JP2006325091A - Network attach defense system - Google Patents

Network attach defense system Download PDF

Info

Publication number
JP2006325091A
JP2006325091A JP2005148026A JP2005148026A JP2006325091A JP 2006325091 A JP2006325091 A JP 2006325091A JP 2005148026 A JP2005148026 A JP 2005148026A JP 2005148026 A JP2005148026 A JP 2005148026A JP 2006325091 A JP2006325091 A JP 2006325091A
Authority
JP
Japan
Prior art keywords
packet
network
attack
position information
input
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005148026A
Other languages
Japanese (ja)
Inventor
Mitsuru Tsuchida
充 土田
Ayumi Numakura
歩 沼倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005148026A priority Critical patent/JP2006325091A/en
Publication of JP2006325091A publication Critical patent/JP2006325091A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To limit oversight of an edge router to which an attack packet is input and to efficiently detect the attack packet in a short period of time against a distribution type DoS attack, etc., on an IP communication network. <P>SOLUTION: In edge routers 2a to 2d having a packet managing function, attack detection information to an IP network 1 of a defense object and packet statistical information with input position information attached to a transfer packet to be transferred to external networks, etc., (4 and 5a to 5d) to be connected to the IP network 1 are transmitted to an attach defense control server 3 on the basis of packet statistical information obtained by monitoring. The attack defense control server 3 determines a position for executing attack defense processing on the basis of statistical information with packet input position information, the attack detection information notified by a server notifying means and network configuration information of the network of the defense object. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ネットワーク攻撃防御システムに関するものであり、特に、IPネットワークにおけるネットワーク攻撃防御システムに関するものである。   The present invention relates to a network attack defense system, and more particularly to a network attack defense system in an IP network.

近年、アクセスネットワーク・コアネットワークの広帯域化、端末装置の高性能化により、インターネットの利用はますます増大している。こうした中で、Webサイトのダウンや各種サーバへの不正侵入を狙った悪意の攻撃が行われる危険性も高まっており、これらの攻撃に対する対策が重要となってきている。従来、こうした攻撃に対する防御策としては、インターネットと接する各個別のローカルエリアネットワーク入り口にファイアウォールを設置してインターネット側からローカルエリアへの不要な侵入を防ぐとともに、外部からのアクセスを許す各種サーバ等に対しては、ファイアウォールと連動する侵入検出システム(IDS:Intrusion Detection System)を設置することにより、ローカルエリアネットワークの入り口で攻撃を食い止めるか、公開しているサーバ自身にIDS機能を実装することによりガードすることが一般的であった。   In recent years, the use of the Internet has been increasing due to the broadband access network and core network and the high performance of terminal devices. Under such circumstances, there is an increased risk of malicious attacks aimed at downing Web sites and unauthorized intrusion into various servers, and countermeasures against these attacks have become important. Conventionally, as a defense against such attacks, a firewall is installed at the entrance of each individual local area network that contacts the Internet to prevent unwanted intrusion from the Internet side into the local area, and to various servers that allow external access. On the other hand, by installing an intrusion detection system (IDS: Intrusion Detection System) that works with a firewall, it is possible to stop attacks at the entrance of a local area network or to guard by implementing an IDS function on the public server itself. It was common to do.

上述したIDSにおいては、一般に、攻撃検出対象のパケット流の攻撃パターンを記述した“シグネチャ”と呼ばれるルールに照らし合わせて攻撃を検出する方法や、パケット流の振る舞いを常時統計監視し、通常と異なる振る舞いを示すと攻撃と見なす方法が用いられる。しかしながら、こうした検出方法では、ネットワークに接続される数多くの端末装置を操作して、一斉に特定のサーバへアクセスさせるいわゆる分散型DoS(Denial of Service)攻撃への対処は困難である。分散DoS攻撃を受けると、被攻撃サーバでのサービス提供が不能になることに加えて、攻撃パケットのトラヒックが負荷となり、ネットワーク全体のパフォーマンスが低下する。このため、攻撃パケットの入力をできる限り上流で遮断することが必要であるが、分散型DoS攻撃においては、攻撃元の特定を難しくするため、しばしば、パケットの送信元アドレスが詐称される。またさらに、今後、ますますIP通信サービスのユーザが増大するにつれ、こうした攻撃に対する防御の知識や経験に乏しいユーザでも安心して使えるセーフティなIP通信サービスが求められるようになる。   In the IDS described above, in general, a method for detecting an attack against a rule called a “signature” that describes an attack pattern of a packet stream targeted for attack detection, and the behavior of a packet stream are always statistically monitored, which is different from normal. If behavior is shown, a method that is regarded as an attack is used. However, with such a detection method, it is difficult to cope with a so-called distributed DoS (Denial of Service) attack in which a large number of terminal devices connected to a network are operated to simultaneously access a specific server. When receiving a distributed DoS attack, in addition to disabling service provision at the attacked server, the traffic of the attack packet becomes a load and the performance of the entire network is degraded. For this reason, it is necessary to block the input of attack packets as much as possible upstream, but in the distributed DoS attack, in order to make it difficult to identify the attack source, the source address of the packet is often spoofed. Furthermore, as the number of users of IP communication services increases in the future, there will be a need for safe IP communication services that can be used with peace of mind even by users who have little knowledge or experience of defense against such attacks.

パケット送信元アドレスを詐称した分散型DoS攻撃に対する防御方法としては、例えば、出力パケットフローに基づいて分散型DoS攻撃を検出したエッジルータから、Hop by Hopに攻撃パケットの入力ルータを逆探索していく方法や、その改良型として通常のパケット転送ネットワークとは別に構築されたオーバーレイネットワーク上を逆探索していく方法(Center Track方式)が開示されている(例えば、非特許文献1)。また、分散DoS攻撃を検出したエッジルータから、攻撃パケットの上流に向かってパケットフィルタリング機能そのものが順次送出され、この順次送出されたパケットフィルタリング機能に基づいて、攻撃防御を行う方法なども開示されている(例えば、特許文献1)。   As a defense method against the distributed DoS attack in which the packet source address is spoofed, for example, an edge router that detects the distributed DoS attack based on the output packet flow is reverse searched for the input router of the attack packet to Hop by Hop. And a method of reverse searching on an overlay network constructed separately from a normal packet transfer network (Center Track method) is disclosed (for example, Non-Patent Document 1). In addition, a packet filtering function itself is sequentially transmitted from an edge router that has detected a distributed DoS attack toward the upstream of the attack packet, and a method for performing attack defense based on the sequentially transmitted packet filtering function is also disclosed. (For example, Patent Document 1).

特開2002−164938号公報JP 2002-164938 A Center Track: An IP Overlay Network for Tracking DoS Floods(NANOG17, October 1999)Center Track: An IP Overlay Network for Tracking DoS Floods (NANOG17, October 1999)

しかしながら、分散型DoS攻撃に対する上記特許文献1などに示される従来の防御方法は、上述のように、攻撃パケットの転送経路を1Hopずつ特定して逆探索していく方法であるため、攻撃パケットの入力箇所を特定するまでに数段階の網内探索が必要であり、結果判定に至るまで時間を要するという問題点があった。   However, since the conventional defense method disclosed in Patent Document 1 and the like against the distributed DoS attack is a method of performing reverse search by specifying the forwarding path of the attack packet by 1 Hop as described above, There is a problem that it takes several steps in the network to identify the input location, and it takes time to determine the result.

また、逆探索する網のトポロジーを簡単化して探索時間を短縮するようなCenterTrack方式を用いた上記非特許文献1などに示される従来の防御方法では、各攻撃パケット送信元から断続的に攻撃パケットが入力されるようなパターンでは、次Hop逆探索処理中に、たまたま攻撃パケット入力が中断すると、入力エッジルータの見落としが発生する可能性があり、攻撃パケットが入力された全てのエッジルータの検出に至れないことがあるという問題点があった。   Further, in the conventional defense method shown in Non-Patent Document 1 or the like using the CenterTrack method that simplifies the topology of the reverse search network and shortens the search time, the attack packet is intermittently transmitted from each attack packet source. If the attack packet input happens to be interrupted during the next Hop reverse search process, the input edge router may be overlooked, and all edge routers that have received the attack packet are detected. There was a problem that sometimes it could not reach.

さらに、攻撃防御サーバにて収集した統計情報と、ネットワーク構成情報に基づく分析を行うような従来手法では、攻撃パケットが入力されているエッジルータを特定するだけでも、多くの統計情報に基づいた分析処理を行う必要があり、入力位置を特定する分析処理の負荷が高くなるという問題点があった。   Furthermore, with conventional methods that perform analysis based on statistical information collected by the attack defense server and network configuration information, analysis based on a large amount of statistical information can be performed simply by identifying the edge router to which the attack packet is input. There is a problem that it is necessary to perform processing, and the load of analysis processing for specifying the input position becomes high.

本発明は、上記に鑑みてなされたものであって、IP通信ネットワーク上の分散型Dos攻撃等において、攻撃パケットが入力されたエッジルータの見落としを局限するとともに、攻撃パケットの検出を効率よく短時間に行うことができるネットワーク攻撃防御システムを実現することを目的とする。   The present invention has been made in view of the above. In a distributed Dos attack or the like on an IP communication network, the present invention limits the oversight of an edge router to which an attack packet has been input, and efficiently shortens the detection of the attack packet. The purpose is to realize a network attack defense system that can be performed in time.

上述した課題を解決し、目的を達成するため、本発明にかかるネットワーク攻撃防御システムは、防御対象のネットワークに入出力されるパケットに対して所定の管理処理を行うパケット管理手段と、該ネットワークに対する攻撃を検知した攻撃検出情報に基づいて所定の防御処理を行う攻撃防御制御サーバと、を具備するネットワーク攻撃防御システムにおいて、前記パケット管理手段は、前記防御対象のネットワークに入出力される入出力パケットの統計情報を監視する統計情報監視手段と、前記統計情報監視手段の監視によって得られたパケット統計情報に基づいて該ネットワークに対する攻撃を検出する攻撃検出手段と、前記防御対象のネットワークへの入力パケットに入力位置情報を付与するパケット入力位置情報付与手段と、前記防御対象のネットワークに接続される外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得するパケット入力位置情報取得手段と、前記パケット統計情報に前記パケット入力位置情報取得手段により取得されたパケット入力位置情報が付加された入力位置情報付きパケット統計情報と、前記攻撃検出手段により検出された攻撃検出情報と、を出力するサーバ通知手段と、を備え、前記攻撃防御制御サーバは、前記サーバ通知手段により出力されたパケット入力位置情報付き統計情報を収集する統計情報収集手段と、前記統計情報収集手段により収集されたパケット入力位置情報付き統計情報と、前記サーバ通知手段により通知された攻撃検出情報と、前記防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報と、に基づいて攻撃防御処理を実施する位置を決定する攻撃防御処理位置決定手段を含む攻撃防御処理決定手段と、を備えたことを特徴とする。   In order to solve the above-described problems and achieve the object, a network attack defense system according to the present invention includes a packet management unit that performs predetermined management processing on packets input to and output from a network to be protected, An attack defense control server that performs predetermined defense processing based on attack detection information that detects an attack, wherein the packet management means is an input / output packet that is input to or output from the defense target network. Statistical information monitoring means for monitoring the statistical information, attack detection means for detecting an attack on the network based on packet statistical information obtained by monitoring of the statistical information monitoring means, and input packets to the network to be protected Packet input position information adding means for adding input position information to the Packet input position information acquisition means for acquiring input position information attached to a transfer packet transferred to an external network connected to the network to be protected, and the packet statistical information acquired by the packet input position information acquisition means Server attack means for outputting packet statistical information with input position information to which packet input position information is added, and attack detection information detected by the attack detection means, and the attack defense control server includes: Statistical information collecting means for collecting statistical information with packet input position information output by the server notification means, statistical information with packet input position information collected by the statistical information collection means, and attacks notified by the server notification means Detection information and connection configuration of devices connected to the network to be protected And the network configuration information including fine hierarchical structure, characterized in that and a attack protection process determining means including an attack protection processing position determination means for determining a position to carry out the attack protection process based on.

本発明にかかるネットワーク攻撃防御システムによれば、入力パケットに入力位置情報が付加された入力位置情報付き統計情報、検出された攻撃検出情報および防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報に基づいて攻撃防御処理を実施する位置を決定するようにしているので、攻撃パケットが入力された箇所の見落としを局限することができるとともに、攻撃パケットの検出を効率よく短時間に行うことができるという効果を奏する。   According to the network attack defense system according to the present invention, statistical information with input position information in which input position information is added to an input packet, detected attack detection information, and connection configuration and hierarchy of devices connected to the network to be protected Since the location where the attack defense processing is performed is determined based on the network configuration information including the structure, it is possible to limit oversight of the location where the attack packet is input, and to efficiently detect the attack packet. There is an effect that it can be performed in time.

以下に、本発明にかかるネットワーク攻撃防御システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。   Embodiments of a network attack defense system according to the present invention will be described below in detail with reference to the drawings. In addition, this invention is not limited by this embodiment.

実施の形態
図1は、通信ネットワーク上に設置された本発明にかかるネットワーク攻撃防御システムの構成を示す説明図である。図1において、所定のIP通信が行われるIPネットワーク1が存在し、このIPネットワーク1にはエッジルータ2a〜2dと、攻撃防御制御サーバ3とが接続されている。また、エッジルータ2a〜2dには、ローカルエリアネットワーク5a〜5dのそれぞれが接続されている。また、ローカルエリアネットワーク5a〜5dには、情報処理端末6a〜6fのそれぞれが収容されている。なお、これらの情報処理端末6a〜6fは、各種アプリケーションにて、サーバとして動作する場合もある。 Embodiment FIG. 1 is an explanatory diagram showing a configuration of a network attack defense system according to the present invention installed on a communication network. In FIG. 1, there is an IP network 1 in which predetermined IP communication is performed. Edge routers 2 a to 2 d and an attack defense control server 3 are connected to the IP network 1. The edge routers 2a to 2d are connected to the local area networks 5a to 5d, respectively. Each of the information processing terminals 6a to 6f is accommodated in the local area networks 5a to 5d. Note that these information processing terminals 6a to 6f may operate as servers in various applications.

なお、この実施の形態では、入力パケットとは防御対象であるIPネットワーク1に入力されるパケットのことを意味し、一方、出力パケットとは防御対象であるIPネットワーク1から出力されるパケットのことを意味するものとする。   In this embodiment, an input packet means a packet that is input to the IP network 1 that is a protection target, while an output packet is a packet that is output from the IP network 1 that is a protection target. Means.

図2は、本発明にかかるパケット管理機能を備えたエッジルータの構成を示す説明図である。同図において、エッジルータ2はパケット管理部20を備え、このパケット管理部20は、入出力パケットの統計情報(以下「パケット統計情報」と呼称)を監視する統計情報監視手段21と、統計情報監視手段21の監視によって得られたパケット統計情報に基づいてIPネットワーク1に対する攻撃を検出する攻撃検出手段22と、IPネットワーク1への入力パケットに入力位置情報を付与する入力位置情報付与手段24と、ネットワーク外部(IPネットワーク1以外のネットワークを意味し、例えば、外部IPネットワーク4や他のローカルエリアネットワークなどが該当)に転送される転送パケットに付与されている入力位置情報を取得する入力位置情報取得手段25と、外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得した後に当該転送パケットに付与されている入力位置情報を削除する入力位置情報削除手段26と、統計情報監視手段21の監視によって得られたパケット統計情報に入力位置情報取得手段25によって取得されたパケット入力位置情報が付加された統計情報(以下「入力位置情報付きパケット統計情報」と呼称)や、攻撃検出手段22によって検出された検出情報(以下「攻撃検出情報」と呼称)などを攻撃防御制御サーバ3へ通知するサーバ通知手段23と、を備えるように構成されている。なお、フィルタリング手段200は、パケットに付与されている情報に基づいて、特定の条件を満たすものだけを通過させる、あるいは破棄するような一般的なルータに具備される機能を備えている。   FIG. 2 is an explanatory diagram showing the configuration of an edge router having a packet management function according to the present invention. In the figure, the edge router 2 includes a packet management unit 20. The packet management unit 20 includes statistical information monitoring means 21 for monitoring statistical information of input / output packets (hereinafter referred to as "packet statistical information"), statistical information. An attack detection unit 22 that detects an attack on the IP network 1 based on packet statistical information obtained by monitoring by the monitoring unit 21; an input position information addition unit 24 that adds input position information to an input packet to the IP network 1; Input position information for acquiring input position information given to a transfer packet transferred outside the network (meaning a network other than the IP network 1, for example, the external IP network 4 or other local area network) To the acquisition means 25 and the transfer packet transferred to the external network. Input position information deleting means 26 for deleting the input position information given to the transfer packet after acquiring the input position information, and the input position information acquiring means in the packet statistical information obtained by the monitoring of the statistical information monitoring means 21 25, the statistical information to which the packet input position information obtained by 25 is added (hereinafter referred to as “packet statistical information with input position information”), and the detection information detected by the attack detection means 22 (hereinafter referred to as “attack detection information”). ) And the like, and server notification means 23 for notifying the attack defense control server 3. The filtering means 200 has a function provided in a general router that allows only those that satisfy a specific condition to pass or discards based on information given to the packet.

なお、上述のパケット統計情報とは、入出力パケットに含まれる宛先アドレス、送信元アドレス、シグネチャなどの一定期間収集された情報を意味している。また、上記で定義した入力位置情報付きパケット統計情報とは、このパケット統計情報に入力位置情報取得手段25によって取得されたパケット入力位置情報が付加された情報を意味している。なお、このパケット入力位置情報は、例えば、IPv4のオプションヘッダやIPv6の拡張ヘッダなどを用いることができる。   Note that the above-described packet statistical information means information collected for a certain period, such as a destination address, a source address, and a signature included in an input / output packet. The packet statistical information with input position information defined above means information obtained by adding the packet input position information acquired by the input position information acquisition means 25 to the packet statistical information. For example, an IPv4 option header or an IPv6 extension header can be used as the packet input position information.

図3は、本発明にかかる攻撃防御制御サーバ3の構成を示す説明図である。同図において、攻撃防御制御サーバ3は、各エッジルータ2に具備されるパケット管理部20から通知された入力位置情報付きパケット統計情報を収集する統計情報収集手段31と、この統計情報収集手段31により収集された入力位置情報付きパケット統計情報を保持するパケット統計情報DB32と、例えば、接続構成や階層構造などのネットワーク構成情報を保持するネットワーク構成情報DB33と、を備えるように構成される。また、パケット統計情報DB32に保持された入力位置情報付きパケット統計情報や、ネットワーク構成情報DB33に保持されたネットワーク構成情報に基づいて、例えば攻撃防御を実施する位置を決定する攻撃防御処理位置決定手段341を含む攻撃防御処理決定手段34を備えるように構成される。   FIG. 3 is an explanatory diagram showing the configuration of the attack defense control server 3 according to the present invention. In the figure, the attack defense control server 3 includes statistical information collection means 31 for collecting packet statistical information with input position information notified from the packet management unit 20 provided in each edge router 2, and statistical information collection means 31. The packet statistical information DB 32 that holds the packet statistical information with the input position information collected by the network configuration information DB 33 that holds the network configuration information such as the connection configuration and the hierarchical structure, for example. Further, based on the packet statistical information with input position information held in the packet statistical information DB 32 and the network configuration information held in the network configuration information DB 33, for example, attack defense processing position determining means for determining a position for performing attack defense. It is comprised so that the attack defense process determination means 34 containing 341 may be provided.

図4は、本発明にかかるネットワーク攻撃防御システム上の動作シーケンスを示す説明図である。以下、図4に示すシーケンス図および図1〜図3の各構成図を参照して、本発明にかかるネットワーク攻撃防御システムの動作について説明する。   FIG. 4 is an explanatory diagram showing an operation sequence on the network attack defense system according to the present invention. The operation of the network attack defense system according to the present invention will be described below with reference to the sequence diagram shown in FIG. 4 and the respective configuration diagrams shown in FIGS.

各エッジルータ2は、自身の統計情報監視手段21によって、例えば、パケット統計情報に含まれる各宛先アドレス、送信元アドレス、パケット入力位置情報が所定周期内に何個受信されたかをカウントするなどしてパケット統計情報を監視する。例えば図4において、エッジルータ2aの攻撃検出手段22は、統計情報監視手段21によって監視された監視情報に基づいて、例えばローカルエリアネットワーク5aに収容される情報処理端末6aに対する攻撃パケット出力(例えばDoS攻撃)を検出した場合(SQ101)、サーバ通知手段23は、攻撃が行われたことを示す攻撃検出情報を攻撃防御制御サーバ3に通知する(SQ102)。なお、当該通知に併せて、攻撃パケットと判断した入力位置情報付き統計情報も通知される。   Each edge router 2 counts how many destination addresses, transmission source addresses, and packet input position information included in the packet statistical information are received within a predetermined period by its statistical information monitoring means 21. To monitor packet statistics. For example, in FIG. 4, the attack detection unit 22 of the edge router 2a outputs an attack packet (for example, DoS) to the information processing terminal 6a accommodated in the local area network 5a based on the monitoring information monitored by the statistical information monitoring unit 21, for example. When detecting (attack) (SQ101), the server notification means 23 notifies the attack defense control server 3 of attack detection information indicating that an attack has been performed (SQ102). In addition to the notification, statistical information with input position information determined to be an attack packet is also notified.

これに対して、攻撃防御制御サーバ3の攻撃防御処理位置決定手段341は、エッジルータ2aから入力位置情報付き統計情報を含む攻撃検出情報が通知されると、この攻撃検出情報と、ネットワーク構成情報DB33に保存されたネットワーク構成情報と、に基づき、攻撃パケットが入力されているエッジルータ2を特定する(SQ103)。そして、攻撃防御処理決定手段34は、この特定した攻撃パケットが入力されたエッジルータ2に対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃防御処理指示の一つである攻撃パケット入力遮断指示を送出する。   On the other hand, when the attack defense processing position determination means 341 of the attack defense control server 3 is notified of attack detection information including statistical information with input position information from the edge router 2a, this attack detection information and network configuration information Based on the network configuration information stored in the DB 33, the edge router 2 to which the attack packet is input is specified (SQ103). Then, the attack defense processing determining means 34 performs the attack defense processing so as to block the input of the attack packet including the destination address and source address information of the attack packet from the edge router 2 to which the identified attack packet is inputted. An attack packet input blocking instruction that is one of the instructions is transmitted.

ここで例えば、単一の攻撃元によるDoS攻撃で、攻撃パケットが入力されているエッジルータはエッジルータ2bであると特定されると、攻撃防御処理決定手段34により、エッジルータ2bに対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃パケット入力遮断指示が送出される(SQ104)。   Here, for example, in a DoS attack by a single attack source, when it is specified that the edge router to which the attack packet is input is the edge router 2b, the attack defense processing determination means 34 performs the following on the edge router 2b: An attack packet input blocking instruction is transmitted so as to block the input of the attack packet including the destination address and source address information of the attack packet (SQ104).

また例えば、複数の攻撃元による分散型DoS攻撃で、攻撃パケットが入力されているエッジルータはエッジルータ2b、2cであると特定されると、攻撃防御処理決定34により、エッジルータ2b、2cに対して、攻撃パケットの宛先アドレスおよび送信元アドレス情報を含む攻撃パケットの入力を遮断するように攻撃パケット入力遮断指示が送出される(SQ104、SQ105)。   Further, for example, when a distributed DoS attack by a plurality of attack sources identifies an edge router to which an attack packet is input as the edge routers 2b and 2c, the attack defense processing decision 34 causes the edge routers 2b and 2c to On the other hand, an attack packet input blocking instruction is sent so as to block the input of the attack packet including the destination address and source address information of the attack packet (SQ104, SQ105).

そして、エッジルータ2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力を遮断するための攻撃パケット入力遮断指示を受け取ったフィルタリング手段200が、この指示により指定された宛先アドレスおよび送信元アドレスに合致する入力パケット、すなわち攻撃パケットの廃棄処理を開始する(SQ106、SQ107)。この処理により、攻撃パケットがIPネットワーク1内に流入されるのを防御することができる。   In the edge routers 2b and 2c, the filtering unit 200 that has received the attack packet input blocking instruction for blocking the input of the attack packet from the attack defense control server 3 sets the destination address and the source address specified by this instruction. The discarding process of the matching input packet, that is, the attack packet is started (SQ106, SQ107). By this processing, attack packets can be prevented from flowing into the IP network 1.

上記の攻撃防御処理の後、エッジルータ2aの攻撃検出手段22は、攻撃パケットの出力が消滅したと判断すると(SQ108)、攻撃防御制御サーバ3に対して、攻撃パケットの出力が消滅したという攻撃消滅情報を通知する(SQ109)。攻撃消滅情報を受信した攻撃防御制御サーバ3は、エッジルータ2b、2cに対して、攻撃パケットの入力遮断を解除するように攻撃パケット入力遮断解除指示を送出する(SQ110、SQ111)。   After the above attack defense processing, when the attack detection means 22 of the edge router 2a determines that the output of the attack packet has disappeared (SQ108), the attack that the attack packet output has disappeared to the attack defense control server 3 The disappearance information is notified (SQ109). Upon receiving the attack extinction information, the attack defense control server 3 sends an attack packet input blocking cancellation instruction to the edge routers 2b and 2c so as to cancel the blocking of the attack packet input (SQ110, SQ111).

すると、エッジルータ2b、2cでは、攻撃防御制御サーバ3から攻撃パケットの入力遮断を解除するための攻撃パケット入力遮断解除指示を受け取ったフィルタリング手段200が、この指示により攻撃パケットの廃棄処理を解除し(SQ112、SQ113)、DoS攻撃が検出される前の状態に戻る。   Then, in the edge routers 2b and 2c, the filtering means 200 that has received the attack packet input blocking cancellation instruction for releasing the attack packet input blocking from the attack defense control server 3 cancels the attack packet discarding process in accordance with this instruction. (SQ112, SQ113), it returns to the state before the DoS attack is detected.

以上のように、本発明にかかるネットワーク攻撃防御システムでは、入力パケットに入力位置情報が付加された入力位置情報付き統計情報に基づいて、攻撃パケットが入力されたエッジルータを特定するようにしているので、例えば出力側でDoS攻撃が検出されたことを契機として、効率よく、かつ攻撃パケットの入力が断続的であったとしても取りこぼすことなく、その攻撃パケットの入力エッジルータを特定することができ、DoS攻撃からIPネットワークを防御することができる。特に、送信元アドレスを詐称した分散型DoS攻撃の場合においても、効率よく、かつ攻撃パケットの入力エッジルータを見落とすことなく検出することができる。   As described above, in the network attack defense system according to the present invention, the edge router to which the attack packet is input is specified based on the statistical information with the input position information in which the input position information is added to the input packet. Therefore, for example, when a DoS attack is detected on the output side, the input edge router of the attack packet can be specified efficiently and without being missed even if the input of the attack packet is intermittent. And can protect the IP network from DoS attacks. In particular, even in the case of a distributed DoS attack in which the source address is spoofed, it can be detected efficiently and without overlooking the input edge router of the attack packet.

また、外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得した後に当該転送パケットに付与されている入力位置情報を削除することで、転送パケットに入力位置情報が付加されているといった情報や、入力位置情報のフォーマット情報などが外部ネットワークに漏洩することがないので、セキュリティ強度を高めることができる。なお、入力位置情報のフォーマットを定期的に変更するようにすれば、セキュリティ強度をさらに高めることができる。   In addition, after acquiring the input position information attached to the transfer packet transferred to the external network, the input position information attached to the transfer packet is deleted, so that the input position information is added to the transfer packet. Such information and the format information of the input position information are not leaked to the external network, so that the security strength can be increased. If the format of the input position information is changed periodically, the security strength can be further increased.

また、各エッジルータの出力パケット統計情報に基づいているため、既知のDoS攻撃だけでなく、未知のDoS攻撃に対しても、柔軟に対応することができる。   Further, since it is based on the output packet statistical information of each edge router, it can flexibly cope with not only a known DoS attack but also an unknown DoS attack.

また、この実施の形態では、エッジルータ2内にパケット管理部20を備えた場合について説明したが、エッジルータ2の入出力パケットを管理できればこれに限られず、エッジルータ2とは別に設けても同様の効果を得ることができる。   Further, in this embodiment, the case where the packet management unit 20 is provided in the edge router 2 has been described. However, the present invention is not limited to this as long as the input / output packets of the edge router 2 can be managed. Similar effects can be obtained.

また、この実施の形態では、エッジルータ2内にパケット管理部20を備えた場合について説明したが、パケットを転送する装置であればこれに限られず、エッジルータ以外のルータや終端装置にパケット管理部20を設けても同様の効果を得ることができる。この場合も、パケット管理部20をルータ等に内蔵しても、別に設けてもよい。   In this embodiment, the case where the packet management unit 20 is provided in the edge router 2 has been described. However, the packet management unit 20 is not limited to this as long as it is a device that transfers packets. Even if the part 20 is provided, the same effect can be obtained. Also in this case, the packet management unit 20 may be built in the router or the like or provided separately.

なお、上述の実施の形態では、防御対象ネットワークとしてIPネットワークを一例として説明したが、IPネットワークに限定されるものではなく、IPネットワーク以外の他のネットワークであっても勿論よい。肝要な点は、自身のネットワークに侵入する攻撃パケットに入力位置情報を付与する点と、入力位置情報が付与された攻撃パケットが自身のネットワークから外部のネットワークに出力される場合に、付与された入力位置情報を削除する点にあり、これらの処理はIPネットワーク以外のネットワークにおいても、容易に実現することができる。   In the above-described embodiment, the IP network is described as an example of the protection target network. However, the network is not limited to the IP network, and may be a network other than the IP network. The important point is that the input location information is given to the attack packet that intrudes into its own network, and it is given when the attack packet with the input location information is output from its own network to the external network This is because the input position information is deleted, and these processes can be easily realized in a network other than the IP network.

以上のように、本発明にかかるネットワーク攻撃防御システムは、例えばDoS攻撃等に対して有用な侵入検出システムであり、特に、分散型DoS攻撃に好適な侵入検出システムである。   As described above, the network attack defense system according to the present invention is an intrusion detection system useful for a DoS attack, for example, and is particularly an intrusion detection system suitable for a distributed DoS attack.

通信ネットワーク上に設置された本発明にかかるネットワーク攻撃防御システムの構成を示す説明図である。It is explanatory drawing which shows the structure of the network attack defense system concerning this invention installed on the communication network. 本発明にかかるパケット管理機能を備えたエッジルータの構成を示す説明図である。It is explanatory drawing which shows the structure of the edge router provided with the packet management function concerning this invention. 本発明にかかる攻撃防御制御サーバの構成を示す説明図である。It is explanatory drawing which shows the structure of the attack defense control server concerning this invention. 本発明にかかるネットワーク攻撃防御システム上の動作シーケンスを示す説明図である。It is explanatory drawing which shows the operation | movement sequence on the network attack defense system concerning this invention.

符号の説明Explanation of symbols

1 IPネットワーク
2a、2b、2c、2d エッジルータ
3 攻撃防御制御サーバ
4 外部IPネットワーク
5a、5b、5c、5d ローカルエリアネットワーク
6a、6b、6c、6d、6e、6f 情報処理端末
20 パケット管理部
21 統計情報監視手段
22 攻撃検出手段
23 サーバ通知手段
24 入力位置情報付与手段
25 入力位置情報取得手段
26 入力位置情報削除手段
31 統計情報収集手段
32 パケット統計情報DB
33 ネットワーク構成情報DB
34 攻撃防御処理決定手段
200 フィルタリング手段
341 攻撃防御処理位置決定手段 DESCRIPTION OF SYMBOLS 1 IP network 2a, 2b, 2c, 2d Edge router 3 Attack defense control server 4 External IP network 5a, 5b, 5c, 5d Local area network 6a, 6b, 6c, 6d, 6e, 6f Information processing terminal 20 Packet management part 21 Statistical information monitoring means 22 Attack detection means 23 Server notification means 24 Input position information addition means 25 Input position information acquisition means 26 Input position information deletion means 31 Statistical information collection means 32 Packet statistical information DB
33 Network configuration information DB
34 Attack defense processing decision means 200 Filtering means 341 Attack defense processing position decision means

Claims (4)

防御対象のネットワークに入出力されるパケットに対して所定の管理処理を行うパケット管理手段と、該ネットワークに対する攻撃を検知した攻撃検出情報に基づいて所定の防御処理を行う攻撃防御制御サーバと、を具備するネットワーク攻撃防御システムにおいて、
前記パケット管理手段は、
前記防御対象のネットワークに入出力される入出力パケットの統計情報を監視する統計情報監視手段と、
前記統計情報監視手段の監視によって得られたパケット統計情報に基づいて該ネットワークに対する攻撃を検出する攻撃検出手段と、
前記防御対象のネットワークへの入力パケットに入力位置情報を付与するパケット入力位置情報付与手段と、
前記防御対象のネットワークに接続される外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得するパケット入力位置情報取得手段と、
前記パケット統計情報に前記パケット入力位置情報取得手段により取得されたパケット入力位置情報が付加された入力位置情報付きパケット統計情報と、前記攻撃検出手段により検出された攻撃検出情報と、を出力するサーバ通知手段と、
を備え、
前記攻撃防御制御サーバは、
前記サーバ通知手段により出力されたパケット入力位置情報付き統計情報を収集する統計情報収集手段と、
前記統計情報収集手段により収集されたパケット入力位置情報付き統計情報と、前記サーバ通知手段により通知された攻撃検出情報と、前記防御対象のネットワークに接続される機器の接続構成および階層構造を含むネットワーク構成情報と、に基づいて攻撃防御処理を実施する位置を決定する攻撃防御処理位置決定手段を含む攻撃防御処理決定手段と、
を備えたことを特徴とするネットワーク攻撃防御システム。 A packet management means for performing a predetermined management process on a packet input to and output from a network to be protected; In the network attack defense system provided,
The packet management means includes
Statistical information monitoring means for monitoring statistical information of input and output packets input to and output from the network to be protected;
Attack detection means for detecting an attack on the network based on packet statistical information obtained by monitoring of the statistical information monitoring means;
Packet input position information giving means for giving input position information to an input packet to the network to be protected;
Packet input position information acquisition means for acquiring input position information attached to a transfer packet transferred to an external network connected to the network to be protected;
A server that outputs packet statistical information with input position information obtained by adding packet input position information acquired by the packet input position information acquisition means to the packet statistical information, and attack detection information detected by the attack detection means Notification means;
With
The attack defense control server
Statistical information collection means for collecting statistical information with packet input position information output by the server notification means;
A network including statistical information with packet input position information collected by the statistical information collection means, attack detection information notified by the server notification means, and a connection configuration and a hierarchical structure of devices connected to the defense target network Attack defense processing determination means including attack defense processing position determination means for determining a position for performing the attack defense processing based on the configuration information;
A network attack defense system characterized by comprising: 前記パケット管理手段は、前記外部ネットワークに転送される転送パケットに付与されている入力位置情報を取得した後に該転送パケットに付与されている入力位置情報を削除する入力位置情報削除手段をさらに備えることを特徴とする請求項1に記載のネットワーク攻撃防御システム。   The packet management means further comprises input position information deleting means for deleting the input position information attached to the transfer packet after obtaining the input position information attached to the transfer packet transferred to the external network. The network attack defense system according to claim 1. 前記パケット入力位置情報付与手段は、前記防御対象のネットワークがIPネットワークであるときに、該ネットワークに入力される入力パケットのオプションヘッダに入力位置情報を付与することを特徴とする請求項1または2に記載のネットワーク攻撃防御システム。   3. The packet input position information adding unit adds input position information to an option header of an input packet input to the network when the network to be protected is an IP network. Network attack defense system described in 1. 前記パケット入力位置情報付与手段は、前記防御対象のネットワークがIPネットワークであるときに、該ネットワークに入力される入力パケットの拡張ヘッダに入力位置情報を付与することを特徴とする請求項1または2に記載のネットワーク攻撃防御システム。   3. The packet input position information adding unit adds input position information to an extension header of an input packet input to the network when the network to be protected is an IP network. Network attack defense system described in 1.
JP2005148026A 2005-05-20 2005-05-20 Network attach defense system Pending JP2006325091A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005148026A JP2006325091A (en) 2005-05-20 2005-05-20 Network attach defense system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005148026A JP2006325091A (en) 2005-05-20 2005-05-20 Network attach defense system

Publications (1)

Publication Number Publication Date
JP2006325091A true JP2006325091A (en) 2006-11-30

Family

ID=37544405

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005148026A Pending JP2006325091A (en) 2005-05-20 2005-05-20 Network attach defense system

Country Status (1)

Country Link
JP (1) JP2006325091A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070325A (en) * 2011-09-26 2013-04-18 Nec Corp Communication system, communication apparatus, server, and communication method
JP2013207371A (en) * 2012-03-27 2013-10-07 Mitsubishi Electric Corp Packet exchange device and network system
JP2013250978A (en) * 2012-05-31 2013-12-12 Korea Electronics Telecommun Online game packet generation method and device for effective detection of unauthorized user

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070325A (en) * 2011-09-26 2013-04-18 Nec Corp Communication system, communication apparatus, server, and communication method
JP2013207371A (en) * 2012-03-27 2013-10-07 Mitsubishi Electric Corp Packet exchange device and network system
JP2013250978A (en) * 2012-05-31 2013-12-12 Korea Electronics Telecommun Online game packet generation method and device for effective detection of unauthorized user

Similar Documents

Publication Publication Date Title
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
Papadopoulos et al. Cossack: Coordinated suppression of simultaneous attacks
KR100800370B1 (en) Network attack signature generation
Ganesh Kumar et al. Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT)
JP2006319982A (en) Worm-specifying and non-activating method and apparatus in communications network
CN112351012A (en) Network security protection method, device and system
Liu et al. TrustGuard: A flow-level reputation-based DDoS defense system
JP2015111770A (en) System and method for performing realtime reporting of abnormal internet protocol attack
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
CN112154635A (en) Attack source tracing in SFC overlay networks
JP3652661B2 (en) Method and apparatus for preventing denial of service attack and computer program therefor
KR101118398B1 (en) Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
Irum et al. DDoS detection and prevention in internet of things
KR100733830B1 (en) DDoS Detection and Packet Filtering Scheme
JP2006325091A (en) Network attach defense system
Hariri et al. Quality-of-protection (QoP)-an online monitoring and self-protection mechanism
JP2004328307A (en) Attack defense system, attack defense control server, and attack defense method
JP2006067078A (en) Network system and attack defense method
JP4641848B2 (en) Unauthorized access search method and apparatus
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
Chen Aegis: An active-network-powered defense mechanism against ddos attacks
Weigert et al. Community-based analysis of netflow for early detection of security incidents
JP2004164107A (en) Unauthorized access monitoring system
AT&T
Alsumayt et al. Evaluation of detection method to mitigate DoS attacks in MANETs