JP2010074744A - トラヒック監視・制御システム及び方法 - Google Patents

トラヒック監視・制御システム及び方法 Download PDF

Info

Publication number
JP2010074744A
JP2010074744A JP2008242739A JP2008242739A JP2010074744A JP 2010074744 A JP2010074744 A JP 2010074744A JP 2008242739 A JP2008242739 A JP 2008242739A JP 2008242739 A JP2008242739 A JP 2008242739A JP 2010074744 A JP2010074744 A JP 2010074744A
Authority
JP
Japan
Prior art keywords
session
traffic
analysis
analysis result
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008242739A
Other languages
English (en)
Inventor
Kazuya Okochi
一弥 大河内
Michihiro Shigemoto
倫宏 重本
Tetsuo Kito
哲郎 鬼頭
Hiroshi Nakakoji
博史 仲小路
Masatoshi Terada
真敏 寺田
Hisashi Umeki
久志 梅木
Tomoaki Yamada
知明 山田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008242739A priority Critical patent/JP2010074744A/ja
Publication of JP2010074744A publication Critical patent/JP2010074744A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークを流れるトラヒックを監視のための処理量を削減する。
【解決手段】本発明は、所定時間間隔で、ネットワークを流れるパケットを分析し、パケットの集合であるセッションに分析結果を付与するトラヒック分析装置と、分析結果に含まれる値を用いて、トラヒック分析装置によるセッションを分析する所定時間間隔を更新し、分析結果に含まれる値を用いて、セッションを通信規制する時間を得る制御管理装置と、通信規制する時間に従って、セッションを通信規制するトラヒック制御装置とを有する。
【選択図】図1

Description

本発明は、ネットワークを流れるトラヒックを分析し、制御する技術に関する。
インターネット上では様々な通信が行われており、その中にはWEBの閲覧やFTPによるファイル転送などの通常のトラヒックと、コンピュータウィルスによる感染活動や、ウィルスに感染したPCから特定のサーバに対するDoS攻撃などの、他者に迷惑をかける可能性のあるトラヒックとが混在している。
このため、ISPやSOCなどのネットワーク管理部門は、ネットワークを流れるトラヒックを分析し、好ましくないと判断したトラヒックを分離する処理を実行する場合がある。
このような処理の一例として、P2Pトラヒックの検知と制御がある。P2Pソフトウェアと、それによって生じるトラヒックは、それ自体は有害なものではないが、使用方法によっては大量のトラヒックを生じさせ、その他のユーザのインターネット利用を阻害するという弊害が生じる可能性がある。
これらの動きを受け、P2P通信を検出し、そのP2P通信によりネットワークに参加するコンピュータを割り出そうとする試みがなされている。特許文献1ではP2Pソフトウェアの接続情報を用いてP2P通信のトラフィックを判別し、制御する方法に関する記述がある。
特開2005-202589「P2Pネットワークのトラヒック制御システム」
インターネット上におけるトラヒックを監視し、制御する場合、ネットワークの基幹部においては大量のトラヒックが流れているため、これらのトラヒックのすべてを監視対象としようとすると、監視に伴って生じる処理は膨大な量となる。
特許文献1に示されるP2Pネットワークのトラヒック制御システムは、P2Pソフトウェアが稼働している端末に接続して、P2P通信のトラフィックを監視し、P2P通信を切断する。
しかし特許文献1に示される方法では、監視対象のすべての端末を継続的に監視して、P2P通信を切断するか否かの制御判断を伴うので、監視のための処理量が非常に大きくなるという問題点がある。
本発明のトラヒック監視・制御システム及び方法は、次のような態様である。所定時間間隔で、ネットワークを流れるパケットを分析し、パケットの集合であるセッションに分析結果を付与するトラヒック分析装置と、分析結果に含まれる値を用いて、トラヒック分析装置によるセッションを分析する所定時間間隔を更新し、分析結果に含まれる値を用いて、セッションを通信規制する時間を得る制御管理装置と、通信規制する時間に従って、セッションを通信規制するトラヒック制御装置とを有するトラヒック監視・制御システム及びこれらの装置により実行される方法である。
本発明の望ましい他の態様は、ネットワークを流れるパケットをコピーし、前記トラヒック分析装置に送信するトラヒック制御装置を有する。
本発明によれば、ネットワークを流れるトラヒックを監視のための処理量を削減し、効率的に監視、制御を行うことが可能となる。
本発明の実施形態を詳細に説明する。図1に、トラヒック監視・制御システム100の構成例を示す。本システム100は、トラヒック制御装置101、102、トラヒック分析装置103、制御管理装置104を含む構成であり、各装置は通信路105、106、107、108、109、110により接続されている。
本システム100の動作概略を説明する。トラヒック制御装置101は、通信路105のトラヒックを通信路107へ転送すると共に、そのトラヒックを順次コピーし、コピーしたトラヒックをトラヒック分析装置103に向けて通信路106へ転送する。また、トラヒック制御装置101は通信路105のトラヒックから抽出したセッション情報を通信路109を介して制御管理装置104に送信する。
トラヒック分析装置103は、所定の時間間隔で、通信路106に転送されたパケットを順次分析し、そのセッション情報と共に、分析結果及び分析結果の確からしさを表す確信度を、通信路108を介して制御管理装置104へ転送する。トラヒック分析装置103による分析は、個々のパケットの分析であるので、一連のパケットからなるセッションの終了を待たずに分析結果やその確信度を得ることができる。
確信度は、分析結果の確からしさ、すなわち分析の対象となっているセッションが監視対象のセッションである可能性の大きさである。確信度の値は、トラヒック分析装置103が監視対象のセッションごとに算出する。例えば、プロトコル解析のようにある特定のセッションを検知できるトラヒック分析プログラムが、あるセッションを監視対象のセッションであると判断した場合には確信度を100とする。他の一例として、判断の基準となるある特徴をもつパケットがトラヒック分析装置に観測された数により監視対象のセッションを検知するトラヒック分析プログラムを用いた場合について説明する。このプログラムでは、単位時間に観測された判断の基準となるパケット数が多いほど監視対象のセッションである確信度(可能性)が大きいと判断する。具体例として、1分間に観測された上記の条件に該当するパケット数が10以下なら確信度として10、10〜30なら確信度として50、30より大きければ確信度として80を算出する。このトラヒック分析プログラムを用いて、1分間に観測された上記の条件に該当するパケット数が32であった場合には、確信度として80を算出する。
制御管理装置104は、トラヒック分析装置103から転送されたセッション情報、分析結果及び確信度を参照して、トラヒック分析装置103がセッションを分析する時間間隔及びトラヒック制御装置102にセッションを制御させる通信規制種別とその通信規制時間(現在時刻から規制終了時刻まで)を設定する。
