WO2020022145A1

WO2020022145A1 - 振分装置、通信システムおよび振分方法

Info

Publication number: WO2020022145A1
Application number: PCT/JP2019/028103
Authority: WO
Inventors: 浩行大西; 孟朗西岡; 裕平林
Original assignee: 日本電信電話株式会社
Priority date: 2018-07-24
Filing date: 2019-07-17
Publication date: 2020-01-30
Also published as: JP7003864B2; JP2020017826A; US20210306357A1

Abstract

複製部（１１ｃ）が、ネットワークから受信したパケットを複製し、圧縮部（１１ｄ）が、複製されたパケットのペイロードを圧縮してセキュリティ装置（２０ａ）に転送する。記憶部が、セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶し、廃棄部（１１ａ）が、フィルタ情報を用いて攻撃パケットを廃棄する。記憶部が、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルールを記憶し、振り分け部（１１ｂ）が、振り分けルールを用いて、ネットワークから受信したパケットを、所定のフローごとに、複製部（１１ｃ）または他のセキュリティ装置（２０ｂ）に振り分ける。

Description

振分装置、通信システムおよび振分方法

　本発明は、振分装置、通信システムおよび振分方法に関する。

　従来、ＤＤｏＳ攻撃（Distributed　Denial　of　Service　attack）対策として、ＤＤｏＳ攻撃の攻撃対象宛の全トラヒックをＤＤｏＳ緩和装置（セキュリティ装置）へ引き込み、セキュリティ装置において攻撃パケットを廃棄し、非攻撃パケットを通過させる技術が知られている（非特許文献１参照）。

　セキュリティ装置は、様々な分析処理を多段階で実行しており、異常を検知した段階でパケットを廃棄している。一方、セキュリティ装置で実行される分析処理には、必ずしもパケットのペイロードまで必要な処理ばかりではなく、ヘッダの５－ｔｕｐｌｅ等に含まれる低位レイヤの情報のみで分析可能な処理もある。例えば、不正なポート番号を判別するＩｎｖａｉｄＰａｃｋｅｔｓと呼ばれる処理や、指定されたＩＰアドレスのパケットを廃棄するＩＰ　Ａｄｄｒｅｓｓ　Ｆｉｌｔｅｒ　Ｌｉｓｔｓと呼ばれる処理等がある。

Arbor　Networks、"Arbor　Networks　TMS"、［online］、Arbor　Networks、［平成30年6月29日検索］、インターネット＜URL：http://jp.arbornetworks.com/wp-content/uploads/2016/06/ds_tms_jp2016-030516AP-number-updated.pdf＞

　しかしながら、従来の技術では、分析処理に利用されないペイロードまでセキュリティ装置に転送され、セキュリティ装置のリソースが逼迫する場合がある。すなわち、セキュリティ装置において前段で低位レイヤの情報を用いた分析処理が実行されてパケットが廃棄される場合には、ペイロードは利用されない。そのような利用されないペイロードにより、セキュリティ装置のリソースが逼迫する場合がある。

　本発明は、上記に鑑みてなされたものであって、セキュリティ装置に転送されるデータ量を低減することを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る振分装置は、ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置であって、ネットワークから受信したパケットを複製する複製部と、複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、を備えることを特徴とする。

　本発明によれば、セキュリティ装置に転送されるデータ量を低減することができる。

図１は、本実施形態に係る振分装置を含む通信システムの構成を例示する模式図である。図２は、セキュリティ装置の処理概要を説明するための説明図である。図３は、振分装置の処理概要を説明するための説明図である。図４は、本実施形態の振分装置の概略構成を例示する模式図である。図５は、振分装置の処理を説明するための説明図である。図６は、振分装置の処理を説明するための説明図である。図７は、振分装置の処理を説明するための説明図である。図８は、振分装置の処理を説明するための説明図である。図９は、振分処理手順を例示するシーケンス図である。図１０は、振分プログラムを実行するコンピュータの一例を示す図である。

　以下、図面を参照して、本発明の実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［通信システム構成］
　まず、図１は、本実施形態に係る振分装置を含む通信システムの構成を例示する模式図である。図１に示すように、本実施形態の通信システム１は、振分装置１０と、セキュリティ装置２０ａおよびセキュリティ装置２０ｂの２種類のセキュリティ装置と、コントローラ３０とを含んで構成される。なお、以下の説明において、５－ｔｕｐｌｅが同一である一連のパケット群をフローと記す。

　セキュリティ装置２０ａは、パケットのヘッダの５－ｔｕｐｌｅ等に含まれる低位レイヤの情報のみを用いてパケットの簡易分析処理を行うＤＤｏＳ緩和装置である。これに対し、セキュリティ装置２０ｂは、パケットのペイロードの中身等の高位レイヤの情報を用いてパケットの通常分析処理を行うＤＤｏＳ緩和装置である。セキュリティ装置２０ａおよびセキュリティ装置２０ｂは、それぞれが複数台あってもよい。また、セキュリティ装置２０ａおよびセキュリティ装置２０ｂは、仮想化基盤サーバ上に構築される仮想化セキュリティ装置でもよい。

　振分装置１０は、後述する振分処理を実行し、ネットワークから受信したパケットを、ユーザとセキュリティ装置（２０ａ、２０ｂ）とに振り分けて転送する。具体的には、振分装置１０は、簡易分析処理を行うセキュリティ装置２０ａに振り分ける場合には、パケットのペイロードを圧縮して転送する。また、振分装置１０は、セキュリティ装置に転送するパケットを、２種類のセキュリティ装置２０ａまたはセキュリティ装置２０ｂに振り分けて転送する。

　ここで、図２は、セキュリティ装置の処理概要を説明するための説明図である。また、図３は、振分装置１０の処理概要を説明するための説明図である。図２に示すように、セキュリティ装置において、攻撃パケット検知のために多段階で行われる分析処理のうち、ヘッダ等の低位レイヤの情報のみを用いた簡易分析（図２の分析（１）、（２））では、ネットワークから受信したパケットのうち、ヘッダのみが利用されている。

　簡易分析の結果がＯＫの場合には（分析（１））、後段の処理（分析（２））が引き続き行われる。また、簡易分析の結果がＮＧ（異常）の場合には（分析（２））、ペイロードは利用されないまま廃棄される。

　一方、セキュリティ装置は、可能処理帯域（リソース）が限られているため、利用されないペイロードを含むパケットを受信すると、図３（ａ）に示すように、処理できないフローが発生する場合がある。

　これに対し、本実施形態の振分装置１０によれば、図３（ｂ）に示すように、セキュリティ装置２０ａが受信するパケットのペイロードは圧縮されているため、セキュリティ装置２０ａの可能処理帯域が変わらなくても処理できるフローが増加する。

　図１の説明に戻る。コントローラ３０は、振分装置１０に対する制御を行う。例えば、コントローラ３０は、セキュリティ装置２０ａおよびセキュリティ装置２０ｂによる攻撃パケットの検知結果を受信して、振分装置１０に対して攻撃パケットを特定するフィルタ情報を設定する。また、コントローラ３０は、振分装置１０に対してセキュリティ装置２０ａ、セキュリティ装置２０ｂまたはユーザへのフローごとのパケット振り分けルールを設定する。

［セキュリティ装置の構成］
　セキュリティ装置（２０ａ、２０ｂ）は、ＣＰＵ（Central　Processing　Unit）やＮＰ（Network　Processor）やＦＰＧＡ（Field　Programmable　Gate　Array）等で実現され、検知部２１ａと通知部２１ｂとを備える。検知部２１ａは、振分装置１０から受信したパケットの分析により攻撃パケットを検知する。具体的には、検知部２１ａは、簡易分析処理または通常分析処理を実行し、攻撃パケットを検知する。また、通知部２１ｂは、検知した攻撃パケットの情報をコントローラ３０に通知する。

　なお、前述したように、セキュリティ装置２０ａは、パケットのヘッダの５－ｔｕｐｌｅ等に含まれる低位レイヤの情報のみを用いてパケットの簡易分析処理を行う。また、セキュリティ装置２０ｂは、パケットのペイロードの中身等の高位レイヤの情報を用いてパケットの通常分析処理を行う。

