JP7104201B2 - Packet relay device and packet relay method - Google Patents
Packet relay device and packet relay method Download PDFInfo
- Publication number
- JP7104201B2 JP7104201B2 JP2021045572A JP2021045572A JP7104201B2 JP 7104201 B2 JP7104201 B2 JP 7104201B2 JP 2021045572 A JP2021045572 A JP 2021045572A JP 2021045572 A JP2021045572 A JP 2021045572A JP 7104201 B2 JP7104201 B2 JP 7104201B2
- Authority
- JP
- Japan
- Prior art keywords
- entry
- packet
- statistical
- flow
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケット中継装置およびパケット中継方法に関し、特に、フロー統計機能を備えるパケット中継装置およびパケット中継方法に関する。 The present invention relates to a packet relay device and a packet relay method, and more particularly to a packet relay device and a packet relay method having a flow statistics function.
DDoS(Distributed Denial of Service)攻撃、標的型攻撃等のサイバー攻撃は日々巧妙化、多様化し、セキュリティリスクが高まっている。 Cyber attacks such as DDoS (Distributed Denial of Service) attacks and targeted attacks are becoming more sophisticated and diversified every day, and security risks are increasing.
攻撃を防御するには、通信の振る舞いを分析して攻撃を実施している通信を検知し、その通信に対し遮断、帯域制限、迂回等の措置をとる必要がある。通信の振る舞いを分析するためにフローのトラフィックをモニタする従来技術として、NetFlow(非特許文献1)、sFlow(登録商標)(非特許文献2)がある。このうちNetFlowは、フローを構成するパケットのパケットヘッダ情報でフローを識別し、フロー毎に規定のトラフィック統計情報をカウントし、出力する。これらのフロー毎にトラフィックをモニタする技術(フロー統計技術)は、ルータ・スイッチ等のパケット中継装置が備える機能である。 In order to prevent an attack, it is necessary to analyze the behavior of the communication, detect the communication that is carrying out the attack, and take measures such as blocking, band limiting, and detouring the communication. NetFlow (Non-Patent Document 1) and sFlow (Registered Trademark) (Non-Patent Document 2) are conventional techniques for monitoring flow traffic to analyze communication behavior. Of these, NetFlow identifies the flow from the packet header information of the packets that make up the flow, counts the specified traffic statistics for each flow, and outputs it. The technique of monitoring traffic for each of these flows (flow statistics technique) is a function provided in packet relay devices such as routers and switches.
前述のNetFlow、sFlowのようなフロー統計技術では、パケットのヘッダ情報でフローを識別し、フロー毎に規定のトラフィック統計情報を出力する。しかし、進化するサイバー攻撃は、フロー毎の規定のトラフィック統計情報だけでは分析できず、従来の技術では攻撃を識別することができなかった。 In the flow statistics technology such as NetFlow and sFlow described above, the flow is identified by the header information of the packet, and the specified traffic statistics information is output for each flow. However, evolving cyber attacks cannot be analyzed only by the prescribed traffic statistics for each flow, and conventional techniques cannot identify the attacks.
本発明は、上記課題を解決するためになされたもので、進化するサイバー攻撃の分析精度の向上と効率化を実現することを目的とする。 The present invention has been made to solve the above problems, and an object of the present invention is to improve the analysis accuracy and efficiency of evolving cyber attacks.
上記課題を解決するために、本発明においては、一例として、パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有し、統計処理部は、登録用エントリと統計カウント用エントリとを有し、登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、統計カウント用エントリにおいてフロー統計情報をカウントし、制御部は、判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録するものである。 In order to solve the above problems, in the present invention, as an example, a packet relay device having a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relaying packets via a network. The flow is identified based on the information contained in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes. It has a judgment unit that includes information about the judgment result in the packet header of the judged packet and outputs it, and a statistical processing unit that counts flow statistical information based on the information about the judgment result and the flow identification information. The statistical processing unit is for registration. When a packet that has an entry and a statistical count entry and satisfies the flow condition including the judgment result set in the registration entry is received, the registration process set in the statistical processing judgment entry corresponding to the registration entry is performed. When a packet that satisfies the flow condition including the judgment result set in the statistical count entry is newly registered according to the condition of, the flow statistical information is counted in the statistical count entry, and the control unit counts the flow statistical information. , When it is shown that the information about the judgment result of the received packet is the flow to be filtered based on the information about the judgment result of the judged packet and the flow identification information, the flow identification information of the received packet is used. A new registration entry with the conditions determined based on it is registered .
また、属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うようにしたものである。 In addition, as an attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.
また、予め複数種類の攻撃パケットの条件を設定し、判定結果に関する情報として、攻撃の種類を示す情報を含めて出力し、攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントするようにしたものである。 In addition, conditions for multiple types of attack packets are set in advance, information indicating the type of attack is output as information related to the judgment result, and flow statistical information is counted based on the information indicating the attack type and the flow identification information. It is the one that was made.
また、属性として、パケットの廃棄要因の判定を行い、判定結果に関する情報として、廃棄要因を示す情報を含めて出力するようにしたものである。 Further, as an attribute, the packet discard factor is determined, and as the information regarding the determination result, the information indicating the discard factor is included and output.
本発明によれば、進化するサイバー攻撃の分析精度の向上と、効率化を実現できる。 According to the present invention, it is possible to improve the analysis accuracy and efficiency of evolving cyber attacks.
以下、本発明の実施形態を図面に基づいて説明する。
図1は、本発明の一実施例におけるパケット中継装置を適用するネットワークの構成を示す図である。
フロー統計機能を備える本実施例のパケット中継装置100は、インターネット600とLAN700を接続している。また、本実施例のパケット中継装置100は、管理端末400と接続され、管理者が管理端末400でパケット中継装置100の設定等の管理を行う。パケット中継装置100は、インターネット600とLAN700間の通信を中継するとともに通信に関するフローの統計情報をカウントし、カウントしたフローの統計情報をアナライザ500へ送信し、アナライ
ザ500でフローの統計情報の解析を行う。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a network configuration to which a packet relay device according to an embodiment of the present invention is applied.
The
図2は、本発明の一実施例におけるパケット中継装置の構成を示す図である。
パケット中継装置100は、入力回線を接続する入力ポート110、パケットを受信するパケット受信部120、受信パケットの出力ポートの判定を含むパケット中継処理を行う受信側パケット処理部130、受信パケットに対して各種判定を行う受信側判定部140、受信側のフロー統計処理をする受信側統計処理部150、受信パケットを送信側パケット処理部180へ中継するパケット中継処理手段170、送信パケットの受信MACアドレスと送信MACアドレスの書き換えを含むパケット中継に関する処理を行う送信側パケット処理部180、送信パケットに対して各種判定を行う送信側判定部190、送信側のフロー統計処理をする送信側統計処理部200、パケットを送信するパケット送信部210、出力回線を接続する出力ポート220、パケット中継装置の管理者がパケット中継装置の管理を行う管理端末400の指示に基づいて受信側パケット処理部130、受信側判定部140、受信側統計処理部150、送信側パケット処理部180、送信側判定部190、送信側統計処理部200に対するテーブル設定の指示、テーブル読み出しの指示、パケット中継装置100でカウントしたフロー統計情報のアナライザ500への送信、通信プロトコル処理等を行う制御CPU160で構成する。
FIG. 2 is a diagram showing a configuration of a packet relay device according to an embodiment of the present invention.
The
受信側判定部140は、受信パケットの攻撃種別の判定と、受信パケットを中継するか廃棄するかの判定と、廃棄する場合には廃棄要因の判定を行う。送信側判定部190は、送信パケットの攻撃種別の判定と、送信パケットを転送するか廃棄するかの判定と、廃棄する場合には廃棄要因の判定を行う。
The receiving
なお受信側統計処理部150と送信側統計処理部200、受信側判定部140と送信側判定部190は、同様の構成である。制御CPU160は、生成したフロー統計情報をアナライザ500が接続された出力回線を接続する出力ポート221から出力し、アナライザ500は出力されたフロー統計情報の解析を行う。
The receiving-side
図3は、本発明の一実施例におけるパケットヘッダ情報の構成を示す図である。
本実施例において、パケット中継装置100の内部で扱うパケットヘッダ情報300は、受信パケットのパケットヘッダであるL2情報305、L3情報306、L4情報307、L7情報308、ペイロード309と、パケット受信部120で判定して付加した入力ポート情報301、出力ポート情報302、パケットのByte長303、受信側判定部140で判定して付加した判定結果304とで構成する。
FIG. 3 is a diagram showing a configuration of packet header information according to an embodiment of the present invention.
In this embodiment, the
判定結果304は、送信側判定部190において、送信側判定部190の判定結果で上書きしてもよい。Byte長303は、ペイロード長、パケット長、フレーム長、Preamble、Inter Frame Gapを含めた回線においてパケットが占有するByte長を示す回線長から指定する。その他、Frame Check SequenceのByte長を含める、含めない等、任意の範囲でByte長を定義できる。出力ポート情報302は、受信側パケット処理部130で判定して付加する。出力ポート情報302は、受信側パケット処理部130で出力ポート情報302を判定する前は未定義のフィールドである。L2情報305はEthernetヘッダ、L3情報306はIPヘッダ、L4情報307はTCPヘッダ、UDPヘッダ、L7情報308はhttpヘッダが代表的な例であるが、その他のプロトコルヘッダであっても構わない。
The
図4は、本発明の一実施例における受信側判定部の構成を示す図である。
受信側判定部140は、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144、廃棄要因判定部145で構成する。
Logic攻撃判定部141には、システムの脆弱性を利用する攻撃と判定する条件(Byte長に関する条件を含む)であるLogic攻撃テーブルを予め本発明のパケット中継装置100の起動時に制御CPU160または管理者が登録しておく。Logic攻撃判定部は、Logic攻撃テーブル14
10に一致した受信パケットをLogic攻撃と判定する。
フィルタ判定部142には、パケット中継装置100の管理者が定義したフィルタすべきフロー(パケットヘッダ情報300に関する条件で定まるパケットの集合)の条件を登録したフィルタテーブルを予め登録しておく。フィルタ判定部142は、フィルタリスト(フィルタテーブルとも称する)に一致した受信パケットをフィルタパケット(ユーザ(管理者)が登録した攻撃パケット)と判定する。
送信元詐称判定部143では、uRPF(unicast Reverse Path Forwarding)等の手段で受信パケットの送信元アドレスに関する情報が詐称であると判定した受信パケットを送信元詐称攻撃と判定する。
フラッド攻撃判定部144では、フローの帯域がパケット中継装置100の管理者が定義した監視帯域を超過した場合、またはフローのバースト量がパケット中継装置100の管理者が定義した許容バースト量を超過した場合、フラッド攻撃と判定する。
廃棄要因判定部145では、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144で攻撃と判定するフィルタ条件以外の廃棄要因を含むか否かを判定する。廃棄要因判定部145では、廃棄要因として、IPヘッダ異常、TTL超過、Null廃棄(経路検索の結果、宛先ホストが存在しない)等の判定を行う。攻撃と判定するフィルタ条件および各廃棄要因に一致しない場合は、正常通信と判定し当該パケットを通過とする。
FIG. 4 is a diagram showing a configuration of a receiving side determination unit according to an embodiment of the present invention.
The receiving
The Logic
Received packets that match 10 are judged to be Logic attacks.
In the
The source
In the flood
The discard
複数の攻撃種別または廃棄要因に一致すると判定された受信パケットは、優先度判定部146にて、複数の攻撃種別または廃棄要因のうち、優先度を考慮していずれかを判定結果とする。例えば、IPヘッダ異常>Logic攻撃>フィルタ>送信元詐称>フラッド攻撃>Null廃棄>TTL超過の優先度である場合に、受信パケットがLogic攻撃、フィルタ、送信元詐称に一致した場合は、優先度判定部146において受信パケットはLogic攻撃に一致すると判定する。
For the received packet determined to match a plurality of attack types or discard factors, the
図5は、本発明の一実施例におけるLogic攻撃判定部の構成を示す図である。
Logic攻撃判定部141は、Logic攻撃と判定する条件を設定したLogic攻撃エントリ1 1411~Logic攻撃エントリn 141nで構成するLogic攻撃テーブル1410で構成する。
Logic攻撃判定部141は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちLogic攻撃エントリとの一致判定に必要な情報と、Logic攻撃エントリ1 1411~Logic攻撃エントリn 141nの条件を逐次比較する。入力されたパケットヘッダ情報と一致するLogic攻撃エントリがある場合は、そのパケットヘッダ情報を持つパケットの攻撃種別はLogic攻撃であると判定する。
FIG. 5 is a diagram showing a configuration of a Logic attack determination unit according to an embodiment of the present invention.
The Logic
When the Logic
Logic攻撃エントリの条件は、条件値による比較だけではなく比較式、等号式による論理的な判定も含む。例えば、Land攻撃をLogic攻撃として設定する場合は、L3情報306の送信元IPアドレス=宛先IPアドレスという等号式による条件となる。Ping of death攻撃をLogic攻撃として設定する場合は、L3情報306のフラグメントオフセットとペイロード309のByte長の和が一定値より大きい、という比較式となる。他にも、Invalid TCP Flags攻撃をLogic攻撃として設定する場合は、TCPフラグの有り得ない組み合わせをLogic攻撃エントリの条件として設定する。
The conditions of the Logic attack entry include not only the comparison by the condition value but also the logical judgment by the comparison expression and the equal sign expression. For example, when a Land attack is set as a Logic attack, the condition is based on the equal sign of source IP address = destination IP address of
入力したパケットヘッダ情報300が、Land攻撃のLogic攻撃エントリと一致した場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(Land攻撃)となる。入力したパケットヘッダ情報300がPing of death攻撃のLogic攻撃エントリと一致した場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(Ping of death攻撃)となる。入力されたパケットヘッダ情報300がTCP Invalid Flags攻撃のLogic攻撃エントリと一致する場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(TCP Invalid Flags攻撃)となる。
If the input
図6は、本発明の一実施例におけるフィルタパケット判定部の構成を示す図である。
フィルタパケット判定部142は、フィルタパケットの判定条件を設定したフィルタエントリ1 1421~フィルタエントリn 142nで構成するフィルタテーブル1420を有する。フィルタパケット判定部142は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちフィルタエントリとの一致判定に必要な情報と、フィルタエントリ1 1421~フィルタエントリn 142nの条件を逐次比較する。入力されたパケットヘッダ情報300と一致するフィルタエントリがある場合は、パケットヘッダ情報300はフィルタ対象の攻撃パケットであると判定する。フィルタエントリの条件としては、パケットヘッダ情報300のL2情報305、L3情報306、L4情報307、L7情報308が設定される。フィルタエントリの条件は、パケット中継装置100の管理者が管理端末400から指示し制御CPU160経由で設定する。
FIG. 6 is a diagram showing a configuration of a filter packet determination unit according to an embodiment of the present invention.
The filter
図7は、本発明の一実施例における送信元詐称攻撃判定部および受信側パケット処理部の構成を示す図である。
送信元詐称攻撃判定部143は、送信元経路検索要求部1431と送信元詐称判定部1432を有する。受信側パケット処理部130は、IPアドレス1ないしnに対する出力ポートを設定した経路エントリ1(IP1)1301ないしn(IPn)130nで構成する経路テーブル1300で構成する。
FIG. 7 is a diagram showing a configuration of a source spoofing attack determination unit and a receiving side packet processing unit according to an embodiment of the present invention.
The source spoofing
受信側パケット処理部130は、通常は、パケットヘッダ情報300のL3情報306に格納された宛先IPアドレスに対応する経路エントリを参照し、この宛先IPアドレスに対する出力ポートの情報を得る。受信側パケット処理部130における処理の後、受信側判定部140に入力されたパケットヘッダ情報300が攻撃判定のために送信元詐称攻撃判定部143に入力される。送信元詐称攻撃判定部143は、まず、送信元経路検索要求部1431において、入力されたパケットヘッダ情報300の入力ポート情報301とL3情報306の送信元IPアドレスを抽出する。送信元経路検索要求部1431は、抽出した送信元IPアドレスを、受信側パケット処理部130に出力する。受信側パケット処理部120は、この送信元IPアドレスに対する経路エントリを参照し、出力ポートの情報を得る。受信パケット処理部120は、得られた出力ポート情報を送信元詐称攻撃判定部143に入力する。送信元詐称攻撃判定部143の送信元詐称判定部1432は、パケットヘッダ情報300の入力ポート情報と受信パケット処理部120に確認して得られた出力ポート情報を比較する。一致していない場合は送信元が詐称されていると判断し、パケットヘッダ情報300の攻撃種別は送信元詐称攻撃と判定する。
The receiving side
図8は、本発明の一実施例におけるフラッド攻撃判定部の構成を示す図である。
パケット中継装置100の管理者は、予め、監視対象として定義したフロー毎に監視帯域を設定する。フラッド攻撃判定部144は、定義されたフロー毎の帯域を監視し、監視帯域を超過したフローのパケットヘッダ情報300の攻撃種別にフラッド攻撃と判定する。
FIG. 8 is a diagram showing a configuration of a flood attack determination unit according to an embodiment of the present invention.
The administrator of the
フラッド攻撃判定部144は、パケット中継装置の管理者の指示で定義したフロー毎の条件を設定するフローエントリ1 14401~フローエントリn 1440nで構成するフローテーブル1440、各フローエントリに対応する監視帯域と各フローの帯域が監視帯域を超過したか否かを判定するための情報を含む帯域エントリ1 14411~帯域エントリn 1441nで構成する帯域テーブル1441、帯域判定部1442を有する。
The flood
フラッド攻撃判定部144は、パケットヘッダ情報300が入力されると、パケットヘッダ情報300のうちフローエントリとの一致判定に必要な情報とフローエントリ1 14401~フローエントリn 1440nの条件を逐次比較する。入力されたパケットヘッダ情報がフローエントリnと一致した場合、当該パケットヘッダ情報300はフローエントリnに属し、フローエントリnに対応する帯域エントリn 1440nを参照する。帯域エントリn 1440nから、監視帯域と各フローの帯域が監視帯域を超過するか否かを判定するための情報を読み出し、帯域判定部1442でパケットヘッダ情報300のフローが監視帯域を超過したか否かを判定する。監視帯域を超過した場合は、パケットヘッダ情報300のパケットは、フラッド攻撃と判定
する。
When the
図9は、本発明の一実施例における受信側統計処理部の構成を示す図である。
受信側統計処理部150は、統計テーブル1500と、統計処理判定テーブル1501、カウンタテーブル1502を有する。統計テーブル1500は、カウント対象のフローの条件を設定したn個の統計エントリ1 15001~統計エントリn 1500nからなるテーブルである。また、統計処理判定テーブル1501は、統計エントリ毎に統計エントリ登録処理・統計カウント処理を設定するn個の統計処理判定エントリ1 15011~1501nを有するテーブルである。さらに、カウンタテーブル1502は、統計エントリ毎にカウンタを備えるn個のカウンタエントリ1 15021~カウンタエントリn 1502nで構成するテーブルである。受信側統計処理部150は、さらに、タイマ1503、タイムアウト判定部1504で構成する。
FIG. 9 is a diagram showing a configuration of a receiving-side statistical processing unit according to an embodiment of the present invention.
The receiving side
統計処理判定エントリj、カウンタエントリjは統計エントリjに対応する(j:1~n)。受信側統計処理部150にパケットヘッダ情報300が入力されると、パケットヘッダ情報のうち統計エントリとの一致判定に必要な情報と、統計エントリ1 15001~統計エントリn 1500nの条件を逐次比較する。一致した統計エントリjがある場合は対応する統計処理判定エントリjを参照し、参照した統計処理判定エントリjに設定された指示に基づき、処理を行う。統計処理判定エントリjに登録指示が設定されている場合は、制御CPU160に統計エントリ登録処理と当該パケットヘッダ情報300の通知を行う。統計処理判定エントリjに判定結果登録指示が設定されている場合は判定結果を含めたカウント対象条件を統計エントリとして登録する。統計処理判定エントリjにカウント指示が設定されている場合は、カウンタエントリjのカウンタを加算処理する。
統計処理の詳細は、以降で説明する。タイマ1503は現在時刻情報を示し、タイムアウト判定部1504における判定に用いたり、カウンタテーブル1502に書き込む情報の一部として用いる。
The statistical processing judgment entry j and the counter entry j correspond to the statistical entry j (j: 1 to n). When the
The details of statistical processing will be described below. The
図10は、本発明の一実施例における統計テーブルの構成を示す図である。
統計テーブル1500は、統計エントリ1 15001~統計エントリn 1500nで構成する。統計エントリ15001は、判定結果150011、L2情報150016、L3情報306のSIP(送信元IPアドレス)150012、L3情報306のDIP(宛先IPアドレス)150013 、L4情報307のSPORT(送信元ポート番号)150014、L4情報307のDPORT(宛先ポート番号)150015で構成する。カウント対象とするパケットヘッダ情報の条件を設定する統計エントリ15001に、受信側判定部140や送信側判定部190でパケットヘッダ情報に追加した判定結果15011を含めることが、本発明の特徴である。なお、カウント対象条件として、判定結果の他、入力ポート情報301、出力ポート情報302、L2情報305、L3情報306、L4情報307、L7情報308を設定する構成としても構わない。なお、図10の統計テーブル1500の例で、d.c.(don’t care)は、任意の値を示す。
FIG. 10 is a diagram showing the structure of a statistical table according to an embodiment of the present invention.
The statistics table 1500 consists of
図10の統計テーブル1500の例では、統計エントリ15001と統計エントリ15002は、L2情報1、SIP1、DIP1、SPORT1、DPORT1については同一フローに関する統計エントリであるが、判定結果150011が異なる。統計エントリ15001は、判定結果150011が送信元詐称であり、送信元詐称攻撃判定部143で送信元詐称攻撃のパケットと判定されたパケットのフロー統計をカウントする統計エントリである。統計エントリ15002は、判定結果が正常通信であり、正常通信のパケットのフロー統計をカウントする統計エントリである。
このように、本実施例では、L2情報、SIP、DIP、SPORT,DPORTが同じで、従来は区別してカウントしていなかったフローであっても送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができる。従来技術では、パケットヘッダ情報に判定結果が含まれておらず、また、統計エントリも判定結果を含まないので、送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができなかった。
In the example of the statistical table 1500 of FIG. 10, the
As described above, in this embodiment, the L2 information, SIP, DIP, SPORT, and DPORT are the same, and even if the flow is not counted separately in the past, the source spoofing attack and the normal communication flow statistics are distinguished. Can be counted. In the prior art, since the packet header information does not include the determination result and the statistical entry does not include the determination result, it is not possible to distinguish between the source spoofing attack and the normal communication flow statistics.
また図10の統計テーブル1500の例では、判定結果が帯域過大であるフローに関連する
統計エントリとして統計エントリ15003、統計エントリ15004がある。また、統計エントリ15004と統計エントリ15005はL2情報2、SIP3、DIP2、SPORT2、DPORT2については同一フローに関する統計エントリである。統計エントリ15004は判定結果が帯域過大であり、フラッド攻撃判定部144で帯域過大のパケットと判定されたパケットのフロー統計をカウントする統計エントリである。一方統計エントリ15005は判定結果が正常通信であり、フラッド攻撃ではない正常通信のパケットのフロー統計をカウントする統計エントリである。このように、本実施例では、同一フローであってもフラッド攻撃と正常通信のフロー統計を区別してカウントすることができる。
Further, in the example of the statistical table 1500 of FIG. 10, there are
更に、統計エントリ15003は統計エントリ15004と統計エントリ15005のフローに対し送信元IPアドレスのみがSIP2で異なるフローであり、SIP2のフローは正常通信がなく判定結果が帯域過大の統計エントリのみがカウントされている。この場合、SIP2のフローの判定結果は常に帯域過大であるのに対し、SIP3のフローの判定結果は帯域過大である場合と帯域過大でない場合とがある。帯域過大であるカウント量(パケット数、Byte数等)と帯域過大でないカウント量の比率をフロー毎に比較すると、帯域過大であるカウント量の比率が高いフローはDDoS攻撃である可能性が高いフローとアナライザ500が分析することができる。
Furthermore,
また図10の統計テーブル1500の例では、判定結果がNull廃棄であるフローに関連する統計エントリとして統計エントリ15006、統計エントリ15007、統計エントリ15008がある。統計エントリ15006と統計エントリ15007と統計エントリ15008は、L2情報4、SIP4、DIP4、SPORT4に関しては同一であり、DPORTだけがDPORT4、DPORT5、DPORT6で異なるフローである。このようなフローは、マルウェアの感染拡大活動において次の感染先としてポートが開放している端末を探索するスキャン活動で観測することができる。そのため、統計エントリ15006、統計エントリ15007、統計エントリ15008のようにNull廃棄かつDPORTだけが異なる統計エントリのカウントを検知した場合には、当該の統計エントリのSIPはマルウェア感染の可能性があるとアナライザ500で分析して、マルウェア対策ツールの適用、または通信監視の強化対象とする等の対応を管理者が行う契機とすることができる。
Further, in the example of the statistical table 1500 of FIG. 10, there are
また図10の統計テーブル1500の例では、判定結果がTTL超過であるL2情報7、SIP7、DIP7、SPORT7、DPORT7のフローに関連する統計エントリとして統計エントリ15009がある。TTL超過はtracerouteのようなネットワーク管理ツールでも用いられる。そのため、TTL超過を攻撃と判定することはできないが、TTL超過の判定結果を明示的にカウント対象条件として設定することができる。判定結果がTTL超過であるフローのフロー統計と、判定結果が廃棄パケットであるフローのフロー統計に基づきアナライザ500で攻撃性の有無を分析できる。
Further, in the example of the statistical table 1500 of FIG. 10, there is a
また図10の統計テーブル1500の例では、1500Aのように、判定結果150011にd.c.を設定しておくことで、L2情報8、SIP8、DIP8、SPORT8、DPORT8のフローは判定結果によらず統計エントリ1500Aでカウントすることができる。判定結果毎に統計エントリを登録すると統計エントリの消費量が増え、統計カウントの対象とできるフロー数が減少してしまうので、分析の優先度の低いフローに関しては判定結果をカウント対象条件に含めない設定とすることで、統計エントリを効率的に使用することができる。
Further, in the example of the statistical table 1500 in FIG. 10, by setting d.c. in the
また図10の統計テーブル1500の例では、統計エントリを登録するための統計エントリとして、統計エントリ1500n-2、統計エントリ1500n-1、統計エントリ1500nがある。登録用の統計エントリは、パケット中継装置100の管理者が管理端末400から初期設定する。管理者は、運用中に、登録用の統計エントリを管理端末400から追加または変更することもできる。統計カウント用のエントリは、後述の通りパケット中継装置100が自律的に登録する。
Further, in the example of the statistical table 1500 in FIG. 10, there are
統計カウント用のエントリが一定期間を超過してカウントされなくなった場合、またはパケットヘッダ情報300のL4情報307において、L4情報がTCPプロトコルである場合にはTCPにおいて通信終了を示すFINフラグが1となった場合に、制御CPU160は当該のフローの通信が終了したと判定する。制御CPU160は当該のフローに対応する統計エントリと、統計エントリに対応する統計処理判定エントリを削除し、統計エントリに対応するカウンタエントリを0に設定するクリア処理を行う。
If the entry for statistical counting is no longer counted after a certain period of time, or in the
SIP7のフローが通信開始した時点では統計エントリ15009は登録されていない。SIP7かつTTL超過のパケットが入力されると、受信側または送信側統計処理部は入力されたパケットが統計エントリ1500n-2に一致するフローであると判断する。受信側または送信側統計処理部は、統計エントリ1500n-2に対し、後述の登録指示と判定結果登録指示の設定を行う。後述の設定例では、SIP7かつ判定結果がTTL超過のみのフローに対する統計エントリ15009を登録し、SIP7かつ判定結果がTTL超過以外の統計エントリの登録を抑止することができる。
また、SIP8のフローが通信開始した時点では統計エントリ1500Aは登録されていない。SIP8のパケットが入力されると、受信側または送信側統計処理部は、入力されたパケットが統計エントリ1500n-1に一致するフローであると判断する。受信側統計処理部または送信側統計処理部は、統計エントリ1500n-1に対し、後述の登録指示の設定を行うことで、SIP8について判定結果は任意のフローに対する統計エントリ1500Aを登録することができる。
In addition,
SIP7またはSIP8以外のフローが通信開始した場合も、通信開始時点では統計エントリ15001~統計エントリ15008は登録されていない。SIP7またはSIP8以外のパケットを入力すると統計エントリ1500nに一致する。統計エントリ1500nに対し、後述の登録指示と判定結果登録指示の設定を行うことで、統計エントリ15001~統計エントリ15008を設定に基づき登録することができる。
Even if a flow other than SIP7 or SIP8 starts communication,
図11は、統計処理判定テーブルの構成例を示す図である。
統計処理判定テーブル1501は、統計処理判定エントリ1 15011~統計処理判定エントリn 1501nで構成する。統計処理判定エントリは、登録指示フラグ150111、判定結果登録フラグ150112、カウント指示フラグ15011で構成する。
受信側統計処理部150において、入力されたパケットのパケットヘッダ情報が、統計処理判定エントリに対応する統計エントリに登録された条件と一致し、さらに登録指示フラグ150111が1である場合には、当該の統計エントリは登録用のエントリとなる。受信側統計処理部150は、制御CPU160に対しパケットヘッダ情報300に相当するフローが一致する統計エントリの登録を指示する。登録する統計エントリの登録アドレスは、統計テーブル1500において統計エントリが未登録のアドレスのうち最若番アドレスとする。登録指示フラグ150111が0である場合には、統計エントリの登録処理は行わない。
FIG. 11 is a diagram showing a configuration example of the statistical processing determination table.
The statistical processing judgment table 1501 is composed of statistical
When the packet header information of the input packet in the receiving side
判定結果登録フラグ150112は、登録指示フラグが1である場合に有効となる。統計処理判定エントリに対応する統計エントリにパケットヘッダ情報300が一致した場合に、判定結果登録フラグ150112が1である場合には、エントリ登録時に当該のパケットヘッダ情報300に対する判定結果150011を含めてエントリ登録する。
カウント指示フラグは、登録指示フラグが0である場合に有効となる。統計処理判定エントリに対応する統計エントリにパケットヘッダ情報300が一致した場合に、カウント指示フラグが1である場合には、当該の統計エントリは統計カウント用のエントリとなり、統計処理判定エントリに対応するカウンタテーブル1502のカウンタエントリ15021のカウンタを加算処理する。
例えば、統計エントリ15001~統計エントリ1500Aは統計カウント用のエントリであるから、登録指示フラグは0、判定結果登録指示フラグは0、カウント指示フラグは1に設定する。統計エントリ1500n-2、統計エントリ1500n-1は判定結果を含めた登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは1、カウント指示フラグは0に設定する。統計エントリ1500nは判定結果を含めない登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは0、カウント指示フラグは0に設定する。
The determination
The count instruction flag is valid when the registration instruction flag is 0. If the
For example, since
図12は、カウンタテーブルの構成例を示す図である。
カウンタテーブル1502は、カウンタエントリ1 15021~カウンタエントリn 1502nで構成する。カウンタエントリは、パケットカウンタ150211、Byteカウンタ150212、前回統計採取時刻150213、タイムアウト時間150214で構成する。
FIG. 12 is a diagram showing a configuration example of the counter table.
The counter table 1502 is composed of
統計エントリにパケットヘッダ情報300が一致した場合に、対応する統計処理判定エントリのカウント指示フラグが1である場合には、当該の統計エントリは統計カウント用のエントリとなり、統計処理判定エントリに対応するカウンタテーブル1502のカウンタエントリ15021のパケットカウンタ150211に1を加算処理し、Byteカウンタ150212にパケットヘッダ情報300のByte長303を加算処理し、前回統計採取時刻150213にタイマ1503が示す時刻情報を書き込みする。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差がタイムアウト時間150214より大である場合には、通信終了と判定する。
If the
以上に述べた処理のうち、統計エントリの登録と削除に関する処理の流れを、図17、図18、図19、図20のフローチャートを用いて説明する。なお、基本的に受信側統計処理部150での統計エントリの登録と削除を例に説明するが、送信側統計処理部200での統計エントリの登録と削除の処理の流れも同様である。
Among the processes described above, the flow of processes related to registration and deletion of statistical entries will be described with reference to the flowcharts of FIGS. 17, 18, 19, and 20. Basically, the registration and deletion of statistical entries in the receiving-side
図17は、本発明の一実施例における統計エントリ登録処理のフローチャートである。
パケット中継装置100は、受信側統計処理部150でパケット受信(1701)すると、統計テーブル1500を受信パケットで検索(1702)する。検索結果、一致エントリの有無を判定(1703)し、一致エントリが無かった場合は受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
一致エントリが有る場合は統計テ-ブル1500の一致エントリに対応する統計処理判定テーブル1501の統計判定処理エントリを読み出し(1704)する。読み出した統計処理判定エントリの登録指示フラグが1であるか否かを判定(1705)し、登録指示フラグが1でない場合は、受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
登録指示フラグが1である場合は、制御CPU160にエントリ登録要求を送信する。この際、受信パケットヘッダと判定結果を合わせて送信(1706)する。
FIG. 17 is a flowchart of the statistical entry registration process according to the embodiment of the present invention.
When the
If there is a match entry, the statistical judgment processing entry in the statistical processing judgment table 1501 corresponding to the matching entry in the statistical table 1500 is read (1704). It is determined whether or not the registration instruction flag of the read statistical processing judgment entry is 1 (1705), and if the registration instruction flag is not 1, the statistical entry for the received packet does not need to be registered (1712) and the statistical entry is registered. Ends the processing of.
If the registration instruction flag is 1, an entry registration request is sent to the
制御CPU160がエントリ登録要求を受信すると、統計エントリ登録を行うための統計テーブル1500の空きエントリを検索(1707)する。この際、統計テーブル1500に空きエントリが複数ある場合は、統計テーブル1500のアドレスのうち最も若番アドレスの空きエントリを登録用空きエントリとして検索する。検索の結果、空きエントリの有無を判定(1708)し、空きエントリが無かった場合は、統計テーブル1500に空きエントリ無しで登録不可(1713)であり、統計エントリ登録の処理を終了する。
空きエントリが有った場合は、統計処理判定テーブル1501のエントリ登録として、統計テーブル1500の登録用空きエントリに対応する登録処理判定テーブル1501の統計処理判定エントリに、登録フラグ=0の統計処理判定エントリを登録(1709)して、統計エントリ登録の処理を終了する。
次に、統計テーブル1500のエントリ登録として、統計テーブル1500の登録用空きエントリに受信パケットヘッダと判定結果を書き込み、統計エントリを登録(1710)して登録終了
(1711)する。
When the
If there is a free entry, as an entry registration of the statistical processing judgment table 1501, the statistical processing judgment of the registration flag = 0 in the statistical processing judgment entry of the registration processing judgment table 1501 corresponding to the free entry for registration of the statistical table 1500. Register the entry (1709) and finish the process of registering the statistical entry.
Next, as the entry registration of the statistics table 1500, the received packet header and the judgment result are written in the free entry for registration of the statistics table 1500, the statistics entry is registered (1710), and the registration is completed.
(1711).
図18は、本発明の一実施例におけるパケット受信を契機とする統計エントリ削除処理のフローチャートである。
パケット中継装置100は、受信側統計処理部150でパケット受信(1801)すると、受信パケットはTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1であるか否かを判定(1802)する。受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たさない場合は、通信終了していないため削除不要(1814)であり、統計エントリ削除の処理を終了する。
受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たす場合は、受信パケットの統計採取処理(1803)をする。
受信パケットの統計採取処理(1803)を終了すると、制御CPU160にエントリ削除要求を送信する。この際、受信パケットヘッダを送信(1804)する。
次に、統計エントリの削除回数を示す変数iを0に設定(1805)する。
次に、制御CPU160が統計テーブル1500の削除エントリの検索として、受信パケットヘッダに一致する統計エントリを検索(1806)する。検索結果、一致エントリ、つまり削除対象とする削除エントリが統計テーブル1500に存在するか否かを判定(1807)する。削除エントリが無かった場合は、i=0でないか否かを判定(1815)し、i=0であった場合は削除エントリ無しで非削除終了(1817)であり、統計エントリ削除の処理を終了する。i=0でなかった場合は、削除エントリ有りで削除終了(1816)する。
1807の削除エントリの有無の判定で、削除エントリが有った場合は、制御CPU160が統計テーブル1500の削除エントリを削除(1808)する。
次に、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを読み出し(1809)する。
次に、読み出した統計処理判定エントリの統計値を制御CPU160に送信(1810)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(1811)する。
次に、制御CPU160が統計処理判定テーブル1501のエントリ削除として、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを削除(1812)する。
次に、iに1を加算処理(1813)し、1806の処理をする。
FIG. 18 is a flowchart of the statistical entry deletion process triggered by packet reception in the embodiment of the present invention.
When the
If the received packet is a TCP packet and the condition of the TCP flag FIN flag (flag indicating the end of communication) = 1 is satisfied, the received packet statistics collection process (1803) is performed.
When the statistics collection process (1803) for received packets is completed, an entry deletion request is sent to the
Next, set the variable i, which indicates the number of deletions of statistical entries, to 0 (1805).
Next, the
If there is a delete entry in the judgment of the presence or absence of the delete entry in 1807, the
Next, the statistical processing judgment entry of the statistical processing judgment table 1501 corresponding to the deletion entry of the statistical table 1500 is read (1809).
Next, the statistical value of the read statistical processing judgment entry is transmitted (1810) to the
Next, the statistical value received by the
Next, the
Next, 1 is added to i (1813), and 1806 is processed.
図19(a)(b)は、本発明の一実施例におけるタイムアウトを契機とする統計エントリ削除処理のフローチャートである。
パケット中継装置100は、タイムアウト契機の場合は、統計処理判定エントリ毎に一定の周期で、統計処理判定エントリ毎の通信終了の有無をタイムアウト判定する。タイムアウト時間150214は、統計処理判定エントリ毎に設定可能である。本実施例では、特定のフローに関する統計エントリを判定結果毎に備えるため、特定の判定結果に関する統計処理判定エントリでタイムアウトとなった場合でも、そのフローに対する別の判定結果に関する統計処理判定エントリはタイムアウトとならず通信が継続している可能性がある。判定結果によらずフロー毎の統計として管理するには、判定結果毎に備える統計エントリ毎のエントリ削除ではなく、特定のフローについての判定結果が異なる複数の統計エントリを一括でエントリ削除することが望ましい。そのため、ある統計処理判定エントリでタイムアウトと判定した場合に、即時にその統計判定処理エントリを削除するのではなく、フローが一致する他の統計処理判定エントリのタイムアウトを判定し、フローが一致する他の統計処理判定エントリの全てがタイムアウトと判定した場合に、当該の統計処理判定エントリ、およびこれらに対応する全ての統計エントリを削除する。
19 (a) and 19 (b) are flowcharts of the statistical entry deletion process triggered by the timeout in the embodiment of the present invention.
In the case of a timeout trigger, the
次に、タイムアウトを契機とする統計エントリ削除処理の詳細を説明する。
まず、パケット中継装置100は、統計処理判定エントリのエントリ番号を示す変数iに0を設定(1901)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(1902)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(1927)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(1928)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリはタイムアウトのチェック時刻ではないため、削除不要(1929)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び1902の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び1927の加算処理をし、1928の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(1903)する。
Next, the details of the statistical entry deletion process triggered by the timeout will be described.
First, the
Next, it is determined (1902) whether or not the current time information indicated by the
When the statistical processing judgment entry i is the time when the timeout should be checked, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (1903).
次に、タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(1904)する。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大でない場合は、通信終了しておらずエントリ削除不要(1929)と判定する。
タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、統計テーブル1500の統計エントリiを読み出し(1905)する。
Next, it is determined whether the difference between the current time information indicated by the
If the difference between the current time information indicated by the
次に、統計テーブル1500に存在する、統計エントリiに設定したパケットヘッダ情報と一致する統計エントリ数に関する変数jを0に設定し、統計エントリjのアドレスADR(j)に関し、便宜上ADR(0)=-1に設定(1906)する。
次に、統計エントリiのパケットヘッダ情報の設定値で、統計テーブル1500のADR(j)+1以降のアドレスを検索(1907)する。1906の処理でj=0に設定した場合は、ADR(0)=-0であるため、ADR(0)+1=0アドレス以降、つまり統計テーブル1500の全アドレスを検索対象とする。
検索結果、一致エントリがあった場合は、ADR(j)=一致エントリのアドレスに設定(1909)する。1906の処理でj=0に設定した場合は、ADR(0)= 一致エントリのアドレスに設定する。
次に、jに1を加算処理(1910)する。
Next, set the variable j regarding the number of statistical entries that matches the packet header information set in the statistical entry i in the statistical table 1500 to 0, and set the address ADR (j) of the statistical entry j to ADR (0) for convenience. Set to = -1 (1906).
Next, the address after ADR (j) +1 in the statistics table 1500 is searched (1907) by the setting value of the packet header information of the statistics entry i. When j = 0 is set in the processing of 1906, ADR (0) =-0, so the search target is all addresses after ADR (0) + 1 = 0, that is, all addresses in the statistical table 1500.
If there is a match entry as a result of the search, set ADR (j) = address of the match entry (1909). When j = 0 is set in the processing of 1906, ADR (0) = is set to the address of the matching entry.
Next, 1 is added to j (1910).
次に、ADR(j)にADR(j-1)を代入する。1906の処理でj=0に設定した場合は、1910の加算処理の結果j=1とし、ADR(1)にADR(0)、つまり前回の1907での検索結果の一致エントリのアドレスを代入する。そして、再び1907の処理をする。
1908の判定結果、一致エントリ無しの場合は、統計エントリiのフローに一致する全ての一致エントリのアドレスADR(j)が判明し、j=0でないか否か判定(1912)する。j=0であった場合は、統計エントリiのパケットヘッダ情報で統計テーブル1500を検索しても統計エントリiを含め一致する統計エントリiが存在しないという矛盾が生じるため、異常終了(1930)と判定し、統計エントリ削除の処理を終了する。
j=0でなかった場合は、全ての一致エントリに関するタイムアウトを判定するための変数kを0に設定(1913)する。
次に、タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(1914)し、大でない場合は通信終了しておらずエントリ削除不要(1931)と判定し、統計エントリ削除の処理を終了する。
タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、kに1を加算処理(1915)する。
Next, ADR (j-1) is substituted for ADR (j). When j = 0 is set in the processing of 1906, the result of the addition processing of 1910 is set to j = 1, and ADR (0), that is, the address of the matching entry of the search result in the previous 1907 is assigned to ADR (1). .. Then, the processing of 1907 is performed again.
As a result of the determination in 1908, if there is no matching entry, the addresses ADR (j) of all matching entries that match the flow of the statistical entry i are found, and it is determined whether or not j = 0 (1912). If j = 0, there is a contradiction that there is no matching statistic entry i including the statistic entry i even if the statistic table 1500 is searched in the packet header information of the statistic entry i, so it ends abnormally (1930). Judge and end the process of deleting statistical entries.
If j = 0, the variable k for determining the timeout for all matching entries is set to 0 (1913).
Next, it is determined whether the difference between the current time information indicated by the
If the difference between the current time information indicated by
次に、kがj+1に等しいか否か判定(1916)し、等しくない場合は全ての一致エントリのタイムアウト判定を完了していないため、再び1914の判定処理をする。
kがj+1に等しい場合は、全ての一致エントリのタイムアウト判定を完了し、全ての一致エントリがタイムアウトと判定されたことになるため、全ての一致エントリの削除処理をするため、エントリ削除に関する変数mに0を設定(1917)する。
次に、制御CPU160に統計エントリm(アドレスADR(m))の削除要求を送信(1918)する。
次に、制御CPU160が統計テーブル1500の統計エントリmを削除(1919)する。
次に、統計処理判定テーブル1501の統計処理判定エントリmを読み出し(1920)する。
次に、読み出した統計処理判定エントリmの統計値を制御CPU160に送信(1921)する。
次に、制御CPU160が受信した統計エントリmの統計値をアナライザ500へ送信(1922)する。
次に、制御CPU160が統計処理判定テーブル1501の統計処理判定エントリmを削除(1923)する。
次に、mに1を加算処理(1924)する。
次に、m=j+1であるか否か判定(1925)する。
m=j+1でない場合は、全ての一致エントリの削除を完了していないため、再び1918の処理をする。
m=j+1である場合は、全ての一致エントリの削除を完了したため、削除終了(1926)と判定し、統計エントリ削除の処理を終了する。
Next, it is determined whether or not k is equal to j + 1 (1916), and if it is not equal, the timeout determination of all matching entries has not been completed, so the determination process of 1914 is performed again.
If k is equal to j + 1, it means that the timeout determination of all matching entries has been completed and all matching entries have been determined to be timeouts. Therefore, all matching entries are deleted. Set the variable m to 0 (1917).
Next, a request to delete the statistical entry m (address ADR (m)) is sent (1918) to the
The
Next, the statistical processing judgment entry m in the statistical processing judgment table 1501 is read (1920).
Next, the statistical value of the read statistical processing judgment entry m is transmitted (1921) to the
Next, the statistical value of the statistical entry m received by the
Next, the
Next, 1 is added to m (1924).
Next, it is determined whether or not m = j + 1 (1925).
If m = j + 1, it means that the deletion of all matching entries has not been completed, so 1918 is processed again.
When m = j + 1, since the deletion of all matching entries is completed, it is determined that the deletion is completed (1926), and the processing of deleting the statistical entry is terminated.
図20は、本発明の一実施例におけるタイムアウトを契機とする統計エントリ削除処理のフローチャートである。
図20に示す統計エントリ削除処理は、図19に示した統計エントリ削除処理の簡易版である。簡易版フローチャートでは、統計処理判定エントリ毎に一定の周期で、通信終了の有無をタイムアウト判定する。判定の結果、タイムアウトとなった場合にはその統計処理判定エントリを削除する。削除した統計処理エントリと同じフローに対する別の判定結果に関する統計処理判定エントリではタイムアウトとならず通信が継続している可能性はあるが、図20の削除処理ではフロー毎の統計エントリの管理はせず判定結果毎の統計エントリの管理とすることで、統計エントリの削除処理を簡易化する。
FIG. 20 is a flowchart of the statistical entry deletion process triggered by the timeout in the embodiment of the present invention.
The statistical entry deletion process shown in FIG. 20 is a simplified version of the statistical entry deletion process shown in FIG. In the simplified version of the flowchart, the presence or absence of communication termination is time-out determined at a fixed cycle for each statistical processing determination entry. If the result of the judgment results in a timeout, the statistical processing judgment entry is deleted. There is a possibility that the statistical processing judgment entry related to another judgment result for the same flow as the deleted statistical processing entry does not time out and communication continues, but in the deletion processing of FIG. 20, the statistical entry for each flow is managed. By managing the statistical entries for each judgment result, the deletion process of the statistical entries is simplified.
フローチャートを用いて図20のタイムアウト契機の統計エントリ削除処理の詳細を説明する。
まず、統計処理判定エントリのエントリ番号を示す変数iに0を設定(2001)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(2002)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(2012)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(2013)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリのタイムアウトのチェック時刻ではないため、削除不要(2014)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び2002の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び2012の加算処理をし、2013の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2003)する。
次に、タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(2004)する。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大でない場合は、通信終了しておらずエントリ削除不要(2014)と判定する。
The details of the statistical entry deletion process of the timeout trigger of FIG. 20 will be described with reference to the flowchart.
First, 0 is set in the variable i indicating the entry number of the statistical processing judgment entry (2001).
Next, it is determined whether or not the current time information indicated by the
When the statistical processing judgment entry i is the time when the timeout should be checked, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (2003).
Next, it is determined whether the difference between the current time information indicated by the
タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリ
iのタイムアウト時間より大である場合は、制御CPU160にエントリ削除要求、つまり統計テーブル1500の統計エントリ削除の要求を送信(2005)する。
次に、制御CPU160が統計テーブル1500の統計エントリiを削除(2006)する。
次に、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2007)する。
次に、読み出した統計処理判定エントリiの統計値を制御CPU160に送信(2008)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(2009)する。
次に、制御CPU160が統計処理判定エントリiを削除(2010)する。
次に、削除終了(2011)と判定し、統計エントリ削除の処理を終了する。
The difference between the current time information indicated by
If it is greater than the timeout period of i, it sends an entry deletion request to the
The
Next, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (2007).
Next, the read statistical value of the statistical processing judgment entry i is transmitted to the control CPU 160 (2008).
Next, the statistical value received by the
Next, the
Next, it is determined that the deletion is completed (2011), and the processing for deleting the statistical entry is terminated.
以上説明した本発明のパケット中継装置100によれば、以下のフロー統計の攻撃分析上の課題を解決できる。
According to the
アナライザに対する負荷を抑えるため、パケット中継装置100の判定結果が攻撃となったフローだけを統計カウントの対象としたい場合を考える。パケットヘッダ情報300のみに基づいて攻撃であるか否かを判定することはできないため、パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、パケット中継装置100の判定結果が攻撃となったフローだけを統計エントリとして登録することができなかった。そのため、統計カウントの対象とする必要のないフローも統計エントリとして登録してしまうので、統計テーブル、統計処理判定テーブル、カウンタテーブルの資源を消費してしまい非効率的であるという課題があった。本実施例のパケット中継装置100によれば、パケット中継装置100の判定結果が攻撃となったフローだけを統計エントリとして登録できるので、上述の課題を解決できる。
In order to reduce the load on the analyzer, consider a case where it is desired to count only the flow in which the judgment result of the
また、攻撃通信と正常通信が同時に行われている場合に、パケット中継装置100のフロー統計エントリが枯渇しそうな状態になると、攻撃通信の統計を優先的にカウント対象として分析する必要があるが、パケットヘッダ情報に基づいてカウントする従来のフロー統計技術では攻撃通信に関する統計と正常通信の統計を区別できないので、攻撃通信を優先的に統計カウントできないという課題がある。本実施例のパケット中継装置100によれば、攻撃通信に関する統計と正常通信の統計を判定結果によって区別して登録することができるので、例えば統計テーブル1500において攻撃通信に関する統計エントリ用のアドレス空間を正常通信に関する統計エントリ用のアドレス空間よりも広くなるように初期設定で確保することで、攻撃通信を正常通信よりも優先してカウント対象とすることができる。または、統計テーブル1500の未使用のアドレス空間が一定以下となった場合には制御CPU160において正常通信の登録を受け付けない制御としたり、正常通信用の統計エントリの登録指示フラグを0に書き換えることにより、攻撃通信を正常通信よりも優先してカウント対象とすることができる。
In addition, when attack communication and normal communication are being performed at the same time and the flow statistics entries of the
また、通信の送信元情報を詐称して攻撃を行う送信元詐称攻撃に対し、パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、詐称された攻撃に関する統計と正常な通信の統計を区別してカウントすることができないので、詐称された攻撃に関するフロー統計を提供できないという課題があった。特に詐称されたパケットでは、送信元IPアドレスは攻撃の標的のIPアドレスを示し、宛先IPアドレスは攻撃に利用するIPアドレスを示すので、詐称された攻撃に関するフロー統計を提供することで攻撃の詳細な分析が可能となる。本実施例のパケット中継装置100によれば、判定結果が送信元詐称攻撃であるフロー統計を提供できるので、上述の攻撃の詳細な分析が可能となる。
In addition, in the conventional flow statistics technique that counts based on the
また、多数の攻撃元から標的に対し大量のパケットを送信したり、持続的に長期間通信を行うことで標的のサービス継続を妨害するフラッド攻撃型のDDoS攻撃では、帯域が過大であるという条件でフロー統計をカウントして分析する必要がある。パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、帯域によらずフロー統計をカウ
ントするので、統計エントリ毎のByteカウンタと統計を採取した時間情報からフロー毎の帯域またはバースト量をアナライザ500にて演算し、その後で帯域またはバースト量が過大であるフローに対する分析を行う必要があった。本来、アナライザ500にて演算する必要のない帯域またはバースト量の少ないフローに対する演算負荷がかかるという課題があった。本実施例のパケット中継装置100によれば、パケット中継装置100のフラッド攻撃判定部144で判定結果が帯域またはバースト量が過大であるフロー統計だけを登録してカウント対象とすることができるので、アナライザ500でフロー毎の帯域またはバースト量を演算する必要がなく、アナライザ500の演算負荷を低減できる。
In addition, a flood attack type DDoS attack that interferes with the service continuation of the target by sending a large number of packets to the target from a large number of attack sources or continuously communicating for a long period of time requires that the bandwidth is excessive. It is necessary to count and analyze the flow statistics in. In the conventional flow statistics technique that counts based on the
また、正常通信は5tupleのカウント対象条件でカウントすれば十分だが、攻撃通信は詳細に分析するためより多くのカウント対象条件でカウントしたい場合に、パケットヘッダ情報に基づいてカウントする従来のフロー統計技術では、攻撃の有無等の判定結果に基づいてカウント対象条件の数を増減することはできなかった。本実施例のパケット中継装置100によれば、図13の統計テーブル1500の構成図に示すように、判定結果150010が正常通信の統計エントリ15002ではSIP150011、DIP150012、PRT(L4プロトコル番号)150015、SPORT150013、DPORT150014の5tupleをカウント対象条件とし、判定結果150010が送信元詐称の攻撃通信の統計エントリではSIP150011、DIP150012、PRT150015、SPORT150013、DPORT150014に加え、L2情報150016、SIP・DIP・PRT以外のL3情報150017、SPORT・DPORT以外のL4情報150018をカウント対象条件とすることができる。これにより、攻撃通信の統計エントリはより詳細なカウント対象条件でカウントして詳細な統計分析を可能とする。カウント対象条件が増えると登録する統計エントリ数が増えてしまうので、正常通信の統計エントリは必要最小限の5tupleのカウント対象条件に留めることで、統計エントリの消費エントリ数を必要最小限に抑えることができる。
In addition, it is sufficient to count normal communication under the count target condition of 5 tuple, but when you want to count under more count target conditions for attack communication for detailed analysis, the conventional flow statistical technique that counts based on the packet header information. In, the number of count target conditions could not be increased or decreased based on the judgment result such as the presence or absence of an attack. According to the
次に、本発明のパケット中継装置100を用いた冗長構成のC&Cサーバ(command and control server)(非特許文献3)の検知への適用例を説明する。
Next, an example of application to detection of a redundant C & C server (command and control server) (Non-Patent Document 3) using the
図14は、本発明の一実施例の冗長C&Cサーバ検出シナリオにおける装置の接続関係を示す図である。
図14に示す例では、本実施例のパケット中継装置100を経由してマルウェア感染端末200がC&Cサーバ1 900に接続する構成を示している。
C&Cサーバ1のIPアドレスDIP1は、外部から入手した情報として既知であるものとし、パケット中継装置100のフィルタテーブル1420のフィルタエントリ1421のDIPにDIP1としてパケット中継装置100の管理者が初期設定で登録する。なお、DIP1はC&Cサーバ1というセキュリティ上の特性が既知の宛先IPアドレスであるため、DIP1と通信した端末を自動的に遮断するためDIP1をカウント対象条件として生成した統計エントリのSIPをフィルタエントリとして追加する、といったシナリオを事前に立てることができる。そのため、パケットヘッダ情報300がフィルタエントリ1421に一致した場合の判定結果はフィルタ(C&C)とし、C&Cサーバ通信というフィルタ要因が判定可能となるようにフィルタの判定結果の要因をコード化する。
FIG. 14 is a diagram showing a connection relationship of devices in a redundant C & C server detection scenario according to an embodiment of the present invention.
In the example shown in FIG. 14, the configuration in which the malware-infected
It is assumed that the IP address DIP1 of the C &
統計テーブル1500は図16に示すように、登録用の統計エントリ150026をパケット中継装置100の管理者が初期設定で設定しておく。統計エントリ150026は、判定結果150011がフィルタ(C&C)である任意のパケットヘッダ情報300が一致するカウント対象条件とする。マルウェアの感染端末200は感染端末が示す典型的な挙動として、自身が感染したことをC&Cサーバ1 900に伝達し、C&Cサーバ1 900からの命令の発行を促すコールバック通信をC&Cサーバ1 900に対し実行する。すると、コールバック通信はDIP=DIP1となるのでフィルタエントリ1421に一致し、本実施例のパケット中継装置の受信側/送信側判定部における判定結果はフィルタ(C&C)となる。従って、当該通信はフィルタされると共に、登録用の統計エントリ150026に一致するので、制御CPU160は統計カウント用の統計エントリ150027を
登録する。このとき、感染端末のIPアドレスをSIP1とし、統計カウント用の統計エントリ150027のSIP150011には、SIP1を設定する。登録用の統計エントリ150026に基づいて登録した統計カウント用の統計エントリ150027のカウンタにより、C&Cサーバ1 900に対しどのIPアドレスからどのようなプロトコルでどのような通信が行われようとしたかをアナライザに出力して分析することができる。
As shown in FIG. 16, in the statistics table 1500, the administrator of the
更に、登録用の統計エントリ150026に基づく登録処理を制御CPU160が実行する際に、当該パケットヘッダ情報300の判定結果がフィルタ(C&C)である場合には、制御CPU160は当該パケットヘッダ情報300のSIP1をSIPとする登録用エントリ150028を統計テーブル1500に登録する。これは、SIP1はC&Cサーバ通信を行おうとしたことからマルウェア感染済と判定したため、SIP1を送信元とする通信を監視するための統計エントリを登録するための登録用エントリである。非特許文献3に記載のような冗長構成のC&Cサーバの場合には、C&Cサーバ1 900との通信がフィルタにより遮断された場合、マルウェアに感染した感染端末800は図15に示すように、冗長化された代替のC&Cサーバ2 1000とのコールバック通信を試みる。すると、当該のコールバック通信は登録用の統計エントリ150028に一致するので、制御CPU160は統計カウント用の統計エントリ150029を登録する。統計エントリ150029のDIPは、C&Cサーバ2 1000のIPアドレスDIP2である。フィルタ(C&C)によって遮断後の感染端末800の通信の宛先IPアドレスが全て冗長化された代替のC&Cサーバであるとは限らないが被疑対象となるため、DIP2のIPアドレスをもつホストとの通信をアナライザで分析し、その結果C&Cサーバであるとパケット中継装置100の管理者が判定した場合は、管理者はフィルタテーブル1420にDIP2を宛先IPアドレスとするフィルタエントリを登録し、当該のフィルタエントリの判定結果をフィルタ(C&C)として設定する。
Further, when the
特許請求の範囲に記載したもののほか、本発明の観点の代表的なものとして、次のものが挙げられる。
(1)パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有することを特徴とするパケット中継装置。
(2)上記(1)に記載のパケット中継装置であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継装置。
(3)上記(2)に記載のパケット中継装置であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種別を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継装置。
(4)上記(2)に記載のパケット中継装置であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継装置。
(5)上記(1)に記載のパケット中継装置であって、前記統計処理部は、登録用エントリと登録処理判定エントリとカウンタエントリを有し、前記登録用エントリに登録された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録処理判定エントリに設定された登録処理およびカウントを行うための条件に従って、登録エントリを設定し、フロー統計情報をカウントすることを特徴とするパケット中継装置。
(6)上記(1)に記載のパケット中継装置であって、前記統計処理部において、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継装置。
(7)ネットワーク間でパケットを中継する方法であって、送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力し、前記判定結果に関する情報と前記フロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(8)上記(7)に記載のパケット中継方法であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継方法。
(9)上記(8)に記載のパケット中継方法であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種類を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(10)上記(8)に記載のパケット中継方法であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継方法。
(11)上記(7)に記載のパケット中継方法であって、フロー識別情報に基づき識別したフローについて判定結果に関する情報の異なる複数のフロー統計情報を解析した結果に基づいて前記中継処理を制御するパケット中継方法。
In addition to those described in the claims, the following are typical examples from the viewpoint of the present invention.
(1) A packet relay device that has a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relays packets via a network.
The flow is identified based on the information included in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes, and the determination is made. A packet relay device comprising: a determination unit that includes information on a determination result in a packet header of a packet and outputs the information, and a statistical processing unit that counts flow statistical information based on the information on the determination result and the flow identification information.
(2) The packet relay device according to (1) above, wherein, as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.
(3) The packet relay device according to (2) above, in which conditions for a plurality of types of attack packets are set in advance, and information indicating the type of attack is output as information regarding the determination result. A packet relay device characterized in that flow statistical information is counted based on information indicating an attack type and flow identification information.
(4) The packet relay device according to (2) above, which determines the packet discard factor as the attribute, and outputs the information related to the determination result including the information indicating the discard factor. A featured packet relay device.
(5) The packet relay device according to (1) above, wherein the statistical processing unit has a registration entry, a registration processing determination entry, and a counter entry, and includes a determination result registered in the registration entry. A packet relay device characterized in that when a packet satisfying a flow condition is received, a registration entry is set and flow statistical information is counted according to the registration processing and counting conditions set in the registration processing determination entry.
(6) In the packet relay device according to (1) above, when the statistical processing unit counts the flow statistical information based on the flow identification information, the flow statistics are obtained for a plurality of determination results for the common flow identification information. A packet relay device characterized by counting information.
(7) A method of relaying packets between networks, in which the flow is identified based on the information contained in the headers of the packets to be sent and received, and whether or not the packets constituting the identified flow match the predetermined attributes. The packet relay method is characterized in that the determination is performed, information on the determination result is included in the packet header of the determined packet, and the flow statistical information is counted based on the information on the determination result and the flow identification information.
(8) The packet relay method according to (7) above, wherein, as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.
(9) The packet relay method according to (8) above, in which conditions for a plurality of types of attack packets are set in advance, and information indicating the type of attack is output as information regarding the determination result. A packet relay method characterized in that flow statistical information is counted based on information indicating an attack type and flow identification information.
(10) In the packet relay method according to (8) above, the packet discard factor is determined as the attribute, and the information indicating the discard factor is output as the information regarding the determination result. A featured packet relay method.
(11) In the packet relay method according to (7) above, the relay process is controlled based on the result of analyzing a plurality of flow statistical information having different information on the determination result for the flow identified based on the flow identification information. Packet relay method.
100 パケット中継装置
110 入力ポート
120 パケット受信部
130 受信側パケット処理部
140 受信側判定部
141 Logic攻撃判定部
142 フィルタパケット判定部
143 送信元詐称攻撃判定部
144 フラッド攻撃判定部
145 廃棄要因判定部
150 受信側統計処理部
160 制御CPU
170 パケット中継処理手段
180 送信側パケット処理部
190 送信側判定部
200 送信側統計処理部
210 パケット送信部
220 出力ポート
400 管理端末
500 アナライザ
100 packet relay device
110 input port
120 packet receiver
130 Receiving packet processing unit
140 Receiving side judgment unit
141 Logic Attack Judgment Unit
142 Filter packet judgment unit
143 Source spoofing attack judgment unit
144 Flood Attack Judgment Department
145 Disposal factor judgment unit
150 Receiving side statistical processing unit
160 control CPU
170 Packet relay processing means
180 Transmitter packet processing unit
190 Sender judgment unit
200 Sender statistical processing unit
210 Packet transmitter
220 output port
400 management terminal
500 analyzer
Claims (10)
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有し、
前記統計処理部は、登録用エントリと統計カウント用エントリとを有し、前記登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、前記統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記統計カウント用エントリにおいてフロー統計情報をカウントし、
前記制御部は、前記判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、前記受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、前記受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録することを特徴とするパケット中継装置。 It is a packet relay device that has a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relays packets via a network.
The flow is identified based on the information included in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes, and the determination is made. It has a judgment unit that includes information about the judgment result in the packet header of the packet and outputs it, and a statistical processing unit that counts the flow statistical information based on the information about the judgment result and the flow identification information.
The statistical processing unit has a registration entry and a statistical count entry, and when it receives a packet satisfying the flow condition including the determination result set in the registration entry, the statistical processing determination corresponding to the registration entry is received. When a statistic count entry is newly registered according to the conditions for performing the registration process set in the entry and a packet satisfying the flow condition including the determination result set in the statistic count entry is received, the statistic count entry is received. Count the flow stats in the entry and
When the control unit indicates that the information regarding the determination result of the received packet is a flow to be filtered based on the information regarding the determination result of the determined packet and the flow identification information, the reception unit A packet relay device characterized by newly registering a registration entry in which conditions determined based on the flow identification information of the packet are set .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021045572A JP7104201B2 (en) | 2021-03-19 | 2021-03-19 | Packet relay device and packet relay method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021045572A JP7104201B2 (en) | 2021-03-19 | 2021-03-19 | Packet relay device and packet relay method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017125776A Division JP6934758B2 (en) | 2017-06-28 | 2017-06-28 | Packet relay device and packet relay method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021093773A JP2021093773A (en) | 2021-06-17 |
JP7104201B2 true JP7104201B2 (en) | 2022-07-20 |
Family
ID=76310955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021045572A Active JP7104201B2 (en) | 2021-03-19 | 2021-03-19 | Packet relay device and packet relay method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7104201B2 (en) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002007234A (en) | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium |
JP2005277804A (en) | 2004-03-25 | 2005-10-06 | Hitachi Ltd | Information relaying apparatus |
JP2006005402A (en) | 2004-06-15 | 2006-01-05 | Hitachi Ltd | Communication statistic collection apparatus |
JP2007310662A (en) | 2006-05-18 | 2007-11-29 | Mitsubishi Electric Corp | Firewall device |
JP2006254134A5 (en) | 2005-03-11 | 2008-01-24 | ||
JP2011176434A (en) | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
JP2012510126A (en) | 2008-11-26 | 2012-04-26 | マイクロソフト コーポレーション | Hardware acceleration for remote desktop protocol |
JP2015053673A (en) | 2013-08-05 | 2015-03-19 | アラクサラネットワークス株式会社 | Packet relay device and packet relay method |
JP2017511072A (en) | 2014-04-11 | 2017-04-13 | レベル スリー コミュニケーションズ,エルエルシー | Incremental application of resources for network traffic flows based on heuristics and business policies |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006254134A (en) | 2005-03-11 | 2006-09-21 | Alaxala Networks Corp | Communication statistic collection apparatus |
-
2021
- 2021-03-19 JP JP2021045572A patent/JP7104201B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002007234A (en) | 2000-06-20 | 2002-01-11 | Mitsubishi Electric Corp | Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium |
JP2005277804A (en) | 2004-03-25 | 2005-10-06 | Hitachi Ltd | Information relaying apparatus |
JP2006005402A (en) | 2004-06-15 | 2006-01-05 | Hitachi Ltd | Communication statistic collection apparatus |
JP2006254134A5 (en) | 2005-03-11 | 2008-01-24 | ||
JP2007310662A (en) | 2006-05-18 | 2007-11-29 | Mitsubishi Electric Corp | Firewall device |
JP2012510126A (en) | 2008-11-26 | 2012-04-26 | マイクロソフト コーポレーション | Hardware acceleration for remote desktop protocol |
JP2011176434A (en) | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program |
JP2015053673A (en) | 2013-08-05 | 2015-03-19 | アラクサラネットワークス株式会社 | Packet relay device and packet relay method |
JP2017511072A (en) | 2014-04-11 | 2017-04-13 | レベル スリー コミュニケーションズ,エルエルシー | Incremental application of resources for network traffic flows based on heuristics and business policies |
Also Published As
Publication number | Publication date |
---|---|
JP2021093773A (en) | 2021-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11882150B2 (en) | Dynamic security actions for network tunnels against spoofing | |
US8175096B2 (en) | Device for protection against illegal communications and network system thereof | |
US7623466B2 (en) | Symmetric connection detection | |
US9258323B1 (en) | Distributed filtering for networks | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
US7467408B1 (en) | Method and apparatus for capturing and filtering datagrams for network security monitoring | |
US8339959B1 (en) | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane | |
US8149705B2 (en) | Packet communications unit | |
US7436770B2 (en) | Metering packet flows for limiting effects of denial of service attacks | |
US7356599B2 (en) | Method and apparatus for data normalization | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
US9306794B2 (en) | Algorithm for long-lived large flow identification | |
JP4547340B2 (en) | Traffic control method, apparatus and system | |
US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
US7849503B2 (en) | Packet processing using distribution algorithms | |
KR20110089179A (en) | Network intrusion protection | |
US20130259052A1 (en) | Communication system, forwarding node, received packet process method, and program | |
US8910267B2 (en) | Method for managing connections in firewalls | |
CN112202646B (en) | Flow analysis method and system | |
US8006303B1 (en) | System, method and program product for intrusion protection of a network | |
Paolucci et al. | P4-based multi-layer traffic engineering encompassing cyber security | |
KR20110065273A (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistic | |
Mohammadi et al. | Practical extensions to countermeasure dos attacks in software defined networking | |
JP7104201B2 (en) | Packet relay device and packet relay method | |
JP6934758B2 (en) | Packet relay device and packet relay method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220125 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220621 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220707 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7104201 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |