JP2018207435A - トラヒック制御装置、方法、およびプログラム - Google Patents
トラヒック制御装置、方法、およびプログラム Download PDFInfo
- Publication number
- JP2018207435A JP2018207435A JP2017114030A JP2017114030A JP2018207435A JP 2018207435 A JP2018207435 A JP 2018207435A JP 2017114030 A JP2017114030 A JP 2017114030A JP 2017114030 A JP2017114030 A JP 2017114030A JP 2018207435 A JP2018207435 A JP 2018207435A
- Authority
- JP
- Japan
- Prior art keywords
- discard
- header
- condition
- unit
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】柔軟な廃棄条件の指定と高度なデータ解析を可能とし、仮想化された通信機能の処理を考慮して、非正規パケットを適切に廃棄して低減する。【解決手段】条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、マスク制御部16が、廃棄条件を詳細化し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外である廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15が、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する。【選択図】 図1
Description
本発明は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御技術に関する。
現在のIP(Internet Protocol)ネットワークでは、サーバとエンドユーザ端末の間、あるいはサーバ間にあるスイッチやルータなどのIPネットワーク中継装置が通信パケットを解析することにより、効率的なパケット転送を行っている。図12は、一般的な通信事業者ネットワークの構成例である。図12に示すように、通信事業者に認証されたエンドユーザ端末は、ユーザ宅内装置を介して通信事業者の転送装置と通信し、所望のサービスを利用する。通信事業者は自社網内でユーザを認証し、然るべきトラヒック制御を行い、他事業者と網終端装置を介して相互接続することにより、グローバルなインターネット接続サービスを提供している。
このような通信事業者ネットワークにおいては、災害等により通信が集中する際に通信規制がかかり、サービスが利用できなくなる輻輳が起こることは広く知られている。一方、通信帯域を圧迫する要因は災害だけではなく、不正な意図を持つユーザが生成する多量・多頻度のデータや、度重なるサービス契約状態の変化により、事業者にとって望ましくないトラヒックが一定割合で流れることがあり、このようなトラヒックを非正規パケットと称する。非正規パケットは、事業者の効率的なネットワーク運用を阻害するだけでなく、ユーザの利便性も損なうため、非正規パケットの低減が望まれる。
SDNet(Software Defined Specification Environment for Networking)、http://japan.xilinx.com/support/documentation/backgrounders/j_sdnet-backgrounder.pdf
S.Dharmapurikar,et al.、"Deep Packet Inspection Using Parallel Bloom Filters"、IEEE micro、January/February(vol.24 2004)、Issue No.01、p.52-61
しかしながら、このような従来技術では、災害などの非常事態や特定のプロトコル、パケットの一部等、限定的な状況でのみ有効な要素技術であるため、定常状態において非正規パケットを低減するのは難しいという問題点があった。
不正な意図を持つユーザが生成する多量・多頻度のデータや度重なるサービス契約状態の変化を考慮し、特定のプロトコルに依存せずに非正規パケットを低減するため、とりわけパケットを解析するための技術は、異常トラヒックを早期に検出・遮断して安定化を図ることで保安上のリスク低減にも繋がり、事業者が安心かつ安全なインフラを支え続けるにあたって不可欠な技術である。
従来、このようなパケットを解析する方法のひとつとして、パケット分類技術が知られている。パケット分類では、パケットのヘッダ部分を解析することにより、プロトコルにしたがって定型的に必要な情報を抽出することができる。典型的にはスイッチチップやネットワークプロセッサ等に実装されるが、非特許文献1に示すようにFPGAに代表されるプログラマブルデバイスにも実装可能なパケットプロセッサも存在する。
しかしながら、これらパケット分類技術だけで常に非正規パケットを低減できるとは限らない。なぜなら事前の知識が十分でない場合、特定するための情報がパケットのヘッダ部分に存在するか、データ部分に存在するかを特定することが困難なためである。
他方、パケットを解析する別種の方法として、DPI(Deep Packet Inspection)技術が知られている。DPIは予め分類条件として指定しておいたパターンと、受信したパケットのユーザデータ部分における任意位置の特定ビット列とを照合し、一致するかどうか判定することによりターゲット・アプリケーションを識別する。従来、パケットのデータ部分を解析する方法として非特許文献2に示すような、パケットのデータ長に応じて複数の照合用フィルタを並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されている。
しかしながら、このようなチェックするデータ長に応じてフィルタを構成する方法では、効率が悪く実装コストが問題となる。また、任意位置の特定ビット列を解析できるものの、パケットヘッダのように仕様が定まっている定型的な処理に適用するには不向きである。したがって、前述したいずれの技術を用いても期待する非正規パケットの低減効果を得ることは難しい。
また、従来より専用装置で構成してきた通信サービスの機能が、近年汎用ハードウェアを用いたソフトウェア処理が主体となる仮想化された通信機能の処理に置き換わり始めている。したがって、トラヒック制御装置は、自装置との通信に用いる通信機能が仮想化された上位処理装置と連携して、トラヒック制御を行うような場合もある。このため、従来技術ではこのような通信環境の変化を考慮して非正規パケットの処理を適切に処理することは困難である。
本発明はこのような課題を解決するためのものであり、廃棄条件が複雑で非正規パケットの特定が難しいトラヒックであっても、柔軟な廃棄条件の指定と高度なデータ解析を可能とし、仮想化された通信機能の処理を考慮して、非正規パケットを適切に廃棄して低減できるトラヒック制御技術を提供することを目的としている。
このような目的を達成するために、本発明にかかるトラヒック制御装置は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、前記廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、前記廃棄条件を詳細化するマスク制御部と、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部とを備えている。
また、本発明にかかる上記トラヒック制御装置の一構成例は、前記マスク制御部が、前記条件設定部で指定された廃棄条件に対して解析対象となる受信パケットの照合開始位置、方向、オフセット量を設定するマスク範囲設定部と、前記条件設定部で指定された複数の廃棄条件に該当する情報列同士を組み合わせて論理和、論理積、論理否定を演算することにより、複合的な廃棄条件を構成するマスク論理演算部とを備えている。
また、本発明にかかるトラヒック制御方法は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、マスク制御部が、前記廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、前記廃棄条件を詳細化するマスク制御ステップと、ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、廃棄制御部が、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップとを備えている。
また、本発明にかかるプログラムは、コンピュータを、前述したトラヒック制御装置を構成する各部として機能させるためのプログラムである。
本発明によれば、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より詳細な廃棄条件の設定や複数の廃棄条件を組み合わせて廃棄条件を詳細化することができ、柔軟で高度なデータ解析を実現できる。このため、外部接続された上位処理装置における仮想化された通信機能の処理を考慮して、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。
次に、本発明の一実施の形態について図面を参照して説明する。
[トラヒック制御装置]
まず、図1を参照して、本発明の第1の実施の形態にかかるトラヒック制御装置10について説明する。図1は、トラヒック制御装置の構成を示すブロック図である。
[トラヒック制御装置]
まず、図1を参照して、本発明の第1の実施の形態にかかるトラヒック制御装置10について説明する。図1は、トラヒック制御装置の構成を示すブロック図である。
このトラヒック制御装置10は、通信事業者ネットワーク上に配置されて、ネットワーク上を流れる通信トラヒックから、予め指定された廃棄条件と合致する非正規パケットを特定し、対応するパケットを廃棄する装置である。
また、上位処理装置30は、トラヒック制御装置10に外部接続されて、トラヒック制御装置10と連携して動作するとともに、トラヒック制御装置10との通信に用いる通信機能が仮想化された外部装置である。
また、上位処理装置30は、トラヒック制御装置10に外部接続されて、トラヒック制御装置10と連携して動作するとともに、トラヒック制御装置10との通信に用いる通信機能が仮想化された外部装置である。
図1に示すように、トラヒック制御装置10には、主な機能部として、パケット送受信部11、条件設定部12、ヘッダ解析部13、データ解析部14、廃棄制御部15、マスク制御部16、廃棄テーブル21、および廃棄フィルタ22が設けられている。
パケット送受信部11は、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信する機能を有している。
条件設定部12は、指定されたヘッダ解析仕様および廃棄条件から、廃棄条件と対応する解析範囲を特定する機能を有している。
マスク制御部16は、指定された廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、廃棄条件を詳細化する機能を有している。
条件設定部12は、指定されたヘッダ解析仕様および廃棄条件から、廃棄条件と対応する解析範囲を特定する機能を有している。
マスク制御部16は、指定された廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、廃棄条件を詳細化する機能を有している。
ヘッダ解析部13は、条件設定部12で特定した解析範囲がヘッダ内であると特定された廃棄条件を廃棄テーブル21に登録する機能と、パケット送受信部11で受信した受信パケットのヘッダを解析し、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21に登録されている廃棄条件と照合する機能とを有している。
データ解析部14は、条件設定部12で特定した解析範囲がヘッダ外であると特定された廃棄条件を廃棄フィルタ22に登録する機能と、解析範囲がヘッダ外であると判定された受信パケットを、廃棄フィルタ22に登録されている廃棄条件と照合する機能を有している。
廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する機能を有している。
廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する機能を有している。
本発明の特徴は、非正規パケットを特定して廃棄するためのパケット解析を、各廃棄条件の解析範囲に基づいてヘッダ部分とデータ部分に分割し、それぞれ廃棄テーブル21および廃棄フィルタ22を用いて階層的な廃棄条件を構成するようにしたものである。これに加えて、指定された廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、廃棄条件を詳細化するようにしたものである。
前述した背景技術において、非正規パケット発生の要因の多様化について具体例を示す。従来は、災害時の通話規制下における多量の通信要求リトライが非正規パケットの主な発生原因であったが、例えば送信元のIPアドレスやポート、ユーザID、パスワードといった条件はユーザが不正な意図を持つかどうかにかかわらず常に変化する可能性がある。また、パスワード等の情報については暗号化により解析や制御がより困難となる。このような非正規パケットと判定するための前提となる通信の条件は必ずしもパケットを制御するためのヘッダに含まれるとは限らず、ユーザデータのどの部分から判断すればよいかわからない上、その位置や中身などの条件が刻々と変化する。
このように、多様な条件下でも非正規パケットの特定を可能とするために、本発明では、ユーザが指定する廃棄条件だけでなく、ヘッダ解析の仕様を入力として与え、解析範囲を絞り込んでいる。ヘッダ解析の仕様は、典型的にはRFC等の標準文書に規定されるプロトコル仕様に準拠する。仕様の定義方法としては、公知の技術を利用することができる。例えば、非特許文献1に示されているような方法で仕様を記述してもよい。
図2は、条件設定部の構成例である。この条件設定部12には、ネットワーク管理者が受信パケットのヘッダ解析仕様を入力する解析仕様入力部12Aと、ユーザが非正規パケットの廃棄条件を入力する廃棄条件入力部12Bと、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内であるか否かを判定する仕様合致判定部12Cとが設けられている。これにより、廃棄テーブル21および廃棄フィルタ22において、階層的に廃棄条件を構成することが可能となる。非正規パケットの条件の解析範囲がヘッダかどうかは、仕様入力で明確化できるため、ヘッダ範囲で特定できる廃棄条件であれば、廃棄テーブル21を検索して照合することにより非正規パケットのパケットを廃棄することができる。
図10はマスク制御部の構成例である。このマスク制御部16には、指定された廃棄条件に対して、解析対象となる受信パケットの照合開始位置、方向、オフセット量などの詳細な廃棄条件を設定するマスク範囲設定部16Aと、指定された複数の廃棄条件に該当する情報列同士を組み合わせて論理和、論理積、論理否定を演算することにより、廃棄条件を詳細化するマスク論理演算部16Bとが設けられている。
図3は、ヘッダ解析部の構成例である。このヘッダ解析部13には、条件設定部12により設定された廃棄条件を廃棄テーブル21に登録する廃棄テーブル登録部13Aと、パケット送受信部11で受信した受信パケットのヘッダをヘッダ解析仕様に基づいて解析する受信ヘッダ解析部13Bと、ヘッダ解析仕様をもとに受信パケットの解析範囲がヘッダ内外のいずれであるかを判定する仕様合致判定部13Cと、仕様合致判定部13Cにより解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する廃棄テーブル検索部13Dとが設けられている。
図4は、廃棄テーブルの構成例である。ここでは、各廃棄条件に固有の条件番号ごとに、廃棄条件が登録されている。条件設定部12において、ユーザが非正規パケットのパケットを廃棄するための廃棄条件を指定すると、ヘッダ解析部13の廃棄テーブル登録部13Aにより、その廃棄条件が廃棄テーブル21に新たなエントリとして登録される。例えば、条件1:「送信元IPアドレス」が「xxx.xxx.xxx.xxx」のパケットを廃棄、条件2:「送信元ポート番号」が「yyy」のパケットを廃棄、…、条件N:「ユーザID」が「zzz」のパケットを廃棄、というようにネットワーク管理者の求めに応じて非正規パケットの廃棄条件を設定することができる。
次に、本発明のトラヒック制御装置10が制御対象とする通信データの一例として、ユーザIDのようなユーザの情報をもとに廃棄テーブル21を設定する実施形態について説明する。
ユーザは、通信事業者ネットワークを利用する際、まず、通信事業者ネットワークでユーザ認証を受ける。ユーザ認証は、典型的にはRFC 2138に開示されているRADIUSを用いたクライアント・サーバ方式で実施される。図5は、RADIUSで利用されるパケットフォーマットである。このパケットフォーマットにおいて、ユーザIDそのものは、Attributes(RADIUS属性)を解析することで調べることができる。
ユーザは、通信事業者ネットワークを利用する際、まず、通信事業者ネットワークでユーザ認証を受ける。ユーザ認証は、典型的にはRFC 2138に開示されているRADIUSを用いたクライアント・サーバ方式で実施される。図5は、RADIUSで利用されるパケットフォーマットである。このパケットフォーマットにおいて、ユーザIDそのものは、Attributes(RADIUS属性)を解析することで調べることができる。
図6は、RADIUSにおけるAttributesの一覧である。AttributesはType,Length,ValueのいわゆるTLV形式で規格化されており、ネットワーク管理者はフォーマットにしたがって、図6に示すUser−Name Attributeを指定すればよい。また、ユーザIDに紐づいたパスワードにより正しく認証が行われた正規のユーザであるかどうかを判定するには、図5のAuthenticatorを指定すればよい。
本発明によれば、条件設定部12の解析仕様入力部12Aにおいて、このような指定を可能にするための仕様を与えることにより、ネットワーク管理者の求めに応じて本発明におけるヘッダ解析部13の一連の処理を実施することができる。
他方、このようなパケットフォーマットに関する仕様がネットワーク管理者によって与えられていない場合や、そもそも仕様に規定されていないような情報をもとに非正規パケットと判定して廃棄しなければならない場合が考えられる。この場合、指定すべき廃棄条件はヘッダ内には存在せず、ユーザデータ内の何処かに埋め込まれていることになるため、ヘッダ解析部13のみで非正規パケットを特定することは困難である。
そのため、本発明では、データ解析部14に設けた一連の処理部により、ヘッダ解析部13では特定が困難な非正規パケットに対して有効となる解析方法を提供する。
図7は、データ解析部の構成例である。このデータ解析部14には、条件設定部12により指定された廃棄条件に関するハッシュ値である廃棄シグネチャを求める廃棄シグネチャ演算部14Aと、求めた廃棄シグネチャを廃棄フィルタ22に登録する廃棄フィルタ登録部14Bと、ヘッダ解析部13において解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた任意の位置および任意の長さのビット列に関するハッシュ値であるデータシグネチャを求めるデータシグネチャ演算部14Cと、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャと照合する廃棄フィルタ照合部14Dとが設けられている。
データ解析部14に関しては多くの部分を、非特許文献2に示すDPI技術を応用して実施することができるため、詳細を割愛し、非特許文献2との構成上の違いについて説明する。
図8は、廃棄フィルタの構成例である。受信パケットのユーザデータ部分の解析において目的とするビット列を非正規パケットとして特定するため、予め検出したいパターンからハッシュ値であるシグネチャを計算し、廃棄フィルタ22に登録しておく必要がある。
図8は、廃棄フィルタの構成例である。受信パケットのユーザデータ部分の解析において目的とするビット列を非正規パケットとして特定するため、予め検出したいパターンからハッシュ値であるシグネチャを計算し、廃棄フィルタ22に登録しておく必要がある。
登録可能なシグネチャの数は、実装するプログラム、デバイス、およびシステムによって区々であるが、シグネチャ数nとメモリ上のハッシュテーブルのメモリビット幅mが決定しているとき、偽陽性確率pを最小化できるようなハッシュ演算数kが定式化され、広く知られている。詳細は非特許文献2に示されているため割愛するが、ハッシュ演算数kとシグネチャ数nおよびメモリビット幅mとの関係式は次の式(1)で表され、このときの偽陽性確率pは次の式(2)で表される。
このような廃棄フィルタ22を用いることにより、偽陽性確率pを一定水準で許容することで、記憶空間の効率m/nを高めながらハッシュ演算数kを決定することができる。
非特許文献2の方法では、解析するパケットのユーザデータ部分のデータ長に応じて複数の照合用フィルタBF(w)を並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されているが、データ長が長くなるにしたがってフィルタBF(w)の数が増えるため、必要とするハードウェアリソースが増大するという問題がある。
非特許文献2の方法では、解析するパケットのユーザデータ部分のデータ長に応じて複数の照合用フィルタBF(w)を並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されているが、データ長が長くなるにしたがってフィルタBF(w)の数が増えるため、必要とするハードウェアリソースが増大するという問題がある。
本発明によれば、データ解析部14の前段において、ヘッダ解析部13で非正規パケットと特定できるパケットに関しては、データ解析部14で改めて解析対象とする必要がないため、ハードウェアリソースを必要最小限に抑えながらデータ解析部14を構成することができる。このように構成されたデータ解析部14の廃棄シグネチャと、受信したパケットのユーザデータ部分に含まれる任意位置のビット列から計算したデータシグネチャを照合し、非正規パケットの有無を判定する。
なお、データ解析部14の大部分は、非特許文献2に示すDPI技術を応用して実施することができるが、本発明に特徴的な構成であるヘッダ解析部13とデータ解析部14を階層的に構成した廃棄制御が機能することにより、ヘッダ部およびデータ部の仕様合致判定を分担して実行することができるため、本構成が開示されてはじめて、データ解析部14の非正規パケットの特定に非特許文献2を活かすことができる。このため、仮に非特許文献2に関連する通常の知識を有する当業者が、非特許文献2に示される技術の転用により非正規パケットの特定を試みたとしても、本発明のような非正規パケット低減の有効性を示すことは困難である。
また、本発明によれば非正規パケットを特定するための情報列が前記のようにヘッダ部かデータ部かを階層的に制御する構成に加えて、図10の前記マスク制御部16において、照合開始位置、方向、オフセット量といったより詳細な情報を指定することができ、さらに、複数の廃棄条件に該当する情報列同士を組み合わせて論理式を構成することができるため、柔軟で高度なデータ解析を実現する装置および方法を構成することができる。例えば、本発明のマスク論理演算部16Bは、図6のAttribute同士を組合せて論理和、論理積、論理否定を演算する構成を提供している。
図9は、廃棄制御部の構成例である。この廃棄制御部15には、廃棄テーブル21と廃棄フィルタ22の双方を管理する廃棄条件管理部15Aと、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関する受信パケットを廃棄するパケット廃棄部15Bとを備えている。
この際、パケット廃棄部15Bにおいて、パケット送受信部11、ヘッダ解析部13、またはデータ解析部14から受け取った受信パケットを、廃棄あるいは後段への転送出力を処理してもよく、パケット廃棄部15Bから廃棄要否を指示して、パケット送受信部11が廃棄あるいは後段への転送出力を処理してもよい。
この際、パケット廃棄部15Bにおいて、パケット送受信部11、ヘッダ解析部13、またはデータ解析部14から受け取った受信パケットを、廃棄あるいは後段への転送出力を処理してもよく、パケット廃棄部15Bから廃棄要否を指示して、パケット送受信部11が廃棄あるいは後段への転送出力を処理してもよい。
[本実施の形態の動作]
次に、図11を参照して、本実施の形態にかかるトラヒック制御装置10の動作について説明する。図11は、トラヒック制御装置の動作を示すシーケンス図である。
次に、図11を参照して、本実施の形態にかかるトラヒック制御装置10の動作について説明する。図11は、トラヒック制御装置の動作を示すシーケンス図である。
通信トラヒックから受信した受信パケットを監視して非正規パケットを廃棄する処理を実行するのに先立って、廃棄テーブル21および廃棄フィルタ22に廃棄条件を登録する。
まず、条件設定部12において、解析仕様入力部12Aは、ネットワーク管理者からの指示に応じて、受信パケットのヘッダ解析仕様を入力し(ステップ100)、廃棄条件入力部12Bは、ユーザからの指示に応じて、非正規パケットの廃棄条件を入力する(ステップ101)。これに応じて、仕様合致判定部12Cは、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内か否かを判定する(ステップ102)。
まず、条件設定部12において、解析仕様入力部12Aは、ネットワーク管理者からの指示に応じて、受信パケットのヘッダ解析仕様を入力し(ステップ100)、廃棄条件入力部12Bは、ユーザからの指示に応じて、非正規パケットの廃棄条件を入力する(ステップ101)。これに応じて、仕様合致判定部12Cは、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内か否かを判定する(ステップ102)。
ここで、解析範囲がヘッダ内ではない場合(ステップ102:NO)、マスク制御部16のマスク範囲設定部16Aは、指定された廃棄条件に対して、データ解析の照合開始位置、方向、オフセット量などの詳細なマスク範囲を設定し(ステップ103)、マスク制御部16のマスク論理演算部16Bは、複数の廃棄条件に該当する情報列同士を組み合わせて論理和、論理積、論理否定を演算することにより、複合的な廃棄条件(論理式)を構成する(ステップ104)。
その後、データ解析部14の廃棄シグネチャ演算部14Aは、マスク制御部16により詳細化された廃棄条件に関するハッシュ値である廃棄シグネチャを求め(ステップ105)、データ解析部14の廃棄フィルタ登録部14Bは、求めた廃棄シグネチャを廃棄フィルタ22に登録する(ステップ106)。
一方、解析範囲がヘッダ内である場合(ステップ102:YES)、ヘッダ解析部13の廃棄テーブル登録部13Aは、条件設定部12により指定された廃棄条件を廃棄テーブル21に登録する(ステップ107)。
この後、廃棄制御部15の廃棄条件管理部15Aは、廃棄テーブル21と廃棄フィルタ22の双方を管理する。具体的には、廃棄テーブル21と廃棄フィルタ22の双方において、廃棄対象となるエントリの登録・変更・削除の処理を行う(ステップ108)。
これにより、廃棄テーブル21および廃棄フィルタ22を用いた階層的な廃棄条件が構成されることになる。
この後、廃棄制御部15の廃棄条件管理部15Aは、廃棄テーブル21と廃棄フィルタ22の双方を管理する。具体的には、廃棄テーブル21と廃棄フィルタ22の双方において、廃棄対象となるエントリの登録・変更・削除の処理を行う(ステップ108)。
これにより、廃棄テーブル21および廃棄フィルタ22を用いた階層的な廃棄条件が構成されることになる。
この後、パケットを受信するごとに、以下の受信パケットに対する非正規パケットの廃棄が実行される。
まず、パケット送受信部11が、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信した場合(ステップ110)、ヘッダ解析部13の受信ヘッダ解析部13Bが、その受信パケットのヘッダをヘッダ解析仕様に基づいて解析する(ステップ111)。
まず、パケット送受信部11が、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信した場合(ステップ110)、ヘッダ解析部13の受信ヘッダ解析部13Bが、その受信パケットのヘッダをヘッダ解析仕様に基づいて解析する(ステップ111)。
続いて、ヘッダ解析部13の仕様合致判定部13Cは、ヘッダ解析仕様をもとに解析範囲がヘッダ内であるか否かを判定する(ステップ112)。
ここで、解析範囲がヘッダ内ではない場合(ステップ112:NO)、データ解析部14のデータシグネチャ演算部14Cは、解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた位置および長さのビット列に関するハッシュ値であるデータシグネチャを求め(ステップ113)、廃棄フィルタ照合部14Dは、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャと照合する(ステップ114)。
ここで、解析範囲がヘッダ内ではない場合(ステップ112:NO)、データ解析部14のデータシグネチャ演算部14Cは、解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた位置および長さのビット列に関するハッシュ値であるデータシグネチャを求め(ステップ113)、廃棄フィルタ照合部14Dは、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャと照合する(ステップ114)。
一方、解析範囲がヘッダ内である場合(ステップ112:YES)、ヘッダ解析部13の廃棄テーブル検索部13Dは、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する(ステップ115)。
この後、廃棄制御部15のパケット廃棄部15Bは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する(ステップ116)。
この後、廃棄制御部15のパケット廃棄部15Bは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する(ステップ116)。
[本実施の形態の効果]
このように、本実施の形態は、条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、マスク制御部16が、廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、廃棄条件を詳細化し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外である廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄するようにしたものである。
このように、本実施の形態は、条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、マスク制御部16が、廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、廃棄条件を詳細化し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外である廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄するようにしたものである。
これにより、指定された廃棄条件のうち、解析範囲がヘッダ内である廃棄条件が廃棄テーブル21に登録されるとともに、解析範囲がヘッダ外である廃棄条件が廃棄フィルタ22に登録されるため、階層的な廃棄条件が構成されることになる。このため、通信トラヒックから受信した受信パケットのヘッダおよびユーザデータの双方を階層的に解析して、廃棄制御することができる。
したがって、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より詳細な廃棄条件の設定や複数の廃棄条件を組み合わせて廃棄条件を詳細化することができ、柔軟で高度なデータ解析を実現できる。このため、外部接続された上位処理装置30における仮想化された通信機能の処理を考慮して、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。
以上、本発明の実施形態が示され、説明がなされた。実施形態の説明において「〜部」と説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手段」、「〜処理」であってもよい。また、本実施形態で「〜部」として説明しているものは、ROMに記憶されたファームウェアおよび再構成型デバイス・素子・基板・配線などのハードウェアで実現されていても構わない。或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPUにより読み出されて実行される。すなわち、プログラムは、本発明の実施形態の「〜手段」としてコンピュータを機能させるものである。あるいは、実施形態の「〜部」の手順や方法をコンピュータに実行させるものである。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
10…トラヒック制御装置、11…パケット送受信部、12…条件設定部、12A…解析仕様入力部、12B…廃棄条件入力部、12C…仕様合致判定部、13…ヘッダ解析部、13A…廃棄テーブル登録部、13B…受信ヘッダ解析部、13C…仕様合致判定部、13D…廃棄テーブル検索部、14…データ解析部、14A…廃棄シグネチャ演算部、14B…廃棄フィルタ登録部、14C…データシグネチャ演算部、14D…廃棄フィルタ照合部、15…廃棄制御部、15A…廃棄条件管理部、15B…パケット廃棄部、16…マスク制御部、16A…マスク範囲設定部、16B…マスク論理演算部、21…廃棄テーブル、22…廃棄フィルタ、30…上位処理装置。
Claims (4)
- 通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、
指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、
前記廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、前記廃棄条件を詳細化するマスク制御部と、
前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、
前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、
前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部と
を備えることを特徴とするトラヒック制御装置。 - 請求項1に記載のトラヒック制御装置において、
前記マスク制御部は、
前記条件設定部で指定された廃棄条件に対して解析対象となる受信パケットの照合開始位置、方向、オフセット量を設定するマスク範囲設定部と、
前記条件設定部で指定された複数の廃棄条件に該当する情報列同士を組み合わせて論理和、論理積、論理否定を演算することにより、複合的な廃棄条件を構成するマスク論理演算部と
を備えることを特徴とするトラヒック制御装置。 - 通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、
条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、
マスク制御部が、前記廃棄条件に対して、より詳細な廃棄条件の設定および複数の廃棄条件の組合せを行うことにより、前記廃棄条件を詳細化するマスク制御ステップと、
ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、
データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、
廃棄制御部が、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップと
を備えることを特徴とするトラヒック制御方法。 - コンピュータを、請求項1または請求項2に記載のトラヒック制御装置を構成する各部として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017114030A JP2018207435A (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017114030A JP2018207435A (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018207435A true JP2018207435A (ja) | 2018-12-27 |
Family
ID=64957493
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017114030A Pending JP2018207435A (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018207435A (ja) |
-
2017
- 2017-06-09 JP JP2017114030A patent/JP2018207435A/ja active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
US11985169B2 (en) | Classification of unknown network traffic | |
US20230095470A1 (en) | Systems and methods for controlling data exposure using artificial- intelligence-based modeling | |
US11038907B2 (en) | System and method for malware detection learning | |
US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
US10757135B2 (en) | Bot characteristic detection method and apparatus | |
JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
CN111447232A (zh) | 一种网络流量检测方法及装置 | |
JP2017147575A (ja) | 制御プログラム、制御装置、および、制御方法 | |
US7571464B2 (en) | Secure bidirectional cross-system communications framework | |
EP4037251A1 (en) | Method for determining a service associated with an unclassified network traffic flow | |
JP6721542B2 (ja) | トラヒック制御装置、方法、およびプログラム | |
JP2018207435A (ja) | トラヒック制御装置、方法、およびプログラム | |
JP6781109B2 (ja) | トラヒック制御装置および方法 | |
US20210084011A1 (en) | Hardware acceleration device for string matching and range comparison | |
CN111079144B (zh) | 一种病毒传播行为检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190617 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200609 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20201222 |