JP2018191210A - パケット中継装置及びパケット中継システム - Google Patents

パケット中継装置及びパケット中継システム Download PDF

Info

Publication number
JP2018191210A
JP2018191210A JP2017093815A JP2017093815A JP2018191210A JP 2018191210 A JP2018191210 A JP 2018191210A JP 2017093815 A JP2017093815 A JP 2017093815A JP 2017093815 A JP2017093815 A JP 2017093815A JP 2018191210 A JP2018191210 A JP 2018191210A
Authority
JP
Japan
Prior art keywords
flow
abnormality
packet
flow table
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017093815A
Other languages
English (en)
Other versions
JP6883470B2 (ja
Inventor
有一 石川
Yuichi Ishikawa
有一 石川
児玉 康弘
Yasuhiro Kodama
康弘 児玉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2017093815A priority Critical patent/JP6883470B2/ja
Publication of JP2018191210A publication Critical patent/JP2018191210A/ja
Application granted granted Critical
Publication of JP6883470B2 publication Critical patent/JP6883470B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取する。【解決手段】異常又は異常の予兆を検知してない場合は、第1のフローテーブル(高速フローテーブル1055)を選択して、フローの受信パケット又は送信パケットは前記第1のフローテーブル1055を検索対象とする。異常又は異常の予兆があると検知した場合は、第1のフローテーブル1055から第2のフローテーブル(大容量フローテーブル1058)に切り替えて第2のフローテーブル1058を選択し、異常又は異常の予兆を検知したフローを第2のフローテーブル1058に設定し、異常又は異常の予兆を検知したフローの受信パケット又は送信パケットは第2のフローテーブル1058を検索対象とする。【選択図】図4

Description

本発明は、パケット中継装置及びパケット中継システムに関する。
高セキュリティなネットワークを構築するために、ネットワークシステムでのフロー解析が重要となっている。また、IoT(Internet of Things)時代に向けてIoT機器による通信フロー数の爆発的な増加が見込まれており、収容エントリ数を莫大に増加させると共に、それに伴う消費電力の増大への対応も要求されている。
特許文献1には、フロー解析のためのフロー統計収集装置を備えたパケット転送装置が開示されている。特許文献1のパケット転送装置は、高速フローテーブルと、大容量フローテーブルと、いずれを検索すべきかを決定する検索処理判定テーブルを備える。パケットを受信した際に検索すべきフローテーブルを決定することにより、高速なフロー検索と多数のフローエントリの統計収集を可能とする。
特開2005−51736号公報(特許第4341413号公報)
ところで、セキュリティを目的とするフロー解析向けの統計採取では、セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取することが重要である。
特許文献1は、検索処理判定テーブルの判定結果に基づいて、正確な統計情報を必要とするフローは容量の少ない高速フローテーブルで検索し、統計精度を必要としないフローは低速の大容量フローテーブルで統計採取の頻度を落として検索するものである。
しかし、特許文献1には、セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取する技術については言及されていない。
本発明の目的は、セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取することが可能なパケット中継装置及びパケット中継システムを提供することにある。
本発明の一態様のパケット中継装置は、受信パケット又は送信パケットのフローの統計をカウントするパケット中継装置であって、前記フローのセキュリティの異常又は異常の予兆を判定して検知するセキュリティ判定部と、第1のフローテーブルと、第2のフローテーブルと、前記セキュリティ判定部の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、前記セキュリティ判定部が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択して、前記フローの受信パケット又は送信パケットは前記第1のフローテーブルを検索対象とし、前記セキュリティ判定部が、前記異常又は異常の予兆があると検知した場合は、前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常又は異常の予兆を検知した前記フローを前記第2のフローテーブルに設定し、前記異常又は異常の予兆を検知した前記フローの受信パケット又は送信パケットは前記第2のフローテーブルを検索対象とすることを特徴とする。
本発明の一態様のパケット中継装置は、クライアントとサーバを接続し、受信パケット又は送信パケットのフローの統計をカウントするパケット中継装置であって、前記フローのセキュリティの異常又は異常の予兆を判定して検知するセキュリティ判定部と、第1のフローテーブルと、第2のフローテーブルと、前記セキュリティ判定部の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、前記セキュリティ判定部が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択し、前記異常又は異常の予兆を検知していない未登録の前記フローの受信パケット又は送信パケットが前記第1のフローテーブルに到着した場合、少なくとも前記クライアントのポート番号に検索マスクをかけて前記第1のフローテーブルに登録し、前記異常又は異常の予兆を検知していない前記フローの受信パケット又は送信パケットに対しては前記第1のフローテーブルを検索対象とし、前記セキュリティ判定部が、前記異常又は異常の予兆があると検知した場合は、前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常または異常の予兆を検知した前記フローの受信パケット又は送信パケットに対しては前記第2のフローテーブルを検索対象とすることを特徴とするパケット中継装置。
本発明の一態様のパケット中継システムは、受信パケットまたは送信パケットのフロー統計をカウントするパケット中継装置と、パケット中継装置に接続された外部装置を有するパケット中継システムであって、前記外部装置は、前記フローのセキュリティの異常又は異常の予兆を判定して検知し、前記パケット中継装置は、第1のフローテーブルと、第2のフローテーブルと、前記外部装置の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、前記外部装置が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択して、前記フローの受信パケット又は送信パケットは前記第1のフローテーブルを検索対象とし、前記外部装置が、前記異常又は異常の予兆があると検知した場合は、前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常又は異常の予兆を検知した前記フローを前記第2のフローテーブルに設定し、前記異常又は異常の予兆を検知した前記フローの受信パケット又は送信パケットは前記第2のフローテーブルを検索対象とすることを特徴とする。
本発明の一態様によれば、セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取することができる。
実施例のパケット中継装置100で統計採取するシステム構成図である。 実施例のパケット中継装置100と外部装置400、DPI装置500で連携して統計採取するシステム構成図である。 実施例のパケット中継装置100の構成図である。 受信側統計処理部105の構成図である。 回線毎通信方向テーブル1063の構成図である。 装置内パケット情報800の構成図である。 高速フローテーブル1055の構成図である。 大容量フローテーブル1058に登録するフロー情報の構成図である。 高速用詳細検索判定テーブル1056の構成図である。 大容量用ミラー判定テーブル1059の構成図である。 高速用カウンタテーブル1057の構成図である。 大容量用カウンタテーブル1060の構成図である。 高速フローテーブル1055のエントリ登録のフローチャートである。 高速フローテーブル1055のエントリ削除のフローチャートである。 パケット中継装置100による異常検知を契機とする大容量フローテーブル1058のエントリ登録のフローチャートである。 外部装置400による異常検知を契機とする大容量フローテーブル1058のエントリ登録のフローチャートである。 パケット中継装置100による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートである。 外部装置400による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートである。 タイムアウトを契機とする大容量フローテーブル1058のエントリ削除のフローチャートである。 TCPのFINパケット受信を契機とする大容量フローテーブル1058のエントリ削除のフローチャートである。 回線毎マスク指示テーブル1053の構成図である。 ポート番号毎マスク指示テーブル1054の構成図である。 IPヘッダ情報の構成図である。 TCPヘッダ情報の構成図である。
以下、図面を用いて、実施例について説明する。
図1を参照して、実施例のパケット中継装置100で統計採取するシステム構成について説明する。
LAN500とインターネット600の間の通信フローをパケット中継装置100が備えるフロー統計機能でフロー統計採取し、採取したフロー統計情報をパケット中継装置100に接続したアナライザ200に定期的に送信し、アナライザ200でフロー統計の解析を行なう。
ここで、フローとは、パケットヘッダ情報の一部が同一であるパケットの集合である。代表的なフローの例は、図23に示すIPヘッダ2300の送信元IPアドレス2308、宛先IPアドレス2309、プロトコル2306、図24に示すTCPヘッダ2400の送信元ポート番号2401、宛先ポート番号2402)が同一であるパケットの集合である。
実施例では、パケット中継装置100が備えるセキュリティ機能で異常検知した場合は、異常検知したフローに対してパケット中継装置100で詳細なフロー統計を採取する。
パケット中継装置100に対する管理は、管理端末300で行なう。
図2を参照して、実施例のパケット中継装置100と外部装置400、DPI装置500で連携して統計採取するシステムについて説明する。
LAN500とインターネット600の間の通信フローをパケット中継装置100が備えるフロー統計機能でフロー統計採取し、採取したフロー統計情報をパケット中継装置100に接続したアナライザ200に定期的に送信し、アナライザ200でフロー統計の解析を行なう。
パケット中継装置100からFW(FireWall)、IDS(Intrusion Detection System)、DDoS緩和装置等のセキュリティ機能を備える外部装置400に通信フローをミラーして、外部装置400でセキュリティ上の分析を行い、異常を検知した場合は異常検知したパケット情報として、異常検知したパケット全体または異常検知したパケットのヘッダ情報(L2ヘッダ、L3ヘッダ、L4ヘッダ、L7ヘッダ)を外部装置400からパケット中継装置100に送信する。なお、ミラーとは、パケット中継装置100が受信または送信する通信フローのパケットを複製して、解析のためにパケット中継装置100に接続された外部装置400または外部装置401またはDPI装置500に送信する機能を指す。
実施例では、パケット中継装置100は、外部装置400で異常検知したパケット情報に基づいて、異常検知したフローに対してパケット中継装置100で詳細なフロー統計を採取する。
実施例では、異常検知したフローに対してパケット中継装置100で採取した詳細なフロー統計情報を機械学習機能を備える外部装置401に送信し、外部装置401の機械学習機能で異常を検知した場合は異常検知したパケット情報を外部装置401からパケット中継装置100に送信する。
実施例では、パケット中継装置100は、外部装置401で異常検知したパケット情報に基づいて、異常検知したフローをパケット中継装置100からDPI(Deep Packet Inspection)装置500にミラーして、DPI装置500で異常検知したフローのL7情報やペイロードを含めたより詳細な分析を行なう。パケット中継装置100に対する管理は、管理端末300で行なう。
図3を参照して、パケット中継装置100の構成について説明する。
パケット中継装置100の管理は、回線119に接続した管理端末300から行なう。
図6を参照して、パケット中継装置100内部でパケットの情報を送受信するための装置内パケット情報800について説明する。
装置内パケット情報800は、受信回線情報801と、受信論理インタフェース情報810と、送信回線情報802と、送信論理インタフェース情報811と、パケットのByte長803と、パケット中継装置100内の各種判定結果を格納する判定結果804と、パケットのL2情報805と、パケットのL3情報806と、パケットのL4情報807と、パケットのL7情報808と、ペイロード809のフィールドで構成する。パケット中継装置100の内部で未確定の情報を格納するフィールドには、未確定であることを示す値を格納する。
パケット受信部102では、パケット中継装置100の受信回線101からパケットを受信すると、装置内パケット情報800の受信回線情報801にパケットの受信回線番号を格納する。そして、受信論理インタフェース情報810に未確定を示す値を格納して、送信回線情報802に未確定を示す値を格納して、送信論理インタフェース情報810に未確定を示す値を格納して、パケットのByte長を測定して装置内パケット情報800のByte長803に格納する。そして、判定結果804に未確定を示す値を格納して、パケットのL2情報を抽出してL2情報805に格納して、パケットのL3情報を抽出してL3情報806に格納して、パケットのL4情報をL4情報807に格納して、パケットのL7情報をL7情報808に格納して、パケットのペイロードをペイロード809に格納して、受信側パケット処理部103に送信する。受信回線101は、複数の回線で構成する。
受信側パケット処理部103では、パケットの受信論理インタフェースを受信回線またはTag−VLANのVLAN情報を含むL2情報805、L3情報806、L4情報807から判定する受信論理インタフェース判定、送信回線を判定するルーティング処理、パケットの転送優先度を判定するQoS判定処理、ミラーの可否を判定するミラー判定、必要に応じてL2情報805の送信元MACアドレス、宛先MACアドレスの書き換え判定、L3情報806のTTL(Time To Live)の書き換え判定等を行なう。そして、受信論理インタフェースを受信論理インタフェース情報810に格納して、送信回線を装置内パケット情報800の送信回線情報802に格納して、QoS判定結果とミラー判定結果を判定結果804に格納して、書き換え後の送信元MACアドレス、宛先MACアドレスをL2情報805に格納して、書き換え後のTTLをL3情報806に格納して、受信側セキュリティ判定部104に送信する。
受信側セキュリティ判定部104では、フィルタやuRPF、ポリサー等のセキュリティ機能でパケットの異常検知を行い、異常と判定したパケットに対しては装置内パケット情報800の判定結果804に異常を示す値を格納して、受信側統計処理部105に送信する。
受信側統計処理部105では、装置内パケット情報800の各種フィールド値に基づいてフロー統計を採取して、パケット中継処理手段106を経由して、送信側パケット処理部107に送信する。
送信側パケット処理部107では、パケットの送信論理インタフェースを送信回線またはTag−VLANのVLAN情報を含むL2情報805、L3情報806、L4情報807から判定する送信論理インタフェース判定、パケットの転送優先度を判定するQoS判定処理、ミラーの可否を判定するミラー判定を行う。そして、送信論理インタフェースを装置内パケット情報800の送信論理インタフェース情報811に格納して、QoS判定結果とミラー判定結果を判定結果804に格納して、送信側セキュリティ判定部108に送信する。
送信側セキュリティ判定部108では、フィルタやuRPF、ポリサー等のセキュリティ機能でパケットの異常検知を行い、異常と判定したパケットに対しては装置内パケット情報800の判定結果804に異常を示す値を格納して、送信側統計処理部109に送信する。送信側統計処理部109では、装置内パケット情報800の各種フィールド値に基づいてフロー統計を採取して、パケット送信部110に送信する。
パケット送信部110では、装置内パケット情報800の判定結果804のQoS判定結果に基づいた転送優先制御と、ミラー判定結果に基づいた装置内パケット情報800のコピーと、L2情報805、L3情報806、L4情報807、L7情報808、ペイロード809を抽出して送信パケットの生成を行い、送信回線112から送信パケットを送信する。送信回線112は、複数の回線で構成する。
なお、外部装置400からの受信パケットは受信回線113から受信し、外部装置401からの受信パケットは受信回線114で受信し、外部装置400への送信パケットは送信回線115から送信し、外部装置401への送信パケットは送信回線116から送信し、DPI装置500への送信パケットは送信回線117から送信する。
受信側統計処理部105で採取した受信側フロー統計情報と送信側統計処理部109で採取した送信側フロー統計情報は、制御CPU111が定期的に参照して、フロー統計情報を格納した送信パケットを生成して、回線118に接続したアナライザ200に送信する。
図4に、受信側統計処理部105の構成図を示す。なお、以降の実施例はパケット中継装置100の受信側での処理を前提に説明するが、送信側での処理も同様である。
受信側統計処理部105で受信側セキュリティ判定部104から装置内パケット情報800を受信すると、装置内パケット情報800の受信回線情報801、L2情報805、L3情報806、L4情報807のうち高速フローテーブル1055での検索に必要な情報を抽出して、高速フローテーブル1055に入力する。
図7に高速フローテーブル1055の構成図を示す。高速フローテーブル1055は、例えばCAM(Contents Addressable Memory)のような高性能な検索デバイスで構成する。高速フローテーブル1055は、フロー統計採取の対象とするフローを設定する高速フローエントリ10551〜10554から構成する。
高速フローエントリ10551〜10554は、受信回線フィールド105501、ビットマスクによるマスク付きの送信元IP(SIP)フィールド105502、マスク付きの宛先IP(DIP)マスクフィールド105503、TOSフィールド105504、L4層のプロトコルPRTフィールド、L4層のマスク付きの送信元ポート番号(SPORT)フィールド105506、L4層のマスク付きの宛先ポート番号(DPORT)フィールド105507から構成する。
図7に示す例では、受信回線1に対する高速フローエントリ10551と10552ではSIP、DIP、SPORT、DPORTをマスク付きで設定し、受信回線3に対する高速フローエントリ10553ではマスク設定せず、受信回線4に対する高速フローエントリ10554ではSPORT、DPORTをマスク付きで設定する。このように、マスク設定は回線番号毎に行なうことができる。
マスク設定した場合、連続したIPアドレスまたは連続したポート番号を持つ複数のフローを集約して設定することが可能となる。特にIoTデバイスの統計採取の場合、同一サブネット内で多数のIoTデバイスのIPアドレスが登録されるので、上述のマスク設定による集約効果として効率よくサブネット毎のIoTデバイスを設定できる。
また、同一サブネット内の複数のIoTデバイスが同一の攻撃を受けた場合、攻撃に伴う通信は複数のIoTデバイスで同期した挙動を示すため、上述のマスク設定による集約効果と攻撃通信の振る舞いを効率よく検知できる統計を提供できる。エントリ数を高速フローテーブル1055をCAMで構成する場合、検索に必要な情報を抽出して高速フローテーブル1055に入力すると、高速フローテーブルは入力された情報に対し一致する高速フローエントリ10551〜10554を検索し、高速フローエントリ10551〜10554のうち最若番のアドレスの高速フローエントリのアドレスを出力する。
なお、入力された情報に対し一致する高速フローエントリ10551〜10554が存在しない場合は、装置内パケット情報800は受信側統計処理制御部1051は高速フローテーブルに対する未登録フローであると判定し、高速フローエントリに対するエントリ登録フローを実施するが、フローの詳細は後述する。高速フローテーブル1055から出力されたアドレスを受信側統計処理制御部1051が受信すると、受信側統計処理制御部1051はアドレスを高速用詳細検索判定テーブルを参照するためのアドレスに変換し、変換後のアドレスでアドレスを高速用詳細検索判定テーブル1056を参照する。
図9に、高速用詳細検索判定テーブル1056の構成図を示す。高速用詳細検索判定テーブル1056は、高速フローテーブル1055のアドレスに対応するアドレス毎に詳細検索の必要性の有無を設定する高速用詳細検索判定エントリ10561〜10564から構成し、高速用詳細検索判定エントリ10561〜10564は、詳細検索の必要性の有無を設定する詳細検索判定フィールド105601で構成する。
高速用詳細検索判定エントリ10561〜10564が詳細検索無しを示す値である場合は、更に大容量フローテーブル1058を検索する必要なく、高速フローテーブルで一致したフローエントリがフロー統計を採取すべきフローエントリであると確定する。高速用詳細検索判定エントリ10561〜10564が詳細検索有りを示す値である場合は、更に大容量フローテーブル1058を検索する必要があり、大容量フローテーブルで一致したフローエントリがフロー統計を採取すべきフローエントリであると確定する。
図9に示す例では、高速フローエントリ10551に対応する高速用詳細検索判定エントリ10561は詳細検索無し、高速フローエントリ10552に対応する高速用詳細検索判定エントリ10562は詳細検索有り、高速フローエントリ10553に対応する高速用詳細検索判定エントリ10563は詳細検索無し、高速フローエントリ10554に対応する高速用詳細検索判定エントリ10564は詳細検索無しの設定である。
高速用詳細検索判定エントリ10561〜10564が詳細検索無しを示す値であった場合は、受信側統計処理制御部1051で高速フローテーブル1055から出力されたアドレスを高速用カウンタテーブル1057を参照するためのアドレスに変換し、変換後のアドレスで高速用カウンタテーブル1057を参照して、統計値の加算処理を行なうことにより統計採取を行なう。
図11に、高速用カウンタテーブル1057の構成図を示す。高速用カウンタテーブル1057は、高速フローテーブル1055のアドレスに対応するアドレス毎に高速用カウンタエントリ10571〜10574から構成する。高速用カウンタエントリ10571〜10574は、パケット数を統計採取するパケットカウンタフィールド105701、Byte数を統計採取するByteカウンタフィールド105702、統計採取時刻を採取する前回統計採取時刻フィールド105703、タイムアウト時間を設定するタイムアウト時間105704から構成する。高速用カウンタテーブル1057を参照すると、パケットカウンタフィールド105701の値に受信側統計処理制御部1051で1を加算して、パケットカウンタフィールド105701に書き戻す。
また、Byteカウンタフィールド105702の値に受信側統計処理制御部1051で装置内パケット情報800のByte長803を加算して、Byteカウンタフィールド105702に書き戻す。また、タイマ1061が示す現在時刻を、前回統計採取時刻フィールド105703に書く。タイムアウト時間105704は、フロー毎の通信が終了したと判定するための時間であり、パケットが到着時のタイマの示す現在時刻と前回統計採取時刻フィールド105703の差がタイムアウト時間105704より大である場合には、フロー毎の通信終了と受信側統計処理制御部1051で判定する。通信終了と判定した場合のタイムアウト処理フローは、後述する。
高速用カウンタテーブル1057による統計採取処理を終了すると、装置内パケット情報800を受信側統計処理部105からパケット中継処理手段106へ送信する。
高速用詳細検索判定エントリ10561〜10564が詳細検索有りを示す値であった場合は、装置内パケット情報800の受信回線情報801、L2情報805、L3情報806、L4情報807のうち大容量フローテーブル1055での検索に必要な情報を抽出する。そして、抽出した情報に基づいて受信側統計処理制御部1051で大容量フローテーブル1058を参照するアドレスを算出し、算出後のアドレスで大容量フローテーブル1058を参照して、大容量フローテーブル1051を用いて統計採取する際のフロー毎に対応するHash値を得る。
大容量フローテーブルを用いたフロー検索としては、Hash検索の他、フロー条件を大容量フローテーブルに設定したリストを順次一致検索する線形検索など別の検索方式を用いても良く、本発明は大容量フローテーブルの検索方式に依存しない技術である。
図8に、大容量フローテーブル1058に登録するフロー情報の構成図を示す。大容量フローテーブル1058に登録する大容量フローエントリに対応するフロー情報10581〜10584は、受信回線フィールド105801、マスク無しのSIPフィールド105802、マスク無しのDIPフィールド105803、TOSフィールド105804、PRTフィールド105805、マスク無しのSPORTフィールド105806、マスク無しのDPORTフィールド105807から構成する。
図8に示す例では、受信回線1の高速フローエントリ10551に対応する高速用詳細検索判定エントリ10561は詳細検索無しであるから、高速フローエントリ10551のフロー情報に対応する10581は未登録である。受信回線1の高速フローエントリ10552に対応する高速用詳細検索判定エントリ10562は詳細検索有りであるから、高速フローエントリ10552のフロー情報でSIP、DIP、SPORT、DPORTに関するマスクにより集約されたフローの一例としてSIP2、DIP2、TOS2、PRTがUDP、SPORT2、DPORT2のフロー情報10582に対する大容量フローエントリを大容量フローテーブル1058に登録する。
SIP、DIP、SPORT、DPORTに関するマスクを解除した各フロー情報に対する大容量フローエントリも、大容量フローテーブル1058に登録する。例えば、高速フローテーブル1055でSIPの下位1ビット、DIPの下位2ビットをマスクした高速フローエントリに対し詳細検索有りと設定する場合、大容量フローテーブル1058にはSIPの下位ビットとDIPの下位ビットに関する組み合わせとして、(SIPの下位ビット、DIPの下位ビット)=(0,00)(0,10) (0,01) (0,11)の4フローに展開したフロー情報にたいする大容量フローエントリ4エントリを登録する。
大容量フローテーブル1058をRAMで構成する場合、CAMより大容量のエントリを収容可能であるが、CAMと比較すると検索性能は低くなるため、全フローの検索には向いていない。しかし、CAMより多数のエントリを収容可能であるため、例えば高速フローテーブル1055にマスク付きで集約して登録したフローエントリの一部を、圧縮を解除して展開した多数のフローエントリとして大容量フローテーブル1058に登録し、当該の一部のフローだけを大容量フローテーブル1058で検索するという用途に適している。
大容量フローテーブル1058を参照して、大容量フローテーブル1058に基づいて統計採取するフロー毎のHash値を得ると、受信側統計処理部制御部1051でHash値から大容量用ミラー判定テーブル1059を参照するためのアドレスに変換して、大容量用ミラー判定テーブル1059を参照する。
図10に、大容量用ミラー判定テーブル1059の構成図を示す。大容量用ミラー判定テーブル1059は、大容量フローテーブル1058の大容量フローエントリに対応するフロー情報10581〜10584に対応する大容量用ミラー判定エントリ10591〜10594で構成する。大容量用ミラー判定エントリは、フロー情報10581〜10584の各フローに対してミラーを実施するか否かを設定する大容量用ミラー判定情報105901で構成する。
図10に示す例では、フロー情報10581は未登録なので、フロー情報10581に対応する大容量用ミラー判定エントリ10591には「ミラー無し」としてミラーしないことを示す値を設定する。フロー情報10582に対応する大容量用ミラー判定エントリ10592には「ミラー有り」としてミラーすることを示す値を設定している。フロー情報10583は未登録なので、フロー情報10583に対応する大容量用ミラー判定エントリ10593には「ミラー無し」としてミラーしないことを示す値を設定する。
フロー情報10584に対応する大容量用ミラー判定エントリ10594には「ミラー無し」としてミラーしないことを示す値を設定している。大容量用ミラー判定テーブル1059を参照して得られた大容量用ミラー判定情報105901は、受信側統計処理部制御部1051で装置内パケット情報800の判定結果804に転写する。大容量用ミラー判定情報105901を転写した判定結果804は、パケット送信部110でミラーの実施可否を判定する情報として参照する。
大容量用ミラー判定テーブル1059に関する処理を終了すると、受信側統計処理部制御部1051で、大容量フローテーブル1058に基づいて統計採取するフロー毎のHash値から大容量用カウンタテーブル1060を参照するためのアドレスに変換し、変換後のアドレスで大容量用カウンタテーブル1060を参照して、統計値の加算処理を行なうことにより統計採取を行なう。
図12に、大容量用カウンタテーブル1060の構成図を示す。大容量用カウンタテーブル1060は、大容量フローテーブル1058のアドレスに対応するアドレス毎に大容量用カウンタエントリ10601〜10604から構成する。
大容量用カウンタエントリ10601〜10604は、パケット数を統計採取するパケットカウンタフィールド106001、Byte数を統計採取するByteカウンタフィールド106002、統計採取時刻を採取する前回統計採取時刻フィールド106003、タイムアウト時間を設定するタイムアウト時間106004から構成する。大容量用カウンタテーブル1060を参照すると、パケットカウンタフィールド106001の値に受信側統計処理制御部1051で1を加算して、パケットカウンタフィールド105701に書き戻す。
また、Byteカウンタフィールド106002の値に受信側統計処理制御部1051で装置内パケット情報800のByte長803を加算して、Byteカウンタフィールド106002に書き戻す。また、タイマ1061が示す現在時刻を、前回統計採取時刻フィールド106003に書く。タイムアウト時間106004は、フロー毎の通信が終了したと判定するための時間でる。パケットが到着時のタイマの示す現在時刻と前回統計採取時刻フィールド106003の差がタイムアウト時間106004より大である場合には、フロー毎の通信終了と受信側統計処理制御部1051で判定する。通信終了と判定した場合のタイムアウト処理フローは、後述する。
大容量用カウンタテーブル1060による統計採取処理を終了すると、装置内パケット情報800を受信側統計処理部105からパケット中継処理手段106へ送信する。
以上では、高速フローテーブル1055でマスクを用いたフローエントリの集約により高速フローテーブル1055のエントリ数を削減して消費電力を削減すると共に、異常検知した場合は異常検知したフローが属する高速フローテーブル1055の集約した高速フローエントリに対応する高速用詳細検索判定エントリ10562の詳細検索判定フィールド105602の設定を「詳細検索無し」から「詳細検索有り」に変更する。
そして、異常検知したフローが属する高速フローテーブル1055の集約フローエントリを大容量フローテーブル1058にマスクを解除したフローエントリとして登録し、マスクを解除したフロー毎に詳細に統計採取し、更に大容量フローテーブル1058を用いた統計により異常検知した場合は、異常検知したフローに対する大容量フローエントリに対する大容量用ミラー判定エントリ10592の大容量用ミラー判定情報105901の設定を「ミラー無し」から「ミラー有り」に変更する。異常検知したフローをDPI装置500にミラーしてL7情報808、ペイロード809を含めた詳細分析を行なう実施例1について説明した。
次に、実施例1で各テーブルに対するエントリ登録とエントリ削除のフローと、フローにおいて用いるテーブル構成について説明する。
図4のフローグループ学習部1052は、制御CPU111が高速フローテーブル1055に対する高速フローエントリを登録する際に、高速フローエントリを集約するためのマスク設定を学習するために用いる。
フローグループ学習部1052では、制御CPU111からエントリ登録の契機として送信された未登録パケットの装置内パケット情報800から受信回線情報801と送信回線情報802を抽出して、受信回線情報801と送信回線情報802の各々に基づいて回線毎マスク指示テーブル1053を参照する。
なお、制御CPU111が送信する未登録パケットの装置内パケット情報800は、受信側統計処理部制御部1051が到着パケットを未登録パケットと判定した際に制御CPU111に対してエントリ登録要求と共に送信する装置内パケット情報800である。なお、回線毎マスク指示テーブル1053を回線毎ではなく図6に示す論理インタフェース毎の論理インタフェース毎マスク指示テーブルとすることで、回線毎のマスク設定ではなく論理インタフェース毎のマスク設定とすることも可能である。 論理インタフェース毎マスク指示テーブルとする場合には、以下の図21に関する説明の「回線」を「論理インタフェース」と読み替える。
図21に、回線毎マスク指示テーブル1053の構成図を示す。
回線毎マスク指示テーブル1053は、回線番号をアドレス105300として、アドレス毎に回線毎マスク指示エントリ10531〜10534から構成する。回線毎マスク指示エントリ10531〜10534は、SIPに対しビット毎のマスクをかけすSIPマスク有無を示すSIPマスクフィールド105301、DIPマスク有無を示すDIPマスクフィールド105302、SPORTマスク有無を示すSPORTマスクフィールド105303 、DPORTマスク有無を示すDPORTマスクフィールド105304から構成する。回線毎マスク指示テーブル1053の設定は、ユーザが回線毎に統計採取したい分解能に基づいて、管理端末300経由でパケット中継装置100に設定する。
制御CPU111が回線毎マスク指示テーブル1053を参照した際に、回線毎マスク指示テーブル1053がSIPマスク有りを指示していた場合は、制御CPU111からエントリ登録の契機として送信された未登録パケットの装置内パケット情報800からL3情報806のSIPを抽出する。そして、SIPをフローグループ学習部1052から受信側パケット処理部103に送信し、受信側パケット処理部103は受信したSIPでルーティングテーブル1031を参照して、当該のSIPのネットワークアドレスとマスク情報を得る。
制御CPU111が回線毎マスク指示テーブル1053を参照した際に、回線毎マスク指示テーブル1053がDIPマスク有りを指示していた場合は、制御CPU111からエントリ登録の契機として送信された未登録パケットの装置内パケット情報800からL3情報806のDIPを抽出する。そして、DIPをフローグループ学習部1052から受信側パケット処理部103に送信し、受信側パケット処理部103は受信したDIPでルーティングテーブル1031を参照して、当該のDIPのネットワークアドレスとマスク情報を得る。
制御CPU111が回線毎マスク指示テーブル1053を参照した際に、回線毎マスク指示テーブル1053がSPORTマスク有りを指示していた場合は、制御CPU111からエントリ登録の契機として送信された未登録パケットの装置内パケット情報800からL3情報806のSPORTを抽出する。そして、SPORTをフローグループ学習部1052からポート番号毎マスク指示テーブル1054に送信し、当該のSPORTに対するマスク情報を得る。
制御CPU111が回線毎マスク指示テーブル1053を参照した際に、回線毎マスク指示テーブル1053がDPORTマスク有りを指示していた場合は、制御CPU111からエントリ登録の契機として送信された未登録パケットの装置内パケット情報800からL3情報806のDPORTを抽出する。そして、DPORTをフローグループ学習部1052からポート番号毎マスク指示テーブル1054に送信し、当該のDPORTに対するマスク情報を得る。
図22に、ポート番号毎マスク指示テーブル1054の構成図を示す。ポート番号毎マスク指示テーブル1054は、ポート番号をアドレス105400として、アドレス毎にポート毎マスク指示エントリ10541〜10546から構成する。ポート毎マスク指示エントリ10541〜10546は、ポートに対しビット毎のマスクをかけるポートマスク有無を示すポートマスクフィールド105401と、連続したポート番号空間にポートマスクをかける下位ビットマスクのビット数を示すマスクビット数フィールド105402から構成する。
ポート毎マスク指示テーブル1054の設定は、ユーザがポート毎に統計採取したい分解能に基づいて、管理端末300経由でパケット中継装置100に設定する。
図22に示す例では、FTPのデータ通信を示すポート番号20とFTPのコントロール通信を示すポート番号21を、同じFTPに関する通信を示すポート番号として集約してエントリ登録する場合の設定例を示している。
FTPのデータ通信を示すポート番号20とFTPのコントロール通信を示すポート番号21のポートマスクフィールド105401を「ポートマスク有り」に設定し、マスクビット数フィールド105402を1に設定する。これにより、ポート番号20(2進数の10100)とポート番号21(2進数の10101)の2エントリを1010x(x:マスクビット)という1エントリで表現することが可能となり、登録エントリを集約することで登録エントリ数を削減することができる。
また、図22に示す例では、ポート番号49152(2進数の1100000000000000)からポート番号65535(2進数の1111111111111111)を、クライアント側に短期間だけ発生するポート番号であるエフェメラルポート(短命ポート)として集約してエントリ登録する場合の設定例を示している。
ポート番号49152からポート番号65535のポートマスクフィールド105401を「ポートマスク有り」に設定し、マスクビット数フィールド105402を14に設定することで、ポート番号49152からポート番号65535の16384エントリを11xxxxxxxxxxxxxxという1エントリで表現することが可能となる。この結果、登録エントリを集約することで登録エントリ数を削減することができる。
また、通信用途に対し一意に定まるポート番号はサーバ側に設定され、クライアント側のポート番号は通信用途によらないエフェメラルポートとして設定されるため、クライアント側のポート番号によらずサーバ側のポート番号だけでエントリを集約することによりフローエントリ数を削減することも可能である。この場合、受信側統計処理部105または送信側統計処理部109各々の回線毎通信方向テーブル1063で回線毎に通信方向を設定し、クライアント→サーバ方向の通信ではSPORT(クライアント側のポート番号)を全ビットマスクする。また、サーバ→クライアント方向の通信ではDPORT(クライアント側のポート番号)を全ビットマスクして登録する。これにより、クライアント側のポート番号によらずサーバ側のポート番号だけによるエントリの集約を実現できる。
図5に、回線毎通信方向テーブル1063の構成図を示す。
回線毎通信方向テーブル1063は、回線毎の通信方向を設定する回線毎通信方向エントリ10631〜10633から構成する。回線毎通信方向エントリ10631は、通信方向を設定する通信方向フィールド106301で構成する。図5に示す例では、回線番号1に対する回線毎通信方向エントリ10631は「クライアント→サーバ」方向の通信であり、回線番号3に対する回線毎通信方向エントリ10632は「サーバ→クライアント」方向の通信である。回線番号4に対する回線毎通信方向エントリ10633は「クライアント→サーバ」方向の通信である。回線毎通信方向テーブル1063の設定は、ユーザが回線の受信側、送信側毎にネットワークにおけるサーバとクライアントの配置構成に応じて、管理端末300経由でパケット中継装置100に設定する。
なお、回線毎通信方向テーブル1063を回線毎ではなく図6に示す論理インタフェース毎の論理インタフェース毎通信方向テーブルとすることで、回線毎のマスク設定ではなく論理インタフェース毎の通信方向を設定することも可能である。論理インタフェース毎通信方向テーブルとする場合には、図5に関する説明の「回線」を「論理インタフェース」と読み替える。
以上に説明したテーブルを用いた、高速フローテーブル1055、高速用詳細検索判定テーブル1056、高速用カウンタテーブル1057、大容量フローテーブル1058、大容量用ミラー判定テーブル1059、大容量用カウンタテーブル1060に対するエントリ登録とエントリ削除のフローを、以下に説明する。
図13に、高速フローテーブル1055のエントリ登録のフローチャートを示す。
高速フローテーブル1055のエントリ登録のフローチャートは、START(ステップ900)を起点とする。受信側統計処理部制御部1051に受信パケットが到着すると(ステップ901)、高速フローテーブル1055を受信パケットで検索する(ステップ902)。
高速フローテーブル1055で受信パケットに一致するHITエントリの有無を判定し(ステップ903)、HITエントリが有る場合は、エントリ登録せずEND(ステップ904)でフローチャートを終了する。HITエントリが無い場合は、受信側統計処理部制御部1051から制御CPU111宛にエントリ登録要求と受信パケットの装置内パケット情報800を送信(ステップ905)する。
制御CPU111は、エントリ登録要求と受信パケットの装置内パケット情報800を受信すると、装置内パケット情報800のL3情報806のSIP、DIP、SPORT、DPORTに基づいて回線毎マスク指示テーブル1053を参照する(ステップ906)。
SIPで回線毎マスク指示テーブル1053を参照した結果、回線毎マスク指示テーブル1053でSIPのマスクを指示しているか判定(ステップ907)し、指示していない場合は後述のステップ923に進む。指示している場合は、制御CPU111がSIPでルーティングテーブル1041を検索(ステップ908)する。検索結果、SIPに一致したルーティングエントリを制御CPU111が読み出すことで、SIPに対するネットワークアドレスと、SIPからネットワークアドレスを得るためのマスク情報を取得(ステップ909)する。
例えば、SIPが192.168.1.40で、192.168.1.40が一致するルーティングテーブル1041のルーティングエントリが192.168.1.0/24の場合、ネットワークアドレスは192.168.1.0である。SIP192.168.1.40の下位8ビット(ホストアドレス部)をマスクしたマスク情報で高速フローエントリを設定することで、ネットワークアドレスは192.168.1.0に所属するホストのIPアドレス192.168.1.1〜192.168.1.254のフローを集約する高速フローエントリを設定することができる(なお、192.168.1.0/24は192.168.1.0のネットワークアドレスと192.168.1.255のブロードキャストアドレスも含む)。
次に、ステップ905で制御CPU111が受信した装置内パケット情報800のL3情報806のSIPをステップ909で取得したマスク情報付きのネットワークアドレス(上述の例における192.168.1.0/24のCIDR表記のIPアドレスに相当する情報)に変更(ステップ910)した装置内パケット情報800を登録エントリデータとして、ステップ923に進む。
ステップ908でSIPに一致するルーティングエントリが存在しない場合は、ステップ910で装置内パケット情報800のL3情報806のSIPの変更をせず、そのまま装置内パケット情報800 を登録エントリデータとして、ステップ923に進む。
同様に、ステップ907の処理と並行してDIPで回線毎マスク指示テーブル1053を参照した結果、回線毎マスク指示テーブル1053でDIPのマスクを指示しているか判定(ステップ911)し、指示していない場合は後述のステップ923に進む。
指示している場合は、制御CPU111がDIPでルーティングテーブル1041を検索(ステップ912)する。検索結果、DIPに一致したルーティングエントリを制御CPU111が読み出すことで、DIPに対するネットワークアドレスと、DIPからネットワークアドレスを得るためのマスク情報を取得(ステップ913)する。
次に、ステップ905で制御CPU111が受信した装置内パケット情報800のL3情報806のDIPをステップ909で取得したマスク情報付きのネットワークアドレスに変更(ステップ914)した装置内パケット情報800を登録エントリデータとして、ステップ923に進む。
ステップ908でDIPに一致するルーティングエントリが存在しない場合は、ステップ914で装置内パケット情報800のL3情報806のDIPの変更をせず、そのまま装置内パケット情報800を登録エントリデータとして、ステップ923に進む。
同様に、ステップ907の処理と並行してSPORTで回線毎マスク指示テーブル1053を参照した結果、回線毎マスク指示テーブル1053でSPORTのマスクを指示しているか判定(ステップ915)し、指示していない場合は後述のステップ923に進む。
指示している場合は、制御CPU111がSPORTでポート番号毎マスク指示テーブル1054を参照(ステップ916)する。参照結果、SPORTのポートマスクフィールド105401とマスクビット数フィールド105402を制御CPU111が読み出すことで、SPORTに対するマスク情報を取得(ステップ917)する。
次に、ステップ905で制御CPU111が受信した装置内パケット情報800のL3情報806のSPORTをステップ909で取得したマスク情報付きのSPORTに変更(ステップ918)した装置内パケット情報800 を登録エントリデータとして、ステップ923に進む。
同様に、ステップ907の処理と並行してDPORTで回線毎マスク指示テーブル1053を参照した結果、回線毎マスク指示テーブル1053でDPORTのマスクを指示しているか判定(ステップ919)し、指示していない場合は後述のステップ923に進む。
指示している場合は、制御CPU111がDPORTでポート番号毎マスク指示テーブル1054を参照(ステップ920)する。参照結果、DPORTのポートマスクフィールド105401とマスクビット数フィールド105402を制御CPU111が読み出すことで、DPORTに対するマスク情報を取得(ステップ921)する。
次に、ステップ905で制御CPU111が受信した装置内パケット情報800のL3情報806のDPORTをステップ909で取得したマスク情報付きのDPORTに変更(ステップ922)した装置内パケット情報800 を登録エントリデータとして、ステップ923に進む。
ステップ923では、制御CPU111が高速フローテーブル1055の空きエントリ検索(ステップ923)し、空きエントリの有無を判定(ステップ924)する。空きエントリが無い場合は、高速フローテーブル1055に空きエントリ無しで登録不可となりエントリ登録せずEND(ステップ925)でフローチャートを終了する。
空きエントリがある場合は、制御CPU111が高速フローテーブル1055の空きエントリiに 受信パケットの装置内パケット情報800をステップ910、ステップ914、ステップ918、ステップ922で書き換えた登録エントリデータでエントリ登録(ステップ926)する。
次に、制御CPU111が高速用詳細検索判定テーブル1056に「詳細検索無し」の詳細検索判定エントリiを登録(ステップ927)する。次に、制御CPU111が高速用カウンタテーブル1057の 高速用カウンタエントリiのパケットカウンタ105701、Byteカウンタ105702、前回統計採取時刻105703をクリアタイムアウト時間105704を設定(ステップ928)して、エントリ登録終了となりEND(ステップ929)でフローチャートを終了する。
図14に、高速フローテーブル1055のエントリ削除のフローチャートを示す。
高速フローテーブル1055のエントリ削除のフローチャートは、START(ステップ1000)を起点とする。高速フローテーブル1055のエントリ削除では、高速フローエントリ10551は複数のフローを集約したエントリであるため、特定のフローが通信終了したことをTCPのFINフラグ等で明示的に判定できた場合であってもエントリ削除できない。従って、高速フローエントリ10551に対する高速フローカウンタエントリ10571に対する統計採取が一定のタイムアウト期間発生しないことを基準としてタイムアウトと判定し、高速フローエントリ10551をエントリ削除する方式とする。
まず、高速用カウンタエントリのエントリ番号を示す変数iを0とする。また高速用カウンタエントリの全エントリ数をnとする(ステップ1001)。タイマ1061が高速用カウンタエントリiのタイムアウトチェック時刻であるか否かを判定(ステップ1002)し、タイムアウトチェック時刻で無い場合は、iに1を加算(ステップ1003)して、iがn+1に等しいか判定(ステップ1004)する。
iがn+1に等しくない場合は、ステップ1002に進み、iがn+1に等しい場合は高速用カウンタエントリの全エントリに対するタイムアウトの判定を終了したことになるので、また高速用カウンタエントリの先頭からタイムアウト判定を始めるため、ステップ1001に進む。
タイムアウトチェック時刻である場合は、高速用カウンタテーブル1057の
高速用カウンタエントリiを読み出し(ステップ1005)して、「タイマ1061−高速用カウンタエントリiの前回統計採取時刻105703>タイムアウト時間105704」であるか否かを判定(ステップ1006)するタイムアウト判定の処理をする。ステップ1006がNOである場合は、高速用カウンタエントリiはタイムアウトでないと判定したので、次の高速用カウンタエントリの判定に進むため、ステップ1003に進む。
ステップ1006がYESである場合は、高速用カウンタエントリiはタイムアウトであると判定したので、受信側統計処理部制御部1051は制御CPU111に高速フローテーブル1055の高速フローエントリiの削除要求を送信(ステップ1007)する。すると、制御CPU111は高速用カウンタテーブル1057の高速用カウンタエントリiを読み出し(ステップ1009)する。
読み出した高速用カウンタエントリiのパケットカウンタ105701とByteカウンタ105702を、受信側統計処理部制御部1051から制御CPU111に送信(ステップ1010)する。制御CPU111は、受信したパケットカウンタ105701とByteカウンタ105702をアナライザ200へ送信(ステップ1011)する。次に、制御CPU111が高速用カウンタテーブル1057の 高速用カウンタエントリiを削除(ステップ1013)してエントリ削除終了となり、END(ステップ1014)でフローチャートを終了する。
図15に、パケット中継装置100による異常検知を契機とする大容量フローテーブル1058のエントリ登録のフローチャートを示す。
パケット中継装置100による異常検知を契機とする大容量テーブル1058エントリ登録フローチャートは、START(ステップ1100)を起点とする。受信側統計処理部制御部1051に受信パケット到着(ステップ1101)すると、受信パケットが受信側判定部104で異常検知済であるか判定(ステップ1102)する。判定結果、異常検知が未である場合は、大容量フローテーブル1058に対するエントリ登録をせず、END(ステップ1103)でフローチャートを終了する。
判定結果、異常検知済の場合は、高速フローテーブル1055を受信パケットで検索(ステップ1104)し、高速フローテーブル1055で受信パケットに一致するHITエントリの有無を判定(ステップ1105)する。これは、実施例では異常検知したフローを大容量フローテーブル1058に登録し、まず、高速フローテーブル1055を検索して詳細検索有りと判定した場合に大容量フローテーブル1058を検索して異常検知したフローに関するフロー統計を採取する方式としているためである。
異常検知したフローに対する高速フローエントリが高速フローテーブル1055に未登録である場合には、詳細検索の有無を判定できないので、大容量フローテーブル1058の検索をすることができなくなってしまう。そのため、異常検知したフローに対する高速フローエントリが高速フローテーブル1055に登録済か確認し、未登録である場合には登録する処理が必要である。
ステップ1105で受信パケットに一致するHITエントリが有りと判定した場合は、iに高速フローエントリ1055のHITエントリ番号を代入(ステップ1106)して、ステップ1111に進む。
ステップ1105で受信パケットに一致するHITエントリが有りと判定した場合は、図13のフローチャートにおけるステップ905〜ステップ928の処理を実施(ステップ1107)する。ステップ905〜ステップ928の処理において、ステップ925の処理を実施したか否かを判定(ステップ1108)し、ステップ925の処理を実施した場合は、高速フローテーブル1055に空きエントリ無しで登録不可となり、END(ステップ1109)でフローチャートを終了する。
ステップ925の処理を実施しなかった場合は、iに高速テーブル1055の登録エントリ番号を代入(ステップ1110)し、ステップ1111へ進む。
ステップ1111では、制御CPU1111が大容量フローテーブル1058の空きエントリを検索(ステップ1111)する。
ステップ1111の検索結果、空きエントリの有無を判定(ステップ1112)し、空きエントリ無しの場合は大容量フローテーブル1058に空きエントリ無しで登録不可となり、END(ステップ1113)でフローチャートを終了する。
空きエントリ有りの場合は、制御CPU111が大容量フローテーブル1058の空きエントリjに受信パケットの装置内パケット情報800のうち大容量フローテーブル1058のエントリ登録に必要な情報を受信パケットヘッダとしてエントリ登録(ステップ1114)する。
次に、制御CPU111がステップ1114で大容量フローテーブル1058に登録した大容量フローエントリjに対応する大容量用ミラー判定テーブル1059に、「ミラー無し」のミラー判定エントリjを登録(ステップ1115)する。
次に、制御CPU111がステップ1114で大容量フローテーブル1058に登録した大容量フローエントリjに対応する大容量用カウンタテーブル1060の大容量用カウンタエントリjのパケットカウンタ106001、Byteカウンタ106002、前回統計採取時刻106003をクリアし、タイムアウト時間106004を設定(ステップ1116)する。
次に、制御CPU111がステップ1106またはステップ1110で決定した高速フローテーブル1055の高速フローエントリiに対応する高速用詳細検索判定テーブル1056の詳細検索判定エントリiに「詳細検索有り」と設定(ステップ1117)して、エントリ登録終了となり、END(ステップ1118)でフローチャートを終了する。
図16に、外部装置400による異常検知を契機とする大容量フローテーブル1058のエントリ登録のフローチャートを示す。
外部装置400による異常検知を契機とする大容量フローテーブル1058のエントリ登録のフローチャートは、START(ステップ1200)を起点とする。外部装置400で異常検知(ステップ1201)すると、外部装置400がパケット中継装置100に異常検知パケットのパケット情報を送信(ステップ1202)する。
パケット中継装置100が異常検知パケットのパケット情報を受信すると、パケット情報を制御CPU111に送信し、制御CPU111で異常検知パケットのパケット情報を受信(ステップ1203)する。制御CPU111で異常検知パケットのパケット情報を受信すると、制御CPU111が高速フローテーブル1055を受信した異常検知パケットのパケット情報で検索(ステップ1204)する。
検索結果、高速フローテーブル1055に異常検知パケットに一致するHITエントリの有無を判定(ステップ1205)する。ステップ1205で異常検知パケットに一致するHITエントリが有りと判定した場合は、iに高速フローエントリ1055のHITエントリ番号を代入(ステップ1206)して、ステップ1111に進む。
ステップ1205で受信パケットに一致するHITエントリが有りと判定した場合は、図13のフローチャートにおけるステップ905〜ステップ928の処理を実施(ステップ1207)する。ステップ905〜ステップ928の処理において、ステップ925の処理を実施したか否かを判定(ステップ1208)し、ステップ925の処理を実施した場合は、高速フローテーブル1055に空きエントリ無しで登録不可となり、END(ステップ1209)でフローチャートを終了する。
ステップ925の処理を実施しなかった場合は、iに高速テーブル1055の登録エントリ番号を代入(ステップ1210)し、ステップ1211へ進む。ステップ1211では、制御CPU1111が大容量フローテーブル1058の空きエントリを検索(ステップ1211)する。
ステップ1211の検索結果、空きエントリの有無を判定(ステップ1212)し、空きエントリ無しの場合は大容量フローテーブル1058に空きエントリ無しで登録不可となり、END(ステップ1213)でフローチャートを終了する。
空きエントリ有りの場合は、制御CPU111が大容量フローテーブル1058の空きエントリjに異常検知パケットの装置内パケット情報800のうち大容量フローテーブル1058のエントリ登録に必要な情報を異常検知パケットヘッダとしてエントリ登録(ステップ1214)する。
次に、制御CPU111がステップ1114で大容量フローテーブル1058に登録した大容量フローエントリjに対応する大容量用ミラー判定テーブル1059に、「ミラー無し」のミラー判定エントリjを登録(ステップ1215)する。
次に、制御CPU111がステップ1114で大容量フローテーブル1058に登録した大容量フローエントリjに対応する大容量用カウンタテーブル1060の大容量用カウンタエントリjのパケットカウンタ106001、Byteカウンタ106002、前回統計採取時刻106003をクリアし、タイムアウト時間106004を設定(ステップ1116)する。
次に、制御CPU111がステップ1106またはステップ1110で決定した高速フローテーブル1055の高速フローエントリiに対応する高速用詳細検索判定テーブル1056の詳細検索判定エントリiに「詳細検索有り」と設定(ステップ1217)して、エントリ登録終了となり、END(ステップ1218)でフローチャートを終了する。
図17に、パケット中継装置100による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートを示す。
パケット中継装置100による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートは、START(ステップ1300)を起点とする。制御CPU111が大容量用カウンタテーブル1060の大容量用カウンタエントリiのパケットカウンタ106001、Byteカウンタ106002で異常検知(ステップ1301)すると、制御CPU111が大容量用ミラー判定テーブル1059のミラー判定エントリiに「ミラー有り」と設定(ステップ1302)して、ミラー設定終了となり、END(ステップ1303)でフローチャートを終了する。
図18に、外部装置400による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートを示す。
外部装置400による大容量カウンタテーブル1060の異常検知を契機とする大容量用ミラー判定テーブル1059へのミラー設定のフローチャートは、START(ステップ1400)を起点とする。外部装置400が大容量用カウンタテーブル1060の 大容量用カウンタエントリiのパケットカウンタ106001、Byteカウンタ106002で異常検知(ステップ1401)すると、外部装置400がパケット中継装置100に異常検知の情報と異常検知した大容量用カウンタエントリiの情報を送信(ステップ1402)する。
パケット中継装置100は、異常検知の情報と異常検知した大容量用カウンタエントリiの情報を受信すると、異常検知の情報と異常検知した大容量用カウンタエントリiの情報を制御CPU111に送信する。制御CPU111が異常検の情報と異常検知した大容量用カウンタエントリiの情報を受信(ステップ1403)すると、制御CPU111が大容量用ミラー判定テーブル1059のミラー判定エントリiに「ミラー有り」と設定(ステップ1404)し、ミラー設定終了となり、END(ステップ1405)でフローチャートを終了する。
なお、ステップ1401で外部装置400が機械学習機能を備える場合、大容量用カウンタエントリiのパケットカウンタ106001、Byteカウンタ106002による異常検知は、大容量用カウンタエントリiのパケットカウンタ106001、Byteカウンタ106002の情報を制御CPU111が定期的に読み出して機械学習機能を備える外部装置400に送信する。そして、外部装置400が備える機械学習を用いて大容量用カウンタエントリiのパケットカウンタ106001、Byteカウンタ106002を分析して異常検知する方法としても構わない。
図19に、タイムアウトを契機とする大容量フローテーブル1058のエントリ削除のフローチャートを示す。
タイムアウトを契機とする大容量フローテーブル1058のエントリ削除のフローチャートは、START(ステップ1500)を起点とする。まず、大容量用カウンタエントリのエントリ番号を示す変数iを0とする。また大容量用カウンタエントリの全エントリ数をnとする(ステップ1501)。タイマ1061が大容量用カウンタエントリiのタイムアウトチェック時刻であるか否かを判定(ステップ1502)し、タイムアウトチェック時刻で無い場合は、iに1を加算(ステップ1503)して、iがn+1に等しいか判定(ステップ1504)する。
iがn+1に等しくない場合は、ステップ1502に進み、iがn+1に等しい場合は大容量用カウンタエントリの全エントリに対するタイムアウトの判定を終了したことになるので、また大容量用カウンタエントリの先頭からタイムアウト判定を始めるため、ステップ1501に進む。
タイムアウトチェック時刻である場合は、大容量用カウンタテーブル1060の大容量用カウンタエントリiを読み出し(ステップ1505)して、「タイマ1061−大容量用カウンタエントリiの前回統計採取時刻106003>タイムアウト時間106004」であるか否かを判定(ステップ1506)するタイムアウト判定の処理をする。
ステップ1506がNOである場合は、大容量用カウンタエントリiはタイムアウトでないと判定したので、次の大容量用カウンタエントリの判定に進むため、ステップ1503に進む。
ステップ1506がYESである場合は、大容量用カウンタエントリiはタイムアウトであると判定したので、受信側統計処理部制御部1051は制御CPU111に大容量フローテーブル1058の大容量フローエントリiの削除要求を送信(ステップ1507)する。すると、制御CPU111は大容量用カウンタテーブル1060の大容量用カウンタエントリiを読み出し(ステップ1509)する。
読み出した大容量用カウンタエントリiのパケットカウンタ106001とByteカウンタ106002を、受信側統計処理部制御部1051から制御CPU111に送信(ステップ1510)する。制御CPU111は、受信したパケットカウンタ106001とByteカウンタ106002をアナライザ200へ送信(ステップ1511)する。次に、制御CPU111が大容量用カウンタテーブル1060の 大容量用カウンタエントリiを削除(ステップ1513)してエントリ削除終了となり、END(ステップ1514)でフローチャートを終了する。
図20に、TCPのFINパケット受信を契機とする大容量フローテーブル1058のエントリ削除のフローチャートを示す。
TCPのFINパケット受信を契機とする大容量フローテーブル1058のエントリ削除のフローチャートは、START(ステップ1600)を起点とする。受信側統計処理部制御部1051に受信パケットが到着(ステップ1601)すると、受信パケットはTCPかつFINフラグ=1であるか否かを判定(ステップ1602)する。受信パケットはTCPかつFINフラグ=1でない場合は、通信終了ではないため削除不要であり、END(ステップ1603)でフローチャートを終了する。
受信パケットはTCPかつFINフラグ=1である場合は、受信パケットの統計採取処理(ステップ1604)を実施して、受信側統計処理部制御部1051から制御CPU111宛にエントリ削除要求と受信パケットの装置内パケット情報800を送信(ステップ1605)する。制御CPU111が受信パケットの装置内パケット情報800のうち大容量フローテーブル1058の検索に必要な情報で大容量フローテーブル1058の削除エントリを検索(ステップ1606)すると、削除エントリiの有無を判定(ステップ1607)する。削除エントリiが無い場合は、削除せず終了となり、END(ステップ1608)でフローチャートを終了する。
削除エントリiが有る場合は、制御CPU111が大容量フローテーブル1057の大容量フローテーブルエントリiを削除(ステップ1609)して、制御CPU111が大容量用カウンタテーブル1060の大容量用カウンタエントリiを読み出す(ステップ1610)。読み出した大容量用カウンタエントリiのパケットカウンタ106001とByteカウンタ106002を制御CPU111に送信する(ステップ1611)。
制御CPU111が受信したパケットカウンタ106001とByteカウンタ106002をアナライザ200へ送信(ステップ1612)して、制御CPU111が大容量用ミラー判定テーブル1059の大容量用ミラー判定エントリiを削除する(ステップ1613)。制御CPU111が大容量用カウンタテーブル1060の大容量用カウンタエントリiを削除(ステップ1614)して、エントリ削除終了となり、END(ステップ1615)でフローチャートを終了する。
上述のように、実施例では、以下の態様を有する。この結果、高速フローテーブルに登録する際のフローエントリ数を圧縮してフローエントリ数の増大を抑えると共に、消費電力の増大を抑えることができる。つまり、セキュリティ上の異常の検知または異常の予兆の検知を契機として、異常フローまたは異常予兆フローに的を絞って統計採取できる。また、高速フローテーブルに登録する際のフローエントリ数を圧縮してフローエントリ数の増大を抑えると共に、消費電力の増大を抑えることができる。
[態様1]
受信パケットまたは送信パケットのフロー統計をカウントするパケット中継装置であって、第一のフローテーブルと第二のフローテーブルを備え、異常または異常の予兆を検知していないフローの受信パケットまたは送信パケットは第一のフローテーブルを検索対象とし、異常または異常の予兆を検知すると、異常または異常の予兆を検知したフローを第二のフローテーブルに設定し、異常または異常の予兆を検知したフローの受信パケットまたは送信パケットは第二のフローテーブルを検索対象とする。
態様1のパケット中継装置によれば、異常または異常の予兆を検知したフローを、異常または異常の予兆を検知したフローの統計採取に適したフローテーブルで検索することができる。
[態様2]
態様1のパケット中継装置であって、パケット中継装置と異なる外部装置で異常または異常の予兆を検知すると、異常または異常の予兆を検知したフローの情報を外部装置から受信し、異常または異常の予兆を検知したフローの情報を第二のフローテーブルに設定する。
態様2のパケット中継装置によれば、外部装置で異常または異常の予兆を検知したフローを、異常または異常の予兆を検知したフローの統計採取に適したフローテーブルで検索することができる。
[態様3]
態様1のパケット中継装置であって、第二のフローテーブルで採取したフロー統計の値に基づいて異常または異常の予兆を検知したフローをミラーする。
態様3のパケット中継装置によれば、自装置のフロー統計で異常または異常の予兆を検知したフローをDPI装置にミラーして、自装置では実施できないセキュリティ分析を外部装置で実施することができる。また、DPI装置は分析性能が低いため分析負荷を低減する必要があるが、自装置のフロー統計で異常または異常の予兆を検知したフローだけをDPI装置にミラーすることで、DPI装置に対する分析負荷を低減することができる。
[態様4]
態様1のパケット中継装置であって、第一のフローテーブルをCAMで構成し、第二のフローテーブルをRAMで構成する。
態様4のパケット中継装置によれば、第一のフローテーブルを高速検索可能なCAMで構成し、第二のフローテーブルを大容量のRAMで構成することができる。
[態様5]
態様4のパケット中継装置であって、異常または異常の予兆を検知していない第一のフローテーブルに未登録のフローの受信パケットまたは送信パケットが到着すると、少なくとも送信元IPアドレスまたは宛先IPアドレスのいずれかのネットワークアドレスのホスト部に検索マスクをかけてCAMに登録する。
態様5のパケット中継装置によれば、送信元IPアドレスまたは宛先IPアドレスをネットワークアドレス毎に束ねてCAMに登録することができるので、CAMに登録するエントリ数を圧縮することができると共にCAMの消費電力を低減できる。
[態様6]
態様5のパケット中継装置であって、異常または異常の予兆を検知すると、異常または異常の予兆を検知したフローが一致するCAMに登録したエントリを削除し、第二のフローテーブルのRAMに、CAMから削除したエントリに一致するフローの全てが一致する複数のエントリを登録する。
態様6のパケット中継装置によらなければ、異常または異常の予兆を検知後も、異常または異常の予兆を検知したフローに対しまずCAMを検索するとネットワークアドレス毎に束ねたエントリに一致してしまい、異常または異常の予兆を検知したフローのホスト毎の統計採取ができない。これに対し、態様6のパケット中継装置によれば、異常または異常の予兆を検知後も、異常または異常の予兆を検知したフローに対しまずCAMを検索して、CAMに一致エントリがない場合はRAMを検索して異常または異常の予兆を検知したフローのホスト毎の統計採取ができる。
[態様7]
態様4のパケット中継装置であって、異常または異常の予兆を検知していない第一のフローテーブルに未登録のフローの受信パケットまたは送信パケットが到着すると、少なくともL4層の送信元ポート番号または宛先ポート番号のいずれかに対し、ポート番号の一部ビットに検索マスクをかけてCAMに登録する。
態様7のパケット中継装置によれば、複数の送信元ポート番号または複数の宛先ポート番号を束ねてCAMに登録することができるので、CAMに登録するフローエントリ数を圧縮することができると共にCAMの消費電力を低減できる。
[態様8]
態様7のパケット中継装置であって、異常または異常の予兆を検知していない第一のフローテーブルに未登録のフローの受信パケットまたは送信パケットが到着すると、少なくとも送信元ポート番号または宛先ポート番号のいずれかに対し、ポート番号の下位ビットに検索マスクをかけてCAMに登録する。
態様8のパケット中継装置によれば、送信元ポート番号または宛先ポート番号の連続したポート番号を束ねてCAMに登録することができる。この結果、CAMに登録するフローエントリ数を圧縮することができると共にCAMの消費電力を低減できる。
[態様9]
態様7のパケット中継装置であって、検索マスクをかける一部ビット位置または下位ビット位置を、ポート番号毎に設定する記憶手段を備える。
態様9のパケット中継装置によれば、送信元ポート番号または宛先ポート番号のうち、いずれかの連続したポート番号を束ねてCAMに登録するか指定することができる。
[態様10]
態様7のパケット中継装置であって、異常または異常の予兆を検知すると、異常または異常の予兆を検知したフローが一致するCAMに登録したエントリを削除し、第二のフローテーブルのRAMに、CAMから削除したエントリに一致するフローの全てが一致する複数のエントリを登録する。
態様10のパケット中継装置によらなければ、異常または異常の予兆を検知後も、異常または異常の予兆を検知したフローに対しまずCAMを検索すると複数の送信元ポート番号または複数の宛先ポート番号を束ねたエントリに一致してしまい、異常または異常の予兆を検知したフロー毎の統計採取ができない。これに対して、態様10のパケット中継装置によれば、異常または異常の予兆を検知後も、異常または異常の予兆を検知したフローに対しまずCAMを検索して、CAMに一致エントリがない場合はRAMを検索して異常または異常の予兆を検知したフローの送信元ポートまたは宛先ポート毎の統計採取ができる。
[態様11]
受信パケットまたは送信パケットのフロー統計をカウントしてクライアントとサーバを接続するパケット中継装置であって、第一のフローテーブルと第二のフローテーブルを備え、異常または異常の予兆を検知していない第一のフローテーブルに未登録のフローの受信パケットまたは送信パケットが到着すると、少なくともクライアント側のポート番号に検索マスクをかけてCAMに登録し、異常または異常の予兆を検知していないフローの受信パケットまたは送信パケットに対しては第一のフローテーブルを検索対象とし、異常または異常の予兆を検知したフローの受信パケットまたは送信パケットに対しては第二のフローテーブルを検索対象として制御部が切り換える。
態様11のパケット中継装置によれば、クライアント側ポートでは短期間に多数発生する短命ポートを区別せずにフローエントリを登録するので、高速フローエントリ数の増大を防止することができる。
100 パケット中継装置
101 受信回線
102 パケット受信部
103 受信側パケット処理部
1031 ルーティングテーブル
104 受信側セキュリティ判定部
105 受信側統計処理部
1051 受信側統計処理制御部
1052 フローグループ学習部
1053 回線毎マスク指示テーブル
1054 ポート番号毎マスク指示テーブル
1055 高速フローテーブル
1056 高速用詳細検索判定テーブル
1057 高速用カウンタテーブル
1058 大容量フローテーブル
1059 大容量用ミラー判定テーブル
1060 大容量用カウンタテーブル
1061 タイマ
1062 タイムアウト判定部
1063 回線毎通信方向テーブル
106 パケット中継処理手段
107 送信側パケット処理部
108 送信側セキュリティ判定部
109 送信側統計処理部
110 パケット送信部
111 制御CPU
300 管理端末
400 外部装置
401 外部装置
500 DPI装置

Claims (12)

  1. 受信パケット又は送信パケットのフローの統計をカウントするパケット中継装置であって、
    前記フローのセキュリティの異常又は異常の予兆を判定して検知するセキュリティ判定部と、
    第1のフローテーブルと、
    第2のフローテーブルと、
    前記セキュリティ判定部の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、
    前記セキュリティ判定部が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択して、前記フローの受信パケット又は送信パケットは前記第1のフローテーブルを検索対象とし、
    前記セキュリティ判定部が、前記異常又は異常の予兆があると検知した場合は、
    前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常又は異常の予兆を検知した前記フローを前記第2のフローテーブルに設定し、前記異常又は異常の予兆を検知した前記フローの受信パケット又は送信パケットは前記第2のフローテーブルを検索対象とすることを特徴とするパケット中継装置。
  2. 前記第1のフローテーブルをCAM(Contents Addressable Memory)で構成し、
    前記第2のフローテーブルをRAM(Random Access Memory)で構成することを特徴とする請求項1に記載のパケット中継装置。
  3. 前記制御部は、
    前記セキュリティ判定部が前記異常又は異常の予兆を検知していない未登録の前記フローの受信パケット又は送信パケットが前記第1のフローテーブルに到着した場合、
    前記受信パケット又は前記送信パケットの送信元IPアドレスと宛先IPアドレスのいずれかのネットワークアドレスのホスト部に検索マスクをかけて前記CAMに登録することを特徴とする請求項2に記載のパケット中継装置。
  4. 前記セキュリティ判定部が、前記異常又は異常の予兆を検知した場合、
    前記制御部は、
    前記異常又は異常の予兆を検知した前記フローが一致する前記CAMに登録したエントリを削除し、前記RAMに、前記CAMから削除したエントリに一致する前記フローの少なくとも一部が一致する複数のエントリを登録することを特徴とする請求項2に記載のパケット中継装置。
  5. 前記制御部は、
    前記セキュリティ判定部が前記異常又は異常の予兆を検知していない未登録の前記フローの受信パケット又は送信パケットが前記第1のフローテーブルに到着した場合、
    前記受信パケット又は前記送信パケットのL4層の送信元ポート番号と宛先ポート番号のいずれかに対し、ポート番号の一部ビットに検索マスクをかけて前記CAMに登録することを特徴とする請求項2に記載のパケット中継装置。
  6. 前記制御部は、
    前記ポート番号の一部ビットとして、前記ポート番号の前記下位ビットに前記検索マスクをかけて前記CAMに登録することを特徴とする請求項5に記載のパケット中継装置。
  7. 前記検索マスクをかける前記一部ビットの位置を、ポート番号毎に設定する記憶部を更に有することを特徴とする請求項5に記載のパケット中継装置。
  8. クライアントとサーバを接続し、受信パケット又は送信パケットのフローの統計をカウントするパケット中継装置であって、
    前記フローのセキュリティの異常又は異常の予兆を判定して検知するセキュリティ判定部と、
    第1のフローテーブルと、
    第2のフローテーブルと、
    前記セキュリティ判定部の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、
    前記セキュリティ判定部が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択し、前記異常又は異常の予兆を検知していない未登録の前記フローの受信パケット又は送信パケットが前記第1のフローテーブルに到着した場合、少なくとも前記クライアントのポート番号に検索マスクをかけて前記第1のフローテーブルに登録し、前記異常又は異常の予兆を検知していない前記フローの受信パケット又は送信パケットに対しては前記第1のフローテーブルを検索対象とし、
    前記セキュリティ判定部が、前記異常又は異常の予兆があると検知した場合は、
    前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常または異常の予兆を検知した前記フローの受信パケット又は送信パケットに対しては前記第2のフローテーブルを検索対象とすることを特徴とするパケット中継装置。
  9. 前記第1のフローテーブルをCAM(Contents Addressable Memory)で構成し、
    前記第2のフローテーブルをRAM(Random Access Memory)で構成することを特徴とする請求項8に記載のパケット中継装置。
  10. 受信パケットまたは送信パケットのフロー統計をカウントするパケット中継装置と、パケット中継装置に接続された外部装置を有するパケット中継システムであって、
    前記外部装置は、前記フローのセキュリティの異常又は異常の予兆を判定して検知し、
    前記パケット中継装置は、
    第1のフローテーブルと、
    第2のフローテーブルと、
    前記外部装置の判定結果に応じて、前記第1のフローテーブルと前記第2のフローテーブルのいずれかを選択する制御部と、を有し、
    前記外部装置が、前記異常又は異常の予兆を検知してない場合は、前記制御部は、前記第1のフローテーブルを選択して、前記フローの受信パケット又は送信パケットは前記第1のフローテーブルを検索対象とし、
    前記外部装置が、前記異常又は異常の予兆があると検知した場合は、
    前記制御部は、前記第1のフローテーブルから前記第2のフローテーブルに切り替えて前記第2のフローテーブルを選択し、前記異常又は異常の予兆を検知した前記フローを前記第2のフローテーブルに設定し、前記異常又は異常の予兆を検知した前記フローの受信パケット又は送信パケットは前記第2のフローテーブルを検索対象とすることを特徴とするパケット中継システム。
  11. 前記パケット中継装置に接続された外部分析装置を更に有し、
    前記第2のフローテーブルで採取した前記フローの統計の値に基づいて、前記異常又は異常の予兆を検知した前記フローを前記外部分析装置にミラーして、前記外部分析装置が前記ミラーした前記フローを分析することを特徴とする請求項10に記載のパケット中継システム。
  12. 前記第1のフローテーブルをCAM(Contents Addressable Memory)で構成し、
    前記第2のフローテーブルをRAM(Random Access Memory)で構成することを特徴とする請求項10に記載のパケット中継システム。
JP2017093815A 2017-05-10 2017-05-10 パケット中継装置及びパケット中継システム Active JP6883470B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017093815A JP6883470B2 (ja) 2017-05-10 2017-05-10 パケット中継装置及びパケット中継システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017093815A JP6883470B2 (ja) 2017-05-10 2017-05-10 パケット中継装置及びパケット中継システム

Publications (2)

Publication Number Publication Date
JP2018191210A true JP2018191210A (ja) 2018-11-29
JP6883470B2 JP6883470B2 (ja) 2021-06-09

Family

ID=64480409

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017093815A Active JP6883470B2 (ja) 2017-05-10 2017-05-10 パケット中継装置及びパケット中継システム

Country Status (1)

Country Link
JP (1) JP6883470B2 (ja)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004054186A1 (ja) * 2002-12-12 2004-06-24 Fujitsu Limited データ中継装置、連想メモリデバイス、および連想メモリデバイス利用情報検索方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004054186A1 (ja) * 2002-12-12 2004-06-24 Fujitsu Limited データ中継装置、連想メモリデバイス、および連想メモリデバイス利用情報検索方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赤羽 真一、他: "用途毎の精度対応フロー統計収集機能の検討", 電子情報通信学会2003年通信ソサイエティ大会 講演論文集2, JPN6020031746, 10 September 2003 (2003-09-10), JP, pages 105, ISSN: 0004334856 *

Also Published As

Publication number Publication date
JP6883470B2 (ja) 2021-06-09

Similar Documents

Publication Publication Date Title
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
US10608992B2 (en) Hybrid hardware-software distributed threat analysis
EP3304853B1 (en) Detection of malware and malicious applications
US8005012B1 (en) Traffic analysis of data flows
JP4759389B2 (ja) パケット通信装置
US7787442B2 (en) Communication statistic information collection apparatus
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
JP3717836B2 (ja) ダイナミック・ロード・バランサ
US8169910B1 (en) Network traffic analysis using a flow table
US8311039B2 (en) Traffic information aggregating apparatus
US20160105397A1 (en) Firewall Packet Filtering
KR100997182B1 (ko) 플로우 정보 제한장치 및 방법
KR101295708B1 (ko) 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
US9276853B2 (en) Hashing of network packet flows for efficient searching
JP2009510815A (ja) サーチ前のパケットのリアセンブル方法及びシステム
JP6883470B2 (ja) パケット中継装置及びパケット中継システム
US9742699B2 (en) Network apparatus and selective information monitoring method using the same
JP5524885B2 (ja) コレクタ装置、ネットワーク管理システム及びネットワーク管理方法
RU181257U1 (ru) Межсетевой экран на основе кластеризации данных
Mittal et al. Flexible deterministic router and interface marking for IP traceback
JP4489714B2 (ja) パケット集約方法、装置、およびプログラム
JP2019029907A (ja) 転送システム、情報処理装置、転送方法及び情報処理方法
JP2017183959A (ja) 通信システム、コントローラ、方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190919

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201014

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210413

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210510

R150 Certificate of patent or registration of utility model

Ref document number: 6883470

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250