JP2006325091A - Network attach defense system - Google Patents
Network attach defense system Download PDFInfo
- Publication number
- JP2006325091A JP2006325091A JP2005148026A JP2005148026A JP2006325091A JP 2006325091 A JP2006325091 A JP 2006325091A JP 2005148026 A JP2005148026 A JP 2005148026A JP 2005148026 A JP2005148026 A JP 2005148026A JP 2006325091 A JP2006325091 A JP 2006325091A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- attack
- position information
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、ネットワーク攻撃防御システムに関するものであり、特に、IPネットワークにおけるネットワーク攻撃防御システムに関するものである。 The present invention relates to a network attack defense system, and more particularly to a network attack defense system in an IP network.
近年、アクセスネットワーク・コアネットワークの広帯域化、端末装置の高性能化により、インターネットの利用はますます増大している。こうした中で、Webサイトのダウンや各種サーバへの不正侵入を狙った悪意の攻撃が行われる危険性も高まっており、これらの攻撃に対する対策が重要となってきている。従来、こうした攻撃に対する防御策としては、インターネットと接する各個別のローカルエリアネットワーク入り口にファイアウォールを設置してインターネット側からローカルエリアへの不要な侵入を防ぐとともに、外部からのアクセスを許す各種サーバ等に対しては、ファイアウォールと連動する侵入検出システム(IDS:Intrusion Detection System)を設置することにより、ローカルエリアネットワークの入り口で攻撃を食い止めるか、公開しているサーバ自身にIDS機能を実装することによりガードすることが一般的であった。 In recent years, the use of the Internet has been increasing due to the broadband access network and core network and the high performance of terminal devices. Under such circumstances, there is an increased risk of malicious attacks aimed at downing Web sites and unauthorized intrusion into various servers, and countermeasures against these attacks have become important. Conventionally, as a defense against such attacks, a firewall is installed at the entrance of each individual local area network that contacts the Internet to prevent unwanted intrusion from the Internet side into the local area, and to various servers that allow external access. On the other hand, by installing an intrusion detection system (IDS: Intrusion Detection System) that works with a firewall, it is possible to stop attacks at the entrance of a local area network or to guard by implementing an IDS function on the public server itself. It was common to do.
上述したIDSにおいては、一般に、攻撃検出対象のパケット流の攻撃パターンを記述した“シグネチャ”と呼ばれるルールに照らし合わせて攻撃を検出する方法や、パケット流の振る舞いを常時統計監視し、通常と異なる振る舞いを示すと攻撃と見なす方法が用いられる。しかしながら、こうした検出方法では、ネットワークに接続される数多くの端末装置を操作して、一斉に特定のサーバへアクセスさせるいわゆる分散型DoS(Denial of Service)攻撃への対処は困難である。分散DoS攻撃を受けると、被攻撃サーバでのサービス提供が不能になることに加えて、攻撃パケットのトラヒックが負荷となり、ネットワーク全体のパフォーマンスが低下する。このため、攻撃パケットの入力をできる限り上流で遮断することが必要であるが、分散型DoS攻撃においては、攻撃元の特定を難しくするため、しばしば、パケットの送信元アドレスが詐称される。またさらに、今後、ますますIP通信サービスのユーザが増大するにつれ、こうした攻撃に対する防御の知識や経験に乏しいユーザでも安心して使えるセーフティなIP通信サービスが求められるようになる。 In the IDS described above, in general, a method for detecting an attack against a rule called a “signature” that describes an attack pattern of a packet stream targeted for attack detection, and the behavior of a packet stream are always statistically monitored, which is different from normal. If behavior is shown, a method that is regarded as an attack is used. However, with such a detection method, it is difficult to cope with a so-called distributed DoS (Denial of Service) attack in which a large number of terminal devices connected to a network are operated to simultaneously access a specific server. When receiving a distributed DoS attack, in addition to disabling service provision at the attacked server, the traffic of the attack packet becomes a load and the performance of the entire network is degraded. For this reason, it is necessary to block the input of attack packets as much as possible upstream, but in the distributed DoS attack, in order to make it difficult to identify the attack source, the source address of the packet is often spoofed. Furthermore, as the number of users of IP communication services increases in the future, there will be a need for safe IP communication services that can be used with peace of mind even by users who have little knowledge or experience of defense against such attacks.
パケット送信元アドレスを詐称した分散型DoS攻撃に対する防御方法としては、例えば、出力パケットフローに基づいて分散型DoS攻撃を検出したエッジルータから、Hop by Hopに攻撃パケットの入力ルータを逆探索していく方法や、その改良型として通常のパケット転送ネットワークとは別に構築されたオーバーレイネットワーク上を逆探索していく方法(Center Track方式)が開示されている(例えば、非特許文献1)。また、分散DoS攻撃を検出したエッジルータから、攻撃パケットの上流に向かってパケットフィルタリング機能そのものが順次送出され、この順次送出されたパケットフィルタリング機能に基づいて、攻撃防御を行う方法なども開示されている(例えば、特許文献1)。 As a defense method against the distributed DoS attack in which the packet source address is spoofed, for example, an edge router that detects the distributed DoS attack based on the output packet flow is reverse searched for the input router of the attack packet to Hop by Hop. And a method of reverse searching on an overlay network constructed separately from a normal packet transfer network (Center Track method) is disclosed (for example, Non-Patent Document 1). In addition, a packet filtering function itself is sequentially transmitted from an edge router that has detected a distributed DoS attack toward the upstream of the attack packet, and a method for performing attack defense based on the sequentially transmitted packet filtering function is also disclosed. (For example, Patent Document 1).
しかしながら、分散型DoS攻撃に対する上記特許文献1などに示される従来の防御方法は、上述のように、攻撃パケットの転送経路を1Hopずつ特定して逆探索していく方法であるため、攻撃パケットの入力箇所を特定するまでに数段階の網内探索が必要であり、結果判定に至るまで時間を要するという問題点があった。 However, since the conventional defense method disclosed in Patent Document 1 and the like against the distributed DoS attack is a method of performing reverse search by specifying the forwarding path of the attack packet by 1 Hop as described above, There is a problem that it takes several steps in the network to identify the input location, and it takes time to determine the result.
また、逆探索する網のトポロジーを簡単化して探索時間を短縮するようなCenterTrack方式を用いた上記非特許文献1などに示される従来の防御方法では、各攻撃パケット送信元から断続的に攻撃パケットが入力されるようなパターンでは、次Hop逆探索処理中に、たまたま攻撃パケット入力が中断すると、入力エッジルータの見落としが発生する可能性があり、攻撃パケットが入力された全てのエッジルータの検出に至れないことがあるという問題点があった。 Further, in the conventional defense method shown in Non-Patent Document 1 or the like using the CenterTrack method that simplifies the topology of the reverse search network and shortens the search time, the attack packet is intermittently transmitted from each attack packet source. If the attack packet input happens to be interrupted during the next Hop reverse search process, the input edge router may be overlooked, and all edge routers that have received the attack packet are detected. There was a problem that sometimes it could not reach.
さらに、攻撃防御サーバにて収集した統計情報と、ネットワーク構成情報に基づく分析を行うような従来手法では、攻撃パケットが入力されているエッジルータを特定するだけでも、多くの統計情報に基づいた分析処理を行う必要があり、入力位置を特定する分析処理の負荷が高くなるという問題点があった。 Furthermore, with conventional methods that perform analysis based on statistical information collected by the attack defense server and network configuration information, analysis based on a large amount of statistical information can be performed simply by identifying the edge router to which the attack packet is input. There is a problem that it is necessary to perform processing, and the load of analysis processing for specifying the input position becomes high.
本発明は、上記に鑑みてなされたものであって、IP通信ネットワーク上の分散型Dos攻撃等において、攻撃パケットが入力されたエッジルータの見落としを局限するとともに、攻撃パケットの検出を効率よく短時間に行うことができるネットワーク攻撃防御システムを実現することを目的とする。 The present invention has been made in view of the above. In a distributed Dos attack or the like on an IP communication network, the present invention limits the oversight of an edge router to which an attack packet has been input, and efficiently shortens the detection of the attack packet. The purpose is to realize a network attack defense system that can be performed in time.
上述した課題を解決し、目的を達成するため、本発明にかかるネットワーク攻撃防御システムは、防御対象のネットワークに入出力されるパケットに対して所定の管理処理を行うパケット管理手段と、該ネットワークに対する攻撃を検知した攻撃検出情報に基づいて所定の防御処理を行う攻撃防御制御サーバと、を具備するネットワーク攻撃防御システムにおいて、前記パケット管理手段は、前記防御対象のネットワークに入出力される入出力パケットの統計情報を監視する統計情報監視手段と、前記統計情報監視手段の監視によって得られたパケット統計情報に基づいて該ネットワークに対する攻撃を検出する攻撃検出手段と、前記防御対象のネットワークへの入力パケットに入力位置情報を付与するパケット入力位置情報付与手段と、前記防御対象のネットワークに接続される外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得するパケット入力位置情報取得手段と、前記パケット統計情報に前記パケット入力位置情報取得手段により取得されたパケット入力位置情報が付加された入力位置情報付きパケット統計情報と、前記攻撃検出手段により検出された攻撃検出情報と、を出力するサーバ通知手段と、を備え、前記攻撃防御制御サーバは、前記サーバ通知手段により出力されたパケット入力位置情報付き統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集されたパケット入力位置情報付き統計情報と、前記サーバ通知手段により通知された攻撃検出情報と、前記防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報と、に基づいて攻撃防御処理を実施する位置を決定する攻撃防御処理位置決定手段を含む攻撃防御処理決定手段と、を備えたことを特徴とする。 In order to solve the above-described problems and achieve the object, a network attack defense system according to the present invention includes a packet management unit that performs predetermined management processing on packets input to and output from a network to be protected, An attack defense control server that performs predetermined defense processing based on attack detection information that detects an attack, wherein the packet management means is an input / output packet that is input to or output from the defense target network. Statistical information monitoring means for monitoring the statistical information, attack detection means for detecting an attack on the network based on packet statistical information obtained by monitoring of the statistical information monitoring means, and input packets to the network to be protected Packet input position information adding means for adding input position information to the Packet input position information acquisition means for acquiring input position information attached to a transfer packet transferred to an external network connected to the network to be protected, and the packet statistical information acquired by the packet input position information acquisition means Server attack means for outputting packet statistical information with input position information to which packet input position information is added, and attack detection information detected by the attack detection means, and the attack defense control server includes: Statistical information collecting means for collecting statistical information with packet input position information output by the server notification means, statistical information with packet input position information collected by the statistical information collection means, and attacks notified by the server notification means Detection information and connection configuration of devices connected to the network to be protected And the network configuration information including fine hierarchical structure, characterized in that and a attack protection process determining means including an attack protection processing position determination means for determining a position to carry out the attack protection process based on.
本発明にかかるネットワーク攻撃防御システムによれば、入力パケットに入力位置情報が付加された入力位置情報付き統計情報、検出された攻撃検出情報および防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報に基づいて攻撃防御処理を実施する位置を決定するようにしているので、攻撃パケットが入力された箇所の見落としを局限することができるとともに、攻撃パケットの検出を効率よく短時間に行うことができるという効果を奏する。 According to the network attack defense system according to the present invention, statistical information with input position information in which input position information is added to an input packet, detected attack detection information, and connection configuration and hierarchy of devices connected to the network to be protected Since the location where the attack defense processing is performed is determined based on the network configuration information including the structure, it is possible to limit oversight of the location where the attack packet is input, and to efficiently detect the attack packet. There is an effect that it can be performed in time.
以下に、本発明にかかるネットワーク攻撃防御システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。 Embodiments of a network attack defense system according to the present invention will be described below in detail with reference to the drawings. In addition, this invention is not limited by this embodiment.
実施の形態
図1は、通信ネットワーク上に設置された本発明にかかるネットワーク攻撃防御システムの構成を示す説明図である。図1において、所定のIP通信が行われるIPネットワーク1が存在し、このIPネットワーク1にはエッジルータ2a〜2dと、攻撃防御制御サーバ3とが接続されている。また、エッジルータ2a〜2dには、ローカルエリアネットワーク5a〜5dのそれぞれが接続されている。また、ローカルエリアネットワーク5a〜5dには、情報処理端末6a〜6fのそれぞれが収容されている。なお、これらの情報処理端末6a〜6fは、各種アプリケーションにて、サーバとして動作する場合もある。
Embodiment FIG. 1 is an explanatory diagram showing a configuration of a network attack defense system according to the present invention installed on a communication network. In FIG. 1, there is an IP network 1 in which predetermined IP communication is performed. Edge
なお、この実施の形態では、入力パケットとは防御対象であるIPネットワーク1に入力されるパケットのことを意味し、一方、出力パケットとは防御対象であるIPネットワーク1から出力されるパケットのことを意味するものとする。 In this embodiment, an input packet means a packet that is input to the IP network 1 that is a protection target, while an output packet is a packet that is output from the IP network 1 that is a protection target. Means.
図2は、本発明にかかるパケット管理機能を備えたエッジルータの構成を示す説明図である。同図において、エッジルータ2はパケット管理部20を備え、このパケット管理部20は、入出力パケットの統計情報(以下「パケット統計情報」と呼称)を監視する統計情報監視手段21と、統計情報監視手段21の監視によって得られたパケット統計情報に基づいてIPネットワーク1に対する攻撃を検出する攻撃検出手段22と、IPネットワーク1への入力パケットに入力位置情報を付与する入力位置情報付与手段24と、ネットワーク外部(IPネットワーク1以外のネットワークを意味し、例えば、外部IPネットワーク4や他のローカルエリアネットワークなどが該当)に転送される転送パケットに付与されている入力位置情報を取得する入力位置情報取得手段25と、外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得した後に当該転送パケットに付与されている入力位置情報を削除する入力位置情報削除手段26と、統計情報監視手段21の監視によって得られたパケット統計情報に入力位置情報取得手段25によって取得されたパケット入力位置情報が付加された統計情報(以下「入力位置情報付きパケット統計情報」と呼称)や、攻撃検出手段22によって検出された検出情報(以下「攻撃検出情報」と呼称)などを攻撃防御制御サーバ3へ通知するサーバ通知手段23と、を備えるように構成されている。なお、フィルタリング手段200は、パケットに付与されている情報に基づいて、特定の条件を満たすものだけを通過させる、あるいは破棄するような一般的なルータに具備される機能を備えている。
FIG. 2 is an explanatory diagram showing the configuration of an edge router having a packet management function according to the present invention. In the figure, the
なお、上述のパケット統計情報とは、入出力パケットに含まれる宛先アドレス、送信元アドレス、シグネチャなどの一定期間収集された情報を意味している。また、上記で定義した入力位置情報付きパケット統計情報とは、このパケット統計情報に入力位置情報取得手段25によって取得されたパケット入力位置情報が付加された情報を意味している。なお、このパケット入力位置情報は、例えば、IPv4のオプションヘッダやIPv6の拡張ヘッダなどを用いることができる。 Note that the above-described packet statistical information means information collected for a certain period, such as a destination address, a source address, and a signature included in an input / output packet. The packet statistical information with input position information defined above means information obtained by adding the packet input position information acquired by the input position information acquisition means 25 to the packet statistical information. For example, an IPv4 option header or an IPv6 extension header can be used as the packet input position information.
図3は、本発明にかかる攻撃防御制御サーバ3の構成を示す説明図である。同図において、攻撃防御制御サーバ3は、各エッジルータ2に具備されるパケット管理部20から通知された入力位置情報付きパケット統計情報を収集する統計情報収集手段31と、この統計情報収集手段31により収集された入力位置情報付きパケット統計情報を保持するパケット統計情報DB32と、例えば、接続構成や階層構造などのネットワーク構成情報を保持するネットワーク構成情報DB33と、を備えるように構成される。また、パケット統計情報DB32に保持された入力位置情報付きパケット統計情報や、ネットワーク構成情報DB33に保持されたネットワーク構成情報に基づいて、例えば攻撃防御を実施する位置を決定する攻撃防御処理位置決定手段341を含む攻撃防御処理決定手段34を備えるように構成される。
FIG. 3 is an explanatory diagram showing the configuration of the attack
図4は、本発明にかかるネットワーク攻撃防御システム上の動作シーケンスを示す説明図である。以下、図4に示すシーケンス図および図1〜図3の各構成図を参照して、本発明にかかるネットワーク攻撃防御システムの動作について説明する。 FIG. 4 is an explanatory diagram showing an operation sequence on the network attack defense system according to the present invention. The operation of the network attack defense system according to the present invention will be described below with reference to the sequence diagram shown in FIG. 4 and the respective configuration diagrams shown in FIGS.
各エッジルータ2は、自身の統計情報監視手段21によって、例えば、パケット統計情報に含まれる各宛先アドレス、送信元アドレス、パケット入力位置情報が所定周期内に何個受信されたかをカウントするなどしてパケット統計情報を監視する。例えば図4において、エッジルータ2aの攻撃検出手段22は、統計情報監視手段21によって監視された監視情報に基づいて、例えばローカルエリアネットワーク5aに収容される情報処理端末6aに対する攻撃パケット出力(例えばDoS攻撃)を検出した場合(SQ101)、サーバ通知手段23は、攻撃が行われたことを示す攻撃検出情報を攻撃防御制御サーバ3に通知する(SQ102)。なお、当該通知に併せて、攻撃パケットと判断した入力位置情報付き統計情報も通知される。
Each
これに対して、攻撃防御制御サーバ3の攻撃防御処理位置決定手段341は、エッジルータ2aから入力位置情報付き統計情報を含む攻撃検出情報が通知されると、この攻撃検出情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報と、に基づき、攻撃パケットが入力されているエッジルータ2を特定する(SQ103)。そして、攻撃防御処理決定手段34は、この特定した攻撃パケットが入力されたエッジルータ2に対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃防御処理指示の一つである攻撃パケット入力遮断指示を送出する。
On the other hand, when the attack defense processing position determination means 341 of the attack
ここで例えば、単一の攻撃元によるDoS攻撃で、攻撃パケットが入力されているエッジルータはエッジルータ2bであると特定されると、攻撃防御処理決定手段34により、エッジルータ2bに対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃パケット入力遮断指示が送出される(SQ104)。
Here, for example, in a DoS attack by a single attack source, when it is specified that the edge router to which the attack packet is input is the
また例えば、複数の攻撃元による分散型DoS攻撃で、攻撃パケットが入力されているエッジルータはエッジルータ2b、2cであると特定されると、攻撃防御処理決定34により、エッジルータ2b、2cに対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃パケット入力遮断指示が送出される(SQ104、SQ105)。
Further, for example, when a distributed DoS attack by a plurality of attack sources identifies an edge router to which an attack packet is input as the
そして、エッジルータ2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するための攻撃パケット入力遮断指示を受け取ったフィルタリング手段200が、この指示により指定された宛先アドレスおよび送信元アドレスに合致する入力パケット、すなわち攻撃パケットの廃棄処理を開始する(SQ106、SQ107)。この処理により、攻撃パケットがIPネットワーク1内に流入されるのを防御することができる。
In the
上記の攻撃防御処理の後、エッジルータ2aの攻撃検出手段22は、攻撃パケットの出力が消滅したと判断すると(SQ108)、攻撃防御制御サーバ3に対して、攻撃パケットの出力が消滅したという攻撃消滅情報を通知する(SQ109)。攻撃消滅情報を受信した攻撃防御制御サーバ3は、エッジルータ2b、2cに対して、攻撃パケットの入力遮断を解除するように攻撃パケット入力遮断解除指示を送出する(SQ110、SQ111)。
After the above attack defense processing, when the attack detection means 22 of the
すると、エッジルータ2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するための攻撃パケット入力遮断解除指示を受け取ったフィルタリング手段200が、この指示により攻撃パケットの廃棄処理を解除し(SQ112、SQ113)、DoS攻撃が検出される前の状態に戻る。
Then, in the
以上のように、本発明にかかるネットワーク攻撃防御システムでは、入力パケットに入力位置情報が付加された入力位置情報付き統計情報に基づいて、攻撃パケットが入力されたエッジルータを特定するようにしているので、例えば出力側でDoS攻撃が検出されたことを契機として、効率よく、かつ攻撃パケットの入力が断続的であったとしても取りこぼすことなく、その攻撃パケットの入力エッジルータを特定することができ、DoS攻撃からIPネットワークを防御することができる。特に、送信元アドレスを詐称した分散型DoS攻撃の場合においても、効率よく、かつ攻撃パケットの入力エッジルータを見落とすことなく検出することができる。 As described above, in the network attack defense system according to the present invention, the edge router to which the attack packet is input is specified based on the statistical information with the input position information in which the input position information is added to the input packet. Therefore, for example, when a DoS attack is detected on the output side, the input edge router of the attack packet can be specified efficiently and without being missed even if the input of the attack packet is intermittent. And can protect the IP network from DoS attacks. In particular, even in the case of a distributed DoS attack in which the source address is spoofed, it can be detected efficiently and without overlooking the input edge router of the attack packet.
また、外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得した後に当該転送パケットに付与されている入力位置情報を削除することで、転送パケットに入力位置情報が付加されているといった情報や、入力位置情報のフォーマット情報などが外部ネットワークに漏洩することがないので、セキュリティ強度を高めることができる。なお、入力位置情報のフォーマットを定期的に変更するようにすれば、セキュリティ強度をさらに高めることができる。 In addition, after acquiring the input position information attached to the transfer packet transferred to the external network, the input position information attached to the transfer packet is deleted, so that the input position information is added to the transfer packet. Such information and the format information of the input position information are not leaked to the external network, so that the security strength can be increased. If the format of the input position information is changed periodically, the security strength can be further increased.
また、各エッジルータの出力パケット統計情報に基づいているため、既知のDoS攻撃だけでなく、未知のDoS攻撃に対しても、柔軟に対応することができる。 Further, since it is based on the output packet statistical information of each edge router, it can flexibly cope with not only a known DoS attack but also an unknown DoS attack.
また、この実施の形態では、エッジルータ2内にパケット管理部20を備えた場合について説明したが、エッジルータ2の入出力パケットを管理できればこれに限られず、エッジルータ2とは別に設けても同様の効果を得ることができる。
Further, in this embodiment, the case where the
また、この実施の形態では、エッジルータ2内にパケット管理部20を備えた場合について説明したが、パケットを転送する装置であればこれに限られず、エッジルータ以外のルータや終端装置にパケット管理部20を設けても同様の効果を得ることができる。この場合も、パケット管理部20をルータ等に内蔵しても、別に設けてもよい。
In this embodiment, the case where the
なお、上述の実施の形態では、防御対象ネットワークとしてIPネットワークを一例として説明したが、IPネットワークに限定されるものではなく、IPネットワーク以外の他のネットワークであっても勿論よい。肝要な点は、自身のネットワークに侵入する攻撃パケットに入力位置情報を付与する点と、入力位置情報が付与された攻撃パケットが自身のネットワークから外部のネットワークに出力される場合に、付与された入力位置情報を削除する点にあり、これらの処理はIPネットワーク以外のネットワークにおいても、容易に実現することができる。 In the above-described embodiment, the IP network is described as an example of the protection target network. However, the network is not limited to the IP network, and may be a network other than the IP network. The important point is that the input location information is given to the attack packet that intrudes into its own network, and it is given when the attack packet with the input location information is output from its own network to the external network This is because the input position information is deleted, and these processes can be easily realized in a network other than the IP network.
以上のように、本発明にかかるネットワーク攻撃防御システムは、例えばDoS攻撃等に対して有用な侵入検出システムであり、特に、分散型DoS攻撃に好適な侵入検出システムである。 As described above, the network attack defense system according to the present invention is an intrusion detection system useful for a DoS attack, for example, and is particularly an intrusion detection system suitable for a distributed DoS attack.
1 IPネットワーク
2a、2b、2c、2d エッジルータ
3 攻撃防御制御サーバ
4 外部IPネットワーク
5a、5b、5c、5d ローカルエリアネットワーク
6a、6b、6c、6d、6e、6f 情報処理端末
20 パケット管理部
21 統計情報監視手段
22 攻撃検出手段
23 サーバ通知手段
24 入力位置情報付与手段
25 入力位置情報取得手段
26 入力位置情報削除手段
31 統計情報収集手段
32 パケット統計情報DB
33 ネットワーク構成情報DB
34 攻撃防御処理決定手段
200 フィルタリング手段
341 攻撃防御処理位置決定手段
DESCRIPTION OF SYMBOLS 1
33 Network configuration information DB
34 Attack defense processing decision means 200 Filtering means 341 Attack defense processing position decision means
Claims (4)
前記パケット管理手段は、
前記防御対象のネットワークに入出力される入出力パケットの統計情報を監視する統計情報監視手段と、
前記統計情報監視手段の監視によって得られたパケット統計情報に基づいて該ネットワークに対する攻撃を検出する攻撃検出手段と、
前記防御対象のネットワークへの入力パケットに入力位置情報を付与するパケット入力位置情報付与手段と、
前記防御対象のネットワークに接続される外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得するパケット入力位置情報取得手段と、
前記パケット統計情報に前記パケット入力位置情報取得手段により取得されたパケット入力位置情報が付加された入力位置情報付きパケット統計情報と、前記攻撃検出手段により検出された攻撃検出情報と、を出力するサーバ通知手段と、
を備え、
前記攻撃防御制御サーバは、
前記サーバ通知手段により出力されたパケット入力位置情報付き統計情報を収集する統計情報収集手段と、
前記統計情報収集手段により収集されたパケット入力位置情報付き統計情報と、前記サーバ通知手段により通知された攻撃検出情報と、前記防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報と、に基づいて攻撃防御処理を実施する位置を決定する攻撃防御処理位置決定手段を含む攻撃防御処理決定手段と、
を備えたことを特徴とするネットワーク攻撃防御システム。 A packet management means for performing a predetermined management process on a packet input to and output from a network to be protected; In the network attack defense system provided,
The packet management means includes
Statistical information monitoring means for monitoring statistical information of input and output packets input to and output from the network to be protected;
Attack detection means for detecting an attack on the network based on packet statistical information obtained by monitoring of the statistical information monitoring means;
Packet input position information giving means for giving input position information to an input packet to the network to be protected;
Packet input position information acquisition means for acquiring input position information attached to a transfer packet transferred to an external network connected to the network to be protected;
A server that outputs packet statistical information with input position information obtained by adding packet input position information acquired by the packet input position information acquisition means to the packet statistical information, and attack detection information detected by the attack detection means Notification means;
With
The attack defense control server
Statistical information collection means for collecting statistical information with packet input position information output by the server notification means;
A network including statistical information with packet input position information collected by the statistical information collection means, attack detection information notified by the server notification means, and a connection configuration and a hierarchical structure of devices connected to the defense target network Attack defense processing determination means including attack defense processing position determination means for determining a position for performing the attack defense processing based on the configuration information;
A network attack defense system characterized by comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005148026A JP2006325091A (en) | 2005-05-20 | 2005-05-20 | Network attach defense system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005148026A JP2006325091A (en) | 2005-05-20 | 2005-05-20 | Network attach defense system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006325091A true JP2006325091A (en) | 2006-11-30 |
Family
ID=37544405
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005148026A Pending JP2006325091A (en) | 2005-05-20 | 2005-05-20 | Network attach defense system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006325091A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013070325A (en) * | 2011-09-26 | 2013-04-18 | Nec Corp | Communication system, communication apparatus, server, and communication method |
JP2013207371A (en) * | 2012-03-27 | 2013-10-07 | Mitsubishi Electric Corp | Packet exchange device and network system |
JP2013250978A (en) * | 2012-05-31 | 2013-12-12 | Korea Electronics Telecommun | Online game packet generation method and device for effective detection of unauthorized user |
-
2005
- 2005-05-20 JP JP2005148026A patent/JP2006325091A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013070325A (en) * | 2011-09-26 | 2013-04-18 | Nec Corp | Communication system, communication apparatus, server, and communication method |
JP2013207371A (en) * | 2012-03-27 | 2013-10-07 | Mitsubishi Electric Corp | Packet exchange device and network system |
JP2013250978A (en) * | 2012-05-31 | 2013-12-12 | Korea Electronics Telecommun | Online game packet generation method and device for effective detection of unauthorized user |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
Papadopoulos et al. | Cossack: Coordinated suppression of simultaneous attacks | |
KR100800370B1 (en) | Network attack signature generation | |
Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
JP2006319982A (en) | Worm-specifying and non-activating method and apparatus in communications network | |
CN112351012A (en) | Network security protection method, device and system | |
Liu et al. | TrustGuard: A flow-level reputation-based DDoS defense system | |
JP2015111770A (en) | System and method for performing realtime reporting of abnormal internet protocol attack | |
Joëlle et al. | Strategies for detecting and mitigating DDoS attacks in SDN: A survey | |
CN112154635A (en) | Attack source tracing in SFC overlay networks | |
JP3652661B2 (en) | Method and apparatus for preventing denial of service attack and computer program therefor | |
KR101118398B1 (en) | Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks | |
Irum et al. | DDoS detection and prevention in internet of things | |
KR100733830B1 (en) | DDoS Detection and Packet Filtering Scheme | |
JP2006325091A (en) | Network attach defense system | |
Hariri et al. | Quality-of-protection (QoP)-an online monitoring and self-protection mechanism | |
JP2004328307A (en) | Attack defense system, attack defense control server, and attack defense method | |
JP2006067078A (en) | Network system and attack defense method | |
JP4641848B2 (en) | Unauthorized access search method and apparatus | |
JP2004248185A (en) | System for protecting network-based distributed denial of service attack and communication device | |
Chen | Aegis: An active-network-powered defense mechanism against ddos attacks | |
Weigert et al. | Community-based analysis of netflow for early detection of security incidents | |
JP2004164107A (en) | Unauthorized access monitoring system | |
AT&T | ||
Alsumayt et al. | Evaluation of detection method to mitigate DoS attacks in MANETs |