JP2008135871A - ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム - Google Patents
ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム Download PDFInfo
- Publication number
- JP2008135871A JP2008135871A JP2006319139A JP2006319139A JP2008135871A JP 2008135871 A JP2008135871 A JP 2008135871A JP 2006319139 A JP2006319139 A JP 2006319139A JP 2006319139 A JP2006319139 A JP 2006319139A JP 2008135871 A JP2008135871 A JP 2008135871A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- unit
- abnormal traffic
- grouping
- function unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】処理負荷を軽減しながら、効率的に広帯域ネットワークのトラフィックフローの統計処理を行うようにする。
【解決手段】本発明のネットワーク監視システムは、1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する1又は複数の収集手段と、各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する1又は複数の個別集計手段と、各収集手段及び各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段とを備える。
【選択図】 図1
【解決手段】本発明のネットワーク監視システムは、1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する1又は複数の収集手段と、各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する1又は複数の個別集計手段と、各収集手段及び各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段とを備える。
【選択図】 図1
Description
本発明は、ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムに関し、例えば、広帯域ネットワークのトラフィックを多地点で観測し、広帯域ネットワークのトラフィック情報の統計、集約及び分析等を行なう多地点広帯域ネットワーク監視システムに適用し得る。
近年、ネットワーク技術の発展に伴い、その重要性が高まり、ネットワークシステムが社会基盤として浸透している。その一方で、高度化・複雑化した新しいウィルスが日々発生しており、ウィルス感染等の脅威がネットワーク障害を引き起こし、その被害はネットワークの規模に応じて大きくなる。そのため、ネットワークにおけるセキュリティ監視システムの重要性が高まっている。
非特許文献1には、上記課題を解決するためのネットワークセキュリティ技術が提案されている。
非特許文献1に記載されているネットワークセキュリティ技術の方法は、広帯域ネットワーク上に多数のプローブシステムを備え、各プローブシステムは、監視回線を流れる全てのパケットを取り込み、各監視回線のトラフィックをモニタリングする。
このとき、各プローブシステムは、全てのパケットのヘッダ情報から、少なくとも1つ以上の主要データ項目をキーとして検索・グルーピングを行い、主要データ項目毎のパケット数やサイズを集計する。そして、例えば、件数、サイズ、使用ポート等の集計結果に基づいて、特異な傾向(すなわち、異常なトラフィックフロー)を検出し、これを異常パケット候補として抽出してネットワーク情報収集システムに与える。
ネットワーク情報収集システムでは、各プローブシステムから異常パケット候補の抽出結果を定期的に集約し、その集約結果に基づいて詳細な分析データを分析システムに渡し、インシデント対策を決定するというものである。
加藤圭、五十嵐譲、「ブロードバンド・ユビキタス社会を支えるネットワークセキュリティ技術」、沖テクニカルレビュー 2005年10月−204号 No.204 ユビキタスネットワーク特集、Vol.72 No.4、2005年10月、pp.76−79
ところで、上述した多地点広帯域ネットワークにおけるトラフィックセキュリティ技術において、プローブシステムは、常時、所定時間単位のトラフィックフローの統計結果を取り、所定時間単位毎の統計結果に基づいて異常パケット候補を決定している。
そのため、以前に異常なトラフィックとみなされたパケットと同一内容のパケットが、今回の単位時間内に収集したパケットの中に含まれていたとしても、当該パケットについても他の全てのパケットと同様に統計処理の対象となってしまい、重複した判定処理がプローブシステムで行われていた。
上述した非特許文献1に記載のシステムは、超高速化するインターネット回線のトラフィックを監視するものとして期待されるものであり、広帯域通信に対応できるプローブシステムの性能向上が要求される。
そのため、それぞれの監視回線上を流れる全てのパケットを収集してトラフィックフローの統計結果を求める収集装置(プローブシステム)を多数備え、これら多数の収集装置の統計結果に基づいて広帯域ネットワークのトラフィックセキュリティを監視するシステムにおいて、効率的にトラフィックフローの統計処理を行うことができるネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムが求められている。
かかる課題を解決するために、第1の本発明のネットワーク監視システムは、(1)1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する1又は複数の収集手段と、(2)各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する1又は複数の個別集計手段と、(3)各収集手段及び各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段とを備えることを特徴とする。
第2の本発明のネットワーク監視方法は、1又は複数の収集手段が、1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する収集工程と、(2)1又は複数の個別集計手段が、各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する個別集計工程と、(3)分析手段が、各収集手段及び各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析工程とを備えることを特徴とする。
第3の本発明のネットワーク監視プログラムは、コンピュータに、(1)1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する収集手段と、(2)収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する個別集計手段、(3)収集手段及び個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段として機能させるものである。
本発明によれば、それぞれの監視回線上を流れる全てのパケットを収集してトラフィックフローの統計結果を求める収集手段を多数備え、これら多数の収集手段の統計結果に基づいて広帯域ネットワークのトラフィックセキュリティを監視するシステムにおいて、収集手段の処理負荷を軽減しながら、効率的にトラフィックフローの統計処理を行うことができる。
(A)第1の実施形態
以下、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを適用した第1の実施形態を図面を参照しながら説明する。
以下、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを適用した第1の実施形態を図面を参照しながら説明する。
第1の実施形態は、本発明のネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラムを利用して、多地点広帯域トラフィック監視システムを一元監視し、不正アクセスやDos攻撃等の異常トラフィックの検出、分析を実現する場合の実施形態を説明する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。図1において、第1の実施形態のネットワーク監視システム10は、収集システム1(1−1〜1−n)、統合管理システム2、管理者端末3、接続装置5(5−1〜5−n)、監視回線6(6−1〜6−n)、転送装置7(7−1〜7−n)、超高速回線8、を少なくとも有して構成される。
図1は、第1の実施形態のネットワーク監視システムの全体構成を示す構成図である。図1において、第1の実施形態のネットワーク監視システム10は、収集システム1(1−1〜1−n)、統合管理システム2、管理者端末3、接続装置5(5−1〜5−n)、監視回線6(6−1〜6−n)、転送装置7(7−1〜7−n)、超高速回線8、を少なくとも有して構成される。
超高速回線8は、転送装置7−1〜7−nを介して、それぞれの監視回線6−1〜6−nと接続するバックボーンネットワークである。
監視回線6−1〜6−nは、収集システム1−1〜1−nの監視対象のネットワーク回線であり、例えば、ISP(インターネットサービスプロトコル)の管理対象ネットワークの高速ネットワーク回線(例えば、帯域は5Gbps〜10Gbps程度のものを想定する)などが該当する。監視回線6−1〜6−nの回線媒体としては、例えば、電気回線や光ファイバ回線などの有線回線や、一部又は全部に無線回線を有するものを適用できる。また、各監視回線6−1〜6−n上には、ユーザが操作する複数のユーザ端末9を備えている。また、監視回線6−1〜6−nにおいて、OSI基本参照モデルのトランスポート層に対応する層のプロトコルは特に限定されないが、例えば、TCP、UDP、ICMPなどを適用できる。なお、端末9としては、例えばPC等に代表される通信端末、音声通信端末(ソフトフォンを実現する通信端末、携帯電話機等を含む概念)や、ネットワーク機器などが該当する。
転送装置7−1〜7−nは、超高速回線8と各監視回線6−1〜6−nとの間のデータ転送を行なう中継装置であり、例えば、スイッチ装置、ルータ等が該当する。
接続装置5−1〜5−nは、各監視回線6−1〜6−n上を流れるパケットを、それぞれの収集システム1−1〜1−nに与えるものであり、例えば、TAP装置、各転送装置7−1〜7−nのミラー回線、スプリッタ等が該当する。
収集システム1−1〜1−nは、接続装置5−1〜5−nを介して、それぞれの監視回線6−1〜6−n上を流れる全てのパケットを取り込み、各監視回線6−1〜6−nのトラフィックをモニタリングするものである。つまり、収集システム1−1〜1−nは、各パケットのヘッダ情報に基づいて、所定の設定条件に従って各監視回線6−1〜6−nのトラフィックフローに関する統計処理を行なう統計処理機能や、統計結果に基づいてトラフィック異常を検出する異常検出機能や、統計結果を統合管理システム2に対して送信する送信機能等を備えるものである。
また、収集システム1−1〜1−nは、既に検出されているトラフィック異常の種類をグループ化し、取り込んだパケットのうち異常トラフィックグループに属すパケットを分別する分別機能や、異常トラフィックグループに属すパケットをグループ毎の個別統計処理機能に振り分ける振分機能や、異常トラフィックグループに属さないパケットの中から新たなトラフィック異常を検出して新たな異常トラフィックグループを生成する新グループ生成機能等を備える。なお、この収集システム1−1〜1−nが実現する機能の詳細な説明については後述する。
統合管理システム2は、各収集システム1−1〜1−nから統計結果を受け取り、受け取った統計結果に基づいて所定の集約方法に従って統計結果を集約する集約する集約機能や、集約した集約結果に基づいてトラフィックフローを分析する分析機能や、アラーム通知機能等を備えるものである。
管理者端末3は、ネットワークを管理する管理者が操作する端末であり、統合管理システム2が分析したトラフィックフローの分析結果や統計結果等の表示や、ネットワーク監視や異常検出に関する設定等を統合管理システム2に対して行うものである。
続いて、収集システム1(1−1〜1−n)が実現する機能の詳細を図面を参照して説明する。
図2は、収集システム1が実現する機能を示す機能ブロック図である。図2に示すように、収集システム1は、観測プローブ機能部11、個別統計システム12(12−1〜12−n)を少なくとも有して構成されるものである。
観測プローブ機能部11は、接続装置5を介して受け取った全パケットのヘッダ情報に基づいて異常トラフィックグループに属すパケットを分別し、異常トラフィックグループに属すパケットについては、そのグループの統計処理を行なう個別統計システム12−1〜12−nのいずれかに与え、異常トラフィックグループに属さないパケットについては、新たなトラフィック異常の検出をした上で、統合管理システム2に与えるものである。
図3は、観測プローブ機能部11の詳細な内部機能を示す機能ブロック図である。図3において、観測プローブ機能部11は、パケット取得機能部101、ポリシー照合機能部102、ポート識別情報取得機能部103、ポート振分機能部104、送信機能部105、グルーピング機能部106、集計機能部107、判定機能部108、ポリシー追加機能部109、集計データ送信機能部110、終了機能部111、グルーピングポリシーデータベースX1、を少なくとも有して構成される。
パケット取得機能部101は、監視回線6から接続装置5を介して、監視回線6上を流れる全てのパケットを捕捉するものであり、捕捉したパケットをポリシー照合機能部102に与えるものである。
ポリシー照合機能部102は、パケット取得機能部101からパケットを受け取ると、各パケットのヘッダ情報(例えば、IPヘッダ情報、UDPヘッダ情報等)をグルーピングポリシーデータベースX1と照合し、グルーピングポリシーデータベースX1に設定されているグルーピングポリシーに一致するパケットについてはポート識別情報取得機能部103に与え、グルーピングポリシーに一致するポリシーがなかったパケットについてはグルーピング機能106に与えるものである。
ここで、グルーピングポリシーデータベースX1は、異常トラフィックグループを特定するために定義されたグルーピングポリシーを記憶するものである。すなわち、既に分かっているトラフィッククローの特異な傾向をグループ化して記憶しておく。
なお、トラフィックフローの特異な傾向としては、例えば、特定の送信先(例えばIPアドレス、送信先ポート番号等)へのパケット数が、他の送信先へのそれより数十倍以上である場合(例えばflood攻撃の疑いの場合)、特定の送信先のパケットサイズが規定値(例えば、数MB)より大きい場合(例えばDoS攻撃の疑いの場合)、特定の送信元(例えばIPアドレス、送信元ポート番号)からのパケットの突発的に100件以上(例えば100pps以上)が発生する場合等がある。
グルーピングポリシーデータベースX1においては、予め設定された設定項目に異常トラフィックを特定する情報が設定され、これらを組み合わせたものを1つのグループとして定義される。また、各グループには、各グループを識別するグループ識別情報を付与し、当該グルーピングポリシーに一致するパケットの送信先を示す個別統計システム12−1〜12−nのポート識別情報等が設定されている。
図4は、グルーピングポリシーデータベースX1が管理する内容例を説明する説明図である。
図4において、グルーピングポリシーデータベースX1は、「送信元IPアドレス(ScIP/Mask)」、「送信元ポート番号(SrcPort)」、「送信先IPアドレス(DstIP/Mask)」、「送信先ポート番号(DstPort)」、「プロトコル番号(Protocol)」を設定項目とする場合を示す。
また、グルーピングポリシーデータベースX1は、各グループを識別する「グループID」、個別統計システム12−1〜12−nの「ポート識別ID」及び「予備ポートID」、グルーピングポリシーに一致したパケットに対する処理を示す「Action」も設定項目とする。
なお、図4に示す「特徴」は、説明便宜上、各グループの内容を説明するために示したものであり、グルーピングポリシーデータベースX1で管理されない。
また、「ポート識別ID」及び「予備ポートID」は、1又は複数のポートIDを設定することができるものである。「予備ポートID」は、「ポート識別ID」とは異なる別のポートIDを設定するものである。このように「予備ポートID」を設けることにより、例えば、大量パケットによる過負荷状態であっても、パケットを分配することにより、個別統計システムの統計処理や分析処理を分散させることができたり、また例えば、新グループの追加の際に、新たなグループの統計処理を行なう個別統計システムを確定するまでの間の統計処理を、ある個別統計システムに行なわせたりすることができる。
例えば、図4の第1列目は、グループIDを「00000」とするものであり、その内容は、プロトコルが「TCP」、送信元IPアドレスが「vvv.xxx.yyy.zzz/255.255.255.0」、送信先IPアドレスが「rrr.sss.ttt.uuu/255.255.255.0」であるものとし、送信元ポート番号及び送信先ポート番号は特に限定されない。そして、このグルーピングポリシーに一致したパケットについては、ポート識別ID「01」に「Forward」させるように定義されている。このように定義することで、例えば、A国から国内のISP宛のパケットをポート番号01の個別統計システムに与えることができる。
また例えば、図4の第3列目は、グループIDを「00004」とするものであり、その内容は、プロトコルが「TCP」、送信元IPアドレスが「vvv.xxx.yyy.zzz/255.255.255.0」、であるものとし、送信元ポート番号、送信先IPアドレス及び送信先ポート番号は特に限定されない。そして、このグルーピングポリシーに一致したパケットについては、ポート識別ID「05」に「Forward」させるように定義されている。このように定義することで、例えば、A国からの全パケットをポート番号05の個別統計システムに与えることができる。
ポート識別情報取得機能部103は、パケットのポリシーがグルーピングポリシーに一致する場合、グルーピングポリシーデータベースX1を参照して、当該グループIDに対応するポート識別IDを取得するものである。
ポート振分機能部104は、同一のグループIDに該当するパケットのサイズを集計し(例えば、1秒間あたりの合計パケットサイズを集計し)、その集計結果が閾値を超えたか否かを判定し、閾値を超えたとき、グルーピングポリシーデータベースX1に設定されている予備ポートIDに変更するものである。
送信機能部105は、グルーピングポリシーデータベースX1のActionが「Forward」である場合に、ポート識別情報取得機能部103により取得されたポート識別ID若しくは予備ポートIDに基づいて、個別統計システム12−1〜12−nにパケットを送信するものである。
グルーピング機能部106は、ポリシー照合機能部102によりポリシーがグルーピングポリシーに一致しないと判断されたパケットを受け取ると、受け取ったパケットをグルーピングするものである。
ここで、パケットのグルーピング方法としては、グルーピング機能部106が予め設定されたグループ設定テーブルX2を用いて行う方法を適用する。すなわち、グルーピング機能部106は、グループ設定テーブルX2に設定されている主要項目内容のパケットを受け取ったか否かの判断により、パケットをグループ化する。
図5は、グループ設定テーブルX2の主要項目の内容例を説明する説明図である。図5に示すように、第1の実施形態のグループ設定テーブルX2は、その項目例として、「送信元IPアドレス(ScIP/Mask)」、「送信元ポート番号(SrcPort)」、「送信先IPアドレス(DstIP/Mask)」、「送信先ポート番号(DstPort)」、「プロトコル番号(Protocol)」とする場合を示す。なお、図5に示す「特徴」は、説明便宜上、グループ設定テーブルX2の主要項目の内容例を説明するために示したものであり、グループ設定テーブルX2で管理されない。
例えば、図5の第1列目は、プロトコルが「TCP」、送信先IPアドレスが「fff.ggg.hhh.iii/255.255.255.0」、送信先ポート番号が「80」であるものを1つのグループとするものである。なお、送信先IPアドレス及び送信先ポート番号は特に限定されない。この場合、グルーピング機能部106は、ポリシー照合機能部102からのパケットのヘッダ情報を参照して、図5の第1列目に該当するパケットを当該グループに属するものとする。
集計機能部107は、グルーピング機能部106によりグルーピングされたパケットの累積数及び又は累積サイズを、各グループ毎に集計するものである。また、集計機能部107は、各グループの集計結果を判定機能部108に与えるものである。
判定機能部108は、集計機能部107から集計された集計結果を受け取ると、その集計結果の正常又は異常を判定するものである。また、判定機能部108は、集計結果が正常である場合にその旨を終了機能部111に与え、集計結果が異常である場合にその旨をポリシー追加機能部109に与えるものである。
ここで、判定機能部108による正常又は異常の判定方法としては、例えば、グループ設定テーブルX2に設定の主要項目をキーにソート・グルーピングして、例えば1秒当りの件数又は合計サイズを集計し、以下の例に該当するとき異常と判定する。
例えば、件数があらかじめコンフィグファイルなどに設定された件数を超えたとき(例えば、秒平均1000件以上)を異常とする。また例えば、サイズがあらかじめコンフィグファイルなどに設定されたサイズを超えたとき(例えば、秒平均100MB以上)を異常とする。また例えば、コンフィグファイル等で設定された時間(例えば、10分間)のパケット数の統計をとったときの統計結果より、当該パケット数が総数の80%以上であったり、またTop3入りしている場合等を異常とする。
これにより、監視回線のトラフィックフローの特異な傾向(例えば、突発的な大量パケットの発生、DoS攻撃など)を判定することができ、後述するように、これらの事象を引き起こすグループをグルーピングポリシーデータベースX1に追加することができる。
ポリシー追加機能部109は、判定機能部108から異常である旨が与えられると、当該異常と判定されたグループの主要項目に設定されている設定情報を、グルーピングポリシーデータベースX1に追加するものである。
このとき、グループの主要項目に設定されている設定情報をグルーピングポリシーデータベースX1に追加する際、ポリシー追加機能部109は、新たなグループID(例えば、00001〜31999)を付与し、どの個別統計システムと接続するポート識別ID及び予備ポートIDの対応付けを行う。
集計データ送信機能部110は、集計機能部107により集計された各グループの集計結果を、統合管理システム2に与えるものである。
終了機能部111は、判定機能部108から正常である旨が与えられると、当該パケットを破棄し、当該パケットに対する観測プローブ機能部11の処理を終了するものである。
図2に戻り、個別統計システム12−1〜12−nについて説明する。個別統計システム12−1〜12−nは、観測プローブ機能部11からパケットを受け取り、集計処理を行なうものであり、その集計結果を統合管理システム2に与えるものである。なお、個別統計システム12−1〜12−nは、各グループのパケットのパケット数やパケットサイズを集計するものである。また、個別統計システム12−1〜12−nはそれぞれ、物理的なポートを有しており、通常用ポートの他に少なくとも1個以上の予備用ポートを備えている。
図6は、個別統計システム12(12−1〜12−n)の内部機能を示す機能ブロック図である。図6において、個別統計システム12は、観測プローブ機能部11からパケットを受け取る受信機能部201、受信機能部201が受け取ったパケットのパケット数やパケットサイズを集計する集計機能部202、集計機能部202により集計された集計結果を統合管理システム2に与える集計データ送信機能部203、を少なくとも有して構成される。
(A−2)第1の実施形態の動作
次に、第1の実施形態のネットワーク監視システム10におけるネットワーク監視処理の動作を図面を参照しながら説明する。図7は、第1の実施形態のネットワーク監視処理の動作を説明する説明図である。
次に、第1の実施形態のネットワーク監視システム10におけるネットワーク監視処理の動作を図面を参照しながら説明する。図7は、第1の実施形態のネットワーク監視処理の動作を説明する説明図である。
まず、監視回線6上を流れるパケットP1は全て、接続装置5を介して、収集システム1の観測プローブ機能部11に与えられる(S1)。
パケットP1が観測プローブ機能部11のパケット取得機能部101により受信されると、パケットP1は、ポリシー照合機能部102に与えられ、グルーピングポリシーデータベースX1のグルーピングポリシーと一致するものであるか否かの照合処理が行われる(S2)。
ポリシー照合機能部102によるグルーピングポリシーとの照合の結果、パケットのポリシーがグルーピングポリシーに一致する場合(S3)、ポート識別情報取得機能部103によりグルーピングポリシーデータベースX1が参照され、当該グルーピングポリシーに対応付けられる「ポート識別ID」又は「予備ポートID」が取得される(S4)。
このとき、ポート振分部104により同一グループIDのパケットサイズが集計され、その集計結果と閾値との比較処理が行われており、同一グループIDについての集計結果が閾値以下である場合には「ポート識別ID」が取得され、同一グループIDについての集計結果が閾値を超えた場合には「予備ポートID」が取得される(S5)。
ポート識別情報取得機能部103により「ポート識別ID」又は「予備ポートID」が取得されると、当該パケットは、送信機能部105により、「ポート識別ID」又は「予備ポートID」を出力先として送信される(S6)。これにより、既にグループ化されているトラフィック異常に係るパケットを、各個別統計システム12−1〜12−nに振り分けることができる。
送信機能部105からパケットが個別統計システム12−1〜12−nに与えられると、各個別統計システム12−1〜12−nでは所定内容のトラフィックフローの統計処理が行われ、その統計結果が統合管理システム2に与えられる(S7)。ここで、各個別統計システム12−1〜12−nにおける統計処理では、各グループに当たるトラフィック情報の統計処理を行う。
また、ポリシー照合機能部102によるグルーピングポリシーとの照合の結果、パケットのポリシーがグルーピングポリシーに一致しない場合(S8)、グルーピング機能部106により、グループ設定テーブルX2を用いたグループ化が行なわれ(S9)、集計機能部107により各グループ毎のトラフィック情報(パケット数、パケット量)の集計処理が行われる(S10)。
そして、判定機能部108により、集計機能部107による各グループの集計結果に基づいて正常/異常の判定処理が行われる(S11)。
判定機能部108による判定結果が正常である場合、パケットは終了機能部111に与えられ(S12)、終了機能部111により当該パケットは廃棄され(S13)、観測プローブ機能部11の処理が終了する。
一方、判定機能部108による判定結果が異常である場合、パケットはポリシー追加機能部109に与えられ(S14)、ポリシー追加機能部109により、当該パケットのグループの主要項目に設定されている設定情報がグルーピングポリシーデータベースX1に新たに追加される(S15)。また、集計機能部107により集計された各グループの集計結果は、集計データ送信機能部107により、統合管理システム2に送信される(S16)。
(A−3)第1の実施形態の効果
以上のように、第1に実施形態によれば、グルーピングポリシーデータベースに登録されているポリシーに一致するパケットに関して、グルーピング機能部、集計機能部による処理を行なわずに、既定のポリシーにしたがい、個別統計システムに転送することにより、観測プローブの限られたリソースで行なう処理を外部に分散することができる。
以上のように、第1に実施形態によれば、グルーピングポリシーデータベースに登録されているポリシーに一致するパケットに関して、グルーピング機能部、集計機能部による処理を行なわずに、既定のポリシーにしたがい、個別統計システムに転送することにより、観測プローブの限られたリソースで行なう処理を外部に分散することができる。
また、第1の実施形態によれば、観測プローブのリソースを増設したり、スペックの高い新たな観測プローブを開発し、同等機能を移設するのは、インターネット接続サービスを提供するプロバイダにとっては、インパクトが大きく、サービス維持管理におけるリスクが高いため、本発明は効果的である。
さらに、第1の実施形態によれば、個別統計システムに転送されるパケットによるネットワーク過負荷を回避するために、グルーピングポリシーにしたがいパケットを分配する機能に加え、パケット量を計測し、閾値を超える場合は、あらかじめ指定したポートを経由し、予備の個別統計システムに分散させて転送する機能を設けたことにより、大量パケットによる負荷の大きいトラフィックが一点集中攻撃した場合でも、観測、統計解析における可用性を確保することができるのである。
(B)他の実施形態
第1の実施形態では、主要項目を基準にしたポリシーにしたがい個別統計システムにトラフィックを分散することにより、観測プローブの処理を効率化し、性能向上する効果を説明したが、未使用ポートに個別統計システムを接続し、ポート識別ID取得機能部103及びポート振分機能部104から送信機能部105にパケットを渡す際に、あらかじめグルーピングポリシーデータベースに振分先の予備ポート識別IDを設定していないグループIDの場合は、未使用ポートをデフォルトとして振り分けて出力させることにより、個別統計システムに与える処理負荷を、均等に分散させることができる。
第1の実施形態では、主要項目を基準にしたポリシーにしたがい個別統計システムにトラフィックを分散することにより、観測プローブの処理を効率化し、性能向上する効果を説明したが、未使用ポートに個別統計システムを接続し、ポート識別ID取得機能部103及びポート振分機能部104から送信機能部105にパケットを渡す際に、あらかじめグルーピングポリシーデータベースに振分先の予備ポート識別IDを設定していないグループIDの場合は、未使用ポートをデフォルトとして振り分けて出力させることにより、個別統計システムに与える処理負荷を、均等に分散させることができる。
図4のグルーピングポリシーデータベース及び図5のグループ設定テーブルのそれぞれの項目は、図4及び図5に示すものに限定されない。また、各項目に設定される情報について、変更することができる。
また、図4において、項目「Action」には、「Forward(通過)」以外に「Drop(廃棄)」等のほかの設定情報を設定することができる。「Drop」の場合、通信パケットを個別統計システムに与えることなく、通信パケットを廃棄することができる。これにより、例えば、監視対象を減らす必要がある場合に、パケットの通過を遮断することで、個別統計処理を減らすことができる。
第1の実施形態において、ポリシー照合の順序について、グルーピングポリシーデータベースに登録されている順序に従って照合するものとする。ここで、グルーピングポリシーについて、照合優先度を付与するようにしてもよい。この照合優先度の付与の仕方としては、例えば、管理者等により付与する方法や自動により付与する方法を適用することができる。ここで、自動により付与する方法には、種々の方法を適用することができるが、例えば、ポリシー追加機能部が、集計機能部が集計したトラフィック情報を考慮し、例えばトラフィック量がある規定値を超える等の突発的に増大する場合には、高い優先度を付与する機能を備えるようにしてもよい。
第1の実施形態において、収集システムの監視対象のネットワークは1つであるが、複数のネットワークを監視するものとしてもよい。複数のネットワークを監視する場合、観測プローブは、監視回線毎のトラフィック情報を集計するようにしてもよい。
第1の実施形態において説明した収集システムの各機能構成は、第1の実施形態で説明した機能を実現することができるのであれば、物理的に同一のサーバ上にある必要はなく、各機能を実現するサーバを分散配置させるようにしてもよい。
第1の実施形態では、ISPが運用する複数のネットワークから構成される広帯域ネットワークに適用した場合を示したが、その他に、複数の拠点ネットワークを有して構成される企業内ネットワーク等にも適用できる。
第1の実施形態において、収集システム、統合管理システムが実現する機能は、例えば、CPU等ハードウェア資源が処理プログラムのソフトウェアを実行することにより実現される。勿論、電気回路等を構成してハードウェアで実現するようにしてもよい。
1(1−1〜1−n)…収集システム、2…統合管理システム、3…管理者端末、5(5−1〜5−n)…接続装置、6(6−1〜6−n)…監視回線、7(7−1〜7−n)…転送装置、8…超高速回線、11…観測プローブ機能部、12(12−1〜12−n)…個別統計システム、101…パケット取得機能部、102…ポリシー照合機能部、103…ポート識別情報取得機能部、104…ポート振分機能部、105…送信機能部、106…グルーピング機能部、107…集計機能部、108…判定機能部、109…ポリシー追加機能部、110…集計データ送信機能部、111…終了機能部、X1…グルーピングポリシーデータベース、X2…グループ設定テーブル。
Claims (6)
- 1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する1又は複数の収集手段と、
上記各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを上記各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する1又は複数の個別集計手段と、
上記各収集手段及び上記各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段と
を備えることを特徴とするネットワーク監視システム。 - 上記各収集手段が、
異常トラフィックを特定する少なくとも1個以上の設定情報と、上記各個別集計手段へ向けて出力するポート識別情報とを対応付けた、1又は複数のグルーピングポリシーを記憶するグルーピングポリシー記憶部と、
上記通信パケットヘッダ情報を上記グルーピングポリシー記憶部の上記各グルーピングポリシーと照合するポリシー照合部と、
上記ポリシー照合部により上記グルーピングポリシーのいずれかに一致すると判断された場合、上記ポート識別情報に基づいて、対応する上記個別集計手段に当該通信パケットを送信する送信部と
を有することを特徴とする請求項1に記載のネットワーク監視システム。 - 上記各グルーピングポリシーが、上記ポート識別情報のほかに、1又は複数の予備ポート識別情報を有するものであり、
上記ポート識別情報又は上記各予備ポート識別情報のうち、どのポート識別情報を用いるかを決定するポート決定手段を備えることを特徴とする請求項2に記載のネットワーク監視システム。 - 上記ポリシー照合部により上記グルーピングポリシーのいずれかにも一致しないと判断された場合、通信パケットのヘッダ情報に基づいて所定項目毎のグループ化を行い、各グループ毎のトラフィック情報の集計を行う集計部と、
上記集計部による集計結果に基づいて、新たな異常トラフィックを検出する異常トラフィック検出部と、
異常トラフィック検出部により新たな異常トラフィックが検出されると、当該トラフィックにあたるグループの所定項目の設定内容を有するグルーピングポリシーを、上記グルーピングポリシー記憶部に追加するポリシー追加部と
を有することを特徴とする請求項2又は3に記載のネットワーク監視システム。 - 1又は複数の収集手段が、1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する収集工程と、
1又は複数の個別集計手段が、上記各収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを上記各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する個別集計工程と、
分析手段が、上記各収集手段及び上記各個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析工程と
を備えることを特徴とするネットワーク監視方法。 - コンピュータに、
1又は複数の監視回線上の全ての通信パケットを収集し、所定のトラフィック情報を集計することにより異常トラフィックを検出するものであって、既に検出されている異常トラフィックに係る通信パケットとそうでない通信パケットとを分別する収集手段、
上記収集手段により既に検出されている異常トラフィックに係るものとして分別された通信パケットを上記各収集手段から受け取り、異常トラフィック毎のトラフィック情報を集計する個別集計手段、
上記収集手段及び上記個別集計手段により集計された集計結果を受け取り、所定の分析処理を行う分析手段
として機能させるネットワーク監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006319139A JP2008135871A (ja) | 2006-11-27 | 2006-11-27 | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006319139A JP2008135871A (ja) | 2006-11-27 | 2006-11-27 | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008135871A true JP2008135871A (ja) | 2008-06-12 |
Family
ID=39560420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006319139A Pending JP2008135871A (ja) | 2006-11-27 | 2006-11-27 | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008135871A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018508166A (ja) * | 2015-01-09 | 2018-03-22 | 北京京東尚科信息技術有限公司Beijing Jingdong Shangke Information Technology Co., Ltd. | アクセス要求を規制するシステムおよび方法 |
WO2019182219A1 (ko) * | 2018-03-21 | 2019-09-26 | (주)유미테크 | 블록체인기반의 신뢰 네트워크 시스템 |
CN115372748A (zh) * | 2022-10-24 | 2022-11-22 | 深圳博润缘科技有限公司 | 电缆的维护数据处理方法及系统 |
JP2023510732A (ja) * | 2020-10-27 | 2023-03-15 | 蘇州鉄頭電子信息科技有限公司 | オンラインオフィスネットワーク擾乱処理方法及び装置 |
-
2006
- 2006-11-27 JP JP2006319139A patent/JP2008135871A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018508166A (ja) * | 2015-01-09 | 2018-03-22 | 北京京東尚科信息技術有限公司Beijing Jingdong Shangke Information Technology Co., Ltd. | アクセス要求を規制するシステムおよび方法 |
WO2019182219A1 (ko) * | 2018-03-21 | 2019-09-26 | (주)유미테크 | 블록체인기반의 신뢰 네트워크 시스템 |
JP2023510732A (ja) * | 2020-10-27 | 2023-03-15 | 蘇州鉄頭電子信息科技有限公司 | オンラインオフィスネットワーク擾乱処理方法及び装置 |
JP7426490B2 (ja) | 2020-10-27 | 2024-02-01 | 蘇州鉄頭電子信息科技有限公司 | オンラインオフィスネットワーク擾乱処理方法及び装置 |
CN115372748A (zh) * | 2022-10-24 | 2022-11-22 | 深圳博润缘科技有限公司 | 电缆的维护数据处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10735379B2 (en) | Hybrid hardware-software distributed threat analysis | |
Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
US10397260B2 (en) | Network system | |
US9860154B2 (en) | Streaming method and system for processing network metadata | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
EP2777226B1 (en) | A streaming method and system for processing network metadata | |
US8005012B1 (en) | Traffic analysis of data flows | |
EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
US8422386B2 (en) | Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program | |
US11632391B2 (en) | System and method for out of path DDoS attack detection | |
WO2011010823A2 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
JP6599819B2 (ja) | パケット中継装置 | |
CA2897664A1 (en) | An improved streaming method and system for processing network metadata | |
JP4380710B2 (ja) | トラフィック異常検出システム、トラフィック情報観測装置、及び、トラフィック情報観測プログラム | |
US11381593B2 (en) | System and method for providing insights on distributed denial of service attacks | |
Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
WO2020027250A1 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
Shomura et al. | Analyzing the number of varieties in frequently found flows | |
Lukashin et al. | Distributed packet trace processing method for information security analysis | |
Moon et al. | A Multi-resolution Port Scan Detection Technique for High-speed Networks. | |
KR20040039100A (ko) | 계층적 패킷분석에 기반한 침입 탐지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081209 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090407 |