網絡控制裝置和控制系統及控制方法

2023-09-14 06:36:10

專利名稱：網絡控制裝置和控制系統及控制方法
技術領域：
本發明涉及在網絡間傳送網絡上的數據包的網絡控制裝置和系統，特別是涉及從大量的通信量中高效地檢測不適當的通信量，能夠控制該通信量的傳送的網絡控制裝置和系統。
背景技術：
在網際網路或區域網的利用普及的同時，這些網絡的穩定的運行的重要性在增加。特別是在網際網路中，不確定多的用戶利用各種各樣的應用程式。因此，產生大於網際網路服務提供商估算的過載通信量或者因攻擊和網絡蠕蟲的傳播等非法行為引起的通信量的可能性增高，如何檢測和控制這些情況來確保正常的通信的穩定性就成為課題。
作為用於處理這樣的課題的代表性的技術之一，已知有入侵檢測系統。入侵檢測系統是事先以資料庫的方式保持非法數據包的模版，通過進行接收到的數據包與該資料庫內容的比較來檢測非法數據包的系統。由於進行檢查對象數據包與龐大的非法數據包的資料庫的比較，因此，入侵檢測系統的處理速度成為問題，但例如已公開了一種通過按照保護對象網絡內存在的伺服器的種類預先裝入了作為比較對象的資料庫內容來高速化處理的方法等(例如，參照專利文獻1)。
此外，作為網絡發生了引起擁擠這樣的過大的通信量的情況下的對策技術，已公開了一種預先按用戶和計算機單位決定監視對象，計測各個監視對象的通信量等的信息，在發生擁擠時，對上述通信量多的監視對象的通信量進行頻帶限制的方法等(例如，參照專利文獻2)。
另外，最近公開了一種在網際網路的中樞網絡等的流過龐大通信量的網絡中，為了高速地抽出具有規定的特徵並且佔有大帶寬的通信量而應用了貨籃(basket)分析的通信量的解析方法等(例如，參照專利文獻3)。所述貨籃分析是用於用數據採礦(data mining)手法之一找到在小賣店等中經常一齊購買的商品的組合的數據解析。
專利文獻1特開2003-223375號公報專利文獻2特開2001-217842號公報專利文獻3特開2005-285048號公報專利文獻1的技術是在利用特徵匹配進行非法數據包的檢測的入侵檢測系統中，通過削減進行匹配的特徵來謀求處理的高速化的技術。例如，按照組織網絡的條目程度的通信量，在僅利用被限定的服務的網絡中認為有效。但是有這樣的問題，從進行每個數據包的特徵匹配處理的這點來說，處理速度有限度，對網際網路的中樞網絡程度的通信量進行處理有困難。
此外，專利文獻2的技術是事先決定監視對象、利用資料庫管理該監視對象的利用通信量的量。這在已限定的監視對象的環境中利用也許沒有問題。但是有這樣的問題，即若想要在不特定多數的計算機等通信量通過的網際網路的中樞網絡中適用，事先決定監視對象的運用就困難，假設即使適用也需要龐大的存儲器等資源。
此外，專利文獻3的技術在於也許解決了在專利文獻1的技術和專利文獻2的技術中成為問題的處理性能和存儲器等的必要資源量的問題。但是有這樣的問題，沒有考慮直到為了高精度地判定抽出的通信量的特性(例如，DDoS攻擊、網絡蠕蟲的擴散、P2P文件交換等)而必需的信息的取得。因此，在要對抽出的通信量進行中斷等控制的情況下，難以防止對抽出的通信量進行錯誤的控制。

發明內容
於是，研究了在網際網路的中樞網絡這樣的流過龐大通信量的網絡中也能高速地抽出非法通信量後判定其特性的網絡控制裝置和系統。
此外，研究了不限制監視對象而能用少量的存儲器資源抽出發生過大通信量的網絡上的裝置的網絡控制裝置和系統。
此外，研究了能按照事先設定的控制策略，對抽出後判定了特性的通信量自動進行控制的網絡控制裝置和系統。
考慮上述課題，提供一種技術，例如，設置了對每個進行傳送的數據包的報頭部分中所包含的項目的任意組合累計數據包數的單元、和判定該單元的累計值是否超過了規定的閾值的單元，在數據包數超過了閾值時，根據項目的組合和與項目的組合不同的組合的累計值，判定進行傳送的數據包的類別。
此外，考慮上述課題，提供一種技術，例如，在累計數據包數的單元中設置了在保持項目組合和累計值的組合的區域的分配中使用項目組合的散列值的分配單元；以及，在分配單元分配了已經在其他的項目組合的累計中使用中的區域的情況下，減去區域的累計值的單元。在累計值減法的結果變為0時，之後出現的項目組合寫入利用區域。
此外，考慮上述課題，提供對通信量中的特定的數據包控制可否傳送和使用頻帶的流控制單元、和按照數據包的類別的判定結果變更流控制單元的設定的技術。
即，在本說明書中公開了一種網絡控制裝置，至少具有與一個以上的網絡連接的單元；監視網絡上流過的數據包的單元；對由進行監視的裝置得到的數據包中的任意一個或兩個以上的組合的欄位的值相同的數據包的數量進行累計的裝置；在累計後的數據包數超過了指定的閾值時，根據與任意一個或兩個以上的組合不同的任意一個或兩個以上的組合的欄位的值，對超過了指定的閾值的數量的數據包的特性進行推斷的數據包推斷單元。
可以參照實施例的詳細說明弄明白其他的課題、方案和效果。
根據上述方案，由於不進行數據包的特徵匹配而能夠抽出非法數據包並判定其特性，因此，有在通信量多的高速的網絡中也能適用的效果。
此外，根據上述方案，具有如下效果即使在為了檢測特定通信量而僅能使用有限的存儲區域的情況下，也能夠不特別限制監視對象數據包而抽出頻繁出現的通信量的數據包。
此外，根據上述方案，由於在檢測出了特定通信量時，能夠按照預先指定的規則來控制通信量，因此，有在高速的網絡中也能對非法通信量迅速進行中斷或頻帶限制等對策的效果。


圖1示出實施例1的網絡控制裝置的結構的一例。
圖2示出實施例1中的數據包計數表的內容的一例。
圖3示出實施例1中的閾值表的內容的一例。
圖4示出實施例1中的控制策略表的內容的一例。
圖5是示出實施例1的網絡控制裝置的工作的一例的流程圖。
圖6示出實施例1中的通信量信息的內容的一例。
圖7是示出實施例1中的通信量信息分析處理的詳細的一例的流程圖。
圖8示出實施例1中的閾值超過信息的內容的一例。
圖9是示出實施例1中的數據包計數表更新處理的詳細的一例的流程圖。
圖10是示出實施例1中的問題通信量判別處理的詳細的一例的流程圖。
圖11示出實施例2的網絡控制系統的結構。
圖12是示出實施例2的網絡控制系統的工作的一例的流程圖。
圖13示出實施例3中的數據包計數表的內容的一例。
圖14是示出實施例3中的數據包計數表更新處理的詳細的一例的流程圖。
圖15示出實施例3中的輔助表的內容的一例。
圖16是示出實施例3中的問題通信量判別處理的詳細的一例的流程圖。
具體實施例方式
說明本發明的最佳實施方式。但是，本發明不限定於該實施方式。
使用

網絡控制裝置和系統及控制方法的實施例。
實施例1說明實施例1。圖1示出了本實施方式的一個實施例的網絡控制裝置的結構圖。圖中，101是本實施方式的網絡控制裝置，102是用於對網絡控制裝置101給予指示或顯示狀態的輸入輸出裝置，103、104、105是與網絡控制裝置101連接的網絡。
網絡控制裝置101由數據包傳送處理部106和特定通信量檢測控制部107構成。連接接口108連接數據包傳送處理部106和特定通信量檢測控制部107，能在數據包傳送處理部106與特定通信量檢測控制部107之間進行數據交換。
數據包傳送處理部106包括CPU109、存儲器110、在網絡103、104、105之間進行數據包的收發的數據包收發部111、進行上述數據包的中斷和頻帶限制的流控制部112。存儲器110中包括用於按照上述數據包中包含的發送目的地地址決定應該傳送的網絡的路徑表113、和用於暫時存儲數據包收發部111接收的數據包的數據包緩衝器114。此外，在流控制部112中包括用於存儲應該對上述數據包進行的中斷和頻帶限制的規則的流控制信息存儲器115。
特定通信量檢測控制部107由CPU116和存儲器117構成。存儲器117中包括存儲從數據包傳送處理部106送來的通信量信息的通信量信息緩衝器118、用於根據上述通信量信息存儲數據包傳送處理部106傳送的數據包的統計值的數據包計數表119、用於存儲進行上述統計值的判定所需的閾值的閾值表120、記述了在上述統計信息超過了上述閾值時應該進行的處理的控制策略表121。
在以上的結構中，數據包傳送處理部106從網絡103、104、105一接收數據包後，生成有關該數據包的通信量信息後交給特定通信量檢測控制部107，並且，按照路徑表113的內容，將上述數據包發送給傳送目的地網絡。特定通信量檢測控制部107一邊統計處理上述通信量信息，一邊檢測非法的通信量，根據需要生成用於進行上述非法通信量的中斷和頻帶限制的設定信息，設定在數據包傳送處理部106的流控制信息存儲器115中。
以下，使用圖5的流程圖，詳細地說明網絡控制裝置101的工作的一例。首先，詳細地說明從網絡103、104、105中的某一個向數據包收發部1 1 1送到了數據包501時的數據包傳送處理部106的處理。
當數據包501到達數據包收發部111時，就開始數據包接收處理(步驟502)。具體地說，在向數據包緩衝器114中寫入數據包收發部111接收到的數據包501的內容的同時，利用中斷信號等向CPU109通知數據包501的到達。這時，流控制信息存儲器115中還沒設定中斷或者頻帶限制數據包501的規則。
接著，CPU109根據數據包緩衝器114中存儲的數據包的內容生成通信量信息(步驟503)。取出上述數據包的IP報頭和TCP報頭或者UDP報頭中包含的發送源IP位址、接收方IP位址、發送源埠號、接收方埠號、協議號後生成上述通信量信息。通信量信息的要素並非限定於這些，也可以根據需要添加其他要素。將生成的上述通信量信息暫時保持在存儲器110內。
接著，CPU109向特定通信量檢測控制部107發送存儲器110內暫時存儲著的上述通信量信息，作為通信量信息505(步驟504)。
圖6示出了通信量信息505的內容的一例。1個數據包部分的通信量信息由發送源IP位址602、接收方IP位址603、發送源埠號604、接收方埠號605、協議號606構成，成為存儲了多個這些組的結構。所存儲的數據包數表示為數據包數601。
再有，1個數據包分的通信量信息不限定於上述5種，也可以根據需要，是IP報頭、和TCP報頭或UDP報頭中包含的其他項目的值、或者接在TCP報頭或UDP報頭的後面的數據的一部分。
另外，也可以是L2TP和PPP等隧道技術協議的數據包中存儲的IP數據包中的IP報頭、TCP報頭或UDP報頭中包含的其他項目的值、或者接在TCP報頭或UDP報頭的後面的數據的一部分。
另外，也可以是存儲IP數據包的層2數據包的乙太網(乙太網是註冊商標)報頭和MPLS標號(label)的信息。
另外，也可以原樣存儲從一個數據包的先頭開始的指定字節數(例如256位元組)的內容。
再有，能夠在通信量信息505中存儲多個數據包的信息是因為減少了從數據包傳送處理部106向特定通信量檢測控制部107的數據傳送次數而提高了性能，通信量信息505中存儲的數據包的信息的數量任意。
此外，步驟503中的從數據包的通信量信息的取出也可以不是全部的接收數據包，而僅對通過適當的採樣處理選擇的數據包進行。這樣，在流過龐大的通信量的高速網絡中也能處理。
另外，在上述採樣處理中，關於具有特定特徵的數據包，也可以採樣全部作為通信量信息的取出的對象。所述特定特徵例如是在TCP數據包中得SYN標誌的數據包。這樣，能夠提高在高速網絡中設為對象的不適當的通信量的檢測精度。
接著，CPU109在存儲器110內收集到了適當數量的在步驟503中生成的通信量信息時，將其構成為通信量信息505後向特定通信量檢測控制部107發送，並且，刪除存儲器110內累積的上述通信量信息(步驟504)。作為向特定通信量檢測控制部107的具體的發送方法，例如，有CPU109通過連接接口108向存儲器118內設置的通信量信息緩衝器118直接寫入通信量信息505，並且利用經由連接接口108的中斷信號，向CPU109通知該寫入處理的完了的方法等。
接著，CPU109參照路徑表113，決定數據包緩衝器114中存儲的數據包的傳送目的地網絡(步驟506)。由於在路徑表113中與數據包的接收方IP位址相對應地記述著應該向哪個網絡(在本實施例中，是網絡103、104、105的某一個)發送，因此，從數據包501取出接收方IP位址，通過從路徑表113檢索該IP位址，就能夠決定傳送目的地網絡。
最後，將數據包緩衝器114中存儲著的數據包作為數據包508，向在步驟506中決定的傳送目的地網絡發送(步驟507)。
另一方面，在特定通信量檢測控制部107中，利用步驟504的處理向CPU116通知通信量信息505的傳送，CPU116就進行通信量信息505的分析處理，在檢測到了不適當的通信量的情況下，進行生成用於進行該通信量的中斷或者頻帶限制的流控制設定信息510後向數據包傳送處理部106發送的處理(步驟509)。
收到流控制設定信息510的數據包傳送處理部106，由CPU109向流控制信息存儲器115中寫入流控制設定信息510的內容(步驟511)。以後，流控制部112就對流控制設定信息510中指定的數據包進行中斷和頻帶限制等流控制設定信息510中指定的控制。以上是網絡控制裝置101的整體流程的說明。
下面，關於在步驟509中示出的利用特定通信量檢測控制部107的通信量信息分析處理的詳細內容，使用圖7、圖8和圖9的流程圖進一步詳細地說明。
圖7是示出步驟509中的CPU116的詳細工作的流程圖。CPU116首先從通信量信息緩衝器118中存儲的通信量信息取得1個數據包的通信量信息(步驟701)，進行該通信量信息的分析並進行數據包計數表119的更新處理(步驟702)。
圖2中示出數據包計數表119的結構。在本實施例中的通信量信息分析處理中，使用了生成構成通信量信息的各項目的任意組合、並通過進行包含上述項目的組合的數據包數的累計處理來抽出特徵通信量的分析方法。數據包計數表119是用於保持上述累計處理的結果的表。在本實施例的情況下，將構成上述通信量信息的項目設為發送源IP位址、接收方IP位址、發送源埠號、接收方埠號這4種，從上述4種項目生成任意的n項(1≤n≤4)的組合。數據包計數表119由存儲n＝1時的累計值的項目數1表201、存儲n＝2時的累計值的項目數2表202、存儲n＝3時的累計值的項目數3表203、存儲n＝4時的累計值的項目數4表204構成。再有，也可以將各表表現為第一計數部、第二計數部等。
再有，在本實施例中，將處理對象項目設定為上述4種，但也可以按照想檢測的通信量的特徵，進一步添加或者刪除另外的項目。例如，也可以為了抽出有關TCP對話期的確立和切斷處理的通信量，包含TCP報頭中的標誌信息。或者，也可以為了更正確地掌握通信量的特性，包含接在TCP報頭或UDP報頭後面的應用數據的先頭幾個字節部分。或者，在標記著MPLS標號的情況下，也包含上述MPLS標號的值，對每個LSP進行通信量的分析。或者，在使用L2TP等隧道技術協議時，包含通道標識符，對每個通道進行通過其中的通信量的分析。
在此，關於步驟702中的數據包計數表119更新處理的詳細，使用另外的流程圖進行說明。圖9是示出步驟702的詳細處理內容的流程圖。
CPU116首先從上述4種項目生成從任意的n個選出的項目組合(步驟901)。所生成的項目組合也可以是數學上得到的全部的組合，但也可以以根據處理負荷的減輕而高速化為目的，限定於一部分的組合。
接著，從在步驟901中生成的項目組合中選擇一個，決定用於累計包含上述選擇的項目組合的數據包數的數據包計數表119內的條目(entry)(步驟902)。若上述選擇的項目組合由一個項目構成，就從項目數1表201選擇，若上述選擇的項目組合由兩個項目構成，就從項目數2表202選擇，若上述選擇的項目組合由三個項目構成，就從項目數3表203選擇，若上述選擇的項目組合由四個項目構成，就從項目數4表204選擇。作為選擇的算法，例如有對上述被選擇的項目組合適用適當的散列函數，將得到的散列值除以條目數的餘數作為條目號的方法等。
在步驟902中若決定了使用的條目，就確認該條目的現狀的內容(步驟903)。
若上述條目是未使用的情況，就在上述條目內的項目的種類欄位和值欄位中寫入上述選擇的項目組合內容，在將計數器值欄位設為0之後(步驟904)，在上述條目內的數據包數欄位中加1(步驟905)。
此外，步驟903的結果，若上述條目在上述選擇的項目組合中已經使用，就為了仍在上述條目內的計數器值中加1而向步驟905轉移。
另一方面，步驟903的結果，在上述條目是在另外的項目組合中已經使用的情況下，從上述條目內的數據包數減1(步驟906)，在結果變為0的情況下，跳躍到步驟904，否則就跳躍到步驟908(步驟907)。這是用於在不同項目的組合將要使用數據包計數表119內的同一條目的情況下，頻繁出現的組合容易留在數據包計數表119內的處理。
接著，CPU116確認上述條目內的數據包數欄位的值是否超過了規定的閾值(步驟908)。上述規定的閾值已存儲在閾值表120中。閾值表120的內容如圖3。可以定義多個閾值，可以對它們各自定義稱作閾值等級的等級號。在圖3的例子中，將閾值等級定義為從1到5的5級，但級數不限定於此。已通過輸入輸出裝置102事先設定好了閾值表120的內容。
在步驟908中，在上述數據包數欄位的值與閾值表120的閾值欄位中已定義的值的某一個一致的情況下，CPU116判斷為發生了超過閾值，生成閾值超過信息(步驟909)。閾值超過信息的內容如圖8所示，由示出包含發生了閾值超過的條目的表的種類(在本實施例的情況下，是從項目數1表201到項目數4表204的某一個)的表類別801、示出上述條目的號碼的條目號802、在閾值表120中與發生了上述閾值超過時的閾值相對應的閾值等級803、成為分析對象的通信量信息中包含的發送源IP位址804、接收方IP位址805、發送源埠號806、接收方埠號807、協議號808構成。將生成的閾值超過信息暫時存儲在存儲器117內。
對在步驟901中生成的項目組合的全部反覆執行從步驟902到步驟909的處理(步驟910)。以上是步驟702的信息工作說明。
返回到圖7的流程圖，步驟702一完了，就確認存儲器117中是否存在由步驟907生成的閾值超過信息(步驟703)。若存在，就執行判定該閾值超過信息是否是不適當的通信量的處理(步驟704)。在本實施例中，作為不適當的通信量，可以判定網絡蠕蟲的擴散通信量和對於網絡上的計算機等的DDoS攻擊通信量。
在此，使用另外的流程圖說明步驟704中的問題通信量判別處理的詳細。圖10是示出步驟704的詳細處理內容的流程圖。
CPU116首先確認用上述閾值超過信息中的表類別801和條目號802確定的數據包計數表119中的條目中包含的項目的種類欄位的內容(步驟1001)。
上述表類別801示出了項目數2表，在上述條目中包含的種類欄位的值是發送源IP位址和接收方埠號的情況下，判斷為上述閾值超過信息所示出的通信量有可能是網絡蠕蟲的擴散通信量，執行用於確認它的步驟1002以後的處理。
感染了網絡蠕蟲的計算機很多情況下對隨機的許多計算機發送用於擴散蠕蟲的通信量，並且，該通信量通常是給特定的埠號。因此，在觀測到許多發送源IP位址和接收方埠號的組合相同的數據包的情況下，可以判定為上述數據包有可能是網絡蠕蟲的擴散通信量。
但是，為了判定上述數據包的確是網絡蠕蟲的擴散通信量的可能性高，需要也確認數據包計數表119中的其他的條目內容。這是因為，例如，在特定的2臺計算機間進行了通常的一對一通信的情況下，也同樣地觀測到許多發送源IP位址和接收方埠號的組合相同的數據包。
於是，為了區別這樣的正常通信量與網絡蠕蟲的擴散通信量，在項目數3表203內的條目中包含上述閾值超過信息的發送源IP位址和接收方埠號，並進一步作為第三個項目，檢索種類欄位是接收方IP位址的條目(步驟1002)。
在步驟1002中發現上述條目，並且該條目的數據包數欄位的值對於判定為正常通信是充分大的值的情況下，判斷為上述通信量是正常通信(步驟1003)，否則就判定為上述通信量是網絡蠕蟲擴散通信量(步驟1004)。
此外，在步驟1001中示出了上述表類別801是項目數2表，在上述條目中包含的種類欄位的值是接收方IP位址和接收方埠號的情況下，判斷為上述閾值超過信息所示出的通信量有可能是DDoS攻擊通信量，執行用於確認它的步驟1005以後的處理。
在受到DDoS攻擊的計算機中，從許多其他計算機對同一埠號送來通信請求。因此，在觀測到許多接收方IP位址和接收方埠號的組合相同的數據包的情況下，就可以判定為上述數據包有可能是DDoS攻擊通信量。
但是，為了判定為上述數據包確實是DDoS攻擊通信量的可能性高，因此，需要也確認數據包計數表119中的其他條目內容。這是因為，例如，在特定的2臺計算機間進行了通常的一對一通信的情況下，也同樣地觀測到許多接收方IP位址和接收方埠號的組合相同的數據包。
於是，為了區別這樣的正常通信量與DDoS攻擊通信量，在項目數3表203內的條目中包含上述閾值超過信息的接收方IP位址和接收方埠號，並進一步作為第三個項目，檢索種類欄位是發送源IP位址的條目(步驟1005)。
在步驟1005中發現上述條目，並且該條目的數據包數欄位的值對於判定為正常通信是充分大的值的情況下，判斷為上述通信量是正常通信(步驟1006)，否則就判定為上述通信量是DDoS攻擊通信量(步驟1007)。以上是步驟704的詳細工作說明。
在本實施例中，作為能檢測的問題通信量的例子，示出了網絡蠕蟲擴散通信量和DDoS攻擊通信量的判定方法，但利用本實施方式能檢測的問題通信量不限定於此，利用數據包計數表119的分析，例如，在特定的計算機生成了過大的通信量時，也能夠推斷成為該通信量源的應用的種類(例如P2P文件交換等)。
返回到圖7的流程圖，在利用步驟704判定為在步驟702中生成的閾值超過信息是問題通信量的情況下(步驟705)，CPU116檢索對上述問題通信量的控制方法是否在控制策略表121中已記載(步驟706)。
圖4是示出控制策略表121的結構的圖。控制策略表121是對每種網絡蠕蟲擴散通信量和DDoS攻擊通信量等通信量類別定義一個利用濾波器的中斷和頻帶限制等控制內容的表。另外，能夠對上述通信量類別設定IP位址和埠號等限定條件，這樣，就能對同一通信量類別，每個不同的限定條件定義一個不同的控制內容。已通過輸入輸出裝置102事先設定好了控制策略表121的內容。
在步驟706中，從控制策略表121檢索具有在步驟704中判定的問題通信量的類別、和與在步驟702中生成的閾值超過信息中包含的信息(從閾值等級804到協議號809)吻合的通信量類別和限定條件的條目。
在步驟706中若發現了與上述問題通信量吻合的控制策略表121的條目(步驟707)，CPU116就生成與寫在上述條目中的控制內容相應的流控制設定信息510，向數據包傳送處理部106發送(步驟708)。這時，將發現了問題通信量情況作為報告信息，在輸入輸出裝置102中顯示，或者進行在存儲器117中記錄等處理。
以上完成了對於在步驟701中取得的1個數據包的通信量信息的分析處理。若在通信量信息緩衝器118內剩有未處理的通信量信息，就反覆步驟702以後的處理，若全部數據包的通信量信息的處理完成，就結束步驟509(步驟709)。以上是特定通信量檢測控制部107中的通信量信息分析的詳細處理內容。
根據本實施例，在網絡間進行數據包的傳送的網絡控制裝置中，具有即使與高速的網絡連接，也能高效地從傳送的數據包抽出認為是問題通信量的通信量，並且具有對該通信量自動進行中斷和頻帶限制等對策的效果。
實施例2說明實施例2。圖11示出了本實施方式的第二實施例的網絡控制系統的結構圖。圖中，1101是進行網絡103、104、105間的數據包傳送的數據包傳送處理裝置，1102是分析從數據包傳送處理裝置收到的信息的網絡控制裝置。
數據包傳送處理裝置1101包括CPU1103、存儲器1104、在網絡103、104、105和網絡控制裝置1102之間進行數據包的收發的數據包收發部1105、流控制部1106。存儲器1104中包括用於按照上述數據包中包含的發送目的地地址決定應該傳送的網絡的路徑表1107、和用於暫時存儲數據包收發部1105接收的數據包的數據包緩衝器1108。此外，在流控制部1106中包括流控制信息存儲器1109，用於存儲應該對上述數據包進行的濾除和頻帶限制的規則。
網絡控制裝置1102包括CPU1110、存儲器1111、進行與數據包傳送處理裝置1101間的數據包傳送的數據包收發部1112。存儲器1111中包括存儲從數據包傳送處理裝置1101送來的通信量信息的通信量信息緩衝器1113、用於根據上述通信量信息存儲由數據包傳送處理裝置1101傳送的數據包的統計值的數據包計數表1114、用於存儲進行上述統計值的判定所需的閾值的閾值表1115、記述了在上述統計信息超過了上述閾值時應該進行的處理的控制策略表1116。
在以上的結構中，數據包傳送處理裝置1101從網絡103、104、105一接收數據包後，生成有關該數據包的通信量信息並交給網絡控制裝置1102，並且，按照路徑表1107的內容，將上述數據包發送給傳送目的地網絡。網絡控制裝置1102一邊統計處理上述通信量信息，一邊檢測非法的通信量，根據需要生成用於進行上述非法通信量的濾除和頻帶限制的設定信息後發送給數據包傳送處理裝置1101，並設定在數據包傳送處理裝置1101內的流控制部1106中。
以下，使用圖12的流程圖說明圖11的網絡控制系統的詳細工作的一例。首先，詳細地說明從網絡103、104、105的某一個向數據包收發部1105送到了數據包1201時的數據包傳送處理裝置1101的處理。
數據包1201到達數據包收發部1105後，開始數據包接收處理(步驟1202)。具體地說，向數據包緩衝器1108中寫入由數據包收發部1105接收到的數據包1201的內容，並利用中斷信號等向CPU1103通知數據包1201的到達。這時，流控制信息存儲器1109中還沒設定中斷或者頻帶限制數據包1201的規則。
接著，CPU1103根據數據包緩衝器1108中存儲的數據包的內容，生成通信量信息(步驟1203)。上述通信量信息的生成方法與圖5的流程圖的步驟503同樣，其內容與圖6中示出的通信量信息505的內容相同。或者，通信量信息1205也可以是僅鏡像了上述數據包的信息。
接著，CPU109通過數據包收發部1105向網絡控制裝置1102發送上述數據包信息，作為數據包信息1205(步驟1204)。這時，流控制信息存儲器1109中還沒設定中斷或者頻帶限制數據包信息1205的規則。
在步驟1204中，集中適當的數據包數的通信量信息後向網絡控制裝置1102發送，這一點也與圖5的流程圖的步驟504同樣。
接著，CPU1103參照路徑表1107，決定數據包緩衝器1108中存儲著的數據包的傳送目的地網絡(步驟1206)。路徑表1107的內容與圖1中示出的實施例1的路徑表113的內容同樣。
最後，將數據包緩衝器1108中存儲著的數據包作為數據包1208，向在步驟1206中決定的傳送目的地網絡發送(步驟1207)。
另一方面，在網絡控制裝置1102中，通過步驟1204的處理接收通信量信息1205後，將數據包收發部1112接收到的通信量信息1205的內容向通信量信息緩衝器1113存儲，並利用中斷信號等向CPU1110通知通信量信息1205的接收(步驟1209)。
向CPU1110通知通信量信息1205的傳送後，CPU1110進行通信量信息1205的分析處理，在檢測出不適當的通信量的情況下，生成用於進行該通信量的中斷或者頻帶限制的流控制設定信息1211，並進行通過數據包收發部1112向數據包傳送處理裝置1101發送的處理(步驟1210)。
收到流控制設定信息1211的數據包傳送處理裝置1101，由CPU1103向流控制設定存儲器1109中寫入流控制設定信息1211的內容(步驟1212)。以後，流控制部1106對流控制設定信息1211中指定的數據包進行中斷和頻帶限制等流控制設定信息1211中指定的控制。
網絡控制裝置1102的通信量信息分析處理(步驟1210)的內容與實施例1中的特定通信量檢測控制部107的通信量信息分析處理(圖5的步驟509)同樣，省略詳細的說明。數據包計數表1113、閾值表1115和控制策略表1116的內容分別與圖1中示出的數據包計數表119、閾值表120和控制策略表121的內容同樣。
以上是本實施例的網絡控制系統的整體流程的說明。
根據本實施例，具有下述這樣的效果，對於具有通過網絡向外部發送有關傳送的通信量的信息等的功能的現有的數據包傳送裝置，僅附加收集了有關上述通信量的信息後進行分析的裝置，就能夠容易地構成能高速地抽出認為是問題通信量的通信量，並且能對該通信量自動進行中斷和頻帶限制等對策的網絡控制系統。
實施例3說明實施例3。圖13是示出了圖2中示出的實施例1中的數據包計數表119的其他實施方式的圖，與數據包計數表119同樣，是用於生成構成通信量信息的各項目的任意組合、進行包含上述項目的組合的數據包數的累計處理的表。
本實施例的情況下，構成上述通信量信息的項目有發送源IP位址(srcip)、接收方IP位址(dst ip)、發送源埠號(src port)、接收方埠號(dst port)4種，從上述4種項目生成任意的n個項目(1≤n≤4)的組合。
再有，在本實施例中將處理對象項目設為上述4種，但也可以按照想檢測的通信量的特徵，進一步添加或者刪除另外的項目。例如，也可以為了抽出有關TCP對話期的確立和切斷處理的通信量，包含TCP報頭中的標誌信息。或者，也可以為了更正確地掌握通信量的特性，包含接在TCP報頭或UDP報頭後面的應用數據的先頭幾個字節。或者，在標記了MPLS標號的情況下，也包含上述MPLS標號的值，對每個LSP進行通信量的分析。或者，在使用L2TP等隧道技術協議時，包含通道標識符，對每個通道進行通過其中的通信量的分析。
在數據包計數表1300中，與組合項目數無關，全部的條目都具有構成上述通信量信息的項目的欄位，上述項目中，若是構成組合的項目，就在上述欄位中存儲上述項目的值，若是除此以外的項目，就存儲具有上述組合的數據包數的計數中出現的值的種類數。因此，在與上述各項目相對應的欄位中具有表示上述欄位中存儲的數值是上述項目的值還是出現種類數的屬性欄位。
例如，在圖13中，在條目號4的條目中出現了20個發送源IP位址是Z、接收方IP位址是Y、接收方埠號是d的數據包，表示上述20個數據包中包含的發送源埠號的種類是8種。
在使用數據包計數表1300的情況下，圖7中示出的數據包計數表更新處理(步驟702)的流程是圖14中示出的流程。以下，使用圖14，關於使用了數據包計數表1300的情況下的步驟702的處理進行說明。
首先，CPU116在步驟1401中進行輔助表1500的初始化處理。
輔助表1500在具有圖15所示的結構的表中由與上述項目的各個組合相對應的條目構成。在一個上述條目中，由關於上述組合中不包含的項目表示是否有新出現的值的新出現標誌、和對上述項目的組合存儲計數數據包數的數據包計數表1300中的條目號的欄位構成。
所述輔助表1500的初始化處理，是對上述的全部條目，將上述新出現標誌的全部值設定為0，將上述條目號的欄位設定為表示無條目號的值的處理。
接著，CPU116根據上述4種項目生成從任意的n個選出的項目組合(步驟1402)。生成的項目組合可以是數學上得到的全部的組合，但也可以以根據處理負荷的減輕而高速化為目的，限定於一部分的組合。
接著，從在步驟1402中生成的項目組合中選擇一個，並決定用於累計包含上述選擇的項目組合的數據包數的數據包計數表1300內的條目(步驟1403)。作為選擇的算法，例如有對上述被選擇的項目組合適用適當的散列函數，將得到的散列值除以條目數的餘數作為條目號的方法等。
在步驟1403中決定了所使用的條目後，確認該條目的現狀的內容(步驟1404)。
若上述條目是未使用的情況，就在上述條目內的各項目中，關於上述組合中包含的項目，將其屬性欄位作為「值」，寫入上述項目的值，關於上述組合中不包含的項目，將其屬性欄位作為「出現種類數」，將其值設為0。然後，將數據包數欄位設為0(步驟1405)。
接著進行輔助表1500的更新處理(步驟1406)。具體地說，在與從上述組合去掉了任意一個項目的組合相對應的輔助表1500中的條目的新出現標誌中，將與上述去掉後的項目相對應的欄位的值設為1。關於從上述組合去掉了任意一個項目後的全部的組合實施該處理。步驟1406的處理的作用在於對某個項目的組合存儲在上述組合中不包含的項目中出現了新的值。
接著，在步驟1403中選擇的條目內的數據包數欄位中加1(步驟1407)，在與輔助表1500中的上述組合相對應的條目的條目號欄位中，存儲在步驟1403中選擇的數據包計數表1300的條目的條目號(步驟1408)。
另一方面，步驟1404的結果，若上述條目在上述選擇的項目組合中已經使用著，則為了仍在上述條目內的數據包數上加1而向步驟1407轉移。由於上述條目在上述已經選擇了的項目組合中已經使用是表示過去出現過的項目的組合，因此，不需要更新輔助表1500的新出現標誌，從而不需要執行步驟1406。
另一方面，步驟1404的結果，在上述條目在另外項目的組合中已經使用的情況下，從上述條目內的數據包數減1(步驟1409)，在結果變為0的情況下，向步驟1405跳轉，否則就向步驟1411跳轉(步驟1410)。這是用於在不同項目的組合將要使用數據包計數表1300內的同一條目的情況下頻繁出現的組合容易留在數據包計數表1300內的處理。
接著，CPU116確認上述條目內的數據包數欄位的值是否超過了規定的閾值(步驟1411)。上述規定的閾值已存儲在閾值表120中。
在步驟1411中，在上述數據包數欄位的值與閾值表120的閾值欄位中定義著的值的某一個一致的情況下，CPU116就判斷為發生了閾值超過，並生成閾值超過信息(步驟1412)。本實施例中的閾值超過信息的內容是從圖8中示出的閾值超過信息除去了表類別801的內容。將生成的閾值超過信息暫時存儲在存儲器117內。
對在步驟1402中生成的項目組合的全部反覆執行從步驟1403到步驟1412的處理(步驟1413)。
最後，參照輔助表1500，更新在數據包計數表1300中的各條目中屬性欄位的值變為「出現種類數」的項目的值(步驟1414)。具體地說，對於用輔助表1500的各條目的條目號欄位表示的數據包計數表1300的條目，將與上述輔助表1500的條目的新出現標誌為1的項目相對應的值增加1。關於輔助表1500的全部條目執行該處理。
以上是本實施例的使用了數據包計數表1300的情況下的步驟702的詳細工作說明。
另外，在使用了本實施例的數據包計數表1300的情況下，將圖7中示出的問題通信量判別處理(步驟704)的流程置換為圖16中示出的流程。以下，使用圖16，關於使用了數據包計數表1300的情況下的步驟704的處理進行說明。
CPU116首先確認在用上述閾值超過信息中的條目號802確定的數據包計數表1300中的條目中包含的項目中的、屬性欄位成為「值」的項目的組合(步驟1601)。
在上述條目中包含的項目中屬性欄位成為「值」的項目的組合是發送源IP位址和接收方埠號的情況下，判斷為上述閾值超過信息所示出的通信量有可能是網絡蠕蟲的擴散通信量，執行用於確認它的步驟1602以後的處理。
感染了網絡蠕蟲的計算機很多情況下對隨機的許多計算機發送用於擴散蠕蟲的通信量，並且，該通信量通常是給特定的埠號。因此，在觀測到許多發送源IP位址和接收方埠號的組合相同的數據包的情況下，可以判定為上述數據包有可能是網絡蠕蟲的擴散通信量。
但是，例如，在特定的2臺計算機間進行了通常的一對一通信的情況下，也同樣地觀測到許多發送源IP位址和接收方埠號的組合相同的數據包。於是，為了區別這樣的正常通信量與網絡蠕蟲的擴散通信量，確認上述條目中示出的接收方IP位址的出現種類數(步驟1602)。
在步驟1602中，在上述出現種類數是與上述閾值相等或相近的值的情況下，意味著上述通信量對不特定多的計算機發送了同一接收方埠號的數據包，判定為上述通信量是網絡蠕蟲擴散通信量的可能性高(步驟1603)。
此外，在步驟1601中，在上述條目中包含的項目中屬性欄位成為「值」的項目的組合是接收方IP位址和接收方埠號的情況下，判斷為上述閾值超過信息表示的通信量有可能是DDoS攻擊通信量，執行用於確認它的步驟1604以後的處理。
在受到DDoS攻擊的計算機中，從許多其他計算機對同一埠號送來通信請求。因此，在觀測到許多接收方IP位址和接收方埠號的組合相同的數據包的情況下，就可以判定為上述數據包是DDoS攻擊通信量的可能性高。
但是，例如，在特定的2臺計算機間進行了通常的一對一通信的情況下，也同樣地觀測到許多接收方IP位址和接收方埠號的組合相同的數據包。於是，為了區別這樣的正常通信量與DDoS攻擊通信量，確認上述條目中示出的接收方IP位址的出現種類數(步驟1604)。
在步驟1604中，在上述出現種類數是與上述閾值相等或相近的值的情況下，意味著上述通信量對不特定多的計算機發送了同一接收方IP位址且同一接收方埠號的數據包，判定為上述通信量是DDoS攻擊通信量的可能性高(步驟1605)。
以上是本實施例的使用了數據包計數表1300的情況下的步驟704的詳細工作說明。
根據本實施例，由於能夠與項目的各個組合的數據包數的計數同時計數組合中不包含的項目的出現種類數，因此，有能夠用更少的CPU負荷高速執行問題通信量的判別的效果。另外，通過能夠高速化基本的問題通信量判別處理，具有也能夠用實用的CPU負荷和處理速度執行對於其他項目的組合的並用了數據包數的計數信息的更高精度的問題通信量判別處理的效果。
例如，在步驟704中、即判定為通信量是DDoS攻擊的可能性高時，通過並用對於其他項目的組合的計數信息，能識別這確實是攻擊還是僅是大量地發生了來自許多計算機的正常的訪問。該情況下，所述其他項目的組合是從成為攻擊對象的計算機發送的反向的通信量，具體地說，發送源IP位址是被判定為攻擊的通信量的接收方IP位址，在發送源埠號成為被判定為上述攻擊的通信量的接收方埠號的2個項目的組合中，有許多接收方IP位址的出現種類數。從數據包計數表1300檢索上述其他組合的計數信息，若其數據包數與DDoS攻擊的判定中利用的項目組合的數據包數在同等以上，則意味著返回了相當數量的響應數據包，可以判斷為不是DDoS攻擊而是正常的訪問集中的可能性高。
再有，在上述說明中示出了在實施例1示出的結構(圖1的結構)中用本實施例的數據包計數表1300置換了數據包計數表119的情況的例子，但在實施例2中示出的結構(圖11)中，將數據包計數表1114置換為本實施例的數據包計數表1300也具有同樣的效果。
以上用實施例進行了說明，但其他的實施方式1中，累計數據包中的任意一個或兩個以上的組合的欄位值相同的數據包的數量的裝置是如下的網絡控制裝置，即，該網絡控制裝置根據欄位的值的組合的散列值求出保持數據包數的累計值的區域，並在其他項目的組合的累計值的保持中已經利用了所得到的區域的情況下，減去其他的項目組合的累計值，僅在累計值等於0時利用於項目組合的數據包數的累計中。
其他的實施方式2中，進行監視的裝置是僅監視按照裝置管理者指定的比例採樣了數據包的網絡控制裝置。
其他的實施方式3中，進行監視的裝置是對具有裝置管理者指定的特徵的數據包全部進行採樣的網絡控制裝置。
其他的實施方式4中，一種網絡控制裝置，具有與多個網絡連接，在網絡之間進行數據包的傳送的單元；進行對數據包的可否傳送和使用網絡頻帶的控制的流控制單元，該網絡控制裝置按照由數據包判別裝置得到的特性變更流控制單元的設定。
其他的實施方式5中，一種網絡控制裝置，具有按照由數據包判別裝置得到的特性，發送用於指示在數據包判別裝置中成為判別對象的數據包的控制方法的流控制信息的單元。
其他的實施方式6中，一種網絡控制系統，其特徵在於，由數據包傳送裝置和上述網絡控制裝置構成，所述數據包傳送裝置具有與多個網絡連接，在上述網絡之間進行數據包的傳送的單元；發送上述數據包的監視信息的單元；進行對上述數據包的可否傳送和使用網絡頻帶的控制的流控制單元；接收對上述流控制裝置的設定信息的單元，上述網絡控制裝置從上述數據包傳送裝置接收上述監視信息，對上述數據包傳送裝置發送流控制信息。
其他的實施方式7中，一種網絡控制方法，監視在連接的網絡上流過的數據包，對由監視器得到的數據包中的包含任意一個或兩個以上的欄位的第一組合的欄位的值相同的數據包的數量進行累計；在所累計的數據包的數量超過了指定的閾值時，根據與上述第一組合不同的包含任意一個或兩個以上的欄位的第二組合的欄位的值，對超過了上述指定的閾值的數量的數據包的特性進行推斷。
權利要求
1.一種網絡控制裝置，控制收發數據包的網絡，其特徵在於，具有第一計數部，對數據包的流信息中包含的多個項目中的、任意多個項目的第一項目組一致的數據包進行計數；第二計數部，對上述流信息中的、除了上述第一項目組以外的項目一致的數據包進行計數；特定通信量檢測部，在上述第一計數部的計數超過了規定值時，利用該第一計數部的計數和上述第二計數部的計數來判定異常種類。
2.如權利要求1所述的網絡控制裝置，其特徵在於，具有數據包接收部，從線路接收數據包；流信息取得部，從在上述數據包接收部中接收到的數據包取得流信息。
3.如權利要求1所述的網絡控制裝置，其特徵在於，上述流信息包括發送源IP位址、接收方IP位址、發送源埠號和接收方埠號中的至少一個項目。
4.如權利要求1所述的網絡控制裝置，其特徵在於，在上述第一計數部中計數的包括發送源地址的項目和接收方埠號的項目的上述第一項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部判定在上述第二計數部中計數的包括發送源地址的項目和發送源埠號的項目的第二項目組一致的數據包的計數是否超過了規定值。
5.如權利要求4所述的網絡控制裝置，其特徵在於，在判定為上述第二項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部將該數據包的異常種類判定為網絡蠕蟲。
6.如權利要求1所述的網絡控制裝置，其特徵在於，在上述第一計數部中計數的包括接收方地址的項目和接收方埠號的上述第一項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部判定在上述第二計數部中計數的包括發送源地址的項目和發送源埠號的項目的第二項目組一致的數據包的計數是否超過了規定值。
7.如權利要求6所述的網絡控制裝置，其特徵在於，在判定為上述第二項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部將該數據包的異常種類判定為DDoS攻擊。
8.如權利要求1所述的網絡控制裝置，其特徵在於，在上述第一計數部中計數的包括發送源地址的項目和接收方埠號的項目的上述第一項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部判定在上述第二計數部中計數的接收方地址一致的數據包的計數是否滿足規定條件。
9.如權利要求8所述的網絡控制裝置，其特徵在於，在判定為上述第二計數部中計數的接收方地址一致的數據包的計數滿足上述規定條件時，上述特定通信量檢測部將該數據包的異常種類判定為網絡蠕蟲。
10.如權利要求1所述的網絡控制裝置，其特徵在於，在上述第一計數部中計數的包括接收方地址的項目和接收方埠號的項目的上述第一項目組一致的數據包的計數超過了規定值時，上述特定通信量檢測部判定在上述第二計數部中計數的發送源地址的計數是否滿足規定條件。
11.如權利要求10所述的網絡控制裝置，其特徵在於，在判定為上述第二計數部中計數的發送源地址一致的數據包的計數滿足上述規定條件時，上述特定通信量檢測部將該數據包的異常種類判定為DDoS。
12.一種網絡控制裝置，其特徵在於，具有與一個以上的網絡連接的連接單元；監視上述網絡上流過的數據包的單元；對由上述進行監視的單元得到的數據包中的包含任意一個或兩個以上的欄位的第一組合的欄位的值相同的數據包的數量進行累計的單元；在累計後的數據包數超過了指定的閾值時，根據與上述第一組合不同的包含任意一個或兩個以上的欄位的第二組合的欄位的值，對超過了上述指定閾值的數量的數據包的特性進行推斷的單元。
13.如權利要求12所述的網絡控制裝置，其特徵在於，具有在上述第一組合的欄位的值相同的數據包中，對該第一組合中不包含的欄位的值的出現數的出現數進行累計的累計單元，上述數據包推斷單元根據上述第二組合的欄位的值和在上述出現數累計單元中累計的出現數的某一個或兩個，推斷上述數據包的特性。
14.如權利要求12所述的網絡控制裝置，其特徵在於，上述第一組合累計單元從上述欄位的值的組合的散列值求保持上述數據包數的累計值的區域，在得到的上述區域在其他項目的組合的累計值的保持中已經被利用了的情況下，減去上述其他的項目組合的累計值，僅在上述累計值變為0時，在上述項目組合的數據包數的累計中利用。
15.如權利要求12所述的網絡控制裝置，其特徵在於，上述監視單元監視採樣了的數據包。
16.如權利要求12所述的網絡控制裝置，其特徵在於，包括與多個網絡連接，在上述網絡之間進行數據包的傳送的單元；進行對上述數據包的可否傳送和使用網絡頻帶的控制的流控制單元，上述流控制單元按照由上述數據包判別單元得到的特性變更設定。
17.如權利要求12所述的網絡控制裝置，其特徵在於，包括按照由上述數據包判別單元得到的特性，發送用於指示在上述數據包判別單元中成為判別對象的數據包的控制方法的流控制信息的單元。
18.一種網絡控制系統，其特徵在於，由權利要求17所述的網絡控制裝置和數據包傳送裝置構成，所述數據包傳送裝置具有與多個網絡連接，在上述網絡之間進行數據包的傳送的單元；發送上述數據包的監視信息的單元；進行對上述數據包的可否傳送和使用網絡頻帶的控制的流控制單元；接收對上述流控制裝置的設定信息的單元，上述網絡控制裝置從上述數據包傳送裝置接收上述監視信息，對上述數據包傳送裝置發送流控制信息。
19.一種網絡控制方法，控制網絡，其特徵在於，監視在連接的網絡上流過的數據包，對由監視器得到的數據包中的包含任意一個或兩個以上的欄位的第一組合的欄位的值相同的數據包的數量進行累計；在所累計的數據包的數量超過了指定的閾值時，根據與上述第一組合不同的包含任意一個或兩個以上的欄位的第二組合的欄位的值，對超過了上述指定的閾值的數量的數據包的特性進行推斷。
20.如權利要求19所述的網絡控制方法，其特徵在於，在上述第一組合的欄位的值相同的數據包中，累計該第一組合中不包含的欄位的值的出現數，根據上述第二組合的欄位的值和上述累計後的出現數，推斷超過了上述指定的閾值的數據包的特性。
全文摘要
本發明研究了一種能在網絡中高速地抽出非法的通信量後判定其特性的技術。公開了如下的技術，即，設置了對每個進行傳送的數據包的報頭部分中所包含的項目的任意組合累計數據包數的單元、和判定該單元的累計值是否超過了規定的閾值的單元，在數據包數超過了閾值時，根據項目的組合和與項目的組合不同的組合的累計值，判定進行傳送的數據包的類別。
文檔編號H04L12/56GK1845509SQ20061005505
公開日2006年10月11日 申請日期2006年2月28日 優先權日2005年4月6日
發明者渡邊義則, 磯部隆史, 樋口秀光 申請人:阿拉克斯拉網絡株式會社