JP2012109905A - Traffic monitoring device and traffic monitoring method - Google Patents

Traffic monitoring device and traffic monitoring method Download PDF

Info

Publication number
JP2012109905A
JP2012109905A JP2010258821A JP2010258821A JP2012109905A JP 2012109905 A JP2012109905 A JP 2012109905A JP 2010258821 A JP2010258821 A JP 2010258821A JP 2010258821 A JP2010258821 A JP 2010258821A JP 2012109905 A JP2012109905 A JP 2012109905A
Authority
JP
Japan
Prior art keywords
traffic
abnormal
abnormal traffic
information
bandwidth control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010258821A
Other languages
Japanese (ja)
Inventor
Masaki Miki
正樹 三木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2010258821A priority Critical patent/JP2012109905A/en
Publication of JP2012109905A publication Critical patent/JP2012109905A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a function of automatically executing the band control of traffic and cancellation with the detection and non-detection of abnormal traffic as a trigger, in a traffic monitoring device connected to a network to which network devices represented by a router and a switch are connected.SOLUTION: The problem can be solved by the traffic monitoring device connected to the network devices including a function of continuously monitoring the network in real time, determining whether or not it is already detected abnormal traffic by referring to abnormal traffic information inside a present device memory when abnormal traffic is detected, and giving an instruction to automatically control the band to the network device when it is not already detected, and including a function of giving an instruction to automatically cancel the control to the network device on the basis of controlled information after the lapse of prescribed time after the abnormal traffic is not detected anymore in the monitoring device.

Description

本発明は、トラフィックモニタ装置およびトラフィックのモニタ方法に係り、特に、検出した異常トラフィックに対し帯域の制御を設定から解除まで実施するトラフィックモニタ装置およびトラフィックのモニタ方法に関する。   The present invention relates to a traffic monitoring device and a traffic monitoring method, and more particularly to a traffic monitoring device and a traffic monitoring method for performing bandwidth control from detected to abnormal traffic from setting to canceling.

多数のユーザがネットワークを介してコンピュータ資源を共用するクラウドコンピューティングでは、瞬間的に過負荷な帯域を使用するバーストトラフィックの発生、特定ユーザによるポート等のスキャン行為やP2P通信等で不正な異常トラフィックがサービスの安定維持において重大な問題となる。そのため、ネットワーク監視を行なうことを目的としてsnmpやNetFlow等の技術が知られている。   In cloud computing where a large number of users share computer resources via a network, burst traffic that instantaneously uses an overloaded bandwidth, illegal traffic that is illegal due to scanning of a port by a specific user, P2P communication, etc. Is a serious problem in maintaining stable service. For this reason, technologies such as snmp and NetFlow are known for the purpose of network monitoring.

特許文献1は、ネットワークに流れるトラフィックを分析し、異常トラフィックと判断されたトラフィックを検出、帯域を制御するシステムが開示されている。   Patent Document 1 discloses a system that analyzes traffic flowing in a network, detects traffic determined to be abnormal traffic, and controls a bandwidth.

特開2006−314077号公報JP 2006-314077 A 特開2008−113409号公報JP 2008-113409 A

特許文献1は、大量のトラフィックの中から不適切なトラフィックを効率よく検出し、該トラフィックの転送を制御するシステムを提供することはできる。しかし、転送を制御されたトラフィックは、手動で解除しなければならない。このため、一時的に不適切と判断されたトラフィックの転送をネットワーク制御装置が制御し続けるという課題があった。   Patent Document 1 can provide a system that efficiently detects inappropriate traffic from a large amount of traffic and controls transfer of the traffic. However, traffic whose transfer is controlled must be released manually. For this reason, there has been a problem that the network control device continues to control the transfer of traffic that is temporarily determined to be inappropriate.

特許文献2は、ユーザごとにコンピュータ・ウィルスやワーム感染した端末に対する制御を行なうことができる。しかし、端末の問題が解消された後、ネットワークに再接続しても中継装置において端末を使用しているユーザの通信を制御し続けるという課題があった。   Japanese Patent Application Laid-Open No. 2004-133830 can control a terminal infected with a computer virus or worm for each user. However, after the problem of the terminal is solved, there is a problem in that the communication of the user who uses the terminal in the relay device continues to be controlled even when reconnected to the network.

本発明は、一時的な異常トラフィックと思われるトラフィックに対しても、帯域を制御し、異常トラフィックが検出されなくなり、異常状態が解除されれば帯域の制御を解除する機能を有するトラフィックモニタ装置を提供する。ルータやスイッチに代表されるネットワーク機器が接続するネットワークに接続されるトラフィックモニタ装置において、異常トラフィックの検知、非検知を契機に該トラフィックの帯域制御および解除の指示を自動的に行なう機能を提供する。   The present invention provides a traffic monitoring device having a function of controlling a bandwidth even for traffic that seems to be temporary abnormal traffic, and detecting the abnormal traffic, and canceling the bandwidth control when the abnormal state is canceled. provide. Provided in a traffic monitoring apparatus connected to a network to which a network device represented by a router or a switch is connected, a function for automatically instructing the bandwidth control and release of the traffic when an abnormal traffic is detected or not detected .

本願は上記課題を解決する手段を複数含んでいる。ネットワーク機器に接続されたトラフィックモニタ装置において、ネットワークをリアルタイムに監視し続け異常トラフィックを検知すれば、自装置メモリ内異常トラフィック情報を参照し、検出済み異常トラフィックであるかを判断し、検出済みでなければ自動的に帯域を制御する指示をネットワーク機器に与える機能を備え、モニタ装置において該当異常トラフィックが検知されなくなり異常状態が解除されれば、制御した情報を基に自動的に制御を解除する指示をネットワーク機器に与える機能を有する。   The present application includes a plurality of means for solving the above problems. If the traffic monitoring device connected to the network device continues to monitor the network in real time and detects abnormal traffic, refer to the abnormal traffic information in its own memory to determine whether it is detected abnormal traffic. If there is not, the network device has a function to automatically give instructions to control the bandwidth. When the abnormal traffic is no longer detected by the monitoring device and the abnormal state is released, the control is automatically released based on the controlled information. It has a function of giving instructions to network devices.

上述した課題は、入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除するトラフィックモニタ装置により、達成できる。   The above-described problem is that a traffic monitoring apparatus that includes an input / output device, a traffic analysis unit, an abnormal traffic detection unit, a memory, and a control unit and is connected to a network device, the abnormal traffic detection unit performs traffic analysis. When the traffic determined to be abnormal is detected among the packets analyzed by the control unit, the control unit determines whether the information has already been detected, and when detected, the control unit detects the abnormal traffic of the memory. When the timer value stored in the information is updated and not detected, the control unit transmits a bandwidth control instruction to the network device, records the implemented bandwidth control information in the memory, and stores the abnormal traffic information. When recording in the memory and the timer value of the abnormal traffic information becomes zero, the control unit, Serial transmits the release of the bandwidth control the network device, by the traffic monitoring device deletes the abnormal traffic information can be achieved.

また、異常トラフィックを検知するステップと、この異常トラフィックを一定期間内に検知済みか判定するステップと、非検知のとき、ネットワーク機器に帯域制御の指示を送信するステップと、実施済み帯域制御情報を記録するステップと、異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法により、達成できる。   In addition, a step of detecting abnormal traffic, a step of determining whether or not the abnormal traffic has been detected within a certain period, a step of transmitting a bandwidth control instruction to the network device when not detected, and the executed bandwidth control information This can be achieved by a traffic monitoring method comprising the steps of recording and updating abnormal traffic information.

本発明によれば、ネットワーク機器に流れる異常トラフィックを検知し、トラフィックの帯域を制御し、異常状態が解除されれば帯域制御の解除をすることができる。   According to the present invention, it is possible to detect abnormal traffic flowing through a network device, control the bandwidth of the traffic, and cancel the bandwidth control when the abnormal state is canceled.

帯域制御システムのハードウェアブロック図である。It is a hardware block diagram of a band control system. トラフィックモニタ装置のハードウェアブロック図である。It is a hardware block diagram of a traffic monitoring device. 異常トラフィック情報テーブルを説明する図である。It is a figure explaining an abnormal traffic information table. 帯域制御情報テーブルを説明する図である。It is a figure explaining a band control information table. 帯域制御指示部の処理を説明するフローチャートである。It is a flowchart explaining the process of a zone | band control instruction | indication part. 帯域制御を解除する処理を説明するフローチャートである。It is a flowchart explaining the process which cancels | releases band control. 異常トラフィック情報テーブルと帯域制御情報テーブルの差分を検出する処理を説明するフローチャートである。It is a flowchart explaining the process which detects the difference of an abnormal traffic information table and a bandwidth control information table.

以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings using examples. The same reference numerals are assigned to substantially the same parts, and the description will not be repeated.

まず、図1を参照して、帯域制御システムの構成を説明する。図1において、帯域制御システム1000は、トラヒックモニタ装置100と、ネットワーク装置700とから、構成される。ネットワーク装置700は、CPU730と、メモリ740と、入出力装置760と、フロー制御部750と、入出力装置770とから構成される。トラフィックモニタ装置100は、入出力装置160を含む。入出力装置760には、ネットワーク500−1が接続されている。また、入出力装置770には、ネットワーク500−2が接続されている。なお、トラフィックモニタ装置100と、ネットワーク機器700とは、図示しない制御線でも接続されている。   First, the configuration of the bandwidth control system will be described with reference to FIG. In FIG. 1, the bandwidth control system 1000 includes a traffic monitor device 100 and a network device 700. The network device 700 includes a CPU 730, a memory 740, an input / output device 760, a flow control unit 750, and an input / output device 770. The traffic monitor device 100 includes an input / output device 160. A network 500-1 is connected to the input / output device 760. The input / output device 770 is connected to a network 500-2. The traffic monitor device 100 and the network device 700 are also connected by a control line (not shown).

トラフィックモニタ装置100は、ネットワーク500−1から受信し、ネットワーク500−2へ送信されるトラフィックを入出力装置760とフロー制御部750の間でモニタする。トラフィックモニタ装置100は、上述したフローに異常を検出したとき、フロー制御部を制御して、帯域に制限を与える。したがって、ネットワーク500−2から受信し、ネットワーク500−1へ送信されるトラフィックについて、トラフィックモニタ装置100は、入出力装置770とフロー制御部750の間でモニタする。   The traffic monitoring device 100 monitors the traffic received from the network 500-1 and transmitted to the network 500-2 between the input / output device 760 and the flow control unit 750. When the traffic monitoring apparatus 100 detects an abnormality in the above-described flow, the traffic monitoring apparatus 100 controls the flow control unit to limit the bandwidth. Therefore, the traffic monitoring device 100 monitors between the input / output device 770 and the flow control unit 750 for traffic received from the network 500-2 and transmitted to the network 500-1.

図2を参照して、ネットワークを監視し、異常トラフィックを検知した場合に、帯域の制御、解除を指示する機能を備えたトラフィックモニタ装置100を説明しよう。図2において、トラフィックモニタ装置100は、内部通信線に接続されたCPU150と、入出力装置160と、トラフィック分析部140と、トラフィック分析部140に接続された異常トラフィック検出部130と、異常トラフィック検出部130に接続されたメモリ120と、メモリ120に接続された制御部110とから構成される。制御部110は、帯域制御指示部111と、帯域制御判断部112とを含む。メモリ120は、異常トラフィック情報テーブル300と、帯域制御情報テーブル400とを記憶している。   With reference to FIG. 2, a traffic monitoring apparatus 100 having a function of instructing control and release of bandwidth when a network is monitored and abnormal traffic is detected will be described. In FIG. 2, the traffic monitoring device 100 includes a CPU 150 connected to an internal communication line, an input / output device 160, a traffic analysis unit 140, an abnormal traffic detection unit 130 connected to the traffic analysis unit 140, and an abnormal traffic detection. The memory 120 is connected to the unit 130, and the control unit 110 is connected to the memory 120. Control unit 110 includes a band control instruction unit 111 and a band control determination unit 112. The memory 120 stores an abnormal traffic information table 300 and a bandwidth control information table 400.

帯域制御指示部111は、トラフィックモニタ装置100によるネットワーク機器700の制御を担う。帯域制御指示部111は、接続されたネットワーク機器に帯域制御を指示する。帯域制御判断部112は、メモリ120内の情報をもとに帯域制御、解除を判断する。入出力装置160は、外部のネットワーク機器700と接続し、監視の対象となるトラフィックを受信する。入出力装置160は、制御部110から指示された帯域制御、解除の情報をネットワーク機器700へ送信する。   The bandwidth control instruction unit 111 controls the network device 700 by the traffic monitor device 100. The bandwidth control instruction unit 111 instructs bandwidth control to the connected network device. The bandwidth control determination unit 112 determines bandwidth control and release based on information in the memory 120. The input / output device 160 is connected to the external network device 700 and receives traffic to be monitored. The input / output device 160 transmits the bandwidth control / release information instructed by the control unit 110 to the network device 700.

帯域制御判断部112は、異常トラフィック情報テーブル300の情報と異常トラフィックとして検出されたパケットを比較する。帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400とを比較し、帯域制御指示部111へ帯域制御、解除を実施するか否かの判断を行なう。帯域制御指示部111は、指示された帯域制御、解除情報を入出力装置160を通してネットワーク機器700へ設定する指示を行なう。   The bandwidth control determination unit 112 compares information in the abnormal traffic information table 300 with a packet detected as abnormal traffic. The bandwidth control determination unit 112 compares the abnormal traffic information table 300 and the bandwidth control information table 400, and determines whether or not to perform bandwidth control and release to the bandwidth control instruction unit 111. The bandwidth control instructing unit 111 instructs the network device 700 to set the instructed bandwidth control / release information through the input / output device 160.

異常トラフィック検出部130は、トラフィック分析部140で分析されたパケットのうち過剰帯域、特定ポートへの複数アドレスからのトラフィックなど異常と判断するトラフィックを検出する。異常トラフィック検出部130は、対象パケットの情報を異常トラフィック情報テーブル300に格納する。   The abnormal traffic detection unit 130 detects traffic that is determined to be abnormal, such as excess bandwidth, traffic from a plurality of addresses to a specific port, among the packets analyzed by the traffic analysis unit 140. The abnormal traffic detection unit 130 stores information on the target packet in the abnormal traffic information table 300.

トラフィック分析部140は、入出力装置160で受信した分析対象トラフィックをリアルタイムに分析する。トラフィック分析部140は、その結果を異常トラフィック検出部130へ送信する。   The traffic analysis unit 140 analyzes the analysis target traffic received by the input / output device 160 in real time. The traffic analysis unit 140 transmits the result to the abnormal traffic detection unit 130.

トラフィックモニタ装置100は、入出力装置160で受信したトラフィックをトラフィック分析部140で分析した結果、異常トラフィック検出部130において異常トラフィックと判断されたトラフィックに対して、異常トラフィック情報テーブル300に格納する。トラフィックモニタ装置100は、該当トラフィックを制御するような帯域制御を実施するための情報を帯域制御情報テーブル400に格納する。制御部110は、格納された異常トラフィックに対し帯域制御を実施するかを判断する。制御部110は、必要に応じてネットワーク機器700に帯域制御、解除を実施する。   The traffic monitoring device 100 stores the traffic received by the input / output device 160 in the abnormal traffic information table 300 for the traffic determined by the abnormal traffic detection unit 130 as a result of the analysis by the traffic analysis unit 140. The traffic monitoring device 100 stores information for performing bandwidth control for controlling the corresponding traffic in the bandwidth control information table 400. The control unit 110 determines whether to perform bandwidth control on the stored abnormal traffic. The control unit 110 performs bandwidth control and release on the network device 700 as necessary.

図3を参照して、異常トラフィック情報テーブル300を説明する。図3において、異常トラフィック情報テーブル300は、No.302と、送信元IPアドレス(送信IP)303と、送信先IPアドレス(宛先IP)304と、送信元MACアドレス(送信MAC)305と、送信先MACアドレス(宛先MAC)306と、VLAN ID307と、Timer値(Timer)308とから構成される。異常トラフィック情報テーブル300の送信元IPアドレス303〜VLAN ID307は、トラフィックを特定する。Timer値308は、設定された初期値から、ゼロになるまで時々刻々減算し続ける。CPU150は、Timer値308がゼロになったとき、該当のレコードの送信元IPアドレス303〜Timer値308をクリアする。なお、トラフィックを特定する他の情報は、後述する。   The abnormal traffic information table 300 will be described with reference to FIG. In FIG. 3, the abnormal traffic information table 300 includes No. 302, a transmission source IP address (transmission IP) 303, a transmission destination IP address (destination IP) 304, a transmission source MAC address (transmission MAC) 305, and a transmission. A destination MAC address (destination MAC) 306, a VLAN ID 307, and a timer value (Timer) 308 are configured. The source IP address 303 to VLAN ID 307 of the abnormal traffic information table 300 specify traffic. The Timer value 308 is continuously subtracted from the set initial value until it reaches zero. When the Timer value 308 becomes zero, the CPU 150 clears the transmission source IP address 303 to the Timer value 308 of the corresponding record. Other information specifying the traffic will be described later.

図4を参照して、帯域制御情報テーブル400を説明する。図4において、帯域制御情報テーブル400は、No.402と、帯域制御情報403とから構成されている。帯域制御情報403は、ネットワーク機器700への帯域制御指示内容である。   The bandwidth control information table 400 will be described with reference to FIG. 4, the bandwidth control information table 400 includes No. 402 and bandwidth control information 403. The bandwidth control information 403 is a bandwidth control instruction content to the network device 700.

図5を参照して、トラフィックモニタ装置100の動作を、説明する。図5において、入出力装置160で受信したトラフィックについて、トラフィック分析部140は、分析を行なう。   The operation of the traffic monitoring device 100 will be described with reference to FIG. In FIG. 5, the traffic analysis unit 140 analyzes the traffic received by the input / output device 160.

異常トラフィック検出部130は、異常トラフィックを検出待つ(S201)。異常トラフィックを検出したとき、帯域制御判断部112は、該トラフィック情報が異常トラフィック情報テーブル300に格納済みか判定を行なう(S202)。異常トラフィックが異常トラフィック情報テーブル300に格納されていないとき(NO)、トラフィックを制御するために帯域制御指示部111は、入出力装置160を通し、ネットワーク機器700に帯域制御の指示を行なう(S203)。制御部110は、帯域制御指示部111がネットワーク機器700に指示した帯域制御情報を帯域制御情報テーブル400に格納する(S204)。制御部110は、IPアドレス、MACアドレス、VLAN等のパケットのヘッダ部分から取得可能な情報と共に時間の経過と共に減少するTimer値308を初期値として異常トラフィック情報テーブル300にデータを格納して(S205)、ステップ201に遷移する。   The abnormal traffic detection unit 130 waits for detection of abnormal traffic (S201). When the abnormal traffic is detected, the bandwidth control determination unit 112 determines whether the traffic information has been stored in the abnormal traffic information table 300 (S202). When abnormal traffic is not stored in the abnormal traffic information table 300 (NO), in order to control the traffic, the bandwidth control instructing unit 111 instructs the network device 700 to perform bandwidth control through the input / output device 160 (S203). ). The control unit 110 stores the bandwidth control information instructed to the network device 700 by the bandwidth control instruction unit 111 in the bandwidth control information table 400 (S204). The control unit 110 stores the data in the abnormal traffic information table 300 by using, as an initial value, a Timer value 308 that decreases with the elapse of time together with information that can be acquired from the header portion of the packet such as an IP address, a MAC address, and a VLAN (S205). ), Transition to step 201.

ここで、Timmer値308は、全異常トラフィックに対して一律の数値を用いてもよいが、異常トラフィックの種類(瞬間的な極大帯域使用、特定ユーザによるスキャン、P2P通信等)により、任意に設定してもよい。   Here, the Timer value 308 may be a uniform numerical value for all abnormal traffic, but is arbitrarily set depending on the type of abnormal traffic (instantaneous maximum bandwidth use, scanning by a specific user, P2P communication, etc.). May be.

ステップ202でYESのとき、帯域制御判断部112は、ステップ205に遷移する。このとき、制御部110は、異常トラフィック情報テーブル300の該トラフィック情報を更新する処理を行なう。この際の処理は、Timer値308の初期値の更新でありその他情報は更新しない。   When YES in step 202, the bandwidth control determination unit 112 transitions to step 205. At this time, the control unit 110 performs processing for updating the traffic information in the abnormal traffic information table 300. The processing at this time is updating the initial value of the Timer value 308, and other information is not updated.

なお、検出済みか否かを判断する情報は、IPアドレス、MACアドレス、VLAN等のL3ヘッダ以下の情報が完全に一致する必要は必ずしもない。すなわち、接続されたネットワーク機器の特性に従いキーとなる情報を限定することもできる。さらには、L3ヘッダ以下の情報に限定するものではなく、L4ヘッダ以上の情報をキーとし、特定ポートへ攻撃を検知することもできる。また、検出したパケットの先頭から指定のバイト数分(具体的には、先頭から24バイトから36バイト)をキーとすることもできる。   It should be noted that the information for determining whether or not it has been detected does not necessarily need to completely match the information below the L3 header such as the IP address, MAC address, and VLAN. That is, the key information can be limited according to the characteristics of the connected network device. Furthermore, the information is not limited to information below the L3 header, and an attack on a specific port can be detected using information above the L4 header as a key. Further, a specified number of bytes from the head of the detected packet (specifically, 24 bytes to 36 bytes from the head) can be used as a key.

ここで、異常トラフィック情報テーブル300の更新処理について説明する。異常トラフィック情報テーブル300は、格納された異常トラフィック毎に時間経過とともに減少するTimer値308を備えている。異常トラフィックが検出され、該異常トラフィックが既に異常トラフィック情報として登録されている場合、この異常トラフィックは、対策済みであると判断する。すなわち、トラフィックモニタ装置100は、帯域制御を行なうステップと帯域制御情報テーブル400に該異常トラフィック情報を格納するステップをスキップする。トラフィックモニタ装置100は、ステップ205で、新たな異常トラフィック情報の追記ではなく、Timer値308をデフォルトとして設定された値への更新のみを行なう。   Here, the update process of the abnormal traffic information table 300 will be described. The abnormal traffic information table 300 includes a timer value 308 that decreases with time for each stored abnormal traffic. When abnormal traffic is detected and the abnormal traffic has already been registered as abnormal traffic information, it is determined that the abnormal traffic has been treated. That is, the traffic monitoring apparatus 100 skips the step of performing bandwidth control and the step of storing the abnormal traffic information in the bandwidth control information table 400. In step 205, the traffic monitoring apparatus 100 does not add new abnormal traffic information, but only updates the timer value 308 to a value set as a default.

検出済異常トラフィックがトラフィックモニタ装置100の異常トラフィック検出部130で検出され続ける限り、Timer値308は、更新され続ける。しかし、異常トラフィックが検出されなくなり、Timer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除する。   As long as the detected abnormal traffic continues to be detected by the abnormal traffic detection unit 130 of the traffic monitoring apparatus 100, the Timer value 308 is continuously updated. However, when the abnormal traffic is not detected and the Timer value 308 decreases with time and becomes 0, the traffic monitoring device 100 deletes the abnormal traffic information from the abnormal traffic information table 300.

図6を参照して、帯域制御判断部112による帯域制御の解除について説明する。図6において、帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400に差分があるか、一定の間隔毎に比較する(S501)。この間隔は使用者が自由に設定することが可能である。差があるとき、帯域制御判断部112は、差分の帯域制御情報に基づいて解除を実施する(S502)。帯域制御判断部112は、対象帯域制御情報テーブル400の対象レコードを削除して(S503)、終了する。ステップ501でNOのとき、帯域制御判断部112は、そのまま終了する。   With reference to FIG. 6, the cancellation of the band control by the band control determination unit 112 will be described. In FIG. 6, the bandwidth control determination unit 112 compares the abnormal traffic information table 300 and the bandwidth control information table 400 to see if there is a difference at regular intervals (S501). This interval can be freely set by the user. When there is a difference, the bandwidth control determination unit 112 performs release based on the bandwidth control information of the difference (S502). The bandwidth control determination unit 112 deletes the target record in the target bandwidth control information table 400 (S503), and the process ends. If NO in step 501, the bandwidth control determination unit 112 ends as it is.

なお、ステップ501で差分が発生するのは、異常トラフィック情報テーブル300のTimer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除するためである。   Note that the difference occurs in step 501 when the Timer value 308 of the abnormal traffic information table 300 decreases with time and becomes 0, the traffic monitoring apparatus 100 determines that the abnormal traffic information is in the abnormal traffic information table. This is because it is deleted from 300.

図7を参照して、異常トラフィック情報テーブル300と帯域制御情報テーブル400の更新処理を説明する。図7において、帯域制御判断部112は、異常トラフィック情報テーブル300に格納されている異常トラフィック情報の総数および帯域制御情報テーブル400に格納されている帯域制御情報の総数をカウントする(S601)。帯域制御判断部112は、総数とNo数に差分があるか確認する(S602)。差分があるとき(YES)、帯域制御判断部112は、各テーブルに格納されているデータのNo.302、402を紐付けて比較し、空白レコードを抽出する(S603)。帯域制御判断部112は、異常トラフィック情報テーブル300および帯域制御情報テーブル400のNo.302、402の順序を保つためにそれぞれのNo情報を更新し、空白レコードをテーブル300、400の最後尾にくるよう設定して(S604)、終了する。ステップ602でNOのとき、帯域制御判断部112は、そのまま終了する。   With reference to FIG. 7, the update process of the abnormal traffic information table 300 and the bandwidth control information table 400 will be described. In FIG. 7, the bandwidth control determination unit 112 counts the total number of abnormal traffic information stored in the abnormal traffic information table 300 and the total number of bandwidth control information stored in the bandwidth control information table 400 (S601). The bandwidth control determination unit 112 checks whether there is a difference between the total number and the No number (S602). When there is a difference (YES), the bandwidth control determination unit 112 compares the data Nos. 302 and 402 stored in each table and compares them, and extracts a blank record (S603). The bandwidth control determination unit 112 updates the respective No information in order to maintain the order of Nos. 302 and 402 in the abnormal traffic information table 300 and the bandwidth control information table 400, and a blank record is placed at the end of the tables 300 and 400. (S604) and the process ends. When NO in step 602, the bandwidth control determination unit 112 ends as it is.

なお、新規に異常トラフィックを格納する際は現在の異常トラフィック情報テーブル300の最老番にプラス1したNo.を付与し、帯域制御情報テーブル400には前述異常トラフィックテーブル300のNo.302と紐付け可能な数値を付与し格納することとする。   In addition, when newly storing abnormal traffic, No. 1 is added to the oldest number of the current abnormal traffic information table 300, and the bandwidth control information table 400 is associated with No. 302 of the abnormal traffic table 300. A value that can be attached is assigned and stored.

なお、帯域制御情報テーブル400に格納するNo.402は、異常トラフィック情報テーブル300に付与したNo.302と同様の数値であってもよい。紐付けが可能であれば、数値に限定する必要もない。   Note that No. 402 stored in the bandwidth control information table 400 may be the same numerical value as No. 302 assigned to the abnormal traffic information table 300. There is no need to limit the number as long as it can be linked.

本実施例によれば、ネットワーク機器700で検出された異常トラフィックに対し、リアルタイムで帯域を制御し、検出されなくなれば解除することができる。本実施例のトラフィックモニタ装置によれば、ネットワーク全体の安定性を確保すると共に、ネットワーク機器700のリソースを有効活用することができる。   According to the present embodiment, the bandwidth can be controlled in real time with respect to abnormal traffic detected by the network device 700, and can be canceled if it is not detected. According to the traffic monitoring apparatus of the present embodiment, the stability of the entire network can be ensured and the resources of the network device 700 can be effectively utilized.

本実施例によれば、手動で行なっていたネットワーク管理にかかる負担を軽減できる。また、不正なアクセスを遮断できることにより、ネットワーク全体の安全性、信頼性を向上することができる。さらに、ネットワーク機器の限られたリソースを無駄にすることなくネットワーク機器における収容効率の向上を見込むことができる。   According to the present embodiment, it is possible to reduce the burden on network management that has been performed manually. In addition, since unauthorized access can be blocked, the safety and reliability of the entire network can be improved. Furthermore, it is possible to expect improvement in accommodation efficiency in the network device without wasting the limited resources of the network device.

100…トラフィックモニタ装置、110…制御部、111…帯域制御指示部、112…帯域制御判断部、120…メモリ、130…異常トラフィック検出部、140…トラフィック分析部、150…CPU、160…入出力装置、300…異常トラフィック情報テーブル、400…帯域制御情報テーブル、1000…帯域制御システム。   DESCRIPTION OF SYMBOLS 100 ... Traffic monitoring apparatus, 110 ... Control part, 111 ... Band control instruction part, 112 ... Band control judgment part, 120 ... Memory, 130 ... Abnormal traffic detection part, 140 ... Traffic analysis part, 150 ... CPU, 160 ... Input / output 300, abnormal traffic information table, 400, bandwidth control information table, 1000, bandwidth control system.

Claims (6)

入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、
前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、
検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、
非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、
前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除することを特徴とするトラフィックモニタ装置。 In a traffic monitoring device that includes an input / output device, a traffic analysis unit, an abnormal traffic detection unit, a memory, and a control unit and is connected to a network device,
When the abnormal traffic detection unit detects traffic determined to be abnormal among the packets analyzed by the traffic analysis unit, the control unit determines whether the information has already been detected,
When detected, the control unit updates the timer value stored in the abnormal traffic information of the memory,
When not detected, the control unit transmits a bandwidth control instruction to the network device, records the implemented bandwidth control information in the memory, records the abnormal traffic information in the memory,
When the timer value of the abnormal traffic information becomes zero, the control unit transmits cancellation of bandwidth control to the network device and deletes the abnormal traffic information. 請求項1に記載のトラフィックモニタ装置であって、
前記異常トラヒック情報は、異常トラフィックの送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、前記タイマー値とからなることを特徴とするトラフィックモニタ装置。 The traffic monitoring device according to claim 1,
The traffic monitoring apparatus, wherein the abnormal traffic information includes a source IP address, a destination IP address, a source MAC address, a destination MAC address, and the timer value of abnormal traffic. 請求項1に記載のトラフィックモニタ装置であって、
前記制御部は、異常トラフィック情報を削除したとき、該当する前記実施済み帯域制御情報を削除することを特徴とするトラフィックモニタ装置。 The traffic monitoring device according to claim 1,
When the abnormal traffic information is deleted, the control unit deletes the corresponding implemented bandwidth control information. 異常トラフィックを検知するステップと、
この異常トラフィックを一定期間内に検知済みか判定するステップと、
非検知のとき、
ネットワーク機器に帯域制御の指示を送信するステップと、
実施済み帯域制御情報を記録するステップと、
異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法。 Detecting anomalous traffic;
Determining whether this abnormal traffic has been detected within a certain period of time;
When not detected
Sending a bandwidth control instruction to the network device;
Recording performed bandwidth control information;
A method of monitoring traffic, comprising the step of updating abnormal traffic information. 請求項4に記載のトラフィックのモニタ方法であって、
検知済みのとき、前記更新するステップは、タイマー値の後身であることを特徴とするトラフィックのモニタ方法。 The traffic monitoring method according to claim 4, comprising:
The traffic monitoring method, wherein, when detected, the updating step is a successor of a timer value. 請求項5に記載のトラフィックのモニタ方法であって、
前記タイマー値がゼロになったとき、
前記ネットワーク機器に帯域制御の解除を送信するステップと、
前記異常トラフィック情報を削除するステップと、を実施することを特徴とするトラフィックのモニタ方法。 The traffic monitoring method according to claim 5, comprising:
When the timer value becomes zero,
Sending a release of bandwidth control to the network device;
And a step of deleting the abnormal traffic information.
JP2010258821A 2010-11-19 2010-11-19 Traffic monitoring device and traffic monitoring method Pending JP2012109905A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010258821A JP2012109905A (en) 2010-11-19 2010-11-19 Traffic monitoring device and traffic monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010258821A JP2012109905A (en) 2010-11-19 2010-11-19 Traffic monitoring device and traffic monitoring method

Publications (1)

Publication Number Publication Date
JP2012109905A true JP2012109905A (en) 2012-06-07

Family

ID=46495019

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010258821A Pending JP2012109905A (en) 2010-11-19 2010-11-19 Traffic monitoring device and traffic monitoring method

Country Status (1)

Country Link
JP (1) JP2012109905A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008113409A (en) * 2006-10-04 2008-05-15 Alaxala Networks Corp Traffic control system and management server

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008113409A (en) * 2006-10-04 2008-05-15 Alaxala Networks Corp Traffic control system and management server

Similar Documents

Publication Publication Date Title
US9276852B2 (en) Communication system, forwarding node, received packet process method, and program
JP4547340B2 (en) Traffic control method, apparatus and system
JP6186655B2 (en) Malicious attack detection method and apparatus
US20150128246A1 (en) Methods and apparatus for redirecting attacks on a network
JP6387195B2 (en) Communication apparatus, system, and method
CN108737447B (en) User datagram protocol flow filtering method, device, server and storage medium
US10893030B2 (en) Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
US11121918B2 (en) Intelligent network management device and method of managing network
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
KR101712168B1 (en) Method for controling packet-in message, switch and controller thereof
US20170005937A1 (en) Flow control device, communication system, control method for flow control device, and program
CN102546587B (en) Prevent gateway system Session Resources by the method that maliciously exhausts and device
US20150312143A1 (en) Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program
US20150334032A1 (en) Control apparatus, communication system, communication node control method, and program
JP2006067078A (en) Network system and attack defense method
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
JP2012109905A (en) Traffic monitoring device and traffic monitoring method
JP2019125914A (en) Communication device and program
JP2008211690A (en) Network control method
JP2008060865A (en) Traffic analysis/control system
JP2008206115A (en) Method for controlling network
KR20210066432A (en) Method for detecting and mitigating interest flooding attack through collaboration between edge routers in Named Data Networking(NDN)
JP6441721B2 (en) Control device, control method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131011

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131022

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140311