JP2006345014A - 攻撃トラヒック防御システムおよび方法 - Google Patents
攻撃トラヒック防御システムおよび方法 Download PDFInfo
- Publication number
- JP2006345014A JP2006345014A JP2005166383A JP2005166383A JP2006345014A JP 2006345014 A JP2006345014 A JP 2006345014A JP 2005166383 A JP2005166383 A JP 2005166383A JP 2005166383 A JP2005166383 A JP 2005166383A JP 2006345014 A JP2006345014 A JP 2006345014A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- attack
- malicious
- attack traffic
- protection system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【解決手段】悪意・被疑トラヒック検出装置3041は、攻撃コンピュータ1から被攻撃コンピュータ2へ送られるトラヒックをサンプリングしたサンプリングデータ71、72をルータ31、32から受け取り、所定のアルゴリズムにより、トラヒックが悪意トラヒックか被疑トラヒックを判定する。悪意トラヒックの場合、ルータ31に悪意トラヒック廃棄指示を出し、ルータ31はトラヒックを廃棄する。被疑トラヒックの場合、該トラヒックはルータ32、33を通って攻撃トラヒック対処装置52に送られ、分析される。
【選択図】図1
Description
・宛先IPアドレスとそのパケットレートを取得し、それぞれSA、PRとする(ステップ2001)。
・フローテーブル204内で、SAと一致する宛先IPアドレスを持つ要素があるか調べる(ステップ2002)。
・要素がない場合は、フローテーブル204内に要素を追加し、総レート値を0、状態を「正常」とする(ステップ2003)。
・総レート値を取得して、RPCとする(ステップ2004)。
・RPC+PR>Tsの場合、以下の処理を行う。
・該当する要素の総レート値をRPC+PRとする(ステップ2007)。
"Deflector Shield", Packet Vol.16, No.3, pp.28-31, Third Quarter 2004, Cisco Systems, http://www.cisco.com/warp/public/784/packet/aug04/pdfs/tech_security.pdf "Riverhead/Arbor/Cisco NIDS/IPS", Cisco Systems, http://www.cisco.com/application/pdf/en/us/guest/netsol/ns441/c714/cdccont_0900aecd8013402e.pdf "NetFlow gives network managers a detailed view of application flows on the network", Cisco Systems, http://www.arbornetworks.com/downloads/Cisco_IT_Case_Study_Netflow.pdf "新・情報通信早わかり講座"、井上 伸雄他、日系BP出版センター、pp.224、1999年 "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms", J. Mirkovicら著 ACM SIGCOMM Computer Communication Review, Volume 34, Issue 2 (April 2004) Pages: 39-53
図1は本発明の第1の実施形態による攻撃トラヒック防御システムのブロック図である。
・総レート値を取得して、RPCとする(ステップ2014)。
・RPC+PR>Tbの場合、以下の処理を行う。
・Tb>RPC+PR>Tsの場合、以下の処理を行う。
・該当する要素の総レート値をRPC+PRとする(ステップ2019)。
図5は本発明の第2の実施形態による攻撃トラヒック防御システムのブロック図、図6は悪意・被疑トラヒック検出装置4041、4042のブロック図である。
・パケットサンプリングデータデータベース3202において、該当するIPアドレスとマッチするルータ番号とポート番号を取得する。
・該IPアドレス、ルータ番号、ポート番号をもつ要素を悪意攻撃宛先アドレステーブル3303に追加する。
図8は本実施形態の各事業者間のシーケンスを示している。
2 被攻撃コンピュータ
3 ルータ群
4 攻撃トラヒック防御装置群
5、6 トラヒック
31〜34 ルータ
51 被疑トラヒック迂回指示装置
52 攻撃トラヒック対処装置
71〜74 サンプリングデータ
201 パケットサンプリングデータ取得部
202 パケットサンプリングデータデータベース
204 フローテーブル
206 被疑攻撃宛先アドレステーブル
301 悪意・被疑トラヒック検出部
302 悪意・被疑検出アルゴリズムパラメータテーブル
303 悪意攻撃宛先アドレステーブル
304 悪意トラヒック検出通知部
305 悪意除外被疑トラヒック検出通知部
411 フィルタリングテーブル
2014〜2019 ステップ
3001〜3004 ルータ
3041、3042 悪意・被疑トラヒック検出装置
3051 悪意トラヒック迂回指示装置
3073、3074 サンプリングデータ
5000 インターネットサービス提供事業者
5001 インターネットサービス利用者
5002 攻撃対処事業者
5011〜5016 ステップ
5100 インターネットサービス利用者管理装置
5101 インターネットサービス利用者管理データベース
5200 攻撃対処サービス管理装置
5201 攻撃対処サービス利用者管理データベース
Claims (9)
- 悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックを含む攻撃トラヒックと、正常トラヒックとを区別し、該攻撃トラヒックを迂回させ、迂回先装置で該攻撃トラヒックを分析し、該攻撃トラヒックを対処装置で対処する攻撃トラヒック防御システムにおいて、
前記攻撃トラヒックを悪意トラヒックと被疑トラヒックとに区別する手段と、
前記被疑トラックを前記対処装置へ迂回させ、前記悪意トラヒックの廃棄を、該トラヒックが疎通する、ネットワークに接続されている中継装置に指示する手段と
を有することを特徴とする攻撃トラヒック防御システム。 - 前記の区別する手段が、ネットワークもしくはネットワークを中継する装置を疎通するトラヒックのパケット数を周期毎にカウントする手段と、カウントされた値が閾値以上の時、その指定された単位のトラヒックを悪意トラヒックと判断する手段を含む、請求項1に記載の攻撃トラヒック防御システム。
- 前記の悪意トラヒックと判断する手段が、第1の閾値と、第1の閾値よりも小さい第2の閾値を有し、カウントされた値が該第1の閾値以上のトラヒックを悪意トラヒックと判断し、カウントされた値が該第1の閾値未満、かつ該第2の閾値以上の時、被疑トラヒックと判断する手段を含む、請求項2に記載の攻撃トラヒック防御システム。
- 前記悪意トラヒックが疎通するネットワークに接続されている中継装置を特定する手段をさらに有する、請求項1から3のいずれかに記載の攻撃トラヒック防御システム。
- 前記の中継装置を特定する手段が、前記悪意トラヒックを特定する装置に、トラヒックが疎通している中継装置の情報を通知する手段と、該中継装置の中から悪意トラヒックが疎通する中継装置を特定する手段を含む、請求項4に記載の攻撃トラヒック防御システム。
- 前記の中継装置の情報を通知する手段が、前記悪意トラヒックを特定する装置に、トラヒックが進入している回線の情報を通知する手段を含み、前記の悪意トラヒックが疎通する中継装置を特定する手段が、前記回線の中から悪意トラヒックが進入する回線を特定する手段を含む、請求項4に記載の攻撃トラヒック防御システム。
- 前記中継装置に悪意トラヒックの対処を指示する手段をさらに含む、請求項5または6に記載の攻撃トラヒック防御システム。
- 請求項1から7のいずれかに記載の攻撃トラヒック防御システムにおいて、
攻撃トラヒックが発生するネットワークサービスの利用者が該サービスの提供事業者に攻撃対処を依頼するための手段と、
該ネットワークサービス提供事業者が攻撃トラヒックを対処する事業者に攻撃対処を依頼するための手段と、
攻撃トラヒックを対処する該事業者が、該ネットワークサービス提供事業者に攻撃対処費を請求するための手段と、
該ネットワークサービス提供事業者が、その攻撃対処費に基づき、該ネットワークサービス利用者に攻撃対処費を請求するための手段と
を有することを特徴とする攻撃トラヒック防御システム。 - 悪意トラヒックと、悪意トラヒックの疑いのある被疑トラヒックを含む攻撃トラヒックと、正常トラヒックとを区別し、該攻撃トラヒックを迂回させ、迂回先装置で該攻撃トラヒックを分析し、該攻撃トラヒックを対処装置で対処する攻撃トラヒック防御方法において、
前記攻撃トラヒックを悪意トラヒックと被疑トラヒックとに区別するステップと、
前記被疑トラックを前記対処装置へ迂回させ、前記悪意トラヒックの廃棄を、該トラヒックが疎通する、ネットワークに接続されている中継装置に指示するステップと
を有することを特徴とする攻撃トラヒック防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005166383A JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005166383A JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006345014A true JP2006345014A (ja) | 2006-12-21 |
Family
ID=37641666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005166383A Pending JP2006345014A (ja) | 2005-06-07 | 2005-06-07 | 攻撃トラヒック防御システムおよび方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006345014A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
JP2018133753A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 対処制御システム及び対処制御方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000244494A (ja) * | 1999-02-19 | 2000-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック観測方法及び装置 |
JP2003099339A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 侵入検知・防御装置及びプログラム |
JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
JP2005085157A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
-
2005
- 2005-06-07 JP JP2005166383A patent/JP2006345014A/ja active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003524925A (ja) * | 1998-12-09 | 2003-08-19 | ネットワーク アイス コーポレイション | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
JP2000244494A (ja) * | 1999-02-19 | 2000-09-08 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック観測方法及び装置 |
JP2003099339A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 侵入検知・防御装置及びプログラム |
JP2004120498A (ja) * | 2002-09-27 | 2004-04-15 | Nippon Telegr & Teleph Corp <Ntt> | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
JP2005085157A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置、不正アクセス検出方法、および管理端末 |
JP2005130190A (ja) * | 2003-10-23 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃パケット防御システム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
JP2018133753A (ja) * | 2017-02-16 | 2018-08-23 | 日本電信電話株式会社 | 対処制御システム及び対処制御方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
RU2683486C1 (ru) | Способ и устройство для защиты от сетевых атак | |
US11729144B2 (en) | Efficient packet capture for cyber threat analysis | |
US7832009B2 (en) | Techniques for preventing attacks on computer systems and networks | |
US10038671B2 (en) | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows | |
CN105991637A (zh) | 网络攻击的防护方法和装置 | |
EP1873992A1 (en) | Packet classification in a network security device | |
US7876676B2 (en) | Network monitoring system and method capable of reducing processing load on network monitoring apparatus | |
KR101067781B1 (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US20110179479A1 (en) | System and method for guarding against dispersed blocking attacks | |
CN107733878A (zh) | 一种工业控制系统的安全防护装置 | |
EP2321934B1 (en) | System and device for distributed packet flow inspection and processing | |
JP2005210601A (ja) | 不正侵入検知装置 | |
Haggerty et al. | DiDDeM: a system for early detection of TCP SYN flood attacks | |
KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
JP2006191433A (ja) | 踏み台パケット・進入中継装置特定装置 | |
JP2006345014A (ja) | 攻撃トラヒック防御システムおよび方法 | |
JP2006067078A (ja) | ネットワークシステムおよび攻撃防御方法 | |
CN101300807B (zh) | 对于通信网络的网络接入节点计算机、通信系统以及操作通信系统的方法 | |
JP2004164107A (ja) | 不正アクセス監視システム | |
KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
KR100427179B1 (ko) | 패킷 필터링을 이용한 아이에스피 보더 라우터의 공격자차단 방법 및 그 시스템 | |
JP2004328307A (ja) | 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法 | |
JP2016152549A (ja) | ゲートウェイシステム | |
JP2006050442A (ja) | トラヒック監視方法及びシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20061129 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071003 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091015 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091028 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091207 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100407 |