JP6509143B2 - 帯域制御装置及び方法 - Google Patents

帯域制御装置及び方法 Download PDF

Info

Publication number
JP6509143B2
JP6509143B2 JP2016026490A JP2016026490A JP6509143B2 JP 6509143 B2 JP6509143 B2 JP 6509143B2 JP 2016026490 A JP2016026490 A JP 2016026490A JP 2016026490 A JP2016026490 A JP 2016026490A JP 6509143 B2 JP6509143 B2 JP 6509143B2
Authority
JP
Japan
Prior art keywords
server
band
control method
gateway
bandwidth
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016026490A
Other languages
English (en)
Other versions
JP2017147526A (ja
Inventor
一史 與語
一史 與語
信也 白井
信也 白井
正夫 相原
正夫 相原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016026490A priority Critical patent/JP6509143B2/ja
Publication of JP2017147526A publication Critical patent/JP2017147526A/ja
Application granted granted Critical
Publication of JP6509143B2 publication Critical patent/JP6509143B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、DDoS攻撃に対処するためのネットワーク制御技術に関する。特に、本発明は、ネットワークを構成する複数のスイッチを制御する集中制御装置を利用したネットワーク制御技術に関する。
近年、ネットワークを通したサイバー攻撃が増加及び多様化している。その中で、攻撃先のサーバやスイッチ(ターゲット)を高負荷状態・ダウン状態にすることで、サービスを停止させるDenial of Service(DoS)攻撃がある。特に、複数の攻撃者が同時多発的にターゲットを攻撃するDistributed DoS(DDoS)攻撃は、数100Gbpsのパケット等のより高いボリューム攻撃が可能となり、ターゲットに大きな被害をもたらすほか、ネットワーク全体に影響を与えてしまう。
こういった攻撃を対象に様々な対策が考えられている。通常は、サーバ等の攻撃対象に対する攻撃の帯域に閾値を設け、当該閾値を超えたら攻撃と判別し、その攻撃パケットを遮断する方法が利用される。また、攻撃元がわからない場合には、例えば、攻撃対象の前に設けられたスイッチ等に帯域制御を行うことで攻撃対象がダウンすることを防止する方法がある。また、DDoS攻撃の中でも、近年増加傾向にあるDNS増幅型のDDoS攻撃を防ぐ方法として、特許文献1のような技術がある。
特開2015−029207号公報
「DDoS攻撃抑制のための公平性を考慮した帯域制御方式」, 與語一史, 白井信也, 相原正夫, 電子情報通信学会 信学技報 NS2015-123 (2015-11)
攻撃の多様化に伴い、ネットワーク管理者は、常に最新の攻撃を把握し、ネットワークの管理を行う必要がある。このため、運用のコストや、新たな対処を打つための設備構築にコストがかかってしまう。また、そのような対策を行ったとしても、従来技術を利用して未知の攻撃に対処することはしばしば困難である。
DDoS攻撃は、攻撃者が多数いるために一人一人の攻撃者の特定が困難であり、また、一人一人の攻撃者の攻撃のボリューム(攻撃の使用帯域等)を小さくすることで、上述したような攻撃トラヒックの大きさの閾値による攻撃の判定を困難にする。さらに、攻撃対象がわかったとしても、上述の特定の攻撃に対する対策が採用された場合、それ以外の攻撃があったときには対応できない。また、サーバ等の攻撃対象宛のパケットを遮断してしまうと、攻撃対象と同じネットワークに属するユーザのサービス品質に対する影響は止められたとしても、結局攻撃対象が提供しているサービスは利用不可となってしまう。
このような課題を解決するために、図1に示されるように、Software Defined Networking(SDN)技術を利用することで、キャリアネットワークのような複数のゲートウェイを持ち、かつ攻撃元が特定できない場合にも、攻撃対象のサーバ等によって提供されるサービスを利用するユーザのサービス可用性を維持できる制御方法が提案されている(非特許文献1)。しかしながら、当該制御方法によると、攻撃トラヒックが非常に大きい場合に、全てのユーザがサービス利用不可状態になってしまう可能性がある。
上述した問題点を鑑み、本発明の課題は、サービス可用性を維持しながらDDoS攻撃に対処するための技術を提供することである。
上記課題を鑑み、本発明の一態様は、複数のゲートウェイを制御する帯域制御装置であって、前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するモニタリング情報収集部と、前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定し、前記合計トラヒックが前記攻撃判定閾値以上であるときに前記サーバを攻撃対象サーバであると判定し、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記攻撃対象サーバ宛てのトラヒックを制御する帯域計算部とを有する帯域制御装置に関する。
本発明の他の態様は、帯域制御装置によって実行される複数のゲートウェイを制御するための方法であって、前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するステップと、前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定するステップと、前記合計トラヒックが前記攻撃判定閾値以上であることに応答して、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか判定するステップと、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記サーバ宛てのトラヒックを制御するステップとを有する方法に関する。
本発明によると、サービス可用性を維持しながらDDoS攻撃に対処することができる。
図1は、従来のDDoS攻撃のための帯域制御方式を示す概略図である。 図2は、本発明の一実施例によるDDoS攻撃のための帯域制御方式を示す概略図である。 図3は、本発明の一実施例によるネットワーク構成を示すブロック図である。 図4は、本発明の一実施例による帯域制御装置におけるテーブルを示す図である。 図5は、本発明の一実施例によるゲートウェイスイッチにおけるテーブルを示す図である。 図6は、本発明の一実施例による帯域制御処理を示すフローチャートである。 図7は、本発明の一実施例による帯域制御処理を示すシーケンス図である。 図8は、本発明の一実施例による遮断ゲートウェイの調節を示す概略図である。 図9は、本発明の他の実施例による遮断ゲートウェイの調節を示す概略図である。
以下、図面に基づいて本発明の実施の形態を説明する。
後述される実施例では、管理対象とするネットワークにおけるDDoS攻撃に対処する帯域制御装置が開示される。外部ネットワークとの全てのゲートウェイの集中制御が可能な帯域制御装置は、各ゲートウェイにおける宛先がターゲットになっているトラヒック量(利用帯域)の情報を一定期間収集し、また、ターゲットとなり得るマシンがダウンしないようにターゲット宛の合計トラヒック量の閾値(攻撃判定閾値)を設定し、その閾値を超えた場合には、各ゲートウェイにて帯域制御を行う。その際、更に、合計トラヒックの閾値(帯域制御方式切替閾値)を設け、当該閾値に基づき異なる帯域制御方式のうち何れを利用するか決定する。選択対象の帯域制御方式として、各ゲートウェイのトラヒック量に比例するように攻撃対象宛の各ゲートウェイのトラヒック量の閾値にそれぞれ異なる値を設定することによって、攻撃対象のマシンが提供するサービスを利用するユーザのトラヒックを公平にし全ユーザのサービス可用性を維持させる帯域制御方式と、一部のゲートウェイを遮断することによって、全ユーザのサービス可用性を維持しないものの可能な限り多くのユーザのサービス可用性を維持させる帯域制御方式とが利用可能である。図2に示されるように、ターゲット宛の合計トラヒック量に応じて、これら2つの帯域制御方式を切り替える。このような帯域制御装置によると、各ゲートウェイでの帯域制御により、攻撃対象サーバのダウンを防ぎ、かつ、攻撃対象宛のトラヒック量に基づきその状況に適した帯域制御方式を利用することで、どの大きさのDDoS攻撃に対しても可能な限りユーザのサービス停止を防ぐことができる。
まず、図3を参照して、本発明の一実施例によるネットワーク構成を説明する。図3は、本発明の一実施例によるネットワーク構成を示すブロック図である。
図3に示されるように、ネットワーク10は、帯域制御装置100、複数のゲートウェイスイッチ200及びサーバ300を有し、ゲートウェイスイッチ200を介し外部ネットワーク400に接続される。
帯域制御装置100は、各ゲートウェイスイッチ200を制御し、外部ネットワーク400と各ゲートウェイスイッチ200との間の通信帯域を制御する。帯域制御装置100は、典型的には、サーバにより実現されてもよく、例えば、バスを介し相互接続されるドライブ装置、補助記憶装置、メモリ装置、プロセッサ、インタフェース装置及び通信回路から構成される。帯域制御装置100における後述される各種機能及び処理を実現するプログラムを含む各種コンピュータプログラムは、CD−ROM(Compact Disk−Read Only Memory)、DVD(Digital Versatile Disk)、フラッシュメモリなどの記録媒体によって提供されてもよい。プログラムを記憶した記録媒体がドライブ装置にセットされると、プログラムが記録媒体からドライブ装置を介して補助記憶装置にインストールされる。但し、プログラムのインストールは必ずしも記録媒体により行う必要はなく、ネットワークなどを介し何れかの外部装置からダウンロードするようにしてもよい。補助記憶装置は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。メモリ装置は、プログラムの起動指示があった場合に、補助記憶装置からプログラムやデータを読み出して格納する。プロセッサは、メモリ装置に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるような帯域制御装置100の各種機能及び処理を実行する。インタフェース装置は、ネットワーク又は外部装置に接続するための通信インタフェースとして用いられる。通信回路は、インターネットなどのネットワークと通信するための各種通信処理を実行する。しかしながら、帯域制御装置100は、上述したハードウェア構成に限定されるものでなく、他の何れか適切なハードウェア構成により実現されてもよい。
図示されるように、帯域制御装置100は、送受信部110、モニタリング情報収集部120、モニタリング情報テーブル130、閾値情報テーブル140及び帯域計算部150を有する。送受信部110は、データ翻訳・変換部111を有し、帯域計算部150は、帯域制御方式選択部151及びトラヒック遮断ゲートウェイ選択部152を有する。
送受信部110は、ゲートウェイスイッチ200及び攻撃対象となるサーバ300との間で情報を送受信する。また、送受信部110は、ゲートウェイスイッチ200及びサーバ300からの情報を理解し、またゲートウェイスイッチ200への設定を行うために、送信対象の情報をゲートウェイスイッチ200及びサーバ300に整合するデータ形式に変換すると共に、ゲートウェイスイッチ200及びサーバ300から受信した情報を帯域制御装置100の各部に理解可能なデータ形式に翻訳及び変換するデータ翻訳・変換部111を有する。
モニタリング情報収集部120は、各ゲートウェイスイッチ200のモニタリング部230によって取得された情報を収集及び集約し、モニタリング情報テーブル130に書き込む。
モニタリング情報テーブル130は、モニタリング情報収集部120によって収集された各ゲートウェイスイッチ200のモニタリング情報を保持する。モニタリング情報テーブル130は、宛先IPアドレスと各ゲートウェイスイッチ200の使用帯域の情報を保持し、図4に示されるように、宛先IPアドレス、各ゲートウェイスイッチ200の識別子(ゲートウェイID)、使用帯域、宛先IPアドレス宛の送信元IPアドレス数の組み合わせを保持する。
閾値情報テーブル140は、後述されるような攻撃対象となる各サーバ300の使用帯域の上限値である攻撃判定閾値と、帯域制御方式を選択するための帯域制御方式切替閾値とを保持し、図4に示されるように、各攻撃対象の宛先IPアドレス、攻撃判定閾値、帯域制御方式切替閾値の組み合わせを保持する。
帯域計算部150は、収集したモニタリング情報から算出されるサーバ300宛ての合計トラヒックがサーバ300の攻撃判定閾値以上であるか判定し、合計トラヒックが攻撃判定閾値以上であるときにサーバ300を攻撃対象サーバであると判定し、合計トラヒックがサーバ300の帯域制御方式切替閾値以上であるか否かに応じて異なる帯域制御方式を選択的に使用することによって複数のゲートウェイスイッチ200を介する攻撃対象サーバ300宛てのトラヒックを制御する。
具体的には、帯域制御方式選択部151は、モニタリング情報による攻撃対象サーバ300宛の合計帯域が攻撃判定閾値を上回った場合に、モニタリング情報テーブル130と閾値情報テーブル140とに保持される情報に基づいて帯域制御方式を選択する。帯域計算部150は、以下でより詳細に説明されるように、選択されたそれぞれの帯域制御方式に基づいて各ゲートウェイスイッチ200の攻撃対象宛のパケットに対する帯域制限値を計算する。トラヒック遮断ゲートウェイ選択部152は、以下でより詳細に説明されるように、トラヒック遮断方式の帯域制御方式が選択された場合、トラヒックを遮断するゲートウェイスイッチ200を選択する。
ゲートウェイスイッチ200は、外部ネットワーク400に接続され、帯域制御装置100による制御の下で外部ネットワーク400とサーバ300との間のトラヒックをやりとりする。ゲートウェイスイッチ200は、典型的には、ゲートウェイ、スイッチ、ルータなどにより実現され、送受信部210、帯域設定部220、モニタリング部230、モニタリング情報テーブル240及び閾値情報テーブル250を有する。
送受信部210は、帯域制御装置100及びサーバ300との間でデータ情報及び制御情報をやりとりする。送受信部210は、モニタリング部230によって取得されたモニタリング情報を帯域制御装置100に送信し、帯域制御装置100から帯域制限設定要求を受信する。帯域制御装置100の送受信部110と異なり、送受信部210は、データ翻訳・変換機能を有さなくてもよい。
帯域設定部220は、帯域制御装置100から受信した帯域制限設定要求に示される帯域制限値を閾値情報テーブル250に格納し、特定の宛先IPアドレスを有するパケットに対して使用帯域を制限する。具体的には、特定の宛先IPアドレスを有するパケットの使用帯域が帯域制限値以下の場合、帯域設定部220は当該パケットを宛先IPアドレスまで転送し、帯域制限値以上の使用帯域のパケットが到着した場合、帯域設定部220は当該パケットを廃棄する。
モニタリング部230は、サーバ300と外部ネットワーク400との間でやりとりされるトラヒックをモニタリングし、モニタリング結果をモニタリング情報としてモニタリング情報テーブル240に書き込む。具体的には、モニタリング部230は、特定の宛先IPアドレスを有するパケットの一定時間における帯域使用量をモニタリングし、モニタリング結果をモニタリング情報テーブル240に格納する。
モニタリング情報テーブル240は、モニタリング部230により収集されたモニタリング結果を保持する。例えば、図5に示されるように、モニタリング情報テーブル240は、受信したパケットの宛先IPアドレス、当該アドレスの使用帯域、及び当該アドレスに対する送信元のIPアドレスの個数を示す送信元IPアドレス数の組み合わせを保持する。モニタリング情報テーブル240に保持される情報は、送受信部210を介し帯域制御装置100に適宜報告される。
閾値情報テーブル250は、帯域制御装置100によって設定された各宛先IPアドレスの帯域制限値を保持する。例えば、図5に示されるように、閾値情報テーブル250は、宛先IPアドレス及び帯域制限値の組み合わせを保持する。帯域設定部220は、閾値情報テーブル250に保持される帯域制限値に従って外部ネットワーク400からサーバ300に送信されるトラヒック量を制御する。
なお、図5に示される各帯域制限値は図4に示される使用帯域より小さくなっているが、これは、図5のモニタリング情報を収集した時点では本発明の帯域制御は実施されておらず、当該モニタリング情報の収集後に帯域制御が実施され、帯域制限値が設定されたことを想定している。
サーバ300は、外部ネットワーク400を介しクライアント(図示せず)からのサービス要求を処理する。すなわち、クライアントからサービス要求を受信すると、サーバ300は、要求されたサービスをクライアントに提供する。攻撃対象となるサーバ300は、不特定のユーザに対して外部ネットワーク400を経由してWeb上等でサービスを提供するサーバを想定しているが、本発明に関する機能は特に必要ではない。図3では、攻撃対象となるサーバが1台しか記載されていないが、攻撃対象となりうるサーバ300はネットワーク10において複数存在しうる。
外部ネットワーク400は、ゲートウェイスイッチ200を介しネットワーク10に接続され、当該ネットワーク10の管理下にないネットワークである。以下の実施例では、DDoS攻撃は外部ネットワーク400から攻撃対象に向かって行われるものとする。
次に、本発明の一実施例による帯域計算部150をより詳細に説明する。上述したように、帯域計算部150は、合計トラヒックが攻撃判定閾値以上である攻撃対象サーバについて、合計トラヒックがサーバ300の帯域制御方式切替閾値以上であるか否かに応じて異なる帯域制御方式を選択的に使用する。本実施例では、合計トラヒックが攻撃判定閾値以上であって、帯域制御方式切替閾値未満である場合(攻撃判定閾値≦合計トラヒック<帯域制御方式切替閾値)、帯域制御方式選択部151は後述される帯域制御方式1を選択し、合計トラヒックが攻撃判定閾値及び帯域制御方式切替閾値以上である場合(攻撃判定閾値<帯域制御方式切替閾値≦合計トラヒック)、帯域制御方式選択部151は後述される帯域制御方式2を選択する。
帯域制御方式1では、帯域計算部150は、モニタリング情報テーブル130及び閾値情報テーブル140を利用して、各ゲートウェイスイッチ(GW)の帯域制限値=(合計の帯域制限値×GWの帯域使用量)/合計の帯域使用量、となるように帯域制限値を決定する。すなわち、帯域制御方式1は、各ゲートウェイスイッチ200における攻撃対象サーバ300宛てのトラヒックに比例した帯域制限値をゲートウェイスイッチ200に設定する方式である。帯域制御方式1は、各ゲートウェイスイッチ200における攻撃対象宛てのトラヒックに比例した帯域制限値を設定し、ユーザの公平性及びサービス可用性を維持するというアプローチに基づくものである。
具体的には、帯域計算部150は、以下の式に従って、各ゲートウェイスイッチ200における特定の宛先IPアドレスのパケットに対する帯域制限値を計算する。
Figure 0006509143
 ここで、LiはゲートウェイIDがiであるゲートウェイスイッチ200の帯域制限値であり、αは特定の宛先IPアドレス(サーバ300)の攻撃判定閾値であり、BiはゲートウェイIDがiであるゲートウェイスイッチ200におけるターゲットサーバ300宛てのパケットの使用帯域であり、Bminは各ゲートウェイスイッチ200の帯域制限値の下限値(モニタリング期間においてトラヒックが全くなかった場合、すなわち、Bi=0のときに帯域制限値が0となり、結果としてトラヒックを遮断してしまうことを防ぐための値)であり、GWはネットワーク10上のゲートウェイスイッチ200の台数である。これにより、各ゲートウェイスイッチ200の帯域制限値は、各ゲートウェイスイッチ200におけるターゲットサーバ300宛のパケットの使用帯域に比例し、かつ、その合計が合計帯域制限値αになるように決定される。
帯域制御方式2では、一部のゲートウェイスイッチ200が遮断されると共に、残りのゲートウェイスイッチ200に対して帯域制御方式1による帯域制限値が設定される。すなわち、帯域制御方式2は、各ゲートウェイスイッチ200におけるアクセス元数と使用帯域とに基づき選択したゲートウェイスイッチ200を遮断する方式である。具体的には、トラヒック遮断ゲートウェイ選択部152は、以下の手順に従って、トラヒックを遮断するゲートウェイスイッチ200を選択する。
(1)各ゲートウェイスイッチ200の送信元IPアドレス数が最も少ないゲートウェイスイッチ200(送信元IPアドレス数Umin)を候補として選択する。
(2)カウンタ変数m, nをn=Umin、m=1に初期化する。
(3)候補の中で、使用帯域が最も大きいゲートウェイスイッチ200から順にm台選択する。
(4)合計帯域がユーザのサービス可用性を維持できる数値(すなわち、帯域制御方式切替閾値)に収まれば終了し、収まらなければ(5)に移行する。
(5)カウンタ変数nをインクリメントする(n=n+1)。
(6)n≦(m+1)×Uminであれば(7)に移行し、そうでなければ(8)に移行する。
(7)送信元IPアドレス数n+1のゲートウェイスイッチ200を候補として選択し、(3)に戻る。
(8)カウンタ変数mをインクリメントし(m=m+1)、(3)に戻る。
(9)上記の手順によって選択したゲートウェイスイッチ200をトラヒック遮断ゲートウェイとして選択し、当該ゲートウェイスイッチ200の帯域制限値を0に設定(すなわち、当該ゲートウェイスイッチ200を遮断)し、それ以外のゲートウェイスイッチ200の帯域制限値について、帯域計算部150は、各ゲートウェイスイッチ(GW)の帯域制限値=(合計の帯域制限値×GWの帯域使用量)/遮断したトラヒックを除く合計の帯域使用量、となるように帯域制限値を決定する。具体的には、帯域計算部150は、以下の式で帯域制限値を計算し、(10)に移行する。
Figure 0006509143
 ここで、mは(2)〜(8)のカウンタ変数と同じであり、トラヒック遮断ゲートウェイの台数であり、Bblockedはトラヒック遮断ゲートウェイにて遮断されたトラヒックの帯域の合計値であり、それ以外の変数は上述したものと同様である。すなわち、帯域制御方式2を選択すると、帯域計算部150は、攻撃対象サーバ300に対するアクセス元数が少ないゲートウェイスイッチ200から攻撃対象サーバ300のための使用帯域が大きいゲートウェイスイッチ200を決定し、当該ゲートウェイスイッチを遮断する。帯域制御方式2は、遮断されるゲートウェイスイッチ200以外のユーザのサービス可用性を維持できる範囲で可能な限りサービス利用不可となるユーザ数を減らすというアプローチに基づくものである。
次に、図6を参照して、本発明の一実施例による帯域制御装置100による帯域制御処理を説明する。図6は、本発明の一実施例による帯域制御処理を示すフローチャートである。
図6に示されるように、ステップS101において、帯域制御装置100は、各ゲートウェイスイッチ200からモニタリング情報を取得する。当該モニタリング情報は、例えば、当該ゲートウェイスイッチ200に流入するパケットの宛先IPアドレス、当該宛先IPアドレス宛のパケットの使用帯域、及び当該宛先IPアドレスの送信元IPアドレスの個数を含む。
ステップS102において、帯域制御装置100は、各ゲートウェイスイッチ200から収集したモニタリング情報から各宛先IPアドレス宛のパケットの使用帯域を合計し、合計使用帯域(トラヒック)と閾値情報テーブル140に保持される当該宛先IPアドレスの攻撃判定閾値とを比較する。合計使用帯域が攻撃判定閾値以上である場合(ステップS102:yes)、帯域制御装置100は、当該宛先IPアドレスが攻撃対象となっていると判定し、ステップS103に移行する。他方、合計使用帯域が攻撃判定閾値未満である場合(ステップS102:no)、帯域制御装置100は、当該宛先IPアドレスは攻撃されていないと判断し、ステップS104において、当該宛先IPアドレス宛のトラヒックに帯域制御を実施することなく、ステップS101に戻ってトラヒックモニタリングを継続する。
ステップS103において、帯域制御装置100は更に、合計使用帯域と閾値情報テーブル140に保持される当該宛先IPアドレスの帯域制御方式切替閾値とを比較する。合計使用帯域が帯域制御方式切替閾値以上である場合(ステップS103:yes)、帯域制御装置100は、ステップS105に移行し、上述した帯域制御方式2に従ってトラヒック遮断ゲートウェイを選択すると共に、残りのゲートウェイスイッチ200に対して帯域制限値を設定する。
他方、合計使用帯域が帯域制御方式切替閾値未満である場合(ステップS103:no)、帯域制御装置100は、ステップS106に移行し、上述した帯域制御方式1に従ってゲートウェイスイッチ200に対して帯域制限値を設定する。
次に、図7を参照して、本発明の一実施例による帯域制御装置100とゲートウェイスイッチ200との間で実行される帯域制御処理を説明する。本実施例では、帯域制御装置100が定期的に各ゲートウェイスイッチ200をモニタリングしてモニタリング情報を更新し、攻撃判定閾値を超えたときをトリガとして、帯域制御方式の選択と帯域制限値の計算を行い、各ゲートウェイスイッチ200に帯域設定を実行する。なお、各装置間の情報のやり取りは、すべて各装置の送受信部を介して行われるが、説明の簡単化のため送受信部の送受信処理は省略する。ここでは、閾値情報テーブル140に攻撃対象であるサーバ300の合計帯域制限値として攻撃判定閾値αと帯域制御方式切替閾値βが設定されているものとする。
図7は、本発明の一実施例による帯域制御処理を示すシーケンス図である。図7に示されるように、ステップS201において、帯域制御装置100のモニタリング情報収集部120は、定期的に各ゲートウェイスイッチ200に対して特定のサーバ300(宛先IPアドレス)のパケットのモニタリング情報の送信を要求する。
ステップS202において、モニタリング情報送信要求を受けた各ゲートウェイスイッチのモニタリング部230は、モニタリングを一定時間行い、対象となるサーバ300とその宛先へのパケットの使用帯域が含まれたモニタリング情報をモニタリング情報テーブル240に保存する。
ステップS203において、モニタリング部230は、保存された情報をモニタリング情報収集部120に送信する。
ステップS204において、モニタリング情報収集部120は、各ゲートウェイスイッチ200から受信したモニタリング情報をモニタリング情報テーブル130に書き込み更新する。
ステップS205において、帯域計算部150は、閾値情報テーブル140を参照し、攻撃対象となっているサーバ300の攻撃判定閾値αと帯域制御方式切替閾値βとを取得する。また、帯域計算部150は、モニタリング情報テーブル130を参照し、攻撃対象となっているサーバ300を宛先とするトラヒックについて、各ゲートウェイスイッチ200における使用帯域と攻撃対象宛のパケットの送信元IPアドレス数とを取得する。
ステップS206において、帯域計算部150は、モニタリング情報テーブル130から取得した攻撃対象宛のパケットの合計帯域を計算し、帯域制御を行うか、また、上述した帯域制御方式1と帯域制御方式2との何れを利用するか選択する。具体的には、攻撃対象宛のトラヒックの合計帯域がα以上β以下であれば、帯域計算部150は帯域制御方式1を選択し、ステップS207に移行する。他方、そうでなければ、攻撃対象宛のトラヒックの合計帯域がβ以上であれば、帯域計算部150は帯域制御方式2を選択し、ステップS208に移行する。
ステップS207において、帯域計算部150は、帯域制御方式2に関して上述した手順に従ってトラヒック遮断ゲートウェイを選択し、選択されなかったゲートウェイスイッチ200の帯域制限値を計算するため、ステップS208に移行する。
ステップS208において、帯域計算部150は、帯域制御方式1に関して上述した手順に従って各ゲートウェイスイッチ200における攻撃対象サーバ300宛てのトラヒックの帯域制限値を決定する。
ステップS209において、帯域計算部150は、各ゲートウェイスイッチ200の帯域設定部220に計算した帯域制限値を設定するよう要求する。
ステップS210において、各ゲートウェイスイッチの帯域設定部220は、受信した帯域制限設定要求に基づきゲートウェイスイッチ200の帯域制限値を設定し、閾値情報テーブル250に帯域制限値を保存する。
ステップS211において、帯域設定部220は、設定が完了したことを帯域計算部150に通知し、全てのゲートウェイスイッチ200から当該完了通知を受信すると、帯域計算部150は、当該処理を終了してステップS201に戻る。
上述したステップを定期的に又はリアルタイムに繰り返し実行することによって、最適な帯域制御方式に変更したり、帯域制限値を調整したり、トラヒック遮断ゲートウェイを再選択したり、攻撃が止まったときには自動的に帯域制御を解除することができる。
例えば、帯域制御方式2に従ってトラヒック遮断ゲートウェイが選択された後にトラヒックが更に増大した場合、上述したステップを繰り返すことによって、図8に示されるように、更なるトラヒック遮断ゲートウェイを追加することが可能になる。また、トラヒックが変化した場合、上述したステップを繰り返すことによって、図9に示されるように、トラヒックの変化に応じてトラヒック遮断ゲートウェイを変更することが可能になる。このようにして、帯域制御装置100は、動的にゲートウェイスイッチ200の使用帯域を制御することができる。
また、帯域制御装置100が定期的に各ゲートウェイスイッチ200をモニタリングし、攻撃対象サーバ300宛ての合計トラヒックが攻撃判定閾値以下になったとき、以下の手順によって各ゲートウェイスイッチの帯域制御を解除することができる。上述したステップS201〜S205を実行した後、帯域計算部150は、攻撃対象宛のパケットの合計帯域を計算し、帯域制御を行うか、また、上述した帯域制御方式1と帯域制御方式2との何れを利用するか選択する。ここでは、合計帯域が攻撃判定閾値αを下回っている場合を想定しているので、帯域制御を行わない設定となる。この場合、帯域計算部150は、各ゲートウェイスイッチ200に対して帯域制限値を解除するよう帯域設定部220に要求する。各ゲートウェイスイッチ200の帯域設定部220は、攻撃対象の宛先IPアドレスに対して設定されている帯域制限値を解除し、閾値情報テーブル250の帯域制限値を削除する。当該解除処理を終了した後、帯域設定部220は、解除完了通知を帯域計算部150に通知する。全てのゲートウェイスイッチ200から解除完了通知を取得後、帯域計算部150は、当該処理を終了してステップS201に戻る。
上述した帯域制御方式1と2とを切り替えるトリガとなる帯域制御方式切替閾値βの設定方法について、例えば以下の計算方法により、βが求められる。以下の方法では、βは攻撃対象宛のパケットの合計帯域値に対する閾値ではなく、任意のゲートウェイスイッチ200における1人のユーザ(攻撃者)の攻撃対象宛のパケットの平均値に対する閾値である。
(1)サービスが利用できなくなるようなユーザ1人あたりの帯域の下限値として、閾値βを設定する。
(2)各ゲートウェイスイッチ200から、帯域制御前の合計帯域と攻撃対象宛のユーザ数(そのゲートウェイスイッチ200を経由している攻撃対象宛のトラヒックの送信元IPアドレス数)を取得する。
(3)1つのゲートウェイスイッチ200でも以下の条件式に当てはまれば、帯域制御方式を帯域制御方式2として、当てはまらなければ、帯域制御方式を帯域制御方式1とする。
Figure 0006509143
 ここで、ゲートウェイiは、ゲートウェイIDが1〜nのうちの任意のゲートウェイスイッチ200である。
上述したように、本発明によると、キャリアネットワークのような多数の外部ネットワークとのゲートウェイを有するネットワークにおいて、DDoS攻撃がネットワーク内のサーバになされた場合に、攻撃元が不明で、かつ一つ一つの攻撃が小さく各ゲートウェイで検知不可能であっても、サーバをサービス停止状態にすることなく、かつ公平性を考慮することで、一部のユーザがサービスを利用できなくなる状態を防ぎ、また攻撃トラヒックが大きい場合においても、できるだけ多くのユーザがサービスを利用できるように維持させることで、DDoS攻撃に対するネットワークとサービスの可用性を向上させることができる。
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 ネットワーク
100 帯域制御装置
200 ゲートウェイスイッチ
300 サーバ
400 外部ネットワーク

Claims (7)

  1. 複数のゲートウェイを制御する帯域制御装置であって、
    前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するモニタリング情報収集部と、
    前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定し、前記合計トラヒックが前記攻撃判定閾値以上であるときに前記サーバを攻撃対象サーバであると判定し、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記攻撃対象サーバ宛てのトラヒックを制御する帯域計算部と、
    を有し、
    前記第1の帯域制御方式は、各ゲートウェイにおける前記攻撃対象サーバ宛てのトラヒックに比例した帯域制限値を前記ゲートウェイに設定する方式であり、
    前記第2の帯域制御方式は、各ゲートウェイにおけるアクセス元数と使用帯域とに基づき選択したゲートウェイを遮断する方式である帯域制御装置。
  2. 前記帯域計算部は、前記合計トラヒックが前記攻撃判定閾値以上であって、前記帯域制御方式切替閾値未満である場合、前記第1の帯域制御方式を使用し、前記合計トラヒックが前記攻撃判定閾値及び前記帯域制御方式切替閾値以上である場合、前記第2の帯域制御方式を使用する、請求項記載の帯域制御装置。
  3. 複数のゲートウェイを制御する帯域制御装置であって、
    前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するモニタリング情報収集部と、
    前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定し、前記合計トラヒックが前記攻撃判定閾値以上であるときに前記サーバを攻撃対象サーバであると判定し、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記攻撃対象サーバ宛てのトラヒックを制御する帯域計算部と、
    を有し、
    前記第2の帯域制御方式を選択すると、前記帯域計算部は、前記攻撃対象サーバに対するアクセス元数が少ないゲートウェイから前記攻撃対象サーバのための使用帯域が大きいゲートウェイを決定し、前記決定したゲートウェイを遮断する帯域制御装置。
  4. 前記帯域計算部は、前記合計トラヒックが前記攻撃判定閾値以上の状態から、前記攻撃判定閾値未満の状態に遷移した場合に、前記第1もしくは第2の帯域制御方式を解除する、請求項記載の帯域制御装置。
  5. 帯域制御装置によって実行される複数のゲートウェイを制御するための方法であって、
    前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するステップと、
    前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定するステップと、
    前記合計トラヒックが前記攻撃判定閾値以上であることに応答して、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか判定するステップと、
    前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記サーバ宛てのトラヒックを制御するステップと、
    を有し、
    前記第1の帯域制御方式は、各ゲートウェイにおける前記攻撃対象サーバ宛てのトラヒックに比例した帯域制限値を前記ゲートウェイに設定する方式であり、
    前記第2の帯域制御方式は、各ゲートウェイにおけるアクセス元数と使用帯域とに基づき選択したゲートウェイを遮断する方式である方法。
  6. 帯域制御装置によって実行される複数のゲートウェイを制御するための方法であって、
    前記複数のゲートウェイからサーバ宛てのトラヒックのモニタリング情報を収集するステップと、
    前記収集したモニタリング情報から算出される前記サーバ宛ての合計トラヒックが前記サーバの攻撃判定閾値以上であるか判定するステップと、
    前記合計トラヒックが前記攻撃判定閾値以上であることに応答して、前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか判定するステップと、
    前記合計トラヒックが前記サーバの帯域制御方式切替閾値以上であるか否かに応じて第1の帯域制御方式と第2の帯域制御方式とを選択的に使用することによって前記複数のゲートウェイを介する前記サーバ宛てのトラヒックを制御するステップと、
    を有し、
    前記第2の帯域制御方式を選択すると、前記制御するステップは、前記攻撃対象サーバに対するアクセス元数が少ないゲートウェイから前記攻撃対象サーバのための使用帯域が大きいゲートウェイを決定し、前記決定したゲートウェイを遮断する方法。
  7. コンピュータを、請求項1ないしのうちいずれか1項に記載の前記帯域制御装置における各部として機能させるためのプログラム。
JP2016026490A 2016-02-16 2016-02-16 帯域制御装置及び方法 Active JP6509143B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016026490A JP6509143B2 (ja) 2016-02-16 2016-02-16 帯域制御装置及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016026490A JP6509143B2 (ja) 2016-02-16 2016-02-16 帯域制御装置及び方法

Publications (2)

Publication Number Publication Date
JP2017147526A JP2017147526A (ja) 2017-08-24
JP6509143B2 true JP6509143B2 (ja) 2019-05-08

Family

ID=59681651

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016026490A Active JP6509143B2 (ja) 2016-02-16 2016-02-16 帯域制御装置及び方法

Country Status (1)

Country Link
JP (1) JP6509143B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7073976B2 (ja) * 2018-08-07 2022-05-24 日本電信電話株式会社 管理装置および管理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000183960A (ja) * 1998-12-14 2000-06-30 Matsushita Electric Ind Co Ltd フレームリレー端末
JP2004328307A (ja) * 2003-04-24 2004-11-18 Mitsubishi Electric Corp 攻撃防御システム、攻撃防御制御サーバおよび攻撃防御方法
JP4697968B2 (ja) * 2006-03-07 2011-06-08 日本電信電話株式会社 分散型サービス不能攻撃防止システム、方法、およびその帯域管理装置
US8302189B2 (en) * 2009-11-30 2012-10-30 At&T Intellectual Property I, L.P. Methods, devices, systems, and computer program products for edge driven communications network security monitoring

Also Published As

Publication number Publication date
JP2017147526A (ja) 2017-08-24

Similar Documents

Publication Publication Date Title
Dridi et al. SDN-guard: DoS attacks mitigation in SDN networks
US9825990B2 (en) System and method for software defined behavioral DDoS attack mitigation
EP3226508B1 (en) Attack packet processing method, apparatus, and system
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
EP2901650B1 (en) Securing software defined networks via flow deflection
US9722926B2 (en) Method and system of large flow control in communication networks
US11283831B2 (en) Dynamic device isolation in a network
JP5757552B2 (ja) コンピュータシステム、コントローラ、サービス提供サーバ、及び負荷分散方法
WO2011074516A1 (ja) ネットワークシステムとその制御方法、及びコントローラ
KR20180041952A (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
US20140241349A1 (en) Openflow switch and packet processing method thereof
US20050018608A1 (en) Progressive and distributed regulation of selected network traffic destined for a network node
US10986018B2 (en) Reducing traffic overload in software defined network
US9686140B2 (en) Intelligent network interconnect
US9705921B2 (en) Automated synchronized domain wide transient policy
Dridi et al. A holistic approach to mitigating DoS attacks in SDN networks
US9525634B2 (en) Dynamic filtering and load optimization instructions based on subscribtion and real-time network and service load data
US10536379B2 (en) System and method for control traffic reduction between SDN controller and switch
Afaq et al. Large flows detection, marking, and mitigation based on sFlow standard in SDN
JP6939726B2 (ja) 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
Gkounis Cross-domain DoS link-flooding attack detection and mitigation using SDN principles
Joshi et al. Sfo: Subflow optimizer for mptcp in sdn
JP5870995B2 (ja) 通信システム、制御装置、計算機、ノードの制御方法およびプログラム
JP6509143B2 (ja) 帯域制御装置及び方法
KR20220128896A (ko) 클라우드 서버 스케일링 방법 및 그 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190115

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190326

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190402

R150 Certificate of patent or registration of utility model

Ref document number: 6509143

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150