Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP4545647B2 - 攻撃検知・防御システム - Google Patents
[go: Go Back, main page]

JP4545647B2 - 攻撃検知・防御システム - Google Patents

攻撃検知・防御システム Download PDF

Info

Publication number
JP4545647B2
JP4545647B2 JP2005178105A JP2005178105A JP4545647B2 JP 4545647 B2 JP4545647 B2 JP 4545647B2 JP 2005178105 A JP2005178105 A JP 2005178105A JP 2005178105 A JP2005178105 A JP 2005178105A JP 4545647 B2 JP4545647 B2 JP 4545647B2
Authority
JP
Japan
Prior art keywords
attack
detection
state
suspected
threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005178105A
Other languages
English (en)
Other versions
JP2006352669A (ja
Inventor
真 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2005178105A priority Critical patent/JP4545647B2/ja
Priority to US11/231,468 priority patent/US7757285B2/en
Publication of JP2006352669A publication Critical patent/JP2006352669A/ja
Application granted granted Critical
Publication of JP4545647B2 publication Critical patent/JP4545647B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワーク上での不正アクセスに対するセキュリティシステムに関し、特にサービス妨害(DoS:Denial of Service)攻撃を早期に検知し防御する機能を有す
る攻撃検知・防御システムに関する。
ネットワーク上での脅威として、DoS攻撃などの不正アクセスがある。DoS攻撃は、ネットワークにおいて、例えば攻撃元端末からサーバに連続してサービス要求などを行うことによってサーバを高負荷にさせ、攻撃元端末以外の端末へのサービス実施を不能にさせる攻撃行動である。このDoS攻撃には、単独の攻撃元からのDoS攻撃(Single DoS攻撃)と、複数の攻撃元から妨害攻撃するDDoS攻撃(Distributed DoS攻撃)とがある。
DDoS攻撃では、例えば攻撃対象と無関係な多数の端末を乗っ取り、各端末から標的のサーバを一斉に攻撃する手法が採られる。この攻撃が成功すると、サーバがサービスを提供できなくなってしまう。ネットワークにおいては、特に、このDDoS攻撃への対策が切望されている。
従来技術としては、各端末及びサーバにおけるセキュリティ対策がある。具体的には、端末またはサーバ単位で行う、OS(Operating System)やアプリケーションのパッチ当てや、ウィルス対策ソフトの定義ファイルの更新である。この手法では、各端末などの管理者の運用に依存してしまい、故意または過失等により穴(セキュリティホール)が空いてしまう可能性がある。
別の従来技術しては、ネットワークにIDP(Intrusion Detection and Prevention)(登録商標)と呼ばれる装置(攻撃検知・防御装置)を設置する手法がある。攻撃検知・防御装置は、各種攻撃の検知及び遮断(阻止)を行う機能を有する。サーバの手前に攻撃検知・防御装置をインライン設置することで、一旦攻撃と検知すると、以降そのフローを遮断可能であり、これによりサーバを攻撃から防御することが可能となる。
しかし、この攻撃検知・防御装置では、大量攻撃を受けたことを事後的に検知する。その理由は、誤検知を防止するために、トラフィック量が定量的または定性的なパラメータによる判定基準(閾値)をある程度上回るまで遮断できないからである。そのため、トラフィック量が上記閾値を超えたとき、サーバ手前で遮断されるまでの間、攻撃者がサーバにアクセスできてしまう問題が残る。
攻撃検知のための閾値を下げればよいかというと、誤検知が増えてしまうため、これは解とならない。また、閾値を超えないトラフィック量で攻撃が行われると、やはりサーバにアクセスできてしまうことを免れない。
また、被攻撃サーバ手前にて遮断されたとしても、攻撃者は別サーバに対して攻撃可能であること、及び攻撃トラフィックがネットワークの資源(リソース)を無駄に消費し続けることが問題として残り、対策としては不十分である。
更に別の従来技術としては、サーバ手前だけでなく、ネットワーク間の境界箇所に攻撃検知・防御装置を設置し、あるサーバ手前位置の攻撃検知・防御装置が攻撃を検知すると、その攻撃検知・防御装置がネットワークの入口側の攻撃検知・防御装置へ攻撃検知を通
知することにより、遮断の実行箇所を論理的に移動させる手法がある。
この手法では、処理負荷を分散させ、ネットワーク内のトラフィックを抑制する効果があるものの、検知そのものは上述の別の従来技術と本質的に変わらないので、ネットワークの入口箇所の攻撃検知・防御装置で遮断が完了するまでの間は、同じ問題、つまり遮断までの時間、及び攻撃トラフィック量が閾値以下だとアクセスできてしまう問題を抱えることになる。
上述したように、従来の各技術は、被攻撃サイトで大量の攻撃を受けた後に、検知及び遮断を行うものであって、DDoS攻撃(不特定多数に向けた特定手法の攻撃行動)などを効果的に検知し、攻撃者が存在するサイト内において、大量の攻撃トラフィックが中継ネットワークへ流出することを早期に防止することはできない。
特開2004−320636号公報
本発明の課題は、DDoS攻撃などの攻撃行動を効果的に検知し、攻撃者が存在するサイト内において、大量の攻撃トラフィックが中継ネットワークへ流出することを早期に(リアルタイムに)防止することが可能なネットワークのセキュリティ技術を提供することにある。
上記課題を解決するために、本発明の攻撃検知・防御装置は、サービス妨害攻撃を検知して対応フローを遮断する攻撃検知・防御装置であって;
前記攻撃を検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持する保持手段と;
前記攻撃検知対象のフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知する検知手段と;
前記攻撃被疑状態が検知されたとき、対応フローの情報とともに前記攻撃被疑状態を通知する通知手段と;
前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記フローの少なくとも一方の信頼度に基づいて、そのフローを遮断するか否かを決定する判定手段と;
前記攻撃確定状態が検知されたとき、対応フローの情報通知とともに遮断依頼を行う依頼手段とを備える。
この構成において、前記遮断決定及び前記遮断依頼のいずれかに基づいて、対応フローを遮断する遮断手段を更に備える。
また、前記フローに属する前記フレーム数の増減の度合いを加速度値として検知する第2の検知手段を更に備え;
前記保持手段は、前記加速度値と比較される互いにレベルの異なる、第2の攻撃被疑閾値及び第2の攻撃確定閾値を保持し;
前記検知手段は、前記攻撃検知対象のフローにおける前記加速度値が前記第2の攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記加速度値が前記第2の攻撃確定閾値を超えたときに攻撃確定状態を検知する。
また、前記保持手段に互いにレベルの異なる複数の攻撃被疑閾値がそれぞれの信頼度を示す情報とともに保持され;
前記検知手段は、前記フレーム数が前記攻撃被疑閾値のいずれかを超えたときに攻撃被
疑状態を検知し;
前記通知手段は、前記攻撃被疑状態が検知されたとき、対応の信頼度を示す情報とともに前記攻撃被疑状態を通知し;
前記判定手段は、前記攻撃被疑状態が前記信頼度を示す情報とともに通知されたとき、前記通知された信頼度を示す情報に基づいて、対応のフローを遮断するか否かを決定する。
ここで、前記判定手段が前記対応のフローを遮断しないことを決定したとき、前記通知された信頼度を示す情報に応じてそのフローのQoS制御レベルを決定するQoS判定手段を更に備えてもよい。
本発明によれば、攻撃被疑の時点で検知行動を開始し、端末などの信頼度に基づいて遮断判定を行うことで、不特定多数に向けた攻撃行動などのDoS攻撃をより高い精度で検知し防止することができる。
本発明の他の課題、特徴及び利点は、図面及び併記の特許請求の範囲とともに取り上げられる際に、以下に記載される明細書(本発明の実施の形態)を読むことにより明らかになるであろう。
以下、添付図面を参照して、本発明について更に詳細に説明する。図面には本発明の好ましい実施形態が示されている。しかし、本発明は、多くの異なる形態で実施されることが可能であり、本明細書に記載される実施形態に限定されると解釈されてはならない。むしろ、これらの実施形態は、本明細書の開示が徹底的かつ完全となり、当業者に本発明の範囲を十分に伝えるように提供される。なお、添付図面の全図を通して、一部の構成要素は“手段”で表示している。
[システムの基本構成及び機能]
本発明の一実施の形態におけるシステムの基本構成を示す図1を参照すると、この攻撃検知・防御システムSYSは、信頼度が低い端末またはネットワークを攻撃被疑の時点で遮断可能とするために、攻撃の検知を行う1次検知ノード10と、攻撃の疑いがある場合に遮断するかどうかを決定する2次検知ノード20(20A,20B)と、攻撃の遮断を行う遮断ノード30(30A,30B,30C)とを備えている。1次検知ノード10、2次検知ノード20、及び遮断ノード30は、それぞれIDP(登録商標)装置(攻撃検知・防御装置)として単独にインライン配置するか、ルータなどの中継装置(中継ノード)に攻撃検知防御機能として組み込むことが可能である。
この攻撃検知・防御システムSYSにおいて、1次検知ノード10は、特定パターンに合致するフレームの単位時間(予め定めた時間)当たりの受信フレーム数を計数して閾値保持部12に記憶(格納)するフレーム数カウンタ11と、攻撃検知のための閾値として攻撃被疑レベル及び攻撃確定レベルに段階分けした値を受信フレーム数とともに宛先IPアドレスDstIPが同一のレコードに保持する閾値保持部12とを有する。
1次検知ノード10は、閾値保持部12に保持されている、閾値及びカウント値(フレーム数)を比較し、被疑レベルの閾値超え時には攻撃被疑を検知し、確定レベルの閾値超え時には攻撃確定を検知する攻撃検知部13と、攻撃被疑を検知したフローの情報を2次検知ノード20に通知する被疑通知部14と、攻撃確定を検知したフローの情報を遮断ノード30に通知する遮断依頼部15とを更に有する。1次検知ノード10及び遮断ノード30Cはサーバ40(40A,40B)に対して前置される。
2次検知ノード20(20A,20B)は、アドレス情報と信頼度情報とを対応付けて保持する端末情報データベース21と、攻撃被疑を通知されたフローの情報を基にデータベース21を検索し、端末及びフローの信頼度によりそのフローを遮断するかどうかを決める遮断判定部22と、遮断対象としたフローの情報を遮断ノード30に通知する遮断依頼部23とを有する。また、各遮断ノード30(30A,30B,30C)は、フロー毎に中継するか遮断するかを決定するフィルタ31を有する。
この攻撃検知・防御システムSYSにおいては、1次検知ノード10の攻撃検知部13が攻撃確定を検知した時は、遮断依頼部15が1次検知ノード10及び2次検知ノード20(20A,20B)対応の遮断ノード30(30A,30B,30C)に対し、ネットワーク通信回線を通して、そのフローの遮断を依頼する。また、1次検知ノード10の攻撃検知部13が攻撃被疑を検知すると、被疑通知部14が2次検知ノード20に対し、ネットワークNW1などの通信回線を通して、攻撃の被疑があることをフロー情報とともに通知する。
通知する情報は、攻撃被疑対象を特定するために必要なフレームのヘッダ情報及びデータ情報や、当該フレームの受信物理ポート番号及び受信論理ポート番号などの所謂フロー情報を基本とするが、更にタイムスタンプや、サーバの重要度または負荷状況に応じた対応の緊急度などの付加的な情報を含めてもよい。
このとき、通知先の2次検知ノード20は、ネットワークシステム内の全ての攻撃検知・防御装置であってもよいし、管理者が指定した少なくとも1つの攻撃検知・防御装置であってもよい。また、フレームの送信元端末を収容する攻撃検知・防御装置だけであってもよい。
通知を受けた2次検知ノード20(20A,20B)は、端末情報データベース21を参照し、遮断判定部22によりそのフローを遮断対象とするかどうか決定する。遮断対象とする場合は、対応の遮断ノード30(30A,30B)に対して当該フローの遮断を依頼する。遮断依頼を受けた遮断ノード30は、フローの遮断を行い、以降当該フローがネットワークNW1内に中継されないようにする。
このように、この攻撃検知・防御システムSYSにおいては、閾値として攻撃被疑レベル及び攻撃確定レベルの複数の閾値を導入し、攻撃被疑の時点で、攻撃元端末を収容する(もしくは攻撃元端末に近い)攻撃検知・防御装置が、自己保持している端末情報を基に遮断すべきかどうかを判定することで、攻撃者が存在するサイト(サブネット)内において、大量の攻撃トラフィックが中継ネットワークへ流出することを早期に(リアルタイムに)防止することが可能となる。
[システムの具体例]
次に、図1に示す基本構成を採る攻撃検知・防御システムSYSにおける具体的構成及び動作例を説明する。ここでは、攻撃検知・防御システムSYSの適用先として企業網を想定する。
〈適用アドレス体系〉
図2を参照すると、攻撃検知・防御システムSYSにおいては、固定アドレス及び動的アドレスの2種類のアドレスを用いる。ここで、固定アドレスは、端末アドレスとしてIP(Internet Protocol)アドレスを設定すると、認証等の手続き無しにネットワークシ
ステムにアクセスできるアドレスである。一方、動的アドレスは、その割当をDHCP(Dynamic Host Configuration Protocol)サーバ及び認証VLAN(Virtual Local Area
Network)網が行い、端末アドレスとして動的アドレスを設定すると、認証等の手続きを
クリアした場合のみ、ネットワークシステムにアクセスできるアドレスである。
各サブネット(イントラネット)NW3,NW4の入口(エッジ)に位置する2次検知ノード20(20A,20B)は対応のサブネットを管理する役割を担うものとし、上記アドレスや認証情報の管理は対応の2次検知ノード20が行う。端末情報データベース21には、アドレスの種別(動的(DHCP)アドレスまたは固定アドレス)に連動して信頼度の高低データが図2に一例を示すように登録されている。
〈攻撃の想定〉
ここでは、DDoS攻撃の種類はSYNフラッド攻撃(SYN Flood攻撃)とする。SYN Flood攻撃とは、複数の攻撃元端末から、実在しないIPアドレスを送信元としたTCP(Transmission Control Protocol)のSYNパケットを特定サーバに
対して大量に送りつけることで、サービスを妨害及び中断させる攻撃である。
図3に示すように、1次検知ノード10の攻撃検知部13においては、このSYN Flood攻撃を検知するために、端末とサーバ間で送受信されたフレームに基づいてセッションの状態を記憶しておき、ある一定時間(予め定めた時間)内にTCPの3way handshakeが完了しない場合、つまりSYN+ACKパケットに対応するACKパケットを受信しない場合、エラーセッションとしてカウントする。特定サーバに対してエラー数がある閾値を超えることで、SYN Flood攻撃として検知する。攻撃検知は、攻撃の集約箇所であるサーバ手前、つまりサーバ40(40A,40B)の存在するネットワークまたはサブネット(イントラネット)NW2の入口(エッジ)位置で行う。
ここで、サブネットNW3配置の端末1b及びサブネットNW4配置の端末2bが固定アドレス端末であり、悪意を持った者(攻撃者)がネットワークシステムに不正にアクセス可能な状態にあり、同一サブネット内の空き固定アドレス(例えば、1.1.1.5または2.2.2.5)を詐称してネットワークNW2配置のサーバ40(40B)に攻撃を始める状況を仮定する。なお、詐称アドレスとしてサブネット内アドレスに限定した理由は、サブネット外アドレスについては、遮断ノード30(30A,30B)のフィルタ31における設定(IPアドレスフィルタリング)で廃棄され、攻撃足りえないためである。
〈攻撃検知・防御の動作手順〉
図4を参照して、攻撃検知・防御システムSYSにおける攻撃検知及び攻撃防御の動作手順について説明する。上記攻撃の想定と同様に、端末1b及び2bが、送信元アドレスSrcIPを詐称してサーバ40(40B)に対しSYN Flood攻撃をしかけたとする。
1次検知ノード10においては、図3を参照して説明したSYN Flood攻撃の検知機能を有する攻撃検知部13は、特定パターンに合致する、つまり3way handshakeが完了しないTCPセッションの単位時間(予め定めた時間)当たりの受信フレーム数をカウンタ11で計数させた後、閾値保持部12に記憶させる。
攻撃検知部13は、カウンタ11に記憶されているカウント値(フレーム数)と、閾値保持部12に保持されている攻撃被疑閾値及び攻撃確定閾値とを比較する。この結果、攻撃検知部13は、受信フレーム数が確定閾値を超えていれば、その時点で遮断依頼部15にその旨を通知する。攻撃検知部13から確定閾値超えを通知された遮断依頼部15は、各遮断ノード30(30A,30B,30C)にフィルタ登録依頼を行う。
フィルタ登録依頼の内容は、送信元アドレスSrcIP毎の遮断とする。依頼先とする遮断ノード30は、ネットワークシステム内の全中継ノード(管理者決め打ち、つまり予め設定した静的な内容)であってもよいし、送信元アドレスSrcIPに対応する端末の手前の中継ノードとしてもよい。端末手前の中継ノードのアドレス情報は、tracerouteなどの既存ツールを使うことで求めるか、あるいは網のトポロジ制御サーバ及びツールとの連動により求める。なお、tracerouteは、あるノード上でこのツールを起動し、IPアドレスをキーとして動作させると、その経路途中のルータのIPアドレスを表示する機能を有する。端末手前の中継ノードの位置は、端末の存在するサブネットの入口(エッジ)位置である。
1次検知ノード10からネットワーク(インターネット)NW1及びサブネットNW2,NW3,NW4の通信回線を通してフィルタ登録依頼を受けた各遮断ノード30(30A,30B,30C)は、例えば図5に示すように、フィルタ31によってフィルタリングテーブル32に端末からの送信フレームの遮断設定を行う、つまり送信元アドレスSrcIP対応に“deny”を設定することで、その端末による以降の攻撃を防ぐことが可能となる。
なお、図2及び図5では、受信ポートRxPort及び送信元アドレスSrcIPによる遮断を例示したが、その他のキー情報による遮断であってもよい。例えば、図6に例示するように、通知されたIPアドレスをキー情報として、遮断ノード30が有するARP(Address Resolution Protocol)テーブル33を参照し、IPアドレスに対応するMA
Cアドレスを導出した上で、MACアドレスによる遮断を行ってもよい。
この攻撃検知・防御システムSYSにおいては、確定閾値以下であっても、被疑閾値を超えていれば、攻撃の可能性があるため、1次検知ノード10の被疑通知部14から各2次検知ノード20(20A,20B)に被疑通知を行う。攻撃被疑に該当するケースとしては、例えば次の(1)〜(4)が考えられる。
(1)DDoS攻撃の攻撃元端末間で開始タイミングがずれており、攻撃の立ち上がり時期に、確定閾値未満のトラフィック量で攻撃がなされた。
(2)DDoS攻撃の攻撃元端末数が少なく、確定閾値未満のトラフィック量で攻撃がなされた。
(3)DDoS攻撃の確定閾値の設定値が大きな値であり、それ未満のトラフィック量で攻撃がなされた。
(4)たまたまSYN Flood攻撃と類似するフレームシーケンスが多数発生した。
ここでは、被疑通知内容は送信元アドレスSrcIPとする。通知先とする2次検知ノード20については、ネットワークシステム内の全2次検知ノード(管理者決め打ち)を想定するが、ネットワークシステムのトポロジ制御ツールにより特定の2次検知ノード20を求めてもよい。また、既存ツールのtracerouteにより端末手前の遮断ノード30を求め、遮断ノード30に問い合わせて、対応する2次検知ノード20を求めてもよい。さらに、2次検知ノード20が遮断ノード30と物理的に同一体であれば、tracerouteにより直接に2次検知ノード20を求めてもよい。
1次検知ノード10の被疑通知部14からネットワークNW1〜NW4の通信回線を通して被疑通知を受けた2次検知ノード20の遮断判定部22は、端末情報データベース21を参照し、信頼度情報に基づいて遮断判定を行う。遮断判定のキー情報は、通知された送信元アドレスSrcIP(ここでは、1.1.1.5または2.2.2.5)とする。
このネットワークシステムでは、固定アドレスであるときは信頼度が低いため、遮断判定部22は固定アドレスであると判定した時点で遮断対象とする。遮断判定部22による
判定結果が遮断である場合、遮断依頼部23は各遮断ノード30(30A,30B)にフィルタ登録依頼を行う。以降は確定閾値超え時と同様の処理手順により、攻撃遮断が実施される(図5参照)。
この攻撃検知・防御システムSYSにおいては、上述した動作により、攻撃者の可能性の高い端末を早期に(攻撃タイミングのずれ発生時にも早めに)、トラフィック量だけでなく端末及びユーザ(使用者)の信頼度に応じてより精度高く検知し、遮断することが可能となる。
[システムの各種変形例]
次に、図1及び図2に示す基本構成を採る攻撃検知・防御システムSYSにおける各種変形例を説明する。
〈第1の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、サーバ前置の1次検知ノード10は、サーバ40(40A,40B)の重要度を示すデータベース(図示省略)を更に有し、かつサーバ40(40A,40B)との通信により、サーバ負荷状況を認識する機能を有してもよい。
1次検知ノード10は、被疑通知部14から2次検知ノード20(20A,20B)にフロー情報を通知する際に、被疑対象のノードを特定するためのフロー情報だけでなく、更にサーバ40(40A,40B)の重要度や負荷状況に応じた対応の緊急度など、付加的な情報も含める。
2次検知ノード20は、端末情報データベース21上での信頼度情報を複数段階設けておく。被疑通知を受けた2次検知ノード20は、サーバ40の重要度が「高」や、サーバ40の負荷状況が「高」を通知された場合、端末情報データベース21より求めた信頼度と上記重要度情報や負荷状況情報との組み合わせで、遮断するかどうかを決めてもよい。
この動作により、サーバ40の種類または状態に応じて、攻撃遮断が可能となり、サーバ40が過負荷になる前に問題を検知することが可能となる。
なお、2次検知ノード20は、サーバ40を守ることを優先し、サーバ40が重要度「高」や負荷状況「高」の状態であれば、端末情報データベース21での信頼度情報とは無関係に、そのトラフィックを遮断してもよい。また、サーバ40が重要度「高」や負荷状況「高」状態であれば、その時点で1次検知ノード10が各遮断ノード30(30A,30B,30C)に遮断依頼を行ってもよい。
〈第2の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、各遮断ノード30(30A,30B)は中継ログを持ってもよい。
1次検知ノード10は、被疑通知部14によりフロー情報を通知する際に、被疑ノードを特定するためのフロー情報だけでなく、タイムスタンプ情報も含める。2次検知ノード20は、上記では遮断対象を被疑通知されたフロー、つまり詐称されたIPアドレス1.1.1.5を送信元アドレスSrcIPのフローとした(図5参照)。これに代替して、2次検知ノード20は、送信元アドレスSrcIPやタイムスタンプ情報を基に、中継ログを参照した結果の送信元端末情報、つまり送信元アドレス(送信元IPアドレス)SrcIPでフレームを送信した端末の送信元アドレス(送信元MACアドレス)SrcMACや、受信物理ポート番号または受信論理ポート番号毎などに遮断する。
これにより、攻撃元端末が後で別のアドレスを詐称したとしても、既に遮断設定が完了していることになり、一層セキュリティ耐性の高い遮断設定が行える。
なお、上記中継ログは遮断判定の際に使ってもよい。即ち、送信元MACアドレスSrcMACが同一であるにも関わらず、複数の送信元IPアドレスSrcIPを付けて送信したような端末については信頼度「低」とみなし、被疑通知を受けた際には遮断する。
〈第3の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、各端末におけるウィルス対処機能をリモート実行可能であってもよい。
1次検知ノード10及び2次検知ノード20は、遮断ノード30に遮断依頼を行う際に、併せてこのウィルス対処機能を強制的に動作させる。また、1次検知ノード10は2次検知ノード20に被疑通知を行う時点で、かつ2次検知ノード20は1次検知ノード10から被疑通知を受けた時点で、ウィルス対処機能をそれぞれ強制的に動作させる。これにより、ネットワークシステムからのウィルス駆除をより早期に行うことが可能となる。
〈第4の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、1次検知ノード10における被疑通知部14及び遮断依頼部15や、2次検知ノード20における遮断依頼部23は、遮断ノード30に対してだけでなく、攻撃者と思われる端末に対して警告通知を行ってもよい。
つまり、1次検知ノード10及び2次検知ノード20は、被疑通知及び/または遮断依頼を行う際に、攻撃元端末と思われる端末に対し、攻撃被疑があることを警告通知する。これにより、悪意を持つものに端末を乗っ取られたユーザが、問題をより容易に、かつ早期に知ることが可能となり、セキュリティ上の対処を早期に行える可能性が高まる。
なお、1次検知ノード10や2次検知ノード20が、ノード内情報だけを基に、攻撃元端末と通信するのではなく、ネットワークシステム内のトポロジやノード状態の管理サーバ(図示省略)を経由して、この管理サーバから端末情報を入手した上で、攻撃元端末に警告通知してもよい。また、管理サーバに対して攻撃の被疑通知依頼または確定通知依頼を行い、この管理サーバから端末に警告通知を行ってもよい。
〈第5の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、端末におけるウィルス対処機能に対してウィルス定義ファイルを提供可能なサーバが、業務ネットワーク(ネットワークNW1など)とは切り離された論理ネットワーク(検疫ネットワーク)VNW上に設置されているネットワークシステム構成を採ってもよい(図7参照)。
遮断依頼を受けた遮断ノード30は、業務ネットワークから遮断すると同時に、検疫ネットワークVNWにのみ接続可能なようにフィルタ設定する。これにより、ネットワークシステムからのウィルス駆除がより早期に実施可能となる。
なお、検疫ネットワークVNWへの接続環境の提供は、レイヤ2またはレイヤ3の宛先検索機能等、フィルタ31以外によるものであってもよい。
〈第6の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、認証機能を導入する。
端末は、基本的に認証が完了しないと、ネットワークシステムに接続できない。しかし、認証機能未サポート端末を考慮し、特定MACアドレスを持つ端末だけは、認証無しにネットワークシステムに接続可能とする。2次検知ノード20の端末情報データベース21における信頼度情報は、認証済かどうか、及び認証不要MACアドレスであるかどうかに関連付けておく。2次検知ノード20は、端末との間で認証が完了すると、認証の状態と合わせて信頼度情報をデータベース21に登録する。認証無しにネットワークシステムに接続可能なMACアドレスについては信頼度を下げておく(図8参照)。
これにより、攻撃者かどうかの判別精度を上げることが可能となる。なお、認証不完全で終わった場合は、データベース21の信頼度情報を「低」に設定する。また、認証自体は他の認証ノードで行い、その結果を2次検知ノード20に通知することで、データベース21を構築してもよい。
〈第7の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、上述した第6の変形例の認証機能に加え、各端末の使用者を管理する機能を有する。
2次検知ノード20の端末情報データベース21における信頼度情報は、端末の使用者に関連付ける。2次検知ノード20は、端末との間で認証が完了すると、認証ユーザの役職に応じて信頼度情報をデータベース21に登録する(図9参照)。
これにより、攻撃者かどうかの判別精度を上げることが可能となる。なお、認証とは無関係に、端末のアドレス(送信元MACアドレスSrcMACまたは送信元IPアドレスSrcIP)に対して静的に役職及び信頼度に関する情報が対応付けられていてもよい。
〈第8の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、各端末のセキュリティパッチの適用度合いや、ウィルス感染状況を管理する。
2次検知ノード20の端末情報データベース21における信頼度情報は、セキュリティパッチの適用度合いや、ウィルス感染状況に動的に関連付ける。2次検知ノード20は、各端末の上記パッチ及びウィルス状況を定期的に監視してデータベース21に登録するとともに、その状況に応じた信頼度情報をデータベース21に登録する機能を有する。
図10はそのデータベース21の一例を示す。図10中の信頼度は、次のように設定している。
(1)ウィルスに感染していることが分かっている場合は、信頼度「無し」。
(2)ウィルスには最後に検査された時点で感染していないが、端末に最新のパッチが適用されていない場合は、信頼度「低」。
(3)ウィルスには最後に検査された時点で感染しておらず、かつ端末に最新のパッチが適用されている場合は、信頼度「高」。
2次検知ノード20における遮断判定部22は、通知を受けた端末の信頼度が「高」または「低」であった場合は、図4を参照して上述した動作手順のとおりに動作する。しかし、遮断判定部22は、信頼度が「無し」であった場合、ウィルスに感染している端末であるので、遮断依頼部23に遮断依頼を行う。なお、信頼度が「無し」の場合、更なる追加処理があってもよい。即ち、既にウィルス感染していると、システムが認識しているにも関わらず、その端末の遮断が完了してないことを判別し、例えばシステム内のノード管理サーバに異常通知を行うなどの特別措置を行ってもよい。
これにより、攻撃者かどうかの判別精度を上げることが可能となる。なお、パッチ及びウィルス状況の監視及び登録は他のノードで行い、その結果を2次検知ノード20に通知することで、データベース21を構築してもよい。
〈第9の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、攻撃被疑及び攻撃確定の判定を一定時間(予め定めた時間)内の受信フレーム数だけでなく、受信フレーム数の増減(加速度)により行う形態を採ってもよい。
図11を参照すると、1次検知ノード10は、受信フレームに関して単位時間(予め定めた時間)内のフレーム数をカウンタ11によってカウントする際に、1つ前の単位時間当たりのカウント値と現在の単位時間当たりのカウント値との増減(加速度)、つまり差分の絶対値(加速度値)をフロー毎に検出して閾値保持部12に記憶(格納)する加速度センサ16を更に有する。
この変形例の構成を採る攻撃検知・防御システムSYSにおいては、DDoS攻撃の種類はICMP(Internet Control Message Protocol) Flood攻撃とする。ICM
P Flood攻撃とは、一時期に大量のICMP Echo 要求を行い、ネットワークシステムを過負荷にして、この要求への応答でネットワークシステムのリソースを枯渇させる攻撃行動である。
この攻撃を検知するために攻撃検知・防御システムSYSにおいては、サーバ40に対するICMP Echo要求パケット(Pingパケット)の数が予め定めた時間内に閾値以上であれば、エラーとして検知する。
ここでは、サーバ(#2)40Bに対しては元々恒常的にPingパケットの送信が行われており、サーバ(#1)40Aに対してICMP Flood攻撃が行われたことを想定している。図11に例示するように、攻撃検知部13は、単位時間(ここでは、100ms)当たりのICMP Pingのフレーム数とともに加速度値について被疑閾値及び確定閾値と比較して、攻撃被疑及び攻撃確定の判定を行う。
サーバ(#2)40Bについては、加速度値「10」が被疑閾値「15」以下であるため、攻撃検知部13による比較の結果、攻撃被疑としては検知されない。一方、攻撃検知部13は、サーバ(#1)40Aについては、フレーム数「20」及び加速度値「20」の双方が被疑閾値「18」,「15」を超えているため、攻撃被疑と判断し、2次検知ノード20に被疑通知を行う。これにより、ネットワークシステム上の通常トラフィックと攻撃とを一層高精度に判別することが可能となる。
なお、攻撃として、例えばBlasterと呼ばれるコンピュータワームなどのように、ある瞬間に激しく攻撃をしかけ、その後暫く攻撃を休止するものも存在するため、そのような攻撃を検知するためには、このような加速度による検知が一層効果的である。攻撃検知部13による判定条件は加速度値だけであってもよい。
〈第10の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、攻撃被疑及び攻撃確定の判定を同一アドレスに関する被疑通知の回数に応じて行う形態を採ってもよい。
この第10の変形例の攻撃検知・防御システムSYSにおいては、図12に示すように、2次検知ノード20が、被疑通知回数及びその閾値を保持する被疑通知回数記憶部24
を更に有する。2次検知ノード20においては、1次検知ノード10の被疑通知部14からネットワーク通信回線を通して被疑通知を受けると、通知されたフロー毎に(IPアドレス毎に)、通知された回数を被疑通知回数記憶部24が計数して自己保持する。
遮断判定の仕方として、遮断判定部22は、上述したように端末情報データベース21内の信頼度情報に基づくことに加え、被疑通知回数記憶部24内の被疑検知回数がその閾値を超えた場合に攻撃と確定する。遮断判定部22によるこの遮断判定に応じて遮断依頼部23は、対応の遮断ノード30にフィルタ登録依頼を行う。
このように被疑通知回数を判断条件とすることで、真の攻撃者かどうかの判別精度を上げることが可能となる。なお、遮断判定部22による遮断判定は、被疑通知回数のみによるものであってもよい。
〈第11の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、1次検知ノード10の閾値保持部12に予め設定される被疑閾値が複数段階(レベル)である形態を採ってもよい。
この第11の変形例の攻撃検知・防御システムSYSにおいては、図13に示すように、閾値保持部12に攻撃被疑検知用の被疑閾値を8つ(8レベル)設定可能としておき、各々の被疑閾値超えに対して信頼度レベル1〜8を割り付ける。この信頼度レベルの数値が高いほど信頼度が低くなり、信頼度レベル9は攻撃確定を意味する。
1次検知ノード10の攻撃検知部13において、例えば信頼度レベル8対応の被疑検知が行われたとする。1次検知ノード10の被疑通知部14は、2次検知ノード20にネットワーク通信回線を通してこの信頼度レベル値を含めた被疑通知を行う。
2次検知ノード20では、遮断判定部22が、通知された信頼度レベル値に対し、端末情報データベース21から得られた信頼度レベル値を加算する。その結果、信頼度レベル値が「9」以上となった場合は、遮断依頼部23は遮断ノード30に対してネットワーク通信回線を通して遮断依頼を行う。例えば、攻撃被疑のフロー対応のIPアドレスが1.1.1.5であるとすると、信頼度レベルは8+2=10となり、9以上であるため、遮断依頼対象となる。このように、信頼度の粒度を細かくすることで、検知精度の向上が可能となる。
〈第12の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、2次検知ノード20の端末情報データベース21に保持される信頼度情報の信頼度レベルをQoS(Quality of Service:サービス品質)の優先度レベルに対応付ける形態を採ってもよい。
この第12の変形例の攻撃検知・防御システムSYSにおいては、図14に示すように、2次検知ノード20は、信頼度レベルをQoSの優先度に対応付けるQoS判定部25を更に有する。遮断依頼部23は、フローの遮断指示だけでなく、被疑フローのQoS優先度指定依頼の機能を有する。
1次検知ノード10の攻撃検知部13において、例えば信頼度レベル8の攻撃被疑検知が行われたとする。1次検知ノード10の被疑通知部14から被疑通知を受けた2次検知ノード20では、遮断判定部22が、端末情報データベース21内の信頼度情報を参照して最終的な(加算)信頼度レベル(上記第11の変形例参照)を得る。QoS判定部25は、遮断判定部22から最終的な信頼度レベルを得た後、この信頼度レベルをQoSの優
先度に変換する。QoS判定部25はこの変換を図14に示す対応付けに基づいて行う。
ここでは、最終的な信頼度レベルが「8」、即ち非常に攻撃の被疑度が高いフローであった場合を想定している。QoS判定部25から遮断依頼部23に通知される信頼度レベル8に対応するQoS優先度は「8」であるので、遮断依頼部23は遮断ノード30に対して当該フローに関しては次の処理を行うように依頼する。
遮断依頼部23からQoS優先度指定依頼を受けた遮断ノード30における直前の処理状態が遮断指示「なし」及びQoS優先度「7」であるとすると、遮断ノード30においては当該フローに関するQoS優先度を「8」に変更する。QoS優先度8については、最もQoS優先度が低いため、通常トラフィックが多い場合には、遮断ノード30内で当該フローが廃棄されることになる。これにより、攻撃によるネットワークシステムのリソースの枯渇を防ぐことができる。
なお、信頼度レベルからQoS優先度への変換アルゴリズムは、被疑閾値対応のレベルをそのままQoS優先度の値としてもよい。また、2次検知ノード20を経由せず、1次検知ノード10と各遮断ノード30(30A,30B)との間で、信頼度レベルを直接受け渡し、信頼度レベルを遮断ノード30のQoSレベルにマッピングしてもよい。
〈第13の変形例〉
図1及び図2に示す攻撃検知・防御システムSYSにおいて、1次検知ノード10、2次検知ノード20、及び遮断ノード30の各機能は、その一部または全てが同一ノード内に同居していてもよい(図15参照)。また、1次検知ノード10の機能は、サーバ40が持ってもよい(図16参照)。これにより、少ないノードの台数で上記と同等の各機能を実現できる。
〈他の変形例〉
(1)攻撃被疑及び攻撃確定の検知は、上述したように受信フレーム数によるものでなく、例えばサーバからの送信フレームの数に基づいてもよい。
(2)端末情報データベース21において、信頼度情報と対応付けられるのは、IPアドレス以外のアドレス情報であってもよい。
[実施の形態の効果]
(1)攻撃被疑の時点で検知行動を開始し、端末やサーバ情報に基づき遮断判定を行うことで、不特定多数に向けた攻撃行動などのDoS攻撃をより高い精度で検知し防止することが可能となる。
(2)また、攻撃確定と判定する閾値よりも早く、攻撃判定の初動措置が始まるので、より早期の攻撃の遮断が可能となる。これは、ノード間でメッセージをやり取りする形態において、通信時間のタイムラグによる攻撃の漏れを減らす効果がある。また、ノード内でメッセージをやり取りする形態においても、同様の効果が期待できる。
(3)更に、攻撃によっては、攻撃タイミングのずれが発生することがあり、単一の攻撃確定閾値では検知しきれなかった攻撃の立ち上がりトラフィックについても検知できる。(4)更に、ネットワークシステムのウィルス機能、トポロジ管理サーバ、端末、サーバとの連携により、より早期にかつ容易にユーザに対して警告でき、セキュリティ対処が早期に行える。
(5)更に、QoSとの連携により、攻撃によるネットワークシステムのリソースの枯渇を防ぐことができる。
[変形例]
上述した一実施の形態における処理はコンピュータで実行可能なプログラムとして提供
され、CD−ROMやフレキシブルディスクなどの記録媒体、さらには通信回線を経て提供可能である。
また、上述した一実施の形態における各処理はその任意の複数または全てを選択し組合せて実施することもできる。
[その他]
(付記1)サービス妨害攻撃を検知して対応フローを遮断する攻撃検知・防御装置であって;
前記攻撃を検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持する保持手段と;
前記攻撃検知対象のフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知する検知手段と;
前記攻撃被疑状態が検知されたとき、対応フローの情報とともに前記攻撃被疑状態を通知する通知手段と;
前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記フローの少なくとも一方の信頼度に基づいて、そのフローを遮断するか否かを決定する判定手段と;
前記攻撃確定状態が検知されたとき、対応フローの情報通知とともに遮断依頼を行う依頼手段と;
を備える攻撃検知・防御装置。(1)
(付記2)前記遮断決定及び前記遮断依頼のいずれかに基づいて、対応フローを遮断する遮断手段
を更に備える付記1記載の攻撃検知・防御装置。(2)
(付記3)予め定めた時間において特定パターンに合致する前記フレームの数を計数する計数手段
を更に備える付記1記載の攻撃検知・防御装置。
(付記4)前記フレームの送信元端末のアドレス情報と前記信頼度とを対応付けた記憶手段を更に備え;
前記判定手段は、前記攻撃被疑状態が前記フローの情報とともに通知されたとき、このフローの情報を参照して前記記憶手段を検索し、前記フレームの送信元端末及び前記フローの少なくとも一方の信頼度に基づいて、そのフローを遮断するか否かを決定する
付記1記載の攻撃検知・防御装置。
(付記5)なりすましが比較的容易な固定アドレスの前記送信元端末を前記攻撃被疑状態の時点で遮断可能とするために、前記アドレス情報として動的アドレス及び固定アドレスを識別するための情報が前記信頼度に対応付けられている
付記4記載の攻撃検知・防御装置。
(付記6)なりすましが比較的容易な非認証アドレスの前記送信元端末を前記攻撃被疑状態の時点で遮断可能とするために、前記アドレス情報が認証済か否かが前記信頼度に対応付けられている
付記4記載の攻撃検知・防御装置。
(付記7)攻撃者による乗っ取りまたはウィルス感染の発生確率が高い前記送信元端末を前記攻撃被疑状態の時点で遮断可能とするために、前記記憶手段において、前記送信元端末へのセキュリティパッチの適用状況及びウィルス感染状況の少なくとも一方が前記信頼度に対応付けられている
付記4記載の攻撃検知・防御装置。
(付記8)前記攻撃被疑状態の時点で遮断可能とするために、前記記憶手段において、前記送信元端末の使用者情報が前記信頼度に対応付けられている
付記4記載の攻撃検知・防御装置。
(付記9)前記フローに属する前記フレーム数の増減の度合いを加速度値として検知する第2の検知手段を更に備え;
前記保持手段は、前記加速度値と比較される互いにレベルの異なる、第2の攻撃被疑閾値及び第2の攻撃確定閾値を保持し;
前記検知手段は、前記攻撃検知対象のフローにおける前記加速度値が前記第2の攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記加速度値が前記第2の攻撃確定閾値を超えたときに攻撃確定状態を検知する
付記1記載の攻撃検知・防御装置。(3)
(付記10)前記判定手段は、前記攻撃被疑状態が通知されたとき、同一フローに関する通知回数に基づいて、そのフローを遮断するか否かを決定する
付記1記載の攻撃検知・防御装置。
(付記11)前記保持手段に互いにレベルの異なる複数の攻撃被疑閾値がそれぞれの信頼度を示す情報とともに保持され;
前記検知手段は、前記フレーム数が前記攻撃被疑閾値のいずれかを超えたときに攻撃被疑状態を検知し;
前記通知手段は、前記攻撃被疑状態が検知されたとき、対応の信頼度を示す情報とともに前記攻撃被疑状態を通知し;
前記判定手段は、前記攻撃被疑状態が前記信頼度を示す情報とともに通知されたとき、前記通知された信頼度を示す情報に基づいて、対応のフローを遮断するか否かを決定する;
付記1記載の攻撃検知・防御装置。(4)
(付記12)前記判定手段は、前記攻撃被疑状態が前記信頼度を示す情報とともに通知されたとき、前記フレームの送信元端末の信頼度及び前記通知された信頼度を示す情報の双方を加味した加算信頼度に基づいて、対応のフローを遮断するか否かを決定する;
付記11記載の攻撃検知・防御装置。
(付記13)前記判定手段が前記対応のフローを遮断しないことを決定したとき、前記通知された信頼度を示す情報に応じてそのフローのQoS制御レベルを決定するQoS判定手段
を更に備える付記11記載の攻撃検知・防御装置。(5)
(付記14)前記判定手段が前記対応のフローを遮断しないことを決定したとき、前記加算信頼度に応じてそのフローのQoS制御レベルを決定するQoS判定手段
を更に備える付記12記載の攻撃検知・防御装置。
(付記15)サービス妨害攻撃を検知して対応フローを遮断する攻撃検知・防御方法であって;
前記攻撃を検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持し;
前記攻撃検知対象のフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知し;
前記攻撃被疑状態が検知されたとき、対応フローの情報とともに前記攻撃被疑状態を通知し;
前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記フローの少な
くとも一方の信頼度に基づいて、そのフローを遮断するか否かを決定し;
前記攻撃確定状態が検知されたとき、対応フローの情報通知とともに遮断依頼を行う
攻撃検知・防御方法。
(付記16)前記遮断決定及び前記遮断依頼のいずれかに基づいて、対応フローを遮断する
付記15記載の攻撃検知・防御方法。
(付記17)前記フローに属する前記フレーム数の増減の度合いを加速度値として検知し;
前記加速度値と比較される互いにレベルの異なる、第2の攻撃被疑閾値及び第2の攻撃確定閾値を保持し;
前記攻撃検知対象のフローにおける前記加速度値が前記第2の攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記加速度値が前記第2の攻撃確定閾値を超えたときに攻撃確定状態を検知する
付記15記載の攻撃検知・防御方法。
(付記18)互いにレベルの異なる複数の攻撃被疑閾値をそれぞれの信頼度を示す情報とともに保持し;
前記フレーム数が前記攻撃被疑閾値のいずれかを超えたときに攻撃被疑状態を検知し;
前記攻撃被疑状態が検知されたとき、対応の信頼度を示す情報とともに前記攻撃被疑状態を通知し;
前記攻撃被疑状態が前記信頼度を示す情報とともに通知されたとき、前記通知された信頼度を示す情報に基づいて、対応のフローを遮断するか否かを決定する
付記15記載の攻撃検知・防御方法。
(付記19)前記対応のフローを遮断しないことを決定したとき、前記通知された信頼度を示す情報に応じてそのフローのQoS制御レベルを決定する
付記18記載の攻撃検知・防御方法。
本発明の一実施の形態の攻撃検知・防御システムの基本構成を示すブロック図。 本発明の一実施の形態の攻撃検知・防御システムの具体的構成を示すブロック図。 SYN Flood攻撃を説明するための図。 攻撃検知及び攻撃防御の動作手順を説明するための図。 攻撃元端末の遮断設定を説明するための図。 攻撃元端末の遮断設定を説明するための図。 検疫ネットワークとの連携を説明するための図。 端末情報データベースの変形例を説明するための図。 端末情報データベースの変形例を説明するための図。 端末情報データベースの変形例を説明するための図。 1次検知ノードの変形例を説明するための図。 2次検知ノードの変形例を説明するための図。 複数の攻撃被疑閾値を設定した変形例を説明するための図。 2次検知ノードの変形例を説明するための図。 各ノードの変形例を説明するための図。 1次検知ノードの変形例を説明するための図。
符号の説明
SYS 攻撃検知・防御システム
10 1次検知ノード
11 フレーム数カウンタ
12 閾値保持部
13 攻撃検知部
14 被疑通知部
15 遮断依頼部
20 2次検知ノード
21 端末情報データベース
22 遮断判定部
23 遮断依頼部
30 遮断ノード
31 フィルタ
40 サーバ

Claims (7)

  1. サービス妨害攻撃検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持する保持手段と;
    前記サービス妨害攻撃検知対象であるフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知する検知手段と;
    前記攻撃被疑状態が検知されたとき、検知されたフローの情報とともに前記攻撃被疑状態を通知する通知手段と;
    前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記検知されたフローの少なくとも一方の信頼度に基づいて、前記検知されたフローを遮断するか否かを決定する判定手段と;
    前記攻撃確定状態が検知されたとき、前記検知されたフローの情報通知とともに遮断依頼を行う依頼手段と;
    を備える攻撃検知・防御装置。
  2. 前記検知されたフローを遮断する決定または前記遮断依頼基づいて、前記検知されたフローを遮断する遮断手段
    を更に備える請求項1記載の攻撃検知・防御装置。
  3. 前記サービス妨害攻撃の検知対象であるフローに属する前記フレーム数の増減の度合いを加速度値として検知する第2の検知手段を更に備え;
    前記保持手段は、前記加速度値と比較される互いにレベルの異なる、第2の攻撃被疑閾値及び第2の攻撃確定閾値を保持し;
    前記第2の検知手段は、前記検知対象のフローにおける前記加速度値が前記第2の攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記加速度値が前記第2の攻撃確定閾値を超えたときに攻撃確定状態を検知する
    請求項1記載の攻撃検知・防御装置。
  4. 前記保持手段に互いにレベルの異なる複数の攻撃被疑閾値がそれぞれの信頼度を示す情報
    とともに保持され;
    前記検知手段は、前記フレーム数が前記攻撃被疑閾値のいずれかを超えたときに攻撃被疑状態を検知し;
    前記通知手段は、前記攻撃被疑状態が検知されたとき、対応の信頼度を示す情報とともに前記攻撃被疑状態を通知し;
    前記判定手段は、前記攻撃被疑状態が前記信頼度を示す情報とともに通知されたとき、前記通知された信頼度を示す情報に基づいて、前記検知されたフローを遮断するか否かを決定する;
    請求項1記載の攻撃検知・防御装置。
  5. 前記判定手段が前記検知されたフローを遮断しないことを決定したとき、前記通知された信頼度を示す情報に応じて前記検知されたフローのQoS制御レベルを決定するQoS判定手段
    を更に備える請求項4記載の攻撃検知・防御装置。
  6. サービス妨害攻撃を検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持する保持手段と;
    前記サービス妨害攻撃の検知対象であるフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知する検知手段と;
    前記攻撃被疑状態が検知されたとき、検知されたフローの情報とともに前記攻撃被疑状態を通知する通知手段と;
    前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記検知されたフローの少なくとも一方の信頼度に基づいて、前記検知されたフローを遮断するか否かを決定する判定手段と;
    前記攻撃確定状態が検知されたとき、前記検知されたフローの情報通知とともに遮断依頼を行う依頼手段と;
    して攻撃検知・防御装置を機能させるプログラム。
  7. サービス妨害攻撃を検知するために互いにレベルの異なる、少なくとも1つの攻撃被疑閾値と攻撃確定閾値とを保持し;
    前記サービス妨害攻撃の検知対象であるフローにおけるフレーム数が前記攻撃被疑閾値を超えたときに攻撃被疑状態を検知し、前記フレーム数が前記攻撃確定閾値を超えたときに攻撃確定状態を検知し;
    前記攻撃被疑状態が検知されたとき、検知されたフローの情報とともに前記攻撃被疑状態を通知し;
    前記攻撃被疑状態が通知されたとき、前記フレームの送信元端末及び前記検知されたフローの少なくとも一方の信頼度に基づいて、前記検知されたフローを遮断するか否かを決定し;
    前記攻撃確定状態が検知されたとき、前記検知されたフローの情報通知とともに遮断依頼を行う;
    ことを攻撃検知・防御装置が実行する方法。
JP2005178105A 2005-06-17 2005-06-17 攻撃検知・防御システム Expired - Fee Related JP4545647B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2005178105A JP4545647B2 (ja) 2005-06-17 2005-06-17 攻撃検知・防御システム
US11/231,468 US7757285B2 (en) 2005-06-17 2005-09-21 Intrusion detection and prevention system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005178105A JP4545647B2 (ja) 2005-06-17 2005-06-17 攻撃検知・防御システム

Publications (2)

Publication Number Publication Date
JP2006352669A JP2006352669A (ja) 2006-12-28
JP4545647B2 true JP4545647B2 (ja) 2010-09-15

Family

ID=37574863

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005178105A Expired - Fee Related JP4545647B2 (ja) 2005-06-17 2005-06-17 攻撃検知・防御システム

Country Status (2)

Country Link
US (1) US7757285B2 (ja)
JP (1) JP4545647B2 (ja)

Families Citing this family (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8069153B2 (en) * 2005-12-02 2011-11-29 Salesforce.Com, Inc. Systems and methods for securing customer data in a multi-tenant environment
US20080046966A1 (en) * 2006-08-03 2008-02-21 Richard Chuck Rhoades Methods and apparatus to process network messages
US7768921B2 (en) * 2006-10-30 2010-08-03 Juniper Networks, Inc. Identification of potential network threats using a distributed threshold random walk
US20080137542A1 (en) * 2006-12-11 2008-06-12 Inventec Corporation Method for detecting abnormal network packets
JPWO2008084729A1 (ja) * 2006-12-28 2010-04-30 日本電気株式会社 アプリケーション連鎖性ウイルス及びdns攻撃発信元検知装置、その方法及びそのプログラム
US8620822B2 (en) * 2007-02-01 2013-12-31 Microsoft Corporation Reputation assessment via karma points
JP2008199138A (ja) * 2007-02-09 2008-08-28 Hitachi Industrial Equipment Systems Co Ltd 情報処理装置及び情報処理システム
US8533821B2 (en) * 2007-05-25 2013-09-10 International Business Machines Corporation Detecting and defending against man-in-the-middle attacks
US20090007266A1 (en) * 2007-06-29 2009-01-01 Reti Corporation Adaptive Defense System Against Network Attacks
JP2009043168A (ja) * 2007-08-10 2009-02-26 Yamaha Marine Co Ltd 機器認証制御方法、機器認証制御装置および船舶
US9438641B2 (en) * 2007-09-12 2016-09-06 Avaya Inc. State machine profiling for voice over IP calls
US9178898B2 (en) * 2007-09-12 2015-11-03 Avaya Inc. Distributed stateful intrusion detection for voice over IP
US9100417B2 (en) * 2007-09-12 2015-08-04 Avaya Inc. Multi-node and multi-call state machine profiling for detecting SPIT
US9736172B2 (en) * 2007-09-12 2017-08-15 Avaya Inc. Signature-free intrusion detection
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
JP2009217455A (ja) * 2008-03-10 2009-09-24 Fujitsu Ltd 情報処理装置、情報処理プログラム及び方法
US20090254970A1 (en) * 2008-04-04 2009-10-08 Avaya Inc. Multi-tier security event correlation and mitigation
KR100908404B1 (ko) * 2008-09-04 2009-07-20 (주)이스트소프트 분산서비스거부공격의 방어방법 및 방어시스템
US20110238587A1 (en) * 2008-09-23 2011-09-29 Savvis, Inc. Policy management system and method
US8220056B2 (en) * 2008-09-23 2012-07-10 Savvis, Inc. Threat management system and method
US8806632B2 (en) * 2008-11-17 2014-08-12 Solarwinds Worldwide, Llc Systems, methods, and devices for detecting security vulnerabilities in IP networks
US20100125663A1 (en) * 2008-11-17 2010-05-20 Donovan John J Systems, methods, and devices for detecting security vulnerabilities in ip networks
US20100269162A1 (en) 2009-04-15 2010-10-21 Jose Bravo Website authentication
US8914878B2 (en) 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
KR101048510B1 (ko) * 2009-05-06 2011-07-11 부산대학교 산학협력단 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
JP5648639B2 (ja) 2009-09-10 2015-01-07 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US8683609B2 (en) 2009-12-04 2014-03-25 International Business Machines Corporation Mobile phone and IP address correlation service
JP5446814B2 (ja) * 2009-12-10 2014-03-19 株式会社リコー ネットワークシステム、ネットワーク機器、通信制御方法、及びプログラム
JP5911431B2 (ja) * 2010-01-21 2016-05-11 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 悪意のあるアクセスの遮断
US8572746B2 (en) * 2010-01-21 2013-10-29 The Regents Of The University Of California Predictive blacklisting using implicit recommendation
JP5091975B2 (ja) * 2010-04-05 2012-12-05 株式会社日立産機システム 情報処理装置及び情報処理システム
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
JP5163724B2 (ja) * 2010-09-28 2013-03-13 沖電気工業株式会社 トラフィック監視システム、トラフィック監視方法及び網管理システム
US8565755B1 (en) * 2010-09-30 2013-10-22 Juniper Networks, Inc. Network control of radio resources to mitigate network overuse by machine to machine devices
US8966622B2 (en) * 2010-12-29 2015-02-24 Amazon Technologies, Inc. Techniques for protecting against denial of service attacks near the source
CN103563313B (zh) 2011-06-30 2017-02-15 三菱电机株式会社 Ip地址分配系统
US9843554B2 (en) 2012-02-15 2017-12-12 F5 Networks, Inc. Methods for dynamic DNS implementation and systems thereof
US9609017B1 (en) 2012-02-20 2017-03-28 F5 Networks, Inc. Methods for preventing a distributed denial service attack and devices thereof
US8917826B2 (en) 2012-07-31 2014-12-23 International Business Machines Corporation Detecting man-in-the-middle attacks in electronic transactions using prompts
US9282116B1 (en) * 2012-09-27 2016-03-08 F5 Networks, Inc. System and method for preventing DOS attacks utilizing invalid transaction statistics
US9363261B2 (en) * 2013-05-02 2016-06-07 Sync-N-Scale, Llc Synchronous timestamp computer authentication system and method
US9794275B1 (en) 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
JP6140293B2 (ja) * 2013-09-13 2017-05-31 ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. 無線ネットワーク装置の処理方法、無線ネットワーク装置、及び無線ネットワーク装置のプロセッサ
US9088508B1 (en) 2014-04-11 2015-07-21 Level 3 Communications, Llc Incremental application of resources to network traffic flows based on heuristics and business policies
ES2934600T3 (es) 2014-05-31 2023-02-23 Huawei Tech Co Ltd Método de conexión de red, terminal de punto de acceso y terminal de gestión
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
CN106576072B (zh) 2014-09-08 2018-06-12 三菱电机株式会社 信息处理装置和信息处理方法
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US10193922B2 (en) 2015-01-13 2019-01-29 Level 3 Communications, Llc ISP blacklist feed
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US20160253501A1 (en) * 2015-02-26 2016-09-01 Dell Products, Lp Method for Detecting a Unified Extensible Firmware Interface Protocol Reload Attack and System Therefor
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US10467632B1 (en) * 2016-12-13 2019-11-05 Massachusetts Mutual Life Insurance Company Systems and methods for a multi-tiered fraud alert review
JP6602799B2 (ja) * 2017-01-26 2019-11-06 日本電信電話株式会社 セキュリティ監視サーバ、セキュリティ監視方法、プログラム
US10270594B2 (en) * 2017-03-06 2019-04-23 Bank Of America Corporation Enhanced polymorphic quantum enabled firewall
JP6834768B2 (ja) * 2017-05-17 2021-02-24 富士通株式会社 攻撃検知方法、攻撃検知プログラムおよび中継装置
CN109214173A (zh) * 2017-06-29 2019-01-15 国民技术股份有限公司 安全设备及其抗攻击方法
JP6766017B2 (ja) * 2017-08-18 2020-10-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 制御装置、通信システム、制御方法及びコンピュータプログラム
CN108471428B (zh) * 2018-06-27 2021-05-28 北京云端智度科技有限公司 应用于CDN系统内的DDoS攻击主动防御技术及装备
JP6923809B2 (ja) * 2018-08-23 2021-08-25 日本電信電話株式会社 通信制御システム、ネットワークコントローラ及びコンピュータプログラム
JP6824491B2 (ja) * 2018-11-28 2021-02-03 三菱電機株式会社 攻撃打消装置、攻撃打消方法および攻撃打消プログラム
US11159434B2 (en) 2019-08-23 2021-10-26 Vmware, Inc. Adaptive rate limiting of flow probes
JP7550975B2 (ja) * 2021-05-12 2024-09-13 三菱電機株式会社 空調機、セキュリティ攻撃対処方法及びプログラム
CN113507456B (zh) * 2021-06-25 2022-08-19 中标慧安信息技术股份有限公司 物联网平台非法攻击监测方法
CN113691505B (zh) * 2021-08-05 2022-05-24 固安聚龙自动化设备有限公司 基于大数据的工业互联网入侵检测方法
CN113422787B (zh) * 2021-08-24 2021-11-09 广州乐盈信息科技股份有限公司 一种用于无源光网络系统的智能防攻击方法
WO2023063922A1 (en) * 2021-10-11 2023-04-20 Nokia Technologies Oy Enhancements for multimodal service flow communications
US20250335582A1 (en) * 2024-04-29 2025-10-30 Crowdstrike, Inc. Machine Learned Contextual Cybersecurity Threat Prioritization

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7342929B2 (en) * 2001-04-27 2008-03-11 Cisco Technology, Inc. Weighted fair queuing-based methods and apparatus for protecting against overload conditions on nodes of a distributed network
US20030037141A1 (en) * 2001-08-16 2003-02-20 Gary Milo Heuristic profiler software features
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
EP1315065B1 (en) * 2001-11-23 2007-10-10 Protegrity Research & Development Method for intrusion detection in a database system
JP3893975B2 (ja) * 2002-01-07 2007-03-14 三菱電機株式会社 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム
JP3699941B2 (ja) * 2002-03-22 2005-09-28 日本電信電話株式会社 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
JP3928866B2 (ja) 2003-04-18 2007-06-13 日本電信電話株式会社 DoS攻撃元検出方法、DoS攻撃阻止方法、セッション制御装置、ルータ制御装置、プログラムおよびその記録媒体
US7562390B1 (en) * 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
JP4259183B2 (ja) * 2003-05-28 2009-04-30 学校法人千葉工業大学 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
SG119237A1 (en) * 2004-07-30 2006-02-28 E Cop Net Pte Ltd An intrusion protection system and method

Also Published As

Publication number Publication date
US7757285B2 (en) 2010-07-13
JP2006352669A (ja) 2006-12-28
US20060288413A1 (en) 2006-12-21

Similar Documents

Publication Publication Date Title
JP4545647B2 (ja) 攻撃検知・防御システム
US7093294B2 (en) System and method for detecting and controlling a drone implanted in a network attached device such as a computer
US7624447B1 (en) Using threshold lists for worm detection
US8438241B2 (en) Detecting and protecting against worm traffic on a network
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
KR100663546B1 (ko) 악성 봇 대응 방법 및 그 시스템
EP1722535A2 (en) Method and apparatus for identifying and disabling worms in communication networks
CN103905265B (zh) 一种网络中新增设备的检测方法和装置
AU2005322364A1 (en) Network intrusion prevention
EP1595193B1 (en) Detecting and protecting against worm traffic on a network
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
WO2019096104A1 (zh) 攻击防范
US20050147037A1 (en) Scan detection
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
Hooper An intelligent detection and response strategy to false positives and network attacks
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
Nakashima et al. Performance estimation of TCP under SYN flood attacks
Vidya et al. ARP storm detection and prevention measures
CN115208596B (zh) 网络入侵防御方法、装置及存储介质
JP4661554B2 (ja) 不正アクセス検知方法および装置ならびにプログラム
Omar et al. Rule-Based SLAAC Attack Detection Mechanism
JP2018129712A (ja) ネットワーク監視システム
US7725935B1 (en) Detecting worms
KR101166352B1 (ko) Ip 스푸핑 탐지 및 차단 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080226

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100630

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees