JP6324026B2 - 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 - Google Patents
通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 Download PDFInfo
- Publication number
- JP6324026B2 JP6324026B2 JP2013231340A JP2013231340A JP6324026B2 JP 6324026 B2 JP6324026 B2 JP 6324026B2 JP 2013231340 A JP2013231340 A JP 2013231340A JP 2013231340 A JP2013231340 A JP 2013231340A JP 6324026 B2 JP6324026 B2 JP 6324026B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- control
- communication device
- network
- transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 246
- 238000012544 monitoring process Methods 0.000 title claims description 36
- 238000000034 method Methods 0.000 title claims description 21
- 238000012546 transfer Methods 0.000 claims description 116
- 230000002159 abnormal effect Effects 0.000 claims description 48
- 238000012545 processing Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000010365 information processing Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 8
- 239000000284 extract Substances 0.000 description 6
- 238000007796 conventional method Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
まず、本実施の形態のネットワークシステムが備える通信装置および制御装置の構成について説明する。図1は、本実施の形態の通信装置の構成例を示す図である。パケットの転送を行う通信装置1は、通信データ転送処理部11と、転送情報監視部12と、制御情報生成部13と、制御情報処理部14と、制御情報解析部15と、転送情報エントリ管理部16と、転送情報エントリテーブル17と、を備える。
Claims (11)
- 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置であって、
自装置で受信するパケットの情報を管理する転送情報エントリテーブルと、
前記転送情報エントリテーブルに基づいて、受信したパケットの転送または廃棄を行う通信データ転送処理手段と、
前記転送情報エントリテーブルに基づいて、パケットの流量増大による異常トラフィックを判定する転送情報監視手段と、
前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成し、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成する制御情報生成手段と、
前記制御装置または他の通信装置から取得した制御情報に基づいて、前記転送情報エントリテーブルの内容を更新する転送情報エントリ管理手段と、
を備えることを特徴とする通信装置。 - 前記ネットワークの出口端通信装置において、
前記転送情報監視手段が、前記転送情報エントリテーブルに基づいてパケットの流量増大を判定し、
前記制御情報生成手段が、前記制御装置および前記入口端通信装置に対する制御情報を生成する、
ことを特徴とする請求項1に記載の通信装置。 - 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納する、
ことを特徴とする請求項1または2に記載の通信装置。 - 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
前記転送情報監視手段は、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
ことを特徴とする請求項3に記載の通信装置。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置であって、
自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルと、
ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフローをフィールドエントリの番号で示すフロー情報に基づいて、前記通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理手段と、
前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置に対して送信する制御情報生成送信手段と、
を備えることを特徴とする制御装置。 - 請求項1から4のいずれか1つに記載の通信装置と、
請求項5に記載の制御装置と、
を備えることを特徴とするネットワークシステム。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記通信装置のネットワーク監視制御方法であって、
ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
前記制御情報生成手段が、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
を含むことを特徴とする通信装置のネットワーク監視制御方法。 - 前記転送情報エントリテーブルは、前記転送情報監視手段において異常トラフィックか否かを判定するための判定条件、前記判定条件として定義された帯域を超えたパケットの受信開始時間、現在の使用帯域、および前記現在の使用帯域が前記判定条件として定義された帯域を超えてからの経過時間、の各情報を格納しており、
前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて、正常トラフィックまたは異常トラフィックを判定する、
ことを特徴とする請求項7に記載の通信装置のネットワーク監視制御方法。 - 前記転送情報エントリテーブルは、さらに、受信したパケットのイーサネットタイプ、プロトコル情報の情報を格納しており、
前記流量増大判定ステップでは、前記転送情報監視手段が、前記転送情報エントリテーブルの各情報に基づいて異常トラフィックか否かを判定し、異常トラフィック発生と判定したパケットの情報を前記制御情報生成手段へ通知してパケット転送停止の制御を行い、同一宛先であっても正常と判断したパケットについては転送を許可する、
ことを特徴とする請求項8に記載の通信装置のネットワーク監視制御方法。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムにおける前記制御装置のネットワーク監視制御方法であって、
通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフローをフィールドエントリの番号で示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
を含むことを特徴とする制御装置のネットワーク監視制御方法。 - 制御装置で算出された通信経路の情報を通信装置に設定することで、制御装置からネットワークの一元管理を実現する集中制御型のネットワークシステムのネットワーク監視制御方法であって、
ネットワークシステムの出口端通信装置において、転送情報監視手段が、自装置で受信するパケットの情報を管理する転送情報エントリテーブルの情報に基づいて、パケットの流量増大による異常トラフィックを判定する流量増大判定ステップと、
前記出口端通信装置において、制御情報生成手段が、前記異常トラフィックが発生した場合、前記制御装置に対して、異常トラフィックが発生したフローを示すフィールドエントリの番号を用いて、異常トラフィック発生のパケット送信元となるネットワークの入口端通信装置を問い合わせる制御情報を生成して送信する制御情報送信ステップと、
前記制御装置において、通信経路管理手段が、ネットワークの出口端通信装置から取得した前記出口端通信装置で発生した異常トラフィックのフローを前記フィールドエントリの番号で示すフロー情報に基づいて、自装置が監視対象とするネットワーク全体の通信経路を管理する通信経路管理テーブルを検索し、前記異常トラフィックのパケット送信元となるネットワークの入口端通信装置の情報と、前記出口端通信装置で発生した異常トラフィックのフロー情報に対応する前記入口端通信装置で前記フィールドエントリの番号を用いて管理している対応フロー情報と、を取得する通信経路管理テーブル検索ステップと、
前記制御装置において、通知情報生成手段が、前記入口端通信装置の情報および前記対応フロー情報を含む制御情報を生成し、前記通信装置へ送信する制御情報生成送信ステップと、
前記出口端通信装置において、前記制御情報生成手段が、前記制御装置からの前記フィールドエントリの番号を用いた回答に基づいて、前記入口端通信装置に対して異常トラフィックに該当するパケットの転送停止を要求する制御情報を生成して送信するフロー転送停止要求ステップと、
を含むことを特徴とするネットワーク監視制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013231340A JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013231340A JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015091106A JP2015091106A (ja) | 2015-05-11 |
JP6324026B2 true JP6324026B2 (ja) | 2018-05-16 |
Family
ID=53194436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013231340A Active JP6324026B2 (ja) | 2013-11-07 | 2013-11-07 | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6324026B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017046022A (ja) | 2015-08-24 | 2017-03-02 | 富士通株式会社 | 通信制御方法、通信システム及び制御装置 |
JP6520612B2 (ja) | 2015-09-28 | 2019-05-29 | 富士通株式会社 | ファイアウォールコントローラ、ファイアウォール装置、及び、ファイアウォール制御方法 |
JP6556875B2 (ja) | 2015-12-31 | 2019-08-07 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ソフトウェアディファインドデータセンタ及びそこにおけるサービスクラスタの配置方法 |
CN107623663B (zh) | 2016-07-15 | 2020-12-15 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
KR102373874B1 (ko) * | 2017-08-16 | 2022-03-14 | 삼성전자주식회사 | 소프트웨어 정의 네트워크에서 네트워크 공격을 처리하기 위한 장치 및 방법 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4099108B2 (ja) * | 2003-06-10 | 2008-06-11 | 富士通株式会社 | ネットワーク及びサーバの負荷低減ルータ |
US8780710B2 (en) * | 2007-05-29 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Priority flow handling in stateless domains |
WO2013042373A1 (en) * | 2011-09-21 | 2013-03-28 | Nec Corporation | Communication apparatus, control apparatus, communication system, communication control method, communication terminal and program |
WO2013132559A1 (en) * | 2012-03-06 | 2013-09-12 | Nec Corporation | Communication apparatus, control apparatus, communication system, packet processing method, communication apparatus control method, and program |
-
2013
- 2013-11-07 JP JP2013231340A patent/JP6324026B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015091106A (ja) | 2015-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5826920B2 (ja) | 遮断サーバを用いたスプーフィング攻撃に対する防御方法 | |
JP5524737B2 (ja) | 偽装されたネットワーク情報を検出する方法および装置 | |
JP5880560B2 (ja) | 通信システム、転送ノード、受信パケット処理方法およびプログラム | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
EP2790382B1 (en) | Protection method and device against attacks | |
US8661544B2 (en) | Detecting botnets | |
JP6324026B2 (ja) | 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法 | |
JP5811179B2 (ja) | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
US20120159623A1 (en) | Method and apparatus for monitoring and processing dns query traffic | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
EP3366020B1 (en) | Sdn controller assisted intrusion prevention systems | |
US20190149573A1 (en) | System of defending against http ddos attack based on sdn and method thereof | |
JP2014147120A (ja) | 制御装置、制御方法、及び通信システム | |
WO2014067043A1 (zh) | 网络流量检测方法、系统、设备及控制器 | |
TWI492090B (zh) | 分散式阻斷攻擊防護系統及其方法 | |
KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
US20220174072A1 (en) | Data Processing Method and Device | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
US20130081131A1 (en) | Communication system, communication device, server, and communication method | |
JP6117050B2 (ja) | ネットワーク制御装置 | |
US10547532B2 (en) | Parallelization of inline tool chaining | |
US10834110B1 (en) | Methods for preventing DDoS attack based on adaptive self learning of session and transport layers and devices thereof | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160927 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180313 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180410 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6324026 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |