JP6939726B2 - 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 - Google Patents
攻撃対処箇所選択装置及び攻撃対処箇所選択方法 Download PDFInfo
- Publication number
- JP6939726B2 JP6939726B2 JP2018134262A JP2018134262A JP6939726B2 JP 6939726 B2 JP6939726 B2 JP 6939726B2 JP 2018134262 A JP2018134262 A JP 2018134262A JP 2018134262 A JP2018134262 A JP 2018134262A JP 6939726 B2 JP6939726 B2 JP 6939726B2
- Authority
- JP
- Japan
- Prior art keywords
- traffic
- attack
- router
- defense
- route
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
本発明は、攻撃対処箇所選択装置及び攻撃対処箇所選択方法に関する。
ネットワーク内のサーバ又は当該ネットワークに接続されるユーザ等に対する攻撃トラフィックの流入を検知した場合、早急に対処を行いつつサービスを継続する必要がある。サービスを継続しながら攻撃対処を行う方法としては、ミティゲーション装置などの防御装置に攻撃トラフィックを引き込んで対処する方法が一般的である。
インターネット<URL:http://www.sflow.org/developers/specifications.php>
インターネット<URL:https://www.ietf.org/rfc/rfc3954.txt>
攻撃トラフィックを防御装置へ引き込むにあたり、攻撃トラフィックの引き込み点(ルータ等)が適当に決められてしまうと、適切な対処が困難になる可能性が有る。
例えば、大量のトラフィックが通過する箇所が引き込み点とされてしまうと、防御装置の対処リソースの上限を超えるトラフィックが防御装置に流入する可能性が有る。その場合、防御装置によっては、機能停止等の異常が発生する可能性が有る。
また、対処リソースの上限以下の攻撃トラフィックが防御装置へ流入する場合であっても、大量の攻撃トラフィックが防御装置へ流入する場合には、攻撃トラフィックの引き込みの伝送コストと、対処済みのトラフィックを元の経路に戻すための伝送コストとが、運用上、無視できないほど大きくなる可能性も有る。
したがって、攻撃トラフィックを防御装置に引き込む際には、防御装置の対処リソース量と、引き込み/戻しにおける伝送コストとを考慮して引き込み点を選択する必要がある。
本発明は、上記の点に鑑みてなされたものであって、攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することを目的とする。
そこで上記課題を解決するため、攻撃対処箇所選択装置は、攻撃トラフィックの経路に係る複数の第1の転送装置のそれぞれのトラフィック量を取得する取得部と、前記各第1の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第1の転送装置から抽出される各第2の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第3の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択部と、を有する。
攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することができる。
以下、図面に基づいて本発明の実施の形態を説明する。図1は、本発明の実施の形態におけるネットワーク構成例を示す図である。図1において、ネットワークN1は、ルータR1〜R8等の複数のルータ(転送装置)を含む。このうち、ルータR1、ルータR2及びルータR3は、ゲートウェイルータ(GWR)である。本実施の形態において、3つのGWR(ルータR1、R2及びR3)が、サイバー攻撃(例えば、DDoS(Distributed Denial of Service)攻撃)の攻撃元Xからの攻撃トラフィックに係るIPパケット(以下、「攻撃パケット」という。)を、ネットワークN1において最初に受信する。
また、ルータR8は、装置Yに対するエッジルータである。装置Yは、本実施の形態においてサイバー攻撃の対象となるコンピュータ等である。したがって、本実施の形態において、攻撃パケット(攻撃通信)の送信元は、攻撃元Xであり、宛先は装置Yである。なお、各ルータを区別しない場合、「ルータR」という。また、攻撃元Xは、複数に分散されていてもよい。この場合、各GWRが受信する攻撃パケットの送信元は、異なっていてもよい。また、一つのGWRが複数の送信元から攻撃パケットを受信してもよい。
GWRであるルータR1、R2及びR3と、エッジルータであるルータR8とは、制御装置10と所定の回線(ネットワーク)を介して接続される。
制御装置10は、ネットワークN1に流入する攻撃パケットに対する対処を制御する1以上のコンピュータ(情報処理装置)である。すなわち、制御装置10は、1つのコンピュータであってもよいし、分散された複数のコンピュータによって構成されてもよい。本実施の形態において、制御装置10は、ルータR群の中から、防御装置60へ攻撃パケットを引き込む箇所(以下、「引き込み点」という。)とするルータRを特定する。
図1において、制御装置10は、セキュリティ装置30、フローコレクタ40、経路制御装置50及び防御装置60とネットワークを介して接続される。
セキュリティ装置30は、サイバー攻撃の発生を検知し、攻撃パケットの条件を示す情報を制御装置10へ通知する装置である。但し、装置Yが、セキュリティ装置30の機能を兼ねてもよい。
フローコレクタ40は、各ルータRと接続されており、各ルータRが転送するパケットが持つ情報(パケット転送に関わる情報のみで、データ部の情報については対象外)を収集し、収集した情報の統計情報(フロー情報)を生成する。
経路制御装置50は、各ルータRと接続されており、制御装置10によって引き込み点として選択されたルータRに対し、パケットの転送経路の変更等を指示する装置である。
防御装置60は、引き込み点としてのルータRからトラフィックを引き込み、攻撃トラフィックについては対処を行い、正常トラフィックは疎通させる装置である。防御装置60は、各ルータRと直接的又は間接的に接続されているが、平常時には、いずれのルータRからもトラフィック(パケット)は流入していない。
なお、フローコレクタ40、経路制御装置50及び防御装置60と、各ルータRとの接続関係の図示は、便宜上、省略されている。
図2は、本発明の実施の形態における制御装置10のハードウェア構成例を示す図である。図2の制御装置10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。
制御装置10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って制御装置10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。
図3は、本発明の実施の形態における制御装置10の機能構成例を示す図である。図3において、制御装置10は、攻撃経路状況確認部11及び対処箇所選択部12を有する。これら各部は、制御装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。制御装置10は、また、攻撃経路記憶部111を利用する。攻撃経路記憶部111は、例えば、補助記憶装置102、又は制御装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
攻撃経路記憶部111には、攻撃パケットに関する条件を示す情報(例えば、5tuple情報)等を含む攻撃情報に対応付けて、当該攻撃パケットに関してネットワークN1において特定された経路(以下「攻撃経路」という。)を示す経路情報が記憶されている。経路情報は、例えば、攻撃経路における各ルータRの識別情報(例えば、IPアドレス)が、攻撃パケットが通過する順番に並べられた配列である。但し、経路情報の形式は、所定のものに限定されない。また、複数の攻撃経路に関する経路情報が攻撃経路記憶部111に記憶されていてもよい。なお、攻撃パケットの経路情報(以下「攻撃経路情報」という。)の特定方法は、所定のものに限定されない。また、攻撃経路を特定可能な情報であれば、攻撃経路情報の構造も所定のものに限定されない。
攻撃経路状況確認部11は、攻撃情報に対応付けられて攻撃経路記憶部111に記憶されている攻撃経路情報が示す攻撃経路に係る(攻撃経路上の)各ルータRの状況(トラフィック量等)を確認する。
対処箇所選択部12は、防御装置60のリソース量や、攻撃経路状況確認部11による確認結果等に基づいて、ルータR1〜R8の中から引き込み点(攻撃の対処箇所)とするルータRを選択(特定)する。
以下、制御装置10が実行する処理手順について説明する。本実施の形態では、防御装置60の対処リソース(攻撃パケットの対処用のリソース)の上限以上の引き込みトラフィック量が許容されない場合(上限を超えるトラフィックの流入により防御装置60の挙動に影響がある場合)と、そうでない場合(上限を超えた分の攻撃パケットは対処されずに防御装置60から戻される場合)とに分けて制御装置10の処理手順を説明する。すなわち、対処リソースの上限以上のトラフィックが流入した場合の挙動は、防御装置60の仕様によって異なる。また、防御装置60の対処リソースの上限以上のトラフィック量の引き込みが許容されるか否かに応じて、最適な引き込み点が異なる可能性が有る。そこで、本実施の形態では、制御装置10の処理手順について、防御装置60の対処リソースの上限以上のトラフィック量の引き込みが許容されない場合と、そうでない場合とで区別される。
図4は、防御装置60の対処リソースの上限以上のトラフィック量の引き込みが許容されない場合に制御装置10が実行する処理手順の一例を説明するためのフローチャートである。
ステップS101において、攻撃経路状況確認部11は、防御装置60の対処リソースの上限値(以下、「防御上限値」という。)を取得する。当該防御上限値は、防御装置60から取得されてもよいし、予め補助記憶装置102等に記憶されていてもよい。続いて、攻撃経路状況確認部11は、攻撃経路記憶部111から攻撃経路情報を取得する(S102)。続いて、攻撃経路状況確認部11は、当該攻撃経路情報が示す攻撃経路に係る各ルータRのトラフィック量を、例えば、フローコレクタ40から取得する(S103)。
図5は、攻撃経路及び各ルータRのトラフィック量の一例を示す図である。図5において、各ルータRの接続関係は、攻撃経路を示す。また、各ルータR内には、当該ルータのトラフィック量が示されている。すなわち、図5では、ルータR1、R2、R3、R4、R5、R6、R7、R8の順に、トラフィック量が、20Gbps、40Gbps、30Gbps、20Gbps、40Gbps、30Gbps、60Gbps、90Gbpsである例が示されている。ステップS103の時点において、攻撃経路状況確認部11は、図5に示されるような情報を得ることができる。
続いて、対処箇所選択部12は、トラフィック量が防御上限値未満であるルータRを抽出する(S104)。ここで、防御上限値は、50Gbpsであるとする。したがって、図5の例では、ルータR7及びR8以外が抽出される。続いて、対処箇所選択部12は、抽出された各ルータRに対してトラフィック量の降順に優先順位を付与する(S105)。この際、トラフィック量が同じルータR間においては、攻撃経路において、攻撃対象(装置Y)に近い方が優先順位が高く(前に)される。攻撃対象に近いルータRの方が、トラフィックが集約されている可能性が高く、攻撃パケットの引き込みを効果的に行える可能性が高いと考えられるからである。したがって、図5の例において、当該優先順位は、「R5、R2、R6、R3、R4、R1」となる。
続いて、対処箇所選択部12は、当該優先順位において、攻撃経路上における前段(攻撃元Xに近い)のルータRへの経路が1つだけであるルータRを当該前段のルータRへ集約して、優先順位を付与しなおす(S106)。すなわち、該当ルータRが、当該優先順位から除去される。なお、斯かる集約(除去)は、再帰的に行われる。図5の例では、ルータR4及びR5が除去される。その結果、優先順位は、「R2、R6、R3、R1」となる。以下、当該優先順位を「最終優先順位」という。すなわち、一つの経路上の複数のルータRは、引き込み点としての有効性においては等価あると考えられる。したがって、これら複数のルータRは、最前段のルータRに集約される。なお、集約先を最前段のルータRとするのは、できるだけ攻撃経路の上流において攻撃パケットに対する対処を行うことで、ネットワークN1における攻撃パケットの流通量を低下させるためである。
続いて、対処箇所選択部12は、最終優先順位において最上位のルータR(図5では、ルータR2)を引き込み点のルータRとして選択し、選択したルータRの識別情報を経路制御装置50へ通知する(S107)。経路制御装置50は、通知された識別情報に係るルータRに対して、当該ルータRにおける全トラフィックが防御装置60に流入されるように経路変更を指示する。但し、当該ルータRが、経路変更するトラフィックについて条件を設定可能であれば、攻撃情報に係るトラフィックが経路変更の対象とされるように指示が行われてもよい。
その後、引き込み点からトラフィックが防御装置60へ引き込まれている状態において、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部11は、防御装置60での攻撃パケットに対する対処結果を取得する(S108)。対処結果とは、例えば、引き込まれたトラフィックのうち攻撃パケットとして実際に対処した量(Gbps)や、防御装置60において実際の対処に使用されたリソース量(Gbps)等を示す情報である。なお、引き込まれたトラフィックについて、攻撃パケットであるか否かの判断は、防御装置60に関する既存技術によって行われる。
続いて、対処箇所選択部12は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量と、最終優先順位において、現在の引き込み点のルータRの次の順位のルータR(図5ではルータR6)の現時点のトラフィック量とを比較する(S109)。例えば、対処結果が、引き込まれたトラフィックのうち攻撃パケットとして実際に対処した量(Gbps)を示す場合には当該量が当該実対処トラフィック量として特定さればよい。一方、対処結果が、防御装置60において実際の対処に使用されたリソース量(Gbps)を示す場合、当該リソース量が当該実対処トラフィック量として特定されてもよい。なお、次の順位のルータRの現時点のトラフィック量は、フローコレクタ40から取得されればよい。
攻撃パケットに対する実対処トラフィック量が、当該次の順位のルータRのトラフィック量以下であれば(S109でYes)、対処箇所選択部12は、当該次の順位のルータRを新たな引き込み点として選択し、選択したルータRの識別情報を経路制御装置50へ通知する(S110)。当該通知に応じて経路制御装置50が実行する処理は、ステップS107において説明した通りである。但し、経路制御装置50は、元の引き込み点に係るルータRに対して、防御装置60へのトラフィックの流入の停止を指示する。すなわち、本実施の形態において、引き込み点は、1箇所に集約される。そうすることで、トラフィックの引き込みにかかる伝送コストが低減される。
なお、防御装置60に引き込まれるトラフィックには正常なトラフィックも含まれているため、防御装置60に引き込まれるトラフィックのうち攻撃パケットの量が少なく、対処効果が低い可能性もある。そこで、ステップS110では、より効果的に対処が可能であると想定される別の引き込み点の再選択が行われる。なお、ステップS110において、次の順位のルータRが無い場合、すなわち、最終優先順位において最後のルータRが引き込み点であった場合、引き込み点の変更は行われなくてもよい。又は、一定の繰り返し回数若しくは一定時間の経過等の条件の充足に応じて、又は運用者による操作指示等に応じ、ステップS103以降が繰り返されてもよい。
一方、攻撃パケットに対する実対処トラフィック量が、次の順位のルータRのトラフィック量を超える場合は(S109でNo)、引き込み点の変更は行われない。
ステップS109でNoの場合、又はステップS110に続いて、ステップS108以降が繰り返される。
図6は、防御装置60の対処リソースの上限以上のトラフィック量の引き込みが許容される場合に制御装置10が実行する処理手順の一例を説明するためのフローチャートである。
ステップS201〜S203は、図4のステップS101〜S103と同じである。ステップS204において、対処箇所選択部12は、攻撃経路に係る各ルータRのトラフィック量から防御上限値(50Gbps)を減算する。
図7は、攻撃経路に係る各ルータのトラフィック量からの防御装置60のリソースの上限値の減算結果の一例を示す図である。図7には、各ルータR内にトラフィック量と減算結果とが示されている(減算結果は、括弧で囲まれている。)。なお、正の減算結果は、防御装置60によって対処されずに戻されるトラフィック量を示す。負の減算結果は、防御装置60の対処リソースの余剰量を示す。
続いて、対処箇所選択部12は、減算結果が0以上である(すなわち、トラフィック量が、防御上限値以上である)ルータRを抽出する(S205)。図7の例では、ルータR7及びR8が抽出される。続いて、対処箇所選択部12は、抽出された各ルータRに対して、減算結果の昇順(すなわち、トラフィック量の昇順)に優先順位を付与する(S206)。図7の例において、当該優先順位は、「R7、R8」となる。
なお、減算結果が0以上であるルータRが無い場合には、ステップS204に続いて、ステップS205以降の代わりに、図4のステップS104以降が実行されればよい。
ステップS206に続いて、対処箇所選択部12は、当該優先順位について、図4のステップS106と同様の集約を行う(S207)。すなわち、前段(攻撃元Xに近い)のルータRへの経路が1つだけであるルータRが当該優先順位から除去される。以下、該当するルータRが除去された優先順位を「最終優先順位」という。図7の例では、該当するルータRは無いため、最終優先順位は、「R7、R8」のままである。
続いて、対処箇所選択部12は、最終優先順位において最上位のルータR(図7では、ルータR7)を引き込み点のルータRとして選択し、選択したルータRの識別情報を経路制御装置50へ通知する(S208)。当該通知に応じて経路制御装置50が実行する処理は、ステップS107において説明した通りである。
その後、引き込み点からトラフィックが防御装置60へ引き込まれている状態において、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部11は、防御装置60での対処結果を取得する(S209)。続いて、対処箇所選択部12は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量に基づいて、伝送コストに対する対処量比aを算出する(S210)。伝送コストに対する対処量比aの算出方法は、以下の通りである。
伝送コストに対する対処量比a=防御装置60での実対処トラフィック量/実伝送コストb
実伝送コストb=引き込みトラフィック量+戻りのトラフィック量c
戻りのトラフィック量c=引き込みトラフィック量−防御装置60での実対処トラフィック量
なお、引き込みトラフィック量とは、引き込み点から防御装置60へ引き込まれるトラフィック量をいう。
伝送コストに対する対処量比a=防御装置60での実対処トラフィック量/実伝送コストb
実伝送コストb=引き込みトラフィック量+戻りのトラフィック量c
戻りのトラフィック量c=引き込みトラフィック量−防御装置60での実対処トラフィック量
なお、引き込みトラフィック量とは、引き込み点から防御装置60へ引き込まれるトラフィック量をいう。
続いて、対処箇所選択部12は、最終優先順位において、現在の引き込み点のルータRの次の順位のルータR(図7では、ルータR8、以下「次順位ルータR」という。)について想定される最大伝送コストに対する対処量比dを算出する(S211)。当該対処量比dの算出方法は、以下の通りである。
想定される最大伝送コストに対する対処量比d=防御装置60の上限対処リソース量/次順位ルータRに関する想定伝送コストe
想定伝送コストe=想定引き込みトラフィック量+(想定引き込みトラフィック量−防御装置60の上限対処リソース量)
想定される最大伝送コストに対する対処量比d=防御装置60の上限対処リソース量/次順位ルータRに関する想定伝送コストe
想定伝送コストe=想定引き込みトラフィック量+(想定引き込みトラフィック量−防御装置60の上限対処リソース量)
ここで、次順位のルータRについては、現時点においては引き込みトラフィック量の実測値が不明であるため、引き込みトラヒック量の想定値(推定値)が、次順位のルータRに係る伝送コストの計算に用いられる。当該想定値(想定引き込みトラフィック量)には、次順位ルータRの現時点のトラフィック量が当てはめられる。また、次順位ルータRを引き込み点とした場合の防御装置60での実対処トラフィック量も現時点では不明である。したがって、防御装置60の上限対処リソース量が、実対処トラフィック量の想定値(推定値)として伝送コストの計算に用いられる。このように、当該伝送コストは、想定値(推定値)に基づくものであるため、「想定伝送コストe」と表記される。また、想定伝送コストeを用いて計算される対処量比dも、想定値(推定値)である。
なお、ステップS211において、次順位のルータRが無い場合、すなわち、最終優先順位において最後のルータRが引き込み点であった場合、ステップS209に戻ってもよい。又は、一定の繰り返し回数若しくは一定時間の経過等の条件の充足に応じて、又は運用者による操作指示等に応じ、ステップS203以降が繰り返されてもよい。
続いて、対処箇所選択部12は、伝送コストに対する対処量比aと、想定される最大伝送コストに対する対処量比dとを比較する(S212)。a<dの場合(S212でYes)、より多くの攻撃パケットに対する対処が可能であると推測されるため、対処箇所選択部12は、次順位ルータRを新たな引き込み点として選択し、選択したルータRの識別情報を経路制御装置50へ通知する(S213)。当該通知に応じて経路制御装置50が実行する処理は、図4のステップS110において説明した通りである。一方、a≧dの場合(S212でNo)、引き込み点の変更は行われずに、ステップS209へ戻る。
ステップS213に続いて、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部11は、防御装置60での対処結果を取得する(S214)。続いて、対処箇所選択部12は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量x(すなわち、現在の引き込み点での実対処トラフィック量)を、優先順位が1つ前のルータRが引き込み点であった際の直近の(最後に取得された)実対処トラフィック量yと比較する(S215)。
実対処トラフィック量xが実対処トラフィック量y以下である場合(S215でYes)、対処箇所選択部12は、優先順位が1つ前のルータRを新たな引き込み点として選択し、選択したルータRの識別情報を経路制御装置50へ通知する(S216)。当該通知に応じて経路制御装置50が実行する処理は、図4のステップS110において説明した通りである。一方、実対処トラフィック量yが実対処トラフィック量x未満である場合(S215でNo)、引き込み点の変更は行われない。
ステップS215でNoの場合、又はステップS216に続いて、ステップS209以降が繰り返される。
続いて、攻撃経路の特定方法の一例について説明する。図8は、攻撃経路の特定に関する制御装置10及びルータRの機能構成例を示す図である。図8中、図3と同一部分には同一符号を付し、その説明は省略する。
図8において、制御装置10は、攻撃情報受信部13、制御部14、経路情報受信部15及び経路特定部16等を有する。これら各部は、制御装置10にインストールされた1以上のプログラムが、CPU104に実行させる処理により実現される。制御装置10は、更に、攻撃情報記憶部112及び経路情報記憶部113等を利用する。これら各記憶部は、例えば、補助記憶装置102、又は制御装置10にネットワークを介して接続可能な記憶装置等を用いて実現可能である。
一方、ルータRは、被制御部21、パケット受信部22、アドレス記録部23、経路情報送信部24及びパケット転送部25等を有する。これら各部は、ルータRにインストールされた1以上のプログラムが、ルータRのCPUに実行させる処理により実現される。但し、各部は、回路によって実現されてもよい。ルータRは、また、制御情報記憶部26を利用する。制御情報記憶部26は、例えば、ルータRが有するメモリ等を用いて実現可能である。なお、本実施の形態において、被制御部21及び制御情報記憶部26は、GWRであるルータR1、R2及びR3以外は有していなくてもよい。また、経路情報送信部24は、エッジルータであるルータR8以外は有していなくてもよい。
図9は、攻撃検知時に実行される処理手順の一例を説明するためのシーケンス図である。
セキュリティ装置30は、攻撃元Xから装置Yへのサイバー攻撃等を検知すると、攻撃パケットに関する条件を示す情報(例えば、5tuple情報)等を含む攻撃情報を、制御装置10へ送信する(S301)。Syslog等が攻撃情報として利用されてもよい。すなわち、セキュリティ装置30が把握可能な情報の全てが攻撃情報に含まれてもよい。なお、5tuple情報は、送信元IPアドレス(SrcIP_X)、宛先IPアドレス(DstIP_Y)、送信元ポート番号、宛先ポート番号、プロトコルである。
制御装置10の攻撃情報受信部13は、当該攻撃情報を受信すると、当該攻撃情報を含むレコード(攻撃A,5tuple情報等)を攻撃情報記憶部112へ記憶する(S302)。したがって、攻撃情報記憶部112には、このような攻撃情報の履歴が記憶される。なお、「攻撃A」は、攻撃の識別子であり、攻撃情報記憶部112に攻撃情報が記憶される際に付与される。
続いて、攻撃情報受信部13は、当該攻撃情報を制御部14に通知する(S303)。制御部14は、当該攻撃情報の通知に応じ、攻撃パケットに対して特別な処理を実行させるための制御情報をGWRであるルータR1、ルータR2及びルータR3へ送信する(S304)。当該制御情報には、制御対象のパケットの条件としての5tuple情報と、当該攻撃パケットのTOSフィールドの特定の部分に所定のフラグ情報を記録する(例えば、TOSフィールドの未使用の特定のビットに1を立てる)といった命令とが含まれる。なお、制御対象のパケットの条件は、5tuple情報に限られない。送信元IPアドレス及び宛先IPアドレスが当該条件とされてもよいし、宛先IPアドレスのみが当該条件とされてもよい。
当該制御命令を受信したルータR1の被制御部21は、当該制御情報をルータR1の制御情報記憶部26に記憶する(S305)。また、当該制御命令を受信したルータR2及びルータR3も同様の処理を実行する。
なお、制御情報は、ACL(Access Control List)等の既存のフィルタリングの仕組みを利用して実現されてもよい。
図10は、GWRにおける攻撃パケットの受信に応じて実行される処理手順の一例を説明するためのシーケンス図である。
ルータR1のパケット受信部22は、ネットワークN1の外部からパケットを受信すると(S401)、図9において制御情報記憶部26に記憶した制御情報に含まれている条件に当該パケットが合致するか否かを判定する(S402)。例えば、当該パケットの5tuple情報が、当該条件に合致するか否かが判定される。
当該パケットが当該条件に合致しない場合、以降においては、図10の処理手順ではなく、一般的な転送処理が実行される。
当該パケットが当該条件に合致する場合(すなわち、当該パケットが攻撃パケットである場合)、パケット受信部22は、当該制御情報に従って、当該パケットのIPヘッダに所定のフラグ情報を記録する(S403)。例えば、当該パケットのTOSフィールドの未使用の特定のビットに1を立てることで所定のフラグ情報の記録が実現されてもよい。但し、所定のフラグ情報の設定先は、ToSフィールドには限定されない。例えば、IPv4の機構であるRRを用いる場合は、オプションフィールド内の規定された場所に所定のフラグが設定される。続いて、ルータR1のアドレス記録部23は、当該パケットに所定のフラグ情報が記録されているか否かを判定し、当該所定のフラグ情報が記録されていることに基づいて、当該パケットのIPヘッダのオプションフィールドに自装置(ルータR1)のIPアドレスを記録する(S404)。続いて、パケット転送部25は、当該パケットを通常の転送方法に従って転送する(S405)。
当該パケットの転送先のルータRのパケット受信部22が、当該パケットを受信すると、アドレス記録部23は、当該パケットのIPヘッダに所定のフラグ情報が記録されているか否かを確認する(S406)。当該ルータRのアドレス記録部23は、当該パケットに当該所定のフラグ情報が記録されていることに基づいて、当該パケットのIPヘッダのオプションフィールドに当該ルータRのIPアドレスを追加的に記録する(S407)。すなわち、既に記録されているIPアドレスの末尾に、当該ルータのIPアドレスが記録される。続いて、当該ルータRのパケット転送部25は、当該パケットを転送する(S408)。
ステップS406〜S408は、当該パケットの転送先の各ルータRにおいて同様に実行される。
当該パケットが、エッジルータであるルータR8のパケット受信部22によって受信されると、ルータR8において、ステップS406及びS407と同様の処理が実行される(S409、S410)。続いて、ルータR8の経路情報送信部24は、ルータR8がエッジルータであることに基づき、当該パケットの5tuple情報と、当該パケットのIPヘッダのオプションフィールドに記録されているIPアドレス列(IPアドレス群)とを含む経路情報を、制御装置10へ送信する(S411)。すなわち、当該パケットが装置Yに転送される直前において経路情報が制御装置10へ送信される。なお、経路情報は、Flow情報に含められて、sflow又はNetFlow等の公知の仕組みを利用して送信されてもよい。また、或るルータRが、エッジルータであるか否かの判定は、公知の技術に基づいて行われればよい。
続いて、制御装置10の経路情報受信部15は、受信した経路情報を経路情報記憶部113に記憶する(S412)。したがって、経路情報記憶部113には、図10の処理手順が実行されるたびに、追加的に経路情報が記憶される。
続いて、制御装置10の経路特定部16が実行する処理について説明する。図11は、経路特定部16が実行する処理手順の一例を説明するためのフローチャートである。図11の処理手順は、例えば、図10のステップS412に同期して(S412に続いて)実行されてもよいし、定期的等、ステップS412とは非同期に実行されてもよい。
ステップS501において経路特定部16は、攻撃情報記憶部112に記憶されている全ての攻撃情報を取得する。
続いて、経路特定部16は、経路情報記憶部113に記憶されている全ての経路情報を取得する(S502)。
続いて、経路特定部16は、攻撃情報の一覧と、経路情報の一覧とを突合して、各攻撃情報に対応する経路情報(攻撃経路情報)を特定する(S503)。例えば、攻撃情報ごとに、当該攻撃情報に含まれている5tuple情報に一致する5tuple情報を含む経路情報が検索される。検索された経路情報は、当該攻撃情報に関連付けられる。その結果、各DDos攻撃の攻撃パケットについて、ネットワークN1内の攻撃経路を把握することが可能となる。
なお、突合の粒度(条件)は、必ずしも5tupleでなくてもよい。例えば、送信元IPアドレス及び宛先IPアドレスのみの一致によって関連付けが行われてもよいし、宛先IPアドレスのみの一致によって関連付けが行われてもよい。例えば、攻撃が複数の経路を通ってある1つの宛先IPアドレスに到達している可能性がある場合に、宛先IPアドレスだけで突合することで当該攻撃の全ルートを把握することが可能だからである。
続いて、経路特定部16は、特定結果を攻撃経路記憶部111に記憶する(S504)。例えば、ステップS503において関連付けられた攻撃情報と経路情報とが、関連付けが維持された状態で攻撃経路記憶部111に記憶される。攻撃経路記憶部111に記憶された攻撃情報及び攻撃経路情報は、攻撃情報記憶部112又は経路情報記憶部113から削除されてもよい。
なお、各ルータRのIPアドレスの記録については、IPv4(RFC791)で規定されているレコードルート(RR)の仕組みを用いて各ルータRのIPアドレスがオプションフィールドに記録されるようにしてもよい。
上述したように、本実施の形態によれば、各ルータRのトラフィック量と、防御装置60が対処可能なトラフィック量(防御装置60のリソース量)とが考慮されて、各ルータRの中から引き込み点が選択される。その結果、例えば、防御装置60の対処リソースの使用率を上げると共に、防御装置60で対処できずに戻されるトラフィックが極力引き込まないようにすることで、伝送コストを削減することができ、攻撃トラフィック量をサービスの継続が可能な程度に減少させることができる。したがって、攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することができる。
また、対処状況のフィードバック結果に基づいて、引き込み点を変更することで、より効果的に対処を実行可能とすることができる。
なお、本実施の形態は、DDos攻撃に係る攻撃通信の経路を特定する例について説明したが、他の特定の通信に関する経路の特定に関して本実施の形態が適用されてもよい。
また、上記では、ルータが転送装置の一例である例について説明したが、スイッチ等、ルータ以外の転送装置に関して本実施の形態が適用されてもよい。
なお、本実施の形態において、制御装置10は、攻撃対処箇所選択装置の一例である。攻撃経路状況確認部11は、取得部の一例である。対処箇所選択部12は、選択部の一例である。
以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
10 制御装置
11 攻撃経路状況確認部
12 対処箇所選択部
13 攻撃情報受信部
14 制御部
15 経路情報受信部
16 経路特定部
21 被制御部
22 パケット受信部
23 アドレス記録部
24 経路情報送信部
25 パケット転送部
26 制御情報記憶部
30 セキュリティ装置
40 フローコレクタ
50 経路制御装置
60 防御装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
112 攻撃情報記憶部
113 経路情報記憶部
B バス
R1、R2、R3、R4、R5、R6、R7、R8 ルータ
X 攻撃元
Y 装置
11 攻撃経路状況確認部
12 対処箇所選択部
13 攻撃情報受信部
14 制御部
15 経路情報受信部
16 経路特定部
21 被制御部
22 パケット受信部
23 アドレス記録部
24 経路情報送信部
25 パケット転送部
26 制御情報記憶部
30 セキュリティ装置
40 フローコレクタ
50 経路制御装置
60 防御装置
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
112 攻撃情報記憶部
113 経路情報記憶部
B バス
R1、R2、R3、R4、R5、R6、R7、R8 ルータ
X 攻撃元
Y 装置
Claims (7)
- 攻撃トラフィックの経路に係る複数の第1の転送装置のそれぞれのトラフィック量を取得する取得部と、
前記各第1の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第1の転送装置から抽出される各第2の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第3の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択部と、
を有することを特徴とする攻撃対処箇所選択装置。 - 前記選択部は、前記第1の転送装置のうち、トラフィック量が前記防御装置が対処可能なトラフィック量の上限値未満である前記各第2の転送装置に対して、トラフィック量の降順に前記優先順位を付与する、
ことを特徴とする請求項1記載の攻撃対処箇所選択装置。 - 前記選択部は、前記第3の転送装置から前記防御装置へトラフィックが引き込まれている状態において、前記優先順位において前記第3の転送装置の次の第4の転送装置のトラフィック量と、前記防御装置による前記攻撃トラフィックに対する実際の対処量との比較に基づいて、前記第4の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項2記載の攻撃対処箇所選択装置。 - 前記選択部は、前記第1の転送装置のうち、トラフィック量が前記防御装置が対処可能なトラフィック量の上限値以上である前記各第2の転送装置に対して、トラフィック量の昇順に前記優先順位を付与する、
ことを特徴とする請求項1記載の攻撃対処箇所選択装置。 - 前記選択部は、前記第3の転送装置から前記防御装置へトラフィックが引き込まれている状態において、前記第3の転送装置と前記防御装置との間のトラフィック量に対する、前記防御装置による前記攻撃トラフィックに対する実際の対処量の比と、前記優先順位において前記第3の転送装置の次の第4の転送装置と前記防御装置との間のトラフィック量の推定値に対する、前記対処量の推定値の比との比較に基づいて、前記第4の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項4記載の攻撃対処箇所選択装置。 - 前記選択部は、前記第4の転送装置から前記防御装置へトラフィックが引き込まれている状態における前記防御装置による実際の前記対処量と、前記第3の転送装置から前記防御装置へトラフィックが引き込まれていた状態における前記防御装置による実際の前記対処量との比較に応じて、前記第3の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項5記載の攻撃対処箇所選択装置。 - 攻撃トラフィックの経路に係る複数の第1の転送装置のそれぞれのトラフィック量を取得する取得手順と、
前記各第1の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第1の転送装置から抽出される各第2の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第3の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択手順と、
をコンピュータが実行することを特徴とする攻撃対処箇所選択方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018134262A JP6939726B2 (ja) | 2018-07-17 | 2018-07-17 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
| US17/256,089 US11843615B2 (en) | 2018-07-17 | 2019-06-27 | Attack response point selecting apparatus and attack response point selecting method |
| PCT/JP2019/025609 WO2020017272A1 (ja) | 2018-07-17 | 2019-06-27 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018134262A JP6939726B2 (ja) | 2018-07-17 | 2018-07-17 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020014089A JP2020014089A (ja) | 2020-01-23 |
| JP6939726B2 true JP6939726B2 (ja) | 2021-09-22 |
Family
ID=69164016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018134262A Active JP6939726B2 (ja) | 2018-07-17 | 2018-07-17 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11843615B2 (ja) |
| JP (1) | JP6939726B2 (ja) |
| WO (1) | WO2020017272A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6939726B2 (ja) * | 2018-07-17 | 2021-09-22 | 日本電信電話株式会社 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
| JP7079721B2 (ja) * | 2018-12-05 | 2022-06-02 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
| JP7074739B2 (ja) * | 2019-10-21 | 2022-05-24 | 矢崎総業株式会社 | 脆弱性評価装置 |
| CN112968891B (zh) * | 2021-02-19 | 2022-07-08 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
Family Cites Families (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6779039B1 (en) * | 2000-03-31 | 2004-08-17 | Avaya Technology Corp. | System and method for routing message traffic using a cluster of routers sharing a single logical IP address distinct from unique IP addresses of the routers |
| AU2002304386A1 (en) * | 2001-06-27 | 2003-03-03 | Nokia Corporation | Method and system for efficient management and transport of traffic over a network |
| CA2418923C (en) * | 2002-02-21 | 2009-10-27 | Nippon Telegraph And Telephone Corporation | A node, an optical/electrical path integrated network using the node, and a program which controls the node |
| WO2003073701A1 (en) * | 2002-02-22 | 2003-09-04 | The Trustees Of The University Of Pennsylvania | System and method for distributing traffic in a network |
| JP4556592B2 (ja) * | 2003-10-02 | 2010-10-06 | パナソニック株式会社 | ルータ選択方法及びルータ装置 |
| US20070008884A1 (en) * | 2003-10-08 | 2007-01-11 | Bob Tang | Immediate ready implementation of virtually congestion free guarantedd service capable network |
| US7895299B2 (en) * | 2003-12-19 | 2011-02-22 | Solace Systems, Inc. | Dynamic links in content-based networks |
| US7991852B2 (en) * | 2004-01-22 | 2011-08-02 | Alcatel-Lucent Usa Inc. | Network architecture and related methods for surviving denial of service attacks |
| US7925766B2 (en) * | 2004-02-18 | 2011-04-12 | At&T Intellectual Property Ii, L.P. | Method for distributed denial-of-service attack mitigation by selective black-holing in MPLS VPNS |
| EP1804447A1 (en) * | 2004-10-21 | 2007-07-04 | Nippon Telegraph and Telephone Corporation | Protect device, protect method, protect program, and network attack protect system |
| JP2006350561A (ja) * | 2005-06-14 | 2006-12-28 | Matsushita Electric Ind Co Ltd | 攻撃検出装置 |
| JP2007129482A (ja) * | 2005-11-02 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク攻撃防御方法、ネットワーク攻撃防御システム、中継装置、防御装置、中継装置用プログラムおよび防御装置用プログラム |
| US7904586B1 (en) * | 2005-12-29 | 2011-03-08 | At&T Intellectual Property Ii, L.P. | Traffic engineering method with tunable inter-domain egress selection |
| US7512408B2 (en) * | 2006-02-16 | 2009-03-31 | Softwired Ag | Scalable wireless messaging system |
| US8069216B2 (en) * | 2006-12-08 | 2011-11-29 | Motorola Solutions, Inc. | Method and apparatus for alerting nodes of a malicious node in a mobile ad-hoc communication system |
| US7904589B2 (en) * | 2007-05-19 | 2011-03-08 | At&T Intellectual Property I, Lp | Intelligent computer network routing using logically centralized, physically distributed servers distinct from network routers |
| US7831701B2 (en) * | 2007-10-27 | 2010-11-09 | At&T Mobility Ii Llc | Cascading policy management deployment architecture |
| US8761022B2 (en) * | 2007-12-26 | 2014-06-24 | Rockstar Consortium Us Lp | Tie-breaking in shortest path determination |
| JP5212182B2 (ja) * | 2009-03-03 | 2013-06-19 | 富士通株式会社 | ルータ、パケットルーティングプログラム、およびパケットルーティング方法 |
| JP5111446B2 (ja) * | 2009-06-05 | 2013-01-09 | 西日本電信電話株式会社 | 通信管理装置、通信管理方法 |
| JP5283581B2 (ja) * | 2009-07-22 | 2013-09-04 | 三菱電機株式会社 | 中継通信装置 |
| US8248951B2 (en) * | 2009-09-11 | 2012-08-21 | At&T Intellectual Property I, Lp | Methods and apparatus to manage bypass paths in an internet protocol (IP) network |
| US8331371B2 (en) * | 2009-12-17 | 2012-12-11 | Amazon Technologies, Inc. | Distributed routing architecture |
| JP5561006B2 (ja) * | 2010-08-05 | 2014-07-30 | 富士通株式会社 | データ転送装置、データ受信装置、データ転送方法、およびデータ転送プログラム |
| JP5238793B2 (ja) * | 2010-11-17 | 2013-07-17 | 西日本電信電話株式会社 | 通信管理装置、通信管理方法 |
| US8966622B2 (en) * | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
| JP5966703B2 (ja) * | 2012-07-10 | 2016-08-10 | 富士通株式会社 | ルータ装置、通信システム及びパケット転送方法 |
| US8611355B1 (en) * | 2013-09-03 | 2013-12-17 | tw telecom holdings inc. | Buffer-less virtual routing |
| US9560072B1 (en) * | 2013-10-31 | 2017-01-31 | Palo Alto Networks, Inc. | Discovering and selecting candidates for sinkholing of network domains |
| JP6194775B2 (ja) * | 2013-11-18 | 2017-09-13 | 富士通株式会社 | ノード装置、データ中継方法、及び、プログラム |
| US9660886B1 (en) * | 2014-03-07 | 2017-05-23 | Google Inc. | Scalable network route analysis |
| US9893988B2 (en) * | 2014-03-27 | 2018-02-13 | Nicira, Inc. | Address resolution using multiple designated instances of a logical router |
| US10021028B2 (en) * | 2014-06-16 | 2018-07-10 | International Business Machines Corporation | Controlling incoming traffic |
| US8964596B1 (en) * | 2014-08-29 | 2015-02-24 | Level 3 Communications, Llc | Network service aware routers, and applications thereof |
| CN106161333B (zh) * | 2015-03-24 | 2021-01-15 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及系统 |
| KR20160139591A (ko) * | 2015-05-28 | 2016-12-07 | 삼성에스디에스 주식회사 | 라우팅 방법 및 그 장치 |
| US11252199B2 (en) * | 2015-07-15 | 2022-02-15 | Oracle International Corporation | Redirecting packets in an autonomous system |
| US10148741B2 (en) * | 2015-09-17 | 2018-12-04 | Dell Products L.P. | Multi-homing load balancing system |
| US10412012B2 (en) * | 2015-09-22 | 2019-09-10 | Arris Enterprises Llc | Intelligent, load adaptive, and self optimizing master node selection in an extended bridge |
| US10454820B2 (en) * | 2015-09-29 | 2019-10-22 | Cisco Technology, Inc. | System and method for stateless information-centric networking |
| JP6533476B2 (ja) * | 2016-02-15 | 2019-06-19 | 日本電信電話株式会社 | DDoS攻撃情報共有装置、動作方法及びプログラム |
| US10341259B1 (en) * | 2016-05-31 | 2019-07-02 | Amazon Technologies, Inc. | Packet forwarding using programmable feature prioritization |
| CN107623663B (zh) * | 2016-07-15 | 2020-12-15 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
| JP6612197B2 (ja) * | 2016-08-22 | 2019-11-27 | 日本電信電話株式会社 | DDoS連携対処装置、DDoS連携対処方法及びプログラム |
| TWI713332B (zh) * | 2017-01-19 | 2020-12-11 | 香港商阿里巴巴集團服務有限公司 | 業務傳輸速率的控制方法及裝置、系統 |
| US10277499B2 (en) * | 2017-02-07 | 2019-04-30 | Level 3 Communications, Llc | System and method for next hop BGP routing in a network |
| JP6939726B2 (ja) * | 2018-07-17 | 2021-09-22 | 日本電信電話株式会社 | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 |
| DE102018130588B4 (de) * | 2018-11-30 | 2020-12-03 | DE-CIX Management GmbH | Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen |
| JP2021040190A (ja) * | 2019-08-30 | 2021-03-11 | 富士通株式会社 | ネットワーク管理装置及びネットワーク管理方法 |
| US11706625B2 (en) * | 2020-09-03 | 2023-07-18 | Cisco Technology, Inc. | Malicious black hole node detection and circumvention |
| CN115208823A (zh) * | 2021-04-09 | 2022-10-18 | 华为技术有限公司 | 一种流量转发的方法及装置 |
| US11736400B2 (en) * | 2021-08-31 | 2023-08-22 | Arista Networks, Inc. | Network traffic engineering with multi-virtual routing and forwarding lookup |
-
2018
- 2018-07-17 JP JP2018134262A patent/JP6939726B2/ja active Active
-
2019
- 2019-06-27 WO PCT/JP2019/025609 patent/WO2020017272A1/ja active Application Filing
- 2019-06-27 US US17/256,089 patent/US11843615B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020014089A (ja) | 2020-01-23 |
| WO2020017272A1 (ja) | 2020-01-23 |
| US11843615B2 (en) | 2023-12-12 |
| US20210273952A1 (en) | 2021-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6939726B2 (ja) | 攻撃対処箇所選択装置及び攻撃対処箇所選択方法 | |
| US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
| US20130250799A1 (en) | Communication system, control device, node controlling method, and program | |
| CN105519056A (zh) | 用于缓解流量风暴的方法、系统和计算机可读介质 | |
| TWI713501B (zh) | 識別網路環路的方法、裝置、流量清洗設備及系統 | |
| JPWO2011155510A1 (ja) | 通信システム、制御装置、パケットキャプチャ方法およびプログラム | |
| US10623278B2 (en) | Reactive mechanism for in-situ operation, administration, and maintenance traffic | |
| Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
| JP5720340B2 (ja) | 制御サーバ、通信システム、制御方法およびプログラム | |
| Park et al. | Efficient routing for traffic offloading in software-defined network | |
| Gkounis | Cross-domain DoS link-flooding attack detection and mitigation using SDN principles | |
| KR101500251B1 (ko) | 통신 시스템, 노드, 패킷 전송 방법 및 프로그램을 기록한 컴퓨터 판독가능 기록 매체 | |
| US9843516B2 (en) | Communication node, control apparatus, method for management of control information entries and program | |
| JP5870995B2 (ja) | 通信システム、制御装置、計算機、ノードの制御方法およびプログラム | |
| Isyaku et al. | Software defined networking failure recovery with flow table aware and flows classification | |
| JP6407092B2 (ja) | 負荷分散装置、負荷分散方法及びプログラム | |
| JP6421088B2 (ja) | 負荷分散装置、負荷分散システム、負荷分散方法及びプログラム | |
| JP5681138B2 (ja) | 管理装置、通信システム、中継装置、通信方法、およびプログラム | |
| JP2008211690A (ja) | ネットワーク制御方法 | |
| JP4222565B2 (ja) | 輻輳制御方法、輻輳制御装置、タグ付け装置、および、廃棄装置 | |
| JP4222567B2 (ja) | 輻輳制御方法および輻輳制御装置 | |
| JP4260848B2 (ja) | ネットワーク制御方法 | |
| JP6509143B2 (ja) | 帯域制御装置及び方法 | |
| JP2008258996A (ja) | 統計情報収集装置 | |
| JP6746541B2 (ja) | 転送システム、情報処理装置、転送方法及び情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210816 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6939726 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |