JP2006345014A - 攻撃トラヒック防御システムおよび方法 - Google Patents
攻撃トラヒック防御システムおよび方法 Download PDFInfo
- Publication number
- JP2006345014A JP2006345014A JP2005166383A JP2005166383A JP2006345014A JP 2006345014 A JP2006345014 A JP 2006345014A JP 2005166383 A JP2005166383 A JP 2005166383A JP 2005166383 A JP2005166383 A JP 2005166383A JP 2006345014 A JP2006345014 A JP 2006345014A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- attack
- malicious
- attack traffic
- protection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】 攻撃トラヒック対処装置での輻輳発生を抑制する。
【解決手段】悪意・被疑トラヒック検出装置3041は、攻撃コンピュータ1から被攻撃コンピュータ2へ送られるトラヒックをサンプリングしたサンプリングデータ71、72をルータ31、32から受け取り、所定のアルゴリズムにより、トラヒックが悪意トラヒックか被疑トラヒックを判定する。悪意トラヒックの場合、ルータ31に悪意トラヒック廃棄指示を出し、ルータ31はトラヒックを廃棄する。被疑トラヒックの場合、該トラヒックはルータ32、33を通って攻撃トラヒック対処装置52に送られ、分析される。
【選択図】図1
【解決手段】悪意・被疑トラヒック検出装置3041は、攻撃コンピュータ1から被攻撃コンピュータ2へ送られるトラヒックをサンプリングしたサンプリングデータ71、72をルータ31、32から受け取り、所定のアルゴリズムにより、トラヒックが悪意トラヒックか被疑トラヒックを判定する。悪意トラヒックの場合、ルータ31に悪意トラヒック廃棄指示を出し、ルータ31はトラヒックを廃棄する。被疑トラヒックの場合、該トラヒックはルータ32、33を通って攻撃トラヒック対処装置52に送られ、分析される。
【選択図】図1
Description
本発明は、DDoS(Distributed Denial of Service)のようなあるユーザに対し過度のトラヒックを送信することによりそのユーザのサービス停止を狙った攻撃を防御するシステムおよび方法に関する。
悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックを含む攻撃トラヒックを防御する方法として、攻撃トラヒックが疎通しているネットワーク内の装置が、その攻撃トラヒックをネットワーク外部の対処装置に転送し、その装置において、攻撃トラヒックを処理する方式が提案されている(例えば、非特許文献1参照)。
非特許文献1、非特許文献2において記述されている攻撃トラヒック防御システム構成を図9に示す。図9のシステムでは、トラヒックを転送するルータの装置群3に攻撃コンピュータ1と被攻撃コンピュータ2が接続されている。ルータの装置群3はルータ31〜34から構成されている。攻撃トラヒックを防御する装置群4は、攻撃トラヒックを検出する攻撃トラヒック検出装置41、42と、攻撃トラヒックの迂回を指示する攻撃トラヒック迂回指示装置51と、攻撃トラヒックを対処する攻撃トラヒック対処装置52から構成されている。なお、非特許文献1での製品“Detector”ならびに非特許文献2でのArbor製品“PeakFlow”が攻撃トラヒック検出装置41、42に対応する。製品“Guard”は、攻撃トラヒック迂回指示装置51と攻撃トラヒック対処装置52を統合した装置に対応する。ここで、攻撃トラヒック検出装置41、42として、1つ以上のルータからトラヒックのサンプルデータ(図9でのサンプリングデータ71〜74)を取得し、攻撃を検出する攻撃トラヒック検出装置を想定する(非特許文献3参照)。
図10にルータ31〜34のブロック図を示す。
ルータ31〜34は、基本的に入力回線のインタフェース処理を行う入力回線処理部101と、出力回線のインタフェース処理を行う出力回線処理部102と、ルーティングテーブル104と、ルーティングテーブル104を使ってルーティング処理を行うルーティング部103から構成される(非特許文献4参照)。ルータ31〜34は、ルータを疎通するトラヒックをサンプリングするパケットサンプリング部105と、その情報を攻撃トラヒック検出装置41、42に転送するパケットサンプリングデータ転送部106をさらに含む。
図11に攻撃トラヒック検出装置41、42のブロック図を示す。
攻撃トラヒック検出装置41、42は、パケットサンプリングデータデータベース202と、ルータ31〜34から送信されたパケットサンプリングデータ71〜74を取得し、その情報をパケットサンプリングデータデータベース202に書き込むパケットサンプリングデータ取得部201と、フローテーブル204と、攻撃検出アルゴリズムパラメータテーブル205と、攻撃宛先アドレステーブル206と、パケットサンプリングデータデータベース202の情報からフローテーブル204を構築し、フローテーブル204を使って攻撃トラヒックを検出し、攻撃トラヒックの宛先アドレスを攻撃宛先アドレステーブル206に書き込む攻撃トラヒック検出部203と、攻撃トラヒックを検出した場合、攻撃トラヒック迂回指示装置51に、攻撃宛先アドレスを含む警告をあげる攻撃トラヒック検出通知部207から構成される。
図12に図8の従来のシステムのシーケンス図を示す。攻撃コンピュータ1は被攻撃コンピュータ2にトラヒック6を送信開始したとする(ステップ1001)。攻撃トラヒック検出装置41は、ルータ33とルータ34からのサンプリングデータ73、74を検査し、トラヒック6が攻撃トラヒックであることを検出すると(ステップ1002)、攻撃トラヒック迂回指示装置51にトラヒック6の宛先アドレスを含む攻撃トラヒックの検出通知をあげる(ステップ1003)。これを受けた被疑トラヒック迂回指示装置51は、ルータ33、34に対し被攻撃コンピュータ2宛へのトラヒック6を攻撃トラヒック対処装置52に迂回するよう指示する(ステップ1004、1006)。迂回指示を受けたルータ33、34は、コンピュータ2宛へのトラヒック6を攻撃トラヒック対処装置52に迂回させる(ステップ1005、1007)。トラヒック6を受信した攻撃トラヒック対処装置52は、そのトラヒックを分析し、悪意トラヒックをフィルターする(ステップ1008)。なお、図9において、トラヒック5は攻撃トラヒック検出装置41によって攻撃トラヒックであると検出されなかったトラヒックで、ルータ33、34を経て被攻撃コンピュータ2に送られる。
次に、攻撃トラヒック検出装置41での攻撃トラヒック検出アルゴリズムを説明する。ここでは非特許文献5において記述されているアルゴリズムである「宛先IPアドレスごとに集約したフローのレートが閾値を超えた場合攻撃フローと判断する」を使用しているものとする。
図13と表1に、それぞれパケットサンプリングデータデータベース202とフローテーブル204の例を示す。なお、これらの例では、周期については、本質的に本発明に関係しないため、省略している。
表2に、攻撃検出アルゴリズムパラメータテーブル205の例を示す。この例では、攻撃フローと判断する攻撃レート値をTsとしている。
図14、図15に攻撃トラヒック検出アルゴリズムを示す。このアルゴリズムは、ある周期ごとに実行されていると仮定する。
攻撃トラヒック検出部203はパケットサンプリングデータデータベース202内のすべてのフローにおいて、以下の処理を行う(図14)。
・宛先IPアドレスとそのパケットレートを取得し、それぞれSA、PRとする(ステップ2001)。
・フローテーブル204内で、SAと一致する宛先IPアドレスを持つ要素があるか調べる(ステップ2002)。
・要素がない場合は、フローテーブル204内に要素を追加し、総レート値を0、状態を「正常」とする(ステップ2003)。
・宛先IPアドレスとそのパケットレートを取得し、それぞれSA、PRとする(ステップ2001)。
・フローテーブル204内で、SAと一致する宛先IPアドレスを持つ要素があるか調べる(ステップ2002)。
・要素がない場合は、フローテーブル204内に要素を追加し、総レート値を0、状態を「正常」とする(ステップ2003)。
フローテーブル204内の状態が「正常」であるすべての要素内において、以下の処理を行う(図15)。
・総レート値を取得して、RPCとする(ステップ2004)。
・RPC+PR>Tsの場合、以下の処理を行う。
・総レート値を取得して、RPCとする(ステップ2004)。
・RPC+PR>Tsの場合、以下の処理を行う。
− 該当する要素の攻撃状態を「攻撃」とする(ステップ2005)。
− 該当する要素の宛先IPアドレスを取得し、攻撃宛先アドレステーブル206に追加する(ステップ2006)。
・該当する要素の総レート値をRPC+PRとする(ステップ2007)。
・該当する要素の総レート値をRPC+PRとする(ステップ2007)。
表3に攻撃宛先アドレステーブル206の例を示す。
この例では、宛先IPアドレスα.β.γ.εのパケットレートの総和X+W、ならびに宛先IPアドレスa.b.c.dのパケットレートの総和Y+VTh以上となるため、IPアドレスα.β.γ.ε、a.b.c.d宛のフローは攻撃フローとしている。
"Deflector Shield", Packet Vol.16, No.3, pp.28-31, Third Quarter 2004, Cisco Systems, http://www.cisco.com/warp/public/784/packet/aug04/pdfs/tech_security.pdf "Riverhead/Arbor/Cisco NIDS/IPS", Cisco Systems, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns441/c714/cdccont_0900aecd8013402e.pdf "NetFlow gives network managers a detailed view of application flows on the network", Cisco Systems, http://www.arbornetworks.com/downloads/Cisco_IT_Case_Study_Netflow.pdf "新・情報通信早わかり講座"、井上 伸雄他、日系BP出版センター、pp.224、1999年 "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms", J. Mirkovicら著 ACM SIGCOMM Computer Communication Review, Volume 34, Issue 2 (April 2004) Pages: 39-53
"Deflector Shield", Packet Vol.16, No.3, pp.28-31, Third Quarter 2004, Cisco Systems, http://www.cisco.com/warp/public/784/packet/aug04/pdfs/tech_security.pdf "Riverhead/Arbor/Cisco NIDS/IPS", Cisco Systems, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns441/c714/cdccont_0900aecd8013402e.pdf "NetFlow gives network managers a detailed view of application flows on the network", Cisco Systems, http://www.arbornetworks.com/downloads/Cisco_IT_Case_Study_Netflow.pdf "新・情報通信早わかり講座"、井上 伸雄他、日系BP出版センター、pp.224、1999年 "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms", J. Mirkovicら著 ACM SIGCOMM Computer Communication Review, Volume 34, Issue 2 (April 2004) Pages: 39-53
悪意トラヒックと被疑トラヒックを含む攻撃トラヒックをある装置へ迂回させて、迂回先での装置(攻撃トラヒック対処装置)において悪意トラヒックを検出し対処する上記の従来技術では、攻撃トラヒック対処装置数が少ない場合、迂回トラヒックが攻撃トラヒック対処装置に集中し、その装置で輻輳が発生する場合があるという、問題があった。
本発明の目的は、攻撃トラヒック対処装置での輻輳発生を抑制する攻撃トラヒック防御システムを提供することにある。
上記目的を達成するために、本発明の攻撃トラヒック防御システムは、攻撃トラヒックを悪意トラヒックと被疑トラヒックとに区別する手段と、被疑トラックを対処装置へ迂回させ、悪意トラヒックの廃棄を、該トラヒックが疎通する、ネットワークに接続されている中継装置に指示する手段とを有する。
本発明は、攻撃トラヒック(正常でないトラヒック)を悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックとを区別し、悪意トラヒックについては対処装置への迂回は行わず、迂回するのは、被疑トラヒックのみとしている。具体的には、途中の中継装置でトラヒックをサンプリングし、その情報を分析する装置(悪意・被疑トラヒック検出装置)へ転送する。あるコンピュータに攻撃があると、悪意・被疑トラヒック検出装置では、トラヒックを分析し、ここで、悪意か被疑かを区別する。悪意トラヒックの場合は、そのトラヒックが疎通する中継ルータを特定し、その中継ルータに悪意トラヒックが疎通していることと、トラヒックを特定する情報を転送する。被疑トラヒックは対処装置へ迂回し、さらに詳細に分析される。このように、悪意トラヒックが対処装置へ転送されないため、対処装置が輻輳状態にならない。
本発明によれば、悪意トラヒックは、攻撃トラヒック対処装置に迂回させないため、攻撃トラヒック対処装置での輻輳発生を抑制できる効果がある。
次に、本発明の実施の形態について図面を参照して説明する。
[第1の実施形態]
図1は本発明の第1の実施形態による攻撃トラヒック防御システムのブロック図である。
図1は本発明の第1の実施形態による攻撃トラヒック防御システムのブロック図である。
本実施形態の攻撃トラヒック防御システムでは、図9の従来のシステムでの攻撃トラヒック検出装置41、42の代りに、悪意・被疑トラヒック検出装置3041、3042をそれぞれ備えている。
図2は悪意・被疑トラヒック検出装置3041、3042のブロック図、図3はルータ3001、3002の構成図である。
悪意・被疑トラヒック検出装置3041、3042では、図11の従来の攻撃トラヒック検出装置41、42の攻撃トラヒック検出部203の代りに悪意・被疑トラヒック検出部301を、攻撃検出アルゴリズムパラメータテーブル205の代りに悪意・被疑検出アルゴリズムパラメータテーブル302を備えている。さらに、悪意攻撃宛先アドレステーブル303と、悪意トラヒックの検出をルータに通知し、悪意トラヒックの廃棄を指示する悪意トラヒック検出通知部304が追加されている。また、攻撃トラヒック検出通知部207の代りに悪意除外被疑トラヒック検出通知部305を備えている。また、ルータ3001、3002には、悪意・被疑トラヒック検出装置3041、3042の悪意トラヒック検出通知部304から指定された廃棄対象パケットの情報が記されたフィルタリングテーブル411が追加されている。
表4に悪意・被疑検出アルゴリズムパラメータテーブル302の例、表5に悪意攻撃宛先アドレステーブル303の例、表6に被疑攻撃宛先アドレステーブル206の例を示す。
図4は、本実施形態での悪意・被疑検出アルゴリズムを示すフローチャートである。本実施形態でのアルゴリズムは、従来の技術で説明した2003まで同じである。以下、それ以降について説明する。
悪意・被疑トラヒック検出部301はフローテーブル204内の状態が「正常」であるすべての要素内において、以下の処理を行う。
・総レート値を取得して、RPCとする(ステップ2014)。
・RPC+PR>Tbの場合、以下の処理を行う。
・総レート値を取得して、RPCとする(ステップ2014)。
・RPC+PR>Tbの場合、以下の処理を行う。
− 該当する要素の悪意・被疑攻撃状態を「悪意」とする(ステップ2015)。
− 該当する要素の宛先IPアドレスを取得し、悪意攻撃宛先アドレステーブル303に追加する(ステップ2016)。
・Tb>RPC+PR>Tsの場合、以下の処理を行う。
・Tb>RPC+PR>Tsの場合、以下の処理を行う。
− 該当する要素の悪意・被疑攻撃状態を「被疑」とする(ステップ2017)。
− 該当する要素の宛先IPアドレスを取得し、被疑攻撃宛先アドレステーブル206に追加する(ステップ2018)。
・該当する要素の総レート値をRPC+PRとする(ステップ2019)。
・該当する要素の総レート値をRPC+PRとする(ステップ2019)。
悪意除外被疑トラヒック検出通知部305は、被疑攻撃宛先アドレステーブル206にだけアクセスし、被疑攻撃宛先アドレス情報を被疑トラヒック迂回指示装置51に通知する。
図1において、トラヒック6は悪意・被疑トラヒック検出装置3041で被疑トラヒックと判定され、被疑トラヒック迂回指示装置51の迂回指示によりルータ3002から攻撃トラヒック対処装置52の方へ迂回させられる。一方、トラヒック5は悪意・被疑トラヒック検出装置3041で悪意トラヒックと判定され、悪意・被疑トラヒック検出装置3041からの悪意トラヒック廃棄指示で、ルータ3001のところで破棄される。
[第2の実施形態]
図5は本発明の第2の実施形態による攻撃トラヒック防御システムのブロック図、図6は悪意・被疑トラヒック検出装置4041、4042のブロック図である。
図5は本発明の第2の実施形態による攻撃トラヒック防御システムのブロック図、図6は悪意・被疑トラヒック検出装置4041、4042のブロック図である。
図5に示すように、本実施形態では、ルータ3003、3004はいずれもポートA、B、Cを有しており、指定されたポート番号のポートから流入し、かつ悪意攻撃宛先アドレスを有するパケットを廃棄する。
本発明のために、悪意・被疑トラヒック検出装置4042にパケットサンプリングデータ3073,3074を送信するルータ3003、3004は、そのデータとともにそのデータが進入した回線のポート番号とルータの番号を通知する。例えば、シスコ社のルータの製品に具備されているNetFlowの機能を使えばこの通知機能を実現できる(http://www.cisco.com/warp/public/cc/pd/iosw/ioft/neflct/tech/napps_wp.htm参照)。
悪意・被疑トラヒック検出装置4041、4042は、第1の実施形態で説明したパケットサンプリングデータデータベース202の代りに3202を、悪意攻撃宛先アドレステーブル303の代りに3303を備えている。
図6と表7に、本実施形態でのパケットサンプリングデータデータベース3202と悪意攻撃宛先アドレステーブル3303をそれぞれ示す。
本実施形態の悪意・被疑検出アルゴリズムは、第1の実施形態の悪意・被疑検出アルゴリズムのステップ2016の代りに次の処理を行う。
・パケットサンプリングデータデータベース3202において、該当するIPアドレスとマッチするルータ番号とポート番号を取得する。
・該IPアドレス、ルータ番号、ポート番号をもつ要素を悪意攻撃宛先アドレステーブル3303に追加する。
・パケットサンプリングデータデータベース3202において、該当するIPアドレスとマッチするルータ番号とポート番号を取得する。
・該IPアドレス、ルータ番号、ポート番号をもつ要素を悪意攻撃宛先アドレステーブル3303に追加する。
[第3の実施形態]
図8は本実施形態の各事業者間のシーケンスを示している。
図8は本実施形態の各事業者間のシーケンスを示している。
本実施形態において、インターネットサービス提供事業者5000は攻撃トラヒックが発生するインターネットサービスを提供し、インターネットサービス利用者5001はそのサービスの利用者であり、攻撃対処事業者5002は攻撃対処を行う。
インターネットサービス提供事業者5000は、ルータ3001、3002を有するインターネットを管理する。さらに、インターネットサービス利用者を管理するインターネットサービス利用者管理装置5100とインターネットサービス利用者のデータベース5101を所有する。インターネットサービス利用者5001は、図9に示した被攻撃コンピュータ2を所有している。攻撃対処事業者5002は、図1に示した悪意・被疑トラヒック検出装置3041、3042、攻撃トラヒック迂回指示装置51、攻撃トラヒック対処装置52を管理する。さらに、攻撃対処サービスを管理する攻撃対処サービス管理装置5200と攻撃対処サービス利用者のデータベース5201を所有している。
まず、インターネットサービス利用者5001は、利用しているコンピュータ2が攻撃を受けていると認識した場合、インターネットサービス提供事業者5000に攻撃対処依頼を被攻撃コンピュータ2から行なう(ステップ5011)。それを受けた事業者5000は、インターネットサービス利用者管理装置5100を通して、インターネットサービス利用者管理データベース5101にそのサービス利用を記録する。また、攻撃対処事業者5002に対しインターネットサービス利用者管理装置5100を通して攻撃対処依頼を行なう(ステップ5012)。それを受けた攻撃対処事業者5002では、攻撃対処サービス管理装置5200を通して、攻撃対処サービス利用者管理データベース5201にそのサービス利用を記録する。また、攻撃対処サービス管理装置5200を通して、第1、第2の実施形態で説明した手段により、攻撃トラヒックを対処するとともに対処費を請求する(ステップ5013)。それを受けたインターネットサービス提供事業者5000は、攻撃対処結果を、インターネットサービス利用者管理装置5100を通して、インターネットサービス利用者管理データベース5101に記録し、インターネットサービス利用者5001に提供するとともに対処費を請求する(ステップ5014)。
これに従い、インターネットサービス利用者5001は対処費をインターネットサービス事業者5000に、インターネットサービス事業者5000は、攻撃対処事業者5002に対処費を支払う(ステップ5015、5016に対応する)。インターネットサービス利用者5001から対処査費を受領したインターネットサービス提供事業者5000は、インターネットサービス利用者管理装置5100を通して、インターネットサービス利用者管理データベース5101にその支払い情報を記録する。インターネットサービス提供事業者5000から対処費を受領した攻撃対処事業者5002では、攻撃対処サービス管理装置5200を通して、攻撃対処サービス利用者のデータベース5201にその支払い情報を記録する。
1 攻撃コンピュータ
2 被攻撃コンピュータ
3 ルータ群
4 攻撃トラヒック防御装置群
5、6 トラヒック
31〜34 ルータ
51 被疑トラヒック迂回指示装置
52 攻撃トラヒック対処装置
71〜74 サンプリングデータ
201 パケットサンプリングデータ取得部
202 パケットサンプリングデータデータベース
204 フローテーブル
206 被疑攻撃宛先アドレステーブル
301 悪意・被疑トラヒック検出部
302 悪意・被疑検出アルゴリズムパラメータテーブル
303 悪意攻撃宛先アドレステーブル
304 悪意トラヒック検出通知部
305 悪意除外被疑トラヒック検出通知部
411 フィルタリングテーブル
2014〜2019 ステップ
3001〜3004 ルータ
3041、3042 悪意・被疑トラヒック検出装置
3051 悪意トラヒック迂回指示装置
3073、3074 サンプリングデータ
5000 インターネットサービス提供事業者
5001 インターネットサービス利用者
5002 攻撃対処事業者
5011〜5016 ステップ
5100 インターネットサービス利用者管理装置
5101 インターネットサービス利用者管理データベース
5200 攻撃対処サービス管理装置
5201 攻撃対処サービス利用者管理データベース
2 被攻撃コンピュータ
3 ルータ群
4 攻撃トラヒック防御装置群
5、6 トラヒック
31〜34 ルータ
51 被疑トラヒック迂回指示装置
52 攻撃トラヒック対処装置
71〜74 サンプリングデータ
201 パケットサンプリングデータ取得部
202 パケットサンプリングデータデータベース
204 フローテーブル
206 被疑攻撃宛先アドレステーブル
301 悪意・被疑トラヒック検出部
302 悪意・被疑検出アルゴリズムパラメータテーブル
303 悪意攻撃宛先アドレステーブル
304 悪意トラヒック検出通知部
305 悪意除外被疑トラヒック検出通知部
411 フィルタリングテーブル
2014〜2019 ステップ
3001〜3004 ルータ
3041、3042 悪意・被疑トラヒック検出装置
3051 悪意トラヒック迂回指示装置
3073、3074 サンプリングデータ
5000 インターネットサービス提供事業者
5001 インターネットサービス利用者
5002 攻撃対処事業者
5011〜5016 ステップ
5100 インターネットサービス利用者管理装置
5101 インターネットサービス利用者管理データベース
5200 攻撃対処サービス管理装置
5201 攻撃対処サービス利用者管理データベース
Claims (9)
- 悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックを含む攻撃トラヒックと、正常トラヒックとを区別し、該攻撃トラヒックを迂回させ、迂回先装置で該攻撃トラヒックを分析し、該攻撃トラヒックを対処装置で対処する攻撃トラヒック防御システムにおいて、
前記攻撃トラヒックを悪意トラヒックと被疑トラヒックとに区別する手段と、
前記被疑トラックを前記対処装置へ迂回させ、前記悪意トラヒックの廃棄を、該トラヒックが疎通する、ネットワークに接続されている中継装置に指示する手段と
を有することを特徴とする攻撃トラヒック防御システム。 - 前記の区別する手段が、ネットワークもしくはネットワークを中継する装置を疎通するトラヒックのパケット数を周期毎にカウントする手段と、カウントされた値が閾値以上の時、その指定された単位のトラヒックを悪意トラヒックと判断する手段を含む、請求項1に記載の攻撃トラヒック防御システム。
- 前記の悪意トラヒックと判断する手段が、第1の閾値と、第1の閾値よりも小さい第2の閾値を有し、カウントされた値が該第1の閾値以上のトラヒックを悪意トラヒックと判断し、カウントされた値が該第1の閾値未満、かつ該第2の閾値以上の時、被疑トラヒックと判断する手段を含む、請求項2に記載の攻撃トラヒック防御システム。
- 前記悪意トラヒックが疎通するネットワークに接続されている中継装置を特定する手段をさらに有する、請求項1から3のいずれかに記載の攻撃トラヒック防御システム。
- 前記の中継装置を特定する手段が、前記悪意トラヒックを特定する装置に、トラヒックが疎通している中継装置の情報を通知する手段と、該中継装置の中から悪意トラヒックが疎通する中継装置を特定する手段を含む、請求項4に記載の攻撃トラヒック防御システム。
- 前記の中継装置の情報を通知する手段が、前記悪意トラヒックを特定する装置に、トラヒックが進入している回線の情報を通知する手段を含み、前記の悪意トラヒックが疎通する中継装置を特定する手段が、前記回線の中から悪意トラヒックが進入する回線を特定する手段を含む、請求項4に記載の攻撃トラヒック防御システム。
- 前記中継装置に悪意トラヒックの対処を指示する手段をさらに含む、請求項5または6に記載の攻撃トラヒック防御システム。
- 請求項1から7のいずれかに記載の攻撃トラヒック防御システムにおいて、
攻撃トラヒックが発生するネットワークサービスの利用者が該サービスの提供事業者に攻撃対処を依頼するための手段と、
該ネットワークサービス提供事業者が攻撃トラヒックを対処する事業者に攻撃対処を依頼するための手段と、
攻撃トラヒックを対処する該事業者が、該ネットワークサービス提供事業者に攻撃対処費を請求するための手段と、
該ネットワークサービス提供事業者が、その攻撃対処費に基づき、該ネットワークサービス利用者に攻撃対処費を請求するための手段と
を有することを特徴とする攻撃トラヒック防御システム。 - 悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックを含む攻撃トラヒックと、正常トラヒックとを区別し、該攻撃トラヒックを迂回させ、迂回先装置で該攻撃トラヒックを分析し、該攻撃トラヒックを対処装置で対処する攻撃トラヒック防御方法において、
前記攻撃トラヒックを悪意トラヒックと被疑トラヒックとに区別するステップと、
前記被疑トラックを前記対処装置へ迂回させ、前記悪意トラヒックの廃棄を、該トラヒックが疎通する、ネットワークに接続されている中継装置に指示するステップと
を有することを特徴とする攻撃トラヒック防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005166383A JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005166383A JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006345014A true JP2006345014A (ja) | 2006-12-21 |
Family
ID=37641666
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005166383A Pending JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006345014A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
| JP2018133753A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 対処制御システム及び対処制御方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000244494A (ja) * | 1999-02-19 | 2000-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック観測方法及び装置 |
| JP2003099339A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 侵入検知・防御装置及びプログラム |
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
| JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
| JP2005085157A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
| JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
-
2005
- 2005-06-07 JP JP2005166383A patent/JP2006345014A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
| JP2000244494A (ja) * | 1999-02-19 | 2000-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック観測方法及び装置 |
| JP2003099339A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 侵入検知・防御装置及びプログラム |
| JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
| JP2005085157A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
| JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
| JP2018133753A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 対処制御システム及び対処制御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| RU2683486C1 (ru) | Способ и устройство для защиты от сетевых атак | |
| US11729144B2 (en) | Efficient packet capture for cyber threat analysis | |
| US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| US10038671B2 (en) | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows | |
| CN105991637A (zh) | 网络攻击的防护方法和装置 | |
| EP1873992A1 (en) | Packet classification in a network security device | |
| US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
| KR101067781B1 (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
| US20110179479A1 (en) | System and method for guarding against dispersed blocking attacks | |
| CN107733878A (zh) | 一种工业控制系统的安全防护装置 | |
| EP2321934B1 (en) | System and device for distributed packet flow inspection and processing | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| Haggerty et al. | DiDDeM: a system for early detection of TCP SYN flood attacks | |
| KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
| JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
| JP2006345014A (ja) | 攻撃トラヒック防御システムおよび方法 | |
| JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
| CN101300807B (zh) | 对于通信网络的网络接入节点计算机、通信系统以及操作通信系统的方法 | |
| JP2004164107A (ja) | 不正アクセス監視システム | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| KR100427179B1 (ko) | 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템 | |
| JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
| JP2016152549A (ja) | ゲートウェイシステム | |
| JP2006050442A (ja) | トラヒック監視方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061129 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071003 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091015 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091028 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091207 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100407 |