JP6679521B2 - Communication system and DDoS cooperation coping method - Google Patents
Communication system and DDoS cooperation coping method Download PDFInfo
- Publication number
- JP6679521B2 JP6679521B2 JP2017027334A JP2017027334A JP6679521B2 JP 6679521 B2 JP6679521 B2 JP 6679521B2 JP 2017027334 A JP2017027334 A JP 2017027334A JP 2017027334 A JP2017027334 A JP 2017027334A JP 6679521 B2 JP6679521 B2 JP 6679521B2
- Authority
- JP
- Japan
- Prior art keywords
- target
- ddos
- cooperation
- coping
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、複数組織間でのDDoS(Distributed Denial of Service attack)攻撃情報の共有及び連携対処を実現するネットワーク技術に関する。 The present invention relates to a network technology that realizes sharing of DDoS (Distributed Denial of Service attack) attack information among multiple organizations and cooperating countermeasures.
近年、DDoS攻撃が大規模化しており、上流ISP(Internet Service Provider)のネットワーク帯域の枯渇や防御機能(例えば、非特許文献1に示すmitigation装置)のリソース限界により、標的となった組織単独での対処が困難な場合が存在する。このようなDDoS攻撃に対して、インターネット全体で複数AS(Autonomous System)の防御機能のリソースをシェアし、特定の防御機能にリソース負荷が集中しないように負荷分散しながら、各ASを標的とする攻撃に分担して対処することで、インターネット全体で対処可能な攻撃量を向上させる技術が提案されている(非特許文献2)。 In recent years, DDoS attacks have become large in scale, and due to the exhaustion of network bandwidth of upstream ISPs (Internet Service Providers) and the resource limit of defense functions (for example, the mitigation device shown in Non-Patent Document 1), the target organization alone There are cases where it is difficult to deal with. Against such a DDoS attack, the resources of defense functions of multiple ASs (Autonomous System) are shared across the Internet, and each AS is targeted while the load is distributed so that the resource load is not concentrated on a specific defense function. A technique has been proposed in which the amount of attack that can be dealt with on the entire Internet is improved by sharing the attack and dealing with it (Non-Patent Document 2).
既存技術(非特許文献2)では、上流側のASで対処されなかった分の標的宛攻撃が下流側のASに流入するが、AS間のネットワーク帯域(AS間リンク帯域)の残り容量を考慮せずに、各ASで対処する攻撃量を各ASの防御機能の使用率が平準化するように算出するため、残り容量を超える攻撃量が下流ASに流入することでAS間リンク帯域が輻輳し、このリンクを利用する他の通信サービスにも影響を与える(品質低下やサービス利用不能)恐れがある。 In the existing technology (Non-Patent Document 2), a target-addressed attack that is not handled by the upstream AS flows into the downstream AS, but the remaining capacity of the network band between ASs (link band between ASs) is considered. Instead, the amount of attack to be dealt with by each AS is calculated so that the usage rate of the defense function of each AS is leveled, so the amount of attack exceeding the remaining capacity flows into the downstream AS, and the link bandwidth between ASs becomes congested. However, it may affect other communication services that use this link (degraded quality or unavailability of service).
上述した問題を鑑み、本発明の課題は、AS間リンク帯域の輻輳の回避と各ASの防御機能のリソース使用率の平準化を同時に実現可能な複数AS間でのDDoS攻撃連携対処技術を提供することである。 In view of the above-mentioned problems, an object of the present invention is to provide a DDoS attack cooperation countermeasure technique between a plurality of ASs capable of simultaneously avoiding congestion of the link bandwidth between ASs and leveling the resource usage rate of the defense function of each AS. It is to be.
上記課題を解決するため、本発明の一態様は、複数の自律システム(AS)を有する通信システムであって、各自律システムは、DDoS連携対処装置及びmitigation装置を有し、標的ASにおいて検出されたDDoS攻撃に連携対処するため、前記標的ASのDDoS連携対処装置から送信された対処要求に対して、最低対処量、自ASを流れる標的AS宛通信量の合計値、対処中の標的AS宛攻撃量及びmitigation装置の利用可能リソース量を含む再調整要求が攻撃元ASに最も近いASから下流のASに送信され、前記再調整要求を受信したASのDDoS攻撃連携対処装置は、前記再調整要求及び自ASの情報に基づき、前記連携対処に使用する各ASのリソースを平準化させるための最適化問題を解くことによって、リソース使用率を決定し、各ASの最低対処量は、隣接AS間のリンクの利用可能帯域量に基づき決定され、前記連携対処に使用されるリソースのリソース使用率は、前記決定された最低対処量を制約条件として含む最適化問題を解くことによって決定される通信システムに関する。
In order to solve the above problems, one aspect of the present invention is a communication system having a plurality of autonomous systems (AS), each autonomous system having a DDoS cooperation coping device and a mitigation device, and detected in a target AS. In order to deal with the DDoS attack in a coordinated manner, the response amount sent from the DDoS cooperation response device of the target AS is the minimum response amount, the total value of the communication amount addressed to the target AS flowing through the own AS, and the target AS being addressed. A readjustment request including the attack amount and the available resource amount of the mitigation device is transmitted from the AS closest to the attacking AS to the downstream AS, and the DDoS attack cooperation countermeasure device of the AS that received the readjustment request is the readjustment. Based on the request and the information of the own AS, the resource utilization rate is determined by solving the optimization problem for leveling the resources of each AS used for the cooperative handling, and the minimum handling amount of each AS is the neighboring AS. Available bandwidth of links between Is determined based on the amount, the resource utilization of resources used for the cooperation deal relates to a communication system that will be determined by solving an optimization problem including a minimum deal amount the determined as a constraint condition.
本発明によると、AS間リンク帯域の輻輳の回避と各ASの防御機能のリソース使用率の平準化を同時に実現可能な複数AS間でのDDoS攻撃連携対処技術を提供することができる。 According to the present invention, it is possible to provide a technique for coping with a DDoS attack cooperation between a plurality of ASs, which is capable of simultaneously avoiding the congestion of the link bandwidth between ASs and leveling the resource usage rate of the defense function of each AS.
以下、図面に基づいて本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
以下の実施例では、自律システム(以降、AS:Autonomous System)間でのDDoS攻撃情報の共有及び各ASを標的とする攻撃に対して、各ASの防御機能のリソースをどれだけ割り当てるかを調整する役割を担うDDoS連携対処装置を開示する。また、DDoS連携対処装置間のアーキテクチャとして、例えば、非特許文献2のアーキテクチャなど、近隣ASのDDoS連携対処装置とのみ直接通信を行う分散型のアーキテクチャを適用することでスケーラビリティを向上させ、局所的な調整を繰り返すことで、インターネット全体で統一的なリソース割り当てを実現する。
In the following embodiments, sharing of DDoS attack information between autonomous systems (hereinafter referred to as AS: Autonomous System) and adjustment of how much the defense function resources of each AS are allocated to attacks targeting each AS Discloses a DDoS cooperation handling device that plays a role of Further, as the architecture between the DDoS cooperation coping devices, for example, by applying a distributed architecture that directly communicates only with the DDoS cooperation coping device of the neighboring AS, such as the architecture of Non-Patent
標的となったAS(標的AS)で攻撃を検知した場合、まず、標的ASから他のASとの連携対処を開始し、DDoS連携対処装置を介して、上流AS方向に標的IPアドレスを含む対処要求を伝搬し、要求を受信したASにおいて、随時、標的宛通信への対処とさらに上流ASへの対処要求の伝搬を繰り返していくことで、防御機能のリソースの許す限り、攻撃元に近いASでの攻撃対処を実現する。次に、各ASの防御機能のリソース使用率を平準化するために、最上流のASから下流AS方向に再調整要求を伝搬していき、再調整要求を受信したASとその隣接AS間で防御機能のリソース使用率を平準化するための最適化問題を解くことにより、各ASで対処する標的宛通信量を調整する。この時、AS間リンクの利用可能帯域量と自AS内へ流入する標的宛通信量に基づき、AS間リンク輻輳を回避するために自ASで最低限対処しなければならない標的宛通信量(対処量の最低値)を算出し、上述した最適化問題の制約条件として使用することで、AS間リンク帯域の輻輳の回避と各ASの防御装置のリソース使用率の平準化を同時に実現する。分散型のアーキテクチャにより、局所的なリソース割り当て量の調整を下流AS方向および上流AS方向に繰り返し行うことで、インターネット全体でAS間リンクの輻輳を回避しつつ、防御機能のリソース使用率が平準化された統一的なリソース割り当てを実現する。 When an attack is detected in the target AS (target AS), first, the target AS starts coordinating measures with other ASs, and measures including the target IP address in the upstream AS direction via the DDoS coordinating device. By propagating the request and receiving the request, the AS that is close to the attack source as long as the resources of the defense function allow To deal with attacks in. Next, in order to equalize the resource usage rate of the defense function of each AS, a readjustment request is propagated from the most upstream AS toward the downstream AS, and the AS that received the readjustment request and its adjacent AS By adjusting the optimization problem for leveling the resource usage of the defense function, the target communication volume handled by each AS is adjusted. At this time, based on the available bandwidth of the inter-AS link and the traffic to the target that flows into the local AS, the traffic to the target that must be handled by the local AS in order to avoid inter-AS link congestion ( The minimum value of the amount) is calculated and used as a constraint condition of the above-mentioned optimization problem, so that the congestion of the inter-AS link band is avoided and the resource utilization rate of the protection device of each AS is leveled at the same time. The distributed architecture repeatedly adjusts the local resource allocation in the downstream AS and upstream AS directions to avoid congestion of AS links across the entire Internet, while leveling the resource usage of defense functions. To achieve uniform resource allocation.
まず、図1を参照して、本発明の一実施形態によるネットワーク(インターネット)を説明する。図1は、本発明の一実施形態によるネットワークの構成図を示す。ネットワーク(インターネットに相当)を構成する複数の組織ネットワーク(AS)が本発明のDDoS連携対処装置を保有する状況を想定している。また、一例として、AS1(ISP網等)内のシステムが、他のAS内に存在する攻撃者の端末からのDDoS攻撃の標的(標的システム)となった場合を想定し、他のASとの間で、DDoS攻撃情報の共有と連携対処時のパラメータ調整(パラメータは、ある標的への攻撃に対して、各ASの防御機能のリソースをどれだけ割り当てて対処するかの量)等に必要な情報とを共有し、それらの情報を用いて、他ASとの間で対処パラメータを調整する方法を説明する。 First, a network (Internet) according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 shows a block diagram of a network according to an embodiment of the present invention. It is assumed that a plurality of organizational networks (AS) that constitute a network (corresponding to the Internet) have the DDoS cooperation coping apparatus of the present invention. In addition, as an example, assuming that the system in AS1 (ISP network, etc.) becomes the target (target system) of the DDoS attack from the terminal of the attacker existing in another AS, Necessary for sharing DDoS attack information and parameter adjustment when coordinating countermeasures (a parameter is the amount of resource of defense function of each AS to be dealt with against an attack against a certain target), etc. A method of sharing information and adjusting coping parameters with other AS using the information will be described.
図1に示されるように、任意数のAS(AS1~AS5など)がネットワークに含まれ、これらのASが相互接続されることによって、インターネットを模したネットワークのネットワークトポロジが構成される。 As shown in FIG. 1, an arbitrary number of ASs (AS1 to AS5, etc.) are included in the network, and by interconnecting these ASs, the network topology of the network imitating the Internet is configured.
DDoS連携対処装置100は、後述されるように、各AS間でDDoS攻撃情報等をやり取りし、やり取りした情報に基づき、DDoS攻撃に対処するためのパラメータを調整すると共に、他のASに対してDDoS攻撃の対処を要求する。また、DDoS攻撃に対処するためのパラメータとは、例えば、AS1, AS2及びAS3で分担してある標的宛の攻撃に対処する場合、各ASで標的宛通信量を何Gbpsずつmitigation装置50に引き込んで対処するかを示す量、フィルタリングする場合に各ASで何Gbpsまで標的宛通信を減らすかを示す量(フィルタリングの閾値)などである。これらの対処パラメータは、各ASを流れる標的宛通信量や各ASが保有するmitigation装置50の容量(リソース量)、AS間リンクの利用可能帯域量などの情報に基づき計算することによって調整される。ここで、mitigation装置50に引き込んで対処する通信量を調整する際の情報の取得の流れや計算式を含むより詳細な説明を以下でより詳細に説明する。
As will be described later, the DDoS cooperation coping
AS1内の任意のシステムがDDoS攻撃の被害に遭っている場合、AS1は、隣接AS(AS2とAS3)のDDoS連携対処装置100に対して、自AS番号や標的システムのIPアドレス(標的システムが複数存在する場合は、IPアドレスのリスト)等の情報を含むDDoS攻撃情報と攻撃への対処要求等を送信する。また、隣接ASのDDoS連携対処装置100は、AS1のDDoS連携対処装置100から受信した情報に基づき、標的宛通信が自網内からメッセージの送信元AS(AS1)に流れているかの情報の取得、標的宛通信への対処等を実施し、メッセージの送信元AS(AS1)に対して、取得した情報や対処状況等を応答する。さらに、自網内からメッセージの送信元ASに標的宛通信が流れている場合は、メッセージの送信元(AS1)を除く、他の隣接AS(AS2の場合は、AS4)に、DDoS攻撃情報と攻撃への対処要求を送信する。これを上流側AS方向に繰り返していくことで、攻撃元近くのASまでDDoS攻撃情報と対処要求が伝搬される。ここで、各ASは、隣接ASのDDoS連携対処装置100との通信に必要な隣接ASのDDoS連携対処装置100のIPアドレス等の情報を予め保有していることを想定している。なお、標的ASから連携対処を開始する(標的ASから他のASに攻撃情報や対処要求等を送信する)タイミングは任意である。例えば、自AS内のシステムを標的とする攻撃を検知した際に連携対処を開始する他、攻撃を検知した場合には、まず自AS内の防御機能のみで対処を行い、自AS内の防御機能のリソースやネットワーク帯域が逼迫した際に連携対処を開始することや、攻撃を検知してから一定時間毎等に連携対処を実施することも想定される。
When any system in AS1 is suffering from a DDoS attack, AS1 sends its own AS number or the IP address of the target system (target system is the target system) to the DDoS
mitigation装置50は、例えば、非特許文献1に記載される装置であってもよく、受信したDDoS攻撃情報等に基づき標的宛通信に対する対処を実施する。なお、DDoS攻撃に対処する技術としては、mitigation装置50のほかに、ルータ等の転送装置によるACL(Access Control List)等を利用した攻撃通信のフィルタリング、攻撃の標的宛通信の帯域制限(レートリミット等)等も想定され、本発明は、これらの対処技術との組み合わせも可能である。後述の本実施形態における動作手順では、mitigation装置50を利用して連携対処する場合の具体的な動作手順を説明する。
The
次に、図2を参照して、本発明の一実施形態によるDDoS連携対処装置を有するASの構成を説明する。以下において、AS1に着目して本実施形態を説明するが、本実施形態が他のASに適用可能であることは当業者に容易に理解されるであろう。 Next, with reference to FIG. 2, a configuration of an AS having a DDoS cooperation coping device according to an embodiment of the present invention will be described. The present embodiment will be described below focusing on AS1, but it will be easily understood by those skilled in the art that the present embodiment is applicable to other ASs.
図2に示されるように、当該ASは、mitigation装置50、DDoS連携対処装置100、トラヒック情報収集・DDoS攻撃検知装置200、ネットワーク制御装置300及びパケット転送装置400を有する。
As shown in FIG. 2, the AS includes a
トラヒック情報収集・DDoS攻撃検知装置200は、ルータ等のパケット転送装置400から定期的にフロー情報(送受信IPアドレス・送受信ポート番号・プロトコル番号等の組からなるフロー毎の通信量等)を収集し、収集したフロー情報を分析することで特定の宛先へのDDoS攻撃の発生を検知する。また、攻撃検知時等の任意のタイミングで、自ASのDDoS連携対処装置100に対して、標的システムのIPアドレスを含む攻撃検知メッセージを送信する。攻撃検知メッセージに含まれる標的IPアドレスは、標的のシステムが複数存在する場合や標的システムが複数のIPアドレスを保有する場合には、複数個通知される可能性もある。なお、トラヒック情報収集・DDoS攻撃検知装置200は、例えば、非特許文献3に記載されるSAMURAI等によって実現されてもよい。さらに、トラヒック情報収集・DDoS攻撃検知装置200は、DDoS攻撃が発生した際、又は任意のタイミングで、標的のIPアドレス宛通信量、mitigation装置50の最大リソース量、mitigation装置50の利用可能なリソース量、隣接ASとの間のリンク(AS間リンク)の利用可能帯域量等を測定し、任意のテーブルに格納すると共に、自ASのDDoS連携対処装置100に通知する機能を有する。
The traffic information collection / DDoS
mitigation装置50は、非特許文献1に説明される装置のように、DDoS攻撃対処に特化した装置であり、ある宛先に対する通信の中から、攻撃通信と正常通信とを区別して、攻撃通信のみを遮断するといった対処を行うことができる。前述の通り、DDoS攻撃対処の手段はこの他にも想定できるが、本実施形態では、DDoS攻撃対処のための手段の一例として、ASがmitigation装置50を保有する場合について記載している。
The
ネットワーク制御装置300は、ルータ等のパケット転送装置400を制御する機能を有する。ネットワーク制御装置300は、例えば、SDN(Software-Defined Networking)コントローラであってもよい。また、ネットワーク制御装置300は、DDoS連携対処装置100と通信し、DDoS連携対処装置100から通知された情報(標的のIPアドレスの一覧、対処方式、対処のためのパラメータ等)に基づき、パケット転送装置400を制御することで、mitigation装置50に標的宛の通信を迂回させたり、各パケット転送装置400にフィルタリングを設定したりといった制御や適用中のトラヒック制御等を終了するための制御を行う。mitigation装置50を利用して対処する場合の具体例を説明すると、ネットワーク制御装置300は、BGP(Border Gateway Protocol)又はOpenFlow等を利用し、各パケット転送装置400の保有する標的宛パケットの転送に関わるルーティング情報を一時的に書き換える(転送先をmitigation装置50のIPアドレスに変更する)ことで、標的宛パケットのみをmitigation装置50に迂回させて検査・対処することができる。
The
DDoS連携対処装置100は、ネットワーク制御装置300と通信し、標的のIPアドレスのリストを含むDDoS攻撃情報、DDoS攻撃の対処方式(例えば、mitigation装置50を利用)、対処する通信量(mitigation装置50に引き込む標的宛通信量)等を通知する。また、DDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200と通信し、標的のIPアドレス宛の通信量、mitigation装置50の最大リソース量や利用可能なリソース量、AS間リンクの利用可能帯域量等を取得する。また、攻撃検知メッセージを受信した場合、DDoS連携対処装置100は、攻撃検知メッセージに含まれる標的IPアドレスを後述される標的IPアドレステーブルに格納する。さらに、DDoS連携対処装置100は、他のASのDDoS連携対処装置100と通信し、DDoS攻撃情報(標的ASを識別可能な番号(例えばAS番号)、標的IPアドレスの一覧等)や連携対処に必要な情報(各ASを流れる標的IPアドレス宛通信量を宛先AS単位で合算した値、利用可能なmitigation装置50のリソース量、各ASのmitigation装置50で対処する標的宛通信量、AS間リンク輻輳を回避するためにそのASで最低限対処しなければならない標的宛通信量(対処量の最低値)といった対処パラメータ等)をやり取りする。ここで、DDoS攻撃情報は、上述した情報のみに限定されず、連携して対処する際のやり方に応じて、攻撃タイプ、攻撃元のIPアドレス情報、mitigation装置50で検査後のパケットを元のASまで転送するためのトンネル情報等を含むものであってもよい。
The DDoS
DDoS連携対処装置100は、典型的には、サーバにより実現されてもよく、例えば、バスを介し相互接続されるドライブ装置、補助記憶装置、メモリ装置、プロセッサ、インタフェース装置及び通信装置から構成される。DDoS連携対処装置100における後述される各種機能及び処理を実現するプログラムを含む各種コンピュータプログラムは、CD−ROM(Compact Disk−Read Only Memory)、DVD(Digital Versatile Disk)、フラッシュメモリなどの記録媒体によって提供されてもよい。プログラムを記憶した記録媒体がドライブ装置にセットされると、プログラムが記録媒体からドライブ装置を介して補助記憶装置にインストールされる。但し、プログラムのインストールは必ずしも記録媒体により行う必要はなく、ネットワークなどを介し何れかの外部装置からダウンロードするようにしてもよい。補助記憶装置は、インストールされたプログラムを格納すると共に、必要なファイルやデータなどを格納する。メモリ装置は、プログラムの起動指示があった場合に、補助記憶装置からプログラムやデータを読み出して格納する。プロセッサは、メモリ装置に格納されたプログラムやプログラムを実行するのに必要なパラメータなどの各種データに従って、後述されるようなDDoS連携対処装置の各種機能及び処理を実行する。インタフェース装置は、ネットワーク又は外部装置に接続するための通信インタフェースとして用いられる。通信装置は、インターネットなどのネットワークと通信するための各種通信処理を実行する。
The DDoS
しかしながら、DDoS連携対処装置100は、上述したハードウェア構成に限定されるものでなく、他の何れか適切なハードウェア構成により実現されてもよい。なお、本実施例で示す構成は一例であり、例えば、トラヒック情報収集・DDoS攻撃検知装置200やネットワーク制御装置300は、DDoS連携対処装置100に組み込まれてもよい。
However, the DDoS
次に、図3を参照して、本発明の一実施形態におけるDDoS連携対処装置を詳細に説明する。図3は、本発明の一実施形態におけるDDoS連携対処装置の構成を示すブロック図である。 Next, with reference to FIG. 3, the DDoS cooperation coping device in one embodiment of the present invention will be described in detail. FIG. 3 is a block diagram showing the configuration of the DDoS cooperation coping device according to the embodiment of the present invention.
図3に示されるように、DDoS連携対処装置100は、処理部110、記憶部120及び通信部130を有する。
As shown in FIG. 3, the DDoS
処理部110は、以下で詳細に説明されるように、DDoS攻撃の標的IPアドレスを検出し、DDoS攻撃に連携対処するための対処要求を標的IPアドレス宛の通信の送信元のASに送信する。当該対処要求は更に、送信元のASからDDoS攻撃の攻撃元のASまで繰り返し伝搬される。また、各ASの最低対処量は、隣接AS間のリンクの利用可能帯域量に基づき決定され、連携対処に使用されるリソースのリソース使用率は、決定された利用可能帯域量を制約条件として含む最適化問題を解くことによって、当該ASから攻撃元のASまでの各ASにおいて平準化される。
As described in detail below, the
具体的には、処理部110は、以下で詳細に説明されるメッセージ受付部111、攻撃検知メッセージ処理部112、対処要求メッセージ処理部113、対処応答メッセージ処理部114、再調整要求メッセージ処理部115、対処終了要求メッセージ処理部116、パラメータ調整部117、攻撃対処設定部118及び対処終了判断部119を有する。
Specifically, the
記憶部120は、自AS及び連携ASのDDoS攻撃に関する情報を記憶し、具体的には、標的IPアドレス情報テーブル、攻撃情報テーブル、連携先AS情報テーブル、mitigation装置情報テーブル及びAS間リンク情報テーブルを有する。
The
通信部130は、他のASのDDoS連携対処装置100、自ASのトラヒック情報収集・DDoS攻撃検知装置200及び自ASのネットワーク制御装置300と通信する。また、パケット転送装置400やmitigation装置50から直接情報を取得したり、制御したりする場合には、通信部130はこれらの装置とも通信する。
The
メッセージ受付部111は、トラヒック情報収集・DDoS攻撃検知装置200や他のDDoS連携対処装置100からの各種メッセージを待ち受け、受信したメッセージの種類に応じて対応するメッセージ処理部に振り分ける機能を有する。図4に示されるように、ステップS101において、メッセージ受付部111は、受信したメッセージをキューに格納し、例えば、FIFO方式で対応するメッセージ処理部に転送する。メッセージは、攻撃検知メッセージ、対処要求メッセージ、対処応答メッセージ、再調整要求メッセージ及び対処終了要求メッセージの5種類存在する。各メッセージの内容等の詳細は後述する。
The message reception unit 111 has a function of waiting for various messages from the traffic information collection / DDoS
攻撃検知メッセージ処理部112は、トラヒック情報収集・DDoS攻撃検知装置200からの攻撃検知メッセージに対する処理を行う。攻撃検知メッセージを受信した場合(S110)、攻撃検知メッセージ処理部112は、図5に示されるような自ASの標的IPアドレス情報テーブルに、攻撃検知メッセージに含まれる標的IPアドレスを追加する(S111)。ここで、標的IPアドレス情報テーブルは、自ASで標的となっているシステムのIPアドレスを管理するためのテーブルであり、図5に示されるようなテーブル形式を有してもよい。図5に示される例では、標的IPアドレス情報テーブルは、攻撃の被害に遭っているASを一意に識別可能な情報(「標的AS番号」)及び標的IPアドレスで構成される。本テーブルの標的IPアドレスの情報は、新規のIPアドレス宛攻撃の検知の都度、または、一定時間毎等の任意のタイミングで、トラヒック情報収集・DDoS攻撃検知装置200から通知され、蓄積される。
The attack detection
また、攻撃検知メッセージ処理部112は、図6に示されるような攻撃情報テーブルに自ASを標的とする攻撃のレコードが存在しない場合は、当該レコードを新規作成する。さらに、攻撃検知メッセージ処理部112は、トラヒック情報収集・DDoS攻撃検知装置200を介して標的IPアドレス情報テーブルに含まれる各IPアドレス宛の通信量を取得し、図6に示されるような攻撃情報テーブルに当該IPアドレス宛通信量の和(「標的AS単位の攻撃通信量の合計値」)を格納する。ここで、攻撃情報テーブルは、各ASで対処中の攻撃を管理するためのテーブルであり、図6に示されるようなテーブル形式を有してもよい。図6に示される例では、攻撃情報テーブルは、攻撃の被害に遭っているASを一意に識別可能な情報(「標的AS番号」)、後述される対処要求メッセージの直接の送信元ASのID(「要求元(下流)AS番号」)、「標的IPアドレス」、当該攻撃に対する自AS(AS3)及び連携先AS(本実施例のAS1宛攻撃対処におけるAS3の場合はAS4,AS5)の対処ステータス情報等から構成される。攻撃情報テーブルでは、「標的AS番号」を主キーとしてレコードが用意され、他ASに関する情報は連携先ASの個数分存在する。また、対処ステータス情報は、対処を実施しているASのID(「AS番号」)、実施している対処方式(「対処方式」)、「標的AS単位の攻撃通信量の合計値」、対処をしている通信量(「対処中の通信量」)、AS間リンク輻輳を回避するために当該ASで対処しなければならない標的AS宛通信量の最低値(「対処量の最低値」)、対処に関する状態(「状態」)、標的AS宛通信対処の最上流ASかどうかを表すフラグ(「最上流ASフラグ」)等の情報から構成される。特に、対処ステータスの情報は、例えば、対処方式がレートリミット等の場合には、どのくらいの量まで制限をかけるかの閾値等が登録されてもよく、前述の情報には限定されない。また、同じ標的AS宛への攻撃であっても、例えば、攻撃に利用されるプロトコル等によって細かく制御を分けたい場合は、「標的AS+攻撃プロトコル等」を主キーとしてレコードを用意することも想定され、ある攻撃を管理するための情報も、図示された情報に限定されない。
Further, if there is no record of the attack targeting the own AS in the attack information table as shown in FIG. 6, the attack detection
本処理及び以降の同様の処理においては、個々の宛先IPアドレス単位で指定して通信量を取得する場合、トラヒック情報収集・DDoS攻撃検知装置200の負荷が大きくなったり、取得に時間がかかったりする可能性がある。このため、例えば、ISPで平常時から取得していることが想定されるレベルのフローの情報(通信量の多い上位いくつかのフローの情報のみが保存)を参照し、その中に受信した標的IPアドレスの一覧に含まれるIPアドレス宛の通信量情報があれば、その情報のみを利用することも想定される。攻撃検知メッセージ処理部112は、次の2つの処理を実施する。
In this process and similar processes thereafter, when the communication amount is specified and specified for each destination IP address, the load on the traffic information collection / DDoS
第1に、攻撃検知メッセージ処理部112は、攻撃対処設定部118を介して、標的IPアドレスの一覧に含まれるアドレス宛通信を自AS内のmitigation装置50に引き込んで対処するように設定する(S112)。
First, the attack detection
第2に、攻撃検知メッセージ処理部112は、図7に示されるような自身の隣接AS情報テーブルを参照し、各隣接ASのDDoS連携対処装置100に対して、標的AS番号(自身のAS番号)、標的IPアドレスリスト(図5の内容全て、またはデータサイズを削減するために過去に送信済みの場合は追加分のみ)、要求元AS番号(自身のAS番号)、フラグ(Flag=1)を含む対処要求メッセージを送信する(S113)。ここで、フラグは、受信側での処理を分岐させるために使用する値であるが、受信側での処理を分岐させるための方法はこれだけに限定されず、受信側で過去に当該標的AS宛の攻撃対処を実施していない場合(攻撃情報テーブルに未登録の場合)や過去に当該標的AS宛の攻撃対処を実施後一定時間経過している場合は、受信側でFlag=1の処理を実施する等の方法も考えられる。なお、以降で説明する他のメッセージ処理分岐の実現方法も同様に、前述の方法(フラグによる処理分岐)に限定されない。
Secondly, the attack detection
また、上述した第2の処理の前に、攻撃検知メッセージ処理部112は、標的宛攻撃量の合計値と事前設定された閾値を比較し、閾値未満の場合は、第2の処理を実施せずに自ASのみで攻撃に対処することも想定される。ここで、隣接AS情報テーブルは、各ASにおいて、直接の通信先となる隣接ASの情報を管理するためのテーブルであり、図7に示されるようなテーブル形式を有してもよい。図7に示される例では、「隣接AS番号」と「DDoS連携対処装置のIPアドレス」、「mitigation装置の利用可能リソース量」で構成しているが、隣接ASのDDoS連携対処装置100との通信形態によって、DDoS連携対処装置100のMACアドレスやポート番号等の他の情報の登録も想定される。「DDoS連携対処装置のIPアドレス」の取得方法は任意だが、例えば、本システムを各ASに導入する際に、システムの運用者間で共有し、本テーブルに格納すること等が想定される。また、「mitigation装置の利用可能リソース量」は、攻撃への連携対処の手順において、他ASのDDoS連携対処装置100から通知された情報に基づき更新される。
In addition, before the above-described second processing, the attack detection
対処要求メッセージ処理部113は、他のDDoS連携対処装置100からの対処要求メッセージに対する処理を行う(S120)。まず、対処要求メッセージを受信し、かつメッセージにFlag=1が含まれる場合の処理について説明する。メッセージにFlag=1が含まれる場合、対処要求メッセージ処理部113は、トラヒック情報収集・DDoS攻撃検知装置200を介して、受信した標的IPアドレスリストに含まれるIPアドレス宛通信量を取得する。また、対処要求メッセージ処理部113は、BGPの経路情報等を用いることで、自ASから対処要求メッセージの送信元ASまで標的宛通信が流れているかの判断を行う(S121)。判断の結果、標的宛通信が流れている場合は、対処要求メッセージ処理部113は、対処要求メッセージに含まれる標的AS番号、標的IPアドレスリスト、メッセージの送信元のAS番号(このASを下流ASとする)、取得したリストのIPアドレス宛通信量を標的AS単位で合算した値(標的AS単位の攻撃通信量の合計値)を自身の攻撃情報テーブルに登録する(S122)。また、前記判断の結果、流れていない場合は、対処要求メッセージ処理部113は、標的宛通信量を0として登録し、要求元ASに標的AS番号、自身のAS番号、フラグ(Flag=1)、対処状況(Status=対処不可)を含む対処応答メッセージを送信する)S126)。前記判断の結果、標的宛通信が流れている場合は、対処要求メッセージ処理部113は、さらに、次の3つの処理を実施する。
The coping request
第1に、対処要求メッセージ処理部113は、攻撃対処設定部118を介して、標的IPアドレスの一覧に含まれるアドレス宛通信を自AS内のmitigation装置50のリソース上限まで引き込んで対処するように設定する(標的宛通信量がmitigation装置50の利用可能リソース量より大きい場合は、利用可能リソース量まで引き込むように対処量を設定し、小さい場合は、対処量を指定せずに引き込みを設定する)(S123)。ここで、mitigation装置50のリソース上限値は、トラヒック情報収集・DDoS攻撃検知装置200が定期的に収集し、図8に示されるようなmitigation装置情報テーブルに登録した値を参照するほか、トラヒック情報収集・DDoS攻撃検知装置200に情報の取得を指示して、最新の情報を取得することが想定される。ここで、mitigation装置情報テーブルは、各ASにおいて、mitigation装置50の情報を管理するためのテーブルであり、図8に示されるようなテーブル形式を有してもよい。図8に示される実施例では、mitigation装置情報テーブルは、「最大リソース量」、最大リソース量から攻撃対処に利用中のリソース量を減算した値である「利用可能リソース量」等の情報から構成される。これらの情報は、トラヒック情報収集・DDoS攻撃検知装置200を介して、mitigation装置50等から定期的または任意のタイミングで収集され、更新される。また、最大リソース量は、mitigation装置50を導入する際に運用者等によって登録されてもよい。ここでは、mitigation装置50が1つのAS内に複数存在する場合は、その合計値を登録することを想定しているが、mitigation装置単位で管理してもよい。
First, the coping request
第2に、対処要求メッセージ処理部113は、対処要求メッセージの要求元ASに対して、標的AS番号、自身のAS番号、フラグ(Flag=1)、対処状況(Status=対処中)を含む対処応答メッセージを送信する(S124)。
Secondly, the handling request
第3に、対処要求メッセージ処理部113は、自ASの隣接AS情報テーブルに含まれる隣接AS(要求元ASを除く)のDDoS連携対処装置100に対して、受信したメッセージに含まれる標的AS番号、標的IPアドレスの一覧、及び自身のAS番号、フラグ(Flag=1)、を含む対処要求メッセージを送信する(S125)。なお、第3の処理は、標的AS単位の攻撃通信量の合計値を算出した際に、その値が事前に設定された閾値以上の量かを判定し、閾値未満の場合には、さらに上流での対処は不要として実施しないことも想定される。
Thirdly, the handling request
次に対処要求メッセージを受信し、かつメッセージにFlag=0が含まれる場合の処理について説明する。対処要求メッセージ処理部113は、メッセージにFlag=0が含まれる場合、標的AS宛通信に対する対処量の差分値(メッセージの送信元ASによる最新の調整で算出された標的AS宛通信に対してメッセージの受信ASで対処する通信量からメッセージの送信元ASが調整に用いたメッセージの受信ASで対処中の標的AS宛通信量を減算した値。つまり、以前の調整から追加で対処を要求された量)を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する(S127)。また、対処要求メッセージ処理部113は、自身がその標的AS宛対処の最上流ASでない場合(攻撃情報テーブルの自ASに関する情報の最上流ASフラグがFalseの場合)、連携先ASとの間で後述のパラメータ調整部117によるパラメータ調整処理を実施する(S128)。さらに、対処要求メッセージ処理部113は、パラメータ調整処理の結果得られた「その標的AS宛通信に対して各ASで対処する通信量」を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新し、その標的AS宛通信に関する対処量の最低値を、更新した標的AS単位の攻撃通信量の合計値とAS間リンクの利用可能帯域量から算出して更新する(S129)。また、対処要求メッセージ(Flag=0)の送信元AS(下流AS)のDDoS連携対処装置100に対して、対処要求メッセージ処理部113は、標的AS番号(受信メッセージに含まれるものと同じ値を設定)、自身のAS番号、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量、対処中の標的AS宛通信量、その標的AS宛通信に関する対処量の最低値、フラグ(Flag=0)を含む、再調整要求メッセージを送信する(S130)。さらに、対処要求メッセージ処理部113は、連携先ASのDDoS連携対処装置100に対して、標的AS番号(受信メッセージの標的AS番号と同じ値を設定)、自身のAS番号、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られた値)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られた値)から調整に用いたメッセージの宛先ASで対処中の標的AS宛通信量を減算した値(標的AS宛通信に対する対処量の差分値)、フラグ(Flag=0)を含む、対処要求メッセージを送信する(S131)。なお、標的AS宛通信に対する対処量の差分値は、異なるASを標的とする複数の攻撃に並列的に対処する際の情報のズレを補正するために利用する。
Next, a process when the handling request message is received and the message includes Flag = 0 will be described. When the message includes Flag = 0, the coping request
対処応答メッセージ処理部114は、他のDDoS連携対処装置100からの対処応答メッセージに対する処理を行う(S140)。対処応答メッセージ処理部114は、対処応答メッセージを受信し、Flag=1かつStatus=対処中の場合、そのメッセージに含まれる標的AS番号を見て、攻撃情報テーブル内の対応する行の連携先ASとして、対処応答メッセージの送信元AS番号を登録する(S141)。また、対処応答メッセージ処理部114は、全隣接ASから対処要求メッセージ(Flag=1)に対する応答を得たかを判定し、全隣接ASからの対処応答がStatus=対処不可の場合は、次の処理を実施する(S142)。
The coping response
第1に、対処応答メッセージ処理部114は、攻撃情報テーブルの自ASに関する情報の最上流ASフラグをTrueに設定する。また、対処応答メッセージ処理部114は、対処終了判断部119に当該攻撃の標的AS番号を通知し、当該攻撃に対する終了を監視するように設定する。
First, the coping response
第2に、対処応答メッセージ処理部114は、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量、対処中の標的AS宛通信量、要求元ASとの間のリンクの利用可能帯域量を取得し、標的AS宛攻撃に関する対処量の最低値を算出する(S143)。さらに、各テーブルの情報が最新でない場合は、対処応答メッセージ処理部114は、それらの情報を攻撃情報テーブル、mitigation装置情報テーブル、図9に示されるようなAS間リンク情報テーブルに登録する。ここで、AS間リンク情報テーブルは、各ASにおいて、隣接ASとの間のリンク情報を管理するためのテーブルであり、図9に示されるようなテーブル形式を有してもよい。図9に示される実施例では、AS間リンク情報テーブルは、どの隣接ASとの間のリンクかを識別するための「隣接AS番号」、「最大帯域量」、最大帯域量から各種通信サービスで利用中の通信帯域量を減算した値である「利用可能帯域量」等の情報から構成される。これらの情報は、トラヒック情報収集・DDoS攻撃検知装置200を介して、パケット転送装置400から定期的または任意のタイミングで収集され、更新される。また、最大帯域量は、通信回線敷設のタイミング等で運用者等によって登録されてもよい。ここでは、任意の隣接ASとの間のリンクが1つのAS内に複数存在する場合は、隣接AS単位でその合計値を登録することを想定しているが、リンク単位で管理してもよい。
Secondly, the coping response
第3に、対処応答メッセージ処理部114は、対処要求元(下流)ASに、標的AS番号(受信メッセージに含まれるものと同じ値を設定)、自身のAS番号、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量、対処中の標的AS宛通信量、その標的AS宛通信に関する対処量の最低値、フラグ(Flag=1)を含む再調整要求メッセージを送信する(S144)。
Third, the coping response
再調整要求メッセージ処理部115は、他のDDoS連携対処装置100からの再調整メッセージに対する処理を行う(S150)。再調整メッセージを受信した場合(Flag=0とFlag=1共通)、再調整要求メッセージ処理部115は、受信メッセージに含まれる標的AS番号を見て、攻撃情報テーブル内の対応する行の他ASに関する情報(メッセージ送信元AS番号に対応する部分)を、受信した情報で更新する(S151)。具体的には、再調整要求メッセージ処理部115は、標的AS単位の攻撃通信量の合計値、対処中の標的AS宛通信量、対処量の最低値を更新する。また、連携先AS情報テーブル(表3)のmitigation装置50の利用可能リソース量(メッセージの送信元ASの値)を更新する。 The readjustment request message processing unit 115 processes the readjustment message from the other DDoS cooperation coping apparatus 100 (S150). When the readjustment message is received (Flag = 0 and Flag = 1 are common), the readjustment request message processing unit 115 looks at the target AS number included in the received message and checks the other AS in the corresponding row in the attack information table. The information (part corresponding to the message transmission source AS number) is updated with the received information (S151). Specifically, the readjustment request message processing unit 115 updates the total value of the attack traffic in units of target ASs, the communication traffic addressed to the target AS under handling, and the minimum value of the traffic. In addition, the available resource amount of the mitigation device 50 (value of the message source AS) of the cooperation destination AS information table (Table 3) is updated.
受信した再調整要求メッセージのFlag=1かつ全連携先ASから再調整要求メッセージを受信済みの場合、再調整要求メッセージ処理部115は、標的AS単位の攻撃通信量の合計値、mitigation装置50の利用可能リソース量、対処中の標的AS宛通信量を取得し、各テーブルの情報が最新でない場合は、それらの情報を攻撃情報テーブル、mitigation装置情報テーブルに登録する。その後、再調整要求メッセージ処理部115は、取得した自ASの情報と、受信済みの連携先ASの情報を用いて、連携先ASとの間で後述のパラメータ調整部117によるパラメータ調整処理を実施する。パラメータ調整後の処理は、前述の対処要求(Flag=0)受信時の調整後の処理とほぼ同様であるが、下流ASに再調整要求を送信する際のフラグのみ、Flag=1となる。
When Flag = 1 of the received readjustment request message and the readjustment request message has been received from all the cooperation destination ASs, the readjustment request message processing unit 115 calculates the total value of the attack traffic amount of the target AS unit, the
受信した再調整要求メッセージのFlag=0かつ過去に1回以上再調整メッセージ受信に伴う再調整処理を実施している場合は、再調整要求メッセージ処理部115は、連携先ASとの間で後述のパラメータ調整部によるパラメータ調整処理を実施する。パラメータ調整後の処理は、前述の対処要求(Flag=0)受信時の調整後の処理と同様であり、下流ASに再調整要求を送信する際のフラグはFlag=0となる。 When Flag = 0 of the received readjustment request message and the readjustment process associated with the readjustment message received once or more in the past, the readjustment request message processing unit 115 will be described later with the cooperation destination AS. Parameter adjustment processing is performed by the parameter adjustment unit. The process after the parameter adjustment is the same as the process after the adjustment when the handling request (Flag = 0) is received, and the flag when transmitting the readjustment request to the downstream AS is Flag = 0.
対処終了要求メッセージ処理部116は、対処終了判断部119及び他のDDoS連携対処装置100からの対処終了要求メッセージに対する処理を行う(S170)。対処終了要求メッセージ処理部116は、対処終了要求メッセージに含まれる標的AS番号に基づき、トラヒック情報収集・DDoS攻撃検知装置200によって定期的に更新される攻撃情報テーブルの自ASに関する情報の当該AS宛攻撃の通信量の合計値と事前設定された閾値を比較する(S171)。その結果、閾値を下回っていた場合、対処終了要求メッセージ処理部116は、攻撃対処設定部118を介して、自AS内での当該標的AS宛攻撃対処を終了する。また、対処終了要求メッセージ処理部116は、対処終了判断部119に標的AS番号を通知し、当該攻撃への監視を終了する(S172)。さらに、対処終了要求メッセージ処理部116は、下流ASに標的AS番号を含む対処終了要求メッセージを送信する(S173)。
The coping end request
パラメータ調整部117は、他の処理部によって呼び出され、攻撃情報テーブル、連携先AS情報テーブル、mitigation装置情報テーブル及び/又はAS間リンク情報テーブルに格納された情報(自ASおよび連携先ASの標的AS単位の攻撃通信量の合計値、対処中の通信量、対処量の最低値、mitigation装置50の利用可能リソース量、AS間リンクの利用可能帯域量)に基づき、任意のAS宛の攻撃に対して、自ASと連携先AS間で対処する通信量を算出する機能を有する。ここでは、標的AS単位で攻撃をまとめて、各ASで対処する通信量を調整することで、標的IPアドレス単位で1つずつ調整する場合と比較して、必要な調整回数を削減できる。なお、後述の実施例では、各ASがmitigation装置50を利用して対処する際に、AS間リンクが輻輳しない範囲内で、といった制約条件のもと、各ASのmitigation装置50の使用率ができるだけ均一になるように、各ASで対処する通信量を調整する方法について説明する。しかし、AS間リンク輻輳の回避と各ASのmitigation装置50のリソース負荷分散を同時に実現する最適化問題の表現方法については、後述のものに限定されない。
The
攻撃対処設定部118は、他の処理部によって呼び出され、標的IPアドレス情報テーブル及び/又は攻撃情報テーブルを参照することで、標的IPアドレスの一覧、対処方式、自ASで対処する標的AS宛通信量を取得し、これらの情報をネットワーク制御装置300に通知する機能を有する。前述のとおり、ネットワーク制御装置300は、受信した前記情報に基づき、標的AS宛通信(の内、標的IPアドレスの一覧に含まれるIPアドレス宛通信)を、通知された通信量分mitigation装置50に引き込んで対処する(または適用中の制御を解除する)。なお、他の処理部による攻撃対処設定部118の呼び出しのタイミングは任意であり、例えば、各種メッセージを受信したタイミング、メッセージ処理部によるパラメータ調整処理が終了したタイミングで呼び出されることが想定される。本実施例では、主に、攻撃検知メッセージ、対処要求メッセージ、再調整要求メッセージの受信時とメッセージ処理部によるパラメータ調整処理の終了時に、攻撃対処設定部118を呼び出して最新の情報での対処を適用する場合を記載しているが、システムへの負荷を軽減するために、ある程度、各ASで対処する通信量が収束したタイミング(例えば、当該攻撃に関する最後のメッセージを受信してから一定時間経過後)で、最新の情報を対処に反映する等も想定される。
The attack
対処終了判断部119は、他の処理部によって呼び出され、トラヒック情報収集・DDoS攻撃検知装置200によって定期的に更新される攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値と事前設定された閾値を定期的に比較し、その値が閾値を下回った場合に、自ASのDDoS連携対処装置100のメッセージ受付部111に対して、標的AS番号を含む対処終了要求メッセージを送信する。ここで、対処終了判断の方法としては、上記閾値を用いた定期的な比較のほか、対処要求メッセージ等にその対処の有効期限を示すライフタイムを付与して送信し、そのライフタイムが0になった場合に、対処終了判断部119は、自身のメッセージ受付部111に対処終了要求メッセージを送信して、対処終了処理を行う等の方法も想定される。特に、ライフタイムで対処終了を管理する場合、AS間での対処終了メッセージの送受信は発生せず、各AS内で完結して特定のAS宛攻撃への対処終了を実施することも想定される。
The coping
次に、図10〜12を参照して、本発明の一実施形態によるDDoS連携対処装置の間の動作手順及び各ASがmitigation装置を保有している場合に、複数AS間で連携対処を行う際の対処ロジックの一例を説明する。図10〜12は、本発明の一実施形態によるDDoS攻撃情報共有装置間の動作手順を示すシーケンス図である。本対処ロジックでは、複数箇所が同時に攻撃される場合にも対処不能にならないように、可能な限り各ASのmitigation装置50の使用率が均一になるように、かつ、AS間リンクの輻輳を回避するように、各mitigation装置50で処理する通信量を調整しながら対処を実施する。
Next, with reference to FIGS. 10 to 12, when the AS has the mitigation device and the operation procedure between the DDoS cooperation coping devices according to the embodiment of the present invention, the coordinating process is performed between a plurality of ASs. An example of the handling logic in the case will be described. 10 to 12 are sequence diagrams showing an operation procedure between the DDoS attack information sharing devices according to the embodiment of the present invention. In this coping logic, even if a plurality of locations are attacked at the same time, it is not impossible to deal with it, the usage rate of the
ここでは、下流ASが、上流ASのmitigation装置50で検査済みのパケットと未検査のパケットとを区別可能であることを前提とし、各ASでは、標的宛かつ未検査のパケットのみを対象に、指定された通信量分をmitigation装置50に引き込んで対処する。なお、検査済みのパケットと未検査のパケットとを区別可能にする方法としては、例えば、OpenFlow等を利用して、上流ASにおいて、mitigation装置50で検査済みの標的宛パケットの宛先IPアドレスを、被害AS内の平常時は使用していない任意のIPアドレスに書き換え、被害ASに到達後に、元のIPアドレスに戻すといった方法や、GRE(Generic Routing Encapsulation)等のトンネリング技術を利用して、被害ASの任意のルータ等までカプセル化して転送するといった方法が考えられるが、これらの方法に限定するものではない(どちらの方法でも、上流ASのmitigation装置50で検査済みの場合は、途中のASでは、標的とは異なる宛先IPアドレスのパケットに見えるため、mitigation装置50への二重引き込みを回避できる)。この場合、被害ASのDDoS連携対処装置100と対処を実施するASのDDoS連携対処装置100との間で、書き換えに利用するIPアドレス情報、トンネルの始点及び終点となるノードのIPアドレスを追加で共有する必要があり、例えば、対処要求メッセージや再調整要求メッセージに含めて共有することが考えられる。
Here, it is assumed that the downstream AS is capable of distinguishing between the packets that have been inspected and the packets that have not been inspected by the
以降では、AS1のDDoS攻撃検知装置100による標的システム1及び標的システム2への攻撃の検知をトリガとして、自動的にAS間での連携対処が行われる際の動作手順を説明する。ここでは、各ASのDDoS連携対処機能は、トラヒック情報収集・DDoS攻撃検知装置200や他のASのDDoS連携対処機能からのメッセージを常に待ち受け、メッセージを受信した際には、そのメッセージに対する処理を実施する。また、あるメッセージの処理中に他のメッセージを受信した場合は、受信したメッセージをキューに貯めていき、最も古いメッセージから1つずつ処理を実施する場合を記載している。また、以下の実施例では、1つのAS(AS1)が標的となっている場合について記載しているが、複数のASが同時に攻撃される場合にも、それぞれの攻撃に並列で対処することができる。さらに、DDoS連携対処機能は、他のDDoS連携対処機能にメッセージを送信する際に、非同期で動作する(すなわち、送信したメッセージに対する応答を待たずに他の処理を実行する)。
In the following, an operation procedure when the coordinating action between ASs is automatically performed by using the detection of an attack on the
図10に示されるように、ステップS201において、AS1のトラヒック情報収集・DDoS攻撃検知装置200は、攻撃の発生を検知し、AS1のDDoS連携対処装置100に、標的システム1と標的システム2のIPアドレスを含む攻撃検知メッセージを送信する。
[攻撃検知メッセージ処理(AS1)]
ステップS202において、AS1のDDoS連携対処装置100は、自ASの標的IPアドレス情報テーブルに、攻撃検知メッセージに含まれる標的IPアドレスを追加し、攻撃情報テーブルに当該攻撃のレコードを登録する。
As shown in FIG. 10, in step S201, the traffic information collection / DDoS
[Attack detection message processing (AS1)]
In step S202, the DDoS
ステップS203において、AS1のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレスリストを通知し、自AS内のmitigation装置50を用いた対処を適用する(上流で未検査の標的宛通信を全てmitigation装置50に引き込んで対処するように設定)。
In step S203, the DDoS
ステップS204において、AS1のDDoS連携対処装置100は、隣接AS情報テーブルを参照し、隣接AS(AS2、AS3)のDDoS連携対処装置100に対して、標的AS番号(AS1)、標的IPアドレスリスト(図5の内容)、自身のAS番号(AS1)、Flag=1を含む対処要求メッセージを送信する。
[対処要求メッセージ処理(AS2)]
ステップS205において、AS2のDDoS連携対処装置100は、AS1からの対処要求メッセージに含まれるIPアドレス宛通信量を取得し、当該通信が自ASからAS1方向に流れているかを判定する。
In step S204, the DDoS
[Handling action request message (AS2)]
In step S205, the DDoS
ステップS206において、AS2からAS1方向に当該通信が流れているため、AS2のDDoS連携対処装置100は、受信した標的AS番号(AS1)、標的IPアドレスの一覧、メッセージの送信元のAS番号(AS1)を自身の攻撃情報テーブルに登録する。この際、対処要求の送信元ASを下流ASとして登録する。
In step S206, since the communication is flowing from AS2 to AS1, the DDoS
ステップS207において、AS2のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレスリストを通知し、AS2内のmitigation装置50を用いた対処を適用する(上流で未検査の標的宛通信をリソースの許す限りmitigation装置50に引き込んで対処するように設定)。
In step S207, the DDoS
ステップS208において、AS2のDDoS連携対処装置100は、AS1に標的AS番号(AS1)、自身のAS番号(AS2)、Flag=1、Status=対処中を含む対処応答メッセージを送信する。
In step S208, the DDoS
ステップS209において、AS2のDDoS連携対処装置100は、対処要求の送信元AS(AS1)を除く、隣接AS(AS4)に、標的AS番号(AS1)、受信した標的IPアドレスリスト、自AS番号(AS2)、Flag=1を含む対処要求メッセージを送信する。
[対処応答メッセージ処理(AS1)]
ステップS210において、AS1のDDoS連携対処装置100は、攻撃情報テーブルの標的AS番号がAS1の行の連携先ASの項目に、受信したAS2の情報を登録する。
[対処要求メッセージ処理(AS4)]
ステップS211において、AS4のDDoS連携対処装置100は、AS2からの対処要求に含まれるIPアドレス宛通信量を取得し、当該通信が自ASからAS2方向に流れているかを判定する。
In step S209, the DDoS
[Handling response message processing (AS1)]
In step S210, the DDoS
[Handling action request message (AS4)]
In step S211, the DDoS
流れていないため、ステップS212において、AS4のDDoS連携対処装置100は、AS2に標的AS番号(AS1)、自AS番号(AS44)、Flag=1、Status=対処不可を含む対処応答メッセージを送信する。
[対処応答メッセージ処理(AS2)]
ステップS213において、AS2のDDoS連携対処装置100は、対処要求(Flag=1)を送信した全隣接ASから、対処応答を受信済みであり、全てStatus=対処不可のため、攻撃情報テーブルの標的ASがAS1の行の最上流ASフラグをTrueに設定する。
Since it has not flown, in step S212, the DDoS
[Handling response message processing (AS2)]
In step S213, the DDoS
ステップS214において、AS2のDDoS連携対処装置100は、自AS内を流れる標的IPアドレスリストに含まれるIPアドレス宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量及び/又はAS間リンク(AS2-AS1間のリンク)の利用可能帯域量を各テーブルから取得し、自ASで対処する標的宛通信量の最低値を算出する。各テーブルの情報が最新でない場合は、AS2のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200経由で情報を取得し、攻撃情報テーブル、mitigation装置情報テーブル及び/又はAS間リンク情報テーブルの値を更新する。なお、自ASで対処する標的宛通信量の最低値は、例えば以下の式を用いて算出してもよい。
In step S214, the DDoS
[再調整要求メッセージ処理(AS1)]
ステップS216において、AS1のDDoS連携対処装置100は、AS2から受信した情報を攻撃情報テーブル及び/又は隣接AS情報テーブルに格納する。
[対処要求メッセージ処理(AS3)]
ステップS217において、AS3のDDoS連携対処装置100は、AS1からの対処要求メッセージに含まれるIPアドレス宛通信量を取得し、当該通信が自ASからAS1方向に流れているかを判定する。
[Re-adjustment request message processing (AS1)]
In step S216, the DDoS
[Handling action request message (AS3)]
In step S217, the DDoS
ステップS218において、AS3からAS1方向に当該通信が流れているため、AS3のDDoS連携対処装置100は、受信した標的AS番号(AS1)、標的IPアドレスの一覧、メッセージの送信元のAS番号(AS1)を自身の攻撃情報テーブルに登録する。この際、対処要求の送信元ASを下流ASとして登録する。
In step S218, since the communication is flowing from AS3 to AS1, the DDoS
ステップS219において、AS3のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレスリストを通知し、AS3内のmitigation装置50を用いた対処を適用する(上流で未検査の標的宛通信をリソースの許す限りmitigation装置50に引き込んで対処するように設定)。
In step S219, the DDoS
ステップS220において、AS3のDDoS連携対処装置100は、AS1に標的AS番号(AS1)、自身のAS番号(AS3)、Flag=1、Status=対処中を含む対処応答メッセージを送信する。
In step S220, the DDoS
ステップS221において、AS3のDDoS連携対処装置100は、対処要求の送信元AS(AS1)を除く、隣接AS(AS4、AS5)に、標的AS番号(AS1)、受信した標的IPアドレスリスト、自AS番号(AS3)、Flag=1を含む対処要求メッセージを送信する。
[対処要求メッセージ処理(AS4)]
ステップS222において、AS4のDDoS連携対処装置100は、AS3からの対処要求メッセージに含まれるIPアドレス宛通信量を取得し、当該通信が自ASからAS3方向に流れているかを判定する。
In step S221, the DDoS
[Handling action request message (AS4)]
In step S222, the DDoS
ステップS223において、AS4からAS3方向に当該通信が流れているため、AS4のDDoS連携対処装置100は、受信した標的AS番号(AS1)、標的IPアドレスの一覧、メッセージの送信元のAS番号(AS3)を自身の攻撃情報テーブルに登録する。この際、AS4のDDoS連携対処装置100は、対処要求の送信元ASを下流ASとして登録する。
In step S223, since the communication is flowing from AS4 to AS3, the DDoS
ステップS224において、AS4のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレスリストを通知し、AS4内のmitigation装置50を用いた対処を適用する(上流で未検査の標的宛通信をリソースの許す限りmitigation装置50に引き込んで対処するように設定)。
In step S224, the DDoS
ステップS225において、AS4のDDoS連携対処装置100は、AS3に標的AS番号(AS1)、自身のAS番号(AS4)、Flag=1、Status=対処中を含む対処応答メッセージを送信する。
In step S225, the DDoS
ステップS226において、AS4のDDoS連携対処装置100は、対処要求の送信元AS(AS3)を除く、隣接AS(AS2、AS5)に、標的AS番号(AS1)、受信した標的IPアドレスリスト、自AS番号(AS4)、Flag=1を含む対処要求メッセージを送信する。
In step S226, the DDoS
この後、AS4のDDoS連携対処装置100は、AS2、AS5からStatus=対処不可を含む応答を受信し、ステップS234に移行する。
[対処応答メッセージ処理(AS3)]
ステップS227において、AS3のDDoS連携対処装置100は、攻撃情報テーブルの標的AS番号がAS1の行の連携先ASの項目に、受信したAS4の情報を登録する。
[対処要求メッセージ処理(AS5)]
ステップS228において、AS5のDDoS連携対処装置100は、AS3からの対処要求メッセージに含まれるIPアドレス宛通信量を取得し、当該通信が自ASからAS3方向に流れているかを判定する。
After that, the DDoS
[Handling response message processing (AS3)]
In step S227, the DDoS
[Handling request message (AS5)]
In step S228, the DDoS
ステップS229において、AS5からAS3方向に当該通信が流れているため、AS5のDDoS連携対処装置100は、受信した標的AS番号(AS1)、標的IPアドレスの一覧、メッセージの送信元のAS番号(AS3)を自身の攻撃情報テーブルに登録する。この際、対処要求の送信元ASを下流ASとして登録する。
In step S229, since the communication is flowing from AS5 to AS3, the DDoS
ステップS230において、AS5のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレスリストを通知し、AS5内のmitigation装置50を用いた対処を適用する(上流で未検査の標的宛通信をリソースの許す限りmitigation装置50に引き込んで対処するように設定)。
In step S230, the DDoS
ステップS231において、AS5のDDoS連携対処装置100は、AS3に標的AS番号(AS1)、自身のAS番号(AS5)、Flag=1、Status=対処中を含む対処応答メッセージを送信する。
In step S231, the DDoS
ステップS232において、AS5のDDoS連携対処装置100は、対処要求の送信元AS(AS3)を除く、隣接AS(AS4)に、標的AS番号(AS1)、受信した標的IPアドレスリスト、自AS番号(AS5)、Flag=1を含む対処要求メッセージを送信する。
In step S232, the DDoS
この後、AS5のDDoS連携対処装置100は、AS4からStatus=対処不可を含む応答を受信し、ステップS238に移行する。
[対処応答メッセージ処理(AS3)]
ステップS233において、AS3のDDoS連携対処装置100は、攻撃情報テーブルの標的AS番号がAS1の行の連携先ASの項目に、受信したAS5の情報を登録する。
After that, the DDoS
[Handling response message processing (AS3)]
In step S233, the DDoS
ここまでの手順で、攻撃元に最も近いASのmitigation装置50のリソースを最大限用いた対処(インターネット全体での攻撃通信による消費帯域が最小になるような対処)が完了する。以降の手順では、さらに各ASのmitigation装置50のリソース使用率をAS間リンクが輻輳しない範囲で平準化するための調整について説明する。
[対処応答メッセージ処理(AS4)]
ステップS234において、AS4のDDoS連携対処装置100は、対処要求(Flag=1)を送信した全隣接ASから、対処応答を受信済みであり、全てStatus=対処不可のため、攻撃情報テーブルの標的ASがAS1の行の最上流ASフラグをTrueに設定する。
By the procedure up to this point, the countermeasure using the resources of the
[Handling response message processing (AS4)]
In step S234, the DDoS
ステップS235において、AS4のDDoS連携対処装置100は、自AS内を流れる標的IPアドレスリストに含まれるIPアドレス宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンク(AS4-AS3間のリンク)の利用可能帯域量を各テーブルから取得し、自ASで対処する標的宛通信量の最低値を算出する。各テーブルの情報が最新でない場合は、AS4のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200経由で情報を取得し、攻撃情報テーブル、mitigation装置情報テーブル及び/又はAS間リンク情報テーブルの値を更新する。なお、自ASで対処する標的宛通信量の最低値は、例えば、上述した対処する標的宛通信量の最低値の算出式を用いて算出してもよい。
In step S235, the DDoS
ステップS236において、AS4のDDoS連携対処装置100は、AS3に標的AS番号(AS1)、自身のAS番号(AS4)、自AS(AS4)を流れる標的宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンクの利用可能帯域量、自AS(AS4)で対処する標的宛通信量の最低値、Flag=1を含む再調整要求メッセージを送信する。
[再調整要求メッセージ処理(AS3)]
ステップS237において、AS3のDDoS連携対処装置100は、AS4から受信した情報を攻撃情報テーブル及び/又は隣接AS情報テーブルに格納する。
[対処応答メッセージ処理(AS5)]
ステップS238において、AS5のDDoS連携対処装置100は、対処要求(Flag=1)を送信した全隣接ASから、対処応答を受信済みであり、全てStatus=対処不可のため、攻撃情報テーブルの標的ASがAS1の行の最上流ASフラグをTrueに設定する。
In step S236, the DDoS
[Re-adjustment request message processing (AS3)]
In step S237, the DDoS
[Handling response message processing (AS5)]
In step S238, the DDoS
ステップS239において、AS5のDDoS連携対処装置100は、自AS内を流れる標的IPアドレスリストに含まれるIPアドレス宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンク(AS5-AS3間のリンク)の利用可能帯域量を各テーブルから取得し、自ASで対処する標的宛通信量の最低値を算出する。各テーブルの情報が最新でない場合は、AS5のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200経由で情報を取得し、攻撃情報テーブル、mitigation装置情報テーブル及び/又はAS間リンク情報テーブルの値を更新する。なお、自ASで対処する標的宛通信量の最低値は、例えば、上述した対処する標的宛通信量の最低値の算出式を用いて算出してもよい。
In step S239, the DDoS
ステップS240において、AS5のDDoS連携対処装置100は、AS3に標的AS番号(AS1)、自身のAS番号(AS5)、自AS(AS5)を流れる標的宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンクの利用可能帯域量、自AS(AS5)で対処する標的宛通信量の最低値、Flag=1を含む再調整要求メッセージを送信する。
[再調整要求メッセージ処理(AS3)]
ステップS241において、AS3のDDoS連携対処装置100は、AS5から受信した情報を攻撃情報テーブル及び/又は隣接AS情報テーブルに格納する。
In step S240, the DDoS
[Re-adjustment request message processing (AS3)]
In step S241, the DDoS
ステップS242において、AS3のDDoS連携対処装置100は、全連携先ASから再調整要求(Flag=1)を受信したため、自AS内を流れる標的IPアドレスリストに含まれるIPアドレス宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量を各テーブルから取得する。各テーブルの情報が最新でない場合は、AS3のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200経由で情報を取得し、攻撃情報テーブル及び/又はmitigation装置情報テーブルの値を更新する。
In step S242, since the DDoS
ステップS243において、AS3のDDoS連携対処装置100は、下記の最適化問題を解くことで、各AS(AS3、AS4、AS5)のmitigation装置50のリソース使用率が平準化するような対処量の値の組み合わせを算出する。一般化した表現では、当該最適化問題は、以下とすることができる。
In step S243, the DDoS
この際、AS3のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレス、自ASで対処する標的AS宛通信量(xAS1)を通知して最新の情報での攻撃対処を適用する。ネットワーク制御装置300は、攻撃情報テーブルに記載の標的IPアドレス宛通信をxAS3分、mitigation装置50に引き込んで対処する。
At this time, the DDoS
ステップS245において、AS3のDDoS連携対処装置100は、連携先AS(AS4、AS5)のDDoS連携対処装置100に対して、標的AS番号(AS1)、自身のAS番号(AS3)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られたxAS)、標的AS宛通信に対する対処量の差分値(xAS-XAS)、Flag=0が含まれる対処要求メッセージを送信する。
In step S245, the DDoS
ステップS246において、AS3のDDoS連携対処装置100は、下流AS(AS1)に、標的AS番号(AS1)、自身のAS番号(AS3)、自AS(AS3)を流れる標的宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンクの利用可能帯域量、自AS(AS3)で対処する標的宛通信量の最低値、Flag=1を含む再調整要求メッセージを送信する。
[対処要求メッセージ処理(AS4)]
ステップS247において、AS4のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S246, the DDoS
[Handling action request message (AS4)]
In step S247, the DDoS
ステップS248において、AS4のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
[対処要求メッセージ処理(AS5)]
ステップS249において、AS5のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S248, the DDoS
[Handling request message (AS5)]
In step S249, the DDoS
ステップS250において、AS5のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
[再調整要求メッセージ処理(AS1)]
ステップS251において、AS1のDDoS連携対処装置100は、AS3から受信した情報を攻撃情報テーブル及び/又は隣接AS情報テーブルに格納する。
In step S250, the DDoS
[Re-adjustment request message processing (AS1)]
In step S251, the DDoS
ステップS252において、AS1のDDoS連携対処装置100は、全連携先AS(AS2、AS3)から再調整要求(Flag=1)を受信したため、自AS内を流れる標的IPアドレスリストに含まれるIPアドレス宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量を各テーブルから取得する。各テーブルの情報が最新でない場合は、AS1のDDoS連携対処装置100は、トラヒック情報収集・DDoS攻撃検知装置200経由で情報を取得し、攻撃情報テーブル及び/又はmitigation装置情報テーブルの値を更新する。
In step S252, the DDoS
ステップS253において、AS1のDDoS連携対処装置100は、上述した最適化問題を解くことで、各AS(AS1、AS2、AS3)のmitigation装置50のリソース使用率が平準化するような対処量の値の組み合わせを算出する。
In step S253, the DDoS
ステップS254において、AS1のDDoS連携対処装置100は、パラメータ調整の結果得られた、「その標的AS宛通信に対して各ASで対処する通信量(xAS)を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新する。また、自ASで対処する標的宛通信量の最低値を、更新した標的AS単位の攻撃通信量の合計値とAS間リンクの利用可能帯域量から算出して更新する。
In step S254, the DDoS
ステップS255において、AS1のDDoS連携対処装置100は、連携先AS(AS2、AS3)のDDoS連携対処装置100に対して、標的AS番号(AS1)、自身のAS番号(AS1)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られたxAS)、標的AS宛通信に対する対処量の差分値(xAS-XAS)、Flag=0が含まれる対処要求メッセージを送信する。
[対処要求メッセージ処理(AS2)]
ステップS256において、AS2のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S255, the DDoS
[Handling action request message (AS2)]
In step S256, the DDoS
ステップS257において、AS2のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
[対処要求メッセージ処理(AS3)]
ステップS258において、AS3のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S257, the DDoS
[Handling action request message (AS3)]
In step S258, the DDoS
ステップS259において、AS3のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
In step S259, the DDoS
ステップS260において、AS3のDDoS連携対処装置100は、更新された情報を用いて、上述した最適化問題を解くことで、各AS(AS3、AS4、AS5)のmitigation装置50のリソース使用率が平準化するような対処量の値の組み合わせを算出する。
In step S260, the DDoS
ステップS261において、AS3のDDoS連携対処装置100は、パラメータ調整の結果得られた、「その標的AS宛通信に対して各ASで対処する通信量(xAS)」を用いて、mitigation装置情報テーブルの利用可能リソース量の値(自ASで対処する通信量分減算)、攻撃情報テーブルの自ASに関する情報の標的AS単位の攻撃通信量の合計値(他ASで対処する通信量分減算)と自ASと他ASの情報内の対処中の通信量の値(それぞれのASで対処する通信量の値を設定)を更新する。また、AS3のDDoS連携対処装置100は、自ASで対処する標的宛通信量の最低値を、更新した標的AS単位の攻撃通信量の合計値とAS間リンクの利用可能帯域量から算出して更新する。
In step S261, the DDoS
この際、AS3のDDoS連携対処装置100は、ネットワーク制御装置300に対して、標的IPアドレス、自ASで対処する標的AS宛通信量(xAS1)を通知して最新の情報での攻撃対処を適用してもよい。ネットワーク制御装置300は、攻撃情報テーブルに記載の標的IPアドレス宛通信をxAS3分、mitigation装置50に引き込んで対処する。
At this time, the DDoS
ステップS262において、AS3のDDoS連携対処装置100は、連携先AS(AS4、AS5)のDDoS連携対処装置100に対して、標的AS番号(AS1)、自身のAS番号(AS3)、メッセージの宛先ASで対処する標的AS宛通信量(調整の結果得られたxAS)、標的AS宛通信に対する対処量の差分値(xAS-XAS)、Flag=0が含まれる対処要求メッセージを送信する。
In step S262, the DDoS
ステップS263において、AS3のDDoS連携対処装置100は、下流AS(AS1)に、標的AS番号(AS1)、自身のAS番号(AS3)、自AS(AS3)を流れる標的宛通信量の合計値、mitigation装置50の利用可能リソース量、現在対処中の標的宛通信量、AS間リンクの利用可能帯域量、自AS(AS3)で対処する標的宛通信量の最低値、Flag=0を含む再調整要求メッセージを送信する。
[対処要求メッセージ処理(AS4)]
ステップS264において、AS4のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S263, the DDoS
[Handling action request message (AS4)]
In step S264, the DDoS
ステップS265において、AS4のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
[対処要求メッセージ処理(AS5)]
ステップS266において、AS5のDDoS連携対処装置100は、受信メッセージに含まれる標的AS宛通信に対する対処量の差分値を用いて、mitigation装置情報テーブルの利用可能リソース量(差分値分減算)、攻撃情報テーブルの自ASで対処中の標的AS宛通信量(差分値分加算)を更新する。
In step S265, the DDoS
[Handling request message (AS5)]
In step S266, the DDoS
ステップS267において、AS5のDDoS連携対処装置100は、ネットワーク制御装置300を介して、標的IPアドレス宛通信を要求分mitigation装置50に引き込んで対処する。
[再調整要求メッセージ処理(AS1)]
ステップS268において、AS1のDDoS連携対処装置100は、再調整要求メッセージ(Flag=0)処理を実施する。以降、後述の収束条件を満たすまで、各ASにおいてメッセージの受信に伴う処理と他ASへのメッセージ送信を繰り返し行うことで、インターネット全体として、AS間リンク輻輳を防ぎつつ、各ASのmitigation装置50のリソース使用率が平準化するように、標的AS宛攻撃に分担して対処することができる。
In step S267, the DDoS
[Re-adjustment request message processing (AS1)]
In step S268, the DDoS
なお、無限にパラメータ調整が実施されるのを防ぐための収束条件としては、例えば、各ASにおいて、ある標的宛通信に対する調整実施時の入力値で計算したFの値とGの値の差(preF - preG)と調整の結果得られたFの値とGの値の差(F - G)を比較して、事前設定した閾値以上改善していない場合は、そのパラメータ調整を実施せずにそのメッセージ処理を終了することが想定される。なお、収束条件については任意であり、この方法に限定されない。 As a convergence condition for preventing infinite parameter adjustment, for example, in each AS, the difference between the value of F and the value of G calculated with the input value at the time of performing adjustment for a certain target addressed communication ( preF-preG) and the difference between the F and G values (F-G) obtained as a result of the adjustment, and if there is no improvement over a preset threshold value, that parameter adjustment is not performed. It is assumed that the message processing will be terminated. The convergence condition is arbitrary and is not limited to this method.
また、攻撃量の変化等に追従するために、標的ASのDDoS連携対処装置100は、攻撃検知メッセージの受信や1回目の対処要求メッセージ(Flag=1)の送信等を契機とし、例えば一定時間経過毎に連携先ASに対して対処要求(Flag=1)を再送信することで、その時点で最新の通信量情報等を用いて、現在対処中の標的AS宛攻撃に対する連携対処内容を更新することも想定される。
Further, in order to follow changes in the amount of attack and the like, the DDoS
上述した実施例では、DDoS攻撃情報の共有と各攻撃に対して各ASの防御機能のリソースをどれだけ割り当てるかを調整する役割を担うDDoS連携対処装置100が導入される。DDoS連携対処装置100間のアーキテクチャとして、各ASが直接通信するASを近隣のみに限定する分散型のアーキテクチャが適用されている。当該アーキテクチャにおいて、標的ASから連携対処を開始して、まず、攻撃元に近いASで優先的に対処する方式(帯域を優先して対処)が適用される。次に、リソース使用率を平準化するために、最上流ASから再調整が実施されると共に、下流ASとの間のリンク帯域情報から、輻輳を回避するために自ASで最低限対処しなければならない量が算出され、最適化問題の制約として使用される。これにより、インターネット全体でDDoS攻撃に連携して対処する場合に、AS間リンク帯域の輻輳の回避と各ASの防御装置のリソース使用率の平準化を同時に実現することができる。上述した実施例によると、インターネット全体に適用する場合にも、高いスケーラビリティでのDDoS攻撃情報の共有・対処の連携が可能となる。また、インターネット全体で防御装置のリソースを共用してDDoS攻撃に連携対処する場合に、AS間リンク帯域の輻輳を回避することで、他の通信サービスへの影響を抑えつつ、各ASの防御装置のリソース使用率を平準化することで、インターネット全体としてより多くのDDoS攻撃に対処可能となる。
In the above-described embodiment, the DDoS
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the examples of the present invention have been described above in detail, the present invention is not limited to the above-described specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims. -Can be changed.
10 ネットワーク
50 mitigation装置
100 DDoS連携対処装置
110 処理部
120 記憶部
130 通信部
200 トラヒック情報収集・DDoS攻撃検知装置
300 ネットワーク制御装置
400 パケット転送装置
10
Claims (6)
各自律システムは、DDoS連携対処装置及びmitigation装置を有し、
標的ASにおいて検出されたDDoS攻撃に連携対処するため、前記標的ASのDDoS連携対処装置から送信された対処要求に対して、最低対処量、自ASを流れる標的AS宛通信量の合計値、対処中の標的AS宛攻撃量及びmitigation装置の利用可能リソース量を含む再調整要求が攻撃元ASに最も近いASから下流のASに送信され、
前記再調整要求を受信したASのDDoS攻撃連携対処装置は、前記再調整要求及び自ASの情報に基づき、前記連携対処に使用する各ASのリソースを平準化させるための最適化問題を解くことによって、リソース使用率を決定し、
各ASの最低対処量は、隣接AS間のリンクの利用可能帯域量に基づき決定され、
前記連携対処に使用されるリソースのリソース使用率は、前記決定された最低対処量を制約条件として含む最適化問題を解くことによって決定される通信システム。 A communication system having a plurality of autonomous systems (AS), comprising:
Each autonomous system has a DDoS cooperation handling device and a mitigation device,
In order to cooperate with the DDoS attack detected in the target AS, in response to the countermeasure request sent from the DDoS cooperation countermeasure device of the target AS, the minimum countermeasure amount, the total value of the communication amount addressed to the target AS flowing through the own AS, the countermeasure A readjustment request including the attack volume to the target AS and the available resource volume of the mitigation device is sent from the AS closest to the attacking AS to the downstream AS,
Receiving the readjustment request, the DDoS attack cooperation countermeasure device of the AS, based on the information of the readjustment request and the own AS, solve the optimization problem for leveling the resources of each AS used for the cooperation countermeasure. by determining the resource utilization,
The minimum handling amount of each AS is determined based on the available bandwidth of the link between adjacent ASs,
The cooperative resource usage of resources used for addressing a communication system that will be determined by solving an optimization problem including a minimum deal amount the determined as a constraint condition.
各自律システムは、DDoS連携対処装置及びmitigation装置を有し、
標的ASにおいて検出されたDDoS攻撃に連携対処するため、前記標的ASのDDoS連携対処装置から送信された対処要求に対して、最低対処量、自ASを流れる標的AS宛通信量の合計値、対処中の標的AS宛攻撃量及びmitigation装置の利用可能リソース量を含む再調整要求が攻撃元ASに最も近いASから下流のASに送信され、
前記再調整要求を受信したASのDDoS攻撃連携対処装置は、前記再調整要求及び自ASの情報に基づき、前記連携対処に使用する各ASのリソースを平準化させるための最適化問題を解くことによって、リソース使用率を決定し、
前記最低対処量は、隣接AS間のリンクの利用可能帯域量のうち前記DDoS攻撃に対する対処に利用する対処利用量を決定し、前記DDoS攻撃の標的IPアドレスの属するAS毎の標的IPアドレスの一覧に含まれるIPアドレスへの流入通信量の合計値と前記対処利用量との差分以上となるよう決定される通信システム。 A communication system having a plurality of autonomous systems (AS), comprising:
Each autonomous system has a DDoS cooperation handling device and a mitigation device,
In order to cooperate with the DDoS attack detected in the target AS, in response to the countermeasure request sent from the DDoS cooperation countermeasure device of the target AS, the minimum countermeasure amount, the total value of the communication amount addressed to the target AS flowing through the own AS, the countermeasure A readjustment request including the attack volume to the target AS and the available resource volume of the mitigation device is sent from the AS closest to the attacking AS to the downstream AS,
Receiving the readjustment request, the DDoS attack cooperation countermeasure device of the AS, based on the information of the readjustment request and the own AS, solve the optimization problem for leveling the resources of each AS used for the cooperation countermeasure. Determines resource usage by
The minimum coping amount determines the coping usage amount used for coping with the DDoS attack among the available bandwidth of the link between adjacent ASs, and a list of target IP addresses for each AS to which the target IP address of the DDoS attack belongs. A communication system that is determined to be greater than or equal to the difference between the total value of the inflow traffic to the IP address included in the above and the coping usage volume .
各自律システムは、DDoS連携対処装置及びmitigation装置を有し、
当該方法は、
DDoS攻撃を検出するステップと、
前記DDoS攻撃に連携対処するため、標的ASのDDoS連携対処装置から対処要求を送信するステップと、
最低対処量、自ASを流れる標的AS宛通信量の合計値、対処中の標的AS宛攻撃量及びmitigation装置の利用可能リソース量を含む再調整要求を攻撃元ASに最も近いASから下流のASに送信するステップと、
前記再調整要求を受信したASのDDoS攻撃連携対処装置が、前記再調整要求及び自ASの情報に基づき、前記連携対処に使用する各ASのリソースを平準化させるための最適化問題を解くことによって、リソース使用率を決定するステップと、
を有し、
各ASの最低対処量は、隣接AS間のリンクの利用可能帯域量に基づき決定され、
前記連携対処に使用されるリソースのリソース使用率は、前記決定された最低対処量を制約条件として含む最適化問題を解くことによって決定される方法。 A method for coping with DDoS cooperation in a communication system having a plurality of autonomous systems (AS),
Each autonomous system has a DDoS cooperation handling device and a mitigation device,
The method is
Detecting DDoS attacks,
In order to coordinately deal with the DDoS attack, a step of transmitting a countermeasure request from the DDoS collaboration countermeasure device of the target AS,
A re-adjustment request that includes the minimum handling amount, the total amount of communication to the target AS flowing through the own AS, the amount of attack to the target AS being handled, and the amount of available resources of the mitigation device The step of sending to
The DDoS attack cooperation countermeasure device of the AS that has received the readjustment request, based on the information of the readjustment request and own AS, solve the optimization problem for leveling the resources of each AS used for the cooperation countermeasure Determining the resource utilization by
Have a,
The minimum handling amount of each AS is determined based on the available bandwidth of the link between adjacent ASs,
The cooperative resource usage of resources used for addressing, the method that will be determined by solving an optimization problem including a minimum deal amount the determined as a constraint condition.
各自律システムは、DDoS連携対処装置及びmitigation装置を有し、 Each autonomous system has a DDoS cooperation handling device and a mitigation device,
当該方法は、The method is
DDoS攻撃を検出するステップと、 Detecting DDoS attacks,
前記DDoS攻撃に連携対処するため、標的ASのDDoS連携対処装置から対処要求を送信するステップと、 In order to coordinately deal with the DDoS attack, a step of transmitting a countermeasure request from the DDoS collaboration countermeasure device of the target AS,
最低対処量、自ASを流れる標的AS宛通信量の合計値、対処中の標的AS宛攻撃量及びmitigation装置の利用可能リソース量を含む再調整要求を攻撃元ASに最も近いASから下流のASに送信するステップと、 A readjustment request including the minimum handling amount, the total amount of communication to the target AS flowing through the own AS, the amount of attack to the target AS being handled, and the amount of resources available to the mitigation device is used as a downstream AS from the AS closest to the attacking AS. The step of sending to
前記再調整要求を受信したASのDDoS攻撃連携対処装置が、前記再調整要求及び自ASの情報に基づき、前記連携対処に使用する各ASのリソースを平準化させるための最適化問題を解くことによって、リソース使用率を決定するステップと、 Receiving the readjustment request, the DDoS attack cooperation countermeasure device of the AS, based on the information of the readjustment request and the own AS, solve the optimization problem for leveling the resources of each AS used for the cooperation countermeasure. Determining the resource utilization by
を有し、Have
前記最低対処量は、隣接AS間のリンクの利用可能帯域量のうち前記DDoS攻撃に対する対処に利用する対処利用量を決定し、前記DDoS攻撃の標的IPアドレスの属するAS毎の標的IPアドレスの一覧に含まれるIPアドレスへの流入通信量の合計値と前記対処利用量との差分以上となるよう決定される方法。 The minimum coping amount determines the coping usage amount used for coping with the DDoS attack among the available bandwidth of the link between adjacent ASs, and a list of target IP addresses for each AS to which the target IP address of the DDoS attack belongs. The method is determined so as to be equal to or more than the difference between the total value of the communication traffic flowing into the IP address included in the above and the coping usage volume.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017027334A JP6679521B2 (en) | 2017-02-16 | 2017-02-16 | Communication system and DDoS cooperation coping method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017027334A JP6679521B2 (en) | 2017-02-16 | 2017-02-16 | Communication system and DDoS cooperation coping method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018133750A JP2018133750A (en) | 2018-08-23 |
JP6679521B2 true JP6679521B2 (en) | 2020-04-15 |
Family
ID=63247595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017027334A Active JP6679521B2 (en) | 2017-02-16 | 2017-02-16 | Communication system and DDoS cooperation coping method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6679521B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3086821A1 (en) * | 2018-09-28 | 2020-04-03 | Orange | COLLABORATION AND REQUEST FOR COLLABORATION BETWEEN PROTECTION SERVICES ASSOCIATED WITH AT LEAST ONE DOMAIN, CORRESPONDING AGENTS AND COMPUTER PROGRAM. |
-
2017
- 2017-02-16 JP JP2017027334A patent/JP6679521B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018133750A (en) | 2018-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8817798B2 (en) | Constraining topology size and recursively calculating routes in large networks | |
US8072901B1 (en) | Technique for efficient probing to verify policy conformance | |
JP3742058B2 (en) | Method and system for optimizing routing through multiple available internet route providers | |
US9774612B2 (en) | Managing virtual computing testing | |
CN107637037A (en) | The system and method being route for the virtual interface in global virtual network and high-grade intelligent | |
US11522896B2 (en) | Managing virtual computing testing | |
US9455995B2 (en) | Identifying source of malicious network messages | |
EP2241058B1 (en) | Method for configuring acls on network device based on flow information | |
US11283683B2 (en) | Network modification impact prediction | |
EP2745468A1 (en) | Network-wide flow monitoring in split architecture networks | |
US9385925B1 (en) | Anycast route detection | |
EP3208976B1 (en) | Control device, control method and control program | |
US9584422B2 (en) | Methods and apparatuses for automating return traffic redirection to a service appliance by injecting traffic interception/redirection rules into network nodes | |
CN110098988B (en) | Method and system for processing internet protocol packets | |
JP6612197B2 (en) | DDoS cooperation handling apparatus, DDoS cooperation handling method, and program | |
JP2009231890A (en) | Packet relay device and traffic monitoring system | |
JP6679521B2 (en) | Communication system and DDoS cooperation coping method | |
JP6533476B2 (en) | DDoS attack information sharing device, operation method and program | |
JP2023500274A (en) | Information reporting method, data processing method and apparatus | |
JP4391960B2 (en) | Resource management apparatus, system and method | |
JP6777615B2 (en) | Coping device, coping method and program | |
WO2020017460A1 (en) | Ddos-handling device, ddos-handling method, and program | |
JP5506640B2 (en) | Content delivery method and system | |
US11876831B2 (en) | DDoS coping apparatus, DDoS coping method and program | |
JP2019022137A (en) | Communication system and DDoS attack cooperation countermeasure method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191216 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191224 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200318 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6679521 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |