JP2006050081A - 不正アクセス防御システム - Google Patents

不正アクセス防御システム Download PDF

Info

Publication number
JP2006050081A
JP2006050081A JP2004225646A JP2004225646A JP2006050081A JP 2006050081 A JP2006050081 A JP 2006050081A JP 2004225646 A JP2004225646 A JP 2004225646A JP 2004225646 A JP2004225646 A JP 2004225646A JP 2006050081 A JP2006050081 A JP 2006050081A
Authority
JP
Japan
Prior art keywords
host
unauthorized access
address
protected
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004225646A
Other languages
English (en)
Other versions
JP4326423B2 (ja
Inventor
Takafumi Hamano
貴文 濱野
Takashi Ikegawa
隆司 池川
Ryoichi Suzuki
亮一 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004225646A priority Critical patent/JP4326423B2/ja
Publication of JP2006050081A publication Critical patent/JP2006050081A/ja
Application granted granted Critical
Publication of JP4326423B2 publication Critical patent/JP4326423B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 従来の方法では不正アクセスの検出ができないか、あるいは、検出までの時間が長くなる場合に、不正アクセスを早く正確に検出する。
【解決手段】 DDoS攻撃防御対象ホスト21、22、23のいずれかに対して不正アクセスが発生した場合、侵入検出防御装置31、32、33が該攻撃を検出し、不正アクセスターゲットホスト情報を管理装置2に通知する。攻撃ターゲットホスト情報を受信した管理装置2は、互いに関連する不正アクセスを仕掛けられる可能性のあるホストグループの情報データベースを検索し、受信した攻撃ターゲットホストと同じグループに属する他のホストの情報を取得し、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置1に転送するルーチング設定をルータ11、12、13、14、15に対して指示する。
【選択図】 図1

Description

本発明は、ネットワークを経由した不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄することを目的としたネットワークベース不正アクセス防御システムに関するものである。
ネットワーク上のホストを不正アクセスから防御するため、侵入検出装置(Intrusion Detection System、IDS)やファイアウォールを用いて防御対象ホスト宛てのパケットを監視し、不正アクセスを検出した場合に、検出した不正アクセスの内容に基づき、防御対象ホスト宛て通信の一部あるいは全部のパケットを廃棄する方法が、従来より知られている。
特許文献1に記載のシステムでは、侵入検知・防御装置が、内部ネットワークと外部ネットワークの境界に配備される。該装置は、受信したパケットに対し、該パケットのヘッダあるいはペイロード情報と予め保持する不正アクセスパターンデータベースとの整合/非整合により不正アクセスかどうかを判定し、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットを通過させる手段を備えている。
特許文献2に記載のシステムでは、防御対象ホストが配備されているネットワークを攻撃検出機器が監視して分散型サービス拒否(DDoS,Distributed Denial of Service)攻撃を検出した場合、踏み台ホストとインターネットの間に配備された攻撃遮断器に通信制御の指示を出し、踏み台ホストの通信を制御する。
また、ルータに不正アクセス防御機能を実装することによりネットワーク上のホストを不正アクセスから防御する方法として、例えば、非特許文献1で提案されている方法がある。非特許文献1に記載のシステムでは、防御対象ホストを収容するISP(Internet Service Provider)エッジルータが、該ホスト宛てパケットのトラヒック量を観測してDDoS攻撃の発生を監視し、攻撃を検出した場合、該ルータは、同一ISP内の全ISPエッジルータに対し、該ホスト宛てパケットのトラヒック量観測を依頼し、依頼を受けたISPエッジルータが、該ホスト宛て通信パケットのトラヒック量をアクセス回線単位にモニタし、異常が発見された場合にアクセス回線単位に通信パケットのフィルタリングを実施する。
特開2003−99339号公報 特開2002−158660号公報 2002年電子情報通信学会総合大会B−7−40、"DDoS攻撃対策手法に関する一考察"、金子斉、(2002.9)
上述した従来の方法では、不正アクセス防御対象ホストが複数拠点に分散している場合において、各拠点にそれぞれ配備された個々の侵入検出装置またはルータがそれぞれ独立に不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄するため、複数拠点に分散して存在する複数のホストに対して、互いに関連する不正アクセスが仕掛けられた場合、下記に示す問題点がある。
1)DDoS攻撃のように、特定トラヒックの流量の異常増加に基づいて不正アクセスを検出する場合において、複数拠点に分散して存在する複数のホストに対して一斉に攻撃が仕掛けられた際に、攻撃トラヒック量が比較的少ないホストに対しては、攻撃を検出できない可能性がある。攻撃トラヒック量が比較的少ない場合でも、攻撃を受けているホストが提供するネットワークサービスの品質劣化がありうるため、攻撃パケットを廃棄することが望ましい。攻撃検出精度を上げるために、不正アクセスと判定するトラヒック流量しきい値を低く設定すると、正常トラヒックを不正と誤認して廃棄する可能性が高くなり、問題である。
2)DDoS攻撃のように、特定トラヒックの流量の異常増加に基づいて不正アクセスを検出する場合において、攻撃検出を避けるためにトラヒック量を漸増させていくタイプの攻撃が複数拠点に分散して存在する複数のホストに対して仕掛けられた場合、攻撃開始から攻撃検出までの時間が遅れる可能性がある。攻撃が発生してから攻撃パケットを廃棄するまでの間、攻撃を受けているホストが提供するネットワークサービスの品質劣化がありうるため、攻撃パケットを早期に廃棄することが望ましい。攻撃検出精度を上げるために、不正アクセスと判定するトラヒック流量しきい値を低く設定すると、正常トラヒックを不正と誤認して廃棄する可能性が高くなり、問題である。
3)PingSweep攻撃のように、あるホストから複数ホストに対して順々に行う一連の通信内容を統合判断して不正アクセスを検出する場合において、複数拠点に分散して存在する複数のホストに対して順々に攻撃が仕掛けられる場合、各拠点内に閉じた攻撃トラヒック量が少ないため、いずれの侵入検出装置においても攻撃を検出できない可能性がある。攻撃検出精度を上げるために、不正アクセスと判定するトラヒック流量しきい値を低く設定すると、正常トラヒックを不正と誤認して廃棄する可能性が高くなり、問題である。
本発明の目的は、従来の方法では不正アクセスの検出ができないか、あるいは、検出までの時間が長くなる場合に、不正アクセスを早く正確に検出することが可能な不正アクセス防御システムを提供することにある。
本発明の不正アクセス防御システムは、
複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を含む管理装置と、
防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を管理装置に通知する手段を含む侵入検出防御装置と、
を有する。
本発明による不正アクセス攻撃防御システムにおいて、複数の防御対象ホストのいずれかに対して不正アクセスが発生した場合、侵入検出防御装置が該攻撃を検出し、不正アクセスターゲットホスト情報を管理装置に通知する。攻撃ターゲットホスト情報を受信した管理装置は、互いに関連する不正アクセスを仕掛けられる可能性のあるホストグループの情報データベースを検索し、受信した攻撃ターゲットホストと同じグループに属する他のホストの情報を取得し、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置に転送するルーチング設定をルータ、ゲートウェイ、または通信装置に対して指示する。
これにより、集約型侵入検出防御装置は、侵入検出防御装置が検出した不正アクセスのターゲットホストと同じグループに属する全ホスト宛てのトラヒックを同時に受信し、それらを合わせて監視して不正アクセスを検出し、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットを送信させる。
侵入検出防御装置において、トラヒック流量が少ない場合であっても不正アクセスの被疑を検出できるように、不正アクセスと判定するトラヒック流量しきい値を低く設定しておいた場合、従来の方法では不正アクセスの検出ができない場合でも不正アクセスを検出して管理装置に対して不正アクセスターゲットホスト情報を通知する。
侵入検出制御装置において、不正アクセスと判定するトラヒック流量しきい値を低めに設定しているために正常トラヒックを不正と誤認した場合であっても、集約型侵入検出防御装置において、侵入検出防御装置が検出した不正アクセスのターゲットホストと同じグループに属する全ホスト宛てのトラヒックを合わせて監視しているために、正常トラヒックを正しく認識して正常トラヒックの各送信先ホストに正常に転送し、不正アクセスとなるパケットを遮断する。
このように、本発明は、複数拠点に分散して存在する複数のホストに対して、互いに関連する不正アクセスが仕掛けられる場合、不正アクセスの被疑がある場合にのみ、前記複数のホスト宛てのトラヒックを集約して監視し、不正アクセスの検出および該不正アクセスに関わるパケットの廃棄を行うことにより、不正アクセスを早く正確に検出することが可能となる。
また、管理装置において、侵入検出防御装置による不正アクセス検出をトリガとして、不正アクセス被疑トラヒックの集約型侵入検出防御装置への転送をルータ、ゲートウェイ、または通信装置に指示し、一定時間経過した場合、あるいは、集約型侵入検出防御装置から不正アクセス終了検出情報を受信した場合に、不正アクセス被疑トラヒックの集約型侵入検出防御装置への転送解除をルータ、ゲートウェイ、または通信装置に指示することにより、不正アクセスが発生していない場合には、集約型侵入検出防御装置はトラヒックを受信しないため、集約型侵入検出防御装置に非現実的な処理能力を要求せず、また、集約型侵入検出防御装置を通信ボトルネックとさせない構成が可能である。
本発明による不正アクセス攻撃防御システムにおいて、侵入検出防御装置を配備する替わりに、ルータ、ゲートウェイ、通信装置または攻撃防御ホストのいずれかに侵入検出防御装置の機能を実装してもよい。集約型侵入検出防御装置を配備する替わりに、ルータ、ゲートウェイ、または通信装置に集約型侵入検出防御装置の機能を実装してもよい。管理装置を配備する替わりに、ルータ、ゲートウェイ、通信装置、または侵入検出防御装置または集約型侵入検出防御装置のいずれかに対して管理装置の機能を実装してもよい。
本発明は、以下に述べる効果がある。
請求項1,7,8の発明は、集約型侵入検出防御装置において、不正アクセスが仕掛けられている複数ホスト宛てのトラヒックを集約して監視することにより、複数拠点に分散して存在する複数のホストに対して、互いに関連する不正アクセスが仕掛けられた場合、従来の方法では不正アクセスの検出ができないか、あるいは、検出までの時間が長くなる場合に、不正アクセスを早く正確に検出することが可能となる。その理由は、複数拠点に分散して存在する複数のホストに対して、互いに関連する不正アクセスが仕掛けられた場合、従来の方法では、各拠点にそれぞれ配備された個々の侵入検出装置またはルータがそれぞれ独立に不正アクセスを検出するため、各拠点内に閉じた個々の攻撃トラヒック量が検出基準に満たない場合に攻撃を検出できないことがあるためである。
請求項2,3,9,10の発明は、管理装置において、侵入検出防御装置による不正アクセス検出をトリガとして、不正アクセス被疑トラヒックの集約型侵入検出防御装置への転送をルータ、ゲートウェイ、または通信装置に指示し、一定時間経過した場合、あるいは、集約型侵入検出防御装置から不正アクセス終了検出情報を受信した場合に、不正アクセス被疑トラヒックの集約型侵入検出防御装置への転送解除をルータ、ゲートウェイ、または通信装置に指示することにより、不正アクセスの被疑がある場合にのみ集約型侵入検出防御装置にトラヒックを集約させることが可能となり、集約型侵入検出防御装置の処理負荷を軽減することが可能である。
請求項4,11の発明は、管理装置が保持するホストグループの情報データベースを、WEBサーバ、メールサーバ、DNS(Domain Name System)サーバ、SIP(Session Initiation Protocol)サーバなどURL(Uniform Resource Locator)アドレスが付与されたサーバのURLアドレスとIPアドレスの情報に基づいて構成することにより、同一URLアドレスを持つサーバに同時に不正アクセスが仕掛けられている場合、不正アクセスを早く正確に検出することが可能となる。
請求項5,12の発明は、管理装置が保持するホストグループの情報データベースを、防御対象ホストの特徴に基づいて構成することにより、同一の特徴を持つホストに同時に不正アクセスが仕掛けられている場合、不正アクセスを早く正確に検出することが可能となる。
請求項6,13の発明は、不正アクセス防御サービス提供者とDDoS攻撃防御対象ホストの管理者が異なる場合において、管理装置が保持するホストグループの情報データベースを、各ユーザがあらかじめ決めたカテゴリ分けに基づいて構成することにより、同時に不正アクセスが仕掛けられる可能性のあるホストのグルーピング方法がユーザ毎に異なる場合であっても、全ユーザのホストに対して不正アクセスを早く正確に検出することが可能となる。
次に、本発明の実施の形態について図面を参照して詳細に説明する。
[第1の実施形態]
図1を参照すると、本発明の第1の実施形態の不正アクセス防御システムは、集約型侵入検出防御装置1と、管理装置2と、ルータ11、12、13、14、15、16と、DDoS攻撃防御対象ホスト21、22、23と、侵入検出防御装置31、32、33と、IPネットワークN1と、DDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13と、DDoS攻撃防御対象ホスト非収容IPネットワークN14、N15で構成されている。
DDoS攻撃防御対象ホスト21、22、23は、それぞれDDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13内に存在し、それぞれルータ11、12、13によりIPネットワークN1と接続される。侵入検出防御装置31、32、33は、それぞれDDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13とルータ11、12、13を接続する通信路に配備されている。DDoS攻撃防御対象ホスト非収容IPネットワークN14、N15は、それぞれルータ14、15によりIPネットワークN1と接続される。集約型侵入検出防御装置1と管理装置2はルータ16に収容され、IPネットワークN1に接続する。
管理装置2は、図2に示すように、複数の防御対象ホスト21,22,23,・・・により定義されるホストグループの情報データベース41と、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて情報データベース41を検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する検索部42、該ホストグループ宛てのトラヒックを集約型侵入検出防御装置1宛てにルーチングすることをルータ11〜15に対して指示し、ルーチング設定から一定時間経過すると、ルーチングの設定の解除をルータ11〜15に指示するルーチング指示部43を有している。
侵入検出防御装置31、32、33は、図3に示すように、防御対象ホスト21、22、23,・・・宛てのパケットを監視して不正アクセスの検出を行う不正アクセス検出部51と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を管理装置2に通知する攻撃ターゲットホスト情報通知部52を有している。
集約型侵入検出防御装置1は、図4に示すように、複数の防御対象ホスト21、22、23,・・・宛てのパケットを監視して不正アクセスの検出を行う不正アクセス検出部61と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ11〜15に送信させるパケット制御部62を有している。
図5は、図1のシステムによる不正アクセス防御処理手順を示すフローチャートである。
侵入検出防御装置31、32、33は、不正アクセス検出部51によりそれぞれDDoS攻撃防御対象ホスト21、22、23宛てのパケットを監視して不正アクセス判定を行い(ステップ101、102)、不正アクセスが検出されなかった場合、ステップ101を繰り返し、不正アクセスが検出された場合、攻撃ターゲットホスト情報通知部52により攻撃ターゲットホスト情報を管理装置2に通知する(ステップ103)。ここで、攻撃ターゲットホスト情報とは、侵入検出防御装置31の場合はDDoS攻撃防御対象ホスト21のIPアドレスa.a.a.a、侵入検出防御装置32の場合はDDoS攻撃防御対象ホスト22のIPアドレスb.b.b.b、侵入検出防御装置33の場合はDDoS攻撃防御対象ホスト23のIPアドレスc.c.c.c、である。
管理装置2は、侵入検出防御装置31、32、33のいずれかから攻撃ターゲットホスト情報を受信し(ステップ104)、検索部4により、管理装置2が保持するホストグループの情報データベース41を検索して、受信した攻撃ターゲットホストと同じグループに属する他のホストのIPアドレスを取得し(ステップ105)、ルーチング部43により、該IPアドレスに宛先IPアドレスがマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定を、ルータ11、12、13、14、15に対して指示する(ステップ106)。
管理装置2が保持する情報データベース41の構成例を表1に示す。表1を参照すると、ホストグループの情報データベース41はURLアドレスとIPアドレスの組により構成される。情報データベース41は、WEBサーバ、メールサーバ、DNSサーバ、SIPサーバなどURLアドレスが付与されたサーバのURLアドレスとIPアドレスの情報に基づいて、あらかじめ設定しておく。
Figure 2006050081
ルータ11、12、13、14、15は、管理装置2からルーチング設定指示を受信し(ステップ107)、該ルーチング設定指示に含まれるIPアドレスに宛先IPアドレスがマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定を行う(ステップ108)。
集約型侵入検出防御装置1は、不正アクセス検出部61により、受信するトラヒックを監視して不正アクセス判定を行い(ステップ109、110)、不正アクセスが検出されなかった場合、ステップ109、110を繰り返し、不正アクセスが検出された場合、パケット制御部62により、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ11〜15に送信させる(ステップ111)。
管理装置2は、ルーチング指示部43により、ステップ106のルーチング設定指示を行った時刻から一定時間経過したかどうかを判定し(ステップ112)、一定時間経過した場合、ステップ105で取得した該IPアドレスに宛先IPアドレスがマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定の解除を、ルータ11、12、13、14、15に対して指示する(ステップ113)。
ルータ11、12、13、14、15は、管理装置2からルーチング設定解除指示を受信し(ステップ114)、ステップ114で受信したルーチング設定解除指示に含まれるIPアドレスに宛先IPアドレスがマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定の解除を行う(ステップ115)。
次に、DDoS攻撃防御対象ホスト非収容IPネットワークN14から、同一URLアドレスを持つWEBサーバであるDDoS攻撃防御対象ホスト21、22、23に対して同時にDDoS攻撃が仕掛けられている場合における第1の実施形態の不正アクセス防御システムの動作を図5および表1に基づいて説明する。
初期状態では、侵入検出防御装置31、32、33のステップ101の不正アクセス判定処理において不正アクセスが何も検出されておらず、集約型侵入検出防御装置1にはトラヒックが何も転送されない状態とする。侵入検出防御装置31、32、33のステップ102の不正アクセス検出判定処理において、トラヒック流量が少ない場合であってもDDoS攻撃の被疑を検出できるように、DDoS攻撃と判定するトラヒック流量しきい値をあらかじめ低く設定しておく。また、管理装置2のステップ105の検索処理に用いるホストグループの情報データベース41として、表1に示す情報データベース41を使用する。
これにより、DDoS攻撃防御対象ホスト非収容IPネットワークN14からDDoS攻撃防御対象ホスト21、22、23に対してDDoS攻撃を仕掛けはじめてすぐに、侵入検出防御装置31、32、33のいずれかの装置が、ステップ102の不正アクセス検出判定処理によりDDoS攻撃を検出する。例えば、侵入検出防御装置31がDDoS攻撃防御対象ホスト21に対するDDoS攻撃を検出したとすれば、侵入検出防御装置31が、ステップ102により、管理装置2にDDoS攻撃防御対象ホスト21のIPアドレスa.a.a.aを通知する。
管理装置2は、ステップ104により、DDoS攻撃防御対象ホスト21のIPアドレスa.a.a.aを受信し、ステップ105により、ホストグループの情報データベース41を検索する。表1のデータベースを参照すると、IPアドレスa.a.a.aに対応するURLアドレスはxxx.xxx.xxxであり、URLアドレスxxx.xxx.xxxに対応するIPアドレスはa.a.a.aおよびb.b.b.bおよびc.c.c.cであるため、管理装置2は、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレス(a.a.a.aおよびb.b.b.bおよびc.c.c.c)を取得し、ステップ106により、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスにマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定をルータ11、12、13、14、15に対して指示する。
ルータ11、12、13、14、15は、ステップ107により管理装置2からルーチング設定指示を受信し、ステップ108により、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスにマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定をそれぞれ行う。
これにより、DDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13およびDDoS攻撃防御対象ホスト非収容IPネットワークN14、N15からDDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスのいずれかに宛てたトラヒックが集約型侵入検出防御装置1に転送される。このため、集約型侵入検出防御装置1は、DDoS攻撃防御対象ホスト非収容IPネットワークN14からDDoS攻撃防御対象ホスト21、22、23に対して同時に仕掛けられたDDoS攻撃を集約して監視し、ステップ109によりDDoS攻撃判定を行い、ステップ110によりDDoS攻撃を検出し、ステップ111により、DDoS攻撃となるパケットを遮断し、DDoS攻撃とならないパケットをルータ11,12,13,14,15に送信させる。これにより、DDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13およびDDoS攻撃防御対象ホスト非収容IPネットワークN14、N15からDDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスのいずれかに宛てたトラヒックのうち、DDoS攻撃ではない正当なトラヒックは正常にDDoS攻撃防御対象ホスト収容IPネットワークN11、N12、N13に対して転送される。
管理装置2は、ステップ112により、ステップ106のルーチング設定指示を行った時刻から一定時間経過したかどうかを判定し、一定時間経過した場合、ステップ113により、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスにマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定の解除をルータ11、12、13、14、15に対して指示する。
ルータ11、12、13、14、15は、ステップ114により管理装置2からルーチング設定解除指示を受信し、ステップ115により、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレスにマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定の解除をそれぞれ行う。
これにより、集約型侵入検出防御装置1にトラヒックが転送されない初期状態に戻る。
ルータ11、12、13、14、15がステップ115によりルーチング設定の解除を行った後も、DDoS攻撃防御対象ホスト非収容IPネットワークN14からDDoS攻撃防御対象ホスト21、22、23に対するDDoS攻撃が終了していなかった場合、以上の動作を繰返すことによりDDoS攻撃の防御が可能となる。
[第2の実施形態]
本発明の第2の実施形態の不正アクセス防御システムの構成は、図1に示される本発明の第1の実施形態と基本的に同じである。ただし、本実施形態における集約型侵入検出防御装置1は、図7に示すように、第1の実施形態の集約型侵入検出防御装置1に不正アクセス終了検出情報通知部63が付加されている。また、管理装置2が保持するホストグループの情報データベース41の構成は、表1に示される本発明の第1の実施形態におけるデータベース41の構成と同じである。
図1のシステムを用いた本発明の第2の実施形態における不正アクセス防御処理手順を図6に示す。本発明の第2の実施形態における不正アクセス防御処理手順は、図5に示す本発明の第1の実施形態における不正アクセス防御処理手順のステップ112を行わず、図6に示すステップ121、122、123、124を追加したところが異なる。以下、追加変更部分についてのみ説明する。
集約型侵入検出防御装置1は、不正アクセス検出部61により、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットを送信させ(ステップ111)、受信するトラヒックを監視して不正アクセス終了判定を行い(ステップ121、122)、不正アクセス終了が検出されなかった場合、ステップ111とステップ121、122を繰り返し、不正アクセス終了が検出された場合、不正アクセス終了検出情報通知部63より、管理装置2に対し、不正アクセスの終了検出情報を通知する(ステップ123)。
管理装置2は、集約型侵入検出防御装置1から不正アクセスの終了検出情報を受信した場合(ステップ124)、ルーチング指示部43により、ステップ104で取得した該IPアドレスに宛先IPアドレスがマッチするトラヒックを集約型侵入検出防御装置1に転送するルーチング設定の解除を、ルータ11、12、13、14、15に対して指示する(ステップ113)。
[第3の実施形態]
本発明の第3の実施形態の集約型不正アクセス防御システムの構成および不正アクセス防御処理手順は、それぞれ図1と図5に示される本発明の第1の実施形態と基本的に同じである。管理装置2が保持するホストグループの情報データベース41に対し、本発明の第3の実施形態によるデータベースの構成例を表2に示す。表2を参照すると、ホストグループの情報データベース41は、カテゴリ識別子とIPアドレスの組により構成される。
Figure 2006050081
該データベース41は、例えば、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別など、防御対象ホストの特徴に基づいてあらかじめ設定しておく。
防御対象ホストの管理組織に基づく場合、例えば、組織Aが管理するメールサーバとWEBサーバにカテゴリ識別子を1つ割り当て、組織Bが管理するメールサーバとWEBサーバには、組織Aとは異なるカテゴリ識別子を1つ割当てる。
防御対象ホストの種別に基づく場合、例えば、すべてのメールサーバに1つのカテゴリ識別子を割り当て、すべてのWEBサーバに、メールサーバと異なる1つのカテゴリ識別子を割当てる。
防御対象ホストの設置場所に基づく場合、例えば、日本に設置されたホストに1つのカテゴリ識別子を割り当て、米国に設置されたホストに、日本に設置されたホストと異なる1つのカテゴリ識別子を割当てる。
防御対象ホストが提供するコンテンツの種別に基づく場合、例えば、WebRingなどにより相互にリンクを張っている一連のWEBサーバ群を単位にカテゴリ識別子を1つ割当てる。
防御対象ホストが提供するコンテンツの種別に基づく場合の別の例として、例えば、音楽に関するサーバに1つのカテゴリ識別子を割り当て、映画に関するサーバには、音楽に関するサーバとは異なるカテゴリ識別子を1つ割当てる。コンテンツ種別の分類は、趣向や思想などに基づいてもよい。
図5に示す管理装置2が、ステップ104により、DDoS攻撃防御対象ホスト21のIPアドレスa.a.a.aを受信し、ステップ105により、表2に示すホストグループの情報データベース41を検索する場合、IPアドレスa.a.a.aに対応するカテゴリ識別子は1001であり、カテゴリ識別子1001に対応するIPアドレスはa.a.a.aおよびb.b.b.bおよびc.c.c.cであるため、管理装置2は、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレス(a.a.a.aおよびb.b.b.bおよびc.c.c.c)を取得する。
[第4の実施形態]
本発明の第4の実施形態の集約型不正アクセス防御システムの構成および不正アクセス防御処理手順は、それぞれ図1と図5に示される本発明の第1の実施形態と基本的に同じである。
本発明の第4の実施形態では、図1に示す集約型侵入検出防御装置1および管理装置2の管理者と、DDoS攻撃防御対象ホスト21、22、23の管理者が異なる場合を想定する。図1に示す集約型侵入検出防御装置1と管理装置2の管理者を不正アクセス防御サービス提供者と呼ぶこととする。また、DDoS攻撃防御対象ホストごとに管理者が異なっている場合を想定し、各管理者をユーザと呼ぶこととする。1ユーザが複数のDDoS攻撃防御対象ホストを管理していてもよい。
管理装置2が保持する、本発明の第4の実施形態によるデータベース41の構成例を表3に示す。
Figure 2006050081
表3を参照すると、ホストグループの情報データベース41は、ユーザ識別子とカテゴリ識別子とIPアドレスの組により構成される。各ユーザは、各自が管理しているDDoS攻撃防御対象ホストに対し、どのようにカテゴリ分けするかをあらかじめ決めておき、その内容を不正アクセス防御サービス提供者に通知する。その内容に基づき、不正アクセス防御サービス提供者は、表3に示すホストグループの情報データベース41をあらかじめ設定しておく。
図5に示す管理装置2が、ステップ104により、DDoS攻撃防御対象ホスト21のIPアドレスa.a.a.aを受信し、ステップ105により、表3に示すホストグループの情報データベース41を検索する場合、IPアドレスa.a.a.aに対応するユーザ識別子とカテゴリ識別子はそれぞれAと2001であり、ユーザ識別子Aおよびカテゴリ識別子2001に対応するIPアドレスはa.a.a.aおよびb.b.b.bおよびc.c.c.cであるため、管理装置2は、DDoS攻撃防御対象ホスト21、22、23の3つのIPアドレス(a.a.a.aおよびb.b.b.bおよびc.c.c.c)を取得する。
[変形例]
上記の第1から第4の実施形態では、IPアドレスを用いてホストグループの情報データベース41を構成したが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMP(Internet Control Message Protocol)タイプ、ICMPコードのいずれかおよびそれらの組合せによりパケット識別子をあらかじめ定義し、IPアドレスの代わりにパケット識別子を用いる場合についても同様である。表1に示すデータベースでは、URLアドレスとパケット識別子の組により構成すればよく、表2に示すデータベースでは、カテゴリ識別子とパケット識別子の組により構成すればよい。表3に示すデータベースでは、ユーザ識別子とカテゴリ識別子とパケット識別子の組により構成すればよい。
なお、本発明は専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを、コンピューター読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピューターシステムに読み込ませ、実行するものであってもよい。コンピューター読み取り可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM等の記録媒体、コンピューターシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピューター読み取り可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間の間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバーとなるコンピューターシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含む。
本発明の第1の実施形態の不正アクセス防御システムの構成図である。 管理装置の構成図である。 侵入検出防御装置の構成図である。 集約型侵入検出防御装置の構成図である。 本発明の第1の実施形態による不正アクセス防御システムの処理の手順を示すフローチャートである。 本発明の第2の実施形態による不正アクセス防御システムの処理の手順を示すフローチャートである。 第2の実施形態の不正アクセス防御システムにおける集約型侵入検出防御装置の構成図である。
符号の説明
1 集約型侵入検出防御装置
2 管理装置
11、12、13、14、15、16 ルータ
21、22、23 DDoS攻撃防御対象ホスト
31、32、33 侵入検出防御装置
41 情報データベース
42 検索部
43 ルーチング指示部
51 不正アクセス検出部
52 攻撃ターゲットホスト情報通知部
61 不正アクセス検出部
62 パケット制御部
63 不正アクセス終了検出情報通知部
N1 IPネットワーク
N11、N12、N13 DDoS攻撃防御対象ホスト収容IPネットワーク
N14、N15 DDoS攻撃防御対象ホスト非収容IPネットワーク
101〜115、121〜124 ステップ

Claims (13)

  1. 複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを、該トラヒックを同時に受信し、それらを合わせて監視して不正アクセスを検出し、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる集約型侵入検出防御装置宛てにルーチングすることを前記ルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を有する管理装置。
  2. 前記ルータ、ゲートウェイ、または通信装置に対してルーチング指示した後に、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに有する、請求項1に記載の管理装置。
  3. 不正アクセス終了検出情報を受信したことをトリガに、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに有する、請求項1に記載の管理装置。
  4. 前記情報データベースが、宛先IPアドレスとサブネットマスク、プロトコル番号、宛先ポート番号のいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、URLアドレスの組により構成される、請求項1から3のいずれかに記載の管理装置。
  5. 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象ホストの管理組織、防御対象ホスト種別、防御対象ホスト設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項1から3のいずれかに記載の管理装置。
  6. 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、攻撃防御対象ホストの管理者に基づいてあらかじめ設定されたユーザ識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項1から3のいずれかに記載の管理装置。
  7. ネットワークを経由した不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄する不正アクセス防御システムであって、
    複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
    複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを前記集約型侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段を含む管理装置と、
    前記防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、前記防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を前記管理装置に通知する手段を含む侵入検出防御装置と、
    を有する不正アクセス防御システム。
  8. ネットワークを経由した不正アクセスを検出し、該不正アクセスに関わるパケットを廃棄する不正アクセス防御システムであって、
    複数の防御対象ホスト宛てのトラヒックを集約して監視できる位置に配備され、不正アクセス防御サービス提供者によって管理され、前記複数の防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に、不正アクセスとなるパケットを遮断し、不正アクセスとならないパケットをルータ、ゲートウェイ、または通信装置に送信させる手段を含む集約型侵入検出防御装置と、
    前記複数の防御対象ホストにより定義されるホストグループの情報データベースと、攻撃ターゲットホスト情報を受信したことをトリガに該情報に基づいて前記情報データベースを検索し、前記攻撃ターゲットホストと同じグループに属するホストグループの情報を取得する手段と、該ホストグループ宛てのトラヒックを前記集約侵入検出防御装置宛てにルーチングすることをルータ、ゲートウェイ、または通信装置に対して指示するルーチング指示手段と、前記不正アクセス防御サービス提供者が、ホスト管理者の申告に基づき、前記情報データベースの内容を登録するための手段を含む管理装置と、
    前記防御対象ホスト宛てのパケットを監視できる位置にそれぞれ配備され、不正アクセス防御サービス提供者によって管理され、前記不正アクセス防御サービス提供者とは異なる複数のホスト管理者によって管理されている前記防御対象ホスト宛てのパケットを監視して不正アクセスの検出を行う手段と、不正アクセスを検出した場合に攻撃ターゲットホスト情報を前記管理装置に通知する手段を含む侵入検出防御装置と、
    を有する不正アクセス防御システム。
  9. 前記管理装置が、前記ルータ、ゲートウェイ、または通信装置に対してルーチング指示した後に、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに含む、請求項7または8に記載の不正アクセス防御システム。
  10. 前記管理装置が、不正アクセス終了検出情報を受信したことをトリガに、前記ルータ、ゲートウェイ、または通信装置に対してルーチング設定の解除指示を行う手段をさらに含む、請求項7または8に記載の不正アクセス防御システム。
  11. 前記情報データベースが、宛先IPアドレスとサブネットマスク、プロトコル番号、宛先ポート番号のいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、URLアドレスの組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
  12. 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
  13. 前記情報データベースが、送信元IPアドレス、送信元IPアドレスのサブネットマスク、宛先IPアドレス、宛先IPアドレスのサブネットマスク、プロトコル番号、送信元ポート番号、宛先ポート番号、サービスタイプ、全体長、生存時間、ICMPタイプ、ICMPコードのいずれかおよびそれらの組合せによりあらかじめ定義されたパケット識別子と、防御対象対象ホストの管理者に基づいてあらかじめ設定されたユーザ識別子と、防御対象ホストの管理組織、防御対象ホストの種別、防御対象ホストの設置場所、防御対象ホストが提供するコンテンツの種別のいずれかの特徴に基づいてあらかじめ設定されたカテゴリ識別子の組により構成される、請求項8から10のいずれかに記載の不正アクセス防御システム。
JP2004225646A 2004-08-02 2004-08-02 管理装置および不正アクセス防御システム Expired - Fee Related JP4326423B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004225646A JP4326423B2 (ja) 2004-08-02 2004-08-02 管理装置および不正アクセス防御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004225646A JP4326423B2 (ja) 2004-08-02 2004-08-02 管理装置および不正アクセス防御システム

Publications (2)

Publication Number Publication Date
JP2006050081A true JP2006050081A (ja) 2006-02-16
JP4326423B2 JP4326423B2 (ja) 2009-09-09

Family

ID=36028158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004225646A Expired - Fee Related JP4326423B2 (ja) 2004-08-02 2004-08-02 管理装置および不正アクセス防御システム

Country Status (1)

Country Link
JP (1) JP4326423B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510822B2 (en) 2007-03-08 2013-08-13 Nec Corporation Communication system, reliable communication mechanism, and communication method used for the same
JP2020022066A (ja) * 2018-07-31 2020-02-06 株式会社リコー 通信制御システム、通信制御方法およびプログラム
CN115208596A (zh) * 2021-04-09 2022-10-18 中国移动通信集团江苏有限公司 网络入侵防御方法、装置及存储介质

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510822B2 (en) 2007-03-08 2013-08-13 Nec Corporation Communication system, reliable communication mechanism, and communication method used for the same
JP2020022066A (ja) * 2018-07-31 2020-02-06 株式会社リコー 通信制御システム、通信制御方法およびプログラム
JP7147337B2 (ja) 2018-07-31 2022-10-05 株式会社リコー 通信制御システム、通信制御方法およびプログラム
CN115208596A (zh) * 2021-04-09 2022-10-18 中国移动通信集团江苏有限公司 网络入侵防御方法、装置及存储介质
CN115208596B (zh) * 2021-04-09 2023-09-19 中国移动通信集团江苏有限公司 网络入侵防御方法、装置及存储介质

Also Published As

Publication number Publication date
JP4326423B2 (ja) 2009-09-09

Similar Documents

Publication Publication Date Title
US8661544B2 (en) Detecting botnets
Burch Tracing anonymous packets to their approximate source
Ioannidis et al. Implementing pushback: Router-based defense against DDoS attacks
Jin et al. Hop-count filtering: an effective defense against spoofed DDoS traffic
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US8175096B2 (en) Device for protection against illegal communications and network system thereof
US9455995B2 (en) Identifying source of malicious network messages
US8295188B2 (en) VoIP security
US7921462B2 (en) Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack
US20050021740A1 (en) Detecting and protecting against worm traffic on a network
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
EP1595193A2 (en) Detecting and protecting against worm traffic on a network
JP5178573B2 (ja) 通信システムおよび通信方法
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP4326423B2 (ja) 管理装置および不正アクセス防御システム
Katiyar et al. Detection and discrimination of DDoS attacks from flash crowd using entropy variations
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
Thing et al. Locating network domain entry and exit point/path for DDoS attack traffic
JP4084317B2 (ja) ワーム検出方法
Park et al. An effective defense mechanism against DoS/DDoS attacks in flow-based routers
Sardana et al. Honeypot based routing to mitigate ddos attacks on servers at isp level
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080701

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081203

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090401

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090513

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090603

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090609

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120619

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4326423

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130619

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140619

Year of fee payment: 5

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees