JP3988731B2 - ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム - Google Patents

ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム Download PDF

Info

Publication number
JP3988731B2
JP3988731B2 JP2004049535A JP2004049535A JP3988731B2 JP 3988731 B2 JP3988731 B2 JP 3988731B2 JP 2004049535 A JP2004049535 A JP 2004049535A JP 2004049535 A JP2004049535 A JP 2004049535A JP 3988731 B2 JP3988731 B2 JP 3988731B2
Authority
JP
Japan
Prior art keywords
agent
computer
attack
manager
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004049535A
Other languages
English (en)
Other versions
JP2005242539A (ja
Inventor
由也 木津
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004049535A priority Critical patent/JP3988731B2/ja
Publication of JP2005242539A publication Critical patent/JP2005242539A/ja
Application granted granted Critical
Publication of JP3988731B2 publication Critical patent/JP3988731B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラムに関し、特に、メタボール技法を利用するファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラムに関する。
DDoS(Distributed Denial of Service:分散型サービス妨害)攻撃とは、複数の踏み台サーバを利用し、複数箇所から一斉にDoS攻撃を行い、サーバのメモリ資源やCPU資源を枯渇させたりネットワークリソースを利用できなくするなどして、標的となるサーバのサービスを不能にする攻撃である。DoS攻撃とは違い、攻撃者が標的に対して直接攻撃を行うのではなく、別の踏み台となる不特定多数のコンピュータから攻撃を行うことを特徴とする攻撃手法である。
DDoS攻撃には、大きく分けるとソフトウェアのバグをねらう攻撃と、単純にサーバに過剰な負荷をかける攻撃の2つがある。特に後者の場合、一般の不正アクセスと異なり、送信されてくるパケットが不正には見えないので、根本的な解決手段は現在のところまだない。
DDoS攻撃を受けた時の直接的な被害には、以下のようなものがある。
(1)帯域の圧迫。
(2)ルータやファイアウォールの処理能力の低下。
(3)ターゲットサーバの処理能力低下。
(4)ファイアウォールやサーバのディスク資源の大量消費(膨大なログが発生)。
DDoS攻撃に対する防御に関する技術としては、DDoS攻撃が発生すると、攻撃元に近い通信装置に防御モジュールを送付してDDoS攻撃を防御する技術が開示されている(たとえば、特許文献1)。
また、シグニチャ(パターンファイル)を用いて、DDoS攻撃を検知することが、開示されている(たとえば、非特許文献1)。
特開2002−164938号公報 株式会社シマンテック、「Symantec ManHunt」、[online]、[平成16年2月23日検索]、インターネット<URL:http://www.symantec.co.jp/region/jp/products/manhunt/index.html>
上述した特許文献1、非特許文献1記載の技術の問題点は、DDos攻撃に対する対策が、不十分なことである。
その理由は、特許文献1記載の発明では、DDoS攻撃が発生すると、攻撃元に近い通信制御装置に防御モジュールを送信するのみであり、他方向からのDDoS攻撃に対して事前対処できないからである。
また、非特許文献1記載の内容は、やはり、DDos攻撃に対する対策が、不十分である。
その理由は、DDoS攻撃検出後に設定変更を要するファイアウォールを特定し、DDoS攻撃を防御するという手段がないからである。
本発明の目的は、メタボール技法を利用して障害の影響度、影響範囲を予測することにより、設定変更を要するファイアウォールを特定し、他方向からの時間をおいたDDoS攻撃攻撃に対しても防御可能とすることである。
本発明の第1のファイアウォール制御システムは、DDos攻撃による攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、メタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信するマネージャコンピュータを有することを特徴とする。
本発明の第2のファイアウォール制御システムは、ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるファイアウォール制御システムであって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加し、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する、ことを特徴とする。
本発明の第3のファイアウォール制御システムは、ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるファイアウォール制御システムであって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加し、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行い、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信し、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信することを特徴とする。
本発明の第4のファイアウォール制御システムは、前記第2または第3のファイアウォール制御システムであって、攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する前記マネージャ手段を有することを特徴とする。
本発明の第5のファイアウォール制御システムは、前記第4のファイアウォール制御システムであって、メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする。
本発明の第1のファイアウォール制御方法は、マネージャコンピュータが、DDos攻撃による攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、メタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を含むことを特徴とする。
本発明の第2のファイアウォール制御方法は、ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるシステムに適用されるファイアウォール制御方法であって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加する手順と、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順と、を含むことを特徴とする。
本発明の第3のファイアウォール制御方法は、前記第2のファイアウォール制御方法であって、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信する手順と、前記エージェントコンピュータの前記エージェント手段が、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行う手順と、を含むことを特徴とする。
本発明の第4のファイアウォール制御方法は、前記第2または第3のファイアウォール制御方法であって、前記マネージャ手段が、攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する手順を含むことを特徴とする。
本発明の第5のファイアウォール制御方法は、前記第4のファイアウォール制御方法であって、メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする。
本発明の第1のファイアウォール制御プログラムは、マネージャコンピュータに、DDos攻撃による攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、メタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を実行させることを特徴とする。
本発明の第2のファイアウォール制御プログラムは、ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるシステムに適用されるファイアウォールプログラムであって、前記エージェントコンピュータの前記エージェント手段に、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加する手順を実行させ、前記マネージャコンピュータの前記マネージャ手段に、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を実行させることを特徴とする。
本発明の第3のファイアウォール制御プログラムは、前記第2のファイアウォール制御プログラムであって、前記マネージャコンピュータの前記マネージャ手段に、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信する手順を実行させ、前記エージェントコンピュータの前記エージェント手段に、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行う手順を実行させる、ことを特徴とする。
本発明の第4のファイアウォール制御プログラムは、前記第2または第3のファイアウォール制御プログラムであって、前記マネージャ手段に、攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する手順を実行させることを特徴とする。
本発明の第5のファイアウォール制御プログラムは、前記第4のファイアウォール制御プログラムであって、メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする。
本発明の効果は、DDos攻撃によるトラフィック障害を抑止し、通常利用者へのサービスを継続することができることである。
その理由は、DDos攻撃の検出の設定の変更を行う必要があるファイアウォールを特定する手段として前記メタボール技法を用いることで、他方向からのDDos攻撃に対する防御を可能とするからである。
次に、本発明を実施するための第1の最良の形態について図面を参照して詳細に説明する。
図1は、本発明を実施するための第1の最良の形態の構成を示すブロック図である。
図1を参照すると、本発明を実施するための第1の最良の形態は、ファイアウォール11、ファイアウォール12、ファイアウォール13、ファイアウォール14と、あるサービスを提供するサーバ15と、サーバ15が提供するサービスを利用するクライアント16、クライアント17と、これらを接続するネットワークとから構成される。ファイアウォール11、ファイアウォール12、ファイアウォール13、ファイアウォール14は、それぞれ、コンピュータ51、コンピュータ52、コンピュータ53、コンピュータ54上に、ハードウェア、または、ソフトウェア、または、ハードウェアとソフトウェアとの組み合わせで実現される。
クライアント16、クライアント17、サーバ15は、ファイアウォール11〜ファイアウォール14のいずれかによって守られるので、防御対象コンピュータと呼ぶ。
ネットワーク上のコンピュータ51〜コンピュータ54には、ファイアウォールプログラム、および、エージェントプログラム(エージェント手段)がインストールされる。一つのマネージャプログラム(マネージャ手段)が、エージェントプログラムを集中管理して、ファイアウォールの設定を変更可能とするため、あらかじめコンピュータ51には、マネージャプログラムがインストールされる。すなわち、ファイアウォール11〜ファイアウォール14は、コンピュータ51〜コンピュータ54、ファイアウォールプログラム、エージェントプログラム、および、マネージャプログラムによって実現される。
また、コンピュータ52のファイアウォールプログラムは、サーバ15に対するDDoS攻撃が検知可能となるようあらかじめ設定される。
次に、本発明で扱う既知のDDoS攻撃(ここで、便宜のため、以降、DDoS1、DDoS2と呼ぶ)、未知のDDoS攻撃、および他の攻撃(他の不正アクセス)に関して説明する。
エージェントプログラムが、不正アクセス、DDoS攻撃パケットのパターンを記したシグニチャをパターンファイルとして持ち、入力パケットとシグニチャとを比較することで攻撃の検知を行う。さらに、エージェントプログラムは、プロトコル異常やトラフィック異常などによる検知機能を実装し、前記パターンファイルによる攻撃の検知と組み合わせることにより様々なDDoS攻撃の検知を実施する。
エージェントプログラムは、まず、パターンファイルにより、DDoS1攻撃、DDoS2攻撃であるかどうかを検出する。次に、エージェントプログラムは、プロトコル異常やトラフィック異常の種類により、未知のDDoS攻撃であるのか、それとも、他の攻撃であるのかを検出する。
たとえば、エージェントプログラムは、プロトコル異常において、RFC(Request For Comment)標準ルールに準拠していない通信であった場合、または、トラフィック異常において、通信量がある値を超える場合に、未知のDDoS攻撃と検知する。
図2は、コンピュータ51〜コンピュータ54の構成を示すブロック図である。
図2を参照すると、コンピュータ51〜コンピュータ54は、通信部81、演算部82、記憶部83(メモリ、または、ハードディスク等)を含む。また、たとえば、ファイアウォール11〜ファイアウォール14のファイアウォールプログラム、エージェントプログラム、マネージャプログラムは、記憶部83上に格納される。演算部82はファイアウォールプログラム、マネージャプログラム、エージェントプログラムを実行し、通信部81は、ネットワークでの通信を行う。
ファイアウォール11〜ファイアウォール14にインストールされたエージェントプログラムは、トラフィック障害、あるいは、異常な数の接続要求などからDDoS攻撃を検知し、DDoS攻撃の種類ごとに、あらかじめ設定された予想される障害の影響範囲、影響度を、マネージャプログラムに対して通知する機能を有する。また、エージェントプログラムは、マネージャプログラムからの指示により自コンピュータ上で動作するファイアウォールプログラムの設定を変更可能とする機能を有する。マネージャプログラムは、DDoS攻撃の障害内容(たとえば、サービスの停止)と、予想される影響度、影響範囲とを含む障害情報をエージェントプログラムから受信した障害情報をリアルタイムで可視化する(たとえば、ディスプレイ等に表示する機能)を有する。また、マネージャプログラムは、必要と判断するエージェントプログラムに指示し、発生したDDoS攻撃を検知するように指示し、かつ、ファイアウォールプログラムのフィルタ設定(アクセス制御(パケットの通過可否)の設定、帯域制御(使用可能な回線容量の制限))変更を指示する。
次に、クライアント16、クライアント17からサーバ15に対するDDoS攻撃が発生した場合について説明する。
クライアント16、クライアント17は、サーバ15が提供するサービスに対して要求パケットを送信する。サーバ15は、要求内容に応じて返信を行う。クライアント16、クライアント17からサーバ15に対するDDoS攻撃により、トラフィック障害が生じると、障害を検知したファイアウォール12にインストールされたエージェントプログラムが、障害内容と、予想される障害の影響度、影響範囲と含む障害情報をマネージャプログラムに通知する。マネージャプログラムは、障害情報をもとに設定を変更する必要があるエージェントプログラム(ファイアウォールプログラムを含む)を特定し、発生したDDoS攻撃を検知するように指示し、かつ、フィルタ設定を変更するように指示する。ここで、設定を変更する必要があるエージェントプログラム(ファイアウォールプログラムを含む)を特定する方法として、コンピュータ・グラフィックスの分野で複雑な曲面を描画する際に使用されているメタボール技法が用いられる。
以下にメタボール技法について図面を参照して説明する。
図3は、メタボールの概念を示す説明図である。
スカラ空間の等値面で複雑な曲面を定義する場合、どのようにスカラ空間を作り出せばよいのかが問題となる。最も単純な方法は、点電荷がその周囲に作る電位分布のようなものを考えることである。この点電荷のような役目をする点と電位分布とを合わせてメタボール、あるいは、blobという。目的のスカラ空間は、このメタボールをいくつか組み合わせることによって作り出される。濃度分布は、それぞれのメタボールが作りだす濃度分布の合成として定義される。
メタボールの濃度分布としては、正規分布に基づく分布関数(図3の式1)が提案されている。しかしながら、この分布関数は、理論的には無限の範囲の濃度分布をもつため形状の局所的な変更が難しく、計算コストも大きな問題となる。そのため、濃度分布が有限の範囲で定義されるような、区分的な2次関数や、4次関数による分布関数も提案されている。ここでは便宜上、図3の式2に示すような4次関数による分布関数を使用する。
式2では、メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)である。ここで、D0は、メタボールの中心における濃度、bは、定義域である。
たとえば、距離rは、ファイアウォールコンピュータ間の経由する中継器の数とすることが可能であるが、これには限らない。また、定義域は、中継器の一定個数と定義することも可能である。
本発明では、エージェントプログラムにあらかじめ設定された予想される障害の影響範囲をメタボールの定義域に、予想される障害の影響度をメタボールの中心における濃度値として考えて濃度分布を作成し、ある閾値の等濃度面内に存在するファイアウォールを設定の変更が必要なファイアウォールとして特定する。
また、DDoS攻撃の種類ごとにあらかじめ予想される障害の影響範囲、影響度を各エージェントプログラムに設定しておき、攻撃トラフィックの状況を踏まえて、メタボールの中心における濃度値、メタボールの定義域に対して重み付けを行う。以下にその例を示す。
(攻撃手法=DDoS1,障害の影響範囲=1.0,障害の影響度=1.0)、(攻撃手法=DDoS2,障害の影響範囲=1.0,障害の影響度=1.0)、(攻撃手法=未知のDDoS攻撃,障害の影響範囲=2.0,障害の影響度=2.0)。
DDoS以外の攻撃は、障害の影響範囲、障害の影響度は、設定されず、メタボール技法は、使用
DDoS1が検知され、ネットワークの回線速度の理論値に対して攻撃トラフィックが占める割合が、Kであった場合は、作成するメタボールの中心における濃度値、メタボールの定義域をそれぞれ以下のように定義する。
「メタボールの中心における濃度値」=「障害の影響度1.0」×「ネットワークの回線速度の理論値に対して攻撃トラフィックが占める割合K(0<K≦1)」=K。
「メタボールの定義域」=「障害の影響範囲1.0」×「ネットワークの回線速度の理論値に対して攻撃トラフィックが占める割合K(0<K≦1)」=K。
上記方法で特定されたファイアウォールに対して、DDoS攻撃を検知する設定とアクセス制御を行う設定とを反映していく方法で攻撃元を追い詰め、DDoS攻撃によるトラフィック障害を抑止する。
次に、本発明を実施するための第1の最良の形態の動作について図面を参照して説明する。
図4は、本発明を実施するための第1の最良の形態の動作を示すフローチャートである。
図5は、設定を変更するファイアウォールの特定方法を示す説明図である。
図4を参照すると、まず、管理者がエージェントプログラム、および、マネージャプログラムに対して初期設定を行う(図4ステップS1)。管理者により、エージェントプログラムに対しては、DDoS攻撃によるトラフィック障害を検知する際の閾値の設定、および、DDoS攻撃の種類ごとにあらかじめ予想される障害の影響範囲=1.0(または、2.0)、障害の影響度=1.0(または2.0)が設定される(キーボード等から)。
マネージャプログラムは、ネットワークを介し、エージェントプログラムから情報を収集してネットワーク全体の構成(図1)を作成し記憶部83に格納する。また、管理者は、あらかじめ等濃度面を作成する際に使用するメタボールの閾値T0をマネージャプログラムに設定する(ステップS2)。
次に、管理者は、ファイアウォール12のエージェントプログラムにサーバ15をターゲットとしたDDoS攻撃を検知できるように設定を行う(ステップS3)。
運用中に、ファイアウォール12のエージェントプログラムが、クライアント16からのDDoS攻撃(または、未知の攻撃)を検知すると、ファイアウォール12のエージェントプログラムは、障害内容(たとえば、サービスの停止、応答の時間増)、あらかじめ設定された予想される障害の影響範囲、および、影響度を含む障害情報を通信部81を介しマネージャプログラムに通知する(ステップS4)。
次に、マネージャプログラムは、ネットワーク全体の構成(図1)に基づいて、攻撃元(クライアント16)により近いファイアウォール11のエージェントプログラムから、通信部81を介し、あらかじめ設定された予想される障害の影響範囲、障害の影響度を取得する(ステップS5)。
次に、マネージャプログラムは、図1のファイアウォール11、および、ファイアウォール12の存在位置をメタボールの中心と考え、メタボール技法を用いて閾値T0における等濃度面を作成し(図5)、設定の変更が必要なファイアウォール(エージェントプログラム、ファイアウォールプログラム)を特定する(ステップS6)。マネージャプログラムは、演算部82を用いて、ハードウェア資源である記憶部83に、演算結果である等濃度面の数値データを格納する。演算部82は、加減算器、乗除算器を含んでいる。
図5を参照すると、閾値T0における等濃度面とは、ファイアウォール11の閾値T0以上の範囲と、ファイアウォール12の閾値T0以上の範囲の論理和の範囲である。等濃度面内のファイアウォール11、ファイアウォール12が、変更が必要なファイアウォールである。
次に、マネージャプログラムは、閾値T0における等濃度面内のファイアウォール11のエージェントプログラムに対して、サーバ15をターゲットとするDDoS攻撃を検知できるよう設定の変更を指示する(ステップS7)。
ファイアウォール11のエージェントプログラムは、サーバ15をターゲットとするDDoS攻撃を検知できるよう自身の設定の変更を行う(ステップS8)。
次に、マネージャプログラムは、ファイアウォール11のエージェントプログラム、および、ファイアウォール12のエージェントプログラムに対してサーバ15をターゲットとするフィルタ設定の変更(DDoS攻撃のパケットを破棄するか、もしくは、帯域制御するように設定の変更)を指示する(ステップS9)。
次に、ファイアウォール11、ファイアウォール12のエージェントプログラムはマネージャプログラムから、フィルタ設定の変更指示を受け取ると、それぞれのファイアウォールプログラムに、フィルタ設定の変更(ターゲットとするDDoS攻撃のパケットを破棄するか、もしくは、帯域制御するように設定の変更する)を指示し、それぞれのファイアウォールプログラムがフィルタ設定の変更を行う(ステップS10)。
以降は、ファイアウォール12だけでなく、ファイアウォール11においてもサーバ15をターゲットとするDDoS攻撃を検知可能となる。再度、DDoS攻撃が検知されると、上記と同様の処理で、DDoS攻撃によるトラフィック障害を攻撃元に少しずつさかのぼりながら防御することができる。
以上により、アクセス制御を行う必要があるファイアウォールを特定し、複数ファイアウォールを連携させてアクセス制御を行うことにより、DDoS攻撃の攻撃トラフィックによるネットワークの輻輳を防ぎ、通常利用者へのサービスを継続することができる。
次に、本発明を実施するための第2の最良の形態について図面を参照して詳細に説明する。
図6は、本発明を実施するための第2の最良の形態の構成を示すブロック図である。
図6を参照すると、本発明を実施するための第1の最良の形態は、ファイアウォール31、ファイアウォール32、ファイアウォール33、ファイアウォール34、ファイアウォール38、ファイアウォール39と、あるサービスを提供するサーバ35と、サーバ35が提供するサービスを利用するクライアント36、クライアント37、クライアント40とから構成される。
本発明を実施するための第2の最良の形態の構成と、本発明を実施するための第1の最良の形態の構成との相違は、ファイアウォール38、ファイアウォール39、クライアント40が付加された点である。
本発明を実施するための第2の最良の形態も、第1の最良の形態と同様、ファイアウォール31〜ファイアウォール34、ファイアウォール38、ファイアウォール39は、ソフトウェアとハードウェアとの組み合わせで実現され、それぞれ、図6に示すようにコンピュータ61、コンピュータ62、コンピュータ63、コンピュータ64、コンピュータ65、コンピュータ66上に実現される。
ネットワーク上の全ファイアウォール31〜ファイアウォール36等は、エージェントプログラムがインストールされる。一つのマネージャプログラムが、エージェントプログラムを集中管理して、ファイアウォールの設定を変更可能とするため、あらかじめ、コンピュータ61に対してはマネージャプログラムがインストールされる。また、コンピュータ63のエージェントプログラムは、サーバ35に対するDDoS攻撃が検知可能となるようあらかじめ設定される。
マネージャプログラムは、ネットワークを介し、エージェントプログラムから情報を収集してネットワーク全体の構成(図6)を作成し記憶部83に格納する。また、管理者は、あらかじめ等濃度面を作成する際に使用するメタボールの閾値T1をマネージャプログラムに設定する。
次に、本発明を実施するための第2の最良の形態の動作について図面を参照して説明する。
図7は、設定を変更するファイアウォールの特定方法を示す説明図である。
たとえば、ファイアウォール32のエージェントプログラムがクライアント36からの未知のDDoS攻撃を検知した場合、図6におけるファイアウォール31、ファイアウォール32の存在位置をメタボールの中心とし、メタボール技法を用いて閾値T1における等濃度面を作成し(図7)、設定の変更が必要なファイアウォールを特定する。
図7を参照すると、閾値T1における等濃度面とは、ファイアウォール31の閾値T1以上の範囲と、ファイアウォール32の閾値T1以上の範囲の論理和の範囲である。等濃度面内のファイアウォール31、ファイアウォール32、ファイアウォール33が、変更が必要なファイアウォールである。
ファイアウォール31、ファイアウオール38のエージェントプログラムは、サーバ35をターゲットとするDDoS攻撃を検知できるよう自身の設定の変更を行う。また、ファイアウォール31、ファイアウォール32、ファイアウォール38のファイアウォールプログラムは、フィルタ設定の変更(サーバ35をターゲットとするDDoS攻撃のパケットを破棄するか、もしくは、帯域制御するように設定の変更する)を行う。
第2の最良の形態では、クライアント36から再度攻撃があった場合はファイアウォール31で障害を検知することができる。したがって、攻撃中にも、通常利用者へのサービスを継続させることが可能となる。また、クライアント37、クライアント40から同様の攻撃が発生したとしても、ファイアウォール32、ファイアウォール38で障害を検知して、より効率よく攻撃元を追い詰めることができる。
したがって、他方向から時間差で攻撃が開始された場合にも防御可能である。
次に、本発明の第3の発明を実施するための最良の形態について図面を参照して説明する。
図8に示すように、複数の閾値(T1,T2)をあらかじめマネージャプログラムに設定しておき、閾値T1で作成した等濃度面内のファイアウォールのエージェントプログラムには、検知されたDDoS攻撃と同じケースの障害を検知できるよう設定変更を行い、閾値T2で作成した等濃度面内のファイアウォールのエージェントプログラムには帯域制御などのアクセス制御を行うよう設定変更するという形で、閾値ごとに設定を自由にカスタマイズ可能とする。本発明の第3の発明を実施するための最良の形態では、設定の幅を広げることができるだけでなく、複数ファイアウォールの連携による多重防御を可能とすることができる。
次に、本発明を実施するための第2の最良の形態の実施例について図面を参照して説明する。
図9は、本発明を実施するための第2の最良の形態の実施例の構成を示すブロック図である。
図9を参照すると、インターネット70を介して本社のシステム、A支店のシステム、B支店のシステムが接続されている。この実施例の構成は、図6に示す構成に対応可能である。本発明を実施するための第3の最良の形態は、インターネットを介した大規模なネットワークでも十分対応可能であるといえる。
本発明によれば、インターネット上に公開する各種サービスをDDoS攻撃から防御するといった用途に適用できる。また、複数ファイアウォールを連携させ、設定を変更することでDDoS攻撃を防御でき、かつ運用コストも低減できるDDoS攻撃防御ソリューションを提供するといった用途にも適用可能である。
本発明を実施するための第1の最良の形態の構成を示すブロック図である。 コンピュータの構成を示すブロック図である。 メタボールの概念を示す説明図である。 本発明を実施するための第1の最良の形態の動作を示すフローチャートである。 設定を変更するファイアウォールの特定方法を示す説明図である。 本発明を実施するための第2の最良の形態の構成を示すブロック図である。 設定を変更するファイアウォールの特定方法を示す説明図である。 設定を変更するファイアウォールの特定方法を示す説明図である。 本発明を実施するための第2の最良の形態の実施例の構成を示すブロック図である。
符号の説明
11 ファイアウォール
12 ファイアウォール
13 ファイアウォール
14 ファイアウォール
15 サーバ
16 クライアント
17 クライアント
31 ファイアウォール
32 ファイアウォール
33 ファイアウォール
34 ファイアウォール
35 サーバ
36 クライアント
37 クライアント
38 ファイアウォール
39 ファイアウォール
40 クライアント
51 コンピュータ
52 コンピュータ
53 コンピュータ
54 コンピュータ
61 コンピュータ
62 コンピュータ
63 コンピュータ
64 コンピュータ
65 コンピュータ
66 コンピュータ
70 インターネット
81 通信部
82 演算部
83 記憶部

Claims (15)

  1. DDos攻撃による障害の影響範囲、障害の影響度を含む攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値としてメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信するマネージャコンピュータを有することを特徴とするファイアウォール制御システム。
  2. ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるファイアウォール制御システムであって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加し、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値として自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する、ことを特徴とするファイアウォール制御システム。
  3. ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるファイアウォール制御システムであって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加し、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行い、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値として自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信し、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信することを特徴とするファイアウォール制御システム。
  4. 攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する前記マネージャ手段を有することを特徴とする請求項2または3記載のファイアウォール制御システム。
  5. メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする請求項4記載のファイアウォール制御システム。
  6. マネージャコンピュータが、DDos攻撃による障害の影響範囲、障害の影響度を含む攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値としてメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を含むことを特徴とするファイアウォール制御方法。
  7. ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるシステムに適用されるファイアウォール制御方法であって、前記エージェントコンピュータの前記エージェント手段が、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加する手順と、前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値として自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順と、を含むことを特徴とするファイアウォール制御方法。
  8. 前記マネージャコンピュータの前記マネージャ手段が、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信する手順と、前記エージェントコンピュータの前記エージェント手段が、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行う手順と、を含むことを特徴とする請求項7記載のファイアウォール制御方法。
  9. 前記マネージャ手段が、攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する手順を含むことを特徴とする請求項7または8記載のファイアウォール制御方法。
  10. メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする請求項9記載のファイアウォール制御方法。
  11. マネージャコンピュータに、DDos攻撃による障害の影響範囲、障害の影響度を含む攻撃検知通知を受信すると、攻撃検知通知を送信したエージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値としてメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を実行させることを特徴とするファイアウォール制御プログラム。
  12. ファイアウォールプログラム、エージェント手段、演算部、および、記憶部を含む1以上のエージェントコンピュータと、前記ファイアウォールプログラム、マネージャ手段、演算部、記憶部を含むマネージャコンピュータと、1以上の防御対象コンピュータと、前記エージェントコンピュータ、前記マネージャコンピュータ、および、前記防御対象コンピュータを接続するネットワークとを備えるシステムに適用されるファイアウォールプログラムであって、前記エージェントコンピュータの前記エージェント手段に、DDoS攻撃を検知すると、DDoS攻撃の種類に対応する事前に設定された障害の影響範囲、障害の影響度を前記マネージャコンピュータに攻撃検知通知として送信し、前記マネージャコンピュータからの検知設定指示を受信し、検知するDDoS攻撃の種類を追加する手順を実行させ、前記マネージャコンピュータの前記マネージャ手段に、攻撃検知通知を受信すると、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータから事前に設定された障害の影響範囲、障害の影響度を取得し、前記攻撃検知通知を送信したエージェントコンピュータ、および、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータをメタボールの中心として、かつ、障害の影響範囲に比例する値をメタボールの定義域とし障害の影響度に比例する値をメタボールの中心における濃度値として自内の前記記憶部、前記演算部を使用してメタボール技法の演算を行い、設定の変更を要する前記エージェントコンピュータを特定し、特定した前記エージェントコンピュータでDDoS攻撃を検知しないものに対し検知された種類のDDoS攻撃を検知する検知設定指示を送信する手順を実行させることを特徴とするファイアウォール制御プログラム。
  13. 前記マネージャコンピュータの前記マネージャ手段に、攻撃検知通知を受信すると、設定の変更を要する前記エージェントコンピュータに対し、パケットを破棄するか、もしくは、帯域制御するように設定の変更を指示する設定変更指示を送信する手順を実行させ、前記エージェントコンピュータの前記エージェント手段に、設定変更指示を受信すると、前記ファイアウォールプログラムにパケットを破棄するか、もしくは、帯域制御するように設定を行う手順を実行させる、ことを特徴とする請求項12記載のファイアウォール制御プログラム。
  14. 前記マネージャ手段に、攻撃検知通知を送信した前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T0以上の濃度の範囲と、攻撃検知通知を送信した前記エージェントコンピュータより攻撃元に近い1以上の前記エージェントコンピュータの前記エージェント手段に事前に設定された閾値T1以上の濃度の範囲との論理和の範囲である等濃度面内に存在する前記エージェントコンピュータを設定の変更を要する前記エージェントコンピュータとして特定する手順を実行させることを特徴とする請求項12または13記載のファイアウォール制御プログラム。
  15. メタボールに中心からの距離rにおける濃度は、D(r)=D0・{1−(r/b)・(r/b)}・{1−(r/b)・(r/b)}(0≦r≦b)、0(b<r)であり、D0は、メタボールの中心における濃度、bは、定義域であることを特徴とする請求項14記載のファイアウォール制御プログラム。
JP2004049535A 2004-02-25 2004-02-25 ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム Expired - Fee Related JP3988731B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004049535A JP3988731B2 (ja) 2004-02-25 2004-02-25 ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004049535A JP3988731B2 (ja) 2004-02-25 2004-02-25 ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム

Publications (2)

Publication Number Publication Date
JP2005242539A JP2005242539A (ja) 2005-09-08
JP3988731B2 true JP3988731B2 (ja) 2007-10-10

Family

ID=35024241

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004049535A Expired - Fee Related JP3988731B2 (ja) 2004-02-25 2004-02-25 ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム

Country Status (1)

Country Link
JP (1) JP3988731B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5792654B2 (ja) * 2012-02-15 2015-10-14 株式会社日立製作所 セキュリティ監視システムおよびセキュリティ監視方法

Also Published As

Publication number Publication date
JP2005242539A (ja) 2005-09-08

Similar Documents

Publication Publication Date Title
US11539739B2 (en) Detection and mitigation of flood type DDoS attacks against cloud-hosted applications
Bhushan et al. Security challenges in cloud computing: state-of-art
Zhang et al. Communication security in internet of thing: preventive measure and avoid DDoS attack over IoT network
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
US9781157B1 (en) Mitigating denial of service attacks
JP4914052B2 (ja) セキュリティポリシーを配布するための方法およびシステム
Schmerl et al. Architecture-based self-protection: composing and reasoning about denial-of-service mitigations
CN105359157B (zh) 用于检测到安全漏洞而生成警报的网络安全系统和方法
Mahdavi Hezavehi et al. An anomaly-based framework for mitigating effects of DDoS attacks using a third party auditor in cloud computing environments
WO2016075115A1 (en) Selection of countermeasures against cyber attacks
Srinivasan et al. A survey on the impact of DDoS attacks in cloud computing: prevention, detection and mitigation techniques
KR20100118836A (ko) 다수의 캐시 서버를 이용하여 부하를 분산시키는 DDoS 공격 회피 시스템, 부하 분산 시스템 및 캐시 서버
CA3021285C (en) Methods and systems for network security
Abbasi et al. Machine learning-based EDoS attack detection technique using execution trace analysis
Kholidy et al. Ha-cids: A hierarchical and autonomous ids for cloud systems
US20210105300A1 (en) Methods and systems that detect and deflect denial-of-service attacks
Kholidy et al. A cost-aware model for risk mitigation in Cloud computing systems
CN108183884B (zh) 一种网络攻击判定方法及装置
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
Rao et al. SEDoS-7: a proactive mitigation approach against EDoS attacks in cloud computing
Dar et al. Experimental analysis of DDoS attack and it's detection in Eucalyptus private cloud platform
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
Liu et al. Real-time detection of covert channels in highly virtualized environments
JP3988731B2 (ja) ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム
JP6649296B2 (ja) セキュリティ対処案設計装置及びセキュリティ対処案設計方法

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070508

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070604

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070709

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100727

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees