JP7104201B2 - Packet relay device and packet relay method - Google Patents

Packet relay device and packet relay method Download PDF

Info

Publication number
JP7104201B2
JP7104201B2 JP2021045572A JP2021045572A JP7104201B2 JP 7104201 B2 JP7104201 B2 JP 7104201B2 JP 2021045572 A JP2021045572 A JP 2021045572A JP 2021045572 A JP2021045572 A JP 2021045572A JP 7104201 B2 JP7104201 B2 JP 7104201B2
Authority
JP
Japan
Prior art keywords
entry
packet
statistical
flow
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021045572A
Other languages
Japanese (ja)
Other versions
JP2021093773A (en
Inventor
有一 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2021045572A priority Critical patent/JP7104201B2/en
Publication of JP2021093773A publication Critical patent/JP2021093773A/en
Application granted granted Critical
Publication of JP7104201B2 publication Critical patent/JP7104201B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、パケット中継装置およびパケット中継方法に関し、特に、フロー統計機能を備えるパケット中継装置およびパケット中継方法に関する。 The present invention relates to a packet relay device and a packet relay method, and more particularly to a packet relay device and a packet relay method having a flow statistics function.

DDoS(Distributed Denial of Service)攻撃、標的型攻撃等のサイバー攻撃は日々巧妙化、多様化し、セキュリティリスクが高まっている。 Cyber attacks such as DDoS (Distributed Denial of Service) attacks and targeted attacks are becoming more sophisticated and diversified every day, and security risks are increasing.

攻撃を防御するには、通信の振る舞いを分析して攻撃を実施している通信を検知し、その通信に対し遮断、帯域制限、迂回等の措置をとる必要がある。通信の振る舞いを分析するためにフローのトラフィックをモニタする従来技術として、NetFlow(非特許文献1)、sFlow(登録商標)(非特許文献2)がある。このうちNetFlowは、フローを構成するパケットのパケットヘッダ情報でフローを識別し、フロー毎に規定のトラフィック統計情報をカウントし、出力する。これらのフロー毎にトラフィックをモニタする技術(フロー統計技術)は、ルータ・スイッチ等のパケット中継装置が備える機能である。 In order to prevent an attack, it is necessary to analyze the behavior of the communication, detect the communication that is carrying out the attack, and take measures such as blocking, band limiting, and detouring the communication. NetFlow (Non-Patent Document 1) and sFlow (Registered Trademark) (Non-Patent Document 2) are conventional techniques for monitoring flow traffic to analyze communication behavior. Of these, NetFlow identifies the flow from the packet header information of the packets that make up the flow, counts the specified traffic statistics for each flow, and outputs it. The technique of monitoring traffic for each of these flows (flow statistics technique) is a function provided in packet relay devices such as routers and switches.

RFC3954 “Cisco Systems NetFlow Services Export Version 9"RFC3954 “Cisco Systems NetFlow Services Export Version 9” RFC3176 “InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks"RFC3176 “InMon Corporation's sFlow: A Method for Monitoring Traffic in Switched and Routed Networks” http://itpro.nikkeibp.co.jp/article/COLUMN/20100412/346977/http://itpro.nikkeibp.co.jp/article/COLUMN/20100412/346977/

前述のNetFlow、sFlowのようなフロー統計技術では、パケットのヘッダ情報でフローを識別し、フロー毎に規定のトラフィック統計情報を出力する。しかし、進化するサイバー攻撃は、フロー毎の規定のトラフィック統計情報だけでは分析できず、従来の技術では攻撃を識別することができなかった。 In the flow statistics technology such as NetFlow and sFlow described above, the flow is identified by the header information of the packet, and the specified traffic statistics information is output for each flow. However, evolving cyber attacks cannot be analyzed only by the prescribed traffic statistics for each flow, and conventional techniques cannot identify the attacks.

本発明は、上記課題を解決するためになされたもので、進化するサイバー攻撃の分析精度の向上と効率化を実現することを目的とする。 The present invention has been made to solve the above problems, and an object of the present invention is to improve the analysis accuracy and efficiency of evolving cyber attacks.

上記課題を解決するために、本発明においては、一例として、パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有し、統計処理部は、登録用エントリと統計カウント用エントリとを有し、登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、統計カウント用エントリにおいてフロー統計情報をカウントし、制御部は、判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録するものである。 In order to solve the above problems, in the present invention, as an example, a packet relay device having a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relaying packets via a network. The flow is identified based on the information contained in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes. It has a judgment unit that includes information about the judgment result in the packet header of the judged packet and outputs it, and a statistical processing unit that counts flow statistical information based on the information about the judgment result and the flow identification information. The statistical processing unit is for registration. When a packet that has an entry and a statistical count entry and satisfies the flow condition including the judgment result set in the registration entry is received, the registration process set in the statistical processing judgment entry corresponding to the registration entry is performed. When a packet that satisfies the flow condition including the judgment result set in the statistical count entry is newly registered according to the condition of, the flow statistical information is counted in the statistical count entry, and the control unit counts the flow statistical information. , When it is shown that the information about the judgment result of the received packet is the flow to be filtered based on the information about the judgment result of the judged packet and the flow identification information, the flow identification information of the received packet is used. A new registration entry with the conditions determined based on it is registered .

また、属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うようにしたものである。 In addition, as an attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.

また、予め複数種類の攻撃パケットの条件を設定し、判定結果に関する情報として、攻撃の種類を示す情報を含めて出力し、攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントするようにしたものである。 In addition, conditions for multiple types of attack packets are set in advance, information indicating the type of attack is output as information related to the judgment result, and flow statistical information is counted based on the information indicating the attack type and the flow identification information. It is the one that was made.

また、属性として、パケットの廃棄要因の判定を行い、判定結果に関する情報として、廃棄要因を示す情報を含めて出力するようにしたものである。 Further, as an attribute, the packet discard factor is determined, and as the information regarding the determination result, the information indicating the discard factor is included and output.

本発明によれば、進化するサイバー攻撃の分析精度の向上と、効率化を実現できる。 According to the present invention, it is possible to improve the analysis accuracy and efficiency of evolving cyber attacks.

本発明の一実施例におけるパケット中継装置を適用するネットワークの構成を示す図である。It is a figure which shows the structure of the network to which the packet relay device in one Example of this invention is applied. 本発明の一実施例におけるパケット中継装置の構成を示す図である。It is a figure which shows the structure of the packet relay device in one Example of this invention. 本発明の一実施例におけるパケットヘッダ情報の構成を示す図である。It is a figure which shows the structure of the packet header information in one Example of this invention. 本発明の一実施例における受信側判定部の構成を示す図である。It is a figure which shows the structure of the receiving side determination part in one Example of this invention. 本発明の一実施例におけるLogic攻撃判定部の構成を示す図である。It is a figure which shows the structure of the Logic attack determination part in one Example of this invention. 本発明の一実施例におけるフィルタパケット判定部の構成を示す図である。It is a figure which shows the structure of the filter packet determination part in one Example of this invention. 本発明の一実施例における送信元詐称攻撃判定部および受信側パケット処理部の構成を示す図である。It is a figure which shows the structure of the source spoofing attack determination part and the receiving side packet processing part in one Example of this invention. 本発明の一実施例におけるフラッド攻撃判定部の構成を示す図である。It is a figure which shows the structure of the flood attack determination part in one Example of this invention. 本発明の一実施例における受信側統計処理部の構成を示す図である。It is a figure which shows the structure of the receiving side statistical processing part in one Example of this invention. 本発明の一実施例における統計テーブルの構成を示す図である。It is a figure which shows the structure of the statistical table in one Example of this invention. 統計処理判定テーブルの構成例を示す図である。It is a figure which shows the structural example of the statistical processing judgment table. カウンタテーブルの構成例を示す図である。It is a figure which shows the configuration example of a counter table. 統計テーブルの構成例を示す図である。It is a figure which shows the structural example of a statistical table. 本発明の一実施例の冗長C&Cサーバ検出シナリオにおける装置の接続関係を示す図である。It is a figure which shows the connection relation of the apparatus in the redundant C & C server detection scenario of one Example of this invention. 本発明の一実施例の冗長C&Cサーバ検出シナリオにおける装置の接続関係を示す図である。It is a figure which shows the connection relation of the apparatus in the redundant C & C server detection scenario of one Example of this invention. 統計テーブルの構成例を示す図である。It is a figure which shows the structural example of a statistical table. 本発明の一実施例における統計エントリ登録処理のフローチャートである。It is a flowchart of the statistical entry registration process in one Example of this invention. 本発明の一実施例におけるパケット受信契機の統計エントリ削除処理のフローチャートである。It is a flowchart of the statistical entry deletion processing of the packet reception trigger in one Embodiment of this invention. 本発明の一実施例におけるタイムアウト契機の統計エントリ削除処理のフローチャートである。It is a flowchart of the statistical entry deletion processing of the time-out trigger in one Example of this invention. 本発明の一実施例におけるタイムアウト契機の統計エントリ削除処理のフローチャートである。It is a flowchart of the statistical entry deletion processing of the time-out trigger in one Example of this invention. 本発明の一実施例におけるタイムアウト契機の統計エントリ削除処理のフローチャートである。It is a flowchart of the statistical entry deletion processing of the time-out trigger in one Example of this invention.

以下、本発明の実施形態を図面に基づいて説明する。
図1は、本発明の一実施例におけるパケット中継装置を適用するネットワークの構成を示す図である。
フロー統計機能を備える本実施例のパケット中継装置100は、インターネット600とLAN700を接続している。また、本実施例のパケット中継装置100は、管理端末400と接続され、管理者が管理端末400でパケット中継装置100の設定等の管理を行う。パケット中継装置100は、インターネット600とLAN700間の通信を中継するとともに通信に関するフローの統計情報をカウントし、カウントしたフローの統計情報をアナライザ500へ送信し、アナライ
ザ500でフローの統計情報の解析を行う。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a diagram showing a network configuration to which a packet relay device according to an embodiment of the present invention is applied.
The packet relay device 100 of this embodiment having a flow statistics function connects the Internet 600 and the LAN 700. Further, the packet relay device 100 of this embodiment is connected to the management terminal 400, and the administrator manages the settings and the like of the packet relay device 100 at the management terminal 400. The packet relay device 100 relays the communication between the Internet 600 and the LAN 700, counts the flow statistical information related to the communication, transmits the counted flow statistical information to the analyzer 500, and analyzes the flow statistical information with the analyzer 500. conduct.

図2は、本発明の一実施例におけるパケット中継装置の構成を示す図である。
パケット中継装置100は、入力回線を接続する入力ポート110、パケットを受信するパケット受信部120、受信パケットの出力ポートの判定を含むパケット中継処理を行う受信側パケット処理部130、受信パケットに対して各種判定を行う受信側判定部140、受信側のフロー統計処理をする受信側統計処理部150、受信パケットを送信側パケット処理部180へ中継するパケット中継処理手段170、送信パケットの受信MACアドレスと送信MACアドレスの書き換えを含むパケット中継に関する処理を行う送信側パケット処理部180、送信パケットに対して各種判定を行う送信側判定部190、送信側のフロー統計処理をする送信側統計処理部200、パケットを送信するパケット送信部210、出力回線を接続する出力ポート220、パケット中継装置の管理者がパケット中継装置の管理を行う管理端末400の指示に基づいて受信側パケット処理部130、受信側判定部140、受信側統計処理部150、送信側パケット処理部180、送信側判定部190、送信側統計処理部200に対するテーブル設定の指示、テーブル読み出しの指示、パケット中継装置100でカウントしたフロー統計情報のアナライザ500への送信、通信プロトコル処理等を行う制御CPU160で構成する。
FIG. 2 is a diagram showing a configuration of a packet relay device according to an embodiment of the present invention.
The packet relay device 100 receives the input port 110 for connecting the input line, the packet receiving unit 120 for receiving the packet, the receiving side packet processing unit 130 for performing packet relay processing including the determination of the output port of the received packet, and the received packet. Receiving side judgment unit 140 that performs various judgments, receiving side statistical processing unit 150 that performs receiving side flow statistics processing, packet relay processing means 170 that relays received packets to transmitting side packet processing unit 180, receiving MAC address of transmitted packets Transmission side packet processing unit 180 that performs processing related to packet relay including rewriting of transmission MAC address, transmission side judgment unit 190 that performs various judgments on transmission packets, transmission side statistical processing unit 200 that performs transmission side flow statistics processing, The receiving side packet processing unit 130 and the receiving side determination based on the instructions of the packet transmitting unit 210 for transmitting packets, the output port 220 for connecting the output line, and the management terminal 400 in which the administrator of the packet relay device manages the packet relay device. Unit 140, receiving side statistical processing unit 150, transmitting side packet processing unit 180, transmitting side determination unit 190, sending side statistical processing unit 200, table setting instruction, table read instruction, flow statistical information counted by the packet relay device 100 It is composed of a control CPU 160 that performs transmission to the analyzer 500, communication protocol processing, etc.

受信側判定部140は、受信パケットの攻撃種別の判定と、受信パケットを中継するか廃棄するかの判定と、廃棄する場合には廃棄要因の判定を行う。送信側判定部190は、送信パケットの攻撃種別の判定と、送信パケットを転送するか廃棄するかの判定と、廃棄する場合には廃棄要因の判定を行う。 The receiving side determination unit 140 determines the attack type of the received packet, determines whether to relay or discard the received packet, and determines the discarding factor when discarding. The transmitting side determination unit 190 determines the attack type of the transmitted packet, determines whether to transfer or discard the transmitted packet, and determines the discarding factor when discarding.

なお受信側統計処理部150と送信側統計処理部200、受信側判定部140と送信側判定部190は、同様の構成である。制御CPU160は、生成したフロー統計情報をアナライザ500が接続された出力回線を接続する出力ポート221から出力し、アナライザ500は出力されたフロー統計情報の解析を行う。 The receiving-side statistical processing unit 150 and the transmitting-side statistical processing unit 200, and the receiving-side determination unit 140 and the transmitting-side determination unit 190 have the same configuration. The control CPU 160 outputs the generated flow statistical information from the output port 221 to which the output line to which the analyzer 500 is connected is connected, and the analyzer 500 analyzes the output flow statistical information.

図3は、本発明の一実施例におけるパケットヘッダ情報の構成を示す図である。
本実施例において、パケット中継装置100の内部で扱うパケットヘッダ情報300は、受信パケットのパケットヘッダであるL2情報305、L3情報306、L4情報307、L7情報308、ペイロード309と、パケット受信部120で判定して付加した入力ポート情報301、出力ポート情報302、パケットのByte長303、受信側判定部140で判定して付加した判定結果304とで構成する。
FIG. 3 is a diagram showing a configuration of packet header information according to an embodiment of the present invention.
In this embodiment, the packet header information 300 handled inside the packet relay device 100 includes L2 information 305, L3 information 306, L4 information 307, L7 information 308, payload 309, which are packet headers of the received packet, and the packet receiver 120. It is composed of input port information 301, output port information 302, packet Byte length 303, and determination result 304 determined and added by the receiving side determination unit 140.

判定結果304は、送信側判定部190において、送信側判定部190の判定結果で上書きしてもよい。Byte長303は、ペイロード長、パケット長、フレーム長、Preamble、Inter Frame Gapを含めた回線においてパケットが占有するByte長を示す回線長から指定する。その他、Frame Check SequenceのByte長を含める、含めない等、任意の範囲でByte長を定義できる。出力ポート情報302は、受信側パケット処理部130で判定して付加する。出力ポート情報302は、受信側パケット処理部130で出力ポート情報302を判定する前は未定義のフィールドである。L2情報305はEthernetヘッダ、L3情報306はIPヘッダ、L4情報307はTCPヘッダ、UDPヘッダ、L7情報308はhttpヘッダが代表的な例であるが、その他のプロトコルヘッダであっても構わない。 The determination result 304 may be overwritten by the determination result of the transmission side determination unit 190 in the transmission side determination unit 190. The Byte length 303 is specified from the line length indicating the Byte length occupied by the packet in the line including the payload length, the packet length, the frame length, the Preamble, and the Inter Frame Gap. In addition, the Byte length can be defined in any range, such as including or not including the Byte length of Frame Check Sequence. The output port information 302 is determined and added by the receiving side packet processing unit 130. The output port information 302 is an undefined field before the receiving side packet processing unit 130 determines the output port information 302. Typical examples are Ethernet header for L2 information 305, IP header for L3 information 306, TCP header and UDP header for L4 information 307, and http header for L7 information 308, but other protocol headers may be used.

図4は、本発明の一実施例における受信側判定部の構成を示す図である。
受信側判定部140は、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144、廃棄要因判定部145で構成する。
Logic攻撃判定部141には、システムの脆弱性を利用する攻撃と判定する条件(Byte長に関する条件を含む)であるLogic攻撃テーブルを予め本発明のパケット中継装置100の起動時に制御CPU160または管理者が登録しておく。Logic攻撃判定部は、Logic攻撃テーブル14
10に一致した受信パケットをLogic攻撃と判定する。
フィルタ判定部142には、パケット中継装置100の管理者が定義したフィルタすべきフロー(パケットヘッダ情報300に関する条件で定まるパケットの集合)の条件を登録したフィルタテーブルを予め登録しておく。フィルタ判定部142は、フィルタリスト(フィルタテーブルとも称する)に一致した受信パケットをフィルタパケット(ユーザ(管理者)が登録した攻撃パケット)と判定する。
送信元詐称判定部143では、uRPF(unicast Reverse Path Forwarding)等の手段で受信パケットの送信元アドレスに関する情報が詐称であると判定した受信パケットを送信元詐称攻撃と判定する。
フラッド攻撃判定部144では、フローの帯域がパケット中継装置100の管理者が定義した監視帯域を超過した場合、またはフローのバースト量がパケット中継装置100の管理者が定義した許容バースト量を超過した場合、フラッド攻撃と判定する。
廃棄要因判定部145では、Logic攻撃判定部141、フィルタ判定部142、送信元詐称判定部143、フラッド攻撃判定部144で攻撃と判定するフィルタ条件以外の廃棄要因を含むか否かを判定する。廃棄要因判定部145では、廃棄要因として、IPヘッダ異常、TTL超過、Null廃棄(経路検索の結果、宛先ホストが存在しない)等の判定を行う。攻撃と判定するフィルタ条件および各廃棄要因に一致しない場合は、正常通信と判定し当該パケットを通過とする。
FIG. 4 is a diagram showing a configuration of a receiving side determination unit according to an embodiment of the present invention.
The receiving side determination unit 140 includes a Logic attack determination unit 141, a filter determination unit 142, a source spoofing determination unit 143, a flood attack determination unit 144, and a disposal factor determination unit 145.
The Logic attack determination unit 141 controls the Logic attack table, which is a condition (including a condition related to the Byte length) for determining an attack that utilizes a system vulnerability, in advance when the packet relay device 100 of the present invention is started, and is controlled by the CPU 160 or the administrator. Is registered. Logic attack judgment unit is Logic attack table 14
Received packets that match 10 are judged to be Logic attacks.
In the filter determination unit 142, a filter table in which the conditions of the flow to be filtered (a set of packets determined by the conditions related to the packet header information 300) defined by the administrator of the packet relay device 100 are registered is registered in advance. The filter determination unit 142 determines that the received packet that matches the filter list (also referred to as the filter table) is a filter packet (attack packet registered by the user (administrator)).
The source spoofing determination unit 143 determines that the received packet that the information about the source address of the received packet is spoofed by means such as uRPF (unicast Reverse Path Forwarding) is a source spoofing attack.
In the flood attack determination unit 144, when the flow band exceeds the monitoring band defined by the administrator of the packet relay device 100, or the burst amount of the flow exceeds the allowable burst amount defined by the administrator of the packet relay device 100. If so, it is determined to be a flood attack.
The discard factor determination unit 145 determines whether or not the logic attack determination unit 141, the filter determination unit 142, the source spoofing determination unit 143, and the flood attack determination unit 144 include a disposal factor other than the filter condition determined to be an attack. The discard factor determination unit 145 determines as discard factors such as IP header error, TTL excess, and null discard (as a result of route search, the destination host does not exist). If it does not match the filter conditions to be judged as an attack and each discard factor, it is judged to be normal communication and the packet is passed.

複数の攻撃種別または廃棄要因に一致すると判定された受信パケットは、優先度判定部146にて、複数の攻撃種別または廃棄要因のうち、優先度を考慮していずれかを判定結果とする。例えば、IPヘッダ異常>Logic攻撃>フィルタ>送信元詐称>フラッド攻撃>Null廃棄>TTL超過の優先度である場合に、受信パケットがLogic攻撃、フィルタ、送信元詐称に一致した場合は、優先度判定部146において受信パケットはLogic攻撃に一致すると判定する。 For the received packet determined to match a plurality of attack types or discard factors, the priority determination unit 146 determines one of the plurality of attack types or discard factors in consideration of the priority. For example, if the priority is IP Header Abnormal> Logic Attack> Filter> Source Spoofing> Flood Attack> Null Discard> TTL Exceeded, and the received packet matches Logic Attack, Filter, Source Spoofing, then the priority The determination unit 146 determines that the received packet matches the Logic attack.

図5は、本発明の一実施例におけるLogic攻撃判定部の構成を示す図である。
Logic攻撃判定部141は、Logic攻撃と判定する条件を設定したLogic攻撃エントリ1 1411~Logic攻撃エントリn 141nで構成するLogic攻撃テーブル1410で構成する。
Logic攻撃判定部141は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちLogic攻撃エントリとの一致判定に必要な情報と、Logic攻撃エントリ1 1411~Logic攻撃エントリn 141nの条件を逐次比較する。入力されたパケットヘッダ情報と一致するLogic攻撃エントリがある場合は、そのパケットヘッダ情報を持つパケットの攻撃種別はLogic攻撃であると判定する。
FIG. 5 is a diagram showing a configuration of a Logic attack determination unit according to an embodiment of the present invention.
The Logic attack determination unit 141 is configured by a Logic attack table 1410 composed of Logic attack entry 1 1411 to Logic attack entry n 141n in which conditions for determining a Logic attack are set.
When the Logic attack determination unit 141 inputs the packet header information 300, the Logic attack determination unit 141 sequentially compares the information required for the matching determination with the Logic attack entry in the packet header information 300 with the conditions of the Logic attack entry 1 1411 to the Logic attack entry n 141n. do. If there is a Logic attack entry that matches the input packet header information, it is determined that the attack type of the packet having that packet header information is Logic attack.

Logic攻撃エントリの条件は、条件値による比較だけではなく比較式、等号式による論理的な判定も含む。例えば、Land攻撃をLogic攻撃として設定する場合は、L3情報306の送信元IPアドレス=宛先IPアドレスという等号式による条件となる。Ping of death攻撃をLogic攻撃として設定する場合は、L3情報306のフラグメントオフセットとペイロード309のByte長の和が一定値より大きい、という比較式となる。他にも、Invalid TCP Flags攻撃をLogic攻撃として設定する場合は、TCPフラグの有り得ない組み合わせをLogic攻撃エントリの条件として設定する。 The conditions of the Logic attack entry include not only the comparison by the condition value but also the logical judgment by the comparison expression and the equal sign expression. For example, when a Land attack is set as a Logic attack, the condition is based on the equal sign of source IP address = destination IP address of L3 information 306. When the Ping of death attack is set as a Logic attack, the comparison formula is that the sum of the fragment offset of L3 information 306 and the Byte length of payload 309 is larger than a certain value. In addition, when setting an Invalid TCP Flags attack as a Logic attack, set an impossible combination of TCP flags as a condition for the Logic attack entry.

入力したパケットヘッダ情報300が、Land攻撃のLogic攻撃エントリと一致した場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(Land攻撃)となる。入力したパケットヘッダ情報300がPing of death攻撃のLogic攻撃エントリと一致した場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(Ping of death攻撃)となる。入力されたパケットヘッダ情報300がTCP Invalid Flags攻撃のLogic攻撃エントリと一致する場合、パケットヘッダ情報300の攻撃種別はLogic攻撃(TCP Invalid Flags攻撃)となる。 If the input packet header information 300 matches the Logic attack entry of the Land attack, the attack type of the packet header information 300 is Logic attack (Land attack). If the input packet header information 300 matches the Logic attack entry of the Ping of death attack, the attack type of the packet header information 300 is Logic attack (Ping of death attack). If the input packet header information 300 matches the Logic attack entry of the TCP Invalid Flags attack, the attack type of the packet header information 300 is Logic attack (TCP Invalid Flags attack).

図6は、本発明の一実施例におけるフィルタパケット判定部の構成を示す図である。
フィルタパケット判定部142は、フィルタパケットの判定条件を設定したフィルタエントリ1 1421~フィルタエントリn 142nで構成するフィルタテーブル1420を有する。フィルタパケット判定部142は、パケットヘッダ情報300を入力すると、パケットヘッダ情報300のうちフィルタエントリとの一致判定に必要な情報と、フィルタエントリ1 1421~フィルタエントリn 142nの条件を逐次比較する。入力されたパケットヘッダ情報300と一致するフィルタエントリがある場合は、パケットヘッダ情報300はフィルタ対象の攻撃パケットであると判定する。フィルタエントリの条件としては、パケットヘッダ情報300のL2情報305、L3情報306、L4情報307、L7情報308が設定される。フィルタエントリの条件は、パケット中継装置100の管理者が管理端末400から指示し制御CPU160経由で設定する。
FIG. 6 is a diagram showing a configuration of a filter packet determination unit according to an embodiment of the present invention.
The filter packet determination unit 142 has a filter table 1420 composed of filter entry 1 1421 to filter entry n 142n in which the determination condition of the filter packet is set. When the packet header information 300 is input, the filter packet determination unit 142 sequentially compares the information required for the match determination with the filter entry in the packet header information 300 with the conditions of the filter entry 1 1421 to the filter entry n 142n. If there is a filter entry that matches the input packet header information 300, it is determined that the packet header information 300 is an attack packet to be filtered. L2 information 305, L3 information 306, L4 information 307, and L7 information 308 of the packet header information 300 are set as the filter entry conditions. The filter entry conditions are instructed by the administrator of the packet relay device 100 from the management terminal 400 and set via the control CPU 160.

図7は、本発明の一実施例における送信元詐称攻撃判定部および受信側パケット処理部の構成を示す図である。
送信元詐称攻撃判定部143は、送信元経路検索要求部1431と送信元詐称判定部1432を有する。受信側パケット処理部130は、IPアドレス1ないしnに対する出力ポートを設定した経路エントリ1(IP1)1301ないしn(IPn)130nで構成する経路テーブル1300で構成する。
FIG. 7 is a diagram showing a configuration of a source spoofing attack determination unit and a receiving side packet processing unit according to an embodiment of the present invention.
The source spoofing attack determination unit 143 has a source route search request unit 1431 and a source spoofing determination unit 1432. The receiving side packet processing unit 130 is configured by a route table 1300 composed of route entries 1 (IP1) 1301 to n (IPn) 130n in which output ports are set for IP addresses 1 to n.

受信側パケット処理部130は、通常は、パケットヘッダ情報300のL3情報306に格納された宛先IPアドレスに対応する経路エントリを参照し、この宛先IPアドレスに対する出力ポートの情報を得る。受信側パケット処理部130における処理の後、受信側判定部140に入力されたパケットヘッダ情報300が攻撃判定のために送信元詐称攻撃判定部143に入力される。送信元詐称攻撃判定部143は、まず、送信元経路検索要求部1431において、入力されたパケットヘッダ情報300の入力ポート情報301とL3情報306の送信元IPアドレスを抽出する。送信元経路検索要求部1431は、抽出した送信元IPアドレスを、受信側パケット処理部130に出力する。受信側パケット処理部120は、この送信元IPアドレスに対する経路エントリを参照し、出力ポートの情報を得る。受信パケット処理部120は、得られた出力ポート情報を送信元詐称攻撃判定部143に入力する。送信元詐称攻撃判定部143の送信元詐称判定部1432は、パケットヘッダ情報300の入力ポート情報と受信パケット処理部120に確認して得られた出力ポート情報を比較する。一致していない場合は送信元が詐称されていると判断し、パケットヘッダ情報300の攻撃種別は送信元詐称攻撃と判定する。 The receiving side packet processing unit 130 usually refers to the route entry corresponding to the destination IP address stored in the L3 information 306 of the packet header information 300, and obtains the information of the output port for this destination IP address. After the processing in the receiving side packet processing unit 130, the packet header information 300 input to the receiving side determination unit 140 is input to the source spoofing attack determination unit 143 for attack determination. The source spoofing attack determination unit 143 first extracts the input port information 301 of the input packet header information 300 and the source IP address of the L3 information 306 in the source route search request unit 1431. The source route search request unit 1431 outputs the extracted source IP address to the receiving side packet processing unit 130. The receiving side packet processing unit 120 refers to the route entry for this source IP address and obtains the information of the output port. The received packet processing unit 120 inputs the obtained output port information to the source spoofing attack determination unit 143. The source spoofing determination unit 1432 of the source spoofing attack determination unit 143 compares the input port information of the packet header information 300 with the output port information obtained by confirming with the received packet processing unit 120. If they do not match, it is determined that the source is spoofed, and the attack type of the packet header information 300 is determined to be a source spoofing attack.

図8は、本発明の一実施例におけるフラッド攻撃判定部の構成を示す図である。
パケット中継装置100の管理者は、予め、監視対象として定義したフロー毎に監視帯域を設定する。フラッド攻撃判定部144は、定義されたフロー毎の帯域を監視し、監視帯域を超過したフローのパケットヘッダ情報300の攻撃種別にフラッド攻撃と判定する。
FIG. 8 is a diagram showing a configuration of a flood attack determination unit according to an embodiment of the present invention.
The administrator of the packet relay device 100 sets a monitoring band for each flow defined in advance as a monitoring target. The flood attack determination unit 144 monitors the band for each defined flow, and determines that the attack type of the packet header information 300 of the flow exceeding the monitoring band is a flood attack.

フラッド攻撃判定部144は、パケット中継装置の管理者の指示で定義したフロー毎の条件を設定するフローエントリ1 14401~フローエントリn 1440nで構成するフローテーブル1440、各フローエントリに対応する監視帯域と各フローの帯域が監視帯域を超過したか否かを判定するための情報を含む帯域エントリ1 14411~帯域エントリn 1441nで構成する帯域テーブル1441、帯域判定部1442を有する。 The flood attack determination unit 144 sets the conditions for each flow defined by the administrator of the packet relay device. The flow table 1440 composed of flow entry 1 14401 to flow entry n 1440n, and the monitoring band corresponding to each flow entry. It has a band table 1441 and a band determination unit 1442 composed of band entry 1 14411 to band entry n 1441n including information for determining whether or not the band of each flow exceeds the monitoring band.

フラッド攻撃判定部144は、パケットヘッダ情報300が入力されると、パケットヘッダ情報300のうちフローエントリとの一致判定に必要な情報とフローエントリ1 14401~フローエントリn 1440nの条件を逐次比較する。入力されたパケットヘッダ情報がフローエントリnと一致した場合、当該パケットヘッダ情報300はフローエントリnに属し、フローエントリnに対応する帯域エントリn 1440nを参照する。帯域エントリn 1440nから、監視帯域と各フローの帯域が監視帯域を超過するか否かを判定するための情報を読み出し、帯域判定部1442でパケットヘッダ情報300のフローが監視帯域を超過したか否かを判定する。監視帯域を超過した場合は、パケットヘッダ情報300のパケットは、フラッド攻撃と判定
する。
When the packet header information 300 is input, the flood attack determination unit 144 sequentially compares the information required for the matching determination with the flow entry in the packet header information 300 and the conditions of the flow entry 1 14401 to the flow entry n 1440n. If the input packet header information matches the flow entry n, the packet header information 300 belongs to the flow entry n and refers to the bandwidth entry n 1440n corresponding to the flow entry n. Information for determining whether the monitoring band and the band of each flow exceed the monitoring band is read from the band entry n 1440n, and whether or not the flow of packet header information 300 exceeds the monitoring band in the band determination unit 1442. Is determined. When the monitoring band is exceeded, the packet with packet header information 300 is determined to be a flood attack.

図9は、本発明の一実施例における受信側統計処理部の構成を示す図である。
受信側統計処理部150は、統計テーブル1500と、統計処理判定テーブル1501、カウンタテーブル1502を有する。統計テーブル1500は、カウント対象のフローの条件を設定したn個の統計エントリ1 15001~統計エントリn 1500nからなるテーブルである。また、統計処理判定テーブル1501は、統計エントリ毎に統計エントリ登録処理・統計カウント処理を設定するn個の統計処理判定エントリ1 15011~1501nを有するテーブルである。さらに、カウンタテーブル1502は、統計エントリ毎にカウンタを備えるn個のカウンタエントリ1 15021~カウンタエントリn 1502nで構成するテーブルである。受信側統計処理部150は、さらに、タイマ1503、タイムアウト判定部1504で構成する。
FIG. 9 is a diagram showing a configuration of a receiving-side statistical processing unit according to an embodiment of the present invention.
The receiving side statistical processing unit 150 has a statistical table 1500, a statistical processing determination table 1501, and a counter table 1502. The statistical table 1500 is a table consisting of n statistical entries 1 15001 to n 1500n for which the conditions of the flow to be counted are set. The statistical processing judgment table 1501 is a table having n statistical processing judgment entries 1 15011 to 1501n for setting statistical entry registration processing and statistical counting processing for each statistical entry. Further, the counter table 1502 is a table composed of n counter entries 1 15021 to counter entries n 1502n having a counter for each statistical entry. The receiving side statistical processing unit 150 is further composed of a timer 1503 and a timeout determination unit 1504.

統計処理判定エントリj、カウンタエントリjは統計エントリjに対応する(j:1~n)。受信側統計処理部150にパケットヘッダ情報300が入力されると、パケットヘッダ情報のうち統計エントリとの一致判定に必要な情報と、統計エントリ1 15001~統計エントリn 1500nの条件を逐次比較する。一致した統計エントリjがある場合は対応する統計処理判定エントリjを参照し、参照した統計処理判定エントリjに設定された指示に基づき、処理を行う。統計処理判定エントリjに登録指示が設定されている場合は、制御CPU160に統計エントリ登録処理と当該パケットヘッダ情報300の通知を行う。統計処理判定エントリjに判定結果登録指示が設定されている場合は判定結果を含めたカウント対象条件を統計エントリとして登録する。統計処理判定エントリjにカウント指示が設定されている場合は、カウンタエントリjのカウンタを加算処理する。
統計処理の詳細は、以降で説明する。タイマ1503は現在時刻情報を示し、タイムアウト判定部1504における判定に用いたり、カウンタテーブル1502に書き込む情報の一部として用いる。
The statistical processing judgment entry j and the counter entry j correspond to the statistical entry j (j: 1 to n). When the packet header information 300 is input to the receiving side statistical processing unit 150, the information required for the matching determination with the statistical entry in the packet header information is sequentially compared with the conditions of the statistical entry 1 15001 to the statistical entry n 1500n. If there is a matching statistical processing entry j, the corresponding statistical processing judgment entry j is referred to, and processing is performed based on the instruction set in the referenced statistical processing judgment entry j. If a registration instruction is set in the statistical processing judgment entry j, the control CPU 160 is notified of the statistical entry registration process and the packet header information 300. If the judgment result registration instruction is set in the statistical processing judgment entry j, the count target condition including the judgment result is registered as a statistical entry. If a count instruction is set in the statistical processing judgment entry j, the counter of the counter entry j is added.
The details of statistical processing will be described below. The timer 1503 indicates the current time information and is used for determination in the timeout determination unit 1504 or as a part of the information to be written in the counter table 1502.

図10は、本発明の一実施例における統計テーブルの構成を示す図である。
統計テーブル1500は、統計エントリ1 15001~統計エントリn 1500nで構成する。統計エントリ15001は、判定結果150011、L2情報150016、L3情報306のSIP(送信元IPアドレス)150012、L3情報306のDIP(宛先IPアドレス)150013 、L4情報307のSPORT(送信元ポート番号)150014、L4情報307のDPORT(宛先ポート番号)150015で構成する。カウント対象とするパケットヘッダ情報の条件を設定する統計エントリ15001に、受信側判定部140や送信側判定部190でパケットヘッダ情報に追加した判定結果15011を含めることが、本発明の特徴である。なお、カウント対象条件として、判定結果の他、入力ポート情報301、出力ポート情報302、L2情報305、L3情報306、L4情報307、L7情報308を設定する構成としても構わない。なお、図10の統計テーブル1500の例で、d.c.(don’t care)は、任意の値を示す。
FIG. 10 is a diagram showing the structure of a statistical table according to an embodiment of the present invention.
The statistics table 1500 consists of statistics entries 1 15001 to statistics entries n 1500n. Statistical entry 15001 is the judgment result 150011, L2 information 150016, L3 information 306 SIP (source IP address) 150012, L3 information 306 DIP (destination IP address) 150013, L4 information 307 SPORT (source port number) 150014. , L4 Information 307 DPORT (destination port number) 150015. It is a feature of the present invention that the statistical entry 15001, which sets the condition of the packet header information to be counted, includes the determination result 15011 added to the packet header information by the receiving side determination unit 140 and the transmitting side determination unit 190. In addition to the determination result, input port information 301, output port information 302, L2 information 305, L3 information 306, L4 information 307, and L7 information 308 may be set as count target conditions. In the example of the statistical table 1500 in FIG. 10, dc (don't care) indicates an arbitrary value.

図10の統計テーブル1500の例では、統計エントリ15001と統計エントリ15002は、L2情報1、SIP1、DIP1、SPORT1、DPORT1については同一フローに関する統計エントリであるが、判定結果150011が異なる。統計エントリ15001は、判定結果150011が送信元詐称であり、送信元詐称攻撃判定部143で送信元詐称攻撃のパケットと判定されたパケットのフロー統計をカウントする統計エントリである。統計エントリ15002は、判定結果が正常通信であり、正常通信のパケットのフロー統計をカウントする統計エントリである。
このように、本実施例では、L2情報、SIP、DIP、SPORT,DPORTが同じで、従来は区別してカウントしていなかったフローであっても送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができる。従来技術では、パケットヘッダ情報に判定結果が含まれておらず、また、統計エントリも判定結果を含まないので、送信元詐称攻撃と正常通信のフロー統計を区別してカウントすることができなかった。
In the example of the statistical table 1500 of FIG. 10, the statistical entry 15001 and the statistical entry 15002 are statistical entries related to the same flow for L2 information 1, SIP1, DIP1, SPORT1, and DPORT1, but the determination results 150011 are different. The statistical entry 15001 is a statistical entry that counts the flow statistics of packets whose determination result 150011 is source spoofing and which is determined by the source spoofing attack determination unit 143 to be a source spoofing attack packet. The statistical entry 15002 is a statistical entry for counting the flow statistics of packets for which the determination result is normal communication and the normal communication is performed.
As described above, in this embodiment, the L2 information, SIP, DIP, SPORT, and DPORT are the same, and even if the flow is not counted separately in the past, the source spoofing attack and the normal communication flow statistics are distinguished. Can be counted. In the prior art, since the packet header information does not include the determination result and the statistical entry does not include the determination result, it is not possible to distinguish between the source spoofing attack and the normal communication flow statistics.

また図10の統計テーブル1500の例では、判定結果が帯域過大であるフローに関連する
統計エントリとして統計エントリ15003、統計エントリ15004がある。また、統計エントリ15004と統計エントリ15005はL2情報2、SIP3、DIP2、SPORT2、DPORT2については同一フローに関する統計エントリである。統計エントリ15004は判定結果が帯域過大であり、フラッド攻撃判定部144で帯域過大のパケットと判定されたパケットのフロー統計をカウントする統計エントリである。一方統計エントリ15005は判定結果が正常通信であり、フラッド攻撃ではない正常通信のパケットのフロー統計をカウントする統計エントリである。このように、本実施例では、同一フローであってもフラッド攻撃と正常通信のフロー統計を区別してカウントすることができる。
Further, in the example of the statistical table 1500 of FIG. 10, there are statistical entry 15003 and statistical entry 15004 as statistical entries related to the flow in which the determination result is excessive bandwidth. In addition, statistical entry 15004 and statistical entry 15005 are statistical entries related to the same flow for L2 information 2, SIP3, DIP2, SPORT2, and DPORT2. Statistical entry 15004 is a statistical entry that counts the flow statistics of packets whose determination result is excessive bandwidth and which is determined by the flood attack determination unit 144 to be excessive bandwidth packets. On the other hand, the statistical entry 15005 is a statistical entry that counts the flow statistics of packets for normal communication whose judgment result is normal communication and which is not a flood attack. As described above, in this embodiment, even if the flow is the same, the flow statistics of the flood attack and the normal communication can be counted separately.

更に、統計エントリ15003は統計エントリ15004と統計エントリ15005のフローに対し送信元IPアドレスのみがSIP2で異なるフローであり、SIP2のフローは正常通信がなく判定結果が帯域過大の統計エントリのみがカウントされている。この場合、SIP2のフローの判定結果は常に帯域過大であるのに対し、SIP3のフローの判定結果は帯域過大である場合と帯域過大でない場合とがある。帯域過大であるカウント量(パケット数、Byte数等)と帯域過大でないカウント量の比率をフロー毎に比較すると、帯域過大であるカウント量の比率が高いフローはDDoS攻撃である可能性が高いフローとアナライザ500が分析することができる。 Furthermore, statistic entry 15003 is a flow in which only the source IP address is different in SIP2 from the flow of statistic entry 15004 and statistic entry 15005, and in the flow of SIP2, only the statistic entry with no normal communication and the judgment result is overband is counted. ing. In this case, the SIP2 flow determination result is always over-bandwidth, while the SIP3 flow determination result may be over-bandwidth or not over-bandwidth. Comparing the ratio of the count amount with excessive bandwidth (number of packets, number of bytes, etc.) to the count amount without excessive bandwidth for each flow, the flow with a high ratio of the count amount with excessive bandwidth is likely to be a DDoS attack. And the analyzer 500 can analyze.

また図10の統計テーブル1500の例では、判定結果がNull廃棄であるフローに関連する統計エントリとして統計エントリ15006、統計エントリ15007、統計エントリ15008がある。統計エントリ15006と統計エントリ15007と統計エントリ15008は、L2情報4、SIP4、DIP4、SPORT4に関しては同一であり、DPORTだけがDPORT4、DPORT5、DPORT6で異なるフローである。このようなフローは、マルウェアの感染拡大活動において次の感染先としてポートが開放している端末を探索するスキャン活動で観測することができる。そのため、統計エントリ15006、統計エントリ15007、統計エントリ15008のようにNull廃棄かつDPORTだけが異なる統計エントリのカウントを検知した場合には、当該の統計エントリのSIPはマルウェア感染の可能性があるとアナライザ500で分析して、マルウェア対策ツールの適用、または通信監視の強化対象とする等の対応を管理者が行う契機とすることができる。 Further, in the example of the statistical table 1500 of FIG. 10, there are statistical entry 15006, statistical entry 15007, and statistical entry 15008 as statistical entries related to the flow in which the determination result is null discard. Statistics entry 15006, statistics entry 15007, and statistics entry 15008 are the same for L2 information 4, SIP4, DIP4, and SPORT4, and only DPORT is a different flow for DPORT4, DPORT5, and DPORT6. Such a flow can be observed by a scanning activity for searching for a terminal whose port is open as the next infection destination in the malware infection spreading activity. Therefore, if a count of stats entries that are null-discarded and differ only in DPORT, such as stats entry 15006, stats entry 15007, and stats entry 15008, is detected, the SIP of the stats entry may be infected with malware. It can be used as an opportunity for the administrator to take measures such as applying anti-malware tools or strengthening communication monitoring by analyzing with 500.

また図10の統計テーブル1500の例では、判定結果がTTL超過であるL2情報7、SIP7、DIP7、SPORT7、DPORT7のフローに関連する統計エントリとして統計エントリ15009がある。TTL超過はtracerouteのようなネットワーク管理ツールでも用いられる。そのため、TTL超過を攻撃と判定することはできないが、TTL超過の判定結果を明示的にカウント対象条件として設定することができる。判定結果がTTL超過であるフローのフロー統計と、判定結果が廃棄パケットであるフローのフロー統計に基づきアナライザ500で攻撃性の有無を分析できる。 Further, in the example of the statistical table 1500 of FIG. 10, there is a statistical entry 15009 as a statistical entry related to the flow of L2 information 7, SIP7, DIP7, SPORT7, and DPORT7 whose determination result exceeds TTL. TTL excess is also used by network management tools like traceroute. Therefore, the TTL excess cannot be determined as an attack, but the TTL excess determination result can be explicitly set as the count target condition. The presence or absence of aggression can be analyzed by the analyzer 500 based on the flow statistics of the flow whose judgment result exceeds TTL and the flow statistics of the flow whose judgment result is a discarded packet.

また図10の統計テーブル1500の例では、1500Aのように、判定結果150011にd.c.を設定しておくことで、L2情報8、SIP8、DIP8、SPORT8、DPORT8のフローは判定結果によらず統計エントリ1500Aでカウントすることができる。判定結果毎に統計エントリを登録すると統計エントリの消費量が増え、統計カウントの対象とできるフロー数が減少してしまうので、分析の優先度の低いフローに関しては判定結果をカウント対象条件に含めない設定とすることで、統計エントリを効率的に使用することができる。 Further, in the example of the statistical table 1500 in FIG. 10, by setting d.c. in the judgment result 150011 as in 1500A, the flow of L2 information 8, SIP8, DIP8, SPORT8, and DPORT8 is a statistical entry regardless of the judgment result. It can be counted at 1500A. If statistical entries are registered for each judgment result, the consumption of statistical entries will increase and the number of flows that can be counted for statistics will decrease. Therefore, the judgment results will not be included in the count target conditions for flows with low analysis priority. By setting, statistical entries can be used efficiently.

また図10の統計テーブル1500の例では、統計エントリを登録するための統計エントリとして、統計エントリ1500n-2、統計エントリ1500n-1、統計エントリ1500nがある。登録用の統計エントリは、パケット中継装置100の管理者が管理端末400から初期設定する。管理者は、運用中に、登録用の統計エントリを管理端末400から追加または変更することもできる。統計カウント用のエントリは、後述の通りパケット中継装置100が自律的に登録する。 Further, in the example of the statistical table 1500 in FIG. 10, there are statistical entries 1500n-2, statistical entries 1500n-1, and statistical entries 1500n as statistical entries for registering statistical entries. The statistical entry for registration is initially set by the administrator of the packet relay device 100 from the management terminal 400. The administrator can also add or change statistical entries for registration from the management terminal 400 during operation. The entry for the statistical count is autonomously registered by the packet relay device 100 as described later.

統計カウント用のエントリが一定期間を超過してカウントされなくなった場合、またはパケットヘッダ情報300のL4情報307において、L4情報がTCPプロトコルである場合にはTCPにおいて通信終了を示すFINフラグが1となった場合に、制御CPU160は当該のフローの通信が終了したと判定する。制御CPU160は当該のフローに対応する統計エントリと、統計エントリに対応する統計処理判定エントリを削除し、統計エントリに対応するカウンタエントリを0に設定するクリア処理を行う。 If the entry for statistical counting is no longer counted after a certain period of time, or in the L4 information 307 of the packet header information 300, if the L4 information is the TCP protocol, the FIN flag indicating the end of communication in TCP is set to 1. When this happens, the control CPU 160 determines that the communication of the relevant flow has ended. The control CPU 160 deletes the statistical entry corresponding to the relevant flow and the statistical processing judgment entry corresponding to the statistical entry, and performs clear processing in which the counter entry corresponding to the statistical entry is set to 0.

SIP7のフローが通信開始した時点では統計エントリ15009は登録されていない。SIP7かつTTL超過のパケットが入力されると、受信側または送信側統計処理部は入力されたパケットが統計エントリ1500n-2に一致するフローであると判断する。受信側または送信側統計処理部は、統計エントリ1500n-2に対し、後述の登録指示と判定結果登録指示の設定を行う。後述の設定例では、SIP7かつ判定結果がTTL超過のみのフローに対する統計エントリ15009を登録し、SIP7かつ判定結果がTTL超過以外の統計エントリの登録を抑止することができる。 Statistics entry 15009 is not registered when the SIP7 flow starts communication. When a packet exceeding SIP7 and TTL is input, the receiving side or transmitting side statistical processing unit determines that the input packet is a flow matching the statistical entry 1500n-2. The receiving side or transmitting side statistical processing unit sets the registration instruction and the determination result registration instruction, which will be described later, for the statistical entry 1500n-2. In the setting example described later, it is possible to register a statistical entry 15009 for a flow having SIP7 and a judgment result exceeding TTL only, and to suppress registration of a statistical entry having SIP7 and a judgment result other than TTL exceeding.

また、SIP8のフローが通信開始した時点では統計エントリ1500Aは登録されていない。SIP8のパケットが入力されると、受信側または送信側統計処理部は、入力されたパケットが統計エントリ1500n-1に一致するフローであると判断する。受信側統計処理部または送信側統計処理部は、統計エントリ1500n-1に対し、後述の登録指示の設定を行うことで、SIP8について判定結果は任意のフローに対する統計エントリ1500Aを登録することができる。 In addition, statistical entry 1500A is not registered when the SIP8 flow starts communication. When a SIP8 packet is input, the receiving or transmitting statistical processing unit determines that the input packet is a flow that matches the statistical entry 1500n-1. The receiving side statistical processing unit or the transmitting side statistical processing unit can register the statistical entry 1500A for any flow as the judgment result for SIP8 by setting the registration instruction described later for the statistical entry 1500n-1. ..

SIP7またはSIP8以外のフローが通信開始した場合も、通信開始時点では統計エントリ15001~統計エントリ15008は登録されていない。SIP7またはSIP8以外のパケットを入力すると統計エントリ1500nに一致する。統計エントリ1500nに対し、後述の登録指示と判定結果登録指示の設定を行うことで、統計エントリ15001~統計エントリ15008を設定に基づき登録することができる。 Even if a flow other than SIP7 or SIP8 starts communication, statistics entry 15001 to statistics entry 15008 are not registered at the time of communication start. Entering a packet other than SIP7 or SIP8 matches statistics entry 1500n. By setting the registration instruction and the judgment result registration instruction described later for the statistic entry 1500n, the statistic entry 15001 to the statistic entry 15008 can be registered based on the setting.

図11は、統計処理判定テーブルの構成例を示す図である。
統計処理判定テーブル1501は、統計処理判定エントリ1 15011~統計処理判定エントリn 1501nで構成する。統計処理判定エントリは、登録指示フラグ150111、判定結果登録フラグ150112、カウント指示フラグ15011で構成する。
受信側統計処理部150において、入力されたパケットのパケットヘッダ情報が、統計処理判定エントリに対応する統計エントリに登録された条件と一致し、さらに登録指示フラグ150111が1である場合には、当該の統計エントリは登録用のエントリとなる。受信側統計処理部150は、制御CPU160に対しパケットヘッダ情報300に相当するフローが一致する統計エントリの登録を指示する。登録する統計エントリの登録アドレスは、統計テーブル1500において統計エントリが未登録のアドレスのうち最若番アドレスとする。登録指示フラグ150111が0である場合には、統計エントリの登録処理は行わない。
FIG. 11 is a diagram showing a configuration example of the statistical processing determination table.
The statistical processing judgment table 1501 is composed of statistical processing judgment entry 1 15011 to statistical processing judgment entry n 1501n. The statistical processing judgment entry is composed of the registration instruction flag 150111, the judgment result registration flag 150112, and the count instruction flag 15011.
When the packet header information of the input packet in the receiving side statistical processing unit 150 matches the condition registered in the statistical entry corresponding to the statistical processing judgment entry, and the registration instruction flag 150111 is 1, the corresponding The statistical entry of is an entry for registration. The receiving-side statistical processing unit 150 instructs the control CPU 160 to register a statistical entry whose flow corresponds to the packet header information 300. The registered address of the statistical entry to be registered is the youngest address among the addresses in which the statistical entry is not registered in the statistical table 1500. If the registration instruction flag 150111 is 0, the statistical entry is not registered.

判定結果登録フラグ150112は、登録指示フラグが1である場合に有効となる。統計処理判定エントリに対応する統計エントリにパケットヘッダ情報300が一致した場合に、判定結果登録フラグ150112が1である場合には、エントリ登録時に当該のパケットヘッダ情報300に対する判定結果150011を含めてエントリ登録する。
カウント指示フラグは、登録指示フラグが0である場合に有効となる。統計処理判定エントリに対応する統計エントリにパケットヘッダ情報300が一致した場合に、カウント指示フラグが1である場合には、当該の統計エントリは統計カウント用のエントリとなり、統計処理判定エントリに対応するカウンタテーブル1502のカウンタエントリ15021のカウンタを加算処理する。
例えば、統計エントリ15001~統計エントリ1500Aは統計カウント用のエントリであるから、登録指示フラグは0、判定結果登録指示フラグは0、カウント指示フラグは1に設定する。統計エントリ1500n-2、統計エントリ1500n-1は判定結果を含めた登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは1、カウント指示フラグは0に設定する。統計エントリ1500nは判定結果を含めない登録用のエントリであるから、登録指示フラグは1、判定結果登録指示フラグは0、カウント指示フラグは0に設定する。
The determination result registration flag 150112 is valid when the registration instruction flag is 1. Statistical processing If the packet header information 300 matches the statistical entry corresponding to the judgment entry and the judgment result registration flag 150112 is 1, the entry including the judgment result 150011 for the packet header information 300 at the time of entry registration is included. sign up.
The count instruction flag is valid when the registration instruction flag is 0. If the packet header information 300 matches the statistical entry corresponding to the statistical processing judgment entry and the count instruction flag is 1, the relevant statistical entry becomes an entry for statistical counting and corresponds to the statistical processing judgment entry. The counter of the counter entry 15021 of the counter table 1502 is added.
For example, since statistical entry 15001 to statistical entry 1500A are entries for statistical counting, the registration instruction flag is set to 0, the judgment result registration instruction flag is set to 0, and the count instruction flag is set to 1. Since the statistical entry 1500n-2 and the statistical entry 1500n-1 are entries for registration including the judgment result, the registration instruction flag is set to 1, the judgment result registration instruction flag is set to 1, and the count instruction flag is set to 0. Since the statistical entry 1500n is an entry for registration that does not include the judgment result, set the registration instruction flag to 1, the judgment result registration instruction flag to 0, and the count instruction flag to 0.

図12は、カウンタテーブルの構成例を示す図である。
カウンタテーブル1502は、カウンタエントリ1 15021~カウンタエントリn 1502nで構成する。カウンタエントリは、パケットカウンタ150211、Byteカウンタ150212、前回統計採取時刻150213、タイムアウト時間150214で構成する。
FIG. 12 is a diagram showing a configuration example of the counter table.
The counter table 1502 is composed of counter entry 1 15021 to counter entry n 1502n. The counter entry consists of a packet counter 150211, a Byte counter 150212, a previous statistics collection time 150213, and a timeout time 150214.

統計エントリにパケットヘッダ情報300が一致した場合に、対応する統計処理判定エントリのカウント指示フラグが1である場合には、当該の統計エントリは統計カウント用のエントリとなり、統計処理判定エントリに対応するカウンタテーブル1502のカウンタエントリ15021のパケットカウンタ150211に1を加算処理し、Byteカウンタ150212にパケットヘッダ情報300のByte長303を加算処理し、前回統計採取時刻150213にタイマ1503が示す時刻情報を書き込みする。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差がタイムアウト時間150214より大である場合には、通信終了と判定する。 If the packet header information 300 matches the statistical entry and the count instruction flag of the corresponding statistical processing judgment entry is 1, the relevant statistical entry becomes an entry for statistical counting and corresponds to the statistical processing judgment entry. 1 is added to the packet counter 150211 of the counter entry 15021 of the counter table 1502, the Byte length 303 of the packet header information 300 is added to the Byte counter 150212, and the time information indicated by the timer 1503 is written to the previous statistics collection time 150213. .. If the difference between the current time information indicated by timer 1503 and the previous statistics collection time 150213 is larger than the timeout time 150214, it is determined that communication has ended.

以上に述べた処理のうち、統計エントリの登録と削除に関する処理の流れを、図17、図18、図19、図20のフローチャートを用いて説明する。なお、基本的に受信側統計処理部150での統計エントリの登録と削除を例に説明するが、送信側統計処理部200での統計エントリの登録と削除の処理の流れも同様である。 Among the processes described above, the flow of processes related to registration and deletion of statistical entries will be described with reference to the flowcharts of FIGS. 17, 18, 19, and 20. Basically, the registration and deletion of statistical entries in the receiving-side statistical processing unit 150 will be described as an example, but the flow of processing for registering and deleting statistical entries in the transmitting-side statistical processing unit 200 is also the same.

図17は、本発明の一実施例における統計エントリ登録処理のフローチャートである。
パケット中継装置100は、受信側統計処理部150でパケット受信(1701)すると、統計テーブル1500を受信パケットで検索(1702)する。検索結果、一致エントリの有無を判定(1703)し、一致エントリが無かった場合は受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
一致エントリが有る場合は統計テ-ブル1500の一致エントリに対応する統計処理判定テーブル1501の統計判定処理エントリを読み出し(1704)する。読み出した統計処理判定エントリの登録指示フラグが1であるか否かを判定(1705)し、登録指示フラグが1でない場合は、受信パケットに対する統計エントリは登録不要(1712)であり、統計エントリ登録の処理を終了する。
登録指示フラグが1である場合は、制御CPU160にエントリ登録要求を送信する。この際、受信パケットヘッダと判定結果を合わせて送信(1706)する。
FIG. 17 is a flowchart of the statistical entry registration process according to the embodiment of the present invention.
When the packet relay device 100 receives a packet (1701) on the receiving side statistical processing unit 150, the packet relay device 100 searches the statistical table 1500 with the received packet (1702). As a result of the search, it is determined whether or not there is a match entry (1703), and if there is no match entry, the statistical entry for the received packet does not need to be registered (1712), and the processing for registering the statistical entry ends.
If there is a match entry, the statistical judgment processing entry in the statistical processing judgment table 1501 corresponding to the matching entry in the statistical table 1500 is read (1704). It is determined whether or not the registration instruction flag of the read statistical processing judgment entry is 1 (1705), and if the registration instruction flag is not 1, the statistical entry for the received packet does not need to be registered (1712) and the statistical entry is registered. Ends the processing of.
If the registration instruction flag is 1, an entry registration request is sent to the control CPU 160. At this time, the received packet header and the determination result are combined and transmitted (1706).

制御CPU160がエントリ登録要求を受信すると、統計エントリ登録を行うための統計テーブル1500の空きエントリを検索(1707)する。この際、統計テーブル1500に空きエントリが複数ある場合は、統計テーブル1500のアドレスのうち最も若番アドレスの空きエントリを登録用空きエントリとして検索する。検索の結果、空きエントリの有無を判定(1708)し、空きエントリが無かった場合は、統計テーブル1500に空きエントリ無しで登録不可(1713)であり、統計エントリ登録の処理を終了する。
空きエントリが有った場合は、統計処理判定テーブル1501のエントリ登録として、統計テーブル1500の登録用空きエントリに対応する登録処理判定テーブル1501の統計処理判定エントリに、登録フラグ=0の統計処理判定エントリを登録(1709)して、統計エントリ登録の処理を終了する。
次に、統計テーブル1500のエントリ登録として、統計テーブル1500の登録用空きエントリに受信パケットヘッダと判定結果を書き込み、統計エントリを登録(1710)して登録終了
(1711)する。
When the control CPU 160 receives the entry registration request, it searches (1707) a free entry in the statistics table 1500 for registering a statistical entry. At this time, if there are a plurality of free entries in the statistics table 1500, the free entry of the youngest address among the addresses in the statistics table 1500 is searched as a free entry for registration. As a result of the search, it is determined whether or not there is a free entry (1708), and if there is no free entry, it cannot be registered in the statistics table 1500 without a free entry (1713), and the process of registering the statistical entry is terminated.
If there is a free entry, as an entry registration of the statistical processing judgment table 1501, the statistical processing judgment of the registration flag = 0 in the statistical processing judgment entry of the registration processing judgment table 1501 corresponding to the free entry for registration of the statistical table 1500. Register the entry (1709) and finish the process of registering the statistical entry.
Next, as the entry registration of the statistics table 1500, the received packet header and the judgment result are written in the free entry for registration of the statistics table 1500, the statistics entry is registered (1710), and the registration is completed.
(1711).

図18は、本発明の一実施例におけるパケット受信を契機とする統計エントリ削除処理のフローチャートである。
パケット中継装置100は、受信側統計処理部150でパケット受信(1801)すると、受信パケットはTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1であるか否かを判定(1802)する。受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たさない場合は、通信終了していないため削除不要(1814)であり、統計エントリ削除の処理を終了する。
受信パケットがTCPパケットかつTCPフラグのFINフラグ(通信終了を示すフラグ)=1という条件を満たす場合は、受信パケットの統計採取処理(1803)をする。
受信パケットの統計採取処理(1803)を終了すると、制御CPU160にエントリ削除要求を送信する。この際、受信パケットヘッダを送信(1804)する。
次に、統計エントリの削除回数を示す変数iを0に設定(1805)する。
次に、制御CPU160が統計テーブル1500の削除エントリの検索として、受信パケットヘッダに一致する統計エントリを検索(1806)する。検索結果、一致エントリ、つまり削除対象とする削除エントリが統計テーブル1500に存在するか否かを判定(1807)する。削除エントリが無かった場合は、i=0でないか否かを判定(1815)し、i=0であった場合は削除エントリ無しで非削除終了(1817)であり、統計エントリ削除の処理を終了する。i=0でなかった場合は、削除エントリ有りで削除終了(1816)する。
1807の削除エントリの有無の判定で、削除エントリが有った場合は、制御CPU160が統計テーブル1500の削除エントリを削除(1808)する。
次に、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを読み出し(1809)する。
次に、読み出した統計処理判定エントリの統計値を制御CPU160に送信(1810)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(1811)する。
次に、制御CPU160が統計処理判定テーブル1501のエントリ削除として、統計テーブル1500の削除エントリに対応する統計処理判定テーブル1501の統計処理判定エントリを削除(1812)する。
次に、iに1を加算処理(1813)し、1806の処理をする。
FIG. 18 is a flowchart of the statistical entry deletion process triggered by packet reception in the embodiment of the present invention.
When the packet relay device 100 receives a packet (1801) by the receiving side statistical processing unit 150, the packet relay device 100 determines whether or not the received packet is a TCP packet and the FIN flag (flag indicating the end of communication) = 1 of the TCP flag (1802). do. If the received packet is a TCP packet and does not meet the condition that the TCP flag FIN flag (flag indicating the end of communication) = 1, it is not necessary to delete (1814) because the communication has not ended, and the process of deleting the statistical entry ends. ..
If the received packet is a TCP packet and the condition of the TCP flag FIN flag (flag indicating the end of communication) = 1 is satisfied, the received packet statistics collection process (1803) is performed.
When the statistics collection process (1803) for received packets is completed, an entry deletion request is sent to the control CPU 160. At this time, the received packet header is transmitted (1804).
Next, set the variable i, which indicates the number of deletions of statistical entries, to 0 (1805).
Next, the control CPU 160 searches for the statistics entry that matches the received packet header (1806) as a search for the deletion entry in the statistics table 1500. As a result of the search, it is determined whether or not a matching entry, that is, a deleted entry to be deleted exists in the statistical table 1500 (1807). If there is no deletion entry, it is determined whether i = 0 or not (1815), and if i = 0, the non-deletion is completed without the deletion entry (1817), and the processing of deleting the statistical entry is completed. do. If i = 0, the deletion is completed (1816) with a deletion entry.
If there is a delete entry in the judgment of the presence or absence of the delete entry in 1807, the control CPU 160 deletes the delete entry in the statistical table 1500 (1808).
Next, the statistical processing judgment entry of the statistical processing judgment table 1501 corresponding to the deletion entry of the statistical table 1500 is read (1809).
Next, the statistical value of the read statistical processing judgment entry is transmitted (1810) to the control CPU 160.
Next, the statistical value received by the control CPU 160 is transmitted (1811) to the analyzer 500.
Next, the control CPU 160 deletes the statistical processing judgment entry of the statistical processing judgment table 1501 corresponding to the deletion entry of the statistical table 1500 (1812) as the entry deletion of the statistical processing judgment table 1501.
Next, 1 is added to i (1813), and 1806 is processed.

図19(a)(b)は、本発明の一実施例におけるタイムアウトを契機とする統計エントリ削除処理のフローチャートである。
パケット中継装置100は、タイムアウト契機の場合は、統計処理判定エントリ毎に一定の周期で、統計処理判定エントリ毎の通信終了の有無をタイムアウト判定する。タイムアウト時間150214は、統計処理判定エントリ毎に設定可能である。本実施例では、特定のフローに関する統計エントリを判定結果毎に備えるため、特定の判定結果に関する統計処理判定エントリでタイムアウトとなった場合でも、そのフローに対する別の判定結果に関する統計処理判定エントリはタイムアウトとならず通信が継続している可能性がある。判定結果によらずフロー毎の統計として管理するには、判定結果毎に備える統計エントリ毎のエントリ削除ではなく、特定のフローについての判定結果が異なる複数の統計エントリを一括でエントリ削除することが望ましい。そのため、ある統計処理判定エントリでタイムアウトと判定した場合に、即時にその統計判定処理エントリを削除するのではなく、フローが一致する他の統計処理判定エントリのタイムアウトを判定し、フローが一致する他の統計処理判定エントリの全てがタイムアウトと判定した場合に、当該の統計処理判定エントリ、およびこれらに対応する全ての統計エントリを削除する。
19 (a) and 19 (b) are flowcharts of the statistical entry deletion process triggered by the timeout in the embodiment of the present invention.
In the case of a timeout trigger, the packet relay device 100 determines whether or not communication has ended for each statistical processing determination entry at a fixed cycle for each statistical processing determination entry. The timeout time 150214 can be set for each statistical processing determination entry. In this embodiment, since a statistical entry for a specific flow is provided for each judgment result, even if a statistical processing judgment entry for a specific judgment result times out, the statistical processing judgment entry for another judgment result for that flow times out. There is a possibility that communication is continuing. In order to manage as statistics for each flow regardless of the judgment result, it is possible to delete multiple statistical entries with different judgment results for a specific flow at once instead of deleting the entries for each statistical entry prepared for each judgment result. desirable. Therefore, when a certain statistical processing judgment entry determines that a timeout occurs, the timeout of other statistical processing judgment entries that match the flow is determined instead of immediately deleting the statistical processing judgment entry, and the flow matches. When it is determined that all of the statistical processing judgment entries in the above have timed out, the relevant statistical processing judgment entry and all the corresponding statistical entries are deleted.

次に、タイムアウトを契機とする統計エントリ削除処理の詳細を説明する。
まず、パケット中継装置100は、統計処理判定エントリのエントリ番号を示す変数iに0を設定(1901)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(1902)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(1927)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(1928)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリはタイムアウトのチェック時刻ではないため、削除不要(1929)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び1902の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び1927の加算処理をし、1928の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(1903)する。
Next, the details of the statistical entry deletion process triggered by the timeout will be described.
First, the packet relay device 100 sets 0 (1901) in the variable i indicating the entry number of the statistical processing determination entry.
Next, it is determined (1902) whether or not the current time information indicated by the timer 1503 is the time for checking the timeout related to the determination of the end of communication regarding the statistical processing determination entry i (1902). If statistical processing judgment entry 0 is not the time to check the timeout, 1 is added to i (1927) to determine whether i has reached the maximum value n of the statistical processing judgment entry number (1928). do. When i reaches the maximum value n of the statistical processing judgment entry number, it is unnecessary to delete (1929) because all the statistical processing judgment entries are not the check time of the timeout, and the processing of deleting the statistical processing entry is terminated. If i does not reach the maximum value n of the statistical processing judgment entry number, the judgment processing of 1902 is performed again. If the statistical processing judgment entry i is not the time when the timeout should be checked, the addition processing of 1927 is performed again and the judgment processing of 1928 is performed.
When the statistical processing judgment entry i is the time when the timeout should be checked, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (1903).

次に、タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(1904)する。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大でない場合は、通信終了しておらずエントリ削除不要(1929)と判定する。
タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、統計テーブル1500の統計エントリiを読み出し(1905)する。
Next, it is determined whether the difference between the current time information indicated by the timer 1503 and the previous statistics collection time 150213 is larger than the timeout time of the statistical processing determination entry i (1904). If the difference between the current time information indicated by timer 1503 and the previous statistics collection time 150213 is not greater than the timeout time of statistical processing judgment entry i, it is judged that communication has not ended and entry deletion is unnecessary (1929).
If the difference between the current time information indicated by the timer 1503 and the previous statistics collection time 150213 is larger than the timeout time of the statistical processing judgment entry i, the statistical entry i of the statistical table 1500 is read (1905).

次に、統計テーブル1500に存在する、統計エントリiに設定したパケットヘッダ情報と一致する統計エントリ数に関する変数jを0に設定し、統計エントリjのアドレスADR(j)に関し、便宜上ADR(0)=-1に設定(1906)する。
次に、統計エントリiのパケットヘッダ情報の設定値で、統計テーブル1500のADR(j)+1以降のアドレスを検索(1907)する。1906の処理でj=0に設定した場合は、ADR(0)=-0であるため、ADR(0)+1=0アドレス以降、つまり統計テーブル1500の全アドレスを検索対象とする。
検索結果、一致エントリがあった場合は、ADR(j)=一致エントリのアドレスに設定(1909)する。1906の処理でj=0に設定した場合は、ADR(0)= 一致エントリのアドレスに設定する。
次に、jに1を加算処理(1910)する。
Next, set the variable j regarding the number of statistical entries that matches the packet header information set in the statistical entry i in the statistical table 1500 to 0, and set the address ADR (j) of the statistical entry j to ADR (0) for convenience. Set to = -1 (1906).
Next, the address after ADR (j) +1 in the statistics table 1500 is searched (1907) by the setting value of the packet header information of the statistics entry i. When j = 0 is set in the processing of 1906, ADR (0) =-0, so the search target is all addresses after ADR (0) + 1 = 0, that is, all addresses in the statistical table 1500.
If there is a match entry as a result of the search, set ADR (j) = address of the match entry (1909). When j = 0 is set in the processing of 1906, ADR (0) = is set to the address of the matching entry.
Next, 1 is added to j (1910).

次に、ADR(j)にADR(j-1)を代入する。1906の処理でj=0に設定した場合は、1910の加算処理の結果j=1とし、ADR(1)にADR(0)、つまり前回の1907での検索結果の一致エントリのアドレスを代入する。そして、再び1907の処理をする。
1908の判定結果、一致エントリ無しの場合は、統計エントリiのフローに一致する全ての一致エントリのアドレスADR(j)が判明し、j=0でないか否か判定(1912)する。j=0であった場合は、統計エントリiのパケットヘッダ情報で統計テーブル1500を検索しても統計エントリiを含め一致する統計エントリiが存在しないという矛盾が生じるため、異常終了(1930)と判定し、統計エントリ削除の処理を終了する。
j=0でなかった場合は、全ての一致エントリに関するタイムアウトを判定するための変数kを0に設定(1913)する。
次に、タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(1914)し、大でない場合は通信終了しておらずエントリ削除不要(1931)と判定し、統計エントリ削除の処理を終了する。
タイマ1503が示す現在時刻情報と統計処理判定エントリkの前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大である場合は、kに1を加算処理(1915)する。
Next, ADR (j-1) is substituted for ADR (j). When j = 0 is set in the processing of 1906, the result of the addition processing of 1910 is set to j = 1, and ADR (0), that is, the address of the matching entry of the search result in the previous 1907 is assigned to ADR (1). .. Then, the processing of 1907 is performed again.
As a result of the determination in 1908, if there is no matching entry, the addresses ADR (j) of all matching entries that match the flow of the statistical entry i are found, and it is determined whether or not j = 0 (1912). If j = 0, there is a contradiction that there is no matching statistic entry i including the statistic entry i even if the statistic table 1500 is searched in the packet header information of the statistic entry i, so it ends abnormally (1930). Judge and end the process of deleting statistical entries.
If j = 0, the variable k for determining the timeout for all matching entries is set to 0 (1913).
Next, it is determined whether the difference between the current time information indicated by the timer 1503 and the previous statistical collection time 150213 of the statistical processing judgment entry k is larger than the timeout time of the statistical processing judgment entry i (1914). It is determined that the entry deletion is unnecessary (1931), and the processing for deleting the statistical entry is terminated.
If the difference between the current time information indicated by timer 1503 and the previous statistics collection time 150213 of the statistical processing judgment entry k is larger than the timeout time of the statistical processing judgment entry i, 1 is added to k (1915).

次に、kがj+1に等しいか否か判定(1916)し、等しくない場合は全ての一致エントリのタイムアウト判定を完了していないため、再び1914の判定処理をする。
kがj+1に等しい場合は、全ての一致エントリのタイムアウト判定を完了し、全ての一致エントリがタイムアウトと判定されたことになるため、全ての一致エントリの削除処理をするため、エントリ削除に関する変数mに0を設定(1917)する。
次に、制御CPU160に統計エントリm(アドレスADR(m))の削除要求を送信(1918)する。
次に、制御CPU160が統計テーブル1500の統計エントリmを削除(1919)する。
次に、統計処理判定テーブル1501の統計処理判定エントリmを読み出し(1920)する。
次に、読み出した統計処理判定エントリmの統計値を制御CPU160に送信(1921)する。
次に、制御CPU160が受信した統計エントリmの統計値をアナライザ500へ送信(1922)する。
次に、制御CPU160が統計処理判定テーブル1501の統計処理判定エントリmを削除(1923)する。
次に、mに1を加算処理(1924)する。
次に、m=j+1であるか否か判定(1925)する。
m=j+1でない場合は、全ての一致エントリの削除を完了していないため、再び1918の処理をする。
m=j+1である場合は、全ての一致エントリの削除を完了したため、削除終了(1926)と判定し、統計エントリ削除の処理を終了する。
Next, it is determined whether or not k is equal to j + 1 (1916), and if it is not equal, the timeout determination of all matching entries has not been completed, so the determination process of 1914 is performed again.
If k is equal to j + 1, it means that the timeout determination of all matching entries has been completed and all matching entries have been determined to be timeouts. Therefore, all matching entries are deleted. Set the variable m to 0 (1917).
Next, a request to delete the statistical entry m (address ADR (m)) is sent (1918) to the control CPU 160.
The control CPU 160 then deletes (1919) the statistic entry m in the statistic table 1500.
Next, the statistical processing judgment entry m in the statistical processing judgment table 1501 is read (1920).
Next, the statistical value of the read statistical processing judgment entry m is transmitted (1921) to the control CPU 160.
Next, the statistical value of the statistical entry m received by the control CPU 160 is transmitted (1922) to the analyzer 500.
Next, the control CPU 160 deletes (1923) the statistical processing judgment entry m in the statistical processing judgment table 1501.
Next, 1 is added to m (1924).
Next, it is determined whether or not m = j + 1 (1925).
If m = j + 1, it means that the deletion of all matching entries has not been completed, so 1918 is processed again.
When m = j + 1, since the deletion of all matching entries is completed, it is determined that the deletion is completed (1926), and the processing of deleting the statistical entry is terminated.

図20は、本発明の一実施例におけるタイムアウトを契機とする統計エントリ削除処理のフローチャートである。
図20に示す統計エントリ削除処理は、図19に示した統計エントリ削除処理の簡易版である。簡易版フローチャートでは、統計処理判定エントリ毎に一定の周期で、通信終了の有無をタイムアウト判定する。判定の結果、タイムアウトとなった場合にはその統計処理判定エントリを削除する。削除した統計処理エントリと同じフローに対する別の判定結果に関する統計処理判定エントリではタイムアウトとならず通信が継続している可能性はあるが、図20の削除処理ではフロー毎の統計エントリの管理はせず判定結果毎の統計エントリの管理とすることで、統計エントリの削除処理を簡易化する。
FIG. 20 is a flowchart of the statistical entry deletion process triggered by the timeout in the embodiment of the present invention.
The statistical entry deletion process shown in FIG. 20 is a simplified version of the statistical entry deletion process shown in FIG. In the simplified version of the flowchart, the presence or absence of communication termination is time-out determined at a fixed cycle for each statistical processing determination entry. If the result of the judgment results in a timeout, the statistical processing judgment entry is deleted. There is a possibility that the statistical processing judgment entry related to another judgment result for the same flow as the deleted statistical processing entry does not time out and communication continues, but in the deletion processing of FIG. 20, the statistical entry for each flow is managed. By managing the statistical entries for each judgment result, the deletion process of the statistical entries is simplified.

フローチャートを用いて図20のタイムアウト契機の統計エントリ削除処理の詳細を説明する。
まず、統計処理判定エントリのエントリ番号を示す変数iに0を設定(2001)する。
次に、タイマ1503が示す現在の時刻情報が、統計処理判定エントリiに関する通信終了の判定に関わるタイムアウトをチェックすべき時刻であるか否かを判定(2002)する。統計処理判定エントリ0がタイムアウトをチェックすべき時刻でない場合には、iに1を加算処理(2012)し、iが統計処理判定エントリ番号の最大値nに達したか否かを判定(2013)する。iが統計処理判定エントリ番号の最大値nに達した場合は、全ての統計処理判定エントリのタイムアウトのチェック時刻ではないため、削除不要(2014)であり、統計エントリ削除の処理を終了する。iが統計処理判定エントリ番号の最大値nに達していない場合は、再び2002の判定処理をする。統計処理判定エントリiがタイムアウトをチェックすべき時刻でない場合には、再び2012の加算処理をし、2013の判定処理をする。
統計処理判定エントリiがタイムアウトをチェックすべき時刻である場合には、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2003)する。
次に、タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大であるか判定(2004)する。タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリiのタイムアウト時間より大でない場合は、通信終了しておらずエントリ削除不要(2014)と判定する。
The details of the statistical entry deletion process of the timeout trigger of FIG. 20 will be described with reference to the flowchart.
First, 0 is set in the variable i indicating the entry number of the statistical processing judgment entry (2001).
Next, it is determined whether or not the current time information indicated by the timer 1503 is the time for checking the timeout related to the determination of the end of communication regarding the statistical processing determination entry i (2002). If statistical processing judgment entry 0 is not the time to check the timeout, 1 is added to i (2012) to determine whether i has reached the maximum value n of the statistical processing judgment entry number (2013). do. When i reaches the maximum value n of the statistical processing judgment entry number, it is not necessary to delete the statistical processing judgment entry because it is not the check time of the timeout of all the statistical processing judgment entries (2014), and the processing of deleting the statistical processing judgment is terminated. If i does not reach the maximum value n of the statistical processing judgment entry number, the judgment processing of 2002 is performed again. If the statistical processing judgment entry i is not the time when the timeout should be checked, the addition processing of 2012 is performed again and the judgment processing of 2013 is performed.
When the statistical processing judgment entry i is the time when the timeout should be checked, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (2003).
Next, it is determined whether the difference between the current time information indicated by the timer 1503 and the previous statistics collection time 150213 is larger than the timeout time of the statistical processing determination entry i (2004). If the difference between the current time information indicated by timer 1503 and the previous statistics collection time 150213 is not greater than the timeout time of statistical processing judgment entry i, it is judged that communication has not ended and entry deletion is unnecessary (2014).

タイマ1503が示す現在時刻情報と前回統計採取時刻150213の差が統計処理判定エントリ
iのタイムアウト時間より大である場合は、制御CPU160にエントリ削除要求、つまり統計テーブル1500の統計エントリ削除の要求を送信(2005)する。
次に、制御CPU160が統計テーブル1500の統計エントリiを削除(2006)する。
次に、統計処理判定テーブル1501の統計処理判定エントリiを読み出し(2007)する。
次に、読み出した統計処理判定エントリiの統計値を制御CPU160に送信(2008)する。
次に、制御CPU160が受信した統計値をアナライザ500へ送信(2009)する。
次に、制御CPU160が統計処理判定エントリiを削除(2010)する。
次に、削除終了(2011)と判定し、統計エントリ削除の処理を終了する。
The difference between the current time information indicated by timer 1503 and the previous statistics collection time 150213 is the statistical processing judgment entry.
If it is greater than the timeout period of i, it sends an entry deletion request to the control CPU 160, that is, a request to delete the statistics entry in the statistics table 1500 (2005).
The control CPU 160 then deletes the statistics entry i in the statistics table 1500 (2006).
Next, the statistical processing judgment entry i of the statistical processing judgment table 1501 is read (2007).
Next, the read statistical value of the statistical processing judgment entry i is transmitted to the control CPU 160 (2008).
Next, the statistical value received by the control CPU 160 is transmitted to the analyzer 500 (2009).
Next, the control CPU 160 deletes the statistical processing judgment entry i (2010).
Next, it is determined that the deletion is completed (2011), and the processing for deleting the statistical entry is terminated.

以上説明した本発明のパケット中継装置100によれば、以下のフロー統計の攻撃分析上の課題を解決できる。 According to the packet relay device 100 of the present invention described above, the following problems in attack analysis of flow statistics can be solved.

アナライザに対する負荷を抑えるため、パケット中継装置100の判定結果が攻撃となったフローだけを統計カウントの対象としたい場合を考える。パケットヘッダ情報300のみに基づいて攻撃であるか否かを判定することはできないため、パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、パケット中継装置100の判定結果が攻撃となったフローだけを統計エントリとして登録することができなかった。そのため、統計カウントの対象とする必要のないフローも統計エントリとして登録してしまうので、統計テーブル、統計処理判定テーブル、カウンタテーブルの資源を消費してしまい非効率的であるという課題があった。本実施例のパケット中継装置100によれば、パケット中継装置100の判定結果が攻撃となったフローだけを統計エントリとして登録できるので、上述の課題を解決できる。 In order to reduce the load on the analyzer, consider a case where it is desired to count only the flow in which the judgment result of the packet relay device 100 is an attack. Since it is not possible to determine whether or not an attack is based only on the packet header information 300, the determination result of the packet relay device 100 is an attack in the conventional flow statistical technique that counts based on the packet header information 300. Only the flow could not be registered as a statistic entry. Therefore, since the flow that does not need to be the target of the statistical count is also registered as the statistical entry, there is a problem that the resources of the statistical table, the statistical processing judgment table, and the counter table are consumed, which is inefficient. According to the packet relay device 100 of the present embodiment, only the flow in which the determination result of the packet relay device 100 is an attack can be registered as a statistical entry, so that the above-mentioned problem can be solved.

また、攻撃通信と正常通信が同時に行われている場合に、パケット中継装置100のフロー統計エントリが枯渇しそうな状態になると、攻撃通信の統計を優先的にカウント対象として分析する必要があるが、パケットヘッダ情報に基づいてカウントする従来のフロー統計技術では攻撃通信に関する統計と正常通信の統計を区別できないので、攻撃通信を優先的に統計カウントできないという課題がある。本実施例のパケット中継装置100によれば、攻撃通信に関する統計と正常通信の統計を判定結果によって区別して登録することができるので、例えば統計テーブル1500において攻撃通信に関する統計エントリ用のアドレス空間を正常通信に関する統計エントリ用のアドレス空間よりも広くなるように初期設定で確保することで、攻撃通信を正常通信よりも優先してカウント対象とすることができる。または、統計テーブル1500の未使用のアドレス空間が一定以下となった場合には制御CPU160において正常通信の登録を受け付けない制御としたり、正常通信用の統計エントリの登録指示フラグを0に書き換えることにより、攻撃通信を正常通信よりも優先してカウント対象とすることができる。 In addition, when attack communication and normal communication are being performed at the same time and the flow statistics entries of the packet relay device 100 are likely to be exhausted, it is necessary to analyze the attack communication statistics as a priority count target. Since the conventional flow statistics technique that counts based on the packet header information cannot distinguish between the statistics on attack communication and the statistics on normal communication, there is a problem that the statistics cannot be preferentially counted for attack communication. According to the packet relay device 100 of this embodiment, the statistics related to attack communication and the statistics related to normal communication can be registered separately according to the determination result. Therefore, for example, in the statistical table 1500, the address space for statistical entries related to attack communication is normally set. By ensuring that the address space is wider than the address space for statistical entries related to communication by default, attack communication can be counted with priority over normal communication. Alternatively, if the unused address space of the statistics table 1500 falls below a certain level, the control CPU 160 may not accept registration of normal communication, or the registration instruction flag of the statistics entry for normal communication may be rewritten to 0. , Attack communication can be counted with priority over normal communication.

また、通信の送信元情報を詐称して攻撃を行う送信元詐称攻撃に対し、パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、詐称された攻撃に関する統計と正常な通信の統計を区別してカウントすることができないので、詐称された攻撃に関するフロー統計を提供できないという課題があった。特に詐称されたパケットでは、送信元IPアドレスは攻撃の標的のIPアドレスを示し、宛先IPアドレスは攻撃に利用するIPアドレスを示すので、詐称された攻撃に関するフロー統計を提供することで攻撃の詳細な分析が可能となる。本実施例のパケット中継装置100によれば、判定結果が送信元詐称攻撃であるフロー統計を提供できるので、上述の攻撃の詳細な分析が可能となる。 In addition, in the conventional flow statistics technique that counts based on the packet header information 300 against the source spoofing attack that spoofes the source information of the communication and attacks, the statistics on the spoofed attack and the statistics of normal communication are collected. Since it cannot be counted separately, there is a problem that it is not possible to provide flow statistics regarding spoofed attacks. Especially for spoofed packets, the source IP address indicates the target IP address of the attack and the destination IP address indicates the IP address used for the attack, so by providing flow statistics on the spoofed attack, the details of the attack Analysis is possible. According to the packet relay device 100 of the present embodiment, since the flow statistics whose determination result is the source spoofing attack can be provided, detailed analysis of the above-mentioned attack becomes possible.

また、多数の攻撃元から標的に対し大量のパケットを送信したり、持続的に長期間通信を行うことで標的のサービス継続を妨害するフラッド攻撃型のDDoS攻撃では、帯域が過大であるという条件でフロー統計をカウントして分析する必要がある。パケットヘッダ情報300に基づいてカウントする従来のフロー統計技術では、帯域によらずフロー統計をカウ
ントするので、統計エントリ毎のByteカウンタと統計を採取した時間情報からフロー毎の帯域またはバースト量をアナライザ500にて演算し、その後で帯域またはバースト量が過大であるフローに対する分析を行う必要があった。本来、アナライザ500にて演算する必要のない帯域またはバースト量の少ないフローに対する演算負荷がかかるという課題があった。本実施例のパケット中継装置100によれば、パケット中継装置100のフラッド攻撃判定部144で判定結果が帯域またはバースト量が過大であるフロー統計だけを登録してカウント対象とすることができるので、アナライザ500でフロー毎の帯域またはバースト量を演算する必要がなく、アナライザ500の演算負荷を低減できる。
In addition, a flood attack type DDoS attack that interferes with the service continuation of the target by sending a large number of packets to the target from a large number of attack sources or continuously communicating for a long period of time requires that the bandwidth is excessive. It is necessary to count and analyze the flow statistics in. In the conventional flow statistics technique that counts based on the packet header information 300, the flow statistics are counted regardless of the band, so the band or burst amount for each flow is analyzed from the Byte counter for each statistical entry and the time information for which the statistics were collected. It was necessary to calculate at 500 and then analyze the flow with excessive bandwidth or burst amount. Originally, there was a problem that a calculation load was applied to a flow having a band or a small burst amount that did not need to be calculated by the analyzer 500. According to the packet relay device 100 of this embodiment, the flood attack determination unit 144 of the packet relay device 100 can register only the flow statistics whose determination result is an excessive band or burst amount and count them. It is not necessary to calculate the band or burst amount for each flow with the analyzer 500, and the calculation load of the analyzer 500 can be reduced.

また、正常通信は5tupleのカウント対象条件でカウントすれば十分だが、攻撃通信は詳細に分析するためより多くのカウント対象条件でカウントしたい場合に、パケットヘッダ情報に基づいてカウントする従来のフロー統計技術では、攻撃の有無等の判定結果に基づいてカウント対象条件の数を増減することはできなかった。本実施例のパケット中継装置100によれば、図13の統計テーブル1500の構成図に示すように、判定結果150010が正常通信の統計エントリ15002ではSIP150011、DIP150012、PRT(L4プロトコル番号)150015、SPORT150013、DPORT150014の5tupleをカウント対象条件とし、判定結果150010が送信元詐称の攻撃通信の統計エントリではSIP150011、DIP150012、PRT150015、SPORT150013、DPORT150014に加え、L2情報150016、SIP・DIP・PRT以外のL3情報150017、SPORT・DPORT以外のL4情報150018をカウント対象条件とすることができる。これにより、攻撃通信の統計エントリはより詳細なカウント対象条件でカウントして詳細な統計分析を可能とする。カウント対象条件が増えると登録する統計エントリ数が増えてしまうので、正常通信の統計エントリは必要最小限の5tupleのカウント対象条件に留めることで、統計エントリの消費エントリ数を必要最小限に抑えることができる。 In addition, it is sufficient to count normal communication under the count target condition of 5 tuple, but when you want to count under more count target conditions for attack communication for detailed analysis, the conventional flow statistical technique that counts based on the packet header information. In, the number of count target conditions could not be increased or decreased based on the judgment result such as the presence or absence of an attack. According to the packet relay device 100 of this embodiment, as shown in the configuration diagram of the statistical table 1500 in FIG. 13, the determination result 150010 is SIP150011, DIP150012, PRT (L4 protocol number) 150015, SPORT150013 in the statistical entry 15002 of normal communication. , DPORT150014 5tuple is the count target condition, and the judgment result 150010 is SIP150011, DIP150012, PRT150015, SPORT150013, DPORT150014, L2 information 150016, L3 information other than SIP / DIP / PRT 150017 , L4 information 150018 other than SPORT / DPORT can be used as the counting target condition. As a result, the statistical entries of attack communication are counted under more detailed counting target conditions to enable detailed statistical analysis. Since the number of statistical entries to be registered increases as the count target condition increases, the number of consumption entries of the statistical entry should be minimized by limiting the number of statistical entries for normal communication to the minimum required 5 tuple count target condition. Can be done.

次に、本発明のパケット中継装置100を用いた冗長構成のC&Cサーバ(command and control server)(非特許文献3)の検知への適用例を説明する。 Next, an example of application to detection of a redundant C & C server (command and control server) (Non-Patent Document 3) using the packet relay device 100 of the present invention will be described.

図14は、本発明の一実施例の冗長C&Cサーバ検出シナリオにおける装置の接続関係を示す図である。
図14に示す例では、本実施例のパケット中継装置100を経由してマルウェア感染端末200がC&Cサーバ1 900に接続する構成を示している。
C&Cサーバ1のIPアドレスDIP1は、外部から入手した情報として既知であるものとし、パケット中継装置100のフィルタテーブル1420のフィルタエントリ1421のDIPにDIP1としてパケット中継装置100の管理者が初期設定で登録する。なお、DIP1はC&Cサーバ1というセキュリティ上の特性が既知の宛先IPアドレスであるため、DIP1と通信した端末を自動的に遮断するためDIP1をカウント対象条件として生成した統計エントリのSIPをフィルタエントリとして追加する、といったシナリオを事前に立てることができる。そのため、パケットヘッダ情報300がフィルタエントリ1421に一致した場合の判定結果はフィルタ(C&C)とし、C&Cサーバ通信というフィルタ要因が判定可能となるようにフィルタの判定結果の要因をコード化する。
FIG. 14 is a diagram showing a connection relationship of devices in a redundant C & C server detection scenario according to an embodiment of the present invention.
In the example shown in FIG. 14, the configuration in which the malware-infected terminal 200 connects to the C & C server 1 900 via the packet relay device 100 of this embodiment is shown.
It is assumed that the IP address DIP1 of the C & C server 1 is known as information obtained from the outside, and the administrator of the packet relay device 100 registers it as DIP1 in the DIP of the filter entry 1421 of the filter table 1420 of the packet relay device 100 by default. do. Since DIP1 is a destination IP address with known security characteristics of C & C server 1, the SIP of the statistical entry generated with DIP1 as the counting target condition is used as the filter entry in order to automatically block the terminal that communicated with DIP1. You can set up a scenario such as adding in advance. Therefore, when the packet header information 300 matches the filter entry 1421, the determination result is a filter (C & C), and the factor of the filter determination result is coded so that the filter factor of C & C server communication can be determined.

統計テーブル1500は図16に示すように、登録用の統計エントリ150026をパケット中継装置100の管理者が初期設定で設定しておく。統計エントリ150026は、判定結果150011がフィルタ(C&C)である任意のパケットヘッダ情報300が一致するカウント対象条件とする。マルウェアの感染端末200は感染端末が示す典型的な挙動として、自身が感染したことをC&Cサーバ1 900に伝達し、C&Cサーバ1 900からの命令の発行を促すコールバック通信をC&Cサーバ1 900に対し実行する。すると、コールバック通信はDIP=DIP1となるのでフィルタエントリ1421に一致し、本実施例のパケット中継装置の受信側/送信側判定部における判定結果はフィルタ(C&C)となる。従って、当該通信はフィルタされると共に、登録用の統計エントリ150026に一致するので、制御CPU160は統計カウント用の統計エントリ150027を
登録する。このとき、感染端末のIPアドレスをSIP1とし、統計カウント用の統計エントリ150027のSIP150011には、SIP1を設定する。登録用の統計エントリ150026に基づいて登録した統計カウント用の統計エントリ150027のカウンタにより、C&Cサーバ1 900に対しどのIPアドレスからどのようなプロトコルでどのような通信が行われようとしたかをアナライザに出力して分析することができる。
As shown in FIG. 16, in the statistics table 1500, the administrator of the packet relay device 100 sets the statistics entry 150026 for registration by default. Statistical entry 150026 is a count target condition in which arbitrary packet header information 300 whose determination result 150011 is a filter (C & C) matches. As a typical behavior of the infected terminal, the malware-infected terminal 200 notifies the C & C server 1 900 that it has been infected, and sends a callback communication to the C & C server 1 900 to prompt the C & C server 1 900 to issue an instruction. Execute against. Then, since the callback communication is DIP = DIP1, it matches the filter entry 1421, and the determination result in the receiving side / transmitting side determination unit of the packet relay device of this embodiment is the filter (C & C). Therefore, the communication is filtered and matches statistical entry 150026 for registration, so that the control CPU 160 registers statistical entry 150027 for statistical counting. At this time, the IP address of the infected terminal is set to SIP1, and SIP1 is set in SIP150011 of the statistic entry 150027 for statistic counting. The counter of the statistic entry 150027 for the statistic count registered based on the statistic entry 150026 for registration analyzes what kind of communication was attempted from which IP address to the C & C server 1 900 with what protocol. Can be output to and analyzed.

更に、登録用の統計エントリ150026に基づく登録処理を制御CPU160が実行する際に、当該パケットヘッダ情報300の判定結果がフィルタ(C&C)である場合には、制御CPU160は当該パケットヘッダ情報300のSIP1をSIPとする登録用エントリ150028を統計テーブル1500に登録する。これは、SIP1はC&Cサーバ通信を行おうとしたことからマルウェア感染済と判定したため、SIP1を送信元とする通信を監視するための統計エントリを登録するための登録用エントリである。非特許文献3に記載のような冗長構成のC&Cサーバの場合には、C&Cサーバ1 900との通信がフィルタにより遮断された場合、マルウェアに感染した感染端末800は図15に示すように、冗長化された代替のC&Cサーバ2 1000とのコールバック通信を試みる。すると、当該のコールバック通信は登録用の統計エントリ150028に一致するので、制御CPU160は統計カウント用の統計エントリ150029を登録する。統計エントリ150029のDIPは、C&Cサーバ2 1000のIPアドレスDIP2である。フィルタ(C&C)によって遮断後の感染端末800の通信の宛先IPアドレスが全て冗長化された代替のC&Cサーバであるとは限らないが被疑対象となるため、DIP2のIPアドレスをもつホストとの通信をアナライザで分析し、その結果C&Cサーバであるとパケット中継装置100の管理者が判定した場合は、管理者はフィルタテーブル1420にDIP2を宛先IPアドレスとするフィルタエントリを登録し、当該のフィルタエントリの判定結果をフィルタ(C&C)として設定する。 Further, when the control CPU 160 executes the registration process based on the statistical entry 150026 for registration, if the determination result of the packet header information 300 is a filter (C & C), the control CPU 160 is SIP1 of the packet header information 300. Register entry 150028 with SIP in the statistics table 1500. This is a registration entry for registering a statistical entry for monitoring communication originating from SIP1 because it was determined that SIP1 was infected with malware because it tried to perform C & C server communication. In the case of a redundant C & C server as described in Non-Patent Document 3, when communication with the C & C server 1 900 is blocked by a filter, the infected terminal 800 infected with malware is redundant as shown in FIG. Attempt callback communication with an alternative C & C server 2 1000. Then, since the callback communication corresponds to the statistical entry 150028 for registration, the control CPU 160 registers the statistical entry 150029 for the statistical count. The DIP of statistic entry 150029 is the IP address DIP2 of C & C Server 2 1000. Communication with a host with a DIP2 IP address because the destination IP addresses of the infected terminal 800 after being blocked by the filter (C & C) are not necessarily alternative C & C servers that are all redundant, but are subject to suspicion. If the administrator of the packet relay device 100 determines that it is a C & C server as a result, the administrator registers a filter entry with DIP2 as the destination IP address in the filter table 1420, and the relevant filter entry. Set the judgment result of as a filter (C & C).

特許請求の範囲に記載したもののほか、本発明の観点の代表的なものとして、次のものが挙げられる。
(1)パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有することを特徴とするパケット中継装置。
(2)上記(1)に記載のパケット中継装置であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継装置。
(3)上記(2)に記載のパケット中継装置であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種別を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継装置。
(4)上記(2)に記載のパケット中継装置であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継装置。
(5)上記(1)に記載のパケット中継装置であって、前記統計処理部は、登録用エントリと登録処理判定エントリとカウンタエントリを有し、前記登録用エントリに登録された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録処理判定エントリに設定された登録処理およびカウントを行うための条件に従って、登録エントリを設定し、フロー統計情報をカウントすることを特徴とするパケット中継装置。
(6)上記(1)に記載のパケット中継装置であって、前記統計処理部において、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継装置。
(7)ネットワーク間でパケットを中継する方法であって、送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力し、前記判定結果に関する情報と前記フロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(8)上記(7)に記載のパケット中継方法であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継方法。
(9)上記(8)に記載のパケット中継方法であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種類を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。
(10)上記(8)に記載のパケット中継方法であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継方法。
(11)上記(7)に記載のパケット中継方法であって、フロー識別情報に基づき識別したフローについて判定結果に関する情報の異なる複数のフロー統計情報を解析した結果に基づいて前記中継処理を制御するパケット中継方法。
In addition to those described in the claims, the following are typical examples from the viewpoint of the present invention.
(1) A packet relay device that has a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relays packets via a network.
The flow is identified based on the information included in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes, and the determination is made. A packet relay device comprising: a determination unit that includes information on a determination result in a packet header of a packet and outputs the information, and a statistical processing unit that counts flow statistical information based on the information on the determination result and the flow identification information.
(2) The packet relay device according to (1) above, wherein, as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.
(3) The packet relay device according to (2) above, in which conditions for a plurality of types of attack packets are set in advance, and information indicating the type of attack is output as information regarding the determination result. A packet relay device characterized in that flow statistical information is counted based on information indicating an attack type and flow identification information.
(4) The packet relay device according to (2) above, which determines the packet discard factor as the attribute, and outputs the information related to the determination result including the information indicating the discard factor. A featured packet relay device.
(5) The packet relay device according to (1) above, wherein the statistical processing unit has a registration entry, a registration processing determination entry, and a counter entry, and includes a determination result registered in the registration entry. A packet relay device characterized in that when a packet satisfying a flow condition is received, a registration entry is set and flow statistical information is counted according to the registration processing and counting conditions set in the registration processing determination entry.
(6) In the packet relay device according to (1) above, when the statistical processing unit counts the flow statistical information based on the flow identification information, the flow statistics are obtained for a plurality of determination results for the common flow identification information. A packet relay device characterized by counting information.
(7) A method of relaying packets between networks, in which the flow is identified based on the information contained in the headers of the packets to be sent and received, and whether or not the packets constituting the identified flow match the predetermined attributes. The packet relay method is characterized in that the determination is performed, information on the determination result is included in the packet header of the determined packet, and the flow statistical information is counted based on the information on the determination result and the flow identification information.
(8) The packet relay method according to (7) above, wherein, as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched.
(9) The packet relay method according to (8) above, in which conditions for a plurality of types of attack packets are set in advance, and information indicating the type of attack is output as information regarding the determination result. A packet relay method characterized in that flow statistical information is counted based on information indicating an attack type and flow identification information.
(10) In the packet relay method according to (8) above, the packet discard factor is determined as the attribute, and the information indicating the discard factor is output as the information regarding the determination result. A featured packet relay method.
(11) In the packet relay method according to (7) above, the relay process is controlled based on the result of analyzing a plurality of flow statistical information having different information on the determination result for the flow identified based on the flow identification information. Packet relay method.

100 パケット中継装置
110 入力ポート
120 パケット受信部
130 受信側パケット処理部
140 受信側判定部
141 Logic攻撃判定部
142 フィルタパケット判定部
143 送信元詐称攻撃判定部
144 フラッド攻撃判定部
145 廃棄要因判定部
150 受信側統計処理部
160 制御CPU
170 パケット中継処理手段
180 送信側パケット処理部
190 送信側判定部
200 送信側統計処理部
210 パケット送信部
220 出力ポート
400 管理端末
500 アナライザ
100 packet relay device
110 input port
120 packet receiver
130 Receiving packet processing unit
140 Receiving side judgment unit
141 Logic Attack Judgment Unit
142 Filter packet judgment unit
143 Source spoofing attack judgment unit
144 Flood Attack Judgment Department
145 Disposal factor judgment unit
150 Receiving side statistical processing unit
160 control CPU
170 Packet relay processing means
180 Transmitter packet processing unit
190 Sender judgment unit
200 Sender statistical processing unit
210 Packet transmitter
220 output port
400 management terminal
500 analyzer

Claims (10)

パケット送受信部と、パケットの転送処理を行うパケット処理部と、制御部とを有し、ネットワークを介してパケットを中継するパケット中継装置であって、
前記パケット送受信部を介して送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力する判定部と、前記判定結果に関する情報とフロー識別情報に基づきフロー統計情報をカウントする統計処理部を有し、
前記統計処理部は、登録用エントリと統計カウント用エントリとを有し、前記登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、前記統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記統計カウント用エントリにおいてフロー統計情報をカウントし、
前記制御部は、前記判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、前記受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、前記受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録することを特徴とするパケット中継装置。
It is a packet relay device that has a packet transmission / reception unit, a packet processing unit that performs packet transfer processing, and a control unit, and relays packets via a network.
The flow is identified based on the information included in the header of the packet transmitted / received via the packet transmission / reception unit, and it is determined whether or not the packets constituting the identified flow match the predetermined attributes, and the determination is made. It has a judgment unit that includes information about the judgment result in the packet header of the packet and outputs it, and a statistical processing unit that counts the flow statistical information based on the information about the judgment result and the flow identification information.
The statistical processing unit has a registration entry and a statistical count entry, and when it receives a packet satisfying the flow condition including the determination result set in the registration entry, the statistical processing determination corresponding to the registration entry is received. When a statistic count entry is newly registered according to the conditions for performing the registration process set in the entry and a packet satisfying the flow condition including the determination result set in the statistic count entry is received, the statistic count entry is received. Count the flow stats in the entry and
When the control unit indicates that the information regarding the determination result of the received packet is a flow to be filtered based on the information regarding the determination result of the determined packet and the flow identification information, the reception unit A packet relay device characterized by newly registering a registration entry in which conditions determined based on the flow identification information of the packet are set .
請求項1に記載のパケット中継装置であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継装置。 The packet relay device according to claim 1, wherein, as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched. 請求項2に記載のパケット中継装置であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種別を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継装置。 The packet relay device according to claim 2, in which conditions for a plurality of types of attack packets are set in advance, information indicating the type of the attack is output as information regarding the determination result, and the attack type is indicated. A packet relay device characterized by counting flow statistical information based on information and flow identification information. 請求項2に記載のパケット中継装置であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継装置。 The packet relay device according to claim 2, wherein a packet discarding factor is determined as the attribute, and information indicating the discarding factor is output as information regarding the determination result. Relay device. 請求項1に記載のパケット中継装置であって、前記統計処理部において、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継装置。The packet relay device according to claim 1, when the statistical processing unit counts the flow statistical information based on the flow identification information, the flow statistical information is counted for a plurality of determination results for the common flow identification information. A packet relay device characterized in that. ネットワーク間でパケットを中継する方法であって、送受信するパケットのヘッダに含まれる情報に基づきフローを識別し、識別したフローを構成するパケットについて、予め定めた属性に一致するか否かの判定を行い、前記判定したパケットのパケットヘッダに判定結果に関する情報を含めて出力し、前記判定結果に関する情報とフロー識別情報に基づき、登録用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記登録用エントリに対応する統計処理判定エントリに設定された登録処理を行うための条件に従って、統計カウント用エントリを新たに登録し、前記統計カウント用エントリに設定された判定結果を含むフロー条件を満たすパケットを受信すると、前記統計カウント用エントリにおいてフロー統計情報をカウントし、前記判定したパケットの判定結果に関する情報と、フロー識別情報とに基づいて、前記受信したパケットの判定結果に関する情報がフィルタすべきフローであることを示していた場合に、前記受信したパケットのフロー識別情報に基づいて決定した条件を設定した登録用エントリを新たに登録することを特徴とするパケット中継方法。It is a method of relaying packets between networks, and identifies the flow based on the information contained in the header of the packets to be sent and received, and determines whether or not the packets constituting the identified flow match the predetermined attributes. Then, the packet header of the determined packet is output including the information on the determination result, and the packet satisfying the flow condition including the determination result set in the registration entry is received based on the information on the determination result and the flow identification information. Then, according to the conditions for performing the registration process set in the statistical processing judgment entry corresponding to the registration entry, the statistical count entry is newly registered, and the flow including the judgment result set in the statistical count entry is included. When a packet satisfying the condition is received, the flow statistical information is counted in the statistical count entry, and the information regarding the determination result of the received packet is obtained based on the information regarding the determination result of the determined packet and the flow identification information. A packet relay method comprising newly registering a registration entry in which conditions determined based on the flow identification information of the received packet are set when it is indicated that the flow should be filtered. 請求項6に記載のパケット中継方法であって、前記属性として、予め登録した攻撃パケットの条件に一致するか否かの判定を行うことを特徴とするパケット中継方法。The packet relay method according to claim 6, wherein as the attribute, it is determined whether or not the condition of the attack packet registered in advance is matched. 請求項7に記載のパケット中継方法であって、予め複数種類の攻撃パケットの条件を設定し、前記判定結果に関する情報として、前記攻撃の種類を示す情報を含めて出力し、前記攻撃種別を示す情報とフロー識別情報に基づきフロー統計情報をカウントすることを特徴とするパケット中継方法。The packet relay method according to claim 7, in which conditions for a plurality of types of attack packets are set in advance, information indicating the type of attack is output as information regarding the determination result, and the attack type is indicated. A packet relay method characterized by counting flow statistics based on information and flow identification information. 請求項7に記載のパケット中継方法であって、前記属性として、パケットの廃棄要因の判定を行い、前記判定結果に関する情報として、前記廃棄要因を示す情報を含めて出力することを特徴とするパケット中継方法。The packet relay method according to claim 7, wherein a packet discarding factor is determined as the attribute, and information indicating the discarding factor is output as information regarding the determination result. Relay method. 請求項6に記載のパケット中継方法であって、フロー識別情報に基づきフロー統計情報をカウントする際、共通のフロー識別情報について、複数の判定結果についてフロー統計情報をカウントすることを特徴とするパケット中継方法。The packet relay method according to claim 6, wherein when counting the flow statistical information based on the flow identification information, the flow statistical information is counted for a plurality of determination results for the common flow identification information. Relay method.
JP2021045572A 2021-03-19 2021-03-19 Packet relay device and packet relay method Active JP7104201B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021045572A JP7104201B2 (en) 2021-03-19 2021-03-19 Packet relay device and packet relay method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021045572A JP7104201B2 (en) 2021-03-19 2021-03-19 Packet relay device and packet relay method

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2017125776A Division JP6934758B2 (en) 2017-06-28 2017-06-28 Packet relay device and packet relay method

Publications (2)

Publication Number Publication Date
JP2021093773A JP2021093773A (en) 2021-06-17
JP7104201B2 true JP7104201B2 (en) 2022-07-20

Family

ID=76310955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021045572A Active JP7104201B2 (en) 2021-03-19 2021-03-19 Packet relay device and packet relay method

Country Status (1)

Country Link
JP (1) JP7104201B2 (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007234A (en) 2000-06-20 2002-01-11 Mitsubishi Electric Corp Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium
JP2005277804A (en) 2004-03-25 2005-10-06 Hitachi Ltd Information relaying apparatus
JP2006005402A (en) 2004-06-15 2006-01-05 Hitachi Ltd Communication statistic collection apparatus
JP2007310662A (en) 2006-05-18 2007-11-29 Mitsubishi Electric Corp Firewall device
JP2006254134A5 (en) 2005-03-11 2008-01-24
JP2011176434A (en) 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program
JP2012510126A (en) 2008-11-26 2012-04-26 マイクロソフト コーポレーション Hardware acceleration for remote desktop protocol
JP2015053673A (en) 2013-08-05 2015-03-19 アラクサラネットワークス株式会社 Packet relay device and packet relay method
JP2017511072A (en) 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー Incremental application of resources for network traffic flows based on heuristics and business policies

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006254134A (en) 2005-03-11 2006-09-21 Alaxala Networks Corp Communication statistic collection apparatus

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007234A (en) 2000-06-20 2002-01-11 Mitsubishi Electric Corp Detection device, countermeasure system, detecting method, and countermeasure method for illegal message, and computer-readable recording medium
JP2005277804A (en) 2004-03-25 2005-10-06 Hitachi Ltd Information relaying apparatus
JP2006005402A (en) 2004-06-15 2006-01-05 Hitachi Ltd Communication statistic collection apparatus
JP2006254134A5 (en) 2005-03-11 2008-01-24
JP2007310662A (en) 2006-05-18 2007-11-29 Mitsubishi Electric Corp Firewall device
JP2012510126A (en) 2008-11-26 2012-04-26 マイクロソフト コーポレーション Hardware acceleration for remote desktop protocol
JP2011176434A (en) 2010-02-23 2011-09-08 Nippon Telegr & Teleph Corp <Ntt> System, method, and apparatus for cause specification cooperating with detection of change in traffic amount, and program
JP2015053673A (en) 2013-08-05 2015-03-19 アラクサラネットワークス株式会社 Packet relay device and packet relay method
JP2017511072A (en) 2014-04-11 2017-04-13 レベル スリー コミュニケーションズ,エルエルシー Incremental application of resources for network traffic flows based on heuristics and business policies

Also Published As

Publication number Publication date
JP2021093773A (en) 2021-06-17

Similar Documents

Publication Publication Date Title
US11882150B2 (en) Dynamic security actions for network tunnels against spoofing
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US7623466B2 (en) Symmetric connection detection
US9258323B1 (en) Distributed filtering for networks
CN108040057B (en) Working method of SDN system suitable for guaranteeing network security and network communication quality
US7467408B1 (en) Method and apparatus for capturing and filtering datagrams for network security monitoring
US8339959B1 (en) Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane
US8149705B2 (en) Packet communications unit
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
US7356599B2 (en) Method and apparatus for data normalization
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US9306794B2 (en) Algorithm for long-lived large flow identification
JP4547340B2 (en) Traffic control method, apparatus and system
US7876676B2 (en) Network monitoring system and method capable of reducing processing load on network monitoring apparatus
US7849503B2 (en) Packet processing using distribution algorithms
KR20110089179A (en) Network intrusion protection
US20130259052A1 (en) Communication system, forwarding node, received packet process method, and program
US8910267B2 (en) Method for managing connections in firewalls
CN112202646B (en) Flow analysis method and system
US8006303B1 (en) System, method and program product for intrusion protection of a network
Paolucci et al. P4-based multi-layer traffic engineering encompassing cyber security
KR20110065273A (en) Method and system for ddos traffic detection and traffic mitigation using flow statistic
Mohammadi et al. Practical extensions to countermeasure dos attacks in software defined networking
JP7104201B2 (en) Packet relay device and packet relay method
JP6934758B2 (en) Packet relay device and packet relay method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220707

R150 Certificate of patent or registration of utility model

Ref document number: 7104201

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150