JP2019033320A - Attack handling system and attack handling method - Google Patents

Attack handling system and attack handling method Download PDF

Info

Publication number
JP2019033320A
JP2019033320A JP2017151747A JP2017151747A JP2019033320A JP 2019033320 A JP2019033320 A JP 2019033320A JP 2017151747 A JP2017151747 A JP 2017151747A JP 2017151747 A JP2017151747 A JP 2017151747A JP 2019033320 A JP2019033320 A JP 2019033320A
Authority
JP
Japan
Prior art keywords
attack
information
possibility
reflection
determination result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017151747A
Other languages
Japanese (ja)
Other versions
JP6740191B2 (en
Inventor
勝彦 阪井
Katsuhiko Sakai
勝彦 阪井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017151747A priority Critical patent/JP6740191B2/en
Publication of JP2019033320A publication Critical patent/JP2019033320A/en
Application granted granted Critical
Publication of JP6740191B2 publication Critical patent/JP6740191B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

To properly handle a reflection attack.SOLUTION: An attack handling device 10 of an accommodation network NW_N1 includes a determination section 12 and a control instruction section 16. An attack verification device 20 of a NW_B_N3 includes an attack verification section 23. The determination section 12 generates attack potential information of a reflection attack by a specific protocol from detection information of the reflection attack to the NW_B_N3 detected by an attack detection device. The attack verification section 23 generates attack potential determination result information indicating that the reflection attack is definite when a communication history from a source address of the reflection attack to the accommodation network NW_N1 is present in a monitoring log of communication in the NW_B_N3, based on the attack potential information received from the attack handling device 10. When the attack potential determination result information received form the attack verification device 20 indicates that the reflection attack is definite, the determination section 12 cut-off controls communication by the specific protocol from the source address of the reflection attack.SELECTED DRAWING: Figure 2

Description

本発明は、攻撃対処システム及び攻撃対処方法に関する。   The present invention relates to an attack countermeasure system and an attack countermeasure method.

近年、DNS(Domain Name System)、NTP(Network Time Protocol)、SSDP(Simple Service Discovery Protocol)等のプロトコルの特性を利用し、脆弱性があるサーバ等をリフレクターとして特定のサーバ等を攻撃するリフレクション攻撃が増加している(例えば、非特許文献1参照)。   In recent years, a reflection attack that attacks specific servers using a vulnerable server as a reflector, using the characteristics of protocols such as DNS (Domain Name System), NTP (Network Time Protocol), SSDP (Simple Service Discovery Protocol), etc. (See, for example, Non-Patent Document 1).

リフレクション攻撃とは、攻撃パケットにおいて、送信元IP(Internet Protocol)アドレスを詐称して攻撃ターゲットとなるサーバ等のIPアドレスを設定し、宛先IPアドレスにリフレクター(例えば、DNSサーバ)のIPアドレスを設定して、攻撃元ネットワークに含まれるボット等を制御して攻撃を行うというものである。   In the reflection attack, the source IP (Internet Protocol) address is spoofed in the attack packet and the IP address of the server that is the attack target is set, and the IP address of the reflector (for example, DNS server) is set as the destination IP address Then, an attack is performed by controlling a bot included in the attack source network.

リフレクション攻撃に対して、攻撃ターゲットが含まれる被害者ネットワーク側で取り得る対策としては、攻撃ターゲットへ宛てたDNSやNTPのアクセス制御や、FW(Fire Wall)導入を実施することが考えられる。しかし、被害者ネットワーク側で対処を行うことは、装置の性能限界があるので、リフレクターが含まれる収容ネットワーク側で対処することが望ましい。装置の性能限界は、例えば、セキュリティ対策が脆弱なIoTデバイスの増加が一要因である。   As countermeasures that can be taken on the victim network side including the attack target against the reflection attack, it is conceivable to implement DNS or NTP access control addressed to the attack target or to introduce FW (Fire Wall). However, it is desirable to deal with the victim network side because the performance of the device is limited. For example, an increase in the number of IoT devices with weak security measures is one factor in the performance limit of the apparatus.

そこで、収容ネットワーク側のFW等において、例えば、特定IPアドレスに対するDNSやNTP等のパケット量が閾値を超えた場合に、リフレクション攻撃を検知する方式(振る舞い検知技術)が提案されている(例えば、非特許文献2参照)。   Therefore, a method (behavior detection technique) for detecting a reflection attack when, for example, the amount of packets such as DNS or NTP for a specific IP address exceeds a threshold in a FW on the accommodation network side has been proposed (for example, Non-patent document 2).

“リフレクション攻撃の増加でDDoS攻撃が大規模化”、さくらインターネット株式会社、[online]、[平成29年7月24日検索]、インターネット<http://knowledge.sakura.ad.jp/cyber-security/6348/>“DDoS attacks become larger due to an increase in reflection attacks”, Sakura Internet Inc., [online], [searched July 24, 2017], Internet <http://knowledge.sakura.ad.jp/cyber- security / 6348 / > “FortiDDoS DDoS攻撃ミティゲーション(減災)アプライアンス”、Fortinet社、[online]、[平成29年7月24日検索]、インターネット<URL:http://www.fortinet.co.jp/doc/FortiDDoS_DS.pdf>“FortiDDoS DDoS attack mitigation appliance”, Fortinet, [online], [searched July 24, 2017], Internet <URL: http://www.fortinet.co.jp/doc/FortiDDoS_DS.pdf >

しかしながら、上述の従来技術では、例えば、特定IPアドレスからの通信量又は特定IPアドレスへの通信量が閾値を超えた場合がリフレクション攻撃によるものである、という推測に基づく。よって、リフレクション攻撃を検知した際であっても、正常通信も含む可能性があるので、収容ネットワーク側では、リフレクション攻撃の的確な検知判定が困難である。そのため、被害者ネットワーク側からすると、攻撃元ネットワークが確定できないため、検知したリフレクション攻撃に対して的確に対処できないという問題がある。   However, the above-described conventional technology is based on the assumption that, for example, the amount of communication from a specific IP address or the amount of communication to a specific IP address exceeds a threshold is due to a reflection attack. Therefore, even when a reflection attack is detected, normal communication may be included, and it is difficult for the accommodation network side to accurately detect and determine the reflection attack. Therefore, from the victim network side, since the attack source network cannot be determined, there is a problem that the detected reflection attack cannot be dealt with accurately.

本願が開示する実施形態の一例は、上述に鑑みてなされたものであって、リフレクション攻撃に対して的確に対処できる攻撃対処システム及び攻撃対処方法を提供することを目的とする。   An example of an embodiment disclosed in the present application has been made in view of the above, and an object thereof is to provide an attack countermeasure system and an attack countermeasure method capable of accurately dealing with a reflection attack.

本願の実施形態の一例において、攻撃対処システムは、第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する。前記攻撃対処装置は、攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成部と、前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信部と、前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信部と、前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示部とを備えた。また、前記攻撃検証装置は、前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信部と、前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証部と、前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信部とを備えた。   In an example of the embodiment of the present application, the attack countermeasure system includes an attack countermeasure device included in the first network and an attack verification device included in the second network. The attack countermeasure device generates a probability information generating unit that indicates the possibility of the reflection attack by a specific protocol from the detection information of the reflection attack to the second network detected by the attack detection device. And an attack information transmission unit that transmits the attack possibility information to the attack verification device, and an attack that indicates whether or not the reflection verification indicated by the attack possibility information needs to be dealt with from the attack verification device The determination result information receiving unit that receives the possibility determination result information, and the identification from the source address of the reflection attack related to the detection information when the reflection attack indicated by the attack possibility determination result information is definite And an instruction unit for instructing the attack detection apparatus to block communication according to the protocol. Further, the attack verification device transmits the transmission information to a monitoring log acquired from a possibility information receiving unit that receives the attack possibility information from the attack countermeasure device and a communication monitoring device that monitors communication in the second network. It is determined whether or not there is a communication history from the original address to the first network, and if it exists, the reflection attack is not fixed, and if it does not exist, the reflection attack is fixed An attack verification unit that generates attack possibility determination result information, and a determination result information transmission unit that transmits the attack possibility determination result information to the attack countermeasure apparatus.

本願の実施形態の一例によれば、例えば、リフレクション攻撃に的確に対処できる。   According to an example of the embodiment of the present application, for example, it is possible to accurately cope with a reflection attack.

図1は、実施形態に係る通信システムの構成の一例を示す図である。FIG. 1 is a diagram illustrating an example of a configuration of a communication system according to the embodiment. 図2は、実施形態に係る攻撃対処システムの構成の一例を示すブロック図である。FIG. 2 is a block diagram illustrating an example of the configuration of the attack response system according to the embodiment. 図3は、実施形態における検知情報の一例を示す図である。FIG. 3 is a diagram illustrating an example of detection information in the embodiment. 図4は、実施形態における攻撃可能性情報の一例を示す図である。FIG. 4 is a diagram illustrating an example of attack possibility information in the embodiment. 図5は、実施形態における攻撃可能性判定結果情報の一例を示す図である。FIG. 5 is a diagram illustrating an example of attack possibility determination result information in the embodiment. 図6は、実施形態において攻撃検証のために監視ログを確認する通信条件のプロトコルの一例であるDNSプロトコルを示す図である。FIG. 6 is a diagram illustrating a DNS protocol which is an example of a communication condition protocol for confirming a monitoring log for attack verification in the embodiment. 図7は、実施形態に係るリフレクション攻撃対処処理の一例を示すシーケンス図である。FIG. 7 is a sequence diagram illustrating an example of a reflection attack handling process according to the embodiment. 図8は、プログラムが実行されることにより、攻撃対処装置及び攻撃検証装置が実現されるコンピュータの一例を示す図である。FIG. 8 is a diagram illustrating an example of a computer in which an attack countermeasure device and an attack verification device are realized by executing a program.

以下、本願に係る攻撃対処システム及び攻撃対処方法の実施形態を説明する。なお、以下の実施形態は、一例を示すに過ぎず、本願を限定するものではない。以下の実施形態において、既出の同一構成及び同一処理については、説明を省略する。   Hereinafter, embodiments of an attack countermeasure system and an attack countermeasure method according to the present application will be described. In addition, the following embodiment shows only an example and does not limit this application. In the following embodiments, the description of the same configuration and the same processing as described above will be omitted.

なお、以下の実施形態で示すFW(Fire Wall)、サーバ、ルータ、ネットワークカメラ等は、ネットワーク装置の例を示すに過ぎない。   In addition, FW (Fire Wall), a server, a router, a network camera, etc. which are shown in the following embodiments are only examples of network devices.

[実施形態]
(実施形態に係る通信システム)
図1は、実施形態に係る通信システムの構成の一例を示す図である。図1に示すように、通信システム1は、例えばNGN(Next Generation Network)である。通信システム1は、収容NW(NetWork)_N1、NW_A_N2、NW_B_N3を有する。通信システム1は、例えばBGP(Border Gateway Protocol)準拠のネットワークである。 [Embodiment]
(Communication system according to the embodiment)
FIG. 1 is a diagram illustrating an example of a configuration of a communication system according to the embodiment. As shown in FIG. 1, the communication system 1 is, for example, an NGN (Next Generation Network). The communication system 1 has accommodation NW (NetWork) _N1, NW_A_N2, and NW_B_N3. The communication system 1 is a network compliant with, for example, BGP (Border Gateway Protocol).

収容NW_N1は、外部ネットワークからアクセス可能なネットワークの一例である。収容NW_N1は、攻撃対処装置10、セキュリティ装置30A、ルータR1−1,R1−2,R1−3を有する。セキュリティ装置30Aは、例えば統合セキュリティアプライアンス装置である。セキュリティ装置30Aは、攻撃対処装置10、ルータR1−1〜R1−3それぞれと接続されている。攻撃対処装置10は、IRR(Internet Routing Registry)40と接続されている。攻撃対処装置10は、後述のNW_B_N3が有する攻撃検証装置20と接続されている。攻撃対処装置10の詳細については、後述する。   The accommodation NW_N1 is an example of a network accessible from an external network. The accommodation NW_N1 includes an attack countermeasure device 10, a security device 30A, and routers R1-1, R1-2, and R1-3. The security device 30A is, for example, an integrated security appliance device. The security device 30A is connected to each of the attack countermeasure device 10 and the routers R1-1 to R1-3. The attack countermeasure device 10 is connected to an IRR (Internet Routing Registry) 40. The attack countermeasure device 10 is connected to an attack verification device 20 included in NW_B_N3 described later. Details of the attack countermeasure device 10 will be described later.

ルータR1−1には、ネットワークカメラC1、サーバS1−1,S1−2が接続されている。同様に、ルータR1−2には、ネットワークカメラC2、サーバS2−1,S2−2が接続され、ルータR1−3には、ネットワークカメラC3、サーバS3−1,S3−2が接続されている。サーバS1−1〜S3−2は、例えばオープンリゾルバである。   A network camera C1 and servers S1-1 and S1-2 are connected to the router R1-1. Similarly, a network camera C2 and servers S2-1 and S2-2 are connected to the router R1-2, and a network camera C3 and servers S3-1 and S3-2 are connected to the router R1-3. . The servers S1-1 to S3-2 are, for example, open resolvers.

NW_A_N1は、リフレクション攻撃を行う攻撃元ネットワークの一例である。NW_A_N2は、サーバS2を有する。サーバS2は、後述のNW_B_N3が有するサーバS3のIP(Internet Protocol)アドレスを詐称してサーバS3を攻撃する攻撃サーバの一例であり、例えばボットである。   NW_A_N1 is an example of an attack source network that performs a reflection attack. NW_A_N2 has a server S2. The server S2 is an example of an attack server that attacks the server S3 by spoofing an IP (Internet Protocol) address of the server S3 included in the NW_B_N3 described later, and is, for example, a bot.

NW_B_N3は、リフレクション攻撃を受ける被害者ネットワークの一例である。NW_B_N2は、攻撃検証装置20、セキュリティ装置30B、サーバS3を有する。セキュリティ装置30Bは、例えば統合セキュリティアプライアンス装置である。サーバS3は、リフレクション攻撃を受ける攻撃対象サーバの一例であり、IPアドレスが、例えばIPアドレスAである。攻撃検証装置20は、収容NW_N1が有する攻撃対処装置10と接続されている。攻撃検証装置20の詳細については、後述する。   NW_B_N3 is an example of a victim network that receives a reflection attack. NW_B_N2 includes an attack verification device 20, a security device 30B, and a server S3. The security device 30B is, for example, an integrated security appliance device. The server S3 is an example of an attack target server that receives a reflection attack, and the IP address is, for example, the IP address A. The attack verification device 20 is connected to the attack countermeasure device 10 included in the accommodation NW_N1. Details of the attack verification device 20 will be described later.

例えば、攻撃元サーバであるサーバS2は、攻撃対象サーバであるサーバS3のIPアドレスAを送信元アドレスとして詐称したDNS(Domain Name System)(問合わせ)の攻撃パケットを、ネットワークカメラC1、サーバS1−1,S1−2へ送信する。攻撃パケットは、収容NW_N1のセキュリティ装置30A及びルータR1−1を経由してネットワークカメラC1、サーバS1−1,S1−2へ到達する。   For example, the server S2, which is the attack source server, sends an attack packet of DNS (Domain Name System) (inquiry) spoofed using the IP address A of the server S3, which is the attack target server, as the transmission source address. -1 and S1-2. The attack packet reaches the network camera C1 and the servers S1-1 and S1-2 via the security device 30A and the router R1-1 of the accommodation NW_N1.

そして、例えば、DNS(問合わせ)の攻撃パケットを受信したネットワークカメラC1、サーバS1−1,S1−2は、真正なIPアドレスAのサーバS3へ、攻撃パケットに対するDNS(応答)の応答パケットを送信する。応答パケットは、収容NW_N1のセキュリティ装置30A及びNW_B_N3のセキュリティ装置30Bを経由して、サーバS3へ到達する。   Then, for example, the network camera C1 and the servers S1-1 and S1-2 that have received the DNS (inquiry) attack packet send a DNS (response) response packet to the attack packet to the server S3 with the genuine IP address A. Send. The response packet reaches the server S3 via the security device 30A of the accommodation NW_N1 and the security device 30B of NW_B_N3.

すなわち、攻撃サーバであるサーバS2は、攻撃対象サーバであるサーバS3のIPアドレスを詐称して、収容NW_N1に収容されたネットワークカメラC1〜C3、サーバS1−1〜S3−2等に対して所定の通信プロトコルの問合わせを行い、IPアドレスが詐称された攻撃対象サーバであるサーバS3へ問合わせに対する応答が送信されるようにする。ネットワークカメラC1〜C3、サーバS1−1〜S3−2等は、IPアドレスが詐称された問合わせに対して真正なIPアドレスのサーバS3へ応答を返すことから、リフレクターと呼ばれる。ここで、所定の通信プロトコルとは、NTP、SSDP、CHARGEN等の、問合わせクエリ(通信)に対して応答クエリ(通信)が発生する片方向通信の通信プロトコルである。   That is, the server S2 that is the attack server spoofs the IP address of the server S3 that is the attack target server, and is predetermined with respect to the network cameras C1 to C3, the servers S1-1 to S3-2, and the like that are accommodated in the accommodation NW_N1. The communication protocol is inquired, and a response to the inquiry is transmitted to the server S3, which is the attack target server whose IP address is spoofed. The network cameras C1 to C3, the servers S1-1 to S3-2, etc. are called reflectors because they return a response to the server S3 having a genuine IP address in response to an inquiry in which the IP address is spoofed. Here, the predetermined communication protocol is a communication protocol for one-way communication in which a response query (communication) is generated in response to an inquiry query (communication) such as NTP, SSDP, and CHARGEN.

(実施形態に係る攻撃対処システム)
図2は、実施形態に係る攻撃対処システムの構成の一例を示すブロック図である。実施形態に係る攻撃対処システム100は、収容NW_N1に含まれる攻撃対処装置10及びNW_B_N3に含まれる攻撃検証装置20を有する。攻撃対処装置10及び攻撃検証装置20は、相互通信可能に接続されている。攻撃対処装置10は、IRR40と接続されている。また、攻撃対処装置10は、セキュリティ装置30Aと接続されている。また、攻撃検証装置20は、セキュリティ装置30Bと接続されている。 (Attack countermeasure system according to the embodiment)
FIG. 2 is a block diagram illustrating an example of the configuration of the attack response system according to the embodiment. The attack response system 100 according to the embodiment includes an attack response device 10 included in the accommodation NW_N1 and an attack verification device 20 included in NW_B_N3. The attack countermeasure device 10 and the attack verification device 20 are connected to be able to communicate with each other. The attack countermeasure device 10 is connected to the IRR 40. The attack countermeasure device 10 is connected to the security device 30A. The attack verification device 20 is connected to the security device 30B.

セキュリティ装置30Aは、リフレクション攻撃の監視を行い、リフレクション攻撃を検知する。セキュリティ装置30Aは、攻撃検知装置の一例である。セキュリティ装置30Aは、検知したリフレクション攻撃に関する情報として、攻撃種別、送信元IPアドレス、宛先IPアドレスを含む検知情報を出力する。ここで、攻撃種別は、DNSamp、NTP(Network Time Protocol)amp等のリフレクション攻撃の種別を示す情報である。送信元IPアドレスは、収容NW_N1におけるリフレクターのIPアドレスである。宛先IPアドレスは、NW_B_N3に含まれる攻撃対象サーバであるサーバS3のIPアドレスである。以下、リフレクターのIPアドレスを、例えば“IPアドレスB”とする。   The security device 30A monitors the reflection attack and detects the reflection attack. The security device 30A is an example of an attack detection device. The security device 30A outputs detection information including an attack type, a transmission source IP address, and a destination IP address as information regarding the detected reflection attack. Here, the attack type is information indicating the type of reflection attack such as DNSamp, NTP (Network Time Protocol) amp. The transmission source IP address is the IP address of the reflector in the accommodation NW_N1. The destination IP address is the IP address of the server S3 that is the attack target server included in NW_B_N3. Hereinafter, the IP address of the reflector is, for example, “IP address B”.

攻撃対処装置10は、ログ取得部11、判断部12、宛先解決部13、脅威情報送信部14、脅威情報受信部15、制御指示部16を有する。攻撃検証装置20は、脅威情報受信部21、ログ取得部22、攻撃検証部23、脅威情報送信部24を有する。   The attack handling apparatus 10 includes a log acquisition unit 11, a determination unit 12, a destination resolution unit 13, a threat information transmission unit 14, a threat information reception unit 15, and a control instruction unit 16. The attack verification device 20 includes a threat information reception unit 21, a log acquisition unit 22, an attack verification unit 23, and a threat information transmission unit 24.

ログ取得部11は、セキュリティ装置30Aが出力する検知情報51をSyslog等により取得する。図3は、実施形態における検知情報の一例を示す図である。判断部12は、宛先解決部13へ、宛先解決指示を出力する。宛先解決部13は、判断部12からの指示により、セキュリティ装置30Aが出力した検知情報51に含まれる宛先IPアドレスを元にIRR40に問合わせを行い、AS(Autonomous System)番号を取得する。そして、宛先解決部13は、取得したAS番号を判断部12へ通知する。これにより、判断部12は、検知情報51に含まれる宛先IPアドレスに該当するNW_B_N3のNWアドレスを認識する。   The log acquisition unit 11 acquires the detection information 51 output from the security device 30A by using Syslog or the like. FIG. 3 is a diagram illustrating an example of detection information in the embodiment. The determination unit 12 outputs a destination resolution instruction to the destination resolution unit 13. The destination resolution unit 13 makes an inquiry to the IRR 40 based on the destination IP address included in the detection information 51 output by the security device 30A according to an instruction from the determination unit 12, and acquires an AS (Autonomous System) number. Then, the destination resolution unit 13 notifies the determination unit 12 of the acquired AS number. Accordingly, the determination unit 12 recognizes the NW address of NW_B_N3 corresponding to the destination IP address included in the detection information 51.

そして、判断部12は、収容NW_N1がNW_B_N3に対してリフレクション攻撃の攻撃パケットを送信している可能性があることを示す攻撃可能性情報52を生成し、生成した攻撃可能性情報52を、脅威情報送信部14を介して、NW_B_N3の攻撃検証装置20へ送信する。図4は、実施形態における攻撃可能性情報の一例を示す図である。   Then, the determination unit 12 generates attack possibility information 52 indicating that the accommodation NW_N1 may transmit an attack packet of the reflection attack to the NW_B_N3. It transmits to the attack verification apparatus 20 of NW_B_N3 via the information transmission part 14. FIG. FIG. 4 is a diagram illustrating an example of attack possibility information in the embodiment.

具体的には、判断部12は、脅威情報送信部24を介して、例えばBGPコミュニティ通知を利用し、攻撃可能性情報52を、攻撃検証装置20へ送信する。BGPコミュニティ通知は、BGPの経路情報のUpdataの一部である。攻撃可能性情報52は、送信元AS番号、宛先AS番号、送信元IPアドレスセグメント、宛先IPアドレス、攻撃種別、BGPコミュニティ属性を含む。判断部12は、攻撃可能性情報52を生成する可能性情報生成部の一例である。   Specifically, the determination unit 12 transmits the attack possibility information 52 to the attack verification device 20 through the threat information transmission unit 24 using, for example, a BGP community notification. The BGP community notification is a part of Updata of BGP route information. The attack possibility information 52 includes a transmission source AS number, a destination AS number, a transmission source IP address segment, a destination IP address, an attack type, and a BGP community attribute. The determination unit 12 is an example of a possibility information generation unit that generates the attack possibility information 52.

ここで、BGPコミュニティ属性は、BGPのネットワークにおける経路情報を操作するための属性値であり、本実施形態では、“no−export”(他のASに経路情報を転送しない)がセットされる。   Here, the BGP community attribute is an attribute value for manipulating route information in the BGP network, and in this embodiment, “no-export” (route information is not transferred to another AS) is set.

攻撃検証装置20側では、脅威情報受信部21が、攻撃対処装置10から送信された攻撃可能性情報52を受信する。脅威情報受信部21は、攻撃可能性情報52を受信すると、ログ取得部22に対して、セキュリティ装置30Bが記録する監視ログをSyslog等で取得するよう指示する。ログ取得部22は、脅威情報受信部21からの指示に応じて、セキュリティ装置30Bが記録する監視ログをSyslog等で取得する。   On the attack verification device 20 side, the threat information receiving unit 21 receives the attack possibility information 52 transmitted from the attack countermeasure device 10. Upon receiving the attack possibility information 52, the threat information receiving unit 21 instructs the log acquisition unit 22 to acquire the monitoring log recorded by the security device 30B using Syslog or the like. In response to an instruction from the threat information receiving unit 21, the log acquisition unit 22 acquires a monitoring log recorded by the security device 30B using Syslog or the like.

そして、攻撃検証部23は、脅威情報受信部21が受信した攻撃可能性情報52と、ログ取得部22が取得した監視ログとを参照し、収容NW_N1側からのパケット送信がリフレクション攻撃であるか否かを判定する攻撃検証を実行する。具体的には、攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別の通信プロトコルを使って収容NW_N1側へ過去に通信したことがあるか否かについて監視ログを調査する。   Then, the attack verification unit 23 refers to the attack possibility information 52 received by the threat information reception unit 21 and the monitoring log acquired by the log acquisition unit 22, and determines whether the packet transmission from the accommodation NW_N1 side is a reflection attack. Perform attack verification to determine whether or not. Specifically, the attack verification unit 23 has communicated in the past to the accommodation NW_N1 side using the attack type communication protocol included in the attack possibility information 52 by the server S3 that may be the attack target server. Check the monitoring log for whether or not

攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別と同一の通信プロトコルを使って収容NW_N1側へ過去に通信した記録が監視ログに記録されている場合には、攻撃可能性情報52はリフレクション攻撃を示していない(リフレクション攻撃未確定)と判定する。一方、攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別と同一の通信プロトコルを使って収容NW_N1側へ過去に通信した記録が監視ログに記録されていない場合には、攻撃可能性情報52はリフレクション攻撃を示している(リフレクション攻撃確定)と判定する。つまり、攻撃検証部23は、攻撃可能性情報52に基づきリフレクション攻撃確定か否かを判定する。   The attack verification unit 23 records, in the monitoring log, a record in which the server S3, which may be an attack target server, communicated in the past to the accommodation NW_N1 side using the same communication protocol as the attack type included in the attack possibility information 52 If it is determined that the attack possibility information 52 does not indicate a reflection attack (reflecting attack indefinite). On the other hand, the attack verification unit 23 records that the server S3, which may be an attack target server, communicated in the past to the accommodation NW_N1 side using the same communication protocol as the attack type included in the attack possibility information 52. If it is not recorded, it is determined that the attack possibility information 52 indicates a reflection attack (reflection attack confirmed). That is, the attack verification unit 23 determines whether or not the reflection attack is confirmed based on the attack possibility information 52.

そして、攻撃検証部23は、リフレクション攻撃確定か否かを示す攻撃可能性判定結果情報53を生成し、生成した攻撃可能性判定結果情報53を、脅威情報送信部24を介して、攻撃対処装置10へ送信する。図5は、実施形態における攻撃可能性判定結果情報の一例を示す図である。   Then, the attack verification unit 23 generates attack possibility determination result information 53 indicating whether or not the reflection attack is confirmed, and uses the generated attack possibility determination result information 53 via the threat information transmission unit 24 as an attack countermeasure device. 10 to send. FIG. 5 is a diagram illustrating an example of attack possibility determination result information in the embodiment.

具体的には、攻撃検証部23は、脅威情報送信部24を介して、例えばBGPコミュニティ通知を利用し、攻撃可能性判定結果情報53を、攻撃対処装置10へ送信する。攻撃可能性判定結果情報53は、送信元AS番号、宛先AS番号、判定結果を含む。なお、攻撃可能性判定結果情報53において、送信元AS番号は、対応する攻撃可能性情報52における宛先AS番号と同一であり、宛先AS番号は、対応する攻撃可能性情報52における送信元AS番号と同一である。また、判定結果は、攻撃検証部23が攻撃可能性情報52に基づきリフレクション攻撃確定か否かを判定した結果であり、リフレクション攻撃確定又はリフレクション攻撃未確定のいずれかである。   Specifically, the attack verification unit 23 transmits the attack possibility determination result information 53 to the attack countermeasure device 10 via the threat information transmission unit 24 using, for example, a BGP community notification. The attack possibility determination result information 53 includes a transmission source AS number, a destination AS number, and a determination result. In the attack possibility determination result information 53, the transmission source AS number is the same as the destination AS number in the corresponding attack possibility information 52, and the destination AS number is the transmission source AS number in the corresponding attack possibility information 52. Is the same. The determination result is a result of the attack verification unit 23 determining whether or not the reflection attack is confirmed based on the attack possibility information 52, and is either a reflection attack confirmation or a reflection attack unconfirmed.

図6は、実施形態において攻撃検証のために監視ログを確認する通信条件のプロトコルの一例であるDNSプロトコルを示す図である。例えば、攻撃種別がDNSampである場合、送信元IPアドレスは収容NW_N1のいずれかのIPアドレスであり、攻撃種別の通信プロトコルはDNSであり、監視ログを調査する対象の過去の通信内容はDNSクエリである。このように、監視ログに、DNSクエリの通信内容が記録されている場合には攻撃可能性情報52に基づきリフレクション攻撃未確定と判定され、DNSクエリの通信内容が記録されていない場合には攻撃可能性情報52に基づきリフレクション攻撃確定と判定できるのは、DNSが片方向通信であるUDP(User Datagram Protocol)であり、問合わせ通信を前提として応答通信が発生するためである。NTP、SSDP、CHARGEN等も、DNSと同様である。   FIG. 6 is a diagram illustrating a DNS protocol which is an example of a communication condition protocol for confirming a monitoring log for attack verification in the embodiment. For example, when the attack type is DNSamp, the source IP address is one of the accommodated NW_N1 IP addresses, the attack type communication protocol is DNS, and the past communication content for which the monitoring log is examined is the DNS query. It is. As described above, when the communication content of the DNS query is recorded in the monitoring log, it is determined that the reflection attack is not confirmed based on the attack possibility information 52, and when the communication content of the DNS query is not recorded, the attack is performed. The reason why the reflection attack can be determined based on the possibility information 52 is because the DNS is UDP (User Datagram Protocol), which is one-way communication, and response communication occurs on the premise of inquiry communication. NTP, SSDP, CHARGEN, etc. are the same as DNS.

脅威情報受信部15は、攻撃検証装置20から攻撃可能性判定結果情報53を受信する。判断部12は、脅威情報受信部15が攻撃検証装置20から受信した攻撃可能性判定結果情報53を元に、制御指示部16を制御して、セキュリティ装置30Aに対して、攻撃可能性判定結果情報53に含まれる判定結果に応じて、送信元IPアドレスがNW_B_N3のサーバS3のIPアドレスAである通信を遮断又は許可する。遮断とは、例えば、パケットのドロップである。なお、遮断されるNW_B_N3のサーバS3のIPアドレスAは、NW_A_N2に含まれるサーバS2により詐称されたIPアドレスである。   The threat information receiving unit 15 receives the attack possibility determination result information 53 from the attack verification device 20. The determination unit 12 controls the control instruction unit 16 based on the attack possibility determination result information 53 received by the threat information reception unit 15 from the attack verification device 20, and performs an attack possibility determination result on the security device 30A. Depending on the determination result included in the information 53, the communication having the IP address A of the server S3 whose source IP address is NW_B_N3 is blocked or permitted. Blocking is, for example, packet dropping. Note that the IP address A of the server S3 of NW_B_N3 to be blocked is an IP address spoofed by the server S2 included in NW_A_N2.

(実施形態に係るリフレクション攻撃対処処理)
図7は、実施形態に係るリフレクション攻撃対処処理の一例を示すシーケンス図である。先ず、ステップS11では、セキュリティ装置30Aは、リフレクション攻撃を検知する。検知情報51は、例えば、攻撃種別:DNSamp、送信元IPアドレス:IPアドレスB、宛先IPアドレス:IPアドレスAである。なお、この段階では、セキュリティ装置30Aにより検知されたリフレクション攻撃は、リフレクション攻撃であるか否かは、未確定である。 (Reflection attack countermeasure processing according to the embodiment)
FIG. 7 is a sequence diagram illustrating an example of a reflection attack handling process according to the embodiment. First, in step S11, the security device 30A detects a reflection attack. The detection information 51 is, for example, attack type: DNSamp, transmission source IP address: IP address B, and destination IP address: IP address A. Note that at this stage, whether or not the reflection attack detected by the security device 30A is a reflection attack is uncertain.

次に、ステップS12では、セキュリティ装置30Aは、攻撃対処装置10のSyslog等により取得し、攻撃対処装置10へ検知情報51を送信する。ステップS13では、攻撃対処装置10は、セキュリティ装置30Aから検知情報51を受信する。   Next, in step S <b> 12, the security device 30 </ b> A is acquired by Syslog or the like of the attack countermeasure device 10, and transmits the detection information 51 to the attack countermeasure device 10. In step S13, the attack handling apparatus 10 receives the detection information 51 from the security apparatus 30A.

次に、ステップS14では、攻撃対処装置10は、ステップS13で受信した検知情報51に含まれる宛先IPアドレスを、IRR40へ送信する。ステップS15では、IRR40は、検知情報51に含まれる宛先IPアドレスを受信する。ステップS16では、ステップS15で受信した宛先IPアドレスから宛先AS番号を取得する。ステップS17では、IRR40は、ステップS16で取得した宛先AS番号を、攻撃対処装置10へ送信する。   Next, in step S14, the attack handling apparatus 10 transmits the destination IP address included in the detection information 51 received in step S13 to the IRR 40. In step S15, the IRR 40 receives the destination IP address included in the detection information 51. In step S16, a destination AS number is acquired from the destination IP address received in step S15. In step S17, the IRR 40 transmits the destination AS number acquired in step S16 to the attack countermeasure apparatus 10.

次に、ステップS18では、攻撃対処装置10は、IRR40から宛先AS番号を受信する。例えば、攻撃対処装置10は、検知情報51の宛先IPアドレス:IPアドレスAから宛先AS番号:1000を取得する。   Next, in step S18, the attack handling apparatus 10 receives the destination AS number from the IRR 40. For example, the attack handling apparatus 10 acquires the destination AS number: 1000 from the destination IP address: IP address A of the detection information 51.

ステップS19では、攻撃対処装置10は、ステップS13で受信した検知情報51にステップS18で取得した宛先AS番号及び自装置が含まれる収容NW_N1のAS番号を送信元AS番号として含む攻撃可能性情報52を、BGPコミュニティ通知を利用して、NW_B_N2に含まれる攻撃検証装置20へ送信する。攻撃可能性情報52は、例えば、送信元AS番号:100、宛先AS番号:1000、送信元IPアドレスセグメント:IPアドレスB、宛先IPアドレス:IPアドレスA、攻撃種別DNSamp、BGPコミュニティ属性:no−exportである。   In step S19, the attack handling apparatus 10 includes attack possibility information 52 including the destination AS number acquired in step S18 and the AS number of the accommodation NW_N1 including the own apparatus as the transmission source AS number in the detection information 51 received in step S13. Is transmitted to the attack verification device 20 included in NW_B_N2 using the BGP community notification. Attack possibility information 52 includes, for example, transmission source AS number: 100, destination AS number: 1000, transmission source IP address segment: IP address B, destination IP address: IP address A, attack type DNSamp, BGP community attribute: no- export.

次に、ステップS20では、攻撃検証装置20は、攻撃対処装置10から攻撃可能性情報52を受信する。ステップS21では、攻撃検証装置20は、セキュリティ装置30Bへ、NW_B_N2と外部との通信履歴を含む監視ログを取得する監視ログ要求を送信する。ステップS22では、セキュリティ装置30Bは、攻撃検証装置20から監視ログ要求を受信する。ステップS23では、セキュリティ装置30Bは、ステップS23で監視ログ要求を受信したことに応じて、攻撃検証装置20へ監視ログを送信する。攻撃検証装置20により収集される監視ログは、例えば、送信元IPアドレス:IPアドレスA、宛先IPアドレス:収容NW_N1のいずれかのIPアドレス、通信プロトコル:DNSに該当する監視ログである。   Next, in step S <b> 20, the attack verification device 20 receives the attack possibility information 52 from the attack countermeasure device 10. In step S21, the attack verification apparatus 20 transmits a monitoring log request for acquiring a monitoring log including a communication history between NW_B_N2 and the outside to the security apparatus 30B. In step S22, the security device 30B receives the monitoring log request from the attack verification device 20. In step S23, the security device 30B transmits a monitoring log to the attack verification device 20 in response to receiving the monitoring log request in step S23. The monitoring log collected by the attack verification device 20 is, for example, a monitoring log corresponding to any one of the IP address of the transmission source IP address: IP address A, the destination IP address: accommodation NW_N1, and the communication protocol: DNS.

次に、ステップS24では、攻撃検証装置20は、セキュリティ装置30Bから監視ログを受信する。ステップS25では、攻撃検証装置20は、ステップS24で受信した監視ログに、所定の通信条件に合致する通信履歴が存在するか否かを判定する攻撃検証処理を行う。所定の通信条件は、例えば、送信元IPアドレス:IPアドレスA、宛先IPアドレス:IPアドレスB又は宛先AS番号:100、通信プロトコル:DNS(問合わせ)である。   Next, in step S24, the attack verification device 20 receives a monitoring log from the security device 30B. In step S25, the attack verification apparatus 20 performs an attack verification process for determining whether or not a communication history that matches a predetermined communication condition exists in the monitoring log received in step S24. The predetermined communication conditions are, for example, transmission source IP address: IP address A, destination IP address: IP address B or destination AS number: 100, communication protocol: DNS (inquiry).

そして、攻撃検証装置20は、所定の通信条件に合致する通信履歴が監視ログに含まれる場合にはリフレクション攻撃未確定と判定し、所定の通信条件に合致する通信履歴が監視ログに含まれない場合にはリフレクション攻撃確定と判定する。   Then, the attack verification device 20 determines that the reflection attack is unconfirmed when the communication log that matches the predetermined communication condition is included in the monitoring log, and the communication history that matches the predetermined communication condition is not included in the monitoring log. In this case, it is determined that the reflection attack is confirmed.

次に、ステップS26では、攻撃検証装置20は、ステップS25の攻撃検証処理による判定結果を含む攻撃可能性判定結果情報53を、BGPコミュニティ通知を利用して、攻撃対処装置10へ送信する。攻撃可能性判定結果情報53は、例えば、送信元AS番号:100、宛先AS番号:1000、判定結果:リフレクション攻撃確定である。   Next, in step S26, the attack verification apparatus 20 transmits the attack possibility determination result information 53 including the determination result by the attack verification process in step S25 to the attack countermeasure apparatus 10 using the BGP community notification. The attack possibility determination result information 53 is, for example, transmission source AS number: 100, destination AS number: 1000, and determination result: reflection attack confirmation.

次に、ステップS27では、攻撃対処装置10は、攻撃検証装置20から攻撃可能性判定結果情報53を受信する。ステップS28では、攻撃対処装置10は、ステップS27で受信した攻撃可能性判定結果情報53において、判定結果がリフレクション攻撃確定であるか否かを判定する。ステップS29では、攻撃対処装置10は、ステップS28での判定結果がリフレクション攻撃確定である場合に、セキュリティ装置30Aに対して、ステップS11で検知した攻撃に係る検知情報に含まれる攻撃種別と同一の通信プロトコルであって、同検知情報に含まれる宛先IPアドレスを送信元IPアドレスとするパケットを遮断する攻撃対処指示を送信する。攻撃対処指示は、例えば、送信元IPアドレス:IPアドレスA、通信プロトコル:DNS(問合わせ)、対処:遮断である。   Next, in step S <b> 27, the attack handling apparatus 10 receives the attack possibility determination result information 53 from the attack verification apparatus 20. In step S28, the attack response apparatus 10 determines whether or not the determination result is a reflection attack confirmation in the attack possibility determination result information 53 received in step S27. In step S29, when the determination result in step S28 is that the reflection attack is confirmed, the attack countermeasure apparatus 10 has the same attack type as that included in the detection information related to the attack detected in step S11 with respect to the security apparatus 30A. An attack countermeasure instruction that blocks a packet that is a communication protocol and has a destination IP address included in the detection information as a source IP address is transmitted. The attack countermeasure instruction is, for example, transmission source IP address: IP address A, communication protocol: DNS (inquiry), countermeasure: blocking.

次に、ステップS30では、セキュリティ装置30Aは、攻撃対処装置10から攻撃対処指示を受信する。ステップS31では、セキュリティ装置30Aは、攻撃対処装置10から受信した攻撃対処指示に応じて、パケットを遮断する制御を行う。   Next, in step S30, the security device 30A receives an attack handling instruction from the attack handling device 10. In step S <b> 31, the security device 30 </ b> A performs control to block the packet in accordance with the attack handling instruction received from the attack handling device 10.

実施形態によれば、収容NW_N1及びNW_B_N3の網間連携により、被害者ネットワークであるNW_B_N2側では把握不可能なリフレクション攻撃に対する最適な対処箇所の特定を容易かつ的確に行うことができる。また、実施形態によれば、ネットワーク装置に実装されるプロトコルレベルで、リフレクション攻撃に対する最適な対処箇所の特定を自動的に行うことができる。また、実施形態によれば、転送機能を有するネットワーク装置が持つ既存機能に拡張を加えることにより、リフレクション攻撃に対する最適な対処箇所の特定を容易かつ的確に行うことができる。   According to the embodiment, it is possible to easily and accurately identify an optimal countermeasure location for a reflection attack that cannot be grasped on the side of the victim network NW_B_N2 by inter-network cooperation between the accommodation NW_N1 and NW_B_N3. In addition, according to the embodiment, it is possible to automatically identify an optimum countermeasure location for the reflection attack at the protocol level implemented in the network device. In addition, according to the embodiment, it is possible to easily and accurately identify an optimum countermeasure location for a reflection attack by adding an extension to an existing function of a network device having a transfer function.

[実施形態の変形例]
(AS番号の取得について)
上述の実施形態では、攻撃対処装置10の宛先解決部13は、IRR40からAS番号を取得するとした。しかし、これに限られず、宛先解決部13は、WhoisプロトコルやCRISP(Cross Registry Information Service Protocol)、その他のプロトコルに基づいてAS番号を取得するとしてもよい。 [Modification of Embodiment]
(Acquisition of AS number)
In the above-described embodiment, the destination resolution unit 13 of the attack countermeasure apparatus 10 acquires the AS number from the IRR 40. However, the present invention is not limited to this, and the destination resolution unit 13 may acquire the AS number based on the Whois protocol, CRISP (Cross Registry Information Service Protocol), or other protocols.

(攻撃可能性情報及び攻撃可能性判定結果情報の送受信について)
上述の実施形態では、攻撃対処装置10は、攻撃検証装置20へ、BGPを用いて攻撃可能性情報52を送信するとした。また、攻撃検証装置20は、攻撃対処装置10へ、BGPを用いて攻撃可能性判定結果情報53を送信するとした。しかし、攻撃可能性情報52又は攻撃可能性判定結果情報53の送受信は、BGPを用いることに限られるものではない。 (About transmission and reception of attack possibility information and attack possibility determination result information)
In the above-described embodiment, the attack countermeasure device 10 transmits the attack possibility information 52 to the attack verification device 20 using BGP. Further, the attack verification apparatus 20 transmits the attack possibility determination result information 53 to the attack countermeasure apparatus 10 using BGP. However, transmission / reception of the attack possibility information 52 or the attack possibility determination result information 53 is not limited to using BGP.

(セキュリティ装置について)
上述の実施形態では、セキュリティ装置30A,30Bは、統合セキュリティアプライアンス装置であるとした。しかし、これに限られず、セキュリティ装置30A及びセキュリティ装置30Bの少なくとも一方又は両方が、他の装置、例えばFWが実装されたルータ等であってもよい。 (About security devices)
In the above-described embodiment, the security devices 30A and 30B are integrated security appliance devices. However, the present invention is not limited to this, and at least one or both of the security device 30A and the security device 30B may be another device, for example, a router in which FW is mounted.

(攻撃対処装置及び攻撃検証装置の装置構成について)
図2に示す攻撃対処装置10及び攻撃検証装置20の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、攻撃対処装置10及び攻撃検証装置20の機能の分散及び統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。 (About device configuration of attack countermeasure device and attack verification device)
Each component of the attack countermeasure device 10 and the attack verification device 20 shown in FIG. 2 is functionally conceptual, and does not necessarily need to be physically configured as illustrated. That is, the specific forms of distribution and integration of the functions of the attack countermeasure device 10 and the attack verification device 20 are not limited to those shown in the figure, and all or a part thereof can be arbitrarily determined according to various loads and usage conditions. It can be configured to be functionally or physically distributed or integrated.

また、攻撃対処装置10及び攻撃検証装置20は、それぞれの構成要素を全て備え、同一名称の構成要素の重複を省いた1つの攻撃対処検証装置として提供されてもよい。例えば、攻撃対処検証装置は、ログ取得部11(ログ取得部22)、判断部12、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)、制御指示部16、攻撃検証部23を備える。   Moreover, the attack countermeasure apparatus 10 and the attack verification apparatus 20 may be provided as one attack countermeasure verification apparatus that includes all of the respective components and omits duplication of components having the same name. For example, the attack countermeasure verification apparatus includes a log acquisition unit 11 (log acquisition unit 22), a determination unit 12, a destination resolution unit 13, a threat information transmission unit 14 (threat information transmission unit 24), and a threat information reception unit 15 (threat information reception). Unit 21), a control instruction unit 16, and an attack verification unit 23.

そして、攻撃対処検証装置は、攻撃対処装置10として機能する場合には、ログ取得部11(ログ取得部22)、判断部12、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)、制御指示部16の機能が有効とされる。また、攻撃対処検証装置は、攻撃検証装置20として機能する場合には、ログ取得部11(ログ取得部22)、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)の機能が有効となる。   When the attack countermeasure verification apparatus functions as the attack countermeasure apparatus 10, the log acquisition unit 11 (log acquisition unit 22), the determination unit 12, the destination resolution unit 13, and the threat information transmission unit 14 (threat information transmission unit 24). ), The functions of the threat information receiving unit 15 (threat information receiving unit 21) and the control instruction unit 16 are validated. When the attack countermeasure verification device functions as the attack verification device 20, the log acquisition unit 11 (log acquisition unit 22), the destination resolution unit 13, the threat information transmission unit 14 (threat information transmission unit 24), threat information The function of the receiving unit 15 (threat information receiving unit 21) becomes effective.

なお、攻撃対処検証装置においても、機能の全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。   In the attack countermeasure verification apparatus, all or a part of the functions can be configured to be functionally or physically distributed or integrated in arbitrary units according to various loads, usage conditions, or the like.

また、実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。もしくは、実施形態において説明した各処理のうち、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。   In addition, among the processes described in the embodiment, all or a part of the processes described as being automatically performed can be manually performed. Alternatively, all or some of the processes described as being manually performed among the processes described in the embodiments can be automatically performed by a known method. In addition, the above-described and illustrated processing procedures, control procedures, specific names, and information including various data and parameters can be changed as appropriate unless otherwise specified.

(プログラムについて)
図8は、プログラムが実行されることにより、攻撃対処装置及び攻撃検証装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。 (About the program)
FIG. 8 is a diagram illustrating an example of a computer in which an attack countermeasure device and an attack verification device are realized by executing a program. The computer 1000 includes a memory 1010 and a CPU 1020, for example. The computer 1000 also includes a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. In the computer 1000, these units are connected by a bus 1080.

メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。   The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012. The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). The hard disk drive interface 1030 is connected to the hard disk drive 1090. The disk drive interface 1040 is connected to the disk drive 1100. For example, a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100. The serial port interface 1050 is connected to a mouse 1110 and a keyboard 1120, for example. The video adapter 1060 is connected to the display 1130, for example.

ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、攻撃対処装置10及び攻撃検証装置20の各処理を規定する各プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、例えばハードディスクドライブ1031に記憶される。例えば、攻撃対処装置10における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。また、攻撃検証装置20における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。   The hard disk drive 1031 stores, for example, an OS 1091, an application program 1092, a program module 1093, and program data 1094. That is, each program that defines each process of the attack countermeasure device 10 and the attack verification device 20 is stored in, for example, the hard disk drive 1031 as a program module 1093 in which a command executed by the computer 1000 is described. For example, a program module 1093 for executing information processing similar to the functional configuration in the attack countermeasure apparatus 10 is stored in the hard disk drive 1031. In addition, a program module 1093 for executing information processing similar to the functional configuration in the attack verification device 20 is stored in the hard disk drive 1031.

また、実施形態での各処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。   In addition, setting data used in each process in the embodiment is stored as program data 1094 in, for example, the memory 1010 or the hard disk drive 1031. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1031 to the RAM 1012 as necessary, and executes them.

なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093やプログラムデータ1094は、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。   Note that the program module 1093 and the program data 1094 are not limited to being stored in the hard disk drive 1031, but may be stored in, for example, a removable storage medium and read out by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). The program module 1093 and the program data 1094 may be read by the CPU 1020 via the network interface 1070.

以上の実施形態は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   The above embodiments are included in the invention disclosed in the claims and equivalents thereof, as long as they are included in the technology disclosed in the present application.

10 攻撃対処装置
11 ログ取得部
12 判断部
13 宛先解決部
14 脅威情報送信部
15 脅威情報受信部
16 制御指示部
20 攻撃検証装置
21 脅威情報受信部
22 ログ取得部
23 攻撃検証部
24 脅威情報送信部
30A,30B セキュリティ装置
51 検知情報
52 攻撃可能性情報
53 攻撃可能性判定結果情報
100 攻撃対処システム
1000 コンピュータ
1010 メモリ
1030 ハードディスクドライブインタフェース
1090 ハードディスクドライブ
1040 ディスクドライブインタフェース
1100 ディスクドライブ
1050 シリアルポートインタフェース
1110 マウス
1120 キーボード
1060 ビデオアダプタ
1130 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1091 OS
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ DESCRIPTION OF SYMBOLS 10 Attack countermeasure apparatus 11 Log acquisition part 12 Judgment part 13 Destination resolution part 14 Threat information transmission part 15 Threat information reception part 16 Control instruction | indication part 20 Attack verification apparatus 21 Threat information reception part 22 Log acquisition part 23 Attack verification part 24 Threat information transmission 30A, 30B Security device 51 Detection information 52 Attack possibility information 53 Attack possibility determination result information 100 Attack response system 1000 Computer 1010 Memory 1030 Hard disk drive interface 1090 Hard disk drive 1040 Disk drive interface 1100 Disk drive 1050 Serial port interface 1110 Mouse 1120 Keyboard 1060 Video adapter 1130 Display 1070 Network interface 1080 Bus 1091 OS
1092 Application program 1093 Program module 1094 Program data

Claims (4)

第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する攻撃対処システムであって、
前記攻撃対処装置は、
攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成部と、
前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信部と、
前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信部と、
前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示部と
を備え、
前記攻撃検証装置は、
前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信部と、
前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証部と、
前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信部と
を備えた
ことを特徴とする攻撃対処システム。 An attack countermeasure system having an attack countermeasure device included in a first network and an attack verification device included in a second network,
The attack countermeasure device includes:
A possibility information generating unit that generates attack possibility information indicating the possibility of the reflection attack by a specific protocol from the detection information of the reflection attack to the second network detected by the attack detection device;
A possibility information transmitter for transmitting the attack possibility information to the attack verification device;
A determination result information receiving unit that receives, from the attack verification device, attack possibility determination result information indicating whether or not a countermeasure is required for the reflection attack indicated by the attack possibility information;
When the reflection attack indicated by the attack possibility determination result information is fixed, the attack detection apparatus is instructed to block communication based on the specific protocol from a source address of the reflection attack related to the detection information. And an instruction unit to
The attack verification device includes:
A possibility information receiving unit for receiving the attack possibility information from the attack countermeasure device;
In the monitoring log acquired from the communication monitoring device that monitors communication in the second network, it is determined whether or not a communication history from the transmission source address to the first network exists, An attack verification unit that generates the attack possibility determination result information that the reflection attack is definite when the reflection attack is not definite and does not exist;
An attack response system comprising: a determination result information transmission unit that transmits the attack possibility determination result information to the attack response device. 前記攻撃可能性情報及び前記攻撃可能性判定結果情報の少なくとも一方又は両方が、BGP(Border Gateway Protocol)を用いて送受信される
ことを特徴とする請求項1に記載の攻撃対処システム。 The attack countermeasure system according to claim 1, wherein at least one or both of the attack possibility information and the attack possibility determination result information is transmitted and received using BGP (Border Gateway Protocol). 前記攻撃検知装置及び前記通信監視装置の少なくとも一方又は両方が、統合セキュリティアプライアンス装置である
ことを特徴とする請求項1又は2に記載の攻撃対処システム。 The attack countermeasure system according to claim 1, wherein at least one or both of the attack detection device and the communication monitoring device is an integrated security appliance device. 第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する攻撃対処システムにおいて実行される攻撃対処方法であって、
前記攻撃対処装置が実行する、
攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成工程と、
前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信工程と、
前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信工程と、
前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示工程と
を含み、
前記攻撃検証装置が実行する、
前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信工程と、
前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証工程と、
前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信工程と
を含んだ
ことを特徴とする攻撃対処方法。 An attack countermeasure method executed in an attack countermeasure system having an attack countermeasure apparatus included in a first network and an attack verification apparatus included in a second network,
Executed by the attack countermeasure device;
A possibility information generating step of generating attack possibility information indicating the possibility of the reflection attack by a specific protocol from the detection information of the reflection attack to the second network detected by the attack detection device;
A possibility information transmission step of transmitting the attack possibility information to the attack verification device;
A determination result information receiving step for receiving, from the attack verification device, attack possibility determination result information indicating whether or not a countermeasure is required for the reflection attack indicated by the attack possibility information;
When the reflection attack indicated by the attack possibility determination result information is fixed, the attack detection apparatus is instructed to block communication based on the specific protocol from a source address of the reflection attack related to the detection information. Including an instruction process to
Executed by the attack verification device;
A possibility information receiving step of receiving the attack possibility information from the attack countermeasure device;
In the monitoring log acquired from the communication monitoring device that monitors communication in the second network, it is determined whether or not a communication history from the transmission source address to the first network exists, An attack verification step for generating the attack possibility determination result information that the reflection attack is definite when the reflection attack is not definite and does not exist;
And a determination result information transmission step of transmitting the attack possibility determination result information to the attack countermeasure device.
JP2017151747A 2017-08-04 2017-08-04 Attack response system and attack response method Active JP6740191B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017151747A JP6740191B2 (en) 2017-08-04 2017-08-04 Attack response system and attack response method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017151747A JP6740191B2 (en) 2017-08-04 2017-08-04 Attack response system and attack response method

Publications (2)

Publication Number Publication Date
JP2019033320A true JP2019033320A (en) 2019-02-28
JP6740191B2 JP6740191B2 (en) 2020-08-12

Family

ID=65523684

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017151747A Active JP6740191B2 (en) 2017-08-04 2017-08-04 Attack response system and attack response method

Country Status (1)

Country Link
JP (1) JP6740191B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143085A (en) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 BGP community attribute abnormity detection method and system based on self-encoder

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201042A (en) * 2002-12-19 2004-07-15 Yokogawa Electric Corp Packet path tracking system
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack
JP2007288246A (en) * 2006-04-12 2007-11-01 Yokogawa Electric Corp Attack detector
JP2008028720A (en) * 2006-07-21 2008-02-07 Hitachi Ltd Ip network apparatus capable of controlling send side ip address arrogating ip packet, and send side ip address arrogating ip packet control method
JP2017117224A (en) * 2015-12-24 2017-06-29 株式会社Pfu Network security device, security system, network security method, and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201042A (en) * 2002-12-19 2004-07-15 Yokogawa Electric Corp Packet path tracking system
US20050278779A1 (en) * 2004-05-25 2005-12-15 Lucent Technologies Inc. System and method for identifying the source of a denial-of-service attack
JP2007288246A (en) * 2006-04-12 2007-11-01 Yokogawa Electric Corp Attack detector
JP2008028720A (en) * 2006-07-21 2008-02-07 Hitachi Ltd Ip network apparatus capable of controlling send side ip address arrogating ip packet, and send side ip address arrogating ip packet control method
JP2017117224A (en) * 2015-12-24 2017-06-29 株式会社Pfu Network security device, security system, network security method, and program

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
工藤伊知郎、他3名: "送信元詐称防止フィルタ情報によるDDoS攻撃防御手段の提案", 電子情報通信学会2016年通信ソサイエティ大会講演論文集2, JPN6020025929, 6 September 2016 (2016-09-06), pages 86, ISSN: 0004308216 *
鈴木昭徳、他3名: "BGP FlowspecにおけるDDoS対処の運用稼働削減に向けた提案", 電子情報通信学会2016年通信ソサイエティ大会講演論文集2, JPN6020025930, 6 September 2016 (2016-09-06), pages 88, ISSN: 0004308217 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143085A (en) * 2021-11-30 2022-03-04 中国人民解放军国防科技大学 BGP community attribute abnormity detection method and system based on self-encoder
CN114143085B (en) * 2021-11-30 2023-08-01 中国人民解放军国防科技大学 BGP community attribute anomaly detection method and system based on self-encoder

Also Published As

Publication number Publication date
JP6740191B2 (en) 2020-08-12

Similar Documents

Publication Publication Date Title
EP3127301B1 (en) Using trust profiles for network breach detection
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US9742795B1 (en) Mitigating network attacks
EP2612488B1 (en) Detecting botnets
US7962957B2 (en) Method and apparatus for detecting port scans with fake source address
US8434141B2 (en) System for preventing normal user being blocked in network address translation (NAT) based web service and method for controlling the same
US8869268B1 (en) Method and apparatus for disrupting the command and control infrastructure of hostile programs
US7706267B2 (en) Network service monitoring
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US8904524B1 (en) Detection of fast flux networks
US10652211B2 (en) Control device, border router, control method, and control program
US20180191571A1 (en) Network bridge device with automatic self-configuration and method thereof
JP6737610B2 (en) Communication device
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
JP6740191B2 (en) Attack response system and attack response method
US10015179B2 (en) Interrogating malware
JP2005130121A (en) Network management apparatus, method, and program
US8660143B2 (en) Data packet interception system
JP4772025B2 (en) P2P communication detection device, method and program thereof
JP2009081736A (en) Packet transfer apparatus and program
KR101812732B1 (en) Security device and operating method thereof
Anbar et al. NADTW: new approach for detecting TCP worm
US12058156B2 (en) System and method for detecting and mitigating port scanning attacks
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program
KR101290036B1 (en) Apparatus and method of network security for dynamic attack

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200721

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200722

R150 Certificate of patent or registration of utility model

Ref document number: 6740191

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150