JP6232456B2 - 制御装置、緩和システム、制御方法及びコンピュータプログラム - Google Patents

制御装置、緩和システム、制御方法及びコンピュータプログラム Download PDF

Info

Publication number
JP6232456B2
JP6232456B2 JP2016018191A JP2016018191A JP6232456B2 JP 6232456 B2 JP6232456 B2 JP 6232456B2 JP 2016018191 A JP2016018191 A JP 2016018191A JP 2016018191 A JP2016018191 A JP 2016018191A JP 6232456 B2 JP6232456 B2 JP 6232456B2
Authority
JP
Japan
Prior art keywords
attack
mitigation
type
network
defense function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016018191A
Other languages
English (en)
Other versions
JP2017138728A (ja
Inventor
賢斗 池田
賢斗 池田
泰弘 畑谷
泰弘 畑谷
孝則 水口
孝則 水口
要 西塚
要 西塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2016018191A priority Critical patent/JP6232456B2/ja
Priority to US16/075,021 priority patent/US10999315B2/en
Priority to EP17747402.0A priority patent/EP3413229B1/en
Priority to PCT/JP2017/003399 priority patent/WO2017135246A1/ja
Publication of JP2017138728A publication Critical patent/JP2017138728A/ja
Application granted granted Critical
Publication of JP6232456B2 publication Critical patent/JP6232456B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、通信機器に対して行われる攻撃の影響を軽減させる技術に関する。
ネットワークに接続された通信機器に対して攻撃を行う技術がある。このような攻撃技術の一つとして、攻撃対象となる通信機器に対してサービスの提供を困難に陥れる攻撃(以下、単に「攻撃」という。)がある。攻撃の具体例として、Denial of Service攻撃やDistributed Denial of Service攻撃がある。DDoS攻撃に対する防御技術として、攻撃元の通信装置から送信されるトラフィックを特定の装置(以下、「緩和装置」という。「緩和」は"Mitigation"の意味である。)に引き込むことによって通信負荷を軽減する技術がある。また、DoS攻撃とDDoS攻撃とで異なる防御方法を選択する技術も提案されている(例えば特許文献1参照)。
特開2006−67078号公報
攻撃には複数の種別がある。例えば、DDoS攻撃にも実装の方法などにより複数の種別が存在する。一方で、緩和装置にも複数の種別が存在する。各種別の緩和装置には、攻撃の種別によって得手不得手がある。そのため、採用される緩和装置の種別と実行される攻撃の種別の組み合わせによっては、効果的に防御を実現できない場合があった。
上記事情に鑑み、本発明は、より効果的に攻撃に対する防御を行うことを可能とする技術の提供を目的としている。
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択する制御装置である。
本発明の一態様は、攻撃に対する防御の機能を実行する複数の種別の緩和装置と、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、を備える緩和システムである。
本発明の一態様は、上記の緩和システムであって、前記制御装置は、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する。
本発明の一態様は、上記の緩和システムであって、前記制御装置は、前記監視対象のネットワークに設置された装置であって前記監視対象のネットワーク宛に中継される通信に基づいて前記攻撃が行われていることを検知する検知装置から、前記監視対象のネットワークに対して行われている前記攻撃の種別の通知を受ける。
本発明の一態様は、上記の緩和システムであって、前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置をさらに備え、前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する。
本発明の一態様は、上記の緩和システムであって、前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置をさらに備え、前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する。
本発明の一態様は、上記の緩和システムであって、前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置をさらに備え、前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する。
本発明の一態様は、上記の緩和システムであって、前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する。
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択する制御方法である。
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップをコンピュータに実行させるためのコンピュータプログラムである。
本発明により、より効果的に攻撃に対する防御を行うことが可能となる。
緩和システムを備えた通信システムの構成を表すシステム構成図である。 第一検知装置120の機能構成を表す概略ブロック図である。 緩和システム500の機能構成を示す概略ブロック図である。 判定基準テーブルの具体例を示す図である。 通信システムにおける処理の流れを示すシーケンスチャートである。 判定基準テーブルの変形例を示す図である。
図1は、緩和システムを備えた通信システムのシステム構成を表すシステム構成図である。図1に示される通信システムは、第一ネットワーク100、第一中継装置110、第一検知装置120、第二ネットワーク200、第二中継装置210、第二検知装置220、第三ネットワーク300、第三中継装置310、第一通信装置320、第二通信装置330、主ネットワーク400及び緩和システム500を備える。
第一ネットワーク100は、緩和システム500による監視対象のネットワークである。第一ネットワーク100に対して攻撃が行われた場合、緩和システム500による防御が実行される。第一ネットワーク100には、第一検知装置120が接続される。第一検知装置120は、第一中継装置110から通信情報を受信する。第一検知装置120は、受信された通信情報を解析することによって、第一ネットワーク100に対して攻撃が行われているか否か判定し、攻撃を検知する。
第二ネットワーク200は、緩和システム500による監視対象のネットワークである。第二ネットワーク200に対して攻撃が行われた場合、緩和システム500による防御が実行される。第二ネットワーク200には、第二検知装置220が接続される。第二検知装置220は、第二中継装置210から通信情報を受信する。第二検知装置220は、受信された通信情報を解析することによって、第二ネットワーク200に対して攻撃が行われているか否か判定し、攻撃を検知する。
第三ネットワーク300は、緩和システム500による監視の対象となっていないネットワークである。第三ネットワーク300は、例えば不特定のIP(Internet Protocol)ネットワークである。第三ネットワーク300には、第一通信装置320及び第二通信装置330が接続される。第一通信装置320及び第二通信装置330は、第三ネットワーク300に接続される不特定の通信装置の具体例である。以下、第一通信装置320及び第二通信装置330を、第一ネットワーク100又は第二ネットワーク200に対して攻撃を行う装置の具体例として説明する。
主ネットワーク400は、ゲートウェイとして第一中継装置110、第二中継装置210及び第三中継装置310を備える。第一ネットワーク100は、第一中継装置110を介して主ネットワーク400に接続される。第二ネットワーク200は、第二中継装置210を介して主ネットワーク400に接続される。第三ネットワーク300は、第三中継装置310を介して主ネットワーク400に接続される。主ネットワーク400は、例えば第一ネットワーク100及び第二ネットワーク200に対して不特定のIPネットワークへの接続サービスを提供する事業者(キャリア)によって管理されるネットワークであってもよい。
緩和システム500は、主ネットワーク400に接続される。緩和システム500は、監視対象のネットワーク(例えば第一ネットワーク100及び第二ネットワーク200)に対して、攻撃からの防御の機能を提供する。
図2は、第一検知装置120の機能構成を表す概略ブロック図である。第一検知装置120は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。第一検知装置120は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備える。第一検知装置120は、検知プログラムを実行することによって、通信部121、判定部122及び通知部123を備える装置として機能する。なお、第一検知装置120の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。検知プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。検知プログラムは、電気通信回線を介して送信されても良い。
通信部121は、通信インタフェース等の通信機器を用いて構成される。通信部121は、有線通信を行ってもよいし、無線通信を行ってもよい。通信部121は、第一中継装置110及び緩和システム500と通信する。通信部121は、例えば第一中継装置110から通信情報を受信する。通信情報は、第一中継装置110が中継した通信に関する情報である。通信情報は、例えば第一中継装置110によって中継されたパケットに関する情報を含んでもよい。通信部121は、例えば通知部123によって生成された攻撃情報を緩和システム500に送信する。攻撃情報は、第一ネットワーク100に対して行われる攻撃に関する情報を含む。
