JP2014236461A - Interception system, interception server, interception method and program - Google Patents
Interception system, interception server, interception method and program Download PDFInfo
- Publication number
- JP2014236461A JP2014236461A JP2013118647A JP2013118647A JP2014236461A JP 2014236461 A JP2014236461 A JP 2014236461A JP 2013118647 A JP2013118647 A JP 2013118647A JP 2013118647 A JP2013118647 A JP 2013118647A JP 2014236461 A JP2014236461 A JP 2014236461A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- blocking
- communication
- sgw
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、遮断システム、遮断サーバ、遮断方法、およびプログラムに関し、特に、DDoS攻撃を遮断する技術に関する。 The present invention relates to a blocking system, a blocking server, a blocking method, and a program, and more particularly to a technique for blocking a DDoS attack.
従来、Dos攻撃やDDoS攻撃に対して何通りかの対策方法が知られている。DoS攻撃であれば、攻撃元が特定されるため、攻撃元のサーバの接続を拒否するのが一般的である。一方、DDoS攻撃であれば、攻撃元が不特定多数であることから、攻撃対象のサーバでの接続拒否を効率的に実施する工夫によりサーバのダウンを防ぐ方法がとられていた(例えば、非特許文献1参照)。 Conventionally, several countermeasure methods against a Dos attack or a DDoS attack are known. In the case of a DoS attack, since the attack source is specified, the connection of the server of the attack source is generally rejected. On the other hand, in the case of a DDoS attack, since there are an unspecified number of attack sources, there has been a method of preventing a server from being down by means of efficiently performing a connection refusal at the attack target server (for example, non- Patent Document 1).
しかしながら、非特許文献1のように、攻撃対象のサーバでの接続拒否を実施すると、正しい接続も含めて全体の接続数が制限される。すなわち、正しい接続のユーザについても接続ができない場合があるという課題があった。
However, as in Non-Patent
本発明は、上述した従来の技術に鑑み、効率よく攻撃を遮断することができる遮断システム、遮断サーバ、遮断方法、およびプログラムを提供することを目的とする。 In view of the conventional technology described above, an object of the present invention is to provide a blocking system, a blocking server, a blocking method, and a program that can efficiently block an attack.
上記目的を達成するため、第1の態様に係る発明は、遮断システムであって、ネットワークの流入口に設置されるとともに、特定のトリガ情報に基づいて攻撃通信を遮断するための遮断プログラムが搭載されたSGWと、攻撃通信を疎通させていると判断されるSGWに対して、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する遮断サーバとを備える。そして、前記トリガ情報を伝達されたSGWが前記遮断プログラムを実行することによって前記攻撃対象サーバへの攻撃通信を遮断することを要旨とする。 In order to achieve the above object, the invention according to the first aspect is a blocking system, which is installed at an inflow port of a network and includes a blocking program for blocking attack communication based on specific trigger information And a blocking server that transmits only trigger information for blocking the attack communication to the attack target server to the SGW determined to communicate the attack communication. Then, the gist is that the SGW to which the trigger information is transmitted blocks the attack communication to the attack target server by executing the blocking program.
また、上記目的を達成するため、第2の態様に係る発明は、遮断サーバであって、複数のSGWから収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析部と、前記通信ログ解析部の解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理部とを備えることを要旨とする。 In order to achieve the above object, the invention according to the second aspect is a blocking server that determines a SGW that communicates attack communication by analyzing communication logs collected from a plurality of SGWs. The gist is to include a log analysis unit and a distribution processing unit that transmits only trigger information for blocking attack communication to the attack target server based on the analysis result of the communication log analysis unit.
また、第3の態様に係る発明は、第2の態様に係る発明において、前記通信ログ解析部は、攻撃通信を疎通させているSGWをトラヒックの変化に基づいて判断することを要旨とする。 The gist of the invention according to the third aspect is that, in the invention according to the second aspect, the communication log analysis unit determines the SGW communicating with the attack communication based on a change in traffic.
また、第4の態様に係る発明は、第2又は第3の態様に係る発明において、前記通信ログ解析部は、攻撃通信を疎通させるおそれのあるSGWを、攻撃通信を疎通させているSGWとして判断することを要旨とする。 Further, the invention according to a fourth aspect is the invention according to the second or third aspect, wherein the communication log analysis unit defines an SGW that may communicate attack communication as an SGW that communicates attack communication. The gist is to judge.
また、上記目的を達成するため、第5の態様に係る発明は、攻撃対象サーバへの攻撃通信を遮断するための遮断方法であって、複数のSGWから収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析ステップと、前記通信ログ解析ステップにおける解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理ステップとを遮断サーバが実行することを要旨とする。 Moreover, in order to achieve the said objective, the invention which concerns on a 5th aspect is the interruption | blocking method for interrupting | blocking the attack communication to an attack target server, Comprising: By analyzing the communication log collected from several SGW, A communication log analysis step for determining the SGW that communicates the attack communication, and a delivery that transmits only trigger information for blocking the attack communication to the attack target server based on the analysis result in the communication log analysis step by UDP The gist is that the blocking server executes the processing step.
また、上記目的を達成するため、第6の態様に係る発明は、攻撃対象サーバへの攻撃通信を遮断するためのプログラムであって、複数のSGWから収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析ステップと、前記通信ログ解析ステップにおける解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理ステップとをコンピュータに実行させることを要旨とする。 In order to achieve the above object, the invention according to the sixth aspect is a program for blocking attack communication to an attack target server, by analyzing communication logs collected from a plurality of SGWs. A communication log analysis step for determining an SGW that is communicating, and a distribution process for transmitting only trigger information for blocking attack communication to an attack target server by UDP based on an analysis result in the communication log analysis step The gist is to cause a computer to execute the steps.
本発明によれば、効率よく攻撃を遮断することができる遮断システム、遮断サーバ、遮断方法、およびプログラムを提供することができる。 According to the present invention, it is possible to provide a blocking system, a blocking server, a blocking method, and a program that can efficiently block an attack.
以下、本発明の実施の形態について図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(一般的な遮断システム)
図1は、一般的な遮断システムの概要を説明するための図である。この図に示すように、特定可能な攻撃元からの大量接続であるDoS攻撃、最近では、悪意あるプログラムに感染し乗っ取られた複数のクライントPCから大量接続するDDoS攻撃など、攻撃対象となるサーバ200への攻撃方法が多様化している。DDoS攻撃の攻撃側となるクライアント101は、意図せず悪意あるプログラムに感染し、悪意あるハンドラー100の指示によって攻撃対象となるサーバ200を攻撃することになる。感染は、悪意あるものが用意したプログラムを実行すること、そのサーバに誘導されて接続されること、直接的な侵入、感染者からの伝搬など多様である。以降、DDoS攻撃の攻撃側となるきっかけを悪意あるハンドラー100による攻撃の予兆として記述する。
(General shut-off system)
FIG. 1 is a diagram for explaining an outline of a general shut-off system. As shown in this figure, a server to be attacked, such as a DoS attack that is a mass connection from an identifiable attack source, and a DDoS attack that is a mass connection from a plurality of client PCs that have been compromised by a malicious program recently. The attack method to 200 is diversified. The
従来、DoS攻撃に対しては攻撃元が特定できるので、特定の攻撃元からの通信をサーバ200側で接続拒否するのが通例であった。一方、DDoS攻撃に対しては、攻撃対象のサーバ200においてCPU使用率の上昇やパケット廃棄率の上昇などサーバダウンにつながる要因を検知して、攻撃対象のサーバ200側で接続拒否を行うのが通例であった。ロードバランサ設置による負荷分散、ファイアウォールの設置、専用装置を設置することによりサーバ200へ直接接続することを防ぐが、サーバ200側の入り口で防ぐという意味では同義である。サーバ200側の入り口には大量のトラヒックが集中するため、サーバ200側の入り口で一定の割合を拒否する必要がある。このような場合、本来必要な利用者の通信もあわせて遮断することになり、サービス品質の低下は避けられなかった。
Conventionally, since an attack source can be specified for a DoS attack, it is usual to refuse connection from a specific attack source on the
(本実施の形態における遮断システム)
図2は、本実施の形態における遮断システムの概要を説明するための図である。この図に示すように、本実施の形態における遮断システムでは、遮断サーバ20とSGW(クライアント)10上の遮断プログラムとが連携して、ネットワーク流入前に攻撃対象への通信を遮断するとともに、必要な通信を選択透過する。すなわち、遮断プログラムや遮断ルールなどのほとんどを到達確認有りで確実に事前に配信しておき、攻撃対象など少ない情報を一斉に配信することで、遮断ルールをネットワークの入り口に短期間に適用する。
(Blocking system in the present embodiment)
FIG. 2 is a diagram for explaining the outline of the shut-off system in the present embodiment. As shown in this figure, in the blocking system in the present embodiment, the
以下、このような遮断システムの構成を具体的に説明する。なお、以下の説明では、遮断サーバ20を単に「サーバ」、SGW10を単に「GW」と記載する場合がある。また、遮断プログラムと遮断ルールとを一括して単に「遮断プログラム」と記載する場合がある。
Hereinafter, the configuration of such a shutoff system will be specifically described. In the following description, the
本実施の形態におけるGWは、ネットワーク側からの侵入(図2のSGWおよびGW配下のネットワークへの侵入)を防ぐために、ネットワーク側から開始する接続を全て遮断する。このため、GWに事前に配信するプログラム、事前に配信する遮断ルールは、全てGWからの開始であるか、または、あらかじめ決められた信号をトリガとしてしか動作しない。例えば、GWに対して未知のTCPのsynを送信しても、TCPのセッションは開始せず、GWのリソースを消費せずに破棄される。前述のあらかじめ決められた信号を受信すると、GWは接続動作を実行するとともに、その他の動作を継続することができる。この後のGWの接続先は、事前に決定された接続先、内部プログラムの動作であり、自由に指定することはできないため堅牢である。この初期信号がUDPトリガであり、これを契機として、httpGETや各種送達確認有りの接続シーケンスをGW側から開始することができる。従来は、このように、GW側からの接続シーケンスを開始するトリガに使用するUDPトリガ内において、指示を内包して動作させる実装はなかった。 The GW in the present embodiment blocks all connections started from the network side in order to prevent intrusion from the network side (intrusion into the network under SGW and GW in FIG. 2). For this reason, all of the programs that are distributed in advance to the GW and the blocking rules that are distributed in advance start from the GW or operate only by using a predetermined signal as a trigger. For example, even if an unknown TCP syn is transmitted to the GW, the TCP session is not started and discarded without consuming GW resources. When receiving the above-mentioned predetermined signal, the GW executes the connection operation and can continue other operations. The connection destination of the GW after this is a connection destination determined in advance and the operation of the internal program, and is robust because it cannot be specified freely. This initial signal is a UDP trigger, and using this as an opportunity, a connection sequence with httpGET and various delivery confirmations can be started from the GW side. Conventionally, there has been no implementation in which an instruction is included and operated in a UDP trigger used as a trigger for starting a connection sequence from the GW side.
(動作例、構成例)
図3は、本実施の形態における遮断サーバ20およびSGW10の動作を示すフローチャートである。遮断サーバ20とSGW10上の遮断プログラムとが連携して、ネットワーク流入前に攻撃対象への通信を遮断するとともに、必要な通信を選択透過するようになっている(図3のS1〜S18)。図3では、SGW10側で実行されるステップと遮断サーバ20側で実行されるステップとの境界に点線を付している。もちろん、各ステップの主体は必要に応じて変更することが可能である。
(Operation example, configuration example)
FIG. 3 is a flowchart showing operations of the
図4は、本実施の形態における遮断サーバ20およびSGW10の構成図である。図4に示される実線矢印は通常時の処理経路を示し、点線矢印は通信ログの収集経路を示し、一点鎖線矢印は遮断処理の指示経路を示している。図4に示すように、SGW10は、信号送受信部11と、信号抽出部12と、遮断処理部13と、遮断ルール14と、信号挿入部15と、異常定型文16と、UDPトリガ受信部17と、攻撃対象リスト18と、乱数生成部19とを備える。一方、遮断サーバ20は、DB21と、配信先22と、配信処理部23と、通信ログ解析部24と、DB25とを備える。通信ログ解析部24およびDB25は遮断サーバ20側でなくSGW10側に備えてもよい。ここでは、遮断ルール14、攻撃対象リスト18、攻撃対象リスト18、配信先22などと記載しているが、これらは電子データであり、ハードディスク等の記憶部に記憶されていることはいうまでもない。
FIG. 4 is a configuration diagram of the
以下、図3および図4を用いて、遮断サーバ20およびSGW10の構成をその動作とともに説明する。なお、以下の説明では、一つの括弧内に図3のステップとそのステップの主体とを記載する場合がある。
Hereinafter, the configuration of the blocking
まず、SGW10は、UDPトリガを受けると、事前に配置された遮断プログラム(遮断ルール)の実行を開始する(図3のS1→S2、遮断処理部13)。プロセスの起動などに時間がかかる場合は、あらかじめ起動した状態で待ち受けるようにする。UDPトリガには、最新の攻撃対象のIPアドレスを記載する(図3のS18、通信ログ解析部24→配信処理部23)。UDPトリガパケットを高速に配信できるように繰り返しや分業するようになっている。トリガには、ドメインを含めて複数のIPアドレスを記載することができる。最大は、UDPのパケット長でヘッダを除いた分まで可能であるが、サーバ側・SGW10側ともにトリガを極力軽くし、実行までにかかる時間を短くする。ドメインが攻撃対象の場合、ドメインを含めて通知することは、ネットワーク全体として攻撃時に増加するDNS接続を、ネットワーク流入前にSGW10で遮断し削減することができるため有効である。攻撃対象のIPアドレス回避、攻撃対象のドメイン回避を行う。もちろん、IPアドレスの表記としてはプレフィックス表記を許容する。
First, when receiving a UDP trigger, the
一般的に、UDPの応答有無はアプリケーション実装次第である。逆にいうと、UDPは、プロトコル上は送信が不達であってもよい。すなわち、シーケンスの管理リソースが不要という利点があるため、UDPを採用している。UDPは、TCPと比較して、シーケンス管理をしなくてよい分、軽く早く実行することができる。OSGiの機能を用いた場合は、続くシーケンスを期待しない。これにより、送信帯域幅いっぱいのUDPパケットをサーバ側の全てのCPUリソースを使用して送信することができる。理論上、1Gbpsの回線を用いて100Byteのトリガパケットで攻撃対象のv6アドレスを通知する場合、秒間12億件のUDPパケットを送信することができる。受信するSGW10側は、ひとつ受けて応答の必要性がないため、少ない性能で十分である。送信側は、送信内容は同じであるため時間を要しないが、送信先(SGW10)の選択読み出しに時間がかかる。例えば、サーバ側の処理に10msかかる場合、送信対象の選択読み出しは1秒間に100台となる(図3のS17)。このため、前述のように、専用の送信用のネットワークインタフェースを用いて送信先のSGW10をあらかじめ抽出してパケットを作成しておき、攻撃対象のIPアドレスのみをUDPトリガに記載するようにしておくとよい。
In general, the presence or absence of a UDP response depends on the application implementation. In other words, UDP may not be transmitted on the protocol. In other words, since there is an advantage that a sequence management resource is unnecessary, UDP is adopted. Compared with TCP, UDP can be executed lightly and quickly because it does not require sequence management. When the OSGi function is used, the subsequent sequence is not expected. As a result, a UDP packet with a full transmission bandwidth can be transmitted using all the CPU resources on the server side. Theoretically, when a v6 address to be attacked is notified by a 100-byte trigger packet using a 1 Gbps line, 1.2 billion UDP packets can be transmitted per second. Since the receiving
ここでは、前述のように送信不達を考慮しないので、あらかじめ選択済みの送信先SGW10を選択することで、送信にかかる初速を低下させない工夫を実装する。専用のインタフェースを持っている場合はパケットを生成しておくとよい。
Here, as described above, since non-delivery is not considered, a device that does not decrease the initial speed for transmission by selecting a
SGW10で用いるUDPトリガの待ち受けポート番号には、ウェルノウンポートを除く老番をランダムに使う。この機能が逆に攻撃対象とならないようにするためである。SGW10は、時間とプレフィックスと乱数によりポート番号を生成する(乱数生成部19→信号送受信部11)。サーバ側でもポート番号を生成することができる。サーバ側では、短期間に多数の異なるポート番号へのトリガを通知するため、軽い生成ロジックとなるように配慮している。異なるSGW10のUDPトリガの待ち受けポート番号が同一時間帯に重ならないようにする。変更時間は、SGW10あたりのポートスキャンにかかる時間よりも短い時間とする。
For the UDP trigger standby port number used in the
サーバ側でもUDPトリガ発信元のIPアドレス、ポート番号はランダムに遷移することが望ましい。最速で発信するための負荷分散と、逆に攻撃対象としてネットワークの弱点とならないようにするためである。前述のように、ネットワーク帯域やCPU使用率などのリソースは、UDPトリガを短期間に多数発信することに使い切るのが望ましい。このため、UDPトリガ発信専用のインタフェースおよびサーバ、専用装置を使用する。 It is desirable that the IP address and port number of the UDP trigger transmission source also change at random on the server side. This is because the load is distributed to transmit at the fastest speed, and conversely, it does not become a weak point of the network as an attack target. As described above, it is desirable to use up resources such as a network bandwidth and a CPU usage rate when a large number of UDP triggers are transmitted in a short time. For this reason, an interface, a server, and a dedicated device dedicated to UDP trigger transmission are used.
本実施の形態におけるプログラム配信および攻撃対象の配信機構については、OSGiによるバンドル配信を利用する記載としているが、本発明はこれに限定されるものではない。すなわち、OSGiを実装済みのSGW10でそのまま流用できるからであって、工場出荷時から該当のプログラムを実装し、検索用の最新追加のデータをFTPなどの別の手段で配布することは可能である。
The program distribution and attack target distribution mechanism in the present embodiment is described using bundle distribution by OSGi, but the present invention is not limited to this. That is, it is possible to divert OSGi as it is in the mounted
SGW10は、UDPトリガを受けると(信号送受信部11→UDPトリガ受信部17)、UDPトリガパケットから攻撃対象のアドレスを抽出して(信号抽出部12→遮断処理部13)、以降、そのアドレスへの通信を遮断する。ただし、例えば、SYN→SYNACK→ACKのように、正しいシーケンスが継続している場合には、その通信を許可することができる(図3のS8)。Htmlのようなシーケンスパターンではない攻撃は認証確認せず遮断してもよい。新たにSYNパケットを出そうとしている場合にはこれを留保する。攻撃対象へのSYNフラッド対策が必要である旨がUDPトリガに記載されていれば、この例の対策だけでいいし、pingであればping対策だけでいい。図6(c),図6(d)では、より指示内容を短縮するためidで通知している。短い指示であれば、UDPトリガ内に記載することができる。
Upon receiving the UDP trigger (signal transmission /
ユーザには、SGW10上のプログラムにより、接続確認のhtmlファイルを異常定型文16として表示する(図3のS10、異常定型文16→遮断処理部13→信号挿入部15→信号送受信部11)。接続先の事由のhtmlファイルを異常定型文16として表示してもよい。これらの定型文は、本実施の形態における遮断プログラムとともに事前にSGW10へ配信することができる。抽出した攻撃対象への接続に横割りして表示し、ユーザが接続確認のボタンを押下した場合には接続を許可し(図3のS11)、当初の接続先へ接続する。このように、悪意あるプログラムによる接続ではなく、ユーザがブラウザから意図した接続を試みていた場合には、必要なユーザだけを許可することができる。これは、SGW10がネットワークの流入口となっていることから可能である。前述の乱数を用いてPIN番号の画像を生成し、ユーザにPIN番号を入力させてもよい。悪意ある高度なプログラムから自動押下させないためである。
The user displays the html file of the connection confirmation as the abnormal fixed
本実施の形態は、極めて短時間の攻撃と、短時間での対策であるので、前述の乱数を用いてSGW10からネットワークに流入する接続を遅延させてもよい。例えば、|1000ms−乱数|ms分、攻撃対象への送信パケットを送信遅延させる。ネットワーク全体では、乱数により送信タイミングがばらけるので、これにより十分な効果を期待することができる。TCPの接続に対して数百ms遅延させることは、タイムアウトしない範囲でとれる有効な手段である。
Since this embodiment is an extremely short time attack and a short time countermeasure, the connection flowing from the
こうしたSGW10で遮断ルールを適用した緊急体制の解除についてもUDPトリガを用いることができる(図3のS13)。この場合に解除漏れがあってはならないので、SGW10から遮断サーバ20へ続くシーケンスを期待し、確実に解除されることを確認する。本実施の形態では、SGW10上の同一プログラムによって、UDPトリガのみ、UDPトリガから始まるシーケンスの両方を実施可能としている。すなわち、リソースの限られたSGW10で最小のプログラム実装としている。
The UDP trigger can also be used to cancel the emergency system to which the blocking rule is applied in the SGW 10 (S13 in FIG. 3). In this case, since there should be no cancellation leakage, expect a sequence that continues from the
SGW10はセキュリティの問題もあり、あらゆる信号を受けて動作する仕組みになっておらず、UDPのトリガなどを受けたうえでSGW10から通信を開始する仕組みとなっている。逆にいうと、UDPトリガであれば、受けつけて動作することができる。
The
遮断ルールは、事前配布ルールとしてGWに複数保持しており、サーバから更新可能である。GWからネットワークに流入するトラヒックのうち、どのプロトコルで、パケットのどの部分がどうなっているパケットを破棄するかを記載している。この遮断ルールだけを適用する指示をすると、送信元のIPアドレス、送信先のIPアドレスに関係なく遮断することができる。前述の対象のIPアドレスが指示されると、そのIPアドレスが含まれるパケットを遮断する。図6(c)の事前配布ルールのひとつ、idがxyzのルールは、TCPSYNを遮断するルールとなっている。サーバの保持するいくつかのトリガ例(図6(e))のうち、1つ目のトリガを与えると、TCPSYNで且つ送信先のIPアドレスが222:222:222:222のパケットを遮断するようになる。2つ目に記載のupdateがくると、その遮断ルールを送信先IPアドレスがyyy:yyy:yyy:yyyまたは送信先IPプレフィックスがyyy:yyy:xxx:xxx/24のパケットを遮断するルールに変更する。3つ目のfinは、xyzの遮断ルールを終了する指示を意味する。例では、updateによって、対象のIPアドレス、プレフィックスが異なるものになっているが、本実施の形態はこれに限定されるものではない。例えば、このupdateによって、最初は、短い時間で解析を実行するために比較的精度の低い遮断ルールを設定して解析を実行し、その後、より精度高く遮断する幅を狭めるように遮断ルールを更新することもできる。最初から精度の高い遮断ルールを適用して解析すると時間がかかり手遅れになることも想定できるため、非常に有効な手段である。 A plurality of blocking rules are held in the GW as pre-distribution rules and can be updated from the server. In the traffic flowing into the network from the GW, which protocol is used to discard which part of the packet is discarded. If an instruction to apply only this blocking rule is given, blocking can be performed regardless of the IP address of the transmission source and the IP address of the transmission destination. When the target IP address is instructed, a packet including the IP address is blocked. One of the pre-distribution rules shown in FIG. 6C, which has an id of xyz, is a rule that blocks TCPSYN. Among several trigger examples held by the server (FIG. 6 (e)), if the first trigger is given, the packet with TCP SYN and destination IP address 222: 222: 222: 222 is blocked. become. When the second update is received, the blocking rule is changed to a rule that blocks packets whose destination IP address is yyy: yyy: yyy: yyy or whose destination IP prefix is yyy: yyy: xxx: xxx / 24. To do. The third fin means an instruction to end the xyz blocking rule. In the example, the target IP address and prefix are different depending on the update, but the present embodiment is not limited to this. For example, with this update, first set a relatively low-accuracy blocking rule to execute the analysis in a short time, and then perform the analysis, and then update the blocking rule to narrow the blocking width with higher accuracy You can also It is a very effective means because it can be assumed that it takes time and is too late to analyze by applying a highly accurate blocking rule from the beginning.
遮断ルールは、後述するサーバ側の攻撃か否か、攻撃元となりうるか否かの判断ルールと密接な関係がある。判断ルールにより、送信先IPアドレスやポート番号が明確になる。その時、判断する材料になった通信履歴が全て前述のようにTCPSYNであった場合、TCPSYNをSTOP(遮断する)という遮断ルールを事前に配布する必要がある。短いルールであれば、UDPトリガであわせて送信する。逆に、長いルールであれば、まず、UDPトリガに指示された送信先IPアドレスへのパケットを全て遮断し、その後、更新される遮断ルールに基づいて遮断する範囲を緩和する。 The blocking rule is closely related to a determination rule as to whether or not it is an attack on the server side, which will be described later, and whether or not it can be an attack source. The determination rule makes the destination IP address and port number clear. At that time, if all of the communication histories that have been used as a judgment material are TCPSYN as described above, it is necessary to distribute in advance a blocking rule of STOP (blocking) TCPSYN. If it is a short rule, it is transmitted together with a UDP trigger. On the contrary, if the rule is long, first, all packets to the destination IP address instructed by the UDP trigger are blocked, and then the range to be blocked is relaxed based on the updated blocking rule.
OSGiを利用することにより、サービス無停止でSGW10上の遮断ルールを更新することができる。専用装置では一般的にプログラムの更新が難しいと言われ、特に、大量に分散する場合は困難である。OSGiを備えた環境では、これをサービス無停止で実現する。かつ、OSGiのシーケンスにより、遮断ルールの更新が確実になされたことを含め、SGW10に配信するいくつかのプログラムの要/不要や相互関係を確実に保証することができる。陳腐化したルールの削除など、現行化を容易に実現することができる。
By using OSGi, the blocking rule on the
SGW10で遮断処理を実行することは、宅内の端末やOS、アプリケーションの起動によらず実現可能である。GWで実現するものであるから、近年普及するネットワークに接続する白物家電についてもアンチウィルスソフトの適用を心配する必要はない。
Execution of the blocking process by the
SGW10で遮断処理を実行するため、OSやアプリケーション、端末によらない共通のロジックを適用することができる。逆にアンチウィルスソフトは、OSや端末に依存し、また、制限対象のアプリケーションと同列であるため、アンチウィルスからアプリケーションを制限できると同時に、被疑アプリケーションからアンチウィルスソフトが制限をうけて機能しない可能性がある。SGW10で遮断処理を実行すると、こうした課題を回避することができる。
Since the blocking process is executed by the
SGW10は、宅内ネットワーク、宅内機器からみてネットワークへの入り口となっているため、ネットワークの多数箇所の入り口で遮断処理を実行することができる。専用装置は一般的に広範囲に対応する分、複雑、高機能、高価であり、クライアント毎に配置するのは現実的ではない。専用装置をネットワーク上に配置する場合には、配置する場所を検討する必要があるが、分散されたネットワーク上では適切な位置に配置するのは難しい。インターネットサービスプロバイダ(ISP)が独自にISPのネットワークの入り口で防ぐ方法も考えられるが、サーバ群の手前で防ぐという考え方と変わらず、負荷が高まる対象が専用装置なのかロードバランサなのかファイアウォールなのかといった違いになる。また、一度ネットワークに流入したトラヒックを回収するのは効率的ではない。正常なトラヒックと不正なトラヒックがネットワーク上では混在し、ネットワークおよびネットワーク装置の負荷が無駄に高まるためである。すなわち、本実施の形態のようにネットワーク流入元で制限するのが効率的である。
Since the
DDoS攻撃は、複数のクライアントからの攻撃となるため、攻撃側のクライアント単体(悪意あるハンドラー100に操作されたPCなど)を観察する場合、通常の使用と見分けがつきにくかった。本実施の形態のように、複数のクライアントの通信履歴情報を集めて解析する場合、攻撃の特定が容易となる。このような通信履歴情報を集める手法は様々あり、特に限定されるものではない。例えば、SGW10は、通信する度にその通信履歴情報を遮断サーバ20に送信するようにしてもよい。SGW10は、ネットワークへの流入口で処理能力を持つことを特徴とするので、GW配下の通信のうち必要な情報要素のみ取捨選択して遮断サーバ20に送信する。また、SGW10は、連続する同一データなどを集約して送信頻度を減らし、送信ヘッダ分の送信量を減らしてもよい。さらに、ネットワークおよび遮断サーバ20側の負荷分散のために、特定の時刻になったタイミングで一括して通信履歴情報を遮断サーバ20に送信するようにしてもよい。
Since the DDoS attack is an attack from a plurality of clients, it is difficult to distinguish from a normal use when observing a client on the attacking side (such as a PC operated by a malicious handler 100). As in the present embodiment, when collecting and analyzing communication history information of a plurality of clients, it is easy to identify an attack. There are various methods for collecting such communication history information, and there is no particular limitation. For example, the
DDoS攻撃の予兆として、サーバの脆弱性や乗っ取ろうとするクライアントの脆弱性を調査するために、悪意あるハンドラー100によって、または感染したクライアントから同一の接続先に対してIDやポート番号のみ異なる通信が発生する。また、攻撃元となったクライアントは、過去に全く同じサーバに誘導されて接続している。このため、複数のGWの通信履歴を長時間分収集することにより、単体の通信履歴からは発見できない攻撃の予兆を発見することが可能となる。
In order to investigate server vulnerabilities and client vulnerabilities as a predictor of DDoS attacks, communications differ only by ID or port number from the
図6を用いて、対策速度が重要となる攻撃対象となりうるSGW10を特定する例を示す。図6(a)に示すように、各SGW10からの通信履歴を並べ替え、差分抽出を行っている。この例は、パケットのヘッダおよびペイロードを展開したものである。さらに、複数のSGW10からの通信履歴を含めて並べ替え、差分抽出を行っている。差分抽出は、事前に設定された時間、直近数分の過去履歴の差分抽出でよい。図6(b)の例では、便宜的に通信履歴を行で記載しているが、メモリ上に展開した通信履歴のうち、この単位時間に受信した通信履歴をスライドウィンドウ式に走査する。この点については、図7を用いて後述する。
An example in which an
図5に判断ルールの走査パターンの一例を示す。ここでは、短間隔実施ルールの走査パターンP1,P2,P3,…と、長間隔実施ルールの走査パターンP1,P2,P3,…とを例示している。短間隔実施ルールとは、比較的短期間の通信履歴の走査を実施する場合のルールであり、長間隔実施ルールとは、比較的長期間の通信履歴の走査を実施する場合のルールである。詳細については、図7を用いて後述する。 FIG. 5 shows an example of the scanning pattern of the judgment rule. Here, scanning patterns P1, P2, P3,... Of the short interval execution rule and scanning patterns P1, P2, P3,. The short interval execution rule is a rule when scanning a communication history for a relatively short period, and the long interval execution rule is a rule when scanning a communication history for a relatively long period. Details will be described later with reference to FIG.
図5に示すように、送信先IPアドレスが同じものを抽出した場合、事前に設定された数以上同じとなっているもの(図では、222:222:222:222)を抽出する(図5のP1)。これにより、SGWIDの分散(3種類一つずつ)と、送信先ポート番号の分散(3種類一つずつ)が一致している場合、SGWIDごとに送信先ポート番号の異なる接続が行われていることを検出することができる。単位時間あたりの受信数と走査時間はサーバ毎に個別に検証が必要であるので、一致の割合について詳細は記載しないが、受信数に対する割合を指定してもよい。図6(b)のように、アドレス222:222:222:222に対するTCPのsynがポート番号だけを変えて送信されていることを検出することができる。また、図6(d)のように、送信元のアドレスが111:111:111:000のプレフィックスにより行われているため、これに続くアドレスおよびプレフィックスを攻撃元になりうる対象として決定することができる(図5のP3)。攻撃内容は一般的なsynアタックであるため、図6(c)のように、事前に送付済みのルールidを指定して、図6(e)のように、残りはどこを対象としたsynパケットであるかを示すアドレス情報だけを送信してやればよい。 As shown in FIG. 5, when the same destination IP addresses are extracted, those that are the same as the preset number or more (in the figure, 222: 222: 222: 222) are extracted (FIG. 5). P1). Thereby, when the distribution of SGWID (each of three types) and the distribution of transmission destination port numbers (each of three types) match, connections with different transmission destination port numbers are performed for each SGWID. Can be detected. Since the number of receptions per unit time and the scanning time need to be verified individually for each server, details of the rate of matching will not be described, but a rate relative to the number of receptions may be specified. As shown in FIG. 6B, it can be detected that the TCP syn for the address 222: 222: 222: 222 is transmitted by changing only the port number. Further, as shown in FIG. 6D, since the source address is performed with a 111: 111: 111: 000 prefix, it is possible to determine the subsequent address and prefix as a target that can be an attack source. Yes (P3 in FIG. 5). Since the attack content is a general syn attack, the rule id sent in advance is specified as shown in FIG. 6C, and the rest is the target syn as shown in FIG. 6E. It is only necessary to transmit address information indicating whether it is a packet.
図7は、遮断サーバ20の受信パケット数の推移の一例を示すグラフであり、図8は、図7に示されるパケット受信中の遮断サーバ20の動作を示すフローチャートである。本実施の形態は、GWを通過する複数クライアントの通信情報を複数GW分の通信履歴として収集し、一定時間分の差分評価を繰り返し実施する(図8のS21〜S24)。図7に示すように、区間Aの通信履歴に対して、事前に保持する複数の判断ルール・判断閾値に基づいて複数パターン走査を実施する。すなわち、図5に示される複数のパターンP1,P2,P3,…を適宜組み合わせ、その実行結果の組合せにより攻撃の予兆を判断する。
FIG. 7 is a graph showing an example of the transition of the number of received packets of the blocking
図6では通信履歴を行で記載しているが、メモリ上に展開した通信履歴をパターン毎に並び替え、種類と量のカウント、各種分布関数との一致などを調査する。分布関数との一致に関して、割合は別に指定して保持する(例えば、平均から最大が離れる割合がσの場合など)。 In FIG. 6, the communication history is described in rows. However, the communication history developed on the memory is rearranged for each pattern, and the type and amount count, the match with various distribution functions, and the like are investigated. Regarding the coincidence with the distribution function, the ratio is specified and held separately (for example, when the ratio of the maximum away from the average is σ).
区間Aの走査時間経過中にも、SGW10からは新規の接続が発生するので、区間Bの通信履歴の走査を実施する。以降、スライドウィンドウ式に繰り返す。スライドウィンドウ式とは、単位時間を対象に走査している間に、次の単位時間分の接続を受けているので、事前に定義された複数の走査パターンを実施した後、次の単位時間分の走査を開始することである。
Since a new connection is generated from the
これとは別に、前述の攻撃の予兆であるハンドラーの操作痕跡やクライアントの接続痕跡を抽出する。例えば、区間Cの長期的な処理で事前に設定された間隔(数日分〜数週間分)の差分抽出を区間Aで適用した短時間の判断ルールの対象を長期間にした分析として、ポート番号のみの変化や送信先のIPアドレスのみの変化がないかを抽出する。また、長期的なトラヒック量の変化の傾向分析も行う。 Separately, the handler operation trace and the client connection trace, which are signs of the above-described attack, are extracted. For example, as a long-term analysis subject to a short-term decision rule in which difference extraction of intervals (several days to several weeks) set in advance in the long-term processing of section C is applied in section A, It is extracted whether there is any change in only the number or only the destination IP address. In addition, long-term changes in traffic trends are also analyzed.
ある単位時間分(区間A)の走査をしているうちに加わった新規の通信履歴に対して、次の単位時間分(区間B)の走査を行う。この新規の通信履歴に対しては、区間Aで攻撃元と判断した判断ルールに合致するかを優先的に判断する(図8のS22)。図6の例では、送信先IPアドレスが同じでSGWIDとポート番号が異なるかを優先的に判断する。このように、新規接続に対する判断を加速する。 Scanning for the next unit time (section B) is performed on the new communication history added while scanning for a certain unit time (section A). For this new communication history, it is preferentially determined whether it matches the determination rule determined as the attack source in section A (S22 in FIG. 8). In the example of FIG. 6, it is preferentially determined whether the destination IP address is the same and the SGWID and the port number are different. In this way, the decision on new connection is accelerated.
判断ルールや判断閾値は事前に保持しておく。ここで、判断ルールの例を示す。例えば、高頻度のIPアドレス順番に並べた場合に、送信先IPアドレスが同一で、全ての送信先ポート番号が80番である場合には、ポート番号を狙った走査ではないと断定することができる。一方、図6に示すように、高頻度の送信先IPアドレスであって、送信先ポート番号に規則性がみられた場合には、その送信先IPアドレスに対して複数のSGW10を用いてポート番号の走査が行われていることが分かる。この場合、この接続を試みるSGW10に対して制限を行うための指示を出す。指示内容は攻撃対象の送信先IPアドレスとなる。このように並べ替え、差分抽出を行い、順序性およびランダム性などの規則性の評価を行い、それぞれランキングし、攻撃元か否かを判断する。
Judgment rules and judgment thresholds are stored in advance. Here, an example of the determination rule is shown. For example, when the IP addresses are arranged in the order of high frequency IP addresses, if the destination IP addresses are the same and all the destination port numbers are 80, it may be determined that the scanning is not aimed at the port numbers. it can. On the other hand, as shown in FIG. 6, when regularity is seen in the destination port number with a high-frequency destination IP address, a port using a plurality of
本実施の形態のように、複数のSGW10からの接続情報を収集することによって、トラヒックの変化を攻撃の兆候としてとらえることができる。複数のSGW10から接続情報を継続的に収集して、接続頻度により並び替えを行っている。接続頻度の高さでグルーピングした場合、このグループの接続傾向が一気に変わることはないため、グループでの傾向の変化をトラヒックの変化としてとらえることができる。トラヒック量の観点でも同様である。すなわち、ある時間のトラヒック量の違いによりトラヒック大、中、小でグルーピングした場合、このグループのトラヒック量がまとまって変化することはないため、グループでの傾向の変化をトラヒックの変化としてとらえることが可能である。
By collecting connection information from a plurality of
接続情報の嗜好という観点で分類すると、より顕著になる。SGW10からの接続先の類似性により相関関係を分類することができる。例えば、あるドメイン(IPアドレス)とあるドメイン(IPアドレス)に接続している頻度が高レベルのSGW10と、中レベルのSGW10と、低レベルのSGW10に分類する。この場合、攻撃者となっているSGW10が頻度の高いSGW群と一致している場合、このグループに所属しているSGW10は、攻撃者となる可能性が非常に高い。そのため、本実施の形態の対処を優先的に実施するSGW10として、これらのSGW10を絞り込むことができる。すなわち、遮断サーバ20は、攻撃通信を疎通させているSGW10を判断するが、ここでいう「攻撃通信を疎通させているSGW10」には、「攻撃通信を疎通させるおそれのあるSGW10」が含まれる。SGW10は、契約情報にあわせた必要十分なプログラムを配信するので、契約情報と紐づけてプログラム(特にOSGiで配信するプログラム)を管理している。これにより、より詳細なエリアや契約者の情報と紐づけることができる。
It becomes more prominent if it is classified from the viewpoint of preference of connection information. Correlations can be classified by the similarity of connection destinations from the
本実施の形態の対象とするシステムはSGW10を収容している。SGW10はネットワークのエッジルータに接続され、特定のIPプレフィックスが払い出されている。また、SGW10を収容するサーバでは、回線情報や収容情報に基づいてエリアを意識できるデータベースにSGW10を格納している。悪意あるハンドラー100の操作がIPアドレスをもとに行われた場合(例えば、IPプレフィックスの範囲でIPアドレスが総当たりの場合)、SGW10にネットワークから払い出されたIPプレフィックスが近接の同一エリアが対象となる場合が想定される。そのため、乗っ取られたクライアントの攻撃元の対象として対策する場合の判断指標となる。
The system targeted by this embodiment accommodates the
このように、本実施の形態によれば、攻撃対象への通信、特に通信開始を遮断するという指示を大量のクライアントに短期間で実施することができる。DDoS攻撃についても、ネットワークの流入口でトラヒックの流入を防ぐので、攻撃対象だけでなくネットワークの負荷を下げることができる。さらに、必要な接続を選択して接続許可することができる効果もある。 As described above, according to the present embodiment, it is possible to instruct a large number of clients in a short period of time to instruct communication to the attack target, in particular, to block the start of communication. Also for the DDoS attack, since the inflow of traffic is prevented at the inflow port of the network, not only the attack target but also the load on the network can be reduced. Further, there is an effect that a necessary connection can be selected and permitted.
本実施の形態における遮断システムの特徴的なところをまとめると次のようになる。すなわち、ネットワークへの複数の入口に複数のGWを配置している。GWは、ネットワーク側から開始する接続を全て遮断し、特定のUDPパケットのみで動作することができる。このようなGWに対して、UDPパケットをトリガにGW側から開始する接続シーケンスにより遮断ルールを定期的に配信(購読)する。そして、サーバ側での複数のGWの通信履歴の差分検出を契機に、前述のUDPトリガに内包するアドレスを含むごく短い指示によって、ネットワークの流入口に位置する複数のGWに遮断ルールを適用する。短期間で送信する量が少ないため、サーバ側の負荷を軽くすることができ、短期間で大量の瞬時対策を適用することが可能である。また、配信先の選定、組み合わせとパケット配信準備を行い、配信開始からの動作を高速化することができる。遮断時は、ルールに沿った継続シーケンスの救済を行う。これをシーケンスタイムアウトまでに判断できる高速性をもつ。認証可能なシーケンスに対し、認証動作を挟むことにより、より適切な遮断ルールを適用することができる。さらに、配信機構と同じ機構を用いて遮断ルールの終了指示を行うため、確実に終了指示を行い、遮断したサービスを再開することができる。加えて、複数のGWの通信履歴を収集して、同一送信先への通信履歴の差分を抽出して並び替えるため、複数のGWからの大量接続を判断することができる。例えば、既に大量接続元となったGWの通信履歴と類似性の高い通信履歴を持つ複数のGWを抽出して、遮断ルールを高速に適用する。これにより、大量の接続元GWに加わる前に遮断ルールを適用し、ネットワークへの大量トラヒックの流入を防ぐことができる。 The characteristics of the shutoff system in the present embodiment are summarized as follows. That is, a plurality of GWs are arranged at a plurality of entrances to the network. The GW blocks all connections started from the network side and can operate only with specific UDP packets. For such a GW, a blocking rule is periodically distributed (subscribed) by a connection sequence starting from the GW side using a UDP packet as a trigger. Then, with the detection of the difference between the communication histories of the plurality of GWs on the server side, the blocking rule is applied to the plurality of GWs located at the inflow of the network by a very short instruction including the address included in the UDP trigger. . Since the amount of transmission in a short period is small, the load on the server side can be reduced, and a large amount of instantaneous measures can be applied in a short period. Further, selection and combination of distribution destinations and preparation for packet distribution can be performed, and the operation from the start of distribution can be speeded up. At the time of interruption, the continuation sequence is relieved according to the rule. It is fast enough to determine this before the sequence timeout. A more appropriate blocking rule can be applied to an authenticable sequence by interposing an authentication operation. Furthermore, because the same mechanism as the distribution mechanism is used to instruct the termination of the blocking rule, the termination instruction can be reliably issued and the blocked service can be resumed. In addition, since communication histories of a plurality of GWs are collected, and differences in communication histories to the same destination are extracted and rearranged, it is possible to determine a large number of connections from a plurality of GWs. For example, a plurality of GWs having a communication history that is highly similar to the communication history of the GW that has already become a mass connection source are extracted, and the blocking rule is applied at high speed. As a result, a blocking rule can be applied before joining a large number of connection source GWs to prevent a large amount of traffic from flowing into the network.
以上のように、本実施の形態における遮断システムは、ネットワークの流入口(例えば、家庭やオフィス内のネットワークと広域ネットワークとの境界)に設置されるとともに、特定のトリガ情報に基づいて攻撃通信を遮断するための遮断プログラムが搭載されたSGW10(例えば、ホームゲートウェイ)と、攻撃通信を疎通させていると判断されるSGW10に対して、攻撃対象サーバ200への攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する遮断サーバ20とを備える。そして、トリガ情報を伝達されたSGW10が遮断プログラムを実行することによって攻撃対象サーバ200への攻撃通信を遮断する。これにより、情報量が少なく、UDPを用いるため、攻撃検出時に多数のSGW10に短時間に効率的に遮断指示を出すことができ、対処時間の短縮を図ることが可能となる。また、攻撃側からネットワークに流入する関門であるSGW10で攻撃を遮断することができ、ネットワークおよび攻撃対象サーバ200において、通常の通信への影響を最小限にすることが可能である。
As described above, the blocking system according to the present embodiment is installed at the entrance of a network (for example, the boundary between a network in a home or office and a wide area network) and performs attack communication based on specific trigger information. Trigger information for blocking attack communication to the
また、本実施の形態における遮断サーバ20は、複数のSGW10から収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析部24と、通信ログ解析部24の解析結果に基づいて、攻撃対象サーバ200への攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理部23とを備える。具体的には、通信ログ解析部24は、攻撃通信を疎通させているSGW10をトラヒックの変化に基づいて判断する。また、通信ログ解析部24は、攻撃通信を疎通させるおそれのあるSGW10を、攻撃通信を疎通させているSGW10として判断する。これにより、攻撃通信を疎通させているSGW10であるかどうかを効率よく且つ的確に判断することが可能である。
In addition, the blocking
なお、本発明は、遮断システムまたは遮断サーバ20として実現することができるだけでなく、このような遮断システムまたは遮断サーバ20が備える特徴的な処理部をステップとする遮断方法として実現したり、それらのステップをコンピュータに実行させるプログラムとして実現したりすることもできる。そして、そのようなプログラムは、CD−ROM等の記録媒体やインターネット等の伝送媒体を介して配信することができるのは言うまでもない。
The present invention can be realized not only as a shutoff system or a
10…SGW
11…信号送受信部
12…信号抽出部
13…遮断処理部
14…遮断ルール
15…信号挿入部
16…異常定型文
17…UDPトリガ受信部
18…攻撃対象リスト
19…乱数生成部
20…遮断サーバ
21…DB
22…配信先
23…配信処理部
24…通信ログ解析部
25…DB
10 ... SGW
DESCRIPTION OF
22 ...
Claims (6)
攻撃通信を疎通させていると判断されるSGWに対して、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する遮断サーバとを備え、
前記トリガ情報を伝達されたSGWが前記遮断プログラムを実行することによって前記攻撃対象サーバへの攻撃通信を遮断することを特徴とする遮断システム。 An SGW that is installed at the inflow of the network and is equipped with a blocking program for blocking attack communication based on specific trigger information;
A blocking server that transmits only trigger information for blocking attack communication to the attack target server to the SGW that is determined to communicate attack communication;
The blocking system characterized in that the SGW that has received the trigger information blocks the attack communication to the attack target server by executing the blocking program.
前記通信ログ解析部の解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理部と
を備えることを特徴とする遮断サーバ。 Analyzing a communication log collected from a plurality of SGWs to determine an SGW communicating with the attack communication;
A blocking server, comprising: a distribution processing unit that transmits only trigger information for blocking attack communication to an attack target server based on an analysis result of the communication log analysis unit by UDP.
複数のSGWから収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析ステップと、
前記通信ログ解析ステップにおける解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理ステップと
を遮断サーバが実行することを特徴とする遮断方法。 A blocking method for blocking attack communication to an attack target server,
A communication log analysis step of determining an SGW communicating with attack communication by analyzing communication logs collected from a plurality of SGWs;
A blocking method, wherein the blocking server executes, based on the analysis result in the communication log analyzing step, a distribution processing step of transmitting only trigger information for blocking attack communication to the attack target server by UDP.
複数のSGWから収集した通信ログを解析することによって、攻撃通信を疎通させているSGWを判断する通信ログ解析ステップと、
前記通信ログ解析ステップにおける解析結果に基づいて、攻撃対象サーバへの攻撃通信を遮断するためのトリガ情報のみをUDPによって伝達する配信処理ステップと
をコンピュータに実行させるためのプログラム。 A program for blocking attack communication to the attack target server,
A communication log analysis step of determining an SGW communicating with attack communication by analyzing communication logs collected from a plurality of SGWs;
A program for causing a computer to execute a distribution processing step of transmitting only trigger information for blocking attack communication to an attack target server by UDP based on an analysis result in the communication log analysis step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013118647A JP2014236461A (en) | 2013-06-05 | 2013-06-05 | Interception system, interception server, interception method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013118647A JP2014236461A (en) | 2013-06-05 | 2013-06-05 | Interception system, interception server, interception method and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014236461A true JP2014236461A (en) | 2014-12-15 |
Family
ID=52138840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013118647A Pending JP2014236461A (en) | 2013-06-05 | 2013-06-05 | Interception system, interception server, interception method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014236461A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015004402A1 (en) * | 2015-04-14 | 2016-10-20 | Link11 GmbH | host system |
JP2017212705A (en) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | Communication controller, communication system, communication control method, and program |
JP2018037835A (en) * | 2016-08-31 | 2018-03-08 | 日本電信電話株式会社 | Device and method for attack determination |
JP2018121218A (en) * | 2017-01-25 | 2018-08-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection system, attack detection method and attack detection program |
US10097515B2 (en) | 2015-09-28 | 2018-10-09 | Fujitsu Limited | Firewall control device, method and firewall device |
WO2020065776A1 (en) * | 2018-09-26 | 2020-04-02 | 日本電気株式会社 | Information processing device, control method, and program |
JP2020098459A (en) * | 2018-12-18 | 2020-06-25 | Necプラットフォームズ株式会社 | Communication system, communication device, and control program |
WO2021240752A1 (en) * | 2020-05-28 | 2021-12-02 | 日本電信電話株式会社 | Protocol identification device, protocol identification method, and program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008211464A (en) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | Traffic abnormality detection system, traffic information observation device, traffic information management device, traffic information observation program, and traffic information management program |
JP2010508760A (en) * | 2006-11-03 | 2010-03-18 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | Method and apparatus for delivering control messages during a malicious attack in one or more packet networks |
-
2013
- 2013-06-05 JP JP2013118647A patent/JP2014236461A/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010508760A (en) * | 2006-11-03 | 2010-03-18 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | Method and apparatus for delivering control messages during a malicious attack in one or more packet networks |
JP2008211464A (en) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | Traffic abnormality detection system, traffic information observation device, traffic information management device, traffic information observation program, and traffic information management program |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102015004402A1 (en) * | 2015-04-14 | 2016-10-20 | Link11 GmbH | host system |
US10097515B2 (en) | 2015-09-28 | 2018-10-09 | Fujitsu Limited | Firewall control device, method and firewall device |
JP2017212705A (en) * | 2016-05-27 | 2017-11-30 | 学校法人東京電機大学 | Communication controller, communication system, communication control method, and program |
JP2018037835A (en) * | 2016-08-31 | 2018-03-08 | 日本電信電話株式会社 | Device and method for attack determination |
JP2018121218A (en) * | 2017-01-25 | 2018-08-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection system, attack detection method and attack detection program |
JP7028559B2 (en) | 2017-01-25 | 2022-03-02 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Attack detection system, attack detection method and attack detection program |
WO2020065776A1 (en) * | 2018-09-26 | 2020-04-02 | 日本電気株式会社 | Information processing device, control method, and program |
JPWO2020065776A1 (en) * | 2018-09-26 | 2021-08-30 | 日本電気株式会社 | Information processing equipment, control methods, and programs |
JP7276347B2 (en) | 2018-09-26 | 2023-05-18 | 日本電気株式会社 | Information processing device, control method, and program |
JP2020098459A (en) * | 2018-12-18 | 2020-06-25 | Necプラットフォームズ株式会社 | Communication system, communication device, and control program |
WO2021240752A1 (en) * | 2020-05-28 | 2021-12-02 | 日本電信電話株式会社 | Protocol identification device, protocol identification method, and program |
JP7380868B2 (en) | 2020-05-28 | 2023-11-15 | 日本電信電話株式会社 | Protocol identification device, protocol identification method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2014236461A (en) | Interception system, interception server, interception method and program | |
Masdari et al. | A survey and taxonomy of DoS attacks in cloud computing | |
EP2289221B1 (en) | Network intrusion protection | |
US9392002B2 (en) | System and method of providing virus protection at a gateway | |
US8661544B2 (en) | Detecting botnets | |
US8966627B2 (en) | Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session | |
US20110231935A1 (en) | System and method for passively identifying encrypted and interactive network sessions | |
US20180131717A1 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
EP1517517A1 (en) | IP time to live (ttl) field used as a covert channel | |
US8336098B2 (en) | Method and apparatus for classifying harmful packet | |
US20200358738A1 (en) | Systems and Methods For Using DNS Messages To Selectively Collect Computer Forensic Data | |
KR20130017333A (en) | Attack decision system of slow distributed denial of service based application layer and method of the same | |
Acharya et al. | Survey of DDoS attacks based on TCP/IP protocol vulnerabilities | |
François et al. | Network security through software defined networking: a survey | |
US20140304817A1 (en) | APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK | |
JP2018508166A (en) | System and method for regulating access requests | |
Lee et al. | Study of detection method for spoofed IP against DDoS attacks | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
Hua et al. | Flow misleading: Worm-hole attack in software-defined networking via building in-band covert channel | |
KR20120101839A (en) | System for network inspection and providing method thereof | |
Abt et al. | Towards Efficient and Privacy-Preserving Network-Based Botnet Detection Using Netflow Data. | |
JP4391455B2 (en) | Unauthorized access detection system and program for DDoS attack | |
JP2017200152A (en) | Communication-limited range determination device, communication control device, communication device, communication system, communication-limited range determination method, and program | |
US20050147037A1 (en) | Scan detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150714 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160406 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160412 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20161025 |