JP2003283572A - 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム - Google Patents
分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラムInfo
- Publication number
- JP2003283572A JP2003283572A JP2002081906A JP2002081906A JP2003283572A JP 2003283572 A JP2003283572 A JP 2003283572A JP 2002081906 A JP2002081906 A JP 2002081906A JP 2002081906 A JP2002081906 A JP 2002081906A JP 2003283572 A JP2003283572 A JP 2003283572A
- Authority
- JP
- Japan
- Prior art keywords
- communication device
- transmission band
- attack
- upstream
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 正規利用者の通信トラヒックを確保しなが
ら、分散型サービス不能攻撃(DDoS攻撃)の攻撃ト
ラヒックの伝送帯域を制限することを可能とする。 【解決手段】 ゲート装置2001は、DDoS攻撃の
攻撃容疑パケットを検出すると、上流の通信装置200
2、2003に攻撃容疑パケットの伝送帯域制限値を通
知する。上流の通信装置2002、2003は、攻撃容
疑パケットの伝送帯域を受信した伝送帯域制限値に制限
しながら、さらに上流の通信装置に伝送帯域制限値の通
知を最上流まで繰り返し、各通信装置が攻撃容疑パケッ
トの伝送帯域を制限する。一定時間経過後、上流の通信
装置は下流の通信装置まで攻撃容疑パケットの入力伝送
帯域値を再帰的に通知する。ゲート装置2001は合計
入力伝送帯域の比率により伝送帯域制限調整値を算出
し、各通信装置は再帰的に最下流の通信装置まで伝送帯
域制限調整値を通知し、伝送帯域制限を調整する。
ら、分散型サービス不能攻撃(DDoS攻撃)の攻撃ト
ラヒックの伝送帯域を制限することを可能とする。 【解決手段】 ゲート装置2001は、DDoS攻撃の
攻撃容疑パケットを検出すると、上流の通信装置200
2、2003に攻撃容疑パケットの伝送帯域制限値を通
知する。上流の通信装置2002、2003は、攻撃容
疑パケットの伝送帯域を受信した伝送帯域制限値に制限
しながら、さらに上流の通信装置に伝送帯域制限値の通
知を最上流まで繰り返し、各通信装置が攻撃容疑パケッ
トの伝送帯域を制限する。一定時間経過後、上流の通信
装置は下流の通信装置まで攻撃容疑パケットの入力伝送
帯域値を再帰的に通知する。ゲート装置2001は合計
入力伝送帯域の比率により伝送帯域制限調整値を算出
し、各通信装置は再帰的に最下流の通信装置まで伝送帯
域制限調整値を通知し、伝送帯域制限を調整する。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークに接
続された機器をネットワーク経由での攻撃から防御する
ための、サービス不能攻撃の防止方法およびその装置な
らびにそのコンピュータプログラムに関するものであ
る。
続された機器をネットワーク経由での攻撃から防御する
ための、サービス不能攻撃の防止方法およびその装置な
らびにそのコンピュータプログラムに関するものであ
る。
【0002】
【従来の技術】従来、TCP/IP(Transmission con
trol protocol/internet protocol)などのネットワー
クプロトコルは、オープンとなっており、互いに信用さ
れるグループで使われるように設計されている。このた
め、コンピュータのオペレーティングシステムでは、大
量の通信トラフィック(データ等)を攻撃目標のサーバ
に送信することによって、ネットワークの伝送帯域やサ
ーバの資源を消費して正当な利用者の利用を妨げようと
するサービス不能攻撃(以下、「DoS(Denialof Ser
vice)攻撃」と記す)を防ぐことは考慮されていない。
このようなDoS攻撃に対する防御の方法は増えてきて
いるが、複数箇所から同時に連携してDoS攻撃を行う
「DDoS(Distributed Denial of Service)攻撃」
に対する防御の方法は未だ効果的な方法が開発されてい
ない。
trol protocol/internet protocol)などのネットワー
クプロトコルは、オープンとなっており、互いに信用さ
れるグループで使われるように設計されている。このた
め、コンピュータのオペレーティングシステムでは、大
量の通信トラフィック(データ等)を攻撃目標のサーバ
に送信することによって、ネットワークの伝送帯域やサ
ーバの資源を消費して正当な利用者の利用を妨げようと
するサービス不能攻撃(以下、「DoS(Denialof Ser
vice)攻撃」と記す)を防ぐことは考慮されていない。
このようなDoS攻撃に対する防御の方法は増えてきて
いるが、複数箇所から同時に連携してDoS攻撃を行う
「DDoS(Distributed Denial of Service)攻撃」
に対する防御の方法は未だ効果的な方法が開発されてい
ない。
【0003】このDDoS攻撃に対する一防御の方法と
して、UUNET社のCenterTrackがある。
これは、インターネットのルータに診断機能を付加し、
DDoS攻撃の送信元を追跡する技術である。
して、UUNET社のCenterTrackがある。
これは、インターネットのルータに診断機能を付加し、
DDoS攻撃の送信元を追跡する技術である。
【0004】また、DDoS攻撃を検出したノードより
攻撃元に近い上流ノードで攻撃トラヒックを制限するた
めの技術としては、本出願の発明者等が出願済みの分散
型サービス不能攻撃の防止方法(特願2001−274
016)、AT&T社論文(R.Mahajan, S.M.Bellovin,
S.Floyd, J.Ioannidis, V.Paxson and S.Shenker:“Co
ntrolling high bandwidth aggregates in the network
- extended version”(2001))、IDIP(Intruder
Detection and Isolation Protocol)(D.Schnackenber
g, K.Djahandari and D.Sterne: “Infrastructure for
intrusion detection and response”, Proceedings o
f the DARPA Information Survivability Conference a
nd Exposition(DISCEX), South Carolina(2000))など
がある。AT&T社論文及びIDIPは、攻撃検出イベ
ントを攻撃経路の上流ノードへ伝達し、上流ノードで伝
送帯域制限を行うための方式やプロトコルである。本出
願の発明者等が出願済みの分散型サービス不能攻撃の防
止方法は、ルータにインストールされている移動型パケ
ットフィルタリングプログラムが、自らのプログラムの
複製を作成し、その複製を上流ルータ移動させ、各上流
ルータへ移動してきた移動型パケットフィルタリングプ
ログラムは、それぞれDDoS攻撃者のホストからサー
バに向けて送られているトラフィック全てを通過させな
いようする技術である。
攻撃元に近い上流ノードで攻撃トラヒックを制限するた
めの技術としては、本出願の発明者等が出願済みの分散
型サービス不能攻撃の防止方法(特願2001−274
016)、AT&T社論文(R.Mahajan, S.M.Bellovin,
S.Floyd, J.Ioannidis, V.Paxson and S.Shenker:“Co
ntrolling high bandwidth aggregates in the network
- extended version”(2001))、IDIP(Intruder
Detection and Isolation Protocol)(D.Schnackenber
g, K.Djahandari and D.Sterne: “Infrastructure for
intrusion detection and response”, Proceedings o
f the DARPA Information Survivability Conference a
nd Exposition(DISCEX), South Carolina(2000))など
がある。AT&T社論文及びIDIPは、攻撃検出イベ
ントを攻撃経路の上流ノードへ伝達し、上流ノードで伝
送帯域制限を行うための方式やプロトコルである。本出
願の発明者等が出願済みの分散型サービス不能攻撃の防
止方法は、ルータにインストールされている移動型パケ
ットフィルタリングプログラムが、自らのプログラムの
複製を作成し、その複製を上流ルータ移動させ、各上流
ルータへ移動してきた移動型パケットフィルタリングプ
ログラムは、それぞれDDoS攻撃者のホストからサー
バに向けて送られているトラフィック全てを通過させな
いようする技術である。
【0005】
【発明が解決しようとする課題】Center Tra
ckは、攻撃を受けた被害者が攻撃者を特定することを
助ける技術ではあるが、実際に攻撃を受けているときに
その攻撃を防御することはできない。加えて、複数箇所
に分散された分散型DoSの攻撃元になっているコンピ
ュータやそのコンピュータが接続されているネットワー
クの管理者に連絡をしないと、攻撃そのものを止めるこ
とはできないため、実質的には攻撃を止めるまでに何時
間、あるいは何日もの時間がかかってしまうという問題
点がある。
ckは、攻撃を受けた被害者が攻撃者を特定することを
助ける技術ではあるが、実際に攻撃を受けているときに
その攻撃を防御することはできない。加えて、複数箇所
に分散された分散型DoSの攻撃元になっているコンピ
ュータやそのコンピュータが接続されているネットワー
クの管理者に連絡をしないと、攻撃そのものを止めるこ
とはできないため、実質的には攻撃を止めるまでに何時
間、あるいは何日もの時間がかかってしまうという問題
点がある。
【0006】また、この出願の発明者等が出願済みの分
散型サービス不能攻撃の防止方法、AT&T論文及びI
DIPにおては、攻撃パケットと特定されたパケットを
次ノードへ送出せず、全て破棄してまう。よって、標的
となるサーバのダウンやルータ装置の過負荷等によりサ
ービスが停止する一次被害を防止することはできるが、
正規利用者からのパケットを攻撃パケットと識別する方
法がないため、誤って正規利用者からの正規パケットも
攻撃パケットとして破棄してしまう可能性があり、正規
利用者の利用性が低下するといった二次被害を引き起こ
してしまうという問題がある。
散型サービス不能攻撃の防止方法、AT&T論文及びI
DIPにおては、攻撃パケットと特定されたパケットを
次ノードへ送出せず、全て破棄してまう。よって、標的
となるサーバのダウンやルータ装置の過負荷等によりサ
ービスが停止する一次被害を防止することはできるが、
正規利用者からのパケットを攻撃パケットと識別する方
法がないため、誤って正規利用者からの正規パケットも
攻撃パケットとして破棄してしまう可能性があり、正規
利用者の利用性が低下するといった二次被害を引き起こ
してしまうという問題がある。
【0007】本発明は、上記事情を考慮してなされたも
のであり、その目的は、正規利用者へのサービス性を低
下させる被害を軽減しながらDDoS攻撃を防御でき
る、分散型サービス不能攻撃防止方法及び装置ならびに
プログラムを提供することにある。
のであり、その目的は、正規利用者へのサービス性を低
下させる被害を軽減しながらDDoS攻撃を防御でき
る、分散型サービス不能攻撃防止方法及び装置ならびに
プログラムを提供することにある。
【0008】
【課題を解決するための手段】この発明は、上記の課題
を解決すべくなされたもので、請求項1に記載の発明
は、複数の通信装置を網目状に接続してなるネットワー
クと、防御対象であるコンピュータおよびLANと、前
記LANおよびネットワークの間に介挿されたゲート装
置とを有するネットワークシステムにおいて、前記ゲー
ト装置は、入力される通信トラヒックから攻撃容疑トラ
ヒックを検出した場合に、当該ゲート装置における前記
攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装
置の1つ上流にある通信装置数とを基に、上流の前記通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限値を算出して上流の前記通信装置へ送信する処理を行
い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯
域を下流のゲート装置または通信装置から受信した前記
伝送帯域制限値に制限すると共に、前記受信した伝送帯
域制限値と、当該通信装置の1つ上流にある通信装置数
とを基に、上流の前記通信装置へ通知する前記攻撃容疑
トラヒックの伝送帯域制限値を算出して上流の通信装置
へ送信する処理を行い、前記攻撃容疑パケット送出元の
最上流の前記通信装置に達するまで再帰的に、前記攻撃
容疑パケットの伝送帯域の制限と、前記攻撃容疑トラヒ
ックの伝送帯域制限値送信との処理を行い、前記最上流
の通信装置は、当該通信装置に入力される前記攻撃容疑
トラヒックの合計入力伝送帯域値を下流の通信装置へ送
信する処理を行い、前記合計入力伝送帯域値を受信した
下流の通信装置は、上流の前記通信装置を介さずに当該
通信装置に入力される前記攻撃容疑トラヒックの伝送帯
域値と、受信した前記攻撃容疑トラヒックの合計入力伝
送帯域値とを合計した、当該通信装置における前記攻撃
容疑トラヒックの合計入力伝送帯域値を下流の通信装置
または前記ゲート装置へ送信し、前記ゲート装置に達す
るまで再帰的に前記攻撃容疑トラヒックの合計入力伝送
帯域値の送信する処理を行い、前記ゲート装置は、当該
ゲート装置における前記攻撃容疑トラヒックの伝送帯域
制限調整値と、前記上流の通信装置を介さずに当該ゲー
ト装置に入力される前記攻撃容疑トラヒックの伝送帯域
値と、前記上流の通信装置から受信した前記攻撃容疑ト
ラヒックの合計入力伝送帯域値とを基に、上流の通信装
置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調
整値を算出して前記上流の通信装置へ送信する処理を行
い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯
域を下流のゲート装置または通信装置から受信した前記
伝送帯域制限調整値に制限すると共に、前記受信した伝
送帯域制限調整値と、前記上流の通信装置を介さずに当
該通信装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、上流の通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限調整値を算出して前記上流の通信装置へ送信する処理
とを行い、前記攻撃容疑パケット送出元の最上流の前記
通信装置に達するまで再帰的に、伝送帯域制限調整値に
前記攻撃容疑パケットの伝送帯域の制限と共に、前記攻
撃容疑トラヒックの伝送帯域制限調整値の送信との処理
を行う、ことを特徴とする分散型サービス不能攻撃防止
方法である。
を解決すべくなされたもので、請求項1に記載の発明
は、複数の通信装置を網目状に接続してなるネットワー
クと、防御対象であるコンピュータおよびLANと、前
記LANおよびネットワークの間に介挿されたゲート装
置とを有するネットワークシステムにおいて、前記ゲー
ト装置は、入力される通信トラヒックから攻撃容疑トラ
ヒックを検出した場合に、当該ゲート装置における前記
攻撃容疑トラヒックの伝送帯域制限値と、当該ゲート装
置の1つ上流にある通信装置数とを基に、上流の前記通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限値を算出して上流の前記通信装置へ送信する処理を行
い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯
域を下流のゲート装置または通信装置から受信した前記
伝送帯域制限値に制限すると共に、前記受信した伝送帯
域制限値と、当該通信装置の1つ上流にある通信装置数
とを基に、上流の前記通信装置へ通知する前記攻撃容疑
トラヒックの伝送帯域制限値を算出して上流の通信装置
へ送信する処理を行い、前記攻撃容疑パケット送出元の
最上流の前記通信装置に達するまで再帰的に、前記攻撃
容疑パケットの伝送帯域の制限と、前記攻撃容疑トラヒ
ックの伝送帯域制限値送信との処理を行い、前記最上流
の通信装置は、当該通信装置に入力される前記攻撃容疑
トラヒックの合計入力伝送帯域値を下流の通信装置へ送
信する処理を行い、前記合計入力伝送帯域値を受信した
下流の通信装置は、上流の前記通信装置を介さずに当該
通信装置に入力される前記攻撃容疑トラヒックの伝送帯
域値と、受信した前記攻撃容疑トラヒックの合計入力伝
送帯域値とを合計した、当該通信装置における前記攻撃
容疑トラヒックの合計入力伝送帯域値を下流の通信装置
または前記ゲート装置へ送信し、前記ゲート装置に達す
るまで再帰的に前記攻撃容疑トラヒックの合計入力伝送
帯域値の送信する処理を行い、前記ゲート装置は、当該
ゲート装置における前記攻撃容疑トラヒックの伝送帯域
制限調整値と、前記上流の通信装置を介さずに当該ゲー
ト装置に入力される前記攻撃容疑トラヒックの伝送帯域
値と、前記上流の通信装置から受信した前記攻撃容疑ト
ラヒックの合計入力伝送帯域値とを基に、上流の通信装
置へ通知する前記攻撃容疑トラヒックの伝送帯域制限調
整値を算出して前記上流の通信装置へ送信する処理を行
い、前記通信装置は、前記攻撃容疑トラヒックの伝送帯
域を下流のゲート装置または通信装置から受信した前記
伝送帯域制限調整値に制限すると共に、前記受信した伝
送帯域制限調整値と、前記上流の通信装置を介さずに当
該通信装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、上流の通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限調整値を算出して前記上流の通信装置へ送信する処理
とを行い、前記攻撃容疑パケット送出元の最上流の前記
通信装置に達するまで再帰的に、伝送帯域制限調整値に
前記攻撃容疑パケットの伝送帯域の制限と共に、前記攻
撃容疑トラヒックの伝送帯域制限調整値の送信との処理
を行う、ことを特徴とする分散型サービス不能攻撃防止
方法である。
【0009】請求項2に記載の発明は、請求項1に記載
の分散型サービス不能攻撃防止方法であって、前記伝送
帯域制限値は、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域制限値をS
s(d,i)、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にある通信装置数をnu(d,i)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にある通信装置を識別するための番号をk、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
の分散型サービス不能攻撃防止方法であって、前記伝送
帯域制限値は、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域制限値をS
s(d,i)、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にある通信装置数をnu(d,i)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にある通信装置を識別するための番号をk、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数11】
により算出されることを特徴とする。
【0010】請求項3に記載の発明は、請求項1または
請求項2に記載の分散型サービス不能攻撃防止方法であ
って、前記伝送帯域制限調整値は、ゲート装置または通
信装置がゲート装置から何ホップ目に存在するかを示す
階層の深さをd、同一の深さdにおいてゲート装置また
は通信装置を識別する番号をi、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑パケットの
伝送帯域調整値をSs’(d,i)、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑トラヒック
の合計入力伝送帯域値をT(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にある通
信装置を識別するための番号をk、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にあるk
で識別される通信装置から通知された攻撃容疑トラヒッ
クの合計入力伝送帯域値をB(d+1,i,k)、深さdにある
iで識別されるゲート装置または通信装置の1つ上流に
あるkで識別される通信装置の攻撃容疑トラヒックの伝
送帯域制限調整値をSs’(d+1,i,k)とすると、
請求項2に記載の分散型サービス不能攻撃防止方法であ
って、前記伝送帯域制限調整値は、ゲート装置または通
信装置がゲート装置から何ホップ目に存在するかを示す
階層の深さをd、同一の深さdにおいてゲート装置また
は通信装置を識別する番号をi、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑パケットの
伝送帯域調整値をSs’(d,i)、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑トラヒック
の合計入力伝送帯域値をT(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にある通
信装置を識別するための番号をk、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にあるk
で識別される通信装置から通知された攻撃容疑トラヒッ
クの合計入力伝送帯域値をB(d+1,i,k)、深さdにある
iで識別されるゲート装置または通信装置の1つ上流に
あるkで識別される通信装置の攻撃容疑トラヒックの伝
送帯域制限調整値をSs’(d+1,i,k)とすると、
【数12】
により算出されることを特徴とする。
【0011】請求項4に記載の発明は、複数の通信装置
を網目状に接続してなるネットワークと、防御対象であ
るコンピュータおよびLANとの間に介挿されたゲート
装置において、入力される通信トラヒックをチェック
し、分散型サービス不能攻撃の攻撃容疑トラヒックを検
出するトラヒック監視手段と、当該ゲート装置における
前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲー
ト装置の1つ上流にある通信装置数とを基に、上流の前
記通信装置へ通知する前記トラヒック監視手段によって
検出された攻撃容疑トラヒックの伝送帯域制限値を算出
して上流の通信装置へ送信する帯域制限指示手段と、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限調整値と、前記上流の通信装置を介さずに当該ゲ
ート装置に入力される前記攻撃容疑トラヒックの伝送帯
域値と、前記上流の通信装置から受信した前記攻撃容疑
トラヒックの合計入力伝送帯域値とを基に、前記攻撃容
疑トラヒックの伝送帯域制限調整値を算出して前記上流
の通信装置へ送信する帯域制限調整手段と、を備えるこ
とを特徴とするゲート装置である。
を網目状に接続してなるネットワークと、防御対象であ
るコンピュータおよびLANとの間に介挿されたゲート
装置において、入力される通信トラヒックをチェック
し、分散型サービス不能攻撃の攻撃容疑トラヒックを検
出するトラヒック監視手段と、当該ゲート装置における
前記攻撃容疑トラヒックの伝送帯域制限値と、当該ゲー
ト装置の1つ上流にある通信装置数とを基に、上流の前
記通信装置へ通知する前記トラヒック監視手段によって
検出された攻撃容疑トラヒックの伝送帯域制限値を算出
して上流の通信装置へ送信する帯域制限指示手段と、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限調整値と、前記上流の通信装置を介さずに当該ゲ
ート装置に入力される前記攻撃容疑トラヒックの伝送帯
域値と、前記上流の通信装置から受信した前記攻撃容疑
トラヒックの合計入力伝送帯域値とを基に、前記攻撃容
疑トラヒックの伝送帯域制限調整値を算出して前記上流
の通信装置へ送信する帯域制限調整手段と、を備えるこ
とを特徴とするゲート装置である。
【0012】請求項5に記載の発明は、請求項4に記載
のゲート装置であって、前記帯域制限指示手段は、前記
伝送帯域制限値を、ゲート装置または通信装置がゲート
装置から何ホップ目に存在するかを示す階層の深さを
d、同一の深さdにおいてゲート装置または通信装置を
識別する番号をi、深さdにあるiで識別されるゲート
装置または通信装置の攻撃容疑パケットの伝送帯域制限
値をSs(d,i)、深さdにあるiで識別されるゲート装
置または通信装置の1つ上流にある通信装置数をnu(d,
i)、深さdにあるiで識別されるゲート装置または通信
装置の1つ上流にある通信装置を識別するための番号を
k、深さdにあるiで識別されるゲート装置または通信
装置の1つ上流にあるkで識別される通信装置の攻撃容
疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とする
と、
のゲート装置であって、前記帯域制限指示手段は、前記
伝送帯域制限値を、ゲート装置または通信装置がゲート
装置から何ホップ目に存在するかを示す階層の深さを
d、同一の深さdにおいてゲート装置または通信装置を
識別する番号をi、深さdにあるiで識別されるゲート
装置または通信装置の攻撃容疑パケットの伝送帯域制限
値をSs(d,i)、深さdにあるiで識別されるゲート装
置または通信装置の1つ上流にある通信装置数をnu(d,
i)、深さdにあるiで識別されるゲート装置または通信
装置の1つ上流にある通信装置を識別するための番号を
k、深さdにあるiで識別されるゲート装置または通信
装置の1つ上流にあるkで識別される通信装置の攻撃容
疑トラヒックの伝送帯域制限値をSs(d+1,i,k)とする
と、
【数13】
により算出し、前記帯域制限調整手段は、前記伝送帯域
制限調整値を、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域調整値をS
s’(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑トラヒックの合計入力伝送帯域
値をT(d,i)、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にある通信装置を識別するた
めの番号をk、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にあるkで識別される通信装
置から通知された攻撃容疑トラヒックの合計入力伝送帯
域値をB(d+1,i,k)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限調整値を
Ss’(d+1,i,k)とすると、
制限調整値を、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域調整値をS
s’(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑トラヒックの合計入力伝送帯域
値をT(d,i)、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にある通信装置を識別するた
めの番号をk、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にあるkで識別される通信装
置から通知された攻撃容疑トラヒックの合計入力伝送帯
域値をB(d+1,i,k)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限調整値を
Ss’(d+1,i,k)とすると、
【数14】
により算出することを特徴とする。
【0013】請求項6に記載の発明は、防御対象である
コンピュータおよびLANを防御するゲート装置が接続
されたネットワークのノードを構成する通信装置におい
て、下流のゲート装置あるいは通信装置から攻撃容疑ト
ラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラ
ヒックの伝送帯域を前記伝送帯域制限値に制限する帯域
制御手段と、前記受信した伝送帯域制限値と、当該通信
装置の1つ上流にある通信装置数とを基に、上流の前記
通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域
制限値を算出して上流の通信装置へ送信する帯域制限指
示手段と、前記上流の通信装置を介さずに当該通信装置
に入力される前記攻撃容疑トラヒックの伝送帯域値と、
前記上流の通信装置から受信した前記攻撃容疑トラヒッ
クの合計入力伝送帯域値とを合計した当該通信装置にお
ける前記攻撃容疑トラヒックの合計入力伝送帯域値を前
記下流のゲート装置または通信装置に通知する帯域通知
手段と、前記下流のゲート装置あるいは通信装置から攻
撃容疑トラヒックの伝送帯域制限調整値を受信し、前記
攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整
値に制限する帯域制御調整手段と、前記上流の通信装置
から受信した前記攻撃容疑トラヒックの合計入力伝送帯
域値と、前記上流の通信装置を介さずに当該通信装置に
入力される攻撃容疑トラヒックの伝送帯域値と、前記受
信した伝送帯域調整値とを基に、上流の通信装置へ通知
する前記攻撃容疑トラヒックの伝送帯域制限調整値を算
出して、前記上流の通信装置へ送信する帯域制限調整手
段と、を備えることを特徴とする通信装置である。
コンピュータおよびLANを防御するゲート装置が接続
されたネットワークのノードを構成する通信装置におい
て、下流のゲート装置あるいは通信装置から攻撃容疑ト
ラヒックの伝送帯域制限値を受信し、前記攻撃容疑トラ
ヒックの伝送帯域を前記伝送帯域制限値に制限する帯域
制御手段と、前記受信した伝送帯域制限値と、当該通信
装置の1つ上流にある通信装置数とを基に、上流の前記
通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域
制限値を算出して上流の通信装置へ送信する帯域制限指
示手段と、前記上流の通信装置を介さずに当該通信装置
に入力される前記攻撃容疑トラヒックの伝送帯域値と、
前記上流の通信装置から受信した前記攻撃容疑トラヒッ
クの合計入力伝送帯域値とを合計した当該通信装置にお
ける前記攻撃容疑トラヒックの合計入力伝送帯域値を前
記下流のゲート装置または通信装置に通知する帯域通知
手段と、前記下流のゲート装置あるいは通信装置から攻
撃容疑トラヒックの伝送帯域制限調整値を受信し、前記
攻撃容疑トラヒックの伝送帯域を前記伝送帯域制限調整
値に制限する帯域制御調整手段と、前記上流の通信装置
から受信した前記攻撃容疑トラヒックの合計入力伝送帯
域値と、前記上流の通信装置を介さずに当該通信装置に
入力される攻撃容疑トラヒックの伝送帯域値と、前記受
信した伝送帯域調整値とを基に、上流の通信装置へ通知
する前記攻撃容疑トラヒックの伝送帯域制限調整値を算
出して、前記上流の通信装置へ送信する帯域制限調整手
段と、を備えることを特徴とする通信装置である。
【0014】請求項7に記載の発明は、請求項6に記載
の通信装置であって、前記帯域制限指示手段は、前記伝
送帯域制限値を、ゲート装置または通信装置がゲート装
置から何ホップ目に存在するかを示す階層の深さをd、
同一の深さdにおいてゲート装置または通信装置を識別
する番号をi、深さdにあるiで識別されるゲート装置
または通信装置の攻撃容疑パケットの伝送帯域制限値を
Ss(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の1つ上流にある通信装置数をnu(d,i)、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にある通信装置を識別するための番号をk、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にあるkで識別される通信装置の攻撃容疑ト
ラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
の通信装置であって、前記帯域制限指示手段は、前記伝
送帯域制限値を、ゲート装置または通信装置がゲート装
置から何ホップ目に存在するかを示す階層の深さをd、
同一の深さdにおいてゲート装置または通信装置を識別
する番号をi、深さdにあるiで識別されるゲート装置
または通信装置の攻撃容疑パケットの伝送帯域制限値を
Ss(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の1つ上流にある通信装置数をnu(d,i)、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にある通信装置を識別するための番号をk、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にあるkで識別される通信装置の攻撃容疑ト
ラヒックの伝送帯域制限値をSs(d+1,i,k)とすると、
【数15】
により算出し、前記帯域制限調整手段は、前記伝送帯域
制限調整値を、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域調整値をS
s’(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑トラヒックの合計入力伝送帯域
値をT(d,i)、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にある通信装置を識別するた
めの番号をk、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にあるkで識別される通信装
置から通知された攻撃容疑トラヒックの合計入力伝送帯
域値をB(d+1,i,k)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限調整値を
Ss’(d+1,i,k)とすると、
制限調整値を、ゲート装置または通信装置がゲート装置
から何ホップ目に存在するかを示す階層の深さをd、同
一の深さdにおいてゲート装置または通信装置を識別す
る番号をi、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑パケットの伝送帯域調整値をS
s’(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の攻撃容疑トラヒックの合計入力伝送帯域
値をT(d,i)、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にある通信装置を識別するた
めの番号をk、深さdにあるiで識別されるゲート装置
または通信装置の1つ上流にあるkで識別される通信装
置から通知された攻撃容疑トラヒックの合計入力伝送帯
域値をB(d+1,i,k)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限調整値を
Ss’(d+1,i,k)とすると、
【数16】
により算出することを特徴とする。
【0015】請求項8に記載の発明は、複数の通信装置
を網目状に接続してなるネットワークと、防御対象であ
るコンピュータおよびLANとの間に介挿されたゲート
装置上で実行されるコンピュータプログラムであって、
入力される通信トラヒックをチェックし、分散型サービ
ス不能攻撃の攻撃容疑トラヒックを検出した場合に、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限値と、当該ゲート装置の1つ上流にある通信装置
数とを基に、上流の前記通信装置へ通知する前記攻撃容
疑トラヒックの伝送帯域制限値を算出して上流の通信装
置へ送信するステップと、前記上流の通信装置を介さず
に当該ゲート装置に入力される前記攻撃容疑トラヒック
の伝送帯域値と、前記上流の通信装置から受信した前記
攻撃容疑トラヒックの合計入力伝送帯域値とを基に、前
記攻撃容疑トラヒックの伝送帯域制限調整値を算出して
前記上流の通信装置へ送信するステップと、をコンピュ
ータに実行させることを特徴とする分散型サービス不能
攻撃防止プログラムである。
を網目状に接続してなるネットワークと、防御対象であ
るコンピュータおよびLANとの間に介挿されたゲート
装置上で実行されるコンピュータプログラムであって、
入力される通信トラヒックをチェックし、分散型サービ
ス不能攻撃の攻撃容疑トラヒックを検出した場合に、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限値と、当該ゲート装置の1つ上流にある通信装置
数とを基に、上流の前記通信装置へ通知する前記攻撃容
疑トラヒックの伝送帯域制限値を算出して上流の通信装
置へ送信するステップと、前記上流の通信装置を介さず
に当該ゲート装置に入力される前記攻撃容疑トラヒック
の伝送帯域値と、前記上流の通信装置から受信した前記
攻撃容疑トラヒックの合計入力伝送帯域値とを基に、前
記攻撃容疑トラヒックの伝送帯域制限調整値を算出して
前記上流の通信装置へ送信するステップと、をコンピュ
ータに実行させることを特徴とする分散型サービス不能
攻撃防止プログラムである。
【0016】請求項9に記載の発明は、防御対象である
コンピュータおよびLANを防御するゲート装置が接続
されたネットワークのノードを構成する通信装置上で実
行されるコンピュータプログラムであって、下流のゲー
ト装置又は通信装置から攻撃容疑トラヒックの伝送帯域
制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を
前記伝送帯域制限値に制限するステップと、前記受信し
た伝送帯域制限値と、当該通信装置の1つ上流にある通
信装置数とを基に、上流の前記通信装置へ通知する前記
攻撃容疑トラヒックの伝送帯域制限値を算出して、上流
の通信装置へ送信するステップと、前記上流の通信装置
を介さずに当該通信装置に入力される攻撃容疑トラヒッ
クの伝送帯域値と、前記上流の通信装置から受信した合
計入力伝送帯域値とを合計した、当該通信装置における
前記攻撃容疑トラヒックの合計入力伝送帯域値を前記下
流のゲート装置又は通信装置に送信するステップと、前
記下流のゲート装置又は通信装置から伝送帯域制限調整
値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記
伝送帯域制限調整値に制限するステップと、前記受信し
た伝送帯域制限調整値と、前記上流の通信装置を介さず
に当該通信装置に入力される前記攻撃容疑トラヒックの
伝送帯域値と、前記上流の通信装置から受信した前記攻
撃容疑トラヒックの合計入力伝送帯域値とを基に、上流
の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯
域制限調整値を算出して、前記1つ上流の通信装置へ送
信するステップと、をコンピュータに実行させることを
特徴とする分散型サービス不能攻撃防止プログラムであ
る。
コンピュータおよびLANを防御するゲート装置が接続
されたネットワークのノードを構成する通信装置上で実
行されるコンピュータプログラムであって、下流のゲー
ト装置又は通信装置から攻撃容疑トラヒックの伝送帯域
制限値を受信し、前記攻撃容疑トラヒックの伝送帯域を
前記伝送帯域制限値に制限するステップと、前記受信し
た伝送帯域制限値と、当該通信装置の1つ上流にある通
信装置数とを基に、上流の前記通信装置へ通知する前記
攻撃容疑トラヒックの伝送帯域制限値を算出して、上流
の通信装置へ送信するステップと、前記上流の通信装置
を介さずに当該通信装置に入力される攻撃容疑トラヒッ
クの伝送帯域値と、前記上流の通信装置から受信した合
計入力伝送帯域値とを合計した、当該通信装置における
前記攻撃容疑トラヒックの合計入力伝送帯域値を前記下
流のゲート装置又は通信装置に送信するステップと、前
記下流のゲート装置又は通信装置から伝送帯域制限調整
値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記
伝送帯域制限調整値に制限するステップと、前記受信し
た伝送帯域制限調整値と、前記上流の通信装置を介さず
に当該通信装置に入力される前記攻撃容疑トラヒックの
伝送帯域値と、前記上流の通信装置から受信した前記攻
撃容疑トラヒックの合計入力伝送帯域値とを基に、上流
の通信装置へ通知する前記攻撃容疑トラヒックの伝送帯
域制限調整値を算出して、前記1つ上流の通信装置へ送
信するステップと、をコンピュータに実行させることを
特徴とする分散型サービス不能攻撃防止プログラムであ
る。
【0017】請求項10に記載の発明は、請求項8また
は請求項9に記載の分散型サービス不能攻撃防止プログ
ラムであって、前記伝送帯域制限値は、ゲート装置また
は通信装置がゲート装置から何ホップ目に存在するかを
示す階層の深さをd、同一の深さdにおいてゲート装置
または通信装置を識別する番号をi、深さdにあるiで
識別されるゲート装置または通信装置の攻撃容疑パケッ
トの伝送帯域制限値をSs(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にある通
信装置数をnu(d,i)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にある通信装置を識別
するための番号をk、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs
(d+1,i,k)とすると、
は請求項9に記載の分散型サービス不能攻撃防止プログ
ラムであって、前記伝送帯域制限値は、ゲート装置また
は通信装置がゲート装置から何ホップ目に存在するかを
示す階層の深さをd、同一の深さdにおいてゲート装置
または通信装置を識別する番号をi、深さdにあるiで
識別されるゲート装置または通信装置の攻撃容疑パケッ
トの伝送帯域制限値をSs(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にある通
信装置数をnu(d,i)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にある通信装置を識別
するための番号をk、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs
(d+1,i,k)とすると、
【数17】
により算出され、前記伝送帯域制限調整値は、ゲート装
置または通信装置がゲート装置から何ホップ目に存在す
るかを示す階層の深さをd、同一の深さdにおいてゲー
ト装置または通信装置を識別する番号をi、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
パケットの伝送帯域調整値をSs’(d,i)、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
トラヒックの合計入力伝送帯域値をT(d,i)、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にある通信装置を識別するための番号をk、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にあるkで識別される通信装置から通知された攻撃容
疑トラヒックの合計入力伝送帯域値をB(d+1,i,k)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限調整値をSs’(d+1,i,k)とする
と、
置または通信装置がゲート装置から何ホップ目に存在す
るかを示す階層の深さをd、同一の深さdにおいてゲー
ト装置または通信装置を識別する番号をi、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
パケットの伝送帯域調整値をSs’(d,i)、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
トラヒックの合計入力伝送帯域値をT(d,i)、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にある通信装置を識別するための番号をk、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にあるkで識別される通信装置から通知された攻撃容
疑トラヒックの合計入力伝送帯域値をB(d+1,i,k)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限調整値をSs’(d+1,i,k)とする
と、
【数18】
により算出されることを特徴とする。
【0018】請求項11に記載の発明は、複数の通信装
置を網目状に接続してなるネットワークと、防御対象で
あるコンピュータおよびLANとの間に介挿されたゲー
ト装置上で実行されるコンピュータプログラムを記緑し
たコンピュータ読み取り可能な記録媒体であって、入力
される通信トラヒックをチェックし、分散型サービス不
能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲ
ート装置における前記攻撃容疑トラヒックの伝送帯域制
限値と、当該ゲート装置の1つ上流にある通信装置数と
を基に、上流の前記通信装置へ通知する前記攻撃容疑ト
ラヒックの伝送帯域制限値を算出して上流の通信装置へ
送信するステップと、前記上流の通信装置を介さずに当
該ゲート装置に入力される前記攻撃容疑トラヒックの伝
送帯域値と、前記上流の通信装置から受信した前記攻撃
容疑トラヒックの合計入力伝送帯域値とを基に、前記攻
撃容疑トラヒックの伝送帯域制限調整値を算出して前記
上流の通信装置へ送信するステップと、の各処理をコン
ピュータに実行させる分散型サービス不能攻撃防止プロ
グラムを記録することを特徴とする記録媒体である。
置を網目状に接続してなるネットワークと、防御対象で
あるコンピュータおよびLANとの間に介挿されたゲー
ト装置上で実行されるコンピュータプログラムを記緑し
たコンピュータ読み取り可能な記録媒体であって、入力
される通信トラヒックをチェックし、分散型サービス不
能攻撃の攻撃容疑トラヒックを検出した場合に、当該ゲ
ート装置における前記攻撃容疑トラヒックの伝送帯域制
限値と、当該ゲート装置の1つ上流にある通信装置数と
を基に、上流の前記通信装置へ通知する前記攻撃容疑ト
ラヒックの伝送帯域制限値を算出して上流の通信装置へ
送信するステップと、前記上流の通信装置を介さずに当
該ゲート装置に入力される前記攻撃容疑トラヒックの伝
送帯域値と、前記上流の通信装置から受信した前記攻撃
容疑トラヒックの合計入力伝送帯域値とを基に、前記攻
撃容疑トラヒックの伝送帯域制限調整値を算出して前記
上流の通信装置へ送信するステップと、の各処理をコン
ピュータに実行させる分散型サービス不能攻撃防止プロ
グラムを記録することを特徴とする記録媒体である。
【0019】請求項12に記載の発明は、防御対象であ
るコンピュータおよびLANを防御するゲート装置が接
続されたネットワークのノードを構成する通信装置上で
実行されるコンピュータプログラムを記録したコンピュ
ータ読み取り可能な記録媒体であって、下流のゲート装
置又は通信装置から攻撃容疑トラヒックの伝送帯域制限
値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記
伝送帯域制限値に制限するステップと、前記受信した伝
送帯域制限値と、当該通信装置の1つ上流にある通信装
置数とを基に、上流の前記通信装置へ通知する前記攻撃
容疑トラヒックの伝送帯域制限値を算出して、上流の通
信装置へ送信するステップと、前記上流の通信装置を介
さずに当該通信装置に入力される攻撃容疑トラヒックの
伝送帯域値と、前記上流の通信装置から受信した合計入
力伝送帯域値とを合計した、当該通信装置における前記
攻撃容疑トラヒックの合計入力伝送帯域値を前記下流の
ゲート装置又は通信装置に送信するステップと、前記下
流のゲート装置又は通信装置から伝送帯域制限調整値を
受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送
帯域制限調整値に制限するステップと、前記受信した伝
送帯域制限調整値と、前記上流の通信装置を介さずに当
該通信装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、上流の通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限調整値を算出して、前記1つ上流の通信装置へ送信す
るステップと、の各処理をコンピュータに実行させる分
散型サービス不能攻撃防止プログラムを記録することを
特徴とする記録媒体である。
るコンピュータおよびLANを防御するゲート装置が接
続されたネットワークのノードを構成する通信装置上で
実行されるコンピュータプログラムを記録したコンピュ
ータ読み取り可能な記録媒体であって、下流のゲート装
置又は通信装置から攻撃容疑トラヒックの伝送帯域制限
値を受信し、前記攻撃容疑トラヒックの伝送帯域を前記
伝送帯域制限値に制限するステップと、前記受信した伝
送帯域制限値と、当該通信装置の1つ上流にある通信装
置数とを基に、上流の前記通信装置へ通知する前記攻撃
容疑トラヒックの伝送帯域制限値を算出して、上流の通
信装置へ送信するステップと、前記上流の通信装置を介
さずに当該通信装置に入力される攻撃容疑トラヒックの
伝送帯域値と、前記上流の通信装置から受信した合計入
力伝送帯域値とを合計した、当該通信装置における前記
攻撃容疑トラヒックの合計入力伝送帯域値を前記下流の
ゲート装置又は通信装置に送信するステップと、前記下
流のゲート装置又は通信装置から伝送帯域制限調整値を
受信し、前記攻撃容疑トラヒックの伝送帯域を前記伝送
帯域制限調整値に制限するステップと、前記受信した伝
送帯域制限調整値と、前記上流の通信装置を介さずに当
該通信装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、上流の通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限調整値を算出して、前記1つ上流の通信装置へ送信す
るステップと、の各処理をコンピュータに実行させる分
散型サービス不能攻撃防止プログラムを記録することを
特徴とする記録媒体である。
【0020】請求項13に記載の発明は、請求項11ま
たは請求項12に記載の分散型サービス不能攻撃防止プ
ログラムを記録することを特徴とする記録媒体であっ
て、前記伝送帯域制限値は、ゲート装置または通信装置
がゲート装置から何ホップ目に存在するかを示す階層の
深さをd、同一の深さdにおいてゲート装置または通信
装置を識別する番号をi、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑パケットの伝送帯
域制限値をSs(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にある通信装置数を
nu(d,i)、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にある通信装置を識別するための
番号をk、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にあるkで識別される通信装置の
攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)
とすると、
たは請求項12に記載の分散型サービス不能攻撃防止プ
ログラムを記録することを特徴とする記録媒体であっ
て、前記伝送帯域制限値は、ゲート装置または通信装置
がゲート装置から何ホップ目に存在するかを示す階層の
深さをd、同一の深さdにおいてゲート装置または通信
装置を識別する番号をi、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑パケットの伝送帯
域制限値をSs(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にある通信装置数を
nu(d,i)、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にある通信装置を識別するための
番号をk、深さdにあるiで識別されるゲート装置また
は通信装置の1つ上流にあるkで識別される通信装置の
攻撃容疑トラヒックの伝送帯域制限値をSs(d+1,i,k)
とすると、
【数19】
により算出され、前記伝送帯域制限調整値は、ゲート装
置または通信装置がゲート装置から何ホップ目に存在す
るかを示す階層の深さをd、同一の深さdにおいてゲー
ト装置または通信装置を識別する番号をi、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
パケットの伝送帯域調整値をSs’(d,i)、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
トラヒックの合計入力伝送帯域値をT(d,i)、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にある通信装置を識別するための番号をk、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にあるkで識別される通信装置から通知された攻撃容
疑トラヒックの合計入力伝送帯域値をB(d+1,i,k)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限調整値をSs’(d+1,i,k)とする
と、
置または通信装置がゲート装置から何ホップ目に存在す
るかを示す階層の深さをd、同一の深さdにおいてゲー
ト装置または通信装置を識別する番号をi、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
パケットの伝送帯域調整値をSs’(d,i)、深さdにあ
るiで識別されるゲート装置または通信装置の攻撃容疑
トラヒックの合計入力伝送帯域値をT(d,i)、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にある通信装置を識別するための番号をk、深さdに
あるiで識別されるゲート装置または通信装置の1つ上
流にあるkで識別される通信装置から通知された攻撃容
疑トラヒックの合計入力伝送帯域値をB(d+1,i,k)、深
さdにあるiで識別されるゲート装置または通信装置の
1つ上流にあるkで識別される通信装置の攻撃容疑トラ
ヒックの伝送帯域制限調整値をSs’(d+1,i,k)とする
と、
【数20】
により算出されることを特徴とする。
【0021】
【発明の実施の形態】以下図面を参照し、この発明の一
実施の形態について説明する。図1は、同実施の形態を
適用したネットワークの構成図である。この図におい
て、2000はサーバ、2001はこの発明の一実施形
態によるゲート装置(ゲートウェイ)、2002〜20
06はこの発明の一実施形態による通信装置(ルー
タ)、2007〜2011は端末装置、2012はこの
発明の技術を適用したものではない一般通信装置(ルー
タ)である。DDoS攻撃の被攻撃者のサーバ2000
が収容されているLAN(ローカルエリアネットワー
ク)は、ゲート装置2001によって外部のネットワー
クに接続されている。そして、ネットワークは通信装置
2002、2003、2004、2005、2006及
び一般通信装置2012を有している。DDoS攻撃者
によって操作された端末装置2007、2008、20
09、2010が、攻撃パケットを被攻撃者のサーバ2
000に向かって送信すると、攻撃パケットが被攻撃者
収容LANに集中して混雑が発生することにより、ゲー
ト装置2001の資源を消費してしまい、DDoS攻撃
者とは無関係な正規利用者の端末2011からサーバ2
000に接続できなくなるという現象が起こる。
実施の形態について説明する。図1は、同実施の形態を
適用したネットワークの構成図である。この図におい
て、2000はサーバ、2001はこの発明の一実施形
態によるゲート装置(ゲートウェイ)、2002〜20
06はこの発明の一実施形態による通信装置(ルー
タ)、2007〜2011は端末装置、2012はこの
発明の技術を適用したものではない一般通信装置(ルー
タ)である。DDoS攻撃の被攻撃者のサーバ2000
が収容されているLAN(ローカルエリアネットワー
ク)は、ゲート装置2001によって外部のネットワー
クに接続されている。そして、ネットワークは通信装置
2002、2003、2004、2005、2006及
び一般通信装置2012を有している。DDoS攻撃者
によって操作された端末装置2007、2008、20
09、2010が、攻撃パケットを被攻撃者のサーバ2
000に向かって送信すると、攻撃パケットが被攻撃者
収容LANに集中して混雑が発生することにより、ゲー
ト装置2001の資源を消費してしまい、DDoS攻撃
者とは無関係な正規利用者の端末2011からサーバ2
000に接続できなくなるという現象が起こる。
【0022】ゲート装置2001は、予めサーバ200
0を保有する利用者が設定した攻撃容疑検出条件を記憶
している。図2に攻撃容疑検出条件の設定の例を示す。
さらに、ゲート装置2001は、防御対象のサーバ20
00及びサーバ2000が収容されているLANの所有
者によって予め設定された伝送帯域制限値を記憶してい
る。
0を保有する利用者が設定した攻撃容疑検出条件を記憶
している。図2に攻撃容疑検出条件の設定の例を示す。
さらに、ゲート装置2001は、防御対象のサーバ20
00及びサーバ2000が収容されているLANの所有
者によって予め設定された伝送帯域制限値を記憶してい
る。
【0023】図2における攻撃容疑検出条件は、検出属
性、検出閾値及び検出間隔の組からなる3組のレコード
で構成される。ここでは、番号はレコードを特定するた
めに便宜上使用される。攻撃容疑検出条件は、受信パケ
ットが攻撃パケットである可能性がある攻撃容疑パケッ
トを検出するために使用され、3組のレコードの内のい
ずれかのレコードの条件にトラヒックが一致した場合、
このトラヒックの通信パケットは攻撃容疑パケットであ
ると認識される。検出属性は、IPパケットの第3/4
層属性種別とそれら属性値の組を指定するが、第3層属
性であるIPの「Destination IP Address(宛先IPア
ドレス)」という属性種別は必ず指定される。図2にお
いて、番号1のレコードの検出属性は、「Destination
IP Address(宛先IPアドレス)」が「192.168.1.1/3
2」であり(dst=192.168.1.1/32)、IPの上位層(第
4層)のプロトコル種別を示す「Protocol(プロトコ
ル)」が「TCP」であり(Protocol=TCP)、かつ、第
4層プロトコルがどのアプリケーションの情報かを示す
「Destination Port(宛先ポート番号)」が「80」で
ある(Port=80)という属性種別とそれら属性値の組で
指定される。番号2のレコード検出属性は、「Destinat
ion IP Address(宛先IPアドレス)」が「192.168.1.
2/32」であり(dst=192.168.1.2/32)、かつ、「Protoc
ol(プロトコル)」が「UDP(User Datagram protoc
ol)」である(Protocol=UDP)という属性種別とそれら
属性値の組で指定される。また、番号3のレコード検出
属性は、「Destination IP Address(宛先IPアドレ
ス)」が「192.168.1.0/24」である属性種別とその属性
値で指定される。検出閾値は、同じレコードで指定され
る検出属性を持つ受信パケットのトラヒックを攻撃容疑
トラヒックとして検出するための最低の伝送帯域を、検
出間隔は同じく最低の連続時間を示している。
性、検出閾値及び検出間隔の組からなる3組のレコード
で構成される。ここでは、番号はレコードを特定するた
めに便宜上使用される。攻撃容疑検出条件は、受信パケ
ットが攻撃パケットである可能性がある攻撃容疑パケッ
トを検出するために使用され、3組のレコードの内のい
ずれかのレコードの条件にトラヒックが一致した場合、
このトラヒックの通信パケットは攻撃容疑パケットであ
ると認識される。検出属性は、IPパケットの第3/4
層属性種別とそれら属性値の組を指定するが、第3層属
性であるIPの「Destination IP Address(宛先IPア
ドレス)」という属性種別は必ず指定される。図2にお
いて、番号1のレコードの検出属性は、「Destination
IP Address(宛先IPアドレス)」が「192.168.1.1/3
2」であり(dst=192.168.1.1/32)、IPの上位層(第
4層)のプロトコル種別を示す「Protocol(プロトコ
ル)」が「TCP」であり(Protocol=TCP)、かつ、第
4層プロトコルがどのアプリケーションの情報かを示す
「Destination Port(宛先ポート番号)」が「80」で
ある(Port=80)という属性種別とそれら属性値の組で
指定される。番号2のレコード検出属性は、「Destinat
ion IP Address(宛先IPアドレス)」が「192.168.1.
2/32」であり(dst=192.168.1.2/32)、かつ、「Protoc
ol(プロトコル)」が「UDP(User Datagram protoc
ol)」である(Protocol=UDP)という属性種別とそれら
属性値の組で指定される。また、番号3のレコード検出
属性は、「Destination IP Address(宛先IPアドレ
ス)」が「192.168.1.0/24」である属性種別とその属性
値で指定される。検出閾値は、同じレコードで指定され
る検出属性を持つ受信パケットのトラヒックを攻撃容疑
トラヒックとして検出するための最低の伝送帯域を、検
出間隔は同じく最低の連続時間を示している。
【0024】また、ゲート装置2001及び通信装置2
002〜2006は、攻撃容疑パケットのトラヒックを
分析し、不正トラヒックを検出するための不正トラヒッ
ク検出条件を保有する。図3に不正トラヒック検出条件
の設定の例を示す。ここでは、番号はレコードを特定す
るために便宜上使用される。不正トラヒック条件は、既
知のDDoS攻撃の複数のトラヒックパターンから構成
され、攻撃容疑パケットのトラヒックがいずれかのトラ
ヒックパターンに合致した場合に、不正トラヒックであ
ると認識される。図3の番号1の不正トラヒック条件
は、「伝送帯域T1Kbps以上のパケットがS1秒以
上連続送信されている」というトラヒックパターンを示
している。また、番号2の不正トラヒック条件は、「伝
送帯域T2Kbps以上、第3層プロトコルであるIC
MP(Internet Control Message Protocol)上のエコ
ー応答(Echo Reply)メッセージのパケットがS2秒以
上連続送信されている」というトラヒックパターンを示
している。番号3の不正トラヒック条件は、「伝送帯域
T3Kbps以上、データが長すぎるためパケットに含
まれるデータは複数IPパケットに分割して送信してい
ることを示すフラグメントパケットがS3秒以上連続送
信されている」というトラヒックパターンを示してい
る。
002〜2006は、攻撃容疑パケットのトラヒックを
分析し、不正トラヒックを検出するための不正トラヒッ
ク検出条件を保有する。図3に不正トラヒック検出条件
の設定の例を示す。ここでは、番号はレコードを特定す
るために便宜上使用される。不正トラヒック条件は、既
知のDDoS攻撃の複数のトラヒックパターンから構成
され、攻撃容疑パケットのトラヒックがいずれかのトラ
ヒックパターンに合致した場合に、不正トラヒックであ
ると認識される。図3の番号1の不正トラヒック条件
は、「伝送帯域T1Kbps以上のパケットがS1秒以
上連続送信されている」というトラヒックパターンを示
している。また、番号2の不正トラヒック条件は、「伝
送帯域T2Kbps以上、第3層プロトコルであるIC
MP(Internet Control Message Protocol)上のエコ
ー応答(Echo Reply)メッセージのパケットがS2秒以
上連続送信されている」というトラヒックパターンを示
している。番号3の不正トラヒック条件は、「伝送帯域
T3Kbps以上、データが長すぎるためパケットに含
まれるデータは複数IPパケットに分割して送信してい
ることを示すフラグメントパケットがS3秒以上連続送
信されている」というトラヒックパターンを示してい
る。
【0025】ここで、ゲート装置2001及び通信装置
2002〜2006が備える帯域制御モデルを説明す
る。図4は本実施の形態におけるゲート装置2001及
び通信装置2002〜2006が備える帯域制御モデル
を示す。帯域制御モデルは、入力パケットをクラス別に
分類し、このクラスに従ってパケットの出力帯域制御を
実現するためのモデルを示す。フィルタ2021は、入
力されたパケットを正規クラス2022、容疑クラス2
026、不正クラス2024の3つのクラスに分類す
る。なお、このフィルタ2021の分類アルゴリズムは
後述する。正規クラス2022はデフォルトクラスであ
り、正規クラス2022に分類されたパケットは正規キ
ュー2023につながれ、伝送帯域を制限せずに出力さ
れる。容疑クラス2026に分類されたパケットは、容
疑パケットか否かを判断するための防御対象のサーバ2
000及びサーバ2000が収容されているLAN毎に
発生する容疑キュー2027につながれ、防御対象のサ
ーバ2000及びサーバ2000が収容されているLA
Nの所有者によって予め設定された伝送帯域制限値に出
力伝送帯域が制限される。なお、容疑シグネチャの生成
については後述する。サーバ2000を収容しているゲ
ート装置2001の容疑キューの伝送帯域制限値は防御
対象のサーバ2000及びサーバ2000が収容されて
いるLANの所有者によって予め設定された伝送帯域制
限値を使用するが、上流の通信装置2002〜2006
では、下流の通信装置から受信した伝送帯域制限値を使
用する。不正クラス2024に分類されたパケットは、
不正キュー2025につながれ、サーバ所有者やネット
ワークのポリシーに関わらず、0または0に近い伝送帯
域に制限される。
2002〜2006が備える帯域制御モデルを説明す
る。図4は本実施の形態におけるゲート装置2001及
び通信装置2002〜2006が備える帯域制御モデル
を示す。帯域制御モデルは、入力パケットをクラス別に
分類し、このクラスに従ってパケットの出力帯域制御を
実現するためのモデルを示す。フィルタ2021は、入
力されたパケットを正規クラス2022、容疑クラス2
026、不正クラス2024の3つのクラスに分類す
る。なお、このフィルタ2021の分類アルゴリズムは
後述する。正規クラス2022はデフォルトクラスであ
り、正規クラス2022に分類されたパケットは正規キ
ュー2023につながれ、伝送帯域を制限せずに出力さ
れる。容疑クラス2026に分類されたパケットは、容
疑パケットか否かを判断するための防御対象のサーバ2
000及びサーバ2000が収容されているLAN毎に
発生する容疑キュー2027につながれ、防御対象のサ
ーバ2000及びサーバ2000が収容されているLA
Nの所有者によって予め設定された伝送帯域制限値に出
力伝送帯域が制限される。なお、容疑シグネチャの生成
については後述する。サーバ2000を収容しているゲ
ート装置2001の容疑キューの伝送帯域制限値は防御
対象のサーバ2000及びサーバ2000が収容されて
いるLANの所有者によって予め設定された伝送帯域制
限値を使用するが、上流の通信装置2002〜2006
では、下流の通信装置から受信した伝送帯域制限値を使
用する。不正クラス2024に分類されたパケットは、
不正キュー2025につながれ、サーバ所有者やネット
ワークのポリシーに関わらず、0または0に近い伝送帯
域に制限される。
【0026】続いて、ゲート装置2001及び通信装置
2002〜2006が伝送帯域制限を実行するための、
フィルタ2021の分類アルゴリズムについて説明す
る。ゲート装置2001及び通信装置2002〜200
6は、当該通信装置に入力される全ての通信パケットを
この分類アルゴリズムで分類する。図5はフィルタ20
21における分類アルゴリズムを示す。まず、ステップ
S3003において、フィルタ2021は、入力された
パケットが不正シグネチャと合致するか判断する。不正
シグネチャに合致した場合、パケットは不正クラス20
24に分類される(ステップS3004)。不正シグネ
チャに合致しなかった場合は、ステップS3005に進
み、パケットが容疑シグネチャであるか判断し、容疑シ
グネチャに合致すれば容疑クラス2026へ分類され
(ステップS3006)、合致しない場合には正規クラ
ス2022へ分類される(ステップS3007)。この
ようにして各クラスに分類されたパケットは、正規キュ
ーであれば伝送帯域を制限せずに出力され、容疑キュー
及び不正キューであればそれぞれの伝送帯域制限値に従
って伝送帯域が制限されて出力される。なお、容疑シグ
ネチャ及び不正シグネチャの生成については後述する。
2002〜2006が伝送帯域制限を実行するための、
フィルタ2021の分類アルゴリズムについて説明す
る。ゲート装置2001及び通信装置2002〜200
6は、当該通信装置に入力される全ての通信パケットを
この分類アルゴリズムで分類する。図5はフィルタ20
21における分類アルゴリズムを示す。まず、ステップ
S3003において、フィルタ2021は、入力された
パケットが不正シグネチャと合致するか判断する。不正
シグネチャに合致した場合、パケットは不正クラス20
24に分類される(ステップS3004)。不正シグネ
チャに合致しなかった場合は、ステップS3005に進
み、パケットが容疑シグネチャであるか判断し、容疑シ
グネチャに合致すれば容疑クラス2026へ分類され
(ステップS3006)、合致しない場合には正規クラ
ス2022へ分類される(ステップS3007)。この
ようにして各クラスに分類されたパケットは、正規キュ
ーであれば伝送帯域を制限せずに出力され、容疑キュー
及び不正キューであればそれぞれの伝送帯域制限値に従
って伝送帯域が制限されて出力される。なお、容疑シグ
ネチャ及び不正シグネチャの生成については後述する。
【0027】次に、DDoS攻撃に対する対策方式の処
理手順を示す。まず、図6のゲート装置2001の攻撃
容疑パケット検出時の動作を示すフローチャート、図8
の通信装置2002、2003の伝送帯域制限指示受信
時の動作を示すフローチャート及び図9のゲート装置2
001及び通信装置2002〜2006の不正トラヒッ
ク検出時の動作を示すフローチャートを用いてDDoS
攻撃発生と同時に初期の伝送帯域制限を実施する処理手
順を説明する。
理手順を示す。まず、図6のゲート装置2001の攻撃
容疑パケット検出時の動作を示すフローチャート、図8
の通信装置2002、2003の伝送帯域制限指示受信
時の動作を示すフローチャート及び図9のゲート装置2
001及び通信装置2002〜2006の不正トラヒッ
ク検出時の動作を示すフローチャートを用いてDDoS
攻撃発生と同時に初期の伝送帯域制限を実施する処理手
順を説明する。
【0028】図6のステップS3011において、ゲー
ト装置2001は、攻撃容疑検出条件(図2)に従っ
て、検出間隔で指定されているより長い時間連続して、
検出閾値で指定されている以上の伝送帯域を使用してい
る、検出属性に合致するトラヒックをチェックし、3組
のレコードの内のいずれかのレコードに合致した場合、
このトラヒックを攻撃容疑トラヒックとして検出する。
すると、ステップS3012において、この検出された
攻撃容疑トラヒックが満たしている攻撃容疑検出条件の
レコードの検出属性を、容疑シグネチャとして生成す
る。容疑シグネチャは、攻撃容疑トラヒックの通信パケ
ット、すなわち攻撃容疑パケットを識別するために用い
られる。例えば、図2の設定例を用いて説明すると、番
号1のレコードの条件で検出されるパケットの容疑シグ
ネチャは{dst=192.168.1.1/32, Protocol=TCP, Port=8
0}となる。
ト装置2001は、攻撃容疑検出条件(図2)に従っ
て、検出間隔で指定されているより長い時間連続して、
検出閾値で指定されている以上の伝送帯域を使用してい
る、検出属性に合致するトラヒックをチェックし、3組
のレコードの内のいずれかのレコードに合致した場合、
このトラヒックを攻撃容疑トラヒックとして検出する。
すると、ステップS3012において、この検出された
攻撃容疑トラヒックが満たしている攻撃容疑検出条件の
レコードの検出属性を、容疑シグネチャとして生成す
る。容疑シグネチャは、攻撃容疑トラヒックの通信パケ
ット、すなわち攻撃容疑パケットを識別するために用い
られる。例えば、図2の設定例を用いて説明すると、番
号1のレコードの条件で検出されるパケットの容疑シグ
ネチャは{dst=192.168.1.1/32, Protocol=TCP, Port=8
0}となる。
【0029】次いで、ステップS3013において、ゲ
ート装置2001は、ステップS3012において生成
した容疑シグネチャをフィルタ2021に登録する。次
に、防御対象のサーバ2000及びサーバ2000が収
容されているLANの所有者によって予め設定された伝
送帯域制限値に攻撃容疑トラヒックの伝送帯域を制限す
るための容疑キュー2027を生成する。なお、同一防
御対象に関する容疑キューが既に生成済みの場合は、新
たな容疑キューの生成は行わない。これにより、以後、
図4に示す帯域制御モデルと図5に示すフィルタ202
1の分類アルゴリズムに従って、容疑シグネチャに合致
する攻撃容疑パケットの伝送帯域の制限が実行される。
ート装置2001は、ステップS3012において生成
した容疑シグネチャをフィルタ2021に登録する。次
に、防御対象のサーバ2000及びサーバ2000が収
容されているLANの所有者によって予め設定された伝
送帯域制限値に攻撃容疑トラヒックの伝送帯域を制限す
るための容疑キュー2027を生成する。なお、同一防
御対象に関する容疑キューが既に生成済みの場合は、新
たな容疑キューの生成は行わない。これにより、以後、
図4に示す帯域制御モデルと図5に示すフィルタ202
1の分類アルゴリズムに従って、容疑シグネチャに合致
する攻撃容疑パケットの伝送帯域の制限が実行される。
【0030】そして、ゲート装置2001は、ステップ
S3014において、容疑シグネチャと算出した攻撃容
疑パケットの伝送帯域制限値とを含んだ伝送帯域制限指
示を1つ上流にある通信装置2002、2003に送信
する。ここで、伝送帯域制限値の算出方法を説明する。
なお、本明細書においては、ゲート装置あるいは通信装
置を識別するための添え字を持つ
S3014において、容疑シグネチャと算出した攻撃容
疑パケットの伝送帯域制限値とを含んだ伝送帯域制限指
示を1つ上流にある通信装置2002、2003に送信
する。ここで、伝送帯域制限値の算出方法を説明する。
なお、本明細書においては、ゲート装置あるいは通信装
置を識別するための添え字を持つ
【数21】
などの変数を便宜上Ss(d+1,i,k)、Ss(d,i)、nu(d,
i)のように記述する。ネットワークにおいて、ゲート装
置2001の存在する階層を初期値0として通信装置が
ゲート装置2001から何ホップ目に存在するかを示す
階層の深さをd、同一の深さdにおいてゲート装置また
は通信装置を識別する番号をi、深さdにあるiで識別
される通信装置の攻撃容疑パケットの伝送帯域制限値を
Ss(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の1つ上流(すなわち深さd+1)にある
通信装置数をnu(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流(深さd+1)にあ
る通信装置を識別するための番号をk、深さdにあるi
で識別されるゲート装置または通信装置の1つ上流(深
さd+1)にあるkで識別される通信装置の攻撃容疑ト
ラヒックの伝送帯域制限値をSs(d+1,i,k)とする。こ
のとき、伝送帯域制限値は、以下の式で算出される。
i)のように記述する。ネットワークにおいて、ゲート装
置2001の存在する階層を初期値0として通信装置が
ゲート装置2001から何ホップ目に存在するかを示す
階層の深さをd、同一の深さdにおいてゲート装置また
は通信装置を識別する番号をi、深さdにあるiで識別
される通信装置の攻撃容疑パケットの伝送帯域制限値を
Ss(d,i)、深さdにあるiで識別されるゲート装置ま
たは通信装置の1つ上流(すなわち深さd+1)にある
通信装置数をnu(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流(深さd+1)にあ
る通信装置を識別するための番号をk、深さdにあるi
で識別されるゲート装置または通信装置の1つ上流(深
さd+1)にあるkで識別される通信装置の攻撃容疑ト
ラヒックの伝送帯域制限値をSs(d+1,i,k)とする。こ
のとき、伝送帯域制限値は、以下の式で算出される。
【数22】
よって、ゲート装置2001は、上記の式により、通信
装置2002、2003に指示する伝送帯域制限値を算
出する。これは、ゲート装置2001は、自身が持つ伝
送帯域制限値を1つ上流の通信装置全てに均等に割り当
てることを示す。図7は図1の構成における伝送帯域制
限値の算出の例を示す図である。この図において、ゲー
ト装置2001は深さd=0であり、この深さd=0に
は1つの装置のみが存在するためゲート装置2001の
iは1である。ゲート装置2001の伝送帯域制限値の
初期値Ss(0,1)は、攻撃容疑トラヒックを検出したと
きのレコードに対応した伝送帯域制限値である。ここで
は例として、伝送帯域制限値が800kbpsであった
とする。そして、ゲート装置2001には2つの1つ上
流の通信装置2002、2003が存在するため、1つ
上流の通信装置数nu(0,1)は2である。よって、ゲート
装置2001には、1番目の1つ上流の通信装置200
2の伝送帯域制限値Ss(1,1,1)及び2番目の1つ上流
の通信装置2003の伝送帯域制限値Ss(1,1,2)は、
Ss(0,1)=800kbpsをnu(0,1)=2で除算した4
00kbpsとなる。
装置2002、2003に指示する伝送帯域制限値を算
出する。これは、ゲート装置2001は、自身が持つ伝
送帯域制限値を1つ上流の通信装置全てに均等に割り当
てることを示す。図7は図1の構成における伝送帯域制
限値の算出の例を示す図である。この図において、ゲー
ト装置2001は深さd=0であり、この深さd=0に
は1つの装置のみが存在するためゲート装置2001の
iは1である。ゲート装置2001の伝送帯域制限値の
初期値Ss(0,1)は、攻撃容疑トラヒックを検出したと
きのレコードに対応した伝送帯域制限値である。ここで
は例として、伝送帯域制限値が800kbpsであった
とする。そして、ゲート装置2001には2つの1つ上
流の通信装置2002、2003が存在するため、1つ
上流の通信装置数nu(0,1)は2である。よって、ゲート
装置2001には、1番目の1つ上流の通信装置200
2の伝送帯域制限値Ss(1,1,1)及び2番目の1つ上流
の通信装置2003の伝送帯域制限値Ss(1,1,2)は、
Ss(0,1)=800kbpsをnu(0,1)=2で除算した4
00kbpsとなる。
【0031】次に、伝送帯域制限指示受信時の通信装置
2002、2003の動作を説明する。図8のステップ
S3021において、通信装置2002、2003は、
ゲート装置2001が送信した(ステップS3014)
伝送帯域制限指示を受信する。次に、ステップS302
2に進み、通信装置2002、2003は、受信した伝
送帯域制限指示に含まれる容疑シグネチャをフィルタ2
021に登録し、容疑シグネチャ及び攻撃容疑パケット
の伝送帯域制限値に対応した容疑キュー2027を生成
する。これにより、以後、図4に示す帯域制御モデルと
図5に示すフィルタ2021の分類アルゴリズムに従っ
て容疑シグネチャに合致する攻撃容疑パケットの伝送帯
域の制限が実行される。
2002、2003の動作を説明する。図8のステップ
S3021において、通信装置2002、2003は、
ゲート装置2001が送信した(ステップS3014)
伝送帯域制限指示を受信する。次に、ステップS302
2に進み、通信装置2002、2003は、受信した伝
送帯域制限指示に含まれる容疑シグネチャをフィルタ2
021に登録し、容疑シグネチャ及び攻撃容疑パケット
の伝送帯域制限値に対応した容疑キュー2027を生成
する。これにより、以後、図4に示す帯域制御モデルと
図5に示すフィルタ2021の分類アルゴリズムに従っ
て容疑シグネチャに合致する攻撃容疑パケットの伝送帯
域の制限が実行される。
【0032】通信装置2002はステップS3023に
おいて、その上流にある通信装置2004に、通信装置
2003はその上流にある通信装置2005及び200
6に、受信した容疑シグネチャと、受信した伝送帯域制
限値から算出した伝送帯域制限値とを含んだ伝送帯域制
限指示を送信する。このときの算出方法は、ゲート装置
2001のステップS3003と同様である。すなわ
ち、通信装置2002、2003は、ゲート装置200
1から受信した伝送帯域制限値を1つ上流の通信装置全
てに均等に割り当てる。図7を用いて説明すると、通信
装置2002、2003の深さdは1であり、この深さ
d=1には2つの通信装置が存在し、その1番目の通信
装置2002のiは1、2番目の通信装置2003のi
は2である。通信装置2002の伝送帯域制限値Ss
(1,1)及び通信装置2003の伝送帯域制限値Ss(1,2)
は、それぞれゲート装置2001から受信した伝送帯域
制限値Ss(1,1,1)、Ss(1,1,2)であり、すなわち40
0kbpsである。そして、通信装置2002には1つ
の上流の通信装置2004が存在するため、1つ上流の
通信装置数nu(1,1)は1である。よって、通信装置20
04の伝送帯域制限値Ss(2,1,1)は、Ss(1,1)=40
0kbpsをnu(1,1)=1で除算した400kbpsと
なる。一方、通信装置2003には2つの上流の通信装
置2005、2006が存在するため1つ上流の通信装
置数nu(1,2)は2である。よって、通信装置2005の
伝送帯域制限値Ss(2,2,1)及び通信装置2006の伝
送帯域制限値Ss(2,2,2)は、Ss(1,2)=400kbp
sをnu(1,2)=2で除算した200kbpsとなる。
おいて、その上流にある通信装置2004に、通信装置
2003はその上流にある通信装置2005及び200
6に、受信した容疑シグネチャと、受信した伝送帯域制
限値から算出した伝送帯域制限値とを含んだ伝送帯域制
限指示を送信する。このときの算出方法は、ゲート装置
2001のステップS3003と同様である。すなわ
ち、通信装置2002、2003は、ゲート装置200
1から受信した伝送帯域制限値を1つ上流の通信装置全
てに均等に割り当てる。図7を用いて説明すると、通信
装置2002、2003の深さdは1であり、この深さ
d=1には2つの通信装置が存在し、その1番目の通信
装置2002のiは1、2番目の通信装置2003のi
は2である。通信装置2002の伝送帯域制限値Ss
(1,1)及び通信装置2003の伝送帯域制限値Ss(1,2)
は、それぞれゲート装置2001から受信した伝送帯域
制限値Ss(1,1,1)、Ss(1,1,2)であり、すなわち40
0kbpsである。そして、通信装置2002には1つ
の上流の通信装置2004が存在するため、1つ上流の
通信装置数nu(1,1)は1である。よって、通信装置20
04の伝送帯域制限値Ss(2,1,1)は、Ss(1,1)=40
0kbpsをnu(1,1)=1で除算した400kbpsと
なる。一方、通信装置2003には2つの上流の通信装
置2005、2006が存在するため1つ上流の通信装
置数nu(1,2)は2である。よって、通信装置2005の
伝送帯域制限値Ss(2,2,1)及び通信装置2006の伝
送帯域制限値Ss(2,2,2)は、Ss(1,2)=400kbp
sをnu(1,2)=2で除算した200kbpsとなる。
【0033】そして、通信装置2004は通信装置20
02から、通信装置2005、2006は通信装置20
03から伝送帯域制限指示を受信し、通信装置200
2、2003におけるステップS3021〜S3022
と同様に動作する。通信装置2004〜2006は、ル
ーチングテーブルなどにより上流に通信装置がないと判
断できるため、ステップS3023は実行しない。
02から、通信装置2005、2006は通信装置20
03から伝送帯域制限指示を受信し、通信装置200
2、2003におけるステップS3021〜S3022
と同様に動作する。通信装置2004〜2006は、ル
ーチングテーブルなどにより上流に通信装置がないと判
断できるため、ステップS3023は実行しない。
【0034】次に、ゲート装置2001及び通信装置2
002〜2006の不正トラヒック検出時の動作を説明
する。図9のステップS3031において、ゲート装置
2001及び通信装置2002〜2006は、DDoS
攻撃者がパケットを送出しているネットワークを特定す
るため入力パケットを分析して、不正トラヒック条件の
いずれかのパターンに合致するトラヒックを検出する。
すると、ゲート装置2001及び通信装置2002〜2
006は、ステップS3032において、この検出され
た不正トラヒック条件を満たすパケットの送信元IPア
ドレスを不正アドレス範囲として特定し、この不正アド
レス範囲であり、かつ、容疑シグネチャに合致するとい
う条件を不正シグネチャとする。そして、ゲート装置2
001及び通信装置2002〜2006は、ステップS
3033においてこの不正シグネチャをフィルタ202
1に登録する。これにより、以後、図4に示す帯域制御
モデルと図5に示すフィルタ2021の分類アルゴリズ
ムに従って不正シグネチャで識別される攻撃パケットの
伝送帯域はさらに制限される。すなわち、攻撃パケット
は不正クラス2024に分類され、正規利用者からのパ
ケットである正規パケットのみが攻撃容疑パケットとし
て容疑クラス2026に分類される。
002〜2006の不正トラヒック検出時の動作を説明
する。図9のステップS3031において、ゲート装置
2001及び通信装置2002〜2006は、DDoS
攻撃者がパケットを送出しているネットワークを特定す
るため入力パケットを分析して、不正トラヒック条件の
いずれかのパターンに合致するトラヒックを検出する。
すると、ゲート装置2001及び通信装置2002〜2
006は、ステップS3032において、この検出され
た不正トラヒック条件を満たすパケットの送信元IPア
ドレスを不正アドレス範囲として特定し、この不正アド
レス範囲であり、かつ、容疑シグネチャに合致するとい
う条件を不正シグネチャとする。そして、ゲート装置2
001及び通信装置2002〜2006は、ステップS
3033においてこの不正シグネチャをフィルタ202
1に登録する。これにより、以後、図4に示す帯域制御
モデルと図5に示すフィルタ2021の分類アルゴリズ
ムに従って不正シグネチャで識別される攻撃パケットの
伝送帯域はさらに制限される。すなわち、攻撃パケット
は不正クラス2024に分類され、正規利用者からのパ
ケットである正規パケットのみが攻撃容疑パケットとし
て容疑クラス2026に分類される。
【0035】以上説明した初期の伝送帯域制限を実施す
ることにより、早期にネットワークの伝送帯域の溢れを
防いだ後、攻撃容疑パケットの入力トラヒックに応じ
て、伝送帯域制限値の調整を実施する処理手順を説明す
る。図10はゲート装置2001及び通信装置2002
〜2006の伝送帯域制限値の調整の動作を示すフロー
チャートである。
ることにより、早期にネットワークの伝送帯域の溢れを
防いだ後、攻撃容疑パケットの入力トラヒックに応じ
て、伝送帯域制限値の調整を実施する処理手順を説明す
る。図10はゲート装置2001及び通信装置2002
〜2006の伝送帯域制限値の調整の動作を示すフロー
チャートである。
【0036】ステップS3041において、最上流の通
信装置2004〜2006は、攻撃容疑パケットの伝送
帯域制限開始後一定時間、攻撃容疑パケットの入力トラ
ヒックを計測する。次に、ステップS3042に進み、
通信装置2004〜2006は、この計測した攻撃容疑
パケットの入力トラヒックである入力伝送帯域値を1つ
上流の通信装置へ、すなわち、通信装置2004は通信
装置2002へ、通信装置2005、2006は通信装
置2003へ通知する。例えば、図11の図1の構成に
おける伝送帯域調整値の算出の例を用いて説明すると、
端末装置2007、2008から併せて2000kbp
sの攻撃容疑パケットの入力トラヒックがあった場合
は、通信装置2004は通信装置2002に入力伝送帯
域値2000kbpsを、端末装置2010から200
0kbps、端末装置2011から3000kbpsの
攻撃容疑パケットの入力トラヒックがあった場合は、通
信装置2005は入力伝送帯域値2000kbpsを、
通信装置2006は入力伝送帯域値3000kbpsを
通信装置2003に通知する。
信装置2004〜2006は、攻撃容疑パケットの伝送
帯域制限開始後一定時間、攻撃容疑パケットの入力トラ
ヒックを計測する。次に、ステップS3042に進み、
通信装置2004〜2006は、この計測した攻撃容疑
パケットの入力トラヒックである入力伝送帯域値を1つ
上流の通信装置へ、すなわち、通信装置2004は通信
装置2002へ、通信装置2005、2006は通信装
置2003へ通知する。例えば、図11の図1の構成に
おける伝送帯域調整値の算出の例を用いて説明すると、
端末装置2007、2008から併せて2000kbp
sの攻撃容疑パケットの入力トラヒックがあった場合
は、通信装置2004は通信装置2002に入力伝送帯
域値2000kbpsを、端末装置2010から200
0kbps、端末装置2011から3000kbpsの
攻撃容疑パケットの入力トラヒックがあった場合は、通
信装置2005は入力伝送帯域値2000kbpsを、
通信装置2006は入力伝送帯域値3000kbpsを
通信装置2003に通知する。
【0037】次に、図10のステップS3051におい
て、通信装置2002、2003は、1つ上流の全ての
通信装置から攻撃容疑パケットの入力伝送帯域値の通知
を受信する。すると、ステップS3052に進み、通信
装置2002は上流の通信装置2004以外から、通信
装置2003は上流の通信装置2005、2006以外
から当該通信装置に直接入力される攻撃容疑トラヒック
があればこれを計測する。例えば、通信装置2002
は、一般通信装置2012からの攻撃容疑トラヒックを
計測する。そしてステップS3053において、通信装
置2002、2003は、ステップS3051で全ての
上流の通信装置から受信した攻撃容疑パケットの入力伝
送帯域値と、ステップS3052で計測した当該通信装
置における攻撃容疑パケットの直接入力伝送帯域値とを
加算して、当該通信装置における攻撃容疑パケットの合
計入力伝送帯域値を1つ下流の通信装置、すなわちゲー
ト装置2001に通知する。図11の例を用いて説明す
る。端末装置2009は、一般ルータ2012に100
0kbpsの攻撃容疑パケットを送信しており、一般ル
ータ2012は、この攻撃容疑パケットを通信装置20
02に送出している。通信装置2002は、上流の通信
装置2004から受信した攻撃容疑パケットの入力伝送
帯域値2000kbpsと一般通信装置2012から直
接入力される攻撃容疑トラヒック1000kbpsを合
計した3000kbpsをゲート装置2001に通知
し、通信装置2003は、上流の通信装置2005、2
006から受信した攻撃容疑パケットの入力伝送帯域値
を合計した5000kbpsをゲート装置2001に通
知する。
て、通信装置2002、2003は、1つ上流の全ての
通信装置から攻撃容疑パケットの入力伝送帯域値の通知
を受信する。すると、ステップS3052に進み、通信
装置2002は上流の通信装置2004以外から、通信
装置2003は上流の通信装置2005、2006以外
から当該通信装置に直接入力される攻撃容疑トラヒック
があればこれを計測する。例えば、通信装置2002
は、一般通信装置2012からの攻撃容疑トラヒックを
計測する。そしてステップS3053において、通信装
置2002、2003は、ステップS3051で全ての
上流の通信装置から受信した攻撃容疑パケットの入力伝
送帯域値と、ステップS3052で計測した当該通信装
置における攻撃容疑パケットの直接入力伝送帯域値とを
加算して、当該通信装置における攻撃容疑パケットの合
計入力伝送帯域値を1つ下流の通信装置、すなわちゲー
ト装置2001に通知する。図11の例を用いて説明す
る。端末装置2009は、一般ルータ2012に100
0kbpsの攻撃容疑パケットを送信しており、一般ル
ータ2012は、この攻撃容疑パケットを通信装置20
02に送出している。通信装置2002は、上流の通信
装置2004から受信した攻撃容疑パケットの入力伝送
帯域値2000kbpsと一般通信装置2012から直
接入力される攻撃容疑トラヒック1000kbpsを合
計した3000kbpsをゲート装置2001に通知
し、通信装置2003は、上流の通信装置2005、2
006から受信した攻撃容疑パケットの入力伝送帯域値
を合計した5000kbpsをゲート装置2001に通
知する。
【0038】すると、図10のステップS3061にお
いて、ゲート装置2001は、1つ上流の全ての通信装
置、すなわち、通信装置2002、2003から攻撃容
疑パケットの合計入力伝送帯域値の通知を受ける。する
と、ステップS3062に進み、ゲート装置2001は
上流の通信装置2002、2003以外から直接入力さ
れる攻撃容疑トラヒックがあればこれを計測する。ステ
ップS3063において、ステップS3061で全ての
上流の通信装置2002、2003から受信した攻撃容
疑パケットの合計入力伝送帯域値と、ステップS306
2で計測した当該通信装置における攻撃容疑パケットの
直接入力トラヒックとを加算し、ゲート装置2001に
おける攻撃容疑パケットの合計入力伝送帯域値を算出す
る。そして、この算出した合計入力伝送帯域値を基に算
出した攻撃容疑パケットの伝送帯域制限調整値を含んだ
伝送帯域制限調整指示を、上流の通信装置2002、2
003に送信する。ここで、伝送帯域制限調整値の算出
方法を説明する。なお、本明細書においては、ゲート装
置あるいは通信装置を識別するための添え字を持つ
いて、ゲート装置2001は、1つ上流の全ての通信装
置、すなわち、通信装置2002、2003から攻撃容
疑パケットの合計入力伝送帯域値の通知を受ける。する
と、ステップS3062に進み、ゲート装置2001は
上流の通信装置2002、2003以外から直接入力さ
れる攻撃容疑トラヒックがあればこれを計測する。ステ
ップS3063において、ステップS3061で全ての
上流の通信装置2002、2003から受信した攻撃容
疑パケットの合計入力伝送帯域値と、ステップS306
2で計測した当該通信装置における攻撃容疑パケットの
直接入力トラヒックとを加算し、ゲート装置2001に
おける攻撃容疑パケットの合計入力伝送帯域値を算出す
る。そして、この算出した合計入力伝送帯域値を基に算
出した攻撃容疑パケットの伝送帯域制限調整値を含んだ
伝送帯域制限調整指示を、上流の通信装置2002、2
003に送信する。ここで、伝送帯域制限調整値の算出
方法を説明する。なお、本明細書においては、ゲート装
置あるいは通信装置を識別するための添え字を持つ
【数23】
などの変数を便宜上Ss’(d+1,i,k)、B(d+1,i,k)、T
(d,i)、Ss’(d,i)のように記述する。ネットワークに
おいて、ゲート装置2001の存在する階層を初期値0
として通信装置がゲート装置2001から何ホップ目に
存在するかを示す階層の深さをd、同一の深さdにおい
て通信装置を識別する番号をi、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑パケットの
伝送帯域調整値をSs’(d,i)、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑トラヒック
の合計入力伝送帯域値をT(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流(深さd
+1)にある通信装置を識別するための番号をk、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流(深さd+1)にあるkで識別される通信装置か
ら通知された攻撃容疑トラヒックの合計入力伝送帯域値
をB(d+1,i,k)、そして、深さdにあるiで識別される
ゲート装置または通信装置の1つ上流(深さd+1)に
あるkで識別される通信装置の攻撃容疑トラヒックの伝
送帯域制限調整値をSs’(d+1,i,k)とする。このと
き、伝送帯域制限調整値は、以下の式で算出される。
(d,i)、Ss’(d,i)のように記述する。ネットワークに
おいて、ゲート装置2001の存在する階層を初期値0
として通信装置がゲート装置2001から何ホップ目に
存在するかを示す階層の深さをd、同一の深さdにおい
て通信装置を識別する番号をi、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑パケットの
伝送帯域調整値をSs’(d,i)、深さdにあるiで識別
されるゲート装置または通信装置の攻撃容疑トラヒック
の合計入力伝送帯域値をT(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流(深さd
+1)にある通信装置を識別するための番号をk、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流(深さd+1)にあるkで識別される通信装置か
ら通知された攻撃容疑トラヒックの合計入力伝送帯域値
をB(d+1,i,k)、そして、深さdにあるiで識別される
ゲート装置または通信装置の1つ上流(深さd+1)に
あるkで識別される通信装置の攻撃容疑トラヒックの伝
送帯域制限調整値をSs’(d+1,i,k)とする。このと
き、伝送帯域制限調整値は、以下の式で算出される。
【数24】
よって、ゲート装置2001は、上記の式により、通信
装置2002、2003に指示する伝送帯域制限調整値
を算出する。これは、当該通信装置における合計攻撃容
疑トラヒック量に占める1つ上流の通信装置における合
計攻撃容疑トラヒック量の比率に従って、その1つ上流
の通信装置の攻撃容疑トラヒックの伝送帯域を調整する
ことを示している。ただし、ゲート装置2001の伝送
帯域制限調整値の初期値Ss’(0,1)は伝送帯域制限値
の初期値Ss(0,1)と同じである。図11の送帯域制限
調整調整値の算出の例を用いて説明する。ゲート装置2
001の合計入力伝送帯域値T(0,1)は、通信装置20
02の合計入力伝送帯域値B(1,1,1)=3000kbp
sと通信装置2003の合計入力伝送帯域値B(1,1,2)
=5000kbpsとの合計値8000kbpsであ
る。また、伝送帯域制限調整値の初期値Ss’(0,1)=
Ss(0,1)であるため、図7の例より、Ss’(0,1)は8
00bkpsとなる。よって、通信装置2002伝送帯
域制限調整値Ss’(1,1,1)は、通信装置2002の合
計入力伝送帯域値B(1,1,1)=3000kbpsをゲー
ト装置2001の合計入力伝送帯域値T(0,1)=800
0kbpsで除算し、ゲート装置2001の伝送帯域制
限調整値Ss’(0,1)=800kbpsを乗算した30
0kbpsとなり、一方、通信装置2003の伝送帯域
制限調整値Ss’(1,1,2)は、通信装置2003の合計
入力伝送帯域値B(1,1,2)=5000kbpsをゲート
装置2001の合計入力伝送帯域値T(0,1)=8000
kbpsで除算し、ゲート装置2001の伝送帯域制限
調整値Ss’(0,1)=800kbpsを乗算した500
kbpsとなる。
装置2002、2003に指示する伝送帯域制限調整値
を算出する。これは、当該通信装置における合計攻撃容
疑トラヒック量に占める1つ上流の通信装置における合
計攻撃容疑トラヒック量の比率に従って、その1つ上流
の通信装置の攻撃容疑トラヒックの伝送帯域を調整する
ことを示している。ただし、ゲート装置2001の伝送
帯域制限調整値の初期値Ss’(0,1)は伝送帯域制限値
の初期値Ss(0,1)と同じである。図11の送帯域制限
調整調整値の算出の例を用いて説明する。ゲート装置2
001の合計入力伝送帯域値T(0,1)は、通信装置20
02の合計入力伝送帯域値B(1,1,1)=3000kbp
sと通信装置2003の合計入力伝送帯域値B(1,1,2)
=5000kbpsとの合計値8000kbpsであ
る。また、伝送帯域制限調整値の初期値Ss’(0,1)=
Ss(0,1)であるため、図7の例より、Ss’(0,1)は8
00bkpsとなる。よって、通信装置2002伝送帯
域制限調整値Ss’(1,1,1)は、通信装置2002の合
計入力伝送帯域値B(1,1,1)=3000kbpsをゲー
ト装置2001の合計入力伝送帯域値T(0,1)=800
0kbpsで除算し、ゲート装置2001の伝送帯域制
限調整値Ss’(0,1)=800kbpsを乗算した30
0kbpsとなり、一方、通信装置2003の伝送帯域
制限調整値Ss’(1,1,2)は、通信装置2003の合計
入力伝送帯域値B(1,1,2)=5000kbpsをゲート
装置2001の合計入力伝送帯域値T(0,1)=8000
kbpsで除算し、ゲート装置2001の伝送帯域制限
調整値Ss’(0,1)=800kbpsを乗算した500
kbpsとなる。
【0039】図10のステップS3054において、通
信装置2002、2003は、ゲート装置2001から
伝送帯域制限調整指示を受信する。すると、ステップS
3055において、通信装置2002、2003は、容
疑キュー2027の伝送帯域制限値を受信した伝送帯域
制限調整指示に含まれる伝送帯域制限調整値に変更し、
攻撃容疑パケットの伝送帯域を制限する。次いで、ステ
ップS3056に進み、ステップS3051で通信装置
2002は通信装置2004から、通信装置2003は
通信装置2005、2006から受信した入力伝送帯域
値、ステップS3052で計測した当該通信装置に直接
入力される伝送帯域値及びステップS3053でゲート
装置2001から受信した伝送帯域制限調整値を基に算
出した攻撃容疑パケットの伝送帯域制限調整値を含んだ
伝送帯域制限調整指示を算出する。そして、この算出し
た伝送帯域制限値を含んだ伝送帯域調整指示を通信装置
2002は通信装置2004に、通信装置2003は通
信装置2005、2006に送信する。このときの算出
方法は、ゲート装置2001のステップS3063と同
様である。
信装置2002、2003は、ゲート装置2001から
伝送帯域制限調整指示を受信する。すると、ステップS
3055において、通信装置2002、2003は、容
疑キュー2027の伝送帯域制限値を受信した伝送帯域
制限調整指示に含まれる伝送帯域制限調整値に変更し、
攻撃容疑パケットの伝送帯域を制限する。次いで、ステ
ップS3056に進み、ステップS3051で通信装置
2002は通信装置2004から、通信装置2003は
通信装置2005、2006から受信した入力伝送帯域
値、ステップS3052で計測した当該通信装置に直接
入力される伝送帯域値及びステップS3053でゲート
装置2001から受信した伝送帯域制限調整値を基に算
出した攻撃容疑パケットの伝送帯域制限調整値を含んだ
伝送帯域制限調整指示を算出する。そして、この算出し
た伝送帯域制限値を含んだ伝送帯域調整指示を通信装置
2002は通信装置2004に、通信装置2003は通
信装置2005、2006に送信する。このときの算出
方法は、ゲート装置2001のステップS3063と同
様である。
【0040】例えば、図11の例を用いて説明すると、
通信装置2002の伝送帯域制限調整値Ss’(1,1)
は、ゲート装置2001から受信した伝送帯域制限調整
値Ss’(1,1,1)である300kbps、同様に通信装
置2003の伝送帯域制限調整値Ss’(1,2)は、ゲー
ト装置2001から受信した伝送帯域制限調整値Ss’
(1,1,2)である500kbpsとなる。そして、通信装
置2002における合計入力伝送帯域値T(1,1)は、通
信装置2004の合計入力伝送帯域値B(2,1,1)=20
00kbpsと直接入力の1000kbpsとの合計値
3000kbpsである。よって、通信装置2004の
伝送帯域制限調整値Ss’(2,1,1)は、通信装置200
4の合計入力伝送帯域値B(2,1,1)=2000kbps
を通信装置2002における合計入力伝送帯域値T(1,
1)=3000kbpsで除算し、通信装置2002の伝
送帯域制限調整値Ss’(1,1)=300kbpsを乗算
した、200kbpsとなる。また、通信装置2003
における合計入力伝送帯域値T(1,2)は、通信装置20
05の合計入力伝送帯域値B(2,2,1)=2000kbp
sと通信装置2006の合計入力伝送帯域値B(2,2,2)
=3000kbpsとの合計値5000kbpsである
ため、2005の伝送帯域制限調整値Ss’(2,2,1)
は、通信装置2004の伝送帯域制限調整値はB(2,2,
1)=2000kbpsを合計入力伝送帯域値T(1,2)=
5000kbpsで除算し、通信装置2003の伝送帯
域制限調整値Ss’(1,2)=500kbpsを乗算した
200kbpsとなり、2006の伝送帯域制限調整値
Ss’(2,2,2)は、通信装置2006の伝送帯域制限調
整値はB(2,2,2)=3000kbpsを通信装置200
3における合計入力伝送帯域値T(1,2)=5000kb
psで除算し、通信装置2003の伝送帯域制限調整値
Ss’(1,2)=500kbpsを乗算した、300kb
psとなる。
通信装置2002の伝送帯域制限調整値Ss’(1,1)
は、ゲート装置2001から受信した伝送帯域制限調整
値Ss’(1,1,1)である300kbps、同様に通信装
置2003の伝送帯域制限調整値Ss’(1,2)は、ゲー
ト装置2001から受信した伝送帯域制限調整値Ss’
(1,1,2)である500kbpsとなる。そして、通信装
置2002における合計入力伝送帯域値T(1,1)は、通
信装置2004の合計入力伝送帯域値B(2,1,1)=20
00kbpsと直接入力の1000kbpsとの合計値
3000kbpsである。よって、通信装置2004の
伝送帯域制限調整値Ss’(2,1,1)は、通信装置200
4の合計入力伝送帯域値B(2,1,1)=2000kbps
を通信装置2002における合計入力伝送帯域値T(1,
1)=3000kbpsで除算し、通信装置2002の伝
送帯域制限調整値Ss’(1,1)=300kbpsを乗算
した、200kbpsとなる。また、通信装置2003
における合計入力伝送帯域値T(1,2)は、通信装置20
05の合計入力伝送帯域値B(2,2,1)=2000kbp
sと通信装置2006の合計入力伝送帯域値B(2,2,2)
=3000kbpsとの合計値5000kbpsである
ため、2005の伝送帯域制限調整値Ss’(2,2,1)
は、通信装置2004の伝送帯域制限調整値はB(2,2,
1)=2000kbpsを合計入力伝送帯域値T(1,2)=
5000kbpsで除算し、通信装置2003の伝送帯
域制限調整値Ss’(1,2)=500kbpsを乗算した
200kbpsとなり、2006の伝送帯域制限調整値
Ss’(2,2,2)は、通信装置2006の伝送帯域制限調
整値はB(2,2,2)=3000kbpsを通信装置200
3における合計入力伝送帯域値T(1,2)=5000kb
psで除算し、通信装置2003の伝送帯域制限調整値
Ss’(1,2)=500kbpsを乗算した、300kb
psとなる。
【0041】通信装置2004〜2006は、ステップ
S3043において通信装置2002、2003から伝
送帯域制限調整指示を受信する。すると、ステップS3
044において、通信装置2002、2003は、容疑
キュー2027の伝送帯域制限値を受信した伝送帯域制
限調整値に変更し、攻撃容疑パケットの伝送帯域を制限
する。
S3043において通信装置2002、2003から伝
送帯域制限調整指示を受信する。すると、ステップS3
044において、通信装置2002、2003は、容疑
キュー2027の伝送帯域制限値を受信した伝送帯域制
限調整値に変更し、攻撃容疑パケットの伝送帯域を制限
する。
【0042】この後、通信装置2002、2003はス
テップS3057において、あるいは、通信装置200
4〜2006は、ステップS3045において、上記の
伝送帯域制限調整から一定時間した、あるいは、受信す
る攻撃容疑パケットの伝送帯域が伝送帯域調整前と調整
後である一定の割合変化した、などのトリガを監視し、
これを検出すると、当該通信装置に直接入力される攻撃
容疑トラヒックを計測し(ステップS3041、S30
52)、下流の通信装置へ合計入力伝送帯域値を送信し
て(ステップS3042、S3053)、再び伝送帯域
調整の処理の起動を繰り返す。ここでは、このトリガ条
件に合致した通信装置だけが最下流の通信装置まで攻撃
容疑パケットの入力伝送帯域値を通知し、トリガ条件に
合致しなかった通信装置については、最初の伝送帯域調
整手順で通知された入力伝送帯域値を使用する。なお、
トリガ条件に合致した通信装置がその上流に位置する通
信装置に再調整の開始を要求することで、トリガ条件に
合致した通信装置の最上流の通信装置までの全ての通信
装置が一斉に再調整を開始する第二の方法をとってもよ
い。
テップS3057において、あるいは、通信装置200
4〜2006は、ステップS3045において、上記の
伝送帯域制限調整から一定時間した、あるいは、受信す
る攻撃容疑パケットの伝送帯域が伝送帯域調整前と調整
後である一定の割合変化した、などのトリガを監視し、
これを検出すると、当該通信装置に直接入力される攻撃
容疑トラヒックを計測し(ステップS3041、S30
52)、下流の通信装置へ合計入力伝送帯域値を送信し
て(ステップS3042、S3053)、再び伝送帯域
調整の処理の起動を繰り返す。ここでは、このトリガ条
件に合致した通信装置だけが最下流の通信装置まで攻撃
容疑パケットの入力伝送帯域値を通知し、トリガ条件に
合致しなかった通信装置については、最初の伝送帯域調
整手順で通知された入力伝送帯域値を使用する。なお、
トリガ条件に合致した通信装置がその上流に位置する通
信装置に再調整の開始を要求することで、トリガ条件に
合致した通信装置の最上流の通信装置までの全ての通信
装置が一斉に再調整を開始する第二の方法をとってもよ
い。
【0043】ところで、以上説明した動作は、以下に記
述するアクティブネットワーク上で実行される。
述するアクティブネットワーク上で実行される。
【0044】以下、図面を参照しこの発明の一実施形態
を実行できるアクティブネットワークについて説明す
る。図12は、本実施形態が前提とするネットワークの
構成である。図12に示すように、通信ネットワーク
は、複数の通信装置7001によって接続されている。
そして、通信装置7001には1台または複数台のユー
ザのコンピュータ7000を接続することができるよう
になっている。ユーザのコンピュータ7000相互間で
通信データのやりとりを行う際には、送信元のユーザの
コンピュータ7000が送信したパケットを通信ネット
ワーク上の各ノードに位置する通信装置7001が順次
転送することにより、そのパケットを宛先のユーザのコ
ンピュータ7000に届けるようにする。
を実行できるアクティブネットワークについて説明す
る。図12は、本実施形態が前提とするネットワークの
構成である。図12に示すように、通信ネットワーク
は、複数の通信装置7001によって接続されている。
そして、通信装置7001には1台または複数台のユー
ザのコンピュータ7000を接続することができるよう
になっている。ユーザのコンピュータ7000相互間で
通信データのやりとりを行う際には、送信元のユーザの
コンピュータ7000が送信したパケットを通信ネット
ワーク上の各ノードに位置する通信装置7001が順次
転送することにより、そのパケットを宛先のユーザのコ
ンピュータ7000に届けるようにする。
【0045】次に、通信装置の構成について説明する。
図13は、通信装置7001の内部の構成を示すブロッ
ク図である。図13に示すように、通信装置7001に
は通信線7024a、7024b、7024c、702
4dが接続されており、通信装置7001はこれらの通
信線を介して隣接する他の通信装置との間でパケットを
交換することができるようになっている。また、通信装
置7001には、上記の各通信線7024a〜7024
dに対応したインタフェース部7023a〜7023d
と、パケットを転送する処理を行うための転送処理部7
021と、パケットの転送の際の転送先の情報を記憶す
る転送先テーブル7022と、アクティブパケットに対
する処理を行うためのアクティブネットワーク実行環境
(ActiveNetwork Execution Environment)7010と
が設けられている。なお、アクティブネットワーク実行
環境7010は、内部に、アクティブコード(プログラ
ム)を実行するためのコード実行部7011と、アクテ
ィブコードを記憶しておくためのコード記憶部7012
とを備えている。なお、ここでアクティブコードとは、
アクティブネットワークにおいてパケットに対する作用
を行うコンピュータプログラムのコードである。
図13は、通信装置7001の内部の構成を示すブロッ
ク図である。図13に示すように、通信装置7001に
は通信線7024a、7024b、7024c、702
4dが接続されており、通信装置7001はこれらの通
信線を介して隣接する他の通信装置との間でパケットを
交換することができるようになっている。また、通信装
置7001には、上記の各通信線7024a〜7024
dに対応したインタフェース部7023a〜7023d
と、パケットを転送する処理を行うための転送処理部7
021と、パケットの転送の際の転送先の情報を記憶す
る転送先テーブル7022と、アクティブパケットに対
する処理を行うためのアクティブネットワーク実行環境
(ActiveNetwork Execution Environment)7010と
が設けられている。なお、アクティブネットワーク実行
環境7010は、内部に、アクティブコード(プログラ
ム)を実行するためのコード実行部7011と、アクテ
ィブコードを記憶しておくためのコード記憶部7012
とを備えている。なお、ここでアクティブコードとは、
アクティブネットワークにおいてパケットに対する作用
を行うコンピュータプログラムのコードである。
【0046】ここで、図13を参照しながら、この通信
装置7001の動作例の概要を説明する。隣接する他の
通信装置から通信線7024dを介してパケットが到着
すると、インタフェース部7023dがそのパケットを
受信し転送処理部7021に渡す。転送処理部7021
は、渡されたパケットのヘッダ部分に格納されている送
信元(source)アドレスと宛先(destination)アドレ
スとを読み取り、さらにそれらのアドレスをキーとして
転送先テーブル記憶部7022に記憶されている転送先
テーブルを参照することによって、そのパケットにどう
対処するかを決定する。
装置7001の動作例の概要を説明する。隣接する他の
通信装置から通信線7024dを介してパケットが到着
すると、インタフェース部7023dがそのパケットを
受信し転送処理部7021に渡す。転送処理部7021
は、渡されたパケットのヘッダ部分に格納されている送
信元(source)アドレスと宛先(destination)アドレ
スとを読み取り、さらにそれらのアドレスをキーとして
転送先テーブル記憶部7022に記憶されている転送先
テーブルを参照することによって、そのパケットにどう
対処するかを決定する。
【0047】パケットへの対処は大きく2通りに分けら
れる。そのパケットに対してアクティブコードを適用す
る場合と、そのパケットをそのまま他の通信装置に転送
する場合とである。転送先テーブルを参照した結果、そ
のパケットに対してアクティブコードを適用すべきもの
である場合には、転送処理部7021は、そのパケット
をアクティブネットワーク実行環境7010に渡す。ア
クティブネットワーク実行環境7010においては、コ
ード実行部7011がそのパケットを受け取り、そのパ
ケットに対して適用すべきアクティブコードをコード記
憶部7012から読み出して実行する。なお、コード実
行部7011は、アクティブコードを実行した結果、必
要な場合には処理対象となったパケットを再び転送処理
部7021に渡して他の通信装置に対して転送すること
もある。転送先テーブルを参照した結果、そのパケット
にアクティブコードを適用せずそのまま他の転送装置に
転送するべきものである場合には、転送処理部7021
は、適切な転送先に対応したインタフェース部(702
3aや7023bや7023cなど)に渡し、そのイン
タフェース部が通信線(7024aや7024bや70
24cなど)を介してパケットを他の通信装置に転送す
る。
れる。そのパケットに対してアクティブコードを適用す
る場合と、そのパケットをそのまま他の通信装置に転送
する場合とである。転送先テーブルを参照した結果、そ
のパケットに対してアクティブコードを適用すべきもの
である場合には、転送処理部7021は、そのパケット
をアクティブネットワーク実行環境7010に渡す。ア
クティブネットワーク実行環境7010においては、コ
ード実行部7011がそのパケットを受け取り、そのパ
ケットに対して適用すべきアクティブコードをコード記
憶部7012から読み出して実行する。なお、コード実
行部7011は、アクティブコードを実行した結果、必
要な場合には処理対象となったパケットを再び転送処理
部7021に渡して他の通信装置に対して転送すること
もある。転送先テーブルを参照した結果、そのパケット
にアクティブコードを適用せずそのまま他の転送装置に
転送するべきものである場合には、転送処理部7021
は、適切な転送先に対応したインタフェース部(702
3aや7023bや7023cなど)に渡し、そのイン
タフェース部が通信線(7024aや7024bや70
24cなど)を介してパケットを他の通信装置に転送す
る。
【0048】なお、ここでは通信線7024dを介して
他の通信装置からパケットが到着した場合を例として説
明したが、他の通信線を介してパケットが到着した場合
の処理も同様である。
他の通信装置からパケットが到着した場合を例として説
明したが、他の通信線を介してパケットが到着した場合
の処理も同様である。
【0049】次に、通信装置7001内の転送処理部7
021がいかにしてパケットに対する処置(アクティブ
コードを適用するか、単純に他の通信装置に転送する
か)を決定するかを具体的に説明する。
021がいかにしてパケットに対する処置(アクティブ
コードを適用するか、単純に他の通信装置に転送する
か)を決定するかを具体的に説明する。
【0050】本実施形態が基礎とするフレームワークで
は、アクティブネットワーク実行環境はパケットの中に
おいて指定されているIPアドレスに基づいて起動され
る。ここで、全ての(グローバル)IPアドレスの集合
をIと表わすものとする。また、送信元IPアドレスが
sであり宛先IPアドレスがdであるようなパケットを
(s,d)と表わすものとする。また、通信装置のアク
ティブネットワーク実行環境に格納されているすべての
アクティブコードはそれぞれ特定のユーザに属するもの
とし、ある特定のユーザの所有するIPアドレスの集合
をOと表わすものとする。
は、アクティブネットワーク実行環境はパケットの中に
おいて指定されているIPアドレスに基づいて起動され
る。ここで、全ての(グローバル)IPアドレスの集合
をIと表わすものとする。また、送信元IPアドレスが
sであり宛先IPアドレスがdであるようなパケットを
(s,d)と表わすものとする。また、通信装置のアク
ティブネットワーク実行環境に格納されているすべての
アクティブコードはそれぞれ特定のユーザに属するもの
とし、ある特定のユーザの所有するIPアドレスの集合
をOと表わすものとする。
【0051】本フレームワークでは、上記特定のユーザ
に属する個々のアクティブコードは、次に示す式による
集合Aで表されるパケットであって、かつ当該アクティ
ブネットワーク実行環境を備えた通信装置(ノード)に
よって受信されたパケットに対してアクセスする権限を
持つ。すなわち、 A={(s,d)∈[(O×I)∪(I×O)]|s≠
d} である。つまり、この式が意味するところの概略は、特
定のユーザに属するアクティブコードは、当該ユーザが
所有する全てのIPアドレスのいずれかを送信元または
宛先のアドレスとするようなパケットに対してアクセス
権を有するということである。
に属する個々のアクティブコードは、次に示す式による
集合Aで表されるパケットであって、かつ当該アクティ
ブネットワーク実行環境を備えた通信装置(ノード)に
よって受信されたパケットに対してアクセスする権限を
持つ。すなわち、 A={(s,d)∈[(O×I)∪(I×O)]|s≠
d} である。つまり、この式が意味するところの概略は、特
定のユーザに属するアクティブコードは、当該ユーザが
所有する全てのIPアドレスのいずれかを送信元または
宛先のアドレスとするようなパケットに対してアクセス
権を有するということである。
【0052】当該ユーザに属するn個のアクティブコー
ドがある通信装置(ノード)に格納されているとき、i
番目(1≦i≦n)のアクティブコードは、集合C
(i)(C(i)⊆A)に属するパケットをキャプチャ
ーして処理することをアクティブネットワーク実行環境
に対して予め要求しておく。つまり、当該ユーザに関し
て、アクティブネットワーク実行環境は、c(1)∪c
(2)∪・・・・・・∪c(n)なる和集合の要素であ
るパケット(s,d)によって起動されるものであり、
このようなパケットを「アクティブパケット」と呼ぶこ
とができる。
ドがある通信装置(ノード)に格納されているとき、i
番目(1≦i≦n)のアクティブコードは、集合C
(i)(C(i)⊆A)に属するパケットをキャプチャ
ーして処理することをアクティブネットワーク実行環境
に対して予め要求しておく。つまり、当該ユーザに関し
て、アクティブネットワーク実行環境は、c(1)∪c
(2)∪・・・・・・∪c(n)なる和集合の要素であ
るパケット(s,d)によって起動されるものであり、
このようなパケットを「アクティブパケット」と呼ぶこ
とができる。
【0053】図14は、図13に示した転送先テーブル
記憶部7022に記憶されている転送先テーブルの一例
を示す概略図である。上記のフレームワークを実現する
ために必要な情報は、このような転送先テーブルに格納
することが可能である。
記憶部7022に記憶されている転送先テーブルの一例
を示す概略図である。上記のフレームワークを実現する
ために必要な情報は、このような転送先テーブルに格納
することが可能である。
【0054】図14に示すように、転送先テーブルは、
タイプ(Type)と宛先アドレス(Destination)と送信
元アドレス(Source)と転送先(Send to)の各項目を
含んでいる。タイプの項目は、テーブルのエントリーの
タイプを表わすものであり、「アクティブ(Active)」
あるいは「通常(Regular)」のいずれかの値をとる。
宛先アドレスおよび送信元アドレスの項目は、転送対象
のパケットの宛先IPアドレスおよび送信元IPアドレ
スにそれぞれ対応するものである。転送先の項目はは、
宛先アドレスと送信元アドレスの組み合せがマッチした
パケットに関して、適用すべきアクティブコードの識別
情報あるいは転送先の通信装置のIPアドレスを表わす
ものである。
タイプ(Type)と宛先アドレス(Destination)と送信
元アドレス(Source)と転送先(Send to)の各項目を
含んでいる。タイプの項目は、テーブルのエントリーの
タイプを表わすものであり、「アクティブ(Active)」
あるいは「通常(Regular)」のいずれかの値をとる。
宛先アドレスおよび送信元アドレスの項目は、転送対象
のパケットの宛先IPアドレスおよび送信元IPアドレ
スにそれぞれ対応するものである。転送先の項目はは、
宛先アドレスと送信元アドレスの組み合せがマッチした
パケットに関して、適用すべきアクティブコードの識別
情報あるいは転送先の通信装置のIPアドレスを表わす
ものである。
【0055】タイプの値が「アクティブ」であるエント
リーは、対象のパケットに適用するアクティブコードを
指定するものであり、その転送先の項目にはアクティブ
コードを識別する情報が書かれている。タイプの値が
「通常」であるエントリーは、対象のパケットの転送先
の通信装置のアドレスを指定するものであり、その転送
先の項目には転送先の通信装置のIPアドレスが書かれ
ている。
リーは、対象のパケットに適用するアクティブコードを
指定するものであり、その転送先の項目にはアクティブ
コードを識別する情報が書かれている。タイプの値が
「通常」であるエントリーは、対象のパケットの転送先
の通信装置のアドレスを指定するものであり、その転送
先の項目には転送先の通信装置のIPアドレスが書かれ
ている。
【0056】図14に示す転送先テーブルの例におい
て、第1のエントリーでは、タイプが「アクティブ」で
あり、宛先アドレスが「1.2.3.4」であり、送信
元アドレスが「Any(何でもよい)」であり、転送先
が「アクティブコードA」となっている。これは、送信
元アドレスがいかなるアドレスであっても、宛先アドレ
スが「1.2.3.4」にマッチする場合には、該当す
るパケットをトリガーとしてアクティブネットワーク実
行環境が起動され、アクティブコードAが実行されるこ
とを表わしている。また、第2のエントリーでは、タイ
プが「アクティブ」であり、宛先アドレスが「10.5
0.0.0」であり、送信元アドレスが「11.12.
13.14」であり、転送先が「アクティブコードB」
となっている。これは、宛先アドレスと送信元アドレス
の両方がそれぞれ上記の値にマッチした場合には、該当
するパケットをトリガーとしてアクティブネットワーク
実行環境が起動され、アクティブコードBが実行される
ことを表わしている。また、第3のエントリーでは、タ
イプが「アクティブ」であり、宛先アドレスが「Any
(何でもよい)」であり、送信元アドレスが「157.
2.3.0」であり、転送先が「アクティブコードC」
となっている。これは、宛先アドレスがいかなるアドレ
スであっても、送信元アドレスが「157.2.3.
0」にマッチする場合には該当するパケットをトリガー
としてアクティブネットワーク実行環境が起動され、ア
クティブコードCが実行されることを表している。
て、第1のエントリーでは、タイプが「アクティブ」で
あり、宛先アドレスが「1.2.3.4」であり、送信
元アドレスが「Any(何でもよい)」であり、転送先
が「アクティブコードA」となっている。これは、送信
元アドレスがいかなるアドレスであっても、宛先アドレ
スが「1.2.3.4」にマッチする場合には、該当す
るパケットをトリガーとしてアクティブネットワーク実
行環境が起動され、アクティブコードAが実行されるこ
とを表わしている。また、第2のエントリーでは、タイ
プが「アクティブ」であり、宛先アドレスが「10.5
0.0.0」であり、送信元アドレスが「11.12.
13.14」であり、転送先が「アクティブコードB」
となっている。これは、宛先アドレスと送信元アドレス
の両方がそれぞれ上記の値にマッチした場合には、該当
するパケットをトリガーとしてアクティブネットワーク
実行環境が起動され、アクティブコードBが実行される
ことを表わしている。また、第3のエントリーでは、タ
イプが「アクティブ」であり、宛先アドレスが「Any
(何でもよい)」であり、送信元アドレスが「157.
2.3.0」であり、転送先が「アクティブコードC」
となっている。これは、宛先アドレスがいかなるアドレ
スであっても、送信元アドレスが「157.2.3.
0」にマッチする場合には該当するパケットをトリガー
としてアクティブネットワーク実行環境が起動され、ア
クティブコードCが実行されることを表している。
【0057】なお、図14に示すように、転送先テーブ
ルにおいては、タイプが「アクティブ」であるエントリ
ーのほうが、タイプが「通常」であるエントリーよりも
上に存在している。そして、タイプが「アクティブ」で
あるエントリーのほうが、タイプが「通常」であるエン
トリーよりも優先的に適用される。また、各エントリー
は、通信装置へ到着したパケットのみに対して適用さ
れ、転送のために送出されるパケットに対しては適用さ
れない。
ルにおいては、タイプが「アクティブ」であるエントリ
ーのほうが、タイプが「通常」であるエントリーよりも
上に存在している。そして、タイプが「アクティブ」で
あるエントリーのほうが、タイプが「通常」であるエン
トリーよりも優先的に適用される。また、各エントリー
は、通信装置へ到着したパケットのみに対して適用さ
れ、転送のために送出されるパケットに対しては適用さ
れない。
【0058】以上説明した通信装置の構成をまとめる。
図13に示したインタフェース部は、通信線毎に設けら
れており、当該通信線から到着するパケットを受信する
とともに当該通信線に対してパケットを送出する処理を
行う。また、転送先テーブル記憶部は、パケットの送信
元アドレスまたは宛先アドレスまたはそれら両方のアド
レスのパターンと、該パターンに対応するプログラム
(アクティブコード)の情報あるいは該パターンに対応
する転送先アドレスの情報とが登録された転送先テーブ
ルを記憶する。また、アクティブネットワーク実行環境
は、前記プログラムを予め記憶しているとともに、この
プログラムを実行する。また、転送処理部は、通信線か
ら到着した受信パケットを前記インタフェース部から渡
された際に、当該受信パケットの送信元アドレスまたは
宛先アドレスに基づいて前記転送先テーブルを参照し、
前記転送先テーブルに当該受信パケットのアドレスのパ
ターンに対応する転送先アドレスの情報が登録されてい
た場合には当該受信パケットを所定の転送先アドレスに
向けて送出するように当該転送先アドレスに対応したイ
ンタフェース部に渡すとともに、前記転送先テーブルに
当該受信パケットのアドレスのパターンに対応するプロ
グラムの情報が登録されていた場合には前記アクティブ
ネットワーク実行環境部において当該プログラムを起動
させるとともに当該プログラムに当該受信パケットを渡
す。
図13に示したインタフェース部は、通信線毎に設けら
れており、当該通信線から到着するパケットを受信する
とともに当該通信線に対してパケットを送出する処理を
行う。また、転送先テーブル記憶部は、パケットの送信
元アドレスまたは宛先アドレスまたはそれら両方のアド
レスのパターンと、該パターンに対応するプログラム
(アクティブコード)の情報あるいは該パターンに対応
する転送先アドレスの情報とが登録された転送先テーブ
ルを記憶する。また、アクティブネットワーク実行環境
は、前記プログラムを予め記憶しているとともに、この
プログラムを実行する。また、転送処理部は、通信線か
ら到着した受信パケットを前記インタフェース部から渡
された際に、当該受信パケットの送信元アドレスまたは
宛先アドレスに基づいて前記転送先テーブルを参照し、
前記転送先テーブルに当該受信パケットのアドレスのパ
ターンに対応する転送先アドレスの情報が登録されてい
た場合には当該受信パケットを所定の転送先アドレスに
向けて送出するように当該転送先アドレスに対応したイ
ンタフェース部に渡すとともに、前記転送先テーブルに
当該受信パケットのアドレスのパターンに対応するプロ
グラムの情報が登録されていた場合には前記アクティブ
ネットワーク実行環境部において当該プログラムを起動
させるとともに当該プログラムに当該受信パケットを渡
す。
【0059】次に、本実施形態におけるアクティブコー
ドのセキュリティに関するモデルについて説明する。こ
のセキュリティのモデルは、各々のアクティブコード
が、アクティブコードの所有者に関わるパケットのみに
対して作用することを保証するためのものである。その
ために、このセキュリティのモデルは、公開鍵のインフ
ラストラクチャの存在を前提として、それを利用するこ
ととする。
ドのセキュリティに関するモデルについて説明する。こ
のセキュリティのモデルは、各々のアクティブコード
が、アクティブコードの所有者に関わるパケットのみに
対して作用することを保証するためのものである。その
ために、このセキュリティのモデルは、公開鍵のインフ
ラストラクチャの存在を前提として、それを利用するこ
ととする。
【0060】図15は、上記のセキュリティモデルとそ
のモデルにおける処理の手順を示す概略図である。図1
5において、符号7051はユーザAのユーザ端末装
置、7061は認証局(Certification Authority )装
置である。この認証局の機能は、公の機関によって提供
されるものであっても良いし、あるいはISP(Intern
et Service Provider,インターネット接続サービス提供
者)などによって提供されるものであっても良い。な
お、図15に示す例では、ユーザ端末装置7051のI
Pアドレスは「1.2.3.4」である。以下では、ユ
ーザAが、アクティブコードAを通信装置7001に登
録するための処理の手順を説明する。なお、以下におい
て、ユーザAはアクティブコードAの開発者であっても
良いが、その必然性はなく、他の開発者が開発したアク
ティブコードAをユーザAが入手し、それを通信装置7
001に登録するものでも良い。
のモデルにおける処理の手順を示す概略図である。図1
5において、符号7051はユーザAのユーザ端末装
置、7061は認証局(Certification Authority )装
置である。この認証局の機能は、公の機関によって提供
されるものであっても良いし、あるいはISP(Intern
et Service Provider,インターネット接続サービス提供
者)などによって提供されるものであっても良い。な
お、図15に示す例では、ユーザ端末装置7051のI
Pアドレスは「1.2.3.4」である。以下では、ユ
ーザAが、アクティブコードAを通信装置7001に登
録するための処理の手順を説明する。なお、以下におい
て、ユーザAはアクティブコードAの開発者であっても
良いが、その必然性はなく、他の開発者が開発したアク
ティブコードAをユーザAが入手し、それを通信装置7
001に登録するものでも良い。
【0061】まず(1)で示すように、ユーザAのユー
ザ端末装置7051は、周知技術を用いて鍵のペアすな
わち公開鍵と秘密鍵とを生成する。そして(2)で示す
ように、ユーザ端末装置7051は、上で生成された公
開鍵を認証局装置7061に登録する。このとき、認証
局装置7061は、ユーザ端末装置7051のIPアド
レスを検証する。この検証が正しく行なわれると、公開
鍵そのものと、ユーザAを識別するための情報と、ユー
ザ端末装置7051のIPアドレス「1.2.3.4」
が認証局装置7061に記憶される。
ザ端末装置7051は、周知技術を用いて鍵のペアすな
わち公開鍵と秘密鍵とを生成する。そして(2)で示す
ように、ユーザ端末装置7051は、上で生成された公
開鍵を認証局装置7061に登録する。このとき、認証
局装置7061は、ユーザ端末装置7051のIPアド
レスを検証する。この検証が正しく行なわれると、公開
鍵そのものと、ユーザAを識別するための情報と、ユー
ザ端末装置7051のIPアドレス「1.2.3.4」
が認証局装置7061に記憶される。
【0062】次に(3)で示すように、ユーザ端末装置
7051は、上で生成された秘密鍵を用いてアクティブ
コードAに電子署名する処理を行う。そして(4)で示
すように、ユーザ端末装置7051は、秘密鍵で署名さ
れたアクティブコードAを通信装置7001に登録する
処理を行う。
7051は、上で生成された秘密鍵を用いてアクティブ
コードAに電子署名する処理を行う。そして(4)で示
すように、ユーザ端末装置7051は、秘密鍵で署名さ
れたアクティブコードAを通信装置7001に登録する
処理を行う。
【0063】これを受けて通信装置7001は、(5)
で示すように、アクティブコードAの登録を行ったユー
ザAの電子証明書を認証局装置7061から取得する。
この電子証明書には、ユーザAを識別する情報と、その
IPアドレス「1.2.3.4」と、上の(2)におい
て登録された公開鍵そのものとが含まれている。そして
(6)で示すように、通信装置7001は、上記の電子
証明書から取り出したユーザAの公開鍵を用いて、上の
(4)において登録されたアクティブコードAの電子署
名を検証する。そして、これが正しく検証された場合に
は、通信装置7001は、アクティブコードAをアクテ
ィブネットワーク実行環境に導入する処理を行う。ま
た、これに応じて、転送先テーブルに必要なエントリー
が追加される。
で示すように、アクティブコードAの登録を行ったユー
ザAの電子証明書を認証局装置7061から取得する。
この電子証明書には、ユーザAを識別する情報と、その
IPアドレス「1.2.3.4」と、上の(2)におい
て登録された公開鍵そのものとが含まれている。そして
(6)で示すように、通信装置7001は、上記の電子
証明書から取り出したユーザAの公開鍵を用いて、上の
(4)において登録されたアクティブコードAの電子署
名を検証する。そして、これが正しく検証された場合に
は、通信装置7001は、アクティブコードAをアクテ
ィブネットワーク実行環境に導入する処理を行う。ま
た、これに応じて、転送先テーブルに必要なエントリー
が追加される。
【0064】なお、この(1)および(2)の処理が行
われて一旦ユーザAの公開鍵が認証局装置7061に登
録されると、ユーザ端末装置7051はその公開鍵に対
応する秘密鍵を用いてアクティブモジュールをいくつで
も通信装置7001に登録することも可能である。
われて一旦ユーザAの公開鍵が認証局装置7061に登
録されると、ユーザ端末装置7051はその公開鍵に対
応する秘密鍵を用いてアクティブモジュールをいくつで
も通信装置7001に登録することも可能である。
【0065】つまり、通信装置7001は登録部(図示
せず)を備えており、この登録部は、ユーザの端末装置
から当該ユーザの秘密鍵で電子署名されたプログラムを
受信し、当該ユーザの電子証明書を認証局装置から受信
し、受信した電子証明書に含まれる当該ユーザの公開鍵
を用いて前記電子署名されたプログラムの検証を行い、
この検証が成功した場合には当該プログラムに対応する
アドレスのパターンと当該プログラムの情報とを前記転
送先テーブルに登録し、この検証が失敗した場合には当
該プログラムの情報の前記転送先テーブルへの登録は行
わないようにするものである。
せず)を備えており、この登録部は、ユーザの端末装置
から当該ユーザの秘密鍵で電子署名されたプログラムを
受信し、当該ユーザの電子証明書を認証局装置から受信
し、受信した電子証明書に含まれる当該ユーザの公開鍵
を用いて前記電子署名されたプログラムの検証を行い、
この検証が成功した場合には当該プログラムに対応する
アドレスのパターンと当該プログラムの情報とを前記転
送先テーブルに登録し、この検証が失敗した場合には当
該プログラムの情報の前記転送先テーブルへの登録は行
わないようにするものである。
【0066】なお、上で説明した通信装置へのアクティ
ブコードの登録の手順が有効に機能するためには、次の
2点が前提となる。第1の前提として、ユーザがどの通
信装置(ノード)にアクティブコードを登録すれば良い
かは事前にわかっている。あるいは、どの通信装置(ノ
ード)にアクティブコードを登録すればよいかがわかる
ためのディレクトリサービスが提供されている。第2の
前提として、通信装置(ノード)は、目的の認証局の公
開鍵を事前にオフラインで取得しているか、他の認証局
から取得するか、あるいは他の何らかの手段で取得でき
る。
ブコードの登録の手順が有効に機能するためには、次の
2点が前提となる。第1の前提として、ユーザがどの通
信装置(ノード)にアクティブコードを登録すれば良い
かは事前にわかっている。あるいは、どの通信装置(ノ
ード)にアクティブコードを登録すればよいかがわかる
ためのディレクトリサービスが提供されている。第2の
前提として、通信装置(ノード)は、目的の認証局の公
開鍵を事前にオフラインで取得しているか、他の認証局
から取得するか、あるいは他の何らかの手段で取得でき
る。
【0067】次に、矛盾の解消のための制御について説
明する。ある通信装置(ノード)において、n個のアク
ティブコードが登録されており、i番目(1≦i≦n)
とj番目(1≦j≦n)のアクティブコードが、それぞ
れ集合C(i)(C(i)⊆A)と集合C(j)(C
(j)⊆A)に属するパケットに対するものであると定
義されているとき、集合(c(i)∩c(j))が空集
合ではないようなiおよびjの組み合せ(但しi≠j)
が存在する場合があり得る。つまり、あるパケットがi
番目のアクティブコードにもj番目のアクティブコード
にも適用されるような定義が行われている場合である。
このような矛盾は、次の2通りのシナリオのいずれかに
よって解消することとする。
明する。ある通信装置(ノード)において、n個のアク
ティブコードが登録されており、i番目(1≦i≦n)
とj番目(1≦j≦n)のアクティブコードが、それぞ
れ集合C(i)(C(i)⊆A)と集合C(j)(C
(j)⊆A)に属するパケットに対するものであると定
義されているとき、集合(c(i)∩c(j))が空集
合ではないようなiおよびjの組み合せ(但しi≠j)
が存在する場合があり得る。つまり、あるパケットがi
番目のアクティブコードにもj番目のアクティブコード
にも適用されるような定義が行われている場合である。
このような矛盾は、次の2通りのシナリオのいずれかに
よって解消することとする。
【0068】第1の矛盾の解消のシナリオは、パケット
(s,d)に関して、 (s∈O(k)Λd∈O(l))Λ(k≠l) であるために、 (s,d)∈c(i)∩c(j) となる場合に関するものである。但し、O(k)および
O(l)は、それぞれユーザkおよびlによって所有さ
れるIPアドレスの集合である。つまり、あるパケット
に関して、送信元のユーザ用のアクティブコードと宛先
のユーザ用のアクティブコードとの両方が通信装置に登
録されており、そのような通信装置にこのパケット
(s,d)が到着した場合である。このような場合に
は、宛先のユーザのアクティブコードを優先的に適用す
ることが望ましいと考えられる。
(s,d)に関して、 (s∈O(k)Λd∈O(l))Λ(k≠l) であるために、 (s,d)∈c(i)∩c(j) となる場合に関するものである。但し、O(k)および
O(l)は、それぞれユーザkおよびlによって所有さ
れるIPアドレスの集合である。つまり、あるパケット
に関して、送信元のユーザ用のアクティブコードと宛先
のユーザ用のアクティブコードとの両方が通信装置に登
録されており、そのような通信装置にこのパケット
(s,d)が到着した場合である。このような場合に
は、宛先のユーザのアクティブコードを優先的に適用す
ることが望ましいと考えられる。
【0069】つまり、転送先テーブルに登録されている
パターンに、送信元アドレスのみが指定されていて宛先
アドレスが何でもよいとされている第1のエントリー
と、宛先アドレスのみが指定されていて送信元アドレス
が何でもよいとされている第2のエントリーとが含まれ
ており、受信パケットがこれら第1のエントリーと第2
のエントリーとの両方にマッチしたときには、第1のエ
ントリーよりも第2のエントリーを優先させて、当該第
2のエントリーのパターンに対応するプログラムを起動
するようにする。
パターンに、送信元アドレスのみが指定されていて宛先
アドレスが何でもよいとされている第1のエントリー
と、宛先アドレスのみが指定されていて送信元アドレス
が何でもよいとされている第2のエントリーとが含まれ
ており、受信パケットがこれら第1のエントリーと第2
のエントリーとの両方にマッチしたときには、第1のエ
ントリーよりも第2のエントリーを優先させて、当該第
2のエントリーのパターンに対応するプログラムを起動
するようにする。
【0070】このように、送信元のユーザのアクティブ
コードよりも宛先のユーザのアクティブコードを優先さ
せることは、アクティブネットワークの機能を用いてD
DoS(分散型DoS,Distributed Denial of Servic
e )攻撃を防御するメカニズムを構築する場合に特に重
要となる。そのようにすることによって、宛先のユーザ
つまり被攻撃者となり得る者のアクティブコードが、攻
撃者となる可能性があるもののアクティブコードよりも
優先されるためである。
コードよりも宛先のユーザのアクティブコードを優先さ
せることは、アクティブネットワークの機能を用いてD
DoS(分散型DoS,Distributed Denial of Servic
e )攻撃を防御するメカニズムを構築する場合に特に重
要となる。そのようにすることによって、宛先のユーザ
つまり被攻撃者となり得る者のアクティブコードが、攻
撃者となる可能性があるもののアクティブコードよりも
優先されるためである。
【0071】第2の矛盾の解消のシナリオは、あるパケ
ット(s,d)に関して適用されるべき2つ以上のアク
ティブコードが同一のユーザによって登録されている場
合に関するものである。このような場合には、該当する
アクティブコードのうちの最も古く登録されたものが、
他のものよりも優先的に適用されるようにすることが望
ましいと考えられる。こうすることにより、ユーザが新
しいアクティブコードを登録しようとする際には、新し
いアクティブコードを有効にするために事前に古いアク
ティブコードを削除することが保証されるからである。
ット(s,d)に関して適用されるべき2つ以上のアク
ティブコードが同一のユーザによって登録されている場
合に関するものである。このような場合には、該当する
アクティブコードのうちの最も古く登録されたものが、
他のものよりも優先的に適用されるようにすることが望
ましいと考えられる。こうすることにより、ユーザが新
しいアクティブコードを登録しようとする際には、新し
いアクティブコードを有効にするために事前に古いアク
ティブコードを削除することが保証されるからである。
【0072】次に、これまでに述べたようなアクティブ
ネットワークのノードとして機能する通信装置のインプ
リメンテーションの例について説明する。図16は、L
inux上のJava(登録商標)仮想マシン(JV
M)を用いてアクティブパケットの処理を行う通信装置
を実現した場合の概略図である。
ネットワークのノードとして機能する通信装置のインプ
リメンテーションの例について説明する。図16は、L
inux上のJava(登録商標)仮想マシン(JV
M)を用いてアクティブパケットの処理を行う通信装置
を実現した場合の概略図である。
【0073】図16に示す例では、専用のIPスタック
を処理(process)の一部として構築している。これに
よって、図14に示したような転送先テーブルを実現
し、実行環境(アクティブネットワーク実行環境)から
この転送先テーブルにエントリーの追加や削除を行える
ようにしている。また、これに伴い、カーネル(kerne
l)内のIPスタックは不要となるため、カーネルにお
けるルーティングを不活性化している。そして、到着パ
ケットのコピーがデータリンク部分から作成され、その
パケットがライブラリlibpcapを通してJava
(登録商標)仮想マシンで補足できるようにしている。
を処理(process)の一部として構築している。これに
よって、図14に示したような転送先テーブルを実現
し、実行環境(アクティブネットワーク実行環境)から
この転送先テーブルにエントリーの追加や削除を行える
ようにしている。また、これに伴い、カーネル(kerne
l)内のIPスタックは不要となるため、カーネルにお
けるルーティングを不活性化している。そして、到着パ
ケットのコピーがデータリンク部分から作成され、その
パケットがライブラリlibpcapを通してJava
(登録商標)仮想マシンで補足できるようにしている。
【0074】処理の一部として構築した専用のIPスタ
ックは、アクティブパケット、つまり転送先テーブル上
での所定の定義にマッチするIPアドレス(宛先IPア
ドレス、送信元IPアドレス、あるいはそれらの組み合
せ)を有するパケットは、実行環境上で起動されるアク
ティブコードに対して渡される。一方、アクティブパケ
ット以外の通常のパケットは、カーネルにおけるIPス
タックと同様の方法で隣接する通信装置等へ向けた転送
が行われる。アクティブパケットであれ通常パケットで
あれ、この通信装置から送出されるすべてのパケット
は、ライブラリlibnetを通して送出される。こう
することにより、各々処理されたパケットのヘッダに記
録された送信元アドレスは、元々の送信元アドレスのま
まの状態で、ネットワークに送出されることとなる。
ックは、アクティブパケット、つまり転送先テーブル上
での所定の定義にマッチするIPアドレス(宛先IPア
ドレス、送信元IPアドレス、あるいはそれらの組み合
せ)を有するパケットは、実行環境上で起動されるアク
ティブコードに対して渡される。一方、アクティブパケ
ット以外の通常のパケットは、カーネルにおけるIPス
タックと同様の方法で隣接する通信装置等へ向けた転送
が行われる。アクティブパケットであれ通常パケットで
あれ、この通信装置から送出されるすべてのパケット
は、ライブラリlibnetを通して送出される。こう
することにより、各々処理されたパケットのヘッダに記
録された送信元アドレスは、元々の送信元アドレスのま
まの状態で、ネットワークに送出されることとなる。
【0075】また、標準のJava(登録商標)のAP
I(アプリケーションプログラムインタフェース)であ
る「java.security 」を用いることによってセキュリテ
ィモデルをインプリメンテーションすることが可能であ
る。この標準APIは、セキュリティモデルを構築する
ために必要な機能のほとんどを提供している。また、証
明書のための形式としては「X.509」証明書形式を
用いることが可能であり、アクティブコードの所有者の
IPアドレスを「X.509」の識別名(DN, distin
guished name)の一部に含めることにより、本実施形態
のセキュリティモデルを実現することができる。
I(アプリケーションプログラムインタフェース)であ
る「java.security 」を用いることによってセキュリテ
ィモデルをインプリメンテーションすることが可能であ
る。この標準APIは、セキュリティモデルを構築する
ために必要な機能のほとんどを提供している。また、証
明書のための形式としては「X.509」証明書形式を
用いることが可能であり、アクティブコードの所有者の
IPアドレスを「X.509」の識別名(DN, distin
guished name)の一部に含めることにより、本実施形態
のセキュリティモデルを実現することができる。
【0076】なお、言うまでもなく、上記インプリメン
テーションではコンピュータシステムを用いることによ
ってアクティブネットワーク実行環境を備えた通信装置
を構築している。そして、上述した一連の処理、すなわ
ち到着パケットの複製の作成とその捕捉や、転送先テー
ブルを参照しながらのアクティブパケットおよび通常パ
ケットの転送の処理や、アクティブネットワーク実行環
境上でのアクティブコードの起動とその処理の実行や、
処理されたパケットのネットワークへの送出などの各処
理の過程は、プログラムの形式でコンピュータ読み取り
可能な記録媒体に記憶されており、このプログラムをコ
ンピュータが読み出して実行することによって、上記処
理が行われる。
テーションではコンピュータシステムを用いることによ
ってアクティブネットワーク実行環境を備えた通信装置
を構築している。そして、上述した一連の処理、すなわ
ち到着パケットの複製の作成とその捕捉や、転送先テー
ブルを参照しながらのアクティブパケットおよび通常パ
ケットの転送の処理や、アクティブネットワーク実行環
境上でのアクティブコードの起動とその処理の実行や、
処理されたパケットのネットワークへの送出などの各処
理の過程は、プログラムの形式でコンピュータ読み取り
可能な記録媒体に記憶されており、このプログラムをコ
ンピュータが読み出して実行することによって、上記処
理が行われる。
【0077】なお、上述した各コンピュータプログラム
は、コンピュータ読取可能な記録媒体に記録されてお
り、通信装置等に搭載されたCPU(中央処理装置)が
この記録媒体からコンピュータプログラムを読み取っ
て、攻撃防御あるいはサービスモジュール提供等のため
の各処理を実行する。また、「コンピュータ読み取り可
能な記録媒体」とは、磁気ディスク、光磁気ディスク、
ROM、CD−ROM等の可搬媒体、コンピュータシス
テムに内蔵されるハードディスク等の記憶装置のことを
いう。さらに「コンピュータ読み取り可能な記録媒体」
とは、インターネット等のネットワークや電話回線等の
通信回線を介してプログラムが送信された場合のサーバ
やクライアントとなるコンピュータシステム内部の揮発
性メモリ(RAM)のように、一定時間プログラムを保
持しているものも含むものとする。
は、コンピュータ読取可能な記録媒体に記録されてお
り、通信装置等に搭載されたCPU(中央処理装置)が
この記録媒体からコンピュータプログラムを読み取っ
て、攻撃防御あるいはサービスモジュール提供等のため
の各処理を実行する。また、「コンピュータ読み取り可
能な記録媒体」とは、磁気ディスク、光磁気ディスク、
ROM、CD−ROM等の可搬媒体、コンピュータシス
テムに内蔵されるハードディスク等の記憶装置のことを
いう。さらに「コンピュータ読み取り可能な記録媒体」
とは、インターネット等のネットワークや電話回線等の
通信回線を介してプログラムが送信された場合のサーバ
やクライアントとなるコンピュータシステム内部の揮発
性メモリ(RAM)のように、一定時間プログラムを保
持しているものも含むものとする。
【0078】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されても良い。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されても良い。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。
【0079】また、上記プログラムは、前述した機能の
一部を実現するためのものであっても良い。さらに、前
述した機能をコンピュータシステムに既に記録されてい
るプログラムとの組み合わせで実現できるもの、いわゆ
る差分ファイル(差分プログラム)であっても良い。
一部を実現するためのものであっても良い。さらに、前
述した機能をコンピュータシステムに既に記録されてい
るプログラムとの組み合わせで実現できるもの、いわゆ
る差分ファイル(差分プログラム)であっても良い。
【0080】また、下流のゲート装置または通信装置か
ら上流の通信装置へのデータの送信は、アクティブネッ
トワークの使用に限定するものではなく、任意の通信プ
ロトコルの使用が可能である。
ら上流の通信装置へのデータの送信は、アクティブネッ
トワークの使用に限定するものではなく、任意の通信プ
ロトコルの使用が可能である。
【0081】また、ゲート装置及び通信装置はゲートウ
ェイやルータに限られるものではなく、ブリッジ、イー
サネット(登録商標)、インタフェース変換装置など、
IPアドレスを持つ任意の通信ノードであっても良い。
ェイやルータに限られるものではなく、ブリッジ、イー
サネット(登録商標)、インタフェース変換装置など、
IPアドレスを持つ任意の通信ノードであっても良い。
【0082】以上、図面を参照してこの発明の実施形態
を詳述してきたが、具体的な構成はこれらの実施形態に
限られるものではなく、この発明の要旨を逸脱しない範
囲の設計等も含まれる。
を詳述してきたが、具体的な構成はこれらの実施形態に
限られるものではなく、この発明の要旨を逸脱しない範
囲の設計等も含まれる。
【0083】
【発明の効果】以上説明したように、DDoS攻撃の被
攻撃者の通信装置がDDoS攻撃の攻撃の容疑トラヒッ
クを検出すると、初期の伝送帯域制御により、その上流
の各通信装置で攻撃容疑トラヒックの伝送帯域を制限す
ることが可能になるため、早期にネットワークの輻輳を
改善することが可能となり、DDoS被攻撃者のサービ
スの停止を抑止することが可能になるとともに、正規利
用者からの通信パケットの割合を増加させることが可能
になる。
攻撃者の通信装置がDDoS攻撃の攻撃の容疑トラヒッ
クを検出すると、初期の伝送帯域制御により、その上流
の各通信装置で攻撃容疑トラヒックの伝送帯域を制限す
ることが可能になるため、早期にネットワークの輻輳を
改善することが可能となり、DDoS被攻撃者のサービ
スの停止を抑止することが可能になるとともに、正規利
用者からの通信パケットの割合を増加させることが可能
になる。
【0084】また、初期の伝送帯域制御による攻撃容疑
パケットの帯域制限後は、各通信装置の攻撃容疑パケッ
トの入力伝送帯域に応じて伝送帯域制限値が調整するこ
とが可能になるため、伝送帯域をネットワーク上の各通
信装置に有効に分配することが可能となり、攻撃容疑パ
ケットとして分類された正規パケットの伝送帯域を増加
させ、正規ユーザのサービス性の低下を段階的に改善す
ることが可能になる。
パケットの帯域制限後は、各通信装置の攻撃容疑パケッ
トの入力伝送帯域に応じて伝送帯域制限値が調整するこ
とが可能になるため、伝送帯域をネットワーク上の各通
信装置に有効に分配することが可能となり、攻撃容疑パ
ケットとして分類された正規パケットの伝送帯域を増加
させ、正規ユーザのサービス性の低下を段階的に改善す
ることが可能になる。
【図1】 本発明の実施の形態を適用できるネットワー
クの構成図である。
クの構成図である。
【図2】 同実施の形態による攻撃容疑検出条件の設定
の例である。
の例である。
【図3】 同実施の形態による不正トラヒック検出条件
の設定の例である。
の設定の例である。
【図4】 同実施の形態によるゲート装置2001及び
通信装置2002〜2006が備える帯域制御モデルで
ある。
通信装置2002〜2006が備える帯域制御モデルで
ある。
【図5】 同実施の形態によるフィルタ2021におけ
る分類アルゴリズムである。
る分類アルゴリズムである。
【図6】 同実施の形態によるゲート装置2001の攻
撃容疑パケット検出時の動作を示すフローチャートであ
る。
撃容疑パケット検出時の動作を示すフローチャートであ
る。
【図7】 同実施の形態による図1の構成における伝送
帯域制限値の算出の例である。
帯域制限値の算出の例である。
【図8】 同実施の形態による通信装置2002、20
03の伝送帯域制限指示受信時の動作を示すフローチャ
ートである。
03の伝送帯域制限指示受信時の動作を示すフローチャ
ートである。
【図9】 同実施の形態によるゲート装置2001及び
通信装置2002〜2006の不正トラヒック検出時の
動作を示すフローチャートである。
通信装置2002〜2006の不正トラヒック検出時の
動作を示すフローチャートである。
【図10】 同実施の形態によるゲート装置2001及
び通信装置2002〜2006の伝送帯域制限値の調整
の動作を示すフローチャートである。
び通信装置2002〜2006の伝送帯域制限値の調整
の動作を示すフローチャートである。
【図11】 同実施の形態による図1の構成における伝
送帯域制限調整値の算出の例である。
送帯域制限調整値の算出の例である。
【図12】 同実施の形態を実行できるアクティブネッ
トワークが前提とするネットワークの構成である。
トワークが前提とするネットワークの構成である。
【図13】 同実施の形態を実行できるアクティブネッ
トワークによる通信装置内部の構成を示すブロック図で
ある。
トワークによる通信装置内部の構成を示すブロック図で
ある。
【図14】 同実施の形態を実行できるアクティブネッ
トワークによる転送先テーブル記憶部に記憶されている
転送先テーブルの一例を示す概略図である。
トワークによる転送先テーブル記憶部に記憶されている
転送先テーブルの一例を示す概略図である。
【図15】 同実施の形態を実行できるアクティブネッ
トワークによるセキュリティモデルとそのモデルにおけ
る処理の手順を示す概略図である。
トワークによるセキュリティモデルとそのモデルにおけ
る処理の手順を示す概略図である。
【図16】 同実施の形態を実行できるアクティブネッ
トワークの通信装置をLinux上のJava(登録商
標)仮想マシン(JVM)を用いてアクティブパケット
の処理を行うように実現した場合の概略図である。
トワークの通信装置をLinux上のJava(登録商
標)仮想マシン(JVM)を用いてアクティブパケット
の処理を行うように実現した場合の概略図である。
2000…サーバ
2001…ゲート装置
2002〜2006…通信装置
2007〜2011…端末装置
2012…一般通信装置
2021…フィルタ
2022…正規クラス
2023…正規キュー
2024…不正クラス
2025…不正キュー
2026…容疑クラス
2027…容疑キュー
7000…ユーザのコンピュータ
7001…通信装置
7010…アクティブネットワーク実行環境
7011…コード実行部
7012…コード記憶部
7021…転送処理部
7022…転送先テーブル記憶部
7023a、7023b…インタフェース部
7024a、7024b…通信線
7051…ユーザ端末装置
7061…認証局装置
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 エリック・チェン
東京都千代田区大手町二丁目3番1号 日
本電信電話株式会社内
Fターム(参考) 5B089 GA04 GA31 JB16
5K030 GA13 HB19 HD03 JA07 LC11
LC18 MB09
Claims (13)
- 【請求項1】 複数の通信装置を網目状に接続してなる
ネットワークと、防御対象であるコンピュータおよびL
ANと、前記LANおよびネットワークの間に介挿され
たゲート装置とを有するネットワークシステムにおい
て、 前記ゲート装置は、 入力される通信トラヒックから攻撃容疑トラヒックを検
出した場合に、当該ゲート装置における前記攻撃容疑ト
ラヒックの伝送帯域制限値と、当該ゲート装置の1つ上
流にある通信装置数とを基に、上流の前記通信装置へ通
知する前記攻撃容疑トラヒックの伝送帯域制限値を算出
して上流の前記通信装置へ送信する処理を行い、 前記通信装置は、 前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置
または通信装置から受信した前記伝送帯域制限値に制限
すると共に、前記受信した伝送帯域制限値と、当該通信
装置の1つ上流にある通信装置数とを基に、上流の前記
通信装置へ通知する前記攻撃容疑トラヒックの伝送帯域
制限値を算出して上流の通信装置へ送信する処理を行
い、 前記攻撃容疑パケット送出元の最上流の前記通信装置に
達するまで再帰的に、前記攻撃容疑パケットの伝送帯域
の制限と、前記攻撃容疑トラヒックの伝送帯域制限値送
信との処理を行い、 前記最上流の通信装置は、 当該通信装置に入力される前記攻撃容疑トラヒックの合
計入力伝送帯域値を下流の通信装置へ送信する処理を行
い、 前記合計入力伝送帯域値を受信した下流の通信装置は、 上流の前記通信装置を介さずに当該通信装置に入力され
る前記攻撃容疑トラヒックの伝送帯域値と、受信した前
記攻撃容疑トラヒックの合計入力伝送帯域値とを合計し
た、当該通信装置における前記攻撃容疑トラヒックの合
計入力伝送帯域値を下流の通信装置または前記ゲート装
置へ送信し、 前記ゲート装置に達するまで再帰的に前記攻撃容疑トラ
ヒックの合計入力伝送帯域値の送信する処理を行い、 前記ゲート装置は、 当該ゲート装置における前記攻撃容疑トラヒックの伝送
帯域制限調整値と、前記上流の通信装置を介さずに当該
ゲート装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、上流の通
信装置へ通知する前記攻撃容疑トラヒックの伝送帯域制
限調整値を算出して前記上流の通信装置へ送信する処理
を行い、 前記通信装置は、 前記攻撃容疑トラヒックの伝送帯域を下流のゲート装置
または通信装置から受信した前記伝送帯域制限調整値に
制限すると共に、前記受信した伝送帯域制限調整値と、
前記上流の通信装置を介さずに当該通信装置に入力され
る前記攻撃容疑トラヒックの伝送帯域値と、前記上流の
通信装置から受信した前記攻撃容疑トラヒックの合計入
力伝送帯域値とを基に、上流の通信装置へ通知する前記
攻撃容疑トラヒックの伝送帯域制限調整値を算出して前
記上流の通信装置へ送信する処理とを行い、 前記攻撃容疑パケット送出元の最上流の前記通信装置に
達するまで再帰的に、伝送帯域制限調整値に前記攻撃容
疑パケットの伝送帯域の制限と共に、前記攻撃容疑トラ
ヒックの伝送帯域制限調整値の送信との処理を行う、 ことを特徴とする分散型サービス不能攻撃防止方法。 - 【請求項2】 前記伝送帯域制限値は、ゲート装置また
は通信装置がゲート装置から何ホップ目に存在するかを
示す階層の深さをd、同一の深さdにおいてゲート装置
または通信装置を識別する番号をi、深さdにあるiで
識別されるゲート装置または通信装置の攻撃容疑パケッ
トの伝送帯域制限値をSs(d,i)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にある通
信装置数をnu(d,i)、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にある通信装置を識別
するための番号をk、深さdにあるiで識別されるゲー
ト装置または通信装置の1つ上流にあるkで識別される
通信装置の攻撃容疑トラヒックの伝送帯域制限値をSs
(d+1,i,k)とすると、 【数1】 により算出されることを特徴とする請求項1に記載の分
散型サービス不能攻撃防止方法。 - 【請求項3】 前記伝送帯域制限調整値は、ゲート装置
または通信装置がゲート装置から何ホップ目に存在する
かを示す階層の深さをd、同一の深さdにおいてゲート
装置または通信装置を識別する番号をi、深さdにある
iで識別されるゲート装置または通信装置の攻撃容疑パ
ケットの伝送帯域調整値をSs’(d,i)、深さdにある
iで識別されるゲート装置または通信装置の攻撃容疑ト
ラヒックの合計入力伝送帯域値をT(d,i)、深さdにあ
るiで識別されるゲート装置または通信装置の1つ上流
にある通信装置を識別するための番号をk、深さdにあ
るiで識別されるゲート装置または通信装置の1つ上流
にあるkで識別される通信装置から通知された攻撃容疑
トラヒックの合計入力伝送帯域値をB(d+1,i,k)、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流にあるkで識別される通信装置の攻撃容疑トラヒ
ックの伝送帯域制限調整値をSs’(d+1,i,k)とする
と、 【数2】 により算出されることを特徴とする請求項1または請求
項2に記載の分散型サービス不能攻撃防止方法。 - 【請求項4】 複数の通信装置を網目状に接続してなる
ネットワークと、防御対象であるコンピュータおよびL
ANとの間に介挿されたゲート装置において、 入力される通信トラヒックをチェックし、分散型サービ
ス不能攻撃の攻撃容疑トラヒックを検出するトラヒック
監視手段と、 当該ゲート装置における前記攻撃容疑トラヒックの伝送
帯域制限値と、当該ゲート装置の1つ上流にある通信装
置数とを基に、上流の前記通信装置へ通知する前記トラ
ヒック監視手段によって検出された攻撃容疑トラヒック
の伝送帯域制限値を算出して上流の通信装置へ送信する
帯域制限指示手段と、 当該ゲート装置における前記攻撃容疑トラヒックの伝送
帯域制限調整値と、前記上流の通信装置を介さずに当該
ゲート装置に入力される前記攻撃容疑トラヒックの伝送
帯域値と、前記上流の通信装置から受信した前記攻撃容
疑トラヒックの合計入力伝送帯域値とを基に、前記攻撃
容疑トラヒックの伝送帯域制限調整値を算出して前記上
流の通信装置へ送信する帯域制限調整手段と、 を備えることを特徴とするゲート装置。 - 【請求項5】 前記帯域制限指示手段は、前記伝送帯域
制限値を、ゲート装置または通信装置がゲート装置から
何ホップ目に存在するかを示す階層の深さをd、同一の
深さdにおいてゲート装置または通信装置を識別する番
号をi、深さdにあるiで識別されるゲート装置または
通信装置の攻撃容疑パケットの伝送帯域制限値をSs
(d,i)、深さdにあるiで識別されるゲート装置または
通信装置の1つ上流にある通信装置数をnu(d,i)、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流にある通信装置を識別するための番号をk、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流にあるkで識別される通信装置の攻撃容疑トラヒ
ックの伝送帯域制限値をSs(d+1,i,k)とすると、 【数3】 により算出し、 前記帯域制限調整手段は、前記伝送帯域制限調整値を、
ゲート装置または通信装置がゲート装置から何ホップ目
に存在するかを示す階層の深さをd、同一の深さdにお
いてゲート装置または通信装置を識別する番号をi、深
さdにあるiで識別されるゲート装置または通信装置の
攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深
さdにあるiで識別されるゲート装置または通信装置の
攻撃容疑トラヒックの合計入力伝送帯域値をT(d,i)、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にある通信装置を識別するための番号をk、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にあるkで識別される通信装置から通知され
た攻撃容疑トラヒックの合計入力伝送帯域値をB(d+1,
i,k)、深さdにあるiで識別されるゲート装置または通
信装置の1つ上流にあるkで識別される通信装置の攻撃
容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,
k)とすると、 【数4】 により算出することを特徴とする請求項4に記載のゲー
ト装置。 - 【請求項6】 防御対象であるコンピュータおよびLA
Nを防御するゲート装置が接続されたネットワークのノ
ードを構成する通信装置において、 下流のゲート装置あるいは通信装置から攻撃容疑トラヒ
ックの伝送帯域制限値を受信し、前記攻撃容疑トラヒッ
クの伝送帯域を前記伝送帯域制限値に制限する帯域制御
手段と、 前記受信した伝送帯域制限値と、当該通信装置の1つ上
流にある通信装置数とを基に、上流の前記通信装置へ通
知する前記攻撃容疑トラヒックの伝送帯域制限値を算出
して上流の通信装置へ送信する帯域制限指示手段と、 前記上流の通信装置を介さずに当該通信装置に入力され
る前記攻撃容疑トラヒックの伝送帯域値と、前記上流の
通信装置から受信した前記攻撃容疑トラヒックの合計入
力伝送帯域値とを合計した当該通信装置における前記攻
撃容疑トラヒックの合計入力伝送帯域値を前記下流のゲ
ート装置または通信装置に通知する帯域通知手段と、 前記下流のゲート装置あるいは通信装置から攻撃容疑ト
ラヒックの伝送帯域制限調整値を受信し、前記攻撃容疑
トラヒックの伝送帯域を前記伝送帯域制限調整値に制限
する帯域制御調整手段と、 前記上流の通信装置から受信した前記攻撃容疑トラヒッ
クの合計入力伝送帯域値と、前記上流の通信装置を介さ
ずに当該通信装置に入力される攻撃容疑トラヒックの伝
送帯域値と、前記受信した伝送帯域調整値とを基に、上
流の通信装置へ通知する前記攻撃容疑トラヒックの伝送
帯域制限調整値を算出して、前記上流の通信装置へ送信
する帯域制限調整手段と、 を備えることを特徴とする通信装置。 - 【請求項7】 前記帯域制限指示手段は、前記伝送帯域
制限値を、ゲート装置または通信装置がゲート装置から
何ホップ目に存在するかを示す階層の深さをd、同一の
深さdにおいてゲート装置または通信装置を識別する番
号をi、深さdにあるiで識別されるゲート装置または
通信装置の攻撃容疑パケットの伝送帯域制限値をSs
(d,i)、深さdにあるiで識別されるゲート装置または
通信装置の1つ上流にある通信装置数をnu(d,i)、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流にある通信装置を識別するための番号をk、深さ
dにあるiで識別されるゲート装置または通信装置の1
つ上流にあるkで識別される通信装置の攻撃容疑トラヒ
ックの伝送帯域制限値をSs(d+1,i,k)とすると、 【数5】 により算出し、 前記帯域制限調整手段は、前記伝送帯域制限調整値を、
ゲート装置または通信装置がゲート装置から何ホップ目
に存在するかを示す階層の深さをd、同一の深さdにお
いてゲート装置または通信装置を識別する番号をi、深
さdにあるiで識別されるゲート装置または通信装置の
攻撃容疑パケットの伝送帯域調整値をSs’(d,i)、深
さdにあるiで識別されるゲート装置または通信装置の
攻撃容疑トラヒックの合計入力伝送帯域値をT(d,i)、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にある通信装置を識別するための番号をk、
深さdにあるiで識別されるゲート装置または通信装置
の1つ上流にあるkで識別される通信装置から通知され
た攻撃容疑トラヒックの合計入力伝送帯域値をB(d+1,
i,k)、深さdにあるiで識別されるゲート装置または通
信装置の1つ上流にあるkで識別される通信装置の攻撃
容疑トラヒックの伝送帯域制限調整値をSs’(d+1,i,
k)とすると、 【数6】 により算出することを特徴とする請求項6に記載の通信
装置。 - 【請求項8】 複数の通信装置を網目状に接続してなる
ネットワークと、防御対象であるコンピュータおよびL
ANとの間に介挿されたゲート装置上で実行されるコン
ピュータプログラムであって、 入力される通信トラヒックをチェックし、分散型サービ
ス不能攻撃の攻撃容疑トラヒックを検出した場合に、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限値と、当該ゲート装置の1つ上流にある通信装置
数とを基に、上流の前記通信装置へ通知する前記攻撃容
疑トラヒックの伝送帯域制限値を算出して上流の通信装
置へ送信するステップと、 前記上流の通信装置を介さずに当該ゲート装置に入力さ
れる前記攻撃容疑トラヒックの伝送帯域値と、前記上流
の通信装置から受信した前記攻撃容疑トラヒックの合計
入力伝送帯域値とを基に、前記攻撃容疑トラヒックの伝
送帯域制限調整値を算出して前記上流の通信装置へ送信
するステップと、 をコンピュータに実行させることを特徴とする分散型サ
ービス不能攻撃防止プログラム。 - 【請求項9】 防御対象であるコンピュータおよびLA
Nを防御するゲート装置が接続されたネットワークのノ
ードを構成する通信装置上で実行されるコンピュータプ
ログラムであって、 下流のゲート装置又は通信装置から攻撃容疑トラヒック
の伝送帯域制限値を受信し、前記攻撃容疑トラヒックの
伝送帯域を前記伝送帯域制限値に制限するステップと、 前記受信した伝送帯域制限値と、当該通信装置の1つ上
流にある通信装置数とを基に、上流の前記通信装置へ通
知する前記攻撃容疑トラヒックの伝送帯域制限値を算出
して、上流の通信装置へ送信するステップと、 前記上流の通信装置を介さずに当該通信装置に入力され
る攻撃容疑トラヒックの伝送帯域値と、前記上流の通信
装置から受信した合計入力伝送帯域値とを合計した、当
該通信装置における前記攻撃容疑トラヒックの合計入力
伝送帯域値を前記下流のゲート装置又は通信装置に送信
するステップと、 前記下流のゲート装置又は通信装置から伝送帯域制限調
整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前
記伝送帯域制限調整値に制限するステップと、 前記受信した伝送帯域制限調整値と、前記上流の通信装
置を介さずに当該通信装置に入力される前記攻撃容疑ト
ラヒックの伝送帯域値と、前記上流の通信装置から受信
した前記攻撃容疑トラヒックの合計入力伝送帯域値とを
基に、上流の通信装置へ通知する前記攻撃容疑トラヒッ
クの伝送帯域制限調整値を算出して、前記1つ上流の通
信装置へ送信するステップと、 をコンピュータに実行させることを特徴とする分散型サ
ービス不能攻撃防止プログラム。 - 【請求項10】 前記伝送帯域制限値は、ゲート装置ま
たは通信装置がゲート装置から何ホップ目に存在するか
を示す階層の深さをd、同一の深さdにおいてゲート装
置または通信装置を識別する番号をi、深さdにあるi
で識別されるゲート装置または通信装置の攻撃容疑パケ
ットの伝送帯域制限値をSs(d,i)、深さdにあるiで
識別されるゲート装置または通信装置の1つ上流にある
通信装置数をnu(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にある通信装置を識
別するための番号をk、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にあるkで識別され
る通信装置の攻撃容疑トラヒックの伝送帯域制限値をS
s(d+1,i,k)とすると、 【数7】 により算出され、 前記伝送帯域制限調整値は、ゲート装置または通信装置
がゲート装置から何ホップ目に存在するかを示す階層の
深さをd、同一の深さdにおいてゲート装置または通信
装置を識別する番号をi、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑パケットの伝送帯
域調整値をSs’(d,i)、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑トラヒックの合計
入力伝送帯域値をT(d,i)、深さdにあるiで識別され
るゲート装置または通信装置の1つ上流にある通信装置
を識別するための番号をk、深さdにあるiで識別され
るゲート装置または通信装置の1つ上流にあるkで識別
される通信装置から通知された攻撃容疑トラヒックの合
計入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にあるk
で識別される通信装置の攻撃容疑トラヒックの伝送帯域
制限調整値をSs’(d+1,i,k)とすると、 【数8】 により算出されることを特徴とする請求項8または請求
項9に記載の分散型サービス不能攻撃防止プログラム。 - 【請求項11】 複数の通信装置を網目状に接続してな
るネットワークと、防御対象であるコンピュータおよび
LANとの間に介挿されたゲート装置上で実行されるコ
ンピュータプログラムを記緑したコンピュータ読み取り
可能な記録媒体であって、 入力される通信トラヒックをチェックし、分散型サービ
ス不能攻撃の攻撃容疑トラヒックを検出した場合に、当
該ゲート装置における前記攻撃容疑トラヒックの伝送帯
域制限値と、当該ゲート装置の1つ上流にある通信装置
数とを基に、上流の前記通信装置へ通知する前記攻撃容
疑トラヒックの伝送帯域制限値を算出して上流の通信装
置へ送信するステップと、 前記上流の通信装置を介さずに当該ゲート装置に入力さ
れる前記攻撃容疑トラヒックの伝送帯域値と、前記上流
の通信装置から受信した前記攻撃容疑トラヒックの合計
入力伝送帯域値とを基に、前記攻撃容疑トラヒックの伝
送帯域制限調整値を算出して前記上流の通信装置へ送信
するステップと、 の各処理をコンピュータに実行させる分散型サービス不
能攻撃防止プログラムを記録することを特徴とする記録
媒体。 - 【請求項12】 防御対象であるコンピュータおよびL
ANを防御するゲート装置が接続されたネットワークの
ノードを構成する通信装置上で実行されるコンピュータ
プログラムを記録したコンピュータ読み取り可能な記録
媒体であって、 下流のゲート装置又は通信装置から攻撃容疑トラヒック
の伝送帯域制限値を受信し、前記攻撃容疑トラヒックの
伝送帯域を前記伝送帯域制限値に制限するステップと、 前記受信した伝送帯域制限値と、当該通信装置の1つ上
流にある通信装置数とを基に、上流の前記通信装置へ通
知する前記攻撃容疑トラヒックの伝送帯域制限値を算出
して、上流の通信装置へ送信するステップと、 前記上流の通信装置を介さずに当該通信装置に入力され
る攻撃容疑トラヒックの伝送帯域値と、前記上流の通信
装置から受信した合計入力伝送帯域値とを合計した、当
該通信装置における前記攻撃容疑トラヒックの合計入力
伝送帯域値を前記下流のゲート装置又は通信装置に送信
するステップと、 前記下流のゲート装置又は通信装置から伝送帯域制限調
整値を受信し、前記攻撃容疑トラヒックの伝送帯域を前
記伝送帯域制限調整値に制限するステップと、 前記受信した伝送帯域制限調整値と、前記上流の通信装
置を介さずに当該通信装置に入力される前記攻撃容疑ト
ラヒックの伝送帯域値と、前記上流の通信装置から受信
した前記攻撃容疑トラヒックの合計入力伝送帯域値とを
基に、上流の通信装置へ通知する前記攻撃容疑トラヒッ
クの伝送帯域制限調整値を算出して、前記1つ上流の通
信装置へ送信するステップと、 の各処理をコンピュータに実行させる分散型サービス不
能攻撃防止プログラムを記録することを特徴とする記録
媒体。 - 【請求項13】 前記伝送帯域制限値は、ゲート装置ま
たは通信装置がゲート装置から何ホップ目に存在するか
を示す階層の深さをd、同一の深さdにおいてゲート装
置または通信装置を識別する番号をi、深さdにあるi
で識別されるゲート装置または通信装置の攻撃容疑パケ
ットの伝送帯域制限値をSs(d,i)、深さdにあるiで
識別されるゲート装置または通信装置の1つ上流にある
通信装置数をnu(d,i)、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にある通信装置を識
別するための番号をk、深さdにあるiで識別されるゲ
ート装置または通信装置の1つ上流にあるkで識別され
る通信装置の攻撃容疑トラヒックの伝送帯域制限値をS
s(d+1,i,k)とすると、 【数9】 により算出され、 前記伝送帯域制限調整値は、ゲート装置または通信装置
がゲート装置から何ホップ目に存在するかを示す階層の
深さをd、同一の深さdにおいてゲート装置または通信
装置を識別する番号をi、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑パケットの伝送帯
域調整値をSs’(d,i)、深さdにあるiで識別される
ゲート装置または通信装置の攻撃容疑トラヒックの合計
入力伝送帯域値をT(d,i)、深さdにあるiで識別され
るゲート装置または通信装置の1つ上流にある通信装置
を識別するための番号をk、深さdにあるiで識別され
るゲート装置または通信装置の1つ上流にあるkで識別
される通信装置から通知された攻撃容疑トラヒックの合
計入力伝送帯域値をB(d+1,i,k)、深さdにあるiで識
別されるゲート装置または通信装置の1つ上流にあるk
で識別される通信装置の攻撃容疑トラヒックの伝送帯域
制限調整値をSs’(d+1,i,k)とすると、 【数10】 により算出されることを特徴とする請求項11または請
求項12に記載の分散型サービス不能攻撃防止プログラ
ムを記録することを特徴とする記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002081906A JP3609382B2 (ja) | 2002-03-22 | 2002-03-22 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002081906A JP3609382B2 (ja) | 2002-03-22 | 2002-03-22 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003283572A true JP2003283572A (ja) | 2003-10-03 |
| JP3609382B2 JP3609382B2 (ja) | 2005-01-12 |
Family
ID=29230353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002081906A Expired - Fee Related JP3609382B2 (ja) | 2002-03-22 | 2002-03-22 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3609382B2 (ja) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
| WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
| JP2007243419A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
| JP2007533001A (ja) * | 2004-04-08 | 2007-11-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム |
| US7478168B2 (en) | 2003-11-27 | 2009-01-13 | Nec Corporation | Device, method and program for band control |
| CN1783809B (zh) * | 2004-04-29 | 2011-11-16 | 微软公司 | 网络放大攻击的缓解方法及其网络子系统 |
| JP2013121009A (ja) * | 2011-12-06 | 2013-06-17 | Kddi R & D Laboratories Inc | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
| JP2013121008A (ja) * | 2011-12-06 | 2013-06-17 | Kddi R & D Laboratories Inc | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
| US8479282B2 (en) | 2004-10-12 | 2013-07-02 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack defense system, denial-of-service attack defense method, and computer product |
| JP2013168763A (ja) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | セキュリティ監視システムおよびセキュリティ監視方法 |
| JP2020001098A (ja) * | 2018-06-25 | 2020-01-09 | 株式会社アマダホールディングス | 鋸刃 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107659585A (zh) * | 2017-11-03 | 2018-02-02 | 郑州云海信息技术有限公司 | 一种分级管理全网安全的方法及系统 |
-
2002
- 2002-03-22 JP JP2002081906A patent/JP3609382B2/ja not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7478168B2 (en) | 2003-11-27 | 2009-01-13 | Nec Corporation | Device, method and program for band control |
| JP4808703B2 (ja) * | 2004-04-08 | 2011-11-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム |
| JP2007533001A (ja) * | 2004-04-08 | 2007-11-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 改良型侵入検出監査およびインテリジェント・セキュリティ分析の比較を使用して関連するネットワーク・セキュリティの脅威を識別するための方法およびシステム |
| CN1783809B (zh) * | 2004-04-29 | 2011-11-16 | 微软公司 | 网络放大攻击的缓解方法及其网络子系统 |
| JP2006080582A (ja) * | 2004-09-07 | 2006-03-23 | Kddi Corp | 有害トラフィックを制限する方法及び装置 |
| WO2006040910A1 (ja) * | 2004-10-12 | 2006-04-20 | Nippon Telegraph And Telephone Corporation | 中継装置、中継方法、中継プログラム並びにネットワーク攻撃防御システム |
| US8479282B2 (en) | 2004-10-12 | 2013-07-02 | Nippon Telegraph And Telephone Corporation | Denial-of-service attack defense system, denial-of-service attack defense method, and computer product |
| JP2007243419A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegr & Teleph Corp <Ntt> | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
| JP4697968B2 (ja) * | 2006-03-07 | 2011-06-08 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置 |
| JP2013121009A (ja) * | 2011-12-06 | 2013-06-17 | Kddi R & D Laboratories Inc | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
| JP2013121008A (ja) * | 2011-12-06 | 2013-06-17 | Kddi R & D Laboratories Inc | 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム |
| JP2013168763A (ja) * | 2012-02-15 | 2013-08-29 | Hitachi Ltd | セキュリティ監視システムおよびセキュリティ監視方法 |
| JP2020001098A (ja) * | 2018-06-25 | 2020-01-09 | 株式会社アマダホールディングス | 鋸刃 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3609382B2 (ja) | 2005-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wheeler et al. | Techniques for cyber attack attribution | |
| JP4480422B2 (ja) | 不正アクセス阻止方法、装置及びシステム並びにプログラム | |
| KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US20060143709A1 (en) | Network intrusion prevention | |
| US20100125900A1 (en) | Network Intrusion Protection | |
| US20100071054A1 (en) | Network security appliance | |
| CN109327426A (zh) | 一种防火墙攻击防御方法 | |
| US20060191006A1 (en) | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater | |
| WO2008106876A1 (fr) | Système et procédé pour empêcher l'intrusion d'un virus dans un réseau | |
| JP3609382B2 (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| JP3699941B2 (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体 | |
| JP3609381B2 (ja) | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム | |
| Moon et al. | RTNSS: a routing trace-based network security system for preventing ARP spoofing attacks | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| WO2019240054A1 (ja) | 通信装置、パケット処理方法及びプログラム | |
| JP4014599B2 (ja) | 送信元アドレス偽装パケット検出装置、送信元アドレス偽装パケット検出方法、送信元アドレス偽装パケット検出プログラム | |
| TW201132055A (en) | Routing device and related packet processing circuit | |
| JP2003333092A (ja) | ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法 | |
| US20060225141A1 (en) | Unauthorized access searching method and device | |
| Haeberlen et al. | Pretty Good Packet Authentication. | |
| JP3657569B2 (ja) | パケット処理方法および通信装置 | |
| KR100422807B1 (ko) | 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040123 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20040908 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20041005 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20041013 |
|
| LAPS | Cancellation because of no payment of annual fees |