JP6766017B2 - 制御装置、通信システム、制御方法及びコンピュータプログラム - Google Patents

制御装置、通信システム、制御方法及びコンピュータプログラム Download PDF

Info

Publication number
JP6766017B2
JP6766017B2 JP2017158154A JP2017158154A JP6766017B2 JP 6766017 B2 JP6766017 B2 JP 6766017B2 JP 2017158154 A JP2017158154 A JP 2017158154A JP 2017158154 A JP2017158154 A JP 2017158154A JP 6766017 B2 JP6766017 B2 JP 6766017B2
Authority
JP
Japan
Prior art keywords
defense
specific data
request
attack
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017158154A
Other languages
English (en)
Other versions
JP2019036892A (ja
Inventor
要 西塚
要 西塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2017158154A priority Critical patent/JP6766017B2/ja
Priority to PCT/JP2018/030580 priority patent/WO2019035488A1/ja
Priority to US16/638,793 priority patent/US11489865B2/en
Publication of JP2019036892A publication Critical patent/JP2019036892A/ja
Application granted granted Critical
Publication of JP6766017B2 publication Critical patent/JP6766017B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、通信装置に対して行われる攻撃の影響を軽減させる技術に関する。
ネットワークに接続された通信装置に対して攻撃を行う技術がある。このような攻撃技術の一つとして、攻撃対象となる通信装置に対してサービスの提供を困難に陥れる攻撃(以下、単に「攻撃」という。)がある。攻撃の具体例として、Denial of Service(DoS)攻撃やDistributed Denial of Service(DDoS)攻撃がある。DDoS攻撃に対する防御処理として、攻撃元の通信装置から送信されるトラフィックを緩和装置に引き込むことによって通信負荷を軽減する技術がある。また、DoS攻撃とDDoS攻撃とで異なる防御方法を選択する技術も提案されている(例えば特許文献1参照)。
DDoS攻撃を受けてしまうと、上位の通信回線に輻輳が生じてしまう場合がある。そのため、攻撃元により近い位置で防御処理を実行することが望まれる。このような防御処理を実現するために、上位に位置するトランジット事業者やクラウド型のDDoS対策事業者に対して防御処理の実行を要求することがある。防御処理の要求は、従来は電話や電子メールで行われる場合があった。また、近年ではIETF(Internet Engineering Task Force)のdots(DDoS Open Threat Signaling)ワーキンググループで、機械的な緊急通報(シグナリング)の標準化がすすめられている。
特開2006−67078号公報
しかしながら、標準化がすすめられている仕様では、攻撃の発生に関する判断は、防御処理の要求を受ける側の判断を優先すると定められている。そのため、要求を受ける側が攻撃の有無の判断に時間を要してしまう等の事情により、防御処理の実行のタイミングが遅れてしまう場合があった。
上記事情に鑑み、本発明は、ネットワークを介した通信装置に対する攻撃への防御処理について、その実行までに要する時間を短縮できる技術の提供を目的としている。
本発明の一態様は、ネットワークへの攻撃に対して防御処理を実行する緩和装置に対し、防御処理の実行の要求を示す防御要求の受信に応じて防御処理の実行を指示する制御部を備え、前記制御部は、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示する、制御装置である。
本発明の一態様は、上記の制御装置であって、前記制御部は、前記特定データが有効である場合には、前記特定データが有効でない又は前記特定データが含まれない場合に実行される処理の一部又は全部を実行することなく、前記防御処理の実行を指示する。
