JP2019134484A - アクセス要求を規制するシステムおよび方法 - Google Patents
アクセス要求を規制するシステムおよび方法 Download PDFInfo
- Publication number
- JP2019134484A JP2019134484A JP2019075800A JP2019075800A JP2019134484A JP 2019134484 A JP2019134484 A JP 2019134484A JP 2019075800 A JP2019075800 A JP 2019075800A JP 2019075800 A JP2019075800 A JP 2019075800A JP 2019134484 A JP2019134484 A JP 2019134484A
- Authority
- JP
- Japan
- Prior art keywords
- access request
- load balancer
- statistical data
- summarizer
- predefined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000001105 regulatory effect Effects 0.000 title claims abstract description 9
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000002776 aggregation Effects 0.000 claims description 52
- 238000004220 aggregation Methods 0.000 claims description 52
- 230000009471 action Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 14
- 238000004364 calculation method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1023—Server selection for load balancing based on a hash applied to IP addresses or costs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
- H04L67/5651—Reducing the amount or size of exchanged application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/566—Grouping or aggregating service requests, e.g. for unified processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】ネットワークからのアクセス要求を規制するシステム及び方法を提供する。【解決手段】システム100において、ロードバランサ101はアクセス要求を解析してUDPメッセージを生成し、アグリゲータ102に送る。アグリゲータは、予め定義されたデータフィールドの組み合わせ及び予め定義された時間の長さを基に、UDPメッセージを累計して統計データを生成し、サマライザ103からの要求に応答してサマライザに送る。サマライザは、予め決められた要求時間間隔に基づいてアグリゲータに統計データを要求し、アグリゲータから受けた統計データ及び予め定義されたルールに基づいてアクセス要求のブラックリストを生成し、ロードバランサからの要求に応答してロードバランサに送る。ロードバランサは、現在のブラックリストに基づいて、アクセス要求に対する処理動作を確定する。【選択図】図1
Description
本発明はネットワークからのアクセス要求を規制するシステムおよびそれに相応する方法に係わる。
従来のロードバランサ(load balancer)は、例えばlinuxにおけるHaProxyの構成を採用し、ネットワークからの各HTTP要求に含まれるcookies又はURL解釈を読み取ると共に、それらの情報に基づいてヘッダを書き換え、それと同時にHTTP要求をバックエンドサーバ群に送信し、これによってバックエンドサーバ群における各サーバが占用するトラフィック、資源はバランス状態に達する。しかし、従来のロードバランサは、ネットワークのトラフィックに対して自動的にフィルタリングチェックを行うことができず、そのため、アタックトラフィックを限定したり廃棄したりすることができない。
従来の技術として、トラフィック洗浄技術に基づきTCPパケットを検出することによってICMP/TCP/UDPフラッディング攻撃に対する防護を実現する方法が開示されており、これはTCP/UDPパケットを再送することによって実現される。この従来の技術はTCP/UDP層のパケットのみに有効であり、暗号解読を必要とする開放型システム間相互接続基準参照モデル(OSI)の第7層であるアプリケーション層のHTTPフラッディング攻撃を予防することができない。
一つのアイデアとしてURLに対するアクセスを分析し、単位時間あたりのアクセス量、例えばQPSに基づいてアクセス要求を規制する方法である。大規模サイトのURIに対するアクセスの分析は通常大量のメモリを要する。一般に、データフィールドIPアドレス、ユーザ標識(USERID)、統一資源位置指定子(URL)などいかなる組み合わせに対しても、当該組み合わせに関連付けられた各々のアクセスのタイムスタンプ(time stamp)を記録する必要がある。QPSを計算するために、各タイムポイントのフィルタリングまたはソーティングをしなければならず、時間的に無駄が多くかつ大量のメモリを費やしてしまう。
従来の技術においては、QPSを計算するために、各タイムポイントのフィルタリングまたはソーティングをしなければならず、時間的に無駄が多くかつ大量のメモリを費やしてしまう。
本発明は、上記課題を少なくとも部分的に解決するシステムおよび方法を提供することを目的とする。本発明は、とくにネットワークのDOS攻撃(サービス拒否攻撃)およびDDOS攻撃(分散型サービス拒否攻撃)を解決するのに好適である。当該技術は、とくにHTTPフラッディング(http flooding)攻撃に対する防備に好適である。本発明では、ユーザのトラフィックに対する累計および分析によってパターンマッチングに合致する攻撃トラフィックを見つけ出すとともにこれを規制または破棄し、これによってバックエンドサーバを保護する。
本発明の1つの態様によれば、一種一種のアクセス要求を規制するシステムを提供する。当該システムはロードバランサ、アグリゲータおよびサマライザを備えている。前記ロードバランサはネットワークからの各々のアクセス要求を受信し、受信した当該アクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージを前記アグリゲータに送信するように配置されている。前記アグリゲータは、前記ロードバランサから受信した複数のUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、前記サマライザからの要求に応答して当該サマライザに累計した統計データを送信するように配置されている。前記サマライザは、予め決められた要求時間間隔に基づいて前記アグリゲータに統計データを要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に応答して前記ブラックリストを前記ロードバランサに送信するように配置されている。ここで、前記ブラックリストは、1つまたは複数の特定のアクセス要求のうちの各々に対して実行されるべき処理動作を指定している。前記ロードバランサは、さらに現在のブラックリストに基づいて受信した各アクセス要求に対する処理動作を確定するように配置されている。
本発明の他の態様によれば、アクセス要求を規制するコンピュータの実現方法を提供する。前記方法は、ロードバランサによってネットワークからの各々のアクセス要求を受信し、受信したアクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージをアグリゲータに送信するステップと、前記ロードバランサが現在のブラックリストに基づいて受信した当該アクセス要求に対する処理動作を確定するステップと、を含む。ここで、前記ブラックリストは、1つまたは複数の特定のアクセス要求のうちの各々に対して実行されるべき処理動作を指定する。前記アグリゲータは、前記ロードバランサによって送信されたUDPメッセージを受信し、受信した複数のUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、サマライザからの要求に応答して累計された統計データを当該サマライザに送信する。前記サマライザは、予め決められた要求時間間隔に基づいて前記アグリゲータに統計データを要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に応答して前記ブラックリストを前記ロードバランサに送信する。
本発明によれば、前記統計データは前記予め定義された時間の長さ以内で累計される、前記予め定義されたデータフィールドの組み合わせを含むUDPメッセージの数を含む。
本発明によれば、前記ネットワークはインターネットであり、前記アクセス要求はインターネットからのHTTP要求である。
本発明によれば、前記アグリゲータは、互いに独立して運転する複数のアグリゲーションユニットを含み、前記ロードバランサは、各UDPメッセージを前記複数のアグリゲーションユニットのうちの1つに送信し、前記複数のアグリゲーションユニットの各アグリゲーションユニットはそれぞれ前記累計を行う。前記サマライザは、前記複数のアグリゲーションユニットからそれぞれ統計データを受信し、取りまとめられた統計データを生成する。また、前記ブラックリストは、前記取りまとめられた統計データおよび前記予め定義されたルールに基づいて生成される。
本発明によれば、前記ロードバランサは予め定義されたホワイトリストをさらに含む。前記ホワイトリストは通過させるべきアクセス要求に関する1つまたは複数の記録を含む。また、前記ロードバランサは受信した各々のアクセス要求について、当該アクセス要求が前記ホワイトリストにおける1つの記録にマッチングし、または前記ブラックリストにおけるいずれの記録にもマッチングしない場合、当該アクセス要求を通過させるように操作して当該アクセス要求に対する処理動作を確定する。当該アクセス要求が前記ホワイトリストにおけるいずれの記録にもマッチングせず、かつ前記ブラックリストにおける1つの記録にマッチングした場合に、ブラックリストのマッチングした記録に指定された処理動作に基づいて当該アクセス要求を操作する。また、前記ロードバランサにおける前記予め定義されたホワイトリストは前記ブラックリストと共に前記サマライザから得ることができる。
本発明のシステムによれば、前記ブラックリストに定められた前記処理動作は遮断、リダイレクトおよび遅延のうちの1つを含む。
以下において、図面を参照しながら本発明の実施例を詳しく説明する。
本発明は、統計データを用いてネットワークからのアクセス要求を規制するシステムおよび方法を提供した。
本発明は、統計データを用いてネットワークからのアクセス要求を規制するシステムおよび方法を提供した。
1つのアクセス要求、例えばHTTP要求は少なくとも、当該ユーザがアクセスしようとする目的地ドメイン名(host)、ユーザが要求した統一資源識別子(uri)、ユーザ名(uid)、クライアントIPアドレス(cip)などのデータフィールド(data fields)を含む。
本発明によれば、本発明はネットワークからのアクセス要求を規制するシステムを提供する。当該システムはロードバランサ、アグリゲータおよびサマライザを備えている。
前記ロードバランサは、前記ネットワークからのアクセス要求を受信し、受信した各アクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージをアグリゲータに送信する。
当該アグリゲータは、受信した複数のUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、サマライザからの要求に応答して当該サマライザに統計データを送信する。前記統計データは現在の予め定義された時間の長さ以内で累計された、前記予め定義されたデータフィールドの組み合わせを含むUDPメッセージの数を含む。
前記サマライザは、予め決められた要求時間間隔に基づいてアクセス要求に関する統計データを前記アグリゲータに要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に基づいて当該ブラックリストを前記ロードバランサに送信する。前記ブラックリストは、1つまたは複数の特定のアクセス要求に対する処理動作を指定している。
前記ロードバランサは現在のブラックリストに基づいて、受信した各アクセス要求に対する処理動作を確定する。
以下において、具体的な実施例を参照しながら本発明の実施例におけるシステムを詳しく説明する。なお、具体的な実施例は本発明の主旨および具体的な実現方法を理解するためのものであり、本発明は特定の実施例に限定されない。
図1は本発明の実施例におけるシステム100を示す。当該システム100はロードバランサ101、アグリゲータ102およびサマライザ103の3つのモジュールを含む。
ロードバランサ101は、ネットワークからのアクセス要求、例えばインターネットからのHTTP要求を受信し、受信した各アクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージをアグリゲータ102に送信する。
UDPメッセージを処理するために使用される資源は少なく、かつ処理速度が速い。そのため、ロードバランサのオーバーヘッドを大幅に減らすことができる。また、UDPプロトコルは接続型プロトコルではないため、一定のメッセージロスが発生する。しかし、このようなロスは許容誤差の範囲内にあり、システムの頑健性(robustness)に与える影響は無視できる。
アグリゲータ102は複数のアグリゲーションユニットを含んでもよく、複数のアグリゲーションユニットは独立して水平に拡張することができる。即ち、各アグリゲーションユニットは独立して配置されて稼動しているため、相互間の影響および依存性を有していない。現在のアグリゲータの処理能力がニーズを満たすことができなければ、簡単にサーバ資源を増やして新しいアグリゲーションユニットを構成することができる。このように、ビッグトラフィックのニーズを満たすことができる。
ロードバランサ101は各々のUDPメッセージを選択されたアグリゲーションユニットに送信する。各々のアグリゲーションユニットは受信したUDPメッセージをそれぞれ累計して統計データを生成する。
本発明の一実施例によれば、ロードバランサ101はUDPメッセージを1つ1つ順次複数のアグリゲーションユニットに送信する。例えば、1つ目のUDPメッセージを1つ目のアグリゲーションユニットに送信し、2つ目のUDPメッセージを2つ目のアグリゲーションユニットに送信するというように、生成されたUDPメッセージを順次各々のアグリゲーションユニットに送信する。最後のアグリゲーションユニットにUDPメッセージを送信した後に、再び1つ目のアグリゲーションユニットにUDPメッセージを送信する。
各々のアグリゲーションユニットは予め定義されたルールまたは条件、例えば予め定義されたデータフィールドの組み合わせ、予め定義された時間間隔などに基づいて、受信したUDPメッセージを分析するとともに累計する。UDPメッセージの各々がユーザのHTTPアクセス要求の情報、例えばユーザがアクセスしようとする目的地ドメイン名(host)、ユーザが要求した統一資源識別子(uri)、ユーザ名(uid)、クライアントIPアドレス(cip)などを含む。アグリゲーションユニットは同一の目的地ドメイン名(同じhost)、同一のソース(同じuid 、同じcip )を有するアクセス要求の数をカウントするとともに、当該ソースからのアクセス要求の数を取得する。
決められたタイムセグメント(例えば直前の60秒または直前の5分間)内に受信した、あるソースからのアクセス要求の数に基づいて、当該ソースからの単位時間あたりのアクセス要求の数を得ることができる。例えば、当該決められたタイムセグメント内に受信した当該ソースからのアクセス要求の合計数を当該タイムセグメントの時間の長さで除することによって当該ソースの1秒あたりの問い合わせ率(QPS)の値を得ることができる。
その後、アグリゲーションユニットはサマライザ103の要求に基づいて当該アグリゲーションユニットで生成されたアクセス要求に関する最新の統計データを当該サマライザ103に送信する。
サマライザ103は予め決められた時間、例えば10秒間ごとにアグリゲータまたはアグリゲータにおける各々のアグリゲーションユニットに「統計データ」を要求することができる。このような要求は例えばHTTP形式であってもよい。
アグリゲータおける各々のアグリゲーションユニットはサマライザ103からの要求を受信した後に、当該アグリゲーションユニットで生成された、アクセスに関する最新の統計データから応答メッセージ、例えばHTTP形式の応答メッセージを構成するとともに、最新の統計データを含む応答メッセージをサマライザ103に送信する。
サマライザ103は、各アグリゲーションユニットからの応答メッセージを受信した後に、特定の分類に基づいてそれらのメッセージに含まれる統計データを処理し、さらに取りまとめられた統計データを生成するとともに、予め定義されたルールに基づいてブラックリストを生成する。
本発明の一実施例によれば、ブラックリストにおける1つのブラックリスト記録は目的地ドメイン名(host)、ソースユーザ名(uid)、ソースクライアントIP(cip)および処理動作(action)の4つのパラメータを含むことができる。
当該ブラックリスト記録の意味は下記のように理解することができる。即ち、当該目的地ドメイン名(host)に送信された要求に対し、当該要求に含まれるユーザ名とクライアントIPが当該記録における対応値(ソースユーザ名、ソースクライアントIP)に合致していれば、当該記録内に指定された処理動作を実行する。当該処理動作は、例えば当該要求に対する遮断、リダイレクトまたは遅延であってもよい。
アクセス要求に含まれる目的地ドメイン名、ユーザ名、クライアントIPアドレスがブラックリストにおける1つの記録における目的地ドメイン名、ユーザ名、クライアントIPアドレスと完全に一致している場合には、当該アクセス要求が当該ブラックリストにマッチングしているとする。
具体的な目的地ドメイン名に対する、単位時間あたりの要求数の閾値および当該閾値を超えた場合の相応する処理動作をサマライザ103の構成ファイル1036に設定する。
サマライザ103は、同じデータフィールドの組み合わせを有するアクセス要求の取りまとめられた統計データに基づいて判断する。このようなアクセス要求の単位時間あたりのアクセス量(QPS)の値が構成ファイル1036に設定されたその目的地ドメイン名に対応する単位時間あたりのアクセス量の閾値を超えた場合には、相応するブラックリスト記録を生成する。当該記録は当該要求の目的地ドメイン名、ユーザ名、クライアントIPおよび相応の処理動作を含む。生成されたブラックリスト記録はブラックリストに加えられて現在のブラックリストを生成する。
また、サマライザ103でホワイトリストを維持することもできる。当該ホワイトリストはブラックリストと同じ構造を有してもよいが、当該ホワイトリストは優先処理ストラテジーを実現することができる。即ち、ホワイトリストにマッチングするアクセス要求(即ち、当該アクセス要求が当該ホワイトリストにおける1つのホワイトリスト記録にマッチングしている)の場合には、当該アクセス要求をそのまま通過させる。即ち、当該アクセス要求をその目的地バックエンドサーバ(host)に誘導するとともに、当該バックエンドサーバが当該アクセス要求に直接応答する。
サマライザ103は現在のブラックリストと予め定義されたホワイトリストとを非同期的にロードバランサ101にローディングすることができる。本発明の一実施例によれば、サマライザ103のリスニングスレッドによってロードバランサ101にブラックリストを提供することができる。ロードバランサ101がサマライザ103に要求した場合に、リスニングスレッドはサマライザ103における現在のブラックリストを取得するとともに、当該ブラックリストをホワイトリストと共にロードバランサ101に送信する。
ロードバランサ101は、ブラックリストにおける各々の記録に指定された「処理動作」の実際の実行者である。
もちろん、ホワイトリストは必ずしもサマライザ103に維持する必要はなく、例えばロードバランサ101に保持してもよい。
アクセス要求がホワイトリストにマッチングしていれば、ロードバランサ101の処理ルールはホワイトリスト優先なので、当該アクセス要求がブラックリストにマッチングしているか否かを問わず、ロードバランサ101は当該アクセス要求を通過させる。当該アクセス要求がホワイトリストにマッチングしていないがブラックリストにマッチングしている場合には、ロードバランサ101はブラックリスト内のマッチングしている具体的な記録に基づいて相応の処理動作を実行する。当該アクセス要求がホワイトリストとブラックリストのいずれにもマッチングしていない場合には、当該アクセス要求を通過させる。
本発明によれば、ロードバランサ101はブラックリストおよびホワイトリストに基づいてネットワークからのアクセス要求の各々に対して下記の処理を行う。
当該アクセス要求がホワイトリストにマッチングしている、またはブラックリストにマッチングしていない場合には、当該アクセス要求を通過させるとともに、相応のUDPメッセージを構築してアグリゲータに送信する(このように通過させたトラフィックこそが実際に相応のバックエンドサーバに送信されたトラフィックなので、アグリゲータはこのようなアクセス要求の「統計データ」を継続して計算する必要がある)。
当該アクセス要求がホワイトリストにマッチングしていないがブラックリストにマッチングしている場合には、ブラックリスト内のマッチングしている記録に指定された処理動作に基づいて当該アクセス要求を操作する。
当該アクセス要求がホワイトリストにマッチングしている、またはブラックリストにマッチングしていない場合には、当該アクセス要求を通過させるとともに、相応のUDPメッセージを構築してアグリゲータに送信する(このように通過させたトラフィックこそが実際に相応のバックエンドサーバに送信されたトラフィックなので、アグリゲータはこのようなアクセス要求の「統計データ」を継続して計算する必要がある)。
当該アクセス要求がホワイトリストにマッチングしていないがブラックリストにマッチングしている場合には、ブラックリスト内のマッチングしている記録に指定された処理動作に基づいて当該アクセス要求を操作する。
図2は本発明のロードバランサによってネットワークからのアクセス要求を規制する方法を示す。
ステップS11において、前記ロードバランサによって前記ネットワークからのアクセス要求を受信するとともに、受信した当該アクセス要求を解析してUDPメッセージにする。
ステップS12において、当該UDPメッセージをアグリゲータに送信する。
その後、前記ロードバランサは前記ロードバランサにおける現在のホワイトリストおよび現在のブラックリストに基づいて受信した当該アクセス要求に対する処理動作を確定する。ここで、前記ブラックリストは、一部のアクセス要求に対する処理動作を指定している。
ステップS13において、ロードバランサは当該アクセス要求がホワイトリストにマッチングしているか否かを判断する。マッチングしている場合には、ステップS14に移行して当該アクセス要求を通過させるとともに、相応のバックエンドサーバに送信して次の処理を行う。マッチングしていない場合には、ステップS15に移行する。
ステップS15において、ロードバランサは当該アクセス要求がブラックリストにマッチングしているか否かを判断する。マッチングしていない場合には、ステップS14に移行して当該アクセス要求を通過させるとともに、相応のバックエンドサーバに送信して次の処理を行う。マッチングしている場合には、ステップS16に移行する。
ステップS16において、ロードバランサはブラックリスト内のマッチングしている記録に指定された処理動作に基づいて当該アクセス要求を処理する。
本発明によれば、前記アグリゲータは、前記ロードバランサから送信されたUDPメッセージを受信し、受信したUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、サマライザの要求に基づいて当該サマライザに統計データを送信する。前記統計データは予め定義された時間の長さに等しい長さを有する現在のタイムセグメントで累計された、前記予め定義されたデータフィールドの組み合わせを含むUDPメッセージの数を含む。
前記サマライザは、予め決められた要求時間間隔に従って前記アグリゲータに統計データを要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に基づいてサマライザにおける現在のブラックリストを前記ロードバランサに送信する。
前述したように、アグリゲータは、複数のアグリゲーションユニットを含んでよい。以下において、各アグリゲーションユニットが累計して統計データを生成するプロセスを詳しく説明する。
アグリゲーションユニットはロードバランサから受信したUDPメッセージに基づいて特定のデータフィールドの組み合わせに対する統計データを生成する。本発明の一実施例によれば、アグリゲーションユニットは、前記ロードバランサから送信されたUDPメッセージを受信するための受信部であって、前記UDPメッセージはロードバランサによりネットワークからのアクセス要求を解析して生成されたものである、受信部と、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて、受信したUDPメッセージを累計して統計データを生成する演算部と、サマライザの要求に基づいて当該サマライザに現在の統計データを送信する送信部と、を備えている。
ネットワークからの各々のHTTP要求については、ロードバランサ101によって解析してUDPメッセージにするともに、アグリゲータ102のアグリゲーションユニット群における1つのアグリゲーションユニットに送信することしかできない。アグリゲーションユニットの各々は、予め定義された条件、例えばUDPメッセージにおけるユーザ名userid、IPアドレスipおよび統一資源識別子uriの特定のデータフィールドの組み合わせ(即ちこれら特定のデータフィールドに含まれる特定の値の組み合わせ)、および指定された時間の長さに基づいてアクセス要求の回数の累計を行う。
受信したUDPメッセージに対し、アグリゲーションユニットは当該UDPメッセージからuserid、ip、uriなどのデータフィールドを抽出し、これらのデータフィールドの指定された組み合わせ(複数の組み合わせが存在してもよい)を累計のためのデータフィールドの組み合わせとするとともに、設定された時間の長さ(短いタイムセグメントと長いタイムセグメントとを含んでもよい)に基づいて要求回数の累計を行う。
これらのデータフィールドの組み合わせは、userid+ip+uri、userid+uri、ip+uriのうちの一種類または複数種類である。もちろん、これらのデータフィールドの組み合わせは、他のデータフィールドを含む組み合わせであってもよい。
累計終了後に、アグリゲーションユニットは、例えばJSONSデータフォーマットを用いたウェブページの形式等の統計データを生成する。サマライザ103からの要求を受信した場合に、アグリゲーションユニットは、統計データをサマライザ103に送信する。
アグリゲーションユニットによってトラフィック統計を計算する場合の詳細なプロセスは下記のとおりである。
累計プロセスを起動させた後に、予め決められたデータフィールドの組み合わせを有する1つ目のUDPメッセージを受信した時に、相応の変数を初期化する。当該「1つ目のUDPメッセージ」を受信した現在時刻を有効計算開始時刻とする。アクセスの回数を1とし、開始時間を当該現在時間とし、持続時間を0とする。
total_count = 1;
start_time = time (NULL);
lasting_length = 0;
累計プロセスを起動させた後に、予め決められたデータフィールドの組み合わせを有する1つ目のUDPメッセージを受信した時に、相応の変数を初期化する。当該「1つ目のUDPメッセージ」を受信した現在時刻を有効計算開始時刻とする。アクセスの回数を1とし、開始時間を当該現在時間とし、持続時間を0とする。
total_count = 1;
start_time = time (NULL);
lasting_length = 0;
後続の累計計算において、lasting_lengthは計算開始時刻start_timeから現在時刻current_timeまで持続した時間の長さである。
その後受信した、当該データフィールドの組み合わせを有する各々のメッセージに対し、当該メッセージの受信時間と予め設定された時間の長さとの関係に基づいてアクセスのカウントが3つの状況に分けられる。
(1)当該メッセージの受信時間がstart_time(有効計算開始時刻)から起算して1つ目の予め設定されたタイムセグメントに入る場合には、アクセス回数(total_count)が1だけ増加し、持続時間が現在の時間とstart_timeとの差となる(予め設定された時間の長さを60秒とした場合、1時間を、予め設定された時間の長さを有する60のタイムセグメントに分けることができる。当該「1つ目の予め設定されたタイムセグメント」は、有効計算開始時刻から起算した1つ目の60秒の時間である)。
(2)当該メッセージの受信時間が前記1つ目の予め設定されたタイムセグメントに次ぐ2つ目の予め設定されたタイムセグメントに入る場合には、start_time(有効計算開始時刻)が更新される。ここで、当該メッセージの受信時間を前記予め設定された時間の長さに等しい長さを有する新しいタイムセグメントの終点とするとともに、当該新しいタイムセグメントのスタート時刻(即ち当該メッセージの受信時間から前記予め設定された時間の長さを減じた時刻)を有効計算開始時刻とする。この場合、パラメータtotal_count(即ちアクセス回数)は下記の方法で更新される。すなわち、先に前記1つ目のタイムセグメントにおけるQPSを計算し、当該新しいタイムセグメントと1つ目のタイムセグメントとが重なる部分の時間の長さにQPSを乗じ、さらに1だけ増加させる。さらに、持続時間を前記予め設定された時間の長さに更新する。
(3)当該メッセージの受信時間が2つ目のタイムセグメントの後に入る場合には、現在の受信時間を有効計算開始時刻に設定し、アクセス回数を1にリセットし、持続時間を0とする。このような状況は初期化と同じであり、そのとき、トラフィックが新たに計算される。
予め設定された時間の長さが60秒の場合を例にすると、相応のアルゴリズム疑似コードは下記のとおりとなる。
diff = current_time - start_time;
if (diff < 60 * X) {#受信時間が1つ目のタイムセグメントに入る場合
total_count ++; lasting_length = diff;} else if (diff > 2 * 60 * X) {#受信時間が2つ目のタイムセグメントの後に入る場合
total_count = 1;
start_time = current_time;
lasting_length = 0;} else {#受信時間が2つ目のタイムセグメントに入る場合
start_time = current_time - 60 * x;
total_count = total_count-total_count/60/X * (diff - 60 * X) + 1;
lasting_length = 60 * X;}
diff = current_time - start_time;
if (diff < 60 * X) {#受信時間が1つ目のタイムセグメントに入る場合
total_count ++; lasting_length = diff;} else if (diff > 2 * 60 * X) {#受信時間が2つ目のタイムセグメントの後に入る場合
total_count = 1;
start_time = current_time;
lasting_length = 0;} else {#受信時間が2つ目のタイムセグメントに入る場合
start_time = current_time - 60 * x;
total_count = total_count-total_count/60/X * (diff - 60 * X) + 1;
lasting_length = 60 * X;}
予め設定された時間の長さは短いタイムセグメントと長いタイムセグメントの二種類に設定することができる。DOSファーストアタックを予防する場合は短いタイムセグメントに設置する。DOSファーストアタックの場合は、短時間内に大量の接続要求がサーバを攻撃し、これにより使用できる全ての資源が枯渇し、最終的にコンピュータが合法的なユーザの要求を処理できなくなってしまう。DOSスローアタックを予防する場合は長いタイムセグメントに設定する。
以下において、サマライザ103のとりまとめ処理およびブラックリストの生成を詳しく説明する。
サマライザ103は、特定の分類に基づいてすべてのアグリゲーションユニットからの、要求回数に関する統計データを読み取り、これらの統計データを取りまとめ、予め定義されたストラテジーに基づいてブラックリストを生成するとともに、ブラックリストを非同期的にロードバランサ101にローディングする。
サマライザ103の構成および具体的な作動原理は図3に示すとおりである。
サマライザ103は受信部1031、生成部1032、リスニング部1033、構成ファイル1036およびデータベース1037を含む。
本発明の実施例によれば、受信部1031は各々のアグリゲーションユニットのために1つの受信スレッドを構築することができる。受信スレッドは一定の時間(例えば1分間)毎に各々のアグリゲーションユニットにおけるウェブページの出力から異なるデータフィールドの組み合わせに対する要求回数の統計データを読み取る。当該統計データは例えばJSONSGフォーマットのデータである。
サマライザ103の生成部1032は各々のアグリゲーションユニットから受信した統計データを予め決められたデータフィールドの組み合わせに基づいて取りまとめる。
これらの予め決められたデータフィールドの組み合わせはuserid+ip+uri、ip+uri、userid+uriなどであってもよい。
異なるデータフィールドの組み合わせに対する要求回数はそれぞれ対応するhashmaps内に記憶される。HashmapsはハッシュテーブルのMapインターフェースの実現に基づくものであり、コンピュータのプログラミングでは、記憶、検索などの機能に用いられる。
あるデータフィールドの組み合わせを有する要求の回数が構成ファイル内の予め定義されたデータフィールドの組み合わせに関するブラックリストの閾値を超えた場合には、例えば0.5QPS(1秒あたりの問い合わせ率)、useridまたはipがブラックリストに加えられて現在のブラックリストを生成する。
一実施例によれば、生成部1032における記憶スレッドはhashmaps内の取りまとめられたデータをデータベース1037に格納する。本発明の実施例によれば、記憶スレッドと受信スレッドの間で共有のhashmapsをロックしないために、ダブルhashmapsのメカニズムを採用する。
また、システムの監視端末200はHTTPプロトコルによりデータベース1037のデータを直接取得することができる。即ち、当該データはサマライザ103を介さずにJSONSフォーマットで直接導き出すことができる。
サマライザ103のリスニング部1033はロードバランサ101にブラックリストを提供するために用いられる。ロードバランサ101が要求した場合に、リスニング部1033は現在のブラックリストを取得するとともに、当該現在のブラックリストをホワイトリストと共にロードバランサ101に送信する。
本発明の一実施例によれば、サマライザ103はメインサーバとサブサーバの2つのサーバが同時に作動するモードを採用することができる。メインサーバは通常の稼働機として作動でき、サブサーバはデータのバックアップ機として作動できる。メインサーバが故障したときに、サブサーバは自動的にメインサーバの全ての業務を引き継ぎ、それによってシステムの信頼性を高めることができる。
図面と特定の実施例を参照しながら本発明を説明した。しかし、図面と明細書における実施例は本発明の実例にすぎず、本発明を限定するためのものではない。本発明の範囲は特許請求の範囲によって限定される。
Claims (10)
- ロードバランサ、アグリゲータおよびサマライザを備えたアクセス要求を規制するシステムにおいて、
前記ロードバランサは、ネットワークからの各々のアクセス要求を受信し、受信した当該アクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージを前記アグリゲータに送信するように配置され、
前記アグリゲータは、前記ロードバランサから受信した複数のUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、前記サマライザからの要求に応答して当該サマライザに累計された統計データを送信するように配置され、
前記サマライザは、予め決められた要求時間間隔に基づいて前記アグリゲータに統計データを要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に応答して前記ブラックリストを前記ロードバランサに送信するように配置されており、前記ブラックリストは、1つまたは複数の特定のアクセス要求のうちの各々に対して実行されるべき処理動作を指定しており、かつ
前記ロードバランサは、さらに現在のブラックリストに基づいて、受信した各アクセス要求に対する処理動作を確定するように配置されており、
前記統計データは前記予め定義された時間の長さ以内に累計された、前記予め定義されたデータフィールドの組み合わせを含むUDPメッセージの数を含む、
アクセス要求を規制するシステム。 - 前記アグリゲータは、互いに独立して稼働する複数のアグリゲーションユニットを含み、前記ロードバランサは、各UDPメッセージを前記複数のアグリゲーションユニットのうちの1つのアグリゲーションユニットに送信し、前記複数のアグリゲーションユニットのうちの各アグリゲーションユニットはそれぞれ前記累計を行い、
前記サマライザは、前記複数のアグリゲーションユニットからそれぞれ統計データを受信するとともに、取りまとめられた統計データを生成し、また、
前記ブラックリストは、前記取りまとめられた統計データおよび前記予め定義されたルールに基づいて生成される、請求項1に記載のシステム。 - 前記ロードバランサは予め定義されたホワイトリストをさらに含み、前記ホワイトリストは通過させるべきアクセス要求に関する1つまたは複数の記録を含み、また、
前記ロードバランサは受信した各々のアクセス要求に対し、
当該アクセス要求が前記ホワイトリストにおける1つの記録にマッチングしている、または前記ブラックリストにおけるいずれの記録にもマッチングしていない場合には、当該アクセス要求を通過させる操作と、
当該アクセス要求が前記ホワイトリストにおけるいずれの記録にもマッチングせず、かつ前記ブラックリストにおける1つの記録にマッチングしている場合には、前記ブラックリスト内のマッチングしている記録に指定された処理動作に基づいて当該アクセス要求を操作する操作とに基づいて、当該アクセス要求に対する処理動作を確定する、請求項1に記載のシステム。 - 前記ロードバランサにおける前記予め定義されたホワイトリストは前記ブラックリストと共に前記サマライザから得られる、請求項3に記載のシステム。
- 前記ブラックリストに定められた前記処理動作は遮断、リダイレクトおよび遅延のうちの1つを含む、請求項1に記載のシステム。
- アクセス要求を規制する方法であって、
ロードバランサによってネットワークからの各々のアクセス要求を受信し、受信したアクセス要求を解析してUDPメッセージにするとともに、当該UDPメッセージをアグリゲータに送信するステップと、
前記ロードバランサが現在のブラックリストに基づいて、受信した当該アクセス要求に対する処理動作を確定するステップと、を含み、前記ブラックリストは1つまたは複数の特定のアクセス要求のうちの各々に対して実行されるべき処理動作を指定している方法において、
前記アグリゲータは、前記ロードバランサから送信されたUDPメッセージを受信し、受信した複数のUDPメッセージを、予め定義されたデータフィールドの組み合わせおよび予め定義された時間の長さに基づいて累計して統計データを生成するとともに、サマライザからの要求に応答して累計された統計データを当該サマライザに送信し、
前記サマライザは、予め決められた要求時間間隔に基づいて前記アグリゲータに統計データを要求し、前記アグリゲータからの統計データを受信し、受信した統計データおよび予め定義されたルールに基づいてアクセス要求のブラックリストを生成するとともに、前記ロードバランサからの要求に応答して前記ブラックリストを前記ロードバランサに送信し、
前記統計データは前記予め定義された時間の長さ以内に累計された、前記予め定義されたデータフィールドの組み合わせを含むUDPメッセージの数を含む、方法。 - 前記アグリゲータは、互いに独立して稼働する複数のアグリゲーションユニットを含み、前記ロードバランサは、各UDPメッセージを前記複数のアグリゲーションユニットのうちの1つのアグリゲーションユニットに送信し、前記複数のアグリゲーションユニットのうちの各アグリゲーションユニットはそれぞれ前記累計を行い、
前記サマライザは、前記複数のアグリゲーションユニットからそれぞれ統計データを受信するとともに、取りまとめられた統計データを生成し、また、
前記ブラックリストは、前記取りまとめられた統計データおよび前記予め定義されたルールに基づいて生成される、請求項6に記載の方法。 - 前記ロードバランサは予め定義されたホワイトリストをさらに含み、前記ホワイトリストは通過させるべきアクセス要求に関する1つまたは複数の記録を含み、また、
前記ロードバランサは受信された各々のアクセス要求に対し、
当該アクセス要求が前記ホワイトリストにおける1つの記録にマッチングしている、または前記ブラックリストにおけるいずれの記録にもマッチングしていない場合には、当該アクセス要求を通過さる操作と、
当該アクセス要求が前記ホワイトリストにおけるいずれの記録にもマッチングせず、かつ前記ブラックリストにおける1つの記録にマッチングしている場合には、前記ブラックリスト内のマッチングしている記録に指定された処理動作に基づいて当該アクセス要求を操作する操作とに基づいて当該アクセス要求に対する処理動作を確定する、請求項6に記載の方法。 - 前記ロードバランサにおける前記予め定義されたホワイトリストは前記ブラックリストと共に前記サマライザから得られる、請求項8に記載の方法。
- 前記ブラックリストに定められた前記処理動作は遮断、リダイレクトおよび遅延のうちの1つを含む、請求項6に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510011598.9 | 2015-01-09 | ||
| CN201510011598.9A CN104580216B (zh) | 2015-01-09 | 2015-01-09 | 一种对访问请求进行限制的系统和方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017554634A Division JP2018508166A (ja) | 2015-01-09 | 2016-01-08 | アクセス要求を規制するシステムおよび方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019134484A true JP2019134484A (ja) | 2019-08-08 |
| JP6726331B2 JP6726331B2 (ja) | 2020-07-22 |
Family
ID=53095397
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017554634A Pending JP2018508166A (ja) | 2015-01-09 | 2016-01-08 | アクセス要求を規制するシステムおよび方法 |
| JP2019075800A Active JP6726331B2 (ja) | 2015-01-09 | 2019-04-11 | アクセス要求を規制するシステムおよび方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017554634A Pending JP2018508166A (ja) | 2015-01-09 | 2016-01-08 | アクセス要求を規制するシステムおよび方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10735501B2 (ja) |
| JP (2) | JP2018508166A (ja) |
| CN (1) | CN104580216B (ja) |
| HK (1) | HK1204726A1 (ja) |
| RU (1) | RU2666289C1 (ja) |
| WO (1) | WO2016110273A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580216B (zh) * | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN104580228A (zh) * | 2015-01-16 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 对来自网络的访问请求产生黑名单的系统和方法 |
| CN105939320A (zh) * | 2015-12-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN107454120A (zh) * | 2016-05-30 | 2017-12-08 | 北京京东尚科信息技术有限公司 | 网络攻击防御系统和防御网络攻击的方法 |
| CN108683631B (zh) * | 2018-03-30 | 2019-12-20 | 厦门白山耘科技有限公司 | 一种防止扫描权限文件的方法和系统 |
| CN109617932B (zh) * | 2019-02-21 | 2021-07-06 | 北京百度网讯科技有限公司 | 用于处理数据的方法和装置 |
| CN112953985B (zh) * | 2019-12-10 | 2023-04-07 | 贵州白山云科技股份有限公司 | 请求数据处理方法、装置、介质及系统 |
| CN113179317B (zh) * | 2021-04-27 | 2023-02-07 | 杭州迪普科技股份有限公司 | 内容重写设备的测试系统及方法 |
| CN113904839A (zh) * | 2021-09-30 | 2022-01-07 | 杭州数梦工场科技有限公司 | 访问请求管理方法及装置 |
| CN115174249A (zh) * | 2022-07-18 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 安全日志的处理方法及电子设备、存储介质 |
| CN115396376A (zh) * | 2022-08-22 | 2022-11-25 | 平安科技(深圳)有限公司 | 负载均衡方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020133603A1 (en) * | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
| WO2009075007A1 (ja) * | 2007-12-12 | 2009-06-18 | Duaxes Corporation | 通信制御装置及び通信制御方法 |
| JP2010122955A (ja) * | 2008-11-20 | 2010-06-03 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック情報管理サーバ及びトラフィック情報管理方法 |
| JP2011049794A (ja) * | 2009-08-27 | 2011-03-10 | Alaxala Networks Corp | パケットフロー統計値取得システム及びパケットフロー統計値取得方法 |
| JP2016520904A (ja) * | 2013-04-16 | 2016-07-14 | アマゾン・テクノロジーズ・インコーポレーテッド | 分散型ロードバランサにおける非対称パケットフロー |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| FR2872983A1 (fr) * | 2004-07-09 | 2006-01-13 | Thomson Licensing Sa | Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme |
| US7478429B2 (en) * | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US8089871B2 (en) * | 2005-03-25 | 2012-01-03 | At&T Intellectual Property Ii, L.P. | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network |
| JP4602158B2 (ja) * | 2005-05-25 | 2010-12-22 | 三菱電機株式会社 | サーバ装置保護システム |
| US9794272B2 (en) * | 2006-01-03 | 2017-10-17 | Alcatel Lucent | Method and apparatus for monitoring malicious traffic in communication networks |
| JP2008135871A (ja) * | 2006-11-27 | 2008-06-12 | Oki Electric Ind Co Ltd | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム |
| JP4900119B2 (ja) * | 2007-08-01 | 2012-03-21 | ヤマハ株式会社 | ネットワーク機器 |
| CN101437030B (zh) * | 2008-11-29 | 2012-02-22 | 成都市华为赛门铁克科技有限公司 | 一种防止服务器被攻击的方法、检测装置及监控设备 |
| US20110083179A1 (en) * | 2009-10-07 | 2011-04-07 | Jeffrey Lawson | System and method for mitigating a denial of service attack using cloud computing |
| US9197600B2 (en) * | 2011-09-29 | 2015-11-24 | Israel L'Heureux | Smart router |
| CN103491053A (zh) * | 2012-06-08 | 2014-01-01 | 北京百度网讯科技有限公司 | Udp负载均衡方法、系统及装置 |
| RU133954U1 (ru) * | 2013-04-29 | 2013-10-27 | Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) | Устройство защиты сети |
| US9055095B2 (en) * | 2013-06-14 | 2015-06-09 | Microsoft Technology Licensing, Llc | DOS detection and mitigation in a load balancer |
| CN103746982B (zh) | 2013-12-30 | 2017-05-31 | 中国科学院计算技术研究所 | 一种http网络特征码自动生成方法及其系统 |
| CN104104669A (zh) * | 2014-06-17 | 2014-10-15 | 上海地面通信息网络有限公司 | 适用于因特网数据中心领域的抗DDoS攻击防护系统 |
| CN104579841B (zh) | 2015-01-09 | 2018-09-14 | 北京京东尚科信息技术有限公司 | 根据接收的udp报文产生对特定统计数据项的统计结果的系统 |
| CN104580216B (zh) | 2015-01-09 | 2017-10-03 | 北京京东尚科信息技术有限公司 | 一种对访问请求进行限制的系统和方法 |
| CN104580228A (zh) | 2015-01-16 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 对来自网络的访问请求产生黑名单的系统和方法 |
-
2015
- 2015-01-09 CN CN201510011598.9A patent/CN104580216B/zh active Active
- 2015-05-29 HK HK15105139.4A patent/HK1204726A1/xx unknown
-
2016
- 2016-01-08 RU RU2017128207A patent/RU2666289C1/ru active
- 2016-01-08 WO PCT/CN2016/070522 patent/WO2016110273A1/zh active Application Filing
- 2016-01-08 US US15/542,086 patent/US10735501B2/en active Active
- 2016-01-08 JP JP2017554634A patent/JP2018508166A/ja active Pending
-
2019
- 2019-04-11 JP JP2019075800A patent/JP6726331B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020133603A1 (en) * | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
| WO2009075007A1 (ja) * | 2007-12-12 | 2009-06-18 | Duaxes Corporation | 通信制御装置及び通信制御方法 |
| JP2010122955A (ja) * | 2008-11-20 | 2010-06-03 | Nippon Telegr & Teleph Corp <Ntt> | トラフィック情報管理サーバ及びトラフィック情報管理方法 |
| JP2011049794A (ja) * | 2009-08-27 | 2011-03-10 | Alaxala Networks Corp | パケットフロー統計値取得システム及びパケットフロー統計値取得方法 |
| JP2016520904A (ja) * | 2013-04-16 | 2016-07-14 | アマゾン・テクノロジーズ・インコーポレーテッド | 分散型ロードバランサにおける非対称パケットフロー |
Non-Patent Citations (1)
| Title |
|---|
| 山居 正幸: "企業を熱くする最新テクノロジ sFlow/NetFlow 従来型管理の限界を乗り越える 質的なトラフィック管理を", 日経コミュニケーション, vol. 第495号, JPN6018031582, 1 October 2007 (2007-10-01), pages 107 - 113, ISSN: 0004270223 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018508166A (ja) | 2018-03-22 |
| RU2666289C1 (ru) | 2018-09-06 |
| CN104580216B (zh) | 2017-10-03 |
| JP6726331B2 (ja) | 2020-07-22 |
| US20180278678A1 (en) | 2018-09-27 |
| HK1204726A1 (en) | 2015-11-27 |
| WO2016110273A1 (zh) | 2016-07-14 |
| US10735501B2 (en) | 2020-08-04 |
| CN104580216A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6726331B2 (ja) | アクセス要求を規制するシステムおよび方法 | |
| US11641343B2 (en) | Methods and systems for API proxy based adaptive security | |
| US10587580B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| US9584531B2 (en) | Out-of band IP traceback using IP packets | |
| US7623466B2 (en) | Symmetric connection detection | |
| US8341724B1 (en) | Blocking unidentified encrypted communication sessions | |
| KR101424490B1 (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
| US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
| US10091198B2 (en) | Rule-based fingerprint generation methods and apparatus | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| WO2002023805A2 (en) | Monitoring network activity | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| François et al. | Network security through software defined networking: a survey | |
| Jamjoom et al. | Persistent dropping: An efficient control of traffic aggregates | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| Sen | A robust mechanism for defending distributed denial of service attacks on web servers | |
| Boppana et al. | Analyzing the vulnerabilities introduced by ddos mitigation techniques for software-defined networks | |
| Beitollahi et al. | A cooperative mechanism to defense against distributed denial of service attacks | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| EP3618396B1 (en) | Protection method and system for http flood attack | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Gokcen | A Preliminary Study for Identifying NAT Traffic Using Machine Learning | |
| KR101449627B1 (ko) | 비정상 세션 탐지 방법 및 장치 | |
| Alshehhi | Global DDoS Mitigation Using SDN Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190510 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190510 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200518 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6726331 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |