[发明专利]网络监视装置以及网络监视方法

说明书

技术领域

本发明涉及网络监视装置以及网络监视方法，特别涉及通过从多条 线路抽出特定的流量，来减轻监控装置的负荷的网络监视装置以及网络 监视方法。

背景技术

随着因特网等网络的普及，开发了监控网络的技术。例如，在专利 文献1中记载了如下的技术，即通过将低速线路的帧分解，并在高速线 路中进行再成帧而进行多路复用，来削减测定系统的设置数量，实现高 效率的网络监视。

[专利文献1]日本特开2006-229946号公报

在网络监视中，如专利文献1那样在系统构成中具有过滤器的情况 下，可阻挡特定的包(packet)，但过滤器不能检测流量的变化。因此， 在具有过滤器的系统中，针对通过发送不正当的数据使计算机不能使 用、或通过增大流量使网络瘫痪那样的所谓的DoS攻击的对策，未必是 充分的。在这样的系统中，当发生了DoS攻击时，在进行网络监视的监 控装置中流入无用的流量，难以实现有效的网络监视。

另外，专利文献1所记载的技术，虽然能够汇集网络分析仪，但网 络分析仪不能对应重复IP地址。例如，在面向企业的VPN、小规模ISP、 面向地域的CATV等中，多数情况是向各个加入者分配专用IP地址。 在这种情况下，如果直接连接线路，则在加入者之间IP地址发生重复， 形成干扰。在监视加入者的流量的情况下，利用分接装置连接网络分析 仪(监控装置)，但在网络分析仪不对应重复IP地址的情况下，存在不 能正确监视加入者的流量的问题。

发明内容

因此，本发明就是鉴于上述问题而完成的，本发明的目的是，提供 一种可通过检测流量的变化来实现有效的网络监视的、新的且改进的网 络监视装置和网络监视方法。

为了解决上述的问题，根据本发明的某个观点，提供一种网络监视 装置，被连接在与网络连接的接入网中，其特征在于，具有：接收部， 其区分从网络向接入网输入的输入侧的通信数据、和从接入网向网络输 出的输出侧的通信数据并接收；和异常流量检测部，其根据上述输入侧 的通信数据和上述输出侧的通信数据的双方，检测出异常流量。

根据上述构成，区分从网络向接入网输入的输入侧的通信数据、和 从接入网向网络输出的输出侧的通信数据并接收，根据输入侧的通信数 据和输出侧的通信数据的双方检测异常流量。因此，可根据双方向的通 信数据的流量的变动，检测DoS攻击等异常状态。由此，在对网络监视 进行监控的监控装置中，由于不会流入无用的流量，所以可实现有效的 网络监视。

另外，上述异常流量检测部也可以具有：会话(session)处理部， 其把上述输入侧的通信数据和上述输出侧的通信数据的双方作为会话 来识别；和特征(signature)保持部，其登记有表示异常的通信数据的 特征，通过进行上述特征、和各个会话中的上述输入侧的通信数据以及 上述输出侧的通信数据的比较，检测出上述异常流量。根据这样的构成， 可根据预先登记的表示异常的通信数据的特征，按每个会话检测异常流 量。

另外，上述异常流量检测部也可以在同时会话数或每秒会话数达到 上限值的情况下，检测出上述异常流量，并废弃对应的通信数据。根据 这样的构成，在同时会话数或每秒会话数达到了上限值的情况下，检测 出异常流量并废弃通信数据，所以可以在受到DoS攻击等的情况下，废 弃通信数据。

另外，也可以还具有重复IP检测部，其根据上述通信数据中所包 含的源IP地址和VLAN-ID，检测源IP地址是否重复，在源IP地址重 复的情况下，对该通信数据赋予单独标签。根据这样的构成，即使在对 网络监视进行监控的监控装置不对应重复IP地址的情况下，也能够检 测重复的源IP地址的通信数据，并分配给不同的监控装置。

另外，也可以还具有切换器部，其根据被赋予给上述通信数据的上 述单独标签、和上述通信数据的VLAN-ID，来决定针对对网络监视状 况进行监控的监控装置的输出目的地。根据这样的构成，通过按每个 VLAN-ID指定输出目的地，可只把相同签约的加入者的流量汇集到1 个监控装置。

另外，为了解决上述的问题，根据本发明的其他观点，提供一种网 络监视方法，其具有：接收步骤，区分从网络向接入网输入的输入侧的 通信数据、和从接入网向网络输出的输出侧的通信数据并接收；和异常 流量检测步骤，把上述输入侧的通信数据和上述输出侧的通信数据的双 方作为会话进行识别，检测出异常流量。