JP2012044281A - セキュリティ装置及びフロー特定方法 - Google Patents
セキュリティ装置及びフロー特定方法 Download PDFInfo
- Publication number
- JP2012044281A JP2012044281A JP2010181332A JP2010181332A JP2012044281A JP 2012044281 A JP2012044281 A JP 2012044281A JP 2010181332 A JP2010181332 A JP 2010181332A JP 2010181332 A JP2010181332 A JP 2010181332A JP 2012044281 A JP2012044281 A JP 2012044281A
- Authority
- JP
- Japan
- Prior art keywords
- flow
- packets
- analysis process
- packet
- predetermined analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワークセキュリティプラットフォーム向けにマルチコアプロセッサを適用した場合において、攻撃フローを構成しないパケットへの悪影響と、フローを特定する精度の低下とを回避する。
【解決手段】複数のコアプロセッサを有し、サーバへ送信されてきた複数のパケットを複数のコアプロセッサのいずれかに振り分けて所定の解析処理を実行することによって攻撃フローを特定するセキュリティ装置において、複数のコアプロセッサのそれぞれは、当該コアプロセッサの負荷に応じて所定の解析処理を実行するパケットの割合を制限するかを決定し、制限された場合、所定の解析処理が実行されなかったパケットの割合に基づいた推定により、攻撃フローを特定し、また、サーバから送信されたパケットへの応答メッセージを含むパケットに対する所定の解析処理の実行結果に基づき、攻撃フローとして特定されなかったフローを特定する。
【選択図】図3
【解決手段】複数のコアプロセッサを有し、サーバへ送信されてきた複数のパケットを複数のコアプロセッサのいずれかに振り分けて所定の解析処理を実行することによって攻撃フローを特定するセキュリティ装置において、複数のコアプロセッサのそれぞれは、当該コアプロセッサの負荷に応じて所定の解析処理を実行するパケットの割合を制限するかを決定し、制限された場合、所定の解析処理が実行されなかったパケットの割合に基づいた推定により、攻撃フローを特定し、また、サーバから送信されたパケットへの応答メッセージを含むパケットに対する所定の解析処理の実行結果に基づき、攻撃フローとして特定されなかったフローを特定する。
【選択図】図3
Description
本発明は、受信した複数のパケットのそれぞれを解析することにより、攻撃に基づくフローを特定するセキュリティ装置及びフロー特定方法に関する。
ネットワーク上のSIP(Session Initiation Protocol)サーバをパケットの送信による攻撃から防御するセキュリティ装置は、SIPサーバへ送信されてきたパケットを解析するマルチレイヤ処理を実行することにより、攻撃に基づくフローである攻撃フローを特定する。そして、セキュリティ装置は、特定した攻撃フローを構成するパケットを一定時間廃棄したり、帯域を制御したりする対策を実行する。これにより、ネットワーク上のSIPサーバが攻撃から防御される。
マルチレイヤ処理では、SIPサーバへ送信されてきたパケットに含まれるマルチレイヤフィールド(5tuple情報(IPパケットの宛先IPアドレス、送信元IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル)、SIPシグナリング情報(SIPメッセージのSIP Method、Header FieldのFromTo、及び、呼を一意に識別するCall−ID)等)の識別が行われ、識別されたフィールドの組み合わせが一致するパケットが監視される。
そして、セキュリティ装置は、マルチレイヤ処理の実行結果に基づき、例えば識別されたフィールドの組合せが一致するパケットが一定時間以上継続するようなフローを攻撃フローとして特定する。
また、セキュリティ装置は、マルチレイヤ処理の実行結果に基づき、相互に異なる通信相手や電話番号の数を送信元の端末毎に計測する。これにより、短時間に多くの新たな端末と通信をすることを意図した情報を含むパケットから構成されるフローを攻撃フローとして特定することも可能である(例えば、特許文献1参照。)。なお、短時間に多くの新たな端末と通信をすることを意図した情報を含むパケットから構成されるフローとは、機械的不完了呼(いわゆるワンギリ)や、電話番号スキャン等のフローである。電話番号スキャンとは、実際に使用されている電話番号を調べることを目的とした攻撃の1つである。
一方、近年、消費電力を増やさずに高性能を実現できるマルチコアプロセッサが注目されている。マルチコアプロセッサを用いることにより、複数のコアプロセッサで並列処理を行うことができ、演算能力の向上を実現できる。そのため、マルチコアプロセッサをネットワークプラットフォームに適用することが期待されている。
マルチコアプロセッサをネットワークプラットフォームに適用した場合、上述した5tuple情報や、5tuple情報を用いてハッシュ演算を行ったハッシュ値に基づき、複数のコアプロセッサのいずれかへ複数のパケットのそれぞれを振り分けることができる。これにより、1つのフローを構成する複数のパケットを1つのコアプロセッサで処理することが可能となる。従って、負荷の分散、パケットの順序の維持、及び、キャッシュミスヒット率の低減を同時に実現でき、性能の向上が期待できる。
ここで、ネットワーク上の端末等を攻撃から防御するためのネットワークセキュリティプラットフォームにマルチコアプロセッサを適用した場合を考えてみる。この場合、パケットの送信による攻撃を受けると、上述した振り分けによって特定のコアプロセッサに偏ってパケットが振り分けられてしまう可能性が高い。その結果、特定のコアプロセッサの負荷が高くなる。
高負荷となったコアプロセッサでは、負荷のかかるマルチレイヤ処理を実行することができなくなり、フローを特定する精度が低下してしまうという問題点がある。
また、攻撃フローを構成しないパケットが、高負荷となったコアプロセッサに振り分けられた場合、キュー溢れによる悪影響がそのパケットに及んでしまうという問題点がある。
本発明は、ネットワークセキュリティプラットフォーム向けにマルチコアプロセッサを適用した場合において、攻撃フローを構成しないパケットへの悪影響と、フローを特定する精度の低下とを回避することができるセキュリティ装置及びフロー特定方法を提供することを目的とする。
上記目的を達成するために本発明のセキュリティ装置は、複数のコアプロセッサを有し、ネットワークを介してサーバへ送信されてきた複数のパケットを、該複数のパケットのそれぞれを識別する識別情報に基づいて前記複数のコアプロセッサのいずれかに振り分け、前記複数のコアプロセッサのそれぞれが前記振り分けられたパケットに対して所定の解析処理を実行することにより、当該振り分けられたパケットから構成されるフローのうち、前記ネットワークを介した攻撃に基づくパケットから構成される攻撃フローを特定するセキュリティ装置において、
前記複数のコアプロセッサのそれぞれは、
当該コアプロセッサの負荷を計測または推定する負荷監視部と、
前記計測または推定された負荷に基づき、前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング部と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定部と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定部にて前記攻撃フローとして特定されなかったフローを特定する応答メッセージ解析部と、を有する。
前記複数のコアプロセッサのそれぞれは、
当該コアプロセッサの負荷を計測または推定する負荷監視部と、
前記計測または推定された負荷に基づき、前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング部と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定部と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定部にて前記攻撃フローとして特定されなかったフローを特定する応答メッセージ解析部と、を有する。
また、上記目的を達成するために本発明のフロー特定方法は、複数のコアプロセッサを有し、ネットワークを介してサーバへ送信されてきた複数のパケットを、該複数のパケットのそれぞれを識別する識別情報に基づいて前記複数のコアプロセッサのいずれかに振り分け、前記複数のコアプロセッサのそれぞれが前記振り分けられたパケットに対して所定の解析処理を実行することにより、当該振り分けられたパケットから構成されるフローのうち、前記ネットワークを介した攻撃に基づくパケットから構成される攻撃フローを特定するセキュリティ装置におけるフロー特定方法であって、
前記複数のコアプロセッサのそれぞれの負荷を計測または推定する負荷監視処理と、
前記計測または推定された負荷に基づき、前記複数のコアプロセッサのそれぞれにおいて前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング処理と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定処理と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定処理において前記攻撃フローとして特定されなかったフローを特定する処理と、を有する。
前記複数のコアプロセッサのそれぞれの負荷を計測または推定する負荷監視処理と、
前記計測または推定された負荷に基づき、前記複数のコアプロセッサのそれぞれにおいて前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング処理と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定処理と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定処理において前記攻撃フローとして特定されなかったフローを特定する処理と、を有する。
本発明は以上説明したように構成されているので、ネットワークセキュリティプラットフォーム向けにマルチコアプロセッサを適用した場合において、攻撃フローを構成しないパケットへの悪影響と、フローを特定する精度の低下とを回避することができる。
以下に、本発明の実施の形態について図面を参照して説明する。
図1は、本発明のセキュリティ装置を適用した通信システムの実施の一形態の構成を示すブロック図である。
本実施形態の通信システムは図1に示すように、セキュリティ装置10と、セキュリティ装置10に接続されたSIPサーバ20と、ネットワーク100を介してセキュリティ装置10に接続された端末30−1〜30−nとを備えている。
端末30−1〜30−nは、IP電話による通信を行うためのSIPメッセージを含む複数のパケットのそれぞれをセキュリティ装置10を介してSIPサーバ20と送受信する。SIPメッセージは例えば、IP電話による通信を開始するためのINVITEリクエストである。
セキュリティ装置10は、端末30−1〜30−nからSIPサーバ20へ送信されてきたSIPメッセージを含む複数のパケットのそれぞれを受信する。そして、セキュリティ装置10は、所定の解析処理であるマルチレイヤ処理を、受信した複数のパケットのそれぞれに対して実行する。なお、マルチレイヤ処理では、受信した複数のパケットのそれぞれのマルチレイヤフィールドが識別され、識別されたフィールドの組み合わせが一致するパケットが監視される。そして、セキュリティ装置10は、マルチレイヤ処理の実行結果に基づき、受信したパケットから構成されるフローのうち攻撃に基づくフローである攻撃フローを特定する。そして、セキュリティ装置10は、特定した攻撃フローを構成するパケットを一定時間廃棄したり、帯域を制御したりする対策を実行する。これにより、SIPサーバ20が攻撃から防御される。
なお、攻撃フローを特定することには例えば、その攻撃フローを構成するパケットに含まれるIPアドレスや電話番号等を特定することが含まれる。
また、攻撃フローとは例えば、極めて多数のパケットから構成され、全体のトラヒック量のうちの大部分を占める少数のフローや、短時間に多くの新たな端末と通信をすることを意図した情報を含むパケットから構成されるフローである。極めて多数のパケットから構成され、全体のトラヒック量の大部分を占める少数のフローは、エレファントフローと呼ばれている。エレファントフローは、例えばDoS(Denial of Service)攻撃等によって発生する。また、短時間に多くの新たな端末と通信をすることを意図した情報を含むパケットから構成されるフローとは例えば、機械的不完了呼や電話番号スキャンのフローである。
図2は、図1に示したセキュリティ装置10の一構成例を示すブロック図である。
図1に示したセキュリティ装置10は図2に示すように、複数のコアプロセッサ11−1〜11−nと、振分部12と、コアプロセッサ11−1〜11−nのそれぞれに対応付けられたキュー13−1〜13−nと、対策部14と、対策部14に対応付けられたキュー15と、送信処理部16とを備えている。
振分部12は、端末30−1〜30−nからSIPサーバ20へ送信されてきたSIPメッセージを含む複数のパケットのそれぞれを受信する。そして、振分部12は、受信した複数のパケットのそれぞれに含まれる5tuple情報を抽出する。そして、振分部12は、識別情報である抽出した5tuple情報、または、抽出した5tuple情報を用いてハッシュ演算を行った識別情報であるハッシュ値に基づき、コアプロセッサ11−1〜11−nの中から、受信した複数のパケットのそれぞれの振分先を決定する。そして、振分部12は、キュー13−1〜13−nのうち、振分先となるコアプロセッサに対応するキューに、受信した複数のパケットのそれぞれを蓄積させる。
コアプロセッサ11−1〜11−nのそれぞれは、振り分けられたパケットに対してマルチレイヤ処理を実行する。そして、コアプロセッサ11−1〜11−nのそれぞれは、マルチレイヤ処理を実行したパケットをキュー15に蓄積させる。なお、コアプロセッサ11−1〜11−nの構成の詳細については後述する。
対策部14は、キュー15に蓄積されたパケットを取得する。そして、対策部14は、コアプロセッサ11−1〜11−nによるマルチレイヤ処理の結果に基づき、攻撃フローを特定する。対策部14は例えば、エレファントフローを特定する。また、対策部14は、コアプロセッサ11−1〜11−nによるマルチレイヤ処理の結果に基づき、相互に異なる通信相手や宛先電話番号の数を送信元の端末毎に計測する。これにより、機械的不完了呼や電話番号スキャン等の攻撃フローを特定する。そして、対策部14は、特定した攻撃フローを構成するパケットを一定時間破棄したり、当該攻撃フローの帯域を制御したりする対策を実行する。また、対策部14は、取得したパケットのうち対策の対象とならないフローを構成するパケットを送信処理部16へ出力する。
送信処理部16は、対策部14から出力されたパケットを受け付け、受け付けたパケットをSIPサーバ20へ送信する。
次に、図2に示したコアプロセッサ11−1〜11−nの構成の詳細について説明する。
図3は、図2に示したコアプロセッサ11−1の一構成例を示すブロック図である。なお、コアプロセッサ11−2〜11−nも同様の構成である。
図2に示したコアプロセッサ11−1は図3に示すように、負荷監視部11aと、スケジューリング部11bと、処理実行部11cと、フロー推定部11dと、応答メッセージ解析部11eと、入出力部11fとを備えている。
負荷監視部11aは、コアプロセッサ11−1の負荷を計測または推定する。そして、計測または推定された負荷を示す値をスケジューリング部11bへ出力する。なお、負荷監視部11aは例えば、コアプロセッサ11−1に対応するキュー13−1に蓄積されたパケットの数に応じた待ち行列の長さに基づき、コアプロセッサ11−1の負荷を計測または推定する。
スケジューリング部11bは、負荷監視部11aから出力された値を受け付ける。そして、受け付けた値が予め決められた閾値以上である場合、受け付けた値を含み、マルチレイヤ処理を実行するパケットの割合を制限するための制限指示を処理実行部11cへ出力する。また、スケジューリング部11bは、受け付けた値が予め決められた閾値以上である場合、フロー推定部11d及び応答メッセージ解析部11eにおける動作を開始させるための開始指示をフロー推定部11d及び応答メッセージ解析部11eへ出力する。
処理実行部11cは、コアプロセッサ11−1に対応するキュー13−1に蓄積されたパケットを入出力部11fを介して取得し、取得したパケットに対してマルチレイヤ処理を実行する。そして、処理実行部11cは、マルチレイヤ処理が実行されたパケットを入出力部11fを介してキュー15に蓄積させる。なお、処理実行部11cは、スケジューリング部11bから出力された制限指示を受け付けた場合、マルチレイヤ処理を実行するパケットの割合を制限する。具体的には、処理実行部11cは、受け付けた制限指示に含まれる値に応じ、または、確率的に、取得したパケットのサンプリングを行う。そして、処理実行部11cは、サンプリングされたパケットに対してだけマルチレイヤ処理を実行する。
フロー推定部11dは、スケジューリング部11bから出力された開始指示を受け付けると、コアプロセッサ11−1に振り分けられたパケットのうち所定の割合以上のパケットから構成されるフローを推定する。具体的には、フロー推定部11dは、コアプロセッサ11−1に振り分けられたパケットのうち、マルチレイヤ処理を実行されなかったパケットの割合と、処理実行部11cにおけるマルチレイヤ処理の実行結果に基づき、統計的手法を用いてこのようなフローを推定する。そして、フロー推定部11dは、推定されたフローを攻撃フローであるエレファントフローとして特定する。マルチレイヤ処理の実行が制限された場合、マルチレイヤ処理が実行されたパケットの数(サンプリング数)は、フローレートに比例する。そのため、フロー推定部11dは、統計的手法を用いることによってエレファントフローを高精度で特定することができる。
応答メッセージ解析部11eは、スケジューリング部11bから出力された開始指示を受け付けると、攻撃フローのうちフロー推定部11dにて特定されなかった攻撃フローを特定する。なお、フロー推定部11dにて特定されない攻撃フローとは例えば、機械的不完了呼や電話番号スキャン等、短時間に多くの新たな端末と通信をすることを意図した情報が含まれるパケットから構成される攻撃フローである。
機械的不完了呼や電話番号スキャン等の攻撃フローは、個々のサイズが小さい。そのため、このような攻撃フローを構成するパケットは、マルチレイヤ処理の実行が制限された場合、処理実行部11cにてサンプリングされる確率が低い。フローを構成するパケットが1つもサンプリングされない場合、フロー推定部11dにおける統計的手法では、そのフローを高精度で特定することが困難となる。
図4は、図3に示した応答メッセージ解析部11eが攻撃フローを特定する動作を説明するためシーケンス図である。なお、図4は、図1に示した通信システムにおいて、攻撃者が端末30−1を用いて端末30−2〜30−nに対して機械的不完了呼を発生させた場合のシーケンスを示している。
まず、端末30−1は、攻撃者からの操作に従い、端末30−2〜30−nの数の分だけのINVITEリクエストをSIPサーバ20へ送信する。
端末30−1から送信されたINVITEリクエストをSIPサーバ20を介して受信した端末30−2〜30−nは、180RingingをSIPサーバ20を介して端末30−1へ送信する。なお、180Ringingは、呼出中であることを示すメッセージである。
端末30−2〜30−nのそれぞれから送信された複数の応答メッセージ(180Ringing等)のそれぞれは、送信元IPアドレスが相互に異なる。そのため、振分部12は、相互に異なる複数のコアプロセッサのそれぞれに複数の応答メッセージのそれぞれを振り分ける。
すなわち、機械的不完了呼の場合、攻撃者が用いる端末30−1から送信されたINVITEリクエストを含む複数のパケットは全て、送信元IPアドレスが同じである。そのため、これらの複数のパケットは、コアプロセッサ11−1〜11−nのうち特定のコアプロセッサに振り分けられる。
一方、SIPサーバ20から送信されたINVITEリクエストに対する応答メッセージ(180Ringing等)を含む複数のパケットのそれぞれは、送信元IPアドレスが相互に異なる。そのため、これらの複数のパケットは、コアプロセッサ11−1〜11−nのうち、相互に異なる複数のコアプロセッサのそれぞれに振り分けられる。この場合、特定のコアプロセッサの負荷が高くならず、処理実行部11cにおけるマルチレイヤ処理の実行が制限されることがない。
従って、応答メッセージ解析部11eは、SIPサーバ20から送信されたSIPメッセージの応答メッセージに対するマルチレイヤ処理の実行結果に基づき、フロー推定部11dにおいて高精度で特定することが困難であったフローを特定することができる。具体的には応答メッセージ解析部11eは、SIPサーバ20から送信されたSIPメッセージの応答メッセージを含むパケットに対するマルチレイヤ処理の実行結果に基づき、相互に異なる通信相手や宛先電話番号の数を送信元の端末毎に計測する。これにより、機械的不完了呼や電話番号スキャン等の攻撃フローを特定することができる。
なお、SIPメッセージの状態遷移情報を利用すれば、複数の端末からの応答メッセージが180Ringingである場合、その複数の端末のそれぞれが攻撃者の端末からINVITEリクエストを受信したことを判別できる。
以下に、上記のように構成されたセキュリティ装置10の動作について説明する。なお、ここでは、受信した複数のパケットのそれぞれのコアプロセッサ11−1〜11−nへの振り分けが行われているときの動作について説明する。
図5は、図1〜図4に示したセキュリティ装置10の動作を説明するためのフローチャートである。
負荷監視部11aは、当該コアプロセッサの負荷を計測または推定する(ステップS1)。
次に、負荷監視部11aは、計測または推定した負荷を示す値をスケジューリング部11bへ出力する。
負荷監視部11aから出力された値を受け付けたスケジューリング部11bは、受け付けた値が予め決められた閾値以上かどうかを判定する(ステップS2)。
ステップS2における判定の結果、受け付けた値が予め決められた閾値以上である場合、スケジューリング部11bは、受け付けた値を含む制限指示を処理実行部11cへ出力し、フロー推定部11d及び応答メッセージ解析部11eへ開始指示を出力する。
スケジューリング部11bから出力された制限指示を受け付けた処理実行部11cは、受け付けた制限指示に含まれる値に応じ、または、確率的に、取得したパケットのサンプリングを行う。
そして、処理実行部11cは、サンプリングされたパケットに対してだけマルチレイヤ処理を実行する(ステップS3)。
また、スケジューリング部11bから送信された開始指示を受け付けたフロー推定部11dは、コアプロセッサ11−1に振り分けられたパケットのうち所定の割合以上のパケットから構成されるフローを推定し、推定されたフローを攻撃フローであるエレファントフローとして特定する(ステップS4)。
また、スケジューリング部11bから送信された開始指示を受け付けた応答メッセージ解析部11eは、SIPサーバ20から送信されたSIPメッセージの応答メッセージを含むパケットに対して実行されたマルチレイヤ処理の実行結果に基づき、機械的不完了呼や電話番号スキャン等の攻撃フローを特定する(ステップS5)。
次に、対策部14は、ステップS4及びステップS5において特定された攻撃フローを構成するパケットを一定時間破棄したり、当該攻撃フローの帯域を制御したりする対策を実行する(ステップS6)。
ここで、ステップS2における判定の結果、受け付けた値が予め決められた閾値以上でない場合、スケジューリング部11bは、制限指示及び開始指示を出力しない。
従って、処理実行部11cは、対応するキューから取得した全てのパケットに対してマルチレイヤ処理を実行する(ステップS7)。
次に、対策部14は、処理実行部11cにおけるマルチレイヤ処理の実行結果に基づき、攻撃フローを特定する。
そして、対策部14は、特定した攻撃フローを構成するパケットを一定時間破棄したり、当該攻撃フローの帯域を制御したりする対策を実行する(ステップS8)。
なお、上述した動作は、セキュリティ装置10が稼働している間、繰り返し行われる。
このように本実施形態においてセキュリティ装置10は、コアプロセッサ11−1〜11−nのそれぞれの負荷を計測または推定し、計測または推定された負荷に基づき、コアプロセッサ11−1〜11−nのそれぞれにおいてマルチレイヤ処理を実行する割合を制限するかどうかを決定する。
そして、セキュリティ装置10は、マルチレイヤ処理の実行が制限された場合、振り分けられたパケットのうちマルチレイヤ処理が実行されなかったパケットの割合と、マルチレイヤ処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、推定されたフローを攻撃フローとして特定する。
また、セキュリティ装置10は、マルチレイヤ処理の実行が制限された場合、SIPサーバ20から送信されたパケットへの応答メッセージを含むパケットに対するマルチレイヤ処理の実行結果に基づき、攻撃フローとして特定されなかったフローを特定する。
これにより、ネットワークセキュリティプラットフォーム向けにマルチコアプロセッサを適用した場合において、攻撃フローを構成しないパケットへの悪影響と、フローを特定する精度の低下とを回避することができる。
なお、振分部12が、複数のハッシュ関数、及び、ハッシュ値とカウンタのテーブルとを複数のハッシュ関数毎に備え、複数のハッシュ関数のうちコアプロセッサ11−1〜11−nの負荷を最もバランスよく分散できるハッシュ関数を選択できるようにしてもよい。
10 セキュリティ装置
11−1〜11−n コアプロセッサ
11a 負荷監視部
11b スケジューリング部
11c 処理実行部
11d フロー推定部
11e 応答メッセージ解析部
11f 入出力部
12 振分部
13−1〜13−n,15 キュー
14 対策部
16 送信処理部
20 SIPサーバ
30−1〜30−n 端末
100 ネットワーク
11−1〜11−n コアプロセッサ
11a 負荷監視部
11b スケジューリング部
11c 処理実行部
11d フロー推定部
11e 応答メッセージ解析部
11f 入出力部
12 振分部
13−1〜13−n,15 キュー
14 対策部
16 送信処理部
20 SIPサーバ
30−1〜30−n 端末
100 ネットワーク
Claims (8)
- 複数のコアプロセッサを有し、ネットワークを介してサーバへ送信されてきた複数のパケットを、該複数のパケットのそれぞれを識別する識別情報に基づいて前記複数のコアプロセッサのいずれかに振り分け、前記複数のコアプロセッサのそれぞれが前記振り分けられたパケットに対して所定の解析処理を実行することにより、当該振り分けられたパケットから構成されるフローのうち、前記ネットワークを介した攻撃に基づくパケットから構成される攻撃フローを特定するセキュリティ装置において、
前記複数のコアプロセッサのそれぞれは、
当該コアプロセッサの負荷を計測または推定する負荷監視部と、
前記計測または推定された負荷に基づき、前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング部と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定部と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定部にて前記攻撃フローとして特定されなかったフローを特定する応答メッセージ解析部と、を有するセキュリティ装置。 - 請求項1に記載のセキュリティ装置において、
前記負荷監視部は、当該コアプロセッサに振り分けられたパケットの待ち行列の長さに基づいて当該コアプロセッサの負荷を計測または推定するセキュリティ装置。 - 請求項1または請求項2に記載のセキュリティ装置において、
前記スケジューリング部は、前記計測または推定された負荷を示す値が、予め決められた閾値以上である場合に、前記所定の解析処理を実行するパケットの割合を制限するセキュリティ装置。 - 請求項1乃至3のいずれか1項に記載のセキュリティ装置において、
前記識別情報は、前記受信した複数のパケットのそれぞれに含まれる5tuple情報、または、当該5tuple情報を用いてハッシュ演算を行ったハッシュ値であるセキュリティ装置。 - 複数のコアプロセッサを有し、ネットワークを介してサーバへ送信されてきた複数のパケットを、該複数のパケットのそれぞれを識別する識別情報に基づいて前記複数のコアプロセッサのいずれかに振り分け、前記複数のコアプロセッサのそれぞれが前記振り分けられたパケットに対して所定の解析処理を実行することにより、当該振り分けられたパケットから構成されるフローのうち、前記ネットワークを介した攻撃に基づくパケットから構成される攻撃フローを特定するセキュリティ装置におけるフロー特定方法であって、
前記複数のコアプロセッサのそれぞれの負荷を計測または推定する負荷監視処理と、
前記計測または推定された負荷に基づき、前記複数のコアプロセッサのそれぞれにおいて前記所定の解析処理を実行するパケットの割合を制限するかどうかを決定するスケジューリング処理と、
前記所定の解析処理の実行が制限された場合、前記振り分けられたパケットのうち前記所定の解析処理が実行されなかったパケットの割合と、前記所定の解析処理の実行結果とに基づき、当該振り分けられたパケットのうちの所定の割合以上のパケットから構成されるフローを推定し、該推定されたフローを前記攻撃フローとして特定するフロー推定処理と、
前記所定の解析処理の実行が制限された場合、前記サーバから送信されたパケットへの応答メッセージを含むパケットに対する前記所定の解析処理の実行結果に基づき、前記フロー推定処理において前記攻撃フローとして特定されなかったフローを特定する処理と、を有するフロー特定方法。 - 請求項5に記載のフロー特定方法において、
前記負荷監視処理は、前記複数のコアプロセッサのそれぞれに振り分けられたパケットの待ち行列の長さに基づいて当該コアプロセッサの負荷を計測または推定する処理であるフロー特定方法。 - 請求項5または請求項6に記載のフロー特定方法において、
前記スケジューリング処理は、前記計測または推定された負荷を示す値が、予め決められた閾値以上である場合に、前記所定の解析処理を実行するパケットの割合を制限する処理であるフロー特定方法。 - 請求項5乃至7のいずれか1項に記載のフロー特定方法において、
前記識別情報は、前記受信した複数のパケットのそれぞれに含まれる5tuple情報、または、当該5tuple情報を用いてハッシュ演算を行ったハッシュ値であるフロー特定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010181332A JP5405414B2 (ja) | 2010-08-13 | 2010-08-13 | セキュリティ装置及びフロー特定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010181332A JP5405414B2 (ja) | 2010-08-13 | 2010-08-13 | セキュリティ装置及びフロー特定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012044281A true JP2012044281A (ja) | 2012-03-01 |
| JP5405414B2 JP5405414B2 (ja) | 2014-02-05 |
Family
ID=45900126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010181332A Expired - Fee Related JP5405414B2 (ja) | 2010-08-13 | 2010-08-13 | セキュリティ装置及びフロー特定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5405414B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| KR101648034B1 (ko) * | 2015-04-21 | 2016-08-19 | 한국과학기술원 | 복수의 코어를 구비한 침입 탐지장치 및 그를 이용한 패킷 처리방법 |
| JP2021527879A (ja) * | 2018-06-12 | 2021-10-14 | 日本電気株式会社 | 情報収集システム、情報収集方法、及びプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006100874A (ja) * | 2004-09-28 | 2006-04-13 | Nippon Telegr & Teleph Corp <Ntt> | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
| WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
| WO2009096029A1 (ja) * | 2008-01-31 | 2009-08-06 | Fujitsu Limited | パケット処理装置およびパケット処理プログラム |
-
2010
- 2010-08-13 JP JP2010181332A patent/JP5405414B2/ja not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006100874A (ja) * | 2004-09-28 | 2006-04-13 | Nippon Telegr & Teleph Corp <Ntt> | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ |
| WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
| WO2009096029A1 (ja) * | 2008-01-31 | 2009-08-06 | Fujitsu Limited | パケット処理装置およびパケット処理プログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016039491A1 (ko) * | 2014-09-11 | 2016-03-17 | 주식회사 코닉글로리 | 패킷과 시그니처 기반의 침입 탐지 장치 및 침입 탐지 방법 |
| KR101648034B1 (ko) * | 2015-04-21 | 2016-08-19 | 한국과학기술원 | 복수의 코어를 구비한 침입 탐지장치 및 그를 이용한 패킷 처리방법 |
| JP2021527879A (ja) * | 2018-06-12 | 2021-10-14 | 日本電気株式会社 | 情報収集システム、情報収集方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5405414B2 (ja) | 2014-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111801915B (zh) | 用于在多径场景中对数据分组进行高效重新排序的技术 | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
| KR20070080177A (ko) | 네트워크에서의 혼잡 발생 예고 시스템 및 방법 | |
| JP2015057931A (ja) | ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム | |
| US10868839B2 (en) | Method and system for upload optimization | |
| JP6014932B2 (ja) | ネットワーク装置、性能制御方法及びネットワークシステム | |
| JP5405414B2 (ja) | セキュリティ装置及びフロー特定方法 | |
| US10547560B1 (en) | Monitoring network communications queues | |
| Shirali-Shahreza et al. | Empowering software defined network controller with packet-level information | |
| JP6982250B2 (ja) | パケット転送装置、方法、及びプログラム | |
| Wan et al. | A SIP DoS flooding attack defense mechanism based on priority class queue | |
| EP4199427A1 (en) | Ai-supported network telemetry using data processing unit | |
| Dassouki et al. | Protecting from Cloud-based SIP flooding attacks by leveraging temporal and structural fingerprints | |
| JP5008337B2 (ja) | コール制御サーバおよびその方法 | |
| US11811834B2 (en) | Lawfully intercepting traffic and providing the traffic to a content destination based on content destination availabilities and priorities | |
| RU2728948C1 (ru) | Способ скорейшего обнаружения момента возникновения перегрузки пуассоновского IP телетрафика | |
| US20170244638A1 (en) | Control apparatus, control method and control system | |
| CN112822120B (zh) | 一种实现拥塞控制的方法、装置和系统 | |
| KR20130093843A (ko) | 다중 프로세서 기반의 패킷 처리 장치 및 그 방법 | |
| US8000237B1 (en) | Method and apparatus to provide minimum resource sharing without buffering requests | |
| Wu et al. | Security inspection resource allocation in real time using SDN | |
| GB2494756A (en) | Scheduling of packets at cellular base stations | |
| JP7396368B2 (ja) | 方法、システム及び変換装置 | |
| KR101392479B1 (ko) | 네트워크 장비의 로드 밸런싱 시스템 및 그 로드 밸런싱 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120831 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20130304 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130605 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130716 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131030 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5405414 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |