終端処理を実施し(ステップS2)、L4終端処理部142によりL4終端処理を実施する(ステップS3)。
次に、帯域制御装置56は、統計処理部153を用いてL4終端処理後のデータからトラヒックに関連する各種統計値を算出し(統計算出処理)、算出結果を通知処理部152へ送信する(ステップS4)。通知処理部152は、受け取った統計値を規制判定部100で解釈可能なフォーマットに変換し、規制判定部101へ通知する(ステップS5)。
規制判定部101は、通知処理部152から受け取った通知から統計値を読み取り、該統計値が規制リスト102に格納された所定の閾値を越えているか否かを判定する(ステップS6)。閾値を越えていない場合は対応するトラヒックをそのまま通過させる(ステップS6−2)。また、統計値が閾値を越えている場合は、対応するトラヒックを規制候補トラヒックとして選出し、シグニチャ比較前処理部154を用いて該規制候補トラヒックのデータに対してシグニチャパターンとの比較に必要な前処理を実施する(ステップS6−1)。このステップS6−1、S6−2の処理はステップS5の処理が終了後に即時に実施する。
次に、帯域制御装置56は、シグニチャ比較処理部155を用いて規制候補トラヒックのデータとシグニチャパターンとの比較処理を実施する(ステップS7)。そして、その比較結果により規制候補トラヒックが規制対象トラヒックであるか否かを判定し(ステップS8)、判定結果を通知処理部152を介して規制判定部101へ通知する。
規制判定部101は、規制候補トラヒックが規制対象トラヒックではない場合は対応するトラヒックをそのまま通過させる(ステップS6−2)。また、規制候補トラヒックが規制対象トラヒックである場合は、規制リスト102に格納された情報を読み出し、対応するトラヒックに対してLayer4で規制処理(L4規制)を実施するかアプリケーションレイヤーで規制処理(アプリケーション規制)を実施するかを判定する(ステップS9)。規制リスト102にL4規制の指示が格納されている場合は、L4処理部140によりLayer4での規制処理を実施する(ステップS9−1)。また、規制リスト102にアプリケーション規制の指示が格納されている場合は、アプリケーション規制処理部151によりアプリケーションレイヤーでの規制処理を実施する(ステップS9−2)。
上記説明では、各トラヒックの統計値が予め設定された閾値を越えたときに対応するトラヒックデータに対する前処理及びシグニチャパターンとの比較処理を実施する例を示しているが、上述したように本発明の帯域制御装置56は帯域制御装置56や通信装置54、55の処理負荷に応じて閾値を変更することも可能である。以下に処理負荷に応じて閾値を変更する場合の処理手順について図面を用いて説明する。
図5は本発明の帯域制御装置で実施する第1の閾値設定方法の処理手順を示すフローチャートである。図5は帯域制御装置56の負荷情報を収集して閾値に実施させる処理フローを示したものである。なお、以下に記載する第1の閾値設定方法の処理は規制判定処理部100の規制判定部101にて所定の周期毎に実行し、図4に示した処理とは非同期に実行するものとする。
図5に示すように、規制判定部101は、まず帯域制御装置56の負荷情報を取得し(ステップS31)、処理負荷の統計値を算出する(ステップS32)。算出する統計値としては、例えばシグニチャ比較前処理部154による前処理の計算時間がある。また、帯域制御装置56を情報処理装置で実現している場合はCPUの使用率やメモリの使用量等がある。以下では、CPUの使用率を例に図6を用いて第1の閾値設定方法を説明する。図6は図5に示した第1の閾値設定方法で用いる統計値と閾値の関係を示すグラフである。図6に示すグラフの縦軸は閾値を示し、横軸は帯域制御装置56が有するCPUの使用率を示している。
規制判定部101は、設計者や帯域制御装置の管理者等によって設定された方針にしたがって図6に示すグラフの特性500、501、502のいずれかを用いてCPUの使用率から閾値を求める。図6に示す特性500、501、502は、例えば規制リスト102に予め格納しておくものとする。
図6に示す特性500はCPUの使用率の増加に比例して閾値を増加させる例である。例えばCPUの使用率が上昇しても可能な限り前処理を実施する設計方針である場合は、CPUの使用率が増加しても閾値の増加が抑制される特性502を選択する。また、突発的に大量のトラヒックが流入しても安定した運用を重視する場合は、CPUの使用率の増加に伴って閾値をより増加させる特性501を選択する。
このような特性を用いて規制判定部101は統計値に対応する閾値を決定する(ステップS33)。そして、統計値(ここではCPUの使用率)の変動により前回の処理周期で設定した閾値から変更が必要か否かを判定し(ステップS34)、閾値の変更が必要な場合は規制リスト102内の閾値をステップS33の処理で求めた閾値に再設定し(ステップS35)、ステップS31の処理に戻ってステップS34までの処理を繰り返す。閾値の変更が不要な場合は、規制リスト102内の閾値の再設定を行わずにステップS31の処理に戻ってステップS34までの処理を繰り返す。
図7は本発明の帯域制御装置で実施する第2の閾値設定方法の処理手順を示すフローチャートである。図7は図1に示した管理系ネットワークに接続された通信装置の負荷情報を収集して閾値に実施させる処理フローを示したものである。なお、以下に記載する第2の閾値設定方法も第1の閾値設定方法の処理と同様に規制判定処理部100の規制判定部101にて所定の周期毎に実行し、図4に示した処理とは非同期に実行するものとする。
図7に示すように、規制判定部101は、まず負荷情報の収集対象となる装置(本帯域制御装置含む)のうち、任意の装置の負荷情報を取得し(ステップS51)、該装置の処理負荷の統計値を算出する(ステップS52)。算出する統計値としては、第1の閾値設定方法と同様に、CPUの使用率やメモリの使用量等がある。以下では、負荷情報の収集対象となる装置が有するCPUの使用率を例に図8を用いて第2の閾値設定方法を説明する。図8は図7に示した第2の閾値設定方法で用いる統計値と閾値の関係を示すグラフである。図8に示すグラフの縦軸は閾値を示し、横軸は負荷情報の収集対象となる装置が有するCPUの使用率を示している。
規制判定部101は、負荷情報の収集対象となる装置(以下、対象装置と称す)の負荷情報の取得が終了しているか否かを確認し(ステップS53)、負荷情報を全て取得していない場合はステップS51の処理に戻って対象装置の残りの負荷情報を取得する。取得した負荷情報を基に、例えば帯域制御装置56の後段に接続された通信装置の負荷が高いことが判明した場合、閾値を下げてより多くのトラヒックデータに対して前処理を実施し、トラヒックデータの内容を検査して規制処理を実施する必要がある。
そのため、規制判定部101は、図6のグラフに示した特性501、502、503の傾きを修正して図8のグラフに示す特性510、511、512を設定する。そして、対象装置の処理負荷の取得が完了した場合は、第1の設定方法と同様に設計者や帯域制御装置の管理者等によって設定された方針にしたがって図8に示すグラフの特性510、511、512のいずれかを用いてCPUの使用率から閾値を決定する(ステップS54)。なお、図8に示す特性510、511、512は、例えば規制リスト102に格納するものとする。
そして、統計値(ここではCPUの使用率)の変動により前回の処理周期で設定した閾値から変更が必要か否かを判定し(ステップS55)、閾値の変更が必要な場合は規制リスト102内の閾値をステップS54の処理で求めた閾値に再設定し(ステップS56)、ステップS51の処理に戻ってステップS55までの処理を繰り返す。また、閾値の変更が不要な場合は、規制リスト102内の閾値の再設定を行わずにステップS51の処理に戻ってステップS55までの処理を繰り返す。
以上説明したように本発明によれば、流入したトラヒックから規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、規制候補トラヒックのデータとシグニチャパターンとを比較することで該規制候補トラヒックが規制対象トラヒックであるか否かを判定するため、規制候補トラヒックのデータに対してのみ前処理を実施すれば済む。
したがって、トラヒックのデータに対する前処理が大幅に低減するため、処理負荷を抑制しつつ規制対象のアプリケーションによるトラヒック(規制対象トラヒック)を検知することが可能になる。
よって、採りうる全ての範囲内でランダムにポート番号を選択するアプリケーションのトラヒックであっても、処理負荷を増大させることなく検知することが可能であり、該アプリケーションによるトラヒックを規制することが可能になる。
51,52,53 端末装置
54,55 通信装置
56 帯域制御装置
57 インターネット
58 管理系ネットワーク
100 規制判定処理部
101 規制判定部
102 規制リスト
120 L2終端処理部
130 L3処理部
131 L3規制処理部
132 L3終端処理部
140 L4処理部
141 L4規制処理部
142 L4終端処理部
150 アプリケーション処理部
151 アプリケーション規制処理部
152 通知処理部
153 統計処理部153
154 シグニチャ比較前処理部
155 シグニチャ比較処理部
54,55 通信装置
56 帯域制御装置
57 インターネット
58 管理系ネットワーク
100 規制判定処理部
101 規制判定部
102 規制リスト
120 L2終端処理部
130 L3処理部
131 L3規制処理部
132 L3終端処理部
140 L4処理部
141 L4規制処理部
142 L4終端処理部
150 アプリケーション処理部
151 アプリケーション規制処理部
152 通知処理部
153 統計処理部153
154 シグニチャ比較前処理部
155 シグニチャ比較処理部
Claims (10)
- ネットワークを介して送受信されるトラヒックに対して帯域制御や規制を行うための帯域制御装置であって、
Layer4による規制処理を、予め決められた規制対象のアプリケーションによるトラヒックであると判定された規制対象トラヒックに実施するL4処理部と、
アプリケーションレイヤーによる規制処理を、前記規制対象トラヒックに実施するアプリケーション処理部と、
流入した前記トラヒックから前記規制対象トラヒックの可能性が高い規制候補トラヒックを選出し、前記規制候補トラヒックのデータと前記規制対象トラヒックのデータの特徴を示すシグニチャパターンとを比較することで該規制候補トラヒックが前記規制対象トラヒックであるか否かを判定し、前記規制対象トラヒック対する規制処理の実施を前記L4処理部または前記アプリケーション処理部の少なくとも一方に指示する規制判定処理部と、
を有する帯域制御装置。 - 前記アプリケーション処理部は、
前記トラヒックに関連する統計値をそれぞれ算出し、
前記規制判定処理部は、
前記統計値が所定の閾値を越えたとき、対応するトラヒックを前記規制候補トラヒックとして選出する請求項1記載の帯域制御装置。 - 前記規制判定処理部は、
前記シグニチャパターンとの比較に必要な、前記規制候補トラヒックのデータに対する前処理を前記アプリケーション処理部へ指示し、
前記アプリケーション処理部は、
前記規制判定処理部からの指示にしたがって、前記規制候補トラヒックのデータに前記前処理を実施する請求項1または2記載の帯域制御装置。 - 前記統計値に、
単位時間当たりのコネクション数、データ転送量、または使用ポート数の少なくともいずれか一つを含む請求項1から3のいずれか1項記載の帯域制御装置。 - 前記規制判定処理部は、
前記閾値を、処理負荷に応じて変更する請求項1から4のいずれか1項記載の帯域制御装置。 - 前記規制判定処理部は、
前記閾値を、前記ネットワークを介して接続される通信装置の処理負荷に応じて変更する請求項1から4のいずれか1項記載の帯域制御装置。 - 前記L4処理部は、
前記Layer4がコネクション型プロトコルの場合、前記規制対象トラヒックに設定されたコネクションを一定時間だけ切断することで規制処理を実施する請求項1から6のいずれか1項記載の帯域制御装置。 - 前記L4処理部は、
前記Layer4がコネクション型プロトコルの場合、前記規制対象トラヒックに所定量の遅延を付加することで規制処理を実施する請求項1から6のいずれか1項記載の帯域制御装置。 - 前記L4処理部は、
前記Layer4がコネクションレス型プロトコルの場合、前記規制対象トラヒックのデータを一定時間だけ廃棄することで規制処理を実施する請求項1から8のいずれか1項記載の帯域制御装置。 - 前記アプリケーション処理部は、
前記規制対象のアプリケーションのプロトコルにしたがって、該アプリケーションによるサービスを受けている装置に対して前記ネットワークを介して通信切断を一定時間だけ通知する請求項1から9のいずれか1項記載の帯域制御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005129351A JP4535275B2 (ja) | 2005-04-27 | 2005-04-27 | 帯域制御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005129351A JP4535275B2 (ja) | 2005-04-27 | 2005-04-27 | 帯域制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006311048A true JP2006311048A (ja) | 2006-11-09 |
| JP4535275B2 JP4535275B2 (ja) | 2010-09-01 |
Family
ID=37477441
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005129351A Expired - Fee Related JP4535275B2 (ja) | 2005-04-27 | 2005-04-27 | 帯域制御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4535275B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012074049A (ja) * | 2005-11-15 | 2012-04-12 | Tiversa Inc | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム |
| JP2015065601A (ja) * | 2013-09-26 | 2015-04-09 | 株式会社日立製作所 | モバイルネットワークシステム |
| US9178940B2 (en) | 2005-04-12 | 2015-11-03 | Tiversa Ip, Inc. | System and method for detecting peer-to-peer network software |
| USRE47628E1 (en) | 2005-04-12 | 2019-10-01 | Kroll Information Assurance, Llc | System for identifying the presence of peer-to-peer network software applications |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000269997A (ja) * | 1999-03-18 | 2000-09-29 | Fujitsu Ltd | Lan中継交換装置 |
| JP2000295276A (ja) * | 1999-04-02 | 2000-10-20 | Hitachi Ltd | 通信制御システム |
| JP2002261799A (ja) * | 2001-02-28 | 2002-09-13 | Nec Corp | トラフィック分類装置およびトラフィック分類方法 |
| JP2003124985A (ja) * | 2001-10-11 | 2003-04-25 | Nippon Telegr & Teleph Corp <Ntt> | Ipトラヒックの測定、監視、制御、管理、予測、または、設計の方法及び装置 |
| JP2004248185A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
| JP2005057407A (ja) * | 2003-08-01 | 2005-03-03 | Nippon Telegr & Teleph Corp <Ntt> | フロー制御方法及びフレーム処理装置 |
-
2005
- 2005-04-27 JP JP2005129351A patent/JP4535275B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000269997A (ja) * | 1999-03-18 | 2000-09-29 | Fujitsu Ltd | Lan中継交換装置 |
| JP2000295276A (ja) * | 1999-04-02 | 2000-10-20 | Hitachi Ltd | 通信制御システム |
| JP2002261799A (ja) * | 2001-02-28 | 2002-09-13 | Nec Corp | トラフィック分類装置およびトラフィック分類方法 |
| JP2003124985A (ja) * | 2001-10-11 | 2003-04-25 | Nippon Telegr & Teleph Corp <Ntt> | Ipトラヒックの測定、監視、制御、管理、予測、または、設計の方法及び装置 |
| JP2004248185A (ja) * | 2003-02-17 | 2004-09-02 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置 |
| JP2005057407A (ja) * | 2003-08-01 | 2005-03-03 | Nippon Telegr & Teleph Corp <Ntt> | フロー制御方法及びフレーム処理装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9178940B2 (en) | 2005-04-12 | 2015-11-03 | Tiversa Ip, Inc. | System and method for detecting peer-to-peer network software |
| USRE47628E1 (en) | 2005-04-12 | 2019-10-01 | Kroll Information Assurance, Llc | System for identifying the presence of peer-to-peer network software applications |
| JP2012074049A (ja) * | 2005-11-15 | 2012-04-12 | Tiversa Inc | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム |
| JP2015065601A (ja) * | 2013-09-26 | 2015-04-09 | 株式会社日立製作所 | モバイルネットワークシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4535275B2 (ja) | 2010-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Strayer et al. | Botnet detection based on network behavior | |
| US10193911B2 (en) | Techniques for automatically mitigating denial of service attacks via attack pattern matching | |
| Mehdi et al. | Revisiting traffic anomaly detection using software defined networking | |
| Karagiannis et al. | Transport layer identification of P2P traffic | |
| US8677488B2 (en) | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive | |
| CN106471778B (zh) | 攻击检测装置和攻击检测方法 | |
| Kim et al. | Characteristic analysis of internet traffic from the perspective of flows | |
| US9686173B1 (en) | Unsupervised methodology to unveil content delivery network structures | |
| Lukaseder et al. | SDN-assisted network-based mitigation of slow DDoS attacks | |
| WO2009112044A1 (en) | Technique for classifying network traffic and for validating a mechanism for calassifying network traffic | |
| JP4232828B2 (ja) | アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置 | |
| Scholz et al. | SYN flood defense in programmable data planes | |
| JP6502902B2 (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| KR101602189B1 (ko) | 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템 | |
| US20200267167A1 (en) | Method and system for detecting and preventing data exfiltration attacks | |
| EP2053783A1 (en) | Method and system for identifying VoIP traffic in networks | |
| Marnerides et al. | Multi-level network resilience: Traffic analysis, anomaly detection and simulation | |
| JP4535275B2 (ja) | 帯域制御装置 | |
| US20180115501A1 (en) | Uplink port oversubscription determination | |
| Gunadi et al. | Bro covert channel detection (BroCCaDe) framework: scope and background | |
| JP4572719B2 (ja) | トラフィック制御装置及びトラフィック制御方法並びにプログラム | |
| Dubin et al. | Video quality representation classification of encrypted http adaptive video streaming | |
| KR102145579B1 (ko) | 서버와 클라이언트간 데이터 전송 시스템 | |
| KR20060025867A (ko) | Dns 서버의 cpu 이용율 관리방법 및 그 이용율관리시스템 | |
| JP5287898B2 (ja) | フロー監視装置、フロー監視方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080310 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100105 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100526 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130625 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100608 |
|
| LAPS | Cancellation because of no payment of annual fees |