JP6740189B2 - 通信制御装置、通信制御方法、及びプログラム - Google Patents
通信制御装置、通信制御方法、及びプログラム Download PDFInfo
- Publication number
- JP6740189B2 JP6740189B2 JP2017149445A JP2017149445A JP6740189B2 JP 6740189 B2 JP6740189 B2 JP 6740189B2 JP 2017149445 A JP2017149445 A JP 2017149445A JP 2017149445 A JP2017149445 A JP 2017149445A JP 6740189 B2 JP6740189 B2 JP 6740189B2
- Authority
- JP
- Japan
- Prior art keywords
- limit value
- attack
- bandwidth
- upper limit
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、DDoS(Distributed Denial of Service attack)攻撃等のサイバー攻撃に対して帯域制御により対処を行う技術に関連するものである。
近年、サイバー攻撃による被害は増加しており、攻撃手法も高度化・多様化してきている。サイバー攻撃の中には、攻撃対象サーバを高負荷状態にすることでサービスを停止させるDoS攻撃がある。特に、複数の攻撃者が同時多発的に攻撃対象サーバを攻撃するDDoSでは攻撃対象サーバに対してTbps以上の高いボリュームでの攻撃(帯域圧迫型DDoS攻撃)が可能であり、攻撃対象サーバのみならず、ネットワーク全体に影響を与えてしまう。
帯域圧迫型DDoS攻撃は、ボットネットと呼ばれる第三者の端末等を踏み台にして攻撃を分散させているため、一人一人の攻撃者の特定が困難である。また、正常ユーザトラヒックと攻撃トラヒックを正確に判別することも困難であり攻撃対象サーバ宛のパケットを遮断してしまうと正常ユーザがサービス利用不可状態に陥ってしまう。そこで、帯域制御により攻撃を抑制することで、攻撃が収まるまで攻撃を抑制し、かつ攻撃対象サーバの可用性を維持させる方法がある。
帯域制御による対処方法として、キャリアネットワークの複数のゲートウェイ(中継装置)に対して、各ゲートウェイを通過する攻撃対象サーバ宛の総トラヒック量に比例するように、それぞれ異なる帯域制限値を各ゲートウェイに設定することで、全利用ユーザのネットワーク品質の公平性を維持させる帯域制御方式(特許文献1)が提案されている。
従来方式による帯域制御方式(特許文献1)では各ゲートウェイを通過する攻撃対象サーバ宛トラヒック量に比例した割合で各ゲートウェイに対してそれぞれ異なる帯域制御を実施するため、ある特定のゲートウェイを通過する攻撃対象サーバ宛トラヒックが非常に大きい場合、従来方式による帯域制御方式によって算出された帯域制限値を用いて各ゲートウェイに対して帯域制御を行った結果、攻撃対象サーバ宛のトラヒック量が非常に少ないゲートウェイを通過するユーザの帯域が非常に少なくなってしまい、サービスによってはサービス断になる可能性がある。
図1は、上記の状況の例を示している。図1は、複数の攻撃元装置10が、ゲートウェイ2A、2B、2Cを介して攻撃対象サーバ3に攻撃を行っている状況を示している。また、正常ユーザ端末20、30、40が示されている。図1に示す例では、攻撃対象サーバ3宛のトラヒック量が非常に少ないゲートウェイ2Aの通過帯域が非常に小さく制限されているため、ゲートウェイ2Aを通過する正常ユーザ端末20の帯域が非常に少なくなっている。
本発明は上記の点に鑑みてなされたものであり、サイバー攻撃に対して、複数の中継装置における帯域制御により対処を行う技術において、複数の中継装置間で攻撃トラフィック量に大きな差がある場合でも、攻撃対象を利用するユーザのネットワーク品質の公平性を維持することを可能とする技術を提供することを目的とする。
開示の技術によれば、パケットを複数の中継装置を介してターゲットに送信することによる攻撃を抑制するための通信制御装置であって、
前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得手段と、
前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定手段と
を備えることを特徴とする通信制御装置が提供される。
前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得手段と、
前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定手段と
を備えることを特徴とする通信制御装置が提供される。
開示の技術によれば、サイバー攻撃に対して、複数の中継装置における帯域制御により対処を行う技術において、複数の中継装置間で攻撃トラフィック量に大きな差がある場合でも、攻撃対象を利用するユーザのネットワーク品質の公平性を維持することが可能となる。
本実施の形態では、攻撃対象サーバにて、攻撃対象サーバを利用しているユーザの1IPアドレス当たりの上限値を予め規定し、上限値を超えるトラヒックのユーザを「攻撃を行っている可能性のあるユーザ」、上限値を下回るトラヒックのユーザを「正常ユーザ」と判別し、「攻撃を行っている可能性のあるユーザ」のトラヒックのみについて、各ゲートウェイにて、攻撃対象サーバを利用しているユーザの1IPアドレス当たりの上限値まで帯域制御を行うことにより、従来方式の課題を解決している。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、攻撃対象をサーバとしているが、攻撃対象はサーバに限らず、スイッチ、ルータ等の通信装置である場合もある。攻撃対象をターゲットと称してもよい。また、本実施の形態では、キャリアネットワークのような多数の外部ネットワークとのゲートウェイを持つネットワークにおいて、当該ゲートウェイで帯域制御を行うことを想定しているが、これは例であり、攻撃パケットを中継する任意の中継装置で本発明に係る帯域制御技術を適用することが可能である。
(実施の形態の概要)
図2を参照して、本実施の形態の概要を説明する。図2には、攻撃対象サーバ300、ゲートウェイ200A、200B、200C、複数の攻撃元装置10、及び正常ユーザ端末20、30、40が示されている。
図2を参照して、本実施の形態の概要を説明する。図2には、攻撃対象サーバ300、ゲートウェイ200A、200B、200C、複数の攻撃元装置10、及び正常ユーザ端末20、30、40が示されている。
本実施の形態ではまず、管理対象とするネットワーク内に存在する攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりの上限値βを規定しておく(S(ステップ)1)。
DDoS攻撃による輻輳発生時、ゲートウェイ200A、200B、200Cのそれぞれにおいて、トラヒック(帯域)が上限値βを上回るユーザのIPアドレスを特定する(S2)。ここでは、上限値βを上回るトラヒックのユーザは帯域圧迫型DDoS攻撃を行っている可能性のあるユーザ(黒又はグレーなユーザ)として区別され、上限値βを下回るトラヒックのユーザは正常ユーザ(厳密には白又はグレーなユーザ)として区別され、黒又はグレーなユーザのIPアドレスを特定する。そして、トラヒックが上限値βを上回るユーザ(黒又はグレーなユーザ)の帯域のみについて、各ゲートウェイにて一律上限値βに制御する(S3)。
上記の提案方式による帯域制御後も輻輳が抑制されない場合は、更に続けて、従来方式(特許文献1)による帯域制御により、各ゲートウェイを通過する攻撃対象サーバ300宛の総トラヒック量に比例するように、それぞれ異なる帯域制限値を各ゲートウェイに設定することで、全利用ユーザのネットワーク品質の公平性を維持させながら、攻撃対象サーバ300宛ての通信全体の帯域制御を行う。
本実施の形態における技術の特徴としては、従来方式による帯域制御を実施する前に、上限値βによる帯域制御を実施することで、非常に大きい攻撃対象サーバ300宛トラフィックがゲートウェイ200を通過することを防ぐ。その後、従来方式による帯域制御を実施することで、攻撃対象サーバ300宛トラヒック量が非常に少ないゲートウェイを通過するユーザの帯域が非常に少なくなってしまい、サービスによってはサービス断になる可能性があるという従来方式の課題が解決される。すなわち、複数のゲートウェイ200間で攻撃トラフィック量に大きな差がある場合でも、攻撃対象サーバ300を利用するユーザのネットワーク品質の公平性が維持される。
(実施の形態の詳細)
図3は、本実施の形態におけるシステム構成と、処理の流れを説明するための図である。図3に示すとおり、本実施の形態では、NWコントローラ100が、攻撃対象サーバ300及び各ゲートウェイ200と通信を行うことにより、各ゲートウェイ200における帯域制御が実行される。NWコントローラ100をQoS制御装置100と称してもよい。
図3は、本実施の形態におけるシステム構成と、処理の流れを説明するための図である。図3に示すとおり、本実施の形態では、NWコントローラ100が、攻撃対象サーバ300及び各ゲートウェイ200と通信を行うことにより、各ゲートウェイ200における帯域制御が実行される。NWコントローラ100をQoS制御装置100と称してもよい。
図3に示すシステムにおいて、予め、攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒックの上限値βを規定しておく(S11)。攻撃対象サーバ300にて輻輳を検知すると、NWコントローラ100へ輻輳の発生を通知する(S12)。
続いて、輻輳の発生を通知されたNWコントローラ100にて、攻撃対象サーバ300の上限値βを上回るトラヒック量の黒又はグレーなユーザのIPアドレスとユーザ数を各ゲートウェイ200より収集する(S13)。なお、IPアドレスのみゲートウェイ200から収集し、ユーザ数についいては、NWコントローラ100にてIPアドレス数から求めてもよい。
NWコントローラ100は、S13にて収集したユーザ数とNWコントローラ100にて元々把握している攻撃対象サーバ300の上限値βをもとに、各ゲートウェイ200にて設定する帯域制限値を計算する(S14)。帯域制限値は各ゲートウェイに対して以下の計算式で算出される。
対象ゲートウェイの帯域制限値(L_i)=対象ゲートウェイでの黒又はグレーなユーザ数(Y_i)×β(i=1,2,3・・・)
次に、NWコントローラ100は、S14にて算出した帯域制限値を各ゲートウェイ200へ設定する(S15)。各ゲートウェイでは、黒又はグレーなユーザのSrcIPアドレス全体に対して、帯域制限値L_iが設定され、帯域制限が実行される。
次に、NWコントローラ100は、S14にて算出した帯域制限値を各ゲートウェイ200へ設定する(S15)。各ゲートウェイでは、黒又はグレーなユーザのSrcIPアドレス全体に対して、帯域制限値L_iが設定され、帯域制限が実行される。
(装置構成、動作概要)
図4は、本実施の形態におけるシステムの各装置の機能構成を示した図である。攻撃対象サーバ300は、1つ又は複数のゲートウェイ200を介して外部ネットワーク400に接続される。QoS制御装置100は、各ゲートウェイ200及び攻撃対象サーバ300と通信可能である。
図4は、本実施の形態におけるシステムの各装置の機能構成を示した図である。攻撃対象サーバ300は、1つ又は複数のゲートウェイ200を介して外部ネットワーク400に接続される。QoS制御装置100は、各ゲートウェイ200及び攻撃対象サーバ300と通信可能である。
図5のフローチャートを参照して、動作概要を説明する。各ゲートウェイ200がトラフィックモニタリングを行う(S102)。攻撃対象サーバ300宛ての合計トラヒックが、攻撃判定閾値を超えているか(攻撃のよる輻輳を検知したかどうか)判断し(S102)、超えていなければ帯域制御を行わない(S103)。
攻撃判定閾値を超えている場合、QoS制御装置100は提案方式による帯域制御を実行する(S105)。その後、輻輳が収まったかどうかが判断され(S105)、輻輳が収まれば処理を終了し、輻輳が収まらない場合には、従来方式により帯域制御を実行する(S106)。
以下、図4に示される各装置の各機能部について説明する。
<QoS制御装置100>
図4に示すとおり、QoS制御装置100は、送受信部110、モニタリング情報収集部120、モニタリング情報テーブル130、閾値情報テーブル140、従来方式による帯域制御を実現する機能部であるQoS計算部150、提案方式による帯域制御を実現する機能部であるQoS計算部160、ユーザ情報テーブル170、及び上限値テーブル180を有する。
図4に示すとおり、QoS制御装置100は、送受信部110、モニタリング情報収集部120、モニタリング情報テーブル130、閾値情報テーブル140、従来方式による帯域制御を実現する機能部であるQoS計算部150、提案方式による帯域制御を実現する機能部であるQoS計算部160、ユーザ情報テーブル170、及び上限値テーブル180を有する。
送受信部110は、ゲートウェイ200及び攻撃対象サーバ300との情報の送受信機能を有している。また、これらからの情報を理解し、またスイッチへの設定を行うために、情報をそれらの装置に合う形に変換する機能(データ翻訳・変換機能)も有している。
モニタリング情報収集部120は、各ゲートウェイ200のモニタリング部220により収集した情報を集め、集約し、モニタリング情報テーブル130等に書き込む機能を有している。
モニタリング情報テーブル130は、モニタリング情報収集部120により集められた各ゲートウェイ200のモニタリング情報を有している。モニタリング情報テーブル130には、図10(a)に示す通り、攻撃対象サーバ300と各ゲートウェイ200それぞれの使用帯域の情報が、各攻撃対象サーバ300のIPアドレス(DstIPアドレス)、各ゲートウェイ200の識別子(ゲートウェイID)、使用帯域の組み合わせで保存される。
閾値情報テーブル140は、攻撃対象サーバ300ごとの使用帯域の閾値である攻撃判定閾値を有している。図10(b)に示す通り、各攻撃対象サーバ300のIPアドレス(DstIPアドレス)と、合計帯域制限値の組み合わせで保存される。
QoS計算部150は、提案方式による帯域制御実施後も輻輳が解消されない場合に、モニタリング情報テーブル130と閾値情報テーブル140の情報に基づいて、各ゲートウェイ200を通過する攻撃対象サーバ300宛トラヒックに比例した割合で各ゲートウェイ200に対してそれぞれ異なる帯域制限値を算出する機能を有する。
QoS計算部160は、攻撃対象サーバ300からの輻輳発生通知を契機に、ユーザ情報テーブル170と上限値テーブル180から、各ゲートウェイ200における上限値βを上回るトラヒック量のユーザ数と、上限値βの情報を基に各ゲートウェイ200へ設定する帯域制限値を算出する機能を有する。
ユーザ情報テーブル170は、モニタリング情報収集部120により集められた、各ゲートウェイ200ごとの、上限値βを超える全ユーザのSrcIPアドレスと、そのSrcIPアドレス数をユーザ数として保存している。図10(c)に示す通り、各ゲートウェイの識別子(ゲートウェイID)、SrcIPアドレス、SrcIPアドレス数(ユーザ数)の組み合わせで保存される。
上限値テーブル180は、攻撃対象サーバ300ごとに事前に規定された上限値βを有している。図10(d)に示す通り、各攻撃対象サーバ300のIPアドレス(DstIPアドレス)と上限値の組み合わせで保存される。
<ゲートウェイ200>
図4に示すとおり、ゲートウェイ200は、送受信部230、QoS設定部210、モニタリング部220、ユーザ情報収集部240を有する。ここで、ゲートウェイ200は、複数存在するものとする。
図4に示すとおり、ゲートウェイ200は、送受信部230、QoS設定部210、モニタリング部220、ユーザ情報収集部240を有する。ここで、ゲートウェイ200は、複数存在するものとする。
送受信部230は、モニタリング部220により得た情報のQoS制御装置100への送信、及び、QoS制御装置100からの帯域制限設定要求の受信の機能を有する。QoS制御装置100の送受信部110と異なり、データ翻訳・変換機能を持つ必要はない。
QoS設定部210は、QoS制御装置100から受信した帯域制限設定要求に基づき、特定のSrcIPアドレスをもつパケット複数に対して合計帯域を制限する機能、及び特定の宛先IPアドレスをもつパケットに対して合計帯域を制限する機能を有する。
モニタリング部220は、特定の宛先IPアドレスを持つパケットの一定時間での帯域使用量をモニタリングする機能と、モニタリングした情報をモニタリング情報テーブル130へ保存する機能を有する。
ユーザ情報収集部240は、上限値βを上回る全ユーザのSrcIPアドレスを抽出する機能とそのSrcIPアドレス数(ユーザ数)をカウントする機能を有する。また、それらの情報をユーザ情報テーブル170へ保存する機能も有する。なお、SrcIPアドレス数(ユーザ数)のカウントは、QoS制御装置100が行うこととしてもよい。
<攻撃対象サーバ300>
図4に示すとおり、攻撃対象サーバ300は、送受信部320、攻撃検知部310、攻撃抑制検知部330を有する。ここで、攻撃対象サーバ300は、不特定のユーザに対して外部ネットワーク400を経由してWeb上等でサービスを提供するサーバを想定している。本実施の形態では、攻撃対象となるサーバが1台と想定して1台のみ記載しているが、攻撃対象となり得るサーバはゲートウェイ200以下のネットワークには複数存在する。また、本実施の形態では、DDoS攻撃は外部ネットワーク400から攻撃対象サーバ300に向かって行われるものとする。
図4に示すとおり、攻撃対象サーバ300は、送受信部320、攻撃検知部310、攻撃抑制検知部330を有する。ここで、攻撃対象サーバ300は、不特定のユーザに対して外部ネットワーク400を経由してWeb上等でサービスを提供するサーバを想定している。本実施の形態では、攻撃対象となるサーバが1台と想定して1台のみ記載しているが、攻撃対象となり得るサーバはゲートウェイ200以下のネットワークには複数存在する。また、本実施の形態では、DDoS攻撃は外部ネットワーク400から攻撃対象サーバ300に向かって行われるものとする。
送受信部320は、攻撃検知部310により得た情報のQoS制御装置100への送信を行う機能を有する。QoS制御装置100の送受信部110と異なり、データ翻訳・変換機能を持つ必要はない。
攻撃検知部310は、攻撃対象サーバ300の負荷状況等を見て、DDoS攻撃を検知する機能を有する。
攻撃抑制検知部330は、攻撃対象サーバ300の負荷状況等を見て、DDoS攻撃が抑制されたことを検知する機能を有する。
(装置のハードウェア構成)
上述した各装置(QoS制御装置100、ゲートウェイ200、攻撃対象サーバ300)はいずれも、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
上述した各装置(QoS制御装置100、ゲートウェイ200、攻撃対象サーバ300)はいずれも、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
図6は、本実施の形態における上記装置のハードウェア構成例を示す図である。図6の装置は、それぞれバスBで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、及び入力装置1007等を有する。
当該装置での処理を実現するプログラムは、例えば、CD−ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置100にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って当該装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられる。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。
(システムの動作例)
以下、図7〜図9のシーケンス図を参照して本実施の形態におけるシステムの動作例を説明する。以下では、攻撃対象サーバ300での攻撃検知をトリガとして、QoS制御装置100が帯域制限値を計算し、各ゲートウェイ200にQoS設定を行う場合の手順を説明する。なお、攻撃対象サーバ300での攻撃検知をトリガとすることは例であり、攻撃対象サーバ300での攻撃検知以外の事象をトリガとしてもよい。
以下、図7〜図9のシーケンス図を参照して本実施の形態におけるシステムの動作例を説明する。以下では、攻撃対象サーバ300での攻撃検知をトリガとして、QoS制御装置100が帯域制限値を計算し、各ゲートウェイ200にQoS設定を行う場合の手順を説明する。なお、攻撃対象サーバ300での攻撃検知をトリガとすることは例であり、攻撃対象サーバ300での攻撃検知以外の事象をトリガとしてもよい。
以下の説明において、各装置間の情報のやり取りは、全て各装置の送受信部を通して行われるが、以下の説明及び図7〜図9では割愛している。なお、図7、図8は提案方式による帯域制御実施で輻輳解消する場合のシーケンス図であり、図9は提案方式による帯域制御実施では輻輳解消しない場合のシーケンス図である。
以下で説明する手順の前提として、閾値情報テーブル140に、攻撃対象サーバ300の合計帯域制限値αが設定され、上限値テーブル180には、攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりの上限値βが設定されているものとする。
まず、図7を参照して説明する。
S201)モニタリング情報収集部110は、定期的に各ゲートウェイ200に対して、攻撃対象サーバ300(宛先IPアドレス)のパケットのモニタリング情報の送信を要求する。
S202)モニタリング情報送信要求を受けた各ゲートウェイ200のモニタリング部220は、モニタリングを一定時間行い、攻撃対象サーバ300とその宛先へのパケットの使用帯域が含まれたモニタリング情報をモニタリング情報収集部120に送信する。
S203、S204)各ゲートウェイ200からモニタリング情報を受信したモニタリング情報収集部120は、その情報を適宜モニタリング情報テーブル130に書き込み、テーブル130を更新する。
S205、S206)攻撃対象サーバ300の攻撃検知部310が、攻撃を検知したら、QoS計算部160に対し、DDoS攻撃による輻輳が発生していることを通知する。
S207、S208)DDoS攻撃による輻輳が発生していることを通知されたQoS計算部160は、上限値テーブル180にアクセスし、攻撃対象サーバ300の上限値βを受け取る。
S209)更に、QoS計算部160はユーザ情報収集部240に対するユーザ情報要求により、攻撃対象サーバ300へのトラフィック(帯域)が上限値βを上回るユーザのSrcIPアドレスやそのユーザ数(SrcIPアドレス数)といったユーザ情報の取得を要求する。
S210、S211)ユーザ情報要求を受け取ったユーザ情報収集部240は、上限値βを上回る全ユーザのSrcIPアドレスを抽出し、更にそのユーザ数(SrcIPアドレス数)をカウントする。更に、ユーザ情報収集部240は、抽出したSrcIPアドレスとユーザ数(SrcIPアドレス数)をユーザ情報テーブル170へ送信し、ユーザ情報テーブル170を更新する。
S212、S213)ユーザ情報テーブル170を更新後、QoS計算部160はユーザ情報テーブル170から上限値βを上回るユーザのSrcIPアドレスとユーザ数(SrcIPアドレス数)をユーザ情報として受け取り、各ゲートウェイ200に設定する帯域制限値を計算する(上限値βを下回るユーザに対しては帯域制御は実施しない)。各ゲートウェイ200に設定する帯域制限値は以下の計算式で算出される。ここで、i=1,2,3・・・はゲートウェイIDである。
対象ゲートウェイでの帯域制限値(L_i)=ユーザ数(Y_i)×β (i=1,2,3・・・)
S214)QoS計算部160はS213で算出した帯域制限値L_iを各ゲートウェイ200のQoS設定部210に対して設定するための設定要求を送信する。
S214)QoS計算部160はS213で算出した帯域制限値L_iを各ゲートウェイ200のQoS設定部210に対して設定するための設定要求を送信する。
S215)QoS計算部160から帯域制限設定要求を受けた各ゲートウェイ200のQoS設定部210は、攻撃対象サーバ300へのトラヒックが上限値βを上回るユーザのSrcIPアドレス全体に対して、S213で算出した帯域制限値L_iを設定し、QoS計算部160へ設定完了を通知する。
次に、図8を参照する。
S216)各ゲートウェイ200のQoS設定部210から設定完了通知を受けたQoS計算部160は、モニタリング情報収集部120に対し、モニタリング情報の更新を要求する。
S217)モニタリング情報収集部120は、各ゲートウェイ200に対して、攻撃対象サーバ300(宛先IPアドレス)のパケットのモニタリング情報の送信を要求する。
S218)モニタリング情報送信要求を受けた各ゲートウェイ200のモニタリング部220は、モニタリングを一定時間行い、攻撃対象サーバ300とその宛先へのパケットの使用帯域が含まれたモニタリング情報をモニタリング情報収集部120に送信する。
S219、S220)各ゲートウェイ200からモニタリング情報を受信したモニタリング情報収集部120は、その情報を適宜モニタリング情報テーブル130に書き込み、テーブル130を更新する。
S221、S222)S214での帯域制限値L_i設定後、攻撃抑制検知部330にてDDoS攻撃の抑制を検知した場合は、QoS計算部150へDDoS攻撃抑制完了通知を送信し、処理を終了する。
次に、図9を参照して説明する。
S301、S302)S214での帯域制限値L_i設定後、攻撃抑制検知部330にてDDoS攻撃の継続を検知した場合は、攻撃抑制検知部330からQoS計算部150へ攻撃継続通知を送信し、S303以降の従来方式による帯域制御の実施シーケンスに移行する。
S303、S304)QoS計算部150は、閾値情報テーブル140を参照し、攻撃対象サーバ300の合計帯域制限値αを取得する。
S305、S306)S303、S304と同時に、QoS計算部150は、モニタリング情報テーブル130を参照し、攻撃対象サーバ300が宛先となっているトラヒックの、各ゲートウェイ200での使用帯域の情報を取得する。
S307)QoS計算部150は、S303〜S306で取得したデータを利用し、以下の式の通り、各ゲートウェイ200における特定の宛先IPアドレスのパケットに対する帯域制限値liを計算する。
S308)QoS計算部150は、各ゲートウェイ200に対してS307で計算した帯域制限値liを設定するよう、各ゲートウェイ200のQoS設定部210に要求する。
S309)各ゲートウェイ200のQoS設定部210は、QoS計算部150からの帯域制限設定要求に基づき、スイッチの帯域制限値を設定する。設定が完了し次第、設定完了通知をQoS計算部150に通知する。QoS計算部150は、全てのゲートウェイ200から設定完了通知を取得後、処理を終了する。
(実施の形態の効果等)
以上、説明したように、本実施の形態では、DDoS攻撃の対象となるサーバが属するネットワークと外部のネットワークの間に複数のゲートウェイ200が存在し、かつDDoS攻撃のトラヒックが複数のゲートウェイ200を通り、攻撃対象サーバ300が攻撃を受けている場合において、攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒック量の上限値を予め規定し、上限値を上回るトラヒックのユーザと上限値を下回るトラヒックのユーザに分類する。そして、各ゲートウェイ200の、上限値を上回るトラヒックのユーザ全体に対して、各ゲートウェイ200にて攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒック量の上限値まで帯域制御を実施する。更に帯域制御実施後もDDoS攻撃が抑制できていない場合は、各ゲートウェイ200を通過する攻撃対象サーバ300宛の総トラヒック量に比例するように、それぞれ異なる帯域制限値を各ゲートウェイに設定する。
以上、説明したように、本実施の形態では、DDoS攻撃の対象となるサーバが属するネットワークと外部のネットワークの間に複数のゲートウェイ200が存在し、かつDDoS攻撃のトラヒックが複数のゲートウェイ200を通り、攻撃対象サーバ300が攻撃を受けている場合において、攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒック量の上限値を予め規定し、上限値を上回るトラヒックのユーザと上限値を下回るトラヒックのユーザに分類する。そして、各ゲートウェイ200の、上限値を上回るトラヒックのユーザ全体に対して、各ゲートウェイ200にて攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒック量の上限値まで帯域制御を実施する。更に帯域制御実施後もDDoS攻撃が抑制できていない場合は、各ゲートウェイ200を通過する攻撃対象サーバ300宛の総トラヒック量に比例するように、それぞれ異なる帯域制限値を各ゲートウェイに設定する。
キャリアネットワークのような多数の外部ネットワークとのゲートウェイ200を持つネットワークにおいて、DDoS攻撃がネットワーク内のサーバ300になされた場合、従来方式による帯域制御実施前に、攻撃対象サーバ300を利用しているユーザの1IPアドレス当たりのトラヒック上限値に基づいた帯域制御方式を実施することで、ある特定のゲートウェイを通過する攻撃対象サーバ宛トラヒックが非常に大きい場合、攻撃対象サーバ宛トラヒックが非常に少ないゲートウェイを通過するユーザの帯域が非常に少なくなってしまい、サービスによってはサービス断になる可能性があるという従来方式の課題を解決することができる。よって、サイバー攻撃に対して、複数の中継装置における帯域制御により対処を行う技術において、複数の中継装置間で攻撃トラフィック量に大きな差がある場合でも、攻撃対象を利用するユーザのネットワーク品質の公平性を維持することができる。
(実施の形態のまとめ)
本実施の形態によれば、パケットを複数の中継装置を介してターゲットに送信することによる攻撃を抑制するための通信制御装置であって、前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得手段と、前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定手段とを備えることを特徴とする通信制御装置が提供される。
本実施の形態によれば、パケットを複数の中継装置を介してターゲットに送信することによる攻撃を抑制するための通信制御装置であって、前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得手段と、前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定手段とを備えることを特徴とする通信制御装置が提供される。
前記設定手段は、前記各中継装置に対し、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザの数と前記上限値とを掛けた値を前記帯域制限値として算出することとしてもよい。
前記ターゲットにおいて攻撃が検知されたことをトリガとして、前記取得手段による前記ソースIPアドレスの取得、及び前記設定手段による前記帯域制限値の設定を行うこととしてもよい。
前記設定手段による前記帯域制限値の設定の後、前記ターゲットにおいて攻撃の継続が検知された場合において、前記設定手段は、前記各中継装置に対し、前記ターゲット宛ての通信全体の帯域制限を行うための帯域制限値を設定することとしてもよい。
実施の形態におけるQoS制御装置100は通信制御装置の例であり、送受信部110とモニタリング情報収集部120は、取得手段の例であり、QoS計算部160とQoS計算部150と送受信部110は、設定手段の例である。
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 QoS制御装置
110 送受信部
120 モニタリング情報収集部
130 モニタリング情報テーブル
140 閾値情報テーブル
150 QoS計算部
160 QoS計算部
170 ユーザ情報テーブル
180 上限値テーブル
200 ゲートウェイ
210 QoS設定部
220 モニタリング部
230 送受信部
240 ユーザ情報収集部
300 攻撃対象サーバ
310 攻撃検知部
320 送受信部
330 攻撃抑制検知部
400 外部ネットワーク
110 送受信部
120 モニタリング情報収集部
130 モニタリング情報テーブル
140 閾値情報テーブル
150 QoS計算部
160 QoS計算部
170 ユーザ情報テーブル
180 上限値テーブル
200 ゲートウェイ
210 QoS設定部
220 モニタリング部
230 送受信部
240 ユーザ情報収集部
300 攻撃対象サーバ
310 攻撃検知部
320 送受信部
330 攻撃抑制検知部
400 外部ネットワーク
Claims (8)
- パケットを複数の中継装置を介してターゲットに送信することによる攻撃を抑制するための通信制御装置であって、
前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得手段と、
前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定手段と
を備えることを特徴とする通信制御装置。 - 前記設定手段は、前記各中継装置に対し、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザの数と前記上限値とを掛けた値を前記帯域制限値として算出する
ことを特徴とする請求項1に記載の通信制御装置。 - 前記ターゲットにおいて攻撃が検知されたことをトリガとして、前記取得手段による前記ソースIPアドレスの取得、及び前記設定手段による前記帯域制限値の設定を行う
ことを特徴とする請求項1又は2に記載の通信制御装置。 - 前記設定手段による前記帯域制限値の設定の後、前記ターゲットにおいて攻撃の継続が検知された場合において、前記設定手段は、前記各中継装置に対し、前記ターゲット宛ての通信全体の帯域制限を行うための帯域制限値を設定する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の通信制御装置。 - パケットを複数の中継装置を介してターゲットに送信することによる攻撃を抑制するための通信制御装置が実行する通信制御方法であって、
前記複数の中継装置における各中継装置から、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレスを取得する取得ステップと、
前記各中継装置に対して、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザのソースIPアドレス全体に対する帯域制限値を設定する設定ステップと
を備えることを特徴とする通信制御方法。 - 前記設定ステップにおいて、前記通信制御装置は、前記各中継装置に対し、前記ターゲット宛ての通信の使用帯域が上限値を超えるユーザの数と前記上限値とを掛けた値を前記帯域制限値として算出する
ことを特徴とする請求項5に記載の通信制御方法。 - 前記ターゲットにおいて攻撃が検知されたことをトリガとして、前記取得ステップによる前記ソースIPアドレスの取得、及び前記設定ステップによる前記帯域制限値の設定を行う
