JP2018133753A - 対処制御システム及び対処制御方法 - Google Patents

対処制御システム及び対処制御方法 Download PDF

Info

Publication number
JP2018133753A
JP2018133753A JP2017027339A JP2017027339A JP2018133753A JP 2018133753 A JP2018133753 A JP 2018133753A JP 2017027339 A JP2017027339 A JP 2017027339A JP 2017027339 A JP2017027339 A JP 2017027339A JP 2018133753 A JP2018133753 A JP 2018133753A
Authority
JP
Japan
Prior art keywords
communication
transfer
attack
pattern
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017027339A
Other languages
English (en)
Inventor
裕一 中谷
Yuichi Nakatani
裕一 中谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017027339A priority Critical patent/JP2018133753A/ja
Publication of JP2018133753A publication Critical patent/JP2018133753A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】DDoS攻撃の対処効率を向上させること。【解決手段】1以上のコンピュータを含む対処制御システムは、通信網におけるDDos攻撃のパターンを特定する特定部と、前記通信網においてパケットを転送する転送装置による前記パターンに合致する通信の履歴に基づいて、当該転送装置について当該通信の制限を行うか否かを判定する判定部と、前記判定部によって前記パターンに合致する通信の制限を行うと判定された場合に、当該通信を制限するための設定を、前記転送装置へ指示する指示部と、を有する。【選択図】図1

Description

本発明は、対処制御システム及び対処制御方法に関する。
DDoS(Distributed Denial of Service attack)攻撃の検知及び対処に関する既存技術としては、攻撃と疑われる通信をDDoS攻撃の緩和装置に引き込み、当該緩和装置において攻撃通信を除去する技術(非特許文献1参照)と、緩和装置を備えた複数のネットワークが連携してより攻撃発生源に近いネットワークで攻撃通信を除去することでネットワーク全体として効率的にDDoS攻撃に対処する技術(非特許文献2参照)とが存在する。
非特許文献1、非特許文献2で用いられる緩和装置では、入力された通信をパケットレベルで解析し、各パケットが攻撃に関わるものかどうかを判定し、攻撃に関わるパケットであれば破棄し、正常なパケットであれば通過させる。緩和装置では、パケットヘッダだけでなくそのペイロードまで解析して攻撃か否かを判定するため、多様なDDoS攻撃を複合的に用いた攻撃であっても極力攻撃を遮断することができる。
また、緩和装置が十分な機能及び性能を持つ場合であっても、緩和装置だけではDDoS攻撃に係る通信が緩和装置までの転送装置のリソースを逼迫させることを防ぐことは難しい。そのため非特許文献2では、DDoS攻撃を検知したネットワークが、より攻撃発生源に近いネットワークにDDoS攻撃の緩和を行うよう依頼する手順について規定している。これにより、DDoS攻撃の影響を受ける転送装置等を極力減らすことが可能となる。
DDoS攻撃の軽減対策、[online]、[平成28年12月15日検索]、インターネット<URL:http://www.cisco.com/web/JP/product/hs/security/gdma/tech/gdda_wp.html> DDoS Open Threat Signaling (dots) WG、[online]、[平成28年12月15日検索]、インターネット<URL: https://datatracker.ietf.org/wg/dots/charter/>
非特許文献1、非特許文献2ともに、攻撃の検知及び対処の双方について緩和装置のみで行っており、緩和装置においてはパケット毎にそのヘッダ・ペイロードともに解析して攻撃かどうかを判定している。そのため、緩和装置のスループットはルータ等の転送装置と比較すると低く、キャリアネットワークのように大規模なトラフィックを扱う場合には、高価な緩和装置が膨大に必要となってしまう。
非特許文献1では、1つのネットワークでDDoS攻撃の全トラフィックを処理するため、必要な緩和装置を全て1つのネットワークで用意しなければならず、それだけの緩和装置を1つのネットワーク事業者が用意することは困難である。
非特許文献2においては、複数のネットワークで分散してDDoS攻撃を検知及び対処することから、1つのDDoS攻撃に対し各事業者が用意すべき緩和装置の数は低減可能である。一方でそのような連携には、多くのネットワーク事業者が高価な緩和装置を具備しているという前提が必要となるだけでなく、ネットワーク全体としては低スループットな緩和装置によってDDoS攻撃に対処している状況には変化がなく、今後DDoS攻撃の更なる大規模化や頻発化に備えるには不十分である。
本発明は、上記の点に鑑みてなされたものであって、DDoS攻撃の対処効率を向上させることを目的とする。
そこで上記課題を解決するため、1以上のコンピュータを含む対処制御システムは、通信網におけるDDos攻撃のパターンを特定する特定部と、前記通信網においてパケットを転送する転送装置による前記パターンに合致する通信の履歴に基づいて、当該転送装置について当該通信の制限を行うか否かを判定する判定部と、前記判定部によって前記パターンに合致する通信の制限を行うと判定された場合に、当該通信を制限するための設定を、前記転送装置へ指示する指示部と、を有する。
DDoS攻撃の対処効率を向上させることができる。
本発明の実施の形態における攻撃対処システムの構成例を示す図である。 本発明の実施の形態における攻撃対処システムの第2の構成例を示す図である。 本発明の実施の形態における各装置のハードウェア構成例を示す図である。 DDoS攻撃の検知及び対処の処理手順の一例を説明するための図である。 対処案評価部303aが実行する処理手順の一例を説明するためのフローチャートである。 通信履歴の一例を示す図である。 本発明の実施の形態における転送装置の接続例を示す図である。
以下、図面に基づいて本発明の実施の形態を説明する。本実施の形態では、緩和装置(攻撃緩和装置200)を備えるネットワーク事業者が緩和装置を用いてDDoS(Distributed Denial of Service attack)攻撃を検知し、自らの緩和装置及び転送装置を連携させてDDoS攻撃に対処するとともに、緩和装置を持たない別のネットワーク事業者へ対処の一部を依頼することでより効率的にDDoS攻撃に対処する例を用いて各機能の動作を説明するが、本発明の適用形態はこれに限られるものではない。
図1は、本発明の実施の形態における攻撃対処システムの構成例を示す図である。図1には、ネットワーク事業者A及びネットワーク事業者Bが示されている。
ネットワーク事業者Aは、転送網100a、攻撃緩和装置200a、セキュリティ制御装置300a、転送網構成DB400a、通信履歴DB500a及び転送装置状態DB600a等を含む。一方、ネットワーク事業者Bは、転送網100b、攻撃緩和装置200b、転送網構成DB400b、通信履歴DB500b及び転送装置状態DB600b等を含む。なお、各部の参照番号の末尾に付加されている小文字のアルファベット(「a」又は「b」)は、ネットワーク事業者ごとの識別子である。各部について、ネットワーク事業者ごとの区別を行わない場合、各部の末尾のアルファベットは省略される。
転送網100は、ルータやスイッチなどパケット転送を行う転送装置110が1以上接続された装置群である。図1において、転送装置110は、転送部111及び転送制御部112等を含む。これら各部は、転送装置110にインストールされた1以上のプログラムが、転送装置110のCPUに実行させる処理により実現されてもよいし、回路等のハードウェアによって実現されてもよい。転送部111は、パケット転送ルールに基づき受信パケットを別の転送装置110又は攻撃緩和装置200へ転送する。転送制御部112は、装置外からの指示を受け付けてパケット転送ルールを管理するとともに、転送部111の制御を行う。
攻撃緩和装置200は、転送網100から受信されるパケットについて攻撃の検知や、検知された攻撃についてアラート送信を行う装置(コンピュータ)である。攻撃緩和装置200は、攻撃に係るパケットを除去し、攻撃に係らないパケットを転送網100に送信する。図1において、攻撃緩和装置200は、パケット解析部201及びアラート出力部202等を含む。これら各部は、攻撃緩和装置200にインストールされた1以上のプログラムが、攻撃緩和装置200のCPUに実行させる処理により実現される。パケット解析部201は、転送装置110からのパケットを受信及び解析し、攻撃検知と攻撃パケット破棄、転送装置110への正常パケット転送を行う。アラート出力部202は、攻撃検知時にセキュリティ制御装置300へアラートを送出する。
セキュリティ制御装置300は、攻撃緩和装置200から攻撃検知のアラートを受信すると、転送網構成DB400、通信履歴DB500及び転送装置状態DBに記憶されている情報に基づいて対処を判断及び指示する装置(コンピュータ)である。図1において、セキュリティ制御装置300は、アラート受信部301、対処案生成部302、対処案評価部303及び対処指示部304等を含む。これら各部は、セキュリティ制御装置300にインストールされた1以上のプログラムが、セキュリティ制御装置300のCPUに実行させる処理により実現される。アラート受信部301は、攻撃緩和装置200又は別のセキュリティ制御装置300からのアラートを受信する。対処案生成部302は、アラートに含まれる情報と転送網構成DB400から得られる転送網100の構成情報から1以上の対処案を生成する。対処案評価部303は、対処案生成部302が生成した対処案について、転送網構成DB400及び通信履歴DB500及び転送装置状態DB600から得られる情報に基づいてスコアリング(評価)して、自動的に又はオペレータの指示に従って対処案を決定する。対処指示部304は、対処案評価部303が決定した対処案に基づき転送網100又は別のセキュリティ制御装置300に指示を送出する。
転送網構成DB400は、転送網100内の転送装置110について、転送装置110のリスト及びそれぞれのパケット転送ルールを記憶しており、セキュリティ制御装置300へそれらの情報を提供する装置である。
通信履歴DB500は、フロー情報の集計等から得られる、送信元アドレス/ポート・送信先アドレス/ポート・プロトコル番号毎の通信量の時系列データを転送装置110毎に最新から一定期間分記憶し、セキュリティ制御装置300へそれらの情報を提供する装置である。
転送装置状態DB600は、転送装置110のCPU/メモリ使用率や各インタフェースの通信容量及び通信量を記憶し、セキュリティ制御装置300へそれらの情報を提供する装置である。
なお、本実施の形態では、複数のネットワーク事業者のうちの一つが攻撃緩和装置200を有している例について説明する。但し、攻撃対処システムにそれぞれ1以上の攻撃緩和装置200、セキュリティ制御装置300、転送網構成DB400、通信履歴DB500、転送装置状態DB600が連携可能な状態で備わっていればよく、各ネットワーク事業者は転送網100以外を備える必要は必ずしもないため、図1以外の構成が採用されてもよい。例えば、図2のようにセキュリティ制御装置300を具備せず転送網100がどのセキュリティ制御装置300からの制御も受け付けないネットワーク事業者Cや、セキュリティ制御装置300は具備しないが別のネットワーク事業者のセキュリティ制御装置300からの制御を転送網100に受け付けさせるネットワーク事業者D等が存在する形態も考えられる。また、攻撃緩和装置200とセキュリティ制御装置300とは、同じコンピュータを用いて実現されてもよい。当該コンピュータは、一つであってもよいし、複数であってもよい。
ネットワーク事業者が、攻撃対処システムを導入する際には、ネットワーク事業者は、ユーザサービス等に用いるサービスネットワークを転送網100を用いて構築し、サービスネットワークとは別に、攻撃緩和装置200、セキュリティ制御装置300、転送網構成DB400、通信履歴DB500及び転送装置状態DB600を設置する。攻撃緩和装置200は、サービスネットワークに接続し、転送装置110と通信パケットを送受可能とする。また、全ての装置についてはサービスネットワークとは別の管理ネットワークで接続しておき、アラートの送受や対処指示の送受を可能とする。最後に、セキュリティ制御装置300は、他ネットワーク事業者のセキュリティ制御装置300と対処指示を送受可能とするために別のネットワークで接続しておく。
図3は、本発明の実施の形態における各装置のハードウェア構成例を示す図である。図1の各装置(転送装置110、攻撃緩和装置200、セキュリティ制御装置300、転送網構成DB400、通信履歴DB500、及び転送装置状態DB600等)は、それぞれバスBで相互に接続されているドライブ装置700、補助記憶装置702、メモリ装置703、CPU704、及びインタフェース装置705等を有する。
各装置での処理を実現するプログラムは、CD−ROM等の記録媒体701によって提供される。プログラムを記憶した記録媒体701がドライブ装置700にセットされると、プログラムが記録媒体701からドライブ装置700を介して補助記憶装置702にインストールされる。但し、プログラムのインストールは必ずしも記録媒体701より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置702は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置703は、プログラムの起動指示があった場合に、補助記憶装置702からプログラムを読み出して格納する。CPU704は、メモリ装置703に格納されたプログラムに従って各装置に係る機能を実行する。インタフェース装置705は、ネットワークに接続するためのインタフェースの集合である。
以下、攻撃対処システムにおいて実行される処理手順について説明する。図4は、DDoS攻撃の検知及び対処の処理手順の一例を説明するための図である。以下では、ネットワーク事業者Aにおいて各種装置が接続され、ユーザや他ネットワークとの接続を開始した後に、DDoS攻撃を検知及び対処する流れについて説明する。
はじめに、転送装置110aでは、ユーザや他ネットワークとの接続が開始されると、転送部111aが、受信パケットが攻撃に関係するか否かに関わらず当該パケットの転送を開始する。
パケット転送開始後に通信解析の必要性が生じると、それらの通信に係るパケットについて攻撃緩和装置200aに転送するよう、ネットワーク事業者Aのオペレータは、必要な転送装置110aの転送制御部112aへ指示を行う。その結果、当該転送装置110aのパケット転送ルールが書き換わる(S101)。
通信解析が必要となる例としては、ネットワーク事業者Aが、特定ユーザ向けを保護するべく当該ユーザ向けの通信を解析する場合や、フロー情報を収集・解析する装置で一部ユーザ向けの通信が大きく増加しており攻撃が疑われる場合や、他ネットワーク事業者から一部ユーザへの通信が大きく増加していると警告された場合などが想定される。このような場合に、当該ユーザ向けの通信を攻撃緩和装置200aに転送する。
本実施の形態では、或る攻撃先IPアドレスIP_A向けの通信(パケット)が攻撃緩和装置200aに転送されるように転送ルールが書き換えられる。
攻撃緩和装置200aにパケットが転送されると、パケット解析部201aは、受信した全パケットについて検知及び対処の双方を開始する。パケット解析部201aは、受信パケットそれぞれについてパケットヘッダ及びペイロードを解析し、当該パケットが攻撃に係るものか否かを判定する(S102)。パケット解析部201aは、攻撃と判定したパケットは破棄し、残った正常パケットについては、事前に設定された転送装置110aへ転送する。すなわち、攻撃の検知において、攻撃のパターン(IPアドレス、ポート番号等)が特定される。なお、攻撃の検知には、公知の技術が利用されればよい。本実施の形態では、攻撃先IPアドレスIP_Aに向かって2種のDDoS攻撃が複合的に行われている状況を想定する。2種のDDoS攻撃は、80番ポートへのTCP上の攻撃と、123番ポートへのUDP上の攻撃であるとする。したがって、ステップS102では、80番ポートへのTCP上の攻撃と、123番ポートへのUDP上の攻撃とが検知される。
続いて、アラート出力部202aは、IP_A向けに80番ポートへのTCP上の攻撃が発生していること(アラート_TCP)、IP_A向けに123番ポートへのUDP上の攻撃が発生していること(アラート_UDP)のそれぞれについてアラートを生成し、合計2つのアラートをセキュリティ制御装置300aへ向かって出力する(S103、S104)。
セキュリティ制御装置300aのアラート受信部301aは、これらのアラートを受信すると、受信したアラートを管理しておき、各アラートを受信順に対処案生成部302aに送信する。
対処案生成部302aは、受信した各アラートについて対処案を生成する(S105)。具体的には、対処案生成部302aは、まず、アラート_TCPを受信する。対処案生成部302aは、アラート_TCPがIP_A向けの攻撃が発生していることを示すことに応じ、IP_Aを収容する転送装置110a、及びそれ以外の転送装置110aのリストと、各転送装置110aに接続されたネットワーク事業者のリストとを転送網構成DB400aから取得する。対処案生成部302aは、取得した情報に基づいて、アラート_TCPの対象(アラート_TCPのパターン)(IP_A,80,TCP)、アクション(遮断)、アクション実施装置(転送装置110a群)の組み合わせを対処案として生成する。例えば、転送装置110aごとに、当該転送装置110aにおいてIP_Aの80番ポート向けのTCPパケットを遮断する案や、IP_Aの80番ポート向けのTCPパケットを遮断するよう他ネットワーク事業者に依頼する案が生成される。
対処案生成部302aは、アラート_TCPに続いて受信するアラート_UDPについても同様に、各転送装置110aでIP_Aの123番ポート向けのUDPパケットを遮断する案や、又はIP_Aの123番ポート向けのUDPパケットを遮断するように他ネットワーク事業者へ依頼する案を生成する。なお、本実施の形態では、アラートに係る通信の制限の一例として、遮断することのみを説明するが、レート制御等によってアラートに係る通信を制限する案が生成されてもよい。
続いて、対処案評価部303aは、対処案生成部302aによって生成された対処案に基づいて、アラート_TCP/アラート_UDP毎に、実際に実行する対処案のリスト(以下、「対処案リスト」という。)を生成する(S106)。例えば、対処案生成部302aによって生成された対処案のうちどの対処案を実行するか、又はどの対処案も実行せず引き続き攻撃緩和装置200にて対処するのか等が判定される。
実際に実行すべき対処案リストが対処案評価部303aによって決定されると、対処指示部304aは、当該対処案に基づく指示を当該対処の実行先の転送装置110へ送出する(S107〜S109)。セキュリティ制御装置300aの管理下にある転送装置110aへ指示を送出する場合は、例えば、当該転送装置110aへ対処指示部304aからtelnetでログオンし、IP_Aの123番ポート向きのUDP通信を遮断するようにフィルタリングルールを設定する方法や、各転送装置110aがOpenFlowスイッチ、対処指示部304aがOpenFlowコントローラとして振る舞い、動的にフィルタリングルールを配置する方法がある。
他ネットワーク事業者の転送装置110等、セキュリティ制御装置300aの管理化にない転送装置110へ指示を送りたい場合には、例えば、他ネットワーク事業者のセキュリティ制御装置300にREST−API等を用いて遮断依頼を送出し、当該セキュリティ制御装置300が管理化の当該転送装置110を制御してもよい。又は、例えば、セキュリティ制御装置300aの管理化の転送装置110aと接続関係にある、他のネットワーク事業者の転送装置110(例えば、図2の転送装置110−3aに接続される転送装置110−1d)に指示を送出したい場合は、BGP flowspec等を用いて遮断依頼を送出してもよい。
続いて、ステップS106の詳細について説明する。図5は、対処案評価部303aが実行する処理手順の一例を説明するためのフローチャートである。
ステップS201において、対処案評価部303aは、アラート_TCPの対象(IP_A,80,TCP、又はIP_A,123,UDP)、アクション(遮断)、アクション実施装置(転送装置110a群)の組み合わせである複数の対処案を受信する。
続いて、対処案評価部303aは、実行してよい対処案の絞り込みをネットワークサービスへの影響の観点で行う(S202)。具体的には、対処案評価部303aは、アラート生成日時以前のIP_Aの80番ポート向けTCP通信量/123番ポート向けのUDP通信量、及びIP_A向けの全通信量について、10分など一定時間分のデータを通信履歴DB500aから取得する。取得した結果、各アラートに係る通信量がもともと少ないのであれば、対処案評価部303aは、関連する対処案を実行しても問題がないと判断する。
例えば、図6のような通信履歴が得られたとする。図6において、(1)は、IP_A向けの全通信量の履歴を示す。(2)は、IP_Aの80番ポート向けのTCP通信量の履歴を示す。(3)は、IP_Aの123番ポート向けUDP通信量の履歴を示す。この場合、IP_A向けの全通信量に対するIP_Aの80番ポート向けTCP通信量が定常的に多く、アラート_TCPについては遮断といった単純な対処ではなく、攻撃緩和装置200aにてパケットレベルで解析して対処するべきと判断されるため、対処案評価部303aは、アラート_TCPについては、対処案生成部302aで生成した全ての対処案を除外し、攻撃緩和装置200aにおける検知及び対処を継続すると判定する。
一方、IP_Aの123番ポート向けのUDP通信量については、アラート_UDP受信前は総量が少なく、IP_A向けの通信量と比較しても小さいことから、対処案評価部303aは、対処案生成部302aで生成した対処案を除外せずに、実行してもよいと判定する。
なお、上記の通信量の大小については、例えば、それぞれ事前に設定される閾値との比較に基づいて判定されてもよい。また、ここでは80番ポート向けのTCP通信については攻撃緩和装置200aで対処する(すなわち、対処案を実行しない)としたが、攻撃の通信量があまりに多く攻撃緩和装置200aの容量を超える場合には(例えば、攻撃の通信量が事前に設定される閾値を超える場合には)、ネットワークサービスへの影響が大きいため、対処案評価部303aは、アラート_TPCに対する対処案を除外しないと判定してもよい。
除外されずに残った対処案のうち、実際に実行する0以上の対処案については、対処案評価部303aは、転送網構成DB400a、通信履歴DB500a、転送装置状態DB600aから得られる情報を用いて、例えば、以下のように決定していく。なお、本実施の形態では、ステップS202において、123番ポート向けのUDP通信を遮断するという内容は除外されずに残っているため、対処案の決定とは、123番ポート向けのUDP通信の遮断をどの転送装置110で実行するのか、どのネットワーク事業者に依頼するのかを決定することに等しい。
ステップS203において、対処案評価部303aは、除外されずに残った対処案の中で、実行可能であって、かつ、最も高い効果が見込まれる対処案を1つ抽出する。実行可能であるか否かは、例えば、対処案を実行させる装置のCPU使用率に、対処案を実行するだけの空きが有るか否かに基づいて判定される。
具体的には、対処案評価部303aは、各転送装置110aの状態(CPU使用率)を転送装置状態DB400aから取得し、遮断処理を実行可能な転送装置110a等を抽出する。ここでは、説明の便宜上、各ネットワーク事業者の転送装置110が図7に示されるように接続されている状況を想定する。図7において、ネットワーク事業者Aは、転送装置110a−1a〜110a−3を含む。ここでは、転送装置110a−1〜110a−3のいずれのCPU使用率も、遮断処理を実行可能な状態であるとする。この場合、対処案評価部303aは、転送装置110a−1a〜110a−3、及びこれらの転送装置110aのいずれかに接続されるネットワーク事業者B、Cをアクション実施装置とする対処案を抽出する。
一方、効果の高さは、例えば、遮断によって削減できる各転送装置110aを通過する通信量の合計によって評価される。すなわち、各転送装置110aによるアラートの対象宛てへの通信(攻撃のパターンに合致する通信)の履歴に基づいて、各転送装置110aの優先順位が判定される。
具体的には、対処案評価部303aは、各転送装置110aで遮断処理を実行した場合の効果が比較できるよう、各転送装置110aを通る遮断対象通信の量と、IP_Aへのパケットがどのような経路で転送されるかを、それぞれ通信履歴DB500aや転送網構成DB400aから取得する。取得した情報を用いると、例えば、転送装置110a−2や転送装置110a−3で遮断すれば転送装置110a−1の通信も抑制できることや、IP_A向きの通信について、転送装置110a−2を通るものと転送装置110a−3を通るもののどちらが多いかも分かる。これによって、例えば、転送装置110a−2をアクション実施装置とする対処案が、最も高い効果が見込まれる対処案(優先順位が相対的に高い対処案)であるとして抽出される。抽出された対処案は、対処案リストに含められる。
続いて、対処案評価部303aは、抽出された対処案を実行した場合に遮断されると見込まれる通信量を各転送装置110aから減算する(S204)。続いて、対処案評価部303aは、減算の結果、全転送装置110aの全インタフェースにおいて、IP_A向けの通信が占める割合が事前設定された一定の閾値を下回るか否かを判定する(S205)。
いずれかのインタフェースにおいて、減算結果が閾値以上である場合(S205でNo)、ステップS203以降が繰り返されて、他の対処案(すなわち、優先順位が次の対処案)の抽出が行われる。この場合、例えば、転送装置110a−3でもIP_Aの123番ポート向きUDP通信を遮断する対処案等が抽出されうる。
一方、全インタフェースにおいて、IP_A向けの通信が占める割合が閾値を下回る場合(S205でYes)、図5の処理は終了する。したがって、全ての対処案ではなく、一部の対処案のみが採用される可能性が有る。
なお、実行する対処には転送装置110aにおける遮断だけではなく、転送装置に接続された他ネットワーク事業者の転送装置110に依頼するパターンも考えられる。そこで、対処案評価部303aは、ステップS203において、転送装置状態DB600aから各転送装置110の各インタフェースの状態を取得する際に、更に各インタフェースのパケットロス率も取得しておき、これらが事前に設定される閾値を超えていた場合には、他ネットワーク事業者の転送装置110側で遮断するべきと判断してもよい。例えば、図7のような状況の場合、IP_Aの123番ポート向けのUDP通信を遮断する依頼をネットワーク事業者Bへ行う対処案が抽出されてもよい。
なお、本実施の形態においては、対処案評価部303aが自動的に対処案を決定する例について説明したが、必要に応じて取得した情報や対処案を表示装置に出力する等してオペレータに提示し、オペレータの指示を受け付けて対処案が決定されてもよい。
上記の処理によって、IP_Aの80番/123番向けのTCP/UDP通信を用いた複合的なDDoS攻撃について、TCP通信は攻撃緩和装置200aで精度よく対処しながら、一方で、UDP通信については転送装置110で効率よく対処することができ、全体としては対処精度を維持しながら効率よく対処することができる攻撃対処システムが実現される。
上述したように、本実施の形態によれば、DDoS攻撃への対応について、攻撃緩和装置200での検知結果をもとに、攻撃緩和装置200だけでなく一般的に高スループットな転送装置110とも連携した対処が可能となる。これにより、DDoS攻撃への対処効率を向上させることができる。また、攻撃緩和装置200を持たないネットワーク(事業者)を含めネットワーク間で連携してDDoS攻撃に対処することが可能となり、ネットワーク全体としてより効率的にDDoS攻撃に対処することが可能となる。
なお、本実施の形態において、攻撃緩和装置200及びセキュリティ制御装置300は、対処制御システムの一例である。パケット解析部201は、特定部の一例である。対処指示部304は、指示部の一例である。対処案評価部303は、判定部の一例である。転送網100は、通信網の一例である。
以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 転送網
111 転送部
112 転送制御部
200 攻撃緩和装置
201 パケット解析部
202 アラート出力部
300 セキュリティ制御装置
301 アラート受信部
302 対処案生成部
303 対処案評価部
304 対処指示部
400 転送網構成DB
500 通信履歴DB
600 転送装置状態DB
700 ドライブ装置
701 記録媒体
702 補助記憶装置
703 メモリ装置
704 CPU
705 インタフェース装置
B バス

Claims (6)

  1. 1以上のコンピュータを含む対処制御システムであって、
    通信網におけるDDos攻撃のパターンを特定する特定部と、
    前記通信網においてパケットを転送する転送装置による前記パターンに合致する通信の履歴に基づいて、当該転送装置について当該通信の制限を行うか否かを判定する判定部と、
    前記判定部によって前記パターンに合致する通信の制限を行うと判定された場合に、当該通信を制限するための設定を、前記転送装置へ指示する指示部と、
    を有することを特徴とする対処制御システム。
  2. 前記判定部は、複数の転送装置のそれぞれによる前記パターンに合致する通信の履歴に基づいて、当該通信の制限を行う転送装置の優先順位を判定し、
    前記指示部は、前記優先順位が相対的に高い一部の転送装置に、前記パターンに合致する通信を制限するための設定を指示する、
    ことを特徴とする請求項1記載の対処制御システム。
  3. 前記指示部は、それぞれ異なる通信網に属する複数の転送装置へ、前記パターンに合致する通信を制限するための設定を指示する、
    ことを特徴とする請求項2記載の対処制御システム。
  4. 通信網におけるDDos攻撃のパターンを特定する特定手順と、
    前記通信網においてパケットを転送する転送装置による前記パターンに合致する通信の履歴に基づいて、当該転送装置について当該通信の制限を行うか否かを判定する判定手順と、
    前記判定手順において前記パターンに合致する通信の制限を行うと判定された場合に、当該通信を制限するための設定を、前記転送装置へ指示する指示手順と、
    をコンピュータが実行することを特徴とする対処制御方法。
  5. 前記判定手順は、複数の転送装置のそれぞれによる前記パターンに合致する通信の履歴に基づいて、当該通信の制限を行う転送装置の優先順位を判定し、
    前記指示手順は、前記優先順位が相対的に高い一部の転送装置に、前記パターンに合致する通信を制限するための設定を指示する、
    ことを特徴とする請求項4記載の対処制御方法。
  6. 前記指示手順は、それぞれ異なる通信網に属する複数の転送装置へ、前記パターンに合致する通信を制限するための設定を指示する、
    ことを特徴とする請求項5記載の対処制御方法。
JP2017027339A 2017-02-16 2017-02-16 対処制御システム及び対処制御方法 Pending JP2018133753A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017027339A JP2018133753A (ja) 2017-02-16 2017-02-16 対処制御システム及び対処制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017027339A JP2018133753A (ja) 2017-02-16 2017-02-16 対処制御システム及び対処制御方法

Publications (1)

Publication Number Publication Date
JP2018133753A true JP2018133753A (ja) 2018-08-23

Family

ID=63249881

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017027339A Pending JP2018133753A (ja) 2017-02-16 2017-02-16 対処制御システム及び対処制御方法

Country Status (1)

Country Link
JP (1) JP2018133753A (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280724A (ja) * 2003-03-18 2004-10-07 Fujitsu Ltd 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP2006345014A (ja) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> 攻撃トラヒック防御システムおよび方法
WO2016076207A1 (ja) * 2014-11-10 2016-05-19 日本電信電話株式会社 最適化装置、最適化方法および最適化プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004280724A (ja) * 2003-03-18 2004-10-07 Fujitsu Ltd 不正アクセス対処システム、及び不正アクセス対処処理プログラム
JP2006345014A (ja) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> 攻撃トラヒック防御システムおよび方法
WO2016076207A1 (ja) * 2014-11-10 2016-05-19 日本電信電話株式会社 最適化装置、最適化方法および最適化プログラム

Similar Documents

Publication Publication Date Title
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US10911473B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US11005865B2 (en) Distributed denial-of-service attack detection and mitigation based on autonomous system number
US20200137112A1 (en) Detection and mitigation solution using honeypots
CN103051605B (zh) 一种数据包处理方法、装置和系统
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
US9800593B2 (en) Controller for software defined networking and method of detecting attacker
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN108293039B (zh) 处理网络威胁的计算设备、方法和存储介质
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
CA2887428C (en) A computer implemented system and method for secure path selection using network rating
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
EP3292665A1 (en) Reducing traffic overload in software defined network
CN106534068A (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
Hong et al. Dynamic threshold for DDoS mitigation in SDN environment
Gkounis Cross-domain DoS link-flooding attack detection and mitigation using SDN principles
JP2013070325A (ja) 通信システム、通信装置、サーバ、通信方法
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
JP5178573B2 (ja) 通信システムおよび通信方法
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP2008219149A (ja) トラヒック制御システムおよびトラヒック制御方法
JP6649296B2 (ja) セキュリティ対処案設計装置及びセキュリティ対処案設計方法
JP2018133753A (ja) 対処制御システム及び対処制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190927

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191008

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191126

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200310