JP2020031363A - 通信制御システム、ネットワークコントローラ及びコンピュータプログラム - Google Patents

通信制御システム、ネットワークコントローラ及びコンピュータプログラム Download PDF

Info

Publication number
JP2020031363A
JP2020031363A JP2018156585A JP2018156585A JP2020031363A JP 2020031363 A JP2020031363 A JP 2020031363A JP 2018156585 A JP2018156585 A JP 2018156585A JP 2018156585 A JP2018156585 A JP 2018156585A JP 2020031363 A JP2020031363 A JP 2020031363A
Authority
JP
Japan
Prior art keywords
communication flow
flow
switch
feature amount
transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018156585A
Other languages
English (en)
Other versions
JP6923809B2 (ja
Inventor
尊広 久保
Sonhiro Kubo
尊広 久保
寛之 鵜澤
Hiroyuki Uzawa
寛之 鵜澤
悠 中山
Yu Nakayama
悠 中山
大介 久野
Daisuke Hisano
大介 久野
陽一 深田
Yoichi Fukada
陽一 深田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018156585A priority Critical patent/JP6923809B2/ja
Priority to PCT/JP2019/032010 priority patent/WO2020040027A1/ja
Priority to US17/265,928 priority patent/US20210306362A1/en
Publication of JP2020031363A publication Critical patent/JP2020031363A/ja
Application granted granted Critical
Publication of JP6923809B2 publication Critical patent/JP6923809B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2458Modification of priorities while in transit
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2212/00Encapsulation of packets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークにかかる負荷を抑えつつ、異常フレームに対して迅速に対処すること。【解決手段】複数のレイヤ2スイッチとネットワークコントローラとを有する通信制御システムにおいて、ネットワークコントローラは、レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、判定部によって類似していると判定された場合、通信フローに対する転送処理の優先度を低下させるための第1の命令及び通信フローを複製させるための第2の命令をレイヤ2スイッチに対して出力するか、又は、第1の命令をレイヤ2スイッチに対して出力し前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、を備える。【選択図】図3

Description

本発明は、通信制御システム、ネットワークコントローラ及びコンピュータプログラムに関する。
近年、増加するモバイルトラヒックを効率的に収容するため、C−RAN(Centralized-Radio Access Network)構成による無線アクセスネットワークが検討されている(例えば、非特許文献1)。C−RANでは、多数のRE(Radio Equipment;無線機器)が高密度に配置される。そして、それぞれのREは、集約配置されたRECs(Radio Equipment Controls)に接続される。
また、IEEE 802.1CMにおいて、フロントホールのトラヒックをレイヤ2ネットワーク(以下「L2ネットワーク」という。)に収容する検討が進められている(例えば、非特許文献2)。一方、IoT(Internet of Things;モノのインターネット)の一部に代表される、遅延を許容するトラヒック(以下「遅延許容トラヒック」という。)をアクセスネットワークに収容する検討も進められている。これらを鑑みて、フロントホール、バックホールに加え、遅延許容トラヒックを同一のL2ネットワークに収容したマルチサービス収用アクセスネットワークを検討した報告がなされている(例えば、非特許文献3)。
マルチサービス収用アクセスネットワークでは、多数の端末がネットワーク上のサーバ等に接続することがある。この場合、接続先サーバ及びL2ネットワークにおいて大きな負荷がかかる可能性がある。そのため、サービスに影響を及ぼす異常トラヒックをL2ネットワークにおいて検知し、対処を行う必要がある。
ドコモ5Gホワイトペーパー, https://www.nttdocomo.co.jp/corporate/technology/whitepaper_5g/, 2014年9月 Craig Gunther, "What's New in the World of IEEE 802.1 TSN", Standards News, IEEE Communications Magazine, Communications Standards Supplement, September 2016. 久保尊広 他, 「5G/IoT時代のレイヤ2ネットワーク技術」, 信学技報, CS2017-43, pp.7-12, 一般社団法人 電子情報通信学会, 2017年 Georgios Kambourakis et al., "The Mirai Botnet and the IoT Zombie Armies",Milcom 2017 Track 3 - Cyber Security and Trusted Computing, pp.267-272,IEEE, 2017.
アクセスネットワークにおける異常トラヒックの発生原因は多様である。例えば、IoTデバイスが所定の時刻にサーバへデータをアップロードするシステムでは、バーストトラヒックが発生することがある。この場合、バーストトラヒックを構成する個々の通信フレームは、IoTデバイスから出力された正当な通信フレームである。そのため、L2ネットワークにおいて適切に負荷分散させることによって、サーバの処理の許容範囲を超える負荷がかかる状況の発生を回避させることが可能である。
その一方で、マルウェア等に感染した多数のIoTデバイスが、サーバやL2ネットワークに対して、悪意あるトラヒックを送信する攻撃(DDoS(Distributed Denial of Service;分散サービス拒否)攻撃)が報告されている(例えば、非特許文献4)。そのため、L2ネットワークが、例えばバーストトラヒック等の異常トラヒックを検出した場合には、その異常トラヒックが正当なトラヒックであるか、あるいは悪意あるトラヒックであるかを判別して、適切な対処を実施することが求められる。
しかしながら、異常トラヒックの解析のために、L2ネットワークに流通する全ての通信フレームを複製して、複製された通信フレームを特定の解析サーバへ送信する場合、トラヒックが増加してネットワークに大きな負荷がかかることが課題となる。また、複製したフレームを解析サーバへ送信して当該解析サーバから得られた解析結果に基づいて対処を行う場合、異常トラヒックの発生に対して迅速に対処できないことが課題となる。
上記事情に鑑み、本発明は、ネットワークにかかる負荷を抑えつつ、異常フレームに対して迅速に対処することができる技術の提供を目的としている。
本発明の一態様は、複数のレイヤ2スイッチとネットワークコントローラとを有する通信制御システムであって、前記ネットワークコントローラは、前記レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、類似していると判定された前記転送通信フロー特徴量を有する通信フローに対する転送処理の優先度を低下させるための第1の命令及び類似していると判定された前記転送通信フロー特徴量を有する通信フローを複製させるための第2の命令を前記レイヤ2スイッチに対して出力するか、又は、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、前記第1の命令を前記レイヤ2スイッチに対して出力し類似していると判定された前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、を備える通信制御システムである。
また、本発明の一態様は、上記の通信制御システムであって、前記特徴量は、前記通信フローごとの到着フレーム数である。
また、本発明の一態様は、上記の通信制御システムであって、前記特徴量は、前記通信フローごとのセッション接続フレーム数である。
また、本発明の一態様は、上記の通信制御システムであって、前記ネットワークコントローラは、前記転送通信フロー特徴量と前記異常時通信フロー特徴量との平均二乗誤差が所定の閾値未満である場合、前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定する。
また、本発明の一態様は、上記の通信制御システムであって、前記命令部は、転送対象の通信フローが最も集約されるレイヤ2スイッチに対して前記第2の命令を出力する。
また、本発明の一態様は、上記の通信制御システムであって、前記レイヤ2スイッチは、前記第1の命令を取得した場合、処理対象である第1のレイヤ2フレームに対し、前記第1のレイヤ2フレームに付与された優先度の値よりも低い優先度の値が付与された第2のレイヤ2フレームによってカプセル化する。
また、本発明の一態様は、レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、類似していると判定された前記転送通信フロー特徴量を有する通信フローに対する転送処理の優先度を低下させるための第1の命令及び類似していると判定された前記転送通信フロー特徴量を有する通信フローを複製させるための第2の命令を前記レイヤ2スイッチに対して出力するか、又は、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、前記第1の命令を前記レイヤ2スイッチに対して出力し類似していると判定された前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、を備えるネットワークコントローラである。
また、本発明の一態様は、上記のネットワークコントローラとしてコンピュータを機能させるためのコンピュータプログラムである。
本発明により、ネットワークにかかる負荷を抑えつつ、異常フレームに対して迅速に対処することができる。
本発明の一実施形態に係る通信制御システム1の全体構成図である。 本発明の一実施形態に係る通信制御システム1による通信制御処理の概要を説明するための図である。 本発明の一実施形態に係る通信制御システム1の機能構成を示すブロック図である。 本発明の一実施形態に係る通信制御システム1の特徴量蓄積部220が管理する特徴量リストLT1の構成の一例を示す図である。 本発明の一実施形態に係る通信制御システム1の異常特徴量蓄積部230が管理する異常特徴量リストLT2の構成の一例を示す図である。 本発明の一実施形態に係る通信制御システム1によるトラヒックの区別を行う処理を説明するための図である。 本発明の一実施形態に係る通信制御システム1の異常トラヒック特定部250が保持するリストLT3の構成の一例を示す図である。 本発明の一実施形態に係る通信制御システム1によるL2スイッチ10の選択処理を説明するための図である。 本発明の一実施形態に係る通信制御システム1によるL2スイッチ10の選択処理の流れを示すフローチャートである。 本発明の一実施形態に係る通信制御システム1のL2スイッチ10による優先度の制御処理を説明するための図である。 本発明の一実施形態に係る通信制御システム1によるCoS値の書換え処理を説明するための図である。 本発明の一実施形態に係る通信制御システム1による通信制御処理の状態遷移図である。 本発明の一実施形態に係る通信制御システム1による暫定対処処理を説明するための図である。 本発明の一実施形態に係る通信制御システム1による正式対処処理を説明するための図である。
<実施形態>
以下、本発明の一実施形態に係る通信制御システム1について説明する。
[通信制御システムの全体構成]
以下、通信制御システム1の全体構成について説明する。
図1は、本発明の一実施形態に係る通信制御システム1の全体構成図である。図1に示すように、通信制御システム1は、4つのレイヤ2スイッチ(以下「L2スイッチ」という。)を有するL2ネットワーク15と、ネットワークコントローラ20と、DDoS攻撃検出サーバ30と、複数のモバイル端末40と、複数のIoT端末41と、を含んで構成される。
なお、以下の説明において、4つのL2スイッチ(L2スイッチ10−1、L2スイッチ10−2、L2スイッチ10−3、及びL2スイッチ10−4)をそれぞれ区別して説明する必要がない場合には、単に「L2スイッチ10」と記載する。
なお、L2スイッチ10の個数は4つに限られるものではなく、2つ以上の任意の数で構わない。
図1に示すように、L2ネットワーク15は、互いに隣接したL2スイッチ10同士が接続されることによって形成されている。
各L2スイッチ10には、それぞれ様々なデバイスが接続される。本実施形態においては、一例として、L2スイッチ10には、モバイル端末40及びIoT端末41が接続されている。なお、L2スイッチ10に接続される装置はモバイル端末40及びIoT端末41に限られるものではなく、通信可能なその他の装置であっても構わない。各L2スイッチ10に様々なデバイスが接続されることによって、L2ネットワーク15には多様なトラヒック(データ量)のデータが流れる。
図1に示すように、各L2スイッチ10は、ネットワークコントローラ20及びDDoS攻撃検出サーバ30にそれぞれ接続している。また、ネットワークコントローラ20及びDDoS攻撃検出サーバ30も互いに接続されている。
[通信制御処理の概要]
以下、通信制御システム1による通信制御処理の概要について説明する。
図2は、本発明の一実施形態に係る通信制御システム1による通信制御処理の概要を説明するための図である。以下、通信フローのことを単に「フロー」という。
ネットワークコントローラ20は、異常トラヒックであることが疑われるフロー(以下「被疑フロー」という。)を検出すると、L2スイッチ10(図2においてはL2スイッチ10−4)に対して、暫定対処を行わせ、かつ当該被疑フローを複製させて複製された被疑フローをDDoS攻撃検出サーバ30へ転送させるための命令を出力する(ステップS1)。なお、複数のL2スイッチ10(10−1〜10−4)のうち、命令の出力先とするL2スイッチ10を選択する方法については後述する。
L2スイッチ10は、ネットワークコントローラ20から出力された命令を取得すると、暫定対処を実行する(ステップS2a)。なお、暫定対処の方法については後述する。また、L2スイッチ10は、被疑フローを複製して、複製された被疑フローをDDoS攻撃検出サーバ30へ転送する(ステップS2b)。
DDoS攻撃検出サーバ30は、L2スイッチ10から複製された被疑フローを取得すると、異常トラヒックが悪意ある攻撃によるものであるか否かを判定するため、複製された被疑フローを解析する。DDoS攻撃検出サーバ30は、異常トラヒックが悪意ある攻撃によるものであるか否かの判定を行い(ステップS3)、判定結果をネットワークコントローラ20に通知する(ステップS4)。
ネットワークコントローラ20は、DDoS攻撃検出サーバ30からの判定結果を取得すると、ステップS1において暫定対処を行わせるための命令を出力したL2スイッチ10(図2においてはL2スイッチ10−4)に対して、正式対処を行わせるための命令を出力する(ステップS5)。
なお、DDoS攻撃検出サーバ30が、上記判定結果に基づき、ステップS1において暫定対処を行わせるための命令を出力したL2スイッチ10に対して、正式対処を行わせるための命令を出力する構成であってもよい。
L2スイッチ10は、ネットワークコントローラ20から出力された命令を取得すると、正式対処を実行する(ステップS6)。なお、正式対処の方法については後述する。
通信制御システム1は、以上のように通信制御処理を実行することによって、L2ネットワークで発生する異常トラヒックの監視及び制御を行うことができる。
なお、上述したように本実施形態においては、ネットワークコントローラ10は、被疑フローを検出すると、L2スイッチ10に対して、暫定対処を行わせ、かつ当該被疑フローを複製させて複製された被疑フローをDDoS攻撃検出サーバ30へ転送させるための命令を出力する構成である。そして、L2スイッチ10は、暫定対処を行わせるための命令を取得した場合、暫定対処を実行するとともに、被疑フローを複製して、複製された被疑フローをDDoS攻撃検出サーバ30へ転送する構成である。そして、DDoS攻撃検出サーバ30は、L2スイッチ10から取得した被疑フローを解析し、異常トラヒックが悪意ある攻撃によるものであるか否かを判定する構成である。但し、上記の構成に限られるものではない。
例えば、ネットワークコントローラ10が、被疑フローを検出した場合、L2スイッチ10に対して暫定対処を行わせるための命令を出力するとともに、DDoS攻撃検出サーバ30に対して被疑フローを識別する識別情報を転送する構成であってもよい。ここでいう識別情報とは、例えば、VLAN ID(VID)である。そして、L2スイッチ10が、暫定対処を行わせるための命令を取得した場合、暫定対処を実行する構成であってもよい。そして、DDoS攻撃検出サーバ30が、モニタしているトラヒックの中から上記の識別情報に対応付けられた被疑フローを取得して当該被疑フローを解析し、異常トラヒックが悪意ある攻撃によるものであるか否かを判定する構成であってもよい。
[通信制御処理の機能構成]
以下、通信制御システム1の機能構成について説明する。
図3は、本発明の一実施形態に係る通信制御システム1の機能構成を示すブロック図である。図3に示すように、通信制御システム1は、L2スイッチ10と、ネットワークコントローラ20と、DDoS攻撃検出サーバ30と、を含んで構成される。
なお、図1及び図2に示したように本実施形態においては、通信制御システム1は、4つのL2スイッチ10(10−1〜10−2)を有するが、説明を簡単にするため、図3においては1つのみ図示する。
図3に示すように、L2スイッチ10は、特徴量情報蓄積部110と、アクション制御部120と、を備える。アクション制御部120は、フロー優先度制御部121と、フロー廃棄部122と、フロー複製部123と、を含んで構成される。
また、図3に示すようにネットワークコントローラ20は、フロー別特徴量制御部210と、異常特徴量蓄積部230と、被疑フロー判定部240と、異常トラヒック特定部250と、暫定対処部260と、対処調停部270と、検出サーバ宛てフロー情報制御部280と、正式対処部290と、を含んで構成される。
また、図3に示すようにDDoS攻撃検出サーバ30は、異常判定部310を含んで構成される。
フロー別特徴量制御部210は、各L2スイッチ10に対し、フローごとの特徴量を示す情報を取得するためのリクエストを出力する。フロー別特徴量制御部210は、所定の周期(サイクル)で、繰り返しリクエストを出力する。これにより、ネットワークコントローラ20は、フローごとの特徴量を示す情報を、各L2スイッチ10から周期的に取得する。
特徴量情報蓄積部110は、フロー別特徴量制御部210から出力されたリクエストを取得する。特徴量情報蓄積部110は、取得したリクエストに応じて、フローごとに収集された特徴量を示す情報を、ネットワークコントローラ20へ出力する。
ここでいう特徴量とは、例えば、到着フレーム数、データレート、宛先MAC(Media Access Control)アドレス、送信元MACアドレス、イーサネット(登録商標)タイプ番号(Ethernet Type Number)、フレーム長、フローごとのセッション接続フレーム数、IP(Internet Protocol)アドレス、又はポート番号等である。なお、フロー別特徴量制御部210から送信されるリクエストには、要求する特徴量に関する条件が含まれている。
なお、別の手段として、フロー別特徴量制御部210が、L2スイッチ10に対して、収集する特徴量の条件及び所定の閾値をリクエストとして出力し、L2スイッチ10において収集された特徴量が当該閾値を超えたことを契機に、特徴量情報蓄積部110が、ネットワークコントローラ20へ、非周期的に特徴量を示す情報を出力する構成にしてもよい。なお、この場合、フレームが暗号化されていない事が前提となる。
なお、フレームが暗号化されている場合には、暗号化通信を開始する前に暗号化方式のネゴシエーションと鍵交換とを行うネゴシエーションフレームから、特徴量を示す情報を収集する構成にすることが考えられる。
特徴量蓄積部220は、特徴量情報蓄積部110から出力されたフローごとの特徴量を示す情報を取得する。特徴量蓄積部220は、取得した特徴量を示す情報(転送通信フロー特徴量)を、例えば図4に示す特徴量リストLT1によって管理する。
図4は、本発明の一実施形態に係る通信制御システム1の特徴量蓄積部220が管理する特徴量リストLT1の構成の一例を示す図である。図4に示すように、特徴量リストLT1の左端の列の値は、フローを識別するID(Identifier;識別子)である「フローID」を表す。特徴量リストLT1は、フローごと、かつ、サイクルごとの特徴量の値を示すリストである。特徴量リストLT1は、過去5サイクルの特徴量の値を時系列データとして保持している。図4に示すように、例えば、フローIDが「A」であるフローの、サイクル1の時点における特徴量の値は「XA1」であり、サイクル1から1周期後の時点であるサイクル2の時点における特徴量の値は「XA2」である。
再び、図3に戻って説明する。
異常特徴量蓄積部230は、過去の異常発生時における、特徴量情報蓄積部110から出力されたフローごとの特徴量(異常時通信フロー特徴量)を示す情報を管理する。
図5は、本発明の一実施形態に係る通信制御システム1の異常特徴量蓄積部230が管理する異常特徴量リストLT2の構成の一例を示す図である。図5に示すように、異常特徴量リストLT2の左端の列の値は、フローを識別するIDである「フローID」を表す。異常特徴量リストLT1は、フローごと、かつ、サイクルごとの、過去の異常発生時における特徴量の値を示すリストである。異常特徴量リストLT2は、過去5サイクルの特徴量の値を時系列データとして保持している。図5に示すように、例えば、フローIDが「1」であるフローの、サイクル1の時点における特徴量の値は「Xddos1」であり、サイクル1から1周期後の時点であるサイクル2の時点における特徴量の値は「Xddos2」である。
再び、図3に戻って説明する。
被疑フロー判定部240(判定部)は、特徴量蓄積部220によって管理される特徴量リストLT1が更新される度に、更新された特徴量リストLT1に含まれる時系列の特徴量の値と、異常特徴量蓄積部230によって管理される異常特徴量リストLT2に含まれる時系列の特徴量の値と、を比較する。
以下に、一例として、図4に示す特徴量リストLT1における、フローIDの値が「A」であるフローの5サイクルの特徴量の値(すなわち、「XA1」、「XA2」、「XA3」、「XA4」、及び「XA5」)と、図5に示す異常特徴量リストLT2における、フローIDの値が「1」であるフローの5サイクルの特徴量の値(すなわち、「Xddos1」、「Xddos2」、「Xddos3」、「Xddos4」、及び「Xddos5」)とを、二乗誤差を用いて比較する場合について説明する。
例えば、図4に示すフローIDの値が「A」であるフローの特徴量の系列(すなわち、「XA1」、「XA2」、「XA3」、「XA4」、及び「XA5」)は、図5に示すフローIDの値が「A」であるフローの特徴量の系列(すなわち、「Xddos1」、「Xddos2」、「Xddos3」、「Xddos4」、及び「Xddos5」)と比較される。
これら2つの系列の差MSE(X)を、以下の式(1)に示す平均二乗誤差によって表すことができる。
MSE(X)=(1/n)Σ(XAi−Xddosi ・・・(1)
異常トラヒック特定部250は、平均二乗誤差MSE(X)が所定の閾値未満である場合、これら2つの系列が類似していると判定する。すなわち、特徴量情報蓄積部110から取得された特徴量の系列が、過去の異常発生時に取得された特徴量の系列と類似していると判定される。
なお、上記説明した平均二乗誤差を用いて比較する方法は一例である。その他の例として、例えば、異常トラヒック特定部250が、特徴量リストLT1における特徴量の系列と異常特徴量リストLT2における特徴量の系列とを比較し、特徴量リストLT1における特徴量の値が異常特徴量リストLT2における特徴量の値を上回る割合が所定の閾値(例えば、80%)を超えている場合に、これら2つの系列が類似していると判定する構成であってもよい。
すなわち、閾値が80%である場合には、例えば、異常トラヒック特定部250は、図4に示す特徴量リストLT1における5つの特徴量の値(例えば、「XA1」、「XA2」、「XA3」、「XA4」、及び「XA5」)と、図5に示す異常特徴量リストLT2における5つの特徴量の値(例えば、「Xddos1」、「Xddos2」、「Xddos3」、「Xddos4」、及び「Xddos5」)とをそれぞれ比較した結果、4つ以上、異常特徴量リストLT2における特徴量の値よりも特徴量リストLT1における特徴量の値のほうが大きい場合には、これら2つの系列が類似していると判定される。
以下の説明では、図4に示す特徴量リストLT1に含まれるフローのうち、図5に示す異常特徴量リストLT2に含まれるフローのいずれかに類似していると判定されたフローが被疑フローである。
被疑フロー判定部240は、被疑フローを識別する情報を異常トラヒック特定部250へ出力する。
異常トラヒック特定部250は、被疑フロー判定部240から出力された被疑フローを識別する情報を取得する。異常トラヒック特定部250は、取得した被疑フローを識別する情報と、被疑フローと判定されたフローを送信したL2スイッチ10へフレームを転送する他のL2スイッチ10を識別する情報と、が対応付けられたマッチングリストを生成する。
例えば、被疑フローを識別する情報をVLAN ID(VID)とする。また、例えば、被疑フローと判定されたフローを送信したL2スイッチ10へフレームを転送する他のL2スイッチ10を識別する情報をMACアドレスとする。
図6は、本発明の一実施形態に係る通信制御システム1によるトラヒックの区別を行う処理を説明するための図である。図6に示すように、例えば、異常トラヒック特定部250は、VIDとMACアドレスとが対応付けられたマッチングリストを、被疑フローと判定されたフローを送信したL2スイッチ10に対して設定する。これにより、特定のVIDに対して、当該L2スイッチ10から入力されたトラヒックと、他のL2スイッチ10から転送されたトラヒックとを、区別することが可能になる。
なお、図7は、本発明の一実施形態に係る通信制御システム1の異常トラヒック特定部250が保持するリストLT3の構成の一例を示す図である。異常トラヒック特定部250は、例えば、図7に示すリストLT3のように、L2スイッチ10を識別する識別情報と、当該L2スイッチ10に接続されている他のL2スイッチ10のMACアドレスと、が対応付けられたリストを保持している。
再び、図3に戻って説明する。
異常トラヒック特定部250は、被疑フロー判定部240から出力された被疑フローを識別する情報を、暫定対処部260へ出力する。
暫定対処部260は、対処ポリシーに従い、L2スイッチへ出力するべき対処命令を、対処調停部270へ出力する。
対処調停部270(命令部)は、暫定対処部260からの入力と正式対処部290からの入力とに基づいて、対処方針を決定する。対処調停部270は、L2スイッチ10のアクション制御部120へ、対処命令を出力する。なお、対処方針の決定処理の具体例については後述する。
アクション制御部120のフロー優先度制御部121は、対処調停部270から出力された対処命令(第1の命令)を取得する。そして、フロー優先度制御部121は、被疑フローに対する転送処理の優先度を相対的に低下させる。なお、優先度を制御する処理の具体例については後述する。
なお、本実施形態においては、対処ポリシーとして、フローの優先度を制御する構成としている。しかしながら、この構成に限られるものではなく、例えば、対処ポリシーとして、被疑フローを廃棄する構成であってもよい。この場合、アクション制御部120のフロー廃棄部122が、対処調停部270から出力された対処命令を取得する。そして、フロー廃棄部122は、被疑フローを廃棄する処理を行う。
また、異常トラヒック特定部250は、検出サーバ宛てフロー情報制御部280へ、被疑フローを複製させるための命令を出力する。
検出サーバ宛てフロー情報制御部280は、異常トラヒック特定部250から出力された命令を取得すると、被疑フローを複製してDDoS攻撃検出サーバ30へ出力させるための命令(第2の命令)をアクション制御部120のフロー複製部123へ出力する。
フロー複製部123は、検出サーバ宛てフロー情報制御部280から出力された命令を取得すると、被疑フローを複製し、複製された被疑フローをDDoS攻撃検出サーバ30へ出力する。
なお、元の被疑フローのフレーム構造をそのまま複製して出力する構成であってもよいし、元の被疑フローのフレームのヘッダ等、一部分のデータのみを複製して出力する構成であってもよい。
異常判定部310は、フロー複製部123から出力された、複製された被疑フローを取得する。異常判定部310は、フロー複製部123から出力された被疑フローのフレームを解析し、DDoS攻撃によるものか否かを判定する。異常判定部310は、判定結果を示す情報を、ネットワークコントローラ20へ出力する。
正式対処部290は、異常判定部310から出力された判定結果を示す情報を取得する。正式対処部290は、取得した情報に基づく判定結果に基づいて、特定された被疑フローに対する対処を示す情報を対処調停部270へ出力する。
さらに、正式対処部290は、取得した情報に基づく判定結果が、DDoS攻撃であると判定されたことを示す判定結果である場合、特定された被疑フローを示す情報を、異常特徴量蓄積部230へ出力する。
異常特徴量蓄積部230は、正式対処部290から出力された被疑フローを示す情報を取得する。異常特徴量蓄積部230は、正式対処部から取得した被疑フローを示す情報と、特徴量蓄積部220に蓄積された当該被疑フローに対応する特徴量の値と、に基づいて、異常特徴量リストLT2を更新する。
なお、L2スイッチ10のフロー複製部123によって複製された被疑フローが、DDoS攻撃検出サーバ30へ出力される代わりに、被疑フローを特定する情報が直接、DDoS攻撃検出サーバ30へ出力される構成であってもよい。この場合、DDoS攻撃検出サーバ30は、被疑フローを示す情報に基づき、自らモニタできる範囲のトラヒックから被疑フローを抽出して解析する。あるいは、DDoS攻撃検出サーバ30が、被疑フローと、悪意あるトラヒックであると既に判定されたフローのリスト(図示せず)とを照合する構成であってもよい。
[L2スイッチの選択処理]
以下、対処を行わせるL2スイッチ10の選択処理の一例について説明する。
図8は、本発明の一実施形態に係る通信制御システム1によるL2スイッチ10の選択処理を説明するための図である。図8は、L2スイッチ10−1及びL2スイッチ10−2から流入したDDoSトラヒックが、L2スイッチ10−4の先にあるIoTサーバ42に向かうトラヒックに対処するため、被疑フローを複製するL2スイッチ10を選択する処理を表したものである。
図8では、DDoS攻撃検出サーバ30は、L2スイッチ10−2の先に設置されている。ここでは、一例として、L2スイッチ10−1及び〜L2スイッチ10−2において被疑フローが検知された場合を想定する。被疑フローを複製するL2スイッチ10の選択は、図9に示す処理の流れに沿って行われる。
図9は、本発明の一実施形態に係る通信制御システム1によるL2スイッチの選択処理の流れを示すフローチャートである。
まず、ネットワークコントローラ20は、全てのL2スイッチ10の中から、被疑フローを検知したL2スイッチ10を確認する(ステップS01)。ネットワークコントローラ20は、被疑フローを検知したL2スイッチ10の中で、フローの転送において最も下流にあるL2スイッチ10を、被疑フローを複製させるL2スイッチ10として選択する(ステップS02)。
ここで、最も下流のL2スイッチ10を選択する理由としては、転送対象のフローが最も集約されるL2スイッチ10を選択することによって、最も集約された被疑フローを複製して出力させるためである。
次に、ネットワークコントローラ20は、L2スイッチ10が複製した被疑フローがDDoS攻撃検出サーバ30へ出力された場合における、経路上の各L2スイッチ10のバッファ占有率をそれぞれ計算する(ステップS02)。バッファ占有率の計算は、L2スイッチ10から取得された現在のキューのバッファ容量に対し複製された被疑フローを転送した際に見込まれるキュー長の増加分を考慮することによって、バッファ容量を推定することにより行われる。
計算の結果、バッファ占有率が所定の閾値を超過するL2スイッチ10が存在しない場合は(ステップS04・No)、選択されたL2スイッチ10に対して複製の開始を通知し、サンプリングレートの設定値を通知する。一方、計算の結果、バッファ占有率が所定の閾値を超過するL2スイッチ10が存在する場合は(ステップS04・Yes)、複製する被疑フローのサンプリングレートを低くする設定を行い(ステップS05)、再びバッファ占有率の計算を行う(ステップS03)。
[優先度の制御]
以下、L2スイッチ10による、被疑フローに対する優先度を低下させる、優先度の制御処理について説明する。
図10は、本発明の一実施形態に係る通信制御システム1のL2スイッチ10による優先度の制御処理を説明するための図である。図10は、通常キューに入力されていた他L2スイッチ10からの転送であるフロー#1と、自己のL2スイッチ10からの入力であるフロー#2のうち、フロー#2が被疑フローであると判定された場合を表したものである。
図10に示すように、フロー#2の入力先は、CoS(Class of Service)値の書換えによって、通常キューから対処用キューに変更される(すなわち、図10(a)の状態から図10(b)の状態になる)。
図11は、本発明の一実施形態に係る通信制御システム1によるCoS値の書換え処理を説明するための図である。例えば、図11に示すように、L2ネットワーク15に処理対象のL2フレームが入力される際に、当該L2フレーム(第1のレイヤ2フレーム)がさらにL2フレーム(第2のレイヤ2フレーム)によってカプセル化される。そして、そのカプセル化の際に、CoS値が、元のフレームに付与されたCoS値とは異なる値(より優先度が低いことを示す値)に書換えられる。
L2フレームのカプセル化は、L2ネットワーク15の入り口において行われる。ここでいうL2ネットワーク15の入り口とは、L2フレームの送信元から宛先までの経路において、初めに通過するL2ネットワーク15のノードである。カプセル化されたL2フレームは、L2ネットワーク15の出口において、カプセル化が解除される。ここでいうL2ネットワーク15の出口とは、L2フレームの送信元から宛先までの経路において、最後に通過するL2ネットワーク15のノードである。
通常キューに入力されるフロー#1と、対処用キューに入力されるフロー#2とには、それぞれ一定の割合で送信許可が与えられる。
例えば、通常キューと対処用キューに対して、重みつきラウンドロビンが用いられることによって、被疑フローの転送レートが低下し、被疑フローのトラヒック量が緩和される。
暫定的な対処(一時対処)は、特定された被疑フローの緩和又は遮断が決定された場合に、終了となる。
[通信制御処理の状態遷移]
以下、通信制御処理の状態遷移について詳しく説明する。
図12は、本発明の一実施形態に係る通信制御システム1による通信制御処理の状態遷移図である。図12の(a)は、被疑フローの発生時、及びDDoS攻撃の発生時における状態遷移図である。また、図12の(b)は、DDoS攻撃の終了時における状態遷移図である。任意のフローに対する対処は以下の状態遷移図によって示される状態遷移に従って行われる。
まず、図12の(a)の状態遷移図について説明する。
図12の(a)に示すように、初期状態は状態1である。ここで、転送されるフローが異常トラヒック特定部250によって被疑フローではないと判定された場合、状態1のままである。一方、転送されるフローが異常トラヒック特定部250によって被疑フローであると判定された場合、状態2へ遷移する。
状態2では、暫定対処が行われる。具体的には、フロー優先度制御部121が、被疑フローに対する転送処理の優先度を相対的に低下させる。また、フロー複製部123は、被疑フローを複製し、複製された被疑フローをDDoS攻撃検出サーバ30へ出力する。そして、DDoS攻撃検出サーバ30の異常判定部310は、フロー複製部123から出力された被疑フローのフレームを解析し、DDoS攻撃によるものか否かを判定する。
異常判定部310によってDDoS攻撃によるものではないと判定された場合、状態3へ遷移する。一方、異常判定部310によってDDoS攻撃によるものであると判定された場合、状態4へ遷移する。
なお、異常判定部310による判定がタイムアウトした場合には、状態1へ戻る。
状態3では、暫定対処のリセットが行われる。具体的には、フロー優先度制御部121が、被疑フローに対する転送処理の優先度を相対的に低下させる処理を終了させる。暫定対処のリセット化が完了すると、状態1(対処済みの状態)へ戻る。
状態4では、正式対処が行われる。具体的には、フロー優先度制御部121が、被疑フローに対する転送処理の優先度を相対的に低下させる処理を終了させる。そして、DDoS攻撃によるものであるものと判定されたフローをフロー廃棄部122によって廃棄する設定がなされる。その後、状態1(対処済みの状態)へ戻る。
まず、図12の(b)の状態遷移図について説明する。
図12の(b)に示すように、初期状態は状態5である。ここで、転送されるフローが異常トラヒック特定部250によって被疑フローではないと判定された場合、かつ、異常判定部310によってDDoS攻撃によるものではないと判定された場合、状態6へ遷移する。
状態6では、正式対処のリセットが行われる。具体的には、DDoS攻撃によるものであるものと判定されたフローをフロー廃棄部122によって廃棄する設定が解除される。正式対処のリセットが完了すると、状態7(対処済みの状態)へ遷移する。
[暫定対処の詳細]
以下、暫定対処処理について詳しく説明する。
図13は、本発明の一実施形態に係る通信制御システム1による暫定対処処理を説明するための図である。図13の(a)は、暫定対処実行の設定が行われる場合におけるL2スイッチ10の動作を表す。また、図13の(b)は、暫定対処の実行がリセットされる場合におけるL2スイッチ10の動作を表す。
図13の(a)に示すように、暫定対処実行の設定時においては、被疑フローとして特定されたフローのVIDが対応付けられたフローであって、かつ、他のL2スイッチ10から転送されたフローではないフロー(すなわち、自己のL2スイッチ10がネットワーク15における最初のノードとなるフロー)が特定される。そして、特定されたフローが、優先度の低い対処用キューに格納されるように設定される。この設定は、例えば、L2スイッチ10において、L2フレームをカプセル化した際のCoS値が変更されることによって行われる。
なお、他のL2スイッチ10から転送されたフローではないフローを抽出するには、例えば、ネットワークコントローラ20が、配下のL2スイッチ10どうしがどのポートで接続されているのかを認識し、他のL2スイッチ10からの転送ポートではないポートから流入したフローを特定すればよい。
また、図13の(b)に示すように、暫定対処実行のリセット時においては、Pauseフレームによりフローの転送が停止される。そして、対処用キュー内のパケットが空の状態になったとき、マッチングルールの変更が行われる。これにより、対処用キューではなく元のキューにフローが格納されるように再設定される。
[正式対処の詳細]
以下、正式対処処理について詳しく説明する。
図14は、本発明の一実施形態に係る通信制御システム1による正式対処処理を説明するための図である。図14の(a)は、正式対処実行の設定が行われる場合におけるL2スイッチ10の動作を表す。また、図14の(b)は、正式対処の実行がリセットされる場合におけるL2スイッチ10の動作を表す。
図14の(a)に示すように、正式対処実行の設定時においては、DDos攻撃によるフローとして特定されたフローのVIDが対応付けられたフローであって、かつ、他のL2スイッチ10から転送されたフローではないフロー(すなわち、自己のL2スイッチ10がネットワーク15における最初のノードとなるフロー)が特定される。そして、特定されたフローが廃棄されるように設定される。
なお、他のL2スイッチ10から転送されたフローではないフローを抽出するには、例えば、ネットワークコントローラ20が、配下のL2スイッチ10どうしがどのポートで接続されているのかを認識し、他のL2スイッチ10からの転送ポートではないポートから流入したフローを特定すればよい。
また、図14の(b)に示すように、正式対処実行のリセット時においては、マッチングルールの変更が行われる。これにより、フローが廃棄されるのではなく、元のキューにフローが格納されるように再設定される。
以上説明したように、上述した実施形態に係る通信制御システム1においては、複数のL2スイッチ10と、ネットワークコントローラ20とが、L2ネットワーク15によって接続される構成である。ネットワークコントローラ20は、L2スイッチ10から取得したトラヒックの特徴量と予め保持する異常トラヒックの特徴量とを比較する。比較の結果、両者が類似していると判定された場合、ネットワークコントローラ20は、L2スイッチ10に対して、当該トラヒックのフレームの優先度を低下させるための命令と、当該異常トラヒックのフレームの複製をDDoS攻撃検出サーバ30に転送させるための命令と、を送信する。これにより、異常トラヒックに対する暫定的な対処が行われる。
上記の構成を備えることによって、上述した実施形態に係る通信制御システム1は、ネットワークにかかる負荷を抑えつつ、異常フレームに対して迅速に対処を行うことができる。
以上、図面を参照して本発明の実施の形態を説明してきたが、上記実施の形態は本発明の例示に過ぎず、本発明が上記実施の形態に限定されるものではないことは明らかである。したがって、本発明の技術思想及び範囲を逸脱しない範囲で構成要素の追加、省略、置換、その他の変更を行ってもよい。
なお、本発明の実施形態に係るネットワークコントローラ20はコンピュータとプログラムによって実現することも可能である。また、このプログラムを記録媒体に記録することも、ネットワークを通して提供することも可能である。
上述した実施形態におけるネットワークコントローラ20の一部又は全部をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。
1…通信制御システム、10…スイッチ、15…ネットワーク、20…ネットワークコントローラ、30…DDoS攻撃検出サーバ、40…モバイル端末、41…IoT端末、42…IoTサーバ、110…特徴量情報蓄積部、120…アクション制御部、121…フロー優先度制御部、122…フロー廃棄部、123…フロー複製部、210…フロー別特徴量制御部、220…特徴量蓄積部、230…異常特徴量蓄積部、240…被疑フロー判定部、250…異常トラヒック特定部、260…暫定対処部、270…対処調停部、280…フロー情報制御部、290…正式対処部、310…異常判定部

Claims (8)

  1. 複数のレイヤ2スイッチとネットワークコントローラとを有する通信制御システムであって、
    前記ネットワークコントローラは、
    前記レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、
    前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、類似していると判定された前記転送通信フロー特徴量を有する通信フローに対する転送処理の優先度を低下させるための第1の命令及び類似していると判定された前記転送通信フロー特徴量を有する通信フローを複製させるための第2の命令を前記レイヤ2スイッチに対して出力するか、又は、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、前記第1の命令を前記レイヤ2スイッチに対して出力し類似していると判定された前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、を備える
    通信制御システム。
  2. 前記特徴量は、前記通信フローごとの到着フレーム数である
    請求項1に記載の通信制御システム。
  3. 前記特徴量は、前記通信フローごとのセッション接続フレーム数である
    請求項1に記載の通信制御システム。
  4. 前記ネットワークコントローラは、前記転送通信フロー特徴量と前記異常時通信フロー特徴量との平均二乗誤差が所定の閾値未満である場合、前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定する
    請求項1から3のうちいずれか一項に記載の通信制御システム。
  5. 前記命令部は、転送対象の通信フローが最も集約されるレイヤ2スイッチに対して前記第2の命令を出力する
    請求項1から4のうちいずれか一項に記載の通信制御システム。
  6. 前記レイヤ2スイッチは、前記第1の命令を取得した場合、処理対象である第1のレイヤ2フレームに対し、前記第1のレイヤ2フレームに付与された優先度の値よりも低い優先度の値が付与された第2のレイヤ2フレームによってカプセル化する
    請求項1から5のうちいずれか一項に記載の通信制御システム。
  7. レイヤ2スイッチによって転送される通信フローの特徴量を示す転送通信フロー特徴量と、異常発生時における通信フローの特徴量を示す異常時通信フロー特徴量とが類似しているか否かについての判定を行う判定部と、
    前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、類似していると判定された前記転送通信フロー特徴量を有する通信フローに対する転送処理の優先度を低下させるための第1の命令及び類似していると判定された前記転送通信フロー特徴量を有する通信フローを複製させるための第2の命令を前記レイヤ2スイッチに対して出力するか、又は、前記判定部によって前記転送通信フロー特徴量と前記異常時通信フロー特徴量とが類似していると判定された場合、前記第1の命令を前記レイヤ2スイッチに対して出力し類似していると判定された前記転送通信フロー特徴量を有する通信フローを識別する識別情報を悪意ある攻撃を検出するサーバへ出力する命令部と、
    を備えるネットワークコントローラ。
  8. 請求項7に記載のネットワークコントローラとしてコンピュータを機能させるためのコンピュータプログラム。
JP2018156585A 2018-08-23 2018-08-23 通信制御システム、ネットワークコントローラ及びコンピュータプログラム Active JP6923809B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018156585A JP6923809B2 (ja) 2018-08-23 2018-08-23 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
PCT/JP2019/032010 WO2020040027A1 (ja) 2018-08-23 2019-08-15 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
US17/265,928 US20210306362A1 (en) 2018-08-23 2019-08-15 Communication control system, network controller and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018156585A JP6923809B2 (ja) 2018-08-23 2018-08-23 通信制御システム、ネットワークコントローラ及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2020031363A true JP2020031363A (ja) 2020-02-27
JP6923809B2 JP6923809B2 (ja) 2021-08-25

Family

ID=69592741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018156585A Active JP6923809B2 (ja) 2018-08-23 2018-08-23 通信制御システム、ネットワークコントローラ及びコンピュータプログラム

Country Status (3)

Country Link
US (1) US20210306362A1 (ja)
JP (1) JP6923809B2 (ja)
WO (1) WO2020040027A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022249451A1 (ja) * 2021-05-28 2022-12-01 日本電信電話株式会社 スイッチ、ネットワークコントローラ、通信制御方法、及び通信制御プログラム

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111624869B (zh) * 2020-04-25 2023-03-28 中国人民解放军战略支援部队信息工程大学 自动感知攻击行为方法、系统及以太网交换机
JP7394984B2 (ja) * 2020-05-18 2023-12-08 株式会社日立国際電気 移動通信システム
CN112398876B (zh) * 2021-01-19 2021-04-02 北京智仁智信安全技术有限公司 自适应拟态技术的网络安全预警系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352669A (ja) * 2005-06-17 2006-12-28 Fujitsu Ltd 攻撃検知・防御システム
JP2007074339A (ja) * 2005-09-07 2007-03-22 Tohoku Univ 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP2007243419A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置
JP2013192128A (ja) * 2012-03-15 2013-09-26 Fujitsu Telecom Networks Ltd 中継装置及び中継方法
JP2018026747A (ja) * 2016-08-12 2018-02-15 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8798060B1 (en) * 2010-10-21 2014-08-05 Juniper Networks, Inc. Converting between tunneling protocols
WO2012060403A1 (ja) * 2010-11-02 2012-05-10 日本電気株式会社 通信システム、制御装置、経路制御方法およびプログラム
KR101231975B1 (ko) * 2011-05-12 2013-02-08 (주)이스트소프트 차단서버를 이용한 스푸핑 공격 방어방법
KR101270041B1 (ko) * 2011-10-28 2013-05-31 삼성에스디에스 주식회사 Arp 스푸핑 공격 탐지 시스템 및 방법
US9485276B2 (en) * 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN105103490B (zh) * 2013-01-31 2018-03-02 慧与发展有限责任合伙企业 网络控制器提供的MACsec密钥
US10097578B2 (en) * 2013-07-23 2018-10-09 Oasis Technology, Inc. Anti-cyber hacking defense system
EP3076618B1 (en) * 2015-03-31 2017-09-20 Telefonica, S.A. A computer implemented method, a system and computer programs for congestion control in a transport node of a communication network
US10341311B2 (en) * 2015-07-20 2019-07-02 Schweitzer Engineering Laboratories, Inc. Communication device for implementing selective encryption in a software defined network
CN105868845A (zh) * 2016-03-24 2016-08-17 百度在线网络技术(北京)有限公司 风险预警方法和装置
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置
US11463474B2 (en) * 2017-06-07 2022-10-04 Airo Finland Oy Defend against denial of service attack
US10726128B2 (en) * 2017-07-24 2020-07-28 Crowdstrike, Inc. Malware detection using local computational models
US10657259B2 (en) * 2017-11-01 2020-05-19 International Business Machines Corporation Protecting cognitive systems from gradient based attacks through the use of deceiving gradients
US11443178B2 (en) * 2017-12-15 2022-09-13 Interntional Business Machines Corporation Deep neural network hardening framework
US10956568B2 (en) * 2018-04-30 2021-03-23 Mcafee, Llc Model development and application to identify and halt malware

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006352669A (ja) * 2005-06-17 2006-12-28 Fujitsu Ltd 攻撃検知・防御システム
JP2007074339A (ja) * 2005-09-07 2007-03-22 Tohoku Univ 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP2007243419A (ja) * 2006-03-07 2007-09-20 Nippon Telegr & Teleph Corp <Ntt> 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置
JP2013192128A (ja) * 2012-03-15 2013-09-26 Fujitsu Telecom Networks Ltd 中継装置及び中継方法
JP2018026747A (ja) * 2016-08-12 2018-02-15 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
林 裕平, 西山 聡史, 鈴木 昭徳, 阪井 勝彦, 工藤 伊知郎, 神谷 和憲: "パケット連続到着時間を判定基準とした攻撃検知方式の評価 Evaluation of the attack detection method ba", 電子情報通信学会技術研究報告, vol. 115, no. 488, JPN6019040638, 2016, JP, pages 53 - 58, ISSN: 0004486667 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022249451A1 (ja) * 2021-05-28 2022-12-01 日本電信電話株式会社 スイッチ、ネットワークコントローラ、通信制御方法、及び通信制御プログラム

Also Published As

Publication number Publication date
WO2020040027A1 (ja) 2020-02-27
JP6923809B2 (ja) 2021-08-25
US20210306362A1 (en) 2021-09-30

Similar Documents

Publication Publication Date Title
WO2020040027A1 (ja) 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
JP7030815B2 (ja) 輻輳イベント中にメッセージを廃棄するための方法、システム、およびコンピュータ読取可能媒体
US10425328B2 (en) Load distribution architecture for processing tunnelled internet protocol traffic
US9246825B2 (en) Accelerated processing of aggregate data flows in a network environment
US8743690B1 (en) Selective packet sequence acceleration in a network environment
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
US9722933B2 (en) Selective packet sequence acceleration in a network environment
US10680893B2 (en) Communication device, system, and method
US11979326B2 (en) Tool port throttling at a network visibility node
JP2007006054A (ja) パケット中継装置及びパケット中継システム
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
KR20160112750A (ko) 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법
JP2014022761A (ja) ネットワークシステム、情報中継装置、及びパケット配信方法
Hommes et al. Implications and detection of DoS attacks in OpenFlow-based networks
US11838197B2 (en) Methods and system for securing a SDN controller from denial of service attack
KR20170004052A (ko) 네트워크 트래픽 상태에 기반한 대역폭 관리 방법 및 시스템
WO2019035488A1 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
JP6509143B2 (ja) 帯域制御装置及び方法
US11729100B2 (en) Integrated traffic profile for indicating congestion and packet drop for congestion avoidance
JP2019092039A (ja) 攻撃検知方法、攻撃検知装置及び通信システム
US11528227B1 (en) Integrated traffic profile for indicating multi-level congestion and packet drop for congestion avoidance
KR101848428B1 (ko) 유선 통신기반의 보안 기능 향상을 위한 라우팅 방법 및 유선 통신기반의 보안 기능을 갖는 엔트리 라우터 시스템
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
JP6581053B2 (ja) フロー解析装置、トラフィック解析システム、及びフロー解析方法
JP2016092756A (ja) 制御装置、通信システム、ループ抑止方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210712

R150 Certificate of patent or registration of utility model

Ref document number: 6923809

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150