網絡控制裝置及其控制方法

2023-05-18 16:24:06

專利名稱：網絡控制裝置及其控制方法
技術領域：
本發明涉及網絡控制裝置和其控制方法，特別涉及與異常業務的檢測有關的網絡控制裝置和其控制方法。
背景技術：
包含電話及廣播的各種各樣的服務開始通過IP網提供，流動在IP網上的業務的質量管理技術在迅速地發展。關於業務的檢測技術或監視技術，即使是IETF等標準化組織也在推進標準化。而使用業務分析技術的通信質量控制功能的產品化也在進行。
首先，論述由IETF等推進標準化的被稱為sFlow的業務監視方法(P.Phaal、其他2名、「A Method for Monitoring Traffic inSwitched and Routed Networks」、[online]、2001年9月、IETF、[平成17年4月19日檢索]、網際網路URLhttp//www.ietf.org/rfc/rfc3176.txt。以下，稱為文獻1)。在sFlow中，路由器(或交換機以下相同)進行傳送中的數據包(業務)的採樣處理和已被採樣的數據包的截取，形成所對應的sFlow數據包。從路由器輸出的sFlow數據包輸出到被稱為收集器(collector)或分析器的業務解析裝置，業務解析裝置進行這些sFlow數據包的累計和統計解析及向管理者顯示結果。這種sFlow技術以數據包的測量技術為中心，主要記載路由器輸出到業務解析裝置的sFlow數據包的信息要素。分析功能委託給各銷售商的業務解析裝置的安裝中(也有顯示主體的產品)，在sFlow技術中沒有路由器裝置內部具備分析功能的技術。
接著，作為在路由器(或交換機以下相同)內具備了業務分析技術的產品的例子，論述被稱為CLEAR-Flow的業務監視方法(「WHITE PAPER CLEAR-Flow」、[online]、2004年、[平成18年2月19日檢索]、網際網路URLhttp//www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP.pdf。以下，稱為文獻2)。CLEAR-Flow的動作流由『監視』、『解析』、『對應』三級構成。業務分析技術相當於路由器內進行的『監視』級。在『監視』級中將焦點放在與監視基準一致的數據包，發現一致的數據包時(步驟1-過濾)時使用事件計數器跟蹤發生的狀況(步驟2-計數)，在超過預先設定的閾值時執行所設定的行動(步驟3-閾值)。『監視』級的結果是，在檢測出該業務時，移至『解析』級。在『解析』級中，進行需要更詳細的解析的情況下的動作，路由器將該業務數據包數據傳送到具備更高級的解析功能的外部裝置。作為該業務數據的傳送，有鏡像方式、隧道方式、sFlow方式這三種方式。外部裝置使用這些信息進行更高級的業務解析。CLEAR-Flow需要使用者預先指定將對於監視對象的監視基準指定為被裝入交換機的CLEAR-Flow分類。例如，如非專利文獻2中記載的那樣，進行對傳送到特定埠的SYN數據包的個數計數的設定。接受這種設定，由路由器·交換機進行『監視』，檢測的結果是，輸送到外部裝置的業務數據變成與預先設定的檢測條件一致的業務數據。
再有，雖然未公開，但作為與本發明相關的申請，有日本特願2005-109744號。

發明內容
在文獻1中記載的sFlow技術中，路由器進行傳送中的業務(數據包)的採樣處理和採樣後的數據包的截取並生成業務數據包。從路由器輸出的業務數據包是採樣後的各個數據包的截取信息。路由器裝置內部不進行以信息的累計或數據包的報頭內信息為對象的統計解析處理。因此，在檢測大容量的業務中隱藏的蠕蟲、DDoS(Distributed Denial Of Service分布式拒絕服務)等的特徵性業務的現象的情況下，存在從路由器輸出的業務數據包也成比例地變為大容量，路由器的sFlow數據包生成負荷和朝向業務解析裝置的傳送負荷以及對網絡的頻帶的負荷進一步增大的課題。
在文獻2中記載的CLEAR-Flow技術中，在路由器內具備『監視』處理功能，進行對象業務的提煉處理。需要使用者預先將要檢測的業務對象指定為CLEAR-Flow分類，從與設定的分類條件一致的業務內，檢測明顯的業務作為該業務(步驟1-過濾)。不具備本發明的業務統計分析處理部13所執行的提取業務整體之中的特徵業務的功能、及匯集微小業務並使特徵業務顯露的功能。
此外，路由器只在檢測出該業務的情況下進行傳送(『解析』級)，不必始終向業務解析裝置傳送。由此，要傳送的該業務信息的生成負荷和朝向業務解析裝置的傳送負荷、以及對網絡的頻帶的負荷減小。但是，傳送的該業務信息是各個數據包的副本，所以仍然存在傳送時的傳送量大的課題。在CLEAR-Flow技術中，業務解析裝置具備有匯集成特徵信息的功能。
本發明的目的是，解決非專利文獻1及非專利文獻2的課題，提供一種網絡控制裝置，可以用網絡控制裝置(路由器或交換機)進行業務分析，匯集成特徵信息，並降低傳送負荷、成本。
為了實現上述目的，本發明採用以下結構在網絡控制裝置(路由器或交換機)中設置業務統計分析處理部，用該業務統計分析處理部13監視特徵性的業務。該業務統計分析處理部檢測出特徵性的業務時，將特徵性的業務的特徵要素或流量(時間間隔及在其間傳送的業務量)的信息裝入數據包，將該匯集信息傳送到業務解析裝置。此外，採用了以下結構網絡控制裝置的進行業務統計分析處理的分析範圍(以數據包的哪個信息要素為對象進行分析等)的設定，可以用控制信息內的參數從上級裝置(業務解析裝置等)進行變更。


圖1是說明業務的監視系統結構的方框圖。
圖2是網絡控制裝置的方框圖。
圖3是業務解析裝置的方框圖。
圖4是說明數據包計數表的圖。
圖5是說明閾值表的圖。
圖6是說明異常檢測信息表的圖。
圖7是說明檢測出異常流的流統計信息的數據包的圖。
圖8是業務分析處理部的處理流程圖。
圖9是業務分析處理部的異常判定處理流程圖。
圖10是說明業務解析裝置發送到網絡控制裝置的控制信息數據包的圖。
圖11是說明第2實施例的檢測出異常流的流統計信息的數據包的圖。
圖12是說明檢測出異常流的流統計信息的數據包的異常流檢測信息的結構例的圖。
圖13是說明第3實施例的包含了具有認證功能的網絡解析裝置的業務的監視系統結構的方框圖。
圖14是表示包含了異常流檢測信息的認證數據包的結構例的圖。
圖15是表示數據包計數表的另一例子的圖。
圖16是表示檢測出異常流的流統計信息的數據包的異常流檢測信息中的項域(item field)結構例的圖。
具體實施例方式
以下，關於本發明的實施方式，採用實施例，一邊參照附圖一邊進行說明。
實施例1
使用圖1至圖10、以及圖12、圖15、圖16來說明本發明的第1實施例。這裡，圖1是說明業務的監視系統結構的方框圖。圖2是網絡控制裝置的方框圖。圖3是業務解析裝置的方框圖。圖4和圖5是說明數據包計數表的圖。圖5是說明閾值表的圖。圖6是說明異常檢測信息表的圖。圖7、圖12、圖16是說明檢測出異常流的流統計信息的數據包的圖。圖8是業務分析處理部的處理流程圖。圖9是業務分析處理部的異常判定處理流程圖。圖10是說明業務解析裝置對網絡控制裝置發送的控制信息數據包的圖。
在圖1中，業務的監視系統100包括連接到多個網絡1-11、1-12、…、1-1n的網絡控制裝置10-1；連接到多個網絡1-k1、1-k2、…、1-km的網絡控制裝置10-k；以及業務解析裝置20。網絡控制裝置10對業務解析裝置20輸送流統計信息。相反地，業務解析裝置20對網絡控制裝置10輸送控制信息(參數等)。
這裡，流統計信息中，包含網絡控制裝置10檢測出的異常信息。而在控制信息中，包含業務解析裝置20基於異常信息所判定的計數器的復位、閾值級別的變更(閾值的增加指示)。此外，相反地在異常業務少時，包含閾值的減少指示。通過這樣構成，由網絡控制裝置10對異常業務進行分析/檢測，所以可以根據異常業務的狀況變更閾值等級。其結果是，可以形成與異常業務的狀況對應的靈敏度。再有，業務解析裝置20和網絡控制裝置10-k之間的流統計信息、控制信息的箭頭，因簡化圖示而省略了。
圖2所示的網絡控制裝置10包括數據包傳送處理部11；統計信息取得生成部12；以及業務統計分析處理部13。而統計信息取得生成部12包括採樣統計處理部121和業務異常檢測信息數據包生成部122。
通常數據包由數據包傳送處理部11傳送到傳送目的地。此外，通常數據包從數據包傳送處理部11向採樣統計處理部121進行副本傳送。採樣統計處理部121按預定的比例進行採樣，將包含作為採樣對象的數據包的報頭的N字節截取。採樣統計處理部121將所截取的數據包的一部分重疊後形成有效負荷中所存儲的數據包(sFlow數據包)，作為統計信息數據包，經由數據包傳送處理部11，傳送到業務解析裝置20。
此外，採樣統計處理部121將作為採樣對象的數據包傳送到業務統計分析處理部13。業務統計分析處理部13通過數據包傳送處理部11預先獲取來自業務解析裝置20的控制信息數據包，並且閾值被設定。業務統計分析處理部13使用該閾值檢測業務異常。檢測出業務異常的業務統計分析處理部13對業務異常檢測信息數據包生成部122傳送異常檢測信息。業務異常檢測信息數據包生成部122根據異常檢測信息，生成異常檢測信息數據包，並傳送到採樣統計處理部121。接收了異常檢測信息數據包的採樣統計處理部121在sFlow數據包後附加異常流檢測信息，作為統計信息數據包，經由數據包傳送處理部11，傳送到業務解析裝置20。
本實施例的網絡控制裝置10，可以從外部改變閾值，所以可以形成能夠改變控制參數的、可以檢測業務異常的網絡控制裝置。
圖3所示的業務解析裝置20包括數據包傳送處理部21；統計處理部22；分析處理部23；以及控制信息數據包生成部24。從網絡控制裝置10傳送來的統計信息數據包，通過數據包傳送處理部21被傳送到統計處理部22，接收統計處理。統計處理部22將統計處理結果傳送到分析處理部23。分析處理部23使用統計處理結果進行分析處理。分析處理部23根據分析處理結果，將檢測出業務異常的網絡控制裝置10的後述的數據包計數表的計數值復位，並使計數值的閾值增加。具體地說，使控制信息數據包生成部24生成對計數值的復位和閾值的變更進行控制的數據包，將其通過數據包傳送處理部21向網絡控制裝置10傳送。
圖4所示的數據包計數表200是網絡控制裝置10的業務統計分析處理部13中保持的表。數據包計數表200包括項目數1表201；項目數2表202；項目數3表203；以及項目數4表204。項目數1表203與項目1的種類和值相對應，保持業務統計分析處理部13已計數的數據包數。這裡，src ip是source ip，意味著發送方的IP位址。而dst port是destination port，意味著發送目的地的埠號。
項目數2表202按項目1的種類和值及項目2的種類和值的「與」條件對數據包數進行計數。項目數3表203和項目數4表204都按項目數3或項目數4的「與」條件對數據包數進行計數。數據包計數表的數據包數按預定的間隔進行復位。此外，復位也可以根據業務解析裝置20發送的控制信息來實施。
數據包計數表的項目欄從數據包的信息中選擇。作為信息的例子，有包含在IP報頭、TCP報頭、UDP報頭、MPLS報頭、MAC報頭等的報頭中的信息或有效負荷數據的散列值等。在這種意義上，數據包計數表根據數據包的報頭信息對數據包的到達數進行計數。
