JP2011035932A - Network controller and controlling method thereof - Google Patents

Network controller and controlling method thereof Download PDF

Info

Publication number
JP2011035932A
JP2011035932A JP2010228075A JP2010228075A JP2011035932A JP 2011035932 A JP2011035932 A JP 2011035932A JP 2010228075 A JP2010228075 A JP 2010228075A JP 2010228075 A JP2010228075 A JP 2010228075A JP 2011035932 A JP2011035932 A JP 2011035932A
Authority
JP
Japan
Prior art keywords
traffic
packet
information
network control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010228075A
Other languages
Japanese (ja)
Other versions
JP5017440B2 (en
Inventor
Hidemitsu Higuchi
秀光 樋口
Yoshinori Watanabe
義則 渡辺
Takeshi Aimoto
毅 相本
Takashi Isobe
隆史 磯部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2010228075A priority Critical patent/JP5017440B2/en
Publication of JP2011035932A publication Critical patent/JP2011035932A/en
Application granted granted Critical
Publication of JP5017440B2 publication Critical patent/JP5017440B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve a problem wherein, in a network wherein a large volume of traffic flows, it is necessary to install a plurality of traffic analyzers to detect an abnormal traffic such as worms, DDoS, or the like. <P>SOLUTION: A network controller 10 includes a traffic statistical analysis processing part 13 to detect the abnormal traffic. When the abnormal traffic is detected, a filter is set to a packet transfer processing part 11 to stop transferring operation of the abnormal traffic. At the same time, information about abnormal detection is superimposed on a statistical information packet, and the resulting statistical information packet is sent to the traffic analyzer. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、ネットワーク制御装置およびその制御方法に係り、特に異常トラフィックの検知に関わるネットワーク制御装置およびその制御方法に関する。   The present invention relates to a network control device and a control method thereof, and more particularly to a network control device and a control method thereof related to detection of abnormal traffic.

電話や放送を含む様々なサービスがIP網を通じて提供され始め、IP網を流れるトラフィックの品質管理技術が急速に発展している。トラフィックの検知技術やモニタリング技術については、IETF等の標準化団体でも標準化が進められている。またトラフィック分析技術を用いた通信品質制御機能の製品化も行われている。   Various services including telephone and broadcasting have begun to be provided through the IP network, and quality control technology for traffic flowing through the IP network is rapidly developing. Standardization of traffic detection technology and monitoring technology is also being promoted by standardization organizations such as IETF. A communication quality control function using traffic analysis technology has also been commercialized.

まず、IETF等で標準化が進められているsFlowと呼ばれるトラフィックのモニタリング方法について述べる(非特許文献1)。sFlowでは、ルータ(またはスイッチ:以下同様)は転送中のパケット(トラフィック)のサンプリング処理と、サンプリングされたパケットの切り出しを行って、対応するsFlowパケットを作成する。ルータから出力されるsFlowパケットは、コレクタまたはアナライザと呼ばれるトラフィック解析装置に送出され、トラフィック解析装置はこれらのsFlowパケットの蓄積と統計解析及び管理者への結果表示を行う。このsFlow技術はパケットの計測技術が中心であり、ルータがトラフィック解析装置に送出するsFlowパケットの情報要素が主として記載されている。分析機能は各ベンダのトラフィック解析装置の実装に任されており(表示主体の製品もある)、sFlow技術ではルータ装置内部で分析機能を備えることは無い。   First, a traffic monitoring method called sFlow, which is being standardized by IETF and the like, will be described (Non-Patent Document 1). In sFlow, a router (or switch: the same applies below) creates a corresponding sFlow packet by sampling a packet (traffic) being transferred and cutting out the sampled packet. The sFlow packets output from the router are sent to a traffic analysis device called a collector or analyzer, and the traffic analysis device accumulates and statistically analyzes these sFlow packets and displays the results to the administrator. The sFlow technology is mainly packet measurement technology, and mainly describes information elements of sFlow packets sent from the router to the traffic analysis device. The analysis function is left to the implementation of the traffic analysis device of each vendor (some display products are also available), and the sFlow technology does not have an analysis function inside the router device.

次に、ルータ(またはスイッチ:以下同様)内にトラフィック分析技術を備えた製品の例として、CLEAR-Flowと呼ばれるトラフィックのモニタリング方法について述べる(非特許文献2)。CLEAR-Flowの動作フローは「監視」「解析」「対応」の3ステージで構成される。トラフィック分析技術はルータ内で行われる「監視」ステージに相当する。「監視」ステージでは監視基準に一致するパケットに焦点を当て、一致するパケットを見つける(ステップ1−フィルタ)とイベントカウンタを用いて発生の様子を追跡し(ステップ2−カウント)、予め設定した閾値を超えると設定されたアクションを実行する(ステップ3-閾値)。「監視」ステージの結果、該当トラフィックが検出されると、「解析」ステージに移る。「解析」ステージでは、さらに詳しい解析が必要な場合の動作を行い、ルータは該当トラフィックパケットデータを、より高度な解析機能を備えた外部装置に送る。このトラフィックデータの転送としては、ミラー方式、トンネル方式、sFlow方式の3方式がある。外部装置はこれらの情報を用いてより高度なトラフィック解析を行う。CLEAR-Flowは監視対象に対する監視基準をスイッチに組み込まれたCLEAR-Flowクラシファイアに運用者が予め指定することが必要である。例えば、非特許文献2に記載してあるように、特定ポートに送られるSYNパケットの個数をカウントする設定を行う。この設定を受けて、ルータ・スイッチで「監視」を行い、検出の結果、外部装置に送るトラフィックデータは、予め設定した検出条件に合致したトラフィックデータになる。   Next, a traffic monitoring method called CLEAR-Flow will be described as an example of a product having a traffic analysis technology in a router (or switch: the same applies below) (Non-patent Document 2). The operation flow of CLEAR-Flow consists of three stages: “monitoring”, “analysis”, and “response”. The traffic analysis technique corresponds to the “monitoring” stage performed in the router. In the “monitoring” stage, focusing on packets that match the monitoring criteria, finding a matching packet (step 1 -filter), tracking the occurrence using an event counter (step 2 -count), and setting a preset threshold If it exceeds, the set action is executed (step 3—threshold). When the corresponding traffic is detected as a result of the “monitoring” stage, the process proceeds to the “analysis” stage. In the “analysis” stage, an operation is performed when further analysis is necessary, and the router sends the traffic packet data to an external device having a more advanced analysis function. There are three methods for transferring traffic data: a mirror method, a tunnel method, and an sFlow method. The external device uses this information to perform more advanced traffic analysis. CLEAR-Flow requires an operator to specify in advance a monitoring standard for a monitoring target in a CLEAR-Flow classifier built in the switch. For example, as described in Non-Patent Document 2, a setting is made to count the number of SYN packets sent to a specific port. In response to this setting, the router / switch performs “monitoring”. As a result of the detection, the traffic data sent to the external device becomes traffic data that matches a preset detection condition.

なお、未公開ではあるが、本発明に関連する出願として、特願2005−109744号がある。   Although not yet disclosed, there is Japanese Patent Application No. 2005-109744 as an application related to the present invention.

P. Phaal、外2名、“A Method for Monitoring Traffic in Switched and Routed Networks”、[online]、2001年9月、IETF、[平成17年4月19日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3176.txt>P. Phaal, 2 others, “A Method for Monitoring Traffic in Switched and Routed Networks”, [online], September 2001, IETF, [April 19, 2005 search], Internet <URL: http: / /www.ietf.org/rfc/rfc3176.txt> “WHITE PAPER CLEAR-Flow”、[online]、2004年、[平成18年2月19日検索]、インターネット<URL:http://www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP.pdf>“WHITE PAPER CLEAR-Flow”, [online], 2004, [searched February 19, 2006], Internet <URL: http://www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP. pdf>

非特許文献1に記載されたsFlow技術では、ルータは転送中のトラフィック(パケット)のサンプリング処理と、サンプリングされたパケットの切り出しを行ってトラフィックデータパケットを作成する。ルータから出力されるトラフィックデータパケットは、サンプルされた個々のパケットの切り出し情報である。ルータ装置内部では情報の蓄積やパケットのヘッダ内情報を対象にした統計解析処理は行わない。このため、大容量のトラフィックに隠れたワーム、DDoS(Distributed Denial Of Service)等の特徴的トラフィックの現象を検知する場合には、ルータから出力されるトラフィックデータパケットも比例して大容量となり、ルータのsFlowパケット生成負荷とトラフィック解析装置へ向けての転送負荷、さらにネットワークの帯域への負荷が大きくなるという課題がある。   In the sFlow technology described in Non-Patent Document 1, a router creates a traffic data packet by sampling a traffic (packet) being transferred and cutting out the sampled packet. The traffic data packet output from the router is cut-out information of each sampled packet. In the router device, information accumulation and statistical analysis processing for packet header information are not performed. For this reason, when detecting a characteristic traffic phenomenon such as a worm hidden in a large volume of traffic, DDoS (Distributed Denial Of Service), etc., the traffic data packet output from the router is also proportionally large in capacity. SFlow packet generation load, transfer load toward the traffic analysis device, and load on the network bandwidth increase.

非特許文献2に記載されたCLEAR-Flow技術では、ルータ内に「監視」処理機能を備え、対象トラフィックの絞込み処理を行う。検出すべきトラフィック対象をCLEAR-Flowクラシファイアに運用者が予め指定することが必要であり、設定したクラシファイア条件に合致するトラフィック内から、該当トラフィックとして顕著なトラフィックを検出する(ステップ1-フィルタ)。本発明のトラフィック統計分析処理部13で実行する様なトラフィック全体の中の特徴トラフィックを抽出する機能や、微小トラフィックを集約し特徴トラフィックを浮かび上がらせる機能は備えていない。   In the CLEAR-Flow technology described in Non-Patent Document 2, a “monitoring” processing function is provided in the router, and the target traffic is narrowed down. The traffic target to be detected must be specified in advance by the operator in the CLEAR-Flow classifier, and traffic that is prominent as corresponding traffic is detected from traffic that matches the set classifier conditions (step 1-filter). It does not have a function of extracting characteristic traffic from the entire traffic as executed by the traffic statistical analysis processing unit 13 of the present invention, or a function of aggregating minute traffic to raise the characteristic traffic.

また、ルータは該当トラフィックが検出された場合のみ転送を行い(「解析」ステージ)、常時トラフィック解析装置へ向けて転送する必要はなくなる。これにより、転送すべき該当トラフィック情報の生成負荷とトラフィック解析装置へ向けての転送負荷、さらにネットワークの帯域への負荷が減少する。しかし、転送する該当トラフィック情報は、個々のパケットのコピーである為、まだ転送時の転送量は大きいと言う課題がある。CLEAR-Flow技術では、特徴情報に集約する機能はトラフィック解析装置が備えている。   Also, the router performs forwarding only when the corresponding traffic is detected (“analysis” stage), and there is no need to always forward to the traffic analysis device. As a result, the generation load of the relevant traffic information to be transferred, the transfer load toward the traffic analysis device, and the load on the network bandwidth are reduced. However, since the corresponding traffic information to be transferred is a copy of each packet, there is a problem that the transfer amount at the time of transfer is still large. In the CLEAR-Flow technology, the traffic analysis device has a function for collecting feature information.

本発明の目的は、非特許文献1及び非特許文献2の課題を解決し、ネットワーク制御装置(ルータまたはスイッチ)でトラフィック分析し、特徴情報に集約し、転送負荷・コストを低減することができるネットワーク制御装置を提供することにある。   The object of the present invention is to solve the problems of Non-Patent Document 1 and Non-Patent Document 2, analyze traffic with a network control device (router or switch), aggregate it into feature information, and reduce transfer load and cost. To provide a network control device.

上記目的を達成するために本発明は、ネットワーク制御装置(ルータまたはスイッチ)にトラフィック統計分析処理部を設け、特徴的トラフィックを該トラフィック統計分析処理部13で監視する。該トラフィック統計分析処理部は特徴的トラフィックを検出すると、特徴的トラフィックの特徴要素や流量(時間間隔やその間に転送されたトラフィック量)の情報をパケットに組み込み、この集約情報をトラフィック解析装置に転送する構成を採用した。また、ネットワーク制御装置のトラフィック統計分析処理の行う分析範囲(パケットのどの情報要素を対象に分析するか等)の設定は、制御情報内のパラメータで、上位装置(トラフィック解析装置等)から変更可能とする構成を採用した。   In order to achieve the above object, according to the present invention, a traffic statistical analysis processing unit is provided in a network control device (router or switch), and characteristic traffic is monitored by the traffic statistical analysis processing unit 13. When the traffic statistical analysis processing unit detects characteristic traffic, it incorporates information on the characteristic elements and flow rate (time interval and the amount of traffic transferred during that time) into the packet, and forwards this aggregated information to the traffic analysis device. The configuration to adopt was adopted. In addition, the setting of the analysis range (what information element of the packet is analyzed, etc.) for the traffic control analysis processing of the network control device can be changed from the higher-level device (traffic analysis device, etc.) with parameters in the control information The configuration is adopted.

本発明によれば、異常トラフィックをネットワーク制御装置で分析/検知するので、トラフィック解析装置の負荷を減らすことができ、ネットワーク制御装置10のトラフィック解析装置20へ向けてのパケット転送負荷、さらにネットワークの帯域への負荷が小さくできる。   According to the present invention, since abnormal traffic is analyzed / detected by the network control device, the load of the traffic analysis device can be reduced, the packet transfer load of the network control device 10 toward the traffic analysis device 20, and the network The load on the band can be reduced.

また、本発明によれば、ネットワーク制御装置を介してPCの認証を行うシステムにおいて、PC単位の異常トラフィック検出情報を認証/再認証時にネットワーク制御装置から認証サーバに伝えることにより、静的な認証情報(パスワード、デジタル署名情報等)に加えて、動的なトラフィック情報が加わるため、認証機能に加えて、該当PCのトラフィック制御を行うことが可能となる。   Further, according to the present invention, in a system that authenticates a PC via a network control device, static authentication is performed by transmitting abnormal traffic detection information for each PC from the network control device to the authentication server at the time of authentication / re-authentication. Since dynamic traffic information is added in addition to information (password, digital signature information, etc.), it becomes possible to perform traffic control of the corresponding PC in addition to the authentication function.

トラフィックのモニタリングシステムの構成を説明するブロック図である。It is a block diagram explaining the structure of the traffic monitoring system. ネットワーク制御装置のブロック図である。It is a block diagram of a network control apparatus. トラフィック解析装置のブロック図である。It is a block diagram of a traffic analysis device. パケットカウントテーブルを説明する図である。It is a figure explaining a packet count table. しきい値テーブルを説明する図である。It is a figure explaining a threshold value table. 異常検知情報テーブルを説明する図である。It is a figure explaining an abnormality detection information table. 異常フローを検知したフロー統計情報のパケットを説明する図である。It is a figure explaining the packet of the flow statistics information which detected the abnormal flow. トラフィック分析処理部の処理フロー図である。It is a processing flow figure of a traffic analysis processing part. トラフィック分析処理部の異常判定処理フロー図である。It is an abnormality determination processing flowchart of a traffic analysis processing unit. トラフィック解析装置がネットワーク制御装置に送信する制御情報パケットを説明する図である。It is a figure explaining the control information packet which a traffic analysis apparatus transmits to a network control apparatus. 他の実施例の異常フローを検知したフロー統計情報のパケットを説明する図である。It is a figure explaining the packet of the flow statistics information which detected the abnormal flow of the other Example. 異常フローを検知したフロー統計情報のパケットの異常フロー検知情報の構成例を説明する図である。It is a figure explaining the structural example of the abnormal flow detection information of the packet of the flow statistics information which detected the abnormal flow. 他の実施例の認証機能を持つトラフィック解析装置を含むトラフィックのモニタリングシステムの構成を説明するブロック図である。It is a block diagram explaining the structure of the traffic monitoring system containing the traffic analysis apparatus with the authentication function of another Example. 異常フロー検知情報を含む認証パケットの構成例を示す図である。It is a figure which shows the structural example of the authentication packet containing abnormal flow detection information. パケットカウントテーブルの他の例を示す図である。It is a figure which shows the other example of a packet count table. 異常フローを検知したフロー統計情報のパケットの異常フロー検知情報中のアイテムフィールド構成例を示す図である。It is a figure which shows the example of an item field structure in the abnormal flow detection information of the packet of the flow statistics information which detected the abnormal flow.

以下本発明の実施の形態について、実施例を用いて、図面を参照しながら説明する。   Hereinafter, embodiments of the present invention will be described using examples with reference to the drawings.

本発明の第1の実施例を図1ないし図10、および、図12、図15、図16を用いて説明する。ここで、図1はトラフィックのモニタリングシステムの構成を説明するブロック図である。図2はネットワーク制御装置のブロック図である。図3はトラフィック解析装置のブロック図である。図4と図15はパケットカウントテーブルを説明する図である。図5はしきい値テーブルを説明する図である。図6は異常検知情報テーブルを説明する図である。図7、図12、図16は異常フローを検知したフロー統計情報のパケットを説明する図である。図8はトラフィック分析処理部の処理フロー図である。図9はトラフィック分析処理部の異常判定処理フロー図である。図10はトラフィック解析装置がネットワーク制御装置に送信する制御情報パケットを説明する図である。   A first embodiment of the present invention will be described with reference to FIGS. 1 to 10 and FIGS. 12, 15, and 16. FIG. Here, FIG. 1 is a block diagram illustrating the configuration of a traffic monitoring system. FIG. 2 is a block diagram of the network control device. FIG. 3 is a block diagram of the traffic analysis apparatus. 4 and 15 are diagrams for explaining the packet count table. FIG. 5 is a diagram for explaining the threshold value table. FIG. 6 is a diagram for explaining the abnormality detection information table. 7, 12 and 16 are diagrams for explaining a packet of flow statistical information in which an abnormal flow is detected. FIG. 8 is a processing flowchart of the traffic analysis processing unit. FIG. 9 is a flowchart of abnormality determination processing in the traffic analysis processing unit. FIG. 10 is a diagram for explaining a control information packet transmitted from the traffic analysis device to the network control device.

図1において、トラフィックのモニタリングシステム100は、複数のネットワーク1−11、1−12、…、1−1nに接続されたネットワーク制御装置10−1と、複数のネットワーク1−k1、1−k2、…、1−kmに接続されたネットワーク制御装置10−kと、トラフィック解析装置20とで構成される。ネットワーク制御装置10はトラフィック解析装置20にフロー統計情報を送る。逆に、トラフィック解析装置20はネットワーク制御装置10に制御情報(パラメータ等)を送る。   1, a traffic monitoring system 100 includes a network control device 10-1 connected to a plurality of networks 1-11, 1-12,..., 1-1n, and a plurality of networks 1-k1, 1-k2, The network control device 10-k connected to 1-km and the traffic analysis device 20 are configured. The network control device 10 sends the flow statistical information to the traffic analysis device 20. Conversely, the traffic analysis device 20 sends control information (such as parameters) to the network control device 10.

ここで、フロー統計情報には、ネットワーク制御装置10が検出した異常情報が含まれる。また、制御情報には、異常情報に基づいてトラフィック解析装置20が判定したカウンタのリセット、しきい値レベルの変更(しきい値の増加指示)が含まれる。また、逆に異常トラフィックが少ないときには、しきい値の減少指示が含まれる。この様に構成することで、異常トラフィックをネットワーク制御装置10で分析/検知するので、異常トラフィックの状況に応じてしきい値レベルを変更できる。この結果、異常トラフィックの状況に応じた感度とすることができる。なお、トラフィック解析装置20とネットワーク制御装置10−kとの間のフロー統計情報、制御情報の矢印は、図示の簡便のため省いた。   Here, the flow statistical information includes abnormality information detected by the network control device 10. The control information includes a counter reset and a threshold level change (threshold increase instruction) determined by the traffic analysis device 20 based on the abnormality information. Conversely, when there is little abnormal traffic, an instruction to reduce the threshold value is included. By configuring in this way, abnormal traffic is analyzed / detected by the network control device 10, so that the threshold level can be changed according to the status of abnormal traffic. As a result, the sensitivity can be set according to the status of abnormal traffic. The flow statistics information and the control information arrows between the traffic analysis device 20 and the network control device 10-k are omitted for the sake of simplicity.

図2に示すネットワーク制御装置10は、パケット転送処理部11と、統計情報取得生成部12と、トラフィック統計分析処理部13とで構成される。また、統計情報取得生成部12は、サンプリング統計処理部121とトラフィック異常検知情報パケット生成部122とで構成される。   The network control device 10 shown in FIG. 2 includes a packet transfer processing unit 11, a statistical information acquisition / generation unit 12, and a traffic statistical analysis processing unit 13. The statistical information acquisition and generation unit 12 includes a sampling statistical processing unit 121 and a traffic abnormality detection information packet generation unit 122.

通常パケットは、パケット転送処理部11で転送先宛てに転送される。また、通常パケットは、パケット転送処理部11からサンプリング統計処理部121にコピーが転送される。サンプリング統計処理部121は、予め定めた割合でサンプリングして、サンプル対象となったパケットのヘッダを含むNバイトを切り出す。サンプリング統計処理部121は、切り出したパケットの一部を重畳してペイロードに格納したパケット(sFlowパケット)を作成し、統計情報パケットとして、パケット転送処理部11を経由して、トラフィック解析装置20に転送する。   The normal packet is transferred to the transfer destination by the packet transfer processing unit 11. A copy of the normal packet is transferred from the packet transfer processing unit 11 to the sampling statistics processing unit 121. The sampling statistics processing unit 121 samples at a predetermined rate, and cuts out N bytes including the header of the packet to be sampled. The sampling statistical processing unit 121 creates a packet (sFlow packet) in which a part of the extracted packet is superimposed and stored in the payload, and the statistical information packet is transmitted to the traffic analysis device 20 via the packet transfer processing unit 11. Forward.

また、サンプリング統計処理部121は、サンプル対象となったパケットをトラフィック統計分析処理部13に転送する。トラフィック統計分析処理部13は、予めトラフィック解析装置20からの制御情報パケットを、パケット転送処理部11を介して受取り、しきい値が設定されている。トラフィック統計分析処理部13は、このしきい値を用いてトラフィック異常を検知する。トラフィック異常を検知したトラフィック統計分析処理部13は、トラフィック異常検知情報パケット生成部122に異常検知情報を転送する。トラフィック異常検知情報パケット生成部122は異常検知情報に基づいて、異常検知情報パケットを生成し、サンプリング統計処理部121に転送する。異常検知情報パケットを受信したサンプリング統計処理部121は、sFlowパケットに続けて異常フロー検知情報を加え、統計情報パケットとして、パケット転送処理部11を経由して、トラフィック解析装置20に転送する。   In addition, the sampling statistics processing unit 121 transfers the packet to be sampled to the traffic statistics analysis processing unit 13. The traffic statistical analysis processing unit 13 receives a control information packet from the traffic analysis device 20 via the packet transfer processing unit 11 in advance, and a threshold value is set. The traffic statistical analysis processing unit 13 detects a traffic abnormality using this threshold value. The traffic statistical analysis processing unit 13 that has detected the traffic abnormality transfers the abnormality detection information to the traffic abnormality detection information packet generation unit 122. The traffic anomaly detection information packet generator 122 generates an anomaly detection information packet based on the anomaly detection information and transfers it to the sampling statistics processor 121. The sampling statistical processing unit 121 that has received the abnormality detection information packet adds the abnormal flow detection information following the sFlow packet, and forwards the statistical information packet to the traffic analysis device 20 via the packet transfer processing unit 11.

本実施例のネットワーク制御装置10は、外部からしきい値を可変することができるので、制御パラメータを可変することができるトラフィック異常を検知可能なネットワーク制御装置とすることができる。   Since the network control device 10 of the present embodiment can vary the threshold value from the outside, it can be a network control device capable of detecting a traffic abnormality that can vary the control parameter.

図3に示すトラフィック解析装置20は、パケット転送処理部21と、統計処理部22と、分析処理部23と、制御情報パケット生成部24とで構成される。ネットワーク制御装置10から転送されてきた統計情報パケットは、パケット転送処理部21を介して統計処理部22に転送され、統計処理を受ける。統計処理部22は、統計処理結果を分析処理部23に転送する。分析処理部23は統計処理結果を用いて分析処理を行う。分析処理部23は分析処理結果に基づいて、トラフィック異常を検出したネットワーク制御装置10の後述するパケットカウントテーブルのカウント値をリセットし、カウント値のしきい値を増加させる。具体的には、制御情報パケット生成部24にカウント値のリセットと、しきい値の変更とを制御するパケットを生成させ、これをパケット転送処理部21を介して、ネットワーク制御装置10へ転送する。   The traffic analysis device 20 illustrated in FIG. 3 includes a packet transfer processing unit 21, a statistical processing unit 22, an analysis processing unit 23, and a control information packet generation unit 24. The statistical information packet transferred from the network control device 10 is transferred to the statistical processing unit 22 via the packet transfer processing unit 21 and is subjected to statistical processing. The statistical processing unit 22 transfers the statistical processing result to the analysis processing unit 23. The analysis processing unit 23 performs analysis processing using the statistical processing result. Based on the analysis processing result, the analysis processing unit 23 resets a count value in a packet count table (to be described later) of the network control apparatus 10 that detected the traffic abnormality, and increases the threshold value of the count value. Specifically, the control information packet generation unit 24 generates a packet for controlling the reset of the count value and the change of the threshold value, and transfers the packet to the network control device 10 via the packet transfer processing unit 21. .

図4に示すパケットカウントテーブル200は、ネットワーク制御装置10のトラフィック統計分析処理部13に保持されるテーブルである。パケットカウントテーブル200は、項目数1テーブル201と、項目数2テーブル202と、項目数3テーブル203と、項目数4テーブル204とで構成されている。項目数1テーブル201は項目1の種類と値とに対応して、トラフィック統計分析処理部13がカウントしたパケット数を保持している。ここで、src ipは、source ipであり、送信元のIPアドレスを意味する。また、dst portは、destination portであり、送信先のポート番号を意味する。   A packet count table 200 illustrated in FIG. 4 is a table held in the traffic statistics analysis processing unit 13 of the network control device 10. The packet count table 200 includes an item number 1 table 201, an item number 2 table 202, an item number 3 table 203, and an item number 4 table 204. The item number 1 table 201 stores the number of packets counted by the traffic statistical analysis processing unit 13 corresponding to the type and value of item 1. Here, src ip is source ip, which means the source IP address. Further, dst port is a destination port, which means a destination port number.

項目数2テーブル202は、項目1の種類と値および項目2の種類と値のAND条件でパケット数をカウントする。項目数3テーブル203と、項目数4テーブル204は、いずれも項目数3または項目数4のAND条件でパケット数をカウントする。パケットカウントテーブルのパケット数は予め定めた間隔で、リセットを行う。また、リセットはトラフィック解析装置20が送信する制御情報に基づいても実施できる。   The item number 2 table 202 counts the number of packets according to the AND condition of the item 1 type and value and the item 2 type and value. Each of the item number 3 table 203 and the item number 4 table 204 counts the number of packets under the AND condition of the item number 3 or the item number 4. The number of packets in the packet count table is reset at predetermined intervals. The reset can also be performed based on control information transmitted by the traffic analysis device 20.

パケットカウントテーブルの項目欄は、パケットの情報から選択している。情報の例としては、IPヘッダ、TCPヘッダ、UDPヘッダ、MPLSヘッダ、MACヘッダ等のヘッダに含まれる情報やペイロードデータのハッシュ値等がある。この意味で、パケットカウントテーブルは、パケットのヘッダ情報に基づいてパケットの到達数をカウントしている。   The item column of the packet count table is selected from packet information. Examples of information include information included in headers such as an IP header, TCP header, UDP header, MPLS header, and MAC header, a hash value of payload data, and the like. In this sense, the packet count table counts the arrival number of packets based on the packet header information.

図15のパケットカウントテーブル1500は、図4に示したパケットカウントテーブル200の他の実施形態である。   A packet count table 1500 shown in FIG. 15 is another embodiment of the packet count table 200 shown in FIG.

本実施例では、トラフィックを識別する項目は、送信元IPアドレス(src ip)、宛先IPアドレス(dst ip)、送信元ポート番号(src port)、宛先ポート番号(dst port)の4種類とし、前記4種類の項目から任意のn項目(1≦n≦4)の組み合わせを生成する。前記項目の種類は項目フィールド1501に示される。   In this embodiment, there are four types of items for identifying traffic: a source IP address (src ip), a destination IP address (dst ip), a source port number (src port), and a destination port number (dst port). An arbitrary combination of n items (1 ≦ n ≦ 4) is generated from the four types of items. The item type is shown in an item field 1501.

なお、本実施例では処理対象項目を前記4種類としているが、検知したいトラフィックの特性に応じてさらに別の項目を加えたり、あるいは削除したりしてもよい。例えば、TCPセッションの確立、切断処理に関連するトラフィックを抽出するためにTCPヘッダ中のフラグ情報を含めてもよい。あるいは、トラフィックの特性をより正確に把握するために、TCPヘッダまたはUDPヘッダの後ろに続くアプリケーションデータの先頭何バイト分かを含めてもよい。あるいは、MPLSラベルが付いている場合に、前記MPLSラベルの値も含め、LSP毎にトラフィックの分析を行えるようにしてもよい。あるいは、L2TPなどのトンネリングプロトコルを使用しているときに、トンネル識別子を含め、トンネル毎にその中を通過するトラフィックの分析を行えるようにしてもよい。   In the present embodiment, the four types of processing target items are described, but other items may be added or deleted depending on the characteristics of the traffic to be detected. For example, flag information in a TCP header may be included in order to extract traffic related to TCP session establishment / disconnection processing. Alternatively, in order to grasp traffic characteristics more accurately, the first several bytes of application data following the TCP header or UDP header may be included. Alternatively, when an MPLS label is attached, traffic analysis may be performed for each LSP including the value of the MPLS label. Alternatively, when a tunneling protocol such as L2TP is used, a tunnel identifier may be included so that traffic passing through each tunnel can be analyzed.

パケットカウントテーブル1500の値フィールド1503には、前記組み合わせの構成要素となる項目であれば前記項目の値を格納し、前記組み合わせの構成要素とならない項目あれば、前記組み合わせを持つパケットのカウント中に出現した前記項目の値の種類数を格納する。値フィールド1503に格納される数値が値なのか出現種類数なのかを示す情報は、属性フィールド1502に格納する。   The value field 1503 of the packet count table 1500 stores the value of the item if it is an item that is a component of the combination, and counts the packet having the combination if it is an item that is not a component of the combination. Stores the number of types of the value of the item that has appeared. Information indicating whether the numerical value stored in the value field 1503 is a value or the number of appearance types is stored in the attribute field 1502.

たとえば、図15においてエントリ番号4のエントリでは、送信元IPアドレスがZ、宛先IPアドレスがY、宛先ポート番号がdであるパケットが20個出現し、前記20個のパケットに含まれていた送信元ポート番号の種類が8種類であったことを表している。   For example, in the entry of entry number 4 in FIG. 15, 20 packets with the source IP address Z, the destination IP address Y, and the destination port number d appear, and the transmissions included in the 20 packets This indicates that there are 8 types of original port numbers.

さらに、パケットカウントテーブル1500の各エントリは、前記エントリ毎にパケット数をカウントするためのパケット数フィールド1504、前記エントリでカウント対象となるパケットの長さを積算するための積算オクテット数フィールド1505、前記エントリでパケット数のカウントを開始した時刻を保持するカウント開始時刻フィールド1506を持つ。   Further, each entry of the packet count table 1500 has a packet number field 1504 for counting the number of packets for each entry, an accumulated octet number field 1505 for accumulating the length of the packet to be counted in the entry, It has a count start time field 1506 that holds the time when the packet count starts in the entry.

パケットカウントテーブル200との違いは、ある項目の組み合わせに着目したパケット数をカウントする際に、前記項目の組み合わせに含まれない項目について異なる値がいくつ出現したかを同時にカウントする点である。   The difference from the packet count table 200 is that, when counting the number of packets focused on a combination of certain items, it is simultaneously counted how many different values appear for the items not included in the combination of the items.

図5に示すしきい値テーブルは、ネットワーク制御装置10のトラフィック統計分析処理部13に保持されるテーブルである。しきい値テーブル30は、フロー種別31と、検知レベル32と、しきい値33とで構成される。フロー種別31は、具体的にはワーム、DDoS等のトラフィック異常である。ここでは、フローXのパケットについて500を超えて検出したとき、検知レベル1と判定し、1000を超えて検出したとき、検知レベル2と判定する。なお、これらのしきい値はトラフィック解析装置20からの制御情報によって書き換えられる。   The threshold table shown in FIG. 5 is a table held in the traffic statistical analysis processing unit 13 of the network control device 10. The threshold value table 30 includes a flow type 31, a detection level 32, and a threshold value 33. Specifically, the flow type 31 is a traffic abnormality such as a worm or DDoS. Here, when a packet of flow X is detected exceeding 500, it is determined as detection level 1, and when it is detected exceeding 1000, it is determined as detection level 2. These threshold values are rewritten by the control information from the traffic analysis device 20.

図6に示す異常検知情報テーブルは、ネットワーク制御装置10のトラフィック統計分析処理部13が生成し、トラフィック異常検知情報パケット生成部122に転送されるテーブルである。異常検知情報テーブル80は、フロー構成要素をシリアルにつなげたテーブルである。具体的には、検出したフローのDDoS、ワーム等のフロー種別と、検出したフローの容疑度である検知レベルと、TCP/IPヘッダの情報として送信元・宛先アドレスと、送信元・宛名ポートと、レイヤ4のプロトコル種別と、ネットワーク制御装置のネットワークインタフェース情報であるインタフェースとから構成される。その他、レイヤ2やアプリケーションの情報が入ってもよい。   The abnormality detection information table illustrated in FIG. 6 is a table generated by the traffic statistical analysis processing unit 13 of the network control device 10 and transferred to the traffic abnormality detection information packet generation unit 122. The abnormality detection information table 80 is a table in which flow components are serially connected. Specifically, the detected flow type such as DDoS and worm, the detection level that is the suspect level of the detected flow, the source / destination address, and the source / destination port as TCP / IP header information Layer 4 protocol type and an interface which is network interface information of the network control device. In addition, layer 2 and application information may be entered.

異常フローを検知したフロー統計情報のパケット(図7)は、ネットワーク制御装置10のサンプリング統計処理部121が生成するパケットである。フロー情報パケット40は、MACヘッダ41と、IPヘッダ42と、UDPヘッダ43と、フロー情報44と、異常フロー検知情報45とから構成される。MACヘッダ41と、IPヘッダ42と、UDPヘッダ43と、フロー情報44とから構成されるパケットは、sFlowのパケットである。しかし、フロー情報パケット40には、異常フロー検知情報45が付加され、ネットワーク制御装置10がトラフィックの異常を検出したことを意味する。異常フロー検知情報45の構成例について図12と図16を用いて説明する。   The packet (FIG. 7) of the flow statistical information in which the abnormal flow is detected is a packet generated by the sampling statistical processing unit 121 of the network control device 10. The flow information packet 40 includes a MAC header 41, an IP header 42, a UDP header 43, flow information 44, and abnormal flow detection information 45. A packet composed of the MAC header 41, the IP header 42, the UDP header 43, and the flow information 44 is an sFlow packet. However, abnormal flow detection information 45 is added to the flow information packet 40, which means that the network control device 10 has detected a traffic abnormality. A configuration example of the abnormal flow detection information 45 will be described with reference to FIGS. 12 and 16.

異常フロー検知情報45は、フロー種別1201、サンプリングレート1202、しきい値1203、積算オクテット数1204、積算時間1205、アイテム数1206、複数のアイテム1207から構成される。フロー種別1201は、検知されたフローの種別を示す。フロー種別の値には、例えばDDoS、ワーム等の種別情報が入る。サンプリングレート1202は、フロー検知時のパケットサンプリングレートを示すもので、サンプリング統計処理部121が保持するサンプリングレートが格納される。しきい値1203は、本メッセージを通知する契機となったパケットカウント数のしきい値を示すもので、しきい値テーブル30のしきい値33の値のいずれかが格納される。積算オクテット数1204は、パケットカウント数がしきい値を超えるまでの間に受信したパケット長の総オクテット数を示すもので、パケット数フィールド1504がしきい値を超えたパケットカウントテーブル1500のエントリの積算オクテット数フィールド1505の値が格納される。   The abnormal flow detection information 45 includes a flow type 1201, a sampling rate 1202, a threshold value 1203, an accumulated octet number 1204, an accumulated time 1205, an item number 1206, and a plurality of items 1207. The flow type 1201 indicates the type of the detected flow. The flow type value includes type information such as DDoS and worm. The sampling rate 1202 indicates the packet sampling rate at the time of flow detection, and stores the sampling rate held by the sampling statistical processing unit 121. The threshold value 1203 indicates the threshold value of the packet count number that triggered the notification of this message, and stores one of the threshold values 33 in the threshold value table 30. The total number of octets 1204 indicates the total number of octets of the packet length received until the packet count number exceeds the threshold, and the number of entries in the packet count table 1500 in which the packet number field 1504 exceeds the threshold. The value of the accumulated octet number field 1505 is stored.

エントリ積算時間1205は、本メッセージで通知するフローのパケットカウント数をカウントし始めてからしきい値を超えるまでの時間を示すもので、パケット数フィールド1504がしきい値を超えたパケットカウントテーブル1500のエントリのカウント開始時刻1506の値と現在時刻の差が格納される。アイテム数1206は、本メッセージに含まれるアイテム1207の数を示す。パケットカウントテーブル1500の例では一つのエントリは4個の項目で構成されているので、アイテム数1206の値は4となる。アイテム1207は、パケット数1504がしきい値を超えたパケットカウントテーブル1500のエントリに含まれる各項目の内容を示す。   The entry integration time 1205 indicates the time from the start of counting the packet count number of the flow notified by this message until the threshold value is exceeded, and the packet count field 1504 in which the packet number field 1504 exceeds the threshold value The difference between the value of the entry count start time 1506 and the current time is stored. The item number 1206 indicates the number of items 1207 included in this message. In the example of the packet count table 1500, since one entry is composed of four items, the value of the item number 1206 is 4. An item 1207 indicates the contents of each item included in the entry of the packet count table 1500 in which the number of packets 1504 exceeds the threshold value.

アイテム1207は、図16に示すような構造となっている。項目1601は、アイテムの種類を表すもので、具体的にはパケットカウントテーブル1500の項目フィールド1501に示されるsrc ipやdst ipなどの識別情報を格納する。属性1602は、パケットカウントテーブル1500の属性フィールド1502に示される「値」か「出現種類数」が格納される。値1603は、パケットカウントテーブル1500の値フィールド1503に示される値が格納される。   The item 1207 has a structure as shown in FIG. An item 1601 represents an item type, and specifically stores identification information such as src ip and dst ip shown in the item field 1501 of the packet count table 1500. The attribute 1602 stores “value” or “number of appearance types” indicated in the attribute field 1502 of the packet count table 1500. The value 1603 stores the value indicated in the value field 1503 of the packet count table 1500.

ネットワーク制御装置10が、異常フローを検出したときに上記のような情報を含むパケットをトラフィック解析装置20に送信することで、トラフィック解析装置20は前記情報から異常フローの種類や規模、継続時間などを少ない処理負荷で短時間に把握することが可能となる。   When the network control device 10 detects an abnormal flow, it transmits a packet including the above information to the traffic analysis device 20, so that the traffic analysis device 20 can determine the type, scale, duration, etc. of the abnormal flow from the information. Can be grasped in a short time with a small processing load.

次に、図8を用いて、ネットワーク制御装置10のトラフィック統計分析処理部13の動作を説明する。サンプリング統計処理121がサンプリングしたパケットをトラフィック統計分析処理部13が受信する(S501)。トラフィック統計分析処理部13は、パケットのヘッダ情報を用いて、図4に示したパケットカウンタテーブル200の該当エントリ(一般に複数存在する)のパケット数をインクリメントする(S502)。該当エントリが存在しなかった場合は新規にエントリを作成する。その際、新規にエントリの作成対象とする前記ヘッダ情報中の項目の組み合わせは事前に設定可能であり、さらには、制御情報パケット50の制御情報54によっても変更可能とする。次に、項目数2テーブル202と図5に示すしきい値テーブル30を参照して、被疑フローを示す項目の組み合わせで検知レベル1のしきい値を超えたエントリの有無を調べる(S503)。無い場合(No)には、ステップ501に戻り、ある場合(Yes)には異常判定に遷移する。異常判定(S504)で、異常と判断した場合(Yes)には、しきい値テーブルを再度参照して、図6に示す異常検知情報テーブル80を作成する(S505)。なお、異常で無いと判断した場合(No)には、ステップ501に戻る。トラフィック統計分析処理部13は、異常検知情報テーブル80を、トラフィック異常検知情報生成部122に転送する(S506)。   Next, the operation of the traffic statistical analysis processing unit 13 of the network control device 10 will be described with reference to FIG. The traffic statistical analysis processing unit 13 receives the packet sampled by the sampling statistical processing 121 (S501). The traffic statistical analysis processing unit 13 uses the packet header information to increment the number of packets in the corresponding entry (generally present in the packet counter table 200 shown in FIG. 4) (S502). If the corresponding entry does not exist, a new entry is created. At this time, a combination of items in the header information to be newly created for entry can be set in advance, and can also be changed by the control information 54 of the control information packet 50. Next, with reference to the item number 2 table 202 and the threshold value table 30 shown in FIG. 5, it is checked whether or not there is an entry exceeding the detection level 1 threshold value in the combination of the items indicating the suspected flow (S503). When there is no (No), the process returns to Step 501, and when there is (Yes), the process proceeds to abnormality determination. If it is determined that there is an abnormality in the abnormality determination (S504) (Yes), the abnormality detection information table 80 shown in FIG. 6 is created by referring to the threshold value table again (S505). When it is determined that there is no abnormality (No), the process returns to step 501. The traffic statistical analysis processing unit 13 transfers the abnormality detection information table 80 to the traffic abnormality detection information generation unit 122 (S506).

図9を用いて、図8のステップ503とステップ504を、ネットワークワームとDDoSの検出フローとしてさらに詳しく説明する。
まず、項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせを判断する(S1001)。“scr ip”と“dst port”または“dst ip”と“dst port”以外の組み合わせの場合には、検出フローを終了する。 Using FIG. 9, step 503 and step 504 in FIG. 8 will be described in more detail as a network worm and DDoS detection flow.
First, in the item number 2 table 202, the combination of the item type and value exceeding the threshold value is determined (S1001). In the case of a combination other than “scr ip” and “dst port” or “dst ip” and “dst port”, the detection flow ends.

項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせが、“scr ip”と“dst port”のときには、項目数3テーブルを検索する(S1002)。項目数3テーブルで、“scr ip”と“dst port”とが同じで、特定のホスト間での通信であることを示すエントリが存在するか確認する(S1003)。ここで特定のホスト間の通信であることを示す項目として、“dst ip”を採用する。この結果がYesならば、ワームではないと判断し処理を終了する。一方、結果がNoならば、ワームと判断する(S1004)。   When the combination of the item type and value exceeding the threshold in the item number 2 table 202 is “scrip” and “dst port”, the item number 3 table is searched (S1002). In the table with three items, it is confirmed whether “scr ip” and “dst port” are the same, and there is an entry indicating communication between specific hosts (S1003). Here, “dst ip” is adopted as an item indicating communication between specific hosts. If the result is Yes, it is determined that it is not a worm and the process is terminated. On the other hand, if the result is No, it is determined as a worm (S1004).

一方、項目数2テーブル202でしきい値を超えた項目の種類と値との組み合わせが、 “dst ip”と“dst port”のときには、項目数3テーブルを検索する(S1005)。項目数3テーブルで、“scr ip”と“dst port”とが同じで、特定のホスト間での通信であることを示すエントリが存在するか確認する(S1006)。ここで特定のホスト間の通信であることを示す3番目の項目として、“scr ip”を採用する。この結果がYesならば、特定の2台の端末間のP2P通信であって、DDoSではないと判断し処理を終了する。一方、結果がNoならば、複数の送信元から特定の宛先への通信であるDDoSと判断する(S1007)。   On the other hand, when the combination of the item type and value exceeding the threshold in the item number 2 table 202 is “dst ip” and “dst port”, the item number 3 table is searched (S1005). In the table with 3 items, it is confirmed whether “scr ip” and “dst port” are the same, and there is an entry indicating communication between specific hosts (S1006). Here, “scr ip” is adopted as the third item indicating communication between specific hosts. If this result is Yes, it is determined that the communication is P2P communication between two specific terminals and not DDoS, and the process is terminated. On the other hand, if the result is No, it is determined that the communication is DDoS from a plurality of transmission sources to a specific destination (S1007).

図2に戻って、異常検知情報テーブル80を受信したトラフィック異常検知情報生成部122は、異常検知情報テーブルから、図7に示す異常フロー検知情報45を生成する。トラフィック異常検知情報生成部122は、異常フロー検知情報45をサンプリング統計処理部121に転送する。サンプリング統計処理部121は、通常のsFlowパケットの後ろに異常フロー検知情報45を追加したフロー統計情報パケット40を、トラフィック解析装置20に転送する。   Returning to FIG. 2, the traffic abnormality detection information generation unit 122 that has received the abnormality detection information table 80 generates the abnormality flow detection information 45 illustrated in FIG. 7 from the abnormality detection information table. The traffic abnormality detection information generation unit 122 transfers the abnormal flow detection information 45 to the sampling statistics processing unit 121. The sampling statistics processing unit 121 transfers the flow statistics information packet 40 in which the abnormal flow detection information 45 is added after the normal sFlow packet to the traffic analysis device 20.

ネットワーク制御装置10は、これと同時に、パケット転送処理部11の出力部に図示しないフィルタを設定して、異常パケットの転送を停止する。   At the same time, the network control device 10 sets a filter (not shown) in the output unit of the packet transfer processing unit 11 and stops transferring abnormal packets.

図3において、異常フロー検知情報45を追加されたフロー統計情報パケット40を受信したトラフィック解析装置20は、分析処理部23で分析し、図5のフローXの異常で検知レベル2の以上の場合、これ以上の検知ができないことを判定する。この結果、パケットカウントテーブルのリセットと、フローXの検知レベル1のしきい値を1000に、検知レベル2のしきい値を2000にすべく、制御情報作成部24を介して制御情報パケット50を、ネットワーク制御装置10に送出する。   In FIG. 3, the traffic analysis device 20 that has received the flow statistics information packet 40 to which the abnormal flow detection information 45 has been added is analyzed by the analysis processing unit 23, and when the flow X in FIG. It is determined that no further detection is possible. As a result, in order to reset the packet count table and set the detection level 1 threshold of flow X to 1000 and the detection level 2 threshold to 2000, the control information packet 50 is sent via the control information creation unit 24. To the network control device 10.

図10に示すトラフィック解析装置がネットワーク制御装置に送信する制御情報パケットは、トラフィック解析装置20の制御情報パケット生成部24が生成する。制御情報パケット50は、MACヘッダ51と、IPヘッダ52と、UDPヘッダ53と、制御情報54とから構成される。制御情報54には、カウンタリセット信号、パラメータ等から構成されている。   The control information packet that the traffic analysis device shown in FIG. 10 transmits to the network control device is generated by the control information packet generation unit 24 of the traffic analysis device 20. The control information packet 50 includes a MAC header 51, an IP header 52, a UDP header 53, and control information 54. The control information 54 includes a counter reset signal, parameters, and the like.

なお、上述した実施例ではsFlowとして説明したが、NetFlow、あるいは、ミラーリングしたパケットでも構わず、これらに限られない。制御情報54には、パケットカウントテーブルでパケット数カウントの対象とする項目の組み合わせ設定情報を変更する情報、または、しきい値テーブルのフロー種別および検知レベルを変更する情報を含んでもよい。さらに、フローXの検知レベル1および2のしきい値を変更するのではなく、新たに検知レベル3(しきい値:2000)を設けても良い。   In the above-described embodiment, sFlow has been described, but NetFlow or a mirrored packet may be used, and the present invention is not limited thereto. The control information 54 may include information for changing the combination setting information of items to be counted in the packet count table, or information for changing the flow type and detection level of the threshold table. Furthermore, instead of changing the threshold values of the detection levels 1 and 2 of the flow X, a new detection level 3 (threshold value: 2000) may be provided.

また、トラフィック異常発生時の、異常通知の発信先はトラフィック解析装置に限らず、より上位のネットワーク監視装置であってもよい。   In addition, when a traffic abnormality occurs, the destination of the abnormality notification is not limited to the traffic analysis device, but may be a higher-level network monitoring device.

本実施例に拠れば、異常トラフィック、過負荷トラフィックの分析を分散して配置されたネットワーク制御装置(ルータまたはスイッチ)で行うことができる。この結果、トラフィック解析装置(コレクタまたはアナライザ)の分析負荷を低減することができる。また、従来のsFlow統計情報に異常トラフィックの分析情報を付け加えることにより、従来のFlow統計計算サーバの機能を生かした拡張ができる。さらに本実施例に拠れば、今後新たに発生するネットワーク攻撃に対しても、攻撃パターンに応じてパケットカウンタテーブルおよびしきい値テーブルの設定を変更することにより、対応することができる。   According to the present embodiment, the analysis of abnormal traffic and overload traffic can be performed by network control devices (routers or switches) arranged in a distributed manner. As a result, the analysis load of the traffic analysis device (collector or analyzer) can be reduced. Further, by adding the analysis information of abnormal traffic to the conventional sFlow statistical information, it is possible to expand using the function of the conventional Flow statistical calculation server. Furthermore, according to the present embodiment, it is possible to cope with a network attack newly generated in the future by changing the settings of the packet counter table and the threshold table according to the attack pattern.

本実施例では、処理負荷の小さいアルゴリズムをトラフィック統計分析処理部13に適用し、それをネットワーク制御装置10に内蔵し、ネットワーク制御装置10でトラフィック分析と情報集約を実施すれば、ネットワーク制御装置10のトラフィック解析装置20へ向けてのパケット転送負荷、さらにネットワークの帯域への負荷が小さくできる。   In the present embodiment, an algorithm with a small processing load is applied to the traffic statistical analysis processing unit 13 and incorporated in the network control device 10. When the network control device 10 performs traffic analysis and information aggregation, the network control device 10. The packet transfer load toward the traffic analysis device 20 and the load on the network bandwidth can be reduced.

さらにトラフィック分析を各ネットワーク制御装置10に分散して実施することができるため、トラフィック解析装置20の処理負荷とコストが軽減できる。   Furthermore, since the traffic analysis can be performed by being distributed to each network control device 10, the processing load and cost of the traffic analysis device 20 can be reduced.

次に、第2の実施例について図11を用いて説明する。本実施例のシステム構成は、第1の実施例と同様である。図11は他の実施例の異常フローを検知したフロー統計情報のパケットを説明する図である。   Next, a second embodiment will be described with reference to FIG. The system configuration of this embodiment is the same as that of the first embodiment. FIG. 11 is a diagram for explaining a packet of flow statistical information in which an abnormal flow is detected according to another embodiment.

図11に示すの異常フローを検知したフロー統計情報のパケットは、ネットワーク制御装置10のサンプリング統計処理部121が生成するパケットである。フロー情報パケット60は、MACヘッダ61と、IPヘッダ62と、UDPヘッダ63と、異常フロー検知情報64とから構成される。   11 is a packet generated by the sampling statistics processing unit 121 of the network control device 10. The flow information packet 60 includes a MAC header 61, an IP header 62, a UDP header 63, and abnormal flow detection information 64.

この実施例では、異常フロー検知情報のみトラフィック解析装置20に転送する。したがって、サンプリング統計処理部121の処理が簡単である。   In this embodiment, only abnormal flow detection information is transferred to the traffic analysis device 20. Therefore, the processing of the sampling statistical processing unit 121 is simple.

また、トラフィック異常発生時の、異常通知の発信先はトラフィック解析装置に限らず、より上位のネットワーク監視装置であってもよい。また、通常パケットと同様にネットワークを介して、ネットワーク管理者のPCに通知しても良い。   In addition, when a traffic abnormality occurs, the destination of the abnormality notification is not limited to the traffic analysis device, but may be a higher-level network monitoring device. Moreover, you may notify to a network administrator's PC via a network like a normal packet.

次に第3の実施例について図13及び図14を用いて説明する。図13は、トラフィック解析装置として、RADIUSプロトコル等の認証機能をもつ認証サーバを用いた認証システムを示している。図13に示す認証システムは、複数のPCに接続された複数のネットワークと複数のネットワークに接続されたネットワーク制御装置と認証サーバとで構成される。PCは、ネットワーク制御装置を介して認証サーバで認証される。ネットワーク制御装置は、認証/再認証のタイミングで、該当するPCの異常トラフィック検知情報を認証サーバに送信する。認証サーバは、認証情報を使って認証を行い、異常トラフィック検知情報を使って該当PCのトラフィック制御を行う。   Next, a third embodiment will be described with reference to FIGS. FIG. 13 shows an authentication system using an authentication server having an authentication function such as a RADIUS protocol as a traffic analysis apparatus. The authentication system shown in FIG. 13 includes a plurality of networks connected to a plurality of PCs, a network control device connected to the plurality of networks, and an authentication server. The PC is authenticated by the authentication server via the network control device. The network control device transmits the abnormal traffic detection information of the corresponding PC to the authentication server at the authentication / re-authentication timing. The authentication server performs authentication using the authentication information, and performs traffic control of the corresponding PC using the abnormal traffic detection information.

ネットワーク制御装置と認証サーバ間は、図14に示すようにオリジナルの認証情報に加えて異常トラフィック検知情報が付加されている。   As shown in FIG. 14, abnormal traffic detection information is added between the network control apparatus and the authentication server in addition to the original authentication information.

1…ネットワーク、10…ネットワーク制御装置、11…パケット転送処理部、12…統計情報生成処理部、13…トラフィック統計分析処理部、20…トラフィック解析装置、21…パケット転送処理部、22…統計処理部、23…分析処理部、24…制御情報生成部、30…しきい値テーブル、40…フロー情報パケット、50…制御情報パケット、60…フロー情報パケット、80…異常検知情報テーブル、100…トラフィックのモニタリングシステム、121…サンプリング統計処理部、122…トラフィック異常検知情報生成部、200…パケットカウントテーブル、201…項目数1テーブル、202…項目数2テーブル、203…項目数3テーブル、204…項目数4テーブル。   DESCRIPTION OF SYMBOLS 1 ... Network, 10 ... Network control apparatus, 11 ... Packet transfer process part, 12 ... Statistical information generation process part, 13 ... Traffic statistical analysis process part, 20 ... Traffic analysis apparatus, 21 ... Packet transfer process part, 22 ... Statistical process , 23 ... analysis processing unit, 24 ... control information generation unit, 30 ... threshold value table, 40 ... flow information packet, 50 ... control information packet, 60 ... flow information packet, 80 ... abnormality detection information table, 100 ... traffic Monitoring system 121, sampling statistics processing unit 122, traffic abnormality detection information generation unit 200, packet count table 201, item number 1 table 202, item number 2 table 203, item number 3 table 204, item Formula 4 table.

Claims (6)

ネットワークとトラフィック解析装置との間に配置され、前記ネットワークとの間でパケットの転送を行うネットワーク制御装置であって、
前記パケットが持つ第1のヘッダ情報の組合せに基づいて前記パケットの到達数をカウントする第1のエントリと、前記パケットが持つ第2のヘッダ情報の組合せに基づいて前記パケットの到達数をカウントする第2のエントリとを含むパケットカウントテーブルを備え、
パケットを受信すると、前記受信したパケットのヘッダ情報に基づいて、前記第1のエントリおよび前記第2のエントリを含む複数のエントリにおいてパケット到達数を更新し、
前記トラフィック解析装置が送信した制御情報を受信し、
前記制御情報によって指示されるしきい値と、前記第1のエントリのパケット到達数とを比較し、前記第1のエントリのパケット到着数が前記しきい値を超えている場合、さらに前記第2のエントリを参照することによってトラフィック異常であるか否かを判断し、
前記トラフィック異常であると判断した場合、前記トラフィック異常に関する異常情報を前記トラフィック解析装置に送信することを特徴とするネットワーク制御装置。 A network control device that is arranged between a network and a traffic analysis device and transfers packets to and from the network,
A first entry for counting the number of arrivals of the packet based on a combination of first header information possessed by the packet and a number of arrivals of the packet based on a combination of second header information possessed by the packet A packet count table including a second entry;
When receiving a packet, based on header information of the received packet, update the packet arrival number in a plurality of entries including the first entry and the second entry,
Receiving the control information transmitted by the traffic analysis device;
The threshold value indicated by the control information is compared with the packet arrival number of the first entry. When the packet arrival number of the first entry exceeds the threshold value, the second entry To determine if the traffic is abnormal or not by referring to the entry
If it is determined that the traffic is abnormal, the network control device transmits abnormality information related to the traffic abnormality to the traffic analysis device. 請求項1に記載のネットワーク制御装置であって、
前記制御情報によって前記パケットカウントテーブルの前記到達数をリセットすることを特徴とするネットワーク制御装置。 The network control device according to claim 1,
The network control device, wherein the number of arrivals in the packet count table is reset by the control information. 請求項1または請求項2に記載のネットワーク制御装置であって、
前記異常情報を前記トラフィック解析装置に送信する場合に、前記パケットの一部を重畳したsFlowパケットに前記異常情報を加えた統計情報パケットとして前記トラフィック解析装置に送信することを特徴とするネットワーク制御装置。 The network control device according to claim 1 or 2,
When transmitting the abnormality information to the traffic analysis device, the network control device transmits the statistical information packet obtained by adding the abnormality information to an sFlow packet in which a part of the packet is superimposed to the traffic analysis device. . 請求項1乃至請求項3のいずれかに記載のネットワーク制御装置であって、
前記トラフィック異常とは、DDoSまたはワームであることを特徴とするネットワーク制御装置。 A network control device according to any one of claims 1 to 3,
The traffic abnormality is a DDoS or a worm. 請求項1乃至請求項4のいずれかに記載のネットワーク制御装置であって、
前記受信したパケットは、サンプリング後のパケットであることを特徴とするネットワーク制御装置。 A network control device according to any one of claims 1 to 4,
The network control apparatus, wherein the received packet is a sampled packet. 請求項1乃至請求項5のいずれかに記載のネットワーク制御装置であって、
前記トラフィック解析装置に送信する前記異常情報には、前記トラフィック異常であると判断した際に使用した前記しきい値の情報が含まれることを特徴とするネットワーク制御装置。 A network control device according to any one of claims 1 to 5,
The network control device according to claim 1, wherein the abnormality information transmitted to the traffic analysis device includes information on the threshold used when it is determined that the traffic is abnormal.
JP2010228075A 2005-05-20 2010-10-08 Network control apparatus and control method thereof Expired - Fee Related JP5017440B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010228075A JP5017440B2 (en) 2005-05-20 2010-10-08 Network control apparatus and control method thereof

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2005147948 2005-05-20
JP2005147948 2005-05-20
JP2010228075A JP5017440B2 (en) 2005-05-20 2010-10-08 Network control apparatus and control method thereof

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2006077978A Division JP2006352831A (en) 2005-05-20 2006-03-22 Network controller and method of controlling the same

Publications (2)

Publication Number Publication Date
JP2011035932A true JP2011035932A (en) 2011-02-17
JP5017440B2 JP5017440B2 (en) 2012-09-05

Family

ID=37510437

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010228075A Expired - Fee Related JP5017440B2 (en) 2005-05-20 2010-10-08 Network control apparatus and control method thereof

Country Status (2)

Country Link
JP (1) JP5017440B2 (en)
CN (1) CN1878141A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018101926A (en) * 2016-12-21 2018-06-28 アラクサラネットワークス株式会社 Network device and abnormality detection system
US11102240B2 (en) 2015-11-27 2021-08-24 Alibaba Group Holding Limited Early-warning decision method, node and sub-system
WO2023112175A1 (en) * 2021-12-14 2023-06-22 日本電信電話株式会社 Traffic monitoring device, traffic monitoring method, and program

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8787176B2 (en) * 2009-10-29 2014-07-22 Hewlett-Packard Development Company, L.P. Switch that monitors for fingerprinted packets
JPWO2011155510A1 (en) * 2010-06-08 2013-08-01 日本電気株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, PACKET CAPTURE METHOD, AND PROGRAM
CN103490849A (en) 2012-06-13 2014-01-01 华为技术有限公司 Method and device for analyzing signaling traffic
US9692775B2 (en) * 2013-04-29 2017-06-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and system to dynamically detect traffic anomalies in a network
WO2015194604A1 (en) 2014-06-18 2015-12-23 日本電信電話株式会社 Network system, control apparatus, communication apparatus, communication control method, and communication control program
CN115412431A (en) * 2021-05-10 2022-11-29 瑞昱半导体股份有限公司 Network switch and abnormality detection method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143377A (en) * 1991-11-18 1993-06-11 Hitachi Ltd Alarm informing system
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
JP2001203691A (en) * 2000-01-19 2001-07-27 Nec Corp Network traffic monitor system and monitor method to be used for it
JP2001331390A (en) * 2000-05-22 2001-11-30 Mitsubishi Electric Corp Network managing system
JP2003258903A (en) * 2002-03-04 2003-09-12 Hitachi Ltd Communication line monitor system
JP2004120498A (en) * 2002-09-27 2004-04-15 Nippon Telegr & Teleph Corp <Ntt> System for preventing illegal traffic, server and edge router
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004259146A (en) * 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> Method and system for setting threshold automatically

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05143377A (en) * 1991-11-18 1993-06-11 Hitachi Ltd Alarm informing system
JP2001057554A (en) * 1999-08-17 2001-02-27 Yoshimi Baba Cracker monitor system
JP2001203691A (en) * 2000-01-19 2001-07-27 Nec Corp Network traffic monitor system and monitor method to be used for it
JP2001331390A (en) * 2000-05-22 2001-11-30 Mitsubishi Electric Corp Network managing system
JP2003258903A (en) * 2002-03-04 2003-09-12 Hitachi Ltd Communication line monitor system
JP2004120498A (en) * 2002-09-27 2004-04-15 Nippon Telegr & Teleph Corp <Ntt> System for preventing illegal traffic, server and edge router
JP2004140524A (en) * 2002-10-16 2004-05-13 Sony Corp Method and apparatus for detecting dos attack, and program
JP2004259146A (en) * 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> Method and system for setting threshold automatically

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11102240B2 (en) 2015-11-27 2021-08-24 Alibaba Group Holding Limited Early-warning decision method, node and sub-system
JP2018101926A (en) * 2016-12-21 2018-06-28 アラクサラネットワークス株式会社 Network device and abnormality detection system
WO2023112175A1 (en) * 2021-12-14 2023-06-22 日本電信電話株式会社 Traffic monitoring device, traffic monitoring method, and program

Also Published As

Publication number Publication date
CN1878141A (en) 2006-12-13
JP5017440B2 (en) 2012-09-05

Similar Documents

Publication Publication Date Title
JP2006352831A (en) Network controller and method of controlling the same
JP5017440B2 (en) Network control apparatus and control method thereof
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
EP3570516B1 (en) Malicious attack detection method and apparatus
JP5660198B2 (en) Network system and switching method
JP5717057B2 (en) Network system, controller, switch, and traffic monitoring method
JP4774357B2 (en) Statistical information collection system and statistical information collection device
US7636305B1 (en) Method and apparatus for monitoring network traffic
US8130767B2 (en) Method and apparatus for aggregating network traffic flows
US20060272018A1 (en) Method and apparatus for detecting denial of service attacks
US7876676B2 (en) Network monitoring system and method capable of reducing processing load on network monitoring apparatus
US20070248084A1 (en) Symmetric connection detection
US20090138968A1 (en) Distributed network protection
JP5655191B2 (en) Feature information extraction apparatus, feature information extraction method, and feature information extraction program
Gao et al. A dos resilient flow-level intrusion detection approach for high-speed networks
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
Afaq et al. Large flows detection, marking, and mitigation based on sFlow standard in SDN
JP2007074383A (en) Information system
JP5178573B2 (en) Communication system and communication method
JP2006164038A (en) Method for coping with dos attack or ddos attack, network device and analysis device
JP4246238B2 (en) Traffic information distribution and collection method
Peuhkuri Internet traffic measurements–aims, methodology, and discoveries
Erlacher et al. High performance intrusion detection using HTTP-based payload aggregation
Münz et al. Signature detection in sampled packets

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120611

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150615

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees