JP3566699B2 - サーバ計算機保護装置および同装置のデータ転送制御方法 - Google Patents

サーバ計算機保護装置および同装置のデータ転送制御方法 Download PDF

Info

Publication number
JP3566699B2
JP3566699B2 JP2002022486A JP2002022486A JP3566699B2 JP 3566699 B2 JP3566699 B2 JP 3566699B2 JP 2002022486 A JP2002022486 A JP 2002022486A JP 2002022486 A JP2002022486 A JP 2002022486A JP 3566699 B2 JP3566699 B2 JP 3566699B2
Authority
JP
Japan
Prior art keywords
data request
server computer
unit
threshold
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2002022486A
Other languages
English (en)
Other versions
JP2003224607A (ja
Inventor
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2002022486A priority Critical patent/JP3566699B2/ja
Priority to DE60306823T priority patent/DE60306823T2/de
Priority to EP03002012A priority patent/EP1335560B1/en
Priority to US10/352,904 priority patent/US7415722B2/en
Publication of JP2003224607A publication Critical patent/JP2003224607A/ja
Application granted granted Critical
Publication of JP3566699B2 publication Critical patent/JP3566699B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Multi Processors (AREA)
  • Communication Control (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、不特定多数あるいは特定多数のクライアントをパケット交換ネットワーク経由で1台あるいは複数台のサーバ計算機に接続した、クライアント/サーバシステムに於いて、上記サーバ計算機への不正アクセスの防止あるいは不正アクセスの検知を行う機能を実現する際に用いて好適なサーバ計算機保護装置、およびサーバ計算機保護装置のデータ転送制御方法に関する。
【0002】
【従来の技術】
不特定多数あるいは特定多数のクライアントをパケット交換ネットワーク経由で1台あるいは複数台のサーバ計算機に接続した、クライアント/サーバシステムに於いて、上記サーバ計算機への不正アクセスの防止あるいは検知を行う機能をもつ装置として、クライアントとサーバ計算機との間に介在され、クライアントからサーバ計算機に送出されるデータ要求について、そのデータ要求の転送先サーバが過去の一定期間内に受信したデータ要求の単位時間当たりの回数を監視して、その回数をもとに、サーバ計算機が過負荷となるか否かを判断する機構を備えたサーバ計算機保護装置が存在する。
【0003】
この種、従来のサーバ計算機保護装置の構成例を図3に示す。図3に於いて、30は従来の構成によるサーバ計算機保護装置であり、ネットワークインタフェース31A,31Bと、接続転送手段32とを備えて構成される。上記接続転送手段32は、データ要求受信手段33、データ要求送信手段34、サーバデータ要求計測手段35、閾値保持手段36、閾値比較手段37等により構成される。
【0004】
ネットワークインタフェース31Aは、ネットワークセグメント(A)を介してクライアントとの間でパケットを送受信する機能を持つ。
【0005】
ネットワークインタフェース31Bは、サーバ計算機との間でパケットを送受信する機能を持ち、データ要求受信手段34から渡されたデータ要求をサーバ計算機へ送出し、サーバ計算機からデータ(パケット)を受信する機能を持つ。
【0006】
接続転送手段32に於いて、データ要求受信手段33は、ネットワークインタフェース31Aとの間でパケットを交換し、クライアントから送出されたデータ要求をサーバに代って受取る機能を持つ。
【0007】
データ要求送信手段34は、閾値比較手段37からの比較結果を受取り、その内容がサーバデータ要求計測手段35により計測されたデータ要求の回数が閾値保持手段36に保持された閾値を下回っていることを示す場合は、データ要求受信手段33が受取ったデータ要求をクライアントが実際にデータを要求している本来のサーバ計算機へネットワークインタフェース31(B)を介し転送する機能を持つ。
【0008】
サーバデータ要求計測手段35は、データ要求受信手段33が受信したクライアントからサーバ計算機へのデータ要求について、そのデータ要求を転送する転送先のサーバ計算機が過去の一定期間内に受信したデータ要求の回数を計測する機能を持つ。
【0009】
閾値保持手段36は、予め設定されたデータ要求の回数を閾値として保持する機能を持つ。
【0010】
閾値比較手段37はサーバデータ要求計測手段35により計測されたデータ要求の回数と、閾値保持手段36に保持されたデータ要求の閾値とを比較して、その比較結果をデータ要求送信手段34に伝える機能を持つ。
【0011】
図4は上記サーバ計算機保護装置30の閾値保持手段36に格納される情報の一例を示す図あり、ここでは、保護の対象となる各サーバ計算機のネットワークアドレスと、その各サーバ計算機に於ける単位時間(この例では1分間)での処理可能なデータ要求の回数とが閾値として保持される。
【0012】
上記構成のサーバ計算機保護装置に於いて、閾値保持手段36には、図4のような保護の対象となる各サーバ計算機と、その各サーバ計算機で処理可能なデータ要求の回数を示す閾値とが保持されていたとする。即ち、この図4に示す例では、保護の対象となる各サーバ計算機として「192.168.1.31」のネットワークアドレスをもつサーバ計算機と、「192.168.1.32」のネットワークアドレスをもつサーバ計算機とが存在し、「192.168.1.31」のネットワークアドレスをもつサーバ計算機の閾値「100」、「192.168.1.32」のネットワークアドレスをもつサーバ計算機の閾値「150」がそれぞれ単位時間(ここでは1分間)での現在までのデータ要求の回数として保持されている。
【0013】
その状態で、あるクライアントが「192.168.1.31」のネットワークアドレスをもつサーバ計算機に対してデータ要求を送出したとする。
【0014】
ネットワークインタフェース31(A)で受信されたデータ要求のパケットは、データ要求受信手段33が、サーバに成り代り受取る。データ要求受信手段33はクライアントからの接続要求への応答などの処理も行う。この際、データ要求受信手段33は、「192.168.1.31」のネットワークアドレスをもつサーバ計算機のネットワークアドレスをそのまま用いて、クライアントから送出されたデータ要求を受取る方法の他に、クライアントに明示的に別のネットワークアドレスを伝えておき、クライアントが当該別のネットワークアドレスに対して、「192.168.1.31」のネットワークアドレスをもつサーバ計算機へのデータ要求を送ることで、データ要求受信手段33が当該データ要求をサーバに成り代り受取ることを可能にする方法等もある。
【0015】
このようにしてデータ要求受信手段33で受取ったデータ要求は、データ要求送信手段34へ渡される。サーバデータ要求計測手段35は、当該データ要求について、要求先のサーバ計算機が過去の一定期間内に受信したデータ要求の回数を計測している。
【0016】
この際、データ要求受信手段33で受け取ったデータ要求がデータ要求送信手段34へ渡された時点で、サーバデータ要求計測手段35が計測した、「192.168.1.31」のネットワークアドレスをもつサーバ計算機で過去の一分間に受取ったデータ要求の回数が、例えば「85」であったとする。
【0017】
この状態でデータ要求送信手段34は閾値比較手段37に問い合わせを行う。閾値比較手段37は、閾値保持手段36に保持された、「192.168.1.31」のネットワークアドレスをもつサーバ計算機の閾値が「100」と、上記サーバデータ要求計測手段35で計測したデータ要求の回数「85」とを比較照合し、この際は上記サーバデータ要求計測手段35で計測したデータ要求の回数「85」が閾値保持手段36に保持された、「192.168.1.31」のネットワークアドレスをもつサーバ計算機の閾値「100」を超えていないので、計測したデータ要求回数が閾値内にあることを示す比較結果の値をデータ要求送信手段34に渡す。
【0018】
データ要求送信手段34は、閾値比較手段37から、計測したデータ要求回数が閾値内にあることを示す比較結果の値を受けると、ネットワークインタフェース31Bを介して、「192.168.1.31」のネットワークアドレスをもつサーバ計算機へ、上記データ要求のパケットを送出(転送)する。この際、データ要求送信手段34はサーバ計算機への接続要求などの処理も行う。
【0019】
「192.168.1.31」のネットワークアドレスをもつサーバ計算機は、サーバ計算機保護装置30を経由してクライアントから受取ったデータ要求に応じたデータを送出する。このサーバ計算機より送出されたデータはネットワークセグメント(B)を経由してネットワークインタフェース31Bに受取られ、ネットワークインタフェース31Aを介して要求元のクライアントに渡される。この際、クライアントに明示的にデータ要求受信手段33が用いる別のアドレスを伝えていた場合は、ネットワークインタフェース31Aからクライアントへ送出されるデータが、上記別のアドレスからの応答の形でクライアントへ送られる。また、データ要求受信手段33が「192.168.1.31」のネットワークアドレスをもつサーバ計算機のネットワークアドレスをそのまま用いて、クライアントから送出されたデータ要求を受取る方法を用いた場合は、ネットワークインタフェース31Bで受信された、「192.168.1.31」のネットワークアドレスをもつサーバ計算機からのデータが、当該データを運ぶパケットのヘッダのポート番号やシーケンス番号、チェックサムなどを書き換えられた後、ネットワークインタフェース31Aから要求元のクライアントへ送出される。
【0020】
このようにして、クライアントから送出されたデータ要求がサーバ計算機に送られ、その要求に応じたデータが、サーバ計算機からクライアントに渡される。
【0021】
次に、別のある時点で、データ要求受信手段33で受け取ったデータ要求がデータ要求送信手段34へ渡された際に、サーバデータ要求計測手段35が計測した、「192.168.1.31」のネットワークアドレスをもつサーバ計算機で過去の一分間に受取ったデータ要求の回数が、例えば「103回」であったとする。この状態でデータ要求送信手段34は閾値比較手段37に問い合わせを行う。閾値比較手段37は、閾値保持手段36に保持された、「192.168.1.31」のネットワークアドレスをもつサーバ計算機の閾値が「100」と、上記サーバデータ要求計測手段35で計測したデータ要求の回数「103」とを比較照合し、この際は上記サーバデータ要求計測手段35で計測したデータ要求の回数「103」が閾値保持手段36に保持された、「192.168.1.31」のネットワークアドレスをもつサーバ計算機の閾値「100」を超えているので、計測したデータ要求回数が閾値を超えたことを示す比較結果の値をデータ要求送信手段34に渡す。
【0022】
データ要求送信手段34は、閾値比較手段37から計測したデータ要求回数が閾値を超えたことを示す比較結果の値を受けると、上記データ要求受信手段33より受けたデータ要求のパケットを破棄する。
【0023】
しかしながら上記した従来のサーバ計算機保護装置に於いては以下のような問題があった。即ち、従来のサーバ計算機保護装置では、各々のサーバ計算機が一定期間内に処理可能なデータ要求の回数を予め閾値として設定しておく必要があった。しかし、サーバ計算機が一定期間内に処理可能なデータ要求の回数は、データ要求の内容等によって大きく異なることから、適正な閾値の設定が難しく、適正でない誤った閾値を設定してしまった場合は、サーバ計算機の保護が行なえなかったり、あるいは、サーバ計算機は保護できても、サーバの処理能力を有効利用できなくなる等の問題があった。
【0024】
【発明が解決しようとする課題】
上述したように従来では、サーバ計算機各々について、サーバ計算機が一定期間内に処理可能なデータ要求の回数を、予め閾値として設定しておく必要があり、その適正な閾値の難しく、適正でない誤った値を閾値として設定してしまった場合は、サーバ計算機の保護が行なえなかったり、あるいは、サーバ計算機は保護できても、サーバの処理能力を有効利用できなくなる等の問題があった。
【0025】
この閾値を自動的に設定するために、サーバ計算機からの応答を受信するまでの時間を測定し、一定時間内に応答が受信できなかった場合、サーバが処理可能なデータ要求回数を超えたものとして、その時点での平均データ要求回数を閾値として用いたり、サーバ上にサーバ計算機の負荷を測定する手段を設け、サーバ計算機の負荷が一定以上になった時点での平均データ要求回数を閾値として用いたりするサーバ計算機保護装置が考えられるが、急速にクライアントからのリクエスト数が増加した場合、平均データ要求回数はサーバが一定期間内に処理可能なデータ要求の回数と隔たりのある値となってしまい、平均データ要求回数を閾値として用いてしまうと、サーバの処理能力を有効利用できなくなったり、サーバの保護ができなかったりするなどの問題が生じる。
【0026】
本発明は上記実情に鑑みなされたもので、利用者が、サーバ各々の処理可能なデータ要求の回数を設定しなくてもサーバ計算機の保護を行なうことができるとともに、サーバの処理能力を有効利用できるサーバ計算機保護装置および同装置のデータ転送制御方法を提供することを目的とする。
【0027】
更に本発明は、クライアントからのリクエスト数が急速に増加した場合に於いても、サーバ計算機の保護をしつつ、サーバ計算機の処理能力を有効かつ継続して利用でき、クライアントからのリクエスト数の大きな変動に対しても、サーバ計算機との間で常に安定したパケット交換動作を維持することのできるサーバ計算機保護装置および同装置のデータ転送制御方法を提供することを目的とする。
【0028】
【課題を解決するための手段】
本発明は、クライアントからサーバに送られるデータ要求の単位時間あたりの回数を計測し、その計測値と閾値との比較の結果に応じて、前記受信したデータ要求を保留し若しくは要求先のサーバ計算機に転送するサーバ計算機保護装置に於いて、前記受信したデータ要求の保留状態と前記データ要求をサーバに送出した際のサーバからの応答状態をもとに前記閾値を動的に可変制御して、前記クライアントに代わり受信したサーバ計算機へのデータ要求が急激に増加した際に、前記サーバ計算機保護装置からサーバ計算機へ転送されるデータ要求の急激な増加を所定の変動範囲内に抑制するデータ転送制御機能を実現したことを特徴とする。
【0029】
即ち、本発明は、クライアントから送出されたデータ要求をサーバに代わり受信し、当該受信したクライアントからサーバ計算機へのデータ要求について、当該サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測して、当該計測したデータ要求の回数を閾値と比較し、当該比較の結果に応じて前記受信したデータ要求を保留し若しくは要求先のサーバ計算機に転送するサーバ計算機保護装置に於いて、前記受信したデータ要求の保留状態と前記データ要求をサーバに送出した際のサーバからの応答状態をもとに前記閾値を動的に可変制御する手段を具備したことを特徴とする。
【0030】
また、本発明は、クライアントから送出されたデータ要求をサーバに代わり受信する要求受信手段と、前記要求受信手段が受信したクライアントからサーバ計算機へのデータ要求について、前記サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測する計測手段と、前記計測手段で計測されたデータ要求の回数を比較の対象とする閾値を出力する閾値出力手段と、前記計測手段で計測されたデータ要求の回数を前記閾値出力手段より出力される閾値と比較する比較手段と、前記比較手段の比較の結果、前記計測手段で計測したデータ要求の回数が前記閾値を超えた際は前記要求受信手段が受信したデータ要求を保留し、前記計測手段で計測したデータ要求の回数が前記閾値を超えない際は前記要求受信手段が受信したデータ要求をサーバ計算機に送出するデータ要求送信手段とを具備し、前記閾値出力手段に、前記要求受信手段が受信したデータ要求の一定時間内での保留回数を計数する保留計数手段と、前記データ要求送信手段からデータ要求を送出した際に、当該データ要求を受信したサーバ計算機から応答を受信するまでの所要時間を測定するサーバ応答測定手段と、前記サーバ応答測定手段で測定した所要時間が予め設定した一定時間を超えた回数を過去の一定時間内に於いて計数するタイムアウト計数手段と、前記比較手段に出力する閾値を保持する保持手段を有し、一定時間毎に、前記保留計数手段の計数値を入力して、当該計数値が一定値以下の場合は前記保持手段の値を指定した減算率で減算し、前記保留計数手段の計数値が一定値を超え、かつ前記タイムアウト計数手段の計数値が一定値以下の場合は、前記保持手段の値を指定した加算率で加算する閾値計数手段とを具備して、前記データ要求送信手段は、前記閾値出力手段に設けた閾値計数手段より出力された動的な閾値をもとに、受信したデータ要求の送出を制御することを特徴とする。
【0031】
また、本発明は、クライアントから送出されたデータ要求をサーバに代わり受信する要求受信手段と、前記要求受信手段が受信したクライアントからサーバ計算機へのデータ要求について、前記サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測する計測手段と、前記計測手段で計測されたデータ要求の回数を比較の対象とする閾値を出力する閾値出力手段と、前記計測手段で計測されたデータ要求の回数を前記閾値出力手段より出力される閾値と比較する比較手段と、前記比較手段の比較の結果、前記計測手段で計測したデータ要求の回数が前記閾値を超えた際は前記要求受信手段が受信したデータ要求を保留し、前記計測手段で計測したデータ要求の回数が前記閾値を超えない際は前記要求受信手段が受信したデータ要求をサーバ計算機に送出するデータ要求送信手段とを具備し、前記閾値出力手段に、前記要求受信手段が受信したデータ要求の過去の一定時間内での保留回数を計数する保留計数手段と、前記データ要求送信手段からデータ要求を送出した際に、当該データ要求を受信したサーバ計算機から応答を受信するまでの所要時間を測定するサーバ応答測定手段と、前記比較手段に出力する閾値を保持する保持手段を有し、一定時間毎に、前記保留計数手段の計数値を入力して、当該計数値が一定値以下の場合は前記保持手段の値を指定した減算率で減算し、前記保留計数手段の計数値が一定値を超えている場合は予め設定された上限値を超えない範囲で前記保持手段の値を指定した加算率で加算する閾値計数手段とを具備して、前記データ要求送信手段が前記閾値出力手段の前記閾値計数手段より出力された動的な閾値をもとに、受信したデータ要求の送出を制御することを特徴とする。
【0032】
また、本発明は、クライアントから送出されたデータ要求をサーバに代わり受信し、当該受信したクライアントからサーバ計算機へのデータ要求について、当該サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測して、当該計測したデータ要求の回数を閾値と比較し、当該比較の結果に応じて前記受信したデータ要求を保留し若しくは要求先のサーバ計算機に転送するサーバ計算機保護装置のデータ転送制御方法に於いて、前記受信したデータ要求の保留状態と前記データ要求をサーバに送出した際のサーバからの応答状態をもとに前記閾値を動的に可変制御して、前記クライアントに代わり受信したサーバ計算機へのデータ要求が急激に増加した際に、前記サーバ計算機保護装置からサーバ計算機へ転送されるデータ要求の急激な増加を所定の変動範囲内に抑制するデータ転送制御を行うことを特徴とする。
【0033】
上記したような、本発明のデータ転送制御機能をもつことで、利用者が、サーバ各々の処理可能なデータ要求の回数を設定しなくてもサーバ計算機の保護を行なうことができるとともに、サーバの処理能力を最大限に有効利用できるサーバ計算機保護装置が実現できる。また、急速にクライアントからのリクエスト数が増加した場合であっても、サーバ計算機の保護を行なうことができるとともに、サーバの処理能力を最大限に有効利用できるサーバ計算機保護装置が実現できる。
【0034】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
【0035】
図1は本発明の第1実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0036】
図1に示す本発明の第1実施形態によるサーバ計算機保護装置10は、ネットワークインタフェース11A,11Bと、接続転送手段12とを具備して構成される。
【0037】
ネットワークインタフェース11Aは、ネットワークセグメント(A)を介してクライアントとの間でパケットを送受信する機能を持つ。ネットワークインタフェース11Bは、ネットワークセグメント(B)を介してサーバ計算機との間でパケットを送受信する機能を持ち、接続転送手段12に設けたデータ要求受信手段13から渡されたデータ要求のパケットをサーバ計算機へ送出し、サーバ計算機からデータを受信する機能を持つ。
【0038】
接続転送手段12は、データ要求受信手段13と、データ要求送信手段14と、サーバデータ要求計測手段15と、閾値比較手段16と、閾値出力手段17とを具備して構成される。
【0039】
接続転送手段12に於いて、データ要求受信手段13は、ネットワークインタフェース11Aとの間でパケットを交換し、クライアントから送出されたデータ要求をサーバに代って受取る機能を持つ。
【0040】
データ要求送信手段14は、閾値比較手段16からの比較結果を受取り、サーバデータ要求計測手段15で計測されたデータ要求の回数が閾値出力手段17から出力された閾値を下回っていた場合、データ要求受信手段13が受取ったデータ要求のパケットを、クライアントが実際にデータを要求している本来のサーバ計算機へネットワークインタフェース11Bを介して転送し、サーバデータ要求計測手段15で計測されたデータ要求の回数が閾値保持手段16に保持された閾値を上回っていた場合、データ要求受信手段13が受取ったデータ要求のパケットを保留バッファ14aに保留する機能を持つ。
【0041】
サーバデータ要求計測手段15は、データ要求受信手段13が受信したデータ要求について、要求先(転送先)のサーバが過去の一定期間内に受信したデータ要求の回数を計測する機能を持つ。
【0042】
閾値比較手段16は、サーバデータ要求計測手段15で計測されたデータ要求の回数と、閾値出力手段17から出力された閾値とを比較し、その比較結果の内容をデータ要求送信手段14に伝える機能を持つ。
【0043】
閾値出力手段17は、サーバ応答測定手段と、タイムアウト計数手段と、保留計数手段と、閾値計数手段とを備えて、データ要求送信手段14に保留されたデータ要求の状態、サーバ計算機からの応答状態等に基づいて、上記データ要求の回数の閾値を動的に可変し設定して出力する機能を持つ。
【0044】
図2は上記閾値出力手段17の内部の構成を示すブロック図であり、保留計数手段171と、サーバ応答測定手段172と、閾値計数手段173と、タイムアウト計数手段174とを備えて構成される。
【0045】
保留計数手段171は、データ要求送信手段14に於いて過去の一定期間内に保留したデータ要求の回数を計数し、その計数値を加減算制御信号(up/down)として閾値計数手段173に送出する。
【0046】
サーバ応答測定手段172は、データ要求送信手段14がデータ要求のパケットを送出してからサーバ計算機より応答を受信するまでの所要時間を測定し、その測定時間情報をタイムアウト計数手段174に送出する。
【0047】
閾値計数手段173は、保留計数手段171より出力された計数値を加減算制御信号(up/down)として入力し、更にタイムアウト計数手段174より出力された測定時間情報を入力して、これらの入力情報をもとに、定期的に、閾値となる数値の加減算を行い、その計数値を閾値として閾値比較手段16に送出する機能を持つ。
【0048】
タイムアウト計数手段174は、サーバ応答測定手段172より出力された測定時間情報で示される測定時間について、過去一定時間毎の、予め設定した時間を超えた回数を計数し、その回数が予め設定した回数を超えた際に、閾値計数手段173に初期化制御信号(preset)を送出する機能をもつ。
【0049】
ここで、上記図1および図2を参照して本発明に係るサーバ計算機保護装置の動作を説明する。
【0050】
あるクライアントが、サーバ計算機に対してデータ要求を送出すると、当該データ要求がネットワークセグメント(A)を介してネットワークインタフェース11Aに受信される。
【0051】
ネットワークインタフェース11Aに受信されたデータ要求は、データ要求受信手段13がサーバ計算機に代って受取る。この際、データ要求受信手段13は、クライアントからの接続要求への応答などの処理も行う。データ要求受信手段13は受取ったデータ要求をデータ要求送信手段14へ渡す。
【0052】
データ要求送信手段14は、データ要求受信手段13からデータ要求を受け取ると、閾値比較手段16から比較結果の内容を取得し、その内容に従い、データ要求受信手段13で受信したデータ要求のパケットを保留するか要求先のサーバ計算機に転送するかを決定する。
【0053】
この際の閾値比較手段16による処理に於いて、サーバデータ要求計測手段15は、当該データ要求について、要求先のサーバが過去の一定期間内に受信した当該データ要求の回数を測定している。
【0054】
閾値比較手段16は、データ要求送信手段14から比較結果の内容についての問い合わせを受けると、まず、閾値出力手段17から、その時点での閾値を取得し、次に、サーバデータ要求計数手段15から、測定されたデータ要求の回数を取得して、その取得した閾値と測定された回数とを比較し、その比較結果の内容をデータ要求送信手段14に渡す。
【0055】
データ要求送信手段14は、上記閾値比較手段16から取得した比較結果の内容が、サーバデータ要求計測手段15で測定したデータ要求の回数が閾値を上回っていることを示していると、データ要求受信手段13より受けたデータ要求を保留する。
【0056】
ここで、上記データ要求送信手段14がデータ要求を保留した際、その旨が閾値出力手段17に通知される。
【0057】
閾値出力手段17に於いて、保留計数手段171は、データ要求送信手段14が保留したデータ要求の数(データ要求のパケットの個数)をカウントしており、データ要求送信手段14からデータ要求を保留した通知を受ける毎に、その計数値を更新(+1)する。この保留計数手段171の計数値は加減算制御信号(up/down)として閾値計数手段173に送出される。
【0058】
閾値計数手段173は、保留計数手段171より受けた計数値を加減算制御信号(up/down)として、その値を定期的に判定し、その値が、一定値以下であれば、データ要求の量に対して閾値に余裕があると判断して、閾値として出力する自己の計数値を予め指定した減算率で減算する。また、その値が、一定値を超えていれば、データ要求の量に対して閾値が小さいと判断して、閾値として出力する自己の計数値を予め指定した加算率で加算する。この閾値計数手段173で加減算処理された計数値が閾値として閾値比較手段16に渡される。
【0059】
このようにして、データ要求の量に応じて閾値が指定の加算/減算率で追従することで、急速にクライアントからのリクエスト数(データ要求の回数)が増加した場合であっても、サーバ計算機へのデータ要求の急増を防ぐことができ、サーバ計算機を保護することができる。
【0060】
また、上記比較結果の内容が、サーバデータ要求計測手段15で測定したデータ要求の回数が閾値を下回っていることを示していると、データ要求受信手段13より受けたデータ要求をネットワークインタフェース11Bを介してクライアントが実際にデータを要求している本来のサーバ計算機へ送出する。
【0061】
この際、データ要求送信手段14はサーバ計算機への接続要求などの処理も行う。サーバ計算機は受取ったデータ要求に応じてデータを送出する。サーバ計算機から送出されたデータはネットワークインタフェース11Bに受信され、ネットワークインタフェース11Aより送信されて、ネットワークインタフェース11Aを介し、データ要求元のクライアントに渡される。
【0062】
上記したデータ要求の受け渡しの処理に於いて、閾値出力手段17に設けられたサーバ応答測定手段172は、データ要求送信手段14がデータ要求に関わるパケットを送出してからサーバ計算機より応答を受信するまでの所要時間を測定し、その測定した時間情報をタイムアウト計数手段174に送出する。
【0063】
タイムアウト計数手段174は、サーバ応答測定手段172から受けた測定時間が、予め設定した一定時間を超えたことを判定する度に、その回数を計数する。更に、そのその回数が予め設定した回数を超えると、閾値計数手段173に初期化制御信号(preset)を送出する。
【0064】
閾値計数手段173は、タイムアウト計数手段174から初期化制御信号(preset)を受けると、閾値として出力する自己の計数値を、予め設定した最小値と現在の計数値の間の数値、例えばその中間の値に初期化する。
【0065】
閾値計数手段173に於いて、閾値として出力する計数値は、以降、前述したように、クライアントから送出されたデータ要求の数(データ要求受信手段13で受信したデータ要求の数)と、保留計数手段171の計数値とによって加減算される。
【0066】
このようにして、ユーザ(利用者)が、サーバ計算機各々に於ける処理可能なデータ要求の回数を設定しなくても、サーバ計算機の保護を行なうことができるとともに、サーバ計算機の処理能力を最大限に有効利用できるサーバ計算機保護装置が実現できる。また、急速にクライアントからのリクエスト数(データ要求の回数)が増加した場合であっても、サーバ計算機の保護を行なうことができるとともに、サーバの処理能力を最大限に有効利用できるサーバ計算機保護装置が実現できる。
【0067】
【発明の効果】
以上詳記したように本発明によれば、利用者が、サーバ各々の処理可能なデータ要求の回数を設定しなくてもサーバ計算機の保護を行なうことができるとともに、サーバの処理能力を有効利用できる。更に本発明によれば、クライアントからのリクエスト数が急速に増加した場合に於いても、サーバ計算機の保護をしつつ、サーバ計算機の処理能力を有効かつ継続して利用でき、クライアントからのリクエスト数の大きな変動に対しても、サーバ計算機との間で常に安定したパケット交換動作を維持することができる。
【図面の簡単な説明】
【図1】本発明の実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図2】上記実施形態に於ける閾値出力手段の構成を示すブロック図。
【図3】従来のサーバ計算機保護装置の構成を示すブロック図。
【図4】サーバ計算機保護装置の閾値保持手段に格納された内容の一例を示す図。
【符号の説明】
10…サーバ計算機保護装置
11A,11B…ネットワークインタフェース
12…接続転送手段
13…データ要求受信手段
14…データ要求送信手段
14a…保留バッファ
15…サーバデータ要求計測手段
16…閾値比較手段
17…閾値出力手段
171…保留計数手段
172…サーバ応答測定手段
173…閾値計数手段
174…タイムアウト計数手段

Claims (7)

  1. クライアントから送出されたデータ要求をサーバに代わり受信し、当該受信したクライアントからサーバ計算機へのデータ要求について、当該サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測して、当該計測したデータ要求の回数を閾値と比較し、当該比較の結果に応じて前記受信したデータ要求を保留し若しくは要求先のサーバ計算機に転送するサーバ計算機保護装置に於いて、
    前記受信したデータ要求の保留状態と前記データ要求をサーバに送出した際のサーバからの応答状態をもとに前記閾値を動的に可変制御する手段を具備したことを特徴とするサーバ計算機保護装置。
  2. クライアントから送出されたデータ要求をサーバに代わり受信する要求受信手段と、
    前記要求受信手段が受信したクライアントからサーバ計算機へのデータ要求について、前記サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測する計測手段と、
    前記計測手段で計測されたデータ要求の回数を比較の対象とする閾値を出力する閾値出力手段と、
    前記計測手段で計測されたデータ要求の回数を前記閾値出力手段より出力される閾値と比較する比較手段と、
    前記比較手段の比較の結果、前記計測手段で計測したデータ要求の回数が前記閾値を超えた際は前記要求受信手段が受信したデータ要求を保留し、前記計測手段で計測したデータ要求の回数が前記閾値を超えない際は前記要求受信手段が受信したデータ要求をサーバ計算機に送出するデータ要求送信手段とを具備し、
    前記閾値出力手段に、
    前記要求受信手段が受信したデータ要求の一定時間内での保留回数を計数する保留計数手段と、
    前記データ要求送信手段からデータ要求を送出した際に、当該データ要求を受信したサーバ計算機から応答を受信するまでの所要時間を測定するサーバ応答測定手段と、
    前記サーバ応答測定手段で測定した所要時間が予め設定した一定時間を超えた回数を過去の一定時間内に於いて計数するタイムアウト計数手段と、
    前記比較手段に出力する閾値を保持する保持手段を有し、一定時間毎に、前記保留計数手段の計数値を入力して、当該計数値が一定値以下の場合は前記保持手段の値を指定した減算率で減算し、前記保留計数手段の計数値が一定値を超え、かつ前記タイムアウト計数手段の計数値が一定値以下の場合は、前記保持手段の値を指定した加算率で加算する閾値計数手段とを具備して、
    前記データ要求送信手段は、前記閾値出力手段に設けた閾値計数手段より出力された動的な閾値をもとに、受信したデータ要求の送出を制御することを特徴とするサーバ計算機保護装置。
  3. クライアントから送出されたデータ要求をサーバに代わり受信する要求受信手段と、
    前記要求受信手段が受信したクライアントからサーバ計算機へのデータ要求について、前記サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測する計測手段と、
    前記計測手段で計測されたデータ要求の回数を比較の対象とする閾値を出力する閾値出力手段と、
    前記計測手段で計測されたデータ要求の回数を前記閾値出力手段より出力される閾値と比較する比較手段と、
    前記比較手段の比較の結果、前記計測手段で計測したデータ要求の回数が前記閾値を超えた際は前記要求受信手段が受信したデータ要求を保留し、前記計測手段で計測したデータ要求の回数が前記閾値を超えない際は前記要求受信手段が受信したデータ要求をサーバ計算機に送出するデータ要求送信手段とを具備し、
    前記閾値出力手段に、
    前記要求受信手段が受信したデータ要求の過去の一定時間内での保留回数を計数する保留計数手段と、
    前記データ要求送信手段からデータ要求を送出した際に、当該データ要求を受信したサーバ計算機から応答を受信するまでの所要時間を測定するサーバ応答測定手段と、
    前記比較手段に出力する閾値を保持する保持手段を有し、一定時間毎に、前記保留計数手段の計数値を入力して、当該計数値が一定値以下の場合は前記保持手段の値を指定した減算率で減算し、前記保留計数手段の計数値が一定値を超えている場合は予め設定された上限値を超えない範囲で前記保持手段の値を指定した加算率で加算する閾値計数手段とを具備して、
    前記データ要求送信手段が前記閾値出力手段の前記閾値計数手段より出力された動的な閾値をもとに、受信したデータ要求の送出を制御することを特徴とするサーバ計算機保護装置。
  4. 前記データ要求送信手段は、保留したデータ要求をそれぞれ異る時間経過の後、再度、サーバ計算機への送出を試みる手段を具備したことを特徴とする請求項1または2または3記載のサーバ計算機保護装置。
  5. 前記タイムアウト計数手段は、前記サーバ応答測定手段で測定した所要時間が予め設定した一定時間を超えた回数を過去の一定時間内に於いて計数し、当該計数値が一定値を超えている場合は、閾値計数手段の値を予め指定の最小値乃至現在の計数値で初期化する手段をを具備したことを特徴とする請求項2記載のサーバ計算機保護装置。
  6. 前記閾値計数手段を初期化した際の閾値計数手段の計数値の履歴を保持する閾値初期化履歴保持手段を具備し、前記閾値計数手段の計数値を加算する加算率は、前記閾値初期化履歴保持手段に保持された履歴に基づき決定されることを特徴とする請求項5記載のサーバ計算機保護装置。
  7. クライアントから送出されたデータ要求をサーバに代わり受信し、当該受信したクライアントからサーバ計算機へのデータ要求について、当該サーバ計算機が過去の一定期間内に受信した前記データ要求の回数を計測して、当該計測したデータ要求の回数を閾値と比較し、当該比較の結果に応じて前記受信したデータ要求を保留し若しくは要求先のサーバ計算機に転送するサーバ計算機保護装置のデータ転送制御方法に於いて、
    前記受信したデータ要求の保留状態と前記データ要求をサーバに送出した際のサーバからの応答状態をもとに前記閾値を動的に可変制御して、前記クライアントに代わり受信したサーバ計算機へのデータ要求が急激に増加した際に、前記サーバ計算機保護装置からサーバ計算機へ転送されるデータ要求の急激な増加を所定の変動範囲内に抑制するデータ転送制御を行うことを特徴とするサーバ計算機保護装置のデータ転送制御方法。
JP2002022486A 2002-01-30 2002-01-30 サーバ計算機保護装置および同装置のデータ転送制御方法 Expired - Lifetime JP3566699B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2002022486A JP3566699B2 (ja) 2002-01-30 2002-01-30 サーバ計算機保護装置および同装置のデータ転送制御方法
DE60306823T DE60306823T2 (de) 2002-01-30 2003-01-28 Schutzvorrichtung und Verfahren für Server-Computer zur Steuerung von Datenübertragung durch dieselbe
EP03002012A EP1335560B1 (en) 2002-01-30 2003-01-28 Server computer protection apparatus and method for controlling data transfer by the same
US10/352,904 US7415722B2 (en) 2002-01-30 2003-01-29 Server computer protection apparatus and method for controlling data transfer by the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002022486A JP3566699B2 (ja) 2002-01-30 2002-01-30 サーバ計算機保護装置および同装置のデータ転送制御方法

Publications (2)

Publication Number Publication Date
JP2003224607A JP2003224607A (ja) 2003-08-08
JP3566699B2 true JP3566699B2 (ja) 2004-09-15

Family

ID=27606349

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002022486A Expired - Lifetime JP3566699B2 (ja) 2002-01-30 2002-01-30 サーバ計算機保護装置および同装置のデータ転送制御方法

Country Status (4)

Country Link
US (1) US7415722B2 (ja)
EP (1) EP1335560B1 (ja)
JP (1) JP3566699B2 (ja)
DE (1) DE60306823T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007125942A1 (ja) * 2006-04-26 2007-11-08 Nippon Telegraph And Telephone Corporation 負荷制御装置およびその方法

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4503934B2 (ja) * 2002-09-26 2010-07-14 株式会社東芝 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
JP2005235043A (ja) * 2004-02-23 2005-09-02 Fujitsu Ltd 情報処理装置及び方法
US7966661B2 (en) * 2004-04-29 2011-06-21 Microsoft Corporation Network amplification attack mitigation
US8203941B2 (en) * 2004-05-28 2012-06-19 Hewlett-Packard Development Company, L.P. Virus/worm throttle threshold settings
US8321573B2 (en) * 2004-09-17 2012-11-27 Sanyo Electric Co., Ltd. Communications terminal with optimum send interval
US7995538B2 (en) * 2005-04-07 2011-08-09 Qualcomm Incorporated Method and apparatus for throttling access to a shared resource
DE102005058878B4 (de) * 2005-12-09 2007-08-09 Infineon Technologies Ag Datentransfervorrichtung und Verfahren zum Senden von Daten
JP2008059040A (ja) * 2006-08-29 2008-03-13 Nippon Telegr & Teleph Corp <Ntt> 負荷制御システムおよび方法
US9026575B2 (en) * 2006-09-28 2015-05-05 Alcatel Lucent Technique for automatically configuring a communication network element
US8850029B2 (en) * 2008-02-14 2014-09-30 Mcafee, Inc. System, method, and computer program product for managing at least one aspect of a connection based on application behavior
EP3068107B1 (en) * 2008-09-05 2021-02-24 Pulse Secure, LLC Supplying data files to requesting stations
US20100153543A1 (en) * 2008-12-17 2010-06-17 Bo Lee Method and System for Intelligent Management of Performance Measurements In Communication Networks
TWI437437B (zh) * 2009-09-23 2014-05-11 Silicon Motion Inc 資料接收方法、具有資料接收機制的電子裝置以及儲存系統
US9454431B2 (en) * 2010-11-29 2016-09-27 International Business Machines Corporation Memory selection for slice storage in a dispersed storage network
US9251367B2 (en) * 2011-03-25 2016-02-02 Nec Corporation Device, method and program for preventing information leakage
US9800455B1 (en) 2012-02-08 2017-10-24 Amazon Technologies, Inc. Log monitoring system
US10929551B2 (en) * 2013-03-13 2021-02-23 Comcast Cable Communications, Llc Methods and systems for managing data assets
US20150271044A1 (en) * 2014-03-24 2015-09-24 International Business Machines Corporation Browser response optimization
CN104468782B (zh) * 2014-12-05 2017-11-14 北京国双科技有限公司 网络数据获取方法及装置
CN104486414B (zh) * 2014-12-15 2018-04-03 北京国双科技有限公司 网络数据展示方法及装置
CN109842587B (zh) * 2017-11-27 2021-11-12 北京京东尚科信息技术有限公司 监测系统安全的方法和装置
JP7078850B2 (ja) * 2018-07-23 2022-06-01 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
US11201878B2 (en) * 2018-11-13 2021-12-14 Intel Corporation Bus-off attack prevention circuit

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5459837A (en) * 1993-04-21 1995-10-17 Digital Equipment Corporation System to facilitate efficient utilization of network resources in a computer network
US6006264A (en) * 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
JP2000172620A (ja) 1998-12-07 2000-06-23 Nippon Telegr & Teleph Corp <Ntt> 中継型アプリケーションサーバ負荷制御方法及びシステム及び中継型アプリケーションサーバ負荷制御プログラムを格納した記憶媒体
US6442608B1 (en) * 1999-01-14 2002-08-27 Cisco Technology, Inc. Distributed database system with authoritative node
US6693905B1 (en) * 1999-04-09 2004-02-17 Matsushita Electric Industrial Co., Ltd. Data exchange unit
JP2000322365A (ja) 1999-05-12 2000-11-24 Hitachi Ltd サーバコンピュータの受付制限方法
US7137144B1 (en) 2000-02-11 2006-11-14 International Business Machines Corporation Technique of defending against network connection flooding attacks
US6799276B1 (en) * 2000-06-26 2004-09-28 Sun Microsystems, Inc. Method and apparatus for restraining connection request stream associated with high volume burst client in a distributed network
US6789203B1 (en) * 2000-06-26 2004-09-07 Sun Microsystems, Inc. Method and apparatus for preventing a denial of service (DOS) attack by selectively throttling TCP/IP requests
US20020138643A1 (en) * 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007125942A1 (ja) * 2006-04-26 2007-11-08 Nippon Telegraph And Telephone Corporation 負荷制御装置およびその方法
JP5189974B2 (ja) * 2006-04-26 2013-04-24 日本電信電話株式会社 負荷制御装置およびその方法
US8667120B2 (en) 2006-04-26 2014-03-04 Nippon Telegraph And Telephone Corporation Load control device and method thereof for controlling requests sent to a server

Also Published As

Publication number Publication date
EP1335560A3 (en) 2004-03-10
US20030145236A1 (en) 2003-07-31
DE60306823T2 (de) 2007-02-22
DE60306823D1 (de) 2006-08-31
US7415722B2 (en) 2008-08-19
EP1335560A2 (en) 2003-08-13
EP1335560B1 (en) 2006-07-19
JP2003224607A (ja) 2003-08-08

Similar Documents

Publication Publication Date Title
JP3566699B2 (ja) サーバ計算機保護装置および同装置のデータ転送制御方法
US6904040B2 (en) Packet preprocessing interface for multiprocessor network handler
US6772202B2 (en) Queuing system, method and computer program product for network data transfer
JP5189974B2 (ja) 負荷制御装置およびその方法
EP1258125B1 (en) Method and apparatus for dynamic class-based packet scheduling
US7295565B2 (en) System and method for sharing a resource among multiple queues
US20030195983A1 (en) Network congestion management using aggressive timers
US8174980B2 (en) Methods, systems, and computer readable media for dynamically rate limiting slowpath processing of exception packets
US10560401B2 (en) Network packet microburst detection via network switching device hardware supporting quantizied congestion notification
US20140223026A1 (en) Flow control mechanism for a storage server
EP3694164B1 (en) Data transmission method and device, and computer storage medium
JP2004164553A (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
US7089282B2 (en) Distributed protocol processing in a data processing system
EP3275139A1 (en) Technologies for network packet pacing during segmentation operations
WO2007074343A2 (en) Processing received data
WO2021181896A1 (ja) 通信装置、通信装置の制御方法、および集積回路
JP3566700B2 (ja) サーバ計算機保護装置および同装置のデータ転送制御方法
JP6829156B2 (ja) ネットワーク負荷分散装置および方法
US7646724B2 (en) Dynamic blocking in a shared host-network interface
WO2024150297A1 (ja) サーバの状況に応じた方法でデータを転送する装置及び方法
CN117596310A (zh) 数据处理方法及装置、处理器
JPH05219119A (ja) データ入力規制方式
US20030169759A1 (en) Communication device for processing data received from network
US8233478B2 (en) Method and an apparatus for data storage and communications
JPH10308750A (ja) 送信可能レート決定方法および装置ならびにatmノード

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040608

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040610

R151 Written notification of patent or utility model registration

Ref document number: 3566699

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090618

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100618

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100618

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110618

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120618

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130618

Year of fee payment: 9

EXPY Cancellation because of completion of term