JP6324026B2 - 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 - Google Patents

通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 Download PDF

Info

Publication number
JP6324026B2
JP6324026B2 JP2013231340A JP2013231340A JP6324026B2 JP 6324026 B2 JP6324026 B2 JP 6324026B2 JP 2013231340 A JP2013231340 A JP 2013231340A JP 2013231340 A JP2013231340 A JP 2013231340A JP 6324026 B2 JP6324026 B2 JP 6324026B2
Authority
JP
Japan
Prior art keywords
information
control
communication device
network
transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013231340A
Other languages
English (en)
Other versions
JP2015091106A (ja
Inventor
雄三 別所
雄三 別所
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2013231340A priority Critical patent/JP6324026B2/ja
Publication of JP2015091106A publication Critical patent/JP2015091106A/ja
Application granted granted Critical
Publication of JP6324026B2 publication Critical patent/JP6324026B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法に関する。
従来、SDN(Software Defined Networking)/OpenFlowのような集中制御型ネットワークでは、制御装置においてネットワークを一元管理している。これにより、通信経路の制御が可能となり、通信経路の管理と障害検出が容易となる特徴がある。
そこで、OpenFlowでは、スイッチの標準機能である受信パケットの統計情報を、制御装置から定期的に取得して監視する仕組みが考えられている(例えば、下記非特許文献1参照)。さらに、その仕組みを利用して統計情報を監視することで、トラフィック量が増加した際は該当フローに属するパケットを廃棄する方法がある(例えば、下記特許文献1参照)。
また、制御装置において攻撃による不正パケットのパターンを予め用意しておき、通信装置から制御装置に対して受信パケットが不正パターンと一致するかどうかを問い合わせ、そのパターンと一致した場合のみ不正パターンと判定し、該当パケットを廃棄する方法もある(例えば、下記特許文献2参照)。
また、従来型のネットワークでは、計算機間で通信している通信シーケンスをネットワークアクセス制御装置が監視することにより、規定の通信シーケンスに従った通信状態であるか判定し、不正なアクセスを検出する方法がある(例えば、下記特許文献3参照)。
また、従来型のネットワークにおいて、受信側のファイアーウォールは、受信パケットを監視して不正であると判定すると、受信側でパケットの転送を遮断するとともに、送信元の識別情報であるIPアドレスに基づいて、送信側ネットワークで該当するIPアドレスを発行、管理しているパケット中継装置のIPアドレスをDNSサーバから検索、取得し、受信側から検索したパケット中継装置に対してパケットの遮断を要求することにより、パケットの送信を阻止する方法がある(例えば、下記特許文献4参照)。
国際公開第2012/077603号 特開2013−70325号公報 特開2001−34553号公報 特開2004−159117号公報
Open Network Foundation,OpenFlow Switch Specification Version1.0.0,2009/12/31
しかしながら、上記従来の技術(非特許文献1)によれば、個々の通信装置から統計情報(送受信パケット情報)の定期的な取得処理、制御装置からスイッチへの制御処理、制御装置での不正パケット解析処理が必要になる。そのため、ネットワークの規模増大(スイッチ数増加)に伴って制御装置の負荷が高くなる、という問題があった。また、トラフィックの増大が、一時的に集中しているのか、攻撃によって増加しているのか、判断することが難しい。そのため、該当フローに属するパケットの転送を止めた場合、正常なパケットの通信も遮断してしまう可能性がある、という問題があった。
また、上記従来の技術(特許文献1)によれば、ホスト端末が通信する際には、コントローラにてMACアドレスとIPアドレスの登録が必要である。そのため、規模の増大と共にコントローラによるホスト端末情報の設定の負荷、アドレス検証の負荷が高くなる、という問題があった。また、一旦アドレスが一致し、ホスト端末が正当と判断された後、ホスト端末が悪意のあるソフトウェアによって乗っ取られた場合は同一のアドレス情報を使用されるため、不正であることが判断できない可能性がある、という問題があった。
また、上記従来の技術(特許文献2)によれば、不正パケットのパターンとして定義されていない不正パケットが送信された場合は、正常パケットとして転送されてしまう可能性がある、という問題があった。
また、上記従来の技術(特許文献3)によれば、通信シーケンスとして定義されていない通信方法、通信シーケンスに従った不正アクセス方法であった場合、検出することができない可能性がある、という問題があった。
また、上記従来の技術(特許文献4)によれば、DDoS(Distributed Denial of Service)攻撃では、多数のネットワークからの不正アクセスがあるため、多数のネットワークと接続した環境においては、それぞれのDNSサーバにおいて送信元の識別情報から中継装置のアドレスへ変換機能が必要となり、DNSサーバの数が増大すると、該当する中継装置のアドレスの取得に時間がかかる、という問題があった。さらに、別組織のネットワーク上にあるDNSサーバの場合には、セキュリティの関係からDNSサーバの応答を許可しないことも考えられる。
本発明は、上記に鑑みてなされたものであって、集中制御型ネットワークにおいて、制御装置の負荷を軽減可能な通信装置を得ることを目的とする。
上述した課題を解決し、目的を達成するために、本発明は、制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置であって、自装置で受信するパケットの情報を管理する転送情報エントリテーブルと、前記転送情報エントリテーブルに基づいて、受信したパケットの転送または廃棄を行う通信データ転送処理手段と、前記転送情報エントリテーブルに基づいて、パケットの流量増大による異常トラフィックを判定する転送情報監視手段と、前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成し、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成する制御情報生成手段と、前記制御装置または他の通信装置から取得した制御情報に基づいて、前記転送情報エントリテーブルの内容を更新する転送情報エントリ管理手段と、を備えることを特徴とする。
本発明によれば、集中制御型ネットワークにおいて、制御装置の負荷を軽減できる、という効果を奏する。
図1は、通信装置の構成例を示す図である。 図2は、制御装置の構成例を示す図である。 図3は、転送情報エントリテーブルの構成例を示す図である。 図4は、ネットワークシステムの構成例を示す図である。 図5は、ネットワークシステムの各装置の動作を示すシーケンス図である。
以下に、本発明にかかる通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
実施の形態.
まず、本実施の形態のネットワークシステムが備える通信装置および制御装置の構成について説明する。図1は、本実施の形態の通信装置の構成例を示す図である。パケットの転送を行う通信装置1は、通信データ転送処理部11と、転送情報監視部12と、制御情報生成部13と、制御情報処理部14と、制御情報解析部15と、転送情報エントリ管理部16と、転送情報エントリテーブル17と、を備える。
通信データ転送処理部11は、受信したパケットの転送、廃棄など受信パケットを処理する。
転送情報監視部12は、転送情報エントリテーブル17に格納された転送情報を監視し、転送情報の中の判定条件に基づいてパケット(トラフィック)の流量増大を判定する。
制御情報生成部13は、流量増大による異常トラフィック発生判定時に制御装置へ異常トラフィック発生の送信元となるネットワークの入口端の通信装置1を問い合わせるための制御情報を生成し、また、入口端の通信装置1に対して流量増大による異常トラフィックに該当するフローのパケット転送を停止要求するための制御情報を生成する。
制御情報処理部14は、制御情報生成部13において生成された制御情報を制御ネットワークに対応した形式に変換し、制御装置または他の通信装置1との間で情報の受け渡し、制御等を行うインタフェースである。
制御情報解析部15は、制御装置、他の通信装置1との間で受け渡される制御情報を解析する。
転送情報エントリ管理部16は、制御装置、他の通信装置1からの制御情報によって指示された内容に基づいて、転送情報エントリテーブル17を更新する。
転送情報エントリテーブル17は、制御装置から指示されたフロー情報(フローエントリ)についてヘッダフィールド、フロー毎の転送処理(アクション)、通信データ転送処理部11が転送した転送データの累積値である統計情報、異常トラフィックの判定条件、判定条件を超えたフローの受信開始時間、現在の使用状況を示す帯域(の情報)、判定条件を超えてからの経過時間、の各情報を格納したテーブルである。
図2は、本実施の形態の制御装置の構成例を示す図である。SDN/OpenFlowネットワークの通信装置1を監視制御する制御装置2は、制御情報処理部21と、通知情報解析部22と、通信経路管理部23と、通信経路管理テーブル24と、通知情報生成部25と、通信経路算出部26と、構成情報管理テーブル27と、を備える。
制御情報処理部21は、通信装置1との間の制御ネットワークに対応した形式を解釈し、通信装置1との間の制御情報を送受信する。また、制御情報処理部21では、通知情報生成部25で生成された通知情報を制御情報の形式にして送信する。
通知情報解析部22は、制御情報受信後に制御情報から取り出した通知情報を解析してフロー情報を抽出し、該当するフロー情報の取得を要求する。
通信経路管理部23は、通信経路管理テーブル24を管理しており、通知情報解析部22から要求されたフロー情報について、通信経路管理テーブル24を検索し、該当する入口端の通信装置1の情報とその通信装置1に関連するフロー情報を取得する。
通信経路管理テーブル24は、自装置(制御装置2)が監視対象とするネットワーク全体のフローを管理するテーブルである。
通知情報生成部25は、通信経路管理テーブル24から取得した入口端の通信装置1とその通信装置1に関連するフロー情報を、制御情報処理部21を介して通信装置1に対して回答するための通知情報を生成する。
通信経路算出部26は、自装置(制御装置2)が監視対象とするネットワークのトポロジ情報からフロー毎の通信経路を算出する。
構成情報管理テーブル27は、自装置(制御装置2)が監視対象とするネットワークのトポロジ情報を管理するテーブルである。
図3は、通信装置が備える転送情報エントリテーブルの構成例を示す図である。本実施の形態では、転送情報エントリテーブル17は、各フローエントリにおいて、受信パケットをフローとして定義するための情報であるポート番号、送信元/宛先アドレス、イーサネット(登録商標)タイプ、プロトコルなどのヘッダフィールド、フローに該当するパケット受信時の処理内容であるアクション、および、送受信サイズ・パケット数などの累積値である通信情報を管理する統計情報、の基本構成から構成されるOpenFlowのプロトコルの仕様に基づいている。さらに、この基本構成に対して、本実施の形態の動作を実現するための、判定条件、判定条件を超えたフロー受信開始時間、帯域(の情報)、および、判定条件を超えてからの経過時間、の各情報を追加している。なお、ヘッダフィールドについて列挙している項目は一例であり、全ての項目を使用せずに一部の項目を使用するようにしてもよい。
本実施の形態では、制御用の通信としてOpenFlowによるプロトコルを想定しているが、一例であり、受信したパケットをフローとして定義できるようなSDNの考え方を採用している集中制御型のプロトコルであれば対応可能なことから、OpenFlowに特定するものではない。
なお、図3において、アクションは、パケットを受信した時の振る舞いを規定しており、Forward(転送)、Drop(廃棄)などの情報が設定可能である。
図4は、本実施の形態におけるネットワークシステムの構成例を示す図である。本実施の形態における、通信装置1でパケットの流量の増大を検出して制御装置2の負荷を軽減する動作を説明するためのSDN/OpenFlowのネットワーク構成を示すものである。ネットワークシステムは、パケットを転送する通信装置1A,1B,1C,1Dと、SDN/OpenFlowネットワーク5を監視制御する制御装置2と、SDN/OpenFlowネットワーク5を介して通信を行うホスト(端末)3A,3B,3Cと、各ホスト3A,3B,3Cがアクセス可能なサーバ4A,4Bと、本実施の形態の動作を実現するSDN/OpenFlowネットワーク5と、SDN/OpenFlowネットワーク5の機器を制御するための制御用ネットワーク6と、を備える。
なお、図4における通信装置1A,1B,1C,1Dは、図1に示す通信装置1と同様の構成である。また、以降の説明において、ホスト3A,3B,3Cについて区別する必要がないときはホスト3と称することがあり、サーバ4A,4Bについて区別する必要がないときはサーバ4と称することがある。
図4では、ホスト3A,3B,3Cからサーバ4Aへの通信をそれぞれフロー#1,#2,#3として定義する。ホスト3A,3Bが異常トラフィックを送信した場合、出口端の通信装置1Bにおいてトラフィックの流量増大を検出する。そのトラフィックを異常トラフィックと判定後、出口端の通信装置1Bは、制御装置2に対してフローに属す通信装置1A,1C,1Dの内、入口端に当たる通信装置を問い合わせる。該当する入口端の通信装置1A,1Cに対して、出口端の通信装置1Bは、パケットの転送の停止を要求する。これにより、入口端の通信装置1A,1Cがパケットの転送を遮断する。
図4に示すネットワークシステムにおける動作について、シーケンス図を用いて詳細に説明する。図5は、本実施の形態におけるネットワークシステムの各装置の動作を示すシーケンス図である。図1に示す通信装置1の構成、図2に示す制御装置2の構成、図3に示す通信装置1が管理する転送情報エントリテーブル17の構成、図4に示すネットワークシステムの構成、の各図を利用しながら説明する。
なお、本実施の形態では、SDN/OpenFlowのような集中制御型ネットワークを前提とする。SDN/OpenFlowのデータ転送用ネットワーク(データプレーン)であるSDN/OpenFlowネットワーク5において、ユーザのホスト3からサーバ4に対するアクセスを実施している際に、ホスト3の乗っ取り等による要因で不正パケットが送信され、異常トラフィックが発生したことを通信装置1が検出する。検出後は、データ転送用のネットワークとは異なるSDN/OpenFlowの制御用ネットワーク6を介して、通信装置1と制御装置2で制御情報の受け渡しを行う。
また、本実施の形態では、ネットワークの運用開始前に、通信経路算出部26が、構成情報管理テーブル27で管理されているネットワークのトポロジ情報によって、ホスト3からサーバ4への通信経路を算出して通信経路を確定し、通信経路管理部23を介して、適切な通信経路情報が通信経路管理テーブル24に登録されているものとする。
まず、ステップS1において、ホスト3A,3Bからサーバ4Aへアクセス中に、通信装置1Bの転送情報監視部12は、転送情報エントリテーブル17を監視し、トラフィックの増大を検出する。出口端であることは、通信装置1Bに設定されているものとする。
トラフィックの増大は、図3に示す例のように、出口端の通信装置1Bにおいて、転送情報エントリテーブル17のフローエントリに登録されたフロー#1,#2,#3の帯域の情報を転送情報監視部12が監視することで検出する。この例では、判定条件の帯域を超えたフローが存在し、該当フロー#1,#2は判定条件の帯域を超えたフロー受信開始時間が2013/09/09 12:00で、帯域が判定条件を超えてからの経過時間が1860秒、使用帯域がそれぞれ110Mbps、130Mbpsであることが分かる。
事前に設定した判定条件には経過時間も含んでおり、帯域が判定条件を超えてからの経過時間が1800秒であることから、転送情報監視部12は、該当フロー#1,#2は、判定条件として帯域、経過時間を超えているため、異常トラフィックであると判定する。さらに、転送情報監視部12は、異常トラフィックであると判定したフローが類似の時間帯、類似の経過時間で複数存在することから、同一要因による複数拠点からの不正パケットによる攻撃であると判断できる。一方、フロー#3は、判定条件に対して、帯域および経過時間が一致せず、判定条件を超えたフロー受信開始時間も未設定であることから、転送情報監視部12は、フロー#3は正常トラフィックであると判定し、処理を変更することなく、受信パケットの転送を許可して転送を継続する。
次に、ステップS2において、通信装置1Bでは、転送情報監視部12が転送情報エントリテーブル17を更新することで、判定条件を超えた該当フロー#1,#2の自装置による転送を停止し、以降の受信パケットを廃棄し、隣接するサーバ4Aへの通信を遮断する。すなわち、転送情報監視部12は、該当フロー#1,#2について、転送情報エントリテーブル17のフローエントリのアクションをForwardからDropに更新する。これにより、通信装置1Bでは、テーブル更新後のパケット受信時は、通信データ転送処理部11が転送情報エントリテーブル17に基づいて処理を行うことで、受信パケットを廃棄する。
次に、ステップS3において、通信装置1Bでは、制御情報生成部13が、判定条件を超えた該当フロー#1,#2の情報を加工し、異常トラフィック発生の送信元となるネットワークの入口端の通信装置を問い合わせるための制御情報を生成する。そして、制御情報処理部14が、制御用ネットワーク6に対応した形式(プロトコル)に変換して、制御装置2へ入口端の通信装置情報の問い合わせのための制御情報(フロー情報通知)を送信する。なお、制御用ネットワーク6に対応した形式は、本実施の形態ではOpenFlowのプロトコルを想定しているが、他のSDNのプロトコルにおいても同様のインタフェースを備えていればそのインタフェースへ変換してもよく、OpenFlowのプロトコルに特定するものではない。
次に、ステップS4において、制御装置2では、制御情報処理部21が、通信装置1Bからの制御情報を受信し、受信した制御情報を解釈し、フローに関連する通知情報を抽出する。そして、通知情報解析部22が、通知情報を解析する。本ステップは、制御用ネットワーク6に対応した通信形式からデータ部分を抽出することを意図している。
次に、ステップS5において、制御装置2では、通知情報解析部22での通知情報の解析の結果から得られた通信装置1Bから通知されたフロー情報に関連する通信経路を、通信経路管理部23が、ネットワーク全体の経路情報を管理する通信経路管理テーブル24から検索する。通信経路管理部23は、検索の結果、通信経路の入口に当たる通信装置1A,1Cの情報と、入口端の通信装置1A,1Cにて管理している該当フロー情報を抽出する。通知情報生成部25は、抽出した情報から通信装置1Bに回答するための通知情報を生成する。
ここで、通信装置1Bから通知されたフロー情報であるフロー#1,#2は、通信装置1Bで管理されているID(フィールドエントリの番号)であって、通信装置1A,1Cにおいて同じIDで管理されているとは限らない。例えば、通信装置1Bで管理されているフロー#1の情報は、通信装置1Aではフロー#3として管理されていることもある。制御装置2では、各通信装置1の転送情報エントリテーブル17の情報を管理していることから、通信装置1Bのフロー#1のIDの情報を取得した場合に、通信装置1BのIDのフロー情報に対応する通信装置1AのIDのフロー情報を得ることができる。各通信装置1と制御装置2との間でフロー情報の問い合わせおよび回答をする場合に使用する情報として、ヘッダフィールドの情報を使用せずにIDで行うことにより、各通信装置1と制御装置2との間の通信量を低減することができる。また、後述するように、通信装置1Bから通信装置1A,1Cへパケットの転送停止を要求するときにもIDを用いることにより、各通信装置1間の通信量を低減することができる。
通信経路管理部23は、通信装置1Bのフロー情報について通信経路管理テーブル24を更新することで、通信装置1Bと制御装置2の情報を同期する。
次に、ステップS6において、制御装置2では、制御情報処理部21が、生成された通知情報を制御用ネットワーク6に対応した形式(プロトコル)に変換し、通信装置1Bに入口端の通信装置1A,1Cおよび通信装置1A,1Cにおけるフロー情報を回答する。
なお、通知情報生成部25において通信装置1Bに回答するための通知情報を生成し、この通知情報を制御情報処理部21で制御情報に変換してから通信装置1Bへ送信しているが、これらの処理を行う構成部分をまとめて制御情報生成送信手段とする。
次に、ステップS7a,S7bにおいて、通信装置1Bでは、制御情報処理部14において制御装置2から回答された制御情報を受信し、制御情報解析部15が、受信した制御情報を解釈し、入口端の通信装置1A,1Cの情報と、入口端の通信装置1A,1Cが管理する制御対象のフロー情報を抽出する。そして、制御情報生成部13が、抽出したフロー情報からトラフィックの流量増大に対応する該当パケットの転送停止を要求するための通信装置制御用情報を併せて生成する。
制御情報処理部14は、制御情報生成部13で生成された情報を制御用ネットワーク6に対応した形式(プロトコル)に変換して、入口端の通信装置1A,1Cへ通知する。本実施の形態の例では、出口端の通信装置1Bが受信しているパケット転送送信元となるネットワークの入口端の通信装置は通信装置1A,1Cが該当することから、通信装置1Bはそれぞれに対してパケット転送の停止要求を行う。ここでは、通信装置1Bは、通信装置1Aに対してはステップS7aにおいて、通信装置1Cに対してはステップS7bにおいて、それぞれの通信装置1で管理しているフロー情報(フィールドエントリの番号)を指定してパケット転送の停止要求を行う。
次に、ステップS8aにおいて、通信装置1Bから通知を受けた通信装置1Aでは、制御情報処理部14を介して、制御用ネットワーク6に対応した形式を解釈し、制御情報とフロー情報を抽出する。そして、制御情報解析部15が、制御情報を解析する。解析の結果、制御情報解析部15では、通信装置1Aが転送情報エントリテーブル17にて管理しているエントリと、処理内容が把握できる。転送情報エントリ管理部16は、制御情報解析部15から要求された該当フローのエントリと、処理内容に基づいて、転送情報エントリテーブル17を更新する。この結果、以降の受信パケットを廃棄し、後段の通信装置1Bへの通信を遮断する。
同様に、ステップS8bにおいて、通信装置1Bから通知を受けた通信装置1Cでは、制御情報処理部14を介して、制御用ネットワーク6に対応した形式を解釈し、制御情報とフロー情報を抽出する。そして、制御情報解析部15が、制御情報を解析する。解析の結果、制御情報解析部15では、通信装置1Cが転送情報エントリテーブル17にて管理しているエントリと、処理内容が把握できる。転送情報エントリ管理部16は、制御情報解析部15から要求された該当フローのエントリと、処理内容に基づいて、転送情報エントリテーブル17を更新する。この結果、以降の受信パケットを廃棄し、後段の通信装置1Dへの通信を遮断する。
本実施の形態の例では、各通信装置1の転送情報エントリ管理部16は、該当するフローエントリのアクションをForwardからDropに更新する。各々の通信装置1A,1Cが備えるテーブルは、図3と同様の形式であり、制御装置2への問い合わせの結果、通信装置1Bから通知される制御情報は、アクションのDropへの変更と、該当フローエントリのIDが渡される。これにより、要求を受けたそれぞれの通信装置1A,1Cは、転送情報エントリテーブル17の内、どのエントリが更新対象であるかを識別することができる。
次に、ステップS9aにおいて、転送情報エントリテーブル17を更新した通信装置1Aは、転送情報監視部12において、フローのアクションが変更されたことを検知する。制御情報生成部13は、更新後のフロー情報について制御装置2への通知用の制御情報を生成し、制御情報処理部14が、制御情報を制御用ネットワーク6の形式に変換して、制御装置2へ制御情報(フロー設定完了)を通知する。
同様に、ステップS9bにおいて、転送情報エントリテーブル17を更新した通信装置1Cは、転送情報監視部12において、フローのアクションが変更されたことを検知する。制御情報生成部13は、更新後のフロー情報について制御装置2への通知用の制御情報を生成し、制御情報処理部14が、制御情報を制御用ネットワーク6の形式に変換して、制御装置2へ制御情報(フロー設定完了)を通知する。
次に、ステップS10において、通知を受けた制御装置2では、制御情報処理部21を介して、通知情報解析部22が、通知情報を解析して該当する通信装置1A,1Cそれぞれの更新後のフローを抽出する。そして、通信経路管理部23が、抽出したフロー情報を通信経路管理テーブル24に反映することで、通信装置1A,1Cとの同期が完了する。
以上説明したように、本実施の形態によれば、SDN/OpenFlowのような集中制御型ネットワークにおいて、ホスト3からの異常トラフィックの送信を、ネットワークの出口端の通信装置1Bにおいてトラフィックの流量増大によって検出し、そのトラフィックを異常トラフィックと判定後、出口端の通信装置1Bが制御装置2に対してフローに属するトラフィックの流入元である入口端に当たる通信装置1A,1Cを問い合わせ、該当する入口端の通信装置1A,1Cに対して、出口端の通信装置1Bがパケットの転送の停止を要求し、入口端の通信装置1A,1Cがパケット転送の遮断を行うこととした。これにより、従来、制御装置2が実施していた通信装置1A,1B,1C,1Dの統計情報の定期的な取得と解析処理による流量の監視が不要となることから、制御装置2の負荷を軽減することができる。また、ネットワークの入口端で不正アクセスを遮断することにより、ネットワーク内のトラフィックによる負荷を下げられ、ネットワーク全体の影響も最小化できる。
また、通信装置1A,1B,1C,1Dに制御情報生成部13を備え、制御情報処理部14を介して、通信装置1間での直接制御を行うこととした。これにより、従来、制御装置2が実施していた経路上のスイッチ設定も不要となることから、通信装置1の増大による制御装置2の設定負荷についても軽減することができる。
また、SDN/OpenFlowのような集中制御型ネットワークの標準機能は、転送情報エントリテーブルにプロトコル、ポート番号、送信元/宛先アドレスなどの転送情報をフローとして管理しているため、特定フローに該当するパケットのみ受信が可能となることを利用し、この標準機能に、通信装置1A,1B,1C,1Dに判定条件(閾値)と帯域情報を追加することとした。これにより、同一フローに属する同一宛先のパケットであっても、判定条件が一致しないパケットを正常パケットと判断して転送を許可し、制限しないことで、正常な通信に影響を与えずに特定サーバへの攻撃パケットのみ停止(廃棄)することができる。
また、複数のフローエントリを比較して、判定条件に一致するトラフィックの流量増大が複数あるか判定することとした。これにより、DDoS攻撃(分散サービス妨害)のような複数拠点からの攻撃への対応が可能となる。また、転送情報エントリテーブル17にて、判定条件を超えたフロー受信開始時間、判定条件を超えてからの経過時間を監視しているため、流量増大が、一時的にトラフィックが集中しているのか、攻撃によってトラフィックが増加しているのか判断することも可能となる。DDoS攻撃の場合、脆弱性をかかえたサイトに対して、ワームや不正アクセスを使ってツールを忍び込ませておき、時限爆弾のように特定の時刻に標的となるサーバにDoS攻撃を行うことから、判定条件に時間情報を追加することにより、攻撃の検出が可能となり、攻撃への耐性を高めることができる。
さらに、転送情報エントリテーブル17に基づいて不正パケットを判定するため、特定の不正パターン照合のための設定や、IPS/IDS(不正侵入検知システム)の専用装置を利用せずに同様のセキュアなネットワークが提供できる。
判定条件に一致するフローが単一のときの場合においても、転送を停止したい時は、一つのフローのみパケット転送を遮断することもできる。
また、SDN/OpenFlowのような集中制御型ネットワークでは、ネットワーク全体を管理する制御装置2が通信経路を管理しているため、ネットワークの入口端の通信装置1A,1Cの抽出が容易である。そのため、DNSサーバのようなサーバを使用した送信元中継装置のアドレス検索、取得が不要であり、DNSへの機能追加を必要とせずに、ネットワークの入口端の通信装置1A,1Cが特定できる。
また、ネットワークの出口端の通信装置1Bにおいてトラフィックの流量増大を検出することによって、サーバ4を冗長化している構成の場合、例えば、図4において、サーバ4Aの代替サーバがサーバ4Bとすると、制御装置2は、通信装置1Bからの通知後、入口端の通信装置でのパケット廃棄ではなく、代替サーバ4Bへパケットを転送するフロー情報を回答することにより、出口端の通信装置1Bから該当通信装置に通知し、代替サーバ4Bへの通信が可能となることから、サーバ4Aの負荷分散機能も実現することができる。例えば、フロー#1を通信装置1C,1Dを経由してサーバ4Bへの転送に変更し、同様に、フロー#2を通信装置1Dからサーバ4Bへの転送に変更することでフローを分散させることができる。
以上のように、本発明にかかる通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法は、通信装置と制御装置を備えたネットワークに有用であり、特に、集中制御型ネットワークに適している。
1,1A,1B,1C,1D 通信装置、2 制御装置、3A,3B,3C ホスト、4A,4B サーバ、5 SDN/OpenFlowネットワーク、6 制御用ネットワーク、11 通信データ転送処理部、12 転送情報監視部、13 制御情報生成部、14 制御情報処理部、15 制御情報解析部、16 転送情報エントリ管理部、17 転送情報エントリテーブル、21 制御情報処理部、22 通知情報解析部、23 通信経路管理部、24 通信経路管理テーブル、25 通知情報生成部、26 通信経路算出部、27 構成情報管理テーブル。

Claims (11)

  1. 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置であって、
    自装置で受信するパケットの情報を管理する転送情報エントリテーブルと、
    前記転送情報エントリテーブルに基づいて、受信したパケットの転送または廃棄を行う通信データ転送処理手段と、
    前記転送情報エントリテーブルに基づいて、パケットの流量増大による異常トラフィックを判定する転送情報監視手段と、
    前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成し、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成する制御情報生成手段と、
    前記制御装置または他の通信装置から取得した制御情報に基づいて、前記転送情報エントリテーブルの内容を更新する転送情報エントリ管理手段と、
    を備えることを特徴とする通信装置。
  2. 前記ネットワークの出口端通信装置において、
    前記転送情報監視手段が、前記転送情報エントリテーブルに基づいてパケットの流量増大を判定し、
    前記制御情報生成手段が、前記制御装置および前記入口端通信装置に対する制御情報を生成する、
    ことを特徴とする請求項1に記載の通信装置。
  3. 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納する、
    ことを特徴とする請求項1または2に記載の通信装置。
  4. 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
    前記転送情報監視手段は、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
    ことを特徴とする請求項3に記載の通信装置。
  5. 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置であって、
    自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルと、
    ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフローフィールドエントリの番号で示すフロー情報に基づいて、前記通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理手段と、
    前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置に対して送信する制御情報生成送信手段と、
    を備えることを特徴とする制御装置。
  6. 請求項1から4のいずれか1つに記載の通信装置と、
    請求項5に記載の制御装置と、
    を備えることを特徴とするネットワークシステム。
  7. 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置のネットワーク監視制御方法であって、
    ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
    制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
    前記制御情報生成手段が、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
    を含むことを特徴とする通信装置のネットワーク監視制御方法。
  8. 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納しており、
    前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて、正常トラフィックまたは異常トラフィックを判定する、
    ことを特徴とする請求項7に記載の通信装置のネットワーク監視制御方法。
  9. 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
    前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
    ことを特徴とする請求項8に記載の通信装置のネットワーク監視制御方法。
  10. 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置のネットワーク監視制御方法であって、
    通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフローフィールドエントリの番号で示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
    通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
    を含むことを特徴とする制御装置のネットワーク監視制御方法。
  11. 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムのネットワーク監視制御方法であって、
    ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
    前記出口端通信装置において、制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
    前記制御装置において、通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフロー前記フィールドエントリの番号で示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
    前記制御装置において、通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
    前記出口端通信装置において、前記制御情報生成手段が、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
    を含むことを特徴とするネットワーク監視制御方法。
JP2013231340A 2013-11-07 2013-11-07 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 Active JP6324026B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013231340A JP6324026B2 (ja) 2013-11-07 2013-11-07 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013231340A JP6324026B2 (ja) 2013-11-07 2013-11-07 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法

Publications (2)

Publication Number Publication Date
JP2015091106A JP2015091106A (ja) 2015-05-11
JP6324026B2 true JP6324026B2 (ja) 2018-05-16

Family

ID=53194436

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013231340A Active JP6324026B2 (ja) 2013-11-07 2013-11-07 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法

Country Status (1)

Country Link
JP (1) JP6324026B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017046022A (ja) 2015-08-24 2017-03-02 富士通株式会社 通信制御方法、通信システム及び制御装置
JP6520612B2 (ja) 2015-09-28 2019-05-29 富士通株式会社 ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法
JP6556875B2 (ja) 2015-12-31 2019-08-07 華為技術有限公司Huawei Technologies Co.,Ltd. ソフトウェアディファインドデータセンタ及びそこにおけるサービスクラスタの配置方法
CN107623663B (zh) 2016-07-15 2020-12-15 阿里巴巴集团控股有限公司 处理网络流量的方法及装置
KR102373874B1 (ko) * 2017-08-16 2022-03-14 삼성전자주식회사 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4099108B2 (ja) * 2003-06-10 2008-06-11 富士通株式会社 ネットワーク及びサーバの負荷低減ルータ
US8780710B2 (en) * 2007-05-29 2014-07-15 Telefonaktiebolaget Lm Ericsson (Publ) Priority flow handling in stateless domains
WO2013042373A1 (en) * 2011-09-21 2013-03-28 Nec Corporation Communication apparatus, control apparatus, communication system, communication control method, communication terminal and program
WO2013132559A1 (en) * 2012-03-06 2013-09-12 Nec Corporation Communication apparatus, control apparatus, communication system, packet processing method, communication apparatus control method, and program

Also Published As

Publication number Publication date
JP2015091106A (ja) 2015-05-11

Similar Documents

Publication Publication Date Title
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
JP5524737B2 (ja) 偽装されたネットワーク情報を検出する方法および装置
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
CN108063765B (zh) 适于解决网络安全的sdn系统
EP2790382B1 (en) Protection method and device against attacks
US8661544B2 (en) Detecting botnets
JP6324026B2 (ja) 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法
JP5811179B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
US9800593B2 (en) Controller for software defined networking and method of detecting attacker
US20120159623A1 (en) Method and apparatus for monitoring and processing dns query traffic
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
EP3366020B1 (en) Sdn controller assisted intrusion prevention systems
US20190149573A1 (en) System of defending against http ddos attack based on sdn and method thereof
JP2014147120A (ja) 制御装置、制御方法、及び通信システム
WO2014067043A1 (zh) 网络流量检测方法、系统、设备及控制器
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US20220174072A1 (en) Data Processing Method and Device
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
US20130081131A1 (en) Communication system, communication device, server, and communication method
JP6117050B2 (ja) ネットワーク制御装置
US10547532B2 (en) Parallelization of inline tool chaining
US10834110B1 (en) Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160927

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171018

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180313

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180410

R150 Certificate of patent or registration of utility model

Ref document number: 6324026

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250