圖15的數據包計數表1500是圖4所示的數據包計數表200的其他實施方式。
在本實施例，識別業務的項目為發送方IP位址(src ip)、目的地IP位址(dst ip)、發送方埠號(src port)、目的地埠號(dst port)四種，由所述四種項目生成任意的n項目(1≤n≤4)的組合。所述項目的種類示於項目域1501中。
再有，在本實施例，將處理對象項目作為所述四種，但也可以根據要檢測的業務的特性而進一步附加其他的項目，或進行刪除。例如，為了提取與TCP通話的確立、截斷處理相關聯的業務，也可以包含TCP報頭中的標誌信息。或者，為了更正確地掌握業務的特性，也可以包含接續在TCP報頭或UDP報頭之後的、應用數據的開頭幾個字節部分。或者，在附加有MPLS標記的情況下，也可以還包含所述MPLS標記的值，對每個LSP進行業務的分析。或者，在使用L2TP等隧道協議時，也可以包含隧道識別符，對每個隧道進行通過其中的業務的分析。
在數據包計數表1500的值域1503中，如果是作為所述組合的構成要素的項目，則存儲有所述項目的值，如果不是所述組合的構成要素的項目，則存儲有在具有所述組合的數據包的計數中出現的所述項目的值的種類數。表示在值域1503中存儲的數值是值還是出現種類數的信息存儲在屬性域1502中。
例如，圖15中條目號4的條目中，表示發送方IP位址為Z、目的地IP位址為Y、目的地埠號為d的數據包出現20個，並表示所述20個數據包中包含的發送方埠號的種類為8種。
而且，數據包計數表1500的各條目具有用於對每個所述條目計數數據包數的數據包數域1504、用於對所述條目中作為計數對象的數據包長度進行累計的累計八位數域1505、保持將所述條目中開始了數據包數的計數的時刻的計數開始時刻域1506。
與數據包計數表200的不同在於，在對著眼於某個項目的組合的數據包數進行計數時，對於未包含在所述項目的組合中的項目是否出現了幾個不同的值同時進行計數。
圖5所示的閾值表，是保持在網絡控制裝置10的業務統計分析處理部13中的表。閾值表30包括流類別31；檢測等級32；以及閾值33。流類別31具體地說，是蠕蟲、DDoS等業務異常。這裡，對於流X的數據包，在超過500並檢測出時，判定為檢測等級1，超過1000並檢測出時，判定為檢測等級2。再有，這些閾值根據來自業務解析裝置20的控制信息被重寫。
圖6所示的異常檢測信息表是網絡控制裝置10的業務統計分析處理部13所生成，並被傳送到業務異常檢測信息數據包生成部122的表。異常檢測信息表80是將流構成要素串行連接的表。具體地說，具有檢測出的流的DDoS、蠕蟲等的流類別、作為檢測出的流的可疑度的檢測等級、作為TCP/IP報頭的信息的發送方·目的地地址、發送方·目的地名埠、層4的協議類別、作為網絡控制裝置的網絡接口信息的接口。另外，也可以加入層2或應用的信息。
檢測出異常流的流統計信息的數據包(圖7)是網絡控制裝置10的採樣統計處理部121所生成的數據包。流信息數據包40包括MAC報頭41、IP報頭42、UDP報頭43、流信息44、以及異常流檢測信息45。MAC報頭41、IP報頭42、UDP報頭43、以及流信息44所構成的數據包是sFlow的數據包。但是，在流信息數據包40中被附加異常流檢測信息45，意味著網絡控制裝置10檢測出業務的異常。
用圖12和圖16說明異常流檢測信息45的構成例子。
