JP2018032906A - Ddos coordination countermeasure device, ddos coordination countermeasure method, and program - Google Patents

Ddos coordination countermeasure device, ddos coordination countermeasure method, and program Download PDF

Info

Publication number
JP2018032906A
JP2018032906A JP2016162114A JP2016162114A JP2018032906A JP 2018032906 A JP2018032906 A JP 2018032906A JP 2016162114 A JP2016162114 A JP 2016162114A JP 2016162114 A JP2016162114 A JP 2016162114A JP 2018032906 A JP2018032906 A JP 2018032906A
Authority
JP
Japan
Prior art keywords
target
ddos
cooperation
information
addressed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016162114A
Other languages
Japanese (ja)
Other versions
JP6612197B2 (en
Inventor
浩明 前田
Hiroaki Maeda
浩明 前田
小島 久史
Hisashi Kojima
久史 小島
正夫 相原
Masao Aihara
正夫 相原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016162114A priority Critical patent/JP6612197B2/en
Publication of JP2018032906A publication Critical patent/JP2018032906A/en
Application granted granted Critical
Publication of JP6612197B2 publication Critical patent/JP6612197B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technique to allow attack information to be shared and countermeasures to be coordinated with high scalability when the whole Internet coordinates and deals with DDoS attacks.SOLUTION: One aspect of the present invention is a DDoS coordination countermeasure device included in an autonomous system (hereinafter, AS). The DDoS coordination countermeasure device includes: a storage unit for storing information on DDoS attacks for the AS and coordination ASs; a processing unit for obtaining communication traffic destined to a target IP address of DDoS attacks at the AS, calculating total communication traffic of the obtained communication traffic destined to the target IP address by the target AS, and determining an amount of resource allocation of a defense function of the AS against the calculated total communication traffic destined to the target ASs; and a communication unit for communicating with other devices of the AS and DDoS coordination countermeasure devices of the coordination ASs.SELECTED DRAWING: Figure 1

Description

本発明は、複数組織間でのDDoS(Distributed Denial of Service attack)攻撃情報の共有及び連携対処を実現するネットワーク技術に関する。   The present invention relates to a network technology that realizes sharing of DDoS (Distributed Denial of Service attack) attack information and coping countermeasures between a plurality of organizations.

DDoS攻撃に関連したテレメトリ情報、脅威情報、対策要求をリアルタイムにシグナリングする仕組みが、非特許文献1に示すIETF DOTS(DDoS Open Threat Signaling)で検討されている。複数の組織間でDDoS攻撃情報を通知し合い、各組織の保有する防御機能(例えば、非特許文献2に示すmitigation装置)のリソースを共用して攻撃に対処することで、1つの組織の防御機能だけでは対処しきれない大規模・高度なDDoS攻撃に対処可能になることが期待されている(非特許文献3)。   A mechanism for signaling telemetry information, threat information, and countermeasure requests related to DDoS attacks in real time has been studied in IETF DOTS (DDoS Open Threat Signaling) shown in Non-Patent Document 1. One organization's defense by notifying DDoS attack information among multiple organizations and sharing the resources of the defense functions of each organization (for example, the mitigation device shown in Non-Patent Document 2) to deal with attacks It is expected to be able to cope with large-scale and advanced DDoS attacks that cannot be dealt with by functions alone (Non-patent Document 3).

IETF, "DDoS Open Threat Signaling," https://datatracker.ietf.org/doc/charter-ietf-dots/, 2015.6IETF, "DDoS Open Threat Signaling," https://datatracker.ietf.org/doc/charter-ietf-dots/, 2015.6 東洋テクニカ, "Arbor Peakflow SP ご紹介資料," http://www.kyoei-ele.com/products/index.php/prod/info/280/file/4.pdfToyo Technica, "Introduction to Arbor Peakflow SP," http://www.kyoei-ele.com/products/index.php/prod/info/280/file/4.pdf IETF, "Use cases for DDoS Open Threat Signaling," https://datatracker.ietf.org/doc/draft-ietf-dots-use-cases/ , 2015.10IETF, "Use cases for DDoS Open Threat Signaling," https://datatracker.ietf.org/doc/draft-ietf-dots-use-cases/, 2015.10 水口孝則他,"トラフィック解析システムSAMURAIとサービス展開," NTT技術ジャーナル,2008.7, http://www.ntt.co.jp/journal/0807/files/jn200807016.pdfMizuguchi Takanori et al., “Traffic analysis system SAMURAI and service development,” NTT Technical Journal, 2008.7, http://www.ntt.co.jp/journal/0807/files/jn200807016.pdf

既存技術(DOTSシステム)では、複数組織間でのDDoS攻撃情報の共有の仕組みや複数組織間の防御機能のリソースを共用することで、より大規模かつ高度なDDoS攻撃に対処可能になるといったユースケースが検討されている。   The existing technology (DOTS system) can be used to deal with larger and more advanced DDoS attacks by sharing DDoS attack information sharing mechanisms between multiple organizations and defense function resources among multiple organizations. Cases are being considered.

しかしながら、各組織を標的とするDDoS攻撃に対して、複数組織の防御機能のリソースを具体的にどのように割り当てて対処するかについては検討されていない。また、既存技術では、DDoS攻撃による被害を受けている組織とその上流に位置するネットワークを管理する組織(ISP:Internet Service Provider等)との間といった少数の組織間での連携しか考慮していないが、例えば、ネットワーク帯域を消費するような大規模なDDoS攻撃に対して最大限の防御能力を発揮するためには、インターネット全体で連携してできるだけ攻撃元に近い組織で対処することが望ましく、インターネット規模で動作可能なスケーラビリティの高い技術が求められる。   However, it has not been studied how to deal with the DDoS attack targeting each organization specifically by allocating defense function resources of multiple organizations. In addition, the existing technology only considers cooperation between a small number of organizations such as an organization damaged by a DDoS attack and an organization (ISP: Internet Service Provider, etc.) that manages the upstream network. However, for example, in order to maximize the defense capability against a large-scale DDoS attack that consumes network bandwidth, it is desirable to cooperate with the entire Internet to deal with the organization as close as possible to the attack source, A highly scalable technology that can operate on the Internet scale is required.

上述した問題点を鑑み、本発明の課題は、インターネット全体で連携してDDoS攻撃に対処する際の攻撃情報の共有と対処の連携を高いスケーラビリティにより実現するための技術を提供することである。   In view of the above-described problems, an object of the present invention is to provide a technique for realizing high scalability for sharing attack information and cooperating in dealing with a DDoS attack in cooperation with the entire Internet.

上記課題を解決するため、本発明の一態様は、自律システム(以降、AS:Autonomous System)に備えられたDDoS連携対処装置であって、前記AS及び連携ASのDDoS攻撃に関する情報を記憶する記憶部と、前記ASにおけるDDoS攻撃の標的IPアドレス宛の通信量を取得し、標的AS毎に前記取得した標的IPアドレス宛の合計通信量を算出し、前記算出した標的AS毎の合計通信量に対して前記ASの防御機能のリソース割当量を決定する処理部と、前記ASにおける他の装置及び前記連携ASと通信する通信部とを有するDDoS連携対処装置に関する。   In order to solve the above-described problem, an aspect of the present invention is a DDoS cooperation response device provided in an autonomous system (hereinafter referred to as AS: Autonomous System), which stores information related to the DDoS attack of the AS and the cooperation AS And the traffic volume destined for the target IP address of the DDoS attack in the AS, the total traffic volume destined for the target IP address obtained for each target AS is calculated, and the calculated total traffic volume for each target AS On the other hand, the present invention relates to a DDoS cooperation coping apparatus having a processing unit that determines a resource allocation amount of the defense function of the AS, and a communication unit that communicates with another device in the AS and the cooperation AS.

本発明によると、インターネット全体で連携してDDoS攻撃に対処する際の攻撃情報の共有と対処の連携を高いスケーラビリティにより実現することができる。   According to the present invention, it is possible to realize a high degree of scalability for sharing attack information and cooperating when dealing with a DDoS attack in cooperation with the entire Internet.

図1は、本発明の一実施形態によるネットワークの構成図である。FIG. 1 is a block diagram of a network according to an embodiment of the present invention. 図2は、本発明の一実施形態によるDDoS連携対処機能を保有するASの構成図である。FIG. 2 is a configuration diagram of an AS having a DDoS cooperation handling function according to an embodiment of the present invention. 図3は、本発明の一実施形態によるDDoS連携対処装置の構成を示すブロック図である。FIG. 3 is a block diagram illustrating a configuration of a DDoS cooperation handling apparatus according to an embodiment of the present invention. 図4は、本発明の一実施形態によるDDoS連携対処装置の簡易処理フローチャートである。FIG. 4 is a simplified process flowchart of the DDoS cooperation handling apparatus according to the embodiment of the present invention. 図5は、本発明の一実施形態による標的IPアドレス情報テーブルの一例を示す図である。FIG. 5 is a diagram illustrating an example of a target IP address information table according to an embodiment of the present invention. 図6は、本発明の一実施形態による攻撃情報テーブルの一例を示す図である。FIG. 6 is a diagram illustrating an example of an attack information table according to an embodiment of the present invention. 図7は、本発明の一実施形態による連携先AS情報テーブルの一例を示す図である。FIG. 7 is a diagram showing an example of a cooperation destination AS information table according to an embodiment of the present invention. 図8は、本発明の一実施形態によるmitigation装置情報テーブルの一例を示す図である。FIG. 8 is a diagram showing an example of a mitigation device information table according to an embodiment of the present invention. 図9は、本発明の一実施形態による動作手順例を示すシーケンス図である。FIG. 9 is a sequence diagram showing an example of an operation procedure according to the embodiment of the present invention. 図10は、本発明の一実施形態による動作手順例を示すシーケンス図である。FIG. 10 is a sequence diagram showing an example of an operation procedure according to the embodiment of the present invention.

以下、図面に基づいて本発明の実施の形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

以下の実施例では、インターネットを構成するネットワークを保有・管理する自律システム(以降、AS:Autonomous System)に配備されるDDoS連携対処装置が開示される。後述される実施例を概略すると、DDoS連携対処装置は、AS間でのDDoS攻撃情報の共有及び各攻撃に対する各ASの防御機能リソースの割当を調整する。また、DDoS連携対処装置間のアーキテクチャとして、近隣ASのDDoS連携対処装置とのみ直接通信を行う分散型のアーキテクチャを適用することでスケーラビリティを向上させ、局所的な調整を繰り返すことで、インターネット全体で統一的なリソース割り当てを実現する。さらに、DDoS攻撃の宛先IPアドレスを参照し、同一AS宛のものを1つの攻撃としてまとめて各防御機能のリソース割り当て量を調整することによって、DDoS攻撃の宛先IPアドレス単位で調整する場合と比較して、AS間で必要な調整回数を削減でき、スケーラビリティの向上が可能となる。   In the following embodiments, a DDoS cooperation countermeasure device deployed in an autonomous system (hereinafter referred to as AS: Autonomous System) that owns and manages a network configuring the Internet is disclosed. To summarize an embodiment described later, the DDoS cooperation handling apparatus adjusts the sharing of DDoS attack information between ASs and the allocation of defense function resources of each AS against each attack. In addition, as an architecture between DDoS cooperation coping devices, a distributed architecture that directly communicates only with DDoS cooperating devices of neighboring AS improves scalability and repeats local adjustments throughout the Internet. Achieve uniform resource allocation. Compared with DDoS attack destination IP address adjustment by referring to the destination IP address of DDoS attack and adjusting the resource allocation amount of each defense function by grouping those addressed to the same AS as one attack. Thus, the number of adjustments required between ASs can be reduced, and scalability can be improved.

まず、図1を参照して、本発明の一実施形態によるネットワーク(インターネット)を説明する。図1は、本発明の一実施形態によるネットワークの構成図を示す。本実施形態では、ネットワーク(インターネット)を構成する複数の組織ネットワーク(AS)の内、一部のASが本発明のDDoS連携対処装置を保有する状況を想定している。また、一例として、AS1(ISP網等)内の複数のシステムが、他のAS内に存在する攻撃者の端末からのDDoS攻撃の標的(標的システム)となった場合を想定し、他のASとの間で、DDoS攻撃情報の共有と連携対処時のパラメータ調整(パラメータは、ある標的への攻撃に対して、各ASの防御機能のリソースをどれだけ割り当てて対処するかの量)等に必要な情報とを共有し、それらの情報を用いて、他ASとの間で対処パラメータを調整する方法を説明する。   First, a network (Internet) according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 shows a block diagram of a network according to an embodiment of the present invention. In the present embodiment, it is assumed that a part of the plurality of organization networks (AS) constituting the network (Internet) has the DDoS cooperation countermeasure device of the present invention. Also, as an example, assume that multiple systems in AS1 (ISP network, etc.) are targets of DDoS attacks (target systems) from attacker terminals that exist in other ASs. Parameter adjustment when sharing and cooperating with DDoS attack information (parameters are the amount of defense function resources allocated to each AS to deal with attacks against a target), etc. A method for sharing necessary information and adjusting the coping parameters with other AS using the information will be described.

図1に示されるように、ネットワーク10は、任意数のAS(AS1~AS8など)を有し、これらのASが相互接続されることによって、インターネットを模したネットワーク10のネットワークトポロジが構成される。これらのASは、mitigation装置50及びDDoS連携対処装置100を有するAS(AS1, AS2, AS3, AS5, AS8)と、mitigation装置50及びDDoS連携対処装置100を有さないAS(AS4, AS6, AS7)とに大別される。   As shown in FIG. 1, the network 10 has an arbitrary number of ASs (AS1 to AS8, etc.), and these ASs are interconnected to form a network topology of the network 10 imitating the Internet. . These AS are AS (AS1, AS2, AS3, AS5, AS8) having the mitigation device 50 and the DDoS cooperation countermeasure device 100, and AS (AS4, AS6, AS7) not having the mitigation device 50 and the DDoS cooperation countermeasure device 100. ).

DDoS連携対処装置100は、後述されるように、各AS間でDDoS攻撃情報等をやり取りし、やり取りしたDDoS攻撃情報に基づき、DDoS攻撃に対処するための対処パラメータを調整すると共に、他のASに対してDDoS攻撃の対処を要求する。ここでは、各ASは、どのASのDDoS連携対処装置100と通信すればよいかを示す連携先AS情報を予め保有している。連携先ASには、各ASから見てネットワーク的に近い任意数のASが設定される。また、DDoS攻撃に対処するための対処パラメータとは、例えば、AS1, AS2及びAS3で分担してある標的宛の攻撃に対処する場合、各ASで標的宛通信量を何Gbpsずつmitigation装置50に引き込んで対処するかを示す量、フィルタリングする場合に各ASで何Gbpsまで標的宛通信を減らすかを示す量(フィルタリングの閾値)などである。これらの対処パラメータは、各ASを流れる標的宛通信量や各ASが保有するmitigation装置50の容量(リソース量)などの情報に基づき計算することによって調整される。ここで、mitigation装置50に引き込んで対処する通信量を調整する際の情報の取得の流れや計算式を含むより詳細な説明を以下でより詳細に説明する。   As will be described later, the DDoS cooperation countermeasure device 100 exchanges DDoS attack information and the like between each AS, adjusts the countermeasure parameter for dealing with the DDoS attack based on the exchanged DDoS attack information, and other ASs. To deal with DDoS attacks. Here, each AS holds in advance cooperation destination AS information indicating which AS's DDoS cooperation coping apparatus 100 should communicate with. An arbitrary number of ASs that are close to the network as viewed from each AS is set in the linked AS. In addition, for example, when dealing with an attack addressed to a target shared by AS1, AS2, and AS3, a countermeasure parameter for coping with a DDoS attack is the mitigation device 50 that determines how much Gbps the traffic addressed to the target in each AS. For example, the amount indicating how to handle by pulling in, the amount indicating how much Gbps the target address communication is reduced in each AS when filtering (threshold for filtering), and the like. These coping parameters are adjusted by calculating based on information such as the target communication amount flowing through each AS and the capacity (resource amount) of the mitigation device 50 held by each AS. Here, a more detailed description including a flow of information acquisition and a calculation formula when adjusting the communication traffic to be handled by taking in the mitigation apparatus 50 will be described in more detail below.

AS1内の任意のシステムが攻撃の被害に遭っている場合、AS1は、連携先AS(AS2、AS5とする)のDDoS連携対処装置100に対して、DDoS攻撃情報(自AS番号や標的システムのIPアドレスの一覧)やパラメータ調整に必要な情報の要求、攻撃への対処要求等を送信する。また、連携先AS(例えば、AS2)では、AS1のDDoS連携対処装置100から受信した情報に基づき、標的宛通信への対処を実施したり、要求された情報を要求元AS(AS1)に応答したりする。さらに、連携先AS(AS2)は、より上流の連携先AS(AS2の場合は、AS3、AS5、AS8とする)に、DDoS攻撃情報やパラメータ調整に必要な情報の要求や攻撃への対処要求等を送信する。これを上流側AS方向に繰り返していくことで、攻撃元近くのASまでDDoS攻撃情報等が伝搬される。   When an arbitrary system in AS1 is damaged by an attack, AS1 sends the DDoS attack information (local AS number and target system) to the DDoS cooperation response device 100 of the cooperation destination AS (AS2 and AS5). A list of IP addresses), requests for information necessary for parameter adjustment, and requests for countermeasures against attacks are sent. Further, in the cooperation destination AS (for example, AS2), based on the information received from the DDoS cooperation countermeasure device 100 of AS1, the countermeasure to the target addressed communication is performed or the requested information is returned to the requesting AS (AS1). To do. Furthermore, the partner AS (AS2) requests the upstream partner AS (AS3, AS5, and AS8 in the case of AS2) to request DDoS attack information and information necessary for parameter adjustment, and to respond to the attack. Etc. By repeating this in the upstream AS direction, DDoS attack information etc. is propagated to the AS near the attack source.

本実施例では、自AS内のシステムが標的となっているAS(以降、標的AS)から連携先ASにDDoS攻撃情報等を通知する際に、標的となっているシステムが複数存在する場合には、標的のIPアドレスをまとめて通知することで、標的IPアドレス単位で攻撃情報通知を行う場合と比較して必要な通信回数を削減する。また、パラメータの調整も、同一ASに属するIPアドレス宛の攻撃を1つの攻撃としてまとめて宛先AS単位で調整をすることで、標的IPアドレス単位でパラメータ調整を実施する場合と比較して調整回数を削減する。なお、あるASから連携先ASに攻撃情報や対処要求等を送信するタイミングは任意であり、例えば、自AS内のシステムに対する新たな攻撃を検知した場合、まずは自AS内の防御機能のみで対処を行い自AS内の防御機能のリソースが逼迫した場合、自AS内のシステムへの攻撃を検知してから一定時間毎等に実施することが想定される。   In this example, when there are multiple target systems when notifying DDoS attack information etc. from the AS targeted by the system in its own AS (hereinafter referred to as the target AS) to the linked AS. Reduces the necessary number of communications compared to the case of notifying the attack information in units of target IP addresses by collectively reporting the target IP addresses. In addition, the number of adjustments can be adjusted compared to the case where parameter adjustment is performed in units of target IP addresses by combining attacks addressed to IP addresses belonging to the same AS as one attack and making adjustments in units of destination AS. To reduce. Note that the timing of sending attack information, response requests, etc. from a certain AS to the linked AS is arbitrary. For example, when a new attack is detected on a system within the local AS, the response is first handled only by the defense function within the local AS. If the resource of the defense function in the own AS is tight, it is assumed that the attack is performed at regular intervals after detecting an attack on the system in the own AS.

mitigation装置50は、例えば、非特許文献2に記載される装置であり、受信したDDoS攻撃情報等に基づき標的宛通信に対する対処を実施する。なお、DDoS攻撃に対処する技術としては、mitigation装置50の利用のほかに、ルータ等の転送装置によるACL(Access Control List)等を利用した攻撃通信のフィルタリング、攻撃の標的宛通信の帯域制限(レートリミット等)等も想定され、本発明は、これらの対処技術との組み合わせも可能である。後述の本実施形態における動作手順では、mitigation装置50を利用して連携対処する場合の具体的な動作手順を説明する。   The mitigation device 50 is a device described in Non-Patent Document 2, for example, and performs countermeasures for target addressed communication based on the received DDoS attack information and the like. In addition to the use of the mitigation device 50, technologies for dealing with DDoS attacks include filtering of attack communication using an ACL (Access Control List) by a transfer device such as a router, and bandwidth limitation of communication targeted to the attack ( Rate limit etc.) is also assumed, and the present invention can also be combined with these countermeasure techniques. In the operation procedure in the present embodiment to be described later, a specific operation procedure in the case of cooperating using the mitigation device 50 will be described.

次に、図2を参照して、本発明の一実施形態によるDDoS連携対処装置を有するASの構成を説明する。以下において、AS1に着目して本実施形態を説明するが、本実施形態が他のASに適用可能であることは当業者に容易に理解されるであろう。   Next, with reference to FIG. 2, the configuration of an AS having a DDoS cooperation handling apparatus according to an embodiment of the present invention will be described. In the following, the present embodiment will be described focusing on AS1, but it will be easily understood by those skilled in the art that the present embodiment is applicable to other ASs.

図2に示されるように、当該ASは、mitigation装置50、DDoS連携対処装置100、トラヒック情報収集・DDoS攻撃検知装置200、ネットワーク制御装置300及びパケット転送装置400を有する。   As shown in FIG. 2, the AS includes a mitigation device 50, a DDoS cooperation countermeasure device 100, a traffic information collection / DDoS attack detection device 200, a network control device 300, and a packet transfer device 400.

トラヒック情報収集・DDoS攻撃検知装置200は、ルータ等のパケット転送装置400から定期的にフロー情報(送受信IPアドレス、送受信ポート番号、プロトコル番号等の組からなるフロー毎の通信量等)を収集し、収集したフロー情報を分析することで特定の宛先へのDDoS攻撃の発生を検知する。また、攻撃を検知した場合、トラヒック情報収集・DDoS攻撃検知装置200は、自ASのDDoS連携対処装置100に対して、標的システムのIPアドレスを含む攻撃検知メッセージを送信する。攻撃検知メッセージに含まれる標的IPアドレスは、標的のシステムが複数存在する場合には、複数個通知されてもよい。なお、トラヒック情報収集・DDoS攻撃検知装置200は、例えば、非特許文献4に記載されるSAMURAI等によって実現されてもよい。さらに、トラヒック情報収集・DDoS攻撃検知装置200は、DDoS攻撃が発生した際、又は任意のタイミングで、標的のIPアドレス宛通信量、mitigation装置50の最大リソース量、mitigation装置50の利用可能なリソース量等を測定し、自ASのDDoS連携対処装置100に通知する機能を有する。   The traffic information collection / DDoS attack detection device 200 periodically collects flow information (communication amount for each flow including a set of transmission / reception IP address, transmission / reception port number, protocol number, etc.) from a packet transfer device 400 such as a router. By detecting the collected flow information, the occurrence of a DDoS attack on a specific destination is detected. When an attack is detected, the traffic information collection / DDoS attack detection device 200 transmits an attack detection message including the IP address of the target system to the DDoS cooperation countermeasure device 100 of the self AS. A plurality of target IP addresses included in the attack detection message may be notified when there are a plurality of target systems. Note that the traffic information collection / DDoS attack detection apparatus 200 may be realized by, for example, SAMURAI described in Non-Patent Document 4. Further, the traffic information collection / DDoS attack detection device 200 is configured such that when a DDoS attack occurs or at an arbitrary timing, the traffic amount to the target IP address, the maximum resource amount of the mitigation device 50, and the resources that can be used by the mitigation device 50 It has a function of measuring the amount etc. and notifying it to the DDoS cooperation handling apparatus 100 of its own AS.

mitigation装置50は、非特許文献2に説明される装置のように、DDoS攻撃対処に特化した装置であり、ある宛先に対する通信の中から攻撃通信と正常通信とを区別して、攻撃通信のみを遮断するといった対処を行うことができる。前述の通り、DDoS攻撃対処の手段はこの他にも想定できるが、本実施形態では、DDoS攻撃対処のための手段の一例として、ASがmitigation装置50を保有する場合について記載している。   The mitigation device 50 is a device specialized in dealing with a DDoS attack like the device described in Non-Patent Document 2, and distinguishes attack communication from normal communication from among communication to a certain destination, and performs only attack communication. It is possible to take measures such as blocking. As described above, other means for dealing with a DDoS attack can be assumed, but this embodiment describes a case where an AS has a mitigation device 50 as an example of a means for dealing with a DDoS attack.

ネットワーク制御装置300は、ルータ等のパケット転送装置400を制御する機能を有する。ネットワーク制御装置300は、例えば、SDN(Software-Defined Networking)コントローラであってもよい。また、ネットワーク制御装置300は、DDoS連携対処装置100と通信し、DDoS連携対処装置100から通知された情報(標的のIPアドレスの一覧、対処方式、対処のためのパラメータ等)に基づき、パケット転送装置400を制御することで、mitigation装置50に標的宛の通信を迂回させたり、各パケット転送装置400にフィルタリングを設定したりといった制御を行う。mitigation装置50を利用して対処する場合の具体例を説明すると、ネットワーク制御装置300は、BGP(Border Gateway Protocol)又はOpenFlow等を利用し、各パケット転送装置400の保有する標的宛パケットの転送に関わるルーティング情報を一時的に書き換える(転送先をmitigation装置50のIPアドレスに変更する)ことで、標的宛パケットのみをmitigation装置50に迂回させて検査・対処することができる。   The network control device 300 has a function of controlling the packet transfer device 400 such as a router. The network control device 300 may be, for example, an SDN (Software-Defined Networking) controller. Further, the network control device 300 communicates with the DDoS cooperation handling device 100, and based on the information notified from the DDoS cooperation handling device 100 (target IP address list, handling method, handling parameters, etc.), packet transfer By controlling the device 400, the mitigation device 50 performs control such as bypassing communication addressed to the target and setting filtering for each packet transfer device 400. A specific example in the case of using the mitigation device 50 will be described. The network control device 300 uses BGP (Border Gateway Protocol), OpenFlow, or the like to transfer a packet addressed to a target held by each packet transfer device 400. By temporarily rewriting the related routing information (changing the transfer destination to the IP address of the mitigation device 50), only the target-addressed packet can be diverted to the mitigation device 50 to be inspected and dealt with.

DDoS連携対処装置100は、ネットワーク制御装置300と通信し、標的のIPアドレスの一覧を含むDDoS攻撃情報、DDoS攻撃の対処方式(例えば、mitigation装置50を利用)、対処する通信量(mitigation装置50に引き込む標的宛通信量)等を通知する。また、DDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200と通信し、標的のIPアドレス宛の通信量、mitigation装置50の最大リソース量や利用可能なリソース量等を取得する。また、攻撃検知メッセージを受信した場合、DDoS連携対処装置100は、攻撃検知メッセージに含まれる標的IPアドレスを後述される標的IPアドレステーブルに蓄積していく。さらに、DDoS連携対処装置100は、連携先ASのDDoS連携対処装置100と通信し、DDoS攻撃情報(標的ASを識別可能な番号(ID)、標的IPアドレスの一覧等)や連携対処に必要な情報(各ASを流れる標的IPアドレス宛通信量を宛先AS単位で合算した値、利用可能なmitigation装置50のリソース量、各ASのmitigation装置50で対処する標的宛通信量といった対処パラメータ等)をやり取りする。ここで、DDoS攻撃情報は、上記情報のみに限定されず、連携対処する際のやり方に応じて、攻撃タイプ、攻撃元のIPアドレス情報等を含むものであってもよい。   The DDoS cooperation countermeasure device 100 communicates with the network control device 300, DDoS attack information including a list of target IP addresses, a DDoS attack countermeasure method (for example, using the mitigation device 50), and a communication amount to be dealt with (mitigation device 50) Notification of the amount of communication addressed to the target). Further, the DDoS cooperation handling apparatus 100 communicates with the traffic information collection / DDoS attack detection apparatus 200 to acquire the communication amount addressed to the target IP address, the maximum resource amount of the mitigation device 50, the available resource amount, and the like. When receiving the attack detection message, the DDoS cooperation handling apparatus 100 accumulates the target IP address included in the attack detection message in a target IP address table described later. Furthermore, the DDoS cooperation handling apparatus 100 communicates with the DDoS cooperation handling apparatus 100 of the cooperation destination AS, and is necessary for DDoS attack information (number (ID) that can identify the target AS, a list of target IP addresses, etc.) and cooperation handling. Information (a value obtained by summing the communication traffic addressed to the target IP address flowing through each AS in units of destination ASs, available resource amount of the mitigation device 50, handling parameters such as target communication traffic addressed by the mitigation device 50 of each AS) Interact. Here, the DDoS attack information is not limited to the above information, but may include the attack type, the IP address information of the attack source, and the like according to the way of cooperating.

DDoS連携対処装置100は、典型的には、サーバにより実現されてもよく、例えば、バスを介し相互接続されるドライブ装置、補助記憶装置、メモリ装置、プロセッサ、インタフェース装置及び通信装置から構成される。DDoS連携対処装置100における後述される各種機能及び処理を実現するプログラムを含む各種コンピュータプログラムは、CD−ROM(Compact Disk−Read Only Memory)、DVD(Digital Versatile Disk)、フラッシュメモリなどの記録媒体によって提供されてもよい。プログラムを記憶した記録媒体がドライブ装置にセットされると、プログラムが記録媒体からドライブ装置を介して補助記憶装置にインストールされる。但し、プログラムのインストールは必ずしも記録媒体により行う必要はなく、ネットワークなどを介し何れかの外部装置からダウンロードするようにしてもよい。補助記憶装置は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。メモリ装置は、プログラムの起動指示があった場合に、補助記憶装置からプログラムやデータを読み出して格納する。プロセッサは、メモリ装置に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるようなDDoS連携対処装置100の各種機能及び処理を実行する。インタフェース装置は、ネットワーク又は外部装置に接続するための通信インタフェースとして用いられる。通信装置は、インターネットなどのネットワークと通信するための各種通信処理を実行する。   The DDoS cooperation handling apparatus 100 may typically be realized by a server, and includes, for example, a drive device, an auxiliary storage device, a memory device, a processor, an interface device, and a communication device that are interconnected via a bus. . Various computer programs including programs for realizing various functions and processing described later in the DDoS cooperation handling apparatus 100 are recorded on a recording medium such as a CD-ROM (Compact Disk-Read Only Memory), a DVD (Digital Versatile Disk), or a flash memory. May be provided. When the recording medium storing the program is set in the drive device, the program is installed from the recording medium to the auxiliary storage device via the drive device. However, it is not always necessary to install the program using a recording medium, and the program may be downloaded from any external device via a network or the like. The auxiliary storage device stores the installed program and also stores necessary files and data. The memory device reads and stores the program and data from the auxiliary storage device when there is an instruction to start the program. The processor executes various functions and processes of the DDoS cooperation coping apparatus 100 as described later according to various data such as a program stored in the memory device and parameters necessary for executing the program. The interface device is used as a communication interface for connecting to a network or an external device. The communication device executes various communication processes for communicating with a network such as the Internet.

しかしながら、DDoS連携対処装置100は、上述したハードウェア構成に限定されるものでなく、他の何れか適切なハードウェア構成により実現されてもよい。なお、本実施例で示す構成は一例であり、例えば、トラヒック情報収集・DDoS攻撃検知装置200やネットワーク制御装置300は、DDoS連携対処装置100に組み込まれてもよい。   However, the DDoS cooperation handling apparatus 100 is not limited to the hardware configuration described above, and may be realized by any other appropriate hardware configuration. Note that the configuration shown in the present embodiment is an example. For example, the traffic information collection / DDoS attack detection device 200 and the network control device 300 may be incorporated in the DDoS cooperation countermeasure device 100.

次に、図3を参照して、本発明の一実施形態によるDDoS連携対処装置を詳細に説明する。図3は、本発明の一実施形態によるDDoS連携対処装置の構成を示すブロック図である。   Next, with reference to FIG. 3, a DDoS cooperation handling apparatus according to an embodiment of the present invention will be described in detail. FIG. 3 is a block diagram illustrating a configuration of a DDoS cooperation handling apparatus according to an embodiment of the present invention.

図3に示されるように、DDoS連携対処装置100は、処理部110、記憶部120及び通信部130を有する。   As illustrated in FIG. 3, the DDoS cooperation handling apparatus 100 includes a processing unit 110, a storage unit 120, and a communication unit 130.

処理部110は、以下で詳細に説明されるように、DDoS攻撃の標的IPアドレス宛の通信量を取得し、標的AS毎に標的IPアドレス宛の通信量の合計通信量を算出し、算出した標的AS宛の合計通信量に対してmitigation装置50などのASの防御機能のリソース割当量を決定する。具体的には、処理部110は、以下で詳細に説明されるメッセージ受付部111、攻撃検知メッセージ処理部112、情報要求メッセージ処理部113、情報応答メッセージ処理部114、対処要求メッセージ処理部115、再調整メッセージ処理部116、パラメータ調整部117及び攻撃対処設定部118を有する。   As will be described in detail below, the processing unit 110 acquires the communication amount addressed to the target IP address of the DDoS attack, calculates the total communication amount of the communication amount addressed to the target IP address for each target AS, and calculates The resource allocation amount of the defense function of the AS such as the mitigation device 50 is determined for the total communication amount addressed to the target AS. Specifically, the processing unit 110 includes a message receiving unit 111, an attack detection message processing unit 112, an information request message processing unit 113, an information response message processing unit 114, a countermeasure request message processing unit 115, which will be described in detail below. The readjustment message processing unit 116, the parameter adjustment unit 117, and the attack countermeasure setting unit 118 are included.

記憶部120は、自AS及び連携ASのDDoS攻撃に関する情報を記憶し、具体的には、標的IPアドレス情報テーブル、攻撃情報テーブル、連携先AS情報テーブル及びmitigation装置情報テーブルを有する。   The storage unit 120 stores information related to the DDoS attack of the local AS and the linked AS, and specifically includes a target IP address information table, an attack information table, a linked AS information table, and a mitigation device information table.

通信部130は、他のASのDDoS連携対処装置100、自ASのトラヒック情報収集・DDoS攻撃検知装置200及び自ASのネットワーク制御装置300と通信する。また、パケット転送装置400やmitigation装置50から直接情報を取得したり、制御したりする場合には、通信部130はこれらの装置とも通信する。   The communication unit 130 communicates with the DDoS cooperation handling apparatus 100 of another AS, the traffic information collection / DDoS attack detection apparatus 200 of the own AS, and the network control apparatus 300 of the own AS. When information is directly acquired or controlled from the packet transfer device 400 or the mitigation device 50, the communication unit 130 also communicates with these devices.

メッセージ受付部111は、トラヒック情報収集・DDoS攻撃検知装置200や他のDDoS連携対処装置100からの各種メッセージを待ち受け、受信したメッセージの種類に応じて対応するメッセージ処理部に振り分ける機能を有する。図4に示されるように、ステップS101において、メッセージ受付部111は、受信したメッセージをキューに格納し、例えば、FIFO方式で対応するメッセージ処理部に転送する。メッセージは、攻撃検知メッセージ、情報要求メッセージ、情報応答メッセージ、対処要求メッセージ、再調整メッセージの5種類存在する。各メッセージの内容等の詳細は後述する。   The message reception unit 111 has a function of waiting for various messages from the traffic information collection / DDoS attack detection device 200 and other DDoS cooperation response devices 100 and distributing them to the corresponding message processing unit according to the type of the received message. As shown in FIG. 4, in step S101, the message receiving unit 111 stores the received message in a queue and transfers the message to a corresponding message processing unit using, for example, a FIFO method. There are five types of messages: attack detection messages, information request messages, information response messages, countermeasure request messages, and readjustment messages. Details of the contents of each message will be described later.

攻撃検知メッセージ処理部112は、トラヒック情報収集・DDoS攻撃検知装置200からの攻撃検知メッセージに応答して処理を行う。攻撃検知メッセージを受信した場合(S110)、攻撃検知メッセージ処理部112は、図5に示されるような自ASの標的IPアドレス情報テーブルに、攻撃検知メッセージに含まれる標的IPアドレスを追加する(S111)。ここで、標的IPアドレス情報テーブルは、自ASで標的となっているシステムのIPアドレスを管理するためのテーブルであり、図5に示されるようなテーブル形式を有してもよい。図5に示される例では、標的IPアドレス情報テーブルは、攻撃の被害に遭っているASのID(「標的AS番号」)及び標的IPアドレスで構成される。本テーブルの標的IPアドレスの情報は、新規のIPアドレス宛攻撃の検知の都度、または、一定時間毎等の任意のタイミングで、トラヒック情報収集・DDoS攻撃検知装置200から通知され、蓄積される。   The attack detection message processing unit 112 performs processing in response to the attack detection message from the traffic information collection / DDoS attack detection apparatus 200. When the attack detection message is received (S110), the attack detection message processing unit 112 adds the target IP address included in the attack detection message to the target IP address information table of its own AS as shown in FIG. 5 (S111). ). Here, the target IP address information table is a table for managing the IP address of the system targeted by the own AS, and may have a table format as shown in FIG. In the example shown in FIG. 5, the target IP address information table is composed of an ID of an AS (“target AS number”) that has suffered damage from the attack and a target IP address. Information on the target IP address in this table is notified from the traffic information collection / DDoS attack detection device 200 every time a new IP address attack is detected, or at an arbitrary timing, for example, and accumulated.

また、攻撃検知メッセージ処理部112は、トラヒック情報収集・DDoS攻撃検知装置200を介して標的IPアドレス情報テーブルに含まれる各IPアドレス宛の通信量を取得し、図6に示されるような攻撃情報テーブルに当該IPアドレス宛通信量の和(「標的AS単位の攻撃通信量の合計値」)を格納する(S112)。ここで、攻撃情報テーブルは、各ASで対処中の攻撃を管理するためのテーブルであり、図6に示されるようなテーブル形式を有してもよい。図6に示される例では、攻撃情報テーブルは、攻撃の被害に遭っているASのID(「標的AS番号」)、後述される対処要求メッセージの直接の送信元ASのID(「要求元AS番号」)、「標的IPアドレス」、当該攻撃に対する自AS(AS2)及び他AS(AS3など)の対処ステータス情報等から構成される。攻撃情報テーブルでは、「標的AS番号」を主キーとしてレコードが用意され、他ASに関する情報は連携先ASの個数分存在する。また、対処ステータス情報は、対処を実施しているASのID(「AS番号」)、実施している対処方式(「対処方式」)、「標的AS単位の攻撃通信量の合計値」、対処している通信量(「対処中の通信量」)等の情報から構成される。特に、対処ステータスの情報は、例えば、対処方式がレートリミット等の場合には、どのくらいの量まで制限をかけるかの閾値等が登録されてもよく、上記の情報に限定されるものでない。また、同じ標的AS宛への攻撃であっても、例えば、攻撃に利用されるプロトコル等によって細かく制御を分けたい場合は、「標的AS+攻撃プロトコル等」を主キーとしてレコードを用意することも想定され、ある攻撃を管理するための情報も図示された情報に限定されない。   Further, the attack detection message processing unit 112 acquires the communication amount addressed to each IP address included in the target IP address information table via the traffic information collection / DDoS attack detection device 200, and the attack information as shown in FIG. The sum of the traffic volume addressed to the IP address (“total value of attack traffic volume of target AS unit”) is stored in the table (S112). Here, the attack information table is a table for managing an attack being handled by each AS, and may have a table format as shown in FIG. In the example shown in FIG. 6, the attack information table includes the ID of the AS that has suffered the attack (“target AS number”), and the ID of the direct source AS of the response request message described later (“request source AS”). Number ")," target IP address ", the status information of the local AS (AS2) and other AS (AS3, etc.) for the attack. In the attack information table, a record is prepared with “target AS number” as a primary key, and information on other ASs exists for the number of linked ASs. In addition, the response status information includes the ID of the AS that is taking action (“AS number”), the action that is being taken (“action method”), the “total attack traffic for each target AS”, It is composed of information such as the amount of communication being performed (“communication amount being handled”) and the like. In particular, for the handling status information, for example, when the handling method is a rate limit or the like, a threshold value or the like of how much the limit is applied may be registered, and is not limited to the above information. Also, even if the attack is directed to the same target AS, for example, if it is desired to divide the control finely according to the protocol used for the attack, it is also assumed that a record is prepared with “target AS + attack protocol, etc.” as the primary key The information for managing a certain attack is not limited to the illustrated information.

本処理及び以降の同様の処理においては、個々の宛先IPアドレス単位で指定して通信量を取得する場合、トラヒック情報収集・DDoS攻撃検知装置200の負荷が大きくなったり、取得に時間がかかったりする可能性がある。このため、例えば、ISPで平常時から取得していることが想定されるレベルのフローの情報(通信量の多い上位いくつかのフローの情報のみが保存)を参照し、その中に受信した標的IPアドレスの一覧に含まれるIPアドレス宛の通信量情報があれば、その情報のみを利用することも想定される。攻撃検知メッセージ処理部112は、標的AS単位の攻撃通信量の合計値が事前に設定された閾値以上の量かを判定し(S112)、閾値以上の場合は、次の2つの処理を実施する。   In this processing and the subsequent processing, when the traffic volume is acquired by specifying each destination IP address, the load of the traffic information collection / DDoS attack detection device 200 increases, or acquisition takes time. there's a possibility that. For this reason, for example, refer to flow information at a level that is assumed to be obtained from an ISP at normal times (only the information of the top few flows with the most traffic is saved), and the target received in it If there is traffic information destined for an IP address included in the IP address list, it is assumed that only that information is used. The attack detection message processing unit 112 determines whether the total attack traffic amount of the target AS unit is equal to or greater than a preset threshold value (S112). If the total value is equal to or greater than the threshold value, the attack detection message processing unit 112 performs the following two processes. .

第1に、攻撃検知メッセージ処理部112は、図7に示されるような予め保持されている自身の連携先AS情報テーブルを参照し、各連携先ASのDDoS連携対処装置100に対して、標的IPアドレス情報テーブルにおける標的AS番号及び標的IPアドレスの一覧と自身のAS番号とを含む情報要求メッセージを送信する(S113)。なお、上記の閾値の設定方法は任意であるが、例えば、各ASの管理者による事前設定が想定される。また、標的IPアドレスの一覧は、前回送信時の差分のみを送信することで、送信するデータサイズを削減してもよい。ここで、連携先AS情報テーブルは、各ASにおいて、連携先ASの情報を管理するためのテーブルであり、図7に示されるようなテーブル形式を有する。図7に示される例では、連携先AS情報テーブルは、「連携先ASのID」と「DDoS連携対処装置のIPアドレス」、「mitigation装置の利用可能リソース量」で構成されているが、連携先ASのDDoS連携対処装置100との通信形態によって、DDoS連携対処装置100のMACアドレスやポート番号等の他の情報が登録されてもよい。   First, the attack detection message processing unit 112 refers to its own cooperation destination AS information table as shown in FIG. 7, and targets the DDoS cooperation handling apparatus 100 of each cooperation destination AS. An information request message including a list of target AS numbers and target IP addresses in the IP address information table and its own AS number is transmitted (S113). In addition, although the setting method of said threshold value is arbitrary, the prior setting by the administrator of each AS is assumed, for example. In addition, the list of target IP addresses may reduce the data size to be transmitted by transmitting only the difference at the previous transmission. Here, the cooperation destination AS information table is a table for managing the information of the cooperation destination AS in each AS, and has a table format as shown in FIG. In the example shown in FIG. 7, the cooperation destination AS information table is composed of “cooperation destination AS ID”, “IP address of DDoS cooperation countermeasure device”, and “available resource amount of the mitigation device”. Other information such as the MAC address and port number of the DDoS cooperation handling apparatus 100 may be registered depending on the communication mode with the DDoS cooperation handling apparatus 100 of the destination AS.

第2に、攻撃検知メッセージ処理部112は、トラヒック情報収集・DDoS攻撃検知装置200を介して、後述するパラメータ調整に用いる自ASのmitigation装置50の利用可能リソース量を取得し、図8に示されるような自身のmitigation装置情報テーブルの値に登録する(S114)。ここで、mitigation装置情報テーブルは、各ASにおいてmitigation装置50の情報を管理するためのテーブルであり、図8に示されるようなテーブル形式を有してもよい。図8に示される実施例では、mitigation装置情報テーブルは、「最大リソース量」、最大リソース量から攻撃対処に利用中のリソース量を減算した値である「利用可能リソース量」等の情報から構成される。これらの情報は、トラヒック情報収集・DDoS攻撃検知装置200を介してmitigation装置50等から定期的または任意のタイミングで収集され、更新される。また、最大リソース量は、mitigation装置50を導入する際に管理者によって登録されてもよい。ここでは、mitigation装置50が1つのAS内に複数存在する場合は、その合計値を登録することを想定しているが、mitigation装置単位で管理してもよい。また、すでにその標的AS宛の攻撃に対処中の場合は、攻撃検知メッセージ処理部112は、自ASの攻撃情報テーブルに基づき対処中の標的AS宛通信量を取得してもよい。なお、攻撃検知メッセージを受信した時点で、後述する攻撃対処設定部118による攻撃対処を実施してもよい。   Second, the attack detection message processing unit 112 acquires the available resource amount of the own AS mitigation device 50 used for parameter adjustment, which will be described later, via the traffic information collection / DDoS attack detection device 200 and is shown in FIG. Is registered in the value of its own mitigation device information table (S114). Here, the mitigation device information table is a table for managing the information of the mitigation device 50 in each AS, and may have a table format as shown in FIG. In the embodiment shown in FIG. 8, the mitigation device information table is composed of information such as “maximum resource amount” and “available resource amount” that is a value obtained by subtracting the resource amount being used for attack countermeasures from the maximum resource amount. Is done. These pieces of information are collected and updated periodically or at an arbitrary timing from the mitigation apparatus 50 or the like via the traffic information collection / DDoS attack detection apparatus 200. Further, the maximum resource amount may be registered by the administrator when the mitigation device 50 is introduced. Here, it is assumed that when there are a plurality of mitigation devices 50 in one AS, it is assumed that the total value is registered, but they may be managed in units of mitigation devices. If the attack addressed to the target AS is already being dealt with, the attack detection message processing unit 112 may acquire the traffic volume addressed to the target AS being dealt with based on the attack information table of the own AS. Note that when an attack detection message is received, an attack countermeasure setting unit 118 described later may perform an attack countermeasure.

情報要求メッセージ処理部113は、他のASのDDoS連携対処装置100からの情報要求メッセージに応答して処理を行う。情報要求メッセージを受信した場合(S120)、情報要求メッセージ処理部113は、当該情報要求メッセージに含まれる標的AS番号、標的IPアドレスの一覧及びメッセージの送信元のAS番号を自身の攻撃情報テーブルに登録する(S121)。また、情報要求メッセージ処理部113は、トラヒック情報収集・DDoS攻撃検知装置200を介して受信した標的IPアドレスの一覧に含まれる各IPアドレス宛の通信量を取得し、その合計値を攻撃情報テーブルの標的AS単位の攻撃通信量の合計値として登録する(S122)。この際、情報要求メッセージ処理部113は、例えば、BGP (Border Gateway Protocol)の経路情報等を用いて、自ASからメッセージの送信元ASまで標的宛通信が流れているかの判断を行い、流れていない場合は、標的宛通信量を0として登録する。また、情報要求メッセージ処理部113は、標的AS単位の攻撃通信量の合計値が事前に設定された閾値以上かを判定し(S122)、閾値以上の場合は次の3つの処理を実施する。   The information request message processing unit 113 performs processing in response to the information request message from the DDoS cooperation handling apparatus 100 of another AS. When receiving the information request message (S120), the information request message processing unit 113 stores the target AS number, the list of target IP addresses, and the AS number of the message transmission source included in the information request message in its own attack information table. Register (S121). Further, the information request message processing unit 113 acquires the traffic amount addressed to each IP address included in the list of target IP addresses received via the traffic information collection / DDoS attack detection device 200, and the total value is obtained as the attack information table. Is registered as the total attack traffic volume of the target AS unit (S122). At this time, the information request message processing unit 113 uses, for example, BGP (Border Gateway Protocol) route information or the like to determine whether the communication addressed to the target is flowing from the own AS to the message transmission source AS. If there is not, the target communication volume is registered as 0. Further, the information request message processing unit 113 determines whether the total attack traffic amount of the target AS unit is equal to or greater than a preset threshold value (S122). If the total value is equal to or greater than the threshold value, the following three processes are performed.

第1に、情報要求メッセージ処理部113は、自ASの連携先AS情報テーブルに含まれる連携先AS(メッセージの送信元を除く)のDDoS連携対処装置100に対して、受信したメッセージに含まれる標的AS番号、標的IPアドレスの一覧及び自身のAS番号を含む情報要求メッセージを送信する(S123)。   First, the information request message processing unit 113 is included in the received message to the DDoS cooperation handling apparatus 100 of the cooperation destination AS (excluding the message transmission source) included in the cooperation destination AS information table of its own AS. An information request message including a target AS number, a list of target IP addresses, and its own AS number is transmitted (S123).

第2に、情報要求メッセージ処理部113は、トラヒック情報収集・DDoS攻撃検知装置200を介して防御機能(mitigation装置50等)の利用可能リソース量を取得し、自身のmitigation装置情報テーブルの値に登録する。また、すでにその標的AS宛の攻撃に対処中の場合は、情報要求メッセージ処理部113は、自ASの攻撃情報テーブルに基づき対処中の標的AS宛通信量を取得する。第3に、情報要求メッセージ処理部113は、情報要求メッセージの送信元ASに、受信した情報要求メッセージに含まれるものと同じ標的AS番号、自身のAS番号、自AS内を流れる標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量及び対処中の標的AS宛通信量を含む情報応答メッセージを送信する(S124)。   Secondly, the information request message processing unit 113 acquires the available resource amount of the defense function (such as the mitigation device 50) via the traffic information collection / DDoS attack detection device 200, and sets the value in its own mitigation device information table. sign up. Further, when the attack addressed to the target AS is already being dealt with, the information request message processing unit 113 acquires the communication amount addressed to the target AS being dealt with based on the attack information table of the own AS. Thirdly, the information request message processing unit 113 sets the same target AS number as that included in the received information request message, its own AS number, and the target AS unit flowing in its own AS to the source AS of the information request message. An information response message including the total value of the attack traffic, the available resource amount of the mitigation device 50, and the traffic addressed to the target AS being dealt with is transmitted (S124).

情報応答メッセージ処理部114は、他のASのDDoS連携対処装置100からの情報応答メッセージに応答して処理を行う。情報応答メッセージを受信した場合(S130)、情報応答メッセージ処理部114は、そのメッセージに含まれる標的AS番号を参照して、攻撃情報テーブル内の対応する行の他ASに関する情報部分を受信した情報で更新する(S131)。具体的には、情報応答メッセージ処理部114は、メッセージ送信元AS番号(新規登録の場合)、標的AS単位の攻撃通信量の合計値及び対処中の標的AS宛通信量を更新する。また、情報応答メッセージ処理部114は、連携先AS情報テーブルのmitigation装置50の利用可能リソース量(メッセージの送信元ASの値)を更新する。   The information response message processing unit 114 performs processing in response to the information response message from the DDoS cooperation handling apparatus 100 of another AS. When the information response message is received (S130), the information response message processing unit 114 refers to the target AS number included in the message and receives the information part regarding the other AS in the corresponding row in the attack information table (S131). Specifically, the information response message processing unit 114 updates the message transmission source AS number (in the case of new registration), the total attack traffic volume for each target AS, and the target AS traffic volume being dealt with. Further, the information response message processing unit 114 updates the available resource amount (value of the message transmission source AS) of the mitigation device 50 in the cooperation destination AS information table.

さらに、"メッセージに含まれる標的AS番号と自身のAS番号が同じ場合であって、その標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合(S132)"、または、"メッセージに含まれる標的AS番号と自身のAS番号が異なる場合であって、その標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合で、その標的AS番号を含む対処要求メッセージを下流ASから受信済みの場合(S136)"は、連携先ASとの間で後述されるパラメータ調整部117によるパラメータ調整処理を実施する。   In addition, "If the target AS number included in the message is the same as its own AS number, an information response message including the target AS number has been received from all ASs that have transmitted information request messages including the target AS number. In the case of (S132), or the target AS number included in the message is different from its own AS number, the target AS number is obtained from all ASs that have transmitted the information request message including the target AS number. In the case where the information response message including the target AS number has been received and the countermeasure request message including the target AS number has been received from the downstream AS (S136), the parameter adjustment unit 117 described later with the cooperation destination AS Perform the adjustment process.

情報応答メッセージ処理部114は、パラメータ調整処理の結果得られた「その標的AS宛通信に対して各ASで対処する通信量」を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新する(S133,S134,S137,S138)。また、後述される攻撃対処設定部118による標的宛通信への対処を実施する。   The information response message processing unit 114 uses the “communication amount handled by each AS for the communication addressed to the target AS” obtained as a result of the parameter adjustment processing, so that the value of the available resource amount (self Subtracting the amount of traffic handled by the AS), the total attack traffic volume of the target AS unit in the information related to the local AS in the attack information table (subtracting the amount of traffic handled by the other AS) and the information of the local AS and other AS The value of the traffic volume being dealt with (the value of the traffic volume dealt with by each AS is set) is updated (S133, S134, S137, S138). In addition, a countermeasure to the target addressed communication is performed by the attack countermeasure setting unit 118 described later.

また、情報応答メッセージ処理部114は、対処要求メッセージの送信元AS(下流AS)のDDoS連携対処装置100に対して、再調整メッセージを送信する(S139)(本処理はメッセージに含まれる標的AS番号と自身のAS番号が異なる場合のみ実施)。再調整メッセージには、標的AS番号(受信メッセージに含まれるものと同じ値を設定)、自身のAS番号、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量、対処中の標的AS宛通信量が含まれる。   Further, the information response message processing unit 114 transmits a readjustment message to the DDoS cooperation handling apparatus 100 of the handling request message transmission source AS (downstream AS) (S139) (this processing is performed by the target AS included in the message). (Only when the number is different from the AS number) In the readjustment message, the target AS number (set to the same value as that included in the received message), its own AS number, the total amount of attack traffic for each target AS, the amount of resources available for the mitigation device 50, and being handled The amount of traffic to the target AS is included.

また、情報応答メッセージ処理部114は、連携先AS(メッセージの送信元を除く)のDDoS連携対処装置100に対して、対処要求メッセージを送信する(S135,S140)。対処要求メッセージには、標的AS番号(受信メッセージの標的AS番号と同じ値を設定)、自身のAS番号、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られた値)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られた値)から調整に用いたメッセージの宛先ASで対処中の標的AS宛通信量を減算した値(以降、標的AS宛通信に対する対処量の差分値)が含まれる。なお、標的AS宛通信に対する対処量の差分値は、異なるASを標的とする複数の攻撃に並列的に対処する際の情報のズレを補正するために利用する。   Further, the information response message processing unit 114 transmits a handling request message to the DDoS cooperation handling apparatus 100 of the cooperation destination AS (excluding the message transmission source) (S135, S140). In the action request message, the target AS number (set the same value as the target AS number of the received message), its own AS number, the target AS traffic handled by the message destination AS (value obtained as a result of adjustment), The value obtained by subtracting the target AS traffic addressed by the message destination AS used for adjustment from the target AS traffic addressed by the message destination AS (value obtained as a result of adjustment) (hereinafter referred to as target AS communication) Difference value of coping amount with respect to). In addition, the difference value of the handling amount with respect to the communication addressed to the target AS is used to correct a shift in information when dealing with a plurality of attacks targeting different ASs in parallel.

対処要求メッセージ処理部115は、他のDDoS連携対処装置100からの対処要求メッセージに応答して処理を行う。対処要求メッセージを受信した場合(S150)、対処要求メッセージ処理部115は、標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)及び攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。また、後述の攻撃対処設定部118による標的宛通信への対処を実施する(S151)。"メッセージに含まれる標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合(S152)"、連携先ASとの間で後述のパラメータ調整部117によるパラメータ調整処理を実施する(S153)。パラメータ調整後の処理は、前述の情報応答メッセージ処理部のパラメータ調整後の処理と同様である(S154〜S156)。   The handling request message processing unit 115 performs processing in response to a handling request message from another DDoS cooperation handling apparatus 100. When the countermeasure request message is received (S150), the countermeasure request message processing unit 115 uses the difference value of the countermeasure amount with respect to the communication addressed to the target AS, and the available resource amount (subtraction of difference value) and attack of the mitigation device information table Updates the traffic (target difference) for the target AS that is being handled by the local AS in the information table. Further, a countermeasure to the target addressed communication is performed by the attack countermeasure setting unit 118 described later (S151). "When an information response message including the target AS number has been received from all ASs that have transmitted the information request message including the target AS number included in the message (S152)", parameter adjustment described later with the cooperation destination AS Parameter adjustment processing by the unit 117 is performed (S153). The process after the parameter adjustment is the same as the process after the parameter adjustment of the information response message processing unit (S154 to S156).

再調整メッセージ処理部116は、他のASのDDoS連携対処装置100からの再調整メッセージに応答して処理を行う。再調整メッセージを受信した場合(S160)、再調整メッセージ処理部116は、受信メッセージに含まれる標的AS番号を参照して、攻撃情報テーブル内の対応する行の他ASに関する情報(メッセージ送信元AS番号に対応する部分)を受信した情報で更新する(S161)。具体的には、再調整メッセージ処理部116は、標的AS単位の攻撃通信量の合計値及び対処中の標的AS宛通信量を更新する。また、再調整メッセージ処理部116は、連携先AS情報テーブルのmitigation装置50の利用可能リソース量(メッセージの送信元ASの値)を更新する。その後、連携先ASとの間で後述のパラメータ調整部によるパラメータ調整処理を実施する(S162)。パラメータ調整後の処理は、前述の情報応答メッセージ処理部のパラメータ調整後の処理と同様である(S163〜S165)。   The readjustment message processing unit 116 performs processing in response to the readjustment message from the DDoS cooperation handling apparatus 100 of another AS. When the readjustment message is received (S160), the readjustment message processing unit 116 refers to the target AS number included in the received message, and information on the other AS in the corresponding row in the attack information table (message source AS The part corresponding to the number is updated with the received information (S161). Specifically, the readjustment message processing unit 116 updates the total attack traffic volume of the target AS unit and the target AS traffic volume being dealt with. Further, the readjustment message processing unit 116 updates the available resource amount (value of the message transmission source AS) of the mitigation device 50 in the cooperation destination AS information table. Thereafter, parameter adjustment processing by a parameter adjustment unit described later is performed with the cooperation destination AS (S162). The process after the parameter adjustment is the same as the process after the parameter adjustment of the information response message processing unit described above (S163 to S165).

パラメータ調整部117は、他の処理部によって呼び出され、攻撃情報テーブル、連携先AS情報テーブル及びmitigation装置情報テーブルに格納された情報(自AS及び連携先ASの標的AS単位の攻撃通信量の合計値、対処中の通信量、利用可能リソース量)に基づき、任意のAS宛の攻撃に対して自ASと連携先AS間で対処する通信量を算出する機能を有する。ここでは、標的AS単位で攻撃をまとめて各ASで対処する通信量を調整することで、標的IPアドレス単位で1つずつ調整する場合と比較して、必要な調整回数を削減できる。なお、後述の実施例では、各ASがmitigation装置50を利用して対処する際に、各ASのmitigation装置50の使用率ができるだけ均一になるように、各ASで対処する通信量を調整する方法について説明する。しかしながら、調整のためのポリシ(目的関数)は上記に限定されるものではない。   The parameter adjustment unit 117 is called by another processing unit, and is stored in the attack information table, the cooperation destination AS information table, and the mitigation device information table (total attack traffic volume of the target AS unit of the local AS and the cooperation destination AS). Value, communication volume being handled, and amount of available resources), it has a function of calculating the traffic volume to be handled between the local AS and the linked AS for attacks directed to any AS. Here, the number of adjustments required can be reduced by adjusting the amount of communication to be handled by each AS by collecting attacks in the target AS unit, compared to the case of adjusting one by one in the target IP address unit. In the embodiment described later, when each AS handles using the mitigation device 50, the amount of communication handled by each AS is adjusted so that the usage rate of the mitigation device 50 of each AS is as uniform as possible. A method will be described. However, the policy (objective function) for adjustment is not limited to the above.

攻撃対処設定部118は、他の処理部によって呼び出され、標的IPアドレス情報テーブル及び攻撃情報テーブルを参照することで、標的IPアドレスの一覧、対処方式及び自ASで対処する標的AS宛通信量を取得し、これらの情報をネットワーク制御装置300に通知する機能を有する。前述のとおり、ネットワーク制御装置300は、受信した上記の情報に基づき、標的AS宛通信(の内、標的IPアドレスの一覧に含まれるIPアドレス宛通信)を、通知された通信量分だけmitigation装置50に引き込んで対処する。また、他の処理部による攻撃対処設定部118の呼び出しのタイミングも任意であり、例えば、各種メッセージを受信したタイミング、メッセージ処理部によるパラメータ調整処理が終了したタイミングで呼び出されることが想定される。   The attack countermeasure setting unit 118 is called by another processing unit and refers to the target IP address information table and the attack information table, so that the target IP address list, the countermeasure method, and the target AS-addressed traffic to be dealt with by the own AS are determined. It has a function of acquiring and notifying the network control device 300 of such information. As described above, based on the received information, the network control device 300 performs the communication for the target AS (including the communication for the IP address included in the target IP address list) by the notified communication amount. Pull to 50 to deal with it. In addition, the timing of calling the attack countermeasure setting unit 118 by another processing unit is also arbitrary. For example, it is assumed that the attack processing setting unit 118 is called at a timing when various messages are received and when a parameter adjustment process is completed by the message processing unit.

次に、図9〜10を参照して、本発明の一実施形態によるDDoS連携対処装置の間の動作手順及び各ASがmitigation装置50を保有している場合に、複数AS間で連携対処を行う際の対処ロジックの一例を説明する。図9及び図10は、本発明の一実施形態によるDDoS連携対処装置間の動作手順を示すシーケンス図である。本対処ロジックでは、複数箇所が同時に攻撃される場合にも対処不能にならないように、可能な限り各ASのmitigation装置50の使用率が均一になるように、各mitigation装置50で処理する通信量を調整しながら対処を実施する。本対処ロジックは一例であり、例えば、攻撃元に最も近いASから順に、mitigation装置50のリソース上限まで各標的AS宛攻撃に対処する等、任意の対処ロジックを適用できる。   Next, with reference to FIGS. 9 to 10, when the operation procedure between the DDoS cooperation countermeasure devices according to an embodiment of the present invention and each AS has the mitigation device 50, cooperation countermeasures are performed between a plurality of ASs. An example of coping logic when performing will be described. 9 and 10 are sequence diagrams showing an operation procedure between the DDoS cooperation countermeasure apparatuses according to the embodiment of the present invention. In this coping logic, the amount of communication processed by each mitigation device 50 so that the usage rate of the mitigation device 50 of each AS is as uniform as possible so that it becomes impossible to deal with even when multiple locations are attacked simultaneously. Take action while adjusting. This countermeasure logic is an example. For example, any countermeasure logic such as dealing with attacks targeted to each target AS up to the resource upper limit of the mitigation apparatus 50 in order from the AS closest to the attack source can be applied.

ここでは、下流ASが、上流ASのmitigation装置50で検査済みのパケットと未検査のパケットとを区別可能であることを前提とし、各ASでは、標的宛かつ未検査のパケットのみを対象に、指定された通信量分をmitigation装置50に引き込んで対処する。なお、検査済みのパケットと未検査のパケットとを区別可能にする方法としては、例えば、OpenFlow等を利用して、上流ASにおいて、mitigation装置50で検査済みの標的宛パケットの宛先IPアドレスを、被害AS内の平常時は使用していない任意のIPアドレスに書き換え、被害ASに到達後に、元のIPアドレスに戻すといった方法や、GRE(Generic Routing Encapsulation)等のトンネリング技術を利用して、被害ASの任意のルータ等までカプセル化して転送するといった方法が考えられるが、これらの方法に限定するものではない(どちらの方法でも、上流ASのmitigation装置50で検査済みの場合は、途中のASでは、標的とは異なる宛先IPアドレスのパケットに見えるため、mitigation装置50への二重引き込みを回避できる)。この場合、被害ASのDDoS連携対処装置100と対処を実施するASのDDoS連携対処装置100との間で、書き換えに利用するIPアドレス情報、トンネルの始点、終点となるノードのIPアドレスを追加で共有する必要があり、例えば、対処要求メッセージに含めて共有することが考えられる。   Here, assuming that the downstream AS can distinguish between the packet that has been inspected by the mitigation device 50 of the upstream AS and the packet that has not been inspected, each AS targets only the unaddressed packet addressed to the target. The specified amount of communication is drawn into the mitigation device 50 to deal with it. As a method for making it possible to distinguish between an inspected packet and an uninspected packet, for example, using OpenFlow or the like, in the upstream AS, the destination IP address of the target destination packet that has been inspected by the mitigation device 50 is Damage can be done by rewriting to an arbitrary IP address that is not used normally in the damaged AS, returning to the original IP address after reaching the damaged AS, or using tunneling technology such as GRE (Generic Routing Encapsulation). Methods such as encapsulating and transferring to any router in the AS are conceivable, but the method is not limited to these methods. (In either method, if the upstream AS mitigation device 50 has inspected the AS, Then, since it looks like a packet with a destination IP address different from the target, double pull-in to the mitigation device 50 can be avoided). In this case, the IP address information used for rewriting and the IP address of the node that is the start point and end point of the tunnel are added between the DDoS cooperation response device 100 of the damaged AS and the DDoS cooperation response device 100 of the AS that performs the countermeasure. For example, it can be considered to be included in the handling request message.

以降では、AS1のトラヒック情報収集・DDoS攻撃検知装置200による標的システム1及び標的システム2への攻撃の検知をトリガーとして、自動的にAS間での連携対処が行われる際の動作手順を説明する。ここでは、各ASのDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200や他のASのDDoS連携対処装置100からのメッセージを常に待ち受け、メッセージを受信した際には、上述したように当該メッセージに対する処理を実施する。また、あるメッセージの処理中に他のメッセージを受信した場合は、受信したメッセージをキューに貯めていき、最も古いメッセージから1つずつ処理を実施する場合を記載している。また、以下の実施例では、1つのAS(AS1)が標的となっている場合について記載しているが、複数のASが同時に攻撃される場合にも、それぞれの攻撃に並列で対処することができる。   In the following, the operation procedure when automatically cooperating between ASs will be described, triggered by the detection of attacks on the target system 1 and the target system 2 by the AS1 traffic information collection / DDoS attack detection device 200. . Here, the DDoS cooperation response device 100 of each AS always waits for a message from the traffic information collection / DDoS attack detection device 200 or the DDoS cooperation response device 100 of another AS and receives the message as described above. The processing for the message is performed. In addition, when another message is received during processing of a certain message, the received message is stored in a queue, and processing is performed one by one from the oldest message. Moreover, although the following example describes the case where one AS (AS1) is targeted, even when multiple ASs are attacked simultaneously, each attack can be dealt with in parallel. it can.

図9に示されるように、ステップS201において、AS1のトラヒック情報収集・DDoS攻撃検知装置200は、攻撃の発生を検知し、AS1のDDoS連携対処装置100に標的システム1と標的システム2とのIPアドレスを含む攻撃検知メッセージを送信する。   As shown in FIG. 9, in step S201, the AS1 traffic information collection / DDoS attack detection device 200 detects the occurrence of an attack, and the AS1 DDoS cooperation response device 100 receives the IP between the target system 1 and the target system 2. Send an attack detection message containing the address.

ステップS202において、AS1のDDoS連携対処装置100は、自ASの標的IPアドレス情報テーブルに攻撃検知メッセージに含まれる標的IPアドレスを追加する。   In step S202, the DDoS cooperation handling apparatus 100 of AS1 adds the target IP address included in the attack detection message to the target IP address information table of its own AS.

ステップS203において、AS1のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200を介して標的IPアドレス情報テーブルに含まれるIPアドレス宛通信量を取得し、その通信量の合計値を自身の攻撃情報テーブルに格納する。   In step S203, the DDoS cooperation handling apparatus 100 of AS1 acquires the traffic volume addressed to the IP address included in the target IP address information table via the traffic information collection / DDoS attack detection apparatus 200, and calculates the total value of the traffic volume itself. Stored in the attack information table.

ステップS204において、AS1のDDoS連携対処装置100は、標的AS単位の攻撃通信量の合計値が事前に設定された閾値以上の量かを判定し、閾値以上の場合は、自身の連携先AS情報テーブルを参照し、各連携先AS(AS2, AS5)のDDoS連携対処装置100に対して、標的AS番号、標的IPアドレスの一覧及び自身のAS番号を含む情報要求メッセージを送信する。さらに、AS1のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200を介して後述するパラメータ調整に用いる自ASのmitigation装置50の利用可能リソース量を取得し、自身のmitigation装置情報テーブルに登録する。また、すでにその標的AS宛の攻撃に対処中の場合は、AS1のDDoS連携対処装置100は、自ASの攻撃情報テーブルに基づき対処中の標的AS宛通信量を取得する。ここでは、対処中の標的AS宛通信量は0とする。   In step S204, the DDoS cooperation handling apparatus 100 of AS1 determines whether the total attack traffic volume of the target AS unit is an amount that is equal to or greater than a preset threshold value. With reference to the table, an information request message including a target AS number, a list of target IP addresses, and its own AS number is transmitted to the DDoS cooperation handling apparatus 100 of each cooperation destination AS (AS2, AS5). Furthermore, the DDoS cooperation handling apparatus 100 of AS1 acquires the available resource amount of the own AS mitigation apparatus 50 used for parameter adjustment described later via the traffic information collection / DDoS attack detection apparatus 200, and its own mitigation apparatus information table. Register with. If the attack addressed to the target AS is already being dealt with, the DDoS cooperation handling apparatus 100 of AS1 acquires the traffic volume addressed to the target AS being dealt with based on the attack information table of the own AS. Here, the traffic volume addressed to the target AS being dealt with is assumed to be zero.

ステップS205において、AS2及びAS5のDDoS連携対処装置100は、AS1からの情報要求メッセージに含まれる標的AS番号、標的IPアドレスの一覧及びメッセージの送信元のAS番号を自身の攻撃情報テーブルに登録する。   In step S205, the DDoS cooperation handling apparatus 100 of AS2 and AS5 registers the target AS number, the list of target IP addresses, and the AS number of the transmission source of the message included in the information request message from AS1 in its own attack information table. .

ステップS206において、AS2及びAS5のDDoS連携対処装置100は、自ASのトラヒック情報収集・DDoS攻撃検知装置200を介して標的IPアドレスの一覧に含まれるIPアドレス宛通信量を取得し、その合計値を攻撃情報テーブルの標的AS単位の攻撃通信量の合計値として登録する。この際、AS2及びAS5のDDoS連携対処装置100は、例えば、BGPの経路情報等を用いて、自ASからメッセージの送信元ASまで標的宛通信が流れているかの判断を行い、流れていない場合は、標的宛通信量を0として登録する。   In step S206, the AS2 and AS5 DDoS cooperation response device 100 acquires the traffic volume addressed to the IP address included in the list of target IP addresses via the traffic information collection / DDoS attack detection device 200 of its own AS, and the total value thereof Is registered as the total attack traffic volume of the target AS unit in the attack information table. At this time, the DDoS cooperation handling apparatus 100 of AS2 and AS5 determines whether communication addressed to the target is flowing from its own AS to the message transmission source AS using, for example, BGP route information or the like. Registers the traffic addressed to the target as 0.

ステップS207において、AS2及びAS5のDDoS連携対処装置100は、標的AS単位の攻撃通信量の合計値が事前に設定された閾値以上の量かを判定し、閾値以上の場合は、自ASの連携先AS情報テーブルに含まれる連携先AS(メッセージの送信元を除く)のDDoS連携対処装置100に対して、受信したメッセージに含まれる標的AS番号、標的IPアドレスの一覧及び自身のAS番号を含む情報要求メッセージを送信する。ここでは、AS2の連携先はAS1、AS3、AS8であり、AS5の連携先はAS1とする。つまり、AS2はAS3とAS8に情報要求メッセージを送信し、AS5は他のASに情報要求メッセージを送信しない。また、AS2からの情報要求メッセージを受信したAS3とAS8は、上述したステップS205の情報要求メッセージ受信処理を同様に実施する。本手順のように、情報要求メッセージを先に上流AS方向に送信しておくことで、各ASは、他のASでの調整を待たずに標的宛通信量の取得処理を開始でき、インターネット全体として迅速な調整を行うことができる。また、AS2及びAS5のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200を介してmitigation装置50の利用可能リソース量を取得し、自身のmitigation装置情報テーブルに登録する。また、すでにその標的AS宛の攻撃に対処中の場合は、AS2及びAS5のDDoS連携対処装置100は、自ASの攻撃情報テーブルに基づき対処中の標的AS宛通信量を取得する。ここでは、対処中の標的AS宛通信量は0とする。さらに、AS2及びAS5のDDoS連携対処装置100は、情報要求メッセージの送信元ASに、受信した情報要求メッセージに含まれるものと同じ標的AS番号、自身のAS番号、自AS内を流れる標的AS単位の攻撃通信量の合計値、mitigation装置の利用可能リソース量及び対処中の標的AS宛通信量を含む情報応答メッセージを送信する。ここでは、AS1が、AS2からの情報応答メッセージを先に受信し、その後、AS5からの情報応答メッセージを受信した場合について記載する。   In step S207, the AS2 and AS5 DDoS cooperation countermeasure device 100 determines whether the total attack traffic volume of the target AS unit is greater than or equal to a preset threshold value. For the DDoS cooperation handling device 100 of the cooperation destination AS (excluding the message transmission source) included in the destination AS information table, the target AS number included in the received message, the list of target IP addresses, and its own AS number are included. Send an information request message. Here, AS2 is associated with AS1, AS3, and AS8, and AS5 is associated with AS1. That is, AS2 transmits information request messages to AS3 and AS8, and AS5 does not transmit information request messages to other ASs. Also, AS3 and AS8 that have received the information request message from AS2 perform the information request message reception process of step S205 described above in the same manner. By sending an information request message in the upstream AS direction first, as in this procedure, each AS can start the target traffic volume acquisition process without waiting for adjustments in other ASs. As quick adjustments can be made. Further, the AS2 and AS5 DDoS cooperation coping apparatus 100 acquires the available resource amount of the mitigation apparatus 50 via the traffic information collection / DDoS attack detection apparatus 200 and registers it in its own mitigation apparatus information table. If the attack addressed to the target AS is already being dealt with, the DDoS cooperation countermeasure device 100 of AS2 and AS5 acquires the traffic volume addressed to the target AS being dealt with based on the attack information table of the own AS. Here, the traffic volume addressed to the target AS being dealt with is assumed to be zero. Furthermore, the DDoS cooperation handling apparatus 100 of AS2 and AS5 sends the same target AS number, its own AS number, and the target AS unit that flows in its own AS to the source AS of the information request message. The information response message including the total value of the attack traffic of the target, the available resource amount of the mitigation device, and the traffic addressed to the target AS being dealt with is transmitted. Here, a case where AS1 receives the information response message from AS2 first and then receives the information response message from AS5 will be described.

ステップS208において、AS1のDDoS連携対処装置100は、AS2からの情報応答メッセージを受信した場合、そのメッセージに含まれる標的AS番号を参照して、攻撃情報テーブル内の対応する行の他ASに関する情報部分を、受信した情報で更新する。具体的には、AS1のDDoS連携対処装置100は、メッセージ送信元のAS2の情報として、受信した標的AS単位の攻撃通信量の合計値及び対処中の標的AS宛通信量を登録する。   In step S208, when the DDoS cooperation handling apparatus 100 of AS1 receives the information response message from AS2, it refers to the target AS number included in the message, and information on the other AS in the corresponding row in the attack information table. Update the part with the received information. Specifically, the DDoS cooperation handling apparatus 100 of AS1 registers the received total attack traffic volume of the target AS unit and the target AS traffic volume being dealt with as AS2 information of the message transmission source.

ステップS209において、AS1のDDoS連携対処装置100は、連携先AS情報テーブルのmitigation装置50の利用可能リソース量(メッセージの送信元ASの値)を登録する。   In step S209, the DDoS cooperation handling apparatus 100 of AS1 registers the available resource amount (message transmission source AS value) of the mitigation apparatus 50 in the cooperation destination AS information table.

ステップS210において、AS1のDDoS連携対処装置100は、AS2からの情報応答メッセージに対して、"メッセージに含まれる標的AS番号と自身のAS番号が同じ場合であって、その標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合"、または、"メッセージに含まれる標的AS番号と自身のAS番号が異なる場合であって、その標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合であって、その標的AS番号を含む対処要求メッセージを下流ASから受信済みの場合"の条件に合致するかの判定を行い、合致しないため処理を終了する。   In step S210, the DDoS cooperation coping apparatus 100 of AS1 responds to the information response message from AS2, “if the target AS number included in the message is the same as its own AS number, and includes the target AS number. If an information response message including the target AS number has been received from all ASs that sent the request message, or if the target AS number included in the message is different from its own AS number, and the target AS number When the information response message including the target AS number has been received from all ASs that have transmitted the information request message including the number and the response request message including the target AS number has been received from the downstream AS. It is determined whether or not the condition is met, and the process is terminated because the condition is not met.

ステップS211において、AS1のDDoS連携対処装置100は、AS5からの情報応答メッセージを受信した場合、そのメッセージに含まれる標的AS番号を見て、攻撃情報テーブル内の対応する行の他ASに関する情報部分を、受信した情報で更新する。具体的には、AS1のDDoS連携対処装置100は、メッセージ送信元のAS5の情報として、受信した標的AS単位の攻撃通信量の合計値及び対処中の標的AS宛通信量を登録する。   In step S211, when the information response message from AS5 is received, the DDoS cooperation handling apparatus 100 of AS1 looks at the target AS number included in the message, and the information part regarding other AS in the corresponding row in the attack information table Is updated with the received information. Specifically, the DDoS cooperation handling apparatus 100 of AS1 registers the received attack traffic volume in units of target AS and the traffic volume addressed to the target AS being dealt with as AS5 information of the message transmission source.

ステップS212において、AS1のDDoS連携対処装置100は、連携先AS情報テーブルのmitigation装置50の利用可能リソース量(メッセージの送信元ASの値)を登録する。   In step S212, the DDoS cooperation handling apparatus 100 of AS1 registers the available resource amount (value of the message transmission source AS) of the mitigation apparatus 50 in the cooperation destination AS information table.

ステップS213において、AS1のDDoS連携対処装置100は、AS5からの情報応答メッセージに対して、ステップS210と同様の条件による判定を行い、"メッセージに含まれる標的AS番号と自身のAS番号が同じ場合であって、その標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合"に合致するため、下記の最適化問題を解くことで、各AS(AS1、AS2、AS5)で対処する標的AS宛通信量を算出する。一般化した表現では、当該最適化問題は以下とすることができる。   In step S213, the DDoS cooperation handling apparatus 100 of AS1 makes a determination on the information response message from AS5 based on the same conditions as in step S210. If “the target AS number included in the message is the same as its own AS number” In order to match the case where the information response message including the target AS number has been received from all ASs that have transmitted the information request message including the target AS number, by solving the following optimization problem, Calculate the traffic to the target AS that is handled by each AS (AS1, AS2, AS5). In generalized terms, the optimization problem can be:

Figure 2018032906
AS1、AS2、AS5で調整する場合には、以下の最適化問題を解くことになる。
Figure 2018032906
 When adjusting with AS1, AS2, and AS5, the following optimization problem is solved.

Figure 2018032906
ステップS214において、AS1のDDoS連携対処装置100は、パラメータ調整処理の結果得られた、「その標的AS宛通信に対して各ASで対処する標的AS宛通信量」を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新する。
Figure 2018032906
 In step S214, the DDoS cooperation handling apparatus 100 of AS1 uses the “communication amount addressed to each target AS to be handled by each AS for the communication addressed to the target AS” obtained as a result of the parameter adjustment process, and the mitigation apparatus information table Available resource amount value (subtracting traffic amount handled by own AS), total attack traffic amount of target AS unit of information related to own AS in attack information table (subtracting traffic amount handled by other AS) and Update the value of the traffic volume being handled in the information of the local AS and other ASs (set the value of the traffic volume handled by each AS).

ステップS215において、AS1のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレス、自ASで対処する標的AS宛通信量を通知する。   In step S215, the DDoS cooperation handling apparatus 100 of AS1 notifies the network control apparatus 300 of the target IP address and the target AS-addressed communication volume to be dealt with by its own AS.

ステップS216において、ネットワーク制御装置300は、攻撃情報テーブルに記載の標的IPアドレス宛通信を標的AS宛通信量分だけmitigation装置50に引き込んで対処する。   In step S <b> 216, the network control device 300 takes care of the communication addressed to the target IP address described in the attack information table to the mitigation device 50 by the communication amount addressed to the target AS.

ステップS217において、AS1のDDoS連携対処装置100は、連携先AS(AS2、AS5)のDDoS連携対処装置100に対して、対処要求メッセージを送信する。対処要求メッセージには、標的AS番号(受信メッセージの標的AS番号と同じ値であるAS1を設定)、自身のAS番号(AS1を設定)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られたxAS及び標的AS宛通信に対する対処量の差分値(xAS−XAS)が含まれる。 In step S217, the DDoS cooperation handling apparatus 100 of AS1 transmits a handling request message to the DDoS cooperation handling apparatus 100 of the cooperation destination AS (AS2, AS5). In the action request message, target AS number (set AS1 that is the same value as the target AS number of the received message), own AS number (set AS1), and target AS traffic handled by the message destination AS (adjustment) The difference value (x AS −X AS ) of the handling amount with respect to the x AS and the communication addressed to the target AS obtained as a result of

図10に示されるように、ステップS218において、AS2及びAS5のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)及び攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。   As shown in FIG. 10, in step S218, the AS2 and AS5 DDoS cooperation handling apparatus 100 uses the difference value of the handling amount for the communication destined for the target AS included in the received message, and the available resources of the mitigation apparatus information table Update the amount (subtraction for the difference value) and the communication amount for the target AS being handled by the local AS in the attack information table (addition for the difference value).

ステップS219において、AS2及びAS5のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分だけmitigation装置50に引き込んで対処する。   In step S 219, the AS2 and AS5 DDoS cooperation handling apparatus 100 takes in the communication for the target IP address by the requested amount via the network control apparatus 300 and deals with it.

ステップS220において、AS2のDDoS連携対処装置100は、"メッセージに含まれる標的AS番号を含む情報要求メッセージを送信した全てのASからその標的AS番号を含む情報応答メッセージを受信済みの場合"は、連携先AS(AS3, AS8)との間でステップS205と同様のパラメータ調整処理を実施する。なお、AS5は情報要求メッセージを送信していないため(さらに上流で対処可能なASが存在しないため)、テーブルの更新と要求分対処のみ実施して対処要求メッセージ処理を終了する。   In step S220, the DDoS cooperation handling apparatus 100 of AS2 "if the information response message including the target AS number has been received from all ASs that transmitted the information request message including the target AS number included in the message" Parameter adjustment processing similar to that in step S205 is performed with the cooperation destination AS (AS3, AS8). Note that AS5 has not transmitted an information request message (because there is no AS that can handle further upstream), so only update the table and handle the request, and end the response request message processing.

ステップS221において、AS2のDDoS連携対処装置100は、パラメータ調整処理の結果得られた、その標的AS宛通信に対して各ASで対処する標的AS宛通信量を用いて、ステップ5と同様にテーブルの値を更新する。   In step S221, the DDoS cooperation handling apparatus 100 of AS2 uses the target AS-addressed communication volume that is dealt with by each AS for the communication addressed to the target AS, which is obtained as a result of the parameter adjustment process. Update the value of.

ステップS222において、AS2のDDoS連携対処装置100は、ネットワーク制御装置を介して、標的IPアドレス宛通信を標的AS宛通信量分だけmitigation装置50に引き込んで対処する。   In step S222, the DDoS cooperation handling apparatus 100 of AS2 handles the communication addressed to the target IP address by the amount corresponding to the target AS addressed communication amount via the network control apparatus to deal with it.

ステップS223において、メッセージに含まれる標的AS番号と自身のAS番号が異なるため、AS2のDDoS連携対処装置100は、対処要求メッセージの送信元AS(AS1)のDDoS連携対処装置100に対して、再調整メッセージを送信する。再調整メッセージには、標的AS番号(受信メッセージに含まれるものと同じ値AS1を設定)、自身のAS番号(AS2を設定)、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量及び対処中の標的AS宛通信量が含まれる。   In step S223, since the target AS number included in the message is different from its own AS number, the DDoS cooperation handling apparatus 100 of AS2 re-sends the DDoS cooperation handling apparatus 100 of the handling request message source AS (AS1). Send an adjustment message. The readjustment message includes the target AS number (set the same value AS1 as included in the received message), its own AS number (set AS2), the total attack traffic for each target AS, and the use of the mitigation device 50 This includes the amount of possible resources and the traffic to the target AS being dealt with.

ステップS224において、AS2のDDoS連携対処装置100は、連携先AS(AS3、AS8)のDDoS連携対処装置に対して、対処要求メッセージを送信する。対処要求メッセージには、標的AS番号(受信メッセージの標的AS番号と同じ値であるAS1を設定)、自身のAS番号(AS2を設定)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られたxAS)及び標的AS宛通信に対する対処量の差分値(xAS−XAS)が含まれる。対処要求メッセージを受信したAS3、AS8は対処要求メッセージ処理を実行する。 In step S224, the DDoS cooperation handling apparatus 100 of AS2 transmits a handling request message to the DDoS cooperation handling apparatus of the cooperation destination AS (AS3, AS8). In the action request message, target AS number (set AS1 that is the same value as the target AS number of the received message), own AS number (set AS2), and target AS traffic handled by the message destination AS (adjustment) X AS ) obtained as a result of the above and a difference value (x AS −X AS ) of the amount of handling for the communication addressed to the target AS. The AS3 and AS8 that have received the response request message execute response request message processing.

ステップS225において、AS1のDDoS連携対処装置100は、受信メッセージに含まれる標的AS番号を参照して、攻撃情報テーブル内の対応する行の他ASに関する情報(メッセージ送信元AS2に対応する部分)を、受信した情報で更新する。具体的には、AS1のDDoS連携対処装置100は、標的AS単位の攻撃通信量の合計値及び対処中の標的AS宛通信量を更新する。また、AS1のDDoS連携対処装置100は、連携先AS情報テーブルのmitigation装置50の利用可能リソース量(メッセージの送信元AS2の値)を更新する。   In step S225, the DDoS cooperation handling apparatus 100 of AS1 refers to the target AS number included in the received message, and obtains information on the other AS of the corresponding row in the attack information table (part corresponding to the message transmission source AS2). Update with the received information. Specifically, the DDoS cooperation countermeasure device 100 of AS1 updates the total attack traffic volume of the target AS unit and the target AS traffic volume being dealt with. Further, the DDoS cooperation handling apparatus 100 of AS1 updates the available resource amount (value of the message transmission source AS2) of the mitigation apparatus 50 in the cooperation destination AS information table.

ステップS226において、AS1のDDoS連携対処装置100は、更新した値を用いて、再度上述した最適化問題を解き、各AS(AS1、AS2、AS5)で対処する標的AS宛通信量を算出する。   In step S226, the DDoS cooperation coping apparatus 100 of AS1 uses the updated value to solve the optimization problem described above again, and calculates the target AS-addressed communication addressed by each AS (AS1, AS2, AS5).

ステップS227において、AS1のDDoS連携対処装置100は、結果として得られた、標的AS宛通信量を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新する。   In step S227, the DDoS cooperation handling apparatus 100 of AS1 uses the obtained target AS traffic volume, and the value of the available resource amount in the mitigation apparatus information table (subtracts the traffic volume to be handled by its own AS). , The total attack traffic volume for each target AS in the information related to the local AS in the attack information table (subtracting the traffic volume handled by the other AS) and the traffic volume currently being handled in the information of the local AS and the remote AS (each Update the traffic value to be handled by the AS.

ステップS228において、AS1のDDoS連携対処装置100は、ネットワーク制御装置300に標的IPアドレス及び自ASで対処する標的AS宛通信量を通知する。   In step S228, the DDoS cooperation handling apparatus 100 of AS1 notifies the network control apparatus 300 of the target IP address and the target AS-addressed traffic to be dealt with by its own AS.

ステップS229において、ネットワーク制御装置は、標的IPアドレス宛通信を標的AS宛通信量分だけmitigation装置50に引き込んで対処する。   In step S229, the network control device takes in the communication addressed to the target IP address by the amount corresponding to the communication amount addressed to the target AS, and deals with it.

ステップS230において、AS1のDDoS連携対処装置100は、連携先AS(AS2、AS5)のDDoS連携対処装置100に対して、対処要求メッセージを送信する。対処要求メッセージを受信したAS2、AS5は、対処要求メッセージ処理を実施する。   In step S230, the DDoS cooperation handling apparatus 100 of AS1 transmits a handling request message to the DDoS cooperation handling apparatus 100 of the cooperation destination AS (AS2, AS5). The AS2 and AS5 that have received the handling request message perform handling request message processing.

各ASでは、各種メッセージを受信する都度、受信したメッセージに対応する処理が実施される。これが繰り返されることで、ある標的AS宛通信に対して、インターネット全体でのパラメータ調整が実施される(各ASで対処する通信量が最適化される)。   In each AS, each time various messages are received, processing corresponding to the received messages is performed. By repeating this, parameter adjustment is performed for the entire Internet for communication to a certain target AS (the amount of communication handled by each AS is optimized).

なお、無限にパラメータ調整が実施されるのを防ぐための収束条件としては、例えば、各ASにおいて、ある標的宛通信に対する1つ前の調整処理の結果得られたFの値と現在の調整の結果得られたFの値を比較して、事前設定した閾値以上改善していない場合は、そのパラメータ調整を実施せず、当該メッセージ処理を終了されてもよい。収束条件については任意であり、この方法に限定されない。   In addition, as a convergence condition for preventing infinite parameter adjustment, for example, in each AS, the value of F obtained as a result of the previous adjustment processing for communication to a target and the current adjustment When the F value obtained as a result is compared and the improvement is not more than the preset threshold value, the message processing may be terminated without performing the parameter adjustment. The convergence condition is arbitrary and is not limited to this method.

また、攻撃量の変化等に追従するために、標的ASのDDoS連携対処装置100は、攻撃検知メッセージの受信、1回目の対処要求メッセージの送信等を契機とし、例えば一定時間経過毎に連携先ASに対して情報要求を再送信することで、その時点で最新の通信量情報等を用いて、パラメータ調整を再実施してもよい。   Further, in order to follow changes in the attack amount, the DDoS cooperation handling apparatus 100 of the target AS receives the attack detection message, sends the first handling request message, etc. By retransmitting the information request to the AS, the parameter adjustment may be performed again using the latest traffic information and the like at that time.

なお、上述したDDoS連携対処装置100の各機能部及び各ステップは、コンピュータのメモリ装置に記憶されたプログラムをプロセッサが実行することによって実現されてもよい。   In addition, each function part and each step of the above-described DDoS cooperation handling apparatus 100 may be realized by a processor executing a program stored in a memory device of a computer.

以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to the specific embodiment mentioned above, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

10 ネットワーク
50 mitigation装置
100 DDoS連携対処装置
110 処理部
120 記憶部
130 通信部
200 トラヒック情報収集・DDoS攻撃検知装置
300 ネットワーク制御装置
400 パケット転送装置 DESCRIPTION OF SYMBOLS 10 Network 50 mitigation apparatus 100 DDoS cooperation response apparatus 110 Processing part 120 Storage part 130 Communication part 200 Traffic information collection and DDoS attack detection apparatus 300 Network control apparatus 400 Packet transfer apparatus

Claims (7)

自律システム(以降、AS:Autonomous System)に備えられたDDoS連携対処装置であって、
前記AS及び連携ASのDDoS攻撃に関する情報を記憶する記憶部と、
前記ASにおけるDDoS攻撃の標的IPアドレス宛の通信量を取得し、標的AS毎に前記取得した標的IPアドレス宛の合計通信量を算出し、前記算出した標的AS毎の合計通信量に対して前記ASの防御機能のリソース割当量を決定する処理部と、
前記ASにおける他の装置及び前記連携ASと通信する通信部と、
を有するDDoS連携対処装置。 It is a DDoS cooperation coping device equipped in an autonomous system (hereinafter referred to as AS: Autonomous System)
A storage unit for storing information related to the DDoS attack of the AS and the linked AS;
Obtaining the traffic amount addressed to the target IP address of the DDoS attack in the AS, calculating the total traffic amount addressed to the acquired target IP address for each target AS, and for the calculated total traffic amount for each target AS A processing unit that determines the resource allocation amount of the defense function of the AS;
A communication unit that communicates with other devices in the AS and the associated AS;
DDoS cooperation coping device with 前記処理部は、標的IPアドレスの一覧を含む攻撃検知メッセージを受信すると、前記標的IPアドレスの属するAS毎に、前記標的IPアドレスの一覧に含まれるIPアドレス宛の通信量の合計通信量を算出し、前記算出した合計通信量が所定の閾値以上である場合、前記連携ASのDDoS連携対処装置に標的AS番号、標的IPアドレスの一覧及び送信元ASのAS番号を含む情報要求メッセージを送信する、請求項1記載のDDoS連携対処装置。   When the processing unit receives an attack detection message including a list of target IP addresses, for each AS to which the target IP address belongs, the processing unit calculates a total communication amount of traffic addressed to the IP addresses included in the list of target IP addresses. If the calculated total traffic is equal to or greater than a predetermined threshold, an information request message including a target AS number, a list of target IP addresses, and an AS number of the transmission source AS is transmitted to the DDoS cooperation countermeasure device of the cooperation AS. The DDoS cooperation coping apparatus according to claim 1. 前記処理部は、標的AS番号、標的IPアドレスの一覧及び送信元の連携ASのAS番号を含む情報要求メッセージを受信すると、前記標的IPアドレスの一覧の標的IPアドレスについて、宛先AS単位での合計通信量(以降、合計通信量)を算出し、前記算出した標的AS宛の合計通信量が所定の閾値以上である場合、前記送信元を除く連携ASのDDoS連携対処装置に標的AS番号、標的IPアドレスの一覧及び送信元ASのAS番号を含む情報要求メッセージを送信すると共に、前記送信元の連携ASに前記標的AS番号、前記ASのAS番号、前記標的AS宛の合計通信量、防御機能の利用可能リソース量及び対処中の前記標的AS宛の通信量を含む情報応答メッセージを送信する、請求項1又は2記載のDDoS連携対処装置。   When the processing unit receives an information request message including a target AS number, a list of target IP addresses, and an AS number of a source cooperative AS, the target IP addresses in the target IP address list are summed in units of destination ASs. When the traffic volume (hereinafter referred to as the total traffic volume) is calculated and the calculated total traffic volume addressed to the target AS is equal to or greater than a predetermined threshold, the target AS number and target An information request message including a list of IP addresses and the AS number of the transmission source AS is transmitted, and the target AS number, the AS number of the AS, the total communication amount addressed to the target AS, and a defense function The DDoS cooperation coping apparatus according to claim 1 or 2, wherein an information response message including an available resource amount and a communication amount addressed to the target AS being dealt with is transmitted. 前記処理部は、標的AS番号、送信元の連携ASのAS番号、前記標的ASに属する標的IPアドレス宛通信量を合計した合計通信量、前記防御機能の利用可能リソース量及び対処中の前記標的AS宛の通信量を含む情報応答メッセージを受信すると、各ASの防御機能の使用率が均一になるように、前記標的AS宛の合計通信量、前記防御機能の利用可能リソース量及び対処中の前記標的AS宛の通信量に基づき、前記AS及び前記連携ASで対処すべき前記標的AS宛の通信量を決定すると共に前記連携ASに対して標的AS番号、自ASのAS番号、前記連携ASにおいて対処すべき標的AS宛の通信量および前記標的AS宛の通信に対する対処量の差分値を含む対処要求メッセージを送信する、請求項1乃至3何れか一項記載のDDoS連携対処装置。   The processing unit includes a target AS number, an AS number of a cooperation AS of the transmission source, a total communication amount that is a total of communication amounts destined for a target IP address belonging to the target AS, an available resource amount of the defense function, and the target being dealt with When receiving the information response message including the traffic volume addressed to the AS, the total traffic volume addressed to the target AS, the available resource amount of the defense function, Based on the traffic volume destined for the target AS, the traffic volume destined for the target AS to be dealt with by the AS and the linked AS is determined and the target AS number, the AS number of the local AS, the linked AS The DDoS cooperation coping device according to any one of claims 1 to 3, wherein a coping request message including a communication amount addressed to the target AS to be dealt with and a difference value of the coping amount for the communication directed to the target AS is transmitted. 前記処理部は、標的AS番号、送信元の連携ASのAS番号、送信先ASにおいて対処すべき標的AS宛の通信量及び前記標的AS宛の通信に対する対処量の差分値を含む対処要求メッセージを受信すると、各ASの防御機能の使用率が均一になるように、前記標的AS宛の合計通信量、前記送信元ASを除く、連携先ASにおいて対処すべき標的AS宛の通信量及び前記標的AS宛の通信に対する対処量の差分値に基づき、前記AS及び前記連携ASで対処すべき前記標的AS宛の通信量を決定する、請求項1乃至4何れか一項記載のDDoS連携対処装置。   The processing unit includes a handling request message including a target AS number, an AS number of a cooperative AS of the transmission source, a communication amount addressed to the target AS to be dealt with in the transmission destination AS, and a difference value of a handling amount for the communication addressed to the target AS. When received, the total traffic volume destined for the target AS, the traffic volume destined for the target AS to be dealt with in the cooperation destination AS, excluding the transmission source AS, and the target so that the usage rate of the defense function of each AS becomes uniform The DDoS cooperation coping apparatus according to any one of claims 1 to 4, wherein a communication quantity destined for the target AS to be dealt with by the AS and the cooperative AS is determined based on a difference value of a coping quantity for communications addressed to the AS. ASに備えられたDDoS連携対処装置によるDDoS連携対処方法であって、
前記ASにおける他の装置及び連携ASから所定のメッセージを受信するステップと、
前記ASにおけるDDoS攻撃の標的IPアドレス宛の通信量を取得し、標的AS毎に前記取得した標的IPアドレス宛の合計通信量を算出するステップと、
前記算出した標的AS宛の合計通信量に対して前記ASの防御機能のリソース割当量を決定するステップと、
を有するDDoS連携対処方法。 It is a DDoS cooperation coping method by the DDoS cooperation coping device provided in AS
Receiving a predetermined message from another device in the AS and the associated AS;
Obtaining a traffic amount addressed to the target IP address of the DDoS attack in the AS, and calculating a total traffic amount addressed to the acquired target IP address for each target AS;
Determining a resource allocation amount of the defense function of the AS with respect to the calculated total communication amount addressed to the target AS;
DDoS linkage coping method with. 請求項1乃至5何れか一項記載のDDoS連携対処装置の各部としてプロセッサを機能させるためのプログラム。   The program for functioning a processor as each part of the DDoS cooperation response apparatus as described in any one of Claims 1 thru | or 5.
JP2016162114A 2016-08-22 2016-08-22 DDoS cooperation handling apparatus, DDoS cooperation handling method, and program Active JP6612197B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016162114A JP6612197B2 (en) 2016-08-22 2016-08-22 DDoS cooperation handling apparatus, DDoS cooperation handling method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016162114A JP6612197B2 (en) 2016-08-22 2016-08-22 DDoS cooperation handling apparatus, DDoS cooperation handling method, and program

Publications (2)

Publication Number Publication Date
JP2018032906A true JP2018032906A (en) 2018-03-01
JP6612197B2 JP6612197B2 (en) 2019-11-27

Family

ID=61304778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016162114A Active JP6612197B2 (en) 2016-08-22 2016-08-22 DDoS cooperation handling apparatus, DDoS cooperation handling method, and program

Country Status (1)

Country Link
JP (1) JP6612197B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020014073A (en) * 2018-07-17 2020-01-23 日本電信電話株式会社 Ddos countermeasure device, ddos countermeasure method, and program
WO2020065233A1 (en) * 2018-09-28 2020-04-02 Orange Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
CN112804183A (en) * 2019-10-28 2021-05-14 中国移动通信有限公司研究院 Distributed denial of service attack processing method, device, server and storage medium
US20210273952A1 (en) * 2018-07-17 2021-09-02 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009089241A (en) * 2007-10-02 2009-04-23 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program, for detecting abnormal traffic
JP2009111537A (en) * 2007-10-29 2009-05-21 Nippon Telegr & Teleph Corp <Ntt> Method, device, program and recording medium of detecting abnormality by detecting change in communication relation structure
US20150326589A1 (en) * 2014-05-08 2015-11-12 WANSecurity, Inc. System and methods for reducing impact of malicious activity on operations of a wide area network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009089241A (en) * 2007-10-02 2009-04-23 Nippon Telegr & Teleph Corp <Ntt> Apparatus, method and program, for detecting abnormal traffic
JP2009111537A (en) * 2007-10-29 2009-05-21 Nippon Telegr & Teleph Corp <Ntt> Method, device, program and recording medium of detecting abnormality by detecting change in communication relation structure
US20150326589A1 (en) * 2014-05-08 2015-11-12 WANSecurity, Inc. System and methods for reducing impact of malicious activity on operations of a wide area network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
前田 浩明、小島 久史、相原 正夫: "複数AS間連携によるDDoS攻撃対処方式に関する一検討", 電子情報通信学会2016年総合大会講演論文集 通信2, JPN6019026209, 1 March 2016 (2016-03-01), JP, pages 30, ISSN: 0004071342 *
廣川 裕、山本 公洋、小林 淳史、石橋 圭介、外山 勝保: "次世代バックボーン向けトラヒック監視システムの開発", 電子情報通信学会2006年総合大会講演論文集 通信2, JPN6019026210, 8 March 2006 (2006-03-08), JP, pages 55 - 56, ISSN: 0004071343 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020014073A (en) * 2018-07-17 2020-01-23 日本電信電話株式会社 Ddos countermeasure device, ddos countermeasure method, and program
WO2020017460A1 (en) * 2018-07-17 2020-01-23 日本電信電話株式会社 Ddos-handling device, ddos-handling method, and program
US20210273952A1 (en) * 2018-07-17 2021-09-02 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method
JP7054003B2 (en) 2018-07-17 2022-04-13 日本電信電話株式会社 DDoS coping device, DDoS coping method, and program
US11843615B2 (en) * 2018-07-17 2023-12-12 Nippon Telegraph And Telephone Corporation Attack response point selecting apparatus and attack response point selecting method
WO2020065233A1 (en) * 2018-09-28 2020-04-02 Orange Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
FR3086821A1 (en) * 2018-09-28 2020-04-03 Orange COLLABORATION AND REQUEST FOR COLLABORATION BETWEEN PROTECTION SERVICES ASSOCIATED WITH AT LEAST ONE DOMAIN, CORRESPONDING AGENTS AND COMPUTER PROGRAM.
CN113056896A (en) * 2018-09-28 2021-06-29 奥兰治 Method for collaborating and requesting collaboration between protection services associated with at least one domain, corresponding agent and computer program
US20210400082A1 (en) * 2018-09-28 2021-12-23 Orange Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
CN113056896B (en) * 2018-09-28 2024-01-05 奥兰治 Method for collaboration and request collaboration between protection services associated with at least one domain, corresponding agent and computer program
US11985161B2 (en) * 2018-09-28 2024-05-14 Orange Method of collaboration and for requesting collaboration between protecting services associated with at least one domain, corresponding agents and computer program
CN112804183A (en) * 2019-10-28 2021-05-14 中国移动通信有限公司研究院 Distributed denial of service attack processing method, device, server and storage medium

Also Published As

Publication number Publication date
JP6612197B2 (en) 2019-11-27

Similar Documents

Publication Publication Date Title
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US11082334B2 (en) Distributed quality-of-service (QoS) in an overlay network using capacity enforcement
US20240259422A1 (en) Automatic retraining of machine learning models to detect ddos attacks
Ahmed et al. DDoS attack mitigation in Internet of Things using software defined networking
US9948553B2 (en) System and method for virtual network-based distributed multi-domain routing control
CN110832826B (en) Method and system for controlling flow of probability relay in block chain network
JP6612197B2 (en) DDoS cooperation handling apparatus, DDoS cooperation handling method, and program
EP3223486A2 (en) Distributed anomaly detection management
US10033697B2 (en) Distributed system and method for tracking and blocking malicious internet hosts
WO2011093228A1 (en) Front end system and front end processing method
US20170195237A1 (en) Distributed quality-of-service (QoS) mechanism in an overlay network having edge regions
EP2425592A2 (en) Adaptive rate control based on overload signals
WO2013038279A1 (en) Network-wide flow monitoring in split architecture networks
François et al. Network security through software defined networking: a survey
WO2021083324A1 (en) Information reporting method, and data processing method and device
JP6533476B2 (en) DDoS attack information sharing device, operation method and program
US20230208874A1 (en) Systems and methods for suppressing denial of service attacks
JP6679521B2 (en) Communication system and DDoS cooperation coping method
WO2005043845A1 (en) Distributed exterior gateway protocol
JP6777615B2 (en) Coping device, coping method and program
US12120128B1 (en) Route and packet flow evaluation on a cloud exchange
JP2019022137A (en) Communication system and DDoS attack cooperation countermeasure method
US10320889B2 (en) Processing incoming transactions based on resource utilization status of backend systems in an appliance cluster
Liu et al. Community Cleanup: Incentivizing Network Hygiene via Distributed Attack Reporting
CN104580003B (en) Paralleling model P2P scrambling method, apparatus and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180903

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190709

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191030

R150 Certificate of patent or registration of utility model

Ref document number: 6612197

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150