［振分装置の構成］
　次に、図４は、本実施形態の振分装置の概略構成を例示する模式図である。図４に示すように、本実施形態に係る振分装置１０は、ＣＰＵやＮＰやＦＰＧＡ等で実現され、メモリに記憶された処理プログラムを実行して、制御部１１として機能する。また、振分装置１０は、ＲＡＭ、フラッシュメモリ等の半導体メモリ素子で実現される記憶部１２を備える。本実施形態においては、記憶部１２は、フィルタ情報１２ａと振り分けルール１２ｂとを記憶する。

　フィルタ情報１２ａは、セキュリティ装置（２０ａ、２０ｂ）が検知した攻撃パケットを特定する情報である。フィルタ情報１２ａは、例えば、コントローラ３０から通知され、記憶部１２に記憶される。なお、フィルタ情報１２ａは、図示しないキーボードやマウス等の入力部を介して記憶部１２に記憶させてもよい。

　振り分けルール１２ｂは、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する情報である。例えば、振り分けルール１２ｂでは、プロトコルごとの処理方法が特定される。例えば、振り分けルール１２ｂにより、ＤＮＳが用いるＵＤＰ、ＴＣＰのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることが特定される。

　または、振り分けルール１２ｂでは、宛先のＩＰアドレスごとの処理方法が特定される。例えば、振り分けルール１２ｂにより、宛先ユーザのＩＰアドレスごとに、ユーザが契約している分析サービスの種類に応じて、通常分析処理の対象か、廉価版の簡易分析処理の対象か等が特定される。

　あるいは、振り分けルール１２ｂでは、宛先のＩＰアドレスと、セキュリティ装置における検知処理の所要時間または検知処理を開始するまでの所要時間とに応じた処理方法が特定される。例えば、振り分けルール１２ｂにより、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることが特定される。あるいは、振り分けルール１２ｂにより、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることが特定される。

　なお、振り分けルール１２ｂは、例えば、図示しないキーボードやマウス等の入力部を介して、あるいはコントローラ３０を介して、記憶部１２に記憶させる。

　制御部１１は、図４に例示するように、廃棄部１１ａ、振り分け部１１ｂ、複製部１１ｃおよび圧縮部１１ｄとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、圧縮部１１ｄが、ルータ等で実現され簡易分析処理を行うセキュリティ装置２０ａに組み込まれてもよい。

　廃棄部１１ａは、フィルタ情報１２ａを用いて、ネットワークから受信したパケットから攻撃パケットを廃棄する。具体的には、廃棄部１１ａは、ネットワークから受信したパケットのうち、フィルタ情報１２ａに記憶されている既知の攻撃パケットを特定し、これを廃棄して後段の処理から除外する。

　振り分け部１１ｂは、振り分けルール１２ｂを用いて、ネットワークから受信したパケットを、所定のフローごとに、後述する複製部１１ｃまたは他のセキュリティ装置２０ｂに振り分ける。具体的には、振り分け部１１ｂは、振り分けルール１２ｂで特定されるフローごとの処理方法に応じて、簡易分析処理の対象とするか、通常分析処理の対象とするか、あるいはいずれのセキュリティ装置にも転送しないかを決定する。

　そして、振り分け部１１ｂは、簡易分析処理の対象とする場合に、以下に説明する複製部１１ｃに処理対象のパケットを転送し、通常分析処理の対象とする場合には、セキュリティ装置２０ｂに処理対象のパケットを転送する。

　複製部１１ｃは、ネットワークから受信したパケットを複製する。具体的には、複製部１１ｃは、廃棄部１１ａおよび振り分け部１１ｂを介してネットワークから受信したパケットをコピーする。複製部１１ｃは、コピーしたパケットを圧縮部１１ｄに転送し、コピー元のパケットは、そのまま宛先ユーザに転送する。また、複製部１１ｃは、いずれのセキュリティ装置にも転送しないパケットをそのまま宛先ユーザに転送する。

　圧縮部１１ｄは、複製されたパケットのペイロードを圧縮してセキュリティ装置２０ａに転送する。すなわち、圧縮部１１ｄは、コピーされたパケットのペイロードの部分を圧縮して、簡易分析処理を行うセキュリティ装置２０ａに転送する。圧縮部１１ｄは、パケットのペイロードの部分を、圧縮するかわりに削除してもよい。その場合には、圧縮部１１ｄは、セキュリティ装置２０ａにはコピーされたパケットのヘッダのみを転送する。また、圧縮部１１ｄは、パケットのペイロードの圧縮または削除に伴って、パケット長に関するチェックサム等の値を、再計算を行って変更する。

［コントローラの構成］
　コントローラ３０は、ＣＰＵやＮＰやＦＰＧＡ等で実現され、取得部３１ａと、設定部３１ｂとを備える。取得部３１ａは、セキュリティ装置（２０ａ，２０ｂ）から、検知した攻撃パケットの情報を取得する。

　また、設定部３１ｂは、セキュリティ装置（２０ａ，２０ｂ）から取得した攻撃パケットの情報を用いて、フィルタ情報１２ａを振分装置１０に記憶させる。設定部３１ｂは、また、振り分けルール１２ｂを振分装置１０に記憶させる。

　次に、図５～図８は、振分装置１０の処理を説明するための説明図である。まず、図５に示すように、振分装置１０では、受信したパケットを複製部１１ｃがコピーして（ステップ（１））、圧縮部１１ｄへ転送する。また、複製部１１ｃは、コピー元のパケットを宛先のユーザに転送する。圧縮部１１ｄは、コピーされたパケットのペイロードを圧縮または削除して（ステップ（２））、簡易分析処理を行うセキュリティ装置２０ａに転送する。

　セキュリティ装置２０ａは、ペイロードが圧縮されたパケットを用いて簡易分析処理を行う。また、セキュリティ装置２０ａは、簡易分析処理を行った結果、攻撃パケットを検知した場合には、検知結果をコントローラ３０に通知する（ステップ（３））。

　コントローラ３０は、セキュリティ装置２０ａから通知された検知結果を用いて、検知された攻撃パケットを特定する情報を、振分装置１０のフィルタ情報１２ａに設定させる（ステップ（４））。これにより、以降、振分装置１０の廃棄部１１ａは、ネットワークから受信したパケットのうち、フィルタ情報１２ａで特定される既知の攻撃パケットを廃棄して後段の処理から除外する。

　次に、図６は、図５の処理とは、振り分け部１１ｂが追加されている点が異なる。図６および後述する図７～図８に点線で囲んで示した部分における処理は、図５の処理と同様である。

　振り分け部１１ｂは、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルール１２ｂを用いて、受信したパケットを所定のフローごとに、簡易分析処理の対象とするか、通常分析処理の対象とするかを決定する。そして、振り分け部１１ｂは、簡易分析処理の対象とする場合（Ａ）には、複製部１１ｃにパケットを転送し、通常分析処理の対象とする場合（Ｂ）には、セキュリティ装置２０ｂにパケットを転送する。

　図６には、振り分けルール１２ｂにより、宛先のＩＰアドレスごとの処理方法が特定されている場合が例示されている。この場合に、振り分け部１１ｂは、宛先のＩＰアドレスごとに、つまり、攻撃から守護するユーザごとに、簡易分析（Ａ）または通常分析（Ｂ）に振り分けている。

　例えば、宛先ユーザのＩＰアドレスごとに、ユーザが契約している分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象かを決定することができる。

　また、図６に示す例において、振り分けルール１２ｂにより、宛先のＩＰアドレスと、セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法が特定されていてもよい。例えば、振り分けルール１２ｂにより、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることができる。

　あるいは、振り分けルール１２ｂにより、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることができる。なお、通常分析処理、簡易分析処理のいずれも非対象とすることもできる。

　図７は、図６の処理とは、振り分けルール１２ｂの設定内容が異なる。図７には、振り分けルール１２ｂにより、プロトコルごとの処理方法が特定されている場合が例示されている。この場合に、振り分け部１１ｂは、例えば、ＤＮＳが用いるＵＤＰ、ＴＣＰのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることができる。

　図８も同様に、図６の処理とは、振り分けルール１２ｂの設定内容が異なる。図８には、振り分けルール１２ｂにより、簡易分析処理（Ａ）の後に、通常分析処理（Ｂ）を行うことが特定されている場合が例示されている。これにより、振り分け部１１ｂは、簡易分析処理（Ａ）では異常がみつからなかった場合には、通常分析処理（Ｂ）を行うようにすることができる。その場合には、例えば、振り分け部１１ｂの指示により、複製部１１ｃが、簡易分析処理（Ａ）の後に、コピーしたパケットをセキュリティ装置２０ｂに転送する。

［振分処理］
　次に、図９は、振分処理手順を例示するシーケンス図である。図９には、宛先ユーザのＩＰごとに簡易分析または通常分析に振り分ける場合（図６参照）が例示されている。また、図９に示す振分処理には、初期設定処理（ステップＳ１）と、攻撃検知処理（ステップＳ３）と、パケット廃棄処理（ステップＳ５）とが含まれる。

　まず、ステップＳ１の初期設定処理において、ユーザが分析サービスに加入した場合に（ステップＳ１１）、コントローラ３０にユーザのＩＰアドレスや、攻撃検知方法等のサービスの種類が通知される（ステップＳ１２）。

　コントローラ３０は、ユーザが加入した分析サービスの種類に応じた攻撃検知パラメータを、セキュリティ装置（２０ａ、２０ｂ）に設定させる（ステップＳ１３）。また、コントローラ３０は、ユーザが加入した分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象か、あるいは通常分析処理、簡易分析処理のいずれも非対象かを特定する振り分けルール１２ｂを振分装置１０に設定させる（ステップＳ１４）。

　ステップＳ３の攻撃検知処理に先立って、振分装置１０では、廃棄部１１ａが、ネットワークから受信したパケットから既知の攻撃パケットを廃棄する（ステップＳ２０）。また、振り分け部１１ｂが、振り分けルール１２ｂにより、簡易分析または通常分析に振り分けている（ステップＳ２１）。

　なお、図９に示すステップＳ２０以降のシーケンスは、振り分けルール１２ｂにより、宛先ＩＰアドレスにより振り分ける場合に限定されない。すなわち、ステップＳ２０以降の処理は、振り分けルール１２ｂにより、宛先ＩＰアドレスおよび所要時間に応じた処理方法が特定されている場合や、プロトコルに応じた処理方法が特定されている場合（図７参照）にも共通する。

　パケットが簡易分析処理に振り分けられる場合には、振り分け部１１ｂは、パケットを複製部１１ｃに転送する（ステップＳ３１）。複製部１１ｃは、受信したパケットを複製し、圧縮部１１ｄに転送する（ステップＳ３２）。また、複製部１１ｃは、複製元のパケットをそのままユーザに転送する（ステップＳ３６）。

　圧縮部１１ｄは、パケットのペイロードを圧縮してセキュリティ装置２０ａに転送する（ステップＳ３３）。

　一方、パケットが通常分析処理に振り分けられる場合には、振り分け部１１ｂは、パケットをセキュリティ装置２０ｂに転送する（ステップＳ４１）。なお、通常分析処理、簡易分析処理のいずれも非対象の場合には、複製部１１ｃが、パケットをそのままユーザに転送する（ステップＳ４４）。

　セキュリティ装置（２０ａ、２０ｂ）は、攻撃パケットを検知した場合に、検知結果をコントローラ３０に通知する（ステップＳ３４、Ｓ４２）。コントローラ３０は、振分装置１０に、攻撃パケットを特定するフィルタ情報１２ａを設定させる（ステップＳ３５、Ｓ４３）。

　ステップＳ５のパケット廃棄処理では、振分装置１０の廃棄部１１ａは、ネットワークから受信したパケットのうち、セキュリティ装置（２０ａ、２０ｂ）が検知した攻撃パケットを既知の攻撃パケットとしてフィルタ情報１２ａで特定して、これを廃棄する（ステップＳ５０）。

　以上、説明したように、本実施形態の振分装置１０では、複製部１１ｃが、ネットワークから受信したパケットを複製し、圧縮部１１ｄが、複製されたパケットのペイロードを圧縮して、セキュリティ装置２０ａに転送する。

　これにより、簡易分析処理を行うセキュリティ装置２０ａに転送されるデータ量を低減することができる。したがって、セキュリティ装置２０ａのリソースを増加させなくても処理できるパケットが増加して、セキュリティ装置２０ａのリソースが逼迫することを抑制できる。

　また、記憶部１２が、セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報１２ａを記憶し、廃棄部１１ａが、フィルタ情報を用いて、ネットワークから受信したパケットから攻撃パケットを廃棄する。これにより、ネットワークから受信したパケットから、既知の攻撃パケットを廃棄することが可能となる。

　また、記憶部１２が、ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルール１２ｂを記憶し、振り分け部１１ｂが、振り分けルール１２ｂを用いて、ネットワークから受信したパケットを、所定のフローごとに、複製部１１ｃまたは他のセキュリティ装置２０ｂに振り分ける。これにより、受信したパケットを所定のフローごとに、簡易分析処理または通常分析処理に振り分けることが可能となる。

　記憶部１２は、プロトコルごとの処理方法を特定する振り分けルール１２ｂを記憶してもよい。その場合に、振り分け部１１ｂは、振り分けルール１２ｂを用いて、ネットワークから受信したパケットを、プロトコルごとに、複製部１１ｃまたは他のセキュリティ装置２０ｂに振り分ける。これにより、例えば、ＤＮＳが用いるＵＤＰ、ＴＣＰのフローは通常分析処理の対象とし、その他のプロトコルのフローは簡易分析処理の対象とすることができる。

　また、記憶部１２は、宛先のＩＰアドレスごとの処理方法を特定する振り分けルール１２ｂを記憶してもよい。その場合に、振り分けルール１２ｂを用いて、ネットワークから受信したパケットを、宛先のＩＰアドレスごとに、複製部１１ｃまたは他のセキュリティ装置２０ｂに振り分ける。これにより、例えば、宛先ユーザのＩＰアドレスごとに、ユーザが契約している分析サービスの種類に応じて、簡易分析処理の対象か、通常分析処理の対象か等を決定することができる。

　また、記憶部１２は、宛先のＩＰアドレスと、セキュリティ装置（２０ａ、２０ｂ）における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法を特定する振り分けルール１２ｂを記憶してもよい。その場合に、振り分けルール１２ｂを用いて、ネットワークから受信したパケットを、宛先のＩＰアドレスと、セキュリティ装置（２０ａ、２０ｂ）における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じて、複製部１１ｃまたは他のセキュリティ装置２０ｂに振り分ける。

　これにより、例えば、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理における処理開始までの所要時間が所定の時間を超えて遅くなる場合に、簡易分析処理の対象とすることができる。あるいは、宛先ユーザのＩＰアドレスごとに、ユーザの契約により、対象フローの通常分析処理に見込まれる所要時間が所定の時間より長い場合に、簡易分析処理の対象とすることができる。

　また、本実施形態の通信システム１において、セキュリティ装置（２０ａ，２０ｂ）では、検知部２１ａが、振分装置１０から受信したパケットの分析により攻撃パケットを検知し、通知部２１ｂが、検知した攻撃パケットの情報をコントローラ３０に通知する。コントローラ３０では、取得部３１ａが、セキュリティ装置（２０ａ、２０ｂ）から、検知した攻撃パケットの情報を取得し、設定部３１ｂが、取得した攻撃パケットの情報を用いて、フィルタ情報１２ａを振分装置１０に記憶させる。これにより、攻撃パケットの分析と廃棄とを容易かつ効率よく行うことが可能となる。

［プログラム］
　上記実施形態に係る振分装置１０が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、振分装置１０は、パッケージソフトウェアやオンラインソフトウェアとして上記の振分処理を実行する振分プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の振分プログラムを情報処理装置に実行させることにより、情報処理装置を振分装置１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistants）等のスレート端末などがその範疇に含まれる。また、振分装置１０の機能を、クラウドサーバに実装してもよい。

　図１０は、振分プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、振分プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明した振分装置１０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、振分プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、振分プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、振分プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１　通信システム
　１０　振分装置
　１１　制御部
　１１ａ　廃棄部
　１１ｂ　振り分け部
　１１ｃ　複製部
　１１ｄ　圧縮部
　１２　記憶部
　１２ａ　フィルタ情報
　１２ｂ　振り分けルール
　２０ａ、２０ｂ　セキュリティ装置
　２１ａ　検知部
　２１ｂ　通知部
　３０　コントローラ
　３１ａ　取得部
　３１ｂ　設定部

Claims

　ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置であって、
　ネットワークから受信したパケットを複製する複製部と、
　複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、
　を備えることを特徴とする振分装置。
　前記セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶する記憶部と、
　前記フィルタ情報を用いて、ネットワークから受信したパケットから前記攻撃パケットを廃棄する廃棄部と、
　をさらに備えることを特徴とする請求項１に記載の振分装置。
　ネットワークのトラヒックのうちの所定のフローごとの処理方法を特定する振り分けルールを記憶する記憶部と、
　前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記所定のフローごとに、前記複製部または他のセキュリティ装置に振り分ける振り分け部と、
　をさらに備えることを特徴とする請求項１に記載の振分装置。
　前記記憶部は、プロトコルごとの処理方法を特定する前記振り分けルールを記憶し、
　前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記プロトコルごとに、前記複製部または他のセキュリティ装置に振り分ける
　ことを特徴とする請求項３に記載の振分装置。
　前記記憶部は、宛先のＩＰアドレスごとの処理方法を特定する前記振り分けルールを記憶し、
　前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、前記宛先のＩＰアドレスごとに、前記複製部または他のセキュリティ装置に振り分ける
　ことを特徴とする請求項３に記載の振分装置。
　前記記憶部は、宛先のＩＰアドレスと、前記セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じた処理方法を特定する前記振り分けルールを記憶し、
　前記振り分け部は、前記振り分けルールを用いて、前記ネットワークから受信したパケットを、宛先のＩＰアドレスと、前記セキュリティ装置における検知処理の所要時間または該検知処理を開始するまでの所要時間とに応じて、前記複製部または他のセキュリティ装置に振り分ける
　ことを特徴とする請求項３に記載の振分装置。
　攻撃パケットを検知するセキュリティ装置と、ネットワークから受信したパケットをユーザと前記セキュリティ装置とに転送する振分装置と、コントローラとを含む通信システムであって、
　前記振分装置は、
　前記セキュリティ装置が検知した攻撃パケットを特定するフィルタ情報を記憶する記憶部と、
　前記フィルタ情報を用いて前記攻撃パケットを廃棄する廃棄部と、
　ネットワークから受信したパケットを複製する複製部と、
　複製された前記パケットのペイロードを圧縮して前記セキュリティ装置に転送する圧縮部と、を備え、
　前記セキュリティ装置は、
　振分装置から受信したパケットの分析により攻撃パケットを検知する検知部と、
　検知した攻撃パケットの情報を前記コントローラに通知する通知部と、を備え、
　前記コントローラは、
　前記セキュリティ装置から、検知した攻撃パケットの情報を取得する取得部と、
　前記セキュリティ装置から取得した攻撃パケットの情報を用いて、前記フィルタ情報を前記振分装置に記憶させる設定部と、を備える
　ことを特徴とする通信システム。
　ネットワークから受信したパケットを、ユーザと攻撃パケットを検知するセキュリティ装置とに転送する振分装置で実行される振分方法であって、
　ネットワークから受信したパケットを複製する複製工程と、
　複製された前記パケットのペイロードを圧縮して、前記セキュリティ装置に転送する圧縮工程と、
　を含んだことを特徴とする振分方法。