JP6310822B2 - 仮想マシンのリソース管理システム、方法及びプログラム - Google Patents
仮想マシンのリソース管理システム、方法及びプログラム Download PDFInfo
- Publication number
- JP6310822B2 JP6310822B2 JP2014177204A JP2014177204A JP6310822B2 JP 6310822 B2 JP6310822 B2 JP 6310822B2 JP 2014177204 A JP2014177204 A JP 2014177204A JP 2014177204 A JP2014177204 A JP 2014177204A JP 6310822 B2 JP6310822 B2 JP 6310822B2
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- attack detection
- detection threshold
- function unit
- resource management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明の実施形態は、仮想マシンのリソース管理システム、方法及びプログラムに関する。
1つの物理サーバ上に複数の仮想マシンを配置し、各仮想マシンに割り当てるCPUやメモリ等のリソース量を需要増加等の必要に応じて変更することで、物理サーバのリソースの利用効率を高める技術がある(例えば非特許文献1参照)。
従来のDoS(Denial Of Service)/DDoS(Distributed Denial of Service)攻撃検知・防御技術(IDS(Intrusion Detection System)/IPS(Intrusion Protection System)等)では、サーバへのDoS/DDoS攻撃を検知する手法として、攻撃毎に設定された検知パラメータに閾値を定め、閾値を超えるパラメータを示す通信が到達した場合にサーバが攻撃を受けたとみなす手法が用いられる。
また、通常使われるHTTP(Hypertext Transfer Protocol)やDNS(Domain Name System)などを用いたDoS/DDoS攻撃を検知するために、平常時のトラヒックパターンを学習することで、ある時刻の閾値を自動的に設定する方式も存在する(例えば非特許文献2参照)。
日本HP,"HP Integrity サーバー - 仮想化,"、[online]、[平成26年8月21日検索]、インターネット〈URL:http://h50146.www5.hp.com/products/servers/integrity/vse/〉
水口孝則他,"トラフィック解析システムSAMURAIとサービス展開,"、[online]、NTT技術ジャーナル,2008.7、[平成26年8月21日検索]、インターネット〈URL:http://www.ntt.co.jp/journal/0807/files/jn200807016.pdf〉
しかし、仮想マシンへのリソース割り当てを管理する機能部(OpenStack、オーケストレータ等)と攻撃検知のための閾値を設定する機能部(IDS/IPS等)とで、リソース割り当てと連携する仕組みは存在しない。このため、保護対象の仮想マシンの処理能力が動的に変化する場合、以下の2つの課題が生じる可能性がある。
1つ目の課題について説明する。仮想マシンのリソースが需要変動等に伴い自動的に増減しても、IDSの攻撃検知閾値はそのままであるため、攻撃の検知性能が低下する可能性がある。
例えば、ある仮想マシンへの需要の増加に伴い、より大量のトラヒックを処理できるように仮想マシンのリソースの追加割り当てを実施する場合、該仮想マシンを防御するために設置されたIDSの攻撃検知閾値は仮想マシンのリソース追加前と同じであるため、正常通信の誤検知(False Positive)が増加する可能性がある。
また、ある仮想マシンへの需要の減少に伴い、該仮想マシンのリソースが自動的に削減される場合も、IDSの攻撃検知閾値は固定であるため、異常通信の見落とし(False Negative)が増加する可能性がある。
例えば、ある仮想マシンへの需要の増加に伴い、より大量のトラヒックを処理できるように仮想マシンのリソースの追加割り当てを実施する場合、該仮想マシンを防御するために設置されたIDSの攻撃検知閾値は仮想マシンのリソース追加前と同じであるため、正常通信の誤検知(False Positive)が増加する可能性がある。
また、ある仮想マシンへの需要の減少に伴い、該仮想マシンのリソースが自動的に削減される場合も、IDSの攻撃検知閾値は固定であるため、異常通信の見落とし(False Negative)が増加する可能性がある。
2つ目の課題について説明する。仮想マシンへリソースが自動的に割り当てられる際には、IDS側の設定は考慮されない。このため、仮想マシンに対して、IDS側で想定しているよりも少ないリソース量しか割り当てられない等の、IDS側から見ると不適切なリソース割り当てが発生する可能性がある。
例えば、ある仮想マシンを防御するために設置されたIDSにおいて、通信量が100Mbpsを超えた場合にこの通信をDoS/DDoS攻撃として検知するという設定がなされていた場合、防御対象の仮想マシンは最低でも100Mbpsの通信量を処理できる能力が求められる。しかし、仮想マシンへのリソース割り当てを管理する機能部はIDSとは独立に動作する。このため、仮想マシンに対して十分なリソースの割り当てがなされない可能性(例えば50Mbpsまでの通信量を処理できるように割り当てる)等)があり、通信量がIDSの閾値以下でも仮想マシンがサービス不能に陥る恐れがある。
本発明は、仮想マシンへのリソース割り当てと仮想マシンに対する攻撃検知とを適切に行なうことが可能になる仮想マシンのリソース管理システム、方法及びプログラムを提供することを目的とする。
上記目的を達成するために、この発明の実施形態における仮想マシンのリソース管理システムの態様は、物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理するリソース管理機能部と、前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知する攻撃検知機能部と、前記リソース管理機能部により管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定する攻撃検知閾値設定機能部とを具備する仮想マシンのリソース管理システムを提供する。
本発明の実施形態における仮想マシンのリソース管理方法の態様は、仮想マシンのリソース管理システムに適用される方法であって、前記仮想マシンのリソース管理システムは、物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理し、前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知し、前記管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定する。
本発明によれば、仮想マシンへのリソース割り当てと攻撃検知を適切に行なうことができる。
以下、図面を参照して、この発明に係る実施形態を説明する。
図1は、本発明の実施形態における仮想マシンのリソース管理システムを構成するための物理ネットワーク構成例を示す図である。
ここでは、一例として、インターネットやネットワーク事業者網1から接続可能なデータセンタ2内に物理サーバ群30が存在し、これらの物理サーバに対するDoS/DDoS攻撃を検知するためのDoS/DDoS攻撃検知装置10、仮想マシンリソース管理装置20(OpenStack、オーケストレータ等)が設置された環境を想定する。
図1は、本発明の実施形態における仮想マシンのリソース管理システムを構成するための物理ネットワーク構成例を示す図である。
ここでは、一例として、インターネットやネットワーク事業者網1から接続可能なデータセンタ2内に物理サーバ群30が存在し、これらの物理サーバに対するDoS/DDoS攻撃を検知するためのDoS/DDoS攻撃検知装置10、仮想マシンリソース管理装置20(OpenStack、オーケストレータ等)が設置された環境を想定する。
図2は、本発明の実施形態における仮想マシンのリソース管理システムを構成するための論理ネットワーク構成例を示す図である。
各物理サーバ31(31a,31b)上では、複数の仮想マシン32(32a〜32d)が自身の存在する物理サーバ上のリソースを共有しながら動作している。たとえば、第1物理サーバ31a上では、第1仮想マシン32aおよび第2仮想マシン32bが配置され、第2物理サーバ31b上では、第3仮想マシン32cおよび第4仮想マシン32dが配置される。
各物理サーバ31(31a,31b)上では、複数の仮想マシン32(32a〜32d)が自身の存在する物理サーバ上のリソースを共有しながら動作している。たとえば、第1物理サーバ31a上では、第1仮想マシン32aおよび第2仮想マシン32bが配置され、第2物理サーバ31b上では、第3仮想マシン32cおよび第4仮想マシン32dが配置される。
仮想マシンリソース管理装置20はリソース管理機能部21を有する。このリソース管理機能部21は、各仮想マシン32a〜32dのリソース量(CPU容量、メモリ容量、NW帯域容量、ストレージ容量等)を管理する。
なお、各仮想マシン32a〜32dに割り当てられたリソース量は固定ではなく、各仮想マシン32a〜32dの需要変動(例えば、仮想マシン32上でWebサーバが動作しているとすると、イベント等に伴う対象Webサイトへのアクセス数の増加や減少)等の必要に応じて、適宜、リソース管理機能部21によって追加・削除される。
また、DoS/DDoS攻撃検知装置10は、仮想マシン32a〜32d毎の仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)を有する。仮想マシン用DoS/DDoS攻撃検知機能部12は、各仮想マシン32a〜32dによる通信を監視することでDoS/DDoS攻撃を検知する。
各仮想マシン32a〜32d用の仮想マシン用DoS/DDoS攻撃検知機能部12a〜12dは、背景技術でも述べた、仮想マシン32の所定の攻撃検知閾値をベースとして攻撃を検知する。
DoS/DDoS攻撃検知装置10は、攻撃検知閾値設定機能部11を有する。攻撃検知閾値設定機能部11は、仮想マシン32a〜32d毎の攻撃検知閾値を設定する。
なお、図中では、1つの物理的なDoS/DDoS攻撃検知装置10内に各仮想マシン32a〜32d用の仮想マシン用DoS/DDoS攻撃検知機能部12a〜12dが論理的に存在するように記載しているが、仮想マシン32a〜32d毎に物理的なDoS/DDoS攻撃検知装置10を備える構成も考えられる。
また、図2では、攻撃検知閾値設定機能部11とリソース管理機能部21とが別々の装置内に存在するように図示しているが、これらの攻撃検知閾値設定機能部11とリソース管理機能部21とを、例えばオーケストレータ(ネットワークやサーバ、ストレージを統合的に管理・制御するソフトウエア)のような形態で同一装置内に実装し、DoS/DDoS攻撃検知装置10と仮想マシンリソース管理装置20とを一括制御する構成も考えられる。
なお、インターネットからDoS/DDoS攻撃検知装置10に入ってきたパケットを各仮想マシン32a〜32d用の仮想マシン用DoS/DDoS攻撃検知機能部12a〜12dに振り分ける方法については、物理的に異なる回線を用いて振り分けたり、VLAN(Virtual Local Area Network)により振り分けたり、またはVXLAN(Virtual eXtensible Local Area Network)のような論理L2トンネルにより振り分けたりする等の方法が考えられる。
図3は、本発明の実施形態における仮想マシンのリソース管理システムにおけるDoS/DDoS攻撃検知装置10の構成例を示す図である。
仮想マシン毎に存在する仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)は、インターネットやネットワーク事業者網1と各仮想マシン32a〜32dとの間の通信を監視して、仮想マシン毎に設定された攻撃検知閾値に基づいて各仮想マシン32a〜32dへのDoS/DDoS攻撃を検知する機能を具備する。
仮想マシン毎に存在する仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)は、インターネットやネットワーク事業者網1と各仮想マシン32a〜32dとの間の通信を監視して、仮想マシン毎に設定された攻撃検知閾値に基づいて各仮想マシン32a〜32dへのDoS/DDoS攻撃を検知する機能を具備する。
攻撃検知閾値設定機能部11は、仮想マシンリソース管理装置20のリソース管理機能部21との通信機能を具備する。
また、攻撃検知閾値設定機能部11は、リソース管理機能部21から通知された仮想マシンリソース情報を、自身が保有する仮想マシンリソース情報テーブル13に格納する機能を具備する。
また、攻撃検知閾値設定機能部11は、リソース管理機能部21から通知された仮想マシンリソース情報を、自身が保有する仮想マシンリソース情報テーブル13に格納する機能を具備する。
さらに、攻撃検知閾値設定機能部11は、仮想マシンリソース情報に基づき仮想マシン毎のDoS/DDoS攻撃検知閾値を生成し、この生成した閾値を攻撃検知閾値設定機能部11が保有する攻撃検知閾値情報テーブル14に格納するとともに、この生成した閾値を仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)に対して設定する機能を具備する。
また、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値情報をリソース管理機能部21に通知する機能を具備する。
また、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値情報をリソース管理機能部21に通知する機能を具備する。
図4は、本発明の実施形態における仮想マシンのリソース管理システムにおける仮想マシンリソース情報テーブル13の一例を表形式で示す図である。
図4に示すように、仮想マシンリソース情報テーブル13は、リソース管理機能部21から通知された仮想マシン毎のリソース情報を格納するためのテーブルである。この仮想マシンリソース情報テーブル13は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、仮想マシンリソース情報(CPU数、CPU利用率、メモリ容量、ネットワーク帯域、ディスク容量等)とを含む。
図4に示すように、仮想マシンリソース情報テーブル13は、リソース管理機能部21から通知された仮想マシン毎のリソース情報を格納するためのテーブルである。この仮想マシンリソース情報テーブル13は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、仮想マシンリソース情報(CPU数、CPU利用率、メモリ容量、ネットワーク帯域、ディスク容量等)とを含む。
なお、仮想マシンリソース情報テーブル13中の各パラメータの項目および値は一例であり、手動または自動で任意の値を設定可能である。自動設定方式の一例としては、上記の非特許文献2でも開示されている、平常時のトラヒックパターンの学習により、ある時刻の閾値を自動的に設定する方式が考えられる。
図5は、本発明の実施形態における仮想マシンのリソース管理システムにおける攻撃検知閾値情報テーブル14の一例を表形式で示す図である。
図5に示すように、攻撃検知閾値情報テーブル14は、手動設定または攻撃検知閾値設定機能部11により自動生成された、仮想マシン毎の攻撃検知閾値情報を格納するためのテーブルである。
この攻撃検知閾値情報テーブル14は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、攻撃毎の検知閾値情報とを有する。検知閾値情報のパラメータは、1秒間のポートスキャン回数、セッション数、ネットワーク帯域、1秒間のTCP SYNパケット数、1秒間のICMPパケット数、1秒間のTCPパケット数、1秒間のUDPパケット数、1秒間のDNSパケット数、1秒間のNTPパケット数等である。
図5に示すように、攻撃検知閾値情報テーブル14は、手動設定または攻撃検知閾値設定機能部11により自動生成された、仮想マシン毎の攻撃検知閾値情報を格納するためのテーブルである。
この攻撃検知閾値情報テーブル14は、各仮想マシン32a〜32dを一意に識別可能な仮想マシン識別情報と、攻撃毎の検知閾値情報とを有する。検知閾値情報のパラメータは、1秒間のポートスキャン回数、セッション数、ネットワーク帯域、1秒間のTCP SYNパケット数、1秒間のICMPパケット数、1秒間のTCPパケット数、1秒間のUDPパケット数、1秒間のDNSパケット数、1秒間のNTPパケット数等である。
なお、図5中の検知閾値情報の各パラメータの項目および値は一例であり、手動または自動で任意の値を設定可能である。また、図5に示した例では、例えば、第1仮想マシン32aのTCP SYNの項目やICMPの項目で、閾値の値としてXという同じ記号を便宜上用いているが、通常、項目毎に異なる値を設定すると想定されるので、項目毎に異なる値を設定することも可能である。
図6は、本発明の実施形態における仮想マシンのリソース管理システムにおける仮想マシンリソース管理装置20の構成例を示す図である。
仮想マシンリソース管理装置20のリソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11、管理対象の物理サーバ31や仮想マシン32との通信機能を具備する。また、リソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11から通知された、仮想マシン毎の攻撃検知閾値情報を、自身の保有する攻撃検知閾値情報テーブル23に格納する機能を具備する。
仮想マシンリソース管理装置20のリソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11、管理対象の物理サーバ31や仮想マシン32との通信機能を具備する。また、リソース管理機能部21は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11から通知された、仮想マシン毎の攻撃検知閾値情報を、自身の保有する攻撃検知閾値情報テーブル23に格納する機能を具備する。
さらに、リソース管理機能部21は、攻撃検知閾値情報に基づき仮想マシン毎の割り当てリソース量を制御する機能を具備する。
また、リソース管理機能部21は、仮想マシン毎の通信量等に基づいて各仮想マシン32a〜32dへの需要変動を監視し、リソース不足やリソース過多等の必要に応じて、各仮想マシン32a〜32dへの動的なリソース追加・削減を実施する機能を具備する。
また、リソース管理機能部21は、仮想マシン毎の通信量等に基づいて各仮想マシン32a〜32dへの需要変動を監視し、リソース不足やリソース過多等の必要に応じて、各仮想マシン32a〜32dへの動的なリソース追加・削減を実施する機能を具備する。
また、リソース管理機能部21は、各仮想マシン32a〜32dへのリソース追加・削除を実施する際に、変更された仮想マシンリソース情報を自身の保有する仮想マシンリソース情報テーブル22に格納する機能を有する。
仮想マシンリソース情報テーブル22および攻撃検知閾値情報テーブル23の内容は、図4や図5に示したような、DoS/DDoS攻撃検知装置10側の仮想マシンリソース情報テーブル13や攻撃検知閾値情報テーブル14と同様のため省略する。
次に、仮想マシン32のリソースが需要変動等に伴い自動的に増減した場合に、攻撃検知閾値を増減させることによる、攻撃の検知性能が低下することを防ぐための手順について説明する。
図7は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
まず、仮想マシンリソース管理装置20のリソース管理機能部21は、任意の仮想マシン32の需要変動等に伴い、この仮想マシン32のリソース量の追加・削減を実施する(S1)。
図7は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
まず、仮想マシンリソース管理装置20のリソース管理機能部21は、任意の仮想マシン32の需要変動等に伴い、この仮想マシン32のリソース量の追加・削減を実施する(S1)。
仮想マシンリソース管理装置20のリソース管理機能部21は、変更されたリソース量を示す仮想マシンリソース情報を、仮想マシンリソース管理装置20内の仮想マシンリソース情報テーブル22における、リソース量が変更された仮想マシン用のエリアに格納する(S2)。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、リソース管理機能部21は、変更されたリソース量を示す情報を、仮想マシンリソース情報テーブル22上の第1仮想マシン32aに対応するエリアに格納する。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、リソース管理機能部21は、変更されたリソース量を示す情報を、仮想マシンリソース情報テーブル22上の第1仮想マシン32aに対応するエリアに格納する。
仮想マシンリソース管理装置20のリソース管理機能部21は、仮想マシンリソース割り当て変更に伴う、このリソース割り当て変更がなされた仮想マシン32の攻撃検知閾値更新要求をDoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11に送信する。この際、リソース管理機能部21は、変更された仮想マシンリソース情報を攻撃検知閾値更新要求の通信に含めて攻撃検知閾値設定機能部11に送信(通知)する(S3)。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、リソース管理機能部21から通知された仮想マシンリソース情報を、DoS/DDoS攻撃検知装置10の保有する仮想マシンリソース情報テーブル13における、リソース量が変更された仮想マシン用のエリアに格納する(S4)。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、リソース管理機能部21から通知された仮想マシンリソース情報に基づき、対象の仮想マシン用DoS/DDoS攻撃検知機能部12(12a〜12d)に設定するための攻撃検知閾値を生成し、この攻撃検知閾値を自身の保有する攻撃検知閾値情報テーブル14に格納する(S5)。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、攻撃検知閾値設定機能部11は、第1仮想マシン32a用の攻撃検知閾値を生成し、この攻撃検知閾値を攻撃検知閾値情報テーブル14上の第1仮想マシン32aに対応するエリアに格納する。
例えば、第1仮想マシン32aへのリソースの割り当てが変更された場合は、攻撃検知閾値設定機能部11は、第1仮想マシン32a用の攻撃検知閾値を生成し、この攻撃検知閾値を攻撃検知閾値情報テーブル14上の第1仮想マシン32aに対応するエリアに格納する。
この際、仮想マシン32のリソース量が増加する場合は、攻撃検知閾値設定機能部11により、この仮想マシン用の攻撃検知閾値を増加させることで、正常通信の誤検知を低減することが可能になる。また、仮想マシン32のリソース量が減少する場合は、攻撃検知閾値設定機能部11により、この仮想マシン用の攻撃検知閾値を減少させることで、異常通信の見落としを低減することが可能になる。
なお、仮想マシンリソース情報に基づいて攻撃検知閾値を生成するアルゴリズムについては特に限定しない。一例として、平常時に割り当てられたリソース量での処理能力を1として、平常時用に設定された攻撃検知閾値を、リソース量の増減に伴う処理能力の変化の割合と同じ割合で増減させる方法が考えられる。具体的な例としては、ある仮想マシンのリソース量が増加することで処理能力が平常時の2倍になった場合に、攻撃検知閾値も2倍にする等が考えられる。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、S5で生成した攻撃検知閾値の適用要求を、適用先となる、DoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12に送信する(S6)。
例えば、第1仮想マシン32a用の攻撃検知閾値が生成された場合は、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
例えば、第1仮想マシン32a用の攻撃検知閾値が生成された場合は、攻撃検知閾値設定機能部11は、生成した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
DoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12は、攻撃検知閾値設定機能部11から通知された攻撃検知閾値を適用の上で、通信の監視を継続する(S7)。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の攻撃検知閾値を適用の上で、通信の監視を継続する。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の攻撃検知閾値を適用の上で、通信の監視を継続する。
攻撃検知閾値の適用先である、DoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12は、攻撃検知閾値の適用完了応答をDoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11に送信する(S8)。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、攻撃検知閾値更新完了応答を仮想マシンリソース管理装置20のリソース管理機能部21に送信する。この際、攻撃検知閾値設定機能部11は、適用完了した攻撃検知閾値情報を攻撃検知閾値更新完了応答の通信に含めてリソース管理機能部21に送信(通知)する(S9)。
仮想マシンリソース管理装置20のリソース管理機能部21は、攻撃検知閾値設定機能部11から通知された攻撃検知閾値情報を仮想マシンリソース管理装置20内の攻撃検知閾値情報テーブル23における、対象の仮想マシン用のエリアに格納する(S10)。
S1からS10の手順を経ることで、仮想マシンリソース管理装置20の仮想マシンへのリソース割り当てを管理するリソース管理機能部21とDoS/DDoS攻撃検知装置10(IDS/IPS等)の攻撃検知閾値設定機能部11とを連携させて、仮想マシン32のリソースが需要変動等に伴い自動的に増減した場合に、攻撃検知閾値を増減させることができるため、攻撃の検知性能が低下することを防ぐことができる。
具体的には、仮想マシン32へのリソース追加時に攻撃検知閾値を増加させることで、本発明を用いない場合よりも正常通信の誤検知を削減可能となる。また、仮想マシン32のリソース削減時に攻撃検知閾値を減少させることで、異常通信の見落としを削減可能となる。
次に、不適切なリソース割り当ての発生を防止するための手順について説明する。
図8は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
手動または自動設定に基づいて任意の仮想マシン32の攻撃検知閾値が変更される場合、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、変更後の攻撃検知閾値情報をDoS/DDoS攻撃検知装置10が保有する攻撃検知閾値情報テーブル14における、上記のように攻撃検知閾値が変更された仮想マシン用のエリアに格納する(S11)。
図8は、本発明の実施形態における仮想マシンのリソース管理システムによる動作手順の一例を示す図である。
手動または自動設定に基づいて任意の仮想マシン32の攻撃検知閾値が変更される場合、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、変更後の攻撃検知閾値情報をDoS/DDoS攻撃検知装置10が保有する攻撃検知閾値情報テーブル14における、上記のように攻撃検知閾値が変更された仮想マシン用のエリアに格納する(S11)。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、変更した攻撃検知閾値の適用要求を、適用先となるDoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12に送信する(S12)。
例えば、第1仮想マシン32a用の攻撃検知閾値が変更された場合は、攻撃検知閾値設定機能部11は、変更した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
例えば、第1仮想マシン32a用の攻撃検知閾値が変更された場合は、攻撃検知閾値設定機能部11は、変更した攻撃検知閾値の適用要求を、適用先となる第1仮想マシン用DoS/DDoS攻撃検知機能部12aに送信する。
DoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12は、攻撃検知閾値設定機能部11から通知された、変更後の攻撃検知閾値を適用の上、通信の監視を継続する(S13)。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の変更後の攻撃検知閾値を適用の上で、通信の監視を継続する。
例えば、第1仮想マシン用DoS/DDoS攻撃検知機能部12aは、攻撃検知閾値設定機能部11から通知された、第1仮想マシン32a用の変更後の攻撃検知閾値を適用の上で、通信の監視を継続する。
DoS/DDoS攻撃検知装置10の任意の仮想マシン用DoS/DDoS攻撃検知機能部12は、DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11に対して、攻撃検知閾値の適用完了応答を送信する(S14)。
DoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11は、攻撃検知閾値変更に伴う攻撃検知閾値情報更新要求を仮想マシンリソース管理装置20のリソース管理機能部21に送信する。この際、攻撃検知閾値設定機能部11は、変更された攻撃検知閾値情報を攻撃検知閾値情報更新要求通信に含めてリソース管理機能部21に送信する(S15)。
仮想マシンリソース管理装置20のリソース管理機能部21は、通知された攻撃検知閾値情報を、仮想マシンリソース管理装置20が保有する攻撃検知閾値情報テーブル23における、攻撃検知閾値が変更された仮想マシン用のエリアに格納する(S16)。
仮想マシンリソース管理装置20のリソース管理機能部21は、攻撃検知閾値情報更新完了応答をDoS/DDoS攻撃検知装置10の攻撃検知閾値設定機能部11に送信する(S17)。この際、リソース管理機能部21は、適用完了した攻撃検知閾値情報を攻撃検知閾値情報更新完了応答通信に含めて攻撃検知閾値設定機能部11に送信しても良い。
需要変動等に伴い、任意の仮想マシン32のリソース追加・削除を実施する場合、仮想マシンリソース管理装置20のリソース管理機能部21は、この追加・削除したリソースの情報と仮想マシンリソース管理装置20の保有する攻撃検知閾値情報テーブル23とを突合せの上で、攻撃検知閾値未満を示す通信を確実に処理可能な範囲内で仮想マシンのリソース追加・削除を実施する(S18)。
例えば、攻撃検知閾値情報テーブル23(図5)の第1仮想マシン32aに対するネットワーク帯域の閾値(図5中のXの値)が100Mbpsであれば、この100Mbps未満の通信を受信した際に、第1仮想マシン32aで十分処理できるリソース量を維持するように,仮想マシンリソース管理装置20のリソース管理機能部21がリソースの割り当てを制御する。
S11からS18の手順を経ることで、仮想マシン32のリソースが需要変動等に伴い自動的に増減した場合に、攻撃検知閾値の設定に応じて仮想マシン32のリソースの追加・削除を実施できるため、不適切なリソース割り当ての発生を防止することができる。具体的には、DoS/DDoS攻撃検知装置10の攻撃検知閾値を考慮して仮想マシン32へのリソース割り当てを管理することで、DoS/DDoS攻撃検知装置10の攻撃検知閾値未満の通信によって仮想マシン32がサービス不能に陥る事態を回避可能となる。
なお、S1からS10までの処理とS11からS18までの処理とにおいて競合が発生する場合が想定されるが、この場合、オペレータによる任意の操作により、どちらの処理を優先するかを選択することができる。
また、S1からS10までの処理とS11からS18までの処理は同時に実行されなければならないものではなく、どちらかの処理のみが実施され得る。
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
また、実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フロッピー(登録商標)ディスク、ハードディスク等)、光ディスク(CD−ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。
10…DoS/DDoS攻撃検知装置
11…攻撃検知閾値設定機能部
12…仮想マシン用DoS/DDoS攻撃検知機能部
13,22…仮想マシンリソース情報テーブル
14,23…攻撃検知閾値情報テーブル
20…仮想マシンリソース管理装置
21…リソース管理機能部
11…攻撃検知閾値設定機能部
12…仮想マシン用DoS/DDoS攻撃検知機能部
13,22…仮想マシンリソース情報テーブル
14,23…攻撃検知閾値情報テーブル
20…仮想マシンリソース管理装置
21…リソース管理機能部
Claims (6)
- 物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理するリソース管理機能部と、
前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知する攻撃検知機能部と、
前記リソース管理機能部により管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定する攻撃検知閾値設定機能部とを備えたことを特徴とする仮想マシンのリソース管理システム。 - 前記リソース管理機能部は、
前記仮想マシンのリソースの割り当てが変更された場合に、前記変更された割り当てを示す情報を前記攻撃検知閾値設定機能部に通知するとともに、この変更に伴う、前記割り当てが変更された前記仮想マシン用の前記攻撃検知閾値の設定を前記攻撃検知閾値設定機能部に要求し、
前記攻撃検知閾値設定機能部は、
前記リソース管理機能部からの前記要求がなされた場合に、前記通知された前記割り当てを示す情報に基づいて、前記割り当てが変更された前記仮想マシン毎の前記攻撃検知閾値を設定することを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 前記攻撃検知閾値設定機能部は、
前記設定した攻撃検知閾値を、この攻撃検知閾値に対応する仮想マシン用のDoS/DDoS攻撃検知機能部へ適用し、
前記仮想マシンに割り当てられたリソース量が増加する場合は、このリソース量に対応する前記仮想マシン用の前記攻撃検知閾値を増加させるように設定し、
前記仮想マシンに割り当てられたリソース量が減少する場合は、このリソース量に対応する前記仮想マシン用の前記攻撃検知閾値を減少させることを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 前記攻撃検知閾値設定機能部は、
前記設定した前記攻撃検知閾値を前記リソース管理機能部に通知し、
前記リソース管理機能部は、
前記攻撃検知閾値設定機能部から通知された前記攻撃検知閾値に基づいて、この通知された攻撃検知閾値情報に対応する前記仮想マシンに割り当てるリソース量を制御することを特徴とする請求項1に記載の仮想マシンのリソース管理システム。 - 仮想マシンのリソース管理システムに適用される方法であって、
前記リソース管理システムは、
物理マシン上に配置されて前記物理マシン上のリソースを共有する、前記物理マシンの台数より多い台数の仮想マシンに対する、前記物理マシンのリソースの割り当てを管理し、
前記仮想マシンによる通信状態を示す値と当該仮想マシン用の所定の攻撃検知閾値とを比較することで、前記仮想マシンに対するDoS/DDoS攻撃を検知し、
前記管理する、前記仮想マシンのリソースの割り当てに基づいて、前記仮想マシン毎の前記攻撃検知閾値を設定することを特徴とするリソース管理方法。 - 請求項1に記載のリソース管理システムの一部分として動作するコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記リソース管理機能部、前記攻撃検知機能部、および前記攻撃検知閾値設定機能部
として機能させるためのリソース管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014177204A JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014177204A JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016052044A JP2016052044A (ja) | 2016-04-11 |
| JP6310822B2 true JP6310822B2 (ja) | 2018-04-11 |
Family
ID=55659252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014177204A Active JP6310822B2 (ja) | 2014-09-01 | 2014-09-01 | 仮想マシンのリソース管理システム、方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6310822B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6763543B2 (ja) | 2016-12-16 | 2020-09-30 | 日本電気株式会社 | 管理装置、管理システム、管理装置の制御方法及びプログラム |
| CN106951321B (zh) * | 2017-02-13 | 2021-02-19 | 深信服科技股份有限公司 | 虚拟机cpu资源的管理方法及装置 |
| WO2018181956A1 (ja) * | 2017-03-31 | 2018-10-04 | 日本電気株式会社 | 仮想ネットワーク機能の制御方法、仮想ネットワーク機能管理装置及び仮想ネットワーク提供システム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
| JP2007104307A (ja) * | 2005-10-04 | 2007-04-19 | Matsushita Electric Ind Co Ltd | DoS攻撃検知装置及び方法 |
| JP5596626B2 (ja) * | 2011-06-09 | 2014-09-24 | 日本電信電話株式会社 | DoS攻撃検出方法及びDoS攻撃検出装置 |
-
2014
- 2014-09-01 JP JP2014177204A patent/JP6310822B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016052044A (ja) | 2016-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11496377B2 (en) | Anomaly detection through header field entropy | |
| US10129297B2 (en) | System and method thereof for multi-tiered mitigation of cyber-attacks | |
| JP6430462B2 (ja) | バーチャルマシン通信トラフィックを成形すること | |
| US20210392043A1 (en) | Modifying resource allocation or policy responsive to control information from a virtual network function | |
| US10237875B1 (en) | Routing-aware network limiter | |
| US20180124100A1 (en) | Managing workflows upon a security incident | |
| US8898295B2 (en) | Achieving endpoint isolation by fairly sharing bandwidth | |
| US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
| JP4794197B2 (ja) | ネットワーク増幅攻撃の軽減 | |
| RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
| US20120324572A1 (en) | Systems and methods that perform application request throttling in a distributed computing environment | |
| WO2017088397A1 (zh) | 用于CDN服务器群组的DDoS攻击防护方法及系统 | |
| US9847970B1 (en) | Dynamic traffic regulation | |
| Scholz et al. | SYN flood defense in programmable data planes | |
| Chaudhary et al. | LOADS: Load optimization and anomaly detection scheme for software-defined networks | |
| CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
| EP3266174B1 (en) | Uplink port oversubscription determination | |
| JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| JP6310822B2 (ja) | 仮想マシンのリソース管理システム、方法及びプログラム | |
| US10257156B2 (en) | Overprovisioning floating IP addresses to provide stateful ECMP for traffic groups | |
| JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
| US20170223060A1 (en) | Security control | |
| KR102162991B1 (ko) | Idc용 통합 보안 라우터 및 트래픽 쉐이핑과 ips의 융합 구현 기반의 통합 보안 서비스 방법 | |
| KR101123739B1 (ko) | 계층화된 복수 개의 가상 네트워크를 포함하는 네트워크 구조 및 이를 위한 라우터 | |
| US20190394143A1 (en) | Forwarding data based on data patterns |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160915 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170622 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170725 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170921 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180313 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180319 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6310822 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |