WO2020017272A1

WO2020017272A1 - 攻撃対処箇所選択装置及び攻撃対処箇所選択方法

Info

Publication number: WO2020017272A1
Application number: PCT/JP2019/025609
Authority: WO
Inventors: 裕一石原
Original assignee: 日本電信電話株式会社
Priority date: 2018-07-17
Filing date: 2019-06-27
Publication date: 2020-01-23
Also published as: US20210273952A1; JP6939726B2; JP2020014089A; US11843615B2

Abstract

攻撃対処箇所選択装置は、攻撃トラフィックの経路に係る複数の第１の転送装置のそれぞれのトラフィック量を取得する取得部と、前記各第１の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第１の転送装置から抽出される各第２の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第３の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択部と、を有することで、攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択する。

Description

攻撃対処箇所選択装置及び攻撃対処箇所選択方法

　本発明は、攻撃対処箇所選択装置及び攻撃対処箇所選択方法に関する。

　ネットワーク内のサーバ又は当該ネットワークに接続されるユーザ等に対する攻撃トラフィックの流入を検知した場合、早急に対処を行いつつサービスを継続する必要がある。サービスを継続しながら攻撃対処を行う方法としては、ミティゲーション装置などの防御装置に攻撃トラフィックを引き込んで対処する方法が一般的である。

インターネット＜URL：http://www.sflow.org/developers/specifications.php＞インターネット＜URL：https://www.ietf.org/rfc/rfc3954.txt＞

　攻撃トラフィックを防御装置へ引き込むにあたり、攻撃トラフィックの引き込み点（ルータ等）が適当に決められてしまうと、適切な対処が困難になる可能性が有る。

　例えば、大量のトラフィックが通過する箇所が引き込み点とされてしまうと、防御装置の対処リソースの上限を超えるトラフィックが防御装置に流入する可能性が有る。その場合、防御装置によっては、機能停止等の異常が発生する可能性が有る。

　また、対処リソースの上限以下の攻撃トラフィックが防御装置へ流入する場合であっても、大量の攻撃トラフィックが防御装置へ流入する場合には、攻撃トラフィックの引き込みの伝送コストと、対処済みのトラフィックを元の経路に戻すための伝送コストとが、運用上、無視できないほど大きくなる可能性も有る。

　したがって、攻撃トラフィックを防御装置に引き込む際には、防御装置の対処リソース量と、引き込み／戻しにおける伝送コストとを考慮して引き込み点を選択する必要がある。

　本発明は、上記の点に鑑みてなされたものであって、攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することを目的とする。

　そこで上記課題を解決するため、攻撃対処箇所選択装置は、攻撃トラフィックの経路に係る複数の第１の転送装置のそれぞれのトラフィック量を取得する取得部と、前記各第１の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第１の転送装置から抽出される各第２の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第３の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択部と、を有する。

　攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することができる。

本発明の実施の形態におけるネットワーク構成例を示す図である。本発明の実施の形態における制御装置１０のハードウェア構成例を示す図である。本発明の実施の形態における制御装置１０の機能構成例を示す図である。防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容されない場合に制御装置１０が実行する処理手順の一例を説明するためのフローチャートである。攻撃経路及び各ルータＲのトラフィック量の一例を示す図である。防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容される場合に制御装置１０が実行する処理手順の一例を説明するためのフローチャートである。攻撃経路に係る各ルータのトラフィック量からの防御装置６０のリソースの上限値の減算結果の一例を示す図である。攻撃経路の特定に関する制御装置１０及びルータＲの機能構成例を示す図である。攻撃検知時に実行される処理手順の一例を説明するためのシーケンス図である。ＧＷＲにおける攻撃パケットの受信に応じて実行される処理手順の一例を説明するためのシーケンス図である。経路特定部１６が実行する処理手順の一例を説明するためのフローチャートである。

　以下、図面に基づいて本発明の実施の形態を説明する。図１は、本発明の実施の形態におけるネットワーク構成例を示す図である。図１において、ネットワークＮ１は、ルータＲ１～Ｒ８等の複数のルータ（転送装置）を含む。このうち、ルータＲ１、ルータＲ２及びルータＲ３は、ゲートウェイルータ（ＧＷＲ）である。本実施の形態において、３つのＧＷＲ（ルータＲ１、Ｒ２及びＲ３）が、サイバー攻撃（例えば、ＤＤｏＳ（Distributed Denial of Service）攻撃）の攻撃元Ｘからの攻撃トラフィックに係るＩＰパケット（以下、「攻撃パケット」という。）を、ネットワークＮ１において最初に受信する。

　また、ルータＲ８は、装置Ｙに対するエッジルータである。装置Ｙは、本実施の形態においてサイバー攻撃の対象となるコンピュータ等である。したがって、本実施の形態において、攻撃パケット（攻撃通信）の送信元は、攻撃元Ｘであり、宛先は装置Ｙである。なお、各ルータを区別しない場合、「ルータＲ」という。また、攻撃元Ｘは、複数に分散されていてもよい。この場合、各ＧＷＲが受信する攻撃パケットの送信元は、異なっていてもよい。また、一つのＧＷＲが複数の送信元から攻撃パケットを受信してもよい。

　ＧＷＲであるルータＲ１、Ｒ２及びＲ３と、エッジルータであるルータＲ８とは、制御装置１０と所定の回線（ネットワーク）を介して接続される。

　制御装置１０は、ネットワークＮ１に流入する攻撃パケットに対する対処を制御する１以上のコンピュータ（情報処理装置）である。すなわち、制御装置１０は、１つのコンピュータであってもよいし、分散された複数のコンピュータによって構成されてもよい。本実施の形態において、制御装置１０は、ルータＲ群の中から、防御装置６０へ攻撃パケットを引き込む箇所（以下、「引き込み点」という。）とするルータＲを特定する。

　図１において、制御装置１０は、セキュリティ装置３０、フローコレクタ４０、経路制御装置５０及び防御装置６０とネットワークを介して接続される。

　セキュリティ装置３０は、サイバー攻撃の発生を検知し、攻撃パケットの条件を示す情報を制御装置１０へ通知する装置である。但し、装置Ｙが、セキュリティ装置３０の機能を兼ねてもよい。

　フローコレクタ４０は、各ルータＲと接続されており、各ルータＲが転送するパケットが持つ情報（パケット転送に関わる情報のみで、データ部の情報については対象外）を収集し、収集した情報の統計情報（フロー情報）を生成する。

　経路制御装置５０は、各ルータＲと接続されており、制御装置１０によって引き込み点として選択されたルータＲに対し、パケットの転送経路の変更等を指示する装置である。

　防御装置６０は、引き込み点としてのルータＲからトラフィックを引き込み、攻撃トラフィックについては対処を行い、正常トラフィックは疎通させる装置である。防御装置６０は、各ルータＲと直接的又は間接的に接続されているが、平常時には、いずれのルータＲからもトラフィック（パケット）は流入していない。

　なお、フローコレクタ４０、経路制御装置５０及び防御装置６０と、各ルータＲとの接続関係の図示は、便宜上、省略されている。

　図２は、本発明の実施の形態における制御装置１０のハードウェア構成例を示す図である。図２の制御装置１０は、それぞれバスＢで相互に接続されているドライブ装置１００、補助記憶装置１０２、メモリ装置１０３、ＣＰＵ１０４、及びインタフェース装置１０５等を有する。

　制御装置１０での処理を実現するプログラムは、ＣＤ－ＲＯＭ等の記録媒体１０１によって提供される。プログラムを記憶した記録媒体１０１がドライブ装置１００にセットされると、プログラムが記録媒体１０１からドライブ装置１００を介して補助記憶装置１０２にインストールされる。但し、プログラムのインストールは必ずしも記録媒体１０１より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置１０２は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。

　メモリ装置１０３は、プログラムの起動指示があった場合に、補助記憶装置１０２からプログラムを読み出して格納する。ＣＰＵ１０４は、メモリ装置１０３に格納されたプログラムに従って制御装置１０に係る機能を実行する。インタフェース装置１０５は、ネットワークに接続するためのインタフェースとして用いられる。

　図３は、本発明の実施の形態における制御装置１０の機能構成例を示す図である。図３において、制御装置１０は、攻撃経路状況確認部１１及び対処箇所選択部１２を有する。これら各部は、制御装置１０にインストールされた１以上のプログラムが、ＣＰＵ１０４に実行させる処理により実現される。制御装置１０は、また、攻撃経路記憶部１１１を利用する。攻撃経路記憶部１１１は、例えば、補助記憶装置１０２、又は制御装置１０にネットワークを介して接続可能な記憶装置等を用いて実現可能である。

　攻撃経路記憶部１１１には、攻撃パケットに関する条件を示す情報（例えば、５ｔｕｐｌｅ情報）等を含む攻撃情報に対応付けて、当該攻撃パケットに関してネットワークＮ１において特定された経路（以下「攻撃経路」という。）を示す経路情報が記憶されている。経路情報は、例えば、攻撃経路における各ルータＲの識別情報（例えば、ＩＰアドレス）が、攻撃パケットが通過する順番に並べられた配列である。但し、経路情報の形式は、所定のものに限定されない。また、複数の攻撃経路に関する経路情報が攻撃経路記憶部１１１に記憶されていてもよい。なお、攻撃パケットの経路情報（以下「攻撃経路情報」という。）の特定方法は、所定のものに限定されない。また、攻撃経路を特定可能な情報であれば、攻撃経路情報の構造も所定のものに限定されない。

　攻撃経路状況確認部１１は、攻撃情報に対応付けられて攻撃経路記憶部１１１に記憶されている攻撃経路情報が示す攻撃経路に係る（攻撃経路上の）各ルータＲの状況（トラフィック量等）を確認する。

　対処箇所選択部１２は、防御装置６０のリソース量や、攻撃経路状況確認部１１による確認結果等に基づいて、ルータＲ１～Ｒ８の中から引き込み点（攻撃の対処箇所）とするルータＲを選択（特定）する。

　以下、制御装置１０が実行する処理手順について説明する。本実施の形態では、防御装置６０の対処リソース（攻撃パケットの対処用のリソース）の上限以上の引き込みトラフィック量が許容されない場合（上限を超えるトラフィックの流入により防御装置６０の挙動に影響がある場合）と、そうでない場合（上限を超えた分の攻撃パケットは対処されずに防御装置６０から戻される場合）とに分けて制御装置１０の処理手順を説明する。すなわち、対処リソースの上限以上のトラフィックが流入した場合の挙動は、防御装置６０の仕様によって異なる。また、防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容されるか否かに応じて、最適な引き込み点が異なる可能性が有る。そこで、本実施の形態では、制御装置１０の処理手順について、防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容されない場合と、そうでない場合とで区別される。

　図４は、防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容されない場合に制御装置１０が実行する処理手順の一例を説明するためのフローチャートである。

　ステップＳ１０１において、攻撃経路状況確認部１１は、防御装置６０の対処リソースの上限値（以下、「防御上限値」という。）を取得する。当該防御上限値は、防御装置６０から取得されてもよいし、予め補助記憶装置１０２等に記憶されていてもよい。続いて、攻撃経路状況確認部１１は、攻撃経路記憶部１１１から攻撃経路情報を取得する（Ｓ１０２）。続いて、攻撃経路状況確認部１１は、当該攻撃経路情報が示す攻撃経路に係る各ルータＲのトラフィック量を、例えば、フローコレクタ４０から取得する（Ｓ１０３）。

　図５は、攻撃経路及び各ルータＲのトラフィック量の一例を示す図である。図５において、各ルータＲの接続関係は、攻撃経路を示す。また、各ルータＲ内には、当該ルータのトラフィック量が示されている。すなわち、図５では、ルータＲ１、Ｒ２、Ｒ３、Ｒ４、Ｒ５、Ｒ６、Ｒ７、Ｒ８の順に、トラフィック量が、２０Ｇｂｐｓ、４０Ｇｂｐｓ、３０Ｇｂｐｓ、２０Ｇｂｐｓ、４０Ｇｂｐｓ、３０Ｇｂｐｓ、６０Ｇｂｐｓ、９０Ｇｂｐｓである例が示されている。ステップＳ１０３の時点において、攻撃経路状況確認部１１は、図５に示されるような情報を得ることができる。

　続いて、対処箇所選択部１２は、トラフィック量が防御上限値未満であるルータＲを抽出する（Ｓ１０４）。ここで、防御上限値は、５０Ｇｂｐｓであるとする。したがって、図５の例では、ルータＲ７及びＲ８以外が抽出される。続いて、対処箇所選択部１２は、抽出された各ルータＲに対してトラフィック量の降順に優先順位を付与する（Ｓ１０５）。この際、トラフィック量が同じルータＲ間においては、攻撃経路において、攻撃対象（装置Ｙ）に近い方が優先順位が高く（前に）される。攻撃対象に近いルータＲの方が、トラフィックが集約されている可能性が高く、攻撃パケットの引き込みを効果的に行える可能性が高いと考えられるからである。したがって、図５の例において、当該優先順位は、「Ｒ５、Ｒ２、Ｒ６、Ｒ３、Ｒ４、Ｒ１」となる。

　続いて、対処箇所選択部１２は、当該優先順位において、攻撃経路上における前段（攻撃元Ｘに近い）のルータＲへの経路が１つだけであるルータＲを当該前段のルータＲへ集約して、優先順位を付与しなおす（Ｓ１０６）。すなわち、該当ルータＲが、当該優先順位から除去される。なお、斯かる集約（除去）は、再帰的に行われる。図５の例では、ルータＲ４及びＲ５が除去される。その結果、優先順位は、「Ｒ２、Ｒ６、Ｒ３、Ｒ１」となる。以下、当該優先順位を「最終優先順位」という。すなわち、一つの経路上の複数のルータＲは、引き込み点としての有効性においては等価あると考えられる。したがって、これら複数のルータＲは、最前段のルータＲに集約される。なお、集約先を最前段のルータＲとするのは、できるだけ攻撃経路の上流において攻撃パケットに対する対処を行うことで、ネットワークＮ１における攻撃パケットの流通量を低下させるためである。

　続いて、対処箇所選択部１２は、最終優先順位において最上位のルータＲ（図５では、ルータＲ２）を引き込み点のルータＲとして選択し、選択したルータＲの識別情報を経路制御装置５０へ通知する（Ｓ１０７）。経路制御装置５０は、通知された識別情報に係るルータＲに対して、当該ルータＲにおける全トラフィックが防御装置６０に流入されるように経路変更を指示する。但し、当該ルータＲが、経路変更するトラフィックについて条件を設定可能であれば、攻撃情報に係るトラフィックが経路変更の対象とされるように指示が行われてもよい。

　その後、引き込み点からトラフィックが防御装置６０へ引き込まれている状態において、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部１１は、防御装置６０での攻撃パケットに対する対処結果を取得する（Ｓ１０８）。対処結果とは、例えば、引き込まれたトラフィックのうち攻撃パケットとして実際に対処した量（Ｇｂｐｓ）や、防御装置６０において実際の対処に使用されたリソース量（Ｇｂｐｓ）等を示す情報である。なお、引き込まれたトラフィックについて、攻撃パケットであるか否かの判断は、防御装置６０に関する既存技術によって行われる。

　続いて、対処箇所選択部１２は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量と、最終優先順位において、現在の引き込み点のルータＲの次の順位のルータＲ（図５ではルータＲ６）の現時点のトラフィック量とを比較する（Ｓ１０９）。例えば、対処結果が、引き込まれたトラフィックのうち攻撃パケットとして実際に対処した量（Ｇｂｐｓ）を示す場合には当該量が当該実対処トラフィック量として特定さればよい。一方、対処結果が、防御装置６０において実際の対処に使用されたリソース量（Ｇｂｐｓ）を示す場合、当該リソース量が当該実対処トラフィック量として特定されてもよい。なお、次の順位のルータＲの現時点のトラフィック量は、フローコレクタ４０から取得されればよい。

　攻撃パケットに対する実対処トラフィック量が、当該次の順位のルータＲのトラフィック量以下であれば（Ｓ１０９でＹｅｓ）、対処箇所選択部１２は、当該次の順位のルータＲを新たな引き込み点として選択し、選択したルータＲの識別情報を経路制御装置５０へ通知する（Ｓ１１０）。当該通知に応じて経路制御装置５０が実行する処理は、ステップＳ１０７において説明した通りである。但し、経路制御装置５０は、元の引き込み点に係るルータＲに対して、防御装置６０へのトラフィックの流入の停止を指示する。すなわち、本実施の形態において、引き込み点は、１箇所に集約される。そうすることで、トラフィックの引き込みにかかる伝送コストが低減される。

　なお、防御装置６０に引き込まれるトラフィックには正常なトラフィックも含まれているため、防御装置６０に引き込まれるトラフィックのうち攻撃パケットの量が少なく、対処効果が低い可能性もある。そこで、ステップＳ１１０では、より効果的に対処が可能であると想定される別の引き込み点の再選択が行われる。なお、ステップＳ１１０において、次の順位のルータＲが無い場合、すなわち、最終優先順位において最後のルータＲが引き込み点であった場合、引き込み点の変更は行われなくてもよい。又は、一定の繰り返し回数若しくは一定時間の経過等の条件の充足に応じて、又は運用者による操作指示等に応じ、ステップＳ１０３以降が繰り返されてもよい。

　一方、攻撃パケットに対する実対処トラフィック量が、次の順位のルータＲのトラフィック量を超える場合は（Ｓ１０９でＮｏ）、引き込み点の変更は行われない。

　ステップＳ１０９でＮｏの場合、又はステップＳ１１０に続いて、ステップＳ１０８以降が繰り返される。

　図６は、防御装置６０の対処リソースの上限以上のトラフィック量の引き込みが許容される場合に制御装置１０が実行する処理手順の一例を説明するためのフローチャートである。

　ステップＳ２０１～Ｓ２０３は、図４のステップＳ１０１～Ｓ１０３と同じである。ステップＳ２０４において、対処箇所選択部１２は、攻撃経路に係る各ルータＲのトラフィック量から防御上限値（５０Ｇｂｐｓ）を減算する。

　図７は、攻撃経路に係る各ルータのトラフィック量からの防御装置６０のリソースの上限値の減算結果の一例を示す図である。図７には、各ルータＲ内にトラフィック量と減算結果とが示されている（減算結果は、括弧で囲まれている。）。なお、正の減算結果は、防御装置６０によって対処されずに戻されるトラフィック量を示す。負の減算結果は、防御装置６０の対処リソースの余剰量を示す。

　続いて、対処箇所選択部１２は、減算結果が０以上である（すなわち、トラフィック量が、防御上限値以上である）ルータＲを抽出する（Ｓ２０５）。図７の例では、ルータＲ７及びＲ８が抽出される。続いて、対処箇所選択部１２は、抽出された各ルータＲに対して、減算結果の昇順（すなわち、トラフィック量の昇順）に優先順位を付与する（Ｓ２０６）。図７の例において、当該優先順位は、「Ｒ７、Ｒ８」となる。

　なお、減算結果が０以上であるルータＲが無い場合には、ステップＳ２０４に続いて、ステップＳ２０５以降の代わりに、図４のステップＳ１０４以降が実行されればよい。

　ステップＳ２０６に続いて、対処箇所選択部１２は、当該優先順位について、図４のステップＳ１０６と同様の集約を行う（Ｓ２０７）。すなわち、前段（攻撃元Ｘに近い）のルータＲへの経路が１つだけであるルータＲが当該優先順位から除去される。以下、該当するルータＲが除去された優先順位を「最終優先順位」という。図７の例では、該当するルータＲは無いため、最終優先順位は、「Ｒ７、Ｒ８」のままである。

　続いて、対処箇所選択部１２は、最終優先順位において最上位のルータＲ（図７では、ルータＲ７）を引き込み点のルータＲとして選択し、選択したルータＲの識別情報を経路制御装置５０へ通知する（Ｓ２０８）。当該通知に応じて経路制御装置５０が実行する処理は、ステップＳ１０７において説明した通りである。

　その後、引き込み点からトラフィックが防御装置６０へ引き込まれている状態において、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部１１は、防御装置６０での対処結果を取得する（Ｓ２０９）。続いて、対処箇所選択部１２は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量に基づいて、伝送コストに対する対処量比ａを算出する（Ｓ２１０）。伝送コストに対する対処量比ａの算出方法は、以下の通りである。
伝送コストに対する対処量比ａ＝防御装置６０での実対処トラフィック量／実伝送コストｂ
実伝送コストｂ＝引き込みトラフィック量＋戻りのトラフィック量ｃ
戻りのトラフィック量ｃ＝引き込みトラフィック量－防御装置６０での実対処トラフィック量
　なお、引き込みトラフィック量とは、引き込み点から防御装置６０へ引き込まれるトラフィック量をいう。

　続いて、対処箇所選択部１２は、最終優先順位において、現在の引き込み点のルータＲの次の順位のルータＲ（図７では、ルータＲ８、以下「次順位ルータＲ」という。）について想定される最大伝送コストに対する対処量比ｄを算出する（Ｓ２１１）。当該対処量比ｄの算出方法は、以下の通りである。
想定される最大伝送コストに対する対処量比ｄ＝防御装置６０の上限対処リソース量／次順位ルータＲに関する想定伝送コストｅ
想定伝送コストｅ＝想定引き込みトラフィック量＋（想定引き込みトラフィック量－防御装置６０の上限対処リソース量）

　ここで、次順位のルータＲについては、現時点においては引き込みトラフィック量の実測値が不明であるため、引き込みトラヒック量の想定値（推定値）が、次順位のルータＲに係る伝送コストの計算に用いられる。当該想定値（想定引き込みトラフィック量）には、次順位ルータＲの現時点のトラフィック量が当てはめられる。また、次順位ルータＲを引き込み点とした場合の防御装置６０での実対処トラフィック量も現時点では不明である。したがって、防御装置６０の上限対処リソース量が、実対処トラフィック量の想定値（推定値）として伝送コストの計算に用いられる。このように、当該伝送コストは、想定値（推定値）に基づくものであるため、「想定伝送コストｅ」と表記される。また、想定伝送コストｅを用いて計算される対処量比ｄも、想定値（推定値）である。

　なお、ステップＳ２１１において、次順位のルータＲが無い場合、すなわち、最終優先順位において最後のルータＲが引き込み点であった場合、ステップＳ２０９に戻ってもよい。又は、一定の繰り返し回数若しくは一定時間の経過等の条件の充足に応じて、又は運用者による操作指示等に応じ、ステップＳ２０３以降が繰り返されてもよい。

　続いて、対処箇所選択部１２は、伝送コストに対する対処量比ａと、想定される最大伝送コストに対する対処量比ｄとを比較する（Ｓ２１２）。ａ＜ｄの場合（Ｓ２１２でＹｅｓ）、より多くの攻撃パケットに対する対処が可能であると推測されるため、対処箇所選択部１２は、次順位ルータＲを新たな引き込み点として選択し、選択したルータＲの識別情報を経路制御装置５０へ通知する（Ｓ２１３）。当該通知に応じて経路制御装置５０が実行する処理は、図４のステップＳ１１０において説明した通りである。一方、ａ≧ｄの場合（Ｓ２１２でＮｏ）、引き込み点の変更は行われずに、ステップＳ２０９へ戻る。

　ステップＳ２１３に続いて、一定時間が経過すると、又は運用者等による操作指示等に応じ、攻撃経路状況確認部１１は、防御装置６０での対処結果を取得する（Ｓ２１４）。続いて、対処箇所選択部１２は、当該対処結果に基づいて特定される攻撃パケットに対する実対処トラフィック量ｘ（すなわち、現在の引き込み点での実対処トラフィック量）を、優先順位が１つ前のルータＲが引き込み点であった際の直近の（最後に取得された）実対処トラフィック量ｙと比較する（Ｓ２１５）。

　実対処トラフィック量ｘが実対処トラフィック量ｙ以下である場合（Ｓ２１５でＹｅｓ）、対処箇所選択部１２は、優先順位が１つ前のルータＲを新たな引き込み点として選択し、選択したルータＲの識別情報を経路制御装置５０へ通知する（Ｓ２１６）。当該通知に応じて経路制御装置５０が実行する処理は、図４のステップＳ１１０において説明した通りである。一方、実対処トラフィック量ｙが実対処トラフィック量ｘ未満である場合（Ｓ２１５でＮｏ）、引き込み点の変更は行われない。

　ステップＳ２１５でＮｏの場合、又はステップＳ２１６に続いて、ステップＳ２０９以降が繰り返される。

　続いて、攻撃経路の特定方法の一例について説明する。図８は、攻撃経路の特定に関する制御装置１０及びルータＲの機能構成例を示す図である。図８中、図３と同一部分には同一符号を付し、その説明は省略する。

　図８において、制御装置１０は、攻撃情報受信部１３、制御部１４、経路情報受信部１５及び経路特定部１６等を有する。これら各部は、制御装置１０にインストールされた１以上のプログラムが、ＣＰＵ１０４に実行させる処理により実現される。制御装置１０は、更に、攻撃情報記憶部１１２及び経路情報記憶部１１３等を利用する。これら各記憶部は、例えば、補助記憶装置１０２、又は制御装置１０にネットワークを介して接続可能な記憶装置等を用いて実現可能である。

　一方、ルータＲは、被制御部２１、パケット受信部２２、アドレス記録部２３、経路情報送信部２４及びパケット転送部２５等を有する。これら各部は、ルータＲにインストールされた１以上のプログラムが、ルータＲのＣＰＵに実行させる処理により実現される。但し、各部は、回路によって実現されてもよい。ルータＲは、また、制御情報記憶部２６を利用する。制御情報記憶部２６は、例えば、ルータＲが有するメモリ等を用いて実現可能である。なお、本実施の形態において、被制御部２１及び制御情報記憶部２６は、ＧＷＲであるルータＲ１、Ｒ２及びＲ３以外は有していなくてもよい。また、経路情報送信部２４は、エッジルータであるルータＲ８以外は有していなくてもよい。

　図９は、攻撃検知時に実行される処理手順の一例を説明するためのシーケンス図である。

　セキュリティ装置３０は、攻撃元Ｘから装置Ｙへのサイバー攻撃等を検知すると、攻撃パケットに関する条件を示す情報（例えば、５ｔｕｐｌｅ情報）等を含む攻撃情報を、制御装置１０へ送信する（Ｓ３０１）。Ｓｙｓｌｏｇ等が攻撃情報として利用されてもよい。すなわち、セキュリティ装置３０が把握可能な情報の全てが攻撃情報に含まれてもよい。なお、５ｔｕｐｌｅ情報は、送信元ＩＰアドレス（ＳｒｃＩＰ＿Ｘ）、宛先ＩＰアドレス（ＤｓｔＩＰ＿Ｙ）、送信元ポート番号、宛先ポート番号、プロトコルである。

　制御装置１０の攻撃情報受信部１３は、当該攻撃情報を受信すると、当該攻撃情報を含むレコード（攻撃Ａ，５ｔｕｐｌｅ情報等）を攻撃情報記憶部１１２へ記憶する（Ｓ３０２）。したがって、攻撃情報記憶部１１２には、このような攻撃情報の履歴が記憶される。なお、「攻撃Ａ」は、攻撃の識別子であり、攻撃情報記憶部１１２に攻撃情報が記憶される際に付与される。

　続いて、攻撃情報受信部１３は、当該攻撃情報を制御部１４に通知する（Ｓ３０３）。制御部１４は、当該攻撃情報の通知に応じ、攻撃パケットに対して特別な処理を実行させるための制御情報をＧＷＲであるルータＲ１、ルータＲ２及びルータＲ３へ送信する（Ｓ３０４）。当該制御情報には、制御対象のパケットの条件としての５ｔｕｐｌｅ情報と、当該攻撃パケットのＴＯＳフィールドの特定の部分に所定のフラグ情報を記録する（例えば、ＴＯＳフィールドの未使用の特定のビットに１を立てる）といった命令とが含まれる。なお、制御対象のパケットの条件は、５ｔｕｐｌｅ情報に限られない。送信元ＩＰアドレス及び宛先ＩＰアドレスが当該条件とされてもよいし、宛先ＩＰアドレスのみが当該条件とされてもよい。

　当該制御命令を受信したルータＲ１の被制御部２１は、当該制御情報をルータＲ１の制御情報記憶部２６に記憶する（Ｓ３０５）。また、当該制御命令を受信したルータＲ２及びルータＲ３も同様の処理を実行する。

　なお、制御情報は、ＡＣＬ（Access Control List）等の既存のフィルタリングの仕組みを利用して実現されてもよい。

　図１０は、ＧＷＲにおける攻撃パケットの受信に応じて実行される処理手順の一例を説明するためのシーケンス図である。

　ルータＲ１のパケット受信部２２は、ネットワークＮ１の外部からパケットを受信すると（Ｓ４０１）、図９において制御情報記憶部２６に記憶した制御情報に含まれている条件に当該パケットが合致するか否かを判定する（Ｓ４０２）。例えば、当該パケットの５ｔｕｐｌｅ情報が、当該条件に合致するか否かが判定される。

　当該パケットが当該条件に合致しない場合、以降においては、図１０の処理手順ではなく、一般的な転送処理が実行される。

　当該パケットが当該条件に合致する場合（すなわち、当該パケットが攻撃パケットである場合）、パケット受信部２２は、当該制御情報に従って、当該パケットのＩＰヘッダに所定のフラグ情報を記録する（Ｓ４０３）。例えば、当該パケットのＴＯＳフィールドの未使用の特定のビットに１を立てることで所定のフラグ情報の記録が実現されてもよい。但し、所定のフラグ情報の設定先は、ＴｏＳフィールドには限定されない。例えば、ＩＰｖ４の機構であるＲＲを用いる場合は、オプションフィールド内の規定された場所に所定のフラグが設定される。続いて、ルータＲ１のアドレス記録部２３は、当該パケットに所定のフラグ情報が記録されているか否かを判定し、当該所定のフラグ情報が記録されていることに基づいて、当該パケットのＩＰヘッダのオプションフィールドに自装置（ルータＲ１）のＩＰアドレスを記録する（Ｓ４０４）。続いて、パケット転送部２５は、当該パケットを通常の転送方法に従って転送する（Ｓ４０５）。

　当該パケットの転送先のルータＲのパケット受信部２２が、当該パケットを受信すると、アドレス記録部２３は、当該パケットのＩＰヘッダに所定のフラグ情報が記録されているか否かを確認する（Ｓ４０６）。当該ルータＲのアドレス記録部２３は、当該パケットに当該所定のフラグ情報が記録されていることに基づいて、当該パケットのＩＰヘッダのオプションフィールドに当該ルータＲのＩＰアドレスを追加的に記録する（Ｓ４０７）。すなわち、既に記録されているＩＰアドレスの末尾に、当該ルータのＩＰアドレスが記録される。続いて、当該ルータＲのパケット転送部２５は、当該パケットを転送する（Ｓ４０８）。

　ステップＳ４０６～Ｓ４０８は、当該パケットの転送先の各ルータＲにおいて同様に実行される。

　当該パケットが、エッジルータであるルータＲ８のパケット受信部２２によって受信されると、ルータＲ８において、ステップＳ４０６及びＳ４０７と同様の処理が実行される（Ｓ４０９、Ｓ４１０）。続いて、ルータＲ８の経路情報送信部２４は、ルータＲ８がエッジルータであることに基づき、当該パケットの５ｔｕｐｌｅ情報と、当該パケットのＩＰヘッダのオプションフィールドに記録されているＩＰアドレス列（ＩＰアドレス群）とを含む経路情報を、制御装置１０へ送信する（Ｓ４１１）。すなわち、当該パケットが装置Ｙに転送される直前において経路情報が制御装置１０へ送信される。なお、経路情報は、Ｆｌｏｗ情報に含められて、ｓｆｌｏｗ又はＮｅｔＦｌｏｗ等の公知の仕組みを利用して送信されてもよい。また、或るルータＲが、エッジルータであるか否かの判定は、公知の技術に基づいて行われればよい。

　続いて、制御装置１０の経路情報受信部１５は、受信した経路情報を経路情報記憶部１１３に記憶する（Ｓ４１２）。したがって、経路情報記憶部１１３には、図１０の処理手順が実行されるたびに、追加的に経路情報が記憶される。

　続いて、制御装置１０の経路特定部１６が実行する処理について説明する。図１１は、経路特定部１６が実行する処理手順の一例を説明するためのフローチャートである。図１１の処理手順は、例えば、図１０のステップＳ４１２に同期して（Ｓ４１２に続いて）実行されてもよいし、定期的等、ステップＳ４１２とは非同期に実行されてもよい。

　ステップＳ５０１において経路特定部１６は、攻撃情報記憶部１１２に記憶されている全ての攻撃情報を取得する。

　続いて、経路特定部１６は、経路情報記憶部１１３に記憶されている全ての経路情報を取得する（Ｓ５０２）。

　続いて、経路特定部１６は、攻撃情報の一覧と、経路情報の一覧とを突合して、各攻撃情報に対応する経路情報（攻撃経路情報）を特定する（Ｓ５０３）。例えば、攻撃情報ごとに、当該攻撃情報に含まれている５ｔｕｐｌｅ情報に一致する５ｔｕｐｌｅ情報を含む経路情報が検索される。検索された経路情報は、当該攻撃情報に関連付けられる。その結果、各ＤＤｏｓ攻撃の攻撃パケットについて、ネットワークＮ１内の攻撃経路を把握することが可能となる。

　なお、突合の粒度（条件）は、必ずしも５ｔｕｐｌｅでなくてもよい。例えば、送信元ＩＰアドレス及び宛先ＩＰアドレスのみの一致によって関連付けが行われてもよいし、宛先ＩＰアドレスのみの一致によって関連付けが行われてもよい。例えば、攻撃が複数の経路を通ってある１つの宛先ＩＰアドレスに到達している可能性がある場合に、宛先ＩＰアドレスだけで突合することで当該攻撃の全ルートを把握することが可能だからである。

　続いて、経路特定部１６は、特定結果を攻撃経路記憶部１１１に記憶する（Ｓ５０４）。例えば、ステップＳ５０３において関連付けられた攻撃情報と経路情報とが、関連付けが維持された状態で攻撃経路記憶部１１１に記憶される。攻撃経路記憶部１１１に記憶された攻撃情報及び攻撃経路情報は、攻撃情報記憶部１１２又は経路情報記憶部１１３から削除されてもよい。

　なお、各ルータＲのＩＰアドレスの記録については、IＰｖ４（ＲＦＣ７９１）で規定されているレコードルート（ＲＲ）の仕組みを用いて各ルータＲのＩＰアドレスがオプションフィールドに記録されるようにしてもよい。

　上述したように、本実施の形態によれば、各ルータＲのトラフィック量と、防御装置６０が対処可能なトラフィック量（防御装置６０のリソース量）とが考慮されて、各ルータＲの中から引き込み点が選択される。その結果、例えば、防御装置６０の対処リソースの使用率を上げると共に、防御装置６０で対処できずに戻されるトラフィックが極力引き込まないようにすることで、伝送コストを削減することができ、攻撃トラフィック量をサービスの継続が可能な程度に減少させることができる。したがって、攻撃トラフィックに対して適切な対処が行われる可能性を高めることのできる引き込み点を選択することができる。

　また、対処状況のフィードバック結果に基づいて、引き込み点を変更することで、より効果的に対処を実行可能とすることができる。

　なお、本実施の形態は、ＤＤｏｓ攻撃に係る攻撃通信の経路を特定する例について説明したが、他の特定の通信に関する経路の特定に関して本実施の形態が適用されてもよい。

　また、上記では、ルータが転送装置の一例である例について説明したが、スイッチ等、ルータ以外の転送装置に関して本実施の形態が適用されてもよい。

　なお、本実施の形態において、制御装置１０は、攻撃対処箇所選択装置の一例である。攻撃経路状況確認部１１は、取得部の一例である。対処箇所選択部１２は、選択部の一例である。

　以上、本発明の実施の形態について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。

１０　　　　　制御装置
１１　　　　　攻撃経路状況確認部
１２　　　　　対処箇所選択部
１３　　　　　攻撃情報受信部
１４　　　　　制御部
１５　　　　　経路情報受信部
１６　　　　　経路特定部
２１　　　　　被制御部
２２　　　　　パケット受信部
２３　　　　　アドレス記録部
２４　　　　　経路情報送信部
２５　　　　　パケット転送部
２６　　　　　制御情報記憶部
３０　　　　　セキュリティ装置
４０　　　　　フローコレクタ
５０　　　　　経路制御装置
６０　　　　　防御装置
１００　　　　ドライブ装置
１０１　　　　記録媒体
１０２　　　　補助記憶装置
１０３　　　　メモリ装置
１０４　　　　ＣＰＵ
１０５　　　　インタフェース装置
１１２　　　　攻撃情報記憶部
１１３　　　　経路情報記憶部
Ｂ　　　　　　バス
Ｒ１、Ｒ２、Ｒ３、Ｒ４、Ｒ５、Ｒ６、Ｒ７、Ｒ８　ルータ
Ｘ　　　　　　攻撃元
Ｙ　　　　　　装置

Claims

　攻撃トラフィックの経路に係る複数の第１の転送装置のそれぞれのトラフィック量を取得する取得部と、
　前記各第１の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第１の転送装置から抽出される各第２の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第３の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択部と、
を有することを特徴とする攻撃対処箇所選択装置。
　前記選択部は、前記第１の転送装置のうち、トラフィック量が前記防御装置が対処可能なトラフィック量の上限値未満である前記各第２の転送装置に対して、トラフィック量の降順に前記優先順位を付与する、
ことを特徴とする請求項１記載の攻撃対処箇所選択装置。
　前記選択部は、前記第３の転送装置から前記防御装置へトラフィックが引き込まれている状態において、前記優先順位において前記第３の転送装置の次の第４の転送装置のトラフィック量と、前記防御装置による前記攻撃トラフィックに対する実際の対処量との比較に基づいて、前記第４の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項２記載の攻撃対処箇所選択装置。
　前記選択部は、前記第１の転送装置のうち、トラフィック量が前記防御装置が対処可能なトラフィック量の上限値以上である前記各第２の転送装置に対して、トラフィック量の昇順に前記優先順位を付与する、
ことを特徴とする請求項１記載の攻撃対処箇所選択装置。
　前記選択部は、前記第３の転送装置から前記防御装置へトラフィックが引き込まれている状態において、前記第３の転送装置と前記防御装置との間のトラフィック量に対する、前記防御装置による前記攻撃トラフィックに対する実際の対処量の比と、前記優先順位において前記第３の転送装置の次の第４の転送装置と前記防御装置との間のトラフィック量の推定値に対する、前記対処量の推定値の比との比較に基づいて、前記第４の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項４記載の攻撃対処箇所選択装置。
　前記選択部は、前記第４の転送装置から前記防御装置へトラフィックが引き込まれている状態における前記防御装置による実際の前記対処量と、前記第３の転送装置から前記防御装置へトラフィックが引き込まれていた状態における前記防御装置による実際の前記対処量との比較に応じて、前記第３の転送装置を新たな引き込み点として選択する、
ことを特徴とする請求項５記載の攻撃対処箇所選択装置。
　攻撃トラフィックの経路に係る複数の第１の転送装置のそれぞれのトラフィック量を取得する取得手順と、
　前記各第１の転送装置のトラフィック量と前記攻撃トラフィックに対処する防御装置が対処可能なトラフィック量の上限値との比較に基づいて前記複数の第１の転送装置から抽出される各第２の転送装置に対して、それぞれのトラフィック量に基づく優先順位を付与し、前記優先順位において最上位の第３の転送装置を、前記防御装置へのトラフィックの引き込み点として選択する選択手順と、
をコンピュータが実行することを特徴とする攻撃対処箇所選択方法。