JP6721542B2 - トラヒック制御装置、方法、およびプログラム - Google Patents
トラヒック制御装置、方法、およびプログラム Download PDFInfo
- Publication number
- JP6721542B2 JP6721542B2 JP2017114031A JP2017114031A JP6721542B2 JP 6721542 B2 JP6721542 B2 JP 6721542B2 JP 2017114031 A JP2017114031 A JP 2017114031A JP 2017114031 A JP2017114031 A JP 2017114031A JP 6721542 B2 JP6721542 B2 JP 6721542B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- discard
- header
- unit
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御技術に関する。
現在のIP(Internet Protocol)ネットワークでは、サーバとエンドユーザ端末の間、あるいはサーバ間にあるスイッチやルータなどのIPネットワーク中継装置が通信パケットを解析することにより、効率的なパケット転送を行っている。図11は、一般的な通信事業者ネットワークの構成例である。図11に示すように、通信事業者に認証されたエンドユーザ端末は、ユーザ宅内装置を介して通信事業者の転送装置と通信し、所望のサービスを利用する。通信事業者は自社網内でユーザを認証し、然るべきトラヒック制御を行い、他事業者と網終端装置を介して相互接続することにより、グローバルなインターネット接続サービスを提供している。
このような通信事業者ネットワークにおいては、災害等により通信が集中する際に通信規制がかかり、サービスが利用できなくなる輻輳が起こることは広く知られている。一方、通信帯域を圧迫する要因は災害だけではなく、不正な意図を持つユーザが生成する多量・多頻度のデータや、度重なるサービス契約状態の変化により、事業者にとって望ましくないトラヒックが一定割合で流れることがあり、このようなトラヒックを非正規パケットと称する。非正規パケットは、事業者の効率的なネットワーク運用を阻害するだけでなく、ユーザの利便性も損なうため、非正規パケットの低減が望まれる。
SDNet(Software Defined Specification Environment for Networking)、http://japan.xilinx.com/support/documentation/backgrounders/j_sdnet-backgrounder.pdf
S.Dharmapurikar,et al.、"Deep Packet Inspection Using Parallel Bloom Filters"、IEEE micro、January/February(vol.24 2004)、Issue No.01、p.52-61
しかしながら、このような従来技術では、災害などの非常事態や特定のプロトコル、パケットの一部等、限定的な状況でのみ有効な要素技術であるため、定常状態において非正規パケットを低減するのは難しいという問題点があった。
不正な意図を持つユーザが生成する多量・多頻度のデータや度重なるサービス契約状態の変化を考慮し、特定のプロトコルに依存せずに非正規パケットを低減するため、とりわけパケットを解析するための技術は、異常トラヒックを早期に検出・遮断して安定化を図ることで保安上のリスク低減にも繋がり、事業者が安心かつ安全なインフラを支え続けるにあたって不可欠な技術である。
従来、このようなパケットを解析する方法のひとつとして、パケット分類技術が知られている。パケット分類では、パケットのヘッダ部分を解析することにより、プロトコルにしたがって定型的に必要な情報を抽出することができる。典型的にはスイッチチップやネットワークプロセッサ等に実装されるが、非特許文献1に示すようにFPGAに代表されるプログラマブルデバイスにも実装可能なパケットプロセッサも存在する。
しかしながら、これらパケット分類技術だけで常に非正規パケットを低減できるとは限らない。なぜなら事前の知識が十分でない場合、特定するための情報がパケットのヘッダ部分に存在するか、データ部分に存在するかを特定することが困難なためである。
他方、パケットを解析する別種の方法として、DPI(Deep Packet Inspection)技術が知られている。DPIは予め分類条件として指定しておいたパターンと、受信したパケットのユーザデータ部分における任意位置の特定ビット列とを照合し、一致するかどうか判定することによりターゲット・アプリケーションを識別する。従来、パケットのデータ部分を解析する方法として非特許文献2に示すような、パケットのデータ長に応じて複数の照合用フィルタを並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されている。
しかしながら、このようなチェックするデータ長に応じてフィルタを構成する方法では、効率が悪く実装コストが問題となる。また、任意位置の特定ビット列を解析できるものの、パケットヘッダのように仕様が定まっている定型的な処理に適用するには不向きである。したがって、前述したいずれの技術を用いても期待する非正規パケットの低減効果を得ることは難しい。
また、従来より専用装置で構成してきた通信サービスの機能が、近年汎用ハードウェアを用いたソフトウェア処理が主体となる仮想化された通信機能の処理に置き換わり始めている。したがって、トラヒック制御装置は、自装置との通信に用いる通信機能が仮想化された上位処理装置と連携して、トラヒック制御を行うような場合もある。このため、従来技術ではこのような通信環境の変化を考慮して非正規パケットの処理を適切に処理することは困難である。
