特許 5752021 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5752021

(24)【登録日】2015年5月29日

(45)【発行日】2015年7月22日

(54)【発明の名称】攻撃対策装置、攻撃対策方法及び攻撃対策プログラム

(51)【国際特許分類】

   H04L 12/66 20060101AFI20150702BHJP

【ＦＩ】

   H04L12/66 B

【請求項の数】8

【全頁数】14

(21)【出願番号】特願2011-267243(P2011-267243)

(22)【出願日】2011年12月6日

(65)【公開番号】特開2013-121009(P2013-121009A)

(43)【公開日】2013年6月17日

【審査請求日】2014年7月25日

【国等の委託研究の成果に係る記載事項】（出願人による申告）平成２３年度、総務省、「国際連携によるサイバー攻撃の予知技術の研究開発」委託研究、産業技術力強化法第１９条の適用を受ける特許出願

(73)【特許権者】

【識別番号】599108264

【氏名又は名称】株式会社ＫＤＤＩ研究所

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】澤谷 雪子

(72)【発明者】

【氏名】窪田 歩

【審査官】 宮島 郁美

(56)【参考文献】

【文献】 特開２００３−２８３５７２（ＪＰ，Ａ）

【文献】 大規模分散ＤｏＳ攻撃に対する適応的防御手法の提案 An Adaptive Defense Against Large DDoS Attack，電子情報通信学会技術研究報告 Ｖｏｌ．１１０ Ｎｏ．４４９ IEICE Technical Report，２０１１年 ２月２４日

【文献】 ＤＤｏＳ攻撃に対するアクティブシェーピング手法の評価 Evaluation of Active Shaping Method against DDoS Attacks，情報処理学会研究報告 Ｖｏｌ．２００３ Ｎｏ．８７ IPSJ SIG Technical Reports，２００３年 ８月２９日

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ １２／００−１２／２６，１２／５０−１２／９５５

(57)【特許請求の範囲】

【請求項1】

所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、
前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得部と、
前記取得部により取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出部と、
前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知部と、を備える攻撃対策装置。

【請求項2】

前記取得部は、所定のルーティング情報から、前記ネットワークが管理するＡＳ番号宛のＩＰアドレスレンジを取得する請求項１に記載の攻撃対策装置。

【請求項3】

前記算出部は、前記取得部により取得されたＩＰアドレスレンジの少なくとも一部のＩＰアドレスに対して、当該ＩＰアドレスへ至る通信経路のリンク容量を取得し、当該リンク容量を前記エッジルータが処理可能な通信量を示す値として算出する請求項１又は請求項２に記載の攻撃対策装置。

【請求項4】

前記算出部は、前記取得部により取得されたＩＰアドレスレンジの少なくとも一部のＩＰアドレスに対して、当該ＩＰアドレスへ至る通信経路に基づいて、前記隣接するエッジルータを判定することにより、当該隣接するエッジルータが管理するＩＰアドレスの数を、当該エッジルータが処理可能な通信量を示す値として算出する請求項１から請求項３のいずれかに記載の攻撃対策装置。

【請求項5】

前記処理可能な通信量の余剰量に対応して、前記攻撃に対する対処方法に関するデータを予め記憶する対処情報記憶部を備え、
前記報知部は、前記処理可能な通信量の余剰量に応じて、前記対処情報記憶部に記憶されている前記対処方法に関するデータを報知する請求項１から請求項４のいずれかに記載の攻撃対策装置。

【請求項6】

前記対処情報記憶部に記憶されている前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える請求項５に記載の攻撃対策装置。

【請求項7】

所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、
前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得ステップと、
前記取得ステップにおいて取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出ステップと、
前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知ステップと、を含む攻撃対策方法。

【請求項8】

所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、
前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得ステップと、
前記取得ステップにおいて取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出ステップと、
前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置、攻撃対策方法及び攻撃対策プログラムに関する。

【背景技術】

【0002】

従来、ＤｏＳ（Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ ａｔｔａｃｋ）攻撃に対処するサービスが存在する（例えば、非特許文献１乃至４参照）。これらのサービスは、インターネットサービスプロバイダが一元管理するネットワーク上で、ＤｏＳ攻撃を検知した際に、攻撃対象のホスト宛の通信の中から、異常と判定される通信を取り除き、正常と判定される通信のみを攻撃対象ホストへ届ける仕組みである。なお、これらのサービスは、攻撃対象となり得るホストの管理者が任意にインターネットサービスプロバイダと契約するものである。

【0003】

また、バックボーンネットワークにおいて、ネットワーク運用者は、自社の設備を保守するためにトラフィックを監視する。ところが、例えば数百Ｇｂｐｓの大量のトラフィックを管理するインターネットサービスプロバイダでは、運用コストが高額になるため、上述のサービス等の仕組みは利用されない場合が多い。この場合、ＤｏＳ攻撃が発生すると、ブラックホールルータ等に攻撃パケットを迂回させる方式等が採用される。

【先行技術文献】

【非特許文献】

【0004】

【非特許文献1】ＤｏＳ（ＤＤｏＳ）攻撃対策サービス、［平成２３年１１月１４日］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｓｅｃｏｍｔｒｕｓｔ．ｎｅｔ／ｓｅｒｖｉｃｅ／ｄａｔａｃｅｎｔｅｒ／ｓｅｒｖｉｃｅ／ｍａｎａｇｅｄ＿ｄｏｓ．ｈｔｍｌ＞

【非特許文献2】トラフィック異常検出および軽減（ＤＤｏＳ攻撃対策）ソリューション、［平成２３年１１月１４日］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｃｉｓｃｏ．ｃｏｍ／ｗｅｂ／ＪＰ／ｐｒｏｄｕｃｔ／ｈｓ／ｓｅｃｕｒｉｔｙ／ｄｄｏｓ．ｈｔｍｌ＞

【非特許文献3】ＩＩＪ ＤＤｏＳ対策サービス、［平成２３年１１月１４日］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｉｉｊ．ａｄ．ｊｐ／ｓｅｒｖｉｃｅ／ｓｙｓｔｅｍ／ＩＩＪ−ＳＤ．ｈｔｍｌ＞

【非特許文献4】ＯＣＮ ＤＤｏＳ攻撃対策サービス、［平成２３年１１月１４日］、インターネット＜ｈｔｔｐ：／／ｗｗｗ．ｏｃｎ．ｎｅ．ｊｐ／ｂｕｓｉｎｅｓｓ／ｓｅｃｕｒｉｔｙ／ｄｄｏｓ／＞

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかしながら、例えば、攻撃パケットを迂回させる方式の場合、正常なパケットも大きく影響を受ける。これらの正常なパケットを分別するためには、攻撃を解析する必要があるため、対処に時間が掛かる。また、リンク容量又はルータの許容パケット数等によって、通信機器を保護するための緊急度も異なるため、攻撃に対して画一的な対処が実行されることは適切ではなかった。

【0006】

本発明は、攻撃を検知した際の対処を管理者がより適切に行うための情報を取得できる攻撃対策装置、攻撃対策方法及び攻撃対策プログラムを提供することを目的とする。

【課題を解決するための手段】

【0007】

本発明では、以下のような解決手段を提供する。

【0008】

（１）所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処を支援する攻撃対策装置であって、前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得部と、前記取得部により取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出部と、前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知部と、を備える攻撃対策装置。

【0009】

このような構成によれば、攻撃対策装置は、ネットワーク内のＩＰアドレスレンジに隣接するエッジルータが処理可能な通信量を示す値を算出する。そして、攻撃対策装置は、攻撃を検知した際には、処理可能な通信量の余剰量、すなわち、この攻撃に係る通信量をエッジルータが処理可能か否かを判断できる情報を報知する。したがって、攻撃対策装置は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。

【0010】

（２）前記取得部は、所定のルーティング情報から、前記ネットワークが管理するＡＳ番号宛のＩＰアドレスレンジを取得する（１）に記載の攻撃対策装置。

【0011】

このような構成によれば、攻撃対策装置は、所定のルーティング情報から、ネットワークが管理するＡＳ番号宛のＩＰアドレスレンジを容易に取得することができる。

【0012】

（３）前記算出部は、前記取得部により取得されたＩＰアドレスレンジの少なくとも一部のＩＰアドレスに対して、当該ＩＰアドレスへ至る通信経路のリンク容量を取得し、当該リンク容量を前記エッジルータが処理可能な通信量を示す値として算出する（１）又は（２）に記載の攻撃対策装置。

【0013】

このような構成によれば、攻撃対策装置は、エッジルータが処理可能な通信量を示す値として、エッジルータ毎のリンク容量を計測するので、容易にエッジルータの規模を推測できる。

【0014】

（４）前記算出部は、前記取得部により取得されたＩＰアドレスレンジの少なくとも一部のＩＰアドレスに対して、当該ＩＰアドレスへ至る通信経路に基づいて、前記隣接するエッジルータを判定することにより、当該隣接するエッジルータが管理するＩＰアドレスの数を、当該エッジルータが処理可能な通信量を示す値として算出する（１）から（３）のいずれかに記載の攻撃対策装置。

【0015】

このような構成によれば、攻撃対策装置は、エッジルータが処理可能な通信量を示す値として、エッジルータが管理するＩＰアドレス数を導出する。したがって、攻撃対策装置は、容易にエッジルータの規模を推測できる。

【0016】

（５）前記処理可能な通信量の余剰量に対応して、前記攻撃に対する対処方法に関するデータを予め記憶する対処情報記憶部を備え、前記報知部は、前記処理可能な通信量の余剰量に応じて、前記対処情報記憶部に記憶されている前記対処方法に関するデータを報知する（１）から（４）のいずれかに記載の攻撃対策装置。

【0017】

このような構成によれば、攻撃対策装置は、処理可能な通信量の余剰量に対応して、予め記憶されている対処方法に関するデータを報知するので、管理者は、攻撃に対する対処をより適切に行える。

【0018】

（６）前記対処情報記憶部に記憶されている前記対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する対処実行部を備える（５）に記載の攻撃対策装置。

【0019】

このような構成によれば、攻撃対策装置は、記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。

【0020】

（７）所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータが支援する攻撃対策方法であって、前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得ステップと、前記取得ステップにおいて取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出ステップと、前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知ステップと、を含む攻撃対策方法。

【0021】

このような構成によれば、攻撃対策方法をコンピュータが実行することにより、（１）と同様の効果が期待できる。

【0022】

（８）所定のネットワークに属するホストへの攻撃が検知された場合に、当該ネットワークの管理者が行う対処をコンピュータに支援させるための攻撃対策プログラムであって、前記ネットワークが管理する複数のＩＰアドレスレンジを取得する取得ステップと、前記取得ステップにおいて取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する算出ステップと、前記攻撃が検知された場合に、当該攻撃の対象であるＩＰアドレス及び当該攻撃に係る通信量を取得し、当該攻撃に係る通信量に対して、当該ＩＰアドレスに隣接するエッジルータの前記処理可能な通信量の余剰量を示す情報を報知する報知ステップと、を前記コンピュータに実行させるための攻撃対策プログラム。

