JP2019092039A - Attack detection method, attack detection device, and communication system - Google Patents
Attack detection method, attack detection device, and communication system Download PDFInfo
- Publication number
- JP2019092039A JP2019092039A JP2017219375A JP2017219375A JP2019092039A JP 2019092039 A JP2019092039 A JP 2019092039A JP 2017219375 A JP2017219375 A JP 2017219375A JP 2017219375 A JP2017219375 A JP 2017219375A JP 2019092039 A JP2019092039 A JP 2019092039A
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- packet
- communication device
- attack detection
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 112
- 238000001514 detection method Methods 0.000 title claims abstract description 100
- 238000012546 transfer Methods 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000006243 chemical reaction Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000003287 optical effect Effects 0.000 description 7
- 238000011144 upstream manufacturing Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000000087 stabilizing effect Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、攻撃検知方法、攻撃検知装置及び通信システムに関する。 The present invention relates to an attack detection method, an attack detection device, and a communication system.
IoT(Internet of Things)サービス等の隆盛に伴い、今後多くのセンサ・デバイスがキャリアネットワークに接続されることが予想される。その一方で、それらのデバイスを乗っ取り、踏み台としたDDoS攻撃(Distributed Denial of Service)の発生件数も今後さらに増大すると予想される。 With the rise of IoT (Internet of Things) services etc., it is expected that many sensor devices will be connected to the carrier network in the future. On the other hand, it is expected that the number of DDoS (Distributed Denial of Service) attacks that hijacked those devices and become a springboard will further increase in the future.
DoS(Denial of Service)/DDoS攻撃の防止には、その検知が重要となる。これまで多くの手法が検討されてきたが、検知精度が課題であった。大量のトラフィックの中から、特に低レートの攻撃パケットを検知するのは困難である。本明細書では、DoS又はDDoS攻撃において、攻撃元ホストから攻撃対象に対して送信されるパケットを「攻撃パケット」と呼称する。 The detection of DoS (Denial of Service) / DDoS attacks is important. Although many methods have been considered up to now, detection accuracy has been an issue. It is difficult to detect particularly low rate attack packets from a large amount of traffic. In the present specification, in a DoS or DDoS attack, a packet transmitted from an attack source host to an attack target is referred to as an “attack packet”.
従来手法では、パケットの送信者・受信者アドレスにハッシュ関数を適用し、トラフィックをサブトラフィックに分割した上で、サブトラフィックごとに検知技術を適用、もしくはサブトラフィック間で比較を行う(例えば、非特許文献1参照)。これにより、以下の二点の効果により検知精度が向上を狙う。 In the conventional method, a hash function is applied to the sender / receiver address of a packet, traffic is divided into subtraffic, and a detection technique is applied for each subtraffic, or comparison between subtraffic is performed (e.g. Patent Document 1). As a result, detection accuracy is aimed to be improved by the following two effects.
1点目の効果は、データ数の削減である。分割により、検知対象のデータ数を削減し、埋もれている特性の検知が容易となる。 The first effect is the reduction of the number of data. The division reduces the number of data to be detected, and facilitates detection of buried characteristics.
2点目の効果は、サブトラフィックごとの特性顕在化である。DoS/DDoSの攻撃パケットは、特定のホスト(もしくはネットワーク)から送信され、特定の攻撃対象ホスト(もしくはネットワーク)を持つことも多い。この特性を利用し、送信者・受信者アドレス(もしくはネットワークマスク)にハッシュ関数を適用すれば、各ホスト(もしくはネットワーク)のトラフィック特性を顕在化でき、検知が容易となる。
また、サブトラフィック間の比較も可能になるため、検知精度の向上が期待できる。
The second effect is the manifestation of characteristics for each sub traffic. DoS / DDoS attack packets are sent from a specific host (or network) and often have a specific target host (or network). By using this characteristic and applying a hash function to the sender / receiver address (or network mask), the traffic characteristic of each host (or network) can be revealed and detection becomes easy.
In addition, since comparisons between sub-traffic can also be made, improvement in detection accuracy can be expected.
しかしながら、攻撃パケットの多くは送信元アドレスを偽装している。そのため、前述の2点目の効果で述べたようなサブトラフィックごとに明確な特性が出ることは少なく、検知精度の向上が見込めない可能性がある。 However, many attack packets spoof the source address. Therefore, it is rare that clear characteristics are produced for each sub-traffic as described in the second effect described above, and there is a possibility that improvement in detection accuracy can not be expected.
上記事情に鑑み、本発明は、DoS/DDoS攻撃などの不正アクセス攻撃の発生を精度よく検出することができる攻撃検知方法、攻撃検知装置及び通信システムを提供することを目的としている。 In view of the above circumstances, the present invention aims to provide an attack detection method, an attack detection device, and a communication system capable of accurately detecting the occurrence of an unauthorized access attack such as a DoS / DDoS attack.
本発明の一態様は、1以上の通信装置によりパケットを転送する通信システムにおける攻撃検知方法であって、前記パケットを転送する転送ステップと、前記転送ステップにおいて転送した前記パケットのトラフィックを、前記通信装置が前記パケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理ステップと、前記トラフィック情報管理ステップにおいて分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知ステップと、を有する。 One aspect of the present invention is a method of detecting an attack in a communication system in which a packet is transferred by one or more communication devices, the step of transferring the packet, and the traffic of the packet transferred in the step of transferring Traffic information management step of classifying into sub-traffic based on the identifier of the communication device given when transferring the packet or the identifier of the communication device of the transfer destination given to the packet by the communication device on the upper side of the communication system And an attack detection step of detecting the presence or absence of an attack based on the subtraffic classified in the traffic information management step.
本発明の一態様は、上述の攻撃検知方法であって、前記トラフィック情報管理ステップにおいては、前記パケットに付与された前記通信装置の識別子と対応付けて前記パケットに関する情報を管理し、前記攻撃検知ステップにおいては、前記サブトラフィックごとに前記パケットに関する情報に基づいて攻撃の有無を検知する。 One aspect of the present invention is the attack detection method described above, wherein, in the traffic information management step, information related to the packet is managed in association with an identifier of the communication device assigned to the packet, and the attack detection In the step, the presence or absence of an attack is detected based on the information on the packet for each sub traffic.
本発明の一態様は、上述の攻撃検知方法であって、前記通信装置が、転送する前記パケットに付与された前記識別子を変換する変換ステップをさらに有し、前記トラフィック情報管理ステップにおいては、前記変換ステップにおいて変換された前記識別子に基づいて前記トラフィックをサブトラフィックに分類する。 One aspect of the present invention is the attack detection method described above, further comprising a conversion step of converting the identifier attached to the packet to be transferred by the communication device, wherein the traffic information management step Classifying the traffic into subtraffic based on the identifier transformed in the transforming step.
本発明の一態様は、上述の攻撃検知方法であって、前記通信システムにおけるエッジ領域の前記通信装置が、前記パケットに当該通信装置の識別子を付与して転送する転送元識別子付与ステップをさらに有する。 One aspect of the present invention is the attack detection method described above, further including a transfer source identifier assignment step in which the communication device in an edge area in the communication system assigns the identifier of the communication device to the packet and transfers the packet. .
本発明の一態様は、上述の攻撃検知方法であって、前記転送元識別子付与ステップを行う前記通信装置は、加入者線終端装置であり、前記変換ステップを行う前記通信装置は、加入者線端局装置である。 One aspect of the present invention is the attack detection method described above, wherein the communication device that performs the transfer source identifier assignment step is a subscriber line termination device, and the communication device that performs the conversion step is a subscriber line It is an end station device.
本発明の一態様は、1以上の通信装置によりパケットを転送する通信システムにおける攻撃を検出する攻撃検知装置であって、前記パケットを転送する転送部と、前記転送部において転送される前記パケットのトラフィックを、前記通信装置がパケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理部と、前記トラフィック情報管理部により分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知手続実行部と、を備える。 One aspect of the present invention is an attack detection device that detects an attack in a communication system in which packets are transferred by one or more communication devices, and a transfer unit that transfers the packet, and the packet transferred in the transfer unit The traffic is classified into sub-traffic based on the identifier of the communication device given when the packet is transferred by the communication device, or the identifier of the communication device of the transfer destination, which is assigned to the packet by a communication device above the communication system. A traffic information management unit, and an attack detection procedure execution unit that detects the presence or absence of an attack based on the subtraffic classified by the traffic information management unit.
本発明の一態様は、1以上の通信装置によりパケットを転送する通信システムであって、前記パケットを転送する転送部と、前記転送部において転送される前記パケットのトラフィックを、前記通信装置がパケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理部と、前記トラフィック情報管理部により分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知手続実行部と、を備える。 One aspect of the present invention is a communication system in which a packet is transferred by one or more communication devices, and a transfer unit that transfers the packet, and the communication device transmits a packet traffic of the packet transferred in the transfer unit. A traffic information management unit for classifying into sub-traffic based on an identifier of the communication device given at the time of forwarding or an identifier of the communication device at the forwarding destination given to the packet by a communication device on the upper side of the communication system; And an attack detection procedure execution unit that detects the presence or absence of an attack based on the subtraffic classified by the information management unit.
