JP5009200B2 - ネットワーク攻撃検出装置及び防御装置 - Google Patents
ネットワーク攻撃検出装置及び防御装置 Download PDFInfo
- Publication number
- JP5009200B2 JP5009200B2 JP2008060053A JP2008060053A JP5009200B2 JP 5009200 B2 JP5009200 B2 JP 5009200B2 JP 2008060053 A JP2008060053 A JP 2008060053A JP 2008060053 A JP2008060053 A JP 2008060053A JP 5009200 B2 JP5009200 B2 JP 5009200B2
- Authority
- JP
- Japan
- Prior art keywords
- syn
- packets
- packet
- ack
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク攻撃検出装置及び防御装置に関する。
近年、インターネット上のサーバが提供するサービスを妨害するネットワーク攻撃が問題となっている。このネットワーク攻撃としては、例えば、悪意のある攻撃者がサーバの機能を麻痺させようとして大量のパケットを送信するDDoS(Distributed Denial of Service)攻撃がある。
図7は、TCP(Transmission Control Protocol)の正常な接続確立手順を示すシーケンス図である。
TCPにおける正常な接続確立は以下に示す3ウェイハンドシェイクにより行われる。まず、クライアント22がサーバ23にアクセスする際に、クライアント22は、サーバ23へSYNパケットを送信する。次に、サーバ23は、クライアント22へ受信したSYNパケットに対する受信確認であるSYN−ACKパケットを返送する。最後に、SYN−ACKパケットを受信したクライアントは、サーバ23へACKパケットを送信する。これにより、クライアント22とサーバ23とは通信可能な状態となる。
TCPにおける正常な接続確立は以下に示す3ウェイハンドシェイクにより行われる。まず、クライアント22がサーバ23にアクセスする際に、クライアント22は、サーバ23へSYNパケットを送信する。次に、サーバ23は、クライアント22へ受信したSYNパケットに対する受信確認であるSYN−ACKパケットを返送する。最後に、SYN−ACKパケットを受信したクライアントは、サーバ23へACKパケットを送信する。これにより、クライアント22とサーバ23とは通信可能な状態となる。
図8は、DDoS攻撃の1つであるSYN Flood攻撃の概要を示すシーケンス図である。
SYN Flood攻撃は、上記3ウェイハンドシェイクを悪用した攻撃である。悪意のあるクライアント22は、サーバ23へ送信元を詐称した多数のSYNパケットを送信する。そのSYNパケットを受信したサーバ23は、SYNパケットを送信したクライアント22ではなく、詐称された送信元に対してSYN−ACKパケットを送信する。しかし、当該送信元は詐称されたものであるため、送信元からはACKパケットがサーバ23へ返送されることはない。やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。このため、サーバ23は、SYNパケットの応答としてこれ以上接続ができない事を示すRSTパケットをSYNパケットの送信元に送信する。このため、一般ユーザからのサーバ23へのアクセスが妨害されてしまう。
SYN Flood攻撃は、上記3ウェイハンドシェイクを悪用した攻撃である。悪意のあるクライアント22は、サーバ23へ送信元を詐称した多数のSYNパケットを送信する。そのSYNパケットを受信したサーバ23は、SYNパケットを送信したクライアント22ではなく、詐称された送信元に対してSYN−ACKパケットを送信する。しかし、当該送信元は詐称されたものであるため、送信元からはACKパケットがサーバ23へ返送されることはない。やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。このため、サーバ23は、SYNパケットの応答としてこれ以上接続ができない事を示すRSTパケットをSYNパケットの送信元に送信する。このため、一般ユーザからのサーバ23へのアクセスが妨害されてしまう。
図9は、図8で示した攻撃以外の攻撃パターンの概要を示すシーケンス図である。
この攻撃パターンでは、悪意のあるクライアント22は、サーバ23へSYNパケットを送信するが、そのSYNパケットに対するSYN−ACKパケットを受信しても、サーバ23へACKパケットを返送しない。そのため、クライアント22が大量にSYNパケットを送信すると、やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。
この攻撃パターンでは、悪意のあるクライアント22は、サーバ23へSYNパケットを送信するが、そのSYNパケットに対するSYN−ACKパケットを受信しても、サーバ23へACKパケットを返送しない。そのため、クライアント22が大量にSYNパケットを送信すると、やがて、サーバ23ではTCP接続確立の要求数が許容量を超えて、TCP接続確立の要求を受け付けることができなくなってしまう。
このような攻撃に対する従来の防御方法には、正常トラフィックの到着レート変動が正規分布によりモデル化できることを利用して、攻撃トラフィックを検出する方法(例えば、非特許文献1参照)や、トラフィックの統計的性質を利用し、Wavelet変換を応用した攻撃トラフィック検出方法(例えば、非特許文献2参照)が提案されている。
また、特許文献1に記載された防御装置では、攻撃可能性のあるクライアントからのSYNパケットを一旦防御装置に蓄積し、SYNパケットの送信元アドレス(クライアント)の存在を確認したうえで当該SYNパケットを宛先アドレス(サーバ)に送信する。また、特許文献2に記載された防御装置は、単位時間あたりの上り方向のパケット数と下り方向のパケット数の統計情報から攻撃を検知する。
特開2005−124055号公報
特開2007−166154号公報
大木裕一他、「観測トラヒックの統計的性質を利用したDDoS Attackの検出方法」信学技報IN2003-201、pp23-28、2004
P. Shinde, et al., "Early DoS Attack Detection using Smoothened Time-Series and Wavelet Analysis," IEEE 3rd International Symposium on Information Assurance and Security, 2007.
また、特許文献1に記載された防御装置では、攻撃可能性のあるクライアントからのSYNパケットを一旦防御装置に蓄積し、SYNパケットの送信元アドレス(クライアント)の存在を確認したうえで当該SYNパケットを宛先アドレス(サーバ)に送信する。また、特許文献2に記載された防御装置は、単位時間あたりの上り方向のパケット数と下り方向のパケット数の統計情報から攻撃を検知する。
しかしながら、非特許文献1、非特許文献2及び特許文献2に記載された技術では、通信トラヒックの統計的性質を計算する必要があるため、防御装置の処理が複雑になってしまう、という問題がある。また、特許文献1に記載された技術では、クライアントの存在をSYN−ACKパケットを送信することにより確認してから通信を開始するため、攻撃者ではない一般ユーザの通信開始に遅延増をもたらしてしまう、また、防御装置の構成が複雑になってしまう、という問題がある。
本発明は上記の点に鑑みてなされたものであり、その目的は、簡易な構成でネットワーク攻撃の検出を可能とし、かつ、通信開始までの遅延時間の増加を回避するネットワーク攻撃検出装置及び防御装置を提供することにある。
本発明は上記の点に鑑みてなされたものであり、その目的は、簡易な構成でネットワーク攻撃の検出を可能とし、かつ、通信開始までの遅延時間の増加を回避するネットワーク攻撃検出装置及び防御装置を提供することにある。
本発明は上記の課題を解決するためになされたものであり、本発明の一態様は、特定クライアントから送信された制御パケットの個数を計数する第1のカウンタと、前記特定クライアント宛に送信された制御パケットの個数を計数する第2のカウンタと、前記第1及び第2のカウンタの各カウンタ値の比に基づいて、前記特定クライアントによるネットワーク攻撃を検出する検出手段と、を備えたことを特徴とするネットワーク攻撃検出装置である。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1及び第2のカウンタは、パケット長によって制御パケットを識別することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットとACKパケットの合計個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットの個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットの個数に対するSYN−ACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットの個数とACKパケットの個数を計数し、前記検出手段は、SYNパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、SYNパケットとACKパケットの合計個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が所定の値より大きい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置において、前記第1のカウンタは、ACKパケット個数を計数し、前記第2のカウンタは、SYN−ACKパケットの個数を計数し、前記検出手段は、SYN−ACKパケットの個数に対するACKパケットの個数の比が所定の値より小さい場合にTCPに係る「SYN Flood攻撃」を検出することを特徴とする。
また、本発明の一態様は、上記のネットワーク攻撃検出装置と、ネットワーク攻撃が検出された特定のクライアントが送信元である制御パケットの帯域制限を行う帯域制限部と、を備えたことを特徴とする防御装置である。
また、本発明の一態様は、上記の防御装置において、前記帯域制限対象は、TCPに係るSYNパケットであることを特徴とする。
本発明によれば、特定クライアントから送信された制御パケットの個数と特定クライアント宛に送信された制御パケットの個数の比に基づいてネットワーク攻撃を検出するので、複雑な処理が必要なくなる。これにより、簡易な構成でネットワーク攻撃の検出が可能となる。また、クライアントを確認する必要がないので、通信開始までの遅延時間の増加を回避することができる。
以下、図面を参照しながら本発明の実施形態について詳しく説明する。
図1は、本発明の実施形態による防衛装置1の配置位置を示す概略図である。
この図に示すように、クライアント2とサーバ3は、ネットワークを介して接続される。防御装置1は、クライアント2とネットワークの間に設けられる。この防御装置1は、例えば、通信事業者の局舎内に設けられ、クライアント2と加入者線(光ケーブル等)で1対1に接続されている。クライアント2と1対1で接続されることにより、防御装置1は、特定のクライアント2からのパケットのみ制限することができる。防御装置1は、ネットワークを介してサーバ3へ、クライアント2から受信したパケットを送信する。また、防御装置1は、ネットワークを介してサーバ3から受信したパケットをクライアント2へ送信する。
図1は、本発明の実施形態による防衛装置1の配置位置を示す概略図である。
この図に示すように、クライアント2とサーバ3は、ネットワークを介して接続される。防御装置1は、クライアント2とネットワークの間に設けられる。この防御装置1は、例えば、通信事業者の局舎内に設けられ、クライアント2と加入者線(光ケーブル等)で1対1に接続されている。クライアント2と1対1で接続されることにより、防御装置1は、特定のクライアント2からのパケットのみ制限することができる。防御装置1は、ネットワークを介してサーバ3へ、クライアント2から受信したパケットを送信する。また、防御装置1は、ネットワークを介してサーバ3から受信したパケットをクライアント2へ送信する。
サーバ3は、防御対象となるサーバ装置である。クライアント2は、パーソナルコンピュータなどのTCP(Transmission Control Protocol)に準拠した通信を行うことができる装置である。
なお、図1においては、クライアント2及びサーバ3を1台ずつ示しているが、複数台存在しても構わない。以下では、クライアント2からサーバ3へ向かう方向を「上り方向」、サーバ3からクライアント2へ向かう方向を「下り方向」として説明する。
本実施形態では、TCPに係るSYN Flood攻撃を防御する。まず、本発明の原理を説明する。TCPにおける正常な接続確立手順では、図7のように、SYNパケット数:SYN−ACKパケット数:ACKパケット数の比は、1:1:1になる。一方、図8の攻撃パターンでは、上り方向のSYNパケットが多いのに比して、下り方向のSYN−ACKパケットは少なくなる。また、上り方向のACKパケットも少ない。この知見に基づき、いくつかのSYN Flood攻撃の判定方法を着想した。以下では、上り方向のSYNパケット数と下り方向のSYN−ACKパケット数の比からSYN Flood攻撃を判定する。又は、上り方向のSYNパケット数と上り方向のACKパケット数の比からSYN Flood攻撃を判定する。
(判定方法1)この判定方法では、上り方向のSYNパケットとACKパケットの合計数Aと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、SYN−ACKパケット数Bの合計数Aに対する比(B/A)は0.5となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、B/Aは小さな値になる。この場合の判定条件は、B/Aが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は0.5より小さい値である。
(判定方法2)この判定方法では、上り方向のSYNパケット数Cと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、SYN−ACKパケット数BのSYNパケット数Cに対する比(B/C)は1となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、B/Cは小さな値になる。この場合の判定条件は、B/Cが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。
(判定方法3)この判定方法では、上り方向のSYNパケット数Cと上り方向のACKパケット数Dの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、ACKパケット数DのSYNパケット数Cに対する比(D/C)は1となり、極端に小さな値にはならない。一方、図8の攻撃パターンでは、D/Cは小さな値になる。この場合の判定条件は、D/Cが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。
図9のACKパケットを送信しない攻撃パターンでは、上り方向のSYNパケットが多いが、上り方向のACKパケットは少ない。この知見に基づき、以下の方法でSYN Flood攻撃を判定できる。
(判定方法4)この判定方法では、上り方向のSYNパケット及びACKパケットの合計数Aと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。図9の攻撃パターンでは、SYN−ACKパケット数Bの合計数Aに対する比(B/A)は1となる。この場合の判定条件は、B/Aが所定の閾値より大きくなる場合にSYN Flood攻撃と判定する。所定の閾値は0.5より大きい値である。
(判定方法5)この判定方法では、上り方向のACKパケット数Dと下り方向のSYN−ACKパケット数Bの比からSYN Flood攻撃を判定する。TCPにおける正常な接続確立手順では、ACKパケット数DのSYN−ACKパケット数Bに対する比(D/B)は1となり、極端に小さな値にはならない。一方、図9の攻撃パターンでは、D/Bは小さな値になる。この場合の判定条件は、D/Bが所定の閾値より小さくなる場合にSYN Flood攻撃と判定する。所定の閾値は1より小さい値である。
また、上述した判定方法3でもこの攻撃パターンの判定をすることができる。以下、各実施形態を説明する。
また、上述した判定方法3でもこの攻撃パターンの判定をすることができる。以下、各実施形態を説明する。
[第1の実施形態]
本実施形態は、判定方法1又は4の実施形態である。また、本実施形態では、制御パケット(SYNパケット、ACKパケット及びSYN−ACKパケット等)をカウントする手段として短パケットをカウントする。短パケットとは、あらかじめ設定された所定の値よりサイズの小さいパケットのことである。これは、制御パケットのパケット長が比較的短いこと、及びデータトラヒックのパケット長が比較的長く、制御パケットのパケット長と同程度になる確率が極めて低いことを利用している。制御パケットは、SYNパケット、ACKパケット及びSYN−ACKパケット以外にも存在するが、SYN Flood攻撃がある場合には、判定方法1又は判定方法4の傾向が強くなるため上り方向の短パケットと下り方向の短パケットの比で判定できる。なお、制御パケットは、VLAN(Virtual LAN)タグ等がない状態で64バイトである。
本実施形態は、判定方法1又は4の実施形態である。また、本実施形態では、制御パケット(SYNパケット、ACKパケット及びSYN−ACKパケット等)をカウントする手段として短パケットをカウントする。短パケットとは、あらかじめ設定された所定の値よりサイズの小さいパケットのことである。これは、制御パケットのパケット長が比較的短いこと、及びデータトラヒックのパケット長が比較的長く、制御パケットのパケット長と同程度になる確率が極めて低いことを利用している。制御パケットは、SYNパケット、ACKパケット及びSYN−ACKパケット以外にも存在するが、SYN Flood攻撃がある場合には、判定方法1又は判定方法4の傾向が強くなるため上り方向の短パケットと下り方向の短パケットの比で判定できる。なお、制御パケットは、VLAN(Virtual LAN)タグ等がない状態で64バイトである。
図2は、第1の実施形態における防御装置1の構成を示すブロック図である。
防御装置1は、第1のネットワークインタフェース部11と、上り短パケットカウンタ部12(第1のカウンタ)と、下り短パケットカウンタ部13(第2のカウンタ)と、制御部14(検出手段)と、振り分け部15と、帯域制限部16と、統合部17と、第2のネットワークインタフェース部18と、を含んで構成される。本実施形態における防御装置1は、上り方向の短パケット数と下り方向の短パケット数を算出し、それらの比に基づいてネットワーク攻撃であるか否かを判定する。
防御装置1は、第1のネットワークインタフェース部11と、上り短パケットカウンタ部12(第1のカウンタ)と、下り短パケットカウンタ部13(第2のカウンタ)と、制御部14(検出手段)と、振り分け部15と、帯域制限部16と、統合部17と、第2のネットワークインタフェース部18と、を含んで構成される。本実施形態における防御装置1は、上り方向の短パケット数と下り方向の短パケット数を算出し、それらの比に基づいてネットワーク攻撃であるか否かを判定する。
第1のネットワークインタフェース部11は、クライアント2から送信されるパケットを受信し、受信したパケットを上り短パケットカウンタ部12に出力する。また、クライアント2宛てのパケットをクライアント2へ送信する。
上り短パケットカウンタ部12は、単位時間あたりに入力される短パケットの数をカウントし、カウントした値(N1)を制御部14に出力する。また、上り短パケットカウンタ部12は、入力されたパケットを振り分け部15に出力する。
第2のネットワークインタフェース部18は、サーバ3からクライアント2宛てのパケットを受信し、受信したパケットを下り短パケットカウンタ部13に出力する。また、第2のネットワークインタフェース部18は、統合部17から入力された上り方向のパケットをサーバ3へネットワークを介して送信する。
下り短パケットカウンタ部13は、単位時間あたりに入力される短パケットの数をカウントし、カウントした値(N2)を制御部14に出力する。また、下り短パケットカウンタ部13は、入力されたパケットを第1のネットワークインタフェース部11に出力する。
制御部14は、上り短パケットカウンタ部12から入力されたカウンタ値N1及び下り短パケットカウンタ部13から入力されたカウンタ値N2に基づいて、ネットワーク攻撃を検出する。また、制御部14は、ネットワーク攻撃があると判定した場合、帯域制限部16を制御して上り方向の短パケットに帯域制限をかける。その詳細については後述する。
振り分け部15は上り短パケットカウンタ部12から入力されたパケットをSYNパケットとその他のパケットに分類する。また、振り分け部15は、SYNパケットを帯域制限部16に、その他のパケットを統合部17に出力する。帯域制限部16は、入力されたSYNパケットを統合部17へ出力する。その際、制御部14からの制御信号に基づいて、SYNパケットの通過量を制限する。
統合部17は、帯域制限部16から入力されたSYNパケットのトラヒックと振り分け部15から入力されたその他のパケットのトラヒックを統合し、第2のネットワークインタフェース部18に出力する。
図3は、本実施形態の制御部14における防御処理の流れの一例を示すシーケンス図である。
制御部14は、防御処理を開始する前に、ネットワーク攻撃検出のための閾値Xを設定する(ステップS1)。なお、閾値Xは、オペレータなどによって防御装置1に入力された値である。次に、制御部14は、カウンタ値を取得する(ステップS2)。本実施形態では、制御部14は、カウンタ値として、上り短パケットカウンタ部12からN1を、下り短パケットカウンタ部13からN2を取得する。N1はSYNパケットとACKパケットの合計数Aに対応する。N2はSYN−ACKパケット数Bに対応する。
制御部14は、防御処理を開始する前に、ネットワーク攻撃検出のための閾値Xを設定する(ステップS1)。なお、閾値Xは、オペレータなどによって防御装置1に入力された値である。次に、制御部14は、カウンタ値を取得する(ステップS2)。本実施形態では、制御部14は、カウンタ値として、上り短パケットカウンタ部12からN1を、下り短パケットカウンタ部13からN2を取得する。N1はSYNパケットとACKパケットの合計数Aに対応する。N2はSYN−ACKパケット数Bに対応する。
続いて、制御部14は、ネットワーク攻撃判定を行う(ステップS3)。本実施形態では、制御部14は、N2のN1に対する比(N2/N1)を算出し、算出した値を閾値Xと比較する。判定方法1の場合は、閾値Xは、0.5−αである。この場合、制御部14は、N2/N1が閾値Xより小さい場合にネットワーク攻撃であると判定する。また、判定方法4の場合は、閾値Xは0.5+βである。この場合、制御部14は、N2/N1が閾値Xより大きい場合にネットワーク攻撃であると判定する。α,βは予め決められた正の定数である。なお、判定方法は、判定方法1または判定方法4いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。
ネットワーク攻撃であると判定した場合、制御部14は、帯域制限部16を制御してSYNパケットに帯域制限をかける(ステップS4)。このとき、制御部14は、最大パケット数を指定する。帯域制限部16は、制御部14からの制御信号に基づいて、単位時間あたり最大パケット数のSYNパケットのみを統合部17に通過させる。ここで、制御部14は、例えば、最大パケット数をN2×aとして帯域制限部16に制御信号を出力する。aは、1以上の定数である。最大パケット数はN2の値に基づいているため、単位時間毎に変化する。
一方、ネットワーク攻撃でないと判定した場合には、制御部14は、帯域制限部16が帯域制限設定済みか否かを判定する(ステップS5)。帯域制限設定済みでない場合には、ステップS2へ移行する。一方、帯域制限設定済みである場合には、制御部14は、帯域制限部16の帯域制限を解除して(ステップS6)、ステップS2へ移行する。
このように、本実施形態によれば、防御装置1は、単位時間あたりの上り方向の短パケット数と、下り方向の短パケット数の比に基づいて、ネットワーク攻撃を検出するため、複雑な処理を行う必要がない。これにより、簡易な装置構成により、ネットワーク攻撃を検出することができる。また、防御装置1は、クライアントの存在を確認する必要がないため、一般ユーザの通信開始に遅延増をもたらすことはない。また、防御装置1は、ネットワーク攻撃が検出された場合には、単位時間あたりの上り方向のSYNパケットの数を制限することにより、サーバ3への攻撃を抑制することができる。
[第2の実施形態]
この発明の第2の実施形態は、判定方法1又は判定方法4の実施形態である。第1の実施形態では、単位時間あたりの上り方向の短パケット数と下り方向の短パケット数を用いてネットワーク攻撃の検出を行ったが、本実施形態では、単位時間あたりのSYNパケットとACKパケットの合計数とSYN−ACKパケット数を算出し、算出した値を用いてネットワーク攻撃の検出を行う。
この発明の第2の実施形態は、判定方法1又は判定方法4の実施形態である。第1の実施形態では、単位時間あたりの上り方向の短パケット数と下り方向の短パケット数を用いてネットワーク攻撃の検出を行ったが、本実施形態では、単位時間あたりのSYNパケットとACKパケットの合計数とSYN−ACKパケット数を算出し、算出した値を用いてネットワーク攻撃の検出を行う。
図4は、本実施形態における防御装置5の構成を示すブロック図である。
防御装置5は、第1のネットワークインタフェース部51と、SYN/ACKカウンタ部52(第1のカウンタ)と、SYN−ACKカウンタ部53(第2のカウンタ)と、制御部54(検出手段)と、振り分け部55と、帯域制限部56と、統合部57と、第2のネットワークインタフェース部58と、を含んで構成される。
防御装置5は、第1のネットワークインタフェース部51と、SYN/ACKカウンタ部52(第1のカウンタ)と、SYN−ACKカウンタ部53(第2のカウンタ)と、制御部54(検出手段)と、振り分け部55と、帯域制限部56と、統合部57と、第2のネットワークインタフェース部58と、を含んで構成される。
SYN/ACKカウンタ部52は、第1のネットワークインタフェース部51を介してクライアント2から受信したSYNパケットとACKパケットの単位時間あたりの合計数をカウントし、カウントした値(N51)を制御部54に出力する。また、SYN/ACKカウンタ部52は、入力されたパケットを振り分け部55に出力する。
SYN−ACKカウンタ部53は、第2のネットワークインタフェース部58を介してネットワークから受信したSYN−ACKパケットの単位時間あたりの数をカウントし、カウントした値(N52)を制御部54に出力する。また、SYN−ACKカウンタ部53は、入力されたパケットを第1のネットワークインタフェース部51に出力する。
制御部54は、SYN/ACKカウンタ部52から入力されたカウンタ値N51及びSYN−ACKカウンタ部53から入力されたカウンタ値N52に基づいて、ネットワーク攻撃を検出する。具体的には、制御部54が、N52のN51に対する比(N52/N51)を算出する。N51はSYNパケットとACKパケットの合計数Aに対応する。N52はSYN−ACKパケット数Bに対応する。そして、制御部54は、判定方法1では、N52/N51の値が「0.5−α」より小さい場合にネットワーク攻撃であると判定する。また、制御部54は、判定方法4では、N52/N51の値が「0.5+β」より大きい場合にネットワーク攻撃であると判定する。なお、判定方法は、判定方法1または判定方法4いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。他の構成は第1の実施形態と同様なので説明を省略する。
このように、本実施形態によれば、単位時間あたりのSYNパケット及びACKパケットの合計数とSYN−ACKパケット数の比に基づいてネットワーク攻撃を検出している。これにより、より正確なネットワーク攻撃の検知及び抑制が可能になる。
[第3の実施形態]
この発明の第3の実施形態は、判定方法2又は判定方法5の実施形態である。第2の実施形態では、SYNパケットとACKパケットの区別をせずカウントしたが、本実施形態では、SYNパケットとACKパケットを別々にカウントする。
この発明の第3の実施形態は、判定方法2又は判定方法5の実施形態である。第2の実施形態では、SYNパケットとACKパケットの区別をせずカウントしたが、本実施形態では、SYNパケットとACKパケットを別々にカウントする。
図5は、本実施形態における防御装置6の構成を示すブロック図である。
防御装置6は、第1のネットワークインタフェース部61と、SYN/ACK別カウンタ部62(第1のカウンタ)と、SYN−ACKカウンタ部63(第2のカウンタ)と、制御部64(検出手段)と、振り分け部65と、帯域制限部66と、統合部67と、第2のネットワークインタフェース部68と、を含んで構成される。
防御装置6は、第1のネットワークインタフェース部61と、SYN/ACK別カウンタ部62(第1のカウンタ)と、SYN−ACKカウンタ部63(第2のカウンタ)と、制御部64(検出手段)と、振り分け部65と、帯域制限部66と、統合部67と、第2のネットワークインタフェース部68と、を含んで構成される。
SYN/ACK別カウンタ部62は、第1のネットワークインタフェース部61を介してクライアント2から受信したSYNパケットとACKパケットの単位時間あたりの数をそれぞれカウントし、SYNパケットをカウントした値(N61)とACKパケットをカウントした値(N63)を制御部64に出力する。また、SYN/ACK別カウンタ部62は、入力されたパケットを振り分け部65に出力する。
制御部64は、SYN/ACK別カウンタ部62から入力されたカウンタ値N61、カウンタ値N63及びSYN−ACKカウンタ部63から入力されたSYN−ACKパケットの単位時間あたりのカウント数であるカウンタ値N62に基づいて、ネットワーク攻撃を検出する。具体的には、制御部64が、N62のN61に対する比(N62/N61)と、N63に対するN62の比(N63/N62)を算出する。N61はSYNパケット数Cに対応する。N62は、SYN−ACKパケット数Bに対応する。N63は、ACKパケット数Dに対応する。
そして、制御部64は、判定方法2では、N62/N61の値が「1−γ」より小さい場合にネットワーク攻撃であると判定する。また、制御部64は、判定方法5では、N63/N62の値が「1−γ」より小さい場合に、ネットワーク攻撃であると判定する。γは、予め決められた正の定数である。なお、判定方法は、判定方法2または判定方法5いずれを用いてもよい。あるいは、両方を用いて判定を行ってもよい。他の構成は第2の実施形態と同様なので説明を省略する。
このように、本実施形態によれば、SYNパケットとACKパケットの単位時間あたりの数を別々にカウントして、その値に基づいてネットワーク攻撃の検出をしている。これにより、より正確なネットワーク攻撃の検出が可能になる。
[第4の実施形態]
この発明の第4の実施形態は、判定方法3の実施形態である。本実施形態では、SYNパケット及びACKパケットのそれぞれの単位時間あたりの数に基づいてネットワーク攻撃の検出を行う。
この発明の第4の実施形態は、判定方法3の実施形態である。本実施形態では、SYNパケット及びACKパケットのそれぞれの単位時間あたりの数に基づいてネットワーク攻撃の検出を行う。
図6は、本実施形態における防御装置7の構成を示すブロック図である。
防御装置7は、第1のネットワークインタフェース部71と、SYN/ACK別カウンタ部72(第1のカウンタ)と、制御部74(検出手段)と、振り分け部75と、帯域制限部76と、統合部77と、第2のネットワークインタフェース部78と、を含んで構成される。
防御装置7は、第1のネットワークインタフェース部71と、SYN/ACK別カウンタ部72(第1のカウンタ)と、制御部74(検出手段)と、振り分け部75と、帯域制限部76と、統合部77と、第2のネットワークインタフェース部78と、を含んで構成される。
制御部74は、SYN/ACK別カウンタ部72から入力されたSYNパケットの単位時間あたりの数であるカウンタ値N71及びACKパケットの単位時間あたりの数であるカウンタ値N72に基づいて、ネットワーク攻撃を検出する。具体的には、制御部74が、N72のN71に対する比(N72/N71)を算出する。N71はSYNパケット数Cに対応する。N72はACKパケット数Dに対応する。そして、制御部74は、N72/N71の値が「1−γ」未満の場合に、ネットワーク攻撃であると判定する。他の構成は第3の実施形態と同様なので説明を省略する。
このように、本実施形態によれば、SYNパケットとACKパケットの単位時間あたりの数に基づいてネットワーク攻撃の検出をしている。これにより、より簡易な構成でネットワーク攻撃の検出が可能になる。
以上、図面を参照してこの発明の実施形態について詳しく説明してきたが、具体的な構成は上述のものに限られることはなく、この発明の要旨を逸脱しない範囲内において様々な設計変更等をすることが可能である。
例えば、本実施形態では、防御装置1,5,6,7をクライアント2と1対1になるように設けたが、複数のクライアント2に1台の防御装置1,5,6,7を設けてもよい。その場合、防御装置1,5,6,7は、各クライアント2について、ネットワーク攻撃を検出する。また、ネットワーク攻撃が検出された場合には、ネットワーク攻撃が検出されたクライアント2からのSYNパケットにのみ帯域制限をかける。このとき、防御装置1,5,6,7には、制御部14,54,64,74以外の各部が接続されたクライアント2の数分設けられる。
また、上述した実施形態では、防御装置1,5,6,7をユーザ端末2とネットワークの間に設置したが、サーバ3とネットワークの間に設置してもよい。このとき、防御装置1,5,6,7は、サーバ3に送信されてくる全てのパケットについて防御処理を行う。
1,5,6,7…防衛装置 2,22…クライアント 3,23…サーバ 11,51,61,71…第1のネットワークインタフェース部 12…上り短パケットカウンタ部 13…下り短パケットカウンタ部 14,54,64,74…制御部 15,55,56,66,76…振り分け部 16,56,66,76…帯域制限部 17,57,67,77…統合部 18,58,68,78…第2のネットワークインタフェース部 52…SYN/ACKカウンタ部 53,63…SYN−ACKカウンタ部 62,72…SYN/ACK別カウンタ部
Claims (4)
- 特定クライアントから送信されたSYNパケット及びACKパケットの合計個数を計数する第1のカウンタと、
前記特定クライアント宛に送信されたSYN−ACKパケットの個数を計数する第2のカウンタと、
前記第1及び第2のカウンタの各カウンタ値の比と、ネットワーク攻撃か否かを判定するための複数の判定方法にそれぞれ対応付けられた第1閾値及び該第1閾値より小さい第2閾値と、の比較結果に基づいて、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が前記第1閾値より大きい場合に、前記特定クライアントによるTCPに係る「SYN Flood攻撃」を検出し、SYNパケットとACKパケットの合計個数に対するSYN−ACKパケットの個数の比が前記第2閾値より小さい場合に、前記特定クライアントによるTCPに係る「SYN Flood攻撃」を検出する検出手段と、
を備えたことを特徴とするネットワーク攻撃検出装置。 - 前記第1及び第2のカウンタは、パケット長によって制御パケットを識別することを特徴とする請求項1に記載のネットワーク攻撃検出装置。
- 請求項1又は請求項2のいずれか1項に記載のネットワーク攻撃検出装置と、
ネットワーク攻撃が検出された特定のクライアントが送信元である制御パケットの帯域制限を行う帯域制限部と、
を備えたことを特徴とする防御装置。 - 前記帯域制限対象は、TCPに係るSYNパケットであることを特徴とする請求項3に記載の防御装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008060053A JP5009200B2 (ja) | 2008-03-10 | 2008-03-10 | ネットワーク攻撃検出装置及び防御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008060053A JP5009200B2 (ja) | 2008-03-10 | 2008-03-10 | ネットワーク攻撃検出装置及び防御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009218825A JP2009218825A (ja) | 2009-09-24 |
| JP5009200B2 true JP5009200B2 (ja) | 2012-08-22 |
Family
ID=41190271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008060053A Expired - Fee Related JP5009200B2 (ja) | 2008-03-10 | 2008-03-10 | ネットワーク攻撃検出装置及び防御装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5009200B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6585133B2 (ja) * | 2017-06-02 | 2019-10-02 | 株式会社三菱Ufj銀行 | 通信経路制御システム |
| JP6813451B2 (ja) * | 2017-07-28 | 2021-01-13 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7398317B2 (en) * | 2000-09-07 | 2008-07-08 | Mazu Networks, Inc. | Thwarting connection-based denial of service attacks |
| US7114182B2 (en) * | 2002-05-31 | 2006-09-26 | Alcatel Canada Inc. | Statistical methods for detecting TCP SYN flood attacks |
| JP2004164107A (ja) * | 2002-11-11 | 2004-06-10 | Kddi Corp | 不正アクセス監視システム |
| JP2004312064A (ja) * | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP4490182B2 (ja) * | 2004-06-17 | 2010-06-23 | 三菱電機株式会社 | 通信装置およびパケット通信方法 |
| US8001583B2 (en) * | 2005-11-08 | 2011-08-16 | Tohoku University | Network failure detection method and network failure detection system |
| JP4303741B2 (ja) * | 2006-09-28 | 2009-07-29 | 富士通株式会社 | 通信遮断装置、通信遮断プログラムおよび通信遮断方法 |
-
2008
- 2008-03-10 JP JP2008060053A patent/JP5009200B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009218825A (ja) | 2009-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| US8819821B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
| KR101442020B1 (ko) | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | |
| CN109005175B (zh) | 网络防护方法、装置、服务器及存储介质 | |
| US20060075491A1 (en) | Network overload detection and mitigation system and method | |
| US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
| US20040236966A1 (en) | Queuing methods for mitigation of packet spoofing | |
| US7404210B2 (en) | Method and apparatus for defending against distributed denial of service attacks on TCP servers by TCP stateless hogs | |
| CN112134894A (zh) | 一种DDoS攻击的移动目标防御方法 | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| KR20190053540A (ko) | SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법 | |
| Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
| US7464398B2 (en) | Queuing methods for mitigation of packet spoofing | |
| Huang et al. | Detecting stepping-stone intruders by identifying crossover packets in SSH connections | |
| JP5009200B2 (ja) | ネットワーク攻撃検出装置及び防御装置 | |
| CN101795277A (zh) | 一种单向流检测模式下的流量检测方法和设备 | |
| CN105592055A (zh) | 一种用于tcp syn flood的防攻击方法和装置 | |
| EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
| Zhang et al. | Robustness of RED in mitigating LDoS attack | |
| KR101449627B1 (ko) | 비정상 세션 탐지 방법 및 장치 | |
| Barbhuiya et al. | Detection and mitigation of induced low rate TCP-targeted denial of service attack | |
| CN113179247B (zh) | 拒绝服务攻击防护方法、电子装置和存储介质 | |
| Ali et al. | Enhancement of the Detection of the TCP SYN Flooding (DDoS) Attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100716 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100720 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111215 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20111215 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120207 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120327 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20120328 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120508 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120530 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150608 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |