トラフィックモニタ装置およびトラフィックのモニタ方法
【課題】ルータやスイッチに代表されるネットワーク機器が接続するネットワークに接続されるトラフィックモニタ装置において、異常トラフィックの検知、非検知を契機に該トラフィックの帯域制御および、解除を自動的に行なう機能を提供する。
【解決手段】上述した課題は、ネットワーク機器に接続されたトラフィックモニタ装置において、ネットワークをリアルタイムに監視し続け異常トラフィックを検知すれば、自装置メモリ内異常トラフィック情報を参照し、検出済み異常トラフィックであるかを判断し、検出済みでなければ自動的に帯域を制御する指示をネットワーク機器に与える機能を備え、モニタ装置において該当異常トラフィックが検知されなくなり所定の時間経過後、制御した情報を基に自動的に制御を解除する指示をネットワーク機器に与える機能を有するトラフィックモニタ装置により、解決可能である。
【解決手段】上述した課題は、ネットワーク機器に接続されたトラフィックモニタ装置において、ネットワークをリアルタイムに監視し続け異常トラフィックを検知すれば、自装置メモリ内異常トラフィック情報を参照し、検出済み異常トラフィックであるかを判断し、検出済みでなければ自動的に帯域を制御する指示をネットワーク機器に与える機能を備え、モニタ装置において該当異常トラフィックが検知されなくなり所定の時間経過後、制御した情報を基に自動的に制御を解除する指示をネットワーク機器に与える機能を有するトラフィックモニタ装置により、解決可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、トラフィックモニタ装置およびトラフィックのモニタ方法に係り、特に、検出した異常トラフィックに対し帯域の制御を設定から解除まで実施するトラフィックモニタ装置およびトラフィックのモニタ方法に関する。
【背景技術】
【0002】
多数のユーザがネットワークを介してコンピュータ資源を共用するクラウドコンピューティングでは、瞬間的に過負荷な帯域を使用するバーストトラフィックの発生、特定ユーザによるポート等のスキャン行為やP2P通信等で不正な異常トラフィックがサービスの安定維持において重大な問題となる。そのため、ネットワーク監視を行なうことを目的としてsnmpやNetFlow等の技術が知られている。
【0003】
特許文献1は、ネットワークに流れるトラフィックを分析し、異常トラフィックと判断されたトラフィックを検出、帯域を制御するシステムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−314077号公報
【特許文献2】特開2008−113409号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1は、大量のトラフィックの中から不適切なトラフィックを効率よく検出し、該トラフィックの転送を制御するシステムを提供することはできる。しかし、転送を制御されたトラフィックは、手動で解除しなければならない。このため、一時的に不適切と判断されたトラフィックの転送をネットワーク制御装置が制御し続けるという課題があった。
【0006】
特許文献2は、ユーザごとにコンピュータ・ウィルスやワーム感染した端末に対する制御を行なうことができる。しかし、端末の問題が解消された後、ネットワークに再接続しても中継装置において端末を使用しているユーザの通信を制御し続けるという課題があった。
【課題を解決するための手段】
【0007】
本発明は、一時的な異常トラフィックと思われるトラフィックに対しても、帯域を制御し、異常トラフィックが検出されなくなり、異常状態が解除されれば帯域の制御を解除する機能を有するトラフィックモニタ装置を提供する。ルータやスイッチに代表されるネットワーク機器が接続するネットワークに接続されるトラフィックモニタ装置において、異常トラフィックの検知、非検知を契機に該トラフィックの帯域制御および解除の指示を自動的に行なう機能を提供する。
【0008】
本願は上記課題を解決する手段を複数含んでいる。ネットワーク機器に接続されたトラフィックモニタ装置において、ネットワークをリアルタイムに監視し続け異常トラフィックを検知すれば、自装置メモリ内異常トラフィック情報を参照し、検出済み異常トラフィックであるかを判断し、検出済みでなければ自動的に帯域を制御する指示をネットワーク機器に与える機能を備え、モニタ装置において該当異常トラフィックが検知されなくなり異常状態が解除されれば、制御した情報を基に自動的に制御を解除する指示をネットワーク機器に与える機能を有する。
【0009】
上述した課題は、入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除するトラフィックモニタ装置により、達成できる。
【0010】
また、異常トラフィックを検知するステップと、この異常トラフィックを一定期間内に検知済みか判定するステップと、非検知のとき、ネットワーク機器に帯域制御の指示を送信するステップと、実施済み帯域制御情報を記録するステップと、異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法により、達成できる。
【発明の効果】
【0011】
本発明によれば、ネットワーク機器に流れる異常トラフィックを検知し、トラフィックの帯域を制御し、異常状態が解除されれば帯域制御の解除をすることができる。
【図面の簡単な説明】
【0012】
【図1】帯域制御システムのハードウェアブロック図である。
【図2】トラフィックモニタ装置のハードウェアブロック図である。
【図3】異常トラフィック情報テーブルを説明する図である。
【図4】帯域制御情報テーブルを説明する図である。
【図5】帯域制御指示部の処理を説明するフローチャートである。
【図6】帯域制御を解除する処理を説明するフローチャートである。
【図7】異常トラフィック情報テーブルと帯域制御情報テーブルの差分を検出する処理を説明するフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
【0014】
まず、図1を参照して、帯域制御システムの構成を説明する。図1において、帯域制御システム1000は、トラヒックモニタ装置100と、ネットワーク装置700とから、構成される。ネットワーク装置700は、CPU730と、メモリ740と、入出力装置760と、フロー制御部750と、入出力装置770とから構成される。トラフィックモニタ装置100は、入出力装置160を含む。入出力装置760には、ネットワーク500−1が接続されている。また、入出力装置770には、ネットワーク500−2が接続されている。なお、トラフィックモニタ装置100と、ネットワーク機器700とは、図示しない制御線でも接続されている。
【0015】
トラフィックモニタ装置100は、ネットワーク500−1から受信し、ネットワーク500−2へ送信されるトラフィックを入出力装置760とフロー制御部750の間でモニタする。トラフィックモニタ装置100は、上述したフローに異常を検出したとき、フロー制御部を制御して、帯域に制限を与える。したがって、ネットワーク500−2から受信し、ネットワーク500−1へ送信されるトラフィックについて、トラフィックモニタ装置100は、入出力装置770とフロー制御部750の間でモニタする。
【0016】
図2を参照して、ネットワークを監視し、異常トラフィックを検知した場合に、帯域の制御、解除を指示する機能を備えたトラフィックモニタ装置100を説明しよう。図2において、トラフィックモニタ装置100は、内部通信線に接続されたCPU150と、入出力装置160と、トラフィック分析部140と、トラフィック分析部140に接続された異常トラフィック検出部130と、異常トラフィック検出部130に接続されたメモリ120と、メモリ120に接続された制御部110とから構成される。制御部110は、帯域制御指示部111と、帯域制御判断部112とを含む。メモリ120は、異常トラフィック情報テーブル300と、帯域制御情報テーブル400とを記憶している。
【0017】
帯域制御指示部111は、トラフィックモニタ装置100によるネットワーク機器700の制御を担う。帯域制御指示部111は、接続されたネットワーク機器に帯域制御を指示する。帯域制御判断部112は、メモリ120内の情報をもとに帯域制御、解除を判断する。入出力装置160は、外部のネットワーク機器700と接続し、監視の対象となるトラフィックを受信する。入出力装置160は、制御部110から指示された帯域制御、解除の情報をネットワーク機器700へ送信する。
【0018】
帯域制御判断部112は、異常トラフィック情報テーブル300の情報と異常トラフィックとして検出されたパケットを比較する。帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400とを比較し、帯域制御指示部111へ帯域制御、解除を実施するか否かの判断を行なう。帯域制御指示部111は、指示された帯域制御、解除情報を入出力装置160を通してネットワーク機器700へ設定する指示を行なう。
【0019】
異常トラフィック検出部130は、トラフィック分析部140で分析されたパケットのうち過剰帯域、特定ポートへの複数アドレスからのトラフィックなど異常と判断するトラフィックを検出する。異常トラフィック検出部130は、対象パケットの情報を異常トラフィック情報テーブル300に格納する。
【0020】
トラフィック分析部140は、入出力装置160で受信した分析対象トラフィックをリアルタイムに分析する。トラフィック分析部140は、その結果を異常トラフィック検出部130へ送信する。
【0021】
トラフィックモニタ装置100は、入出力装置160で受信したトラフィックをトラフィック分析部140で分析した結果、異常トラフィック検出部130において異常トラフィックと判断されたトラフィックに対して、異常トラフィック情報テーブル300に格納する。トラフィックモニタ装置100は、該当トラフィックを制御するような帯域制御を実施するための情報を帯域制御情報テーブル400に格納する。制御部110は、格納された異常トラフィックに対し帯域制御を実施するかを判断する。制御部110は、必要に応じてネットワーク機器700に帯域制御、解除を実施する。
【0022】
図3を参照して、異常トラフィック情報テーブル300を説明する。図3において、異常トラフィック情報テーブル300は、No.302と、送信元IPアドレス(送信IP)303と、送信先IPアドレス(宛先IP)304と、送信元MACアドレス(送信MAC)305と、送信先MACアドレス(宛先MAC)306と、VLAN ID307と、Timer値(Timer)308とから構成される。異常トラフィック情報テーブル300の送信元IPアドレス303〜VLAN ID307は、トラフィックを特定する。Timer値308は、設定された初期値から、ゼロになるまで時々刻々減算し続ける。CPU150は、Timer値308がゼロになったとき、該当のレコードの送信元IPアドレス303〜Timer値308をクリアする。なお、トラフィックを特定する他の情報は、後述する。
【0023】
図4を参照して、帯域制御情報テーブル400を説明する。図4において、帯域制御情報テーブル400は、No.402と、帯域制御情報403とから構成されている。帯域制御情報403は、ネットワーク機器700への帯域制御指示内容である。
【0024】
図5を参照して、トラフィックモニタ装置100の動作を、説明する。図5において、入出力装置160で受信したトラフィックについて、トラフィック分析部140は、分析を行なう。
【0025】
異常トラフィック検出部130は、異常トラフィックを検出待つ(S201)。異常トラフィックを検出したとき、帯域制御判断部112は、該トラフィック情報が異常トラフィック情報テーブル300に格納済みか判定を行なう(S202)。異常トラフィックが異常トラフィック情報テーブル300に格納されていないとき(NO)、トラフィックを制御するために帯域制御指示部111は、入出力装置160を通し、ネットワーク機器700に帯域制御の指示を行なう(S203)。制御部110は、帯域制御指示部111がネットワーク機器700に指示した帯域制御情報を帯域制御情報テーブル400に格納する(S204)。制御部110は、IPアドレス、MACアドレス、VLAN等のパケットのヘッダ部分から取得可能な情報と共に時間の経過と共に減少するTimer値308を初期値として異常トラフィック情報テーブル300にデータを格納して(S205)、ステップ201に遷移する。
【0026】
ここで、Timmer値308は、全異常トラフィックに対して一律の数値を用いてもよいが、異常トラフィックの種類(瞬間的な極大帯域使用、特定ユーザによるスキャン、P2P通信等)により、任意に設定してもよい。
【0027】
ステップ202でYESのとき、帯域制御判断部112は、ステップ205に遷移する。このとき、制御部110は、異常トラフィック情報テーブル300の該トラフィック情報を更新する処理を行なう。この際の処理は、Timer値308の初期値の更新でありその他情報は更新しない。
【0028】
なお、検出済みか否かを判断する情報は、IPアドレス、MACアドレス、VLAN等のL3ヘッダ以下の情報が完全に一致する必要は必ずしもない。すなわち、接続されたネットワーク機器の特性に従いキーとなる情報を限定することもできる。さらには、L3ヘッダ以下の情報に限定するものではなく、L4ヘッダ以上の情報をキーとし、特定ポートへ攻撃を検知することもできる。また、検出したパケットの先頭から指定のバイト数分(具体的には、先頭から24バイトから36バイト)をキーとすることもできる。
【0029】
ここで、異常トラフィック情報テーブル300の更新処理について説明する。異常トラフィック情報テーブル300は、格納された異常トラフィック毎に時間経過とともに減少するTimer値308を備えている。異常トラフィックが検出され、該異常トラフィックが既に異常トラフィック情報として登録されている場合、この異常トラフィックは、対策済みであると判断する。すなわち、トラフィックモニタ装置100は、帯域制御を行なうステップと帯域制御情報テーブル400に該異常トラフィック情報を格納するステップをスキップする。トラフィックモニタ装置100は、ステップ205で、新たな異常トラフィック情報の追記ではなく、Timer値308をデフォルトとして設定された値への更新のみを行なう。
【0030】
検出済異常トラフィックがトラフィックモニタ装置100の異常トラフィック検出部130で検出され続ける限り、Timer値308は、更新され続ける。しかし、異常トラフィックが検出されなくなり、Timer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除する。
【0031】
図6を参照して、帯域制御判断部112による帯域制御の解除について説明する。図6において、帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400に差分があるか、一定の間隔毎に比較する(S501)。この間隔は使用者が自由に設定することが可能である。差があるとき、帯域制御判断部112は、差分の帯域制御情報に基づいて解除を実施する(S502)。帯域制御判断部112は、対象帯域制御情報テーブル400の対象レコードを削除して(S503)、終了する。ステップ501でNOのとき、帯域制御判断部112は、そのまま終了する。
【0032】
なお、ステップ501で差分が発生するのは、異常トラフィック情報テーブル300のTimer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除するためである。
【0033】
図7を参照して、異常トラフィック情報テーブル300と帯域制御情報テーブル400の更新処理を説明する。図7において、帯域制御判断部112は、異常トラフィック情報テーブル300に格納されている異常トラフィック情報の総数および帯域制御情報テーブル400に格納されている帯域制御情報の総数をカウントする(S601)。帯域制御判断部112は、総数とNo数に差分があるか確認する(S602)。差分があるとき(YES)、帯域制御判断部112は、各テーブルに格納されているデータのNo.302、402を紐付けて比較し、空白レコードを抽出する(S603)。帯域制御判断部112は、異常トラフィック情報テーブル300および帯域制御情報テーブル400のNo.302、402の順序を保つためにそれぞれのNo情報を更新し、空白レコードをテーブル300、400の最後尾にくるよう設定して(S604)、終了する。ステップ602でNOのとき、帯域制御判断部112は、そのまま終了する。
【0034】
なお、新規に異常トラフィックを格納する際は現在の異常トラフィック情報テーブル300の最老番にプラス1したNo.を付与し、帯域制御情報テーブル400には前述異常トラフィックテーブル300のNo.302と紐付け可能な数値を付与し格納することとする。
【0035】
なお、帯域制御情報テーブル400に格納するNo.402は、異常トラフィック情報テーブル300に付与したNo.302と同様の数値であってもよい。紐付けが可能であれば、数値に限定する必要もない。
【0036】
本実施例によれば、ネットワーク機器700で検出された異常トラフィックに対し、リアルタイムで帯域を制御し、検出されなくなれば解除することができる。本実施例のトラフィックモニタ装置によれば、ネットワーク全体の安定性を確保すると共に、ネットワーク機器700のリソースを有効活用することができる。
【0037】
本実施例によれば、手動で行なっていたネットワーク管理にかかる負担を軽減できる。また、不正なアクセスを遮断できることにより、ネットワーク全体の安全性、信頼性を向上することができる。さらに、ネットワーク機器の限られたリソースを無駄にすることなくネットワーク機器における収容効率の向上を見込むことができる。
【符号の説明】
【0038】
100…トラフィックモニタ装置、110…制御部、111…帯域制御指示部、112…帯域制御判断部、120…メモリ、130…異常トラフィック検出部、140…トラフィック分析部、150…CPU、160…入出力装置、300…異常トラフィック情報テーブル、400…帯域制御情報テーブル、1000…帯域制御システム。
【技術分野】
【0001】
本発明は、トラフィックモニタ装置およびトラフィックのモニタ方法に係り、特に、検出した異常トラフィックに対し帯域の制御を設定から解除まで実施するトラフィックモニタ装置およびトラフィックのモニタ方法に関する。
【背景技術】
【0002】
多数のユーザがネットワークを介してコンピュータ資源を共用するクラウドコンピューティングでは、瞬間的に過負荷な帯域を使用するバーストトラフィックの発生、特定ユーザによるポート等のスキャン行為やP2P通信等で不正な異常トラフィックがサービスの安定維持において重大な問題となる。そのため、ネットワーク監視を行なうことを目的としてsnmpやNetFlow等の技術が知られている。
【0003】
特許文献1は、ネットワークに流れるトラフィックを分析し、異常トラフィックと判断されたトラフィックを検出、帯域を制御するシステムが開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2006−314077号公報
【特許文献2】特開2008−113409号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1は、大量のトラフィックの中から不適切なトラフィックを効率よく検出し、該トラフィックの転送を制御するシステムを提供することはできる。しかし、転送を制御されたトラフィックは、手動で解除しなければならない。このため、一時的に不適切と判断されたトラフィックの転送をネットワーク制御装置が制御し続けるという課題があった。
【0006】
特許文献2は、ユーザごとにコンピュータ・ウィルスやワーム感染した端末に対する制御を行なうことができる。しかし、端末の問題が解消された後、ネットワークに再接続しても中継装置において端末を使用しているユーザの通信を制御し続けるという課題があった。
【課題を解決するための手段】
【0007】
本発明は、一時的な異常トラフィックと思われるトラフィックに対しても、帯域を制御し、異常トラフィックが検出されなくなり、異常状態が解除されれば帯域の制御を解除する機能を有するトラフィックモニタ装置を提供する。ルータやスイッチに代表されるネットワーク機器が接続するネットワークに接続されるトラフィックモニタ装置において、異常トラフィックの検知、非検知を契機に該トラフィックの帯域制御および解除の指示を自動的に行なう機能を提供する。
【0008】
本願は上記課題を解決する手段を複数含んでいる。ネットワーク機器に接続されたトラフィックモニタ装置において、ネットワークをリアルタイムに監視し続け異常トラフィックを検知すれば、自装置メモリ内異常トラフィック情報を参照し、検出済み異常トラフィックであるかを判断し、検出済みでなければ自動的に帯域を制御する指示をネットワーク機器に与える機能を備え、モニタ装置において該当異常トラフィックが検知されなくなり異常状態が解除されれば、制御した情報を基に自動的に制御を解除する指示をネットワーク機器に与える機能を有する。
【0009】
上述した課題は、入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除するトラフィックモニタ装置により、達成できる。
【0010】
また、異常トラフィックを検知するステップと、この異常トラフィックを一定期間内に検知済みか判定するステップと、非検知のとき、ネットワーク機器に帯域制御の指示を送信するステップと、実施済み帯域制御情報を記録するステップと、異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法により、達成できる。
【発明の効果】
【0011】
本発明によれば、ネットワーク機器に流れる異常トラフィックを検知し、トラフィックの帯域を制御し、異常状態が解除されれば帯域制御の解除をすることができる。
【図面の簡単な説明】
【0012】
【図1】帯域制御システムのハードウェアブロック図である。
【図2】トラフィックモニタ装置のハードウェアブロック図である。
【図3】異常トラフィック情報テーブルを説明する図である。
【図4】帯域制御情報テーブルを説明する図である。
【図5】帯域制御指示部の処理を説明するフローチャートである。
【図6】帯域制御を解除する処理を説明するフローチャートである。
【図7】異常トラフィック情報テーブルと帯域制御情報テーブルの差分を検出する処理を説明するフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
【0014】
まず、図1を参照して、帯域制御システムの構成を説明する。図1において、帯域制御システム1000は、トラヒックモニタ装置100と、ネットワーク装置700とから、構成される。ネットワーク装置700は、CPU730と、メモリ740と、入出力装置760と、フロー制御部750と、入出力装置770とから構成される。トラフィックモニタ装置100は、入出力装置160を含む。入出力装置760には、ネットワーク500−1が接続されている。また、入出力装置770には、ネットワーク500−2が接続されている。なお、トラフィックモニタ装置100と、ネットワーク機器700とは、図示しない制御線でも接続されている。
【0015】
トラフィックモニタ装置100は、ネットワーク500−1から受信し、ネットワーク500−2へ送信されるトラフィックを入出力装置760とフロー制御部750の間でモニタする。トラフィックモニタ装置100は、上述したフローに異常を検出したとき、フロー制御部を制御して、帯域に制限を与える。したがって、ネットワーク500−2から受信し、ネットワーク500−1へ送信されるトラフィックについて、トラフィックモニタ装置100は、入出力装置770とフロー制御部750の間でモニタする。
【0016】
図2を参照して、ネットワークを監視し、異常トラフィックを検知した場合に、帯域の制御、解除を指示する機能を備えたトラフィックモニタ装置100を説明しよう。図2において、トラフィックモニタ装置100は、内部通信線に接続されたCPU150と、入出力装置160と、トラフィック分析部140と、トラフィック分析部140に接続された異常トラフィック検出部130と、異常トラフィック検出部130に接続されたメモリ120と、メモリ120に接続された制御部110とから構成される。制御部110は、帯域制御指示部111と、帯域制御判断部112とを含む。メモリ120は、異常トラフィック情報テーブル300と、帯域制御情報テーブル400とを記憶している。
【0017】
帯域制御指示部111は、トラフィックモニタ装置100によるネットワーク機器700の制御を担う。帯域制御指示部111は、接続されたネットワーク機器に帯域制御を指示する。帯域制御判断部112は、メモリ120内の情報をもとに帯域制御、解除を判断する。入出力装置160は、外部のネットワーク機器700と接続し、監視の対象となるトラフィックを受信する。入出力装置160は、制御部110から指示された帯域制御、解除の情報をネットワーク機器700へ送信する。
【0018】
帯域制御判断部112は、異常トラフィック情報テーブル300の情報と異常トラフィックとして検出されたパケットを比較する。帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400とを比較し、帯域制御指示部111へ帯域制御、解除を実施するか否かの判断を行なう。帯域制御指示部111は、指示された帯域制御、解除情報を入出力装置160を通してネットワーク機器700へ設定する指示を行なう。
【0019】
異常トラフィック検出部130は、トラフィック分析部140で分析されたパケットのうち過剰帯域、特定ポートへの複数アドレスからのトラフィックなど異常と判断するトラフィックを検出する。異常トラフィック検出部130は、対象パケットの情報を異常トラフィック情報テーブル300に格納する。
【0020】
トラフィック分析部140は、入出力装置160で受信した分析対象トラフィックをリアルタイムに分析する。トラフィック分析部140は、その結果を異常トラフィック検出部130へ送信する。
【0021】
トラフィックモニタ装置100は、入出力装置160で受信したトラフィックをトラフィック分析部140で分析した結果、異常トラフィック検出部130において異常トラフィックと判断されたトラフィックに対して、異常トラフィック情報テーブル300に格納する。トラフィックモニタ装置100は、該当トラフィックを制御するような帯域制御を実施するための情報を帯域制御情報テーブル400に格納する。制御部110は、格納された異常トラフィックに対し帯域制御を実施するかを判断する。制御部110は、必要に応じてネットワーク機器700に帯域制御、解除を実施する。
【0022】
図3を参照して、異常トラフィック情報テーブル300を説明する。図3において、異常トラフィック情報テーブル300は、No.302と、送信元IPアドレス(送信IP)303と、送信先IPアドレス(宛先IP)304と、送信元MACアドレス(送信MAC)305と、送信先MACアドレス(宛先MAC)306と、VLAN ID307と、Timer値(Timer)308とから構成される。異常トラフィック情報テーブル300の送信元IPアドレス303〜VLAN ID307は、トラフィックを特定する。Timer値308は、設定された初期値から、ゼロになるまで時々刻々減算し続ける。CPU150は、Timer値308がゼロになったとき、該当のレコードの送信元IPアドレス303〜Timer値308をクリアする。なお、トラフィックを特定する他の情報は、後述する。
【0023】
図4を参照して、帯域制御情報テーブル400を説明する。図4において、帯域制御情報テーブル400は、No.402と、帯域制御情報403とから構成されている。帯域制御情報403は、ネットワーク機器700への帯域制御指示内容である。
【0024】
図5を参照して、トラフィックモニタ装置100の動作を、説明する。図5において、入出力装置160で受信したトラフィックについて、トラフィック分析部140は、分析を行なう。
【0025】
異常トラフィック検出部130は、異常トラフィックを検出待つ(S201)。異常トラフィックを検出したとき、帯域制御判断部112は、該トラフィック情報が異常トラフィック情報テーブル300に格納済みか判定を行なう(S202)。異常トラフィックが異常トラフィック情報テーブル300に格納されていないとき(NO)、トラフィックを制御するために帯域制御指示部111は、入出力装置160を通し、ネットワーク機器700に帯域制御の指示を行なう(S203)。制御部110は、帯域制御指示部111がネットワーク機器700に指示した帯域制御情報を帯域制御情報テーブル400に格納する(S204)。制御部110は、IPアドレス、MACアドレス、VLAN等のパケットのヘッダ部分から取得可能な情報と共に時間の経過と共に減少するTimer値308を初期値として異常トラフィック情報テーブル300にデータを格納して(S205)、ステップ201に遷移する。
【0026】
ここで、Timmer値308は、全異常トラフィックに対して一律の数値を用いてもよいが、異常トラフィックの種類(瞬間的な極大帯域使用、特定ユーザによるスキャン、P2P通信等)により、任意に設定してもよい。
【0027】
ステップ202でYESのとき、帯域制御判断部112は、ステップ205に遷移する。このとき、制御部110は、異常トラフィック情報テーブル300の該トラフィック情報を更新する処理を行なう。この際の処理は、Timer値308の初期値の更新でありその他情報は更新しない。
【0028】
なお、検出済みか否かを判断する情報は、IPアドレス、MACアドレス、VLAN等のL3ヘッダ以下の情報が完全に一致する必要は必ずしもない。すなわち、接続されたネットワーク機器の特性に従いキーとなる情報を限定することもできる。さらには、L3ヘッダ以下の情報に限定するものではなく、L4ヘッダ以上の情報をキーとし、特定ポートへ攻撃を検知することもできる。また、検出したパケットの先頭から指定のバイト数分(具体的には、先頭から24バイトから36バイト)をキーとすることもできる。
【0029】
ここで、異常トラフィック情報テーブル300の更新処理について説明する。異常トラフィック情報テーブル300は、格納された異常トラフィック毎に時間経過とともに減少するTimer値308を備えている。異常トラフィックが検出され、該異常トラフィックが既に異常トラフィック情報として登録されている場合、この異常トラフィックは、対策済みであると判断する。すなわち、トラフィックモニタ装置100は、帯域制御を行なうステップと帯域制御情報テーブル400に該異常トラフィック情報を格納するステップをスキップする。トラフィックモニタ装置100は、ステップ205で、新たな異常トラフィック情報の追記ではなく、Timer値308をデフォルトとして設定された値への更新のみを行なう。
【0030】
検出済異常トラフィックがトラフィックモニタ装置100の異常トラフィック検出部130で検出され続ける限り、Timer値308は、更新され続ける。しかし、異常トラフィックが検出されなくなり、Timer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除する。
【0031】
図6を参照して、帯域制御判断部112による帯域制御の解除について説明する。図6において、帯域制御判断部112は、異常トラフィック情報テーブル300と帯域制御情報テーブル400に差分があるか、一定の間隔毎に比較する(S501)。この間隔は使用者が自由に設定することが可能である。差があるとき、帯域制御判断部112は、差分の帯域制御情報に基づいて解除を実施する(S502)。帯域制御判断部112は、対象帯域制御情報テーブル400の対象レコードを削除して(S503)、終了する。ステップ501でNOのとき、帯域制御判断部112は、そのまま終了する。
【0032】
なお、ステップ501で差分が発生するのは、異常トラフィック情報テーブル300のTimer値308が時間とともに減少し、0になった時点で、トラフィックモニタ装置100は、この異常トラフィック情報について、異常トラフィック情報テーブル300から削除するためである。
【0033】
図7を参照して、異常トラフィック情報テーブル300と帯域制御情報テーブル400の更新処理を説明する。図7において、帯域制御判断部112は、異常トラフィック情報テーブル300に格納されている異常トラフィック情報の総数および帯域制御情報テーブル400に格納されている帯域制御情報の総数をカウントする(S601)。帯域制御判断部112は、総数とNo数に差分があるか確認する(S602)。差分があるとき(YES)、帯域制御判断部112は、各テーブルに格納されているデータのNo.302、402を紐付けて比較し、空白レコードを抽出する(S603)。帯域制御判断部112は、異常トラフィック情報テーブル300および帯域制御情報テーブル400のNo.302、402の順序を保つためにそれぞれのNo情報を更新し、空白レコードをテーブル300、400の最後尾にくるよう設定して(S604)、終了する。ステップ602でNOのとき、帯域制御判断部112は、そのまま終了する。
【0034】
なお、新規に異常トラフィックを格納する際は現在の異常トラフィック情報テーブル300の最老番にプラス1したNo.を付与し、帯域制御情報テーブル400には前述異常トラフィックテーブル300のNo.302と紐付け可能な数値を付与し格納することとする。
【0035】
なお、帯域制御情報テーブル400に格納するNo.402は、異常トラフィック情報テーブル300に付与したNo.302と同様の数値であってもよい。紐付けが可能であれば、数値に限定する必要もない。
【0036】
本実施例によれば、ネットワーク機器700で検出された異常トラフィックに対し、リアルタイムで帯域を制御し、検出されなくなれば解除することができる。本実施例のトラフィックモニタ装置によれば、ネットワーク全体の安定性を確保すると共に、ネットワーク機器700のリソースを有効活用することができる。
【0037】
本実施例によれば、手動で行なっていたネットワーク管理にかかる負担を軽減できる。また、不正なアクセスを遮断できることにより、ネットワーク全体の安全性、信頼性を向上することができる。さらに、ネットワーク機器の限られたリソースを無駄にすることなくネットワーク機器における収容効率の向上を見込むことができる。
【符号の説明】
【0038】
100…トラフィックモニタ装置、110…制御部、111…帯域制御指示部、112…帯域制御判断部、120…メモリ、130…異常トラフィック検出部、140…トラフィック分析部、150…CPU、160…入出力装置、300…異常トラフィック情報テーブル、400…帯域制御情報テーブル、1000…帯域制御システム。
【特許請求の範囲】
【請求項1】
入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、
前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、
検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、
非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、
前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除することを特徴とするトラフィックモニタ装置。
【請求項2】
請求項1に記載のトラフィックモニタ装置であって、
前記異常トラヒック情報は、異常トラフィックの送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、前記タイマー値とからなることを特徴とするトラフィックモニタ装置。
【請求項3】
請求項1に記載のトラフィックモニタ装置であって、
前記制御部は、異常トラフィック情報を削除したとき、該当する前記実施済み帯域制御情報を削除することを特徴とするトラフィックモニタ装置。
【請求項4】
異常トラフィックを検知するステップと、
この異常トラフィックを一定期間内に検知済みか判定するステップと、
非検知のとき、
ネットワーク機器に帯域制御の指示を送信するステップと、
実施済み帯域制御情報を記録するステップと、
異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法。
【請求項5】
請求項4に記載のトラフィックのモニタ方法であって、
検知済みのとき、前記更新するステップは、タイマー値の後身であることを特徴とするトラフィックのモニタ方法。
【請求項6】
請求項5に記載のトラフィックのモニタ方法であって、
前記タイマー値がゼロになったとき、
前記ネットワーク機器に帯域制御の解除を送信するステップと、
前記異常トラフィック情報を削除するステップと、を実施することを特徴とするトラフィックのモニタ方法。
【請求項1】
入出力装置と、トラフィック分析部と、異常トラフィック検出部と、メモリと、制御部とを備え、ネットワーク機器に接続されたトラフィックモニタ装置において、
前記異常トラフィック検出部が、トラフィック分析部で分析されたパケットのうち異常と判断するトラフィックを検出すると、前記制御部は、その情報について、既に検出済みであるか判定し、
検出済みのとき、前記制御部は、前記メモリの異常トラフィック情報に保存されたタイマー値を更新し、
非検出のとき、前記制御部は、前記ネットワーク機器に帯域制御の指示を送信し、実施済み帯域制御情報を前記メモリに記録し、前記異常トラヒック情報を前記メモリに記録し、
前記異常トラフィック情報の前記タイマー値がゼロになったとき、前記制御部は、前記ネットワーク機器に帯域制御の解除を送信し、当該異常トラフィック情報を削除することを特徴とするトラフィックモニタ装置。
【請求項2】
請求項1に記載のトラフィックモニタ装置であって、
前記異常トラヒック情報は、異常トラフィックの送信元IPアドレスと、宛先IPアドレスと、送信元MACアドレスと、宛先MACアドレスと、前記タイマー値とからなることを特徴とするトラフィックモニタ装置。
【請求項3】
請求項1に記載のトラフィックモニタ装置であって、
前記制御部は、異常トラフィック情報を削除したとき、該当する前記実施済み帯域制御情報を削除することを特徴とするトラフィックモニタ装置。
【請求項4】
異常トラフィックを検知するステップと、
この異常トラフィックを一定期間内に検知済みか判定するステップと、
非検知のとき、
ネットワーク機器に帯域制御の指示を送信するステップと、
実施済み帯域制御情報を記録するステップと、
異常トラフィック情報を更新するステップと、からなるトラフィックのモニタ方法。
【請求項5】
請求項4に記載のトラフィックのモニタ方法であって、
検知済みのとき、前記更新するステップは、タイマー値の後身であることを特徴とするトラフィックのモニタ方法。
【請求項6】
請求項5に記載のトラフィックのモニタ方法であって、
前記タイマー値がゼロになったとき、
前記ネットワーク機器に帯域制御の解除を送信するステップと、
前記異常トラフィック情報を削除するステップと、を実施することを特徴とするトラフィックのモニタ方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−109905(P2012−109905A)
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願番号】特願2010−258821(P2010−258821)
【出願日】平成22年11月19日(2010.11.19)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願日】平成22年11月19日(2010.11.19)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]