JP2007129482A - ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム - Google Patents

ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム Download PDF

Info

Publication number
JP2007129482A
JP2007129482A JP2005320037A JP2005320037A JP2007129482A JP 2007129482 A JP2007129482 A JP 2007129482A JP 2005320037 A JP2005320037 A JP 2005320037A JP 2005320037 A JP2005320037 A JP 2005320037A JP 2007129482 A JP2007129482 A JP 2007129482A
Authority
JP
Japan
Prior art keywords
packet
attack
network
defense
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005320037A
Other languages
English (en)
Inventor
Yasuhiro Satake
康宏 佐竹
Hiroshi Kuragami
弘 倉上
Kazuhiro Okura
一浩 大倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005320037A priority Critical patent/JP2007129482A/ja
Publication of JP2007129482A publication Critical patent/JP2007129482A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】パケットの宛先アドレスからは攻撃先を特定することができない攻撃、あるいは、攻撃先の特定が容易ではなく特定に時間がかかる攻撃から通信機器を防御すること。
【解決手段】防御装置が攻撃情報に基づいて攻撃の容疑があるパケットを抽出するためのシグネチャを生成して生成したシグネチャを含んだパケット転送指示を中継装置に対して通知し、中継装置が中継装置から受信したシグネチャに該当するパケットを防御装置に転送し、防御装置が中継装置から転送されたパケットのフィルタリングをおこなうよう構成する。
【選択図】 図1

Description

この発明は、ネットワークを介してパケットを中継する中継装置と、ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラムに関し、特に、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラムに関する。
従来、ネットワークに接続されたサーバ装置などの通信機器に対する攻撃(たとえば、DoS(Denial of Service)攻撃あるいはDDos(Distributed Denial of Service)攻撃)を防御するネットワーク攻撃防御システムが知られている。
そして、かかるネットワーク攻撃防御システムの中には、通信パケットを中継するルータなどの中継装置とは別に攻撃パケットのフィルタリングを行う防御装置を設け、中継装置および防御装置が協調動作することによってネットワーク攻撃を防御するシステムが存在する。
たとえば、特許文献1には、攻撃の攻撃対象となるサーバ装置を防御するための防御装置をネットワーク上に備えることとし、サーバ装置に対する攻撃が検出された場合に、防御装置が攻撃対象となるサーバ装置宛パケットを自装置に経由させるための経路情報を所定の中継装置に通知し、自装置に経由されたパケットのフィルタリングを行ってフィルタリング後のパケットを中継装置に戻す技術が開示されている。
米国特許出願公開第2002/0083175号明細書(第10−12頁)
しかしながら、特許文献1の技術は、攻撃対象のサーバ装置(以下、「被攻撃サーバ」と記載する)のアドレスがパケットの宛先アドレスに指定されている攻撃には有用であるものの、パケットの宛先アドレスからは被攻撃サーバを特定することができない攻撃、あるいは、被攻撃サーバの特定が容易ではなく特定に時間がかかる攻撃に対処することができないという問題があった。
したがって、従来技術によれば、上記した各攻撃に備えるために被攻撃サーバごとのトラヒックを監視せざるをえないことから監視作業が負担となるとともに、攻撃を確実に防御することができなかった。
これらのことから、パケットの宛先アドレスからは被攻撃サーバを特定することができない攻撃、あるいは、被攻撃サーバの特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるネットワーク攻撃防御手法をいかにして実現するかが大きな課題となっている。
この発明は、上述した従来技術による問題点を解消するためになされたものであって、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、請求項1に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御方法であって、前記防御装置が、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知工程と、前記中継装置が、前記パケット転送指示通知工程によって通知された前記シグネチャに該当するパケットを前記防御装置に転送するパケット転送工程と、前記防御装置が、前記パケット転送工程によって転送されたパケットのフィルタリングを行うフィルタ工程とを含んだことを特徴とする。
また、請求項2に係る発明は、上記の発明において、前記パケット転送指示通知工程は、前記攻撃情報に基づいて前記パケット転送指示の通知先となる少なくとも1つの中継装置を選択し、選択した当該中継装置に対して自装置への経路情報を含んだ前記パケット転送指示を通知することを特徴とする。
また、請求項3に係る発明は、上記の発明において、前記フィルタ工程は、フィルタリング後のパケットを当該パケットの転送元となる中継装置に戻すことを特徴とする。
また、請求項4に係る発明は、上記の発明において、前記フィルタ工程は、フィルタリング後のパケットの転送先を複数の中継装置の中から選択したうえで選択した当該中継装置に対して当該パケットを転送することを特徴とする。
また、請求項5に係る発明は、上記の発明において、前記フィルタ工程は、前記パケット転送工程によって転送されたパケットのトラヒックが容疑トラヒックに該当すると判定した場合に、当該パケットの伝送帯域を制限したうえで前記中継装置に転送することを特徴とする。
また、請求項6に係る発明は、上記の発明において、前記フィルタ工程は、前記パケット転送工程によって転送されたパケットのトラヒックが不正トラヒックに該当すると判定した場合に、当該パケットを前記中継装置に転送しないことを特徴とする。
また、請求項7に係る発明は、上記の発明において、前記フィルタ工程は、前記パケット転送工程によって転送されたパケットを前記ネットワークに送出した利用者が正規利用者であると判定した場合に、当該パケットの伝送帯域を制限することなく前記中継装置に転送することを特徴とする。
また、請求項8に係る発明は、上記の発明において、前記パケット転送指示通知工程は、前記パケット転送指示の通知先となる中継装置のパケット転送性能に基づいて当該パケット転送指示に含まれる前記シグネチャの量を調整することを特徴とする。
また、請求項9に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムであって、前記防御装置は、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知手段と、前記パケット転送指示通知手段が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手段とを備え、前記中継装置は、前記パケット転送指示通知手段によって通知された前記シグネチャに該当するパケットを前記防御装置に転送するパケット転送手段を備えたことを特徴とする。
また、請求項10に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる防御装置であって、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知手段と、前記パケット転送指示通知手段が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手段とを備えたことを特徴とする。
また、請求項11に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる防御装置に搭載される防御装置用プログラムであって、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継手順に対して通知するパケット転送指示通知手順と、前記パケット転送指示通知手順が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手順とをコンピュータに実行させることを特徴とする。
また、請求項12に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置であって、前記防御装置から攻撃パケットの属性をあらわすシグネチャを含んだパケット転送指示を受け付けるパケット転送指示受付手段と、前記パケット転送指示受付手段が受け付けたシグネチャに該当するパケットを前記中継装置に対して転送するパケット転送手段とを備えたことを特徴とする。
また、請求項13に係る発明は、ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置に搭載される中継装置用プログラムであって、前記中継装置から攻撃パケットの属性をあらわすシグネチャを含んだパケット転送指示を受け付けるパケット転送指示受付手順と、前記パケット転送指示受付手順が受け付けた前記シグネチャに該当するパケットを前記中継装置に対して転送するパケット転送手順とをコンピュータに実行させることを特徴とする。
また、請求項14に係る発明は、ネットワークを介してパケットを中継する中継装置で攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置であって、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成するシグネチャ生成手段と、前記シグネチャ生成手段が生成したシグネチャに該当するパケットを抽出するパケット抽出手段と、前記パケット抽出手段が抽出したパケットのフィルタリングを行うパケットフィルタ手段とを備えたことを特徴とする。
また、請求項15に係る発明は、ネットワークを介してパケットを中継する中継装置で攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置に搭載される中継装置用プログラムであって、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成するシグネチャ生成手順と、前記シグネチャ生成手順が生成したシグネチャに該当するパケットを抽出するパケット抽出手順と、前記パケット抽出手順が抽出したパケットのフィルタリングを行うパケットフィルタ手順とをコンピュータに実行させることを特徴とする。
請求項1または9の発明によれば、防御装置が、通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を中継装置に対して通知し、中継装置が、通知されたシグネチャに該当するパケットを防御装置に転送し、防御装置が、転送されたパケットのフィルタリングを行うよう構成したので、パケットの宛先に依存することなく攻撃を引き起こしうるパケットの属性を拡大してフィルタリング処理の対象となるパケットの抽出およびパケットのフィルタリングをおこなうことによって、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の通信機器の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるという効果を奏する。
また、請求項2の発明によれば、パケット転送指示通知工程は、攻撃情報に基づいてパケット転送指示の通知先となる少なくとも1つの中継装置を選択し、選択した中継装置に対して自装置への経路情報を含んだパケット転送指示を通知するよう構成したので、攻撃を防御するうえで適切な中継装置を選択することによって、攻撃を効率的に防御することができるという効果を奏する。
また、請求項3の発明によれば、フィルタ工程は、フィルタリング後のパケットをこのパケットの転送元である中継装置に転送するよう構成したので、中継装置に処理負荷をかけることなくパケットのフィルタリング処理をおこなうことができるという効果を奏する。
また、請求項4の発明によれば、フィルタ工程は、フィルタリング後のパケットの転送先を複数の中継装置の中から選択したうえで選択した中継装置に対してパケットを転送するよう構成したので、フィルタリング後のパケットを効率的に中継することができるという効果を奏する。また、パケット転送元の中継装置にパケットを転送すると、転送したパケットがこの中継装置から再転送されることによって無限ループ発生のおそれがある場合の対応策として機能するという効果を奏する。
また、請求項5の発明によれば、フィルタ工程は、パケット転送工程によって転送されたパケットのトラヒックが容疑トラヒックに該当すると判定した場合に、このパケットの伝送帯域を制限したうえで中継装置に転送するよう構成したので、攻撃の容疑がかけられたパケット(容疑パケット)の伝送帯域を制限することによって、攻撃に対して迅速に対応することができるという効果を奏する。
また、請求項6の発明によれば、フィルタ工程は、パケット転送工程によって転送されたパケットのトラヒックが不正トラヒックに該当すると判定した場合に、このパケットを中継装置に転送しないよう構成したので、不正トラヒックに該当する容疑パケットを攻撃パケットとみなして転送対象としないことによって、攻撃パケットがネットワーク上に流出することを効率的に防止することができるという効果を奏する。
また、請求項7の発明によれば、フィルタ工程は、パケット転送工程によって転送されたパケットをネットワークに送出した利用者が正規利用者であると判定した場合に、このパケットの伝送帯域を制限することなく中継装置に転送するよう構成したので、非攻撃パケットを通常どおり流通させることによって、非攻撃パケットの流通が攻撃の影響によって妨害されることを効率的に防止することができるという効果を奏する。
また、請求項8の発明によれば、パケット転送指示通知工程は、パケット転送指示の通知先となる中継装置のパケット転送性能に基づいてパケット転送指示に含まれるシグネチャの量を調整するよう構成したので、中継装置に過度な負担をかけることなく攻撃パケットのフィルタリングをおこなうことができるという効果を奏する。
また、請求項10または11の発明によれば、通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成してこのシグネチャを含んだパケット転送指示を中継装置に対して通知し、通知したパケット転送指示に基づいて中継装置が転送したパケットのフィルタリングを行うよう構成したので、パケットの宛先に依存することなく攻撃を引き起こしうるパケットの属性を拡大してフィルタリング処理の対象となるパケットの抽出およびパケットのフィルタリングをおこなうことによって、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の通信機器の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるという効果を奏する。
また、請求項12または13の発明によれば、防御装置から攻撃パケットの属性をあらわすシグネチャを含んだパケット転送指示を受け付け、受け付けたシグネチャに該当するパケットを中継装置に対して転送するよう構成したので、パケットの宛先に依存することなく攻撃を引き起こしうるパケットの属性を拡大してフィルタリング処理の対象となるパケットの抽出およびパケットのフィルタリングをおこなうことによって、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の通信機器の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるという効果を奏する。
また、請求項14または15の発明によれば、通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成し、生成したシグネチャに該当するパケットを抽出し、抽出したパケットのフィルタリングを行うよう構成したので、ルータなどの中継装置に防御装置としての機能を持たせることによって、パケットの宛先アドレスからは攻撃対象の通信機器を特定することができない攻撃、あるいは、攻撃対象の通信機器の特定が容易ではなく特定に時間がかかる攻撃をも確実に防御することができるという効果を奏する。
以下に添付図面を参照して、ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラムの実施例1〜2を詳細に説明する。
各実施例の説明に先立って従来のネットワーク攻撃防御システムについて図13を用いて説明しておく。図13は、従来のネットワーク攻撃防御システムの構成を示す図である。同図に示すように、従来のネットワーク攻撃防御システムは、ネットワーク上を転送されるパケットを中継するルータ(図13の83および93)と、パケットのフィルタリングを行う防御装置90と、攻撃者94による攻撃対象サーバ92への攻撃を検知する攻撃検知装置95とから構成される。なお、図13においては、通信端末94(攻撃者)が攻撃対象サーバ92に対して攻撃を行っているものとする。
攻撃検知装置95は、ルータ83を介してトラヒックのモニタ(監視)をおこない(図13の(1)参照)、パケットを受信する攻撃対象サーバ92が攻撃を受けていることを検知すると、パケットの宛先アドレスから攻撃対象サーバ92のアドレスを検知する(図13の(2)参照)。そして、攻撃検知装置95は、この攻撃対象サーバ92のアドレスを防御装置90に通知し(図13の(3)参照)、攻撃対象サーバ92のアドレスを受け取った防御装置90は、攻撃対象サーバ92宛てのパケットを自装置(防御装置90)に経由(リルート)させるための経路情報を所定のルータ93に通知する(図13の(4)参照)。
そして、ルータ93は、受信した経路情報に基づいてルーティングテーブルを更新し、更新したルーティングテーブルに従ってパケットを中継する。すなわち、ルータ93は、攻撃対象サーバ92宛てのパケットを防御装置90に転送する(図13の(5)参照)。防御装置90は、ルータ93から転送されたパケットのフィルタリングを行い(図13の(6)参照)、フィルタリング済のパケット(非攻撃パケット)をルータ83を介して攻撃対象サーバ92へと転送する(図13の(7)参照)。
しかし、図13に示した従来のネットワーク攻撃防御システムは、攻撃対象サーバ92のアドレスが判明している場合にのみ効果を発揮するものである。すなわち、攻撃されているサーバ装置(以下、「被害者」と記載する)のアドレスが詳細に特定できない場合や、被害者の特定が容易でなく被害者の特定に時間を要する場合には、従来のネットワーク攻撃防御システムでは被害者に対する攻撃を十分に防御することができないという問題があった。
このため、従来のネットワーク攻撃防御システムを用いる場合には、被害者となりうるすべてのサーバ装置ごとのトラヒックを監視せざるをえず、かかる監視作業が負担となるとともに、監視作業で検出できなかった攻撃を許容してしまうので被害者に対する攻撃を確実に防御することができなかった。
そこで、本発明に係るネットワーク攻撃防御システムでは、攻撃パケットの属性をあらわすシグネチャを用いることによって、パケットの宛先に依存することなく攻撃を引き起こしうるパケットの属性を拡大してフィルタリング処理の対象となるパケットの抽出およびパケットのフィルタリングをおこなうこととした。したがって、攻撃されている被害者のアドレスが詳細に特定できない攻撃や、被害者の特定が容易でなく被害者の特定に時間を要する攻撃からも被害者を確実に防御することができる。
次に、本発明に係るネットワーク攻撃防御システムの概要について図1を用いて説明する。図1は、本発明に係るネットワーク攻撃防御システムの概要を示す図である。なお、図1においては、ネットワーク8上の攻撃者からネットワーク9上の被害者が攻撃を受けているものとする。
図1に示すように、本発明に係るネットワーク攻撃防御システムは、ネットワーク上で転送されるパケットを中継する中継装置21と、ネットワーク上の攻撃を防御する防御装置22とを備えている。たとえば、図1に示した中継装置21はルータとして機能し、防御装置22はパケットフィルタリング装置として機能する。
図1に示したネットワーク攻撃防御システムでは、図示しないIDS(Intrusion Detection System)が、ネットワーク8あるいはネットワーク9における攻撃を検出した際に、攻撃に関する詳細情報である「攻撃情報」を防御装置22に対して通知する(図1の(1)参照)。
なお、防御装置22がかかるIDSの機能を備えることとしてもよい。また、防御装置22をネットワーク8あるいはネットワーク9を管理する管理用ネットワークに接続することとし、上記した「攻撃情報」を管理用ネットワークを介して受け取るよう構成してもよい。
攻撃情報を受け取った防御装置22は、受け取った攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成する(図1の(2)参照)。そして、生成したシグネチャを含んだパケット転送指示を中継装置21に対して通知する。
具体的には、防御装置22は生成したシグネチャをパケット転送指示に含めて中継装置21に対して通知し(図1の(3)参照)、中継装置21は防御装置22から通知されたシグネチャに該当するパケットを抽出し、抽出したパケットを防御装置22に対して転送する(図1の(4)参照)。
そして、防御装置22は中継装置21から転送されたパケットのフィルタリングを行い(図1の(5)参照)、フィルタリング済のパケット(非攻撃パケット)を中継装置21を介してネットワーク9に中継させる(図1の(6)参照)。ここで、「パケットのフィルタリング」とは、所定の条件下で特定のパケットの通過または遮断を制御することを指す。
また、「攻撃パケットの属性」とは、たとえば、TCP/IP(Transmission Control Protocol/Internet Protocol)に準拠したパケットであれば、IPヘッダ部を構成するデータ長、生存時間(TTL,Time To Live)、送信元アドレスなどの値や、TCPヘッダ部を構成するポート番号などの各項目に設定されている値が所定値であるか、あるいは、所定範囲に含まれるかをあらわす情報である。
中継装置21は、たとえば、パケットの宛先アドレスと次の転送先とを対応させたルーティングテーブルを有しており、このルーティングテーブルに従って受信パケットを次の転送先に中継する。また、この中継装置21はポリシーベースルーティング(Policy-based Routing,以下、PBRと記載する)機能を用いてパケットをルーティングする。
防御装置22は、たとえば、ネットワーク9に設置されているIDSが攻撃を検出して上記した「攻撃情報」を通知すると、この攻撃情報を受け取って攻撃の容疑があるパケットを抽出するための容疑シグネチャを生成する。そして、生成した容疑シグネチャを含んだパケット転送指示を中継装置21に送信することによって容疑パケットを自装置(防御装置22)に転送するよう依頼し、中継装置21から転送されたパケットのフィルタリングをおこなう。なお、中継装置21から容疑シグネチャに該当するパケットを転送された防御装置22は、転送されたパケットが正規なパケットであるか否かの判定などを行うことによって転送パケットのフィルタリングをおこなう。
また、防御装置22が受信する「攻撃情報」には、容疑シグネチャを生成するための情報や後述する正規条件情報などの情報が含まれるものとする。そして、防御装置22が中継装置21に送信する容疑シグネチャは、生成した容疑シグネチャの全てであってもよく、一部であってもよい。すなわち、防御装置22は中継装置21のルーティング能力(パケット転送性能)に応じて容疑シグネチャの量を制御する。
ここで、上記した「容疑シグネチャ」の例について図2を用いて説明しておく。図2は、容疑シグネチャの一例を示す図である。同図に示すように、番号1のレコードでは、パケットの宛先IPアドレスに対応するプロトコル種別(図2の「Protocol」)が「TCP」であり、かつ、「TCP」がどのアプリケーションに関する情報であるかを示す宛先ポート番号(図2の「Port」)が「80」であるパケットが容疑パケットに該当する旨が定義されている。なお、図2に示した「番号」は、各レコードの説明をおこなうために便宜上設けたものである。
このように、本発明に係るネットワーク攻撃防御システムでは、防御装置22が攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成し、生成したシグネチャを含んだパケット転送指示を中継装置21に対して通知し、中継装置21が通知されたシグネチャに該当するパケットを防御装置22に転送し、防御装置22が転送されたパケットのフィルタリングを行うこととした。したがって、本発明に係るネットワーク攻撃防御システムは、攻撃されている被害者のアドレスが詳細に特定できない攻撃や、被害者の特定が容易でなく被害者の特定に時間を要する攻撃からも被害者を確実に防御することができる。
なお、以下に示す実施例1では、中継装置からパケットを転送された防御装置がこの中継装置にフィルタリング後のパケットを戻す構成について説明し、実施例2では、防御装置が複数の中継装置の中から最適な中継装置を選択し、選択した中継装置に対してパケット転送を依頼する構成について説明することとする。
実施例1では、中継装置からパケットを転送された防御装置がこの中継装置にフィルタリング後のパケットを戻す構成について説明する。まず、本実施例1のネットワーク攻撃防御システムに係る中継装置21および防御装置22の構成について図3および図4を用いて説明する。図3は、本実施例1に係る中継装置21の構成を示すブロック図であり、図4は、本実施例1に係る防御装置22の構成を示すブロック図である。
まず、中継装置21の構成について図3を用いて説明する。図3に示すように、中継装置21は、ネットワークインタフェース部21aと、中継処理部21bと、シグネチャ受信部21cと、転送パケット抽出部21dとを備えている。ネットワークインタフェース部21aは、LAN(Local Area Interface)ボードなどの通信デバイスであり、他の中継装置21や防御装置22とのデータ送受信処理をおこなう。
中継処理部21bは、ネットワークインタフェース部21aを介して受け取ったパケットの転送先をルーティングテーブルに基づいて決定し、かかるパケットを決定した宛先に対して転送する処理をおこなう処理部である。また、シグネチャ受信部21cは、防御装置22が通知するパケット転送指示に含まれるシグネチャ(容疑シグネチャ)のレコードをネットワークインタフェース部21aを介して受け取り、受け取ったレコードを転送パケット抽出部21dに渡す処理をおこなう処理部である。
転送パケット抽出部21dは、シグネチャ受信部21cから渡されたシグネチャレコードの条件に合致したパケット(容疑パケット)をPBR機能を用いて抽出し、抽出した容疑パケットを中継処理部21bを介することによって防御装置22に転送する処理をおこなう処理部である。
次に、防御装置22の構成について図4を用いて説明する。図4に示すように、防御装置22は、ネットワークインタフェース部22aと、攻撃情報処理部22bと、シグネチャ通知部22cと、フィルタ部22dとを備えている。ネットワークインタフェース部22aは、LAN(Local Area Interface)ボードなどの通信デバイスであり、中継装置21などの他装置とのデータ送受信処理をおこなう。
攻撃情報処理部22bは、IDSから通知された「攻撃情報」を受け取るとともに、この攻撃情報に基づき、攻撃の容疑があるパケットを抽出するための容疑シグネチャなどのシグネチャを生成する処理をおこなう処理部である。また、この攻撃情報処理部22bは、生成したシグネチャをシグネチャ通知部22cに対して通知する処理をおこなう処理部でもある。
シグネチャ通知部22cは、攻撃情報処理部22bから通知されたシグネチャの一部または全部を中継装置21に対して通知する処理をおこなう処理部である。具体的には、このシグネチャ通知部22cは、シグネチャの通知先となる中継装置21の処理能力に応じて容疑シグネチャに含まれるレコードの量(数)を決定し、決定したレコードをパケット転送指示に含めて中継装置21に通知することで、自装置(防御装置22)への容疑パケット転送を中継装置21に対して依頼する。
フィルタ部22dは、中継装置21から転送された容疑パケットのフィルタリング処理をおこなう処理部である。具体的には、このフィルタ部22dは、中継装置21から転送された容疑パケットを後述する正規シグネチャおよび不正シグネチャを用いてフィルタリングし、容疑パケットの転送元である中継装置21に伝送帯域制限なしでパケット転送したり、伝送帯域を制限したうえでパケット転送したり、あるいは、パケット転送をおこなわないといった転送制御をおこなう。なお、このフィルタリング処理の詳細については図8を用いて後述することとする。
次に、本実施例1に係るネットワーク攻撃防御システムの処理手順の概要について図5を用いて説明する。図5は、本実施例1に係るネットワーク攻撃防御システムの処理手順の概要を示すフローチャートである。同図に示すように、防御装置22がIDSなどから攻撃情報を受信すると(ステップS101)、容疑シグネチャや正規シグネチャといったシグネチャを生成し(ステップS102)、生成した容疑シグネチャのレコードを含んだパケット転送指示を中継装置21に対して送信する(ステップS103)。なお、中継装置21に送信する容疑シグネチャのレコード数は、中継装置21の処理性能に応じて決定される。
防御装置22から容疑シグネチャを受信した中継装置21は、自装置が中継するパケットの中から、かかる容疑シグネチャに該当するパケットを抽出する処理をおこなう(ステップS104)。そして、容疑シグネチャのレコードと合致するパケットである場合には(ステップS104,Yes)、抽出したパケットを防御装置22に対して転送する(ステップS105)。なお、容疑シグネチャのレコードと合致しないパケットである場合には(ステップS104,No)、通常のパケット転送処理をおこなう。
つづいて、中継装置21からパケットを転送された防御装置22は、フィルタリング処理を実行し(ステップS106)、所定の条件を満たした場合には転送されたパケットを、中継装置21に転送する(戻す)処理をおこなう(ステップS107)。なお、防御装置22が中継装置から転送されたパケットを攻撃パケットであると判定した場合には、かかる転送処理(ステップS107)はおこなわない。
ここで、図5のステップS102に示した容疑シグネチャおよび正規シグネチャの生成処理について図6を用いてさらに詳細に説明する。図6は、シグネチャに係る情報を示す図である。なお、図6の(a)に示したのは、正当な利用者が利用している端末から送信されるパケットをあらわす情報である「正規条件」の例であり、図6の(b)に示したのは、不正なトラヒックを検出するための情報である「不正トラヒック検出条件」の例である。
図6の(a)に示すように、「正規条件」は、IPパケットにおける属性の種別および各属性の属性値を含んだレコードを1または複数個含んだ情報である。なお、図6の(a)に示した「番号」は、各レコードの説明をおこなうために便宜上設けたものである。
図6の(a)に示したように、番号1のレコードの検出属性は、IPヘッダ内の「Source IP Address(送信元IPアドレス)」が「172.16.10/24」であることをあらわしている。また、番号2のレコードの検出属性は、IP上のサービス品質を示す「Type Of Service(サービスタイプ)」が「(16進で)01」であることをあらわしている。
この正規条件には、たとえば、サーバ所有者の会社の支店や、関連会社などが保有するサーバのIPアドレスや、サーバが収容されているLANの所有者が正規ユーザであると認識しているネットワークのIPアドレスなどが設定される。
防御装置22は、攻撃情報に含まれる図6の(a)に示すような正規条件を参照し、正規条件のすべてのレコードごとに容疑シグネチャとのAND条件をとり、その結果を正規シグネチャとして生成する。なお、この正規シグネチャは、容疑シグネチャから正規ユーザの通信パケット(正規パケット)を除外するために用いられる。すなわち、容疑シグネチャに該当するパケットであっても、正規シグネチャに該当するパケットであれば転送制限の対象とはしない。
たとえば、図2および図6の(a)の例を用いて説明すると、図2における番号1のレコードの条件で検出されるパケットの容疑シグネチャは、{Protocol=TCP,Port=80}となり、正規シグネチャは、{src=172.16.10.24,Protocol=TCP,Port=80}および{TOS=0x01,Protocol=TCP,Port=80}となる。
また、防御装置22がおこなうフィルタリング処理においては、中継装置21から転送されたパケットから不正なトラヒックを検出することとしてもよい。防御装置22が不正トラヒックを検出する場合には、図6の(b)に示した不正トラヒック検出条件を保有することになる。
図6の(b)に示したように、不正トラヒック条件は、既知のDDos攻撃などの複数のトラヒックパターンから構成され、中継装置21から転送された容疑パケットのトラヒックがいずれかのトラヒックパターンに合致するか否かの判定に用いられる条件である。言い換えると、この不正トラヒック条件は、攻撃パケットの容疑をかけられた容疑パケットの中から攻撃パケットのトラヒックパターンに合致するパケットを抽出するための条件である。すなわち、容疑パケットがいずれかのトラヒックパターンに合致した場合には、かかる容疑パケットは攻撃パケットであると判定される。
番号1の不正トラヒック条件は、「伝送帯域T1Kbps以上のパケットがS1秒以上連続送信されている」というトラヒックパターンを示しており、番号2の不正トラヒック条件は、「伝送帯域T2Kbps以上、ICMP(Internet Control Message Protocol)におけるエコー応答(Echo Reply)メッセージのパケットがS2秒以上連続送信されている」というトラヒックパターンを示している。また、番号3の不正トラヒック条件は、「伝送帯域T3Kbps以上、データ長超過のため一つのデータを複数のIPパケットに分割して送信していることを示すフラグメントパケットがS3秒以上連続送信されている」というトラヒックパターンを示している。
防御装置22は、図6の(b)に例示したいずれかのトラヒックパターンに合致するトラヒックを検出した場合には、検出したパケットの送信元アドレスを不正アドレス範囲として特定する。そして、不正アドレス範囲であり、かつ、容疑シグネチャに合致するという条件を不正シグネチャとして生成する。
次に、防御装置22がおこなう不正トラヒック検出処理の処理手順について図7を用いて説明する。図7は、不正トラヒック検出処理の処理手順を示すフローチャートである。同図に示すように、防御装置22の攻撃情報処理部22bが、図6の(b)に示した不正トラヒック条件などに基づいて不正トラヒックを検出すると(ステップS201)、容疑シグネチャとのAND条件をとることによって不正シグネチャを生成し(ステップS202)、生成した不正シグネチャに従ってフィルタ部22dがパケットのフィルタリング処理をおこなう(ステップS203)。
次に、防御装置22がおこなうフィルタ処理の処理手順について図8を用いて説明する。図8は、フィルタ処理の処理手順を示すフローチャートである。なお、図8において破線の矩形で囲んだ部分(S304〜S312)が、かかるフィルタ処理に相当する。
図8に示すように、中継装置21が中継対象となるパケットを受信すると(ステップS301)、中継装置21は受信したパケットが容疑シグネチャのレコードと合致するか否かを判定する(ステップS302)。そして、容疑シグネチャのレコードと合致すると判定した場合には(ステップS302,Yes)、防御装置22に対してパケットを転送する(ステップS303)。なお、容疑シグネチャのレコードと合致しない(ステップS302,No)パケットについては、通常のルーティング処理によってパケット出力する(ステップS310)。
中継装置21からパケットを転送された防御装置22は、このパケットが正規シグネチャと合致するか否かを判定する(ステップS304)。そして、正規シグネチャと合致した場合には(ステップS304,Yes)、かかるパケットを正規キューへ入れる(ステップS305)。なお、正規キューに入れられたパケットは伝送帯域制限されることなく所定のタイミングで中継装置21へと転送される(ステップS306)。
一方、パケットが正規シグネチャと合致しない場合には(ステップS304,No)、つづいて、パケットが不正シグネチャと合致するか否かを判定する(ステップS307)。そして、不正シグネチャと合致しない場合には(ステップS307,No)、かかるパケットを容疑キューへ入れる(ステップS308)。なお、容疑キューに入れられたパケットは伝送帯域制限されたうえで所定のタイミングで中継装置21へ転送される(ステップS309)。
つづいて、パケットが不正シグネチャと合致する場合には(ステップS307,Yes)、かかるパケットを不正キューへ入れる(ステップS311)。なお、不正キューに入れられたパケットは中継装置21への転送をおこなわない(ステップS312)。
すなわち、防御装置22におけるフィルタ処理においては、正規キューにあるパケットを伝送帯域制限せずに中継装置21へ転送し、容疑キューにあるパケットを所定の伝送帯域制限値に基づいて帯域制限したうえで中継装置21へ転送する。一方、不正キューにあるパケットは遮断される(中継装置21へ転送されない)ことになる。
また、攻撃が終了したことを中継装置21が検知した場合には、中継装置21は、防御装置22へのパケット転送のためのパケット抽出処理を停止し、防御装置22へのパケット転送処理をおこなわない。
なお、本実施例1においては、防御装置22が正規シグネチャを用いてパケットのフィルタ処理をおこなっている場合について説明している。しかしながら、これに限らず、中継装置21が正規シグネチャを保持することとし、正規シグネチャに合致するパケットを1通過させ、正規シグネチャに合致しないパケットを防御装置22に転送するよう構成してもよい。
上述してきたように、本実施例1においては、防御装置が攻撃情報に基づいて攻撃の容疑があるパケットを抽出するためのシグネチャを生成して生成したシグネチャを含んだパケット転送指示を中継装置に対して通知し、中継装置が中継装置から受信したシグネチャに該当するパケットを防御装置に転送し、防御装置が中継装置から転送されたパケットのフィルタリングをおこなうよう構成した。したがって、攻撃されている被害者のアドレスが詳細に特定できない攻撃や、被害者の特定が容易でなく被害者の特定に時間を要する攻撃からも被害者を確実に防御することができる。すなわち、パケットの宛先に依存することなく攻撃を引き起こしうるパケットの属性を拡大してパケットフィルタリングをおこなうので、攻撃を確実かつ効率的に防御することが可能である。
なお、上述した実施例1では中継装置と防御装置とを別装置として構成した場合について説明したが、防御装置の機能を中継装置に含めるよう構成することもできる。この変形例について図9を用いて説明する。図9は、実施例1に係るネットワーク攻撃防御システムの変形例を示す図である。
同図に示すように、中継装置10は、ネットワーク上で攻撃が検出された際に、ネットワーク8から受信したパケットの中から攻撃の属性をもつパケットをフィルタ機能12に渡すとともに、攻撃の属性をもたないパケットをネットワーク9へ通過させる中継機能11と、中継機能11によって転送されたパケットのフィルタリングをおこなうフィルタ機能12とを備えている。
また、中継機能11は実施例1で説明した中継装置21(図3参照)の各機能部の処理をおこなう機能であり、フィルタ機能12は同じく防御装置22(図4参照)の各機能部の処理をおこなう機能である。このように、実施例1で示した防御装置22の機能を備えた中継装置10を構成することで、実施例1で示した効果と同様の効果を得ることができる。
なお、中継装置10は、上記した中継機能11およびフィルタ機能12の他に、ネットワークインタフェース、CPU(Central Processing Unit)、メモリ、ハードディスクといったデバイスを備えているものとする。また、中継機能11およびフィルタ機能12は、それぞれCPUによって処理されるプログラムのモジュールであってもよい。そして、各モジュールは1つのCPUで処理されてもよく、複数のCPUに分散して処理されてもよい。
実施例2では、防御装置が複数の中継装置の中から最適な中継装置を選択し、選択した中継装置に対してパケット転送を依頼する構成について説明する。なお、以下では、実施例1との差異点について主に説明し、共通点についての説明については簡単なものにとどめることとする。
まず、本実施例2に係るネットワーク攻撃防御システムの構成について図10を用いて説明する。図10は、実施例2に係るネットワーク攻撃防御システムの構成を示す図である。
図10に示すように、本実施例2に係るネットワーク攻撃防御システム100は、ネットワーク上のDos攻撃あるいはDDos攻撃が検出された際に、この攻撃から被害者(攻撃対象サーバ装置など)を防御する防御装置40と、ネットワーク上で転送されるパケットを中継する複数の中継装置21とを備えている。以下、図示した中継装置21の各々を区別する場合には、中継装置21−1、中継装置21−2のように枝番を付することとする。
なお、中継装置21および防御装置40がルータとして機能する場合、中継装置21および防御装置40には、パケットの宛先に対するルーティングテーブルが登録されている。このルーティングテーブルを各装置(21および40)に登録する方法としては、たとえば、OSPF(Open Shortest Path First)、RIP(Routing Information Protocol)、あるいは、BGP(Border Gateway Protocol)などの公知のルーティングプロトコルに準拠する方法がある。
図10に示したように、IDS機能を有する攻撃検知装置51が、ネットワーク8あるいはネットワーク9における攻撃を検知すると、攻撃に関する詳細な情報である攻撃情報を防御装置40に対して通知する。そして、防御装置40は、受け取った攻撃情報に基づいて攻撃防御のための処理を開始する。なお、防御装置40をネットワーク8およびネットワーク9を管理する管理用ネットワークに接続することとし、この管理用ネットワークを介してかかる攻撃情報を受け取るよう構成してもよい。
防御装置40は、攻撃検知装置51から攻撃情報を受信すると、受信した攻撃情報に基づいて中継装置21−1または中継装置21−2のうち一つを選択するとともに、実施例1で説明した容疑シグネチャを生成する。なお、防御装置40が中継装置21を選択する方法としては、たとえば、攻撃を受けている被害者からルーティング上の距離が最も近い中継装置21以外の中継装置21を選択する方法がある。また、図10には、2台の中継装置21を示しているが、中継装置21の数を限定するものではない。
次に、防御装置40は、選択した中継装置21が受信したパケットを自装置(防御装置40)に経由させるための経路情報を、この中継装置21に送信する。なお、この経路情報には上記した容疑シグネチャが含まれるものとする。また、かかる経路情報には、選択された中継装置21のルーティング能力に応じ、容疑シグネチャを構成するレコードのうち一部または全部のレコードが含まれる。
防御装置40から容疑シグネチャのレコードを受信した中継装置21は、PBR機能を用いてレコードの条件に合致したパケットを抽出し、抽出したパケットを防御装置40に対して転送する。また、防御装置40は、中継装置21から転送されたパケットを受信すると、受信したパケットが攻撃パケットであるか否かの判定をおこなってパケットをフィルタリングするとともに、フィルタリングをおこなったパケットの中継先をルーティングテーブルから求め、かかるパケットを次の中継先となる中継装置21に転送する。
次に、本実施例2に係る防御装置40の構成について図11を用いて説明する。図11は、本実施例2に係る防御装置40の構成を示す図である。同図に示すように、防御装置40は、ネットワークインタフェース部40aと、攻撃情報処理部40bと、中継装置選択部40cと、経路情報通知部40dと、パケット中継部40eと、フィルタ部40fとを備えている。なお、図11に示したネットワークインタフェース部40a、攻撃情報処理部40bおよびフィルタ部40eは、実施例1で説明した防御装置22のネットワークインタフェース部22a、攻撃情報処理部22bおよびフィルタ部22dにそれぞれ対応している(図4参照)。
中継装置選択部40cは、攻撃情報処理部40bによって受信された攻撃情報に基づいて防御装置40と隣接する複数の中継装置21の中から少なくとも1つの中継装置21を選択する処理をおこなう処理部である。たとえば、この中継装置選択部40cが中継装置21を選択する方法としては、攻撃を受けている被害者からルーティング上の距離が最も近い中継装置21以外の中継装置21を選択する方法がある。
経路情報通知部40dは、攻撃パケットの疑いがあるパケットを防御装置40に経由するための経路情報を、中継装置選択部40cによって選択された中継装置21に通知する処理をおこなう処理部である。なお、この経路情報には、攻撃情報処理部40bが生成した容疑シグネチャが含まれる。また、かかる経路情報は、BGPやその他のルーティングプロトコルに準拠したものでもよい。
パケット中継部40eは、パケットの宛先アドレスと次の転送先とを対応させたルーティングテーブルを有しており、受信したパケットをこのルーティングテーブルに従って次ぎの転送先に中継する処理をおこなう処理部である。
なお、防御装置40の各処理部(40b〜40f)は、それぞれCPUによって処理されるプログラムのモジュールであってもよい。そして、各モジュールは1つのCPUで処理されてもよく、複数のCPUに分散して処理されてもよい。
次に、本実施例2に係るネットワーク攻撃防御システムの処理手順の概要について図12を用いて説明する。図12は、本実施例2に係るネットワーク攻撃防御システムの処理手順の概要を示すフローチャートである。同図に示すように、防御装置22の攻撃情報処理部40bが攻撃検知装置51などから攻撃情報を受信すると(ステップS401)、容疑シグネチャや正規シグネチャといったシグネチャを生成する(ステップS402)。そして、中継装置選択部40cが隣接する中継装置21の中から少なくとも一つの中継装置21を選択し(ステップS403)、選択した中継装置21に対して容疑シグネチャのレコードを含んだ経路情報を通知する(ステップS404)。なお、中継装置21に送信する容疑シグネチャのレコード数は、中継装置21の処理性能に応じて決定される。
防御装置40から容疑シグネチャを受信した中継装置21は、自装置が中継するパケットの中から、かかる容疑シグネチャに該当するパケットを抽出する処理をおこなう(ステップS405)。そして、容疑シグネチャのレコードと合致するパケットである場合には(ステップS405,Yes)、抽出したパケットを防御装置40に対して転送する(ステップS406)。なお、容疑シグネチャのレコードと合致しないパケットである場合には(ステップS405,No)、通常のパケット転送処理をおこなう。
つづいて、中継装置21からパケットを転送された防御装置40は、フィルタリング処理を実行し(ステップS407)、所定の条件を満たした場合には転送されたパケットを、中継装置21に転送する処理をおこなう。なお、防御装置40が中継装置21から転送されたパケットを攻撃パケットであると判定した場合には、かかる転送処理をおこなわない。なお、フィルタ処理(ステップS407)の処理内容は、実施例1で説明した内容と同様であるので省略する(図8参照)。
上述したように、本実施例2においては、防御装置が攻撃情報に基づいて攻撃の容疑があるパケットを抽出するためのシグネチャを生成するとともに、かかる攻撃情報に基づいてパケットの転送依頼をおこなう中継装置を選択するよう構成した。したがって、攻撃を防御するうえで適切な中継装置を選択することによって、攻撃を効率的に防御することができる。
ところで、上記した各実施例では、防御装置に転送するための条件とする転送条件情報(たとえば、容疑シグネチャのレコードや経路情報)を、防御装置が中継装置に対して送信する場合について示している。しかしながら、これに限らず、防御装置以外の通信装置がかかる転送条件情報を中継装置に対して送信するよう構成してもよい。
また、上記した各実施例では、本発明を実現する各装置(中継装置や防御装置)を機能面から説明したが、各装置の各機能はパーソナルコンピュータやワークステーションなどのコンピュータ、あるいはプログラムを搭載可能なルータなどの通信機器にプログラムを実行させることによって実現することもできる。
すなわち、上述した各種の処理手順は、あらかじめ用意されたプログラムをコンピュータ上で実行することによって実現することができる。そして、これらのプログラムは、インターネットなどのネットワークを介して配布することができる。さらに、これらのプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
つまり、例を挙げれば、各実施例に示した中継装置用プログラムおよび防御装置用プログラムを格納したCD−ROMを配布し、このCD−ROMに格納されたプログラムを各コンピュータが読み出して実行するようにしてもよい。
以上のように、本発明に係るネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラムは、ネットワークを介した攻撃からサーバ装置などの通信機器を防御する場合に有用であり、特に、パケットの宛先アドレスからは攻撃先を特定することができない攻撃、あるいは、攻撃先の特定が容易ではなく特定に時間がかかる攻撃から通信機器を防御する場合に適している。
本発明に係るネットワーク攻撃防御システムの概要を示す図である。 容疑シグネチャの一例を示す図である。 実施例1に係る中継装置の構成を示すブロック図である。 実施例1に係る防御装置の構成を示すブロック図である。 実施例1に係るネットワーク攻撃防御システムの処理手順の概要を示すフローチャートである。 シグネチャに係る情報を示す図である。 不正トラヒック検出処理の処理手順を示すフローチャートである。 パケットフィルタリング処理の処理手順を示すフローチャートである。 実施例1に係るネットワーク攻撃防御システムの変形例を示す図である。 実施例2に係るネットワーク攻撃防御システムの構成を示す図である。 実施例2に係る防御装置の構成を示すブロック図である。 実施例2に係るネットワーク攻撃防御システムの処理手順の概要を示すフローチャートである。 従来のネットワーク攻撃防御システムの構成を示す図である。
符号の説明
8、9 ネットワーク
10 中継装置
11 中継機能
12 フィルタ機能
21 中継装置
21a ネットワークインタフェース部
21b 中継処理部
21c シグネチャ受信部
21d 転送パケット抽出部
22、40 防御装置
22a ネットワークインタフェース部
22b 攻撃情報処理部
22c シグネチャ通知部
22d フィルタ部
40a ネットワークインタフェース部
40b 攻撃情報処理部
40c 中継装置選択部
40d 経路情報通知部
40e パケット中継部
40f フィルタ部
51 攻撃検知装置
83、93 ルータ
90 防御装置
92 攻撃対象サーバ
94 攻撃者
95 攻撃検知装置

Claims (15)

  1. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御方法であって、
    前記防御装置が、前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知工程と、
    前記中継装置が、前記パケット転送指示通知工程によって通知された前記シグネチャに該当するパケットを前記防御装置に転送するパケット転送工程と、
    前記防御装置が、前記パケット転送工程によって転送されたパケットのフィルタリングを行うフィルタ工程と
    を含んだことを特徴とするネットワーク攻撃防御方法。
  2. 前記パケット転送指示通知工程は、
    前記攻撃情報に基づいて前記パケット転送指示の通知先となる少なくとも1つの中継装置を選択し、選択した当該中継装置に対して自装置への経路情報を含んだ前記パケット転送指示を通知することを特徴とする請求項1に記載のネットワーク攻撃防御方法。
  3. 前記フィルタ工程は、
    フィルタリング後のパケットを当該パケットの転送元である中継装置に転送することを特徴とする請求項1または2に記載のネットワーク攻撃防御方法。
  4. 前記フィルタ工程は、
    フィルタリング後のパケットの転送先を複数の中継装置の中から選択したうえで選択した当該中継装置に対して当該パケットを転送することを特徴とする請求項1または2に記載のネットワーク攻撃防御方法。
  5. 前記フィルタ工程は、
    前記パケット転送工程によって転送されたパケットのトラヒックが容疑トラヒックに該当すると判定した場合に、当該パケットの伝送帯域を制限したうえで前記中継装置に転送することを特徴とする請求項1〜4のいずれか一つに記載のネットワーク攻撃防御方法。
  6. 前記フィルタ工程は、
    前記パケット転送工程によって転送されたパケットのトラヒックが不正トラヒックに該当すると判定した場合に、当該パケットを前記中継装置に転送しないことを特徴とする請求項1〜5のいずれか一つに記載のネットワーク攻撃防御方法。
  7. 前記フィルタ工程は、
    前記パケット転送工程によって転送されたパケットを前記ネットワークに送出した利用者が正規利用者であると判定した場合に、当該パケットの伝送帯域を制限することなく前記中継装置に転送することを特徴とする請求項1〜6のいずれか一つに記載のネットワーク攻撃防御方法。
  8. 前記パケット転送指示通知工程は、
    前記パケット転送指示の通知先となる中継装置のパケット転送性能に基づいて当該パケット転送指示に含まれる前記シグネチャの量を調整することを特徴とする請求項1〜7のいずれか一つに記載のネットワーク攻撃防御方法。
  9. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムであって、
    前記防御装置は、
    前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知手段と、
    前記パケット転送指示通知手段が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手段と
    を備え、
    前記中継装置は、
    前記パケット転送指示通知手段によって通知された前記シグネチャに該当するパケットを前記防御装置に転送するパケット転送手段
    を備えたことを特徴とするネットワーク攻撃防御システム。
  10. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる防御装置であって、
    前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成して当該シグネチャを含んだパケット転送指示を前記中継装置に対して通知するパケット転送指示通知手段と、
    前記パケット転送指示通知手段が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手段と
    を備えたことを特徴とする防御装置。
  11. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる防御装置に搭載される防御装置用プログラムであって、
    前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成し、当該シグネチャを含んだパケット転送指示を前記中継手順に対して通知するパケット転送指示通知手順と、
    前記パケット転送指示通知手順が通知したパケット転送指示に基づいて前記中継装置が転送したパケットのフィルタリングを行うフィルタ手順と
    をコンピュータに実行させることを特徴とする防御装置用プログラム。
  12. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置であって、
    前記防御装置から攻撃パケットの属性をあらわすシグネチャを含んだパケット転送指示を受け付けるパケット転送指示受付手段と、
    前記パケット転送指示受付手段が受け付けたシグネチャに該当するパケットを前記中継装置に対して転送するパケット転送手段と
    を備えたことを特徴とする中継装置。
  13. ネットワークを介してパケットを中継する中継装置と、前記ネットワーク上における攻撃を防御する防御装置とで攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置に搭載される中継装置用プログラムであって、
    前記中継装置から攻撃パケットの属性をあらわすシグネチャを含んだパケット転送指示を受け付けるパケット転送指示受付手順と、
    前記パケット転送指示受付手順が受け付けた前記シグネチャに該当するパケットを前記中継装置に対して転送するパケット転送手順と
    をコンピュータに実行させることを特徴とする中継装置用プログラム。
  14. ネットワークを介してパケットを中継する中継装置で攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置であって、
    前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成するシグネチャ生成手段と、
    前記シグネチャ生成手段が生成したシグネチャに該当するパケットを抽出するパケット抽出手段と、
    前記パケット抽出手段が抽出したパケットのフィルタリングを行うパケットフィルタ手段と
    を備えたことを特徴とする中継装置。
  15. ネットワークを介してパケットを中継する中継装置で攻撃対象となる通信機器への攻撃を防御するネットワーク攻撃防御システムに用いられる中継装置に搭載される中継装置用プログラムであって、
    前記通信機器に対する攻撃の内容を示した攻撃情報に基づいて攻撃パケットの属性をあらわすシグネチャを生成するシグネチャ生成手順と、
    前記シグネチャ生成手順が生成したシグネチャに該当するパケットを抽出するパケット抽出手順と、
    前記パケット抽出手順が抽出したパケットのフィルタリングを行うパケットフィルタ手順と
    をコンピュータに実行させることを特徴とする中継装置用プログラム。
JP2005320037A 2005-11-02 2005-11-02 ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム Pending JP2007129482A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005320037A JP2007129482A (ja) 2005-11-02 2005-11-02 ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005320037A JP2007129482A (ja) 2005-11-02 2005-11-02 ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム

Publications (1)

Publication Number Publication Date
JP2007129482A true JP2007129482A (ja) 2007-05-24

Family

ID=38151779

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005320037A Pending JP2007129482A (ja) 2005-11-02 2005-11-02 ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム

Country Status (1)

Country Link
JP (1) JP2007129482A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010124158A (ja) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip衛星通信システムおよび不正パケット侵入防御方法
JP2012231232A (ja) * 2011-04-25 2012-11-22 Hitachi Ltd 通信システムおよび装置
JP5977860B1 (ja) * 2015-06-01 2016-08-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信制御方法、通信制御装置及びプログラム
JP2016536720A (ja) * 2013-09-24 2016-11-24 インテル・コーポレーション セキュアなメモリの再パーティショニング
JP2016208243A (ja) * 2015-04-22 2016-12-08 日本電信電話株式会社 負荷分散装置、負荷分散方法及びプログラム
US9875189B2 (en) 2015-06-12 2018-01-23 Intel Corporation Supporting secure memory intent
JP2020014089A (ja) * 2018-07-17 2020-01-23 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
JP2020155986A (ja) * 2019-03-20 2020-09-24 三菱電機インフォメーションネットワーク株式会社 ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
US11995001B2 (en) 2022-07-18 2024-05-28 Intel Corporation Supporting secure memory intent

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010124158A (ja) * 2008-11-18 2010-06-03 Nec Engineering Ltd Ip衛星通信システムおよび不正パケット侵入防御方法
JP2012231232A (ja) * 2011-04-25 2012-11-22 Hitachi Ltd 通信システムおよび装置
JP2016536720A (ja) * 2013-09-24 2016-11-24 インテル・コーポレーション セキュアなメモリの再パーティショニング
JP2016208243A (ja) * 2015-04-22 2016-12-08 日本電信電話株式会社 負荷分散装置、負荷分散方法及びプログラム
JP5977860B1 (ja) * 2015-06-01 2016-08-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 通信制御方法、通信制御装置及びプログラム
US10999245B2 (en) 2015-06-01 2021-05-04 Ntt Communications Corporation Communication path control method, communication path control device, and communication path control program that divide a path leading to a network that accommodates a specific device into a path that passes through a filter device and a path that does not pass through a filter device
US10282306B2 (en) 2015-06-12 2019-05-07 Intel Corporation Supporting secure memory intent
US10922241B2 (en) 2015-06-12 2021-02-16 Intel Corporation Supporting secure memory intent
US9875189B2 (en) 2015-06-12 2018-01-23 Intel Corporation Supporting secure memory intent
US11392507B2 (en) 2015-06-12 2022-07-19 Intel Corporation Supporting secure memory intent
JP2020014089A (ja) * 2018-07-17 2020-01-23 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
WO2020017272A1 (ja) * 2018-07-17 2020-01-23 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
JP2020155986A (ja) * 2019-03-20 2020-09-24 三菱電機インフォメーションネットワーク株式会社 ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
JP7166969B2 (ja) 2019-03-20 2022-11-08 三菱電機インフォメーションネットワーク株式会社 ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
US11995001B2 (en) 2022-07-18 2024-05-28 Intel Corporation Supporting secure memory intent

Similar Documents

Publication Publication Date Title
JP3723076B2 (ja) 不正侵入防御機能を有するip通信ネットワークシステム
JP2007129482A (ja) ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム
US7953855B2 (en) Distributed denial-of-service attack mitigation by selective black-holing in IP networks
Ehrenkranz et al. On the state of IP spoofing defense
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
Tupakula et al. A practical method to counteract denial of service attacks
CN109005175A (zh) 网络防护方法、装置、服务器及存储介质
JP4292213B2 (ja) サービス不能攻撃防御システム、サービス不能攻撃防御方法およびサービス不能攻撃防御プログラム
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
JP2006243878A (ja) 不正アクセス検知システム
JPWO2006040892A1 (ja) サービス不能攻撃防御方法、サービス不能攻撃防御システム、サービス不能攻撃防御装置、中継装置、サービス不能攻撃防御プログラムおよび中継装置用プログラム
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP4641848B2 (ja) 不正アクセス探索方法及び装置
JP2003333092A (ja) ネットワークシステム、攻撃パケット追跡方法および攻撃パケット防御方法
EP1744516A1 (en) Distributed denial-of-service attack mitigation by selective black-holing in IP networks
JP3784799B2 (ja) 攻撃パケット防御システム
JP2006295240A (ja) 通信装置及びアドレス変換装置並びにプログラム
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
JP2003298628A (ja) サーバ保護ネットワークシステム、サーバおよびルータ
JP6101525B2 (ja) 通信制御装置、通信制御方法、通信制御プログラム
CN111431913B (zh) 路由器通告防护机制存在性检测方法及装置
JP3917557B2 (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体
JP2005130190A (ja) 攻撃パケット防御システム
JP2005039721A (ja) DDoS防御方法及びDDoS防御機能付きルータ装置