JP6310822B2 - 仮想マシンのリソース管理システム、方法及びプログラム - Google Patents
仮想マシンのリソース管理システム、方法及びプログラム Download PDFInfo
- Publication number
- JP6310822B2 JP6310822B2 JP2014177204A JP2014177204A JP6310822B2 JP 6310822 B2 JP6310822 B2 JP 6310822B2 JP 2014177204 A JP2014177204 A JP 2014177204A JP 2014177204 A JP2014177204 A JP 2014177204A JP 6310822 B2 JP6310822 B2 JP 6310822B2
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- attack detection
- detection threshold
- function unit
- resource management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
例えば、ある仮想マシンへの需要の増加に伴い、より大量のトラヒックを処理できるように仮想マシンのリソースの追加割り当てを実施する場合、該仮想マシンを防御するために設置されたIDSの攻撃検知閾値は仮想マシンのリソース追加前と同じであるため、正常通信の誤検知(False Positive)が増加する可能性がある。
また、ある仮想マシンへの需要の減少に伴い、該仮想マシンのリソースが自動的に削減される場合も、IDSの攻撃検知閾値は固定であるため、異常通信の見落とし(False Negative)が増加する可能性がある。
図1は、本発明の実施形態における仮想マシンのリソース管理システムを構成するための物理ネットワーク構成例を示す図である。
ここでは、一例として、インターネットやネットワーク事業者網1から接続可能なデータセンタ2内に物理サーバ群30が存在し、これらの物理サーバに対するDoS/DDoS攻撃を検知するためのDoS/DDoS攻撃検知装置10、仮想マシンリソース管理装置20(OpenStack、オーケストレータ等)が設置された環境を想定する。
各物理サーバ31(31a,31b)上では、複数の仮想マシン32(32a〜32d)が自身の存在する物理サーバ上のリソースを共有しながら動作している。たとえば、第1物理サーバ31a上では、第1仮想マシン32aおよび第2仮想マシン32bが配置され、第2物理サーバ31b上では、第3仮想マシン32cおよび第4仮想マシン32dが配置される。
仮想マシン毎に存在する仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)は、インターネットやネットワーク事業者網1と各仮想マシン32a〜32dとの間の通信を監視して、仮想マシン毎に設定された攻撃検知閾値に基づいて各仮想マシン32a〜32dへのDoS/DDoS攻撃を検知する機能を具備する。
また、攻撃検知閾値設定機能部11は、リソース管理機能部21から通知された仮想マシンリソース情報を、自身が保有する仮想マシンリソース情報テーブル13に格納する機能を具備する。
また、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値情報をリソース管理機能部21に通知する機能を具備する。
図4に示すように、仮想マシンリソース情報テーブル13は、リソース管理機能部21から通知された仮想マシン毎のリソース情報を格納するためのテーブルである。この仮想マシンリソース情報テーブル13は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、仮想マシンリソース情報(CPU数、CPU利用率、メモリ容量、ネットワーク帯域、ディスク容量等)とを含む。
図5に示すように、攻撃検知閾値情報テーブル14は、手動設定または攻撃検知閾値設定機能部11により自動生成された、仮想マシン毎の攻撃検知閾値情報を格納するためのテーブルである。
この攻撃検知閾値情報テーブル14は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、攻撃毎の検知閾値情報とを有する。検知閾値情報のパラメータは、1秒間のポートスキャン回数、セッション数、ネットワーク帯域、1秒間のTCP SYNパケット数、1秒間のICMPパケット数、1秒間のTCPパケット数、1秒間のUDPパケット数、1秒間のDNSパケット数、1秒間のNTPパケット数等である。
仮想マシンリソース管理装置20のリソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11、管理対象の物理サーバ31や仮想マシン32との通信機能を具備する。また、リソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11から通知された、仮想マシン毎の攻撃検知閾値情報を、自身の保有する攻撃検知閾値情報テーブル23に格納する機能を具備する。
また、リソース管理機能部21は、仮想マシン毎の通信量等に基づいて各仮想マシン32a〜32dへの需要変動を監視し、リソース不足やリソース過多等の必要に応じて、各仮想マシン32a〜32dへの動的なリソース追加・削減を実施する機能を具備する。
図7は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
まず、仮想マシンリソース管理装置20のリソース管理機能部21は、任意の仮想マシン32の需要変動等に伴い、この仮想マシン32のリソース量の追加・削減を実施する(S1)。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、リソース管理機能部21は、変更されたリソース量を示す情報を、仮想マシンリソース情報テーブル22上の第1仮想マシン32aに対応するエリアに格納する。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、攻撃検知閾値設定機能部11は、第1仮想マシン32a用の攻撃検知閾値を生成し、この攻撃検知閾値を攻撃検知閾値情報テーブル14上の第1仮想マシン32aに対応するエリアに格納する。
例えば、第1仮想マシン32a用の攻撃検知閾値が生成された場合は、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の攻撃検知閾値を適用の上で、通信の監視を継続する。
図8は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
手動または自動設定に基づいて任意の仮想マシン32の攻撃検知閾値が変更される場合、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、変更後の攻撃検知閾値情報をDoS/DDoS攻撃検知装置10が保有する攻撃検知閾値情報テーブル14における、上記のように攻撃検知閾値が変更された仮想マシン用のエリアに格納する(S11)。
例えば、第1仮想マシン32a用の攻撃検知閾値が変更された場合は、攻撃検知閾値設定機能部11は、変更した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の変更後の攻撃検知閾値を適用の上で、通信の監視を継続する。
11…攻撃検知閾値設定機能部
12…仮想マシン用DoS/DDoS攻撃検知機能部
13,22…仮想マシンリソース情報テーブル
14,23…攻撃検知閾値情報テーブル
20…仮想マシンリソース管理装置
21…リソース管理機能部
Claims (6)
- 物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理するリソース管理機能部と、
前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知する攻撃検知機能部と、
前記リソース管理機能部により管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定する攻撃検知閾値設定機能部とを備えたことを特徴とする仮想マシンのリソース管理システム。 - 前記リソース管理機能部は、
前記仮想マシンのリソースの割り当てが変更された場合に、前記変更された割り当てを示す情報を前記攻撃検知閾値設定機能部に通知するとともに、この変更に伴う、前記割り当てが変更された前記仮想マシン用の前記攻撃検知閾値の設定を前記攻撃検知閾値設定機能部に要求し、
前記攻撃検知閾値設定機能部は、
前記リソース管理機能部からの前記要求がなされた場合に、前記通知された前記割り当てを示す情報に基づいて、前記割り当てが変更された前記仮想マシン毎の前記攻撃検知閾値を設定することを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 前記攻撃検知閾値設定機能部は、
前記設定した攻撃検知閾値を、この攻撃検知閾値に対応する仮想マシン用のDoS/DDoS攻撃検知機能部へ適用し、
前記仮想マシンに割り当てられたリソース量が増加する場合は、このリソース量に対応する前記仮想マシン用の前記攻撃検知閾値を増加させるように設定し、
前記仮想マシンに割り当てられたリソース量が減少する場合は、このリソース量に対応する前記仮想マシン用の前記攻撃検知閾値を減少させることを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 前記攻撃検知閾値設定機能部は、
前記設定した前記攻撃検知閾値を前記リソース管理機能部に通知し、
前記リソース管理機能部は、
前記攻撃検知閾値設定機能部から通知された前記攻撃検知閾値に基づいて、この通知された攻撃検知閾値情報に対応する前記仮想マシンに割り当てるリソース量を制御することを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 仮想マシンのリソース管理システムに適用される方法であって、
前記リソース管理システムは、
物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理し、
前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知し、
前記管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定することを特徴とするリソース管理方法。 - 請求項1に記載のリソース管理システムの一部分として動作するコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記リソース管理機能部、前記攻撃検知機能部、および前記攻撃検知閾値設定機能部
として機能させるためのリソース管理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014177204A JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014177204A JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016052044A JP2016052044A (ja) | 2016-04-11 |
JP6310822B2 true JP6310822B2 (ja) | 2018-04-11 |
Family
ID=55659252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014177204A Active JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6310822B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6763543B2 (ja) | 2016-12-16 | 2020-09-30 | 日本電気株式会社 | 管理装置、管理システム、管理装置の制御方法及びプログラム |
CN106951321B (zh) * | 2017-02-13 | 2021-02-19 | 深信服科技股份有限公司 | 虚拟机cpu资源的管理方法及装置 |
WO2018181956A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 仮想ネットワーク機能の制御方法、仮想ネットワーク機能管理装置及び仮想ネットワーク提供システム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
JP2007104307A (ja) * | 2005-10-04 | 2007-04-19 | Matsushita Electric Ind Co Ltd | DoS攻撃検知装置及び方法 |
JP5596626B2 (ja) * | 2011-06-09 | 2014-09-24 | 日本電信電話株式会社 | DoS攻撃検出方法及びDoS攻撃検出装置 |
-
2014
- 2014-09-01 JP JP2014177204A patent/JP6310822B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016052044A (ja) | 2016-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11496377B2 (en) | Anomaly detection through header field entropy | |
US10129297B2 (en) | System and method thereof for multi-tiered mitigation of cyber-attacks | |
JP6430462B2 (ja) | バーチャルマシン通信トラフィックを成形すること | |
US20210392043A1 (en) | Modifying resource allocation or policy responsive to control information from a virtual network function | |
US10237875B1 (en) | Routing-aware network limiter | |
US20180124100A1 (en) | Managing workflows upon a security incident | |
US8898295B2 (en) | Achieving endpoint isolation by fairly sharing bandwidth | |
US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
JP4794197B2 (ja) | ネットワーク増幅攻撃の軽減 | |
RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
US20120324572A1 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
WO2017088397A1 (zh) | 用于CDN服务器群组的DDoS攻击防护方法及系统 | |
US9847970B1 (en) | Dynamic traffic regulation | |
Scholz et al. | SYN flood defense in programmable data planes | |
Chaudhary et al. | LOADS: Load optimization and anomaly detection scheme for software-defined networks | |
CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
EP3266174B1 (en) | Uplink port oversubscription determination | |
JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
JP6310822B2 (ja) | 仮想マシンのリソース管理システム、方法及びプログラム | |
US10257156B2 (en) | Overprovisioning floating IP addresses to provide stateful ECMP for traffic groups | |
JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
US20170223060A1 (en) | Security control | |
KR102162991B1 (ko) | Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법 | |
KR101123739B1 (ko) | 계층화된 복수 개의 가상 네트워크를 포함하는 네트워크 구조 및 이를 위한 라우터 | |
US20190394143A1 (en) | Forwarding data based on data patterns |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160915 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170622 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170725 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170921 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180319 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6310822 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |