JP2006352831A - ネットワーク制御装置およびその制御方法 - Google Patents

ネットワーク制御装置およびその制御方法 Download PDF

Info

Publication number
JP2006352831A
JP2006352831A JP2006077978A JP2006077978A JP2006352831A JP 2006352831 A JP2006352831 A JP 2006352831A JP 2006077978 A JP2006077978 A JP 2006077978A JP 2006077978 A JP2006077978 A JP 2006077978A JP 2006352831 A JP2006352831 A JP 2006352831A
Authority
JP
Japan
Prior art keywords
traffic
packet
network control
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006077978A
Other languages
English (en)
Inventor
Takeshi Aimoto
Hidemitsu Higuchi
Takashi Isobe
Yoshinori Watanabe
秀光 樋口
義則 渡辺
毅 相本
隆史 磯部
Original Assignee
Alaxala Networks Corp
アラクサラネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2005147948 priority Critical
Application filed by Alaxala Networks Corp, アラクサラネットワークス株式会社 filed Critical Alaxala Networks Corp
Priority to JP2006077978A priority patent/JP2006352831A/ja
Publication of JP2006352831A publication Critical patent/JP2006352831A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing packet switching networks
    • H04L43/16Arrangements for monitoring or testing packet switching networks using threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

【課題】 大容量のトラフィックが流れるネットワークにおいては、ワーム、DDoS等の異常トラフィックを検知するためには複数台のトラフィック解析装置を設置する必要がある。
【解決手段】 ネットワーク制御装置10にトラフィック統計分析処理部13を設け、異常トラフィックを検出する。異常トラフィックを検出したときには、パケット転送処理部11にフィルタを設定して異常トラフィックの転送を停止すると同時に、統計情報パケットに異常検知情報を重畳して、トラフィック解析装置に送出する。
【選択図】 図2

Description

本発明は、ネットワーク制御装置およびその制御方法に係り、特に異常トラフィックの検知に関わるネットワーク制御装置およびその制御方法に関する。

電話や放送を含む様々なサービスがIP網を通じて提供され始め、IP網を流れるトラフィックの品質管理技術が急速に発展している。トラフィックの検知技術やモニタリング技術については、IETF等の標準化団体でも標準化が進められている。またトラフィック分析技術を用いた通信品質制御機能の製品化も行われている。

まず、IETF等で標準化が進められているsFlowと呼ばれるトラフィックのモニタリング方法について述べる(非特許文献1)。sFlowでは、ルータ(またはスイッチ:以下同様)は転送中のパケット(トラフィック)のサンプリング処理と、サンプリングされたパケットの切り出しを行って、対応するsFlowパケットを作成する。ルータから出力されるsFlowパケットは、コレクタまたはアナライザと呼ばれるトラフィック解析装置に送出され、トラフィック解析装置はこれらのsFlowパケットの蓄積と統計解析及び管理者への結果表示を行う。このsFlow技術はパケットの計測技術が中心であり、ルータがトラフィック解析装置に送出するsFlowパケットの情報要素が主として記載されている。分析機能は各ベンダのトラフィック解析装置の実装に任されており(表示主体の製品もある)、sFlow技術ではルータ装置内部で分析機能を備えることは無い。

次に、ルータ(またはスイッチ:以下同様)内にトラフィック分析技術を備えた製品の例として、CLEAR-Flowと呼ばれるトラフィックのモニタリング方法について述べる(非特許文献2)。CLEAR-Flowの動作フローは「監視」「解析」「対応」の3ステージで構成される。トラフィック分析技術はルータ内で行われる「監視」ステージに相当する。「監視」ステージでは監視基準に一致するパケットに焦点を当て、一致するパケットを見つける(ステップ1−フィルタ)とイベントカウンタを用いて発生の様子を追跡し(ステップ2−カウント)、予め設定した閾値を超えると設定されたアクションを実行する(ステップ3-閾値)。「監視」ステージの結果、該当トラフィックが検出されると、「解析」ステージに移る。「解析」ステージでは、さらに詳しい解析が必要な場合の動作を行い、ルータは該当トラフィックパケットデータを、より高度な解析機能を備えた外部装置に送る。このトラフィックデータの転送としては、ミラー方式、トンネル方式、sFlow方式の3方式がある。外部装置はこれらの情報を用いてより高度なトラフィック解析を行う。CLEAR-Flowは監視対象に対する監視基準をスイッチに組み込まれたCLEAR-Flowクラシファイアに運用者が予め指定することが必要である。例えば、非特許文献2に記載してあるように、特定ポートに送られるSYNパケットの個数をカウントする設定を行う。この設定を受けて、ルータ・スイッチで「監視」を行い、検出の結果、外部装置に送るトラフィックデータは、予め設定した検出条件に合致したトラフィックデータになる。

なお、未公開ではあるが、本発明に関連する出願として、特願2005−109744号がある。

P. Phaal、外2名、"A Method for Monitoring Traffic in Switched and Routed Networks"、[online]、2001年9月、IETF、[平成17年4月19日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3176.txt> "WHITE PAPER CLEAR-Flow"、[online]、2004年、[平成18年2月19日検索]、インターネット<URL:http://www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP.pdf>

非特許文献1に記載されたsFlow技術では、ルータは転送中のトラフィック(パケット)のサンプリング処理と、サンプリングされたパケットの切り出しを行ってトラフィックデータパケットを作成する。ルータから出力されるトラフィックデータパケットは、サンプルされた個々のパケットの切り出し情報である。ルータ装置内部では情報の蓄積やパケットのヘッダ内情報を対象にした統計解析処理は行わない。このため、大容量のトラフィックに隠れたワーム、DDoS(Distributed Denial Of Service)等の特徴的トラフィックの現象を検知する場合には、ルータから出力されるトラフィックデータパケットも比例して大容量となり、ルータのsFlowパケット生成負荷とトラフィック解析装置へ向けての転送負荷、さらにネットワークの帯域への負荷が大きくなるという課題がある。

非特許文献2に記載されたCLEAR-Flow技術では、ルータ内に「監視」処理機能を備え、対象トラフィックの絞込み処理を行う。検出すべきトラフィック対象をCLEAR-Flowクラシファイアに運用者が予め指定することが必要であり、設定したクラシファイア条件に合致するトラフィック内から、該当トラフィックとして顕著なトラフィックを検出する(ステップ1-フィルタ)。本発明のトラフィック統計分析処理部13で実行する様なトラフィック全体の中の特徴トラフィックを抽出する機能や、微小トラフィックを集約し特徴トラフィックを浮かび上がらせる機能は備えていない。

また、ルータは該当トラフィックが検出された場合のみ転送を行い(「解析」ステージ)、常時トラフィック解析装置へ向けて転送する必要はなくなる。これにより、転送すべき該当トラフィック情報の生成負荷とトラフィック解析装置へ向けての転送負荷、さらにネットワークの帯域への負荷が減少する。しかし、転送する該当トラフィック情報は、個々のパケットのコピーである為、まだ転送時の転送量は大きいと言う課題がある。CLEAR-Flow技術では、特徴情報に集約する機能はトラフィック解析装置が備えている。

本発明の目的は、非特許文献1及び非特許文献2の課題を解決し、ネットワーク制御装置(ルータまたはスイッチ)でトラフィック分析し、特徴情報に集約し、転送負荷・コストを低減することができるネットワーク制御装置を提供することにある。

上記目的を達成するために本発明は、ネットワーク制御装置(ルータまたはスイッチ)にトラフィック統計分析処理部を設け、特徴的トラフィックを該トラフィック統計分析処理部13で監視する。該トラフィック統計分析処理部は特徴的トラフィックを検出すると、特徴的トラフィックの特徴要素や流量(時間間隔やその間に転送されたトラフィック量)の情報をパケットに組み込み、この集約情報をトラフィック解析装置に転送する構成を採用した。また、ネットワーク制御装置のトラフィック統計分析処理の行う分析範囲(パケットのどの情報要素を対象に分析するか等)の設定は、制御情報内のパラメータで、上位装置(トラフィック解析装置等)から変更可能とする構成を採用した。

本発明によれば、異常トラフィックをネットワーク制御装置で分析/検知するので、トラフィック解析装置の負荷を減らすことができ、ネットワーク制御装置10のトラフィック解析装置20へ向けてのパケット転送負荷、さらにネットワークの帯域への負荷が小さくできる。

また、本発明によれば、ネットワーク制御装置を介してPCの認証を行うシステムにおいて、PC単位の異常トラフィック検出情報を認証/再認証時にネットワーク制御装置から認証サーバに伝えることにより、静的な認証情報(パスワード、デジタル署名情報等)に加えて、動的なトラフィック情報が加わるため、認証機能に加えて、該当PCのトラフィック制御を行うことが可能となる。

以下本発明の実施の形態について、実施例を用いて、図面を参照しながら説明する。

本発明の第1の実施例を図1ないし図10、および、図12、図15、図16を用いて説明する。ここで、図1はトラフィックのモニタリングシステムの構成を説明するブロック図である。図2はネットワーク制御装置のブロック図である。図3はトラフィック解析装置のブロック図である。図4と図15はパケットカウントテーブルを説明する図である。図5はしきい値テーブルを説明する図である。図6は異常検知情報テーブルを説明する図である。図7、図12、図16は異常フローを検知したフロー統計情報のパケットを説明する図である。図8はトラフィック分析処理部の処理フロー図である。図9はトラフィック分析処理部の異常判定処理フロー図である。図10はトラフィック解析装置がネットワーク制御装置に送信する制御情報パケットを説明する図である。

図1において、トラフィックのモニタリングシステム100は、複数のネットワーク1−11、1−12、…、1−1nに接続されたネットワーク制御装置10−1と、複数のネットワーク1−k1、1−k2、…、1−kmに接続されたネットワーク制御装置10−kと、トラフィック解析装置20とで構成される。ネットワーク制御装置10はトラフィック解析装置20にフロー統計情報を送る。逆に、トラフィック解析装置20はネットワーク制御装置10に制御情報(パラメータ等)を送る。

ここで、フロー統計情報には、ネットワーク制御装置10が検出した異常情報が含まれる。また、制御情報には、異常情報に基づいてトラフィック解析装置20が判定したカウンタのリセット、しきい値レベルの変更(しきい値の増加指示)が含まれる。また、逆に異常トラフィックが少ないときには、しきい値の減少指示が含まれる。この様に構成することで、異常トラフィックをネットワーク制御装置10で分析/検知するので、異常トラフィックの状況に応じてしきい値レベルを変更できる。この結果、異常トラフィックの状況に応じた感度とすることができる。なお、トラフィック解析装置20とネットワーク制御装置10−kとの間のフロー統計情報、制御情報の矢印は、図示の簡便のため省いた。

図2に示すネットワーク制御装置10は、パケット転送処理部11と、統計情報取得生成部12と、トラフィック統計分析処理部13とで構成される。また、統計情報取得生成部12は、サンプリング統計処理部121とトラフィック異常検知情報パケット生成部122とで構成される。

通常パケットは、パケット転送処理部11で転送先宛てに転送される。また、通常パケットは、パケット転送処理部11からサンプリング統計処理部121にコピーが転送される。サンプリング統計処理部121は、予め定めた割合でサンプリングして、サンプル対象となったパケットのヘッダを含むNバイトを切り出す。サンプリング統計処理部121は、切り出したパケットの一部を重畳してペイロードに格納したパケット(sFlowパケット)を作成し、統計情報パケットとして、パケット転送処理部11を経由して、トラフィック解析装置20に転送する。

また、サンプリング統計処理部121は、サンプル対象となったパケットをトラフィック統計分析処理部13に転送する。トラフィック統計分析処理部13は、予めトラフィック解析装置20からの制御情報パケットを、パケット転送処理部11を介して受取り、しきい値が設定されている。トラフィック統計分析処理部13は、このしきい値を用いてトラフィック異常を検知する。トラフィック異常を検知したトラフィック統計分析処理部13は、トラフィック異常検知情報パケット生成部122に異常検知情報を転送する。トラフィック異常検知情報パケット生成部122は異常検知情報に基づいて、異常検知情報パケットを生成し、サンプリング統計処理部121に転送する。異常検知情報パケットを受信したサンプリング統計処理部121は、sFlowパケットに続けて異常フロー検知情報を加え、統計情報パケットとして、パケット転送処理部11を経由して、トラフィック解析装置20に転送する。

本実施例のネットワーク制御装置10は、外部からしきい値を可変することができるので、制御パラメータを可変することができるトラフィック異常を検知可能なネットワーク制御装置とすることができる。

図3に示すトラフィック解析装置20は、パケット転送処理部21と、統計処理部22と、分析処理部23と、制御情報パケット生成部24とで構成される。ネットワーク制御装置10から転送されてきた統計情報パケットは、パケット転送処理部21を介して統計処理部22に転送され、統計処理を受ける。統計処理部22は、統計処理結果を分析処理部23に転送する。分析処理部23は統計処理結果を用いて分析処理を行う。分析処理部23は分析処理結果に基づいて、トラフィック異常を検出したネットワーク制御装置10の後述するパケットカウントテーブルのカウント値をリセットし、カウント値のしきい値を増加させる。具体的には、制御情報パケット生成部24にカウント値のリセットと、しきい値の変更とを制御するパケットを生成させ、これをパケット転送処理部21を介して、ネットワーク制御装置10へ転送する。

図4に示すパケットカウントテーブル200は、ネットワーク制御装置10のトラフィック統計分析処理部13に保持されるテーブルである。パケットカウントテーブル200は、項目数1テーブル201と、項目数2テーブル202と、項目数3テーブル203と、項目数4テーブル204とで構成されている。項目数1テーブル201は項目1の種類と値とに対応して、トラフィック統計分析処理部13がカウントしたパケット数を保持している。ここで、src ipは、source ipであり、送信元のIPアドレスを意味する。また、dst portは、destination portであり、送信先のポート番号を意味する。

項目数2テーブル202は、項目1の種類と値および項目2の種類と値のAND条件でパケット数をカウントする。項目数3テーブル203と、項目数4テーブル204は、いずれも項目数3または項目数4のAND条件でパケット数をカウントする。パケットカウントテーブルのパケット数は予め定めた間隔で、リセットを行う。また、リセットはトラフィック解析装置20が送信する制御情報に基づいても実施できる。

パケットカウントテーブルの項目欄は、パケットの情報から選択している。情報の例としては、IPヘッダ、TCPヘッダ、UDPヘッダ、MPLSヘッダ、MACヘッダ等のヘッダに含まれ
る情報やペイロードデータのハッシュ値等がある。この意味で、パケットカウントテーブルは、パケットのヘッダ情報に基づいてパケットの到達数をカウントしている。

図15のパケットカウントテーブル1500は、図4に示したパケットカウントテーブル200の他の実施形態である。

本実施例では、トラフィックを識別する項目は、送信元IPアドレス(src ip)、宛先IPアドレス(dst ip)、送信元ポート番号(src port)、宛先ポート番号(dst port)の4種類とし、前記4種類の項目から任意のn項目(1≦n≦4)の組み合わせを生成する。前記項目の種類は項目フィールド1501に示される。

なお、本実施例では処理対象項目を前記4種類としているが、検知したいトラフィックの特性に応じてさらに別の項目を加えたり、あるいは削除したりしてもよい。例えば、TCPセッションの確立、切断処理に関連するトラフィックを抽出するためにTCPヘッダ中のフラグ情報を含めてもよい。あるいは、トラフィックの特性をより正確に把握するために、TCPヘッダまたはUDPヘッダの後ろに続くアプリケーションデータの先頭何バイト分かを含めてもよい。あるいは、MPLSラベルが付いている場合に、前記MPLSラベルの値も含め、LSP毎にトラフィックの分析を行えるようにしてもよい。あるいは、L2TPなどのトンネリングプロトコルを使用しているときに、トンネル識別子を含め、トンネル毎にその中を通過するトラフィックの分析を行えるようにしてもよい。

パケットカウントテーブル1500の値フィールド1503には、前記組み合わせの構成要素となる項目であれば前記項目の値を格納し、前記組み合わせの構成要素とならない項目あれば、前記組み合わせを持つパケットのカウント中に出現した前記項目の値の種類数を格納する。値フィールド1503に格納される数値が値なのか出現種類数なのかを示す情報は、属性フィールド1502に格納する。

たとえば、図15においてエントリ番号4のエントリでは、送信元IPアドレスがZ、宛先IPアドレスがY、宛先ポート番号がdであるパケットが20個出現し、前記20個のパケットに含まれていた送信元ポート番号の種類が8種類であったことを表している。

さらに、パケットカウントテーブル1500の各エントリは、前記エントリ毎にパケット数をカウントするためのパケット数フィールド1504、前記エントリでカウント対象となるパケットの長さを積算するための積算オクテット数フィールド1505、前記エントリでパケット数のカウントを開始した時刻を保持するカウント開始時刻フィールド1506を持つ。

パケットカウントテーブル200との違いは、ある項目の組み合わせに着目したパケット数をカウントする際に、前記項目の組み合わせに含まれない項目について異なる値がいくつ出現したかを同時にカウントする点である。

図5に示すしきい値テーブルは、ネットワーク制御装置10のトラフィック統計分析処理部13に保持されるテーブルである。しきい値テーブル30は、フロー種別31と、検知レベル32と、しきい値33とで構成される。フロー種別31は、具体的にはワーム、DDoS等のトラフィック異常である。ここでは、フローXのパケットについて500を超えて検出したとき、検知レベル1と判定し、1000を超えて検出したとき、検知レベル2と判定する。なお、これらのしきい値はトラフィック解析装置20からの制御情報によって書き換えられる。

図6に示す異常検知情報テーブルは、ネットワーク制御装置10のトラフィック統計分析処理部13が生成し、トラフィック異常検知情報パケット生成部122に転送されるテーブルである。異常検知情報テーブル80は、フロー構成要素をシリアルにつなげたテーブルである。具体的には、検出したフローのDDoS、ワーム等のフロー種別と、検出したフローの容疑度である検知レベルと、TCP/IPヘッダの情報として送信元・宛先アドレスと、送信元・宛名ポートと、レイヤ4のプロトコル種別と、ネットワーク制御装置のネットワークインタフェース情報であるインタフェースとから構成される。その他、レイヤ2やアプリケーションの情報が入ってもよい。

異常フローを検知したフロー統計情報のパケット(図7)は、ネットワーク制御装置10のサンプリング統計処理部121が生成するパケットである。フロー情報パケット40は、MACヘッダ41と、IPヘッダ42と、UDPヘッダ43と、フロー情報44と、異常フロー検知情報45とから構成される。MACヘッダ41と、IPヘッダ42と、UDPヘッダ43と、フロー情報44とから構成されるパケットは、sFlowのパケットである。しかし、フロー情報パケット40には、異常フロー検知情報45が付加され、ネットワーク制御装置10がトラフィックの異常を検出したことを意味する。
異常フロー検知情報45の構成例について図12と図16を用いて説明する。

異常フロー検知情報45は、フロー種別1201、サンプリングレート1202、しきい値1203、積算オクテット数1204、積算時間1205、アイテム数1206、複数のアイテム1207から構成される。フロー種別1201は、検知されたフローの種別を示す。フロー種別の値には、例えばDDoS、ワーム等の種別情報が入る。サンプリングレート1202は、フロー検知時のパケットサンプリングレートを示すもので、サンプリング統計処理部121が保持するサンプリングレートが格納される。しきい値1203は、本メッセージを通知する契機となったパケットカウント数のしきい値を示すもので、しきい値テーブル30のしきい値33の値のいずれかが格納される。積算オクテット数1204は、パケットカウント数がしきい値を超えるまでの間に受信したパケット長の総オクテット数を示すもので、パケット数フィールド1504がしきい値を超えたパケットカウントテーブル1500のエントリの積算オクテット数フィールド1505の値が格納される。

エントリ積算時間1205は、本メッセージで通知するフローのパケットカウント数をカウントし始めてからしきい値を超えるまでの時間を示すもので、パケット数フィールド1504がしきい値を超えたパケットカウントテーブル1500のエントリのカウント開始時刻1506の値と現在時刻の差が格納される。アイテム数1206は、本メッセージに含まれるアイテム1207の数を示す。パケットカウントテーブル1500の例では一つのエントリは4個の項目で構成されているので、アイテム数1206の値は4となる。アイテム1207は、パケット数1504がしきい値を超えたパケットカウントテーブル1500のエントリに含まれる各項目の内容を示す。

アイテム1207は、図16に示すような構造となっている。項目1601は、アイテムの種類を表すもので、具体的にはパケットカウントテーブル1500の項目フィールド1501に示されるsrc ipやdst ipなどの識別情報を格納する。属性1602は、パケットカウントテーブル1500の属性フィールド1502に示される「値」か「出現種類数」が格納される。値1603は、パケットカウントテーブル1500の値フィールド1503に示される値が格納される。

ネットワーク制御装置10が、異常フローを検出したときに上記のような情報を含むパケットをトラフィック解析装置20に送信することで、トラフィック解析装置20は前記情報から異常フローの種類や規模、継続時間などを少ない処理負荷で短時間に把握することが可能となる。

次に、図8を用いて、ネットワーク制御装置10のトラフィック統計分析処理部13の動作を説明する。サンプリング統計処理121がサンプリングしたパケットをトラフィック統計分析処理部13が受信する(S501)。トラフィック統計分析処理部13は、パケットのヘッダ情報を用いて、図4に示したパケットカウンタテーブル200の該当エントリ(一般に複数存在する)のパケット数をインクリメントする(S502)。該当エントリが存在しなかった場合は新規にエントリを作成する。その際、新規にエントリの作成対象とする前記ヘッダ情報中の項目の組み合わせは事前に設定可能であり、さらには、制御情報パケット50の制御情報54によっても変更可能とする。次に、項目数2テーブル202と図5に示すしきい値テーブル30を参照して、被疑フローを示す項目の組み合わせで検知レベル1のしきい値を超えたエントリの有無を調べる(S503)。無い場合(No)には、ステップ501に戻り、ある場合(Yes)には異常判定に遷移する。異常判定(S504)で、異常と判断した場合(Yes)には、しきい値テーブルを再度参照して、図6に示す異常検知情報テーブル80を作成する(S505)。なお、異常で無いと判断した場合(No)には、ステップ501に戻る。トラフィック統計分析処理部13は、異常検知情報テーブル80を、トラフィック異常検知情報生成部122に転送する(S506)。

図9を用いて、図8のステップ503とステップ504を、ネットワークワームとDDoSの検出フローとしてさらに詳しく説明する。
まず、項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせを判断する(S1001)。“scr ip”と“dst port”または“dst ip”と“dst port”以外の組み合わせの場合には、検出フローを終了する。

項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせが、“scr ip”と“dst port”のときには、項目数3テーブルを検索する(S1002)。項目数3テーブルで、“scr ip”と“dst port”とが同じで、特定のホスト間での通信であることを示すエントリが存在するか確認する(S1003)。ここで特定のホスト間の通信であることを示す項目として、“dst ip”を採用する。この結果がYesならば、ワームではないと判断し処理を終了する。一方、結果がNoならば、ワームと判断する(S1004)。

一方、項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせが、
“dst ip”と“dst port”のときには、項目数3テーブルを検索する(S1005)。項目数3テーブルで、“scr ip”と“dst port”とが同じで、特定のホスト間での通信であることを示すエントリが存在するか確認する(S1006)。ここで特定のホスト間の通信であることを示す3番目の項目として、“scr ip”を採用する。この結果がYesならば、特定の2台の端末間のP2P通信であって、DDoSではないと判断し処理を終了する。一方、結果がNoならば、複数の送信元から特定の宛先への通信であるDDoSと判断する(S1007)。

図2に戻って、異常検知情報テーブル80を受信したトラフィック異常検知情報生成部122は、異常検知情報テーブルから、図7に示す異常フロー検知情報45を生成する。トラフィック異常検知情報生成部122は、異常フロー検知情報45をサンプリング統計処理部121に転送する。サンプリング統計処理部121は、通常のsFlowパケットの後ろに異常フロー検知情報45を追加したフロー統計情報パケット40を、トラフィック解析装置20に転送する。

ネットワーク制御装置10は、これと同時に、パケット転送処理部11の出力部に図示しないフィルタを設定して、異常パケットの転送を停止する。

図3において、異常フロー検知情報45を追加されたフロー統計情報パケット40を受信したトラフィック解析装置20は、分析処理部23で分析し、図5のフローXの異常で検知レベル2の以上の場合、これ以上の検知ができないことを判定する。この結果、パケットカウントテーブルのリセットと、フローXの検知レベル1のしきい値を1000に、検知レベル2のしきい値を2000にすべく、制御情報作成部24を介して制御情報パケット50を、ネットワーク制御装置10に送出する。

図10に示すトラフィック解析装置がネットワーク制御装置に送信する制御情報パケットは、トラフィック解析装置20の制御情報パケット生成部24が生成する。制御情報パケット50は、MACヘッダ51と、IPヘッダ52と、UDPヘッダ53と、制御情報54とから構成される。制御情報54には、カウンタリセット信号、パラメータ等から構成されている。

なお、上述した実施例ではsFlowとして説明したが、NetFlow、あるいは、ミラーリングしたパケットでも構わず、これらに限られない。制御情報54には、パケットカウントテーブルでパケット数カウントの対象とする項目の組み合わせ設定情報を変更する情報、または、しきい値テーブルのフロー種別および検知レベルを変更する情報を含んでもよい。さらに、フローXの検知レベル1および2のしきい値を変更するのではなく、新たに検知レベル3(しきい値:2000)を設けても良い。

また、トラフィック異常発生時の、異常通知の発信先はトラフィック解析装置に限らず、より上位のネットワーク監視装置であってもよい。

本実施例に拠れば、異常トラフィック、過負荷トラフィックの分析を分散して配置されたネットワーク制御装置(ルータまたはスイッチ)で行うことができる。この結果、トラフィック解析装置(コレクタまたはアナライザ)の分析負荷を低減することができる。また、従来のsFlow統計情報に異常トラフィックの分析情報を付け加えることにより、従来のFlow統計計算サーバの機能を生かした拡張ができる。さらに本実施例に拠れば、今後新たに発生するネットワーク攻撃に対しても、攻撃パターンに応じてパケットカウンタテーブルおよびしきい値テーブルの設定を変更することにより、対応することができる。

本実施例では、処理負荷の小さいアルゴリズムをトラフィック統計分析処理部13に適用し、それをネットワーク制御装置10に内蔵し、ネットワーク制御装置10でトラフィック分析と情報集約を実施すれば、ネットワーク制御装置10のトラフィック解析装置20へ向けてのパケット転送負荷、さらにネットワークの帯域への負荷が小さくできる。

さらにトラフィック分析を各ネットワーク制御装置10に分散して実施することができるため、トラフィック解析装置20の処理負荷とコストが軽減できる。

次に、第2の実施例について図11を用いて説明する。本実施例のシステム構成は、第1の実施例と同様である。図11は他の実施例の異常フローを検知したフロー統計情報のパケットを説明する図である。

図11に示すの異常フローを検知したフロー統計情報のパケットは、ネットワーク制御装置10のサンプリング統計処理部121が生成するパケットである。フロー情報パケット60は、MACヘッダ61と、IPヘッダ62と、UDPヘッダ63と、異常フロー検知情報64とから構成される。

この実施例では、異常フロー検知情報のみトラフィック解析装置20に転送する。したがって、サンプリング統計処理部121の処理が簡単である。

また、トラフィック異常発生時の、異常通知の発信先はトラフィック解析装置に限らず、より上位のネットワーク監視装置であってもよい。また、通常パケットと同様にネットワークを介して、ネットワーク管理者のPCに通知しても良い。

次に第3の実施例について図13及び図14を用いて説明する。図13は、トラフィック解析装置として、RADIUSプロトコル等の認証機能をもつ認証サーバを用いた認証システムを示している。図13に示す認証システムは、複数のPCに接続された複数のネットワークと複数のネットワークに接続されたネットワーク制御装置と認証サーバとで構成される。PCは、ネットワーク制御装置を介して認証サーバで認証される。ネットワーク制御装置は、認証/再認証のタイミングで、該当するPCの異常トラフィック検知情報を認証サーバに送信する。認証サーバは、認証情報を使って認証を行い、異常トラフィック検知情報を使って該当PCのトラフィック制御を行う。

ネットワーク制御装置と認証サーバ間は、図14に示すようにオリジナルの認証情報に加えて異常トラフィック検知情報が付加されている。

トラフィックのモニタリングシステムの構成を説明するブロック図である。 ネットワーク制御装置のブロック図である。 トラフィック解析装置のブロック図である。 パケットカウントテーブルを説明する図である。 しきい値テーブルを説明する図である。 異常検知情報テーブルを説明する図である。 異常フローを検知したフロー統計情報のパケットを説明する図である。 トラフィック分析処理部の処理フロー図である。 トラフィック分析処理部の異常判定処理フロー図である。 トラフィック解析装置がネットワーク制御装置に送信する制御情報パケットを説明する図である。 他の実施例の異常フローを検知したフロー統計情報のパケットを説明する図である。 異常フローを検知したフロー統計情報のパケットの異常フロー検知情報の構成例を説明する図である。 他の実施例の認証機能を持つトラフィック解析装置を含むトラフィックのモニタリングシステムの構成を説明するブロック図である。 異常フロー検知情報を含む認証パケットの構成例を示す図である。 パケットカウントテーブルの他の例を示す図である。 異常フローを検知したフロー統計情報のパケットの異常フロー検知情報中のアイテムフィールド構成例を示す図である。

符号の説明

1…ネットワーク、10…ネットワーク制御装置、11…パケット転送処理部、12…統計情報生成処理部、13…トラフィック統計分析処理部、20…トラフィック解析装置
、21…パケット転送処理部、22…統計処理部、23…分析処理部、24…制御情報生成部、30…しきい値テーブル、40…フロー情報パケット、50…制御情報パケット、60…フロー情報パケット、80…異常検知情報テーブル、100…トラフィックのモニタリングシステム、121…サンプリング統計処理部、122…トラフィック異常検知情報生成部、200…パケットカウントテーブル、201…項目数1テーブル、202…項目数2テーブル、203…項目数3テーブル、204…項目数4テーブル。

Claims (12)

  1. ネットワークとトラフィック解析装置との間に配置され、前記ネットワークとの間でパケットの転送を行うネットワーク制御装置であって、
    前記トラフィック解析装置が送信した制御情報を受信し、
    前記制御情報に含まれるパラメータを用いて前記パケットの監視を行い、
    トラフィック異常を検出したとき、検出した異常情報を前記トラフィック解析装置に送信することを特徴とするネットワーク制御装置。
  2. 請求項1に記載のネットワーク制御装置であって、
    前記パケットのヘッダ情報に基づいてパケットの到達数をカウントするパケットカウントテーブルを含み、
    前記制御情報によって前記パケットカウントテーブルの前記到達数をリセットすることを特徴とするネットワーク制御装置。
  3. 請求項2に記載のネットワーク制御装置であって、
    フロー種別に応じた複数のしきい値からなるしきい値テーブルをさらに含み、
    前記到達数が前記しきい値を超えたとき、前記パケットカウントテーブルを参照してトラフィック異常を判定することを特徴とするネットワーク制御装置。
  4. ネットワークとトラフィック解析装置との間に配置され、パケット転送処理部を設けて前記ネットワークとの間でパケットの転送を行うネットワーク制御装置であって、
    受信したパケットのサンプリングを行うサンプリング統計処理部と、異常トラフィックの検出を行うトラフィック統計分析処理部とを有することを特徴とするネットワーク制御装置。
  5. 請求項4に記載のネットワーク制御装置であって、
    前記トラフィック統計処理部がトラフィック異常を検出したとき、前記トラフィック解析装置に異常検出通知を送信することを特徴とするネットワーク制御装置。
  6. 請求項4または請求項5に記載のネットワーク制御装置であって、
    前記トラフィック統計処理部がトラフィック異常を検出したとき、当該トラフィック異常のパケットの転送を停止することを特徴とするネットワーク制御装置。
  7. 請求項4ないし請求項6のいずれか一つに記載のネットワーク制御装置であって、
    前記トラフィック統計処理部のトラフィック異常検出パラメータは、前記トラフィック解析装置からの制御情報により変更可能なことを特徴とするネットワーク制御装置。
  8. ネットワークからパケットを受信するステップと、
    受信したパケットのヘッダ情報に基づくパケットカウンタテーブルの到達数を更新するステップと、
    前記到達数と予め定められたしきい値とを比較するステップと、
    前記到達数が前記しきい値を超えていたとき、異常判定を実施するステップと、
    トラフィック異常と判定したとき、トラフィック異常通知を送信するステップとからなるネットワーク制御装置の制御方法。
  9. 請求項8に記載のネットワーク制御装置の制御方法であって、
    前記トラフィック異常通知の送信先はトラフィック解析装置であることを特徴とするネットワーク制御装置の制御方法。
  10. 請求項8または9に記載のネットワーク制御装置の制御方法であって、
    前記受信したパケットは、サンプリング後のパケットであることを特徴とするネットワーク制御装置の制御方法。
  11. PCとネットワーク制御装置と認証サーバがネットワークを介して接続し、前記PCの認証を行うネットワークシステムにおいて、
    前記ネットワーク制御装置は、認証/再認証の際に、該当するPCの異常トラフィック情報を前記認証サーバに送信することを特徴とするネットワークシステム。
  12. 前記検出された異常情報は、送信されるパケットの送信元または受信先に関する情報を特定する項目、その項目の属性、およびその項目の値を含むことを特徴とする請求項1記載のネットワーク制御装置。
JP2006077978A 2005-05-20 2006-03-22 ネットワーク制御装置およびその制御方法 Pending JP2006352831A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005147948 2005-05-20
JP2006077978A JP2006352831A (ja) 2005-05-20 2006-03-22 ネットワーク制御装置およびその制御方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2006077978A JP2006352831A (ja) 2005-05-20 2006-03-22 ネットワーク制御装置およびその制御方法
US11/436,671 US20070204060A1 (en) 2005-05-20 2006-05-19 Network control apparatus and network control method

Publications (1)

Publication Number Publication Date
JP2006352831A true JP2006352831A (ja) 2006-12-28

Family

ID=37648127

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006077978A Pending JP2006352831A (ja) 2005-05-20 2006-03-22 ネットワーク制御装置およびその制御方法

Country Status (2)

Country Link
US (1) US20070204060A1 (ja)
JP (1) JP2006352831A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009016987A (ja) * 2007-07-02 2009-01-22 Alaxala Networks Corp リモートトラフィック監視方法
JP2010193055A (ja) * 2009-02-17 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム
JP2011029986A (ja) * 2009-07-27 2011-02-10 Nippon Telegr & Teleph Corp <Ntt> 通信網における頻出フロー検出方法と装置およびプログラム
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
JP2011519533A (ja) * 2008-04-22 2011-07-07 アルカテル−ルーセント パケットベースのネットワークのための攻撃保護
JP2011151514A (ja) * 2010-01-20 2011-08-04 Hitachi Ltd トラフィック量監視システム
WO2011155510A1 (ja) * 2010-06-08 2011-12-15 日本電気株式会社 通信システム、制御装置、パケットキャプチャ方法およびプログラム
JP2012156695A (ja) * 2011-01-25 2012-08-16 Mitsubishi Electric Corp パケットキャプチャ装置
US8427968B2 (en) 2008-08-06 2013-04-23 Alaxala Networks Corporation Communication data statistical apparatus, communication data statistical method, and computer program product
JP2016062130A (ja) * 2014-09-16 2016-04-25 日本電気株式会社 ネットワーク処理トレース装置、ネットワーク処理トレース方法、および、コンピュータ・プログラム

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090094671A1 (en) * 2004-08-13 2009-04-09 Sipera Systems, Inc. System, Method and Apparatus for Providing Security in an IP-Based End User Device
US9531873B2 (en) * 2004-08-13 2016-12-27 Avaya Inc. System, method and apparatus for classifying communications in a communications system
US7933985B2 (en) * 2004-08-13 2011-04-26 Sipera Systems, Inc. System and method for detecting and preventing denial of service attacks in a communications system
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
WO2008002590A2 (en) * 2006-06-29 2008-01-03 Sipera Systems, Inc. System, method and apparatus for protecting a network or device against high volume attacks
WO2008008863A2 (en) * 2006-07-12 2008-01-17 Sipera Systems, Inc. System, method and apparatus for troubleshooting an ip network
JP4764810B2 (ja) * 2006-12-14 2011-09-07 富士通株式会社 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム
US20080196103A1 (en) * 2007-02-09 2008-08-14 Chao-Yu Lin Method for analyzing abnormal network behaviors and isolating computer virus attacks
US9197746B2 (en) * 2008-02-05 2015-11-24 Avaya Inc. System, method and apparatus for authenticating calls
US20110138463A1 (en) * 2009-12-07 2011-06-09 Electronics And Telecommunications Research Institute Method and system for ddos traffic detection and traffic mitigation using flow statistics
EP2587741B1 (en) * 2010-06-23 2015-01-28 Nec Corporation Communication system, control apparatus, node controlling method and node controlling program
CN103026662B (zh) * 2010-07-23 2016-11-09 日本电气株式会社 通信系统、节点、统计信息收集装置、统计信息收集方法和程序
CN103155489B (zh) * 2010-10-15 2016-02-17 日本电气株式会社 交换机系统以及监视集中控制方法
CN102137104B (zh) * 2011-03-11 2014-09-17 华为软件技术有限公司 一种传输控制协议tcp长连接接入控制方法和装置
US9240975B2 (en) 2013-01-30 2016-01-19 Palo Alto Networks, Inc. Security device implementing network flow prediction
US9077702B2 (en) 2013-01-30 2015-07-07 Palo Alto Networks, Inc. Flow ownership assignment in a distributed processor system
US8997223B2 (en) * 2013-01-30 2015-03-31 Palo Alto Networks, Inc. Event aggregation in a distributed processor system
EP3145130B1 (en) 2014-06-18 2019-02-27 Nippon Telegraph and Telephone Corporation Network system, communication control method, and communication control program
US20160050132A1 (en) * 2014-08-18 2016-02-18 Telefonaktiebolaget L M Ericsson (Publ) Method and system to dynamically collect statistics of traffic flows in a software-defined networking (sdn) system
US9871748B2 (en) * 2015-12-09 2018-01-16 128 Technology, Inc. Router with optimized statistical functionality
US10469528B2 (en) * 2017-02-27 2019-11-05 Arbor Networks, Inc. Algorithmically detecting malicious packets in DDoS attacks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143377A (ja) * 1991-11-18 1993-06-11 Hitachi Computer Electron Co Ltd アラーム通知方式
JP2001203691A (ja) * 2000-01-19 2001-07-27 Nec Corp ネットワークトラフィック監視システム及びそれに用いる監視方法
JP2001331390A (ja) * 2000-05-22 2001-11-30 Mitsubishi Electric Corp ネットワーク管理システム
JP2003258903A (ja) * 2002-03-04 2003-09-12 Hitachi Ltd 通信路監視システム
JP2004259146A (ja) * 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> 閾値自動設定方法及びシステム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6172990B1 (en) * 1997-06-19 2001-01-09 Xaqti Corporation Media access control micro-RISC stream processor and method for implementing the same
IL121898D0 (en) * 1997-10-07 1998-03-10 Cidon Israel A method and apparatus for active testing and fault allocation of communication networks
US7398317B2 (en) * 2000-09-07 2008-07-08 Mazu Networks, Inc. Thwarting connection-based denial of service attacks
US7702806B2 (en) * 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
CN1488115A (zh) * 2001-01-26 2004-04-07 布莱迪卡姆公司 用于提供服务和虚拟编程接口的系统
US20040093413A1 (en) * 2002-11-06 2004-05-13 Bean Timothy E. Selecting and managing time specified segments from a large continuous capture of network data
JP4480422B2 (ja) * 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
KR100628317B1 (ko) * 2004-12-03 2006-09-27 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143377A (ja) * 1991-11-18 1993-06-11 Hitachi Computer Electron Co Ltd アラーム通知方式
JP2001203691A (ja) * 2000-01-19 2001-07-27 Nec Corp ネットワークトラフィック監視システム及びそれに用いる監視方法
JP2001331390A (ja) * 2000-05-22 2001-11-30 Mitsubishi Electric Corp ネットワーク管理システム
JP2003258903A (ja) * 2002-03-04 2003-09-12 Hitachi Ltd 通信路監視システム
JP2004259146A (ja) * 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> 閾値自動設定方法及びシステム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009016987A (ja) * 2007-07-02 2009-01-22 Alaxala Networks Corp リモートトラフィック監視方法
JP2011507453A (ja) * 2007-12-18 2011-03-03 ソーラーウィンズ ワールドワイド、エルエルシー フロー情報に基づくネットワークデバイスのacl構成方法
JP2011519533A (ja) * 2008-04-22 2011-07-07 アルカテル−ルーセント パケットベースのネットワークのための攻撃保護
US8427968B2 (en) 2008-08-06 2013-04-23 Alaxala Networks Corporation Communication data statistical apparatus, communication data statistical method, and computer program product
JP2010193055A (ja) * 2009-02-17 2010-09-02 Nippon Telegr & Teleph Corp <Ntt> フロー情報送信装置、中間装置、フロー情報送信方法およびプログラム
JP2011029986A (ja) * 2009-07-27 2011-02-10 Nippon Telegr & Teleph Corp <Ntt> 通信網における頻出フロー検出方法と装置およびプログラム
JP2011151514A (ja) * 2010-01-20 2011-08-04 Hitachi Ltd トラフィック量監視システム
WO2011155510A1 (ja) * 2010-06-08 2011-12-15 日本電気株式会社 通信システム、制御装置、パケットキャプチャ方法およびプログラム
JPWO2011155510A1 (ja) * 2010-06-08 2013-08-01 日本電気株式会社 通信システム、制御装置、パケットキャプチャ方法およびプログラム
JP2012156695A (ja) * 2011-01-25 2012-08-16 Mitsubishi Electric Corp パケットキャプチャ装置
JP2016062130A (ja) * 2014-09-16 2016-04-25 日本電気株式会社 ネットワーク処理トレース装置、ネットワーク処理トレース方法、および、コンピュータ・プログラム

Also Published As

Publication number Publication date
US20070204060A1 (en) 2007-08-30

Similar Documents

Publication Publication Date Title
US9344445B2 (en) Detecting malicious network software agents
US9077692B1 (en) Blocking unidentified encrypted communication sessions
US8732833B2 (en) Two-stage intrusion detection system for high-speed packet processing using network processor and method thereof
US9680870B2 (en) Software-defined networking gateway
JP5958570B2 (ja) ネットワークシステム、コントローラ、スイッチ、及びトラフィック監視方法
EP2939454B1 (en) System and method for correlating network information with subscriber information in a mobile network environment
US9258323B1 (en) Distributed filtering for networks
EP2612488B1 (en) Detecting botnets
Giotis et al. Leveraging SDN for efficient anomaly detection and mitigation on legacy networks
US8918875B2 (en) System and method for ARP anti-spoofing security
US10673874B2 (en) Method, apparatus, and device for detecting e-mail attack
US9497208B2 (en) Distributed network protection
US9736051B2 (en) Smartap arrangement and methods thereof
DK2241058T3 (en) A method for configuring the ACLS on a network device on the basis of the flow information
US8176178B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
JP5510687B2 (ja) ネットワークシステム、及び通信トラフィック制御方法
US7644151B2 (en) Network service zone locking
AU2002242043B2 (en) Network port profiling
Gil et al. MULTOPS: A Data-Structure for Bandwidth Attack Detection.
EP2241072B1 (en) Method of detecting anomalies in a communication system using numerical packet features
Kruegel et al. Stateful intrusion detection for high-speed network's
US7607170B2 (en) Stateful attack protection
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
US7849506B1 (en) Switching device, method, and computer program for efficient intrusion detection
CA2470294C (en) Network service zone locking

Legal Events

Date Code Title Description
A621 Written request for application examination

Effective date: 20080714

Free format text: JAPANESE INTERMEDIATE CODE: A621

A521 Written amendment

Effective date: 20080714

Free format text: JAPANESE INTERMEDIATE CODE: A523

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100614

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100713

A521 Written amendment

Effective date: 20101008

Free format text: JAPANESE INTERMEDIATE CODE: A523

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101008

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20101101

A912 Removal of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20101119