JP2016187094A - 制御装置及び制御方法 - Google Patents
制御装置及び制御方法 Download PDFInfo
- Publication number
- JP2016187094A JP2016187094A JP2015066230A JP2015066230A JP2016187094A JP 2016187094 A JP2016187094 A JP 2016187094A JP 2015066230 A JP2015066230 A JP 2015066230A JP 2015066230 A JP2015066230 A JP 2015066230A JP 2016187094 A JP2016187094 A JP 2016187094A
- Authority
- JP
- Japan
- Prior art keywords
- security device
- network
- ips
- signature
- company
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title description 53
- 238000001514 detection method Methods 0.000 claims description 57
- 238000012546 transfer Methods 0.000 claims description 33
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 abstract description 10
- 230000008569 process Effects 0.000 description 44
- 238000012545 processing Methods 0.000 description 19
- 230000004048 modification Effects 0.000 description 12
- 238000012986 modification Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000013468 resource allocation Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- BCGWQEUPMDMJNV-UHFFFAOYSA-N imipramine Chemical compound C1CC2=CC=CC=C2N(CCCN(C)C)C2=CC=CC=C21 BCGWQEUPMDMJNV-UHFFFAOYSA-N 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000011218 segmentation Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 238000002361 inverse photoelectron spectroscopy Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101001011446 Homo sapiens Interferon regulatory factor 6 Proteins 0.000 description 1
- 102100030130 Interferon regulatory factor 6 Human genes 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
1−1.マルチテナントシステム100の構成
図1は、本発明の一実施形態に係るマルチテナントシステム100の構成の一例を示す図である。このマルチテナントシステム100は、クラウドコンピューティングにより、複数の利用者に1つのシステムを共有させるシステムである。リソースの共有レベルに応じて、IaaS、PaaS(Platform as a Service)、SaaS(Software as a Service)といった利用形態があるが、本実施形態ではIaaSが想定されている。ここで、IaaSとは、情報システムの稼動に必要な機材や回線などの基盤をインターネット上のサービスとして遠隔から利用できるようにしたもの、または、そのようなサービスや事業モデルのことである。
OFS4は、OpenFlow仕様に準拠した伝送装置(又は中継装置、転送装置)であって、ハードウェアで行われるパケット伝送処理を行う伝送装置である。OFS4は、通信ケーブルが接続される複数のポート(接続口)を備え、いずれかのポートを介して他の機器と接続される。なおここで、OpenFlowとは、通信ネットワークを構成するネットワーク機器を1つの制御装置で集中管理し、複雑な転送制御を行ったり柔軟にネットワーク構成を変更したりすることができる技術である。このOpenFlowでは、これまで1つのネットワーク機器の内部に同居していた経路制御の機能とデータ転送の機能をそれぞれ別の機器に分離し、OpenFlowコントローラと呼ばれる制御装置が複数の転送装置(OpenFlowスイッチ)の振る舞いを一括して管理する。
IPS5は、複数の検知ルールを参照してテナントNW7に対する不正侵入を検知するセキュリティ機器である。より具体的には、IPS5は、不正侵入を識別する方法を定義するシグネチャを予め記憶しておき、受信したパケットをシグネチャとマッチング(照合)することにより不正侵入を検知する。
OFC6は、OpenFlow仕様に準拠した制御装置であって、複数のOFS4の振る舞いを一括して管理する制御装置である。OFC6は、OFS4により構成されるネットワークにおけるデータ転送の経路計算を行って、計算した経路に沿ってデータ転送が行われるように各OFS4を制御する。
OFC6の動作について説明する。具体的には、分割要否判断処理と、分割処理と、マージ要否判断処理と、マージ処理とについて説明する。
図3は、分割要否判断処理の一例を示すフローチャートである。同図に示される処理において分割要否判断部64は、まず、シグネチャテーブル61を参照して、IPS5のシグネチャの項目数が分割要否判断用上限値を超えているか否かについて判断する(ステップSa1)。この判断の結果、IPS5のシグネチャの項目数が分割要否判断用上限値を超えている場合には(ステップSa1;YES)、分割要否判断部64は、分割部65に対して分割指示を出力して(ステップSa3)、本処理を終了する。一方、この判断の結果、IPS5のシグネチャの項目数が分割要否判断用上限値を超えていない場合には(ステップSa1;NO)、分割要否判断部64はステップSa2を実行する。
図5は、分割処理の一例を示すフローチャートである。図6は、分割処理の一例を説明する説明図である。これらの図に示される分割処理は、分割要否判断部64から分割部65に対して分割指示が出力されると実行される。この分割処理において生成部651は、IPS5で動作する仮想マシン上にIPS5Aのインスタンスを生成するようIPS5に指示する(ステップSb1)。
以上が、分割処理についての説明である。
図7は、マージ要否判断処理の一例を示すフローチャートである。同図に示される処理においてマージ要否判断部66は、まず、シグネチャテーブル61を参照して、IPS5のシグネチャの項目数とIPS5Aのシグネチャの項目数の合計がマージ要否判断用下限値より小さいか否かについて判断する(ステップSc1)。この判断の結果、両シグネチャの項目数の合計がマージ要否判断用下限値より小さい場合には(ステップSc1;YES)、マージ要否判断部66はステップSc2を実行する。一方、この判断の結果、両シグネチャの項目数の合計がマージ要否判断用下限値以上である場合には(ステップSc1;NO)、マージ要否判断部66は、マージは不要であると判断し、本処理を終了する。
図8は、マージ処理の一例を示すフローチャートである。図9は、マージ処理の一例を説明する説明図である。これらの図に示されるマージ処理は、マージ要否判断部66からマージ部67に対してマージ指示が出力されると実行される。このマージ処理において第2ルール設定部672は、シグネチャテーブル61を参照して、IPS5Aに設定されているB社テナントNW7B向けのシグネチャをIPS5に再設定する(ステップSd1)。
以上が、マージ処理についての説明である。
なお、以上説明したマージ処理の例では、IPS5Aを削除して、IPS5AのシグネチャをIPS5に再設定するようにしたが、逆に、IPS5の方を削除して、IPS5Aの方にIPS5のシグネチャを設定するようにしてもよい。
また、本実施形態に係るマルチテナントシステム100によれば、パケットの通過量がIPS5の処理量を超えた場合に、IPS5Aにより処理を補完することができる。
上記の実施形態は、以下に示すように変形してもよい。また、以下の変形例は互いに組み合わせてもよい。
上記の実施形態に係る分割処理においてIPS5を分割する際、IPS5とIPS5Aに割り当てるリソース(計算機資源)を、A社テナントNW7A向けパケットとB社テナントNW7B向けパケットの発生比に基づいて決定してもよい。これは、A社テナントNW7A向けパケットとB社テナントNW7B向けパケットの発生比が例えば100:1のように著しく大きい場合、IPS5とIPS5Aとに等しいリソースを割り当てることは非効率だからである。
上記の実施形態では、シグネチャベースのセキュリティ機器の例としてIPS5が使用されているが、IPS5に代えてIDSやWAF(Web Application Firewall)が使用されてもよい。
上記の実施形態に分割処理の例では、IPS5が2つに分割されているが、分割数は2に限られず、3以上に分割されてもよい。この際、分割数は、分割されるIPS5にシグネチャが記憶されているテナントNW7の数に応じて決定されてもよい。同様に、上記の実施形態に係るマージ処理の例では、2つのIPS5が1つにマージされているが、3以上のIPS5が1つにマージされてもよい。
上記の実施形態に係る分割要否判断処理において、ステップSa1及びSa2に加えて又は代えて、分割要否判断部64は、A社テナントNW7A向けシグネチャの項目数とB社テナントNW7B向けシグネチャの項目数の比率が所定の閾値を超えるか否かを判断してもよい。そして、当該比率が所定の閾値を超えた場合に、分割部65に対して分割指示を出力するようにしてもよい。また、当該判断の結果が肯定的となった結果、分割部65により分割処理が実行された場合に、項目数の多いシグネチャを、性能の高いIPS5に割り当てるようにしてもよい。例えば、上記の実施形態に係る分割処理において、B社テナントNW7B向けシグネチャの項目数の方がA社テナントNW7A向けシグネチャの項目数よりも多い場合には、生成部651は、IPS5よりもスループットの高いIPS5Aを生成して、第1ルール設定部652は、このIPS5AにB社テナントNW7B向けシグネチャを設定するようにしてもよい。
上記の実施形態では、OFC6に、分割要否判断部64と、分割部65と、マージ要否判断部66と、マージ部67の各機能を備えさせているが、これらの機能は、OFC6とは異なる他の制御装置に備えさせてもよい。その場合、当該制御装置に備えられる第1更新部653は、OFS4A及び4Bのフローエントリを更新する際、当該更新をOFC6に指示してもよい。同様に、当該制御装置に備えられる第2更新部673は、OFS4A及び4Bのフローエントリを更新する際、当該更新をOFC6に指示してもよい。
上記の実施形態に係る分割処理では、IPS5で動作する仮想マシン上にIPS5Aのインスタンスが生成されているが、このIPS5Aのインスタンスは、IPS5とは異なる他のIPS5Bで動作する仮想マシン上に生成されてもよい。そして、当該IPS5B上に生成されたIPS5AとIPS5との間でシグネチャが分割されてもよい。
上記の実施形態に係るOFS4及びOFC6は、OpenFlow仕様に準拠するものとなっているが、SDNを実現するものであれば他のプロトコルに準拠するものであってもよい。
上記の実施形態又は変形例においてOFC6において実行されるプログラムは、コンピュータ装置が読み取り可能な記録媒体を介して提供されてもよい。ここで、記録媒体とは、例えば、磁気テープや磁気ディスクなどの磁気記録媒体や、光ディスクなどの光記録媒体や、光磁気記録媒体や、半導体メモリ等である。また、このプログラムは、インターネット等のネットワークを介して提供されてもよい。
Claims (8)
- 第1ネットワークのために固有に設定された第1検知ルールと、前記第1ネットワークとは異なる第2ネットワークのために固有に設定された第2検知ルールを参照して不正侵入を検知する第1セキュリティ機器において所定の第1条件が満たされた場合に、前記第1セキュリティ機器とは異なる仮想化された第2セキュリティ機器を生成する生成部と、
前記第1及び第2検知ルールのうち前記第2検知ルールを前記第1セキュリティ機器による参照対象から削除するとともに、前記第2検知ルールを前記第2セキュリティ機器による参照対象として設定する第1ルール設定部と、
前記第1セキュリティ機器と直接的又は間接的に接続され、転送制御情報に基づいてパケットを転送する転送装置によって前記第1ネットワーク宛てのパケットと前記第2ネットワーク宛てのパケットとが前記第1セキュリティ機器に転送されている場合に、前記第2ネットワーク宛てのパケットが前記第2セキュリティ機器に転送されるように前記転送制御情報を更新する第1更新部と
を備える制御装置。 - 前記第1セキュリティ機器は、前記第1及び第2検知ルールに加えて、前記第1ネットワークと前記第2ネットワークのために共通に設定された第3検知ルールを参照して不正侵入を検知し、
前記第1ルール設定部は、前記第2検知ルールに加えて前記第3検知ルールを前記第2セキュリティ機器による参照対象として設定する
ことを特徴とする請求項1に記載の制御装置。 - 前記第1条件は、前記複数の検知ルールの中で矛盾が発生することであることを特徴とする請求項1又は2に記載の制御装置。
- 前記第1条件は、前記複数の検知ルールの数が所定の閾値を超えることであることを特徴とする請求項1又は2に記載の制御装置。
- 前記第1条件は、前記第1検知ルールの数と前記第2検知ルールの数の比率が所定の閾値を超えることであることを特徴とする請求項1又は2に記載の制御装置。
- 前記生成部は、前記第2検知ルールの数の方が前記第1検知ルールの数よりも多い場合に、前記第1セキュリティ機器よりもスループットが高い前記第2セキュリティ機器を生成することを特徴とする請求項5に記載の制御装置。
- 前記第1検知ルールと前記第2検知ルールとが所定の第2条件を満たすようになった場合に、前記第2セキュリティ機器を削除する削除部と、
前記第2セキュリティ機器が削除される場合に、前記第2検知ルールを前記第1ネットワークによる参照対象として再設定する第2ルール設定部と、
前記第2セキュリティ機器が削除される場合に、前記第2ネットワーク宛てのパケットが前記第1セキュリティ機器に転送されるように前記転送制御情報を更新する第2更新部と
をさらに備えることを特徴とする請求項1乃至6のいずれか1項に記載の制御装置。 - 第1ネットワークのために固有に設定された第1検知ルールと、前記第1ネットワークとは異なる第2ネットワークのために固有に設定された第2検知ルールを参照して不正侵入を検知する第1セキュリティ機器において所定の第1条件が満たされた場合に、前記第1セキュリティ機器とは異なる仮想化された第2セキュリティ機器を生成するステップと、
前記第1検知ルール及び第2検知ルールのうち前記第2検知ルールを前記第1セキュリティ機器による参照対象から削除するとともに、前記第2検知ルールを前記第2セキュリティ機器による参照対象として設定するステップと、
前記第1セキュリティ機器と直接的又は間接的に接続され、転送制御情報に基づいてパケットを転送する転送装置によって前記第1ネットワーク宛てのパケットと前記第2ネットワーク宛てのパケットとが前記第1セキュリティ機器に転送されている場合に、前記第2ネットワーク宛てのパケットが前記第2セキュリティ機器に転送されるように前記転送制御情報を更新するステップと
を備える制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015066230A JP6476034B2 (ja) | 2015-03-27 | 2015-03-27 | 制御装置及び制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015066230A JP6476034B2 (ja) | 2015-03-27 | 2015-03-27 | 制御装置及び制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016187094A true JP2016187094A (ja) | 2016-10-27 |
JP6476034B2 JP6476034B2 (ja) | 2019-02-27 |
Family
ID=57203366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015066230A Active JP6476034B2 (ja) | 2015-03-27 | 2015-03-27 | 制御装置及び制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6476034B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013125342A1 (ja) * | 2012-02-20 | 2013-08-29 | 日本電気株式会社 | ネットワークシステム、リソース使用率改善方法 |
WO2013145780A1 (en) * | 2012-03-30 | 2013-10-03 | Nec Corporation | Communication system, control apparatus, communication apparatus, communication control method, and program |
US20130275592A1 (en) * | 2012-04-11 | 2013-10-17 | Meng Xu | Adaptive session forwarding following virtual machine migration detection |
US20140307553A1 (en) * | 2013-04-13 | 2014-10-16 | Hei Tao Fung | Network traffic load balancing |
-
2015
- 2015-03-27 JP JP2015066230A patent/JP6476034B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013125342A1 (ja) * | 2012-02-20 | 2013-08-29 | 日本電気株式会社 | ネットワークシステム、リソース使用率改善方法 |
WO2013145780A1 (en) * | 2012-03-30 | 2013-10-03 | Nec Corporation | Communication system, control apparatus, communication apparatus, communication control method, and program |
US20130275592A1 (en) * | 2012-04-11 | 2013-10-17 | Meng Xu | Adaptive session forwarding following virtual machine migration detection |
US20140307553A1 (en) * | 2013-04-13 | 2014-10-16 | Hei Tao Fung | Network traffic load balancing |
Also Published As
Publication number | Publication date |
---|---|
JP6476034B2 (ja) | 2019-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10623284B2 (en) | Determining a reputation of a network entity | |
US9654395B2 (en) | SDN-based service chaining system | |
US9667653B2 (en) | Context-aware network service policy management | |
US10693899B2 (en) | Traffic enforcement in containerized environments | |
KR100998418B1 (ko) | 가상 네트워크 작동 방법, 데이터 네트워크 시스템 및 컴퓨터 판독 가능한 매체 | |
US20210377270A1 (en) | Methods And Systems For Dynamic Creation Of Access Control Lists | |
CN108259226B (zh) | 网络接口设备管理方法与装置 | |
US9060013B2 (en) | Network system, network relay method, and network relay device | |
JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
US10938667B2 (en) | Incremental intent checking for stateful networks | |
Chaudhary et al. | LOADS: Load optimization and anomaly detection scheme for software-defined networks | |
JPWO2017073089A1 (ja) | 通信装置及びシステム及び方法 | |
JP6256773B2 (ja) | セキュリティシステム | |
Dixit et al. | Challenges and Preparedness of SDN-based Firewalls | |
KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
JP2019213182A (ja) | ネットワーク防御装置およびネットワーク防御システム | |
US20230105168A1 (en) | Gateway apparatus, method and program | |
US11159533B2 (en) | Relay apparatus | |
JP6476034B2 (ja) | 制御装置及び制御方法 | |
US10135787B2 (en) | Filtering system, management device, filtering method and management program | |
JP2019125914A (ja) | 通信装置及びプログラム | |
JP6441721B2 (ja) | 制御装置、制御方法及びプログラム | |
KR101707073B1 (ko) | Sdn 기반의 에러 탐색 네트워크 시스템 | |
KR20170006950A (ko) | Sdn 기반의 네트워크 플랫트닝 시스템 및 그 방법 | |
KR101800145B1 (ko) | 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171220 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181024 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190122 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6476034 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |