网络控制装置和控制系统及控制方法制造方法及图纸

本发明专利技术研究了一种能在网络中高速地抽出非法的通信量后判定其特性的技术。公开了如下的技术，即，设置了对每个进行传送的数据包的报头部分中所包含的项目的任意组合累计数据包数的单元、和判定该单元的累计值是否超过了规定的阈值的单元，在数据包数超过了阈值时，根据项目的组合和与项目的组合不同的组合的累计值，判定进行传送的数据包的类别。

【技术实现步骤摘要】
网络控制装置和控制系统及控制方法
本专利技术涉及在网络间传送网络上的数据包的网络控制装置和系统，特别是涉及从大量的通信量中高效地检测不适当的通信量，能够控制该通信量的传送的网络控制装置和系统。
技术介绍
在因特网或局域网的利用普及的同时，这些网络的稳定的运行的重要性在增加。特别是在因特网中，不确定多的用户利用各种各样的应用程序。因此，产生大于因特网服务提供商估算的过载通信量或者因攻击和网络蠕虫的传播等非法行为引起的通信量的可能性增高，如何检测和控制这些情况来确保正常的通信的稳定性就成为课题。作为用于处理这样的课题的代表性的技术之一，已知有入侵检测系统。入侵检测系统是事先以数据库的方式保持非法数据包的模版，通过进行接收到的数据包与该数据库内容的比较来检测非法数据包的系统。由于进行检查对象数据包与庞大的非法数据包的数据库的比较，因此，入侵检测系统的处理速度成为问题，但例如已公开了一种通过按照保护对象网络内存在的服务器的种类预先装入了作为比较对象的数据库内容来高速化处理的方法等(例如，参照专利文献1)。此外，作为网络发生了引起拥挤这样的过大的通信量的情况下的对策技术，已公开了一种预先按用户和计算机单位决定监视对象，计测各个监视对象的通信量等的信息，在发生拥挤时，对上述通信量多的监视对象的通信量进行频带限制的方法等(例如，参照专利文献2)。另外，最近公开了一种在因特网的中枢网络等的流过庞大通信量的-->网络中，为了高速地抽出具有规定的特征并且占有大带宽的通信量而应用了货篮(basket)分析的通信量的解析方法等(例如，参照专利文献3)。所述货篮分析是用于用数据采矿(data mining)手法之一找到在小卖店等中经常一齐购买的商品的组合的数据解析。【专利文献1】特开2003-223375号公报【专利文献2】特开2001-217842号公报【专利文献3】特开2005-285048号公报专利文献1的技术是在利用特征匹配进行非法数据包的检测的入侵检测系统中，通过削减进行匹配的特征来谋求处理的高速化的技术。例如，按照组织网络的条目程度的通信量，在仅利用被限定的服务的网络中认为有效。但是有这样的问题，从进行每个数据包的特征匹配处理的这点来说，处理速度有限度，对因特网的中枢网络程度的通信量进行处理有困难。此外，专利文献2的技术是事先决定监视对象、利用数据库管理该监视对象的利用通信量的量。这在已限定的监视对象的环境中利用也许没有问题。但是有这样的问题，即若想要在不特定多数的计算机等通信量通过的因特网的中枢网络中适用，事先决定监视对象的运用就困难，假设即使适用也需要庞大的存储器等资源。此外，专利文献3的技术在于也许解决了在专利文献1的技术和专利文献2的技术中成为问题的处理性能和存储器等的必要资源量的问题。但是有这样的问题，没有考虑直到为了高精度地判定抽出的通信量的特性(例如，DDoS攻击、网络蠕虫的扩散、P2P文件交换等)而必需的信息的取得。因此，在要对抽出的通信量进行中断等控制的情况下，难以防止对抽出的通信量进行错误的控制。
技术实现思路
于是，研究了在因特网的中枢网络这样的流过庞大通信量的网络中也能高速地抽出非法通信量后判定其特性的网络控制装置和系统。-->此外，研究了不限制监视对象而能用少量的存储器资源抽出发生过大通信量的网络上的装置的网络控制装置和系统。此外，研究了能按照事先设定的控制策略，对抽出后判定了特性的通信量自动进行控制的网络控制装置和系统。考虑上述课题，提供一种技术，例如，设置了对每个进行传送的数据包的报头部分中所包含的项目的任意组合累计数据包数的单元、和判定该单元的累计值是否超过了规定的阈值的单元，在数据包数超过了阈值时，根据项目的组合和与项目的组合不同的组合的累计值，判定进行传送的数据包的类别。此外，考虑上述课题，提供一种技术，例如，在累计数据包数的单元中设置了：在保持项目组合和累计值的组合的区域的分配中使用项目组合的散列值的分配单元；以及，在分配单元分配了已经在其他的项目组合的累计中使用中的区域的情况下，减去区域的累计值的单元。在累计值减法的结果变为0时，之后出现的项目组合写入利用区域。此外，考虑上述课题，提供对通信量中的特定的数据包控制可否传送和使用频带的流控制单元、和按照数据包的类别的判定结果变更流控制单元的设定的技术。即，在本说明书中公开了一种网络控制装置，至少具有：与一个以上的网络连接的单元；监视网络上流过的数据包的单元；对由进行监视的装置得到的数据包中的任意一个或两个以上的组合的字段的值相同的数据包的数量进行累计的装置；在累计后的数据包数超过了指定的阈值时，根据与任意一个或两个以上的组合不同的任意一个或两个以上的组合的字段的值，对超过了指定的阈值的数量的数据包的特性进行推断的数据包推断单元。可以参照实施例的详细说明弄明白其他的课题、方案和效果。根据上述方案，由于不进行数据包的特征匹配而能够抽出非法数据包并判定其特性，因此，有在通信量多的高速的网络中也能适用的效果。此外，根据上述方案，具有如下效果：即使在为了检测特定通信量-->而仅能使用有限的存储区域的情况下，也能够不特别限制监视对象数据包而抽出频繁出现的通信量的数据包。此外，根据上述方案，由于在检测出了特定通信量时，能够按照预先指定的规则来控制通信量，因此，有在高速的网络中也能对非法通信量迅速进行中断或频带限制等对策的效果。附图说明图1示出实施例1的网络控制装置的结构的一例。图2示出实施例1中的数据包计数表的内容的一例。图3示出实施例1中的阈值表的内容的一例。图4示出实施例1中的控制策略表的内容的一例。图5是示出实施例1的网络控制装置的工作的一例的流程图。图6示出实施例1中的通信量信息的内容的一例。图7是示出实施例1中的通信量信息分析处理的详细的一例的流程图。图8示出实施例1中的阈值超过信息的内容的一例。图9是示出实施例1中的数据包计数表更新处理的详细的一例的流程图。图10是示出实施例1中的问题通信量判别处理的详细的一例的流程图。图11示出实施例2的网络控制系统的结构。图12是示出实施例2的网络控制系统的工作的一例的流程图。图13示出实施例3中的数据包计数表的内容的一例。图14是示出实施例3中的数据包计数表更新处理的详细的一例的流程图。图15示出实施例3中的辅助表的内容的一例。图16是示出实施例3中的问题通信量判别处理的详细的一例的流程图。-->具体实施方式说明本专利技术的最佳实施方式。但是，本专利技术不限定于该实施方式。使用附图说明网络控制装置和系统及控制方法的实施例。【实施例1】说明实施例1。图1示出了本实施方式的一个实施例的网络控制装置的结构图。图中，101是本实施方式的网络控制装置，102是用于对网络控制装置101给予指示或显示状态的输入输出装置，103、104、105是与网络控制装置101连接的网络。网络控制装置101由数据包传送处理部106和特定通信量检测控制部107构成。连接接口108连接数据包传送处理部106和特定通信量检测控制部107，能在数据包传送处理部106与特定通信量检测控制部107之间进行数据交换。数据包传送处理部106包括CPU109、存储器110、在网络103、104、105之间进行数据包的收发的数据包收发部1本文档来自技高网...

【技术保护点】
一种网络控制装置，控制收发数据包的网络，其特征在于，具有：第一计数部，对数据包的流信息中包含的多个项目中的、任意多个项目的第一项目组一致的数据包进行计数；第二计数部，对上述流信息中的、除了上述第一项目组以外的项目一致的数据包 进行计数；特定通信量检测部，在上述第一计数部的计数超过了规定值时，利用该第一计数部的计数和上述第二计数部的计数来判定异常种类。

【技术特征摘要】
JP 2005-4-6 109744/20051、一种网络控制装置，控制收发数据包的网络，其特征在于，具有：第一计数部，对数据包的流信息中包含的多个项目中的、任意多个项目的第一项目组一致的数据包进行计数；第二计数部，对上述流信息中的、除了上述第一项目组以外的项目一致的数据包进行计数；特定通信量检测部，在上述第一计数部的计数超过了规定值时，利用该第一计数部的计数和上述第二计数部的计数来判定异常种类。2、如权利要求1所述的网络控制装置，其特征在于，具有：数据包接收部，从线路接收数据包；流信息取得部，从在上述数据包接收部中接收到的数据包取得流信息。3、如权利要求1所述的网络控制装置，其特征在于，上述流信息包括发送源IP地址、接收方IP地址、发送源端口号和接收方端口号中的至少一个项目。4、如权利要求1所述的网络控制装置，其特征在于，在上述第一计数部中计数的包括发送源地址的项目和接收方端口号的项目的上述第一项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部判定在上述第二计数部中计数的包括发送源地址的项目和发送源端口号的项目的第二项目组一致的数据包的计数是否超过了规定值。5、如权利要求4所述的网络控制装置，其特征在于，在判定为上述第二项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部将该数据包的异常种类判定为网络蠕虫。6、如权利要求1所述的网络控制装置，其特征在于，在上述第一计数部中计数的包括接收方地址的项目和接收方端口号的上述第一项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部判定在上述第二计数部中计数的包括发送源地址的项目和发送源端口号的项目的第二项目组一致的数据包的计数是否超过了规定值。7、如权利要求6所述的网络控制装置，其特征在于，在判定为上述第二项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部将该数据包的异常种类判定为DDoS攻击。8、如权利要求1所述的网络控制装置，其特征在于，在上述第一计数部中计数的包括发送源地址的项目和接收方端口号的项目的上述第一项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部判定在上述第二计数部中计数的接收方地址一致的数据包的计数是否满足规定条件。9、如权利要求8所述的网络控制装置，其特征在于，在判定为上述第二计数部中计数的接收方地址一致的数据包的计数满足上述规定条件时，上述特定通信量检测部将该数据包的异常种类判定为网络蠕虫。10、如权利要求1所述的网络控制装置，其特征在于，在上述第一计数部中计数的包括接收方地址的项目和接收方端口号的项目的上述第一项目组一致的数据包的计数超过了规定值时，上述特定通信量检测部判定在上述第二计数部中计数的发送源地址的计数是否满足规定条件。11、如权利要求10所述的网络控制装置，其特征在于，在判定为上述第二计数部中计数的发送源地址一致的数据包的计数满足上述规定条件时，上述特定...

【专利技术属性】
技术研发人员：渡边义则，矶部隆史，樋口秀光，
申请(专利权)人：阿拉克斯拉网络株式会社，
类型：发明
国别省市：JP[日本]