JP3699941B2 - Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium - Google Patents

Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium Download PDF

Info

Publication number
JP3699941B2
JP3699941B2 JP2002081904A JP2002081904A JP3699941B2 JP 3699941 B2 JP3699941 B2 JP 3699941B2 JP 2002081904 A JP2002081904 A JP 2002081904A JP 2002081904 A JP2002081904 A JP 2002081904A JP 3699941 B2 JP3699941 B2 JP 3699941B2
Authority
JP
Japan
Prior art keywords
signature
packet
attack
traffic
suspect
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002081904A
Other languages
Japanese (ja)
Other versions
JP2003283554A (en
Inventor
エリック・チェン
仁 冨士
大 柏
Original Assignee
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電信電話株式会社 filed Critical 日本電信電話株式会社
Priority to JP2002081904A priority Critical patent/JP3699941B2/en
Publication of JP2003283554A publication Critical patent/JP2003283554A/en
Application granted granted Critical
Publication of JP3699941B2 publication Critical patent/JP3699941B2/en
Application status is Expired - Fee Related legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Description

【0001】 [0001]
【発明の属する技術分野】 BACKGROUND OF THE INVENTION
本発明は、ネットワークに接続された機器をネットワーク経由での攻撃から防御するための、分散型サービス不能攻撃の防止方法およびその装置ならびにそのコンピュータプログラムに関するものである。 The present invention, for protecting the device connected to the network from attacks over a network, to a prevention method and apparatus, and the computer program of distributed denial of service attacks.
【0002】 [0002]
【従来の技術】 BACKGROUND OF THE INVENTION
従来、TCP/IP(Transmission control protocol/internet protocol)などのネットワークプロトコルは、オープンとなっており、互いに信用されるグループで使われるように設計されている。 Conventionally, TCP / IP (Transmission control protocol / internet protocol) network protocols, such as, is an open, are designed to be used in groups which are trusted each other. このため、コンピュータのオペレーティングシステムでは、大量の通信トラフィック(データ等)を攻撃目標のサーバに送信することによって、ネットワークの伝送帯域やサーバの資源を消費して正当な利用者の利用を妨げようとするサービス不能攻撃(以下、「DoS(Denial of Service)攻撃」と記す)を防ぐことは考慮されていない。 Therefore, in the operating system of the computer, by sending a large amount of communication traffic (data) to the server of attack targets, and consumes transmission bandwidth and server resources of the network and try to impede the use of legitimate users denial of service attacks (hereinafter referred to as "DoS (denial of service) attack" hereinafter) to prevent has not been taken into account. このようなDoS攻撃に対する防御の方法は増えてきているが、複数箇所から同時に連携してDoS攻撃を行う「DDoS(Distributed Denial of Service)攻撃」に対する防御の方法は未だ効果的な方法が開発されていない。 Such a method of protection against DoS attacks has been increasing, at the same time a method of defense against that cooperation to carry out a DoS attack "DDoS (Distributed Denial of Service) attack" is still an effective way from a plurality of locations have been developed not.
【0003】 [0003]
このDDoS攻撃に対する防御の方法としては、シスコ社が提案したIngress Filter(RFC2267)とUUNET社のCenter Trackがある。 As a method of defense against this DDoS attack, there is a Center Track of UUNET, Inc. and Ingress Cisco's proposed Filter (RFC2267). 前者は、DDoS攻撃の際に良く使われる送信元アドレスの詐称をチェックする機構であり、ローカルエリアネットワークがインターネットに接続されている境界であるルータにインストールされ、ローカルエリアネットワークからインターネットに向かって送信されるパケットの送信元アドレスの正統性をチェックし、ローカルエリアネットワークに割り当てられたアドレスと整合していない場合には、そのパケットをインターネットに送信せずに破棄する。 The former is a mechanism for checking the good spoofing the source address to be used when the DDoS attack, is installed in the router which is the boundary of a local area network is connected to the Internet, transmission towards the local area network to the Internet to check the source address of legitimacy of packets, if not aligned with the address assigned to the local area network discards without transmitting the packet to the Internet. 一方後者は、インターネットのルータに診断機能を付加し、DDoS攻撃の送信元を追跡する技術である。 While the latter adds diagnostics to an Internet router, a technique for tracking the source of DDoS attacks.
【0004】 [0004]
また、DDoS攻撃を検出したノードより攻撃元に近い上流ノードで攻撃トラヒックを制限するための技術としては、本出願の発明者等が出願済みの分散型サービス不能攻撃の防止方法(特願2001−274016)、AT&T社論文(R.Mahajan, SMBellovin, S.Floyd, J.Ioannidis, V.Paxson and S.Shenker: “Controlling high bandwidth aggregates in the network - extended version”(2001))、IDIP(Intruder Detection and Isolation Protocol)(D.Schnackenberg, K.Djahandari and D.Sterne: “Infrastructure for intrusion detection and response”, Proceedings of the DARPA Information Survivability Conference and Exposition(DISCEX), South Carolina(2000))などがある。 Further, as a technique for limiting the attack traffic at an upstream node closer to the attack source from the detected node DDoS attacks, the applicant of the inventors, the method for preventing application already distributed denial of service (Japanese Patent Application No. 2001- 274016), AT & T Corp. paper (R.Mahajan, SMBellovin, S.Floyd, J.Ioannidis, V.Paxson and S.Shenker: "Controlling high bandwidth aggregates in the network - extended version" (2001)), IDIP (Intruder Detection and Isolation Protocol) (D.Schnackenberg, K.Djahandari and D.Sterne: "Infrastructure for intrusion detection and response", Proceedings of the DARPA Information Survivability Conference and Exposition (DISCEX), South Carolina (2000)), and the like. AT&T社論文及びIDIPは、攻撃検出イベントを攻撃経路の上流ノードへ伝達し、上流ノードで伝送帯域制限を行うための方式やプロトコルである。 AT & T Corp. papers and IDIP is to transmit the attack detection event to the upstream node attack pathway, a method or protocol for transmitting band-limited by the upstream node. 本出願の発明者等が出願済みの分散型サービス不能攻撃の防止方法は、ルータにインストールされている移動型パケットフィルタリングプログラムが、自らのプログラムの複製を作成し、その複製を上流ルータ移動させ、各上流ルータへ移動してきた移動型パケットフィルタリングプログラムは、それぞれDDoS攻撃者のホストから攻撃目標のサーバに向けて送られているトラフィック全てを通過させないようする技術である。 Prevention method of the present application inventors have been filed in the distributed denial of service attacks, mobile packet filtering program installed in the router, and creates a copy of its own program, the so replicated moving upstream router, mobile packet filtering program has moved to the upstream router are each technique for so as not to pass any traffic that is directed towards a host of DDoS attacker server attack target.
【0005】 [0005]
【発明が解決しようとする課題】 [Problems that the Invention is to Solve
上述したIngress Filter(RFC2267)は、送信元アドレスを詐称してDDoS攻撃をすることを禁止するための技術であり、攻撃を受ける側が防御するために使う技術ではない。 Above Ingress Filter (RFC2267) is a technique for prohibiting that DDoS attacks misrepresents the source address, not a technique used to receive side to defend against attacks. また、Center Trackは、攻撃を受けた被害者が攻撃者を特定することを助ける技術ではあるが、実際に攻撃を受けているときにその攻撃を防御することはできない。 In addition, Center Track is the victim of an attack is in the technology helps to identify the attacker, it is not possible to defend against the attack when you are taking the actual attack.
【0006】 [0006]
さらに、上述したIngress Fileter(RFC2267)は、正しいIP(internet protocol)アドレスが送信元になっているIPパケットによる攻撃にはまったく対処できない、攻撃元になっているローカルエリアネットワークとインターネットとの境界であるルータにIngress Filterが具備されていない場合はまったく攻撃の防御に役に立たないという問題点がある。 Furthermore, the above-mentioned Ingress Fileter (RFC2267) is the correct IP (internet protocol) address is not at all possible address the attack by IP packet that is a transmission source, the boundary between local area networks and the Internet have become attack source If there is a router in the Ingress Filter it has not been provided there is a problem that quite useless to the defense of the attack. また、上述したCenter Trackは、複数箇所に分散された分散型DoSの攻撃元になっているコンピュータやそのコンピュータが接続されているネットワークの管理者に連絡をしないと、攻撃そのものを止めることはできないため、実質的には攻撃を止めるまでに何時間、あるいは何日もの時間がかかってしまうという問題点がる。 Further, Center Track described above, unless the contact the administrator of the network to which the computer and the computer that is a distributed DoS attack sources distributed in a plurality of locations are connected, can not stop the attack itself Therefore, substantially to what hours to stop the attack, or what day also of wants problem of time it takes.
【0007】 [0007]
また、この出願の同発明者等が出願済みの分散型サービス不能攻撃の防止方法やAT&T論文では、IPパケットのデータフィールドやパケットの宛先情報など、決められた属性のみで攻撃パケットを特定するため、被攻撃者の要求する攻撃属性を反映できないという問題がある。 Further, the inventors of this application in the prevention method and AT & T papers filed already distributed denial of service, such as data fields and packet destination information of the IP packet, to identify only the attack packet attributes determined , there is a problem that can not reflect the attack attribute to request of the attacker. さらに、これらの分散型サービス不能攻撃の防止方法、AT&T論文及びIDIPにおては、攻撃パケットと特定されたパケットを次ノードへ送出せず、全て破棄してまう。 Furthermore, a method to prevent these distributed denial of service, in our the AT & T papers and IDIP, without providing the identified as attack packets packet to the next node, Mau and discarded. よって、標的となるサーバのダウンやルータ装置の過負荷等によりサービスが停止する一次被害を防止することはできるが、正規利用者からのパケットを攻撃パケットと識別する方法がないため、誤って正規利用者からの正規パケットも攻撃パケットとして破棄してしまう可能性があり、正規利用者の利用性が低下するといった二次被害を引き起こしてしまうという問題がある。 Therefore, although the service by overload or the like of the server down or router device as a target can be prevented primary damage to stop, because there is no way to identify the packets from authorized users and attack packets incorrectly regular regular packet from the user also may result in discarded as attack packets, there is a problem that use of the authorized user will cause secondary damage may deteriorate.
【0008】 [0008]
本発明は、上記事情を考慮してなされたものであり、その目的は、正規利用者へのサービス性を低下させる被害を軽減しながら上流ノードでDDoS攻撃を防御できる、分散型サービス不能攻撃防止方法及び装置ならびにプログラムを提供することにある。 The present invention has been made in view of these circumstances, and an object can defend a DDoS attack at an upstream node while reducing the damage to lower the serviceability of the authorized user, prevent distributed denial of service to provide a method and apparatus and a program.
【0009】 [0009]
【課題を解決するための手段】 In order to solve the problems]
この発明は、上記の課題を解決すべくなされたもので、請求項1に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANと、前記LANおよびネットワークの間に介挿されたゲート装置とを有するネットワークシステムにおいて、 The present invention has been made to solve the above problems, the invention according to claim 1, a network formed by connecting a plurality of communication devices in a mesh shape, and a computer and LAN is protective object, the in a network system having a through interpolated gate device between the LAN and the network,
前記ゲート装置は、 Said gate device,
通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックし、 Communication traffic is checked whether they meet the detection condition of a predetermined suspicious offensive packet,
合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成して上流の前記通信装置へ送信し、 When detecting the matched traffic, and generates and transmits a suspect signature that identifies the detected the suspicious offensive packet to the upstream of the communication device,
以後、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行い、 Hereinafter, a process of limiting the transmission band of the suspicious offensive packet identified by the suspect signature,
前記通信装置は、 The communication device,
下流のゲート装置または通信装置から受信した前記容疑シグネチャを上流の通信装置へ送信すると共に、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行い、 Sends the suspect signature received from the downstream of the gate device or a communication device to the upstream communication device, performs a process of limiting the transmission band of the suspicious offensive packet identified by the suspect signature,
前記ゲート装置及び前記通信装置は、 Said gate device and the communication device,
前記容疑シグネチャで識別される攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出し、前記攻撃トラヒックを構成する攻撃パケットを特定して、以後特定された前記攻撃パケットの伝送帯域をさらに制限する処理を行い Processing said suspect signature by analyzing the traffic of attack suspect packets identified detects an attack traffic, the attack traffic to identify the attack packets constituting, to further limit the transmission band of the attack packets identified hereafter It was carried out
前記ゲート装置は、正規利用者の端末装置からの通信パケットの条件である予め決められた正規条件を上流の通信装置へ送信すると共に、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、 Said gate device is configured to transmit the predetermined normal condition is a condition of a communication packet from a legitimate user of the terminal device to the upstream communication device, identify the legitimate packets based on said suspect signature and the normal condition a regular signature to generate,
以後、前記正規シグネチャによって識別される正規パケットの伝送帯域制限を解除する処理を行い、 Hereinafter, a process for releasing the transmission band limiting regular packet identified by said normal signature,
前記通信装置は、下流のゲート装置または通信装置から受信した前記正規条件を上流の通信装置へ送信すると共に、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、 The communication device is configured to transmit the normal condition received from the downstream of the gate device or a communication device to the upstream communication device, generates a regular signature for identifying the normal packet based on said suspect signature and the normal condition,
以後、正規シグネチャによって識別される正規パケットの伝送帯域制限を解除する処理を行う Thereafter, processing is performed for releasing the transmission band limiting regular packet identified by the regular signatures
ことを特徴とする分散型サービス不能攻撃防止方法である。 It is a distributed denial of service attack prevention method comprising.
【0013】 [0013]
請求項に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置において、 According to a second aspect of the invention, a network formed by connecting a plurality of communication devices in a mesh shape, the gate device interposed between the computer and LAN is protective object,
分散型サービス不能攻撃の攻撃容疑パケットの検出条件を記憶するパケット検出条件記憶部と、 A packet detection condition storing unit for storing a detection condition attack suspect packets distributed denial of service,
入力される通信パケットをチェックし、前記パケット検出条件記憶部が記憶する攻撃容疑パケットの検出条件を基に攻撃容疑パケットの発生を検出するトラヒック監視手段と、 Check the communication packets input, and traffic monitoring means for the packet detection condition storing section detects the occurrence of a suspicious offensive packet based on the detected condition of the suspicious offensive packet for storing,
前記トラヒック監視手段によって検出された前記攻撃容疑パケットの伝送帯域を制限する帯域制御手段と、 And bandwidth control means for limiting the transmission band of the attack suspect packets detected by the traffic monitoring means,
前記攻撃容疑パケットの検出条件を基に前記攻撃容疑パケットを識別する容疑シグネチャを生成するシグネチャ生成手段と、 And signature generating means for generating a suspect signature identifying the suspicious offensive packet based on the detected condition of the suspicious offensive packet,
前記容疑シグネチャを上流の通信装置に対して送信するシグネチャ送信手段と、を備え、 And a signature transmitting means for transmitting the suspect signature to the upstream communication device,
前記トラヒック監視手段は、入力される前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出し、 It said traffic monitoring means analyzes the traffic of the suspicious offensive packet input to detect attacks traffic,
前記帯域制御手段は、前記攻撃トラヒックを構成する攻撃パケットを特定し、特定された前記攻撃パケットの伝送帯域をさらに制限し It said band control means identifies the attack packets constituting the attack traffic, further limiting the transmission band of the identified said attack packets
前記パケット検出条件記憶部は、さらに、通信パケットが正規利用者の端末装置からに通信パケットである条件を示す正規条件を記憶し、 The packet detection condition storing unit further communications packet stores normal condition indicating a condition is the communication packet from the terminal device authorized user,
前記シグネチャ生成手段は、前記容疑シグネチャと前記正規条件とを基に正規パケットを識別する正規シグネチャを生成し、 Said signature generating means generates a normal signature that identifies the normal packet based on said normal condition and the suspect signature,
前記帯域制御手段は、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除し、 Said band control means cancels the transmission band limiting regular packet identified by said normal signature,
前記シグネチャ送信手段は、前記正規条件を前記上流の通信装置に対して送信する The signature transmitting means transmits the normal conditions for the upstream communication device
ことを特徴とするゲート装置である。 It is a gate apparatus according to claim.
【0016】 [0016]
請求項に記載の発明は、防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置において、 The invention of claim 3 is a communication device constituting a network computer and LAN are connected via a gate device is protective object,
下流のゲート装置あるいは通信装置から容疑シグネチャを受信するシグネチャ受信手段と、 A signature receiving means for receiving suspect signature from the downstream of the gate device or the communication device,
前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限する帯域制御手段と、 And bandwidth control means for limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
前記容疑シグネチャを上流の通信装置に送信するシグネチャ送信手段と、 And signatures transmitting means for transmitting the suspect signature upstream of the communication device,
入力される前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するトラヒック監視手段と、 A traffic monitoring unit that detects an attack traffic by analyzing traffic of the suspicious offensive packet input,
を備え、 Equipped with a,
前記帯域制御手段は、前記攻撃トラヒックを構成する攻撃パケットを特定し、特定された前記攻撃パケットの伝送帯域をさらに制限し It said band control means identifies the attack packets constituting the attack traffic, further limiting the transmission band of the identified said attack packets
前記シグネチャ受信手段は、前記下流のゲート装置あるいは通信装置から正規条件を受信し、 The signature receiving means receives a regular condition from the downstream of the gate device or the communication device,
前記帯域制御手段は、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除し、 Said band control means, said normal conditions and the suspect signature generating regular signature for identifying the normal packet based, to release the transmission band limiting regular packet identified by said normal signature,
前記シグネチャ送信手段は、前記正規条件を前記上流の通信装置に送信することを特徴とする通信装置である。 The signature transmission means is a communication apparatus characterized by transmitting the normal condition to the upstream communication device.
【0019】 [0019]
請求項に記載の発明は、複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムであって、 According to a fourth aspect of the invention, there a computer program that runs on a gate device that is interposed between the network formed by connecting a plurality of communication devices in a mesh shape, a computer and LAN is protective subject Te,
入力される通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックするステップと、 A step of communication traffic to be input to check whether they meet the predetermined conditions for detecting suspicious offensive packet,
合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成するステップと、 When detecting the matched traffic, generating a suspect signature that identifies the detected the suspicious offensive packet,
予め決められた正規条件と前記容疑シグネチャを基に正規パケットを識別する正規シグネチャを生成するステップと、 Generating a normal signature that identifies the normal packet predetermined normal conditions based on the suspicion signature,
前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 And releasing the transmission band limiting regular packet identified by said normal signature,
前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラムである。 A distributed denial of service attack prevention program for causing a computer to execute the.
【0020】 [0020]
請求項に記載の発明は、 防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置上で実行されるコンピュータプログラムであって、 The invention of claim 5 is a computer program executed on a communication device constituting a network computer and LAN are connected via a gate device is protective object,
下流のゲート装置あるいは通信装置から容疑シグネチャと正規条件とを受信するステップと、 Receiving a suspect signature and regular conditions from the downstream of the gate device or the communication device,
前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを作成し、作成された前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 A step of said normal conditions and the suspect signature to create a regular signature for identifying the normal packet based, releasing the transmission band limiting regular packet identified by said normal signature created,
前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラム。 Distributed denial of service attack prevention program for causing a computer to execute the.
【0021】 [0021]
請求項に記載の発明は、 複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体であって、 The invention according to claim 6, recording a network formed by connecting a plurality of communication devices in a mesh shape, a computer program executed on a gate device interposed between the computer and LAN is protective subject a computer-readable recording medium,
入力される通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックするステップと、 A step of communication traffic to be input to check whether they meet the predetermined conditions for detecting suspicious offensive packet,
合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成するステップと、 When detecting the matched traffic, generating a suspect signature that identifies the detected the suspicious offensive packet,
予め決められた正規条件と前記容疑シグネチャを基に正規パケットを識別する正規シグネチャを生成するステップと、 Generating a normal signature that identifies the normal packet predetermined normal conditions based on the suspicion signature,
前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 And releasing the transmission band limiting regular packet identified by said normal signature,
前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体である。 A recording medium, characterized by the processes of the recording distributed denial of service attack prevention programs to be executed by a computer.
【0022】 [0022]
請求項に記載の発明は、防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置上で実行されるコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体であって、 The invention of claim 7 is a computer-readable recording medium recording a computer program executed on a communication device constituting a network computer and LAN are connected via a gate device is protective subject ,
下流のゲート装置あるいは通信装置から容疑シグネチャと正規条件とを受信するステップと、 Receiving a suspect signature and regular conditions from the downstream of the gate device or the communication device,
前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 A step of said normal conditions and the suspect signature generating regular signature for identifying the normal packet based, releasing the transmission band limiting regular packet identified by said normal signature,
前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体である。 A recording medium, characterized by the processes of the recording distributed denial of service attack prevention programs to be executed by a computer.
【0023】 [0023]
【発明の実施の形態】 DETAILED DESCRIPTION OF THE INVENTION
以下図面を参照し、この発明の一実施の形態について説明する。 Hereinafter with reference to the accompanying drawings, a description will be given of an embodiment of the present invention. 図1は、同実施の形態を適用したネットワークの構成図である。 Figure 1 is a block diagram of a network with the same embodiment. この図において、2000はサーバ、2001はこの発明の一実施形態によるゲート装置(ゲートウェイ)、2002〜2006はこの発明の一実施形態による通信装置(ルータ)、2007〜2010は端末装置である。 In this figure, 2000 is a server, 2001 is a gate apparatus according to an embodiment of the present invention (gateway), 2002-2006 communication apparatus according to an embodiment of the present invention (router), 2007-2010 is a terminal device. DDoS攻撃の被攻撃者のサーバ2000が収容されているLAN(ローカルエリアネットワーク)は、ゲート装置2001によって外部のネットワークに接続されている。 LAN server 2000 of the attacker DDoS attacks are housed (local area network) is connected to an external network by a gate device 2001. そして、ネットワークは通信装置2002、2003、2004、2005、2006を有している。 The network has a communication device 2002,2003,2004,2005,2006. DDoS攻撃者によって操作された端末装置2007、2008、2009が、攻撃パケットを被攻撃者のサーバ2000に向かって送信すると、攻撃パケットが被攻撃者収容LANに集中して混雑が発生することにより、ゲート装置2001の資源を消費してしまい、DDoS攻撃者とは無関係な正規利用者の端末2010からサーバ2000に接続できなくなるという現象が起こる。 Terminal 2007,2008,2009 operated by DDoS attacker, when an attack packet and transmits toward the server 2000 of the attacker by attack packets congestion concentrated on the attacker accommodation LAN occurs, will consume the resources of the gate device 2001, the phenomenon occurs that can not be connected to the server 2000 from an unrelated regular user of the terminal 2010 and the DDoS attacker.
【0024】 [0024]
ゲート装置2001は、予めサーバ2000を保有する利用者が設定した攻撃容疑検出条件及び正規条件を記憶している。 The gate device 2001 stores an attack suspect detection conditions and normal conditions the user to pre possess server 2000 is set. 図2に攻撃容疑検出条件の設定の例を、図3に正規条件の設定の例を示す。 The example of setting the suspicious offensive detection condition 2 shows an example of the setting of the normal condition in Fig. さらに、ゲート装置2001は、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値を記憶している。 Furthermore, the gate device 2001 stores a preset transmission band limiting value by the owner of the LAN server 2000 and server 2000 defense object is accommodated.
【0025】 [0025]
図2における攻撃容疑検出条件は、検出属性、検出閾値及び検出間隔の組からなる3組のレコードで構成される。 Attack suspect detection condition in Figure 2, detecting attribute consists of three sets of records consisting of a set of detection thresholds and detection interval. ここでは、番号はレコードを特定するために便宜上使用される。 Here, numbers are used for convenience to identify the record. 攻撃容疑検出条件は、受信パケットが攻撃パケットである可能性がある攻撃容疑パケットを検出するために使用され、3組のレコードの内のいずれかのレコードの条件にトラヒックが一致した場合、このトラヒックの通信パケットは攻撃容疑パケットであると認識される。 Attack suspect detection condition, if the received packet is used to detect suspicious offensive packet that may be a attack packets, traffic matches any record conditions of the three sets of records, the traffic the communication packet is recognized as being suspicious offensive packet. 検出属性は、IPパケットの第3/4層属性種別とそれら属性値の組を指定するが、第3層属性であるIPの「Destination IP Address(宛先IPアドレス)」という属性種別は必ず指定される。 Detection attribute is to specify a set of the 3/4 layer attribute items and their attribute values ​​of IP packets, attribute type is always specified as the IP is a third layer attribute "Destination IP Address (Destination IP Address)" that. 図2において、番号1のレコードの検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.1/32」であり(dst=192.168.1.1/32)、IPの上位層(第4層)のプロトコル種別を示す「Protocol(プロトコル)」が「TCP」であり(Protocol=TCP)、かつ、第4層プロトコルがどのアプリケーションの情報かを示す「Destination Port(宛先ポート番号)」が「80」である(Port=80)という属性種別とそれら属性値の組で指定される。 2, the detection attributes of the number 1 records a "Destination IP Address (Destination IP Address)" is "192.168.1.1/32" (dst = 192.168.1.1 / 32), IP upper layer (4 a shows a protocol type layer) "protocol (protocol)" is "TCP" (protocol = TCP), and the fourth layer protocol indicates which application information "destination port (destination port number)" is " 80 "is a (Port = 80) that is specified by a set of attribute items and their attribute values. 番号2のレコード検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.2/32」であり(dst=192.168.1.2/32)、かつ、「Protocol(プロトコル)」が「UDP(User Datagram protocol)」である(Protocol=UDP)という属性種別とそれら属性値の組で指定される。 Record detection attributes of the number 2, "Destination IP Address (Destination IP Address)" is "192.168.1.2/32" (dst = 192.168.1.2 / 32), and "Protocol (Protocol)" is "UDP ( a User Datagram protocol) "(Protocol = UDP) that is specified by a set of attribute items and their attribute values. また、番号3のレコード検出属性は、「Destination IP Address(宛先IPアドレス)」が「192.168.1.0/24」である属性種別とその属性値で指定される。 Further, the record detected attribute number 3, "Destination IP Address (Destination IP Address)" is designated by the attribute type and the attribute value is "192.168.1.0/24". 検出閾値は、同じレコードで指定される検出属性を持つ受信パケットのトラヒックを攻撃容疑トラヒックとして検出するための最低の伝送帯域を、検出間隔は同じく最低の連続時間を示している。 Detection threshold, a minimum transmission bandwidth of for detecting traffic received packet with the detected attribute specified by the same record as an attack suspect traffic detection interval is also the lowest of the continuous time.
【0026】 [0026]
図3における正規条件は、IPパケットの第3/4層属性種別とそれら属性値の組からなる複数のレコードで構成される。 Regular condition in FIG. 3 includes a plurality of records consisting of a set of the 3/4 layer attribute items and their attribute values ​​of IP packets. ここでは、番号はレコードを特定するために便宜上使用される。 Here, numbers are used for convenience to identify the record. 正規条件は、受信パケットが正規利用者の端末装置からのパケットである、すなわち正規パケットである条件であり、たとえ、図2の攻撃容疑検出条件に合致したパケットであっても、正規条件に合致する場合は正規パケットと判断される。 Normal conditions, the received packet is a packet from the terminal device authorized user, i.e. a condition is a normal packet, even if a packet matches the attack suspect detection condition of FIG. 2, match the normal condition If it is determined to regular packet. 図3において、番号1のレコードの検出属性は、IPの「Source IP Address(送信元IPアドレス)」が「172.16.10.0/24」であることを指定し(src=172.16.10.0/24)、番号2のレコードの検出属性はIP上のサービス品質を示す「Type of Service(サービスタイプ)」が「01(ヘキサ)」であることを指定している(TOS=0x01)。 3, the detection attributes of the numbers 1 record specifies that the IP of the "Source IP Address (Source IP Address)" is "172.16.10.0/24" (src = 172.16.10.0 / 24), record detection attributes of the number 2 is specifies that shows the quality of service over IP "type of service (service type)" is "01 (hexa)" (TOS = 0x01). この正規条件には、例えば、サーバ所有者の会社の支店や、関連会社など、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者が正規ユーザであると認識しているネットワークの送信元IPアドレスなどが設定される。 The normal condition, for example, and branches of the server owner company, affiliated company, etc., the owner of the LAN which the server 2000 and server 2000 defense object being accommodated in the network that is recognized as a legitimate user such as the source IP address is set.
【0027】 [0027]
また、ゲート装置2001及び通信装置2002〜2006は、攻撃容疑パケットのトラヒックを分析し、不正トラヒックを検出するための不正トラヒック検出条件を保有する。 The gate device 2001 and the communication device 2002-2006 analyzes the traffic attack suspect packet, carrying the illegal traffic detection condition for detecting fraudulent traffic. 図4に不正トラヒック検出条件の設定の例を示す。 An example of a set of fraud traffic detection condition in FIG. ここでは、番号はレコードを特定するために便宜上使用される。 Here, numbers are used for convenience to identify the record. 不正トラヒック条件は、既知のDDoS攻撃の複数のトラヒックパターンから構成され、攻撃容疑パケットのトラヒックがいずれかのトラヒックパターンに合致した場合に、不正トラヒックであると認識される。 Unauthorized traffic conditions, is composed of a plurality of traffic patterns of known DDoS attacks, if the traffic of attack suspect packet matches any of the traffic pattern is recognized as invalid traffic. 図4の番号1の不正トラヒック条件は、「伝送帯域T1Kbps以上のパケットがS1秒以上連続送信されている」というトラヒックパターンを示している。 Incorrect traffic condition number 1 in FIG. 4 shows a traffic pattern of "packets over the transmission band T1Kbps is continuously transmitted over S1 seconds". また、番号2の不正トラヒック条件は、「伝送帯域T2Kbps以上、第3層プロトコルであるICMP(Internet Control Message Protocol)上のエコー応答(Echo Reply)メッセージのパケットがS2秒以上連続送信されている」というトラヒックパターンを示している。 Also, unauthorized traffic conditions No. 2, "transmission band T2Kbps above, ICMP packets echo reply (Echo Reply) message on the (Internet Control Message Protocol) is transmitted continuously or S2 seconds which is the third layer protocol" It shows the traffic patterns that. 番号3の不正トラヒック条件は、「伝送帯域T3Kbps以上、データが長すぎるためパケットに含まれるデータは複数IPパケットに分割して送信していることを示すフラグメントパケットがS3秒以上連続送信されている」というトラヒックパターンを示している。 Incorrect traffic condition number 3, "transmission band T3Kbps above, the data included in the packet for data is too long is continuously transmitted fragment packet or S3 seconds indicating that it is transmitted in a plurality IP packets It shows the traffic pattern of ".
【0028】 [0028]
ここで、ゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルを説明する。 Here will be described the bandwidth control model provided in the gate device 2001 and a communication device 2002-2006. 図5は本実施の形態におけるゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルを示す。 Figure 5 shows a bandwidth control model provided in the gate device 2001 and the communication device 2002-2006 in this embodiment. 帯域制御モデルは、入力パケットをクラス別に分類し、このクラスに従ってパケットの出力帯域制御を実現するためのモデルを示す。 Bandwidth control model classifies input packets into classes, shows a model for realizing the output bandwidth control packet according to this class. フィルタ2021は、入力されたパケットを正規クラス2022、容疑クラス2026、不正クラス2024の3つのクラスに分類する。 Filter 2021 classifies the input packets regular class 2022, alleged class 2026, the three classes of fraud class 2024. なお、このフィルタ2021の分類アルゴリズムは後述する。 Incidentally, classification algorithm of the filter 2021 will be described later. 正規クラス2022はデフォルトクラスであり、正規クラス2022に分類されたパケットは正規キュー2023につながれ、伝送帯域を制限せずに出力される。 Regular class 2022 is the default class, packets are classified into regular class 2022 is connected to the normal queue 2023 is output without limiting the transmission band. 容疑クラス2026に分類されたパケットは、防御対象のサーバ2000及びサーバ2000が収容されているLAN毎に発生する容疑キュー2027につながれ、防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値に出力伝送帯域が制限される。 Been packets classified as suspect class 2026, linked to alleged queue 2027 that generated every LAN server 2000 and server 2000 defense object is accommodated, owned LAN server 2000 and server 2000 defense subject is accommodated output transmission band is limited to a preset transmission band limiting value by the user. サーバ2000を収容しているゲート装置2001の容疑キューの伝送帯域制限値は防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値を使用するが、上流の通信装置2002〜2006では、下流のルータから受信した伝送帯域制限値を使用する。 Transmission band limiting value suspect queue gate device 2001 housing the server 2000 uses a preset transmission band limiting value by the owner of the LAN which the server 2000 and server 2000 defense target are accommodated but, in upstream communication device 2002-2006, using the transmission band limiting value received from the downstream router. なお、容疑シグネチャの生成については後述する。 Will be described later generates the suspect signature. 不正クラス2024に分類されたパケットは、不正キュー2025につながれ、サーバ所有者やネットワークのポリシーに関わらず、0または0に近い伝送帯域に制限される。 Packets classified incorrect class 2024 is connected to the incorrect queue 2025, regardless of the server owner or network policy is limited to the transmission band or near zero.
【0029】 [0029]
続いて、ゲート装置2001及び通信装置2002〜2006が伝送帯域制限を実行するための、フィルタ2021の分類アルゴリズムについて説明する。 Then, for the gate device 2001 and a communication device 2002-2006 to perform the transmission band limiting is described classification algorithm of the filter 2021. ゲート装置2001及び通信装置2002〜2006は、入力される全ての通信パケットをこの分類アルゴリズムで分類する。 Gate device 2001 and the communication device 2002-2006 classifies all communication packets input by the classification algorithm.
【0030】 [0030]
図6はフィルタ2021における分類アルゴリズムを示す。 Figure 6 shows a classification algorithm in the filter 2021. まず、ステップS3001において、フィルタ2021は、入力されたパケットが正規シグネチャに合致するか判断する。 First, in step S3001, the filter 2021, the input packet to determine whether to match the normal signature. 正規シグネチャに合致した場合には、パケットは正規クラス2022に分類される(ステップS3002)。 If that matches the regular signature packet is classified into a regular class 2022 (step S3002). ここで、正規シグネチャに合致しなかった場合はステップS3003に進み、パケットが不正シグネチャと合致するか判断する。 Here, if you did not meet the normal signature process proceeds to step S3003, the packet determines whether matches the fraudulent signature. 不正シグネチャに合致した場合、パケットは不正クラス2024に分類される(ステップS3004)。 If that matches the illegal signature, the packet is classified as invalid class 2024 (step S3004). 不正シグネチャに合致しなかった場合はステップS3005に進み、パケットが容疑シグネチャであるか判断し、容疑シグネチャに合致すれば容疑クラス2026へ分類され(ステップS3006)、容疑シグネチャに合致しない、すなわち全てのシグネチャに合致しない場合には正規クラス2022へ分類される(ステップS3007)。 The process proceeds to step S3005 if not match illegal signature, the packet is judged whether the suspect signature, if matches the suspect signature is classified into suspicion class 2026 (step S3006), it does not match the suspect signature, i.e. all It is classified into the normal class 2022 if it does not match the signature (step S3007). このようにして各クラスに分類されたパケットは、正規キューであれば伝送帯域制限せずに出力され、容疑キュー及び不正キューであればそれぞれの伝送帯域制限値に従って伝送帯域が制限されて出力される。 In this way, the packets are classified into each class is output without transmitting band limited as long as normal queue are output are transmitted bandwidth limited according to each of the transmission band limiting value if suspicion queues and invalid queue that. なお、正規シグネチャ、容疑シグネチャ及び不正シグネチャの生成については後述する。 Will be described later generates the normal signature, suspect signature and invalid signatures.
【0031】 [0031]
次に、図7のゲート装置2001の攻撃容疑パケット検出時の動作を示すフローチャート、図8の通信装置2002、2003のシグネチャ受信時の動作を示すフローチャート及び図9のゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を示すフローチャートを使用して、DDoS攻撃対策方式の処理手順を示す。 Next, a flowchart illustrating the operation when the suspicious offensive packet detecting gate device 2001 of FIG. 7, the gate device 2001 and communication device 2002- flowchart and Figure 9 shows the operation at the time of signature receiving communication device 2002, 2003 in FIG. 8 using a flow chart showing the operation when an illegal traffic detection of 2006, showing a processing procedure of a DDoS attack countermeasures system.
【0032】 [0032]
図7のステップS3011において、ゲート装置2001は、攻撃容疑検出条件(図2)に従って、検出間隔で指定されているより長い時間連続して、検出閾値で指定されている以上の伝送帯域を使用している、検出属性に合致するトラヒックをチェックし、3組のレコードの内のいずれかのレコードに合致した場合、このトラヒックを攻撃容疑トラヒックとして検出する。 In step S3011 of FIG. 7, the gate device 2001, according to attack suspect detection condition (FIG. 2), continuously longer than specified in detection interval, using the transmission band of more than specified in the detection threshold value and that, to check the traffic that matches the detected attribute, if you meet one of the record of the three sets of records, detects the traffic as an attack suspect traffic. すると、ステップS3012において、この検出された攻撃容疑トラヒックが満たしている攻撃容疑検出条件のレコードの検出属性を、容疑シグネチャとして生成する。 Then, in step S3012, the detection attribute record attack suspect detection condition the detected attack suspect traffic meets generates a suspect signature. 容疑シグネチャは、攻撃容疑トラヒックの通信パケット、すなわち攻撃容疑パケットを識別する。 Suspect signature identifies the communication packet attack suspect traffic, i.e. the suspicious offensive packet. さらに、正規条件(図3)を参照し、正規条件の全てのレコード毎にこの容疑シグネチャとAND条件をとり、これを正規シグネチャとして生成する。 Furthermore, with reference to the normal condition (FIG. 3), taking all the charges signatures and AND condition for each record in the normal condition, and it generates it as a regular signature. 正規シグネチャは、容疑シグネチャから正規ユーザの通信パケットである正規パケットを識別するために用いられる。 Normal signature is used to identify a normal packet is a communication packet legitimate users from suspect signature. 例えば、図2と図3の設定例を用いて説明すると、図2における番号1のレコードの条件で検出されるパケットの容疑シグネチャは{dst=192.168.1.1/32, Protocol=TCP, Port=80}となり、図3より正規シグネチャは{src=172.16.10.24, dst=192.168.1.1/32, Protocol=TCP, Port=80}及び{TOS=0x01, dst=192.168.1.1/32, Protocol=TCP, Port=80}となる。 For example, referring to setting example of FIG. 2 and FIG. 3, suspect signature packets detected by the condition of the record number 1 in FIG. 2 {dst = 192.168.1.1 / 32, Protocol = TCP, Port = 80 }, and normal signature {src = 172.16.10.24 from FIG 3, dst = 192.168.1.1 / 32, Protocol = TCP, Port = 80} and {TOS = 0x01, dst = 192.168.1.1 / 32, Protocol = TCP, Port = 80 becomes}.
【0033】 [0033]
次いで、ステップS3013において、ゲート装置2001は、ステップS3012において生成した容疑シグネチャ及び正規シグネチャをフィルタ2021に登録し、攻撃容疑トラヒックを防御対象のサーバ2000及びサーバ2000が収容されているLANの所有者によって予め設定された伝送帯域制限値に伝送帯域を制限するための容疑キュー2027を生成する。 Then, in step S3013, the gate device 2001 registers the suspect signature and normal signature generated in step S3012 to the filter 2021, by the owner of the LAN which the attack suspect traffic server 2000 and server 2000 defense target are accommodated generating a suspect queue 2027 for limiting the transmission band to a preset transmission band limiting value. 尚、同一防御対象に関する容疑キューが既に生成済みの場合は、新たな容疑キューの生成は行わない。 It should be noted that, if suspicion queue is already generated already for the same defense the subject, does not perform generation of a new suspect queue. これにより、図5に示す帯域制御モデルと図6に示すフィルタ2021の分類アルゴリズムに従って、容疑シグネチャに合致する攻撃容疑パケットの伝送帯域の制限と、正規シグネチャに合致する正規パケットの伝送帯域制限の解除が実行される。 Thus, according to the classification algorithm filter 2021 illustrated in bandwidth control model and 6 shown in FIG. 5, limit and the transmission band of the suspicious offensive packet that matches the suspect signature, release of transmission bandwidth limitations of normal packets that match the normal signature There is executed.
【0034】 [0034]
そして、ゲート装置2001は、ステップS3014を実行する。 The gate apparatus 2001 executes step S3014. すなわち、ゲート装置2001は、容疑シグネチャと正規条件と攻撃容疑パケットの帯域制限値とを上流の通信装置2002、2003に送信する。 That is, the gate device 2001 transmits the charges signatures and regular conditions and the band limiting value of the attack suspect packet to the upstream communication device 2002 and 2003. ここで送信する攻撃容疑パケットのトラヒックの帯域制限値は、例えば、ゲート装置2001が記憶する攻撃容疑検出条件のレコードに対応したの伝送帯域制限値を上流の通信装置全てに均等に分配するなどの方法で算出される。 Here the band limit of the traffic attack suspect packet to be transmitted, for example, such as the gate device 2001 is evenly distributed to all upstream communication device a transmission band limiting value corresponding to the record of suspicious offensive detection condition storing It is calculated by the method.
【0035】 [0035]
次に、容疑シグネチャ、正規条件及び攻撃容疑パケットの帯域制限値の受信時の通信装置2002、2003の動作を説明する。 Then, charges signature, the operation of the reception time of the communication device 2002, 2003 in the band limiting value of the normal conditions and suspicious offensive packet will be described. 図8のステップS3021において、通信装置2002、2003は、ゲート装置2001が送信した(ステップS3014)容疑シグネチャと正規条件と容疑パケットの帯域制限値とを受信する。 In step S3021 of FIG. 8, a communication device 2002, 2003 includes a gate device 2001 is transmitted (step S3014) receives the bandwidth limits suspect signature and regular conditions and suspect packet. すると、ステップS3022において、通信装置2002、2003は、受信した容疑シグネチャと正規条件を基に正規シグネチャを生成する。 Then, in step S3022, communication device 2002, 2003 generates a normal signature based on suspicion signatures and regular conditions received. すなわち、正規シグネチャは、受信した正規条件の全てのレコード毎に、受信した容疑シグネチャとAND条件をとり、これを正規シグネチャとして生成する。 That is, normal signature on each of all the records of the received normal conditions, takes a suspect signature and AND condition received, generates it as a regular signature. 次に、ステップS3023に進み、通信装置2002、2003は、受信した容疑シグネチャ及び算出した正規シグネチャをフィルタ2021に登録し、容疑シグネチャ及び攻撃容疑パケットのトラヒックの伝送帯域制限値に対応した容疑キュー2027を生成する。 Then, the process proceeds to step S3023, communication device 2002, 2003 is allegedly queue 2027 registered received suspect signature and the calculated normalized signature filter 2021, corresponding to the transmission band limiting value of the traffic suspect signature and suspicious offensive packet to generate. これにより、図5に示す帯域制御モデルと図6に示すフィルタ2021の分類アルゴリズムに従って、容疑シグネチャに合致する攻撃容疑パケットの伝送帯域の制限と、正規シグネチャに合致する正規パケットの伝送帯域制限の解除が実行される。 Thus, according to the classification algorithm filter 2021 illustrated in bandwidth control model and 6 shown in FIG. 5, limit and the transmission band of the suspicious offensive packet that matches the suspect signature, release of transmission bandwidth limitations of normal packets that match the normal signature There is executed. そして、ステップS3024において、通信装置2002はその上流にある通信装置2004に、通信装置2003はその上流にある通信装置2005及び2006に受信した容疑シグネチャと正規条件及び受信した伝送帯域制限値より小さい攻撃容疑パケットの伝送帯域制限値を送信する。 Then, in step S3024, communication device 2002 to the communication device 2004 in its upstream, the communication device 2003 is a transmission band limiting value smaller attacks suspects signatures and regular conditions and received received in the communication apparatus 2005 and 2006 in its upstream sending a transmission band limiting value of the suspect packet. ここで攻撃容疑パケットの伝送帯域制限値は、例えば、通信装置2002、2003が受信した伝送帯域制限値を上流の通信装置全てに均等に分配するなどの方法で算出される。 Transmission band limiting value here attack suspect packet is calculated, for example, by a method such as evenly distributing the transmission band limit communication apparatus 2002 and 2003 have been received by all the upstream communication device.
【0036】 [0036]
そして、通信装置2004〜2006は、通信装置2002、2003から容疑シグネチャと正規条件及び攻撃容疑パケットの伝送帯域制限値を受信し、通信装置2002、2003におけるステップS3021〜S3023と同様に動作する。 The communication device 2004-2006 receives the transmission band limiting value of the suspect signature and regular conditions and suspicious offensive packet from the communication device 2002 and 2003, operates similarly to step S3021~S3023 in the communication device 2002 and 2003.
【0037】 [0037]
次に、ゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を説明する。 Next, the operation when an illegal traffic detection gate device 2001 and a communication device 2002-2006. 図9のステップS3031において、ゲート装置2001及び通信装置2002〜2006は、DDoS攻撃者がパケットを送出しているネットワークを特定するため入力パケットを分析して、不正トラヒック条件(図4)のいずれかのパターンに合致するトラヒックを検出する。 In step S3031 in FIG. 9, the gate device 2001 and the communication device 2002-2006 analyzes the input packet to identify the network that DDoS attacker has sent a packet, any unauthorized traffic conditions (Fig. 4) detecting the traffic that matches the pattern. すると、ゲート装置2001及び通信装置2002〜2006は、ステップS3032において、この検出された不正トラヒック条件(図4)を満たすパケットの送信元IPアドレスを不正アドレス範囲として特定し、この不正アドレス範囲であり、かつ、容疑シグネチャに合致するという条件を不正シグネチャとする。 Then, the gate device 2001 and the communication device 2002-2006, in step S3032, the source IP address of packets satisfying the detected unauthorized traffic condition (FIG. 4) identified as incorrect address range, in this incorrect address range , and, to an unauthorized signature a condition that matches the suspect signature. そしてゲート装置2001及び通信装置2002〜2006は、ステップS3033においてこの不正シグネチャをフィルタ2021に登録する。 The gate device 2001 and the communication device 2002-2006 registers the illegal signature filter 2021 in step S3033. これにより、図5に示す帯域制御モデルと図6に示すフィルタ2021の分類アルゴリズムに従って、不正シグネチャで識別される攻撃パケットの伝送帯域はさらに制限される。 Thus, according to the classification algorithm filter 2021 illustrated in bandwidth control model and 6 shown in FIG. 5, the transmission band of the attack packets identified by unauthorized signature is further limited.
【0038】 [0038]
ところで、以上説明した動作は、以下に記述するアクティブネットワーク上で実行される。 Incidentally, the operation described above is performed on the active network described below.
【0039】 [0039]
以下、図面を参照しこの発明の一実施形態を実行できるアクティブネットワークについて説明する。 Hereinafter, with reference to the drawings will be described active network that can perform an embodiment of the present invention.
図10は、本実施形態が前提とするネットワークの構成である。 Figure 10 is a configuration of a network in which the present embodiment is premised. 図10に示すように、通信ネットワークは、複数の通信装置7001によって接続されている。 As shown in FIG. 10, the communication network is connected by a plurality of communication devices 7001. そして、通信装置7001には1台または複数台のユーザのコンピュータ7000を接続することができるようになっている。 And, so that it is possible to connect one or a plurality of users computers 7000 to the communication device 7001. ユーザのコンピュータ7000相互間で通信データのやりとりを行う際には、送信元のユーザのコンピュータ7000が送信したパケットを通信ネットワーク上の各ノードに位置する通信装置7001が順次転送することにより、そのパケットを宛先のユーザのコンピュータ7000に届けるようにする。 When performing the user's computer 7000 exchanges communication data between each other, by the communication device 7001 the sender of the user's computer 7000 is located at each node on the communication network the transmission packet is sequentially transferred, the packet the so that delivery to the computer 7000 of the destination user.
【0040】 [0040]
次に、通信装置の構成について説明する。 Next, the configuration of the communication device. 図11は、通信装置7001の内部の構成を示すブロック図である。 Figure 11 is a block diagram showing the internal configuration of the communication device 7001. 図11に示すように、通信装置7001には通信線7024a、7024b、7024c、7024dが接続されており、通信装置7001はこれらの通信線を介して隣接する他の通信装置との間でパケットを交換することができるようになっている。 As shown in FIG. 11, the communication lines 7024a to the communication device 7001, 7024b, 7024c, 7024d is connected, the communication apparatus 7001 packets between other neighboring communication devices through these communication lines It has to be able to be replaced. また、通信装置7001には、上記の各通信線7024a〜7024dに対応したインタフェース部7023a〜7023dと、パケットを転送する処理を行うための転送処理部7021と、パケットの転送の際の転送先の情報を記憶する転送先テーブル7022と、アクティブパケットに対する処理を行うためのアクティブネットワーク実行環境(Active Network Execution Environment)7010とが設けられている。 Further, the communication device 7001, an interface unit 7023a~7023d corresponding to each communication line 7024a~7024d above, the transfer processing unit 7021 for performing processing of transferring a packet, the time of transfer of the packet transfer destination transfer destination table 7022 for storing information, it is provided with active network execution environment (active network execution environment) 7010 for processing to the active packet. なお、アクティブネットワーク実行環境7010は、内部に、アクティブコード(プログラム)を実行するためのコード実行部7011と、アクティブコードを記憶しておくためのコード記憶部7012とを備えている。 Incidentally, the active network execution environment 7010 is internally provided with a code execution unit 7011 for executing the active code (program), and a code storage section 7012 for storing the active code. なお、ここでアクティブコードとは、アクティブネットワークにおいてパケットに対する作用を行うコンピュータプログラムのコードである。 Here, the active code is a code of a computer program for performing the action on the packet in the active network.
【0041】 [0041]
ここで、図11を参照しながら、この通信装置7001の動作例の概要を説明する。 Here, referring to FIG. 11, an overview of operation example of the communication device 7001. 隣接する他の通信装置から通信線7024dを介してパケットが到着すると、インタフェース部7023dがそのパケットを受信し転送処理部7021に渡す。 When a packet arrives via the communication line 7024d from another adjacent communication device, the interface unit 7023d receives the packet and passes to the transfer processing unit 7021. 転送処理部7021は、渡されたパケットのヘッダ部分に格納されている送信元(source)アドレスと宛先(destination)アドレスとを読み取り、さらにそれらのアドレスをキーとして転送先テーブル記憶部7022に記憶されている転送先テーブルを参照することによって、そのパケットにどう対処するかを決定する。 Transfer processing unit 7021 reads the source (source) address stored in the header of the packets passed and the destination (destination) address, is further stored in the transfer destination table storing unit 7022 and their addresses as keys by referring to the transfer destination table is to determine how to deal with the packet.
【0042】 [0042]
パケットへの対処は大きく2通りに分けられる。 Dealing with the packet is divided into a large two ways. そのパケットに対してアクティブコードを適用する場合と、そのパケットをそのまま他の通信装置に転送する場合とである。 In the case of applying the active code for the packet is a case of transferring the packet directly to another communication device.
転送先テーブルを参照した結果、そのパケットに対してアクティブコードを適用すべきものである場合には、転送処理部7021は、そのパケットをアクティブネットワーク実行環境7010に渡す。 A result of referring to the destination table, when it should be applied to the active code for the packet, the transfer processing unit 7021 passes the packet to the active network execution environment 7010. アクティブネットワーク実行環境7010においては、コード実行部7011がそのパケットを受け取り、そのパケットに対して適用すべきアクティブコードをコード記憶部7012から読み出して実行する。 In an active network execution environment 7010, the code execution unit 7011 receives the packet, reads and executes the active code to be applied from the code storage unit 7012 for that packet. なお、コード実行部7011は、アクティブコードを実行した結果、必要な場合には処理対象となったパケットを再び転送処理部7021に渡して他の通信装置に対して転送することもある。 Incidentally, the code execution unit 7011 as a result of performing the active code, if necessary also be transferred to the other communication device by passing the packet to be processed again to the transfer processing unit 7021.
転送先テーブルを参照した結果、そのパケットにアクティブコードを適用せずそのまま他の転送装置に転送するべきものである場合には、転送処理部7021は、適切な転送先に対応したインタフェース部(7023aや7023bや7023cなど)に渡し、そのインタフェース部が通信線(7024aや7024bや7024cなど)を介してパケットを他の通信装置に転送する。 A result of referring to the destination table, if it should be transferred directly to another transfer apparatus without applying an active code to the packet, the transfer processing unit 7021, the interface unit corresponding to the appropriate destination (7023A and passing 7023b to and including 7023c), the interface unit is transferred to another communication device a packet via a communication line (such as 7024a and 7024b and 7024c).
【0043】 [0043]
なお、ここでは通信線7024dを介して他の通信装置からパケットが到着した場合を例として説明したが、他の通信線を介してパケットが到着した場合の処理も同様である。 Note that, although described with respect to an example in which packets from another communication apparatus through the communication line 7024d has arrived, the process is also the same when a packet arrives via the other communication line.
【0044】 [0044]
次に、通信装置7001内の転送処理部7021がいかにしてパケットに対する処置(アクティブコードを適用するか、単純に他の通信装置に転送するか)を決定するかを具体的に説明する。 Then, (to apply the active code, simply either transferred to another communication device) transfer processing unit 7021 of the communication device 7001 of treatment for how to packets specifically described how to determine.
【0045】 [0045]
本実施形態が基礎とするフレームワークでは、アクティブネットワーク実行環境はパケットの中において指定されているIPアドレスに基づいて起動される。 In the framework of this embodiment is based, active network execution environment is activated on the basis of the IP address specified in the inside of the packet. ここで、全ての(グローバル)IPアドレスの集合をIと表わすものとする。 Here, the set of all (global) IP address of shall be expressed as I. また、送信元IPアドレスがsであり宛先IPアドレスがdであるようなパケットを(s,d)と表わすものとする。 Further, denote the packet as a destination IP address is a source IP address s is a d (s, d) and. また、通信装置のアクティブネットワーク実行環境に格納されているすべてのアクティブコードはそれぞれ特定のユーザに属するものとし、ある特定のユーザの所有するIPアドレスの集合をOと表わすものとする。 Also, all active codes stored in active network execution environment of the communication apparatus is assumed to belong to each particular user, denote the set of IP addresses owned by a particular user and O.
【0046】 [0046]
本フレームワークでは、上記特定のユーザに属する個々のアクティブコードは、次に示す式による集合Aで表されるパケットであって、かつ当該アクティブネットワーク実行環境を備えた通信装置(ノード)によって受信されたパケットに対してアクセスする権限を持つ。 In this framework, each active codes belonging to the particular user, a packet represented by a set according to the following formula A, and received by the communication device including the active network execution environment (node) access to the packet with the authority. すなわち、 That is,
A={(s,d)∈[(O×I)∪(I×O)]|s≠d} A = {(s, d) ∈ [(O × I) ∪ (I × O)] | s ≠ d}
である。 It is. つまり、この式が意味するところの概略は、特定のユーザに属するアクティブコードは、当該ユーザが所有する全てのIPアドレスのいずれかを送信元または宛先のアドレスとするようなパケットに対してアクセス権を有するということである。 That is, outline of what is meant by this formula is the active code belonging to a particular user, access to the packet as a source or destination address either all IP addresses owned by the user it is that it has a.
【0047】 [0047]
当該ユーザに属するn個のアクティブコードがある通信装置(ノード)に格納されているとき、i番目(1≦i≦n)のアクティブコードは、集合C(i)(C(i)⊆A)に属するパケットをキャプチャーして処理することをアクティブネットワーク実行環境に対して予め要求しておく。 Communication device has n active codes belonging to the user (node) when stored, the active code of the i-th (1 ≦ i ≦ n) is a set C (i) (C (i) ⊆A) advance request to the active network execution environment to process to capture the belonging packets. つまり、当該ユーザに関して、アクティブネットワーク実行環境は、c(1)∪c(2)∪・・・・・・∪c(n)なる和集合の要素であるパケット(s,d)によって起動されるものであり、このようなパケットを「アクティブパケット」と呼ぶことができる。 That is, with respect to the user, is activated active network execution environment, by c (1) ∪c (2) ∪ packet is an element of ······ ∪c (n) becomes union (s, d) it is those, such packets may be referred to as "active packet".
【0048】 [0048]
図12は、図11に示した転送先テーブル記憶部7022に記憶されている転送先テーブルの一例を示す概略図である。 Figure 12 is a schematic diagram showing an example of a destination table stored in the transfer destination table storage unit 7022 shown in FIG. 11. 上記のフレームワークを実現するために必要な情報は、このような転送先テーブルに格納することが可能である。 Information necessary for realizing the above framework, it is possible to store such a destination table.
【0049】 [0049]
図12に示すように、転送先テーブルは、タイプ(Type)と宛先アドレス(Destination)と送信元アドレス(Source)と転送先(Send to)の各項目を含んでいる。 As shown in FIG. 12, the destination table includes the items of the type (Type) and the destination address (Destination) and the source address (Source) and the destination (Send to). タイプの項目は、テーブルのエントリーのタイプを表わすものであり、「アクティブ(Active)」あるいは「通常(Regular)」のいずれかの値をとる。 Type of item is representative of the type of entry in the table, taking a value of either "active (Active)" or "Normal (Regular)". 宛先アドレスおよび送信元アドレスの項目は、転送対象のパケットの宛先IPアドレスおよび送信元IPアドレスにそれぞれ対応するものである。 Item of the destination and source addresses are those corresponding respectively to the destination IP address and source IP address of the transfer target packet. 転送先の項目はは、宛先アドレスと送信元アドレスの組み合せがマッチしたパケットに関して、適用すべきアクティブコードの識別情報あるいは転送先の通信装置のIPアドレスを表わすものである。 Forwarding items are those combinations of destination address and source address with respect to matching packets, representing the IP address of the active code to be applied identity or destination of the communication device.
【0050】 [0050]
タイプの値が「アクティブ」であるエントリーは、対象のパケットに適用するアクティブコードを指定するものであり、その転送先の項目にはアクティブコードを識別する情報が書かれている。 The entry type value is "active", it is intended to specify the active code to be applied to the target of the packet, information identifying the active code is written in the transfer destination item.
タイプの値が「通常」であるエントリーは、対象のパケットの転送先の通信装置のアドレスを指定するものであり、その転送先の項目には転送先の通信装置のIPアドレスが書かれている。 The entry type value is "normal", which specifies the address of the destination communication device of the target packet, IP address, the destination communication device is written to the destination of the items .
【0051】 [0051]
図12に示す転送先テーブルの例において、第1のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「1.2.3.4」であり、送信元アドレスが「Any(何でもよい)」であり、転送先が「アクティブコードA」となっている。 In the example of the transfer destination table shown in FIG. 12, in the first entry, a type is "active", the destination address is "1.2.3.4", (may be anything) source address is "Any ", and the transfer destination is" active code a ". これは、送信元アドレスがいかなるアドレスであっても、宛先アドレスが「1.2.3.4」にマッチする場合には、該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードAが実行されることを表わしている。 This is even any address source address, if the destination address matches "1.2.3.4", the active network execution environment the corresponding packet as a trigger is activated, the active code A it represents that but executed.
また、第2のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「10.50.0.0」であり、送信元アドレスが「11.12.13.14」であり、転送先が「アクティブコードB」となっている。 In the second entry, a type is "active", the destination address is "10.50.0.0", the transmission source address is "11.12.13.14", the transfer destination is is "active code B". これは、宛先アドレスと送信元アドレスの両方がそれぞれ上記の値にマッチした場合には、該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードBが実行されることを表わしている。 This is both the destination address and source address when matching the above values, respectively, active network execution environment is activated the corresponding packet as a trigger, it indicates that the active code B is executed.
また、第3のエントリーでは、タイプが「アクティブ」であり、宛先アドレスが「Any(何でもよい)」であり、送信元アドレスが「157.2.3.0」であり、転送先が「アクティブコードC」となっている。 In addition, in the third entry, is a type of "active", is the destination address is "Any (good whatever)", a source address "157.2.3.0", the transfer destination is "active It has become a code C ". これは、宛先アドレスがいかなるアドレスであっても、送信元アドレスが「157.2.3.0」にマッチする場合には該当するパケットをトリガーとしてアクティブネットワーク実行環境が起動され、アクティブコードCが実行されることを表している。 This is because even the destination address is any address, active network execution environment is started as a trigger corresponding packet if the source address matches "157.2.3.0", the active code C represents be performed.
【0052】 [0052]
なお、図12に示すように、転送先テーブルにおいては、タイプが「アクティブ」であるエントリーのほうが、タイプが「通常」であるエントリーよりも上に存在している。 Incidentally, as shown in FIG. 12, in the destination table, more type of entry is "active" is present above the entry type is "normal". そして、タイプが「アクティブ」であるエントリーのほうが、タイプが「通常」であるエントリーよりも優先的に適用される。 And, better type of entry is "active" is applied preferentially than the entry type is "normal". また、各エントリーは、通信装置へ到着したパケットのみに対して適用され、転送のために送出されるパケットに対しては適用されない。 Also, each entry is applied to only arrive to the communication device packet, it does not apply for packets sent for the transfer.
【0053】 [0053]
以上説明した通信装置の構成をまとめる。 Summarized configuration of the communication apparatus described above.
図11に示したインタフェース部は、通信線毎に設けられており、当該通信線から到着するパケットを受信するとともに当該通信線に対してパケットを送出する処理を行う。 Interface unit shown in FIG. 11 is provided for each communication line, it performs a process of sending a packet to the communication line which receives the packets arriving from the communication line.
また、転送先テーブル記憶部は、パケットの送信元アドレスまたは宛先アドレスまたはそれら両方のアドレスのパターンと、該パターンに対応するプログラム(アクティブコード)の情報あるいは該パターンに対応する転送先アドレスの情報とが登録された転送先テーブルを記憶する。 Furthermore, the destination table storage unit, a pattern of the source or destination address, or both of the address of the packet, and information of the transfer destination address corresponding to the information or the pattern of the program (active code) corresponding to the pattern There stores a transfer destination table registered.
また、アクティブネットワーク実行環境は、前記プログラムを予め記憶しているとともに、このプログラムを実行する。 Further, the active network execution environment, along with pre-stores the program and executes the program.
また、転送処理部は、通信線から到着した受信パケットを前記インタフェース部から渡された際に、当該受信パケットの送信元アドレスまたは宛先アドレスに基づいて前記転送先テーブルを参照し、前記転送先テーブルに当該受信パケットのアドレスのパターンに対応する転送先アドレスの情報が登録されていた場合には当該受信パケットを所定の転送先アドレスに向けて送出するように当該転送先アドレスに対応したインタフェース部に渡すとともに、前記転送先テーブルに当該受信パケットのアドレスのパターンに対応するプログラムの情報が登録されていた場合には前記アクティブネットワーク実行環境部において当該プログラムを起動させるとともに当該プログラムに当該受信パケットを渡す。 Moreover, the transfer processing unit, when passed a received packet arriving from the communication line from said interface unit, by referring to the forwarding table based on the source address or destination address of the received packet, the forwarding destination table interface unit corresponding to the relevant destination address as if the information of the transfer destination address corresponding to the pattern of the address of the received packet is registered sends toward the received packet to a predetermined destination address in the together pass, when the information of the program corresponding to the pattern of the address of the received packet to the transfer destination table is registered passes the received packet to the program with activating the program in the active network execution environment section .
【0054】 [0054]
次に、本実施形態におけるアクティブコードのセキュリティに関するモデルについて説明する。 Next, the model will be described about the active code security in this embodiment. このセキュリティのモデルは、各々のアクティブコードが、アクティブコードの所有者に関わるパケットのみに対して作用することを保証するためのものである。 Model of security, each active code is intended to ensure that acts on only packets relating to the owner of the active code. そのために、このセキュリティのモデルは、公開鍵のインフラストラクチャの存在を前提として、それを利用することとする。 To that end, the model of this security, assuming the existence of the infrastructure of the public key, and can make use of it.
【0055】 [0055]
図13は、上記のセキュリティモデルとそのモデルにおける処理の手順を示す概略図である。 Figure 13 is a schematic diagram showing a procedure of the process in the security model and the model. 図13において、符号7051はユーザAのユーザ端末装置、7061は認証局(Certification Authority )装置である。 13, reference numeral 7051 a user terminal device of the user A, 7061 is a certificate authority (Certification Authority) device. この認証局の機能は、公の機関によって提供されるものであっても良いし、あるいはISP(Internet Service Provider,インターネット接続サービス提供者)などによって提供されるものであっても良い。 The function of the certification authority, may be one provided by public authority, or ISP (Internet Service Provider, Internet service providers) or may be provided by such.
なお、図13に示す例では、ユーザ端末装置7051のIPアドレスは「1.2.3.4」である。 In the example shown in FIG. 13, IP address of the user terminal 7051 is "1.2.3.4". 以下では、ユーザAが、アクティブコードAを通信装置7001に登録するための処理の手順を説明する。 Hereinafter, user A, the procedure of the processing for registering the active code A to the communication device 7001. なお、以下において、ユーザAはアクティブコードAの開発者であっても良いが、その必然性はなく、他の開発者が開発したアクティブコードAをユーザAが入手し、それを通信装置7001に登録するものでも良い。 In the following, the user A may be a developer of active code A, the necessity is not, the active code A other developers have developed user A obtains, register it with the communication device 7001 it may be intended to be.
【0056】 [0056]
まず(1)で示すように、ユーザAのユーザ端末装置7051は、周知技術を用いて鍵のペアすなわち公開鍵と秘密鍵とを生成する。 First, as shown in (1), the user terminal 7051 of the user A generates a pair i.e. a public key and a private key of the key using a well known technique.
そして(2)で示すように、ユーザ端末装置7051は、上で生成された公開鍵を認証局装置7061に登録する。 Then, as shown by (2), the user terminal 7051 registers the public key generated above to the authentication station 7061. このとき、認証局装置7061は、ユーザ端末装置7051のIPアドレスを検証する。 At this time, the certificate authority apparatus 7061 verifies the IP address of the user terminal 7051. この検証が正しく行なわれると、公開鍵そのものと、ユーザAを識別するための情報と、ユーザ端末装置7051のIPアドレス「1.2.3.4」が認証局装置7061に記憶される。 If this verification is performed successfully, the public key itself, information for identifying the user A, the IP address of the user terminal 7051 "1.2.3.4" are stored in the authentication station 7061.
【0057】 [0057]
次に(3)で示すように、ユーザ端末装置7051は、上で生成された秘密鍵を用いてアクティブコードAに電子署名する処理を行う。 Next, as shown in (3), the user terminal 7051 performs processing for the digital signature to activate code A by using the secret key generated above.
そして(4)で示すように、ユーザ端末装置7051は、秘密鍵で署名されたアクティブコードAを通信装置7001に登録する処理を行う。 Then, as shown by (4), the user terminal 7051 performs a process of registering the communication device 7001 active code A signed with the private key.
【0058】 [0058]
これを受けて通信装置7001は、(5)で示すように、アクティブコードAの登録を行ったユーザAの電子証明書を認証局装置7061から取得する。 Communication device 7001 receives this, as shown by (5), to obtain the digital certificate of the user A has registered an active code A from the certificate authority apparatus 7061. この電子証明書には、ユーザAを識別する情報と、そのIPアドレス「1.2.3.4」と、上の(2)において登録された公開鍵そのものとが含まれている。 This electronic certificate, and information identifying the user A, and its IP address "1.2.3.4", contains the public key itself registered in (2) above.
そして(6)で示すように、通信装置7001は、上記の電子証明書から取り出したユーザAの公開鍵を用いて、上の(4)において登録されたアクティブコードAの電子署名を検証する。 Then, as shown by (6), the communication device 7001, using the public key of the user A extracted from the digital certificate to verify the digital signature of the active code A registered in (4) above. そして、これが正しく検証された場合には、通信装置7001は、アクティブコードAをアクティブネットワーク実行環境に導入する処理を行う。 Then, if this is successfully verified, the communication device 7001 performs a process of introducing an active code A to the active network execution environment. また、これに応じて、転送先テーブルに必要なエントリーが追加される。 Further, according to this, the entry is added required destination table.
【0059】 [0059]
なお、この(1)および(2)の処理が行われて一旦ユーザAの公開鍵が認証局装置7061に登録されると、ユーザ端末装置7051はその公開鍵に対応する秘密鍵を用いてアクティブモジュールをいくつでも通信装置7001に登録することも可能である。 Incidentally, the public key of the (1) and (2) processing is performed in once the user A is registered in the certificate authority apparatus 7061, the user terminal 7051 by using the secret key corresponding to the public key active it is also possible to register the communication device 7001 modules any number.
【0060】 [0060]
つまり、通信装置7001は登録部(図示せず)を備えており、この登録部は、ユーザの端末装置から当該ユーザの秘密鍵で電子署名されたプログラムを受信し、当該ユーザの電子証明書を認証局装置から受信し、受信した電子証明書に含まれる当該ユーザの公開鍵を用いて前記電子署名されたプログラムの検証を行い、この検証が成功した場合には当該プログラムに対応するアドレスのパターンと当該プログラムの情報とを前記転送先テーブルに登録し、この検証が失敗した場合には当該プログラムの情報の前記転送先テーブルへの登録は行わないようにするものである。 That is, the communication device 7001 includes a registration portion (not shown), the registration unit receives the electronic signature program from the user of the terminal device with the private key of the user, an electronic certificate of the user It received from the authentication station, using the public key of the user included in the electronic certificate received verifies the electronic signature program, the address corresponding to the program if the verification is successful pattern and registers the information of the program in the transfer destination table, registration in the destination table of the information of the program if the verification fails is one that is not performed.
【0061】 [0061]
なお、上で説明した通信装置へのアクティブコードの登録の手順が有効に機能するためには、次の2点が前提となる。 In order to procedure of registration of an active code to the communication apparatus described above to function effectively, the following two points is assumed.
第1の前提として、ユーザがどの通信装置(ノード)にアクティブコードを登録すれば良いかは事前にわかっている。 As a first assumption, or the user which communication device (node) may be registered active code is known in advance. あるいは、どの通信装置(ノード)にアクティブコードを登録すればよいかがわかるためのディレクトリサービスが提供されている。 Alternatively, the directory service for reveals do I register the active code is provided in which the communication device (node).
第2の前提として、通信装置(ノード)は、目的の認証局の公開鍵を事前にオフラインで取得しているか、他の認証局から取得するか、あるいは他の何らかの手段で取得できる。 As a second premise communication apparatus (node) are either acquired off-line in advance a public key of the certificate authority purposes, obtain from another certification authority, or can be obtained by some other means.
【0062】 [0062]
次に、矛盾の解消のための制御について説明する。 Next, a description will be given of the control for eliminating the conflict.
ある通信装置(ノード)において、n個のアクティブコードが登録されており、i番目(1≦i≦n)とj番目(1≦j≦n)のアクティブコードが、それぞれ集合C(i)(C(i)⊆A)と集合C(j)(C(j)⊆A)に属するパケットに対するものであると定義されているとき、集合(c(i)∩c(j))が空集合ではないようなiおよびjの組み合せ(但しi≠j)が存在する場合があり得る。 In certain communication device (node), the active code of n active code is registered, i-th (1 ≦ i ≦ n) and the j-th (1 ≦ j ≦ n), respectively set C (i) ( If it is defined as is for C (i) ⊆A) a set C (j) (C (j) packets belonging to ⊆A), the set (c (i) ∩c (j)) is an empty set combinations of i and j as not (although i ≠ j) may sometimes exist. つまり、あるパケットがi番目のアクティブコードにもj番目のアクティブコードにも適用されるような定義が行われている場合である。 That is the case where definition is made as applied to the j-th active code also packet in i-th active code. このような矛盾は、次の2通りのシナリオのいずれかによって解消することとする。 Such conflict, be eliminated by one of the following two scenarios.
【0063】 [0063]
第1の矛盾の解消のシナリオは、パケット(s,d)に関して、 Eliminating scenario first conflict, about the packet (s, d),
(s∈O(k)Λd∈O(l))Λ(k≠l) (S∈O (k) Λd∈O (l)) Λ (k ≠ l)
であるために、 For it is,
(s,d)∈c(i)∩c(j) (S, d) ∈c (i) ∩c (j)
となる場合に関するものである。 It relates to the case to be. 但し、O(k)およびO(l)は、それぞれユーザkおよびlによって所有されるIPアドレスの集合である。 However, O (k) and O (l) is the set of IP addresses owned by the user k and l, respectively.
つまり、あるパケットに関して、送信元のユーザ用のアクティブコードと宛先のユーザ用のアクティブコードとの両方が通信装置に登録されており、そのような通信装置にこのパケット(s,d)が到着した場合である。 That is, with respect to a packet, both the active code for user active code and the destination for the transmission source user is registered in the communication apparatus, the packet (s, d) has arrived at such a communication device it is the case. このような場合には、宛先のユーザのアクティブコードを優先的に適用することが望ましいと考えられる。 In such a case, it may be desirable to apply an active code of the destination user preferentially.
【0064】 [0064]
つまり、転送先テーブルに登録されているパターンに、送信元アドレスのみが指定されていて宛先アドレスが何でもよいとされている第1のエントリーと、宛先アドレスのみが指定されていて送信元アドレスが何でもよいとされている第2のエントリーとが含まれており、受信パケットがこれら第1のエントリーと第2のエントリーとの両方にマッチしたときには、第1のエントリーよりも第2のエントリーを優先させて、当該第2のエントリーのパターンに対応するプログラムを起動するようにする。 In other words, the patterns registered in the destination table, transmitting a first entry source address only is specified destination address is the may be any number, transmission is only the destination address is specified source address anything It includes a second entry that is good, when the received packet matches both of these first entries and second entries, give priority to the second entry than the first entry Te, so as to start the program corresponding to the pattern of the second entry.
【0065】 [0065]
このように、送信元のユーザのアクティブコードよりも宛先のユーザのアクティブコードを優先させることは、アクティブネットワークの機能を用いてDDoS(分散型DoS,Distributed Denial of Service )攻撃を防御するメカニズムを構築する場合に特に重要となる。 Thus, the priority is given to the active code of the destination user than the active code of the sender user, construct a mechanism to protect DDoS (Distributed DoS, Distributed Denial of Service) attacks by using the function of the active network It is particularly important in the case of. そのようにすることによって、宛先のユーザつまり被攻撃者となり得る者のアクティブコードが、攻撃者となる可能性があるもののアクティブコードよりも優先されるためである。 By doing so, because the user that is obtained those active code becomes the attacker destination take precedence over the active code which is likely to be the attacker.
【0066】 [0066]
第2の矛盾の解消のシナリオは、あるパケット(s,d)に関して適用されるべき2つ以上のアクティブコードが同一のユーザによって登録されている場合に関するものである。 Elimination of Scenario second conflict relates if two or more active code to be applied with respect to a packet (s, d) is registered by the same user. このような場合には、該当するアクティブコードのうちの最も古く登録されたものが、他のものよりも優先的に適用されるようにすることが望ましいと考えられる。 In such a case, those oldest registered among the active code applicable is, it may be desirable to be preferentially applied than others. こうすることにより、ユーザが新しいアクティブコードを登録しようとする際には、新しいアクティブコードを有効にするために事前に古いアクティブコードを削除することが保証されるからである。 By doing so, when the user attempts to register a new active code is because it is guaranteed to remove the pre-old active code in order to enable the new active code.
【0067】 [0067]
次に、これまでに述べたようなアクティブネットワークのノードとして機能する通信装置のインプリメンテーションの例について説明する。 Next, an example of implementation of the communication device is described which serves as a node of the active network as described thus far. 図14は、Linux上のJava(登録商標)仮想マシン(JVM)を用いてアクティブパケットの処理を行う通信装置を実現した場合の概略図である。 Figure 14 is a schematic diagram of a case of realizing a communication apparatus that performs processing of an active packet using Java on Linux (registered trademark) Virtual Machine (JVM).
【0068】 [0068]
図14に示す例では、専用のIPスタックを処理(process)の一部として構築している。 In the example shown in FIG. 14, are constructed as part of the process (process) dedicated IP stack. これによって、図12に示したような転送先テーブルを実現し、実行環境(アクティブネットワーク実行環境)からこの転送先テーブルにエントリーの追加や削除を行えるようにしている。 Thus, so that to achieve the transfer destination table as shown in FIG. 12, it enables to add or remove entries from the execution environment (active network execution environment) in the destination table. また、これに伴い、カーネル(kernel)内のIPスタックは不要となるため、カーネルにおけるルーティングを不活性化している。 Along with this, because the IP stack in the kernel (kernel) becomes unnecessary, and inactivate routing in the kernel. そして、到着パケットのコピーがデータリンク部分から作成され、そのパケットがライブラリlibpcapを通してJava(登録商標)仮想マシンで補足できるようにしている。 Then, the copy of the arriving packet is created from the data link portion, the packet is allowed to be supplemented with Java (registered trademark) virtual machine through the library libpcap.
【0069】 [0069]
処理の一部として構築した専用のIPスタックは、アクティブパケット、つまり転送先テーブル上での所定の定義にマッチするIPアドレス(宛先IPアドレス、送信元IPアドレス、あるいはそれらの組み合せ)を有するパケットは、実行環境上で起動されるアクティブコードに対して渡される。 Dedicated IP stack constructed as part of the process, the active packet, i.e. the IP address that matches the predetermined defined on the destination table (destination IP address, source IP address, or their combination) is a packet having a is passed to an active code will be started on the execution environment. 一方、アクティブパケット以外の通常のパケットは、カーネルにおけるIPスタックと同様の方法で隣接する通信装置等へ向けた転送が行われる。 On the other hand, normal packet other than the active packet transfer towards the communication apparatus or the like which are adjacent IP stack and the same method in the kernel is performed. アクティブパケットであれ通常パケットであれ、この通信装置から送出されるすべてのパケットは、ライブラリlibnetを通して送出される。 Under normal packet any active packet, all packets sent from the communication device is sent through the library libnet. こうすることにより、各々処理されたパケットのヘッダに記録された送信元アドレスは、元々の送信元アドレスのままの状態で、ネットワークに送出されることとなる。 By doing so, each processed source address recorded in the header of the packet, originally remains source address, and be transmitted to the network.
【0070】 [0070]
また、標準のJava(登録商標)のAPI(アプリケーションプログラムインタフェース)である「java.security 」を用いることによってセキュリティモデルをインプリメンテーションすることが可能である。 Further, it is possible to implementation of the security model by using an API standard Java (registered trademark) (an application program interface) "java.security". この標準APIは、セキュリティモデルを構築するために必要な機能のほとんどを提供している。 This standard API, provides most of the functionality needed to build a security model. また、証明書のための形式としては「X.509」証明書形式を用いることが可能であり、アクティブコードの所有者のIPアドレスを「X.509」の識別名(DN, distinguished name)の一部に含めることにより、本実施形態のセキュリティモデルを実現することができる。 As the format for certificates it is possible to use the "X.509" certificate format, the owner of the IP address of the active code identification name "X.509" (DN, distinguished name) of by including a part, it is possible to realize the security model of the present embodiment.
【0071】 [0071]
なお、言うまでもなく、上記インプリメンテーションではコンピュータシステムを用いることによってアクティブネットワーク実行環境を備えた通信装置を構築している。 Needless to say, in the above implementation we are building a communication device including an active network execution environment by the use of a computer system. そして、上述した一連の処理、すなわち到着パケットの複製の作成とその捕捉や、転送先テーブルを参照しながらのアクティブパケットおよび通常パケットの転送の処理や、アクティブネットワーク実行環境上でのアクティブコードの起動とその処理の実行や、処理されたパケットのネットワークへの送出などの各処理の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータが読み出して実行することによって、上記処理が行われる。 The series of processes described above, i.e. creation and capture and their replication arriving packet, processing and transfer of active packets and normal packets with reference to the forwarding destination table, activation of the active code on the active network execution environment and execution and of the process, the process of each process such as delivery to the network of the processed packet is stored in a computer-readable recording medium in the form of a program, executing the program computer reads Accordingly, the process is performed.
【0072】 [0072]
なお、上述した各コンピュータプログラムは、コンピュータ読取可能な記録媒体に記録されており、通信装置等に搭載されたCPU(中央処理装置)がこの記録媒体からコンピュータプログラムを読み取って、攻撃防御あるいはサービスモジュール提供等のための各処理を実行する。 Each computer program mentioned above is recorded on a computer-readable recording medium, a CPU mounted on the communication device or the like (central processing unit) reads the computer program from the recording medium, attack protection or service module It performs the processes for such offer. また、「コンピュータ読み取り可能な記録媒体」とは、磁気ディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 The "computer-readable recording medium" refers to a magnetic disk, a magneto-optical disk, ROM, portable media such as a CD-ROM, a storage device such as a hard disk built in the computer system. さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 Furthermore, the "computer-readable recording medium", as the Internet or the like networks or telephone via a communication line of the circuit, such as a server or a client when the program is sending computer system internal volatile memory (RAM) in, and also includes those that holds the program for a certain time.
【0073】 [0073]
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。 Further, the program from a computer system storing the program in a storage device or the like via a transmission medium or by transmission waves in the transmission medium may be transmitted to another computer system. ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。 Here, "transmission medium" for transmitting the program refers to a medium having a function of transmitting information, such as the Internet or a network (communication network), a telephone line communication circuit (communication line) such as.
【0074】 [0074]
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。 Further, the program may be one for implementing part of the above functions. さらに、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Furthermore, what can be achieved in combination with a program already recorded in the above-described functions in the computer system may be a so-called differential file (differential program).
【0075】 [0075]
また、下流のゲート通信装置から上流の通信装置へのデータの送信は、アクティブネットワークの使用に限定するものではなく、任意の通信プロトコルの使用が可能である。 Further, data transmission from the downstream of the gate communication device to the upstream of the communication device is not limited to the use of an active network, it is possible to use any communication protocol.
【0076】 [0076]
また、ゲート装置及び通信装置はゲートウェイやルータに限られるものではなく、ブリッジ、イーサネット(登録商標)、インタフェース変換装置など、IPアドレスを持つ任意の通信ノードであっても良い。 The gate device and the communication device is not limited to the gateway or router, bridge, Ethernet (registered trademark), such as interface converter, it may be any communication node with the IP address.
【0077】 [0077]
以上、図面を参照してこの発明の実施形態を詳述してきたが、具体的な構成はこれらの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 Having thus with reference to the drawings in detail the embodiments of the present invention, the specific configuration is not limited to these embodiments, also include design within a scope not departing from the gist of the present invention.
【0078】 [0078]
【発明の効果】 【Effect of the invention】
以上説明したように、ネットワーク上の各通信装置はDDoS攻撃の被攻撃者が指定した属性によって検出した攻撃容疑トラヒックの容疑シグネチャを再帰的に通知することが可能になるため、ネットワーク全体で被攻撃者の要求する攻撃容疑トラヒックの伝送帯域を制限することが可能になるとともに、早期にネットワークの輻輳を改善することが可能となる。 As described above, since each communication device on the network that it is possible to recursively notify suspect signature attack suspect traffic which the attacker is detected by the specified attribute of DDoS attacks, the attacks across the network together it is possible to limit the transmission band of the request to attack suspect traffic's, it is possible to quickly improve network congestion. そして、ネットワーク上のそれぞれの通信装置は、攻撃容疑トラヒックを監視して攻撃パケットを特定することにより攻撃パケットのみを更に制限することが可能になるため、正規ユーザのパケットが誤って攻撃パケットとして分類され、破棄される可能性を低くするとともに、攻撃元に最も近い最上流の通信装置において攻撃を防御する、すなわちDDoS攻撃の通信パケットを破棄することでネットワークの伝送帯域の浪費を防ぐことができる。 Then, each of the communication device on the network, it becomes possible to further limit the only attack packet by identifying the attack packets to monitor the attack suspect traffic, classified as attack packets incorrectly packets authorized users it is, as to reduce the possibility of being discarded, to defend against attacks at the most upstream of the communication device closest to the attack source, i.e. it is possible to prevent the waste of transmission bandwidth of the network by discarding the communication packet DDoS attacks .
【0079】 [0079]
また、ネットワークの各通信装置はDDoS攻撃の被攻撃者が指定した正規シグネチャを再帰的に通知することで、各通信装置は被攻撃者が指定した正規ユーザの通信トラヒックの伝送帯域の制限を解除することが可能になる。 Further, each communication apparatus in the network by recursively notify authorized signature which the attacker DDoS attack has been specified, each communication apparatus releases the restriction of the transmission band of the communication traffic authorized user which the attacker has specified it becomes possible to. 従って、DDoS攻撃の通信パケットを破棄しながらも、被攻撃者の指定するサービスポリシーを反映して、ネットワーク上の正規利用者のトラヒックの疎通を確保することが可能となり、ネットワーク全体への悪影響を抑制することができる。 Thus, while discarding the communication packet DDoS attacks, to reflect the service policy that specifies of the attacker, it is possible to ensure the communication of the authorized user of the traffic on the network and will, adverse effects on the overall network it can be suppressed.
【0080】 [0080]
また、例えばインターネットのように、本来攻撃防御の機能を備えていないネットワークであっても、本発明を適用することによって攻撃に対する効果的な防御が可能になる。 For example, as the Internet, be a network that is not a function of the original attack protection allows effective defense against attacks by applying the present invention. また本発明を用いた場合、攻撃者が直接接続されているネットワークの管理者が何らかの対処をする必要がなく、攻撃を受けている装置が接続されているネットワーク側の対処によって自動的に防御機能が起動され攻撃を防ぐことができるようになる。 In the case of using the present invention, an attacker automatically defenses by direct administrator of the connected network is not necessary to any address, the network side device is under attack are connected addressed but it is possible to prevent the start-up is attack.
【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS
【図1】 本発明の一実施の形態を適用できるネットワークの構成図である。 1 is a configuration diagram of a network that can be applied to an embodiment of the present invention.
【図2】 同実施の形態による攻撃容疑検出条件の設定の例である。 Figure 2 is an example of a set of attack suspect detection condition according to the embodiment.
【図3】 同実施の形態による正規条件の設定の例である。 Figure 3 is an example of a set of normal conditions by the embodiment.
【図4】 同実施の形態による不正トラヒック検出条件の設定の例である。 Figure 4 is an example of a set of fraud traffic detection condition according to the embodiment.
【図5】 同実施の形態によるゲート装置2001及び通信装置2002〜2006が備える帯域制御モデルである。 5 is a bandwidth control model provided in the gate device 2001 and a communication device 2002-2006 according to the embodiment.
【図6】 同実施の形態によるフィルタ2021における分類アルゴリズムである。 6 is a classification algorithm in the filter 2021 according to the embodiment.
【図7】 同実施の形態によるゲート装置2001の攻撃容疑パケット検出時の動作を示すフローチャートである。 7 is a flowchart showing the operation at the time the suspicious offensive packet detecting gate device 2001 according to the embodiment.
【図8】 同実施の形態による通信装置2002、2003のシグネチャ受信時の動作を示すフローチャートである。 8 is a flowchart showing the operation at the time signature reception of the communication apparatus 2002, 2003 according to the embodiment.
【図9】 同実施の形態によるゲート装置2001及び通信装置2002〜2006の不正トラヒック検出時の動作を示すフローチャートである。 9 is a flowchart illustrating an operation when an illegal traffic detection gate device 2001 and a communication device 2002-2006 according to the embodiment.
【図10】 同実施の形態を実行できるアクティブネットワークが前提とするネットワークの構成である。 10 is a network configuration to which an active network that can perform the embodiment is premised.
【図11】 同実施の形態を実行できるアクティブネットワークによる通信装置内部の構成を示すブロック図である。 11 is a block diagram showing a structure of an internal communication device according to an active network that can perform the same embodiment.
【図12】 同実施の形態を実行できるアクティブネットワークによる転送先テーブル記憶部に記憶されている転送先テーブルの一例を示す概略図である。 12 is a schematic diagram showing an example of a destination table stored in the transfer destination table storage unit according to an active network that can perform the same embodiment.
【図13】 同実施の形態を実行できるアクティブネットワークによるセキュリティモデルとそのモデルにおける処理の手順を示す概略図である。 13 is a schematic diagram showing the sequence of processing in the security model and the model by the active network that can perform the same embodiment.
【図14】 同実施の形態を実行できるアクティブネットワークの通信装置をLinux上のJava(登録商標)仮想マシン(JVM)を用いてアクティブパケットの処理を行うように実現した場合の概略図である。 14 is a schematic diagram of a case of realizing to perform the processing of the active packet by using the Java (registered trademark) Virtual Machine (JVM) on Linux communication device of an active network that can perform the same embodiment.
【符号の説明】 DESCRIPTION OF SYMBOLS
2000…サーバ2001…ゲート装置2002〜2006…通信装置2007〜2010…端末装置2021…フィルタ2022…正規クラス2023…正規キュー2024…不正クラス2025…不正キュー2026…容疑クラス2027…容疑キュー7000…ユーザのコンピュータ7001…通信装置7010…アクティブネットワーク実行環境7011…コード実行部7012…コード記憶部7021…転送処理部7022…転送先テーブル記憶部7023a、7023b…インタフェース部7024a、7024b…通信線7051…ユーザ端末装置7061…認証局装置 2000 ... server 2001 ... gate devices 2002-2006 ... communication device 2007-2010 ... the terminal apparatus 2021 ... filter 2022 ... regular classes 2023 ... regular queue 2024 ... fraud class 2025 ... unauthorized queue 2026 ... the suspect class 2027 ... suspect queue 7000 ... user computer 7001 ... communication device 7010 ... active network runtime environment 7011 ... code execution unit 7012 ... code storage unit 7021 ... transfer processing unit 7022 ... destination table storage unit 7023a, 7023b ... interface unit 7024a, 7024b ... communication line 7051 ... user terminal 7061 ... the certificate Authority

Claims (7)

  1. 複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANと、前記LANおよびネットワークの間に介挿されたゲート装置とを有するネットワークシステムにおいて、 In a network system comprising a network formed by a plurality of communication devices connected in a mesh shape, and a computer and LAN is protective object, and a gate device inserted between the LAN and the network,
    前記ゲート装置は、 Said gate device,
    通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックし、 Communication traffic is checked whether they meet the detection condition of a predetermined suspicious offensive packet,
    合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成して上流の前記通信装置へ送信し、 When detecting the matched traffic, and generates and transmits a suspect signature that identifies the detected the suspicious offensive packet to the upstream of the communication device,
    以後、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行い、 Hereinafter, a process of limiting the transmission band of the suspicious offensive packet identified by the suspect signature,
    前記通信装置は、 The communication device,
    下流のゲート装置または通信装置から受信した前記容疑シグネチャを上流の通信装置へ送信すると共に、前記容疑シグネチャによって識別される攻撃容疑パケットの伝送帯域を制限する処理を行い、 Sends the suspect signature received from the downstream of the gate device or a communication device to the upstream communication device, performs a process of limiting the transmission band of the suspicious offensive packet identified by the suspect signature,
    前記ゲート装置及び前記通信装置は、 Said gate device and the communication device,
    前記容疑シグネチャで識別される攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出し、前記攻撃トラヒックを構成する攻撃パケットを特定して、以後特定された前記パケットの伝送帯域をさらに制限する処理を行い The suspect signature by analyzing the traffic of attack suspect packets identified detects an attack traffic, the attack traffic to identify the attack packets constituting the processing to further limit the transmission band of the packets identified hereafter conduct
    前記ゲート装置は、正規利用者の端末装置からの通信パケットの条件である予め決められた正規条件を上流の通信装置へ送信すると共に、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、 Said gate device is configured to transmit the predetermined normal condition is a condition of a communication packet from a legitimate user of the terminal device to the upstream communication device, identify the legitimate packets based on said suspect signature and the normal condition a regular signature to generate,
    以後、前記正規シグネチャによって識別される正規パケットの伝送帯域制限を解除する処理を行い、 Hereinafter, a process for releasing the transmission band limiting regular packet identified by said normal signature,
    前記通信装置は、下流のゲート装置または通信装置から受信した前記正規条件を上流の通信装置へ送信すると共に、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、 The communication device is configured to transmit the normal condition received from the downstream of the gate device or a communication device to the upstream communication device, generates a regular signature for identifying the normal packet based on said suspect signature and the normal condition,
    以後、正規シグネチャによって識別される正規パケットの伝送帯域制限を解除する処理を行う Thereafter, processing is performed for releasing the transmission band limiting regular packet identified by the regular signatures
    ことを特徴とする分散型サービス不能攻撃防止方法。 Distributed denial of service attack prevention method characterized by.
  2. 複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置において、 A network comprising a plurality of communication devices connected in a mesh shape, the gate device interposed between the computer and LAN is protective object,
    分散型サービス不能攻撃の攻撃容疑パケットの検出条件を記憶するパケット検出条件記憶部と、 A packet detection condition storing unit for storing a detection condition attack suspect packets distributed denial of service,
    入力される通信パケットをチェックし、前記パケット検出条件記憶部が記憶する攻撃容疑パケットの検出条件を基に攻撃容疑パケットの発生を検出するトラヒック監視手段と、 Check the communication packets input, and traffic monitoring means for the packet detection condition storing section detects the occurrence of a suspicious offensive packet based on the detected condition of the suspicious offensive packet for storing,
    前記トラヒック監視手段によって検出された前記攻撃容疑パケットの伝送帯域を制限する帯域制御手段と、 And bandwidth control means for limiting the transmission band of the attack suspect packets detected by the traffic monitoring means,
    前記攻撃容疑パケットの検出条件を基に前記攻撃容疑パケットを識別する容疑シグネチャを生成するシグネチャ生成手段と、 And signature generating means for generating a suspect signature identifying the suspicious offensive packet based on the detected condition of the suspicious offensive packet,
    前記容疑シグネチャを上流の通信装置に対して送信するシグネチャ送信手段と、を備え、 And a signature transmitting means for transmitting the suspect signature to the upstream communication device,
    前記トラヒック監視手段は、入力される前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出し、 It said traffic monitoring means analyzes the traffic of the suspicious offensive packet input to detect attacks traffic,
    前記帯域制御手段は、前記攻撃トラヒックを構成する攻撃パケットを特定し、特定された前記攻撃パケットの伝送帯域をさらに制限し It said band control means identifies the attack packets constituting the attack traffic, further limiting the transmission band of the identified said attack packets
    前記パケット検出条件記憶部は、さらに、通信パケットが正規利用者の端末装置からの通信パケットである条件を示す正規条件を記憶し、 The packet detection condition storing unit further communications packet stores normal condition indicating a condition is the communication packet from the terminal device authorized user,
    前記シグネチャ生成手段は、前記容疑シグネチャと前記正規条件とを基に正規パケットを識別する正規シグネチャを生成し、 Said signature generating means generates a normal signature that identifies the normal packet based on said normal condition and the suspect signature,
    前記帯域制御手段は、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除し、 Said band control means cancels the transmission band limiting regular packet identified by said normal signature,
    前記シグネチャ送信手段は、前記正規条件を前記上流の通信装置に対して送信する The signature transmitting means transmits the normal conditions for the upstream communication device
    ことを特徴とするゲート装置。 Gate and wherein the.
  3. 防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置において、 In a communication device constituting a network is a defense target computers and LAN are connected via the gate unit,
    下流のゲート装置あるいは通信装置から容疑シグネチャを受信するシグネチャ受信手段と、 A signature receiving means for receiving suspect signature from the downstream of the gate device or the communication device,
    前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限する帯域制御手段と、 And bandwidth control means for limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
    前記容疑シグネチャを上流の通信装置に送信するシグネチャ送信手段と、 And signatures transmitting means for transmitting the suspect signature upstream of the communication device,
    入力される前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するトラヒック監視手段と、 A traffic monitoring unit that detects an attack traffic by analyzing traffic of the suspicious offensive packet input,
    を備え、 Equipped with a,
    前記帯域制御手段は、前記攻撃トラヒックを構成する攻撃パケットを特定し、特定された前記攻撃パケットの伝送帯域をさらに制限し、 Said band control means, said identifying the attack packets constituting the attack traffic, further limiting the transmission band of the specified the attack packets,
    前記シグネチャ受信手段は、前記下流のゲート装置あるいは通信装置から正規条件を受信し、 The signature receiving means receives a regular condition from the downstream of the gate device or the communication device,
    前記帯域制御手段は、前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除し、 Said band control means, said normal conditions and the suspect signature generating regular signature for identifying the normal packet based, to release the transmission band limiting regular packet identified by said normal signature,
    前記シグネチャ送信手段は、前記正規条件を前記上流の通信装置に送信することを特徴とする通信装置。 The signature transmitting unit, a communication apparatus and transmits the normal condition to the upstream communication device.
  4. 複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムであって、 A plurality of communication devices to a computer program that runs on a gate device that is interposed between the network formed by connecting in a network form, a computer and LAN is protective object,
    入力される通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックするステップと、 A step of communication traffic to be input to check whether they meet the predetermined conditions for detecting suspicious offensive packet,
    合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成するステップと、 When detecting the matched traffic, generating a suspect signature that identifies the detected the suspicious offensive packet,
    予め決められた正規条件と前記容疑シグネチャを基に正規パケットを識別する正規シグネチャを生成するステップと、 Generating a normal signature that identifies the normal packet predetermined normal conditions based on the suspicion signature,
    前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
    前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 And releasing the transmission band limiting regular packet identified by said normal signature,
    前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
    前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
    前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
    をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラム。 Distributed denial of service attack prevention program for causing a computer to execute the.
  5. 防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置上で実行されるコンピュータプログラムであって、 A computer program executed on a communication apparatus constituting the a defense target computers and LAN are connected via a gate device network,
    下流のゲート装置あるいは通信装置から容疑シグネチャと正規条件とを受信するステップと、 Receiving a suspect signature and regular conditions from the downstream of the gate device or the communication device,
    前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting a transmission band of the suspicious offensive packet identified by the suspicion signature,
    前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを作成し、作成された前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 A step of said normal conditions and the suspect signature to create a regular signature for identifying the normal packet based, releasing the transmission band limiting regular packet identified by said normal signature created,
    前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
    前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
    前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
    をコンピュータに実行させることを特徴とする分散型サービス不能攻撃防止プログラム。 Distributed denial of service attack prevention program for causing a computer to execute the.
  6. 複数の通信装置を網目状に接続してなるネットワークと、防御対象であるコンピュータおよびLANとの間に介挿されたゲート装置上で実行されるコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体であって、 A plurality of communication devices and network formed by connecting in a mesh shape, a computer readable recording medium recording a computer program that runs on through interpolated gate device between the computer and LAN is protective subject Te,
    入力される通信トラヒックが予め決められた攻撃容疑パケットの検出条件に合致するか否かをチェックするステップと、 A step of communication traffic to be input to check whether they meet the predetermined conditions for detecting suspicious offensive packet,
    合致したトラヒックを検出した場合に、検出された前記攻撃容疑パケットを識別する容疑シグネチャを生成するステップと、 When detecting the matched traffic, generating a suspect signature that identifies the detected the suspicious offensive packet,
    予め決められた正規条件と前記容疑シグネチャを基に正規パケットを識別する正規シグネチャを生成するステップと、 Generating a normal signature that identifies the normal packet predetermined normal conditions based on the suspicion signature,
    前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
    前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 And releasing the transmission band limiting regular packet identified by said normal signature,
    前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
    前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
    前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
    の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体。 Recording medium characterized by recording a distributed denial of service attack prevention program for executing each processing in a computer.
  7. 防御対象であるコンピュータおよびLANがゲート装置を介して接続されたネットワークを構成する通信装置上で実行されるコンピュータプログラムを記録したコンピュータ読み取り可能な記録媒体であって、 A computer-readable recording medium recording a computer program executed on a communication apparatus constituting the a defense target computers and LAN are connected via a gate device network,
    下流のゲート装置あるいは通信装置から容疑シグネチャと正規条件とを受信するステップと、 Receiving a suspect signature and regular conditions from the downstream of the gate device or the communication device,
    前記容疑シグネチャで識別される攻撃容疑パケットの伝送帯域を制限するステップと、 A step of limiting the transmission band of the suspicious offensive packet identified by the suspicion signature,
    前記正規条件と前記容疑シグネチャとを基に正規パケットを識別する正規シグネチャを生成し、前記正規シグネチャで識別される正規パケットの伝送帯域制限を解除するステップと、 A step of said normal conditions and the suspect signature generating regular signature for identifying the normal packet based, releasing the transmission band limiting regular packet identified by said normal signature,
    前記容疑シグネチャと前記正規条件を上流の通信装置に送信するステップと、 Transmitting the normal condition and the suspect signature upstream of the communication device,
    前記攻撃容疑パケットのトラヒックを分析して攻撃トラヒックを検出するステップと、 Detecting an attack traffic by analyzing traffic of the suspicious offensive packet,
    前記攻撃トラヒックを構成するパケットの送出元ネットワークを特定し、前記送出元ネットワークから送出される攻撃パケットの伝送帯域をさらに制限するステップと、 A step of the identifying the transmission source network packets constituting the attack traffic, further limits the transmission band of the attack packets sent from the sending source network,
    の各処理をコンピュータに実行させる分散型サービス不能攻撃防止プログラムを記録することを特徴とする記録媒体。 Recording medium characterized by recording a distributed denial of service attack prevention program for executing each processing in a computer.
JP2002081904A 2002-03-22 2002-03-22 Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium Expired - Fee Related JP3699941B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002081904A JP3699941B2 (en) 2002-03-22 2002-03-22 Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002081904A JP3699941B2 (en) 2002-03-22 2002-03-22 Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium

Publications (2)

Publication Number Publication Date
JP2003283554A JP2003283554A (en) 2003-10-03
JP3699941B2 true JP3699941B2 (en) 2005-09-28

Family

ID=29230351

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002081904A Expired - Fee Related JP3699941B2 (en) 2002-03-22 2002-03-22 Distributed denial of service attack prevention method and the gate device, a communication device, distributed denial of service prevention program and a recording medium

Country Status (1)

Country Link
JP (1) JP3699941B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005184792A (en) 2003-11-27 2005-07-07 Nec Corp Band control device, band control method, and program
JP4480422B2 (en) 2004-03-05 2010-06-16 富士通株式会社 Unauthorized access blocking method, apparatus and system and program
JPWO2006040910A1 (en) * 2004-10-12 2008-05-15 日本電信電話株式会社 The relay device, relay method, relay program as well as network attack defense system
JPWO2006040895A1 (en) * 2004-10-12 2008-05-15 日本電信電話株式会社 The relay device, a relay method and a relay program, as well as network attack defense system
US20060191006A1 (en) * 2004-10-12 2006-08-24 Nippon Telegraph And Telephone Corporation Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater
KR100611741B1 (en) 2004-10-19 2006-08-11 한국전자통신연구원 Intrusion detection and prevention system and method thereof
JP4547342B2 (en) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 Network control device and the control systems and control methods
JP4545647B2 (en) * 2005-06-17 2010-09-15 富士通株式会社 Attack detection and prevention system
KR100803029B1 (en) 2006-12-01 2008-02-18 경희대학교 산학협력단 Method for cooperatively defending of ddos attack using statistical detection

Also Published As

Publication number Publication date
JP2003283554A (en) 2003-10-03

Similar Documents

Publication Publication Date Title
Specht et al. Distributed Denial of Service: Taxonomies of Attacks, Tools, and Countermeasures.
Papadopoulos et al. Cossack: Coordinated suppression of simultaneous attacks
Yang et al. A DoS-limiting network architecture
Handley et al. Internet denial-of-service considerations
US7478429B2 (en) Network overload detection and mitigation system and method
US8135657B2 (en) Systems and methods for processing data flows
CA2480455C (en) System and method for detecting an infective element in a network environment
Chakrabarti et al. Internet infrastructure security: A taxonomy
US7979368B2 (en) Systems and methods for processing data flows
US9525696B2 (en) Systems and methods for processing data flows
Liu et al. To filter or to authorize: Network-layer DoS defense against multimillion-node botnets
RU2365986C2 (en) Multi-level firewall architecture
Maruyama et al. Stream control transmission protocol (SCTP) dynamic address reconfiguration
JP3464610B2 (en) Packet verification method
US9800608B2 (en) Processing data flows with a data flow processor
CN102014116B (en) Protecting against distributed network flood attacks
JP4174392B2 (en) Network unauthorized access preventing system, and network unauthorized access preventing apparatus
US20070011741A1 (en) System and method for detecting abnormal traffic based on early notification
JP4480422B2 (en) Unauthorized access blocking method, apparatus and system and program
CN101116068B (en) Intrusion detection in a data center environment
US7308715B2 (en) Protocol-parsing state machine and method of using same
US7797749B2 (en) Defending against worm or virus attacks on networks
US20110213869A1 (en) Processing data flows with a data flow processor
US20110238855A1 (en) Processing data flows with a data flow processor
Peng et al. Survey of network-based defense mechanisms countering the DoS and DDoS problems

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041005

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20041203

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050301

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050428

A911 Transfer of reconsideration by examiner before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20050527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050711

LAPS Cancellation because of no payment of annual fees