JP2020017826A - 振分装置、通信システムおよび振分方法 - Google Patents

振分装置、通信システムおよび振分方法 Download PDF

Info

Publication number
JP2020017826A
JP2020017826A JP2018138773A JP2018138773A JP2020017826A JP 2020017826 A JP2020017826 A JP 2020017826A JP 2018138773 A JP2018138773 A JP 2018138773A JP 2018138773 A JP2018138773 A JP 2018138773A JP 2020017826 A JP2020017826 A JP 2020017826A
Authority
JP
Japan
Prior art keywords
packet
unit
distribution
security device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018138773A
Other languages
English (en)
Other versions
JP7003864B2 (ja
Inventor
浩行 大西
Hiroyuki Onishi
浩行 大西
孟朗 西岡
Takeaki Nishioka
孟朗 西岡
裕平 林
Yuhei Hayashi
裕平 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018138773A priority Critical patent/JP7003864B2/ja
Priority to US17/260,280 priority patent/US20210306357A1/en
Priority to PCT/JP2019/028103 priority patent/WO2020022145A1/ja
Publication of JP2020017826A publication Critical patent/JP2020017826A/ja
Application granted granted Critical
Publication of JP7003864B2 publication Critical patent/JP7003864B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/04Protocols for data compression, e.g. ROHC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】セキュリティ装置に転送されるデータ量を低減する。【解決手段】複製部11cが、ネットワークから受信したパケットを複製し、圧縮部11dが、複製されたパケットのペイロードを圧縮してセキュリティ装置20aに転送する。記憶部が、セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶し、廃棄部11aが、フィルタ情報を用いて攻撃パケットを廃棄する。記憶部が、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルールを記憶し、振り分け部11bが、振り分けルールを用いて、ネットワークから受信したパケットを、所定のフローごとに、複製部11cまたは他のセキュリティ装置20bに振り分ける。【選択図】図1

Description

本発明は、振分装置、通信システムおよび振分方法に関する。
従来、DDoS攻撃(Distributed Denial of Service attack)対策として、DDoS攻撃の攻撃対象宛の全トラヒックをDDoS緩和装置(セキュリティ装置)へ引き込み、セキュリティ装置において攻撃パケットを廃棄し、非攻撃パケットを通過させる技術が知られている(非特許文献1参照)。
セキュリティ装置は、様々な分析処理を多段階で実行しており、異常を検知した段階でパケットを廃棄している。一方、セキュリティ装置で実行される分析処理には、必ずしもパケットのペイロードまで必要な処理ばかりではなく、ヘッダの5−tuple等に含まれる低位レイヤの情報のみで分析可能な処理もある。例えば、不正なポート番号を判別するInvaidPacketsと呼ばれる処理や、指定されたIPアドレスのパケットを廃棄するIP Address Filter Listsと呼ばれる処理等がある。
Arbor Networks、"Arbor Networks TMS"、[online]、Arbor Networks、[平成30年6月29日検索]、インターネット<URL:http://jp.arbornetworks.com/wp-content/uploads/2016/06/ds_tms_jp2016-030516AP-number-updated.pdf>
しかしながら、従来の技術では、分析処理に利用されないペイロードまでセキュリティ装置に転送され、セキュリティ装置のリソースが逼迫する場合がある。すなわち、セキュリティ装置において前段で低位レイヤの情報を用いた分析処理が実行されてパケットが廃棄される場合には、ペイロードは利用されない。そのような利用されないペイロードにより、セキュリティ装置のリソースが逼迫する場合がある。
本発明は、上記に鑑みてなされたものであって、セキュリティ装置に転送されるデータ量を低減することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る振分装置は、ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置であって、ネットワークから受信したパケットを複製する複製部と、複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、を備えることを特徴とする。
本発明によれば、セキュリティ装置に転送されるデータ量を低減することができる。
図1は、本実施形態に係る振分装置を含む通信システムの構成を例示する模式図である。 図2は、セキュリティ装置の処理概要を説明するための説明図である。 図3は、振分装置の処理概要を説明するための説明図である。 図4は、本実施形態の振分装置の概略構成を例示する模式図である。 図5は、振分装置の処理を説明するための説明図である。 図6は、振分装置の処理を説明するための説明図である。 図7は、振分装置の処理を説明するための説明図である。 図8は、振分装置の処理を説明するための説明図である。 図9は、振分処理手順を例示するシーケンス図である。 図10は、振分プログラムを実行するコンピュータの一例を示す図である。
以下、図面を参照して、本発明の実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[通信システム構成]
まず、図1は、本実施形態に係る振分装置を含む通信システムの構成を例示する模式図である。図1に示すように、本実施形態の通信システム1は、振分装置10と、セキュリティ装置20aおよびセキュリティ装置20bの2種類のセキュリティ装置と、コントローラ30とを含んで構成される。なお、以下の説明において、5−tupleが同一である一連のパケット群をフローと記す。
セキュリティ装置20aは、パケットのヘッダの5−tuple等に含まれる低位レイヤの情報のみを用いてパケットの簡易分析処理を行うDDoS緩和装置である。これに対し、セキュリティ装置20bは、パケットのペイロードの中身等の高位レイヤの情報を用いてパケットの通常分析処理を行うDDoS緩和装置である。セキュリティ装置20aおよびセキュリティ装置20bは、それぞれが複数台あってもよい。また、セキュリティ装置20aおよびセキュリティ装置20bは、仮想化基盤サーバ上に構築される仮想化セキュリティ装置でもよい。
振分装置10は、後述する振分処理を実行し、ネットワークから受信したパケットを、ユーザとセキュリティ装置(20a、20b)とに振り分けて転送する。具体的には、振分装置10は、簡易分析処理を行うセキュリティ装置20aに振り分ける場合には、パケットのペイロードを圧縮して転送する。また、振分装置10は、セキュリティ装置に転送するパケットを、2種類のセキュリティ装置20aまたはセキュリティ装置20bに振り分けて転送する。
ここで、図2は、セキュリティ装置の処理概要を説明するための説明図である。また、図3は、振分装置10の処理概要を説明するための説明図である。図2に示すように、セキュリティ装置において、攻撃パケット検知のために多段階で行われる分析処理のうち、ヘッダ等の低位レイヤの情報のみを用いた簡易分析(図2の分析(1)、(2))では、ネットワークから受信したパケットのうち、ヘッダのみが利用されている。
簡易分析の結果がOKの場合には(分析(1))、後段の処理(分析(2))が引き続き行われる。また、簡易分析の結果がNG(異常)の場合には(分析(2))、ペイロードは利用されないまま廃棄される。
一方、セキュリティ装置は、可能処理帯域(リソース)が限られているため、利用されないペイロードを含むパケットを受信すると、図3(a)に示すように、処理できないフローが発生する場合がある。
これに対し、本実施形態の振分装置10によれば、図3(b)に示すように、セキュリティ装置20aが受信するパケットのペイロードは圧縮されているため、セキュリティ装置20aの可能処理帯域が変わらなくても処理できるフローが増加する。
図1の説明に戻る。コントローラ30は、振分装置10に対する制御を行う。例えば、コントローラ30は、セキュリティ装置20aおよびセキュリティ装置20bによる攻撃パケットの検知結果を受信して、振分装置10に対して攻撃パケットを特定するフィルタ情報を設定する。また、コントローラ30は、振分装置10に対してセキュリティ装置20a、セキュリティ装置20bまたはユーザへのフローごとのパケット振り分けルールを設定する。
[セキュリティ装置の構成]
セキュリティ装置(20a、20b)は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等で実現され、検知部21aと通知部21bとを備える。検知部21aは、振分装置10から受信したパケットの分析により攻撃パケットを検知する。具体的には、検知部21aは、簡易分析処理または通常分析処理を実行し、攻撃パケットを検知する。また、通知部21bは、検知した攻撃パケットの情報をコントローラ30に通知する。
なお、前述したように、セキュリティ装置20aは、パケットのヘッダの5−tuple等に含まれる低位レイヤの情報のみを用いてパケットの簡易分析処理を行う。また、セキュリティ装置20bは、パケットのペイロードの中身等の高位レイヤの情報を用いてパケットの通常分析処理を行う。
[振分装置の構成]
次に、図4は、本実施形態の振分装置の概略構成を例示する模式図である。図4に示すように、本実施形態に係る振分装置10は、CPUやNPやFPGA等で実現され、メモリに記憶された処理プログラムを実行して、制御部11として機能する。また、振分装置10は、RAM、フラッシュメモリ等の半導体メモリ素子で実現される記憶部12を備える。本実施形態においては、記憶部12は、フィルタ情報12aと振り分けルール12bとを記憶する。
フィルタ情報12aは、セキュリティ装置(20a、20b)が検知した攻撃パケットを特定する情報である。フィルタ情報12aは、例えば、コントローラ30から通知され、記憶部12に記憶される。なお、フィルタ情報12aは、図示しないキーボードやマウス等の入力部を介して記憶部12に記憶させてもよい。
振り分けルール12bは、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する情報である。例えば、振り分けルール12bでは、プロトコルごとの処理方法が特定される。例えば、振り分けルール12bにより、DNSが用いるUDP、TCPのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることが特定される。
または、振り分けルール12bでは、宛先のIPアドレスごとの処理方法が特定される。例えば、振り分けルール12bにより、宛先ユーザのIPアドレスごとに、ユーザが契約している分析サービスの種類に応じて、通常分析処理の対象か、廉価版の簡易分析処理の対象か等が特定される。
あるいは、振り分けルール12bでは、宛先のIPアドレスと、セキュリティ装置における検知処理の所要時間または検知処理を開始するまでの所要時間とに応じた処理方法が特定される。例えば、振り分けルール12bにより、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることが特定される。あるいは、振り分けルール12bにより、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることが特定される。
なお、振り分けルール12bは、例えば、図示しないキーボードやマウス等の入力部を介して、あるいはコントローラ30を介して、記憶部12に記憶させる。
制御部11は、図4に例示するように、廃棄部11a、振り分け部11b、複製部11cおよび圧縮部11dとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、圧縮部11dが、ルータ等で実現され簡易分析処理を行うセキュリティ装置20aに組み込まれてもよい。
廃棄部11aは、フィルタ情報12aを用いて、ネットワークから受信したパケットから攻撃パケットを廃棄する。具体的には、廃棄部11aは、ネットワークから受信したパケットのうち、フィルタ情報12aに記憶されている既知の攻撃パケットを特定し、これを廃棄して後段の処理から除外する。
振り分け部11bは、振り分けルール12bを用いて、ネットワークから受信したパケットを、所定のフローごとに、後述する複製部11cまたは他のセキュリティ装置20bに振り分ける。具体的には、振り分け部11bは、振り分けルール12bで特定されるフローごとの処理方法に応じて、簡易分析処理の対象とするか、通常分析処理の対象とするか、あるいはいずれのセキュリティ装置にも転送しないかを決定する。
そして、振り分け部11bは、簡易分析処理の対象とする場合に、以下に説明する複製部11cに処理対象のパケットを転送し、通常分析処理の対象とする場合には、セキュリティ装置20bに処理対象のパケットを転送する。
複製部11cは、ネットワークから受信したパケットを複製する。具体的には、複製部11cは、廃棄部11aおよび振り分け部11bを介してネットワークから受信したパケットをコピーする。複製部11cは、コピーしたパケットを圧縮部11dに転送し、コピー元のパケットは、そのまま宛先ユーザに転送する。また、複製部11cは、いずれのセキュリティ装置にも転送しないパケットをそのまま宛先ユーザに転送する。
圧縮部11dは、複製されたパケットのペイロードを圧縮してセキュリティ装置20aに転送する。すなわち、圧縮部11dは、コピーされたパケットのペイロードの部分を圧縮して、簡易分析処理を行うセキュリティ装置20aに転送する。圧縮部11dは、パケットのペイロードの部分を、圧縮するかわりに削除してもよい。その場合には、圧縮部11dは、セキュリティ装置20aにはコピーされたパケットのヘッダのみを転送する。また、圧縮部11dは、パケットのペイロードの圧縮または削除に伴って、パケット長に関するチェックサム等の値を、再計算を行って変更する。
[コントローラの構成]
コントローラ30は、CPUやNPやFPGA等で実現され、取得部31aと、設定部31bとを備える。取得部31aは、セキュリティ装置(20a,20b)から、検知した攻撃パケットの情報を取得する。
また、設定部31bは、セキュリティ装置(20a,20b)から取得した攻撃パケットの情報を用いて、フィルタ情報12aを振分装置10に記憶させる。設定部31bは、また、振り分けルール12bを振分装置10に記憶させる。
次に、図5〜図8は、振分装置10の処理を説明するための説明図である。まず、図5に示すように、振分装置10では、受信したパケットを複製部11cがコピーして(ステップ(1))、圧縮部11dへ転送する。また、複製部11cは、コピー元のパケットを宛先のユーザに転送する。圧縮部11dは、コピーされたパケットのペイロードを圧縮または削除して(ステップ(2))、簡易分析処理を行うセキュリティ装置20aに転送する。
セキュリティ装置20aは、ペイロードが圧縮されたパケットを用いて簡易分析処理を行う。また、セキュリティ装置20aは、簡易分析処理を行った結果、攻撃パケットを検知した場合には、検知結果をコントローラ30に通知する(ステップ(3))。
コントローラ30は、セキュリティ装置20aから通知された検知結果を用いて、検知された攻撃パケットを特定する情報を、振分装置10のフィルタ情報12aに設定させる(ステップ(4))。これにより、以降、振分装置10の廃棄部11aは、ネットワークから受信したパケットのうち、フィルタ情報12aで特定される既知の攻撃パケットを廃棄して後段の処理から除外する。
次に、図6は、図5の処理とは、振り分け部11bが追加されている点が異なる。図6および後述する図7〜図8に点線で囲んで示した部分における処理は、図5の処理と同様である。
振り分け部11bは、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルール12bを用いて、受信したパケットを所定のフローごとに、簡易分析処理の対象とするか、通常分析処理の対象とするかを決定する。そして、振り分け部11bは、簡易分析処理の対象とする場合(A)には、複製部11cにパケットを転送し、通常分析処理の対象とする場合(B)には、セキュリティ装置20bにパケットを転送する。
図6には、振り分けルール12bにより、宛先のIPアドレスごとの処理方法が特定されている場合が例示されている。この場合に、振り分け部11bは、宛先のIPアドレスごとに、つまり、攻撃から守護するユーザごとに、簡易分析(A)または通常分析(B)に振り分けている。
例えば、宛先ユーザのIPアドレスごとに、ユーザが契約している分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象かを決定することができる。
また、図6に示す例において、振り分けルール12bにより、宛先のIPアドレスと、セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法が特定されていてもよい。例えば、振り分けルール12bにより、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることができる。
あるいは、振り分けルール12bにより、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることができる。なお、通常分析処理、簡易分析処理のいずれも非対象とすることもできる。
図7は、図6の処理とは、振り分けルール12bの設定内容が異なる。図7には、振り分けルール12bにより、プロトコルごとの処理方法が特定されている場合が例示されている。この場合に、振り分け部11bは、例えば、DNSが用いるUDP、TCPのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることができる。
図8も同様に、図6の処理とは、振り分けルール12bの設定内容が異なる。図8には、振り分けルール12bにより、簡易分析処理(A)の後に、通常分析処理(B)を行うことが特定されている場合が例示されている。これにより、振り分け部11bは、簡易分析処理(A)では異常がみつからなかった場合には、通常分析処理(B)を行うようにすることができる。その場合には、例えば、振り分け部11bの指示により、複製部11cが、簡易分析処理(A)の後に、コピーしたパケットをセキュリティ装置20bに転送する。
[振分処理]
次に、図9は、振分処理手順を例示するシーケンス図である。図9には、宛先ユーザのIPごとに簡易分析または通常分析に振り分ける場合(図6参照)が例示されている。また、図9に示す振分処理には、初期設定処理(ステップS1)と、攻撃検知処理(ステップS3)と、パケット廃棄処理(ステップS5)とが含まれる。
まず、ステップS1の初期設定処理において、ユーザが分析サービスに加入した場合に(ステップS11)、コントローラ30にユーザのIPアドレスや、攻撃検知方法等のサービスの種類が通知される(ステップS12)。
コントローラ30は、ユーザが加入した分析サービスの種類に応じた攻撃検知パラメータを、セキュリティ装置(20a、20b)に設定させる(ステップS13)。また、コントローラ30は、ユーザが加入した分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象か、あるいは通常分析処理、簡易分析処理のいずれも非対象かを特定する振り分けルール12bを振分装置10に設定させる(ステップS14)。
ステップS3の攻撃検知処理に先立って、振分装置10では、廃棄部11aが、ネットワークから受信したパケットから既知の攻撃パケットを廃棄する(ステップS20)。また、振り分け部11bが、振り分けルール12bにより、簡易分析または通常分析に振り分けている(ステップS21)。
なお、図9に示すステップS20以降のシーケンスは、振り分けルール12bにより、宛先IPアドレスにより振り分ける場合に限定されない。すなわち、ステップS20以降の処理は、振り分けルール12bにより、宛先IPアドレスおよび所要時間に応じた処理方法が特定されている場合や、プロトコルに応じた処理方法が特定されている場合(図7参照)にも共通する。
パケットが簡易分析処理に振り分けられる場合には、振り分け部11bは、パケットを複製部11cに転送する(ステップS31)。複製部11cは、受信したパケットを複製し、圧縮部11dに転送する(ステップS32)。また、複製部11cは、複製元のパケットをそのままユーザに転送する(ステップS36)。
圧縮部11dは、パケットのペイロードを圧縮してセキュリティ装置20aに転送する(ステップS33)。
一方、パケットが通常分析処理に振り分けられる場合には、振り分け部11bは、パケットをセキュリティ装置20bに転送する(ステップS41)。なお、通常分析処理、簡易分析処理のいずれも非対象の場合には、複製部11cが、パケットをそのままユーザに転送する(ステップS44)。
セキュリティ装置(20a、20b)は、攻撃パケットを検知した場合に、検知結果をコントローラ30に通知する(ステップS34、S42)。コントローラ30は、振分装置10に、攻撃パケットを特定するフィルタ情報12aを設定させる(ステップS35、S43)。
ステップS5のパケット廃棄処理では、振分装置10の廃棄部11aは、ネットワークから受信したパケットのうち、セキュリティ装置(20a、20b)が検知した攻撃パケットを既知の攻撃パケットとしてフィルタ情報12aで特定して、これを廃棄する(ステップS50)。
以上、説明したように、本実施形態の振分装置10では、複製部11cが、ネットワークから受信したパケットを複製し、圧縮部11dが、複製されたパケットのペイロードを圧縮して、セキュリティ装置20aに転送する。
これにより、簡易分析処理を行うセキュリティ装置20aに転送されるデータ量を低減することができる。したがって、セキュリティ装置20aのリソースを増加させなくても処理できるパケットが増加して、セキュリティ装置20aのリソースが逼迫することを抑制できる。
また、記憶部12が、セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報12aを記憶し、廃棄部11aが、フィルタ情報を用いて、ネットワークから受信したパケットから攻撃パケットを廃棄する。これにより、ネットワークから受信したパケットから、既知の攻撃パケットを廃棄することが可能となる。
また、記憶部12が、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルール12bを記憶し、振り分け部11bが、振り分けルール12bを用いて、ネットワークから受信したパケットを、所定のフローごとに、複製部11cまたは他のセキュリティ装置20bに振り分ける。これにより、受信したパケットを所定のフローごとに、簡易分析処理または通常分析処理に振り分けることが可能となる。
記憶部12は、プロトコルごとの処理方法を特定する振り分けルール12bを記憶してもよい。その場合に、振り分け部11bは、振り分けルール12bを用いて、ネットワークから受信したパケットを、プロトコルごとに、複製部11cまたは他のセキュリティ装置20bに振り分ける。これにより、例えば、DNSが用いるUDP、TCPのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることができる。
また、記憶部12は、宛先のIPアドレスごとの処理方法を特定する振り分けルール12bを記憶してもよい。その場合に、振り分けルール12bを用いて、ネットワークから受信したパケットを、宛先のIPアドレスごとに、複製部11cまたは他のセキュリティ装置20bに振り分ける。これにより、例えば、宛先ユーザのIPアドレスごとに、ユーザが契約している分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象か等を決定することができる。
また、記憶部12は、宛先のIPアドレスと、セキュリティ装置(20a、20b)における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法を特定する振り分けルール12bを記憶してもよい。その場合に、振り分けルール12bを用いて、ネットワークから受信したパケットを、宛先のIPアドレスと、セキュリティ装置(20a、20b)における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じて、複製部11cまたは他のセキュリティ装置20bに振り分ける。
これにより、例えば、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることができる。あるいは、宛先ユーザのIPアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることができる。
また、本実施形態の通信システム1において、セキュリティ装置(20a,20b)では、検知部21aが、振分装置10から受信したパケットの分析により攻撃パケットを検知し、通知部21bが、検知した攻撃パケットの情報をコントローラ30に通知する。コントローラ30では、取得部31aが、セキュリティ装置(20a、20b)から、検知した攻撃パケットの情報を取得し、設定部31bが、取得した攻撃パケットの情報を用いて、フィルタ情報12aを振分装置10に記憶させる。これにより、攻撃パケットの分析と廃棄とを容易かつ効率よく行うことが可能となる。
[プログラム]
上記実施形態に係る振分装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、振分装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の振分処理を実行する振分プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の振分プログラムを情報処理装置に実行させることにより、情報処理装置を振分装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機等の移動体通信端末、さらには、PDA(Personal Digital Assistants)等のスレート端末などがその範疇に含まれる。また、振分装置10の機能を、クラウドサーバに実装してもよい。
図10は、振分プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、振分プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した振分装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、振分プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、振分プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、振分プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 通信システム
10 振分装置
11 制御部
11a 廃棄部
11b 振り分け部
11c 複製部
11d 圧縮部
12 記憶部
12a フィルタ情報
12b 振り分けルール
20a、20b セキュリティ装置
21a 検知部
21b 通知部
30 コントローラ
31a 取得部
31b 設定部

Claims (8)

  1. ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置であって、
    ネットワークから受信したパケットを複製する複製部と、
    複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、
    を備えることを特徴とする振分装置。
  2. 前記セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶する記憶部と、
    前記フィルタ情報を用いて、ネットワークから受信したパケットから前記攻撃パケットを廃棄する廃棄部と、
    をさらに備えることを特徴とする請求項1に記載の振分装置。
  3. ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルールを記憶する記憶部と、
    前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記所定のフローごとに、前記複製部または他のセキュリティ装置に振り分ける振り分け部と、
    をさらに備えることを特徴とする請求項1に記載の振分装置。
  4. 前記記憶部は、プロトコルごとの処理方法を特定する前記振り分けルールを記憶し、
    前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記プロトコルごとに、前記複製部または他のセキュリティ装置に振り分ける
    ことを特徴とする請求項3に記載の振分装置。
  5. 前記記憶部は、宛先のIPアドレスごとの処理方法を特定する前記振り分けルールを記憶し、
    前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記宛先のIPアドレスごとに、前記複製部または他のセキュリティ装置に振り分ける
    ことを特徴とする請求項3に記載の振分装置。
  6. 前記記憶部は、宛先のIPアドレスと、前記セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法を特定する前記振り分けルールを記憶し、
    前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、宛先のIPアドレスと、前記セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じて、前記複製部または他のセキュリティ装置に振り分ける
    ことを特徴とする請求項3に記載の振分装置。
  7. 攻撃パケットを検知するセキュリティ装置と、ネットワークから受信したパケットをユーザと前記セキュリティ装置とに転送する振分装置と、コントローラとを含む通信システムであって、
    前記振分装置は、
    前記セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶する記憶部と、
    前記フィルタ情報を用いて前記攻撃パケットを廃棄する廃棄部と、
    ネットワークから受信したパケットを複製する複製部と、
    複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、を備え、
    前記セキュリティ装置は、
    振分装置から受信したパケットの分析により攻撃パケットを検知する検知部と、
    検知した攻撃パケットの情報を前記コントローラに通知する通知部と、を備え、
    前記コントローラは、
    前記セキュリティ装置から、検知した攻撃パケットの情報を取得する取得部と、
    前記セキュリティ装置から取得した攻撃パケットの情報を用いて、前記フィルタ情報を前記振分装置に記憶させる設定部と、を備える
    ことを特徴とする通信システム。
  8. ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置で実行される振分方法であって、
    ネットワークから受信したパケットを複製する複製工程と、
    複製された前記パケットのペイロードを圧縮して、前記セキュリティ装置に転送する圧縮工程と、
    を含んだことを特徴とする振分方法。
JP2018138773A 2018-07-24 2018-07-24 振分装置、通信システムおよび振分方法 Active JP7003864B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018138773A JP7003864B2 (ja) 2018-07-24 2018-07-24 振分装置、通信システムおよび振分方法
US17/260,280 US20210306357A1 (en) 2018-07-24 2019-07-17 Sorting device, communication system, and sorting method
PCT/JP2019/028103 WO2020022145A1 (ja) 2018-07-24 2019-07-17 振分装置、通信システムおよび振分方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018138773A JP7003864B2 (ja) 2018-07-24 2018-07-24 振分装置、通信システムおよび振分方法

Publications (2)

Publication Number Publication Date
JP2020017826A true JP2020017826A (ja) 2020-01-30
JP7003864B2 JP7003864B2 (ja) 2022-02-10

Family

ID=69180786

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018138773A Active JP7003864B2 (ja) 2018-07-24 2018-07-24 振分装置、通信システムおよび振分方法

Country Status (3)

Country Link
US (1) US20210306357A1 (ja)
JP (1) JP7003864B2 (ja)
WO (1) WO2020022145A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022024321A1 (ja) * 2020-07-30 2022-02-03 日本電気株式会社 通信処理装置、通信処理システム、通信処理方法、及びプログラム

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020136888A (ja) * 2019-02-19 2020-08-31 日本電信電話株式会社 検知装置および検知方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009159131A (ja) * 2007-12-25 2009-07-16 Duaxes Corp ウィルス検出装置
JP2017046108A (ja) * 2015-08-25 2017-03-02 株式会社日立製作所 ネットワークシステム、通信品質の判定方法、及び分析装置
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4074266B2 (ja) * 2004-05-26 2008-04-09 株式会社東芝 パケットフィルタリング装置、及びパケットフィルタリングプログラム
US20060161671A1 (en) * 2005-01-14 2006-07-20 Citrix Systems, Inc. Method and systems for capture and replay of remote presentation protocol data
US8407778B2 (en) * 2005-08-11 2013-03-26 International Business Machines Corporation Apparatus and methods for processing filter rules
JP4419951B2 (ja) * 2005-12-22 2010-02-24 ブラザー工業株式会社 通信装置
KR100793349B1 (ko) * 2006-01-26 2008-01-11 삼성전자주식회사 Ppp 멀티링크를 지원하는 시스템에서의 멀티캐스트트래픽 포워딩 장치 및 제어방법
EP2179542A4 (en) * 2007-08-02 2010-11-17 Tekelec Us METHODS, SYSTEMS, AND COMPUTER-READABLE MEDIA FOR COLLECTING DATA FROM A NETWORK TRAFFIC CROSSING HIGH-SPEED INTERNET PROTOCOL (IP) COMMUNICATION LINKS
KR101263329B1 (ko) * 2009-12-02 2013-05-16 한국전자통신연구원 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
US8325727B2 (en) * 2010-04-08 2012-12-04 Calix, Inc. Inline packet replication in network devices
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US10212084B2 (en) * 2012-06-14 2019-02-19 Nec Corporation Communication system, control apparatus, communication method, control method and program
US9450780B2 (en) * 2012-07-27 2016-09-20 Intel Corporation Packet processing approach to improve performance and energy efficiency for software routers
JP2015075808A (ja) * 2013-10-07 2015-04-20 富士通株式会社 ネットワークフィルタリング装置及びネットワークフィルタリング方法
US9154506B1 (en) * 2014-03-20 2015-10-06 Wipro Limited System and method for secure data generation and transmission
US10142287B2 (en) * 2015-04-06 2018-11-27 Nicira, Inc. Distributed network security controller cluster for performing security operations
WO2017093783A1 (en) * 2015-12-01 2017-06-08 Ilradiflow Ltd. Network security agent
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
US10911460B2 (en) * 2018-07-02 2021-02-02 Juniper Networks, Inc. Methods and devices for blocking, detecting, and/or preventing malicious traffic

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009159131A (ja) * 2007-12-25 2009-07-16 Duaxes Corp ウィルス検出装置
JP2017046108A (ja) * 2015-08-25 2017-03-02 株式会社日立製作所 ネットワークシステム、通信品質の判定方法、及び分析装置
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022024321A1 (ja) * 2020-07-30 2022-02-03 日本電気株式会社 通信処理装置、通信処理システム、通信処理方法、及びプログラム
JP7444260B2 (ja) 2020-07-30 2024-03-06 日本電気株式会社 通信処理装置、通信処理システム、通信処理方法、及びプログラム

Also Published As

Publication number Publication date
JP7003864B2 (ja) 2022-02-10
US20210306357A1 (en) 2021-09-30
WO2020022145A1 (ja) 2020-01-30

Similar Documents

Publication Publication Date Title
US10484465B2 (en) Combining stateless and stateful server load balancing
US10277482B2 (en) Distributed deep packet inspection
JP2019525528A (ja) 攻撃に対する防御のためのネットワークトラフィックの処理
US11425006B2 (en) Systems, methods and computer program products for scalable, low-latency processing of streaming data
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
CN106470136B (zh) 平台测试方法以及平台测试系统
US9961130B2 (en) Distributed high availability processing methods for service sessions
CN113364804B (zh) 一种流量数据的处理方法和装置
US11558283B2 (en) Information collecting system and information collecting method
WO2020022145A1 (ja) 振分装置、通信システムおよび振分方法
JP6870386B2 (ja) マルウェア不正通信対処システム及び方法
US20220006730A1 (en) Systems and methods to filter out noisy application signatures to improve precision of first packet application classification
US11924243B2 (en) Search device, search method, and search program
JP6563872B2 (ja) 通信システム、および、通信方法
US11816216B2 (en) Preventing malware downloads
US11811734B2 (en) Protocol switching for connections to zero-trust proxy
Takai et al. Quick Blocking Operation of IDS/SDN Cooperative Firewall Systems by Reducing Communication Overhead
US20070016767A1 (en) Switching Devices Avoiding Degradation of Forwarding Throughput Performance When Downloading Signature Data Related to Security Applications
US20200186476A1 (en) System and methods to filter out noisy application signatures to improve precision of first packet classification
JP2016031687A (ja) マルウェア通信制御装置
CN111200652A (zh) 应用识别方法、应用识别装置和计算设备
JPWO2018143096A1 (ja) リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211213

R150 Certificate of patent or registration of utility model

Ref document number: 7003864

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150