トラヒック制御装置102は、制御管理装置104から通信路109を介して転送された通信規制種別と通信規制時刻(規制終了時刻)に従って、通信路107から通信路110への指定されたセッションの転送を制御(通信規制)する。
図1に示すトラヒック監視・制御システム100の構成に、物理的構成が対応する必要はなく、論理的構成が対応すればよい。たとえば、1台の物理的なトラヒック制御装置によって、論理的なトラヒック制御装置101、102を構成しても良い。また1台ごとに異なるセッションの分析を想定して、3台のトラヒック分析装置103を図示しているが、これらを1台の物理的なトラヒック分析装置で構成してもよい。更に、トラヒック分析装置103および制御管理装置104の動作から明らかなように、これらをコンピュータにより実現することができ、そのコンピュータも1台であっても複数台であってもよい。
以上のように、トラヒック分析装置103におけるセッション分析時間間隔を制御することにより、トラヒック分析装置103の分析のための処理量(処理時間)を削減しながら、トラヒック制御装置102において所定のセッションの転送を制御できる。
図2に、トラヒック制御装置101、102の構成例を示す。トラヒック制御装置101及びトラヒック制御装置104のいずれかを表すために、図2における符号の表記はトラヒック制御装置201としている。トラヒック制御装置201は、中央処理装置(CPU)202、入出力装置203、記憶装置204、パケット処理装置205、メモリ208、インタフェース(IF)206、210、213を備えている。これらはデータ通信路(バス)207を介して接続されている。
中央処理装置202は、メモリ208に格納されたプログラムを実行する。メモリ208上のプログラムは、ハードディスクドライブやフラッシュメモリのような記憶装置204に記憶されており、トラヒック制御装置201への電源投入に伴って、メモリ208にロードされる。
入出力装置203は、インタフェース206、210、213のようなネットワークのインタフェースを介さずに、データの入力、出力を行うための装置である。入出力装置の例としては、キーボードやポインディングデバイス、ディスプレイ、プリンタ、USBなどの外部記憶を接続するためのインタフェース、コンパクトフラッシュ(登録商標)などのメモリカードからデータを読み取るためのスロットなどが含まれる。入出力装置203は、これらの例すべての装置を備えている必要はない。
パケット処理装置205は、データ通信路211、214を介してインタフェース210、213と接続されており、インタフェース212、215は通信路212、215を介して、外部ネットワークと接続されている。パケット処理装置205は、このような構成で、外部ネットワークより受信したパケットを処理する。インタフェース206は、通信路207を介してパケット処理装置205、中央処理装置202と接続されている。インタフェース206は、通信路216を介して接続されているネットワークからパケット処理装置205、中央処理装置202への設定情報を入力する用途に用いる。このインタフェース206を制御用インタフェースと呼ぶ。トラヒック制御装置201は、制御用インタフェースを1個、もしくは複数個備える。インタフェース210、213はパケット処理装置205とのみ通信路211、214を介して接続されている。インタフェースは外部ネットワークとの通信を行う用途に用いることができる。これらのインタフェース210、213を通信用インタフェースと呼ぶ。トラヒック制御装置201は、通信用インタフェースを1個、もしくは複数個備える。また、トラヒック制御装置201は、ファイアウォールのようなアプライアンスを含む構成で実現してもよい。
トラヒック制御装置101においては、メモリ208に、プログラムの他に、制御管理装置104からの監視対象のセッション情報なども格納している。プログラムとしては、セッション抽出プログラムとミラーリングプログラムがメモリ208に格納されている。これらのプログラムの処理は、次の通りである。
セッション抽出プログラムは、通信路105と通信路107を介して行われる通信に含まれるセッション情報を抽出するプログラムである。セッション抽出プログラムによって抽出されたセッション情報は、通信路109を介して制御管理装置104に送信される。ここでセッション情報の一例は、TCP/IPネットワークにおいて、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルの5種類の情報であり、これらの5種類の少なくとも一部の情報によって特定される、一連のパケットがセッションである。本実施形態においては以下、セッションを特定するために、これらの5種類の情報を用いることがあるが、セッションを特定するために5種類すべての項目が指定される必要はない。一例として、送信元IPアドレスのみが指定され、それ以外の4つの項目が指定されていない場合がありうる。この場合、指定された送信元IPアドレスを持つ一連のパケットは、その他の4項目の値がどんな値であるにもかかわらず、一つのセッションとして扱うこととする。
ミラーリングプログラムは、通信路105と通信路107を介して行われるトラヒックに含まれるパケットを、そのままコピーして通信路106に流すプログラムである。ミラーリングプログラムによる処理はCPU202によって実行される他に、ハードウェアとして、パケット処理装置205に実装されてもよい。また、これらプログラムとハードウェアが連携して処理を実行してもよい。
トラヒック制御装置102は、通信路107と通信路110を介したトラヒックを制御する装置である。ここでの制御の種別例は、TCP/IPネットワークにおける、通信の遮断、帯域の制限、通信経路の変更などである。このような制御は、セッション情報などによって特定されるトラヒックの一部分を対象に適用することが可能である。
トラヒック分析装置103は、トラヒック制御装置101からミラーリングされてきたトラヒックに含まれるセッションについて、それぞれのセッションがある特定の特徴を持つか否かを分析する。トラヒック分析装置103は、その内部に、セッションごとにその内容を分析する時間の間隔を保持している。セッションの分析は、この時間ごとに行う。例えば、この時間が30秒に設定されているセッションの場合、そのセッションの分析は30秒ごとに行う。分析の一例としては、これらのセッションについて、P2Pソフトウェアによって送信される通信に固有の特徴が含まれているかどうかを分析する。具体的には、セッション情報に含まれるIPアドレスによって特定される端末がP2P通信を行っているか否かを分析する。分析の結果は、トラヒック分析装置103の内部に一時的に保持され、後述する制御管理装置104からの要求を受けたタイミングで、制御管理装置104に送信される。分析の結果は、通信路108を介して、制御管理装置104に送信される。
ここで、分析結果が一時的に保持される場所は、トラヒック分析装置103の内部ではなく、制御管理装置104の内部である、という実施形態もありうる。この場合、分析の結果をトラヒック分析装置103の内部に保存する代わりに、制御管理装置104に送信し、制御管理装置104は分析の結果を受信して、その内部に一時的に保存する。この結果を参照する必要がある場合、トラヒック分析装置103に問い合わせる代わりに、制御管理装置104に問い合わせて、保存されている結果を取得する。
分析の結果には、セッションを特定するための送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、プロトコルの情報、分析結果フラグ、分析結果詳細、確信度が含まれる。分析結果フラグは、分析対象のセッションが特定の結果であったか否かを示すフラグで、例えば分析対象のセッションがP2P通信であったか否かを示す値(YesまたはNo)が入る。分析結果詳細は、分析対象のセッションを実行しているソフトウェア種別のような、分析に付随する情報を含む項目である。例えばP2P通信の分析においては、分析結果フラグがYesの場合、P2P通信の種別(例えば、WinnyやShareなどソフトウェア種別)が入り、分析結果フラグがNoの場合は空欄となる。確信度は、前述のように、分析結果に対する評価値であり、例えば0から100までの値が入る。この例では、値が0であればトラヒック分析装置103が分析結果を正しいとする確信が全くない場合を示し、100であればトラヒック分析装置103が分析結果は必ず正しいと判断している場合を示す。なお、図1に示すように、トラヒック分析装置103を複数台含む構成の場合、トラヒック制御装置301から通信路106を介して、同じトラヒックがそれぞれのトラヒック分析装置103に送信される。
以上の動作説明から明らかなように、トラヒック分析装置103をコンピュータ(データ処理装置)により構成し、その処理をプログラムによって実現することもできる。
図3に、制御管理装置104の構成例を示す。制御管理装置104は、中央処理装置(CPU)302、記憶装置303、入出力装置304、メモリ308、及びインタフェース(IF)305、306を備え、これらはデータ通信路(バス)307を介して接続されている。
中央処理装置302はメモリ308に格納されたプログラムを実行する。プログラムは、入出力装置304を介して一旦記憶装置303に記録され、その後プログラムの実行前にメモリ308に読み込まれて実行される。
記憶装置303はデータを記録するための装置であり、例えばハードディスクドライブやフラッシュメモリのような装置である。
入出力装置304は、インタフェース305、306のようなネットワークとのインタフェースを介さずに、データの入力、出力を行うための装置である。例えば、入力装置としては、キーボード、マウスなどのポインディングデバイスなどが含まれる。出力装置としては、ディスプレイ、プリンタなどが含まれる。その他、USBなどの外部記憶を接続するためのインタフェース、コンパクトフラッシュなどのメモリカードからデータを読み取るためのスロットなど、入力装置にも出力装置にもなりうる装置もあり、これらも入出力装置304の例に含まれる。入出力装置304は、これらの例すべての装置を備えている必要はない。
インタフェース305、306はネットワークを介して制御管理装置104が外部とデータの送受信を行うための装置である。インタフェース305、306は、例えば、LANカードなどの装置である。これらのインタフェース305、306を介して、制御管理装置104は外部のデータ通信路108、109と接続されている。
制御管理装置104の中央処理装置302が実行するプログラムが制御管理プログラムである。制御管理プログラムは、トラヒック分析装置103における分析の実行、トラヒック制御装置101、102における制御の実行を管理する。制御管理プログラムは、入出力装置、外部通信インタフェースからの指示によって起動、終了されるが、起動してからは、例えば一定時間ごと(10秒ごと、30秒ごとなど)に実行される。
制御管理装置104の制御管理プログラムの実行に用いるデータテーブルとして、記憶装置303に、分析対象セッション管理テーブル400、分析結果管理テーブル500、分析時間間隔管理テーブル600及びアクセス規制対象セッション管理テーブル700を有する。
図4に、分析対象セッション管理テーブル400の例を示す。分析対象セッション管理テーブル400は、分析対象となるセッションを格納するテーブルである。分析対象セッション管理テーブル400には、セッションを特定するための、送信元IPアドレス401、送信元ポート番号402、宛先IPアドレス403、宛先ポート番号404、プロトコル405の情報が含まれている。これらの情報が分析対象のセッション情報であり、分析対象のセッションの数に応じたセッション情報が、分析対象セッション管理テーブル400に格納される。
図5に、分析結果管理テーブル500の例を示す。分析結果管理テーブル500はトラヒック分析装置103から送られてきた分析結果を格納するテーブルである。分析結果管理テーブル500には、属性値として、セッションを特定するための、送信元IPアドレス501、送信元ポート番号502、宛先IPアドレス503、宛先ポート番号504、プロトコルの情報505、分析結果フラグ506、分析結果詳細507、確信度508の情報が含まれている。分析結果詳細507の一例として、本システムをP2P通信の検知に用いている場合、P2P通信を行っているソフトウェアの種別(Winny、Shareなど)が格納される。これらの情報は、トラヒック分析装置103から分析結果を受信するごとに、分析結果管理テーブル500に格納される。
図6に、分析時間間隔管理テーブル600の例を示す。分析時間間隔管理テーブル600は、トラヒック分析装置103が分析を行うそれぞれのセッションにおいて、分析の時間間隔を格納するテーブルである。分析時間間隔管理テーブル600には、セッションを特定するための、送信元IPアドレス601、送信元ポート番号602、宛先IPアドレス603、宛先ポート番号604、プロトコルの情報605、および分析時間の間隔の情報(分析時間間隔)606が含まれる。分析時間間隔606とは、例えばあるセッションについては30分ごとに分析を行う場合、30分という値が入る。これらの情報は、トラヒック分析装置103が分析する対象のセッションに対応して、分析時間間隔管理テーブル600に格納される。
図7に、アクセス規制対象セッション管理テーブル700の例を示す。アクセス規制対象セッション管理テーブル700は、アクセスの規制を行う対象となっているセッションの情報を格納するテーブルである。アクセス規制対象セッション管理テーブル700にはセッションを特定するための、送信元IPアドレス701、送信元ポート番号702、宛先IPアドレス703、宛先ポート番号704、プロトコルの情報705、アクセス規制終了時刻706、及び規制種別707が含まれる。これらの情報は、トラヒック分析装置103からの分析結果に含まれるアクセス規制対象セッションに対応して、アクセス規制対象セッション管理テーブル700に格納される。
図8に、制御管理プログラムの処理フローチャートを示す。分析対象セッション取得処理800では、トラヒック制御装置101からセッション情報を取得し、分析対象セッション管理テーブル400に格納する。分析対象セッション管理テーブル400は、制御管理プログラムの起動時に一度だけ内容がクリアされ、それから終了まではデータを引き継ぐ(制御管理プログラムの実行ごとに、テーブル情報を初期化することはない)。従って、分析対象セッション取得処理800は、トラヒック制御装置101から取得したセッション情報のうち、分析対象セッション管理テーブル400に含まれていないものをテーブルに追加し、トラヒック制御装置101から取得したセッション情報には含まれていないが、テーブルに残っているセッション情報を削除する処理となる。
分析結果取得処理810では、トラヒック分析装置103より分析結果を受信し、分析結果管理テーブル500に格納する。トラヒック分析装置103が複数存在する場合は、分析結果を送信元であるトラヒック分析装置103を識別する符号も同時に取得し、その値も記憶装置に保持しておく。
分析実行セッション更新処理820では、分析の対象となるセッションの管理を行う。図9は、分析実行セッション更新処理820の詳細を示すフローチャートである。まず分析結果管理テーブル500を参照し、セッションごとの分析結果を取得する(分析結果参照処理900)。次に、分析結果よりセッションごとの分析時間の間隔を算出する(分析実行時間算出処理910)。分析時間の間隔は、それぞれのセッションの分析結果によって定められる。例えば、確信度が0の場合に分析時間の間隔を20秒とし、確信度が1大きくなるごとに1秒をプラスした値を分析時間間隔とする。これは、確信度が低い分析結果については、短い時間間隔で繰り返し分析を行うための算出方法である。この算出方法は一例であり、分析結果に含まれる属性値から算出される値であれば分析時間間隔となりうる。トラヒック分析装置103が複数存在する場合は、それぞれのトラヒック分析装置103が出力した確信度より算出される値を最終的な確信度とする。この算出方法の一例として、それぞれのトラヒック分析装置103が出力した確信度の平均値を最終的な確信度とする。その後、ここで算出した分析時間間隔を、分析時間間隔管理テーブル600の分析時間間隔606に格納する(分析実行時間更新処理920)。
分析実行時間通知処理830では、分析時間間隔管理テーブル600に格納された、セッションを特定する情報601〜605とセッション分析時間間隔606とを、トラヒック分析装置103に送信する。また、分析時間間隔管理テーブル600に含まれていないセッション情報であって、分析対象セッション管理テーブル400に含まれているセッション情報も同時に送信してもよい
アクセス規制対象セッション更新処理840では、トラヒック分析装置103より受信した情報をもとに、アクセス規制の対象となるセッションを特定する。図10は、アクセス規制対象セッション更新処理840の詳細を示すフローチャートである。まず分析結果管理テーブル500を参照し、セッションごとの分析結果を取得する(分析結果参照処理1000)。次に、分析結果において、確信度が一定値以上のセッションを規制対象セッションとして、規制時間を算出する(規制時間算出処理1010)。規制時間は、それぞれのセッションの分析結果によって定められる。例えば、あるセッションの確信度が70以上の場合を規制対象とすると、確信度が70の時に規制時間を20分とし、確信度が1大きくなるごとに1分をプラスした値を規制時間とする。また、規制時間と同様に、確信度の大きさに対応して規制種別を決定する。これは、確信度が高い分析結果が得られたセッションについては、長い時間かつ強い規制とするものである。この算出方法は一例であり、分析結果に含まれる属性値から算出される値であれば規制時間となりうる。その後、規制対象となったそれぞれのセッションについて、現在時刻に規制時間を足したものをそのセッションのアクセス規制終了時刻として記録する。ここで算出したアクセス規制終了時刻及び規制種別を、アクセス規制対象セッション管理テーブル700のアクセス規制終了時刻706及び規制種別707に格納する(規制時間更新処理1020)。なお、すでにそのセッションのアクセス規制終了時刻がアクセス規制終了時刻706に格納されている場合には、新しいアクセス規制終了時刻で古いアクセス規制終了時刻を上書きする。
アクセス規制制御処理850では、アクセス規制対象セッション管理テーブル700に格納されたセッションについて、アクセス規制終了時刻及び規制種別をパラメータとした、通信を制御するコマンドをトラヒック制御装置102に送信する。なお、アクセス規制対象セッション管理テーブル700に含まれているセッションであって、そのセッションのアクセス規制終了時刻706がすでに過ぎている場合、そのセッションの情報をアクセス規制対象セッション管理テーブル700から削除し、アクセス規制を解除するコマンドをトラヒック制御装置102に送信する。
本実施形態によれば、ネットワークトラヒックの分析を行う際に、トラヒック分析装置の分析結果によって算出される分析時間間隔を設けることにより、より少ない処理量でトラヒックの分析を行うことが可能となる。
本実施形態の一部を変更して、次のように実施することも可能である。図1におけるトラヒック制御装置101において、セッション抽出プログラム又はトラヒック分析装置103は、セッション情報のみを取得するのではなく、それぞれのセッションの単位時間当たりの流量も取得して制御管理装置104に送信し、制御管理装置104は、それぞれのセッションの流量の値(パケット数)を用いて確信度508、分析時間間隔606、アクセス規制終了時刻706のいずれか、あるいはすべての値を算出する。この変更例により、通信路を流れるトラヒックの量に応じた柔軟なトラヒック分析装置103やトラヒック制御装置102の運用が可能となる。
なお、本実施形態では、セッション情報を用いてP2P通信のようなトラヒックを対象として説明したが、セッション情報の代わりにウィルスパターンのようなパターンを用いてファイル(データ)の内容のパターンとの一致を監視・分析することにより、ファイル転送を対象とした、分析時間間隔、アクセス規制時間の制御が可能である。
トラヒック監視・制御システムの構成例を示す図である。 トラヒック制御装置の構成例を示す図である。 制御管理装置の構成例を示す図である。 分析対象セッション管理テーブルの例を示す図である。 分析結果管理テーブルの例を示す図である。 分析時間間隔管理テーブルの例を示す図である。 アクセス規制対象セッション管理テーブルの例を示す図である。 制御管理プログラムの処理フローチャートである。 分析実行セッション更新処理のフローチャートである。 アクセス規制対象セッション更新処理のフローチャートである。
符号の説明
100…トラヒック監視・制御システム、101、102、201…トラヒック制御装置、103…トラヒック分析装置、104…制御管理装置、202…中央処理装置、203…入出力装置、204…記憶装置、205…パケット処理装置、206、210、213…インタフェース、208…メモリ、302…中央処理装置、303…記憶装置、304…入出力装置、305、306…インタフェース、308…メモリ、400…分析対象セッション管理テーブル、500…分析結果管理テーブル、600…分析時間間隔管理テーブル、700…アクセス規制対象セッション管理テーブル。

Claims (10)

  1. 所定時間間隔で、ネットワークを流れるパケットを分析し、前記パケットの集合であるセッションに分析結果を付与するトラヒック分析装置と、
    前記分析結果に含まれる値を用いて、前記トラヒック分析装置による前記セッションを分析する前記所定時間間隔を更新し、
    前記分析結果に含まれる値を用いて、前記セッションを通信規制する時間を得る制御管理装置と、
    前記通信規制する時間に従って、前記セッションを通信規制するトラヒック制御装置と
    を有することを特徴とするトラヒック監視・制御システム。
  2. 前記ネットワークを流れるパケットをコピーし、前記トラヒック分析装置に送信するトラヒック制御装置を有することを特徴とする請求項1記載のトラヒック監視・制御システム。
  3. 前記制御管理装置は、前記セッションを通信規制する通信規制の種別を決定することを特徴とする請求項2記載のトラヒック監視・制御システム。
  4. 前記トラヒック分析装置は、前記セッションに含まれるパケット数を分析結果に含むことを特徴とする請求項2記載のトラヒック監視・制御システム。
  5. 前記トラヒック分析装置は、前記セッションを実行しているソフトウェア種別を前記分析結果に含むことを特徴とする請求項2記載のトラヒック監視・制御システム。
  6. 所定時間間隔で、ネットワークを流れるパケットを分析し、前記パケットの集合であるセッションに分析結果を付与し、
    前記分析結果に含まれる値を用いて、前記セッションを分析する前記所定時間間隔を更新し、
    前記分析結果に含まれる値を用いて、前記セッションを通信規制する時間を取得し、
    前記通信規制する時間に従って、前記セッションを通信規制することを特徴とするトラヒック監視・制御方法。
  7. 前記ネットワークを流れるパケットの分析は、前記ネットワークを流れるパケットをコピーし、前記コピーしたパケットを分析することを特徴とする請求項6記載のトラヒック監視・制御方法。
  8. 前記セッションを通信規制する時間の取得と並行して、前記セッションを通信規制する通信規制の種別を決定することを特徴とする請求項7記載のトラヒック監視・制御方法。
  9. 前記分析結果には、前記セッションに含まれるパケット数を含むことを特徴とする請求項7記載のトラヒック監視・制御方法。
  10. 前記分析結果には、前記セッションを実行しているソフトウェア種別を含むことを特徴とする請求項7記載のトラヒック監視・制御方法。
JP2008242739A 2008-09-22 2008-09-22 トラヒック監視・制御システム及び方法 Pending JP2010074744A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008242739A JP2010074744A (ja) 2008-09-22 2008-09-22 トラヒック監視・制御システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008242739A JP2010074744A (ja) 2008-09-22 2008-09-22 トラヒック監視・制御システム及び方法

Publications (1)

Publication Number Publication Date
JP2010074744A true JP2010074744A (ja) 2010-04-02

Family

ID=42206068

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008242739A Pending JP2010074744A (ja) 2008-09-22 2008-09-22 トラヒック監視・制御システム及び方法

Country Status (1)

Country Link
JP (1) JP2010074744A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013197617A (ja) * 2012-03-15 2013-09-30 Fujitsu Ltd 通信監視装置、通信監視方法及び通信監視プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013197617A (ja) * 2012-03-15 2013-09-30 Fujitsu Ltd 通信監視装置、通信監視方法及び通信監視プログラム

Similar Documents

Publication Publication Date Title
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
KR101109393B1 (ko) 소프트웨어 취약성의 이용을 방지하기 위한 통신 메시지 필터링 방법 및 시스템
US8370932B2 (en) Method and apparatus for detecting malware in network traffic
US10382477B2 (en) Identification apparatus, control method therefor, and storage medium
US9548990B2 (en) Detecting a heap spray attack
US9584550B2 (en) Exploit detection based on heap spray detection
WO2016081520A1 (en) Method and system for detecting threats using metadata vectors
US8800040B1 (en) Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants
CN112437920A (zh) 异常检测装置和异常检测方法
JP6502902B2 (ja) 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP2014071796A (ja) マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム
JP5752642B2 (ja) 監視装置および監視方法
US20140223560A1 (en) Malware detection via network information flow theories
JPWO2019043804A1 (ja) ログ分析装置、ログ分析方法及びプログラム
EP3139298B1 (en) Information processing system, control method, and control program
KR20230156262A (ko) 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법
JP2010074744A (ja) トラヒック監視・制御システム及び方法
JP2006330783A (ja) オーバレイネットワーク生成アプリケーション起動ノード特定装置およびその方法
JP6333763B2 (ja) マルウェア解析装置およびマルウェア解析方法
US10250625B2 (en) Information processing device, communication history analysis method, and medium
JP6476853B2 (ja) ネットワーク監視システム及び方法
US10819614B2 (en) Network monitoring apparatus and network monitoring method
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법