JP2006148778A - パケット転送制御装置 - Google Patents

パケット転送制御装置 Download PDF

Info

Publication number
JP2006148778A
JP2006148778A JP2004339015A JP2004339015A JP2006148778A JP 2006148778 A JP2006148778 A JP 2006148778A JP 2004339015 A JP2004339015 A JP 2004339015A JP 2004339015 A JP2004339015 A JP 2004339015A JP 2006148778 A JP2006148778 A JP 2006148778A
Authority
JP
Japan
Prior art keywords
packet
intrusion detection
detection result
degree
transfer control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004339015A
Other languages
English (en)
Inventor
Ryosuke Kurebayashi
亮介 榑林
Tsunemasa Hayashi
經正 林
Satoshi Ota
聡 太田
Kiyoshi Kobayashi
潔 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2004339015A priority Critical patent/JP2006148778A/ja
Publication of JP2006148778A publication Critical patent/JP2006148778A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 不正アクセス、そのなかでも特にDoS攻撃によるネットワークおよび端末の可用性の低下回避をネットワーク規模で防御する。
【解決手段】 パケット網においてパケットを転送するパケット転送制御装置が、転送するパケットが不正アクセスを引き起こす可能性を検知するための侵入検知手段を備え、その侵入検知結果を当該パケットを中継すべき後続のパケット転送制御装置に伝播する。当該パケットに対する侵入検知結果は当該パケット自身に付与され、当該パケットと共に後続のパケット転送制御装置によってネットワーク上を転送される。また、パケット転送制御装置が、不正アクセスから保護すべき被保護システムに障害が生じているか否かを監視し、障害の度合いに応じてパケットの通過または廃棄といったトラヒック制御を行う。
【選択図】 図1

Description

本発明は、パケット通信網に利用する。特に、ネットワークシステムに対する外部からの不正アクセスの可能性がある通信トラヒックの特定とその防御に関する。
DoS(Denial of Service)攻撃やコンピュータへの不正侵入といった外部からの不正アクセスによって生じるネットワークシステムの障害を防ぐための要素技術として、侵入検知システム(IDS;Intrusion Detection System)が用いられる。
侵入検知システムは、保護対象とするネットワークや端末を監視し、障害の要因となる不正アクセスを検出した時点で管理者にアラートを通知する。監視対象が端末である場合はホストIDSと呼ばれ、監視対象がネットワークである場合はネットワークIDSと呼ばれる。
このうちネットワークIDSでは、ネットワークを流れるパケットを監視して分析する。分析の結果、不正アクセスと思われる振る舞いが存在すると判断された場合は、当該アクセスに関する情報(IPアドレス、ポート番号、攻撃の種別など)を含んだアラートを管理者に通知したり、該当する通信記録を保存するなどの対策が行われる。
侵入検知システムは、その侵入判定方法によって、ミスユース検知型とアノマリ(異常)検知型とに分類できる。
(ミスユース検知型)
不正アクセスを行うパケットに共通するパターンを予め抽出する。そして、不正アクセスに共通するパターンが記述されたルール(シグニチャと呼ばれる)をデータベースに登録する。
侵入検知システムでは、ネットワーク上を流れるパケットがシグニチャに記述されているパターンと一致するか否かを逐次検査することによって、不正なアクセスを試みるパケットを検出する(例えば、非特許文献1参照)。
(異常検知型)
ミスユース型が、個々の不正アクセスに共通するパターンのデータベースを構成することに対し、異常検知型では、正常状態の特徴値を予め抽出しておき、その特徴値から外れるトラヒックを異常トラヒックとみなす。
特徴値の抽出とその異常判定には確率統計的な手法が主にとられる。すなわち、ネットワークのトラヒックに対して幾つかの検査項目を定める。次に事前に監視対象とするネットワークのトラヒックを確率統計的に分析し、検査項目が正常と考えられる範囲を設定しておく、侵入検知システムの運用に際して、監視対象とするネットワークのトラヒック検査項目を実際に測定し、それらの値が定められた正常範囲から外れる場合に、異常と判定する(例えば、非特許文献2参照)。
ミスユース型では、個々の不正アクセスについて厳密にシグニチャが定義される。故に、誤検知、すなわち正常なパケットを不正と判定することが少ないという利点がある。その一方で、予めシグニチャを登録しておく必要があるため、新種や亜種の攻撃に対して即時的に対応できない。さらに、端末やネットワークの可用性を低下させるDoS攻撃のように、単体では正常であるパケットをより集めて行う攻撃の検出が難しいなどの課題がある。
これに対し、異常検知型では、予め攻撃の特徴を登録しておく必要がないため、新種や亜種の攻撃に対して即時に対応できる。その一方で、誤検知率がミスユース検知型と比較して高いなどの課題がある。このため、実際に用いられている侵入検知システムはミスユース検知型が主流である。
また、侵入検知システムとパケットのフィルタリングを行うファイアウォールとを連携させることで、検知した不正アクセスに対する防御を自動的に行う装置も用いられつつある。このような枠組みは、侵入防御システムと呼ばれる。侵入防御システムでは、侵入検知システムが発行したアラートの内容に基づきファイアウォールの設定を動的に書き換えることによって、不正アクセスに対する制御が行われる。具体的な防御法として、不正アクセスが試みられた端末のポートを閉じたり、不正アクセスを試みたホストからのアクセスを遮断するなどが挙げられる。
Martin Roesch、"SNORT−LIGHTWEIGHT INTRUSION DETECTION FOR NETWORKS",Proceedings of LISA’99:13th System Administration Conference,Seatle,Washington,USA,Novenber7−12,1999,p229−238 Aleksandar Lazarevic,Aysel Ozgur,Levent Ertoz,Jaideep Srivastava,Vipin Kumar,Department of Computer Science Department,University of Minnesota,"A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection",Proc.SIAM Conf.Data Mining,2003. Y.Kim,et al,"PacketScore:Statistics−based Overload Control against Distributed Denial−of−Service Attacks",IEEE INFOCOM 2004,Mar.2004. 特開2001−345849号公報
侵入検知システム、特に異常検知型侵入検知システムでは、誤検知の問題が存在する。すなわち、侵入検知システムによる判定は、その不正の可能性を示唆するものであり、必ずしも不正と判定されたトラヒックが常に不正であるとは限らない。
これに対し商用ネットワークを想定した場合には、ネットワーク上を流れるパケットは顧客の財産であり、できる限り保護すべき対象である。すなわち、正常の可能性が完全に否定できないトラヒックに対し無条件にペナルティを与えることは、大きなリスクが存在する。
したがって、トラヒックにペナルティを与えないことによって被る損失が、ペナルティを与えることによって生じるリスクより大きくなって初めて、不正の可能性があるトラヒックに対して制限を加えることができるといえる。
特にDoS攻撃は量的攻撃を基本とし、個々のパケットによってもたらされる損失は小さい。したがって、端末やネットワークの可用性を低下させない範囲で異常トラヒックを許容した方が、正常の可能性があるトラヒックまでも巻き込んで異常トラヒックを制限するよりも、経済的な損失が小さくなる。
これは、異常トラヒックに対して与えるべき制限の度合いが、保護対象とするシステム(被保護システム)の状態に強く依存することを意味する。
従来の侵入検知システムは、不正アクセスの要因となる異常トラヒックを特定するものである。また、侵入防御システムでは、単に侵入検知システムのアラートに従ってトラヒックに制限を加えるのみである。すなわち、被保護システムの状態、すなわち、その異常トラヒックを許容することによって実際に障害が生じるか否かが基本的に考慮されていない。
したがって、侵入検知システムで誤検知を生じた場合には、その誤検知は必ず損失として転換される。その結果、誤検知による損害を小さくするためには、その判定精度の向上が必要となる。本質的に誤検知率が高い異常検知型の侵入検知システムが実用化に至らない理由はこの問題に依存する。
この問題を解決するため、被保護対象システムの負荷状態を考慮したトラヒック制御手法も提案されている(例えば、非特許文献3参照)。しかしながら、非特許文献3のトラヒック制御は、被保護システムの負荷状態が正常になるまで、不正アクセスの可能性が高いセッションのトラヒックを順番に遮断していくことに相当する。その結果、不正アクセスの可能性が高いと誤って判定された正常ユーザが全くサービスを受けられないという問題が依然として残る。
さらに、非特許文献3では、その被保護システムをサーバと規定し、その侵入検知をネットワークの出口側、すなわち被保護システムとなるサーバの近傍で行う。このため、従来の侵入検知防御システムと同様に、次に示す課題が生じる。
通常、侵入検知防御システムは、被保護システム、すなわち被攻撃者側に併設される。言い換えるならば侵入検知点、被保護システム、防御点がネットワーク上の同じ場所に配置される。地理的に分散したホストから一斉に特定ホストを攻撃するDDoS(Distribute Denial of Service)のような攻撃では、より被攻撃者に近いほど、容易に異常トラヒックを検知できる。しかしながら、異常トラヒックの要因は様々であり、必ずしも被攻撃者側で検知することが常に最善であるとは限らない。
例えば、ワームに感染したホストから送信される異常トラヒックは、ネットワークの入り口、すなわち攻撃者に近い箇所でより明確にその異常性を把握できる。したがって、被保護システム付近で侵入検知を試みる既存の侵入検知防御システムでは、検知可能な不正アクセスの種類が大きく制約されているといえる。
近年のネットワークの高速化に伴い、侵入検知システムにおけるシグニチャとの比較処理、侵入検知処理がボトルネックとなっていることが指摘されている。特に、ネットワーク帯域の利用率が高まると、その帯域で追従できなくなり、判定精度が著しく低下する。
パケットの転送制御装置での輻輳や端末のオーバーロードといった、DoS攻撃に伴う障害発生時には、監視すべきパケット量が通常の状態と比較して増加する。すなわち、侵入検知システムが最も必要となる場合において、侵入検知システム自体が過負荷となり、有効に働かなくなるという問題が生じる。
本発明は、このような背景に行われたものであって、不正アクセス、そのなかでも特にDoS攻撃によるネットワークおよび端末の可用性の低下回避をネットワーク規模で防御するためのパケット転送制御装置を提供することを目的とする。
本発明の特徴は、パケット網においてパケットを転送するパケット転送制御装置が、転送するパケットが不正アクセスを引き起こす可能性を検知するための侵入検知手段を備え、その侵入検知結果を当該パケットを中継すべき後続のパケット転送制御装置に伝播する点にある。
本発明によれば、当該パケットに対する侵入検知結果は当該パケット自身に付与され、当該パケットと共に後続のパケット転送制御装置によってネットワーク上を転送される。また、本発明のもう一つの特徴として、パケット転送制御装置が、不正アクセスから保護すべき被保護システムに障害が生じているか否かを監視し、障害の度合いに応じてパケットの通過または廃棄といったトラヒック制御を行う点にある。ここで、被保護システムとして、パケット転送制御装置自身を含む。
また、パケット転送制御装置において被保護システムの障害を検知した場合は、その障害の度合い、パケットに付与された侵入検知結果、および自分自身で推定したパケットの侵入検知結果に応じてトラヒック制御を行う。
すなわち、本発明では、パケット転送制御装置が、その被保護システムにおける障害の度合いに応じて、当該パケット転送制御装置およびこれまでパケットを中継してきたパケット転送制御装置によって検知された侵入検知結果に基づき、トラヒック制御を局所的かつ即時的に行う。このとき、検知された不正の危険性が高くかつ誤検知の可能性が極めて小さい場合を除き、侵入検知結果のみに基づくパケット廃棄処理は行われない。したがって、被保護システムが正常である限り侵入検知システムの誤検知による損失が生じない。故に、誤検知による損失機会を大きく削減することができる。
さらに、本発明によれば、個々のパケット転送制御装置において検出された侵入検知結果はパケットに付与され、後段のパケット転送制御装置に通知される。これにより、ネットワークを転送されるパケットは、パケット転送制御装置で中継されるたびに、その不正アクセスの可能性を検査されることになる。これにより、その被保護システムに障害が生じたパケット転送制御装置のみでは検知することが難しい不正アクセスも考慮した、トラヒック制御が可能となる。
最後に、侵入検知結果がパケットに付与されるため、必ずしも全てのパケット転送制御装置において侵入検知処理を行う必要がなくなる。すなわち、侵入検知処理と異常性に基づくトラヒック制御(パケットの通過または廃棄)処理をネットワーク上に機能分散させることができる。
一般的に、トラヒック制御処理より、侵入検知処理の方が負荷が高い。故に、端末付近、およびネットワークの出入り口付近のパケット転送制御装置にのみ侵入検知機能を持たせ、コアネットワークのパケット転送制御装置には、トラヒック制御処理のみを実装することによって、侵入検知結果に基づくトラヒック制御処理をネットワーク全体で高いスループットで実現できる。
すなわち、本発明は、パケット転送制御装置であって、本発明の特徴とするところは、自装置から転送するパケットが不正アクセスであることの確からしさを示す度合いである異常度、または、その不正アクセスの種類を推定する侵入検知手段と、この侵入検知手段により推定された侵入検知結果を当該パケット自身に付与する手段と、他装置から到着したパケットに付与された前記侵入検知結果に基づきトラヒック制御を行う手段とを備えたところにある(請求項1)。
これにより、検知結果通知用に特別なパケットを用意する必要がなく、効率の良いトラヒック制御を行うことができる。また、ネットワーク上で侵入検知処理と侵入検知結果(障害検知結果は考慮しない)に基づくトラヒック制御処理とを機能分散することが可能となる。この構成は、侵入検知機能によって検知された不正アクセスの危険性が非常に高い場合や誤検知の可能性が極めて低い場合など、被保護システムの障害の有無を考慮する必要性が小さい場合に用いるに適する。
また、自装置に接続された不正アクセスから保護すべき被保護システムに障害が生じているか否かを検知する障害発生検知手段が設けられ、前記トラヒック制御を行う手段は、他装置から到着したパケットに付与された前記侵入検知結果および前記障害発生検知手段の障害発生検知結果に基づきトラヒック制御を行う手段を備えることができる(請求項2)。
これにより、他装置、被保護システムの双方の検知結果に基づきトラヒック制御を行うことができるため、適切かつ正確なトラヒック制御を行うことができる。
あるいは、前記トラヒック制御を行う手段は、他装置から到着したパケットに付与された前記侵入検知結果および自装置の前記侵入検知手段の侵入検知結果および前記障害発生検知手段の障害発生検知結果に基づきトラヒック制御を行う手段を備えることができる(請求項3)。
これにより、他装置、自装置、被保護システムの3者の検知結果に基づきトラヒック制御を行うことができるため、適切かつ正確なトラヒック制御を行うことができる。
また、自装置から転送するパケットが不正アクセスである確率を前記異常度とし、この確率を前記侵入検知手段の侵入検知結果として用いることができる(請求項4)。
あるいは、自装置から転送するパケットによって引き起こされる可能性がある不正アクセスの種類とその異常度とを推定し、当該推定された不正アクセスの種類とその異常度との組のリストを前記侵入検知手段の侵入検知結果として用いることができる(請求項5)。
これによれば、単に、異常度を侵入検知結果として用いる場合と比較して不正アクセスの種類までも把握できるので、不正アクセスの種類に応じた適切かつ正確なトラヒック制御を行うことができる。
また、自装置から転送するパケットに予め侵入検知結果が付与されていたときには、当該侵入検知結果と、自装置の前記侵入検知手段の侵入検知結果とを比較し、当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備えることができる(請求項6)。
これにより、常に新しい検知結果をネットワーク内に周知させることができるため、適切かつ正確なトラヒック制御を行うことができる。
例えば、前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の前記侵入検知手段の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の前記侵入検知手段の侵入検知結果により更新する手段を備えることができる(請求項7)。
これによれば、異常度の高い最新の検知結果を素早くネットワーク内に周知させることができるため、安全性が高く、適切かつ正確なトラヒック制御を行うことができる。
あるいは、前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度と、自装置の前記侵入検知手段の侵入検知結果としての異常度との平均値により当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備えることができる(請求項8)。
これによれば、ネットワーク内の平均的な異常度をネットワーク内に周知させることができるため、可用性が高く、適切かつ正確なトラヒック制御を行うことができる。
あるいは、パケットに付与する不正アクセスの種類とその異常度との組のリスト長の上限が予め定められ、前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての不正アクセスの種類と異常度との組のリストと、自装置の前記侵入検知手段の侵入検知結果としての不正アクセスの種類とその異常度との組のリストとを比較し、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の前記侵入検知手段の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の前記侵入検知手段の侵入検知結果の中から前記リスト長の上限を越えない範囲内にあり最も高い異常度を有する侵入検知結果により更新する手段を備えることができる(請求項9)。
これによれば、異常度の高い最新の検知結果をその不正アクセスの種別の情報と共に素早くネットワーク内に周知させることができるため、単に、異常度のみを通知する場合と比較してさらに適切かつ正確なトラヒック制御を行うことができる。
また、前記侵入検知結果をパケット自身に付与する手段は、パケットに付与される侵入検知結果をパケットのヘッダに埋め込む手段を備えることができる(請求項10)。
例えば、前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv4ヘッダのToSフィールドに埋め込む手段を備えることができる(請求項11)。
あるいは、前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv4オプションヘッダに埋め込む手段を備えることができる(請求項12)。
あるいは、前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv6オプションヘッダに埋め込む手段を備えることができる(請求項13)。
また、前記障害発生検知手段は、被保護システムの負荷の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備えることができる(請求項14)。
あるいは、前記障害発生検知手段は、被保護システムの輻輳状態の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備えることができる(請求項15)。
また、複数の被保護システムに対し、個々の被保護システムの正常性の度合いを示す正常度を計算する手段と、この計算する手段の計算結果に基づき前記正常度が最小となる被保護システムを現在保護すべき被保護システムとして選択する手段とを備えることができる(請求項16)。
これにより、複数の被保護システムが有り、その全てを保護することが困難である場合には、現在保護すべき被保護システムを適切かつ正確に選択することができる。
また、前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合いが閾値以上となったときには、自装置の出力パケットキューに存在するパケットの内、異常度が大きいものから順に廃棄する手段を備えることができる(請求項17)。
これにより、異常度の高いパケットを優先的に速やかに廃棄することができる。
また、前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合い、または、自装置の出力パケットキューに入力されるパケットの異常度に比例して当該出力パケットキューに入力されるパケットの廃棄確率を増加させる手段を備えることができる(請求項18)。
これにより、異常度の高いパケットをその異常度に応じて適応的に廃棄することができる。
また、パケットが属するフローの異常度に反比例させてそのフローが本来占有すべきデータレート(公平共有データレート)を低く設定する手段と、被保護システムの障害の度合いが閾値以上のときには、各フローのデータレートが前記公平共有データレートに近付くように自装置の出力パケットキューに入力されるパケットの廃棄確率を設定する手段とを備えることができる(請求項19)。
これにより、フローの公平共有データレートを設定する段階からトラヒック制御を開始することができるため、トラヒック制御に伴うネットワーク環境の振動を小さく抑えることができる。
このときに、自装置から転送するパケットが不正アクセスであることの確からしさを示す度合いである異常度、または、その不正アクセスの種類を推定する侵入検知手段を備え、この侵入検知手段または他装置から到着したパケットに付与された侵入検知結果に基づき前記異常度を認識する手段を備えることもできる(請求項20)。
これによれば、自装置の侵入検知手段の検知結果に基づき前記異常度を認識し、自装置の出力パケットキューに存在するパケットの内、異常度が大きいものから順に廃棄したり、自装置の出力パケットキューに入力されるパケットの異常度に比例して当該出力パケットキューに入力されるパケットの廃棄確率を増加させたり、パケットが属するフローの異常度に反比例させてそのフローが本来占有すべきデータレート(公平共有データレート)を低く設定することができる。
本発明によれば、不正アクセス、そのなかでも特にDoS攻撃によるネットワークおよび端末の可用性の低下回避をネットワーク規模で防御することができる。
本発明実施例のパケット転送制御装置の構成を図2〜図4および図7を参照して説明する。図2は端末用パケット転送制御装置の構成例を示す図である。図3はエッジ用パケット転送制御装置の構成例を示す図である。図4はコア用パケット転送制御装置の構成例を示す図である。図7はフィルタのブロック構成図である。
本実施例のパケット転送制御装置は、図2および図3および図7に示すように、自装置から転送するパケットが不正アクセスであることの確からしさを示す度合いである異常度、または、その不正アクセスの種類を推定する侵入検知部1と、この侵入検知部1により推定された侵入検知結果を当該パケット自身に付与する侵入検知結果埋め込み部4と、他装置から到着したパケットに付与された前記侵入検知結果に基づきトラヒック制御を行うフィルタ7内の通過・廃棄判定部3とを備える(請求項1)。
また、自装置に接続された不正アクセスから保護すべき被保護システムであるネットワーク端末50に障害が生じているか否かを検知するフィルタ7内の正常度比較部2が設けられ、通過・廃棄判定部3は、他装置から到着したパケットに付与された前記侵入検知結果および正常度比較部2の障害発生検知結果に基づきトラヒック制御を行う手段を備える(請求項2)。
あるいは、通過・廃棄判定部3は、他装置から到着したパケットに付与された前記侵入検知結果および自装置の侵入検知部1の侵入検知結果および正常度比較部2の障害発生検知結果に基づきトラヒック制御を行う侵入検知結果検出部5および侵入検知結果選択部6を備える(請求項3)。
また、自装置から転送するパケットが不正アクセスである確率を前記異常度とし、この確率を侵入検知部1の侵入検知結果として用いることができる(請求項4)。
さらに、自装置から転送するパケットによって引き起こされる可能性がある不正アクセスの種類とその異常度とを推定し、当該推定された不正アクセスの種類とその異常度との組のリストを侵入検知部1の侵入検知結果として用いる(請求項5)。
また、侵入検知結果埋め込み部4は、自装置から転送するパケットに予め侵入検知結果が付与されていたときには、当該侵入検知結果と、自装置の侵入検知部1の侵入検知結果とを比較し、当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備える(請求項6)。
例えば、侵入検知結果埋め込み部4の前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の侵入検知部1の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の侵入検知部1の侵入検知結果により更新する手段を備える(請求項7)。
あるいは、侵入検知結果埋め込み部4の前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度と、自装置の侵入検知部1の侵入検知結果としての異常度との平均値により当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備える(請求項8)。
あるいは、パケットに付与する不正アクセスの種類とその異常度との組のリスト長の上限が予め定められ、侵入検知結果埋め込み部4の前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての不正アクセスの種類と異常度との組のリストと、自装置の侵入検知部1の侵入検知結果としての不正アクセスの種類とその異常度との組のリストとを比較し、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の侵入検知部1の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の侵入検知部1の侵入検知結果の中から前記リスト長の上限を越えない範囲内にあり最も高い異常度を有する侵入検知結果により更新する手段を備える(請求項9)。
また、侵入検知結果埋め込み部4は、パケットに付与される侵入検知結果をパケットのヘッダに埋め込む手段を備える(請求項10)。
例えば、侵入検知結果埋め込み部4は、前記侵入検知結果をIPv4ヘッダのToSフィールドに埋め込む手段を備える(請求項11)。
あるいは、侵入検知結果埋め込み部4は、前記侵入検知結果をIPv4オプションヘッダに埋め込む手段を備える(請求項12)。
あるいは、侵入検知結果埋め込み部4は、前記侵入検知結果をIPv6オプションヘッダに埋め込む手段を備える(請求項13)。
また、正常度比較部2は、被保護システムの負荷の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備える(請求項14)。
あるいは、正常度比較部2は、被保護システムの輻輳状態の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備える(請求項15)。この際には、正常度比較部2は、平均キュー長計算部10によって計算されたバッファ処理部11における平均キュー長の情報を用いる。このとき、平均キュー長計算部10を介さずに、キュー長の即値を用いることも可能である。
さらに、正常度比較部2は、複数の被保護システムに対し、個々の被保護システムの正常性の度合いを示す正常度を計算する手段と、この計算する手段の計算結果に基づき前記正常度が最小となる被保護システムを現在保護すべき被保護システムとして選択する手段とを備える(請求項16)。
また、通過・廃棄判定部3は、前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合いが閾値以上となったときには、自装置の出力パケットキューに存在するパケットの内、異常度が大きいものから順に廃棄する手段を備える(請求項17)。
あるいは、通過・廃棄判定部3は、前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合い、または、自装置の出力パケットキューに入力されるパケットの異常度に比例して当該出力パケットキューに入力されるパケットの廃棄確率を増加させる手段を備える(請求項18)。
あるいは、通過・廃棄判定部3は、パケットが属するフローの異常度に反比例させてそのフローが本来占有すべきデータレート(公平共有データレート)を低く設定する手段と、被保護システムの障害の度合いが閾値以上のときには、各フローのデータレートが前記公平共有データレートに近付くように自装置の出力パケットキューに入力されるパケットの廃棄確率を設定する手段とを備える(請求項19)。
このとき、他装置から到着したパケットに付与された侵入検知結果のみならず自装置の侵入検知部1の検知結果に基づき前記異常度を認識することもできる(請求項20)。
以下では、本実施例をさらに詳細に説明する。
本発明実施例のパケット転送制御システムは、ネットワークにおける配置箇所に応じて、様々な構成をとり得る。本発明とするパケット転送制御システムでは、以下の3つが主要機能となる。すなわち、1)不正アクセスによって引き起こされる被保護システムの障害検知機能、2)転送するパケットが不正アクセスを引き起こす可能性があるか否かを判定する侵入検知機能、3)後段のパケット転送制御装置への侵入検知結果伝達機能、および4)障害検知結果、侵入検知結果、および前段の伝達された侵入検知結果の組み合わせに基づくトラヒック制御機能である。本発明では、パケット転送制御装置の配置位置に応じて、その構成を柔軟にカスタマイズできる。
障害検知機能(フィルタ7の正常度比較部2)、侵入検知機能(侵入検知部1)、およびトラヒック制御機能(フィルタ7の通過・廃棄判定部3)を備えるパケット転送制御装置は、そのパケット転送制御装置単体で、侵入・障害検知結果に基づくトラヒック制御が可能となる。
侵入検知機能と侵入検知結果伝達機能(侵入検知結果埋め込み部4)を備えるパケット転送制御装置とトラヒック制御機能を備えるパケット転送制御装置とでネットワークを構成することにより、ネットワーク上で侵入検知処理と侵入検知結果(障害検知結果は考慮しない)に基づくトラヒック制御処理とを機能分散することが可能となる(請求項1)。この構成は、侵入検知機能によって検知された不正アクセスの危険性が非常に高い場合や誤検知の可能性が極めて低い場合など、被保護システムの障害の有無を考慮する必要性が小さい場合に用いられる。
侵入検知機能と侵入検知結果伝達機能を備えるパケット転送制御装置と障害検知機能とトラヒック制御機能を備えるパケット転送制御装置とでネットワークを構成すると、前述の特徴に加え、被保護システムの障害の有無を考慮したトラヒック制御が可能となる(請求項2)。
さらに、侵入検知機能と侵入検知結果伝達機能とを備えるパケット転送制御装置と、侵入検知機能、障害検知機能、およびトラヒック制御機能を備えるパケット転送制御装置とでネットワークを構成した場合には、前述の特徴に加え、トラヒック制御を行うパケット転送制御装置において、自身で判定した侵入検知結果をも考慮することが可能である。これにより、より多くの種類の不正アクセスの検出が可能となる(請求項3)。
本発明の実施例として、そのうち最も基本的な構成をとる3種のパケット転送制御システム、すなわち、端末用、エッジ用、およびコア用について説明する。図1は、本発明による3種のパケット転送制御システムを用いたネットワークの構成例を示している。ネットワーク端末に隣接して設置されるパケット転送制御装置を端末用パケット転送制御装置(Uと図示)と呼ぶ。
端末用パケット転送制御装置は、不正アクセスによるネットワーク端末と端末への回線の可用性低下を防ぐことをその目的とする。端末用パケット転送制御装置では、上述した本発明の3つの主要機能の全てを備える。ここで1)における監視すべき障害は、ネットワーク端末の過負荷、端末への通信回線の輻輳となる。
また、ネットワーク端末の互換性を維持するため、ネットワーク端末と端末用パケット転送制御装置との間では侵入検知結果が付与されていない通常パケットを用いてパケット転送がなされ、端末用パケット転送制御装置とパケット通信網との間では、端末用パケット転送制御装置による侵入検知結果が付与された侵入検知結果付きパケットを用いて転送がなされる。
一方、エッジ用およびコア用パケット転送制御装置(Cと図示)はパケット通信網の内部に設置され、不正アクセスによるネットワーク帯域の可用性低下を防ぐことを目的とする。エッジ用パケット転送制御装置(Eと図示)では、上述した本発明の3つの主要機能の全てを備える。
一方、コア用パケット転送制御装置では、高速なコアネットワークに対応するため、侵入検知機能が省略される。また、被保護システムの障害として、パケット転送制御装置間の通信回線の輻輳を仮定する。
図2は、端末用パケット転送制御システムの構成例を示す図である。ネットワーク端末50から受信したパケットは、まずフロー分析部8−Uに入力される。フロー分析部8−Uは、新たに入力されたパケット、および過去に入力されたパケットの履歴を用いて、入力パケットに関連するトラヒックを分析し、その特徴ベクトルを抽出する。
一方、パケット通信網Nから当該パケット転送制御装置に向けて送信されたパケットも同様に、フロー分析部8−Nに入力され、その特徴ベクトルが抽出される。さらに、コネクション分析部9は、ネットワーク端末50側のフロー分析部8−Uとパケット通信網側のフロー分析部8−Nとの双方の結果に基づき、ネットワーク端末50からパケット通信網N方向に流れるフローと、パケット通信網Nからネットワーク端末50方向に流れるフローの相関関係の分析、並びに送受信アプリケーション間のコネクションの状態検証を行う。
フロー分析機能、およびコネクション分析機能からの出力は、特徴ベクトルとして侵入検知部1に入力される。侵入検知部1は、入力された特徴ベクトルに基づき、そのパケットが不正アクセスを引き起こす可能性があるか否かを判定し、その侵入検知結果を出力する。
パケットをネットワーク端末50からパケット通信網Nに転送する場合は、侵入検知結果埋め込み部4において、当該パケット転送制御装置による異常検知結果がパケットに付与され、侵入検知結果付きパケットがパケット通信網Nに送出される。
一方、パケットをパケット通信網Nからネットワーク端末50に転送する場合には、侵入検知結果付きパケットと、当該パケット転送制御装置の侵入検知結果部1から出力された侵入検知結果がフィルタ7に入力される。
フィルタ7では、まず、被保護システムにおける障害の度合いを確認する。すなわち、正常度比較部2により、ネットワーク端末50からそのCPU利用率(または平均CPU利用率)、メモリ利用率(または平均メモリ利用率)といった負荷を測る指標(請求項15)を取得し、平均キュー長計算部10により、バッファ処理部11に備えられている出力パケットキューの平均長を輻輳状態として取得する(請求項16)。このとき、平均キュー長計算部10を介さずに、キュー長の即値を用いることも可能である。
次に、これらの障害の度合いに応じて、当該パケット転送制御装置による侵入検知結果、および他のパケット転送制御システムによって当該パケットに付与された侵入検知結果に基づき、パケットの通過または廃棄処理といったトラヒック制御を行う。フィルタ7から出力されたパケットは、侵入検知結果削除部12において、付与されている侵入検知結果を取り除いた後、ネットワーク端末50に対して送出される。
図3は、エッジ用パケット転送制御装置の構成例を示す図である。図3に示すように、エッジ用パケット転送制御装置では、複数のネットワークインタフェース13がスイッチ14に接続される構成をとる。
パケット通信網からネットワークインタフェース13に侵入検知結果付きパケットが入力されると、端末用パケット転送制御装置と同様に、フロー分析部8においてその特徴ベクトルの抽出がなされる。ここで抽出されたフローの特徴ベクトルは、当該パケットを他のパケット通信網に送出する他のネットワークインタフェース13の侵入検知部1で再度用いられる。故に、特徴ベクトル埋め込み部15は、特徴ベクトルを、侵入検知結果と同様にパケットに埋め込む。
次に、コネクション分析部9において、パケット通信網側から入力されたパケットに関するトラヒックの特徴ベクトルの履歴と、スイッチ14側から転送されたトラヒックの特徴ベクトルの履歴とを基に、コネクションに関する特徴ベクトルを抽出する。
侵入検知部1では、フローの特徴ベクトルと、コネクションの特徴ベクトルとを基に、そのパケットが不正アクセスを引き起こす可能性があるか否かを判定し、その結果を侵入検知結果埋め込み部4に出力する。
侵入検知結果埋め込み部4、および特徴ベクトル埋め込み部15は、その侵入検知結果、並びにフローの特徴ベクトルをパケットに付与する。そして特徴ベクトル・侵入検知結果付きパケットが、宛先IPアドレスに応じて、スイッチ14を介して適切なネットワークインタフェース13に転送される。
スイッチ14から転送された特徴ベクトル・侵入検知結果付きパケットはスプリッタ16によって、a)特徴ベクトル、または、b)侵入検知結果付きパケットに分割される。特徴ベクトルは、コネクション分析部9と侵入検知部1に、侵入検知結果付きパケットはフィルタ7にそれぞれ入力される。
侵入検知部1は、パケットに付与されていたフローの特徴ベクトルと、コネクション分析部9から出力される特徴ベクトルとに基づき、その不正アクセスの有無を推定し、その侵入検知結果をフィルタ7に対して出力する。
フィルタ7は、正常度比較部2または平均キュー長計算部10により被保護システムの障害の度合いを監視する。ここでは、バッファ処理部11の出力パケットキューの平均長を測ることで、その輻輳状態を監視する。そして、被保護システムの障害の度合いに応じて、当該パケット転送制御装置で推定した侵入検知結果、および、当該パケットをこれまでに中継したパケット転送制御装置が当該パケットに付与した侵入検知結果に基づき、パケットの通過または廃棄といったトラヒック制御を行う。
図4は、コア用パケット転送制御装置の構成例を示す図である。コア用検知システムでは、高スループット化を狙っているため、侵入検知処理を行わない。故に、フィルタ7において、当該パケット転送制御装置のバッファ処理部11の出力パケットキューの輻輳状態に応じて、入力パケットに付与された侵入検知結果に基づくパケットの廃棄または通過処理といったトラヒック制御のみが行われる。
次に、パケット転送制御システムを構成する個々のモジュールの実施例について説明する。図5は、フロー分析部8、8−U、8−N(以下では、単に符号8とする)の構成例を示したものである。フロー分析部8は、パケット転送制御装置に入力されたパケット自身の分析や、これまでに受信したパケットの履歴に基づきそのパケットが属するフローを分析し、それらの特徴ベクトルを抽出する。ここで、フローとは、宛先IPアドレス、宛先ポート番号、送信元IPアドレス、送信元ポート番号、およびプロトコル番号が等しいパケットの集合を指す。
フローの分析手法として、シグニチャ型分析手法と、統計型分析手法とに大別される。シグニチャ型分析では、予め検査すべきルールをデータベースに登録する。ここで、シグニチャにおいて記述されるルールとして、1)ヘッダの内容がルールの内容と一致するか否か、2)ペイロード部に特定のキーワードが含まれているか否か、などが挙げられる。
次に、パケットを受信する毎に、受信したパケットがシグニチャの条件に合致するか否かを逐次検証する。そして合致したシグニチャの種別が特徴ベクトルの一要素として出力される。
一方、統計型分析手法では、過去に入力されたパケットの履歴を元に、そのパケットが属するフローやトラヒック全体の統計量を算出する。ここでフロー単位で算出される統計量として、パケットレート、Synパケットレート、Rejパケットレート、などがある。
さらに、集約したフローの統計量として、当該パケットと同一宛先IPアドレスを持つフローの統計パケットレート、当該パケットと同一サービスに属するフローの統計レート、などが特徴ベクトルとして出力される。
コネクション分析部9は、1)コネクションの一方のアプリケーションからもう片方のアプリケーションへと流れるフローとその逆方向に流れるフローとの相対関係を表す特徴ベクトルを抽出し、また、2)アプリケーション間のコネクションの状態遷移をトレースしその正当性を検証する。
例えば、あるホストに着目したとき、そのホストへの上りフローの合計データレートと下りフローの合計データレート比が著しく異なる場合には、そのホストに対して何らかの不正アクセスが行われている可能性が高いとされる。また、コネクションの状態遷移において不正が検出された場合には、そのエラーの種別を特徴ベクトルの一要素として出力する。
侵入検知部1では、フロー分析部8、および、コネクション分析部9から得られた特徴ベクトルに基づき、そのパケットが不正アクセスを引き起こす可能性があるか否かの判定を行う。ここで、本実施例では、侵入検知部1の出力として以下が得られるものとする。
そのパケットが不正アクセスである確からしさを示す指標(以下、この指標を異常度と呼ぶ(請求項4))。
そのパケットが引き起こす可能性がある不正アクセスの種類とその異常度のリスト(請求項5)。
ここで検査対象パケットの異常度を記号Pで表す。本実施例では、異常度Pとして、当該パケットが不正アクセスである確率を用いる(請求項4、5)。故に、異常度Pのその値域は0≦P≦1.0となる。また、不正アクセスの種類とその異常度も併せて特定しておくことで、後述するフィルタ7において不正アクセスの危険度とその異常度とに応じて、より洗練されたトラヒック制御を行うことが可能である。
本発明は、侵入検知アルゴリズムを規定するものではない。したがって、そのアルゴリズムとして、決定木、Bayesian Network、クラスタリングといった統計学習アルゴリズムや、特徴ベクトルから不正アクセスの種類や異常度を推定するメタルールを予めデータベースに登録しておくなど、様々な推定アルゴリズムを利用できる。
侵入検知結果埋め込み部4は、侵入検知部1で出力された侵入検知結果をパケットに付与する。侵入検知結果は、当該パケットを中継する各パケット転送制御装置においてパケットに付与され得る。故に、パケット転送制御装置において、それ以前に付与された侵入検知結果を残したまま新しい侵入検知結果をパケットに追加すると、パケット長がホップ数に比例して増加するという問題が生じる。そこで、転送するパケットに付与されていた侵入検知結果と、当該パケット転送制御装置による侵入検知結果とを用いて、パケットに付与される侵入検知結果を書き換える(請求項6)。その実施例として以下がある。
・異常度Pの更新
より大きい異常度を選択する(請求項7)。すなわち、任意のホストに対しパケットを転送する際に、i番目に通過するパケット転送制御装置に入力されるパケットが有する異常度をPEiとする。また、そのパケット転送制御装置が推定した異常度をPIiとおく。このとき、
PEi+1=max(PEi,PIi)
平均化する(請求項8)。すなわち、
PEi+1=[(i−1)PEi+PIi]/i
・不正アクセスの種類と異常度のリストの更新
パケットに付与される不正アクセスの種類と異常度の組のリスト長の上限を定めておく、次に転送されるパケットに予め付与されていた不正アクセスの種類と異常度の組のリストと、当該パケット転送制御装置自身が推定した不正アクセスの種類と異常度の組のリストから、パケットに付与可能なリスト長さの上限の範囲内で、最も高い異常度を有する不正アクセスの種類と異常度の組を当該パケットのリストに付与する(請求項9)。
侵入検知結果はパケットのヘッダに付与される(請求項10)。その実施方法として、以下がある。
・独自ヘッダの利用
・IPvesion4
ToSフィールドの利用(請求項11)。:ToSフィールドは8bitのみであることから、異常度Pのみ付与する。
IPv4オプションの利用(請求項12)。
・IPversion6
中継点オプションヘッダの利用(請求項13)。
図6は、IPv6中継点オプションヘッダを用いて侵入検知結果をパケットに付与する実施例を示している。図6は、後続のパケット転送制御装置に伝達する侵入検知結果として、そのパケットの異常度Pと、不正アクセスの種別とその異常度のリストの双方としている。また、リストに格納可能な不正アクセスの種類と異常度の組の数を2としている。
まず、先頭のIPv6ヘッダ内の次ヘッダ番号には中継点オプションヘッダを表現する0が入る。中継点オプションヘッダの次ヘッダ番号は、次に続くヘッダがTCPヘッダであれば、TCPヘッダに対応する6が格納される。拡張ヘッダ長は当該中継点オプションヘッダ長を8バイト単位で表現して−1した値が格納される。
本実施例では、中継点オプションヘッダ長は24バイトであるため、2が格納される。オプション番号は8ビットの識別子であり、上位2ビットでルータ装置がオプションを認識できなかった場合の動作を示し、次の1ビットでオプションが経路上で変更可能か否かを表し、下位5ビットはオプションの内容を示すオプション番号部分となる。
本パケット転送制御装置では、動作は00(認識できない場合は読み飛ばす)とし、経路上変更可能ビットは1(変更可能)とする。次にオプションデータ長(バイト単位)として12が格納される。次の32bitにはそのパケット異常度Pが32bit浮動小数点表現で格納される。その後、不正アクセスの種別(32bit表現)とその異常度(32bit浮動少数点表現)の組が二つ格納される。
図7は、被保護とするシステムの状態、および侵入検知部1の検知結果に基づき、パケットの通過または廃棄処理を行うフィルタ7のブロック構成例を示している。まず、侵入検知結果付きパケットが侵入検知結果検出部5に入力される。侵入検知結果検出部5は、当該パケットをこれまで中継してきたパケット転送制御装置によって付与された侵入検知結果をコピーし、侵入検知結果選択部6に対し出力する。
侵入検知結果選択部6では、侵入検知結果埋め込み部4と同様の方法を用いて、パケットに付与されている侵入検知結果、および、当該パケット転送制御装置によって求めた侵入検知結果から、通過・廃棄判定部3において用いる侵入検知結果を選択する。
フィルタ7では、保護すべきシステムに障害が生じているか否かを正常度比較部2にて判定する。正常度比較部2には、保護すべき対象に応じて、以下の2種が入力される。
・(平均)CPU利用率、(平均)メモリ利用率(請求項14)。パケット転送制御装置が、端末の可用性維持を目的とする場合に入力される。
・(平均)キュー長(請求項15)。平均キュー長は平均キュー長計算部10から入力される。バッファ処理部11の出力パケットキューの平均キュー長を示す。平均キュー長計算部10を介さずに、キュー長の即値を用いることもできる。
正常度比較部2では、被保護システムの障害の大きさを示すパラメータとして以下を通過・廃棄判定部3に対して出力する。すなわち、キュー長(またはCPU利用率、メモリ利用率)の平均値(または即値)Q、下限ターゲットキュー長Qlow、上限ターゲットキュー長Qhigh、最大キュー長Qmaxである。キュー長が短い場合には、キューが頻繁に空となり、システムの利用率が低下する。故に、システムの利用率の低下を防ぐため、キュー長が下限ターゲットキュー長Qlow以上となるようにパケットを転送制御することが望ましい。
その一方で、キュー長が長くなり過ぎると被保護システムの可用性低下の原因となる。すなわち、パケット転送制御装置の遅延時間が増加による時間制約の違反や、キューのオーバフロー、すなわちキュー長がQmaxに達することによるパケットロスが生じる。故に、キュー長が上限ターゲットキュー長Qhigh未満となるように、パケットを転送制御しなければならない。
被保護システムが複数存在する場合は、個々の被保護システムの正常度を計算し、その正常度が最も小さい被保護システムのパラメータを通過・廃棄判定部3に対して出力する(請求項16)。ここで、単一のパケット転送制御装置が保護すべきシステムがn個存在するものとする。n個の被保護システムのキュー長をQi(i=1,…,n)とする。同様に、それぞれの被保護システムの下限ターゲットキュー長をQlow,i、上限ターゲットキュー長をQhigh,iとする。またキューの長さをQmax,iとする。このとき、被保護システムiの正常度Hi(−1.0≦Hi≦1.0)を以下のように定める。
Hi=
Qi/Qlow,i
:0≦Qi<Qlow,i
(Qhigh,i−Qi)/(Qhigh,i−Qlow,i)
:Qlow,i≦Qi<Qhigh,i
(Qhigh,i−Qi)/(Qmax,i−Qhigh,i)
:Qhigh,i≦Qi<Qmax,i
…(1)
ここで、Qiに対するHiの変化を図8に示す。図8では横軸にキュー長をとり、縦軸に正常度をとる。図8に示されるように、0≦Qi<Qlow,iの範囲では、正常度Hiは0から線形に増加する。そして、Qi=Qlow,iにおいてHi=1に達する。その後、減少に転じ、Qi=Qhigh,iにおいてHi=0に、Qi=Qmax,iにおいてHi=−1となる。特にHi<0であるとき、その被保護システムに障害が生じているとみなす。
通過・廃棄判定部3は、正常度比較部2から入力された被保護システムのパラメータ、すなわち(Q,Qmax,Qhigh,Qlow)、および侵入検知結果に応じて、当該パケット転送制御装置に入力されたパケット(または出力パケットキュー中のパケット)を通過させるべきか廃棄させるべきかの判定を行う。
まず、侵入検知結果として、不正アクセスの種類とその異常度のリストが与えられている場合を考える。このとき、パケット転送制御装置の管理者は、不正アクセスの種類と異常度、および被保護システムのパラメータを条件とするパケットの通過または廃棄ルールを定めたデータベースを作成しておく。通過・廃棄判定部3では、このデータベースに基づきパケットの通過または廃棄を判定する。特に、検知された不正アクセスの危険度が高く、かつ、その誤検知の確率が極めて小さい場合は、被保護システムの状態に関わらず、パケットを廃棄することも可能である。
次に、異常度Pに基づき、パケットの通過または廃棄判定を行う。この判定の実施例として、以下の3つを説明する。
・手法1:異常度最大パケット廃棄(請求項17、20)
・手法2:高異常度高確率廃棄(請求項18、20)
・手法3:Hybrid MXQ(請求項19、20)
手法1では、Q>Qhighならば、キューの中から異常度の高い順にQ−Qhigh個のパケットを選択する。選択されたパケットはバッファ処理部11で廃棄される。本手法では、キュー長が常にQhigh内に維持されるというメリットがある。
その一方で、パケットの廃棄が異常度のみに基づいて行われるため、異常度以外を考慮したQoS管理がなされない。また、高い異常度を持つパケットと同じフローに属する他のパケットは、他のフローに属するパケットより比較的高い異常度を有する。このため、全てのフローの異常度が低い場合でも、一部のフローのパケットのみがバースト的に廃棄されやすいといった課題がある。
手法2では、被保護システムの負荷が高く、かつ、異常度が高いパケットほど、高い確率で廃棄される。すなわち、廃棄確率をB(Q,P)とすると、
B(Q,P)=

:0≦Q<Qlow
P((Q−Qlow)/(Qhigh−Qlow))k
:Qlow≦Q<Qhigh

:Qhigh≦Q<Qmax
…(2)
手法2を用いることにより、キュー長増加時に、フロー間で異常度に比例した帯域共有がなされる。ただし、手法2は、キュー長管理を目的とするものではない。例えば、全てのフローの異常度が0である場合には、Qの値に関わらず、本手法によって廃棄されるパケットは、存在しない。故に、QoS制御が必要な場合は、RED(Randam Early Detection)との併用、または、本手法を実装したキューを複数本用いて既存の優先制御方式WFQ(Weighted Fair Queing)、CBQ(Class Based Queing)などと併用される。
手法3は既存のキューイングアルゴリズムの一つMXQ(例えば、特許文献1参照)を拡張した手法である。MXQは全てのTCPコネクション間で公平な帯域共有を図るためのキューイングアルゴリズムである。MXQにおける公平な帯域共有とは、それぞれのフローが占める帯域が、公平共有データレートFと等しくなることを指す。ここでMXQにおけるFは、リンクの帯域C、アクティブなフロー数がNであるとき、F=C/Nと与えられる。
手法3は、上述のMXQに異常度の概念を導入する。ここでN本のアクティブなフローが存在するとする。i(i=1,…,N)番目のフローの異常度をPiとする。ここでフローの異常度とは、そのフローに属する最も新しいパケットの異常度である。このとき、i(i=1,…,N)番目のフローの公平共有データレートFiを式3のように定義する。
Fi=C[(1−Pi)/(Σj=1 to N(1−Pj))] …(3)
本発明によれば、キューには4つのパラメータがある。すなわち(Q,Qlow,Qhigh,Qmax)。これらのパラメータ、およびFiを導入することで、MXQにおける可動式シャットアウト閾値は式(4)のように与えられる。
Ti=

:0≦Q<Qlow
[((Q−Qlow)/(Qhigh−Qlow))k0(Fi−C)]+C
:Qlow≦Q<Qhigh
((Qmax−Q)/(Qmax−Qhigh))k1Fi
:Qhigh≦Q≦Qmax
…(4)
10個のフローが存在するとする。そのうち9つのフローの異常度Pi(i=1,…,9)を0.1とし、残る1つの異常度P10を0.9とする。また、Qlow=0.2,Qhigh=0.8とする。このとき、式(4)による可動式シャットアウト閾値は図9になる。図9は横軸にQ/Qmaxをとり、縦軸にTi/Cをとる。
以上から、フローiの平均データレートをLiとすると、そのパケット廃棄率Biは以下のように与えられる。
Bi(Li,Fi,Pi,Q|0≦Q<Qhigh)=

:Ti≦Li
((Li−Fi)/(Ti−Fi))k3
:Fi≦Li<Ti

:Li<Fi
…(5)
Bi(Li,Fi,Pi,Q|Qhigh≦Q<Qmax)=

:Ti≦Li

:Li<Fi
…(6)
ここで、10個のフローが存在するとする。そのうち9つのフローの異常度Pi(i=0,…,9)を0.1とし、残る1つの異常度P10を0.9とする。また、Qlow=0.2、Qhigh=0.8とする。このとき、パケット廃棄率B(L,F,Q)の変化例を図10に示す。図10は横軸にLi/Cをとり、縦軸にB(Li,FI,Pi,Q)をとる。図10に示されるように、Qの値が大きくなると、Pが大きいフローはデータレートが低い状態でもその廃棄確率が大きくなる。
次にバッファ処理部11にて、入力されたパケットのバッファリングをすると共に、および、通過・廃棄判定部3からの結果に基づくパケットの廃棄処理がなされる。端末用パケット転送制御装置では、最後に侵入検知結果削除部12において、フィルタ7から出力されたパケットから異常度を取り除く。
本発明によれば、不正アクセス、そのなかでも特にDoS攻撃によるネットワークおよび端末の可用性の低下回避をネットワーク規模で防御することができるので、ネットワークの管理者にとっては、効率の良いネットワーク管理を行う上で有用であり、ネットワークのユーザにとっては、サービス品質の高いサービスの提供を受ける上で有用である。
本実施例のネットワーク構成例を示す図。 本実施例の端末用パケット転送制御装置のブロック構成図。 本実施例のエッジ用パケット転送制御装置のブロック構成図。 本実施例のコア用パケット転送制御装置のブロック構成および全体構成図。 本実施例のフロー分析部の構成例を示す図。 本実施例のIPv6中継点オプションヘッダを用いた侵入検知結果の付与状況を示す図。 本実施例のフィルタのブロック構成図。 Qiに対する正常度Hiの変化を示す図。 本実施例の可動式シャットアウト閾値の変化を示す図。 本実施例の手法3におけるパケット廃棄率を示す図。
符号の説明
1 侵入検知部
2 正常度比較部
3 通過・廃棄判定部
4 侵入検知結果埋め込み部
5 侵入検知結果検出部
6 侵入検知結果選択部
7 フィルタ
8、8−U、8−N フロー分析部
9 コネクション分析部
10 平均キュー長計算部
11 バッファ処理部
12 侵入検知結果削除部
13 ネットワークインタフェース
14 スイッチ
15 特徴ベクトル埋め込み部
16 スプリッタ
50 ネットワーク端末
U 端末用パケット転送制御装置
E エッジ用パケット転送制御装置

Claims (20)

  1. 自装置から転送するパケットが不正アクセスであることの確からしさを示す度合いである異常度、または、その不正アクセスの種類を推定する侵入検知手段と、
    この侵入検知手段により推定された侵入検知結果を当該パケット自身に付与する手段と、
    他装置から到着したパケットに付与された前記侵入検知結果に基づきトラヒック制御を行う手段と
    を備えたパケット転送制御装置。
  2. 自装置に接続された不正アクセスから保護すべき被保護システムに障害が生じているか否かを検知する障害発生検知手段が設けられ、
    前記トラヒック制御を行う手段は、他装置から到着したパケットに付与された前記侵入検知結果および前記障害発生検知手段の障害発生検知結果に基づきトラヒック制御を行う手段を備えた
    請求項1記載のパケット転送制御装置。
  3. 前記トラヒック制御を行う手段は、他装置から到着したパケットに付与された前記侵入検知結果および自装置の前記侵入検知手段の侵入検知結果および前記障害発生検知手段の障害発生検知結果に基づきトラヒック制御を行う手段を備えた
    請求項1または2記載のパケット転送制御装置。
  4. 自装置から転送するパケットが不正アクセスである確率を前記異常度とし、この確率を前記侵入検知手段の侵入検知結果として用いる
    請求項1ないし3のいずれかに記載のパケット転送制御装置。
  5. 自装置から転送するパケットによって引き起こされる可能性がある不正アクセスの種類とその異常度とを推定し、
    当該推定された不正アクセスの種類とその異常度との組のリストを前記侵入検知手段の侵入検知結果として用いる
    請求項1ないし4のいずれかに記載のパケット転送制御装置。
  6. 自装置から転送するパケットに予め侵入検知結果が付与されていたときには、当該侵入検知結果と、自装置の前記侵入検知手段の侵入検知結果とを比較し、当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備えた請求項1記載のパケット転送制御装置。
  7. 前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の前記侵入検知手段の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の前記侵入検知手段の侵入検知結果により更新する手段を備えた請求項6記載のパケット転送制御装置。
  8. 前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての異常度と、自装置の前記侵入検知手段の侵入検知結果としての異常度との平均値により当該パケットに予め付与されていた前記侵入検知結果を更新する手段を備えた請求項6記載のパケット転送制御装置。
  9. パケットに付与する不正アクセスの種類とその異常度との組のリスト長の上限が予め定められ、
    前記更新する手段は、転送するパケットに予め付与されていた前記侵入検知結果としての不正アクセスの種類と異常度との組のリストと、自装置の前記侵入検知手段の侵入検知結果としての不正アクセスの種類とその異常度との組のリストとを比較し、転送するパケットに予め付与されていた前記侵入検知結果としての異常度が自装置の前記侵入検知手段の侵入検知結果としての異常度よりも低いときには、当該パケットに予め付与されていた前記侵入検知結果を自装置の前記侵入検知手段の侵入検知結果の中から前記リスト長の上限を越えない範囲内にあり最も高い異常度を有する侵入検知結果により更新する手段を備えた
    請求項5または6記載のパケット転送制御装置。
  10. 前記侵入検知結果をパケット自身に付与する手段は、パケットに付与される侵入検知結果をパケットのヘッダに埋め込む手段を備えた請求項1記載のパケット転送制御装置。
  11. 前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv4ヘッダのToSフィールドに埋め込む手段を備えた請求項10記載のパケット転送制御装置。
  12. 前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv4オプションヘッダに埋め込む手段を備えた請求項10記載のパケット転送制御装置。
  13. 前記パケットのヘッダに埋め込む手段は、前記侵入検知結果をIPv6オプションヘッダに埋め込む手段を備えた請求項10記載のパケット転送制御装置。
  14. 前記障害発生検知手段は、被保護システムの負荷の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備えた請求項2記載のパケット転送制御装置。
  15. 前記障害発生検知手段は、被保護システムの輻輳状態の度合いの監視結果を当該被保護システムに障害が生じているか否かを測る指標として用いる手段を備えた請求項2記載のパケット転送制御装置。
  16. 複数の被保護システムに対し、個々の被保護システムの正常性の度合いを示す正常度を計算する手段と、
    この計算する手段の計算結果に基づき前記正常度が最小となる被保護システムを現在保護すべき被保護システムとして選択する手段と
    を備えた請求項2記載のパケット転送制御装置。
  17. 前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合いが閾値以上となったときには、自装置の出力パケットキューに存在するパケットの内、異常度が大きいものから順に廃棄する手段を備えた請求項2記載のパケット転送制御装置。
  18. 前記被保護システムに障害が生じているか否かを測る指標に基づき推定される当該被保護システムの障害の度合い、または、自装置の出力パケットキューに入力されるパケットの異常度に比例して当該出力パケットキューに入力されるパケットの廃棄確率を増加させる手段を備えた請求項2記載のパケット転送制御装置。
  19. パケットが属するフローの異常度に反比例させてそのフローが本来占有すべきデータレート(公平共有データレート)を低く設定する手段と、
    被保護システムの障害の度合いが閾値以上のときには、各フローのデータレートが前記公平共有データレートに近付くように自装置の出力パケットキューに入力されるパケットの廃棄確率を設定する手段と
    を備えた請求項2記載のパケット転送制御装置。
  20. 自装置から転送するパケットが不正アクセスであることの確からしさを示す度合いである異常度、または、その不正アクセスの種類を推定する侵入検知手段を備え、
    この侵入検知手段または他装置から到着したパケットに付与された侵入検知結果に基づき前記異常度を認識する手段を備えた
    請求項17ないし19のいずれかに記載のパケット転送制御装置。
JP2004339015A 2004-11-24 2004-11-24 パケット転送制御装置 Pending JP2006148778A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004339015A JP2006148778A (ja) 2004-11-24 2004-11-24 パケット転送制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004339015A JP2006148778A (ja) 2004-11-24 2004-11-24 パケット転送制御装置

Publications (1)

Publication Number Publication Date
JP2006148778A true JP2006148778A (ja) 2006-06-08

Family

ID=36627917

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004339015A Pending JP2006148778A (ja) 2004-11-24 2004-11-24 パケット転送制御装置

Country Status (1)

Country Link
JP (1) JP2006148778A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007335951A (ja) * 2006-06-12 2007-12-27 Kddi R & D Laboratories Inc 通信監視装置、通信監視方法およびプログラム
JP2008211464A (ja) * 2007-02-26 2008-09-11 Oki Electric Ind Co Ltd トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム
JPWO2009139170A1 (ja) * 2008-05-16 2011-09-15 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2011526751A (ja) * 2008-07-04 2011-10-13 アルカテル−ルーセント 通信ネットワークのための侵入防止方法およびシステム
JP2016170651A (ja) * 2015-03-13 2016-09-23 富士通株式会社 不正アクセス検出方法、装置、及びプログラム
US9794274B2 (en) 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
JP2023508302A (ja) * 2019-12-31 2023-03-02 華為技術有限公司 ネットワークセキュリティ保護方法及び保護デバイス
JP7555894B2 (ja) 2021-09-29 2024-09-25 Kddi株式会社 通信装置

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007335951A (ja) * 2006-06-12 2007-12-27 Kddi R & D Laboratories Inc 通信監視装置、通信監視方法およびプログラム
JP2008211464A (ja) * 2007-02-26 2008-09-11 Oki Electric Ind Co Ltd トラフィック異常検出システム、トラフィック情報観測装置、トラフィック情報管理装置、トラフィック情報観測プログラム、及び、トラフィック情報管理プログラム
JPWO2009139170A1 (ja) * 2008-05-16 2011-09-15 パナソニック株式会社 攻撃パケット検知装置、攻撃パケット検知方法、映像受信装置、コンテンツ記録装置、およびip通信装置
JP2011526751A (ja) * 2008-07-04 2011-10-13 アルカテル−ルーセント 通信ネットワークのための侵入防止方法およびシステム
US9794274B2 (en) 2014-09-08 2017-10-17 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium
JP2016170651A (ja) * 2015-03-13 2016-09-23 富士通株式会社 不正アクセス検出方法、装置、及びプログラム
JP2023508302A (ja) * 2019-12-31 2023-03-02 華為技術有限公司 ネットワークセキュリティ保護方法及び保護デバイス
JP7462757B2 (ja) 2019-12-31 2024-04-05 華為技術有限公司 ネットワークセキュリティ保護方法及び保護デバイス
JP7555894B2 (ja) 2021-09-29 2024-09-25 Kddi株式会社 通信装置

Similar Documents

Publication Publication Date Title
US8509106B2 (en) Techniques for preventing attacks on computer systems and networks
KR100609170B1 (ko) 네트워크 보안 시스템 및 그 동작 방법
EP2289221B1 (en) Network intrusion protection
US9231876B2 (en) User traffic accountability under congestion in flow-based multi-layer switches
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
JP6599819B2 (ja) パケット中継装置
CN105991617B (zh) 使用网络评分来选择安全路径的计算机实施系统及方法
US20120218896A1 (en) Centralized supervision of network traffic
CN112134894A (zh) 一种DDoS攻击的移动目标防御方法
US8006303B1 (en) System, method and program product for intrusion protection of a network
JP6923809B2 (ja) 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
JP2005184792A (ja) 帯域制御装置、帯域制御方法及び帯域制御プログラム
Xuan et al. A Gateway-based Defense System for Distributed Denial-of-Service Attacks in High-Speed Networks
Chinnaraju et al. Grey Hole Attack Detection and Prevention Methods in Wireless Sensor Networks.
JP2006148778A (ja) パケット転送制御装置
CN101300807B (zh) 对于通信网络的网络接入节点计算机、通信系统以及操作通信系统的方法
KR20060130892A (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
KR100656348B1 (ko) 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치
Chen et al. A two-tier coordinated defense scheme against DDoS attacks
JP5028202B2 (ja) 制御ネットワークシステム
JP3947138B2 (ja) DDoS防御方法及びDDoS防御機能付きルータ装置
CN111147435B (zh) 反回放处理方法
JP6581053B2 (ja) フロー解析装置、トラフィック解析システム、及びフロー解析方法
Goswami et al. Probability, queuing, and statistical perspective in the distributed denial-of-service attacks domain