知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6232456
(24)【登録日】2017年10月27日
(45)【発行日】2017年11月15日
(54)【発明の名称】制御装置、緩和システム、制御方法及びコンピュータプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20171106BHJP
H04L 12/26 20060101ALI20171106BHJP
H04L 12/66 20060101ALI20171106BHJP
【FI】
G06F21/55
H04L12/26
H04L12/66 B
【請求項の数】12
【全頁数】13
(21)【出願番号】特願2016-18191(P2016-18191)
(22)【出願日】2016年2月2日
(65)【公開番号】特開2017-138728(P2017-138728A)
(43)【公開日】2017年8月10日
【審査請求日】2017年2月6日
【早期審査対象出願】
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110001634
【氏名又は名称】特許業務法人 志賀国際特許事務所
(72)【発明者】
【氏名】池田 賢斗
(72)【発明者】
【氏名】畑谷 泰弘
(72)【発明者】
【氏名】水口 孝則
(72)【発明者】
【氏名】西塚 要
【審査官】
上島 拓也
(56)【参考文献】
【文献】
特開2003−085139(JP,A)
【文献】
特開2007−336220(JP,A)
【文献】
特開2010−026547(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 12/26
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する制御装置。
前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する制御装置。
【請求項2】
攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記制御装置は、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する緩和システム。
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記制御装置は、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する緩和システム。
【請求項3】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置を備え、
前記監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する制御装置。
前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置を備え、
前記監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する制御装置。
【請求項4】
攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置と、を備え、
前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する、緩和システム。
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置と、を備え、
前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する、緩和システム。
【請求項5】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置を備え、
前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する制御装置。
前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置を備え、
前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する制御装置。
【請求項6】
攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置と、を備え、
前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置と、を備え、
前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
【請求項7】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置を備え、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する制御装置。
前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置を備え、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する制御装置。
