JP2006013737A - 異常トラヒック除去装置 - Google Patents
異常トラヒック除去装置 Download PDFInfo
- Publication number
- JP2006013737A JP2006013737A JP2004185831A JP2004185831A JP2006013737A JP 2006013737 A JP2006013737 A JP 2006013737A JP 2004185831 A JP2004185831 A JP 2004185831A JP 2004185831 A JP2004185831 A JP 2004185831A JP 2006013737 A JP2006013737 A JP 2006013737A
- Authority
- JP
- Japan
- Prior art keywords
- frame
- attack
- ipsa
- tcp
- loop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/324—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the data link layer [OSI layer 2], e.g. HDLC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】ネットワークにおける異常トラヒックを除去する異常トラヒック除去装置に関し、ループ或いはアタック等により生じた異常トラヒックの帯域を削減又は除去し、ネットワークの不安定化・システムダウンを回避し、また、その要因を特定するための情報収集を可能にする。
【解決手段】Port0又は1受信回路I/F部1又は2で受信されたフレームをフレーム解析部3でプロトコル識別、検索キーワードの抽出、検索エンジンへの検索要求生成等を行い、ループ監視部4及びアタック監視部5では、フレーム解析部3からの検索要求により検索キーワードを基に検索を行い、監視テーブルに検索対象に一致する検索キーワードが存在する場合に該検索キーワードのフレームカウント数をカウントアップし、予め設定されたカウント閾値を超過したエントリを検出すると、異常トラヒックとしてその帯域を削減又は除去し、また、それらの統計情報を表示する。
【選択図】 図1
【解決手段】Port0又は1受信回路I/F部1又は2で受信されたフレームをフレーム解析部3でプロトコル識別、検索キーワードの抽出、検索エンジンへの検索要求生成等を行い、ループ監視部4及びアタック監視部5では、フレーム解析部3からの検索要求により検索キーワードを基に検索を行い、監視テーブルに検索対象に一致する検索キーワードが存在する場合に該検索キーワードのフレームカウント数をカウントアップし、予め設定されたカウント閾値を超過したエントリを検出すると、異常トラヒックとしてその帯域を削減又は除去し、また、それらの統計情報を表示する。
【選択図】 図1
Description
本発明は、ネットワークにおける異常トラヒックを除去する異常トラヒック除去装置に関し、特にMAC(Media Access Control)フレーム等がネットワーク内のループ状の経路に繰り返し転送される異常トラヒック、及びIP(Internet Protocol)フレーム等による故意又は悪意的なネットワークへの迷惑的攻撃行為(以下、「アタック」という)等による特定端末から不特定多数の宛先へ大量に送信される異常トラヒックを除去する装置に関する。
従来よりネットワークは中継装置としてブリッジ装置を用いて構成されている。ループによる異常トラヒックの発生に関して、ブリッジ等の中継装置を用いてネットワークを構築する際には、ブロードキャストフレームによるループが発生しないようにしなければならないが、このための一般的な手法としてスパニングツリープロトコル(STP)が広く使われている。
図4の(a)に示すようなツリー構成のネットワークではループは発生しないが、同図(b)に示す構成例のネットワークではループ接続が形成される。殆どのブリッジ装置(中継装置)はスパニングツリープロトコルに対応しており、正常に動作していれば、ループ結線による異常トラヒックは発生しない。ところが、例えば図5に示す中継装置5−2のように自装置の入出力ポート同士を結線してしまうなど、誤接続・誤設定や機器障害(BPDU(Bridge Protocol Data Unit)パケットのロス等)などにより、ループを形成し、異常トラヒックが発生することがある。
また、スパニングツリープロトコルに対応していない、或いは該プロトコルを使用していない場合は、ネットワーク設計ミスによりループを形成してしまうことがある。このループ形成を回避する従来の手法として、2個以上の複数ポートの各々から受信される受信フレーム中の送信元MACアドレスを学習しておき、同じ送信元アドレスを有するフレームが該複数のポートで受信されたとき、該フレームの中継を制限するという手法がある。
しかし、この手法ではで双方向の経路からフレームが流入するループトラヒックは検出することができるが、片方向のみからフレームが流入するループトラヒックは検出することができない。また、ブロードキャストフレームやマルチキャストフレームのような送信元MACアドレスが同じであるフレームに対しては、ループ形成によるフレームであると誤認識する可能性がある。
また、アタックによる異常トラフィックを防御する手法としては、ファイアーウォールを設けることが一般的に行われている。ファイアーウォールは、外部ネットワークからの侵入又は攻撃から内部ネットワークを保護するものであり、送信元IPアドレスやトランスポート層に属するプロトコル種別やTCP/UDP宛先ポート番号を基に、流入するフレームをフィルタリングして通さないようにするものである。
しかしこの場合、複数のTCP/UDP宛先ポート番号に対するアタック(ポートスキャンなど)に対しては、全てをフィルタリングしなければならないため、対応が困難である。更に、ファイアーウォールは外部ネットワークと内部ネットワークの境界に設置する機能であるため、外部からの侵入に対して有効であるが、ウィルス感染などによる内部ネットワークからの攻撃を防御することができない。
本発明に関連する先行技術文献として以下のものがある。特許文献1は、FCSエラーの発生間隔からネットワークの障害発生を判定するネットワーク障害予測装置に関するものであり、また、特許文献2は、発信元情報及び発信方向情報を有する検査フレームを送出し、該検査フレームを受取ったときに、受取り方向情報及び検査フレーム内の各情報に基づいてループ障害を検出するケーブルモデムシステム及びケーブルモデム終端装置に関するものである。
特開平08−139722号公報
特開平11−331235号公報
前述した従来技術では次のような問題がある。まず、ループによる異常トラヒックに関して、ブロードキャストフレームに対するループの監視は、複数の受信ポートで同じ送信元MACアドレスのフレームが受信されたか否かにより監視するため、図4(b)のような片方向のループの場合は該ループトラヒックを除去できない。送信元MACアドレスに基づいてループ形成を監視する場合、ブロードキャストフレームやマルチキャストフレームのように送信元MACアドレスが同じであるフレームに対しては、ループ形成によるフレームと誤認識する可能性がある。
また、アタックによる異常トラヒック関して、IPアドレスやプロトコル種別やTCP/UDPポート番号を検索キーとするフィルタリングでは、予め攻撃パターンを予測して行わなければならない。従って、新たな攻撃には対応が不可能である。また、複数の端末が大量のパケットを送信する場合には、IPアドレスを検索キーとした防御では対応しきれない。また、大量のパケットを送信する攻撃者の目的は主にネットワーク装置のシステムダウンであるため、システムダウンの防止が最重要となる。
本発明は、ループ或いはアタック等により生じた異常トラヒックの帯域を削減又は除去することにより、ネットワークの不安定化・システムダウンを回避し、ネットワークとして稼動を継続することが可能な異常トラヒック除去装置を提供することを目的とする。更に、異常トラヒックが発生したとき、即時にその要因を特定するための情報を収集することが可能な異常トラヒック除去装置を提供することを目的とする。
本発明の異常トラヒック除去装置は、(1)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、複数ポートから受信したMACフレームのFCS(Frame Check Sequence)フィールドを検索エンジン部に書き込む手段と、同一のFCS値を有するMACフレームの受信フレーム数をカウントし、該同一のFCS値を有するMACフレームの一定期間の受信フレーム数が予め設定された閾値以上となった場合に、ネットワークがループ状態に陥ったと判定するループ監視・検出手段と、を備えたものである。
また、(2)前記ループ監視・検出手段によりネットワークのループ状態を検出したとき、前記同一のFCS値を有するMACネットフレームを異常トラヒック除去装置内で遮断し、支線ネットワークからコアネットワークへの上流方向及びコアネットワークから支線ネットワークへの下流方向に、ループの発生を伝播させないループ遮断手段を備えたものである。
また、(3)前記ループ遮断手段において、ハードウェア又はソフトウェアの自律動作で遮断を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行する手動モードとを選択するループ遮断モード選択手段を備えたものである。
また、(4)前記ループ遮断手段において、遮断するフレームを、異常トラヒック除去装置を通過する全フレーム、又は前記ループ監視・検出手段を用いて検出されたループ状態フレームから選択するループ遮断対象選択手段を備えたものである。
また、(5)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数をカウントし、TCP/UDP宛先ポート番号別の統計処理を行うアタックTCP/UDP宛先ポート番号別統計手段とを備えたものである。
また、(6)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のTCP/UDP宛先ポート番号別の統計処理を行うアタックIPSA毎TCP/UDP宛先ポート番号別統計手段とを備えたものである。
また、(7)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、ネットワークから受信したIPv4フレームのIPDAフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPDAフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のIP宛先数の統計処理を行うアタックIPSA毎IP宛先数統計手段とを備えたものである。
また、(8)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、ネットワークから受信したARPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するARPフレームの受信フレーム数をカウントし、IPSA毎のARPフレーム数の統計処理を行うアタックIPSA毎ARPフレーム数統計手段とを備えたものである。
また、(9)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、ネットワークから異常トラヒック除去装置内に受信したICMPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するICMPフレームの受信フレーム数をカウントし、IPSA毎のICMPフレーム数の統計処理を行うアタックIPSA毎ICMPフレーム数統計手段とを備えたものである。
また、(10)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、複数ポートから受信したMACフレームのトラヒック流量が予め設定された閾値帯域未満であるか、前記(5)のアタックTCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記(6)のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記(7)のアタックIPSA毎IP宛先数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記(8)のアタックIPSA毎ARPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、又は前記(9)のアタックIPSA毎ICMPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるかを監視する手段と、前記トラヒック流量又は各統計手段で計測したフレーム数の何れかが、一定期間、閾値以上を継続した場合にアタック行為による異常トラヒックと判定するアタック監視・検出手段とを備えたものである。
本発明に係る異常トラヒック装置によれば、FCS値又はTCP/UDP宛先ポート番号フィールド等を検索キーワードとし、同一の検索キーワードを有するMACフレームの受信フレーム数をカウントし、一定期間の受信フレーム数が予め設定された閾値以上となった場合に、ネットワークがループ又はアタックによる異常トラヒック状態に陥ったと判定することにより、ループ又はアタックに起因する異常トラヒックを除去することができ、それによりネットワークの不安定化・システムダウンを容易に回避し、ネットワークとして稼動し続けることが可能となる。更に、同一の検索キーワードを有するMACフレームの統計情報を表示することにより、異常トラヒックが発生している状態で、異常トラヒックの要因特定のための情報を収集することができ、適切なネットワーク管理への瞬時対応が可能となる。また、異常トラヒックの除去条件を細かく柔軟に設定することができるため、様々なネットワークの規模・環境に対応することができる。
図1は本発明による異常トラヒック除去装置の全体構成を示す。同図において、Port0受信回路I/F部1は、第1の接続端子Port0に接続されたネットワークとの受信側回線インタフェース部、Port1受信回路I/F部2は、第2の接続端子Port1に接続されたネットワークとの受信側回線インタフェース部であり、これらは主に物理層の制御を行うPHYデバイス及びMAC層の制御を行うMACデバイスにより構成される。
フレーム解析部3は、主に以下の機能を有する。
a)フレームフォーマット識別(VLAN_Tagの有無の識別と、有の場合の段数の識別)
b)プロトコル識別(IPv4,ARP,ICMP,TCP,UDPの何れのプロトコルであるかの識別)
c)検索キーワードの抽出(FCS,TCP/UDP宛先ポート番号等の検索キーワードの抽出)
d)検索エンジンへの検索要求生成
e)遮断対象フレームの特定(FCS,TCP/UDP宛先ポート番号,ARP,ICMPを基に特定)
f)以下の統計情報の採取
f−1)IPv4のTCP/UDP宛先ポート番号別フレーム数カウント(遮断対象)
f−2)IPv4のTCP/UDP宛先ポート番号別バイト数カウント(遮断対象)
f−3)ARPのフレーム数カウント(遮断対象)
f−4)ARPのフレームバイト数カウント(遮断対象)
f−5)ICMPのフレーム数カウント(遮断対象)
f−6)ICMPのフレームバイト数カウント(遮断対象)
a)フレームフォーマット識別(VLAN_Tagの有無の識別と、有の場合の段数の識別)
b)プロトコル識別(IPv4,ARP,ICMP,TCP,UDPの何れのプロトコルであるかの識別)
c)検索キーワードの抽出(FCS,TCP/UDP宛先ポート番号等の検索キーワードの抽出)
d)検索エンジンへの検索要求生成
e)遮断対象フレームの特定(FCS,TCP/UDP宛先ポート番号,ARP,ICMPを基に特定)
f)以下の統計情報の採取
f−1)IPv4のTCP/UDP宛先ポート番号別フレーム数カウント(遮断対象)
f−2)IPv4のTCP/UDP宛先ポート番号別バイト数カウント(遮断対象)
f−3)ARPのフレーム数カウント(遮断対象)
f−4)ARPのフレームバイト数カウント(遮断対象)
f−5)ICMPのフレーム数カウント(遮断対象)
f−6)ICMPのフレームバイト数カウント(遮断対象)
ループ監視部4は、主に以下の機能を有する。
a)フレーム解析部3からの検索要求により、検索キーワード(FCS)を基に検索エンジンに対して検索を実行する。
b)FCS監視テーブルに検索対象に一致する検索キーワード(FCS)がない場合は、FCS監視テーブル内に該検索対象の検索キーワード(FCS)を書き込むことでエントリを作成する。
c)FCS監視テーブルに検索対象に一致する検索キーワード(FCS)が存在する場合は、該検索キーワード(FCS)のフレームカウント数をカウントアップする。
a)フレーム解析部3からの検索要求により、検索キーワード(FCS)を基に検索エンジンに対して検索を実行する。
b)FCS監視テーブルに検索対象に一致する検索キーワード(FCS)がない場合は、FCS監視テーブル内に該検索対象の検索キーワード(FCS)を書き込むことでエントリを作成する。
c)FCS監視テーブルに検索対象に一致する検索キーワード(FCS)が存在する場合は、該検索キーワード(FCS)のフレームカウント数をカウントアップする。
アタック監視部5は、主に以下の機能を有する。
a)フレーム解析部3からの検索要求により、検索キーワード(TCP/UDP宛先ポート番号,IPSA,IPDA,Protocol)を基に、検索エンジンに対して検索を実行する。ここで、IPSAは送信元IPアドレス、IPDAは宛先IPアドレスである。
b)各監視テーブル内に検索キーワードに一致ものが存在しない場合は、各監視テーブル内に当該各キーワードを書き込むことでエントリを作成する。
c)各監視テーブル内に一致する検索キーワードが存在する場合は、各エントリのフレームカウント数をカウントアップする。
a)フレーム解析部3からの検索要求により、検索キーワード(TCP/UDP宛先ポート番号,IPSA,IPDA,Protocol)を基に、検索エンジンに対して検索を実行する。ここで、IPSAは送信元IPアドレス、IPDAは宛先IPアドレスである。
b)各監視テーブル内に検索キーワードに一致ものが存在しない場合は、各監視テーブル内に当該各キーワードを書き込むことでエントリを作成する。
c)各監視テーブル内に一致する検索キーワードが存在する場合は、各エントリのフレームカウント数をカウントアップする。
ループ検出部6は、予め設定されたループフレームカウント閾値を超過したエントリを検出すると、フレームのFCS値をフレーム解析部3へ通知する。
アタック統計部7は、アタック監視部5でのフレームカウント数を基に以下a)〜f)の機能を実行する。
a)予め設定されたTCP/UDP宛先ポート番号別のフレームカウント閾値を超過したエントリの中から、フレームカウント数の上位10位のTCP/UDP宛先ポート番号を抽出し、フレームカウントを実行する。
b)IPSA毎のTCP/UDP宛先ポート番号別のフレームカウント数の上位1位のIPSA値を抽出する。
c)予め設定されたIPSA毎のARPフレームカウント数が閾値を超過したエントリの中から、フレームカウント数の上位1位のARPフレームカウントを実行する。
d)IPSA毎のARPフレームカウント数の上位1位のIPSA値を抽出する。
e)予め設定されたIPSA毎のICMPフレームカウント数が閾値を超過したエントリの中からフレームカウント数の上位1位のICMPフレームカウントを実行する。
f)IPSA毎のICMPフレームカウント数の上位1位のIPSA値を抽出する。
この情報を基に遮断するフレーム(IPv4 TCP/UDPフレーム、ARPフレーム、ICMPフレーム)を決定する。
a)予め設定されたTCP/UDP宛先ポート番号別のフレームカウント閾値を超過したエントリの中から、フレームカウント数の上位10位のTCP/UDP宛先ポート番号を抽出し、フレームカウントを実行する。
b)IPSA毎のTCP/UDP宛先ポート番号別のフレームカウント数の上位1位のIPSA値を抽出する。
c)予め設定されたIPSA毎のARPフレームカウント数が閾値を超過したエントリの中から、フレームカウント数の上位1位のARPフレームカウントを実行する。
d)IPSA毎のARPフレームカウント数の上位1位のIPSA値を抽出する。
e)予め設定されたIPSA毎のICMPフレームカウント数が閾値を超過したエントリの中からフレームカウント数の上位1位のICMPフレームカウントを実行する。
f)IPSA毎のICMPフレームカウント数の上位1位のIPSA値を抽出する。
この情報を基に遮断するフレーム(IPv4 TCP/UDPフレーム、ARPフレーム、ICMPフレーム)を決定する。
フレーム遮断部8は、フレーム解析部3からのフレーム遮断情報を基に以下a)〜i)の機能を実行する。
a)アラート閾値以上のループフレームを全て遮断する。
b)アラート閾値以上のループフレームの帯域を制限する。
c)IPv4 TCP/UDPフレーム(10個)の帯域を制限する。
d)ARPフレームの帯域を制限する。
e)ICMPフレームの帯域を制限する。
f)遮断されたループフレームの数をカウントする。
g)遮断されたIPv4 TCP/UDPフレームの数をカウントする。
h)遮断されたARPフレームの数をカウントする。
i)遮断されたARPフレームの数をカウントする。
a)アラート閾値以上のループフレームを全て遮断する。
b)アラート閾値以上のループフレームの帯域を制限する。
c)IPv4 TCP/UDPフレーム(10個)の帯域を制限する。
d)ARPフレームの帯域を制限する。
e)ICMPフレームの帯域を制限する。
f)遮断されたループフレームの数をカウントする。
g)遮断されたIPv4 TCP/UDPフレームの数をカウントする。
h)遮断されたARPフレームの数をカウントする。
i)遮断されたARPフレームの数をカウントする。
Port0送信回線I/F部9は、第1の接続端子Port0に接続されたネットワークとの送信側回線インタフェース部、Port1送信回線I/F部10は第2の接続端子Port1に接続されたネットワークとの送信側回線インタフェース部であり、これらは、主に物理層の制御を行うPHYデバイス及びMAC層の制御を行うMACデバイスにより構成される。
受信流量監視部11は、リンクの流量を計測するために以下のトラヒック量を計測する機能有する。
a)受信フレーム数
b)受信バイト数
c)受信エラーフレーム数のカウント
a)受信フレーム数
b)受信バイト数
c)受信エラーフレーム数のカウント
送信流量監視部12は、主に以下の機能を有する。
a)IPv4 TCP/UDP宛先ポート番号別フレーム数カウント(遮断対象)
b)IPv4 TCP/UDP宛先ポート番号別バイト数カウント(遮断対象)
c)ARPフレーム数カウント(遮断対象)
d)ARPフレームバイト数カウント(遮断対象)
e)ICMPフレーム数カウント(遮断対象)
f)ICMPフレームバイト数カウント(遮断対象)
g)全フレーム数カウント
h)全フレームバイト数カウント
a)IPv4 TCP/UDP宛先ポート番号別フレーム数カウント(遮断対象)
b)IPv4 TCP/UDP宛先ポート番号別バイト数カウント(遮断対象)
c)ARPフレーム数カウント(遮断対象)
d)ARPフレームバイト数カウント(遮断対象)
e)ICMPフレーム数カウント(遮断対象)
f)ICMPフレームバイト数カウント(遮断対象)
g)全フレーム数カウント
h)全フレームバイト数カウント
制御部13は、CPU(中央演算処理装置)で構成され、主に該異常トラヒック除去装置内の監視、制御、及び異常トラヒック除去装置を制御するパネル画面とのインタフェース機能を有する。本発明によるループ除去のフローを図2に、また本発明によるアタック除去のフローを図3に示し、また図5に本発明の異常トラヒック除去装置5−1の適用例を示している。
(本発明の第1の実施形態)
本発明によるループの監視及び検出は以下の処理により行われる。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査する(FCS検査、フレーム長検査)。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無を認識し、VLAN_Tag有りときTag段数を認識し、FCSの格納位置を特定する。そしてFCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’に設定する(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では、検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上であれば、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時に、フレーム解析部3に対してFCSの値を通知する。
この実施形態によれば、複数ポートから受信したMACフレームの同一FCS毎のフレームをカウントすることができるため、片方向のループトラヒックを検出することができる。片方向のループトラヒックを検出することができなかった従来技術ではネットワークダウンを回避することがきないが、この本発明の実施形態によればその問題点を解決することができる。
本発明によるループの監視及び検出は以下の処理により行われる。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査する(FCS検査、フレーム長検査)。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無を認識し、VLAN_Tag有りときTag段数を認識し、FCSの格納位置を特定する。そしてFCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’に設定する(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では、検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上であれば、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時に、フレーム解析部3に対してFCSの値を通知する。
この実施形態によれば、複数ポートから受信したMACフレームの同一FCS毎のフレームをカウントすることができるため、片方向のループトラヒックを検出することができる。片方向のループトラヒックを検出することができなかった従来技術ではネットワークダウンを回避することがきないが、この本発明の実施形態によればその問題点を解決することができる。
(本発明の第2の実施形態)
フレームの遮断は以下のように処理される。
(1)フレーム解析部3ではループ検出部6から受け取ったFCSの値を有するMACフレームの特定を行う。
(2)該特定が完了するとそのMACフレームにフラグを付加し、該MACフレームをフレーム遮断部8へ伝送する。
(3)フレーム遮断部8では、予め設定された遮断方法(アラート閾値以上を遮断又は帯域を制限する)に従ってフレームを遮断する。
この実施形態によれば、複数ポートから受信したMACフレームからネットワークのループ状態を検出して異常トラヒックを除去することができるため、片方向のループ除去し、ネットワークダウンを回避することができる。
フレームの遮断は以下のように処理される。
(1)フレーム解析部3ではループ検出部6から受け取ったFCSの値を有するMACフレームの特定を行う。
(2)該特定が完了するとそのMACフレームにフラグを付加し、該MACフレームをフレーム遮断部8へ伝送する。
(3)フレーム遮断部8では、予め設定された遮断方法(アラート閾値以上を遮断又は帯域を制限する)に従ってフレームを遮断する。
この実施形態によれば、複数ポートから受信したMACフレームからネットワークのループ状態を検出して異常トラヒックを除去することができるため、片方向のループ除去し、ネットワークダウンを回避することができる。
(本発明の第3の実施形態)
・ループフレームの自動遮断モード時には以下の処理を実施する。
(1)遮断対象が全通過フレームである場合、ハードウェアが自律動作でリンクイネーブルをオフ(フレーム転送を停止)にする。
(2)遮断対象がループフレームで、且つ、遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する。
(3)遮断対象がループフレームで、且つ、遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する。
・ループフレームの手動遮断モード時には以下のように処理される。
(1)遮断対象が全通過フレームである場合、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行することで、リンクイネーブルがオフ(フレーム転送を停止)になる。
(2)遮断対象がループフレームで、且つ、遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する(ハードウェアの自律動作による)。
(3)遮断対象がループフレームで、且つ、遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する(ハードウェアの自律動作による)。
この実施形態によれば、複数ポートから受信したMACフレームの除去方法(自動モード又は手動モード)を用途に応じて選択し、適正な対処を実施することができる。
・ループフレームの自動遮断モード時には以下の処理を実施する。
(1)遮断対象が全通過フレームである場合、ハードウェアが自律動作でリンクイネーブルをオフ(フレーム転送を停止)にする。
(2)遮断対象がループフレームで、且つ、遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する。
(3)遮断対象がループフレームで、且つ、遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する。
・ループフレームの手動遮断モード時には以下のように処理される。
(1)遮断対象が全通過フレームである場合、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行することで、リンクイネーブルがオフ(フレーム転送を停止)になる。
(2)遮断対象がループフレームで、且つ、遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する(ハードウェアの自律動作による)。
(3)遮断対象がループフレームで、且つ、遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する(ハードウェアの自律動作による)。
この実施形態によれば、複数ポートから受信したMACフレームの除去方法(自動モード又は手動モード)を用途に応じて選択し、適正な対処を実施することができる。
(本発明の第4の実施形態)
・遮断対象が全通過フレーム時には以下のように処理される。
(1)遮断モードが自動モードである場合、ハードウェアが自律動作でリンクイネーブルをオフ(フレーム転送を停止)にする。
(2)遮断モードが手動モードである場合、異常トラヒック除去装置を制御するオペレータが介在し遮断を実行することでリンクイネーブルがオフ(フレーム転送を停止)になる。
・遮断対象がループフレーム時には以下のように処理される。
(1)遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する。
(2)遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する。
この実施形態によれば、複数ポートから受信したMACフレームの除去対象フレームを、異常トラヒック除去装置内を通過する全てのフレーム又はループと検知されたフレームから選択することができ、ネットワークの状況に応じた除去を実現することができる。
・遮断対象が全通過フレーム時には以下のように処理される。
(1)遮断モードが自動モードである場合、ハードウェアが自律動作でリンクイネーブルをオフ(フレーム転送を停止)にする。
(2)遮断モードが手動モードである場合、異常トラヒック除去装置を制御するオペレータが介在し遮断を実行することでリンクイネーブルがオフ(フレーム転送を停止)になる。
・遮断対象がループフレーム時には以下のように処理される。
(1)遮断方法が“アラート閾値以上を遮断”である場合、アラート閾値以上のループフレームを全て遮断する。
(2)遮断方法が“帯域を制限”である場合、アラート閾値以上のループフレームの帯域を予め設定された通過率に従って制限する。
この実施形態によれば、複数ポートから受信したMACフレームの除去対象フレームを、異常トラヒック除去装置内を通過する全てのフレーム又はループと検知されたフレームから選択することができ、ネットワークの状況に応じた除去を実現することができる。
(本発明の第5の実施形態)
ループフレームの閾値超過遮断は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
(5)フレーム解析部3ではループ検出部6から受け取ったFCSの値を持つMACフレームの特定を行う。
(6)特定が完了するとそのMACフレームにフラグを付加して該MACフレームをフレーム遮断部8へ伝送する。
(7)フレーム遮断部8ではフラグが付加されたMACフレームを全て遮断する。
この実施形態によれば、複数ポートから受信したMACフレームのフレームカウントが閾値を超過した時点以降をループ異常発生と判断し、それ以降のループフレームを遮断するため、正常なフレームは除去することなくループフレームのみを遮断することができる。
ループフレームの閾値超過遮断は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
(5)フレーム解析部3ではループ検出部6から受け取ったFCSの値を持つMACフレームの特定を行う。
(6)特定が完了するとそのMACフレームにフラグを付加して該MACフレームをフレーム遮断部8へ伝送する。
(7)フレーム遮断部8ではフラグが付加されたMACフレームを全て遮断する。
この実施形態によれば、複数ポートから受信したMACフレームのフレームカウントが閾値を超過した時点以降をループ異常発生と判断し、それ以降のループフレームを遮断するため、正常なフレームは除去することなくループフレームのみを遮断することができる。
(本発明の第6の実施形態)
ループフレームの帯域制限は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
(5)フレーム解析部3ではループ検出部6から受け取ったFCSの値を持つMACフレームの特定を行う。
(6)特定が完了するとそのMACフレームにフラグを付加して該MACフレームをフレーム遮断部8へ伝送する。
(7)フレーム遮断部8ではフラグが付加されたMACフレームを予め設定された通過率だけ通過させることで帯域を制限する。
この実施形態によれば、複数ポートから受信したMACフレームのフレームカウントが閾値を超過した時点以降をループ異常発生と判断し、それ以降のループフレームを帯域制限するため、正常なフレームを除去することなくループフレームのみを帯域制限することができる。
ループフレームの帯域制限は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
(5)フレーム解析部3ではループ検出部6から受け取ったFCSの値を持つMACフレームの特定を行う。
(6)特定が完了するとそのMACフレームにフラグを付加して該MACフレームをフレーム遮断部8へ伝送する。
(7)フレーム遮断部8ではフラグが付加されたMACフレームを予め設定された通過率だけ通過させることで帯域を制限する。
この実施形態によれば、複数ポートから受信したMACフレームのフレームカウントが閾値を超過した時点以降をループ異常発生と判断し、それ以降のループフレームを帯域制限するため、正常なフレームを除去することなくループフレームのみを帯域制限することができる。
(本発明の第7の実施形態)
ループフレームの統計情報表示は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合そのエントリ数を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(5)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合、エントリ毎のフレーム数を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(6)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合、閾値超過エントリのフレーム数の総和を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
この実施形態によれば、ループしたMACフレームの統計情報の表示からループ異常状態発生の要因を特定することにより、ネットワークの修復を行い、ネットワークに多大な影響を及ぼすネットワークダウンを回避することができる。
ループフレームの統計情報表示は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行い、FCSの位置を特定する。FCSの値を抽出し、ループ監視部4へFCSの値を検索キーワードとする検索要求をアサートする。
(3)ループ監視部4ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタをアップ(前値に+‘1’)する。
(4)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合そのエントリ数を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(5)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合、エントリ毎のフレーム数を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(6)ループ検出部6では検索ヒット時にモニタしたFCSフレームカウンタの値が、予め設定されたフレームカウント閾値以上である場合、閾値超過エントリのフレーム数の総和を蓄積し、制御部13からの読み出し要求に応じて値を返送する。制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
この実施形態によれば、ループしたMACフレームの統計情報の表示からループ異常状態発生の要因を特定することにより、ネットワークの修復を行い、ネットワークに多大な影響を及ぼすネットワークダウンを回避することができる。
(本発明の第8の実施形態)
アタックの監視と検出を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)受信流量監視部11では接続端子Port0,Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
(3)受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していた場合、後述する本発明の第9の実施形態、第10の実施形態、第11の実施形態、第12の実施形態又は第13の実施形態により計測したフレーム数が予め設定された閾値以上である場合アタック攻撃と判定する。
この実施形態によれば、リンク帯域(トラヒック流量)を監視することで、アタックを瞬時に判定することができる。
アタックの監視と検出を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)受信流量監視部11では接続端子Port0,Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
(3)受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していた場合、後述する本発明の第9の実施形態、第10の実施形態、第11の実施形態、第12の実施形態又は第13の実施形態により計測したフレーム数が予め設定された閾値以上である場合アタック攻撃と判定する。
この実施形態によれば、リンク帯域(トラヒック流量)を監視することで、アタックを瞬時に判定することができる。
(本発明の第9の実施形態)
アタックTCP/UDP宛先ポート番号別統計を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。TCP/UDP宛先ポート番号を抽出し、アタック監視部5へTCP/UDP宛先ポート番号を検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
アタックTCP/UDP宛先ポート番号別統計を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。TCP/UDP宛先ポート番号を抽出し、アタック監視部5へTCP/UDP宛先ポート番号を検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
(本発明の第10の実施形態)
アタックIPSA毎TCP/UDP宛先ポート番号別統計を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。Protocolフィールドの位置を特定する。IPSAの位置を特定する。TCP/UDP宛先ポート番号、Protocolフィールド、IPSAを抽出し、アタック監視部5へTCP/UDP宛先ポート番号、Protocolフィールド、IPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号、Protocolフィールド、IPSAの値をIPSA毎TCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのIPSA毎TCP/UDP宛先ポート番号別のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
アタックIPSA毎TCP/UDP宛先ポート番号別統計を以下のように処理する。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。Protocolフィールドの位置を特定する。IPSAの位置を特定する。TCP/UDP宛先ポート番号、Protocolフィールド、IPSAを抽出し、アタック監視部5へTCP/UDP宛先ポート番号、Protocolフィールド、IPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号、Protocolフィールド、IPSAの値をIPSA毎TCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのIPSA毎TCP/UDP宛先ポート番号別のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
(本発明の第11の実施形態)
アタックIPSA毎IP宛先数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPDAの位置を特定する。IPSAの位置を特定する。IPDA、IPSAを抽出し、アタック監視部5へIPDA、IPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPDA、IPSAの値をIPSA毎IP宛先数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのIPSA毎IP宛先数のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
アタックIPSA毎IP宛先数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPDAの位置を特定する。IPSAの位置を特定する。IPDA、IPSAを抽出し、アタック監視部5へIPDA、IPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPDA、IPSAの値をIPSA毎IP宛先数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、IPv4フレームのIPSA毎IP宛先数のフレームカウントにより、IPv4フレームによるアタックの発生要因を特定することができる。
(本発明の第12の実施形態)
アタックIPSA毎ARPフレーム数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ARPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、ARPフレームのIPSA毎のフレームカウントにより、ARPフレームによるアタック攻撃の発生要因を特定することができる。
アタックIPSA毎ARPフレーム数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ARPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、ARPフレームのIPSA毎のフレームカウントにより、ARPフレームによるアタック攻撃の発生要因を特定することができる。
(本発明の第13の実施形態)
アタックIPSA毎ICMPフレーム数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ICMPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、ICMPフレームのIPSA毎のフレームカウントにより、ICMPフレームによるアタックの発生要因を特定することができる。
アタックIPSA毎ICMPフレーム数統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ICMPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップ(前値に+‘1’)する。
この実施形態によれば、ICMPフレームのIPSA毎のフレームカウントにより、ICMPフレームによるアタックの発生要因を特定することができる。
(本発明の第14の実施形態)
アタックIPv4フレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。TCP/UDP宛先ポート番号を抽出し、アタック監視部5へTCP/UDP宛先ポート番号を検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
(4)(8)アタック統計部内のIPv4TCP/UDP統計部では、検索ヒット時にモニタしたTCP/UDP宛先ポート番号毎のフレームカウンタの値が予め設定されたフレームカウント閾値以上であることを検出すると、閾値を超過した中でフレームカウントの多い上位10個のTCP/UDP宛先ポート番号をアタック監視部5内のTCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。
(5)抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数をアタック監視部5内のTCP/UDP宛先ポート番号フレームカウントテーブルから抽出し、アタック統計部内のIPv4TCP/UDP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎TCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対してTCP/UDP宛先ポート番号別のフレーム統計情報を得ることができる。
アタックIPv4フレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。TCP/UDP宛先ポート番号の位置を特定する。TCP/UDP宛先ポート番号を抽出し、アタック監視部5へTCP/UDP宛先ポート番号を検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップ(前値に+‘1’)する。
(4)(8)アタック統計部内のIPv4TCP/UDP統計部では、検索ヒット時にモニタしたTCP/UDP宛先ポート番号毎のフレームカウンタの値が予め設定されたフレームカウント閾値以上であることを検出すると、閾値を超過した中でフレームカウントの多い上位10個のTCP/UDP宛先ポート番号をアタック監視部5内のTCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。
(5)抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数をアタック監視部5内のTCP/UDP宛先ポート番号フレームカウントテーブルから抽出し、アタック統計部内のIPv4TCP/UDP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎TCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対してTCP/UDP宛先ポート番号別のフレーム統計情報を得ることができる。
(本発明の第15の実施形態)
ARPフレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ARPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップ(前値に+‘1’)する。
(4)アタック統計部7内のARP統計部では検索ヒット時にモニタしたIPSA毎ARPフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合閾値超過を検出する。
(5)閾値超過を検出するとIPSA毎ARPフレームカウント数をアタック監視部5内のIPSA毎ARPフレームカウントテーブルから抽出し、アタック統計部内のARP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)IPSA毎ARPフレームカウントでカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎ARP監視テーブルからレジスタへ抽出する。
この実施形態によれば、ARPフレームのIPSA毎のフレームカウントにより、IPv4ARPフレームによるアタックに対してIPSA毎のフレーム統計情報を得ることができる。
ARPフレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ARPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップ(前値に+‘1’)する。
(4)アタック統計部7内のARP統計部では検索ヒット時にモニタしたIPSA毎ARPフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合閾値超過を検出する。
(5)閾値超過を検出するとIPSA毎ARPフレームカウント数をアタック監視部5内のIPSA毎ARPフレームカウントテーブルから抽出し、アタック統計部内のARP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)IPSA毎ARPフレームカウントでカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎ARP監視テーブルからレジスタへ抽出する。
この実施形態によれば、ARPフレームのIPSA毎のフレームカウントにより、IPv4ARPフレームによるアタックに対してIPSA毎のフレーム統計情報を得ることができる。
(本発明の第16の実施形態)
ICMPフレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ICMPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップ(前値に+‘1’)する。
(4)アタック統計部7内のICMP統計部では検索ヒット時にモニタしたIPSA毎ICMPフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合閾値超過を検出する。
(5)閾値超過を検出するとIPSA毎ICMPフレームカウント数をアタック監視部5内のIPSA毎ICMPフレームカウントテーブルから抽出し、アタック統計部内のARP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)IPSA毎ICMPフレームカウントでカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎ICMP監視テーブルからレジスタへ抽出する。
この実施形態によれば、ICMPフレームIPSA毎のフレームカウントにより、IPv4ICMPフレームによるアタックに対してIPSA毎のフレーム統計情報を得ることができる。
ICMPフレーム統計は以下のように処理される。
(1)Port0受信回路I/F部1又はPort1受信回路I/F部2でMACフレームの妥当性を検査(FCS検査、フレーム長検査)する。検査結果不良の場合はフレームを廃棄する。
(2)フレーム解析部3ではフレームフォーマットの識別を行い、VLAN_Tag有無の認識、VLAN_Tag有り時のTag段数の認識を行う。プロトコル(IPv4,ARP,ICMP,TCP,UDP)を識別しフレームを認識する。IPSAの位置を特定する。IPSAを抽出し、アタック監視部5へIPSAを検索キーワードとする検索要求をアサートする。
(3)アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗) IPSAの値をIPSA毎ICMPフレーム数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップ(前値に+‘1’)する。
(4)アタック統計部7内のICMP統計部では検索ヒット時にモニタしたIPSA毎ICMPフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合閾値超過を検出する。
(5)閾値超過を検出するとIPSA毎ICMPフレームカウント数をアタック監視部5内のIPSA毎ICMPフレームカウントテーブルから抽出し、アタック統計部内のARP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。
(6)IPSA毎ICMPフレームカウントでカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎ICMP監視テーブルからレジスタへ抽出する。
この実施形態によれば、ICMPフレームIPSA毎のフレームカウントにより、IPv4ICMPフレームによるアタックに対してIPSA毎のフレーム統計情報を得ることができる。
(本発明の第17の実施形態)
アタックIPv4フレーム遮断対象決定は以下のように処理される。
(1)前述の第14の実施形態の(4)で抽出した上位10個のTCP/UDP宛先ポート番号、及び(5)で抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数(継続カウント)を基に、遮断対象のTCP/UDP宛先ポート番号を決定する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となるフレーム(TCP/UDP宛先ポート番号)を特定することができる。
アタックIPv4フレーム遮断対象決定は以下のように処理される。
(1)前述の第14の実施形態の(4)で抽出した上位10個のTCP/UDP宛先ポート番号、及び(5)で抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数(継続カウント)を基に、遮断対象のTCP/UDP宛先ポート番号を決定する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となるフレーム(TCP/UDP宛先ポート番号)を特定することができる。
(本発明の第18の実施形態)
アタックIPv4フレーム通過率決定は以下のように処理される。
(1)前述の第17の実施形態で決定した遮断対象のTCP/UDP宛先ポート番号毎の受信フレーム数、受信バイト数とリンク流量を解析し、TCP/UDP宛先ポート番号毎のフレーム通過率を決定する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となったフレーム(TCP/UDP宛先ポート番号)通過率を設定することができる。
アタックIPv4フレーム通過率決定は以下のように処理される。
(1)前述の第17の実施形態で決定した遮断対象のTCP/UDP宛先ポート番号毎の受信フレーム数、受信バイト数とリンク流量を解析し、TCP/UDP宛先ポート番号毎のフレーム通過率を決定する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となったフレーム(TCP/UDP宛先ポート番号)通過率を設定することができる。
(本発明の第19の実施形態)
アタックIPv4フレーム帯域制限は以下のように処理される。
(1)前述の第18の実施形態で決定したTCP/UDP宛先ポート番号毎のフレーム通過率をレジスタへ設定する。
(2)通過率にはTCP/UDP宛先ポート番号毎に有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるTCP/UDP宛先ポート番号を持ったフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となったフレーム(TCP/UDP宛先ポート番号)通過率だけフレームを通過させることでIPv4フレームのアタックフレームの帯域制限を実現することができる。
アタックIPv4フレーム帯域制限は以下のように処理される。
(1)前述の第18の実施形態で決定したTCP/UDP宛先ポート番号毎のフレーム通過率をレジスタへ設定する。
(2)通過率にはTCP/UDP宛先ポート番号毎に有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるTCP/UDP宛先ポート番号を持ったフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4フレームのTCP/UDP宛先ポート番号別のフレームカウントにより、IPv4TCP/UDPフレームによるアタックに対して遮断対象となったフレーム(TCP/UDP宛先ポート番号)通過率だけフレームを通過させることでIPv4フレームのアタックフレームの帯域制限を実現することができる。
(本発明の第20の実施形態)
アタックARPフレーム遮断対象決定は以下のように処理される。
(1)前述の第15の実施形態の(5)で抽出したIPSA毎のARPフレームカウント数(継続カウント)を基に、ARPフレームを遮断するか決定する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対して、ARPフレームの遮断を決定することができる。
アタックARPフレーム遮断対象決定は以下のように処理される。
(1)前述の第15の実施形態の(5)で抽出したIPSA毎のARPフレームカウント数(継続カウント)を基に、ARPフレームを遮断するか決定する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対して、ARPフレームの遮断を決定することができる。
(本発明の第21の実施形態)
アタックARPフレーム通過率決定は以下のように処理される。
(1)前述の第20の実施形態でARPフレームを遮断対象とすることが決定した場合、ARPフレームの受信フレーム数、受信バイト数及びリンク流量を解析し、ARPフレームの通過率を決定する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対してARPフレーム通過率を設定することができる。
アタックARPフレーム通過率決定は以下のように処理される。
(1)前述の第20の実施形態でARPフレームを遮断対象とすることが決定した場合、ARPフレームの受信フレーム数、受信バイト数及びリンク流量を解析し、ARPフレームの通過率を決定する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対してARPフレーム通過率を設定することができる。
(本発明の第22の実施形態)
アタックARPフレーム帯域制限は以下のように処理される。
(1)前述の第21の実施形態で決定したARPフレームの通過率をレジスタへ設定する。
(2)通過率には有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるARPフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対してARPフレームの通過率だけフレームを通過させることでARPフレームのアタックフレームの帯域制限を実現することができる。
アタックARPフレーム帯域制限は以下のように処理される。
(1)前述の第21の実施形態で決定したARPフレームの通過率をレジスタへ設定する。
(2)通過率には有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるARPフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4ARPフレームのフレームカウントにより、IPv4ARPフレームによるアタックに対してARPフレームの通過率だけフレームを通過させることでARPフレームのアタックフレームの帯域制限を実現することができる。
(本発明の第23の実施形態)
アタックICMPフレーム遮断対象決定は以下のように処理される。
(1)本発明の第16の実施形態の(5)で抽出したIPSA毎のICMPフレームカウント数(継続カウント)を基に、ICMPフレームを遮断するか決定する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレームの遮断決定を実現することができる。
アタックICMPフレーム遮断対象決定は以下のように処理される。
(1)本発明の第16の実施形態の(5)で抽出したIPSA毎のICMPフレームカウント数(継続カウント)を基に、ICMPフレームを遮断するか決定する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレームの遮断決定を実現することができる。
(本発明の第24の実施形態)
アタックICMPフレーム通過率決定は以下のように処理される。
(1)前述の第23の実施形態で決定したICMPの受信フレーム数、受信バイト数及びリンク流量を解析し、ICMPフレームの通過率を決定する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレーム通過率を設定することができる。
アタックICMPフレーム通過率決定は以下のように処理される。
(1)前述の第23の実施形態で決定したICMPの受信フレーム数、受信バイト数及びリンク流量を解析し、ICMPフレームの通過率を決定する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレーム通過率を設定することができる。
(本発明の第25の実施形態)
アタックICMPフレーム帯域制限は以下のように処理される。
(1)前述の第24の実施形態で決定したICMPフレームの通過率をレジスタへ設定する。
(2)通過率には有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるICMPフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレームの通過率だけフレームを通過させることでICMPフレームのアタックフレームの帯域制限を実現することができる。
アタックICMPフレーム帯域制限は以下のように処理される。
(1)前述の第24の実施形態で決定したICMPフレームの通過率をレジスタへ設定する。
(2)通過率には有効ビットが付加されているので、通過率を実行するにはこの有効ビットをオンにする必要がある。
(3)通過率が有効になると、対象となるICMPフレームの受信バイト数をカウントし、ある時間内(例:100ms)に通過率として設定された値のバイト数をカウントすると、それ以降はフレームを受信しないことで帯域を制限する。
この実施形態によれば、IPv4ICMPフレームのフレームカウントにより、IPv4ICMPフレームによるアタックに対してICMPフレームの通過率だけフレームを通過させることでICMPフレームのアタックフレームの帯域制限を実現することができる。
(本発明の第26の実施形態)
アタックIPv4フレームアタック要因表示は以下のように処理される。
(1)本発明の第14の実施形態の(6)で抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは、表示されたIPSA値からIPv4アタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4TCP/UDPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4TCP/UDPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因を特定することができる。
アタックIPv4フレームアタック要因表示は以下のように処理される。
(1)本発明の第14の実施形態の(6)で抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは、表示されたIPSA値からIPv4アタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4TCP/UDPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4TCP/UDPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因を特定することができる。
(本発明の第27の実施形態)
アタックARPフレームアタック要因表示は以下のように処理される。
(1)本発明の第15の実施形態の(6)で抽出したカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは表示されたIPSA値からARPアタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4ARPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4ARPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因を特定することができる。
アタックARPフレームアタック要因表示は以下のように処理される。
(1)本発明の第15の実施形態の(6)で抽出したカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは表示されたIPSA値からARPアタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4ARPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4ARPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因を特定することができる。
(本発明の第28の実施形態)
アタックICMPフレームアタック要因表示は以下のように処理される。
(1)本発明の第16の実施形態の(6)で抽出したカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは、表示されたIPSA値からICMPアタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4ICMPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4ICMPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因の特定することができる。
アタックICMPフレームアタック要因表示は以下のように処理される。
(1)本発明の第16の実施形態の(6)で抽出したカウント値が一番多いIPSAの値を、制御部13からの読み出し要求に応じて返送する。
(2)制御部13はその値を異常トラヒック除去装置を制御するソフトウェア(汎用のコンピュータ上で動作するもの)上に表示する。
(3)異常トラヒック除去装置を制御するオペレータは、表示されたIPSA値からICMPアタック攻撃フレームを送信しているIP送信元アドレスを特定することで、即時に要因特定を行う情報を収集することが可能である。
この実施形態によれば、IPv4ICMPフレームによるアタックに対して、抽出したIPSA情報を解析し、IPv4ICMPアタックフレームのアタック元を表示することで、予めアタックパターン(IPアドレスやプロトコル種別やTCP/UDPポート番号)を予測する従来技術では対応できない新たなアタックの要因の特定することができる。
(本発明の第29の実施形態)
・アタックフレームの自動遮断モード時には以下の処理が実施される。
(1)IPv4TCP/UDPフレームについて本発明の第19の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
(2)ARPフレームについて本発明の第22の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
(3)ICMPフレームについて本発明の第25の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
・アタックフレームの自動遮断モード時には以下の処理が実施される。
(1)IPv4TCP/UDPフレームについて本発明の第19の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
(2)ARPフレームについて本発明の第22の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
(3)ICMPフレームについて本発明の第25の実施形態の処理をハードウェア又はソフトウェアの自律処理機能で実行する。
・アタックフレームのの手動遮断モード時には以下のように処理される。
(1)IPv4TCP/UDPフレームについて、本発明の第19の実施形態の(1)はハードウェアが自律的に実行する。本発明の第19の(2)のTCP/UDP宛先ポート番号毎通過率有効ビット有効のオン/オフ設定を異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第19の実施形態の(3)はハードウェアが自律的に実行する。
(2)ARPフレームについて、本発明の第22の実施形態の(1)はハードウェアが自律動作で実行する。本発明の第22の実施形態の(2)の通過率有効ビット有効のオン/オフ設定を、異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第22の実施形態の(3)はハードウェアが自律動作で実行する。
(3)ICMPフレームについて、本発明の第25の実施形態の(1)はハードウェアが自律動作で実行する。本発明の第25の実施形態の(2)の通過率有効ビット有効のオン/オフ設定を、異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第25の実施形態の(3)はハードウェアが自律動作で実行する。
この実施形態によれば、複数ポートから受信したアタックフレームの除去を、自動モード又は手動モードから選択でき、用途に応じて除去方法を選択し、適正な対処を実施することができる。
(1)IPv4TCP/UDPフレームについて、本発明の第19の実施形態の(1)はハードウェアが自律的に実行する。本発明の第19の(2)のTCP/UDP宛先ポート番号毎通過率有効ビット有効のオン/オフ設定を異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第19の実施形態の(3)はハードウェアが自律的に実行する。
(2)ARPフレームについて、本発明の第22の実施形態の(1)はハードウェアが自律動作で実行する。本発明の第22の実施形態の(2)の通過率有効ビット有効のオン/オフ設定を、異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第22の実施形態の(3)はハードウェアが自律動作で実行する。
(3)ICMPフレームについて、本発明の第25の実施形態の(1)はハードウェアが自律動作で実行する。本発明の第25の実施形態の(2)の通過率有効ビット有効のオン/オフ設定を、異常トラヒック除去装置を制御するオペレータが介在して行う。本発明の第25の実施形態の(3)はハードウェアが自律動作で実行する。
この実施形態によれば、複数ポートから受信したアタックフレームの除去を、自動モード又は手動モードから選択でき、用途に応じて除去方法を選択し、適正な対処を実施することができる。
(本発明の第30の実施形態)
ループ・アタック統計は受信するフレームの内容によって以下のように処理される。
(1)MACフレーム(レイヤ3以上を実装しないフレーム)について、本発明の第1の実施形態のループ監視・検出の各処理を実行する。
(2)IPv4TCP フレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第9の実施形態のアタックTCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第10の実施形態のアタックIPSA毎TCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第11の実施形態のアタックIPSA毎IP宛先数統計の各処理を実行する。
(3)IPv4UDPフレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第9の実施形態のアタックTCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第10の実施形態のアタックIPSA毎TCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の本発明の第11の実施形態のアタックIPSA毎IP宛先数統計の各処理を実行する。
(4)IPv4ARPフレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第12の実施形態のアタックIPSA毎ARPフレーム数統計の各処理を実行する。
(5)IPv4ICMPフレームについて、本発明の第1の実施形態のループ監視・検出方式の各処理を実行する。本発明の第13の実施形態のアタックIPSA毎ICMPフレーム数統計の各処理を実行する。
この実施形態によれば、ループ監視・検出、アタック監視・検出を並行処理することができるため、同時に発生したループとアタックとに対してそれらの異常トラヒックを一台の装置で除去することができる。
ループ・アタック統計は受信するフレームの内容によって以下のように処理される。
(1)MACフレーム(レイヤ3以上を実装しないフレーム)について、本発明の第1の実施形態のループ監視・検出の各処理を実行する。
(2)IPv4TCP フレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第9の実施形態のアタックTCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第10の実施形態のアタックIPSA毎TCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第11の実施形態のアタックIPSA毎IP宛先数統計の各処理を実行する。
(3)IPv4UDPフレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第9の実施形態のアタックTCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の第10の実施形態のアタックIPSA毎TCP/UDP宛先ポート番号別統計の各処理を実行する。本発明の本発明の第11の実施形態のアタックIPSA毎IP宛先数統計の各処理を実行する。
(4)IPv4ARPフレームについて、本発明の第1の実施形態のループ監視・検出の各処理を実行する。本発明の第12の実施形態のアタックIPSA毎ARPフレーム数統計の各処理を実行する。
(5)IPv4ICMPフレームについて、本発明の第1の実施形態のループ監視・検出方式の各処理を実行する。本発明の第13の実施形態のアタックIPSA毎ICMPフレーム数統計の各処理を実行する。
この実施形態によれば、ループ監視・検出、アタック監視・検出を並行処理することができるため、同時に発生したループとアタックとに対してそれらの異常トラヒックを一台の装置で除去することができる。
(本発明の第31の実施形態)
監視テーブルパージは以下のように処理される。各監視テーブルのパージは個別に実行できる。
(1)FCS監視テーブルについて、ネットワークで一度ループが発生すると瞬時(数秒と言われている)にしてネットワークは通信不能に陥る。ネットワークを元通りに復旧させるにはかなりの時間を要する。FCSは受信する全フレームに付加されているので、FCS監視テーブル(エントリが書き込んである部分)のエントリは短時間で一杯になる可能性が高い。そこで、
a)ある周期(例:1秒)毎に、FCS監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているFCS値を全て無効にする。
c)パージが完了すると、FCS監視テーブルの0番地から新規にFCS値がエントリされる。(常に最新の情報でループの監視が可能)。パージとパージの間にループフレームカウントの閾値を超過するエントリを検出した場合は、FCS監視テーブルを保持(パージ中止)し、ループフレームの遮断を実施する。ループフレームが収束したら周期パージを再開する。ループフレームカウントの閾値超過がなければ、a)〜c)の動作を繰り返す。
(2)TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルについて、IPv4TCP/UDPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生すると、ルータ等の中継装置の処理性能が低下し、ネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、TCP/UDP宛先ポート番号監視テーブル(例:16Kワード)、IPSA毎TCP/UDP宛先ポート番号監視テーブル(例:32Kワード)、IPSA毎宛先(IPDA)数監視テーブル(例:32Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているをTCP/UDP宛先ポート番号、Protocol、IPDA、IPSAを全て無効にする。
c)パージが完了すると、TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルの0番地から新規にTCP/UDP宛先ポート番号、Protocol、IPDA、IPSAがエントリされる。
(3)IPSA毎ARP監視テーブルについて、IPv4のARPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生するとルータ等の中継装置の処理性能が低下しネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、IPSA毎ARP監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているをIPSAを全て無効にする。
c)パージが完了すると、IPSA毎ARP監視テーブルの0番地から新規にIPSAがエントリされる。
(4)IPSA毎ICMP監視テーブルについて、IPv4のICMPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生するとルータ等の中継装置の処理性能が低下しネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、IPSA毎ICMP監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信するとエントリされているをIPSAを全て無効にする。
c)パージが完了するとIPSA毎ARP監視テーブルの0番地から新規にIPSAがエントリされる。
この実施形態によれば、FCS監視テーブル、TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブル、IPSA毎ARP監視テーブル及びIPSA毎ICMP監視テーブルを定期的にパージし、テーブル内を更新することで、監視精度を向上させることができる。
監視テーブルパージは以下のように処理される。各監視テーブルのパージは個別に実行できる。
(1)FCS監視テーブルについて、ネットワークで一度ループが発生すると瞬時(数秒と言われている)にしてネットワークは通信不能に陥る。ネットワークを元通りに復旧させるにはかなりの時間を要する。FCSは受信する全フレームに付加されているので、FCS監視テーブル(エントリが書き込んである部分)のエントリは短時間で一杯になる可能性が高い。そこで、
a)ある周期(例:1秒)毎に、FCS監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているFCS値を全て無効にする。
c)パージが完了すると、FCS監視テーブルの0番地から新規にFCS値がエントリされる。(常に最新の情報でループの監視が可能)。パージとパージの間にループフレームカウントの閾値を超過するエントリを検出した場合は、FCS監視テーブルを保持(パージ中止)し、ループフレームの遮断を実施する。ループフレームが収束したら周期パージを再開する。ループフレームカウントの閾値超過がなければ、a)〜c)の動作を繰り返す。
(2)TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルについて、IPv4TCP/UDPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生すると、ルータ等の中継装置の処理性能が低下し、ネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、TCP/UDP宛先ポート番号監視テーブル(例:16Kワード)、IPSA毎TCP/UDP宛先ポート番号監視テーブル(例:32Kワード)、IPSA毎宛先(IPDA)数監視テーブル(例:32Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているをTCP/UDP宛先ポート番号、Protocol、IPDA、IPSAを全て無効にする。
c)パージが完了すると、TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルの0番地から新規にTCP/UDP宛先ポート番号、Protocol、IPDA、IPSAがエントリされる。
(3)IPSA毎ARP監視テーブルについて、IPv4のARPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生するとルータ等の中継装置の処理性能が低下しネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、IPSA毎ARP監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信すると、エントリされているをIPSAを全て無効にする。
c)パージが完了すると、IPSA毎ARP監視テーブルの0番地から新規にIPSAがエントリされる。
(4)IPSA毎ICMP監視テーブルについて、IPv4のICMPアタック攻撃でネットワークが通信不能に陥るケースはループに比べると低いと思われる。アタック攻撃が発生するとルータ等の中継装置の処理性能が低下しネットワークに輻輳が発生する。そこで、
a)ある周期(例:30秒)毎に、IPSA毎ICMP監視テーブル(例:16Kワード)に対してパージコマンドを発行する。
b)パージコマンドを受信するとエントリされているをIPSAを全て無効にする。
c)パージが完了するとIPSA毎ARP監視テーブルの0番地から新規にIPSAがエントリされる。
この実施形態によれば、FCS監視テーブル、TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブル、IPSA毎ARP監視テーブル及びIPSA毎ICMP監視テーブルを定期的にパージし、テーブル内を更新することで、監視精度を向上させることができる。
(本発明の第32の実施形態)
監視・遮断平行実行は以下のように処理される。
(1)IPv4TCP/UDPフレーム
TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4TCP/UDPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第17の実施形態のアタックIPv4フレーム遮断対象決定、本発明の第18の実施形態のアタックIPv4フレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第19の実施形態のアタックIPv4フレーム帯域制限を実行しIPv4のTCP/UDPアタック攻撃フレームを遮断する。
(2)IPv4ARPフレーム
IPSA毎ARP監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4ARPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第20の実施形態のアタックARPフレーム遮断決定、本発明の第21の実施形態のアタックARPフレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第22の実施形態のアタックARPフレーム帯域制限を実行し、IPv4のARPアタック攻撃フレームを遮断する。
(3)IPv4ICMPフレーム
IPSA毎ICMP監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4のICMPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第23の実施形態のアタックICMPフレーム遮断決定、本発明の第24の実施形態のアタックICMPフレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第25のアタックICMPフレーム帯域制限を実行し、IPv4のICMPアタック攻撃フレームを遮断する。
この実施形態によれば、IPv4TCP/UDPフレームによるアタック、IPv4ARPフレームによるアタック及びIPv4ICMPフレームによるアタックに対して統計処理を行い、各監視テーブルをパージした後に遮断を実行することにより、変動するネットワークの監視に対応することができる。
監視・遮断平行実行は以下のように処理される。
(1)IPv4TCP/UDPフレーム
TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP宛先ポート番号監視テーブル、IPSA毎宛先(IPDA)数監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4TCP/UDPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第17の実施形態のアタックIPv4フレーム遮断対象決定、本発明の第18の実施形態のアタックIPv4フレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第19の実施形態のアタックIPv4フレーム帯域制限を実行しIPv4のTCP/UDPアタック攻撃フレームを遮断する。
(2)IPv4ARPフレーム
IPSA毎ARP監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4ARPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第20の実施形態のアタックARPフレーム遮断決定、本発明の第21の実施形態のアタックARPフレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第22の実施形態のアタックARPフレーム帯域制限を実行し、IPv4のARPアタック攻撃フレームを遮断する。
(3)IPv4ICMPフレーム
IPSA毎ICMP監視テーブルをある周期(例:30秒)でパージ(パージ中は監視停止)する。パージから次のパージまでの間にIPv4のICMPフレームの監視/遮断を実行する。パージ動作の直前に、本発明の第23の実施形態のアタックICMPフレーム遮断決定、本発明の第24の実施形態のアタックICMPフレーム通過率決定を実行してからパージを実行する。パージ後、本発明の第25のアタックICMPフレーム帯域制限を実行し、IPv4のICMPアタック攻撃フレームを遮断する。
この実施形態によれば、IPv4TCP/UDPフレームによるアタック、IPv4ARPフレームによるアタック及びIPv4ICMPフレームによるアタックに対して統計処理を行い、各監視テーブルをパージした後に遮断を実行することにより、変動するネットワークの監視に対応することができる。
(本発明の第33の実施形態)
ループ/アタック物理Portモード選択は以下のように処理される。
(1)分割モード:異常トラヒックを除去する装置の複数ポートから受信したフレームのループ/アタックフレーム監視・検出・統計・遮断動作を実行する際に、受信した物理Port番号毎に各処理を行う。
(2)共有モード:異常トラヒックを除去する装置の複数ポートから受信したフレームのループ/アタックフレーム監視・検出・統計・遮断動作を実行する際に、受信した物理Port番号毎に分けずに各処理を行う。
この実施形態によれば、物理ポートを分割モード(Portを意識する)又は共有(Portを意識しない)モードから選択することができるため、ネットワークの双方向及び片方向のトラヒック監視処理に対応することができる。
ループ/アタック物理Portモード選択は以下のように処理される。
(1)分割モード:異常トラヒックを除去する装置の複数ポートから受信したフレームのループ/アタックフレーム監視・検出・統計・遮断動作を実行する際に、受信した物理Port番号毎に各処理を行う。
(2)共有モード:異常トラヒックを除去する装置の複数ポートから受信したフレームのループ/アタックフレーム監視・検出・統計・遮断動作を実行する際に、受信した物理Port番号毎に分けずに各処理を行う。
この実施形態によれば、物理ポートを分割モード(Portを意識する)又は共有(Portを意識しない)モードから選択することができるため、ネットワークの双方向及び片方向のトラヒック監視処理に対応することができる。
ループの監視、検出、統計、遮断動作について本発明の実施例1を説明する。実施例1は前述した以下の本発明の実施形態に関連する。第1の実施形態のループ監視・検出、第2の実施形態のループ遮断、第3の実施形態のループ遮断モード選択、第4の実施形態のループ遮断対象選択、第5の実施形態のループ閾値超過遮断、第6の実施形態のループ帯域制限、第7の実施形態のループ統計情報表示、第30の実施形態のループ・アタック統計、第31の実施形態の監視テーブルパージ、第33の実施形態のループ・アタック物理ポートモード選択。
ループフレームの監視について
(1)ネットワークからのフレームの受信処理について
ネットワークから受信したイーサネット(登録商標)フレームは、先ず図1のPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する(検査内容は図19の(a)参照)。フレームの妥当性検査を完了したフレームは図1の3つのブロック(フレーム解析部3、フレーム遮断部8、受信流量監視部11(主な機能は図19(b)参照)に伝送される。
(1)ネットワークからのフレームの受信処理について
ネットワークから受信したイーサネット(登録商標)フレームは、先ず図1のPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する(検査内容は図19の(a)参照)。フレームの妥当性検査を完了したフレームは図1の3つのブロック(フレーム解析部3、フレーム遮断部8、受信流量監視部11(主な機能は図19(b)参照)に伝送される。
(2)フレームの解析処理について
フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドによりプロトコルを判別する(図19(c)参照)。IPv4フレームフォーマットは図6(VLAN_Tag無し)及び図7(VLAN_Tag有り)に示している。また、ARPフレームフォーマットは図8(VLAN_Tag無し)及び図9(VLAN_Tag有り)に示す。また、ICMPフレームフォーマットは図10(VLAN_Tag無し)及び図11(VLAN_Tag有り)に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより上位層のプロトコルを判別する(図19(d)参照)。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、検索キーワードの抽出を実行する(図20(a)参照)。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを生成する(図20(b)参照。ループ監視の検索コードは同図(b)の網掛け部分が該当する。)
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12は検索キーワード構成図を示している。ループ監視を行う場合はFCSが検索キーワードである。
f)検索要求信号の生成:ループ監視部4及びアタック監視部5に対して図20(c)に示す信号を渡す。
フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドによりプロトコルを判別する(図19(c)参照)。IPv4フレームフォーマットは図6(VLAN_Tag無し)及び図7(VLAN_Tag有り)に示している。また、ARPフレームフォーマットは図8(VLAN_Tag無し)及び図9(VLAN_Tag有り)に示す。また、ICMPフレームフォーマットは図10(VLAN_Tag無し)及び図11(VLAN_Tag有り)に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより上位層のプロトコルを判別する(図19(d)参照)。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、検索キーワードの抽出を実行する(図20(a)参照)。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを生成する(図20(b)参照。ループ監視の検索コードは同図(b)の網掛け部分が該当する。)
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12は検索キーワード構成図を示している。ループ監視を行う場合はFCSが検索キーワードである。
f)検索要求信号の生成:ループ監視部4及びアタック監視部5に対して図20(c)に示す信号を渡す。
(3)ループ監視について
ループ監視部4では、フレーム解析部3からの検索要求を基に、検索エンジン(FCS監視テーブル)に対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。→FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(2回目以降は前値に+‘1’)。図13にループ監視テーブルの構成及びFCSフレームカウントテーブルを示す。
ループ監視部4では、フレーム解析部3からの検索要求を基に、検索エンジン(FCS監視テーブル)に対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるとその結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):FCSの値をFCS監視テーブル内に書き込み、エントリを新規に作成する。→FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):FCSフレームカウントテーブル内にエントリ毎にアロケートされたFCSフレームカウンタを‘1’にする(2回目以降は前値に+‘1’)。図13にループ監視テーブルの構成及びFCSフレームカウントテーブルを示す。
ループフレームの検出について
ループ状態検出について:ループ検出部6では、検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
・検索ヒット時(検索成功):[検索エンジンに対して検索を要求する。]→[検索ヒット信号を受信(検索成功)]→[監視テーブルエントリナンバに対応するFCSフレームカウントテーブルを読み出す。]→[読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してFCSフレームカウントテーブル内に格納する。]→[比較の結果、読み出し値が大きければループ状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。ループ検出部6からフレーム解析部3に対してアラートを発生したフレームのFCS値を通知する。]→[制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にループ状態発生を表示し、オペレータに通知する。]
ループ状態検出について:ループ検出部6では、検索ヒット時にモニタしたFCSフレームカウンタの値が予め設定されたフレームカウント閾値以上である場合、ネットワークがループ状態に陥ったと判断し、アラームをアサートすると同時にフレーム解析部3に対してFCSの値を通知する。
・検索ヒット時(検索成功):[検索エンジンに対して検索を要求する。]→[検索ヒット信号を受信(検索成功)]→[監視テーブルエントリナンバに対応するFCSフレームカウントテーブルを読み出す。]→[読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してFCSフレームカウントテーブル内に格納する。]→[比較の結果、読み出し値が大きければループ状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。ループ検出部6からフレーム解析部3に対してアラートを発生したフレームのFCS値を通知する。]→[制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にループ状態発生を表示し、オペレータに通知する。]
ループフレームの統計について
ループフレームの統計情報として以下の3つの項を表示する。
項1:ループフレームエントリ数(フレームカウントが閾値を超過したエントリ数をループ検出部6内のレジスタで構成されるカウンタに蓄積する。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項2:エントリ毎ループフレーム数(フレームカウントが閾値を超過したエントリ毎のフレームカウント。ループ監視部4内FCSフレームカウントテーブルに蓄積。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項3:ループフレーム総数(フレームカウントが閾値を超過したエントリ毎のフレームカウントの総和ループ検出部6内のレジスタで構成されるカウンタに蓄積。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
ループフレームの統計情報として以下の3つの項を表示する。
項1:ループフレームエントリ数(フレームカウントが閾値を超過したエントリ数をループ検出部6内のレジスタで構成されるカウンタに蓄積する。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項2:エントリ毎ループフレーム数(フレームカウントが閾値を超過したエントリ毎のフレームカウント。ループ監視部4内FCSフレームカウントテーブルに蓄積。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項3:ループフレーム総数(フレームカウントが閾値を超過したエントリ毎のフレームカウントの総和ループ検出部6内のレジスタで構成されるカウンタに蓄積。異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
ループフレームの遮断について
(1)ループフレームの特定について:フレーム解析部3では以下のフローでループフレームの特定を行う。[ループ検出部6からアラート発生信号とFCS値を受取る。]→[FCS値を内部に保持して、受信するフレームのFCSと比較する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(1)ループフレームの特定について:フレーム解析部3では以下のフローでループフレームの特定を行う。[ループ検出部6からアラート発生信号とFCS値を受取る。]→[FCS値を内部に保持して、受信するフレームのFCSと比較する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)ループフレームの遮断の組み合わせについて:図21(a)に示す組み合わせでループフレームの遮断を実現する。
(3)ループフレームの遮断方法について:フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。ループフレームにフラグが付加されていた場合は、フレームの登録を行わずに廃棄を行うことで遮断を実現する。
(4)ループフレーム通過率について:通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
(3)ループフレームの遮断方法について:フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。ループフレームにフラグが付加されていた場合は、フレームの登録を行わずに廃棄を行うことで遮断を実現する。
(4)ループフレーム通過率について:通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
FCS監視テーブルのパージについて
常に最新のネットワークを監視するために、FCS監視テーブルを定期的にパージする。以下にその処理フローを示す。[図21(b)に示すように定期的に(例:1秒)FCS監視テーブル(例:16Kワード)に対してパージコマンドを発行する。]→[ループ監視部4では、FCS監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとFCS監視テーブルの0番地から新規にFCS値がエントリされ、FCSフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
パージとパージの間にループフレームカウントの閾値を超過するエントリを検出した場合は、FCS監視テーブルを保持(パージ中止)し、ループフレームの遮断を実施する。ループフレームが収束したらパージを再開する。
常に最新のネットワークを監視するために、FCS監視テーブルを定期的にパージする。以下にその処理フローを示す。[図21(b)に示すように定期的に(例:1秒)FCS監視テーブル(例:16Kワード)に対してパージコマンドを発行する。]→[ループ監視部4では、FCS監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとFCS監視テーブルの0番地から新規にFCS値がエントリされ、FCSフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
パージとパージの間にループフレームカウントの閾値を超過するエントリを検出した場合は、FCS監視テーブルを保持(パージ中止)し、ループフレームの遮断を実施する。ループフレームが収束したらパージを再開する。
本発明の実施例2のIPv4TCP/UDPフレームアタックの監視、検出、統計、遮断動作について説明する。本発明の実施例2は前述した本発明の以下の実施形態に関連する。第8の実施形態のアタック監視・検出処理、第9の実施形態のアタックTCP/UDP宛先ポート番号別統計処理、第10の実施形態のアタックIPSA毎TCP/UDP宛先ポート番号別統計処理、第11の実施形態のアタックIPSA毎IP宛先数統計処理、第14の実施形態のアタックIPv4フレーム統計処理、第17の実施形態のアタックIPv4フレーム遮断対象決定処理、第18の実施形態のアタックIPv4フレーム通過率決定処理、第19の実施形態のアタックIPv4フレーム帯域制限処理、第26の実施形態のアタックIPv4フレームアタック要因表示処理、第29の実施形態のアタック遮断モード選択処理、第30の実施形態のループ・アタック統計処理、第31の実施形態の監視テーブルパージ処理、第32の実施形態の監視・遮断平行実行処理、第33の実施形態のループ・アタック物理Portモード選択処理。
IPv4TCP/UDPフレームアタックの監視について
(1)ネットワークからのフレームの受信処理について:ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは図19(b)に示す3つのブロックに伝送される。
(2)フレームの解析処理について:フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドによりプロトコルを図19(c)に示すように判別する。IPv4フレームフォーマットは図6及び図7に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより、図21(c)の網掛け部に示す上位層のプロトコルTCP/UDPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示す検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを生成する。IPv4TCP/UDPフレームアタック監視は、図22(a)に示す網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワード構成を示している。IPv4TCP/UDPフレームアタック監視は全てのフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4TCP/UDPフレームアタック監視について:IPv4TCP/UDPフレームアタック監視には以下の4つの項がある。
項1:リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。)
項2:TCP/UDP宛先ポート番号別統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップする(2回目以降は前値に+‘1’)。
項3:IPSA毎TCP/UDP宛先ポート番号別統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):TCP/UDP宛先ポート番号、Protocolフィールド、IPSAの値をIPSA毎TCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタをアップする(2回目以降は前値に+‘1’)。
項4:IPSA毎IP宛先数統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・索ミスヒット時(検索失敗):IPDA、IPSAの値をIPSA毎IP宛先数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタをアップする(2回目以降は前値に+‘1’)。
図14にアタックTCP/UDP宛先ポート番号監視テーブルの構成、図15にアタックIPSA毎TCP/UDP宛先ポート番号監視テーブルの構成、図16にアタックIPSA毎IP宛先数監視テーブルの構成を示している。
(1)ネットワークからのフレームの受信処理について:ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは図19(b)に示す3つのブロックに伝送される。
(2)フレームの解析処理について:フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドによりプロトコルを図19(c)に示すように判別する。IPv4フレームフォーマットは図6及び図7に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより、図21(c)の網掛け部に示す上位層のプロトコルTCP/UDPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示す検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを生成する。IPv4TCP/UDPフレームアタック監視は、図22(a)に示す網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワード構成を示している。IPv4TCP/UDPフレームアタック監視は全てのフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4TCP/UDPフレームアタック監視について:IPv4TCP/UDPフレームアタック監視には以下の4つの項がある。
項1:リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。)
項2:TCP/UDP宛先ポート番号別統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):TCP/UDP宛先ポート番号の値をTCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたTCP/UDP宛先ポート番号フレームカウンタをアップする(2回目以降は前値に+‘1’)。
項3:IPSA毎TCP/UDP宛先ポート番号別統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):TCP/UDP宛先ポート番号、Protocolフィールド、IPSAの値をIPSA毎TCP/UDP宛先ポート番号監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎TCP/UDP宛先ポート番号フレームカウンタをアップする(2回目以降は前値に+‘1’)。
項4:IPSA毎IP宛先数統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・索ミスヒット時(検索失敗):IPDA、IPSAの値をIPSA毎IP宛先数監視テーブル内に書き込み、エントリを新規に作成する。IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎IP宛先数フレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎IP宛先数フレームカウンタをアップする(2回目以降は前値に+‘1’)。
図14にアタックTCP/UDP宛先ポート番号監視テーブルの構成、図15にアタックIPSA毎TCP/UDP宛先ポート番号監視テーブルの構成、図16にアタックIPSA毎IP宛先数監視テーブルの構成を示している。
IPv4TCP/UDPフレームアタックの検出について
前述の(4)“IPv4TCP/UDPフレームアタック監視について”で説明した4つの項の検出手法を説明する。
項1:リンク帯域超過検出に対して、受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。
項2:TCP/UDP宛先ポート番号別統計検出に対して、
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内のエントリナンバに対応するTCP/UDP宛先ポート番号フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してTCP/UDP宛先ポート番号フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
項3:IPSA毎TCP/UDP宛先ポート番号別統計検出に対して、
・検索ヒット時(検索成功)時:IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内のエントリナンバに対応するIPSA毎TCP/UDP宛先ポート番号フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
項4:IPSA毎IP宛先数統計検出に対して、
・検索ヒット時(検索成功):IPSA毎宛先数フレームカウントテーブル内のエントリナンバに対応するIPSA毎宛先数フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎宛先数フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
前述の(4)“IPv4TCP/UDPフレームアタック監視について”で説明した4つの項の検出手法を説明する。
項1:リンク帯域超過検出に対して、受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。
項2:TCP/UDP宛先ポート番号別統計検出に対して、
・検索ヒット時(検索成功):TCP/UDP宛先ポート番号フレームカウントテーブル内のエントリナンバに対応するTCP/UDP宛先ポート番号フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してTCP/UDP宛先ポート番号フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
項3:IPSA毎TCP/UDP宛先ポート番号別統計検出に対して、
・検索ヒット時(検索成功)時:IPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内のエントリナンバに対応するIPSA毎TCP/UDP宛先ポート番号フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎TCP/UDP宛先ポート番号フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
項4:IPSA毎IP宛先数統計検出に対して、
・検索ヒット時(検索成功):IPSA毎宛先数フレームカウントテーブル内のエントリナンバに対応するIPSA毎宛先数フレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎宛先数フレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
IPv4TCP/UDPフレームアタックの統計について、IPv4TCP/UDPフレームアタックの統計情報の処理を以下に示す。
項1:TCP/UDP宛先ポート番号(上位10個)に対して、アタック統計部7内のIPv4TCP/UDP統計部では検索ヒット時にモニタしたTCP/UDP宛先ポート番号毎のフレームカウンタの値が予め設定されたフレームカウント閾値以上であることを検出すると、閾値を超過したものの中でフレームカウントの多いものから上位10個のTCP/UDP宛先ポート番号をアタック監視部5内のTCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
項2:TCP/UDP宛先ポート番号(上位10個)フレームカウント数に対して、抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数をアタック監視部5内のTCP/UDP宛先ポート番号フレームカウントテーブルから抽出し、アタック統計部内のIPv4TCP/UDP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
項3:TCP/UDP宛先ポート番号(上位10個)毎IPSA値に対して、抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎TCP/UDP宛先ポート番号監視テーブルレジスタへ抽出する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
項1:TCP/UDP宛先ポート番号(上位10個)に対して、アタック統計部7内のIPv4TCP/UDP統計部では検索ヒット時にモニタしたTCP/UDP宛先ポート番号毎のフレームカウンタの値が予め設定されたフレームカウント閾値以上であることを検出すると、閾値を超過したものの中でフレームカウントの多いものから上位10個のTCP/UDP宛先ポート番号をアタック監視部5内のTCP/UDP宛先ポート番号監視テーブルからレジスタへ抽出する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
項2:TCP/UDP宛先ポート番号(上位10個)フレームカウント数に対して、抽出した上位10個のTCP/UDP宛先ポート番号毎のフレームカウント数をアタック監視部5内のTCP/UDP宛先ポート番号フレームカウントテーブルから抽出し、アタック統計部内のIPv4TCP/UDP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
項3:TCP/UDP宛先ポート番号(上位10個)毎IPSA値に対して、抽出した上位10個のTCP/UDP宛先ポート番号毎にカウント値が一番多いIPSAの値をアタック監視部5内のIPSA毎TCP/UDP宛先ポート番号監視テーブルレジスタへ抽出する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。
IPv4TCP/UDPフレームアタックの遮断対象の特定について
IPv4TCP/UDPフレームアタックの統計情報を基に遮断対象を特定する。以下に遮断対象特定の処理を説明する。
項1:フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)IPv4TCP/UDP宛先ポート番号別フレーム数カウント
b)IPv4TCP/UDP宛先ポート番号別バイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
それらを異常トラヒック除去装置の制御画面に帯域として表示し、オペレータに通知する。オペレータはポート番号毎の帯域を認識し、遮断を実行するポート番号に対して帯域を制御画面よりエントリする。
IPv4TCP/UDPフレームアタックの統計情報を基に遮断対象を特定する。以下に遮断対象特定の処理を説明する。
項1:フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)IPv4TCP/UDP宛先ポート番号別フレーム数カウント
b)IPv4TCP/UDP宛先ポート番号別バイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
それらを異常トラヒック除去装置の制御画面に帯域として表示し、オペレータに通知する。オペレータはポート番号毎の帯域を認識し、遮断を実行するポート番号に対して帯域を制御画面よりエントリする。
IPv4TCP/UDPフレームアタックの遮断について
IPv4TCP/UDPフレームアタックの遮断対象特定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4TCP/UDPアタックフレームのフィルタリングについて
フレーム解析部3では以下の流れでIPv4TCP/UDPアタックフレームの
特定を行う。
[オペレータが遮断を実行するポート毎の帯域を制御画面よりエントリする。]→[ポート番号を内部に保持して、受信するフレームのTCP/UDP宛先ポート番号と比較する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4TCP/UDPアタックフレームの遮断方法について
フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4TCP/UDPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるTCP/UDPポート番号毎の通過率について
通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
IPv4TCP/UDPフレームアタックの遮断対象特定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4TCP/UDPアタックフレームのフィルタリングについて
フレーム解析部3では以下の流れでIPv4TCP/UDPアタックフレームの
特定を行う。
[オペレータが遮断を実行するポート毎の帯域を制御画面よりエントリする。]→[ポート番号を内部に保持して、受信するフレームのTCP/UDP宛先ポート番号と比較する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4TCP/UDPアタックフレームの遮断方法について
フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4TCP/UDPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるTCP/UDPポート番号毎の通過率について
通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
TCP/UDP宛先ポート番号監視テーブル、IPSA毎TCP/UDP/宛先ポート番号監視テーブル、IPSA毎IP数監視テーブル、パージ周期と監視周期、遮断周期について、常に最新のネットワークを監視するために、上記3つの監視テーブルを定期的にパージする。以下にその流れを示す。
[定期的に(例:30秒)3つの監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、3つの監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了すると3つの監視テーブルの0番地から新規に各検索キーワードがエントリされ、3つのフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
[定期的に(例:30秒)3つの監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、3つの監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了すると3つの監視テーブルの0番地から新規に各検索キーワードがエントリされ、3つのフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
図21(b)において(A)の時間で監視、統計情報を基に遮断対象の統計と特定を実行し、(B)の時間でオペレータがエントリした帯域を基に遮断を実行する。パージとパージの間で監視、統計処理を行い、次の周期で遮断を実行する。
IPv4ARPフレームアタックの監視、検出、統計、遮断動作について説明する。本実施例は以下の実施形態に関連する。第8の実施形態のアタック監視・検出、第12の実施形態のアタックIPSA毎ARPフレーム数統計、第15の実施形態のARPフレーム統計、第20の実施形態のアタックARPフレーム遮断決定、第21の実施形態のアタックARPフレーム通過率決定、第22の実施形態のアタックARPフレーム帯域制限、第27の実施形態のアタックARPフレームアタック要因表示、第29の実施形態のアタック遮断モード選択、第30の実施形態のループ・アタック統計、第31の実施形態の監視テーブルパージ、第32の実施形態の監視・遮断平行実行、第33の実施形態のループ・アタック物理Portモード選択。
IPv4ARPフレームアタックの監視について
(1)ネットワークからのフレームの受信処理について、ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは以下、図19(b)に示すフレーム解析部3、フレーム遮断部8、受信流量監視部11の3つのブロックに伝送される。
(2)フレームの解析処理について、フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドにより図19(c)に示すようにプロトコルを判別する。ARPフレームフォーマットは図8、図9に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより図19(d)に示すように上位層のプロトコルICMP、TCP、UDPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示すように検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを図22(b)に示すように生成する。なお、IPv4ARPフレームアタック監視は図22(b)の網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワード構成を示している。IPv4ARPフレームアタック監視はIPSAフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4ARPフレームアタック監視について、IPv4ARPフレームアタック監視には以下の項目がある。
項1:リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
項2:IPSA毎ARP統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):IPSAの値をIPSA毎ARP監視テーブル内に書き込み、エントリを新規に作成する。→IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップする(2回目以降は前値に+‘1’)。
図17にアタックIPSA毎ARP監視テーブルの構成を示している。
(1)ネットワークからのフレームの受信処理について、ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは以下、図19(b)に示すフレーム解析部3、フレーム遮断部8、受信流量監視部11の3つのブロックに伝送される。
