JP2015091106A - 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 - Google Patents
通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 Download PDFInfo
- Publication number
- JP2015091106A JP2015091106A JP2013231340A JP2013231340A JP2015091106A JP 2015091106 A JP2015091106 A JP 2015091106A JP 2013231340 A JP2013231340 A JP 2013231340A JP 2013231340 A JP2013231340 A JP 2013231340A JP 2015091106 A JP2015091106 A JP 2015091106A
- Authority
- JP
- Japan
- Prior art keywords
- information
- control
- communication device
- network
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 251
- 238000012544 monitoring process Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 title claims description 21
- 238000012546 transfer Methods 0.000 claims abstract description 122
- 230000002159 abnormal effect Effects 0.000 claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 4
- 230000000116 mitigating effect Effects 0.000 abstract 1
- 230000010365 information processing Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
まず、本実施の形態のネットワークシステムが備える通信装置および制御装置の構成について説明する。図1は、本実施の形態の通信装置の構成例を示す図である。パケットの転送を行う通信装置1は、通信データ転送処理部11と、転送情報監視部12と、制御情報生成部13と、制御情報処理部14と、制御情報解析部15と、転送情報エントリ管理部16と、転送情報エントリテーブル17と、を備える。
Claims (11)
- 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置であって、
自装置で受信するパケットの情報を管理する転送情報エントリテーブルと、
前記転送情報エントリテーブルに基づいて、受信したパケットの転送または廃棄を行う通信データ転送処理手段と、
前記転送情報エントリテーブルに基づいて、パケットの流量増大による異常トラフィックを判定する転送情報監視手段と、
前記異常トラフィックが発生した場合、前記制御装置に対して異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成し、前記制御装置からの回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成する制御情報生成手段と、
前記制御装置または他の通信装置から取得した制御情報に基づいて、前記転送情報エントリテーブルの内容を更新する転送情報エントリ管理手段と、
を備えることを特徴とする通信装置。 - 前記ネットワークの出口端通信装置において、
前記転送情報監視手段が、前記転送情報エントリテーブルに基づいてパケットの流量増大を判定し、
前記制御情報生成手段が、前記制御装置および前記入口端通信装置に対する制御情報を生成する、
ことを特徴とする請求項1に記載の通信装置。 - 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納する、
ことを特徴とする請求項1または2に記載の通信装置。 - 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
前記転送情報監視手段は、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
ことを特徴とする請求項3に記載の通信装置。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置であって、
自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルと、
ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのパケットを示すフロー情報に基づいて、前記通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で管理している対応フロー情報と、を取得する通信経路管理手段と、
前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置に対して送信する制御情報生成送信手段と、
を備えることを特徴とする制御装置。 - 請求項1から4のいずれか1つに記載の通信装置と、
請求項5に記載の制御装置と、
を備えることを特徴とするネットワークシステム。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置のネットワーク監視制御方法であって、
ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
前記制御情報生成手段が、前記制御装置からの回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
を含むことを特徴とする通信装置のネットワーク監視制御方法。 - 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納しており、
前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて、正常トラフィックまたは異常トラフィックを判定する、
ことを特徴とする請求項7に記載の通信装置のネットワーク監視制御方法。 - 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
ことを特徴とする請求項8に記載の通信装置のネットワーク監視制御方法。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置のネットワーク監視制御方法であって、
通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのパケットを示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
を含むことを特徴とする制御装置のネットワーク監視制御方法。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムのネットワーク監視制御方法であって、
ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
前記出口端通信装置において、制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
前記制御装置において、通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのパケットを示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
前記制御装置において、通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
前記出口端通信装置において、前記制御情報生成手段が、前記制御装置からの回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
を含むことを特徴とするネットワーク監視制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013231340A JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013231340A JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015091106A true JP2015091106A (ja) | 2015-05-11 |
JP6324026B2 JP6324026B2 (ja) | 2018-05-16 |
Family
ID=53194436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013231340A Active JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6324026B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3136679A1 (en) | 2015-08-24 | 2017-03-01 | Fujitsu Limited | Method and communication system |
US10097515B2 (en) | 2015-09-28 | 2018-10-09 | Fujitsu Limited | Firewall control device, method and firewall device |
WO2019035634A1 (ko) * | 2017-08-16 | 2019-02-21 | 삼성전자주식회사 | 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법 |
JP2019525528A (ja) * | 2016-07-15 | 2019-09-05 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 攻撃に対する防御のためのネットワークトラフィックの処理 |
US11237858B2 (en) | 2015-12-31 | 2022-02-01 | Huawei Technologies Co., Ltd. | Software-defined data center, and deployment method for service cluster therein |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005005836A (ja) * | 2003-06-10 | 2005-01-06 | Fujitsu Ltd | ネットワーク及びサーバの負荷低減ルータ |
JP2010528542A (ja) * | 2007-05-29 | 2010-08-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ステートレス領域における優先フローの処理 |
WO2013042373A1 (en) * | 2011-09-21 | 2013-03-28 | Nec Corporation | Communication apparatus, control apparatus, communication system, communication control method, communication terminal and program |
WO2013132559A1 (en) * | 2012-03-06 | 2013-09-12 | Nec Corporation | Communication apparatus, control apparatus, communication system, packet processing method, communication apparatus control method, and program |
-
2013
- 2013-11-07 JP JP2013231340A patent/JP6324026B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005005836A (ja) * | 2003-06-10 | 2005-01-06 | Fujitsu Ltd | ネットワーク及びサーバの負荷低減ルータ |
JP2010528542A (ja) * | 2007-05-29 | 2010-08-19 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ステートレス領域における優先フローの処理 |
WO2013042373A1 (en) * | 2011-09-21 | 2013-03-28 | Nec Corporation | Communication apparatus, control apparatus, communication system, communication control method, communication terminal and program |
WO2013132559A1 (en) * | 2012-03-06 | 2013-09-12 | Nec Corporation | Communication apparatus, control apparatus, communication system, packet processing method, communication apparatus control method, and program |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3136679A1 (en) | 2015-08-24 | 2017-03-01 | Fujitsu Limited | Method and communication system |
US10097515B2 (en) | 2015-09-28 | 2018-10-09 | Fujitsu Limited | Firewall control device, method and firewall device |
US11237858B2 (en) | 2015-12-31 | 2022-02-01 | Huawei Technologies Co., Ltd. | Software-defined data center, and deployment method for service cluster therein |
JP2019525528A (ja) * | 2016-07-15 | 2019-09-05 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 攻撃に対する防御のためのネットワークトラフィックの処理 |
US10587637B2 (en) | 2016-07-15 | 2020-03-10 | Alibaba Group Holding Limited | Processing network traffic to defend against attacks |
WO2019035634A1 (ko) * | 2017-08-16 | 2019-02-21 | 삼성전자주식회사 | 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법 |
US11196764B2 (en) | 2017-08-16 | 2021-12-07 | Samsung Electronics Co., Ltd. | Device and method for handling network attacks in software defined network |
Also Published As
Publication number | Publication date |
---|---|
JP6324026B2 (ja) | 2018-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
US8661544B2 (en) | Detecting botnets | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
EP2790382B1 (en) | Protection method and device against attacks | |
JP6324026B2 (ja) | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 | |
CN105721457B (zh) | 基于动态变换的网络安全防御系统和网络安全防御方法 | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
EP3366020B1 (en) | Sdn controller assisted intrusion prevention systems | |
JP2015050767A (ja) | ホワイトリスト基盤のネットワークスイッチ | |
JP2014147120A (ja) | 制御装置、制御方法、及び通信システム | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
US20220174072A1 (en) | Data Processing Method and Device | |
JP6117050B2 (ja) | ネットワーク制御装置 | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
US20130081131A1 (en) | Communication system, communication device, server, and communication method | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
CN102984031A (zh) | 一种使编码设备安全接入监控网络的方法和装置 | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
JP2019125914A (ja) | 通信装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160927 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180410 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6324026 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |