WO2023112175A1 - Traffic monitoring device, traffic monitoring method, and program - Google Patents

Traffic monitoring device, traffic monitoring method, and program Download PDF

Info

Publication number
WO2023112175A1
WO2023112175A1 PCT/JP2021/046135 JP2021046135W WO2023112175A1 WO 2023112175 A1 WO2023112175 A1 WO 2023112175A1 JP 2021046135 W JP2021046135 W JP 2021046135W WO 2023112175 A1 WO2023112175 A1 WO 2023112175A1
Authority
WO
WIPO (PCT)
Prior art keywords
rule
unit
identification information
offset
new
Prior art date
Application number
PCT/JP2021/046135
Other languages
French (fr)
Japanese (ja)
Inventor
悠介 関原
奈美子 池田
晶子 大輝
寛之 鵜澤
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to PCT/JP2021/046135 priority Critical patent/WO2023112175A1/en
Publication of WO2023112175A1 publication Critical patent/WO2023112175A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Definitions

  • the present invention relates to a traffic monitoring device, a traffic monitoring method, and a program.
  • Non-Patent Document 1 estimating attack traffic from past attack data using machine learning.
  • Inference methods that use machine learning, etc. require learning time to generate rules, and the processing load of the machine learning process itself increases the time lag between an attack and its detection.
  • the object of the present invention is to identify attack traffic with light load processing.
  • a traffic monitoring device for monitoring traffic in a communication network, comprising a receiving unit for receiving packets flowing through the communication network, and a packet received by the receiving unit. Identifying a clipping section for clipping first identification information for identifying a flow from the packet based on an offset that specifies the packet clipping position, and a rule having information matching the first identification information clipped by the clipping section.
  • an aggregating unit for aggregating at least one of the specified number of times for each rule specified by the rule specifying unit and the amount of data of the packet specified as the rule, and the aggregating a new offset for extracting not only the first identification information but also the second identification information that can be used to identify attack traffic when the aggregation result by the unit satisfies a predetermined criterion; and a new offset control unit that generates a new offset control unit that has information that matches the first identification information and the second identification information extracted based on the new offset by the extracting unit.
  • a rule is specified, and the aggregation unit aggregates at least one of a specified number of times of the new rule or a data amount of the packet specified with the new rule.
  • the traffic monitoring method includes a receiving step of receiving packets flowing through the communication network, and a third step of identifying a flow from the packets based on an offset specifying a cut-out position of the packets received in the receiving step.
  • the tallying step includes counting the specified number of times of the new rule or the new At least one of a valid rule and the amount of data of the identified packets is aggregated.
  • the program according to the present invention comprises: a receiving step of receiving a packet flowing through the communication network; a step of extracting information; a rule specifying step of specifying a rule having information that matches the first identification information extracted by the extracting step; and specifying the rule for each rule specified by the rule specifying step.
  • a tallying step of tallying at least one of the number of times and the amount of data of the packet identified as the rule; and attack traffic in addition to the first identification information when the tallied result of the tallying step satisfies a predetermined criterion.
  • attack traffic is identified with light load processing.
  • FIG. 1 is a configuration diagram of a traffic monitoring device according to one embodiment of the present invention.
  • FIG. 2 is a diagram showing an example of the data structure of a packet.
  • FIG. 3 is a diagram for explaining a method of extracting packets by offset.
  • FIG. 4 is a diagram showing a configuration example of a rule table.
  • FIG. 5 is a diagram showing a configuration example of a rule table.
  • FIG. 6 is a diagram for explaining a method of extracting packets based on offsets.
  • FIG. 7 is a configuration diagram when the traffic monitoring apparatus of FIG. 1 is configured by a computer.
  • the traffic monitoring device 10 includes a receiving unit 11, an extracting unit 12, a rule specifying unit 13, an aggregating unit 14, and an output unit 15, as shown in FIG.
  • the traffic monitoring device 10 includes a rule control section 16 , an offset control section 17 and a storage section 19 .
  • the traffic monitoring device 10 having such a configuration is configured to monitor traffic on the communication network NW.
  • each of the above units 11 to 17 is composed of a logic circuit written in, for example, FPGA (Field-Programmable Gate Array), ASIC (Application Specific Integrated Circuit), or the like. At least part of each unit 11 to 17 may be configured by a processor such as a CPU (Central Processing Unit) that executes programs.
  • the storage unit 19 is composed of an appropriate non-volatile storage device such as a flash memory or SSD (Solid State Drive).
  • the storage unit 19 may be composed of at least a part of memory such as FPGA (Field-Programmable Gate Array), ASIC (Application Specific Integrated Circuit), or the like.
  • Each of the units 11 to 17 may include a memory that temporarily holds data being processed.
  • the receiving unit 11 sequentially receives a plurality of packets (more specifically, mirroring packets) flowing through the communication network NW one by one and outputs them to the extracting unit 12 .
  • a packet consists of data (also called payload) and a header placed before the data.
  • the header includes a source MAC address and a destination MAC address, as shown in FIG.
  • the header also includes arbitrary information such as source and destination IP addresses, source and destination port addresses, VLANID, communication protocol, and the like.
  • the extraction unit 12 extracts a portion of the packet.
  • This clipping position is specified by the offset stored in the storage unit 19 .
  • the clipping unit 12 clips a part of the packet at the clipping position specified by the offset.
  • the clipped part is a bit delimiter and is also called a field value.
  • a group of packets with matching field values is also called a flow.
  • the field value is also identification information that identifies the flow.
  • the clipping position specified by the offset is set so that the clipped field value includes a necessary and sufficient portion to specify the flow to be monitored.
  • the extracted field values include various addresses, VLANIDs, communication protocols, and the like.
  • the field value does not necessarily have to match the protocol field in the packet header, and may span multiple header fields (eg, the L2 and L3 headers in FIG. 2).
  • Fig. 3 shows an example of clipping based on the offset.
  • offsets 1 to 4 are prepared as one offset, and these are used to cut out the field values of the positions labeled with fields 1 to 4 in the packet.
  • Offsets 1 to 4 indicate the beginning of the region to be cut out, from which a certain number of bits of data are cut out.
  • a plurality of offsets may be prepared according to the data structure of the header of the packet to be monitored.
  • the clipping unit 12 copies packets by the number of offsets, and applies each offset to each packet to clip.
  • the extraction unit 12 may extract each field value based on each offset by copying the data at the extraction position specified by each offset from a single packet. After that, the following processing is performed for a plurality of clipped portions.
  • the field value extracted by the extraction unit 12 is input to the rule identification unit 13.
  • the rule identification unit 13 compares the input field values with rules prepared for each flow.
  • the rules are registered in the rule table 19A stored in the storage unit 19, and the rule specifying unit 13 selects a value that matches the input field value from among the rules registered in the rule table 19A. Identify the rules you have.
  • FIG. A "*" in the rule table 19A indicates that any value (even no value) of the corresponding portion of the field value to be compared with the rule is treated as a match.
  • a field value where the value of field 3 is "12" and the value of field 4 is "8080" is any other value (for example, the field value without field 5 extracted by the offset in FIG. 3). ), rule #2 in FIG. 4 is specified.
  • the rule identifying unit 13 supplies the rule number of the identified rule (here, one of #1 to #3) to the counting unit 14.
  • the tallying unit 14 counts the number of times the rule number is supplied from the rule identifying unit 13 (that is, the number of packets input to the receiving unit 11) for each rule number. In this way, the tallying unit 14 tallies the number of rules specified by the rule specifying unit 13 for each rule.
  • rules are prepared for each logical network. When there is a flood attack on a certain logical network, the number of counts (specific number of rules) by the totaling unit 14 for the rules of that logical network increases. In order to detect this, the tallying unit 14 notifies the rule control unit 16 of the rule number of the rule exceeding the threshold when the number of counts per predetermined period exceeds the threshold.
  • the storage unit 19 or the like stores a rule number and a packet header configuration (more specifically, information specifying which data is located at which position in the header).
  • the rule control unit 16 acquires the packet header configuration corresponding to the rule number from the storage unit 19 or the like as the packet header configuration of the network under attack.
  • the packet header configuration may be identifiable by the content of rules (contents of fields 1 to 5) registered in the rule table 19A. In this case, the rule with the notified rule number is referenced.
  • the rule control unit 16 creates a new rule by adding identification information to be compared with new identification information that can be used to identify the type of DDoS attack among the information contained in the packet.
  • the information added here is, for example, a TCP flag indicating the type of TCP.
  • the rule control unit 16 notifies the offset control unit 17 of the specified packet header configuration. Based on the packet header structure, the offset control unit 17 generates a new offset for extracting identification information (value of field 5) that can identify a DDoS attack from the packet in addition to other identification information.
  • the offset is stored in storage unit 19 . This offset, for example, is obtained by adding an offset 5 for cutting out the field 5 to the stationary offset in FIG. 3, and consists of offsets 1 to 5 (see FIG. 6).
  • subsequent traffic will continue to be monitored by processing subsequent packets based on the new monitoring rule and offset.
  • the number of packets received by the receiving unit 11 (the number of times the rule number is supplied from the rule identifying unit 13) is counted for each of the rules #4 to #6 to which information necessary for identifying traffic attacks has been added. Therefore, the type of attack (ACK, SYN, FIN) is specified by the count number.
  • the attack is being carried out against the logical network of the rule with the large count number.
  • the output unit 15 outputs the specified number of times for each rule by the rule specifying unit 13, which is counted by the counting unit 14, as a counting result.
  • the output unit 15 displays the tally result on a display device provided in the traffic monitoring device 10 or an external display device of the traffic monitoring device 10, for example. As a result, the presence or absence of attack traffic and its type can be presented to the user.
  • the output unit 15, for example, outputs the aggregated result to a processing unit provided inside or outside the traffic monitoring device 10, and the processing unit identifies the presence or absence of attack traffic and its type based on the aggregated result.
  • the processing unit may execute a process of displaying the logical network determined to have attack traffic on the display device and/or a process of blocking communication in the logical network.
  • the TCP flag is used as identification information that can be used to identify DDoS attacks, that is, to identify attack traffic (for example, the presence or absence of attack traffic, and at least the former of its types).
  • Information that can specify the traffic type using packet format bit string information, such as ICMP, UDP, NTP, and HTTP requests, may be adopted as the information.
  • the aggregation unit 14 may aggregate the packet data amount for each rule instead of or in addition to the specific number of times of the rule.
  • the receiving unit 11 or the clipping unit 12 specifies the data amount of the received packet, and supplies the specified data amount of the packet to the counting unit 14 via the rule specifying unit 13 or directly.
  • the totaling unit 14 is supplied with the data amount together with the rule number from the rule specifying unit 13 .
  • the tallying unit 14 tallies the data amount by accumulating the supplied data amount for each rule number. In this way, for each rule specified by the packet rule specifying unit 13, the tallying unit 14 tallies at least one of the number of times the rule is specified and the data amount of the packet specified as the rule. do.
  • the rule control unit 16 generates the new rule as a monitoring rule and registers it in the rule table 19A when the result of counting by the counting unit 14 satisfies a predetermined criterion.
  • the offset control unit 17 also generates the new offset and stores it in the storage unit 19 .
  • a predetermined criterion is, for example, when one of the specific number of times per predetermined period and the amount of data exceeds a predetermined threshold value set for one of them. Alternatively, it is acceptable if both the specific number of times per predetermined period and the data amount exceed respective threshold values set for both of them.
  • the extraction unit 12 extracts the first identification information (field value) for identifying the flow from the packet received by the reception unit 11 based on the offset specifying the extraction position of the packet.
  • the rule identifying unit 13 also identifies a rule having information that matches the first identification information extracted by the extracting unit 12 .
  • the tallying unit 14 tallies at least one of the specified number of times for the rule and the data amount of the packet specified for the rule.
  • the offset control unit 17 cuts out not only the first identification information but also the second identification information (for example, the TCP flag in field 5) that can be used to identify the attack traffic when the aggregation result by the aggregation unit 14 satisfies a predetermined criterion.
  • the rule specifying unit 13 creates a new rule having information that matches the first identification information and the second identification information extracted based on the new offset by the extracting unit 12 (for example, rules #4 to #6). either).
  • the tallying unit 14 tallies at least one of the specified number of times of the new rule or the amount of data of the packet specified as the new rule. In such a configuration, the load processing for specifying the rule by the rule specifying unit 13 is light due to the clipping by the offset.
  • attack traffic is identified with light load processing.
  • the rule identifying unit 13 identifies, from among the one or more rules, a rule having information that matches the first identification information extracted by the extracting unit 12, and the rule controlling unit 16 collects the result obtained by the totalizing unit 14. satisfies a predetermined criterion, the new rule is generated and added to the one or more rules, so the number of rules before the totalized result satisfies the predetermined criterion can be suppressed. This realizes light load handling.
  • the rule identifying unit 13 identifies a rule having information matching the first identification information from among the one or more rules registered in the rule table, and the rule control unit 16 identifies the newly generated new A rule is registered in the rule table.
  • the output unit 15 may output a tally result of tallying at least one of the specified number of times of the new rule or the amount of data of the packet specified as the new rule. It is possible to notify the presence or the like.
  • FIG. 7 shows a hardware configuration diagram when the traffic monitoring device 10 is configured by a computer.
  • the traffic monitoring device 10 includes a processor 101 such as a CPU, a main memory 102 of the processor 101, and a non-volatile storage device 103 that stores programs and various data and constitutes the storage unit 19 in FIG. Furthermore, the traffic monitoring device 10 includes a NIC (Network Interface Card) 104 that is connected to the communication network NW and relays packets.
  • the processor 101 executes or uses programs and data stored in the storage device 103 and read out to the main memory 102 to operate as the units 11 to 17 described above.
  • the receiving unit 11 and the output unit 15 may be implemented by a combination of the processor 101 executing the program and the NIC 104 .
  • the present invention is not limited to the above embodiments and modifications.
  • the present invention includes various modifications to the above embodiments and modifications that can be understood by those skilled in the art within the scope of the technical idea of the present invention.
  • the configurations described in the above embodiments and modified examples can be appropriately combined within a consistent range. It is also possible to delete any configuration among the above configurations.
  • the various programs described above may be stored not only in the non-volatile storage device 103 but also in a non-temporary computer-readable storage medium.
  • "Apparatus” and "unit” refer to an object whose configuration realizing its operation is housed in a plurality of housings, even if the configuration realizing its operation is housed in a single housing ( system).

Abstract

A traffic monitoring device (10) is provided with: a cutting-out unit (12) that cuts out first identification information identifying a flow from a packet received by a reception unit (11), on the basis of an offset that specifies a cutting-out position of the packet; a rule identification unit (13) that identifies rules including information that matches the first identification information cut out by the cutting-out unit (12); and a counting unit (14) that counts the number of times rules are identified, etc., by the rule identification unit (13). The traffic monitoring device (10) is further provided with an offset control unit (17) that, when the number of times rules are identified, etc., exceeds a prescribed reference value, generates a new offset for cutting out second identification information that can be used to identify attack traffic, in addition to the first identification information. The rule identification unit (13) identifies rules including information that matches the first identification information and the second identification information cut out by the cutting-out unit, and the counting unit (14) counts the number of times rules including information that matches the first identification information and the second identification information are identified. This configuration allows for identification of attack traffic through low load processing.

Description

トラフィック監視装置、トラフィック監視方法、及びプログラムTRAFFIC MONITORING DEVICE, TRAFFIC MONITORING METHOD, AND PROGRAM
 本発明は、トラフィック監視装置、トラフィック監視方法、及びプログラムに関する。 The present invention relates to a traffic monitoring device, a traffic monitoring method, and a program.
 ネットワークにおいてトラフィックを過剰に送ることで、ネットワーク装置を攻撃するflood攻撃が存在している。古典的なDoS(Denial of Services)と呼ばれる攻撃に対して、従来は5-tupleと呼ばれるIPパケットフィールドのヘッダ解析を行い、それをもとに攻撃元を指定することで攻撃トラフィックを遮断してきた。しかし最近、DDos(Distributed Denial of Services)と呼ばれるTCP又はUDPといったLayer4プロトコルの仕組みを悪用して複数の攻撃元から攻撃を行う手法が出現した。このようなDDoS攻撃に対しては、5-tuple解析での対処が困難であるため、Layer4以上のプロトコル情報を5-tupleに追加して解析することで攻撃トラフィックを識別してきた。 There are flood attacks that attack network devices by sending excessive traffic on the network. Conventionally, against attacks called DoS (Denial of Services), attack traffic was blocked by analyzing the header of the IP packet field called 5-tuple and specifying the attack source based on that analysis. . Recently, however, a method called DDos (Distributed Denial of Services) has emerged, in which a Layer 4 protocol mechanism such as TCP or UDP is exploited to attack from multiple attack sources. Since it is difficult to deal with such DDoS attacks with 5-tuple analysis, we have identified attack traffic by adding protocol information of Layer 4 or higher to 5-tuple and analyzing it.
 一方、ネットワークが高速化するにつれて、流れるフロー数が爆発的に増大している。全トラフィックを解析して攻撃トラフィックを識別することが困難であり、効率的に攻撃トラフィックを特定するために機械学習を用いた過去の攻撃データからの攻撃トラフィック推測などが提案されている(例えば、非特許文献1)。 On the other hand, as the speed of the network increases, the number of flowing flows increases explosively. It is difficult to identify attack traffic by analyzing all traffic, and in order to efficiently identify attack traffic, methods such as estimating attack traffic from past attack data using machine learning have been proposed (for example, Non-Patent Document 1).
 機械学習などを用いた推測手法ではルール生成のための学習時間が必要であることや、機械学習処理自体の処理負荷により、攻撃からその攻撃の検知までのタイムラグが大きくなる課題がある。 Inference methods that use machine learning, etc., require learning time to generate rules, and the processing load of the machine learning process itself increases the time lag between an attack and its detection.
 本発明は、軽度な負荷処理で攻撃トラフィックを識別することを課題とする。 The object of the present invention is to identify attack traffic with light load processing.
 上記課題を解決するために、本発明に係るトラフィック監視装置は、通信ネットワークのトラフィックを監視するトラフィック監視装置であって、前記通信ネットワークを流れるパケットを受信する受信部と、前記受信部が受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出し部と、前記切出し部により切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定部と、前記ルール特定部により特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計部と、前記集計部による集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御部と、を備え、前記ルール特定部は、前記切出し部により前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、前記集計部は、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する。 In order to solve the above problems, a traffic monitoring device according to the present invention is a traffic monitoring device for monitoring traffic in a communication network, comprising a receiving unit for receiving packets flowing through the communication network, and a packet received by the receiving unit. Identifying a clipping section for clipping first identification information for identifying a flow from the packet based on an offset that specifies the packet clipping position, and a rule having information matching the first identification information clipped by the clipping section. an aggregating unit for aggregating at least one of the specified number of times for each rule specified by the rule specifying unit and the amount of data of the packet specified as the rule, and the aggregating a new offset for extracting not only the first identification information but also the second identification information that can be used to identify attack traffic when the aggregation result by the unit satisfies a predetermined criterion; and a new offset control unit that generates a new offset control unit that has information that matches the first identification information and the second identification information extracted based on the new offset by the extracting unit. A rule is specified, and the aggregation unit aggregates at least one of a specified number of times of the new rule or a data amount of the packet specified with the new rule.
 また、本発明に係るトラフィック監視方法は、前記通信ネットワークを流れるパケットを受信する受信ステップと、前記受信ステップで受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出しステップと、前記切出しステップにより切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定ステップと、前記ルール特定ステップにより特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計ステップと、前記集計ステップによる集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御ステップと、を備え、前記ルール特定ステップは、前記切出しステップにより前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、前記集計ステップは、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する。 Further, the traffic monitoring method according to the present invention includes a receiving step of receiving packets flowing through the communication network, and a third step of identifying a flow from the packets based on an offset specifying a cut-out position of the packets received in the receiving step. a step of extracting 1 identification information; a rule specifying step of specifying a rule having information matching the first identification information extracted by the extracting step; a totaling step of totaling at least one of the specified number of times and the data amount of the packet identified as the rule; and an offset control step of generating a new offset as the offset to be used by the extraction unit for also extracting second identification information that can be used to identify attack traffic, wherein the rule specifying step comprises the extraction step. identifies a new rule having information that matches the first identification information and the second identification information extracted based on the new offset, and the tallying step includes counting the specified number of times of the new rule or the new At least one of a valid rule and the amount of data of the identified packets is aggregated.
 また、本発明に係るプログラムは、前記通信ネットワークを流れるパケットを受信する受信ステップと、前記受信ステップで受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出しステップと、前記切出しステップにより切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定ステップと、前記ルール特定ステップにより特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計ステップと、前記集計ステップによる集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御ステップと、を実行させ、前記ルール特定ステップは、前記切出しステップにより前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、前記集計ステップは、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する。 Further, the program according to the present invention comprises: a receiving step of receiving a packet flowing through the communication network; a step of extracting information; a rule specifying step of specifying a rule having information that matches the first identification information extracted by the extracting step; and specifying the rule for each rule specified by the rule specifying step. a tallying step of tallying at least one of the number of times and the amount of data of the packet identified as the rule; and attack traffic in addition to the first identification information when the tallied result of the tallying step satisfies a predetermined criterion. an offset control step of generating a new offset for also cutting out second identification information that can be used to identify the rule as the offset used by the cutting unit, and the rule specifying step is performed by the cutting step Identifying a new rule having information that matches the first identification information and the second identification information extracted based on the new offset; At least one of the rules and the amount of data in the identified packets is aggregated.
 本発明によれば、軽度な負荷処理で攻撃トラフィックが識別される。 According to the present invention, attack traffic is identified with light load processing.
図1は、本発明の一実施形態のトラフィック監視装置の構成図である。FIG. 1 is a configuration diagram of a traffic monitoring device according to one embodiment of the present invention. 図2は、パケットのデータ構造の一例を示す図である。FIG. 2 is a diagram showing an example of the data structure of a packet. 図3は、オフセットによるパケットの切り出しの方法を説明するための図である。FIG. 3 is a diagram for explaining a method of extracting packets by offset. 図4は、ルールテーブルの構成例を示す図である。FIG. 4 is a diagram showing a configuration example of a rule table. 図5は、ルールテーブルの構成例を示す図である。FIG. 5 is a diagram showing a configuration example of a rule table. 図6は、オフセットによるパケットの切り出しの方法を説明するための図である。FIG. 6 is a diagram for explaining a method of extracting packets based on offsets. 図7は、図1のトラフィック監視装置をコンピュータにより構成したときの構成図である。FIG. 7 is a configuration diagram when the traffic monitoring apparatus of FIG. 1 is configured by a computer.
 以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
 本実施の形態に係るトラフィック監視装置10は、図1に示すように、受信部11と、切出し部12と、ルール特定部13と、集計部14と、出力部15と、を備える。トラフィック監視装置10は、ルール制御部16と、オフセット制御部17と、記憶部19と、を備える。このような構成のトラフィック監視装置10は、通信ネットワークNWのトラフィックを監視するように構成されている。 The traffic monitoring device 10 according to the present embodiment includes a receiving unit 11, an extracting unit 12, a rule specifying unit 13, an aggregating unit 14, and an output unit 15, as shown in FIG. The traffic monitoring device 10 includes a rule control section 16 , an offset control section 17 and a storage section 19 . The traffic monitoring device 10 having such a configuration is configured to monitor traffic on the communication network NW.
 上記各部11~17の少なくとも一部は、例えば、FPGA(Field-Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などに書き込まれた論理回路から構成される。各部11~17の少なくとも一部は、プログラムを実行するCPU(Central Processing Unit)などのプロセッサにより構成されてもよい。記憶部19は、フラッシュメモリ、SSD(Solid State Drive)などの適宜の不揮発性の記憶装置からなる。記憶部19は、FPGA(Field-Programmable Gate Array)、ASIC(Application Specific Integrated Circuit)などの少なくとも一部のメモリにより構成されてもよい。各部11~17は、処理中のデータなどを一時的に保持するメモリを含んで構成されてもよい。 At least part of each of the above units 11 to 17 is composed of a logic circuit written in, for example, FPGA (Field-Programmable Gate Array), ASIC (Application Specific Integrated Circuit), or the like. At least part of each unit 11 to 17 may be configured by a processor such as a CPU (Central Processing Unit) that executes programs. The storage unit 19 is composed of an appropriate non-volatile storage device such as a flash memory or SSD (Solid State Drive). The storage unit 19 may be composed of at least a part of memory such as FPGA (Field-Programmable Gate Array), ASIC (Application Specific Integrated Circuit), or the like. Each of the units 11 to 17 may include a memory that temporarily holds data being processed.
 受信部11は、通信ネットワークNWを流れる複数のパケット(より具体的にはミラーリングパケット)を、1つずつ、順次受信して切出し部12に出力する。パケットは、図2に示すように、データ(ペイロードともいう)と、データの前に配置されたヘッダと、で構成されている。ヘッダには、図2に示すように、送信元MACアドレス、宛先MACアドレスが含まれる。ヘッダには、さらに、送信元及び宛先IPアドレス、送信元及び宛先Portアドレス、VLANID、通信プロトコルなどの任意の情報が含まれる。 The receiving unit 11 sequentially receives a plurality of packets (more specifically, mirroring packets) flowing through the communication network NW one by one and outputs them to the extracting unit 12 . As shown in FIG. 2, a packet consists of data (also called payload) and a header placed before the data. The header includes a source MAC address and a destination MAC address, as shown in FIG. The header also includes arbitrary information such as source and destination IP addresses, source and destination port addresses, VLANID, communication protocol, and the like.
 図1に戻り、切出し部12は、パケットからその一部を切り出す。この切り出し位置は、記憶部19に記憶されているオフセットにより特定される。切出し部12は、このオフセットに基づいて、当該オフセットが特定する切り出し位置でパケットからその一部を切り出す。ここで、切り出す一部は、ビット区切りであり、フィールド値ともいう。フィールド値が一致するパケットの一群をフローともいう。換言すると、フィールド値は、フローを識別する識別情報でもある。オフセットにより特定される切り出し位置は、切り出されたフィールド値が監視対象のフローを特定するのに必要十分な部分を含むように設定されている。切り出されたフィールド値は、各種アドレス、VLANID、通信プロトコルなどを含む。フィールド値は、必ずしもパケットヘッダにおけるプロトコルフィールドと一致する必要はなく、複数のヘッダフィールド(例えば、図2のL2ヘッダとL3ヘッダ)にまたがる値であってもよい。 Returning to FIG. 1, the extraction unit 12 extracts a portion of the packet. This clipping position is specified by the offset stored in the storage unit 19 . Based on this offset, the clipping unit 12 clips a part of the packet at the clipping position specified by the offset. Here, the clipped part is a bit delimiter and is also called a field value. A group of packets with matching field values is also called a flow. In other words, the field value is also identification information that identifies the flow. The clipping position specified by the offset is set so that the clipped field value includes a necessary and sufficient portion to specify the flow to be monitored. The extracted field values include various addresses, VLANIDs, communication protocols, and the like. The field value does not necessarily have to match the protocol field in the packet header, and may span multiple header fields (eg, the L2 and L3 headers in FIG. 2).
 図3にオフセットに基づく切り出しの一例を示す。図3では、1つのオフセットとして、オフセット1~4が用意されており、これらにより、パケットの中のフィールド1~4を付した位置のフィールド値として切り出される。オフセット1~4は、切り出す領域の先頭を示し、その先頭から一定数のビットのデータが切り出される。なお、監視対象のパケットのヘッダのデータ構造に応じて複数のオフセットが用意されてもよい。この場合、切出し部12は、パケットをオフセットの数だけコピーし、各パケットに対して各オフセットをそれぞれ適用して切り出しを行う。切出し部12は、単一のパケットから各オフセットのそれぞれで特定される切り出し位置のデータをコピーすることで、各オフセットに基づく各フィールド値を切り出してもよい。以降、複数の切り出し部分について下記の処理が行われる。 Fig. 3 shows an example of clipping based on the offset. In FIG. 3, offsets 1 to 4 are prepared as one offset, and these are used to cut out the field values of the positions labeled with fields 1 to 4 in the packet. Offsets 1 to 4 indicate the beginning of the region to be cut out, from which a certain number of bits of data are cut out. A plurality of offsets may be prepared according to the data structure of the header of the packet to be monitored. In this case, the clipping unit 12 copies packets by the number of offsets, and applies each offset to each packet to clip. The extraction unit 12 may extract each field value based on each offset by copying the data at the extraction position specified by each offset from a single packet. After that, the following processing is performed for a plurality of clipped portions.
 切出し部12により切り出されたフィールド値は、ルール特定部13に入力される。ルール特定部13は、入力されたフィールド値と、フローごとに用意されたルールとを比較する。ルールは、記憶部19に記憶されているルールテーブル19Aに登録されており、ルール特定部13は、ルールテーブル19Aに登録されているルールの中から、前記入力されたフィールド値と一致する値を有するルールを特定する。 The field value extracted by the extraction unit 12 is input to the rule identification unit 13. The rule identification unit 13 compares the input field values with rules prepared for each flow. The rules are registered in the rule table 19A stored in the storage unit 19, and the rule specifying unit 13 selects a value that matches the input field value from among the rules registered in the rule table 19A. Identify the rules you have.
 ルールテーブル19Aの構成例を図4に示す。ルールテーブル19A内の「*」は、ルールと比較されるフィールド値の対応部分の値がどのような値(値無しでもよい)でも一致すると扱われることを示す。例えば、フィールド3の値が「12」で、フィールド4の値が「8080」であるフィールド値は、他の値がどのような値(例えば、図3のオフセットにより切り出されるフィールド5の無いフィールド値を含む)であっても、図4におけるルール#2が特定される。 A configuration example of the rule table 19A is shown in FIG. A "*" in the rule table 19A indicates that any value (even no value) of the corresponding portion of the field value to be compared with the rule is treated as a match. For example, a field value where the value of field 3 is "12" and the value of field 4 is "8080" is any other value (for example, the field value without field 5 extracted by the offset in FIG. 3). ), rule #2 in FIG. 4 is specified.
 ルール特定部13は、特定したルールのルール番号(ここでは、#1~#3のいずれか)を集計部14に供給する。集計部14は、ルール特定部13からのルール番号の供給回数(つまり、受信部11に入力されたパケット数)を、ルール番号ごとにカウントする。このようにして、集計部14は、ルール特定部13によるルールの特定回数をルールごとに集計する。ここで、ルールは、論理ネットワークごとに用意されている。ある論理ネットワークに対してflood攻撃があった場合、その論理ネットワークのルールの集計部14によるカウント回数(ルールの特定回数)は増加する。これを検知するため、集計部14は、所定期間あたりの前記カウント回数が所定の閾値を超えたときに、その閾値を超えたルールのルール番号をルール制御部16に通知する。 The rule identifying unit 13 supplies the rule number of the identified rule (here, one of #1 to #3) to the counting unit 14. The tallying unit 14 counts the number of times the rule number is supplied from the rule identifying unit 13 (that is, the number of packets input to the receiving unit 11) for each rule number. In this way, the tallying unit 14 tallies the number of rules specified by the rule specifying unit 13 for each rule. Here, rules are prepared for each logical network. When there is a flood attack on a certain logical network, the number of counts (specific number of rules) by the totaling unit 14 for the rules of that logical network increases. In order to detect this, the tallying unit 14 notifies the rule control unit 16 of the rule number of the rule exceeding the threshold when the number of counts per predetermined period exceeds the threshold.
 ここで、記憶部19などには、ルール番号とパケットヘッダ構成(より具体的には、ヘッダのどの位置にどのデータが配置されているかを特定する情報)とが記憶されているものとする。ルール制御部16は、ルール番号の通知があった場合、当該ルール番号に対応するパケットヘッダ構成を、攻撃を受けているネットワークのパケットヘッダ構成として記憶部19などから取得する。パケットヘッダ構成は、ルールテーブル19Aに登録されているルールの内容(フィールド1~5の内容)により特定可能であってもよい。この場合、通知されたルール番号のルールが参照される。ルール制御部16は、特定されたパケットヘッダ構成をもとに、パケットに含まれる情報のうち、DDoS攻撃の種別の識別に使用可能な新たな識別情報と比較される識別情報を付け加えた新しいルールを監視ルールとして生成してルールテーブル19Aに登録する。ここで付け加えられる情報は例えばTCPの種別を表すTCPフラグなどである。図4のルールテーブル19Aのルール#2についてのカウント数が増加した場合、図5に示すように、ルール#2のフィールド5にTCPフラグの値(「010000」など)を付加したルール#4~6が新たに登録される。 Here, it is assumed that the storage unit 19 or the like stores a rule number and a packet header configuration (more specifically, information specifying which data is located at which position in the header). When the rule number is notified, the rule control unit 16 acquires the packet header configuration corresponding to the rule number from the storage unit 19 or the like as the packet header configuration of the network under attack. The packet header configuration may be identifiable by the content of rules (contents of fields 1 to 5) registered in the rule table 19A. In this case, the rule with the notified rule number is referenced. Based on the specified packet header structure, the rule control unit 16 creates a new rule by adding identification information to be compared with new identification information that can be used to identify the type of DDoS attack among the information contained in the packet. is generated as a monitoring rule and registered in the rule table 19A. The information added here is, for example, a TCP flag indicating the type of TCP. When the count number for rule #2 in the rule table 19A of FIG. 4 increases, as shown in FIG. 6 is newly registered.
 さらにルール制御部16は特定したパケットヘッダ構成をオフセット制御部17へ通知する。オフセット制御部17はパケットヘッダ構成に基づいて、パケットから、DDoS攻撃を識別可能な識別情報(フィールド5の値)を、他の識別情報に加えて切り出すための新たなオフセットを生成し、生成したオフセットを記憶部19に格納する。このオフセットは、例えば、図3の定常時のオフセットにフィールド5を切り出すためのオフセット5を加えたものであり、オフセット1~5からなる(図6参照)。 Furthermore, the rule control unit 16 notifies the offset control unit 17 of the specified packet header configuration. Based on the packet header structure, the offset control unit 17 generates a new offset for extracting identification information (value of field 5) that can identify a DDoS attack from the packet in addition to other identification information. The offset is stored in storage unit 19 . This offset, for example, is obtained by adding an offset 5 for cutting out the field 5 to the stationary offset in FIG. 3, and consists of offsets 1 to 5 (see FIG. 6).
 これ以降、新たな監視ルール及びオフセットに基づいて後続のパケットが処理されることで、後続のトラフィックの監視が継続される。特に、トラフィックの攻撃を特定するために必要な情報が追加されたルール#4~#6それぞれについて、受信部11により受信したパケット数(ルール特定部13からのルール番号の供給回数)がカウントされるので、その攻撃の種別(ACK、SYN、FIN)がカウント数により特定される。ここでは、カウント数が多いルールの論理ネットワークに対して攻撃が行われていることになる。 From now on, subsequent traffic will continue to be monitored by processing subsequent packets based on the new monitoring rule and offset. In particular, the number of packets received by the receiving unit 11 (the number of times the rule number is supplied from the rule identifying unit 13) is counted for each of the rules #4 to #6 to which information necessary for identifying traffic attacks has been added. Therefore, the type of attack (ACK, SYN, FIN) is specified by the count number. Here, the attack is being carried out against the logical network of the rule with the large count number.
 出力部15は、集計部14により集計された、ルール特定部13によるルールのルールごとの特定回数を集計結果として出力する。出力部15は、例えば、トラフィック監視装置10が備える又はトラフィック監視装置10の外部の表示装置などに集計結果を表示する。これにより、攻撃トラフィックの有無やその種類をユーザなどに提示できる。出力部15は、例えば、集計結果を、トラフィック監視装置10の内部又は外部に設けられた処理部に出力し、当該処理部は、集計結果に基づいて、攻撃トラフィックの有無及びその種類を特定してもよい。処理部は、攻撃トラフィックがあると判定した論理ネットワークを前記表示装置に表示する処理、及び又は、当該論理ネットワークでの通信を遮断するための処理を実行してもよい。 The output unit 15 outputs the specified number of times for each rule by the rule specifying unit 13, which is counted by the counting unit 14, as a counting result. The output unit 15 displays the tally result on a display device provided in the traffic monitoring device 10 or an external display device of the traffic monitoring device 10, for example. As a result, the presence or absence of attack traffic and its type can be presented to the user. The output unit 15, for example, outputs the aggregated result to a processing unit provided inside or outside the traffic monitoring device 10, and the processing unit identifies the presence or absence of attack traffic and its type based on the aggregated result. may The processing unit may execute a process of displaying the logical network determined to have attack traffic on the display device and/or a process of blocking communication in the logical network.
 上記説明では、DDoS攻撃の識別つまり攻撃トラフィックの識別(例えば、攻撃トラフィックの有無、及び、その種類のうちの少なくとも前者)に使用可能な識別情報としてTCPフラグが用いられているが、当該識別情報としては、ICMP,UDP,NTP,HTTPリクエストなどパケットフォーマットのビット列情報を用いてトラフィック種別を特定できる情報が採用されてもよい。 In the above description, the TCP flag is used as identification information that can be used to identify DDoS attacks, that is, to identify attack traffic (for example, the presence or absence of attack traffic, and at least the former of its types). Information that can specify the traffic type using packet format bit string information, such as ICMP, UDP, NTP, and HTTP requests, may be adopted as the information.
 集計部14は、上記ルールの特定回数に代えて又は加えて、ルールごとのパケットのデータ量を集計してもよい。この場合、受信部11又は切出し部12は、受信したパケットのデータ量を特定し、特定したパケットのデータ量を、ルール特定部13を介して又は直接集計部14に供給する。集計部14には、ルール特定部13からのルール番号とともに前記データ量が供給される。集計部14は、供給されたデータ量を、ルール番号ごとに蓄積することで、当該データ量についての集計を行う。このようにして、集計部14は、パケットルール特定部13により特定されたルールごとに、当該ルールの特定回数と、当該ルールと特定された前記パケットのデータ量と、のうちの少なくとも一方を集計する。ルール制御部16は、集計部14による集計結果が所定基準を満たしたとき、上記新しいルールを監視ルールとして生成してルールテーブル19Aに登録する。このとき、オフセット制御部17も、上記新たなオフセットを生成して記憶部19に格納する。集計部14による集計結果が所定基準を満たしたときとは、例えば、所定期間あたりの上記特定回数と上記データ量とのうちの一方が、その一方について設定されている所定の閾値を超えたとき、又は、所定期間あたりの上記特定回数と上記データ量との両者が当該両者のそれぞれに設定されている閾値をそれぞれ超えたときであればよい。 The aggregation unit 14 may aggregate the packet data amount for each rule instead of or in addition to the specific number of times of the rule. In this case, the receiving unit 11 or the clipping unit 12 specifies the data amount of the received packet, and supplies the specified data amount of the packet to the counting unit 14 via the rule specifying unit 13 or directly. The totaling unit 14 is supplied with the data amount together with the rule number from the rule specifying unit 13 . The tallying unit 14 tallies the data amount by accumulating the supplied data amount for each rule number. In this way, for each rule specified by the packet rule specifying unit 13, the tallying unit 14 tallies at least one of the number of times the rule is specified and the data amount of the packet specified as the rule. do. The rule control unit 16 generates the new rule as a monitoring rule and registers it in the rule table 19A when the result of counting by the counting unit 14 satisfies a predetermined criterion. At this time, the offset control unit 17 also generates the new offset and stores it in the storage unit 19 . When the result of counting by the counting unit 14 satisfies a predetermined criterion is, for example, when one of the specific number of times per predetermined period and the amount of data exceeds a predetermined threshold value set for one of them. Alternatively, it is acceptable if both the specific number of times per predetermined period and the data amount exceed respective threshold values set for both of them.
 以上のように、切出し部12は、受信部11が受信したパケットの切り出し位置を特定するオフセットに基づいて、前記のパケットからフローを識別する第1識別情報(フィールド値)を切り出す。また、ルール特定部13は、切出し部12により切り出された第1識別情報と一致する情報を有するルールを特定する。集計部14は、ルール特定部13により特定されたルールごとに、当該ルールの特定回数と当該ルールと特定されたパケットのデータ量とのうちの少なくとも一方を集計する。オフセット制御部17は、集計部14による集計結果が所定基準を満たしたときに第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報(例えば、フィールド5のTCPフラグ)も切り出すための新たなオフセットを切出し部12により使用される前記オフセットとして生成する。そして、ルール特定部13は、切出し部12により前記新たなオフセットに基づいて切り出された第1識別情報及び第2識別情報と一致する情報を有する新たなルール(例えば、ルール#4~#6のいずれか)を特定する。集計部14は、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する。このような構成では、上記オフセットによる切り出しにより、ルール特定部13によるルールの特定の負荷処理が軽度となっている。また、集計結果が所定基準を満たしたときに第2識別情報を切り出すための新たなオフセットが生成され、このオフセットで切り出された第2識別情報に基づくルールの特定及び集計がなされるので、集計された特定回数及び又はデータ量の多いルールつまりフローが攻撃トラフィックの対象となっていることが分かる。従って、本実施の形態によれば、軽度な負荷処理で攻撃トラフィックが識別される。 As described above, the extraction unit 12 extracts the first identification information (field value) for identifying the flow from the packet received by the reception unit 11 based on the offset specifying the extraction position of the packet. The rule identifying unit 13 also identifies a rule having information that matches the first identification information extracted by the extracting unit 12 . For each rule specified by the rule specifying unit 13, the tallying unit 14 tallies at least one of the specified number of times for the rule and the data amount of the packet specified for the rule. The offset control unit 17 cuts out not only the first identification information but also the second identification information (for example, the TCP flag in field 5) that can be used to identify the attack traffic when the aggregation result by the aggregation unit 14 satisfies a predetermined criterion. generates a new offset for , as the offset used by the segmenter 12 . Then, the rule specifying unit 13 creates a new rule having information that matches the first identification information and the second identification information extracted based on the new offset by the extracting unit 12 (for example, rules #4 to #6). either). The tallying unit 14 tallies at least one of the specified number of times of the new rule or the amount of data of the packet specified as the new rule. In such a configuration, the load processing for specifying the rule by the rule specifying unit 13 is light due to the clipping by the offset. In addition, when the aggregation result satisfies a predetermined criterion, a new offset is generated for extracting the second identification information, and the rules are specified and aggregated based on the second identification information extracted by this offset. It can be seen that rules or flows with a certain number of times and/or a large amount of data are targeted for attack traffic. Therefore, according to the present embodiment, attack traffic is identified with light load processing.
 さらに、ルール特定部13は、1以上のルールのうちから、切出し部12により切り出された第1識別情報と一致する情報を有するルールを特定し、ルール制御部16が、集計部14による集計結果が所定基準を満たしたときに、前記新たなルールを生成して前記1以上のルールに追加するので、集計結果が所定基準を満たす前におけるルール数を抑えることができる。これにより、軽度な負荷処理が実現される。 Furthermore, the rule identifying unit 13 identifies, from among the one or more rules, a rule having information that matches the first identification information extracted by the extracting unit 12, and the rule controlling unit 16 collects the result obtained by the totalizing unit 14. satisfies a predetermined criterion, the new rule is generated and added to the one or more rules, so the number of rules before the totalized result satisfies the predetermined criterion can be suppressed. This realizes light load handling.
 さらに、ルール特定部13は、ルールテーブルに登録された1以上のルールのうちから前記第1識別情報と一致する情報を有するルールを特定し、ルール制御部16は、新たに生成した前記新たなルールを前記ルールテーブルに登録する。このようにルールをテーブルで管理することで、ルールの管理が容易となる。 Further, the rule identifying unit 13 identifies a rule having information matching the first identification information from among the one or more rules registered in the rule table, and the rule control unit 16 identifies the newly generated new A rule is registered in the rule table. By managing the rules in a table in this way, the management of the rules becomes easy.
 さらに、出力部15が、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計した集計結果を出力するとよく、これにより、攻撃トラフィックの有無等を報知等することができる。 Furthermore, the output unit 15 may output a tally result of tallying at least one of the specified number of times of the new rule or the amount of data of the packet specified as the new rule. It is possible to notify the presence or the like.
 図7にトラフィック監視装置10をコンピュータにより構成したときのハードウェア構成図を示す。トラフィック監視装置10は、CPUなどのプロセッサ101と、プロセッサ101のメインメモリ102と、プログラム及び各種データを記憶し、図1の記憶部19を構成する不揮発性の記憶装置103と、を備える。さらに、トラフィック監視装置10は、通信ネットワークNWに接続され、パケットを中継するNIC(Network Interface Card)104を備える。プロセッサ101は、記憶装置103に記憶され、メインメモリ102に読み出されたプログラム及びデータを実行又は使用して上記各部11~17として動作する。なお、受信部11及び出力部15は、プログラムを実行するプロセッサ101とNIC104との組み合わせにより実現されてもよい。 FIG. 7 shows a hardware configuration diagram when the traffic monitoring device 10 is configured by a computer. The traffic monitoring device 10 includes a processor 101 such as a CPU, a main memory 102 of the processor 101, and a non-volatile storage device 103 that stores programs and various data and constitutes the storage unit 19 in FIG. Furthermore, the traffic monitoring device 10 includes a NIC (Network Interface Card) 104 that is connected to the communication network NW and relays packets. The processor 101 executes or uses programs and data stored in the storage device 103 and read out to the main memory 102 to operate as the units 11 to 17 described above. Note that the receiving unit 11 and the output unit 15 may be implemented by a combination of the processor 101 executing the program and the NIC 104 .
[本発明の範囲]
 本発明は、上記の実施の形態及び変形例に限定されるものではない。例えば、本発明には、本発明の技術思想の範囲内で当業者が理解し得る、上記の実施の形態及び変形例に対する様々な変更が含まれる。上記実施の形態及び変形例に挙げた各構成は、矛盾の無い範囲で適宜組み合わせることができる。また、上記の各構成のうちの任意の構成を削除することも可能である。上記各種のプログラムは、不揮発性の記憶装置103に限らず、非一時的なコンピュータ読み取り可能な記憶媒体に記憶されてもよい。「装置」及び「部」は、その動作を実現する構成が一つの筐体に収容された物であっても、その動作を実現する構成が複数の筐体に分散して収容された物(システム)であってもよい。 [Scope of the present invention]
The present invention is not limited to the above embodiments and modifications. For example, the present invention includes various modifications to the above embodiments and modifications that can be understood by those skilled in the art within the scope of the technical idea of the present invention. The configurations described in the above embodiments and modified examples can be appropriately combined within a consistent range. It is also possible to delete any configuration among the above configurations. The various programs described above may be stored not only in the non-volatile storage device 103 but also in a non-temporary computer-readable storage medium. "Apparatus" and "unit" refer to an object whose configuration realizing its operation is housed in a plurality of housings, even if the configuration realizing its operation is housed in a single housing ( system).
 10…トラフィック監視装置、11…受信部、12…切出し部、13…ルール特定部、14…集計部、15…出力部、16…ルール制御部、17…オフセット制御部、19…記憶部、19A…ルールテーブル、101…プロセッサ、102…メインメモリ、103…記憶装置、NW…通信ネットワーク。 DESCRIPTION OF SYMBOLS 10... Traffic monitoring apparatus 11... Reception part 12... Extraction part 13... Rule identification part 14... Aggregation part 15... Output part 16... Rule control part 17... Offset control part 19... Storage part 19A ... rule table, 101 ... processor, 102 ... main memory, 103 ... storage device, NW ... communication network.

Claims (6)

  1.  通信ネットワークのトラフィックを監視するトラフィック監視装置であって、
     前記通信ネットワークを流れるパケットを受信する受信部と、
     前記受信部が受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出し部と、
     前記切出し部により切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定部と、
     前記ルール特定部により特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計部と、
     前記集計部による集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御部と、を備え、
     前記ルール特定部は、前記切出し部により前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、
     前記集計部は、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する、
     トラフィック監視装置。     A traffic monitoring device for monitoring traffic in a communication network,
    a receiving unit that receives packets flowing through the communication network;
    a clipping unit for clipping first identification information for identifying a flow from the packet based on an offset specifying a clipping position of the packet received by the receiving unit;
    a rule specifying unit that specifies a rule having information that matches the first identification information extracted by the extracting unit;
    an aggregation unit that aggregates, for each rule specified by the rule specifying unit, at least one of the specified number of times of the rule and the amount of data of the packet specified as the rule;
    The extracting unit uses a new offset for extracting not only the first identification information but also the second identification information that can be used to identify the attack traffic when the aggregation result by the aggregation unit satisfies a predetermined criterion. and an offset control unit that generates the offset,
    The rule identifying unit identifies a new rule having information that matches the first identification information and the second identification information cut out by the cutout unit based on the new offset,
    The aggregation unit aggregates at least one of a specific number of times of the new rule or a data amount of the packet identified as the new rule,
    traffic monitoring equipment.
  2.  前記ルール特定部は、1以上のルールのうちから、前記切出し部により切り出された前記第1識別情報と一致する情報を有するルールを特定し、
     前記集計結果が前記所定基準を満たしたときに、前記新たなルールを生成して前記1以上のルールに追加するルール制御部をさらに備える、
     請求項1に記載のトラフィック監視装置。     The rule identifying unit identifies, from among one or more rules, a rule having information that matches the first identification information extracted by the extracting unit;
    Further comprising a rule control unit that generates the new rule and adds it to the one or more rules when the counted result satisfies the predetermined criterion,
    A traffic monitoring device according to claim 1.
  3.  前記ルール特定部は、ルールテーブルに登録された前記1以上のルールのうちから前記第1識別情報と一致する情報を有する前記ルールを特定し、
     前記ルール制御部は、前記新たなルールを前記ルールテーブルに登録する、
     請求項2に記載のトラフィック監視装置。     The rule identifying unit identifies the rule having information that matches the first identification information from among the one or more rules registered in the rule table,
    the rule control unit registers the new rule in the rule table;
    3. A traffic monitoring device according to claim 2.
  4.  前記集計部による、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計した集計結果を出力する出力部をさらに備える、
     請求項1から3のいずれか1項に記載のトラフィック監視装置。     further comprising an output unit configured to output an aggregation result obtained by aggregating at least one of the specified number of times of the new rule or the amount of data of the packet identified as the new rule by the aggregating unit;
    A traffic monitoring device according to any one of claims 1 to 3.
  5.  通信ネットワークのトラフィックを監視するトラフィック監視方法であって、
     前記通信ネットワークを流れるパケットを受信する受信ステップと、
     前記受信ステップで受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出しステップと、
     前記切出しステップにより切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定ステップと、
     前記ルール特定ステップにより特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計ステップと、
     前記集計ステップによる集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御ステップと、を備え、
     前記ルール特定ステップは、前記切出しステップにより前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、
     前記集計ステップは、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する、
     トラフィック監視方法。     A traffic monitoring method for monitoring traffic in a communication network, comprising:
    a receiving step of receiving packets flowing through the communication network;
    a clipping step of clipping first identification information for identifying a flow from the packet based on the offset specifying the clipping position of the packet received in the receiving step;
    a rule specifying step of specifying a rule having information that matches the first identification information extracted by the extracting step;
    an aggregating step of aggregating at least one of a specified number of times for each rule specified by the rule specifying step and a data amount of the packet specified as the rule;
    A new offset for extracting not only the first identification information but also second identification information that can be used to identify attack traffic when the aggregation result of the aggregation step satisfies a predetermined criterion is used by the extraction unit. and an offset control step for generating the offset,
    The rule specifying step specifies a new rule having information that matches the first identification information and the second identification information extracted based on the new offset by the extraction step,
    The counting step counts at least one of a specific number of times of the new rule or a data amount of the packet identified as the new rule.
    Traffic monitoring method.
  6.  通信ネットワークのトラフィックを監視するコンピュータに、
     前記通信ネットワークを流れるパケットを受信する受信ステップと、
     前記受信ステップで受信した前記パケットの切り出し位置を特定するオフセットに基づいて前記パケットからフローを識別する第1識別情報を切り出す切出しステップと、
     前記切出しステップにより切り出された前記第1識別情報と一致する情報を有するルールを特定するルール特定ステップと、
     前記ルール特定ステップにより特定されたルールごとに、当該ルールの特定回数と当該ルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する集計ステップと、
     前記集計ステップによる集計結果が所定基準を満たしたときに前記第1識別情報に加え、攻撃トラフィックの識別に使用可能な第2識別情報も切り出すための新たなオフセットを、前記切出し部により使用される前記オフセットとして生成するオフセット制御ステップと、を実行させ、
     前記ルール特定ステップは、前記切出しステップにより前記新たなオフセットに基づいて切り出された前記第1識別情報及び前記第2識別情報と一致する情報を有する新たなルールを特定し、
     前記集計ステップは、前記新たなルールの特定回数又は前記新たなルールと特定された前記パケットのデータ量とのうちの少なくとも一方を集計する、
     プログラム。     A computer that monitors traffic on a communications network,
    a receiving step of receiving packets flowing through the communication network;
    a clipping step of clipping first identification information for identifying a flow from the packet based on the offset specifying the clipping position of the packet received in the receiving step;
    a rule specifying step of specifying a rule having information that matches the first identification information extracted by the extracting step;
    an aggregating step of aggregating at least one of a specified number of times for each rule specified by the rule specifying step and a data amount of the packet specified as the rule;
    A new offset for extracting not only the first identification information but also second identification information that can be used to identify attack traffic when the aggregation result of the aggregation step satisfies a predetermined criterion is used by the extraction unit. and an offset control step for generating the offset,
    The rule specifying step specifies a new rule having information that matches the first identification information and the second identification information extracted based on the new offset by the extraction step,
    The counting step counts at least one of a specific number of times of the new rule or a data amount of the packet identified as the new rule.
    program.
PCT/JP2021/046135 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program WO2023112175A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/046135 WO2023112175A1 (en) 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/046135 WO2023112175A1 (en) 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program

Publications (1)

Publication Number Publication Date
WO2023112175A1 true WO2023112175A1 (en) 2023-06-22

Family

ID=86773791

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/046135 WO2023112175A1 (en) 2021-12-14 2021-12-14 Traffic monitoring device, traffic monitoring method, and program

Country Status (1)

Country Link
WO (1) WO2023112175A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007116405A (en) * 2005-10-20 2007-05-10 Alaxala Networks Corp Method for detecting abnormal traffic and packet repeating apparatus
JP2009020781A (en) * 2007-07-13 2009-01-29 Sony Corp Histogram calculation circuit, histogram calculation method, and program
JP2011035932A (en) * 2005-05-20 2011-02-17 Alaxala Networks Corp Network controller and controlling method thereof
JP2015046683A (en) * 2013-08-27 2015-03-12 日本電信電話株式会社 Traffic scanning device and method
JP2018164141A (en) * 2017-03-24 2018-10-18 アラクサラネットワークス株式会社 Communication device and communication method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011035932A (en) * 2005-05-20 2011-02-17 Alaxala Networks Corp Network controller and controlling method thereof
JP2007116405A (en) * 2005-10-20 2007-05-10 Alaxala Networks Corp Method for detecting abnormal traffic and packet repeating apparatus
JP2009020781A (en) * 2007-07-13 2009-01-29 Sony Corp Histogram calculation circuit, histogram calculation method, and program
JP2015046683A (en) * 2013-08-27 2015-03-12 日本電信電話株式会社 Traffic scanning device and method
JP2018164141A (en) * 2017-03-24 2018-10-18 アラクサラネットワークス株式会社 Communication device and communication method

Similar Documents

Publication Publication Date Title
EP2289221B1 (en) Network intrusion protection
US9787556B2 (en) Apparatus, system, and method for enhanced monitoring, searching, and visualization of network data
CN108701187B (en) Apparatus and method for hybrid hardware-software distributed threat analysis
US8509106B2 (en) Techniques for preventing attacks on computer systems and networks
US10038715B1 (en) Identifying and mitigating denial of service (DoS) attacks
US7379426B2 (en) Routing loop detection program and routing loop detection method
KR101574193B1 (en) Apparatus and method for defending DDoS attack
US10505952B2 (en) Attack detection device, attack detection method, and attack detection program
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
US20070115850A1 (en) Detection method for abnormal traffic and packet relay apparatus
US11546266B2 (en) Correlating discarded network traffic with network policy events through augmented flow
WO2016106592A1 (en) Method and device for feature information analysis
EP2933954A1 (en) Network anomaly notification method and apparatus
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
US10693890B2 (en) Packet relay apparatus
JP2006279930A (en) Method and device for detecting and blocking unauthorized access
CN102577248A (en) Methods and apparatus for detection of a NAT device
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
JPWO2012147909A1 (en) Network device, communication system, abnormal traffic detection method and program
CN108616488B (en) Attack defense method and defense equipment
EP2452466B1 (en) Apparatus and method for enhancing forwarding, classification, and monitoring of network traffic
WO2023112175A1 (en) Traffic monitoring device, traffic monitoring method, and program
EP3092737B1 (en) Systems for enhanced monitoring, searching, and visualization of network data
WO2014089489A2 (en) Apparatus, system and method for enhanced network monitoring, data reporting, and data processing
WO2015105684A1 (en) Apparatus, system, and method for enhanced monitoring and interception of network data

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21968092

Country of ref document: EP

Kind code of ref document: A1