本発明により、DoS/DDoS攻撃などの不正アクセス攻撃の発生を精度よく検出することが可能となる。 According to the present invention, it is possible to accurately detect the occurrence of an unauthorized access attack such as a DoS / DDoS attack.
以下、図面を参照しながら本発明の実施形態を詳細に説明する。
DoS/DDoS攻撃パケットの送信元、およびその送信先(すなわちDDoS攻撃対象)は、地理的な局所性を持つと予想される。すなわち、特定の地域から攻撃トラフィックが大量に送信されるか、もしくは、特定の地域に対して大量の攻撃パケットが送信される。例えば、2016年に、マルウェアMiraiに感染したデバイスを踏み台としたDDoS攻撃が発生したが、感染したデバイスの数は国ごとに偏りがあることが報告されている。
Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
The source of DoS / DDoS attack packets, and the destination (ie, DDoS attack target), are expected to have geographical locality. That is, a large amount of attack traffic is transmitted from a specific area, or a large amount of attack packets are transmitted to a specific area. For example, in 2016, DDoS attacks that occurred on devices infected with malware Mirai occurred, but it has been reported that the number of infected devices is biased by country.
図1は、本発明の実施形態の概要を説明するための図である。ユーザの端末11、センサ・デバイス12(以下、「センサ12」と記載)、及び、ホームゲートウェイ13等は、キャリアネットワーク19と接続する際に、キャリアネットワーク19のエッジ通信装置14のうち、自身から近い位置のエッジ通信装置14と接続することが一般的である。エッジ通信装置14は、キャリアネットワーク19のエッジ領域にある通信装置(例えば、モバイル基地局)である。DoS/DDoS攻撃が発生した場合、エッジ通信装置14を流れるトラフィックには、前述した地理的な局所性が強く反映されると予想される。
FIG. 1 is a view for explaining an outline of an embodiment of the present invention. The
よって、トラフィックに対して付与された、転送先、もしくは転送元のエッジ通信装置14を示す識別子と紐づけてサブトラフィック分類を行えば、サブトラフィックごとに明確な特性が現れ、検知精度が向上すると考えられる。さらに前述の識別子は、キャリアネットワーク19において付与されるため、従来技術で用いられたような送信元IPアドレス等とは異なり、悪意ある攻撃者が書き換えることが困難であると考えられる。
Therefore, if subtraffic classification is performed by linking to an identifier indicating transfer destination or transfer source edge communication device 14 assigned to traffic, clear characteristics appear for each subtraffic, and detection accuracy is improved. Conceivable. Furthermore, since the above-mentioned identifier is given in the
以下では、キャリアネットワーク19のエッジ領域として、光アクセスネットワークを例として用いた場合の実施形態を示す。また、本実施形態では、複数の攻撃元が存在し、より検知が困難であるDDoS攻撃のみを想定したが、攻撃元が単数であるDoS攻撃にも適用可能である。
In the following, an embodiment in which an optical access network is used as an example as an edge region of the
[第1の実施形態]
本実施形態は、キャリアネットワーク19のエッジ領域に、加入者線端局装置であるOLT(Optical Line Terminal;局内光終端装置)と、加入者線終端装置であるONU(Optical Line Terminal:光終端装置)とからなるPON(Passive Optical Network;受動光ネットワーク)を用いた例を示す。PONは、光アクセスネットワークの一例である。前述のエッジ通信装置14として、ONUが用いられる。本実施形態では、サブトラフィックの分類に、ONUの識別子であるLLID(Logical Link ID)又はVID(Virtual Local Area Network ID)を利用する。
First Embodiment
In this embodiment, in the edge area of the
図2は、第1の実施形態の通信システム100の構成を示す図である。通信局舎には、スイッチ111と接続される1台以上のOLT112が存在する。以下では、N台(Nは1以上の整数)のOLT112を、OLT#1〜OLT#Nと記載する。同図では、N=2の場合を例に示している。スイッチ111は上位装置と接続される。
FIG. 2 is a diagram showing the configuration of the
ユーザ宅内や、企業内には、ONU113やホームゲートウェイが位置する。OLT112には、1台以上のONU113が接続される。同図では一例として、単一OLT112と複数ONU113とが接続されるPONを示しているが、OLT112とONU113とが一対一で接続するSS(Single Star)構成をとっても良い。以下では、OLT#n(nは1以上N以下の整数)と接続されるKn台(Knは1以上の整数)のONU113を、ONU#n−1〜ONU#n−Knと記載する。スイッチ111、OLT112及びONU113は、キャリアネットワークを構成する。
The ONU 113 and home gateway are located in the user's home or in the enterprise. One or more ONUs 113 are connected to the OLT 112. Although the PON in which a
ユーザ宅内や、企業内には、宅内LAN(Local Area Network)や企業内LANであるLAN115が敷設されている。LAN115により、ONU113やホームゲートウェイは、端末117及びセンサ・デバイス118(以下、「センサ118」と記載する。)と接続される。
A LAN (Local Area Network) in the home and a
図3は、ONU113と紐付けられたサブトラフィック分類を示す図である。マルウェアによる感染は、ユーザ宅内や企業内のLAN115内で発生する。しばしば、LAN115における端末117やセンサ118が複数、マルウェアに感染し、DDoSの踏み台となる。この感染により、LAN115における複数の端末117及びセンサ118がDDoS攻撃パケットを上り方向(ONU113からキャリアネットワーク方向)へ同時に送信したとする。この場合、端末11及びセンサ118一台あたりの攻撃パケットの送出が低レートであったとしても、LAN115のゲートウェイと接続されるONU#n−kから送信されるトラフィックは、正常時のトラフィックと比較して、もしくは、他のONU#n−j(k≠j、jは1以上Kn以下の整数)から送信されるトラフィックと比較して、顕著な特性が現れると予想される。
FIG. 3 is a diagram showing the sub traffic classification associated with the
ここまで、ONU113に接続されたLAN115がDDoS攻撃の送信元となる例を説明したが、攻撃の対象となった場合も同様である。DDoS攻撃は、セキュリティ対策が薄い特定のユーザ、および企業を対象として発生することが多い。DDoS攻撃の発生時には、攻撃の対象となったユーザや企業のLAN115が接続されるONU113に対して送信されるトラフィックには、他のONU113を宛先とした送信トラフィックと比較して、顕著な特性が現れると予想される。
Although the example in which the
上記の特性を利用して、ONU113に紐づいたサブトラフィック分類を行えば、DDoS攻撃の検知精度の向上が期待できる。たとえば、OLT112とONU113とがEPON(Ethernet(登録商標) PON)を構成しているとする。EPONにおいて、ONU113は、端末117やセンサ118などの下位の装置から受信した上り方向のパケットに、自装置のLLID(Logical Link ID)を付与してOLT112に送信する。LLIDは、ONUの識別子である。上位通信装置におけるユーザ(ONU)識別の方法はいくつか考えられるが、たとえば、特開2007−208944号公報に記載の技術によれば、OLT112は、上りパケットに付与されたLLIDを一対一変換によりVID(VLAN ID)に変換したのち、上位通信装置に転送する。一方、OLT112の上位の通信装置である上位装置は、下り方向(キャリアネットワークからONU113の方向)のパケットに、ONU113の識別子としてVIDを付与し、パケットを送信する。OLT112は、下り方向のパケットに付与されたVIDを一対一変換によりLLIDに変換したのち、ONU113に転送する。これらの識別子を利用すれば、ONU113ごとのサブトラフィック分類が実現できる。さらに前述のLLIDやVIDなどの識別子は、キャリアネットワークの通信装置によって付与されるものであるため、悪意ある攻撃者による書き換えに対して頑強である。また、本実施形態の適用によって通信帯域を新たに圧迫することもない。
If the subtraffic classification associated with the
図4は、本実施形態による攻撃検知装置20の構成を示す機能ブロック図であり、本実施形態と関係する機能ブロックのみを抽出して示してある。攻撃検知装置20は、転送部21、トラフィック情報管理部22及び攻撃検知手続実行部23を備える。転送部21は、パケットの転送を行うと同時に、転送したパケットに付与されたLLID又はVIDであるサブトラフィック識別子と、パケットに関する情報の一部、もしくはすべてをトラフィック情報管理部22に出力する。パケットに関する情報は、宛先ポート番号(宛先のアプリケーション特定を行うためにTCP/UDPヘッダに含まれる番号)やプロトコル番号等、パケットに付与される情報だけでなく、到着頻度等のパケットの挙動を示す情報やパケットの転送方向、パケットの入出力ポート等でもよい。トラフィック情報管理部22は、記憶部221を備えている。トラフィック情報管理部22は、記憶部221により転送部21から受信したサブトラフィック識別子と、パケットに関する情報とを紐づけて記憶し、管理する。なお、記憶部221は、トラフィック情報管理部22の外部に備えられてもよい。
FIG. 4 is a functional block diagram showing a configuration of the
図5は、記憶部221に記憶されるトラフィック情報の一例を示す図である。なお、図5記載のトラフィック情報は、転送方向ごとに用意されるが、ここでは簡単のため、ONUからOLT方向の上り方向のDDoS攻撃が発生したと仮定し、上り方向のトラフィック情報のみを示す。トラフィック情報管理部22は、サブトラフィック識別子により特定されるONU113別に、宛先ポート番号ごとのパケットの数をカウントし、カウント結果を記憶部221に書き込む。トラフィック情報管理部22は、宛先ポート番号をパケットに関する情報として、サブトラフィック識別子とともに転送部21から受信する。同図に示すトラフィック情報では、LLID又はVIDにより特定される各ONU113について、宛先ポート番号別のパケット数をカウンタに保持している。
FIG. 5 is a diagram showing an example of traffic information stored in the
攻撃検知手続実行部23は、定期的にトラフィック情報管理部22に問い合わせと、トラフィック情報管理部22が記憶部221に保持しているトラフィック情報の取得を行う。攻撃検知手続実行部23は、各ONU113と紐づけて設定されているトラフィック情報をサブトラフィックの情報として用い、DDoS攻撃検知を行う。例えば、攻撃検知手続実行部23は、宛先ポート番号別のパケット数など、サブトラフィック毎のパケットに関する情報に基づいて、DDoS攻撃検知を行う。本実施形態では任意のDDoS攻撃の検知手法を用いることができるが、一例としては、アノマリー検知があげられる。アノマリー検知では、正常時の通信パターンを定義しておき、そこから逸脱した通信を異常、すなわちDDoS攻撃として判断する。
The attack detection
図6は、攻撃検知手続実行部23における攻撃検知方法を示すフロー図である。攻撃検知手続実行部23は、トラフィック情報管理部22からトラフィック情報を取得する(ステップS10)。続いて、攻撃検知手続実行部23は、ONU113ごとのトラフィック情報を対象サブトラフィックとして、以下のステップS20〜ステップS40の処理を行う。
FIG. 6 is a flowchart showing an attack detection method in the attack detection
まず、攻撃検知手続実行部23は、異常検知の判断基準となる正常通信パターンを取得する(ステップS20)。取得する正常な通信パターンとしては、対象サブトラフィックの過去の通信パターンや、他のサブトラフィック等が考えられる。攻撃検知手続実行部23は、クラスタ分析等の処理によって異常状態の判定処理を行う(ステップS30)。攻撃検知手続実行部23は、サブトラフィック中に異常トラフィックを発見した場合は(ステップS30:YES)、その異常トラフィックを識別するための情報(例えば、宛先ポート番号)を抽出する。この情報を、異常トラフィック識別情報と記載する。さらに、攻撃検知手続実行部23は、異常トラフィック識別情報を、異常トラフィック識別情報リストに追加する(ステップS40)。異常トラフィック識別情報リストは、サブトラフィック識別子と異常トラフィック識別情報の組み合わせを一要素としたリストである。
First, the attack detection
DDoS検知後、攻撃検知手続実行部23は、異常トラフィックの遮断処理等の対処を行い、DDoS攻撃の被害を抑制することができる。図4の場合、一例として、攻撃検知手続実行部23は、転送部21に異常トラフィック識別情報リストを送付する。転送部21は、送付された情報をもとに、たとえばサブトラフィック識別子によって特定、識別されるONUを送信元とし、かつ異常トラフィック識別情報(例えば宛先ポート番号)を持つ上り方向のトラフィックを異常トラフィックと認識し、遮断する。なお、本実施例では上り方向のトラフィックに対する検知の例を示したが、OLTからONUへ転送される下り方向のトラフィックに対する検知も同様の方法で行うことができる。
After the DDoS detection, the attack detection
なお、図4に示す機能ブロック図では、簡単のため攻撃検知装置20の同一筐体内に、転送部21、トラフィック情報管理部22、及び、攻撃検知手続実行部23を備えるように記載しているが、攻撃検知装置20の一部機能が別の筐体に存在してもよい。例えば、転送部21と、遮断処理を行う転送部21が別筐体にあってもよい。また、攻撃検知装置20は、OLT112と統合された装置であってもよい。また、転送部21、トラフィック情報管理部22及び攻撃検知手続実行部23の一部がOLT112に備えられ、異なる筐体に他の機能部が備えられてもよい。
In the functional block diagram shown in FIG. 4, the
さらに、本実施形態では、ONU113の識別子によってのみサブトラフィック分類を行ったが、さらに他の情報(例えば、パケットのIPアドレス)等と組み合わせて分類を行ってもよい。
Furthermore, in the present embodiment, sub-traffic classification is performed only by the identifier of the
[第2の実施形態]
第1の実施形態ではONUに紐づいたLLID又はVIDを識別子としてサブトラフィック分類を行う例を示した。本実施形態では、OLTの識別子を利用してサブトラフィックへの分類を行う。
Second Embodiment
In the first embodiment, an example in which subtraffic classification is performed using an LLID or a VID linked to an ONU as an identifier has been described. In the present embodiment, classification into sub traffic is performed using the identifier of the OLT.
図7は、本実施形態によるサブトラフィック分類を示す図である。本実施形態の通信システムの構成は、図2に示す通信システム100と同様である。同図では、VIDを識別子として、OLT112ごとにサブトラフィック分類を行う。攻撃検知装置20の機能ブロック及び処理フローは第1の実施形態と同様である。つまり、転送部21は、パケットからOLT112の識別子をサブトラフィック識別子として取得する。転送部21は、サブトラフィック識別子と、パケットに関する情報の一部、もしくはすべてをトラフィック情報管理部22に出力する。パケットに関する情報には、第1の実施形態と同様の情報を用いることができる。トラフィック情報管理部22は、記憶部221に転送部21から受信したサブトラフィック識別子と、パケットに関する情報とを紐づけて記憶し、管理する。トラフィック情報管理部22は、サブトラフィック識別子で示されるOLT112別の、又は、OLT112とパケットに関する情報の組合せ別のトラフィックをカウントする。攻撃検知手続実行部23は、OLT112別の、又は、OLT112とパケットに関する情報の組合せ別のトラフィック情報をサブトラフィックの情報として用い、サブトラフィック毎にDDoS攻撃検知を行う。
FIG. 7 is a diagram showing sub-traffic classification according to the present embodiment. The configuration of the communication system of this embodiment is the same as that of the
ONU113を流れるトラフィック量が不安定であることに起因して、検知精度が低い場合は、ある程度統計多重化され、トラフィック量が安定したOLT112に紐づけてサブトラフィック分類を行うことで、検知精度向上の効果が見込める。
When the detection accuracy is low due to the amount of traffic flowing through the
[第3の実施形態]
本実施形態では、転送部と、トラフィック情報管理部及び攻撃検知手続実行部とを、分離及び集約する。図4に示す第1の実施形態の攻撃検知装置20の機能ブロック図では、転送部21、トラフィック情報管理部22及び攻撃検知手続実行部23が同一筐体内に存在するように記載している。しかし、転送部21、トラフィック情報管理部22及び攻撃検知手続実行部23のうち一部の機能部は別の位置に存在してもよい。
Third Embodiment
In this embodiment, the transfer unit, and the traffic information management unit and the attack detection procedure execution unit are separated and aggregated. The functional block diagram of the
図7に示す第2の実施形態の通信システム100は、OLT112を転送部21としてサブトラフィック分類を行う例を示しているが、ONU113の識別子が付随している通信区間に設置された通信装置を、転送部21としてみなすことができる。また、トラフィック情報管理部22や攻撃検知手続実行部23を、通信装置とは別の場所に配置することもできる。
The
図8は、本実施形態の通信システム100aの構成を示す図である。同図では一例として、トラフィック情報管理部22及び攻撃検知手続実行部23を、SDN(Software-Defined Network)コントローラ180に配置した場合を示す。SDNコントローラは、局舎内の通信装置をソフトウェア制御管理する。本実施形態では、トラフィック情報管理部22と攻撃検知手続実行部23を、SDNコントローラ180のアプリとして実行し、OpenFlow等のプロトコルを用いて転送部21としての通信装置の情報を取得する。
FIG. 8 is a diagram showing the configuration of the
図9は、本実施形態の通信システム100aが備える攻撃検知部20aの構成を示す図である。本実施形態の攻撃検知部20aは、同図示すように、複数の転送部21を、単一もしくは少数のトラフィック情報管理部22及び攻撃検知手続実行部23で管理する。そのため、集約効果によって、トラフィック情報管理部22と攻撃検知手続実行部23の計算資源容量削減効果が見込まれる。また遮断処理の際も、同時に複数の転送部21に遮断指令を出すことが可能となる。ただし、トラフィック情報管理部22は、第1及び第2の実施形態と同様の管理に加え、情報を取得した転送部21ごとに情報を管理する必要が生じる。
FIG. 9 is a diagram showing the configuration of the
図10は、記憶部221に記憶されるトラフィック情報の例を示す図である。同図では、転送部21としてのOLT112毎に、図5に示す第1の実施形態のトラフィック情報を管理している。
FIG. 10 is a diagram illustrating an example of traffic information stored in the
以上説明した実施形態によれば、通信システムは、1以上の通信装置によりパケットを転送する。通信装置は、例えば、スイッチ111、OLT112及びONU113である。通信システムは、パケットを転送する転送ステップと、転送ステップにおいて転送したパケットのトラフィックを、通信装置がパケットの転送時に付与した当該通信装置の識別子又は通信システムの上位の通信装置がパケットに付与した転送先の通信装置の識別子に基づいてサブトラフィックに分類するトラフィック情報管理ステップと、分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知ステップと、を行う。
なお、トラフィック情報管理ステップにおいては、パケットに付与された通信装置の識別子と対応付けてパケットに関する情報を管理し、攻撃検知ステップにおいては、サブトラフィックごとにパケットに関する情報に基づいて攻撃の有無を検知してもよい。
また、通信装置が、転送するパケットに付与された識別子を変換し、トラフィック情報管理ステップにおいては、変換された識別子に基づいてトラフィックをサブトラフィックに分類してもよい。通信装置の識別子であるという点で、変換を行ったとしても、変換前後の識別子は同等の情報として用いることができる。
According to the embodiment described above, the communication system transfers packets by one or more communication devices. The communication devices are, for example, the switch 111, the
In the traffic information management step, information on the packet is managed in association with the identifier of the communication device added to the packet, and in the attack detection step, the presence or absence of an attack is detected based on the information on the packet for each subtraffic. You may
Also, the communication device may convert the identifier assigned to the packet to be transferred, and in the traffic information management step, may classify traffic into sub traffic based on the converted identifier. In that it is an identifier of the communication apparatus, the identifiers before and after conversion can be used as equivalent information even if conversion is performed.
上述した攻撃検知装置20及び攻撃検知部20aの各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。また、攻撃検知装置20及び攻撃検知部20aは、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、攻撃検知プログラムを実行することによって転送部21、トラフィック情報管理部22及び攻撃検知手続実行部23の全て又は一部の機能を実現してもよい。なお、攻撃検知装置20及び攻撃検知部20aの攻撃検知プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。攻撃検知プログラムは、電気通信回線を介して送信されても良い。
All or part of the functions of the
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design and the like within the scope of the present invention.
装置間で送受するパケットを転送するネットワークに適用可能である。 The present invention is applicable to a network that transfers packets sent and received between devices.
11…端末, 12…センサ, 13…ホームゲートウェイ, 14…エッジ通信装置, 19…キャリアネットワーク, 20…攻撃検知装置, 20a…攻撃検知部, 21…転送部, 22…トラフィック情報管理部, 23…攻撃検知手続実行部, 100…通信システム, 100a…通信システム, 111…スイッチ, 112…OLT, 113…ONU, 115…LAN, 117…端末, 118…センサ
11 terminal 12 sensor 13 home gateway 14
Claims (7)
前記パケットを転送する転送ステップと、
前記転送ステップにおいて転送した前記パケットのトラフィックを、前記通信装置が前記パケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理ステップと、
前記トラフィック情報管理ステップにおいて分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知ステップと、
を有する攻撃検知方法。 An attack detection method in a communication system in which packets are transferred by one or more communication devices,
Forwarding the packet;
The identifier of the communication device given by the communication device at the time of transferring the packet, or the communication device of the communication destination of the transfer destination given by the upper communication device of the communication system, the traffic of the packet transferred in the transfer step. Traffic information management step of classifying into sub traffic based on the identifier;
An attack detection step of detecting the presence or absence of an attack based on the sub traffic classified in the traffic information management step;
Attack detection method having.
前記攻撃検知ステップにおいては、前記サブトラフィックごとに前記パケットに関する情報に基づいて攻撃の有無を検知する、
請求項1に記載の攻撃検知方法。 In the traffic information management step, information on the packet is managed in association with an identifier of the communication device assigned to the packet,
In the attack detection step, the presence or absence of an attack is detected based on information on the packet for each of the sub traffics.
The attack detection method according to claim 1.
前記トラフィック情報管理ステップにおいては、前記変換ステップにおいて変換された前記識別子に基づいて前記トラフィックをサブトラフィックに分類する、
請求項1又は請求項2に記載の攻撃検知方法。 The communication apparatus further includes a conversion step of converting the identifier assigned to the packet to be transferred.
In the traffic information management step, the traffic is classified into sub traffic based on the identifier converted in the conversion step.
The attack detection method according to claim 1 or 2.
請求項3に記載の攻撃検知方法。 The communication device in the edge area in the communication system further includes a transfer source identifier assigning step of assigning the identifier of the communication device to the packet and transferring the packet.
The attack detection method according to claim 3.
前記変換ステップを行う前記通信装置は、加入者線端局装置である、
請求項4に記載の攻撃検知方法。 The communication device for performing the transfer source identifier assignment step is a subscriber line termination device,
The communication device performing the conversion step is a subscriber line terminal device.
The attack detection method according to claim 4.
前記パケットを転送する転送部と、
前記転送部において転送される前記パケットのトラフィックを、前記通信装置がパケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理部と、
前記トラフィック情報管理部により分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知手続実行部と、
を備える攻撃検知装置。 An attack detection device for detecting an attack in a communication system in which packets are transferred by one or more communication devices, comprising:
A transfer unit that transfers the packet;
The identifier of the communication device assigned by the communication device at the time of transferring the packet, or the communication device of the transfer destination assigned by the upper communication device of the communication system to the packet traffic transferred by the transfer unit A traffic information management unit that classifies into sub traffic based on the identifier;
An attack detection procedure execution unit that detects the presence or absence of an attack based on the sub traffic classified by the traffic information management unit;
Attack detection device comprising:
前記パケットを転送する転送部と、
前記転送部において転送される前記パケットのトラフィックを、前記通信装置がパケットの転送時に付与した当該通信装置の識別子又は前記通信システムの上位の通信装置が前記パケットに付与した転送先の前記通信装置の識別子に基づいて、サブトラフィックに分類するトラフィック情報管理部と、
前記トラフィック情報管理部により分類されたサブトラフィックに基づいて攻撃の有無を検出する攻撃検知手続実行部と、
を備える通信システム。 A communication system for transferring packets by one or more communication devices, comprising:
A transfer unit that transfers the packet;
The identifier of the communication device assigned by the communication device at the time of transferring the packet, or the communication device of the transfer destination assigned by the upper communication device of the communication system to the packet traffic transferred by the transfer unit A traffic information management unit that classifies into sub traffic based on the identifier;
An attack detection procedure execution unit that detects the presence or absence of an attack based on the sub traffic classified by the traffic information management unit;
A communication system comprising
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017219375A JP2019092039A (en) | 2017-11-14 | 2017-11-14 | Attack detection method, attack detection device, and communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017219375A JP2019092039A (en) | 2017-11-14 | 2017-11-14 | Attack detection method, attack detection device, and communication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019092039A true JP2019092039A (en) | 2019-06-13 |
Family
ID=66836710
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017219375A Pending JP2019092039A (en) | 2017-11-14 | 2017-11-14 | Attack detection method, attack detection device, and communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019092039A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978580A (en) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
JP2003283571A (en) * | 2002-03-20 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | Defensive method and apparatus against disability-of- service attack, and computer program therefor |
JP2008211637A (en) * | 2007-02-27 | 2008-09-11 | Mitsubishi Electric Corp | Pon communication system, station side device, and subscriber side device |
-
2017
- 2017-11-14 JP JP2017219375A patent/JP2019092039A/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001057554A (en) * | 1999-08-17 | 2001-02-27 | Yoshimi Baba | Cracker monitor system |
JP2003283571A (en) * | 2002-03-20 | 2003-10-03 | Nippon Telegr & Teleph Corp <Ntt> | Defensive method and apparatus against disability-of- service attack, and computer program therefor |
JP2008211637A (en) * | 2007-02-27 | 2008-09-11 | Mitsubishi Electric Corp | Pon communication system, station side device, and subscriber side device |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978580A (en) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
CN114978580B (en) * | 2022-04-08 | 2023-09-29 | 中国电信股份有限公司 | Network detection method and device, storage medium and electronic equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shang et al. | FloodDefender: Protecting data and control plane resources under SDN-aimed DoS attacks | |
CN108040057B (en) | Working method of SDN system suitable for guaranteeing network security and network communication quality | |
Dayal et al. | Research trends in security and DDoS in SDN | |
KR101900154B1 (en) | SDN capable of detection DDoS attacks and switch including the same | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
CN101589595B (en) | A containment mechanism for potentially contaminated end systems | |
US20060123481A1 (en) | Method and apparatus for network immunization | |
Ramprasath et al. | Secure access of resources in software‐defined networks using dynamic access control list | |
JP2007006054A (en) | Packet repeater and packet repeating system | |
Aldabbas et al. | A novel mechanism to handle address spoofing attacks in SDN based IoT | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
JP6599819B2 (en) | Packet relay device | |
US10142210B2 (en) | In-line tool performance monitoring and adaptive packet routing | |
WO2020040027A1 (en) | Communication control system, network controller and computer program | |
Wu et al. | Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking | |
Ramprasath et al. | Mitigation of malicious flooding in software defined networks using dynamic access control list | |
Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
Ramprasath et al. | Malicious attack detection in software defined networking using machine learning approach | |
WO2019035634A1 (en) | Device and method for handling network attacks in software defined network | |
JP2019092039A (en) | Attack detection method, attack detection device, and communication system | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
Gupta et al. | Security Issues in Software-Defined Networks. | |
KR20030009887A (en) | A system and method for intercepting DoS attack | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
KR101038673B1 (en) | Method and apparatus for providing service for protecting from ddos in backbone |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20191210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200910 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200923 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210420 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210614 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210831 |