JP6710295B2 - 攻撃に対する防御のためのネットワークトラフィックの処理 - Google Patents

攻撃に対する防御のためのネットワークトラフィックの処理 Download PDF

Info

Publication number
JP6710295B2
JP6710295B2 JP2018565655A JP2018565655A JP6710295B2 JP 6710295 B2 JP6710295 B2 JP 6710295B2 JP 2018565655 A JP2018565655 A JP 2018565655A JP 2018565655 A JP2018565655 A JP 2018565655A JP 6710295 B2 JP6710295 B2 JP 6710295B2
Authority
JP
Japan
Prior art keywords
network address
public network
network traffic
traffic
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018565655A
Other languages
English (en)
Other versions
JP2019525528A (ja
Inventor
フー・ミン
チャオ・フーライ
ジア・ジオン
チェン・イー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2019525528A publication Critical patent/JP2019525528A/ja
Application granted granted Critical
Publication of JP6710295B2 publication Critical patent/JP6710295B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • H04L43/0829Packet loss
    • H04L43/0835One way packet loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/24Multipath
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

他の出願の相互参照
本願は、2016年7月15日出願の発明の名称を「METHOD AND DEVICE FOR THE PROCESSING OF NETWORK TRAFFIC」とする中国特許出願第201610561330.7号に基づく優先権を主張する。当該出願は、すべての目的のために参照により本明細書に組み込まれる。
本発明は、概して、ネットワークセキュリティの分野に関し、特に、ネットワークトラフィックを処理してネットワーク攻撃に対抗するためのシステムおよび方法に関する。
分散型サービス妨害(DDoS)攻撃は、コンピュータリソース(例えば、サーバ)が大量のデータトラフィックに圧倒され、対象ユーザにとって利用不可能になるという形態の攻撃である。DDoS攻撃は、多数のコンピュータを攻撃ソースとして利用して、1または複数の標的コンピュータリソースに対してDDoS攻撃を開始する。クライアントサーバ技術を利用して、サービス妨害攻撃の力は、指数関数的に増大しうる。例えば、攻撃者は、しばしば、最初に1つのコンピュータに主制御プログラムをインストールし、次いで予め定められた期間内に、主制御プログラムは、多数のエージェントプログラムと通信する(これらも、インターネット上の複数のコンピュータにすでにインストールされている)。主制御プログラムからの命令の受信後、エージェントプログラムはすぐに、それに従って攻撃を開始する。したがって、かかる分散型クライアントサーバ技術を用いて、主制御プログラムは、数百ないし数千のエージェントプログラムを数秒以内に起動して攻撃動作を行わせる。
ブラックホールルーティングの技術(すなわち、特定のスタティックルーティング)は、オブリビアスなルート(oblivious routes)を吸収することでそれらがリターンルートを持たないようにする技術である。ブラックホールルーティングは、不適切なルート(入ってくるルートを持つものさえ)がもはやそれらのルートに関連するリターンルートを持たないようにする。例えば、一般に、かかるルートは、ネットワークシステムの管理者によって確立されたルーティングエントリである。管理者は、ヌル0のインターフェースへのルーティング経路の指定ソースアドレスを設定できる(例えば、実在しないインターフェースの宛先)。ネットワークセキュリティの観点から、この動作の結果として、理由を全く特定することなしに、特定のルーティング経路によってルーティングされた全データパケットのサイレントドロップが行われる。したがって、ルータのパケット転送能力を十分に利用することによって、システムバックボーンへの影響を最小限に抑えることができる。
一般に、悪意あるトラフィックの防御システム(例えば、クラウドベースのDDoS防御システム)は、3つの主な要素を備える。トラフィック検出デバイス、トラフィックフィルタリングデバイス、および、監視/管理デバイスである。トラフィック検出デバイスは、攻撃トラフィックを検出し、攻撃の検出時にトラフィックフィルタリングを実行するために防御システムに通知して起動する役割を担う。トラフィックフィルタリングデバイスは、専用のトラフィックフィルタリングメカニズムを用いて、疑わしいトラフィックを元々のネットワークルーティング経路からフィルタリングメカニズムへとリダイレクトする役割と、悪意あるトラフィックの認識および削除とを担う。フィルタリング後、フィルタリングデバイスは、正当なトラフィックの転送経路に影響を与えることなしに、攻撃データパケットを持たないフィルタアウトされた正当なトラフィックを、目標ホストに転送するための元々のネットワークルーティング経路へ戻す。監視/管理デバイスは、トラフィックフィルタリングデバイスを中央管理および構成し、リアルタイムトラフィックおよび警告イベントを表示し、ステータス情報を監視し、トラフィック解析、攻撃統計などに関する報告を適時に生成する役割を担う。
クラウドコンピューティングは、ネットワークベースのコンピューティングサービスを増大、利用、および、提供するための計算モデルである。一般的に、クラウドコンピューティングは、インターネットなどのネットワーク上で、動的に拡張可能でしばしば仮想化されるコンピュータリソースを提供する。
ソフトウェア定義ネットワーク(SDN)(比較的新しいタイプのネットワークアーキテクチャ)が、ネットワークの仮想化を達成するためのソリューションの1つである。SDNの中心概念は、ネットワーク要素の制御プレーンおよびデータ経路プレーンを分離することによって、ソフトウェア自己定義ルーティングを達成することにある。制御プレーンは、構成および管理機能を実行し、データ経路プレーンは、パケット処理機能を実行する。例えば、クラウドサービスプロバイダによって現在提供されている仮想プライベートクラウド(VPC)ネットワークが、SDNアーキテクチャの1つの具体的な実施例である。VPCネットワークでは、自己定義転送ルートが、仮想拡張可能ローカルエリアネットワーク(VXLAN)のトンネリングを用いて達成される。
現在、クラウドベースコンピューティングの急速な成長と共に、多くのユーザが、ビジネスまたは動作をパブリッククラウドシステムへ移してきた。しかしながら、同時に、クラウドユーザに対するDDoS攻撃が増え続けている。サーバ帯域幅に制限があるため、攻撃トラフィックがサーバ帯域幅の許容範囲を超えると、同じサーバによって提供される他のビジネスまたは動作に影響しないように、サービスプロバイダは、しばしば、ブラックホールルーティングを用いて、攻撃を受けているIPアドレスをスクリーニングする。結果として、対象ユーザは、もはやブラックホールフィルタリング下のIPアドレスでサービスにアクセスできなくなる。
図1は、専用クラウドベースDDoS防御システム122を別個に確立することによってボリュームベースのDDoS攻撃に対する防御のための従来のシステムの一例を示すブロック図である。図1に示すように、保護されたホスト128は、そのIPアドレスを、専用DDoS防御システム122が提供した仮想IPアドレスへドメインネームサーバ(DNS)(図示せず)によって解決されうる。したがって、経路(1)に沿って、保護されたホスト128からサービスを要求するリモートクライアントまたはサーバ120からのトラフィック(対象ユーザアクセストラフィックおよびDDoS攻撃トラフィックの両方を含む)は、DNSの変換サービスを介して専用クラウドベースDDoS防御システム122に関連する仮想IPアドレスへダイレクトされる。したがって、トラフィックは、最初に、専用クラウドベースDDoS防御システム122へルーティングされ、その後、それによってフィルタリングされる。次に、経路(2)に沿って、対象ユーザトラフィックは、パブリッククラウドサービス124で宛先アドレスに転送される。最後に、経路(3)に沿って、クラウドサービス124のルータ126が、保護されたホスト128へ対象ユーザアクセストラフィックを転送する。
しかしながら、上述のシステムには欠点がある。図2は、DDoS攻撃が、従来の専用クラウドベースDDoS防御システム122を迂回して、保護されたホスト128を直接ターゲットにすることで、保護されたホスト128で提供されるサービスをもはや対象ユーザにとってアクセス不可能にする様子を示した図である。時に、DNS解決履歴記録を通した漏洩、対象ユーザによる非意図的または不注意な漏洩、もしくは、スキャニング技術を用いての発見または窃盗などの理由により、保護されたホスト128のソースIPアドレス(すなわち、正当なアクセス要求に応答して返されたトラフィックデータに含まれるIPアドレス)が、攻撃者に漏洩する。結果として、本明細書に示すように、経路(1)に沿って、攻撃者は、リモートクライアント/リモートサーバ130からDDoS攻撃を開始する時に専用クラウドベースDDoS防御システム122を迂回して、保護されたホスト128にDDoS攻撃トラフィックを直接集中させることができる。例えば、保護されたホストがIPアドレス123.4.5.6と、対応する仮想IPアドレス10.1.2.3とを有すると仮定する。IPアドレス123.4.5.6が明らかになった場合、攻撃者は、このIPアドレスを攻撃する。結果として、保護されたホスト128は、もはやDDoS攻撃によって引き起こされた大量のトラフィックデータを扱うことができず、ブラックホールルーティングを防御手段として用いなければならない。この場合、ルータ126は、123.4.5.6を宛先とするパケットをドロップする。経路(2)および(3)に沿って、対象ユーザアクセストラフィックは、専用クラウドベースDDoS防御システム122によって転送され、その後、保護されたホスト128へ向かうが、結局、ブラックホールルーティングのせいでルータ126によって破棄されることになる。したがって、経路(4)に沿って、対象ユーザアクセストラフィックは、従来技術の防御が上述のDDoSの攻撃下にある時には、保護されたホスト128へもはや到達できない。
したがって、従来のDDoS防御システムの欠点に対処する必要がある。
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
ここで説明する図面は、本発明の理解を深めるよう意図されており、本願の一部を形成する。本願の実施形態およびその説明は、本発明を説明するよう意図されており、本発明の範囲の不適切な限定となるものではない。以下の図面が含まれる。
別個の専用クラウドベースDDoS防御システムを用いてDDoS攻撃などのボリュームベースの攻撃に対抗する従来技術の防御システムを示す概略機能図。
DDoS攻撃者が図1のクラウドベースDDoS防御システムを迂回して図1の保護されたホストを直接攻撃するシナリオの下で、図1の保護されたホストで提供されるビジネスが利用可能になる様子を示す概略機能図。
本開示の1または複数の実施形態に従って、通信システムの文脈で、ネットワークトラフィックを処理してDDoS攻撃に対処するためのシステムの一例を示す概略機能図。
本開示の1または複数の実施形態に従って、ネットワークトラフィックを処理してDDoS攻撃に対処するための方法の一例を示すフローチャート。
本開示の1または複数の実施形態に従って、ネットワークトラフィックを処理してDDoS攻撃に対処するための方法の別の例を示すフローチャート。
ネットワークトラフィックを処理してDDoS攻撃に対抗するためにプログラムされたコンピュータシステムの一実施形態を示す機能図。
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な格納媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納および/またはそのメモリによって提供される命令を実行するよう構成されているプロセッサ)を含め、様々な形態で実装されうる。本明細書では、これらの実装または本発明が取りうる任意の他の形態を、技術と呼ぶ。一般に、開示された処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、ある時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指す。
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
「第1」、「第2」などの用語は、本発明の記載および請求項ならびに図面において、類似した対象を区別するために用いられ、必ずしも特定の順番または順序を記載する意図はない。このように用いられたデータは、適切な状況で交換可能であり、その場合、本明細書に記載の本発明の実施形態は、本明細書に図示または記載した順序以外の順序でも実施できることを理解されたい。さらに、「含む」、「備える」、および、「有する」という用語、ならびに、それらの任意の変化形は、非排他的な包含を網羅するよう意図されたものであり、例えば、一連の工程またはユニットを含む処理、方法、システム、製品、および、装置が、明確に列挙された工程またはユニットに必ずしも限定されることはなく、明確に列挙されていない他の工程またはユニット、もしくは、これらの処理、方法、システム、製品、または、装置に固有の他の工程またはユニットを含んでもよい。
図3は、通信システム350の文脈で、本開示の一実施形態に従って、ネットワークトラフィックを処理して悪意ある攻撃(例えば、DDoS攻撃)に対処するためのシステムの一例を示すブロック図である。図3に示すように、通信システム350は、ユーザコンピュータデバイス332と、攻撃者コンピュータデバイス334と、ネットワークフィルタリングデバイス336と、サービスプロバイダによって提供されるクラウドサービス340とを備える。クラウドサービス340は、SDN302と、コントローラ304(例えば、ネットワーク管理サーバ)と、ルーティングデバイス306(例えば、ルータ)と、1または複数の保護されたホスト338(例えば、サーバ)とを備えるプラットフォーム上に提供される。
ユーザコンピュータデバイス332は、例えば、ユーザが保護されたホスト338でホストされたサービスへのサービスアクセス要求を送信するリモートクライアントまたはリモートサーバでありうる。攻撃者コンピュータデバイス334も、例えば、攻撃者が保護されたホスト338でホストされたサービスに対するDDoS攻撃を開始するために用いるリモートクライアントまたはサーバでありうる。ユーザコンピュータデバイス332および攻撃者コンピュータデバイス202は、クライアントコンピュータデバイスまたはサーバコンピュータデバイスでありえ、通信システム204への1または複数の有線、無線、または、任意のその他の適切な通信接続を備えた1または複数のコンピュータデバイス(パーソナルコンピュータ、ラップトップ、パーソナルデジタルアシスタント(PDA)、スマートフォン、ウェアラブルデバイス、スタンドアロンサーバ、分散型サーバなど)を含みうる。
一般に、ユーザコンピュータデバイスおよび攻撃者コンピュータデバイスは、異なる挙動を取る。保護されたホスト338で提供されるサービスにアクセスするために、正当なユーザは、ユーザコンピュータデバイス332を介して、保護されたホストの仮想IPアドレス(例えば、10.1.2.3)にダイレクトされた正当なトラフィックを送信する。正当なトラフィックは、保護されたホスト338で提供されるサービスに到達する前に、ネットワークフィルタリングデバイス336を通してルーティングされる。一方、攻撃者は、攻撃者コンピュータデバイス334を用いて、保護されたホスト338のアドレス(例えば、123.4.5.6)を特定することにより、パブリッククラウド340にある保護されたホスト338を直接目標とするデータパケットを送信しうる。1つの対象ユーザデバイス332、1つのDDoS攻撃者デバイス334、1つのフィルタリングデバイス336、および、1つの保護されたホスト338が、例示の目的で図3に示されているが、この技術は、複数の対象ユーザデバイス、攻撃者デバイス、フィルタリングデバイス、保護されたサーバなどに適用可能であることに注意されたい。
この例において、保護されたホストは、パブリックネットワークアドレスおよびプライベートアドレスに関連付けられるよう構成される。図1に示したシステムと同様に、入力トラフィックに対して、DNSは、仮想IPアドレスをパブリックネットワークアドレスに解決する。さらなるネットワークアドレス変換が、パブリックネットワークアドレスを保護されたホストのプライベートアドレスに対応付けるために実行され、パブリックネットワークアドレスとプライベートアドレスとの間の転送経路が維持される。パブリックネットワークアドレスに対応付けられた入トラフィックは、プライベートアドレスに変換されて転送され、戻りトラフィックが、パブリックネットワークアドレスから返される。プライベートアドレス情報は、戻りトラフィックに含まれないので、攻撃者は、戻りトラフィックを分析することによってプライベートアドレスの知識を取得することができない。後に詳述するように、攻撃中、SDNは、同一の保護されたホストのために複数のパブリックネットワークアドレスを用いることができるため、正当なトラフィックおよび攻撃トラフィックを分けることを可能にする。このように、攻撃トラフィックがドロップされうる一方で、正当なトラフィックは通過できる。
パブリッククラウドサービス340は、SDN302と、コントローラ304と、ルーティングデバイス306と、保護されたホスト338とを含む。SDNは、例えば、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)、インターネット、メトロポリタンエリアネットワーク(MAN)、ISPバックボーン、データセンタなどに実装されうるが、これらに限定されない。SDN302は、1または複数のネットワーク要素(ルータ、スイッチ、ブリッジ、負荷バランサなど)の機能を実装する1または複数のコンピュータデバイスを含む。いくつかの実施形態において、SDNは、ネットワーク機能または仮想マシンで実行するプログラムとして実装されうる。この例において、SDNの制御プレーンおよびデータ経路プレーンは、別個の論理構成要素として実装される。さらに、SDNの制御プレーンは、コントローラ304とは別個である。
この例において、ネットワークフィルタリングデバイス336によってフィルタリングおよび転送されたパケットは、保護されたホストの第1パブリックネットワークアドレスに対応する宛先アドレスを有する。SDN302は、ネットワークフィルタリングデバイス336によってフィルタリングされて第1パブリックネットワークアドレスに転送されたネットワークトラフィック(例えば、ネットワークフローに関連するデータパケット)がドロップされるか否かを検出するよう構成される。ネットワークフィルタリングデバイス336は、SDNから転送経路情報を受信し、転送経路情報に従って目標ホストにネットワークトラフィックを転送する。第1パブリックネットワークアドレスに向かうトラフィックの量(例えば、消費されている帯域幅、パケット数、または、その他の適切な測定値として測定されたもの)が閾値を超える(したがって、第1パブリックネットワークアドレスへの攻撃が実行中であることを示唆する)ことが検出されると、ネットワークフィルタリングデバイスは、第1パブリックネットワークアドレスに向かうパケットをドロップする。ネットワークフィルタリングデバイスによってフィルタリングされて第1パブリックネットワークアドレスに転送されたパケットがドロップされるという決定に応答して、SDNは、第2パブリックネットワークアドレスをかかるトラフィックに割り当て、第2パブリックネットワークアドレスに対応する転送経路を生成する。トラフィックに関連付けられている第2パブリックネットワークアドレスは、第1パブリックネットワークアドレスとは異なる新たに構成されているアドレスである。さらに、SDN302は、フィルタリングされたトラフィックの宛先を変更して、保護されたホスト338へ向かう予定のフィルタリングされたトラフィックをその代わりに第2パブリックネットワークアドレスへ送信することをネットワークフィルタリングデバイス336に通知する通知メッセージをネットワークフィルタリングデバイス336へ送信するよう構成される。ネットワークフィルタリングデバイスは、ネットワークトラフィックの宛先(例えば、ネットワークフローに関連するパケットの宛先フィールド)を、第1パブリックネットワークアドレスから第2パブリックネットワークアドレスへ更新できる。このように、転送経路が生成され、転送されたトラフィックは、第2パブリックネットワークアドレスに対応する転送経路に従って、保護されたホスト338に送信される。
コントローラ304は、命令(例えば、フォーマット済みのメッセージ)を送信することによって、制御機能を実行する。コントローラは、第1パブリックネットワークアドレスへのトラフィックの量が予め定められた閾値を超えており、ルーティングデバイス306が第1パブリックネットワークアドレスに向かう入力トラフィックをドロップすることをコントローラ304が決定した時に、SDN302へ通知メッセージを送信するよう構成されている。ルーティングデバイス306は、SDN302から転送経路を受信し、転送経路に従って目標ホスト338にトラフィックを転送するよう構成されている。
特に、図3に示すように、経路(1)に沿って、DDoS攻撃者が、保護された目標ホスト338に関連付けられているパブリックネットワークアドレスを取得できる場合、攻撃者は、攻撃者コンピュータデバイス334から保護された目標ホスト338のパブリックネットワークアドレスに対して直接的にDDoS攻撃を開始できる。大量のDDoSトラフィックによる悪意ある攻撃下で、保護された目標ホスト338に関連付けられているパブリックネットワークアドレスは、パブリックネットワークアドレスに向かうパケットがドロップされるブラックホールルーティングに従う。同時に、経路(2)に沿って、対象ユーザはそれでも、保護されたホスト338によって提供されるサービスにアクセスするためにユーザコンピュータデバイス332からトラフィックを送信しており、トラフィックデータは、攻撃者の標的とするパブリックネットワークアドレスと同じパブリックネットワークアドレスを有する。ネットワークフィルタリングデバイス336(インバウンドフィルタなど)が対象ユーザトラフィックデータに対してフィルタリングを実行し、それに従って、ルーティングデバイス306を介して経路(3)に沿って、保護されたホスト338に正当すなわち「クリーン」なトラフィックを転送する場合、正当なトラフィックは、それにもかかわらず、攻撃者によって送信された攻撃トラフィックと共にブラックホールルーティングを受けて同じく破棄される。結果として、以下に記載の特別な技術なしには、保護されたホスト338によって提供されるサービスへの対象ユーザアクセスは、DDoS攻撃の影響を受けることになる。
経路(4)に沿って、保護された目標ホスト338のあるローカルエリアネットワークが、SDN302に加わる前に、パブリックネットワークアドレスは、ネットワークアドレス変換サービスを用いて、保護された目標ホスト338に対して予め構成されているプライベートアドレスに変換される。いくつかの実施形態において、かかる変換は、コントローラ304がルーティングデバイス306へ制御命令またはメッセージを送信することによって実行される。例えば、コントローラ304は、ルーティングデバイス306へパブリックネットワークアドレスを送信し、トラフィックがパブリックネットワークアドレスに到達したことを確認した後、転送経路を生成するために、保護されたホストのプライベートアドレスにパブリックネットワークアドレスを対応付ける一対一のマッピングテーブルを更新する。結果として、パブリックネットワークアドレスへ送信されたトラフィックが、転送経路に従って、保護された目標ホスト338へ転送される。
この例において、保護された目標ホスト338が存在するローカルエリアネットワークがSDN302に加わると、ネットワークアドレス変換サービスを用いた、保護されたホスト338に対して予め構成されているプライベートアドレスへのパブリックネットワークアドレスの変換は、コントローラ304がルーティングデバイス306へ制御命令を送信することによってもはや実行されない。その代わり、コントローラ304は、ルーティングデバイス306へコントローラ304によって発行された転送経路に含まれるパブリックネットワークアドレスに送信されたトラフィックの量を監視することに主に関与する。コントローラは、予め定められたフィールドを備えたメッセージ内で転送経路を発行できる。パブリックネットワークアドレスに送信されるトラフィックの量が予め定められた閾値を超えた場合、コントローラ304は、ルーティングデバイス306によってパブリックネットワークアドレスへ送信されるトラフィックを制御するためにパブリックネットワークアドレスに対してブラックホールルーティングを実行し、転送されるトラフィックをブラックホールルーティングに通過させる。
経路(5)に沿って、コントローラ304は、コントローラ304がパブリックネットワークアクセスアドレスに対してブラックホールルーティングを実施したことを示すために、SDN302へ通知メッセージを送信する。この時点で、ネットワークアドレス変換サービスを用いた、保護されたホスト338に対して予め構成されているプライベートアドレスへのパブリックネットワークアドレスの変換は、コントローラ304がルーティングデバイス306へ制御命令を送信することによってもはや実行されないが、その代わりにSDN302によって実行される。
経路(6)に沿って、第1パブリックネットワークアドレスがブラックホールルーティングを受けると決定された場合、SDN302は、ネットワークフィルタリングデバイス336によって転送され第1パブリックネットワークアドレスに向かう正当なトラフィックが、攻撃者によって送信された悪意ある攻撃トラフィックと共にドロップされないようにする。換言すると、SDNは、正当なアクセストラフィックが保護された目標ホスト338へ正常に転送されることを保証するよう構成される。この例において、SDN302は、保護されたホスト338へネットワークフィルタリングデバイス336によって転送された正当なトラフィックのための第2パブリックネットワークアドレスを別個に構成する。このように、ネットワークフィルタリングデバイス336から保護された目標ホスト338へ転送された対象ユーザ訪問トラフィックは、ブラックホールルーティングされる同じ第1パブリックアドレスへ攻撃者からの悪意あるトラフィックと共にもはや送信されることがない。その代わり、正当なトラフィックは、新たに設定された第2パブリックネットワークアドレスへ送信される。
この例では、SDN302の制御プレーンが、上述のコントローラ304によって設定された第1パブリックネットワークアドレスとは異なる第2パブリックネットワークアドレスを構成するために用いられる。第2パブリックネットワークアドレス、および、ホストのプライベートネットワークアドレスへのそのマッピングが、制御プレーンに格納されうる。次に、SDNの制御プレーンは、新たに設定された第2パブリックネットワークアドレスをデータ経路プレーンに通知する。次いで、SDNの転送戦略が、新たに設定された第2パブリックネットワークアドレスで更新される。結果として、第1パブリックネットワークアドレスから保護された目標ホスト338への元々の転送経路が、第2パブリックネットワークアドレスから保護された目標ホスト338への新たな転送経路に更新される。換言すると、新たに設定された第2パブリックネットワークアドレスへ転送されたトラフィックは、新たな転送経路に従って、保護された目標ホスト338へ送信されることになる。
SDN302のデータ経路プレーンの転送戦略が第2パブリックネットワークアドレスで更新された後、第1パブリックネットワークアドレスから保護された目標ホスト338への元々の転送経路は、新たに設定された第2パブリックネットワークアドレスから保護された目標ホスト338への第2転送経路に更新される。特に、SDN302は、データ経路プレーンを用いて、ルーティングデバイス306への第2転送経路を発行する。結果として、第1パブリックネットワークアドレスから保護された目標ホスト338への元々の転送経路に加えて、第2パブリックネットワークアドレスから保護された目標ホスト338への第2転送経路が、ルーティングデバイス306にさらに含まれる。
経路(7)に沿って、コントローラ304およびSDN302の両方の制御下で、第1パブリックネットワークアドレスにアクセスするトラフィックの受信時に、ルーティングデバイス306は、ブラックホールルーティングを介してトラフィックをドロップする。一方で、新たに設定された第2パブリックネットワークアドレスへアクセスするトラフィックの受信時に、ルーティングデバイス306は、保護された目標ホスト338へトラフィックを転送する。
最後に、経路(8)に沿って、SDN302は、元々の第1パブリックネットワークアドレスから新たに設定された第2パブリックネットワークアドレスへトラフィックの転送アドレスを更新するために、ネットワークフィルタリングデバイス336に通知メッセージを送信する。SDN302からの通知メッセージの受信前には、保護された目標ホスト338へフィルタリングデバイス336によって転送された正当なトラフィックが、ブラックホールルーティングを受けた元々の第1パブリックネットワークアドレスへ攻撃者からの攻撃トラフィックと共に送信されるので、正当なトラフィックはドロップされる。しかしながら、フィルタリングデバイス336がSND302から通知メッセージを受信すると、フィルタリングデバイス336は、元々の第1パブリックネットワークアドレスから新たに設定された第2パブリックネットワークアドレスへトラフィックの転送アドレスを変更する。新たに設定された第2パブリックネットワークアドレス(そこから、トラフィックは、さらに、新たに設定された第2パブリックネットワークアドレスから保護された目標ホスト338への転送経路を介して、保護された目標ホスト338へ転送される、)へ正当なトラフィックを転送することにより、保護されたホスト338への訪問に向けてネットワークフィルタリングデバイス336によってフィルタリングされた正当なトラフィックは、進行中のDDoS攻撃にも関わらず遮断なしに送信される。したがって、保護された目標ホスト338によって提供されるサービスは、対象ユーザにとって正常にアクセス可能なままである。
図4は、本開示の1または複数の実施形態に従って、ネットワークトラフィックを処理してDDoS攻撃に対処するための処理の一例を示すフローチャートである。処理400は、システム(図3のシステム350など)で実施されてよい。
処理400は、第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックに関連するパケットがドロップされたか否かを判定する工程402で始まる。ネットワークトラフィックは、第1パブリックネットワークアドレスに転送されるパケットを含みうる。
工程404では、トラフィックドロップの判定に応じて、第2パブリックネットワークアドレスがトラフィックに割り当てられ(例えば、データパケットが第2パブリックネットワークアドレスに転送されるよう構成され)、第2パブリックネットワークアドレスに対応する転送経路が生成される。第2パブリックネットワークアドレスは、ネットワークトラフィックを受信するよう構成され、転送経路は、第2パブリックネットワークアドレスで受信されたネットワークトラフィックを目標ホストに転送するために用いられる。
工程406では、ネットワークフィルタリングデバイスに、ネットワークトラフィックの宛先を第1パブリックネットワークアドレスから第2パブリックネットワークアドレスへ変更させ、第2パブリックネットワークアドレスへフィルタリング済みのネットワークトラフィックを送信するために、通知がネットワークフィルタリングデバイスに送信される。転送されたトラフィックは、次に、ルーティングデバイスによって生成された転送経路に従って、目標ホストに送信される。処理400は、任意の適切なコンピュータ環境内で実施できる。この例において、処理400は、SDN上で実行される。SDNベースのネットワークに適用される場合、工程402では、SDNが、第1パブリックネットワークアドレスに対するネットワークトラフィックがドロップされたと判定する。工程404で、SDNは、トラフィックに対して第2パブリックネットワークアドレスを割り当て、第2パブリックネットワークアドレスに対応する転送経路を生成する。第1パブリックネットワークアドレスは、ネットワークトラフィックを受信するために用いられ、転送経路は、第2パブリックネットワークアドレスで受信されたネットワークトラフィックを目標ホストに転送するために用いられる。
ネットワークフィルタリングデバイス(例えば、専用クラウドベースDDoS防御システム)が、通信ネットワーク内に配置されても、悪意ある攻撃者は、保護された目標ホストの第1パブリックネットワークアドレスを取得し、その後、保護された目標ホストの第1パブリックネットワークアドレスに対して直接的に悪意ある攻撃(例えば、DDoS攻撃)を開始できる。大量のDDoSトラフィックの悪意ある攻撃下で、保護された目標ホストに関連付けられている第1パブリックネットワークアドレスは、ブラックホールルーティングを受ける。したがって、ネットワークフィルタリングデバイス(専用クラウドベースDDoS防御システムなど)によってフィルタリングおよび転送された正当なトラフィックも、攻撃者によって送信された攻撃トラフィックと共にブラックホールルーティングを受けて、ブラックホールルーティングの結果として破棄される。正当なトラフィックがDDoS攻撃およびブラックホールルーティングの影響を受けないようにするために、第1パブリックネットワークアドレスが上述のようにブラックホールルーティングの対象になったと判定された場合に、SDNは、ネットワークフィルタリングデバイスから保護された目標ホストへ転送された正当なトラフィックが、攻撃者によって送信された悪意あるトラフィックと共にドロップされずに、目標ホストに正常に転送されることを保証する。上述のように、SDNは、(専用クラウドベースDDoS防御システムの一部としての)ネットワークフィルタリングデバイスから保護された目標ホストへの正当なトラフィックが、攻撃者からの攻撃トラフィックと共にブラックホールされる同じ第1パブリックネットワークアドレスへもはや送信されないように、転送されたトラフィックに第2パブリックアクセスアドレスを別個に割り当てる。その代わり、正当なトラフィックは、第2パブリックネットワークアドレスに転送され、次に、SDNによって新たに生成され第2パブリックネットワークアドレスに対応する転送経路に従って、目標ホストに転送される。したがって、目標ホストで提供されるサービスへの対象ユーザのアクセスが妨げられることなく実現されうる。工程406と同様に、ネットワークトラフィックが第2パブリックネットワークアドレスに対応する転送経路に従って目標ホストに転送されるように、ネットワークトラフィックを第2パブリックネットワークアドレスへ送信するようネットワークフィルタリングデバイスに通知するのは、SNDである。
上述のように、専用クラウドベースDDoS防御システムから保護された目標ホストへ送信された元に戻される正常なアクセストラフィックと、悪意ある攻撃トラフィックが両方とも、ブラックホール遮断を受けた第1パブリックネットワークアドレスに送信された場合、両方のトラフィックがブラックホールルーティングを介して転送されてドロップされる。正常なトラフィックがドロップされないようにするために、SDNは、元に戻されるトラフィックに別個に割り当てられた第2パブリックネットワークアクセスアドレスをネットワークフィルタリングデバイスに通知し、その結果、ネットワークフィルタリングデバイスは、元に戻されるトラフィックを第2パブリックネットワークアクセスアドレスへ送信し、次いで、元に戻されるこのトラフィックは、転送経路を介して目標ホストに転送される。
処理400に戻ると、工程402では、ネットワークトラフィックがドロップされたと判定するために、SDNは、第1パブリックネットワークアドレスに送信されたトラフィックの量が予め定められた閾値を超えたとコントローラが判定した時に第1パブリックネットワークアドレスへのアクセストラフィックがルーティングデバイスでドロップされていることを示す第1通知メッセージをコントローラから受信する。この通知メッセージの受信に応じて、SDNは、ネットワークトラフィックがドロップされたと判定する。
一般に、保護されたホストと同じローカルエリアネットワークに位置するホストは、同じパブリックネットワークアドレスを共有する。このパブリックネットワークアドレスは、インターネット上のホストの識別子として機能する。保護された目標ホストを同じネットワーク上の他のホストと区別するために、プライベートネットワークアドレスが、保護された目標ホストに割り当てられる。しかしながら、保護された目標ホストのプライベートネットワークアドレスは、インターネットからのパブリックアクセスのためのものではないので、上述のローカルエリアネットワークの外側からのトラフィック(正当なトラフィックおよび悪意のあるトラフィックの両方)だけが、上述のパブリックネットワークアドレス(ネットワークアドレス変換サービスを用いて保護された目標ホストに予め割り当てられたプライベートネットワークアドレスに変換されている)に送信されうる。
ローカルエリアネットワークがSDNに加わる前に、パブリックネットワークアドレスのプライベートアドレスへの変換が、ネットワークアドレス変換関数を呼び出してルーティングデバイスへの制御命令を発行することでコントローラによって実行される。例えば、コントローラは、ルーティングデバイスに第1パブリックネットワークアドレスを発行し、アクセストラフィックが第1パブリックネットワークアドレスに到達したことを確認すると、第1パブリックネットワークアドレスと、保護された目標ホストのプライベートネットワークアドレスとの間の一対一のマッピングを確立する。次いで、コントローラは、マッピングを用いて、転送経路を生成する。第1パブリックネットワークアドレスへ送信されたアクセストラフィックは、転送経路に従って保護された目標ホストへ転送される。
いくつかの実施形態において、上述のローカルエリアネットワークがSDNに加わった後、ネットワークアドレス変換サービスを用いたパブリックネットワークアドレスのプライベートネットワークアドレスへの変換は、コントローラがルーティングデバイスへの制御命令を発行することによってはもはや実行されない。その代わり、コントローラは、第1パブリックネットワークアドレスへのトラフィックの量を監視することに主に関与する。第1パブリックネットワークアドレスに送信されたアクセストラフィックの量が予め定められた閾値を超えた場合、コントローラは、ルーティングデバイスがブラックホールルーティングを介して第1パブリックネットワークアドレスへのアクセストラフィックを転送するように、第1パブリックネットワークアドレスへのトラフィックにブラックホールルーティングを受けさせる。さらに、コントローラは、コントローラが第1パブリックネットワークアドレスにブラックホールフィルタリングをすでに実行していることを示すために、SDNに通知メッセージを送信する。この時点で、保護された目標ホストに対して予め構成されているプライベートネットワークアドレスへのパブリックネットワークアドレスの変換は、上述のように、もはやコントローラによっては実行されず、その代わりにSDNによって実行される。
処理400に戻ると、いくつかの実施形態において、工程404において、SDNは、以下のように、ネットワークトラフィックに対して第2パブリックネットワークアドレスを構成し、第2パブリックネットワークアドレスに対応する転送経路を生成する。
最初に、SDNは、自身の制御プレーンを用いて、ネットワークアクセストラフィックのための第2パブリックネットワークアドレスを構成する。さらに、SDNは、第2パブリックネットワークアドレスを自身のデータ経路プレーンに通知する。
次いで、SDNは、データ経路プレーンを用いて、第2パブリックネットワークアドレスと目標ホストのプライベートネットワークアドレスとの間の転送経路を生成する。
制御プレーンは、SDNアーキテクチャに論理的に集中化され、専用のプロトコルを用いて、より低いレベルのデータ経路プレーンに制御命令を発行する。いくつかの実施形態において、SDNの制御プレーンは、最初に、元に戻されるトラフィックのために、第1パブリックネットワークアドレスとは異なる第2パブリックネットワークアドレスを構成し、次いで、第2パブリックネットワークアドレスをSDNのデータ経路プレーンに通知する。次に、SDNのデータ経路プレーンは、第1パブリックネットワークアドレスから保護された目標ホストへの元々の転送経路が、第2パブリックネットワークアドレスから保護された目標ホストへの新たな転送経路に更新されるように、第2パブリックネットワークアドレスで転送戦略を更新する。したがって、第2パブリックネットワークアクセスアドレスにアクセスする元に戻されるトラフィックは、転送経路に従って、保護された目標ホストに転送される。
いくつかの実施形態において、SDNは、工程406において第2パブリックネットワークアドレスにネットワークトラフィックを送信するようにネットワークフィルタリングデバイスに通知した後、さらに、そのデータ経路プレーンを用いて、ルート転送装置に新たな転送経路を発行する。SDNは、さらに、新たな転送経路に従って目標ホストにネットワークトラフィックを送信するように、ルーティングデバイスに命令する。
SDNのデータ経路プレーンを用いて、転送戦略が第2パブリックネットワークアドレスで更新された後、第1パブリックネットワークアドレスから保護された目標ホストへの元々の転送経路は、第2パブリックネットワークアドレスから保護された目標ホストへの新たな転送経路に更新される。SDNは、さらに、データ経路プレーンを用いて、ルーティングデバイスへ新たな転送経路を発行する。したがって、第1パブリックネットワークアドレスから保護された目標ホストへの元々の転送経路に加えて、第2パブリックネットワークアドレスから保護された目標ホストへの新たな転送経路もルーティングデバイスに含まれる。最後に、コントローラおよびSDNの両方の制御下で、第1パブリックネットワークアドレスに対するアクセストラフィックを受信した後、ルーティングデバイスは、ブラックホールルーティングを直接的に用いて、かかるトラフィックをドロップする。しかしながら、第2パブリックネットワークアドレスへのトラフィックを受信すると、ルーティングデバイスは、新たな転送経路に従って、保護された目標ホストにそのトラフィックを転送する。
いくつかの実施形態において、工程406の後、SDNがネットワークトラフィックを第2パブリックネットワークアドレスに送信するようにネットワークフィルタリングデバイスへ通知することに加えて、SDNは、さらに、フィルタリングデバイスがネットワークトラフィックの転送アドレスを第1パブリックネットワークアドレスから第2パブリックネットワークアドレスへ更新するように、フィルタリングデバイスに第2通知メッセージを送信する。
フィルタリングデバイスがSDNから第2通知メッセージを受信する前に、フィルタリングデバイスから保護された目標ホストへ転送された正当なアクセストラフィックは、攻撃者からの悪意ある攻撃トラフィックと共に、ブラックホールルーティングを受ける第1パブリックネットワークアドレスへ送信されてドロップされる。SDNから第2通知メッセージを受信した後、フィルタリングデバイスは、トラフィックの転送アドレスを第1パブリックネットワークアドレスから第2パブリックネットワークアドレスへ更新し、トラフィックを第2パブリックネットワークアドレスへ転送する。次いで、正当なトラフィックは、第2パブリックネットワークアドレスから保護された目標ホストへの転送経路を介して保護された目標ホストへ転送される。
図5は、本開示の1または複数の実施形態に従って、ネットワークトラフィックを処理するための処理の別の例を示すフローチャートである。処理500は、例えば、図3のネットワークフィルタリングデバイス336によって実施できるが、これに限定されない。
工程502では、ネットワークフィルタリングデバイスは、SDNによって発行された第2パブリックネットワークアドレスを受信し、ここで、第2パブリックネットワークアドレスは、ネットワークトラフィックを受信するために用いられる。
工程504では、ネットワークフィルタリングデバイスは、ネットワークトラフィックをフィルタリングして、第2パブリックネットワークアドレスに送信する。
この例において、フィルタリングデバイスは、SDNによって発行された第2パブリックネットワークアドレスを受信する(工程502)前には、コントローラによって割り当てられた第1パブリックネットワークアドレスをリトリーブする。さらに、フィルタリングデバイスは、第1パブリックネットワークアドレスに従ってネットワークトラフィックを送信する。
この例において、フィルタリングデバイスは、SDNによって発行された第2パブリックネットワークアドレスを受信した(工程502)後には、ネットワークトラフィックの宛先アドレスを第1パブリックネットワークアドレスから第2パブリックネットワークアドレスへ更新する(例えば、パケットの宛先フィールドを変更する)。
パブリックネットワークアドレスからプライベートアドレスへの変換および第2パブリックネットワークアドレスの構成は、図3および図4に関する上記の説明と同様であるので、簡単のため繰り返さない。
図6は、ネットワークトラフィックを処理してDDoS攻撃に対抗するためにプログラムされたコンピュータシステムの一実施形態を示す機能図である。システム600は、必要に応じて、SDN、コントローラ、ネットワークフィルタリングデバイス、および/または、ルーティングデバイスを実装するために利用できる。明らかに、テキストデータを分析するために、他のコンピュータシステムアーキテクチャおよび構成を用いることも可能である。以下に述べるような様々なサブシステムを備えるコンピュータシステム600は、少なくとも1つのマイクロプロセッササブシステム(プロセッサまたは中央処理装置(CPU)とも呼ばれる)602を備える。例えば、プロセッサ602は、シングルチッププロセッサまたはマルチプロセッサによって実装できる。いくつかの実施形態において、プロセッサ602は、コンピュータシステム600の動作を制御する汎用デジタルプロセッサである。メモリ610から読み出された命令を用いて、プロセッサ602は、入力データの受信および操作、ならびに、出力デバイス(例えば、ディスプレイ618)上でのデータの出力および表示を制御する。
プロセッサ602は、メモリ610と双方向的に接続されており、メモリ610は、第1プライマリストレージ(通例は、ランダムアクセスメモリ(RAM))および第2プライマリストレージ領域(通例は、読み出し専用メモリ(ROM))を含みうる。当業者に周知のように、プライマリストレージは、一般的な記憶領域として、および、スクラッチパッドメモリとして利用可能であり、また、入力データおよび処理済みデータを格納するために利用可能である。プライマリストレージは、さらに、プロセッサ602上で実行される処理のための他のデータおよび命令に加えて、データオブジェクトおよびテキストオブジェクトの形態で、プログラミング命令およびデータを格納できる。また、当業者に周知のように、プライマリストレージは、通例、機能(例えば、プログラムされた命令)を実行するためにプロセッサ602によって用いられる基本的な動作命令、プログラムコード、データ、および、オブジェクトを備える。例えば、メモリ610は、例えば、データアクセスが双方向である必要があるか、単方向である必要があるかに応じて、後述する任意の適切なコンピュータ読み取り可能な記憶媒体を含みうる。例えば、プロセッサ602は、頻繁に必要になるデータをキャッシュメモリ(図示せず)に直接的かつ非常に迅速に格納し取り出すことができる。
着脱可能マスストレージデバイス612が、コンピュータシステム600にさらなるデータ記憶容量を提供しており、プロセッサ602に対して双方向(読み出し/書き込み)または単方向(読み出しのみ)に接続されている。例えば、ストレージ612は、磁気テープ、フラッシュメモリ、PCカード、携帯型マスストレージデバイス、ホログラフィックストレージデバイス、および、その他のストレージデバイスなどのコンピュータ読み取り可能な媒体も含みうる。固定マスストレージ620も、例えば、さらなるデータ記憶容量を提供しうる。固定マスストレージ620の最も一般的な例は、ハードディスクドライブである。マスストレージ612、620は、一般に、プロセッサ602によって通例はあまり利用されないさらなるプログラミング命令、データなどを格納する。マスストレージ612および620に保持された情報は、必要であれば、仮想メモリとしてのメモリ610(例えば、RAM)の一部に標準的な方式で組み込まれうることが理解される。
プロセッサ602がストレージサブシステムにアクセスできるようにすることに加えて、バス614が、その他のサブシステムおよびデバイスへのアクセスを可能にするために用いられてもよい。図に示すように、これらは、ディスプレイ618、ネットワークインターフェース616、キーボード604、および、ポインティングデバイス608、ならびに、必要に応じて、補助入力/出力デバイスインターフェース、サウンドカード、スピーカ、および、その他のサブシステムを含みうる。例えば、ポインティングデバイス608は、マウス、スタイラス、トラックボール、または、タブレットであってよく、グラフィカルユーザインターフェースと相互作用するのに有用である。
ネットワークインターフェース616は、図に示すように、ネットワーク接続を用いて、別のコンピュータ、コンピュータネットワーク、または、遠隔通信ネットワークにプロセッサ602を接続することを可能にする。例えば、ネットワークインターフェース616を通して、プロセッサ602は、方法/処理ステップを実行する過程で、別のネットワークから情報(例えば、データオブジェクトまたはプログラム命令)を受信したり、別のネットワークに情報を出力したりすることができる。情報は、しばしば、プロセッサ上で実行される一連の命令として表され、別のネットワークから受信されたり、別のネットワークへ出力されたりしうる。インターフェースカード(または同様のデバイス)と、プロセッサ602によって実装(例えば、実行/実施)される適切なソフトウェアとを用いて、コンピュータシステム600を外部ネットワークに接続し、標準プロトコルに従ってデータを転送することができる。例えば、本明細書に開示された様々な処理の実施形態は、プロセッサ602上で実行されてもよいし、処理の一部を共有するリモートプロセッサと共に、ネットワーク(インターネット、イントラネットワーク、または、ローカルエリアネットワークなど)上で実行されてもよい。さらなるマスストレージデバイス(図示せず)が、ネットワークインターフェース616を通してプロセッサ602に接続されてもよい。
補助I/Oデバイスインターフェース(図示せず)が、コンピュータシステム600と共に用いられてよい。補助I/Oデバイスインターフェースは、プロセッサ602がデータを送信すること、ならびに、より典型的には、他のデバイス(マイクロホン、タッチセンサ方式ディスプレイ、トランスデューサカードリーダ、テープリーダ、音声または手書き認識装置、バイオメトリクスリーダ、カメラ、携帯型マスストレージデバイス、および、他のコンピュータなど)からデータを受信することを可能にする汎用インターフェースおよびカスタマイズされたインターフェースを含みうる。
本記載に含まれる実施形態は、漸進的に記載されている。各実施形態の説明は、他の実施形態と異なる領域に焦点を当てており、実施形態の記載は、各実施形態の同一または類似の部分について相互に参照できる。
当業者は、本願の実施形態が、方法、デバイス、または、コンピュータプログラム製品を提供しうることを理解されたい。したがって、本願の実施形態は、完全にハードウェアである実施形態、完全にソフトウェアである実施形態、ならびに、ハードウェアおよびソフトウェアの態様を組み合わせた実施形態の形を取りうる。さらに、本願は、コンピュータ動作可能なコンピュータコードを含むコンピュータ動作可能な記憶媒体(磁気ディスク記憶デバイス、CD−ROM、および、光学記憶デバイスを含むがこれらに限定されない)を実装するコンピュータ製品の内の1または複数の形態を取りうる。
典型的な一構成において、コンピュータ装置は、1または複数のプロセッサ(CPU)と、入力/出力インターフェースと、ネットワークインターフェースと、メモリとを備える。メモリは、コンピュータ読み取り可能な媒体内の揮発性ストレージデバイス、ランダムアクセスメモリ(RAM)、および/または、リードオンリーメモリ(ROM)またはフラッシュメモリ(フラッシュRAM)などの不揮発性メモリなどの形態を含みうる。メモリは、コンピュータ読み取り可能な媒体の一例である。コンピュータ読み取り可能な媒体は、永続的および非永続的な媒体、着脱可能および着脱不可能な媒体を含み、任意の方法または技術によって情報の格納を実現できる。情報は、コンピュータ読み取り可能な命令、データ構造、プログラムモジュール、または、その他のデータであってよい。コンピュータ記憶媒体の例は、以下を含むがこれらに限定されない。相変化メモリ(PRAM)、スタティックランダムアクセスメモリ(SRAM)、ダイナミックランダムアクセスメモリ(DRAM)、その他のタイプのランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、電気消去可能プログラム可能リードオンリーメモリ(EEPROM)、フラッシュメモリ、または、その他のメモリ技術、コンパクトディスクリードオンリーメモリ(CD−ROM)、デジタル多機能ディスク(DVD)、または、その他の光学ストレージ、磁気カセット、磁気テープまたは磁気ディスクストレージ、または、その他の磁気ストレージ装置、または、コンピュータにアクセス可能な情報を格納するために利用できる任意のその他の非伝送媒体。本明細書で規定されているように、コンピュータ読み取り可能な媒体は、変調データ信号および搬送波など、一時的なコンピュータ読み取り可能媒体(一時的媒体)を含まない。
本願の実施形態は、本願の実施形態の方法、端末装置(システム)、および、コンピュータプログラム製品に基づいたフローチャートおよび/またはブロック図を参照して記載されている。フローチャートおよび/またはブロック図内の各フローチャートおよび/またはブロック図、ならびに、フローチャートおよび/またはブロック図内のフローチャートおよび/またはブロック図の組み合わせは、コンピュータ命令によって実現されうることに注意されたい。これらのコンピュータプログラム命令は、マシンを生成するために、汎用コンピュータ、専用コンピュータ、組み込みプロセッサデバイスのプロセッサ、または、その他のプログラム可能データ処理端末のプロセッサに提供されうる。コンピュータまたはその他のプログラム可能なデータ処理端末装置のプロセッサによって実行された命令は、その結果として、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能を実施するためのデバイスを生み出す。
コンピュータまたはその他のプログラム可能なデータ処理端末装置が特定の方法で動作するように導くことができるこれらのコンピュータプログラム命令は、コンピュータ読み取り可能なメモリに格納されてもよい。結果として、コンピュータ読み取り可能なメモリに格納された命令は、命令デバイスを含む製品を生み出す。これらの命令デバイスは、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能を実施する。
これらのコンピュータプログラム命令は、コンピュータまたはその他のプログラム可能なデータ処理端末装置にロードされ、コンピュータ実装処理を引き起こすためにコンピュータおよびその他のプログラム可能なデータ処理端末装置で一連の工程を実行させてもよい。したがって、コンピュータまたはその他のプログラム可能なデータ処理端末装置で実行された命令は、フローチャートの1または複数の処理および/またはブロック図の1または複数のブロックに記載された機能の工程を提供する。
本願の好ましい実施形態を記載しているが、当業者は、基本的な創造概念を把握すれば、これらの実施形態に他の変形または修正を加えることができる。したがって、添付の特許請求の範囲は、好ましい実施形態ならびに本願の実施形態の範囲内にあるすべての変形例および修正例を含むと解釈されるべきである。
上述の実施形態は、理解しやすいようにいくぶん詳しく説明されているが、本発明は、提供された詳細事項に限定されるものではない。本発明を実施する多くの代替方法が存在する。開示された実施形態は、例示であり、限定を意図するものではない。
適用例1:ネットワークトラフィック処理方法であって、
第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックの1または複数のパケットがドロップされたと判定し、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
第2パブリックネットワークアドレスを前記ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成し、前記第2パブリックネットワークアドレスは、前記ネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
前記ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するようにフィルタリングデバイスに通知し、前記転送経路に従って前記ネットワークトラフィックを前記目標ホストへ転送させること、
を備える、ネットワークトラフィック処理方法。
適用例2:適用例1に記載のネットワークトラフィック処理方法であって、前記判定、割り当て、生成、および、通知は、ソフトウェア定義ネットワーク(SDN)で実行される、ネットワークトラフィック処理方法。
適用例3:適用例1に記載のネットワークトラフィック処理方法であって、前記第1パブリックネットワークアドレスに関連付けられている前記ネットワークトラフィックの前記1または複数のパケットがドロップされたと判定することは、
コントローラから通知メッセージを受信することを含み、
前記通知メッセージは、前記第1パブリックネットワークアドレスに送信された前記ネットワークトラフィックの量が予め定められた閾値を超えたと判定された時に送信され、前記通知メッセージは、ルーティングデバイスが前記第1パブリックネットワークアドレスに送信されたネットワークトラフィックをドロップすることを示唆する、ネットワークトラフィック処理方法。
適用例4:適用例1に記載のネットワークトラフィック処理方法であって、前記転送経路は、ネットワークトラフィックを前記第2パブリックネットワークアドレスから前記目標ホストのプライベートアドレスに転送するための経路である、ネットワークトラフィック処理方法。
適用例5:適用例1に記載のネットワークトラフィック処理方法であって、前記フィルタリングデバイスに通知することは、
通知メッセージを前記フィルタリングデバイスに送信することを含み、
前記通知メッセージは、前記ネットワークトラフィックの宛先アドレスを前記第1パブリックネットワークアドレスから前記第2パブリックネットワークアドレスに更新するように前記フィルタリングデバイスに通知する、ネットワークトラフィック処理方法。
適用例6:適用例1に記載のネットワークトラフィック処理方法であって、さらに、
前記転送経路に関する情報をルーティングデバイスに送信し、
前記転送経路に従って前記ネットワークトラフィックを前記目標ホストに転送するように前記ルーティングデバイスに命令すること、
を備える、ネットワークトラフィック処理方法。
適用例7: ネットワークトラフィックを処理するためのシステムであって、
1または複数のプロセッサであって、
第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックの1または複数のパケットがドロップされたと判定し、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
第2パブリックネットワークアドレスを前記ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成し、前記第2パブリックネットワークアドレスは、前記ネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
前記ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するようにフィルタリングデバイスに通知し、前記転送経路に従って前記ネットワークトラフィックを前記目標ホストへ転送させるよう構成されている、1または複数のプロセッサと、
前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成されている1または複数のメモリと、
を備える、システム。
適用例8:適用例7に記載のシステムであって、前記システムは、ソフトウェア定義ネットワーク(SDN)である、システム。
適用例9:適用例7に記載のシステムであって、前記第1パブリックネットワークアドレスに関連付けられている前記ネットワークトラフィックの前記1または複数のパケットがドロップされたと判定することは、
コントローラから通知メッセージを受信することを含み、
前記通知メッセージは、前記第1パブリックネットワークアドレスに送信された前記ネットワークトラフィックの量が予め定められた閾値を超えたと判定された時に送信され、前記通知メッセージは、ルーティングデバイスが前記第1パブリックネットワークアドレスに送信されたネットワークトラフィックをドロップすることを示唆する、システム。
適用例10:適用例7に記載のシステムであって、前記転送経路は、ネットワークトラフィックを前記第2パブリックネットワークアドレスから前記目標ホストのプライベートアドレスに転送するための経路である、システム。
適用例11:適用例7に記載のシステムであって、前記フィルタリングデバイスに通知することは、
通知メッセージを前記フィルタリングデバイスに送信することを含み、
前記通知メッセージは、前記ネットワークトラフィックの宛先アドレスを前記第1パブリックネットワークアドレスから前記第2パブリックネットワークアドレスに更新するように前記フィルタリングデバイスに通知する、システム。
適用例12:適用例7に記載のシステムであって、前記1または複数のプロセッサは、さらに、
前記転送経路に関する情報をルーティングデバイスに送信し、
前記転送経路に従って前記ネットワークトラフィックを前記目標ホストに転送するように前記ルーティングデバイスに命令するよう構成されている、システム。
適用例13:ネットワークトラフィックを処理して目標ホストへのDDoS攻撃に対抗するためのコンピュータプログラム製品であって、前記コンピュータプログラム製品は、有形のコンピュータ読み取り可能な記憶媒体内に具現化され、
第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックの1または複数のパケットがドロップされたと判定するためのコンピュータ命令であって、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
第2パブリックネットワークアドレスを前記ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成するためのコンピュータ命令であって、前記第2パブリックネットワークアドレスは、前記ネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
前記ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するようにフィルタリングデバイスに通知し、前記転送経路に従って前記ネットワークトラフィックを前記目標ホストへ転送させるためのコンピュータ命令と、
を備える、コンピュータプログラム製品。
適用例14:ネットワークトラフィック処理方法であって、
第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックをフィルタリングし、前記フィルタリングされたネットワークトラフィックを前記第1パブリックネットワークアドレスに転送し、
初めに前記第1パブリックネットワークアドレスに関連付けられていた前記ネットワークトラフィックに関連付けられている第2パブリックネットワークアドレスをSDNから受信し、
前記ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送すること、
を備える、ネットワークトラフィック処理方法。
適用例15:適用例14に記載のネットワークトラフィック処理方法であって、さらに、
コントローラによって設定された前記第1パブリックネットワークアドレスを受信することを備え、
前記第1パブリックネットワークアドレスは、前記ネットワークトラフィックに関連付けられている宛先アドレスである、ネットワークトラフィック処理方法。
適用例16:適用例14に記載のネットワークトラフィック処理方法であって、さらに、
前記ネットワークトラフィックに関連付けられている宛先アドレスを前記第1パブリックネットワークアドレスから前記前記第2パブリックネットワークアドレスに更新することを備える、ネットワークトラフィック処理方法。
適用例17: ネットワークトラフィックを処理するためのシステムであって、
1または複数のプロセッサであって、
第1パブリックネットワークアドレスに関連付けられているネットワークトラフィックをフィルタリングし、前記フィルタリングされたネットワークトラフィックを前記第1パブリックネットワークアドレスに転送し、
最初に前記第1パブリックネットワークアドレスに関連付けられていた前記ネットワークトラフィックに関連付けられている第2パブリックネットワークアドレスをSDNから受信し、
前記ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するよう構成されている、1または複数のプロセッサと、
前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成されている1または複数のメモリと、
を備える、システム。
適用例18:適用例17に記載のシステムであって、前記1または複数のプロセッサは、さらに、
コントローラによって設定された前記第1パブリックネットワークアドレスを受信するよう構成され、
前記第1パブリックネットワークアドレスは、前記ネットワークトラフィックに関連付けられている宛先アドレスである、システム。
適用例19:適用例17に記載のシステムであって、前記1または複数のプロセッサは、さらに、
前記ネットワークトラフィックに関連付けられている宛先アドレスを前記第1パブリックネットワークアドレスから前記前記第2パブリックネットワークアドレスに更新する構成されている、システム。

Claims (19)

  1. ネットワークトラフィック処理方法であって、
    第1パブリックネットワークアドレスに関連付けられている第1ネットワークトラフィックの1または複数のパケットがドロップされたと判定し、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
    第2パブリックネットワークアドレスを第2ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成し、前記第2ネットワークトラフィックは、フィルタリング装置から到達し、前記目標ホストに宛てられ、前記第2パブリックネットワークアドレスは、前記目標ホスト宛のネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記第2ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
    前記第1パブリックネットワークアドレスおよび前記第2パブリックネットワークアドレスに対応する前記目標ホスト宛の正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離し、前記分離は、
    前記第2ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するように前記フィルタリングデバイスに通知し、前記転送経路に従って前記第2ネットワークトラフィックを前記目標ホストへ転送させること、
    前記フィルタリング装置以外の装置から到達する前記第1パブリックネットワークアドレス宛ての第1ネットワークトラフィックのブラックホールルーティングを実行することを備える、ネットワークトラフィック処理方法。
  2. 請求項1に記載のネットワークトラフィック処理方法であって、前記判定、割り当て、生成、および、通知は、ソフトウェア定義ネットワーク(SDN)で実行される、ネットワークトラフィック処理方法。
  3. 請求項1に記載のネットワークトラフィック処理方法であって、前記第1パブリックネットワークアドレスに関連付けられている前記第1ネットワークトラフィックの前記1または複数のパケットがドロップされたと判定することは、
    コントローラから通知メッセージを受信することを含み、
    前記通知メッセージは、前記第1パブリックネットワークアドレスに送信された前記第1ネットワークトラフィックの量が予め定められた閾値を超えたと判定された時に送信され、前記通知メッセージは、ルーティングデバイスが前記第1パブリックネットワークアドレスに送信された前記第1ネットワークトラフィックをドロップすることを示唆する、ネットワークトラフィック処理方法。
  4. 請求項1に記載のネットワークトラフィック処理方法であって、前記転送経路は、前記第2ネットワークトラフィックを前記第2パブリックネットワークアドレスから前記目標ホストのプライベートアドレスに転送するための経路である、ネットワークトラフィック処理方法。
  5. 請求項1に記載のネットワークトラフィック処理方法であって、前記フィルタリングデバイスに通知することは、
    通知メッセージを前記フィルタリングデバイスに送信することを含み、
    前記通知メッセージは、ネットワークトラフィックの宛先アドレスを前記第1パブリックネットワークアドレスに対応する前記第2パブリックネットワークアドレスに更新するように前記フィルタリングデバイスに通知する、ネットワークトラフィック処理方法。
  6. 請求項1に記載のネットワークトラフィック処理方法であって、さらに、
    前記転送経路に関する情報をルーティングデバイスに送信し、
    前記転送経路に従って前記第2ネットワークトラフィックを前記目標ホストに転送するように前記ルーティングデバイスに命令すること、
    を備える、ネットワークトラフィック処理方法。
  7. ネットワークトラフィックを処理するためのシステムであって、
    1または複数のプロセッサであって、
    第1パブリックネットワークアドレスに関連付けられている第1ネットワークトラフィックの1または複数のパケットがドロップされたと判定し、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
    第2パブリックネットワークアドレスを第2ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成し、前記第2ネットワークトラフィックは、フィルタリング装置から到達し、前記目標ホストに宛てられ、前記第2パブリックネットワークアドレスは、前記目標ホスト宛のネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記第2ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
    前記第1パブリックネットワークアドレスおよび前記第2パブリックネットワークアドレスに対応する前記目標ホスト宛の正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離することであって、
    前記第2ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するように前記フィルタリングデバイスに通知し、前記転送経路に従って前記第2ネットワークトラフィックを前記目標ホストへ転送させ、前記フィルタリング装置以外の装置から到達する前記第1パブリックネットワークアドレス宛ての第1ネットワークトラフィックのブラックホールルーティングを実行することを含む分離を実行するよう構成されている、1または複数のプロセッサと、
    前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成されている1または複数のメモリと、
    を備える、システム。
  8. 請求項7に記載のシステムであって、前記システムは、ソフトウェア定義ネットワーク(SDN)である、システム。
  9. 請求項7に記載のシステムであって、前記第1パブリックネットワークアドレスに関連付けられている前記第1ネットワークトラフィックの前記1または複数のパケットがドロップされたと判定することは、
    コントローラから通知メッセージを受信することを含み、
    前記通知メッセージは、前記第1パブリックネットワークアドレスに送信された前記第1ネットワークトラフィックの量が予め定められた閾値を超えたと判定された時に送信され、前記通知メッセージは、ルーティングデバイスが前記第1パブリックネットワークアドレスに送信されたネットワークトラフィックをドロップすることを示唆する、システム。
  10. 請求項7に記載のシステムであって、前記転送経路は、前記第2ネットワークトラフィックを前記第2パブリックネットワークアドレスから前記目標ホストのプライベートアドレスに転送するための経路である、システム。
  11. 請求項7に記載のシステムであって、前記フィルタリングデバイスに通知することは、
    通知メッセージを前記フィルタリングデバイスに送信することを含み、
    前記通知メッセージは、ネットワークトラフィックの宛先アドレスを前記第1パブリックネットワークアドレスに対応する前記第2パブリックネットワークアドレスに更新するように前記フィルタリングデバイスに通知する、システム。
  12. 請求項7に記載のシステムであって、前記1または複数のプロセッサは、さらに、
    前記転送経路に関する情報をルーティングデバイスに送信し、
    前記転送経路に従って前記第2ネットワークトラフィックを前記目標ホストに転送するように前記ルーティングデバイスに命令するよう構成されている、システム。
  13. ネットワークトラフィックを処理して目標ホストへの分散型サービス妨害(DDoS攻撃に対抗するためのコンピュータプログラムであって、
    第1パブリックネットワークアドレスに関連付けられている第1ネットワークトラフィックの1または複数のパケットがドロップされたと判定するための機能と、前記第1パブリックネットワークアドレスは、目標ホストに関連付けられており、
    第2パブリックネットワークアドレスを第2ネットワークトラフィックに割り当て、前記第2パブリックネットワークアドレスに対応する転送経路を生成するためのコンピュータ機能と、前記第2ネットワークトラフィックは、フィルタリング装置から到達し、前記目標ホストに宛てられ、前記第2パブリックネットワークアドレスは、前記目標ホスト宛のネットワークトラフィックを受信するよう構成され、前記転送経路は、前記第2パブリックネットワークアドレスで受信された前記第2ネットワークトラフィックを前記目標ホストに転送するよう構成されており、
    前記第1パブリックネットワークアドレスおよび前記第2パブリックネットワークアドレスに対応する前記目標ホスト宛の正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離するための機能であって、
    前記第2ネットワークトラフィックを前記第2パブリックネットワークアドレスに転送するように前記フィルタリングデバイスに通知し、前記転送経路に従って前記第2ネットワークトラフィックを前記目標ホストへ転送させるための機能と、
    前記フィルタリング装置以外の装置から到達する前記第1パブリックネットワークアドレス宛ての第1ネットワークトラフィックのブラックホールルーティングを実行するための機能とを備える、正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離するための機能と
    をコンピュータによって実現させる、コンピュータプログラム。
  14. ネットワークトラフィック処理方法であって、
    第1パブリックネットワークアドレスに関連付けられている第1ネットワークトラフィックをフィルタリングし、前記フィルタリングされた前記第1ネットワークトラフィックを前記第1パブリックネットワークアドレスに転送し、
    初めに前記第1パブリックネットワークアドレスに関連付けられており、インバウンドフィルタから到達し、前記第2ネットワークトラフィックに関連付けられている第2パブリックネットワークアドレスをソフトウェア定義ネットワーク(SDNから受信し、
    前記第1パブリックネットワークアドレスおよび前記第2パブリックネットワークアドレスに対応する前記目標ホスト宛の正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離することであって、
    前記インバウンドフィルタから到達し、前記第2パブリックネットワークアドレス宛ての前記第2ネットワークトラフィックを保護されたホストに転送し、
    前記第1パブリックネットワークアドレス宛ての第1ネットワークトラフィックのブラックホールルーティングを実行することを含む分離を実行する
    、ネットワークトラフィック処理方法。
  15. 請求項14に記載のネットワークトラフィック処理方法であって、さらに、
    コントローラによって設定された前記第1パブリックネットワークアドレスを受信することを備え、
    前記第1パブリックネットワークアドレスは、前記第1ネットワークトラフィックに関連付けられている宛先アドレスである、ネットワークトラフィック処理方法。
  16. 請求項14に記載のネットワークトラフィック処理方法であって、さらに、
    前記第1パブリックネットワークアドレスに対応する前記ネットワークトラフィックに関連付けられている宛先アドレスを前記第2パブリックネットワークアドレスに更新することを備える、ネットワークトラフィック処理方法。
  17. ネットワークトラフィックを処理するためのシステムであって、
    1または複数のプロセッサであって、
    第1パブリックネットワークアドレスに関連付けられている第1ネットワークトラフィックをフィルタリングし、前記フィルタリングされた第1ネットワークトラフィックを前記第1パブリックネットワークアドレスに転送し、
    最初に前記第1パブリックネットワークアドレスに関連付けられていた前記第2ネットワークトラフィックに関連付けられている第2パブリックネットワークアドレスをソフトウェア定義ネットワーク(SDNから受信し、
    前記第1パブリックネットワークアドレスおよび前記第2パブリックネットワークアドレスに対応する前記目標ホスト宛の正当なネットワークトラフィックおよび悪意のあるネットワークトラフィックを分離することであって、
    前記インバウンドフィルタから到達し、前記第2パブリックネットワークアドレス宛ての前記第2ネットワークトラフィックを保護されたホストに転送し、
    前記第1パブリックネットワークアドレス宛ての第1ネットワークトラフィックのブラックホールルーティングを実行することを含む分離を実行するよう構成されている、1または複数のプロセッサと、
    前記1または複数のプロセッサに接続され、前記1または複数のプロセッサに命令を提供するよう構成されている1または複数のメモリと、
    を備える、システム。
  18. 請求項17に記載のシステムであって、前記1または複数のプロセッサは、さらに、
    コントローラによって設定された前記第1パブリックネットワークアドレスを受信するよう構成され、
    前記第1パブリックネットワークアドレスは、前記第1ネットワークトラフィックに関連付けられている宛先アドレスである、システム。
  19. 請求項17に記載のシステムであって、前記1または複数のプロセッサは、さらに、
    前記第1パブリックネットワークアドレスに対応するネットワークトラフィックに関連付けられている宛先アドレスを前記第2パブリックネットワークアドレスに更新するよう構成されている、システム。
JP2018565655A 2016-07-15 2017-07-10 攻撃に対する防御のためのネットワークトラフィックの処理 Active JP6710295B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201610561330.7 2016-07-15
CN201610561330.7A CN107623663B (zh) 2016-07-15 2016-07-15 处理网络流量的方法及装置
US15/643,948 US10587637B2 (en) 2016-07-15 2017-07-07 Processing network traffic to defend against attacks
US15/643,948 2017-07-07
PCT/US2017/041318 WO2018013457A1 (en) 2016-07-15 2017-07-10 Processing network traffic to defend against attacks

Publications (2)

Publication Number Publication Date
JP2019525528A JP2019525528A (ja) 2019-09-05
JP6710295B2 true JP6710295B2 (ja) 2020-06-17

Family

ID=60941468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018565655A Active JP6710295B2 (ja) 2016-07-15 2017-07-10 攻撃に対する防御のためのネットワークトラフィックの処理

Country Status (7)

Country Link
US (1) US10587637B2 (ja)
EP (1) EP3485613B1 (ja)
JP (1) JP6710295B2 (ja)
KR (1) KR102281685B1 (ja)
CN (1) CN107623663B (ja)
TW (1) TWI727059B (ja)
WO (1) WO2018013457A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108199906B (zh) * 2018-02-07 2021-03-30 深圳市风云实业有限公司 一种sdn构架中异常流量处理方法、装置和用户终端
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
CN109413262B (zh) * 2018-09-06 2021-05-07 深圳市梁信科技有限公司 一种无线存储管理系统
US10945806B2 (en) 2018-09-07 2021-03-16 Warsaw Orthopedic, Inc. Surgical guide and methods of use
US10768990B2 (en) 2018-11-01 2020-09-08 International Business Machines Corporation Protecting an application by autonomously limiting processing to a determined hardware capacity
CN109688242B (zh) * 2018-12-27 2022-03-22 深信服科技股份有限公司 一种云防护系统及方法
CN109617932B (zh) * 2019-02-21 2021-07-06 北京百度网讯科技有限公司 用于处理数据的方法和装置
US11700233B2 (en) * 2019-06-04 2023-07-11 Arbor Networks, Inc. Network monitoring with differentiated treatment of authenticated network traffic
US11411843B2 (en) * 2019-08-14 2022-08-09 Verizon Patent And Licensing Inc. Method and system for packet inspection in virtual network service chains
US11477163B2 (en) * 2019-08-26 2022-10-18 At&T Intellectual Property I, L.P. Scrubbed internet protocol domain for enhanced cloud security
CN110620787A (zh) * 2019-09-30 2019-12-27 怀来斯达铭数据有限公司 DDoS攻击的防护方法和系统
EP4176566A4 (en) * 2020-07-02 2024-02-28 Microsoft Technology Licensing Llc DETECTION OF METRICS INDICATING NETWORK OPERATING CHARACTERISTICS AND IDENTIFICATION AND CONTROL BASED ON DETECTED ANOMALIES
US11601369B1 (en) * 2021-09-01 2023-03-07 Arbor Networks, Inc. Mitigation of network attacks by prioritizing network traffic
CN114124744B (zh) * 2021-11-24 2023-06-02 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质
CN114448674A (zh) * 2021-12-27 2022-05-06 天翼云科技有限公司 一种分布式流量清洗方法及系统
CN116761213B (zh) * 2023-08-23 2023-11-17 深圳市南方硅谷半导体股份有限公司 一种手机流量的应用方法及系统

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001067685A2 (en) * 2000-03-03 2001-09-13 Luminous Networks, Inc. Routing switch for dynamically rerouting traffic due to detection of faulty link
US8176186B2 (en) * 2002-10-30 2012-05-08 Riverbed Technology, Inc. Transaction accelerator for client-server communications systems
JP4161989B2 (ja) 2005-07-08 2008-10-08 沖電気工業株式会社 ネットワーク監視システム
WO2008080416A1 (en) 2006-12-28 2008-07-10 Telecom Italia S.P.A. Method and apparatus to control application messages between a client and a server having a private network address
JP2008177714A (ja) 2007-01-17 2008-07-31 Alaxala Networks Corp ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
KR100942456B1 (ko) 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
CN102195843B (zh) * 2010-03-02 2014-06-11 中国移动通信集团公司 一种流量控制系统和方法
CA2791523C (en) * 2010-09-24 2013-09-10 Pravala Inc. Accessing local network resources in a multi-interface system
US8432789B2 (en) * 2010-12-28 2013-04-30 Avaya Inc. Split multi-link trunking (SMLT) hold-down timer for internet protocol (IP) multicast
US8613089B1 (en) * 2012-08-07 2013-12-17 Cloudflare, Inc. Identifying a denial-of-service attack in a cloud-based proxy service
US9264301B1 (en) * 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks
US9888028B2 (en) * 2013-05-03 2018-02-06 Centurylink Intellectual Property Llc Combination of remote triggered source and destination blackhole filtering
US9172721B2 (en) 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
JP6324026B2 (ja) 2013-11-07 2018-05-16 三菱電機株式会社 通信装置、制御装置、ネットワークシステムおよびネットワーク監視制御方法
US9722926B2 (en) * 2014-01-23 2017-08-01 InMon Corp. Method and system of large flow control in communication networks
JP6213292B2 (ja) 2014-02-17 2017-10-18 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
CN107979607A (zh) * 2014-12-17 2018-05-01 蔡留凤 适于网络安全的软件定义的网络架构及其工作方法
US9253206B1 (en) 2014-12-18 2016-02-02 Docusign, Inc. Systems and methods for protecting an online service attack against a network-based attack
CN104954367B (zh) * 2015-06-04 2019-02-12 饶小毛 一种互联网全向跨域DDoS攻击防护方法
CN105049441B (zh) * 2015-08-07 2019-01-01 杭州数梦工场科技有限公司 防止链路型DDoS攻击的实现方法和系统
CN105591963B (zh) * 2015-08-27 2018-10-12 新华三技术有限公司 Sdn中报文转发方法和设备
US10116692B2 (en) 2015-09-04 2018-10-30 Arbor Networks, Inc. Scalable DDoS protection of SSL-encrypted services
US9742795B1 (en) * 2015-09-24 2017-08-22 Amazon Technologies, Inc. Mitigating network attacks
CN105282169B (zh) * 2015-11-04 2018-08-24 中国电子科技集团公司第四十一研究所 基于SDN控制器阈值的DDoS攻击预警方法及其系统
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置

Also Published As

Publication number Publication date
CN107623663A (zh) 2018-01-23
US20180020016A1 (en) 2018-01-18
JP2019525528A (ja) 2019-09-05
EP3485613A4 (en) 2020-04-08
WO2018013457A1 (en) 2018-01-18
EP3485613B1 (en) 2021-08-25
KR102281685B1 (ko) 2021-07-28
TWI727059B (zh) 2021-05-11
US10587637B2 (en) 2020-03-10
EP3485613A1 (en) 2019-05-22
KR20190004350A (ko) 2019-01-11
CN107623663B (zh) 2020-12-15
TW201804765A (zh) 2018-02-01

Similar Documents

Publication Publication Date Title
JP6710295B2 (ja) 攻撃に対する防御のためのネットワークトラフィックの処理
US10091238B2 (en) Deception using distributed threat detection
US9838427B2 (en) Dynamic service handling using a honeypot
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
EP3507964B1 (en) Malware detection for proxy server networks
EP2951713B1 (en) Method and system for intrusion and extrusion detection
US10476891B2 (en) Monitoring access of network darkspace
US20140096229A1 (en) Virtual honeypot
CN105743878B (zh) 使用蜜罐的动态服务处理
US20170201490A1 (en) Systems and Methods for Secure Containerization
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US11316861B2 (en) Automatic device selection for private network security
WO2013097475A1 (zh) 防火墙的数据检测方法及装置
CN111385376A (zh) 一种终端的非法外联监测方法、装置、系统及设备
US9794275B1 (en) Lightweight replicas for securing cloud-based services
US11539722B2 (en) Security threat detection based on process information
US10181031B2 (en) Control device, control system, control method, and control program
Narwal et al. Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud
Dora et al. Detection of Attacks in Software-Defined Networks (SDN)*:* How to conduct attacks in SDN environments
EP3989509A1 (en) Method for realizing network dynamics, system, terminal device and storage medium
JP6286314B2 (ja) マルウェア通信制御装置
US20240022579A1 (en) System to terminate malicious process in a data center
Memari et al. Scalable Honeynet based on artificial intelligence utilizing cloud computing
Elouafiq et al. Aggressive and Intelligent Self-Defensive Network: Towards a New Generation of Semi-autonomous Networks

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190301

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200428

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200526

R150 Certificate of patent or registration of utility model

Ref document number: 6710295

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250