【0023】

このような構成によれば、攻撃対策プログラムをコンピュータに実行させることにより、（１）と同様の効果が期待できる。

【発明の効果】

【0024】

本発明によれば、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。

【図面の簡単な説明】

【0025】

【図1】第１実施形態に係る攻撃対策装置の機能構成を示す図である。

【図2】第１実施形態に係るルーティング情報から取得されたＩＰアドレスレンジの一例を示す図である。

【図3】第１実施形態に係る攻撃対象ホストへ至る通信経路を示す図である。

【図4】第１実施形態に係るｐｃｈａｒコマンドの実行結果の一例を示す図である。

【図5】第１実施形態に係るリンク容量対応表を示す図である。

【図6】第１実施形態に係るリンク容量対応表を生成する処理を示すフローチャートである。

【図7】第１実施形態に係る攻撃が検知された場合の処理を示すフローチャートである。

【図8】第２実施形態に係る攻撃対策装置の機能構成を示す図である。

【図9】第２実施形態に係るｔｒａｃｅｒｏｕｔｅコマンドの実行結果の一例を示す図である。

【図10】第２実施形態に係るＩＰアドレス数対応表を示す図である。

【図11】第２実施形態に係るＩＰアドレス数対応表を生成する処理を示すフローチャートである。

【図12】第２実施形態に係る攻撃が検知された場合の処理を示すフローチャートである。

【発明を実施するための形態】

【0026】

＜第１実施形態＞
以下、本発明の第１実施形態について説明する。
本実施形態に係る攻撃対策装置１は、インターネットサービスプロバイダ等の所定のネットワークに属するホストへの攻撃が検知された場合に、このネットワークの管理者が行う対処を支援するサーバ装置である。なお、攻撃対策装置１は、ネットワーク内の少なくともコアルータを含む各種ルータと通信可能であり、ルータからネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得すると共に、攻撃対処のために通信経路を制御したり、フィルタリング機能の実行を指示したりできる。

【0027】

図１は、本実施形態に係る攻撃対策装置１の機能構成を示す図である。
攻撃対策装置１は、制御部１０と、記憶部２０と、通信部３０と、入力部４０と、表示部５０とを備える。

【0028】

制御部１０は、攻撃対策装置１の全体を制御する部分であり、記憶部２０に記憶された各種プログラムを適宜読み出して実行することにより、前述のハードウェアと協働し、本実施形態における各種機能を実現している。制御部１０は、ＣＰＵ（Ｃｅｎｔｒａｌ Ｐｒｏｃｅｓｓｉｎｇ Ｕｎｉｔ）であってよい。なお、制御部１０が備える各部の機能は後述する。

【0029】

記憶部２０は、ハードウェア群を攻撃対策装置１として機能させるための各種プログラム、本実施形態の各種機能を制御部１０に実行させるためのプログラム、及び各種データ等を記憶する。なお、記憶部２０が備える各種データは後述する。

【0030】

通信部３０は、攻撃対策装置１が他の装置と情報を送受信する場合のネットワーク・アダプタであり、ネットワーク内のコアルータにアクセスし、ネットワークフローデータ又はパケットキャプチャデータ等、通信のデータを取得して制御部１０へ提供する。また、通信部３０は、制御部１０からの指示に従ってルータに制御信号を送信する。

【0031】

入力部４０は、攻撃対策装置１に対するユーザからの指示入力を受け付けるインタフェース装置である。入力部４０は、例えばキー操作部やタッチパネルにより構成される。

【0032】

表示部５０は、ユーザにデータの入力を受け付ける画面を表示したり、攻撃対策装置１による処理結果の画面を表示したりするものである。ユーザは、表示部５０に表示された画面により、攻撃が検知されたこと、及び対処方法に関する情報を確認する。表示部５０は、液晶ディスプレイや有機ＥＬディスプレイであってよい。

【0033】

前述の制御部１０は、取得部１１と、リンク容量計測部１２（算出部）と、攻撃検知部１３と、報知部１４と、対処実行部１５とを備える。また、記憶部２０は、ネットワーク構成ＤＢ２１と、対処情報ＤＢ２２（対処情報記憶部）とを備える。

【0034】

取得部１１は、監視対象である所定のネットワークが管理している複数のＩＰアドレスレンジを取得する。具体的には、取得部１１は、例えば、インターネット上のサイトに公開されている所定のルーティング情報から、ネットワークが管理するＡＳ（Ａｕｔｏｎｏｍｏｕｓ Ｓｙｓｔｅｍ ｎｕｍｂｅｒ）番号宛のＩＰアドレスレンジを抽出する。

【0035】

図２は、ルーティング情報から取得されたＩＰアドレスレンジの一例を示す図である。
この例では、ＡＳ１０００２が管理するＩＰアドレスレンジは、１９２．１６８．０．０／２４及び１９２．１６８．１．０／２４である。

【0036】

リンク容量計測部１２は、取得部１１により取得されたＩＰアドレスレンジのそれぞれについて、隣接するエッジルータが処理可能な通信量を示す値を算出する。

【0037】

図３は、本実施形態に係る監視対象ネットワークにおける攻撃対象ホストへ至る通信経路を示す図である。
攻撃対象ホストを宛先とするデータパケットは、コアルータを基点に配下のルータを経由して、ホストに隣接するエッジルータに至る。このとき、エッジルータに対するリンク容量、又はエッジルータの収容ホスト数は、間接的にエッジルータが処理可能な通信量を示している。

【0038】

リンク容量計測部１２は、取得部１１により取得されたＩＰアドレスレンジの少なくとも一部のＩＰアドレスに対して、「ｐｃｈａｒ」又は「ｐａｔｈｃｈａｒ」等のコマンドを実行する。そして、リンク容量計測部１２は、コマンドの実行結果から、指定したＩＰアドレスへ至る通信経路のリンク容量を取得し、このリンク容量をエッジルータが処理可能な通信量を示す値として、ネットワーク構成ＤＢ２１に記憶する。

【0039】

図４は、ｐｃｈａｒコマンドの実行結果の一例を示す図である。
リンク容量計測部１２は、この実行結果の中で、「Ｐａｔｈ ｂｏｔｔｌｅｎｅｃｋ」の値「２９２５．７１４２８６Ｋｂｐｓ」を、エッジルータに対するリンク容量として取得する。

【0040】

図５は、ネットワーク構成ＤＢ２１に格納されるリンク容量対応表を示す図である。
この対応表には、ＩＰアドレスレンジに対応して、エッジルータのリンク容量が記憶されている。例えば、アドレスレンジ「１９２．１６８．０．０／２４」の中の１つのＩＰアドレス「１９２．１６８．０．１」に対して図４に示す計測結果が得られた場合、このアドレスレンジ「１９２．１６８．０．０／２４」に対して、リンク容量「２．９Ｍｂｐｓ」が記憶される。

【0041】

攻撃検知部１３は、監視対象である所定のネットワークにおいて、トラフィックを監視し、ＤｏＳ攻撃を受けたことを検知する。

【0042】

報知部１４は、攻撃検知部１３により攻撃が検知された場合に、この攻撃の対象であるＩＰアドレス及び攻撃に係る通信量を取得し、この攻撃に係る通信量に対して、攻撃対象のＩＰアドレスに隣接するエッジルータの処理可能な通信量を示すリンク容量の余剰量を示す情報を報知する。

【0043】

例えば、報知部１４は、検知された攻撃に係る通信量がリンク容量を超える、又は所定の閾値を超える場合に警告を出力する。これにより、管理者は、攻撃対象のＩＰアドレス以外のホストに対しても影響が及ぶため緊急性が高いことを把握でき、このＩＰアドレス宛のトラフィックをブラックホールルータへ転送する対処を実施できる。また、リンク容量が攻撃に比して十分に大きい場合には、トラフィックがさらに増加した場合に対処すればよく、管理者は、緊急性が低いことを把握できる。

【0044】

ここで、対処情報ＤＢ２２は、処理可能な通信量を示すリンク容量の余剰量に対応して、攻撃に対する対処方法に関するデータを予め記憶している。このデータは、例えば、対処の緊急度を示すデータ、又は具体的な対処方法（ブラックホールルータへの転送、フィルタリングルールの設定等）を推奨するデータ等である。
そして、報知部１４は、リンク容量の余剰量に応じて、対処情報ＤＢ２２に記憶されている対処方法に関するデータを報知する。

【0045】

対処実行部１５は、報知部１４により抽出された対処情報ＤＢ２２に記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を実行する。このとき、対処実行部１５は、表示部５０を介して、実行の可否を管理者に問い合わせ、入力部４０を介して、指示入力を受け付けてもよい。

【0046】

図６は、本実施形態に係るリンク容量対応表を生成する処理を示すフローチャートである。

【0047】

ステップＳ１において、取得部１１は、監視対象である所定のネットワークが管理している複数のＩＰアドレスレンジを取得する。

【0048】

ステップＳ２において、リンク容量計測部１２は、ステップＳ１で取得されたＩＰアドレスレンジ毎に、少なくとも一部のＩＰアドレスに対して、「ｐｃｈａｒ」又は「ｐａｔｈｃｈａｒ」等のコマンドを実行し、指定したＩＰアドレスへ至る通信経路のリンク容量を計測する。

【0049】

ステップＳ３において、リンク容量計測部１２は、ステップＳ２で計測されたリンク容量を、ネットワーク構成ＤＢ２１のリンク容量対応表（図５）に記憶する。

【0050】

ステップＳ４において、リンク容量計測部１２は、ステップＳ１で取得された全てのＩＰアドレスレンジについて、リンク容量の計測を行ったか否かを判定する。この判定がＹＥＳの場合、処理は終了し、判定がＮＯの場合、処理はステップＳ２に戻って、別のＩＰアドレスレンジについてリンク容量の計測を継続する。

【0051】

図７は、本実施形態に係る監視対象ネットワークへの攻撃が検知された場合の処理を示すフローチャートである。

【0052】

ステップＳ１１において、攻撃検知部１３は、検知された攻撃に関するネットワークフローデータ又はパケットキャプチャデータ等、通信のデータから、攻撃対象のＩＰアドレスを取得する。

【0053】

ステップＳ１２において、報知部１４は、リンク容量対応表から、ステップＳ１１で取得したＩＰアドレスに対応するエッジルータのリンク容量を取得する。

【0054】

ステップＳ１３において、報知部１４は、検知された攻撃の通信量がステップＳ１２で取得したリンク容量を超えているか否かを判定する。この判定がＹＥＳの場合、処理はステップＳ１４に移り、判定がＮＯの場合、処理はステップＳ１５に移る。

【0055】

ステップＳ１４において、報知部１４は、攻撃に対して即座に対処を行う必要があることを示す警告を出力する。

【0056】

ステップＳ１５において、報知部１４は、攻撃に関する情報として、攻撃対象のＩＰアドレス、攻撃の通信量、エッジルータのリンク容量等を出力する。

【0057】

以上のように、本実施形態によれば、攻撃対策装置１は、ネットワーク内のＩＰアドレスレンジに隣接するエッジルータが処理可能な通信量を示す値を算出する。そして、攻撃対策装置１は、攻撃を検知した際には、処理可能な通信量の余剰量、すなわち、この攻撃に係る通信量をエッジルータが処理可能か否かを判断できる情報を報知する。したがって、攻撃対策装置１は、攻撃を検知した際の対処を管理者がより適切に行うための情報を提供できる。
このとき、攻撃対策装置１は、所定のルーティング情報から、ネットワークが管理するＡＳ番号宛のＩＰアドレスレンジを容易に取得することができる。

【0058】

また、具体的には、攻撃対策装置１は、エッジルータが処理可能な通信量を示す値として、エッジルータ毎のリンク容量をコマンド実行により計測するので、容易にエッジルータの規模を推測できる。

【0059】

また、攻撃対策装置１は、処理可能な通信量の余剰量に対応して、予め記憶されている対処方法に関するデータを報知するので、管理者は、攻撃に対する対処をより適切に行える。

【0060】

また、攻撃対策装置１は、記憶されている対処方法に関するデータに基づいて、予め設定されている所定の処理を自動的に実行できるので、管理者の負荷を低減できると共に、対処の正確性を向上できる可能性がある。

【0061】

＜第２実施形態＞
以下、本発明の第２実施形態について説明する。
本実施形態において、攻撃対策装置１ａは、エッジルータが処理可能な通信量を示す値として、第１実施形態で計測されるリンク容量に替えて、エッジルータが管理するＩＰアドレスの数を導出する。
なお、第１実施形態と同様の構成に対しては、同一の符号を付し、説明を省略又は簡略化する。

【0062】

図８は、本実施形態に係る攻撃対策装置１ａの機能構成を示す図である。
第１実施形態の攻撃対策装置１とは、制御部１０ａのアドレス数導出部１２ａ（算出部）及び報知部１４ａと、記憶部２０ａのネットワーク構成ＤＢ２１ａとが異なる。

【0063】

アドレス数導出部１２ａは、取得部１１により取得されたＩＰアドレスレンジのそれぞれについて、少なくとも一部のＩＰアドレスに対して「ｔｒａｃｅｒｏｕｔｅ」コマンドを実行する。そして、アドレス数導出部１２ａは、コマンドの実行結果として得られるＩＰアドレスへ至る通信経路に基づいて、ＩＰアドレスレンジに隣接するエッジルータを判定する。アドレス数導出部１２ａは、複数のＩＰアドレス数レンジに対応するエッジルータの重複を考慮して、エッジルータのそれぞれが管理するＩＰアドレスの数を導出し、このＩＰアドレス数をエッジルータが処理可能な通信量を示す値として、ネットワーク構成ＤＢ２１に記憶する。

【0064】

図９は、ｔｒａｃｅｒｏｕｔｅコマンドの実行結果の一例を示す図である。
アドレス数導出部１２ａは、ＩＰアドレスレンジ「１９２．１６８．０．０／２４」の一部である「１９２．１６８．０．１」に対してコマンドを実行し、この実行結果の中で、「１９２．１６８．０．１」の直前のＩＰアドレス、すなわち「１９２．１６８．１００．２」がエッジルータであると判定する。

【0065】

この実行結果は、エッジルータ「１９２．１６８．１００．２」がＩＰアドレスレンジ「１９２．１６８．０．０／２４」に属している少なくとも２５６個のＩＰアドレスを管理していることを示している。

【0066】

同様に、ＩＰアドレスレンジ「１９２．１６８．１．０／２４」の一部である「１９２．１６８．１．１」についても、「１９２．１６８．１００．２」がエッジルータであると判定された場合、エッジルータ「１９２．１６８．１００．２」は、合計５１２個のＩＰアドレスを管理していることが導出される。

【0067】

図１０は、ネットワーク構成ＤＢ２１ａに格納されるＩＰアドレス数対応表を示す図である。
この対応表には、ＩＰアドレスレンジに対応して、エッジルータのＩＰアドレス、及びエッジルータが管理するＩＰアドレス数が記憶されている。例えば、アドレスレンジ「１９２．１６８．０．０／２４」及び「１９２．１６８．１．０／２４」に対して、上述のように導出されたＩＰアドレス数「５１２」が記憶される。

【0068】

報知部１４ａは、攻撃検知部１３により攻撃が検知された場合に、この攻撃の対象であるＩＰアドレス及び攻撃に係る通信量を取得する。そして、報知部１４ａは、この攻撃に係る通信量に対して、攻撃対象のＩＰアドレスに隣接するエッジルータが管理するＩＰアドレス数に応じて推定される処理可能な通信量の余剰量を示す情報を報知する。

【0069】

図１１は、本実施形態に係るＩＰアドレス数対応表を生成する処理を示すフローチャートである。

【0070】

ステップＳ２１において、取得部１１は、監視対象である所定のネットワークが管理している複数のＩＰアドレスレンジを取得する。

【0071】

ステップＳ２２において、アドレス数導出部１２ａは、ステップＳ２１で取得されたＩＰアドレスレンジ毎に、少なくとも一部のＩＰアドレスに対して、「ｔｒａｃｅｒｏｕｔｅ」等のコマンドを実行し、指定したＩＰアドレスに隣接するエッジルータが管理するＩＰアドレス数を導出する。

【0072】

ステップＳ２３において、アドレス数導出部１２ａは、ステップＳ２２で導出されたＩＰアドレス数に基づいて、ネットワーク構成ＤＢ２１のＩＰアドレス数対応表（図１０）を更新する。このとき、アドレス数導出部１２ａは、エッジルータが共通するＩＰアドレスレンジについて、既に対応して記憶されているＩＰアドレス数に、新たに導出されたＩＰアドレス数を加算して更新する。

【0073】

ステップＳ２４において、アドレス数導出部１２ａは、ステップＳ２１で取得された全てのＩＰアドレスレンジについて、ＩＰアドレス数の導出を行ったか否かを判定する。この判定がＹＥＳの場合、処理は終了し、判定がＮＯの場合、処理はステップＳ２２に戻って、別のＩＰアドレスレンジについて処理を継続する。

【0074】

図１２は、本実施形態に係る監視対象ネットワークへの攻撃が検知された場合の処理を示すフローチャートである。

【0075】

ステップＳ３１において、攻撃検知部１３は、検知された攻撃に関するネットワークフローデータ又はパケットキャプチャデータ等、通信のデータから、攻撃対象のＩＰアドレスを取得する。

【0076】

ステップＳ３２において、報知部１４ａは、ＩＰアドレス数対応表から、ステップＳ３１で取得したＩＰアドレスに対応するエッジルータが管理するＩＰアドレス数を取得する。

【0077】

ステップＳ３３において、報知部１４ａは、検知された攻撃の通信量がステップＳ３２で取得したＩＰアドレス数を管理するためのエッジルータの規模を超えているか否かを判定する。この判定がＹＥＳの場合、処理はステップＳ３４に移り、判定がＮＯの場合、処理はステップＳ３５に移る。

【0078】

ステップＳ３４において、報知部１４ａは、攻撃に対して即座に対処を行う必要があることを示す警告を出力する。

【0079】

ステップＳ３５において、報知部１４ａは、攻撃に関する情報として、攻撃対象のＩＰアドレス、攻撃の通信量、エッジルータの規模等を出力する。

【0080】

以上のように、本実施形態によれば、攻撃対策装置１は、エッジルータが処理可能な通信量を示す値として、エッジルータが管理するＩＰアドレス数を導出する。したがって、攻撃対策装置１は、容易にエッジルータの規模を推測でき、第１実施形態と同様の効果が期待できる。

【0081】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本実施形態に記載されたものに限定されるものではない。

【0082】

攻撃対策装置１又は１ａは、ネットワークに接続可能な情報処理装置の一例であり、サーバ装置又はＰＣ（Ｐｅｒｓｏｎａｌ Ｃｏｍｐｕｔｅｒ）等、様々な情報処理装置（コンピュータ）であってよく、前述の各機能は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、上記情報処理装置にインストールされる。また、これらのプログラムは、ＣＤ−ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。

【符号の説明】

【0083】

１、１ａ 攻撃対策装置
１０、１０ａ 制御部
１１ 取得部
１２ リンク容量計測部（算出部）
１２ａ アドレス数導出部（算出部）
１３ 攻撃検知部
１４、１４ａ 報知部
１５ 対処実行部
２０、２０ａ 記憶部
２１、２１ａ ネットワーク構成ＤＢ
２２ 対処情報ＤＢ（対処情報記憶部）

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】

【図10】

【図11】

【図12】