專利名稱:網(wǎng)絡(luò)控制裝置及其控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)控制裝置和其控制方法���,特別涉及與異常業(yè)務(wù)的檢測有關(guān)的網(wǎng)絡(luò)控制裝置和其控制方法。
背景技術(shù):
包含電話及廣播的各種各樣的服務(wù)開始通過IP網(wǎng)提供�,流動在IP網(wǎng)上的業(yè)務(wù)的質(zhì)量管理技術(shù)在迅速地發(fā)展。關(guān)于業(yè)務(wù)的檢測技術(shù)或監(jiān)視技術(shù)���,即使是IETF等標(biāo)準(zhǔn)化組織也在推進(jìn)標(biāo)準(zhǔn)化�����。而使用業(yè)務(wù)分析技術(shù)的通信質(zhì)量控制功能的產(chǎn)品化也在進(jìn)行����。
首先�,論述由IETF等推進(jìn)標(biāo)準(zhǔn)化的被稱為sFlow的業(yè)務(wù)監(jiān)視方法(P.Phaal、其他2名、“A Method for Monitoring Traffic inSwitched and Routed Networks”��、[online]�、2001年9月、IETF�、[平成17年4月19日檢索]、因特網(wǎng)<URLhttp//www.ietf.org/rfc/rfc3176.txt>�����。以下���,稱為文獻(xiàn)1)�。在sFlow中�����,路由器(或交換機(jī)以下相同)進(jìn)行傳送中的數(shù)據(jù)包(業(yè)務(wù))的采樣處理和已被采樣的數(shù)據(jù)包的截取��,形成所對應(yīng)的sFlow數(shù)據(jù)包����。從路由器輸出的sFlow數(shù)據(jù)包輸出到被稱為收集器(collector)或分析器的業(yè)務(wù)解析裝置,業(yè)務(wù)解析裝置進(jìn)行這些sFlow數(shù)據(jù)包的累計和統(tǒng)計解析及向管理者顯示結(jié)果��。這種sFlow技術(shù)以數(shù)據(jù)包的測量技術(shù)為中心,主要記載路由器輸出到業(yè)務(wù)解析裝置的sFlow數(shù)據(jù)包的信息要素��。分析功能委托給各銷售商的業(yè)務(wù)解析裝置的安裝中(也有顯示主體的產(chǎn)品)��,在sFlow技術(shù)中沒有路由器裝置內(nèi)部具備分析功能的技術(shù)�����。
接著��,作為在路由器(或交換機(jī)以下相同)內(nèi)具備了業(yè)務(wù)分析技術(shù)的產(chǎn)品的例子���,論述被稱為CLEAR-Flow的業(yè)務(wù)監(jiān)視方法(“WHITE PAPER CLEAR-Flow”��、[online]、2004年�����、[平成18年2月19日檢索]���、因特網(wǎng)<URLhttp//www.extremenetworks.co.jp/download/Whitepaper/CLEAR-Flow_WP.pdf>��。以下��,稱為文獻(xiàn)2)��。CLEAR-Flow的動作流由‘監(jiān)視’����、‘解析’、‘對應(yīng)’三級構(gòu)成�。業(yè)務(wù)分析技術(shù)相當(dāng)于路由器內(nèi)進(jìn)行的‘監(jiān)視’級。在‘監(jiān)視’級中將焦點(diǎn)放在與監(jiān)視基準(zhǔn)一致的數(shù)據(jù)包�,發(fā)現(xiàn)一致的數(shù)據(jù)包時(步驟1-過濾)時使用事件計數(shù)器跟蹤發(fā)生的狀況(步驟2-計數(shù)),在超過預(yù)先設(shè)定的閾值時執(zhí)行所設(shè)定的行動(步驟3-閾值)����。‘監(jiān)視’級的結(jié)果是�����,在檢測出該業(yè)務(wù)時�,移至‘解析’級。在‘解析’級中����,進(jìn)行需要更詳細(xì)的解析的情況下的動作,路由器將該業(yè)務(wù)數(shù)據(jù)包數(shù)據(jù)傳送到具備更高級的解析功能的外部裝置����。作為該業(yè)務(wù)數(shù)據(jù)的傳送��,有鏡像方式����、隧道方式���、sFlow方式這三種方式�����。外部裝置使用這些信息進(jìn)行更高級的業(yè)務(wù)解析�。CLEAR-Flow需要使用者預(yù)先指定將對于監(jiān)視對象的監(jiān)視基準(zhǔn)指定為被裝入交換機(jī)的CLEAR-Flow分類����。例如,如非專利文獻(xiàn)2中記載的那樣�����,進(jìn)行對傳送到特定端口的SYN數(shù)據(jù)包的個數(shù)計數(shù)的設(shè)定�。接受這種設(shè)定�����,由路由器·交換機(jī)進(jìn)行‘監(jiān)視’,檢測的結(jié)果是�����,輸送到外部裝置的業(yè)務(wù)數(shù)據(jù)變成與預(yù)先設(shè)定的檢測條件一致的業(yè)務(wù)數(shù)據(jù)�。
再有,雖然未公開��,但作為與本發(fā)明相關(guān)的申請��,有日本特愿2005-109744號�����。
發(fā)明內(nèi)容
在文獻(xiàn)1中記載的sFlow技術(shù)中��,路由器進(jìn)行傳送中的業(yè)務(wù)(數(shù)據(jù)包)的采樣處理和采樣后的數(shù)據(jù)包的截取并生成業(yè)務(wù)數(shù)據(jù)包���。從路由器輸出的業(yè)務(wù)數(shù)據(jù)包是采樣后的各個數(shù)據(jù)包的截取信息�。路由器裝置內(nèi)部不進(jìn)行以信息的累計或數(shù)據(jù)包的報頭內(nèi)信息為對象的統(tǒng)計解析處理����。因此�,在檢測大容量的業(yè)務(wù)中隱藏的蠕蟲�����、DDoS(Distributed Denial Of Service分布式拒絕服務(wù))等的特征性業(yè)務(wù)的現(xiàn)象的情況下���,存在從路由器輸出的業(yè)務(wù)數(shù)據(jù)包也成比例地變?yōu)榇笕萘?��,路由器的sFlow數(shù)據(jù)包生成負(fù)荷和朝向業(yè)務(wù)解析裝置的傳送負(fù)荷以及對網(wǎng)絡(luò)的頻帶的負(fù)荷進(jìn)一步增大的課題。
在文獻(xiàn)2中記載的CLEAR-Flow技術(shù)中����,在路由器內(nèi)具備‘監(jiān)視’處理功能,進(jìn)行對象業(yè)務(wù)的提煉處理��。需要使用者預(yù)先將要檢測的業(yè)務(wù)對象指定為CLEAR-Flow分類��,從與設(shè)定的分類條件一致的業(yè)務(wù)內(nèi)��,檢測明顯的業(yè)務(wù)作為該業(yè)務(wù)(步驟1-過濾)����。不具備本發(fā)明的業(yè)務(wù)統(tǒng)計分析處理部13所執(zhí)行的提取業(yè)務(wù)整體之中的特征業(yè)務(wù)的功能����、及匯集微小業(yè)務(wù)并使特征業(yè)務(wù)顯露的功能����。
此外����,路由器只在檢測出該業(yè)務(wù)的情況下進(jìn)行傳送(‘解析’級),不必始終向業(yè)務(wù)解析裝置傳送���。由此�,要傳送的該業(yè)務(wù)信息的生成負(fù)荷和朝向業(yè)務(wù)解析裝置的傳送負(fù)荷�、以及對網(wǎng)絡(luò)的頻帶的負(fù)荷減小。但是��,傳送的該業(yè)務(wù)信息是各個數(shù)據(jù)包的副本�,所以仍然存在傳送時的傳送量大的課題。在CLEAR-Flow技術(shù)中���,業(yè)務(wù)解析裝置具備有匯集成特征信息的功能����。
本發(fā)明的目的是��,解決非專利文獻(xiàn)1及非專利文獻(xiàn)2的課題,提供一種網(wǎng)絡(luò)控制裝置��,可以用網(wǎng)絡(luò)控制裝置(路由器或交換機(jī))進(jìn)行業(yè)務(wù)分析�����,匯集成特征信息����,并降低傳送負(fù)荷、成本�。
為了實(shí)現(xiàn)上述目的,本發(fā)明采用以下結(jié)構(gòu)在網(wǎng)絡(luò)控制裝置(路由器或交換機(jī))中設(shè)置業(yè)務(wù)統(tǒng)計分析處理部���,用該業(yè)務(wù)統(tǒng)計分析處理部13監(jiān)視特征性的業(yè)務(wù)�����。該業(yè)務(wù)統(tǒng)計分析處理部檢測出特征性的業(yè)務(wù)時��,將特征性的業(yè)務(wù)的特征要素或流量(時間間隔及在其間傳送的業(yè)務(wù)量)的信息裝入數(shù)據(jù)包��,將該匯集信息傳送到業(yè)務(wù)解析裝置�����。此外�,采用了以下結(jié)構(gòu)網(wǎng)絡(luò)控制裝置的進(jìn)行業(yè)務(wù)統(tǒng)計分析處理的分析范圍(以數(shù)據(jù)包的哪個信息要素為對象進(jìn)行分析等)的設(shè)定�����,可以用控制信息內(nèi)的參數(shù)從上級裝置(業(yè)務(wù)解析裝置等)進(jìn)行變更��。
圖1是說明業(yè)務(wù)的監(jiān)視系統(tǒng)結(jié)構(gòu)的方框圖�。
圖2是網(wǎng)絡(luò)控制裝置的方框圖。
圖3是業(yè)務(wù)解析裝置的方框圖��。
圖4是說明數(shù)據(jù)包計數(shù)表的圖����。
圖5是說明閾值表的圖。
圖6是說明異常檢測信息表的圖�。
圖7是說明檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包的圖。
圖8是業(yè)務(wù)分析處理部的處理流程圖�。
圖9是業(yè)務(wù)分析處理部的異常判定處理流程圖。
圖10是說明業(yè)務(wù)解析裝置發(fā)送到網(wǎng)絡(luò)控制裝置的控制信息數(shù)據(jù)包的圖�。
圖11是說明第2實(shí)施例的檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包的圖。
圖12是說明檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包的異常流檢測信息的結(jié)構(gòu)例的圖����。
圖13是說明第3實(shí)施例的包含了具有認(rèn)證功能的網(wǎng)絡(luò)解析裝置的業(yè)務(wù)的監(jiān)視系統(tǒng)結(jié)構(gòu)的方框圖�����。
圖14是表示包含了異常流檢測信息的認(rèn)證數(shù)據(jù)包的結(jié)構(gòu)例的圖����。
圖15是表示數(shù)據(jù)包計數(shù)表的另一例子的圖����。
圖16是表示檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包的異常流檢測信息中的項域(item field)結(jié)構(gòu)例的圖。
具體實(shí)施例方式
以下����,關(guān)于本發(fā)明的實(shí)施方式,采用實(shí)施例����,一邊參照附圖一邊進(jìn)行說明。
<實(shí)施例1>
使用圖1至圖10�����、以及圖12�����、圖15、圖16來說明本發(fā)明的第1實(shí)施例���。這里���,圖1是說明業(yè)務(wù)的監(jiān)視系統(tǒng)結(jié)構(gòu)的方框圖�。圖2是網(wǎng)絡(luò)控制裝置的方框圖。圖3是業(yè)務(wù)解析裝置的方框圖�。圖4和圖5是說明數(shù)據(jù)包計數(shù)表的圖。圖5是說明閾值表的圖��。圖6是說明異常檢測信息表的圖�。圖7、圖12��、圖16是說明檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包的圖����。圖8是業(yè)務(wù)分析處理部的處理流程圖。圖9是業(yè)務(wù)分析處理部的異常判定處理流程圖����。圖10是說明業(yè)務(wù)解析裝置對網(wǎng)絡(luò)控制裝置發(fā)送的控制信息數(shù)據(jù)包的圖�����。
在圖1中�,業(yè)務(wù)的監(jiān)視系統(tǒng)100包括連接到多個網(wǎng)絡(luò)1-11��、1-12�����、…��、1-1n的網(wǎng)絡(luò)控制裝置10-1�;連接到多個網(wǎng)絡(luò)1-k1、1-k2�����、…�����、1-km的網(wǎng)絡(luò)控制裝置10-k��;以及業(yè)務(wù)解析裝置20���。網(wǎng)絡(luò)控制裝置10對業(yè)務(wù)解析裝置20輸送流統(tǒng)計信息��。相反地�,業(yè)務(wù)解析裝置20對網(wǎng)絡(luò)控制裝置10輸送控制信息(參數(shù)等)。
這里���,流統(tǒng)計信息中��,包含網(wǎng)絡(luò)控制裝置10檢測出的異常信息�����。而在控制信息中,包含業(yè)務(wù)解析裝置20基于異常信息所判定的計數(shù)器的復(fù)位�、閾值級別的變更(閾值的增加指示)。此外����,相反地在異常業(yè)務(wù)少時,包含閾值的減少指示�。通過這樣構(gòu)成,由網(wǎng)絡(luò)控制裝置10對異常業(yè)務(wù)進(jìn)行分析/檢測����,所以可以根據(jù)異常業(yè)務(wù)的狀況變更閾值等級��。其結(jié)果是����,可以形成與異常業(yè)務(wù)的狀況對應(yīng)的靈敏度���。再有�,業(yè)務(wù)解析裝置20和網(wǎng)絡(luò)控制裝置10-k之間的流統(tǒng)計信息���、控制信息的箭頭��,因簡化圖示而省略了�。
圖2所示的網(wǎng)絡(luò)控制裝置10包括數(shù)據(jù)包傳送處理部11���;統(tǒng)計信息取得生成部12��;以及業(yè)務(wù)統(tǒng)計分析處理部13����。而統(tǒng)計信息取得生成部12包括采樣統(tǒng)計處理部121和業(yè)務(wù)異常檢測信息數(shù)據(jù)包生成部122。
通常數(shù)據(jù)包由數(shù)據(jù)包傳送處理部11傳送到傳送目的地。此外�����,通常數(shù)據(jù)包從數(shù)據(jù)包傳送處理部11向采樣統(tǒng)計處理部121進(jìn)行副本傳送���。采樣統(tǒng)計處理部121按預(yù)定的比例進(jìn)行采樣,將包含作為采樣對象的數(shù)據(jù)包的報頭的N字節(jié)截取���。采樣統(tǒng)計處理部121將所截取的數(shù)據(jù)包的一部分重疊后形成有效負(fù)荷中所存儲的數(shù)據(jù)包(sFlow數(shù)據(jù)包)���,作為統(tǒng)計信息數(shù)據(jù)包,經(jīng)由數(shù)據(jù)包傳送處理部11�����,傳送到業(yè)務(wù)解析裝置20�。
此外���,采樣統(tǒng)計處理部121將作為采樣對象的數(shù)據(jù)包傳送到業(yè)務(wù)統(tǒng)計分析處理部13�����。業(yè)務(wù)統(tǒng)計分析處理部13通過數(shù)據(jù)包傳送處理部11預(yù)先獲取來自業(yè)務(wù)解析裝置20的控制信息數(shù)據(jù)包��,并且閾值被設(shè)定����。業(yè)務(wù)統(tǒng)計分析處理部13使用該閾值檢測業(yè)務(wù)異常。檢測出業(yè)務(wù)異常的業(yè)務(wù)統(tǒng)計分析處理部13對業(yè)務(wù)異常檢測信息數(shù)據(jù)包生成部122傳送異常檢測信息���。業(yè)務(wù)異常檢測信息數(shù)據(jù)包生成部122根據(jù)異常檢測信息��,生成異常檢測信息數(shù)據(jù)包����,并傳送到采樣統(tǒng)計處理部121��。接收了異常檢測信息數(shù)據(jù)包的采樣統(tǒng)計處理部121在sFlow數(shù)據(jù)包后附加異常流檢測信息�,作為統(tǒng)計信息數(shù)據(jù)包,經(jīng)由數(shù)據(jù)包傳送處理部11�����,傳送到業(yè)務(wù)解析裝置20�����。
本實(shí)施例的網(wǎng)絡(luò)控制裝置10�,可以從外部改變閾值,所以可以形成能夠改變控制參數(shù)的、可以檢測業(yè)務(wù)異常的網(wǎng)絡(luò)控制裝置�。
圖3所示的業(yè)務(wù)解析裝置20包括數(shù)據(jù)包傳送處理部21;統(tǒng)計處理部22�����;分析處理部23���;以及控制信息數(shù)據(jù)包生成部24����。從網(wǎng)絡(luò)控制裝置10傳送來的統(tǒng)計信息數(shù)據(jù)包�����,通過數(shù)據(jù)包傳送處理部21被傳送到統(tǒng)計處理部22���,接收統(tǒng)計處理��。統(tǒng)計處理部22將統(tǒng)計處理結(jié)果傳送到分析處理部23���。分析處理部23使用統(tǒng)計處理結(jié)果進(jìn)行分析處理�����。分析處理部23根據(jù)分析處理結(jié)果,將檢測出業(yè)務(wù)異常的網(wǎng)絡(luò)控制裝置10的后述的數(shù)據(jù)包計數(shù)表的計數(shù)值復(fù)位�����,并使計數(shù)值的閾值增加�。具體地說,使控制信息數(shù)據(jù)包生成部24生成對計數(shù)值的復(fù)位和閾值的變更進(jìn)行控制的數(shù)據(jù)包��,將其通過數(shù)據(jù)包傳送處理部21向網(wǎng)絡(luò)控制裝置10傳送����。
圖4所示的數(shù)據(jù)包計數(shù)表200是網(wǎng)絡(luò)控制裝置10的業(yè)務(wù)統(tǒng)計分析處理部13中保持的表。數(shù)據(jù)包計數(shù)表200包括項目數(shù)1表201�����;項目數(shù)2表202����;項目數(shù)3表203;以及項目數(shù)4表204��。項目數(shù)1表203與項目1的種類和值相對應(yīng)��,保持業(yè)務(wù)統(tǒng)計分析處理部13已計數(shù)的數(shù)據(jù)包數(shù)。這里�,src ip是source ip,意味著發(fā)送方的IP地址���。而dst port是destination port�,意味著發(fā)送目的地的端口號�。
項目數(shù)2表202按項目1的種類和值及項目2的種類和值的“與”條件對數(shù)據(jù)包數(shù)進(jìn)行計數(shù)。項目數(shù)3表203和項目數(shù)4表204都按項目數(shù)3或項目數(shù)4的“與”條件對數(shù)據(jù)包數(shù)進(jìn)行計數(shù)�。數(shù)據(jù)包計數(shù)表的數(shù)據(jù)包數(shù)按預(yù)定的間隔進(jìn)行復(fù)位。此外��,復(fù)位也可以根據(jù)業(yè)務(wù)解析裝置20發(fā)送的控制信息來實(shí)施�����。
數(shù)據(jù)包計數(shù)表的項目欄從數(shù)據(jù)包的信息中選擇����。作為信息的例子,有包含在IP報頭���、TCP報頭���、UDP報頭����、MPLS報頭�、MAC報頭等的報頭中的信息或有效負(fù)荷數(shù)據(jù)的散列值等����。在這種意義上,數(shù)據(jù)包計數(shù)表根據(jù)數(shù)據(jù)包的報頭信息對數(shù)據(jù)包的到達(dá)數(shù)進(jìn)行計數(shù)�����。
圖15的數(shù)據(jù)包計數(shù)表1500是圖4所示的數(shù)據(jù)包計數(shù)表200的其他實(shí)施方式����。
在本實(shí)施例,識別業(yè)務(wù)的項目為發(fā)送方IP地址(src ip)�、目的地IP地址(dst ip)、發(fā)送方端口號(src port)���、目的地端口號(dst port)四種�����,由所述四種項目生成任意的n項目(1≤n≤4)的組合��。所述項目的種類示于項目域1501中�。
再有,在本實(shí)施例�����,將處理對象項目作為所述四種�����,但也可以根據(jù)要檢測的業(yè)務(wù)的特性而進(jìn)一步附加其他的項目�,或進(jìn)行刪除。例如����,為了提取與TCP通話的確立、截斷處理相關(guān)聯(lián)的業(yè)務(wù)�����,也可以包含TCP報頭中的標(biāo)志信息�。或者���,為了更正確地掌握業(yè)務(wù)的特性�,也可以包含接續(xù)在TCP報頭或UDP報頭之后的、應(yīng)用數(shù)據(jù)的開頭幾個字節(jié)部分�����?;蛘?�,在附加有MPLS標(biāo)記的情況下��,也可以還包含所述MPLS標(biāo)記的值��,對每個LSP進(jìn)行業(yè)務(wù)的分析�。或者�����,在使用L2TP等隧道協(xié)議時�����,也可以包含隧道識別符���,對每個隧道進(jìn)行通過其中的業(yè)務(wù)的分析���。
在數(shù)據(jù)包計數(shù)表1500的值域1503中���,如果是作為所述組合的構(gòu)成要素的項目,則存儲有所述項目的值���,如果不是所述組合的構(gòu)成要素的項目���,則存儲有在具有所述組合的數(shù)據(jù)包的計數(shù)中出現(xiàn)的所述項目的值的種類數(shù)。表示在值域1503中存儲的數(shù)值是值還是出現(xiàn)種類數(shù)的信息存儲在屬性域1502中���。
例如����,圖15中條目號4的條目中����,表示發(fā)送方IP地址為Z、目的地IP地址為Y���、目的地端口號為d的數(shù)據(jù)包出現(xiàn)20個��,并表示所述20個數(shù)據(jù)包中包含的發(fā)送方端口號的種類為8種�����。
而且�,數(shù)據(jù)包計數(shù)表1500的各條目具有用于對每個所述條目計數(shù)數(shù)據(jù)包數(shù)的數(shù)據(jù)包數(shù)域1504、用于對所述條目中作為計數(shù)對象的數(shù)據(jù)包長度進(jìn)行累計的累計八位數(shù)域1505�����、保持將所述條目中開始了數(shù)據(jù)包數(shù)的計數(shù)的時刻的計數(shù)開始時刻域1506���。
與數(shù)據(jù)包計數(shù)表200的不同在于,在對著眼于某個項目的組合的數(shù)據(jù)包數(shù)進(jìn)行計數(shù)時�����,對于未包含在所述項目的組合中的項目是否出現(xiàn)了幾個不同的值同時進(jìn)行計數(shù)�。
圖5所示的閾值表,是保持在網(wǎng)絡(luò)控制裝置10的業(yè)務(wù)統(tǒng)計分析處理部13中的表����。閾值表30包括流類別31;檢測等級32��;以及閾值33����。流類別31具體地說����,是蠕蟲��、DDoS等業(yè)務(wù)異常�����。這里����,對于流X的數(shù)據(jù)包,在超過500并檢測出時��,判定為檢測等級1���,超過1000并檢測出時��,判定為檢測等級2����。再有,這些閾值根據(jù)來自業(yè)務(wù)解析裝置20的控制信息被重寫���。
圖6所示的異常檢測信息表是網(wǎng)絡(luò)控制裝置10的業(yè)務(wù)統(tǒng)計分析處理部13所生成�,并被傳送到業(yè)務(wù)異常檢測信息數(shù)據(jù)包生成部122的表��。異常檢測信息表80是將流構(gòu)成要素串行連接的表����。具體地說�����,具有檢測出的流的DDoS�����、蠕蟲等的流類別�、作為檢測出的流的可疑度的檢測等級���、作為TCP/IP報頭的信息的發(fā)送方·目的地地址�����、發(fā)送方·目的地名端口���、層4的協(xié)議類別����、作為網(wǎng)絡(luò)控制裝置的網(wǎng)絡(luò)接口信息的接口���。另外�,也可以加入層2或應(yīng)用的信息����。
檢測出異常流的流統(tǒng)計信息的數(shù)據(jù)包(圖7)是網(wǎng)絡(luò)控制裝置10的采樣統(tǒng)計處理部121所生成的數(shù)據(jù)包。流信息數(shù)據(jù)包40包括MAC報頭41����、IP報頭42、UDP報頭43�����、流信息44����、以及異常流檢測信息45。MAC報頭41、IP報頭42����、UDP報頭43、以及流信息44所構(gòu)成的數(shù)據(jù)包是sFlow的數(shù)據(jù)包��。但是����,在流信息數(shù)據(jù)包40中被附加異常流檢測信息45,意味著網(wǎng)絡(luò)控制裝置10檢測出業(yè)務(wù)的異常��。
用圖12和圖16說明異常流檢測信息45的構(gòu)成例子�����。
異常流檢測信息45包括流類別1201�、采樣率1202、閾值1203���、累計八位數(shù)1204、累計時間1205��、項數(shù)1206��、多個項1207。流類別1201表示被檢測出的流的類別�。在流類別的值中,例如加入DDoS�、蠕蟲等的類別信息。采樣率1202表示流檢測時的數(shù)據(jù)包采樣率���,存儲有采樣統(tǒng)計處理部121保持的采樣率��。閾值1203表示以通知本消息為契機(jī)的數(shù)據(jù)包計數(shù)數(shù)的閾值�����,存儲有閾值表30的閾值33的某一個值�。累計八位數(shù)1204表示在數(shù)據(jù)包計數(shù)數(shù)超過閾值為止之間所接收的數(shù)據(jù)包長度的總八位數(shù)����,存儲有數(shù)據(jù)包數(shù)域1504超過了閾值的數(shù)據(jù)包計數(shù)表1500的條目的累計八位數(shù)域1505的值。
條目累計時間1205表示從對由本消息通知的流的數(shù)據(jù)包計數(shù)數(shù)開始計數(shù)至超過閾值為止的時間���,存儲有數(shù)據(jù)包數(shù)域1504超過了閾值的數(shù)據(jù)包計數(shù)表1500的條目的計數(shù)開始時刻1506的值和當(dāng)前時刻之差��。項數(shù)1206表示本消息中包含的項1207的數(shù)�。在數(shù)據(jù)包計數(shù)表1500的例子中一個條目由四個項目構(gòu)成�,所以項數(shù)1206的值為4���。項1207表示數(shù)據(jù)包數(shù)1504超過了閾值的數(shù)據(jù)包計數(shù)表1500的條目中包含的各項目的內(nèi)容。
項1207為圖16所示的結(jié)構(gòu)��。項目1601表示項的種類���,具體地說���,存儲有數(shù)據(jù)包計數(shù)表1500的項目域1501中所示的src ip或dstip等識別信息。屬性1602存儲有數(shù)據(jù)包計數(shù)表1500的屬性域1502中所示的‘值’或‘出現(xiàn)種類數(shù)’�����。值1603存儲有數(shù)據(jù)包計數(shù)表1500的值域1503中所示的值�。
通過網(wǎng)絡(luò)控制裝置10在檢測出異常流時將包含上述那樣的信息的數(shù)據(jù)包發(fā)送到業(yè)務(wù)解析裝置20,業(yè)務(wù)解析裝置20可從所述信息中以很少的處理負(fù)荷在短時間內(nèi)掌握異常流的種類及規(guī)模����、持續(xù)時間等。
下面�����,使用圖8�,說明網(wǎng)絡(luò)控制裝置10的業(yè)務(wù)統(tǒng)計分析處理部13的動作。業(yè)務(wù)統(tǒng)計分析處理部13接收采樣統(tǒng)計處理部121所采樣的數(shù)據(jù)包(S501)����。業(yè)務(wù)統(tǒng)計分析處理部13使用數(shù)據(jù)包的報頭信息,將圖4所示的數(shù)據(jù)包計數(shù)表200的相應(yīng)條目(一般存在多個)的數(shù)據(jù)包數(shù)增加(S502)�。在不存在相應(yīng)條目的情況下,形成新的條目�。此時,可事先設(shè)定作為新條目的形成對象的所述報頭信息中的項目的組合��,而且���,還可通過控制信息數(shù)據(jù)包50的控制信息54進(jìn)行變更�����。接著��,參照項目2表202和圖5所示的閾值表30����,在表示可疑流的項目的組合中調(diào)查有無超過了檢測等級1的閾值的條目(S503)�����。在沒有的情況下(“否”),返回到步驟501��,在有的情況下(“是”)轉(zhuǎn)移到異常判定�����。在異常判定(S504)���,判斷為異常的情況下(“是”)�����,再次參照閾值表�����,形成圖6所示的異常檢測信息表80(S505)�����。再有���,在判斷為沒有異常的情況下(“否”),返回到步驟501��。業(yè)務(wù)統(tǒng)計分析處理部13將異常檢測信息表80傳送到業(yè)務(wù)異常檢測信息生成部122(S506)。
使用圖9�����,作為網(wǎng)絡(luò)蠕蟲和DDoS的檢測流程更詳細(xì)地說明圖8的步驟503和步驟504�。
首先����,對項目數(shù)2表202中超過了閾值的項目的種類和值的組合進(jìn)行判斷(S1001)。在“scr ip”和“dst port”或“dst ip”和“dst port”以外的組合的情況下�����,結(jié)束檢測流程��。
項目數(shù)2表202中超過了閾值的種類的項目和值的組合為“scrip”和“dst port”時�����,對項目數(shù)3表進(jìn)行檢索(S1002)����。在項目數(shù)3表中,確認(rèn)是否存在“scr ip”和“dst port”相同���,表示是特定的主機(jī)間的通信的條目(S1003)��。這里����,作為表示是特定的主機(jī)間的通信的項目,采用“dst ip”��。如果該結(jié)果為“是”�,則判斷為不是蠕蟲并結(jié)束處理。另一方面�,如果結(jié)果為“否”,則判斷為蠕蟲(S1004)����。
另一方面,項目數(shù)2表202中超過了閾值的項目的種類和值的組合為“dst ip”和“dst port”時��,對項目數(shù)3表進(jìn)行檢索(S1005)�。在項目數(shù)3表中,確認(rèn)是否存在“scr ip”和“dstport”相同�,表示是特定的主機(jī)間的通信的條目(S1006)。這里�����,作為表示是特定的主機(jī)間的通信的第3項目,采用“scr ip”����。如果該結(jié)果為“是”,則是特定的2臺終端間的P2P通信����,判斷為不是DDoS并結(jié)束處理���。另一方面��,如果結(jié)果為“否”��,則判斷是從多個發(fā)送方向特定的目的地的通信即DDoS(S1007)����。
返回到圖2���,接收了異常檢測信息表80的業(yè)務(wù)異常檢測信息生成部122根據(jù)異常檢測信息表生成圖7所示的異常流檢測信息45�����。業(yè)務(wù)異常檢測信息生成部122將異常流檢測信息45傳送到采樣統(tǒng)計處理部121��。采樣統(tǒng)計處理部121將在通常的sFlow數(shù)據(jù)包之后追加了異常流檢測信息45的流統(tǒng)計信息數(shù)據(jù)包40傳送到業(yè)務(wù)解析裝置20����。
網(wǎng)絡(luò)控制裝置10與此同時對數(shù)據(jù)包傳送處理部11的輸出部設(shè)定未圖示的過濾器(filter),停止異常數(shù)據(jù)包的傳送����。
在圖3中,接收到已追加了異常流檢測信息45的流統(tǒng)計信息數(shù)據(jù)包40的業(yè)務(wù)解析裝置20����,在分析處理部23中進(jìn)行分析,在是圖5的流X的異常且檢測等級2以上的情況下���,判定不能進(jìn)行進(jìn)一步的檢測��。其結(jié)果是�����,進(jìn)行數(shù)據(jù)包計數(shù)表的復(fù)位�,將流X的檢測等級1的閾值設(shè)為1000���、檢測等級2的閾值設(shè)為2000����,通過控制信息生成部24,將控制信息數(shù)據(jù)包50送到網(wǎng)絡(luò)控制裝置10���。
業(yè)務(wù)解析裝置20的控制信息數(shù)據(jù)包生成部24生成圖10所示的業(yè)務(wù)解析裝置發(fā)送到網(wǎng)絡(luò)控制裝置的控制信息數(shù)據(jù)包�����。控制信息數(shù)據(jù)包50包括MAC報頭51�����、IP報頭52�����、UDP報頭53��、以及控制信息54�����。控制信息54包括計數(shù)復(fù)位信號�、參數(shù)等。
再有��,在上述實(shí)施例中作為sFlow進(jìn)行了說明����,但即使是NetFlow、或者鏡像產(chǎn)生的數(shù)據(jù)包也可以�,不限于它們?���?刂菩畔?4也可以包括在數(shù)據(jù)包計數(shù)表中變更作為數(shù)據(jù)包數(shù)計數(shù)的對象的項目的組合設(shè)定信息的信息、或者變更閾值表的流類別和檢測等級的信息���。而且��,也可以不變更流X的檢測等級1和2的閾值��,而設(shè)置新的檢測等級3(閾值2000)���。
此外,業(yè)務(wù)異常發(fā)生時的異常通知的發(fā)送目的地不限于業(yè)務(wù)解析裝置�,也可以是更高級的網(wǎng)絡(luò)監(jiān)視裝置���。
根據(jù)本實(shí)施例,可以由分散配置的網(wǎng)絡(luò)控制裝置(路由器或交換機(jī))進(jìn)行異常業(yè)務(wù)�����、過負(fù)荷業(yè)務(wù)的分析��。其結(jié)果是����,可以降低業(yè)務(wù)解析裝置(收集器或分析器)的分析負(fù)荷。此外��,通過在以往的sFlow統(tǒng)計信息中附加異常業(yè)務(wù)的分析信息�,可以進(jìn)行產(chǎn)生了以往的Flow統(tǒng)計計算服務(wù)器的功能的擴(kuò)展����。而且,根據(jù)本實(shí)施例�����,即使對于今后新發(fā)生的網(wǎng)絡(luò)攻擊���,通過根據(jù)攻擊模型而變更數(shù)據(jù)包計數(shù)表和閾值表的設(shè)定����,仍然可以應(yīng)對。
在本實(shí)施例中�����,如果在業(yè)務(wù)統(tǒng)計分析處理部13中采用處理負(fù)荷小的算法�,將其內(nèi)置在網(wǎng)絡(luò)控制裝置10中,由網(wǎng)絡(luò)控制裝置10實(shí)施業(yè)務(wù)分析和信息匯集����,則可以減小網(wǎng)絡(luò)控制裝置10的對業(yè)務(wù)解析裝置20的數(shù)據(jù)包傳送負(fù)荷,進(jìn)而減小對網(wǎng)絡(luò)的頻帶的負(fù)荷��。
而且����,可以將業(yè)務(wù)分析分散給各網(wǎng)絡(luò)控制裝置10來實(shí)施,所以可以減輕業(yè)務(wù)解析裝置20的處理負(fù)荷和成本���。
<實(shí)施例2>
下面�,用圖11來說明第2實(shí)施例�。本實(shí)施例的系統(tǒng)結(jié)構(gòu)與第1實(shí)施例相同�。圖11是說明其他實(shí)施例的檢測了異常流的流統(tǒng)計信息的數(shù)據(jù)包的圖����。
圖11所示的檢測了異常流的流統(tǒng)計信息的數(shù)據(jù)包是網(wǎng)絡(luò)控制裝置10的采樣統(tǒng)計處理部121所生成的數(shù)據(jù)包。流信息數(shù)據(jù)包60包括MAC報頭61�����、IP報頭62��、UDP報頭63���、以及異常流檢測信息64��。
在該實(shí)施例中�,對業(yè)務(wù)解析裝置20僅傳送異常流檢測信息���。因此,采樣統(tǒng)計處理部121的處理簡單�����。
此外�,業(yè)務(wù)異常發(fā)生時的異常通知的發(fā)送目的地不限于業(yè)務(wù)解析裝置���,也可以是更高級的網(wǎng)絡(luò)監(jiān)視裝置。此外����,與通常數(shù)據(jù)包同樣,也可以通過網(wǎng)絡(luò)��,通知網(wǎng)絡(luò)管理者的PC����。
<實(shí)施例3>
下面用圖13和圖14說明第3實(shí)施例。圖13表示作為業(yè)務(wù)解析裝置使用了具有RADIUS協(xié)議等認(rèn)證功能的認(rèn)證服務(wù)器的認(rèn)證系統(tǒng)����。圖13所示的認(rèn)證系統(tǒng)包括連接了多個PC的多個網(wǎng)絡(luò)、連接了多個網(wǎng)絡(luò)的網(wǎng)絡(luò)控制裝置及認(rèn)證服務(wù)器�。PC經(jīng)由網(wǎng)絡(luò)控制裝置被認(rèn)證服務(wù)器認(rèn)證。網(wǎng)絡(luò)控制裝置按認(rèn)證/再認(rèn)證的定時����,將相應(yīng)的PC的異常業(yè)務(wù)檢測信息發(fā)送到認(rèn)證服務(wù)器。認(rèn)證服務(wù)器使用認(rèn)證信息進(jìn)行認(rèn)證���,使用異常業(yè)務(wù)檢測信息進(jìn)行相應(yīng)PC的業(yè)務(wù)控制�����。
網(wǎng)絡(luò)控制裝置和認(rèn)證服務(wù)器間��,如圖14所示��,除了原始的認(rèn)證信息以外����,還附加有異常業(yè)務(wù)檢測信息。
根據(jù)本實(shí)施方式���,由網(wǎng)絡(luò)控制裝置對異常業(yè)務(wù)進(jìn)行分析/檢測��,所以可以減少業(yè)務(wù)解析裝置的負(fù)荷��,可以減小網(wǎng)絡(luò)控制裝置10的對業(yè)務(wù)解析裝置20的數(shù)據(jù)包傳送負(fù)荷����,進(jìn)而可以減小對網(wǎng)絡(luò)的頻帶的負(fù)荷����。
此外���,根據(jù)本實(shí)施方式����,在經(jīng)由網(wǎng)絡(luò)控制裝置進(jìn)行PC認(rèn)證的系統(tǒng)中,通過在認(rèn)證/再認(rèn)證時從網(wǎng)絡(luò)控制裝置向認(rèn)證服務(wù)器傳送PC單位的異常業(yè)務(wù)檢測信息�����,從而除了靜態(tài)的認(rèn)證信息(密碼���、數(shù)字署名信息等)以外��,還添加動態(tài)的業(yè)務(wù)信息���,所以除了認(rèn)證功能以外,還可進(jìn)行相應(yīng)PC的業(yè)務(wù)控制�。
權(quán)利要求
1.一種網(wǎng)絡(luò)控制裝置,配置在網(wǎng)絡(luò)和業(yè)務(wù)解析裝置之間�,與所述網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)包的傳送,其中�����,所述網(wǎng)絡(luò)控制裝置接收所述業(yè)務(wù)解析裝置發(fā)送的控制信息,使用所述控制信息中包含的參數(shù)進(jìn)行所述數(shù)據(jù)包的監(jiān)視����,在檢測出業(yè)務(wù)異常時,將檢測出的異常信息發(fā)送到所述業(yè)務(wù)解析裝置����。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)控制裝置,其中��,還包含數(shù)據(jù)包計數(shù)表�����,所述數(shù)據(jù)包計數(shù)表根據(jù)所述數(shù)據(jù)包的報頭信息����,對數(shù)據(jù)包的到達(dá)數(shù)進(jìn)行計數(shù),根據(jù)所述控制信息�����,將所述數(shù)據(jù)包計數(shù)表的所述到達(dá)數(shù)復(fù)位�����。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)控制裝置,其中�����,還包含由與流類別對應(yīng)的多個閾值組成的閾值表���,在所述到達(dá)數(shù)超過所述閾值時,參照所述數(shù)據(jù)包計數(shù)表來判定業(yè)務(wù)異常����。
4.一種網(wǎng)絡(luò)控制裝置,配置在網(wǎng)絡(luò)和業(yè)務(wù)解析裝置之間�����,設(shè)置有數(shù)據(jù)包傳送處理部����,與所述網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)包的傳送,其中����,所述網(wǎng)絡(luò)控制裝置包括采樣統(tǒng)計處理部,進(jìn)行所接收的數(shù)據(jù)包的采樣����;和業(yè)務(wù)統(tǒng)計分析處理部��,進(jìn)行異常業(yè)務(wù)的檢測����。
5.如權(quán)利要求4所述的網(wǎng)絡(luò)控制裝置�,其中,在所述業(yè)務(wù)統(tǒng)計處理部檢測出業(yè)務(wù)異常時�,對所述業(yè)務(wù)解析裝置發(fā)送異常檢測通知。
6.如權(quán)利要求4所述的網(wǎng)絡(luò)控制裝置�,其中,在所述業(yè)務(wù)統(tǒng)計處理部檢測出業(yè)務(wù)異常時���,停止該業(yè)務(wù)異常的數(shù)據(jù)包的傳送�。
7.如權(quán)利要求4所述的網(wǎng)絡(luò)控制裝置�����,其中����,根據(jù)來自所述業(yè)務(wù)解析裝置的控制信息,可變更所述業(yè)務(wù)統(tǒng)計處理部的業(yè)務(wù)異常檢測參數(shù)�。
8.一種網(wǎng)絡(luò)控制裝置的控制方法��,包括從網(wǎng)絡(luò)接收數(shù)據(jù)包的步驟��;對基于所接收的數(shù)據(jù)包的報頭信息的數(shù)據(jù)包計數(shù)表的到達(dá)數(shù)進(jìn)行更新的步驟���;比較所述到達(dá)數(shù)和預(yù)定的閾值的步驟;在所述到達(dá)數(shù)超過所述閾值時�,實(shí)施異常判定的步驟����;以及在判定為業(yè)務(wù)異常時,發(fā)送業(yè)務(wù)異常通知的步驟����。
9.如權(quán)利要求8所述的網(wǎng)絡(luò)控制裝置的控制方法,其中�����,所述業(yè)務(wù)異常通知的發(fā)送目的地是業(yè)務(wù)解析裝置��。
10.如權(quán)利要求8所述的網(wǎng)絡(luò)控制裝置的控制方法����,其中�,所述所接收的數(shù)據(jù)包是采樣后的數(shù)據(jù)包���。
11.一種系統(tǒng)��,將PC和網(wǎng)絡(luò)控制裝置及認(rèn)證服務(wù)器經(jīng)由網(wǎng)絡(luò)連接����,進(jìn)行所述PC的認(rèn)證�,其中,包括所述網(wǎng)絡(luò)控制裝置在認(rèn)證/再認(rèn)證時����,將相應(yīng)的所述PC的異常業(yè)務(wù)信息發(fā)送到所述認(rèn)證服務(wù)器。
12.如權(quán)利要求1的網(wǎng)絡(luò)控制裝置�����,其中�,所述檢測出的異常信息包含對與被發(fā)送的數(shù)據(jù)包的發(fā)送方或接收目的地有關(guān)的信息進(jìn)行確定的項目、該項目的屬性���、以及該項目的值�。
全文摘要
在網(wǎng)絡(luò)控制裝置(10)中設(shè)有業(yè)務(wù)統(tǒng)計分析處理部(13)����,檢測異常業(yè)務(wù)����。在檢測出異常業(yè)務(wù)時�����,在數(shù)據(jù)包傳送處理部(11)中設(shè)定過濾器�����,從而停止異常業(yè)務(wù)的傳送�,同時在統(tǒng)計信息數(shù)據(jù)包中重疊異常檢測信息后�,輸出到業(yè)務(wù)解析裝置。
文檔編號H04L12/26GK1878141SQ20061008503
公開日2006年12月13日 申請日期2006年5月22日 優(yōu)先權(quán)日2005年5月20日
發(fā)明者樋口秀光, 渡邊義則, 相本毅, 磯部隆史 申請人:阿拉克斯拉網(wǎng)絡(luò)株式會社