判定部122は、第一中継装置110から受信された通信情報に基づいて、監視対象である第一ネットワーク100に対して攻撃が行われているか否か判定する。判定部122は、例えばトラフィック解析技術の一つであるフロー技術が適用されてもよい。検知される攻撃の具体例として、通信機器に対して過剰な負荷をかけることによってサービスの提供を困難に陥れる攻撃(高負荷攻撃)がある。より具体的な攻撃の例としては、DoS攻撃や、HTTP Get floodやTCP SYN flood等のDDoS攻撃がある。判定部122は、攻撃が行われている場合には、行われている攻撃の種別を判定する。判定部122は、判定結果を通知部123に通知する。
通知部123は、判定部122によって行われた判定の結果に応じて、判定の内容を緩和システム500に通知する。例えば、通知部123は、第一ネットワーク100に対して行われている攻撃の種別と、攻撃対象となっているネットワーク(例えば第一ネットワーク100)を示す情報と、を含む攻撃情報を生成する。攻撃対象となっているネットワークを示す情報として、ネットワークのアドレス空間を示す情報が用いられてもよいし、ネットワークに対して予め割り当てられた名前や番号等の識別情報が用いられてもよい。通知部123は、生成された攻撃情報を緩和システム500に送信することによって、判定の内容を緩和システム500に通知する。
以上で第一検知装置120についての説明を終える。なお、第二検知装置220は、第一検知装置120と同様の構成を有する。ただし、第二検知装置220が監視対象とするネットワークは、第一ネットワーク100ではなく第二ネットワーク200である。
図3は、緩和システム500のシステム構成を示す概略ブロック図である。緩和システム500は、制御装置501、記憶装置502及び複数の緩和装置503を備える。
制御装置501は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。制御装置501は、バスで接続されたCPUやメモリや補助記憶装置などを備える。制御装置501は、緩和制御プログラムを実行することによって機能する。制御装置501は、検知装置(例えば第一検知装置120又は第二検知装置220)から受信される攻撃情報に基づいて、どの緩和装置503に対して攻撃の通信が中継されるべきか判定する。
記憶装置502は、磁気ハードディスク装置や半導体記憶装置等の記憶装置である。記憶装置502は、判定基準テーブルを記憶する。判定基準テーブルは、制御装置501が判定処理を行う際に用いられる基準を示すテーブルである。図4は、判定基準テーブルの具体例を示す図である。判定基準テーブルは、攻撃種別に対応付けて中継対象緩和装置の情報を有する。中継対象緩和装置は、どの緩和装置503に対して攻撃の通信が中継されるべきかを示す情報である。例えば、図4の最上段のレコードには、HTTP Get floodの攻撃が行われている場合に緩和装置Aに対して攻撃の通信が中継されることが示されている。例えば、図4の二段目のレコードには、TCP SYN floodの攻撃が行われている場合に緩和装置Cに対して攻撃の通信が中継されることが示されている。緩和装置Aの防御機能がHTTP Get floodの攻撃に対して効果的であり、緩和装置Cの防御機能がTCP SYN floodの攻撃に対して効果的であるためにこのようなテーブルが構築されている。このように、各攻撃種別に対して効果的に防御機能を発揮する緩和装置503が中継対象緩和装置としてテーブルに登録されている。
図3の説明に戻る。緩和装置503は、攻撃の通信に対する防御機能(攻撃を止める機能)を実行する装置である。緩和装置503は、制御装置501から防御処理の実行の指示を受けると、攻撃の通信を自装置で受信するための経路制御を実行する。このような経路制御は、例えばBGP(Border Gateway Protocol)を用いて行われてもよい。緩和装置503は、例えば自装置で受信する対象となる通信を示す情報(以下、「通信識別情報」という。)と、対象となる通信の中継先となる自装置の宛先情報と、を主ネットワーク400内の中継装置に通知することによって経路制御を行ってもよい。このような経路制御は、攻撃の通信の流入元となっている中継装置(本実施形態では第三中継装置310)に対して行われてもよい。
緩和装置503は、上述した経路制御の後に攻撃の通信のパケットを受信すると、防御機能を実行する。緩和装置503は、例えば攻撃の通信のパケットを廃棄することによって防御機能を実行する。緩和装置503が行う防御機能には複数の方式がある。そのため、緩和装置503に採用される防御機能と攻撃の種別との組み合わせに応じて、効果的に防御可能な場合と効果的に防御不可能な場合とがある。例えば、Aという緩和装置が採用する防御機能は、HTTP Get floodに対しては効果的に防御可能であるが、TCP SYN floodに対しては効果的な防御ができない。例えば、Cという緩和装置が採用する防御機能は、TCP SYN floodに対しては効果的に防御可能であるが、HTTP Get floodに対しては効果的な防御ができない。
図5は、通信システムにおける処理の流れを示すシーケンスチャートである。図5の例では、第三ネットワーク300に接続されている第一通信装置320及び第二通信装置330から第一ネットワーク100に接続された通信装置に対して攻撃が行われていることが想定されている。
第一中継装置110は、所定のタイミングが到来すると、監視対象である第一ネットワーク100に対して中継される通信の情報(通信情報)を第一検知装置120に送信する(ステップS101)。所定のタイミングは、一定の周期で到来するタイミング(例えば1秒毎、1分毎、5分毎など)であってもよいし、通信に関する所定の条件が満たされたタイミング(例えば、第一ネットワーク100へ中継された通信の量が閾値を超えたタイミング)であってもよいし、他のタイミングであってもよい。
第一検知装置120の判定部122は、通信情報を受信する。第一検知装置120は、受信された通信情報に基づいて攻撃が行われているか否か判定する(ステップS102)。攻撃が行われていないと判定した場合(ステップS102−NO)、判定部122は次の通信情報が受信されるまで待機する(ステップS103)。判定部122は、次の通信情報が受信されると、受信された通信情報についてステップS102の処理を実行する。
一方、攻撃が行われていると判定した場合(ステップS102−YES)、判定部122は攻撃情報を生成する。判定部122は、生成された攻撃情報を通知部123に渡す。通知部123は、生成された攻撃情報を緩和システム500に送信する(ステップS104)。
緩和システム500の制御装置501は、第一検知装置120から攻撃情報を受信する。制御装置501は、受信された攻撃情報に基づいて判定処理を実行する(ステップS105)。制御装置501は、判定処理の実行によって、第一ネットワーク100に対して行われている攻撃の種別に応じた緩和装置503を選択する。制御装置501は、選択された緩和装置503に対して防御機能の実行を指示する。防御機能の実行の指示を受けた緩和装置503は、自装置に対して攻撃の通信を中継するように、主ネットワーク400内の中継装置に対して経路変更指示を送信する(ステップS106)。図5の例では、選択された緩和装置503は、第一通信装置320及び第二通信装置330から第一ネットワーク100に対して送信される通信を自装置に中継するように第三中継装置310に経路変更を指示する。経路変更指示を受信した第三中継装置310は、第一通信装置320及び第二通信装置330から第一ネットワーク100宛に送信された通信を緩和装置503に中継するように経路制御を実行する(ステップS107)。経路制御の実行は、例えば上述したようにBGPを用いて実現されてもよい。経路制御が実行された後、第一通信装置320及び第二通信装置330から第一ネットワーク100宛に送信される通信(攻撃の通信)は緩和装置503に中継される。
このように構成された緩和システム500によれば、複数種別の緩和装置を用いたシステムにおいて、より効果的に攻撃に対する防御を行うことが可能となる。具体的には以下のとおりである。緩和システム500では、複数の種別の緩和装置503が設置される。各種別の緩和装置503には、その防御機能の種別の違いに応じて、他の緩和装置503よりも効果的に防御可能な種別の攻撃がある。緩和システム500では、制御装置501が、監視対象に対して行われている攻撃の種別に応じて、より効果的に防御することが可能な緩和装置503が選択される。そして、選択された緩和装置503が防御機能を実行する。そのため、より効果的に攻撃に対する防御を行うことが可能となる。
また、緩和システム500によれば、監視対象のネットワークに対して攻撃が行われているか否か判定する検知装置(例えば第一検知装置120及び第二検知装置220)と、防御機能を実現する制御装置501及び緩和装置503とが、離れて配置される。より具体的には、検知装置は監視対象のネットワークに配置され、防御機能を実現する制御装置501及び緩和装置503は主ネットワーク400に配置される。このような構成では、防御機能を実現する制御装置501及び緩和装置503を監視対象のネットワーク毎に配置する必要が無い。そのため、監視対象のネットワークの数が増加したとしても、検知装置を増設することで防御を実現できる。したがって、監視対象のネットワークの増大に対し要するコストや手間を削減し、より大規模に監視サービスを提供することが可能となる。
また、上記のような構成では、緩和システム500の管理者が緩和装置503を選択することが可能となる。また、緩和システム500の管理者は、監視対象のネットワークの管理者に対し、どのような緩和装置503が用いられるのか秘匿することも可能となる。
また、上記のような構成では、緩和システム500による緩和サービスの提供者は、監視対象となるネットワークの管理者(緩和サービスの提供を受ける者)に対し、攻撃の種別に応じて緩和サービスを提供することが可能となる。例えば、緩和サービスの提供者は、攻撃の種別毎に、その種別の攻撃に適した緩和装置503による緩和サービスを受けるか否か選択できてもよい。この場合、記憶装置502は、監視対象のネットワーク毎に、緩和サービスが実行される対象となる攻撃の種別を示すテーブルを記憶する。制御装置501は、攻撃が検出された監視対象ネットワークにおいて、検出された攻撃の種別が上記テーブルに記憶されている場合には、その攻撃に対する防御を実行する。一方、制御装置501は、攻撃が検出された監視対象ネットワークにおいて、検出された攻撃の種別が上記テーブルに記憶されていない場合には、たとえ攻撃が行われているとしてもその攻撃に対する防御を実行しない。
緩和サービスの提供者は、対応可能な攻撃の種別毎に、異なるサービス利用料を設定してもよい。例えば、HTTP Get floodについては、1回の防御が行われる毎に100円が費用として設定され、TCP SYN floodについては、1回の防御が行われる毎に50円が費用として設定されてもよい。これらの費用は、緩和サービスを受ける者毎に異なる値が設定されてもよい。これらの費用は、攻撃の種別毎に予め記憶装置502に記憶されている。制御装置501は、緩和サービス(防御の機能)が実行されると、記憶装置502の記憶内容に基づいて、実行された緩和サービスが対処した攻撃の種別に応じて、監視対象のネットワークに関して請求される費用を算出する。
主ネットワーク400には、複数の事業者によって運営される緩和装置503が接続されてもよい。この場合、監視対象のネットワークの管理者は、複数の事業者のうちどの事業者による緩和装置503の緩和サービスを受けるか選択することが可能であってもよい。この場合、攻撃の種別毎に異なる事業者による緩和サービスを受けることが可能であってもよい。この場合、記憶装置502は、監視対象のネットワーク毎に、緩和サービスが実行される対象となる攻撃の種別と、その種別の攻撃に対する緩和サービスを提供する事業者と、を対応付けて示すテーブルを記憶する。制御装置501は、上記テーブルに基づいて、防御を実行する緩和装置503を選択し経路変更を指示する。例えば、HTTP Get floodについて、緩和サービスの事業者Aは1回の防御が行われる毎に100円を費用として設定し、緩和サービスの事業者Bは1回の防御が行われる毎に200円を費用として設定してもよい。例えば、TCP SYN floodについて、緩和サービスの事業者Aは1回の防御が行われる毎に50円を費用として設定し、緩和サービスの事業者Bは1回の防御が行われる毎に70円を費用として設定してもよい。これらの費用は、緩和サービスを受ける者毎に異なる値が設定されてもよい。これらの費用は、事業者及び攻撃の種別毎に予め記憶装置502に記憶されている。制御装置501は、緩和サービス(防御の機能)が実行されると、記憶装置502の記憶内容に基づいて、実行された緩和サービスが対処した攻撃の種別と緩和サービスを実施した事業者とに応じて、監視対象のネットワークに関して請求される費用を算出する。
一般的にアクセス回線はバックボーンに比べて帯域が狭い。そのため、アクセス回線(監視対象のネットワーク)に近い領域でユーザ毎に緩和装置503に引き込む方式では、攻撃により回線が輻輳した時に対処がうまくいかないという問題があった。このような問題に対し、緩和システム500では、攻撃対象となっているネットワーク(図5の例では第一ネットワーク100)と緩和装置503とのネットワーク的な距離とは異なる基準で緩和装置503が選択される。そのため、よりバックボーンに近い領域で緩和装置503への引き込みが実現される。その結果、上記問題を解決することが可能となる。
また、上述した実施形態では、主ネットワーク(バックボーンネットワーク)に緩和装置503が配置される。そのため、緩和装置503が監視対象のネットワーク(アクセス回線ネットワーク)に配置される場合に比べて、より帯域が広いネットワークで緩和装置503に攻撃の通信を引き込むことができる。このような観点からも、上記問題を解決することが可能となる。
[変形例]
制御装置501は、攻撃の種別に加えて更に、各緩和装置503に生じている処理の負荷状況にも基づいて緩和装置503を選択してもよい。例えば、ある種別の攻撃に対して効果的に防御可能な複数の緩和装置503が存在する場合、選択が行われる時点における負荷が軽いものから順に1又は複数の緩和装置503が選択されてもよい。
図6は、判定基準テーブルの変形例を示す図である。図6に示される判定基準テーブルは、監視対象となるネットワークと攻撃種別との組み合わせに対応付けて中継対象緩和装置の情報を有する。例えば、図6の最上段のレコードには、第一ネットワーク100に対してHTTP Get floodの攻撃が行われている場合に緩和装置Aに対して攻撃の通信が中継されることが示されている。図6の二段目のレコードには、第二ネットワーク200に対してHTTP Get floodの攻撃が行われている場合に緩和装置Bに対して攻撃の通信が中継されることが示されている。このようなテーブルは、例えば第一ネットワーク100の管理者がHTTP Get floodへの防御機能として緩和装置Aを選択し、第二ネットワーク200の管理者がHTTP Get floodへの防御機能として緩和装置Bを選択した場合に構築される。例えば、緩和装置Aは高機能であるが利用料も高く、緩和装置Bは機能は緩和装置Aに劣るが利用料が安く設定されている場合に、各ネットワークの管理者が適宜緩和装置又は緩和サービス(緩和装置の名を秘匿したサービス名)を選択してもよい。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
100…第一ネットワーク, 110…第一中継装置, 120…第一検知装置, 121…通信部, 122…判定部, 123…通知部, 200…第二ネットワーク, 210…第二中継装置, 220…第二検知装置, 300…第三ネットワーク, 310…第三中継装置, 320…第一通信装置, 330…第二通信装置, 400…主ネットワーク, 500…緩和システム, 501…制御装置, 502…記憶装置, 503…緩和装置

Claims (12)

  1. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
    前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する制御装置。
  2. 攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
    を備え
    前記制御装置は、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する緩和システム。
  3. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
    前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置を備え、
    前記監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する制御装置。
  4. 攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と
    前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置と、を備え、
    前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する、緩和システム。
  5. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
    前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置を備え、
    前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する制御装置。
  6. 攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
    前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置と、を備え、
    前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
  7. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
    前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置を備え、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する制御装置。
  8. 攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
    を備え
    前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置をさらに備え、
    前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する、緩和システム。
  9. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
    前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
    前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する制御装置。
  10. 攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
    監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
    を備え
    前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
    前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
  11. 情報処理装置が、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップと、
    情報処理装置が、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、を有する制御方法。
  12. 監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップと
    前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、をコンピュータに実行させるためのコンピュータプログラム。
JP2016018191A 2016-02-02 2016-02-02 制御装置、緩和システム、制御方法及びコンピュータプログラム Active JP6232456B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2016018191A JP6232456B2 (ja) 2016-02-02 2016-02-02 制御装置、緩和システム、制御方法及びコンピュータプログラム
US16/075,021 US10999315B2 (en) 2016-02-02 2017-01-31 Control device, mitigation system, control method, and computer program
EP17747402.0A EP3413229B1 (en) 2016-02-02 2017-01-31 Control device, mitigation system, control method, and computer program
PCT/JP2017/003399 WO2017135246A1 (ja) 2016-02-02 2017-01-31 制御装置、緩和システム、制御方法及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016018191A JP6232456B2 (ja) 2016-02-02 2016-02-02 制御装置、緩和システム、制御方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2017138728A JP2017138728A (ja) 2017-08-10
JP6232456B2 true JP6232456B2 (ja) 2017-11-15

Family

ID=59499926

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016018191A Active JP6232456B2 (ja) 2016-02-02 2016-02-02 制御装置、緩和システム、制御方法及びコンピュータプログラム

Country Status (4)

Country Link
US (1) US10999315B2 (ja)
EP (1) EP3413229B1 (ja)
JP (1) JP6232456B2 (ja)
WO (1) WO2017135246A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574598B2 (en) * 2017-10-18 2020-02-25 International Business Machines Corporation Cognitive virtual detector
US11201891B2 (en) * 2019-04-30 2021-12-14 EMC IP Holding Company LLC Prioritization of remediation actions for addressing vulnerabilities in an enterprise system

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5850516A (en) * 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
JP2003085139A (ja) * 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US20040236966A1 (en) * 2003-05-19 2004-11-25 Alcatel Queuing methods for mitigation of packet spoofing
JP2006067078A (ja) 2004-08-25 2006-03-09 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステムおよび攻撃防御方法
US8312549B2 (en) * 2004-09-24 2012-11-13 Ygor Goldberg Practical threat analysis
CN1898922A (zh) 2004-10-21 2007-01-17 日本电信电话株式会社 防御设备、防御方法、防御程序以及网络攻击防御系统
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7987493B1 (en) * 2005-07-18 2011-07-26 Sprint Communications Company L.P. Method and system for mitigating distributed denial of service attacks using centralized management
JP4642707B2 (ja) * 2006-06-14 2011-03-02 日本電信電話株式会社 パケット制御装置、パケット制御方法およびパケット制御プログラム
US8392991B2 (en) * 2007-05-25 2013-03-05 New Jersey Institute Of Technology Proactive test-based differentiation method and system to mitigate low rate DoS attacks
WO2009119049A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
JP5559306B2 (ja) * 2009-04-24 2014-07-23 アルグレス・インコーポレイテッド 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア
US8261355B2 (en) * 2009-07-24 2012-09-04 Cisco Technology, Inc. Topology-aware attack mitigation
US8555393B2 (en) * 2009-12-03 2013-10-08 Verizon Patent And Licensing Inc. Automated testing for security vulnerabilities of devices
US8661536B2 (en) * 2010-03-17 2014-02-25 Microsoft Corporation Side channel attack analysis
US8966622B2 (en) * 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
WO2012144987A1 (en) 2011-04-19 2012-10-26 Hewlett-Packard Development Company, L.P. Computing a performance characteristic of a network device
JP5870009B2 (ja) 2012-02-20 2016-02-24 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継方法及び装置
US8832831B2 (en) * 2012-03-21 2014-09-09 Radware, Ltd. Method and system for detecting and mitigating attacks performed using cryptographic protocols
US9392018B2 (en) 2013-09-30 2016-07-12 Juniper Networks, Inc Limiting the efficacy of a denial of service attack by increasing client resource demands
EP3195066B1 (en) * 2014-09-06 2019-08-07 Mazebolt Technologies Ltd. Non-disruptive ddos testing
EP3021546B1 (en) * 2014-11-14 2020-04-01 Institut Mines-Telecom / Telecom Sudparis Selection of countermeasures against cyber attacks
US10042354B2 (en) * 2015-06-02 2018-08-07 Rockwell Automation Technologies, Inc. Security system for industrial control infrastructure using dynamic signatures

Also Published As

Publication number Publication date
EP3413229A1 (en) 2018-12-12
US10999315B2 (en) 2021-05-04
US20190044972A1 (en) 2019-02-07
EP3413229B1 (en) 2024-04-03
WO2017135246A1 (ja) 2017-08-10
EP3413229A4 (en) 2019-07-17
JP2017138728A (ja) 2017-08-10

Similar Documents

Publication Publication Date Title
US11095680B2 (en) Network traffic data scrubbing with services offered via anycasted addresses
US10009373B2 (en) System and method for software defined behavioral DDoS attack mitigation
Ambrosin et al. Lineswitch: Efficiently managing switch flow in software-defined networking while effectively tackling dos attacks
US20110041182A1 (en) intrusion detection and notification
US10218725B2 (en) Device and method for detecting command and control channel
JP6364255B2 (ja) 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
Fung et al. VGuard: A distributed denial of service attack mitigation method using network function virtualization
US20130246605A1 (en) Local reputation to adjust sensitivity of behavioral detection system
WO2015171864A1 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US20170142071A1 (en) Network security
JPWO2006043371A1 (ja) 防御装置、防御方法および防御プログラム並びにネットワーク攻撃防御システム
JP6232456B2 (ja) 制御装置、緩和システム、制御方法及びコンピュータプログラム
US20180026997A1 (en) System and method for voice security in a telecommunications network
JP2015231131A (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
Schulz et al. Tetherway: a framework for tethering camouflage
JP4284248B2 (ja) アプリケーションサービス拒絶攻撃防御方法及びシステム並びにプログラム
CN106059939B (zh) 一种报文转发方法及装置
JP2019152912A (ja) 不正通信対処システム及び方法
JP6766017B2 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
US10142355B2 (en) Protection of telecommunications networks
KR101231966B1 (ko) 장애 방지 서버 및 방법
Jánský et al. Augmented ddos mitigation with reputation scores
Singh et al. Comparative analysis of state-of-the-art EDoS mitigation techniques in cloud computing environment
JP2005130190A (ja) 攻撃パケット防御システム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170914

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171023

R150 Certificate of patent or registration of utility model

Ref document number: 6232456

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250