JP2008211637A - Pon通信システム、局側装置及び加入者側装置 - Google Patents
Pon通信システム、局側装置及び加入者側装置 Download PDFInfo
- Publication number
- JP2008211637A JP2008211637A JP2007047574A JP2007047574A JP2008211637A JP 2008211637 A JP2008211637 A JP 2008211637A JP 2007047574 A JP2007047574 A JP 2007047574A JP 2007047574 A JP2007047574 A JP 2007047574A JP 2008211637 A JP2008211637 A JP 2008211637A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- filtering
- llid
- information
- source address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】容易かつ有効にDoS攻撃等の不正トラフィックを抑制する。
【解決手段】局側装置1のトラフィック管理部110は、トラフィック監視・抽出部111により抽出されたトラフィック情報に基づき、LLID毎に上り方向の不正トラフィックを検出し、検出したLLID毎の不正トラフィックに対して加入者側装置2でフィルタリング処理を実施するためのフィルタリング設定情報を出力し、加入者側装置2のLLIDフィルタリング設定部211は局側装置1からのフィルタリング設定情報に基づき不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定する。
【選択図】図1
【解決手段】局側装置1のトラフィック管理部110は、トラフィック監視・抽出部111により抽出されたトラフィック情報に基づき、LLID毎に上り方向の不正トラフィックを検出し、検出したLLID毎の不正トラフィックに対して加入者側装置2でフィルタリング処理を実施するためのフィルタリング設定情報を出力し、加入者側装置2のLLIDフィルタリング設定部211は局側装置1からのフィルタリング設定情報に基づき不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定する。
【選択図】図1
Description
この発明は、DoS(Denial of Service:サービス拒否、サービス妨害、サービス不能)攻撃等の不正トラフィックを抑制するPON(Passive Optical Network)通信システム、局側装置及び加入者側装置に関するものである。
インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等のネットワークを利用した通信システムでは、クラッカによる不正アクセスやサーバーシステムの停止又は破壊を目的とするDos攻撃等の危険に常時さらされている。そのため、ネットワークに接続された機器において、このような不正トラフィックに対する対策が必須である。
DoS攻撃で使用される不正なパケットの種類に関して、大きく以下の2つに分類することができる。
(1)アドレス固定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されるもの
(2)アドレス不定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されないもの
(1)アドレス固定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されるもの
(2)アドレス不定型DoS攻撃:一見正常なパケット及び通信内容であるにもかかわらず、パケット数がターゲットとなったサーバに到底処理できないほど大量であり、かつ送信元IPアドレスがある程度の範囲内に限定されないもの
上記(1)〜(2)に示すDoS攻撃等の不正トラフィックを抑制する装置として、例えば特許文献1に記載の有害トラフィック制御装置は、収容される各ユーザ端末からの上りトラフィックから有害トラフィックを検出する有害トラフィック検出手段と、有害トラフィックの検出に応じて、当該有害トラフィックを送信するユーザ端末に割り当てられる上り送信帯域をLLID(Logical Link Identifier)毎に削減する帯域管理手段とを備えたものである。
従来の不正トラフィックの抑制する装置は以上のように構成されているので、局側装置において、DoS攻撃等の不正トラフィックに対応して加入者側装置の上り送信帯域を制御しなければならず、特に大量の不正トラフィックが発生した場合に、局側装置における加入者側装置の上り送信帯域の制御負荷が増大するという課題があった。
この発明は上記のよう課題を解決するためになされたもので、局側装置において、DoS攻撃等の不正トラフィックに対応して加入者側装置の上り送信帯域の制御を不要とし、容易かつ有効にDoS攻撃等の不正トラフィックを抑制することができるPON通信システム、局側装置及び加入者側装置を得ることを目的とする。
この発明に係るPON通信システムは、加入者側装置と該加入者側装置を収容する局側装置との間で通信するPON通信システムにおいて、上記局側装置が、上記加入者側装置からの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部と、抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID毎又は送信元アドレス毎に上り方向の不正トラフィックを検出し、検出したLLID毎又は送信元アドレス毎の不正トラフィックに対して上記加入者側装置でフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部と、出力されたフィルタリング設定情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入する拡張OAM挿入部とを備え、上記加入者側装置が、上記局側装置からの下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング設定情報を抽出する拡張OAM抽出部と、抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLID又は送信元アドレスに対してフィルタリング処理を設定するフィルタリング設定部と、設定されたフィルタリング処理に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部とを備えたものである。
この発明により、局側装置において、DoS攻撃等の不正トラフィックに対応して加入者側装置の上り送信帯域の制御を不要とし、容易かつ有効にDoS攻撃等の不正トラフィックを抑制することができるという効果が得られる。
以下、この発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。
実施の形態1.
図1はこの発明の実施の形態1によるPON通信システム、局側装置及び加入者側装置の構成を示すブロック図である。図1において、局側装置1は光ファイバ10、スターカプラ11及び光ファイバ12−1〜12−nを介して複数の加入者側装置2−1〜2−nと接続され、加入者側装置2−1〜2−nはコンピュータ3−1〜3−nと接続されている。加入者側装置2−1〜2−n及びコンピュータ3−1〜3−nは一般にユーザ宅に設置される。また、局側装置1はLANケーブル13を介してOSS(Operation Support System)4と接続されている。PON通信システムでは、加入者側装置2と該加入者側装置2を収容する局側装置1との間で通信を行う。
実施の形態1.
図1はこの発明の実施の形態1によるPON通信システム、局側装置及び加入者側装置の構成を示すブロック図である。図1において、局側装置1は光ファイバ10、スターカプラ11及び光ファイバ12−1〜12−nを介して複数の加入者側装置2−1〜2−nと接続され、加入者側装置2−1〜2−nはコンピュータ3−1〜3−nと接続されている。加入者側装置2−1〜2−n及びコンピュータ3−1〜3−nは一般にユーザ宅に設置される。また、局側装置1はLANケーブル13を介してOSS(Operation Support System)4と接続されている。PON通信システムでは、加入者側装置2と該加入者側装置2を収容する局側装置1との間で通信を行う。
局側装置1は、トラフィック管理部110、トラフィック監視・抽出部111、監視情報データベース112、LLIDフィルタリングテーブル113、拡張OAM(Operation, Administration and Maintenance)挿入部114、SNI(Service Node Interface)120、PONインタフェース(PON I/F)121及びOSSインタフェース(OSS I/F)122を備え、PONインタフェース121は、WDM(Wavelength Division Multiplexing)カプラ100、O/E変換部101及びE/O変換部102を備えている。
SNI120はコアネットワークに接続されるインタフェースで、PONインタフェース121は加入者装置2−1〜2−n側のインタフェースであり、OSSインタフェース122は装置の状態及びPON区間の通信を監視制御するOSS4とのインタフェースである。
PONインタフェース121において、WDMカプラ100は上り方向の光信号を分割すると共に下り方向の光信号を多重する。O/E変換部101はWDMカプラ100から入力される上り方向の光信号を電気信号に変換してトラフィック監視・抽出部111に出力する。E/O変換部102は下り方向のトラフィックを電気信号から光信号に変換してWDMカプラ100に出力する。PON通信システムにおいては、上下方向に異なる波長の光信号を使用しており(下り方向:1490nm、上り方向1310nm)、WDMカプラ100で波長多重を行うことにより、上下方向のトラフィックの送受信を1本の光ファイバ10で実現可能となる。
OSS4は、LANケーブル13を介して局側装置1のOSSインタフェース122に接続され、トラフィック管理部110にアクセス可能であり、トラフィック管理部110に対して、不正アクセス検出に関する種々の設定を行うことが可能である。不正アクセスの検出方法としては、単位時間当たりの平均トラフィック量の急激な増加、単位時間当たりの受信パケット数の急激な増加、予め設定されている不正パケットとのパターンマッチング等が挙げられ、OSS4は、トラフィック管理部110に対して、単位時間当たりの平均トラフィック量閾値T、単位時間当たりの受信パケット数閾値F、不正パケットパターン等の不正アクセス検出に関する設定を行う。
加入者側装置2−1〜2−nは、拡張OAM抽出部210、LLIDフィルタリング設定部(フィルタリング設定部)211、LLIDフィルタリング処理部212、パケット転送・廃棄部213、UNI(User Node Interface)220及びPONインタフェース(PON I/F)221を備え、PONインタフェース221は、WDMカプラ200、O/E変換部201及びE/O変換部202を備えている。ここで、LLIDフィルタリング処理部212及びパケット転送・廃棄部213によりフィルタリング実施部214を構成している。
UNI220はコンピュータ3−1〜3−nのユーザ側のインタフェースで、PONインタフェース221は局側装置1側のインタフェースである。
PONインタフェース221において、WDMカプラ200は上り方向の光信号を多重すると共に下り方向の光信号を分割する。O/E変換部201はWDMカプラ200から入力される下り方向の光信号を電気信号に変換して拡張OAM抽出部210に出力する。E/O変換部202は上り方向の電気信号を光信号に変換してWDMカプラ200に出力する。
局側装置1において、トラフィック監視・抽出部111は、O/E変換部101からSNI120に出力される上り方向のトラフィックを常時監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。
トラフィック管理部110はLLID毎のトラフィック情報を監視情報データベース112へ格納する。ここで、トラフィック管理部110は、監視情報データベース112に常時アクセス可能であり、監視情報データベース112に格納されている情報を、即座に書き込み・読み出すことができる。
OSS4も監視情報データベース112に格納されている情報を常時閲覧可能である。このとき、OSS4は、OSSインタフェース122を介して、トラフィック管理部110に監視情報データベース112の情報を閲覧して更新する旨を通知し、通知を受けたトラフィック管理部110は、所望の情報を監視情報データベース112より読み出して、OSSインタフェース122を介してOSS4に送信する。
また、OSS4は閲覧情報の更新を自動的に行うことも可能である。この場合、OSS4はトラフィック管理部110に対して予め更新周期タイマを設定し、トラフィック管理部110は、OSS4からのアクセス有無に依らず設定された更新周期タイマを参照し、監視情報データベース112に自動アクセスを実行して、読み出した情報をOSS4に送信する。
まずアドレス固定型DoS攻撃の不正トラフィックの抑制について説明する。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。
なお、この実施の形態1では、加入者側装置2−1〜2−nに割り当てられている論理識別子であるLLID毎に不正トラフィックを検出するが、一つの加入者側装置2−1〜2−n以下に複数のユーザ(コンピュータ3)が存在する場合には、ユーザ毎にLLIDが割り当てられているものとする。
トラフィック管理部110は、ある特定のLLIDにおいて単位時間当たりの平均トラフィック量が短時間で急激に増大して予め設定されている所定の閾値T以上で、かつ、不正トラフィックのLLID数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断し、LLIDフィルタリングテーブル113にフィルタリング処理すべき当該LLIDを設定する。
ここで、トラフィック管理部110は、上記不正トラフィックの検出方法に加えて、ある特定のLLIDにおいて単位時間当たりの受信パケット数が短時間で急激に増大して予め設定されている閾値F以上で、かつ、不正トラフィックのLLID数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断しても良い。
また、トラフィック管理部110は、上記不正トラフィックの検出方法に加えて、ある特定のLLIDにおいて予めOSS4から設定されている不正パケットパターンとのマッチングにより不正パケットパターンであることを検出し、かつ、不正トラフィックのLLID数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断しても良い。
トラフィック管理部110は、ある特定のLLIDにおいて不正トラフィックを検出した場合に、当該LLIDの情報として、不正アクセス検出回数を監視情報データベース112に格納し、その後も当該LLIDからの不正トラフィックを検出した場合には、監視情報データベース112に格納されている当該LLIDの過去の不正アクセス検出回数を一つインクリメントする。
そして、トラフィック管理部110は、アドレス固定型DoS攻撃の不正トラフィックであると判断しているので、加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、不正トラフィックを廃棄させるための廃棄モード情報、監視情報データベース112に格納されている当該LLIDの過去の不正アクセス検出回数に基づく当該LLIDのトラフィックの遮断又は制限の指示を示すフィルタ種別情報を拡張OAM挿入部114に通知する。
このフィルタ種別情報は、廃棄モード情報と共に拡張OAM挿入部114に通知されるものであり、LLID毎の不正アクセス検出回数により重み付けを実施し、例えば、不正アクセスとして検出されたLLIDの過去の不正アクセス検出回数が0回だった場合にはトラフィックを所定の割合だけ制限するのみとし、不正アクセス検出回数が1回以上の場合にはトラフィックを遮断するといった処理を指示するものである。なお、フィルタ種別情報として、不正アクセス検出回数に関係なく完全に遮断の処理を指示しても良い。
拡張OAM挿入部114は、トラフィック管理部110より通知された加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、不正トラフィックを廃棄させるための廃棄モード情報、トラフィックの遮断又は制限を示すフィルタ種別情報を、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該LLIDの加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング設定情報を抽出し、抽出したフィルタリング設定情報、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、不正トラフィックを廃棄させるための廃棄モード情報、トラフィックの遮断又は制限を示すフィルタ種別情報をLLIDフィルタリング設定部211に通知する。
LLIDフィルタリング設定部211は、拡張OAM抽出部210より通知されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定する。設定する内容としては、不正トラフィックを送信しているLLIDに対する廃棄モード設定で、フィルタ種別情報よりデコードされたトラフィックの遮断又は制限設定となる。
フィルタリング実施部214は、LLIDフィルタリング設定部211により設定されたフィルタリング処理に基づき、不正トラフィックを送信しているLLIDの上り方向のトラフィックに対してフィルタリング処理を実施する。
ここで、具体的なフィルタリング処理に関して説明する。
LLIDフィルタリング処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該LLIDの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
LLIDフィルタリング処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該LLIDの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
廃棄遮断識別子が付与されている場合には、パケット転送・廃棄部213は、LLIDフィルタリング処理部212により出力される上り方向のトラフィックの中から、廃棄遮断識別子が付与されたパケットを検出して廃棄し、廃棄遮断識別子が付与されていないパケットを転送する。一方、廃棄制限別子が付与されている場合には、パケット転送・廃棄部213は、LLIDフィルタリング処理部212により出力される上り方向のトラフィックの中から、廃棄制限識別子が付与されたパケットを検出して、所定の割合のパケットを、廃棄制限識別子を削除して転送し、その他を廃棄する。また、パケット転送・廃棄部213は、同時に内部に保有するLLID毎の廃棄カウンタにより、上り方向のトラフィックのパケット廃棄数をカウントし、当該LLIDとパケット廃棄数を一括で定期的に上り方向のトラフィックに挿入する。
次にアドレス不定型DoS攻撃の不正トラフィックの抑制について説明する。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なるLLIDの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なるLLIDの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
単一の加入者側装置2−1〜2−nにおいて、不正トラフィックのLLID数が正常トラフィックのLLID数を上回る等、予め設定しておいた不正トラフィックのLLID数の所定の閾値N以上の場合に、トラフィック管理部110は、アドレス不定型DoS攻撃の不正トラフィックであると判断して、フィルタリング設定情報として、廃棄モード情報の代わりに正常トラフィックのみを転送させる転送モード情報を拡張OAM挿入部114に通知することにより、廃棄モードから転送モードに動作移行することが可能である。
すなわち、トラフィック管理部110は、単位時間当たりの平均トラフィック量が短時間で急激に増大して予め設定されている所定の閾値T以上で、又はある特定のLLIDにおいて単位時間当たりの受信パケット数が短時間で急激に増大して予め設定されている閾値F以上で、又はある特定のLLIDにおいて予めOSS4から設定されている不正パケットパターンとのマッチングにより不正パケットパターンであることを検出し、かつ、不正トラフィックのLLID数が所定の閾値N以上の場合に、アドレス不定型DoS攻撃であると判断し、LLIDフィルタリングテーブル113にフィルタリングすべき当該LLIDを設定する。
そして、トラフィック管理部110は、加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、正常トラフィックのみを転送させる転送モード情報を拡張OAM挿入部114に通知する。ここで、トラフィック管理部110は、転送モード情報の場合には、フィルタ種別情報を拡張OAM挿入部114に通知しない。
拡張OAM挿入部114は、トラフィック管理部110より通知された加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、正常トラフィックのみを転送させる転送モード情報を、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該LLIDの加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング設定情報を抽出し、抽出したフィルタリング設定情報、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信しているLLID、正常トラフィックのみを転送させる転送モード情報をLLIDフィルタリング設定部211に通知する。
LLIDフィルタリング設定部211は、拡張OAM抽出部210より通知されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定する。設定する内容としては、正常トラフィックを送信しているLLIDに対する転送モード設定となる。
フィルタリング実施部214は、LLIDフィルタリング設定部211により設定されたフィルタリング処理に基づき、不正トラフィックを送信しているLLIDの上り方向のトラフィックに対してフィルタリング処理を実施する。
ここで、具体的なフィルタリング処理に関して説明する。
LLIDリングフィルタ処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信しているLLID以外のLLIDの上り方向の正常トラフィックに対して転送識別子を付与する。
LLIDリングフィルタ処理部212は、LLIDフィルタリング設定部211により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信しているLLID以外のLLIDの上り方向の正常トラフィックに対して転送識別子を付与する。
パケット転送・廃棄部213は、LLIDフィルタリング処理部212により出力される上り方向のトラフィックの中から、転送識別子が付与されたパケットを、転送識別子を削除して転送し、転送識別子が付与されていないパケットを廃棄する。また、パケット転送・廃棄部213は、同時に内部に保有するLLID毎の廃棄カウンタにより、上り方向のトラフィックのパケット廃棄数をカウントし、当該LLIDとパケット廃棄数を一括で定期的に上り方向のトラフィックに挿入する。
アドレス固定型DoS攻撃の不正トラフィックの廃棄後、又はアドレス不定型DoS攻撃の不正トラフィックの廃棄後において、局側装置1のトラフィック監視・抽出部111は、加入者側装置2−1〜2−nのパケット転送・廃棄部213により挿入された当該LLID及びパケット廃棄数をまとめた廃棄情報を抽出してトラフィック管理部110に出力する。トラフィック管理部110はパケット廃棄数を参照して、不正トラフィックの送信が停止しているか否かを判断する。
局側装置1のトラフィック管理部110が不正アクセスを検出し、加入者側装置2−1〜2−nのフィルタリング実施部214が当該LLIDの上り方向のトラフィックのフィルタリング実施後、局側装置1のトラフィック管理部110は、不正トラフィックの送信停止を検出して不正アクセスが終了したと判断した場合に、LLIDフィルタリングテーブル113に設定されている当該LLIDを解除すると共に、フィルタリング解除情報として、フィルタリング処理を解除させるためのフィルタリング処理解除指示情報と解除する当該LLIDを拡張OAM挿入部114に通知する。
拡張OAM挿入部114は、トラフィック管理部110より通知されたフィルタリング解除情報、すなわち、フィルタリング処理解除指示情報と解除する当該LLIDを、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該LLIDの加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング解除情報を抽出し、抽出したフィルタリング解除情報、すなわち、フィルタリング処理を解除させるためのフィルタリング処理解除指示情報と解除する当該LLIDをLLIDフィルタリング設定部211に通知する。
LLIDフィルタリング設定部211は、拡張OAM抽出部210より通知されたフィルタリング解除情報に基づき、当該LLIDに対して設定していたフィルタリング処理を解除する。フィルタリング実施部214は、LLIDフィルタリング設定部211によりフィルタリング処理が解除された当該LLIDの上り方向のトラフィックを通過させる。
LLIDフィルタリングテーブル113は、上述のように受信トラフィックによるDynamic設定が可能であるが、その他にOSS4からも常時アクセスでき、OSS4が、装置管理者の指示により、所望のLLIDをLLIDフィルタリングテーブル113にStatic設定し、拡張OAMによりフィルタ設定することで、当該LLIDが付与されたトラフィックを遮断又は制限することが可能となる。
OSS4が、装置管理者の指示により、LLIDフィルタリングテーブル113にStatic設定した場合は、LLIDフィルタリングテーブル113にDynamic設定された情報とは独立して管理される。また、フィルタリング処理するLLIDが重複した場合には、Dynamic設定及びStatic設定のどちらの設定が優先されるかどうかに関しては、OSS4が装置管理者の指示により選択することが可能である。
OSS4が装置管理者の指示によりLLIDフィルタリングテーブル113にStatic設定した場合は、そのフィルタリング解除方法として、動的フィルタリング解除は行われず、OSS4が装置管理者の指示によりLLIDフィルタリングテーブル113にアクセスし、当該LLIDのフィルタリング設定解除を行う必要がある。このように、フィルタリング設定解除を実施しない限り、フィルタリング制御を実行し続けることが可能となる。
上述のようにLLIDフィルタリングは、Dynamic設定及びStatic設定の両者が可能であり、装置管理者の意図に沿った不正トラフィックの検出・防御が可能となる。
以上のように、この実施の形態1によれば、局側装置1が、加入者側装置2−1〜2−nからの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部111と、抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID毎に上り方向の不正トラフィックを検出し、検出したLLID毎の不正トラフィックに対して加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部110と、出力されたフィルタリング設定情報を、拡張OAMを用いて加入者側装置2−1〜2−nへの下り方向のトラフィックに挿入する拡張OAM挿入部114とを備え、加入者側装置2−1〜2−nが、局側装置1からの下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング設定情報を抽出する拡張OAM抽出部210と、抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLIDに対してフィルタリング処理を設定するLLIDフィルタリング設定部211と、設定されたフィルタリング処理に基づき、LLIDの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部214とを備えたことにより、局側装置1において、DoS攻撃等の不正トラフィックに対応して加入者側装置2−1〜2−nの上り送信帯域の制御を不要とし、容易かつ有効にDoS攻撃等の不正トラフィックを抑制することができるという効果が得られる。
実施の形態2.
上記実施の形態1では、LLID毎にDoS攻撃を検出し抑制しているが、この実施の形態2は、LLID毎ではなく、MACアドレス、IPアドレス等の送信元アドレス毎にDoS攻撃を検出し抑制するものである。
上記実施の形態1では、LLID毎にDoS攻撃を検出し抑制しているが、この実施の形態2は、LLID毎ではなく、MACアドレス、IPアドレス等の送信元アドレス毎にDoS攻撃を検出し抑制するものである。
図2はこの発明の実施の形態2によるPON通信システム、局側装置及び加入者側装置の構成を示すブロック図である。図2に示す構成は、上記実施の形態1の図1に示す構成のうち、局側装置1におけるLLIDフィルタリングテーブル113をアドレスフィルタリングテーブル115に置き換え、加入者側装置2−1〜2−nにおけるLLIDフィルタリング設定部211及びLLIDフィルタリング処理部212を、それぞれアドレスフィルタリング設定部(フィルタリング設定部)215及びアドレスフィルタリング処理部216に置き換えたものであり、各部の不正アクセスの検出及び抑制に係る処理は、LLIDを送信元アドレスに置き換えたものである。なお、アドレスフィルタリング処理部216とパケット転送・廃棄部213によりフィルタリング実施部214を構成している。
まずアドレス固定型DoS攻撃の不正トラフィックの抑制について説明する。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。トラフィック管理部110は、送信元アドレス毎のトラフィック情報を監視情報データベース112へ格納する。
トラフィック監視・抽出部111は、ユーザから送信されたDoS攻撃等の不正トラフィックを監視し、監視したLLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数等のトラフィック情報を、単位時間毎にトラフィック管理部110へ出力する。トラフィック管理部110は、送信元アドレス毎のトラフィック情報を監視情報データベース112へ格納する。
トラフィック管理部110は、ある特定の送信元アドレスにおいて単位時間当たりの平均トラフィック量が短時間で急激に増大して予め設定されている所定の閾値T以上で、かつ、不正トラフィックの送信元アドレス数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断し、アドレスフィルタリングテーブル115にフィルタリング処理すべき当該送信元アドレスを設定する。
ここで、トラフィック管理部110は、上記不正トラフィックの検出方法に加えて、ある特定の送信元アドレスにおいて単位時間当たりの受信パケット数が短時間で急激に増大して予め設定されている閾値F以上で、かつ、不正トラフィックの送信元アドレス数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断しても良い。
また、トラフィック管理部110は、上記不正トラフィックの検出方法に加えて、ある特定の送信元アドレスにおいて予めOSS4から設定されている不正パケットパターンとのマッチングにより不正パケットパターンであることを検出し、かつ、不正トラフィックの送信元アドレス数が所定の閾値N未満の場合に、アドレス固定型DoS攻撃の不正トラフィックであると判断しても良い。
トラフィック管理部110は、ある特定の送信元アドレスにおいて不正トラフィックを検出した場合に、当該送信元アドレスの情報として、不正アクセス検出回数を監視情報データベース112に格納し、その後も当該送信元アドレスからの不正トラフィックを検出した場合には、監視情報データベース112に格納されている当該送信元アドレスの過去の不正アクセス検出回数を一つインクリメントする。
そして、トラフィック管理部110は、アドレス固定型DoS攻撃の不正トラフィックであると判断しているので、加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、不正トラフィックを廃棄させるための廃棄モード情報、監視情報データベース112に格納されている当該送信元アドレスの過去の不正アクセス検出回数に基づく当該送信元アドレスのトラフィックの遮断又は制限の指示を示すフィルタ種別情報を拡張OAM挿入部114に通知する。
このフィルタ種別情報は、廃棄モード情報と共に拡張OAM挿入部114に通知されるものであり、送信元アドレス毎の不正アクセス検出回数により重み付けを実施し、例えば、不正アクセスが検出された送信元アドレスの過去の不正アクセス検出回数が0回だった場合にはトラフィックを所定の割合だけ制限するのみとし、不正アクセス検出回数が1回以上の場合にはトラフィックを遮断するといった処理を指示するものである。なお、フィルタ種別情報として、不正アクセス検出回数に関係なく完全に遮断の処理を指示しても良い。
拡張OAM挿入部114は、トラフィック管理部110より通知された加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、不正トラフィックを廃棄させるための廃棄モード情報、トラフィックの遮断又は制限を示すフィルタ種別情報を、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該送信元アドレスのユーザを収容する加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング設定情報を抽出し、抽出したフィルタリング設定情報、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、不正トラフィックを廃棄させるための廃棄モード情報、トラフィックの遮断又は制限を示すフィルタ種別情報をアドレスフィルタリング設定部215に通知する。
アドレスフィルタリング設定部215は、拡張OAM抽出部210より通知されたフィルタリング設定情報に基づき、不正トラフィックを送信している送信元アドレスに対してフィルタリング処理を設定する。設定する内容としては、不正トラフィックを送信している送信元アドレスに対する廃棄モード設定で、フィルタ種別情報よりデコードされたトラフィックの遮断又は制限設定となる。
フィルタリング実施部214は、アドレスフィルタリング設定部215により設定されたフィルタリング処理に基づき、不正トラフィックを送信している送信元アドレスの上り方向のトラフィックに対してフィルタリング処理を実施する。
ここで、具体的なフィルタリング処理に関して説明する。
アドレスフィルタリング処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該送信元アドレスの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
アドレスフィルタリング処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、廃棄モードでトラフィックの遮断又は制限が設定されているので、当該送信元アドレスの上り方向の不正トラフィックに対して廃棄遮断識別子又は廃棄制限識別子を付与する。
廃棄遮断識別子が付与されている場合には、パケット転送・廃棄部213は、アドレスフィルタリング処理部216により出力される上り方向のトラフィックの中から、廃棄遮断識別子が付与されたパケットを検出して廃棄し、廃棄遮断識別子が付与されていないパケットを転送する。一方、棄遮制限別子が付与されている場合には、パケット転送・廃棄部213は、アドレスフィルタリング処理部216により出力される上り方向のトラフィックの中から、廃棄制限識別子が付与されたパケットを検出して、所定の割合のパケットを、廃棄制限識別子を削除して転送し、その他を廃棄する。また、パケット転送・廃棄部213は、同時に内部に保有する送信元アドレス毎の廃棄カウンタにより、上り方向のトラフィックのパケット廃棄数をカウントし、当該送信元アドレスとパケット廃棄数を一括で定期的に上り方向のトラフィックに挿入する。
次にアドレス不定型DoS攻撃の不正トラフィックの抑制について説明する。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なる送信元アドレスの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
単一の加入者側装置2−1〜2−nからアドレス不定型DoS攻撃等、複数の不正トラフィックが送信されている場合において、不正トラフィックを検出して廃棄している間にも、次々と異なる送信元アドレスの不正トラフィックが送信される場合が考えられる。この場合、不正トラフィックの廃棄よりも、正常トラフィックのみを転送し、それ以外は無条件に廃棄した方が効率的である。
単一の加入者側装置2−1〜2−nにおいて、不正トラフィックの送信元アドレス数が正常トラフィックの送信元アドレス数を上回る等、予め設定しておいた不正トラフィックの送信元アドレス数の所定の閾値N以上の場合に、トラフィック管理部110は、アドレス不定型DoS攻撃の不正トラフィックであると判断して、フィルタリング設定情報として、廃棄モード情報の代わりに正常トラフィックのみを転送させる転送モード情報を拡張OAM挿入部114に通知することにより、廃棄モードから転送モードに動作移行することが可能である。
すなわち、トラフィック管理部110は、単位時間当たりの平均トラフィック量が短時間で急激に増大して予め設定されている所定の閾値T以上で、又はある特定の送信元アドレスにおいて単位時間当たりの受信パケット数が短時間で急激に増大して予め設定されている閾値F以上で、又はある特定の送信元アドレスにおいて予めOSS4から設定されている不正パケットパターンとのマッチングにより不正パケットパターンであることを検出し、かつ、不正トラフィックの送信元アドレス数が所定の閾値N以上の場合に、アドレス不定型DoS攻撃であると判断し、アドレスフィルタリングテーブル115にフィルタリングすべき当該送信元アドレスを設定する。
そして、トラフィック管理部110は、加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、正常トラフィックのみを転送させる転送モード情報を拡張OAM挿入部114に通知する。ここで、トラフィック管理部110は、転送モード情報の場合には、フィルタ種別情報を拡張OAM挿入部114に通知しない。
拡張OAM挿入部114は、トラフィック管理部110より通知された加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、正常トラフィックのみを転送させる転送モード情報を、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該送信元アドレスのユーザを収容する加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング設定情報を抽出し、抽出したフィルタリング設定情報、すなわち、フィルタリング処理を指示するフィルタリング処理指示情報、不正トラフィックを送信している送信元アドレス、正常トラフィックのみを転送させる転送モード情報をアドレスフィルタリング設定部215に通知する。
アドレスフィルタリング設定部215は、拡張OAM抽出部210より通知されたフィルタリング設定情報に基づき、不正トラフィックを送信している送信元アドレスに対してフィルタリング処理を設定する。設定する内容としては、正常トラフィックを送信している送信元アドレスに対する転送モード設定となる。
フィルタリング実施部214は、アドレスフィルタリング設定部215により設定されたフィルタリング処理に基づき、不正トラフィックを送信している送信元アドレスの上り方向のトラフィックに対してフィルタリング処理を実施する。
ここで、具体的なフィルタリング処理に関して説明する。
アドレスリングフィルタ処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信している送信元アドレス以外の送信元アドレスの上り方向の正常トラフィックに対して転送識別子を付与する。
アドレスリングフィルタ処理部216は、アドレスフィルタリング設定部215により設定されたフィルタリング処理を実施する際に、転送モードが設定されているので、不正トラフィックを送信している送信元アドレス以外の送信元アドレスの上り方向の正常トラフィックに対して転送識別子を付与する。
パケット転送・廃棄部213は、アドレスフィルタリング処理部216により出力される上り方向のトラフィックの中から、転送識別子が付与されたパケットを、転送識別子を削除して転送し、転送識別子が付与されていないパケットを廃棄する。また、パケット転送・廃棄部213は、同時に内部に保有する送信元アドレス毎の廃棄カウンタにより、上り方向のトラフィックのパケット廃棄数をカウントし、当該送信元アドレスとパケット廃棄数を一括で定期的に上り方向のトラフィックに挿入する。
アドレス固定型DoS攻撃の不正トラフィックの廃棄後、又はアドレス不定型DoS攻撃の不正トラフィックの廃棄後において、局側装置1のトラフィック監視・抽出部111は、加入者側装置2−1〜2−nのパケット転送・廃棄部213により挿入された当該送信元アドレス及びパケット廃棄数をまとめた廃棄情報を抽出してトラフィック管理部110に出力する。トラフィック管理部110はパケット廃棄数を参照して、不正トラフィックの送信が停止しているか否かを判断する。
局側装置1のトラフィック管理部110が不正アクセスを検出し、加入者側装置2−1〜2−nのフィルタリング実施部214が当該送信元アドレスの上り方向のトラフィックのフィルタリング実施後、局側装置1のトラフィック管理部110は、不正トラフィックの送信停止を検出して不正アクセスが終了したと判断した場合に、アドレスフィルタリングテーブル115に設定されている当該送信元アドレスを解除すると共に、フィルタリング解除情報として、フィルタリング処理を解除させるためのフィルタリング処理解除指示情報と解除する当該送信元アドレスを拡張OAM挿入部114に通知する。
拡張OAM挿入部114は、トラフィック管理部110より通知されたフィルタリング解除情報、すなわち、フィルタリング処理解除指示情報と解除する当該送信元アドレスを、加入者側装置2−1〜2−nへの下り方向のトラフィックに拡張OAMを用いて挿入する。
当該送信元アドレスのユーザを収容する加入者側装置2−1〜2−nの拡張OAM抽出部210は、局側装置1からの下り方向のトラフィックの中から、拡張OAMを用いて挿入されたフィルタリング解除情報を抽出し、抽出したフィルタリング解除情報、すなわち、フィルタリング処理を解除させるためのフィルタリング処理解除指示情報と解除する当該送信元アドレスをアドレスフィルタリング設定部215に通知する。
アドレスフィルタリング設定部215は、拡張OAM抽出部210より通知されたフィルタリング解除情報に基づき、当該送信元アドレスに対して設定していたフィルタリング処理を解除する。フィルタリング実施部214は、アドレスフィルタリング設定部215によりフィルタリング処理が解除された当該送信元アドレスの上り方向のトラフィックを通過させる。
この実施の形態2でも、上記実施の形態1と同様に、アドレスフィルタリングはStatic設定も可能であり、上述のDynamic設定と合わせて装置管理者の意図に沿った不正トラフィック検出・防御が可能となる。また、この実施の形態2では、実施の形態1とは異なり、ユーザ毎にLLIDを割り当てる必要はない。
以上のように、この実施の形態2によれば、局側装置1が、加入者側装置2−1〜2−nからの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部111と、抽出されたトラフィック情報に基づき、送信元アドレス毎に上り方向の不正トラフィックを検出し、検出した送信元アドレス毎の不正トラフィックに対して加入者側装置2−1〜2−nでフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部110と、出力されたフィルタリング設定情報を、拡張OAMを用いて加入者側装置2−1〜2−nへの下り方向のトラフィックに挿入する拡張OAM挿入部114とを備え、加入者側装置2−1〜2−nが、局側装置1からの下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング設定情報を抽出する拡張OAM抽出部210と、抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信している送信元アドレスに対してフィルタリング処理を設定するアドレスフィルタリング設定部215と、設定されたフィルタリング処理に基づき、送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部214とを備えたことにより、局側装置1において、DoS攻撃等の不正トラフィックに対応して加入者側装置2−1〜2−nの上り送信帯域の制御を不要とし、容易かつ有効にDoS攻撃等の不正トラフィックを抑制することができるという効果が得られる。
なお、図面を参照してこの発明の実施の形態について詳述してきたが、この発明は上記実施の形態1及び上記実施の形態2に限定されるものではなく、この発明の要旨を逸脱しない範囲における設計等も技術的範囲に含まれるものとする。
1 局側装置、2−1〜2−n 加入者側装置、3−1〜3−n コンピュータ、4 OSS、10,12−1〜12−n 光ファイバ、11 スターカプラ、13 LANケーブル、100,200 WDMカプラ、101,201 O/E変換部、102,202 E/O変換部、110 トラフィック管理部、111 トラフィック監視・抽出部、112 監視情報データベース、113 LLIDフィルタリングテーブル、114 拡張OAM挿入部、115 アドレスフィルタリングテーブル、120 SNI、121,221 PONインタフェース、122 OSSインタフェース、210 拡張OAM抽出部、211 LLIDフィルタリング設定部、212 LLIDフィルタリング処理部、213 パケット転送・廃棄部、214 フィルタリング実施部、215 アドレスフィルタリング設定部、216 アドレスフィルタリング処理部、220 UNI。
Claims (13)
- 加入者側装置と該加入者側装置を収容する局側装置との間で通信するPON(Passive Optical Network)通信システムにおいて、
上記局側装置が、
上記加入者側装置からの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部と、
抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID(Logical Link Identifier)毎又は送信元アドレス毎に上り方向の不正トラフィックを検出し、検出したLLID毎又は送信元アドレス毎の不正トラフィックに対して上記加入者側装置でフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部と、
出力されたフィルタリング設定情報を、拡張OAM(Operation, Administration and Maintenance)を用いて上記加入者側装置への下り方向のトラフィックに挿入する拡張OAM挿入部とを備え、
上記加入者側装置が、
上記局側装置からの下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング設定情報を抽出する拡張OAM抽出部と、
抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLID又は送信元アドレスに対してフィルタリング処理を設定するフィルタリング設定部と、
設定されたフィルタリング処理に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部とを備えたことを特徴とするPON通信システム。 - トラフィック監視・抽出部は、トラフィック情報として、LLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数を抽出し、
トラフィック管理部は、LLID毎若しくは送信元アドレス毎の単位時間当たりの平均トラフィック量、LLID毎若しくは送信元アドレス毎の単位時間当たりの受信パケット数、又は予め指定された不正パケットパターンのマッチングに基づき、LLID毎又は送信元アドレス毎の不正トラフィックを検出し、フィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報と、不正トラフィックを送信しているLLID又は送信元アドレスと、不正トラフィックを廃棄させるための廃棄モード情報又は正常トラフィックのみを転送させる転送モード情報を出力することを特徴とする請求項1記載のPON通信システム。 - トラフィック管理部は、不正トラフィックを送信しているLLID又は送信元アドレスの数に基づき、フィルタリング設定情報として、廃棄モード情報又は転送モード情報を出力することを特徴とする請求項2記載のPON通信システム。
- トラフィック管理部は、抽出されたトラフィック情報と共にLLID毎又は送信元アドレス毎の不正アクセス検出回数を監視情報データベースに格納し、フィルタリング設定情報として廃棄モード情報を出力する際に、不正トラフィックを送信しているLLID又は送信元アドレスの上記監視情報データベースに格納されている不正アクセス検出回数に基づき、フィルタリング設定情報として、トラフィックの遮断又は制限を示すフィルタ種別情報を出力することを特徴とする請求項1記載のPON通信システム。
- トラフィック管理部は、トラフィック監視・抽出部により抽出されたトラフィック情報に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出した場合に、加入者側装置で設定されているフィルタリング処理を解除させるためのフィルタリング解除情報を出力し、
拡張OAM挿入部は出力されたフィルタリング解除情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入し、
拡張OAM抽出部は下り方向のトラフィックから拡張OAMを用いて挿入されたフィルタリング解除情報を抽出し、
フィルタリング設定部は、抽出されたフィルタリング解除情報に基づき、設定しているフィルタリング処理を解除することを特徴とする請求項1記載のPON通信システム。 - フィルタリング実施部は、フィルタリング処理を実施する際に、LLID又は送信元アドレスの上り方向のトラフィックのパケット廃棄数をカウントし、カウントしたパケット廃棄数をLLID又は送信元アドレスの上り方向のトラフィックに挿入し、
トラフィック管理部は、トラフィック監視・抽出部により抽出されたパケット廃棄数に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出することを特徴とする請求項5記載のPON通信システム。 - 加入者側装置を収容するPON通信システムの局側装置において、
上記加入者側装置からの上り方向のトラフィックを監視してトラフィック情報を抽出するトラフィック監視・抽出部と、
抽出されたトラフィック情報に基づき、論理リンク識別子であるLLID毎又は送信元アドレス毎に上り方向の不正トラフィックを検出し、検出したLLID毎又は送信元アドレス毎の不正トラフィックに対して上記加入者側装置でフィルタリング処理を実施するためのフィルタリング設定情報を出力するトラフィック管理部と、
出力されたフィルタリング設定情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入する拡張OAM挿入部とを備えたことを特徴とする局側装置。 - トラフィック監視・抽出部は、トラフィック情報として、LLID、送信元アドレスを含む送信元ユーザ情報、上り送信帯域、受信パケット数を抽出し、
トラフィック管理部は、LLID毎若しくは送信元アドレス毎の単位時間当たりの平均トラフィック量、LLID毎若しくは送信元アドレス毎の単位時間当たりの受信パケット数、又は予め指定された不正パケットパターンのマッチングに基づき、LLID毎又は送信元アドレス毎の不正トラフィックを検出し、フィルタリング設定情報として、フィルタリング処理を指示するフィルタリング処理指示情報と、不正トラフィックを送信しているLLID又は送信元アドレスと、不正トラフィックを廃棄させるための廃棄モード情報又は正常トラフィックのみを転送させる転送モード情報を出力することを特徴とする請求項7記載の局側装置。 - トラフィック管理部は、不正トラフィックを送信しているLLID又は送信元アドレスの数に基づき、フィルタリング設定情報として、廃棄モード情報又は転送モード情報を出力することを特徴とする請求項8記載の局側装置。
- トラフィック管理部は、抽出されたトラフィック情報と共にLLID毎又は送信元アドレス毎の不正アクセス検出回数を監視情報データベースに格納し、フィルタリング設定情報として廃棄モード情報を出力する際に、不正トラフィックを送信しているLLID又は送信元アドレスの上記監視情報データベースに格納されている不正アクセス検出回数に基づき、フィルタリング設定情報として、トラフィックの遮断又は制限を示すフィルタ種別情報を出力することを特徴とする請求項7記載の局側装置。
- トラフィック管理部は、トラフィック監視・抽出部により抽出されたトラフィック情報に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックの停止を検出した場合に、加入者側装置で設定されているフィルタリング処理を解除させるためのフィルタリング解除情報を出力し、
拡張OAM挿入部は出力されたフィルタリング解除情報を、拡張OAMを用いて上記加入者側装置への下り方向のトラフィックに挿入することを特徴とする請求項7記載の局側装置。 - PON通信システムの局側装置により収容される加入者側装置において、
上記局側装置からの下り方向のトラフィックから拡張OAMを用いて挿入された、論理リンク識別子であるLLID毎又は送信元アドレス毎の不正トラフィックに対するフィルタリング処理を実施するためのフィルタリング設定情報を抽出する拡張OAM抽出部と、
抽出されたフィルタリング設定情報に基づき、不正トラフィックを送信しているLLID又は送信元アドレスに対してフィルタリング処理を設定するフィルタリング設定部と、
設定されたフィルタリング処理に基づき、LLID又は送信元アドレスの上り方向の不正トラフィックに対してフィルタリング処理を実施するフィルタリング実施部とを備えたことを特徴とする加入者側装置。 - フィルタリング実施部は、フィルタリング処理を実施する際に、LLID又は送信元アドレスの上り方向のトラフィックのパケット廃棄数をカウントし、カウントしたパケット廃棄数をLLID又は送信元アドレスの上り方向のトラフィックに挿入し、
拡張OAM抽出部は下り方向のトラフィックからパケット廃棄数に基づき出力されたフィルタリング解除情報を抽出し、
フィルタリング設定部は、抽出されたフィルタリング解除情報に基づき、設定しているフィルタリング処理を解除することを特徴とする請求項12記載の加入者側装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007047574A JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007047574A JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008211637A true JP2008211637A (ja) | 2008-09-11 |
Family
ID=39787556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007047574A Pending JP2008211637A (ja) | 2007-02-27 | 2007-02-27 | Pon通信システム、局側装置及び加入者側装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008211637A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
| JP2010239278A (ja) * | 2009-03-30 | 2010-10-21 | Hitachi Ltd | 光アクセスシステム、光回線装置、及び光ネットワーク装置 |
| JP2013187555A (ja) * | 2012-03-05 | 2013-09-19 | Auto Network Gijutsu Kenkyusho:Kk | 通信システム |
| JP2018142197A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
| JP2019092039A (ja) * | 2017-11-14 | 2019-06-13 | 日本電信電話株式会社 | 攻撃検知方法、攻撃検知装置及び通信システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
| JP2006254269A (ja) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
-
2007
- 2007-02-27 JP JP2007047574A patent/JP2008211637A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
| JP2006254269A (ja) * | 2005-03-14 | 2006-09-21 | Fujitsu Access Ltd | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009118116A (ja) * | 2007-11-06 | 2009-05-28 | Sumitomo Electric Ind Ltd | Ponシステムの局側装置及びフレーム処理方法 |
| JP2010239278A (ja) * | 2009-03-30 | 2010-10-21 | Hitachi Ltd | 光アクセスシステム、光回線装置、及び光ネットワーク装置 |
| JP2013187555A (ja) * | 2012-03-05 | 2013-09-19 | Auto Network Gijutsu Kenkyusho:Kk | 通信システム |
| JP2018142197A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | 情報処理装置、方法およびプログラム |
| JP2019092039A (ja) * | 2017-11-14 | 2019-06-13 | 日本電信電話株式会社 | 攻撃検知方法、攻撃検知装置及び通信システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5463165B2 (ja) | 省電力化可能なponシステムにおける、onuのスリープ状態からの復旧方法 | |
| US8150260B2 (en) | Optical network terminal, method for configuring rate limiting attributes of ports, and method for processing packets | |
| JP2008211637A (ja) | Pon通信システム、局側装置及び加入者側装置 | |
| US20140093239A1 (en) | Olt mac module for efficiently processing oam frames | |
| Tatsuta et al. | Design philosophy and performance of a GE-PON system for mass deployment | |
| JP5668839B2 (ja) | 通信システム、基地局、サイバー攻撃対処方法 | |
| JP4961996B2 (ja) | 通信管理装置監視システム及び方法 | |
| KR20180046894A (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
| JP2010200152A (ja) | ネットワークシステム | |
| Drakulič et al. | Degradation attacks on passive optical networks | |
| JP5813539B2 (ja) | 局側装置及びponシステム | |
| JP2011229094A (ja) | 光伝送路終端装置 | |
| CN109392316B (zh) | Pon系统和通信控制方法 | |
| Liem et al. | An autonomous recovery mechanism against optical distribution network failures in EPON | |
| CN104618257A (zh) | 一种流量控制方法及光网络单元、光线路终端设备 | |
| JP2009302611A (ja) | 通信ネットワークにおける帯域制御方法及び該方法を実行するための通信装置 | |
| US20210168173A1 (en) | Detection and remediation of malicious network traffic using tarpitting | |
| Sreenath et al. | Secure optical internet: attack detection and prevention mechanism | |
| JP2017139643A (ja) | 光アクセスネットワークシステム、局側装置、及びその制御プログラム | |
| JP2008294851A (ja) | Ponシステム | |
| JP4893589B2 (ja) | Ponシステムの局側装置及びフレーム処理方法 | |
| KR20090044177A (ko) | 블랙리스트 기반의 침입 관리 시스템 및 방법 | |
| JP2017046208A (ja) | 通信システムおよび通信装置 | |
| Hwang et al. | Providing the full DDF link protection for bus-connected SIEPON based system architecture | |
| JP2019092039A (ja) | 攻撃検知方法、攻撃検知装置及び通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080707 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091019 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111122 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120313 |