JP4585975B2 - トラフィック対処装置およびシステム - Google Patents
トラフィック対処装置およびシステム Download PDFInfo
- Publication number
- JP4585975B2 JP4585975B2 JP2006024052A JP2006024052A JP4585975B2 JP 4585975 B2 JP4585975 B2 JP 4585975B2 JP 2006024052 A JP2006024052 A JP 2006024052A JP 2006024052 A JP2006024052 A JP 2006024052A JP 4585975 B2 JP4585975 B2 JP 4585975B2
- Authority
- JP
- Japan
- Prior art keywords
- abnormal traffic
- traffic
- information
- relay device
- packet relay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、インターネットにおける通信制御技術に関し、特にネットワーク制御技術に関する。
近年、インターネットが急速に社会インフラとして定着しており、ウイルスやワームなどの悪質なプログラムによる攻撃、悪意を持つユーザによるインターネット上のサーバへの攻撃などが深刻化してきている。このため、これらのネットワークの攻撃に対して、これらをどのように検知し、制御して通常の通信の安定性を確保するのかが課題となっている。
このような課題に対する代表的な技術として、侵入検知システムがある。この不正なパケットのパターンを事前にデータベースとして保存しておき、受信したパケットと該データベースの内容との比較を行うことで不正なパケットを検知するシステムである。パケットのパターンとデータベースとの比較を行う方式では、インターネットバックボーンのような大容量のネットワークにおいて、パケットの監視を実現することが困難であるために、パケットのパターンとデータベースとの比較を行なわない技術が存在する。該技術ではパケットのヘッダ部分に含まれる項目の組み合わせ毎にパケット数を積算する手段と、該手段による積算値が所定の値を超えた場合に、パケットの種別を判定する方式より異常なトラフィックを検出し、制御することができる(たとえば、特許文献1、特許文献2参照)。
また、上記1番目のネットワークにおける攻撃に対しては、実際の攻撃トラフィックの発生源に近い場所で対処することが求められている。これは、同様な手法で複数のサーバに対して同時に攻撃されることが多いためである。
また、ネットワークを管理する装置を配備し、ネットワーク内に複数の装置を管理する技術がある(たとえば、特許文献3参照)。
上記特許文献1や特許文献2の技術では、ネットワークの中の異常なトラフィックを検知し、対処する場合には、ネットワーク内に複数の装置を配置、配置された装置がそれぞれ独立して、装置の管理も別々に行う必要がある。
このため、既存の技術では異常トラフィックを検知した場合に、ネットワークのどの装置で検出したのかを知ることが容易でない。また、異常トラフィック検知後に検知し異常トラフィックに対して対処を行う場合に、どの装置で対処を行うのか決定するのが容易でない。
さらに、上述したように実際の攻撃トラフィックの発生源に近い場所(以後、最適な異常トラフィック対処位置と呼ぶ)で対処することが求められているが、既存の技術では適切な異常トラフィック対処位置での対処が容易でない。
また、特許文献3のようにネットワーク管理装置によりネットワーク内に複数の装置を配置、配置された装置を集中して管理する方式も考えられるが、何らかの通信障害によりネットワーク装置とネットワーク管理装置の間の通信が行えなくなった場合に、管理装置から通信できなくなったネットワーク装置の管理を行うことができない。
そこで、異常トラフィックに対する対処を行う位置を決定することを可能にすること、異常トラフィックに対する対処の位置が最適な位置で行えるようにすること、何らかのネットワーク障害が発生しても管理が継続できるようにすることを検討した。
上記課題を解決するために、例えば、パケット中継装置で異常トラフィックを検出した場合に、検出したパケット中継装置から異常トラフィックを対処する装置(以下、異常トラフィック対処装置)に異常トラフィックを通知し、検出した異常トラフィックの情報を異常トラフィック対処装置の間で異常トラフィックを一意に識別できる情報を含む異常トラフィックの情報をメッセージで交換することで、複数の異常トラフィック対処装置がネットワークで発生した異常トラフィックを保持できる技術を提供する。この方式により、ネットワーク管理者がどの異常トラフィック対処装置にアクセスしても異常トラフィックの情報を得ることができる。このため、何らかのネットワーク障害が発生しても管理の継続が可能となる。
また、あらかじめ異常トラフィック対処装置に、制御対象であるパケット中継装置のインタフェースのどのインタフェースが異常トラフィックを検出した場合に対処するかを設定しておき、設定したインタフェースで異常トラフィックを検出した場合にのみ対処を実施することにより、異常トラフィックに対する対処を実施したインタフェースを容易に把握可能である。なお、対処するかを設定するインタフェースの基準としてはパケット中継装置間の接続に使用するインタフェース以外のインタフェースとする。また、対処の対象としてあらかじめ設定したインタフェースのみでしか異常トラフィックの対処を実施しないため、同一の異常トラフィックを複数のパケット中継装置で検出し、それぞれが独立に対処する場合と比較して、実際に対処する必要のないパケット中継装置で対処を行わないため効率がよい。さらに、対処するパケット中継装置のインタフェースを指定する際の基準がパケット中継装置間の接続インタフェースで対処を行わない設定であるために、ネットワーク全体で最適な異常トラフィックへの対処を行うことを可能とする。
上記以外の、課題、手段、効果は後述する実施例によって明らかにされる。
異常トラフィックに対する対処を行うべき位置を検出して、対処することができる。また、サーバとの通信障害が発生しても管理が継続できるようにする。
本発明に好適な実施形態の例について図面を用いて説明する。ただし、本発明は本実施形態の例に限定されない。
図1は、一実施例における異常トラフィック対処システムを用いるネットワークの構成を示したものである。図中、100、101、102、103、104、105は異常トラフィック対処システム、250、260、270は異常トラフィック対処システムで異常トラフィックを検出した場合に交換する異常トラフィック情報メッセージである。
本実施例では、図1の同一組織内のネットワークにおいて、組織ネットワークの端で異常トラフィックが発生した場合、異常トラフィック対処システム100、101、102、105で異常トラフィックを検出したときに、すべての異常トラフィック対処システムで異常トラフィックの対処を行うのではない。この図の場合であれば異常トラフィック発生元に最も近い異常トラフィック対処システム105のみで対処を行う。また、異常トラフィックを検出した異常トラフィック対処システムは、異常トラフィック情報メッセージを交換して異常トラフィック情報の共有を図る。
図2は、異常トラフィック対処システム100の構成を示したものである。図中、100、101、102は異常トラフィック対処システム、110、111、112は異常トラフィック対処装置、113、114、115はパケット中継装置である。パケット中継装置113では、パケット転送、異常トラフィックの検知を行い、異常トラフィック対処装置110ではパケット中継装置113で検出した異常トラフィックを元に異常トラフィック対処位置と対処内容の決定、パケット中継装置113への異常トラフィックに対する設定指示、異常トラフィック対処装置間において異常トラフィック情報の交換を行う。
図3は、異常トラフィック対処システム100の内部構造を示したものである。図中、110は異常トラフィック対処装置であり、メモリ120、CPU121とネットワークインタフェース122から構成される。メモリ120には、異常トラフィック対処位置を決定するための中継装置構成情報テーブル130、検出した異常トラフィックのフローを一時的に保存する検出フロー情報テーブル140、同一組織内ネットワークで検出された異常トラフィックを保持するための異常トラフィック情報テーブル150、検出した異常トラフィックに対する対処方法を保存するための異常トラフィック対処方法テーブル160を保持する。
113は、パケット中継装置であり、CPU201、メモリ202、パケット転送を行うためのパケット転送プロセッサ204、パケット転送の情報を保持する経路テーブル205、フロー制御部206、フロー制御情報テーブル207、パケットバッファー208から構成される。メモリ202には、フロー統計テーブル203が格納される。パケット中継装置113では、ネットワークインタフェース209からパケットを受信した時に、メモリ202に格納されているフロー統計テーブル203をパケット転送プロセッサ204でパケットを転送する毎にCPU 201が更新する。当該転送時にフロー制御部206により一端にパケットバッファー208に格納され、フロー制御テーブル207に格納されている内容にしたがって、フィルタリングや帯域制御などの制御を行う。
パケット中継装置113において、CPU201はフロー統計テーブル203に記録されている特定のフローのエントリが特定の閾値を超えると当該フローを異常トラフィックフローとして判定し、ネットワークインタフェース209を通じて異常トラフィックの内容(以降、検出フロー情報と呼ぶ)を異常トラフィック対処装置110に通知する。通知された異常トラフィック対処装置110は、パケット中継装置113からの当該検出フロー情報をネットワークインタフェース122経由で受け取り、CPU 121により検出フロー情報テーブル140に一時的に格納する。その後、CPU 121は検出フロー情報テーブルから検出フロー情報を取り出し、パケット中継装置113が異常トラフィックフローを検出したネットワークインタフェースがパケット中継装置間の接続であるかどうかを中継装置構成情報テーブル130の内容を用いて調べる。CPU 121は異常トラフィックを検出したインタフェースがパケット中継装置間の接続でない場合は、異常トラフィックを検出したパケット中継装置113のインタフェースを対処するインタフェースとし、異常トラフィック対処法テーブル160の内容にしたがって、異常トラフィックの対処の命令をパケット中継装置113に通知する。異常トラフィックの対処の命令をネットワークインタフェース209で受け取ったパケット中継装置113では、CPU 201がフロー制御情報テーブルに異常トラフィックを対処するためのエントリを追加する。CPU 121は異常トラフィックを検出したインタフェースがパケット中継装置間の接続である場合は、異常トラフィックの対処処理を実施しない。その後、異常トラフィック対処装置では、CPU 121が検出フロー情報と異常トラフィックの対処の結果とを合わせた内容を異常トラフィック情報テーブルに記録し、記録した内容と同じ内容を他の異常トラフィック装置112へ異常トラフィック情報メッセージとして送信する。管理端末230は、異常トラフィック対処システム100を管理するために、ネットワークに接続される。
図5は、中継装置構成情報テーブル130の構造を示したものである。図中、130は中継装置構成情報テーブル全体を表しており、パケット中継装置の識別子131、パケット中継装置113の代表アドレス132、パケット中継装置のポート133、ポートの属性134から構成される。本中継装置構成情報テーブルは異常トラフィック対処装置毎に存在し、構成定義より異常トラフィック対処装置110を動作させる前に設定しておく必要がある。ポートの属性134は、パケット中継装置113のネットワークの接続位置によりExternalとInternalが存在する。Internalはポートがパケット中継装置間の接続であることを示し、Externalはパケット中継装置間以外の接続であることを示す。異常トラフィック対処システム100では、パケット中継装置113の識別子がS1で、中継装置113のポートのPort8のポート属性がExternal、Port2のポート属性がInternal、Port4のポート属性がInternalを示している。なお、中継装置構成情報テーブル130を記憶するメモリをインタフェース属性情報記憶部ともいう。
図6は、異常トラフィックをどのように対処するかを記述した異常トラフィック対処方法テーブル160を示したものである。図中、160は異常トラフィック対処方法テーブル全体を表しており、対処情報の対象となる中継装置113を表す識別子161、異常トラフィックの対処内容である命令内容162、異常トラフィック対処方法テーブル160の個々のエントリを最後に更新した時間である最終更新時間163から構成される。中継装置構成情報160の装置識別子S1のエントリは、対処内容がフィルタリング、このエントリの更新時間が9999/12/31 23:59:59であることを表している。
図7は、異常トラフィック対処装置110が異常トラフィックを対処した後に、他の異常トラフィック対処装置112との間で交換する異常トラフィック情報メッセージの形式を示したものである。図中、251は本メッセージを識別するための識別子であり、メッセージ送信元異常トラフィック対処装置ごとに管理し、メッセージごとに付与される。252は本メッセージを送信した異常トラフィック対処装置110を識別するための装置の識別子である。253は検出した異常トラフィックのフローを識別するための識別子であり、フローごとに付与される。254は検出した異常トラフィックのフローの内容を示すためのものであり、その項目としてフローの送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号、本フローを検出したパケット中継装置113のインタフェースを示す検出ポート、フローのトラフィック量で構成される。
255は異常トラフィック対処装置110で対処した内容を示す。256はパケット中継装置で検出した時間を示す。なお、フロー識別子253は、フロー情報254の内容を使用してハッシュアルゴリズムにより生成される。
図8は、異常トラフィック対処装置110内で保持する異常トラフィック情報テーブル150の構造を示す。異常トラフィック情報テーブル150は、異常トラフィックを検出した場合に異常トラフィック対処装置110が送信する異常トラフィック情報メッセージ250と異常トラフィック対処システム100としての対のパケット中継装置113が検出した異常トラフィック情報を異常トラフィック対処装置毎に保持するものである。図中、150は異常トラフィック情報テーブルであり、151は異常トラフィック情報メッセージ250の送信元の異常トラフィック対処装置110の識別子、152は検出した異常トラフィックのフローを識別するための識別子、153は検出した異常トラフィックのフローの内容、154は検出した異常トラフィックに対する対処、155は異常トラフィックの検出時刻から構成される。
本異常トラフィック情報テーブルの異常トラフィック対処システム100で検出したエントリである156は、異常トラフィック対処システムの識別子がS1、検出した異常トラフィックのフロー識別子が#1、フロー情報として、送信元IPアドレスが192.0.2.100、宛先IPアドレスが192.0.10.10、プロトコル番号が6、送信元ポート番号が65532、宛先ポート番号が80、検出したパケット中継装置のポートがPort8、トラフィック量が700Mbps、実施した対処がフィルタリングである。
図9は、異常トラフィック対処システム100全体の処理アルゴリズムを示している。ステップ600は、異常トラフィック対処システム100全体の処理アルゴリズムの開始を示している。ステップ610では、パケット中継装置113で異常トラフィックが検出されたかどうか判定し、検出されていない場合は、アルゴリズムの開始に戻る。異常トラフィックが検出された場合は、中継装置構成情報テーブル130から異常トラフィックを検出したポート情報を検索するアルゴリズムである図9のステップ400を呼び出す。次に、異常トラフィックの発生元を判定するアルゴリズムである図10のステップ500を呼び出す。図10のステップ500の結果から、異常トラフィックを検出したパケット中継装置113のポートが異常トラフィックの発生源であるかどうか判定し、発生源でない場合にはステップ800に進む。発生源である場合には、ステップ700の異常トラフィック対応処理を実施する。次にステップ800の異常トラフィック情報メッセージを他の異常トラフィック対処システムに対して送信する。次にステップ630で異常トラフィック情報メッセージ250を他の異常トラフィック対応システム102から受信しているかどうか判定し、受信していない場合には処理の開始に戻る。受信した場合はステップ900の異常トラフィック情報メッセージ受信処理を実施し、次にステップ1000の異常トラフィック情報登録処理を実施する。
図10は、中継装置構成情報テーブル130から異常トラフィック検出したポートを検索するアルゴリズムを示している。ステップ400は、異常トラフィックを検知した場合に中継装置構成情報テーブル130の中から異常トラフィックを検出したポートの情報を検索するためのアルゴリズムであり、ステップ600から呼び出される。ステップ410は、中継装置構成情報テーブル130の最初のエントリを読み込む。ステップ420では、中継装置構成情報テーブル130の読み込むべきエントリがあるか判断し、処理すべきエントリがない場合はステップ440にて本処理を終了する。処理すべきエントリがある場合には、異常トラフィックを検出したポートと中継装置構成情報テーブル130のエントリのポートが等しいか判定し、等しい場合はステップ450で異常トラフィックを検出したポートの情報が中継装置構成情報テーブル130の中から見つかったとして終了し、等しくない場合はステップ460で中継装置構成情報テーブル130の次のエントリを読み込んで、ステップ420へ進む。
図11は、異常トラフィックの発生元を判定するアルゴリズムを示している。ステップ500は、本アルゴリズム全体を示しており、アルゴリズム600から呼び出される。510は、図10の中継装置構成情報テーブル130から異常トラフィック検出したポートを検索するアルゴリズムを呼び出すことを示している。520は、図10のアルゴリズムの処理の結果で中継装置構成情報テーブル130の中から見つかった異常トラフィックを検出したポートの情報の中のポートのタイプがExternalであるか判定し、Externalでない場合はステップ540の異常トラフィックを検出したポートが異常トラフィックの発生源ではないと判定して本アルゴリズムを終了する。また、ステップ520の判定結果がExternalである場合は、ステップ530の異常トラフィックを検出したポートが異常トラフィックの発生源である判定して本アルゴリズムを終了する。なお、図11のアルゴリズムを実行するCPU121を、発生源判断部ともいう。
別の実施例として図3の異常トラフィック対応装置とパケット中継装置の間をネットワークで接続する代わりに、図4に示すような異常トラフィック対処システムの構成要素である異常トラフィック対応装置とパケット中継装置を一台の装置として、内部バスインタフェースで接続する構成も可能である。図4は、111は異常トラフィック対処装置であり、メモリ1200、CPU 1201と異常トラフィック対処装置111とパケット中継装置114とを接続する内部インタフェースバス1202から構成される。メモリ1200には、中継装置構成情報テーブル130と同様の中継装置構成情報テーブル1230、検出フロー情報テーブル140と同様の検出フロー情報テーブル1240、異常トラフィック情報テーブル150と同様の異常トラフィック情報テーブル1250、異常トラフィック対処方法テーブル160と同様の異常トラフィック対処方法テーブル1260を保持する。113は、パケット中継装置であり、異常トラフィック対処装置111とパケット中継装置114とを接続する内部インタフェースバス1300、CPU 1301、メモリ1302、パケット転送プロセッサ204と同様のパケット転送プロセッサ1304、経路テーブル205と同様の経路テーブル1305、フロー制御部206と同様のフロー制御部1306、フロー制御情報テーブル207と同様のフロー制御情報テーブル1307、パケットバッファー208と同様のパケットバッファー1308、ネットワークインタフェース209と同様のネットワークインタフェース1309から構成される。パケット中継装置114で検出された異常トラフィックフローをCPU 1301が検出フロー情報として内部バスインタフェース1300を経由して異常トラフィック対処装置111に通知するが、本検出フロー情報はパケット中継装置113から異常トラフィック対処装置110に通知される検出フロー情報とは形式が異なり、その他アルゴリズムなどは実施例1と同様である。
100 異常トラフィック対処システム
101 異常トラフィック対処システム
102 異常トラフィック対処システム
103 異常トラフィック対処システム
104 異常トラフィック対処システム
105 異常トラフィック対処システム
110 異常トラフィック対処装置
111 異常トラフィック対処装置
112 異常トラフィック対処装置
113 パケット中継装置
114 パケット中継装置
115 パケット中継装置
120 メモリ
121 CPU
122 ネットワークインタフェース
123 内部バスインタフェース
130 中継装置構成情報テーブル
131 パケット中継装置識別子
132 パケット中継装置アドレス
133 パケット中継装置のポート
134 パケット中継装置のポート属性
140 検出フロー情報テーブル
150 異常トラフィック情報テーブル
151 異常トラフィック情報メッセージの発信元装置の識別子
152 フロー識別子
153 フロー情報
154 実施した異常トラフィック対処内容
155 異常トラフィック検出時刻
156 異常トラフィック対処装置S1の発信した異常トラフィック情報メッセージ
157 異常トラフィック対処装置S2の発信した異常トラフィック情報メッセージ
158 異常トラフィック対処装置S2の発信した異常トラフィック情報メッセージ
159 異常トラフィック対処装置S3の発信した異常トラフィック情報メッセージ
160 異常トラフィック対処方法テーブル
161 パケット中継装置
162 異常トラフィック対処内容
163 エントリ最終更新時間
201 CPU
202 メモリ
203 フロー統計テーブル
204 パケット転送プロセッサ
205 経路テーブル
206 フロー制御部
207 フロー制御情報テーブル
208 パケットバッファー
209 ネットワークインタフェース
210 内部バスインタフェース
250 異常トラフィック情報メッセージ
251 異常トラフィック情報メッセージ識別子
252 異常トラフィック情報メッセージの発信元装置の識別子
253 フロー識別子
254 フロー情報
255 実施した異常トラフィック対処内容
256 異常トラフィック検出時刻
270 異常トラフィック情報メッセージ
290 異常トラフィック情報メッセージ
400 中継装置構成情報テーブルから異常トラフィック検出したポートを検索するアルゴリズム
500 異常トラフィック発生元判定アルゴリズム
600 異常トラフィック対処システム全体の処理アルゴリズム
1200 メモリ
1201 CPU
1202 内部バスインタフェース
1210 中継装置構成情報テーブル
1220 検出フロー情報テーブル
1230 異常トラフィック情報テーブル
1240 異常トラフィック対処法テーブル
1300 内部バスインタフェース
1301 CPU
1302 メモリ
1303 フロー統計テーブル
1304 パケット転送プロセッサ
1305 経路テーブル
1306 パケットバッファー
1307 フロー制御情報テーブル
1308 フロー制御部
1309 ネットワークインタフェース
101 異常トラフィック対処システム
102 異常トラフィック対処システム
103 異常トラフィック対処システム
104 異常トラフィック対処システム
105 異常トラフィック対処システム
110 異常トラフィック対処装置
111 異常トラフィック対処装置
112 異常トラフィック対処装置
113 パケット中継装置
114 パケット中継装置
115 パケット中継装置
120 メモリ
121 CPU
122 ネットワークインタフェース
123 内部バスインタフェース
130 中継装置構成情報テーブル
131 パケット中継装置識別子
132 パケット中継装置アドレス
133 パケット中継装置のポート
134 パケット中継装置のポート属性
140 検出フロー情報テーブル
150 異常トラフィック情報テーブル
151 異常トラフィック情報メッセージの発信元装置の識別子
152 フロー識別子
153 フロー情報
154 実施した異常トラフィック対処内容
155 異常トラフィック検出時刻
156 異常トラフィック対処装置S1の発信した異常トラフィック情報メッセージ
157 異常トラフィック対処装置S2の発信した異常トラフィック情報メッセージ
158 異常トラフィック対処装置S2の発信した異常トラフィック情報メッセージ
159 異常トラフィック対処装置S3の発信した異常トラフィック情報メッセージ
160 異常トラフィック対処方法テーブル
161 パケット中継装置
162 異常トラフィック対処内容
163 エントリ最終更新時間
201 CPU
202 メモリ
203 フロー統計テーブル
204 パケット転送プロセッサ
205 経路テーブル
206 フロー制御部
207 フロー制御情報テーブル
208 パケットバッファー
209 ネットワークインタフェース
210 内部バスインタフェース
250 異常トラフィック情報メッセージ
251 異常トラフィック情報メッセージ識別子
252 異常トラフィック情報メッセージの発信元装置の識別子
253 フロー識別子
254 フロー情報
255 実施した異常トラフィック対処内容
256 異常トラフィック検出時刻
270 異常トラフィック情報メッセージ
290 異常トラフィック情報メッセージ
400 中継装置構成情報テーブルから異常トラフィック検出したポートを検索するアルゴリズム
500 異常トラフィック発生元判定アルゴリズム
600 異常トラフィック対処システム全体の処理アルゴリズム
1200 メモリ
1201 CPU
1202 内部バスインタフェース
1210 中継装置構成情報テーブル
1220 検出フロー情報テーブル
1230 異常トラフィック情報テーブル
1240 異常トラフィック対処法テーブル
1300 内部バスインタフェース
1301 CPU
1302 メモリ
1303 フロー統計テーブル
1304 パケット転送プロセッサ
1305 経路テーブル
1306 パケットバッファー
1307 フロー制御情報テーブル
1308 フロー制御部
1309 ネットワークインタフェース
Claims (4)
- パケット中継装置からトラフィック情報の計測結果を受信するトラフィック対処装置であって、
あらかじめ前記パケット中継装置の複数のインタフェースの属性情報を記憶するインタフェース属性情報記憶部と、
受信したトラフィック情報に含まれる当該トラフィックを入力した入力インタフェースの情報と、前記インタフェース属性情報記憶部で当該インタフェースに対応して記憶している属性とを比較して、前記パケット中継装置が発生源であるか否かを判定する発生源判断部とを有するトラフィック対処装置。 - 請求項1のトラフィック対処装置であって、
前記属性情報は、所定のネットワーク外と接続していることを示すexternal属性と、所定のネットワーク内に接続していることを示すinternal属性とを含み、
前記発生源判断部は、前記抽出したトラフィック情報に含まれる入力インタフェースが、前記external属性のインタフェースと一致したとき、前記パケット中継装置を発生源と判定する。 - パケット中継装置からトラフィック情報の計測結果を受信するトラフィック対処装置であって、
あらかじめ前記パケット中継装置が備えるポートの情報と該ポートの属性情報とを含む構成情報を前記パケット中継装置毎に記憶し、
受信したトラフィック情報から同一のトラフィックフローに起因するトラフィック情報を抽出し、抽出したトラフィック情報に含まれる入力ポートの情報と前記あらかじめ記憶したパケット中継装置の構成情報とを組み合わせることにより、当該トラフィックフローの異常への対処位置を決定することを特徴とするトラフィック対処装置。 - 請求項3のトラフィック対処装置であって、
他のトラフィック対処装置と、前記決定したトラフィックフローの対処位置の情報を交換することを特徴とするトラフィック対処装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006024052A JP4585975B2 (ja) | 2006-02-01 | 2006-02-01 | トラフィック対処装置およびシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006024052A JP4585975B2 (ja) | 2006-02-01 | 2006-02-01 | トラフィック対処装置およびシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007208574A JP2007208574A (ja) | 2007-08-16 |
| JP4585975B2 true JP4585975B2 (ja) | 2010-11-24 |
Family
ID=38487639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006024052A Expired - Fee Related JP4585975B2 (ja) | 2006-02-01 | 2006-02-01 | トラフィック対処装置およびシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4585975B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5014282B2 (ja) | 2008-08-06 | 2012-08-29 | アラクサラネットワークス株式会社 | 通信データ統計装置、通信データ統計方法およびプログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| JP2005012606A (ja) * | 2003-06-20 | 2005-01-13 | Nec Corp | ネットワーク遮断システム及びネットワーク遮断判定装置並びにプログラム |
-
2006
- 2006-02-01 JP JP2006024052A patent/JP4585975B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| JP2005012606A (ja) * | 2003-06-20 | 2005-01-13 | Nec Corp | ネットワーク遮断システム及びネットワーク遮断判定装置並びにプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007208574A (ja) | 2007-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| JP4547340B2 (ja) | トラフィック制御方式、装置及びシステム | |
| JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
| JP5050781B2 (ja) | マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法 | |
| US10680893B2 (en) | Communication device, system, and method | |
| JP2009089241A (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| EP2817918A1 (en) | Systems involving firewall of virtual machine traffic and methods of processing information associated with same | |
| US11838318B2 (en) | Data plane with connection validation circuits | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| JPWO2005109797A1 (ja) | ネットワーク攻撃対策方法、ネットワーク攻撃対策装置及びネットワーク攻撃対策プログラム | |
| US10411981B2 (en) | Method and system for detecting client causing network problem using client route control system | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| JP6923809B2 (ja) | 通信制御システム、ネットワークコントローラ及びコンピュータプログラム | |
| JP2013070325A (ja) | 通信システム、通信装置、サーバ、通信方法 | |
| JP4585975B2 (ja) | トラフィック対処装置およびシステム | |
| JP2013201478A (ja) | ネットワークシステム、スイッチ、及び通信遅延短縮方法 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| JP6272258B2 (ja) | 最適化装置、最適化方法および最適化プログラム | |
| JP2020119596A (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
| JP2014036408A (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
| US11418537B2 (en) | Malware inspection apparatus and malware inspection method | |
| JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
| US20080192637A1 (en) | Rule verification apparatus and rule verification method | |
| JP4319609B2 (ja) | 攻撃経路解析装置及び攻撃経路解析方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080715 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080715 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100616 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100622 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100806 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100824 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100906 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130910 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |