JP2021040190A - ネットワーク管理装置及びネットワーク管理方法 - Google Patents

ネットワーク管理装置及びネットワーク管理方法 Download PDF

Info

Publication number
JP2021040190A
JP2021040190A JP2019158887A JP2019158887A JP2021040190A JP 2021040190 A JP2021040190 A JP 2021040190A JP 2019158887 A JP2019158887 A JP 2019158887A JP 2019158887 A JP2019158887 A JP 2019158887A JP 2021040190 A JP2021040190 A JP 2021040190A
Authority
JP
Japan
Prior art keywords
router
traffic
edge
defense
routers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019158887A
Other languages
English (en)
Inventor
孝通 西島
Takamichi Nishijima
孝通 西島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2019158887A priority Critical patent/JP2021040190A/ja
Priority to US16/984,719 priority patent/US20210067490A1/en
Publication of JP2021040190A publication Critical patent/JP2021040190A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0882Utilisation of link capacity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 攻撃トラフィックの転送の抑制による他のトラフィックの転送処理の負荷の増加を抑制することができるネットワーク管理装置及びネットワーク管理方法を提供する。【解決手段】 ネットワーク管理装置は、複数のエッジルータと、複数のエッジルータの間の複数の中間ルータとを含むネットワークを管理し、各エッジルータが攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出する算出部と、通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの通信経路を設定する設定部と、第1ルータに攻撃トラフィックの転送の抑制を指示する指示部と、通信経路と、ルータの接続関係とに基づいて、エッジルータ及び中間ルータから、ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように第1ルータ及び第2ルータを選択する選択部とを有する。【選択図】図4

Description

本件は、ネットワーク管理装置及びネットワーク管理方法に関する。
例えば、ネットワーク内のサーバを目標とした攻撃として、DoS(Denial of Service)攻撃やDDoS(Distributed Denial of Service)攻撃がある(例えば特許文献1及び2を参照)。この種の攻撃は、攻撃対象のサーバ(以下、「攻撃対象サーバ」と表記)に大量のIP(Internet Protocol)パケットを送信することにより攻撃対象サーバのリソースを消費させて、攻撃対象サーバのサービスの提供を妨害して停止させるおそれがある。
このような攻撃から攻撃対象サーバを守る手段として、悪意のある攻撃目的のIPパケットを含むトラフィック(以下、「攻撃トラフィック」と表記)を検出する検出装置と、攻撃トラフィックの攻撃対象サーバへの転送を制限するファイアウォールなどの防御装置とが挙げられる。
検出装置は、攻撃対象サーバ及び防御装置の間に接続されてトラフィックを監視し、トラフィックの通信量及び挙動などを分析することにより、トラフィックが攻撃トラフィックであるか否かを判定する。これにより、検出装置は、攻撃トラフィックを検出して、攻撃トラフィックの検出通知に加え、攻撃トラフィックの宛先及び送信元を示すアドレス及びポートや攻撃トラフィックのプロトコル種別の情報をネットワークの管理サーバに通知する。
管理サーバは、検出装置から通知された情報に応じて攻撃トラフィックの遮断の設定を防御装置に対して行う。これにより、攻撃対象サーバへの攻撃トラフィックの流入が抑制され、攻撃対象サーバの負荷が低減される。
特開2017−50832号公報 特開2004−248185号公報
しかし、上記の手法によると、攻撃トラフィックの送信元の装置(以下、「攻撃元装置」と表記)から防御装置に至る通信経路では攻撃トラフィックが抑制されないため、他の通常のトラフィックの帯域が攻撃トラフィックにより圧迫され、正常な通信が妨害されるおそれがある。
これに対し、管理サーバの管理対象外のネットワークとの境に配置されるエッジルータのうち、攻撃トラフィックの流入元のエッジルータが攻撃トラフィックを抑制すれば、他のトラフィックの帯域が圧迫されることを防止することができる。ここで、エッジルータは、例えば、ACL(Access Control List)に攻撃トラフィックのアドレス情報を設定登録することにより攻撃トラフィックを廃棄することができる。
しかし、エッジルータなどのルータは、IPパケットの宛先アドレスに基づいてルーティングテーブルを検索することによりIPパケットの転送先の方路を決定するため、攻撃トラフィックの送信元アドレスなどの情報から攻撃トラフィックの流入元のエッジルータ(以下、「流入元ルータ」と表記)を特定することはできない。
このため、例えば管理サーバは、ネットワーク内の全てのエッジルータに上記の設定を行えば、流入元ルータを特定する必要がなく、他のトラフィックの帯域を圧迫せずに攻撃トラフィックを抑制することができる。しかし、この方法によると、全てのエッジルータに対して攻撃トラフィックを抑制する設定が行われるため、例えば各エッジルータにおける他のトラフィックの転送処理の負荷が増加するおそれがある。
そこで本件は、攻撃トラフィックの転送の抑制による他のトラフィックの転送処理の負荷の増加を抑制することができるネットワーク管理装置及びネットワーク管理方法を提供することを目的とする。
1つの態様では、ネットワーク管理装置は、複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理装置において、前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出する算出部と、
前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定する設定部と、前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示する指示部と、前記通信経路と、前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択する選択部とを有する。
1つの態様では、ネットワーク管理方法は、複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理方法において、前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出し、前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定し、前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示し、前記通信経路と前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択する方法である。
1つの側面として、攻撃トラフィックの転送の抑制による他のトラフィックの転送処理の負荷の増加を抑制することができる。
第1比較例のネットワークシステムを示す構成図である。 第2比較例のネットワークシステムを示す構成図である。 実施例のネットワーク管理サーバが経路情報を収集する動作の一例を示す図である。 実施例のネットワーク管理サーバが防御設定及び経路設定を行う動作例を示す図である。 ネットワーク管理サーバの一例を示す構成図である。 第1設定例における経路情報の取得動作を示す図である。 選択条件及び優先条件の一覧表と条件データベースの一例とを示す図である。 第1設定例における防御ルータ及び合流ルータの選択方法を示す図(その1)である。 第1設定例における経路設定時の経路データベース及び設定データベースを示す図(その1)である。 第1設定例における防御ルータ及び合流ルータの選択方法を示す図(その2)である。 第1設定例における経路設定時の経路データベース及び設定データベースを示す図(その2)である。 ネットワーク管理サーバの動作の一例を示すフローチャートである。 第1設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。 第2設定例における経路情報の取得動作を示す図である。 第2設定例における経路データベース、隣接関係データベース、条件データベース、及びネットワーク情報データベースを示す図である。 第2設定例における防御ルータ及び合流ルータの組み合わせの選択方法を示す図である。 第2設定例における経路設定時の経路データベース及び設定データベースを示す図である。 第2設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。 第3設定例における条件データベース及びネットワーク情報データベースを示す図である。 第3設定例における防御ルータ及び合流ルータの組み合わせの選択方法を示す図である。 第3設定例における経路設定時の経路データベース及び設定データベースを示す図である。 第3設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。 第4設定例の設定方法を示す図である。 第4設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。
(第1比較例)
図1は、第1比較例のネットワークシステムを示す構成図である。ネットワークシステムには、NE(Network Element)−OpS(Operation System)などのネットワーク(NW)管理サーバ1x、ファイアウォール2、検出装置3、攻撃対象サーバ4、及びネットワーク9が含まれる。
NW管理サーバ1xは、例えばNE−OpSなどのサーバであり、ネットワーク9を管理する。ネットワーク9には、ネットワーク9と外部ネットワークNWa〜NWdの境界にそれぞれ配置された複数のエッジルータ5、及び、エッジルータ5間に接続された複数の中間ルータ6が含まれる。NW管理サーバ1xは、不図示の管理用の他のネットワークを介して各エッジルータ5及び各中間ルータ6と通信する。
例えばエッジルータ5には、識別子としてルータID「#1」〜「#4」がそれぞれ付与されている。また、例えば中間ルータ6には、識別子としてルータID「#5」及び「#6」が付与されている。以降の説明では、例えば識別子「#1」のエッジルータ5を「エッジルータ(#1)」と表記し、識別子「#5」の中間ルータ6を「中間ルータ(#5)」と表記する。なお、各中間ルータ6としては、コアルータが挙げられるが、これに限定されない。
中間ルータ(#6)6は、中間ルータ(#5)6、及びエッジルータ(#4)5と隣接し、中間ルータ(#5)6は、エッジルータ(#1)5、エッジルータ(#2)5、及びエッジルータ(#3)5と隣接する。また、エッジルータ(#1)5〜エッジルータ(#4)5は、外部ネットワークNWa〜NWdにそれぞれ接続されている。ここで、攻撃対象サーバ4を攻撃するサーバなどの攻撃元装置7a,7dは、一例として外部ネットワークNWa,NWdに接続されている。なお、攻撃対象サーバ4は、攻撃を受ける攻撃対象装置の一例である。
ファイアウォール2は、ネットワーク9内の中間ルータ(#6)6と検出装置3の間に接続されている。ファイアウォール2は、攻撃元装置7a,7dから攻撃対象サーバ4への攻撃トラフィックの転送を制限する。
検出装置3は、ファイアウォール2及び攻撃対象サーバ4の間に接続され、攻撃トラフィックを検出する。検出装置3は、例えばネットワーク9から攻撃対象サーバ4に転送されるトラフィックを監視するソフトウェア及びハードウェアの少なくとも一方が実装されたコンピュータである。検出装置3は、トラフィックの通信量及び挙動などを分析することによりトラフィックが攻撃トラフィックであるか否かを判定する。
検出装置3は、攻撃トラフィックを検出すると、攻撃トラフィックの検出通知(「攻撃検出」参照)に加え、攻撃トラフィックの宛先及び送信元を示すアドレス及びポートや攻撃トラフィックのプロトコル種別の情報(以下、「攻撃情報」と表記)をネットワークの管理サーバに送信する。NW管理サーバ1xは、検出装置3から攻撃検出の通知を受けると、攻撃情報に基づいてファイアウォール2に攻撃トラフィックに対する防御設定を行う。
ファイアウォール2は、防御設定のアドレスリスト20に基づき、例えば攻撃トラフィックを遮断する。アドレスリスト20には、攻撃トラフィックの送信元アドレス、宛先アドレス、及び処理内容が設定される。送信元アドレスには、攻撃元装置7a,7dのアドレス「A」,「D」が設定され、宛先アドレスには、攻撃対象サーバ4のアドレス「X」が設定され、処理内容には「遮断」が設定されている。なお、処理内容「遮断」は、送信元アドレス及び宛先アドレスが一致する攻撃トラフィックを廃棄することを意味する。
このため、攻撃元装置7aの攻撃トラフィックは、矢印Raで示さるように、エッジルータ(#1)5を介しファイアウォール2まで転送されるが、攻撃対象サーバ4に到達しない。また、攻撃元装置7dの攻撃トラフィックは、矢印Rdで示さるように、エッジルータ(#4)5を介しファイアウォール2まで転送されるが、攻撃対象サーバ4に到達しない。これにより、攻撃対象サーバ4への攻撃トラフィックの流入が抑制され、攻撃対象サーバ4の負荷が低減される。
しかし、攻撃元装置7aの攻撃トラフィックは、エッジルータ(#1)5から中間ルータ(#5)6に至る区間、及び中間ルータ(#5)6からファイアウォール2に至る区間を伝送する。また、攻撃元装置7dの攻撃トラフィックは、エッジルータ(#4)5から中間ルータ(#6)6に至る区間、及び中間ルータ(#6)6からファイアウォール2に至る区間を伝送する。
このため、外部ネットワークNWa〜NWdからエッジルータ(#1)5〜エッジルータ(#4)5を介して転送される正常なトラフィックの帯域が、中間ルータ(#6)6において攻撃トラフィックと合流することで圧迫され、正常な通信が妨害されるおそれがある。
これに対し、攻撃トラフィックの流入元のエッジルータ(#1)5及びエッジルータ(#4)5(以下、「流入元ルータ」と表記)が攻撃トラフィックを抑制すれば、他のトラフィックの帯域が圧迫されることを防止することができる。エッジルータ5及び中間ルータ6は、例えば、攻撃情報に基づいてACLに攻撃トラフィックのアドレス情報を登録することにより攻撃トラフィックを廃棄することができる。
しかし、エッジルータ5及び中間ルータ6は、IPパケットの宛先アドレスに基づいてルーティングテーブルを検索することによりIPパケットの転送先の方路を決定するため、攻撃トラフィックの送信元アドレスなどの情報から流入元ルータを特定することはできない。
このため、例えばNW管理サーバ1xは、ネットワーク9内の全てのエッジルータ5に攻撃トラフィックの制限設定を行う。
(第2比較例)
図2は、第2比較例のネットワークシステムを示す構成図である。図2において、図1と共通する構成には同一の符号を付し、その説明は省略する。
本例では、NW管理サーバ1xに代わって、NW管理サーバ1yがネットワーク9を管理する。NW管理サーバ1yは、検出装置3から攻撃トラフィックの検出通知を受けると、各エッジルータ5にそれぞれ攻撃トラフィックの防御設定を行う。これにより、各エッジルータ5のACL50には、アドレスリスト20と同様の内容が設定される。
このため、攻撃元装置7aの攻撃トラフィックは、矢印Raで示されるように、エッジルータ(#1)5において転送が制限され、中間ルータ(#6)6に到達しない。また、攻撃元装置7dの攻撃トラフィックは、矢印Rdで示されるように、エッジルータ(#4)5において転送が制限され、中間ルータ(#6)6に到達しない。
したがって、NW管理サーバ1yは、流入元ルータを特定する必要がなく、他のトラフィックの帯域を圧迫せずに攻撃トラフィックを抑制することができる。
しかし、この方法によると、全てのエッジルータ5に対して攻撃トラフィックの防御設定が行われるため、例えば各エッジルータ5における他の正常なトラフィックの転送処理の負荷が増加するおそれがある。
(実施例)
そこで実施例のNW管理サーバ1は、攻撃対象サーバ4宛てのトラフィックの通信経路同士がエッジルータ5または中間ルータ6において合流するように他のエッジルータ5に対し通信経路を設定し、合流先のエッジルータ5または中間ルータ6に防御設定を行う。このため、防御設定対象のルータ数が第2比較例の場合より減少するので、NW管理サーバ1は、防御設定による他のトラフィックの転送処理の負荷の増加を抑制することができる。
図3は、実施例のNW管理サーバ1が経路情報を収集する動作の一例を示す図である。図3において、図1と共通する構成には同一の符号を付し、その説明は省略する。NW管理サーバ1は、ネットワーク9を管理するネットワーク管理装置の一例である。なお、本例においてファイアウォール2は設けられなくてもよい。
NW管理サーバ1は、検出装置3から攻撃トラフィックの検出通知を受けると、各エッジルータ5が攻撃対象サーバ4に転送するトラフィックの通信経路Rを算出する。このため、例えばNW管理サーバ1は、各エッジルータ5及び各中間ルータ6から経路情報を収集する。経路情報は、例えば各エッジルータ5及び各中間ルータ6のルーティングテーブルに登録されている。
経路情報には、それぞれ、トラフィックの宛先の識別子、及び次の転送先のエッジルータ5または中間ルータ6の識別子#1〜#6(NEXT HOP)が含まれる。なお、経路情報には、実際には宛先及び転送先のIPアドレスが含まれるが、NW管理サーバ1はIPアドレスを識別子に変換して管理するため、ここではIPアドレスを識別子として説明する。
一例として、エッジルータ(#1)5の経路情報51は、攻撃対象サーバ4のアドレス「X」を宛先とするトラフィックの転送先を中間ルータ(#5)6とする経路設定を示す。このため、エッジルータ(#1)5は、経路情報51に従って、宛先アドレス「X」のトラフィックを、通信経路R15を介して中間ルータ(#5)6に転送する。
また、エッジルータ(#2)5は、経路情報52に従って、宛先アドレス「X」のトラフィックを、通信経路R25を介して中間ルータ(#5)6に転送する。エッジルータ(#3)5は、経路情報53に従って、宛先アドレス「X」のトラフィックを、通信経路R35を介して中間ルータ(#5)6に転送する。なお、他のエッジルータ5及び中間ルータ6にも、経路情報51〜53と同様の経路情報を有する。
NW管理サーバ1は、各エッジルータ5及び各中間ルータ6の経路情報に基づいて攻撃対象サーバ4宛てのトラフィックの通信経路R15,R25,R35,R56,R46を算出する。例えばエッジルータ(#1)5が攻撃対象サーバ4に転送するトラフィックは、中間ルータ(#5)6及び中間ルータ(#5)6を経由する通信経路R15,R56を通る。
また、例えばエッジルータ(#4)5が攻撃対象サーバ4に転送するトラフィックは、エッジルータ(#4)5及び中間ルータ(#6)6を経由する通信経路R46を通る。なお、NW管理サーバ1は、上記の手法に限定されず、例えば操作者が入力した経路情報、または他のデータベースから取得した経路情報から通信経路を算出してもよい。
NW管理サーバ1は、通信経路同士がエッジルータ5または中間ルータ6で合流するように経路設定を行い、そのエッジルータ5または中間ルータ6に防御設定を行う。
図4は、実施例のNW管理サーバ1が防御設定及び経路設定を行う動作例を示す図である。図4において、図3と共通する構成には同一の符号を付し、その説明は省略する。
NW管理サーバ1は、エッジルータ(#1)5及びエッジルータ(#2)5が攻撃対象サーバ4に転送するトラフィックの通信経路同士が合流するようにエッジルータ(#2)5に通信経路を設定する(「経路設定」参照)。エッジルータ(#2)5の経路情報52が示す転送先は、経路設定によりエッジルータ(#1)5に設定される。
エッジルータ(#2)5は、経路情報52に従って、攻撃対象サーバ4宛てのトラフィックの転送先をエッジルータ(#3)5からエッジルータ(#2)5に切り替える。このため、エッジルータ(#2)5は、攻撃対象サーバ4宛てのトラフィックを、中間ルータ(#5)6に向かう通信経路R25(図3参照)ではなく、エッジルータ(#1)5に向かう通信経路R21に送信する。
したがって、エッジルータ(#2)5から攻撃対象サーバ4に至るトラフィックは通信経路R21,R15,R56を経由する。また、エッジルータ(#1)5から攻撃対象サーバ4に至るトラフィックは通信経路R15,R56を経由する。このため、エッジルータ(#2)5からの通信経路R21,R15,R56、及びエッジルータ(#1)5からの通信経路R15,R56はエッジルータ(#1)5で合流する。つまり、エッジルータ(#1)5及びエッジルータ(#2)5のトラフィックが合流する。
NW管理サーバ1は、通信経路の合流位置のエッジルータ(#1)5に防御設定を行う(「防御設定」参照)。これにより、エッジルータ(#1)5は攻撃トラフィックの転送を抑制する。なお、防御設定のACL50の内容は上記のとおりである。
また、NW管理サーバ1は、エッジルータ(#3)5及びエッジルータ(#4)5が攻撃対象サーバ4に転送するトラフィックの通信経路同士が合流するようにエッジルータ(#3)5に通信経路を設定する(「経路設定」参照)。エッジルータ(#3)5の経路情報53が示す転送先は、経路設定によりエッジルータ(#4)5に設定される。
エッジルータ(#3)5は、経路情報53に従って、攻撃対象サーバ4宛てのトラフィックの転送先を中間ルータ(#5)6からエッジルータ(#4)5に切り替える。このため、エッジルータ(#3)5は、攻撃対象サーバ4宛てのトラフィックを、中間ルータ(#5)6に向かう通信経路R35(図3参照)ではなく、エッジルータ(#4)5に向かう通信経路R34に送信する。
したがって、エッジルータ(#3)5から攻撃対象サーバ4に至るトラフィックは通信経路R34,R46を経由する。また、エッジルータ(#4)5から攻撃対象サーバ4に至るトラフィックは通信経路R46を経由する。このため、エッジルータ(#3)5からの通信経路R34,R46、及びエッジルータ(#4)5からの通信経路R46はエッジルータ(#4)5で合流する。つまり、エッジルータ(#3)5及びエッジルータ(#4)5のトラフィックが合流する。
NW管理サーバ1は、通信経路の合流位置のエッジルータ(#4)5に防御設定を行う(「防御設定」参照)。これにより、エッジルータ(#4)5は攻撃トラフィックの転送を抑制する。
このように、NW管理サーバ1は、エッジルータ(#2)5に対する経路設定により攻撃対象サーバ4宛てのトラフィックをエッジルータ(#1)5に集め、エッジルータ(#3)5に対する経路設定により攻撃対象サーバ4宛てのトラフィックをエッジルータ(#4)5に集めることができる。NW管理サーバ1は、トラフィックが集まるエッジルータ(#1)5及びエッジルータ(#4)5に防御設定を行い、他のエッジルータ(#2)5及びエッジルータ(#3)5には防御設定を行わない。
したがって、NW管理サーバ1は、防御設定対象のエッジルータ5の数を第2比較例の場合より低減することができる。このため、NW管理サーバ1は、防御設定による他のトラフィックの転送処理の負荷の増加を抑制することができる。
なお、以下の説明では、防御設定対象のエッジルータ5を「防御ルータ」と表記し、経路設定対象のエッジルータ5を「合流ルータ」と表記する。
(NW管理サーバ1の構成)
図5は、NW管理サーバ1の一例を示す構成図である。NW管理サーバ1は、CPU(Central Processing Unit)10、ROM(Read Only Memory)11、RAM(Random Access Memory)12、HDD(Hard Disk Drive)13、通信ポート14、入力装置15、及び出力装置16を有する。CPU10は、互いに信号の入出力ができるように、ROM11、RAM12、HDD13、通信ポート14、入力装置15、及び出力装置16と、バス19を介して接続されている。
ROM11は、CPU10を駆動するプログラムを格納する。RAM12は、CPU10のワーキングメモリとして機能する。通信ポート14は、例えば無線LAN(Local Area Network)カードやNIC(Network Interface Card)であり、エッジルータ5及び中間ルータ6とCPU10の間の通信を処理する。
入力装置15は、ユーザがCPU10に情報を入力するための装置である。入力装置15としては、例えばキーボード、マウス、及びタッチパネルなどが挙げられる。入力装置15は、入力された情報を、バス19を介しCPU10に出力する。
出力装置16は、CPU10の情報を外部に出力するための装置である。出力装置16としては、例えばディスプレイ及びタッチパネルなどが挙げられる。出力装置16は、CPU10からバス19を介して情報を取得して出力する。
CPU10は、ROM11からプログラムを読み込むと、ソフトウェアの機能として、動作制御部100、攻撃検出部101、経路算出部102、ネットワーク(NW)情報取得部103、ルータ選択部104、防御設定処理部105、及び経路設定処理部106を形成する。動作制御部100、攻撃検出部101、経路算出部102、NW情報取得部103、ルータ選択部104、防御設定処理部105、及び経路設定処理部106は、ソフトウェアの機能とともに、またはソフトウェアの機能に代えて、例えばFPGA(Field Programmable Gate Array)やASIC(Application Specified Integrated Circuit)などの回路として形成されてもよい。
また、HDD13は、経路データベース(DB)130、隣接関係DB131、ネットワーク(NW)情報DB132、条件DB133、及び設定DB134を格納する。なお、経路DB130、隣接関係DB131、NW情報DB132、条件DB133、及び設定DB134の格納手段は、HDD13に限定されず、HDD13に代えて、またはHDD13とともに、メモリなどの他の格納手段であってもよい。
動作制御部100は、NW管理サーバ1の全体の動作を制御する。動作制御部100は、所定のアルゴリズムに従い攻撃検出部101、経路算出部102、NW情報取得部103、ルータ選択部104、防御設定処理部105、及び経路設定処理部106に対して動作を指示する。
攻撃検出部101は、検出装置3からの攻撃検出の通知に従って攻撃トラフィックを検出する。例えば攻撃検出部101は、通信ポート14を介し、検出装置3から攻撃トラフィックの検出通知、及び攻撃トラフィックの送信元アドレス及び帯域などの攻撃情報を受信する。攻撃検出部101は、攻撃トラフィックの検出通知及び攻撃情報を動作制御に出力する。なお、攻撃検出部101は、検出装置3と同様の機能を備えることにより、ネットワーク9から攻撃対象サーバ4に送信されるトラフィックから直接的に攻撃トラフィックを検出してもよい。
経路算出部102は、算出部の一例であり、各エッジルータ5が攻撃対象サーバ4に転送するトラフィックの通信経路をそれぞれ算出する。このため、経路算出部102は、通信ポート14を介し、各エッジルータ5及び各中間ルータ6から経路情報を取得する(図3参照)。なお、経路算出部102は、これに限定されず、例えば入力装置15から入力された経路情報を取得してもよい。
経路算出部102は、経路情報を経路DB130に登録する。経路DB130には、転送元ルータIDと転送先ルータIDが登録されている。転送元ルータIDは、トラフィックの転送元のエッジルータ5または中間ルータ6のルータIDであり、転送先ルータIDは、トラフィックの転送先のエッジルータ5または中間ルータ6のルータIDである。
経路算出部102は、経路情報内のIPアドレスを転送元ルータID及び転送先ルータIDに変換する。なお、転送先が検出装置3である場合には、転送先ルータIDとして「−」が登録される。
経路算出部102は、経路DB130内の各経路情報を組み合わせることにより攻撃対象サーバ4宛てのトラフィックの通信経路を算出する。例えば経路算出部102は、ネットワーク9内の各エッジルータ5及び各中間ルータ6の経路情報に基づいて、各エッジルータ5から攻撃対象サーバ4に至るまでのトラフィックの転送先を順に辿る。
NW情報取得部103は、各エッジルータ5及び各中間ルータ6からNW情報を取得する。NW情報取得部103は、通信ポート14を介して各エッジルータ5及び各中間ルータ6にNW情報を要求する。各エッジルータ5及び各中間ルータ6は、NW情報取得部103からの要求に応じてNW情報をNW管理サーバ1に送信する。
NW情報は、例えば各エッジルータ5及び各中間ルータ6のトラフィックの転送処理の負荷(%)であり、ルータ選択部104により防御ルータ及び合流ルータの選択に用いられる。各エッジルータ5及び各中間ルータ6は、トラフィックの転送処理を実行するCPUの負荷(%)を送信する。
NW情報取得部103は、NW情報をNW情報DB132に登録する。NW情報が各エッジルータ5及び各中間ルータ6のトラフィックの転送処理の負荷である場合、NW情報DB132には、例えばルータID及び負荷が登録される。例えばエッジルータ(#1)5の負荷は30(%)である。
ルータ選択部104は、経路DB130から算出した通信経路及び隣接関係DB131に基づいて、各エッジルータ5及び各中間ルータ6から、所定の選択条件が満たされ、かつ、トラフィックがループしないように防御ルータ及び合流ルータを選択する。なお、防御ルータは第1ルータの一例であり、合流ルータは第2ルータの一例である。
選択条件は、ネットワーク9内のトラフィックの転送処理の負荷に関する条件の一例である。例えばルータ選択部104は、防御ルータのトラフィックの転送処理の負荷が閾値以下とする選択条件を用いる場合、負荷を示すNW情報DB132に基づき防御ルータを選択する。
ルータ選択部104は、負荷の閾値が50(%)である場合、NW情報DB132に基づき、負荷が50(%)以下であるエッジルータ(#1)5、エッジルータ(#3)5、及びエッジルータ(#4)5から防御ルータを設定する。さらにルータ選択部104は、負荷が低いエッジルータ5及び中間ルータ6を優先する優先条件に従って防御ルータを最終的に選択する。選択条件及び優先条件は条件DB133に登録されている。なお、選択条件及び優先条件のバリエーションについては後述する。
これにより、ルータ選択部104は、できるだけ負荷が少ない防御ルータを選択することができる。このため、防御ルータは、防御設定による攻撃トラフィックの抑制を行っても、転送処理の負荷に余裕があるため、ネットワーク9内のトラフィックの転送処理の負荷に対する影響を抑えることができる。
また、ルータ選択部104は、通信経路及び隣接関係DB131に基づき、防御ルータに向かう通信経路を設定することができるエッジルータ5のうち、防御ルータとの間でトラフィックをループさせない合流ルータを選択する。このため、エッジルータ5は、経路設定によりトラフィックが攻撃対象サーバ4に到達できなくなることが防止される。なお、ルータ選択部104は、防御ルータに向かう通信経路を設定することができ、かつ選択条件を満たすエッジルータ5がない場合、合流ルータを選択せずに防御ルータのみを選択する。なお、ルータ選択部104は選択部の一例である。
隣接関係DB131は、各エッジルータ5及び各中間ルータ6の隣接関係を示す情報である。隣接関係DB131には、ルータID及び隣接ルータIDが登録される。隣接ルータIDは、ルータIDが示すエッジルータ5または各中間ルータ6に隣接するエッジルータ5及び各中間ルータ6のルータIDである。例えばエッジルータ(#1)5は、エッジルータ(#2)5及び中間ルータ(#5)6に隣接する。
例えば動作制御部100は、予め入力装置15から入力されたネットワーク9内の各エッジルータ5及び各中間ルータ6の接続情報を隣接関係DB131に登録する。なお、隣接関係DB131が示す隣接関係は、各エッジルータ5及び各中間ルータ6の間の接続関係の一例である。
ルータ選択部104は、選択した防御ルータ及び合流ルータに基づいて設定DB134を設定する。設定DB134には、ルータID、ルータ種別、設定種別、及び防御ルータIDが登録される。ルータ種別は、ルータIDが示すルータが、エッジルータ5(「エッジ」)及び中間ルータ6(非エッジ)の何れであるかを示す。設定種別は、ルータIDが示すエッジルータ5または中間ルータ6に行われる設定の種類(防御設定、経路設定、または設定なし(「−」))を示す。防御ルータIDは、設定種別が経路設定であるルータ、つまり合流ルータである場合、合流ルータに対応する防御ルータのルータIDである。
例えば動作制御部100は、予め入力装置15から入力されたネットワーク9内の構成情報に基づいて設定DB134のルータID及びルータ種別を登録する。また、ルータ選択部104は、設定DB134の設定種別及び防御ルータIDを登録する。
ルータ選択部104は、防御ルータのルータIDに対応する設定種別に防御設定を登録し、合流ルータのルータIDに対応する設定種別に経路設定を登録する。さらにルータ選択部104は、合流ルータのルータIDに対応する防御ルータIDに、防御ルータのルータIDを登録する。
図4の例の場合、ルータ選択部104は、エッジルータ(#1)5及びエッジルータ(#4)5を防御ルータとして選択するため、設定DB134のルータID「#1」及び「#4」の設定種別に防御設定を登録する。また、ルータ選択部104は、エッジルータ(#2)5及びエッジルータ(#3)5を合流ルータとして選択するため、設定DB134のルータID「#2」及び「#3」の設定種別に経路設定を登録する。また、ルータ選択部104は、エッジルータ(#1)5及びエッジルータ(#2)5の組み合わせと、エッジルータ(#4)5及びエッジルータ(#3)5の組み合わせとが防御ルータ及び合流ルータの組み合わせとなるため、設定DB134のルータID「#2」及び「#3」に応じた防御ルータID「#1」及び「#4」をそれぞれ登録する。
また、防御設定処理部105は、指示部の一例であり、防御ルータに攻撃トラフィックの転送の抑制を指示する。例えば防御設定処理部105は、設定DB134に基づき、防御ルータに対し、通信ポート14を介して防御設定の情報を送信する。例えば防御設定処理部105は、設定DB134の設定種別が防御設定であるエッジルータ(#1)5及びエッジルータ(#4)5に防御設定を行う。これにより、エッジルータ(#1)5及びエッジルータ(#4)5のACL50は、図4に示されるように設定される。
経路設定処理部106は、設定部の一例であり、通信経路同士が防御ルータで合流するように合流ルータに対しトラフィックの通信経路を設定する。例えば経路設定処理部106は、設定DB134に基づき、合流ルータに対し、通信ポート14を介して経路設定のための経路情報を送信する。例えば経路設定処理部106は、設定DB134の設定種別が経路設定であるエッジルータ(#2)5及びエッジルータ(#3)5に経路設定を行う。
これにより、エッジルータ(#2)5及びエッジルータ(#3)5は、図4の例の場合、経路情報を更新することにより、攻撃対象サーバ宛てのトラフィックの出力先の方路を通信経路R21,R34に切り替える。このため、攻撃対象サーバ宛てのトラフィックは、エッジルータ(#1)5及びエッジルータ(#4)5に送信され、他の攻撃対象サーバ4宛てのトラフィックに合流する。
以下に防御ルータ及び合流ルータの設定例を述べる。
(第1設定例)
図6は、第1設定例における経路情報の取得動作を示す図である。図6において、図3と共通する構成には同一の符号を付し、その説明は省略する。
本例では、図3の例とは異なり、エッジルータ(#3)5は、攻撃対象サーバ4宛てのトラフィックを、通信経路R34を介してエッジルータ(#4)5に転送する。エッジルータ(#3)5の経路情報53は、宛先がアドレス「X」であるトラフィックの転送先としてエッジルータ(#4)5を示す。
図7は、選択条件及び優先条件の一覧表90,91と条件DB133の一例とを示す図である。例えばユーザは、出力装置16に表示された選択条件の一覧表90及び優先条件の一覧表91から1以上の選択条件及び優先条件を選択する。
選択条件は、防御ルータの候補、または防御ルータ及び合流ルータの組み合わせの候補を、エッジルータ5及び中間ルータ6から選択するための条件である。また、優先条件は、防御ルータの候補、または防御ルータ及び合流ルータの組み合わせの候補から最終的に防御ルータ、または防御ルータ及び合流ルータの組み合わせを決定するための条件である。なお、選択条件及び優先条件は、互いに同一内容の条件がある。
一覧表90の各選択条件にはID「#1」〜「#8」が付与されている。また、一覧表91の各優先条件にはID「#1」〜「#7」が付与されている。ユーザは、1以上の選択条件のID、及び1以上の優先条件のIDを選択する。動作制御部100は、入力装置から入力されたユーザの選択したIDに従って条件DB133を生成する。
ID「#1」の選択条件「ルータ種別」は、防御ルータがエッジルータ5の1つであることである。図1を参照して述べたように、攻撃トラフィック以外の正常なトラフィックの帯域が圧迫されないように、防御ルータはエッジルータ5であることが望ましい。このため、本優先条件によると、エッジルータ5が防御ルータとして選択される。
ID「#2」の選択条件「ルータの負荷」は、防御ルータのトラフィックの転送処理の負荷が閾値以下であることである。エッジルータ5及び中間ルータ6は、転送処理の負荷が高いと、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、負荷が高いエッジルータ5及び中間ルータ6は本選択条件により防御ルータの候補から除外される。
ID「#3」の選択条件「ルータの性能」は、防御ルータのトラフィックの転送処理の性能の高さの指標値が閾値以上であることである。エッジルータ5及び中間ルータ6は、転送処理の性能が低いと、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、性能が低いエッジルータ5及び中間ルータ6は本選択条件により防御ルータの候補から除外される。
ID「#4」の選択条件「ACL設定量」は、防御ルータのACL50の設定量が閾値以下であることである。ACL50には、攻撃トラフィックなどの望ましくないトラフィックの流入を防止する設定が登録される。エッジルータ5及び中間ルータ6は、トラフィックの送信元アドレス及び宛先アドレスなどに基づいてACL50を検索することにより該当トラフィックを検出する。
このため、エッジルータ5及び中間ルータ6は、ACL50の設定量が高いほど、トラフィックの検索処理に時間がかかり、攻撃トラフィックの検出及び廃棄を迅速に行うことができないので、設定量が多いエッジルータ5及び中間ルータ6は、本選択条件により防御ルータの候補から除外される。
ID「#5」の選択条件「リンク使用率」は、防御ルータと合流ルータの間の各リンクの帯域の使用率が閾値以下であることである。攻撃トラフィックが流れるリンクの使用率が高いほど、他の正常なトラフィックが圧迫されるため、使用率が高いリンクで結ばれるエッジルータ5及び中間ルータ6は、本選択条件により防御ルータ及び合流ルータの組み合わせの候補から除外される。
ID「#6」の選択条件「リンク空き帯域」は、防御ルータと合流ルータの間の各リンクの空き帯域が閾値以下であることである。攻撃トラフィックが流れるリンクの空き帯域が少ないほど、他の正常なトラフィックが圧迫されるため、空き帯域が少ないリンクで結ばれるエッジルータ5及び中間ルータ6は、本選択条件により防御ルータ及び合流ルータの組み合わせの候補から除外される。
ID「#7」の選択条件「ルータ間ホップ数」は、防御ルータと合流ルータの間のホップ数が閾値以下であることである。なお、ホップ数は距離の一例である。攻撃トラフィックが流れる距離が長いほど、他の正常なトラフィックが圧迫されるため、互いの距離が長いエッジルータ5及び中間ルータ6は、本選択条件により防御ルータ及び合流ルータの組み合わせの候補から除外される。
ID「#8」の選択条件「距離増加量」は、経路設定による合流ルータから攻撃対象サーバ4までのホップ数の増加量が閾値以下であることである。なお、ホップ数は距離の一例である。経路設定により攻撃トラフィックだけでなく、通常のトラフィックの通信経路も変更される。通常のトラフィックが流れる距離が長いほど、そのトラフィックを転送処理するエッジルータ5または中間ルータ6の数が増加する。このため、攻撃対象サーバ4までの距離が大きく増加するエッジルータ5及び中間ルータ6は、本選択条件により防御ルータ及び合流ルータの組み合わせの候補から除外される。
ID「#1」の優先条件「ルータ種別」は、防御ルータの選択においてエッジルータ5を優先することである。図1を参照して述べたように、攻撃トラフィック以外の正常なトラフィックの帯域が圧迫されないように、防御ルータはエッジルータ5であることが望ましい。このため、本優先条件によると、エッジルータ5が優先的に防御ルータとして選択される。
ID「#2」の優先条件「ルータの負荷」は、防御ルータの選択においてトラフィックの転送処理の負荷が低いエッジルータ5及び中間ルータ6を優先することである。エッジルータ5及び中間ルータ6は、転送処理の負荷が高いと、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、負荷が低いエッジルータ5及び中間ルータ6は本優先条件により優先的に防御ルータとして選択される。
ID「#3」の優先条件「ルータの性能」は、防御ルータの選択においてトラフィックの転送処理の性能の高さの指標値が高いエッジルータ5及び中間ルータ6を優先することである。エッジルータ5及び中間ルータ6は、転送処理の性能が低いと、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、性能が高いエッジルータ5及び中間ルータ6は本優先条件により優先的に防御ルータとして選択される。
ID「#4」の優先条件「ACL設定量」は、防御ルータの選択においてACL50の設定量が少ないエッジルータ5及び中間ルータ6を優先することである。エッジルータ5及び中間ルータ6は、ACL50の設定量が高いほど、トラフィックの検索処理に時間がかかり、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、設定量が少ないエッジルータ5及び中間ルータ6は、本優先条件により優先的に防御ルータとして選択される。
ID「#5」の優先条件「ACL設定残量」は、防御ルータの選択においてACL50の設定量の残りが多いエッジルータ5及び中間ルータ6を優先することである。エッジルータ5及び中間ルータ6は、ACL50の設定量が高いほど、トラフィックの検索処理に時間がかかり、攻撃トラフィックの検出及び廃棄を迅速に行うことができないため、設定量の残りが多いエッジルータ5及び中間ルータ6は、本優先条件により優先的に防御ルータとして選択される。
ID「#6」の優先条件「合流ルータ数」は、防御ルータの選択において、防御ルータとして選択したときの合流ルータの数が多いエッジルータ5及び中間ルータ6を優先することである。1つの防御ルータにトラフィックを転送可能な合流ルータの数が多いほど、ネットワーク9内の防御ルータの数は減るため、防御ルータとして選択したときの合流ルータの数が多いエッジルータ5及び中間ルータ6は、本優先条件により優先的に防御ルータとして選択される。
ID「#7」の優先条件「距離増加量」は、経路設定による合流ルータから攻撃対象サーバ4までのホップ数の増加量が閾値以下であることである。なお、ホップ数は距離の一例である。通常のトラフィックが流れる距離が長いほど、そのトラフィックを転送処理するエッジルータ5または中間ルータ6の数が増加する。このため、攻撃対象サーバ4までの距離が大きく増加するエッジルータ5及び中間ルータ6は、本優先条件により防御ルータ及び合流ルータの組み合わせの候補から除外される。
このように、選択条件及び優先条件は、ネットワーク9内のトラフィックの転送処理の負荷に関連する。したがって、ルータ選択部104は、選択条件及び優先条件に従って防御ルータ、または防御ルータ及び合流ルータの組み合わせを選択することによりトラフィックの転送処理の負荷が低減される。
本例において、ユーザは、ID「#2」の選択条件「ルータの負荷」、ID「#7」の選択条件「ルータ間ホップ数」、及びID「#2」の優先条件「ルータの負荷」を一覧表90,91から選択する。動作制御部100は、選択された選択条件及び優先条件を条件DB133に登録する。なお、各選択条件の閾値は、限定されず、ユーザが予め設定してもよいし、固定値であってもよい。
条件DB133には、条件種別、ID、及び閾値が登録される。条件種別は、選択条件及び優先条件の何れかを示す。IDは選択条件または優先条件のIDである。閾値は、選択条件に用いられる閾値である。
本例では、ルータ選択部104は、ID「#2」の選択条件「ルータの負荷」に従って、負荷が50(%)以下のエッジルータ5及び中間ルータ6から防御ルータの候補を抽出する。さらにルータ選択部104は、ID「#2」の優先条件「ルータの負荷」に従って、防御ルータの候補から最終的な防御ルータを選択する。
また、ルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」に従って、防御ルータとの距離が1ホップ以下であるエッジルータ5から合流ルータを選択する。以下に選択の方法を述べる。
図8は、第1設定例における防御ルータ及び合流ルータの選択方法を示す図(その1)である。ルータ選択部104は、経路DB130に基づくトラフィックの通信経路R15,R25,R56,R34,R46のグラフGaを生成する。
ルータ選択部104は、グラフGa上のエッジルータ5及び中間ルータ6から、ID「#2」の選択条件「ルータの負荷」に従って、防御ルータの候補を抽出する。ルータ選択部104は、NW情報DB132から、50(%)以下の負荷のエッジルータ(#1)5、エッジルータ(#3)5、及びエッジルータ(#4)5を防御ルータの候補として抽出する。さらにルータ選択部104は、防御ルータの候補(点線枠参照)から、ID「#2」の優先条件「ルータの負荷」に従い最低の負荷のエッジルータ(#1)5を防御ルータとして選択する。
また、ルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」に従って、隣接関係DB131に基づいて、防御ルータとの距離が1ホップ以下であるエッジルータ5から合流ルータを選択する。ルータ選択部104は、防御ルータとして選択されたエッジルータ(#1)5との距離が1ホップであるエッジルータ(#2)5を合流ルータとして選択する。エッジルータ(#2)5は、防御ルータであるエッジルータ(#1)5と通信経路が合流するように経路設定される。
図9は、第1設定例における経路設定時の経路DB130及び設定DB134を示す図(その1)である。グラフGbは、エッジルータ(#2)5に対する経路設定後のトラフィックの通信経路R12,R15,R56,R34,R46を示す。合流ルータであるエッジルータ(#2)5の通信経路R25は、防御ルータに向かう通信経路R12に切り替わる。
ルータ選択部104は、通信経路R12,R15から防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立しないため、ルータ選択部104は、経路DB130の更新及び設定DB134の登録を行う。
ルータ選択部104は、通信経路の切り替えに従って経路DB130を更新する。これにより、転送元ルータID「#2」の転送先ルータIDが「#5」から「#1」に更新される。
また、ルータ選択部104は、防御ルータ及び合流ルータの選択結果に従って設定DB134に防御ルータ及び合流ルータを登録する。これにより、ルータID「#1」の設定種別に防御設定が登録され、ルータID「#2」の設定種別に経路設定が登録される。また、ルータID「#2」の防御ルータIDに「#1」が登録される。
ルータ選択部104は、ネットワーク9内の全てのエッジルータ5を防御ルータまたは合流ルータとして選択する。このため、ルータ選択部104は、残りのエッジルータ(#3)5及びエッジルータ(#4)5から防御ルータ及び合流ルータを選択する。
図10は、第1設定例における防御ルータ及び合流ルータの選択方法を示す図(その2)である。ルータ選択部104は、防御ルータの残りの候補(点線枠参照)から、ID「#2」の優先条件「ルータの負荷」に従い最低の負荷のエッジルータ(#3)5を防御ルータとして選択する。
また、ルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」に従って、隣接関係DB131に基づいて、防御ルータとの距離が1ホップ以下であるエッジルータ5から合流ルータを選択する。ここで、合流ルータの候補としてエッジルータ(#4)5だけが残っており、隣接関係DB131からエッジルータ(#3)5とエッジルータ(#4)5の距離が1ホップである。
したがって、ルータ選択部104は、エッジルータ(#4)5を合流ルータとして選択する。エッジルータ(#2)5は、防御ルータであるエッジルータ(#1)5に通信経路が合流するように経路設定される。
グラフGcは、エッジルータ(#2)5に対する経路設定後のトラフィックの通信経路R12,R15,R56,R34,R43を示す。ここでは、合流ルータであるエッジルータ(#4)5の通信経路R46は、防御ルータに向かう通信経路R43に切り替わる。
ルータ選択部104は、通信経路R34,R43から防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立するため、ルータ選択部104は防御ルータの選択をやり直す。このため、ルータ選択部104は、ID「#2」の優先条件「ルータの負荷」に従い2番目に低い負荷のエッジルータ(#4)5を防御ルータとして選択する。
図11は、第1設定例における経路設定時の経路DB130及び設定DB134を示す図(その2)である。グラフGdは、エッジルータ(#2)5に対する経路設定後のトラフィックの通信経路R12,R15,R56,R34,R46を示す。なお、本例では、合流ルータであるエッジルータ(#3)5の通信経路R34は、経路設定の前後で変化しない。
ルータ選択部104は、通信経路R34,R46から防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立しないため、ルータ選択部104は、経路DB130の更新及び設定DB134の登録を行う。ただし、本例では、合流ルータであるエッジルータ(#3)5の通信経路は変化しないため、更新前後で経路DB130の内容は変わらない。
ルータ選択部104は、防御ルータ及び合流ルータの選択結果に従って設定DB134に防御ルータ及び合流ルータを登録する。これにより、ルータID「#4」の設定種別に防御設定が登録され、ルータID「#3」の設定種別に経路設定が登録される。また、ルータID「#3」の防御ルータIDに「#4」が登録される。
このようにして、ルータ選択部104は、防御ルータ及び合流ルータの組み合わせを選択する。
図12は、NW管理サーバ1の動作の一例を示すフローチャートである。攻撃検出部101は、検出装置3からの検出通知に基づいて攻撃トラフィックを検出したか否かを判定する(ステップSt1)。攻撃トラフィックが検出されていない場合(ステップSt1のNo)、再びステップSt1の処理が実行される。
次に経路算出部102は、エッジルータ5及び中間ルータ6から経路情報を取得する(ステップSt2)。このとき、経路算出部102は、経路情報を経路DB130に登録する。次に経路算出部102は、経路DB130に基づき攻撃対象サーバ4宛てのトラフィックの通信経路を算出する(ステップSt3)。
次にルータ選択部104は、防御ルータ及び合流ルータの組み合わせを選択する(ステップSt4)。なお、選択処理については後述する。次に防御設定処理部105は、防御ルータに防御設定を行う(ステップSt5)。次に経路設定処理部106は、合流ルータに経路設定を行う(ステップSt6)。このようにして、NW管理サーバ1は動作する。
図13は、第1設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。選択処理は、上記のステップSt4において実行される。
NW情報取得部103は、条件DB133に登録されたID「#2」の選択条件「ルータの負荷」及びID「#2」の優先条件「ルータの負荷」に応じて、エッジルータ5及び中間ルータ6から負荷情報を取得する(ステップSt11)。このとき、NW情報取得部103は、負荷情報をNW情報DB132に登録する。
次にルータ選択部104は、ID「#2」の選択条件「ルータの負荷」に従って、NW情報DB132から、負荷が50(%)以下のエッジルータ5及び中間ルータ6を防御ルータの候補として抽出する(ステップSt12)。次にルータ選択部104は、ID「#2」の優先条件「ルータの負荷」に従って、防御ルータの候補から、最低の負荷のエッジルータ5を防御ルータとして選択する(ステップSt13)。
次にルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」に従って、隣接関係DB131に基づいて、防御ルータとの距離が1ホップ以下であるエッジルータ5から合流ルータを選択する(ステップSt14)。このとき、ルータ選択部104は、防御ルータに向かう通信経路を設定することができる未選択のエッジルータ5がない場合、合流ルータを選択しない。
次にルータ選択部104は、攻撃対象サーバ4宛てのトラフィックの通信経路から、防御ルータと合流ルータの間にトラフィックのループ関係が成立するか否かを判定する(ステップSt15)。ルータ選択部104は、ループ関係が成立する場合(ステップSt15のYes)、防御ルータの候補から、2番目に低い負荷のエッジルータ5を防御ルータとして選択する(ステップSt16)。その後、再びステップSt14以降の処理が行われる。
ルータ選択部104は、ループ関係が成立しない場合(ステップSt15のNo)、防御ルータ及び合流ルータの情報を、上述したように設定DB134に登録する(ステップSt17)。次にルータ選択部104は、合流ルータの通信経路に従って経路DB130を更新する(ステップSt18)。
次にルータ選択部104は、防御ルータ及び合流ルータの選択結果に応じて防御ルータの候補を更新する(ステップSt19)。これにより、選択済みのエッジルータ5及び中間ルータ6は候補から除外される。
次にルータ選択部104は、防御ルータまたは合流ルータとして未選択のエッジルータ5の有無を判定する(ステップSt20)。未選択のエッジルータ5が無い場合(ステップSt20のNo)、処理は終了する。また、未選択のエッジルータ5が有る場合(ステップSt20のYes)、防御ルータの候補の有無を判定する(ステップSt21)。
候補が有る場合(ステップSt21のYes)、ステップSt13以降の各処理が再び実行される。候補が無い場合(ステップSt21のNo)、処理は終了する。このようにして、選択処理は実行される。
このように、ルータ選択部104は、ID「#2」の選択条件「ルータの負荷」が満たされるように、負荷が50(%)以下のエッジルータ5及び中間ルータ6を防御ルータとして選択する。このため、防御ルータは、防御設定による攻撃トラフィックの抑制を行っても、転送処理の負荷に余裕があるため、ネットワーク9内のトラフィックの転送処理の負荷に対する影響を抑えることができる。
また、ルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」が満たされるように、防御ルータとの距離が1ホップ以下であるエッジルータ5から合流ルータを選択する。このため、攻撃トラフィックが流れる距離が短縮され、他の正常なトラフィックの圧迫を低減することができる。
(第2設定例)
図14は、第2設定例における経路情報の取得動作を示す図である。図14において、図6と共通する構成には同一の符号を付し、その説明は省略する。
本例では、図6の例とは異なり、エッジルータ(#3)5は、攻撃対象サーバ4宛てのトラフィックを、通信経路R35を介して中間ルータ(#5)6に転送する。エッジルータ(#3)5の経路情報53は、宛先がアドレス「X」であるトラフィックの転送先として中間ルータ(#5)6を示す。また、エッジルータ(#2)5及びエッジルータ(#3)5は、図6の例と異なり、リンクを介して接続されている。
図15は、第2設定例における経路DB130、隣接関係DB131、条件DB133、及びNW情報DB132a,132bを示す図である。
経路DB130は、図14に示された攻撃対象サーバ4宛てのトラフィックの通信経路に対応する。隣接関係DB131は、第1設定例の隣接関係DB131と比べると、エッジルータ(#2)5及びエッジルータ(#3)5が隣接関係にある点において相違する。
条件DB133には、第1設定例の条件DB133と比べると、ID「#5」の優先条件「リンク使用率」が追加され、また、ID「#2」の優先条件「ルータの負荷」に代えてID「#6」の優先条件「合流ルータ数」が登録されている。
また、NW情報DB132aには、エッジルータ5及び中間ルータ6の負荷が登録されている。また、NW情報DB132bは、エッジルータ5及び中間ルータ6の間の各リンクの帯域の使用率が登録されている。例えば、エッジルータ(#1)5とエッジルータ(#2)5の間のリンクを示すリンクIDは「#1−#2」と表記され、その使用率は60(%)である。また、中間ルータ(#5)6と中間ルータ(#6)6の間のリンクを示すリンクIDは「#5−#6」と表記され、その使用率は40(%)である。
NW情報DB132a,132bは、第1設定例のNW情報DB132に代えてHDD13に格納されている。NW情報取得部103は、エッジルータ5及び中間ルータ6から転送処理の負荷情報を取得してNW情報DB132aに登録し、エッジルータ5及び中間ルータ6からリンクの帯域情報を取得してNW情報DB132bに登録する。NW情報DB132aは、ID「#1」の選択条件「ルータ種別」の成否の判定に用いられ、NW情報DB132bは、ID「#5」の優先条件「リンク使用率」の成否の判定に用いられる。
ルータ選択部104は、条件DB133の選択条件及び優先条件に従って、防御ルータ及び合流ルータの組み合わせを選択する。
図16は、第2設定例における防御ルータ及び合流ルータの組み合わせの選択方法を示す図である。ルータ選択部104は、符号Haで示されるように、隣接関係DB131に基づき、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせの候補を抽出する。符号Haは、各エッジルータ5及び各中間ルータ6を防御ルータとしたときの防御ルータ及び合流ルータの対応関係を示す。なお、合流ルータIDは、合流ルータのルータIDを示す。合流ルータの候補はエッジルータ5から抽出される。
次にルータ選択部104は、符号Hbで示されるように、ID「#2」の選択条件「ルータの負荷」を満たす防御ルータの候補を残して、他の候補を削除する。このため、NW情報DB132aが示す負荷が50(%)以下のエッジルータ(#1)5、エッジルータ(#2)5、及びエッジルータ(#4)5だけが防御ルータの候補として残る。
次にルータ選択部104は、符号Hcで示されるように、ID「#5」の選択条件「リンク使用率」を満たす防御ルータ及び合流ルータの組み合わせの候補を残して、他の候補を削除する。このため、NW情報DB132bが示す使用率が50(%)以下であるリンクID「#2−#3」に応じたエッジルータ(#2)5及びエッジルータ(#3)5の組み合わせが残る。
次にルータ選択部104は、ID「#6」の優先条件「合流ルータ数」に従って、合流ルータ数が最大である防御ルータ及び合流ルータの組み合わせを選択する(点線枠参照)。このため、合流ルータ数が最大数(1個)のエッジルータ(#2)5及びエッジルータ(#3)5の組み合わせが、防御ルータ及び合流ルータの組み合わせとして選択される。なお、他のエッジルータ(#2)5及びエッジルータ(#3)5は防御ルータ単体の候補として残り最終的に防御ルータとして選択される。
図17は、第2設定例における経路設定時の経路DB130及び設定DB134を示す図である。グラフGeは、エッジルータ(#3)5に対する経路設定後のトラフィックの通信経路R25,R32,R15,R56,R46を示す。合流ルータであるエッジルータ(#3)5の通信経路R35は、その対応する防御ルータであるエッジルータ(#2)5に向かう通信経路R32に切り替わる。
ルータ選択部104は、通信経路R32,R25を確認することで防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立しないため、ルータ選択部104は、経路DB130の更新及び設定DB134の登録を行う。
ルータ選択部104は、通信経路の切り替えに従って経路DB130を更新する。これにより、転送元ルータID「#3」の転送先ルータIDが「#5」から「#2」に更新される。
また、ルータ選択部104は、防御ルータ及び合流ルータの選択結果に従って設定DB134に防御ルータ及び合流ルータを登録する。これにより、ルータID「#1」,「#2」,「#4」の設定種別に防御設定が登録され、ルータID「#3」の設定種別に経路設定が登録される。また、ルータID「#3」の防御ルータIDに「#2」が登録される。
図18は、第2設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。図18において、図13と共通する処理には同一の符号を付し、その説明は省略する。
NW情報取得部103は、条件DB133に登録されたID「#2」の選択条件「ルータの負荷」に応じて、エッジルータ5及び中間ルータ6から負荷情報を取得する(ステップSt11a)。このとき、NW情報取得部103は、負荷情報をNW情報DB132aに登録する。
次にNW情報取得部103は、条件DB133に登録されたID「#5」の選択条件「リンク使用率」に応じて、エッジルータ5及び中間ルータ6からリンクの帯域情報を取得する(ステップSt11b)。このとき、NW情報取得部103は、帯域情報に基づきリンクごとの帯域の使用率を算出してNW情報DB132bに登録する。
次にルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせの候補を隣接関係DBに基づき抽出する(ステップSt12a)。次にルータ選択部104は、防御ルータ及び合流ルータの組み合わせの候補を、ID「#2」の選択条件「ルータの負荷」とID「#5」の選択条件「リンク使用率」を満たす候補に限定する(ステップSt13a)。
次にルータ選択部104は、ID「#6」の優先条件「合流ルータ数」に従って、合流ルータ数が最大の防御ルータ及び合流ルータの組み合わせを選択する(ステップSt14a)。
次にルータ選択部104は、攻撃対象サーバ4宛てのトラフィックの通信経路から、防御ルータと合流ルータの間にトラフィックのループ関係が成立するか否かを判定する(ステップSt15)。ルータ選択部104は、ループ関係が成立する場合(ステップSt15のYes)、防御ルータ及び合流ルータの組み合わせの候補から、合流ルータ数が2番目に大きい防御ルータ及び合流ルータの組み合わせを選択する(ステップSt16a)。その後、再びステップSt15以降の処理が行われる。また、ループ関係が成立しない場合(ステップSt15のNo)、ステップSt17以降の各処理が実行される。
また、ルータ選択部104は、防御ルータの候補が有る場合(ステップSt21のYes)、合流ルータの候補の有無を判定する(ステップSt22)。合流ルータの候補が無い場合(ステップSt22のNo)、防御ルータの候補を設定DB134に登録する(ステップSt23)。また、合流ルータの候補が有る場合(ステップSt22のYes)、再びステップSt14a以降の各処理が実行される。このようにして、選択処理は実行される。
このように、ルータ選択部104は、ID「#5」の選択条件「リンク使用率」が満たされるように、互いを結ぶリンクの帯域の使用率が50(%)以下である防御ルータ及び合流ルータの組み合わせを選択する。このため、防御ルータ及び合流ルータの間のリンクの使用率が低いので、攻撃トラフィックの他の正常なトラフィックへの圧迫が低減される。
また、ルータ選択部104は、ID「#6」の優先条件「合流ルータ数」に従って、合流ルータ数の多さを優先して防御ルータ及び合流ルータの組み合わせを選択する。このため、ネットワーク9内の防御ルータの数は減るので、攻撃対象サーバ4宛てのトラフィックの転送処理の負荷が低減される。
(第3設定例)
図19は、第3設定例における条件DB133及びNW情報DB132を示す図である。条件DB133は、第2設定例の条件DB133からID「#2」の選択条件「ルータの負荷」を除いたものである。NW情報DB132は、第2設定例のNW情報DB132bとは使用率の値が異なる。なお、経路DB130及び隣接関係DB131は第2設定例と同一である。
図20は、第3設定例における防御ルータ及び合流ルータの組み合わせの選択方法を示す図である。符号Hd,Heで示される表は、上記の符号Ha〜Hcで示される表と同様である。
ルータ選択部104は、符号Hdで示されるように、隣接関係DB131に基づき、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせの候補を抽出する。
次にルータ選択部104は、符号Heで示されるように、ID「#5」の選択条件「リンク使用率」を満たす防御ルータ及び合流ルータの組み合わせの候補を残して、他の候補を削除する。このため、NW情報DB132が示す使用率が50(%)より大きいリンクIDの組み合わせは符号Hdの表から削除される。
次にルータ選択部104は、ID「#6」の優先条件「合流ルータ数」に従って、合流ルータ数が最大である防御ルータ及び合流ルータの組み合わせを選択する(点線枠参照)。このため、合流ルータ数が最大数(2個)のエッジルータ(#3)5及びエッジルータ(#2)5の組み合わせと、エッジルータ(#3)5及びエッジルータ(#4)5の組み合わせとが、防御ルータ及び合流ルータの組み合わせとして選択される。なお、他のエッジルータ(#1)5は防御ルータ単体の候補として残り最終的に防御ルータとして選択される。
図21は、第3設定例における経路設定時の経路DB130及び設定DB134を示す図である。ルータ選択部104は、ネットワーク9のグラフGfを生成する。グラフGfは、エッジルータ(#3)5に対する経路設定後のトラフィックの通信経路R15,R23,R56,R35,R43,R46を示す。合流ルータであるエッジルータ(#2)5の通信経路R25は、その対応する防御ルータであるエッジルータ(#3)5に向かう通信経路R23に切り替わる。
ルータ選択部104は、通信経路R23,R43を確認することで防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立しないため、ルータ選択部104は、経路DB130の更新及び設定DB134の登録を行う。
ルータ選択部104は、通信経路の切り替えに従って経路DB130を更新する。これにより、転送元ルータID「#2」の転送先ルータIDが「#5」から「#3」に更新される。
また、ルータ選択部104は、防御ルータ及び合流ルータの選択結果に従って設定DB134に防御ルータ及び合流ルータを登録する。これにより、ルータID「#1」及び「#3」の設定種別に防御設定が登録され、ルータID「#2」及び「#4」の設定種別に経路設定が登録される。また、ルータID「#2」及び「#4」の防御ルータIDに「#3」が登録される。
図22は、第3設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。図22において、図18と共通する処理には同一の符号を付し、その説明は省略する。
NW情報取得部103は、条件DB133に登録されたID「#5」の選択条件「リンク使用率」に応じて、エッジルータ5及び中間ルータ6からリンクの帯域情報を取得する(ステップSt11b)。このとき、NW情報取得部103は、帯域情報に基づきリンクごとの帯域の使用率を算出してNW情報DB132に登録する。
次にルータ選択部104は、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせの候補を隣接関係DBに基づき抽出する(ステップSt12a)。次にルータ選択部104は、防御ルータ及び合流ルータの組み合わせの候補を、ID「#5」の選択条件「リンク使用率」を満たす候補に限定する(ステップSt13b)。
その後、上記のステップSt14a以降の各処理が実行される。このようにして、選択処理は実行される。このように、ルータ選択部104は、ID「#5」の選択条件「リンク使用率」、ID「#7」の選択条件「ルータ間ホップ数」、及びID「#6」の優先条件「合流ルータ数」を用いて合流ルータ及び防御ルータを選択するため、第2設定例と同様の効果が得られる。
(第4設定例)
図23は、第4設定例の設定方法を示す図である。本例の経路DB130及び隣接関係DB131は第3設定例と同一であると仮定する。
条件DB133には、ID「#3」の選択条件「ルータの性能」、ID「#7」の選択条件「ルータ間ホップ数」、及びID「#1」の優先条件「ルータの種別」が登録されている。本例では、第1〜第3設定例とは異なり、時間的に変動するネットワーク9の状態とは無関係なパラメータの選択条件及び優先条件が用いられる。
一例として「ルータの性能」の高さは、エッジルータ5及び中間ルータ6のCPUの動作周波数を換算した指標値で表わされる。「ルータ性能」の高さの指標値は、一例として予めNW情報DB132としてHDD13に格納されている。
ID「#3」の選択条件「ルータの性能」は、指標値が5点以上のエッジルータ5及び中間ルータ6を条件としている。例えばエッジルータ(#1)5〜エッジルータ(#3)5の指標値は3点であり、エッジルータ(#4)5の指標値は5点であり、中間ルータ(#5)6及び中間ルータ(#6)6の指標値が7点であると仮定する。
このため、ルータ選択部104は、防御ルータの候補として、指標値が5点以上であるエッジルータ(#4)5、中間ルータ(#5)6、及び中間ルータ(#6)6を抽出する。また、ルータ選択部104は、ID「#1」の優先条件「ルータの種別」に従って、エッジルータ5を優先して防御ルータの候補を選択する。このため、ルータ選択部104は、エッジルータ(#4)5を選択する。
ルータ選択部104は、隣接関係DB131に基づき、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせを選択する。このため、防御ルータ及び合流ルータの組み合わせとして、エッジルータ(#4)5及びエッジルータ(#3)5が選択される。
また、ルータ選択部104は、残りの防御ルータの候補のうち、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせとして、中間ルータ(#5)6とエッジルータ(#1)5及びエッジルータ(#2)5を選択する。
ルータ選択部104は、ネットワーク9のグラフGgを生成する。グラフGgは、エッジルータ(#3)5に対する経路設定後のトラフィックの通信経路R15,R25,R56,R34,R46を示す。合流ルータであるエッジルータ(#3)5の通信経路R35は、その対応する防御ルータであるエッジルータ(#4)5に向かう通信経路R34に切り替わる。
ルータ選択部104は、通信経路R34,R46を確認することで防御ルータ及び合流ルータの間でトラフィックがループするか否かを判定する。防御ルータ及び合流ルータの間でトラフィックのループ関係が成立しないため、ルータ選択部104は、経路DB130の更新及び設定DB134の登録を行う。
ルータ選択部104は、通信経路の切り替えに従って経路DB130を更新する。これにより、転送元ルータID「#3」の転送先ルータIDが「#5」から「#4」に更新される。
また、ルータ選択部104は、防御ルータ及び合流ルータの選択結果に従って設定DB134に防御ルータ及び合流ルータを登録する。これにより、ルータID「#4」及び「#5」の設定種別に防御設定が登録され、ルータID「#1」〜「#3」の設定種別に経路設定が登録される。また、ルータID「#1」、「#2」、及び「#3」の防御ルータIDに「#5」、「#5」、及び「#4」が登録される。
図24は、第4設定例における防御ルータ及び合流ルータの選択処理のフローチャートである。図24において、図18と共通する処理には同一の符号を付し、その説明は省略する。
ルータ選択部104は、ID「#3」の選択条件「ルータの性能」に従って、指標値が5点以上であるエッジルータ5及び中間ルータ6を、防御ルータの候補として抽出する(ステップSt30)。次にルータ選択部104は、ID「#1」の優先条件「ルータの種別」に従って、防御ルータの候補にエッジルータ5が有るか否かを判定する(ステップSt31)。
ルータ選択部104は、エッジルータ5が有る場合(ステップSt31のYes)、エッジルータ5を防御ルータとして選択する(ステップSt32)。また、ルータ選択部104は、エッジルータ5が無い場合(ステップSt31のNo)、中間ルータ6を防御ルータとして選択する(ステップSt33)。次にルータ選択部104は、選択済みの防御ルータに応じて、ID「#7」の選択条件「ルータ間ホップ数」を満たす防御ルータ及び合流ルータの組み合わせを隣接関係DB131に基づき選択する(ステップSt34)。
次にルータ選択部104は、攻撃対象サーバ4宛てのトラフィックの通信経路から、防御ルータと合流ルータの間にトラフィックのループ関係が成立するか否かを判定する(ステップSt35)。ルータ選択部104は、ループ関係が成立する場合(ステップSt35のYes)、再びステップSt31以降の各処理を実行する。また、ループ関係が成立しない場合(ステップSt35のNo)、ステップSt17以降の各処理が実行される。また、合流ルータの候補が有る場合(ステップSt22のYes)、再びステップSt30以降の各処理が実行される。このようにして、選択処理は実行される。
このように、ルータ選択部104は、トラフィックの転送処理の性能の高さを優先して防御ルータを選択する。このため、防御ルータは、攻撃トラフィックの検出及び廃棄を迅速に行う性能を有するので、他の正常なトラフィックの転送処理への影響が低減される。
これまで述べたように、ルータ選択部104は、通信経路と、エッジルータ5及び中間ルータ6の接続関係とに基づいて、エッジルータ5及び中間ルータ6から、ネットワーク内のトラフィックの転送処理の負荷に関する選択条件が満たされ、かつ、トラフィックをループさせないように防御ルータ及び合流ルータを選択する。経路設定処理部106は、通信経路同士が防御ルータで合流するように合流ルータに対しトラフィックの通信経路を設定する。防御設定処理部105は、防御ルータに攻撃トラフィックの転送の抑制を指示する。
上記の構成によると、攻撃トラフィックの抑制を行う装置を防御ルータに限定することができ、さらにトラフィックのループの発生を抑制することができる。また、防御ルータ及び合流ルータは、ネットワーク9のトラフィックの転送処理の負荷に関する選択条件を満たすため、攻撃トラフィック以外の正常なトラフィックの転送処理の負荷の増加を抑制することができる。
したがって、NW管理サーバ1は、攻撃トラフィックの転送の抑制による他のトラフィックの転送処理の負荷の増加を抑制することができる。
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形して実施可能である。
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) 複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理装置において、
前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出する算出部と、
前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定する設定部と、
前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示する指示部と、
前記通信経路と、前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択する選択部とを有することを特徴とするネットワーク管理装置。
(付記2) 前記条件は、前記第1ルータのトラフィックの転送処理の負荷が閾値以下であることを特徴とする付記1に記載のネットワーク管理装置。
(付記3) 前記条件は、前記第1ルータと前記第2ルータの間の距離が閾値以下であることを特徴とする付記1または2に記載のネットワーク管理装置。
(付記4) 前記条件は、前記第1ルータと前記第2ルータの間のリンクの帯域の使用率が閾値以下であることを特徴とする付記1乃至3の何れかに記載のネットワーク管理装置。
(付記5) 前記条件は、前記第2ルータに対する前記通信経路の設定によって、前記第2ルータから前記攻撃対象装置までの距離の増加量が閾値以下であることを特徴とする付記1乃至4の何れかに記載のネットワーク管理装置。
(付記6) 前記条件は、前記第1ルータが前記複数のエッジルータの1つであることを特徴とする付記1乃至5の何れかに記載のネットワーク管理装置。
(付記7) 前記条件は、前記第1ルータのトラフィックを抑制する設定量が閾値以下であることを特徴とする付記1乃至6の何れかに記載のネットワーク管理装置。
(付記8) 前記選択部は、前記第2ルータの数の多さを優先して前記第1ルータ及び前記第2ルータを選択することを特徴とする付記1乃至7の何れかに記載のネットワーク管理装置。
(付記9) 前記選択部は、トラフィックの転送処理の性能の高さを優先して前記第1ルータを選択することを特徴とする付記1乃至8の何れかに記載のネットワーク管理装置。
(付記10) 複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理方法において、
前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出し、
前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定し、
前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示し、
前記通信経路と、前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択することを特徴とするネットワーク管理方法。
(付記11) 前記条件は、前記第1ルータのトラフィックの転送処理の負荷が閾値以下であることを特徴とする付記10に記載のネットワーク管理方法。
(付記12) 前記条件は、前記第1ルータと前記第2ルータの間の距離が閾値以下であることを特徴とする付記10または11に記載のネットワーク管理方法。
(付記13) 前記条件は、前記第1ルータと前記第2ルータの間のリンクの帯域の使用率が閾値以下であることを特徴とする付記10乃至12の何れかに記載のネットワーク管理方法。
(付記14) 前記条件は、前記第2ルータに対する前記通信経路の設定によって、前記第2ルータから前記攻撃対象装置までの距離の増加量が閾値以下であることを特徴とする付記10乃至13の何れかに記載のネットワーク管理方法。
(付記15) 前記条件は、前記第1ルータが前記複数のエッジルータの1つであることを特徴とする付記10乃至14の何れかに記載のネットワーク管理方法。
(付記16) 前記条件は、前記第1ルータのトラフィックを抑制する設定量が閾値以下であることを特徴とする付記10乃至15の何れかに記載のネットワーク管理方法。
(付記17) 前記第2ルータの数の多さを優先して前記第1ルータ及び前記第2ルータを選択することを特徴とする付記10乃至16の何れかに記載のネットワーク管理方法。
(付記18) トラフィックの転送処理の性能の高さを優先して前記第1ルータを選択することを特徴とする付記10乃至17の何れかに記載のネットワーク管理方法。
1 ネットワーク管理サーバ
4 攻撃対象サーバ
5 エッジルータ
6 中間ルータ
9 ネットワーク
10 CPU
102 経路算出部
104 ルータ選択部
105 防御設定処理部
106 経路設定処理部

Claims (10)

  1. 複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理装置において、
    前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出する算出部と、
    前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定する設定部と、
    前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示する指示部と、
    前記通信経路と、前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択する選択部とを有することを特徴とするネットワーク管理装置。
  2. 前記条件は、前記第1ルータのトラフィックの転送処理の負荷が閾値以下であることを特徴とする請求項1に記載のネットワーク管理装置。
  3. 前記条件は、前記第1ルータと前記第2ルータの間の距離が閾値以下であることを特徴とする請求項1または2に記載のネットワーク管理装置。
  4. 前記条件は、前記第1ルータと前記第2ルータの間のリンクの帯域の使用率が閾値以下であることを特徴とする請求項1乃至3の何れかに記載のネットワーク管理装置。
  5. 前記条件は、前記第2ルータに対する前記通信経路の設定によって、前記第2ルータから前記攻撃対象装置までの距離の増加量が閾値以下であることを特徴とする請求項1乃至4の何れかに記載のネットワーク管理装置。
  6. 前記条件は、前記第1ルータが前記複数のエッジルータの1つであることを特徴とする請求項1乃至5の何れかに記載のネットワーク管理装置。
  7. 前記条件は、前記第1ルータのトラフィックを抑制する設定量が閾値以下であることを特徴とする請求項1乃至6の何れかに記載のネットワーク管理装置。
  8. 前記選択部は、前記第2ルータの数の多さを優先して前記第1ルータ及び前記第2ルータを選択することを特徴とする請求項1乃至7の何れかに記載のネットワーク管理装置。
  9. 前記選択部は、トラフィックの転送処理の性能の高さを優先して前記第1ルータを選択することを特徴とする請求項1乃至8の何れかに記載のネットワーク管理装置。
  10. 複数のエッジルータと、前記複数のエッジルータの間に接続される複数の中間ルータとを含むネットワークを管理するネットワーク管理方法において、
    前記複数のエッジルータの各々が、前記ネットワークの外部から攻撃を受ける攻撃対象装置に転送するトラフィックの通信経路をそれぞれ算出し、
    前記通信経路同士が第1ルータで合流するように第2ルータに対しトラフィックの前記通信経路を設定し、
    前記第1ルータに前記攻撃のトラフィックの転送の抑制を指示し、
    前記通信経路と、前記複数のエッジルータ及び前記複数の中間ルータの接続関係とに基づいて、前記複数のエッジルータ及び前記複数の中間ルータから、前記ネットワーク内のトラフィックの転送処理の負荷に関する条件が満たされ、かつ、トラフィックをループさせないように前記第1ルータ及び前記第2ルータを選択することを特徴とするネットワーク管理方法。
JP2019158887A 2019-08-30 2019-08-30 ネットワーク管理装置及びネットワーク管理方法 Pending JP2021040190A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019158887A JP2021040190A (ja) 2019-08-30 2019-08-30 ネットワーク管理装置及びネットワーク管理方法
US16/984,719 US20210067490A1 (en) 2019-08-30 2020-08-04 Network management device, method for managing network, and network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019158887A JP2021040190A (ja) 2019-08-30 2019-08-30 ネットワーク管理装置及びネットワーク管理方法

Publications (1)

Publication Number Publication Date
JP2021040190A true JP2021040190A (ja) 2021-03-11

Family

ID=74680287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019158887A Pending JP2021040190A (ja) 2019-08-30 2019-08-30 ネットワーク管理装置及びネットワーク管理方法

Country Status (2)

Country Link
US (1) US20210067490A1 (ja)
JP (1) JP2021040190A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004248185A (ja) * 2003-02-17 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
CN107743109B (zh) * 2016-10-31 2020-09-04 腾讯科技(深圳)有限公司 流量攻击的防护方法、控制装置、处理装置及系统
US10673704B2 (en) * 2017-02-15 2020-06-02 Arista Networks, Inc. System and method of dynamic hardware policer allocation
US10724867B1 (en) * 2017-08-07 2020-07-28 United Services Automobile Association (Usaa) Systems and methods for position-based building guidance

Also Published As

Publication number Publication date
US20210067490A1 (en) 2021-03-04

Similar Documents

Publication Publication Date Title
US11637845B2 (en) Method and apparatus for malicious attack detection in a software defined network (SDN)
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
US10075338B2 (en) Relay control unit, relay control system, relay control method, and relay control program
US8141156B1 (en) Method and apparatus for mitigating routing misbehavior in a network
US10924413B2 (en) Transmission path determining method and apparatus
US7609629B2 (en) Network controller and control method with flow analysis and control function
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
US20110138463A1 (en) Method and system for ddos traffic detection and traffic mitigation using flow statistics
EP1705863A1 (en) Method and apparatus for traffic control of dynamic denial of service attacks within a communications network
RU2612599C1 (ru) Устройство управления, система связи, способ управления коммутаторами и программа
JP5870009B2 (ja) ネットワークシステム、ネットワーク中継方法及び装置
JP6433865B2 (ja) 通信装置
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
JPWO2006043371A1 (ja) 防御装置、防御方法および防御プログラム並びにネットワーク攻撃防御システム
US8327444B2 (en) Suspicious autonomous system path detection
US20170078222A1 (en) Control device and method of controlling a plurality of network switches
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
KR101352553B1 (ko) 플로우별 통계정보를 이용한 분산 서비스 거부 공격(ddos) 탐지 및 트래픽 경감 방법 및 그 시스템
JP2021040190A (ja) ネットワーク管理装置及びネットワーク管理方法
JP4398316B2 (ja) ネットワーク管理装置、ネットワーク管理方法、およびプログラム
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
JP2021016104A (ja) ネットワーク管理装置、ネットワーク管理方法、及びネットワーク管理プログラム
CN111885092A (zh) 一种边缘节点的DDoS攻击检测方法、处理方法及SDN
JP6441721B2 (ja) 制御装置、制御方法及びプログラム
CN111556054B (zh) 针对sdn的虫洞攻击的检测方法