本発明はこのような課題を解決するためのものであり、廃棄条件が複雑で非正規パケットの特定が難しいトラヒックであっても、仮想化された通信機能の処理を考慮して、非正規パケットを適切に廃棄して低減できるトラヒック制御技術を提供することを目的としている。
このような目的を達成するために、本発明にかかるトラヒック制御装置は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部とを備え、前記廃棄制御部は、前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理部と、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定部と、前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を含む応答パケットを生成する振分制御部と、前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御部とを備えている。
また、本発明にかかるトラヒック制御方法は、通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、廃棄制御部が、前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップとを備え、前記廃棄制御ステップは、前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理ステップと、前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定ステップと、前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御ステップと、前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御ステップとを含んでいる。
また、本発明にかかるプログラムは、コンピュータを、前述したトラヒック制御装置を構成する各部として機能させるためのプログラムである。
本発明によれば、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。また、外部接続された上位処理装置と連携して動作するような場合でも、上位処理装置における仮想化された通信機能の処理を考慮して、上位処理装置と本発明の装置のパケットの出力優先度を変更して出力することができる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。
次に、本発明の一実施の形態について図面を参照して説明する。
[トラヒック制御装置]
まず、図1を参照して、本発明の第1の実施の形態にかかるトラヒック制御装置10について説明する。図1は、トラヒック制御装置の構成を示すブロック図である。
[トラヒック制御装置]
まず、図1を参照して、本発明の第1の実施の形態にかかるトラヒック制御装置10について説明する。図1は、トラヒック制御装置の構成を示すブロック図である。
このトラヒック制御装置10は、通信事業者ネットワーク上に配置されて、ネットワーク上を流れる通信トラヒックから、予め指定された廃棄条件と合致する非正規パケットを特定し、対応するパケットを廃棄する装置である。
また、上位処理装置30は、トラヒック制御装置10に外部接続されて、トラヒック制御装置10と連携して動作するとともに、トラヒック制御装置10との通信に用いる通信機能が仮想化された外部装置である。
また、上位処理装置30は、トラヒック制御装置10に外部接続されて、トラヒック制御装置10と連携して動作するとともに、トラヒック制御装置10との通信に用いる通信機能が仮想化された外部装置である。
図1に示すように、トラヒック制御装置10には、主な機能部として、パケット送受信部11、条件設定部12、ヘッダ解析部13、データ解析部14、廃棄制御部15、廃棄テーブル21、および廃棄フィルタ22が設けられている。
パケット送受信部11は、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信する機能を有している。
条件設定部12は、指定されたヘッダ解析仕様および廃棄条件から、廃棄条件と対応する解析範囲を特定する機能を有している。
条件設定部12は、指定されたヘッダ解析仕様および廃棄条件から、廃棄条件と対応する解析範囲を特定する機能を有している。
ヘッダ解析部13は、条件設定部12で特定した解析範囲がヘッダ内であると特定された廃棄条件を廃棄テーブル21に登録する機能と、パケット送受信部11で受信した受信パケットのヘッダを解析し、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21に登録されている廃棄条件と照合する機能とを有している。
データ解析部14は、条件設定部12で特定した解析範囲がヘッダ外であると特定された廃棄条件を廃棄フィルタ22に登録する機能と、解析範囲がヘッダ外であると判定された受信パケットを、廃棄フィルタ22に登録されている廃棄条件と照合する機能を有している。
廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する機能を有している。
廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する機能を有している。
本発明の特徴は、非正規パケットを特定して廃棄するためのパケット解析を、各廃棄条件の解析範囲に基づいてヘッダ部分とデータ部分に分割し、それぞれ廃棄テーブル21および廃棄フィルタ22を用いて階層的な廃棄条件を構成するようにしたものである。また、これに加えて仮想化された通信機能の処理を考慮し、廃棄対象の非正規パケットに対して応答信号を付加して生成した応答パケットを送信元クライアントへ優先度を変更して送信するようにしたものである。
前述した背景技術において、非正規パケット発生の要因の多様化について具体例を示す。従来は、災害時の通話規制下における多量の通信要求リトライが非正規パケットの主な発生原因であったが、例えば送信元のIPアドレスやポート、ユーザID、パスワードといった条件はユーザが不正な意図を持つかどうかにかかわらず常に変化する可能性がある。また、パスワード等の情報については暗号化により解析や制御がより困難となる。このような非正規パケットと判定するための前提となる通信の条件は必ずしもパケットを制御するためのヘッダに含まれるとは限らず、ユーザデータのどの部分から判断すればよいかわからない上、その位置や中身などの条件が刻々と変化する。
このように、多様な条件下でも非正規パケットの特定を可能とするために、本発明では、ユーザが指定する廃棄条件だけでなく、ヘッダ解析の仕様を入力として与え、解析範囲を絞り込んでいる。ヘッダ解析の仕様は、典型的にはRFC等の標準文書に規定されるプロトコル仕様に準拠する。仕様の定義方法としては、公知の技術を利用することができる。例えば、非特許文献1に示されているような方法で仕様を記述してもよい。
図2は、条件設定部の構成例である。この条件設定部12には、ネットワーク管理者が受信パケットのヘッダ解析仕様を入力する解析仕様入力部12Aと、ユーザが非正規パケットの廃棄条件を入力する廃棄条件入力部12Bと、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内であるか否かを判定する仕様合致判定部12Cとが設けられている。これにより、廃棄テーブル21および廃棄フィルタ22において、階層的に廃棄条件を構成することが可能となる。非正規パケットの条件の解析範囲がヘッダかどうかは、仕様入力で明確化できるため、ヘッダ範囲で特定できる廃棄条件であれば、廃棄テーブル21を検索して照合することにより非正規パケットのパケットを廃棄することができる。
図3は、ヘッダ解析部の構成例である。このヘッダ解析部13には、条件設定部12により設定された廃棄条件を廃棄テーブル21に登録する廃棄テーブル登録部13Aと、パケット送受信部11で受信した受信パケットのヘッダをヘッダ解析仕様に基づいて解析する受信ヘッダ解析部13Bと、ヘッダ解析仕様をもとに受信パケットの解析範囲がヘッダ内外のいずれであるかを判定する仕様合致判定部13Cと、仕様合致判定部13Cにより解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する廃棄テーブル検索部13Dとが設けられている。
図4は、廃棄テーブルの構成例である。ここでは、各廃棄条件に固有の条件番号ごとに、廃棄条件が登録されている。条件設定部12において、ユーザが非正規パケットのパケットを廃棄するための廃棄条件を指定すると、ヘッダ解析部13の廃棄テーブル登録部13Aにより、その廃棄条件が廃棄テーブル21に新たなエントリとして登録される。例えば、条件1:「送信元IPアドレス」が「xxx.xxx.xxx.xxx」のパケットを廃棄、条件2:「送信元ポート番号」が「yyy」のパケットを廃棄、…、条件N:「ユーザID」が「zzz」のパケットを廃棄、というようにネットワーク管理者の求めに応じて非正規パケットの廃棄条件を設定することができる。
次に、本発明のトラヒック制御装置10が制御対象とする通信データの一例として、ユーザIDのようなユーザの情報をもとに廃棄テーブル21を設定する実施形態について説明する。
ユーザは、通信事業者ネットワークを利用する際、まず、通信事業者ネットワークでユーザ認証を受ける。ユーザ認証は、典型的にはRFC 2138に開示されているRADIUSを用いたクライアント・サーバ方式で実施される。図5は、RADIUSで利用されるパケットフォーマットである。このパケットフォーマットにおいて、ユーザIDそのものは、Attributes(RADIUS属性)を解析することで調べることができる。
ユーザは、通信事業者ネットワークを利用する際、まず、通信事業者ネットワークでユーザ認証を受ける。ユーザ認証は、典型的にはRFC 2138に開示されているRADIUSを用いたクライアント・サーバ方式で実施される。図5は、RADIUSで利用されるパケットフォーマットである。このパケットフォーマットにおいて、ユーザIDそのものは、Attributes(RADIUS属性)を解析することで調べることができる。
図6は、RADIUSにおけるAttributesの一覧である。AttributesはType,Length,ValueのいわゆるTLV形式で規格化されており、ネットワーク管理者はフォーマットにしたがって、図6に示すUser−Name Attributeを指定すればよい。また、ユーザIDに紐づいたパスワードにより正しく認証が行われた正規のユーザであるかどうかを判定するには、図5のAuthenticatorを指定すればよい。
本発明によれば、条件設定部12の解析仕様入力部12Aにおいて、このような指定を可能にするための仕様を与えることにより、ネットワーク管理者の求めに応じて本発明におけるヘッダ解析部13の一連の処理を実施することができる。
他方、このようなパケットフォーマットに関する仕様がネットワーク管理者によって与えられていない場合や、そもそも仕様に規定されていないような情報をもとに非正規パケットと判定して廃棄しなければならない場合が考えられる。この場合、指定すべき廃棄条件はヘッダ内には存在せず、ユーザデータ内の何処かに埋め込まれていることになるため、ヘッダ解析部13のみで非正規パケットを特定することは困難である。
そのため、本発明では、データ解析部14に設けた一連の処理部により、ヘッダ解析部13では特定が困難な非正規パケットに対して有効となる解析方法を提供する。
図7は、データ解析部の構成例である。このデータ解析部14には、条件設定部12により指定された廃棄条件に関するハッシュ値である廃棄シグネチャを求める廃棄シグネチャ演算部14Aと、求めた廃棄シグネチャを廃棄フィルタ22に登録する廃棄フィルタ登録部14Bと、ヘッダ解析部13において解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた任意の位置および任意の長さのビット列に関するハッシュ値であるデータシグネチャを求めるデータシグネチャ演算部14Cと、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャと照合する廃棄フィルタ照合部14Dとが設けられている。
データ解析部14に関しては多くの部分を、非特許文献2に示すDPI技術を応用して実施することができるため、詳細を割愛し、非特許文献2との構成上の違いについて説明する。
図8は、廃棄フィルタの構成例である。受信パケットのユーザデータ部分の解析において目的とするビット列を非正規パケットとして特定するため、予め検出したいパターンからハッシュ値であるシグネチャを計算し、廃棄フィルタ22に登録しておく必要がある。
図8は、廃棄フィルタの構成例である。受信パケットのユーザデータ部分の解析において目的とするビット列を非正規パケットとして特定するため、予め検出したいパターンからハッシュ値であるシグネチャを計算し、廃棄フィルタ22に登録しておく必要がある。
登録可能なシグネチャの数は、実装するプログラム、デバイス、およびシステムによって区々であるが、シグネチャ数nとメモリ上のハッシュテーブルのメモリビット幅mが決定しているとき、偽陽性確率pを最小化できるようなハッシュ演算数kが定式化され、広く知られている。詳細は非特許文献2に示されているため割愛するが、ハッシュ演算数kとシグネチャ数nおよびメモリビット幅mとの関係式は次の式(1)で表され、このときの偽陽性確率pは次の式(2)で表される。
このような廃棄フィルタ22を用いることにより、偽陽性確率pを一定水準で許容することで、記憶空間の効率m/nを高めながらハッシュ演算数kを決定することができる。
非特許文献2の方法では、解析するパケットのユーザデータ部分のデータ長に応じて複数の照合用フィルタBF(w)を並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されているが、データ長が長くなるにしたがってフィルタBF(w)の数が増えるため、必要とするハードウェアリソースが増大するという問題がある。
非特許文献2の方法では、解析するパケットのユーザデータ部分のデータ長に応じて複数の照合用フィルタBF(w)を並列に構成し、トラヒックパターンの判別をハードウェアで高速に処理する方法が提案されているが、データ長が長くなるにしたがってフィルタBF(w)の数が増えるため、必要とするハードウェアリソースが増大するという問題がある。
本発明によれば、データ解析部14の前段において、ヘッダ解析部13で非正規パケットと特定できるパケットに関しては、データ解析部14で改めて解析対象とする必要がないため、ハードウェアリソースを必要最小限に抑えながらデータ解析部14を構成することができる。このように構成されたデータ解析部14の廃棄シグネチャと、受信したパケットのユーザデータ部分に含まれる任意位置のビット列から計算したデータシグネチャを照合し、非正規パケットの有無を判定する。
なお、データ解析部14の大部分は、非特許文献2に示すDPI技術を応用して実施することができるが、本発明に特徴的な構成である、ヘッダ解析部13とデータ解析部14を階層的に構成した廃棄制御が機能することにより、ヘッダ部およびデータ部の仕様合致判定を分担して実行することができるため、本構成が開示されてはじめてデータ解析部14の非正規パケットの特定に非特許文献2を活かすことができる。このため、仮に非特許文献2に関連する通常の知識を有する当業者が、非特許文献2に示される技術の転用により非正規パケットの特定を試みたとしても、本発明のような非正規パケット低減の有効性を示すことは困難である。
図9は、廃棄制御部の構成例である。この廃棄制御部15には、廃棄テーブル21と廃棄フィルタ22の双方を管理する廃棄条件管理部15Aと、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関する受信パケットを廃棄するパケット廃棄部15Bとを備えている。
この際、パケット廃棄部15Bにおいて、パケット送受信部11、ヘッダ解析部13、またはデータ解析部14から受け取った受信パケットを、廃棄あるいは後段への転送出力を処理してもよく、パケット廃棄部15Bから廃棄要否を指示して、パケット送受信部11が廃棄あるいは後段への転送出力を処理してもよい。
この際、パケット廃棄部15Bにおいて、パケット送受信部11、ヘッダ解析部13、またはデータ解析部14から受け取った受信パケットを、廃棄あるいは後段への転送出力を処理してもよく、パケット廃棄部15Bから廃棄要否を指示して、パケット送受信部11が廃棄あるいは後段への転送出力を処理してもよい。
具体的には、パケット廃棄部15Bは、正規/非正規判定部15C、振分制御部15D、および優先出力制御部15Eを備えている。
正規/非正規判定部15Cは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、正規のパケットか非正規のパケットであるかを判定する機能を有している。
正規/非正規判定部15Cは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、正規のパケットか非正規のパケットであるかを判定する機能を有している。
振分制御部15Dは、判定結果が正規パケットである場合は、パケット送受信部11を介して上位処理装置30に転送する機能と、判定結果が非正規パケットである場合は、パケット送信元に応じて、当該非正規パケットに対して送信元クライアントが正常にパケットを受信するための応答信号を付加した応答パケットを生成する機能とを有している。
このような応答パケットを送信元クライアントへ送信することにより、送信元クライアントによる非正規パケットの再送を抑制することが期待できる。応答信号は授受する内容によって区々であるが、一般には制御情報であるヘッダ部の一部を書換え・追加・削除といった信号である。
このような応答パケットを送信元クライアントへ送信することにより、送信元クライアントによる非正規パケットの再送を抑制することが期待できる。応答信号は授受する内容によって区々であるが、一般には制御情報であるヘッダ部の一部を書換え・追加・削除といった信号である。
優先出力制御部15Eは、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信する機能を有している。上位処理装置30が折り返すパケットとは、上位処理装置30が受信したパケットに対して、例えば、ヘッダ部分またはデータ部分の追加・変更・削除等の処理を施した上で、同一の通信相手に返送するパケットのことである。これにより、パケット送信元に対して上位処理装置30が送信するパケットと、振分制御部15Dが生成した応答パケットのどちらを優先して出力するかを制御することができるので、仮想化された上位処理装置30からの折り返し正規トラヒックを優先出力してもよいし、振分制御部15Dで非正規パケットと判定されたトラヒックを優先出力してもよい。どちらを優先して出力すべきかは、クライアント側の状態によって区々であるが、本発明の構成により不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することが可能となる。
[本実施の形態の動作]
次に、図10を参照して、本実施の形態にかかるトラヒック制御装置10の動作について説明する。図10は、トラヒック制御装置の動作を示すシーケンス図である。
次に、図10を参照して、本実施の形態にかかるトラヒック制御装置10の動作について説明する。図10は、トラヒック制御装置の動作を示すシーケンス図である。
通信トラヒックから受信した受信パケットを監視して非正規パケットを廃棄する処理を実行するのに先立って、廃棄テーブル21および廃棄フィルタ22に廃棄条件を登録する。
まず、条件設定部12において、解析仕様入力部12Aは、ネットワーク管理者からの指示に応じて、受信パケットのヘッダ解析仕様を入力し(ステップ100)、廃棄条件入力部12Bは、ユーザからの指示に応じて、非正規パケットの廃棄条件を入力する(ステップ101)。これに応じて、仕様合致判定部12Cは、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内か否かを判定する(ステップ102)。
まず、条件設定部12において、解析仕様入力部12Aは、ネットワーク管理者からの指示に応じて、受信パケットのヘッダ解析仕様を入力し(ステップ100)、廃棄条件入力部12Bは、ユーザからの指示に応じて、非正規パケットの廃棄条件を入力する(ステップ101)。これに応じて、仕様合致判定部12Cは、ヘッダ解析仕様をもとに廃棄条件の解析範囲がヘッダ内か否かを判定する(ステップ102)。
ここで、解析範囲がヘッダ内ではない場合(ステップ102:NO)、データ解析部14の廃棄シグネチャ演算部14Aは、条件設定部12により指定された廃棄条件に関するハッシュ値である廃棄シグネチャを求め(ステップ103)、データ解析部14の廃棄フィルタ登録部14Bは、求めた廃棄シグネチャを廃棄フィルタ22に登録する(ステップ104)。
一方、解析範囲がヘッダ内である場合(ステップ102:YES)、ヘッダ解析部13の廃棄テーブル登録部13Aは、条件設定部12により指定された廃棄条件を廃棄テーブル21に登録する(ステップ105)。
この後、廃棄制御部15の廃棄条件管理部15Aは、廃棄テーブル21と廃棄フィルタ22の双方を管理する。具体的には、廃棄テーブル21と廃棄フィルタ22の双方において、廃棄対象となるエントリの登録・変更・削除の処理を行う(ステップ106)。
これにより、廃棄テーブル21および廃棄フィルタ22を用いた階層的な廃棄条件が構成されることになる。
この後、廃棄制御部15の廃棄条件管理部15Aは、廃棄テーブル21と廃棄フィルタ22の双方を管理する。具体的には、廃棄テーブル21と廃棄フィルタ22の双方において、廃棄対象となるエントリの登録・変更・削除の処理を行う(ステップ106)。
これにより、廃棄テーブル21および廃棄フィルタ22を用いた階層的な廃棄条件が構成されることになる。
この後、パケットを受信するごとに、以下の受信パケットに対する非正規パケットの廃棄が実行される。
まず、パケット送受信部11が、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信した場合(ステップ110)、ヘッダ解析部13の受信ヘッダ解析部13Bが、その受信パケットのヘッダをヘッダ解析仕様に基づいて解析する(ステップ111)。
まず、パケット送受信部11が、通信事業者ネットワーク上を流れる、非正規パケットを含む通信トラヒックからパケットを受信した場合(ステップ110)、ヘッダ解析部13の受信ヘッダ解析部13Bが、その受信パケットのヘッダをヘッダ解析仕様に基づいて解析する(ステップ111)。
続いて、ヘッダ解析部13の仕様合致判定部13Cは、ヘッダ解析仕様をもとに解析範囲がヘッダ内であるか否かを判定する(ステップ112)。
ここで、解析範囲がヘッダ内ではない場合(ステップ112:NO)、データ解析部14のデータシグネチャ演算部14Cは、解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた位置および長さのビット列に関するハッシュ値であるデータシグネチャを求め(ステップ113)、廃棄フィルタ照合部14Dは、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャとを照合する(ステップ114)。
ここで、解析範囲がヘッダ内ではない場合(ステップ112:NO)、データ解析部14のデータシグネチャ演算部14Cは、解析範囲がヘッダ外であると判定された受信パケットに格納されているユーザデータのうち、予め定めた位置および長さのビット列に関するハッシュ値であるデータシグネチャを求め(ステップ113)、廃棄フィルタ照合部14Dは、求めたデータシグネチャを廃棄フィルタ22に登録されている廃棄シグネチャとを照合する(ステップ114)。
一方、解析範囲がヘッダ内である場合(ステップ112:YES)、ヘッダ解析部13の廃棄テーブル検索部13Dは、解析範囲がヘッダ内であると判定された受信パケットを、廃棄テーブル21から検索した廃棄条件と照合する(ステップ115)。
この後、廃棄制御部15のパケット廃棄部15Bは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する(ステップ116〜118)。
この後、廃棄制御部15のパケット廃棄部15Bは、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄する(ステップ116〜118)。
具体的には、正規/非正規判定部15Cが、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、正規のパケットか非正規のパケットであるかを判定する(ステップ116)。
振分制御部15Dは、判定結果が正規パケットである場合は、パケット送受信部11を介して上位処理装置30に転送し、判定結果が非正規パケットである場合は、パケット送信元に応じて、当該非正規パケットに対して送信元クライアントが正常にパケットを受信するための応答信号を付加した応答パケットを生成する(ステップ117)。
振分制御部15Dは、判定結果が正規パケットである場合は、パケット送受信部11を介して上位処理装置30に転送し、判定結果が非正規パケットである場合は、パケット送信元に応じて、当該非正規パケットに対して送信元クライアントが正常にパケットを受信するための応答信号を付加した応答パケットを生成する(ステップ117)。
このような応答パケットを送信元クライアントへ送信することにより、送信元クライアントによる非正規パケットの再送を抑制することが期待できる。応答信号は授受する内容によって区々であるが、一般には制御情報であるヘッダ部の一部を書換え・追加・削除といった信号である。
優先出力制御部15Eは、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信する(ステップ118)。
優先出力制御部15Eは、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信する(ステップ118)。
[本実施の形態の効果]
このように、本実施の形態は、条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外であると廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄するようにしたものである。
このように、本実施の形態は、条件設定部12が、指定されたヘッダ解析仕様および廃棄条件から廃棄条件と対応する解析範囲を特定し、ヘッダ解析部13が、解析範囲がヘッダ内である廃棄条件を廃棄テーブル21に登録し、解析範囲がヘッダ内であると判定された受信パケットを廃棄テーブル21の廃棄条件と照合し、データ解析部14が、解析範囲がヘッダ外であると廃棄条件を廃棄フィルタ22に登録し、解析範囲がヘッダ外であると判定された受信パケットを廃棄フィルタ22の廃棄条件と照合し、廃棄制御部15は、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、非正規パケットに関するパケットを廃棄するようにしたものである。
この際、廃棄制御部15において、廃棄条件管理部15Aが、ヘッダ解析部13の廃棄テーブルならびにデータ解析部14の廃棄フィルタの双方を管理し、正規/非正規判定部15Cが、ヘッダ解析部13およびデータ解析部14で得られた照合結果に基づいて、受信パケットが正規パケットか非正規パケットであるかを判定し、振分制御部15Dが、受信パケットが正規パケットである場合、パケット送受信部11を介して上位処理装置30に受信パケットを転送し、受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を非正規パケットに付加した応答パケットを生成し、優先出力制御部15Eが、上位処理装置30が折り返すパケットと応答パケットの出力優先度を変更して送信するようにしたものである。
これにより、指定された廃棄条件のうち、解析範囲がヘッダ内である廃棄条件が廃棄テーブル21に登録されるとともに、解析範囲がヘッダ外である廃棄条件が廃棄フィルタ22に登録されるため、階層的な廃棄条件が構成されることになる。このため、通信トラヒックから受信した受信パケットのヘッダおよびユーザデータの双方を階層的に解析して、廃棄制御することができる。
したがって、廃棄するための条件が複雑で非正規パケットの特定が難しいケースでも、より正確に非正規パケットを特定することができ、非正規パケットの検出率が向上することになる。また、外部接続された上位処理装置30と連携して動作するような場合でも、上位処理装置30における仮想化された通信機能の処理を考慮して、上位処理装置30とトラヒック制御装置10のパケットの出力優先度を変更して出力することができる。これにより、不要なトラヒックを通信事業者ネットワークから適切に廃棄して低減することができ、結果として、事業者の効率的なネットワーク運用を実現できるとともに、ユーザの利便性も確保することが可能となる。
以上、本発明の実施形態が示され、説明がなされた。実施形態の説明において「〜部」と説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手段」、「〜処理」であってもよい。また、本実施形態で「〜部」として説明しているものは、ROMに記憶されたファームウェアおよび再構成型デバイス・素子・基板・配線などのハードウェアで実現されていても構わない。或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPUにより読み出されて実行される。すなわち、プログラムは、本発明の実施形態の「〜手段」としてコンピュータを機能させるものである。あるいは、実施形態の「〜部」の手順や方法をコンピュータに実行させるものである。
[実施の形態の拡張]
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
10…トラヒック制御装置、11…パケット送受信部、12…条件設定部、12A…解析仕様入力部、12B…廃棄条件入力部、12C…仕様合致判定部、13…ヘッダ解析部、13A…廃棄テーブル登録部、13B…受信ヘッダ解析部、13C…仕様合致判定部、13D…廃棄テーブル検索部、14…データ解析部、14A…廃棄シグネチャ演算部、14B…廃棄フィルタ登録部、14C…データシグネチャ演算部、14D…廃棄フィルタ照合部、15…廃棄制御部、15A…廃棄条件管理部、15B…パケット廃棄部、15C…正規/非正規判定部、15D…振分制御部、15E…優先出力制御部、21…廃棄テーブル、22…廃棄フィルタ、30…上位処理装置。
Claims (3)
- 通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御装置であって、
指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定部と、
前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析部と、
前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析部と、
前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御部とを備え、
前記廃棄制御部は、
前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理部と、
前記ヘッダ解析部および前記データ解析部で得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定部と、
前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御部と、
前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御部とを備える
ことを特徴とするトラヒック制御装置。 - 通信トラヒックから受信した受信パケットを解析することにより非正規パケットを特定して廃棄するトラヒック制御方法であって、
条件設定部が、指定されたヘッダ解析仕様および廃棄条件から、前記廃棄条件と対応する解析範囲を特定する条件設定ステップと、
ヘッダ解析部が、前記解析範囲がヘッダ内であると特定された前記廃棄条件を廃棄テーブルに登録し、前記受信パケットのヘッダを解析して前記解析範囲がヘッダ内であると判定された前記受信パケットを、前記廃棄テーブルの廃棄条件と照合するヘッダ解析ステップと、
データ解析部が、前記解析範囲がヘッダ外であると特定された前記廃棄条件を廃棄フィルタに登録し、前記解析範囲がヘッダ外であると判定された前記受信パケットを、前記廃棄フィルタの廃棄条件と照合するデータ解析ステップと、
廃棄制御部が、前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記非正規パケットに関するパケットを廃棄する廃棄制御ステップとを備え、
前記廃棄制御ステップは、
前記ヘッダ解析部の廃棄テーブルならびに前記データ解析部の廃棄フィルタの双方を管理する廃棄条件管理ステップと、
前記ヘッダ解析ステップおよび前記データ解析ステップで得られた照合結果に基づいて、前記受信パケットが正規パケットか非正規パケットであるかを判定する正規/非正規判定ステップと、
前記受信パケットが正規パケットである場合、外部接続されている上位処理装置へ前記受信パケットを転送し、前記受信パケットが非正規パケットである場合、パケット送信元に応じた応答信号を前記非正規パケットに付加した応答パケットを生成する振分制御ステップと、
前記上位処理装置が折り返すパケットと前記応答パケットとの出力優先度を変更して送信する優先出力制御ステップとを含む
ことを特徴とするトラヒック制御方法。 - コンピュータを、請求項1に記載のトラヒック制御装置を構成する各部として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017114031A JP6721542B2 (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017114031A JP6721542B2 (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018207436A JP2018207436A (ja) | 2018-12-27 |
| JP6721542B2 true JP6721542B2 (ja) | 2020-07-15 |
Family
ID=64957485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017114031A Active JP6721542B2 (ja) | 2017-06-09 | 2017-06-09 | トラヒック制御装置、方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6721542B2 (ja) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3618245B2 (ja) * | 1999-03-09 | 2005-02-09 | 株式会社日立製作所 | ネットワーク監視システム |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| JP4700473B2 (ja) * | 2005-11-04 | 2011-06-15 | 株式会社 デジタルデザイン | データ通信方法 |
| JP2007243595A (ja) * | 2006-03-08 | 2007-09-20 | Fuji Xerox Co Ltd | ネットワーク制御装置および制御方法 |
-
2017
- 2017-06-09 JP JP2017114031A patent/JP6721542B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018207436A (ja) | 2018-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12135822B2 (en) | Systems and methods for controlling data exposure using artificial-intelligence-based modeling | |
| US11831609B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US10798061B2 (en) | Automated learning of externally defined network assets by a network security device | |
| US20110066851A1 (en) | Secure Route Discovery Node and Policing Mechanism | |
| JP2004364306A (ja) | クライアント−サーバ接続要求を制御するシステム | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| CN104113548B (zh) | 一种认证报文处理方法及装置 | |
| KR102585874B1 (ko) | Sdn네트워크에서 라우팅 제어 장치 및 방법 | |
| US12192247B2 (en) | Systems and methods for network security | |
| JP2017147575A (ja) | 制御プログラム、制御装置、および、制御方法 | |
| JP2019153894A (ja) | 通信制御装置、通信制御方法および通信制御プログラム | |
| US20230412591A1 (en) | Traffic processing method and protection system | |
| KR101772681B1 (ko) | 방화벽 장치 및 그의 구동방법 | |
| US7571464B2 (en) | Secure bidirectional cross-system communications framework | |
| JP6721542B2 (ja) | トラヒック制御装置、方法、およびプログラム | |
| JP6781109B2 (ja) | トラヒック制御装置および方法 | |
| AU2022203844A1 (en) | Method for detecting anomalies in ssl and/or tls communications, corresponding device, and computer program product | |
| JP2018207435A (ja) | トラヒック制御装置、方法、およびプログラム | |
| KR101490227B1 (ko) | 트래픽 제어 방법 및 장치 | |
| JP2007335951A (ja) | 通信監視装置、通信監視方法およびプログラム | |
| JP2019176273A (ja) | 通信制御装置、クライアント装置、通信制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170613 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190617 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200618 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6721542 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |