JP4512196B2 - 異常トラヒックの検出方法およびパケット中継装置 - Google Patents

異常トラヒックの検出方法およびパケット中継装置 Download PDF

Info

Publication number
JP4512196B2
JP4512196B2 JP2005305443A JP2005305443A JP4512196B2 JP 4512196 B2 JP4512196 B2 JP 4512196B2 JP 2005305443 A JP2005305443 A JP 2005305443A JP 2005305443 A JP2005305443 A JP 2005305443A JP 4512196 B2 JP4512196 B2 JP 4512196B2
Authority
JP
Japan
Prior art keywords
flow
packets
bytes
total number
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005305443A
Other languages
English (en)
Other versions
JP2007116405A5 (ja
JP2007116405A (ja
Inventor
一暁 土屋
博 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2005305443A priority Critical patent/JP4512196B2/ja
Priority to CN2006100550492A priority patent/CN1953392B/zh
Priority to US11/365,500 priority patent/US7729271B2/en
Publication of JP2007116405A publication Critical patent/JP2007116405A/ja
Publication of JP2007116405A5 publication Critical patent/JP2007116405A5/ja
Application granted granted Critical
Publication of JP4512196B2 publication Critical patent/JP4512196B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks

Description

本発明は、ネットワークにおけるDoS(Denial of Service)アタックの可能性のある異常トラヒックの検出方法およびそれに用いるパケット中継装置に関する。
DoSアタックはサービス不能攻撃とも呼ばれ、その代表的なものとして、攻撃者が標的に対してネットワーク経由で非常に多くのアクセスを仕掛けることによって標的の資源(メモリやCPUパワー等)を消費させ、本来のサービスを実行できなくさせるものある。標的として攻撃されるのは、ネットワークやネットワークに接続して各種サービスを行う装置(サーバ、パケット中継装置(ルータ/スイッチ)等)である。
DoSアタックを検出する技術としては、NetFlowの名称で知られるフロー監視機能がある。NetFlowは、非特許文献1等で規定されている。NetFlowは、パケット中継装置がパケットを受信した際、1/nの割合(nパケット毎に1パケットの割合)でパケットをサンプリングし、7つの情報((1)始点IPアドレス、(2)終点IPアドレス、(3)IP上位プロトコル番号、(4)TCP(またはUDP)始点ポート番号、(5)TCP(またはUDP)終点ポート番号、(6)IP TOS(IPv6ではFlowLabel)、(7)入力インタフェースのSNMP index番号)が同一値を持つ一連のパケット(「フロー」と呼ぶ)毎のパケット数やバイト数を統計として計数する。パケット中継装置は、次の条件の一つが成立したとき、フローの統計と関連情報をNetFlow export datagram(非特許文献1に記載)のフォーマットに整形し、コレクタと呼ぶ外部サーバに送信する。
その条件とは、(1)フローの無通信時間が予め定めた時間を超えた場合、(2)フローのTCPコネクション終了時(TCP FIN=ON または RST=ONのパケット受信時)、(3)フローの通信時間が予め定めた時間を超えた場合、である。
コレクタは、その統計と関連情報を解析することによって、パケット数やバイト数が著しく多いフロー(DoSアタックの疑いのあるフロー)を検出する。
B. Claise、"Cisco Systems NetFlow Services Export Version 9"、[online]、2004年10月、IETF、[平成17年8月22日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3954.txt?number=3954>
パケット中継装置は、上述した条件の一つが成立した場合に、フローの統計と関連情報をコレクタに送信する。しかし、パケット中継装置はその間フロー毎の統計を取るために、非常に多くの資源(主にメモリ)を用意しなければならない。しかしながらネットワークに流れる大半のフローの統計値(パケット数やバイト数)は小さく、DoSアタックの解析では殆ど使う必要の無い情報である。このため、コレクタは統計値の大きいもの(例えばトップ10)は個別表示しても、その他は「other」として纏めて扱うか、表示しないのが通例である。
またパケット中継装置は、上述した条件となったとき、フローの統計と関連情報をコレクタに送信する。しかし、この方法ではフローの終了後にしかコレクタはパケット数やバイト数が著しく多いフロー(異常トラヒックすなわちDoSアタックの疑いのあるフロー)を検出することしか出来ない。
本発明の目的は、攻撃者が標的に対してネットワーク経由で非常に多くのアクセスを仕掛けることによって標的の資源を消費させ、本来のサービスを実行できなくさせるDoSアタックのフローを、少ない資源で効率的に検出するための異常トラヒックの検出方法およびそれに用いるパケット中継装置を提供することにある。
異常トラヒックのフローを効率的に検出する方法であって、パケット中継装置はパケットを受信した際に1/nの割合でサンプリングしたパケットに対して、
(a)単位時間当たりに受信したフローのパケット数あるいはバイト数が予め定めた閾値を超えているものについては各フロー単位でパケット数やバイト数を統計として計数し、無通信時間が予め定めた時間を超えた場合、TCPコネクション終了時、または通信時間が予め定めた時間を超えた場合に、当該フローの統計と関連情報をNetFlow export datagramのフォーマットに整形し、コレクタに送り、
(b)単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値を超えていないものについてはOtherフロー(アザーフロー)として纏めてパケット数やバイト数を統計として計数し、Otherフローの統計としてNetFlow export datagramのフォーマットに整形し、定期的にコレクタに送る。
上記の異常トラヒック検出方法によれば、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値を超えないものは、パケット中継装置でOtherフローとして纏めて計数するため、ネットワークに流れる大半のフロー(統計値が小さい)の統計を取るために非常に多くの資源を用意する必要がなくなる。一方、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値を超えているものについては各フロー単位で計数してコレクタに送付するので、少ない資源で効率的に異常トラヒックを検出することができるようになる。
また、単位時間あたりに受信したフローのパケット数あるいはバイト数が閾値を超えるか否かで個別フローで計数するかOtherフローで計数するか分けるのではなく、フローのパケット数あるいはバイト数のピークレートが閾値を超えるか否かで個別フローで計数するかOtherフローで計数するか分ける方法も考えられる。
この異常トラヒックの検出方法によれば、瞬間的に発生したDoSアタックについても検出することができるようになる。
本発明によれば、DoSアタックの疑いのある異常トラヒックのフローを効率良く検出できる。
以下、本発明の実施の形態について、実施例を用いて図面を参照しながら説明する。なお、実施例は発明を限定するものではない。すなわち、インターネットプロトコルのバージョンは、IPv4で説明し、上位プロトコルはTCPで説明するが、これらに限られない。
図1は、ネットワークのブロック図である。図1において、ネットワーク100は、ネットワーク2とネットワーク3とネットワーク4と、ネットワーク2〜4と間でパケットを中継するパケット中継装置10とから構成される。ここでは、ネットワーク2に攻撃者の端末5が、存在する。また、ネットワーク3に攻撃者の標的であるサーバ6が、ネットワーク4にコレクタ7(統計情報解析サーバ)が、存在する。
パケット中継装置10は、パケット中継処理部11とパケットサンプル部12とフロー統計計数部13とフロー統計生成部14と複数のインタフェース22〜24とから構成される。パケット中継処理部11、パケットサンプル部12、フロー統計計数部13、フロー統計生成部14は、いずれもCPU、ASIC、RAM、ROM等の電子デバイスで構成される。
パケット中継処理部11は、経路制御処理を実行して経路テーブル111を作成し、経路テーブル111に基づきネットワーク2〜ネットワーク4の間でパケットを中継するユニットである。パケットサンプル部12は、パケット中継処理部11がネットワーク2〜ネットワーク4から受信したパケットを1/nの割合でサンプリングしてフロー統計計数部13にコピーして渡す。ここでnは正整数であり、ネットワーク規模に対応して、1を含んで非常に大きい数値を取りうる。
フロー統計計数部13は、パケットサンプル部12から渡されたパケットに対して、7つの情報((1)始点IPアドレス、(2)終点IPアドレス、(3)IP上位プロトコル番号、(4)TCP始点ポート番号、(5)TCP終点ポート番号、(6)IP TOS、(7)入力インタフェースのSNMP index番号)が同一値を持つ一連のパケット(フロー)毎のパケット数やバイト数をフロー統計テーブル131に計数(集計)する。フロー統計計数部13は、以下に記載の条件の一つが満たされたとき、フローの統計と関連情報(NetFlow export datagramとして送付する情報で、パケット中継装置10内の経路テーブル111、フロー統計テーブル131ほかで保持する)をフロー統計生成部14に渡す。ここで、フロー統計計数部13が、フローの統計と関連情報をフロー統計生成部14に渡す条件は、以下のケースである。すなわち、(1)フローの無通信時間が予め定めた時間を超えた場合、(2)フローのTCPコネクション終了時、(3)フローの通信時間が予め定めた時間を超えた場合、である。
フロー統計生成部14は、フロー統計計数部13から渡されたフローの統計と関連情報をNetFlow export datagramのフォーマットに整形し、コレクタ7への送信をパケット中継処理部11に指示して渡す。パケット中継処理部11は、NetFlow export datagramを、ネットワーク4のコレクタ7に送信する。
図2は、IPv4のIPデータグラムフォーマットを説明する図である。図2において、IPデータグラムフォーマット200は、IPv4ヘッダ210と上位データ250とで構成されている。また、IPv4ヘッダ210は、バージョン211、ヘッダ長212、IP TOS213、パケット長214、フラグメントID215、フラグ216、フラグメント・オフセット217、生存時間(TTL:Time To Live)218、上位プロトコル番号219、ヘッダチェックサム220、始点IPアドレス221、終点IPアドレス222で構成されている。さらに、上位データ250は、TCPヘッダの一部であるTCP始点ポート番号251とTCP終点ポート番号252、TCPデータおよびユーザデータであるTCP+ユーザデータ253で構成されている。この場合、バージョン211にはIPv4なので「4」、ヘッダ長212には「5」、上位プロトコル番号219にはTCPなので「6」が入る。
フロー統計係数部13がフローを定義付ける(1)始点IPアドレスは、始点IPアドレス221である。同様に、(2)終点IPアドレスは、終点IPアドレス222である。(3)IP上位プロトコル番号は、IP上位プロトコル番号219である。(4)TCP始点ポート番号は、TCP始点ポート番号251である。(5)TCP終点ポート番号は、TCP終点ポート番号252である。さらに(6)IP TOSは、IP TOS213である。一方、(7)入力インタフェースのSNMP index番号は、物理インタフェース番号である。
図3は、経路テーブルの構成図である。経路テーブル111は、経路制御処理で獲得したIPアドレスと出力ネットワークに関する情報(出力インタフェースのSNMP index番号、次ホップIPアドレス等)の関係を保持するテーブルである。経路テーブル111は、キーをメモリに与えると各記憶データの間でキーと比較論理を取り、連想条件にあったデータ・アドレスにフラグを立てる検索機能を有するCAM(Content Addressable Memory:連想メモリ)またはRAM等の電子デバイスで構成される。
図3において、経路テーブル111は、複数の経路情報120から構成されている。経路情報120のエントリは、終点IPアドレス121、終点IPアドレスのプレフィックスマスクビット数122、次ホップIPアドレス123、終点IPアドレスのAS番号124、次ホップIPアドレスのAS番号125、出力インタフェースのSNMP index番号126である。
図4は、フロー統計テーブルの構成図である。フロー統計テーブル131は、フローを識別する7つの情報と、パケット数やバイト数の計数値、および当該フローの関連情報を保持するためのテーブルであり、CAMまたはRAM等の電子デバイスで構成される。
図4において、フロー統計テーブル131は、複数フローの統計データである複数のエントリ150から構成されている。エントリ150は、始点IPアドレス151、終点IPアドレス152、次ホップIPアドレス153、入力インタフェースのSNMP index番号154、出力インタフェースのSNMP index番号155、フローのL3パケットの総数156、フローのL3パケットの総バイト数157、フロー開始パケット受信時のSysUptime158、フロー終了パケット受信時のSysUptime159、TCP始点ポート番号160、TCP終点ポート番号161、PAD162、TCPフラグの累積163、IP上位プロトコル番号164、IP TOS165、始点側隣接ビア何れかのAS番号166、終点側隣接ビア何れかのAS番号167、始点IPアドレスのプレフィックスマスクビット数168、終点IPアドレスのプレフィックスマスクビット数169である。
フロー統計係数部13がフローを決定付ける(1)始点IPアドレスは、始点IPアドレス151である。同様に、(2)終点IPアドレスは、終点IPアドレス152である。(3)IP上位プロトコル番号は、IP上位プロトコル番号164である。(4)TCP始点ポート番号は、TCP始点ポート番号160である。(5)TCP終点ポート番号は、TCP終点ポート番号161である。さらに(6)IP TOSは、IP TOS165である。(7)入力インタフェースのSNMP index番号は、入力インタフェースのSNMP index番号154である。
なお、フロー統計テーブル131の最終エントリ(「エントリZ」と呼ぶ)は、個別フローとして計数する必要が無いと判断したフローのパケット数やバイト数の計数(再集計)に用いる。すなわち、フロー個別の情報は意味がない。したがって、7つの情報には「0(ゼロ)」を設定する。
図5は、パケット中継装置のフロー毎のパケット数およびバイト数の計数動作のフローチャートである。先ず新規フロー(フローAと呼ぶ)のパケットを受信した場合のパケット中継装置10の動作について説明する。中継処理部11フローAのパケットを受信処理し、経路テーブル111に基づいてパケットを中継処理する(S101)。パケットサンプル部12は、パケット中継処理部11が中継処理するパケットを1/nの割合でサンプリングし(S102)、サンプリングにヒットした場合はフロー統計計数部13にコピーして渡す。なお、サンプリングにミスヒットした場合は、何もせず処理終了する。
フロー統計計数部13は、パケットサンプル部12から渡されたパケットに対して、7つの情報((1)始点IPアドレス、(2)終点IPアドレス、(3)IP上位プロトコル番号、(4)TCP(UDP)始点ポート番号、(5)TCP(UDP)終点ポート番号、(6)IP TOS(IPv6ではFlowLabel)、(7)入力インタフェースのSNMP index番号が同一値を持つエントリをフロー統計テーブル131の中から探す(S103)。ここでは、新規フローなので一致するエントリが無いため、フロー統計計数部13は、エントリZのパケット数およびバイト数に当該パケット分を加算するとともに、フローA用のエントリ(エントリAと呼ぶ)を新たに作成し、関連情報を登録する。なおエントリAのパケット数およびバイト数は、「0」に設定する(S104)。これは、ダブルカウントしないためである。
次に、フローAの後に再びフローAのパケットを受信した場合のパケット中継装置10の動作について説明する。中継処理部11フローAの後続パケットを受信処理し、経路テーブル111に基づいて、パケットを中継処理する(S101)。パケットサンプル部12は、パケット中継処理部11が中継処理するパケットを1/nの割合でサンプリングし(S102)、サンプリングにヒットした場合はフロー統計計数部13にコピーして渡す。なお、サンプリングにミスヒットした場合は何もせず、後続の処理は行わない。フロー統計計数部13は、パケットサンプル部12から渡されたパケットに対して、7つの情報が全て同一値を持つエントリをフロー統計テーブル131の中から探す(S103)。ここでは、既知のパケットなので、フロー統計計数部13は、エントリAを検出し、エントリAのパケット数およびバイト数に当該パケット分を加算する(S105)。
以上により、新規フローを検出し、フロー毎のパケット数およびバイト数を計数(集計)することが出来る。
図6は、パケット中継装置のフローの統計と関連情報をコレクタに送付する動作のフローチャートである。図6を用いて、フローの統計と関連情報をコレクタ7に送付する場合のパケット中継装置10の動作について説明する。
フロー統計計数部13は、定期的にフロー統計テーブル131を検索して4つの条件の何れかに合致するエントリを探し、各条件に対応する処理を行う。
まず、単位時間当たりに受信したフローのパケット総数が予め定めたパケット数閾値より小さい、または受信した総バイト数が予め定めたバイト数閾値より小さいエントリに該当するか判定する(S110)。この判定が、真ならば、計数した総パケット数と総バイト数をエントリZに加算(再集計)するとともに、エントリを消去する(S121)。最終エントリか判定し(S122)、真ならば、情報をNetFlow export datagramのフォーマットに整形し、これをコレクタ7に送信する(S130)。ステップ122が偽ならば、ステップ110に戻り、次エントリに対して処理を行う。
ステップ110が偽ならば、フローの無通信時間が予め定めた時間を超えているか判定し(S111)、真ならば、フローの統計と関連情報を、フロー統計生成部に渡し(S120)、ステップ122に推移する。ステップ111が偽ならば、フローのTCPコネクションが終了しているか判定する(S112)。ステップ112は、具体的にはTCP FIN=ONまたはRST=ONを判定し、真ならばステップ120、偽ならばステップ113に遷移する。ステップ113では、フローの通信時間が予め定められた時間を越えているか、判定する。ステップ113が、真ならステップ120、偽ならばステップ122に遷移する。
ステップ110の判定は、式1または式2が成立しているか判定して、実施する。
パケット総数/(フロー受信最終時刻−フロー受信開始時刻)<閾値…(1)
総バイト数/(フロー受信最終時刻−フロー受信開始時刻)<閾値…(2)
ステップ111の判定は、式3が成立しているか判定して、実施する。
現在時刻−フロー受信最終時刻≧予め定めた時間…(3)
ステップ113の判定は、式4が成立しているか判定して、実施する。
現在時刻−フロー受信開始時刻≧予め定めた時間…(4)
コレクタ7は、NetFlow export datagramを解析して、パケット数やバイト数が著しく多いフロー(DoSアタックの疑いのあるフロー)を検出する。
本実施例に拠れば、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値を超えないものはパケット中継装置10でエントリZに纏めて計数し、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値を超えるものはフロー毎に計数してコレクタ7に送付するので、パケット数やバイト数が著しく多いフローを、少ない資源で効率的に検出することができる。
なお、上述した実施例では、7つの情報が全て同一値を持つ一連のパケットをフローと定義し、フロー毎のパケット数やバイト数を統計として計数しているが、7つの情報に囚われるものではない。始点IPアドレスおよび終点IPアドレスが同一値を持つ一連のパケットをフローと定義し、このフロー毎のパケット数やバイト数を統計として計数してもよい。また、IPv4に限らずIPv6であっても良い。IPv6のとき、上述した実施例のIP TOSは、FlowLabelと読み替えればよい。さらに、上位プロトコルとしてTCPを説明したが、ICMPでもUDPであっても良く、これらに限られない。上位プロトコルがUDPのとき、上述した実施例のTCP始点/終点ポート番号は、UDP始点/終点ポート番号と読み替えればよい。これは他の上位プロトコルでも同様である。また、対応する概念がないとき、全てのフローで一定値としても良い。
上述した実施例では、フロー統計計数部13は、単位時間当たりに受信したフローのパケット数あるいはバイト数が予め定めた閾値(下限値)より小さいエントリを検出し、計数したパケット数とバイト数をエントリZに加算するとともに、エントリを消去している。しかし、別の閾値(上限値)を設け、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値(上限値)を超えている場合は、該エントリの統計と関連情報をフロー統計生成部14に渡して、コレクタ7に送信させるようにしても良い。 またこの場合は、単位時間当たりに受信したフローのパケット数あるいはバイト数が閾値(上限値)を超えたことを示すSNMP Trapパケット(SNMP:Simple Network Management Protocol)を送出することによって、即時にネットワーク管理者に異常発生を知らせるようにしても良い。
また閾値(上限値)は複数でも良く、例えばレベル1の閾値(低)とレベル2の閾値(高)を設け、レベル1の開催(低)を超えた場合は当該フローをNetFlow export datagramに整形してコレクタ7に送付し、レベル2の閾値(高)を超えた場合はさらにSNMP Trapパケットを送出するようにしても良い。また単位時間当たりに受信したフローのパケット数あるいはバイト数が上位n(nは正整数)未満のエントリは、計数したバイト数をエントリZに加算するとともに、エントリを消去しても良い。
以上により、コレクタ7では、パケット数やバイト数が著しく多いフローを早期に検出することが可能になる。なおフロー統計計数部13は、エントリの統計と関連情報をフロー統計生成部14に渡した後、エントリを消去する。
また、上述した実施例では、フロー統計計数部13は、フローの通信時間が予め定めた時間を超えているエントリを検出し、エントリの統計と関連情報をフロー統計生成部14に渡して、コレクタ7に送信させている。しかし、さらにフローのパケット数あるいはバイト数が予め定めた閾値を超えているエントリを検出し、エントリの統計と関連情報をフロー統計生成部14に渡して、コレクタ7に送信させるようにしても良い。これにより、コレクタ7では、パケット数やバイト数が著しく多いフローを早期に検出することが可能になる。なおフロー統計計数部13は、エントリの統計と関連情報をフロー統計生成部14に渡した後、エントリを消去する。
さらに、上述実施例では、フロー統計計数部13は、新規フローのエントリのパケット数およびバイト数は「0」に設定し、当該パケット分をエントリZのパケット数およびバイト数に加算している。しかし、当該パケット分を新規フローのエントリのパケット数およびバイト数に加算するようにしても良い。以上により、コレクタ7では、パケット数やバイト数が著しく多いフローのパケット数およびバイト数をより正確に把握することが可能になる。
上述した実施例では、フロー統計計数部13は、7つの情報が全て同一値を持つ一連のパケットを「フロー」と定義し、フロー毎のパケット数やバイト数を統計として計数している。しかし、フローの定義(7つの情報)に出力インタフェースのSNMP index番号を追加すれば、終点IPアドレスが同じでも出力先インタフェースが異なる(ポリシールーティングまたはマルチパス等)場合のトラフィックの状況をより細かく正確に把握することが可能になる。同様に、フローの定義(7つの情報)から終点IPアドレスを削除すれば、終点IPアドレスを集約した形式での統計が得られるので、フロー統計テーブル131に用意するエントリ数を減らせるとともに、パケット数やバイト数を著しく多く送信している端末(DoSアタックを仕掛けている疑いのある端末)を早期に検出することが可能になる。
また、他の変形例として、フロー統計計数部13は、ステップ105において、エントリAのパケット数およびバイト数に当該パケット分を加算する前に、当該パケット分に係わるパケット数あるいはバイト数の受信レート(式5あるいは式6)を計算し、予め定めた閾値より大きい場合は、当該パケット分を加算した後、該エントリの統計と関連情報をフロー統計生成部14に渡して、コレクタに送信させるようにしても良い。これにより、コレクタでは、瞬間的にパケット数やバイト数が著しく多いフロー(DoSアタックの疑いのあるフロー)を早期に検出することが可能になる。なおフロー統計計数部13は、エントリの統計と関連情報をフロー統計生成部14に渡した後、エントリを消去する。
1/(現在時刻−フロー受信最終時刻)≧閾値…(5)
パケットのバイト数/(現在時刻−フロー受信最終時刻)≧閾値…(6)
なお、上述した各実施例で用いた各閾値および各予め定めた時間は、互いに独立で、パケット中継装置の管理者によって任意の値に変更できる。
ネットワークのブロック図である。 IPv4のIPデータグラムフォーマットを説明する図である。 経路テーブルの構成図である。 フロー統計テーブルの構成図である。 パケット中継装置のフロー毎のパケット数およびバイト数の計数動作のフローチャートである。 パケット中継装置のフローの統計と関連情報をコレクタに送付する動作のフローチャートである。
符号の説明
2〜4…ネットワーク、5…端末、6…サーバ、7…コレクタ(統計情報解析サーバ)、10…パケット中継装置、11…パケット中継処理部、12…パケットサンプル部、13…フロー統計計数部、14…フロー統計生成部、22〜24…インタフェース、100…ネットワーク、111…経路テーブル、120…経路情報、150…エントリ、131…フロー統計テーブル、200…IPデータグラムフォーマット、210…IPv4ヘッダ、250…上位データ。

Claims (5)

  1. 受信したパケットをサンプリングし、サンプリングしたパケットの数または前記サンプリングしたパケットのバイト数をフローごとに集計し、フローごとに集計したパケット総数または総バイト数を予め定めた条件でコレクタに送信する異常トラヒックの検出方法において、
    コレクタに送信するに先立って、カウントしたパケット総数または総バイト数が閾値未満のフローをアザーフローとして集計し、前記閾値以上のフローと前記アザーフローとの前記パケット総数または前記総バイト数を前記コレクタに送信することを特徴とする異常トラヒックの検出方法。
  2. 受信したパケットをサンプリングし、サンプリングしたパケットの数または前記サンプリングしたパケットのバイト数をフローごとに集計し、フローごとに集計したパケット総数または総バイト数を予め定めた条件でコレクタに送信する異常トラヒックの検出方法において、
    nを正整数として、前記コレクタに送信するに先立って、カウントした前記パケット総数または前記バイト総数が、予め定めた上位n未満のフローをアザーフローとして集計し、前記上位nのフローと前記アザーフローとの前記パケット総数または前記バイト総数を前記コレクタに送信することを特徴とする異常トラヒックの検出方法。
  3. 経路テーブルに基づいてパケットを中継するパケット中継処理部と、前記パケット中継処理部が受信したパケットをサンプリングするパケットサンプル部と、前記パケットサンプル部から受信したパケットを用いてフロー統計テーブルに集計するフロー統計計数部と、前記フロー統計計数部から受信した情報を所定のフォーマットに整形するフロー統計生成部とからなり、整形された情報を前記パケット中継処理部から送出するパケット中継装置において、
    前記フロー統計計数部は、単位時間当たりに受信したパケット総数または総バイト数が閾値未満のフローをまとめて一つのフローとして集計することを特徴とするパケット中継装置。
  4. 請求項3に記載のパケット中継装置であって、
    前記フロー統計計数部は、単位時間当たりに受信したフローのパケット数またはバイト数を監視し、監視した前記パケット数または前記バイト数が閾値を超えたとき、前記整形された情報を前記パケット中継処理部から送出することを特徴とするパケット中継装置。
  5. 請求項3に記載のパケット中継装置であって、
    前記フロー統計計数部は、受信したフローのパケット数またはバイト数を監視し、監視した前記パケット数または前記バイト数が閾値を超えたとき、前記整形された情報を前記パケット中継処理部から送出することを特徴とするパケット中継装置。
JP2005305443A 2005-10-20 2005-10-20 異常トラヒックの検出方法およびパケット中継装置 Expired - Fee Related JP4512196B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2005305443A JP4512196B2 (ja) 2005-10-20 2005-10-20 異常トラヒックの検出方法およびパケット中継装置
CN2006100550492A CN1953392B (zh) 2005-10-20 2006-02-28 异常通信量的检测方法和数据包中继装置
US11/365,500 US7729271B2 (en) 2005-10-20 2006-03-02 Detection method for abnormal traffic and packet relay apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005305443A JP4512196B2 (ja) 2005-10-20 2005-10-20 異常トラヒックの検出方法およびパケット中継装置

Publications (3)

Publication Number Publication Date
JP2007116405A JP2007116405A (ja) 2007-05-10
JP2007116405A5 JP2007116405A5 (ja) 2008-01-17
JP4512196B2 true JP4512196B2 (ja) 2010-07-28

Family

ID=38053356

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005305443A Expired - Fee Related JP4512196B2 (ja) 2005-10-20 2005-10-20 異常トラヒックの検出方法およびパケット中継装置

Country Status (3)

Country Link
US (1) US7729271B2 (ja)
JP (1) JP4512196B2 (ja)
CN (1) CN1953392B (ja)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7434254B1 (en) * 2002-10-25 2008-10-07 Cisco Technology, Inc. Method and apparatus for automatic filter generation and maintenance
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
US7697418B2 (en) * 2006-06-12 2010-04-13 Alcatel Lucent Method for estimating the fan-in and/or fan-out of a node
US8059532B2 (en) * 2007-06-21 2011-11-15 Packeteer, Inc. Data and control plane architecture including server-side triggered flow policy mechanism
US8644151B2 (en) * 2007-05-22 2014-02-04 Cisco Technology, Inc. Processing packet flows
JP4667437B2 (ja) * 2007-10-02 2011-04-13 日本電信電話株式会社 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム
CN101159673B (zh) * 2007-11-01 2010-06-23 杭州华三通信技术有限公司 一种随机抽样方法和装置
US8284696B2 (en) * 2007-12-17 2012-10-09 Cisco Technology, Inc. Tracking customer edge traffic
JP4898648B2 (ja) * 2007-12-19 2012-03-21 日本電信電話株式会社 高パケットレートフローのオンライン検出方法およびそのためのシステムならびにそのためのプログラム
DE102008007672B4 (de) * 2008-01-25 2016-09-22 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk
JP4988632B2 (ja) * 2008-03-19 2012-08-01 アラクサラネットワークス株式会社 パケット中継装置およびトラフィックモニタシステム
JP5014282B2 (ja) * 2008-08-06 2012-08-29 アラクサラネットワークス株式会社 通信データ統計装置、通信データ統計方法およびプログラム
JP4717106B2 (ja) * 2008-09-11 2011-07-06 株式会社日立製作所 フロー情報処理装置及びネットワークシステム
US7855967B1 (en) * 2008-09-26 2010-12-21 Tellabs San Jose, Inc. Method and apparatus for providing line rate netflow statistics gathering
KR101094628B1 (ko) * 2008-12-23 2011-12-15 주식회사 케이티 타임스탬프를 이용한 실시간 서비스 모니터링 네트워크 장치 및 그 방법
US8005012B1 (en) * 2009-01-30 2011-08-23 Juniper Networks, Inc. Traffic analysis of data flows
KR101231801B1 (ko) * 2009-07-14 2013-02-08 한국전자통신연구원 네트워크 상의 응용 계층 보호 방법 및 장치
US8543807B2 (en) 2009-07-14 2013-09-24 Electronics And Telecommunications Research Institute Method and apparatus for protecting application layer in computer network system
KR101268621B1 (ko) * 2009-12-21 2013-05-29 한국전자통신연구원 동적 플로우 샘플링 장치 및 방법
CN102137059B (zh) * 2010-01-21 2014-12-10 阿里巴巴集团控股有限公司 一种恶意访问的拦截方法和系统
US9923996B1 (en) 2010-02-27 2018-03-20 Sitting Man, Llc Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
US9923995B1 (en) 2010-02-27 2018-03-20 Sitting Man, Llc Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
US8219606B2 (en) * 2010-02-27 2012-07-10 Robert Paul Morris Methods, systems, and computer program products for sharing information for detecting an idle TCP connection
CN101800707B (zh) 2010-04-22 2011-12-28 华为技术有限公司 建立流转发表项的方法及数据通信设备
US8923158B2 (en) * 2010-05-27 2014-12-30 Solarwinds Worldwide, Llc Smart traffic optimization
WO2012134932A2 (en) * 2011-03-25 2012-10-04 Adc Telecommunications, Inc. Event-monitoring in a system for automatically obtaining and managing physical layer information using a reliable packet-based communication protocol
EP2689566B1 (en) 2011-03-25 2015-09-16 ADC Telecommunications, Inc. Identifier encoding scheme for use with multi-path connectors
US8832503B2 (en) 2011-03-25 2014-09-09 Adc Telecommunications, Inc. Dynamically detecting a defective connector at a port
JP2012205159A (ja) * 2011-03-26 2012-10-22 Fujitsu Ltd フロー別流量監視制御方法、通信装置、およびプログラム
KR20130030086A (ko) * 2011-09-16 2013-03-26 한국전자통신연구원 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치
US20140075557A1 (en) 2012-09-11 2014-03-13 Netflow Logic Corporation Streaming Method and System for Processing Network Metadata
US9843488B2 (en) 2011-11-07 2017-12-12 Netflow Logic Corporation Method and system for confident anomaly detection in computer network traffic
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata
WO2013133400A1 (ja) * 2012-03-09 2013-09-12 日本電気株式会社 制御装置、通信システム、スイッチ制御方法及びプログラム
US8982711B2 (en) 2012-04-20 2015-03-17 Allied Telesis Holdings Kabushiki Kaisha Self-healing communications network
US8995271B2 (en) * 2012-04-30 2015-03-31 Hewlett-Packard Development Company, L.P. Communications flow analysis
JP6179354B2 (ja) * 2013-10-31 2017-08-16 富士通株式会社 解析プログラム、解析方法、および解析装置
CN104660565B (zh) 2013-11-22 2018-07-20 华为技术有限公司 恶意攻击的检测方法和装置
CN103701795B (zh) * 2013-12-20 2017-11-24 北京奇安信科技有限公司 拒绝服务攻击的攻击源的识别方法和装置
WO2015143620A1 (zh) * 2014-03-25 2015-10-01 华为技术有限公司 一种数据流统计方法、系统和装置
US9614853B2 (en) 2015-01-20 2017-04-04 Enzoo, Inc. Session security splitting and application profiler
CN104836702B (zh) * 2015-05-06 2018-06-19 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法
US9979624B1 (en) 2015-12-29 2018-05-22 Amazon Technologies, Inc. Large flow detection for network visibility monitoring
US10097464B1 (en) * 2015-12-29 2018-10-09 Amazon Technologies, Inc. Sampling based on large flow detection for network visibility monitoring
US10033613B1 (en) 2015-12-29 2018-07-24 Amazon Technologies, Inc. Historically large flows in network visibility monitoring
US10003515B1 (en) 2015-12-29 2018-06-19 Amazon Technologies, Inc. Network visibility monitoring
US10582002B2 (en) * 2016-12-09 2020-03-03 Arris Enterprises Llc Cache proxy for a network management information base
WO2018117924A1 (en) * 2016-12-23 2018-06-28 Telefonaktiebolaget Lm Ericsson (Publ) A node and a method performed by the node operable in a mesh communication network for routing a received packet towards a destination
US10469528B2 (en) * 2017-02-27 2019-11-05 Arbor Networks, Inc. Algorithmically detecting malicious packets in DDoS attacks
JP6743778B2 (ja) * 2017-07-19 2020-08-19 株式会社オートネットワーク技術研究所 受信装置、監視機及びコンピュータプログラム
JP2019125914A (ja) * 2018-01-16 2019-07-25 アラクサラネットワークス株式会社 通信装置及びプログラム
JPWO2020162075A1 (ja) * 2019-02-08 2021-12-09 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常判定方法、異常判定装置およびプログラム
CN111245855B (zh) * 2020-01-17 2022-04-26 杭州迪普科技股份有限公司 一种抑制病毒在局域网中传播的方法及装置
US11330011B2 (en) 2020-02-25 2022-05-10 Arbor Networks, Inc. Avoidance of over-mitigation during automated DDOS filtering
CN114679409A (zh) * 2020-12-09 2022-06-28 华为技术有限公司 一种流表发送方法及相关装置
CN113872976B (zh) * 2021-09-29 2023-06-02 绿盟科技集团股份有限公司 一种基于http2攻击的防护方法、装置及电子设备
WO2023112175A1 (ja) * 2021-12-14 2023-06-22 日本電信電話株式会社 トラフィック監視装置、トラフィック監視方法、及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1198145A (ja) * 1997-09-18 1999-04-09 Hitachi Ltd Atm通信装置及びその制御方法
JP2002118556A (ja) * 2000-10-05 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> トラヒック計測方法および装置
JP2002118557A (ja) * 2000-10-05 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> リンクの使用帯域管理方法および装置ならびに帯域増設時期推定方法および装置
JP2004350188A (ja) * 2003-05-26 2004-12-09 Nec Corp データ転送装置及びプログラム
JP2005277804A (ja) * 2004-03-25 2005-10-06 Hitachi Ltd 情報中継装置

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7702806B2 (en) * 2000-09-07 2010-04-20 Riverbed Technology, Inc. Statistics collection for network traffic
US7278159B2 (en) * 2000-09-07 2007-10-02 Mazu Networks, Inc. Coordinated thwarting of denial of service attacks
US7836498B2 (en) * 2000-09-07 2010-11-16 Riverbed Technology, Inc. Device to protect victim sites during denial of service attacks
US20020035698A1 (en) * 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
EP1404609B1 (en) * 2001-05-23 2011-08-31 Cohen, Ben Z. Accurate dosing pump
US7996544B2 (en) * 2003-07-08 2011-08-09 International Business Machines Corporation Technique of detecting denial of service attacks
JP4341413B2 (ja) 2003-07-11 2009-10-07 株式会社日立製作所 統計収集装置を備えたパケット転送装置および統計収集方法
JP4392294B2 (ja) * 2004-06-15 2009-12-24 株式会社日立製作所 通信統計収集装置
US7719966B2 (en) * 2005-04-13 2010-05-18 Zeugma Systems Inc. Network element architecture for deep packet inspection
US8181240B2 (en) * 2005-06-14 2012-05-15 Cisco Technology, Inc. Method and apparatus for preventing DOS attacks on trunk interfaces
US8121043B2 (en) * 2005-08-19 2012-02-21 Cisco Technology, Inc. Approach for managing the consumption of resources using adaptive random sampling

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1198145A (ja) * 1997-09-18 1999-04-09 Hitachi Ltd Atm通信装置及びその制御方法
JP2002118556A (ja) * 2000-10-05 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> トラヒック計測方法および装置
JP2002118557A (ja) * 2000-10-05 2002-04-19 Nippon Telegr & Teleph Corp <Ntt> リンクの使用帯域管理方法および装置ならびに帯域増設時期推定方法および装置
JP2004350188A (ja) * 2003-05-26 2004-12-09 Nec Corp データ転送装置及びプログラム
JP2005277804A (ja) * 2004-03-25 2005-10-06 Hitachi Ltd 情報中継装置

Also Published As

Publication number Publication date
US20070115850A1 (en) 2007-05-24
CN1953392B (zh) 2011-08-10
JP2007116405A (ja) 2007-05-10
US7729271B2 (en) 2010-06-01
CN1953392A (zh) 2007-04-25

Similar Documents

Publication Publication Date Title
JP4512196B2 (ja) 異常トラヒックの検出方法およびパケット中継装置
JP4774357B2 (ja) 統計情報収集システム及び統計情報収集装置
JP5660198B2 (ja) ネットワークシステム、及びスイッチ方法
US8054744B1 (en) Methods and apparatus for flow classification and flow measurement
CN106416171B (zh) 一种特征信息分析方法及装置
Duffield et al. Trajectory sampling for direct traffic observation
Duffield et al. Trajectory sampling for direct traffic observation
US7898969B2 (en) Performance measurement in a packet transmission network
JP2006352831A (ja) ネットワーク制御装置およびその制御方法
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
JP4658098B2 (ja) フロー情報制限装置および方法
JP4764810B2 (ja) 異常トラヒック監視装置、エントリ管理装置およびネットワークシステム
JP5017440B2 (ja) ネットワーク制御装置およびその制御方法
WO2010037261A1 (zh) 网络异常流量分析设备和方法
US20070201359A1 (en) Traffic information aggregating apparatus
WO2011131076A1 (zh) 建立流转发表项的方法及数据通信设备
JP4988632B2 (ja) パケット中継装置およびトラフィックモニタシステム
CN110535888B (zh) 端口扫描攻击检测方法及相关装置
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
CN111970211A (zh) 一种基于ipfix的大象流处理方法及装置
JP2022515990A (ja) 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法
Peuhkuri Internet traffic measurements–aims, methodology, and discoveries
JP6740264B2 (ja) 監視システム、監視方法及び監視プログラム
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100420

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100508

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130514

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees