專利名稱:網(wǎng)絡(luò)監(jiān)視裝置以及網(wǎng)絡(luò)監(jiān)視方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)監(jiān)視裝置以及網(wǎng)絡(luò)監(jiān)視方法,特別涉及通過從多條 線路抽出特定的流量�����,來減輕監(jiān)控裝置的負(fù)荷的網(wǎng)絡(luò)監(jiān)視裝置以及網(wǎng)絡(luò) 監(jiān)視方法��。
背景技術(shù):
隨著因特網(wǎng)等網(wǎng)絡(luò)的普及����,開發(fā)了監(jiān)控網(wǎng)絡(luò)的技術(shù)。例如��,在專利 文獻(xiàn)l中記載了如下的技術(shù),即通過將低速線路的幀分解�,并在高速線 路中進行再成幀而進行多路復(fù)用,來削減測定系統(tǒng)的設(shè)置數(shù)量���,實現(xiàn)高 效率的網(wǎng)絡(luò)監(jiān)視�����。[專利文獻(xiàn)l]日本特開2006-22"46號7>才艮在網(wǎng)絡(luò)監(jiān)視中���,如專利文獻(xiàn)l那樣在系統(tǒng)構(gòu)成中具有過濾器的情況 下,可阻擋特定的包(packet),但過濾器不能檢測流量的變化�����。因此���, 在具有過濾器的系統(tǒng)中�,針對通過發(fā)送不正當(dāng)?shù)臄?shù)據(jù)使計算機不能使 用��、或通過增大流量使網(wǎng)絡(luò)癱瘓那樣的所謂的DoS攻擊的對策��,未必是 充分的。在這樣的系統(tǒng)中���,當(dāng)發(fā)生了 DoS攻擊時��,在進行網(wǎng)絡(luò)監(jiān)視的監(jiān) 控裝置中流入無用的流量���,難以實現(xiàn)有效的網(wǎng)絡(luò)監(jiān)視。另外���,專利文獻(xiàn)l所記栽的技術(shù),雖然能夠匯集網(wǎng)絡(luò)分析儀����,但網(wǎng) 絡(luò)分析儀不能對應(yīng)重復(fù)IP地址。例如�,在面向企業(yè)的VPN、小規(guī)模ISP����、 面向地域的CATV等中,多數(shù)情況是向各個加入者分配專用IP地址���。 在這種情況下�,如果直接連接線路,則在加入者之間IP地址發(fā)生重復(fù)�, 形成干擾。在監(jiān)視加入者的流量的情況下���,利用分接裝置連接網(wǎng)絡(luò)分析 儀(監(jiān)控裝置)����,但在網(wǎng)絡(luò)分析儀不對應(yīng)重復(fù)IP地址的情況下�����,存在不 能正確監(jiān)視加入者的流量的問題��。發(fā)明內(nèi)容因此�����,本發(fā)明就是鑒于上述問題而完成的�,本發(fā)明的目的是,提供 一種可通過檢測流量的變化來實現(xiàn)有效的網(wǎng)絡(luò)監(jiān)視的���、新的且改進的網(wǎng) 絡(luò)監(jiān)視裝置和網(wǎng)絡(luò)監(jiān)視方法����。為了解決上述的問題,根據(jù)本發(fā)明的某個觀點�,提供一種網(wǎng)絡(luò)監(jiān)視裝置,被連接在與網(wǎng)絡(luò)連接的接入網(wǎng)中���,其特征在于��,具有接收部��, 其區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的通信數(shù)據(jù)�、和從接入網(wǎng)向網(wǎng)絡(luò)輸 出的輸出側(cè)的通信數(shù)據(jù)并接收�;和異常流量檢測部,其根據(jù)上述輸入側(cè) 的通信數(shù)據(jù)和上述輸出側(cè)的通信數(shù)據(jù)的雙方�����,檢測出異常流量����。根據(jù)上述構(gòu)成���,區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的通信數(shù)據(jù)�����、和 從接入網(wǎng)向網(wǎng)絡(luò)輸出的輸出側(cè)的通信數(shù)據(jù)并接收����,根據(jù)輸入側(cè)的通信數(shù) 據(jù)和輸出側(cè)的通信數(shù)據(jù)的雙方檢測異常流量。因此����,可根據(jù)雙方向的通 信數(shù)據(jù)的流量的變動,檢測DoS攻擊等異常狀態(tài)��。由此����,在對網(wǎng)絡(luò)監(jiān)視 進行監(jiān)控的監(jiān)控裝置中,由于不會流入無用的流量����,所以可實現(xiàn)有效的 網(wǎng)絡(luò)監(jiān)視。另外���,上述異常流量檢測部也可以具有會話(session)處理部�����,來識別�����;和特征(signature)保持部���,其登記有表示異常的通信數(shù)據(jù)的 特征���,通過進行上述特征、和各個會話中的上述輸入側(cè)的通信數(shù)據(jù)以及 上述輸出側(cè)的通信數(shù)據(jù)的比較���,檢測出上述異常流量�。根據(jù)這樣的構(gòu)成�����, 可根據(jù)預(yù)先登記的表示異常的通信數(shù)據(jù)的特征�����,按每個會話檢測異常流另外�����,上述異常流量檢測部也可以在同時會話數(shù)或每秒會話數(shù)達(dá)到 上限值的情況下�,檢測出上述異常流量,并廢棄對應(yīng)的通信數(shù)據(jù)�。根據(jù) 這樣的構(gòu)成,在同時會話數(shù)或每秒會話數(shù)達(dá)到了上限值的情況下�,檢測 出異常流量并廢棄通信數(shù)據(jù),所以可以在受到DoS攻擊等的情況下��,廢 棄通信數(shù)據(jù)�。另外,也可以還具有重復(fù)IP檢測部�,其根據(jù)上述通信數(shù)據(jù)中所包 含的源IP地址和VLAN-ID,檢測源IP地址是否重復(fù),在源IP地址重 復(fù)的情況下��,對該通信數(shù)據(jù)賦予單獨標(biāo)簽�。根據(jù)這樣的構(gòu)成,即使在對 網(wǎng)絡(luò)監(jiān)視進行監(jiān)控的監(jiān)控裝置不對應(yīng)重復(fù)IP地址的情況下�����,也能夠檢 測重復(fù)的源IP地址的通信數(shù)據(jù)���,并分配給不同的監(jiān)控裝置��。
另外�����,也可以還具有切換器部��,其根據(jù)被賦予給上述通信數(shù)據(jù)的上述單獨標(biāo)簽��、和上述通信數(shù)據(jù)的VLAN-ID��,來決定針對對網(wǎng)絡(luò)監(jiān)視狀 況進行監(jiān)控的監(jiān)控裝置的輸出目的地���。根據(jù)這樣的構(gòu)成��,通過按每個 VLAN-ID指定輸出目的地�����,可只把相同簽約的加入者的流量匯集到1 個監(jiān)控裝置����。另外���,為了解決上述的問題����,根據(jù)本發(fā)明的其他觀點����,提供一種網(wǎng) 絡(luò)監(jiān)視方法,其具有接收步驟�,區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的 通信數(shù)據(jù)、和從接入網(wǎng)向網(wǎng)絡(luò)輸出的輸出側(cè)的通信數(shù)據(jù)并接收�;和異常 流量檢測步驟,把上述輸入側(cè)的通信數(shù)據(jù)和上述輸出側(cè)的通信數(shù)據(jù)的雙 方作為會話進行識別��,檢測出異常流量�����。根據(jù)這樣的構(gòu)成�����,區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的通信數(shù)據(jù)����、 和從接入網(wǎng)向網(wǎng)絡(luò)輸出的輸出側(cè)的通信數(shù)據(jù)并接收,把輸入側(cè)的通信數(shù) 據(jù)和輸出側(cè)的通信數(shù)據(jù)的雙方作為會話進行識別��,檢測出異常流量�。因 此,可根據(jù)雙方向的通信數(shù)據(jù)的流量的變動,檢測出DoS攻擊等異常狀 態(tài)�。由此,在對網(wǎng)絡(luò)監(jiān)視進行監(jiān)控的監(jiān)控裝置中�����,由于不會流入無用的 流量�,所以可實現(xiàn)有效的網(wǎng)絡(luò)監(jiān)視。另外��,在上述異常流量檢測步驟中���,也可以通過進行表示異常的通 信數(shù)據(jù)的特征��、和各個會話中的上述輸入側(cè)的通信數(shù)據(jù)以及上述輸出側(cè) 的通信數(shù)據(jù)的比較��,檢測上述異常流量�。根據(jù)這樣的構(gòu)成���,可根據(jù)預(yù)先 登記的表示異常的通信數(shù)據(jù)的特征����,按每個會話檢測異常流量��。另外,在上述異常流量檢測步驟中��,也可以在同時會話數(shù)或每秒會 話數(shù)達(dá)到了上限值的情況下�����,檢測出上述異常流量�,廢棄對應(yīng)的通信數(shù) 據(jù)����。根據(jù)這樣的構(gòu)成,在同時會話數(shù)或每秒會話數(shù)達(dá)到了上P艮值的情況 下���,檢測出異常流量并廢棄通信數(shù)據(jù)�����,所以可在受到DoS攻擊等的情況 下�����,廢棄通信數(shù)據(jù)�����。另外��,也可以還具有重復(fù)IP檢測步驟��,在該步驟中根據(jù)上述通信 數(shù)據(jù)中所包含的源IP地址和VLAN-ID,檢測源IP地址是否重復(fù)���,在 源IP地址重復(fù)的情況下����,對該通信數(shù)據(jù)賦予單獨標(biāo)簽�。根據(jù)這樣的構(gòu) 成,即使在對網(wǎng)絡(luò)監(jiān)視進行監(jiān)控的監(jiān)控裝置不對應(yīng)重復(fù)IP地址的情況 下�,也能夠檢測出重復(fù)的源IP地址的通信數(shù)據(jù),并分配給不同的監(jiān)控 裝置��。另外�,也可以還具有輸出目的地決定步驟,在該步驟中根據(jù)被賦予給上述通信數(shù)據(jù)的上述單獨標(biāo)簽和上述通信數(shù)據(jù)的VLAN-ID�,來決定 針對對網(wǎng)絡(luò)監(jiān)視狀況進行監(jiān)控的監(jiān)控裝置的輸出目的地。根據(jù)這樣的構(gòu) 成����,通過按每個VLAN-ID指定輸出目的地,可只把相同簽約的加入者 的流量匯集到1個監(jiān)控裝置中�。根據(jù)本發(fā)明�����,通過檢測流量的變動����,可實現(xiàn)有效的網(wǎng)絡(luò)監(jiān)視�。
圖l是表示本發(fā)明的第1實施方式涉及的聚合裝置針對網(wǎng)絡(luò)的設(shè)置 構(gòu)成的模式圖�。圖2是表示第1實施方式涉及的聚合裝置的功能方框構(gòu)成的模式圖。圖3是表示輸入(Ingress )包過濾器部�、輸出(Egress)包過濾器 部的構(gòu)成的模式圖。圖4是表示異常流量檢測部的構(gòu)成的模式圖��。圖5是表示切換器部的構(gòu)成的模式圖��。圖6是表示異常流量檢測部的管理部��、和管理裝置的構(gòu)成的模式圖�。圖7是表示異常流量檢測部中的會話處理的流程圖。圖8是表示第2實施方式涉及的聚合裝置針對網(wǎng)絡(luò)的設(shè)置構(gòu)成的模 式圖�����。圖9是表示第2實施方式涉及的聚合裝置的功能方框構(gòu)成的模式圖���。圖IO是表示第2實施方式涉及的聚合裝置的重復(fù)IP檢測部的構(gòu)成 的模式圖����。圖11是表示第2實施方式涉及的異常流量檢測部的構(gòu)成的模式圖。 圖12是表示第2實施方式涉及的切換器部的構(gòu)成的模式圖��。圖13是表示第2實施方式涉及的切換器部中的VLAN-ID檢索部的 構(gòu)成的模式圖���。圖14是表示第2實施方式涉及的異常流量檢測部的管理部����、和管 理裝置的構(gòu)成的模式圖���。圖中100 -聚合裝置�����;105 -接收部���;120 -異常流量檢測 部;128 -特征保持部�����;800 -重復(fù)IP地址;900 -切換器部�����。
具體實施方式
下面�,參照附圖,對本發(fā)明的優(yōu)選實施方式進行詳細(xì)說明��。另外����, 在本說明書和附圖中����,對于具有實質(zhì)相同的功能構(gòu)成的構(gòu)成要素,標(biāo)記 相同的符號����,并省略重復(fù)說明。(第1實施方式)首先�,說明本發(fā)明的第1實施方式。圖1是表示第1實施方式涉及 的聚合(Aggregation)裝置100針對網(wǎng)絡(luò)200的設(shè)置構(gòu)成的模式圖�����。 在圖1的例中,在接入網(wǎng)300與ISP (Internet Services Provider) 400 之間的線路上配置有把通信信號分支輸出的網(wǎng)絡(luò)分接裝置500���、 510����、 520���、 530���,將分接裝置500、 510�、 520、 530的In (輸入)側(cè)(接入網(wǎng) 300側(cè))�����、和Out (輸出)側(cè)(ISP400側(cè))的分支的輸出線路����,分別與 聚合裝置100的線路側(cè)的In側(cè)、Out側(cè)連接����。同樣����,把聚合裝置100 的監(jiān)控器側(cè)的輸出線路與各個監(jiān)控裝置600�、 610連接。在圖l的例中����, 假設(shè)監(jiān)控裝置600是能夠單獨在線設(shè)置的裝置。另外�����,進行設(shè)定的構(gòu)成 管理和統(tǒng)計信息的管理的管理裝置700與聚合裝置100連接�。圖2是表示聚合裝置100的功能方框構(gòu)成的模式圖。接收部105區(qū) 分In側(cè)�����、Out側(cè)的輸入并接收�。輸入(Ingress)包過濾器部110�,能夠 根據(jù)從線路側(cè)的各個分接裝置500接收的包,抽出以太頭�、IP頭、 TCP/UDP頭的標(biāo)識符并進行檢索�,才艮據(jù)標(biāo)識符進行過濾����。異常流量檢測部120能夠通過對通過了 Ingress包過濾器部110的 In側(cè)���、Out側(cè)的雙方的包進行處理����,作為會話進行識別���。通過了異常流
量檢測部120的包被轉(zhuǎn)送到切換器部130的輸入點��。切換器部130是與預(yù)先設(shè)定的輸出點的線路連接的線路切換型的切 換器��。切換器部130的輸出點與暫時保持包的緩沖存儲器140連接��,并 且與多路復(fù)用部150連接����。多路復(fù)用部150以循環(huán)(round-robin)方式 從緩沖存儲器140中取出包���,進行串行化�����,然后轉(zhuǎn)送到發(fā)送部側(cè)的緩沖 存儲器160�。輸出(Egress)包過濾器部170能夠與Ingress包過濾器部 110同樣,根據(jù)頭的標(biāo)識符����,對包進行過濾。通過了 Egress包過濾器部 170的包�����,由監(jiān)控器側(cè)的發(fā)送部180進行發(fā)送���。圖3表示Ingress包過濾器部110�����、 Egress包過濾器部170的構(gòu)成���。 這些包過濾器部110��、 170由包過濾器表115構(gòu)成��。作為在策略規(guī)則 (policy rule)中可設(shè)定的以太頭、IP頭���、TCP/UDP頭的標(biāo)識符���,如 圖3所示,可列舉出VLAN-ID��、以太網(wǎng)優(yōu)先級(Ether Priority )����、以太 網(wǎng)類型(Ether Type )、目的地IP地址�、發(fā)送源IP地址、TOS�����、協(xié)議編 號�、TCP標(biāo)志、目的地端口編號�����、以及發(fā)送源端口編號��。對于各個標(biāo)識 符,可以指定屏蔽位進行范圍檢索�����。包過濾器表115對各個入口 (entry)賦予了優(yōu)先度����,在圖3所示的 例中,對小的編號設(shè)定高優(yōu)先度�。對標(biāo)識符進行檢索的結(jié)果,采用命中 為更高優(yōu)先級的入口����,按照預(yù)先設(shè)定的與各個入口對應(yīng)的動作(通過 (Permit ))、或(廢棄deny)),選擇通過或廢棄�����。另外���,包過濾器表 115��,作為每個入口的統(tǒng)計信息而具有包計數(shù)(pps )和字節(jié)計數(shù)(bps )�。 作為檢索結(jié)果�����,在命中的全部入口對包計數(shù)和字節(jié)計數(shù)進行加法計算�����。圖4是表示異常流量檢測部120的構(gòu)成的模式圖����。被輸入到異常流 量檢測部120中的In側(cè)和Out側(cè)雙方的包,被輸入到會話處理部122�����, 并按照圖7的會話處理流程圖進行處理���。這里��,對圖7的會話處理進行說明�����。首先�,在步驟Sl中���,將包輸 入到會話處理部����。然后在步驟S2中,檢索特征�����,在特征命中的情況下���, 進入步驟S3�。在步驟S3中���,對異常包統(tǒng)計信息進行加法計算����,在步驟 S4中�,把包廢棄。當(dāng)在步驟S2中特征未命中的情況下�����,進入步驟S5���,檢索會話管理
表����。當(dāng)在會話管理表中包命中的情況下�,進入步驟S6,判定是否接收 到FIN/RST�����。在步驟S6中�����,在接收到FIN/RST的情況下���,進入步驟 S7���,在接受步驟S8的無用數(shù)據(jù)定時器結(jié)束后,刪除會話管理表�����。然后����, 在步驟S9中�����,將包廢棄��。另一方面���,在步驟S5中,在會話管理表中未命中的情況下���,進入 步驟SIO����,接收最初的包(第1包)�。在接下來的步驟Sll中,設(shè)定無 用數(shù)據(jù)定時器���,在其后的步驟S12中����,判定有無同時會話數(shù)的登記�。在步驟S12中��,在有同時會話數(shù)的登記的情況下��,進入步驟S13����, 判定同時會話數(shù)是否是上限值��。在步驟S13中����,在同時會話數(shù)是上限值 的情況下��,在步驟S9中廢棄包���。另一方面���,在步驟S13中,在同時會 話數(shù)不是上限值的情況下�,或者,在步驟S12中沒有同時會話數(shù)的登記 的情況下�����,進入步驟S14。在步驟S14中��,判定有無每秒會話數(shù)的登記����,在有每秒會話數(shù)的登 記的情況下,在步驟S15中���,判定每秒會話數(shù)是否是上限值�����。在步驟 S15中�����,當(dāng)每秒會話數(shù)是上限值的情況下�,在步驟S16中��,將包廢棄�����。 另一方面,在步驟S15中����,在每秒會話數(shù)不是上限值的情況下,或在步 驟S14中沒有每秒會話數(shù)的登記的情況下�����,進入步驟S17�。在步驟S17中,對會話統(tǒng)計信息進行加法計算�。在接下來的步驟S18 中,登記會話管理表���。在接下來的步驟S19中,輸出包���。步驟S19之后���, 結(jié)束處理(END)。將在會話處理部122中被處理過的會話��,登記在會話管理表124中���。 此時��,所登記的標(biāo)識符是圖4所示的5個標(biāo)識符(目的地IP地址�、發(fā) 送源IP地址、協(xié)議編號�、目的地端口編號、發(fā)送源端口編號)����。會話統(tǒng) 計信息保持部126把被登記在會話管理表124中的、在該時刻所維持的 會話數(shù)����,以目的地IP地址和發(fā)送源IP地址的組合為單位進行保持。將輸入到異常流量檢測部120的包���,在圖7的步驟S2中�,通過與 登記在特征保持部128中的各個特征進行對比���,判斷該包是否是異常包�����。 登記在特征保持部128中的特征�����,記述有作為異常包的模式����,例如記述 有目的地IP地址與發(fā)送源IP地址相同、冒充發(fā)送源IP地址�����、以及
在目的地的主機中再次構(gòu)筑IP包時超過了最大長度等的模式�����。異常包統(tǒng)計信息保持部129以特征為單位保持檢測出的異常包數(shù)����,當(dāng)在步驟 S2中特征命中的情況下,在步驟S3中對異常包統(tǒng)計信息進行加法計算�����。圖5是表示切換器部130的構(gòu)成的模式圖����。在切換器部130中,通 過切換元件132把線路側(cè)的輸入線與監(jiān)控器側(cè)的輸出線連接��,通過設(shè)定 圖5所示的切換元件132的3個狀態(tài)(切換1��、切換2�、反射),選擇輸 出目的地�����。圖6是表示異常流量檢測部120的管理部l卯��、和管理裝置700的 構(gòu)成的模式圖��。管理部190由Ingress包過濾器部110的統(tǒng)計收集部191�、 異常流量檢測部120的統(tǒng)計收集部192、 Egress包過濾器部170的統(tǒng)計 收集部193����、 Ingress包過濾器部110的i殳定部194、異常流量檢測部120 的設(shè)定部195�����、 Egress包過濾器部170的設(shè)定部196����、和切換器部130 的設(shè)定部197構(gòu)成����。管理部190通過收發(fā)部195與管理裝置700連接�����,成為與管理裝置 700之間的統(tǒng)計信息���、設(shè)定信息的接口���,把各個信息從內(nèi)部的信息形式 轉(zhuǎn)換成管理裝置的信息形式。作為管理裝置700的信息形式���,字符 (character)形式和MIB ( Management Information Base )形式等屬 于此���。管理裝置700,由從管理部l卯收集統(tǒng)計信息����,并利用波形進行顯 示的統(tǒng)計信息監(jiān)控器部710��、把監(jiān)控器部的波形作為履歷儲存的統(tǒng)計信 息報告部720、和儲存在聚合裝置中設(shè)定的包過濾器和切換器狀態(tài)的設(shè) 定信息的構(gòu)成管理部730構(gòu)成�����。如以上說明那樣����,根據(jù)本實施方式,對輸入到異常流量檢測部120 中的In側(cè)和Out側(cè)的雙方的包����,通過特征檢索來判定是否是異常包。 因此���,能夠根據(jù)基于雙方向的包的流量的變動�����,將DoS攻擊等的異常包 廢棄����。由此�,即使在發(fā)生了 DoS攻擊的情況下,在監(jiān)控裝置600中��,也 不會流入無用的流量,可實現(xiàn)有效的網(wǎng)絡(luò)200的監(jiān)視����。另外,當(dāng)在監(jiān)控 裝置600中匯集收集了異常包的情況下����,即使在冒充發(fā)送源IP地址的 情況下,也能夠確認(rèn)以線路為單位的異常包統(tǒng)計信息���。(第2實施方式)下面�����,對本發(fā)明的第2實施方式進行說明����。圖8表示第2實施方式 涉及的聚合裝置100針對網(wǎng)絡(luò)的設(shè)置構(gòu)成����。圖8所示的構(gòu)成與圖l基本 相同,其不同點是��,相對在圖1中的接入網(wǎng)300通過ISP400進行針對 網(wǎng)絡(luò)200的連接,而在圖8中是利用VPN ( Virtual Private Network) 410��、 ISP420���、 CATV ( Community Antenna Television ) 430等進行針 對網(wǎng)絡(luò)200的連接。圖9是表示第2實施方式涉及的聚合裝置100的功能方框構(gòu)成的模 式圖����。第2實施方式涉及的聚合裝置100與第1實施方式的聚合裝置100 的不同點是,在異常流量檢測部120的后級設(shè)有重復(fù)IP檢測部800��。另 外��,在第2實施方式涉及的聚合裝置100中���,切換器部卯0的構(gòu)成與第 1實施方式的切換器部130不同���。通過了異常流量檢測部120的包,被輸入到重復(fù)IP檢測部800��。在 重復(fù)IP檢測部800中�����,識別包的VLAN-ID和源IP地址后,進行重復(fù) IP的檢測���。圖10是表示重復(fù)IP檢測部800的構(gòu)成的模式圖�����。重復(fù)IP檢測部 800從輸入的雙方向的包中抽出VLAN-ID和源IP地址�����。將抽出的2個 標(biāo)識符以源IP地址為關(guān)鍵詞登記在檢索表810中�����。此時���,當(dāng)是相同源 IP地址VLAN-ID相同的情況下,把檢索表810的重復(fù)標(biāo)志登記為"0"��, 并對該包賦予單獨的標(biāo)簽���,在其中記述"0"�,并進行輸出���。另一方面�����, 當(dāng)是相同源IP地址VLAN-ID不同的情況下��,把檢索表810的重復(fù)標(biāo)志 登記為'T�����,��,并同樣賦予單獨的標(biāo)簽�,但在其中記述"1",并進行輸出���。 此外�,將檢索表810每隔一定的時間進行清除更新�。另外,根據(jù)來自管 理部l卯的設(shè)定把重復(fù)標(biāo)志登記為"1"����,但在單獨標(biāo)簽中通常也可以記 述"0"。圖11是表示異常流量檢測部120的構(gòu)成的模式圖����。與第1實施方式 同樣�����,將In側(cè)和Out側(cè)的雙方的包輸入到會話處理部122�,并按照圖7 的會話處理流程進行處理��。將所處理的會話登記到會話管理表124中��, 但此時登記的標(biāo)識符是圖11所示的6個標(biāo)識符(VLAN-ID��、目的地IP 地址����、發(fā)送源IP地址、協(xié)議編號�、目的地端口編號、發(fā)送源端口編號)����。
通過把VLAN-ID包含在關(guān)鍵詞中,即使是重復(fù)的IP地址��,也能夠正確 地識別會話��。在會話統(tǒng)計信息保持部126中,把在被登記到會話管理表124中的 時刻所維持的會話數(shù)以目的地IP地址和發(fā)送源IP地址的組合為單位保持��。與第l實施方式同樣�����,輸入到異常流量檢測部120的包��,通過與登 記在特征保持部128中的各個特征進行對比���,來判斷該包是否是異常包。 另外����,異常包統(tǒng)計信息保持部129以特征為單位保持檢測出的異常包。通過了重復(fù)IP檢測部800的包被轉(zhuǎn)送到切換器部卯0的輸入點�����。 切換器部卯0是預(yù)先設(shè)定的VLAN-ID檢索型的切換器���。圖12是表示切 換器部900的構(gòu)成的模式圖�����。在切換器部900中��,通過VLAN-ID檢索 部910把線路側(cè)的輸入線與監(jiān)控器側(cè)的輸出線連接����,根據(jù)VLAN-ID檢 索部910的VLAN-ID檢索的結(jié)果,決定輸出目的地����。圖13是表示VLAN-ID檢索部910的構(gòu)成的模式圖。VLAN-ID檢 索部910針對In側(cè)���、Out側(cè)的各自的輸入���,指定2個輸出(1)、 (2) 的一方或雙方并輸出�����。在VLAN-ID檢索部910中�����,從所輸入的包中抽 出VLAN-ID和單獨標(biāo)簽�����,首先,檢索把單獨標(biāo)簽作為關(guān)鍵詞的單獨標(biāo) 簽表912��。預(yù)先由管理部190登記單獨標(biāo)簽表912的值����。根據(jù)單獨標(biāo)簽 表912的檢索結(jié)果,在單獨標(biāo)簽的值為'T�����,時�����,向在單獨標(biāo)簽表912 中指定的輸出目的地輸出�。在圖13中�,在單獨標(biāo)簽的值為"1"時作為 輸出目的地指定了 (2),所以���,In和Out都被輸出到(2)的線路�����。另一方面�����,在單獨標(biāo)簽的值為"0"時�,檢索把VLAN-ID作為關(guān)鍵 詞的VLAN-ID表914。 VLAN-ID表914也和單獨標(biāo)簽表同樣��,預(yù)先由 管理部登記其值����。根據(jù)VLAN-ID表914的檢索結(jié)果,與各個VLAN-ID 的值相應(yīng)���,向被指定的輸出目的地輸出���。在輸出目的地是(l)、 (2)雙 方的情況下�����,向雙方復(fù)制輸出�����。另外,在從VLAN-ID檢索部910輸出 時����,單獨標(biāo)簽被刪除。圖14是表示管理部190和管理裝置700的構(gòu)成的模式圖���。圖14所 示的管理部l卯的構(gòu)成���,相對圖6的構(gòu)成而增加了重復(fù)IP檢測部800
的設(shè)定部198。由管理部190的設(shè)定部198來進行重復(fù)IP檢測部800 的設(shè)定�����。如以上說明的那樣�,根據(jù)第2實施方式,即使是使用VLAN�����,并且 把重復(fù)IP地址多路復(fù)用的線路�,通過在聚合裝置100中檢測出重復(fù)的 情況�����,即使是不對應(yīng)重復(fù)IP地址的網(wǎng)絡(luò)分析儀,也能夠通過把重復(fù)的 包分別分配給不同的分析儀�,來正確地監(jiān)視流量。另外��,通過按每個VLAN-ID指定輸出目的地��,在多條線路中存在 相同簽約的加入者�����,但在這些線路中不同的加入者也被多路復(fù)用的情況 下���,能夠只把相同簽約的加入者的流量匯集到l個網(wǎng)絡(luò)分析儀�。另外��, 在異常流量檢測中���,即使在包含重復(fù)的IP地址的情況下����,也能夠正確 識別會話���,從而可防止誤檢測��。以上����,參照附圖對本發(fā)明的優(yōu)選實施方式進行了說明,但本發(fā)明不 限于這樣的例�����。對于本領(lǐng)域技術(shù)人員來說���,很明顯�,在權(quán)利要求所記載 的技術(shù)范圍內(nèi)�,可以想到各種變更例或修正例,對于這些例也應(yīng)理解為 屬于本發(fā)明的技術(shù)范圍內(nèi)���。
權(quán)利要求
1. 一種網(wǎng)絡(luò)監(jiān)視裝置�����,被連接在與網(wǎng)絡(luò)連接的接入網(wǎng)中����,其特征在于����,具有接收部,其區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的通信數(shù)據(jù)�、和從接入網(wǎng)向網(wǎng)絡(luò)輸出的輸出側(cè)的通信數(shù)據(jù)并接收;異常流量檢測部�����,其根據(jù)上述輸入側(cè)的通信數(shù)據(jù)和上述輸出側(cè)的通信數(shù)據(jù)的雙方�,檢測出異常流量。
2. 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)監(jiān)視裝置��,其特征在于�����,上述異常 流量檢測部具有會話處理部���,其把上述輸入側(cè)的通信數(shù)據(jù)和上述輸出側(cè)的通信數(shù)據(jù) 的雙方作為會話來識別��;特征保持部����,其登記有表示異常的通信數(shù)據(jù)的特征,通過進行上述特征��、和各個會話中的上述輸入側(cè)的通信數(shù)據(jù)以及上 述輸出側(cè)的通信數(shù)據(jù)的比較��,檢測出上述異常流量���。
3. 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)監(jiān)視裝置���,其特征在于,上述異常流量檢測部也可以在同時會話數(shù)或每秒會話數(shù)達(dá)到上限 值的情況下�����,檢測出上述異常流量��,并廢棄對應(yīng)的通信數(shù)據(jù)��。
4.根據(jù)權(quán)利要求l-3中任意一項所述的網(wǎng)絡(luò)監(jiān)視裝置�,其特征在 于,還具有重復(fù)IP檢測部��,其根據(jù)上述通信數(shù)據(jù)中所包含的源IP地址 和VLAN-ID����,檢測源IP地址是否重復(fù)�����,在源IP地址重復(fù)的情況下, 對該通信數(shù)據(jù)賦予單獨標(biāo)簽����。
5. 根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)監(jiān)視裝置,其特征在于��,還具有切 換器部�,其根據(jù)被賦予給上述通信數(shù)據(jù)的上述單獨標(biāo)簽和上述通信數(shù)據(jù) 的VLAN-ID,來決定針對對網(wǎng)絡(luò)監(jiān)視狀況進行監(jiān)控的監(jiān)控裝置的輸出 目的地��。
6. —種網(wǎng)絡(luò)監(jiān)視方法�,其特征在于,具有接收步驟���,區(qū)分從網(wǎng)絡(luò)向接入網(wǎng)輸入的輸入側(cè)的通信數(shù)據(jù)�、和從接 入網(wǎng)向網(wǎng)絡(luò)輸出的輸出側(cè)的通信數(shù)據(jù)并接收����;異常流量檢測步驟,把上述輸入側(cè)的通信數(shù)據(jù)和上述輸出側(cè)的通信 數(shù)據(jù)的雙方作為會話進行識別����,檢測出異常流量�����。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)監(jiān)視方法��,其特征在于���,在上述異 常流量檢測步驟中,通過進行表示異常的通信數(shù)據(jù)的特征�����、和各個會話 中的上述輸入側(cè)的通信數(shù)據(jù)以及上述輸出側(cè)的通信數(shù)據(jù)的比較�,檢測上 述異常流量。
8. 根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)監(jiān)視方法��,其特征在于�,在上述異 常流量檢測步驟中,在同時會話數(shù)或每秒會話數(shù)達(dá)到了上限值的情況 下�����,檢測出上述異常流量�����,并廢棄對應(yīng)的通信數(shù)據(jù)。
9.根據(jù)權(quán)利要求6 8中任意一項所述的網(wǎng)絡(luò)監(jiān)視方法����,其特征在 于,還具有重復(fù)IP檢測步驟�,在該步驟中根據(jù)上述通信數(shù)據(jù)中所包含 的源IP地址和VLAN-ID����,檢測源IP地址是否重復(fù),在源IP地址重復(fù) 的情況下���,對該通信數(shù)據(jù)賦予單獨標(biāo)簽���。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)監(jiān)視方法,其特征在于����,還具有輸 出目的地決定步驟,在該步驟中根據(jù)被賦予給上述通信數(shù)據(jù)的上述單獨 標(biāo)簽和上述通信數(shù)據(jù)的VLAN-ID�,來決定針對對網(wǎng)絡(luò)監(jiān)視狀況進行監(jiān) 控的監(jiān)控裝置的輸出目的地。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)監(jiān)視裝置以及網(wǎng)絡(luò)監(jiān)視方法�����,通過檢測出流量的變動,來實現(xiàn)有效的網(wǎng)絡(luò)監(jiān)視�。本發(fā)明的網(wǎng)絡(luò)監(jiān)視裝置是被連接在與網(wǎng)絡(luò)(200)連接的接入網(wǎng)(300)中的聚合裝置(100),其具有接收部(105)���,其區(qū)分從網(wǎng)絡(luò)(200)向接入網(wǎng)(300)輸入的輸入側(cè)的通信數(shù)據(jù)����、和從接入網(wǎng)(300)向網(wǎng)絡(luò)(200)輸出的輸出側(cè)的通信數(shù)據(jù)并接收�;和異常流量檢測部(120),其根據(jù)輸入側(cè)的通信數(shù)據(jù)和輸出側(cè)的通信數(shù)據(jù)的雙方�����,檢測出異常流量���。
文檔編號H04L29/06GK101399711SQ200810132028
公開日2009年4月1日 申請日期2008年7月18日 優(yōu)先權(quán)日2007年9月28日
發(fā)明者濱田恒生 申請人:沖電氣工業(yè)株式會社