JP6740191B2 - 攻撃対処システム及び攻撃対処方法 - Google Patents
攻撃対処システム及び攻撃対処方法 Download PDFInfo
- Publication number
- JP6740191B2 JP6740191B2 JP2017151747A JP2017151747A JP6740191B2 JP 6740191 B2 JP6740191 B2 JP 6740191B2 JP 2017151747 A JP2017151747 A JP 2017151747A JP 2017151747 A JP2017151747 A JP 2017151747A JP 6740191 B2 JP6740191 B2 JP 6740191B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- possibility
- reflection
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、攻撃対処システム及び攻撃対処方法に関する。
近年、DNS(Domain Name System)、NTP(Network Time Protocol)、SSDP(Simple Service Discovery Protocol)等のプロトコルの特性を利用し、脆弱性があるサーバ等をリフレクターとして特定のサーバ等を攻撃するリフレクション攻撃が増加している(例えば、非特許文献1参照)。
リフレクション攻撃とは、攻撃パケットにおいて、送信元IP(Internet Protocol)アドレスを詐称して攻撃ターゲットとなるサーバ等のIPアドレスを設定し、宛先IPアドレスにリフレクター(例えば、DNSサーバ)のIPアドレスを設定して、攻撃元ネットワークに含まれるボット等を制御して攻撃を行うというものである。
リフレクション攻撃に対して、攻撃ターゲットが含まれる被害者ネットワーク側で取り得る対策としては、攻撃ターゲットへ宛てたDNSやNTPのアクセス制御や、FW(Fire Wall)導入を実施することが考えられる。しかし、被害者ネットワーク側で対処を行うことは、装置の性能限界があるので、リフレクターが含まれる収容ネットワーク側で対処することが望ましい。装置の性能限界は、例えば、セキュリティ対策が脆弱なIoTデバイスの増加が一要因である。
そこで、収容ネットワーク側のFW等において、例えば、特定IPアドレスに対するDNSやNTP等のパケット量が閾値を超えた場合に、リフレクション攻撃を検知する方式(振る舞い検知技術)が提案されている(例えば、非特許文献2参照)。
"リフレクション攻撃の増加でDDoS攻撃が大規模化"、さくらインターネット株式会社、[online]、[平成29年7月24日検索]、インターネット<http://knowledge.sakura.ad.jp/cyber-security/6348/>
"FortiDDoS DDoS攻撃ミティゲーション(減災)アプライアンス"、Fortinet社、[online]、[平成29年7月24日検索]、インターネット<URL:http://www.fortinet.co.jp/doc/FortiDDoS_DS.pdf>
しかしながら、上述の従来技術では、例えば、特定IPアドレスからの通信量又は特定IPアドレスへの通信量が閾値を超えた場合がリフレクション攻撃によるものである、という推測に基づく。よって、リフレクション攻撃を検知した際であっても、正常通信も含む可能性があるので、収容ネットワーク側では、リフレクション攻撃の的確な検知判定が困難である。そのため、被害者ネットワーク側からすると、攻撃元ネットワークが確定できないため、検知したリフレクション攻撃に対して的確に対処できないという問題がある。
本願が開示する実施形態の一例は、上述に鑑みてなされたものであって、リフレクション攻撃に対して的確に対処できる攻撃対処システム及び攻撃対処方法を提供することを目的とする。
本願の実施形態の一例において、攻撃対処システムは、第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する。前記攻撃対処装置は、攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成部と、前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信部と、前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信部と、前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示部とを備えた。また、前記攻撃検証装置は、前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信部と、前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証部と、前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信部とを備えた。
本願の実施形態の一例によれば、例えば、リフレクション攻撃に的確に対処できる。
以下、本願に係る攻撃対処システム及び攻撃対処方法の実施形態を説明する。なお、以下の実施形態は、一例を示すに過ぎず、本願を限定するものではない。以下の実施形態において、既出の同一構成及び同一処理については、説明を省略する。
なお、以下の実施形態で示すFW(Fire Wall)、サーバ、ルータ、ネットワークカメラ等は、ネットワーク装置の例を示すに過ぎない。
[実施形態]
(実施形態に係る通信システム)
図1は、実施形態に係る通信システムの構成の一例を示す図である。図1に示すように、通信システム1は、例えばNGN(Next Generation Network)である。通信システム1は、収容NW(NetWork)_N1、NW_A_N2、NW_B_N3を有する。通信システム1は、例えばBGP(Border Gateway Protocol)準拠のネットワークである。
(実施形態に係る通信システム)
図1は、実施形態に係る通信システムの構成の一例を示す図である。図1に示すように、通信システム1は、例えばNGN(Next Generation Network)である。通信システム1は、収容NW(NetWork)_N1、NW_A_N2、NW_B_N3を有する。通信システム1は、例えばBGP(Border Gateway Protocol)準拠のネットワークである。
収容NW_N1は、外部ネットワークからアクセス可能なネットワークの一例である。収容NW_N1は、攻撃対処装置10、セキュリティ装置30A、ルータR1−1,R1−2,R1−3を有する。セキュリティ装置30Aは、例えば統合セキュリティアプライアンス装置である。セキュリティ装置30Aは、攻撃対処装置10、ルータR1−1〜R1−3それぞれと接続されている。攻撃対処装置10は、IRR(Internet Routing Registry)40と接続されている。攻撃対処装置10は、後述のNW_B_N3が有する攻撃検証装置20と接続されている。攻撃対処装置10の詳細については、後述する。
ルータR1−1には、ネットワークカメラC1、サーバS1−1,S1−2が接続されている。同様に、ルータR1−2には、ネットワークカメラC2、サーバS2−1,S2−2が接続され、ルータR1−3には、ネットワークカメラC3、サーバS3−1,S3−2が接続されている。サーバS1−1〜S3−2は、例えばオープンリゾルバである。
NW_A_N1は、リフレクション攻撃を行う攻撃元ネットワークの一例である。NW_A_N2は、サーバS2を有する。サーバS2は、後述のNW_B_N3が有するサーバS3のIP(Internet Protocol)アドレスを詐称してサーバS3を攻撃する攻撃サーバの一例であり、例えばボットである。
NW_B_N3は、リフレクション攻撃を受ける被害者ネットワークの一例である。NW_B_N2は、攻撃検証装置20、セキュリティ装置30B、サーバS3を有する。セキュリティ装置30Bは、例えば統合セキュリティアプライアンス装置である。サーバS3は、リフレクション攻撃を受ける攻撃対象サーバの一例であり、IPアドレスが、例えばIPアドレスAである。攻撃検証装置20は、収容NW_N1が有する攻撃対処装置10と接続されている。攻撃検証装置20の詳細については、後述する。
例えば、攻撃元サーバであるサーバS2は、攻撃対象サーバであるサーバS3のIPアドレスAを送信元アドレスとして詐称したDNS(Domain Name System)(問合わせ)の攻撃パケットを、ネットワークカメラC1、サーバS1−1,S1−2へ送信する。攻撃パケットは、収容NW_N1のセキュリティ装置30A及びルータR1−1を経由してネットワークカメラC1、サーバS1−1,S1−2へ到達する。
そして、例えば、DNS(問合わせ)の攻撃パケットを受信したネットワークカメラC1、サーバS1−1,S1−2は、真正なIPアドレスAのサーバS3へ、攻撃パケットに対するDNS(応答)の応答パケットを送信する。応答パケットは、収容NW_N1のセキュリティ装置30A及びNW_B_N3のセキュリティ装置30Bを経由して、サーバS3へ到達する。
すなわち、攻撃サーバであるサーバS2は、攻撃対象サーバであるサーバS3のIPアドレスを詐称して、収容NW_N1に収容されたネットワークカメラC1〜C3、サーバS1−1〜S3−2等に対して所定の通信プロトコルの問合わせを行い、IPアドレスが詐称された攻撃対象サーバであるサーバS3へ問合わせに対する応答が送信されるようにする。ネットワークカメラC1〜C3、サーバS1−1〜S3−2等は、IPアドレスが詐称された問合わせに対して真正なIPアドレスのサーバS3へ応答を返すことから、リフレクターと呼ばれる。ここで、所定の通信プロトコルとは、NTP、SSDP、CHARGEN等の、問合わせクエリ(通信)に対して応答クエリ(通信)が発生する片方向通信の通信プロトコルである。
(実施形態に係る攻撃対処システム)
図2は、実施形態に係る攻撃対処システムの構成の一例を示すブロック図である。実施形態に係る攻撃対処システム100は、収容NW_N1に含まれる攻撃対処装置10及びNW_B_N3に含まれる攻撃検証装置20を有する。攻撃対処装置10及び攻撃検証装置20は、相互通信可能に接続されている。攻撃対処装置10は、IRR40と接続されている。また、攻撃対処装置10は、セキュリティ装置30Aと接続されている。また、攻撃検証装置20は、セキュリティ装置30Bと接続されている。
図2は、実施形態に係る攻撃対処システムの構成の一例を示すブロック図である。実施形態に係る攻撃対処システム100は、収容NW_N1に含まれる攻撃対処装置10及びNW_B_N3に含まれる攻撃検証装置20を有する。攻撃対処装置10及び攻撃検証装置20は、相互通信可能に接続されている。攻撃対処装置10は、IRR40と接続されている。また、攻撃対処装置10は、セキュリティ装置30Aと接続されている。また、攻撃検証装置20は、セキュリティ装置30Bと接続されている。
セキュリティ装置30Aは、リフレクション攻撃の監視を行い、リフレクション攻撃を検知する。セキュリティ装置30Aは、攻撃検知装置の一例である。セキュリティ装置30Aは、検知したリフレクション攻撃に関する情報として、攻撃種別、送信元IPアドレス、宛先IPアドレスを含む検知情報を出力する。ここで、攻撃種別は、DNSamp、NTP(Network Time Protocol)amp等のリフレクション攻撃の種別を示す情報である。送信元IPアドレスは、収容NW_N1におけるリフレクターのIPアドレスである。宛先IPアドレスは、NW_B_N3に含まれる攻撃対象サーバであるサーバS3のIPアドレスである。以下、リフレクターのIPアドレスを、例えば“IPアドレスB”とする。
攻撃対処装置10は、ログ取得部11、判断部12、宛先解決部13、脅威情報送信部14、脅威情報受信部15、制御指示部16を有する。攻撃検証装置20は、脅威情報受信部21、ログ取得部22、攻撃検証部23、脅威情報送信部24を有する。
ログ取得部11は、セキュリティ装置30Aが出力する検知情報51をSyslog等により取得する。図3は、実施形態における検知情報の一例を示す図である。判断部12は、宛先解決部13へ、宛先解決指示を出力する。宛先解決部13は、判断部12からの指示により、セキュリティ装置30Aが出力した検知情報51に含まれる宛先IPアドレスを元にIRR40に問合わせを行い、AS(Autonomous System)番号を取得する。そして、宛先解決部13は、取得したAS番号を判断部12へ通知する。これにより、判断部12は、検知情報51に含まれる宛先IPアドレスに該当するNW_B_N3のNWアドレスを認識する。
そして、判断部12は、収容NW_N1がNW_B_N3に対してリフレクション攻撃の攻撃パケットを送信している可能性があることを示す攻撃可能性情報52を生成し、生成した攻撃可能性情報52を、脅威情報送信部14を介して、NW_B_N3の攻撃検証装置20へ送信する。図4は、実施形態における攻撃可能性情報の一例を示す図である。
具体的には、判断部12は、脅威情報送信部24を介して、例えばBGPコミュニティ通知を利用し、攻撃可能性情報52を、攻撃検証装置20へ送信する。BGPコミュニティ通知は、BGPの経路情報のUpdataの一部である。攻撃可能性情報52は、送信元AS番号、宛先AS番号、送信元IPアドレスセグメント、宛先IPアドレス、攻撃種別、BGPコミュニティ属性を含む。判断部12は、攻撃可能性情報52を生成する可能性情報生成部の一例である。
ここで、BGPコミュニティ属性は、BGPのネットワークにおける経路情報を操作するための属性値であり、本実施形態では、“no−export”(他のASに経路情報を転送しない)がセットされる。
攻撃検証装置20側では、脅威情報受信部21が、攻撃対処装置10から送信された攻撃可能性情報52を受信する。脅威情報受信部21は、攻撃可能性情報52を受信すると、ログ取得部22に対して、セキュリティ装置30Bが記録する監視ログをSyslog等で取得するよう指示する。ログ取得部22は、脅威情報受信部21からの指示に応じて、セキュリティ装置30Bが記録する監視ログをSyslog等で取得する。
そして、攻撃検証部23は、脅威情報受信部21が受信した攻撃可能性情報52と、ログ取得部22が取得した監視ログとを参照し、収容NW_N1側からのパケット送信がリフレクション攻撃であるか否かを判定する攻撃検証を実行する。具体的には、攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別の通信プロトコルを使って収容NW_N1側へ過去に通信したことがあるか否かについて監視ログを調査する。
攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別と同一の通信プロトコルを使って収容NW_N1側へ過去に通信した記録が監視ログに記録されている場合には、攻撃可能性情報52はリフレクション攻撃を示していない(リフレクション攻撃未確定)と判定する。一方、攻撃検証部23は、攻撃対象サーバの可能性があるサーバS3が、攻撃可能性情報52に含まれる攻撃種別と同一の通信プロトコルを使って収容NW_N1側へ過去に通信した記録が監視ログに記録されていない場合には、攻撃可能性情報52はリフレクション攻撃を示している(リフレクション攻撃確定)と判定する。つまり、攻撃検証部23は、攻撃可能性情報52に基づきリフレクション攻撃確定か否かを判定する。
そして、攻撃検証部23は、リフレクション攻撃確定か否かを示す攻撃可能性判定結果情報53を生成し、生成した攻撃可能性判定結果情報53を、脅威情報送信部24を介して、攻撃対処装置10へ送信する。図5は、実施形態における攻撃可能性判定結果情報の一例を示す図である。
具体的には、攻撃検証部23は、脅威情報送信部24を介して、例えばBGPコミュニティ通知を利用し、攻撃可能性判定結果情報53を、攻撃対処装置10へ送信する。攻撃可能性判定結果情報53は、送信元AS番号、宛先AS番号、判定結果を含む。なお、攻撃可能性判定結果情報53において、送信元AS番号は、対応する攻撃可能性情報52における宛先AS番号と同一であり、宛先AS番号は、対応する攻撃可能性情報52における送信元AS番号と同一である。また、判定結果は、攻撃検証部23が攻撃可能性情報52に基づきリフレクション攻撃確定か否かを判定した結果であり、リフレクション攻撃確定又はリフレクション攻撃未確定のいずれかである。
図6は、実施形態において攻撃検証のために監視ログを確認する通信条件のプロトコルの一例であるDNSプロトコルを示す図である。例えば、攻撃種別がDNSampである場合、送信元IPアドレスは収容NW_N1のいずれかのIPアドレスであり、攻撃種別の通信プロトコルはDNSであり、監視ログを調査する対象の過去の通信内容はDNSクエリである。このように、監視ログに、DNSクエリの通信内容が記録されている場合には攻撃可能性情報52に基づきリフレクション攻撃未確定と判定され、DNSクエリの通信内容が記録されていない場合には攻撃可能性情報52に基づきリフレクション攻撃確定と判定できるのは、DNSが片方向通信であるUDP(User Datagram Protocol)であり、問合わせ通信を前提として応答通信が発生するためである。NTP、SSDP、CHARGEN等も、DNSと同様である。
脅威情報受信部15は、攻撃検証装置20から攻撃可能性判定結果情報53を受信する。判断部12は、脅威情報受信部15が攻撃検証装置20から受信した攻撃可能性判定結果情報53を元に、制御指示部16を制御して、セキュリティ装置30Aに対して、攻撃可能性判定結果情報53に含まれる判定結果に応じて、送信元IPアドレスがNW_B_N3のサーバS3のIPアドレスAである通信を遮断又は許可する。遮断とは、例えば、パケットのドロップである。なお、遮断されるNW_B_N3のサーバS3のIPアドレスAは、NW_A_N2に含まれるサーバS2により詐称されたIPアドレスである。
(実施形態に係るリフレクション攻撃対処処理)
図7は、実施形態に係るリフレクション攻撃対処処理の一例を示すシーケンス図である。先ず、ステップS11では、セキュリティ装置30Aは、リフレクション攻撃を検知する。検知情報51は、例えば、攻撃種別:DNSamp、送信元IPアドレス:IPアドレスB、宛先IPアドレス:IPアドレスAである。なお、この段階では、セキュリティ装置30Aにより検知されたリフレクション攻撃は、リフレクション攻撃であるか否かは、未確定である。
図7は、実施形態に係るリフレクション攻撃対処処理の一例を示すシーケンス図である。先ず、ステップS11では、セキュリティ装置30Aは、リフレクション攻撃を検知する。検知情報51は、例えば、攻撃種別:DNSamp、送信元IPアドレス:IPアドレスB、宛先IPアドレス:IPアドレスAである。なお、この段階では、セキュリティ装置30Aにより検知されたリフレクション攻撃は、リフレクション攻撃であるか否かは、未確定である。
次に、ステップS12では、セキュリティ装置30Aは、攻撃対処装置10のSyslog等により取得し、攻撃対処装置10へ検知情報51を送信する。ステップS13では、攻撃対処装置10は、セキュリティ装置30Aから検知情報51を受信する。
次に、ステップS14では、攻撃対処装置10は、ステップS13で受信した検知情報51に含まれる宛先IPアドレスを、IRR40へ送信する。ステップS15では、IRR40は、検知情報51に含まれる宛先IPアドレスを受信する。ステップS16では、ステップS15で受信した宛先IPアドレスから宛先AS番号を取得する。ステップS17では、IRR40は、ステップS16で取得した宛先AS番号を、攻撃対処装置10へ送信する。
次に、ステップS18では、攻撃対処装置10は、IRR40から宛先AS番号を受信する。例えば、攻撃対処装置10は、検知情報51の宛先IPアドレス:IPアドレスAから宛先AS番号:1000を取得する。
ステップS19では、攻撃対処装置10は、ステップS13で受信した検知情報51にステップS18で取得した宛先AS番号及び自装置が含まれる収容NW_N1のAS番号を送信元AS番号として含む攻撃可能性情報52を、BGPコミュニティ通知を利用して、NW_B_N2に含まれる攻撃検証装置20へ送信する。攻撃可能性情報52は、例えば、送信元AS番号:100、宛先AS番号:1000、送信元IPアドレスセグメント:IPアドレスB、宛先IPアドレス:IPアドレスA、攻撃種別DNSamp、BGPコミュニティ属性:no−exportである。
次に、ステップS20では、攻撃検証装置20は、攻撃対処装置10から攻撃可能性情報52を受信する。ステップS21では、攻撃検証装置20は、セキュリティ装置30Bへ、NW_B_N2と外部との通信履歴を含む監視ログを取得する監視ログ要求を送信する。ステップS22では、セキュリティ装置30Bは、攻撃検証装置20から監視ログ要求を受信する。ステップS23では、セキュリティ装置30Bは、ステップS23で監視ログ要求を受信したことに応じて、攻撃検証装置20へ監視ログを送信する。攻撃検証装置20により収集される監視ログは、例えば、送信元IPアドレス:IPアドレスA、宛先IPアドレス:収容NW_N1のいずれかのIPアドレス、通信プロトコル:DNSに該当する監視ログである。
次に、ステップS24では、攻撃検証装置20は、セキュリティ装置30Bから監視ログを受信する。ステップS25では、攻撃検証装置20は、ステップS24で受信した監視ログに、所定の通信条件に合致する通信履歴が存在するか否かを判定する攻撃検証処理を行う。所定の通信条件は、例えば、送信元IPアドレス:IPアドレスA、宛先IPアドレス:IPアドレスB又は宛先AS番号:100、通信プロトコル:DNS(問合わせ)である。
そして、攻撃検証装置20は、所定の通信条件に合致する通信履歴が監視ログに含まれる場合にはリフレクション攻撃未確定と判定し、所定の通信条件に合致する通信履歴が監視ログに含まれない場合にはリフレクション攻撃確定と判定する。
次に、ステップS26では、攻撃検証装置20は、ステップS25の攻撃検証処理による判定結果を含む攻撃可能性判定結果情報53を、BGPコミュニティ通知を利用して、攻撃対処装置10へ送信する。攻撃可能性判定結果情報53は、例えば、送信元AS番号:100、宛先AS番号:1000、判定結果:リフレクション攻撃確定である。
次に、ステップS27では、攻撃対処装置10は、攻撃検証装置20から攻撃可能性判定結果情報53を受信する。ステップS28では、攻撃対処装置10は、ステップS27で受信した攻撃可能性判定結果情報53において、判定結果がリフレクション攻撃確定であるか否かを判定する。ステップS29では、攻撃対処装置10は、ステップS28での判定結果がリフレクション攻撃確定である場合に、セキュリティ装置30Aに対して、ステップS11で検知した攻撃に係る検知情報に含まれる攻撃種別と同一の通信プロトコルであって、同検知情報に含まれる宛先IPアドレスを送信元IPアドレスとするパケットを遮断する攻撃対処指示を送信する。攻撃対処指示は、例えば、送信元IPアドレス:IPアドレスA、通信プロトコル:DNS(問合わせ)、対処:遮断である。
次に、ステップS30では、セキュリティ装置30Aは、攻撃対処装置10から攻撃対処指示を受信する。ステップS31では、セキュリティ装置30Aは、攻撃対処装置10から受信した攻撃対処指示に応じて、パケットを遮断する制御を行う。
実施形態によれば、収容NW_N1及びNW_B_N3の網間連携により、被害者ネットワークであるNW_B_N2側では把握不可能なリフレクション攻撃に対する最適な対処箇所の特定を容易かつ的確に行うことができる。また、実施形態によれば、ネットワーク装置に実装されるプロトコルレベルで、リフレクション攻撃に対する最適な対処箇所の特定を自動的に行うことができる。また、実施形態によれば、転送機能を有するネットワーク装置が持つ既存機能に拡張を加えることにより、リフレクション攻撃に対する最適な対処箇所の特定を容易かつ的確に行うことができる。
[実施形態の変形例]
(AS番号の取得について)
上述の実施形態では、攻撃対処装置10の宛先解決部13は、IRR40からAS番号を取得するとした。しかし、これに限られず、宛先解決部13は、WhoisプロトコルやCRISP(Cross Registry Information Service Protocol)、その他のプロトコルに基づいてAS番号を取得するとしてもよい。
(AS番号の取得について)
上述の実施形態では、攻撃対処装置10の宛先解決部13は、IRR40からAS番号を取得するとした。しかし、これに限られず、宛先解決部13は、WhoisプロトコルやCRISP(Cross Registry Information Service Protocol)、その他のプロトコルに基づいてAS番号を取得するとしてもよい。
(攻撃可能性情報及び攻撃可能性判定結果情報の送受信について)
上述の実施形態では、攻撃対処装置10は、攻撃検証装置20へ、BGPを用いて攻撃可能性情報52を送信するとした。また、攻撃検証装置20は、攻撃対処装置10へ、BGPを用いて攻撃可能性判定結果情報53を送信するとした。しかし、攻撃可能性情報52又は攻撃可能性判定結果情報53の送受信は、BGPを用いることに限られるものではない。
上述の実施形態では、攻撃対処装置10は、攻撃検証装置20へ、BGPを用いて攻撃可能性情報52を送信するとした。また、攻撃検証装置20は、攻撃対処装置10へ、BGPを用いて攻撃可能性判定結果情報53を送信するとした。しかし、攻撃可能性情報52又は攻撃可能性判定結果情報53の送受信は、BGPを用いることに限られるものではない。
(セキュリティ装置について)
上述の実施形態では、セキュリティ装置30A,30Bは、統合セキュリティアプライアンス装置であるとした。しかし、これに限られず、セキュリティ装置30A及びセキュリティ装置30Bの少なくとも一方又は両方が、他の装置、例えばFWが実装されたルータ等であってもよい。
上述の実施形態では、セキュリティ装置30A,30Bは、統合セキュリティアプライアンス装置であるとした。しかし、これに限られず、セキュリティ装置30A及びセキュリティ装置30Bの少なくとも一方又は両方が、他の装置、例えばFWが実装されたルータ等であってもよい。
(攻撃対処装置及び攻撃検証装置の装置構成について)
図2に示す攻撃対処装置10及び攻撃検証装置20の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、攻撃対処装置10及び攻撃検証装置20の機能の分散及び統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
図2に示す攻撃対処装置10及び攻撃検証装置20の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、攻撃対処装置10及び攻撃検証装置20の機能の分散及び統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
また、攻撃対処装置10及び攻撃検証装置20は、それぞれの構成要素を全て備え、同一名称の構成要素の重複を省いた1つの攻撃対処検証装置として提供されてもよい。例えば、攻撃対処検証装置は、ログ取得部11(ログ取得部22)、判断部12、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)、制御指示部16、攻撃検証部23を備える。
そして、攻撃対処検証装置は、攻撃対処装置10として機能する場合には、ログ取得部11(ログ取得部22)、判断部12、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)、制御指示部16の機能が有効とされる。また、攻撃対処検証装置は、攻撃検証装置20として機能する場合には、ログ取得部11(ログ取得部22)、宛先解決部13、脅威情報送信部14(脅威情報送信部24)、脅威情報受信部15(脅威情報受信部21)の機能が有効となる。
なお、攻撃対処検証装置においても、機能の全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
また、実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。もしくは、実施形態において説明した各処理のうち、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
(プログラムについて)
図8は、プログラムが実行されることにより、攻撃対処装置及び攻撃検証装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。
図8は、プログラムが実行されることにより、攻撃対処装置及び攻撃検証装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、攻撃対処装置10及び攻撃検証装置20の各処理を規定する各プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、例えばハードディスクドライブ1031に記憶される。例えば、攻撃対処装置10における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。また、攻撃検証装置20における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、実施形態での各処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093やプログラムデータ1094は、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上の実施形態は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
10 攻撃対処装置
11 ログ取得部
12 判断部
13 宛先解決部
14 脅威情報送信部
15 脅威情報受信部
16 制御指示部
20 攻撃検証装置
21 脅威情報受信部
22 ログ取得部
23 攻撃検証部
24 脅威情報送信部
30A,30B セキュリティ装置
51 検知情報
52 攻撃可能性情報
53 攻撃可能性判定結果情報
100 攻撃対処システム
1000 コンピュータ
1010 メモリ
1030 ハードディスクドライブインタフェース
1090 ハードディスクドライブ
1040 ディスクドライブインタフェース
1100 ディスクドライブ
1050 シリアルポートインタフェース
1110 マウス
1120 キーボード
1060 ビデオアダプタ
1130 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1091 OS
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ
11 ログ取得部
12 判断部
13 宛先解決部
14 脅威情報送信部
15 脅威情報受信部
16 制御指示部
20 攻撃検証装置
21 脅威情報受信部
22 ログ取得部
23 攻撃検証部
24 脅威情報送信部
30A,30B セキュリティ装置
51 検知情報
52 攻撃可能性情報
53 攻撃可能性判定結果情報
100 攻撃対処システム
1000 コンピュータ
1010 メモリ
1030 ハードディスクドライブインタフェース
1090 ハードディスクドライブ
1040 ディスクドライブインタフェース
1100 ディスクドライブ
1050 シリアルポートインタフェース
1110 マウス
1120 キーボード
1060 ビデオアダプタ
1130 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1091 OS
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ
Claims (4)
- 第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する攻撃対処システムであって、
前記攻撃対処装置は、
攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成部と、
前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信部と、
前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信部と、
前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示部と
を備え、
前記攻撃検証装置は、
前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信部と、
前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証部と、
前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信部と
を備えた
ことを特徴とする攻撃対処システム。 - 前記攻撃可能性情報及び前記攻撃可能性判定結果情報の少なくとも一方又は両方が、BGP(Border Gateway Protocol)を用いて送受信される
ことを特徴とする請求項1に記載の攻撃対処システム。 - 前記攻撃検知装置及び前記通信監視装置の少なくとも一方又は両方が、統合セキュリティアプライアンス装置である
ことを特徴とする請求項1又は2に記載の攻撃対処システム。 - 第1のネットワークに含まれる攻撃対処装置及び第2のネットワークに含まれる攻撃検証装置を有する攻撃対処システムにおいて実行される攻撃対処方法であって、
前記攻撃対処装置が実行する、
攻撃検知装置により検知された前記第2のネットワークへのリフレクション攻撃の検知情報から、特定プロトコルによる前記リフレクション攻撃の可能性を示す攻撃可能性情報を生成する可能性情報生成工程と、
前記攻撃可能性情報を前記攻撃検証装置へ送信する可能性情報送信工程と、
前記攻撃検証装置から、前記攻撃可能性情報が示す前記リフレクション攻撃に対して対処を要するか否かを示す攻撃可能性判定結果情報を受信する判定結果情報受信工程と、
前記攻撃可能性判定結果情報が示す前記リフレクション攻撃が確定である場合に、前記検知情報に係る前記リフレクション攻撃の送信元アドレスからの前記特定プロトコルによる通信を遮断するよう前記攻撃検知装置に対して指示する指示工程と
を含み、
前記攻撃検証装置が実行する、
前記攻撃対処装置から前記攻撃可能性情報を受信する可能性情報受信工程と、
前記第2のネットワークにおける通信を監視する通信監視装置から取得した監視ログに、前記送信元アドレスから前記第1のネットワークへの通信履歴が存在するか否かを判定し、存在する場合に、前記リフレクション攻撃が確定でないとし、存在しない場合に、前記リフレクション攻撃が確定であるとする前記攻撃可能性判定結果情報を生成する攻撃検証工程と、
前記攻撃可能性判定結果情報を前記攻撃対処装置へ送信する判定結果情報送信工程と
を含んだ
ことを特徴とする攻撃対処方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017151747A JP6740191B2 (ja) | 2017-08-04 | 2017-08-04 | 攻撃対処システム及び攻撃対処方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017151747A JP6740191B2 (ja) | 2017-08-04 | 2017-08-04 | 攻撃対処システム及び攻撃対処方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019033320A JP2019033320A (ja) | 2019-02-28 |
| JP6740191B2 true JP6740191B2 (ja) | 2020-08-12 |
Family
ID=65523684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017151747A Active JP6740191B2 (ja) | 2017-08-04 | 2017-08-04 | 攻撃対処システム及び攻撃対処方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6740191B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143085B (zh) * | 2021-11-30 | 2023-08-01 | 中国人民解放军国防科技大学 | 一种基于自编码器的bgp团体属性异常检测方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3889701B2 (ja) * | 2002-12-19 | 2007-03-07 | 横河電機株式会社 | パケット経路追跡システム |
| US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
| JP2007288246A (ja) * | 2006-04-12 | 2007-11-01 | Yokogawa Electric Corp | 攻撃検出装置 |
| JP2008028720A (ja) * | 2006-07-21 | 2008-02-07 | Hitachi Ltd | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 |
| JP6106861B1 (ja) * | 2015-12-24 | 2017-04-05 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
-
2017
- 2017-08-04 JP JP2017151747A patent/JP6740191B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019033320A (ja) | 2019-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10721243B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US8904524B1 (en) | Detection of fast flux networks | |
| US8869268B1 (en) | Method and apparatus for disrupting the command and control infrastructure of hostile programs | |
| US10652211B2 (en) | Control device, border router, control method, and control program | |
| JP2021507375A (ja) | コンテキストリスク監視 | |
| US20100138921A1 (en) | Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network | |
| EP3110103A1 (en) | Systems and methods for automatically mitigating denial of service attacks | |
| JP2018508166A (ja) | アクセス要求を規制するシステムおよび方法 | |
| Seo et al. | A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems | |
| Arevalo-Herrera et al. | Assessing SDN Controller Vulnerabilities: A Survey on Attack Typologies, Detection Mechanisms, Controller Selection, and Dataset Application in Machine Learning | |
| JP6740191B2 (ja) | 攻撃対処システム及び攻撃対処方法 | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| KR101075234B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 컨텐츠 제공 서버 | |
| KR101812732B1 (ko) | 보안 장치 및 이의 동작 방법 | |
| Zeitlin | Fingerprinting software defined networks and controllers | |
| US20050289245A1 (en) | Restricting virus access to a network | |
| KR101490227B1 (ko) | 트래픽 제어 방법 및 장치 | |
| KR101290036B1 (ko) | 동적 공격에 대한 네트워크 보안 장치 및 방법 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
| KR102695124B1 (ko) | 사물인터넷 환경에서의 게이트웨이 기반 사물봇 탐지 방법 및 장치 | |
| CN116865983A (zh) | 攻击检测方法和网络安全装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190823 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200625 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200722 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6740191 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |