JP2006311084A - ネットワーク制御システム - Google Patents

ネットワーク制御システム Download PDF

Info

Publication number
JP2006311084A
JP2006311084A JP2005129802A JP2005129802A JP2006311084A JP 2006311084 A JP2006311084 A JP 2006311084A JP 2005129802 A JP2005129802 A JP 2005129802A JP 2005129802 A JP2005129802 A JP 2005129802A JP 2006311084 A JP2006311084 A JP 2006311084A
Authority
JP
Japan
Prior art keywords
traffic
control
traffic control
server
load
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005129802A
Other languages
English (en)
Inventor
Ryosuke Kurebayashi
亮介 榑林
Tsugumasa Hayashi
経正 林
Hitoshi Uematsu
仁 上松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005129802A priority Critical patent/JP2006311084A/ja
Publication of JP2006311084A publication Critical patent/JP2006311084A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 複数のサーバで、IDSまたはネットワーク制御装置を共有する。
【解決手段】 ネットワーク制御装置が、複数のサーバから送信される負荷イベント、および複数のIDSから送信されるアラートイベントを受信可能とすることで、サーバ間で、ネットワーク制御装置およびネットワーク装置を共有可能とする。あるいは、アラート分配装置を設けることで、ネットワーク制御装置間で、IDSを共有可能とする。あるいは、コマンド集約装置を設け、制御コマンドの資源競合制御を行うことで、ネットワーク制御装置間でネットワーク装置を共有可能とする。
【選択図】 図1

Description

本発明は、Webサーバ、FTPサーバ、リモートコンピュータからの不正なアクセスなどを検知する侵入検知システム(IDS:Intrusion Detection System)およびサーバの負荷量を検出する機能などの1つ以上の被評価装置と、この被評価装置と接続したルータ、ネットワークスイッチ、ファイヤウォールなどのネットワーク装置とを制御するネットワーク制御システムに関する。
近年、インターネットなどのネットワークに接続されたWebサーバ、FTPサーバに格納した情報に、リモートコンピュータからアクセスできるサービスが行われている。これらのサーバに対して、不正なリモートユーザからの侵入攻撃を検知する目的で侵入検知システム(IDS)を用いた監視が行われている(例えば、非特許文献1参照)。
従来技術のIDSでは、得られる検知結果(アラート)をオペレータが人手で解析し、重要なアラートとそうでないアラートとを見分ける必要がある。しかし、IDSから得られるアラート量は膨大になり、上記の解析作業に膨大な時間がかかる問題があった。
また、従来の監視目的、または人手解析によるIDSの運用では、サーバが不正なリモートユーザからの膨大な数の侵入攻撃を受けているときに、サーバが過負荷状態に陥り、リクエストを正常に処理できなくなるか、システムダウンを起こし、正常なユーザのトラヒック、リクエストまで無効にしてしまう状況が起きていた。
また、一時に膨大な数のリクエストがサーバに集中した場合には、従来のIDSでは、リクエスト数を絞る(落とす)処理ができないため、サーバの過負荷状態を防げない問題が起きていた。
発明者らはWebサーバ、IDSから得られる情報の重要度を自動に識別し、その重要度に応じてネットワーク装置の設定を自動に変更するネットワーク制御システムを提案している(特願2005−47437号、本願出願時に未公開、以下では先願という)。
同システムでは、サーバが過負荷に陥ると、そのサーバの負荷の大きさに応じて、不正リモートユーザのトラヒックを優先的に規制したり、リモートユーザのトラヒックに規制をかけ、サーバが受信するリクエスト数を減らすことで、サーバの過負荷状態からの回復を可能としている。
これによって、サーバの緊急事態における迅速な対応とネットワーク管理の運用コスト削減を実現している。さらに、サーバの負荷が増減を繰り返す現象(フラッピング)を回避し、サーバリソースを効率良く活用するための仕組みを提案している(特願2005−98171号、本願出願時に未公開)。
「侵入検知システムに関する研究の現状」、武田圭史、情報処理、42巻12号、2001年12月発行
先願のネットワーク制御システムでは、トラヒックの制御内容を調整するネットワーク制御装置に接続可能な被評価装置としてのサーバ、IDSおよびトラヒック制御装置からのコマンドにより実際にトラヒック制御を行うネットワーク装置がそれぞれ1台ずつに制限される。このため、複数のサーバを運用する場合には、サーバと同じ台数のIDS、ネットワーク制御装置およびネットワーク装置を必要とするという問題がある。
本発明は、このような背景の下に行われたものであって、複数のサーバで、IDSまたはネットワーク制御装置あるいはネットワーク装置などのネットワーク資源を共有し、ネットワーク資源を有効利用しつつ個々のサーバ毎に個別のトラヒック制御を実現することができるネットワーク制御システムを提供することを目的とする。
本発明は、複数のサーバで、IDSまたはネットワーク制御装置を共有できるようにすることを特徴とする。そのために、例えば、ネットワーク制御装置が、複数のサーバから送信される負荷イベント、および複数のIDSから送信されるアラートイベントを受信可能とすることで、サーバ間で、ネットワーク制御装置およびネットワーク装置を共有可能とする。
あるいは、アラート分配装置を設けることで、ネットワーク制御装置間で、IDSを共有可能としている。
あるいは、コマンド集約装置を設け、制御コマンドの資源競合制御を行うことで、ネットワーク制御装置間でネットワーク装置を共有可能としている。
すなわち、本発明は、所定のサーバの負荷を検出する負荷イベント検出手段と、所定のサーバの通信に伴うトラヒック量の制限(トラヒックの遮断も含む)、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、前記負荷イベント検出手段により検出された負荷に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段とを備えたネットワーク制御システムである。
ここで、本発明の特徴とするところは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記トラヒック制御内容調整手段は、複数のサーバのうち任意の一つ以上のサーバの負荷量に応じた制御ルールを保持する手段と、前記負荷イベント検出手段から通知されるサーバ毎の負荷量とサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたところにある。
これによれば、複数のサーバが一つのトラヒック制御内容調整手段(ネットワーク制御装置)およびトラヒック制御手段(ネットワーク装置)を共有し、ネットワーク資源を有効利用しつつ、個々のサーバ毎に個別のトラヒック制御を実施することができる。
あるいは、本発明は、所定のサーバの負荷を検出する負荷イベント検出手段と、所定のサーバの通信の異常を検出するアラートイベント検出手段と、所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、前記負荷イベント検出手段により検出された負荷または前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段とを備えたネットワーク制御システムである。
ここで、本発明の特徴とするところは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、前記トラヒック制御内容調整手段は、複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する手段と、前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたところにある。
あるいは、前記トラヒック制御内容調整手段は、複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持する手段と、前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えることもできる。
これによれば、サーバにおける負荷量および通信の異常の双方の観点からトラヒック制御を実施することができるため、負荷量のみによりトラヒック制御を実施する場合と比較してトラヒック制御をより適切に行うことができる。また、アラートイベント検出手段は、1台で複数のサーバを収容することができるため、ネットワーク資源を有効利用することができる。
前者の場合には、負荷量または通信の異常のいずれか一方でも発行条件を充足した場合に制御コマンドを発行することができるため、サーバを多方面から監視することができ、トラヒック制御の遅れを回避することができる(論理和(OR)的利用形態)。
後者の場合には、負荷量または通信の異常のいずれかの検出結果が誤っていた場合には、サーバが正常に動作していても、誤って正常ユーザのトラヒックを規制、または廃棄してしまう可能性があるが、負荷量または通信の異常の誤検出を双方の検出結果から認識することができ、不正トラヒックだけを適切に廃棄することが可能となる(論理積(AND)的利用形態)。
あるいは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、複数のサーバは、1以上のサーバを含む複数のグループに分割され、前記トラヒック制御手段および前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、前記アラートイベント検出手段は、一つ設けられ、前記アラートイベント検出手段の検出結果を複数の前記トラヒック制御内容調整手段にそれぞれ分配する手段を備え、前記トラヒック制御内容調整手段は、自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する手段と、前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたことを特徴とする。
あるいは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、複数のサーバは、1以上のサーバを含む複数のグループに分割され、前記トラヒック制御手段および前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、前記アラートイベント検出手段は、一つ設けられ、前記アラートイベント検出手段の検出結果を複数の前記トラヒック制御内容調整手段にそれぞれ分配する手段を備え、前記トラヒック制御内容調整手段は、自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持する手段と、前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたことを特徴とする。
これによれば、複数のトラヒック制御手段およびトラヒック制御内容調整手段で一つのアラートイベント検出手段(IDS)を共有することができる。
あるいは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、複数のサーバは、1以上のサーバを含む複数のグループに分割され、前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、前記トラヒック制御手段は、一つ設けられ、前記トラヒック制御内容調整手段は、自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別または異常発生頻度に応じた制御ルールを保持する手段と、前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたことを特徴とする。
あるいは、前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、複数のサーバは、1以上のサーバを含む複数のグループに分割され、前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、前記トラヒック制御手段は、一つ設けられ、前記トラヒック制御内容調整手段は、自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別または異常発生頻度の双方の組み合わせに応じた制御ルールを保持する手段と、前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段とを備え、前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えたことを特徴とする。
これによれば、トラヒック制御手段(ネットワーク装置)を複数のサーバで共有することができる。また、トラヒック制御内容調整手段(ネットワーク制御装置)についてもサーバの数よりも少ない数で対応することができる。
また、所定時間内に発行された制御コマンドを一時蓄積するバッファが設けられ、負荷量または異常種別毎の異常発生頻度の情報に基づき前記バッファに一時蓄積された制御コマンドに対する送付優先順位を設定する優先順位設定手段を備えることができる。
これによれば、複数の制御コマンドが短時間に発行され、この制御コマンドが一つのネットワーク装置に対して送付される場合に、その競合制御を適切に行うことができる。
例えば、前記優先順位設定手段は、現時点における負荷量または異常発生頻度が大きいサーバに対する制御コマンドほど送付優先順位を高く設定する手段を備える。
これによれば、現時点において最も救済を必要としているサーバに対して最優先に制御コマンドを送付することができ、トラヒックの現状に沿ったトラヒック制御を実現することができる。
また、例えば、前記優先順位設定手段は、過去一定時間の負荷量または異常発生頻度の時間積分が大きいサーバに対する制御コマンドほど送付優先順位を高く設定する手段を備える。
これによれば、過去一定時間において最も救済を必要としているサーバに対して最優先に制御コマンドを送付することができ、トラヒックの実状に沿ったトラヒック制御を実現することができる。
また、前記制御コマンドは、例えば、前記制御ルールの発行条件を充足した被トラヒック制御サーバと同じサービスを提供する前記制御ルールの発行条件を充足していない低負荷量または低異常発生頻度のサーバに対して前記被トラヒック制御サーバのトラヒックの一部または全部を転送するように前記トラヒック制御手段に指示を与える内容である。
あるいは、前記制御コマンドは、例えば、前記制御ルールの発行条件を充足した被トラヒック制御サーバと同じサービスを提供する前記制御ルールの発行条件を充足していない過去一定時間の負荷量または異常発生頻度の時間積分が少ないサーバに対して前記被トラヒック制御サーバのトラヒックの一部または全部を転送するように前記トラヒック制御手段に指示を与える内容である。
これによれば、一つのサーバへの負荷の偏りを解消し、サーバの有効利用を図ることができる。
また、前記識別情報は、IPアドレスのサブネット(IPアドレスの上位ビット)を用いることができる。これにより、IPアドレスの全ビットを使用する場合と比較して識別情報を短くし、複数のサーバに適用すべき制御ルールを簡潔に記述することができる。
また、制御ルールの発行条件を充足したサーバの識別子を、当該制御ルールと共に制御コマンドとして前記トラヒック制御手段に送付することにより発行条件を充足したサーバへのトラヒックを制御する手段を備えることができる。
このように、制御コマンドに発行条件を充足したサーバの識別情報を動的に埋め込むことにより、発行条件を充足したサーバへのトラヒックを選択的に制御することができる。
本発明によれば、複数のサーバで、IDSまたはネットワーク制御装置あるいはネットワーク装置などのネットワーク資源を共有することができる。これにより、ネットワーク資源を有効利用しながら、個々のサーバ毎に個別のトラヒック制御を実現することができる。
本発明の実施例を説明するにあたり、先願について簡単に説明する。図8に、先願の構成を示す。被評価装置1は、WebサーバまたはFTPサーバなどのサーバである。被評価装置1のサーバはネットワークを介して外部の装置との通信処理を行う計算処理部10を備える。また、計算処理部10は、負荷の状態を自ら監視し、その結果を負荷イベントとして、ネットワーク制御装置11のイベント処理部12に送信する機能を備える。
被評価装置2は、侵入検知システム(IDS)であり、リモートの外部装置から送られてくるトラヒックの異常性や侵入攻撃(以下、不正トラヒックという)を検知し、検知結果(アラート)を生成する。被評価装置2であるIDSは、アラートに関する情報をアラートイベントとしてネットワーク制御装置11に送信する。
アラートイベントには、「DoS攻撃」、「バッファオーバーフロー」、「無意味なアクセスが行われたことを示す情報」といったトラヒックの異常や侵入攻撃の種類が含まれる。また、そのアラートの重要度を、数値を用いて表現したり、「緊急」、「やや緊急」、「注意」などの言葉を用いて表現したりする。また、不正トラヒックの送信者を識別する情報(IPアドレス、ポート番号など)や、受信者を識別する情報(IPアドレス、ポート番号など)が含まれる。また、被評価装置2を、被評価装置1と同じ計算資源により実行させることもできる。
ネットワーク装置13は、そのネットワーク装置13が受信した通信トラヒックをその宛先に応じて適切に転送する機能を備える。また、外部からの制御コマンド送信により優先制御などのトラヒック規制内容を変更する機能を備える。
ネットワーク制御装置11は、イベント評価部14、イベント計数部15−1〜15−n、イベント処理部12を備える。ネットワーク制御装置11を、被評価装置1と同じ計算資源により実行させることもできる。
イベント評価部14は、被評価装置2からアラートイベントを検知すると、格納された侵入攻撃の種別や重要度を示す情報などを基にそのアラートイベントを分類する。次に、アラートの種別毎に用意したイベント計数部15−1〜15−nにそのイベントを転送する。
イベント計数部15−1〜15−nでは、アラートイベント毎の発生頻度を計測する。計測方法としては、(1)単位時間当たりのイベント数、(2)リーキーバケットの水面の高さ、などが用いられる。
ここで、リーキーバケットとは、穴が空いたバケツに水を注いだときの水面の高さの変化をモデル化したものであり、任意のイベントが一定以上の頻度で継続して発生したか否かを評価する際に用いられる。リーキーバケットでは、任意のイベントが発生すると、対応するリーキーバケットの水面を上昇させる。その一方で、定期的にリーキーバケットの水面を減少させる。
したがって、水面の減少率より高い頻度でイベントが発生すると、リーキーバケットの水面の高さが上昇する。逆に、イベントの発生頻度が水面の減少率より低い場合には、リーキーバケットの水面の高さが減少する。イベント計数部15−1〜15−nでは、アラートの種別毎の発生頻度計測結果をアラート評価イベントとして、イベント処理部12に伝送する。
イベント処理部12は、負荷イベント、アラート評価イベントに応じて、ネットワーク装置13に対して適切な制御コマンドを発行するための制御ルールのデータベース16を有する。制御ルールには、制御コマンドの発行に必要な、負荷およびアラートの発生頻度に関する条件(発行条件)とネットワーク装置13の制御に用いられる制御コマンドとが対にして記述される。制御ルール中の発行条件を充足すると、その制御コマンドがネットワーク装置13に対して送信される。
(第一実施例)
本発明第一実施例のネットワーク制御システムを図1ないし図3を参照して説明する。図1は第一実施例のネットワーク制御システムの全体構成図である。
第一実施例は、図1に示すように、所定のサーバである被評価装置1の負荷を検出する負荷イベント検出手段としての計算処理部10と、所定の被評価装置1の通信の異常を検出するアラートイベント検出手段としての被評価装置2(IDS)と、所定のサーバである被評価装置1の通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段としてのネットワーク装置23と、計算処理部10により検出された負荷または被評価装置2により検出された異常に応じてネットワーク装置23のトラヒック制御内容を調整するトラヒック制御内容調整手段としてのネットワーク制御装置21とを備えたネットワーク制御システムである。
ここで、第一実施例の特徴とするところは、計算処理部10は、複数の被評価装置1に対してそれぞれ設けられ、被評価装置2は、1つの被評価装置1または複数の被評価装置1を含む被評価装置1の群に対してそれぞれ設けられ、ネットワーク制御装置21は、複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する制御ルールデータベース26と、計算処理部10または被評価装置2から通知される被評価装置1毎の負荷量または異常種別毎の異常発生頻度と被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付するイベント処理部23とを備え、ネットワーク装置23は、ネットワーク制御装置21から送付された前記制御コマンドに基づき複数の被評価装置1のうち任意の一つ以上の被評価装置1へのトラヒックを制御する手段を備えたところにある。
あるいは、制御ルールデータベース26は、複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持し、イベント処理部22は、計算処理部10および被評価装置2から通知される被評価装置1毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせと被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付することもできる。
あるいは、図1に示した構成から被評価装置2を省き、制御ルールデータベース26は、複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量に応じた制御ルールを保持し、イベント処理部22は、計算処理部10から通知される被評価装置1毎の負荷量と被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付することもできる。
以下では、第一実施例をさらに詳細に説明する。
第一実施例は、図1に示すように、以下によって構成される。
・N(N>1)個の被評価装置1
・M(M≧1)個の被評価装置2
・ネットワーク装置23
・ネットワーク制御装置21
被評価装置1は、Webサーバ、またはFTPサーバ、などのサーバである。第一実施例では、複数の被評価装置1を、被評価装置2、ネットワーク装置23、ネットワーク制御装置21が共有できる。各被評価装置1には、互いを一意に識別できるサーバ識別子が付与される。
サーバ識別子として、任意の文字列や番号を用いることができる。サーバ識別子の一例としてIPアドレスがある。被評価装置1はネットワークを介して外部の装置との通信処理を行う計算処理部10を備える。また、負荷の状態を自ら監視し、その負荷情報と、自身のサーバ識別子とを負荷イベントとして、ネットワーク制御装置21に送信する。
被評価装置2は、侵入検知システム(IDS)であり、図8中の被評価装置2と同様である。被評価装置2は、1台で複数の被評価装置1のトラヒックを監視できる。また、本実施例において、被評価装置2を使用しないことも可能である。
ネットワーク装置23は図8中のネットワーク装置13と基本的には同様であるが、第一実施例のネットワーク装置23は1台で複数の被評価装置1を収容することができる。図1の例では、最も左に図示した被評価装置2は、1台の被評価装置2で2台の被評価装置1を収容している。あるいは、被評価装置1のそれぞれに対し被評価装置2を設置し、被評価装置1と被評価装置2とを同一計算資源上で実行させるといった形態もとり得る。
ネットワーク制御装置21は、図8に示したネットワーク制御装置11と同様に、イベント評価部24、イベント計数部25−1〜25−n、イベント処理部22を含むがそれに加え、負荷イベント集約部27、アラートイベント集約部28から構成される。ここで被評価装置2を使用しない場合は、アラートイベント集約部28、イベント評価部24、イベント計数部25−1〜25−nを省略できる。イベント計数部25−1〜25−nは、図8中のイベント計数部15−1〜15−nと同様である。
負荷イベント集約部27は、各被評価装置1から受信した負荷イベントをイベント処理部22に対して送信する機能を備える。
アラートイベント集約部28は、各被評価装置2から受信したアラートイベントをイベント評価部24に対して送信する機能を備える。ただし、被評価装置2を一つのみ用いる場合は、アラートイベント集約部28を省略し、被評価装置2からイベント評価部24に対して直接アラートイベントを送信できる。
イベント評価部24は、図8のイベント評価部14と同様に、アラートイベントを侵入攻撃の種別や重要度などのアラートイベントの情報に基づき分類する。このとき、アラートイベントに含まれる送受信者情報を用いて、異なるサーバへの不正トラヒックを、異なる種別として分類することもできる。そして、分類された種別毎に用意したイベント係数部に対して、アラートイベントを転送する。
イベント処理部22は、各被評価装置1、各被評価装置2から送信された各イベントに応じて、ネットワーク装置23に対して適切なコマンドを発行するための制御ルールのデータベース26を有する。制御ルールには以下が記述される。
・有効サーバ識別子のリスト:当該制御ルールが有効となる被評価装置1のサーバ識別子のリスト、すなわち、リストに記されていない被評価装置1が以下で述べる発行条件を充足しても、対応する制御コマンドは発行されない。
また、リストの代わりにIPアドレスのサブネット(IPアドレスの上位ビット)を指定することができる。この場合には、サブネットに属する(自身のIPアドレスの上位ビットがサブネットと一致する)被評価装置1に対して当該命令が有効となる。
・発行条件:当該制御ルールの制御コマンドをネットワーク装置23に対して発行する際に必要となる条件。
−被評価装置1の負荷情報に関する条件、例えば、負荷量の値が閾値を超えること、過去一定時間の負荷または異常発生頻度の時間積分が閾値を超えること、などを条件として設定できる。
−アラート種別の発生頻度に関する条件、例えば、特定のアラート種別の発生頻度が閾値を超えていること、などを条件として設定できる。
・制御コマンド:発行条件を充足した場合に、ネットワーク装置23に発行される制御コマンド。制御コマンドとして、一つ以上の任意のホストから一つ以上の任意のサーバへのトラヒックの遮断、帯域制限、転送、優先度変更などが用いられる。このとき、制御コマンドに発行条件を充足したサーバの識別情報を動的に埋め込むことにより、発行条件を充足したサーバへのトラヒックを選択的に制御することもできる。
図2に制御ルールの具体例を示す。図2では、有効サーバ識別子のリストとして、IPアドレスのサブネットを指定している。これにより、IPアドレスの全ビットを使用する場合と比較して識別情報を短くし、複数のサーバに適用すべき制御ルールを簡潔に記述することができる。例えば、図2の例では、10.10.1.0/24のサブネットに属するいずれかのサーバが、その発行条件を充足した場合に、そのサーバに対するトラヒックを規制する。同様の記述を、サーバ識別子としてIPアドレスのみを用いる場合には、最大で255個のIPアドレスをサーバ識別子のリストに記述することが必要になる。
次に、コマンドの発行に必要な負荷量、および異常発生頻度に関する条件(発行条件)を記述する。発行条件として負荷量に関する条件と異常発生頻度に関する条件の2つを指定することも、片方のみを指定することもできる。また、2つを指定する場合は、それらの論理積を用いることも、論理和を用いることもできる。図2では、負荷量の値が閾値を超えると負荷量に関する条件を充足したとみなす。また、異常発生頻度計測にリーキーバケットを用いるものとし、指定した異常種別のリーキーバケットの高さが閾値を超えると、異常発生頻度に関する条件を充足したとみなす。
したがって、図2は、以下を意味する。
・10.10.1.0/24に属する被評価装置1に対して有効。
・制御コマンド:発行条件を充足した被評価装置1への帯域を1Mbpsに規制。
・発行条件
−被評価装置1の負荷が80%を超え、かつ
−異常種別「DoS」のリーキーバケットの水面が10アラートを超えていること
また、以下のような制御コマンドも設定できる。すなわち、
・N(>1)個の被評価装置1があったとき、任意の被評価装置1と同一のサービスを提供する他の被評価装置1が存在するとする。このとき、任意の被評価装置1に関する制御ルールの制御コマンドが発行可能となると、その被評価装置1と同一のサービスを有し、かつ負荷量がより低い他の被評価装置1に対して、制御コマンドが発行可能となった被評価装置1へのトラヒックの一部、または全てを転送する制御コマンド。
・N(>1)個の被評価装置1があったとき、任意の被評価装置1と同一のサービスを提供する他の被評価装置1が存在するとする。このとき、任意の被評価装置1に関する制御ルールがその制御コマンドを発行可能となると、その被評価装置1と同一のサービスを提供し、かつ過去一定時間の負荷量または異常発生頻度の時間積分がより低い被評価装置1に対して、制御コマンドが発行可能となった被評価装置1へのトラヒックの一部、または全てを転送する制御コマンド。
イベント処理部22の処理フローの実施例を図3に示す。イベント処理部22では2つの処理フローが並行に実行される。第一の処理フロー♯1は、アラートイベント、負荷イベントを受信すると(S1)、発行条件を充足した制御ルールを制御ルールデータベースから検索する(S2)。その結果、得られた制御ルールの制御コマンドを、制御コマンドバッファに追加する(S3)。そして次のイベントを受信するまで、実行を待ち合わせる(S1)。なお、制御コマンドバッファは、図1中には図示していないがイベント処理部22内に設けられている。
第二の処理フロー♯2は、制御コマンドの送信処理を行う。このとき、ネットワーク制御装置21に対して逐次的に制御コマンドを送信することが必要となる。処理フロー♯2は、まずネットワーク装置23に対して制御コマンドを送信可能であるかを検査する。送信できない場合は、送信可能となるまで待ち合わせる(S4)。制御コマンドを送信可能になると、次に、制御コマンドバッファから制御コマンドを取得する(S5)。制御コマンドバッファに複数の制御コマンドがある場合には、以下の優先度に従って、制御コマンドを選択することができる。
・制御コマンドの制御対象となる被評価装置1の現時点における負荷量または異常発生頻度が最も高いもの。
・制御コマンドの制御対象となる被評価装置1の負荷量または異常発生頻度の過去一定時間における時間積分が最も高いもの。
次に、選択した制御コマンドを発行待ち制御コマンドバッファから取り除く(S6)。次に、ネットワーク装置23に対して選択した制御コマンドを発行する(S7)。そして、ネットワーク装置23への制御コマンド送信が再開できるまで、実行を待ち合わせる(S4)。
(第二実施例)
本発明第二実施例のネットワーク制御システムを図4を参照して説明する。図4は第二実施例のネットワーク制御システムの全体構成図である。
第二実施例は、図4に示すように、所定の被評価装置1の負荷を検出する計算処理部10と、所定の被評価装置1の通信の異常を検出する被評価装置2と、所定の被評価装置1の通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うネットワーク装置23と、計算処理部10により検出された負荷または被評価装置2により検出された異常に応じてネットワーク装置23のトラヒック制御内容を調整するネットワーク制御装置21とを備えたネットワーク制御システムである。
ここで、第二実施例の特徴とするところは、計算処理部10は、複数の被評価装置1に対してそれぞれ設けられ、複数の被評価装置1は、1以上の被評価装置1を含む複数のグループ(破線囲み部分)に分割され、ネットワーク装置23およびネットワーク制御装置21は、複数のグループに対してそれぞれ設けられ、被評価装置2は、一つ設けられ、被評価装置2の検出結果を複数のネットワーク制御装置23にそれぞれ分配するアラート分配装置29を備え、ネットワーク制御装置21は、自己に割当てられたグループに属する複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する制御ルールデータベース26と、計算処理部10または被評価装置2から通知される被評価装置1毎の負荷量または異常種別毎の異常発生頻度と被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付するイベント処理部22とを備え、ネットワーク装置23は、ネットワーク制御装置21から送付された前記制御コマンドに基づき自己に割当てられたグループに属する複数の被評価装置1のうち任意の一つ以上の被評価装置1へのトラヒックを制御する手段を備えたところにある。
あるいは、制御ルールデータベース26は、自己に割当てられたグループに属する複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持し、ネットワーク制御装置21は、計算処理部10および被評価装置2から通知される被評価装置1毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせと被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付することもできる。
以下では、第二実施例をさらに詳細に説明する。
第二実施例では、複数のネットワーク制御装置21で被評価装置2を共有する。第二実施例では、第一実施例で示したネットワーク制御システムを複数並べた構成をとる。ただし、図4に示されるように、被評価装置2は一つに共通化され、アラート分配装置29を介して、各ネットワーク制御装置21に対して接続される。
被評価装置2は、各被評価装置1が送受信するトラヒックを監視する。そして、不正トラヒックを検知すると、その結果をアラートとして生成する。このとき、アラートには、不正トラヒックの犠牲となっている被評価装置1のサーバ識別子が付与される。
アラート分配装置29は、各被評価装置1がどのネットワーク制御装置21に属するかを示す表(アラート転送表)を有する。アラート分配装置29がアラートを受信すると、アラート中のサーバ識別子を参照する。次に、アラート転送表を参照し、サーバ識別子によって示される被評価装置1が属するネットワーク制御装置21を特定する。最後に、特定されたネットワーク制御装置21に対して、受信したアラートを転送する。
(第三実施例)
本発明第三実施例のネットワーク制御システムを図5ないし図7を参照して説明する。図5は第三実施例のネットワーク制御システムの全体構成図である。
第三実施例は、図5に示すように、所定の被評価装置1の負荷を検出する計算処理部10と、所定の被評価装置1の通信の異常を検出する被評価装置2と、所定の被評価装置1の通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うネットワーク装置23と、計算処理部10により検出された負荷または被評価装置2により検出された異常に応じてネットワーク装置23のトラヒック制御内容を調整するネットワーク制御装置21とを備えたネットワーク制御システムである。
ここで、第三実施例の特徴とするところは、計算処理部10は、複数の被評価装置1に対してそれぞれ設けられ、被評価装置2は、1つの被評価装置1または複数の被評価装置1を含む被評価装置1の群に対してそれぞれ設けられ、複数の被評価装置1は、1以上の被評価装置1を含む複数のグループ(破線囲み部分)に分割され、ネットワーク制御装置21は、複数のグループに対してそれぞれ設けられ、ネットワーク装置23は、一つ設けられ、ネットワーク制御装置21は、自己に割当てられたグループに属する複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量または異常種別または異常発生頻度に応じた制御ルールを保持する制御ルールデータベース26と、計算処理部10または被評価装置2から通知される被評価装置1毎の負荷量または異常種別毎の異常発生頻度と被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付するイベント処理部22とを備え、ネットワーク装置23は、ネットワーク制御装置21から送付された前記制御コマンドに基づき複数の被評価装置1のうち任意の一つ以上の被評価装置1へのトラヒックを制御する手段を備えたところにある。
あるいは、制御ルールデータベース26は、自己に割当てられたグループに属する複数の被評価装置1のうち任意の一つ以上の被評価装置1の負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持し、ネットワーク制御装置21は、計算処理部10および被評価装置2から通知される被評価装置1毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせと被評価装置1の識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとしてネットワーク装置23に送付することもできる。
以下では、第三実施例をさらに詳細に説明する。
第三実施例では、複数のネットワーク制御装置21でネットワーク装置23を共有する。第三実施例では、第一実施例で示したネットワーク制御システムを複数並べた構成をとる。ただし、図5に示されるように、ネットワーク装置23は一つに共通化され、コマンド集約装置30を介して、各ネットワーク制御装置21に対して接続される。
また、図5では、1つの被評価装置1に対して1つの被評価装置2が設けられている状態を図示しているが、被評価装置2は、1台で複数の被評価装置1のトラヒックを監視できるので、複数の被評価装置1を含む被評価装置1の群に対して1台の被評価装置2を設けてもよい。あるいは、被評価装置1のそれぞれに対し被評価装置2を設置し、被評価装置1と被評価装置2とを同一計算資源上で実行させるといった形態もとり得る。
コマンド集約装置30は、各ネットワーク制御装置21から発行されたコマンドの受信と、コマンド発行順序制御、並びに、ネットワーク制御装置21へのコマンドの送信処理を行う。
第三実施例におけるネットワーク制御装置21のイベント処理部22の処理フローは、ネットワーク制御装置21とコマンド集約装置30との通信において、競合制御が必要か否かに応じて、二つの形態をとり得る。競合制御が必要となる場合の処理フローは、図3で示した処理フローと同様である。ただし、S7のコマンドの送信先はコマンド集約装置30となる。一方、競合制御が不要である場合の処理フローを図6に示す。図3と同様に、各イベントを受信すると(S10)、発行条件を充足した制御ルールを検索する(S11)。そして検索して得られた制御ルールの制御コマンドをコマンド集約装置30に対して送信する(S12)。第一実施例と同様の負荷量に応じた発行順序制御をコマンド集約装置30で行う場合は、その制御コマンドの制御対象となる被評価装置1の負荷情報を制御コマンドに付与し送信する。
図7に、コマンド集約装置30の処理フローを示す。コマンド集約装置30では2つの処理フローが並列に実行される。第一の処理フロー♯1は、制御コマンドを各ネットワーク制御装置から受信すると(S20)、制御コマンドバッファに追加する(S21)。そして次のイベントを取得する迄、実行を待ち合わせる(S20)。
第二の処理フロー♯2は、制御コマンドの送信処理を担う。第一実施例で述べたように、ネットワーク制御装置21に対して逐次的に制御コマンドを送信することが必要となる。故に、処理フロー♯2は、まずネットワーク装置23に対して制御コマンドを送信可能であるかを検査する。送信できない場合は、送信可能となるまで待ち合わせる(S22)。制御コマンドを送信可能になると、次に、制御コマンドバッファから、制御コマンドを取得する(S23)。当該制御コマンドバッファはコマンド集約装置30に設けられている。制御コマンドバッファに複数の制御コマンドがある場合には、以下の優先度に従って、制御コマンドを選択することができる。
・制御コマンドの制御対象となる被評価装置1の現時点における負荷量または異常発生頻度が最も高いもの。
・制御コマンドの制御対象となる被評価装置1の負荷量または異常発生頻度の過去一定時間における時間積分が最も高いもの。
次に、選択した制御コマンドを制御コマンドバッファ表から削除する(S24)。次に、ネットワーク装置23に対して選択した制御コマンドを発行する(S25)。そして、ネットワーク装置23への制御コマンド送信が再開できるまで、実行を待ち合わせる(S22)。
本発明によれば、複数のサーバで、IDSまたはネットワーク制御装置あるいはネットワーク装置などのネットワーク資源を共有し、ネットワーク資源を有効利用しつつ、個々のサーバ毎に個別のトラヒック制御を実現することができる。
第一実施例のネットワーク制御システムの全体構成図。 第一実施例における制御ルールの一例を示す図。 第一実施例におけるイベント処理部の処理フローを示す図。 第二実施例のネットワーク制御システムの全体構成図。 第三実施例のネットワーク制御システムの全体構成図。 第三実施例のイベント処理部の処理フローを示す図。 第三実施例のコマンド集約部の処理フローを示す図。 先願のネットワーク制御システムの全体構成図。
符号の説明
1、2 被評価装置
10 計算処理部
11、21 ネットワーク制御装置
12、22 イベント処理部
13、23 ネットワーク装置
14、24 イベント評価部
15−1〜15−n、25−1〜25−n イベント計数部
16、26 制御ルールデータベース
27 負荷イベント集約部
28 アラートイベント集約部
29 アラート分配装置
30 コマンド集約装置

Claims (14)

  1. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、
    前記トラヒック制御内容調整手段は、
    複数のサーバのうち任意の一つ以上のサーバの負荷量に応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段から通知されるサーバ毎の負荷量とサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  2. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷または前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、
    前記トラヒック制御内容調整手段は、
    複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  3. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷および前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、
    前記トラヒック制御内容調整手段は、
    複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別毎の異常発生頻度の双方の組み合わせに応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  4. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷または前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、
    複数のサーバは、1以上のサーバを含む複数のグループに分割され、
    前記トラヒック制御手段および前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、
    前記アラートイベント検出手段は、一つ設けられ、
    前記アラートイベント検出手段の検出結果を複数の前記トラヒック制御内容調整手段にそれぞれ分配する手段を備え、
    前記トラヒック制御内容調整手段は、
    自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別毎の異常発生頻度に応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  5. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷および前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、
    複数のサーバは、1以上のサーバを含む複数のグループに分割され、
    前記トラヒック制御手段および前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、
    前記アラートイベント検出手段は、一つ設けられ、
    前記アラートイベント検出手段の検出結果を複数の前記トラヒック制御内容調整手段にそれぞれ分配する手段を備え、
    前記トラヒック制御内容調整手段は、
    自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量および異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  6. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷または前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、
    複数のサーバは、1以上のサーバを含む複数のグループに分割され、
    前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、
    前記トラヒック制御手段は、一つ設けられ、
    前記トラヒック制御内容調整手段は、
    自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量または異常種別または異常発生頻度に応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段または前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度とサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  7. 所定のサーバの負荷を検出する負荷イベント検出手段と、
    所定のサーバの通信の異常を検出するアラートイベント検出手段と、
    所定のサーバの通信に伴うトラヒック量の制限、トラヒックの転送、データ転送の優先度の変更を含むトラヒック制御を行うトラヒック制御手段と、
    前記負荷イベント検出手段により検出された負荷および前記アラートイベント検出手段により検出された異常に応じて前記トラヒック制御手段のトラヒック制御内容を調整するトラヒック制御内容調整手段と
    を備えたネットワーク制御システムにおいて、
    前記負荷イベント検出手段は、複数のサーバに対してそれぞれ設けられ、前記アラートイベント検出手段は、1つのサーバまたは複数のサーバを含むサーバ群に対してそれぞれ設けられ、
    複数のサーバは、1以上のサーバを含む複数のグループに分割され、
    前記トラヒック制御内容調整手段は、複数のグループに対してそれぞれ設けられ、
    前記トラヒック制御手段は、一つ設けられ、
    前記トラヒック制御内容調整手段は、
    自己に割当てられたグループに属する複数のサーバのうち任意の一つ以上のサーバの負荷量および異常種別または異常発生頻度の双方の組み合わせに応じた制御ルールを保持する手段と、
    前記負荷イベント検出手段および前記アラートイベント検出手段から通知されるサーバ毎の負荷量または異常種別毎の異常発生頻度の双方の組み合わせとサーバの識別情報とに基づき、前記制御ルールの発行条件が充足されたか否かを判定し、発行条件を充足した当該制御ルールを制御コマンドとして前記トラヒック制御手段に送付する手段と
    を備え、
    前記トラヒック制御手段は、前記トラヒック制御内容調整手段から送付された前記制御コマンドに基づき複数のサーバのうち任意の一つ以上のサーバへのトラヒックを制御する手段を備えた
    ことを特徴とするネットワーク制御システム。
  8. 所定時間内に発行された制御コマンドを一時蓄積するバッファが設けられ、
    負荷量または異常種別毎の異常発生頻度の情報に基づき前記バッファに一時蓄積された制御コマンドに対する送付優先順位を設定する優先順位設定手段を備えた
    請求項1ないし7のいずれかに記載のネットワーク制御システム。
  9. 前記優先順位設定手段は、現時点における負荷量または異常発生頻度が大きいサーバに対する制御コマンドほど送付優先順位を高く設定する手段を備えた請求項8記載のネットワーク制御システム。
  10. 前記優先順位設定手段は、過去一定時間の負荷量または異常発生頻度の時間積分が大きいサーバに対する制御コマンドほど送付優先順位を高く設定する手段を備えた請求項8記載のネットワーク制御システム。
  11. 前記制御コマンドは、前記制御ルールの発行条件を充足した被トラヒック制御サーバと同じサービスを提供する前記制御ルールの発行条件を充足していない低負荷量または低異常発生頻度のサーバに対して前記被トラヒック制御サーバのトラヒックの一部または全部を転送するように前記トラヒック制御手段に指示を与える内容である請求項1ないし10のいずれかに記載のネットワーク制御システム。
  12. 前記制御コマンドは、前記制御ルールの発行条件を充足した被トラヒック制御サーバと同じサービスを提供する前記制御ルールの発行条件を充足していない過去一定時間の負荷量または異常発生頻度の時間積分が少ないサーバに対して前記被トラヒック制御サーバのトラヒックの一部または全部を転送するように前記トラヒック制御手段に指示を与える内容である請求項1ないし10のいずれかに記載のネットワーク制御システム。
  13. 前記識別情報は、IPアドレスのサブネットである請求項1ないし12のいずれかに記載のネットワーク制御システム。
  14. 制御ルールの発行条件を充足したサーバの識別子を、当該制御ルールと共に制御コマンドとして前記トラヒック制御手段に送付することにより発行条件を充足したサーバへのトラヒックを制御する手段を備えた請求項1ないし7のいずれかに記載のネットワーク制御システム。
JP2005129802A 2005-04-27 2005-04-27 ネットワーク制御システム Pending JP2006311084A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005129802A JP2006311084A (ja) 2005-04-27 2005-04-27 ネットワーク制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005129802A JP2006311084A (ja) 2005-04-27 2005-04-27 ネットワーク制御システム

Publications (1)

Publication Number Publication Date
JP2006311084A true JP2006311084A (ja) 2006-11-09

Family

ID=37477471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005129802A Pending JP2006311084A (ja) 2005-04-27 2005-04-27 ネットワーク制御システム

Country Status (1)

Country Link
JP (1) JP2006311084A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008178100A (ja) * 2007-01-19 2008-07-31 Hewlett-Packard Development Co Lp コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008178100A (ja) * 2007-01-19 2008-07-31 Hewlett-Packard Development Co Lp コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
JP4694578B2 (ja) * 2007-01-19 2011-06-08 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
US8286244B2 (en) 2007-01-19 2012-10-09 Hewlett-Packard Development Company, L.P. Method and system for protecting a computer network against packet floods

Similar Documents

Publication Publication Date Title
US7808897B1 (en) Fast network security utilizing intrusion prevention systems
JP5637148B2 (ja) スイッチネットワークシステム、コントローラ、及び制御方法
KR101900154B1 (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US20180331965A1 (en) Control channel usage monitoring in a software-defined network
US9736041B2 (en) Transparent software-defined network management
WO2011074516A1 (ja) ネットワークシステムとその制御方法、及びコントローラ
JP6692178B2 (ja) 通信システム
EP2613480A1 (en) Communication quality monitoring system, communication quality monitoring method, and storage medium
CN105141447B (zh) Can总线负载率监控方法及系统
EP3267639B1 (en) Congestion control within a communication network
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
CN107948157A (zh) 一种报文处理方法及装置
JP2016163180A (ja) 通信システム、通信方法、及びプログラム
JP6324026B2 (ja) 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法
US20110141899A1 (en) Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network
AU2019277439B2 (en) Abnormality detection apparatus, abnormality detection method, and abnormality detection program
JP2006211360A (ja) 通信回線監視装置
JP2006311084A (ja) ネットワーク制御システム
US20120110665A1 (en) Intrusion Detection Within a Distributed Processing System
JP2005286684A (ja) トラフィックフロー計測環境設定方式
JP2007243419A (ja) 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置
KR20170004052A (ko) 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템
JP2008079138A (ja) 通信監視システム、フロー収集装置、解析マネージャ装置及びプログラム
US20100054127A1 (en) Aggregate congestion detection and management
JP2009089111A (ja) 監視サーバ、監視システムおよび監視システムにおける通信方法。

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070810

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20090604

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090604

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090811

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091215