ことを特徴とする請求項5又は6に記載の通信制御方法。 - コンピュータを、請求項1ないし4のうちいずれか1項に記載の前記通信制御装置における各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017149445A JP6740189B2 (ja) | 2017-08-01 | 2017-08-01 | 通信制御装置、通信制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017149445A JP6740189B2 (ja) | 2017-08-01 | 2017-08-01 | 通信制御装置、通信制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019029909A JP2019029909A (ja) | 2019-02-21 |
| JP6740189B2 true JP6740189B2 (ja) | 2020-08-12 |
Family
ID=65476792
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017149445A Active JP6740189B2 (ja) | 2017-08-01 | 2017-08-01 | 通信制御装置、通信制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6740189B2 (ja) |
-
2017
- 2017-08-01 JP JP2017149445A patent/JP6740189B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019029909A (ja) | 2019-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
| KR101812403B1 (ko) | SDN에서의 DoS공격 방어시스템 및 이의 구현방법 | |
| EP1592197B1 (en) | Network amplification attack mitigation | |
| CN106453669B (zh) | 一种负载均衡方法及一种服务器 | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| US10505952B2 (en) | Attack detection device, attack detection method, and attack detection program | |
| EP3404949B1 (en) | Detection of persistency of a network node | |
| CA2540802A1 (en) | Method and apparatus for traffic control of dynamic denial of service attacks within a communications network | |
| KR20120060655A (ko) | 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크 | |
| JPWO2016194123A1 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| CN110247893B (zh) | 一种数据传输方法和sdn控制器 | |
| Wang et al. | An approach for protecting the openflow switch from the saturation attack | |
| US10142355B2 (en) | Protection of telecommunications networks | |
| JP6740189B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
| JP2015115794A (ja) | 転送装置、転送方法、および、転送プログラム | |
| WO2019159989A1 (ja) | 監視システム、監視方法及び監視プログラム | |
| KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
| Khirwadkar | Defense against network attacks using game theory | |
| JP6509143B2 (ja) | 帯域制御装置及び方法 | |
| KR20110074028A (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
| KR20150033624A (ko) | IoT 환경에서 발생하는 서비스거부 공격을 중계기에서 방어하는 방법 | |
| US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190826 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200629 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6740189 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |