JP2017212617A - Network device, queue control method, and computer system - Google Patents
Network device, queue control method, and computer system Download PDFInfo
- Publication number
- JP2017212617A JP2017212617A JP2016104842A JP2016104842A JP2017212617A JP 2017212617 A JP2017212617 A JP 2017212617A JP 2016104842 A JP2016104842 A JP 2016104842A JP 2016104842 A JP2016104842 A JP 2016104842A JP 2017212617 A JP2017212617 A JP 2017212617A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- stored
- queue
- similarity
- management module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワーク装置のキュー制御に関する。 The present invention relates to queue control of a network device.
DoS(Denial of Service)攻撃及びDDoS(Distributed Denial of Service)攻撃の増加が問題になっている。DoS攻撃及びDDoS攻撃は、サービスを提供するサーバ装置等の標的に対して大量のパケットを送信することによって、サービスを停止させる攻撃である。 An increase in DoS (Denial of Service) attacks and DDoS (Distributed Denial of Service) attacks is a problem. The DoS attack and the DDoS attack are attacks that stop a service by transmitting a large number of packets to a target such as a server device that provides the service.
DoS攻撃及びDDoS攻撃に使用されるパケットは、正常なパケットに偽装しているため、個々のパケットだけでは攻撃を検知するのが困難である。そのため、DoS攻撃及びDDoS攻撃に使用されるパケットを検知し、破棄する技術が求められている。 Since packets used for DoS attacks and DDoS attacks are disguised as normal packets, it is difficult to detect attacks using only individual packets. Therefore, a technique for detecting and discarding packets used for DoS attacks and DDoS attacks is required.
従来技術として、非特許文献1及び非特許文献2に記載された技術が知られている。非特許文献2には、RED(Random Early Detection)技術が記載されている。非特許文献1には、REDを改良したRRED(Robust Random Early Detection)技術が記載されている。
As a conventional technique, techniques described in
RREDは、低レートDoS攻撃(LDoS攻撃)に対処するためのキュー制御方法である。RREDは、パケットの到着間隔に基づいて正常なパケット及び不正パケットを識別し、不正パケットを破棄するフィルタリング手段と、キューの溜まり度合に応じてパケットを破棄するキュー管理手段とを有する。RREDでは、最後に破棄されたパケットと新たに受信したパケットとの間の受信間隔が所定の閾値以下である場合、受信したパケットが不正パケットとして破棄される。 RRED is a queue control method for dealing with a low rate DoS attack (LDoS attack). RRED includes filtering means for discriminating normal packets and illegal packets based on packet arrival intervals, discarding illegal packets, and queue management means for discarding packets according to the degree of queue accumulation. In RRED, when the reception interval between the last discarded packet and the newly received packet is equal to or smaller than a predetermined threshold, the received packet is discarded as an illegal packet.
非特許文献1の方式は、TCPを用いたDoS攻撃、特にLDoS攻撃に対して効果を発揮する。しかし、UDPを用いたDoS攻撃及びDDoS攻撃等には対応できない。
The method of Non-Patent
本発明は、様々な種類のDoS攻撃及びDDoS攻撃において、不正パケットを高い精度で、かつ、効率的に検知し、検知された不正パケットを破棄する装置、方法、及びシステムを提供することを目的とする。 An object of the present invention is to provide an apparatus, a method, and a system for detecting illegal packets with high accuracy and efficiency in various types of DoS attacks and DDoS attacks and discarding detected illegal packets. And
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、装置間で送受信されるパケットを転送するネットワーク装置であって、前記ネットワーク装置は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続され、他の装置に接続するためのネットワークインタフェースを有し、前記記憶装置は、受信したパケットを一時的に格納するキューを含み、前記ネットワーク装置は、前記キューに格納されるパケットである格納パケットの中から破棄する格納パケットを選択し、前記選択された格納パケットを破棄するキュー管理モジュールを有し、破棄する前記格納パケットを選択するために使用する比較用パケットを保持し、前記キュー管理モジュールは、前記比較用パケットと前記格納パケットとの間の類似度を算出し、前記類似度に基づいて前記格納パケットを選択し、前記選択された格納パケットを前記キューから破棄することを特徴とする。 A typical example of the invention disclosed in the present application is as follows. That is, a network device for transferring packets transmitted and received between devices, the network device being a processor, a storage device connected to the processor, and a network connected to the processor and connected to another device The storage device includes a queue for temporarily storing received packets, and the network device selects a stored packet to be discarded from among stored packets that are packets stored in the queue; A queue management module for discarding the selected stored packet; and holding a comparison packet used for selecting the stored packet to be discarded, wherein the queue management module includes the comparison packet, the stored packet, Between the stored packets based on the similarity. Select, characterized by discarding a packet storing said selected from the queue.
本発明の一態様によれば、ネットワーク装置は、類似度に基づいて、キューに格納されるパケットの中から、DoS攻撃及びDDoS攻撃に使用される不正パケットを高い精度で、かつ、効率的に破棄することができる。そのため、DoS攻撃及びDDoS攻撃を防ぐことができる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。 According to an aspect of the present invention, the network device can efficiently and efficiently perform illegal packets used for the DoS attack and the DDoS attack from the packets stored in the queue based on the similarity. Can be discarded. Therefore, DoS attack and DDoS attack can be prevented. Problems, configurations, and effects other than those described above will become apparent from the following description of embodiments.
以下、添付図面を参照して本発明の実施形態を説明する。本実施形態は本発明を実現するための一例にすぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については、同一の参照符号が付されている。 Embodiments of the present invention will be described below with reference to the accompanying drawings. It should be noted that this embodiment is only an example for realizing the present invention, and does not limit the technical scope of the present invention. In each figure, the same reference numerals are given to common configurations.
まず、本発明の概要について説明する。 First, an outline of the present invention will be described.
DoS攻撃及びDDoS攻撃に使用される複数のパケットは類似することが多い。そこで、装置間で送受信されるパケットを転送するネットワーク装置は、パケット間の類似度に基づいて、転送前のパケットを格納するキューから不正パケットを破棄する。 The packets used for DoS attacks and DDoS attacks are often similar. Therefore, a network device that transfers packets transmitted and received between devices discards illegal packets from a queue that stores packets before transfer based on the similarity between the packets.
具体的には、ネットワーク装置は、比較用パケットを保持し、キューに格納されるパケットと比較用パケットとの間の類似度を算出する。ネットワーク装置は、算出された類似度に基づいて、キューに格納されるパケットの中から不正パケットと疑われるパケットを選択し、また、選択されたパケットを破棄する。本実施例では、ネットワーク装置が受信したパケット、ネットワーク装置が破棄したパケット、及び他のネットワーク装置が破棄したパケットが、比較用パケットとして用いられる。 Specifically, the network device holds the comparison packet and calculates the similarity between the packet stored in the queue and the comparison packet. Based on the calculated similarity, the network device selects a packet suspected of being an illegal packet from among the packets stored in the queue, and discards the selected packet. In this embodiment, a packet received by the network device, a packet discarded by the network device, and a packet discarded by another network device are used as comparison packets.
これによって、DoS攻撃及びDDoS攻撃を防ぐことができる。本発明のネットワーク装置は事前に学習処理を実行する必要はない。したがって、装置のコスト等を抑えることができる。 Thereby, it is possible to prevent DoS attacks and DDoS attacks. The network device of the present invention does not need to execute learning processing in advance. Therefore, the cost of the apparatus can be suppressed.
また、ネットワーク装置は、ネットワークを構成する複数のネットワーク装置に不正パケットの情報をフィードバックするために、主記憶装置にパケットを保存し、また、破棄されたパケットを他のネットワーク装置に送信する。これによって、システム全体の不正パケットの検知率を向上できる。 Further, the network device stores the packet in the main storage device and feeds the discarded packet to the other network device in order to feed back the illegal packet information to a plurality of network devices constituting the network. As a result, the detection rate of illegal packets in the entire system can be improved.
図1は、実施例1の計算機システムの構成例を示す図である。 FIG. 1 is a diagram illustrating a configuration example of a computer system according to the first embodiment.
計算機システムは、端末101、サーバ装置102、及びネットワーク105を構成する複数のネットワーク装置110から構成される。端末101及びサーバ装置102は、ネットワーク105を介して互いに通信する。
The computer system includes a terminal 101, a
サーバ装置102は、所定のサービスを提供する計算機である。端末101は、サーバ装置102が提供するサービスを利用するユーザが使用する計算機である。端末101及びサーバ装置102は、図示しないプロセッサ、主記憶装置、及びネットワークインタフェースを有する。
The
ネットワーク装置110は、端末101及びサーバ装置102間で送受信されるデータ(パケット)を転送する。本実施例のネットワーク装置110は、パケットを受信した場合、比較用パケットと入出力キュー220(図2参照)に格納されるパケットとの間の類似度に基づいて、入出力キュー220に格納されるパケットを破棄する。
The
図2は、実施例1のネットワーク装置110のハードウェア構成及びソフトウェア構成の一例を示す図である。
FIG. 2 is a diagram illustrating an example of a hardware configuration and a software configuration of the
ネットワーク装置110は、ハードウェア構成として、プロセッサ200、主記憶装置201、及びネットワークインタフェース202を有する。各構成は、内部バス等を介して互いに接続される。なお、ネットワーク装置110は、HDD(Hard Disk Drive)及びSSD(Solid State Drive)等の副記憶装置、並びに入出力装置を有してもよい。入出力装置は、キーボード、マウス、ディスプレイ、及びタッチパネルを含む。
The
プロセッサ200は、主記憶装置201に格納されるプログラムを実行する。プロセッサ200がプログラムを実行することによってネットワーク装置110の機能が実現される。以下の説明では、モジュールを主語に説明する場合、プロセッサ200が当該モジュールを実現するプログラムを実行していることを表す。
The
主記憶装置201は、プログラム及び情報を格納する。また、主記憶装置201は、プログラムが使用するワークエリアを含む。本実施例の主記憶装置201は、制御モジュール210を実現するプログラムを格納する。また、本実施例の主記憶装置201は、入出力キュー220、フィードバックパケット記憶部221、隣接フィードバックパケット記憶部222を含む。
The
制御モジュール210は、ネットワーク装置110全体を制御する。例えば、制御モジュール210は、パケットの送信処理及び受信処理を実行する。本実施例の制御モジュール210は、キュー管理モジュール211を含む。
The
キュー管理モジュール211は、比較用パケットを用いて入出力キュー220に格納されるパケットを破棄する。キュー管理モジュール211が実行する処理の詳細は後述する。
The
なお、実施例1では、制御モジュール210はキュー管理モジュール211に含まれているが、制御モジュール210と独立したモジュールであってもよい。
In the first embodiment, the
入出力キュー220は、転送するパケットを格納するバッファである。ネットワーク装置110は、パケットを受信した場合、入出力キュー220にパケットを格納し、入出力キュー220からパケットを読み出し、他の装置に当該パケットを転送する。
The input /
フィードバックパケット記憶部221は、キュー管理モジュール211によって破棄されたパケットであるフィードバックパケットを格納する記憶領域である。隣接フィードバックパケット記憶部222は、他のネットワーク装置110によって破棄されたパケットである隣接フィードバックパケットを格納する記憶領域である。フィードバックパケット記憶部221及び隣接フィードバックパケット記憶部222に格納されるパケットは比較用パケットして用いられる。
The feedback
本実施例のフィードバックパケット記憶部221には一つのパケットが格納され、隣接フィードバックパケット記憶部222には複数のパケットが格納されるものとする。また、入出力キュー220、フィードバックパケット記憶部221、隣接フィードバックパケット記憶部222のパケットの入出力の制御には、FIFO方式が適用される。
Assume that one packet is stored in the feedback
また、フィードバックパケット記憶部221及び隣接フィードバックパケット記憶部222は、周期的に初期化される。フィードバックパケット記憶部221及び隣接フィードバックパケット記憶部222にパケットが格納されていない場合、後述する第1パケット処理、及び後述する第2パケット処理の一部の処理が省略される。これによって、通常時の通信におけるネットワーク装置110の処理負荷を軽減することができる。
Also, the feedback
図3は、実施例1のキュー管理モジュール211が実行する処理の概要を説明するフローチャートである。
FIG. 3 is a flowchart illustrating an outline of processing executed by the
キュー管理モジュール211は、外部装置からパケットを受信した場合(ステップS300)、処理を開始する。このとき、キュー管理モジュール211は、外部から受信したパケットを比較用パケットとして主記憶装置201に一時的に格納する。以下の説明では、外部から受信したパケットを受信パケットとも記載する。
When the
キュー管理モジュール211は、第1パケット処理を実行する(ステップS301)。第1パケット処理では、隣接フィードバックパケットに基づいて、入出力キュー220に格納されるパケットが破棄される。第1パケット処理の詳細は図4を用いて説明する。なお、隣接フィードバックパケットが存在しない場合、キュー管理モジュール211は、第1パケット処理を実行することなくステップS302に進む。
The
次に、キュー管理モジュール211は、入出力キュー220のキュー長が閾値より大きいか否かを判定する(ステップS302)。閾値は予め設定されているものとする。なお、閾値は更新することができる。ここで、キュー長は、入出力キュー220に格納されるパケットの量を示す値であり、入出力キュー220に格納されるパケットの数又は入出力キュー220に格納されるパケットのサイズの合計値等が考えられる。
Next, the
入出力キュー220のキュー長が閾値以下であると判定された場合(ステップS302の判定結果がNO)、キュー管理モジュール211は、入出力キュー220に受信パケットを格納する(ステップS303)。その後、キュー管理モジュール211は、処理を終了する。なお、キュー管理モジュール211は、比較用パケットとして主記憶装置201に格納される受信パケットを削除する。
When it is determined that the queue length of the input /
入出力キュー220のキュー長が閾値より大きいと判定された場合(ステップS302の判定結果がYES)、キュー管理モジュール211は、第2パケット処理を実行する(ステップS304)。その後、キュー管理モジュール211は、ステップS303に進む。第2パケット処理では、受信パケット及びフィードバックパケットに基づいて、入出力キュー220に格納されるパケットが破棄される。第2パケット処理の詳細は図8を用いて説明する。
If it is determined that the queue length of the input /
以下の説明では、入出力キュー220に格納されるパケットを格納パケットとも記載する。
In the following description, a packet stored in the input /
図3に示すように、キュー管理モジュール211は、隣接フィードバックパケットを用いて格納パケットを破棄し、その後、必要に応じて第2パケット処理を実行する。隣接フィードバックパケットは、他のネットワーク装置110が不正パケットとして破棄したパケットであるため、隣接フィードバックパケットに類似するパケットは、他の比較用パケットに類似するパケットよりも不正パケットである可能性が高い。
As illustrated in FIG. 3, the
不正パケットである可能性が高い順に格納パケットを破棄するために、キュー管理モジュール211は、最初に第1パケット処理を実行し、その後、第2パケット処理をする。これによって、不正パケットを効率的に破棄できる。
In order to discard the stored packets in the descending order of possibility of being an illegal packet, the
図4は、実施例1のキュー管理モジュール211が実行する第1パケット処理の一例を説明するフローチャートである。
FIG. 4 is a flowchart illustrating an example of first packet processing executed by the
キュー管理モジュール211は、隣接フィードバックパケット及び格納パケットの特徴量を算出するための第1特徴量算出処理を実行する(ステップS400)。第1特徴量算出処理の詳細は図5を用いて説明する。
The
次に、キュー管理モジュール211は、隣接フィードバックパケットと格納パケットとの間の類似度を算出するための第1類似度算出処理を実行する(ステップS401)。第1類似度算出処理の詳細は図6を用いて説明する。
Next, the
次に、キュー管理モジュール211は、算出された類似度に基づいて格納パケットを破棄するための第1パケット破棄処理を実行する(ステップS402)。その後、キュー管理モジュール211は、第1パケット処理を終了する。第1パケット破棄処理の詳細は図7を用いて説明する。
Next, the
図5は、実施例1のキュー管理モジュール211が実行する第1特徴量算出処理の一例を説明するフローチャートである。
FIG. 5 is a flowchart illustrating an example of a first feature amount calculation process executed by the
キュー管理モジュール211は、変数i及び変数jに「1」を設定することによって、各変数を初期化する(ステップS500)。変数iは入出力キュー220に格納される格納パケットの識別番号を表し、変数jは隣接フィードバックパケット記憶部222に格納される隣接フィードバックパケットの識別番号を表す。
The
なお、入出力キュー220に格納される格納パケットの数はN個であり、また、隣接フィードバックパケット記憶部222に格納される隣接フィードバックパケットの数はM個であるものとする。N及びMは1以上の整数である。
It is assumed that the number of stored packets stored in the input /
次に、キュー管理モジュール211は、格納パケットQ_iの特徴量A_iを算出する(ステップS501)。パケットの特徴量の算出方法は様々考えられる。本実施例では、以下のような算出方法を採用する。なお、本発明は、パケットの特徴量の算出方法に限定されない。
Next, the
キュー管理モジュール211は、パケットをバイナリデータに変更し、バイナリデータに含まれる「1」の出現位置を特定する。キュー管理モジュール211は、特定された出現位置を示す値から構成される集合をパケットの特徴量として算出する。
The
パケットのデータ長は長いため、パケットそのものを用いてパケット間の類似度を算出する場合、計算コストが増大する。そこで、前述のような方法を用いることによって、データ量が小さいパケットの特徴量を用いることによって、類似度を算出するための計算コストを削減する。 Since the data length of the packet is long, the calculation cost increases when the similarity between the packets is calculated using the packet itself. Therefore, by using the method as described above, the calculation cost for calculating the similarity is reduced by using the feature amount of the packet having a small data amount.
例えば、バイナリデータ「00011100010010010000」の場合、「1」の出現位置は、「4」、「5」、「6」、「10」、「13」、及び「16」である。したがって、集合(4,5,6,10,13,16)が当該バイナリデータの特徴量となる。 For example, in the case of binary data “00011100010010010000”, the appearance positions of “1” are “4”, “5”, “6”, “10”, “13”, and “16”. Therefore, the set (4, 5, 6, 10, 13, 16) is the feature value of the binary data.
キュー管理モジュール211は、主記憶装置201に、格納パケットQ_iに対応付けた特徴量A_iを一時的に格納する。
The
次に、キュー管理モジュール211は、変数iに「1」を加算することによって変数iを更新し(ステップS502)、更新された変数iがM以下であるか否かを判定する(ステップS503)。
Next, the
更新された変数iがM以下であると判定された場合(ステップS503の判定結果がYES)、キュー管理モジュール211は、ステップS501に戻り、同様の処理を実行する。
When it is determined that the updated variable i is equal to or less than M (the determination result in step S503 is YES), the
更新された変数iがMより大きいと判定された場合(ステップS503の判定結果がNO)、キュー管理モジュール211は、隣接フィードバックパケットF_jの特徴量B_jを算出する(ステップS504)。パケットの特徴量の算出方法は、ステップS501と同一の方法を用いる。なお、キュー管理モジュール211は、主記憶装置201に、隣接フィードバックパケットF_jに対応付けた特徴量B_jを一時的に格納する。
When it is determined that the updated variable i is larger than M (the determination result in step S503 is NO), the
次に、キュー管理モジュール211は、変数jに「1」を加算することによって変数jを更新し(ステップS505)、更新された変数jがN以下であるか否かを判定する(ステップS506)。
Next, the
更新された変数jがN以下であると判定された場合(ステップS506の判定結果がYES)、キュー管理モジュール211は、ステップS504に戻り、同様の処理を実行する。
If it is determined that the updated variable j is N or less (the determination result in step S506 is YES), the
更新された変数jがNより大きいと判定された場合(ステップS506の判定結果がNO)、キュー管理モジュール211は、第1特徴量算出処理を終了する。
If it is determined that the updated variable j is greater than N (the determination result in step S506 is NO), the
図6は、実施例1のキュー管理モジュール211が実行する第1類似度算出処理の一例を説明するフローチャートである。
FIG. 6 is a flowchart illustrating an example of a first similarity calculation process executed by the
キュー管理モジュール211は、変数jに「1」を設定することによって、変数jを初期化する(ステップS600)。
The
次に、キュー管理モジュール211は、変数iに「1」を設定することによって、変数iを初期化する(ステップS601)。
Next, the
次に、キュー管理モジュール211は、格納パケットQ_iと隣接フィードバックパケットF_jとの間の類似度X_ijを算出する(ステップS602)。
Next, the
特徴量A_i及び特徴量B_jは集合であるため、本実施例では、二つの集合の類似度を示す値であるJaccard係数、Dice係数、又はSimpson係数のいずれかをパケット間の類似度として用いる。 Since the feature amount A_i and the feature amount B_j are a set, in this embodiment, any one of the Jaccard coefficient, the Dice coefficient, and the Simpson coefficient that is a value indicating the similarity between the two sets is used as the similarity between packets.
集合A及び集合BのJaccard係数は式(1)に基づいて算出できる。集合A及び集合BのDice係数は式(2)に基づいて算出できる。集合A及び集合BのSimpson係数は、式(3)に基づいて算出できる。なお、|A|及び|B|等は、集合に含まれる要素の数を示す。前述した各係数は、0から1までの値となる。各係数の値が1に近いほど二つの集合が類似していることを示す。 The Jaccard coefficients of the set A and the set B can be calculated based on the formula (1). The Dice coefficient of the set A and the set B can be calculated based on the formula (2). The Simpson coefficients of the set A and the set B can be calculated based on the formula (3). Note that | A |, | B |, and the like indicate the number of elements included in the set. Each coefficient described above takes a value from 0 to 1. The closer the value of each coefficient is to 1, the more similar the two sets are.
本実施例では、キュー管理モジュール211は、格納パケットQ_iの特徴量A_i及び隣接フィードバックパケットF_jの特徴量B_jを主記憶装置201から読み出し、式(1)、式(2)、及び式(3)のいずれかを用いて類似度を算出する。キュー管理モジュール211は、主記憶装置201に、格納パケットQ_iに対応付けた類似度X_ijを一時的に格納する。
In this embodiment, the
次に、キュー管理モジュール211は、変数iに「1」を加算することによって変数iを更新し(ステップS603)、更新された変数iがM以下であるか否かを判定する(ステップS604)。
Next, the
更新された変数iがM以下であると判定された場合(ステップS604の判定結果がYES)、キュー管理モジュール211は、ステップS602に戻り、同様の処理を実行する。ステップS601からステップS604までの処理によって、一つの隣接フィードバックパケットF_jと各格納パケットQ_iとの間の類似度X_ijが算出される。
If it is determined that the updated variable i is equal to or less than M (the determination result in step S604 is YES), the
更新された変数iがMより大きいと判定された場合(ステップS604の判定結果がNO)、キュー管理モジュール211は、変数jに「1」を加算することによって変数jを更新し(ステップS605)、更新された変数jがN以下であるか否かを判定する(ステップS606)。
When it is determined that the updated variable i is larger than M (the determination result in step S604 is NO), the
更新された変数jがN以下であると判定された場合(ステップS606の判定結果がYES)、キュー管理モジュール211は、ステップS601に戻り、同様の処理を実行する。
If it is determined that the updated variable j is N or less (the determination result in step S606 is YES), the
更新された変数jがNより大きいと判定された場合(ステップS606の判定結果がNO)、キュー管理モジュール211は、第1類似度算出処理を終了する。
When it is determined that the updated variable j is greater than N (the determination result in step S606 is NO), the
図7は、実施例1のキュー管理モジュール211が実行する第1パケット破棄処理の一例を説明するフローチャートである。
FIG. 7 is a flowchart illustrating an example of the first packet discarding process executed by the
キュー管理モジュール211は、変数iに「1」を設定することによって、変数iを初期化する(ステップS700)。
The
次に、キュー管理モジュール211は、格納パケットQ_iに対応付けられた類似度X_ijの最大値d_iを算出する(ステップS701)。
Next, the
具体的には、キュー管理モジュール211は、主記憶装置201から格納パケットQ_iに対応付けられる類似度X_ijを全て読み出し、読み出された類似度X_ijの最大値を算出する。本実施例では、格納パケットQ_iに対して、類似度X_i1から類似度X_iNまでのN個の類似度が対応付けられている。そのため、キュー管理モジュール211は、N個の類似度の中から最大値d_iを算出する。キュー管理モジュール211は、最大値d_iを格納パケットQ_iの代表類似度として用いる。
Specifically, the
次に、キュー管理モジュール211は、最大値d_iが閾値より大きいか否かを判定する(ステップS702)。閾値は予め設定されているものとする。なお、閾値は更新することができる。
Next, the
最大値d_iが閾値以下であると判定された場合(ステップS702の判定結果がNO)、キュー管理モジュール211は、ステップS704に進む。
When it is determined that the maximum value d_i is equal to or less than the threshold value (NO in step S702), the
最大値d_iが閾値より大きいと判定された場合(ステップS702の判定結果がYES)、キュー管理モジュール211は、入出力キュー220から格納パケットQ_iを破棄する(ステップS703)。その後、キュー管理モジュール211は、ステップS704に進む。
If it is determined that the maximum value d_i is greater than the threshold (YES in step S702), the
実施例1では、格納パケットQ_iが複数の隣接フィードバックパケットF_jのいずれかに類似する場合、キュー管理モジュール211は、当該格納パケットQ_iを破棄する。
In the first embodiment, when the stored packet Q_i is similar to any of the plurality of adjacent feedback packets F_j, the
ステップS702の判定結果がNOである場合、又は、ステップS703の処理が実行された後、キュー管理モジュール211は、変数iに「1」を加算することによって変数iを更新し(ステップS704)、更新された変数iがM以下であるか否かを判定する(ステップS705)。
If the determination result in step S702 is NO, or after the processing in step S703 is executed, the
更新された変数iがM以下であると判定された場合、キュー管理モジュール211は、ステップS701に戻り、同様の処理を実行する。
If it is determined that the updated variable i is equal to or less than M, the
更新された変数iがMより大きいと判定された場合、キュー管理モジュール211は、一時的に主記憶装置201に格納された各種データを削除した後、第1パケット破棄処理を終了する。
If it is determined that the updated variable i is greater than M, the
図8は、実施例1のキュー管理モジュール211が実行する第2パケット処理の一例を説明するフローチャートである。
FIG. 8 is a flowchart illustrating an example of second packet processing executed by the
キュー管理モジュール211は、受信パケット、フィードバックパケット、及び格納パケットの特徴量を算出するための第2特徴量算出処理を実行する(ステップS800)。第2特徴量算出処理の詳細は図9を用いて説明する。
The
次に、キュー管理モジュール211は、受信パケットと格納パケットとの間の類似度、及びフィードバックパケットと格納パケットとの間の類似度を算出するための第2類似度算出処理を実行する(ステップS801)。第2類似度算出処理の詳細は図10を用いて説明する。
Next, the
次に、キュー管理モジュール211は、第2パケット破棄処理を実行する(ステップS802)。その後、キュー管理モジュール211は、第2パケット処理を終了する。第2パケット破棄処理の詳細は図11を用いて説明する。
Next, the
図9は、実施例1のキュー管理モジュール211が実行する第2特徴量算出処理の一例を説明するフローチャートである。
FIG. 9 is a flowchart illustrating an example of the second feature amount calculation process executed by the
キュー管理モジュール211は、変数iに「1」を設定することによって、変数iを初期化する(ステップS900)。
The
次に、キュー管理モジュール211は、格納パケットQ_iの特徴量A_iを算出する(ステップS901)。ステップS901の処理はステップS501の処理と同一である。
Next, the
次に、キュー管理モジュール211は、変数iに「1」を加算することによって変数iを更新し(ステップS902)、更新された変数iがM以下であるか否かを判定する(ステップS903)。ステップS902及びステップS903の処理は、ステップS502及びステップS503の処理と同一である。
Next, the
更新された変数iがM以下であると判定された場合(ステップS903の判定結果がYES)、キュー管理モジュール211は、ステップS901に戻り、同様の処理を実行する。
If it is determined that the updated variable i is equal to or less than M (the determination result in step S903 is YES), the
更新された変数iがMより大きい場合(ステップS903の判定結果がNO)、キュー管理モジュール211は、受信パケットGの特徴量Cを算出し(ステップS904)、また、フィードバックパケットHの特徴量Dを算出する(ステップS905)。その後、キュー管理モジュール211は、第2特徴量算出処理を終了する。
When the updated variable i is larger than M (the determination result of step S903 is NO), the
各パケットの特徴量の算出方法は、ステップS501で用いた特徴量の算出方法と同一である。なお、フィードバックパケット記憶部221に複数のフィードバックパケットが格納される場合、ステップS900において、キュー管理モジュール211は、フィードバックパケットの数を表す変数を初期化し、各フィードバックパケットについて、ステップS901からステップS903までの処理と同様の処理を実行する。
The feature value calculation method for each packet is the same as the feature value calculation method used in step S501. When a plurality of feedback packets are stored in the feedback
なお、ステップS501の処理結果が主記憶装置201に格納される場合、ステップS900からステップS903までの処理を省略できる。また、フィードバックパケット記憶部221にフィードバックパケットが格納されていない場合、ステップS905の処理を省略できる。
When the processing result of step S501 is stored in the
図10は、実施例1のキュー管理モジュール211が実行する第2類似度算出処理の一例を説明するフローチャートである。
FIG. 10 is a flowchart illustrating an example of the second similarity calculation process executed by the
キュー管理モジュール211は、変数iに「1」を設定することによって、変数iを初期化する(ステップS1000)。
The
次に、キュー管理モジュール211は、格納パケットQ_iと受信パケットGとの間の類似度Y_iを算出し(ステップS1001)、また、格納パケットQ_iとフィードバックパケットHとの間の類似度Z_iを算出する(ステップS1002)。類似度の算出方法は、ステップS602で用いた算出方法と同一である。
Next, the
次に、キュー管理モジュール211は、変数iに「1」を加算することによって変数iを更新し(ステップS1003)、更新された変数iがM以下であるか否かを判定する(ステップS1004)。ステップS1003及びステップS1004の処理は、ステップS603及びステップS604の処理と同一である。
Next, the
更新された変数iがM以下であると判定された場合(ステップS1004の判定結果がYES)、キュー管理モジュール211は、ステップS1001に戻り、同様の処理を実行する。
If it is determined that the updated variable i is equal to or less than M (YES in step S1004), the
更新された変数iがMより大きいと判定された場合(ステップS1004の判定結果がNO)、キュー管理モジュール211は、第2類似度算出処理を終了する。
When it is determined that the updated variable i is greater than M (the determination result in step S1004 is NO), the
なお、フィードバックパケット記憶部221にフィードバックパケットが格納されていない場合、ステップS1002の処理を省略できる。
If no feedback packet is stored in the feedback
図11は、実施例1のキュー管理モジュールが実行する第2パケット破棄処理の一例を説明するフローチャートである。 FIG. 11 is a flowchart illustrating an example of second packet discarding processing executed by the queue management module according to the first embodiment.
キュー管理モジュール211は、類似度Y_iの合計値Sum_Yを算出し(ステップS1100)、また、類似度Z_iの合計値Sum_Zを算出する(ステップS1101)。
The
次に、キュー管理モジュール211は、合計値Sum_Yが合計値Sum_Z以上であるか否かを判定する(ステップS1102)。
Next, the
類似度の合計値が大きい場合、比較用パケットに類似する格納パケットの数が多いことを示す。そこで、本実施例のキュー管理モジュール211は、合計値が大きい類似度に基づいて、不正パケットを破棄する。これによって、不正パケットである可能性が高い格納パケットを多く破棄できる。
When the total value of the similarities is large, it indicates that the number of stored packets similar to the comparison packet is large. Therefore, the
合計値Sum_Yが合計値Sum_Z以上であると判定された場合(ステップS1102の判定結果がYES)、キュー管理モジュール211は、類似度Y_iに基づいて破棄する格納パケットを選択する(ステップS1103)。その後、キュー管理モジュール211は、ステップS1105に進む。
When it is determined that the total value Sum_Y is equal to or greater than the total value Sum_Z (YES in Step S1102), the
具体的には、キュー管理モジュール211は、類似度Y_iが大きい順に所定の数の格納パケットを選択する。
Specifically, the
合計値Sum_Yが合計値Sum_Zより小さいと判定された場合(ステップS1102の判定結果がNO)、キュー管理モジュール211は、類似度Z_iに基づいて破棄する格納パケットを選択する(ステップS1104)。その後、キュー管理モジュール211は、ステップS1105に進む。
When it is determined that the total value Sum_Y is smaller than the total value Sum_Z (NO in Step S1102), the
具体的には、キュー管理モジュール211は、類似度Z_iが大きい順に所定の数の格納パケットを選択する。
Specifically, the
ステップS1103及びステップS1104の処理が実行された後、キュー管理モジュール211は、選択された格納パケットの中から一つの格納パケットを選択し、当該格納パケットをフィードバックパケットとしてフィードバックパケット記憶部221に格納する(ステップS1105)。具体的には、以下のような処理が実行される。
After the processes of step S1103 and step S1104 are executed, the
キュー管理モジュール211は、破棄する格納パケットを選択する時に用いた類似度の値が最も大きい格納パケットをフィードバックパケットして選択する。
The
類似度Y_iに基づいて破棄する格納パケットが選択された場合、キュー管理モジュール211は、ステップS1103において選択された格納パケットの中で類似度Y_iが最も大きい格納パケットを選択する。類似度Z_iに基づいて破棄する格納パケットが選択された場合、キュー管理モジュール211は、ステップS1104において選択された格納パケットの中で類似度Z_iが最も大きい格納パケットを選択する。
When the stored packet to be discarded is selected based on the similarity Y_i, the
フィードバックパケット記憶部221にフィードバックパケットが格納される場合、キュー管理モジュール211は、当該フィードバックパケットを破棄した後に、選択された格納パケットをフィードバックパケット記憶部221に格納する。
When a feedback packet is stored in the feedback
なお、フィードバックパケット記憶部221に複数のフィードバックパケットを格納できる場合、キュー管理モジュール211は、ステップS1004において選択された格納パケットの中から、類似度の大きい順に所定の数の格納パケットを選択する。
When a plurality of feedback packets can be stored in the feedback
不正パケットである可能性が最も高い格納パケットをフィードバックパケットとして保持することによって、不正パケットの検知率を向上させるとともに、フィードバックパケットを用いた処理負荷を低減できる。以上がステップS1105の処理の説明である。 By holding the stored packet having the highest possibility of being an illegal packet as a feedback packet, the detection rate of the illegal packet can be improved and the processing load using the feedback packet can be reduced. The above is the description of the processing in step S1105.
次に、キュー管理モジュール211は、ステップS1103又はステップS1104において選択された格納パケットを破棄する(ステップS1106)。
Next, the
次に、キュー管理モジュール211は、ステップS1105において選択された格納パケットを含むパケットの登録要求を、他のネットワーク装置110に送信する(ステップS1107)。その後、キュー管理モジュール211は、一時的に主記憶装置201に格納された各種データを削除した後、第2パケット破棄処理を終了する。
Next, the
なお、フィードバックパケット記憶部221にフィードバックパケットが格納されていない場合、ステップS1101、ステップS1102、及びステップS1104の処理を省略できる。
Note that if the feedback packet is not stored in the feedback
なお、図11に示す格納パケットの破棄方法は一例であってこれに限定されない。例えば、キュー管理モジュール211は、類似度Y_i及び類似度Z_iを大きい順にソートし、類似度の値が大きい順に所定の数の格納パケットを選択する。
Note that the storage packet discarding method shown in FIG. 11 is an example, and the present invention is not limited to this. For example, the
このとき、同じ格納パケットが重複して選択される可能性がある。そこで、キュー管理モジュール211は、一つの格納パケットQ_iに対応付けられる類似度Y_i及び類似度Z_iを比較し、大きい方の類似度を当該格納パケットQ_iの類似度として使用する。
At this time, the same stored packet may be selected redundantly. Therefore, the
図12は、実施例1のキュー管理モジュール211が実行するフィードバックパケット受信処理の一例を説明するフローチャートである。
FIG. 12 is a flowchart illustrating an example of feedback packet reception processing executed by the
キュー管理モジュール211は、他のネットワーク装置110からパケットの登録要求を受信した場合(ステップS1200)、当該パケットの登録要求に含まれる格納パケットを隣接フィードバックパケットとして隣接フィードバックパケット記憶部222に格納する(ステップS1201)。
When the
隣接フィードバックパケット記憶部222に空きがない場合、キュー管理モジュール211は、FIFO方式にしたがって、隣接フィードバックパケット記憶部222に格納される隣接フィードバックパケットを一つ破棄し、その後、パケットの登録要求に含まれる格納パケットをフィードバックパケット記憶部221に格納する。
When there is no free space in the adjacent feedback
ここで、ネットワーク装置110の一連の運用について説明する。
Here, a series of operations of the
初期状態のネットワーク装置110は、フィードバックパケット及び隣接フィードバックパケットを保持していない。したがって、ネットワーク装置110は、パケットを受信した場合、受信パケットと格納パケットとの間の類似度を算出する。受信パケットに類似する格納パケットは不正パケットである可能性が高いため、ネットワーク装置110は、類似度に基づいて、入出力キュー220から格納パケットを破棄する。
The
ネットワーク装置110は、事前に学習処理を実行していない場合でも、高い精度で不正パケットを検知できる。
The
ネットワーク装置110は、破棄したパケットをフィードバックパケットとしてフィードバックパケット記憶部221に格納する。ネットワーク装置110は、パケットを受信した場合、受信パケットと格納パケットとの間の類似度、及び、フィードバックパケットと格納パケットとの間の類似度に基づいて、入出力キュー220から格納パケットを破棄する。
The
ネットワーク装置110は、他のネットワーク装置110から隣接フィードバックパケットを含むパケットの登録要求を受信した場合、隣接フィードバックパケット記憶部222に当該隣接フィードバックパケットを格納する。受信パケットに類似する格納パケット、フィードバックパケットに類似する格納パケット、及び隣接フィードバックパケットに類似する格納パケットのうち、隣接フィードバックパケットに類似する格納パケットが最も不正パケットである可能性が高い。
When the
そこで、ネットワーク装置110は、パケットを受信した場合、隣接フィードバックパケットと格納パケットとの間の類似度に基づいて、入出力キュー220から格納パケットを破棄する。その後、ネットワーク装置110は、受信パケットと格納パケットとの間の類似度、及び、フィードバックパケットと格納パケットとの間の類似度に基づいて、入出力キュー220から格納パケットを破棄する。
Therefore, when receiving the packet, the
フィードバックパケット及び隣接フィードバックパケットを用いることによって、システムにおける不正パケットの検知率を向上できる。 By using the feedback packet and the adjacent feedback packet, the detection rate of illegal packets in the system can be improved.
従来技術ではパケットはランダムに破棄されていたが、本実施例のネットワーク装置110はパケットの類似度に基づいてパケットを破棄する。したがって、従来技術より高い精度で、かつ、効率的に不正パケットを破棄できる。
In the prior art, packets are discarded randomly, but the
なお、本実施例では、ネットワーク装置110がキュー管理モジュール211を含んでいたがこれに限定されない。例えば、ネットワーク装置110を監視する装置がキュー管理モジュール211を含んでもよい。
In this embodiment, the
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。 In addition, this invention is not limited to an above-described Example, Various modifications are included. Further, for example, the above-described embodiments are described in detail for easy understanding of the present invention, and are not necessarily limited to those provided with all the described configurations. Further, a part of the configuration of each embodiment can be added to, deleted from, or replaced with another configuration.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. The present invention can also be realized by software program codes that implement the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the computer, and a processor included in the computer reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing it constitute the present invention. As a storage medium for supplying such a program code, for example, a flexible disk, a CD-ROM, a DVD-ROM, a hard disk, an SSD (Solid State Drive), an optical disk, a magneto-optical disk, a CD-R, a magnetic tape, A non-volatile memory card, ROM, or the like is used.
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 The program code for realizing the functions described in the present embodiment can be implemented by a wide range of programs or script languages such as assembler, C / C ++, perl, Shell, PHP, Java (registered trademark).
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。 Furthermore, by distributing the program code of the software that implements the functions of the embodiments via a network, the program code is stored in a storage means such as a hard disk or memory of a computer or a storage medium such as a CD-RW or CD-R. A processor included in the computer may read and execute the program code stored in the storage unit or the storage medium.
上記の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 In the above embodiment, the control lines and information lines indicate what is considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. All the components may be connected to each other.
101 端末
102 サーバ装置
105 ネットワーク
110 ネットワーク装置
200 プロセッサ
201 主記憶装置
202 ネットワークインタフェース
210 制御モジュール
211 キュー管理モジュール
220 入出力キュー
221 フィードバックパケット記憶部
222 隣接フィードバックパケット記憶部
Claims (15)
前記ネットワーク装置は、
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続され、他の装置に接続するためのネットワークインタフェースを有し、
前記記憶装置は、受信したパケットを一時的に格納するキューを含み、
前記ネットワーク装置は、
前記キューに格納されるパケットである格納パケットの中から破棄する格納パケットを選択し、前記選択された格納パケットを破棄するキュー管理モジュールを有し、
破棄する前記格納パケットを選択するために使用する比較用パケットを保持し、
前記キュー管理モジュールは、
前記比較用パケットと前記格納パケットとの間の類似度を算出し、
前記類似度に基づいて前記格納パケットを選択し、
前記選択された格納パケットを前記キューから破棄することを特徴とするネットワーク装置。 A network device for transferring packets transmitted and received between devices,
The network device is:
A processor, a storage device connected to the processor, and a network interface connected to the processor and connected to another device;
The storage device includes a queue for temporarily storing received packets;
The network device is:
A queue management module that selects a storage packet to be discarded from among the storage packets that are packets stored in the queue, and discards the selected storage packet;
Holding a comparison packet used to select the stored packet to be discarded;
The queue management module
Calculating the similarity between the comparison packet and the stored packet;
Selecting the stored packet based on the similarity,
A network device, wherein the selected stored packet is discarded from the queue.
前記キュー管理モジュールは、
前記ネットワーク装置が受信したパケットである受信パケットを、前記比較用パケットとして前記記憶装置に格納する処理と、
前記受信パケットと前記格納パケットとの間の類似度である第1類似度を算出する処理と、
前記第1類似度に基づいて、前記受信パケットに類似する所定の数の前記格納パケットを選択する処理と、
前記選択された前記キューから格納パケットを破棄する処理と、を含む第1パケット処理を実行することを特徴とするネットワーク装置。 The network device according to claim 1,
The queue management module
A process of storing a received packet, which is a packet received by the network device, in the storage device as the comparison packet;
A process of calculating a first similarity that is a similarity between the received packet and the stored packet;
A process of selecting a predetermined number of the stored packets similar to the received packet based on the first similarity;
And a first packet process including a process of discarding a stored packet from the selected queue.
前記記憶装置は、前記比較用パケットである第1フィードバックパケットを格納する第1記憶部を含み、
前記キュー管理モジュールは、
前記第1記憶部に前記第1フィードバックパケットが格納されていない場合、前記第1パケット処理を実行し、
前記第1記憶部に前記第1フィードバックパケットが格納されている場合、当該第1フィードバックパケットと前記格納パケットとの間の類似度である第2類似度を算出する処理と、
前記第1類似度及び第2類似度に基づいて、前記受信パケット又は前記第1フィードバックパケットに類似する所定の数の前記格納パケットを選択する処理と、
前記選択された所定の数の格納パケットの中から少なくとも一つの前記格納パケットを前記第1フィードバックパケットとして選択する処理と、
前記第1フィードバックパケットを前記第1記憶部に格納する処理と、
前記選択された格納パケットを前記キューから破棄する処理と、を含む第2パケット処理を実行することを特徴とするネットワーク装置。 The network device according to claim 2, wherein
The storage device includes a first storage unit that stores a first feedback packet that is the comparison packet;
The queue management module
If the first feedback packet is not stored in the first storage unit, the first packet processing is executed,
When the first feedback packet is stored in the first storage unit, a process of calculating a second similarity that is a similarity between the first feedback packet and the stored packet;
A process of selecting a predetermined number of stored packets similar to the received packet or the first feedback packet based on the first similarity and the second similarity;
Selecting at least one of the stored packets from the selected predetermined number of stored packets as the first feedback packet;
A process of storing the first feedback packet in the first storage unit;
And a second packet process including a process of discarding the selected stored packet from the queue.
前記記憶装置は、前記比較用パケットである第2フィードバックパケットを格納する第2記憶部を含み、
前記キュー管理モジュールは、
他のネットワーク装置によって破棄された格納パケットを含むパケットの登録要求を受信した場合、前記第2記憶部に、前記第2フィードバックパケットとして前記パケットの登録要求に含まれる格納パケットを格納し、
前記第2記憶部に前記第2フィードバックパケットが格納されている場合、当該第2フィードバックパケットと前記格納パケットとの間の類似度である第3類似度を算出する処理と、
所定の閾値より大きい前記第3類似度に対応する前記格納パケットを選択する処理と、
前記選択された格納パケットを前記キューから破棄する処理と、を含む第3パケット処理を実行することを特徴とするネットワーク装置。 The network device according to claim 3, wherein
The storage device includes a second storage unit that stores a second feedback packet that is the comparison packet;
The queue management module
When a registration request for a packet including a storage packet discarded by another network device is received, the storage packet included in the registration request for the packet is stored as the second feedback packet in the second storage unit;
When the second feedback packet is stored in the second storage unit, a process of calculating a third similarity that is a similarity between the second feedback packet and the stored packet;
Processing for selecting the stored packet corresponding to the third similarity greater than a predetermined threshold;
And a third packet process including a process of discarding the selected stored packet from the queue.
前記第2パケット処理において、前記キュー管理モジュールが、前記第1記憶部に格納された前記第1フィードバックパケットを含む前記パケットの登録要求を前記他のネットワーク装置に送信することを特徴とするネットワーク装置。 The network device according to claim 4, wherein
In the second packet processing, the queue management module transmits a registration request for the packet including the first feedback packet stored in the first storage unit to the other network device. .
前記キュー管理モジュールは、
前記ネットワーク装置が前記受信パケットを受信した場合、前記第3パケット処理を実行し、
前記第3パケット処理が実行された後の前記キューに格納されるパケットの量を示すキュー長が所定の閾値より大きい場合、前記第1パケット処理及び前記第2パケット処理を実行することを特徴とするネットワーク装置。 The network device according to claim 4, wherein
The queue management module
When the network device receives the received packet, the third packet processing is executed,
When the queue length indicating the amount of packets stored in the queue after the third packet processing is executed is larger than a predetermined threshold, the first packet processing and the second packet processing are executed. Network device to perform.
前記第1記憶部及び前記第2記憶部は、FIFO方式で格納するデータを管理することを特徴とするネットワーク装置。 The network device according to claim 4, wherein
The network device, wherein the first storage unit and the second storage unit manage data stored by a FIFO method.
前記ネットワーク装置は、
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続され、他の装置に接続するためのネットワークインタフェースを有し、
前記記憶装置は、受信したパケットを一時的に格納するキューを含み、
前記ネットワーク装置は、
前記キューに格納されるパケットである格納パケットの中から破棄する格納パケットを選択し、前記選択された格納パケットを破棄するキュー管理モジュールを有し、
破棄する前記格納パケットを選択するために使用する比較用パケットを保持し、
前記キュー制御方法は、
前記キュー管理モジュールが、前記比較用パケットと前記格納パケットとの間の類似度を算出するステップと、
前記類似度に基づいて前記格納パケットを選択するステップと、
前記選択された格納パケットを前記キューから破棄するステップと、を含むことを特徴とするキュー制御方法。 A queue control method for a network device for transferring packets transmitted and received between devices,
The network device is:
A processor, a storage device connected to the processor, and a network interface connected to the processor and connected to another device;
The storage device includes a queue for temporarily storing received packets;
The network device is:
A queue management module that selects a storage packet to be discarded from among the storage packets that are packets stored in the queue, and discards the selected storage packet;
Holding a comparison packet used to select the stored packet to be discarded;
The queue control method includes:
The queue management module calculating a similarity between the comparison packet and the stored packet;
Selecting the stored packet based on the similarity;
Discarding the selected stored packet from the queue.
前記キュー管理モジュールが、前記キューに格納されるパケットの量を示すキュー長が所定の閾値より大きい場合、前記ネットワーク装置が受信したパケットである受信パケットを、前記比較用パケットとして前記記憶装置に格納するステップと、
前記キュー管理モジュールが、前記受信パケットと前記格納パケットとの間の類似度である第1類似度を算出するステップと、
前記キュー管理モジュールが、前記第1類似度に基づいて、前記受信パケットに類似する所定の数の前記格納パケットを選択するステップと、
前記キュー管理モジュールが、前記選択された格納パケットを前記キューから破棄するステップと、を含むことを特徴とするキュー制御方法。 The queue control method according to claim 8, wherein
When the queue length indicating the amount of packets stored in the queue is greater than a predetermined threshold, the queue management module stores a received packet, which is a packet received by the network device, as the comparison packet in the storage device. And steps to
The queue management module calculating a first similarity that is a similarity between the received packet and the stored packet;
The queue management module selecting a predetermined number of stored packets similar to the received packet based on the first similarity;
The queue management module includes the step of discarding the selected stored packet from the queue.
前記記憶装置は、前記比較用パケットである第1フィードバックパケットを格納する第1記憶部を含み、
前記キュー制御方法は、
前記キュー長が所定の閾値より大きく、かつ、前記第1記憶部に前記第1フィードバックパケットが格納されている場合、前記キュー管理モジュールが、当該第1フィードバックパケットと前記格納パケットとの間の類似度である第2類似度を算出するステップと、
前記キュー管理モジュールが、前記第1類似度及び第2類似度に基づいて、前記受信パケット又は前記第1フィードバックパケットに類似する所定の数の前記格納パケットを選択するステップと、
前記キュー管理モジュールが、前記選択された所定の数の格納パケットの中から少なくとも一つの前記格納パケットを前記第1フィードバックパケットとして選択するステップと、
前記キュー管理モジュールが、前記第1フィードバックパケットを前記第1記憶部に格納するステップと、
前記キュー管理モジュールが、前記選択された格納パケットを前記キューから破棄するステップと、
前記キュー管理モジュールが、前記第1記憶部に格納された前記第1フィードバックパケットを含むパケットの登録要求を他のネットワーク装置に送信するステップと、を含むことを特徴とするキュー制御方法。 The queue control method according to claim 9, wherein
The storage device includes a first storage unit that stores a first feedback packet that is the comparison packet;
The queue control method includes:
When the queue length is larger than a predetermined threshold value and the first feedback packet is stored in the first storage unit, the queue management module is configured to make similarity between the first feedback packet and the stored packet. Calculating a second similarity that is a degree;
The queue management module selecting a predetermined number of the stored packets similar to the received packet or the first feedback packet based on the first similarity and the second similarity;
The queue management module selecting at least one of the stored packets from the selected predetermined number of stored packets as the first feedback packet;
The queue management module storing the first feedback packet in the first storage unit;
The queue management module discarding the selected stored packet from the queue;
The queue management module includes a step of transmitting a registration request for a packet including the first feedback packet stored in the first storage unit to another network device.
前記記憶装置は、前記比較用パケットである第2フィードバックパケットを格納する第2記憶部を含み、
前記キュー制御方法は、
前記キュー管理モジュールが、前記パケットの登録要求を受信した場合、前記第2記憶部に、前記第2フィードバックパケットとして前記パケットの登録要求に含まれる格納パケットを格納するステップと、
前記ネットワーク装置が前記受信パケットを受信し、かつ、前記第2記憶部に前記第2フィードバックパケットが格納されている場合、前記キュー管理モジュールが、当該第2フィードバックパケットと前記格納パケットとの間の類似度である第3類似度を算出するステップと、
前記キュー管理モジュールが、所定の閾値より大きい前記第3類似度に対応する前記格納パケットを選択するステップと、
前記キュー管理モジュールが、前記選択された格納パケットを前記キューから破棄するステップと、を含むことを特徴とするキュー制御方法。 The queue control method according to claim 10, wherein
The storage device includes a second storage unit that stores a second feedback packet that is the comparison packet;
The queue control method includes:
When the queue management module receives the packet registration request, the storage module includes a storage packet included in the packet registration request as the second feedback packet in the second storage unit;
When the network device receives the received packet and the second feedback packet is stored in the second storage unit, the queue management module performs an operation between the second feedback packet and the stored packet. Calculating a third similarity which is a similarity;
The queue management module selecting the stored packet corresponding to the third similarity greater than a predetermined threshold;
The queue management module includes the step of discarding the selected stored packet from the queue.
前記複数のネットワーク装置の各々は、
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続され、他の装置に接続するためのネットワークインタフェースを有し、
前記記憶装置は、受信したパケットを一時的に格納するキューを含み、
前記複数のネットワーク装置の各々は、
前記キューに格納されるパケットである格納パケットの中から破棄する格納パケットを選択し、前記選択された格納パケットを破棄するキュー管理モジュールを有し、
破棄する前記格納パケットを選択するために使用する比較用パケットを保持し、
前記キュー管理モジュールは、
前記比較用パケットと前記格納パケットとの間の類似度を算出し、
前記類似度に基づいて前記格納パケットを選択し、
前記選択された格納パケットを前記キューから破棄することを特徴とする計算機システム。 A computer system including a plurality of network devices for transferring packets transmitted and received between devices,
Each of the plurality of network devices is
A processor, a storage device connected to the processor, and a network interface connected to the processor and connected to another device;
The storage device includes a queue for temporarily storing received packets;
Each of the plurality of network devices is
A queue management module that selects a storage packet to be discarded from among the storage packets that are packets stored in the queue, and discards the selected storage packet;
Holding a comparison packet used to select the stored packet to be discarded;
The queue management module
Calculating the similarity between the comparison packet and the stored packet;
Selecting the stored packet based on the similarity,
A computer system, wherein the selected stored packet is discarded from the queue.
前記キュー管理モジュールは、
前記キューに格納されるパケットの量を示すキュー長が所定の閾値より大きい場合、前記ネットワーク装置が受信したパケットである受信パケットを、前記比較用パケットとして前記記憶装置に格納し、
前記受信パケットと前記格納パケットとの間の類似度である第1類似度を算出し、
前記第1類似度に基づいて、前記受信パケットに類似する所定の数の前記格納パケットを選択し、
前記キュー管理モジュールが、前記選択された格納パケットを前記キューから破棄することを特徴とする計算機システム。 A computer system according to claim 12, wherein
The queue management module
When the queue length indicating the amount of packets stored in the queue is larger than a predetermined threshold, the received packet that is a packet received by the network device is stored in the storage device as the comparison packet,
Calculating a first similarity that is a similarity between the received packet and the stored packet;
Selecting a predetermined number of stored packets similar to the received packet based on the first similarity;
The computer system, wherein the queue management module discards the selected stored packet from the queue.
前記記憶装置は、前記比較用パケットである第1フィードバックパケットを格納する第1記憶部を含み、
前記キュー管理モジュールは、
前記キュー長が所定の閾値より大きく、かつ、前記第1記憶部に前記第1フィードバックパケットが格納されている場合、前記キュー管理モジュールが、当該第1フィードバックパケットと前記格納パケットとの間の類似度である第2類似度を算出し、
前記第1類似度及び第2類似度に基づいて、前記受信パケット又は前記第1フィードバックパケットに類似する所定の数の前記格納パケットを選択し、
前記選択された所定の数の格納パケットの中から少なくとも一つの前記格納パケットを前記第1フィードバックパケットとして選択し、
前記第1フィードバックパケットを前記第1記憶部に格納し、
前記選択された格納パケットを前記キューから破棄し、
前記第1記憶部に格納された前記第1フィードバックパケットを含むパケットの登録要求を他のネットワーク装置に送信することを特徴とする計算機システム。 The computer system according to claim 13,
The storage device includes a first storage unit that stores a first feedback packet that is the comparison packet;
The queue management module
When the queue length is larger than a predetermined threshold value and the first feedback packet is stored in the first storage unit, the queue management module is configured to make similarity between the first feedback packet and the stored packet. Second similarity, which is a degree,
Selecting a predetermined number of the stored packets similar to the received packet or the first feedback packet based on the first similarity and the second similarity;
Selecting at least one of the stored packets from the selected predetermined number of stored packets as the first feedback packet;
Storing the first feedback packet in the first storage unit;
Discard the selected stored packet from the queue;
A computer system, wherein a registration request for a packet including the first feedback packet stored in the first storage unit is transmitted to another network device.
前記記憶装置は、前記比較用パケットである第2フィードバックパケットを格納する第2記憶部を含み、
前記キュー管理モジュールは、
前記パケットの登録要求を受信した場合、前記第2記憶部に、前記第2フィードバックパケットとして前記パケットの登録要求に含まれる格納パケットを格納し、
前記ネットワーク装置が前記受信パケットを受信し、かつ、前記第2記憶部に前記第2フィードバックパケットが格納されている場合、当該第2フィードバックパケットと前記格納パケットとの間の類似度である第3類似度を算出し、
所定の閾値より大きい前記第3類似度に対応する前記格納パケットを選択し、
前記選択された格納パケットを前記キューから破棄することを特徴とすることを特徴とする計算機システム。 The computer system according to claim 14, wherein
The storage device includes a second storage unit that stores a second feedback packet that is the comparison packet;
The queue management module
When the registration request for the packet is received, the storage packet included in the registration request for the packet is stored as the second feedback packet in the second storage unit;
When the network apparatus receives the received packet and the second feedback packet is stored in the second storage unit, the third degree is a similarity between the second feedback packet and the stored packet. Calculate the similarity,
Selecting the stored packet corresponding to the third similarity greater than a predetermined threshold;
A computer system, wherein the selected stored packet is discarded from the queue.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016104842A JP2017212617A (en) | 2016-05-26 | 2016-05-26 | Network device, queue control method, and computer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016104842A JP2017212617A (en) | 2016-05-26 | 2016-05-26 | Network device, queue control method, and computer system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017212617A true JP2017212617A (en) | 2017-11-30 |
Family
ID=60475699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016104842A Pending JP2017212617A (en) | 2016-05-26 | 2016-05-26 | Network device, queue control method, and computer system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2017212617A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111198874A (en) * | 2018-11-16 | 2020-05-26 | 中国电信股份有限公司 | Data processing method, device, system and computer readable storage medium |
| WO2020105234A1 (en) * | 2018-11-21 | 2020-05-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Abnormality detection method and abnormality detection device |
-
2016
- 2016-05-26 JP JP2016104842A patent/JP2017212617A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111198874A (en) * | 2018-11-16 | 2020-05-26 | 中国电信股份有限公司 | Data processing method, device, system and computer readable storage medium |
| CN111198874B (en) * | 2018-11-16 | 2023-07-04 | 中国电信股份有限公司 | Data processing method, device, system and computer readable storage medium |
| WO2020105234A1 (en) * | 2018-11-21 | 2020-05-28 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Abnormality detection method and abnormality detection device |
| CN112789831A (en) * | 2018-11-21 | 2021-05-11 | 松下电器(美国)知识产权公司 | Abnormality detection method and abnormality detection device |
| JP7297787B2 (en) | 2018-11-21 | 2023-06-26 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Anomaly detection method and anomaly detection device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5624973B2 (en) | Filtering device | |
| CN108429718B (en) | Account identification method and device | |
| CN101009607A (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| JP6897434B2 (en) | Information processing system, information processing device and information processing program | |
| CN105550051A (en) | Asynchronous processing method and device of business request | |
| US9319449B2 (en) | Method, apparatus, and computer program product for processing data requests | |
| US20210089887A1 (en) | Variance-Based Learning Rate Control For Training Machine-Learning Models | |
| EP3252647A1 (en) | System and method of detecting malicious files on a virtual machine in a distributed network | |
| CN109583201B (en) | System and method for identifying malicious intermediate language files | |
| JP2017212617A (en) | Network device, queue control method, and computer system | |
| JP2018073140A (en) | Network monitoring device, program and method | |
| KR20230065226A (en) | Web application server, method for handling user request and method for handling intergrated request | |
| US10326677B2 (en) | Communication device, available band calculation system, available band calculation method, and program | |
| US20140136694A1 (en) | Network abnormality detection system, measurement apparatus, and analysis apparatus | |
| WO2022057131A1 (en) | Data congestion processing method and apparatus, computer device, and storage medium | |
| JP6591700B2 (en) | System, data management method, and file server | |
| Toor et al. | Distributed transmission control in multichannel S-ALOHA for ad-hoc Networks | |
| US8904533B2 (en) | Determining heavy distinct hitters in a data stream | |
| JP7099533B2 (en) | Impact range estimation device, impact range estimation method, and program | |
| CN106293996A (en) | Method of data synchronization, main equipment, alternate device and system | |
| US9332071B2 (en) | Data stage-in for network nodes | |
| CN114422277A (en) | Method, device, electronic equipment and computer readable medium for defending network attack | |
| KR102318947B1 (en) | Method for protecting privacy data, computing device and system for executing the method | |
| CN107592361B (en) | Data transmission method, device and equipment based on dual IB network | |
| CN111104229B (en) | Method, apparatus and computer readable storage medium for data processing |