JP6026789B2 - ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 - Google Patents

ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 Download PDF

Info

Publication number
JP6026789B2
JP6026789B2 JP2012132321A JP2012132321A JP6026789B2 JP 6026789 B2 JP6026789 B2 JP 6026789B2 JP 2012132321 A JP2012132321 A JP 2012132321A JP 2012132321 A JP2012132321 A JP 2012132321A JP 6026789 B2 JP6026789 B2 JP 6026789B2
Authority
JP
Japan
Prior art keywords
traffic control
pending table
request message
pending
identified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012132321A
Other languages
English (en)
Other versions
JP2012257251A (ja
Inventor
大 ヨブ 金
大 ヨブ 金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2012257251A publication Critical patent/JP2012257251A/ja
Application granted granted Critical
Publication of JP6026789B2 publication Critical patent/JP6026789B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明はネーム(name)基盤のネットワークシステムのノード装置でルーティングする技術に関する。
CCN(Content Centric Network)/NDN(Named Data Network)のようなネーム(name)基盤のネットワークルーティング技術は、要請メッセージに対する応答メッセージを処理するために、応答メッセージがリターンされたとき、該当の応答メッセージをどこに再送信しなければならないかを把握しなければならない。ネーム基盤のネットワークで要請メッセージは、リクエスト、インタレスト、またはデータリクエストのように称される。そして、ネーム基盤のネットワークで応答メッセージは、レスポンスまたはデータのように称される。
ペンディングテーブル(PIT;Pending Interest Table)は受信した要請メッセージの目録を格納したテーブルである。すなわち、要請メッセージが流入すれば、該当ノード装置は要請メッセージの情報と共に流入経路をペンディングテーブルに記入した後、対応する応答メッセージがリターンされると、ペンディングテーブルに格納された要請メッセージの流入経路に該当応答メッセージを再送信する。
しかし、このようなペンディングテーブルはDDoS(Distributed Denial of Service)の攻撃対象となることがある。すなわち、ノード装置のペンディングテーブルが受容する容量以上の要請メッセージが流入して要請メッセージを格納するペンディングテーブルの容量を超過すれば、該当ノード装置はペンディングテーブルに記録した情報を一部削除したり、新しく流入する要請メッセージを放棄しなければならない。いずれの方法を選択しても、DDoS攻撃子はノードの正常的な要請メッセージを処理不可能にするという点でDDoS攻撃が成功裡に行われたと見なす。
一般的なIPルータはトラフィックに対するヒストリーを管理する必要がないため、上述のようなDDoS攻撃シナリオが成功しない。しかし、CCN/ NDN のように、装置の識別を使用しないネットワーキングにおけるペンディングテーブルはネットワーキングのための必須情報とも言える。したがって、ネーム基盤のネットワークシステムでルータに該当するノード装置はDDoS攻撃に脆弱な構造を有する。
本発明は前記のような問題点に鑑みてなされたものであって、本発明の目的は、ペンディングテーブルのオーバーフローの防止のためにペンディングテーブル数をインタフェース部の数だけ増やして互いにマッチングさせ、インタフェース部ごとに流入する要請メッセージをマッチングされたペンディングテーブルに格納するノード装置を提供することにある。
記目的を達成するためになされた本発明の一態様によるネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置は、ネーム基盤のネットワークで発生する要請メッセージを受信する複数のインタフェース部と、前記複数のインタフェース部のそれぞれにマッチングされ、前記インタフェース部を介して受信した前記要請メッセージをそれぞれ格納る複数のペンディングテーブルと、前記複数のインタフェース部の1つを介して前記要請メッセージを受信すると、前記要請メッセージを受信したインタフェース部を識別し前記識別したインタフェース部にマッチングされたペンディングテーブルを識別し、前記識別したペンディングテーブルに前記受信した要請メッセージを格納するように前記識別したペンディングテーブルを制御する制御部と、前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出する攻撃検出部と、トラフィック制御要請部と、を備え、前記攻撃検出部は、前記確認された容量が予め設定された閾値を超過するか否かを検出し、前記トラフィック制御要請部は、前記確認された容量が前記予め設定された閾値を超過したことが前記攻撃検出部で検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを、前記識別したインタフェース部に送信することを特徴とする。
ここで、前記ペンディングテーブルそれぞれの大きさは、マッチングされたインタフェース部に流入するトラフィックを考慮して設定することを特徴とする。
ここで、前記トラフィック制御メッセージは、前記ノード装置を識別して認証できる認証情報を含むことを特徴とする。
また、前記トラフィック制御メッセージは、前記トラフィック制御メッセージを伝播するノード数を表すホップ数情報と、前記トラフィック制御メッセージによるトラフィック制御が維持される時間を表す維持時間情報と、前記要請メッセージを送信する間隔を表す送信間隔情報とのうち少なくとも1つをさらに含むことを特徴とする。
一方、前記トラフィック制御メッセージを送信した後、前記識別したインタフェース部から要請した送信間隔よりも短い間隔で要請メッセージを受信すれば、前記要請した送信間隔以外の要請メッセージを廃棄する攻撃対応部をさらに備えることを特徴とする。
一方、前記トラフィック制御要請部は、前記複数のインタフェース部の全てに前記トラフィック制御メッセージを送信することを特徴とする。
ここで、前記トラフィック制御メッセージを前記複数のインタフェース部ごとに送信した後、前記複数のインタフェース部ごとに要請した送信間隔よりも短い間隔で要請メッセージを受信すれば、前記要請した送信間隔以外の要請メッセージを廃棄する攻撃対応部をさらに備えることを特徴とする。
前記目的を達成するためになされた本発明の一態様によるネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法は、ネーム基盤のネットワークで発生する要請メッセージを複数のインタフェース部の1つを介して受信するステップと、前記要請メッセージを受信したインタフェース部を識別するステップと、複数のペンディングテーブルの中から、前記識別したインタフェース部にマッチングされたペンディングテーブルを識別するステップと、ノード装置でペンディングテーブルのオーバーフローを防止するために前記識別したペンディングテーブルに前記受信した要請メッセージを格納するステップと、前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出するステップと、を有し、前記攻撃を検出するステップは、前記確認された容量が予め設定された閾値を超過するか否かを検出するステップを含み、前記確認された容量が前記予め設定された閾値を超過することが前記攻撃検出ステップで検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを、前記識別したインタフェース部に送信するステップをさらにを含むことを特徴とする。
ここで、前記ペンディングテーブルは、それぞれ1つのインタフェース部とマッチングされることを特徴とする。
ここで、前記ペンディングテーブルそれぞれの大きさは、マッチングされたインタフェース部に流入するトラフィックを考慮して設定することを特徴とする。
また、前記トラフィック制御メッセージを送信するステップの後に、前記識別したインタフェース部から要請した送信間隔よりも短い間隔で要請メッセージを受信すれば、前記要請した送信間隔以外の要請メッセージを廃棄するステップをさらに含むことを特徴とする。
前記目的を達成するためになされた本発明の一態様によるネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する装置は、ネーム基盤のネットワークから受信した要請メッセージを格納する複数のペンディングテーブルと、前記要請メッセージを受信したインタフェース部を識別し、前記識別したインタフェース部にマッチングされたペンディングテーブルを前記複数のペンディングテーブルの中から識別し、前記識別したペンディングテーブルのオーバーフローを防止するために前記受信した要請メッセージを格納するように前記識別したペンディングテーブルを制御する制御部と、前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出する攻撃検出部と、