本発明の一態様は、上記の制御装置であって、前記制御部は、前記特定データが有効である場合には、防御処理の実行対象となるネットワークにおいて実際に攻撃が行われているか否かを判定する処理である判定処理を実行することなく、前記防御処理の実行を指示する。
本発明の一態様は、ネットワークの攻撃を検知し、前記ネットワークへの防御処理の実行の要求を示す防御要求を送信する検知装置と、ネットワークへの攻撃に対して防御処理を実行する緩和装置と、前記緩和装置を制御する制御装置と、を備える通信システムであって、前記制御装置は、前記緩和装置に対し、前記防御要求の受信に応じて防御処理の実行を指示する制御部を備え、前記制御部は、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示する。
本発明の一態様は、上記の通信システムであって、前記検知装置は、検知された攻撃に関する所定の条件に応じて、前記防御要求の前記特定データを有効にさせる。
本発明の一態様は、ネットワークへの攻撃に対して防御処理を実行する緩和装置に対し、防御処理の実行の要求を示す防御要求の受信に応じて防御処理の実行を指示する制御装置が、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示する、制御方法である。
本発明の一態様は、ネットワークへの攻撃に対して防御処理を実行する緩和装置に対し、防御処理の実行の要求を示す防御要求の受信に応じて防御処理の実行を指示する制御部を備え、前記制御部は、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示する、制御装置、としてコンピュータを機能させるためのコンピュータプログラムである。
本発明により、ネットワークを介した通信装置に対する攻撃への防御処理について、その実行までに要する時間を短縮することが可能となる。
緩和システムを備えた通信システムのシステム構成を表すシステム構成図である。 DOTSClientとDOTSServerとの間で行われる通信の具体例を示すシーケンスチャートである。 特定データの具体例を示す図である。 第一検知装置の機能構成を表す概略ブロック図である。 緩和システムのシステム構成を示す概略ブロック図である。 通信システムにおける処理の流れを示すシーケンスチャートである。
図1は、緩和システムを備えた通信システムのシステム構成を表すシステム構成図である。緩和システムは、本実施形態において防御処理を実行するシステムの具体例である。図1に示される通信システムは、第一ネットワーク100、第一中継装置110、第一検知装置120、第二ネットワーク200、第二中継装置210、第二検知装置220、第三ネットワーク300、第三中継装置310、第一通信装置320、第二通信装置330、主ネットワーク400及び緩和システム500を備える。
第一ネットワーク100は、緩和システム500による防御対象のネットワークである。第一ネットワーク100に対して攻撃が行われた場合、第一検知装置120の要求に基づき、緩和システム500による防御処理が実行される。第一ネットワーク100には、第一検知装置120が接続される。第一検知装置120は、第一中継装置110から通信情報を受信する。第一検知装置120は、受信された通信情報を解析することによって、第一ネットワーク100に対して攻撃が行われているか否か判定し、攻撃を検知する。第一検知装置120は、攻撃を検知すると、防御要求を緩和システム500に送信する。第一検知装置120は、例えばdotsワーキンググループで標準化がすすめられている仕様におけるdotsクライアントとして機能してもよい。この場合、防御要求は、dotsクライアントとdotsサーバとの間の通信で用いられる2つのプロトコル(Signal Channel、Data Channel)のうち、Signal Channelを用いて送信されてもよい。
図2は、標準化が進められている仕様において、dotsクライアント(DOTSClient)とdotsサーバ(DOTSServer)との間で行われる通信の具体例を示すシーケンスチャートである。まず、DOTSClient91がMitigationRequest(防御要求に相当)をDOTSServer92に送信する(ステップS001)。次に、DOTSServer92がMitigationResponseをDOTSClient91に送信する(ステップS002)。次に、DOTSServer92がMitigationScope処理を実行する(ステップS003)。次に、DOTSServer92が、MitigationScopeValidator93との間でValidationの手続を実行する(ステップS004)。次に、DOTSServer92が、BlockerSelection Service94との間でBlockerSelectionの手続を実行する(ステップS005)。次に、DOTSServer92が、S005の手続で選択されたBlocker95との間で、RegisterProtectionの手続を実行する(ステップS006)。その後、S006の手続が完了すると、選択されたBlocker95がProtection処理(防御処理に相当)を実行する(ステップS007)。
防御要求には、特定のデータ(以下「特定データ」という。)が含まれる。緩和システム500は、防御要求に含まれる特定データの内容に応じて、即時処理又は通常処理のいずれかを実行する。特定データの値が有効を示す場合、緩和システム500は即時処理を実行する。一方、特定データの値が無効を示す場合や、特定データが防御要求に含まれない場合には、緩和システム500は通常処理を実行する。
通常処理では、即時処理に比べて、防御要求が受信されてから防御処理の実行までにより多くの処理が実行される。そのため、通常処理では、緩和システム500における防御処理の開始までに要する時間が、即時処理よりも長くなってしまう。
例えば、通常処理では、防御処理の実行対象となるネットワークにおいて実際に攻撃が行われているか否かを判定する処理(以下「判定処理」という。)が実行されてもよい。このような判定処理は、緩和システム500によって実行されてもよいし、緩和システム500との間で予め取り決められている他の装置によって実行されてもよい。このような判定処理は、例えばdotsワーキンググループにおける標準化の仕様にしたがった処理であってもよい。この場合、緩和システム500は、実際に攻撃が行われていると判定された場合にのみ防御処理を実行してもよい。
例えば、通常処理では、防御処理の実行対象となるネットワークにおいて行われている攻撃に関して解析を行う処理(以下「解析処理」という。)が実行されてもよい。解析処理では、具体的には攻撃の程度を判定する処理や、攻撃の種別を判定する処理や、攻撃に対して緊急に防御処理を実行する必要があるか否かを示す緊急度を判定する処理が実行される。このような解析処理は、緩和システム500によって実行されてもよいし、緩和システム500との間で予め取り決められている他の装置によって実行されてもよい。
例えば、通常処理では、防御処理の実行対象となるネットワークにおいて実際に攻撃が行われているか否かの判定の実行を、予め定められた管理者に対して要求する処理(以下「確認処理」という。)が実行されてもよい。このような確認処理は、例えば管理者が操作する端末装置に対してアラームを通知する処理やメールを送信する処理などを用いて実現されてもよい。この場合、緩和システム500は、実際に攻撃が行われていると管理者が判定した場合にのみ防御処理を実行してもよい。管理者の判定結果は、例えば管理者が操作する端末装置から通信経路を介して受信されてもよい。
通常処理において実行される処理として説明した判定処理、解析処理及び確認処理はいずれも例示にすぎない。そのため、通常処理においてこれら三つの処理が必ずしも実行される必要はない。また、通常処理においてこれら三つの処理以外の処理が実行されてもよい。
即時処理では、通常処理に比べて、防御要求が受信されてからより早いタイミングで防御処理が実行される。例えば、即時処理では、通常処理においては防御処理の実行開始前に行われる処理の一部又は全部が実行されることなく防御処理が実行されてもよい。例えば、上述した判定処理や解析処理や確認処理が行われることなく、防御処理が実行されてもよい。より具体的には以下のとおりである。即時処理では、例えば判定処理、解析処理及び確認処理の全てが実行されることなく防御処理が実行されてもよい。即時処理では、例えば判定処理が実行されるものの、解析処理及び確認処理が実行されることなく防御処理が実行されてもよい。即時処理では、例えば判定処理と、解析処理の一部が実行されるものの、残りの解析処理は実行されることなく防御処理が実行されてもよい。
図3は、特定データの具体例を示す図である。図3には、防御要求の具体例として、MitigationRequestの標準化のフォーマットを示す図である。防御要求の中で使用者に自由に変更が認められている領域に、特定データとして”urgent-flag”が設けられている。特定データは、例えば図3に示されるようにbool型の値として設けられてもよいし、他の型の値として設けられてもよい。
なお、特定データは、必ずしも図3に示されるようなdotsワーキンググループにおける標準化の仕様に適合したものでなくてもよい。特定データは、少なくとも防御要求の送信元である装置と送信先である装置(例えば緩和システム500)との間で予め規定されたデータであれば、どのようなデータであってもよい。特定データとしてどのような値が設定されている場合に即時実施が行われるかについては、防御要求の送信元と送信先において、予めビジネス上の契約などに基づいて規定されていることが望ましい。
第二ネットワーク200は、緩和システム500による防御対象のネットワークである。第二ネットワーク200に対して攻撃が行われた場合、第二検知装置220の要求に基づき、緩和システム500による防御処理が実行される。第二ネットワーク200には、第二検知装置220が接続される。第二検知装置220は、第二中継装置210から通信情報を受信する。第二検知装置220は、受信された通信情報を解析することによって、第二ネットワーク200に対して攻撃が行われているか否か判定し、攻撃を検知する。第二検知装置220は、攻撃を検知すると、有効な特定データの値を有する防御要求を緩和システム500に送信する。第二検知装置220によって送信される特定データは、防御対象のネットワークとして第二ネットワーク200に関する防御処理の実行の要求を示す。
第三ネットワーク300は、緩和システム500による防御の対象となっていないネットワークである。第三ネットワーク300は、例えば不特定のIP(Internet Protocol)ネットワークである。第三ネットワーク300は、例えばインターネットであってもよい。第三ネットワーク300には、第一通信装置320が接続される。第一通信装置320は、第三ネットワーク300に接続される不特定の通信装置の具体例である。以下、第一通信装置320を、第一ネットワーク100又は第二ネットワーク200に対して攻撃を行う装置の具体例として説明する。
主ネットワーク400は、ゲートウェイとして第一中継装置110、第二中継装置210及び第三中継装置310を備える。第一ネットワーク100は、第一中継装置110を介して主ネットワーク400に接続される。第二ネットワーク200は、第二中継装置210を介して主ネットワーク400に接続される。第三ネットワーク300は、第三中継装置310を介して主ネットワーク400に接続される。主ネットワーク400は、例えば第一ネットワーク100及び第二ネットワーク200に対して不特定のIPネットワークへの接続サービスをする事業者(キャリア)によって管理されるネットワークであってもよい。
緩和システム500は、主ネットワーク400に接続される。緩和システム500は、防御対象のネットワーク(例えば第一ネットワーク100及び第二ネットワーク200)に対して、攻撃からの防御処理の機能を提供する。緩和システム500は、例えばdotsワーキンググループで標準化がすすめられている仕様におけるdotsサーバとして機能してもよい。
図4は、第一検知装置120の機能構成を表す概略ブロック図である。第一検知装置120は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。第一検知装置120は、バスで接続されたプロセッサやメモリや補助記憶装置などを備える。第一検知装置120は、検知プログラムを実行することによって、通信部121、判定部122及び通知部123を備える装置として機能する。なお、第一検知装置120の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。検知プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。検知プログラムは、電気通信回線を介して送信されても良い。
通信部121は、通信インタフェース等の通信装置を用いて構成される。通信部121は、有線通信を行ってもよいし、無線通信を行ってもよい。通信部121は、第一中継装置110及び緩和システム500と通信する。通信部121は、例えば第一中継装置110から通信情報を受信する。通信情報は、第一中継装置110が中継した通信に関する情報である。通信情報は、例えば第一中継装置110によって中継されたパケットに関する情報を含んでもよい。通信部121は、例えば通知部123によって生成された防御要求を緩和システム500に送信する。
判定部122は、第一中継装置110から受信された通信情報に基づいて、防御対象である第一ネットワーク100に対して攻撃が行われているか否か判定する。判定部122には、例えばトラフィック解析技術の一つであるフロー技術が適用されてもよい。検知される攻撃の具体例として、通信装置に対して過剰な負荷をかけることによってサービスの提供を困難に陥れる攻撃(高負荷攻撃)がある。より具体的な攻撃の例としては、DoS攻撃や、HTTP Get floodやTCP SYN flood等のDDoS攻撃がある。判定部122は、攻撃が行われている場合には、行われている攻撃の種別を判定する。判定部122は、判定結果を通知部123に通知する。
通知部123は、判定部122によって行われた判定の結果に応じて、防御要求を緩和システム500に通知する。例えば、通知部123は、第一ネットワーク100に対して行われている攻撃の種別と、攻撃対象となっているネットワーク(例えば第一ネットワーク100)を示す情報と、特定データと、を含む防御要求を生成する。攻撃対象となっているネットワークを示す情報として、ネットワークのアドレス空間を示す情報が用いられてもよいし、ネットワークに対して予め割り当てられた名前や番号等の識別情報が用いられてもよい。通知部123は、生成された防御要求を緩和システム500に送信することによって、防御処理の実行の要求や、受けている攻撃の種別等を緩和システム500に通知する。
通知部123は、所定の条件が満たされる場合には防御要求の特定データを有効にし、所定の条件が満たされない場合には防御要求の特定データを無効にしてもよい。所定の条件とは、例えば、判定部122による判定結果に関する条件であってもよい。より具体的には、例えば行われている攻撃の種別が、予め定められている1又は複数の攻撃の種別に一致する場合には、所定の条件が満たされると判定されてもよい。なお、所定の条件は攻撃の種別に限られる必要はない。
以上で第一検知装置120についての説明を終える。なお、第二検知装置220は、第一検知装置120と同様の構成を有する。ただし、第二検知装置220が防御対象とするネットワークは、第一ネットワーク100ではなく第二ネットワーク200である。
図5は、緩和システム500のシステム構成を示す概略ブロック図である。緩和システム500は、制御装置501及び緩和装置502を備える。
制御装置501は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。制御装置501は、バスで接続されたプロセッサやメモリや補助記憶装置などを備える。制御装置501は、緩和制御プログラムを実行することによって、通信部51及び制御部52を備える装置として機能する。なお、制御装置501の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。緩和制御プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。緩和制御プログラムは、電気通信回線を介して送信されても良い。
通信部51は、通信インタフェース等の通信装置を用いて構成される。通信部51は、有線通信を行ってもよいし、無線通信を行ってもよい。通信部51は、第一中継装置110等の通信装置と、緩和装置502と、通信する。通信部51は、例えば防御要求を受信する。通信部51は、例えば防御処理の実行の指示を緩和装置502に送信する。
制御部52は、検知装置(例えば第一検知装置120又は第二検知装置220)から受信される防御要求に基づいて、緩和装置502に対して防御処理の実行を指示する。制御部52は、防御要求の特定データが有効ではない場合や防御要求に特定データが含まれない場合には通常処理を実行する。一方、防御要求の特定データが有効である場合には、制御部52は即時処理を実行する。
緩和装置502は、攻撃の通信に対する防御処理(攻撃を止める処理)を実行する装置である。緩和装置502は、制御装置501から防御処理の実行の指示を受けると、攻撃の通信を自装置で受信するための経路制御を実行する。このような経路制御は、例えばBGP(Border Gateway Protocol)を用いて行われてもよい。緩和装置502は、例えば自装置で受信する対象となる通信を示す情報(以下「通信識別情報」という。)と、対象となる通信の中継先となる自装置の宛先情報と、を主ネットワーク400内の中継装置に通知することによって経路制御を行ってもよい。このような経路制御は、攻撃の通信の流入元となっている中継装置(本実施形態では第三中継装置310)に対して行われてもよい。
緩和装置502は、上述した経路制御の後に攻撃の通信のパケットを受信すると、防御処理を実行する。緩和装置502は、例えば攻撃の通信のパケットを廃棄することによって防御処理を実行する。緩和装置502が行う防御処理には複数の方式がある。緩和装置502には、どのような防御処理が実装されてもよい。緩和装置502には、複数種類の防御処理が実装されてもよい。
図6は、通信システムにおける処理の流れを示すシーケンスチャートである。図6の例では、第三ネットワーク300に接続されている第一通信装置320から第一ネットワーク100に接続された通信装置に対して攻撃が行われていることが想定されている。
第一中継装置110は、所定のタイミングが到来すると、防御対象である第一ネットワーク100に対して中継される通信の情報(通信情報)を第一検知装置120に送信する(ステップS101)。所定のタイミングは、一定の周期で到来するタイミング(例えば1秒毎、1分毎、5分毎など)であってもよいし、通信に関する所定の条件が満たされたタイミング(例えば、第一ネットワーク100へ中継された通信の量が閾値を超えたタイミング)であってもよいし、他のタイミングであってもよい。
第一検知装置120の判定部122は、通信情報を受信する。第一検知装置120は、受信された通信情報に基づいて攻撃が行われているか否か判定する(ステップS102)。攻撃が行われていないと判定した場合(ステップS102−NO)、判定部122は次の通信情報が受信されるまで待機する(ステップS103)。判定部122は、次の通信情報が受信されると、受信された通信情報についてステップS102の処理を実行する。
一方、攻撃が行われていると判定した場合(ステップS102−YES)、判定部122は判定結果を通知部123に通知する。通知部123は、攻撃が行われているとの判定結果の通知を受けた場合、所定の条件に応じた特定データを含む防御要求を緩和システム500に送信する(ステップS104)。
緩和システム500の制御装置501は、第一検知装置120から防御要求を受信する。制御装置501は、受信された防御要求の特定データが有効であるか否か判定する(ステップS105)。特定データが有効ではない場合(ステップS105−NO)、制御装置501は通常処理を実行する(ステップS106)。一方、特定データが有効である場合(ステップS105−YES)、制御装置501は即時処理を実行する(ステップS107)。すなわち、この場合には、特定データが含まれていない場合に比べてより早いタイミングで防御処理が実行される。防御処理の実行の指示を受けた緩和装置502は、防御処理を実行する。例えば、緩和装置502は、自装置に対して攻撃の通信を中継するように、主ネットワーク400内の中継装置に対して経路変更指示を送信する(ステップS108)。図6の例では、緩和装置502は、第一通信装置320から第一ネットワーク100に対して送信される通信を自装置に中継するように第三中継装置310に経路変更を指示する。経路変更指示を受信した第三中継装置310は、第一通信装置320から第一ネットワーク100宛に送信された通信を緩和装置502に中継するように経路制御を実行する(ステップS109)。経路制御の実行は、例えば上述したようにBGPを用いて実現されてもよい。経路制御が実行された後、第一通信装置320から第一ネットワーク100宛に送信される通信(攻撃の通信)は緩和装置502に中継される。
このように構成された本実施形態の通信システムでは、ネットワークを介した通信装置に対する攻撃への防御処理について、その実行までに要する時間を短縮することが可能となる。以下、このような本実施形態の効果について詳細に説明する。
現在主流となっているDDoS攻撃は、30分程度の短時間で攻撃が成立してしまうことが多い。このような短時間で攻撃を成立させ、攻撃の解除を脅しとして用いることによって金銭を要求するような行為も行われている。そのため、攻撃が発生してから極めて短い時間(例えば10分程度)で防御処理を適切に開始することが要求されている。
このような要求に対し、本実施形態の通信システムでは、防御要求に特定データの値を定義している。防御要求の特定データが有効である場合には即時処理が行われる。例えば、特定データが有効であることに応じて、防御対象のネットワークにおいて判定処理や解析処理や確認処理を実行することなく防御処理が開始される。そのため、攻撃が検知されてから防御処理が実行されるまでに要する時間を短縮することが可能となる。
また、本実施形態では、防御対象のネットワークにおいてたとえ複数のDDoS対策事業者のサービスを利用している場合であっても、同様に防御処理の実行までの時間を短縮することが可能となる。また、防御処理を実行する主体において、防御要求を信頼するか否かについてのビジネス上の関係もスムーズに構築することが可能となる。
また、防御要求の要求を受けるシステムにおいて、特定データに応じた即時処理に対応していない場合であっても、特定データ以外の仕様が標準化に応じた仕様であれば、従来通りの処理を実行できる。そのため、特定データに対応していないシステムとの相互接続性を維持することが可能となる。
[変形例]
制御装置501は、自装置が設けられた緩和システム500では防御処理の実行ができない場合には、他の緩和システムに対して防御処理の実行を要求してもよい。このような場合であって、且つ、受信された防御要求に特定データが含まれる場合、制御装置501は他の緩和システムに対して特定データを含む防御要求を送信してもよい。
緩和システム500は、複数の緩和装置502を備えてもよい。各緩和装置502には、それぞれ異なる防御処理が実装されてもよい。この場合、制御装置501は、防御対象のネットワークにおいて行われている攻撃の種別に応じて適した緩和装置502を選択してもよい。制御装置501は、選択された緩和装置502に対して防御処理の実行を指示する。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
100…第一ネットワーク, 110…第一中継装置, 120…第一検知装置, 121…通信部, 122…判定部, 123…通知部, 200…第二ネットワーク, 210…第二中継装置, 220…第二検知装置, 300…第三ネットワーク, 310…第三中継装置, 320…第一通信装置, 400…主ネットワーク, 500…緩和システム, 501…制御装置, 51…通信部, 52…制御部, 502…緩和装置

Claims (6)

  1. ネットワークへの外部からの攻撃に対して防御処理を実行する緩和装置に対し、外部からの攻撃に対する防御処理の実行の要求を示す防御要求の受信に応じて防御処理の実行を指示する制御部を備え、
    前記制御部は、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが含まれない場合に実行される処理の一部又は全部を実行することなく前記防御処理の実行を指示することによって、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示し、
    前記特定データは、前記緩和装置による前記防御処理を提供する第一主体と、前記防御処理の提供を受ける第二主体との間で予め規定されたデータであり、前記第二主体が受ける外部からの攻撃の種別が予め定められている1又は複数の攻撃の種別であることを示す、制御装置。
  2. 前記制御部は、前記特定データが有効である場合には、防御処理の実行対象となるネットワークにおいて実際に攻撃が行われているか否かを判定する処理である判定処理を実行することなく、前記防御処理の実行を指示する、請求項1に記載の制御装置。
  3. ネットワークへの外部からの攻撃を検知し、前記ネットワークへの防御処理の実行の要求を示す防御要求を送信する検知装置と、
    ネットワークへの外部からの攻撃に対して防御処理を実行する緩和装置と、
    前記緩和装置を制御する制御装置と、を備える通信システムであって、
    前記制御装置は、前記緩和装置に対し、前記防御要求の受信に応じて防御処理の実行を指示する制御部を備え、
    前記制御部は、受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが含まれない場合に実行される処理の一部又は全部を実行することなく前記防御処理の実行を指示することによって、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示し、
    前記特定データは、前記緩和装置による前記防御処理を提供する第一主体と、前記検知装置を介して前記防御処理の提供を受ける第二主体との間で予め規定されたデータであり、前記第二主体が受ける外部からの攻撃の種別が予め定められている1又は複数の攻撃の種別であることを示す、通信システム。
  4. 前記検知装置は、検知された攻撃に関する所定の条件に応じて、前記防御要求の前記特定データを有効にさせる、請求項3に記載の通信システム。
  5. ネットワークへの外部からの攻撃に対して防御処理を実行する緩和装置に対し、外部からの攻撃に対する防御処理の実行の要求を示す防御要求の受信に応じて防御処理の実行を指示する制御装置が、
    受信された防御要求に含まれる所定の特定データが有効である場合には、前記特定データが有効でない又は前記特定データが含まれない場合に実行される処理の一部又は全部を実行することなく前記防御処理の実行を指示することによって、前記特定データが有効でない又は前記特定データが前記防御要求に含まれない場合に比べて、前記防御要求が受信されてからより早いタイミングで前記防御処理の実行を指示し、
    前記特定データは、前記緩和装置による前記防御処理を提供する第一主体と、前記防御処理の提供を受ける第二主体との間で予め規定されたデータであり、前記第二主体が受ける外部からの攻撃の種別が予め定められている1又は複数の攻撃の種別であることを示す、制御方法。
  6. 請求項1又は請求項2に記載の制御装置としてコンピュータを機能させるためのコンピュータプログラム。
JP2017158154A 2017-08-18 2017-08-18 制御装置、通信システム、制御方法及びコンピュータプログラム Active JP6766017B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2017158154A JP6766017B2 (ja) 2017-08-18 2017-08-18 制御装置、通信システム、制御方法及びコンピュータプログラム
PCT/JP2018/030580 WO2019035488A1 (ja) 2017-08-18 2018-08-17 制御装置、通信システム、制御方法及びコンピュータプログラム
US16/638,793 US11489865B2 (en) 2017-08-18 2018-08-17 Control device, communication system, control method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017158154A JP6766017B2 (ja) 2017-08-18 2017-08-18 制御装置、通信システム、制御方法及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2019036892A JP2019036892A (ja) 2019-03-07
JP6766017B2 true JP6766017B2 (ja) 2020-10-07

Family

ID=65362471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017158154A Active JP6766017B2 (ja) 2017-08-18 2017-08-18 制御装置、通信システム、制御方法及びコンピュータプログラム

Country Status (3)

Country Link
US (1) US11489865B2 (ja)
JP (1) JP6766017B2 (ja)
WO (1) WO2019035488A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6840690B2 (ja) * 2018-02-13 2021-03-10 日本電信電話株式会社 DDoS対処装置、DDoS対処方法、及びプログラム
US11601444B1 (en) * 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006067078A (ja) 2004-08-25 2006-03-09 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステムおよび攻撃防御方法
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US8990938B2 (en) * 2011-08-29 2015-03-24 Arbor Networks, Inc. Analyzing response traffic to detect a malicious source
US20180091547A1 (en) * 2016-09-26 2018-03-29 Arbor Networks, Inc. Ddos mitigation black/white listing based on target feedback

Also Published As

Publication number Publication date
JP2019036892A (ja) 2019-03-07
WO2019035488A1 (ja) 2019-02-21
US11489865B2 (en) 2022-11-01
US20210136103A1 (en) 2021-05-06

Similar Documents

Publication Publication Date Title
US8590035B2 (en) Network firewall host application identification and authentication
US10084813B2 (en) Intrusion prevention and remedy system
US11595385B2 (en) Secure controlled access to protected resources
US11316861B2 (en) Automatic device selection for private network security
MX2010009441A (es) Deteccion y notificacion de intrusion mejoradas.
US20060191006A1 (en) Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
JP2006243878A (ja) 不正アクセス検知システム
US20070143841A1 (en) Defense device, defense method, defense program, and network-attack defense system
EP1804446B1 (en) Denial-of-service attack protecting system, method, and program
JP6766017B2 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム
US20140323095A1 (en) Method and device for monitoring a mobile radio interface on mobile terminals
JP5181134B2 (ja) パケット通信装置、パケット通信方法及びパケット通信プログラム
US20180115563A1 (en) Mitigation of Malicious Software in a Mobile Communications Network
JP4694578B2 (ja) コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
US11159533B2 (en) Relay apparatus
EP3413229B1 (en) Control device, mitigation system, control method, and computer program
KR101977612B1 (ko) 네트워크관리장치 및 방법
JP5420465B2 (ja) 通信監視装置、方法およびプログラム
KR20110010050A (ko) 플로우별 동적인 접근제어 시스템 및 방법
RU2695983C1 (ru) Способ фильтрации защищенных сетевых соединений в цифровой сети передачи данных
WO2001071496A1 (en) System for data transfer in a secured network environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180903

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20180903

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20180907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181218

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190318

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20190325

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20190405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200916

R150 Certificate of patent or registration of utility model

Ref document number: 6766017

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250