JP2008211637A - Pon通信システム、局側装置及び加入者側装置 - Google Patents
Pon通信システム、局側装置及び加入者側装置 Download PDFInfo
- Publication number
- JP2008211637A JP2008211637A JP2007047574A JP2007047574A JP2008211637A JP 2008211637 A JP2008211637 A JP 2008211637A JP 2007047574 A JP2007047574 A JP 2007047574A JP 2007047574 A JP2007047574 A JP 2007047574A JP 2008211637 A JP2008211637 A JP 2008211637A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- filtering
- llid
- information
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【解決手段】局側装置1のトラフィック管理部110は、トラフィック監視・抽出部111により抽出されたトラフィック情報に基づき、LLID毎に上り方向の不正トラフィックを検出し、検出したLLID毎の不正トラフィックに対して加入者側装置2でフィルタリング処理を実施するためのフィルタリング設定情報を出力し、加入者側装置2のLLIDフィルタリング設定部211は局側装置1からのフィルタリング設定情報に基づき不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定する。
【選択図】図1
Description
(1)アドレス固定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されるもの
(2)アドレス不定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されないもの
実施の形態1.
図1はこの発明の実施の形態1によるPON通信システム、局側装置及び加入者側装置の構成を示すブロック図である。図1において、局側装置1は光ファイバ10、スターカプラ11及び光ファイバ12−1〜12−nを介して複数の加入者側装置2−1〜2−nと接続され、加入者側装置2−1〜2−nはコンピュータ3−1〜3−nと接続されている。加入者側装置2−1〜2−n及びコンピュータ3−1〜3−nは一般にユーザ宅に設置される。また、局側装置1はLANケーブル13を介してOSS(Operation Support System)4と接続されている。PON通信システムでは、加入者側装置2と該加入者側装置2を収容する局側装置1との間で通信を行う。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。
LLIDフィルタリング処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該LLIDの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なるLLIDの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
LLIDリングフィルタ処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信しているLLID以外のLLIDの上り方向の正常トラフィックに対して転送識別子を付与する。
上記実施の形態1では、LLID毎にDoS攻撃を検出し抑制しているが、この実施の形態2は、LLID毎ではなく、MACアドレス、IPアドレス等の送信元アドレス毎にDoS攻撃を検出し抑制するものである。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。トラフィック管理部110は、送信元アドレス毎のトラフィック情報を監視情報データベース112へ格納する。
アドレスフィルタリング処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該送信元アドレスの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なる送信元アドレスの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
アドレスリングフィルタ処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信している送信元アドレス以外の送信元アドレスの上り方向の正常トラフィックに対して転送識別子を付与する。
Claims (13)
- 加入者側装置と該加入者側装置を収容する局側装置との間で通信するPON(Passive Optical Network)通信システムにおいて、
上記局側装置が、
上記加入者側装置からの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部と、
抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID(Logical Link Identifier)毎又は送信元アドレス毎に上り方向の不正トラフィックを検出し、検出したLLID毎又は送信元アドレス毎の不正トラフィックに対して上記加入者側装置でフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部と、
出力されたフィルタリング設定情報を、拡張OAM(Operation, Administration and Maintenance)を用いて上記加入者側装置への下り方向のトラフィックに挿入する拡張OAM挿入部とを備え、
上記加入者側装置が、
上記局側装置からの下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング設定情報を抽出する拡張OAM抽出部と、
抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLID又は送信元アドレスに対してフィルタリング処理を設定するフィルタリング設定部と、
設定されたフィルタリング処理に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部とを備えたことを特徴とするPON通信システム。 - トラフィック監視・抽出部は、トラフィック情報として、LLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数を抽出し、
トラフィック管理部は、LLID毎若しくは送信元アドレス毎の単位時間当たりの平均トラフィック量、LLID毎若しくは送信元アドレス毎の単位時間当たりの受信パケット数、又は予め指定された不正パケットパターンのマッチングに基づき、LLID毎又は送信元アドレス毎の不正トラフィックを検出し、フィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報と、不正トラフィックを送信しているLLID又は送信元アドレスと、不正トラフィックを廃棄させるための廃棄モード情報又は正常トラフィックのみを転送させる転送モード情報を出力することを特徴とする請求項1記載のPON通信システム。 - トラフィック管理部は、不正トラフィックを送信しているLLID又は送信元アドレスの数に基づき、フィルタリング設定情報として、廃棄モード情報又は転送モード情報を出力することを特徴とする請求項2記載のPON通信システム。
- トラフィック管理部は、抽出されたトラフィック情報と共にLLID毎又は送信元アドレス毎の不正アクセス検出回数を監視情報データベースに格納し、フィルタリング設定情報として廃棄モード情報を出力する際に、不正トラフィックを送信しているLLID又は送信元アドレスの上記監視情報データベースに格納されている不正アクセス検出回数に基づき、フィルタリング設定情報として、トラフィックの遮断又は制限を示すフィルタ種別情報を出力することを特徴とする請求項1記載のPON通信システム。
- トラフィック管理部は、トラフィック監視・抽出部により抽出されたトラフィック情報に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出した場合に、加入者側装置で設定されているフィルタリング処理を解除させるためのフィルタリング解除情報を出力し、
拡張OAM挿入部は出力されたフィルタリング解除情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入し、
拡張OAM抽出部は下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング解除情報を抽出し、
フィルタリング設定部は、抽出されたフィルタリング解除情報に基づき、設定しているフィルタリング処理を解除することを特徴とする請求項1記載のPON通信システム。 - フィルタリング実施部は、フィルタリング処理を実施する際に、LLID又は送信元アドレスの上り方向のトラフィックのパケット廃棄数をカウントし、カウントしたパケット廃棄数をLLID又は送信元アドレスの上り方向のトラフィックに挿入し、
トラフィック管理部は、トラフィック監視・抽出部により抽出されたパケット廃棄数に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出することを特徴とする請求項5記載のPON通信システム。 - 加入者側装置を収容するPON通信システムの局側装置において、
上記加入者側装置からの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部と、
抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID毎又は送信元アドレス毎に上り方向の不正トラフィックを検出し、検出したLLID毎又は送信元アドレス毎の不正トラフィックに対して上記加入者側装置でフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部と、
出力されたフィルタリング設定情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入する拡張OAM挿入部とを備えたことを特徴とする局側装置。 - トラフィック監視・抽出部は、トラフィック情報として、LLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数を抽出し、
トラフィック管理部は、LLID毎若しくは送信元アドレス毎の単位時間当たりの平均トラフィック量、LLID毎若しくは送信元アドレス毎の単位時間当たりの受信パケット数、又は予め指定された不正パケットパターンのマッチングに基づき、LLID毎又は送信元アドレス毎の不正トラフィックを検出し、フィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報と、不正トラフィックを送信しているLLID又は送信元アドレスと、不正トラフィックを廃棄させるための廃棄モード情報又は正常トラフィックのみを転送させる転送モード情報を出力することを特徴とする請求項7記載の局側装置。 - トラフィック管理部は、不正トラフィックを送信しているLLID又は送信元アドレスの数に基づき、フィルタリング設定情報として、廃棄モード情報又は転送モード情報を出力することを特徴とする請求項8記載の局側装置。
- トラフィック管理部は、抽出されたトラフィック情報と共にLLID毎又は送信元アドレス毎の不正アクセス検出回数を監視情報データベースに格納し、フィルタリング設定情報として廃棄モード情報を出力する際に、不正トラフィックを送信しているLLID又は送信元アドレスの上記監視情報データベースに格納されている不正アクセス検出回数に基づき、フィルタリング設定情報として、トラフィックの遮断又は制限を示すフィルタ種別情報を出力することを特徴とする請求項7記載の局側装置。
- トラフィック管理部は、トラフィック監視・抽出部により抽出されたトラフィック情報に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出した場合に、加入者側装置で設定されているフィルタリング処理を解除させるためのフィルタリング解除情報を出力し、
拡張OAM挿入部は出力されたフィルタリング解除情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入することを特徴とする請求項7記載の局側装置。 - PON通信システムの局側装置により収容される加入者側装置において、
上記局側装置からの下り方向のトラフィックから拡張OAMを用いて挿入された、論理リンク識別子であるLLID毎又は送信元アドレス毎の不正トラフィックに対するフィルタリング処理を実施するためのフィルタリング設定情報を抽出する拡張OAM抽出部と、
抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLID又は送信元アドレスに対してフィルタリング処理を設定するフィルタリング設定部と、
設定されたフィルタリング処理に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部とを備えたことを特徴とする加入者側装置。 - フィルタリング実施部は、フィルタリング処理を実施する際に、LLID又は送信元アドレスの上り方向のトラフィックのパケット廃棄数をカウントし、カウントしたパケット廃棄数をLLID又は送信元アドレスの上り方向のトラフィックに挿入し、
拡張OAM抽出部は下り方向のトラフィックからパケット廃棄数に基づき出力されたフィルタリング解除情報を抽出し、
フィルタリング設定部は、抽出されたフィルタリング解除情報に基づき、設定しているフィルタリング処理を解除することを特徴とする請求項12記載の加入者側装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007047574A JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007047574A JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008211637A true JP2008211637A (ja) | 2008-09-11 |
Family
ID=39787556
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007047574A Pending JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008211637A (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
JP2010239278A (ja) * | 2009-03-30 | 2010-10-21 | Hitachi Ltd | 光アクセスシステム、光回線装置、及び光ネットワーク装置 |
JP2013187555A (ja) * | 2012-03-05 | 2013-09-19 | Auto Network Gijutsu Kenkyusho:Kk | 通信システム |
JP2018142197A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
JP2019092039A (ja) * | 2017-11-14 | 2019-06-13 | 日本電信電話株式会社 | 攻撃検知方法、攻撃検知装置及び通信システム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
JP2006254269A (ja) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
-
2007
- 2007-02-27 JP JP2007047574A patent/JP2008211637A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
JP2006254269A (ja) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
JP2010239278A (ja) * | 2009-03-30 | 2010-10-21 | Hitachi Ltd | 光アクセスシステム、光回線装置、及び光ネットワーク装置 |
JP2013187555A (ja) * | 2012-03-05 | 2013-09-19 | Auto Network Gijutsu Kenkyusho:Kk | 通信システム |
JP2018142197A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
JP2019092039A (ja) * | 2017-11-14 | 2019-06-13 | 日本電信電話株式会社 | 攻撃検知方法、攻撃検知装置及び通信システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5463165B2 (ja) | 省電力化可能なponシステムにおける、onuのスリープ状態からの復旧方法 | |
US8150260B2 (en) | Optical network terminal, method for configuring rate limiting attributes of ports, and method for processing packets | |
JP2008211637A (ja) | Pon通信システム、局側装置及び加入者側装置 | |
US20140093239A1 (en) | Olt mac module for efficiently processing oam frames | |
Tatsuta et al. | Design philosophy and performance of a GE-PON system for mass deployment | |
JP5668839B2 (ja) | 通信システム、基地局、サイバー攻撃対処方法 | |
JP4961996B2 (ja) | 通信管理装置監視システム及び方法 | |
KR20180046894A (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
JP2010200152A (ja) | ネットワークシステム | |
Drakulič et al. | Degradation attacks on passive optical networks | |
JP5813539B2 (ja) | 局側装置及びponシステム | |
JP2011229094A (ja) | 光伝送路終端装置 | |
CN109392316B (zh) | Pon系统和通信控制方法 | |
Liem et al. | An autonomous recovery mechanism against optical distribution network failures in EPON | |
CN104618257A (zh) | 一种流量控制方法及光网络单元、光线路终端设备 | |
JP2009302611A (ja) | 通信ネットワークにおける帯域制御方法及び該方法を実行するための通信装置 | |
US20210168173A1 (en) | Detection and remediation of malicious network traffic using tarpitting | |
Sreenath et al. | Secure optical internet: attack detection and prevention mechanism | |
JP2017139643A (ja) | 光アクセスネットワークシステム、局側装置、及びその制御プログラム | |
JP2008294851A (ja) | Ponシステム | |
JP4893589B2 (ja) | Ponシステムの局側装置及びフレーム処理方法 | |
KR20090044177A (ko) | 블랙리스트 기반의 침입 관리 시스템 및 방법 | |
JP2017046208A (ja) | 通信システムおよび通信装置 | |
Hwang et al. | Providing the full DDF link protection for bus-connected SIEPON based system architecture | |
JP2019092039A (ja) | 攻撃検知方法、攻撃検知装置及び通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080707 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091019 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111122 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120313 |