JP4620070B2 - トラヒック制御システムおよびトラヒック制御方法 - Google Patents

トラヒック制御システムおよびトラヒック制御方法 Download PDF

Info

Publication number
JP4620070B2
JP4620070B2 JP2007050186A JP2007050186A JP4620070B2 JP 4620070 B2 JP4620070 B2 JP 4620070B2 JP 2007050186 A JP2007050186 A JP 2007050186A JP 2007050186 A JP2007050186 A JP 2007050186A JP 4620070 B2 JP4620070 B2 JP 4620070B2
Authority
JP
Japan
Prior art keywords
user
policy
rule
wide area
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007050186A
Other languages
English (en)
Other versions
JP2008219149A (ja
Inventor
克啓 瀬林
充 丸山
修 明石
健司 釘本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2007050186A priority Critical patent/JP4620070B2/ja
Publication of JP2008219149A publication Critical patent/JP2008219149A/ja
Application granted granted Critical
Publication of JP4620070B2 publication Critical patent/JP4620070B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、トラヒック制御システムおよびトラヒック制御方法に関する。
従来より、ネットワークやネットワークに接続するユーザ端末の通信環境においては、不要なトラヒックに対する対策技術が不可欠である。すなわち、例えば、外部からの不正侵入や、大量の通信トラヒックを送りつけるサービス不能攻撃(DoS攻撃:Denial of Service攻撃)、あるいは、サービス不能攻撃を同時多発的に仕掛ける分散型サービス不能攻撃(DDoS攻撃:Distributed Denial of Service攻撃)等に対する対策技術が不可欠である。
これらの攻撃による不要なトラヒックは、単に攻撃対象のユーザ端末(ユーザによって利用されるPC(Personal Computer)やサーバ等)を使用不能やサービス停止にするばかりでなく、攻撃元から攻撃対象のユーザ端末に至るネットワーク内の経路上のリンクやアクセスラインの帯域を占有し、それらリンクやアクセスライン上を流れる攻撃対象のユーザ端末以外のユーザ端末宛のパケットにも遅延やロスを生じさせる。
このような不要なトラヒックに対する対策技術としては、予め設定されたルールに基づいてパケットの廃棄や流量の制限を行うファイアウォール(FW:FireWall)や、攻撃検知システム(IDS:Intrusion Detection System)等がある。FWやIDSについて具体的に説明すると、まず、FWは、ユーザ端末にインストールされるソフトウェアや、ルータ等のネットワーク装置(NW装置:NetWork装置)のパケットフィルタリング機能、あるいは、専用装置として提供される。例えば、FWには、ユーザ端末が外部の端末に提供しているサービスのパケット、および、外部の端末が提供しているサービスをユーザ端末が利用するためのパケットのみを通過させ、それ以外のパケットを遮断するように、ユーザによってルールが設定されるなどする。
また、IDSも、ユーザ端末にインストールされるソフトウェアや、ルータ等のネットワーク装置の機能、あるいは、専用装置として提供される。なお、IDSには、IDSが取得したパケットを、予め設定されている攻撃パケットのパターンと比較することによって攻撃を検出するシグネチャ型や、IDSが取得したパケットあるいはIDSがネットワーク機器から収集したフロー情報を用いてトラヒックを監視し、監視データを分析することによって異常なトラヒックを検出するトラヒックアノマリ型がある。
図52は、ファイアウォールや攻撃検知システムによる対策を説明するための図であるが、FWやIDSは、図52に示すように、一般に、ユーザサイトに設置され、外部端末から送出されネットワークを介してユーザサイトに送信される攻撃トラヒックを遮断し、攻撃トラヒックからユーザ端末を防御する。ところが、図52に示すように、FWやIDSは、ネットワークとユーザサイトとを接続するアクセスラインを流れる攻撃トラヒックを排除することはできないことから、アクセスラインの帯域が大量の攻撃トラヒックに占有される結果、ユーザ端末と外部との通信が阻害され、また、ネットワークとアクセスラインとの接続点やアクセスラインの一部または全部を共用している他のユーザ端末宛のパケットに遅延やロスが生じやすくなる。さらに、FWやIDSは、ネットワーク内を流れる攻撃トラヒックを排除することもできないことから、ネットワーク内の帯域が大量の攻撃トラヒックに圧迫される結果、ネットワーク装置の過負荷が生じやすくなったり、ネットワークに接続する他のユーザ端末宛のパケットにも遅延やロスが生じやすくなる等の影響が出るようになる。
このため、例えば、特許文献1には、ユーザサイトのユーザ端末やネットワーク機器(CPE:Customer Premises Equipment)における攻撃検知を契機として、ネットワーク装置が、ユーザ端末やCPEごとの個別のパーソナルポリシを保持し、保持する個別のパーソナルポリシに基づいて攻撃トラヒックを遮断する手法が開示されている。図53は、従来技術を説明するための図であるが、特許文献1に開示されている手法は、図53に示すように、まず、ユーザ端末(あるいは、CPE)が、外部端末から送出されネットワークを介してユーザサイトに送信される攻撃トラヒック(図53の(1)および(2)を参照)を、パケット検査部においてパーソナルポリシに基づいて検査し、攻撃パケットを検出すると、攻撃パケットを廃棄してユーザ端末を防御するとともに(図53の(3)を参照)、パーソナルポリシをNW装置に送信する(図53の(4)を参照)。すると、NW装置は、受信したパーソナルポリシを防御ポリシ保持部において保持するとともに(図53の(5)を参照)、攻撃トラヒックを、パケット検査部において、防御ポリシ保持部に保持したパーソナルポリシに基づいて検査し、攻撃パケットを検出すると、攻撃パケットを廃棄してユーザ端末を防御する。
また、例えば、非特許文献1や非特許文献2には、トラヒックアノマリ型のIDSが開示されている。これらのIDSは、ネットワーク内に設置され、まず、ネットワーク内のトラヒックを監視する。次に、IDSは、ネットワーク内の通常の通信状況を学習したり解析したりすることによって攻撃トラヒックやファイル交換等の異常なトラヒックを検知し、そのような攻撃トラヒックや異常トラヒックを遮断することを目的として、ルータ等に設定するフィルタリングルールを作成する。そして、IDSは、作成したフィルタリングルールを、ネットワーク内のルータ等に設定する。
特開2006−146837号公報 "ARBOR NETWORKS"、[online]、[平成19年2月16日検索]、インターネット<http://www.cisco.com/jp/specialprog/avvidprog/partner/part_find/catalog/sec/secur-arbor.shtml_contact> "Cisco Guard XT 5650"、[online]、[平成19年2月16日検索]、インターネット<http://www.cisco.com/japanese/warp/public/3/jp/product/hs/security/gdma/prodlit/gxt5600_ds.shtml>
ところで、上記した従来の技術では、以下に説明するように、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制するにあたり、ユーザサイトのユーザ端末やネットワーク機器における検知を契機としなければ不要なトラヒックを遮断又は抑制することができず、また、不要なトラヒックの送信元の近くで不要なトラヒックを遮断又は抑制することができないという課題がある。
すなわち、特許文献1に開示されている技術では、ユーザ端末やCPEにおける検知を契機としなければ不要なトラヒックを遮断又は抑制することができない。そうであるとすると、一般に、性能が低いユーザ端末やCPEは過剰な攻撃によって瞬時に過負荷になりその動作が不安定になることから、ユーザ端末やCPEは、過剰な攻撃を受けると、ネットワーク装置に対してパーソナルポリシ等を送信できなくなるおそれがあり、この結果、ネットワーク装置は、不要なトラヒックを遮断又は抑制することができなくなるおそれがある。また、特許文献1に開示されている技術では、攻撃パケットの送信元の近くで攻撃パケットを排除することができない。この結果、ネットワーク装置は、攻撃パケットによるネットワーク内の帯域圧迫を排除することができず、ネットワークに接続するユーザ端末等、その他のユーザ端末への影響を排除することができなくなる。なお、非特許文献1や非特許文献2に開示されている技術は、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制するものではない。
そこで、この発明は、上記した従来技術の課題を解決するためになされたものであり、ユーザサイトのユーザ端末やネットワーク機器における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することが可能なトラヒック制御システムおよびトラヒック制御方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信手段を備え、前記ポリシ集約サーバは、前記ポリシ送信手段によって送信された前記個別ポリシ各々を受信するポリシ受信手段と、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信手段とを備え、前記広域ネットワーク装置の各々は、前記ルール送信手段によって送信された前記ルールを受信するルール受信手段と、前記ルール受信手段によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御手段と、を備えたことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記ルール送信手段は、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、当該ルールについて集約した集約ルールと当該集約ルールを要素とする集合体である集約ポリシとを作成し、当該集約ルールを、当該集約ルールを設定すべき前記広域ネットワーク装置の各々に送信することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記ポリシ受信手段は、前記個別ポリシ各々を受信する際に、当該個別ポリシ各々の正当性を検証することをさらに特徴とする。
また、請求項4に係る発明は、上記の発明において、前記ユーザ装置は、前記自ユーザネットワーク以外のネットワーク上で開示されない非開示アドレスおよび/または非開示ポート番号と、当該ネットワーク上で開示される開示アドレスおよび/または開示ポート番号とを変換するNAT機能を利用しており、前記ルールは、当該非開示アドレスおよび/または当該非開示ポート番号で記述されているものであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、前記ルールに記述された前記非開示アドレスおよび/または前記非開示ポート番号を、前記開示アドレスおよび/または前記開示ポート番号に変換するアドレス変換手段をさらに備え、前記ポリシ送信手段は、前記アドレス変換手段によって変換された前記ルールを要素とする個別ポリシを、前記ポリシ集約サーバに対して送信することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記ルール送信手段は、前記ルールに従ってトラヒックが制御されることになる前記ユーザ装置に関する情報を統計情報として作成することをさらに特徴とし、前記ポリシ集約サーバは、前記ルール送信手段によって作成された前記統計情報に基づいて、前記ルールを、当該ルールに従ってトラヒックが制御されることになる前記ユーザ装置以外の他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断する判断手段をさらに備えたことを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記ポリシ集約サーバは、前記広域ネットワーク装置において検出した攻撃パケットを識別する識別情報および当該攻撃パケットに対する対策情報を含む攻撃対策情報を、当該広域ネットワーク装置から取得する攻撃対策情報取得手段と、前記攻撃対策情報取得手段によって取得された前記攻撃対策情報から、当該攻撃対策情報に基づいて前記トラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成する対策ポリシ作成手段とをさらに備え、前記ルール送信手段は、前記対策ポリシ作成手段によって作成された前記対策ポリシを、前記ルールに反映することを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記ルール送信手段は、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することをさらに特徴とする。
また、請求項8に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法であって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信工程を含み、前記ポリシ集約サーバは、前記ポリシ送信工程によって送信された前記個別ポリシ各々を受信するポリシ受信工程と、前記ポリシ受信工程によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信工程とを含み、前記広域ネットワーク装置の各々は、前記ルール送信工程によって送信された前記ルールを受信するルール受信工程と、前記ルール受信工程によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御工程と、を含んだことを特徴とする。
また、請求項9に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザ端末であって、前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とする。
また、請求項10に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザネットワーク機器であって、前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とする。
また、請求項11に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザポリシサーバであって、前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手段と、前記ポリシ取得手段によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手段と、を備えたことを特徴とする。
また、請求項12に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、を備えたことを特徴とする。
また、請求項13に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、を備えたことを特徴とする。
また、請求項14に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザ端末に実行させるユーザ端末プログラムであって、前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザ端末に実行させることを特徴とする。
また、請求項15に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザネットワーク機器に実行させるユーザネットワーク機器プログラムであって、前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザネットワーク機器に実行させることを特徴とする。
また、請求項16に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザポリシサーバに実行させるユーザポリシサーバプログラムであって、前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手順と、前記ポリシ取得手順によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手順と、を前記コンピュータであるユーザポリシサーバに実行させることを特徴とする。
また、請求項17に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とする。
また、請求項18に係る発明は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とする。
請求項1、8〜12、14〜17の発明によれば、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数のユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、ユーザ装置とユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、自ユーザネットワーク内でユーザ装置が管理するその他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックについて、トラヒックを制御するルールを要素とする集合体である個別ポリシを、広域ネットワークに接続するポリシ集約サーバに対して送信し、ポリシ集約サーバは、送信された個別ポリシ各々を受信し、受信された個別ポリシ各々の要素であるルールを、ルールを設定すべき広域ネットワーク装置の各々に送信し、広域ネットワーク装置の各々は、送信されたルールを受信し、受信されたルールに従って、トラヒックを制御するので、ユーザサイトのユーザ装置(ユーザ端末やネットワーク機器など)における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することが可能になる。
また、請求項2の発明によれば、ポリシ集約サーバは、個別ポリシ各々の要素であるルールから、ルールについて集約した集約ルールと集約ルールを要素とする集合体である集約ポリシとを作成し、集約ルールを、集約ルールを設定すべき広域ネットワーク装置の各々に送信するので、上記の効果に加え、集約ポリシを作成することで、総ルール数が少なくなる結果、広域ネットワーク装置のFW処理やIDS処理の負荷を軽減する効果が得られることから、予め全ての広域ネットワーク装置に集約ポリシを設定し、不要なトラヒックを遮断又は抑制することが可能になる。
また、請求項3の発明によれば、ポリシ集約サーバは、個別ポリシ各々を受信する際に、個別ポリシ各々の正当性を検証するので、上記の効果に加え、広域ネットワーク装置が、正当でない個別ポリシに従って、トラヒックを不当に制御するおそれを回避することが可能になる。
また、請求項4の発明によれば、ユーザ装置は、自ユーザネットワーク以外のネットワーク上で開示されない非開示アドレスおよび/または非開示ポート番号と、ネットワーク上で開示される開示アドレスおよび/または開示ポート番号とを変換するNAT機能を利用しており、ルールは、非開示アドレスおよび/または非開示ポート番号で記述されているものであって、ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、ルールに記述された非開示アドレスおよび/または非開示ポート番号を、開示アドレスおよび/または開示ポート番号に変換し、変換されたルールを要素とする個別ポリシを、ポリシ集約サーバに対して送信するので、上記の効果に加え、ユーザ装置(ユーザ端末やネットワーク機器など)がNAT機能を利用して広域ネットワークと接続されている環境においても、不要なトラヒックを遮断又は抑制することが可能になる。
また、請求項5の発明によれば、ポリシ集約サーバは、ルールに従ってトラヒックが制御されることになるユーザ装置に関する情報を統計情報として作成し、作成された統計情報に基づいて、ルールを、ルールに従ってトラヒックが制御されることになるユーザ装置以外の他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断するので、上記の効果に加え、広域ネットワーク装置が検出した異常なトラヒックを不要なトラヒックとして遮断又は抑制すべきか否かを判断するにあたり、統計情報(例えば、当該ルールが、何個の個別ポリシを集約したものであるか、何人のユーザのルールを集約したものであるか、など)を、当該ルールをユーザのコンセンサスとして解釈することが可能か否かの判断材料とすることが可能になる。
また、請求項6の発明によれば、ポリシ集約サーバは、広域ネットワーク装置において検出した攻撃パケットを識別する識別情報および攻撃パケットに対する対策情報を含む攻撃対策情報を、広域ネットワーク装置から取得し、取得した攻撃対策情報から、攻撃対策情報に基づいてトラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成し、作成した対策ポリシを、ルールに反映するので、上記の効果に加え、広域ネットワーク装置側で検出し対策を判断した異常なトラヒックを、不要なトラヒックとして遮断又は抑制することが可能になる。
また、請求項7、13、あるいは18の発明によれば、ポリシ集約サーバは、同種のルールに基づいてトラヒックを制御されるユーザ装置のグループごとにルールについて集約した集約ポリシを作成し、グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように広域ネットワーク装置の各々に設定させる設定情報、および、グループごとの集約ポリシを、設定情報および集約ポリシを設定すべき広域ネットワーク装置の各々に送信するので、上記の効果に加え、攻撃トラヒックではない大量トラヒックの発生時などの場合に、ユーザ間の公平性を確保することが可能になる。
以下に添付図面を参照して、この発明に係るトラヒック制御システムおよびトラヒック制御方法の実施例を詳細に説明する。なお、以下では、実施例で用いる主要な用語、実施例1に係るトラヒック制御システムの概要および特徴、実施例1に係るトラヒック制御システムの構成、実施例1に係るトラヒック制御システムによる処理の手順、実施例1の効果を順に説明し、続いて、他の実施例について説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。「ユーザネットワーク」とは、企業のネットワークや、自宅のネットワークなど、個人のユーザによって運用されるユーザサイトのネットワークのことである。より具体的には、「ユーザネットワーク」は、ユーザによって利用されるPC(Personal Computer)やサーバ等の端末(以下、ユーザ端末)や、これらユーザ端末同士を接続しているネットワーク機器(以下、CPE:Customer Premises Equipment)等によって構成されている。以下では、このようなユーザ端末やCPEを区別せずに「ユーザネットワーク」を構成する同一の機能を有する装置と考える際には、「ユーザ装置」と表現し、ユーザ端末とCPEとを区別して異なる機能を有する装置と考える際には、「ユーザ端末」や「CPE」と表現することとする。なお、以下の実施例においては、「ユーザ装置」として、「ユーザポリシサーバ」も登場する。
ところで、通常、「ユーザ装置」は、同じ「ユーザネットワーク」内の「ユーザ装置」との間でのみトラヒックを送受信するものではない。インターネットサービス提供者(以下、ISP:Internet Service Provider)等によって運営される「広域ネットワーク」によって、複数の「ユーザネットワーク」同士が通信可能に接続され、所定の「ユーザネットワーク」を構成している「ユーザ装置」は、他の「ユーザネットワーク」との間でトラヒックを送受信するものである。こうして、「ユーザ装置」が他の「ユーザネットワーク」との間でトラヒックを送受信するとなると、周知の通り、不要なトラヒックに対する対策技術が不可欠となってくる。
ここで、「不要なトラヒック」とは、攻撃トラヒックや、大量トラヒック等のことである。従来は、FW機能やIDS機能を備えた「ユーザ装置」が、パーソナルポリシ(特許請求の範囲に記載の「個別ポリシ」に対応する)に従ってトラヒックを制御することで、このような「不要なトラヒック」に対する対策を行ってきた。しかしながら、「不要なトラヒック」が、「広域ネットワーク」を経由して、所定の「ユーザネットワーク」から他の「ユーザネットワーク」に送信されることを考えるとわかるように、「不要なトラヒック」は、「広域ネットワーク」における入口のところにおいて遮断又は抑制されることが望ましい。このため、以下の実施例においては、「不要なトラヒック」が、所定の「ユーザネットワーク」から他の「ユーザネットワーク」に送信される際に経由することになる「広域ネットワーク装置」に、「不要なトラヒック」の対策を施すことになるが、どのようにしてパーソナルポリシを「広域ネットワーク装置」に設定するか、また、どのようにして「広域ネットワーク」における入口のところの「広域ネットワーク装置」に設定するかが、重要になってくる。
[実施例1に係るトラヒック制御システムの概要および特徴]
続いて、図1を用いて、実施例1に係るトラヒック制御システムの概要および特徴を説明する。図1は、実施例1に係るトラヒック制御システムの概要および特徴を説明するための図である。
実施例1に係るトラヒック制御システムは、上記したように、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数のネットワークユーザ同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して広域ネットワーク経由で送信されたトラヒックを制御することを概要とし、ユーザサイトのユーザ装置における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することを主たる特徴とする。
この主たる特徴について簡単に説明すると、実施例1に係るトラヒック制御システムは、図1に示すように、ユーザネットワークを構成するユーザ装置(ユーザ端末、CPE、ユーザポリシサーバ)のいずれか一つまたは複数が、広域ネットワークに接続するポリシ集約サーバに送信する(図1の(1)を参照)。
具体的には、ユーザ装置のいずれか一つまたは複数が、ユーザ装置(ユーザ端末、CPE、ユーザポリシサーバ)とユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックや、自ユーザネットワーク内でユーザ装置(ユーザポリシサーバ)が管理するその他のユーザ装置(ユーザ端末、CPE)と他のユーザネットワークとの間で送受信されるトラヒックについて、トラヒックを制御するルールを要素とする集合体である個別ポリシを、ポリシ集約サーバに対して送信する。例えば、実施例1においては、ユーザ装置として、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6が、個別ポリシを、ポリシ集約サーバ7に対して送信する。
次に、ポリシ集約サーバは、送信された個別ポリシ各々を受信する(図1の(2)を参照)。例えば、実施例1においては、ポリシ集約サーバ7は、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6から送信された個別ポリシ各々を受信する。
続いて、ポリシ集約サーバは、受信された個別ポリシ各々の要素であるルールを、ルールを設定すべき広域ネットワーク装置の各々に送信する(図1の(3)を参照)。例えば、実施例1においては、ポリシ集約サーバ7は、個別ポリシ各々の要素であるルールを、広域ネットワーク装置3A、3B、および3Cに送信する。
すると、広域ネットワーク装置は、送信されたルールを受信し(図1の(4)を参照)、受信したルールに従って、トラヒックを制御する(図1の(5)を参照)。例えば、実施例1においては、広域ネットワーク装置3A、3B、および3Cは、ポリシ集約サーバ7から送信されたルールを受信し、受信したルールに従って、トラヒックを制御する。
このようなことから、実施例1に係るトラヒック制御システムによれば、ユーザサイトのユーザ装置(ユーザ端末やCPEなど)における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することが可能になる。
[実施例1に係るトラヒック制御システムの構成]
次に、図2〜図35を用いて、実施例1に係るトラヒック制御システムの構成を説明する。図2は、実施例1に係るトラヒック制御システムの全体構成を示すブロック図であり、図3は、実施例1におけるユーザ端末の構成を示すブロック図であり、図4は、ユーザ端末のサービス情報記憶部を説明するための図であり、図5〜7は、ユーザ端末のルールセット記憶部を説明するための図であり、図8および9は、ユーザ端末のポリシ送信部を説明するための図であり、図10は、実施例1におけるユーザネットワーク装置(CPE)の構成を示すブロック図であり、図11は、CPEのサービス情報記憶部を説明するための図であり、図12〜14は、CPEのルールセット記憶部を説明するための図であり、図15および16は、CPEのポリシ送信部を説明するための図であり、図17は、実施例1におけるユーザポリシサーバの構成を示すブロック図であり、図18は、ユーザポリシサーバのサービス情報記憶部を説明するための図であり、図19〜23は、ユーザポリシサーバのルールセット記憶部を説明するための図であり、図24および25は、ユーザポリシサーバのポリシ送信部を説明するための図であり、図26は、実施例1におけるポリシ集約サーバの構成を示すブロック図であり、図27は、ポリシ集約サーバのユーザ情報記憶部を説明するための図であり、図28〜31は、ポリシ集約サーバのポリシデータ記憶部を説明するための図であり、図32は、ポリシ集約サーバの広域ネットワーク装置構成情報記憶部を説明するための図であり、図33は、ポリシ集約サーバの攻撃対策情報取得部を説明するための図であり、図34は、ポリシ集約サーバの対策ポリシ作成部を説明するための図であり、図35は、ポリシ集約サーバのポリシ集約部を説明するための図である。
まず、図2を用いて、実施例1に係るトラヒック制御システムの構成について説明する。実施例1に係るトラヒック制御システムは、図2に示すように、ユーザによって利用されるユーザ端末4A、4B、4C、4D、および4Eと、ユーザによって運用されるユーザネットワーク装置(CPE)5Aおよび5Bと、このようなユーザ端末やユーザネットワーク装置を含んで構成されているユーザネットワーク1B、1Cおよび1Dと、ユーザネットワークを構成するユーザポリシサーバ6と、ISP等によって運営され、複数のユーザネットワーク同士を通信可能に接続する広域ネットワーク1Aと、ユーザネットワークと広域ネットワーク1Aとの間に設置される広域ネットワーク装置3A、3B、および3Cと、広域ネットワーク1Aに接続するポリシ集約サーバ7とからなる。
また、図2に示すように、ユーザ端末4Aには、外部アドレス10.10.1.1が付与されており、ユーザ端末4Bには、内部アドレス192.168.1.1が付与されており、ユーザ端末4Cには、内部アドレス192.168.1.2が付与されており、ユーザ端末4Dには、内部アドレス192.168.1.1が付与されており、ユーザ端末4Eには、内部アドレス192.168.2.1が付与されており、CPE5Aには、外部アドレス10.10.1.2が付与されており、CPE5Bには、外部アドレス10.10.1.3が付与されており、ユーザポリシサーバ6には、内部アドレス192.168.2.2が付与されており、ポリシ集約サーバ7には、外部アドレス10.10.180.120が付与されている。また、ユーザ端末4Eおよびユーザポリシサーバ6は、非武装地帯(DMZ:DeMilitarized Zone)に設置されている。
なお、実施例1においては、広域ネットワーク装置3Aに、ユーザ端末4A、CPE5A、およびCPE5Bが接続されている事例を説明するが、本発明はこれに限られるものではなく、より多くのユーザ端末やCPEが接続されている事例や、ユーザ端末のみが接続されている事例など、いずれでもよい。また、実施例1においては、CPE5AおよびCPE5Bに、ユーザ端末4B、4C、4D、および4Eが接続されている事例を説明するが、本発明はこれに限られるものではなく、より多くのユーザ端末が接続されている事例など、いずれでもよい。言い換えると、本発明に係るトラヒック制御システムは、ユーザネットワークの具体的な構成について、実施例1(図2の事例)に限られるものではなく、ユーザ端末、CPE、およびユーザポリシサーバの数や接続形態等が異なるその他の構成についても、同様に適用することができるものである。
以下では、本発明に係るトラヒック制御システムを構成する代表的な装置として、ユーザ端末4A、ユーザ端末4B、CPE5A、ユーザポリシサーバ6、ポリシ集約サーバ7、および広域ネットワーク装置3Aについて、順に説明する。
[ユーザ端末4A]
実施例1におけるユーザ端末4Aは、図2に示すように、広域ネットワーク装置3Aに直接接続されるユーザ端末であって、特に本発明に密接に関連するものとしては、図3に示すように、ポリシ送信部401と、サービス情報記憶部402と、アドレス変換部403と、ルールセット記憶部404とを備える。なお、ポリシ送信部401は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部403は、特許請求の範囲に記載の「アドレス変換手段」に対応する。
サービス情報記憶部402は、ポリシ集約サーバ7のアドレスや認証情報を予め記憶している。具体的には、サービス情報記憶部402は、ポリシ集約サーバ7のアドレスや認証情報を予め記憶しており、これらのアドレスや認証情報は、後述するポリシ送信部401によってユーザ端末ポリシがポリシ集約サーバ7に送信される際に利用される。例えば、サービス情報記憶部402は、図4に示すように、ポリシ集約サーバのアドレス「10.10.180.120」と、ポート番号「1025」と、認証データ「abcd」とを対応づけて、予め記憶している。
ルールセット記憶部404は、ユーザ端末ポリシを予め記憶している。具体的には、ルールセット記憶部404は、ユーザ端末ポリシとして、FW、IDS、NAT(Network Address Translation)等のルールを予め記憶しており、これらのルールは、後述するポリシ送信部401によってポリシ集約サーバ7に送信される。
例えば、ルールセット記憶部404は、図5に示すようなFWのルールと、図6に示すようなIDSのルールと、図7に示すようなIDSのルールとを予め記憶している。まず、FWのルールについて説明すると、ルールセット記憶部404は、例えば、図5に示すように、入出力方向と、宛先アドレスと、送信元アドレスと、宛先ポート番号と、送信元ポート番号と、プロトコルと、プロトコル依存情報と、動作とを対応づけたFWのルールを予め記憶している。なお、プロトコル依存情報とは、例えば、プロトコルが「TCP(Transmission Control Protocol)」ならば、「SYN」、「ACK」、「RST」、「FIN」等のフラグを意味し、プロトコルが「ICMP(Internet Control Message Protocol)」ならば、「echo」、「echo-reply」等のメッセージタイプを意味する。
ここで、番号「4」のルールは、ユーザ端末4Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「any」(任意)で、送信元アドレスが「any」(任意)で、宛先ポート番号が「any」(任意)で、送信元ポート番号が「any」(任意)で、プロトコルが「any」(任意)で、プロトコル依存情報が無しのパケットについては、動作として「Reject」すると規定している。すなわち、ユーザ端末4Aは、番号「4」のルールによって、全てのパケットを原則的に「廃棄」することを規定しているのである。一方で、ユーザ端末4Aは、番号「1」〜「3」のルールによって、一部のパケットを例外的に「受信」することを規定している。例えば、番号「1」のルールは、ユーザ端末4Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「any」(任意)で、送信元アドレスが「any」(任意)で、宛先ポート番号が「8000」で、送信元ポート番号が「any」(任意)で、プロトコルが「TCP」で、プロトコル依存情報が「SYN」のパケットについては、動作として「Accept」すると規定している。
次に、IDSのルールについて説明すると、ルールセット記憶部404は、例えば、図6に示すように、検出対象(入出力方向、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、およびプロトコル依存情報)と、検出条件(異常検出閾値および異常検出閾値超過時間)と、対策とを対応づけたIDSのルールを予め記憶している。なお、プロトコル依存情報とは、例えば、プロトコルが「TCP」ならば、「SYN」、「ACK」、「RST」、「FIN」等のフラグを意味し、プロトコルが「ICMP」ならば、「echo」、「echo-reply」等のメッセージタイプを意味し、さらに、HTTP(HyperText Transfer Protocol)等のアプリケーションプロトコルやそのメッセージを含む。
ここで、番号「1」のルールは、ユーザ端末4Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「any」(任意)で、送信元アドレスが「any」(任意)で、宛先ポート番号が「any」(任意)で、送信元ポート番号が「HTTP(80)」で、プロトコルが「TCP」で、プロトコル依存情報が無しのパケットを検出対象とし、「50Mpps」を閾値として、この閾値を「3分」超過した場合に当該パケットを検出することを検出条件とし、検出対象を検出した際の対策として、「レート制限10Mpps」を行うことを規定している。
次に、NATのルールについて説明すると、ルールセット記憶部404は、例えば、図7に示すように、外部アドレスおよび外部ポート番号と、内部アドレスおよび内部ポート番号とを対応づけたNATのルールを予め記憶している。ここで、番号「1」のルールは、全ての内部アドレスが外部アドレス「10.10.1.1」に変換されることを規定している。
アドレス変換部403は、NATを使用している場合に、NATのルールに応じてアドレスやポート番号を変換する。具体的には、アドレス変換部403は、ルールセット記憶部404のFWのルールおよびIDSのルールに含まれる宛先アドレスおよび宛先ポート番号を、NATのルールに応じてネットワークで使用される宛先アドレスおよび宛先ポート番号へ変換する。
例えば、アドレス変換部403は、ルールセット記憶部404によって予め記憶されているFWのルール(図5を参照)に含まれる宛先アドレスを、NATのルール(図7を参照)に応じて、外部アドレス「10.10.1.1」に変換する(図8を参照)。また、アドレス変換部403は、ルールセット記憶部404によって予め記憶されているIDSのルール(図6を参照)に含まれる宛先アドレスを、NATのルール(図7を参照)に応じて、外部アドレス「10.10.1.1」に変換する(図9を参照)。
ポリシ送信部401は、ユーザ端末ポリシをポリシ集約サーバ7に送信する。具体的には、ポリシ送信部401は、アドレス変換部403によってアドレス変換されたルールセット(ルールセット記憶部404によって予め記憶されているFW、IDS、NAT等のルール)を、ポリシ集約サーバ7に送信する。例えば、ポリシ送信部401は、図8に示すようなFWのルールや、図9に示すようなIDSのルールを、ポリシ集約サーバ7に送信する。なお、ポリシ送信部401は、ユーザ端末ポリシを、ポリシ集約サーバ7に適時送信してもよいし、ポリシ集約サーバ7のポリシ受信部701からの要求に応じて送信してもよい。
[ユーザ端末4B]
実施例1におけるユーザ端末4Bは、図2に示すように、広域ネットワーク装置3Aに直接接続されるCPE5Aを介して、間接的に広域ネットワーク装置3Aに接続されるユーザ端末であって、ユーザ端末4Aのように、ポリシ送信部401と、サービス情報記憶部402と、アドレス変換部403と、ルールセット記憶部404とを備える必要はない。
[CPE5A]
実施例1におけるCPE5Aは、図2に示すように、広域ネットワーク装置3Aに直接接続され、ユーザ端末4B等を間接的に広域ネットワーク装置3Aに接続させるCPEであって、特に本発明に密接に関連するものとしては、図10に示すように、ポリシ送信部501と、サービス情報記憶部502と、アドレス変換部503と、ルールセット記憶部504とを備える。なお、ポリシ送信部501は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部503は、特許請求の範囲に記載の「アドレス変換手段」に対応する。
サービス情報記憶部502は、サービス情報記憶部402と同様、ポリシ集約サーバ7のアドレスや認証情報を予め記憶している。具体的には、サービス情報記憶部502は、ポリシ集約サーバ7のアドレスや認証情報を予め記憶しており、これらのアドレスや認証情報は、後述するポリシ送信部501によってユーザ端末ポリシがポリシ集約サーバ7に送信される際に利用される。例えば、サービス情報記憶部502は、図11に示すように、ポリシ集約サーバのアドレス「10.10.180.120」と、ポート番号「1025」と、認証データ「efgh」とを対応づけて、予め記憶している。
ルールセット記憶部504は、ルールセット記憶部404と同様、ユーザネットワーク装置ポリシを予め記憶している。具体的には、ルールセット記憶部504は、ユーザネットワーク装置ポリシとして、FW、IDS、NAT等のルールを予め記憶しており、これらのルールは、後述するポリシ送信部501によってポリシ集約サーバ7に送信される。
例えば、ルールセット記憶部504は、図12に示すようなFWのルールと、図13に示すようなIDSのルールと、図14に示すようなNATのルールとを予め記憶している。まず、FWのルールについて説明すると、ルールセット記憶部504は、例えば、図12に示すように、入出力方向と、宛先アドレスと、送信元アドレスと、宛先ポート番号と、送信元ポート番号と、プロトコルと、プロトコル依存情報と、動作とを対応づけたFWのルールを予め記憶している。
ここで、番号「6」のルールは、CPE5Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「any」(任意)で、送信元アドレスが「any」(任意)で、宛先ポート番号が「any」(任意)で、送信元ポート番号が「any」(任意)で、プロトコルが「any」(任意)で、プロトコル依存情報が無しのパケットについては、動作として「Reject」すると規定している。すなわち、CPE5Aは、番号「6」のルールによって、全てのパケットを原則的に「廃棄」することを規定しているのである。一方で、CPE5Aは、番号「1」〜「5」のルールによって、一部のパケットを例外的に「受信」することを規定している。例えば、番号「1」のルールは、CPE5Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「192.168.1.1」で、送信元アドレスが「any」(任意)で、宛先ポート番号が「HTTP(80)」で、送信元ポート番号が「any」(任意)で、プロトコルが「TCP」で、プロトコル依存情報が「SYN」のパケットについては、動作として「Accept」すると規定している。
次に、IDSのルールについて説明すると、ルールセット記憶部504は、例えば、図13に示すように、検出対象(入出力方向、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、およびプロトコル依存情報)と、検出条件(異常検出閾値および異常検出閾値超過時間)と、対策とを対応づけたIDSのルールを予め記憶している。
ここで、番号「1」のルールは、CPE5Aにとって「INPUT」の方向のパケットであって、宛先アドレスが「192.168.1.1」で、送信元アドレスが「any」(任意)で、宛先ポート番号が「HTTP(80)」で、送信元ポート番号が「any」(任意)で、プロトコルが「TCP」で、プロトコル依存情報が「SYN」のパケットを検出対象とし、「50Mpps」を閾値として、この閾値を「3分」超過した場合に当該パケットを検出することを検出条件とし、検出対象を検出した際の対策として、「レート制限10Mpps」を行うことを規定している。
次に、NATのルールについて説明すると、ルールセット記憶部504は、例えば、図14に示すように、外部アドレスおよび外部ポート番号と、内部アドレスおよび内部ポート番号とを対応づけたNATのルールを予め記憶している。ここで、番号「1」のルールは、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせのパケットについては、外部アドレス「10.10.1.2」および外部ポート番号「HTTP(80)」の組み合わせのパケットに変換されることを規定している。
アドレス変換部503は、アドレス変換部403と同様、NATを使用している場合に、NATのルールに応じてアドレスやポート番号を変換する。具体的には、アドレス変換部503は、ルールセット記憶部504のFWのルールおよびIDSのルールに含まれる宛先アドレスおよび宛先ポート番号を、NATのルールに応じてネットワークで使用される宛先アドレスおよび宛先ポート番号へ変換する。
例えば、アドレス変換部503は、ルールセット記憶部504によって予め記憶されているFWのルール(図12を参照)に含まれる宛先アドレスを、NATのルール(図14を参照)に応じて、外部アドレス「10.10.1.2」に変換する(図15を参照)。また、アドレス変換部503は、ルールセット記憶部504によって予め記憶されているIDSのルール(図13を参照)に含まれる宛先アドレスを、NATのルール(図14を参照)に応じて、外部アドレス「10.10.1.2」に変換する(図16を参照)。
ポリシ送信部501は、ポリシ送信部401と同様、ユーザネットワーク装置ポリシをポリシ集約サーバ7に送信する。具体的には、ポリシ送信部501は、アドレス変換部503によってアドレス変換されたルールセット(ルールセット記憶部504によって予め記憶されているFW、IDS、NAT等のルール)を、ポリシ集約サーバ7に送信する。例えば、ポリシ送信部501は、図15に示すようなFWのルールや、図16に示すようなIDSのルールを、ポリシ集約サーバ7に送信する。
[ユーザポリシサーバ6]
実施例1におけるユーザポリシサーバ6は、図2に示すように、広域ネットワーク装置3Aに直接接続されるCPE5Bを介して、間接的に広域ネットワーク装置3Aに接続されるユーザポリシサーバであって、特に本発明に密接に関連するものとしては、図17に示すように、ポリシ送信部601と、サービス情報記憶部602と、アドレス変換部603と、ルールセット記憶部604と、ポリシ取得部605とを備える。なお、ポリシ送信部601は、特許請求の範囲に記載の「ポリシ送信手段」に対応し、アドレス変換部603は、特許請求の範囲に記載の「アドレス変換手段」に対応し、ポリシ取得部605は、特許請求の範囲に記載の「ポリシ取得手段」に対応する。また、以下の実施例においては、ユーザポリシサーバ6が単独の装置としてトラヒック制御システムを構成する事例を説明するが、本発明はこれに限られるものではなく、ユーザポリシサーバ6が、CPEに具備される機能としてトラヒック制御システムを構成する事例など、具体的な実現形態はいずれでもよい。
サービス情報記憶部602は、サービス情報記憶部402と同様、ポリシ集約サーバ7のアドレスや認証情報を予め記憶している。具体的には、サービス情報記憶部602は、ポリシ集約サーバ7のアドレスや認証情報を予め記憶しており、これらのアドレスや認証情報は、後述するポリシ送信部601によってポリシがポリシ集約サーバ7に送信される際に利用される。例えば、サービス情報記憶部602は、図18に示すように、ポリシ集約サーバのアドレス「10.10.180.120」と、ポート番号「1025」と、認証データ「ijkl」とを対応づけて、予め記憶している。
ルールセット記憶部604は、ルールセット記憶部404と同様、ポリシを予め記憶している。具体的には、ルールセット記憶部604は、ポリシとして、FW、IDS、NAT等のルールを予め記憶しており、これらのルールは、後述するポリシ送信部601によってポリシ集約サーバ7に送信される。もっとも、ルールセット記憶部404は、ユーザ端末自身のユーザ端末ポリシを予め記憶しており、ルールセット記憶部504は、ユーザネットワーク装置自身のユーザネットワーク装置ポリを予め記憶しているが、ルールセット記憶部604は、ユーザポリシサーバ6が管理するユーザ端末のユーザ端末ポリシや、ユーザポリシサーバ6が管理するユーザネットワーク装置のユーザネットワーク装置ポリシを予め記憶するものである。
なお、ルールセット記憶部604がこれらユーザ端末ポリシやユーザネットワーク装置ポリシを保持する手法としては、ユーザポリシサーバ6がユーザによる設定を受け付けることで保持する手法や、後述するポリシ取得部605によって、例えば、ユーザ端末4Dのルールセット記憶部404や、CPE5Bのルールセット記憶部504から取得して保持する手法など、いずれでもよい。
例えば、ルールセット記憶部604は、図19および20に示すようなFWのルールと、図21および22に示すようなIDSのルールとを予め記憶している。ここで、図19は、後述するポリシ取得部605が、ユーザ端末4Dのルールセット記憶部404から取得して、ルールセット記憶部604が保持したFWルールを示すものであり、図20は、後述するポリシ取得部605が、CPE5Bのルールセット記憶部504から取得して、ルールセット記憶部604が保持したFWルールを示すものである。同様に、図21は、後述するポリシ取得部605が、ユーザ端末4Dのルールセット記憶部404から取得して、ルールセット記憶部604が保持したIDSルールを示すものであり、図22は、後述するポリシ取得部605が、CPE5Bのルールセット記憶部504から取得して、ルールセット記憶部604が保持したIDSルールを示すものである。
次に、NATのルールについて説明すると、ルールセット記憶部604は、例えば、図23に示すように、外部アドレスおよび外部ポート番号と、内部アドレスおよび内部ポート番号とを対応づけたNATのルールを予め記憶している。ここで、番号「1」のルールは、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせのパケットについては、外部アドレス「10.10.1.3」および外部ポート番号「HTTP(80)」の組み合わせのパケットに変換されることを規定している。
アドレス変換部603は、アドレス変換部403と同様、NATを使用している場合に、NATのルールに応じてアドレスやポート番号を変換する。具体的には、アドレス変換部603は、ルールセット記憶部604のFWのルールおよびIDSのルールに含まれる宛先アドレスおよび宛先ポート番号を、NATのルールに応じてネットワークで使用される宛先アドレスおよび宛先ポート番号へ変換する。
例えば、アドレス変換部603は、ルールセット記憶部604によって予め記憶されている一部のFWのルール(図19および20を参照)に含まれる宛先アドレスを、NATのルール(図23を参照)に応じて、外部アドレス「10.10.1.3」に変換する(図24を参照)。また、アドレス変換部603は、ルールセット記憶部604によって予め記憶されているIDSのルール(図21および22を参照)に含まれる宛先アドレスを、NATのルール(図23を参照)に応じて、外部アドレス「10.10.1.3」に変換する(図25を参照)。
ポリシ送信部601は、ポリシ送信部401と同様、ユーザ端末ポリシやユーザネットワーク装置ポリシをポリシ集約サーバ7に送信する。具体的には、ポリシ送信部601は、アドレス変換部603によってアドレス変換されたルールセット(ルールセット記憶部604によって予め記憶されているFW、IDS、NAT等のルール)を、ポリシ集約サーバ7に送信する。例えば、ポリシ送信部601は、図24に示すようなFWのルールや、図25に示すようなIDSのルールを、ポリシ集約サーバ7に送信する。
ポリシ取得部605は、ユーザ端末やユーザネットワーク装置と、他のユーザネットワーク装置との間で送受信されるトラヒックについて、トラヒックを制御するルールを要素とする集合体であるユーザ端末ポリシやユーザネットワーク装置ポリシを、ユーザ端末やユーザネットワーク装置から取得する。
[ポリシ集約サーバ7]
実施例1におけるポリシ集約サーバ7は、図2に示すように、広域ネットワーク1Aに接続され、特に本発明に密接に関連するものとしては、図26に示すように、ポリシ受信部701と、ユーザ情報記憶部702と、ポリシ管理部703と、ポリシデータ記憶部704と、ポリシ集約部705と、制御管理部706と、対策ポリシ作成部707と、攻撃対策情報取得部708と、広域ネットワーク装置構成情報記憶部709とを備える。なお、ポリシ受信部701は、特許請求の範囲に記載の「ポリシ受信手段」に対応し、ポリシ管理部703は、特許請求の範囲に記載の「判断手段」に対応し、ポリシ集約部705および制御管理部706は、特許請求の範囲に記載の「ルール送信手段」に対応し、対策ポリシ作成部707は、特許請求の範囲に記載の「対策ポリシ作成手段」に対応し、攻撃対策情報取得部708は、特許請求の範囲に記載の「攻撃対策情報取得手段」に対応する。
ユーザ情報記憶部702は、個別ポリシの送信元の正当性の検証に必要な情報や、個別ポリシの要素であるFWルールやIDSルールの正当性の検証に必要な情報を予め記憶している。具体的には、ユーザ情報記憶部702は、個別ポリシの送信元の正当性の検証に必要な情報として、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6のアドレスや認証情報等を予め記憶し、個別ポリシの要素であるFWルールやIDSルールの正当性の検証に必要な情報として、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6が送信してくるFWルールやIDSルールの宛先アドレスとして許容されるアドレス等を予め記憶し、記憶しているこれらの情報は、ポリシ受信部701における検証に利用されるなどする。
例えば、ユーザ情報記憶部702は、図27に示すように、ユーザID(UID)「A」と、送信元アドレス「10.10.1.1」と、認証情報「abcd」と、割当てアドレス「10.10.1.1」とを対応づけて、予め記憶している。
なお、実施例1においては、ユーザ情報記憶部702が、個別ポリシ各々の正当性を検証する情報として、上記のような情報を予め記憶している例を説明したが、本発明はこれに限られるものではなく、個別ポリシ各々の正当性を運用の形態に即して検証することができる情報であれば、具体的な情報はいずれでもよい。また、実施例1においては、ポリシ受信部701が、個別ポリシ各々を受信する際に個別ポリシ各々の正当性を検証する手法を採用することから、ポリシ集約サーバ7は、このユーザ情報記憶部702を備えているが、本発明はこれに限られるものではなく、ポリシ受信部701が、個別ポリシ各々の正当性を検証しない手法(個別ポリシ各々を検証せずにそのまま受信するなど)を採用する場合には、ポリシ集約サーバ7が、このユーザ情報記憶部702を備える必要もない。
ポリシデータ記憶部704は、個別ポリシ、集約ポリシ、および対策ポリシを記憶する。具体的には、ポリシデータ記憶部704は、ポリシ受信部701、ポリシ集約部705、および対策ポリシ作成部707から、ポリシ管理部703の仲介によって、個別ポリシ、集約ポリシ、あるいは、対策ポリシの引渡しを受けたり、記憶している個別ポリシ、集約ポリシ、あるいは対策ポリシを、ポリシ管理部703の仲介によって、ポリシ集約部705や制御管理部706に引き渡したりする。例えば、ポリシデータ記憶部704は、ポリシ受信部701によって受信された個別ポリシを記憶したり、ポリシ集約部705によって作成された集約ポリシを記憶したり、対策ポリシ作成部707によって作成された対策ポリシを記憶したりする。
例えば、ポリシデータ記憶部704は、図28に示すような個別ポリシ(FWのルール)や、図29に示すような個別ポリシ(IDSのルール)を記憶する。また、例えば、ポリシデータ記憶部704は、図30に示すような集約ポリシ(FWのルール)や、図31に示すような集約ポリシ(IDSのルール)を記憶する。また、例えば、ポリシデータ記憶部704は、図34に示すような対策ポリシや、図35に示すような、対策ポリシを反映した集約ポリシを記憶する。
広域ネットワーク装置構成情報記憶部709は、広域ネットワーク装置別ルールを作成するために必要な情報を予め記憶している。具体的には、広域ネットワーク装置構成情報記憶部709は、広域ネットワーク装置別ルールを作成するために必要な情報として、広域ネットワーク装置3A、3B、および3Cの設定方法、設定可能なルール種別、ルール書式等を、予め記憶し、記憶しているこれらの情報は、制御管理部706における処理に利用されるなどする。
例えば、広域ネットワーク装置構成情報記憶部709は、図32に示すように、装置番号「3A」と、設定方法「telnet/CL1、10.10.10.1 passwd:xxxx」と設定可能ルール種別「FW」と、ルール書式「メーカAフォーマット」とを対応づけて、予め記憶している。なお、攻撃対策情報取得方法は、攻撃対策情報取得部708によって利用される情報である。
なお、実施例1においては、広域ネットワーク装置構成情報記憶部709が、広域ネットワーク装置別ルールを作成するために必要な情報として、上記のような情報を予め記憶している例を説明したが、本発明はこれに限られるものではなく、運用の形態に即して広域ネットワーク装置別ルールを作成する情報であれば、具体的な情報はいずれでもよい。
ポリシ受信部701は、送信された個別ポリシ各々を受信する。具体的には、ポリシ受信部701は、ユーザ端末4A、CPE5A、ユーザポリシサーバ6から送信された個別ポリシ各々を受信し、受信した個別ポリシ各々を、ポリシデータ記憶部704に記憶させる。また、実施例1におけるポリシ受信部701は、個別ポリシ各々を受信する際に、個別ポリシ各々の正当性を検証する。なお、ポリシ受信部701による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)を説明する際に、詳述することとする。
ポリシ集約部705は、集約ポリシを作成する。具体的には、ポリシ集約部705は、ポリシ受信部701によって受信され、ポリシデータ記憶部704に記憶された個別ポリシについて、個別ポリシ各々の要素であるルールから、ルールについて集約した集約ルールを作成し、集約ルールを要素とする集合体である集約ポリシを作成し、作成した集約ポリシを、ポリシ管理部703の仲介により、ポリシデータ記憶部704に記憶させる。
また、実施例1におけるポリシ集約部705は、集約ルールを作成する際に、集約ルールに従ってトラヒックが制御されることになるユーザ装置(ユーザ端末4A、CPE5A、ユーザポリシサーバ6)に関する情報を統計情報として作成し、作成した統計情報は、ポリシ管理部703における判断に利用されるなどする。また、実施例1におけるポリシ集約部705は、後述する対策ポリシ作成部707によって作成され、ポリシデータ記憶部704に記憶された対策ポリシを、ポリシデータ記憶部704に記憶されている集約ポリシに反映する。なお、ポリシ集約部705による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)、および、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を説明する際に、詳述することとする。
制御管理部706は、広域ネットワーク装置別ルールを、広域ネットワーク装置に設定する。具体的には、制御管理部706は、ポリシ集約部705によって作成され、ポリシデータ記憶部704に記憶された集約ポリシの要素である集約ルールから、集約ルールが設定される必要がある広域ネットワーク装置に適した形態の広域ネットワーク装置別ルール(FW処理やIDS処理のルール)を作成し、作成した広域ネットワーク装置別ルールを、当該広域ネットワーク装置別ルールが設定される必要がある広域ネットワーク装置に設定する。なお、制御管理部706による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)を説明する際に、詳述することとする。
ポリシ管理部703は、ポリシを管理する。具体的には、ポリシ管理部703は、ポリシ受信部701と、ポリシ集約部705と、制御管理部706と、対策ポリシ作成部707と、ポリシデータ記憶部704との間で、個別ポリシ、集約ポリシ、あるいは、対策ポリシ等の引渡しを仲介するなどして、ポリシを管理する。例えば、ポリシ管理部703は、ポリシ受信部701によって受信された個別ポリシを、ポリシデータ記憶部704に記憶させたり、ポリシ集約部705によって作成されポリシデータ記憶部704に記憶された集約ポリシを、制御管理部706に送信したり、対策ポリシ作成部707によって作成された対策ポリシを、ポリシデータ記憶部704に記憶させたりする。
また、実施例1におけるポリシ管理部703は、ポリシ集約部705によって作成された統計情報に基づいて、集約ルールを、集約ルールに従ってトラヒックが制御されることになるユーザ装置(ユーザ端末、CPE、ユーザポリシサーバ)以外の他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断する機能(特許請求の範囲に記載の「判断手段」に対応する)を備える。なお、ポリシ管理部703による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)、および、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を説明する際に、詳述することとする。
攻撃対策情報取得部708は、攻撃対策情報を取得する。具体的には、攻撃対策情報取得部708は、広域ネットワーク装置において検出した攻撃パケットを識別する識別情報、および、当該攻撃パケットに対する対策情報を含む攻撃対策情報を、広域ネットワーク装置から取得し、取得した攻撃対策情報は、対策ポリシ作成部707による処理に利用されるなどする。なお、攻撃対策情報取得部708による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を説明する際に、詳述することとする。
対策ポリシ作成部707は、対策ポリシを作成する。具体的には、対策ポリシ作成部707は、攻撃対策情報取得部708によって取得された攻撃対策情報から、当該攻撃対策情報に基づいてトラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成し、作成した対策ポリシを、ポリシ管理部703の仲介により、ポリシデータ記憶部704に記憶させる。また、実施例1においては、ポリシデータ記憶部704に記憶された対策ポリシは、ポリシ集約部705によって、集約ポリシに反映されるなどする。なお、攻撃対策情報取得部708による具体的な処理については、後に、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を説明する際に、詳述することとする。
[広域NW装置3A]
実施例1における広域ネットワーク装置3A(3Bおよび3Cも同様)は、パケットフィルタ機能を有するルータやFW装置、あるいは、IDS機能を有するFW装置等であり、設定されたFWのルールに従ってパケットを遮断又は抑制するとともに、設定されたIDSのルールに従って攻撃を検出する。図示してはいないが、広域ネットワーク装置3Aは、ポリシ集約サーバ7によって送信された広域ネットワーク装置別ルールを受信する部(特許請求の範囲に記載の「ルール受信手段」に対応する)と、受信した広域ネットワーク装置別ルールに従って、トラヒックを制御する部(特許請求の範囲に記載の「トラヒック制御手段」に対応する)とを備える。
[実施例1に係るトラヒック制御システムによる処理の手順]
次に、図36〜41を用いて、実施例1に係るトラヒック制御システムによる処理の手順を説明する。図36は、ユーザ端末による処理の手順を示すフローチャートであり、図37は、CPEによる処理の手順を示すフローチャートであり、図38は、ユーザポリシサーバによる処理の手順を示すフローチャートであり、図39は、ポリシ集約サーバによる処理の手順(個別ポリシ受信時)を示すフローチャートであり、図40は、ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を示すフローチャートであり、図41は、ポリシ集約サーバによるポリシ受信処理の手順を示すフローチャートである。
[ユーザ端末による処理の手順]
以下では、ユーザ端末4Aによる処理の手順を一例として説明すると、図36に示すように、まず、ユーザ端末4Aは、アドレス変換部403において、ルールセット記憶部404によって記憶されているFWルール、IDSルール、およびNATルールのうち、NATルール以外の各ルール(FWルールおよびIDSルール)について、宛先アドレスおよび/または宛先ポート番号を、NATルールに基づいて変換し、変換したFWルールおよびIDSルールを、ポリシ送信部401に引き渡す(ステップS1)。
例えば、ルールセット記憶部404によって記憶されているNATルール「1」で、ユーザ端末4Aのアドレス「A」が、アドレス「B」に変換されるように規定されていた場合には、ユーザ端末4Aは、アドレス変換部403において、FWルールおよびIDSルールに含まれるアドレス「A」の宛先アドレスを、アドレス「B」に変換する。また、ルールセット記憶部404によって記憶されているNATルール「2」で、ユーザ端末4Aのアドレス「C」およびポート番号「D」の組み合わせが、アドレス「E」およびポート番号「F」の組み合わせに変換されるように規定されていた場合には、ユーザ端末4Aは、アドレス変換部403において、FWルールおよびIDSルールに含まれるアドレス「C」およびポート番号「D」の組み合わせを、アドレス「E」およびポート番号「F」の組み合わせに変換する。
なお、ユーザ端末4AがNAT機能を備えていない場合には、ユーザ端末4Aは、ルールセット記憶部404においてNATルールを記憶していないことから、ユーザ端末4Aは、アドレス変換部403において、ルールセット記憶部404によって記憶されているFWルールおよびIDSルールを、単にポリシ送信部401に引き渡す。
次に、ユーザ端末4Aは、ポリシ送信部401において、アドレス変換部403から引き渡されたFWルールおよびIDSルールを、個別ポリシとして、サービス情報記憶部402に記憶されている情報を用いて、ポリシ集約サーバ7に送信する(ステップS2)。ここで、サービス情報記憶部402は、送信先であるポリシ集約サーバ7のアドレスやポート番号、認証情報等、個別ポリシの送信に必要な情報を記憶している。
例えば、図5のFWルールや図6のIDSルールの例では、各FWルールやIDSルールの宛先アドレスを「any」(任意)と規定しており、図7のNATルールの例では、全ての内部アドレスを外部アドレス「10.10.1.1」に変換することを規定している。したがって、ユーザ端末4Aは、アドレス変換部403において、図5のFWルールや図6のIDSルールを、図8のFWルールや図9のIDSルールのように、全てのルールの宛先アドレスを「10.10.1.1」に変換する。
なお、実施例1においては、ルールセットが1つのみの場合について説明したが、本発明はこれに限られるものではなく、ルールセットが複数の場合など、いずれでもよい。なお、ルールセットが複数の場合には、個別ポリシでルールセットを区別するように、各ルールには、ルールセットを区別するためのルールセット番号を追加するなどする。
[CPEによる処理の手順]
以下では、CPE5Aによる処理の手順を一例として説明すると、図37に示すように、まず、CPE5Aは、アドレス変換部503において、ルールセット記憶部504によって記憶されているFWルール、IDSルール、およびNATルールのうち、NATルール以外の各ルール(FWルールおよびIDSルール)について、宛先アドレスおよび/または宛先ポート番号を、NATルールに基づいて変換し、変換したFWルールおよびIDSルールを、ポリシ送信部501に引き渡す(ステップS11)。
例えば、ルールセット記憶部504によって記憶されているNATルール「1」で、CPE5Aのアドレス「A」が、アドレス「B」に変換されるように規定されていた場合には、CPE5Aは、アドレス変換部503において、FWルールおよびIDSルールに含まれるアドレス「A」の宛先アドレスを、アドレス「B」に変換する。また、ルールセット記憶部504によって記憶されているNATルール「2」で、CPE5Aのアドレス「C」およびポート番号「D」の組み合わせが、アドレス「E」およびポート番号「F」の組み合わせに変換されるように規定されていた場合には、CPE5Aは、アドレス変換部503において、FWルールおよびIDSルールに含まれるアドレス「C」およびポート番号「D」の組み合わせを、アドレス「E」およびポート番号「F」の組み合わせに変換する。
なお、CPE5AがNAT機能を備えていない場合には、CPE5Aは、ルールセット記憶部504においてNATルールを記憶していないことから、CPE5Aは、アドレス変換部503において、ルールセット記憶部504によって記憶されているFWルールおよびIDSルールを、単にポリシ送信部501に引き渡す。
次に、CPE5Aは、ポリシ送信部501において、アドレス変換部503から引き渡されたFWルールおよびIDSルールを、個別ポリシとして、サービス情報記憶部502に記憶されている情報を用いて、ポリシ集約サーバ7に送信する(ステップS12)。ここで、サービス情報記憶部502は、送信先であるポリシ集約サーバ7のアドレスやポート番号、認証情報等、個別ポリシの送信に必要な情報を記憶している。
例えば、図14のNATルールの例では、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.2」および外部ポート番号「80」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.2」および外部ポート番号「3000」の組み合わせに変換し、その他の内部アドレスおよび内部ポート番号の組み合わせについては、任意の内部アドレスを外部アドレス「10.10.1.2」に変換することを規定している。したがって、CPE5Aは、アドレス変換部503において、図12のFWルールや図13のIDSルールを、図15のFWルールや図16のIDSルールのように、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.2」および外部ポート番号「80」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.2」および外部ポート番号「3000」の組み合わせに変換し、その他の内部アドレスおよび内部ポート番号の組み合わせについては、任意の内部アドレスを外部アドレス「10.10.1.2」に変換する。
なお、実施例1においては、ルールセットが1つのみの場合について説明したが、本発明はこれに限られるものではなく、ルールセットが複数の場合など、いずれでもよい。なお、ルールセットが複数の場合には、個別ポリシでルールセットを区別するように、各ルールには、ルールセットを区別するためのルールセット番号を追加するなどする。
[ユーザポリシサーバによる処理の手順]
以下では、ユーザポリシサーバ6による処理の手順を一例として説明する。なお、ユーザ端末4Dは、ルールセット記憶部404において、複数のFWルールおよびIDSルールを予め記憶しており、CPE5Bは、ルールセット記憶部504において、複数のFWルール、IDSルールおよびNATルールを予め記憶しているものとする。図38に示すように、まず、ユーザポリシサーバ6は、ポリシ取得部605において、ユーザ端末4Dのルールセット記憶部404、および、CPE5Bのルールセット記憶部504から、各々のルールセットを取得し、ルールセット記憶部604に記憶する。また、ユーザポリシサーバ6が、ルールセット記憶部604に記憶するルールセットは、ユーザから直接入力されてもよい(ステップS20)。
次に、ユーザポリシサーバ6は、アドレス変換部603において、ルールセット記憶部604によって記憶されているFWルール、IDSルール、およびNATルールのうち、NATルール以外の各ルール(FWルールおよびIDSルール)について、宛先アドレスおよび/または宛先ポート番号を、NATルールに基づいて変換し、変換したFWルールおよびIDSルールを、ポリシ送信部601に引き渡す(ステップS21)。
例えば、ルールセット記憶部604によって記憶されているNATルール「1」で、ユーザポリシサーバ6のアドレス「A」が、アドレス「B」に変換されるように規定されていた場合には、ユーザポリシサーバ6は、アドレス変換部603において、FWルールおよびIDSルールに含まれるアドレス「A」の宛先アドレスを、アドレス「B」に変換する。また、ルールセット記憶部604によって記憶されているNATルール「2」で、ユーザポリシサーバ6のアドレス「C」およびポート番号「D」の組み合わせが、アドレス「E」およびポート番号「F」の組み合わせに変換されるように規定されていた場合には、ユーザポリシサーバ6は、アドレス変換部603において、FWルールおよびIDSルールに含まれるアドレス「C」およびポート番号「D」の組み合わせを、アドレス「E」およびポート番号「F」の組み合わせに変換する。
なお、ユーザポリシサーバ6がNAT機能を備えていない場合には、ユーザポリシサーバ6は、ルールセット記憶部604においてNATルールを記憶していないことから、ユーザポリシサーバ6は、アドレス変換部603において、ルールセット記憶部604によって記憶されているFWルールおよびIDSルールを、単にポリシ送信部601に引き渡す。
次に、ユーザポリシサーバ6は、ポリシ送信部601において、アドレス変換部603から引き渡されたFWルールおよびIDSルールを、個別ポリシとして、サービス情報記憶部602に記憶されている情報を用いて、ポリシ集約サーバ7に送信する(ステップS22)。ここで、サービス情報記憶部602は、送信先であるポリシ集約サーバ7のアドレスやポート番号、認証情報等、個別ポリシの送信に必要な情報を記憶している。
例えば、図23のNATルールの例では、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「80」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「53」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「53」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「25」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「25」の組み合わせに変換し、その他の内部アドレスおよび内部ポート番号の組み合わせについては、任意の内部アドレスを「外部アドレス「10.10.1.3」に変換することを規定している。したがって、ユーザポリシサーバ6は、アドレス変換部503において、図19および20のFWルールや図21および22のIDSルールを、図24のFWルールや図25のIDSルールのように、内部アドレス「192.168.1.1」および内部ポート番号「80」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「80」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「53」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「53」の組み合わせに変換し、内部アドレス「192.168.1.2」および内部ポート番号「25」の組み合わせを、外部アドレス「10.10.1.3」および外部ポート番号「25」の組み合わせに変換し、その他の内部アドレスおよび内部ポート番号の組み合わせについては、任意の内部アドレスを「外部アドレス「10.10.1.3」に変換する。
なお、ルールセットが複数の場合であるので、個別ポリシでルールセットを区別するように、各ルールには、ルールセットを区別するためのルールセット番号を追加するなどする。
このように、アドレス変換部403、503および603によって、ポリシ送信部401、501および601がポリシ集約サーバ7に送信する個別ポリシのFWルールおよびIDSルールに含まれる宛先アドレスおよび宛先ポート番号は、ネットワーク1A、1Cおよび1Dで使用されるアドレスおよびポート番号に変換されているので、この個別ポリシを用いて集約ポリシが作成され、集約ポリシから広域ネットワーク装置別ルールが作成され、広域ネットワーク装置に広域ネットワーク装置別ルールが設定されると、広域ネットワーク装置3A、3Bおよび3Cにおいて、FW処理やIDS処理を行うことが可能になる。
[ポリシ集約サーバによる処理の手順(個別ポリシ受信時)]
以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6から個別ポリシを受信した時の処理の手順)を一例として説明すると、図39に示すように、まず、ポリシ集約サーバ7は、ポリシ受信部701において、ユーザ端末4Aのポリシ送信手段401、CPE5Aのポリシ送信手段501、およびユーザポリシサーバ6のポリシ送信手段601から送信された個別ポリシ各々を受信し、ユーザ情報記憶部702によって記憶された情報を用いて、個別ポリシの正当性の確認、並びに、個別ポリシに含まれる各ルールに必要な補完を施し、ポリシ管理部703に引き渡す(ステップS301)。
ここで、ポリシ受信部701の具体的な処理の手順を説明すると、図41に示すように、ポリシ集約サーバ7は、ポリシ受信部701において、ユーザ端末4Aのポリシ送信手段401、CPE5Aのポリシ送信手段501、およびユーザポリシサーバ6のポリシ送信手段601から送信された個別ポリシ各々を受信する(ステップS401)。
ユーザ情報記憶部702には、図27のユーザ情報の例のように、個別ポリシの送信元の正当性の検証に必要な情報(ユーザ端末4A、CPE5A、およびユーザポリシサーバ6のアドレスや認証情報等)や、個別ポリシの要素であるFWルールやIDSルールの正当性の検証に必要な情報(ユーザ端末4A、CPE5A、およびユーザポリシサーバ6が送信してくるFWルールやIDSルールの宛先アドレスとして許容されるアドレス等)が予め記憶されている。
このため、ポリシ集約サーバ7は、ポリシ受信部701において、ユーザ情報記憶部702によって記憶されている情報を用いて、個別ポリシの送信元の正当性と、個別ポリシに含まれるFWルールおよびIDSルールの正当性とを検証し、不正な個別ポリシについては、受信を拒否する、もしくは、破棄するなどする(ステップS402)。
例えば、実施例1においては、ポリシ集約サーバ7は、ポリシ受信部701において、送信元アドレスが、「10.10.1.1」、「10.10.1.2」、あるいは「10.10.1.3」以外の個別ポリシを破棄する。また、ポリシ集約サーバ7は、ポリシ受信部701において、送信元アドレスが、「10.10.1.1」、「10.10.1.2」、あるいは「10.10.1.3」でも、認証情報が不一致の場合は、個別ポリシの受信を拒否したり、受信後破棄するなどする。正当性が確認された個別ポリシについて、ポリシ集約サーバ7は、ポリシ受信部701において、次に、ルールの正当性を検証する。実施例1においては、送信元アドレスが「10.10.1.1」のユーザの割り当てアドレスは「10.10.1.1」であるので、送信元アドレス「10.10.1.1」から受信した個別ポリシのルールの送信アドレスの値は、「10.10.1.1」あるいは任意の値を示す「any」でなければならない。このため、ポリシ集約サーバ7は、ポリシ受信部701において、送信元アドレスが「10.10.1.1」あるいは「any」以外のルールを含む個別ポリシを、不正なものとして破棄する。
続いて、ポリシ集約サーバ7は、ポリシ受信部701において、ルールの正当性が確認された個別ポリシの各ルールの内、宛先アドレスが特定されていないルールについては、その個別ポリシの送信元に許容されている宛先アドレスを、ユーザ情報記憶部702によって記憶されている情報を用いて補完する(ステップS403)。
例えば、実施例1においては、送信元アドレス「10.10.1.2」のユーザ装置は、CPE5Aであり、その割り当てアドレスは「10.10.1.2」であるので、図15のCPE5AのFWルールの例のR1015およびR1016、図16のCPE5AのIDSルールの例のR1113の宛先アドレス「any」は、割り当てアドレス「10.10.1.2」に置き換えられ、図28のR2115およびR2116、図29のR2513になる。また、割り当てアドレスが「10.10.1.1」および「10.10.2.0/24」(ネットワークアドレス)のように複数の場合、宛先アドレスは、「10.10.1.1」および「10.10.2.0/24」のように複数のアドレスに置き換えられる。この検証および補完を行うことで、後述するポリシ集約部705でのポリシ集約処理において、不正な送信者からの個別ポリシの混入や、不正な個別ポリシの混入を回避することが可能になる。
そして、ポリシ集約サーバ7は、ポリシ受信部701において、個別ポリシを、ポリシ管理部703に引き渡す(ステップS404)。
すると、ポリシ集約サーバ7は、ポリシ管理部703において、ポリシ受信部701から引き渡された個別ポリシ、後述するポリシ集約部705で作成された集約ポリシ、および対策ポリシ作成部707で作成された対策ポリシをポリシデータ記憶部704に保持し管理する(S302)。
実施例1においては、図28のFWルールの例と、図29のIDSルールの例が、ポリシ受信部701からポリシ管理部703に引き渡され、ポリシデータ記憶部704に保存される。
その後、ポリシ集約サーバ7は、ポリシ受信部701から引き渡された個別ポリシと、ポリシデータ記憶部704に保持されている集約ポリシとを、ポリシ集約部705に引渡し、ポリシ集約部705は、個別ポリシと集約ポリシとから、新たな集約ポリシを作成する(ステップS303)。
このポリシ集約部705は、各個別ポリシに含まれるFWルール、IDSルール等を同種のルール単位で集約し、ポリシ受信部701が受信した個別ポリシのルール数の総和より、ルール数が少ない集約ポリシを作成する。この集約方法としては、例えば、全ての個別ポリシにある属性(例えば、宛先アドレスなど)以外の属性の値が全て同じルールが存在する場合は、その属性の値を「any」とすることで1つのルールとすることができる。本例では、図28のR2014、R2116、R2314、およびR2325のルールは、宛先アドレス以外の全ての属性が同じであることから、図30のR2709のルールに集約される。
また、ある属性の値(例えば、宛先アドレスなど)以外の属性の各値が全て同じルールが過半数以上の個別ポリシに存在しているルールについては、全ての個別ポリシに存在しているものとして、宛先アドレスを指定しない一つのルールと、そのルールを含んでいない個別ポリシに許容される宛先アドレスを指定したそのルールと動作が逆のルールとすることで、個別ポリシの過半数のルール数を、少なくとも個別ポリシの過半数以下のルール数に削減することができる。
例えば、実施例1においては、図28のR2111およびR2311は、宛先アドレス以外の属性の各値が全て同じで、ルールセット単位でみると、4つのルールセット中2つ、ユーザ装置単位でみると、3ユーザ装置中2ユーザ装置のルールセット中に存在するので、図30では、宛先アドレスを「any」とするR2704のルールと、R2111のルールの宛先アドレスを、宛先アドレス以外がR2111およびR2311と同じルールを持たないユーザ装置Aに許容される宛先アドレス(10.10.1.1)として、反対の動作をするR2703のルールとに集約される。実施例1においては、ユーザ装置の数が3であることから、2つのルールが2つになるだけであるが、同種のルールを持つユーザ装置が多くなれば、集約の効果は大きくなる。
また、ある属性(例えば、宛先アドレスなど)の値だけが異なり、その他の属性の値の全てが同じルールが複数あった場合、その属性の値が連続した値であれば、その属性値を範囲で表したルールとすることができる。実施例1では、図29のR2511のルールおよびR2611のルールが、宛先アドレスだけが異なり、その他の属性の値が全て同じであり、宛先アドレスが連続しているため、図31のR2803のルールに集約される。
以上のように、このポリシ集約部705によって総ルール数が少なくなることで、ネットワーク装置におけるFW処理やIDS処理の負荷を軽減する効果が得られるため、ネットワーク1Aのすべてのネットワーク装置に予めFWルールおよびIDSルールを設定し、攻撃パケットを遮断または抑制、検出することが可能になる。なお、ポリシ集約部705は、作成した集約ポリシを、ISPのオペレータに提示するなどしてもよい。
また、ポリシ集約サーバ7は、ポリシ集約部705において、集約した個別ポリシの数と、集約したルールがどの個別ポリシのルールを集約したものかという統計情報を作成する。そして、ポリシ集約サーバ7は、ポリシ管理部703において、集約ポリシとともに、この統計情報をもポリシデータ記憶部704に保持し管理する。ポリシ集約サーバ7は、この統計情報を保持することで、広域NW装置3A、3B、および3CのIDS機能が検出した異常を、攻撃として遮断又は抑制できるか否かの判断基準として、集約ポリシの各ルールがユーザのコンセンサスとして解釈可能か否かを判断材料とすることができる。
実施例1においては、図30および図31のT1およびT2が集約ポリシの統計情報であり、各ルールについて、集約元、セット単位の統計、およびユーザ単位の統計が記載されている。例えば、図30のR2704のルールは、集約元が「B1、C1」とされており、これは、ユーザBのルールセット1のルールと、ユーザCのルールセット1のルールとを集約したものであることを示している。また、セット単位統計は、集約に用いたルールセットの総数4の内、2つのルールセットから集約したので、「50%」となっている。また、ユーザ単位統計は、3人のユーザの個別ポリシを集約し、その内の2人のユーザの個別ポリシから集約されたので、「66%」となっている。例えば、R2803のルールでは、宛先ポート番号が「80」の「TCP」の「SYN」パケットが、毎秒「50M」パケット以上3分間継続して流れたら、異常として、毎秒「10M」パケットにレートを制限するというポリシーを、ユーザの半分以上が持っているので、これをユーザのコンセンサスと判断し、宛先が「10.10.1.2」および「10.10.1.3」では無かったとしても、異常トラヒックを攻撃と判断して抑制する判断基準とできる。
そして、ポリシ集約サーバ7は、ポリシ集約部705において新たに作成された集約ポリシを、ポリシ管理部703において、ポリシデータ記憶部704に保存する(ステップS304)。
続いて、ポリシ集約サーバ7は、新たに作成された集約ポリシを、ポリシデータ記憶部704から制御管理部706に引き渡す。制御管理部706は、引き渡された集約ポリシから、広域NW装置構成情報記憶部709に保持されている広域NW装置の情報に基づき、各NW装置のFWルールおよびIDSルールを作成し、これらの広域NW装置に設定する(ステップS305)。
広域NW装置構成情報記憶部709は、広域ネットワーク装置別ルールを作成するために必要な情報として、広域ネットワーク装置3A、3B、および3Cの設定方法、設定可能なルール種別、ルール書式等を予め記憶している。図32は、ネットワーク装置構成情報の例であり、NW装置3Aについては、アドレス「10.10.10.1」に「telnet」し、パスワード「xxxx」でログインし、コマンドラインインタフェース(CLI)で設定を行うことが示されている。そして、設定可能ルール種別では、この広域NW機器に設定可能なルールは「FW」と記されており、CLIで入力するルール書式は、メーカAのフォーマットであることが記されている。このような広域NW装置の設定は、一般にPerl等のスクリプト言語を使用することで可能である。
また、広域NW装置構成情報記憶部709が、既に広域NW装置3A、3B、および3Cに設定されているFWルールおよびIDSルールを既存設定ルールとして保持することで、制御管理部706が、広域NW装置3A、3Bおよび3Cに設定するルールは、新たに作成したFWルールおよびIDSルールと、既存のFWルールおよびIDSルールとの差分だけとすることもできる(ステップS305)。
以上の動作によって、ポリシ集約サーバ7は、広域NW装置3A、3Bおよび3Cに、各装置の設定書式を用いて集約ポリシの各ルールを設定する。設定されるルールの具体例は、図30のFWルールおよび図31のIDSルールの通りであるが、セット種別および統計情報は含まれない。なお、広域NW装置3A、3B、および3Cは、具体的には、パケットフィルタ機能を有するルータやFW装置、IDS機能を有するFW装置などである。
すると、パケットフィルタ機能を有するルータやFW装置は、受信したパケットの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル特有の属性(プロトコル依存情報)を、設定された各ルールと順次比較し、パケットの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル特有の属性と、ルールのパケットの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル特有の属性とが一致した場合、その一致したルールで指定されている動作をパケットに対して実施する。図30のFWルールの例では、R2701のルールは、宛先アドレスが「10.10.1.1」で、宛先ポート番号が「8000」で、プロトコルが「TCP」で、TCPフラグが「SYN」のパケットは、通過が許可される。このFWルールの例の動作は、通過を許可する「Accept」や、通過を拒否する「Reject」のみが記載されているが、任意のレートでのレート制限等、その他の動作も可能である。
IDS機能を有するFW装置は、上記の動作に加え、検出対象のパケットが検出条件を満たしたとき、指定されている対策を実施する。図31のIDSのルールの例では、R2802のルールの検出対象である宛先アドレスが「10.10.1.2」で、宛先ポート番号が「3000」で、プロトコルが「TCP」で、TCPフラグが「SYN」のパケットが、検出条件の異常検出閾値の「50Mpps」のレートで閾値超過時間が「3分以上」超過した場合、対策として、パケットのレートを「10Mpps」に制限する。一般に、検出対象のパケットが検出条件を満たす事象が発生し、対策が実施された場合、および、その事象が終了し、対策が解除された場合、FW装置は、その検出対象および検出条件を満たしたパケットの属性情報と、実施した対策またはその対策の解除を、ログに記録したりオペレータに通知したりするが、本実施例では、この記録やオペレータの通知を、攻撃対策情報として使用する。図33の対策実施時の攻撃対策情報の例は、図31のIDSルールの例のR2802のルールの事象が発生し、対策が実施された場合の攻撃対策情報の例であり、図34の対策解除時の攻撃対策情報の例は、その対策が解除された場合の攻撃対策情報の例である。
[ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)]
以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、広域NW装置3A、3Bおよび3Cまたはオペレータから攻撃対策情報を受信した時の処理の手順)を一例として説明する。なお、攻撃対策情報には、パケットの宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル依存情報等の検出対象と、異常検出閾値超過時間等の検出条件と、実施した対策と、対策を実施あるいは解除した装置を特定する情報と、この攻撃対策情報が対策の実施に関する情報か、対策の解除に関する情報かの種別とを含む。
図40に示すように、まず、ポリシ集約サーバ7は、攻撃対策情報取得部708において、広域NW装置3A、3Bおよび3Cから、IDS機能が検出し、遮断または抑制を実施した攻撃パケットの識別情報と、その対策の内容を含む攻撃対策情報とを取得する(ステップS306)。
この攻撃対策情報の取得は、広域NW装置3A、3Bおよび3Cからの能動的な通知の受信でもよいし、広域NW装置構成情報記憶部709に保持されている情報に基づいて、攻撃対策情報取得部708が、広域NW装置3A、3Bおよび3Cから問い合わせて取得してもよい。また、オペレータから直接入力されてもよい。例えば、図33の(a)の攻撃対策情報の例は、図31のIDSルールの例のR2802のルールの事象が発生し、対策が実施された場合の攻撃対策情報の例であり、図33の(b)の攻撃対策情報の例は、図31のIDSのルールの例のR2802のルールの事象が収束し、対策が解除された場合の攻撃対策情報の例である。ポリシ集約サーバ7は、攻撃対策情報取得部708において、取得した攻撃対策情報を、対策ポリシ作成部707に引き渡す。
次に、ポリシ集約サーバ7は、対策ポリシ作成部707において、攻撃対策情報から作成したFWルールを含む対策ポリシを作成する(ステップS307)。まず、ポリシ集約サーバ7は、対策ポリシ作成部707において、受信した攻撃対策情報から、攻撃対策情報の検出条件の宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル依存情報の値を、それぞれ、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル、プロトコル依存情報の値とするFWルールを作成する。このFWルールの「動作」の値は、攻撃対策情報の「対策」の値である。また、ユーザIDの値は、対策を実施または解除した装置のIDの値とする。
そして、ポリシ集約サーバ7は、ポリシ管理部703を用いて、ポリシデータ記憶部704より対策ポリシを取得する。攻撃対策情報の種別が対策の実施の場合は、ポリシ集約サーバ7は、作成したFWルールを取得した対策ポリシに追加し、攻撃対策情報の種別が対策の解除の場合は、作成したFWルールを取得した対策ポリシから削除して、対策ポリシをポリシ管理部703に引き渡す。したがって、図33の(a)の攻撃対策情報の例からは、図34の対策ポリシが作成される。
その後、ポリシ集約サーバ7は、作成した対策ポリシをポリシ管理部703に引渡し、ポリシデータ記憶部704に保存する(ステップS308)。
続いて、ポリシ集約サーバ7は、ポリシ管理部703において、対策ポリシ作成部707から引き渡された対策ポリシと、ポリシデータ記憶部704に保持されている集約ポリシとをポリシ集約部705に引渡し、ポリシ集約部705は、引き渡された個別ポリシと集約ポリシとから、新たな集約ポリシを作成する(ステップS309)。
次に、ポリシ集約サーバ7は、ポリシ集約部705において新たに作成された集約ポリシを、ポリシ管理部703によってポリシデータ記憶部704に保存する(ステップS310)。
そして、ポリシ集約サーバ7は、ポリシ集約部705において新たに作成された集約ポリシを、制御管理部706に引渡し、制御管理部706において、各広域NW装置に集約ポリシのFWルールやIDSルールを設定する(ステップS311)。
この攻撃対策情報取得部708、対策ポリシ作成部707により、広域NW装置3A、3B、3CのIDS機能が検出し、対策を判断した攻撃からも、ユーザ端末4A、4B、4Cや、CPE5A、5Bおよびアクセスラインやネットワークを防御することが可能になる。
また、実施例1においては、図31のIDSルールは、図32のNW装置構成情報によれば、広域NW装置3Cにしか設定されていないが、広域NW装置3Cで実施した攻撃対策がFWルールに反映され、広域NW装置3Aおよび3Bでも、レート制限が実現されるようになる。
[実施例1の効果]
上記してきたように、実施例1によれば、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数のユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、ユーザ装置とユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、自ユーザネットワーク内でユーザ装置が管理するその他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックについて、トラヒックを制御するルールを要素とする集合体である個別ポリシを、広域ネットワークに接続するポリシ集約サーバに対して送信し、ポリシ集約サーバは、送信された個別ポリシ各々を受信し、受信された個別ポリシ各々の要素であるルールを、ルールを設定すべき広域ネットワーク装置の各々に送信し、広域ネットワーク装置の各々は、送信されたルールを受信し、受信されたルールに従って、トラヒックを制御するので、ユーザサイトのユーザ装置(ユーザ端末やネットワーク機器など)における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することが可能になる。
具体的に説明すると、ユーザサイトのユーザ装置(ユーザ端末やネットワーク機器など)における攻撃検知を契機として、ユーザ装置が広域ネットワーク装置に対してパーソナルポリシ等を送信する従来の手法とは異なり、本発明によれば、例えば、ユーザ装置が過剰な攻撃を受けた場合であっても、その攻撃トラヒックがユーザ装置に到達する前に、広域ネットワークにおけるユーザネットワークへの出口のところで、攻撃トラヒックを遮断又は抑制することが可能になる。また、本発明によれば、広域ネットワークにおけるユーザネットワークへの出口のところばかりでなく、広域ネットワークにおける攻撃トラヒックの入口のところにおいても、攻撃トラヒックを遮断又は抑制することが可能になり、この結果、攻撃トラヒックによる広域ネットワーク内の帯域圧迫を排除することができ、広域ネットワークに接続するユーザ端末等、その他のユーザ端末への影響を排除することができるようになる。
また、実施例1によれば、ポリシ集約サーバは、個別ポリシ各々の要素であるルールから、ルールについて集約した集約ルールと集約ルールを要素とする集合体である集約ポリシとを作成し、集約ルールを、集約ルールを設定すべき広域ネットワーク装置の各々に送信するので、上記の効果に加え、集約ポリシを作成することで、総ルール数が少なくなる結果、広域ネットワーク装置のFW処理やIDS処理の負荷を軽減する効果が得られることから、予め全ての広域ネットワーク装置に集約ポリシを設定し、不要なトラヒックを遮断又は抑制することが可能になる。
また、実施例1によれば、ポリシ集約サーバは、個別ポリシ各々を受信する際に、個別ポリシ各々の正当性を検証するので、上記の効果に加え、広域ネットワーク装置が、正当でない個別ポリシに従って、トラヒックを不当に制御するおそれを回避することが可能になる。
また、実施例1によれば、ユーザ装置は、自ユーザネットワーク以外のネットワーク上で開示されない非開示アドレスおよび/または非開示ポート番号と、ネットワーク上で開示される開示アドレスおよび/または開示ポート番号とを変換するNAT機能を利用しており、ルールは、非開示アドレスおよび/または非開示ポート番号で記述されているものであって、ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、ルールに記述された非開示アドレスおよび/または非開示ポート番号を、開示アドレスおよび/または開示ポート番号に変換し、変換されたルールを要素とする個別ポリシを、ポリシ集約サーバに対して送信するので、上記の効果に加え、ユーザ装置(ユーザ端末やネットワーク機器など)がNAT機能を利用して広域ネットワークと接続されている環境においても、不要なトラヒックを遮断又は抑制することが可能になる。
具体的に説明すると、従来の手法では、ユーザ装置がNAT機能を利用して広域ネットワークと接続されている環境において、パーソナルポリシ等のルールには、自ユーザネットワーク内のみで開示される宛先アドレスや宛先ポート番号が記述されることになる。しかしながら、広域ネットワーク装置で攻撃トラヒックを遮断又は抑制するには、広域ネットワーク内で開示される宛先アドレスや宛先ポート番号が必要になることから、結局、このようなパーソナルポリシ等を広域ネットワーク装置に送信したところで、広域ネットワーク装置においては、攻撃トラヒックを遮断又は抑制することができないという課題があった。一方、本発明によれば、パーソナルポリシ等のルールに記述された宛先アドレスや宛先ポート番号を、広域ネットワーク内で開示される宛先アドレスや宛先ポート番号に変換した上でポリシ集約サーバに対して送信するので、上記の課題を解決することが可能になる。
また、実施例1によれば、ポリシ集約サーバは、ルールに従ってトラヒックが制御されることになるユーザ装置に関する情報を統計情報として作成し、作成された統計情報に基づいて、ルールを、ルールに従ってトラヒックが制御されることになるユーザ装置以外の他のユーザ装置と他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断するので、上記の効果に加え、広域ネットワーク装置が検出した異常なトラヒックを不要なトラヒックとして遮断又は抑制すべきか否かを判断するにあたり、統計情報(例えば、当該ルールが、何個の個別ポリシを集約したものであるか、何人のユーザのルールを集約したものであるか、など)を、当該ルールをユーザのコンセンサスとして解釈することが可能か否かの判断材料とすることが可能になる。
具体的に説明すると、従来の手法では、パーソナルポリシに不備があった場合や、少量のパケットが不特定多数のユーザ装置に対して送信される場合等、広域ネットワークの過負荷を目的とした攻撃トラヒックは、パーソナルポリシでは攻撃トラヒックであるとみなさないことから、かかる攻撃トラヒックを遮断又は抑制することができないという課題があった。また、従来の手法では、広域ネットワーク側で異常なトラヒックを検出した場合であっても、広域ネットワーク側では、このような異常なトラヒックを不要なトラヒックとして遮断又は抑制すべきか否かユーザに確認が必要であることから(一般に、IDSは、内蔵されたアルゴリズムによって異常トラヒックの検出を行うので、その異常トラヒックが攻撃トラヒックであるか否かの判断は、IDSの使用者等に委ねられており、IDS自身は判断基準を持たない)、直ちに不要なトラヒックとして遮断又は抑制することができないという課題があった。さらに、従来の手法では、攻撃トラヒックではない大量トラヒックの発生時などの場合には、大量トラヒックであってもユーザが必要とする正規のトラヒックであることから、広域ネットワーク側の判断でその流量を抑制することができず、ユーザ間の公平性を確保することができないという課題があった。本発明によれば、上記の課題を解決することが可能になる。
また、実施例1によれば、ポリシ集約サーバは、広域ネットワーク装置において検出した攻撃パケットを識別する識別情報および攻撃パケットに対する対策情報を含む攻撃対策情報を、広域ネットワーク装置から取得し、取得した攻撃対策情報から、攻撃対策情報に基づいてトラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成し、作成した対策ポリシを、ルールに反映するので、上記の効果に加え、広域ネットワーク装置側で検出し対策を判断した異常なトラヒックを、不要なトラヒックとして遮断又は抑制することが可能になる。
具体的に説明すると、従来の手法では、パーソナルポリシに不備があった場合や、少量のパケットが不特定多数のユーザ装置に対して送信される場合等、広域ネットワークの過負荷を目的とした攻撃トラヒックは、パーソナルポリシでは攻撃トラヒックであるとみなさないことから、かかる攻撃トラヒックを遮断又は抑制することができないという課題があった。一方、本発明によれば、上記の課題を解決することが可能になる。
ところで、これまで実施例1として、不要なトラヒックが攻撃トラヒックであることを前提とし、トラヒック制御システムが、かかる攻撃トラヒックを遮断又は抑制することを目的としてトラヒックを制御する手法について説明してきたが、本発明はこれに限られるものではない。例えば、不要なトラヒックが攻撃トラヒックではない大量トラヒックであることを前提とし、トラヒック制御システムが、かかる大量トラヒックの発生時にユーザ間の公平性を確保することを目的としてトラヒックを制御する手法にも、本発明を同様に適用することができる。そこで、以下では、実施例2として、トラヒック制御システムが、大量トラヒックの発生時にユーザ間の公平性を確保することを目的としてトラヒックを制御する手法を説明する。
なお、図42は、実施例2におけるポリシ集約サーバの構成を示すブロック図であるが、図42に示すように、実施例2に係るトラヒック制御システムは、実施例1とほぼ同様に構成されるが、広域NW装置3A、3Bおよび3Cが、帯域を保証することが可能な仮想ネットワーク(以下、VPN:Virtual Private Network)を構成するVPN機能を有する点や、ポリシ集約サーバ7に、VPN情報記憶部710が追加される点が主に異なり、その他の点としては、ユーザ情報記憶部702およびポリシデータ記憶部704に記憶されている情報や、ポリシ管理部703および制御管理部706による処理に工夫がなされている点等が実施例1と異なる。
以下では、実施例1と異なる上記の点を中心に、図42の他、図43〜51を用いて説明する。図43は、ポリシ集約サーバのユーザ情報記憶部を説明するための図であり、図44〜49は、ポリシ集約サーバのポリシデータ記憶部を説明するための図であり、図50は、ポリシ集約サーバの広域ネットワーク装置構成情報記憶部を説明するための図であり、図51は、ポリシ集約サーバのVPN情報記憶部を説明するための図である。
[ポリシ集約サーバ7]
実施例2におけるユーザ情報記憶部702(図43を参照)は、実施例1におけるユーザ情報記憶部702と同様(図27を参照)、個別ポリシの送信元の正当性の検証に必要な情報や、個別ポリシの要素であるFWルールやIDSルールの正当性の検証に必要な情報を予め記憶しているが、実施例1におけるユーザ情報記憶部702とは異なり、この他に、各ユーザが所属するVPNの識別情報が保持されている。例えば、実施例2におけるユーザ情報記憶部702は、図43に示すように、ユーザID(UID)「A」と対応づけて、グループID(GID)「G−A」を、予め記憶している。
実施例2におけるポリシデータ記憶部704(図44〜49を参照)は、実施例1におけるポリシデータ記憶部704と同様(図28〜31を参照)、個別ポリシ、集約ポリシ、よび対策ポリシを記憶するが、実施例1におけるポリシデータ記憶部704とは異なり、グループID(各ユーザが所属するVPNの識別情報)が追加された形態の個別ポリシや、グループIDが追加された形態の集約ポリシを記憶する。
例えば、実施例2におけるポリシデータ記憶部704は、図44に示すような個別ポリシ(FWのルール)や、図45に示すような個別ポリシ(IDSのルール)を記憶するが、いずれも、ユーザID(UID)と対応づけて、グループID(GID)を記憶していることがわかる。また、例えば、ポリシデータ記憶部704は、図46および47に示すような集約ポリシ(FWのルール)や、図48および49に示すような集約ポリシ(IDSのルール)を記憶するが、いずれも、グループID(GID)ごとに集約ポリシを記憶していることがわかる。
実施例2における広域ネットワーク装置構成情報記憶部709(図50を参照)は、実施例1における広域ネットワーク装置構成情報記憶部709と同様(図32を参照)、広域ネットワーク装置別ルールを作成するために必要な情報を予め記憶している。
VPN情報記憶部710(図51を参照)は、各ユーザが所属するVPNの識別情報であるグループID(GID)と、各NW装置間に設定されているVPNを識別する識別情報(VPN ID)とを対応づけて予め記憶している。例えば、VPN情報記憶部710は、図51に示すように、グループID(GID)「G−A」と、VPN ID「VPN−A」とを対応づけて、予め記憶している。
[広域NW装置3A、3Bおよび3C]
実施例2におけるNW装置3A、3Bおよび3Cは、帯域を保証することが可能なVPNを構成するVPN機能を有する。したがって、ポリシ集約サーバ7は、FWルールおよびIDSルールが対応するVPNに対してのみ作用するように、これらのルールを、設定するVPNを指定してNW機器に設定することになる。なお、このVPNの作成には、例えば、MPLS(Multi-Protocol Label Switching)等の技術を用いられる。また、図42に示すように、8Aおよび8Bは、広域NW装置3A、3Bおよび3Cによって広域NW1A内に構成されたVPNである。
[実施例2に係るトラヒック制御システムによる処理の手順]
次に、実施例2に係るトラヒック制御システムによる処理の手順を、主に実施例1に係るトラヒック制御システムによる処理の手順と異なる点を中心に説明する。なお、実施例2に係るトラヒック制御システムが、実施例1に係るトラヒック制御システムと異なる処理の手順となるのは、ポリシ集約サーバによる処理(個別ポリシ受信時)についてであるので、以下では、ポリシ集約サーバ7による処理の手順(ポリシ集約サーバ7が、ユーザ端末4A、CPE5A、およびユーザポリシサーバ6から個別ポリシを受信した時の処理の手順)を一例として説明する。
まず、ポリシ集約サーバ7は、実施例1と同様、ポリシ受信部701において、ユーザ端末4Aのポリシ送信手段401、CPE5Aのポリシ送信手段501、およびユーザポリシサーバ6のポリシ送信手段601から送信された個別ポリシ各々を受信し、ポリシ管理部703に引き渡すが、実施例1と異なり、ポリシ受信部701は、ユーザ情報記憶部702を参照し、個別ポリシ各々に、各ユーザが所属するVPNの識別情報としてグループID(GID)を追加した形態で、ポリシ管理部703に引き渡す。
すると、ポリシ集約サーバ7は、実施例1と同様、ポリシ管理部703において、ポリシ受信部701から引き渡された個別ポリシと、ポリシデータ記憶部704に保持されている集約ポリシとを、ポリシ集約部705に引渡し、ポリシ集約部705は、個別ポリシと集約ポリシとから、新たな集約ポリシを作成するが、実施例1と異なり、ポリシ管理部703は、ポリシ受信部701から引き渡された個別ポリシのグループID(GID)を用いて、ポリシデータ記憶部704に保持されている集約ポリシから個別ポリシと同じグループID(GID)の集約ポリシを取得し、個別ポリシと同じグループID(GID)の集約ポリシを、ポリシ集約部705に引渡し、ポリシ集約部705は、個別ポリシと同じグループID(GID)の集約ポリシとから、新たな集約ポリシを作成する。
この集約方法としては、実施例1と同様、例えば、全ての個別ポリシにある属性(例えば、宛先アドレスなど)以外の属性の値が全て同じルールが存在する場合は、その属性の値を「any」とすることで1つのルールとすることができ、実施例2では、図44のR3116、R3314、およびR3325のルールは、宛先アドレス以外の全ての属性が同じであることから、図47のR3712のルールに集約される。
また、ある属性(例えば、宛先アドレスなど)の値だけが異なり、その他の属性の値の全てが同じルールが複数あった場合、その属性の値が連続した値であれば、その属性値を範囲で表したルールとすることができ、実施例では、図45のR3511のルールおよびR3611のルールが、宛先アドレスだけが異なり、その他の属性の値が全て同じであり、宛先アドレスが連続しているため、図49のR3803のルールに集約される。
また、ポリシ集約サーバ7は、実施例1と同様、ポリシ集約部705において、集約した個別ポリシの数と、集約したルールがどの個別ポリシのルールを集約したものかという統計情報を作成する。実施例2においては、図46〜図49のT11〜T14が集約ポリシの統計情報であり、各ルールについて、集約元、セット単位の統計、およびユーザ単位の統計が記載されている。例えば、図47のR3707のルールは、集約元が「B1、C1」とされており、これは、ユーザBのルールセット1のルールと、ユーザCのルールセット1のルールとを集約したものであることを示している。また、セット単位統計は、集約に用いたルールセットの総数3の内、2つのルールセットから集約したので、「66%」となっている。また、ユーザ単位統計は、2人のユーザの個別ポリシを集約し、その内の2人のユーザの個別ポリシから集約されたので、「100%」となっている。例えば、R3803のルールでは、宛先ポート番号が「80」の「TCP」の「SYN」パケットが、毎秒「50M」パケット以上3分間継続して流れたら、異常として、毎秒「10M」パケットにレートを制限するというポリシを、ユーザの半分以上が持っているので、これをユーザのコンセンサスと判断し、宛先アドレスが「10.10.1.2」および「10.10.1.3」では無かったとしても、異常トラヒックを攻撃と判断して抑制する判断基準とできる。
そして、ポリシ集約サーバ7は、実施例1と同様、ポリシ集約部705において新たに作成された集約ポリシを、ポリシ管理部703において、ポリシデータ記憶部704に保存し、続いて、新たに作成された集約ポリシを、ポリシデータ記憶部704から制御管理部706に引き渡すが、実施例1と異なり、ポリシ管理部703によって制御管理部706に引き渡される集約ポリシには、グループを識別するグループID(GID)が含まれている。
そこで、制御管理部706は、実施例1と同様、引き渡された集約ポリシから、広域NW装置構成情報記憶部709に保持されているNW装置の情報に基づき、各NW装置のFWルールおよびIDSルールを作成し、これらのNW装置に設定するが、実施例1と異なり、VPN情報記憶部710に保持されている情報にも基づき、各NW装置のFWルールおよびIDSルールを作成する。
すなわち、制御管理部706は、VPN情報記憶部710に記憶されているグループID(GID)と、VPN IDとの対応付けに基づいて、集約ポリシが、そのグループIDに対応するVPN IDで識別されるVPNに適用されるように、各NW装置に設定する。例えば、グループIDが「G−A」の集約ポリシは、「VPN−A」に設定される。
こうして、ポリシ集約サーバ7は、広域NW装置3A、3Bおよび3Cに、各装置の設定書式を用いて集約ポリシの各ルールを設定する。実施例2においては、図43に示すように、ユーザ「A」がグループ「G−A」に属し、ユーザ「B」および「C」が、グループ「G−B」に属しており、図51に示すように、グループ「G−A」は、「VPN−A」に収容され、グループ「G−B」は、「VPN−B」に収容されているので、ユーザ「A」が大量のトラヒックを送受信した場合でも、ユーザ「B」や「C」の通信には影響が及ばない。また、ユーザ「B」や「C」が共に大量のトラヒックを送受信した場合でも、影響を受けるのは、同種のポリシを持つユーザ「B」および「C」に限られ、ユーザ「A」の通信には影響が及ばない。
このように、実施例2においては、類似の個別ポリシを持つユーザを、同一のVPNに収容するようにVPN情報記憶部710を設定することで、ユーザ間の攻撃でない、例えば、ファイル共有等の大量トラヒック発生時においても、ユーザ間の公平性を確保することができる。
[実施例2の効果]
上記してきたように、実施例2によれば、ポリシ集約サーバは、同種のルールに基づいてトラヒックを制御されるユーザ装置のグループごとにルールについて集約した集約ポリシを作成し、グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように広域ネットワーク装置の各々に設定させる設定情報、および、グループごとの集約ポリシを、設定情報および集約ポリシを設定すべき広域ネットワーク装置の各々に送信するので、実施例1の効果に加え、攻撃トラヒックではない大量トラヒックの発生時などの場合に、ユーザ間の公平性を確保することが可能になる。
具体的に説明すると、例えば、ファイル交換を行うユーザのパーソナルポリシは、ファイル交換のためのパケットを通過させるようなルールを要素としている。したがって、本発明によれば、ファイル交換のためのパケットを通過させるユーザをグルーピングし、そのグループとそれ以外のグループとを、別の仮想的(又は物理的な)ネットワークに収容することから、ファイル交換を行うユーザが大量のファイル交換を行った場合でも、ファイル交換を行わないユーザの通信がファイル交換のパケットで阻害されるおそれがなくなり、ファイル交換を行うユーザと、そうでないユーザとの間の公平性を確保することが可能になる。
さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。
実施例1および2においては、ポリシ集約サーバが、個別ポリシから集約ポリシを作成し、集約ポリシから広域ネットワーク装置別ルールを作成して、広域ネットワーク装置別ルールを広域ネットワーク装置各々に設定する事例について説明したが、本発明はこれに限られるものではない。例えば、ポリシ集約サーバが、個別ポリシそのままを広域ネットワーク装置各々の送信し、広域ネットワーク装置において、個別ポリシから集約ポリシを作成したり、集約ポリシから広域ネットワーク装置別ルールを作成し、自ら作成した広域ネットワーク装置別ルールを設定する事例などにも、本発明を同様に適用することができる。また、広域ネットワーク装置の性能が高い環境においては、個別ポリシから集約ポリシを作成せずに、個別ポリシ自体から作成された広域ネットワーク装置別ルールを設定する事例などにも、本発明を同様に適用することができる。
また、実施例1および2においては、ポリシ集約サーバが、個別ポリシ各々を受信する際に、個別ポリシ各々の正当性を検証する手法について説明したが、本発明はこれに限られるものではなく、ポリシ集約サーバが、個別ポリシ各々の正当性を検証せずに、受信した個別ポリシを信頼して利用する手法などにも、本発明を同様に適用することができる。
また、実施例1および2においては、ユーザ装置がNAT機能を利用している事例を説明したが、本発明はこれに限られるものではなく、ユーザ装置がNAT機能を利用していない場合には、ユーザ装置は、個別ポリシのアドレスを変換することなくそのままポリシ集約サーバに送信すればよく、この場合にも、本発明を同様に適用することができる。
また、実施例1および2においては、ポリシ集約サーバが、統計情報を作成し、統計情報に基づいて判断する事例について説明したが、本発明はこれに限られるものではなく、ポリシ集約サーバが、統計情報を作成しない事例などにも、本発明を同様に適用することができる。
また、実施例1および2においては、ポリシ集約サーバが、広域ネットワーク装置から攻撃対策情報を取得し、攻撃対策情報から対策ポリシを作成する事例について説明したが、本発明はこれに限られるものではなく、ポリシ集約サーバが、広域ネットワーク装置から攻撃対策情報を取得せず、対策ポリシを作成しない事例などにも、本発明を同様に適用することができる。
[システム構成等]
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、例えば、図3、10、17および26に図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明したトラヒック制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るトラヒック制御システムおよびトラヒック制御方法は、ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御することに有用であり、特に、ユーザサイトのユーザ装置(ユーザ端末やネットワーク機器など)における検知を契機とすることなく、不要なトラヒックの送信元の近くで、個別のパーソナルポリシに基づき不要なトラヒックを遮断又は抑制することに適する。
実施例1に係るトラヒック制御システムの概要および特徴を説明するための図である。 実施例1に係るトラヒック制御システムの全体構成を示すブロック図である。 実施例1におけるユーザ端末の構成を示すブロック図である。 ユーザ端末のサービス情報記憶部を説明するための図である。 ユーザ端末のルールセット記憶部を説明するための図である。 ユーザ端末のルールセット記憶部を説明するための図である。 ユーザ端末のルールセット記憶部を説明するための図である。 ユーザ端末のポリシ送信部を説明するための図である。 ユーザ端末のポリシ送信部を説明するための図である。 実施例1におけるユーザネットワーク装置(CPE)の構成を示すブロック図である。 CPEのサービス情報記憶部を説明するための図である。 CPEのルールセット記憶部を説明するための図である。 CPEのルールセット記憶部を説明するための図である。 CPEのルールセット記憶部を説明するための図である。 CPEのポリシ送信部を説明するための図である。 CPEのポリシ送信部を説明するための図である。 実施例1におけるユーザポリシサーバの構成を示すブロック図である。 ユーザポリシサーバのサービス情報記憶部を説明するための図である。 ユーザポリシサーバのルールセット記憶部を説明するための図である。 ユーザポリシサーバのルールセット記憶部を説明するための図である。 ユーザポリシサーバのルールセット記憶部を説明するための図である。 ユーザポリシサーバのルールセット記憶部を説明するための図である。 ユーザポリシサーバのルールセット記憶部を説明するための図である。 ユーザポリシサーバのポリシ送信部を説明するための図である。 ユーザポリシサーバのポリシ送信部を説明するための図である。 実施例1におけるポリシ集約サーバの構成を示すブロック図である。 ポリシ集約サーバのユーザ情報記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバの広域ネットワーク装置構成情報記憶部を説明するための図である。 ポリシ集約サーバの攻撃対策情報取得部を説明するための図である。 ポリシ集約サーバの対策ポリシ作成部を説明するための図である。 ポリシ集約サーバのポリシ集約部を説明するための図である。 ユーザ端末による処理の手順を示すフローチャートである。 CPEによる処理の手順を示すフローチャートである。 ユーザポリシサーバによる処理の手順を示すフローチャートである。 ポリシ集約サーバによる処理の手順(個別ポリシ受信時)を示すフローチャートである。 ポリシ集約サーバによる処理の手順(攻撃対策情報受信時)を示すフローチャートである。 ポリシ集約サーバによるポリシ受信処理の手順を示すフローチャートである。 実施例2におけるポリシ集約サーバの構成を示すブロック図である。 ポリシ集約サーバのユーザ情報記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバのポリシデータ記憶部を説明するための図である。 ポリシ集約サーバの広域ネットワーク装置構成情報記憶部を説明するための図である。 ポリシ集約サーバのVPN情報記憶部を説明するための図である。 ファイアウォールや攻撃検知システムによる対策を説明するための図である。 従来技術を説明するための図である。
符号の説明
1A 広域ネットワーク
1B ユーザネットワーク
1C ユーザネットワーク
1D ユーザネットワーク
3A 広域ネットワーク装置
3B 広域ネットワーク装置
3C 広域ネットワーク装置
4A ユーザ端末
401 ポリシ送信部
402 サービス情報記憶部
403 アドレス変換部
404 ルールセット記憶部
4B ユーザ端末
4C ユーザ端末
4D ユーザ端末
4E ユーザ端末
5A CPE
501 ポリシ送信部
502 サービス情報記憶部
503 アドレス変換部
504 ルールセット記憶部
5B CPE
6 ユーザポリシサーバ
601 ポリシ送信部
602 サービス情報記憶部
603 アドレス変換部
604 ルールセット記憶部
605 ポリシ取得部
7 ポリシ集約サーバ
701 ポリシ受信部
702 ユーザ情報記憶部
703 ポリシ管理部
704 ポリシデータ記憶部
705 ポリシ集約部
706 制御管理部
707 対策ポリシ作成部
708 攻撃対策情報取得部
709 広域ネットワーク装置構成情報記憶部
710 VPN情報記憶部

Claims (18)

  1. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
    当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信手段を備え、
    前記ポリシ集約サーバは、
    前記ポリシ送信手段によって送信された前記個別ポリシ各々を受信するポリシ受信手段と、
    前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信手段とを備え、
    前記広域ネットワーク装置の各々は、
    前記ルール送信手段によって送信された前記ルールを受信するルール受信手段と、
    前記ルール受信手段によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御手段と、
    を備えたことを特徴とするトラヒック制御システム。
  2. 前記ルール送信手段は、前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、当該ルールについて集約した集約ルールと当該集約ルールを要素とする集合体である集約ポリシとを作成し、当該集約ルールを、当該集約ルールを設定すべき前記広域ネットワーク装置の各々に送信することを特徴とする請求項1に記載のトラヒック制御システム。
  3. 前記ポリシ受信手段は、前記個別ポリシ各々を受信する際に、当該個別ポリシ各々の正当性を検証することをさらに特徴とする請求項1または2に記載のトラヒック制御システム。
  4. 前記ユーザ装置は、前記自ユーザネットワーク以外のネットワーク上で開示されない非開示アドレスおよび/または非開示ポート番号と、当該ネットワーク上で開示される開示アドレスおよび/または開示ポート番号とを変換するNAT機能を利用しており、前記ルールは、当該非開示アドレスおよび/または当該非開示ポート番号で記述されているものであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
    前記ルールに記述された前記非開示アドレスおよび/または前記非開示ポート番号を、前記開示アドレスおよび/または前記開示ポート番号に変換するアドレス変換手段をさらに備え、
    前記ポリシ送信手段は、前記アドレス変換手段によって変換された前記ルールを要素とする個別ポリシを、前記ポリシ集約サーバに対して送信することを特徴とする請求項1〜3のいずれか一つに記載のトラヒック制御システム。
  5. 前記ルール送信手段は、前記ルールに従ってトラヒックが制御されることになる前記ユーザ装置に関する情報を統計情報として作成することをさらに特徴とし、
    前記ポリシ集約サーバは、
    前記ルール送信手段によって作成された前記統計情報に基づいて、前記ルールを、当該ルールに従ってトラヒックが制御されることになる前記ユーザ装置以外の他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックを制御するルールとして採用すべきか否かを判断する判断手段をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載のトラヒック制御システム。
  6. 前記ポリシ集約サーバは、
    前記広域ネットワーク装置において検出した攻撃パケットを識別する識別情報および当該攻撃パケットに対する対策情報を含む攻撃対策情報を、当該広域ネットワーク装置から取得する攻撃対策情報取得手段と、
    前記攻撃対策情報取得手段によって取得された前記攻撃対策情報から、当該攻撃対策情報に基づいて前記トラヒックを制御する対策ルールを要素とする集合体である対策ポリシを作成する対策ポリシ作成手段とをさらに備え、
    前記ルール送信手段は、前記対策ポリシ作成手段によって作成された前記対策ポリシを、前記ルールに反映することを特徴とする請求項1〜5のいずれか一つに記載のトラヒック制御システム。
  7. 前記ルール送信手段は、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することをさらに特徴とする請求項1〜6のいずれか一つに記載のトラヒック制御システム。
  8. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法であって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数は、
    当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記広域ネットワークに接続するポリシ集約サーバに対して送信するポリシ送信工程を含み、
    前記ポリシ集約サーバは、
    前記ポリシ送信工程によって送信された前記個別ポリシ各々を受信するポリシ受信工程と、
    前記ポリシ受信工程によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信するルール送信工程とを含み、
    前記広域ネットワーク装置の各々は、
    前記ルール送信工程によって送信された前記ルールを受信するルール受信工程と、
    前記ルール受信工程によって受信された前記ルールに従って、前記トラヒックを制御するトラヒック制御工程と、
    を含んだことを特徴とするトラヒック制御方法。
  9. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザ端末であって、
    前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とするユーザ端末。
  10. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザネットワーク機器であって、
    前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手段を備えたことを特徴とするユーザネットワーク機器。
  11. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおける前記ユーザ装置としてのユーザポリシサーバであって、
    前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手段と、
    前記ポリシ取得手段によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手段と、
    を備えたことを特徴とするユーザポリシサーバ。
  12. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、
    前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、
    を備えたことを特徴とするポリシ集約サーバ。
  13. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御システムにおいて、当該広域ネットワークに接続するポリシ集約サーバであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手段と、
    前記ポリシ受信手段によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手段と、
    を備えたことを特徴とするポリシ集約サーバ。
  14. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザ端末に実行させるユーザ端末プログラムであって、
    前記ユーザ端末と当該ユーザ端末で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザ端末に実行させることを特徴とするユーザ端末プログラム。
  15. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザネットワーク機器に実行させるユーザネットワーク機器プログラムであって、
    前記ユーザネットワーク機器と当該ユーザネットワーク機器で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、前記ポリシ集約サーバに対して送信するポリシ送信手順を前記コンピュータであるユーザネットワーク機器に実行させることを特徴とするユーザネットワーク機器プログラム。
  16. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、当該広域ネットワークに接続するポリシ集約サーバが、前記ユーザ装置のいずれか一つまたは複数から送信された個別ポリシ各々を受信し、当該個別ポリシ各々の要素であるルールを当該ルールを設定すべき前記広域ネットワーク装置の各々に送信し、当該広域ネットワーク装置が、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、前記ユーザ装置としてのコンピュータであるユーザポリシサーバに実行させるユーザポリシサーバプログラムであって、
    前記ユーザポリシサーバで構成されている自ユーザネットワーク内で当該ユーザポリシサーバが管理するその他のユーザ装置と当該自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシを、当該その他のユーザ装置の各々から取得するポリシ取得手順と、
    前記ポリシ取得手順によって取得された前記個別ポリシ各々を、前記ポリシ集約サーバに対して送信するポリシ送信手順と、
    を前記コンピュータであるユーザポリシサーバに実行させることを特徴とするユーザポリシサーバプログラム。
  17. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、
    前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールを、当該ルールを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、
    を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とするポリシ集約サーバプログラム。
  18. ユーザによって運用されるユーザ装置で構成されているユーザネットワークの各々が、複数の当該ユーザネットワーク同士を通信可能に接続する広域ネットワークに対して広域ネットワーク装置各々を介して接続されている場合に、所定のユーザネットワークから他のユーザネットワークに対して当該広域ネットワーク経由で送信されたトラヒックを制御するトラヒック制御方法を、当該広域ネットワークに接続するポリシ集約サーバとしてのコンピュータに実行させるポリシ集約サーバプログラムであって、
    前記ユーザネットワークを構成するユーザ装置のいずれか一つまたは複数から、当該ユーザ装置と当該ユーザ装置で構成されている自ユーザネットワーク以外の他のユーザネットワークとの間で送受信されるトラヒック、および/または、前記自ユーザネットワーク内で当該ユーザ装置が管理するその他のユーザ装置と前記他のユーザネットワークとの間で送受信されるトラヒックについて、当該トラヒックを制御するルールを要素とする集合体である個別ポリシ各々を受信するポリシ受信手順と、
    前記ポリシ受信手順によって受信された前記個別ポリシ各々の要素である前記ルールから、同種の前記ルールに基づいてトラヒックを制御されるユーザ装置のグループごとに当該ルールについて集約した集約ポリシを作成し、当該グループごとに仮想的なネットワークもしくは物理的なネットワークを形成するように前記広域ネットワーク装置の各々に設定させる設定情報、および、当該グループごとの集約ポリシを、当該設定情報および当該集約ポリシを設定すべき前記広域ネットワーク装置の各々に送信することで、当該広域ネットワーク装置の各々に当該ルールに従って前記トラヒックを制御させるルール送信手順と、
    を前記ポリシ集約サーバとしてのコンピュータに実行させることを特徴とするポリシ集約サーバプログラム。
JP2007050186A 2007-02-28 2007-02-28 トラヒック制御システムおよびトラヒック制御方法 Expired - Fee Related JP4620070B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007050186A JP4620070B2 (ja) 2007-02-28 2007-02-28 トラヒック制御システムおよびトラヒック制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007050186A JP4620070B2 (ja) 2007-02-28 2007-02-28 トラヒック制御システムおよびトラヒック制御方法

Publications (2)

Publication Number Publication Date
JP2008219149A JP2008219149A (ja) 2008-09-18
JP4620070B2 true JP4620070B2 (ja) 2011-01-26

Family

ID=39838721

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007050186A Expired - Fee Related JP4620070B2 (ja) 2007-02-28 2007-02-28 トラヒック制御システムおよびトラヒック制御方法

Country Status (1)

Country Link
JP (1) JP4620070B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9661008B2 (en) 2013-02-21 2017-05-23 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
WO2015011827A1 (ja) * 2013-07-26 2015-01-29 富士通株式会社 情報処理装置、フィルタリングシステム、フィルタリング方法、及びフィルタリングプログラム
JP6441950B2 (ja) * 2013-11-04 2018-12-19 アマゾン・テクノロジーズ・インコーポレーテッド 分散システムにおける集中ネットワーク構成
US10002011B2 (en) 2013-11-04 2018-06-19 Amazon Technologies, Inc. Centralized networking configuration in distributed systems
JP6891961B2 (ja) * 2017-07-12 2021-06-18 日本電気株式会社 ネットワーク制御システム、方法およびプログラム
JP7312965B2 (ja) * 2019-11-01 2023-07-24 パナソニックIpマネジメント株式会社 情報処理装置、情報処理方法、およびプログラム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002507295A (ja) * 1997-05-29 2002-03-05 3コム コーポレイション 多層型ファイアウオールシステム
JP2002314588A (ja) * 2001-04-17 2002-10-25 Mitsubishi Electric Corp ポリシー定義の配布方法および設定方法
JP2003110605A (ja) * 2001-09-28 2003-04-11 Mitsubishi Electric Corp ポリシー制御システム、ポリシー制御方法およびその方法をコンピュータに実行させるプログラム
JP2004185622A (ja) * 2002-12-04 2004-07-02 Docomo Communications Laboratories Usa Inc 動的ファイアウォールシステム
JP2004242222A (ja) * 2003-02-10 2004-08-26 Hitachi Ltd ネットワーク制御方法及びネットワーク制御装置
JP2005217828A (ja) * 2004-01-30 2005-08-11 Toshiba Corp 通信装置、通信制御装置、通信システム及びプログラム
JP2005354280A (ja) * 2004-06-09 2005-12-22 Fujitsu Ltd ポリシールール最適化方法および装置
JP2007503189A (ja) * 2003-06-12 2007-02-15 キャミアント,インク. 通信ネットワークのためのトポロジー発見による動的サービス配信

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060059551A1 (en) * 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002507295A (ja) * 1997-05-29 2002-03-05 3コム コーポレイション 多層型ファイアウオールシステム
JP2002314588A (ja) * 2001-04-17 2002-10-25 Mitsubishi Electric Corp ポリシー定義の配布方法および設定方法
JP2003110605A (ja) * 2001-09-28 2003-04-11 Mitsubishi Electric Corp ポリシー制御システム、ポリシー制御方法およびその方法をコンピュータに実行させるプログラム
JP2004185622A (ja) * 2002-12-04 2004-07-02 Docomo Communications Laboratories Usa Inc 動的ファイアウォールシステム
JP2004242222A (ja) * 2003-02-10 2004-08-26 Hitachi Ltd ネットワーク制御方法及びネットワーク制御装置
JP2007503189A (ja) * 2003-06-12 2007-02-15 キャミアント,インク. 通信ネットワークのためのトポロジー発見による動的サービス配信
JP2005217828A (ja) * 2004-01-30 2005-08-11 Toshiba Corp 通信装置、通信制御装置、通信システム及びプログラム
JP2005354280A (ja) * 2004-06-09 2005-12-22 Fujitsu Ltd ポリシールール最適化方法および装置

Also Published As

Publication number Publication date
JP2008219149A (ja) 2008-09-18

Similar Documents

Publication Publication Date Title
US10841279B2 (en) Learning network topology and monitoring compliance with security goals
JP4827972B2 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
EP2974212B1 (en) Filtering network data transfers
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US8341724B1 (en) Blocking unidentified encrypted communication sessions
EP1817685B1 (en) Intrusion detection in a data center environment
TWI528761B (zh) 網路訊務處理系統
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
US8904514B2 (en) Implementing a host security service by delegating enforcement to a network device
Mihai-Gabriel et al. Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory
JP2010268483A (ja) 能動的ネットワーク防衛システム及び方法
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
EP2213045A1 (en) Security state aware firewall
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
US20090094691A1 (en) Intranet client protection service
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
JP2013201747A (ja) ネットワークシステム、ネットワーク中継方法及び装置
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Ashutosh An insight in to network traffic analysis using packet sniffer
JP6780838B2 (ja) 通信制御装置及び課金方法
WO2019035488A1 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
KR20110010050A (ko) 플로우별 동적인 접근제어 시스템 및 방법
Georgiev et al. An Approach of Network Protection Against DDoS Attacks
CN115941223A (zh) BGP Flowspec路由下发方法及装置、存储介质、电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101026

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101027

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131105

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4620070

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees