JP2004328307A - 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 - Google Patents
攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 Download PDFInfo
- Publication number
- JP2004328307A JP2004328307A JP2003119336A JP2003119336A JP2004328307A JP 2004328307 A JP2004328307 A JP 2004328307A JP 2003119336 A JP2003119336 A JP 2003119336A JP 2003119336 A JP2003119336 A JP 2003119336A JP 2004328307 A JP2004328307 A JP 2004328307A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- statistical information
- packet
- attack defense
- statistical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することが可能な攻撃防御機能をIP通信ネットワーク上に実現するようにする。
【解決手段】パケット監視装置は、ネットワークにおける転送パケットの統計情報を集計し、前記集計された統計情報に基づいて攻撃パケットを検出し、前記集計された統計情報と前記検出された検出情報とを出力し、攻撃防御制御サーバは、前記統計情報を収集し、前記収集された統計情報と、前記出力された前記検出情報とに基づいて、攻撃防御処理を決定して通知するとともに、前記パケット監視装置は、この通知に基づいて、攻撃を防御する処理を行う構成にする。
【選択図】 図1
【解決手段】パケット監視装置は、ネットワークにおける転送パケットの統計情報を集計し、前記集計された統計情報に基づいて攻撃パケットを検出し、前記集計された統計情報と前記検出された検出情報とを出力し、攻撃防御制御サーバは、前記統計情報を収集し、前記収集された統計情報と、前記出力された前記検出情報とに基づいて、攻撃防御処理を決定して通知するとともに、前記パケット監視装置は、この通知に基づいて、攻撃を防御する処理を行う構成にする。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
この発明は、インターネットアクセス等のIP通信サービスを提供するためのIP通信ネットワークに関するものである。
【0002】
【従来の技術】
近年、アクセスネットワーク・コアネットワークの広帯域化、端末装置の高性能化により、インターネットの利用はますます増大している。こうした中で、Webサイトのダウンや各種サーバへの不正侵入を狙った悪意の攻撃が行われる危険性も高まっており、これらの攻撃に対する対策が重要となってきている。従来、こうした攻撃に対する防御策としては、インターネットと接する各個別のローカルエリアネットワーク入り口にファイアウォールを設置してインターネット側からローカルエリアへの不要な侵入を防ぐとともに、外部からのアクセスを許す各種サーバ等に対しては、ファイアウォールと連動する侵入検出システム(IDS:Intrusion Detection System)を設置することにより、ローカルエリアネットワークの入り口で攻撃を食い止めるか、公開しているサーバ自身にIDS機能を実装することによりガードすることが一般的であった。
【0003】
またさらに、今後、ますますIP通信サービスのユーザが増大するにつれ、こうした攻撃に対する防御の知識や経験に乏しいユーザでも安心して使えるセーフティなIP通信サービスが求められるようになる。
【0004】
上述したIDSにおいては、一般に、攻撃検出対象のパケット流の攻撃パターンを記述した“シグネチャ”と呼ばれるルールに照らし合わせて攻撃を検出する方法や、パケット流の振る舞いを常時統計監視し、通常と異なる振る舞いを示すと攻撃と見なす方法が用いられる。しかしながら、こうした検出方法では、ネットワークに接続される数多くの端末装置を操作して、一斉に特定のサーバへアクセスさせるいわゆる分散型DoS(Denial of Service)攻撃への対処は困難である。分散DoS攻撃を受けると、被攻撃サーバでのサービス提供が不能になることに加えて、攻撃パケットのトラヒックが負荷となり、ネットワーク全体のパフォーマンスが低下する。このため、攻撃パケットの入力をできる限り上流で遮断することが必要であるが、分散型DoS攻撃においては、攻撃元の特定を難しくするため、しばしば、パケットの送信元アドレスが詐称される。
【0005】
パケット送信元アドレスを詐称した分散型DoS攻撃に対する防御方法としては、例えば、UUNET社Robert Stoneによる文献”CenterTrack: An IP Overlay Network for Tracking DoS Floods”(NANOG17, October 1999)があり、この文献では、出力パケットフローに基づいて分散型DoS攻撃を検出したエッジルーターから、Hop by Hopに攻撃パケットの入力ルーターを逆探索していく方法や、その改良型として通常のパケット転送ネットワークとは別に構築されたオーバーレイネットワーク上を逆探索していく方法(CenterTrack)が提案されている。また、特開2002−164938号公報「分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム」では、分散DoS攻撃を検出したエッジルーターから、攻撃パケットの上流に向かって、パケットフィルタリング機能そのものが順次送出されていき、攻撃防御を行う方法が記述されている。
【0006】
【特許文献1】
特開2002−164938号公報
【0007】
【非特許文献1】
CenterTrack: An IP Overlay Network for Tracking DoS Floods(NANOG17, October 1999)
【0008】
【発明が解決しようとする課題】
しかし、従来の分散型DoS攻撃に対する防御方法は、上述のように、攻撃パケットの転送経路を1Hopずつ特定して逆探索していく方法であるため、攻撃パケットの入力箇所を特定するまでに数段階の網内探索が必要であり、結果判定に至るまでの手間がかかり、時間を要するという問題点があった。また、逆探索する網のトポロジーを簡単化して探索時間を短縮するCenterTrack方式であっても、各攻撃パケット送信元から断続的に攻撃パケットが入力されるようなパターンでは、次Hop逆探索処理中に、たまたま攻撃パケット入力が中断すると、入力エッジルーターの見落としが発生する可能性があり、すべての攻撃パケット入力エッジルーターの検出に至れないことがあるという問題があった。
【0009】
この発明は、上記のような問題点を解決するためになされたもので、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することが可能な攻撃防御機能をIP通信ネットワーク上に実現することを目的とする。
【0010】
【課題を解決するための手段】
この発明に係る攻撃防御システムは、ネットワークにおける転送パケットの統計情報を集計する統計処理手段と、前記統計処理手段により集計された統計情報に基づいて攻撃パケットを検出する攻撃検出手段と、前記統計処理手段により集計された統計情報と、前記攻撃検出手段により検出された検出情報とを出力するサーバ通知手段と、外部からの通知に基づいて攻撃を防御する処理を行う攻撃防御処理手段とを有するパケット監視装置と、前記サーバ通知手段により出力された前記統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集された統計情報と、前記サーバ通知手段により出力される前記検出情報とに基づいて、攻撃防御処理を決定して前記パケット監視装置に通知する攻撃防御処理決定手段とを有する攻撃防御制御サーバとを備えるとともに、前記パケット監視装置における前記攻撃防御処理手段は、前記攻撃防御制御サーバにおける前記攻撃防御処理決定手段からの攻撃防御処理の通知に基づいて、攻撃を防御する処理を行うものである。
【0011】
【発明の実施の形態】
実施の形態1.
図1は、この発明の通信ネットワークにおける攻撃防御システムの構成を示す説明図である。図1において、IPネットワーク1を介してエッジルーター2a〜2d、攻撃防御制御サーバ3が接続されており、エッジルーター2を介して外部IPネットワーク4、ローカルエリアネットワーク5a〜5dが接続されている。また、ローカルエリアネットワーク5には、情報処理端末6a〜6fが収容されている。この情報処理端末6は、各種アプリケーションにて、サーバとして動作する場合もある。
なお、本実施の形態1では、エッジルーター2における入力パケットとはIPネットワーク1に入力されるパケットを示し、出力パケットとはIPネットワーク1から出力されるパケットを示すものとする。
【0012】
また、図2は、この発明のパケット管理機能を備えたエッジルーターの構成を示す説明図である。図2において、エッジルーター2はパケット監視装置20を備え、このパケット監視装置20は、入出力パケットの統計情報を集計する統計処理手段21と、統計処理手段21による出力パケットの統計情報に基づいて攻撃を検出する攻撃検出手段22と、統計処理手段21による入力パケットの統計情報、攻撃検出手段22による攻撃の検出情報を、攻撃防御制御サーバ3へ通知するサーバ通知手段23と、攻撃防御サーバ3からの攻撃防御処理指示に従って処理を行う攻撃防御処理手段24とを備える。また、その他図示しないエッジルーターのルーティング機能等については従来と同様である。
【0013】
また、図3は、この発明の攻撃防御制御サーバ3の構成を示す説明図である。図3において、攻撃防御制御サーバ3は、各エッジルーター2のパケット監視装置20からの統計情報通知に基づいて入力パケットの統計情報を収集する統計情報収集手段31と、この統計情報収集手段31により収集された入力パケットの統計情報を保存するパケット統計情報DB32と、ネットワーク構成情報DB33とを備える。また、パケット統計情報DB32に保存された統計情報と、ネットワーク構成情報DB33のネットワーク構成情報とに基づいて攻撃防御処理を決定してパケット監視装置20に通知する攻撃防御処理決定手段34を備える。
【0014】
また、図4は、この発明の攻撃防御システムの動作シーケンスを示す説明図である。
図1〜4を用いて、動作について以下に説明する。
まず、エッジルーター2a〜2dでは、起動された後、統計処理手段21がIPネットワーク1に入力されるパケットフローを監視し、一定期間、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル種別、パケット長等のデータ及びユーザデータの一部或いは全部(ログ情報等)や、それらをパラメータとしたカウンタ値を統計情報として保持し、サーバ通知手段23がこの入力パケットの統計情報を周期的に攻撃防御制御サーバ3に通知する(図4のSQ701)。
【0015】
これに対して攻撃防御制御サーバ3では、統計情報収集手段31がエッジルーター2a〜2dから入力パケットの統計情報を受け取り、パケット統計情報DB32に保存する。
【0016】
ここで、エッジルーター2aにおいて、統計処理手段21により集計されたIPネットワーク1から出力されるパケットフローの統計情報(宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル種別、パケット種別、パケット長等のデータの一部或いは全部(ログ情報等)や、それらをパラメータとしたカウンタ値)に基づいて、攻撃検出手段22がローカルエリアネットワーク5aに収容される情報処理端末6aに対するDoS攻撃を検出した場合、サーバ通知手段23は、攻撃パケットと判断した統計情報を含む攻撃検出通知を、攻撃防御制御サーバ3に通知する(図4のSQ702)。
【0017】
これに対して、攻撃防御制御サーバ3における攻撃防御処理決定手段34は、エッジルーター2aから攻撃検出通知を受け取ると、この攻撃検出通知に含まれる情報と、パケット統計情報DB32に保存された各エッジルーター2a〜2dの入力パケットの統計情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報とに基づいて分析を行って、攻撃パケットを特定するための条件及びその攻撃パケットが入力されているエッジルーター2を特定する。そして、攻撃防御処理決定手段34は、この特定した攻撃パケットが入力されるエッジルーター2に対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示を送出する(図4のSQ703)。
【0018】
ここで例えば、単一の攻撃元によるDoS攻撃で、攻撃パケットが入力されているエッジルーターはエッジルーター2cであると特定されると、攻撃防御処理決定手段34により、エッジルーター2cに対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示が送出される。
また例えば、複数の攻撃元による分散型DoS攻撃で、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定されると、攻撃防御処理決定34により、エッジルーター2b、2に対して、攻撃パケットの宛先アドレス及び送信元アドレス情報を含む攻撃パケットの入力を遮断するよう攻撃防御処理指示が送出される。図4では、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定された場合について示している。
【0019】
そして、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により指定された攻撃パケットの特定条件に合致する入力パケットの廃棄或いは帯域の削減を実施する。これにより、攻撃パケットがIPネットワーク1内への流入を防御することができる。
【0020】
上記の攻撃防御処理の後も、攻撃防御制御サーバ3の統計情報収集手段31は攻撃防御処理指示を受けたエッジルーター2b、2cの入力パケットの統計情報を収集しており(図4のSQ704)、統計情報収集手段31経由で蓄積されたパケット統計情報DB32の統計情報に基づいて、攻撃防御制御処理決定手段34が遮断の対象としていた攻撃パケットの入力が無くなったと判断すると、エッジルーター2b、2cに対して、攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を送出する(図4のSQ705)。
【0021】
すると、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により該当する入力パケットの廃棄処理を停止し、DoS攻撃が検出される前の状態に戻る。
【0022】
以上のように、この発明による攻撃防御システムでは、周期的に収集している各エッジルーターの入力パケット統計情報に基づいて、攻撃パケットの入力エッジルーターを特定するようにしているため、出力側でDoS攻撃が検出されたことを契機として、効率良く、かつ攻撃パケットの入力が断続的であったとしても取りこぼすことなく、その攻撃パケットの入力エッジルーターを特定することができ、DoS攻撃からIPネットワークを防御することができる。特に、送信元アドレスを詐称した分散型DoS攻撃の場合においても、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することができる。
【0023】
また、各エッジルーターの入力パケット統計情報に基づいているため、既知のDoS攻撃だけでなく、未知のDoS攻撃に対しても、柔軟に対応することができる。
【0024】
また、本実施の形態1では、エッジルーター2内にパケット監視装置20を備えた場合について説明したが、エッジルーター2の入出力パケットを管理できればこれに限られず、エッジルーター2とは別に設けても同様の効果を得ることができる。
【0025】
また、本実施の形態1では、エッジルーター2内にパケット監視装置20を備えた場合について説明したが、パケットを転送する装置であればこれに限られず、エッジルーター以外のネットワーク終端装置にパケット監視装置20を設けても同様の効果を得ることができる。この場合も、パケット監視装置20をルーター等に内蔵しても、別に設けてもよい。
【0026】
また、本実施の形態1では、統計処理手段21により集計された統計情報に基づいて攻撃検出手段22が攻撃を検出して攻撃検出通知を行い、攻撃防御処理決定手段34がこの攻撃検出通知とパケット統計情報DB32の情報とに基づいて攻撃パケットを特定するための条件とその攻撃パケットが入力されているエッジルーター2を特定する場合について説明したが、シグネチャ等により攻撃検出手段22が攻撃を検出して攻撃検出通知(シグネチャ、ログ等を含む)を行い、攻撃防御処理決定手段34がこの攻撃検出通知とパケット統計情報DB32の情報とに基づいて攻撃パケットが入力されているエッジルーター2を特定する場合もある。
【0027】
実施の形態2.
上記実施の形態1では、入力パケットの統計情報を周期的に攻撃防御制御サーバ3に通知する場合について説明したが、本実施の形態2では、DoS攻撃を検出したら入力パケットの統計情報を攻撃防御制御サーバ3に通知する場合について説明する。
【0028】
図5は、本実施の形態2における攻撃防御システムの動作シーケンスを示す説明図である。その他攻撃防御システムの構成、エッジルーターの構成、攻撃防御制御サーバの構成については、上記実施の形態1と同様である。
【0029】
エッジルーター2aにおいて、統計処理手段21により集計されたIPネットワーク1から出力されるパケットフローの統計情報に基づいて、攻撃検出手段22がローカルエリアネットワーク5aに収容される情報処理端末6aに対するDoS攻撃を検出した場合、サーバ通知手段23は、攻撃パケットと判断した統計情報を含む攻撃検出通知を、攻撃防御制御サーバ3に通知する(SQ801)。
【0030】
攻撃検出通知を受け取った攻撃防御制御サーバ3の統計情報収集手段31は、各エッジルーター2に対して、入力パケットの統計情報を要求する(SQ802)。
【0031】
入力パケットの統計情報の要求を受け取ったエッジルーター2のサーバ通知手段23は、攻撃防御制御サーバ3に対して、統計処理手段21により集計された入力パケットの統計情報を通知する(SQ803)。これに対して攻撃防御制御サーバ3では、統計情報収集手段31がエッジルーター2a〜2dから入力パケットの統計情報を受け取り、パケット統計情報DB32に保存する。
【0032】
そして、攻撃防御制御サーバ3における攻撃防御処理決定手段34は、エッジルーター2aから受け取った攻撃検出通知に含まれる情報と、パケット統計情報DB32に保存された各エッジルーター2a〜2dの入力パケットの統計情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報とに基づいて分析を行って、攻撃パケットを特定するための条件及びその攻撃パケットが入力されているエッジルーター2を特定し、さらに、この特定した攻撃パケットが入力されるエッジルーター2に対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示を送出する(SQ804)。図5では、図4と同様に、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定された場合について示している。
【0033】
エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により指定された宛先アドレス及び送信元アドレスに合致する入力パケットを廃棄する。
【0034】
上記攻撃防御処理の後、攻撃防御制御サーバ3の統計情報収集手段31は、攻撃防御処理指示を送出した各エッジルーター2に対して、周期的にあるいは一定時間経過後に入力パケットの統計情報を要求する(SQ805)。そして、入力パケットの統計情報の要求を受け取ったエッジルーター2の統計処理手段21は、攻撃防御制御サーバ3に対して、入力パケットの統計情報を通知する(SQ806)。図5では、周期的に、入力パケットの統計情報を要求し、通知を返す場合について示している。
【0035】
統計情報収集手段31経由で蓄積されたパケット統計情報DB32の統計情報に基づいて、攻撃防御制御処理決定手段34が遮断の対象としていた攻撃パケットの入力が無くなったと判断すると、エッジルーター2b、2cに対して、攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を送出する(SQ807)。すると、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により該当する入力パケットの廃棄処理を停止し、DoS攻撃が検出される前の状態に戻る。
【0036】
以上のように、本実施の形態2における攻撃防御システムでは、DoS攻撃を検出したら入力パケットの統計情報を攻撃防御制御サーバ3に通知するようにしたため、ネットワーク規模が大きく、エッジルーターからの入力パケットの統計情報が膨大となるような場合でも、効率良く、処理することができる。
【0037】
また、本実施の形態2では、SQ805において、攻撃防御処理指示を送出した各エッジルーター2に対して、入力パケットの統計情報を要求する場合について説明したが、これに限られず、各エッジルータに要求しても同様の効果を得ることができる。
【0038】
つまり、実施の形態1では、攻撃防御制御サーバ3に必要なエッジルーターの入力パケットの統計情報を得ることができれば、どのような手順で統計情報を収集してもよく、実施の形態2では、攻撃防御制御サーバ3において効率的に必要なエッジルーターの入力パケットの統計情報を得ることができれば、どのような手順で統計情報を収集してもよい。
【0039】
実施の形態3.
上記実施の形態1、2では、攻撃防御制御サーバ3が1台でネットワーク全体を管理する場合について説明したが、攻撃防御制御サーバ3を複数台設けてネットワーク全体を管理する場合でも同様の効果を得ることができる。ここで、攻撃防御制御サーバ3を複数台設けるとは、図1に示すようなネットワーク(エリア)を1台の攻撃防御制御サーバ3で管轄し、それぞれの攻撃防御制御サーバが別々のエリアを管轄し、一つの大きなネットワークを形成する場合などであるが、物理的に攻撃防御制御サーバ3が複数台存在していても、これら複数台の攻撃防御制御サーバ3が互いに連携して一つの論理的な攻撃防御制御サーバ3として動作することにより、同様の効果を得ることができる。
【0040】
本実施の形態3における攻撃防御システムでは、攻撃防御制御サーバ3を複数台設けてネットワーク全体を管理することにより、更に、ネットワーク規模が大きい場合でも、負荷を分散し、効率良く処理することができるという効果がある。
【0041】
【発明の効果】
以上のように、ネットワークにおける転送パケットの統計情報を集計する統計処理手段と、前記統計処理手段により集計された統計情報に基づいて攻撃パケットを検出する攻撃検出手段と、前記統計処理手段により集計された統計情報と、前記攻撃検出手段により検出された検出情報とを出力するサーバ通知手段と、外部からの通知に基づいて攻撃を防御する処理を行う攻撃防御処理手段とを有するパケット監視装置と、前記サーバ通知手段により出力された前記統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集された統計情報と、前記サーバ通知手段により出力される前記検出情報とに基づいて、攻撃防御処理を決定して前記パケット監視装置に通知する攻撃防御処理決定手段とを有する攻撃防御制御サーバとを備えるとともに、前記パケット監視装置における前記攻撃防御処理手段は、前記攻撃防御制御サーバにおける前記攻撃防御処理決定手段からの攻撃防御処理の通知に基づいて、攻撃を防御する処理を行うことにより、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することができる。
【図面の簡単な説明】
【図1】通信ネットワークにおける攻撃防御システムの構成を示す説明図
【図2】パケット管理機能を備えたエッジルーターの構成を示す説明図
【図3】攻撃防御制御サーバ3の構成を示す説明図
【図4】攻撃防御システムの動作シーケンスを示す説明図
【図5】実施の形態2における攻撃防御システムの動作シーケンスを示す説明図
【符号の説明】
1 IPネットワーク
2a、2b、2c、2d エッジルーター
3 攻撃防御制御サーバ
4 外部IPネットワーク
5a、5b、5c、5d ローカルエリアネットワーク
6a、6b、6c、6d、6e、6f 情報処理端末
20 パケット監視装置
21 統計処理手段
22 攻撃検出手段
23 サーバ通知手段
24 攻撃防御処理手段
31 統計情報収集手段
32 パケット統計情報DB
33 ネットワーク構成情報DB
34 攻撃防御処理決定手段
【発明の属する技術分野】
この発明は、インターネットアクセス等のIP通信サービスを提供するためのIP通信ネットワークに関するものである。
【0002】
【従来の技術】
近年、アクセスネットワーク・コアネットワークの広帯域化、端末装置の高性能化により、インターネットの利用はますます増大している。こうした中で、Webサイトのダウンや各種サーバへの不正侵入を狙った悪意の攻撃が行われる危険性も高まっており、これらの攻撃に対する対策が重要となってきている。従来、こうした攻撃に対する防御策としては、インターネットと接する各個別のローカルエリアネットワーク入り口にファイアウォールを設置してインターネット側からローカルエリアへの不要な侵入を防ぐとともに、外部からのアクセスを許す各種サーバ等に対しては、ファイアウォールと連動する侵入検出システム(IDS:Intrusion Detection System)を設置することにより、ローカルエリアネットワークの入り口で攻撃を食い止めるか、公開しているサーバ自身にIDS機能を実装することによりガードすることが一般的であった。
【0003】
またさらに、今後、ますますIP通信サービスのユーザが増大するにつれ、こうした攻撃に対する防御の知識や経験に乏しいユーザでも安心して使えるセーフティなIP通信サービスが求められるようになる。
【0004】
上述したIDSにおいては、一般に、攻撃検出対象のパケット流の攻撃パターンを記述した“シグネチャ”と呼ばれるルールに照らし合わせて攻撃を検出する方法や、パケット流の振る舞いを常時統計監視し、通常と異なる振る舞いを示すと攻撃と見なす方法が用いられる。しかしながら、こうした検出方法では、ネットワークに接続される数多くの端末装置を操作して、一斉に特定のサーバへアクセスさせるいわゆる分散型DoS(Denial of Service)攻撃への対処は困難である。分散DoS攻撃を受けると、被攻撃サーバでのサービス提供が不能になることに加えて、攻撃パケットのトラヒックが負荷となり、ネットワーク全体のパフォーマンスが低下する。このため、攻撃パケットの入力をできる限り上流で遮断することが必要であるが、分散型DoS攻撃においては、攻撃元の特定を難しくするため、しばしば、パケットの送信元アドレスが詐称される。
【0005】
パケット送信元アドレスを詐称した分散型DoS攻撃に対する防御方法としては、例えば、UUNET社Robert Stoneによる文献”CenterTrack: An IP Overlay Network for Tracking DoS Floods”(NANOG17, October 1999)があり、この文献では、出力パケットフローに基づいて分散型DoS攻撃を検出したエッジルーターから、Hop by Hopに攻撃パケットの入力ルーターを逆探索していく方法や、その改良型として通常のパケット転送ネットワークとは別に構築されたオーバーレイネットワーク上を逆探索していく方法(CenterTrack)が提案されている。また、特開2002−164938号公報「分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム」では、分散DoS攻撃を検出したエッジルーターから、攻撃パケットの上流に向かって、パケットフィルタリング機能そのものが順次送出されていき、攻撃防御を行う方法が記述されている。
【0006】
【特許文献1】
特開2002−164938号公報
【0007】
【非特許文献1】
CenterTrack: An IP Overlay Network for Tracking DoS Floods(NANOG17, October 1999)
【0008】
【発明が解決しようとする課題】
しかし、従来の分散型DoS攻撃に対する防御方法は、上述のように、攻撃パケットの転送経路を1Hopずつ特定して逆探索していく方法であるため、攻撃パケットの入力箇所を特定するまでに数段階の網内探索が必要であり、結果判定に至るまでの手間がかかり、時間を要するという問題点があった。また、逆探索する網のトポロジーを簡単化して探索時間を短縮するCenterTrack方式であっても、各攻撃パケット送信元から断続的に攻撃パケットが入力されるようなパターンでは、次Hop逆探索処理中に、たまたま攻撃パケット入力が中断すると、入力エッジルーターの見落としが発生する可能性があり、すべての攻撃パケット入力エッジルーターの検出に至れないことがあるという問題があった。
【0009】
この発明は、上記のような問題点を解決するためになされたもので、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することが可能な攻撃防御機能をIP通信ネットワーク上に実現することを目的とする。
【0010】
【課題を解決するための手段】
この発明に係る攻撃防御システムは、ネットワークにおける転送パケットの統計情報を集計する統計処理手段と、前記統計処理手段により集計された統計情報に基づいて攻撃パケットを検出する攻撃検出手段と、前記統計処理手段により集計された統計情報と、前記攻撃検出手段により検出された検出情報とを出力するサーバ通知手段と、外部からの通知に基づいて攻撃を防御する処理を行う攻撃防御処理手段とを有するパケット監視装置と、前記サーバ通知手段により出力された前記統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集された統計情報と、前記サーバ通知手段により出力される前記検出情報とに基づいて、攻撃防御処理を決定して前記パケット監視装置に通知する攻撃防御処理決定手段とを有する攻撃防御制御サーバとを備えるとともに、前記パケット監視装置における前記攻撃防御処理手段は、前記攻撃防御制御サーバにおける前記攻撃防御処理決定手段からの攻撃防御処理の通知に基づいて、攻撃を防御する処理を行うものである。
【0011】
【発明の実施の形態】
実施の形態1.
図1は、この発明の通信ネットワークにおける攻撃防御システムの構成を示す説明図である。図1において、IPネットワーク1を介してエッジルーター2a〜2d、攻撃防御制御サーバ3が接続されており、エッジルーター2を介して外部IPネットワーク4、ローカルエリアネットワーク5a〜5dが接続されている。また、ローカルエリアネットワーク5には、情報処理端末6a〜6fが収容されている。この情報処理端末6は、各種アプリケーションにて、サーバとして動作する場合もある。
なお、本実施の形態1では、エッジルーター2における入力パケットとはIPネットワーク1に入力されるパケットを示し、出力パケットとはIPネットワーク1から出力されるパケットを示すものとする。
【0012】
また、図2は、この発明のパケット管理機能を備えたエッジルーターの構成を示す説明図である。図2において、エッジルーター2はパケット監視装置20を備え、このパケット監視装置20は、入出力パケットの統計情報を集計する統計処理手段21と、統計処理手段21による出力パケットの統計情報に基づいて攻撃を検出する攻撃検出手段22と、統計処理手段21による入力パケットの統計情報、攻撃検出手段22による攻撃の検出情報を、攻撃防御制御サーバ3へ通知するサーバ通知手段23と、攻撃防御サーバ3からの攻撃防御処理指示に従って処理を行う攻撃防御処理手段24とを備える。また、その他図示しないエッジルーターのルーティング機能等については従来と同様である。
【0013】
また、図3は、この発明の攻撃防御制御サーバ3の構成を示す説明図である。図3において、攻撃防御制御サーバ3は、各エッジルーター2のパケット監視装置20からの統計情報通知に基づいて入力パケットの統計情報を収集する統計情報収集手段31と、この統計情報収集手段31により収集された入力パケットの統計情報を保存するパケット統計情報DB32と、ネットワーク構成情報DB33とを備える。また、パケット統計情報DB32に保存された統計情報と、ネットワーク構成情報DB33のネットワーク構成情報とに基づいて攻撃防御処理を決定してパケット監視装置20に通知する攻撃防御処理決定手段34を備える。
【0014】
また、図4は、この発明の攻撃防御システムの動作シーケンスを示す説明図である。
図1〜4を用いて、動作について以下に説明する。
まず、エッジルーター2a〜2dでは、起動された後、統計処理手段21がIPネットワーク1に入力されるパケットフローを監視し、一定期間、宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル種別、パケット長等のデータ及びユーザデータの一部或いは全部(ログ情報等)や、それらをパラメータとしたカウンタ値を統計情報として保持し、サーバ通知手段23がこの入力パケットの統計情報を周期的に攻撃防御制御サーバ3に通知する(図4のSQ701)。
【0015】
これに対して攻撃防御制御サーバ3では、統計情報収集手段31がエッジルーター2a〜2dから入力パケットの統計情報を受け取り、パケット統計情報DB32に保存する。
【0016】
ここで、エッジルーター2aにおいて、統計処理手段21により集計されたIPネットワーク1から出力されるパケットフローの統計情報(宛先アドレス、送信元アドレス、宛先ポート番号、送信元ポート番号、プロトコル種別、パケット種別、パケット長等のデータの一部或いは全部(ログ情報等)や、それらをパラメータとしたカウンタ値)に基づいて、攻撃検出手段22がローカルエリアネットワーク5aに収容される情報処理端末6aに対するDoS攻撃を検出した場合、サーバ通知手段23は、攻撃パケットと判断した統計情報を含む攻撃検出通知を、攻撃防御制御サーバ3に通知する(図4のSQ702)。
【0017】
これに対して、攻撃防御制御サーバ3における攻撃防御処理決定手段34は、エッジルーター2aから攻撃検出通知を受け取ると、この攻撃検出通知に含まれる情報と、パケット統計情報DB32に保存された各エッジルーター2a〜2dの入力パケットの統計情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報とに基づいて分析を行って、攻撃パケットを特定するための条件及びその攻撃パケットが入力されているエッジルーター2を特定する。そして、攻撃防御処理決定手段34は、この特定した攻撃パケットが入力されるエッジルーター2に対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示を送出する(図4のSQ703)。
【0018】
ここで例えば、単一の攻撃元によるDoS攻撃で、攻撃パケットが入力されているエッジルーターはエッジルーター2cであると特定されると、攻撃防御処理決定手段34により、エッジルーター2cに対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示が送出される。
また例えば、複数の攻撃元による分散型DoS攻撃で、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定されると、攻撃防御処理決定34により、エッジルーター2b、2に対して、攻撃パケットの宛先アドレス及び送信元アドレス情報を含む攻撃パケットの入力を遮断するよう攻撃防御処理指示が送出される。図4では、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定された場合について示している。
【0019】
そして、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により指定された攻撃パケットの特定条件に合致する入力パケットの廃棄或いは帯域の削減を実施する。これにより、攻撃パケットがIPネットワーク1内への流入を防御することができる。
【0020】
上記の攻撃防御処理の後も、攻撃防御制御サーバ3の統計情報収集手段31は攻撃防御処理指示を受けたエッジルーター2b、2cの入力パケットの統計情報を収集しており(図4のSQ704)、統計情報収集手段31経由で蓄積されたパケット統計情報DB32の統計情報に基づいて、攻撃防御制御処理決定手段34が遮断の対象としていた攻撃パケットの入力が無くなったと判断すると、エッジルーター2b、2cに対して、攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を送出する(図4のSQ705)。
【0021】
すると、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により該当する入力パケットの廃棄処理を停止し、DoS攻撃が検出される前の状態に戻る。
【0022】
以上のように、この発明による攻撃防御システムでは、周期的に収集している各エッジルーターの入力パケット統計情報に基づいて、攻撃パケットの入力エッジルーターを特定するようにしているため、出力側でDoS攻撃が検出されたことを契機として、効率良く、かつ攻撃パケットの入力が断続的であったとしても取りこぼすことなく、その攻撃パケットの入力エッジルーターを特定することができ、DoS攻撃からIPネットワークを防御することができる。特に、送信元アドレスを詐称した分散型DoS攻撃の場合においても、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することができる。
【0023】
また、各エッジルーターの入力パケット統計情報に基づいているため、既知のDoS攻撃だけでなく、未知のDoS攻撃に対しても、柔軟に対応することができる。
【0024】
また、本実施の形態1では、エッジルーター2内にパケット監視装置20を備えた場合について説明したが、エッジルーター2の入出力パケットを管理できればこれに限られず、エッジルーター2とは別に設けても同様の効果を得ることができる。
【0025】
また、本実施の形態1では、エッジルーター2内にパケット監視装置20を備えた場合について説明したが、パケットを転送する装置であればこれに限られず、エッジルーター以外のネットワーク終端装置にパケット監視装置20を設けても同様の効果を得ることができる。この場合も、パケット監視装置20をルーター等に内蔵しても、別に設けてもよい。
【0026】
また、本実施の形態1では、統計処理手段21により集計された統計情報に基づいて攻撃検出手段22が攻撃を検出して攻撃検出通知を行い、攻撃防御処理決定手段34がこの攻撃検出通知とパケット統計情報DB32の情報とに基づいて攻撃パケットを特定するための条件とその攻撃パケットが入力されているエッジルーター2を特定する場合について説明したが、シグネチャ等により攻撃検出手段22が攻撃を検出して攻撃検出通知(シグネチャ、ログ等を含む)を行い、攻撃防御処理決定手段34がこの攻撃検出通知とパケット統計情報DB32の情報とに基づいて攻撃パケットが入力されているエッジルーター2を特定する場合もある。
【0027】
実施の形態2.
上記実施の形態1では、入力パケットの統計情報を周期的に攻撃防御制御サーバ3に通知する場合について説明したが、本実施の形態2では、DoS攻撃を検出したら入力パケットの統計情報を攻撃防御制御サーバ3に通知する場合について説明する。
【0028】
図5は、本実施の形態2における攻撃防御システムの動作シーケンスを示す説明図である。その他攻撃防御システムの構成、エッジルーターの構成、攻撃防御制御サーバの構成については、上記実施の形態1と同様である。
【0029】
エッジルーター2aにおいて、統計処理手段21により集計されたIPネットワーク1から出力されるパケットフローの統計情報に基づいて、攻撃検出手段22がローカルエリアネットワーク5aに収容される情報処理端末6aに対するDoS攻撃を検出した場合、サーバ通知手段23は、攻撃パケットと判断した統計情報を含む攻撃検出通知を、攻撃防御制御サーバ3に通知する(SQ801)。
【0030】
攻撃検出通知を受け取った攻撃防御制御サーバ3の統計情報収集手段31は、各エッジルーター2に対して、入力パケットの統計情報を要求する(SQ802)。
【0031】
入力パケットの統計情報の要求を受け取ったエッジルーター2のサーバ通知手段23は、攻撃防御制御サーバ3に対して、統計処理手段21により集計された入力パケットの統計情報を通知する(SQ803)。これに対して攻撃防御制御サーバ3では、統計情報収集手段31がエッジルーター2a〜2dから入力パケットの統計情報を受け取り、パケット統計情報DB32に保存する。
【0032】
そして、攻撃防御制御サーバ3における攻撃防御処理決定手段34は、エッジルーター2aから受け取った攻撃検出通知に含まれる情報と、パケット統計情報DB32に保存された各エッジルーター2a〜2dの入力パケットの統計情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報とに基づいて分析を行って、攻撃パケットを特定するための条件及びその攻撃パケットが入力されているエッジルーター2を特定し、さらに、この特定した攻撃パケットが入力されるエッジルーター2に対して、分析結果に基づいて抽出された攻撃パケットの特定条件に合致する攻撃パケットの入力の遮断或いは帯域の削減を実施するよう攻撃防御処理指示を送出する(SQ804)。図5では、図4と同様に、攻撃パケットが入力されているエッジルーターはエッジルーター2b、2cであると特定された場合について示している。
【0033】
エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により指定された宛先アドレス及び送信元アドレスに合致する入力パケットを廃棄する。
【0034】
上記攻撃防御処理の後、攻撃防御制御サーバ3の統計情報収集手段31は、攻撃防御処理指示を送出した各エッジルーター2に対して、周期的にあるいは一定時間経過後に入力パケットの統計情報を要求する(SQ805)。そして、入力パケットの統計情報の要求を受け取ったエッジルーター2の統計処理手段21は、攻撃防御制御サーバ3に対して、入力パケットの統計情報を通知する(SQ806)。図5では、周期的に、入力パケットの統計情報を要求し、通知を返す場合について示している。
【0035】
統計情報収集手段31経由で蓄積されたパケット統計情報DB32の統計情報に基づいて、攻撃防御制御処理決定手段34が遮断の対象としていた攻撃パケットの入力が無くなったと判断すると、エッジルーター2b、2cに対して、攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を送出する(SQ807)。すると、エッジルーター2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するよう攻撃防御処理指示を受け取った攻撃防御処理手段24が、この指示により該当する入力パケットの廃棄処理を停止し、DoS攻撃が検出される前の状態に戻る。
【0036】
以上のように、本実施の形態2における攻撃防御システムでは、DoS攻撃を検出したら入力パケットの統計情報を攻撃防御制御サーバ3に通知するようにしたため、ネットワーク規模が大きく、エッジルーターからの入力パケットの統計情報が膨大となるような場合でも、効率良く、処理することができる。
【0037】
また、本実施の形態2では、SQ805において、攻撃防御処理指示を送出した各エッジルーター2に対して、入力パケットの統計情報を要求する場合について説明したが、これに限られず、各エッジルータに要求しても同様の効果を得ることができる。
【0038】
つまり、実施の形態1では、攻撃防御制御サーバ3に必要なエッジルーターの入力パケットの統計情報を得ることができれば、どのような手順で統計情報を収集してもよく、実施の形態2では、攻撃防御制御サーバ3において効率的に必要なエッジルーターの入力パケットの統計情報を得ることができれば、どのような手順で統計情報を収集してもよい。
【0039】
実施の形態3.
上記実施の形態1、2では、攻撃防御制御サーバ3が1台でネットワーク全体を管理する場合について説明したが、攻撃防御制御サーバ3を複数台設けてネットワーク全体を管理する場合でも同様の効果を得ることができる。ここで、攻撃防御制御サーバ3を複数台設けるとは、図1に示すようなネットワーク(エリア)を1台の攻撃防御制御サーバ3で管轄し、それぞれの攻撃防御制御サーバが別々のエリアを管轄し、一つの大きなネットワークを形成する場合などであるが、物理的に攻撃防御制御サーバ3が複数台存在していても、これら複数台の攻撃防御制御サーバ3が互いに連携して一つの論理的な攻撃防御制御サーバ3として動作することにより、同様の効果を得ることができる。
【0040】
本実施の形態3における攻撃防御システムでは、攻撃防御制御サーバ3を複数台設けてネットワーク全体を管理することにより、更に、ネットワーク規模が大きい場合でも、負荷を分散し、効率良く処理することができるという効果がある。
【0041】
【発明の効果】
以上のように、ネットワークにおける転送パケットの統計情報を集計する統計処理手段と、前記統計処理手段により集計された統計情報に基づいて攻撃パケットを検出する攻撃検出手段と、前記統計処理手段により集計された統計情報と、前記攻撃検出手段により検出された検出情報とを出力するサーバ通知手段と、外部からの通知に基づいて攻撃を防御する処理を行う攻撃防御処理手段とを有するパケット監視装置と、前記サーバ通知手段により出力された前記統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集された統計情報と、前記サーバ通知手段により出力される前記検出情報とに基づいて、攻撃防御処理を決定して前記パケット監視装置に通知する攻撃防御処理決定手段とを有する攻撃防御制御サーバとを備えるとともに、前記パケット監視装置における前記攻撃防御処理手段は、前記攻撃防御制御サーバにおける前記攻撃防御処理決定手段からの攻撃防御処理の通知に基づいて、攻撃を防御する処理を行うことにより、効率良く、かつ攻撃パケットの入力エッジルーターを見落とすことなく検出することができる。
【図面の簡単な説明】
【図1】通信ネットワークにおける攻撃防御システムの構成を示す説明図
【図2】パケット管理機能を備えたエッジルーターの構成を示す説明図
【図3】攻撃防御制御サーバ3の構成を示す説明図
【図4】攻撃防御システムの動作シーケンスを示す説明図
【図5】実施の形態2における攻撃防御システムの動作シーケンスを示す説明図
【符号の説明】
1 IPネットワーク
2a、2b、2c、2d エッジルーター
3 攻撃防御制御サーバ
4 外部IPネットワーク
5a、5b、5c、5d ローカルエリアネットワーク
6a、6b、6c、6d、6e、6f 情報処理端末
20 パケット監視装置
21 統計処理手段
22 攻撃検出手段
23 サーバ通知手段
24 攻撃防御処理手段
31 統計情報収集手段
32 パケット統計情報DB
33 ネットワーク構成情報DB
34 攻撃防御処理決定手段
Claims (5)
- ネットワークにおける転送パケットの統計情報を集計する統計処理手段と、
前記統計処理手段により集計された統計情報に基づいて攻撃パケットを検出する攻撃検出手段と、
前記統計処理手段により集計された統計情報と、前記攻撃検出手段により検出された検出情報とを出力するサーバ通知手段と、
外部からの通知に基づいて攻撃を防御する処理を行う攻撃防御処理手段と
を有するパケット監視装置と、
前記サーバ通知手段により出力された前記統計情報を収集する統計情報収集手段と、
前記統計情報収集手段により収集された統計情報と、前記サーバ通知手段により出力される前記検出情報とに基づいて、攻撃防御処理を決定して前記パケット監視装置に通知する攻撃防御処理決定手段と
を有する攻撃防御制御サーバと
を備えるとともに、
前記パケット監視装置における前記攻撃防御処理手段は、前記攻撃防御制御サーバにおける前記攻撃防御処理決定手段からの攻撃防御処理の通知に基づいて、攻撃を防御する処理を行うことを特徴とする攻撃防御システム。 - 前記サーバ通知手段は、周期的に統計情報を出力する
ことを特徴とする請求項1記載の攻撃防御システム。 - 前記統計情報収集手段は、前記攻撃検出手段により検出された検出情報に基づいて前記統計情報を要求し、
前記サーバ通知手段は、前記統計情報収集手段による前記統計情報の要求に基づいて前記統計処理手段により処理された統計情報を出力する
ことを特徴とする請求項1記載の攻撃防御システム。 - ネットワークにおける転送パケットの統計情報を収集する統計情報収集手段と、
前記統計情報収集手段により収集された統計情報と、攻撃パケットの検出情報とに基づいて、攻撃防御処理を決定する攻撃防御処理決定手段と
を備えることを特徴とする攻撃防御制御サーバ。 - パケット監視装置は、
ネットワークにおける転送パケットの統計情報を集計し、
前記集計された統計情報に基づいて攻撃パケットを検出し、
前記集計された統計情報と前記検出された検出情報とを出力し、
攻撃防御制御サーバは、
前記統計情報を収集し、
前記収集された統計情報と、前記出力された前記検出情報とに基づいて、攻撃防御処理を決定して通知するとともに、
前記パケット監視装置は、この通知に基づいて、攻撃を防御する処理を行う
ことを特徴とする攻撃防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003119336A JP2004328307A (ja) | 2003-04-24 | 2003-04-24 | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003119336A JP2004328307A (ja) | 2003-04-24 | 2003-04-24 | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004328307A true JP2004328307A (ja) | 2004-11-18 |
Family
ID=33498581
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003119336A Abandoned JP2004328307A (ja) | 2003-04-24 | 2003-04-24 | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004328307A (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243428A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegr & Teleph Corp <Ntt> | パケット集約方法、装置、およびプログラム |
JP2008211464A (ja) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム |
JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
JP2011193379A (ja) * | 2010-03-16 | 2011-09-29 | Kddi R & D Laboratories Inc | 通信システム |
JP2015029207A (ja) * | 2013-07-30 | 2015-02-12 | 日本電信電話株式会社 | 制御装置、通信システム、および、通信制御方法 |
JP2017147526A (ja) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | 帯域制御装置及び方法 |
CN107170166A (zh) * | 2017-07-14 | 2017-09-15 | 四川中科通服智能安防科技有限公司 | 防区监控装置及智能安防云平台 |
JP2018101926A (ja) * | 2016-12-21 | 2018-06-28 | アラクサラネットワークス株式会社 | ネットワーク装置および異常検知システム |
-
2003
- 2003-04-24 JP JP2003119336A patent/JP2004328307A/ja not_active Abandoned
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007243428A (ja) * | 2006-03-07 | 2007-09-20 | Nippon Telegr & Teleph Corp <Ntt> | パケット集約方法、装置、およびプログラム |
JP4489714B2 (ja) * | 2006-03-07 | 2010-06-23 | 日本電信電話株式会社 | パケット集約方法、装置、およびプログラム |
JP2008211464A (ja) * | 2007-02-26 | 2008-09-11 | Oki Electric Ind Co Ltd | トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム |
JP2011507453A (ja) * | 2007-12-18 | 2011-03-03 | ソーラーウィンズ ワールドワイド、エルエルシー | フロー情報に基づくネットワークデバイスのacl構成方法 |
JP2009212911A (ja) * | 2008-03-05 | 2009-09-17 | Oki Electric Ind Co Ltd | パケット通信装置、パケット通信方法及びプログラム |
JP2011193379A (ja) * | 2010-03-16 | 2011-09-29 | Kddi R & D Laboratories Inc | 通信システム |
JP2015029207A (ja) * | 2013-07-30 | 2015-02-12 | 日本電信電話株式会社 | 制御装置、通信システム、および、通信制御方法 |
JP2017147526A (ja) * | 2016-02-16 | 2017-08-24 | 日本電信電話株式会社 | 帯域制御装置及び方法 |
JP2018101926A (ja) * | 2016-12-21 | 2018-06-28 | アラクサラネットワークス株式会社 | ネットワーク装置および異常検知システム |
CN107170166A (zh) * | 2017-07-14 | 2017-09-15 | 四川中科通服智能安防科技有限公司 | 防区监控装置及智能安防云平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
US7607170B2 (en) | Stateful attack protection | |
US20110138463A1 (en) | Method and system for ddos traffic detection and traffic mitigation using flow statistics | |
US20070283436A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
CN106471778B (zh) | 攻击检测装置和攻击检测方法 | |
You et al. | Packet in message based DDoS attack detection in SDN network using OpenFlow | |
JP2004280724A (ja) | 不正アクセス対処システム、及び不正アクセス対処処理プログラム | |
KR20060013491A (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
US10693890B2 (en) | Packet relay apparatus | |
KR20120065727A (ko) | 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법 | |
KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
JP2008211464A (ja) | トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム | |
KR20110065273A (ko) | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템 | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
TWI657681B (zh) | 網路流分析方法及其相關系統 | |
KR100733830B1 (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
KR100607110B1 (ko) | 종합 보안 상황 관리 시스템 | |
JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
KR20030009887A (ko) | 서비스거부 공격 차단시스템 및 방법 | |
JP2004164107A (ja) | 不正アクセス監視システム | |
KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060120 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071004 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071009 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20071122 |