[发明专利]流信息限制装置以及方法

说明书

技术领域

本发明涉及在以互联网等为代表的开放网络环境上所使 用的网络装置，尤其是涉及可收集用于计测网络上的通信量的信息 (流信息)的、以节点等为代表的信息通信设备。

背景技术

利用互联网上所使用的IP(Internet Protocol)来管理协议、 源IP地址、目标IP地址的信息，另外还利用一部分传输协议来管理 源端口及目标端口的信息。使用这些协议所传输的分组包含用各个协 议所管理的信息。基于这种分组所持有的信息来分类通信类别的方法 就是流计测。

在流计测中将同一属性的分组，例如关于协议、源IP地 址、目标IP地址、源端口以及目标端口的各信息项目持有相同信息 的分组被视为属于同一通信的分组。将属于同一通信的分组的集合称 为流。通过计测流的数据量及分组量，就能够在多个地点间监测多个 通信服务，能够确定通信量异常地多的地点间、通信服务或者把握通 信趋势。

互联网通过将包含进行路径控制的多个路由器的多个网 络相互进行连接而构筑，从发送源发送出的分组经由若干路由器而到 达发送目的地。路由器参照分组的IP首标或根据不同情况参照传输 层的首标来进行分组传输，所以适于作为进行流分类的设备。作为将 通过了路由器的分组的流信息通知给其他设备的技术，有NetFlow(参 照非专利文献1)、IPFIX(IP Flow Information eXport)。

通过将按照特定的格式使流信息分组化的计测用分组从 路由器发送到网络上的计测用终端，就能够把握该节点的通信内容。 但是，非专利文献2认为，在被称之为DDoS的使源地址分散而持续 发送大量数据的攻击通信量、被称之为端口扫描的尝试向对象主机的 全部端口进行连接以检测服务状态以及脆弱性的攻击通信量等发生 时，流数会急剧地增大。

还有，非专利文献3认为，在进行流信息通知的IPFIX中， 作为传输协议能够使用无拥挤控制的UDP(User Datagram Protocol)、 有拥挤控制的TCP(Transmission Control Protocol)、SCTP(Stream Control Transmission Protocol)。在流的收发装置利用无拥挤控制功 能的UDP进行发送的情况下，倘若流数急剧地增大，则伴随于其从 路由器等流发送装置发送到计测用终端的分组亦增大，其结果就有可 能在流发送装置和计测用终端之间的计测用网络上发生拥挤。

另一方面，在流的收发装置利用持有拥挤控制功能的 TCP、SCTP进行发送的情况下，即便流数急剧地增大也不会发生拥 挤。但是，在流发送装置中，通过拥挤控制功能来限定能够发送的流 信息数，所以就有相对于被生成的流信息数而言被发送的流信息数减 少，内部的发送缓冲器会溢出的情况。其结果，被发送的信息就限于 先前已生成的流信息，无法发送已观测到的通信量全体的信息。 非专利文献1：[平成18年9月8目浏览互联网]B.Claise.Cisco Systems Net Flow Services Export Version 9.RFC 3954(Informational)，October 2004.http://www.ietf.org/rfc/rfc3954.txt 非专利文献2：Cristian Eatan，Ken Keys，David Moore，George Varghese：″Building a better netflow″，ACM SIGCOMM Computer Communication Review，34，Issue 4，pp.245-256(2004) 非专利文献3：B.Claise.IPFIX Protocol Specifcation，Internet Draft，June 2006.HYPERLINK″http＝//tools.ietf.org/id/draft -ietf-ipfix-protocol-22.txt″http://tools.ietf.org/id/draft-ietf-ipfix -protocol-22.txt(22版)