JP4361570B2 - パケット制御命令管理方法 - Google Patents

パケット制御命令管理方法 Download PDF

Info

Publication number
JP4361570B2
JP4361570B2 JP2007044902A JP2007044902A JP4361570B2 JP 4361570 B2 JP4361570 B2 JP 4361570B2 JP 2007044902 A JP2007044902 A JP 2007044902A JP 2007044902 A JP2007044902 A JP 2007044902A JP 4361570 B2 JP4361570 B2 JP 4361570B2
Authority
JP
Japan
Prior art keywords
receiving terminal
control command
packet
terminal address
record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007044902A
Other languages
English (en)
Other versions
JP2008211415A (ja
Inventor
一浩 大倉
毅 八木
正雄 田邉
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007044902A priority Critical patent/JP4361570B2/ja
Publication of JP2008211415A publication Critical patent/JP2008211415A/ja
Application granted granted Critical
Publication of JP4361570B2 publication Critical patent/JP4361570B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、パケットを疎通する複数の中継装置と、通過パケットを監視する複数の監視機能と、制御命令に従って中継装置を制御する複数の制御機能を含むネットワークにおいて、制御命令を管理するネットワーク管理機能を備えるネットワーク管理装置のパケット制御命令管理方法に関し、制御命令の設定、解除及び変更を含む状態の更新判定と管理を行い、複数の制御機能相互間での重複実行や、単一制御機能の重複実行を防止することで、制御機能の整合性を担保することができるパケット制御命令管理方法に関する。
近年、DoS(Denial of Service)攻撃やDDoS(Distributed Denial of Service)攻撃、あるいは災害時トラヒック等の異常トラヒックを構成するパケットを制御する目的から、ISP(Internet Service Provider)ネットワークの中継装置が疎通するパケットのヘッダ情報を含んだパケット疎通情報を監視し、パケットの送信先IPアドレスである受信端末アドレスと通過パケット量を含んだ情報でなるパケット情報に基づいて、中継装置でパケット制御を行う機能の重要性が増している。
従来技術における監視機能として、IDS(Intrusion Detection System)やProbe装置を利用し、受信端末を収容する中継装置の近傍で局所的に適用される周知技術が存在する。
また、非特許文献1及び非特許文献2には、ネットワーク全域を広域に監視する広域監視機能により異常トラヒック発生を推定した上で、受信端末アドレス単位での詳細監視を行う階層型監視機能も開示されている。
このように、従来技術として複数の監視機能が存在しており、目的に応じて異なる監視装置を使い分ける運用形態が考えられる。
一方、従来技術における制御機能として、ルータなどの中継装置を想定した場合、ACL(Access ControI List)を使用した通過パケットの遮断制御やQoS(Quality of Service)制御などの公知なパケット制御が存在する。
この場合、当該ISPネットワークにおける異常パケットの流出地点に位置するEgress中継装置に対し、ACLを設定する単純な制御機能がある。また、ネットワーク内に大量の異常パケットが流入することによる輻輳発生を防止するため、Egress中継装置に加えて、流入地点に位置するIngress中継装置に対して、ACLを同時設定する制御機能(以下、「遡り制御機能」と記載する)が非特許文献3において開示されている。
また、非特許文献4では、DDoS攻撃を構成するパケットのパケットヘッダ情報をより詳細に分析し、高精度に異常パケットを識別した上でパケット制御を実行することを目的とし、異常パケットを攻撃軽減装置に迂回する制御機能(以下、「迂回制御機能」と記載する)が開示されている。
制御機能から複数の中継装置に対して送信される制御コマンドの整合性を担保する従来技術として、特許文献1に開示されている技術が存在している。特許文献1の技術は、複数の中継装置が各々異なる制御コマンドの書式を解釈する装置形態を前提とし、制御機能が制御コマンドを送信する際、個々の中継装置が解釈可能な書式に変換する技術である。これにより、オペレータが制御コマンド書式の差異を意識することが不要となり、中継装置の管理コストと設定ミスを軽減するという課題を解決している。
廣川祐他、"次世代バックボーン向けトラヒック監視システムの開発"、2006電子情報通信学会総合大会、BS−5−11、March.2006 大倉一浩他、"階層型監視制御方式の設計"、2006電子情報通信学会総合大会、B−7−70、September.2006 Hitoshi Fuji et al.,"MovingFirewall: A Countermeasure against Distributed Denial of Service Attacks",NTT Technical Review, Vol.1 No.5 Aug. 2003 (http://www.ntt.co.jp/tr/0308/files/ntr200308085.pdf) 八木毅他、"DDoS攻撃軽減装置の共有化のための網制御方式"、2006電子情報通信学会総合大会、B−7−33、September.2006 特開2000−244567号公報
上述のように、複数の監視機能と制御機能が従来技術として開示されており、多種多様な異常トラヒックの発生に対する適応性を高める為には、これら複数の機能を異常性の種類や程度に応じて、柔軟に使い分けることが重要である。このことを踏まえ、本発明は、図1に示すように、複数の中継装置、監視機能、及び制御命令により制御される制御機能を含むネットワークと、制御命令を管理するネットワーク管理機能からなる構成を前提としている。
図1に示す複数の監視機能と制御機能からなる構成を前提とした場合、特許文献1が開示する技術では、中継装置と制御機能の間で送受信される制御コマンドを矛盾なく生成、更新することは可能となるが、複数の制御機能間での重複実行を防止するなどの制御機能の動作に関する整合性を担保することは出来ない。
例えば、特定の受信端末アドレスを有するパケットに対して遡り制御機能が実行されている場合、異常パケットは当該ISPネットワークのIngress中継装置においてパケット制御されているため、同ネットワーク内に問題となる異常パケットは通過していない。この状態で、同受信端末アドレスを有するパケットに対して迂回制御機能を実行しても、迂回制御対象のパケットが存在しないため、本制御機能の効果は生まれない。
また、特定の受信端末アドレスを有するパケットに対して迂回制御機能を実行している場合であって、同パケットに対してEgress中継装置でパケット遮断制御を行う制御機能を実行したとき、迂回制御機能によりパケットヘッダ情報の詳細分析を伴う高精度なパケット制御を実行する目的にもかかわらず、Egress中継装置において同受信端末アドレスを含んだ正規パケットが一律、遮断されるため、迂回制御機能の効果は生まれない。
更に、個々の制御機能の実行と解除の整合性を担保するために、制御機能の重複実行を防止する必要がある。
このように、複数の制御機能を使い分ける運用形態を想定した場合、各制御機能の実行状態を管理し、制御機能の新たな実行の設定、実行中の制御機能の解除、又はその種別の変更などの動作の更新処理における整合性を担保することが大きな課題となっている。
なお、図1において、ネットワーク管理機能を用いず、監視機能において本課題を解決する機能を具備する形態を考えた場合、複数の監視機能が存在することから、制御機能の実行状態を各監視機能がそれぞれ管理する必要が生じ、課題の解決が困難となる。従って、本発明では、ネットワーク管理機能が集中して制御機能の実行状態を管理する機能配備を採用している。
この発明は、従来技術では解決できない上述の課題を解消するためになされたものであって、複数の制御機能の実行状態の管理と更新処理の整合性を担保することで、オペレータの操作ミスを防止し、管理コストを低減することを目的としている。
上述する課題を解決し、目的を達成するため、請求項1に係る発明は、パケットを疎通する複数の中継装置と、前記複数の中継装置の制御命令に従って前記中継装置を制御する制御機能を含むネットワークにおいて、前記制御命令を管理するネットワーク管理機能を備えるネットワーク管理装置のパケット制御命令管理方法であって、ネットワーク管理装置はパケット情報受信手段、実行中制御命令特定手段、制御命令更新判定手段及び判定結果出力手段を有することを特徴としている。
そして、前記パケット情報受信手段が、前記監視機能により通過パケットを監視される中継装置の識別子である中継装置識別子と、当該中継装置が収容する受信端末のアドレスである受信端末アドレスと、当該受信端末の受信パケット流量を含むパケット情報を、前記監視機能から受信するパケット情報受信ステップと、前記実行中制御命令特定手段が、前記パケット情報に含まれる中継装置識別子を用いて中継装置識別子と受信端末アドレスと制御命令を含むレコードを記録可能であり、中継装置識別子により、レコード検索可能なテーブルである制御命令テーブルを検索し、前記監視機能により流量変動が監視された通過パケットを疎通する中継装置と、当該中継装置が実行中の制御命令及び受信端末アドレスとを含む判定対象レコードを特定する実行中制御命令特定ステップと、前記制御命令更新判定手段が、前記実行中制御命令特定ステップで特定された判定対象レコードの受信端末アドレスと前記パケット情報が通知する受信端末アドレスとを比較して一致する場合は、当該パケット情報が通知するパケット流量の値と所定のパケット流量閾値とを比較して当該受信端末アドレス毎にパケット制御の必要性を判定し、一致しない場合は、前記制御命令テーブルに新規レコードを生成し当該パケット情報が通知するパケット流量の値と所定のパケット流量閾値とを比較して当該受信端末アドレス毎にパケット制御の必要性を判定することにより、当該受信端末アドレス毎に制御命令の登録、解除及び変更を含む状態の更新判定を行う制御命令更新判定ステップと、前記判定結果出力手段が、前記制御命令更新判定ステップ後、前記受信端末アドレス毎に前記更新判定の結果を出力する判定結果出力ステップと、を備えることを特徴とする。
また、請求項2の発明は、上記の発明において、前記制御命令テーブルは、中継装置識別子と受信端末アドレスと制御命令とフラグを含むレコードを記録可能であり、中継装置識別子と受信端末アドレスとにより、レコード検索可能なテーブルであり、前記実行中制御命令特定手段は、前記実行中制御命令特定ステップにおいて、特定した判定対象レコードについて、検索された旨のフラグ値である判定対象フラグ値を当該判定対象レコードの記録域に記録し、前記制御命令更新判定手段は、前記制御命令更新判定ステップにおいて、前記判定対象レコードが記録する受信端末アドレスの全てと、前記パケット情報が含む受信端末アドレスの全てとを比較する受信端末アドレス比較ステップを実施した結果、当該二つの受信端末アドレスが一致する場合、当該受信端末アドレスを記録する当該判定対象レコードの記録域に、当該受信端末アドレス宛のパケット流量が前記監視機能により監視されている旨を示すフラグ値である監視フラグ値を記録する第一の状態更新ステップを実施し、当該第一の状態更新ステップを実施したうえで、当該パケット情報が含む当該受信端末アドレス宛のパケット流量の値が、所定のパケット流量閾値よりも大きいとき、当該判定対象レコードの記録域に閾値超過フラグ値を記録し、前記受信端末アドレス比較ステップを実施した結果、前記二つの受信端末アドレスが一致せず、かつ前記パケット情報に含まれ前記制御命令テーブルに記録されていない受信端末アドレスが存在する場合、当該制御命令テーブルに新たなレコードを追加し、当該レコードの記録域に当該パケット情報が含む中継装置識別子及び当該受信端末アドレス、並びに判定対象フラグ値、監視フラグ値及び新たなレコードを追加した旨のフラグ値である追加フラグ値を記録する第二の状態更新ステップを実施し、当該第二の状態更新ステップを実施したうえで、当該受信端末アドレス宛のパケット流量の値が、前記パケット流量閾値よりも大きいとき、当該レコードの記録域に閾値超過フラグ値を記録し、前記制御命令出力手段は、前記制御命令出力ステップにおいて、前記制御命令テーブルを検索し、判定対象フラグ値、監視フラグ値、閾値超過フラグ値、及び追加フラグ値に対する所定のフラグ値組合せである制御命令管理識別子に該当するレコードを特定し、当該レコードが記録する受信端末アドレスを当該制御命令管理識別子とともに出力する、ことを特徴とする。
また、請求項3の発明は、請求項2の発明において、前記パケット情報受信手段は、前記パケット情報受信ステップにおいて、受信パケット流量の時系列波形変化情報である差分受信パケット流量を含むパケット情報を受信し、前記制御命令更新判定手段は、前記制御命令更新判定ステップにおいて、差分受信パケット流量に対する閾値である差分パケット流量閾値と前記パケット流量閾値を受信端末アドレス毎に記録した閾値テーブルを使用し、前記受信端末アドレス比較ステップを実施した結果、前記第一の状態更新手段又は第二の状態更新手段を実施したうえで、当該受信端末アドレスに該当する閾値テーブルが記録するパケット流量閾値と差分パケット流量閾値を、前記パケット情報の当該受信端末アドレスに該当する受信パケット流量と差分受信パケット流量に対して各々比較し、当該受信パケット流量の値が当該パケット流量閾値より大きいとき、当該受信端末アドレスを記録する前記判定対象レコードの記録域に閾値超過フラグ値を記録し、当該差分受信パケット流量の値が当該差分パケット流量閾値より大きいとき、当該判定対象レコードの記録域に差分閾値超過閾値フラグ値を記録し、前記制御命令出力手段は、前記制御命令出力ステップにおいて、前記制御命令テーブルを検索し、判定対象フラグ値、監視フラグ値、閾値超過フラグ値、差分閾値超過フラグ値、及び追加フラグ値に対する所定のフラグ値組合せに該当するレコードを特定し、当該レコードが記録する受信端末アドレスを、当該フラグ値組合せの所定の識別子である制御命令管理識別子とともに出力する、ことを特徴とする。
請求項1の発明によれば、複数の前記制御機能を使い分ける運用形態を想定した場合、各制御機能の実行状態を管理し、いずれかの制御機能の新たな実行の設定、実行中の制御機能の解除、又はその種別の変更などの動作の更新処理における整合性を担保することができるという効果を奏する。
請求項の発明によれば、パケット情報を受信した後、監視機能により流量変動が監視された通過パケットを疎通する中継装置と、当該中継装置が実行中の制御命令及び受信端末アドレスとを、制御命令の実行状態に関する情報を管理する制御命令テーブルを用いて効率的に特定することを可能とし、実装上、容易に実現することができるという効果を奏する。
また、請求項2の発明によれば、前記制御命令テーブルのレコード情報及びそのフラグ値を用いることにより、前記受信端末アドレス毎に制御命令が実行中か否かの判定処理と、当該受信端末アドレス毎にパケット制御の必要性の判定処理とを、効率的に実行することを可能とし、実装上、容易に実現することができるという効果を奏する。
また、請求項2の発明によれば、前記受信端末アドレス毎に更新判定の結果を効率的に出力することを可能とし、実装上、容易に実現することができるという効果を奏する。
また、請求項3の発明によれば、差分受信パケット流量を含めた精度の高い制御命令更新処理を行うことを可能とし、あわせて、前記閾値テーブルにより受信端末アドレス毎にパケット流量閾値及び差分パケット流量閾値をあらかじめ設定することで、受信端末のパケット処理能力の差異を考慮した精度の高い制御命令更新処理を効率的に実行することを可能とし、実装上、容易に実現することができるという効果を奏する。
また、請求項3の発明によれば、差分受信パケット流量を含めた制御命令更新処理の更新判定の結果を効率的に出力することを可能とし、実装上、容易に実現することができるという効果を奏する。
以下に添付図面を参照して、パケット制御命令管理方法の実施例1〜2を詳細に説明する。
各実施例の説明に先立って、本発明の実施形態にかかるパケット制御命令管理方法の概要を図1により説明しておく。本実施形態は、複数の中継装置4−1〜3、複数の監視機能2−1〜2、制御命令に従って中継装置4−1〜3を制御する複数の制御機能3−1〜3を含むネットワークにおいて、制御命令を管理するネットワーク管理機能1を備えるネットワーク管理装置のパケット制御命令管理方法に関する。
ネットワーク管理機能1は、ネットワーク管理機能を備えるネットワーク管理装置により実現される。監視機能2−1〜2は、それぞれ監視機能を備える監視装置により実現される。制御機能3−1〜3は、それぞれ制御機能を備える制御装置により実現されるか、あるいは、その一部又は全部が前記ネットワーク管理装置の内部において実現されていてもよい。これらのネットワーク管理装置、監視装置、制御装置は、コンピュータと記憶装置に記憶されたプログラムで構成することができる。また、そのプログラムの一部または全部に代えてハードウェアを用いて構成してもよい。また、ネットワーク管理装置、監視装置、制御装置のそれぞれを複数の装置が連携して動作する装置として構成してもよい。また、それらの装置が他の機能を有していてもよい。
中継装置4−1〜3は、監視機能2−1〜2に対してパケット疎通情報(図1の(1))を定期的あるいは、監視機能2−1〜2の要求に応じて送信する。パケット疎通情報は、ルータ等が汎用的に具備しており、公知の技術であるsFlowデータあるいはNetFlowデータによって構成されてもよい。
監視機能2−1〜2は、パケット疎通情報に基づいて異常トラヒックの分析を実行し、その結果としてパケット情報(図1の(2))をネットワーク管理機能1に送信する。パケット情報は、異常トラヒックを構成するパケットの送信先IPアドレスである受信端末アドレスを含み、異常性を示す値として、受信パケット流量、あるいは、時系列的な受信パケット流量の変化量を示す差分受信パケット流量を含んだ情報で構成される。
ネットワーク管理機能1は、パケット情報を受信した後、内部テーブルである制御情報テーブルを使用して、受信端末アドレス毎に制御命令管理識別子を出力し、オペレータへのコンピュータ画面等を介した通知を行う。その後、オペレータが、通知された受信端末アドレスと制御命令管理識別子に対して、制御命令の送信判断を行い、その結果、制御機能3−1〜3に対して制御命令(図1の(3))が送信される。
制御命令管理識別子は、制御機能3−1〜3のいずれか一つの新規実行である「設定」、実行中の制御機能の停止である「解除」、実行中の制御機能の停止と他の制御機能の新規実行である「変更」と、実行中の制御機能は継続実行するがパケット情報のみをオペレータに通知する「情報通知」(又は「情報表示」)と、更新処理を実行しない「無処理」の識別子を含んだ情報で構成される。
オペレータは、受信端末アドレス毎に制御管理識別子を通知され、各制御管理識別子で指定された処理の実行をするか否かを判断する。その後、制御命令が送信された制御機能は、その制御処理を実行する為に中継装置4−1〜3のいずれかに対して制御コマンド(図1の(4))を送信する。制御コマンドは、CLI(Command Line Interface)等の汎用的にルータ等の中継装置が具備するACLエントリの登録、変更、削除機能等により実現されてもよい。
実施例1では、請求項2の発明の実施例について、図2〜6を用いて説明する。図2は、ネットワーク管理機能1の機能ブロック図であり、図3は制御命令テーブルの構成例である。図4は、パケット情報のメッセージ例であり、図5は本実施例のフローチャートである。図6は、ネットワーク管理機能1が受信したパケット情報に対して、パケット流量閾値を使用した制御命令管理識別子の評価要件を示す。
まず、図1に記載のネットワーク管理機能1の機能ブロックについて図2を用いて説明する。ネットワーク管理機能1は、監視機能送受信インターフェース1h及び制御機能送受信インターフェース1lを備えている。これらは、LAN(Local Area Network)あるいはWAN(Wide Area Network)インターフェースボードなどの通信デバイスであり、他の監視機能22−1〜2や制御機能3−1〜3とのメッセージ送受信処理を行う。
監視機能通信部1f,1gは、各々、監視機能22−1,2からパケット情報を受信し、受信端末アドレス、受信パケット流量及び差分受信パケット流量などのパケット情報の構成情報を解釈し、監視機能選択部1dを介して、ネットワーク管理部1bにデータ送信する。
その後、ネットワーク管理部1bは、制御命令テーブル1aのレコードに対して検索、参照、更新などの処理を行い、パケット受信情報と制御命令テーブル1aのレコード情報から、受信端末アドレス毎に制御命令管理識別子を生成し、オペレータインターフェース1mを介してオペレータに通知する。制御命令テーブル1aは、汎用的なDB(DataBase)を用いて実現されても良いし、ハードディスク上のデータファイルにより実現されても良い。
オペレータは、オペレータインターフェースを介して、受信端末アドレス毎に通知される制御命令管理識別子に基づいて制御判断を行い、これに基づき、ネットワーク管理部1bは制御機能選択部1eを介して制御機能通信部1i,j,kのいずれかを選択し、制御命令が制御機能送受信インターフェース1lを介して、制御機能23−1〜3に送信される。
次に、制御命令テーブル1aのレコード構成を、図3を用いて説明する。「レコード識別子」は、制御命令テーブルのレコード(行)を一意に特定する識別子である。「中継装置識別子」、「受信端末アドレス」及び「制御命令」は、制御命令を実行中の中継装置に該当する中継装置識別子と、制御命令の実行対象であるパケットの送信先IPアドレスである受信端末アドレスと、その実行中の制御機能を各々示している。例えば、レコード識別子(01a)のレコードは、中継装置識別子(ER1)の中継装置が疎通するパケットを対象にした制御命令が実行中であり、受信端末アドレス(10.1.1.2)を送信先IPアドレスに持つパケットに対して、制御機能1が実行中であることを示す。また、「フラグ」情報属性として、「判定対象」、「監視」、「閾値超過」及び「追加」が存在し、その用途は図5において後述するフローチャートで説明することとする。
尚、「制御命令管理識別子」は、制御命令テーブルの各レコードに対して、図5に記載するフローチャートの処理を実行した場合の、受信端末アドレス毎に判定される制御命令管理識別子を示している。例えば、レコード識別子(01a)のレコードは、現在、受信端末アドレス10.1.1.2のパケットに対して制御機能1を実行中であり、パケット情報を新たに受信した結果、受信パケット流量がパケット流量閾値を超えているため、閾値超過フラグが値1を持ち、制御機能1以外の制御機能を選択して異常トラヒックの対処をする事が可能である旨の制御命令管理識別子(変更)が付与されていることを示している。
続いて、監視機能2−1〜2からネットワーク管理機能1が受けるパケット情報の情報属性を、図4を用いて説明する。情報属性として、「中継装置識別子」は、監視装置が通過パケットを監視しているEgress中継装置に該当する中継装置識別子を示す。「#」は、異常トラヒック情報を一意に特定する識別番号であり、#1の行は、受信端末アドレス(10.1.1.2)への通過パケットが、受信パケット量(800Mbps)である旨の異常トラヒック情報を示している。このように、監視装置により異常性が特定された異常トラヒック情報が、受信端末アドレス毎にパケット情報を介して、ネットワーク管理機能1に通知される構成が示されている。
更に、図3の制御命令テーブルと図4のパケット情報を使用し、請求項2の発明の実施例のフローチャートを、図5を用いて説明する。ネットワーク管理機能1は、パケット情報(図4)を受信した後(S101)、パケット情報に含まれる中継装置識別子と受信端末アドレスを取得する(S102)。この際、受信端末アドレスは複数存在する場合があるため、これらを本フローチャートでは「A」と標記する。パケット情報に含まれる中継装置識別子を用いて、制御命令テーブル(図3)を検索し(S103)、該当レコードの有無により分岐ステップ(S104)において分岐先が分かれる。
該当レコードが存在する場合、当該レコードを「判定対象レコード」とし、判定対象フラグを1に更新する。本フローチャートでは「B」と標記する。当該処理は,請求項に記載の実行中制御命令特定ステップに対応しており、これ以降の処理ステップ(S106〜119)が制御命令更新判定ステップに対応する。尚、処理ステップ(S120)は、請求項に記載の制御命令出力ステップに対応している。また、図2のネットワーク管理部1bの機能を実現する手段が、請求項の実行中制御命令特定手段と制御命令更新判定手段と判定結果出力手段に対応し、図2の監視機能通信部1f、1gの機能を実現する手段が、請求項のパケット情報受信手段に対応する。ただし、これらは請求項を実施例に限定するものではない。
処理ステップ(S106〜109)は、Aの要素のいずれか一つの「a」と、Bの要素のいずれか一つの「b」とを選択し、該当する受信端末アドレスを比較している。すなわち、Aに未処理の受信端末が有るかどうかを判断し(S106)、有る場合は未処理の受信端末アドレスを選択する。本フローチャートでは選択した受信端末アドレスを「a」と表記する(S107)。aに対し、未処理のレコードがBに有るかどうかを判断し(S108)、有る場合は未処理のレコードの受信端末アドレスを選択する。本フローチャートでは選択した未処理のレコードの受信端末アドレスを「b」と表記する(S109)。処理ステップ(S108)で、無い場合は処理ステップ(S106)に戻る。処理ステップ(S106)で、無い場合は処理ステップ(S120)に進む。
処理ステップ(S110)において、aとbの値が同じ場合は、パケット情報に含まれる受信端末アドレス(a)に対して、既に、いずれかの制御機能が実行され、制御命令テーブルに受信端末アドレス(b)のレコードが存在している状態に該当する。このとき、処理ステップ(S112)により受信パケット流量とパケット流量閾値の評価を行い、閾値超過フラグの更新(S113)を実行する。処理ステップ(S110)において、aとbが一致しない場合は、制御命令テーブルに新規レコードを生成し、新規に制御機能を実行するか否かの判定を行うために、処理ステップ(S114,112,113)によりフラグ更新処理を実行する。すなわち、処理ステップ(S114)において、制御命令テーブルに新規レコードを生成する。本フローチャートでは新規レコードの受信端末アドレスを「b」と表記する。bの判定対象フラグを1に更新し、bの監視フラグを1に更新し、bの追加フラグを1に更新する。その後、処理ステップ(S112〜113)において、aの受信パケット流量がパケット流量閾値以上である場合に、bの閾値超過フラグを1に更新する。
処理ステップ(S116〜119)は、パケット情報で通知される中継装置識別子に該当するEgress中継装置に対して、制御命令が全く実行されていない場合に(S04の分岐先「N」)、制御命令テーブルに新規レコードを生成する処理(S114,112,113)を同様に実行する処理ステップである。
制御命令テーブルに対するフラグ更新処理が終了した時点で、処理ステップ(S120)により、フラグ値の組合せに対する所定の制御命令管理識別子を特定し、オペレータインターフェース部1mへの出力が実行される。すなわち、処理ステップ(S120)において、次の処理がなされる。閾値超過及び追加フラグが共に値1のレコードの受信端末アドレスを、「設定」とする。判定対象、監視及び閾値超過フラグの全てが値1、かつ、追加フラグが値0のレコードの受信端末アドレスを、「変更」とする。判定対象フラグが値1、かつ、監視及び追加フラグが共に値0のレコードの受信端末アドレスを、「解除」とする。判定対象及び監視フラグが共に値1、かつ、閾値超過及び追加フラグが共に値0のレコードの受信端末アドレスを、「情報表示」とする。追加フラグが値1、かつ、閾値超過フラグが値0のレコードの受信端末アドレスを、「無処理」とする。そして、この制御命令管理識別子をオペレータインターフェースへ出力する。
以上のフローチャート動作の整理として、図6に、パケット情報で通知される受信端末アドレスに対して、パケット流量閾値の評価を行い、制御命令識別子の割当処理を行う評価要件を示す。(a)は制御命令実行中の受信端末アドレスの評価要件であり、(b)は制御命令が実行中でない受信端末アドレスの評価要件である。
(a)の場合、すなわち、制御命令が実行中の場合は、例えば、パケット情報で通知された一の受信端末アドレスが、パケット流量閾値以上の受信パケット流量を持つ場合は、制御命令管理識別子(変更)が割当られ、現在実行中の制御機能に変えて、新たな制御機能の実行判断の機会がオペレータに提供される。受信端末アドレスが、パケット流量閾値以下の受信パケット流量を持つ場合は、制御命令管理識別子(情報表示)が割当られ、パケット情報がオペレータに通知される。尚、制御命令が実行中であり、制御命令テーブルに登録済みの受信端末アドレスが、パケット情報で非通知の場合は、監視装置により当該受信端末アドレスに送信されるパケットの異常性の終了が検知されている状態であるため、制御命令管理識別子(解除)が割当られ、実行中の制御機能の停止判断の機会がオペレータに提供されることとなる。
(b)の場合、すなわち、制御命令が実行中でない場合は、パケット情報で通知された一の受信端末アドレスが、パケット流量閾値以上の受信パケット流量を持つ場合は、制御命令管理識別子(設定)が割当られ、パケット流量閾値以下の受信パケット流量を持つ場合は、制御命令管理識別子(無処理)が割当られる。
制御命令管理識別子がオペレータインターフェースへ出力された後、オペレータは、受信端末アドレス毎に通知される制御命令管理識別子に基づいて制御判断を行い、これに基づき、ネットワーク管理部1bは制御機能選択部1eを介して制御機能通信部1i,j,kのいずれかを選択し、制御命令が制御機能送受信インターフェース1lを介して、制御機能3−1〜3に送信される。同時に、ネットワーク管理部1bは制御命令テーブル1a(図3)の「制御命令」の欄に、その値(「制御機能1」等)を記述する。なお、図3の「制御未実行」は制御命令が未実行であることを示す。
実施例2では、請求項3の発明の実施例について、図7〜12を用いて説明する。図7は、制御命令テーブルの構成例である。図8は、図2に記載の閾値テーブル1cの構成例であり、図9はパケット情報のメッセージ例であり、図10及び11は本実施例のフローチャートである。図12は、本実施例において、ネットワーク管理機能が受信したパケット情報に対して、パケット流量閾値を使用した制御命令管理識別子の評価要件を示す。
実施例2は、実施例1に対し、異常性の判断要素としてパケット情報に差分受信パケット流量を付加し、これを所定の差分パケット流量閾値と比較している。これにより、受信端末アドレスに対する制御命令管理識別子の付与処理を、トラヒックの異常性に対して精度高く行うことを可能としている。また、所定の閾値であるパケット流量閾値と差分パケット流量閾値を、受信端末アドレス毎に予め設定することを可能とし、異常トラヒックから防御すべきサーバ等の処理能力を加味して、制御命令の更新判断を行うことを可能としている。
図7の制御命令テーブル例では、新たに「差分超過閾値」フラグが追加されている。本フラグは、図9のパケット情報のメッセージ例で新たに追加されたパケット情報の「差分受信パケット流量」に対する差分パケット流量閾値の評価結果を記録するフラグである。
図8は、図2に記載の閾値テーブル1cの構成例である。「受信端末アドレス」毎に予め、「パケット流量閾値」と「差分パケット流量閾値」を決定しておくことが可能となる。この際、受信端末アドレスは一のIPアドレス単位としてもよいし、図8に示すように、ネットワークアドレス単位に決定し設定してもよい。
図10及び11は、新たに追加した差分超過閾値フラグ、差分受信パケット流量及び差分パケット流量閾値に関する処理ステップが、S215、S219及びS220に記載されている。なお、S215及び219のフローチャートは、図11に個別フローチャートとして記載されている。
図10は、処理ステップ(S215,S219,S220)以外の処理ステップについては、実施例1の図5と同じであるので、処理ステップ(S215,S219,S220)についてのみ説明する。
処理ステップ(S215)と処理ステップ(S219)は同じ処理を行うステップであり、図11に詳細が示されている。図11において、aの受信パケット流量lがパケット流量閾値以上かどうかを判断し(S301)、閾値以上の場合は、bの閾値超過フラグを1に更新する(S302)。aの差分受信パケット流量が差分パケット流量閾値以上かどうかを判断し(S303)、閾値以上の場合は、bの差分閾値超過フラグを1に更新する(S304)。処理ステップ(S301)で閾値以上でない場合は、aの差分受信パケットが差分パケット流量閾値以上かどうかを判断し(S305)、閾値以上の場合は、bの差分閾値超過フラグを1に更新する(S306)。
また、処理ステップ(S220)においては次のように処理を行う。閾値超過、差分閾値超過及び追加フラグが共に値1のレコードの受信端末アドレスを、「設定」とする。判定対象、監視及び閾値超過フラグの全てが値1、かつ、追加フラグが値0のレコードの受信端末アドレスを、「変更」とする。判定対象フラグが値1、かつ、監視及び追加フラグが共に値0のレコードの受信端末アドレスを、「解除」とする。判定対象及び監視フラグが共に値1、かつ、閾値超過及び追加フラグが共に値0のレコードの受信端末アドレスを、「情報表示」とする。追加フラグが値1、かつ、閾値フラグ及び差分閾値超過フラグが値0のレコードの受信端末アドレスを、「無処理」とする。そして、この制御命令管理識別子をオペレータインターフェース部1mへ出力する。
以上のフローチャートに記載した動作の整理として、パケット情報で通知される受信端末アドレスに対して、パケット流量閾値及び差分パケット流量閾値の評価を行い、制御命令識別子の割当処理を行う評価要件を図12にまとめている。
図12は、実施例1の図6の「制御命令管理識別子」の欄を、「差分パケット流量閾値の評価」が「閾値以上」と「閾値以下」で分けたものである。(a)は制御命令実行中の受信端末アドレスの評価要件であり、(b)は制御命令が実行中でない受信端末アドレスの評価要件である。図12(a)、すなわち、制御命令実行中の受信端末アドレスについては、図6(a)と同じである。一方、図12(b)、すなわち、制御命令が実行中でない受信端末アドレスについては、図6(b)とは異なり、「パケット流量閾値が閾値以上」かつ「差分パケット流量閾値が閾値以上」の場合のみ、制御命令管理識別子(設定)が割当られ、それ以外の場合は、制御命令管理識別子(無処理)が割当られる。
実施例1と同様に、制御命令管理識別子がオペレータインターフェースへ出力された後、オペレータが、受信端末アドレス毎に通知される制御命令管理識別子に基づいて制御判断を行い、制御命令が制御機能3−1〜3に送信され、同時に、制御命令テーブル1a(図7)の「制御命令」の欄に、その値(「制御機能1」等)が記述される。
以上、実施例1と実施例2に基づいて、本発明の実施例のネットワーク管理装置のパケット制御命令管理方法を詳細に説明したが、一般的には、次のようにパケット制御命令を管理する。まず、ネットワーク管理装置は、パケット情報受信手段と実行中制御命令特定手段と制御命令更新判定手段と判定結果出力手段とを有する。そして、前記パケット情報受信手段が、前記監視機能が通知するパケット情報を受信する。次に、前記実行中制御命令特定手段が、前記パケット情報に基づいて、前記監視装置により流量変動が監視された通過パケットを疎通する中継装置と、当該中継装置が実行中の制御命令及び受信端末アドレスとを特定する。次に、前記制御命令更新判定手段が、特定された受信端末アドレスと前記パケット情報が通知する受信端末アドレスとを比較して受信端末アドレス毎に制御命令が実行中であるか否かを判定し、当該パケット情報が通知するパケット流量の値と所定のパケット流量閾値とを比較して当該受信端末アドレス毎にパケット制御の必要性を判定することにより、当該受信端末アドレス毎に制御命令の登録、解除及び変更を含む状態の更新判定を行う。そして、前記判定結果出力手段が、前記制御命令更新判定ステップ後、前記受信端末アドレス毎に前記更新判定の結果を出力する。
以上、本発明者によってなされた発明を、前記実施形態に基づき具体的に説明したが、本発明は、前記実施形態に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
本発明の実施形態のネットワークとネットワーク管理機能を示す図である。 本発明の実施形態のネットワーク管理機能の機能ブロック図である。 実施例1の制御命令テーブルの構成例である。 実施例1のパケット情報のメッセージ例である。 実施例1のフローチャートである。 実施例1の制御命令管理識別子の評価要件を示す図である。 実施例2の制御命令テーブルの構成例である。 実施例2の閾値テーブルの構成例である。 実施例2のパケット情報のメッセージ例である。 実施例2のフローチャート(その1)である。 実施例2のフローチャート(その2)である。 実施例2の制御命令管理識別子の評価要件を示す図である。
符号の説明
1…ネットワーク管理機能、1a…制御命令テーブル、1b…ネットワーク管理部、1c…閾値テーブル、1d…監視機能選択部、1e…制御機能選択部、1f、1g…監視機能通信部、1h…監視機能送受信インターフェース、1i、1j、1k…制御機能通信部、1l…制御機能送受信インターフェース、1m…オペレータインターフェース部、2−1〜2、22−1〜2…監視機能、3−1〜3、23−1〜3…制御機能、4−1〜3…中継装置。

Claims (3)

  1. パケットを疎通する複数の中継装置と、前記複数の中継装置の通過パケットを監視する複数の監視機能と、制御命令に従って前記中継装置を制御する複数の制御機能を含むネットワークにおいて、前記制御命令を管理するネットワーク管理機能を備えるネットワーク管理装置のパケット制御命令管理方法であって、
    前記ネットワーク管理装置は、パケット情報受信手段と実行中制御命令特定手段と制御命令更新判定手段と判定結果出力手段とを有し、
    前記パケット情報受信手段が、前記監視機能により通過パケットを監視される中継装置の識別子である中継装置識別子と、当該中継装置が収容する受信端末のアドレスである受信端末アドレスと、当該受信端末の受信パケット流量を含むパケット情報を、前記監視機能から受信するパケット情報受信ステップと、
    前記実行中制御命令特定手段が、前記パケット情報に含まれる中継装置識別子を用いて中継装置識別子と受信端末アドレスと制御命令を含むレコードを記録可能であり、中継装置識別子により、レコード検索可能なテーブルである制御命令テーブルを検索し、前記監視機能により流量変動が監視された通過パケットを疎通する中継装置と、当該中継装置が実行中の制御命令及び受信端末アドレスとを含む判定対象レコードを特定する実行中制御命令特定ステップと、
    前記制御命令更新判定手段が、前記実行中制御命令特定ステップで特定された判定対象レコードの受信端末アドレスと前記パケット情報が通知する受信端末アドレスとを比較して一致する場合は、当該パケット情報が通知するパケット流量の値と所定のパケット流量閾値とを比較して当該受信端末アドレス毎にパケット制御の必要性を判定し、一致しない場合は、前記制御命令テーブルに新規レコードを生成し当該パケット情報が通知するパケット流量の値と所定のパケット流量閾値とを比較して当該受信端末アドレス毎にパケット制御の必要性を判定することにより、当該受信端末アドレス毎に制御命令の登録、解除及び変更を含む状態の更新判定を行う制御命令更新判定ステップと、
    前記判定結果出力手段が、前記制御命令更新判定ステップ後、前記受信端末アドレス毎に前記更新判定の結果を出力する判定結果出力ステップと、
    を備えることを特徴とするパケット制御命令管理方法。
  2. 請求項1に記載のパケット制御命令管理方法であって
    前記制御命令テーブルは、中継装置識別子と受信端末アドレスと制御命令とフラグを含むレコードを記録可能であり、中継装置識別子と受信端末アドレスとにより、レコード検索可能なテーブルであり、
    記実行中制御命令特定手段は、前記実行中制御命令特定ステップにおいて
    特定した判定対象レコードについて、検索された旨のフラグ値である判定対象フラグ値を当該判定対象レコードの記録域に記録し、
    前記制御命令更新判定手段は、前記制御命令更新判定ステップにおいて、
    前記判定対象レコードが記録する受信端末アドレスの全てと、前記パケット情報が含む受信端末アドレスの全てとを比較する受信端末アドレス比較ステップを実施した結果、当該二つの受信端末アドレスが一致する場合、
    当該受信端末アドレスを記録する当該判定対象レコードの記録域に、当該受信端末アドレス宛のパケット流量が前記監視機能により監視されている旨を示すフラグ値である監視フラグ値を記録する第一の状態更新ステップを実施し、当該第一の状態更新ステップを実施したうえで、当該パケット情報が含む当該受信端末アドレス宛のパケット流量の値が、所定のパケット流量閾値よりも大きいとき、当該判定対象レコードの記録域に閾値超過フラグ値を記録し、
    前記受信端末アドレス比較ステップを実施した結果、前記二つの受信端末アドレスが一致せず、かつ前記パケット情報に含まれ前記制御命令テーブルに記録されていない受信端末アドレスが存在する場合、
    当該制御命令テーブルに新たなレコードを追加し、当該レコードの記録域に当該パケット情報が含む中継装置識別子及び当該受信端末アドレス、並びに判定対象フラグ値、監視フラグ値及び新たなレコードを追加した旨のフラグ値である追加フラグ値を記録する第二の状態更新ステップを実施し、当該第二の状態更新ステップを実施したうえで、当該受信端末アドレス宛のパケット流量の値が、前記パケット流量閾値よりも大きいとき、当該レコードの記録域に閾値超過フラグ値を記録し、
    前記制御命令出力手段は、前記制御命令出力ステップにおいて、
    前記制御命令テーブルを検索し、判定対象フラグ値、監視フラグ値、閾値超過フラグ値、及び追加フラグ値に対する所定のフラグ値組合せである制御命令管理識別子に該当するレコードを特定し、当該レコードが記録する受信端末アドレスを当該制御命令管理識別子とともに出力する、
    ことを特徴とするパケット制御命令管理方法。
  3. 請求項2に記載のパケット制御命令管理方法であって、
    前記パケット情報受信手段は、前記パケット情報受信ステップにおいて、
    受信パケット流量の時系列波形変化情報である差分受信パケット流量を含むパケット情報を受信し、
    前記制御命令更新判定手段は、前記制御命令更新判定ステップにおいて、
    差分受信パケット流量に対する閾値である差分パケット流量閾値と前記パケット流量閾値を受信端末アドレス毎に記録した閾値テーブルを使用し、
    前記受信端末アドレス比較ステップを実施した結果、
    前記第一の状態更新手段又は第二の状態更新手段を実施したうえで、
    当該受信端末アドレスに該当する閾値テーブルが記録するパケット流量閾値と差分パケット流量閾値を、前記パケット情報の当該受信端末アドレスに該当する受信パケット流量と差分受信パケット流量に対して各々比較し、
    当該受信パケット流量の値が当該パケット流量閾値より大きいとき、当該受信端末アドレスを記録する前記判定対象レコードの記録域に閾値超過フラグ値を記録し、
    当該差分受信パケット流量の値が当該差分パケット流量閾値より大きいとき、当該判定対象レコードの記録域に差分閾値超過閾値フラグ値を記録し、
    前記制御命令出力手段は、前記制御命令出力ステップにおいて、
    前記制御命令テーブルを検索し、判定対象フラグ値、監視フラグ値、閾値超過フラグ値、差分閾値超過フラグ値、及び追加フラグ値に対する所定のフラグ値組合せに該当するレコードを特定し、当該レコードが記録する受信端末アドレスを、当該フラグ値組合せの所定の識別子である制御命令管理識別子とともに出力する、
    ことを特徴とするパケット制御命令管理方法。
JP2007044902A 2007-02-26 2007-02-26 パケット制御命令管理方法 Expired - Fee Related JP4361570B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007044902A JP4361570B2 (ja) 2007-02-26 2007-02-26 パケット制御命令管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007044902A JP4361570B2 (ja) 2007-02-26 2007-02-26 パケット制御命令管理方法

Publications (2)

Publication Number Publication Date
JP2008211415A JP2008211415A (ja) 2008-09-11
JP4361570B2 true JP4361570B2 (ja) 2009-11-11

Family

ID=39787363

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007044902A Expired - Fee Related JP4361570B2 (ja) 2007-02-26 2007-02-26 パケット制御命令管理方法

Country Status (1)

Country Link
JP (1) JP4361570B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8955092B2 (en) * 2012-11-27 2015-02-10 Symantec Corporation Systems and methods for eliminating redundant security analyses on network data packets

Also Published As

Publication number Publication date
JP2008211415A (ja) 2008-09-11

Similar Documents

Publication Publication Date Title
US11153184B2 (en) Technologies for annotating process and user information for network flows
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4371905B2 (ja) 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
US20110270957A1 (en) Method and system for logging trace events of a network device
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
JP2016508353A (ja) ネットワークメタデータを処理する改良されたストリーミング方法およびシステム
CN113489711B (zh) DDoS攻击的检测方法、系统、电子设备和存储介质
US8161555B2 (en) Progressive wiretap
JP4361570B2 (ja) パケット制御命令管理方法
Mugitama et al. An evidence-based technical process for openflow-based SDN forensics
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP2006050442A (ja) トラヒック監視方法及びシステム
JP6441721B2 (ja) 制御装置、制御方法及びプログラム
Mohammadi et al. Detecting malicious packet drops and misroutings using header space analysis
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法
CN115021953B (zh) 一种网络安全监控装置
US11991063B2 (en) Anomaly detection device, anomaly detection method, and program
JP2004096246A (ja) データ伝送方法、データ伝送システム及びデータ伝送装置
JP4190508B2 (ja) ネットワーク制御システムおよびネットワーク制御方法
KR20100071763A (ko) 분산서비스거부 공격 탐지 장치 및 그 방법
JP2019024272A (ja) 制御装置、制御方法及びプログラム
JP2016092756A (ja) 制御装置、通信システム、ループ抑止方法及びプログラム
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090811

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090812

R150 Certificate of patent or registration of utility model

Ref document number: 4361570

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120821

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130821

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees