サービス停止攻撃検出システム、ネットワーク中継装置、サービス停止攻撃防御方法
【課題】DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減する。
【解決手段】ネットワーク中継装置に、ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、パケットの宛先方向のネットワーク中継装置に対して、パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と、パケット処理条件解除通知を受信した場合に、パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段とを設けた。
【解決手段】ネットワーク中継装置に、ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、パケットの宛先方向のネットワーク中継装置に対して、パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と、パケット処理条件解除通知を受信した場合に、パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段とを設けた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおけるDoS(Denial of Services)攻撃及びDDoS(Distributed Denial of Service)攻撃の検出技術に関する。
【背景技術】
【0002】
昨今、ネットワークにおいてのDoS攻撃およびDDoS攻撃の検出が強く求められる。
DoS攻撃およびDDoS攻撃は、標的となるサービスに対して多量にパケットを送信することで、ネットワークやサーバ等のリソースを大量消費させ、サービスの妨害等を行なう方法である。ネットワークの安定運用のためには、これらの攻撃を適切に検出し、対処を行うことが重要となる。
【0003】
関連する技術としては、特許文献1及び特許文献2が挙げられる。ここで、特許文献1及び特許文献2のネットワークDoS攻撃検出システム(サービス停止攻撃検出システム)について説明する。
【0004】
特許文献1には、DoS攻撃及びDDoS攻撃を受けるサーバを保護するサーバ保護ネットワークシステムが記載されている。
特許文献1のサーバ保護ネットワークシステムは、複数のサービス要求を行なうクライアント端末と、前記サービス要求を中継する複数のルータと、サービス要求を受けるサーバと、サーバに設けられて、DoS攻撃であるサービス要求を発したクライアント端末のソースアドレスを検出するソースアドレス検出手段(攻撃検出手段)と、検出されたソースアドレスから送られてくるパケットを廃棄するように、サービス要求が送られた経路を遡って前記ソースアドレスのクライアント端末に近いルータに依頼する特定パケット廃棄依頼手段(パケット処理指示手段)を備える。
【0005】
特許文献2には、DoS攻撃或いはDDoS攻撃に対処する方法が記載されている。
特許文献2に記載された方式では、複数のIPルータ(ネットワーク装置)がそれぞれ、任意のタイミングでのサンプリングパケットを分析装置に送信し、分析装置が全IPルータからのサンプリングパケットを収集して解析を行い、同一ホストに対して定められた時間内に閾値以上連続的に送信されたことを検出することにより分析部(攻撃検出手段)で攻撃を検出し、検出した該ホスト宛のパケットのうち特定のビットパターンと一致するIPパケットのみサンプリングして通知するように、検出したIPルータに対して指示通知する。通知を受けたIPルータは、特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを分析装置に送信する。分析装置は、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、DoSおよびDDoS攻撃パケットフローを正確に識別し、該IPルータに対して、攻撃パケットフローを識別したIPパケットフローを一定時間フィルタリングするように指示する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003−298628号公報
【特許文献2】特開2006−164038号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1に記載されているDoS攻撃及びDDoS攻撃を受けるサーバを保護するサーバ保護ネットワークシステムにおいては、次のような課題がある。
【0008】
まず、DoS攻撃およびDDoS攻撃を受けたサーバが、攻撃を検出するため、攻撃を受けて、既にリソースに不足が生じているにもかかわらず、DoS攻撃等の判定や、サービス要求を発したクライアント端末のソースアドレスを検出するために、更に、リソースを検出動作に割当てる必要がある。
また、DoS攻撃等を受けている最中に、サービス要求が送られた経路を遡ってソースアドレスのクライアント端末に近いルータに、検出されたソースアドレスから送られてくるパケットを廃棄するように依頼する動作を行なうため、攻撃元と攻撃対象間のネットワークを受持つルータを高負荷状態にせしめる攻撃中であるにも関わらず、そのルータのリソースを更に消費するようサーバから指示が成される。
また、サーバから、サービス要求が送られた経路を遡ってソースアドレスのクライアント端末に一番近いルータに依頼するため、ネットワーク内の全てのルータが記載されている方式に対応する必要がある。
【0009】
また、特許文献2に記載されているDoS攻撃或いはDDoS攻撃に対処する方法においては、次のような課題がある。
DoS攻撃パケットのフロー上の全てのルータに対して、パケットのサンプリングを指示することとなるため、同じパケットを複数のルータが、分析装置に通知を行うことになり、ネットワーク内のルータの負荷が増加してしまう。特に、DoS攻撃等の攻撃されている最中でも、特許文献1と同様に、攻撃元と攻撃対象間のネットワークを受持つルータのリソースを更に消費するよう分析装置から指示が成される。
また、分析装置は、サンプリングパケットの内容からDoS攻撃パケットのフロー上の全てのルータに対して、パケット廃棄に加えて帯域制御等の防御方法である同一の内容の指示を行なうため、攻撃者に最も近いルータがパケット廃棄や帯域制御を行っている最中にも、他のルータも同一の帯域制御等のリソースを消費するフィルタリングを実施することとなる。
また、分析装置は、各ルータに指示したサンプリング条件に基づく応答として、サンプリング条件に合致した攻撃であるだろうパケットをフローとして中継した全てのルータから、同一のパケットに基づく応答を受ける。これは、分析装置が、DoS攻撃等の最中に莫大なパケットの処理を要求されることとなり、対処として、分析装置に多くの処理リソースを割当てる必要がある。換言すれば、DoS攻撃等を検出している最中には、自らのリソース量を把握しながら、パケット処理を行う必要があり、リソース量に応じて、結果として分析装置でのパケット廃棄、パケットの見過ごし、未対応を行なう可能性を有する。
【0010】
尚、ルータでのパケットの転送処理は、送信先ルータの負荷状態等に寄って経路を選択しながら転送する方式もあり、分析装置は、経路となった多くのルータから莫大な量の応答が長時間に亘って送信されることとなる。この場合は、分析装置は、攻撃元の特定(攻撃元に近接するルータの特定)には、これらの応答の全てを処理する必要があり、瞬間的にも莫大な処理リソースを長時間に亘って要する。また、DDoS攻撃では、複数の攻撃元が存在し、それぞれの攻撃元からサーバへの複数の経路を介して攻撃されるため、分析装置には、DoS攻撃によりも更なる負荷がかかる。
また、昨今の世相では、DoS攻撃等の検出も重要であるものの、ネットワークの構築の費用対効果も重要となり、設備量や装置交換の適切度も重要となっている。
【0011】
本発明の目的は、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減したネットワーク中継装置、およびサービス停止攻撃検出システムを提供することにある。
【課題を解決するための手段】
【0012】
本発明のネットワーク中継装置は、ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、パケットの宛先方向のネットワーク中継装置に対して、前記パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と前記パケット処理条件解除通知を受信した場合に、前記パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段とを備えることを特徴とする。
【0013】
本発明のサービス停止攻撃検出システムは、ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出する攻撃検出手段と、前記攻撃検出手段による攻撃フローの検出結果に基づき、前記ネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知するパケット処理指示手段とを備える分析装置と、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知する通知手段と、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段とを備える第1のネットワーク中継装置と、前記要求指示を受信した際に、サンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、隣接ネットワーク中継装置から前記通知を受信した場合に、前記分析装置からの指示動作を解除する手段を備える第2のネットワーク中継装置を、含むことを特徴とする。
【発明の効果】
【0014】
本発明によれば、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減したネットワーク中継装置、およびサービス停止攻撃検出システムを提供できる。
【図面の簡単な説明】
【0015】
【図1】実施の一形態のサービス停止攻撃検出システムを例示する構成図である。
【図2】ネットワーク中継装置の処理動作を示すフローチャートである。
【図3】攻撃検出システムの動作を示す説明図である。
【図4】既存ネットワーク中継装置を含む攻撃検出システムを例示する構成図である。
【図5】IPルータの経路情報テーブルを例示する説明図である。
【発明を実施するための形態】
【0016】
本発明の実施の形態を図1ないし図5に基づいて説明する。
【0017】
図1は、実施の一形態の攻撃検出システムを例示する構成図である。図1を参照すると、ネットワーク構成は、攻撃元となる情報処理装置101、IP技術を用いたサービスを提供しているサーバ102、攻撃を検出して対応を定める分析装置103、各種パケットを中継するネットワーク中継装置111〜114である。
【0018】
情報処理装置101は、一般的にはパーソナルコンピュータであるが、サーバや携帯端末である場合もある。情報処理装置101は、攻撃元であり、サーバ102に対して、多量の又は連続的にサービス要求又はパケットを送信して攻撃を仕掛ける。尚、情報処理装置101からのアクセスに攻撃意図の有無は問わない。
サーバ102は、一般的なインターネット等を介して各種サービスを提供するサーバである。サーバ102が提供するサービスは、どのようなサービスであっても良く、例えばWebサイト(HP)や、ファイル提供サービス、メールシステムなどが挙げられる。
分析装置103は、ネットワーク中継装置111〜114からのサンプルパケットを分析してDoS攻撃及びDDoS攻撃を検出する攻撃検出手段と、DoS攻撃等を検出した場合に、攻撃の宛先の特定ビットパターンのパケットサンプルの送信を各ネットワーク中継装置に要求指示通知として送信するサンプリング指示手段(パケット処理指示手段)と、各ネットワーク中継装置に対して攻撃に対するフィルタリングを要求指示通知として送信するフィルタリング指示手段(パケット処理指示手段)を有する。
【0019】
ネットワーク中継装置111〜114は、分析装置103からDoS攻撃等のサンプリング条件及び/又はフィルタリング条件を要求指示通知で受信し、その条件に基づいて受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、要求指示に基づきパケット処理手段から出力される結果を分析装置103に送信する要求応答送信手段とを有する。
また、ネットワーク中継装置111〜114は、パケット処理条件であるサンプリング条件とフィルタリング条件に一致する受信パケットの宛先方向の隣接ネットワーク中継装置に対して、パケット処理条件(設定条件)の解除をパケット処理条件解除通知として送信する通知手段と、隣接中継装置からパケット処理条件解除通知を受信した際に、設定されていたパケット処理条件を書き換えて解除(削除)するパケット処理制御手段を備える。
尚、ネットワーク中継装置111〜114の上記手段以外の処理機能は、当業者にとってよく知られており、また本発明とは直接関係しないので、その詳細な構成は省略する。
【0020】
ここで、ネットワーク中継装置111〜114の処理動作を、図2のフローチャートを使用して説明する。尚、説明を明瞭にするため、全てのネットワーク中継装置の構造は同一とし、ネットワーク中継処理等の動作は記載を省略する。
【0021】
受信したパケットが分析装置からの要求指示(サンプリングパケットの送信指示)である場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが分析装置103からのサンプリングパケットの送信指示(フルサンプリング指示,要求指示通知:図3の指示301)かどうか判断し(ステップ302)、サンプリングパケットの送信指示であれば、サンプリングするパケットの条件に一致するフローの宛先方向に隣接するネットワーク中継装置に、分析装置から指示されたサンプリングを実施するパケットを特定可能な情報を付して、パケット検出の解除通知(パケット処理条件解除通知:図3の通知302)を送信する(ステップS306)。
ネットワーク中継装置は、パケット検出の解除通知を送信後、受信したサンプリングパケットの送信指示に含まれる条件をパケット処理手段の動作条件として設定記憶し(ステップS307)、次のパケットの受信待ち状態に戻る。
尚、上記処理動作に加え、解除通知の送信前に、宛先方向に隣接するネットワーク中継装置の有無および形式を識別する処理を加えても良い。この場合は、隣接するネットワーク中継装置が同様のネットワーク中継装置である場合のみパケット検出の解除通知を送信することとなる。即ち、ネットワーク中継装置が、隣接中継装置のない場合や非対応である場合には、分析装置103からの要求指示を受けて、受信したサンプリングパケットの送信指示の条件を、パケット処理手段の動作条件として設定情報(パケット処理条件設定テーブル)に記録し、解除通知を送信せずに、次のパケットの受信待ち状態に戻るようにすれば良い。
【0022】
また、ネットワーク中継装置は、分析装置103からの送信指示を受信後、宛先方向の隣接中継装置に解除通知を所定回数又は所定時間の間、周期的に送信するようにしても良い。このように動作させることによって、隣接中継装置でのオーバフローなど、何からの理由により解除通知が隣接中継装置で処理できない場合においても、周期的に送信される解除通知によって、ネットワーク中継装置や分析装置の負荷を軽減できる。また、隣接中継装置が再起動等で、解除通知の受信情報が失われた場合においても、再度解除通知に基づき動作し、各装置の負荷を軽減できる。
【0023】
受信したパケットがパケット検出の解除通知である場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが隣接中継装置からのパケット検出の解除通知か判断し(ステップS203)、パケット検出の解除通知であれば、通知に含まれる条件に関する情報を、パケット処理手段の動作条件の設定情報から削除(ステップS208)し、次のパケットの受信待ち状態に戻る。このとき、送信指示301と解除通知302の到着の前後等を考慮し、所定時間解除通知302に基づく処理を繰り返し又は待機するようにしても良い。
【0024】
即ち、パケット検出の解除通知に含まれるパケット検出条件が、設定情報に記録されている情報と同等の場合、当該条件が削除される。これは、当該ネットワーク中継装置で消費されるリソースの削減につながる。尚、リソースを削減できる詳細については、作用効果として後述する。
受信したパケットがサンプリングパケットの送信指示およびパケット検出の解除通知でない場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが設定情報に記載された条件(サンプリングパケットの送信指示)に一致するか判断(ステップS204)し、一致していれば設定情報に記載された条件に対応付けられた動作(パケットをコピーして、サンプルパケット(図3の303)として、分析装置に送信)を実施(ステップS205)し、次のパケットの受信待ち状態に戻る。
他方、受信したパケットが設定条件に一致しなければ、一般的なパケットとして中継処理する。
【0025】
次に、図3を使用して、システム全体の動作を説明する。
以下では、図1に示したネットワークにおいて、攻撃元である情報処理装置101がサーバ102にDoS攻撃を行った場合を例に説明する。
【0026】
図3は、図1のネットワークにおいて情報処理装置101がサーバ102にDoS攻撃を行った場合に通過するネットワーク中継装置111〜113と、DoS攻撃のフローが通過しないネットワーク中継装置114と、分析装置103及びネットワーク中継装置111〜114が送信する通知メッセージ(送信指示301,解除通知302,サンプルパケット303)を示している。
【0027】
図3において、分析装置103は、全てのネットワーク中継装置(111〜114)のパケットのサンプルを受信するため、各ネットワーク中継装置に予めパケットのサンプル条件を通知する。
各ネットワーク中継装置は、分析装置103にからのサンプル指示又は予め設定されている条件に従い、パケットのサンプルを分析装置に送信する。尚、全パケットのサンプルを分析装置103に送信してもよいし、間歇的に送信しても良い。
【0028】
分析装置103は、ネットワーク中継装置111〜114からのパケットを確認することにより、攻撃を検知し、攻撃フローが通過する経路のネットワーク中継装置111〜113に対してサンプリングパケットの送信指示301を送る。尚、DoS攻撃のパケットであるか否かの判断は、攻撃検出手段で、宛先の特定のビットパターンの検出などで行なう。また、必要に応じて、ネットワーク中継装置114等の検出された経路以外のネットワーク中継装置にも同様の指示301を送信する。
【0029】
サンプリングパケットの送信指示301を受けたネットワーク中継装置111〜113は、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、送信指示301に含まれる攻撃パターンにマッチするパケットの情報をパケット検出の解除通知302として通知(ステップS206処理)すると共に、送信指示301に含まれているサンプリング条件を設定条件に記録(ステップS207の処理)し、通知された条件に該当するパケットを検出(ステップS204の処理)したときに、分析装置103にサンプルパケット303を送信(ステップS205の処理)する。
【0030】
パケット検出の解除通知302を受けたネットワーク中継装置は、送信指示301に含まれて解除通知302として送られてきたパケット処理条件を解除(ステップS208処理)する。
【0031】
即ち、サンプリングパケットの送信指示301を受信した直後は、情報処理装置101からサーバ102に送信されたパケット(DoSパケット)が通過するネットワーク中継装置111,112,113が、予め通知された条件に該当するパケットを検出し、分析装置103に同様のサンプルパケット303を送信することとなる。その後、隣接ネットワーク中継装置からパケット検出の解除通知302を受けたネットワーク中継装置は、分析装置103にサンプルパケット303を送信することを停止する。
【0032】
以下、上記処理時の各ネットワーク中継装置の動作を詳細に説明する。
ネットワーク中継装置111は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたDoSパケットの宛先方向の隣接中継装置であるネットワーク中継装置112に対して、分析装置103から送信指示301を受信したことをパケット検出の解除通知302として送信すると共に、送信指示301に含まれるDoSパケットのサンプリング条件を設定する。尚、解除通知302には、分析装置103からの送信指示301で特定される攻撃パターンにマッチするパケットの情報が含まれている。
【0033】
ネットワーク中継装置112は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたパケットの宛先方向の隣接中継装置であるネットワーク中継装置113に対して解除通知302を送信すると共に、送信指示301に含まれるパケットのサンプリング条件を設定する。その後、ネットワーク中継装置112は、ネットワーク中継装置111から通知された解除通知302を受信すると、送信指示301に含まれるパケットのサンプリング条件を解除する。
【0034】
ネットワーク中継装置113は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたパケットの宛先方向の隣接中継装置が存在しないので解除通知302を送信せずに、送信指示301に含まれるパケットのサンプリング条件を設定する。その後、ネットワーク中継装置113は、ネットワーク中継装置112から通知された解除通知302を受信すると、送信指示301に含まれるパケットのサンプリング条件を解除する。
【0035】
尚、分析装置103が攻撃フローを検出した経路以外のネットワーク中継装置にも送信指示301を送信した場合は、ネットワーク中継装置114では、送信指示301を受信し、サンプリングを指示されたパケットの攻撃先から宛先方向となる隣接中継装置であるネットワーク中継装置113を決定し、解除通知302を送信すると共に、送信指示301に含まれるパケットのサンプリング条件を設定する。このように、予備的にDoSパケットのサンプリング条件を設定することで、検出した経路以外からの攻撃に対する守備を固める。
【0036】
このように各装置を動作させることによって、解除通知302を受信したネットワーク中継装置(112,113)は、パケットのサンプリング条件のうち、解除通知302に含まれているパケットに関連するサンプリング処理を中止(解除)し、パケット処理に割当てたリソースを開放する。
また、検出したDoSパケットの宛先の特定ビットパターンのパケットのサンプルパケット303の送信を行わないことにより、その後のパケット廃棄や帯域制御などの攻撃への対応(フィルタリング処理)の指示を受信しても所定の間、指示された動作を受け付けない(設定を書き換えない)よう処理できる。
【0037】
即ち、送信指示301を受信した全てのネットワーク中継装置が検出したDoSパケットの宛先方向に解除通知302を送信する様に動作させると、DoSパケットの経路上で、DoSパケットの送信元ネットワークに最も近い送信指示301を受信したネットワーク中継装置のみが解除通知302を受信しないことになる。そのため、DoSパケットの送信元ネットワークに最も近いネットワーク中継装置のみが分析装置103に検出したDoSパケットの宛先の特定のビットパターンのパケットのサンプル303の送信を行うこととなる。
【0038】
また、分析装置103は、DoSパケットの送信元に最も近いネットワーク中継装置111のみから、サンプル303を受信するため、DoSパケットの送信元ネットワークに最も近いネットワーク中継装置にのみ、DoS攻撃への対応指示であるフィルタリング条件の設定を行なえる。
【0039】
また、ネットワーク中継装置114の様に、攻撃の初期においてDoSパケットの経路とならなかったネットワーク中継装置に対しても同様の処理を行わせることで、DoSパケットの流入経路が変化した場合でも早期にDoSパケットの検出が可能となる。また、DDoS攻撃の一方式のように、送信元を詐称し複数個所から同じ送信元で送信された場合でも、分析装置103で検出したフローと同じフローとして別の流入経路からのフローを処理できるため、早期にDDoS攻撃パケットの検出が可能となる。
【0040】
以上説明したように、本実施の一形態の攻撃検出システムでは、以下に記載するような作用効果を奏する。
【0041】
本発明を適用したネットワーク中継装置を使用した攻撃検出システムでは、分析装置103からDoS攻撃パケットのサンプルの指示を送出した場合、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみが分析装置113に対してサンプルパケットを送信するようにネットワークを構成できるので、ネットワーク内のネットワーク中継装置112,113の負荷が軽減できる。
【0042】
また同様に、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみ、攻撃パケットに対する処理(サンプリングやフィルタリング)を行なわせることとなるので、ネットワーク内のネットワーク中継装置112,113の負荷が軽減できる。
【0043】
加えて、分析装置103は、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみから、検出したDoSパケットのサンプルパケット203を受信するため、瞬間的及び継続的に負荷を軽減でき、処理に割当てるリソースを軽減できる。
【0044】
尚、上記効果は、サンプリング指示の場合であるが、フィルタリング指示においても同様の効果を得られる。
【0045】
また、上記説明では、ネットワーク中継装置に、パケットの宛先方向の隣接中継装置に対して、パケット処理条件の解除のみを行うものとして説明したが、宛先方向の隣接中継装置に対して、パケット処理条件の解除可能又は緩和可能である旨を通知するようにしても良い。
この場合は、通知手段から、所定のパケットを処理する条件を緩和可能であることを示す処理低減通知情報を送信し、処理低減通知情報を受信したネットワーク中継装置(隣接中継装置)のパケット処理制御手段が、分析装置からの指示に基づく処理を処理低減通知情報に基づいて低減する。尚、設定条件を順次書き換えるようにしても良い。また、条件の制限は、時間と共に解除される方向に進め、最終的に解除しても良いし、最低限の処理を残し、所定時間毎に分析装置にサンプルパケットを送信するようにしても良い。また、ネットワーク中継装置に、パケット処理手段の残リソース量を判定するリソース判定手段を設け、パケット処理手段がパケット処理担当通知を受信して、パケット処理担当通知の内容と残リソース量に基づき、パケット処理条件の設定を書き換えるようにしても良い。このようにすれば、解除のみを行なうシステムよりも各装置のリソースを消費するものの、サーバの保護を厚くできる。
【0046】
ここで、上記説明したネットワーク中継装置と、本発明に対応していない既存ネットワーク中継装置がネットワーク内に存在する場合のネットワーク全体の動作について、図4を用いて説明する。
【0047】
図4は、本発明に対応するネットワーク中継装置411〜413、本発明に対応しない既存ネットワーク中継装置421から構成されたネットワークを示している。
【0048】
攻撃元となる情報処理装置401からサーバ404へ攻撃が行われると、分析装置405は、ネットワーク中継装置411等から受信するパケットサンプルに対してDoS攻撃を検出する。
これにより、ネットワーク中継装置411等は、分析装置405から送信されたサンプリングパケットの送信指示301を受信する。このとき、ネットワーク中継装置411は、送信指示301を受信したので、隣接中継装置421に対して、解除通知302を送信する。
【0049】
ネットワーク中継装置421は本発明に対応していないため、解除通知302の通知を無視する。また、ネットワーク中継装置421の隣接中継装置であるネットワーク中継装置412に対して、解除通知302を送信する機能を持たない。このため、ネットワーク中継装置412は、解除通知302を受け取らない。
【0050】
ネットワーク中継装置412は、分析装置405から送信指示301を受信すると、ネットワーク中継装置413に解除通知302を送信する。ネットワーク中継装置413は、解除通知302を受信すると、設定条件に記録されているパケット処理(サンプルパケット303の送信)を停止する。
【0051】
このように、本発明にかかるネットワーク中継装置は、既存のネットワーク中継装置と共に使用されても、有効に作用する。
【0052】
次に、攻撃元となる情報処理装置が複数存在する場合(DDoS攻撃等の場合)のネットワーク全体の動作について、図4を用いて説明する。
攻撃元となる情報処理装置401、403からサーバ404へ攻撃が行われた場合、ネットワークは、情報処理装置401、403からの攻撃を並列的に処理し、それぞれの攻撃フローに対して防御する。
詳細には、分析装置405は、ネットワーク中継装置411等からのパケットサンプルより、情報処理装置401からサーバ404への攻撃を検出し、サンプリングパケットの送信指示301を送信する。ネットワーク中継装置411は、送信指示301を受け取ると、隣接中継装置へ解除通知302を通知する。
【0053】
並列的に、分析装置405は、ネットワーク中継装置412等からのパケットサンプルより、情報処理装置401からサーバ404への攻撃と、情報処理装置403からサーバ404への攻撃を検出し、それぞれの攻撃フローに対するサンプル送信の送信指示301をネットワーク中継装置412、403に通知する。このとき、情報処理装置401からの攻撃と情報処理装置402からの攻撃のパケットの送信元アドレスが異なる場合、別な攻撃として扱うため、送信指示301は2種類通知され、情報処理装置401からの攻撃と情報処理装置403からの攻撃の送信元アドレスが詐称等により同じである場合は、同じ攻撃として扱うため、送信指示301は1種類のみ通知される。
ネットワーク中継装置412は、受け取った送信指示301の数に応じて、隣接中継装置であるネットワーク中継装置413に、攻撃パケットを特定可能な情報が含まれる解除通知302を送信する。ネットワーク中継装置413は、受け取った解除通知302に合致したパケット処理(サンプルパケット303の送信)を停止する。
【0054】
また、攻撃元を示すホストの流入経路が変更になった場合(例えば攻撃元の情報処理装置401を示す番号から情報処理装置402を示す番号に変更になった場合)は、上記した複数の攻撃元が存在する場合で、攻撃元の送信元アドレスが同じ場合(詐称等)と同様に動作する。
【0055】
このように、本発明にかかるネットワーク中継装置は、攻撃元となる情報処理装置が複数存在しても、有効に作用する。また、本発明にかかるサービス停止攻撃検出システムは、既存のネットワーク中継装置を含むネットワーク構成であっても、攻撃元となる情報処理装置が複数存在する攻撃に対して、有効に作用する。
【0056】
次に、ネットワーク中継装置から隣接中継装置に送信するパケット処理の解除通知302の構成例とネットワーク中継装置における処理動作例を説明する。以下では、ネットワーク中継装置をIPルータとして構成した場合を示す。
【0057】
IPルータは、宛先ネットワークと次に転送すべきIPルータのアドレス(NextHop)の情報を経路情報テーブルとして記憶保持(図5参照)し、経路情報テーブルに基づきパケットの転送処理を行っている。
【0058】
解除通知302は、IPパケットから構成される。解除通知302であるIPパケットの宛先アドレスには、攻撃先ネットワークに到達するためのNextHopを設定することにより、隣接中継装置へ送信を行う。また、解除通知302は、プロトコル番号やUDPポート番号等を予め決定しておき、IPルータにおいて解除通知302であることの識別可能とする。
この場合、全てのIPルータが解除通知302を受信し、本発明に対応しているIPルータは受信処理を行うこととなり、本発明に未対応のIPルータは、解除通知302を廃棄することとなる。
【0059】
解除通知302の別な構成として、宛先アドレスに攻撃先ホストのアドレスを設定する。
この場合、本発明に対応しているIPルータは、全ての受信パケット確認し解除通知302である場合、そのパケットの転送は行わず、解除通知302の受信処理を行う。本発明に未対応のIPルータは、解除通知302を通常パケットとして転送する。
具体的に示せば、図4において情報処理装置401からサーバ404に攻撃が行なわれた場合、ネットワーク中継装置411が送信した解除通知302は、本発明に未対応のネットワーク中継装置421で転送され、ネットワーク中継装置412が解除通知302を受信することにより、本発明に未対応のルータが存在しない場合と同様な動作となる。
【0060】
このように、既存ネットワーク中継装置と本発明にかかるネットワーク中継装置とを混在するネットワークにおいても、DoS攻撃およびDDoS攻撃を有効に防御でき、加えて、防御対策に要するネットワーク各所の負荷を軽減できる。
また、攻撃元の情報処理装置が直接本発明に対応したネットワーク中継装置に接続していない場合、例えば、情報処理装置402からサーバ404へ攻撃が行われた場合でも、既存ネットワーク中継装置421の動作に関わらず、ネットワーク中継装置412、413が本発明にかかる動作を行なうことにより、攻撃を検出すると共にネットワーク中継装置413等の処理リソースを低減できる。
【0061】
これは、多くの種類のサービス停止攻撃検出システムが、ネットワークを構成する全てのネットワーク中継装置に同一の機能を求めるのに対し、本発明にかかるネットワーク中継装置は、ネットワークの一部分を構成することで有効に作用する。換言すれば、既存のネットワークを順次本発明におけるネットワーク中継装置に置換することで、置換地点において有効に作用する。
【0062】
以上説明したように、本発明のネットワーク中継装置を含むサービス停止攻撃検出システムによれば、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減できる。
【0063】
尚、本発明の具体的な構成は前述の実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の変更があってもこの発明に含まれる。
【符号の説明】
【0064】
101 情報処理装置
102 サーバ
103 分析装置
111、112、113、114 ネットワーク中継装置
401、402、403 情報処理装置
404 サーバ
405 分析装置
411、412、413 ネットワーク中継装置
421 非対応ネットワーク中継装置(既存ネットワーク中継装置)
【技術分野】
【0001】
本発明は、ネットワークにおけるDoS(Denial of Services)攻撃及びDDoS(Distributed Denial of Service)攻撃の検出技術に関する。
【背景技術】
【0002】
昨今、ネットワークにおいてのDoS攻撃およびDDoS攻撃の検出が強く求められる。
DoS攻撃およびDDoS攻撃は、標的となるサービスに対して多量にパケットを送信することで、ネットワークやサーバ等のリソースを大量消費させ、サービスの妨害等を行なう方法である。ネットワークの安定運用のためには、これらの攻撃を適切に検出し、対処を行うことが重要となる。
【0003】
関連する技術としては、特許文献1及び特許文献2が挙げられる。ここで、特許文献1及び特許文献2のネットワークDoS攻撃検出システム(サービス停止攻撃検出システム)について説明する。
【0004】
特許文献1には、DoS攻撃及びDDoS攻撃を受けるサーバを保護するサーバ保護ネットワークシステムが記載されている。
特許文献1のサーバ保護ネットワークシステムは、複数のサービス要求を行なうクライアント端末と、前記サービス要求を中継する複数のルータと、サービス要求を受けるサーバと、サーバに設けられて、DoS攻撃であるサービス要求を発したクライアント端末のソースアドレスを検出するソースアドレス検出手段(攻撃検出手段)と、検出されたソースアドレスから送られてくるパケットを廃棄するように、サービス要求が送られた経路を遡って前記ソースアドレスのクライアント端末に近いルータに依頼する特定パケット廃棄依頼手段(パケット処理指示手段)を備える。
【0005】
特許文献2には、DoS攻撃或いはDDoS攻撃に対処する方法が記載されている。
特許文献2に記載された方式では、複数のIPルータ(ネットワーク装置)がそれぞれ、任意のタイミングでのサンプリングパケットを分析装置に送信し、分析装置が全IPルータからのサンプリングパケットを収集して解析を行い、同一ホストに対して定められた時間内に閾値以上連続的に送信されたことを検出することにより分析部(攻撃検出手段)で攻撃を検出し、検出した該ホスト宛のパケットのうち特定のビットパターンと一致するIPパケットのみサンプリングして通知するように、検出したIPルータに対して指示通知する。通知を受けたIPルータは、特定のビットパターンと一致するIPパケットをサンプリングし、サンプリングしたIPパケットを分析装置に送信する。分析装置は、収集された注目すべき該ホストのサンプルIPパケットの解析を行い、DoSおよびDDoS攻撃パケットフローを正確に識別し、該IPルータに対して、攻撃パケットフローを識別したIPパケットフローを一定時間フィルタリングするように指示する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2003−298628号公報
【特許文献2】特開2006−164038号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1に記載されているDoS攻撃及びDDoS攻撃を受けるサーバを保護するサーバ保護ネットワークシステムにおいては、次のような課題がある。
【0008】
まず、DoS攻撃およびDDoS攻撃を受けたサーバが、攻撃を検出するため、攻撃を受けて、既にリソースに不足が生じているにもかかわらず、DoS攻撃等の判定や、サービス要求を発したクライアント端末のソースアドレスを検出するために、更に、リソースを検出動作に割当てる必要がある。
また、DoS攻撃等を受けている最中に、サービス要求が送られた経路を遡ってソースアドレスのクライアント端末に近いルータに、検出されたソースアドレスから送られてくるパケットを廃棄するように依頼する動作を行なうため、攻撃元と攻撃対象間のネットワークを受持つルータを高負荷状態にせしめる攻撃中であるにも関わらず、そのルータのリソースを更に消費するようサーバから指示が成される。
また、サーバから、サービス要求が送られた経路を遡ってソースアドレスのクライアント端末に一番近いルータに依頼するため、ネットワーク内の全てのルータが記載されている方式に対応する必要がある。
【0009】
また、特許文献2に記載されているDoS攻撃或いはDDoS攻撃に対処する方法においては、次のような課題がある。
DoS攻撃パケットのフロー上の全てのルータに対して、パケットのサンプリングを指示することとなるため、同じパケットを複数のルータが、分析装置に通知を行うことになり、ネットワーク内のルータの負荷が増加してしまう。特に、DoS攻撃等の攻撃されている最中でも、特許文献1と同様に、攻撃元と攻撃対象間のネットワークを受持つルータのリソースを更に消費するよう分析装置から指示が成される。
また、分析装置は、サンプリングパケットの内容からDoS攻撃パケットのフロー上の全てのルータに対して、パケット廃棄に加えて帯域制御等の防御方法である同一の内容の指示を行なうため、攻撃者に最も近いルータがパケット廃棄や帯域制御を行っている最中にも、他のルータも同一の帯域制御等のリソースを消費するフィルタリングを実施することとなる。
また、分析装置は、各ルータに指示したサンプリング条件に基づく応答として、サンプリング条件に合致した攻撃であるだろうパケットをフローとして中継した全てのルータから、同一のパケットに基づく応答を受ける。これは、分析装置が、DoS攻撃等の最中に莫大なパケットの処理を要求されることとなり、対処として、分析装置に多くの処理リソースを割当てる必要がある。換言すれば、DoS攻撃等を検出している最中には、自らのリソース量を把握しながら、パケット処理を行う必要があり、リソース量に応じて、結果として分析装置でのパケット廃棄、パケットの見過ごし、未対応を行なう可能性を有する。
【0010】
尚、ルータでのパケットの転送処理は、送信先ルータの負荷状態等に寄って経路を選択しながら転送する方式もあり、分析装置は、経路となった多くのルータから莫大な量の応答が長時間に亘って送信されることとなる。この場合は、分析装置は、攻撃元の特定(攻撃元に近接するルータの特定)には、これらの応答の全てを処理する必要があり、瞬間的にも莫大な処理リソースを長時間に亘って要する。また、DDoS攻撃では、複数の攻撃元が存在し、それぞれの攻撃元からサーバへの複数の経路を介して攻撃されるため、分析装置には、DoS攻撃によりも更なる負荷がかかる。
また、昨今の世相では、DoS攻撃等の検出も重要であるものの、ネットワークの構築の費用対効果も重要となり、設備量や装置交換の適切度も重要となっている。
【0011】
本発明の目的は、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減したネットワーク中継装置、およびサービス停止攻撃検出システムを提供することにある。
【課題を解決するための手段】
【0012】
本発明のネットワーク中継装置は、ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、パケットの宛先方向のネットワーク中継装置に対して、前記パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と前記パケット処理条件解除通知を受信した場合に、前記パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段とを備えることを特徴とする。
【0013】
本発明のサービス停止攻撃検出システムは、ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出する攻撃検出手段と、前記攻撃検出手段による攻撃フローの検出結果に基づき、前記ネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知するパケット処理指示手段とを備える分析装置と、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知する通知手段と、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段とを備える第1のネットワーク中継装置と、前記要求指示を受信した際に、サンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、隣接ネットワーク中継装置から前記通知を受信した場合に、前記分析装置からの指示動作を解除する手段を備える第2のネットワーク中継装置を、含むことを特徴とする。
【発明の効果】
【0014】
本発明によれば、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減したネットワーク中継装置、およびサービス停止攻撃検出システムを提供できる。
【図面の簡単な説明】
【0015】
【図1】実施の一形態のサービス停止攻撃検出システムを例示する構成図である。
【図2】ネットワーク中継装置の処理動作を示すフローチャートである。
【図3】攻撃検出システムの動作を示す説明図である。
【図4】既存ネットワーク中継装置を含む攻撃検出システムを例示する構成図である。
【図5】IPルータの経路情報テーブルを例示する説明図である。
【発明を実施するための形態】
【0016】
本発明の実施の形態を図1ないし図5に基づいて説明する。
【0017】
図1は、実施の一形態の攻撃検出システムを例示する構成図である。図1を参照すると、ネットワーク構成は、攻撃元となる情報処理装置101、IP技術を用いたサービスを提供しているサーバ102、攻撃を検出して対応を定める分析装置103、各種パケットを中継するネットワーク中継装置111〜114である。
【0018】
情報処理装置101は、一般的にはパーソナルコンピュータであるが、サーバや携帯端末である場合もある。情報処理装置101は、攻撃元であり、サーバ102に対して、多量の又は連続的にサービス要求又はパケットを送信して攻撃を仕掛ける。尚、情報処理装置101からのアクセスに攻撃意図の有無は問わない。
サーバ102は、一般的なインターネット等を介して各種サービスを提供するサーバである。サーバ102が提供するサービスは、どのようなサービスであっても良く、例えばWebサイト(HP)や、ファイル提供サービス、メールシステムなどが挙げられる。
分析装置103は、ネットワーク中継装置111〜114からのサンプルパケットを分析してDoS攻撃及びDDoS攻撃を検出する攻撃検出手段と、DoS攻撃等を検出した場合に、攻撃の宛先の特定ビットパターンのパケットサンプルの送信を各ネットワーク中継装置に要求指示通知として送信するサンプリング指示手段(パケット処理指示手段)と、各ネットワーク中継装置に対して攻撃に対するフィルタリングを要求指示通知として送信するフィルタリング指示手段(パケット処理指示手段)を有する。
【0019】
ネットワーク中継装置111〜114は、分析装置103からDoS攻撃等のサンプリング条件及び/又はフィルタリング条件を要求指示通知で受信し、その条件に基づいて受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、要求指示に基づきパケット処理手段から出力される結果を分析装置103に送信する要求応答送信手段とを有する。
また、ネットワーク中継装置111〜114は、パケット処理条件であるサンプリング条件とフィルタリング条件に一致する受信パケットの宛先方向の隣接ネットワーク中継装置に対して、パケット処理条件(設定条件)の解除をパケット処理条件解除通知として送信する通知手段と、隣接中継装置からパケット処理条件解除通知を受信した際に、設定されていたパケット処理条件を書き換えて解除(削除)するパケット処理制御手段を備える。
尚、ネットワーク中継装置111〜114の上記手段以外の処理機能は、当業者にとってよく知られており、また本発明とは直接関係しないので、その詳細な構成は省略する。
【0020】
ここで、ネットワーク中継装置111〜114の処理動作を、図2のフローチャートを使用して説明する。尚、説明を明瞭にするため、全てのネットワーク中継装置の構造は同一とし、ネットワーク中継処理等の動作は記載を省略する。
【0021】
受信したパケットが分析装置からの要求指示(サンプリングパケットの送信指示)である場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが分析装置103からのサンプリングパケットの送信指示(フルサンプリング指示,要求指示通知:図3の指示301)かどうか判断し(ステップ302)、サンプリングパケットの送信指示であれば、サンプリングするパケットの条件に一致するフローの宛先方向に隣接するネットワーク中継装置に、分析装置から指示されたサンプリングを実施するパケットを特定可能な情報を付して、パケット検出の解除通知(パケット処理条件解除通知:図3の通知302)を送信する(ステップS306)。
ネットワーク中継装置は、パケット検出の解除通知を送信後、受信したサンプリングパケットの送信指示に含まれる条件をパケット処理手段の動作条件として設定記憶し(ステップS307)、次のパケットの受信待ち状態に戻る。
尚、上記処理動作に加え、解除通知の送信前に、宛先方向に隣接するネットワーク中継装置の有無および形式を識別する処理を加えても良い。この場合は、隣接するネットワーク中継装置が同様のネットワーク中継装置である場合のみパケット検出の解除通知を送信することとなる。即ち、ネットワーク中継装置が、隣接中継装置のない場合や非対応である場合には、分析装置103からの要求指示を受けて、受信したサンプリングパケットの送信指示の条件を、パケット処理手段の動作条件として設定情報(パケット処理条件設定テーブル)に記録し、解除通知を送信せずに、次のパケットの受信待ち状態に戻るようにすれば良い。
【0022】
また、ネットワーク中継装置は、分析装置103からの送信指示を受信後、宛先方向の隣接中継装置に解除通知を所定回数又は所定時間の間、周期的に送信するようにしても良い。このように動作させることによって、隣接中継装置でのオーバフローなど、何からの理由により解除通知が隣接中継装置で処理できない場合においても、周期的に送信される解除通知によって、ネットワーク中継装置や分析装置の負荷を軽減できる。また、隣接中継装置が再起動等で、解除通知の受信情報が失われた場合においても、再度解除通知に基づき動作し、各装置の負荷を軽減できる。
【0023】
受信したパケットがパケット検出の解除通知である場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが隣接中継装置からのパケット検出の解除通知か判断し(ステップS203)、パケット検出の解除通知であれば、通知に含まれる条件に関する情報を、パケット処理手段の動作条件の設定情報から削除(ステップS208)し、次のパケットの受信待ち状態に戻る。このとき、送信指示301と解除通知302の到着の前後等を考慮し、所定時間解除通知302に基づく処理を繰り返し又は待機するようにしても良い。
【0024】
即ち、パケット検出の解除通知に含まれるパケット検出条件が、設定情報に記録されている情報と同等の場合、当該条件が削除される。これは、当該ネットワーク中継装置で消費されるリソースの削減につながる。尚、リソースを削減できる詳細については、作用効果として後述する。
受信したパケットがサンプリングパケットの送信指示およびパケット検出の解除通知でない場合:
ネットワーク中継装置は、パケットを受信(ステップS201)し、受信したパケットが設定情報に記載された条件(サンプリングパケットの送信指示)に一致するか判断(ステップS204)し、一致していれば設定情報に記載された条件に対応付けられた動作(パケットをコピーして、サンプルパケット(図3の303)として、分析装置に送信)を実施(ステップS205)し、次のパケットの受信待ち状態に戻る。
他方、受信したパケットが設定条件に一致しなければ、一般的なパケットとして中継処理する。
【0025】
次に、図3を使用して、システム全体の動作を説明する。
以下では、図1に示したネットワークにおいて、攻撃元である情報処理装置101がサーバ102にDoS攻撃を行った場合を例に説明する。
【0026】
図3は、図1のネットワークにおいて情報処理装置101がサーバ102にDoS攻撃を行った場合に通過するネットワーク中継装置111〜113と、DoS攻撃のフローが通過しないネットワーク中継装置114と、分析装置103及びネットワーク中継装置111〜114が送信する通知メッセージ(送信指示301,解除通知302,サンプルパケット303)を示している。
【0027】
図3において、分析装置103は、全てのネットワーク中継装置(111〜114)のパケットのサンプルを受信するため、各ネットワーク中継装置に予めパケットのサンプル条件を通知する。
各ネットワーク中継装置は、分析装置103にからのサンプル指示又は予め設定されている条件に従い、パケットのサンプルを分析装置に送信する。尚、全パケットのサンプルを分析装置103に送信してもよいし、間歇的に送信しても良い。
【0028】
分析装置103は、ネットワーク中継装置111〜114からのパケットを確認することにより、攻撃を検知し、攻撃フローが通過する経路のネットワーク中継装置111〜113に対してサンプリングパケットの送信指示301を送る。尚、DoS攻撃のパケットであるか否かの判断は、攻撃検出手段で、宛先の特定のビットパターンの検出などで行なう。また、必要に応じて、ネットワーク中継装置114等の検出された経路以外のネットワーク中継装置にも同様の指示301を送信する。
【0029】
サンプリングパケットの送信指示301を受けたネットワーク中継装置111〜113は、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、送信指示301に含まれる攻撃パターンにマッチするパケットの情報をパケット検出の解除通知302として通知(ステップS206処理)すると共に、送信指示301に含まれているサンプリング条件を設定条件に記録(ステップS207の処理)し、通知された条件に該当するパケットを検出(ステップS204の処理)したときに、分析装置103にサンプルパケット303を送信(ステップS205の処理)する。
【0030】
パケット検出の解除通知302を受けたネットワーク中継装置は、送信指示301に含まれて解除通知302として送られてきたパケット処理条件を解除(ステップS208処理)する。
【0031】
即ち、サンプリングパケットの送信指示301を受信した直後は、情報処理装置101からサーバ102に送信されたパケット(DoSパケット)が通過するネットワーク中継装置111,112,113が、予め通知された条件に該当するパケットを検出し、分析装置103に同様のサンプルパケット303を送信することとなる。その後、隣接ネットワーク中継装置からパケット検出の解除通知302を受けたネットワーク中継装置は、分析装置103にサンプルパケット303を送信することを停止する。
【0032】
以下、上記処理時の各ネットワーク中継装置の動作を詳細に説明する。
ネットワーク中継装置111は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたDoSパケットの宛先方向の隣接中継装置であるネットワーク中継装置112に対して、分析装置103から送信指示301を受信したことをパケット検出の解除通知302として送信すると共に、送信指示301に含まれるDoSパケットのサンプリング条件を設定する。尚、解除通知302には、分析装置103からの送信指示301で特定される攻撃パターンにマッチするパケットの情報が含まれている。
【0033】
ネットワーク中継装置112は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたパケットの宛先方向の隣接中継装置であるネットワーク中継装置113に対して解除通知302を送信すると共に、送信指示301に含まれるパケットのサンプリング条件を設定する。その後、ネットワーク中継装置112は、ネットワーク中継装置111から通知された解除通知302を受信すると、送信指示301に含まれるパケットのサンプリング条件を解除する。
【0034】
ネットワーク中継装置113は、サンプリングパケットの送信指示301を受信すると、サンプリングを指示されたパケットの宛先方向の隣接中継装置が存在しないので解除通知302を送信せずに、送信指示301に含まれるパケットのサンプリング条件を設定する。その後、ネットワーク中継装置113は、ネットワーク中継装置112から通知された解除通知302を受信すると、送信指示301に含まれるパケットのサンプリング条件を解除する。
【0035】
尚、分析装置103が攻撃フローを検出した経路以外のネットワーク中継装置にも送信指示301を送信した場合は、ネットワーク中継装置114では、送信指示301を受信し、サンプリングを指示されたパケットの攻撃先から宛先方向となる隣接中継装置であるネットワーク中継装置113を決定し、解除通知302を送信すると共に、送信指示301に含まれるパケットのサンプリング条件を設定する。このように、予備的にDoSパケットのサンプリング条件を設定することで、検出した経路以外からの攻撃に対する守備を固める。
【0036】
このように各装置を動作させることによって、解除通知302を受信したネットワーク中継装置(112,113)は、パケットのサンプリング条件のうち、解除通知302に含まれているパケットに関連するサンプリング処理を中止(解除)し、パケット処理に割当てたリソースを開放する。
また、検出したDoSパケットの宛先の特定ビットパターンのパケットのサンプルパケット303の送信を行わないことにより、その後のパケット廃棄や帯域制御などの攻撃への対応(フィルタリング処理)の指示を受信しても所定の間、指示された動作を受け付けない(設定を書き換えない)よう処理できる。
【0037】
即ち、送信指示301を受信した全てのネットワーク中継装置が検出したDoSパケットの宛先方向に解除通知302を送信する様に動作させると、DoSパケットの経路上で、DoSパケットの送信元ネットワークに最も近い送信指示301を受信したネットワーク中継装置のみが解除通知302を受信しないことになる。そのため、DoSパケットの送信元ネットワークに最も近いネットワーク中継装置のみが分析装置103に検出したDoSパケットの宛先の特定のビットパターンのパケットのサンプル303の送信を行うこととなる。
【0038】
また、分析装置103は、DoSパケットの送信元に最も近いネットワーク中継装置111のみから、サンプル303を受信するため、DoSパケットの送信元ネットワークに最も近いネットワーク中継装置にのみ、DoS攻撃への対応指示であるフィルタリング条件の設定を行なえる。
【0039】
また、ネットワーク中継装置114の様に、攻撃の初期においてDoSパケットの経路とならなかったネットワーク中継装置に対しても同様の処理を行わせることで、DoSパケットの流入経路が変化した場合でも早期にDoSパケットの検出が可能となる。また、DDoS攻撃の一方式のように、送信元を詐称し複数個所から同じ送信元で送信された場合でも、分析装置103で検出したフローと同じフローとして別の流入経路からのフローを処理できるため、早期にDDoS攻撃パケットの検出が可能となる。
【0040】
以上説明したように、本実施の一形態の攻撃検出システムでは、以下に記載するような作用効果を奏する。
【0041】
本発明を適用したネットワーク中継装置を使用した攻撃検出システムでは、分析装置103からDoS攻撃パケットのサンプルの指示を送出した場合、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみが分析装置113に対してサンプルパケットを送信するようにネットワークを構成できるので、ネットワーク内のネットワーク中継装置112,113の負荷が軽減できる。
【0042】
また同様に、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみ、攻撃パケットに対する処理(サンプリングやフィルタリング)を行なわせることとなるので、ネットワーク内のネットワーク中継装置112,113の負荷が軽減できる。
【0043】
加えて、分析装置103は、DoS攻撃パケットの送信元である情報処理装置101(送信元ネットワーク)に最も近いネットワーク中継装置であるネットワーク中継装置111のみから、検出したDoSパケットのサンプルパケット203を受信するため、瞬間的及び継続的に負荷を軽減でき、処理に割当てるリソースを軽減できる。
【0044】
尚、上記効果は、サンプリング指示の場合であるが、フィルタリング指示においても同様の効果を得られる。
【0045】
また、上記説明では、ネットワーク中継装置に、パケットの宛先方向の隣接中継装置に対して、パケット処理条件の解除のみを行うものとして説明したが、宛先方向の隣接中継装置に対して、パケット処理条件の解除可能又は緩和可能である旨を通知するようにしても良い。
この場合は、通知手段から、所定のパケットを処理する条件を緩和可能であることを示す処理低減通知情報を送信し、処理低減通知情報を受信したネットワーク中継装置(隣接中継装置)のパケット処理制御手段が、分析装置からの指示に基づく処理を処理低減通知情報に基づいて低減する。尚、設定条件を順次書き換えるようにしても良い。また、条件の制限は、時間と共に解除される方向に進め、最終的に解除しても良いし、最低限の処理を残し、所定時間毎に分析装置にサンプルパケットを送信するようにしても良い。また、ネットワーク中継装置に、パケット処理手段の残リソース量を判定するリソース判定手段を設け、パケット処理手段がパケット処理担当通知を受信して、パケット処理担当通知の内容と残リソース量に基づき、パケット処理条件の設定を書き換えるようにしても良い。このようにすれば、解除のみを行なうシステムよりも各装置のリソースを消費するものの、サーバの保護を厚くできる。
【0046】
ここで、上記説明したネットワーク中継装置と、本発明に対応していない既存ネットワーク中継装置がネットワーク内に存在する場合のネットワーク全体の動作について、図4を用いて説明する。
【0047】
図4は、本発明に対応するネットワーク中継装置411〜413、本発明に対応しない既存ネットワーク中継装置421から構成されたネットワークを示している。
【0048】
攻撃元となる情報処理装置401からサーバ404へ攻撃が行われると、分析装置405は、ネットワーク中継装置411等から受信するパケットサンプルに対してDoS攻撃を検出する。
これにより、ネットワーク中継装置411等は、分析装置405から送信されたサンプリングパケットの送信指示301を受信する。このとき、ネットワーク中継装置411は、送信指示301を受信したので、隣接中継装置421に対して、解除通知302を送信する。
【0049】
ネットワーク中継装置421は本発明に対応していないため、解除通知302の通知を無視する。また、ネットワーク中継装置421の隣接中継装置であるネットワーク中継装置412に対して、解除通知302を送信する機能を持たない。このため、ネットワーク中継装置412は、解除通知302を受け取らない。
【0050】
ネットワーク中継装置412は、分析装置405から送信指示301を受信すると、ネットワーク中継装置413に解除通知302を送信する。ネットワーク中継装置413は、解除通知302を受信すると、設定条件に記録されているパケット処理(サンプルパケット303の送信)を停止する。
【0051】
このように、本発明にかかるネットワーク中継装置は、既存のネットワーク中継装置と共に使用されても、有効に作用する。
【0052】
次に、攻撃元となる情報処理装置が複数存在する場合(DDoS攻撃等の場合)のネットワーク全体の動作について、図4を用いて説明する。
攻撃元となる情報処理装置401、403からサーバ404へ攻撃が行われた場合、ネットワークは、情報処理装置401、403からの攻撃を並列的に処理し、それぞれの攻撃フローに対して防御する。
詳細には、分析装置405は、ネットワーク中継装置411等からのパケットサンプルより、情報処理装置401からサーバ404への攻撃を検出し、サンプリングパケットの送信指示301を送信する。ネットワーク中継装置411は、送信指示301を受け取ると、隣接中継装置へ解除通知302を通知する。
【0053】
並列的に、分析装置405は、ネットワーク中継装置412等からのパケットサンプルより、情報処理装置401からサーバ404への攻撃と、情報処理装置403からサーバ404への攻撃を検出し、それぞれの攻撃フローに対するサンプル送信の送信指示301をネットワーク中継装置412、403に通知する。このとき、情報処理装置401からの攻撃と情報処理装置402からの攻撃のパケットの送信元アドレスが異なる場合、別な攻撃として扱うため、送信指示301は2種類通知され、情報処理装置401からの攻撃と情報処理装置403からの攻撃の送信元アドレスが詐称等により同じである場合は、同じ攻撃として扱うため、送信指示301は1種類のみ通知される。
ネットワーク中継装置412は、受け取った送信指示301の数に応じて、隣接中継装置であるネットワーク中継装置413に、攻撃パケットを特定可能な情報が含まれる解除通知302を送信する。ネットワーク中継装置413は、受け取った解除通知302に合致したパケット処理(サンプルパケット303の送信)を停止する。
【0054】
また、攻撃元を示すホストの流入経路が変更になった場合(例えば攻撃元の情報処理装置401を示す番号から情報処理装置402を示す番号に変更になった場合)は、上記した複数の攻撃元が存在する場合で、攻撃元の送信元アドレスが同じ場合(詐称等)と同様に動作する。
【0055】
このように、本発明にかかるネットワーク中継装置は、攻撃元となる情報処理装置が複数存在しても、有効に作用する。また、本発明にかかるサービス停止攻撃検出システムは、既存のネットワーク中継装置を含むネットワーク構成であっても、攻撃元となる情報処理装置が複数存在する攻撃に対して、有効に作用する。
【0056】
次に、ネットワーク中継装置から隣接中継装置に送信するパケット処理の解除通知302の構成例とネットワーク中継装置における処理動作例を説明する。以下では、ネットワーク中継装置をIPルータとして構成した場合を示す。
【0057】
IPルータは、宛先ネットワークと次に転送すべきIPルータのアドレス(NextHop)の情報を経路情報テーブルとして記憶保持(図5参照)し、経路情報テーブルに基づきパケットの転送処理を行っている。
【0058】
解除通知302は、IPパケットから構成される。解除通知302であるIPパケットの宛先アドレスには、攻撃先ネットワークに到達するためのNextHopを設定することにより、隣接中継装置へ送信を行う。また、解除通知302は、プロトコル番号やUDPポート番号等を予め決定しておき、IPルータにおいて解除通知302であることの識別可能とする。
この場合、全てのIPルータが解除通知302を受信し、本発明に対応しているIPルータは受信処理を行うこととなり、本発明に未対応のIPルータは、解除通知302を廃棄することとなる。
【0059】
解除通知302の別な構成として、宛先アドレスに攻撃先ホストのアドレスを設定する。
この場合、本発明に対応しているIPルータは、全ての受信パケット確認し解除通知302である場合、そのパケットの転送は行わず、解除通知302の受信処理を行う。本発明に未対応のIPルータは、解除通知302を通常パケットとして転送する。
具体的に示せば、図4において情報処理装置401からサーバ404に攻撃が行なわれた場合、ネットワーク中継装置411が送信した解除通知302は、本発明に未対応のネットワーク中継装置421で転送され、ネットワーク中継装置412が解除通知302を受信することにより、本発明に未対応のルータが存在しない場合と同様な動作となる。
【0060】
このように、既存ネットワーク中継装置と本発明にかかるネットワーク中継装置とを混在するネットワークにおいても、DoS攻撃およびDDoS攻撃を有効に防御でき、加えて、防御対策に要するネットワーク各所の負荷を軽減できる。
また、攻撃元の情報処理装置が直接本発明に対応したネットワーク中継装置に接続していない場合、例えば、情報処理装置402からサーバ404へ攻撃が行われた場合でも、既存ネットワーク中継装置421の動作に関わらず、ネットワーク中継装置412、413が本発明にかかる動作を行なうことにより、攻撃を検出すると共にネットワーク中継装置413等の処理リソースを低減できる。
【0061】
これは、多くの種類のサービス停止攻撃検出システムが、ネットワークを構成する全てのネットワーク中継装置に同一の機能を求めるのに対し、本発明にかかるネットワーク中継装置は、ネットワークの一部分を構成することで有効に作用する。換言すれば、既存のネットワークを順次本発明におけるネットワーク中継装置に置換することで、置換地点において有効に作用する。
【0062】
以上説明したように、本発明のネットワーク中継装置を含むサービス停止攻撃検出システムによれば、DoS攻撃及びDDoS攻撃の防御対策に要する負荷を軽減できる。
【0063】
尚、本発明の具体的な構成は前述の実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の変更があってもこの発明に含まれる。
【符号の説明】
【0064】
101 情報処理装置
102 サーバ
103 分析装置
111、112、113、114 ネットワーク中継装置
401、402、403 情報処理装置
404 サーバ
405 分析装置
411、412、413 ネットワーク中継装置
421 非対応ネットワーク中継装置(既存ネットワーク中継装置)
【特許請求の範囲】
【請求項1】
ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出する攻撃検出手段と、
前記攻撃検出手段による攻撃フローの検出結果に基づき、前記ネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知するパケット処理指示手段と
を備える分析装置と、
前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知する通知手段と、
前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と
を備える第1のネットワーク中継装置と、
前記要求指示を受信した際に、サンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、
隣接ネットワーク中継装置から前記通知を受信した場合に、前記分析装置からの指示動作を解除する手段と
を備える第2のネットワーク中継装置と、
を含むことを特徴とするサービス停止攻撃検出システム。
【請求項2】
前記通知手段は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を周期的に通知することを特徴とする請求項1記載のサービス停止攻撃検出システム。
【請求項3】
前記通知手段は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項1又は2に記載のサービス停止攻撃検出システム。
【請求項4】
前記第1のネットワーク中継装置は、要求指示を受信した場合、指示されたパケットの宛先方向となる隣接ネットワーク中継装置を決定し、前記隣接ネットワーク中継装置に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項1ないし3の何れか一項に記載のサービス停止攻撃検出システム。
【請求項5】
前記第2のネットワーク中継装置は、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報の通知を受信した場合、所定の間、前記分析装置からのフィルタリング処理の指示動作を受け付けないことを特徴とする請求項1ないし4の何れか一項に記載のサービス停止攻撃検出システム。
【請求項6】
前記第1のネットワーク中継装置は、隣接ネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記第2のネットワーク中継装置は、通知された前記情報に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項1ないし5の何れか一項に記載のサービス停止攻撃検出システム。
【請求項7】
前記第2のネットワーク中継装置は、通知された前記情報と自装置の残リソース量に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項6記載のサービス停止攻撃検出システム。
【請求項8】
既存のネットワーク中継装置と前記第1及び第2のネットワーク中継装置とを混在してIPネットワークを構築すると共に、前記第1のネットワーク中継装置をネットワークの関門に配置し、前記第1のネットワーク中継装置の隣接ネットワーク中継装置として前記第2のネットワーク中継装置を配置する
ことを特徴とする請求項1ないし7の何れか一項に記載のサービス停止攻撃検出システム。
【請求項9】
ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、
パケットの宛先方向のネットワーク中継装置に対して、前記パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と
を備えることを特徴とするネットワーク中継装置。
【請求項10】
前記パケット処理条件解除通知を受信した場合に、前記パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段と
を備えることを特徴とする請求項9記載のネットワーク中継装置。
【請求項11】
前記通知手段は、前記パケット処理条件の指示を受信した際に、前記隣接ネットワーク中継装置に対して、前記パケット処理条件解除通知を周期的に送信することを特徴とする請求項9又は10に記載のネットワーク中継装置。
【請求項12】
前記通知手段は、前記パケット処理条件の指示を受信した際に、前記隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記パケット処理条件解除通知を送信することを特徴とする請求項9ないし11の何れか一項に記載のネットワーク中継装置。
【請求項13】
前記パケット処理条件の指示を受信した際に、指示されたパケットの宛先方向となる隣接ネットワーク中継装置を決定し、前記隣接ネットワーク中継装置に、前記パケット処理条件解除通知を送信することを特徴とする請求項9ないし12の何れか一項に記載のネットワーク中継装置。
【請求項14】
前記パケット処理制御手段は、前記パケット処理条件解除通知を受信した場合、所定の間、ネットワークを介するパケット処理条件の指示を受け付けないことを特徴とする請求項10ないし12の何れか一項に記載のネットワーク中継装置。
【請求項15】
前記通知手段は、前記隣接ネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記パケット処理制御手段は、通知された前記情報に基づいて、設定を、前記指示に基づく処理を低減又は解除する設定に書き換える
ことを特徴とする請求項9ないし14の何れか一項に記載のネットワーク中継装置。
【請求項16】
前記パケット処理手段の残リソース量を判定するリソース判定手段と、
前記通知手段は、前記パケット処理条件の解除可能又は緩和可能である旨をパケット処理緩和通知として送信し、
前記パケット処理手段は、前記パケット処理緩和通知を受信した場合に、前記パケット処理緩和通知の内容と残リソース量に基づき、パケット処理条件の設定を書き換える
ことを特徴とする請求項9ないし15の何れか一項に記載のネットワーク中継装置。
【請求項17】
ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出し、
攻撃フローの検出結果に基づき、少なくとも第1および第2のネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知し、
前記第1のネットワーク中継装置において、要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置である前記第2のネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知すると共に、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングし、
前記第2のネットワーク中継装置において、要求指示を受信した際に、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングし、
前記第1のネットワーク中継装置から前記指示要求に含まれる攻撃パターンにマッチするパケットの情報の通知を受信した場合に、前記要求指示の動作を解除する
ことを特徴とするサービス停止攻撃防御方法。
【請求項18】
前記第1のネットワーク中継装置は、前記要求指示を受信した際に、前記第2のネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を周期的に通知することを特徴とする請求項17記載のサービス停止攻撃防御方法。
【請求項19】
前記第1のネットワーク中継装置は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項17又は18に記載のサービス停止攻撃防御方法。
【請求項20】
前記第1のネットワーク中継装置は、前記第2のネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記第2のネットワーク中継装置は、通知された前記情報に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項17ないし19の何れか一項に記載のサービス停止攻撃防御方法。
【請求項21】
前記第2のネットワーク中継装置は、通知された前記情報と自装置の残リソース量に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項20記載のサービス停止攻撃防御方法。
【請求項1】
ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出する攻撃検出手段と、
前記攻撃検出手段による攻撃フローの検出結果に基づき、前記ネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知するパケット処理指示手段と
を備える分析装置と、
前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知する通知手段と、
前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と
を備える第1のネットワーク中継装置と、
前記要求指示を受信した際に、サンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、
隣接ネットワーク中継装置から前記通知を受信した場合に、前記分析装置からの指示動作を解除する手段と
を備える第2のネットワーク中継装置と、
を含むことを特徴とするサービス停止攻撃検出システム。
【請求項2】
前記通知手段は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を周期的に通知することを特徴とする請求項1記載のサービス停止攻撃検出システム。
【請求項3】
前記通知手段は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項1又は2に記載のサービス停止攻撃検出システム。
【請求項4】
前記第1のネットワーク中継装置は、要求指示を受信した場合、指示されたパケットの宛先方向となる隣接ネットワーク中継装置を決定し、前記隣接ネットワーク中継装置に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項1ないし3の何れか一項に記載のサービス停止攻撃検出システム。
【請求項5】
前記第2のネットワーク中継装置は、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報の通知を受信した場合、所定の間、前記分析装置からのフィルタリング処理の指示動作を受け付けないことを特徴とする請求項1ないし4の何れか一項に記載のサービス停止攻撃検出システム。
【請求項6】
前記第1のネットワーク中継装置は、隣接ネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記第2のネットワーク中継装置は、通知された前記情報に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項1ないし5の何れか一項に記載のサービス停止攻撃検出システム。
【請求項7】
前記第2のネットワーク中継装置は、通知された前記情報と自装置の残リソース量に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項6記載のサービス停止攻撃検出システム。
【請求項8】
既存のネットワーク中継装置と前記第1及び第2のネットワーク中継装置とを混在してIPネットワークを構築すると共に、前記第1のネットワーク中継装置をネットワークの関門に配置し、前記第1のネットワーク中継装置の隣接ネットワーク中継装置として前記第2のネットワーク中継装置を配置する
ことを特徴とする請求項1ないし7の何れか一項に記載のサービス停止攻撃検出システム。
【請求項9】
ネットワークを介して指示されたサンプリング条件及び/又はフィルタリング条件であるパケット処理条件に基づき、受信パケットをサンプリング及び/又はフィルタリングするパケット処理手段と、
パケットの宛先方向のネットワーク中継装置に対して、前記パケット処理条件の解除をパケット処理条件解除通知として送信する通知手段と
を備えることを特徴とするネットワーク中継装置。
【請求項10】
前記パケット処理条件解除通知を受信した場合に、前記パケット処理条件解除通知の内容に基づき、パケット処理条件の設定を書き換えるパケット処理制御手段と
を備えることを特徴とする請求項9記載のネットワーク中継装置。
【請求項11】
前記通知手段は、前記パケット処理条件の指示を受信した際に、前記隣接ネットワーク中継装置に対して、前記パケット処理条件解除通知を周期的に送信することを特徴とする請求項9又は10に記載のネットワーク中継装置。
【請求項12】
前記通知手段は、前記パケット処理条件の指示を受信した際に、前記隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記パケット処理条件解除通知を送信することを特徴とする請求項9ないし11の何れか一項に記載のネットワーク中継装置。
【請求項13】
前記パケット処理条件の指示を受信した際に、指示されたパケットの宛先方向となる隣接ネットワーク中継装置を決定し、前記隣接ネットワーク中継装置に、前記パケット処理条件解除通知を送信することを特徴とする請求項9ないし12の何れか一項に記載のネットワーク中継装置。
【請求項14】
前記パケット処理制御手段は、前記パケット処理条件解除通知を受信した場合、所定の間、ネットワークを介するパケット処理条件の指示を受け付けないことを特徴とする請求項10ないし12の何れか一項に記載のネットワーク中継装置。
【請求項15】
前記通知手段は、前記隣接ネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記パケット処理制御手段は、通知された前記情報に基づいて、設定を、前記指示に基づく処理を低減又は解除する設定に書き換える
ことを特徴とする請求項9ないし14の何れか一項に記載のネットワーク中継装置。
【請求項16】
前記パケット処理手段の残リソース量を判定するリソース判定手段と、
前記通知手段は、前記パケット処理条件の解除可能又は緩和可能である旨をパケット処理緩和通知として送信し、
前記パケット処理手段は、前記パケット処理緩和通知を受信した場合に、前記パケット処理緩和通知の内容と残リソース量に基づき、パケット処理条件の設定を書き換える
ことを特徴とする請求項9ないし15の何れか一項に記載のネットワーク中継装置。
【請求項17】
ネットワーク中継装置に対してDoS攻撃およびDDoS攻撃の検出に用いるサンプルパケットを要求すると共に、前記ネットワーク中継装置からのサンプルパケットを受信して攻撃フローの有無を検出し、
攻撃フローの検出結果に基づき、少なくとも第1および第2のネットワーク中継装置に対して、攻撃パターンにマッチするパケットのサンプリング又はフィルタリングの要求指示を通知し、
前記第1のネットワーク中継装置において、要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置である前記第2のネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知すると共に、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングし、
前記第2のネットワーク中継装置において、要求指示を受信した際に、前記要求指示で指示されたサンプリング条件及び/又はフィルタリング条件に基づき、受信パケットをサンプリング及び/又はフィルタリングし、
前記第1のネットワーク中継装置から前記指示要求に含まれる攻撃パターンにマッチするパケットの情報の通知を受信した場合に、前記要求指示の動作を解除する
ことを特徴とするサービス停止攻撃防御方法。
【請求項18】
前記第1のネットワーク中継装置は、前記要求指示を受信した際に、前記第2のネットワーク中継装置に対して、前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を周期的に通知することを特徴とする請求項17記載のサービス停止攻撃防御方法。
【請求項19】
前記第1のネットワーク中継装置は、前記要求指示を受信した際に、攻撃パケットの宛先方向の隣接ネットワーク中継装置の有無および/又は形式を識別し、前記隣接ネットワーク中継装置が前記通知を処理可能なネットワーク中継装置である場合に前記指示要求に含まれる攻撃パターンにマッチするパケットの情報を通知することを特徴とする請求項17又は18に記載のサービス停止攻撃防御方法。
【請求項20】
前記第1のネットワーク中継装置は、前記第2のネットワーク中継装置に対して、パケット処理条件の解除可能および/又は緩和可能である旨を通知し、
前記第2のネットワーク中継装置は、通知された前記情報に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項17ないし19の何れか一項に記載のサービス停止攻撃防御方法。
【請求項21】
前記第2のネットワーク中継装置は、通知された前記情報と自装置の残リソース量に基づいて、前記分析装置からの指示に基づく処理を低減又は解除する
ことを特徴とする請求項20記載のサービス停止攻撃防御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2010−283516(P2010−283516A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−134130(P2009−134130)
【出願日】平成21年6月3日(2009.6.3)
【出願人】(000227205)NECインフロンティア株式会社 (1,047)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月3日(2009.6.3)
【出願人】(000227205)NECインフロンティア株式会社 (1,047)
【Fターム(参考)】
[ Back to top ]