[go: up one dir, main page]

JP4556981B2 - ネットワーク監視装置及びネットワーク監視方法 - Google Patents

ネットワーク監視装置及びネットワーク監視方法 Download PDF

Info

Publication number
JP4556981B2
JP4556981B2 JP2007255239A JP2007255239A JP4556981B2 JP 4556981 B2 JP4556981 B2 JP 4556981B2 JP 2007255239 A JP2007255239 A JP 2007255239A JP 2007255239 A JP2007255239 A JP 2007255239A JP 4556981 B2 JP4556981 B2 JP 4556981B2
Authority
JP
Japan
Prior art keywords
communication data
network
output
unit
abnormal traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007255239A
Other languages
English (en)
Other versions
JP2009088936A (ja
Inventor
恒生 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2007255239A priority Critical patent/JP4556981B2/ja
Priority to CN2008101320285A priority patent/CN101399711B/zh
Priority to US12/232,891 priority patent/US7876676B2/en
Publication of JP2009088936A publication Critical patent/JP2009088936A/ja
Application granted granted Critical
Publication of JP4556981B2 publication Critical patent/JP4556981B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク監視装置及びネットワーク監視方法に関し、特に、複数の回線から特定のトラフィックを抽出することで、モニタリング装置の負荷を軽減したネットワーク監視装置及び監視方法に関する。
インターネットなどのネットワークの普及に伴い、ネットワークをモニタリングする技術が行われている。例えば特許文献1には、低速回線のフレームを分解して、高速回線に再フレーミングして多重にすることで、測定システムの設置数を削減し、効率的なネットワーク監視を実現することが記載されている。
特開2006−229946号公報
ネットワーク監視において、特許文献1のようにシステム構成にフィルタを備える場合、特定のパケットを遮断することはできるが、フィルタでは、トラフィックの挙動を検出することができない。このため、フィルタを備えるシステムでは、不正なデータを送信してコンピュータを使用不能に陥れたり、トラフィックを増大させてネットワークを麻痺させるような、いわゆるDoS攻撃に対する対処が必ずしも十分ではない。このようなシステムでは、DoS攻撃が発生した場合、ネットワーク監視を行うモニタリング装置において無用なトラフィックが流入し、効率的なネットワーク監視を実現することは困難である。
また、特許文献1に記載された手法では、ネットワークアナライザを集約することは可能であるが、ネットワークアナライザは重複IPアドレスに対応することはできない。例えば企業向けのVPN、小規模ISP、地域向けのCATVなどでは、各加入者にプライベートIPアドレスを割り与えることが多い。この場合、そのまま回線を接続すると、加入者間でIPアドレスが重複して干渉してしまう。加入者のトラフィックを監視する場合、タップ装置によりネットワークアナライザ(モニタリング装置)を接続するが、ネットワークアナライザが重複IPアドレスに対応していない場合は、加入者のトラフィックを正確に監視することができないという問題がある。
そこで、本発明は、上記問題に鑑みてなされたものであり、本発明の目的とするところは、トラフィックの挙動を検出することで効率的なネットワーク監視を実現することが可能な、新規かつ改良されたネットワーク監視装置及びネットワーク監視方法を提供することにある。
上記課題を解決するために、本発明のある観点によれば、ネットワークへ接続されるアクセス網に接続されるネットワーク監視装置であって、ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとを区別して受信する受信部と、前記入力側の通信データと前記出力側の通信データの双方に基づいて異常トラフィックを検出する異常トラフィック検出部と、を備えるネットワーク監視装置が提供される。
上記構成によれば、ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとが区別して受信され、入力側の通信データと出力側の通信データの双方に基づいて異常トラフィックが検出される。従って、双方向の通信データのトラフィックの挙動に基づいて、DoS攻撃などの異常状態を検出することが可能となる。これにより、ネットワーク監視をモニタするモニタリング装置において、無用なトラフィックが流入しないため、効率的なネットワーク監視を実現することができる。
また、前記異常トラフィック検出部は、前記入力側の通信データ及び前記出力側の通信データの双方をセッションとして認識するセッション処理部と、異常な通信データを表すシグネチャが登録されたシグネチャ保持部と、を備え、前記シグネチャと、各セッションにおける前記入力側の通信データ及び前記出力側の通信データとの比較により前記異常トラフィックを検出するものであってもよい。かかる構成によれば、予め登録された異常な通信データを表すシグネチャに基づいて、各セッション毎に異常トラフィックを検出することができる。
また、前記異常トラフィック検出部は、同時セッション数又は秒間セッション数が上限値に達した場合に前記異常トラフィックを検出し、該当する通信データを廃棄するものであってもよい。かかる構成によれば、同時セッション数又は秒間セッション数が上限値に達した場合は、異常トラフィックが検出されて通信データが廃棄されるため、DoS攻撃などを受けた場合に、通信データを廃棄することが可能となる。
また、前記通信データに含まれるソースIPアドレス及びVLAN−IDに基づいて、ソースIPアドレスが重複しているか否かを検出し、ソースIPアドレスが重複している場合に当該通信データに独自タグを付与する重複IP検出部を更に備えるものであってもよい。かかる構成によれば、ネットワーク監視をモニタするモニタリング装置が重複IPアドレスに対応していない場合であっても、重複したソースIPアドレスの通信データを検出して別々のモニタリング装置に振り分けることが可能となる。
また、前記通信データに付与された前記独自タグ及び前記通信データのVLAN−IDに基づいて、ネットワーク監視状況をモニタするモニタリング装置への出力先を決定するスイッチ部を更に備えるものであってもよい。かかる構成によれば、VLAN−IDごとに出力先を指定することで、同一契約の加入者のみのトラフィックを1つのモニタリング装置に集約することができる。
また、上記課題を解決するために、本発明の別の観点によれば、ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとを区別して受信する受信ステップと、前記入力側の通信データと前記出力側の通信データの双方をセッションとして認識し、異常トラフィックを検出する異常トラフィック検出ステップと、を備えるネットワーク監視方法が提供される。
上記構成によれば、ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとが区別して受信され、入力側の通信データと出力側の通信データの双方がセッションとして認識されて、異常トラフィックが検出される。従って、双方向の通信データのトラフィックの挙動に基づいて、DoS攻撃などの異常状態を検出することが可能となる。これにより、ネットワーク監視をモニタするモニタリング装置において、無用なトラフィックが流入しないため、効率的なネットワーク監視を実現することができる。
また、前記異常トラフィック検出ステップにおいて、異常な通信データを表すシグネチャと、各セッションにおける前記入力側の通信データ及び前記出力側の通信データとの比較により前記異常トラフィックを検出するものであってもよい。かかる構成によれば、予め登録された異常な通信データを表すシグネチャに基づいて、各セッション毎に異常トラフィックを検出することができる。
また、前記異常トラフィックステップにおいて、同時セッション数又は秒間セッション数が上限値に達した場合に前記異常トラフィックを検出し、該当する通信データを廃棄するものであってもよい。かかる構成によれば、同時セッション数又は秒間セッション数が上限値に達した場合は、異常トラフィックが検出されて通信データが廃棄されるため、DoS攻撃などを受けた場合に、通信データを廃棄することが可能となる。
また、前記通信データに含まれるソースIPアドレス及びVLAN−IDに基づいて、ソースIPアドレスが重複しているか否かを検出し、ソースIPアドレスが重複している場合に当該通信データに独自タグを付与する重複IP検出ステップを更に備えるものであってもよい。かかる構成によれば、ネットワーク監視をモニタするモニタリング装置が重複IPアドレスに対応していない場合であっても、重複したソースIPアドレスの通信データを検出して別々のモニタリング装置に振り分けることが可能となる。
また、前記通信データに付与された前記独自タグ及び前記通信データのVLAN−IDに基づいて、ネットワーク監視状況をモニタするモニタリング装置への出力先を決定する出力先決定ステップを更に備えるものであってもよい。かかる構成によれば、VLAN−IDごとに出力先を指定することで、同一契約の加入者のみのトラフィックを1つのモニタリング装置に集約することができる。
本発明によれば、トラフィックの挙動を検出することで効率的なネットワーク監視を実現することが可能となる。
以下に添付図面を参照しながら、本発明の好適な実施の形態について詳細に説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複説明を省略する。
(第1の実施形態)
先ず、本発明の題1の実施形態について説明する。図1は、第1の実施形態に係るアグリゲーション装置100のネットワーク200への設置構成を示す模式図である。図1の例では、アクセス網300とISP(Internet Services Provider)400間の回線に通信信号を分岐して出力するネットワークタップ装置500,510,520,530を配置し、タップ装置500,510,520,530のIn(入力)側(アクセス網300側)、Out(出力)側(ISP400側)の分岐の出力回線をそれぞれアグリゲーション装置100の回線側のIn側、Out側に接続する。同様に、アグリゲーション装置100のモニタ側の出力回線を各モニタリング装置600,610に接続する。図1の例では、モニタリング装置600は、単独でインライン設置が可能な装置を想定している。また、アグリゲーション装置100には、設定の構成管理や統計情報の管理を行う管理装置700が接続されている。
図2は、アグリゲーション装置100の機能ブロック構成を示す模式図である。受信部105は、In側、Out側の入力を区別して受信する。入力(Ingress)パケットフィルタ部110は、回線側の各タップ装置500から受信したパケットからイーサヘッド、IPヘッダ、TCP/UDPヘッダの識別子を抽出して検索し、識別子に基づいてフィルタリングすることができる。
異常トラフィック検出部120は、Ingressパケットフィルタ部110を通過したIn側、Out側の双方のパケットを処理することで、セッションとして認識することができる。異常トラフィック検出部120を通過したパケットは、スイッチ部130の入力点に転送される。
スイッチ部130は、あらかじめ設定された出力点の方路に接続される回線切換え型のスイッチである。スイッチ部130の出力点は、パケットを一旦保持するバッファメモリ140に接続され、さらに多重化部150に接続されている。多重化部150は、バッファメモリ140からラウンドロビンでパケットを取り出し、シリアライズして、送信部側のバッファメモリ160に転送する。出力(Egress)パケットフィルタ部170は、Ingressパケットフィルタ部110と同様に、ヘッダの識別子に基づいてパケットをフィルタリングすることができる。Egressパケットフィルタ部170を通過したパケットは、モニタ側の送信部180より送信される。
図3にIngressパケットフィルタ部110、Egressパケットフィルタ部170の構成を示す。これらのパケットフィルタ部110,170は、パケットフィルタテーブル115で構成されている。ポリシールールに設定できるイーサヘッダ、IPヘッダ、TCP/UDPヘッダの識別子としては、図3に示すように、VLAN−ID、イーサプライオリティ(Ether Priority)、イーサタイプ(Ether Type)、宛先IPアドレス、送信元IPアドレス、TOS、プロトコル番号、TCPフラグ、宛先ポート番号、送信元ポート番号が挙げられる。それぞれの識別子には、マスクビットを指定して範囲検索が可能である。
パケットフィルタテーブル115は、各エントリに優先度が付与されており、図3に示す例では、小さい番号が高優先度とされている。識別子を検索した結果、より高優先度にヒットしたエントリが採用され、予め設定された各エントリに対応するアクション(permit、もしくはdeny)に従って、通過(permit)か廃棄(deny)が選択される。また、パケットフィルタテーブル115は、エントリ毎の統計情報として、パケットカウンタ(pps)とバイトカウンタ(bps)を備えている。パケットカウンタとバイトカウンタは、検索の結果、ヒットした全てのエントリで加算される。
図4は、異常トラフィック検出部120の構成を示す模式図である。異常トラフィック検出部120に入力されたIn側とOut側の双方のパケットは、セッション処理部122に入力され、図7のセッション処理のフローチャートに従って処理される。
ここで、図7のセッション処理について説明する。先ず、ステップS1では、セッション処理部にパケットが入力される。次のステップS2では、シグネチャを検索し、シグネチャがヒットした場合は、ステップS3へ進む。ステップS3では、異常パケット統計情報を加算し、ステップS4でパケットを廃棄する。
ステップS2でシグネチャがミスヒットの場合は、ステップS5に進み、セッション管理テーブルを検索する。セッション管理テーブルでパケットがヒットした場合は、ステップS6へ進み、FIN/RSTを受信したか否かを判定する。ステップS6で、FIN/RSTを受信した場合は、ステップS7へ進み、ステップS8のガーベージタイマの終了を受けて、セッション管理テーブルを削除する。その後、ステップS9でパケットを廃棄する。
一方、ステップS5で、セッション管理テーブルがミスヒットの場合は、ステップS10へ進み、最初のパケット(1stパケット)を受信する。次のステップS11では、ガーベージタイマを設定し、次のステップS12では、同時セッション数の登録の有無を判定する。
ステップS12で同時セッション数の登録が有る場合は、ステップS13へ進み、同時セッション数が上限値であるか否かを判定する。ステップS13で同時セッション数が上限値の場合は、ステップS9でパケットを廃棄する。一方、ステップS13で同時セッション数が上限値でない場合、またはステップS12で同時セッション数の登録がない場合は、ステップS14へ進む。
ステップS14では、秒間セッション数の登録の有無を判定し、秒間セッション数の登録がある場合は、ステップS15で秒間セッション数が上限値であるか否かを判定する。テップS15で秒間セッション数が上限値の場合は、ステップS16でパケットを廃棄する。一方、ステップS15で秒間セッション数が上限値でない場合、またはステップS14で秒間セッション数の登録がない場合は、ステップS17へ進む。
ステップS17では、セッション統計情報を加算する。次のステップS18では、セッション管理テーブルを登録する。次のステップS19では、パケットを出力する。ステップS19の後は処理を終了する(END)。
セッション処理部122で処理されたセッションは、セッション管理テーブル124に登録される。このとき、登録される識別子は図4に示す5つの識別子(宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号、送信元ポート番号)である。セッション統計情報保持部126は、セッション管理テーブル124に登録され、その時点で、維持されているセッション数を宛先IPアドレスと送信元IPアドレスの組み合わせ単位で保持している。
異常トラフィック検出部120に入力されたパケットは、図7のステップS2において、シグネチャ保持部128に登録された各シグネチャとマッチングして、当該パケットが異常パケットであるか否かを判断する。シグネチャ保持部128に登録されたシグネチャは、異常パケットであるパターンを記述しているものであり、例えば、宛先IPアドレスと送信元IPアドレスが同一であったり、送信元IPアドレスが詐称されていたり、宛先のホストでIPパケットを再構築したときに最大長を超えるなどのパターンを記述している。異常パケット統計情報保持部129は、シグネチャ単位に検出した異常パケット数を保持しており、ステップS2でシグネチャがヒットした場合は、ステップS3で異常パケット統計情報が加算される。
図5は、スイッチ部130の構成を示す模式図である。スイッチ部130では、スイッチエレメント132により回線側の入力線とモニタ側の出力線が接続されており、図5に示すスイッチエレメント132の3つの状態(切替1、切替2、ミラー)を設定することで、出力先を選択する。
図6は、異常トラフィック検出部120の管理部190と、管理装置700の構成を示す模式図である。管理部190は、Ingressパケットフィルタ部110の統計収集部191、異常トラフィック検出部120の統計収集部192、Egressパケットフィルタ部170の統計収集部193、Ingressパケットフィルタ部110の設定部194、異常トラフィック検出部120の設定部195、Egressパケットフィルタ部170の設定部196、及びスイッチ部130の設定部197から構成される。
管理部190は、送受信部195を介して管理装置700と接続され、管理装置700との統計情報、設定情報のインターフェースになり、各情報を内部の情報形式から管理装置の情報形式に変換する。管理装置700の情報形式としては、キャラクタ形式やMIB(Management Information Base)形式などが該当する。
管理装置700は、管理部190から統計情報を収集して、波形で表示する統計情報モニタ部710、モニタ部の波形を履歴として蓄積する統計情報レポート部720、及びアグリゲーション装置に設定したパケットフィルタやスイッチ状態の設定情報を蓄積する構成管理部730から構成される。
以上説明したように本実施形態によれば、異常トラフィック検出部120に入力されたIn側とOut側の双方のパケットは、シグネチャ検索により異常パケットであるか否かが判定される。従って、双方向のパケットによるトラフィックの挙動に基づいて、DoS攻撃などの異常パケットを廃棄することが可能となる。これにより、DoS攻撃が発生した場合であっても、モニタリング装置600において、無用なトラフィックが流入せず、効率的なネットワーク200の監視を実現することができる。また、異常パケットをモニタリング装置600で集約して収集した場合、送信元IPアドレスが詐称されている場合であっても、回線単位の異常パケット統計情報を確認することが可能となる。
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。図8は、第2の実施形態に係るアグリゲーション装置100のネットワークへの設置構成を示す。図8に示す構成は基本的に図1と同様であるが、図1ではアクセス網300がISP400を介してネットワーク200への接続が行われているのに対し、図8ではVPN(Virtual Private Network)410、ISP420,CATV(Community Antenna TeleVision)430等によりネットワーク200への接続が行われている点で相違する。
図9は、第2の実施形態に係るアグリゲーション装置100の機能ブロック構成を示す模式図である。第2の実施形態に係るアグリゲーション装置100は、異常トラフィック検出部120の後段に重複IP検出部800が設けられている点で、第1の実施形態のアグリゲーション装置100と相違する。また、第2の実施形態に係るアグリゲーション装置100において、スイッチ部900の構成は第1の実施形態のスイッチ部130と相違する。
異常トラフィック検出部120を通過したパケットは、重複IP検出部800に入力される。重複IP検出部800では、パケットのVLAN−IDとソースIPアドレスを認識して、重複IPを検出する。
図10は、重複IP検出部800の構成を示す模式図である。重複IP検出部800は、入力された双方向のパケットからVLAN−IDとソースIPアドレスを抽出する。抽出された2つの識別子は、ソースIPアドレスをキーに検索テーブル810に登録される。このとき、同一のソースIPアドレスでVLAN−IDが同一である場合は、検索テーブル810の重複フラグを「0」で登録して、当該パケットに独自タグを付与し、その中に「0」を記述して出力する。一方、同一のソースIPアドレスでVLAN−IDが異なる場合は、検索テーブル810の重複フラグを「1」で登録して、同様に独自タグを付与するが、その中に「1」を記述して出力する。なお、検索テーブル810は、一定時間毎にクリアされ更新される。また、管理部190からの設定によっては、重複フラグは「1」で登録するが、独自タグには常時「0」を記述することもできる。
図11は、異常トラフィック検出部120の構成を示す模式図である。第1の実施形態と同様に、In側とOut側の双方のパケットはセッション処理部122に入力され、図7のセッション処理フローチャートに従って処理される。処理されたセッションは、セッション管理テーブル124に登録されるが、このとき登録される識別子は、図11に示す6つの識別子(VLAN−ID、宛先IPアドレス、送信元IPアドレス、プロトコル番号、宛先ポート番号、送信元ポート番号)である。VLAN−IDをキーに含むことで、重複したIPアドレスであってもセッションを正しく認識することができる。
セッション統計情報保持部126では、セッション管理テーブル124に登録された時点での維持されているセッション数を宛先IPアドレスと送信元IPアドレスの組み単位で保持している。
第1の実施形態と同様に、異常トラフィック検出部120に入力されたパケットは、シグネチャ保持部128に登録された各シグネチャとマッチングして、当該パケットが異常パケットであるか否かを判断する。また、異常パケット統計情報保持部129は、シグネチャ単位に検出した異常パケット数を保持している。
重複IP検出部800を通過したパケットは、スイッチ部900の入力点に転送される。スイッチ部900は、あらかじめ設定されたVLAN−ID検索型のスイッチである。図12は、スイッチ部900の構成を示す模式図である。スイッチ部900では、VLAN−ID検索部910を介して回線側の入力線とモニタ側の出力線が接続されており、VLAN−ID検索部910のVLAN−ID検索の結果により出力先が決定される。
図13は、VLAN−ID検索部910の構成を示す模式図である。VLAN−ID検索部910は、In側、Out側のそれぞれの入力に対して、2つの出力(1),(2)の一方または双方を指定して出力する。VLAN−ID検索部910では、入力されたパケットからVLAN−IDと独自タグを抽出し、先ず、独自タグをキーとした独自タグテーブル912を検索する。独自タグテーブル912は、予め管理部190によりその値が登録されている。独自タグテーブル912の検索結果により、独自タグの値が「1」であるときは、独自タグテーブル912で指定された出力先に出力される。図13では、独自タグの値が「1」の場合は出力先として(2)が指定されているため、InとOutとも(2)の方路に出力される。
一方、独自タグの値が「0」であるときは、VLAN−IDをキーとしたVLAN−IDテーブル914を検索する。VLAN−IDテーブル914も独自タグテーブルと同様に、予め管理部により値が登録されている。VLAN−IDテーブル914の検索結果により、各VLAN−IDの値に応じて、指定された出力先に出力される。出力先が(1),(2)と両方ある場合、両方へコピーして出力される。また、VLAN−ID検索部910からの出力時には、独自タグは削除される。
図14は、管理部190と管理装置700の構成を示す模式図である。図14に示す管理部190の構成では、図6の構成に対して重複IP検出部800の設定部198が付加されている。重複IP検出部800の設定は、管理部190の設定部198によって設定される。
以上説明したように第2の実施形態によれば、VLANを用いて、重複IPアドレスを多重している回線であっても、アグリゲーション装置100で重複していることを検出することで、重複IPアドレスに対応していないネットワークアナライザであっても重複したパケットをそれぞれ別々のアナライザに振り分けることで正しくトラフィックを監視することが可能となる。
また、VLAN−IDごとに出力先を指定することで、複数回線に渡って、同一契約の加入者が存在するが、それらの回線には異なる加入者も多重されている場合、同一契約の加入者のみのトラフィックを1つのネットワークアナライザに集約することができる。また、異常トラフィック検出において、重複するIPアドレスを含んでいる場合であっても、正しくセッションを認識でき、誤検出を防ぐことができる。
以上、添付図面を参照しながら本発明の好適な実施形態について説明したが、本発明は係る例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明の第1の実施形態に係るアグリゲーション装置のネットワークへの設置構成を示す模式図である。 第1の実施形態に係るアグリゲーション装置の機能ブロック構成を示す模式図である。 Ingressパケットフィルタ部、Egressパケットフィルタ部の構成を示す模式図である。 異常トラフィック検出部の構成を示す模式図である。 スイッチ部の構成を示す模式図である。 異常トラフィック検出部の管理部と、管理装置の構成を示す模式図である。 異常トラフィック検出部におけるセッション処理を示すフローチャートである。 第2の実施形態に係るアグリゲーション装置のネットワークへの設置構成を示す模式図である。 第2の実施形態に係るアグリゲーション装置の機能ブロック構成を示す模式図である。 第2の実施形態に係るアグリゲーション装置の重複IP検出部の構成を示す模式図である。 第2の実施形態に係る異常トラフィック検出部の構成を示す模式図である。 第2の実施形態に係るスイッチ部の構成を示す模式図である。 第2の実施形態に係るスイッチ部において、VLAN−ID検索部の構成を示す模式図である。 第2の実施形態に係る異常トラフィック検出部の管理部と、管理装置の構成を示す模式図である。
符号の説明
100 アグリゲーション装置
105 受信部
120 異常トラフィック検出部
128 シグネチャ保持部
800 重複IP検出部
900 スイッチ部

Claims (6)

  1. ネットワークへ接続されるアクセス網に接続されるネットワーク監視装置であって、
    ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとを区別して受信する受信部と、
    前記入力側の通信データ又は前記出力側の通信データをセッションとして認識するセッション処理部と、異常な通信データを表すシグネチャが登録されたシグネチャ保持部と、を有し、前記シグネチャと、各セッションにおける前記入力側の通信データ又は前記出力側の通信データとの比較により前記異常トラフィックを検出する異常トラフィック検出部と、
    を備え、
    前記異常トラフィック検出部は、前記比較でミスヒットするセッションの同時セッション数又は秒間セッション数が上限値に達した場合に前記異常トラフィックを検出し、該当する通信データを廃棄することを特徴とする、ネットワーク監視装置。
  2. 前記通信データに含まれるソースIPアドレス及びVLAN−IDに基づいて、ソースIPアドレスが重複しているか否かを検出し、ソースIPアドレスが重複している場合に当該通信データに独自タグを付与する重複IP検出部を更に備えることを特徴とする、請求項1に記載のネットワーク監視装置。
  3. 前記通信データに付与された前記独自タグ及び前記通信データのVLAN−IDに基づいて、ネットワーク監視状況をモニタするモニタリング装置への出力先を決定するスイッチ部を更に備えることを特徴とする、請求項2に記載のネットワーク監視装置。
  4. ネットワークからアクセス網へ入力される入力側の通信データと、アクセス網からネットワークへ出力される出力側の通信データとを区別して受信する受信ステップと、
    前記入力側の通信データ又は前記出力側の通信データをセッションとして認識し、異常トラフィックを検出する異常トラフィック検出ステップと、
    を備え、
    前記異常トラフィック検出ステップにおいて、
    異常な通信データを表すシグネチャと、各セッションにおける前記入力側の通信データ又は前記出力側の通信データとの比較により前記異常トラフィックを検出し、
    前記異常トラフィック検出ステップにおいて、前記比較でミスヒットするセッションの同時セッション数又は秒間セッション数が上限値に達した場合に前記異常トラフィックを検出し、該当する通信データを廃棄することを特徴とする、ネットワーク監視方法。
  5. 前記通信データに含まれるソースIPアドレス及びVLAN−IDに基づいて、ソースIPアドレスが重複しているか否かを検出し、ソースIPアドレスが重複している場合に当該通信データに独自タグを付与する重複IP検出ステップを更に備えることを特徴とする、請求項4に記載のネットワーク監視方法。
  6. 前記通信データに付与された前記独自タグ及び前記通信データのVLAN−IDに基づいて、ネットワーク監視状況をモニタするモニタリング装置への出力先を決定する出力先決定ステップを更に備えることを特徴とする、請求項5に記載のネットワーク監視方法。
JP2007255239A 2007-09-28 2007-09-28 ネットワーク監視装置及びネットワーク監視方法 Expired - Fee Related JP4556981B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2007255239A JP4556981B2 (ja) 2007-09-28 2007-09-28 ネットワーク監視装置及びネットワーク監視方法
CN2008101320285A CN101399711B (zh) 2007-09-28 2008-07-18 网络监视装置以及网络监视方法
US12/232,891 US7876676B2 (en) 2007-09-28 2008-09-25 Network monitoring system and method capable of reducing processing load on network monitoring apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007255239A JP4556981B2 (ja) 2007-09-28 2007-09-28 ネットワーク監視装置及びネットワーク監視方法

Publications (2)

Publication Number Publication Date
JP2009088936A JP2009088936A (ja) 2009-04-23
JP4556981B2 true JP4556981B2 (ja) 2010-10-06

Family

ID=40508155

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007255239A Expired - Fee Related JP4556981B2 (ja) 2007-09-28 2007-09-28 ネットワーク監視装置及びネットワーク監視方法

Country Status (3)

Country Link
US (1) US7876676B2 (ja)
JP (1) JP4556981B2 (ja)
CN (1) CN101399711B (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201168B2 (en) * 2008-12-25 2012-06-12 Voltaire Ltd. Virtual input-output connections for machine virtualization
CN101778011B (zh) * 2009-12-31 2012-10-10 候万春 监视网络计算机终端通过互联网外传数据的方法
WO2012029409A1 (en) * 2010-09-03 2012-03-08 Nec Corporation A control apparatus, a communication system, a communication method and a recording medium having recorded thereon a communication program
EP2530873B1 (en) * 2011-06-03 2015-01-21 Fluke Corporation Method and apparatus for streaming netflow data analysis
KR20130074197A (ko) * 2011-12-26 2013-07-04 한국전자통신연구원 트래픽 관리 장치 및 그 방법
KR20130093746A (ko) * 2011-12-27 2013-08-23 한국전자통신연구원 네트워크 대역 할당 장치 및 방법
JP5743936B2 (ja) * 2012-03-22 2015-07-01 Necエンジニアリング株式会社 信号変換装置、交換機及び信号変換方法
US10673910B2 (en) * 2012-05-16 2020-06-02 Level 3 Communications, Llc Network marketing and analysis tool
US9009367B2 (en) * 2012-08-03 2015-04-14 Intel Corporation Adaptive interrupt moderation
EP3518575B1 (en) * 2015-05-29 2020-07-08 Telefonaktiebolaget LM Ericsson (publ) Methods for compression and decompression of headers of internet protocol packets, devices, computer programs and computer program products
US10305933B2 (en) * 2015-11-23 2019-05-28 Blackberry Limited Method and system for implementing usage restrictions on profiles downloaded to a mobile device
JP6228262B2 (ja) * 2016-06-03 2017-11-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 攻撃検出装置、攻撃検出方法、および攻撃検出プログラム
CN110247911B (zh) * 2019-06-14 2021-06-08 曹严清 一种流量异常检测方法及系统
CN115606151A (zh) * 2020-05-28 2023-01-13 松下电器(美国)知识产权公司(Us) 控制方法、程序及不正当数据检测系统
US11941151B2 (en) * 2021-07-16 2024-03-26 International Business Machines Corporation Dynamic data masking for immutable datastores
US11765488B1 (en) * 2021-12-17 2023-09-19 Juniper Networks, Inc. Path flow of telemetry flow data for bare metal servers

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2877137B2 (ja) * 1997-04-23 1999-03-31 安藤電気株式会社 回線モニタ装置
JP3138687B2 (ja) * 1998-06-25 2001-02-26 日本電気株式会社 回線データ収集装置
JP3928866B2 (ja) * 2003-04-18 2007-06-13 日本電信電話株式会社 DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
CN1494262A (zh) * 2003-07-18 2004-05-05 烽火通信科技股份有限公司 统一网管利用corba技术实现电路带宽动态调整
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
JP2005073093A (ja) * 2003-08-27 2005-03-17 Fujitsu Ltd 統合監視システム及び統合監視方法
JP2006041969A (ja) * 2004-07-28 2006-02-09 Mitsubishi Electric Corp ネットワーク監視装置及びネットワーク監視方法及びプログラム
US20090116402A1 (en) * 2004-10-21 2009-05-07 Nec Corporation Communication quality measuring apparatus and communication quality measuring method
JP2006165877A (ja) * 2004-12-06 2006-06-22 Oki Techno Creation:Kk 通信システム、通信方法および通信プログラム
US7535923B2 (en) 2005-02-02 2009-05-19 Agilent Technologies, Inc. Apparatus and method for low cost, multi-port protocol analysis and monitoring
CN100388682C (zh) * 2005-03-21 2008-05-14 北京北方烽火科技有限公司 一种在sgsn网络处理器中提高服务质量的方法
JP2007013590A (ja) * 2005-06-30 2007-01-18 Oki Electric Ind Co Ltd ネットワーク監視システム、ネットワーク監視装置及びプログラム
JP4774307B2 (ja) * 2006-02-06 2011-09-14 アラクサラネットワークス株式会社 不正アクセス監視装置及びパケット中継装置

Also Published As

Publication number Publication date
US7876676B2 (en) 2011-01-25
CN101399711B (zh) 2012-03-21
US20090086630A1 (en) 2009-04-02
JP2009088936A (ja) 2009-04-23
CN101399711A (zh) 2009-04-01

Similar Documents

Publication Publication Date Title
JP4556981B2 (ja) ネットワーク監視装置及びネットワーク監視方法
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US7729271B2 (en) Detection method for abnormal traffic and packet relay apparatus
US8422386B2 (en) Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program
US7120931B1 (en) System and method for generating filters based on analyzed flow data
US7779126B1 (en) System and method for propagating filters
US7623466B2 (en) Symmetric connection detection
JP4983671B2 (ja) トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
EP3151470B1 (en) Analytics for a distributed network
US8149705B2 (en) Packet communications unit
US7636305B1 (en) Method and apparatus for monitoring network traffic
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
JP2007336512A (ja) 統計情報収集システム及び統計情報収集装置
US20090240804A1 (en) Method and apparatus for preventing igmp packet attack
CN111314179B (zh) 网络质量检测方法、装置、设备和存储介质
CN103036733A (zh) 非常规网络接入行为的监测系统及监测方法
EP1461904A1 (en) Method to automatically configure network routing device
JP4523612B2 (ja) 経路情報・mib情報をもとにしたトラフィック監視方法
JP2011151514A (ja) トラフィック量監視システム
KR100504389B1 (ko) 아이피 공유기 검출 시스템 및 그 방법
JP4246238B2 (ja) トラフィック情報の配信及び収集方法
JP2004164107A (ja) 不正アクセス監視システム
JP7104201B2 (ja) パケット中継装置およびパケット中継方法
JP2008135871A (ja) ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム
US9742699B2 (en) Network apparatus and selective information monitoring method using the same

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090721

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090804

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100629

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100712

R150 Certificate of patent or registration of utility model

Ref document number: 4556981

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130730

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees