JP6721542B2 - Traffic control device, method, and program - Google Patents

Traffic control device, method, and program Download PDF

Info

Publication number
JP6721542B2
JP6721542B2 JP2017114031A JP2017114031A JP6721542B2 JP 6721542 B2 JP6721542 B2 JP 6721542B2 JP 2017114031 A JP2017114031 A JP 2017114031A JP 2017114031 A JP2017114031 A JP 2017114031A JP 6721542 B2 JP6721542 B2 JP 6721542B2
Authority
JP
Japan
Prior art keywords
packet
discard
header
unit
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017114031A
Other languages
Japanese (ja)
Other versions
JP2018207436A (en
Inventor
晃嗣 山崎
晃嗣 山崎
悠介 関原
悠介 関原
羽田野 孝裕
孝裕 羽田野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017114031A priority Critical patent/JP6721542B2/en
Publication of JP2018207436A publication Critical patent/JP2018207436A/en
Application granted granted Critical
Publication of JP6721542B2 publication Critical patent/JP6721542B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御技術に関する。 The present invention relates to a traffic control technique for identifying a non-genuine packet and discarding it by analyzing a received packet received from communication traffic.

現在のIP(Internet Protocol)ネットワークでは、サーバとエンドユーザ端末の間、あるいはサーバ間にあるスイッチやルータなどのIPネットワーク中継装置が通信パケットを解析することにより、効率的なパケット転送を行っている。図11は、一般的な通信事業者ネットワークの構成例である。図11に示すように、通信事業者に認証されたエンドユーザ端末は、ユーザ宅内装置を介して通信事業者の転送装置と通信し、所望のサービスを利用する。通信事業者は自社網内でユーザを認証し、然るべきトラヒック制御を行い、他事業者と網終端装置を介して相互接続することにより、グローバルなインターネット接続サービスを提供している。 In a current IP (Internet Protocol) network, an IP network relay device such as a switch or a router between a server and an end user terminal or between servers analyzes a communication packet to perform efficient packet transfer. .. FIG. 11 is a configuration example of a general communication carrier network. As shown in FIG. 11, the end user terminal authenticated by the communication carrier communicates with the transfer device of the communication carrier via the user home device to use the desired service. The telecommunications carrier provides a global Internet connection service by authenticating the user within its own network, performing appropriate traffic control, and interconnecting with other carriers via a network terminating device.

このような通信事業者ネットワークにおいては、災害等により通信が集中する際に通信規制がかかり、サービスが利用できなくなる輻輳が起こることは広く知られている。一方、通信帯域を圧迫する要因は災害だけではなく、不正な意図を持つユーザが生成する多量・多頻度のデータや、度重なるサービス契約状態の変化により、事業者にとって望ましくないトラヒックが一定割合で流れることがあり、このようなトラヒックを非正規パケットと称する。非正規パケットは、事業者の効率的なネットワーク運用を阻害するだけでなく、ユーザの利便性も損なうため、非正規パケットの低減が望まれる。 In such a telecommunications carrier network, it is widely known that communication is regulated when communication is concentrated due to a disaster or the like, and congestion occurs in which services cannot be used. On the other hand, the factors that put pressure on the communication band are not only disasters, but also a large proportion of frequently generated data generated by users with unintended intentions, and frequent changes in service contract status, causing a certain proportion of undesired traffic to operators. Such traffic may flow and is referred to as an unauthorized packet. Non-genuine packets not only hinder the efficient network operation of businesses, but also impair the convenience of users, so reduction of non-genuine packets is desired.

SDNet(Software Defined Specification Environment for Networking)、http://japan.xilinx.com/support/documentation/backgrounders/j_sdnet-backgrounder.pdfSDNet (Software Defined Specification Environment for Networking), http://japan.xilinx.com/support/documentation/backgrounders/j_sdnet-backgrounder.pdf S.Dharmapurikar,et al.、"Deep Packet Inspection Using Parallel Bloom Filters"、IEEE micro、January/February(vol.24 2004)、Issue No.01、p.52-61S. Dharmapurikar, et al., "Deep Packet Inspection Using Parallel Bloom Filters", IEEE micro, January/February (vol.24 2004), Issue No.01, p.52-61

しかしながら、このような従来技術では、災害などの非常事態や特定のプロトコル、パケットの一部等、限定的な状況でのみ有効な要素技術であるため、定常状態において非正規パケットを低減するのは難しいという問題点があった。 However, such a conventional technology is an element technology that is effective only in a limited situation such as an emergency situation such as a disaster, a specific protocol, a part of a packet, or the like. There was a problem that it was difficult.

不正な意図を持つユーザが生成する多量・多頻度のデータや度重なるサービス契約状態の変化を考慮し、特定のプロトコルに依存せずに非正規パケットを低減するため、とりわけパケットを解析するための技術は、異常トラヒックを早期に検出・遮断して安定化を図ることで保安上のリスク低減にも繋がり、事業者が安心かつ安全なインフラを支え続けるにあたって不可欠な技術である。 To reduce the amount of non-genuine packets without depending on a specific protocol, especially for packet analysis, in consideration of a large amount and frequency of data generated by users with unauthorized intentions and repeated changes in service contract status. Technology is an essential technology for operators to continue supporting a safe and secure infrastructure by detecting and blocking abnormal traffic and stabilizing it to reduce security risks.

従来、このようなパケットを解析する方法のひとつとして、パケット分類技術が知られている。パケット分類では、パケットのヘッダ部分を解析することにより、プロトコルにしたがって定型的に必要な情報を抽出することができる。典型的にはスイッチチップやネットワークプロセッサ等に実装されるが、非特許文献1に示すようにFPGAに代表されるプログラマブルデバイスにも実装可能なパケットプロセッサも存在する。 Conventionally, a packet classification technique has been known as one of methods for analyzing such packets. In packet classification, necessary information can be extracted routinely according to the protocol by analyzing the header part of the packet. Typically, it is mounted on a switch chip, a network processor, or the like, but as shown in Non-Patent Document 1, there is a packet processor that can also be mounted on a programmable device represented by FPGA.

しかしながら、これらパケット分類技術だけで常に非正規パケットを低減できるとは限らない。なぜなら事前の知識が十分でない場合、特定するための情報がパケットのヘッダ部分に存在するか、データ部分に存在するかを特定することが困難なためである。 However, these packet classification techniques alone cannot always reduce the number of irregular packets. This is because it is difficult to specify whether the information for specifying exists in the header part or the data part of the packet if the prior knowledge is not sufficient.

他方、パケットを解析する別種の方法として、DPI(Deep Packet Inspection)技術が知られている。DPIは予め分類条件として指定しておいたパターンと、受信したパケットのユーザデータ部分における任意位置の特定ビット列とを照合し、一致するかどうか判定することによりターゲット・アプリケーションを識別する。従来、パケットのデータ部分を解析する方法として非特許文献2に示すような、パケットのデータ長に応じて複数の照合用フィルタを並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されている。 On the other hand, a DPI (Deep Packet Inspection) technique is known as another method of analyzing a packet. The DPI collates a pattern designated in advance as a classification condition with a specific bit string at an arbitrary position in the user data portion of the received packet, and determines whether or not they match to identify the target application. Conventionally, as a method for analyzing a data portion of a packet, a plurality of matching filters are configured in parallel according to the data length of the packet, as shown in Non-Patent Document 2, and a traffic pattern is determined at high speed by hardware. A method has been proposed.

しかしながら、このようなチェックするデータ長に応じてフィルタを構成する方法では、効率が悪く実装コストが問題となる。また、任意位置の特定ビット列を解析できるものの、パケットヘッダのように仕様が定まっている定型的な処理に適用するには不向きである。したがって、前述したいずれの技術を用いても期待する非正規パケットの低減効果を得ることは難しい。 However, such a method of constructing a filter according to the data length to be checked is inefficient and causes a problem of mounting cost. Moreover, although a specific bit string at an arbitrary position can be analyzed, it is unsuitable for application to a fixed process such as a packet header whose specifications are fixed. Therefore, it is difficult to obtain the expected effect of reducing irregular packets by using any of the above-mentioned techniques.

また、従来より専用装置で構成してきた通信サービスの機能が、近年汎用ハードウェアを用いたソフトウェア処理が主体となる仮想化された通信機能の処理に置き換わり始めている。したがって、トラヒック制御装置は、自装置との通信に用いる通信機能が仮想化された上位処理装置と連携して、トラヒック制御を行うような場合もある。このため、従来技術ではこのような通信環境の変化を考慮して非正規パケットの処理を適切に処理することは困難である。 In addition, the function of communication service, which has conventionally been configured by a dedicated device, has recently begun to be replaced by the process of virtualized communication function, which is mainly software processing using general-purpose hardware. Therefore, the traffic control device may perform traffic control in cooperation with a higher-level processing device whose communication function used for communication with itself is virtualized. Therefore, it is difficult for the conventional technique to properly process the irregular packet in consideration of such a change in the communication environment.

本発明はこのような課題を解決するためのものであり、廃棄条件が複雑で非正規パケットの特定が難しいトラヒックであっても、仮想化された通信機能の処理を考慮して、非正規パケットを適切に廃棄して低減できるトラヒック制御技術を提供することを目的としている。 The present invention is for solving such a problem. Even in the case of traffic in which discard conditions are complicated and it is difficult to specify the non-regular packet, the non-regular packet is considered in consideration of the processing of the virtualized communication function. The objective is to provide a traffic control technology that can appropriately reduce and reduce traffic.

このような目的を達成するために、本発明にかかるトラヒック制御装置は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部とを備え、前記廃棄制御部は、前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理部と、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定部と、前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を含む応答パケットを生成する振分制御部と、前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御部とを備えている。 In order to achieve such an object, a traffic control device according to the present invention is a traffic control device that identifies a non-genuine packet by analyzing a received packet received from communication traffic and discards it. From the header analysis specification and the discard condition, a condition setting unit that identifies the analysis range corresponding to the discard condition, and the discard condition that is specified that the analysis range is within the header are registered in the discard table, and the received packet A header analysis unit that compares the received packet whose header is analyzed to determine that the analysis range is within the header, and the discard packet that is identified as having the analysis range outside the header. A condition is registered in the discard filter, and the received packet determined to have the analysis range outside the header is obtained by the data analysis unit that matches the discard condition of the discard filter, the header analysis unit and the data analysis unit. A discard control unit for discarding the packet related to the non-genuine packet based on the collated result obtained, and the discard control unit manages both the discard table of the header analysis unit and the discard filter of the data analysis unit. A discard condition management unit, a regular/non-normal determination unit that determines whether the received packet is a regular packet or an irregular packet based on the collation results obtained by the header analysis unit and the data analysis unit, and When the received packet is a regular packet, the received packet is transferred to an externally connected host processor, and when the received packet is a non-regular packet, a response packet including a response signal according to the packet sender is generated. And a priority output control unit that changes the output priorities of the packet returned by the higher-level processing device and the response packet and transmits the packets.

また、本発明にかかるトラヒック制御方法は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、廃棄制御部が、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップとを備え、前記廃棄制御ステップは、前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理ステップと、前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定ステップと、前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御ステップと、前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御ステップとを含んでいる。 Further, a traffic control method according to the present invention is a traffic control method of identifying a non-genuine packet by analyzing a received packet received from communication traffic and discarding it, wherein a condition setting unit specifies a specified header analysis specification. And a discarding condition, a condition setting step of identifying an analysis range corresponding to the discarding condition, and a header analysis unit registers the discarding condition identified as being within the header of the analysis range in a discarding table, and receiving the reception A header analysis step of collating the received packet, which is determined by analyzing the header of the packet with the analysis range being within the header, with a discard condition of the discard table, and a data analysis unit, wherein the analysis range is outside the header. A data analysis step of registering the discard condition specified as being present in a discard filter, and collating the received packet determined to have the analysis range outside the header with the discard condition of the discard filter, and a discard control unit. A discarding control step of discarding a packet relating to the non-regular packet based on the matching result obtained by the header analyzing section and the data analyzing section, wherein the discarding controlling step includes a discarding table of the header analyzing section and Whether the received packet is a regular packet or a non-regular packet, based on the discard condition management step of managing both discard filters of the data analysis unit and the collation result obtained in the header analysis step and the data analysis step. Regular/non-regular determination step for determining whether the received packet is a regular packet, the received packet is transferred to an externally connected host processor, and the received packet is a non-normal packet, packet transmission is performed. A distribution control step of generating a response packet in which a response signal corresponding to the original is added to the irregular packet, and priority output control of changing the output priority of the packet returned by the higher-level processing device and the response packet and transmitting the packet. Steps and.

また、本発明にかかるプログラムは、コンピュータを、前述したトラヒック制御装置を構成する各部として機能させるためのプログラムである。 Further, the program according to the present invention is a program for causing a computer to function as each unit constituting the traffic control device described above.

本発明によれば、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。また、外部接続された上位処理装置と連携して動作するような場合でも、上位処理装置における仮想化された通信機能の処理を考慮して、上位処理装置と本発明の装置のパケットの出力優先度を変更して出力することができる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。 According to the present invention, even in a case where it is difficult to specify an irregular packet due to a complicated discarding condition, the irregular packet can be specified more accurately, and the detection rate of the irregular packet is improved. Even in the case of operating in cooperation with an externally connected upper processing device, the output priority of packets of the upper processing device and the device of the present invention is taken into consideration in consideration of the processing of the virtualized communication function in the upper processing device. You can change the output and output. As a result, unnecessary traffic can be appropriately discarded from the telecommunications carrier network and reduced, and as a result, it is possible to realize efficient network operation of the telecommunications carrier and also to ensure user convenience. Become.

トラヒック制御装置の構成を示すブロック図である。It is a block diagram which shows the structure of a traffic control apparatus. 条件設定部の構成例である。It is a structural example of a condition setting part. ヘッダ解析部の構成例である。It is an example of composition of a header analysis part. 廃棄テーブルの構成例である。It is a structural example of a discard table. RADIUSで利用されるパケットフォーマットである。This is a packet format used in RADIUS. RADIUSにおけるAttributesの一覧である。It is a list of Attributes in RADIUS. データ解析部の構成例である。It is an example of composition of a data analysis part. 廃棄フィルタの構成例である。It is an example of composition of a disposal filter. 廃棄制御部の構成例である。It is an example of composition of a discard control part. トラヒック制御装置の動作を示すシーケンス図である。It is a sequence diagram which shows operation|movement of a traffic control apparatus. 一般的な通信事業者ネットワークの構成例である。It is an example of composition of a general carrier network.

次に、本発明の一実施の形態について図面を参照して説明する。
[トラヒック制御装置]
まず、図1を参照して、本発明の第1の実施の形態にかかるトラヒック制御装置10について説明する。図1は、トラヒック制御装置の構成を示すブロック図である。 Next, an embodiment of the present invention will be described with reference to the drawings.
[Traffic control device]
First, a traffic control device 10 according to a first exemplary embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram showing the configuration of the traffic control device.

このトラヒック制御装置10は、通信事業者ネットワーク上に配置されて、ネットワーク上を流れる通信トラヒックから、予め指定された廃棄条件と合致する非正規パケットを特定し、対応するパケットを廃棄する装置である。
また、上位処理装置30は、トラヒック制御装置10に外部接続されて、トラヒック制御装置10と連携して動作するとともに、トラヒック制御装置10との通信に用いる通信機能が仮想化された外部装置である。 The traffic control device 10 is a device that is arranged on a communication carrier network, identifies an unauthorized packet that matches a predetermined discard condition from communication traffic flowing on the network, and discards the corresponding packet. ..
The higher-level processing device 30 is an external device that is externally connected to the traffic control device 10, operates in cooperation with the traffic control device 10, and has a virtualized communication function used for communication with the traffic control device 10. ..

図1に示すように、トラヒック制御装置10には、主な機能部として、パケット送受信部11、条件設定部12、ヘッダ解析部13、データ解析部14、廃棄制御部15、廃棄テーブル21、および廃棄フィルタ22が設けられている。 As shown in FIG. 1, the traffic control device 10 has a packet transmission/reception unit 11, a condition setting unit 12, a header analysis unit 13, a data analysis unit 14, a discard control unit 15, a discard table 21, and a main function unit. A discard filter 22 is provided.

パケット送受信部11は、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信する機能を有している。
条件設定部12は、指定されたヘッダ解析仕様および廃棄条件から、廃棄条件と対応する解析範囲を特定する機能を有している。 The packet transmitting/receiving unit 11 has a function of receiving a packet from communication traffic including an unauthorized packet flowing on the communication carrier network.
The condition setting unit 12 has a function of specifying the analysis range corresponding to the discard condition from the specified header analysis specification and discard condition.

ヘッダ解析部13は、条件設定部12で特定した解析範囲がヘッダ内であると特定された廃棄条件を廃棄テーブル21に登録する機能と、パケット送受信部11で受信した受信パケットのヘッダを解析し、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21に登録されている廃棄条件と照合する機能とを有している。 The header analysis unit 13 analyzes the header of the received packet received by the packet transmission/reception unit 11 and the function of registering the discard condition specified by the condition setting unit 12 in the header to the discard condition. , And has a function of collating the received packet whose analysis range is determined to be within the header with the discard condition registered in the discard table 21.

データ解析部14は、条件設定部12で特定した解析範囲がヘッダ外であると特定された廃棄条件を廃棄フィルタ22に登録する機能と、解析範囲がヘッダ外であると判定された受信パケットを、廃棄フィルタ22に登録されている廃棄条件と照合する機能を有している。
廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する機能を有している。 The data analysis unit 14 has a function of registering in the discard filter 22 a discard condition in which the analysis range specified by the condition setting unit 12 is outside the header, and a received packet in which the analysis range is determined to be outside the header. , And has a function of collating with the discard condition registered in the discard filter 22.
The discard control unit 15 has a function of discarding the packet related to the non-genuine packet based on the matching result obtained by the header analysis unit 13 and the data analysis unit 14.

本発明の特徴は、非正規パケットを特定して廃棄するためのパケット解析を、各廃棄条件の解析範囲に基づいてヘッダ部分とデータ部分に分割し、それぞれ廃棄テーブル21および廃棄フィルタ22を用いて階層的な廃棄条件を構成するようにしたものである。また、これに加えて仮想化された通信機能の処理を考慮し、廃棄対象の非正規パケットに対して応答信号を付加して生成した応答パケットを送信元クライアントへ優先度を変更して送信するようにしたものである。 The feature of the present invention is that the packet analysis for identifying and discarding the non-genuine packet is divided into a header portion and a data portion based on the analysis range of each discard condition, and the discard table 21 and the discard filter 22 are used respectively. It is designed to constitute a hierarchical disposal condition. In addition to this, considering the processing of the virtualized communication function, the response packet generated by adding the response signal to the non-genuine packet to be discarded is transmitted with the priority changed to the transmission source client. It was done like this.

前述した背景技術において、非正規パケット発生の要因の多様化について具体例を示す。従来は、災害時の通話規制下における多量の通信要求リトライが非正規パケットの主な発生原因であったが、例えば送信元のIPアドレスやポート、ユーザID、パスワードといった条件はユーザが不正な意図を持つかどうかにかかわらず常に変化する可能性がある。また、パスワード等の情報については暗号化により解析や制御がより困難となる。このような非正規パケットと判定するための前提となる通信の条件は必ずしもパケットを制御するためのヘッダに含まれるとは限らず、ユーザデータのどの部分から判断すればよいかわからない上、その位置や中身などの条件が刻々と変化する。 In the background art described above, a specific example will be shown with respect to diversification of factors that cause the occurrence of irregular packets. In the past, a large amount of communication request retries under call control at the time of disaster was the main cause of non-genuine packets. However, for example, conditions such as the sender's IP address and port, user ID, and password are not intended by the user. May or may not always change. In addition, information such as a password is more difficult to analyze and control due to encryption. The condition of communication that is a prerequisite for determining such a non-genuine packet is not always included in the header for controlling the packet, and it is not known from which part of the user data the determination should be made. Conditions such as and contents change every moment.

このように、多様な条件下でも非正規パケットの特定を可能とするために、本発明では、ユーザが指定する廃棄条件だけでなく、ヘッダ解析の仕様を入力として与え、解析範囲を絞り込んでいる。ヘッダ解析の仕様は、典型的にはRFC等の標準文書に規定されるプロトコル仕様に準拠する。仕様の定義方法としては、公知の技術を利用することができる。例えば、非特許文献1に示されているような方法で仕様を記述してもよい。 As described above, in order to enable the identification of the non-genuine packet even under various conditions, the present invention narrows down the analysis range by giving not only the discard condition specified by the user but also the header analysis specification as an input. .. The specifications of the header analysis typically conform to the protocol specifications specified in standard documents such as RFC. A well-known technique can be used as a method of defining the specifications. For example, the specifications may be described by the method shown in Non-Patent Document 1.

図2は、条件設定部の構成例である。この条件設定部12には、ネットワーク管理者が受信パケットのヘッダ解析仕様を入力する解析仕様入力部12Aと、ユーザが非正規パケットの廃棄条件を入力する廃棄条件入力部12Bと、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内であるか否かを判定する仕様合致判定部12Cとが設けられている。これにより、廃棄テーブル21および廃棄フィルタ22において、階層的に廃棄条件を構成することが可能となる。非正規パケットの条件の解析範囲がヘッダかどうかは、仕様入力で明確化できるため、ヘッダ範囲で特定できる廃棄条件であれば、廃棄テーブル21を検索して照合することにより非正規パケットのパケットを廃棄することができる。 FIG. 2 is a configuration example of the condition setting unit. The condition setting unit 12 includes an analysis specification input unit 12A for the network administrator to input the header analysis specification of the received packet, a discard condition input unit 12B for the user to input the discard condition of the irregular packet, and a header analysis specification. A specification conformity determination unit 12C that determines whether or not the analysis range of the discard condition is within the header is provided. Thereby, it becomes possible to hierarchically configure the discard conditions in the discard table 21 and the discard filter 22. Whether or not the analysis range of the condition of the irregular packet is the header can be clarified by inputting the specification. Therefore, if the discard condition can be specified by the header range, the packet of the irregular packet is searched by searching the discard table 21 and collating. Can be discarded.

図3は、ヘッダ解析部の構成例である。このヘッダ解析部13には、条件設定部12により設定された廃棄条件を廃棄テーブル21に登録する廃棄テーブル登録部13Aと、パケット送受信部11で受信した受信パケットのヘッダをヘッダ解析仕様に基づいて解析する受信ヘッダ解析部13Bと、ヘッダ解析仕様をもとに受信パケットの解析範囲がヘッダ内外のいずれであるかを判定する仕様合致判定部13Cと、仕様合致判定部13Cにより解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する廃棄テーブル検索部13Dとが設けられている。 FIG. 3 is a configuration example of the header analysis unit. The header analysis unit 13 includes a discard table registration unit 13A that registers the discard condition set by the condition setting unit 12 in the discard table 21, and a header of the received packet received by the packet transmission/reception unit 11 based on the header analysis specification. The received header analysis unit 13B for analysis, the specification conformity determination unit 13C for determining whether the analysis range of the received packet is inside or outside the header based on the header analysis specifications, and the analysis range for the header is determined by the specification conformity determination unit 13C. A discard table search unit 13D that matches the received packet determined to be with the discard condition searched from the discard table 21 is provided.

図4は、廃棄テーブルの構成例である。ここでは、各廃棄条件に固有の条件番号ごとに、廃棄条件が登録されている。条件設定部12において、ユーザが非正規パケットのパケットを廃棄するための廃棄条件を指定すると、ヘッダ解析部13の廃棄テーブル登録部13Aにより、その廃棄条件が廃棄テーブル21に新たなエントリとして登録される。例えば、条件1:「送信元IPアドレス」が「xxx.xxx.xxx.xxx」のパケットを廃棄、条件2:「送信元ポート番号」が「yyy」のパケットを廃棄、…、条件N:「ユーザID」が「zzz」のパケットを廃棄、というようにネットワーク管理者の求めに応じて非正規パケットの廃棄条件を設定することができる。 FIG. 4 is a configuration example of the discard table. Here, the discard condition is registered for each condition number unique to each discard condition. When the user specifies the discard condition for discarding the non-genuine packet in the condition setting unit 12, the discard table registration unit 13A of the header analysis unit 13 registers the discard condition in the discard table 21 as a new entry. It For example, condition 1: discard the packet whose "source IP address" is "xxx.xxx.xxx.xxx", condition 2: discard the packet whose "source port number" is "yyy",..., condition N: " It is possible to set the discard condition of the non-genuine packet according to the request of the network administrator, such as discarding the packet having the “user ID” of “zzz”.

次に、本発明のトラヒック制御装置10が制御対象とする通信データの一例として、ユーザIDのようなユーザの情報をもとに廃棄テーブル21を設定する実施形態について説明する。
ユーザは、通信事業者ネットワークを利用する際、まず、通信事業者ネットワークでユーザ認証を受ける。ユーザ認証は、典型的にはRFC 2138に開示されているRADIUSを用いたクライアント・サーバ方式で実施される。図5は、RADIUSで利用されるパケットフォーマットである。このパケットフォーマットにおいて、ユーザIDそのものは、Attributes(RADIUS属性)を解析することで調べることができる。 Next, as an example of communication data to be controlled by the traffic control device 10 of the present invention, an embodiment in which the discard table 21 is set based on user information such as a user ID will be described.
When using the telecommunications carrier network, the user first receives user authentication on the telecommunications carrier network. User authentication is typically performed by a client/server method using RADIUS disclosed in RFC 2138. FIG. 5 shows a packet format used in RADIUS. In this packet format, the user ID itself can be checked by analyzing Attributes (RADIUS attribute).

図6は、RADIUSにおけるAttributesの一覧である。AttributesはType,Length,ValueのいわゆるTLV形式で規格化されており、ネットワーク管理者はフォーマットにしたがって、図6に示すUser−Name Attributeを指定すればよい。また、ユーザIDに紐づいたパスワードにより正しく認証が行われた正規のユーザであるかどうかを判定するには、図5のAuthenticatorを指定すればよい。 FIG. 6 is a list of Attributes in RADIUS. Attribute is standardized in so-called TLV format of Type, Length, Value, and the network administrator may specify User-Name Attribute shown in FIG. 6 according to the format. Further, in order to determine whether the user is a legitimate user who has been properly authenticated by the password associated with the user ID, the Authenticator in FIG. 5 may be designated.

本発明によれば、条件設定部12の解析仕様入力部12Aにおいて、このような指定を可能にするための仕様を与えることにより、ネットワーク管理者の求めに応じて本発明におけるヘッダ解析部13の一連の処理を実施することができる。 According to the present invention, the analysis specification input unit 12A of the condition setting unit 12 is provided with a specification for enabling such specification, so that the header analysis unit 13 of the present invention can be operated according to the request of the network administrator. A series of processes can be performed.

他方、このようなパケットフォーマットに関する仕様がネットワーク管理者によって与えられていない場合や、そもそも仕様に規定されていないような情報をもとに非正規パケットと判定して廃棄しなければならない場合が考えられる。この場合、指定すべき廃棄条件はヘッダ内には存在せず、ユーザデータ内の何処かに埋め込まれていることになるため、ヘッダ解析部13のみで非正規パケットを特定することは困難である。 On the other hand, there are cases in which the specifications related to such packet formats are not given by the network administrator, or there are cases where it is necessary to determine that the packet is an unauthorized packet and discard it based on information that is not specified in the specification in the first place. To be In this case, since the discard condition to be specified does not exist in the header and is embedded somewhere in the user data, it is difficult for the header analysis unit 13 alone to identify the non-genuine packet. ..

そのため、本発明では、データ解析部14に設けた一連の処理部により、ヘッダ解析部13では特定が困難な非正規パケットに対して有効となる解析方法を提供する。 Therefore, in the present invention, a series of processing units provided in the data analysis unit 14 provides an analysis method that is effective for an irregular packet that is difficult to specify in the header analysis unit 13.

図7は、データ解析部の構成例である。このデータ解析部14には、条件設定部12により指定された廃棄条件に関するハッシュ値である廃棄シグネチャを求める廃棄シグネチャ演算部14Aと、求めた廃棄シグネチャを廃棄フィルタ22に登録する廃棄フィルタ登録部14Bと、ヘッダ解析部13において解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた任意の位置および任意の長さのビット列に関するハッシュ値であるデータシグネチャを求めるデータシグネチャ演算部14Cと、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャと照合する廃棄フィルタ照合部14Dとが設けられている。 FIG. 7 is a configuration example of the data analysis unit. In this data analysis unit 14, a discard signature calculation unit 14A that obtains a discard signature that is a hash value related to the discard condition designated by the condition setting unit 12, and a discard filter registration unit 14B that registers the obtained discard signature in the discard filter 22. Of the user data stored in the received packet whose analysis range is determined to be outside the header by the header analysis unit 13, a data signature that is a hash value for a bit string of a predetermined arbitrary position and arbitrary length. And a discard filter matching unit 14D that matches the obtained data signature with the discard signature registered in the discard filter 22.

データ解析部14に関しては多くの部分を、非特許文献2に示すDPI技術を応用して実施することができるため、詳細を割愛し、非特許文献2との構成上の違いについて説明する。
図8は、廃棄フィルタの構成例である。受信パケットのユーザデータ部分の解析において目的とするビット列を非正規パケットとして特定するため、予め検出したいパターンからハッシュ値であるシグネチャを計算し、廃棄フィルタ22に登録しておく必要がある。 Since many parts of the data analysis unit 14 can be implemented by applying the DPI technology shown in Non-Patent Document 2, the details will be omitted and the difference in configuration from Non-Patent Document 2 will be described.
FIG. 8 is a configuration example of the discard filter. In order to identify the target bit string as an irregular packet in the analysis of the user data portion of the received packet, it is necessary to calculate a signature that is a hash value from the pattern to be detected in advance and register it in the discard filter 22.

登録可能なシグネチャの数は、実装するプログラム、デバイス、およびシステムによって区々であるが、シグネチャ数nとメモリ上のハッシュテーブルのメモリビット幅mが決定しているとき、偽陽性確率pを最小化できるようなハッシュ演算数kが定式化され、広く知られている。詳細は非特許文献2に示されているため割愛するが、ハッシュ演算数kとシグネチャ数nおよびメモリビット幅mとの関係式は次の式(1)で表され、このときの偽陽性確率pは次の式(2)で表される。 The number of signatures that can be registered varies depending on the installed program, device, and system, but when the number of signatures n and the memory bit width m of the hash table in memory are determined, the false positive probability p is minimized. The hash operation number k that can be realized is formulated and is widely known. Although the details are omitted in Non-Patent Document 2, the relational expression between the number of hash operations k, the number of signatures n, and the memory bit width m is expressed by the following equation (1). p is represented by the following formula (2).

Figure 0006721542
Figure 0006721542
Figure 0006721542
Figure 0006721542

このような廃棄フィルタ22を用いることにより、偽陽性確率pを一定水準で許容することで、記憶空間の効率m/nを高めながらハッシュ演算数kを決定することができる。
非特許文献2の方法では、解析するパケットのユーザデータ部分のデータ長に応じて複数の照合用フィルタBF(w)を並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されているが、データ長が長くなるにしたがってフィルタBF(w)の数が増えるため、必要とするハードウェアリソースが増大するという問題がある。 By using the discard filter 22 as described above, the false positive probability p is allowed at a certain level, and thus the hash operation number k can be determined while increasing the efficiency m/n of the storage space.
In the method of Non-Patent Document 2, there is a method in which a plurality of matching filters BF(w) are configured in parallel according to the data length of the user data portion of the packet to be analyzed, and the traffic pattern discrimination is processed at high speed by hardware. Although proposed, the number of filters BF(w) increases as the data length increases, which causes a problem of increasing required hardware resources.

本発明によれば、データ解析部14の前段において、ヘッダ解析部13で非正規パケットと特定できるパケットに関しては、データ解析部14で改めて解析対象とする必要がないため、ハードウェアリソースを必要最小限に抑えながらデータ解析部14を構成することができる。このように構成されたデータ解析部14の廃棄シグネチャと、受信したパケットのユーザデータ部分に含まれる任意位置のビット列から計算したデータシグネチャを照合し、非正規パケットの有無を判定する。 According to the present invention, in the previous stage of the data analysis unit 14, the packet that can be identified as the non-genuine packet by the header analysis unit 13 does not need to be analyzed by the data analysis unit 14 again, so that the hardware resources are required to be the minimum required. It is possible to configure the data analysis unit 14 while suppressing the limit. The discard signature of the data analysis unit 14 configured as described above is collated with the data signature calculated from the bit string at the arbitrary position included in the user data portion of the received packet to determine the presence/absence of an irregular packet.

なお、データ解析部14の大部分は、非特許文献2に示すDPI技術を応用して実施することができるが、本発明に特徴的な構成である、ヘッダ解析部13とデータ解析部14を階層的に構成した廃棄制御が機能することにより、ヘッダ部およびデータ部の仕様合致判定を分担して実行することができるため、本構成が開示されてはじめてデータ解析部14の非正規パケットの特定に非特許文献2を活かすことができる。このため、仮に非特許文献2に関連する通常の知識を有する当業者が、非特許文献2に示される技術の転用により非正規パケットの特定を試みたとしても、本発明のような非正規パケット低減の有効性を示すことは困難である。 Although most of the data analysis unit 14 can be implemented by applying the DPI technique shown in Non-Patent Document 2, the header analysis unit 13 and the data analysis unit 14, which are characteristic configurations of the present invention, are not included. Since the discard control configured hierarchically functions, it is possible to share and execute the specification conformity determination of the header part and the data part. Therefore, it is only after the present configuration is disclosed that the non-regular packet of the data analysis part 14 is identified. In addition, Non-Patent Document 2 can be utilized. Therefore, even if a person skilled in the art having ordinary knowledge related to Non-Patent Document 2 tries to identify the non-Regular packet by using the technique shown in Non-Patent Document 2, the non-Regular packet like the present invention is used. It is difficult to show the effectiveness of the reduction.

図9は、廃棄制御部の構成例である。この廃棄制御部15には、廃棄テーブル21と廃棄フィルタ22の双方を管理する廃棄条件管理部15Aと、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関する受信パケットを廃棄するパケット廃棄部15Bとを備えている。
この際、パケット廃棄部15Bにおいて、パケット送受信部11、ヘッダ解析部13、またはデータ解析部14から受け取った受信パケットを、廃棄あるいは後段への転送出力を処理してもよく、パケット廃棄部15Bから廃棄要否を指示して、パケット送受信部11が廃棄あるいは後段への転送出力を処理してもよい。 FIG. 9 is a configuration example of the discard control unit. The discard control unit 15 relates to the non-regular packet based on the discard condition management unit 15A that manages both the discard table 21 and the discard filter 22, and the collation results obtained by the header analysis unit 13 and the data analysis unit 14. The packet discard unit 15B discards the received packet.
At this time, in the packet discard unit 15B, the received packet received from the packet transmission/reception unit 11, the header analysis unit 13, or the data analysis unit 14 may be discarded or the transfer output to the subsequent stage may be processed. The packet transmitter/receiver 11 may process the discard or the transfer output to the subsequent stage by instructing the discard necessity.

具体的には、パケット廃棄部15Bは、正規/非正規判定部15C、振分制御部15D、および優先出力制御部15Eを備えている。
正規/非正規判定部15Cは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、正規のパケットか非正規のパケットであるかを判定する機能を有している。 Specifically, the packet discard unit 15B includes a regular/non-regular determination unit 15C, a distribution control unit 15D, and a priority output control unit 15E.
The regular/non-regular determination unit 15C has a function of determining whether the packet is a regular packet or an irregular packet, based on the matching results obtained by the header analysis unit 13 and the data analysis unit 14.

振分制御部15Dは、判定結果が正規パケットである場合は、パケット送受信部11を介して上位処理装置30に転送する機能と、判定結果が非正規パケットである場合は、パケット送信元に応じて、当該非正規パケットに対して送信元クライアントが正常にパケットを受信するための応答信号を付加した応答パケットを生成する機能とを有している。
このような応答パケットを送信元クライアントへ送信することにより、送信元クライアントによる非正規パケットの再送を抑制することが期待できる。応答信号は授受する内容によって区々であるが、一般には制御情報であるヘッダ部の一部を書換え・追加・削除といった信号である。 When the determination result is a regular packet, the distribution control unit 15D transfers the packet to the higher-level processing device 30 via the packet transmitting/receiving unit 11, and when the determination result is an irregular packet, the distribution control unit 15D responds to the packet source. In addition, the transmission source client has a function of generating a response packet to which a response signal for the normal reception of the packet is added to the irregular packet.
By transmitting such a response packet to the transmission source client, it can be expected that retransmission of an unauthorized packet by the transmission source client is suppressed. The response signal is different depending on the content to be transmitted/received, but is generally a signal for rewriting/adding/deleting a part of the header portion which is control information.

優先出力制御部15Eは、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信する機能を有している。上位処理装置30が折り返すパケットとは、上位処理装置30が受信したパケットに対して、例えば、ヘッダ部分またはデータ部分の追加・変更・削除等の処理を施した上で、同一の通信相手に返送するパケットのことである。これにより、パケット送信元に対して上位処理装置30が送信するパケットと、振分制御部15Dが生成した応答パケットのどちらを優先して出力するかを制御することができるので、仮想化された上位処理装置30からの折り返し正規トラヒックを優先出力してもよいし、振分制御部15Dで非正規パケットと判定されたトラヒックを優先出力してもよい。どちらを優先して出力すべきかは、クライアント側の状態によって区々であるが、本発明の構成により不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することが可能となる。 The priority output control unit 15E has a function of changing the output priorities of the packet returned by the higher-level processing device 30 and the response packet and transmitting the packets. The packet returned by the higher-level processing device 30 means that the packet received by the higher-level processing device 30 is subjected to processing such as addition/change/deletion of a header part or a data part, and then returned to the same communication partner. It is a packet to do. This makes it possible to control which of the packet transmitted by the higher-level processing device 30 to the packet source and the response packet generated by the distribution control unit 15D is preferentially output. The return legitimate traffic from the upper processing device 30 may be preferentially output, or the traffic determined by the distribution control unit 15D to be an irregular packet may be preferentially output. Which is to be preferentially output depends on the state of the client side, but the configuration of the present invention makes it possible to appropriately discard unnecessary traffic from the carrier network and reduce it.

[本実施の形態の動作]
次に、図10を参照して、本実施の形態にかかるトラヒック制御装置10の動作について説明する。図10は、トラヒック制御装置の動作を示すシーケンス図である。 [Operation of this Embodiment]
Next, the operation of the traffic control device 10 according to the present embodiment will be described with reference to FIG. FIG. 10 is a sequence diagram showing the operation of the traffic control device.

通信トラヒックから受信した受信パケットを監視して非正規パケットを廃棄する処理を実行するのに先立って、廃棄テーブル21および廃棄フィルタ22に廃棄条件を登録する。
まず、条件設定部12において、解析仕様入力部12Aは、ネットワーク管理者からの指示に応じて、受信パケットのヘッダ解析仕様を入力し(ステップ100)、廃棄条件入力部12Bは、ユーザからの指示に応じて、非正規パケットの廃棄条件を入力する(ステップ101)。これに応じて、仕様合致判定部12Cは、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内か否かを判定する(ステップ102)。 Prior to executing the process of monitoring the received packet received from the communication traffic and discarding the non-genuine packet, the discard condition is registered in the discard table 21 and the discard filter 22.
First, in the condition setting unit 12, the analysis specification input unit 12A inputs the header analysis specification of the received packet in accordance with the instruction from the network administrator (step 100), and the discard condition input unit 12B instructs the user. In response, the discard condition for the non-genuine packet is input (step 101). In response to this, the specification conformity determination unit 12C determines whether or not the analysis range of the discard condition is within the header based on the header analysis specification (step 102).

ここで、解析範囲がヘッダ内ではない場合(ステップ102:NO)、データ解析部14の廃棄シグネチャ演算部14Aは、条件設定部12により指定された廃棄条件に関するハッシュ値である廃棄シグネチャを求め(ステップ103)、データ解析部14の廃棄フィルタ登録部14Bは、求めた廃棄シグネチャを廃棄フィルタ22に登録する(ステップ104)。 Here, when the analysis range is not within the header (step 102: NO), the discard signature calculation unit 14A of the data analysis unit 14 obtains a discard signature that is a hash value related to the discard condition designated by the condition setting unit 12 ( In step 103), the discard filter registration unit 14B of the data analysis unit 14 registers the obtained discard signature in the discard filter 22 (step 104).

一方、解析範囲がヘッダ内である場合(ステップ102:YES)、ヘッダ解析部13の廃棄テーブル登録部13Aは、条件設定部12により指定された廃棄条件を廃棄テーブル21に登録する(ステップ105)。
この後、廃棄制御部15の廃棄条件管理部15Aは、廃棄テーブル21と廃棄フィルタ22の双方を管理する。具体的には、廃棄テーブル21と廃棄フィルタ22の双方において、廃棄対象となるエントリの登録・変更・削除の処理を行う(ステップ106)。
これにより、廃棄テーブル21および廃棄フィルタ22を用いた階層的な廃棄条件が構成されることになる。 On the other hand, when the analysis range is within the header (step 102: YES), the discard table registration unit 13A of the header analysis unit 13 registers the discard condition specified by the condition setting unit 12 in the discard table 21 (step 105). ..
Thereafter, the discard condition management unit 15A of the discard control unit 15 manages both the discard table 21 and the discard filter 22. Specifically, in both the discard table 21 and the discard filter 22, registration/change/deletion of the entry to be discarded is performed (step 106).
As a result, a hierarchical discard condition using the discard table 21 and the discard filter 22 is constructed.

この後、パケットを受信するごとに、以下の受信パケットに対する非正規パケットの廃棄が実行される。
まず、パケット送受信部11が、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信した場合(ステップ110)、ヘッダ解析部13の受信ヘッダ解析部13Bが、その受信パケットのヘッダをヘッダ解析仕様に基づいて解析する(ステップ111)。 After that, each time a packet is received, the following non-genuine packets are discarded for the received packet.
First, when the packet transmission/reception unit 11 receives a packet from communication traffic including an unauthorized packet flowing on the communication carrier network (step 110), the reception header analysis unit 13B of the header analysis unit 13 determines that the received packet The header is analyzed based on the header analysis specification (step 111).

続いて、ヘッダ解析部13の仕様合致判定部13Cは、ヘッダ解析仕様をもとに解析範囲がヘッダ内であるか否かを判定する(ステップ112)。
ここで、解析範囲がヘッダ内ではない場合(ステップ112:NO)、データ解析部14のデータシグネチャ演算部14Cは、解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた位置および長さのビット列に関するハッシュ値であるデータシグネチャを求め(ステップ113)、廃棄フィルタ照合部14Dは、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャとを照合する(ステップ114)。 Then, the specification conformity determination unit 13C of the header analysis unit 13 determines whether the analysis range is within the header based on the header analysis specifications (step 112).
Here, when the analysis range is not within the header (step 112: NO), the data signature calculation unit 14C of the data analysis unit 14 stores the user data stored in the received packet in which the analysis range is determined to be outside the header. Among them, a data signature that is a hash value regarding a bit string of a predetermined position and length is obtained (step 113), and the discard filter matching unit 14D determines the obtained data signature with the discard signature registered in the discard filter 22. Collation is performed (step 114).

一方、解析範囲がヘッダ内である場合(ステップ112:YES)、ヘッダ解析部13の廃棄テーブル検索部13Dは、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する(ステップ115)。
この後、廃棄制御部15のパケット廃棄部15Bは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する(ステップ116〜118)。 On the other hand, when the analysis range is within the header (step 112: YES), the discard table search unit 13D of the header analysis unit 13 searches the discard table 21 for the received packet whose analysis range is determined to be within the header. It collates with the disposal conditions (step 115).
After that, the packet discard unit 15B of the discard control unit 15 discards the packet related to the non-regular packet based on the collation result obtained by the header analysis unit 13 and the data analysis unit 14 (steps 116 to 118).

具体的には、正規/非正規判定部15Cが、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、正規のパケットか非正規のパケットであるかを判定する(ステップ116)。
振分制御部15Dは、判定結果が正規パケットである場合は、パケット送受信部11を介して上位処理装置30に転送し、判定結果が非正規パケットである場合は、パケット送信元に応じて、当該非正規パケットに対して送信元クライアントが正常にパケットを受信するための応答信号を付加した応答パケットを生成する(ステップ117)。 Specifically, the regular/non-normal determination unit 15C determines whether the packet is a regular packet or a non-normal packet based on the matching results obtained by the header analysis unit 13 and the data analysis unit 14 (step 116). ).
If the determination result is a regular packet, the distribution control unit 15D transfers the packet to the higher-level processing device 30 via the packet transmitting/receiving unit 11, and if the determination result is an irregular packet, according to the packet source, A response packet is generated by adding a response signal for the transmission source client to receive the packet normally to the irregular packet (step 117).

このような応答パケットを送信元クライアントへ送信することにより、送信元クライアントによる非正規パケットの再送を抑制することが期待できる。応答信号は授受する内容によって区々であるが、一般には制御情報であるヘッダ部の一部を書換え・追加・削除といった信号である。
優先出力制御部15Eは、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信する(ステップ118)。 By transmitting such a response packet to the transmission source client, it can be expected that retransmission of an unauthorized packet by the transmission source client is suppressed. The response signal is different depending on the content to be transmitted/received, but is generally a signal for rewriting/adding/deleting a part of the header portion which is control information.
The priority output control unit 15E changes the output priority of the packet returned by the higher-level processing device 30 and the response packet and transmits the packet (step 118).

[本実施の形態の効果]
このように、本実施の形態は、条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外であると廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄するようにしたものである。 [Effects of this Embodiment]
As described above, in the present embodiment, the condition setting unit 12 specifies the analysis range corresponding to the discard condition from the designated header analysis specification and discard condition, and the header analysis unit 13 determines that the analysis range is within the header. The discard condition is registered in the discard table 21, the received packet whose analysis range is determined to be within the header is compared with the discard condition of the discard table 21, and the data analysis unit 14 determines that the analysis range is outside the header. Is registered in the discard filter 22, the received packet whose analysis range is determined to be outside the header is compared with the discard condition of the discard filter 22, and the discard control unit 15 obtains the header analysis unit 13 and the data analysis unit 14. The packet related to the non-genuine packet is discarded based on the matching result.

この際、廃棄制御部15において、廃棄条件管理部15Aが、ヘッダ解析部13の廃棄テーブルならびにデータ解析部14の廃棄フィルタの双方を管理し、正規/非正規判定部15Cが、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、受信パケットが正規パケットか非正規パケットであるかを判定し、振分制御部15Dが、受信パケットが正規パケットである場合、パケット送受信部11を介して上位処理装置30に受信パケットを転送し、受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を非正規パケットに付加した応答パケットを生成し、優先出力制御部15Eが、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信するようにしたものである。 At this time, in the discard control unit 15, the discard condition management unit 15A manages both the discard table of the header analysis unit 13 and the discard filter of the data analysis unit 14, and the regular/non-regular determination unit 15C causes the header analysis unit 13 to operate. Also, based on the collation result obtained by the data analysis unit 14, it is determined whether the received packet is a regular packet or a non-regular packet, and when the received packet is a regular packet, the distribution control unit 15D determines the packet transmission/reception unit. When the received packet is transferred to the higher-level processing device 30 via 11 and the received packet is an irregular packet, a response signal corresponding to the packet source is added to the irregular packet to generate a response packet, and the priority output control unit 15E is the one in which the output priority of the packet returned by the upper processing device 30 and the response packet are changed and transmitted.

これにより、指定された廃棄条件のうち、解析範囲がヘッダ内である廃棄条件が廃棄テーブル21に登録されるとともに、解析範囲がヘッダ外である廃棄条件が廃棄フィルタ22に登録されるため、階層的な廃棄条件が構成されることになる。このため、通信トラヒックから受信した受信パケットのヘッダおよびユーザデータの双方を階層的に解析して、廃棄制御することができる。 As a result, among the designated discarding conditions, the discarding condition whose analysis range is within the header is registered in the discarding table 21, and the discarding condition whose analysis range is outside the header is registered in the discarding filter 22. Disposal conditions will be configured. Therefore, it is possible to hierarchically analyze both the header and the user data of the received packet received from the communication traffic and perform discard control.

したがって、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。また、外部接続された上位処理装置30と連携して動作するような場合でも、上位処理装置30における仮想化された通信機能の処理を考慮して、上位処理装置30とトラヒック制御装置10のパケットの出力優先度を変更して出力することができる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。 Therefore, even in the case where the conditions for discarding are complicated and it is difficult to specify the irregular packet, the irregular packet can be specified more accurately, and the detection rate of the irregular packet is improved. Even in the case of operating in cooperation with the externally connected upper processing device 30, the packets of the upper processing device 30 and the traffic control device 10 should be considered in consideration of the processing of the virtualized communication function in the upper processing device 30. The output priority of can be changed and output can be performed. As a result, unnecessary traffic can be appropriately discarded from the telecommunications carrier network and reduced, and as a result, it is possible to realize efficient network operation of the telecommunications carrier and also to ensure user convenience. Become.

以上、本発明の実施形態が示され、説明がなされた。実施形態の説明において「〜部」と説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手段」、「〜処理」であってもよい。また、本実施形態で「〜部」として説明しているものは、ROMに記憶されたファームウェアおよび再構成型デバイス・素子・基板・配線などのハードウェアで実現されていても構わない。或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPUにより読み出されて実行される。すなわち、プログラムは、本発明の実施形態の「〜手段」としてコンピュータを機能させるものである。あるいは、実施形態の「〜部」の手順や方法をコンピュータに実行させるものである。 The embodiments of the present invention have been shown and described above. In the description of the embodiments, what is described as "-unit" may be "-circuit", "-device", "-device", or "-step", "-means", "-device". ~treatment". In addition, what is described as “-unit” in the present embodiment may be realized by firmware stored in the ROM and hardware such as reconfigurable devices, elements, substrates, and wirings. Alternatively, it may be implemented by a combination of software and hardware, and further by a combination of firmware. The firmware and software are stored as a program in a recording medium such as a magnetic disk, flexible disk, optical disk, compact disk, mini disk, or DVD. The program is read and executed by the CPU. That is, the program causes the computer to function as the "-means" of the embodiment of the present invention. Alternatively, it causes a computer to execute the procedure or method of "- unit" of the embodiment.

[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。 [Expansion of Embodiment]
Although the present invention has been described with reference to the exemplary embodiments, the present invention is not limited to the above exemplary embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, the respective embodiments can be implemented in any combination as long as they do not conflict.

10…トラヒック制御装置、11…パケット送受信部、12…条件設定部、12A…解析仕様入力部、12B…廃棄条件入力部、12C…仕様合致判定部、13…ヘッダ解析部、13A…廃棄テーブル登録部、13B…受信ヘッダ解析部、13C…仕様合致判定部、13D…廃棄テーブル検索部、14…データ解析部、14A…廃棄シグネチャ演算部、14B…廃棄フィルタ登録部、14C…データシグネチャ演算部、14D…廃棄フィルタ照合部、15…廃棄制御部、15A…廃棄条件管理部、15B…パケット廃棄部、15C…正規/非正規判定部、15D…振分制御部、15E…優先出力制御部、21…廃棄テーブル、22…廃棄フィルタ、30…上位処理装置。 10... Traffic control device, 11... Packet transmission/reception unit, 12... Condition setting unit, 12A... Analysis specification input unit, 12B... Discard condition input unit, 12C... Specification matching determination unit, 13... Header analysis unit, 13A... Discard table registration Part, 13B... Received header analysis part, 13C... Specification conformity determination part, 13D... Discard table search part, 14... Data analysis part, 14A... Discard signature calculation part, 14B... Discard filter registration part, 14C... Data signature calculation part, 14D... Discard filter matching unit, 15... Discard control unit, 15A... Discard condition management unit, 15B... Packet discard unit, 15C... Regular/non-regular determination unit, 15D... Sorting control unit, 15E... Priority output control unit, 21 ... discard table, 22... discard filter, 30... upper processing device.

Claims (3)

通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、
指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、
前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、
前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、
前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部とを備え、
前記廃棄制御部は、
前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理部と、
前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定部と、
前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御部と、
前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御部とを備える
ことを特徴とするトラヒック制御装置。 A traffic control device for identifying and discarding an unauthorized packet by analyzing a received packet received from communication traffic,
From the specified header analysis specifications and discard conditions, a condition setting unit that specifies an analysis range corresponding to the discard conditions,
The discard condition specified by the analysis range being within the header is registered in a discard table, the header of the received packet is analyzed, and the received packet determined to be within the analysis range is discarded. Header analysis unit that matches the discard condition of the table,
Data analysis that registers the discard condition specified as the analysis range being outside the header in a discard filter, and matches the received packet determined that the analysis range is outside the header with the discard condition of the discard filter Department,
A discard control unit that discards a packet related to the non-genuine packet based on the matching result obtained by the header analysis unit and the data analysis unit,
The discard control unit,
A discard condition management unit that manages both the discard table of the header analysis unit and the discard filter of the data analysis unit;
A regular/non-normal determination unit that determines whether the received packet is a regular packet or a non-normal packet based on the matching result obtained by the header analysis unit and the data analysis unit;
When the received packet is a regular packet, the received packet is transferred to an externally connected upper processing device, and when the received packet is a non-normal packet, a response signal corresponding to a packet source is transmitted to the non-normal packet. A distribution control unit that generates a response packet added to
A traffic control device comprising: a priority output control unit that changes the output priority of a packet returned by the higher-level processing device and the response packet and transmits the packet. 通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、
条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、
ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、
データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、
廃棄制御部が、前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップとを備え、
前記廃棄制御ステップは、
前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理ステップと、
前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定ステップと、
前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御ステップと、
前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御ステップとを含む
ことを特徴とするトラヒック制御方法。 A traffic control method for identifying and discarding an unauthorized packet by analyzing a received packet received from communication traffic,
A condition setting unit, a condition setting step of specifying an analysis range corresponding to the discard condition from the specified header analysis specification and discard condition;
The header analysis unit registers the discard condition specified that the analysis range is within the header in a discard table, analyzes the header of the received packet, and determines that the analysis range is within the header. A header analysis step of matching the packet with a discard condition of the discard table;
A data analysis unit registers the discard condition specified as the analysis range being outside the header in a discard filter, and the received packet determined to have the analysis range outside the header is discarded as the discard condition for the discard filter. A data analysis step that matches
A discard control unit, which includes a discard control step of discarding a packet related to the non-genuine packet based on the matching result obtained in the header analysis step and the data analysis step,
The discard control step,
A discard condition management step of managing both the discard table of the header analysis unit and the discard filter of the data analysis unit;
A regular/non-normal determination step of determining whether the received packet is a regular packet or a non-normal packet based on the collation result obtained in the header analysis step and the data analysis step ,
When the received packet is a regular packet, the received packet is transferred to an externally connected upper processing device, and when the received packet is a non-normal packet, a response signal corresponding to a packet source is transmitted to the non-normal packet. A distribution control step of generating a response packet added to
A traffic control method comprising: a priority output control step of changing output priorities of a packet returned by the upper processing device and the response packet and transmitting the packets. コンピュータを、請求項1に記載のトラヒック制御装置を構成する各部として機能させるためのプログラム。 A program for causing a computer to function as each unit that constitutes the traffic control device according to claim 1.
JP2017114031A 2017-06-09 2017-06-09 Traffic control device, method, and program Active JP6721542B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017114031A JP6721542B2 (en) 2017-06-09 2017-06-09 Traffic control device, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017114031A JP6721542B2 (en) 2017-06-09 2017-06-09 Traffic control device, method, and program

Publications (2)

Publication Number Publication Date
JP2018207436A JP2018207436A (en) 2018-12-27
JP6721542B2 true JP6721542B2 (en) 2020-07-15

Family

ID=64957485

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017114031A Active JP6721542B2 (en) 2017-06-09 2017-06-09 Traffic control device, method, and program

Country Status (1)

Country Link
JP (1) JP6721542B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3618245B2 (en) * 1999-03-09 2005-02-09 株式会社日立製作所 Network monitoring system
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
JP4700473B2 (en) * 2005-11-04 2011-06-15 株式会社 デジタルデザイン Data communication method
JP2007243595A (en) * 2006-03-08 2007-09-20 Fuji Xerox Co Ltd Network control apparatus and control method

Also Published As

Publication number Publication date
JP2018207436A (en) 2018-12-27

Similar Documents

Publication Publication Date Title
US10558823B2 (en) Systems and methods for controlling data exposure using artificial-intelligence-based modeling
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
CN109889547B (en) Abnormal network equipment detection method and device
JP3954385B2 (en) System, device and method for rapid packet filtering and packet processing
EP3127301B1 (en) Using trust profiles for network breach detection
US10798061B2 (en) Automated learning of externally defined network assets by a network security device
US20110066851A1 (en) Secure Route Discovery Node and Policing Mechanism
JP2004364306A (en) System for controlling client-server connection request
JP2012507193A (en) Network location for direct access networks
JP2016508353A (en) Improved streaming method and system for processing network metadata
KR102585874B1 (en) Method and apparatus for routing control in sdn network
CN104113548B (en) A kind of message identifying processing method and processing device
JP2017147575A (en) Control program, controller, and control method
US11792228B2 (en) Systems and methods for network security
JP2019153894A (en) Communication controller, communication control method and communication control program
US20230412591A1 (en) Traffic processing method and protection system
KR101772681B1 (en) Firewall Apparatus and Driving Method Thereof
US7571464B2 (en) Secure bidirectional cross-system communications framework
JP6721542B2 (en) Traffic control device, method, and program
JP6781109B2 (en) Traffic controls and methods
AU2022203844A1 (en) Method for detecting anomalies in ssl and/or tls communications, corresponding device, and computer program product
JP2018207435A (en) Traffic control device, traffic control method, and program
US20210084011A1 (en) Hardware acceleration device for string matching and range comparison
KR101490227B1 (en) Method and apparatus for controlling traffic
JP2007335951A (en) Communicating monitoring apparatus, communicating monitoring method, and program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170613

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190617

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200422

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200618

R150 Certificate of patent or registration of utility model

Ref document number: 6721542

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150