JP2005130121A - ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム - Google Patents
ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム Download PDFInfo
- Publication number
- JP2005130121A JP2005130121A JP2003362173A JP2003362173A JP2005130121A JP 2005130121 A JP2005130121 A JP 2005130121A JP 2003362173 A JP2003362173 A JP 2003362173A JP 2003362173 A JP2003362173 A JP 2003362173A JP 2005130121 A JP2005130121 A JP 2005130121A
- Authority
- JP
- Japan
- Prior art keywords
- dos attack
- traffic information
- function
- network management
- dos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】IPネットワークにおけるDoS攻撃判定の精度を高め、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減する。
【解決手段】サーバ1Bは、トラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減をDoS攻撃判断条件として追加した第1の機能、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度によりDoS攻撃の有無を判断する第2の機能、受信データのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能等の協働によりDoS攻撃の有無を判断する。
【選択図】 図1
【解決手段】サーバ1Bは、トラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減をDoS攻撃判断条件として追加した第1の機能、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度によりDoS攻撃の有無を判断する第2の機能、受信データのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能等の協働によりDoS攻撃の有無を判断する。
【選択図】 図1
Description
本発明は、例えばIPネットワークを管理する装置、方法、プログラムに係り、特にDoS攻撃の有無を判別して適宜IPトレースバック逆探知パケットを送出するネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラムに関する。
従来、大量のデータや不正なパケットを送信し、サービスの提供を困難にさせるサービス妨害(Dos;Denial of service)攻撃が問題となっている。このDos攻撃では、特定のインターネットサーバに対して大量のパケットを送信することで、攻撃対象となるサーバをリソース不足に陥らせ、アクセス不能状態させるのが一般的な手法である。このDoS攻撃には、所定のツールが利用されるが、ツールにより攻撃対象や方法は異なる。
代表的なツールとして、ICMP(Internet Control Message Protocol)によるエコー要求を実施するSmurf DosやSYN(synchronous)技術を用いるTFN等がある。多くの場合では、分散型DoS(DDos;Distributed Denial of service)攻撃と称される、異なるコンピュータからの攻撃を行うことから、攻撃元を特定するのは困難である。
このような問題に鑑みて、非特許文献1では、IPトレースバック逆探知パケット方式のトラヒック量と攻撃経路再構成時間の性能評価における逆探知パケット方式が開示されている。この方式では、IPオプショントレースバックにより、自律システム(AS;Autonomous System)単位で攻撃元と想定されるIPパケットを追跡し、通過AS情報をトレースパケットに格納し、その情報に基づいて攻撃元までの経路を構築している。
一方、特許文献1では、クライアント計算機から送られてくるアクセス要求パケットをサーバ計算機の代わりに受け付けるアクセス要求受付けと受け付けたアクセス要求パケットの正当性を検査し、正当性が認められた場合にのみサーバ計算機へパケットを転送する技術が開示されている。尚、この技術では、アクセス正当性検査手段として、アクセス要求パケットが一連の接続要求パケット、確認応答パケット及びデータ要求パケットであることを正当なアクセス要求条件として採用している。
特開2003−173300号公報
奈良先端大学化学技術大学院大学 澤井裕子、"IPトレースバック逆探知パケット方式のトラヒック量と攻撃経路再構成時間の性能評価"、[on line]、[平成15年10月8日検索]、インターネット<URL:http://www.ieice.org/cs/ia/ipn/conference/200207/presentation/Sawai.pdf>
上記非特許文献1に開示の技術では、攻撃元を特定するために、確率Pでトレースパケットを送信している。この確率Pは、トレースパケット数や攻撃経路の検出時間に影響を与える。即ち、確率Pが大きくなるとトレースパケット数を増加させる反面、トラヒックが増加する為、輻輳を引き起こす可能性が高まる。一方、確率Pが小さくなると、攻撃経路の検出時間の増加を引き起こすことになる。検出時間の長期化によりサービス不能となる可能性が高まるため、攻撃元の特定や攻撃回避といった対応が困難となり、被害が拡大する。また、この技術では、DoS攻撃か否かという判断は一切行われていない。
また、不特定のパケットにIPトレースバック逆探知パケットを送信することから精度には限界があり、精度を高める為にトレースパケットの生成確率を高めると、トレースパケット数が増加してしまい、輻輳を引き起こす可能性がある。
一方、上記特許文献1により開示された従来技術では、DoS攻撃に係るパケットが一連の接続要求パケットや確認応答パケット、データ要求パケットであった場合には、DoS攻撃の正当性を評価する事ができない点が問題となっている。
本発明は、上記問題に鑑みてなされたもので、その目的とするところは、複数のエージェントの異なるポリシーによる総合的な判断により、IPネットワークにおけるDoS攻撃判定の精度を高め、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減することでトラヒックへの影響を軽減することにある。
上記目的を達成するために、本発明の第1の態様では、複数の端末装置と共に情報通信網に接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理するトラヒック情報管理手段と、上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報とを比較するトラヒック情報比較手段と、上記トラヒック情報比較手段により比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断するDoS判断手段と、上記DoS判断手段によりDoS攻撃と判断された場合に逆探知用パケットを送出する逆パケット送出手段と、を有することを特徴とするネットワーク管理装置が提供される。
本発明の第2の態様では、上記第1の態様において、上記閾値は、伝送レートに応じた定数であることを更に特徴とするネットワーク管理装置が提供される。
本発明の第3の態様では、複数の端末装置と情報通信網を介して接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するDoS判断手段を有することを特徴とするネットワーク管理装置が提供される。
本発明の第4の態様では、上記代3の態様において、上記DoS判断手段は、上記第1乃至第4の機能による判断結果をコスト値に変換するコスト値変換手段と、上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出する総数算出手段と、を更に有し、上記総数に応じてDoS攻撃を判断することを更に特徴とするネットワーク管理装置が提供される。
本発明の第5の態様では、上記第3又は第4の態様において、上記DoS判断手段は、 上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合、外部装置に現在及びそれ以降のトラヒック情報を管理させる手段を更に有し、当該外部装置にてDoS攻撃を判断することを更に特徴とするネットワーク管理装置が提供される。
本発明の第6の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出することを特徴とするネットワーク管理方法が提供される。
本発明の第7の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断することを特徴とするネットワーク管理方法が提供される。
本発明の第8の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、ためのネットワーク管理プログラムが提供される。
本発明の第9の態様では、情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、上記ネットワーク管理装置が、上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するためのネットワーク管理プログラムが提供される。
本発明によれば、複数のエージェントの異なるポリシーによる総合的な判断により、IPネットワークにおけるDoS攻撃判定の精度を高め、経路検出時間の短縮を図り、更にはIPトレースバック逆探知パケットの送信数を軽減することでトラヒックへの影響を軽減するネットワーク管理装置及びネットワーク管理方法を提供することができる。
以下、図面を参照して、本発明の一実施の形態について説明する。
先ず、図1には、本発明の一実施の形態に係るネットワーク管理装置の概念図を示し説明する。尚、ネットワーク管理装置は、サーバ1A又は1Bに相当する。
図1に示されるように、AS4内では、複数のルータ3A乃至3Dが通信自在に接続されている。これらルータ3A乃至3Dのうち、エッジノードであるルータ3Aは外部の情報通信網(ネットワーク)5に接続されており、当該ルータ3Aにはトラヒック情報を監視するサーバ1Aが通信自在に接続されている。サーバ1Aは、周期的に収集されたトラヒック情報をトラヒックパターンとして格納する為のデータベース(以下、これをDBと略記する)2Aと接続されている。ルータ3Aは、ネットワークドメイン内部又は外部のサーバ1Bとも通信自在に接続されている。当該サーバ1BはDoS攻撃対象候補となったトラヒック情報を格納するDB2Bと接続されている。本実施の形態では、サーバ1Bには、DoS攻撃の特定やDB2Bに格納されたトラヒック情報の対処を決定するDoS攻撃判別エージェントが常駐している。このエージェントについては後述する。
このような実施の形態に係るネットワーク管理装置は、例えばサーバ1A,1B等が以下のような作用を奏する。即ち、より具体的には、例えばサーバ1A又は1Bのいずれかにおいて、ネットワーク5を介して接続された外部の端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報とを比較し、比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断した場合には、逆探知用パケットを送出する。
尚、この閾値は、伝送レートに応じた定数であることとしてもよい。
或いは、例えばサーバ1A又は1Bのいずれかにおいて、ネットワーク5を介して接続された端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加したリンクエージェント機能と、DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断するFrequenyエージェント機能と、上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断するAppcheckエージェント機能と、自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断するSrvrMonitorエージェント機能と、の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断する。
さらに、詳細は後述するが、サーバ1A又は1Bのいずれかにおいて、これら機能による判断結果をコスト値に変換し、上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出し、上記総数に応じてDoS攻撃を判断する。また、一のサーバ(例えばサーバ1A)で管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合には、外部装置としての他のサーバ(例えばサーバ1B)に現在及びそれ以降のトラヒック情報を管理させ、当該外部装置にてDoS攻撃を判断する。以上のような作用は、ネットワーク管理装置としてのサーバ1A,1B、或いは不図示の他のサーバにより単独で、或いは複数のサーバが協働して奏するものであることは勿論である。
次に、図2,3には、サーバ1A,1Bの構成を更に具現化して示し説明する。
尚、以下に説明する各サーバ1A,1Bの有する機能は、説明の便宜上、一例として特定したに過ぎず、互いの機能を入れ換えたり、一部機能を協働させることもできる。
先ず、図2に示されるように、このサーバ1Aは、トラヒック収集機能11、トラヒック比較機能12、トラヒックパターン作成機能13、トラヒックパターン収集・格納機能14、通信機能15、トラヒック判断機能16を有している。
トラヒック収集機能11及びトラヒックパターン収集・格納機能14は、DB2Aと通信可能である。通信機能15は、サーバ1B、外部のネットワーク5を介して不図示の複数の端末装置と通信可能である。
このような構成において、トラヒック収集機能11は、IPアドレス毎のトラヒック情報を周期的に収集する。トラヒックパターン作成機能13は、この収集したトラヒック情報について、日、週、月、年毎の伝送レートの変化をIPアドレス毎にトラヒックパターンとして作成する。トラヒックパターン収集・格納機能14は、当該トラヒックパターンをDB2Aに格納する。トラヒック比較機能12は、サーバ1Aが収集した送信元アドレス毎の伝送レートとDB2Aに格納されたトラヒックパターンとを比較する。トラヒック判断機能16は、この判断の結果を受け、両者の間に所定値以上の差が発生した場合には、更にDos攻撃の有無を判断するために、通信機能15を介してIPパケットを自ネットワークドメイン内/外に設置されたサーバ1Bを経由してDB2Bに格納する。このとき、即ち、Dos攻撃であると判断した場合に、IPトレースバック逆探知用パケットを送出するようにすることも可能である。尚、上記所定値とは、伝送レートに応じて予め決められた定数であるが、これに限定されないことは勿論である。
ここで、請求項に記載のトラヒック情報管理手段とはトラヒック収集機能11、トラヒックパターン作成機能13、トラヒック収集・格納機能14等に相当し、トラヒック情報比較手段とはトラヒック比較機能12に相当し、Dos判断手段とはトラヒック判断機能16等に相当し、逆パケット送出手段とは通信機能15等に相当する。但し、これら関係には限定されないことは勿論である。
次に図3に示されるように、サーバ1Bは、トラヒック収集・格納機能21、リンクエージェント機能22、フリクエンシ(以下、Frequencyとする)エージェント機能23、アプリケーションチェック(以下、Appcheckとする)エージェント機能24、サーバモニタ(以下、SrvrMonitorとする)エージェント機能25、通信機能26、ランキング/コスト値決定機能27、補正値決定機能28を有する。即ち、サーバ1Bは、DoS攻撃を判断する為に、協働する各種のエージェント機能22乃至25を有している。
このような構成において、トラヒック収集・格納機能21は、IPアドレス毎のトラヒック情報を周期的に収集し、DB2Bに格納する。ランキング/コスト値決定機能27は、詳細は後述するが、ランキングとコスト値とを対応付けたテーブルを参照して、ランキングに対応するコスト値を決定する。リンクエージェント機能22は、定期的に収集されたリンクパターンの変化やリンク数により規定値の信頼性を判断する。Frequencyエージェント機能23は、過去にDoS攻撃を仕掛けてきたIPアドレスを記録し、一定期間におけるDoS攻撃の頻度によりDoS攻撃の可能性を判断する。
そして、Appcheckエージェント機能24は、上記サーバ1Aより収集されたIPパケットのペイロードの記述内容によりDoS攻撃の可能性を判断する。SrvrMonitorエージェント機能25は、自ドメイン内の攻撃対象となり得るWebサーバやFTPサーバ、メールサーバのリソースを管理し、DoS攻撃の可能性を判断する。そして、補正値決定機能28は、前述したような各種エージェント22乃至25の判断結果に基づいて、詳細は後述するが、コスト補正用定数(補正値)、総数を決定する。
尚、請求項に記載の第1の機能とはリンクエージェント機能22等に相当し、第2の機能とはFrequencyエージェント機能23等に相当し、第3の機能とはAppcheckエージェント機能24等に相当し、第4の機能とはSrvrMonitorエージェント機能25等に相当する。そして、Dos判断手段とは、ランキング/コスト値決定機能27、補正値決定機能28等を含む広い概念である。さらに、請求項に記載のコスト値変換手段とはランキング/コスト値決定機能27等に相当し、総数算出手段とは補正値決定機能28等に相当するものである。但し、これらの関係には限定されない。
以下、図4のフローチャートを参照して、上記構成による作用を詳述する。
これは、本実施の形態に係るネットワーク管理方法に相当する。或いは、本実施の形態に係るネットワーク管理プログラムのアルゴリズムに相当する。
先ず、サーバ1Aは、外部のネットワーク5に接続されているエッジノードにて、トラヒック収集機能11により、IPアドレス毎のトラヒック情報を周期的に収集する(ステップS1)。このサーバ1Aが収集する情報には、例えば、日、月、周、年毎のトラヒック情報がある。そして、このトラヒック情報には、例えば図7に示されるように、送信元アドレス、宛先アドレス、測定時刻、伝送レート等が含まれている。
そして、サーバ1Aは、トラヒックパターン作成機能13により、収集した各種情報を基にして、日、週、月、年毎の伝送レートの変化をIPアドレス毎にトラヒックパターンとして作成し、トラヒックパターン収集・格納機能14により、DB2Aに格納する(ステップS2)。トラヒックパターンは、例えば図8に示される通りであり、送信元アドレス、宛先アドレス、トラヒックの変化(1日、週、月、年)、Dos攻撃の可能性を判断するための閾値を含んでいる。但し、これには限定されない。
続いて、サーバ1Aは、DoS攻撃の判別を行う。即ち、トラヒック比較機能12により、サーバ1Aが収集した送信元アドレス毎の伝送レートとDB2Aに格納されたトラヒックパターンとを比較し(ステップS3,S4)、両者の間に所定値(伝送レートに応じて予め決められた定数)以上の差が発生した場合には、通信機能15により、IPパケットを自ネットワークドメイン内/外に設置されたサーバ2Aを経由してDB2Bに格納する。DB2Bに格納するIPパケットは、自ネットワークドメイン内へ流入するトラヒック全て、一部或いは所定値以上の差が発生したIPアドレスである。
尚、サーバ1Aが単独で処理する場合においては、上記比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断した場合に、所定の逆探知用パケットを送出するようにしてもよいことは勿論である。
次いで、通信機能26及びトラヒック収集・格納機能21によりDB2Bに収集されたIPパケットに対して、サーバ1Bが有する、異なるポリシーを持つ複数のDoS攻撃判別エージェント機能22乃至25が協調し、上記DB2Bに格納されているトラヒックに対して、DoS攻撃の判定を実施する(ステップS5乃至ステップS11)。即ち、DoS攻撃判別エージェントとしての、リンクエージェント機能22、Frequencyエージェント機能23、Appcheckエージェント機能24、SrvrMonitorエージェント機能25は、それぞれのアルゴリズムに基づいて、DoS攻撃の可能性を判定する。
以下、各エージェント機能について更に詳細に説明する。
リンクエージェント機能22は、インターネット上のWebページのリンク数及びリンク数の変化によりDoS攻撃に対する判定の信頼度をランキング化するものであり、過去のリンク数と現在のリンク数の変化が所定の閾値以下ならばDoS攻撃と判断する。一般に、トラヒックパターンと現行トラヒックの伝送レートに一定以上の差がある場合、DoS攻撃の可能性がある反面、誤差或いはアクセス数の増加に起因するトラヒック増の可能性がある。そこで、リンクエージェント機能22では、Webページのリンク数やリンク数の変化によりDoS攻撃の可能性を検討する。Webページに張られているリンク数は重要度/人気度を示すパラメータであり、リンク数が多い程その重要度/人気度は高くなる。インターネット上のWebページのリンク数やリンク数の変化を周期的に収集し、リンクパターンとしてDB2Bに記録する。
このリンクパターンは、例えば図9に示される通りであり、送信元アドレス、宛先アドレス、測定時刻、リンクパターン(日、週、月、年)が含まれている。このようなリンクパターンより傾向を判断し、DoS攻撃の可能性をランキングする。
ランキング換算表は、例えば図10に示される通りであり、ランクA(DoS攻撃の可能性大;コスト値A)、ランクB(DoS攻撃の可能性中;コスト値B)、ランクC(DoS攻撃の可能性小;コスト値C)、及びランクD(DoS攻撃の可能性極めて低い;コスト値D)に分けられる。即ち、リンクエージェント機能22は、図8よりトラヒックの変化を検出し、平均的なトラヒックの変化との相対的な評価で予め定められた図9のランキング換算表を参照して、対応するコスト値を決定することになる。
一方、Frequencyエージェント機能23は、過去に自ドメイン/他ドメインに対してDoS攻撃を仕掛けてきたIPアドレスを記録し、一定期間において自ドメイン/他ドメインに攻撃を仕掛けた頻度が閾値を超えた場合、DoS攻撃と判断する。
一般に、DoS攻撃を仕掛ける場合、インターネット上のコンピュータを踏み台とする場合が多く、踏み台とされるコンピュータはセキュリティレベルが低いと考えられる。セキュリティ管理には、高度な知識と技術が必要であり、これらが不足していると、頻繁に踏み台にされる可能性が高い。そこで、Frequencyエージェント機能23は、過去の自ドメインに対する攻撃頻度をIPアドレス毎に記録し、一定期間におけるその頻度によりDoS攻撃の可能性を検討する。この過去の自ドメインに対する攻撃頻度は、例えば図11に示される通りであり、送信元アドレス、宛先アドレス、測定期間、攻撃回数が対応付けられている。ランキング換算表は、図12に示される通りであり、平均的な攻撃回数との相対的な評価で、段階的にランク及び対応するコスト値を予め定めている。
即ち、図12の例では、攻撃頻度が高いIPアドレスをランクA(コスト値A)、攻撃頻度が中程度のIPアドレスをランクB(コスト値B)、攻撃頻度が低いIPアドレスをランクC(コスト値C)、及び過去に攻撃を仕掛けていないIPアドレスをランクD(コスト値D)としている。Frequencyエージェント機能23は、図11より攻撃頻度等を把握した上で、ランキング/コスト値決定機能27を用いて、図12のランキング換算表を参照して、コスト値を決定することになる。
Appcheckエージェント機能24は、IPアドレス全て或いは一部で取り出したIPアドレスに対して、ペイロードの記述内容の検査を実施し、DoS攻撃を判別する。多くの場合、DoS攻撃にDoS攻撃ツールが用いられるが、このようなルーツを利用したDoS攻撃の場合には、ペイロードを検査する(例えば、パターンマッチング等)ことで発見することができる。そこで、Appcheckエージェント機能24は、DB2Bに格納されているIPアドレス全て或いは一部で取り出したIPアドレスに対してペイロードの検査を実施する。IPv4ヘッダフォーマット、IPv6ヘッダフォーマットの構成は、図5及び図6に示される通りであり、IPv4であれば図5にデータ(Data)と示した部分を、IPv6であれば図6にPayroad(データ)と示した部分を検査する。
尚、この各フォーマットは一般的であるので、これ以上の説明は省略する。
この検査の結果は、例えば図13に示されるようになり、Dos攻撃タイプとDos攻撃用判別パターンが対応付けられる。尚、ランキング換算表は、図14に示され、DoS攻撃用パケットと判断されたIPパケットはランクA(コスト値A)とし、Dos攻撃用パケットではない場合はランクD(コスト値D)と予め定めている。
つまり、Appcheckエージェント機能24は、図13よりDos攻撃タイプとDos攻撃用判別パターンを検出し、ランキング/コスト値決定機能27を用いて、図14のランキング換算表を参照してコスト値を決定することになる。
SrvrMonitorエージェント機能25は、自ドメイン内の攻撃対象となるサーバの状態を監視し、DoS攻撃を判断する。より具体的には、TCPパケットに対するSynパケットの割合が閾値以上場合、或いは受信したIPアドレスに違法性(例えば、顧客以外のIPパケット)があると判断された場合、DoS攻撃と判断する。一般に、Dos攻撃には、SYN技術やICMPエコー要求を利用したものがある。
サーバ1Bは、顧客IPアドレスとポート番号の関係を図15に示されるようなテーブルで管理している。サーバ1Bは、TCPパケットに対するSynパケットの割合の監視や顧客IPアドレスと受信IPアドレスの比較を実施し、図16に示されるようなテーブルを作成する。そして、このテーブルよりDos攻撃の可能性を判定する。ランキング換算表は、図17に示される通りである。即ち、このランキングは、ランクA(Dos攻撃の可能性大;閾値A、コスト値E)、ランクB(Dos攻撃の可能性中;閾値B、コスト値F)、ランクC(Dos攻撃の可能性小;閾値C、コスト値G)、及びランクD(Dos攻撃の可能性が極めて低い;閾値D、コスト値H)に分けられる。SrvrMonitorエージェント機能25は、ランキング/コスト値決定機能27を用いて、図17のランキング換算表を参照してコスト値を決定する。
以上のように、各エージェント機能22乃至25による各判定はランキングされ、それに対応したコスト値が決定される。そして、補正値決定機能28は、図18のテーブルを参照して、コスト補正用定数α,β,γ,θを算出し、各エージェント22乃至25の算出したコスト値の総和をGとし、Gの値によりIPアドレスに対する処置を決定する。
ここで、総和Gは、
G=αCost(リンクエージェント)+βCost(Frequencyエージェント)
+γCost(Appcheckエージェント)+θCost(SrvrMonitorエージェント)
で表され、α、β、γ及びθは、例えばIPアドレス、ポート番号、アプリケーションの種類等により特定されるアクセス先(例えば、HTTPサーバ、MailサーバあるいはFTPサーバ等)により変化する定数(0を含む)である。
G=αCost(リンクエージェント)+βCost(Frequencyエージェント)
+γCost(Appcheckエージェント)+θCost(SrvrMonitorエージェント)
で表され、α、β、γ及びθは、例えばIPアドレス、ポート番号、アプリケーションの種類等により特定されるアクセス先(例えば、HTTPサーバ、MailサーバあるいはFTPサーバ等)により変化する定数(0を含む)である。
例えば、以下のような対処が考えられる。
G=00〜20:DB2Bに格納したトラヒックを自ネットワークに転送
G=21〜40:ユーザ/管理者に対してDoS攻撃の可能性を通知
G=41〜80:ユーザ/管理者への通知及びトレースパケットの送信
G=81 :ユーザ/管理者への通知、トレースパケットの送信及び廃棄
一例として、DB2Bに格納されたIPアドレスに対して、リンクエージェントがコスト値30(ランクB)、Frequencyエージェントがコスト値40(ランクA)、Appcheckエージェントがコスト値0(ランクD)、SrvrMonitorエージェントがコスト値0(ランクD)と判断し、α=β=γ=θ=1である場合には、総数Gは、
G=30+40+0+0=70
となる。この場合には、上記対処に従い、サーバ1Bは、ユーザ/管理者への通知及びIPトレースバック逆探知パケットの送信を実施することになる。
G=21〜40:ユーザ/管理者に対してDoS攻撃の可能性を通知
G=41〜80:ユーザ/管理者への通知及びトレースパケットの送信
G=81 :ユーザ/管理者への通知、トレースパケットの送信及び廃棄
一例として、DB2Bに格納されたIPアドレスに対して、リンクエージェントがコスト値30(ランクB)、Frequencyエージェントがコスト値40(ランクA)、Appcheckエージェントがコスト値0(ランクD)、SrvrMonitorエージェントがコスト値0(ランクD)と判断し、α=β=γ=θ=1である場合には、総数Gは、
G=30+40+0+0=70
となる。この場合には、上記対処に従い、サーバ1Bは、ユーザ/管理者への通知及びIPトレースバック逆探知パケットの送信を実施することになる。
このように、サーバ1Bは、このDoS攻撃判別エージェントの判定により、IPトレースバック逆探知パケットの送信、管理者/ユーザへの通知、パケット廃棄のユーザへの送信を適宜実施する(ステップS12乃至S14)。
以上説明したように、本発明の実施の形態によれば、複数のポリシーによる総合的な判断により、DoS攻撃判定の精度を高めることができる。また、DoS攻撃の有無を判定してから、トレースパケットを生成するため、トレースパケットの送信数を軽減でき、ネットワークに対する負荷を小さくすることができる。
尚、本発明は、上記実施の形態に限定されることなく、その主旨を逸脱しない範囲で種々の改良・変更が可能であることは勿論である。例えば、Dos攻撃判定のために協働するエージェントは、前述したものには限定されない。
1A,1B・・・サーバ、2A,2B・・・DB、3A〜3D・・・ルータ、4・・・AS、5・・・ネットワーク、11・・・トラヒック格納機能、12・・・トラヒック比較機能、13・・・トラヒックパターン作成機能、14・・・トラヒックパターン収集・格納機能、15・・・通信機能、21・・・トラヒック収集・格納機能、22・・・リンクエージェント機能、23・・・Frequencyエージェント機能、24・・・Appcheckエージェント機能、25・・・SrvrMonitorエージェント機能、26・・・通信機能、27・・・ランキング/コスト値決定機能、28・・・補正値決定機能。
Claims (9)
- 複数の端末装置と共に情報通信網に接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理するトラヒック情報管理手段と、
上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報とを比較するトラヒック情報比較手段と、
上記トラヒック情報比較手段により比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断するDoS判断手段と、
上記DoS判断手段によりDoS攻撃と判断された場合に逆探知用パケットを送出する逆パケット送出手段と、
を有することを特徴とするネットワーク管理装置。 - 上記閾値は、伝送レートに応じた定数であることを更に特徴とする請求項1に記載のネットワーク管理装置。
- 複数の端末装置と情報通信網を介して接続され、当該端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置において、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するDoS判断手段を有することを特徴とするネットワーク管理装置。 - 上記DoS判断手段は、
上記第1乃至第4の機能による判断結果をコスト値に変換するコスト値変換手段と、
上記各コスト値に、IPアドレス、ポート番号又はアプリケーションに応じた定数を乗算した値の総和を総数として算出する総数算出手段と、
を更に有し、上記総数に応じてDoS攻撃を判断することを更に特徴とする請求項3に記載のネットワーク管理装置。 - 上記DoS判断手段は、
上記トラヒック情報管理手段により管理されているトラヒック情報と現在のトラヒック情報を比較し、両値の差分が予め定められた閾値以上の場合、外部装置に現在及びそれ以降のトラヒック情報を管理させる手段を更に有し、
当該外部装置にてDoS攻撃を判断することを更に特徴とする請求項3又は4のいずれかに記載のネットワーク管理装置。 - 情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、
この管理されているトラヒック情報と現在のトラヒック情報とを比較し、
比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、
ことを特徴とするネットワーク管理方法。 - 情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置によるネットワーク管理方法において、
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断することを特徴とするネットワーク管理方法。 - 情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、
この管理されているトラヒック情報と現在のトラヒック情報とを比較し、
比較した両値の差分が予め定められた閾値以上の場合にDoS攻撃であると判断し、逆探知用パケットを送出する、
ためのネットワーク管理プログラム。 - 情報通信網を介して接続された端末装置より送出されたデータのトラヒック情報を管理するネットワーク管理装置に用いるネットワーク管理プログラムにおいて、
上記ネットワーク管理装置が、
上記端末装置のトラヒック情報をIPアドレス毎に定期的に収集及び管理し、この管理されているトラヒック情報と現在のトラヒック情報を比較し、比較結果である両値の差分が予め定められた閾値以上である場合にDoS攻撃と判断する機能であって、自ホームページに対するリンク数の増減を更にDoS攻撃判断条件として追加した第1の機能と、
DoS攻撃の履歴をIPアドレス毎に管理し、一定期間におけるDoS攻撃の頻度により、DoS攻撃の有無を判断する第2の機能と、
上記端末装置から受信したデータのペイロードの記述内容によりDoS攻撃の有無を判断する第3の機能と、
自ドメイン内の攻撃対象となり得るサーバのリソースを監視し、DoS攻撃の有無を判断する第4の機能と、
の少なくともいずれか一つの機能を用いてDoS攻撃の有無を判断するためのネットワーク管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003362173A JP2005130121A (ja) | 2003-10-22 | 2003-10-22 | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003362173A JP2005130121A (ja) | 2003-10-22 | 2003-10-22 | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005130121A true JP2005130121A (ja) | 2005-05-19 |
Family
ID=34641907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003362173A Pending JP2005130121A (ja) | 2003-10-22 | 2003-10-22 | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005130121A (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| JP2007249348A (ja) * | 2006-03-14 | 2007-09-27 | Nec Corp | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
| JP2013522936A (ja) * | 2010-01-21 | 2013-06-13 | アリババ・グループ・ホールディング・リミテッド | 悪意のあるアクセスの遮断 |
| JP2017534110A (ja) * | 2014-10-07 | 2017-11-16 | クラウドマーク インコーポレイテッド | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 |
| JP2018515984A (ja) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ネットワーク攻撃に対して防御するための方法およびデバイス |
| CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
| CN114095265A (zh) * | 2021-11-24 | 2022-02-25 | 中国南方电网有限责任公司超高压输电公司昆明局 | Icmp隐蔽隧道检测方法、装置及计算机设备 |
| US11552965B2 (en) * | 2017-12-28 | 2023-01-10 | Hitachi, Ltd | Abnormality cause specification support system and abnormality cause specification support method |
-
2003
- 2003-10-22 JP JP2003362173A patent/JP2005130121A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100756462B1 (ko) | 2006-02-03 | 2007-09-07 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| JP2007249348A (ja) * | 2006-03-14 | 2007-09-27 | Nec Corp | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
| JP4670690B2 (ja) * | 2006-03-14 | 2011-04-13 | 日本電気株式会社 | アプリケーショントレースバックにおけるデータ収集装置及び方法並びにそのプログラム |
| JP2013522936A (ja) * | 2010-01-21 | 2013-06-13 | アリババ・グループ・ホールディング・リミテッド | 悪意のあるアクセスの遮断 |
| JP2017534110A (ja) * | 2014-10-07 | 2017-11-16 | クラウドマーク インコーポレイテッド | ドメイン名システムのリソース枯渇攻撃を識別する装置及び方法 |
| JP2018515984A (ja) * | 2015-05-15 | 2018-06-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ネットワーク攻撃に対して防御するための方法およびデバイス |
| US10931710B2 (en) | 2015-05-15 | 2021-02-23 | Alibaba Group Holding Limited | Method and device for defending against network attacks |
| US11552965B2 (en) * | 2017-12-28 | 2023-01-10 | Hitachi, Ltd | Abnormality cause specification support system and abnormality cause specification support method |
| CN111343176A (zh) * | 2020-01-16 | 2020-06-26 | 郑州昂视信息科技有限公司 | 一种网络攻击的反制装置、方法、存储介质及计算机设备 |
| CN114095265A (zh) * | 2021-11-24 | 2022-02-25 | 中国南方电网有限责任公司超高压输电公司昆明局 | Icmp隐蔽隧道检测方法、装置及计算机设备 |
| CN114095265B (zh) * | 2021-11-24 | 2024-04-05 | 中国南方电网有限责任公司超高压输电公司昆明局 | Icmp隐蔽隧道检测方法、装置及计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673874B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
| US10200402B2 (en) | Mitigating network attacks | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| US9742795B1 (en) | Mitigating network attacks | |
| US9794281B1 (en) | Identifying sources of network attacks | |
| US7636942B2 (en) | Method and system for detecting denial-of-service attack | |
| JP4667437B2 (ja) | 異常トラフィック検知装置、異常トラフィック検知方法および異常トラフィック検知プログラム | |
| US20050289649A1 (en) | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus | |
| US20060239203A1 (en) | Lightweight packet-drop detection for ad hoc networks | |
| US20160044053A1 (en) | Identifying Source of Malicious Network Messages | |
| CN107710680A (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| CN106534068A (zh) | 一种ddos防御***中清洗伪造源ip的方法和装置 | |
| CN108270602A (zh) | 一种数据链路的检测方法、装置及*** | |
| Alexander et al. | Off-path round trip time measurement via TCP/IP side channels | |
| JP3868939B2 (ja) | 通信ネットワークの障害を検出する装置 | |
| CN111756713B (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
| JP2005130121A (ja) | ネットワーク管理装置、ネットワーク管理方法、ネットワーク管理プログラム | |
| JP3892322B2 (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
| CN113168460A (zh) | 用于数据分析的方法、设备和*** | |
| JP6740191B2 (ja) | 攻撃対処システム及び攻撃対処方法 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| JP4772025B2 (ja) | P2p通信検出装置、及びその方法とプログラム | |
| Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
| JP2009284433A (ja) | P2p端末検知及び制御システム、並びにその方法 |