トラフィック制御要請部と、を備え、前記攻撃検出部は、前記確認された容量が予め設定された閾値を超過するか否かを検出し、前記トラフィック制御要請部は、前記攻撃検出部で前記確認された容量が前記予め設定された閾値を超過することが検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを前記識別したインタフェース部に送信することを特徴とする。
インタフェース情報に対応する要請メッセージのネームを格納するFIB(Forwarding information Base)テーブルをさらに含むことを特徴とする。
前記攻撃検出部は、前記確認された容量が前記予め設定された閾値を超過する場合、前記識別したペンディングテーブルに対応するインタフェース部を攻撃を検出し、前記予め設定された閾値は、前記インタフェース部に流入するトラフィック又は当該装置の位置に基づいて設定されることを特徴とする。
記トラフィック制御メッセージは、ノード装置を識別して認証できる認証情報、ホップ数情報、維持時間情報、及び送信間隔情報のうち少なくとも1つを含むことを特徴とする。
本発明によると、ペンディングテーブルのオーバーフロー防止のためにペンディングテーブル数をインタフェース部の数だけ増やして互いにマッチングさせ、インタフェース部ごとに流入する要請メッセージをマッチングされたペンディングテーブルに格納するノード装置を提供することができ、インタフェース部ごとにマッチングされたペンディングテーブルに要請メッセージを格納するため、攻撃を受けても被害を最小化できる効果がある。
また、ノード装置は、ペンディングテーブルごとに格納容量が閾値を超過すれば、マッチングされたインタフェースを介してトラフィック制御メッセージを送信するため、流入する要請メッセージの量を調整できる効果がある。
ペンディングテーブルのオーバーフローを防止するノード装置の構成例を示す図である。 複数に構成されたペンディングテーブルの構造例を示す図である。 ノード装置で要請メッセージを複数のペンディングテーブルに分散して格納することを説明するためのフローチャートである。 ノード装置で攻撃に対処する方法を説明するためのフローチャートである。
以下、本発明の実施形態を添付する図面を参照しながら詳細に説明する。
図1は、ペンディングテーブルのオーバーフローを防止するノード装置の構成例を示す。
図1を参照すれば、ノード装置100は、制御部110、攻撃検出部111、トラフィック制御要請部112、攻撃対応部113、複数のインタフェース部121、122、123、複数のペンディングテーブル131、132、133、FIB(Forwarding information Base)テーブル140、及び格納部150を備える。
複数のインタフェース部121、122、123は、制御部110の制御によって要請メッセージを受信し、受信した要請メッセージを送信する。また、複数のインタフェース部121、122、123は制御部110の制御によってトラフィック制御メッセージ(Traffic control message)を送信する。
複数のインタフェース部121、122、123はそれぞれは論理的(仮想的)なインタフェースであってもよく、物理的なインタフェースであってもよい。
複数のペンディングテーブル131、132、133は、制御部110の制御によってそれぞれに対応する複数のインタフェース部121、122、123から受信した要請メッセージを格納する。要請メッセージはインターネットを介して受信してもよく、トラフィック制御メッセージはインターネットに送信してもよい。
図2は、複数に構成されたペンディングテーブルの構造例を示す図である。
図2を参照すれば、複数のペンディングテーブル131、132、133は、要請メッセージのネーム(name)と要請メッセージを受信するインタフェース部121、122、123のうち1つの情報を共に格納する。この情報はインタフェース情報を含んでもよいが、これに限定されることはない。複数のペンディングテーブル131、132、133それぞれは、複数のインタフェース部121、122、123の1つに関連するため、受信したインタフェース情報は省略できる。
ここで、複数のペンディングテーブル131、132、133の大きさは同じ大きさに設定してもよく、互いに異なる大きさに設定してもよい。複数のペンディングテーブル131、132、133それぞれの大きさはそれぞれマッチングされたインタフェース部に流入するトラフィックを考慮して設定される。
一方、複数のペンディングテーブル131、132、133は物理的に互いに異なるテーブルであってもよく、少なくとも1つのテーブルが論理的(仮想的)に分割されたテーブルであってもよい。例えば、1つのペンディングテーブルは、複数のインタフェース部121、122、123ごとのカウンタを用いて論理的に区分されてもよい。
FIB(Forwarding information Base)テーブル140は、ネームと対応するインタフェース情報を共に格納するテーブルである。
格納部150は、ノード装置100の全般的な動作を制御するためのオペレーティングシステム及びアプリケーションを格納する。また、格納部150は、ノード装置100を認証するためのノード装置100の認証情報を格納する。
制御部110は、複数のインタフェース部121、122、123を介して要請メッセージを受信すれば、ペンディングテーブル130に格納し、複数のインタフェース部121、122、123の1つが要請メッセージを受信すれば、要請メッセージを受信したインタフェース部を識別する。そして、制御部110は、複数のペンディングテーブル131、132、133のうち識別したインタフェース部にマッチングされたペンディングテーブルを識別し、識別したペンディングテーブルに要請メッセージを格納するようにペンディングテーブルを制御する。例えば、制御部110は、第1インタフェース部121に流入する要請メッセージを第1ペンディングテーブル131に格納するようにペディンテーブル131を制御する。
そして、制御部110は、FIBテーブル140で要請メッセージと類似度の高い名前を検索し、複数のインタフェース部121、122、123のうち検索した名前に対応するインタフェース部を確認する。例えば、制御部110は、FIBテーブル140で要請メッセージと複数のインタフェース部121、122、123の名前との間に類似度が高いかを同時に確認してもよい。または、制御部110は、FIBテーブル140で要請メッセージとインタフェース部121、122、123の名前との間に類似度が高いかを順次確認してもよい。制御部110は、FIBテーブル140で要請メッセージと複数のインタフェース部121、122、123の名前との間に類似度が高いかを任意に確認してもよい。
そして、制御部110は、FIBテーブル140を介して確認した名前に対応するインタフェース部を介して受信した要請メッセージを送信する。
攻撃検出部111は、識別したペンディングテーブルに格納された容量を確認し、格納された容量が既に設定した閾値を超過するか否かを検出する。攻撃検出部111は、識別したペンディングテーブルに格納された容量が既に設定した閾値を超過すれば、識別したペンディングテーブルとマッチングされたインタフェース部を介して攻撃を検出する。ここで、閾値は、ペンディングテーブル131、132、133ごとに同じ値に設定してもよく、互いに異なる値に設定してもよい。閾値は複数のペンディングテーブル131、132、133とそれぞれマッチングされたインタフェース部に流入するトラフィックを考慮して設定してもよい。
また、閾値は、ネットワークトポロジーにおけるノード装置の位置に応じて異なって設定してもよい。例えば、ネットワークの先端に位置するノード装置は中心部に位置するノード装置に比べて相対的に少ないトラフィックが送信されるようにする。したがって、ネットワークの先端に位置するノード装置の閾値は、中心部に位置するノード装置に比べて相対的に低く設定される。
トラフィック制御要請部112は、攻撃検出部111によって検出したトラフィック制御メッセージをインタフェース部に送信する。ここで、トラフィック制御メッセージは、要請メッセージを送信する間隔を制御するよう要請するメッセージを表す。
トラフィック制御メッセージは、ノード装置100を識別して認証できる認証情報を含む。そして、トラフィック制御メッセージは、追加的にホップ数情報、維持時間情報、及び送信間隔情報の一部または全体をさらに含んでもよい。ここで、ホップ数情報はトラフィック制御メッセージを伝播するノード数を表す。そして、送信間隔情報は要請メッセージの送信間隔を表す。そして、維持時間情報はトラフィック制御メッセージによるトラフィック制御が維持される時間を表す。
トラフィック制御要請部112がトラフィック制御メッセージを送信した後、攻撃を検出するインタフェース部を介して要請メッセージを受信する。要請メッセージがトラフィック制御メッセージによって設定した送信間隔よりも短かければ、攻撃対応部113は、設定した送信間隔よりも短い間隔で受信した要請メッセージを廃棄する。すなわち、攻撃対応部113は、トラフィック制御中であるインタフェース部を介して設定した送信間隔以外の要請メッセージを受信すれば、その要請メッセージを捨てる。
一方、トラフィック制御要請部112は、複数のインタフェース部121、122、123の全てにトラフィック制御メッセージを送信してもよい。
トラフィック制御要請部112に複数のインタフェース部121、122、123の全てにトラフィック制御メッセージを送信する場合、攻撃対応部113は、複数のインタフェース部121、122、123ごとに要請した送信間隔よりも短い間隔で受信する要請メッセージを廃棄する。
一方、制御部110は、ノード装置100の全般的な動作を制御する。そして、制御部110は、攻撃検出部111、トラフィック制御要請部112、及び攻撃対応部113の機能を行ってもよい。制御部110、攻撃検出部111、トラフィック制御要請部112、及び攻撃対応部113を区分して示す理由は各機能を区別して説明するためである。したがって、制御部110は、攻撃検出部111、トラフィック制御要請部112、及び攻撃対応部113それぞれの機能を行うように構成された(configured)少なくとも1つのプロセッサを含む。また、制御部110は、攻撃検出部111、トラフィック制御要請部112、及び攻撃対応部113それぞれの機能の一部を行うように構成された少なくとも1つのプロセッサを含む。
以下、上記のように構成された本発明に係るネーム基盤のネットワークシステムのノード装置でペンディングテーブルのオーバーフローを防止する方法について図面を参照しながら説明する。
図3は、ノード装置で要請メッセージを複数のペンディングテーブルに分散して格納することを説明するためのフローチャートである。
図3を参照して、ノード装置はステップS310において要請メッセージを受信すれば、ステップS312において要請メッセージを受信したインタフェース部を識別する。そして、ノード装置はステップS314において識別したインタフェース部に対応するペンディングテーブルを識別する。
そして、ノード装置はステップS316において識別したペンディングテーブルの格納された容量を確認する。そして、ノード装置はステップS318において識別したペンディングテーブルの格納された容量が既に設定した閾値を超過するかを確認する。
ステップS318における確認の結果、識別したペンディングテーブルの格納された容量が既に設定した閾値を超過しなければ、ノード装置はステップS320において、受信した要請メッセージを識別したペンディングテーブルに格納する。
そして、ノード装置はステップS322においてFIB(Forwarding Information Base)テーブルで受信した要請メッセージと類似度の高い名前を検索し、検索した名前に対応するインタフェース部を確認し、確認したインタフェース部を介して受信した要請メッセージを送信する。
ステップS318における確認の結果、識別したペンディングテーブルの格納された容量が既に設定した閾値を超過すれば、ノード装置は、ステップS324において予め設定した閾値を超過するインタフェース部にトラフィック制御メッセージを送信する。この場合、トラフィック制御メッセージは、要請メッセージを送信する間隔を制御するように要請するメッセージを表す。トラフィック制御メッセージはノード装置を識別して認証できる認証情報を含む。そして、トラフィック制御メッセージは、追加的にホップ数情報、維持時間情報、及び送信間隔情報の一部または全体をさらに含んでもよい。
図4は、ノード装置が攻撃に対処する方法を説明するためのフローチャートである。
図4を参照すれば、ノード装置はステップS410においてトラフィック制御メッセージを送信する。そして、ノード装置はステップS412において要請メッセージを受信すれば、ステップS414において要請メッセージを受信したインタフェース部を識別する。
そして、ノード装置は、ステップS416において識別したインタフェース部がトラフィック制御対象であるインタフェース部であるかを確認する。ステップS416における確認の結果、識別したインタフェース部がトラフィック制御対象でなければ図3に示すステップS314に進む。
ステップS416における確認の結果、識別したインタフェース部がトラフィック制御対象であれば、ノード装置はステップS418においてトラフィック制御メッセージに要請したトラフィックが観測されたか否かを確認する。ここで、ノード装置は、トラフィック制御メッセージを送信したインタフェース部から要請した送信間隔よりも短い間隔で要請メッセージを受信すれば、要請したトラフィックは観測されないと判断する。
ステップS418における確認の結果、要請したトラフィックが観測されれば、ノード装置は、ステップS420において受信した要請メッセージを識別したインタフェース部とマッチングされたペンディングテーブルに格納する。
そして、ノード装置は、ステップS422においてFIBテーブルで受信した要請メッセージと類似度の高い名前を検索し、検索した名前に対応するインタフェース部を検索し、検索したインタフェース部を介して受信した要請メッセージを送信する。
ステップS418における確認の結果、要請したトラフィックが観測されなかったならば、ノード装置はステップS424において要請した送信間隔以外の要請メッセージを廃棄する。
本発明の実施形態に係る方法は、多様なコンピュータ手段を介して様々な処理を実行することができるプログラム命令の形態で実現され、コンピュータ読取可能な記録媒体に記録されてもよい。コンピュータ読取可能な媒体は、プログラム命令、データファイル、データ構造などのうちの1つまたはその組合せを含んでもよい。媒体に記録されるプログラム命令は、本発明の目的のために特別に設計して構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知のものであり、使用可能なものであってもよい。
上述したように、本発明を限定された実施形態と図面によって説明したが、本発明は、上記の実施形態に限定されることなく、本発明が属する分野における通常の知識を有する者は、このような実施形態から多様な修正及び変形が可能である。
したがって、本発明の範囲は、開示した実施形態に限定されるものではなく、特許請求の範囲だけではなく特許請求の範囲と均等なものなどによって定められるものである。
本発明は、ネーム(name)基盤ネットワークシステムのノード装置におけるルーティング技術の分野に適用できる。
100 ノード装置
110 制御部
111 攻撃検出部
112 トラフィック制御要請部
113 攻撃対応部
121,122,123 第1〜第3インタフェース部
131,132,133 第1〜第3ペンディングテーブル
140 FIBテーブル
150 格納部

Claims (19)

  1. ネーム基盤のネットワークで発生する要請メッセージを受信する複数のインタフェース部と、
    前記複数のインタフェース部のそれぞれにマッチングされ、前記インタフェース部を介して受信した前記要請メッセージをそれぞれ格納る複数のペンディングテーブルと、
    前記複数のインタフェース部の1つを介して前記要請メッセージを受信すると、前記要請メッセージを受信したインタフェース部を識別し前記識別したインタフェース部にマッチングされたペンディングテーブルを識別し、前記識別したペンディングテーブルに前記受信した要請メッセージを格納するように前記識別したペンディングテーブルを制御する制御部と、
    前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出する攻撃検出部と、
    トラフィック制御要請部と、を備え
    前記攻撃検出部は、前記確認された容量が予め設定された閾値を超過するか否かを検出し、
    前記トラフィック制御要請部は、前記確認された容量が前記予め設定された閾値を超過したことが前記攻撃検出部で検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを、前記識別したインタフェース部に送信することを特徴とするネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  2. 前記複数のペンディングテーブルそれぞれの大きさは、前記それぞれのペンディングテーブルにマッチングされたインタフェース部に流入するトラフィックに基づいて設定されることを特徴とする請求項1に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  3. 前記トラフィック制御メッセージは、前記ノード装置を識別して認証できる認証情報を含むことを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  4. 前記トラフィック制御メッセージは、
    前記トラフィック制御メッセージを伝播するノード数を表すホップ数情報と、
    前記トラフィック制御メッセージによるトラフィック制御が維持される時間を表す維持時間情報と、
    前記要請メッセージを送信する間隔を表す送信間隔情報とのうち少なくとも1つをさらに含むことを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  5. 前記トラフィック制御メッセージを送信した後、前記識別したインタフェース部から前記要請した送信間隔よりも短い間隔で要請メッセージを受信すると、前記要請した送信間隔以外の要請メッセージを廃棄する攻撃対応部をさらに備えることを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  6. 前記トラフィック制御要請部は、前記複数のインタフェース部の全てに前記トラフィック制御メッセージを送信することを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  7. 前記トラフィック制御メッセージ前記複数のインタフェース部の全てに送信された後、前記複数のインタフェース部ごとに前記要請した送信間隔よりも短い間隔で要請メッセージを受信すると、前記要請した送信間隔以外の要請メッセージを廃棄する攻撃対応部をさらに備えることを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置。
  8. ネーム基盤のネットワークで発生する要請メッセージを複数のインタフェース部の1つを介して受信するステップと、
    前記要請メッセージを受信したインタフェース部を識別するステップと、
    複数のペンディングテーブルの中から、前記識別したインタフェース部にマッチングされたペンディングテーブルを識別するステップと、
    ノード装置でペンディングテーブルのオーバーフローを防止するために前記識別したペンディングテーブルに前記受信した要請メッセージを格納するステップと、
    前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出するステップと、を有し、
    前記攻撃を検出するステップは、前記確認された容量が予め設定された閾値を超過するか否かを検出するステップを含み、
    前記確認された容量が前記予め設定された閾値を超過することが前記攻撃検出ステップで検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを、前記識別したインタフェース部に送信するステップをさらにを含むことを特徴とするネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  9. 前記ペンディングテーブルは、それぞれに対応する1つのインタフェース部とマッチングされることを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  10. 前記ペンディングテーブルそれぞれの大きさは、前記それぞれのペンディングテーブルにマッチングされたインタフェース部に流入するトラフィックを考慮して設定することを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  11. 前記トラフィック制御メッセージは、前記ノード装置を識別して認証できる認証情報を含むことを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  12. 前記トラフィック制御メッセージは、
    前記トラフィック制御メッセージを伝播するノード数を表すホップ数情報と、
    前記トラフィック制御メッセージによるトラフィック制御が維持される時間を表す維持時間情報と、
    前記要請メッセージを送信する間隔を表す送信間隔情報のうち少なくとも1つをさらに含むことを特徴とする請求項11に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  13. 前記トラフィック制御メッセージを送信するステップの後に、前記識別したインタフェース部から前記要請した送信間隔よりも短い間隔で要請メッセージを受信すると、前記要請した送信間隔以外の要請メッセージを廃棄するステップをさらに含むことを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  14. 前記トラフィック制御メッセージを送信するステップは、前記複数のインタフェース部の全てに前記トラフィック制御メッセージを送信することを特徴とする請求項に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  15. 前記トラフィック制御メッセージを送信するステップの後に、前記複数のインタフェース部ごとに要請した送信間隔よりも短い間隔で要請メッセージを受信すると、前記要請した送信間隔以外の要請メッセージを廃棄するステップをさらに含むことを特徴とする請求項14に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する方法。
  16. ネーム基盤のネットワークから受信した要請メッセージを格納する複数のペンディングテーブルと、
    前記要請メッセージを受信したインタフェース部を識別し、前記識別したインタフェース部にマッチングされたペンディングテーブルを前記複数のペンディングテーブルの中から識別し、前記識別したペンディングテーブルのオーバーフローを防止するために前記受信した要請メッセージを格納するように前記識別したペンディングテーブルを制御する制御部と、
    前記識別したペンディングテーブルに格納された容量を確認し、前記確認された容量に基づいて前記識別したインタフェース部を介して攻撃を検出する攻撃検出部と、
    トラフィック制御要請部と、を備え
    前記攻撃検出部は、前記確認された容量が予め設定された閾値を超過するか否かを検出し、
    前記トラフィック制御要請部は、前記攻撃検出部で前記確認された容量が前記予め設定された閾値を超過することが検出された場合、前記要請メッセージを送信する間隔を制御するように要請するトラフィック制御メッセージを前記識別したインタフェース部に送信することを特徴とするネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する装置。
  17. インタフェース情報に対応する要請メッセージのネームを格納するFIB(Forwarding information Base)テーブルをさらに含むことを特徴とする請求項16に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する装置。
  18. 前記攻撃検出部は、前記確認された容量が前記予め設定された閾値を超過する場合
    前記識別したペンディングテーブルに対応するインタフェース部を攻撃を検出し、
    前記予め設定された閾値は、前記インタフェース部に流入するトラフィック又は当該装置の位置に基づいて設定されることを特徴とする請求項16に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する装置。
  19. 記トラフィック制御メッセージは、ノード装置を識別して認証できる認証情報、ホップ数情報、維持時間情報、及び送信間隔情報のうち少なくとも1つを含むことを特徴とする請求項16に記載のネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止する装置。
JP2012132321A 2011-06-09 2012-06-11 ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法 Active JP6026789B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020110055480A KR101715080B1 (ko) 2011-06-09 2011-06-09 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
KR10-2011-0055480 2011-06-09

Publications (2)

Publication Number Publication Date
JP2012257251A JP2012257251A (ja) 2012-12-27
JP6026789B2 true JP6026789B2 (ja) 2016-11-16

Family

ID=46229307

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012132321A Active JP6026789B2 (ja) 2011-06-09 2012-06-11 ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法

Country Status (5)

Country Link
US (1) US9143527B2 (ja)
EP (1) EP2533495B1 (ja)
JP (1) JP6026789B2 (ja)
KR (1) KR101715080B1 (ja)
CN (1) CN102821039B (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120136507A (ko) * 2011-06-09 2012-12-20 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
CN103179037B (zh) * 2012-12-13 2015-12-09 清华大学 基于内容的数据中心网络的数据传输方法
KR102033999B1 (ko) * 2012-12-21 2019-10-21 삼성전자주식회사 컨텐트 중심 네트워크에서의 통신 방법 및 장치
CN104737505B (zh) * 2013-02-05 2017-07-14 华为技术有限公司 基于缓存的路由方法及路由节点
US20140280823A1 (en) * 2013-03-14 2014-09-18 Alcatel-Lucent Wire-speed pending interest table
CN104052667B (zh) * 2013-03-15 2017-05-31 华为技术有限公司 报文处理方法及设备
CN104283808B (zh) 2013-07-03 2019-03-26 华为技术有限公司 拥塞控制方法、设备及系统
CN103747083B (zh) * 2014-01-02 2015-10-14 北京邮电大学 一种基于ccn的内容推送方法
KR102185350B1 (ko) * 2014-06-10 2020-12-01 삼성전자주식회사 네트워크 노드 및 네트워크 노드의 동작 방법
US10397066B2 (en) 2014-10-27 2019-08-27 Telefonaktiebolaget Lm Ericsson (Publ) Content filtering for information centric networks
US9762490B2 (en) * 2014-10-27 2017-09-12 Telefonaktiebolaget L M Ericsson (Publ) Content filtering for information centric networks
CN104537091B (zh) * 2015-01-06 2018-08-10 湖南科技大学 一种基于层次标识路由的网络化关系数据查询方法
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
CN107369319B (zh) * 2017-06-06 2019-12-10 中国科学院信息工程研究所 一种路况信息的获取方法及装置
CN108924055B (zh) * 2018-08-23 2019-06-14 北京理工大学 一种基于斯坦纳树的命名数据网络多播路由方法
CN110035377B (zh) * 2019-03-19 2020-08-14 南开大学 一种基于动态方向接口模型的车载命名数据网络传输方法
CN110753123B (zh) * 2019-10-28 2020-10-23 北京理工大学 一种面向连接的命名数据网络数据传输方法
CN113132238A (zh) * 2019-12-31 2021-07-16 华为技术有限公司 一种通信方法及设备
CN111786976B (zh) * 2020-06-22 2021-05-25 上海交通大学 一种ndn网络中基于路径聚合的兴趣包泛洪攻击检测系统
KR102651987B1 (ko) * 2021-10-08 2024-03-27 한국전자통신연구원 NDN 네트워크에서 DDoS 공격 대응 방법 및 장치

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19845331A1 (de) 1998-10-01 2000-04-06 Siemens Ag Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- und Datennetz
US8204082B2 (en) 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
JP3861625B2 (ja) 2001-06-13 2006-12-20 ソニー株式会社 データ転送システム、データ転送装置、記録装置、データ転送方法
KR20090037962A (ko) 2001-08-15 2009-04-16 프리캐시 인크. 게시-가입 네트워크에서의 페이로드 조사 및 가입 처리를 통한 패킷 라우팅
US7656840B2 (en) * 2003-02-26 2010-02-02 Nokia Corporation Method of reducing denial-of-service attacks and a system as well as an access router therefor
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US20090291685A1 (en) * 2005-10-31 2009-11-26 Matsushita Electric Industrial Co., Ltd. Radio communication system, communication device, and relay device
US8161549B2 (en) * 2005-11-17 2012-04-17 Patrik Lahti Method for defending against denial-of-service attack on the IPV6 neighbor cache
US20070115828A1 (en) * 2005-11-18 2007-05-24 Ramandeep Ahuja Method for sending requests in a network
US7607041B2 (en) * 2005-12-16 2009-10-20 Cisco Technology, Inc. Methods and apparatus providing recovery from computer and network security attacks
US20070156594A1 (en) 2006-01-03 2007-07-05 Mcgucken Elliot System and method for allowing creators, artsists, and owners to protect and profit from content
JP4837378B2 (ja) * 2006-01-04 2011-12-14 株式会社日立製作所 データの改竄を防止する記憶装置
JP2007266850A (ja) * 2006-03-28 2007-10-11 Fujitsu Ltd 伝送装置
JP2009147569A (ja) * 2007-12-12 2009-07-02 Fujitsu Ltd フレーム送信装置およびフレーム受信装置
WO2009139170A1 (ja) * 2008-05-16 2009-11-19 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
US8375453B2 (en) * 2008-05-21 2013-02-12 At&T Intellectual Property I, Lp Methods and apparatus to mitigate a denial-of-service attack in a voice over internet protocol network
US20100063873A1 (en) 2008-09-08 2010-03-11 Elliot McGucken Method for providing creator-centric region on displays, devices, and social networks where content owners can define rights and creating a novel rights and content repositor
US8204060B2 (en) 2009-01-30 2012-06-19 Palo Alto Research Center Incorporated Method and system for facilitating forwarding a packet in a content-centric network
US8121135B2 (en) * 2009-06-23 2012-02-21 Juniper Networks, Inc. Discovering path maximum transmission unit size
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
KR101688857B1 (ko) * 2010-05-13 2016-12-23 삼성전자주식회사 컨텐츠 중심 네트워크(ccn)에서 단말 및 허브의 통신 방법 및 컨텐츠 중심 네트워크를 위한 단말
US8837499B2 (en) * 2011-05-14 2014-09-16 International Business Machines Corporation Distributed fabric protocol (DFP) switching network architecture
US8667172B2 (en) * 2011-06-07 2014-03-04 Futurewei Technologies, Inc. Method and apparatus for content identifier based radius constrained cache flooding to enable efficient content routing
KR20120136507A (ko) * 2011-06-09 2012-12-20 삼성전자주식회사 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
US8694675B2 (en) * 2011-09-01 2014-04-08 Futurewei Technologies, Inc. Generalized dual-mode data forwarding plane for information-centric network
KR101474320B1 (ko) * 2013-02-04 2014-12-18 아주대학교산학협력단 위치기반 컨텐츠를 위한 위치기반 컨텐츠 중심 네트워킹 방법
US9185120B2 (en) * 2013-05-23 2015-11-10 Palo Alto Research Center Incorporated Method and system for mitigating interest flooding attacks in content-centric networks

Also Published As

Publication number Publication date
EP2533495A2 (en) 2012-12-12
CN102821039B (zh) 2017-06-16
KR101715080B1 (ko) 2017-03-13
EP2533495B1 (en) 2014-03-12
KR20120136506A (ko) 2012-12-20
JP2012257251A (ja) 2012-12-27
US20120317643A1 (en) 2012-12-13
US9143527B2 (en) 2015-09-22
EP2533495A3 (en) 2013-01-16
CN102821039A (zh) 2012-12-12

Similar Documents

Publication Publication Date Title
JP6026789B2 (ja) ネーム基盤のネットワークシステムでペンディングテーブルのオーバーフローを防止するノード装置、並びにそのオーバーフローを防止する装置及び方法
KR101270041B1 (ko) Arp 스푸핑 공격 탐지 시스템 및 방법
EP2533492B1 (en) A node device and method to prevent overflow of pending interest table in name based network system
US8966609B2 (en) Authentication method and apparatus for detecting and preventing source address spoofing packets
US9203734B2 (en) Optimized bi-directional communication in an information centric network
JP6488702B2 (ja) 通信制御装置、通信制御方法、および、通信制御プログラム
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
TWI495301B (zh) 控制封包的階層式速率限制
JP2009232110A (ja) 通信監視装置、通信監視プログラム、および通信監視方法
US10630700B2 (en) Probe counter state for neighbor discovery
US20110026529A1 (en) Method And Apparatus For Option-based Marking Of A DHCP Packet
US20130298220A1 (en) System and method for managing filtering information of attack traffic
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
WO2008131658A1 (fr) Procédé et dispositif pour fureter le dhcp
CN105490995A (zh) 一种在nvo3网络中nve转发报文的方法和设备
CN104283882A (zh) 一种路由器的智能安全防护方法
WO2015027523A1 (zh) 一种确定tcp端口扫描的方法及装置
JP6418232B2 (ja) ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム
TW201132055A (en) Routing device and related packet processing circuit
JP2010273329A (ja) 認証スイッチおよび端末認証方法
KR101088868B1 (ko) 네트워크 스위치의 에이알피 패킷 처리 방법
JP5922622B2 (ja) 制御装置、通信システム、および、通信制御方法
JP2007208575A (ja) 不正トラフィック管理装置およびシステム
JP2008165601A (ja) 通信監視システム、通信監視装置、及び通信制御装置
KR101959440B1 (ko) 네트워크 보안 장치 및 그의 트래픽 처리 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150416

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160608

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161013

R150 Certificate of patent or registration of utility model

Ref document number: 6026789

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250