JP3609381B2 - Distributed denial of service attack prevention method, gate device, communication device, and program - Google Patents
Distributed denial of service attack prevention method, gate device, communication device, and program Download PDFInfo
- Publication number
- JP3609381B2 JP3609381B2 JP2002081905A JP2002081905A JP3609381B2 JP 3609381 B2 JP3609381 B2 JP 3609381B2 JP 2002081905 A JP2002081905 A JP 2002081905A JP 2002081905 A JP2002081905 A JP 2002081905A JP 3609381 B2 JP3609381 B2 JP 3609381B2
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- upstream
- attack
- gate
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークに接続された機器をネットワーク経由での攻撃から防御するための、サービス不能攻撃の防止方法およびその装置ならびにそのコンピュータプログラムに関するものである。
【0002】
【従来の技術】
従来、TCP/IP(Transmission control protocol/internet protocol)などのネットワークプロトコルは、オープンとなっており、互いに信用されるグループで使われるように設計されている。このため、コンピュータのオペレーティングシステムでは、大量の通信トラフィック(データ等)を攻撃目標のサーバに送信することによって、ネットワークの伝送帯域やサーバの資源を消費して正当な利用者の利用を妨げようとするサービス不能攻撃(以下、「DoS(Denial of Service)攻撃」と記す)を防ぐことは考慮されていない。このようなDoS攻撃に対する防御の方法は増えてきているが、複数箇所から同時に連携してDoS攻撃を行う「DDoS(Distributed Denial of Service)攻撃」に対する防御の方法は未だ効果的な方法が開発されていない。
【0003】
このDDoS攻撃に対する一防御の方法として、UUNET社のCenterTrackがある。これは、インターネットのルータに診断機能を付加し、DDoS攻撃の送信元を追跡する技術である。
【0004】
また、DDoS攻撃を検出したノードより攻撃元に近い上流ノードで攻撃トラヒックを制限するための技術としては、本出願の発明者等が出願済みの分散型サービス不能攻撃の防止方法(特願2001−274016)、AT&T社論文(R.Mahajan, S.M.Bellovin, S.Floyd, J.Ioannidis, V.Paxson and S.Shenker: “Controlling high bandwidth aggregates in the network − extended version”(2001))、IDIP(Intruder Detection and Isolation Protocol)(D.Schnackenberg, K.Djahandari and D.Sterne: “Infrastructure for intrusion detection and response”, Proceedings of the DARPA Information Survivability Conference and Exposition(DISCEX), South Carolina(2000))などがある。AT&T社論文及びIDIPは、攻撃検出イベントを攻撃経路の上流ノードへ伝達し、上流ノードで伝送帯域制限を行うための方式やプロトコルである。本出願の発明者等が出願済みの分散型サービス不能攻撃の防止方法は、ルータにインストールされている移動型パケットフィルタリングプログラムが、自らのプログラムの複製を作成し、その複製を上流ルータ移動させ、各上流ルータへ移動してきた移動型パケットフィルタリングプログラムは、それぞれDDoS攻撃者のホストからサーバに向けて送られているトラフィック全てを通過させないようする技術である。
【0005】
【発明が解決しようとする課題】
Center Trackは、攻撃を受けた被害者が攻撃者を特定することを助ける技術ではあるが、実際に攻撃を受けているときにその攻撃を防御することはできない。加えて、複数箇所に分散された分散型DoSの攻撃元になっているコンピュータやそのコンピュータが接続されているネットワークの管理者に連絡をしないと、攻撃そのものを止めることはできないため、実質的には攻撃を止めるまでに何時間、あるいは何日もの時間がかかってしまうという問題点がある。
【0006】
また、この出願の同発明者等が出願済みの分散型サービス不能攻撃の防止方法、AT&T論文及びIDIPにおては、攻撃パケットと特定されたパケットを次ノードへ送出せず、全て破棄してまう。よって、標的となるサーバのダウンやルータ装置の過負荷等によりサービスが停止する一次被害を防止することはできるが、正規利用者からのパケットを攻撃パケットと識別する方法がないため、誤って正規利用者からの正規パケットも攻撃パケットとして破棄してしまう可能性があり、正規利用者の利用性が低下するといった二次被害を引き起こしてしまうという問題がある。
【0007】
本発明は、上記事情を考慮してなされたものであり、その目的は、正規利用者へのサービス性を低下させる被害を軽減しながらDDoS攻撃を防御できる、分散型サービス不能攻撃防止方法及び装置ならびにプログラムを提供することにある。
【0008】
【課題を解決するための手段】
この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANと、前記LANおよびネットワークの間に介挿されたゲート装置とを有するネットワークシステムにおいて、前記ゲート装置は、入力される通信トラヒックから攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の前記通信装置へ送信する処理を行い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置または通信装置から受信した前記伝送帯域制限値に制限すると共に、前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する処理を行い、前記攻撃容疑パケット送出元の最上流の前記通信装置に達するまで再帰的に、前記攻撃容疑パケットの伝送帯域の制限と、前記攻撃容疑トラヒックの伝送帯域制限値送信との処理を行い、前記ゲート装置は、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信する処理を行い、前記上流の通信装置は、前記下流のゲート装置または通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域問合せを受信して、当該通信装置における前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置または通信装置へ送信する処理を行い、前記ゲート装置は、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する処理を行い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置または通信装置から受信した前記伝送帯域制限調整値に制限すると共に、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信する処理と、前記下流の通信装置から受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する処理とを行い、前記攻撃容疑パケット送出元の最上流の前記通信装置に達するまで再帰的に、伝送帯域制限調整値に前記攻撃容疑パケットの伝送帯域の制限と共に、前記攻撃容疑トラヒックの伝送帯域制限調整値の送信との処理を行う、ことを特徴とする分散型サービス不能攻撃防止方法である。
【0009】
請求項2に記載の発明は、請求項1に記載の分散型サービス不能攻撃防止方法であって、前記伝送帯域制限値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域制限値をSs(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数11】
【0010】
請求項3に記載の発明は、請求項1または請求項2に記載の分散型サービス不能攻撃防止方法であって、前記伝送帯域制限調整値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
【数12】
【0011】
請求項4に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置において、入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出するトラヒック監視手段と、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記トラヒック監視手段によって検出された攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する帯域制限指示手段と、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せ手段と、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信する伝送帯域値受信手段と、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する帯域制限調整手段と、を備えることを特徴とするゲート装置である。
【0012】
請求項5に記載の発明は、請求項4に記載のゲート装置であって、前記帯域制限指示手段は、前記伝送帯域制限値を、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域制限値をSs(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数13】
【数14】
【0013】
請求項6に記載の発明は、防御対象であるコンピュータおよびLANを防御するゲート装置が接続されたネットワークのノードを構成する通信装置において、下流のゲート装置あるいは通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限する帯域制御手段と、前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する帯域制限指示手段と、前記下流のゲート装置あるいは通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域問い合わせを受信し、当該通信装置における前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置あるいは通信装置へ送信する帯域通知手段と、前記下流のゲート装置あるいは通信装置から攻撃容疑トラヒックの伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限する帯域制御調整手段と、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せ手段と、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信する伝送帯域値受信手段と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値と前記受信した伝送帯域制限調整値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して、前記上流の通信装置へ送信する帯域制限調整手段と、を備えることを特徴とする通信装置である。
【0014】
請求項7に記載の発明は、請求項6に記載の通信装置であって、前記帯域制限指示手段は、前記伝送帯域制限値を、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域制限値をSs(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数15】
【数16】
【0015】
請求項8に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムであって、入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信するステップと、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラムである。
【0016】
請求項9に記載の発明は、防御対象であるコンピュータおよびLANを防御するゲート装置が接続されるたネットワークのノードを構成する通信装置上で実行されるコンピュータプログラムであって、下流のゲート装置又は通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限するステップと、前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して、上流の通信装置へ送信するステップと、前記下流のゲート装置又は通信装置から攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せを受信し、前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置又は通信装置へ送信するステップと、前記下流のゲート装置又は通信装置から伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限するステップと、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、前記受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラムである。
【0017】
請求項10に記載の発明は、請求項8または請求項9に記載の分散型サービス不能攻撃防止プログラムであって、前記伝送帯域制限値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域制限値をSs(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数17】
【数18】
【0018】
請求項11に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムを記緑したコンピュータ読み取り可能な記録媒体であって、入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信するステップと、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体である。
【0019】
請求項12に記載の発明は、防御対象であるコンピュータおよびLANを防御するゲート装置が接続されたネットワークのノードを構成する通信装置上で実行されるコンピュータプログラムを記緑したコンピュータ読み取り可能な記録媒体であって、下流のゲート装置又は通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限するステップと、前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して、上流の通信装置へ送信するステップと、前記下流のゲート装置又は通信装置から攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せを受信し、前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置又は通信装置へ送信するステップと、前記下流のゲート装置又は通信装置から伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限するステップと、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、前記受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体である。
【0020】
請求項13に記載の発明は、請求項11または請求項12に記載の分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体であって、前記伝送帯域制限値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域制限値をSs(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数19】
前記伝送帯域制限調整値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
【数20】
【0021】
【発明の実施の形態】
以下図面を参照し、この発明の一実施の形態について説明する。図1は、同実施の形態を適用したネットワークの構成図である。この図において、2000はサーバ、2001はこの発明の一実施形態によるゲート装置(ゲートウェイ)、2002〜2006はこの発明の一実施形態による通信装置(ルータ)、2007〜2010は端末装置である。DDoS攻撃の被攻撃者のサーバ2000が収容されているLAN(ローカルエリアネットワーク)は、ゲート装置2001によって外部のネットワークに接続されている。そして、ネットワークは通信装置2002、2003、2004、2005、2006を有している。DDoS攻撃者によって操作された端末装置2007、2008が、攻撃パケットを被攻撃者のサーバ2000に向かって送信すると、攻撃パケットが被攻撃者収容LANに集中して混雑が発生することにより、ゲート装置2001の資源を消費してしまい、DDoS攻撃者とは無関係な正規利用者の端末2009、2010からサーバ2000に接続できなくなるという現象が起こる。
【0022】
ゲート装置2001は、予めサーバ2000を保有する利用者が設定した攻撃容疑検出条件を記憶している。図2に攻撃容疑検出条件の設定の例を示す。さらに、ゲート装置2001は、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値を記憶している。
【0023】
図2における攻撃容疑検出条件は、検出属性、検出閾値及び検出間隔の組からなる3組のレコードで構成される。ここでは、番号はレコードを特定するために便宜上使用される。攻撃容疑検出条件は、受信パケットが攻撃パケットである可能性がある攻撃容疑パケットを検出するために使用され、3組のレコードの内のいずれかのレコードの条件にトラヒックが一致した場合、このトラヒックの通信パケットは攻撃容疑パケットであると認識される。検出属性は、IPパケットの第3/4層属性種別とそれら属性値の組を指定するが、第3層属性であるIPの「Destination IP Address(宛先IPアドレス)」という属性種別は必ず指定される。図2において、番号1のレコードの検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.1/32」であり(dst=192.168.1.1/32)、IPの上位層(第4層)のプロトコル種別を示す「Protocol(プロトコル)」が「TCP」であり(Protocol=TCP)、かつ、第4層プロトコルがどのアプリケーションの情報かを示す「Destination Port(宛先ポート番号)」が「80」である(Port=80)という属性種別とそれら属性値の組で指定される。番号2のレコード検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.2/32」であり(dst=192.168.1.2/32)、かつ、「Protocol(プロトコル)」が「UDP(User Datagram protocol)」である(Protocol=UDP)という属性種別とそれら属性値の組で指定される。また、番号3のレコード検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.0/24」である属性種別とその属性値で指定される。検出閾値は、同じレコードで指定される検出属性を持つ受信パケットのトラヒックを攻撃容疑トラヒックとして検出するための最低の伝送帯域を、検出間隔は同じく最低の連続時間を示している。
【0024】
また、ゲート装置2001及び通信装置2002〜2006は、攻撃容疑パケットのトラヒックを分析し、不正トラヒックを検出するための不正トラヒック検出条件を保有する。図3に不正トラヒック検出条件の設定の例を示す。ここでは、番号はレコードを特定するために便宜上使用される。不正トラヒック条件は、既知のDDoS攻撃の複数のトラヒックパターンから構成され、攻撃容疑パケットのトラヒックがいずれかのトラヒックパターンに合致した場合に、不正トラヒックであると認識される。図3の番号1の不正トラヒック条件は、「伝送帯域T1Kbps以上のパケットがS1秒以上連続送信されている」というトラヒックパターンを示している。また、番号2の不正トラヒック条件は、「伝送帯域T2Kbps以上、第3層プロトコルであるICMP(Internet Control Message Protocol)上のエコー応答(Echo Reply)メッセージのパケットがS2秒以上連続送信されている」というトラヒックパターンを示している。番号3の不正トラヒック条件は、「伝送帯域T3Kbps以上、データが長すぎるためパケットに含まれるデータは複数IPパケットに分割して送信していることを示すフラグメントパケットがS3秒以上連続送信されている」というトラヒックパターンを示している。
【0025】
ここで、ゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルを説明する。図4は本実施の形態におけるゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルを示す。帯域制御モデルは、入力パケットをクラス別に分類し、このクラスに従ってパケットの出力帯域制御を実現するためのモデルを示す。フィルタ2021は、入力されたパケットを正規クラス2022、容疑クラス2026、不正クラス2024の3つのクラスに分類する。なお、このフィルタ2021の分類アルゴリズムは後述する。正規クラス2022はデフォルトクラスであり、正規クラス2022に分類されたパケットは正規キュー2023につながれ、伝送帯域を制限せずに出力される。容疑クラス2026に分類されたパケットは、容疑パケットか否かを判断するための防御対象のサーバ2000及びサーバ2000が収容されているLAN毎に発生する容疑キュー2027につながれ、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値に出力伝送帯域が制限される。なお、容疑シグネチャの生成については後述する。サーバ2000を収容しているゲート装置2001の容疑キューの伝送帯域制限値は防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値を使用するが、上流の通信装置2002〜2006では、下流の通信装置から受信した伝送帯域制限値を使用する。不正クラス2024に分類されたパケットは、不正キュー2025につながれ、サーバ所有者やネットワークのポリシーに関わらず、0または0に近い伝送帯域に制限される。
【0026】
続いて、ゲート装置2001及び通信装置2002〜2006が伝送帯域制限を実行するための、フィルタ2021の分類アルゴリズムについて説明する。ゲート装置2001及び通信装置2002〜2006は、当該通信装置に入力される全ての通信パケットをこの分類アルゴリズムで分類する。図5はフィルタ2021における分類アルゴリズムを示す。まず、ステップS3003において、フィルタ2021は、入力されたパケットが不正シグネチャと合致するか判断する。不正シグネチャに合致した場合、パケットは不正クラス2024に分類される(ステップS3004)。不正シグネチャに合致しなかった場合は、ステップS3005に進み、パケットが容疑シグネチャであるか判断し、容疑シグネチャに合致すれば容疑クラス2026へ分類され(ステップS3006)、合致しない場合には正規クラス2022へ分類される(ステップS3007)。このようにして各クラスに分類されたパケットは、正規キューであれば伝送帯域を制限せずに出力され、容疑キュー及び不正キューであればそれぞれの伝送帯域制限値に従って伝送帯域が制限されて出力される。なお、容疑シグネチャ及び不正シグネチャの生成については後述する。
【0027】
次に、DDoS攻撃に対する対策方式の処理手順を示す。まず、図6のゲート装置2001の攻撃容疑パケット検出時の動作を示すフローチャート、図8の通信装置2002、2003の伝送帯域制限指示受信時の動作を示すフローチャート及び図9のゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を示すフローチャートを用いてDDoS攻撃発生と同時に初期の伝送帯域制限を実施する処理手順を説明する。
【0028】
図6のステップS3011において、ゲート装置2001は、攻撃容疑検出条件(図2)に従って、検出間隔で指定されているより長い時間連続して、検出閾値で指定されている以上の伝送帯域を使用している、検出属性に合致するトラヒックをチェックし、3組のレコードの内のいずれかのレコードに合致した場合、このトラヒックを攻撃容疑トラヒックとして検出する。すると、ステップS3012において、この検出された攻撃容疑トラヒックが満たしている攻撃容疑検出条件のレコードの検出属性を、容疑シグネチャとして生成する。容疑シグネチャは、攻撃容疑トラヒックの通信パケット、すなわち攻撃容疑パケットを識別するために用いられる。例えば、図2の設定例を用いて説明すると、番号1のレコードの条件で検出されるパケットの容疑シグネチャは{dst=192.168.1.1/32, Protocol=TCP, Port=80}となる。
【0029】
次いで、ステップS3013において、ゲート装置2001は、ステップS3012において生成した容疑シグネチャをフィルタ2021に登録する。次に、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値に攻撃容疑トラヒックの伝送帯域を制限するための容疑キュー2027を生成する。なお、同一防御対象に関する容疑キューが既に生成済みの場合は、新たな容疑キューの生成は行わない。これにより、以後、図4に示す帯域制御モデルと図5に示すフィルタ2021の分類アルゴリズムに従って、容疑シグネチャに合致する攻撃容疑パケットの伝送帯域の制限が実行される。
【0030】
そして、ゲート装置2001は、ステップS3014において、容疑シグネチャと算出した攻撃容疑パケットの伝送帯域制限値とを含んだ伝送帯域制限指示を1つ上流にある通信装置2002、2003に送信する。ここで、伝送帯域制限値の算出方法を説明する。なお、本明細書においては、ゲート装置あるいは通信装置を識別するための添え字を持つ
【数21】
【数22】
【0031】
次に、伝送帯域制限指示受信時の通信装置2002、2003の動作を説明する。図8のステップS3021において、通信装置2002、2003は、ゲート装置2001が送信した(ステップS3014)伝送帯域制限指示を受信する。次に、ステップS3022に進み、通信装置2002、2003は、受信した伝送帯域制限指示に含まれる容疑シグネチャをフィルタ2021に登録し、容疑シグネチャ及び攻撃容疑パケットの伝送帯域制限値に対応した容疑キュー2027を生成する。これにより、以後、図4に示す帯域制御モデルと図5に示すフィルタ2021の分類アルゴリズムに従って容疑シグネチャに合致する攻撃容疑パケットの伝送帯域の制限が実行される。
【0032】
通信装置2002はステップS3023において、その上流にある通信装置2004に、通信装置2003はその上流にある通信装置2005及び2006に、受信した容疑シグネチャと、受信した伝送帯域制限値から算出した伝送帯域制限値とを含んだ伝送帯域制限指示を送信する。このときの算出方法は、ゲート装置2001のステップS3003と同様である。すなわち、通信装置2002、2003は、ゲート装置2001から受信した伝送帯域制限値を1つ上流の通信装置全てに均等に割り当てる。図7を用いて説明すると、通信装置2002、2003の深さdは1であり、この深さd=1には2つの通信装置が存在し、その1番目の通信装置2002のiは1、2番目の通信装置2003のiは2である。通信装置2002の伝送帯域制限値Ss(1,1)及び通信装置2003の伝送帯域制限値Ss(1,2)は、それぞれゲート装置2001から受信した伝送帯域制限値Ss(1,1,1)、Ss(1,1,2)であり、すなわち400kbpsである。そして、通信装置2002には1つの上流の通信装置2004が存在するため、1つ上流の通信装置数nu(1,1)は1である。よって、通信装置2004の伝送帯域制限値Ss(2,1,1)は、Ss(1,1)=400kbpsをnu(1,1)=1で除算した400kbpsとなる。一方、通信装置2003には2つの上流の通信装置2005、2006が存在するため1つ上流の通信装置数nu(1,2)は2である。よって、通信装置2005の伝送帯域制限値Ss(2,2,1)及び通信装置2006の伝送帯域制限値Ss(2,2,2)は、Ss(1,2)=400kbpsをnu(1,2)=2で除算した200kbpsとなる。
【0033】
そして、通信装置2004は通信装置2002から、通信装置2005、2006は通信装置2003から伝送帯域制限指示を受信し、通信装置2002、2003におけるステップS3021〜S3022と同様に動作する。通信装置2004〜2006は、ルーチングテーブルなどにより上流に通信装置がないと判断できるため、ステップS3023は実行しない。
【0034】
次に、ゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を説明する。図9のステップS3031において、ゲート装置2001及び通信装置2002〜2006は、DDoS攻撃者がパケットを送出しているネットワークを特定するため入力パケットを分析して、不正トラヒック条件のいずれかのパターンに合致するトラヒックを検出する。すると、ゲート装置2001及び通信装置2002〜2006は、ステップS3032において、この検出された不正トラヒック条件を満たすパケットの送信元IPアドレスを不正アドレス範囲として特定し、この不正アドレス範囲であり、かつ、容疑シグネチャに合致するという条件を不正シグネチャとする。そして、ゲート装置2001及び通信装置2002〜2006は、ステップS3033においてこの不正シグネチャをフィルタ2021に登録する。これにより、以後、図4に示す帯域制御モデルと図5に示すフィルタ2021の分類アルゴリズムに従って不正シグネチャで識別される攻撃パケットの伝送帯域はさらに制限される。すなわち、攻撃パケットは不正クラス2024に分類され、正規利用者からのパケットである正規パケットのみが攻撃容疑パケットとして容疑クラス2026に分類される。
【0035】
以上説明した初期の伝送帯域制限を実施することにより、早期にネットワークの伝送帯域の溢れを防いだ後、攻撃容疑パケットの入力トラヒックに応じて、伝送帯域制限値の調整を実施する処理手順を説明する。図10は伝送帯域制限調整値の算出の例、図11はゲート装置2001及び通信装置2002〜2006の伝送帯域制限値の調整の動作を示すフローチャートである。
【0036】
図10において、図7に示す初期の伝送帯域制限後、端末装置2007から2Mbps、端末装置2008から2Mbpsの攻撃パケットが送信されており、また、端末装置2009から600kbps、端末装置2010からは100kbpsの攻撃容疑パケットが送信されている。
【0037】
通信装置2004は、端末装置2007から入力される攻撃パケットを不正クラス2024に分類しており、当該通信装置2004に入力される全攻撃容疑トラヒックは端末装置2009から受信される600kbpsである。これは、初期の伝送帯域制限の手順で受信した伝送帯域制限値Ss(2,1,1)=400kbpsより大きいため、下流の通信装置2002には、攻撃容疑トラヒックを400kbpsに帯域制限して出力している。通信装置2002は、上流の通信装置2004から入力される攻撃容疑トラヒックの伝送帯域が400kbpsであり、初期の伝送帯域制限の手順で受信した伝送帯域制限値Ss(1,1,1)=400kbps以下であるため、下流のゲート装置2001には400kbpsの攻撃容疑トラヒックを出力している。
【0038】
一方、通信装置2005は、端末装置2008から入力される攻撃パケットを不正クラス2024に分類しているため、下流の通信装置2003に出力している攻撃容疑トラヒックは0kbpsである。また、通信装置2006に入力される攻撃容疑トラヒックは、端末装置2010から受信される100kbpsである。これは初期の伝送帯域制限の手順で受信した伝送帯域制限値Ss(2,2,2)=200kbps以下であるため、下流の通信装置2003には、そのまま100kbpsの攻撃容疑トラヒックを出力している。よって、通信装置2003は、上流の通信装置2005、2006から入力される攻撃容疑トラヒックの伝送帯域の合計が100kbpsと、初期の伝送帯域制限の手順で受信した伝送帯域制限値Ss(1,1,2)=400kbps以下であるため、下流のゲート装置2001には100kbpsの攻撃容疑トラヒックを出力している。
【0039】
図11のステップS3041において、ゲート装置2001は、初期伝送帯域制限実施から一定時間後、全上流の通信装置2002、2003に当該ゲート装置2001に入力される攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる。すると、ステップS3051において、通信装置2002、2003は、平均入力伝送帯域の問合せを受信する。そして、ステップS3052において、通信装置2002、2003は、自身の攻撃容疑トラヒックの平均入力伝送帯域値をゲート装置2001に通知する。
【0040】
次に、ステップS3042においてゲート装置2001は、通信装置2002,2003から攻撃容疑トラヒックの平均入力伝送帯域値を受信する。すると、ステップS3043において、ゲート装置2001は、受信した平均入力伝送帯域値を基に算出した攻撃容疑パケットの伝送帯域制限調整値を含んだ伝送帯域制限調整指示を、全上流の通信装置2002、2003に送信する。ここで、伝送帯域制限値の算出方法を説明する。なお、本明細書においては、ゲート装置あるいは通信装置を識別するための添え字を持つ
【数23】
【数24】
【0041】
図10の送帯域制限調整値の算出の例を用いて説明する。ゲート装置2001の1番目の1つ上流の通信装置2002からゲート装置2001に入力される攻撃容疑トラヒックの平均入力伝送帯域値B(1,1,1)は400kbps、2番目の1つ上流の通信装置2003からゲート装置2001に入力される攻撃容疑トラヒックの平均入力伝送帯域値B(1,1,2)は100kbpsである。よって、(数24)の右辺の分母は、全上流の通信装置からの平均入力伝送帯域値の合計を示していることより、B(1,1,1)+B(1,1,2)=500kbpsと算出される。また、伝送帯域制限調整値の初期値Ss’(0,1)=Ss(0,1)であるため、図7の例より、Ss’(0,1)は800kbpsである。従って、1番目の1つ上流の通信装置2002の攻撃容疑トラヒックの伝送帯域制限調整値Ss’(1,1,1)は、B(1,1,1)=400kbpsを分母500kbpsで除算し、伝送帯域制限調整値の初期値Ss’(0,1)=800kbpsを乗算した640kbpsとなる。一方、2番目の1つ上流の通信装置2003の攻撃容疑トラヒックの伝送帯域制限調整値Ss’(1,1,2)は、B(1,1,2)=100kbpsを分母500kbpsで除算し、伝送帯域制限調整値の初期値Ss’(0,1)=800kbpsを乗算した160kbpsとなる。
【0042】
そして、図11のステップS3053において、通信装置2002、2003は、ゲート装置2001から伝送帯域制限調整指示を受信する。すると、ステップS3054に進み、通信装置2002、2003は、容疑キュー2027の伝送帯域制限値を受信した伝送帯域制限調整指示に含まれる伝送帯域制限調整値に変更する。これにより、以後、図4に示す帯域制御モデルと図5に示すフィルタ2021の分類アルゴリズムに従って容疑シグネチャに合致する攻撃容疑パケットの伝送帯域は伝送帯域制限調整値に制限される。
【0043】
次に、図11のステップ3055へ進み、通信装置2002はその上流にある通信装置2004に当該通信装置2002に入力される攻撃容疑トラヒックの平均入力伝送帯域を、通信装置2003はその上流にある通信装置2005及び2006に当該通信装置2003に入力される攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる。通信装置2004〜2006は、ステップS3061において、平均入力伝送帯域の問合せを受信する。するとステップS3062において、通信装置2004は、通信装置2002に、通信装置2005、2006は、通信装置2003に自身の攻撃容疑トラヒックの平均入力伝送帯域値を通知する。
【0044】
続いて、ステップS3056において、通信装置2002、2003は、通信装置2004〜2006から受信した平均入力伝送帯域値を受信する。すると、ステップS3057において、通信装置2002、2003は、受信した平均入力伝送帯域値を基に算出した攻撃容疑パケットの伝送帯域制限調整値を含んだ伝送帯域制限調整指示を、全上流の通信装置、すなわち、通信装置2002はその上流にある通信装置2004に、通信装置2003はその上流にある通信装置2005及び2006に送信する。このときの算出方法は、ゲート装置2001のステップS3043と同様である。
【0045】
図10の送帯域制限調整の算出の例を用いて説明する。通信装置2002の1番目の1つ上流の通信装置2004の平均入力伝送帯域値B(2,1,1)は400kbpsである。よって、(数24)の右辺の分母は、全上流の通信装置からの平均入力伝送帯域値の合計を示していることより、B(2,1,1)と同値になる。また、通信装置2002の伝送帯域制限調整値の初期値Ss’(1,1)=Ss’(1,1,1)であるため、ステップS3043より、Ss’(1,1)は640kbpsである。よって、通信装置2002の1番目の1つ上流の通信装置2004の攻撃容疑トラヒックの伝送帯域制限調整値Ss’(2,1,1)は、B(2,1,1)=400kbpsを分母400kbpsで除算し、伝送帯域制限調整値の初期値Ss’(1,1)=640kbpsを乗算した640kbpsとなる。
【0046】
一方、通信装置2003の1番目の1つ上流の通信装置2005から通信装置2003に入力される攻撃容疑トラヒックの平均入力伝送帯域値B(2,2,1)は0kbps、2番目の1つ上流の通信装置2006から通信装置2003に入力される攻撃容疑トラヒックの平均入力伝送帯域値B(2,2,2)は100kbpsである。よって、(数24)の右辺の分母は、全上流の通信装置からの平均入力伝送帯域値の合計を示していることより、B(2,2,1)+B(2,2,2)=100kbpsと算出される。また、通信装置2003の伝送帯域制限調整値の初期値Ss’(1,2)=Ss’(1,1,2)であるため、ステップS3043より、Ss’(1,2)は160kbpsである。従って、通信装置2005の攻撃容疑トラヒックの伝送帯域制限調整値Ss’(2,2,1)は、B(2,2,1)=0kbpsを分母100kbpsで除算し、伝送帯域制限調整値の初期値Ss’(1,2)=160kbpsを乗算した0kbpsとなり、通信装置2006の攻撃容疑トラヒックの伝送帯域制限調整値Ss’(2,2,2)は、B(2,2,2)=100kbpsを分母100kbpsで除算し、伝送帯域制限調整値の初期値Ss’(1,2)=160kbpsを乗算した160kbpsとなる。
【0047】
そして、図11のステップ3063において、通信装置2004〜2006は、通信装置2002、2003から伝送帯域制限調整指示を受信する。ステップS3064に進み、通信装置2004〜2006は、容疑キュー2027の伝送帯域制限値を受信した伝送帯域制限指示に含まれる伝送帯域制限調整値に変更する。これにより、以後、図4に示す帯域制御モデルと図5に示すフィルタ2021の分類アルゴリズムに従って容疑シグネチャに合致する攻撃容疑パケットの伝送帯域は伝送帯域制限調整値に制限される。
【0048】
一方、ステップS3044において、ゲート装置2001は、上記の伝送帯域制限調整から一定時間後、あるいは、受信する攻撃容疑パケットの伝送帯域が伝送帯域調整前と調整後である一定の割合変化した場合などのトリガを検出すると、再び伝送帯域調整を実行するステップS3041から伝送帯域制限調整値の調整を繰り返す。
【0049】
ところで、以上説明した動作は、以下に記述するアクティブネットワーク上で実行される。
【0050】
以下、図面を参照しこの発明の一実施形態を実行できるアクティブネットワークについて説明する。
図12は、本実施形態が前提とするネットワークの構成である。図12に示すように、通信ネットワークは、複数の通信装置7001によって接続されている。そして、通信装置7001には1台または複数台のユーザのコンピュータ7000を接続することができるようになっている。ユーザのコンピュータ7000相互間で通信データのやりとりを行う際には、送信元のユーザのコンピュータ7000が送信したパケットを通信ネットワーク上の各ノードに位置する通信装置7001が順次転送することにより、そのパケットを宛先のユーザのコンピュータ7000に届けるようにする。
【0051】
次に、通信装置の構成について説明する。図13は、通信装置7001の内部の構成を示すブロック図である。図13に示すように、通信装置7001には通信線7024a、7024b、7024c、7024dが接続されており、通信装置7001はこれらの通信線を介して隣接する他の通信装置との間でパケットを交換することができるようになっている。また、通信装置7001には、上記の各通信線7024a〜7024dに対応したインタフェース部7023a〜7023dと、パケットを転送する処理を行うための転送処理部7021と、パケットの転送の際の転送先の情報を記憶する転送先テーブル7022と、アクティブパケットに対する処理を行うためのアクティブネットワーク実行環境(Active Network Execution Environment)7010とが設けられている。なお、アクティブネットワーク実行環境7010は、内部に、アクティブコード(プログラム)を実行するためのコード実行部7011と、アクティブコードを記憶しておくためのコード記憶部7012とを備えている。なお、ここでアクティブコードとは、アクティブネットワークにおいてパケットに対する作用を行うコンピュータプログラムのコードである。
【0052】
ここで、図13を参照しながら、この通信装置7001の動作例の概要を説明する。隣接する他の通信装置から通信線7024dを介してパケットが到着すると、インタフェース部7023dがそのパケットを受信し転送処理部7021に渡す。転送処理部7021は、渡されたパケットのヘッダ部分に格納されている送信元(source)アドレスと宛先(destination)アドレスとを読み取り、さらにそれらのアドレスをキーとして転送先テーブル記憶部7022に記憶されている転送先テーブルを参照することによって、そのパケットにどう対処するかを決定する。
【0053】
パケットへの対処は大きく2通りに分けられる。そのパケットに対してアクティブコードを適用する場合と、そのパケットをそのまま他の通信装置に転送する場合とである。
転送先テーブルを参照した結果、そのパケットに対してアクティブコードを適用すべきものである場合には、転送処理部7021は、そのパケットをアクティブネットワーク実行環境7010に渡す。アクティブネットワーク実行環境7010においては、コード実行部7011がそのパケットを受け取り、そのパケットに対して適用すべきアクティブコードをコード記憶部7012から読み出して実行する。なお、コード実行部7011は、アクティブコードを実行した結果、必要な場合には処理対象となったパケットを再び転送処理部7021に渡して他の通信装置に対して転送することもある。
転送先テーブルを参照した結果、そのパケットにアクティブコードを適用せずそのまま他の転送装置に転送するべきものである場合には、転送処理部7021は、適切な転送先に対応したインタフェース部(7023aや7023bや7023cなど)に渡し、そのインタフェース部が通信線(7024aや7024bや7024cなど)を介してパケットを他の通信装置に転送する。
【0054】
なお、ここでは通信線7024dを介して他の通信装置からパケットが到着した場合を例として説明したが、他の通信線を介してパケットが到着した場合の処理も同様である。
【0055】
次に、通信装置7001内の転送処理部7021がいかにしてパケットに対する処置(アクティブコードを適用するか、単純に他の通信装置に転送するか)を決定するかを具体的に説明する。
【0056】
本実施形態が基礎とするフレームワークでは、アクティブネットワーク実行環境はパケットの中において指定されているIPアドレスに基づいて起動される。ここで、全ての(グローバル)IPアドレスの集合をIと表わすものとする。また、送信元IPアドレスがsであり宛先IPアドレスがdであるようなパケットを(s,d)と表わすものとする。また、通信装置のアクティブネットワーク実行環境に格納されているすべてのアクティブコードはそれぞれ特定のユーザに属するものとし、ある特定のユーザの所有するIPアドレスの集合をOと表わすものとする。
【0057】
本フレームワークでは、上記特定のユーザに属する個々のアクティブコードは、次に示す式による集合Aで表されるパケットであって、かつ当該アクティブネットワーク実行環境を備えた通信装置(ノード)によって受信されたパケットに対してアクセスする権限を持つ。すなわち、
A={(s,d)∈[(O×I)∪(I×O)]|s≠d}
である。つまり、この式が意味するところの概略は、特定のユーザに属するアクティブコードは、当該ユーザが所有する全てのIPアドレスのいずれかを送信元または宛先のアドレスとするようなパケットに対してアクセス権を有するということである。
【0058】
当該ユーザに属するn個のアクティブコードがある通信装置(ノード)に格納されているとき、i番目(1≦i≦n)のアクティブコードは、集合C(i)(C(i)⊆A)に属するパケットをキャプチャーして処理することをアクティブネットワーク実行環境に対して予め要求しておく。つまり、当該ユーザに関して、アクティブネットワーク実行環境は、c(1)∪c(2)∪・・・・・・∪c(n)なる和集合の要素であるパケット(s,d)によって起動されるものであり、このようなパケットを「アクティブパケット」と呼ぶことができる。
【0059】
図14は、図13に示した転送先テーブル記憶部7022に記憶されている転送先テーブルの一例を示す概略図である。上記のフレームワークを実現するために必要な情報は、このような転送先テーブルに格納することが可能である。
【0060】
図14に示すように、転送先テーブルは、タイプ(Type)と宛先アドレス(Destination)と送信元アドレス(Source)と転送先(Send to)の各項目を含んでいる。タイプの項目は、テーブルのエントリーのタイプを表わすものであり、「アクティブ(Active)」あるいは「通常(Regular)」のいずれかの値をとる。宛先アドレスおよび送信元アドレスの項目は、転送対象のパケットの宛先IPアドレスおよび送信元IPアドレスにそれぞれ対応するものである。転送先の項目はは、宛先アドレスと送信元アドレスの組み合せがマッチしたパケットに関して、適用すべきアクティブコードの識別情報あるいは転送先の通信装置のIPアドレスを表わすものである。
【0061】
タイプの値が「アクティブ」であるエントリーは、対象のパケットに適用するアクティブコードを指定するものであり、その転送先の項目にはアクティブコードを識別する情報が書かれている。
タイプの値が「通常」であるエントリーは、対象のパケットの転送先の通信装置のアドレスを指定するものであり、その転送先の項目には転送先の通信装置のIPアドレスが書かれている。
【0062】
図14に示す転送先テーブルの例において、第1のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「1.2.3.4」であり、送信元アドレスが「Any(何でもよい)」であり、転送先が「アクティブコードA」となっている。これは、送信元アドレスがいかなるアドレスであっても、宛先アドレスが「1.2.3.4」にマッチする場合には、該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードAが実行されることを表わしている。
また、第2のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「10.50.0.0」であり、送信元アドレスが「11.12.13.14」であり、転送先が「アクティブコードB」となっている。これは、宛先アドレスと送信元アドレスの両方がそれぞれ上記の値にマッチした場合には、該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードBが実行されることを表わしている。
また、第3のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「Any(何でもよい)」であり、送信元アドレスが「157.2.3.0」であり、転送先が「アクティブコードC」となっている。これは、宛先アドレスがいかなるアドレスであっても、送信元アドレスが「157.2.3.0」にマッチする場合には該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードCが実行されることを表している。
【0063】
なお、図14に示すように、転送先テーブルにおいては、タイプが「アクティブ」であるエントリーのほうが、タイプが「通常」であるエントリーよりも上に存在している。そして、タイプが「アクティブ」であるエントリーのほうが、タイプが「通常」であるエントリーよりも優先的に適用される。また、各エントリーは、通信装置へ到着したパケットのみに対して適用され、転送のために送出されるパケットに対しては適用されない。
【0064】
以上説明した通信装置の構成をまとめる。
図13に示したインタフェース部は、通信線毎に設けられており、当該通信線から到着するパケットを受信するとともに当該通信線に対してパケットを送出する処理を行う。
また、転送先テーブル記憶部は、パケットの送信元アドレスまたは宛先アドレスまたはそれら両方のアドレスのパターンと、該パターンに対応するプログラム(アクティブコード)の情報あるいは該パターンに対応する転送先アドレスの情報とが登録された転送先テーブルを記憶する。
また、アクティブネットワーク実行環境は、前記プログラムを予め記憶しているとともに、このプログラムを実行する。
また、転送処理部は、通信線から到着した受信パケットを前記インタフェース部から渡された際に、当該受信パケットの送信元アドレスまたは宛先アドレスに基づいて前記転送先テーブルを参照し、前記転送先テーブルに当該受信パケットのアドレスのパターンに対応する転送先アドレスの情報が登録されていた場合には当該受信パケットを所定の転送先アドレスに向けて送出するように当該転送先アドレスに対応したインタフェース部に渡すとともに、前記転送先テーブルに当該受信パケットのアドレスのパターンに対応するプログラムの情報が登録されていた場合には前記アクティブネットワーク実行環境部において当該プログラムを起動させるとともに当該プログラムに当該受信パケットを渡す。
【0065】
次に、本実施形態におけるアクティブコードのセキュリティに関するモデルについて説明する。このセキュリティのモデルは、各々のアクティブコードが、アクティブコードの所有者に関わるパケットのみに対して作用することを保証するためのものである。そのために、このセキュリティのモデルは、公開鍵のインフラストラクチャの存在を前提として、それを利用することとする。
【0066】
図15は、上記のセキュリティモデルとそのモデルにおける処理の手順を示す概略図である。図15において、符号7051はユーザAのユーザ端末装置、7061は認証局(Certification Authority )装置である。この認証局の機能は、公の機関によって提供されるものであっても良いし、あるいはISP(Internet Service Provider,インターネット接続サービス提供者)などによって提供されるものであっても良い。
なお、図15に示す例では、ユーザ端末装置7051のIPアドレスは「1.2.3.4」である。以下では、ユーザAが、アクティブコードAを通信装置7001に登録するための処理の手順を説明する。なお、以下において、ユーザAはアクティブコードAの開発者であっても良いが、その必然性はなく、他の開発者が開発したアクティブコードAをユーザAが入手し、それを通信装置7001に登録するものでも良い。
【0067】
まず(1)で示すように、ユーザAのユーザ端末装置7051は、周知技術を用いて鍵のペアすなわち公開鍵と秘密鍵とを生成する。
そして(2)で示すように、ユーザ端末装置7051は、上で生成された公開鍵を認証局装置7061に登録する。このとき、認証局装置7061は、ユーザ端末装置7051のIPアドレスを検証する。この検証が正しく行なわれると、公開鍵そのものと、ユーザAを識別するための情報と、ユーザ端末装置7051のIPアドレス「1.2.3.4」が認証局装置7061に記憶される。
【0068】
次に(3)で示すように、ユーザ端末装置7051は、上で生成された秘密鍵を用いてアクティブコードAに電子署名する処理を行う。
そして(4)で示すように、ユーザ端末装置7051は、秘密鍵で署名されたアクティブコードAを通信装置7001に登録する処理を行う。
【0069】
これを受けて通信装置7001は、(5)で示すように、アクティブコードAの登録を行ったユーザAの電子証明書を認証局装置7061から取得する。この電子証明書には、ユーザAを識別する情報と、そのIPアドレス「1.2.3.4」と、上の(2)において登録された公開鍵そのものとが含まれている。
そして(6)で示すように、通信装置7001は、上記の電子証明書から取り出したユーザAの公開鍵を用いて、上の(4)において登録されたアクティブコードAの電子署名を検証する。そして、これが正しく検証された場合には、通信装置7001は、アクティブコードAをアクティブネットワーク実行環境に導入する処理を行う。また、これに応じて、転送先テーブルに必要なエントリーが追加される。
【0070】
なお、この(1)および(2)の処理が行われて一旦ユーザAの公開鍵が認証局装置7061に登録されると、ユーザ端末装置7051はその公開鍵に対応する秘密鍵を用いてアクティブモジュールをいくつでも通信装置7001に登録することも可能である。
【0071】
つまり、通信装置7001は登録部(図示せず)を備えており、この登録部は、ユーザの端末装置から当該ユーザの秘密鍵で電子署名されたプログラムを受信し、当該ユーザの電子証明書を認証局装置から受信し、受信した電子証明書に含まれる当該ユーザの公開鍵を用いて前記電子署名されたプログラムの検証を行い、この検証が成功した場合には当該プログラムに対応するアドレスのパターンと当該プログラムの情報とを前記転送先テーブルに登録し、この検証が失敗した場合には当該プログラムの情報の前記転送先テーブルへの登録は行わないようにするものである。
【0072】
なお、上で説明した通信装置へのアクティブコードの登録の手順が有効に機能するためには、次の2点が前提となる。
第1の前提として、ユーザがどの通信装置(ノード)にアクティブコードを登録すれば良いかは事前にわかっている。あるいは、どの通信装置(ノード)にアクティブコードを登録すればよいかがわかるためのディレクトリサービスが提供されている。
第2の前提として、通信装置(ノード)は、目的の認証局の公開鍵を事前にオフラインで取得しているか、他の認証局から取得するか、あるいは他の何らかの手段で取得できる。
【0073】
次に、矛盾の解消のための制御について説明する。
ある通信装置(ノード)において、n個のアクティブコードが登録されており、i番目(1≦i≦n)とj番目(1≦j≦n)のアクティブコードが、それぞれ集合C(i)(C(i)⊆A)と集合C(j)(C(j)⊆A)に属するパケットに対するものであると定義されているとき、集合(c(i)∩c(j))が空集合ではないようなiおよびjの組み合せ(但しi≠j)が存在する場合があり得る。つまり、あるパケットがi番目のアクティブコードにもj番目のアクティブコードにも適用されるような定義が行われている場合である。このような矛盾は、次の2通りのシナリオのいずれかによって解消することとする。
【0074】
第1の矛盾の解消のシナリオは、パケット(s,d)に関して、
(s∈O(k)Λd∈O(l))Λ(k≠l)
であるために、
(s,d)∈c(i)∩c(j)
となる場合に関するものである。但し、O(k)およびO(l)は、それぞれユーザkおよびlによって所有されるIPアドレスの集合である。
つまり、あるパケットに関して、送信元のユーザ用のアクティブコードと宛先のユーザ用のアクティブコードとの両方が通信装置に登録されており、そのような通信装置にこのパケット(s,d)が到着した場合である。このような場合には、宛先のユーザのアクティブコードを優先的に適用することが望ましいと考えられる。
【0075】
つまり、転送先テーブルに登録されているパターンに、送信元アドレスのみが指定されていて宛先アドレスが何でもよいとされている第1のエントリーと、宛先アドレスのみが指定されていて送信元アドレスが何でもよいとされている第2のエントリーとが含まれており、受信パケットがこれら第1のエントリーと第2のエントリーとの両方にマッチしたときには、第1のエントリーよりも第2のエントリーを優先させて、当該第2のエントリーのパターンに対応するプログラムを起動するようにする。
【0076】
このように、送信元のユーザのアクティブコードよりも宛先のユーザのアクティブコードを優先させることは、アクティブネットワークの機能を用いてDDoS(分散型DoS,Distributed Denial of Service )攻撃を防御するメカニズムを構築する場合に特に重要となる。そのようにすることによって、宛先のユーザつまり被攻撃者となり得る者のアクティブコードが、攻撃者となる可能性があるもののアクティブコードよりも優先されるためである。
【0077】
第2の矛盾の解消のシナリオは、あるパケット(s,d)に関して適用されるべき2つ以上のアクティブコードが同一のユーザによって登録されている場合に関するものである。このような場合には、該当するアクティブコードのうちの最も古く登録されたものが、他のものよりも優先的に適用されるようにすることが望ましいと考えられる。こうすることにより、ユーザが新しいアクティブコードを登録しようとする際には、新しいアクティブコードを有効にするために事前に古いアクティブコードを削除することが保証されるからである。
【0078】
次に、これまでに述べたようなアクティブネットワークのノードとして機能する通信装置のインプリメンテーションの例について説明する。図16は、Linux上のJava(登録商標)仮想マシン(JVM)を用いてアクティブパケットの処理を行う通信装置を実現した場合の概略図である。
【0079】
図16に示す例では、専用のIPスタックを処理(process)の一部として構築している。これによって、図14に示したような転送先テーブルを実現し、実行環境(アクティブネットワーク実行環境)からこの転送先テーブルにエントリーの追加や削除を行えるようにしている。また、これに伴い、カーネル(kernel)内のIPスタックは不要となるため、カーネルにおけるルーティングを不活性化している。そして、到着パケットのコピーがデータリンク部分から作成され、そのパケットがライブラリlibpcapを通してJava(登録商標)仮想マシンで補足できるようにしている。
【0080】
処理の一部として構築した専用のIPスタックは、アクティブパケット、つまり転送先テーブル上での所定の定義にマッチするIPアドレス(宛先IPアドレス、送信元IPアドレス、あるいはそれらの組み合せ)を有するパケットは、実行環境上で起動されるアクティブコードに対して渡される。一方、アクティブパケット以外の通常のパケットは、カーネルにおけるIPスタックと同様の方法で隣接する通信装置等へ向けた転送が行われる。アクティブパケットであれ通常パケットであれ、この通信装置から送出されるすべてのパケットは、ライブラリlibnetを通して送出される。こうすることにより、各々処理されたパケットのヘッダに記録された送信元アドレスは、元々の送信元アドレスのままの状態で、ネットワークに送出されることとなる。
【0081】
また、標準のJava(登録商標)のAPI(アプリケーションプログラムインタフェース)である「java.security 」を用いることによってセキュリティモデルをインプリメンテーションすることが可能である。この標準APIは、セキュリティモデルを構築するために必要な機能のほとんどを提供している。また、証明書のための形式としては「X.509」証明書形式を用いることが可能であり、アクティブコードの所有者のIPアドレスを「X.509」の識別名(DN, distinguished name)の一部に含めることにより、本実施形態のセキュリティモデルを実現することができる。
【0082】
なお、言うまでもなく、上記インプリメンテーションではコンピュータシステムを用いることによってアクティブネットワーク実行環境を備えた通信装置を構築している。そして、上述した一連の処理、すなわち到着パケットの複製の作成とその捕捉や、転送先テーブルを参照しながらのアクティブパケットおよび通常パケットの転送の処理や、アクティブネットワーク実行環境上でのアクティブコードの起動とその処理の実行や、処理されたパケットのネットワークへの送出などの各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。
【0083】
なお、上述した各コンピュータプログラムは、コンピュータ読取可能な記録媒体に記録されており、通信装置等に搭載されたCPU(中央処理装置)がこの記録媒体からコンピュータプログラムを読み取って、攻撃防御あるいはサービスモジュール提供等のための各処理を実行する。また、「コンピュータ読み取り可能な記録媒体」とは、磁気ディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0084】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
【0085】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0086】
また、下流のゲート装置または通信装置から上流の通信装置へのデータの送信は、アクティブネットワークの使用に限定するものではなく、任意の通信プロトコルの使用が可能である。
【0087】
また、ゲート装置及び通信装置はゲートウェイやルータに限られるものではなく、ブリッジ、イーサネット(登録商標)、インタフェース変換装置など、IPアドレスを持つ任意の通信ノードであっても良い。
【0088】
以上、図面を参照してこの発明の実施形態を詳述してきたが、具体的な構成はこれらの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0089】
【発明の効果】
以上説明したように、DDoS攻撃の被攻撃者の通信装置がDDoS攻撃の攻撃の容疑トラヒックを検出すると、初期の伝送帯域制御により、その上流の各通信装置で攻撃容疑トラヒックの伝送帯域を制限することが可能になるため、早期にネットワークの輻輳を改善することが可能となり、DDoS被攻撃者のサービスの停止を抑止することが可能になるとともに、正規利用者からの通信パケットの割合を増加させることが可能になる。
【0090】
また、初期の伝送帯域制御による攻撃容疑パケットの帯域制限後は、各通信装置の攻撃容疑パケットの入力伝送帯域に応じて伝送帯域制限値が調整することが可能になるため、伝送帯域をネットワーク上の各通信装置に有効に分配することが可能となり、攻撃容疑パケットとして分類された正規パケットの伝送帯域を増加させ、正規ユーザのサービス性の低下を段階的に改善することが可能になる。
【図面の簡単な説明】
【図1】本発明の実施の形態を適用できるネットワークの構成図である。
【図2】同実施の形態による攻撃容疑検出条件の設定の例である。
【図3】同実施の形態による不正トラヒック検出条件の設定の例である。
【図4】同実施の形態によるゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルである。
【図5】同実施の形態によるフィルタ2021における分類アルゴリズムである。
【図6】同実施の形態によるゲート装置2001の攻撃容疑パケット検出時の動作を示すフローチャートである。
【図7】同実施の形態による図1の構成における伝送帯域制限値の算出の例である。
【図8】同実施の形態による通信装置2002、2003の伝送帯域制限指示受信時の動作を示すフローチャートである。
【図9】同実施の形態によるゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を示すフローチャートである。
【図10】同実施の形態による図1の構成における伝送帯域制限調整値の算出の例である。
【図11】同実施の形態によるゲート装置2001及び通信装置2002〜2006の伝送帯域制限値の調整の動作を示すフローチャートである。
【図12】同実施の形態を実行できるアクティブネットワークが前提とするネットワークの構成である。
【図13】同実施の形態を実行できるアクティブネットワークによる通信装置内部の構成を示すブロック図である。
【図14】同実施の形態を実行できるアクティブネットワークによる転送先テーブル記憶部に記憶されている転送先テーブルの一例を示す概略図である。
【図15】同実施の形態を実行できるアクティブネットワークによるセキュリティモデルとそのモデルにおける処理の手順を示す概略図である。
【図16】同実施の形態を実行できるアクティブネットワークの通信装置をLinux上のJava(登録商標)仮想マシン(JVM)を用いてアクティブパケットの処理を行うように実現した場合の概略図である。
【符号の説明】
2000…サーバ
2001…ゲート装置
2002〜2006…通信装置
2007〜2010…端末装置
2021…フィルタ
2022…正規クラス
2023…正規キュー
2024…不正クラス
2025…不正キュー
2026…容疑クラス
2027…容疑キュー
7000…ユーザのコンピュータ
7001…通信装置
7010…アクティブネットワーク実行環境
7011…コード実行部
7012…コード記憶部
7021…転送処理部
7022…転送先テーブル記憶部
7023a、7023b…インタフェース部
7024a、7024b…通信線
7051…ユーザ端末装置
7061…認証局装置[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a method of preventing a denial-of-service attack, an apparatus thereof, and a computer program thereof for protecting a device connected to a network from an attack via the network.
[0002]
[Prior art]
Conventionally, network protocols such as TCP / IP (Transmission control protocol / internet protocol) are open and designed to be used in groups trusted by each other. For this reason, in a computer operating system, a large amount of communication traffic (data, etc.) is sent to the attack target server, thereby consuming network transmission bandwidth and server resources to prevent the use of legitimate users. It is not considered to prevent denial of service attacks (hereinafter referred to as “DoS (Denial of Service) attacks”). Although the defense method against such a DoS attack is increasing, an effective method has been developed as a defense method against a “DDoS (Distributed Denial of Service) attack” in which a DoS attack is performed simultaneously in cooperation with a plurality of locations. Not.
[0003]
As a method of defense against this DDoS attack, there is a CenterTrack of UUNET. This is a technique for adding a diagnostic function to an Internet router and tracking the source of a DDoS attack.
[0004]
As a technique for restricting attack traffic at an upstream node closer to the attack source than the node that detected the DDoS attack, a method for preventing a distributed denial-of-service attack filed by the inventors of the present application (Japanese Patent Application No. 2001-2001). 274016), AT & T company paper (R. Mahajan, SM Bellovin, S. Floyd, J. Ioannidis, V. Paxson and S. Schenker: “Controlling high bandwidth index”. IDIP (Intruder Detection and Isolation Protocol) (D. Schackenberg, K. Djahandari and D. Stern) : "Infrastructure for intrusion detection and response", Proceedings of the DARPA Information Survivability Conference and Exposition (DISCEX), South Carolina (2000)), and the like. The AT & T paper and IDIP are methods and protocols for transmitting an attack detection event to an upstream node in the attack path and limiting the transmission bandwidth at the upstream node. In the distributed denial of service attack prevention method filed by the inventors of the present application, the mobile packet filtering program installed in the router creates a copy of its own program, moves the copy to the upstream router, The mobile packet filtering program that has moved to each upstream router is a technique that prevents all traffic sent from the host of the DDoS attacker to the server from passing through.
[0005]
[Problems to be solved by the invention]
Center Track is a technology that helps victims who have been attacked to identify attackers, but cannot protect against attacks when they are actually under attack. In addition, the attack itself cannot be stopped without contacting the administrator of the computer that is the attack source of the distributed DoS distributed in multiple locations or the network to which the computer is connected. Has the problem that it takes hours or days to stop the attack.
[0006]
In addition, in the distributed denial-of-service prevention method, AT & T paper and IDIP filed by the same inventors of this application, the packet identified as the attack packet is not sent to the next node, but all are discarded. Mae. Therefore, it is possible to prevent the primary damage that the service is stopped due to the target server being down or the router device being overloaded, but there is no way to identify the packet from the legitimate user as the attack packet. There is a possibility that a regular packet from a user may be discarded as an attack packet, causing secondary damage such as a decrease in the usability of the regular user.
[0007]
The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a distributed denial-of-service attack prevention method and apparatus that can prevent a DDoS attack while reducing damage that reduces serviceability to authorized users. As well as providing a program.
[0008]
[Means for Solving the Problems]
The present invention has been made to solve the above-mentioned problems. The invention according to
[0009]
The invention according to
[Expression 11]
[0010]
A third aspect of the present invention is the distributed denial of service attack prevention method according to the first or second aspect, wherein the transmission band limit adjustment value is a number of hops from the gate device by the gate device or the communication device. Is the depth of the hierarchy indicating whether or not the packet exists, i is the number identifying the gate device or communication device at the same depth d, and the suspected attack packet of the gate device or communication device identified by i at the depth d The transmission band adjustment value is Ss ′ (d, i), the gate device identified by i at the depth d or the number of communication devices one upstream of the communication device is nu (d, i), and the depth is d. K is a number for identifying a communication device upstream of the gate device or communication device identified by i, and k is one upstream of the gate device or communication device identified by i at the depth d. Notified from the communication device identified by The attack input of the communication device identified by k that is one upstream of the gate device or communication device that is identified by i at the depth d and B (d + 1, i, k) and the average input transmission bandwidth value of the traffic that is suspected of attack When the traffic transmission band limit adjustment value is Ss ′ (d + 1, i, k),
[Expression 12]
[0011]
The invention according to claim 4 checks the input communication traffic in a gate device inserted between a network formed by connecting a plurality of communication devices in a mesh pattern and a computer and LAN that are to be protected. Based on the traffic monitoring means for detecting the suspected traffic of the distributed denial of service attack, the transmission bandwidth limit value of the suspected traffic in the gate device, and the number of communication devices one upstream of the gate device A bandwidth limit instruction means for calculating a transmission bandwidth limit value of the suspected attack traffic detected by the traffic monitoring means for notifying the upstream communication apparatus and transmitting it to the upstream communication apparatus; and the attack to the upstream communication apparatus Transmission band inquiry means for inquiring an average input transmission band of suspected traffic, and said attack suspect from the upstream communication device Transmission band value receiving means for receiving the average input transmission band value of the traffic, transmission band limit adjustment value of the attack suspected traffic in the gate device, and average input transmission band of the attack suspected traffic received from the upstream communication device Band limiting adjustment means for calculating a transmission band limit adjustment value of the suspected traffic to be notified to the upstream communication device based on the value and transmitting the calculated value to the upstream communication device. It is.
[0012]
The invention according to claim 5 is the gate device according to claim 4, wherein the bandwidth limitation instructing means indicates the transmission bandwidth limit value at the hop number of the gate device or the communication device from the gate device. The transmission band of the suspected attack packet of the gate device or communication device identified by i, the number identifying the gate device or communication device at the same depth d, i, and i at the depth d The limit value is Ss (d, i), the gate device identified by i at the depth d or the number of communication devices one upstream of the communication device is identified by nu (d, i) and i at the depth d. K is a number for identifying a communication device that is one upstream of the gate device or communication device to be identified, and k is one upstream of the gate device or communication device that is identified by i at the depth d Transmission band for suspected traffic on communication equipment The limit value Ss (d + 1, i, k) and when,
[Formula 13]
[Expression 14]
[0013]
According to a sixth aspect of the present invention, there is provided a communication device constituting a network node connected to a defense target computer and a gate device that protects the LAN, and transmission bandwidth limitation of attack suspected traffic from a downstream gate device or communication device. A bandwidth control means for receiving a value and limiting the transmission bandwidth of the attack suspected traffic to the transmission bandwidth limit value, the received transmission bandwidth limit value, and the number of communication devices one upstream of the communication device. A bandwidth limit instruction means for calculating the transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device and transmitting it to the upstream communication device, and the attack suspected traffic from the downstream gate device or communication device. An average input transmission band inquiry is received, and an average input transmission band value of the attack suspected traffic in the communication device is A bandwidth notification means for transmitting to a downstream gate device or communication device, and a transmission bandwidth limit adjustment value of attack suspected traffic from the downstream gate device or communication device, and adjusting the transmission bandwidth limit adjustment of the transmission bandwidth of the attack suspected traffic Band control adjustment means for limiting the value, transmission band inquiry means for querying the upstream communication apparatus for an average input transmission band of the attack suspected traffic, and an average input transmission band value of the attack suspected traffic from the upstream communication apparatus. The attack to be notified to the upstream communication device based on the received transmission bandwidth value receiving means, and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device and the received transmission bandwidth limit adjustment value A bandwidth limit adjustment means for calculating a transmission bandwidth limit adjustment value of suspected traffic and transmitting to the upstream communication device; A communication apparatus characterized by obtaining.
[0014]
The invention according to claim 7 is the communication apparatus according to claim 6, wherein the band limitation instruction means indicates the transmission band limitation value at a hop number of the gate apparatus or the communication apparatus from the gate apparatus. The transmission band of the suspected attack packet of the gate device or communication device identified by i, the number identifying the gate device or communication device at the same depth d, i, and i at the depth d The limit value is Ss (d, i), the gate device identified by i at the depth d or the number of communication devices one upstream of the communication device is identified by nu (d, i) and i at the depth d. K is a number for identifying a communication device that is one upstream of the gate device or communication device to be identified, and k is one upstream of the gate device or communication device that is identified by i at the depth d Transmission bandwidth for suspected traffic on communication equipment The limit value Ss (d + 1, i, k) and when,
[Expression 15]
[Expression 16]
[0015]
The invention according to claim 8 is a computer program that is executed on a gate device interposed between a network formed by connecting a plurality of communication devices in a mesh pattern, a computer to be protected, and a LAN. When the input communication traffic is checked and the attack suspected traffic of the distributed denial of service attack is detected, the transmission bandwidth limit value of the attack suspected traffic in the gate device and one upstream of the gate device are present. Based on the number of communication devices, a step of calculating a transmission bandwidth limit value of the attack suspected traffic to be notified to the upstream communication device and transmitting it to the upstream communication device; and the attack suspected traffic to the upstream communication device Transmitting an inquiry about an average input transmission band; and an average input transmission band value of the attack suspected traffic from the upstream communication device The upstream communication device is notified based on the receiving step, the transmission bandwidth limit adjustment value of the attack suspected traffic in the gate device, and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device And a step of calculating a transmission band limit adjustment value of the suspected traffic to be transmitted to the upstream communication device, and causing the computer to execute the distributed denial-of-service attack prevention program.
[0016]
The invention according to
[0017]
A tenth aspect of the present invention is the distributed denial-of-service attack prevention program according to the eighth or ninth aspect, wherein the transmission band limit value is determined by a hop number of the gate device or the communication device from the gate device. The depth of the hierarchy indicating whether it exists, the number identifying the gate device or communication device at the same depth d, i, the attack suspected packet of the gate device or communication device identified by i at the depth d The transmission band limit value is Ss (d, i), the number of communication devices upstream of the gate device or communication device identified by i at depth d is nu (d, i), and i is at depth d. The number for identifying a communication device upstream of the gate device or communication device identified by k is identified by k, and identified by k at the upstream of the gate device or communication device identified by i at the depth d. Alleged communication device attack Ss transmission bandwidth limit Rahikku (d + 1, i, k) and when,
[Expression 17]
[Expression 18]
[0018]
According to an eleventh aspect of the present invention, there is provided a computer program to be executed on a gate device interposed between a network formed by connecting a plurality of communication devices in a mesh pattern, a computer to be protected, and a LAN. A green computer-readable recording medium that checks input communication traffic and detects attack suspected traffic of a distributed denial of service attack, and transmission bandwidth limit value of the suspected attack traffic in the gate device Calculating the transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device based on the number of communication devices upstream of the gate device and transmitting the transmission bandwidth limit value to the upstream communication device; and Sending an inquiry to the upstream communication device about the average input transmission bandwidth of the suspected attack traffic; and the upstream communication device Receiving an average input transmission band value of the attack suspected traffic, a transmission band limit adjustment value of the attack suspected traffic in the gate device, and an average input transmission band of the attack suspected traffic received from the upstream communication device And calculating the transmission bandwidth limit adjustment value of the suspected traffic to be notified to the upstream communication device based on the value, and transmitting to the upstream communication device, and causing the computer to execute each processing of the distributed service inability A recording medium for recording an attack prevention program.
[0019]
According to a twelfth aspect of the present invention, there is provided a computer-readable recording medium storing a computer program executed on a communication device constituting a node of a network to which a computer to be protected and a gate device for protecting the LAN are connected. Receiving a transmission band limit value of attack suspected traffic from a downstream gate device or communication device, limiting the transmission band of the suspected attack traffic to the transmission band limit value, and the received transmission band limit value And calculating a transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device based on the number of communication devices one upstream of the communication device, and transmitting to the upstream communication device; Inquiry about the average input transmission band of the suspected attack traffic from the downstream gate device or communication device Receiving and transmitting an average input transmission bandwidth value of the attack suspected traffic to the downstream gate device or communication device; receiving a transmission band limit adjustment value from the downstream gate device or communication device; and receiving the attack suspected traffic Limiting the transmission bandwidth to the transmission bandwidth limit adjustment value, sending an inquiry to the upstream communication device about the average input transmission bandwidth of the attack suspected traffic, and sending the attack suspected traffic from the upstream communication device. An upstream communication device is notified based on the step of receiving an average input transmission bandwidth value, the received transmission bandwidth restriction adjustment value, and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device. Calculating a transmission band limit adjustment value of the suspected traffic to be transmitted and transmitting it to the upstream communication device A recording medium characterized by recording a distributed denial of service attack prevention program executed by a computer.
[0020]
A thirteenth aspect of the present invention is a recording medium that records the distributed denial of service attack prevention program according to the eleventh or twelfth aspect, wherein the transmission band limit value is a gate device or The depth of the hierarchy indicating the number of hops at which the communication device exists from the gate device is identified by d, the number identifying the gate device or the communication device at the same depth d is i, and i at the depth d is identified by i. The transmission band limit value of the attack suspected packet of the gate device or communication device is Ss (d, i), and the number of communication devices upstream of the gate device or communication device identified by i at the depth d is nu (d , I), a gate device or communication identified by i at a depth d, and a number k for identifying a communication device upstream of the gate device or communication device identified by i at a depth d. One upstream of the device Transmission band limiting value Ss (d + 1, i, k) of the suspicious offensive traffic communication device identified in some k and when,
[Equation 19]
The transmission band limit adjustment value is a layer depth d indicating how many hops a gate device or communication device exists from the gate device, and a number i for identifying the gate device or communication device at the same depth d. The transmission bandwidth adjustment value of the attack suspected packet of the gate device or communication device identified by i at the depth d is Ss ′ (d, i), and the gate device or communication device identified by i at the depth d is The number of communication devices upstream one is nu (d, i), the gate device identified by i at the depth d or the number identifying the communication device upstream one of the communication devices is k, the depth B (d + 1, i, k) is the average input transmission bandwidth value of the suspected traffic notified from the gate device identified by i in d or the communication device identified by k upstream one of the communication devices, and the depth Gate identified by i in If the transmission band limit adjustment value of the attack suspected traffic of the communication device identified by k that is one upstream of the device or the communication device is Ss ′ (d + 1, i, k),
[Expression 20]
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings. FIG. 1 is a configuration diagram of a network to which the embodiment is applied. In this figure, 2000 is a server, 2001 is a gate device (gateway) according to an embodiment of the present invention, 2002 to 2006 are communication devices (routers) according to an embodiment of the present invention, and 2007 to 2010 are terminal devices. A LAN (local area network) in which the
[0022]
The
[0023]
The attack suspect detection condition in FIG. 2 includes three sets of records each including a set of a detection attribute, a detection threshold, and a detection interval. Here, the number is used for convenience to identify the record. The attack suspect detection condition is used to detect an attack suspect packet in which the received packet may be an attack packet. If the traffic matches the condition of one of the three records, this traffic is detected. The communication packet is recognized as an attack suspect packet. The detection attribute specifies the combination of the 3/4 layer attribute type of the IP packet and those attribute values, but the attribute type “Destination IP Address” of the IP that is the 3rd layer attribute is always specified. The In FIG. 2, the detection attribute of the record of
[0024]
In addition, the
[0025]
Here, the bandwidth control model provided in the
[0026]
Subsequently, a classification algorithm of the
[0027]
Next, the processing procedure of the countermeasure method against the DDoS attack is shown. First, a flowchart showing an operation when a suspected attack packet is detected by the
[0028]
In step S3011 of FIG. 6, the
[0029]
Next, in step S3013, the
[0030]
In step S3014, the
[Expression 21]
[Expression 22]
[0031]
Next, the operation of
[0032]
In step S <b> 3023, the
[0033]
Then, the
[0034]
Next, operations of the
[0035]
Explains the procedure for adjusting the transmission bandwidth limit value according to the input traffic of the suspected attack packet after preventing the network transmission bandwidth from overflowing early by implementing the initial transmission bandwidth limitation described above. To do. FIG. 10 is an example of calculation of the transmission band limit adjustment value, and FIG. 11 is a flowchart showing the operation of adjusting the transmission band limit value of the
[0036]
In FIG. 10, after the initial transmission band limitation shown in FIG. 7, an attack packet of 2 Mbps is transmitted from the
[0037]
The
[0038]
On the other hand, since the
[0039]
In step S3041 in FIG. 11, the
[0040]
Next, in step S3042, the
[Expression 23]
[Expression 24]
[0041]
This will be described using an example of calculation of the transmission band limit adjustment value in FIG. The average input transmission bandwidth value B (1, 1, 1) of the suspected attack traffic input from the first
[0042]
In step S <b> 3053 in FIG. 11, the
[0043]
Next, the processing proceeds to step 3055 in FIG. 11. The
[0044]
Subsequently, in step S3056, the
[0045]
This will be described using an example of calculation of transmission band limitation adjustment in FIG. The average input transmission bandwidth value B (2, 1, 1) of the first
[0046]
On the other hand, the average input transmission band value B (2, 2, 1) of the suspected attack traffic input from the first one
[0047]
In
[0048]
On the other hand, in step S3044, the
[0049]
By the way, the operation described above is executed on the active network described below.
[0050]
Hereinafter, an active network capable of carrying out an embodiment of the present invention will be described with reference to the drawings.
FIG. 12 shows a network configuration premised on the present embodiment. As shown in FIG. 12, the communication network is connected by a plurality of
[0051]
Next, the configuration of the communication device will be described. FIG. 13 is a block diagram illustrating an internal configuration of the
[0052]
Here, an outline of an operation example of the
[0053]
Handling of packets can be roughly divided into two types. There are a case where an active code is applied to the packet and a case where the packet is directly transferred to another communication apparatus.
If the active code is to be applied to the packet as a result of referring to the transfer destination table, the
As a result of referring to the transfer destination table, when the active code is not applied to the packet and the packet should be transferred to another transfer device as it is, the
[0054]
Here, the case where a packet arrives from another communication device via the communication line 7024d has been described as an example, but the processing when the packet arrives via another communication line is the same.
[0055]
Next, how the
[0056]
In the framework on which this embodiment is based, the active network execution environment is activated based on the IP address specified in the packet. Here, a set of all (global) IP addresses is represented by I. A packet having a source IP address of s and a destination IP address of d is represented as (s, d). It is assumed that all active codes stored in the active network execution environment of the communication device belong to a specific user, and a set of IP addresses owned by a specific user is represented as O.
[0057]
In this framework, each active code belonging to the specific user is a packet represented by a set A according to the following expression, and is received by a communication device (node) having the active network execution environment. Has access to any packet. That is,
A = {(s, d) ε [(O × I) ∪ (I × O)] | s ≠ d}
It is. In other words, the meaning of this expression is that an active code belonging to a specific user has access rights to a packet whose source or destination address is any of all IP addresses owned by that user. It is to have.
[0058]
When n active codes belonging to the user are stored in a communication device (node), the i-th (1 ≦ i ≦ n) active code is a set C (i) (C (i) ⊆A). The active network execution environment is requested in advance to capture and process the packets belonging to. That is, for the user, the active network execution environment is activated by a packet (s, d) that is an element of the union of c (1) ∪c (2) ∪... ∪c (n). Such a packet can be called an “active packet”.
[0059]
FIG. 14 is a schematic diagram illustrating an example of a transfer destination table stored in the transfer destination
[0060]
As illustrated in FIG. 14, the transfer destination table includes items of a type (Type), a destination address (Destination), a source address (Source), and a transfer destination (Send to). The type item represents the type of entry in the table and takes a value of either “Active” or “Regular”. The items of destination address and source address correspond to the destination IP address and source IP address of the packet to be transferred, respectively. The item of transfer destination represents the identification information of the active code to be applied or the IP address of the communication device of the transfer destination to be applied to the packet whose combination of the destination address and the source address matches.
[0061]
An entry whose type value is “active” designates an active code to be applied to the target packet, and information for identifying the active code is written in the transfer destination item.
The entry whose type value is “normal” specifies the address of the communication device that is the transfer destination of the target packet, and the IP address of the communication device that is the transfer destination is written in the item of the transfer destination. .
[0062]
In the example of the transfer destination table shown in FIG. 14, in the first entry, the type is “active”, the destination address is “1.2.3.4”, and the source address is “Any” (anything is possible). "And the transfer destination is" active code A ". This is because, regardless of the source address, if the destination address matches “1.2.3.4”, the active network execution environment is activated with the corresponding packet as a trigger, and the active code A Is executed.
In the second entry, the type is “active”, the destination address is “10.50.0.0”, the source address is “11.12.13.14”, and the transfer destination is “Active code B”. This indicates that when both the destination address and the transmission source address match the above values, the active network execution environment is activated with the corresponding packet as a trigger, and the active code B is executed.
In the third entry, the type is “active”, the destination address is “Any”, the source address is “157.2.3.0”, and the transfer destination is “active”. Code C ". This is because, regardless of the destination address, if the source address matches “157.2.3.0”, the active network execution environment is started with the corresponding packet as a trigger, and the active code C is Indicates that it will be executed.
[0063]
As shown in FIG. 14, in the transfer destination table, an entry whose type is “active” exists above an entry whose type is “normal”. An entry whose type is “active” is applied with priority over an entry whose type is “normal”. Each entry is applied only to a packet arriving at the communication apparatus, and is not applied to a packet transmitted for transfer.
[0064]
The configuration of the communication apparatus described above will be summarized.
The interface unit illustrated in FIG. 13 is provided for each communication line, and receives a packet arriving from the communication line and performs processing for transmitting the packet to the communication line.
Further, the transfer destination table storage unit includes a packet source address and / or destination address pattern, a program (active code) information corresponding to the pattern, or a transfer destination address information corresponding to the pattern. Is stored in the transfer destination table.
The active network execution environment stores the program in advance and executes the program.
The transfer processing unit refers to the transfer destination table based on a source address or a destination address of the received packet when the received packet arriving from the communication line is transferred from the interface unit, and the transfer destination table If the destination address information corresponding to the address pattern of the received packet is registered in the interface unit corresponding to the destination address so that the received packet is sent to the predetermined destination address. When the information of the program corresponding to the address pattern of the received packet is registered in the transfer destination table, the active network execution environment unit starts the program and passes the received packet to the program .
[0065]
Next, a model related to active code security in this embodiment will be described. This security model is to ensure that each active code only works on packets that involve the owner of the active code. For this purpose, this security model is based on the existence of a public key infrastructure.
[0066]
FIG. 15 is a schematic diagram showing the security model and the processing procedure in the model. In FIG. 15, reference numeral 7051 denotes a user terminal device of the user A, and 7061 denotes a certification authority device. The function of the certificate authority may be provided by a public institution, or may be provided by an ISP (Internet Service Provider) or the like.
In the example illustrated in FIG. 15, the IP address of the user terminal device 7051 is “1.2.3.4”. Hereinafter, a procedure of processing for user A to register active code A in
[0067]
First, as shown in (1), the user terminal device 7051 of the user A generates a key pair, that is, a public key and a secret key, using a known technique.
Then, as shown in (2), the user terminal device 7051 registers the public key generated above in the
[0068]
Next, as shown in (3), the user terminal device 7051 performs processing for digitally signing the active code A using the secret key generated above.
Then, as shown in (4), the user terminal device 7051 performs a process of registering the active code A signed with the secret key in the
[0069]
In response to this, the
Then, as shown in (6), the
[0070]
Once the processes of (1) and (2) are performed and the public key of user A is registered in the
[0071]
In other words, the
[0072]
In order for the above-described procedure for registering the active code to the communication device to function effectively, the following two points are assumed.
As a first premise, it is known in advance to which communication device (node) the user should register the active code. Alternatively, a directory service is provided for identifying which communication device (node) should register the active code.
As a second premise, the communication device (node) can acquire the public key of the target certificate authority offline beforehand, acquire it from another certificate authority, or acquire it by some other means.
[0073]
Next, control for resolving the contradiction will be described.
In a certain communication apparatus (node), n active codes are registered, and the i-th (1 ≦ i ≦ n) and j-th (1 ≦ j ≦ n) active codes are respectively set C (i) ( Set (c (i) ∩c (j)) is an empty set when it is defined to be for packets belonging to C (i) ⊆A) and set C (j) (C (j) ⊆A) There may be a combination of i and j, where i ≠ j. That is, the definition is such that a certain packet is applied to both the i-th active code and the j-th active code. Such a contradiction is resolved by one of the following two scenarios.
[0074]
The first conflict resolution scenario is for packet (s, d):
(SεO (k) ΛdεO (l)) Λ (k ≠ l)
To be
(S, d) εc (i) ∩c (j)
It is about the case that becomes. However, O (k) and O (l) are sets of IP addresses owned by users k and l, respectively.
That is, for a certain packet, both the active code for the source user and the active code for the destination user are registered in the communication device, and this packet (s, d) has arrived at such a communication device. Is the case. In such a case, it may be desirable to preferentially apply the destination user's active code.
[0075]
That is, in the pattern registered in the transfer destination table, the first entry in which only the source address is specified and the destination address can be anything, and only the destination address is specified and the source address is whatever A second entry that is considered good, and when a received packet matches both the first entry and the second entry, the second entry takes precedence over the first entry. Thus, the program corresponding to the pattern of the second entry is started.
[0076]
In this way, prioritizing the active code of the destination user over the active code of the source user establishes a mechanism that protects against DDoS (Distributed DoS of Distributed Denial Service) attacks using the function of the active network. It is especially important when doing so. By doing so, the active code of the destination user, who can be an attacked person, is given priority over the active code of the potential attacker.
[0077]
The second conflict resolution scenario relates to the case where two or more active codes to be applied for a packet (s, d) are registered by the same user. In such a case, it may be desirable that the oldest registered one of the corresponding active codes is applied with priority over the other. This is because when the user tries to register a new active code, it is guaranteed that the old active code is deleted in advance in order to make the new active code effective.
[0078]
Next, an example of implementation of a communication device that functions as a node of an active network as described above will be described. FIG. 16 is a schematic diagram when a communication apparatus that processes an active packet using a Java (registered trademark) virtual machine (JVM) on Linux is realized.
[0079]
In the example shown in FIG. 16, a dedicated IP stack is constructed as a part of the process. Thereby, a transfer destination table as shown in FIG. 14 is realized, and an entry can be added to or deleted from the transfer destination table from the execution environment (active network execution environment). As a result, an IP stack in the kernel is not necessary, and routing in the kernel is inactivated. Then, a copy of the arrival packet is created from the data link portion, and the packet can be supplemented by the Java (registered trademark) virtual machine through the library libcap.
[0080]
The dedicated IP stack constructed as part of the processing is an active packet, that is, a packet having an IP address (destination IP address, source IP address, or a combination thereof) that matches a predetermined definition on the forwarding destination table. Passed to the active code that is run on the execution environment. On the other hand, normal packets other than active packets are transferred to adjacent communication devices or the like in the same manner as the IP stack in the kernel. All packets sent from this communication device, whether active packets or normal packets, are sent through the library library. By doing so, the transmission source address recorded in the header of each processed packet is sent to the network in the state where the original transmission source address remains unchanged.
[0081]
Further, it is possible to implement a security model by using “java.security” which is a standard Java (registered trademark) API (application program interface). This standard API provides most of the functions necessary to build a security model. Further, the certificate format “X.509” can be used, and the IP address of the owner of the active code is the DN (distinguished name) of “X.509”. By including in part, the security model of the present embodiment can be realized.
[0082]
Needless to say, in the above implementation, a communication apparatus having an active network execution environment is constructed by using a computer system. Then, the above-described series of processing, that is, creation and capture of a copy of an incoming packet, processing of transfer of an active packet and a normal packet while referring to a transfer destination table, and activation of an active code in an active network execution environment Each process such as execution of the process and transmission of the processed packet to the network is stored in a computer-readable recording medium in the form of a program, and the computer reads and executes the program Thus, the above processing is performed.
[0083]
Each computer program described above is recorded on a computer-readable recording medium, and a CPU (central processing unit) mounted on a communication device or the like reads the computer program from the recording medium to prevent attack or provide a service module. Each process for provision etc. is performed. The “computer-readable recording medium” refers to a storage device such as a portable medium such as a magnetic disk, a magneto-optical disk, a ROM, or a CD-ROM, or a hard disk built in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.
[0084]
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
[0085]
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
[0086]
Further, the transmission of data from the downstream gate device or communication device to the upstream communication device is not limited to the use of the active network, and any communication protocol can be used.
[0087]
The gate device and the communication device are not limited to the gateway and the router, and may be any communication node having an IP address such as a bridge, Ethernet (registered trademark), or an interface conversion device.
[0088]
The embodiments of the present invention have been described in detail above with reference to the drawings. However, the specific configuration is not limited to these embodiments, and includes a design and the like within a scope not departing from the gist of the present invention.
[0089]
【The invention's effect】
As described above, when the communication device of the attackee of the DDoS attack detects the suspected traffic of the DDoS attack, the transmission bandwidth of the attack suspected traffic is limited by each upstream communication device by the initial transmission bandwidth control. As a result, it becomes possible to improve network congestion at an early stage, and it is possible to prevent the service of the DDoS attackee from being stopped, and to increase the proportion of communication packets from authorized users. It becomes possible.
[0090]
In addition, after limiting the bandwidth of the suspected attack packet by the initial transmission bandwidth control, the transmission bandwidth limit value can be adjusted according to the input transmission bandwidth of the attack suspected packet of each communication device. Can be effectively distributed to each communication device, and the transmission bandwidth of regular packets classified as attack suspected packets can be increased, and the degradation of serviceability of regular users can be improved in stages.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of a network to which an embodiment of the present invention can be applied.
FIG. 2 is an example of attack suspect detection condition setting according to the embodiment;
FIG. 3 is an example of setting illegal traffic detection conditions according to the embodiment;
4 is a bandwidth control model provided in the
FIG. 5 is a classification algorithm in the
FIG. 6 is a flowchart showing an operation when an attack suspected packet is detected by the
7 is an example of calculation of a transmission band limit value in the configuration of FIG. 1 according to the embodiment.
FIG. 8 is a flowchart showing an operation of the
FIG. 9 is a flowchart showing an operation of the
10 is an example of calculation of a transmission band limit adjustment value in the configuration of FIG. 1 according to the embodiment.
FIG. 11 is a flowchart showing an operation of adjusting a transmission band limit value of the
FIG. 12 shows a network configuration premised on an active network that can execute the embodiment;
FIG. 13 is a block diagram showing an internal configuration of a communication apparatus using an active network that can execute the embodiment;
FIG. 14 is a schematic diagram showing an example of a transfer destination table stored in a transfer destination table storage unit by an active network that can execute the embodiment;
FIG. 15 is a schematic diagram showing a security model based on an active network capable of executing the embodiment and a processing procedure in the model.
FIG. 16 is a schematic diagram when an active network communication apparatus capable of executing the embodiment is implemented to process an active packet using a Java (registered trademark) virtual machine (JVM) on Linux;
[Explanation of symbols]
2000 ... Server
2001 ... Gate device
2002-2006 ... Communication device
2007-2010 ... Terminal device
2021 ... Filter
2022 ... Regular class
2023 ... Regular queue
2024 ... Incorrect class
2025 ... Incorrect queue
2026 ... Suspect class
2027 ... Suspect queue
7000 ... User's computer
7001. Communication device
7010: Active network execution environment
7011: Code execution unit
7012: Code storage unit
7021: Transfer processing unit
7022: Transfer destination table storage unit
7023a, 7023b ... Interface unit
7024a, 7024b ... communication lines
7051 ... User terminal device
7061 ... Certificate Authority device
Claims (13)
前記ゲート装置は、
入力される通信トラヒックから攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の前記通信装置へ送信する処理を行い、
前記通信装置は、
前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置または通信装置から受信した前記伝送帯域制限値に制限すると共に、前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する処理を行い、
前記攻撃容疑パケット送出元の最上流の前記通信装置に達するまで再帰的に、前記攻撃容疑パケットの伝送帯域の制限と、前記攻撃容疑トラヒックの伝送帯域制限値送信との処理を行い、
前記ゲート装置は、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信する処理を行い、
前記上流の通信装置は、
前記下流のゲート装置または通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域問合せを受信して、当該通信装置における前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置または通信装置へ送信する処理を行い、
前記ゲート装置は、
当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する処理を行い、
前記通信装置は、
前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置または通信装置から受信した前記伝送帯域制限調整値に制限すると共に、前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信する処理と、前記下流の通信装置から受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する処理とを行い、
前記攻撃容疑パケット送出元の最上流の前記通信装置に達するまで再帰的に、伝送帯域制限調整値に前記攻撃容疑パケットの伝送帯域の制限と共に、前記攻撃容疑トラヒックの伝送帯域制限調整値の送信との処理を行う、
ことを特徴とする分散型サービス不能攻撃防止方法。In a network system having a network formed by connecting a plurality of communication devices in a mesh shape, a computer and a LAN to be protected, and a gate device interposed between the LAN and the network,
The gate device is
When attack suspected traffic is detected from input communication traffic, based on the transmission bandwidth limit value of the attack suspected traffic in the gate device and the number of communication devices one upstream of the gate device, the upstream Calculating a transmission bandwidth limit value of the attack suspected traffic to be notified to the communication device and transmitting it to the upstream communication device;
The communication device
Limiting the transmission band of the suspected attack traffic to the transmission band limit value received from the downstream gate device or communication device, the received transmission band limit value, and the number of communication devices one upstream of the communication device, Based on the above, the transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device is calculated and transmitted to the upstream communication device,
Recursively until reaching the most upstream communication device of the attack suspected packet sender, processing the transmission bandwidth limit value of the attack suspected packet and the transmission bandwidth limit value transmission of the attack suspected traffic,
The gate device is
Processing to send an inquiry about the average input transmission bandwidth of the attack suspected traffic to the upstream communication device,
The upstream communication device is:
An average input transmission bandwidth query of the attack suspected traffic is received from the downstream gate device or communication device, and an average input transmission bandwidth value of the attack suspected traffic in the communication device is transmitted to the downstream gate device or communication device. Process,
The gate device is
The attack suspected traffic to be notified to the upstream communication device based on the transmission bandwidth limit adjustment value of the attack suspected traffic in the gate device and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device. To calculate the transmission band limit adjustment value of and transmit to the upstream communication device,
The communication device
A process of limiting the transmission bandwidth of the attack suspected traffic to the transmission bandwidth restriction adjustment value received from the downstream gate device or communication device, and sending an inquiry to the upstream communication device about the average input transmission bandwidth of the attack suspected traffic The attack suspect to be notified to the upstream communication device based on the transmission band limit adjustment value received from the downstream communication device and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device. Calculating a traffic transmission band limit adjustment value and transmitting it to the upstream communication device;
The transmission bandwidth limit adjustment value of the attack suspected traffic is transmitted to the transmission bandwidth limit adjustment value recursively until the communication device at the most upstream of the transmission source of the attack suspect packet is reached. Process
A distributed denial of service attack prevention method characterized by the above.
入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出するトラヒック監視手段と、
当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記トラヒック監視手段によって検出された攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する帯域制限指示手段と、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せ手段と、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信する伝送帯域値受信手段と、
当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信する帯域制限調整手段と、
を備えることを特徴とするゲート装置。In a gate device inserted between a network formed by connecting a plurality of communication devices in a mesh shape, a computer to be protected, and a LAN,
Traffic monitoring means for checking incoming communication traffic and detecting suspected traffic of a distributed denial of service attack;
The attack suspect detected by the traffic monitoring means notifying the upstream communication device based on the transmission bandwidth limit value of the suspected traffic traffic in the gate device and the number of communication devices one upstream of the gate device Band limit instruction means for calculating a traffic transmission band limit value and transmitting it to an upstream communication device;
Transmission band inquiry means for inquiring the upstream communication device about the average input transmission band of the suspected attack traffic,
A transmission band value receiving means for receiving an average input transmission band value of the attack suspected traffic from the upstream communication device;
The attack suspected traffic to be notified to the upstream communication device based on the transmission bandwidth limit adjustment value of the attack suspected traffic in the gate device and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device. A bandwidth limitation adjustment means for calculating a transmission bandwidth limitation adjustment value of and transmitting to the upstream communication device;
A gate device comprising:
前記帯域制限調整手段は、前記伝送帯域調整値を、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
ことを特徴とする請求項4に記載のゲート装置。The bandwidth limitation instruction means uses the transmission bandwidth limitation value as the layer depth d indicating the hop number of the gate device or communication device existing from the gate device, and the gate device or communication device at the same depth d. Is a gate device identified by i at a depth d, a transmission bandwidth limit value of an attack suspected packet of a communication device or Ss (d, i), and a gate identified by i at a depth d Nu (d, i) is the number of communication devices upstream of the device or communication device, and a number for identifying the communication device upstream of the gate device or communication device identified by i at the depth d Is the transmission bandwidth limit value of the suspected traffic of the communication device identified by k at the upstream of the gate device or communication device identified by i at the depth d and k, and Ss (d + 1, i, k). Then
The band limitation adjustment means uses the transmission band adjustment value as the layer depth d indicating how many hops the gate device or communication device exists from the gate device, and the gate device or communication device at the same depth d. The transmission band adjustment value of the attack suspected packet of the gate device or communication device identified by i at the depth d, i is identified by i at the depth d, and is identified by i at the depth d. Nu (d, i) is the number of communication devices that are one upstream of the gate device or communication device, and a communication device that is one upstream of the gate device or communication device identified by i at the depth d The average input transmission bandwidth value of the attack suspected traffic notified from the gate device identified by i at the depth k and the communication device identified by k at the upstream of the communication device identified by i at the depth d or B (d + 1, i, k), at depth d If the transmission band limit adjustment value of the attack suspected traffic of the communication device identified by k that is one upstream of the gate device or communication device identified by i is Ss ′ (d + 1, i, k),
下流のゲート装置あるいは通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限する帯域制御手段と、
前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信する帯域制限指示手段と、
前記下流のゲート装置あるいは通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域問い合わせを受信し、当該通信装置における前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置あるいは通信装置へ送信する帯域通知手段と、
前記下流のゲート装置あるいは通信装置から攻撃容疑トラヒックの伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限する帯域制御調整手段と、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せ手段と、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信する伝送帯域値受信手段と、
前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値と前記受信した伝送帯域制限調整値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して、前記上流の通信装置へ送信する帯域制限調整手段と、
を備えることを特徴とする通信装置。In a communication device that constitutes a node of a network to which a gate device that protects a computer to be protected and a LAN is connected,
Band control means for receiving a transmission band limit value of attack suspected traffic from a downstream gate device or communication device, and limiting a transmission band of the attack suspected traffic to the transmission band limit value;
Based on the received transmission band limit value and the number of communication apparatuses that are one upstream of the communication apparatus, the transmission band limit value of the attack suspected traffic to be notified to the upstream communication apparatus is calculated to determine upstream communication. Bandwidth limiting instruction means for transmitting to the device;
Band that receives an average input transmission bandwidth of the attack suspected traffic from the downstream gate device or communication device and transmits the average input transmission bandwidth value of the attack suspected traffic in the communication device to the downstream gate device or communication device Notification means;
Bandwidth control adjustment means for receiving a transmission bandwidth limit adjustment value of attack suspected traffic from the downstream gate device or communication device, and limiting a transmission bandwidth of the attack suspected traffic to the transmission bandwidth limit adjustment value;
Transmission band inquiry means for inquiring the upstream communication device about the average input transmission band of the suspected attack traffic,
A transmission band value receiving means for receiving an average input transmission band value of the attack suspected traffic from the upstream communication device;
Based on the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device and the received transmission bandwidth restriction adjustment value, the transmission bandwidth restriction adjustment value of the attack suspected traffic to be notified to the upstream communication device. A bandwidth limit adjusting means for calculating and transmitting to the upstream communication device;
A communication apparatus comprising:
前記帯域制限調整手段は、前記伝送帯域調整値を、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
ことを特徴とする請求項6に記載の通信装置。The bandwidth limitation instruction means uses the transmission bandwidth limitation value as the layer depth d indicating the hop number of the gate device or communication device existing from the gate device, and the gate device or communication device at the same depth d. Is a gate device identified by i at a depth d, a transmission bandwidth limit value of an attack suspected packet of a communication device or Ss (d, i), and a gate identified by i at a depth d Nu (d, i) is the number of communication devices upstream of the device or communication device, and a number for identifying the communication device upstream of the gate device or communication device identified by i at the depth d Is the transmission bandwidth limit value of the suspected traffic of the communication device identified by k at the upstream of the gate device or communication device identified by i at the depth d and k, and Ss (d + 1, i, k). Then
The band limitation adjustment means uses the transmission band adjustment value as the layer depth d indicating how many hops the gate device or communication device exists from the gate device, and the gate device or communication device at the same depth d. The transmission band adjustment value of the attack suspected packet of the gate device or communication device identified by i at the depth d, i is identified by i at the depth d, and is identified by i at the depth d. Nu (d, i) is the number of communication devices that are one upstream of the gate device or communication device, and a communication device that is one upstream of the gate device or communication device identified by i at the depth d The average input transmission bandwidth value of the attack suspected traffic notified from the gate device identified by i at the depth k and the communication device identified by k at the upstream of the communication device identified by i at the depth d or B (d + 1, i, k), at depth d If the transmission band limit adjustment value of the attack suspected traffic of the communication device identified by k that is one upstream of the gate device or communication device identified by i is Ss ′ (d + 1, i, k),
入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信するステップと、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、
当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、
をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラム。A computer program executed on a gate device inserted between a network formed by connecting a plurality of communication devices in a mesh shape, a computer to be protected, and a LAN,
When the input communication traffic is checked and the attack suspected traffic of the distributed denial of service attack is detected, the transmission band limit value of the attack suspected traffic in the gate device and the communication device one upstream of the gate device Calculating a transmission band limit value of the attack suspected traffic to be notified to the upstream communication device based on the number, and transmitting to the upstream communication device;
Sending an inquiry about the average input transmission bandwidth of the attack suspected traffic to the upstream communication device;
Receiving an average input transmission bandwidth value of the attack suspected traffic from the upstream communication device;
The attack suspect to be notified to the upstream communication device based on the transmission bandwidth limit adjustment value of the attack suspected traffic in the gate device and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device Calculating a traffic transmission band limit adjustment value and transmitting it to the upstream communication device; and
A distributed denial-of-service attack prevention program characterized in that a computer is executed.
下流のゲート装置又は通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限するステップと、
前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して、上流の通信装置へ送信するステップと、
前記下流のゲート装置又は通信装置から攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せを受信し、前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置又は通信装置へ送信するステップと、
前記下流のゲート装置又は通信装置から伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限するステップと、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、
前記受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、
をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラム。A computer program executed on a communication device constituting a node of a network to which a computer to be protected and a gate device for protecting a LAN are connected,
Receiving a transmission bandwidth limit value of attack suspected traffic from a downstream gate device or communication device, and limiting a transmission bandwidth of the attack suspected traffic to the transmission bandwidth limit value;
Based on the received transmission bandwidth limit value and the number of communication devices one upstream of the communication device, the transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device is calculated, and the upstream Transmitting to the communication device;
Receiving a transmission band inquiry for querying an average input transmission band of attack suspected traffic from the downstream gate apparatus or communication apparatus, and transmitting an average input transmission band value of the attack suspected traffic to the downstream gate apparatus or communication apparatus; ,
Receiving a transmission band limitation adjustment value from the downstream gate device or communication device, and limiting a transmission band of the attack suspected traffic to the transmission band limitation adjustment value;
Sending an inquiry about the average input transmission bandwidth of the attack suspected traffic to the upstream communication device;
Receiving an average input transmission bandwidth value of the attack suspected traffic from the upstream communication device;
Based on the received transmission band limit adjustment value and the average input transmission band value of the attack suspected traffic received from the upstream communication apparatus, the attack suspected traffic transmission band limit adjustment value to be notified to the upstream communication apparatus. Calculating and transmitting to the upstream communication device;
A distributed denial-of-service attack prevention program characterized in that a computer is executed.
前記伝送帯域制限調整値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
ことを特徴とする請求項8または請求項9に記載の分散型サービス不能攻撃防止プログラム。The transmission band limit value is d indicating the depth of the hierarchy indicating how many hops the gate device or communication device exists from the gate device, i is a number identifying the gate device or communication device at the same depth d, Ss (d, i) is the transmission band limit value of the attack suspected packet of the gate device or communication device identified by i at depth d, and is one of the gate devices or communication devices identified by i at depth d. The number of the upstream communication devices is nu (d, i), the gate device identified by i at the depth d or the number for identifying the communication device upstream of the communication device is k, and the depth d. Ss (d + 1, i, k) is the transmission bandwidth limit value of the attack suspected traffic of the communication device identified by k that is one upstream of the gate device or communication device identified by i.
The transmission band limit adjustment value is a layer depth d indicating how many hops a gate device or communication device exists from the gate device, and a number i for identifying the gate device or communication device at the same depth d. The transmission bandwidth adjustment value of the attack suspected packet of the gate device or communication device identified by i at the depth d is Ss ′ (d, i), and the gate device or communication device identified by i at the depth d is The number of communication devices upstream one is nu (d, i), the gate device identified by i at the depth d or the number identifying the communication device upstream one of the communication devices is k, the depth B (d + 1, i, k) is the average input transmission bandwidth value of the suspected traffic notified from the gate device identified by i in d or the communication device identified by k upstream one of the communication devices, and the depth Gate identified by i in If the transmission band limit adjustment value of the attack suspected traffic of the communication device identified by k that is one upstream of the device or the communication device is Ss ′ (d + 1, i, k),
入力される通信トラヒックをチェックし、分散型サービス不能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して上流の通信装置へ送信するステップと、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、
当該ゲート装置における前記攻撃容疑トラヒックの伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、
の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体。A computer-readable recording medium in which a computer program executed on a gate device inserted between a network formed by connecting a plurality of communication devices in a mesh pattern and a computer to be protected and a LAN is recorded. There,
When the input communication traffic is checked and the suspected traffic of the distributed denial of service attack is detected, the transmission bandwidth limit value of the suspected traffic in the gate device and the communication device one upstream of the gate device Calculating a transmission band limit value of the attack suspected traffic to be notified to the upstream communication device based on the number, and transmitting to the upstream communication device;
Sending an inquiry about the average input transmission bandwidth of the attack suspected traffic to the upstream communication device;
Receiving an average input transmission bandwidth value of the attack suspected traffic from the upstream communication device;
The attack suspected traffic to be notified to the upstream communication device based on the transmission bandwidth limit adjustment value of the attack suspected traffic in the gate device and the average input transmission bandwidth value of the attack suspected traffic received from the upstream communication device Calculating the transmission band limit adjustment value of the transmission to the upstream communication device,
A recording medium for recording a distributed denial-of-service attack prevention program that causes a computer to execute each of the above processes.
下流のゲート装置又は通信装置から攻撃容疑トラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限値に制限するステップと、
前記受信した伝送帯域制限値と、当該通信装置の1つ上流にある通信装置数とを基に、上流の前記通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限値を算出して、上流の通信装置へ送信するステップと、
前記下流のゲート装置又は通信装置から攻撃容疑トラヒックの平均入力伝送帯域を問い合わせる伝送帯域問合せを受信し、前記攻撃容疑トラヒックの平均入力伝送帯域値を前記下流のゲート装置又は通信装置へ送信するステップと、
前記下流のゲート装置又は通信装置から伝送帯域制限調整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整値に制限するステップと、
前記上流の通信装置へ前記攻撃容疑トラヒックの平均入力伝送帯域を問合せを送信するステップと、
前記上流の通信装置から前記攻撃容疑トラヒックの平均入力伝送帯域値を受信するステップと、
前記受信した伝送帯域制限調整値と、前記上流の通信装置から受信した前記攻撃容疑トラヒックの平均入力伝送帯域値とを基に、上流の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調整値を算出して前記上流の通信装置へ送信するステップと、
の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体。A computer-readable recording medium storing a computer program to be executed on a communication device constituting a node of a network to which a computer to be protected and a gate device for protecting a LAN are connected,
Receiving a transmission bandwidth limit value of attack suspected traffic from a downstream gate device or communication device, and limiting a transmission bandwidth of the attack suspected traffic to the transmission bandwidth limit value;
Based on the received transmission bandwidth limit value and the number of communication devices one upstream of the communication device, the transmission bandwidth limit value of the suspected traffic to be notified to the upstream communication device is calculated, and the upstream Transmitting to the communication device;
Receiving a transmission band inquiry for querying an average input transmission band of attack suspected traffic from the downstream gate apparatus or communication apparatus, and transmitting an average input transmission band value of the attack suspected traffic to the downstream gate apparatus or communication apparatus; ,
Receiving a transmission band limitation adjustment value from the downstream gate device or communication device, and limiting a transmission band of the attack suspected traffic to the transmission band limitation adjustment value;
Sending an inquiry about the average input transmission bandwidth of the attack suspected traffic to the upstream communication device;
Receiving an average input transmission bandwidth value of the attack suspected traffic from the upstream communication device;
Based on the received transmission band limit adjustment value and the average input transmission band value of the attack suspected traffic received from the upstream communication apparatus, the attack suspected traffic transmission band limit adjustment value to be notified to the upstream communication apparatus. Calculating and transmitting to the upstream communication device;
A recording medium for recording a distributed denial-of-service attack prevention program that causes a computer to execute each of the above processes.
前記伝送帯域制限調整値は、ゲート装置または通信装置がゲート装置から何ホップ目に存在するかを示す階層の深さをd、同一の深さdにおいてゲート装置または通信装置を識別する番号をi、深さdにあるiで識別されるゲート装置または通信装置の攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置数をnu(d,i)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にある通信装置を識別するための番号をk、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置から通知された攻撃容疑トラヒックの平均入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識別されるゲート装置または通信装置の1つ上流にあるkで識別される通信装置の攻撃容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,k)とすると、
ことを特徴とする請求項11または請求項12に記載の分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体。The transmission band limit value is d indicating the depth of the hierarchy indicating how many hops the gate device or communication device exists from the gate device, i is a number identifying the gate device or communication device at the same depth d, Ss (d, i) is the transmission band limit value of the attack suspected packet of the gate device or communication device identified by i at depth d, and is one of the gate devices or communication devices identified by i at depth d. The number of the upstream communication devices is nu (d, i), the gate device identified by i at the depth d or the number for identifying the communication device upstream of the communication device is k, and the depth d. Ss (d + 1, i, k) is the transmission bandwidth limit value of the attack suspected traffic of the communication device identified by k that is one upstream of the gate device or communication device identified by i.
The transmission band limit adjustment value is a layer depth d indicating how many hops a gate device or communication device exists from the gate device, and a number i for identifying the gate device or communication device at the same depth d. The transmission bandwidth adjustment value of the attack suspected packet of the gate device or communication device identified by i at the depth d is Ss ′ (d, i), and the gate device or communication device identified by i at the depth d is The number of communication devices upstream one is nu (d, i), the gate device identified by i at the depth d or the number identifying the communication device upstream one of the communication devices is k, the depth B (d + 1, i, k) is the average input transmission bandwidth value of the suspected traffic notified from the gate device identified by i in d or the communication device identified by k upstream one of the communication devices, and the depth Gate identified by i in If the transmission band limit adjustment value of the attack suspected traffic of the communication device identified by k that is one upstream of the device or the communication device is Ss ′ (d + 1, i, k),
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002081905A JP3609381B2 (en) | 2002-03-22 | 2002-03-22 | Distributed denial of service attack prevention method, gate device, communication device, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002081905A JP3609381B2 (en) | 2002-03-22 | 2002-03-22 | Distributed denial of service attack prevention method, gate device, communication device, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003283555A JP2003283555A (en) | 2003-10-03 |
| JP3609381B2 true JP3609381B2 (en) | 2005-01-12 |
Family
ID=29230352
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002081905A Expired - Fee Related JP3609381B2 (en) | 2002-03-22 | 2002-03-22 | Distributed denial of service attack prevention method, gate device, communication device, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3609381B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005184792A (en) | 2003-11-27 | 2005-07-07 | Nec Corp | Band control device, band control method, and program |
| CN100370757C (en) * | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | Method and system for dentifying a distributed denial of service (DDOS) attack within a network and defending against such an attack |
| WO2006040880A1 (en) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | Service disabling attack protecting system, service disabling attack protecting method, and service disabling attack protecting program |
| WO2006046345A1 (en) * | 2004-10-28 | 2006-05-04 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack detecting system, and denial-of-service attack detecting method |
| JP2008199138A (en) | 2007-02-09 | 2008-08-28 | Hitachi Industrial Equipment Systems Co Ltd | Information processor, and information processing system |
| CN101060531B (en) * | 2007-05-17 | 2010-10-13 | 华为技术有限公司 | A method and device for avoiding the attack of network equipment |
-
2002
- 2002-03-22 JP JP2002081905A patent/JP3609381B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2003283555A (en) | 2003-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wheeler et al. | Techniques for cyber attack attribution | |
| US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
| US7076803B2 (en) | Integrated intrusion detection services | |
| Schnackengerg et al. | Cooperative intrusion traceback and response architecture (CITRA) | |
| US7409714B2 (en) | Virtual intrusion detection system and method of using same | |
| US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
| US7222366B2 (en) | Intrusion event filtering | |
| EP1775910B1 (en) | Application layer ingress filtering | |
| Gonzalez et al. | A trust-based approach against IP-spoofing attacks | |
| JP3609382B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program | |
| JPWO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
| JP3699941B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, distributed denial of service attack prevention program, and recording medium | |
| JP3609381B2 (en) | Distributed denial of service attack prevention method, gate device, communication device, and program | |
| JP3790486B2 (en) | Packet relay device, packet relay system, and story guidance system | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| JP3657569B2 (en) | Packet processing method and communication apparatus | |
| Pandey et al. | APTIKOM Journal on Computer Science and Information Technologies | |
| Yousif et al. | A Proposed Firewall For Viruses | |
| Sobh et al. | IP Tracing and Active Network Response | |
| Einstein et al. | Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040123 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040908 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20041005 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20041013 |
|
| LAPS | Cancellation because of no payment of annual fees |