(2)フレームの解析処理について、フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドにより図19(c)に示すようにプロトコルを判別する。ARPフレームフォーマットは図8、図9に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより図19(d)に示すように上位層のプロトコルICMP、TCP、UDPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示すように検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを図22(b)に示すように生成する。なお、IPv4ARPフレームアタック監視は図22(b)の網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワード構成を示している。IPv4ARPフレームアタック監視はIPSAフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4ARPフレームアタック監視について、IPv4ARPフレームアタック監視には以下の項目がある。
項1:リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
項2:IPSA毎ARP統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):IPSAの値をIPSA毎ARP監視テーブル内に書き込み、エントリを新規に作成する。→IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ARPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ARPフレームカウンタをアップする(2回目以降は前値に+‘1’)。
図17にアタックIPSA毎ARP監視テーブルの構成を示している。
IPv4ARPフレームアタックの検出について、前述の(4)“IPv4ARPフレームアタック監視について”で述べた2つの項の検出の手法について説明する。
項1:リンク帯域超過検出(受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。)
項2:IPSA毎ARP統計検出(検索ヒット時(検索成功)、IPSA毎ARPフレームカウントテーブル内のエントリナンバに対応するIPSA毎ARPフレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎ARPフレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出すると異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
項1:リンク帯域超過検出(受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。)
項2:IPSA毎ARP統計検出(検索ヒット時(検索成功)、IPSA毎ARPフレームカウントテーブル内のエントリナンバに対応するIPSA毎ARPフレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎ARPフレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出すると異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
IPv4ARPフレームアタックの統計について、IPv4ARPフレームアタックの統計情報の処理及び表示方法を以下に示す。
項1:ARPフレームカウント数(IPSA毎ARPフレームカウント数をアタック監視部5内のIPSA毎ARPフレームカウントテーブルから抽出し、アタック統計部7内のARP統計部7で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面で表示し、オペレータに通知する。)
項2:ARPフレームIPSA値(カウント値が一番多いIPSAの値をアタック統計部7内のレジスタへ抽出する。それを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項1:ARPフレームカウント数(IPSA毎ARPフレームカウント数をアタック監視部5内のIPSA毎ARPフレームカウントテーブルから抽出し、アタック統計部7内のARP統計部7で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面で表示し、オペレータに通知する。)
項2:ARPフレームIPSA値(カウント値が一番多いIPSAの値をアタック統計部7内のレジスタへ抽出する。それを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
IPv4ARPフレームアタックの遮断判定について
IPv4ARPフレームアタックの統計情報を基に遮断実行を判断する。以下に遮断対象特定の処理を説明する。フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)ARPフレーム数カウント
b)ARPバイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
異常トラヒック除去装置の制御画面に帯域として表示(オペレータに通知)刷る。オペレータはARPフレームの帯域を認識し、帯域を制御画面よりエントリする。
IPv4ARPフレームアタックの統計情報を基に遮断実行を判断する。以下に遮断対象特定の処理を説明する。フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)ARPフレーム数カウント
b)ARPバイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
異常トラヒック除去装置の制御画面に帯域として表示(オペレータに通知)刷る。オペレータはARPフレームの帯域を認識し、帯域を制御画面よりエントリする。
IPv4ARPフレームアタックの遮断について
IPv4ARPフレームアタックの遮断判定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4ARPアタックフレームのフィルタリングについて、フレーム解析部3では以下の流れでIPv4ARPアタックフレームの特定を行う。
[オペレータが遮断実行の帯域を制御画面よりエントリする。]→[受信するフレームからARPフレームを識別する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4ARPアタックフレームの遮断方法について、フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4ARPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるARPフレームの通過率について、通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
IPv4ARPフレームアタックの遮断判定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4ARPアタックフレームのフィルタリングについて、フレーム解析部3では以下の流れでIPv4ARPアタックフレームの特定を行う。
[オペレータが遮断実行の帯域を制御画面よりエントリする。]→[受信するフレームからARPフレームを識別する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4ARPアタックフレームの遮断方法について、フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4ARPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるARPフレームの通過率について、通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
IPSA毎ARP監視テーブルのパージ周期と監視周期、遮断周期について
常に最新のネットワークを監視するために、IPSA毎ARP監視テーブルを定期的にパージする。以下にその流れを示す。
[定期的に(例:30秒)IPSA毎ARP監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、IPSA毎ARP監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとIPSA毎ARP監視テーブルの0番地から新規に各検索キーワードがエントリされ、IPSA毎ARPフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
図21(b)の(A)の時間で監視、統計情報を基に遮断対象の統計と特定を実行する。(B)の時間でオペレータがエントリした帯域を基に遮断を実行する。パージとパージの間で監視、統計を行い、次の周期で遮断を実行する。
常に最新のネットワークを監視するために、IPSA毎ARP監視テーブルを定期的にパージする。以下にその流れを示す。
[定期的に(例:30秒)IPSA毎ARP監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、IPSA毎ARP監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとIPSA毎ARP監視テーブルの0番地から新規に各検索キーワードがエントリされ、IPSA毎ARPフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
図21(b)の(A)の時間で監視、統計情報を基に遮断対象の統計と特定を実行する。(B)の時間でオペレータがエントリした帯域を基に遮断を実行する。パージとパージの間で監視、統計を行い、次の周期で遮断を実行する。
IPv4ICMPフレームアタックの監視、検出、統計、遮断動作について説明する。本実施例は以下の実施形態に関連する。第8の実施形態のアタック監視・検出、第13の実施形態のアタックIPSA毎ICMPフレーム数統計、第16の実施形態のICMPフレーム統計、第23の実施形態のアタックICMPフレーム遮断決定、第24の実施形態のアタックICMPフレーム通過率決定、第25の実施形態のアタックICMPフレーム帯域制限、第28の実施形態のアタックICMPフレームアタック要因表示、第29の実施形態のアタック遮断モード選択、第30の実施形態のループ・アタック統計、第31の実施形態の監視テーブルパージ、第32の実施形態の監視・遮断並行実行、第33の実施形態のループ・アタック物理Portモード選択。
IPv4ICMPフレームのアタック監視について
(1)ネットワークからのフレームの受信処理について、ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは図19(b)の3つのブロックに伝送される。
(2)フレームの解析処理について、フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドにより図19(c)に示すようにプロトコルを判別する。ICMPフレームフォーマットは図10、図11に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより図23(a)に示すように上位層のプロトコルICMPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示すように検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを図23(b)に示すように生成する。IPv4ICMPフレームアタック監視は同図(b)の網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワードの構成を示している。IPv4ICMPフレームアタック監視はIPSAフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4ICMPフレームアタック監視について、IPv4ICMPフレームアタック監視には以下の項がある。
項1リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
項2:IPSA毎ICMP統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):IPSAの値をIPSA毎ICMP監視テーブル内に書き込み、エントリを新規に作成する。→IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップする(2回目以降は前値に+‘1’)。図18にアタックIPSA毎ICMP監視テーブルの構成を示す。
(1)ネットワークからのフレームの受信処理について、ネットワークから受信したイーサネット(登録商標)フレームは、先ずPort0受信回路I/F部1、Port1受信回路I/F部2にて受信フレームの妥当性を検査する。図19(a)に検査内容を示す。フレームの妥当性検査を完了したフレームは図19(b)の3つのブロックに伝送される。
(2)フレームの解析処理について、フレーム解析部3にてフレームの内容の解析を以下のように行う。
a)プロトコル解析1(TYPEフィールド解析):イーサネット(登録商標)フレームのTYPEフィールドにより図19(c)に示すようにプロトコルを判別する。ICMPフレームフォーマットは図10、図11に示している。
b)プロトコル解析2(IPv4ヘッダプロトコルフィールド解析):IPv4ヘッダのProtocolフィールドにより図23(a)に示すように上位層のプロトコルICMPを判別する。
c)検索キーワードの抽出:TYPEフィールドとIPv4プロトコルフィールドの解析結果により、図20(a)に示すように検索キーワードの抽出を実行する。
d)検索コードの生成:ループ、アタック監視イネーブル信号からループ監視部4、アタック監視部5へ渡す検索要求コードを図23(b)に示すように生成する。IPv4ICMPフレームアタック監視は同図(b)の網掛け部分が該当する。
e)検索キーワードの連接:各検索キーワードを121ビットに連結する。図12に検索キーワードの構成を示している。IPv4ICMPフレームアタック監視はIPSAフィールドが検索キーワードである。
f)検索要求信号の生成:ループ監視部4、アタック監視部5に対して図20(c)に示す信号を渡す。
(4)IPv4ICMPフレームアタック監視について、IPv4ICMPフレームアタック監視には以下の項がある。
項1リンク帯域監視(受信流量監視部11ではPort0、Port1それぞれの受信フレーム数、受信バイト数、受信エラーフレーム数を計測する。
項2:IPSA毎ICMP統計(アタック監視部5ではフレーム解析部3からの検索要求を基に、検索エンジンに対して検索(LOOKUP)を実行する。検索エンジンから検索結果が返送されるので結果に応じて以下の処理を行う。
・検索ミスヒット時(検索失敗):IPSAの値をIPSA毎ICMP監視テーブル内に書き込み、エントリを新規に作成する。→IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタを‘1’にする(初回のみ)。
・検索ヒット時(検索成功):IPSA毎ICMPフレームカウントテーブル内にエントリ毎にアロケートされたIPSA毎ICMPフレームカウンタをアップする(2回目以降は前値に+‘1’)。図18にアタックIPSA毎ICMP監視テーブルの構成を示す。
IPv4ICMPフレームアタックの検出について
前述の(4)“IPv4ICMPフレームアタック監視について”で述べた2つの項の検出手法を説明する。
項1:リンク帯域超過検出(受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。)
項2:IPSA毎ICMP統計検出(検索ヒット時(検索成功)、IPSA毎ICMPフレームカウントテーブル内のエントリナンバに対応するIPSA毎ICMPフレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎ICMPフレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
前述の(4)“IPv4ICMPフレームアタック監視について”で述べた2つの項の検出手法を説明する。
項1:リンク帯域超過検出(受信流量監視部11で計測する値を監視し、フレームの流量が監視閾値を超過していたらアタック攻撃と判定する。)
項2:IPSA毎ICMP統計検出(検索ヒット時(検索成功)、IPSA毎ICMPフレームカウントテーブル内のエントリナンバに対応するIPSA毎ICMPフレームカウントテーブルを読み出す。→読み出し値と予め設定されたフレームカウント閾値を比較する。読み出し値に+‘1’してIPSA毎ICMPフレームカウントテーブル内に格納する。→比較の結果、読み出し値が大きければアタック状態検出としてアラート(割り込み)を制御部13に通知する(障害通知)。→制御部13では割り込みを検出したら異常トラヒック除去装置の制御画面にアタック状態発生を表示し、オペレータに通知する。
IPv4ICMPフレームアタックの統計について
IPv4ICMPフレームアタックの統計情報の処理を以下に示す。
項1:ICMPフレームカウント数(IPSA毎ICMPフレームカウント数をアタック監視部5内のIPSA毎ICMPフレームカウントテーブルから抽出し、アタック統計部7内のICMP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項2:ICMPフレームIPSA値(カウント値が一番多いIPSAの値をアタック統計部7内のレジスタへ抽出する。それを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
IPv4ICMPフレームアタックの統計情報の処理を以下に示す。
項1:ICMPフレームカウント数(IPSA毎ICMPフレームカウント数をアタック監視部5内のIPSA毎ICMPフレームカウントテーブルから抽出し、アタック統計部7内のICMP統計部で継続してフレームカウントを実施する。このフレームカウントの動作は、レジスタで実施する。それらを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
項2:ICMPフレームIPSA値(カウント値が一番多いIPSAの値をアタック統計部7内のレジスタへ抽出する。それを異常トラヒック除去装置の制御画面に表示し、オペレータに通知する。)
IPv4ICMPフレームアタックの遮断判定について
IPv4ICMPフレームアタックの統計情報を基に遮断実行を判断する。以下に遮断対象特定の処理を説明する。フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)ICMPフレーム数カウント
b)ICMPバイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
異常トラヒック除去装置の制御画面に帯域として表示(オペレータに通知)する。オペレータはICMPフレームの帯域を認識し、帯域を制御画面よりエントリする。
IPv4ICMPフレームアタックの統計情報を基に遮断実行を判断する。以下に遮断対象特定の処理を説明する。フレーム解析部3内の遮断対象統計部にて以下を実行する。
a)ICMPフレーム数カウント
b)ICMPバイト数カウント
↓
c)フレーム数、バイト数から帯域を算出する。
異常トラヒック除去装置の制御画面に帯域として表示(オペレータに通知)する。オペレータはICMPフレームの帯域を認識し、帯域を制御画面よりエントリする。
IPv4ICMPフレームアタックの遮断について
IPv4ICMPフレームアタックの遮断判定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4ICMPアタックフレームのフィルタリングについて、フレーム解析部3では以下の流れでIPv4ICMPアタックフレームの特定を行う。
[オペレータが遮断実行の帯域を制御画面よりエントリする。]→[受信するフレームからICMPフレームを識別する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4ICMPアタックフレームの遮断方法について、フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4ICMPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるICMPフレームの通過率について、通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
IPv4ICMPフレームアタックの遮断判定を基に遮断を実行する。以下に遮断の処理を説明する。
(1)IPv4ICMPアタックフレームのフィルタリングについて、フレーム解析部3では以下の流れでIPv4ICMPアタックフレームの特定を行う。
[オペレータが遮断実行の帯域を制御画面よりエントリする。]→[受信するフレームからICMPフレームを識別する(フィルタリング)。]→[フィルタリングにマッチしたフレームに対してフラグを付加してフレーム遮断部8へ伝送する。]
(2)IPv4ICMPアタックフレームの遮断方法について、フレーム遮断部8内にストア&フォワード方式のフレームバッファを実装し、フレームのストアを完了する際にフレームの登録、廃棄を決定する。IPv4ICMPアタックフレームにフラグが付加されていた場合は、フレームの登録を行わず廃棄を行うことで遮断を実現する。
(3)遮断対象となるICMPフレームの通過率について、通過率はオペレータが異常トラヒック除去装置の制御画面よりエントリした帯域より算出する。フラグが付加されたループフレームにおいて、実際に送信したバイト数をフレーム単位で加算し、100ms間に送信したバイト数が閾値(通過率)を超えた時点から送信を停止することで100ms間内での送信バイト数を抑制する。超過するバイト数が発生するが、次の100ms間でのバイト数として加算することにより、平均値として帯域を制限する。
IPSA毎ICMP監視テーブルのパージ周期と監視周期、遮断周期について
常に最新のネットワークを監視するために、IPSA毎ICMP監視テーブルを定期的にパージする。以下にその流れを示す。
[定期的に(例:30秒)IPSA毎ICMP監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、IPSA毎ICMP監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとIPSA毎ICMP監視テーブルの0番地から新規に各検索キーワードがエントリされ、IPSA毎ICMPフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
図21(b)に示すように、(A)の時間で監視、統計情報を基に遮断対象の統計と特定を実行する。(B)の時間でオペレータがエントリした帯域を基に遮断を実行する。パージとパージの間で監視、統計を行い、次の周期で遮断を実行する。
常に最新のネットワークを監視するために、IPSA毎ICMP監視テーブルを定期的にパージする。以下にその流れを示す。
[定期的に(例:30秒)IPSA毎ICMP監視テーブル(例:各32Kワード)に対してパージコマンドを発行する。]→[アタック監視部5では、IPSA毎ICMP監視テーブルに対してパージを実行する。]→[パージコマンドが発行されると、エントリは全て無効になる。]→[パージが完了するとIPSA毎ICMP監視テーブルの0番地から新規に各検索キーワードがエントリされ、IPSA毎ICMPフレームカウントテーブル内のフレームカウントも‘1’からカウントする。]
図21(b)に示すように、(A)の時間で監視、統計情報を基に遮断対象の統計と特定を実行する。(B)の時間でオペレータがエントリした帯域を基に遮断を実行する。パージとパージの間で監視、統計を行い、次の周期で遮断を実行する。
(付記1)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
複数ポートから受信したMACフレームのFCS(Frame Check Sequence)フィールドを検索エンジン部に書き込む手段と、同一のFCS値を有するMACフレームの受信フレーム数をカウントし、該同一のFCS値を有するMACフレームの一定期間の受信フレーム数が予め設定された閾値以上となった場合に、ネットワークがループ状態に陥ったと判定するループ監視・検出手段と、を備えたことを特徴とする異常トラヒック除去装置。
(付記2)前記ループ監視・検出手段によりネットワークのループ状態を検出したとき、前記同一のFCS値を有するMACネットフレームを異常トラヒック除去装置内で遮断し、支線ネットワークからコアネットワークへの上流方向及びコアネットワークから支線ネットワークへの下流方向に、ループの発生を伝播させないループ遮断手段を備えたことを特徴とする付記1に記載の付記1の異常トラヒック除去装置。
(付記3)前記ループ遮断手段において、ハードウェア又はソフトウェアの自律動作で遮断を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行する手動モードとを選択するループ遮断モード選択手段を備えたことを特徴とする付記2に記載の異常トラヒック除去装置。
(付記4)前記ループ遮断手段において、遮断するフレームを、異常トラヒック除去装置を通過する全フレーム、又は前記ループ監視・検出手段を用いて検出されたループ状態フレームから選択するループ遮断対象選択手段を備えたことを特徴とする付記2に記載の異常トラヒック除去装置。
(付記5)前記ループ遮断対象選択手段において、遮断対象にループ状態フレームを選択した場合に、前記ループ監視・検出手段を用いて閾値超過を検出したループ状態フレームを、閾値超過以降遮断するループ閾値超過遮断手段を備えたことを特徴とする付記4に記載の異常トラヒック除去装置。
(付記6)前記ループ遮断対象選択手段において、遮断対象にループ状態フレームを選択した場合に前記ループ監視・検出手段を用いて閾値超過を検出したループ状態フレームの帯域を制限するループ帯域制限手段を備えたことを特徴とする付記4に記載の異常トラヒック除去装置。
(付記7)前記ループ監視・検出手段において、閾値を超過したFCSエントリ数、閾値を超過したFCSエントリ毎のループ状態フレームカウント数、閾値を超過したFCSエントリのループ状態フレームカウント数の総和を表示するループ統計情報表示手段を備えたことを特徴とする付記1に記載の異常トラヒック除去装置。
(付記8)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数をカウントし、TCP/UDP宛先ポート番号別の統計処理を行うアタックTCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記9)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のTCP/UDP宛先ポート番号別の統計処理を行うアタックIPSA毎TCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記10)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのIPDAフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPDAフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のIP宛先数の統計処理を行うアタックIPSA毎IP宛先数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記11)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したARPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するARPフレームの受信フレーム数をカウントし、IPSA毎のARPフレーム数の統計処理を行うアタックIPSA毎ARPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記12)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから異常トラヒック除去装置内に受信したICMPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するICMPフレームの受信フレーム数をカウントし、IPSA毎のICMPフレーム数の統計処理を行うアタックIPSA毎ICMPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記13)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
複数ポートから受信したMACフレームのトラヒック流量が予め設定された閾値帯域未満であるか、前記付記8のアタックTCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記10のアタックIPSA毎IP宛先数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記11のアタックIPSA毎ARPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、又は前記付記12のアタックIPSA毎ICMPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるかを監視する手段と、
前記トラヒック流量又は各統計手段で計測したフレーム数の何れかが、一定期間、閾値以上を継続した場合にアタック行為による異常トラヒックと判定するアタック監視・検出手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記14)
付記8のアタックTCP/UDP宛先ポート番号別統計手段において、受信フレームカウントの上位から所定数のTCP/UDP宛先ポート番号、TCP/UDP宛先ポート番号毎の受信フレーム数及びTCP/UDP宛先ポート番号毎のIPSA値を抽出するアタックIPv4フレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記15)
付記11のアタックIPSA毎ARPフレーム数統計手段において、受信フレーム数カウント及びIPSA値を抽出するアタックARPフレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記16)
付記12のアタックIPSA毎ICMPフレーム数統計手段において、受信フレーム数カウント及びIPSA値を抽出するアタックICMPフレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記17)
付記14のアタックIPv4フレーム統計手段において、抽出した情報を解析し、遮断対象のTCP/UDP宛先ポート番号を決定するアタックIPv4フレーム遮断対象決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記18)
付記17のアタックIPv4遮断対象決定手段において、遮断対象となったTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数、受信バイト数の統計処理を行い、通過率を決定するアタックIPv4フレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記19)
付記18のアタックIPv4フレーム通過率決定手段において、設定された通過率分のIPv4アタックフレームを通過させるアタックIPv4フレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記20)
付記15のアタックARPフレーム統計手段において、抽出した情報を解析し、ARPフレームを遮断対象と決定するアタックARPフレーム遮断決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記21)
付記20のアタックARP遮断決定手段において、遮断対象となったARPフレームの受信フレーム数及び受信バイト数の統計処理を行い、通過率を決定するアタックARPフレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記22)
付記21のアタックARPフレーム通過率決定手段において、設定された通過率分のARPアタックフレームを通過させるアタックARPフレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記23)
付記16のアタックICMPフレーム統計手段において、抽出した情報を解析し、ICMPフレームを遮断対象と決定するアタックICMPフレーム遮断決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記24)
付記23のアタックICMP遮断決定手段において、遮断対象となったICMPフレームの受信フレーム数、受信バイト数の統計処理を行い、通過率を決定するアタックICMPフレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記25)
付記24のアタックICMPフレーム通過率決定手段において、設定された通過率分のICMPアタックフレームを通過させるアタックICMPフレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記26)
付記14のアタックIPv4フレーム統計手段において、抽出したIPSA情報を解析し、アタックIPv4フレームのアタック元を表示するアタックIPv4フレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記27)
付記15のアタックARPフレーム統計手段において、抽出したIPSA情報を解析し、アタックARPフレームのアタック元を表示するアタックARPフレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記28)
付記16のアタックICMPフレーム統計手段において、抽出したIPSA情報を解析し、アタックICMPフレームのアタック元を表示するアタックICMPフレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記29)
付記19、付記22又は付記25のアタック帯域制限手段において、ハードウェア又はソフトウェアの自律動作で帯域制限を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して帯域制限を実行する手動モードとを選択するアタック遮断モード選択手段を備えたことを特徴とする異常トラヒック除去装置。
(付記30)
付記1のループ監視・検出手段、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段、付記10のアタックIPSA毎IP宛先数統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段において、付記1と付記8と付記9と付記10のカウント及び各統計処理の平行処理、付記1と付記11のカウント及び統計処理の平行処理、付記1と付記12のカウント及び統計処理の平行処理、又は付記8と付記9と付記10の各統計処理の平行処理を行うループ・アタック統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記31)
付記1のループ監視・検出手段、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段、付記10のアタックIPSA毎IP宛先数統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段において、検索エンジン内の監視テーブルのエントリが書き込んである部分をパージし、監視対象を定期的に更新する監視テーブルパージ手段を備えたことを特徴とする異常トラヒック除去装置。
(付記32)
付記31の監視テーブルパージの間に、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段を用いて統計処理を行い、遮断する対象を決定し、次の監視テーブルパージ後に遮断を実施する監視・遮断平行実行手段を備えたことを特徴とする異常トラヒック除去装置。
(付記33)
MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ループ状態フレームの監視・検出、統計若しくは遮断、IPv4TCP/UDPアタックフレームの監視・検出、統計若しくは遮断、IPv4ARPアタックフレームの監視・検出、統計若しくは遮断、又は、IPv4ICMPアタックフレームの監視・検出、統計若しくは遮断を、物理ポート番号毎に行う分割モードと、物理ポート番号ごとに分けずに行う共有モードとから選択して実行するループ・アタック物理ポートモード選択手段を備えたことを特徴とする異常トラヒック除去装置。
複数ポートから受信したMACフレームのFCS(Frame Check Sequence)フィールドを検索エンジン部に書き込む手段と、同一のFCS値を有するMACフレームの受信フレーム数をカウントし、該同一のFCS値を有するMACフレームの一定期間の受信フレーム数が予め設定された閾値以上となった場合に、ネットワークがループ状態に陥ったと判定するループ監視・検出手段と、を備えたことを特徴とする異常トラヒック除去装置。
(付記2)前記ループ監視・検出手段によりネットワークのループ状態を検出したとき、前記同一のFCS値を有するMACネットフレームを異常トラヒック除去装置内で遮断し、支線ネットワークからコアネットワークへの上流方向及びコアネットワークから支線ネットワークへの下流方向に、ループの発生を伝播させないループ遮断手段を備えたことを特徴とする付記1に記載の付記1の異常トラヒック除去装置。
(付記3)前記ループ遮断手段において、ハードウェア又はソフトウェアの自律動作で遮断を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行する手動モードとを選択するループ遮断モード選択手段を備えたことを特徴とする付記2に記載の異常トラヒック除去装置。
(付記4)前記ループ遮断手段において、遮断するフレームを、異常トラヒック除去装置を通過する全フレーム、又は前記ループ監視・検出手段を用いて検出されたループ状態フレームから選択するループ遮断対象選択手段を備えたことを特徴とする付記2に記載の異常トラヒック除去装置。
(付記5)前記ループ遮断対象選択手段において、遮断対象にループ状態フレームを選択した場合に、前記ループ監視・検出手段を用いて閾値超過を検出したループ状態フレームを、閾値超過以降遮断するループ閾値超過遮断手段を備えたことを特徴とする付記4に記載の異常トラヒック除去装置。
(付記6)前記ループ遮断対象選択手段において、遮断対象にループ状態フレームを選択した場合に前記ループ監視・検出手段を用いて閾値超過を検出したループ状態フレームの帯域を制限するループ帯域制限手段を備えたことを特徴とする付記4に記載の異常トラヒック除去装置。
(付記7)前記ループ監視・検出手段において、閾値を超過したFCSエントリ数、閾値を超過したFCSエントリ毎のループ状態フレームカウント数、閾値を超過したFCSエントリのループ状態フレームカウント数の総和を表示するループ統計情報表示手段を備えたことを特徴とする付記1に記載の異常トラヒック除去装置。
(付記8)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数をカウントし、TCP/UDP宛先ポート番号別の統計処理を行うアタックTCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記9)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のTCP/UDP宛先ポート番号別の統計処理を行うアタックIPSA毎TCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記10)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのIPDAフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPDAフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のIP宛先数の統計処理を行うアタックIPSA毎IP宛先数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記11)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したARPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するARPフレームの受信フレーム数をカウントし、IPSA毎のARPフレーム数の統計処理を行うアタックIPSA毎ARPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記12)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから異常トラヒック除去装置内に受信したICMPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するICMPフレームの受信フレーム数をカウントし、IPSA毎のICMPフレーム数の統計処理を行うアタックIPSA毎ICMPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記13)MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
複数ポートから受信したMACフレームのトラヒック流量が予め設定された閾値帯域未満であるか、前記付記8のアタックTCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記10のアタックIPSA毎IP宛先数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記付記11のアタックIPSA毎ARPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、又は前記付記12のアタックIPSA毎ICMPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるかを監視する手段と、
前記トラヒック流量又は各統計手段で計測したフレーム数の何れかが、一定期間、閾値以上を継続した場合にアタック行為による異常トラヒックと判定するアタック監視・検出手段とを備えたことを特徴とする異常トラヒック除去装置。
(付記14)
付記8のアタックTCP/UDP宛先ポート番号別統計手段において、受信フレームカウントの上位から所定数のTCP/UDP宛先ポート番号、TCP/UDP宛先ポート番号毎の受信フレーム数及びTCP/UDP宛先ポート番号毎のIPSA値を抽出するアタックIPv4フレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記15)
付記11のアタックIPSA毎ARPフレーム数統計手段において、受信フレーム数カウント及びIPSA値を抽出するアタックARPフレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記16)
付記12のアタックIPSA毎ICMPフレーム数統計手段において、受信フレーム数カウント及びIPSA値を抽出するアタックICMPフレーム統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記17)
付記14のアタックIPv4フレーム統計手段において、抽出した情報を解析し、遮断対象のTCP/UDP宛先ポート番号を決定するアタックIPv4フレーム遮断対象決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記18)
付記17のアタックIPv4遮断対象決定手段において、遮断対象となったTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数、受信バイト数の統計処理を行い、通過率を決定するアタックIPv4フレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記19)
付記18のアタックIPv4フレーム通過率決定手段において、設定された通過率分のIPv4アタックフレームを通過させるアタックIPv4フレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記20)
付記15のアタックARPフレーム統計手段において、抽出した情報を解析し、ARPフレームを遮断対象と決定するアタックARPフレーム遮断決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記21)
付記20のアタックARP遮断決定手段において、遮断対象となったARPフレームの受信フレーム数及び受信バイト数の統計処理を行い、通過率を決定するアタックARPフレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記22)
付記21のアタックARPフレーム通過率決定手段において、設定された通過率分のARPアタックフレームを通過させるアタックARPフレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記23)
付記16のアタックICMPフレーム統計手段において、抽出した情報を解析し、ICMPフレームを遮断対象と決定するアタックICMPフレーム遮断決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記24)
付記23のアタックICMP遮断決定手段において、遮断対象となったICMPフレームの受信フレーム数、受信バイト数の統計処理を行い、通過率を決定するアタックICMPフレーム通過率決定手段を備えたことを特徴とする異常トラヒック除去装置。
(付記25)
付記24のアタックICMPフレーム通過率決定手段において、設定された通過率分のICMPアタックフレームを通過させるアタックICMPフレーム帯域制限手段を備えたことを特徴とする異常トラヒック除去装置。
(付記26)
付記14のアタックIPv4フレーム統計手段において、抽出したIPSA情報を解析し、アタックIPv4フレームのアタック元を表示するアタックIPv4フレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記27)
付記15のアタックARPフレーム統計手段において、抽出したIPSA情報を解析し、アタックARPフレームのアタック元を表示するアタックARPフレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記28)
付記16のアタックICMPフレーム統計手段において、抽出したIPSA情報を解析し、アタックICMPフレームのアタック元を表示するアタックICMPフレームアタック要因表示手段を備えたことを特徴とする異常トラヒック除去装置。
(付記29)
付記19、付記22又は付記25のアタック帯域制限手段において、ハードウェア又はソフトウェアの自律動作で帯域制限を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して帯域制限を実行する手動モードとを選択するアタック遮断モード選択手段を備えたことを特徴とする異常トラヒック除去装置。
(付記30)
付記1のループ監視・検出手段、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段、付記10のアタックIPSA毎IP宛先数統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段において、付記1と付記8と付記9と付記10のカウント及び各統計処理の平行処理、付記1と付記11のカウント及び統計処理の平行処理、付記1と付記12のカウント及び統計処理の平行処理、又は付記8と付記9と付記10の各統計処理の平行処理を行うループ・アタック統計手段を備えたことを特徴とする異常トラヒック除去装置。
(付記31)
付記1のループ監視・検出手段、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記9のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段、付記10のアタックIPSA毎IP宛先数統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段において、検索エンジン内の監視テーブルのエントリが書き込んである部分をパージし、監視対象を定期的に更新する監視テーブルパージ手段を備えたことを特徴とする異常トラヒック除去装置。
(付記32)
付記31の監視テーブルパージの間に、付記8のアタックTCP/UDP宛先ポート番号別統計手段、付記11のアタックIPSA毎ARPフレーム数統計手段、又は付記12のアタックIPSA毎ICMPフレーム数統計手段を用いて統計処理を行い、遮断する対象を決定し、次の監視テーブルパージ後に遮断を実施する監視・遮断平行実行手段を備えたことを特徴とする異常トラヒック除去装置。
(付記33)
MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ループ状態フレームの監視・検出、統計若しくは遮断、IPv4TCP/UDPアタックフレームの監視・検出、統計若しくは遮断、IPv4ARPアタックフレームの監視・検出、統計若しくは遮断、又は、IPv4ICMPアタックフレームの監視・検出、統計若しくは遮断を、物理ポート番号毎に行う分割モードと、物理ポート番号ごとに分けずに行う共有モードとから選択して実行するループ・アタック物理ポートモード選択手段を備えたことを特徴とする異常トラヒック除去装置。
1 Port0受信回路I/F部
2 Port1受信回路I/F部
3 フレーム解析部
4 ループ監視部
5 アタック監視部
6 ループ検出部
7 アタック統計部
8 フレーム遮断部
9 Port0送信回線I/F部
10 Port1送信回線I/F部
11 受信流量監視部
12 送信流量監視部
13 制御部
2 Port1受信回路I/F部
3 フレーム解析部
4 ループ監視部
5 アタック監視部
6 ループ検出部
7 アタック統計部
8 フレーム遮断部
9 Port0送信回線I/F部
10 Port1送信回線I/F部
11 受信流量監視部
12 送信流量監視部
13 制御部
Claims (10)
- MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
複数ポートから受信したMACフレームのFCS(Frame Check Sequence)フィールドを検索エンジン部に書き込む手段と、同一のFCS値を有するMACフレームの受信フレーム数をカウントし、該同一のFCS値を有するMACフレームの一定期間の受信フレーム数が予め設定された閾値以上となった場合に、ネットワークがループ状態に陥ったと判定するループ監視・検出手段と、を備えたことを特徴とする異常トラヒック除去装置。 - 前記ループ監視・検出手段によりネットワークのループ状態を検出したとき、前記同一のFCS値を有するMACネットフレームを異常トラヒック除去装置内で遮断し、支線ネットワークからコアネットワークへの上流方向及びコアネットワークから支線ネットワークへの下流方向に、ループの発生を伝播させないループ遮断手段を備えたことを特徴とする請求項1に記載の異常トラヒック除去装置。
- 前記ループ遮断手段において、ハードウェア又はソフトウェアの自律動作で遮断を実行する自動モードと、異常トラヒック除去装置を制御するオペレータが介在して遮断を実行する手動モードとを選択するループ遮断モード選択手段を備えたことを特徴とする請求項2に記載の異常トラヒック除去装置。
- 前記ループ遮断手段において、遮断するフレームを、異常トラヒック除去装置を通過する全フレーム、又は前記ループ監視・検出手段を用いて検出されたループ状態フレームから選択するループ遮断対象選択手段を備えたことを特徴とする請求項2に記載の異常トラヒック除去装置。
- MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号を有するIPv4フレームの受信フレーム数をカウントし、TCP/UDP宛先ポート番号別の統計処理を行うアタックTCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。 - MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のTCP/UDP宛先ポート番号フィールド、Protocolフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のTCP/UDP宛先ポート番号別の統計処理を行うアタックIPSA毎TCP/UDP宛先ポート番号別統計手段とを備えたことを特徴とする異常トラヒック除去装置。 - MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したIPv4フレームのIPDAフィールド及びIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPDAフィールド及びIPSAフィールドを有するIPv4フレームの受信フレーム数をカウントし、IPSA毎のIP宛先数の統計処理を行うアタックIPSA毎IP宛先数統計手段とを備えたことを特徴とする異常トラヒック除去装置。 - MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから受信したARPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するARPフレームの受信フレーム数をカウントし、IPSA毎のARPフレーム数の統計処理を行うアタックIPSA毎ARPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。 - MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
ネットワークから異常トラヒック除去装置内に受信したICMPフレームのIPSAフィールドを検索エンジン部に書き込む手段と、同一のIPSAフィールドを有するICMPフレームの受信フレーム数をカウントし、IPSA毎のICMPフレーム数の統計処理を行うアタックIPSA毎ICMPフレーム数統計手段とを備えたことを特徴とする異常トラヒック除去装置。 - MACヘッダ部、IPヘッダ部、IPデータグラム部を含むフレームが伝送されるネットワークで発生する異常トラヒックを除去する装置において、
複数ポートから受信したMACフレームのトラヒック流量が予め設定された閾値帯域未満であるか、前記請求項5のアタックTCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記請求項6のアタックIPSA毎TCP/UDP宛先ポート番号別統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記請求項7のアタックIPSA毎IP宛先数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、前記請求項8のアタックIPSA毎ARPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるか、又は前記請求項9のアタックIPSA毎ICMPフレーム数統計手段で計測したフレーム数が予め設定された閾値帯域未満であるかを監視する手段と、
前記トラヒック流量又は各統計手段で計測したフレーム数の何れかが、一定期間、閾値以上を継続した場合にアタック行為による異常トラヒックと判定するアタック監視・検出手段とを備えたことを特徴とする異常トラヒック除去装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004185831A JP2006013737A (ja) | 2004-06-24 | 2004-06-24 | 異常トラヒック除去装置 |
| US11/061,695 US20050286430A1 (en) | 2004-06-24 | 2005-02-22 | Abnormal traffic eliminating apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004185831A JP2006013737A (ja) | 2004-06-24 | 2004-06-24 | 異常トラヒック除去装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006013737A true JP2006013737A (ja) | 2006-01-12 |
Family
ID=35505578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004185831A Pending JP2006013737A (ja) | 2004-06-24 | 2004-06-24 | 異常トラヒック除去装置 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20050286430A1 (ja) |
| JP (1) | JP2006013737A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044226A (ja) * | 2007-08-06 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 接続制限システムおよび接続制限方法 |
| WO2009078316A1 (ja) | 2007-12-14 | 2009-06-25 | Sony Corporation | 電子機器および電子機器におけるループ判断方法 |
| WO2011102086A1 (ja) * | 2010-02-19 | 2011-08-25 | 日本電気株式会社 | ループ検出装置、システム、方法およびプログラム |
| JP2012165319A (ja) * | 2011-02-09 | 2012-08-30 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送網システム |
| WO2017090162A1 (ja) * | 2015-11-26 | 2017-06-01 | 三菱電機株式会社 | 中継装置および通信ネットワーク |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7945656B1 (en) * | 2004-10-18 | 2011-05-17 | Cisco Technology, Inc. | Method for determining round trip times for devices with ICMP echo disable |
| US7730531B2 (en) * | 2005-04-15 | 2010-06-01 | Microsoft Corporation | System and method for detection of artificially generated system load |
| JP4089719B2 (ja) * | 2005-09-09 | 2008-05-28 | 沖電気工業株式会社 | 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム |
| US8510833B2 (en) * | 2005-10-27 | 2013-08-13 | Hewlett-Packard Development Company, L.P. | Connection-rate filtering using ARP requests |
| US7930748B1 (en) * | 2005-12-29 | 2011-04-19 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting scans in real-time |
| JP2007274535A (ja) * | 2006-03-31 | 2007-10-18 | Fujitsu Ltd | レイヤ3ネットワークにおけるループ特定装置およびループ特定方法 |
| DE102006035834A1 (de) * | 2006-08-01 | 2008-02-07 | Nokia Siemens Networks Gmbh & Co.Kg | Analyseeinheit für ein paketvermittelndes Kommunikationsnetz |
| JP4757163B2 (ja) | 2006-09-29 | 2011-08-24 | 富士通株式会社 | レイヤ2ループ検出装置、レイヤ2ループ検出システムおよびレイヤ2ループ検出方法 |
| US8036217B2 (en) * | 2008-06-03 | 2011-10-11 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus to count MAC moves at line rate |
| WO2010087308A1 (ja) * | 2009-02-02 | 2010-08-05 | 日本電気株式会社 | 通信ネットワーク管理システム、方法、プログラム、及び管理計算機 |
| JP5407712B2 (ja) * | 2009-09-30 | 2014-02-05 | 富士通株式会社 | 通信装置および通信制御方法 |
| US9049151B2 (en) | 2009-10-07 | 2015-06-02 | Broadcom Corporation | Low-power policy for port |
| US8456992B2 (en) * | 2009-10-07 | 2013-06-04 | Broadcom Corporation | Low-power policy for port |
| CN102325046B (zh) * | 2011-09-08 | 2014-02-12 | 杭州华三通信技术有限公司 | 用于触发网络设备恢复默认配置的方法及装置 |
| US9479440B1 (en) * | 2012-02-15 | 2016-10-25 | Arris Enterprises, Inc. | Specifying and enforcing IPV4 and IPV6 CPE limits |
| CN102868685B (zh) * | 2012-08-29 | 2015-04-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
| US9667754B2 (en) * | 2014-08-11 | 2017-05-30 | Oracle International Corporation | Data structure and associated management routines for TCP control block (TCB) table in network stacks |
| CN109714182B (zh) * | 2017-10-25 | 2022-01-25 | 中兴通讯股份有限公司 | 一种网络控制方法、装置和计算机可读存储介质 |
| CN108965058B (zh) * | 2018-07-26 | 2021-03-02 | 北京奇艺世纪科技有限公司 | 一种终端网络性能探测方法及系统 |
| US11100199B2 (en) * | 2018-08-30 | 2021-08-24 | Servicenow, Inc. | Automatically detecting misuse of licensed software |
| US10592710B1 (en) * | 2018-10-02 | 2020-03-17 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CN109600363B (zh) * | 2018-11-28 | 2020-01-21 | 南京财经大学 | 一种物联网终端网络画像及异常网络访问行为检测方法 |
| US11316904B2 (en) * | 2019-04-25 | 2022-04-26 | Super Micro Computer, Inc. | Network switches with secured switch ports to baseboard management controllers |
| CN111224997B (zh) * | 2020-01-17 | 2022-11-01 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| CN115604031B (zh) * | 2022-11-30 | 2023-03-17 | 成都中科合迅科技有限公司 | 一种路由器防攻击方法、装置、设备及介质 |
| CN118193051B (zh) * | 2024-05-16 | 2024-08-02 | 北京壁仞科技开发有限公司 | 程序效能优化方法与电子装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0993282A (ja) * | 1995-09-27 | 1997-04-04 | Nec Corp | ブリッジ装置 |
| JPH11317761A (ja) * | 1997-12-05 | 1999-11-16 | Hewlett Packard Co <Hp> | ネットワークの障害検出および分離を自動化するためのハブ組込システム |
| JP2001197114A (ja) * | 2000-01-14 | 2001-07-19 | Fujitsu Ltd | フレーム中継装置 |
| JP2001273209A (ja) * | 2000-02-11 | 2001-10-05 | Internatl Business Mach Corp <Ibm> | ネットワーク接続フラッド攻撃の防止方法 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
| JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
| JP2004166029A (ja) * | 2002-11-14 | 2004-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4577313A (en) * | 1984-06-04 | 1986-03-18 | Sy Kian Bon K | Routing mechanism with encapsulated FCS for a multi-ring local area network |
| US7215637B1 (en) * | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
| JP3837696B2 (ja) * | 2001-03-30 | 2006-10-25 | 富士通株式会社 | 伝送装置及びデータ伝送方法 |
| US7426634B2 (en) * | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
-
2004
- 2004-06-24 JP JP2004185831A patent/JP2006013737A/ja active Pending
-
2005
- 2005-02-22 US US11/061,695 patent/US20050286430A1/en not_active Abandoned
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0993282A (ja) * | 1995-09-27 | 1997-04-04 | Nec Corp | ブリッジ装置 |
| JPH11317761A (ja) * | 1997-12-05 | 1999-11-16 | Hewlett Packard Co <Hp> | ネットワークの障害検出および分離を自動化するためのハブ組込システム |
| JP2001197114A (ja) * | 2000-01-14 | 2001-07-19 | Fujitsu Ltd | フレーム中継装置 |
| JP2001273209A (ja) * | 2000-02-11 | 2001-10-05 | Internatl Business Mach Corp <Ibm> | ネットワーク接続フラッド攻撃の防止方法 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2003289337A (ja) * | 2002-03-28 | 2003-10-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法 |
| JP2004140524A (ja) * | 2002-10-16 | 2004-05-13 | Sony Corp | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
| JP2004166029A (ja) * | 2002-11-14 | 2004-06-10 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス拒絶防御方法およびシステム、ならびにそのプログラム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009044226A (ja) * | 2007-08-06 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 接続制限システムおよび接続制限方法 |
| WO2009078316A1 (ja) | 2007-12-14 | 2009-06-25 | Sony Corporation | 電子機器および電子機器におけるループ判断方法 |
| US8059550B2 (en) | 2007-12-14 | 2011-11-15 | Sony Corporation | Electronic apparatus and method for detecting loop in electronic apparatus |
| WO2011102086A1 (ja) * | 2010-02-19 | 2011-08-25 | 日本電気株式会社 | ループ検出装置、システム、方法およびプログラム |
| US8804537B2 (en) | 2010-02-19 | 2014-08-12 | Nec Corporation | Loop detecting device, system, method and program |
| JP5673663B2 (ja) * | 2010-02-19 | 2015-02-18 | 日本電気株式会社 | ループ検出装置、システム、方法およびプログラム |
| JP2012165319A (ja) * | 2011-02-09 | 2012-08-30 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送網システム |
| WO2017090162A1 (ja) * | 2015-11-26 | 2017-06-01 | 三菱電機株式会社 | 中継装置および通信ネットワーク |
| JPWO2017090162A1 (ja) * | 2015-11-26 | 2018-02-15 | 三菱電機株式会社 | 中継装置および通信ネットワーク |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050286430A1 (en) | 2005-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006013737A (ja) | 異常トラヒック除去装置 | |
| JP5411134B2 (ja) | ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム | |
| CN101399711B (zh) | 网络监视装置以及网络监视方法 | |
| US7609629B2 (en) | Network controller and control method with flow analysis and control function | |
| US9787556B2 (en) | Apparatus, system, and method for enhanced monitoring, searching, and visualization of network data | |
| JP4547340B2 (ja) | トラフィック制御方式、装置及びシステム | |
| US20070204060A1 (en) | Network control apparatus and network control method | |
| US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
| US20040107361A1 (en) | System for high speed network intrusion detection | |
| CN110661716B (zh) | 网络丢包的通知方法、监控装置、交换机和存储介质 | |
| US20100002702A1 (en) | Frame forwarding apparatus | |
| JP2009231876A (ja) | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム | |
| US20080144523A1 (en) | Traffic Monitoring Apparatus, Entry Managing Apparatus, and Network System | |
| CN112260899B (zh) | 基于mmu的网络监测方法和装置 | |
| CN115277103A (zh) | DDoS攻击检测方法、DDoS攻击流量过滤方法、装置 | |
| US20100058459A1 (en) | Network interface card with packet filtering function and filtering method thereof | |
| EP3092737B1 (en) | Systems for enhanced monitoring, searching, and visualization of network data | |
| JP2006148778A (ja) | パケット転送制御装置 | |
| CN112702283B (zh) | 一种网络精确丢包监控方法和交换芯片 | |
| WO2015105684A1 (en) | Apparatus, system, and method for enhanced monitoring and interception of network data | |
| CN120128573B (zh) | 工业现场网络地址冲突环境下的数据链路层解析方法 | |
| KR101380292B1 (ko) | 링크 절체를 이용한 경제적인 시분할 DDoS 탐지 방법 및 시스템 | |
| CN116827876A (zh) | 一种NetFlow流量采集核对的方法 | |
| CN117938529A (zh) | 基于队列诊断的拥塞相关攻击的防御方案 | |
| CN115380510A (zh) | 用于监测机动车的控制器之间的数据流量的方法以及相应配备的机动车 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070424 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090908 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091105 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100209 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100713 |