专利名称:网络监视装置以及网络监视方法
技术领域:
本发明涉及网络监视装置以及网络监视方法,特别涉及通过从多条 线路抽出特定的流量,来减轻监控装置的负荷的网络监视装置以及网络 监视方法。
背景技术:
随着因特网等网络的普及,开发了监控网络的技术。例如,在专利 文献l中记载了如下的技术,即通过将低速线路的帧分解,并在高速线 路中进行再成帧而进行多路复用,来削减测定系统的设置数量,实现高 效率的网络监视。[专利文献l]日本特开2006-22"46号7>才艮在网络监视中,如专利文献l那样在系统构成中具有过滤器的情况 下,可阻挡特定的包(packet),但过滤器不能检测流量的变化。因此, 在具有过滤器的系统中,针对通过发送不正当的数据使计算机不能使 用、或通过增大流量使网络瘫痪那样的所谓的DoS攻击的对策,未必是 充分的。在这样的系统中,当发生了 DoS攻击时,在进行网络监视的监 控装置中流入无用的流量,难以实现有效的网络监视。另外,专利文献l所记栽的技术,虽然能够汇集网络分析仪,但网 络分析仪不能对应重复IP地址。例如,在面向企业的VPN、小规模ISP、 面向地域的CATV等中,多数情况是向各个加入者分配专用IP地址。 在这种情况下,如果直接连接线路,则在加入者之间IP地址发生重复, 形成干扰。在监视加入者的流量的情况下,利用分接装置连接网络分析 仪(监控装置),但在网络分析仪不对应重复IP地址的情况下,存在不 能正确监视加入者的流量的问题。发明内容因此,本发明就是鉴于上述问题而完成的,本发明的目的是,提供 一种可通过检测流量的变化来实现有效的网络监视的、新的且改进的网 络监视装置和网络监视方法。为了解决上述的问题,根据本发明的某个观点,提供一种网络监视装置,被连接在与网络连接的接入网中,其特征在于,具有接收部, 其区分从网络向接入网输入的输入侧的通信数据、和从接入网向网络输 出的输出侧的通信数据并接收;和异常流量检测部,其根据上述输入侧 的通信数据和上述输出侧的通信数据的双方,检测出异常流量。根据上述构成,区分从网络向接入网输入的输入侧的通信数据、和 从接入网向网络输出的输出侧的通信数据并接收,根据输入侧的通信数 据和输出侧的通信数据的双方检测异常流量。因此,可根据双方向的通 信数据的流量的变动,检测DoS攻击等异常状态。由此,在对网络监视 进行监控的监控装置中,由于不会流入无用的流量,所以可实现有效的 网络监视。另外,上述异常流量检测部也可以具有会话(session)处理部,来识别;和特征(signature)保持部,其登记有表示异常的通信数据的 特征,通过进行上述特征、和各个会话中的上述输入侧的通信数据以及 上述输出侧的通信数据的比较,检测出上述异常流量。根据这样的构成, 可根据预先登记的表示异常的通信数据的特征,按每个会话检测异常流另外,上述异常流量检测部也可以在同时会话数或每秒会话数达到 上限值的情况下,检测出上述异常流量,并废弃对应的通信数据。根据 这样的构成,在同时会话数或每秒会话数达到了上限值的情况下,检测 出异常流量并废弃通信数据,所以可以在受到DoS攻击等的情况下,废 弃通信数据。另外,也可以还具有重复IP检测部,其根据上述通信数据中所包 含的源IP地址和VLAN-ID,检测源IP地址是否重复,在源IP地址重 复的情况下,对该通信数据赋予单独标签。根据这样的构成,即使在对 网络监视进行监控的监控装置不对应重复IP地址的情况下,也能够检 测重复的源IP地址的通信数据,并分配给不同的监控装置。
另外,也可以还具有切换器部,其根据被赋予给上述通信数据的上述单独标签、和上述通信数据的VLAN-ID,来决定针对对网络监视状 况进行监控的监控装置的输出目的地。根据这样的构成,通过按每个 VLAN-ID指定输出目的地,可只把相同签约的加入者的流量汇集到1 个监控装置。另外,为了解决上述的问题,根据本发明的其他观点,提供一种网 络监视方法,其具有接收步骤,区分从网络向接入网输入的输入侧的 通信数据、和从接入网向网络输出的输出侧的通信数据并接收;和异常 流量检测步骤,把上述输入侧的通信数据和上述输出侧的通信数据的双 方作为会话进行识别,检测出异常流量。根据这样的构成,区分从网络向接入网输入的输入侧的通信数据、 和从接入网向网络输出的输出侧的通信数据并接收,把输入侧的通信数 据和输出侧的通信数据的双方作为会话进行识别,检测出异常流量。因 此,可根据双方向的通信数据的流量的变动,检测出DoS攻击等异常状 态。由此,在对网络监视进行监控的监控装置中,由于不会流入无用的 流量,所以可实现有效的网络监视。另外,在上述异常流量检测步骤中,也可以通过进行表示异常的通 信数据的特征、和各个会话中的上述输入侧的通信数据以及上述输出侧 的通信数据的比较,检测上述异常流量。根据这样的构成,可根据预先 登记的表示异常的通信数据的特征,按每个会话检测异常流量。另外,在上述异常流量检测步骤中,也可以在同时会话数或每秒会 话数达到了上限值的情况下,检测出上述异常流量,废弃对应的通信数 据。根据这样的构成,在同时会话数或每秒会话数达到了上P艮值的情况 下,检测出异常流量并废弃通信数据,所以可在受到DoS攻击等的情况 下,废弃通信数据。另外,也可以还具有重复IP检测步骤,在该步骤中根据上述通信 数据中所包含的源IP地址和VLAN-ID,检测源IP地址是否重复,在 源IP地址重复的情况下,对该通信数据赋予单独标签。根据这样的构 成,即使在对网络监视进行监控的监控装置不对应重复IP地址的情况 下,也能够检测出重复的源IP地址的通信数据,并分配给不同的监控 装置。另外,也可以还具有输出目的地决定步骤,在该步骤中根据被赋予给上述通信数据的上述单独标签和上述通信数据的VLAN-ID,来决定 针对对网络监视状况进行监控的监控装置的输出目的地。根据这样的构 成,通过按每个VLAN-ID指定输出目的地,可只把相同签约的加入者 的流量汇集到1个监控装置中。根据本发明,通过检测流量的变动,可实现有效的网络监视。
图l是表示本发明的第1实施方式涉及的聚合装置针对网络的设置 构成的模式图。图2是表示第1实施方式涉及的聚合装置的功能方框构成的模式图。图3是表示输入(Ingress )包过滤器部、输出(Egress)包过滤器 部的构成的模式图。图4是表示异常流量检测部的构成的模式图。图5是表示切换器部的构成的模式图。图6是表示异常流量检测部的管理部、和管理装置的构成的模式图。图7是表示异常流量检测部中的会话处理的流程图。图8是表示第2实施方式涉及的聚合装置针对网络的设置构成的模 式图。图9是表示第2实施方式涉及的聚合装置的功能方框构成的模式图。图IO是表示第2实施方式涉及的聚合装置的重复IP检测部的构成 的模式图。图11是表示第2实施方式涉及的异常流量检测部的构成的模式图。 图12是表示第2实施方式涉及的切换器部的构成的模式图。图13是表示第2实施方式涉及的切换器部中的VLAN-ID检索部的 构成的模式图。图14是表示第2实施方式涉及的异常流量检测部的管理部、和管 理装置的构成的模式图。图中100 -聚合装置;105 -接收部;120 -异常流量检测 部;128 -特征保持部;800 -重复IP地址;900 -切换器部。
具体实施方式
下面,参照附图,对本发明的优选实施方式进行详细说明。另外, 在本说明书和附图中,对于具有实质相同的功能构成的构成要素,标记 相同的符号,并省略重复说明。(第1实施方式)首先,说明本发明的第1实施方式。图1是表示第1实施方式涉及 的聚合(Aggregation)装置100针对网络200的设置构成的模式图。 在图1的例中,在接入网300与ISP (Internet Services Provider) 400 之间的线路上配置有把通信信号分支输出的网络分接装置500、 510、 520、 530,将分接装置500、 510、 520、 530的In (输入)侧(接入网 300侧)、和Out (输出)侧(ISP400侧)的分支的输出线路,分别与 聚合装置100的线路侧的In侧、Out侧连接。同样,把聚合装置100 的监控器侧的输出线路与各个监控装置600、 610连接。在图l的例中, 假设监控装置600是能够单独在线设置的装置。另外,进行设定的构成 管理和统计信息的管理的管理装置700与聚合装置100连接。图2是表示聚合装置100的功能方框构成的模式图。接收部105区 分In侧、Out侧的输入并接收。输入(Ingress)包过滤器部110,能够 根据从线路侧的各个分接装置500接收的包,抽出以太头、IP头、 TCP/UDP头的标识符并进行检索,才艮据标识符进行过滤。异常流量检测部120能够通过对通过了 Ingress包过滤器部110的 In侧、Out侧的双方的包进行处理,作为会话进行识别。通过了异常流
量检测部120的包被转送到切换器部130的输入点。切换器部130是与预先设定的输出点的线路连接的线路切换型的切 换器。切换器部130的输出点与暂时保持包的緩冲存储器140连接,并 且与多路复用部150连接。多路复用部150以循环(round-robin)方式 从緩冲存储器140中取出包,进行串行化,然后转送到发送部侧的緩冲 存储器160。输出(Egress)包过滤器部170能够与Ingress包过滤器部 110同样,根据头的标识符,对包进行过滤。通过了 Egress包过滤器部 170的包,由监控器侧的发送部180进行发送。图3表示Ingress包过滤器部110、 Egress包过滤器部170的构成。 这些包过滤器部110、 170由包过滤器表115构成。作为在策略规则 (policy rule)中可设定的以太头、IP头、TCP/UDP头的标识符,如 图3所示,可列举出VLAN-ID、以太网优先级(Ether Priority )、以太 网类型(Ether Type )、目的地IP地址、发送源IP地址、TOS、协议编 号、TCP标志、目的地端口编号、以及发送源端口编号。对于各个标识 符,可以指定屏蔽位进行范围检索。包过滤器表115对各个入口 (entry)赋予了优先度,在图3所示的 例中,对小的编号设定高优先度。对标识符进行检索的结果,采用命中 为更高优先级的入口,按照预先设定的与各个入口对应的动作(通过 (Permit ))、或(废弃deny)),选择通过或废弃。另外,包过滤器表 115,作为每个入口的统计信息而具有包计数(pps )和字节计数(bps )。 作为检索结果,在命中的全部入口对包计数和字节计数进行加法计算。图4是表示异常流量检测部120的构成的模式图。被输入到异常流 量检测部120中的In侧和Out侧双方的包,被输入到会话处理部122, 并按照图7的会话处理流程图进行处理。这里,对图7的会话处理进行说明。首先,在步骤Sl中,将包输 入到会话处理部。然后在步骤S2中,检索特征,在特征命中的情况下, 进入步骤S3。在步骤S3中,对异常包统计信息进行加法计算,在步骤 S4中,把包废弃。当在步骤S2中特征未命中的情况下,进入步骤S5,检索会话管理
表。当在会话管理表中包命中的情况下,进入步骤S6,判定是否接收 到FIN/RST。在步骤S6中,在接收到FIN/RST的情况下,进入步骤 S7,在接受步骤S8的无用数据定时器结束后,删除会话管理表。然后, 在步骤S9中,将包废弃。另一方面,在步骤S5中,在会话管理表中未命中的情况下,进入 步骤SIO,接收最初的包(第1包)。在接下来的步骤Sll中,设定无 用数据定时器,在其后的步骤S12中,判定有无同时会话数的登记。在步骤S12中,在有同时会话数的登记的情况下,进入步骤S13, 判定同时会话数是否是上限值。在步骤S13中,在同时会话数是上限值 的情况下,在步骤S9中废弃包。另一方面,在步骤S13中,在同时会 话数不是上限值的情况下,或者,在步骤S12中没有同时会话数的登记 的情况下,进入步骤S14。在步骤S14中,判定有无每秒会话数的登记,在有每秒会话数的登 记的情况下,在步骤S15中,判定每秒会话数是否是上限值。在步骤 S15中,当每秒会话数是上限值的情况下,在步骤S16中,将包废弃。 另一方面,在步骤S15中,在每秒会话数不是上限值的情况下,或在步 骤S14中没有每秒会话数的登记的情况下,进入步骤S17。在步骤S17中,对会话统计信息进行加法计算。在接下来的步骤S18 中,登记会话管理表。在接下来的步骤S19中,输出包。步骤S19之后, 结束处理(END)。将在会话处理部122中被处理过的会话,登记在会话管理表124中。 此时,所登记的标识符是图4所示的5个标识符(目的地IP地址、发 送源IP地址、协议编号、目的地端口编号、发送源端口编号)。会话统 计信息保持部126把被登记在会话管理表124中的、在该时刻所维持的 会话数,以目的地IP地址和发送源IP地址的组合为单位进行保持。将输入到异常流量检测部120的包,在图7的步骤S2中,通过与 登记在特征保持部128中的各个特征进行对比,判断该包是否是异常包。 登记在特征保持部128中的特征,记述有作为异常包的模式,例如记述 有目的地IP地址与发送源IP地址相同、冒充发送源IP地址、以及
在目的地的主机中再次构筑IP包时超过了最大长度等的模式。异常包统计信息保持部129以特征为单位保持检测出的异常包数,当在步骤 S2中特征命中的情况下,在步骤S3中对异常包统计信息进行加法计算。图5是表示切换器部130的构成的模式图。在切换器部130中,通 过切换元件132把线路侧的输入线与监控器侧的输出线连接,通过设定 图5所示的切换元件132的3个状态(切换1、切换2、反射),选择输 出目的地。图6是表示异常流量检测部120的管理部l卯、和管理装置700的 构成的模式图。管理部190由Ingress包过滤器部110的统计收集部191、 异常流量检测部120的统计收集部192、 Egress包过滤器部170的统计 收集部193、 Ingress包过滤器部110的i殳定部194、异常流量检测部120 的设定部195、 Egress包过滤器部170的设定部196、和切换器部130 的设定部197构成。管理部190通过收发部195与管理装置700连接,成为与管理装置 700之间的统计信息、设定信息的接口,把各个信息从内部的信息形式 转换成管理装置的信息形式。作为管理装置700的信息形式,字符 (character)形式和MIB ( Management Information Base )形式等属 于此。管理装置700,由从管理部l卯收集统计信息,并利用波形进行显 示的统计信息监控器部710、把监控器部的波形作为履历储存的统计信 息报告部720、和储存在聚合装置中设定的包过滤器和切换器状态的设 定信息的构成管理部730构成。如以上说明那样,根据本实施方式,对输入到异常流量检测部120 中的In侧和Out侧的双方的包,通过特征检索来判定是否是异常包。 因此,能够根据基于双方向的包的流量的变动,将DoS攻击等的异常包 废弃。由此,即使在发生了 DoS攻击的情况下,在监控装置600中,也 不会流入无用的流量,可实现有效的网络200的监视。另外,当在监控 装置600中汇集收集了异常包的情况下,即使在冒充发送源IP地址的 情况下,也能够确认以线路为单位的异常包统计信息。(第2实施方式)下面,对本发明的第2实施方式进行说明。图8表示第2实施方式 涉及的聚合装置100针对网络的设置构成。图8所示的构成与图l基本 相同,其不同点是,相对在图1中的接入网300通过ISP400进行针对 网络200的连接,而在图8中是利用VPN ( Virtual Private Network) 410、 ISP420、 CATV ( Community Antenna Television ) 430等进行针 对网络200的连接。图9是表示第2实施方式涉及的聚合装置100的功能方框构成的模 式图。第2实施方式涉及的聚合装置100与第1实施方式的聚合装置100 的不同点是,在异常流量检测部120的后级设有重复IP检测部800。另 外,在第2实施方式涉及的聚合装置100中,切换器部卯0的构成与第 1实施方式的切换器部130不同。通过了异常流量检测部120的包,被输入到重复IP检测部800。在 重复IP检测部800中,识别包的VLAN-ID和源IP地址后,进行重复 IP的检测。图10是表示重复IP检测部800的构成的模式图。重复IP检测部 800从输入的双方向的包中抽出VLAN-ID和源IP地址。将抽出的2个 标识符以源IP地址为关键词登记在检索表810中。此时,当是相同源 IP地址VLAN-ID相同的情况下,把检索表810的重复标志登记为"0", 并对该包赋予单独的标签,在其中记述"0",并进行输出。另一方面, 当是相同源IP地址VLAN-ID不同的情况下,把检索表810的重复标志 登记为'T,,并同样赋予单独的标签,但在其中记述"1",并进行输出。 此外,将检索表810每隔一定的时间进行清除更新。另外,根据来自管 理部l卯的设定把重复标志登记为"1",但在单独标签中通常也可以记 述"0"。图11是表示异常流量检测部120的构成的模式图。与第1实施方式 同样,将In侧和Out侧的双方的包输入到会话处理部122,并按照图7 的会话处理流程进行处理。将所处理的会话登记到会话管理表124中, 但此时登记的标识符是图11所示的6个标识符(VLAN-ID、目的地IP 地址、发送源IP地址、协议编号、目的地端口编号、发送源端口编号)。
通过把VLAN-ID包含在关键词中,即使是重复的IP地址,也能够正确 地识别会话。在会话统计信息保持部126中,把在被登记到会话管理表124中的 时刻所维持的会话数以目的地IP地址和发送源IP地址的组合为单位保持。与第l实施方式同样,输入到异常流量检测部120的包,通过与登 记在特征保持部128中的各个特征进行对比,来判断该包是否是异常包。 另外,异常包统计信息保持部129以特征为单位保持检测出的异常包。通过了重复IP检测部800的包被转送到切换器部卯0的输入点。 切换器部卯0是预先设定的VLAN-ID检索型的切换器。图12是表示切 换器部900的构成的模式图。在切换器部900中,通过VLAN-ID检索 部910把线路侧的输入线与监控器侧的输出线连接,根据VLAN-ID检 索部910的VLAN-ID检索的结果,决定输出目的地。图13是表示VLAN-ID检索部910的构成的模式图。VLAN-ID检 索部910针对In侧、Out侧的各自的输入,指定2个输出(1)、 (2) 的一方或双方并输出。在VLAN-ID检索部910中,从所输入的包中抽 出VLAN-ID和单独标签,首先,检索把单独标签作为关键词的单独标 签表912。预先由管理部190登记单独标签表912的值。根据单独标签 表912的检索结果,在单独标签的值为'T,时,向在单独标签表912 中指定的输出目的地输出。在图13中,在单独标签的值为"1"时作为 输出目的地指定了 (2),所以,In和Out都被输出到(2)的线路。另一方面,在单独标签的值为"0"时,检索把VLAN-ID作为关键 词的VLAN-ID表914。 VLAN-ID表914也和单独标签表同样,预先由 管理部登记其值。根据VLAN-ID表914的检索结果,与各个VLAN-ID 的值相应,向被指定的输出目的地输出。在输出目的地是(l)、 (2)双 方的情况下,向双方复制输出。另外,在从VLAN-ID检索部910输出 时,单独标签被删除。图14是表示管理部190和管理装置700的构成的模式图。图14所 示的管理部l卯的构成,相对图6的构成而增加了重复IP检测部800
的设定部198。由管理部190的设定部198来进行重复IP检测部800 的设定。如以上说明的那样,根据第2实施方式,即使是使用VLAN,并且 把重复IP地址多路复用的线路,通过在聚合装置100中检测出重复的 情况,即使是不对应重复IP地址的网络分析仪,也能够通过把重复的 包分别分配给不同的分析仪,来正确地监视流量。另外,通过按每个VLAN-ID指定输出目的地,在多条线路中存在 相同签约的加入者,但在这些线路中不同的加入者也被多路复用的情况 下,能够只把相同签约的加入者的流量汇集到l个网络分析仪。另外, 在异常流量检测中,即使在包含重复的IP地址的情况下,也能够正确 识别会话,从而可防止误检测。以上,参照附图对本发明的优选实施方式进行了说明,但本发明不 限于这样的例。对于本领域技术人员来说,很明显,在权利要求所记载 的技术范围内,可以想到各种变更例或修正例,对于这些例也应理解为 属于本发明的技术范围内。
权利要求
1. 一种网络监视装置,被连接在与网络连接的接入网中,其特征在于,具有接收部,其区分从网络向接入网输入的输入侧的通信数据、和从接入网向网络输出的输出侧的通信数据并接收;异常流量检测部,其根据上述输入侧的通信数据和上述输出侧的通信数据的双方,检测出异常流量。
2. 根据权利要求l所述的网络监视装置,其特征在于,上述异常 流量检测部具有会话处理部,其把上述输入侧的通信数据和上述输出侧的通信数据 的双方作为会话来识别;特征保持部,其登记有表示异常的通信数据的特征,通过进行上述特征、和各个会话中的上述输入侧的通信数据以及上 述输出侧的通信数据的比较,检测出上述异常流量。
3. 根据权利要求2所述的网络监视装置,其特征在于,上述异常流量检测部也可以在同时会话数或每秒会话数达到上限 值的情况下,检测出上述异常流量,并废弃对应的通信数据。
4.根据权利要求l-3中任意一项所述的网络监视装置,其特征在 于,还具有重复IP检测部,其根据上述通信数据中所包含的源IP地址 和VLAN-ID,检测源IP地址是否重复,在源IP地址重复的情况下, 对该通信数据赋予单独标签。
5. 根据权利要求4所述的网络监视装置,其特征在于,还具有切 换器部,其根据被赋予给上述通信数据的上述单独标签和上述通信数据 的VLAN-ID,来决定针对对网络监视状况进行监控的监控装置的输出 目的地。
6. —种网络监视方法,其特征在于,具有接收步骤,区分从网络向接入网输入的输入侧的通信数据、和从接 入网向网络输出的输出侧的通信数据并接收;异常流量检测步骤,把上述输入侧的通信数据和上述输出侧的通信 数据的双方作为会话进行识别,检测出异常流量。
7. 根据权利要求6所述的网络监视方法,其特征在于,在上述异 常流量检测步骤中,通过进行表示异常的通信数据的特征、和各个会话 中的上述输入侧的通信数据以及上述输出侧的通信数据的比较,检测上 述异常流量。
8. 根据权利要求7所述的网络监视方法,其特征在于,在上述异 常流量检测步骤中,在同时会话数或每秒会话数达到了上限值的情况 下,检测出上述异常流量,并废弃对应的通信数据。
9.根据权利要求6 8中任意一项所述的网络监视方法,其特征在 于,还具有重复IP检测步骤,在该步骤中根据上述通信数据中所包含 的源IP地址和VLAN-ID,检测源IP地址是否重复,在源IP地址重复 的情况下,对该通信数据赋予单独标签。
10.根据权利要求9所述的网络监视方法,其特征在于,还具有输 出目的地决定步骤,在该步骤中根据被赋予给上述通信数据的上述单独 标签和上述通信数据的VLAN-ID,来决定针对对网络监视状况进行监 控的监控装置的输出目的地。
全文摘要
本发明提供一种网络监视装置以及网络监视方法,通过检测出流量的变动,来实现有效的网络监视。本发明的网络监视装置是被连接在与网络(200)连接的接入网(300)中的聚合装置(100),其具有接收部(105),其区分从网络(200)向接入网(300)输入的输入侧的通信数据、和从接入网(300)向网络(200)输出的输出侧的通信数据并接收;和异常流量检测部(120),其根据输入侧的通信数据和输出侧的通信数据的双方,检测出异常流量。
文档编号H04L29/06GK101399711SQ200810132028
公开日2009年4月1日 申请日期2008年7月18日 优先权日2007年9月28日
发明者滨田恒生 申请人:冲电气工业株式会社