異常流檢測信息45包括流類別1201、採樣率1202、閾值1203、累計八位數1204、累計時間1205、項數1206、多個項1207。流類別1201表示被檢測出的流的類別。在流類別的值中，例如加入DDoS、蠕蟲等的類別信息。採樣率1202表示流檢測時的數據包採樣率，存儲有採樣統計處理部121保持的採樣率。閾值1203表示以通知本消息為契機的數據包計數數的閾值，存儲有閾值表30的閾值33的某一個值。累計八位數1204表示在數據包計數數超過閾值為止之間所接收的數據包長度的總八位數，存儲有數據包數域1504超過了閾值的數據包計數表1500的條目的累計八位數域1505的值。
條目累計時間1205表示從對由本消息通知的流的數據包計數數開始計數至超過閾值為止的時間，存儲有數據包數域1504超過了閾值的數據包計數表1500的條目的計數開始時刻1506的值和當前時刻之差。項數1206表示本消息中包含的項1207的數。在數據包計數表1500的例子中一個條目由四個項目構成，所以項數1206的值為4。項1207表示數據包數1504超過了閾值的數據包計數表1500的條目中包含的各項目的內容。
項1207為圖16所示的結構。項目1601表示項的種類，具體地說，存儲有數據包計數表1500的項目域1501中所示的src ip或dstip等識別信息。屬性1602存儲有數據包計數表1500的屬性域1502中所示的『值』或『出現種類數』。值1603存儲有數據包計數表1500的值域1503中所示的值。
通過網絡控制裝置10在檢測出異常流時將包含上述那樣的信息的數據包發送到業務解析裝置20，業務解析裝置20可從所述信息中以很少的處理負荷在短時間內掌握異常流的種類及規模、持續時間等。
下面，使用圖8，說明網絡控制裝置10的業務統計分析處理部13的動作。業務統計分析處理部13接收採樣統計處理部121所採樣的數據包(S501)。業務統計分析處理部13使用數據包的報頭信息，將圖4所示的數據包計數表200的相應條目(一般存在多個)的數據包數增加(S502)。在不存在相應條目的情況下，形成新的條目。此時，可事先設定作為新條目的形成對象的所述報頭信息中的項目的組合，而且，還可通過控制信息數據包50的控制信息54進行變更。接著，參照項目2表202和圖5所示的閾值表30，在表示可疑流的項目的組合中調查有無超過了檢測等級1的閾值的條目(S503)。在沒有的情況下(「否」)，返回到步驟501，在有的情況下(「是」)轉移到異常判定。在異常判定(S504)，判斷為異常的情況下(「是」)，再次參照閾值表，形成圖6所示的異常檢測信息表80(S505)。再有，在判斷為沒有異常的情況下(「否」)，返回到步驟501。業務統計分析處理部13將異常檢測信息表80傳送到業務異常檢測信息生成部122(S506)。
使用圖9，作為網絡蠕蟲和DDoS的檢測流程更詳細地說明圖8的步驟503和步驟504。
首先，對項目數2表202中超過了閾值的項目的種類和值的組合進行判斷(S1001)。在「scr ip」和「dst port」或「dst ip」和「dst port」以外的組合的情況下，結束檢測流程。
項目數2表202中超過了閾值的種類的項目和值的組合為「scrip」和「dst port」時，對項目數3表進行檢索(S1002)。在項目數3表中，確認是否存在「scr ip」和「dst port」相同，表示是特定的主機間的通信的條目(S1003)。這裡，作為表示是特定的主機間的通信的項目，採用「dst ip」。如果該結果為「是」，則判斷為不是蠕蟲並結束處理。另一方面，如果結果為「否」，則判斷為蠕蟲(S1004)。
另一方面，項目數2表202中超過了閾值的項目的種類和值的組合為「dst ip」和「dst port」時，對項目數3表進行檢索(S1005)。在項目數3表中，確認是否存在「scr ip」和「dstport」相同，表示是特定的主機間的通信的條目(S1006)。這裡，作為表示是特定的主機間的通信的第3項目，採用「scr ip」。如果該結果為「是」，則是特定的2臺終端間的P2P通信，判斷為不是DDoS並結束處理。另一方面，如果結果為「否」，則判斷是從多個發送方向特定的目的地的通信即DDoS(S1007)。
返回到圖2，接收了異常檢測信息表80的業務異常檢測信息生成部122根據異常檢測信息表生成圖7所示的異常流檢測信息45。業務異常檢測信息生成部122將異常流檢測信息45傳送到採樣統計處理部121。採樣統計處理部121將在通常的sFlow數據包之後追加了異常流檢測信息45的流統計信息數據包40傳送到業務解析裝置20。
網絡控制裝置10與此同時對數據包傳送處理部11的輸出部設定未圖示的過濾器(filter)，停止異常數據包的傳送。
在圖3中，接收到已追加了異常流檢測信息45的流統計信息數據包40的業務解析裝置20，在分析處理部23中進行分析，在是圖5的流X的異常且檢測等級2以上的情況下，判定不能進行進一步的檢測。其結果是，進行數據包計數表的復位，將流X的檢測等級1的閾值設為1000、檢測等級2的閾值設為2000，通過控制信息生成部24，將控制信息數據包50送到網絡控制裝置10。
業務解析裝置20的控制信息數據包生成部24生成圖10所示的業務解析裝置發送到網絡控制裝置的控制信息數據包。控制信息數據包50包括MAC報頭51、IP報頭52、UDP報頭53、以及控制信息54。控制信息54包括計數復位信號、參數等。
再有，在上述實施例中作為sFlow進行了說明，但即使是NetFlow、或者鏡像產生的數據包也可以，不限於它們。控制信息54也可以包括在數據包計數表中變更作為數據包數計數的對象的項目的組合設定信息的信息、或者變更閾值表的流類別和檢測等級的信息。而且，也可以不變更流X的檢測等級1和2的閾值，而設置新的檢測等級3(閾值2000)。
此外，業務異常發生時的異常通知的發送目的地不限於業務解析裝置，也可以是更高級的網絡監視裝置。
根據本實施例，可以由分散配置的網絡控制裝置(路由器或交換機)進行異常業務、過負荷業務的分析。其結果是，可以降低業務解析裝置(收集器或分析器)的分析負荷。此外，通過在以往的sFlow統計信息中附加異常業務的分析信息，可以進行產生了以往的Flow統計計算伺服器的功能的擴展。而且，根據本實施例，即使對於今後新發生的網絡攻擊，通過根據攻擊模型而變更數據包計數表和閾值表的設定，仍然可以應對。
在本實施例中，如果在業務統計分析處理部13中採用處理負荷小的算法，將其內置在網絡控制裝置10中，由網絡控制裝置10實施業務分析和信息匯集，則可以減小網絡控制裝置10的對業務解析裝置20的數據包傳送負荷，進而減小對網絡的頻帶的負荷。
而且，可以將業務分析分散給各網絡控制裝置10來實施，所以可以減輕業務解析裝置20的處理負荷和成本。
實施例2
下面，用圖11來說明第2實施例。本實施例的系統結構與第1實施例相同。圖11是說明其他實施例的檢測了異常流的流統計信息的數據包的圖。
圖11所示的檢測了異常流的流統計信息的數據包是網絡控制裝置10的採樣統計處理部121所生成的數據包。流信息數據包60包括MAC報頭61、IP報頭62、UDP報頭63、以及異常流檢測信息64。
在該實施例中，對業務解析裝置20僅傳送異常流檢測信息。因此，採樣統計處理部121的處理簡單。
此外，業務異常發生時的異常通知的發送目的地不限於業務解析裝置，也可以是更高級的網絡監視裝置。此外，與通常數據包同樣，也可以通過網絡，通知網絡管理者的PC。
實施例3
下面用圖13和圖14說明第3實施例。圖13表示作為業務解析裝置使用了具有RADIUS協議等認證功能的認證伺服器的認證系統。圖13所示的認證系統包括連接了多個PC的多個網絡、連接了多個網絡的網絡控制裝置及認證伺服器。PC經由網絡控制裝置被認證伺服器認證。網絡控制裝置按認證/再認證的定時，將相應的PC的異常業務檢測信息發送到認證伺服器。認證伺服器使用認證信息進行認證，使用異常業務檢測信息進行相應PC的業務控制。
網絡控制裝置和認證伺服器間，如圖14所示，除了原始的認證信息以外，還附加有異常業務檢測信息。
根據本實施方式，由網絡控制裝置對異常業務進行分析/檢測，所以可以減少業務解析裝置的負荷，可以減小網絡控制裝置10的對業務解析裝置20的數據包傳送負荷，進而可以減小對網絡的頻帶的負荷。
此外，根據本實施方式，在經由網絡控制裝置進行PC認證的系統中，通過在認證/再認證時從網絡控制裝置向認證伺服器傳送PC單位的異常業務檢測信息，從而除了靜態的認證信息(密碼、數字署名信息等)以外，還添加動態的業務信息，所以除了認證功能以外，還可進行相應PC的業務控制。
權利要求
1.一種網絡控制裝置，配置在網絡和業務解析裝置之間，與所述網絡之間進行數據包的傳送，其中，所述網絡控制裝置接收所述業務解析裝置發送的控制信息，使用所述控制信息中包含的參數進行所述數據包的監視，在檢測出業務異常時，將檢測出的異常信息發送到所述業務解析裝置。
2.如權利要求1所述的網絡控制裝置，其中，還包含數據包計數表，所述數據包計數表根據所述數據包的報頭信息，對數據包的到達數進行計數，根據所述控制信息，將所述數據包計數表的所述到達數復位。
3.如權利要求2所述的網絡控制裝置，其中，還包含由與流類別對應的多個閾值組成的閾值表，在所述到達數超過所述閾值時，參照所述數據包計數表來判定業務異常。
4.一種網絡控制裝置，配置在網絡和業務解析裝置之間，設置有數據包傳送處理部，與所述網絡之間進行數據包的傳送，其中，所述網絡控制裝置包括採樣統計處理部，進行所接收的數據包的採樣；和業務統計分析處理部，進行異常業務的檢測。
5.如權利要求4所述的網絡控制裝置，其中，在所述業務統計處理部檢測出業務異常時，對所述業務解析裝置發送異常檢測通知。
6.如權利要求4所述的網絡控制裝置，其中，在所述業務統計處理部檢測出業務異常時，停止該業務異常的數據包的傳送。
7.如權利要求4所述的網絡控制裝置，其中，根據來自所述業務解析裝置的控制信息，可變更所述業務統計處理部的業務異常檢測參數。
8.一種網絡控制裝置的控制方法，包括從網絡接收數據包的步驟；對基於所接收的數據包的報頭信息的數據包計數表的到達數進行更新的步驟；比較所述到達數和預定的閾值的步驟；在所述到達數超過所述閾值時，實施異常判定的步驟；以及在判定為業務異常時，發送業務異常通知的步驟。
9.如權利要求8所述的網絡控制裝置的控制方法，其中，所述業務異常通知的發送目的地是業務解析裝置。
10.如權利要求8所述的網絡控制裝置的控制方法，其中，所述所接收的數據包是採樣後的數據包。
11.一種系統，將PC和網絡控制裝置及認證伺服器經由網絡連接，進行所述PC的認證，其中，包括所述網絡控制裝置在認證/再認證時，將相應的所述PC的異常業務信息發送到所述認證伺服器。
12.如權利要求1的網絡控制裝置，其中，所述檢測出的異常信息包含對與被發送的數據包的發送方或接收目的地有關的信息進行確定的項目、該項目的屬性、以及該項目的值。
全文摘要
在網絡控制裝置(10)中設有業務統計分析處理部(13)，檢測異常業務。在檢測出異常業務時，在數據包傳送處理部(11)中設定過濾器，從而停止異常業務的傳送，同時在統計信息數據包中重疊異常檢測信息後，輸出到業務解析裝置。
文檔編號H04L12/26GK1878141SQ20061008503
公開日2006年12月13日 申請日期2006年5月22日 優先權日2005年5月20日
發明者樋口秀光, 渡邊義則, 相本毅, 磯部隆史 申請人:阿拉克斯拉網絡株式會社