通信システム、通信装置、サーバ、通信方法
【課題】外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置において、DoS攻撃等への耐性を高め、かつ、その負荷の上昇を抑える構成の提供。
【解決手段】通信システムは、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む。
【解決手段】通信システムは、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信装置、サーバ、通信方法およびプログラムに関し、特に、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習する通信装置を含む通信システム、通信装置、サーバ、通信方法およびプログラムに関する。
【背景技術】
【0002】
特許文献1に、異常トラフィックに対する対処(フィルタリング、帯域制限等)をなしうるようにしたトラフィック制御システムが開示されている。同文献によると、異常トラフィック検出装置は、異常トラフィックを検出した場合に、管理サーバに対して、検出した異常トラフィックの情報を通知する。管理サーバは、通知された異常トラフィック情報に含まれる異常トラフィックの送信元情報により認証サーバから異常トラフィックを送信したユーザを特定する。さらに、管理サーバは、あらかじめ規定しておいたユーザ毎の異常トラフィック対処方法であって、異常トラフィックを送信したユーザに該当する対処方法を、異常トラフィック検出装置に送信する。異常トラフィック検出装置は、その対処方法に従って、トラフィック制御に関する設定を行う、と記載されている。
【0003】
また、特許文献2、非特許文献1、2には、オープンフローという仕組みが提案されている。このオープンフローでは、ネットワークに配置されたオープンフロースイッチは、オープンフローコントローラという制御装置に対して受信パケットに適用する処理内容を問い合わせて学習する。このようなオープンフローには、フロー単位での経路制御、障害回復、負荷分散、最適化を、安価なスイッチで実現できるという利点がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−113409号公報
【特許文献2】国際公開第2008/095010号
【非特許文献】
【0005】
【非特許文献1】Nick McKeownほか7名、“OpenFlow: Enabling Innovation in Campus Networks”、[online]、[平成23(2011)年7月26日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉
【非特許文献2】“OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02) [平成23(2011)年7月26日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
【発明の概要】
【発明が解決しようとする課題】
【0006】
以下の分析は、本発明によって与えられたものである。特許文献2、非特許文献1、2のオープンフロースイッチのように、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置では、DoS攻撃(Deny of Service Attack)のような不正パケットを大量に受信すると、負荷が上昇してしまい、その他の不正でないパケットの処理に影響を与えてしまうという問題点がある。
【0007】
一般のルータ装置等では、MACアドレスやIPアドレス等といった予め用意した条件によるフィルタリング処理を行うことで、不正な受信を防御するといった方法が知られている。しかしながら、この方法では、パケット受信の都度、通信装置の運用メモリ領域に展開されたフィルタ条件を参照して検索を行うことになり、上記したタイプの通信装置の負荷を低減することにはつながらない。加えて、防御性を高めるために、細かく、複雑、大量のフィルタ条件を登録すると、相応の運用系メモリ領域が占有され、負荷も増大してしまうことになる。
【0008】
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置のDoS攻撃等への耐性を高めつつ、その負荷の上昇を抑えることのできる通信システム、通信装置、サーバ、通信方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の第1の視点によれば、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む通信システムが提供される。
【0010】
本発明の第2の視点によれば、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと接続され、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置が提供される。
【0011】
本発明の第3の視点によれば、上記した通信装置と、接続され、不正パケットであるか否かを判別するための定義パタンと前記通信装置から送信された前記未知のパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては前記通信装置に対し該パケットに適用する処理内容を通知するサーバが提供される。
【0012】
本発明の第4の視点によれば、不正パケットであるか否かを判別するための定義パタンを用いて、通信装置から処理内容の問い合わせを受けたパケットのうち不正パケットを廃棄するステップと、前記通信装置に対し、その他のパケットに適用する処理内容を通知するステップと、前記通知された処理内容に基づいて、受信パケットを処理するステップと、を含む通信方法が提供される。本方法は、通信装置に対し処理内容を通知するサーバという、特定の機械に結びつけられている。
【0013】
本発明の第5の視点によれば、上記した通信装置およびサーバにそれぞれ実行させるコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0014】
外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置において、DoS攻撃等への耐性を高め、かつ、その負荷の上昇を抑えることが可能となる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態の構成を表わした図である。
【図2】本発明の一実施形態の動作を説明するための図である。
【図3】本発明の第1の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【図4】本発明の第1の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図5】本発明の第1の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図6】本発明の第2の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【図7】本発明の第2の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図8】本発明の第2の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図9】本発明の第3の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【発明を実施するための形態】
【0016】
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
【0017】
本発明は、その一実施形態において、サーバ20と、サーバ20に対し未知のパケットを転送し、サーバ20から通知された処理内容に基づいて、受信パケットを処理する通信装置10と、を含む構成にて実現できる。ここで、未知のパケットとは、通信装置10が、その内部の転送テーブルや非特許文献2のフローテーブル等に、当該パケットの処理内容を規定したエントリがないパケットをいうものとする。
【0018】
前記サーバ20は、通信装置10から未知のパケットを受信すると、不正パケットであるか否かを判別するための定義パタン(図1の不正パケット定義パタン21)とを照合する。前記照合の結果、不正パケットであると判定した場合、サーバ20は不正パケットを廃棄する。一方、前記照合の結果、不正パケットでないと判断した場合、サーバ20は、送信元の通信装置10に対し該パケット(その他のパケット)に適用する処理内容を通知する。不正パケット定義パタン21は、例えば、不正な送信元あるいは正規の送信元を判別するためのMACアドレスやIPアドレス等を含んだ構成とすることができる。
【0019】
上記構成を備えることにより、図2に示すように、例えば、DoS攻撃のような不正パケットが通信装置に送られると、通信装置10においてはフィルタ条件等の照合が行われることはない。そして、サーバ20が不正パケット定義パタン21との照合を行い、不正パケットとして廃棄が行われる。このため、サーバ20における不正パケット定義パタン21を細かく複雑なものにしても、通信装置の負荷が上昇することはない。
【0020】
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図3は、本発明の第1の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0021】
図3を参照すると、インタフェース部11−1、11−2と、サーバ通信部12と、共通制御部13と、照合部14と、処理規則管理部15と、パケット処理部16と、を備えたスイッチ10Aが示されている。
【0022】
インタフェース部11−1、11−2は、他の装置とパケットを送受信する物理ポートによって構成される。なお、図3の例では、2つのインタフェース部を示しているが、インタフェース部は、3つ以上あってもよい。
【0023】
サーバ通信部12は、図1に示したサーバ20と通信するためのout−bandポートによって構成される。なお、サーバ通信部12は、インタフェース部のポートをサーバ用に割り当てることでもよい。
【0024】
処理規則管理部15は、テーブルなどを用いて、パケットを特定するためのマッチングキーと、前記マッチングキーに適合するパケットに適用する処理内容(転送、ヘッダ書き換え、廃棄等)と、を対応付けた処理規則を管理する。なお、このような処理規則としては、非特許文献2のフローエントリを用いることもできる。また、この処理規則は、非特許文献2のフローテーブルのようなテーブルに格納して管理することもできる。
【0025】
共通制御部13は、照合部14からの要求に応じて、サーバ20に対し、未知のパケットを送信する。また、共通制御部13は、サーバ20から、前記未知のパケットを特定するためのマッチングキーと、このマッチングキーに適合する処理内容を受信すると、これらを用いて処理規則を生成し、処理規則管理部15に送信する。また、共通制御部13は、サーバ20から送信指示を受けたパケット(未知のパケット)をパケット処理部16に送信し、サーバ20から指示されたポート(例えば、インタフェース部11−2)から送信させる。なお、サーバ20が非特許文献2に記載のオープンフロープロトコルに、共通制御部13とサーバ20間のこれらのやり取りは、非特許文献2に記載のオープンフロープロトコルのPacket−Inメッセージ、Flow Modメッセージ、Packet−Outメッセージを用いることができる。
【0026】
照合部14は、インタフェース部11−1から受信されたパケットのヘッダ等と、処理規則管理部15に記憶されている処理規則のマッチングキーとを照合する。前記照合の結果、受信パケットに適合するマッチングキーを持つ処理規則が見つかった場合、照合部14は、受信パケットとともに、当該処理規則に定められた処理内容をパケット処理部16に送信する。一方、前記照合の結果、受信パケットに適合するマッチングキーを持つ処理規則が見つからなかった場合、照合部14は、受信パケットを共通制御部13に送信し、受信パケットに対応する処理規則の設定を要求する。
【0027】
パケット処理部16は、照合部14から指示された処理内容に従って、受信パケットを処理する。例えば、照合部14から指示された処理内容が特定ポート(例えば、インタフェース部11−2)からの転送である場合、受信パケットをインタフェース部11−2から送信する処理を行う。また、パケット処理部16は、サーバ20から指示に応じて、指定されたポート(例えば、インタフェース部11−2)からパケットを送信する処理を行う。
【0028】
なお、図3に示したスイッチ10Aの各部(処理手段)は、スイッチ10Aを構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
【0029】
続いて、本実施形態の動作について図面を参照して詳細に説明する。図4に示すように、インタフェース部11−1よりパケットを受信すると、照合部14は、処理規則管理部15を参照して、受信パケットに対応するマッチングキーを持つ処理規則を検索する。
【0030】
ここでは、スイッチ10Aが学習していない、即ち、処理規則管理部15に対応する処理規則が記憶されていないパケットを受信したため、照合部14は、共通制御部13に対して受信パケットを送信する。
【0031】
前記受信パケットを受信した共通制御部13は、サーバ通信部12を介してサーバ20に、受信パケットを送信し、前記受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを要求する。
【0032】
サーバ20は、スイッチ10Aからパケットを受信すると、不正パケットであるか否かを判別するための定義パタン(図1の不正パケット定義パタン21)を参照して、受信パケットが不正パケットであるか否かを判定する。前記判定の結果、受信パケットが不正パケットであると判定した場合、サーバ20は、受信パケットを廃棄する。
【0033】
一方、前記判定の結果、受信パケットが不正パケットでないと判定した場合、サーバ20は、受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを生成し、スイッチ10Aにこれらを送信する。また、サーバ20は、スイッチ10Aに対し、指定したポートから、前記受信パケットを送信するよう指示する。
【0034】
前記受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを受信した共通制御部13は、前記マッチングキーと処理内容を用いて処理規則を生成し、処理規則管理部15に送信する。これにより、前記マッチングキーに適合する後続パケットは、前記処理規則に従って処理されることになる。
【0035】
前記受信パケットの送信指示するを受信した共通制御部13は、パケット処理部16に、受信パケットとサーバ20から指示された指示内容を送信する。
【0036】
パケット処理部16は、前記指示内容に従って、受信パケットを処理する。例えば、サーバ20からの指示内容が、特定のポート(例えば、インタフェース部11−2)から受信パケットの送信を指示するものであった場合、パケット処理部16は、前記特定のポート(例えば、インタフェース部11−2)から受信パケットを送信する。
【0037】
その後、図5に示すように、インタフェース部11−1より、後続パケットを受信すると、照合部14は、処理規則管理部15を参照して、受信パケットに対応するマッチングキーを持つ処理規則を検索する。
【0038】
ここでは、スイッチ10Aが学習済みの、即ち、処理規則管理部15に対応する処理規則が記憶されているパケットを受信したため、受信パケットに対応するマッチングキーを持つ処理規則が抽出される。照合部14は、パケット処理部16に対して受信パケットと、前記抽出した処理規則に定められた処理内容を送信する。
【0039】
パケット処理部16は、前記処理内容に従って、受信パケットを処理する。例えば、照合部14から送信された処理内容が、特定のポート(例えば、インタフェース部11−2)から受信パケットの送信を指示するものであった場合、パケット処理部16は、前記特定のポート(例えば、インタフェース部11−2)から受信パケットを送信する。
【0040】
以上のように、本実施形態によれば、不正パケットに対するフィルタリングを、サーバ20に依頼し、スイッチ10Aの負荷を軽減させることが可能となる。また、サーバ20に設定する不正パケット定義パタンを、適宜更新することにより、防御性を向上させることも可能となっている。
【0041】
[第2の実施形態]
続いて、スイッチに機能を追加した本発明の第2の実施形態について図面を参照して詳細に説明する。図6は、本発明の第2の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0042】
図3に示した第1の実施形態のスイッチ10Aとの相違点は、スイッチ10Bのサーバ通信部12と共通制御部13との間に、パケット流入量監視部(流入監視部)17と、流入制御部18とが追加されている点である。その他の構成は、上記第1の実施形態と略同様であるので、以下、相違点を中心に説明する。
【0043】
パケット流入量監視部17は、サーバ20によって不正なパケットでないと判定されたパケットについて、単位時間当たりの流入量を計算する。前記単位時間当たりの流入量が所定の閾値を超えた場合、パケット流入量監視部17は、サーバ20からの処理規則やパケット送信指示を、共通制御部13ではなく、流入制御部18に転送する。また、パケット流入量監視部17は、前記単位時間当たりの流入量が所定の閾値を超えた場合、所定の監視装置へ通知を行う。
【0044】
流入制御部18は、サーバ20からの処理規則やパケット送信指示を廃棄する動作を行う。より好ましくは、流入制御部18が、単位時間当たりの流入量が所定の閾値を超えたパケットを廃棄する処理規則を処理規則管理部15に設定するよう、共通制御部13に要求するようにしてもよい。
【0045】
続いて、本実施形態の動作について図面を参照して詳細に説明する。サーバ20によって不正なパケットでないと判定されたパケットの処理規則や送信指示が受信されると、パケット流入量監視部17は、前記単位時間当たりの流入量を更新する。
【0046】
ここで、単位時間当たりの流入量が、前記所定の閾値以下である場合、パケット流入量監視部17は、第1の実施形態と同様に、パケットの処理規則や送信指示を共通制御部13に転送する(図7参照)。
【0047】
一方、単位時間当たりの流入量が、前記所定の閾値超えている場合、パケット流入量監視部17は、図8に示すように、パケットの処理規則や送信指示を流入制御部18に転送するとともに、管理装置に送信する(図8参照)。
【0048】
以上のように、本実施形態によれば、サーバ20によって不正なパケットでないと判定されたパケットであっても、単位時間当たりの流入量が所定の閾値よりも大きいパケットの転送を抑止することができる。その理由は、パケット流入量監視部17にて不正なパケットでないと判定されたパケットの流入量を監視し、その値が異常である場合には、転送しないように構成したためである。
【0049】
[第3の実施形態]
続いて、スイッチの共通制御部を冗長化した本発明の第3の実施形態について図面を参照して詳細に説明する。図9は、本発明の第3の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0050】
図6に示した第2の実施形態のスイッチ10Bとの相違点は、共通制御部13が共通制御部(非運用系;第1の制御部)13−1と共通制御部(運用系;第2の制御部)13−2とに分離され、互いに独立して動作可能となっている点である。その他の構成は、上記第2の実施形態と略同様であるので、以下、相違点を中心に説明する。
【0051】
共通制御部(非運用系)13−1は、未知のパケットのサーバ20側の転送等を行う処理規則要求部19と、上述したパケット流入量監視部17、流入制御部18とを備えている。
【0052】
また、共通制御部(運用系)13−2は、サーバ20からの応答に基づいて処理規則幹部部15への処理規則の送信やパケット処理部16へのパケット送信指示等を行う。
【0053】
本実施形態のスイッチ10Cの基本的な動作は、上記した第2の実施形態と同様である。以上のように、本実施形態によれば、不用意な未知のパケットの処理やパケット流入量の監視処理を共通制御部13−1(非運用系)に委ねる構成となっているため、大量の不正パケットが送信された場合であっても、共通制御部(運用系)13−2が影響を受けないようにすることが可能になる。
【0054】
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態で示したスイッチ、サーバの構成は、本発明を簡単に説明するために示したものであり、適宜変更することが可能である。各実施形態は関連技術であるオープンフローを参照しているが、本発明はオープンフローを用いることに限定されない。例えば、オープンフローに限らず、パケットの転送経路を制御装置が集中制御する通信アーキテクチャを、本発明に適用できる。
【0055】
例えば、上記した実施形態では、スイッチがサーバに対し、受信パケットが不正パケットであるか否かの判定と、処理内容の決定を依頼するものとしているが、ユーザ側の機器に同様に仕組みを設けてもよい。このようにすることで、ネットワーク内に不正パケットが流れることを防ぐとともに、ユーザに近い側でのフロー制御(パケット転送、パケット廃棄、ヘッダ書き換え等)を行わせることが可能になる。
【0056】
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による通信システム参照)
[第2の形態]
第1の形態において、
前記サーバは、前記定義パタンとの照合の結果、不正パケットであると判断した場合、該不正パケットを廃棄するとともに、前記通信装置に対し、不正パケットと同一の特徴を持つパケットを廃棄する処理内容を通知する通信システム。
[第3の形態]
第1または第2の形態において、
前記通信装置は、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える通信システム。
[第4の形態]
第3の形態において、
前記流入制御部は、前記所定の措置として、当該パケットの転送を中止する通信システム。
[第5の形態]
第3の形態において、
前記流入制御部は、前記所定の管理装置に対し、前記パケット流入量が所定の閾値を超えたことを通知する通信システム。
[第6の形態]
第3〜第5いずれか一の形態において、
前記通信装置の、
少なくとも前記流入監視部および前記流入制御部を含む第1の制御部と、
前記サーバから通知された処理内容に従って動作する第2の制御部とが、互いに独立して動作するよう構成されている通信システム。
[第7の形態]
(上記第2の視点による通信装置参照)
[第8の形態]
第7の形態において、
さらに、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える通信装置。
[第9の形態]
(上記第3の視点によるサーバ参照)
[第10の形態]
(上記第4の視点による通信方法参照)
[第11の形態]
(上記第5の視点によるプログラム参照)
なお、上記した第7、第9から第11の形態は、上記した第1の形態と同様に、第2〜第6の形態に展開することが可能である。
【符号の説明】
【0057】
10 通信装置
10A〜10C スイッチ
11−1、11−2 インタフェース部
12 サーバ通信部
13 共通制御部
13−1 共通制御部(非運用系)
13−2 共通制御部(運用系)
14 照合部
15 処理規則管理部
16 パケット処理部
17 パケット流入量監視部
18 流入制御部
19 処理規則要求部
20 サーバ
21 不正パケット定義パタン
【技術分野】
【0001】
本発明は、通信システム、通信装置、サーバ、通信方法およびプログラムに関し、特に、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習する通信装置を含む通信システム、通信装置、サーバ、通信方法およびプログラムに関する。
【背景技術】
【0002】
特許文献1に、異常トラフィックに対する対処(フィルタリング、帯域制限等)をなしうるようにしたトラフィック制御システムが開示されている。同文献によると、異常トラフィック検出装置は、異常トラフィックを検出した場合に、管理サーバに対して、検出した異常トラフィックの情報を通知する。管理サーバは、通知された異常トラフィック情報に含まれる異常トラフィックの送信元情報により認証サーバから異常トラフィックを送信したユーザを特定する。さらに、管理サーバは、あらかじめ規定しておいたユーザ毎の異常トラフィック対処方法であって、異常トラフィックを送信したユーザに該当する対処方法を、異常トラフィック検出装置に送信する。異常トラフィック検出装置は、その対処方法に従って、トラフィック制御に関する設定を行う、と記載されている。
【0003】
また、特許文献2、非特許文献1、2には、オープンフローという仕組みが提案されている。このオープンフローでは、ネットワークに配置されたオープンフロースイッチは、オープンフローコントローラという制御装置に対して受信パケットに適用する処理内容を問い合わせて学習する。このようなオープンフローには、フロー単位での経路制御、障害回復、負荷分散、最適化を、安価なスイッチで実現できるという利点がある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2008−113409号公報
【特許文献2】国際公開第2008/095010号
【非特許文献】
【0005】
【非特許文献1】Nick McKeownほか7名、“OpenFlow: Enabling Innovation in Campus Networks”、[online]、[平成23(2011)年7月26日検索]、インターネット〈URL: http://www.openflow.org/documents/openflow-wp-latest.pdf〉
【非特許文献2】“OpenFlow Switch Specification” Version 1.1.0 Implemented (Wire Protocol 0x02) [平成23(2011)年7月26日検索]、インターネット〈URL:http://www.openflow.org/documents/openflow-spec-v1.1.0.pdf〉
【発明の概要】
【発明が解決しようとする課題】
【0006】
以下の分析は、本発明によって与えられたものである。特許文献2、非特許文献1、2のオープンフロースイッチのように、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置では、DoS攻撃(Deny of Service Attack)のような不正パケットを大量に受信すると、負荷が上昇してしまい、その他の不正でないパケットの処理に影響を与えてしまうという問題点がある。
【0007】
一般のルータ装置等では、MACアドレスやIPアドレス等といった予め用意した条件によるフィルタリング処理を行うことで、不正な受信を防御するといった方法が知られている。しかしながら、この方法では、パケット受信の都度、通信装置の運用メモリ領域に展開されたフィルタ条件を参照して検索を行うことになり、上記したタイプの通信装置の負荷を低減することにはつながらない。加えて、防御性を高めるために、細かく、複雑、大量のフィルタ条件を登録すると、相応の運用系メモリ領域が占有され、負荷も増大してしまうことになる。
【0008】
本発明は、上記した事情に鑑みてなされたものであって、その目的とするところは、外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置のDoS攻撃等への耐性を高めつつ、その負荷の上昇を抑えることのできる通信システム、通信装置、サーバ、通信方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の第1の視点によれば、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む通信システムが提供される。
【0010】
本発明の第2の視点によれば、不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと接続され、前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置が提供される。
【0011】
本発明の第3の視点によれば、上記した通信装置と、接続され、不正パケットであるか否かを判別するための定義パタンと前記通信装置から送信された前記未知のパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては前記通信装置に対し該パケットに適用する処理内容を通知するサーバが提供される。
【0012】
本発明の第4の視点によれば、不正パケットであるか否かを判別するための定義パタンを用いて、通信装置から処理内容の問い合わせを受けたパケットのうち不正パケットを廃棄するステップと、前記通信装置に対し、その他のパケットに適用する処理内容を通知するステップと、前記通知された処理内容に基づいて、受信パケットを処理するステップと、を含む通信方法が提供される。本方法は、通信装置に対し処理内容を通知するサーバという、特定の機械に結びつけられている。
【0013】
本発明の第5の視点によれば、上記した通信装置およびサーバにそれぞれ実行させるコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0014】
外部装置に対して受信パケットに適用する処理内容を問い合わせて学習するタイプの通信装置において、DoS攻撃等への耐性を高め、かつ、その負荷の上昇を抑えることが可能となる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態の構成を表わした図である。
【図2】本発明の一実施形態の動作を説明するための図である。
【図3】本発明の第1の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【図4】本発明の第1の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図5】本発明の第1の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図6】本発明の第2の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【図7】本発明の第2の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図8】本発明の第2の実施形態の通信装置(スイッチ)の動作を説明するための図である。
【図9】本発明の第3の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【発明を実施するための形態】
【0016】
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。
【0017】
本発明は、その一実施形態において、サーバ20と、サーバ20に対し未知のパケットを転送し、サーバ20から通知された処理内容に基づいて、受信パケットを処理する通信装置10と、を含む構成にて実現できる。ここで、未知のパケットとは、通信装置10が、その内部の転送テーブルや非特許文献2のフローテーブル等に、当該パケットの処理内容を規定したエントリがないパケットをいうものとする。
【0018】
前記サーバ20は、通信装置10から未知のパケットを受信すると、不正パケットであるか否かを判別するための定義パタン(図1の不正パケット定義パタン21)とを照合する。前記照合の結果、不正パケットであると判定した場合、サーバ20は不正パケットを廃棄する。一方、前記照合の結果、不正パケットでないと判断した場合、サーバ20は、送信元の通信装置10に対し該パケット(その他のパケット)に適用する処理内容を通知する。不正パケット定義パタン21は、例えば、不正な送信元あるいは正規の送信元を判別するためのMACアドレスやIPアドレス等を含んだ構成とすることができる。
【0019】
上記構成を備えることにより、図2に示すように、例えば、DoS攻撃のような不正パケットが通信装置に送られると、通信装置10においてはフィルタ条件等の照合が行われることはない。そして、サーバ20が不正パケット定義パタン21との照合を行い、不正パケットとして廃棄が行われる。このため、サーバ20における不正パケット定義パタン21を細かく複雑なものにしても、通信装置の負荷が上昇することはない。
【0020】
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図3は、本発明の第1の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0021】
図3を参照すると、インタフェース部11−1、11−2と、サーバ通信部12と、共通制御部13と、照合部14と、処理規則管理部15と、パケット処理部16と、を備えたスイッチ10Aが示されている。
【0022】
インタフェース部11−1、11−2は、他の装置とパケットを送受信する物理ポートによって構成される。なお、図3の例では、2つのインタフェース部を示しているが、インタフェース部は、3つ以上あってもよい。
【0023】
サーバ通信部12は、図1に示したサーバ20と通信するためのout−bandポートによって構成される。なお、サーバ通信部12は、インタフェース部のポートをサーバ用に割り当てることでもよい。
【0024】
処理規則管理部15は、テーブルなどを用いて、パケットを特定するためのマッチングキーと、前記マッチングキーに適合するパケットに適用する処理内容(転送、ヘッダ書き換え、廃棄等)と、を対応付けた処理規則を管理する。なお、このような処理規則としては、非特許文献2のフローエントリを用いることもできる。また、この処理規則は、非特許文献2のフローテーブルのようなテーブルに格納して管理することもできる。
【0025】
共通制御部13は、照合部14からの要求に応じて、サーバ20に対し、未知のパケットを送信する。また、共通制御部13は、サーバ20から、前記未知のパケットを特定するためのマッチングキーと、このマッチングキーに適合する処理内容を受信すると、これらを用いて処理規則を生成し、処理規則管理部15に送信する。また、共通制御部13は、サーバ20から送信指示を受けたパケット(未知のパケット)をパケット処理部16に送信し、サーバ20から指示されたポート(例えば、インタフェース部11−2)から送信させる。なお、サーバ20が非特許文献2に記載のオープンフロープロトコルに、共通制御部13とサーバ20間のこれらのやり取りは、非特許文献2に記載のオープンフロープロトコルのPacket−Inメッセージ、Flow Modメッセージ、Packet−Outメッセージを用いることができる。
【0026】
照合部14は、インタフェース部11−1から受信されたパケットのヘッダ等と、処理規則管理部15に記憶されている処理規則のマッチングキーとを照合する。前記照合の結果、受信パケットに適合するマッチングキーを持つ処理規則が見つかった場合、照合部14は、受信パケットとともに、当該処理規則に定められた処理内容をパケット処理部16に送信する。一方、前記照合の結果、受信パケットに適合するマッチングキーを持つ処理規則が見つからなかった場合、照合部14は、受信パケットを共通制御部13に送信し、受信パケットに対応する処理規則の設定を要求する。
【0027】
パケット処理部16は、照合部14から指示された処理内容に従って、受信パケットを処理する。例えば、照合部14から指示された処理内容が特定ポート(例えば、インタフェース部11−2)からの転送である場合、受信パケットをインタフェース部11−2から送信する処理を行う。また、パケット処理部16は、サーバ20から指示に応じて、指定されたポート(例えば、インタフェース部11−2)からパケットを送信する処理を行う。
【0028】
なお、図3に示したスイッチ10Aの各部(処理手段)は、スイッチ10Aを構成するコンピュータに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することもできる。
【0029】
続いて、本実施形態の動作について図面を参照して詳細に説明する。図4に示すように、インタフェース部11−1よりパケットを受信すると、照合部14は、処理規則管理部15を参照して、受信パケットに対応するマッチングキーを持つ処理規則を検索する。
【0030】
ここでは、スイッチ10Aが学習していない、即ち、処理規則管理部15に対応する処理規則が記憶されていないパケットを受信したため、照合部14は、共通制御部13に対して受信パケットを送信する。
【0031】
前記受信パケットを受信した共通制御部13は、サーバ通信部12を介してサーバ20に、受信パケットを送信し、前記受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを要求する。
【0032】
サーバ20は、スイッチ10Aからパケットを受信すると、不正パケットであるか否かを判別するための定義パタン(図1の不正パケット定義パタン21)を参照して、受信パケットが不正パケットであるか否かを判定する。前記判定の結果、受信パケットが不正パケットであると判定した場合、サーバ20は、受信パケットを廃棄する。
【0033】
一方、前記判定の結果、受信パケットが不正パケットでないと判定した場合、サーバ20は、受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを生成し、スイッチ10Aにこれらを送信する。また、サーバ20は、スイッチ10Aに対し、指定したポートから、前記受信パケットを送信するよう指示する。
【0034】
前記受信パケットを特定するためのマッチングキーと、このマッチングキーに適合するパケットに適用すべき処理内容とを受信した共通制御部13は、前記マッチングキーと処理内容を用いて処理規則を生成し、処理規則管理部15に送信する。これにより、前記マッチングキーに適合する後続パケットは、前記処理規則に従って処理されることになる。
【0035】
前記受信パケットの送信指示するを受信した共通制御部13は、パケット処理部16に、受信パケットとサーバ20から指示された指示内容を送信する。
【0036】
パケット処理部16は、前記指示内容に従って、受信パケットを処理する。例えば、サーバ20からの指示内容が、特定のポート(例えば、インタフェース部11−2)から受信パケットの送信を指示するものであった場合、パケット処理部16は、前記特定のポート(例えば、インタフェース部11−2)から受信パケットを送信する。
【0037】
その後、図5に示すように、インタフェース部11−1より、後続パケットを受信すると、照合部14は、処理規則管理部15を参照して、受信パケットに対応するマッチングキーを持つ処理規則を検索する。
【0038】
ここでは、スイッチ10Aが学習済みの、即ち、処理規則管理部15に対応する処理規則が記憶されているパケットを受信したため、受信パケットに対応するマッチングキーを持つ処理規則が抽出される。照合部14は、パケット処理部16に対して受信パケットと、前記抽出した処理規則に定められた処理内容を送信する。
【0039】
パケット処理部16は、前記処理内容に従って、受信パケットを処理する。例えば、照合部14から送信された処理内容が、特定のポート(例えば、インタフェース部11−2)から受信パケットの送信を指示するものであった場合、パケット処理部16は、前記特定のポート(例えば、インタフェース部11−2)から受信パケットを送信する。
【0040】
以上のように、本実施形態によれば、不正パケットに対するフィルタリングを、サーバ20に依頼し、スイッチ10Aの負荷を軽減させることが可能となる。また、サーバ20に設定する不正パケット定義パタンを、適宜更新することにより、防御性を向上させることも可能となっている。
【0041】
[第2の実施形態]
続いて、スイッチに機能を追加した本発明の第2の実施形態について図面を参照して詳細に説明する。図6は、本発明の第2の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0042】
図3に示した第1の実施形態のスイッチ10Aとの相違点は、スイッチ10Bのサーバ通信部12と共通制御部13との間に、パケット流入量監視部(流入監視部)17と、流入制御部18とが追加されている点である。その他の構成は、上記第1の実施形態と略同様であるので、以下、相違点を中心に説明する。
【0043】
パケット流入量監視部17は、サーバ20によって不正なパケットでないと判定されたパケットについて、単位時間当たりの流入量を計算する。前記単位時間当たりの流入量が所定の閾値を超えた場合、パケット流入量監視部17は、サーバ20からの処理規則やパケット送信指示を、共通制御部13ではなく、流入制御部18に転送する。また、パケット流入量監視部17は、前記単位時間当たりの流入量が所定の閾値を超えた場合、所定の監視装置へ通知を行う。
【0044】
流入制御部18は、サーバ20からの処理規則やパケット送信指示を廃棄する動作を行う。より好ましくは、流入制御部18が、単位時間当たりの流入量が所定の閾値を超えたパケットを廃棄する処理規則を処理規則管理部15に設定するよう、共通制御部13に要求するようにしてもよい。
【0045】
続いて、本実施形態の動作について図面を参照して詳細に説明する。サーバ20によって不正なパケットでないと判定されたパケットの処理規則や送信指示が受信されると、パケット流入量監視部17は、前記単位時間当たりの流入量を更新する。
【0046】
ここで、単位時間当たりの流入量が、前記所定の閾値以下である場合、パケット流入量監視部17は、第1の実施形態と同様に、パケットの処理規則や送信指示を共通制御部13に転送する(図7参照)。
【0047】
一方、単位時間当たりの流入量が、前記所定の閾値超えている場合、パケット流入量監視部17は、図8に示すように、パケットの処理規則や送信指示を流入制御部18に転送するとともに、管理装置に送信する(図8参照)。
【0048】
以上のように、本実施形態によれば、サーバ20によって不正なパケットでないと判定されたパケットであっても、単位時間当たりの流入量が所定の閾値よりも大きいパケットの転送を抑止することができる。その理由は、パケット流入量監視部17にて不正なパケットでないと判定されたパケットの流入量を監視し、その値が異常である場合には、転送しないように構成したためである。
【0049】
[第3の実施形態]
続いて、スイッチの共通制御部を冗長化した本発明の第3の実施形態について図面を参照して詳細に説明する。図9は、本発明の第3の実施形態の通信装置(スイッチ)の構成を表わしたブロック図である。
【0050】
図6に示した第2の実施形態のスイッチ10Bとの相違点は、共通制御部13が共通制御部(非運用系;第1の制御部)13−1と共通制御部(運用系;第2の制御部)13−2とに分離され、互いに独立して動作可能となっている点である。その他の構成は、上記第2の実施形態と略同様であるので、以下、相違点を中心に説明する。
【0051】
共通制御部(非運用系)13−1は、未知のパケットのサーバ20側の転送等を行う処理規則要求部19と、上述したパケット流入量監視部17、流入制御部18とを備えている。
【0052】
また、共通制御部(運用系)13−2は、サーバ20からの応答に基づいて処理規則幹部部15への処理規則の送信やパケット処理部16へのパケット送信指示等を行う。
【0053】
本実施形態のスイッチ10Cの基本的な動作は、上記した第2の実施形態と同様である。以上のように、本実施形態によれば、不用意な未知のパケットの処理やパケット流入量の監視処理を共通制御部13−1(非運用系)に委ねる構成となっているため、大量の不正パケットが送信された場合であっても、共通制御部(運用系)13−2が影響を受けないようにすることが可能になる。
【0054】
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、上記した各実施形態で示したスイッチ、サーバの構成は、本発明を簡単に説明するために示したものであり、適宜変更することが可能である。各実施形態は関連技術であるオープンフローを参照しているが、本発明はオープンフローを用いることに限定されない。例えば、オープンフローに限らず、パケットの転送経路を制御装置が集中制御する通信アーキテクチャを、本発明に適用できる。
【0055】
例えば、上記した実施形態では、スイッチがサーバに対し、受信パケットが不正パケットであるか否かの判定と、処理内容の決定を依頼するものとしているが、ユーザ側の機器に同様に仕組みを設けてもよい。このようにすることで、ネットワーク内に不正パケットが流れることを防ぐとともに、ユーザに近い側でのフロー制御(パケット転送、パケット廃棄、ヘッダ書き換え等)を行わせることが可能になる。
【0056】
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による通信システム参照)
[第2の形態]
第1の形態において、
前記サーバは、前記定義パタンとの照合の結果、不正パケットであると判断した場合、該不正パケットを廃棄するとともに、前記通信装置に対し、不正パケットと同一の特徴を持つパケットを廃棄する処理内容を通知する通信システム。
[第3の形態]
第1または第2の形態において、
前記通信装置は、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える通信システム。
[第4の形態]
第3の形態において、
前記流入制御部は、前記所定の措置として、当該パケットの転送を中止する通信システム。
[第5の形態]
第3の形態において、
前記流入制御部は、前記所定の管理装置に対し、前記パケット流入量が所定の閾値を超えたことを通知する通信システム。
[第6の形態]
第3〜第5いずれか一の形態において、
前記通信装置の、
少なくとも前記流入監視部および前記流入制御部を含む第1の制御部と、
前記サーバから通知された処理内容に従って動作する第2の制御部とが、互いに独立して動作するよう構成されている通信システム。
[第7の形態]
(上記第2の視点による通信装置参照)
[第8の形態]
第7の形態において、
さらに、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える通信装置。
[第9の形態]
(上記第3の視点によるサーバ参照)
[第10の形態]
(上記第4の視点による通信方法参照)
[第11の形態]
(上記第5の視点によるプログラム参照)
なお、上記した第7、第9から第11の形態は、上記した第1の形態と同様に、第2〜第6の形態に展開することが可能である。
【符号の説明】
【0057】
10 通信装置
10A〜10C スイッチ
11−1、11−2 インタフェース部
12 サーバ通信部
13 共通制御部
13−1 共通制御部(非運用系)
13−2 共通制御部(運用系)
14 照合部
15 処理規則管理部
16 パケット処理部
17 パケット流入量監視部
18 流入制御部
19 処理規則要求部
20 サーバ
21 不正パケット定義パタン
【特許請求の範囲】
【請求項1】
不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、
前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む通信システム。
【請求項2】
前記サーバは、前記定義パタンとの照合の結果、不正パケットであると判断した場合、該不正パケットを廃棄するとともに、前記通信装置に対し、不正パケットと同一の特徴を持つパケットを廃棄する処理内容を通知する請求項1の通信システム。
【請求項3】
前記通信装置は、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える請求項1または2の通信システム。
【請求項4】
前記流入制御部は、前記所定の措置として、当該パケットの転送を中止する請求項3の通信システム。
【請求項5】
前記流入制御部は、前記所定の管理装置に対し、前記パケット流入量が所定の閾値を超えたことを通知する請求項3の通信システム。
【請求項6】
前記通信装置において、
少なくとも前記流入監視部および前記流入制御部を含む第1の制御部と、
前記サーバから通知された処理内容に従って動作する第2の制御部とが、互いに独立して動作するよう構成されている請求項3から5いずれか一の通信システム。
【請求項7】
不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと接続され、
前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置。
【請求項8】
さらに、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える請求項7の通信装置。
【請求項9】
サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、接続され、
不正パケットであるか否かを判別するための定義パタンと前記通信装置から送信された前記未知のパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては前記通信装置に対し該パケットに適用する処理内容を通知するサーバ。
【請求項10】
不正パケットであるか否かを判別するための定義パタンを用いて、通信装置から処理内容の問い合わせを受けたパケットのうち不正パケットを廃棄するステップと、
前記通信装置に対し、その他のパケットに適用する処理内容を通知するステップと、
前記通知された処理内容に基づいて、受信パケットを処理するステップと、
を含む通信方法。
【請求項1】
不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと、
前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、を含む通信システム。
【請求項2】
前記サーバは、前記定義パタンとの照合の結果、不正パケットであると判断した場合、該不正パケットを廃棄するとともに、前記通信装置に対し、不正パケットと同一の特徴を持つパケットを廃棄する処理内容を通知する請求項1の通信システム。
【請求項3】
前記通信装置は、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える請求項1または2の通信システム。
【請求項4】
前記流入制御部は、前記所定の措置として、当該パケットの転送を中止する請求項3の通信システム。
【請求項5】
前記流入制御部は、前記所定の管理装置に対し、前記パケット流入量が所定の閾値を超えたことを通知する請求項3の通信システム。
【請求項6】
前記通信装置において、
少なくとも前記流入監視部および前記流入制御部を含む第1の制御部と、
前記サーバから通知された処理内容に従って動作する第2の制御部とが、互いに独立して動作するよう構成されている請求項3から5いずれか一の通信システム。
【請求項7】
不正パケットであるか否かを判別するための定義パタンとパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては送信元に対し該パケットに適用する処理内容を通知するサーバと接続され、
前記サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置。
【請求項8】
さらに、所定時間内に、同一の送信元から受信したパケット流入量を監視する流入監視部を備え、前記所定のサーバから不正パケットでないと判別されたパケットであっても前記パケット流入量が所定の閾値を超えている送信元からのパケットである場合、所定の措置を講ずる流入制御部を備える請求項7の通信装置。
【請求項9】
サーバに対し未知のパケットを転送し、前記サーバから通知された処理内容に基づいて、受信パケットを処理する通信装置と、接続され、
不正パケットであるか否かを判別するための定義パタンと前記通信装置から送信された前記未知のパケットとを照合することにより不正パケットを廃棄し、その他のパケットについては前記通信装置に対し該パケットに適用する処理内容を通知するサーバ。
【請求項10】
不正パケットであるか否かを判別するための定義パタンを用いて、通信装置から処理内容の問い合わせを受けたパケットのうち不正パケットを廃棄するステップと、
前記通信装置に対し、その他のパケットに適用する処理内容を通知するステップと、
前記通知された処理内容に基づいて、受信パケットを処理するステップと、
を含む通信方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−70325(P2013−70325A)
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願番号】特願2011−208878(P2011−208878)
【出願日】平成23年9月26日(2011.9.26)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願日】平成23年9月26日(2011.9.26)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]