JPWO2003027858A1 - コンテンツサーバ防衛システム - Google Patents
コンテンツサーバ防衛システム Download PDFInfo
- Publication number
- JPWO2003027858A1 JPWO2003027858A1 JP2003521676A JP2003521676A JPWO2003027858A1 JP WO2003027858 A1 JPWO2003027858 A1 JP WO2003027858A1 JP 2003521676 A JP2003521676 A JP 2003521676A JP 2003521676 A JP2003521676 A JP 2003521676A JP WO2003027858 A1 JPWO2003027858 A1 JP WO2003027858A1
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- server
- content
- access
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Abstract
本発明は、インターネット網に接続可能なインターネット端末8に対し、該インターネット網を通じて登録されているコンテンツを配信するコンテンツサーバ1,2a,2b,2c…を不正なアクセスから防衛するためのコンテンツサーバ防衛システムであって、前記コンテンツサーバ1,2aに登録されている配信用コンテンツデータの少なくとも一部が複製された複製コンテンツデータが登録され、該複製コンテンツデータを前記インターネット端末8に対して配信可能とされた補助サーバ2b,2c…と、前記インターネット端末8からのコンテンツの配信要求を、前記各サーバの配信負荷がほぼ均等となるように各サーバに割り振るアクセス分散手段7と、各サーバへの不正アクセスを検出する不正アクセス検出手段4と、該不正アクセス検出手段が不正アクセスを検出した場合において不正アクセスの通信を遮断する不正アクセス遮断手段5と、を備える。
Description
技術分野
本発明は、インターネットに接続可能なインターネット端末へコンテンツデータを配信するコンテンツサーバを不正なアクセスから防衛するためのコンテンツサーバ防衛システムに関する。
背景技術
近年、オープンコンピュータネットワークであるインターネットの急激な普及により、多くの企業や個人が自己が所有しているコンテンツをより多くの人に安価にかつ迅速に提供するために、これらインターネットが活用され、多くのコンテンツサイト(WEBサーバ)が構築されている。
これらコンテンツサイト(WEBサーバ)が増加するに伴い、これらコンテンツサイト(WEBサーバ)への不正アクセス、特にコンテンツの改竄等の被害が増加する傾向にあるとともに、日々のコンピュータの処理能力の向上に伴って、これら不正アクセスの手法も高度化する傾向にある。
特に近年においては、複数のネットワークに分散する多数のコンピュータが一斉に特定のコンテンツサイト(WEBサーバ)へアクセスすることで、通信路を溢れさせて機能を停止させてしまうDDos攻撃が主流となってきている。
これらDDos攻撃を初めとする不正なアクセスからコンテンツサイト(WEBサーバ)を防衛する従来手法としては、大きくネットワーク型とホスト型の2種類の手法が存在する。まず、ネットワーク型侵入検知では、ネットワーク上を流れるパケットに対して再構成処理を施し、既知の不正アクセスパターンとの逐次比較を行うことによって不正アクセスを検知する手法である。また、ホスト型侵入検知は単一のコンピュータを対象として動作し、該コンピュータが受信するパケット、オペレーティング・システム(OS)からの警告メッセージ、オペレーティング・システム(OS)の処理したシステムコール数などを常時監視することによって不正アクセスを検知するものである。
しかしながら、前記ネットワーク型侵入検知の手法では、ある種の攻撃についてはパケットの内容を詳細に分析する必要があるが、その処理が複雑であるため高速化することができない。また逆に、高速なネットワークにおいて不正アクセスを検知するためにはパケットの分析を簡略化する必要があり、詳細な分析を行うことができないという処理負荷の問題がある。また、前記ホスト型侵入検知の手法では、コンピュータ(サーバ)においては、通常の処理(情報配信、計算等)に加えてパケットの監視、メッセージの分析、システムの挙動分析などの処理を平行して行う必要があるため、コンピュータ(サーバ)が通常の処理によって高負荷となっている状況では不正アクセスの検知と防御を実施することが困難となるが、このような高負荷環境は特に高速ネットワークにおける情報配信において顕在化しているのが現状である。
このため、これら不正アクセス、特には同時に多数のコンピュータからのアクセスが生じる前記DDos攻撃に対してコンテンツサイト(WEBサーバ)を防衛することのできる現実的な防衛システムが存在せず、これらコンテンツサーバ防衛システムが切望されていた。
よって、本発明は上記した問題点に着目してなされたもので、不正アクセス、特には前記DDos攻撃に対してコンテンツサイト(WEBサーバ)を防衛することのできる現実的なコンテンツサーバ防衛システムを提供することを目的としている。
発明の開示
前記した問題を解決するために、本発明のコンテンツサーバ防衛システムは、インターネット網に接続可能なインターネット端末に対し、該インターネット網を通じて登録されているコンテンツを配信するコンテンツサーバを不正なアクセスから防衛するためのコンテンツサーバ防衛システムであって、
前記コンテンツサーバに登録されている配信用コンテンツデータの少なくとも一部が複製された複製コンテンツデータが登録され、該複製コンテンツデータを前記インターネット端末に対して配信可能とされた補助サーバと、
前記インターネット端末からのコンテンツの配信要求を、前記各サーバの配信負荷がほぼ均等となるように各サーバに割り振るアクセス分散手段と、
各サーバへの不正アクセスを検出する不正アクセス検出手段と、
該不正アクセス検出手段が不正アクセスを検出した場合において不正アクセスの通信を遮断する不正アクセス遮断手段と、
を備えることを特徴としている。
この特徴によれば、前記インターネット端末からのコンテンツ配信要求(アクセス)が、前記アクセス分散手段により各補助サーバに配信負荷がほぼ均等となるように分散されるようになるため、前記したDDos攻撃においても前記不正アクセス検出手段が不正なアクセスを検知して、該不正なアクセスが前記不正アクセス遮断手段にて遮断されるようになることから、前記コンテンツサーバを不正なアクセスから防衛することができる。
本発明のコンテンツサーバ防衛システムは、前記不正アクセス検出手段並びに不正アクセス遮断手段とを各サーバに対応して設け、各サーバの不正アクセス検出手段或いは不正アクセス遮断手段は、前記不正アクセス検出手段による不正アクセスの検出に基づき、該該不正アクセスに関する情報を他の不正アクセス検出手段或いは不正アクセス遮断手段に通知するすることが好ましい。
このようにすれば、不正アクセスを検知した際に他のサーバに対応して設けられている不正アクセス検出手段或いは不正アクセス遮断手段に対して不正アクセスに関する情報を通知することで、これら不正アクセスによる攻撃に他の不正アクセス検出手段或いは不正アクセス遮断手段が迅速に対処できるようになり、システム全体の防衛能力を向上できる。
本発明のコンテンツサーバ防衛システムは、前記アクセス分散手段が、インターネット上のドメイン名をインターネット上の各サーバのIPアドレスに変換するDNSサーバを兼ねることが好ましい。
このようにすれば、これらDNSサーバは、常時アクセスを監視していることから、これらDNSサーバにアクセス分散機能を持たせることでアクセス分散手段を好適に構築することができる。
本発明のコンテンツサーバ防衛システムは、前記補助サーバには、コンテンツサーバとは異なる公開されるドメイン名を付与し、該コンテンツサーバのIPアドレスを非公開とするとすることが好ましい。
このようにすれば、前記コンテンツサーバのIPアドレスを秘匿化することが可能となり、コンテンツサーバへの攻撃を極力回避することができる。
発明を実施するための最良の形態
以下、本発明の実施例を図面に基づいて説明する。
(実施例)
図1は、本発明のコンテンツサーバ防衛システムを適用したコンテンツ配信システムの構成を示すブロック図であり、図2は、本実施例のコンテンツ配信システムに用いたレイヤ4(L4)スイッチ内における処理状況を示す図であり、図3は、本実施例のコンテンツ配信システムに用いたアクセス分散手段であるDNSサーバの処理内容を示すフロー図であり、図4は、本実施例のコンテンツ配信システムに用いた不正アクセス検出手段である不正アクセス検出装置(IDS)における処理内容を示すフロー図であり、図5は、前記不正アクセス検出装置(IDS)における不正アクセスパターンファイルの更新処理の内容を示すフロー図であり、図6は、本実施例のコンテンツ配信システムに用いた不正アクセス遮断手段であるアクセス分析装置における処理内容を示す図であり、図7は、本実施例のコンテンツ配信システムに用いた各サイトの各機器における情報のやりとりを示す説明図である。
尚、本実施例では、コンテンツの提供者である顧客のサーバ1を不正なアクセスから守るとともに、これら顧客が提供するコンテンツデータを代行して配信するコンテンツ提供サービス会社によるコンテンツ配信システムによる例を示すが、本発明はこれに限定されるものではなく、その利用形態は任意とされる。
まず、本実施例のコンテンツ配信システムは、図1に示すような構成とされており、コンテンツ提供サービス会社は、前記顧客が提供するコンテンツデータが、コンテンツデータをインターネットに接続されているエンドユーザーのインターネット端末8からの配信要求に基づいて配信可能に登録されているコンテンツサーバ2a,2b,2c…が設置されているサイトA,B,C…を有している。このサイトの中で、サイトAは、後述するVPN装置6とインターネット網とを介して顧客サーバ1に接続されていて、該顧客サーバ1に登録されているコンテンツデータが該サイトAに設置されているメインサーバ2aに一旦登録されてた後、他の各サイトサイトB,C…に設置されている補助サーバであるキャッシュサーバ2b,2c…に該コンテンツデータが配信されて登録されるようになっている。
これら各サイトには、前記コンテンツサーバ2a,2b,2c…や、インターネット網に対して図示しない通信装置を介して接続されているとともに、前記コンテンツサーバ2a,2b,2c…をはじめとするサイト内の各機器に接続されて、インターネット網からの前記コンテンツサーバ2a,2b,2c…へのアクセスを可能とするとともに、各機器間における双方向のデータ通信を可能とするレイヤ4(L4)スイッチ3や、該L4スイッチ3に内蔵されているファイヤーウオール機能によりフィルタリングされたアクセスデータの複製データの出力を受けて、不正アクセスの有無を検出する不正アクセス検出手段である不正アクセス検出装置(IDS)4や、該不正アクセス検出装置(IDS)4による不正アクセスの検出通知に基づき、リセットパケットの送出等により不正アクセスの通信遮断を行う不正アクセス遮断手段であるアクセス分析装置5、等の機器が設置されている。
尚、前述のようにメインサーバ2aが設置されているサイトAには、顧客サーバ1に接続されている仮想プライベートネットワーク(VPN)装置6との間において、インターネット網を介して仮想プライベートネットワークを構築するための仮想プライベートネットワーク(VPN)装置6が前記L4スイッチ3に接続されている。
この仮想プライベートネットワーク(VPN)装置6としては、ローカルエリアネットワーク上のプライベート(ローカル)IPアドレスパケットを暗号化し、該暗号化したパケットに送信先である相手のグローバルIPアドレスと送信元である自己のグローバルIPアドレスから成るグローバルIPヘッダを付加して送信し、受信側にてグローバルIPヘッダを除去、復号化してプライベート(ローカル)IPアドレスパケットを復元し、該復元したプライベート(ローカル)IPアドレスパケットをローカルエリアネットワーク上へ送出する機能を有するものであれば公知の仮想プライベートネットワーク(VPN)装置6を使用することができる。
このように、VPN装置6を用いて顧客サーバ1とサイトとを接続し、該顧客サーバ1に登録されているコンテンツをコンテンツサーバ2a,2b,2c…にて配信するようにすることは、顧客サーバ1のドメイン名を公開する必要なくエンドユーザーのインターネット端末8へのコンテンツ配信が可能となり、顧客サーバへの攻撃を極力回避することができるとともに、前記VPN装置6を用いることで、これら顧客サーバへの攻撃を困難化できることから好ましいが、本発明はこれに限定されるものではなく、例えば、顧客サーバ1のドメイン名を公開しておき、インターネット端末8からのアクセスに際して、テキスト等のコンテンツデータは顧客サーバから送信し、画像等のコンテンツデータは前記コンテンツサーバ2a,2b,2c…より送信するように構成しても良い。
また、コンテンツ提供サービス会社には、前記コンテンツへのアクセスを可能とするためのURLと各サイトのコンテンツサーバ2a,2b,2c…のIPアドレスと各サイトの配信(通信)負荷の情報が収集、登録されている負荷テーブル等が記憶されたDNSサーバ7が設けられている。
この本実施例のDNSサーバが行う処理内容について、図3に示すフロー図を用いて説明すると、該DNSサーバ7は、エンドユーザーのインターネット端末8からのドメインネームの問い合わせ有無を検出し(Sa1)、該検出にてドメインネームの問い合わせがある場合にはSa2へ進み、検出が無い場合にはSa5へ進んで各サイトのレイヤ4(L4)スイッチ3からの負荷状況通知の有無の検出を実施し、該検出において負荷通知が無い場合には前記Sa1に戻るようになっており、ドメインネームの問い合わせ或いは各サイトのレイヤ4(L4)スイッチ3からの負荷状況通知の検出待ちが実施される。
ここで、Sa5において負荷状況通知有りが検出された場合には、Sa6へ進んで、各サイトの負荷状況が登録されている負荷テーブルにおいて、受信した負荷状況通知により特定されるサイトの負荷状況を、受信した負荷状況通知に基づく負荷状況に更新登録した後、前記始めに戻るようになっている。
また、前記Sa1においてインターネット端末8からのドメインネームの問い合わせが検出された場合には、Sa2へ進んで、前記にて最新の負荷状況に更新されている負荷テーブルを参照し、該テーブルの負荷状況の内、最も少ない負荷のサイトに設置されているコンテンツサーバ2a,2b,2c…のIPアドレスを特定し(Sa3)、該特定したコンテンツサーバ2a,2b,2c…のIPアドレスを問い合わせのあったインターネット端末8に返信する(Sa4)。このようにすることで、該DNSサーバがエンドユーザーのインターネット端末8からのドメインネームの問い合わせに対して、各サイトの負荷がほぼ均等となるようになっている。
このように、DNSサーバ7がアクセス分散手段を担うようにすることは、これらDNSサーバは常時アクセスを監視していることから、アクセス分散手段を好適に構築することができることから好ましいが、本発明はこれに限定されるものではなく、これら各サイトに対し、アクセスを均等化するように振り分けるアクセス分散手段をDNSサーバ7とは個別に設けるようにしても良い。尚、これらDNSサーバ7としては、公知のサーバ用コンピュータを使用することができる。
次いで、本実施例のコンテンツ配信システムに用いたコンテンツサーバ2a,2b,2c…としては、登録されているコンテンツデータを配信する機能を有するウエブアプリケーションと、該ウエブアプリケーションが動作可能なオペレーションシステムプログラム(OS)が搭載されているものであれば公知のサーバ用コンピュータを使用することができる。
次いで、本実施例のコンテンツ配信システムに用いたレイヤ4(L4)スイッチ3は、その前面に前記インターネット網との通信を行うための図示しない外部通信装置が接続される外部接続部と、前記コンテンツサーバ2a,2b,2c…や不正アクセス検出装置(IDS)4並びにアクセス分析装置5等のサイト内の各種機器が接続される内部接続部が設けられているとともに、前記外部接続部と内部接続部との間には、通信経路切替回路(スイッチ)が設けられていて、通信プロトコルのレイヤ4のIPヘッダによるスイッチングが実施され、各接続部に接続されている機器間の通信が可能とされているとともに、両通信経路切替回路(スイッチ)間のデータ授受が可能とされている。
この両通信経路切替回路(スイッチ)間には、図2に示すように、予め設定ファイルに登録されている所定のIPアドレスからのアクセスを通過させないようにフィルタリングを行うフィルタ処理部が設けられていて、該フィルタ処理部によりファイヤーウオール機能がレイヤ4(L4)スイッチ3に付加されており、前記設定ファイルのデータは、アクセス分析装置5から出力される更新指示に基づいて更新されるようになっている。
また、前記フィルタ処理部を通過した外部からの通過データ(アクセスデータ)は、複製処理部により複製されてミラーパケットが生成され、該生成されたミラーパケットが装置の前面に設けられているミラーポートより該ミラーポートに接続されている前記不正アクセス検出装置(IDS)4に出力されるとともに、本来の通過データ(アクセスデータ)は、コンテンツサーバ2a,2b,2c…へ出力される(図7参照)。
尚、本実施例に用いた前記レイヤ4(L4)スイッチ3には、前記外部接続部に対応して設けられている通信経路切替回路に、外部からのアクセス並びにコンテンツデータの配信に伴う通信経路切替回路における通信負荷(トラヒック)を監視するためのトラヒック監視処理部が設けられていて、該トラヒック監視処理部にて監視されたトラヒック状況を、予め登録されている前記DNSサーバ7のグローバルIPアドレスに対し、サイトを特定可能なサイトIDとともにインターネット網経由にて送信することで、該トラヒック状況を前記DNSサーバ7が受信し、負荷テーブルに更新登録することで、DNSサーバ7が各サイトの負荷状況を逐次把握できるようになっている。
次いで、本実施例のコンテンツ配信システムに用いた不正アクセス検出装置(IDS)4について説明すると、本実施例に用いた不正アクセス検出装置(IDS)4としては、比較的高速の演算処理を実施可能なサーバ用コンピュータに不正アクセス検出プログラムを搭載したものを使用している。
この本実施例のた不正アクセス検出装置(IDS)4における処理内容は、図4に示すように、前記レイヤ4(L4)スイッチ3のミラーポートより出力されたミラーパケットを再構成するとともに(Sb1)、該再構成された通信データ列を予め不正アクセスパターンファイルに登録されている不正アクセスパターンと比較照合を実施し(Sb2)、該比較が登録されている不正アクセスパターンに一致しない場合においては、前記Sb1へ戻り、再度Sb2並びにSb3を実施する。
また、Sb3の判定において、不正アクセスパターンに一致した場合には、Sb4へ進んで、不正アクセス者のIPアドレスを含む不正アクセスの検知通知をアクセス分析装置5へ出力するようになっている。
このように、本実施例では、膨大な通信データに内在される不正アクセスパターンによる不正アクセスの検出処理を、高速かつ正確に実施できるようにするために、これら不正アクセス検出装置(IDS)4を単独のコンピュータにて形成しているが、本発明はこれに限定されるものではなく、これら高速のコンピュータを前記レイヤ4(L4)スイッチ3と一体化したものとしたり、後述するアクセス分析装置5と一体化したものとしても良い。
この不正アクセス検出装置(IDS)4から出力された不正アクセスの検知通知を受信するアクセス分析装置5は、本実施例では、比較的演算能力に優れた公知のパーソナルコンピュータにアクセス分析用のアプリケーションプログラムを搭載したものを使用している。
この本実施例のアクセス分析装置5が行う処理内容は、図6に示すようになっており、まず、前記不正アクセス検出装置(IDS)4から出力される不正アクセスの検知通知の有無を検出し(Sd1)、該検知通知が無い場合にはSd7へ進んで、他のサイトのアクセス分析装置5から不正アクセスの検知に関する情報の有無の検出し、該不正アクセスの検知に関する情報の通知が無い場合には前記Sd1へ戻る。
前記Sd1において検知通知が有る場合にはSd2へ進んで、検知通知に含まれる不正アクセス者のIPアドレス情報に基づき、該当するセッションを特定するとともに、通知された不正アクセス者のIPアドレスを危険度とをテーブルに更新登録する。
該登録に次いで、前記不正アクセス者のIPアドレス情報に基づき前記レイヤ4(L4)スイッチ3のフィルタ設定ファイルの更新指示を出力して、該不正アクセス者のIPアドレスを登録する(Sd3)。
次いで、Sd4へ進んで、前記にてテーブルを更新した不正アクセス者の危険度レベルが所定値以上であるかを判定し、所定に危険度に達していない場合には、Sd6へ進み、不正アクセス者の危険度レベルが所定値以上である場合においては、Sd5へ進んで、該当するセッションに対し危険度レベルに該当するアクション、例えば最大危険度であればセッションに対しリセットパケットを送出して、セッションを切断するアクションを特定し、該アクションを実施した後、Sd6へ進む。
Sd6では、前記不正アクセスの検知に関する情報、例えば該不正アクセスのアクセスパターン情報や不正アクセス者のIPアドレス情報等が他のサイトのアクセス分析装置5へ通知する。
これら送信された不正アクセスの検知に関する情報は、他のサイトのアクセス分析装置において、前記Sd7にて検出され、該検出に基づきSd8へ進む。
該Sd8においては、通知情報を一時記憶するとともに、通知情報に含まれている不正アクセスパターンを特定し、該不正アクセスパターンを不正アクセスパターンファイルに登録するように、更新指示を不正アクセス検出装置(IDS)4に出力する(Sd9)。更に、Sd10へ進んで、通知情報に含まれている不正アクセスのIPアドレスを特定し、該IPアドレスをフィルタ設定ファイルに登録するように、更新指示を前記レイヤ4(L4)スイッチ3に出力する(Sd9)。このようにすることで、いずれかのサイトにて不正アクセスが検出された場合においては、他のサイトにその不正アクセスの情報が反映されるようになるため、同一の不正アクセス者からのアクセスを、他のサイトにて効率良く検知して対応できるようになっている。
このように、他のサイトに対し、不正アクセスの情報を通知するようにすることは、これら不正アクセスによる攻撃に他のサイトのレイヤ4(L4)スイッチ3や不正アクセス検出装置(IDS)4が迅速に対処できるようになり、システム全体の防衛能力を向上できることから好ましいが、本発明はこれに限定されるものではない。
前記他サイトのアクセス分析装置5からの不正アクセスの情報通知に基づき不正アクセス検出装置(IDS)4に出力される更新指示は、図5に示すフロー図に示すように、更新指示の有無をIDS4が検出した場合には(Sc1)、該受信した更新指示データを一時記憶するとともに、該記憶した更新指示データに含まれる不正アクセスパターンを前記不正アクセスパターンファイルに登録して、ファイル更新を行うようになっている。
以下、本実施例のコンテンツ配信システムにおける動作について説明すると、まず、エンドユーザーのインターネット端末8において、コンテンツデータに対し付与、公開されたURLの問い合わせに対し、前記DNSサーバ7は、前記図3のフロー図に示すように、各サイトの前記レイヤ4(L4)スイッチ3からの負荷通知に基づき更新されている負荷テーブルに基づいて、最も負荷の少ないサイトのコンテンツサーバのIPアドレスを問い合わせてきたエンドユーザーに返信する。
該IPアドレスの返信に基づきエンドユーザーのインターネット端末8は、返信されてきたIPアドレスのコンテンツサーバ2a,2b,2c…に対し、コンテンツリクエストを送信する。これらコンテンツリクエストは、前記レイヤ4(L4)スイッチ3により送信元であるインターネット端末8のIPアドレスが前記設定ファイルに登録されていないものであれば通過されてコンテンツサーバ2a,2b,2c…へ伝達される。
該コンテンツリクエストの受信に基づき、コンテンツサーバ2a,2b,2c…は要求されたコンテンツデータを送信元のIPアドレスに対して送信することで、インターネット端末8に該コンテンツが表示或いは再生されるようになっている。
ここで、不正アクセス者が、例えば前述したDDos攻撃を実施した場合においては、これら不正アクセス者による攻撃が前記DNSサーバ7にて各サイトに分散されるようになり、1カ所のサイトに集中することがなく、よって、これら分散された攻撃負荷により、前記不正アクセス検出装置(IDS)4が不正アクセスを的確に検知することが可能となり、これら不正アクセス者の攻撃から前記コンテンツサーバ2a,2b,2c…並びに顧客サーバ1を防御することができるようになる。
以上、本実施例のようにすれば、前記インターネット端末であるアクセス利用者のコンピュータ8からのコンテンツ配信要求(アクセス)が、前記アクセス分散手段である監視用DNSサーバにより各コンテンツサーバ2a,2b,2c…に負荷がほぼ均等となるように分散され、各サイトへのアクセス負荷を十分に低減できるようになることから、例え前記DDos攻撃がなされたとしても、前記不正アクセス検出手段である不正アクセス検出装置(IDS)4が不正なアクセスを確実に検知でき、該不正なアクセスを確実に遮断できるようになることから、前記コンテンツサーバ2a,2b,2c…並びに顧客サーバ1を不正なアクセスから防衛することが可能となる。
以上、本発明の実施形態を図面により前記実施例にて説明してきたが、本発明はこれら実施例に限定されるものではなく、本発明の主旨を逸脱しない範囲における変更や追加があっても本発明に含まれることは言うまでもない。
例えば、前記実施例では、インターネット端末8をパソコンとしているが、本発明はこれに限定されるものではなく、これらインターネット端末8としては、配信されるコンテンツを表示或いは再生できるブラウザアプリケーションが搭載されているものであれば、携帯電話やPDA等のものであっても良いことは言うまでも無い。
また、本実施例では、メインサーバ2aが設置されているサイトAと顧客サーバ1とのみをVPN接続しているが、本発明はこれに限定されるものではなく、各サイトにVPN装置6を設置して各サイト間をVPN接続したり、前記DNSサーバ7をVPN接続したりするようにしても良い。
【図面の簡単な説明】
第1図は、本発明の実施例におけるコンテンツ配信システムの構成を示すブロック図である。
第2図は、本発明の実施例におけるコンテンツ配信システムに用いたレイヤ4(L4)スイッチ内の処理状況を示す図である。
第3図は、本発明の実施例におけるコンテンツ配信システムに用いたDNSサーバの処理内容を示すフロー図である。
第4図は、本発明の実施例におけるコンテンツ配信システムに用いた不正アクセス検出装置(IDS)における処理内容を示すフロー図である。
第5図は、本発明の実施例におけるコンテンツ配信システムに用いた不正アクセス検出装置(IDS)における不正アクセスパターンファイルの更新処理の内容を示すフロー図である。
第6図は、本発明の実施例におけるコンテンツ配信システムに用いたアクセス分析装置における処理内容を示す図である。
第7図は、本発明の実施例におけるコンテンツ配信システムに用いた各サイトの各機器における情報のやりとりを示す説明図である。
符号の説明
1 顧客サーバ
2a コンテンツサーバ(メインサーバ)
2b コンテンツサーバ(キャッシュサーバ)
2c コンテンツサーバ(キャッシュサーバ)
3 レイヤ4(L4)スイッチ
4 不正アクセス検出装置(IDS)
5 アクセス分析装置
6 仮想プライベートネットワーク(VPN)装置
7 DNSサーバ
8 インターネット端末
本発明は、インターネットに接続可能なインターネット端末へコンテンツデータを配信するコンテンツサーバを不正なアクセスから防衛するためのコンテンツサーバ防衛システムに関する。
背景技術
近年、オープンコンピュータネットワークであるインターネットの急激な普及により、多くの企業や個人が自己が所有しているコンテンツをより多くの人に安価にかつ迅速に提供するために、これらインターネットが活用され、多くのコンテンツサイト(WEBサーバ)が構築されている。
これらコンテンツサイト(WEBサーバ)が増加するに伴い、これらコンテンツサイト(WEBサーバ)への不正アクセス、特にコンテンツの改竄等の被害が増加する傾向にあるとともに、日々のコンピュータの処理能力の向上に伴って、これら不正アクセスの手法も高度化する傾向にある。
特に近年においては、複数のネットワークに分散する多数のコンピュータが一斉に特定のコンテンツサイト(WEBサーバ)へアクセスすることで、通信路を溢れさせて機能を停止させてしまうDDos攻撃が主流となってきている。
これらDDos攻撃を初めとする不正なアクセスからコンテンツサイト(WEBサーバ)を防衛する従来手法としては、大きくネットワーク型とホスト型の2種類の手法が存在する。まず、ネットワーク型侵入検知では、ネットワーク上を流れるパケットに対して再構成処理を施し、既知の不正アクセスパターンとの逐次比較を行うことによって不正アクセスを検知する手法である。また、ホスト型侵入検知は単一のコンピュータを対象として動作し、該コンピュータが受信するパケット、オペレーティング・システム(OS)からの警告メッセージ、オペレーティング・システム(OS)の処理したシステムコール数などを常時監視することによって不正アクセスを検知するものである。
しかしながら、前記ネットワーク型侵入検知の手法では、ある種の攻撃についてはパケットの内容を詳細に分析する必要があるが、その処理が複雑であるため高速化することができない。また逆に、高速なネットワークにおいて不正アクセスを検知するためにはパケットの分析を簡略化する必要があり、詳細な分析を行うことができないという処理負荷の問題がある。また、前記ホスト型侵入検知の手法では、コンピュータ(サーバ)においては、通常の処理(情報配信、計算等)に加えてパケットの監視、メッセージの分析、システムの挙動分析などの処理を平行して行う必要があるため、コンピュータ(サーバ)が通常の処理によって高負荷となっている状況では不正アクセスの検知と防御を実施することが困難となるが、このような高負荷環境は特に高速ネットワークにおける情報配信において顕在化しているのが現状である。
このため、これら不正アクセス、特には同時に多数のコンピュータからのアクセスが生じる前記DDos攻撃に対してコンテンツサイト(WEBサーバ)を防衛することのできる現実的な防衛システムが存在せず、これらコンテンツサーバ防衛システムが切望されていた。
よって、本発明は上記した問題点に着目してなされたもので、不正アクセス、特には前記DDos攻撃に対してコンテンツサイト(WEBサーバ)を防衛することのできる現実的なコンテンツサーバ防衛システムを提供することを目的としている。
発明の開示
前記した問題を解決するために、本発明のコンテンツサーバ防衛システムは、インターネット網に接続可能なインターネット端末に対し、該インターネット網を通じて登録されているコンテンツを配信するコンテンツサーバを不正なアクセスから防衛するためのコンテンツサーバ防衛システムであって、
前記コンテンツサーバに登録されている配信用コンテンツデータの少なくとも一部が複製された複製コンテンツデータが登録され、該複製コンテンツデータを前記インターネット端末に対して配信可能とされた補助サーバと、
前記インターネット端末からのコンテンツの配信要求を、前記各サーバの配信負荷がほぼ均等となるように各サーバに割り振るアクセス分散手段と、
各サーバへの不正アクセスを検出する不正アクセス検出手段と、
該不正アクセス検出手段が不正アクセスを検出した場合において不正アクセスの通信を遮断する不正アクセス遮断手段と、
を備えることを特徴としている。
この特徴によれば、前記インターネット端末からのコンテンツ配信要求(アクセス)が、前記アクセス分散手段により各補助サーバに配信負荷がほぼ均等となるように分散されるようになるため、前記したDDos攻撃においても前記不正アクセス検出手段が不正なアクセスを検知して、該不正なアクセスが前記不正アクセス遮断手段にて遮断されるようになることから、前記コンテンツサーバを不正なアクセスから防衛することができる。
本発明のコンテンツサーバ防衛システムは、前記不正アクセス検出手段並びに不正アクセス遮断手段とを各サーバに対応して設け、各サーバの不正アクセス検出手段或いは不正アクセス遮断手段は、前記不正アクセス検出手段による不正アクセスの検出に基づき、該該不正アクセスに関する情報を他の不正アクセス検出手段或いは不正アクセス遮断手段に通知するすることが好ましい。
このようにすれば、不正アクセスを検知した際に他のサーバに対応して設けられている不正アクセス検出手段或いは不正アクセス遮断手段に対して不正アクセスに関する情報を通知することで、これら不正アクセスによる攻撃に他の不正アクセス検出手段或いは不正アクセス遮断手段が迅速に対処できるようになり、システム全体の防衛能力を向上できる。
本発明のコンテンツサーバ防衛システムは、前記アクセス分散手段が、インターネット上のドメイン名をインターネット上の各サーバのIPアドレスに変換するDNSサーバを兼ねることが好ましい。
このようにすれば、これらDNSサーバは、常時アクセスを監視していることから、これらDNSサーバにアクセス分散機能を持たせることでアクセス分散手段を好適に構築することができる。
本発明のコンテンツサーバ防衛システムは、前記補助サーバには、コンテンツサーバとは異なる公開されるドメイン名を付与し、該コンテンツサーバのIPアドレスを非公開とするとすることが好ましい。
このようにすれば、前記コンテンツサーバのIPアドレスを秘匿化することが可能となり、コンテンツサーバへの攻撃を極力回避することができる。
発明を実施するための最良の形態
以下、本発明の実施例を図面に基づいて説明する。
(実施例)
図1は、本発明のコンテンツサーバ防衛システムを適用したコンテンツ配信システムの構成を示すブロック図であり、図2は、本実施例のコンテンツ配信システムに用いたレイヤ4(L4)スイッチ内における処理状況を示す図であり、図3は、本実施例のコンテンツ配信システムに用いたアクセス分散手段であるDNSサーバの処理内容を示すフロー図であり、図4は、本実施例のコンテンツ配信システムに用いた不正アクセス検出手段である不正アクセス検出装置(IDS)における処理内容を示すフロー図であり、図5は、前記不正アクセス検出装置(IDS)における不正アクセスパターンファイルの更新処理の内容を示すフロー図であり、図6は、本実施例のコンテンツ配信システムに用いた不正アクセス遮断手段であるアクセス分析装置における処理内容を示す図であり、図7は、本実施例のコンテンツ配信システムに用いた各サイトの各機器における情報のやりとりを示す説明図である。
尚、本実施例では、コンテンツの提供者である顧客のサーバ1を不正なアクセスから守るとともに、これら顧客が提供するコンテンツデータを代行して配信するコンテンツ提供サービス会社によるコンテンツ配信システムによる例を示すが、本発明はこれに限定されるものではなく、その利用形態は任意とされる。
まず、本実施例のコンテンツ配信システムは、図1に示すような構成とされており、コンテンツ提供サービス会社は、前記顧客が提供するコンテンツデータが、コンテンツデータをインターネットに接続されているエンドユーザーのインターネット端末8からの配信要求に基づいて配信可能に登録されているコンテンツサーバ2a,2b,2c…が設置されているサイトA,B,C…を有している。このサイトの中で、サイトAは、後述するVPN装置6とインターネット網とを介して顧客サーバ1に接続されていて、該顧客サーバ1に登録されているコンテンツデータが該サイトAに設置されているメインサーバ2aに一旦登録されてた後、他の各サイトサイトB,C…に設置されている補助サーバであるキャッシュサーバ2b,2c…に該コンテンツデータが配信されて登録されるようになっている。
これら各サイトには、前記コンテンツサーバ2a,2b,2c…や、インターネット網に対して図示しない通信装置を介して接続されているとともに、前記コンテンツサーバ2a,2b,2c…をはじめとするサイト内の各機器に接続されて、インターネット網からの前記コンテンツサーバ2a,2b,2c…へのアクセスを可能とするとともに、各機器間における双方向のデータ通信を可能とするレイヤ4(L4)スイッチ3や、該L4スイッチ3に内蔵されているファイヤーウオール機能によりフィルタリングされたアクセスデータの複製データの出力を受けて、不正アクセスの有無を検出する不正アクセス検出手段である不正アクセス検出装置(IDS)4や、該不正アクセス検出装置(IDS)4による不正アクセスの検出通知に基づき、リセットパケットの送出等により不正アクセスの通信遮断を行う不正アクセス遮断手段であるアクセス分析装置5、等の機器が設置されている。
尚、前述のようにメインサーバ2aが設置されているサイトAには、顧客サーバ1に接続されている仮想プライベートネットワーク(VPN)装置6との間において、インターネット網を介して仮想プライベートネットワークを構築するための仮想プライベートネットワーク(VPN)装置6が前記L4スイッチ3に接続されている。
この仮想プライベートネットワーク(VPN)装置6としては、ローカルエリアネットワーク上のプライベート(ローカル)IPアドレスパケットを暗号化し、該暗号化したパケットに送信先である相手のグローバルIPアドレスと送信元である自己のグローバルIPアドレスから成るグローバルIPヘッダを付加して送信し、受信側にてグローバルIPヘッダを除去、復号化してプライベート(ローカル)IPアドレスパケットを復元し、該復元したプライベート(ローカル)IPアドレスパケットをローカルエリアネットワーク上へ送出する機能を有するものであれば公知の仮想プライベートネットワーク(VPN)装置6を使用することができる。
このように、VPN装置6を用いて顧客サーバ1とサイトとを接続し、該顧客サーバ1に登録されているコンテンツをコンテンツサーバ2a,2b,2c…にて配信するようにすることは、顧客サーバ1のドメイン名を公開する必要なくエンドユーザーのインターネット端末8へのコンテンツ配信が可能となり、顧客サーバへの攻撃を極力回避することができるとともに、前記VPN装置6を用いることで、これら顧客サーバへの攻撃を困難化できることから好ましいが、本発明はこれに限定されるものではなく、例えば、顧客サーバ1のドメイン名を公開しておき、インターネット端末8からのアクセスに際して、テキスト等のコンテンツデータは顧客サーバから送信し、画像等のコンテンツデータは前記コンテンツサーバ2a,2b,2c…より送信するように構成しても良い。
また、コンテンツ提供サービス会社には、前記コンテンツへのアクセスを可能とするためのURLと各サイトのコンテンツサーバ2a,2b,2c…のIPアドレスと各サイトの配信(通信)負荷の情報が収集、登録されている負荷テーブル等が記憶されたDNSサーバ7が設けられている。
この本実施例のDNSサーバが行う処理内容について、図3に示すフロー図を用いて説明すると、該DNSサーバ7は、エンドユーザーのインターネット端末8からのドメインネームの問い合わせ有無を検出し(Sa1)、該検出にてドメインネームの問い合わせがある場合にはSa2へ進み、検出が無い場合にはSa5へ進んで各サイトのレイヤ4(L4)スイッチ3からの負荷状況通知の有無の検出を実施し、該検出において負荷通知が無い場合には前記Sa1に戻るようになっており、ドメインネームの問い合わせ或いは各サイトのレイヤ4(L4)スイッチ3からの負荷状況通知の検出待ちが実施される。
ここで、Sa5において負荷状況通知有りが検出された場合には、Sa6へ進んで、各サイトの負荷状況が登録されている負荷テーブルにおいて、受信した負荷状況通知により特定されるサイトの負荷状況を、受信した負荷状況通知に基づく負荷状況に更新登録した後、前記始めに戻るようになっている。
また、前記Sa1においてインターネット端末8からのドメインネームの問い合わせが検出された場合には、Sa2へ進んで、前記にて最新の負荷状況に更新されている負荷テーブルを参照し、該テーブルの負荷状況の内、最も少ない負荷のサイトに設置されているコンテンツサーバ2a,2b,2c…のIPアドレスを特定し(Sa3)、該特定したコンテンツサーバ2a,2b,2c…のIPアドレスを問い合わせのあったインターネット端末8に返信する(Sa4)。このようにすることで、該DNSサーバがエンドユーザーのインターネット端末8からのドメインネームの問い合わせに対して、各サイトの負荷がほぼ均等となるようになっている。
このように、DNSサーバ7がアクセス分散手段を担うようにすることは、これらDNSサーバは常時アクセスを監視していることから、アクセス分散手段を好適に構築することができることから好ましいが、本発明はこれに限定されるものではなく、これら各サイトに対し、アクセスを均等化するように振り分けるアクセス分散手段をDNSサーバ7とは個別に設けるようにしても良い。尚、これらDNSサーバ7としては、公知のサーバ用コンピュータを使用することができる。
次いで、本実施例のコンテンツ配信システムに用いたコンテンツサーバ2a,2b,2c…としては、登録されているコンテンツデータを配信する機能を有するウエブアプリケーションと、該ウエブアプリケーションが動作可能なオペレーションシステムプログラム(OS)が搭載されているものであれば公知のサーバ用コンピュータを使用することができる。
次いで、本実施例のコンテンツ配信システムに用いたレイヤ4(L4)スイッチ3は、その前面に前記インターネット網との通信を行うための図示しない外部通信装置が接続される外部接続部と、前記コンテンツサーバ2a,2b,2c…や不正アクセス検出装置(IDS)4並びにアクセス分析装置5等のサイト内の各種機器が接続される内部接続部が設けられているとともに、前記外部接続部と内部接続部との間には、通信経路切替回路(スイッチ)が設けられていて、通信プロトコルのレイヤ4のIPヘッダによるスイッチングが実施され、各接続部に接続されている機器間の通信が可能とされているとともに、両通信経路切替回路(スイッチ)間のデータ授受が可能とされている。
この両通信経路切替回路(スイッチ)間には、図2に示すように、予め設定ファイルに登録されている所定のIPアドレスからのアクセスを通過させないようにフィルタリングを行うフィルタ処理部が設けられていて、該フィルタ処理部によりファイヤーウオール機能がレイヤ4(L4)スイッチ3に付加されており、前記設定ファイルのデータは、アクセス分析装置5から出力される更新指示に基づいて更新されるようになっている。
また、前記フィルタ処理部を通過した外部からの通過データ(アクセスデータ)は、複製処理部により複製されてミラーパケットが生成され、該生成されたミラーパケットが装置の前面に設けられているミラーポートより該ミラーポートに接続されている前記不正アクセス検出装置(IDS)4に出力されるとともに、本来の通過データ(アクセスデータ)は、コンテンツサーバ2a,2b,2c…へ出力される(図7参照)。
尚、本実施例に用いた前記レイヤ4(L4)スイッチ3には、前記外部接続部に対応して設けられている通信経路切替回路に、外部からのアクセス並びにコンテンツデータの配信に伴う通信経路切替回路における通信負荷(トラヒック)を監視するためのトラヒック監視処理部が設けられていて、該トラヒック監視処理部にて監視されたトラヒック状況を、予め登録されている前記DNSサーバ7のグローバルIPアドレスに対し、サイトを特定可能なサイトIDとともにインターネット網経由にて送信することで、該トラヒック状況を前記DNSサーバ7が受信し、負荷テーブルに更新登録することで、DNSサーバ7が各サイトの負荷状況を逐次把握できるようになっている。
次いで、本実施例のコンテンツ配信システムに用いた不正アクセス検出装置(IDS)4について説明すると、本実施例に用いた不正アクセス検出装置(IDS)4としては、比較的高速の演算処理を実施可能なサーバ用コンピュータに不正アクセス検出プログラムを搭載したものを使用している。
この本実施例のた不正アクセス検出装置(IDS)4における処理内容は、図4に示すように、前記レイヤ4(L4)スイッチ3のミラーポートより出力されたミラーパケットを再構成するとともに(Sb1)、該再構成された通信データ列を予め不正アクセスパターンファイルに登録されている不正アクセスパターンと比較照合を実施し(Sb2)、該比較が登録されている不正アクセスパターンに一致しない場合においては、前記Sb1へ戻り、再度Sb2並びにSb3を実施する。
また、Sb3の判定において、不正アクセスパターンに一致した場合には、Sb4へ進んで、不正アクセス者のIPアドレスを含む不正アクセスの検知通知をアクセス分析装置5へ出力するようになっている。
このように、本実施例では、膨大な通信データに内在される不正アクセスパターンによる不正アクセスの検出処理を、高速かつ正確に実施できるようにするために、これら不正アクセス検出装置(IDS)4を単独のコンピュータにて形成しているが、本発明はこれに限定されるものではなく、これら高速のコンピュータを前記レイヤ4(L4)スイッチ3と一体化したものとしたり、後述するアクセス分析装置5と一体化したものとしても良い。
この不正アクセス検出装置(IDS)4から出力された不正アクセスの検知通知を受信するアクセス分析装置5は、本実施例では、比較的演算能力に優れた公知のパーソナルコンピュータにアクセス分析用のアプリケーションプログラムを搭載したものを使用している。
この本実施例のアクセス分析装置5が行う処理内容は、図6に示すようになっており、まず、前記不正アクセス検出装置(IDS)4から出力される不正アクセスの検知通知の有無を検出し(Sd1)、該検知通知が無い場合にはSd7へ進んで、他のサイトのアクセス分析装置5から不正アクセスの検知に関する情報の有無の検出し、該不正アクセスの検知に関する情報の通知が無い場合には前記Sd1へ戻る。
前記Sd1において検知通知が有る場合にはSd2へ進んで、検知通知に含まれる不正アクセス者のIPアドレス情報に基づき、該当するセッションを特定するとともに、通知された不正アクセス者のIPアドレスを危険度とをテーブルに更新登録する。
該登録に次いで、前記不正アクセス者のIPアドレス情報に基づき前記レイヤ4(L4)スイッチ3のフィルタ設定ファイルの更新指示を出力して、該不正アクセス者のIPアドレスを登録する(Sd3)。
次いで、Sd4へ進んで、前記にてテーブルを更新した不正アクセス者の危険度レベルが所定値以上であるかを判定し、所定に危険度に達していない場合には、Sd6へ進み、不正アクセス者の危険度レベルが所定値以上である場合においては、Sd5へ進んで、該当するセッションに対し危険度レベルに該当するアクション、例えば最大危険度であればセッションに対しリセットパケットを送出して、セッションを切断するアクションを特定し、該アクションを実施した後、Sd6へ進む。
Sd6では、前記不正アクセスの検知に関する情報、例えば該不正アクセスのアクセスパターン情報や不正アクセス者のIPアドレス情報等が他のサイトのアクセス分析装置5へ通知する。
これら送信された不正アクセスの検知に関する情報は、他のサイトのアクセス分析装置において、前記Sd7にて検出され、該検出に基づきSd8へ進む。
該Sd8においては、通知情報を一時記憶するとともに、通知情報に含まれている不正アクセスパターンを特定し、該不正アクセスパターンを不正アクセスパターンファイルに登録するように、更新指示を不正アクセス検出装置(IDS)4に出力する(Sd9)。更に、Sd10へ進んで、通知情報に含まれている不正アクセスのIPアドレスを特定し、該IPアドレスをフィルタ設定ファイルに登録するように、更新指示を前記レイヤ4(L4)スイッチ3に出力する(Sd9)。このようにすることで、いずれかのサイトにて不正アクセスが検出された場合においては、他のサイトにその不正アクセスの情報が反映されるようになるため、同一の不正アクセス者からのアクセスを、他のサイトにて効率良く検知して対応できるようになっている。
このように、他のサイトに対し、不正アクセスの情報を通知するようにすることは、これら不正アクセスによる攻撃に他のサイトのレイヤ4(L4)スイッチ3や不正アクセス検出装置(IDS)4が迅速に対処できるようになり、システム全体の防衛能力を向上できることから好ましいが、本発明はこれに限定されるものではない。
前記他サイトのアクセス分析装置5からの不正アクセスの情報通知に基づき不正アクセス検出装置(IDS)4に出力される更新指示は、図5に示すフロー図に示すように、更新指示の有無をIDS4が検出した場合には(Sc1)、該受信した更新指示データを一時記憶するとともに、該記憶した更新指示データに含まれる不正アクセスパターンを前記不正アクセスパターンファイルに登録して、ファイル更新を行うようになっている。
以下、本実施例のコンテンツ配信システムにおける動作について説明すると、まず、エンドユーザーのインターネット端末8において、コンテンツデータに対し付与、公開されたURLの問い合わせに対し、前記DNSサーバ7は、前記図3のフロー図に示すように、各サイトの前記レイヤ4(L4)スイッチ3からの負荷通知に基づき更新されている負荷テーブルに基づいて、最も負荷の少ないサイトのコンテンツサーバのIPアドレスを問い合わせてきたエンドユーザーに返信する。
該IPアドレスの返信に基づきエンドユーザーのインターネット端末8は、返信されてきたIPアドレスのコンテンツサーバ2a,2b,2c…に対し、コンテンツリクエストを送信する。これらコンテンツリクエストは、前記レイヤ4(L4)スイッチ3により送信元であるインターネット端末8のIPアドレスが前記設定ファイルに登録されていないものであれば通過されてコンテンツサーバ2a,2b,2c…へ伝達される。
該コンテンツリクエストの受信に基づき、コンテンツサーバ2a,2b,2c…は要求されたコンテンツデータを送信元のIPアドレスに対して送信することで、インターネット端末8に該コンテンツが表示或いは再生されるようになっている。
ここで、不正アクセス者が、例えば前述したDDos攻撃を実施した場合においては、これら不正アクセス者による攻撃が前記DNSサーバ7にて各サイトに分散されるようになり、1カ所のサイトに集中することがなく、よって、これら分散された攻撃負荷により、前記不正アクセス検出装置(IDS)4が不正アクセスを的確に検知することが可能となり、これら不正アクセス者の攻撃から前記コンテンツサーバ2a,2b,2c…並びに顧客サーバ1を防御することができるようになる。
以上、本実施例のようにすれば、前記インターネット端末であるアクセス利用者のコンピュータ8からのコンテンツ配信要求(アクセス)が、前記アクセス分散手段である監視用DNSサーバにより各コンテンツサーバ2a,2b,2c…に負荷がほぼ均等となるように分散され、各サイトへのアクセス負荷を十分に低減できるようになることから、例え前記DDos攻撃がなされたとしても、前記不正アクセス検出手段である不正アクセス検出装置(IDS)4が不正なアクセスを確実に検知でき、該不正なアクセスを確実に遮断できるようになることから、前記コンテンツサーバ2a,2b,2c…並びに顧客サーバ1を不正なアクセスから防衛することが可能となる。
以上、本発明の実施形態を図面により前記実施例にて説明してきたが、本発明はこれら実施例に限定されるものではなく、本発明の主旨を逸脱しない範囲における変更や追加があっても本発明に含まれることは言うまでもない。
例えば、前記実施例では、インターネット端末8をパソコンとしているが、本発明はこれに限定されるものではなく、これらインターネット端末8としては、配信されるコンテンツを表示或いは再生できるブラウザアプリケーションが搭載されているものであれば、携帯電話やPDA等のものであっても良いことは言うまでも無い。
また、本実施例では、メインサーバ2aが設置されているサイトAと顧客サーバ1とのみをVPN接続しているが、本発明はこれに限定されるものではなく、各サイトにVPN装置6を設置して各サイト間をVPN接続したり、前記DNSサーバ7をVPN接続したりするようにしても良い。
【図面の簡単な説明】
第1図は、本発明の実施例におけるコンテンツ配信システムの構成を示すブロック図である。
第2図は、本発明の実施例におけるコンテンツ配信システムに用いたレイヤ4(L4)スイッチ内の処理状況を示す図である。
第3図は、本発明の実施例におけるコンテンツ配信システムに用いたDNSサーバの処理内容を示すフロー図である。
第4図は、本発明の実施例におけるコンテンツ配信システムに用いた不正アクセス検出装置(IDS)における処理内容を示すフロー図である。
第5図は、本発明の実施例におけるコンテンツ配信システムに用いた不正アクセス検出装置(IDS)における不正アクセスパターンファイルの更新処理の内容を示すフロー図である。
第6図は、本発明の実施例におけるコンテンツ配信システムに用いたアクセス分析装置における処理内容を示す図である。
第7図は、本発明の実施例におけるコンテンツ配信システムに用いた各サイトの各機器における情報のやりとりを示す説明図である。
符号の説明
1 顧客サーバ
2a コンテンツサーバ(メインサーバ)
2b コンテンツサーバ(キャッシュサーバ)
2c コンテンツサーバ(キャッシュサーバ)
3 レイヤ4(L4)スイッチ
4 不正アクセス検出装置(IDS)
5 アクセス分析装置
6 仮想プライベートネットワーク(VPN)装置
7 DNSサーバ
8 インターネット端末
Claims (4)
- インターネット網に接続可能なインターネット端末に対し、該インターネット網を通じて登録されているコンテンツを配信するコンテンツサーバを不正なアクセスから防衛するためのコンテンツサーバ防衛システムであって、
前記コンテンツサーバに登録されている配信用コンテンツデータの少なくとも一部が複製された複製コンテンツデータが登録され、該複製コンテンツデータを前記インターネット端末に対して配信可能とされた補助サーバと、
前記インターネット端末からのコンテンツの配信要求を、前記各サーバの配信負荷がほぼ均等となるように各サーバに割り振るアクセス分散手段と、
各サーバへの不正アクセスを検出する不正アクセス検出手段と、
該不正アクセス検出手段が不正アクセスを検出した場合において不正アクセスの通信を遮断する不正アクセス遮断手段と、
を備えることを特徴とするコンテンツサーバ防衛システム。 - 前記不正アクセス検出手段並びに不正アクセス遮断手段とを各サーバに対応して設け、各サーバの不正アクセス検出手段或いは不正アクセス遮断手段は、前記不正アクセス検出手段による不正アクセスの検出に基づき、該不正アクセスに関する情報を他の不正アクセス検出手段或いは不正アクセス遮断手段に通知する請求項1に記載のコンテンツサーバ防衛システム。
- 前記アクセス分散手段が、インターネット上のドメイン名をインターネット上の各サーバのIPアドレスに変換するDNSサーバを兼ねる請求項1または2に記載のコンテンツサーバ防衛システム。
- 前記補助サーバには、コンテンツサーバとは異なる公開されるドメイン名を付与し、該コンテンツサーバのIPアドレスを非公開とする請求項1〜3のいずれかに記載のコンテンツサーバ防衛システム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2001/008156 WO2003027858A1 (fr) | 2001-09-19 | 2001-09-19 | Systeme de protection de serveurs de contenu |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2003027858A1 true JPWO2003027858A1 (ja) | 2005-01-13 |
Family
ID=11737741
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003521676A Pending JPWO2003027858A1 (ja) | 2001-09-19 | 2001-09-19 | コンテンツサーバ防衛システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20040243843A1 (ja) |
| JP (1) | JPWO2003027858A1 (ja) |
| WO (1) | WO2003027858A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667581B2 (en) * | 2006-06-08 | 2014-03-04 | Microsoft Corporation | Resource indicator trap doors for detecting and stopping malware propagation |
| JP4571184B2 (ja) | 2006-08-24 | 2010-10-27 | デュアキシズ株式会社 | 通信管理システム |
| JP4574675B2 (ja) | 2006-08-24 | 2010-11-04 | デュアキシズ株式会社 | 通信管理システム |
| JP4845661B2 (ja) * | 2006-09-28 | 2011-12-28 | 三菱電機株式会社 | ネットワーク監視装置及びネットワーク監視方法及びプログラム |
| JP4677482B2 (ja) * | 2008-03-27 | 2011-04-27 | 西日本電信電話株式会社 | アクセス振分システム、サーバ装置、共通管理装置、アクセス振分装置、アクセス振分方法、及び、コンピュータプログラム |
| US7991957B2 (en) * | 2008-05-27 | 2011-08-02 | Microsoft Corporation | Abuse detection using distributed cache |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| US20110055312A1 (en) * | 2009-08-28 | 2011-03-03 | Apple Inc. | Chunked downloads over a content delivery network |
| US9749241B2 (en) * | 2010-11-09 | 2017-08-29 | International Business Machines Corporation | Dynamic traffic management in a data center |
| JP5165045B2 (ja) * | 2010-11-10 | 2013-03-21 | ヤフー株式会社 | キャッシュシステム及びコンテンツ配信制御方法 |
| US8954568B2 (en) * | 2011-07-21 | 2015-02-10 | Yahoo! Inc. | Method and system for building an elastic cloud web server farm |
| KR101252787B1 (ko) | 2011-12-06 | 2013-04-09 | 이청종 | 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법 |
| US9426067B2 (en) | 2012-06-12 | 2016-08-23 | International Business Machines Corporation | Integrated switch for dynamic orchestration of traffic |
| RU2649290C1 (ru) * | 2017-04-28 | 2018-03-30 | Акционерное общество "Лаборатория Касперского" | Система и способ фильтрации трафика при обнаружении DDoS-атаки |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3165366B2 (ja) * | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
| US6768999B2 (en) * | 1996-06-28 | 2004-07-27 | Mirror Worlds Technologies, Inc. | Enterprise, stream-based, information management system |
| US6260120B1 (en) * | 1998-06-29 | 2001-07-10 | Emc Corporation | Storage mapping and partitioning among multiple host processors in the presence of login state changes and host controller replacement |
| US6421711B1 (en) * | 1998-06-29 | 2002-07-16 | Emc Corporation | Virtual ports for data transferring of a data storage system |
| US6295575B1 (en) * | 1998-06-29 | 2001-09-25 | Emc Corporation | Configuring vectors of logical storage units for data storage partitioning and sharing |
| JP3474453B2 (ja) * | 1998-09-04 | 2003-12-08 | ビスト コーポレイション | ネットワークにおけるワークスペースエレメントの多数のコピーを安全に同期させる方法およびシステム |
| US6775782B1 (en) * | 1999-03-31 | 2004-08-10 | International Business Machines Corporation | System and method for suspending and resuming digital certificates in a certificate-based user authentication application system |
| JP2000293496A (ja) * | 1999-04-08 | 2000-10-20 | Nec Corp | ネットワークにおけるサービス負荷分散装置 |
| JP2001202318A (ja) * | 2000-01-24 | 2001-07-27 | Hitachi Kokusai Electric Inc | データ配信システム |
| US6965939B2 (en) * | 2001-01-05 | 2005-11-15 | International Business Machines Corporation | Method and apparatus for processing requests in a network data processing system based on a trust association between servers |
-
2001
- 2001-09-19 WO PCT/JP2001/008156 patent/WO2003027858A1/ja active Application Filing
- 2001-09-19 US US10/489,521 patent/US20040243843A1/en not_active Abandoned
- 2001-09-19 JP JP2003521676A patent/JPWO2003027858A1/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2003027858A1 (fr) | 2003-04-03 |
| US20040243843A1 (en) | 2004-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6961783B1 (en) | DNS server access control system and method | |
| US7120934B2 (en) | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network | |
| KR100604604B1 (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
| US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
| US6237037B1 (en) | Method and arrangement relating to communications systems | |
| JP2008177714A (ja) | ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置 | |
| JPWO2003027858A1 (ja) | コンテンツサーバ防衛システム | |
| Hong et al. | Design and implementation of an efficient defense mechanism against ARP spoofing attacks using AES and RSA | |
| JP3587633B2 (ja) | ネットワーク通信方法および装置 | |
| JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
| JP3590394B2 (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| JP3790486B2 (ja) | パケット中継装置、パケット中継システムおよびオトリ誘導システム | |
| JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
| JP3649180B2 (ja) | セキュリティ管理システムおよび経路指定プログラム | |
| CA3175335A1 (en) | Local network device connection control | |
| JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| Tupakula et al. | Tracing DDoS floods: An automated approach | |
| Cisco | Glossary | |
| JP2005210451A (ja) | 不正アクセス防止装置及びプログラム | |
| JP2004078602A (ja) | データ処理装置 | |
| Gururaj et al. | Minimizing the impact of Flash Crowd Attack in online retail applications | |
| Wang et al. | Construction of Compound DDOS Network Security System Based on PKI and CA Authentication | |
| Behboodian et al. | Arp poisoning attack detection and protection in wlan via client web browser | |
| Hsu et al. | An Active User-Side Detector for Evil Twins |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051228 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060228 |