JP2002158660A - Protection system against unauthorized access - Google Patents
Protection system against unauthorized accessInfo
- Publication number
- JP2002158660A JP2002158660A JP2000355485A JP2000355485A JP2002158660A JP 2002158660 A JP2002158660 A JP 2002158660A JP 2000355485 A JP2000355485 A JP 2000355485A JP 2000355485 A JP2000355485 A JP 2000355485A JP 2002158660 A JP2002158660 A JP 2002158660A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- unauthorized access
- host
- network
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、特定のホストサー
バへの不正なアクセスに対して防御を行う不正アクセス
防御システムに関する。The present invention relates to an unauthorized access protection system for protecting against unauthorized access to a specific host server.
【0002】[0002]
【従来の技術】インターネットにおけるサービス妨害
に、ターゲットとなるホストに多量のアクセスを行い負
荷を増加させることによってターゲットとなるホストの
提供するサービスの品質を損なう分散サービス拒否攻撃
(DDoS攻撃:Distributed Denia
l of Service攻撃)による妨害がある。2. Description of the Related Art Distributed denial-of-service attacks (DDoS attacks) that impair the quality of service provided by a target host by making a large amount of access to the target host and increasing the load in response to denial of service on the Internet.
l of Service attack).
【0003】DDoS攻撃の特徴として、攻撃を行う側
から直接攻撃対象のネットワークまたはホストに対して
攻撃を行うのではなく、攻撃を行うためのエージェント
プログラムをインターネット上の多数のサーバに設定
し、それに対して攻撃指示を与えることでターゲットの
ネットワークに対して攻撃を行うという間接的な方法で
あることと、個々のアクセスは正当なアクセスであって
も、アクセス量がターゲットとなったネットワークまた
はホストの限界を越えた非常に多量のアクセスであるこ
とが問題となるため、攻撃が始まって以降の対応が難し
いこととがあげられる。[0003] A feature of the DDoS attack is that, instead of directly attacking the target network or host from the attacking side, an agent program for performing the attack is set on a number of servers on the Internet, It is an indirect method of attacking the target network by giving an attack instruction to the target, and even if each access is legitimate access, the access amount of the target network or host is The problem is that a very large number of accesses exceed the limit, making it difficult to respond after the attack begins.
【0004】DDoS攻撃の方式は、実行者のネットワ
ーク環境の性能限界を越えたアクセスを実現するために
実際に攻撃を行うホストを分散し、多数利用するために
生み出された手法であるとも言える。[0004] The DDoS attack method can be said to be a method created to distribute and use a large number of hosts that actually perform attacks in order to realize access beyond the performance limit of the network environment of the executer.
【0005】従来、この種の「インターネットにおける
分散サービス拒否攻撃に対するルータネットワークによ
る能動的な防御方法に関する発明」に相当する技術はな
く、DDoS攻撃の踏み台に利用されないようにネット
ワークセキュリティを高めるか、特定パケットを一定量
以上通過させないよう設定するかなど、何れも踏み台に
される側でセキュリティを高める方法のみが「2000
年12月、情報処理振興事業協会発行、平成11年度電
子計算機利用技術の高度化調査−インターネット先進利
用技術に関する調査研究」および「2000年3月、日
経オープンシステム、2000年3月号、オープンレポ
ート、100頁」に発表されている。Conventionally, there is no technology corresponding to this type of “invention on a method of actively protecting a distributed denial-of-service attack on the Internet by a router network”, and it is necessary to enhance network security so as not to be used as a stepping stone for a DDoS attack The only method to increase security on the side that is used as a stepping stone, such as setting to not allow a certain amount of packets to pass through, is "2000".
Published by the Information Processing Promotion Agency of Japan in December, 1999, Research on Advanced Computer Application Technology in 1999-Research on Advanced Internet Application Technology, and "March 2000, Nikkei Open System, March 2000, Open Report" , 100 pages ".
【0006】一旦、DDoS攻撃が開始されてからは、
攻撃が終了するまで待つか、踏み台に利用されている多
数ネットワークの管理者に対して個別にアクセスの遮断
を依頼するかの方法しかない。[0006] Once the DDoS attack has started,
There is no alternative but to wait until the end of the attack or to ask individual administrators of many networks used for the platform to block access.
【0007】[0007]
【発明が解決しようとする課題】しかしながら、上述し
た従来技術には、以下の問題点がある。However, the above-mentioned prior art has the following problems.
【0008】第1に、現時点では攻撃を受ける側からの
防御手段がないことである。DDoS攻撃への対応方法
には、踏み台にされないようセキュリティを高める方法
しか存在しないが、全てのネットワークがセキュリティ
を高め、かつそれを最新の状態に維持しない限り、踏み
台にされうるネットワークはインターネット上に多数存
在する。攻撃者は、手当たり次第に最新のセキュリティ
対策を施されていないネットワークを探し、対策を施さ
れたネットワークは単に無視すれば良い。First, at present, there is no defensive means from the attacked side. The only way to respond to a DDoS attack is to increase security so that it cannot be used as a springboard. However, unless all networks increase security and keep it up-to-date, the network that can be used as a springboard is on the Internet. There are many. Attackers can randomly search for unsecured networks and simply ignore those networks.
【0009】第2に、攻撃が開始されてからの対応が事
実上不可能ということである。攻撃が開始されたのを管
理者が検知して以降は、攻撃を受けたネットワーク管理
者から踏み台とされたホスト側に対して個別に対応を依
頼する以外に対応方法がないが、数千台以上にのぼるホ
ストの全管理者に対して依頼を行うのは事実上不可能で
ある。Second, it is virtually impossible to respond after the attack has started. After the administrator detects that the attack has started, there is no way to respond except to individually request the host that was the stepping stone from the attacked network administrator, It is virtually impossible to make a request to all the administrators of the above-mentioned hosts.
【0010】本発明は、DDoS攻撃を受ける側からの
責任において、DDoS攻撃が開始されて以降に本攻撃
の影響を低減する方法を効率良く提供することを目的と
する。[0010] It is an object of the present invention to efficiently provide a method for reducing the influence of a DDoS attack after the DDoS attack has started, with the responsibility of the side receiving the DDoS attack.
【0011】[0011]
【課題を解決するための手段】本発明は、防御側ネット
ワークの状況を監視して攻撃対象ホストに対する不正ア
クセスを検出する攻撃検出機器と、前記攻撃検出器機が
不正アクセスを検出した場合に、前記防御側ネットワー
クの管理者による通信制御指示を出す通信制御機器と、
物理的に離れた前記不正アクセスを実施するホストに所
属し、前記通信制御指示を受け取って通信を制御する攻
撃遮断機器と、を備えることを特徴とする。According to the present invention, there is provided an attack detection device for monitoring the status of a defending network to detect unauthorized access to an attack target host, and comprising the steps of: A communication control device that issues a communication control instruction from an administrator of the defending network;
An attack blocking device that belongs to a host that executes the unauthorized access that is physically distant, and that receives the communication control instruction and controls communication.
【0012】また、前記攻撃遮断機器の通信を制御する
責任が前記防御側ネットワークの管理者にあることを保
証する情報を前記攻撃遮断機器に送信する証明書発行機
器をさらに備えることを特徴とする。[0012] The information processing apparatus may further include a certificate issuing device that transmits information to the attack blocking device to assure that the responsibility of controlling the communication of the attack blocking device belongs to the administrator of the defending network. .
【0013】[0013]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。Next, embodiments of the present invention will be described with reference to the drawings.
【0014】本発明は、インターネットにおけるDDo
S攻撃に対して、ネットワーク上で通信経路の制御を、
DDoS攻撃の被害者側からの責任および操作によっ
て、新たなDDoS攻撃の発生に影響されることなく行
う構成を提供するものである。[0014] The present invention relates to a DDo on the Internet.
For S attack, control the communication path on the network,
It is intended to provide a configuration in which the responsibility and operation from the victim side of the DDoS attack are performed without being affected by the occurrence of a new DDoS attack.
【0015】図1は、本発明の不正アクセス防御システ
ムの実施の形態を示す構成図である。図1に示す不正ア
クセス防御システムは、攻撃対象ホスト1、攻撃検出機
器2、通信制御機器3、証明書発行機器4、防御側ネッ
トワーク5、攻撃実行ホスト10、インターネット5
0、攻撃遮断機器100〜200、踏み台ホスト300
〜踏み台ホスト400とにより構成される。FIG. 1 is a block diagram showing an embodiment of an unauthorized access protection system according to the present invention. The unauthorized access protection system shown in FIG. 1 includes an attack target host 1, an attack detection device 2, a communication control device 3, a certificate issuing device 4, a defending network 5, an attack execution host 10, and the Internet 5.
0, attack blocking devices 100 to 200, step platform host 300
And a platform 400.
【0016】攻撃対象ホスト1は、ワークステーション
・サーバなどの情報処理装置である。攻撃対象ホスト1
は、WWWサービスなどインターネット上にサービスを
提供する機器として機能している。The attack target host 1 is an information processing device such as a workstation server. Target host 1
Functions as a device that provides services on the Internet such as WWW services.
【0017】攻撃検出機器2は、ネットワーク負荷監視
装置である。防御側ネットワーク5の管理者は、本装置
によりネットワークの利用状況を監視し、ネットワーク
負荷が急激に増加した場合に、DDoS攻撃が発生した
ケースを想定し、ネットワーク負荷が増加した要因を調
査し、その負荷がDDoS攻撃によるものかどうかを判
断する。The attack detection device 2 is a network load monitoring device. The administrator of the defending network 5 monitors the network usage status by using the present apparatus, examines the cause of the network load increase, assuming a case where a DDoS attack occurs when the network load increases rapidly, It is determined whether the load is due to a DDoS attack.
【0018】DDoS攻撃の発生によるものであると判
断された場合、攻撃検出機器2は、通信制御機器3に対
してDDoS攻撃への対応指示を行う。If it is determined that the attack is caused by the occurrence of the DDoS attack, the attack detection device 2 instructs the communication control device 3 to respond to the DDoS attack.
【0019】通信制御機器3は、防御側ネットワーク5
上に設置されたワークステーション・サーバなどの情報
処理装置である。通信制御機器3上では、通信制御の指
示を出すためのアプリケーションソフトウェアが動作し
ており、攻撃検出機器2からの指示に従い、さらに攻撃
遮断機器100〜攻撃遮断機器200に対して攻撃実行
ホスト10からの通信遮断指示を行うと同時に、証明書
発行機器4に対して指示の妥当性の保証を依頼する。The communication control device 3 includes a defending network 5
It is an information processing device such as a workstation server installed above. On the communication control device 3, application software for issuing a communication control instruction is operating. In accordance with the instruction from the attack detection device 2, the attack execution host 10 further attacks the attack cutoff devices 100 to 200 from the attack cutoff device 100. And at the same time, requests the certificate issuing device 4 to guarantee the validity of the instruction.
【0020】証明書発行機器4は、防御側ネットワーク
5上に設置されたワークステーション・サーバなどの情
報処理装置である。証明書発行機器4上では、通信制御
機器3からの通信遮断指示が確かに防御側ネットワーク
5の管理者から発行されたものであり、また、指示内容
の改ざんが行われていないことを保証するための情報を
攻撃遮断機器100〜攻撃遮断機器200に対して送信
する。The certificate issuing device 4 is an information processing device such as a workstation server installed on the defense network 5. On the certificate issuing device 4, it is guaranteed that the communication cutoff instruction from the communication control device 3 has been issued by the administrator of the defending network 5 and that the instruction has not been falsified. Is transmitted to the attack blocking devices 100 to 200.
【0021】攻撃遮断機器100〜攻撃遮断機器200
は、ルータなどの情報処理装置である。攻撃遮断機器1
00〜攻撃遮断機器200上では、通信制御機器3から
の指示と証明書発行機器4からの通信を受け取るための
アプリケーションソフトウェアおよび指示された内容に
従って任意のホストからの通信を遮断するためのアプリ
ケーションソフトウェアが動作している。Attack blocking device 100 to attack blocking device 200
Is an information processing device such as a router. Attack blocking device 1
On the attack blocking device 200, application software for receiving an instruction from the communication control device 3 and communication from the certificate issuing device 4 and application software for blocking communication from an arbitrary host in accordance with the specified contents. Is working.
【0022】踏み台ホスト300〜踏み台ホスト400
は、ワークステーション・サーバ・パーソナルコンピュ
ータなどの情報処理装置である。踏み台ホスト300〜
踏み台ホスト400は、DDoS攻撃の実行者には本来
利用できない機器であるが、DDoS攻撃の実行者によ
ってインストールされたDDoS攻撃用ソフトウェアに
よってDDoS攻撃の実行者から操作可能となってい
る。Step ladder host 300 to step ladder host 400
Is an information processing device such as a workstation, a server, and a personal computer. Springboard host 300 ~
The springboard host 400 is a device that cannot be used originally by a DDoS attacker, but can be operated by a DDoS attacker by DDoS attack software installed by the DDoS attacker.
【0023】攻撃実行ホスト10は、ワークステーショ
ン・サーバ・パーソナルコンピュータなどの情報処理装
置であり、DDoS攻撃の実行者から常に利用しうる状
態となっている。The attack execution host 10 is an information processing device such as a workstation, a server, and a personal computer, and is always available to a DDoS attacker.
【0024】次に、図1に示す実施の形態の動作につい
て説明する。Next, the operation of the embodiment shown in FIG. 1 will be described.
【0025】図1において、DDoS攻撃の実行者は、
次の2つのステップを経てDDoS攻撃を行う。最初の
ステップは事前の準備であり、攻撃実行ホスト10を用
いてインターネット50を経由して踏み台ホスト300
〜踏み台ホスト400にDDoS攻撃用ソフトウェアを
インストールする。In FIG. 1, the performer of the DDoS attack is:
A DDoS attack is performed through the following two steps. The first step is preparation in advance, and using the attack execution host 10 via the Internet 50, the springboard host 300
-Install DDoS attack software on the springboard host 400.
【0026】次のステップでは、DDoS攻撃の実行者
は、攻撃実行ホスト10から踏み台ホスト300〜踏み
台ホスト400に対して攻撃実行指示を行う。踏み台ホ
スト300〜踏み台ホスト400は、その指示に従って
攻撃対象ホスト1に対して一斉に大量のアクセスを行
い、DDoS攻撃を行う。In the next step, the executor of the DDoS attack issues an attack execution instruction from the attack execution host 10 to the springboard host 300 to the springboard host 400. The springboard host 300 to the springboard host 400 simultaneously perform a large amount of access to the attack target host 1 according to the instruction, and perform a DDoS attack.
【0027】それに対して、本発明では攻撃検出機器2
・通信制御機器3・証明書発行機器4の構成により攻撃
遮断機器100〜攻撃遮断機器200に対してDDoS
攻撃への防御指示を行い、DDoS攻撃からの防御を行
う。On the other hand, in the present invention, the attack detection device 2
DDoS for the attack blocking devices 100 to 200 according to the configuration of the communication control device 3 and the certificate issuing device 4
An instruction for defense against an attack is issued, and protection from a DDoS attack is performed.
【0028】次に、図1に示す各構成機器の動作につい
て、図1および図2を参照して説明する。図2は、各構
成機器の動作を説明するフローチャートである。Next, the operation of each component shown in FIG. 1 will be described with reference to FIGS. FIG. 2 is a flowchart illustrating the operation of each component device.
【0029】攻撃検出機器2は、DDoS攻撃の発生を
管理者からのネットワーク状況監視によって検出する。
検出の手段としては、ネットワーク使用率の変化の監
視、サーバのCPU・メモリ・HDD利用率の変化の監
視など、既存の普及したネットワーク・サーバ管理技術
を用いて実現する。The attack detection device 2 detects the occurrence of a DDoS attack by monitoring the network status from the administrator.
The means for detection is realized by using existing and widely used network / server management techniques, such as monitoring changes in network usage rates and monitoring changes in CPU, memory, and HDD usage rates of servers.
【0030】攻撃対象ホスト1に対し、踏み台ホスト3
00〜踏み台ホスト400までのホストを踏み台に利用
したDDoS攻撃が発生したケースを想定して説明す
る。The attacking host 1 and the bastion host 3
A description will be given assuming a case where a DDoS attack using hosts from 00 to the platform host 400 is used as a platform.
【0031】・DDoS攻撃の発生 DDoS攻撃の実行者によって、攻撃実行ホスト10を
用いて予めDDoS攻撃ソフトウェアのインストールさ
れた踏み台ホスト300〜踏み台ホスト400に対し、
一斉に攻撃対象ホスト1に対する攻撃指示が出される。Occurrence of DDoS Attack The attacker of the DDoS attack uses the attack execution host 10 to send the DDoS attack software to the springboard host 300 to the springboard host 400 in advance.
Attack instructions to the attack target host 1 are issued all at once.
【0032】・攻撃検出機器2 攻撃検出機器2は、防御側ネットワーク5の状況を監視
する(ステップ100)。防御側ネットワーク5の管理
者が、ネットワーク負荷が急激に増加したことを発見し
た場合、その原因となった通信を調査し、その結果、踏
み台ホスト300〜踏み台ホスト400からのアクセス
が急激に増加したためであることを検出する(ステップ
101)。管理者は、通信制御機器3に対して踏み台ホ
スト300〜踏み台ホスト400からの通信を遮断する
よう、通信制御機器3に対して指示を行う(ステップ1
02)。Attack Detection Device 2 The attack detection device 2 monitors the status of the defending network 5 (step 100). If the administrator of the defending network 5 discovers that the network load has increased sharply, it investigates the communication that caused the network load. Is detected (step 101). The administrator instructs the communication control device 3 to cut off the communication from the springboard host 300 to the springboard host 400 to the communication control device 3 (step 1).
02).
【0033】・通信制御機器3 通信制御機器3は、攻撃検出機器2の指示に従い、踏み
台ホスト300〜踏み台ホスト400に対する通信遮断
を行うよう攻撃遮断機器100〜攻撃遮断機器200に
対して指示を行う(ステップ106)。また、証明書発
行機器4に対して通信遮断指示の内容保証を依頼する
(ステップ103)。Communication control device 3 The communication control device 3 instructs the attack blocking device 100 to the attack blocking device 200 to cut off the communication with the springboard host 300 to the springboard host 400 in accordance with the instruction of the attack detection device 2. (Step 106). Further, it requests the certificate issuing device 4 to guarantee the contents of the communication cutoff instruction (step 103).
【0034】・証明書発行機器4 RSA公開鍵暗号化方式など既存の認証技術を用いて通
信制御ブロックからの通信内容が正当なものであり、か
つ改ざんされていないことを証明し、証明結果を攻撃遮
断機器100〜攻撃遮断機器200に対して送信する
(ステップ104)。The certificate issuing device 4 certifies that the communication content from the communication control block is legitimate and has not been tampered with by using an existing authentication technique such as the RSA public key encryption method, and the certification result is obtained. The information is transmitted to the attack blocking devices 100 to 200 (step 104).
【0035】・攻撃遮断機器100〜200 踏み台ホスト300〜踏み台ホスト400が所属する個
々のネットワークのうち攻撃遮断機器を備えたネットワ
ークにおいて、通信制御機器3からの指示内容の妥当性
を確認した後(ステップ105)、指示に従い踏み台ホ
スト300〜踏み台ホスト400からの通信を遮断する
(ステップ107)。Attack blocking devices 100 to 200 After confirming the validity of the contents of the instruction from communication control device 3 in the network including the attack blocking device among the individual networks to which stepping host 300 to stepping host 400 belong ( In step 105), the communication from the springboard host 300 to the springboard host 400 is interrupted according to the instruction (step 107).
【0036】例えば、踏み台ホスト300〜踏み台ホス
ト400の所属する個々のネットワークのうち8割のネ
ットワークにおいて、攻撃遮断機器100〜攻撃遮断機
器200が本発明に対応した攻撃遮断装置を実装してい
た場合、攻撃対象ホスト1への影響はそれまでの2割ま
で低減され、攻撃対象ホスト1は、DDoS攻撃発生以
前に比べサービスが稼働可能な許容範囲内にまで復帰す
ることが可能となる。For example, in the case where 80% of the individual networks to which the springboard host 300 to the springboard host 400 belongs, the attack blocking devices 100 to 200 mount an attack blocking device corresponding to the present invention. The impact on the attack target host 1 is reduced to 20% of that before, and the attack target host 1 can return to within an allowable range in which the service can operate compared to before the occurrence of the DDoS attack.
【0037】一定期間の経過後(ステップ108)、踏
み台ホスト300〜踏み台ホスト400に対する通信遮
断を解除する(ステップ109)。After a certain period of time has elapsed (step 108), the communication cutoff for the springboard host 300 to the springboard host 400 is released (step 109).
【0038】本発明の特徴は、従来、DDoS攻撃に対
する防御方法として踏み台ホスト300〜踏み台ホスト
400が攻撃用ソフトウェアをインストールされないこ
とで対応しようとしていたことに対して、踏み台ホスト
300〜踏み台ホスト400に攻撃用ソフトウェアがイ
ンストールされた場合でも、攻撃遮断機器100〜攻撃
遮断機器200においてDDoS攻撃の影響を無視でき
る範囲に低減することにある。The feature of the present invention is that, as a defense method against a DDoS attack, the ladder host 300 to the ladder host 400 responds to the fact that the ladder host 300 to the ladder host 400 does not install the attacking software. Even if the attack software is installed, it is to reduce the influence of the DDoS attack in the attack blocking devices 100 to 200 to a negligible range.
【0039】本発明は、ネットワークを経由したサービ
ス妨害に対して妨害行為を受ける側の判断と責任によっ
て妨害行為を強制的に中断させるものである。従って、
DDoS以外の応用としては不正アクセス全般に対して
本システムを適用することが可能である。次に、応用例
として本システムをポートスキャンに適用した場合につ
いて説明する。The present invention forcibly suspends a sabotage action based on a judgment and a responsibility of a party receiving the sabotage action against a service sabotage via a network. Therefore,
As an application other than DDoS, the present system can be applied to all unauthorized access. Next, a case where the present system is applied to a port scan will be described as an application example.
【0040】・攻撃検出機器2 管理者からのネットワーク監視によってポートスキャン
を検出することにより、他のブロックに対してポートス
キャンへの対応指示を行う。Attack detection device 2 By detecting a port scan by the network monitoring from the administrator, an instruction corresponding to the port scan is issued to other blocks.
【0041】・通信制御機器3 攻撃検出機器2の指示に従って攻撃遮断機器100〜攻
撃遮断機器200に対し、不正アクセスの発生したホス
トからの通信を遮断するよう指示を行う。Communication control device 3 In accordance with the instruction from the attack detection device 2, an instruction is given to the attack blocking devices 100 to 200 to cut off the communication from the host in which the unauthorized access has occurred.
【0042】・証明書発行機器4 通信制御機器3からの通信が正当なものであることを保
証し、通信制御を実施することの責任が攻撃遮断機器1
00〜攻撃遮断機器200の管理者でなく防御側ネット
ワーク5の管理者にあることを保証する。Certificate issuance device 4 The communication control device 3 guarantees that the communication is legitimate, and is responsible for executing communication control is the attack blocking device 1
00-It is guaranteed that the administrator of the defense network 5 is not the administrator of the attack blocking device 200.
【0043】・攻撃遮断機器100〜攻撃遮断機器20
0 通信制御機器3からの指示に従って、不正アクセスの発
生したホストからの通信経路を遮断する。Attack blocking device 100 to attack blocking device 20
0 In accordance with an instruction from the communication control device 3, the communication path from the host in which the unauthorized access has occurred is cut off.
【0044】上記応用例ではポートスキャンについて示
した。この最初のきっかけとなる不正アクセスの検出を
他の不正アクセス検出方式で置き換えることで、検出可
能な全ての不正アクセスに対して不正アクセスの被害を
被る立場からの能動的な通信遮断が可能である。In the above application example, port scanning has been described. By replacing this first detection of unauthorized access with another unauthorized access detection method, it is possible to actively cut off all detectable unauthorized access from the standpoint of suffering from unauthorized access. .
【0045】ただし、不正アクセスとみなしたホストか
らの通信が本当に不正アクセスなのか、何らかの理由に
よる正当なアクセスなのかについての判断は、不正アク
セスを受けた側での判断と責任において行うものである
ことに留意し、必要なアクセスを遮断させることにより
通信相手に対して損害を与えないよう注意する必要があ
る。However, the determination as to whether the communication from the host deemed to be an unauthorized access is really an unauthorized access or a legitimate access for any reason is made by the determination and responsibility of the party receiving the unauthorized access. Therefore, it is necessary to take care not to damage the communication partner by blocking the necessary access.
【0046】[0046]
【発明の効果】以上説明したように、本発明は、従来、
攻撃対象とされた場合に対応不可能と言われていたDD
oS攻撃に対して対応する現実的な手段を提供する。基
本的には、インターネットを構成するネットワーク全て
が本システムに対応することが望ましいが、大規模な回
線業者などインターネット上での通信の基幹部分にあた
るネットワークにおいて本システムを適用することで、
DDoS攻撃の最大の特徴である膨大な量の通信を許容
できる量の通信に抑えることが可能である。As described above, according to the present invention,
DD that was said to be unable to respond if targeted
Provides realistic means of responding to oS attacks. Basically, it is desirable that all networks that make up the Internet support this system, but by applying this system to networks that are the core of communication on the Internet, such as large-scale line operators,
It is possible to suppress an enormous amount of communication, which is the greatest feature of the DDoS attack, to an allowable amount of communication.
【0047】また、本発明においては、DDoS攻撃に
対応する場合の主体が被害を受ける当事者にあるという
ことである。従来のDDoS攻撃への対応方法は、イン
ターネットを構成する全てのネットワークにおいて対応
することを要求とし、その責任が最新のセキュリティ技
術を用いていなかった別の企業にあったとしても、当事
者からそれに対する責任を問うシステムは確立されてい
ない。Further, in the present invention, the subject in dealing with the DDoS attack is the victim. Conventional methods of responding to DDoS attacks require that all networks that make up the Internet respond, and even if the responsibility lies with another company that did not use the latest security technology, the parties could take measures against it. An accountability system has not been established.
【0048】本発明においては、最新のDDoS攻撃に
対応し得るかどうかは不正アクセスの対象となる当事者
がそれを検出し得るかどうか、という当事者の責任にお
いて行うことが可能である。In the present invention, whether or not the latest DDoS attack can be dealt with can be performed at the responsibility of the party as to whether or not the party targeted for unauthorized access can detect it.
【0049】また、本発明においては、基本的に技術の
更新が不要であることである。一般に、ネットワークま
たはホスト単体において不正アクセスに対応したとして
も、次々と新しい不正アクセスが発生し、常にネットワ
ークまたはホスト単体を最新のセキュリティ技術を適用
する必要がある。本発明においては、当事者の責任にお
いて当該不正アクセスに対する遮断を指示することを可
能としているため、継続的に本技術を利用し続けること
が可能である。In the present invention, it is basically unnecessary to update the technology. In general, even if the network or the host unit responds to the unauthorized access, new unauthorized access occurs one after another, and it is necessary to always apply the latest security technology to the network or the host unit. In the present invention, since it is possible to instruct the blocking of the unauthorized access at the responsibility of the parties, it is possible to continuously use the present technology.
【0050】インターネットを構成するネットワーク機
器全てに最新のセキュリティ技術が導入されるかどうか
は、それを運営する企業判断に任されている以上、一度
導入すれば更新する必要のない本発明は、不正アクセス
に対する現実的な対応方法を提供することが可能であ
る。Whether or not the latest security technology is introduced to all the network devices constituting the Internet is left to the discretion of the company that operates the security device. It is possible to provide a realistic response method to access.
【図1】本発明の不正アクセス防御システムの実施の形
態を示す構成図である。FIG. 1 is a configuration diagram showing an embodiment of an unauthorized access protection system of the present invention.
【図2】図1に示す各構成機器の動作を説明するフロー
チャートである。FIG. 2 is a flowchart illustrating the operation of each component device shown in FIG.
1 攻撃対象ホスト 2 攻撃検出機器 3 通信制御機器 4 証明書発行機器 5 防御側ネットワーク 10 攻撃実行ホスト 50 インターネット 100〜200 攻撃遮断機 300〜400 踏み台ホスト DESCRIPTION OF SYMBOLS 1 Attack target host 2 Attack detection device 3 Communication control device 4 Certificate issuing device 5 Defending network 10 Attack execution host 50 Internet 100-200 Attack breaker 300-400 Stepping host
Claims (6)
対象ホストに対する不正アクセスを検出する攻撃検出機
器と、 前記攻撃検出器機が不正アクセスを検出した場合に、前
記防御側ネットワークの管理者による通信制御指示を出
す通信制御機器と、 物理的に離れた前記不正アクセスを実施するホストに所
属し、前記通信制御指示を受け取って通信を制御する攻
撃遮断機器と、を備えることを特徴とする不正アクセス
防御システム。An attack detection device that monitors the status of a defending network to detect unauthorized access to an attack target host, and communicates by an administrator of the defending network when the attack detector detects an unauthorized access. An unauthorized access, comprising: a communication control device that issues a control instruction; and an attack blocking device that belongs to a physically distant host that performs the unauthorized access and that receives the communication control instruction and controls communication. Defense system.
セスであることを特徴とする請求項1に記載の不正アク
セス防御システム。2. The unauthorized access protection system according to claim 1, wherein the unauthorized access is an access that increases rapidly.
前記防御側ネットワークの管理者にあることを保証する
情報を前記攻撃遮断機器に送信する証明書発行機器をさ
らに備えることを特徴とする請求項1または2に記載の
不正アクセス防御システム。3. The apparatus according to claim 2, further comprising: a certificate issuing device that transmits information to the defending network to assure that the responsibility of controlling communication of the attack blocking device belongs to an administrator of the defending network. The unauthorized access protection system according to claim 1.
対象ホストに対する不正アクセスを検出した場合に、防
御側ネットワークの管理者の指示により、物理的に離れ
た前記不正アクセスを実施するホストに所属する攻撃遮
断機器の通信を制御することを特徴とする不正アクセス
防御方法。4. When an unauthorized access to an attack target host is detected by monitoring the status of the defending network, it belongs to a host that executes the unauthorized access physically separated by an instruction of an administrator of the defending network. An unauthorized access protection method characterized by controlling communication of an attack blocking device that performs the attack.
セスであることを特徴とする請求項4に記載の不正アク
セス防御方法。5. The unauthorized access protection method according to claim 4, wherein the unauthorized access is an access that increases rapidly.
前記防御側ネットワークの管理者にあることを保証する
情報を前記攻撃遮断機器に送信することを特徴とする請
求項4または5に記載の不正アクセス防御方法。6. The information processing apparatus according to claim 4, wherein information for guaranteeing that the responsibility of controlling communication of the attack blocking device belongs to an administrator of the defending network is transmitted to the attack blocking device. Unauthorized access protection method.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000355485A JP2002158660A (en) | 2000-11-22 | 2000-11-22 | Protection system against unauthorized access |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000355485A JP2002158660A (en) | 2000-11-22 | 2000-11-22 | Protection system against unauthorized access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002158660A true JP2002158660A (en) | 2002-05-31 |
Family
ID=18827894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000355485A Pending JP2002158660A (en) | 2000-11-22 | 2000-11-22 | Protection system against unauthorized access |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002158660A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
| JP2004164553A (en) * | 2002-09-26 | 2004-06-10 | Toshiba Corp | Server computer protection apparatus and method, server computer protection program, and server computer |
| KR100481614B1 (en) * | 2002-11-19 | 2005-04-08 | 한국전자통신연구원 | METHOD AND APPARATUS FOR PROTECTING LEGITIMATE TRAFFIC FROM DoS AND DDoS ATTACKS |
| WO2005062650A1 (en) * | 2003-12-19 | 2005-07-07 | Fujitsu Limited | Device for assisting movement of mobile terminal |
| JP2009116791A (en) * | 2007-11-09 | 2009-05-28 | Nec Corp | Server device, information processor, information processing method, and program |
| JP2012094045A (en) * | 2010-10-28 | 2012-05-17 | Toshiba Tec Corp | Commodity sales data processing device and monitoring program used for it |
| JP2020201533A (en) * | 2019-06-05 | 2020-12-17 | 富士通株式会社 | Unauthorized relay audit program, unauthorized relay audit method, and unauthorized relay audit system |
-
2000
- 2000-11-22 JP JP2000355485A patent/JP2002158660A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002252654A (en) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | Intrusion detection device, system, and router |
| JP2004164553A (en) * | 2002-09-26 | 2004-06-10 | Toshiba Corp | Server computer protection apparatus and method, server computer protection program, and server computer |
| US7404211B2 (en) | 2002-09-26 | 2008-07-22 | Kabushiki Kaisha Toshiba | Systems and methods for protecting a server computer |
| JP4503934B2 (en) * | 2002-09-26 | 2010-07-14 | 株式会社東芝 | Server computer protection device, server computer protection method, server computer protection program, and server computer |
| KR100481614B1 (en) * | 2002-11-19 | 2005-04-08 | 한국전자통신연구원 | METHOD AND APPARATUS FOR PROTECTING LEGITIMATE TRAFFIC FROM DoS AND DDoS ATTACKS |
| WO2005062650A1 (en) * | 2003-12-19 | 2005-07-07 | Fujitsu Limited | Device for assisting movement of mobile terminal |
| JP2009116791A (en) * | 2007-11-09 | 2009-05-28 | Nec Corp | Server device, information processor, information processing method, and program |
| JP2012094045A (en) * | 2010-10-28 | 2012-05-17 | Toshiba Tec Corp | Commodity sales data processing device and monitoring program used for it |
| JP2020201533A (en) * | 2019-06-05 | 2020-12-17 | 富士通株式会社 | Unauthorized relay audit program, unauthorized relay audit method, and unauthorized relay audit system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI294726B (en) | ||
| US7653941B2 (en) | System and method for detecting an infective element in a network environment | |
| JP4911018B2 (en) | Filtering apparatus, filtering method, and program causing computer to execute the method | |
| US8413245B2 (en) | Methods and apparatus providing computer and network security for polymorphic attacks | |
| EP1834439B1 (en) | Methods and apparatus providing security to computer systems and networks | |
| KR100604604B1 (en) | Method for securing system using server security solution and network security solution, and security system implementing the same | |
| KR100908404B1 (en) | System and method for protecting from distributed denial of service | |
| JP2002342279A (en) | Filtering device, filtering method and program for making computer execute the method | |
| JP2004302956A (en) | Improper access handling system and improper access handling processing program | |
| KR101156005B1 (en) | System and method for network attack detection and analysis | |
| WO2017034072A1 (en) | Network security system and security method | |
| CN104660610A (en) | Cloud computing environment based intelligent security defending system and defending method thereof | |
| KR20180047935A (en) | Total security system in advanced persistent threat | |
| Shaar et al. | DDoS attacks and impacts on various cloud computing components | |
| US20050086512A1 (en) | Worm blocking system and method using hardware-based pattern matching | |
| JP2002158660A (en) | Protection system against unauthorized access | |
| JP2003333092A (en) | Network system, method of tracing attack packet and method of preventing attack packet | |
| Gao et al. | Understanding the security implication of aborting virtual machine live migration | |
| EP1758021A2 (en) | Method or apparatus for managing a server process in a computer system | |
| JP2018098727A (en) | Service system, communication program, and communication method | |
| WO2019242052A1 (en) | Method and device for protecting against http flood attack | |
| JP2011030223A (en) | Flow-based dynamic access control system and method | |
| Choudhary et al. | Detection and Isolation of Zombie Attack under Cloud Computing | |
| JP3836472B2 (en) | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method | |
| CN114143077A (en) | Terminal safety protection method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040406 |