【請求項8】
攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置をさらに備え、
前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する、緩和システム。
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置をさらに備え、
前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する、緩和システム。
【請求項9】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択し、
前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する制御装置。
前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する制御装置。
【請求項10】
攻撃に対する防御の機能を実行する複数の種別の緩和装置と、
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、
を備え、
前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、
前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する、緩和システム。
【請求項11】
情報処理装置が、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップと、
情報処理装置が、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、を有する制御方法。
情報処理装置が、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、を有する制御方法。
【請求項12】
監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップと、
前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、をコンピュータに実行させるためのコンピュータプログラム。
前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択するステップと、をコンピュータに実行させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信機器に対して行われる攻撃の影響を軽減させる技術に関する。
【背景技術】
【0002】
ネットワークに接続された通信機器に対して攻撃を行う技術がある。このような攻撃技術の一つとして、攻撃対象となる通信機器に対してサービスの提供を困難に陥れる攻撃(以下、単に「攻撃」という。)がある。攻撃の具体例として、Denial of Service攻撃やDistributed Denial of Service攻撃がある。DDoS攻撃に対する防御技術として、攻撃元の通信装置から送信されるトラフィックを特定の装置(以下、「緩和装置」という。「緩和」は"Mitigation"の意味である。)に引き込むことによって通信負荷を軽減する技術がある。また、DoS攻撃とDDoS攻撃とで異なる防御方法を選択する技術も提案されている(例えば特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2006−67078号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
攻撃には複数の種別がある。例えば、DDoS攻撃にも実装の方法などにより複数の種別が存在する。一方で、緩和装置にも複数の種別が存在する。各種別の緩和装置には、攻撃の種別によって得手不得手がある。そのため、採用される緩和装置の種別と実行される攻撃の種別の組み合わせによっては、効果的に防御を実現できない場合があった。
【0005】
上記事情に鑑み、本発明は、より効果的に攻撃に対する防御を行うことを可能とする技術の提供を目的としている。
【課題を解決するための手段】
【0006】
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択する制御装置である。
【0007】
本発明の一態様は、攻撃に対する防御の機能を実行する複数の種別の緩和装置と、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記攻撃の種別に応じて、複数の種別の前記緩和装置の中から防御の機能を実行する緩和装置を選択する制御装置と、を備える緩和システムである。
【0008】
本発明の一態様は、上記の緩和システムであって、前記制御装置は、前記攻撃の種別と前記監視対象のネットワークとの組み合わせに応じて、防御の機能を実行する前記緩和装置を選択する。
【0009】
本発明の一態様は、上記の緩和システムであって、前記制御装置は、前記監視対象のネットワークに設置された装置であって前記監視対象のネットワーク宛に中継される通信に基づいて前記攻撃が行われていることを検知する検知装置から、前記監視対象のネットワークに対して行われている前記攻撃の種別の通知を受ける。
【0010】
本発明の一態様は、上記の緩和システムであって、前記監視対象のネットワーク毎に、前記防御が実行される対象となる前記攻撃の種別を対応付けて記憶する記憶装置をさらに備え、前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークにおいて前記防御が実行される対象となっている種別の攻撃である場合にのみ、選択された緩和装置に対して防御の実行を指示する。
【0011】
本発明の一態様は、上記の緩和システムであって、前記攻撃の種別毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を対応付けて記憶する記憶装置をさらに備え、前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別に応じて前記防御の機能の実行に係る費用を算出する。
【0012】
本発明の一態様は、上記の緩和システムであって、前記監視対象のネットワーク毎に、前記緩和装置を運営する事業者と前記攻撃の種別とを対応付けて記憶する記憶装置をさらに備え、前記制御装置は、監視対象のネットワークにおいて前記攻撃が行われていることが検知されると、前記監視対象のネットワークに関して前記攻撃の種別に対応付けて記憶されている前記事業者が運営する前記緩和装置を選択し、選択された緩和装置に対して防御の実行を指示する。
【0013】
本発明の一態様は、上記の緩和システムであって、前記緩和装置を運営する事業者毎に、防御の機能が実行された際に前記監視対象のネットワークに関して請求される費用を前記攻撃の種別毎に対応付けて記憶する記憶装置をさらに備え、前記制御装置は、前記記憶装置に記憶された費用を参照することによって、前記防御の機能が実行された前記攻撃の種別と前記緩和装置を運営する事業者とに応じて前記防御の機能の実行に係る費用を算出する。
【0014】
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択する制御方法である。
【0015】
本発明の一態様は、監視対象のネットワークにおいて攻撃が行われていることが検知されると、前記攻撃の種別に応じて、前記攻撃に対する防御の機能を実行する装置である緩和装置を複数の種別の中から選択するステップをコンピュータに実行させるためのコンピュータプログラムである。
【発明の効果】
【0016】
本発明により、より効果的に攻撃に対する防御を行うことが可能となる。
【図面の簡単な説明】
【0017】
【図1】緩和システムを備えた通信システムの構成を表すシステム構成図である。
【図2】第一検知装置120の機能構成を表す概略ブロック図である。
【図3】緩和システム500の機能構成を示す概略ブロック図である。
【図4】判定基準テーブルの具体例を示す図である。
【図5】通信システムにおける処理の流れを示すシーケンスチャートである。
【図6】判定基準テーブルの変形例を示す図である。
【発明を実施するための形態】
【0018】
図1は、緩和システムを備えた通信システムのシステム構成を表すシステム構成図である。図1に示される通信システムは、第一ネットワーク100、第一中継装置110、第一検知装置120、第二ネットワーク200、第二中継装置210、第二検知装置220、第三ネットワーク300、第三中継装置310、第一通信装置320、第二通信装置330、主ネットワーク400及び緩和システム500を備える。
【0019】
第一ネットワーク100は、緩和システム500による監視対象のネットワークである。第一ネットワーク100に対して攻撃が行われた場合、緩和システム500による防御が実行される。第一ネットワーク100には、第一検知装置120が接続される。第一検知装置120は、第一中継装置110から通信情報を受信する。第一検知装置120は、受信された通信情報を解析することによって、第一ネットワーク100に対して攻撃が行われているか否か判定し、攻撃を検知する。
【0020】
第二ネットワーク200は、緩和システム500による監視対象のネットワークである。第二ネットワーク200に対して攻撃が行われた場合、緩和システム500による防御が実行される。第二ネットワーク200には、第二検知装置220が接続される。第二検知装置220は、第二中継装置210から通信情報を受信する。第二検知装置220は、受信された通信情報を解析することによって、第二ネットワーク200に対して攻撃が行われているか否か判定し、攻撃を検知する。
【0021】
第三ネットワーク300は、緩和システム500による監視の対象となっていないネットワークである。第三ネットワーク300は、例えば不特定のIP(Internet Protocol)ネットワークである。第三ネットワーク300には、第一通信装置320及び第二通信装置330が接続される。第一通信装置320及び第二通信装置330は、第三ネットワーク300に接続される不特定の通信装置の具体例である。以下、第一通信装置320及び第二通信装置330を、第一ネットワーク100又は第二ネットワーク200に対して攻撃を行う装置の具体例として説明する。
【0022】
主ネットワーク400は、ゲートウェイとして第一中継装置110、第二中継装置210及び第三中継装置310を備える。第一ネットワーク100は、第一中継装置110を介して主ネットワーク400に接続される。第二ネットワーク200は、第二中継装置210を介して主ネットワーク400に接続される。第三ネットワーク300は、第三中継装置310を介して主ネットワーク400に接続される。主ネットワーク400は、例えば第一ネットワーク100及び第二ネットワーク200に対して不特定のIPネットワークへの接続サービスを提供する事業者(キャリア)によって管理されるネットワークであってもよい。
【0023】
緩和システム500は、主ネットワーク400に接続される。緩和システム500は、監視対象のネットワーク(例えば第一ネットワーク100及び第二ネットワーク200)に対して、攻撃からの防御の機能を提供する。
【0024】
図2は、第一検知装置120の機能構成を表す概略ブロック図である。第一検知装置120は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。第一検知装置120は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備える。第一検知装置120は、検知プログラムを実行することによって、通信部121、判定部122及び通知部123を備える装置として機能する。なお、第一検知装置120の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。検知プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。検知プログラムは、電気通信回線を介して送信されても良い。
【0025】
通信部121は、通信インタフェース等の通信機器を用いて構成される。通信部121は、有線通信を行ってもよいし、無線通信を行ってもよい。通信部121は、第一中継装置110及び緩和システム500と通信する。通信部121は、例えば第一中継装置110から通信情報を受信する。通信情報は、第一中継装置110が中継した通信に関する情報である。通信情報は、例えば第一中継装置110によって中継されたパケットに関する情報を含んでもよい。通信部121は、例えば通知部123によって生成された攻撃情報を緩和システム500に送信する。攻撃情報は、第一ネットワーク100に対して行われる攻撃に関する情報を含む。
【0026】
判定部122は、第一中継装置110から受信された通信情報に基づいて、監視対象である第一ネットワーク100に対して攻撃が行われているか否か判定する。判定部122は、例えばトラフィック解析技術の一つであるフロー技術が適用されてもよい。検知される攻撃の具体例として、通信機器に対して過剰な負荷をかけることによってサービスの提供を困難に陥れる攻撃(高負荷攻撃)がある。より具体的な攻撃の例としては、DoS攻撃や、HTTP Get floodやTCP SYN flood等のDDoS攻撃がある。判定部122は、攻撃が行われている場合には、行われている攻撃の種別を判定する。判定部122は、判定結果を通知部123に通知する。
【0027】
通知部123は、判定部122によって行われた判定の結果に応じて、判定の内容を緩和システム500に通知する。例えば、通知部123は、第一ネットワーク100に対して行われている攻撃の種別と、攻撃対象となっているネットワーク(例えば第一ネットワーク100)を示す情報と、を含む攻撃情報を生成する。攻撃対象となっているネットワークを示す情報として、ネットワークのアドレス空間を示す情報が用いられてもよいし、ネットワークに対して予め割り当てられた名前や番号等の識別情報が用いられてもよい。通知部123は、生成された攻撃情報を緩和システム500に送信することによって、判定の内容を緩和システム500に通知する。
【0028】
以上で第一検知装置120についての説明を終える。なお、第二検知装置220は、第一検知装置120と同様の構成を有する。ただし、第二検知装置220が監視対象とするネットワークは、第一ネットワーク100ではなく第二ネットワーク200である。
【0029】
図3は、緩和システム500のシステム構成を示す概略ブロック図である。緩和システム500は、制御装置501、記憶装置502及び複数の緩和装置503を備える。
【0030】
制御装置501は、ブレードサーバ、ワークステーション又はパーソナルコンピュータなどの情報処理装置を用いて構成される。制御装置501は、バスで接続されたCPUやメモリや補助記憶装置などを備える。制御装置501は、緩和制御プログラムを実行することによって機能する。制御装置501は、検知装置(例えば第一検知装置120又は第二検知装置220)から受信される攻撃情報に基づいて、どの緩和装置503に対して攻撃の通信が中継されるべきか判定する。
【0031】
記憶装置502は、磁気ハードディスク装置や半導体記憶装置等の記憶装置である。記憶装置502は、判定基準テーブルを記憶する。判定基準テーブルは、制御装置501が判定処理を行う際に用いられる基準を示すテーブルである。図4は、判定基準テーブルの具体例を示す図である。判定基準テーブルは、攻撃種別に対応付けて中継対象緩和装置の情報を有する。中継対象緩和装置は、どの緩和装置503に対して攻撃の通信が中継されるべきかを示す情報である。例えば、図4の最上段のレコードには、HTTP Get floodの攻撃が行われている場合に緩和装置Aに対して攻撃の通信が中継されることが示されている。例えば、図4の二段目のレコードには、TCP SYN floodの攻撃が行われている場合に緩和装置Cに対して攻撃の通信が中継されることが示されている。緩和装置Aの防御機能がHTTP Get floodの攻撃に対して効果的であり、緩和装置Cの防御機能がTCP SYN floodの攻撃に対して効果的であるためにこのようなテーブルが構築されている。このように、各攻撃種別に対して効果的に防御機能を発揮する緩和装置503が中継対象緩和装置としてテーブルに登録されている。
【0032】
図3の説明に戻る。緩和装置503は、攻撃の通信に対する防御機能(攻撃を止める機能)を実行する装置である。緩和装置503は、制御装置501から防御処理の実行の指示を受けると、攻撃の通信を自装置で受信するための経路制御を実行する。このような経路制御は、例えばBGP(Border Gateway Protocol)を用いて行われてもよい。緩和装置503は、例えば自装置で受信する対象となる通信を示す情報(以下、「通信識別情報」という。)と、対象となる通信の中継先となる自装置の宛先情報と、を主ネットワーク400内の中継装置に通知することによって経路制御を行ってもよい。このような経路制御は、攻撃の通信の流入元となっている中継装置(本実施形態では第三中継装置310)に対して行われてもよい。
【0033】
緩和装置503は、上述した経路制御の後に攻撃の通信のパケットを受信すると、防御機能を実行する。緩和装置503は、例えば攻撃の通信のパケットを廃棄することによって防御機能を実行する。緩和装置503が行う防御機能には複数の方式がある。そのため、緩和装置503に採用される防御機能と攻撃の種別との組み合わせに応じて、効果的に防御可能な場合と効果的に防御不可能な場合とがある。例えば、Aという緩和装置が採用する防御機能は、HTTP Get floodに対しては効果的に防御可能であるが、TCP SYN floodに対しては効果的な防御ができない。例えば、Cという緩和装置が採用する防御機能は、TCP SYN floodに対しては効果的に防御可能であるが、HTTP Get floodに対しては効果的な防御ができない。
【0034】
図5は、通信システムにおける処理の流れを示すシーケンスチャートである。図5の例では、第三ネットワーク300に接続されている第一通信装置320及び第二通信装置330から第一ネットワーク100に接続された通信装置に対して攻撃が行われていることが想定されている。
【0035】
第一中継装置110は、所定のタイミングが到来すると、監視対象である第一ネットワーク100に対して中継される通信の情報(通信情報)を第一検知装置120に送信する(ステップS101)。所定のタイミングは、一定の周期で到来するタイミング(例えば1秒毎、1分毎、5分毎など)であってもよいし、通信に関する所定の条件が満たされたタイミング(例えば、第一ネットワーク100へ中継された通信の量が閾値を超えたタイミング)であってもよいし、他のタイミングであってもよい。
【0036】
第一検知装置120の判定部122は、通信情報を受信する。第一検知装置120は、受信された通信情報に基づいて攻撃が行われているか否か判定する(ステップS102)。攻撃が行われていないと判定した場合(ステップS102−NO)、判定部122は次の通信情報が受信されるまで待機する(ステップS103)。判定部122は、次の通信情報が受信されると、受信された通信情報についてステップS102の処理を実行する。一方、攻撃が行われていると判定した場合(ステップS102−YES)、判定部122は攻撃情報を生成する。判定部122は、生成された攻撃情報を通知部123に渡す。通知部123は、生成された攻撃情報を緩和システム500に送信する(ステップS104)。
【0037】
緩和システム500の制御装置501は、第一検知装置120から攻撃情報を受信する。制御装置501は、受信された攻撃情報に基づいて判定処理を実行する(ステップS105)。制御装置501は、判定処理の実行によって、第一ネットワーク100に対して行われている攻撃の種別に応じた緩和装置503を選択する。制御装置501は、選択された緩和装置503に対して防御機能の実行を指示する。防御機能の実行の指示を受けた緩和装置503は、自装置に対して攻撃の通信を中継するように、主ネットワーク400内の中継装置に対して経路変更指示を送信する(ステップS106)。図5の例では、選択された緩和装置503は、第一通信装置320及び第二通信装置330から第一ネットワーク100に対して送信される通信を自装置に中継するように第三中継装置310に経路変更を指示する。経路変更指示を受信した第三中継装置310は、第一通信装置320及び第二通信装置330から第一ネットワーク100宛に送信された通信を緩和装置503に中継するように経路制御を実行する(ステップS107)。経路制御の実行は、例えば上述したようにBGPを用いて実現されてもよい。経路制御が実行された後、第一通信装置320及び第二通信装置330から第一ネットワーク100宛に送信される通信(攻撃の通信)は緩和装置503に中継される。
【0038】
このように構成された緩和システム500によれば、複数種別の緩和装置を用いたシステムにおいて、より効果的に攻撃に対する防御を行うことが可能となる。具体的には以下のとおりである。緩和システム500では、複数の種別の緩和装置503が設置される。各種別の緩和装置503には、その防御機能の種別の違いに応じて、他の緩和装置503よりも効果的に防御可能な種別の攻撃がある。緩和システム500では、制御装置501が、監視対象に対して行われている攻撃の種別に応じて、より効果的に防御することが可能な緩和装置503が選択される。そして、選択された緩和装置503が防御機能を実行する。そのため、より効果的に攻撃に対する防御を行うことが可能となる。
【0039】
また、緩和システム500によれば、監視対象のネットワークに対して攻撃が行われているか否か判定する検知装置(例えば第一検知装置120及び第二検知装置220)と、防御機能を実現する制御装置501及び緩和装置503とが、離れて配置される。より具体的には、検知装置は監視対象のネットワークに配置され、防御機能を実現する制御装置501及び緩和装置503は主ネットワーク400に配置される。このような構成では、防御機能を実現する制御装置501及び緩和装置503を監視対象のネットワーク毎に配置する必要が無い。そのため、監視対象のネットワークの数が増加したとしても、検知装置を増設することで防御を実現できる。したがって、監視対象のネットワークの増大に対し要するコストや手間を削減し、より大規模に監視サービスを提供することが可能となる。
【0040】
また、上記のような構成では、緩和システム500の管理者が緩和装置503を選択することが可能となる。また、緩和システム500の管理者は、監視対象のネットワークの管理者に対し、どのような緩和装置503が用いられるのか秘匿することも可能となる。
【0041】
また、上記のような構成では、緩和システム500による緩和サービスの提供者は、監視対象となるネットワークの管理者(緩和サービスの提供を受ける者)に対し、攻撃の種別に応じて緩和サービスを提供することが可能となる。例えば、緩和サービスの提供者は、攻撃の種別毎に、その種別の攻撃に適した緩和装置503による緩和サービスを受けるか否か選択できてもよい。この場合、記憶装置502は、監視対象のネットワーク毎に、緩和サービスが実行される対象となる攻撃の種別を示すテーブルを記憶する。制御装置501は、攻撃が検出された監視対象ネットワークにおいて、検出された攻撃の種別が上記テーブルに記憶されている場合には、その攻撃に対する防御を実行する。一方、制御装置501は、攻撃が検出された監視対象ネットワークにおいて、検出された攻撃の種別が上記テーブルに記憶されていない場合には、たとえ攻撃が行われているとしてもその攻撃に対する防御を実行しない。緩和サービスの提供者は、対応可能な攻撃の種別毎に、異なるサービス利用料を設定してもよい。例えば、HTTP Get floodについては、1回の防御が行われる毎に100円が費用として設定され、TCP SYN floodについては、1回の防御が行われる毎に50円が費用として設定されてもよい。これらの費用は、緩和サービスを受ける者毎に異なる値が設定されてもよい。これらの費用は、攻撃の種別毎に予め記憶装置502に記憶されている。制御装置501は、緩和サービス(防御の機能)が実行されると、記憶装置502の記憶内容に基づいて、実行された緩和サービスが対処した攻撃の種別に応じて、監視対象のネットワークに関して請求される費用を算出する。
【0042】
主ネットワーク400には、複数の事業者によって運営される緩和装置503が接続されてもよい。この場合、監視対象のネットワークの管理者は、複数の事業者のうちどの事業者による緩和装置503の緩和サービスを受けるか選択することが可能であってもよい。この場合、攻撃の種別毎に異なる事業者による緩和サービスを受けることが可能であってもよい。この場合、記憶装置502は、監視対象のネットワーク毎に、緩和サービスが実行される対象となる攻撃の種別と、その種別の攻撃に対する緩和サービスを提供する事業者と、を対応付けて示すテーブルを記憶する。制御装置501は、上記テーブルに基づいて、防御を実行する緩和装置503を選択し経路変更を指示する。例えば、HTTP Get floodについて、緩和サービスの事業者Aは1回の防御が行われる毎に100円を費用として設定し、緩和サービスの事業者Bは1回の防御が行われる毎に200円を費用として設定してもよい。例えば、TCP SYN floodについて、緩和サービスの事業者Aは1回の防御が行われる毎に50円を費用として設定し、緩和サービスの事業者Bは1回の防御が行われる毎に70円を費用として設定してもよい。これらの費用は、緩和サービスを受ける者毎に異なる値が設定されてもよい。これらの費用は、事業者及び攻撃の種別毎に予め記憶装置502に記憶されている。制御装置501は、緩和サービス(防御の機能)が実行されると、記憶装置502の記憶内容に基づいて、実行された緩和サービスが対処した攻撃の種別と緩和サービスを実施した事業者とに応じて、監視対象のネットワークに関して請求される費用を算出する。
【0043】
一般的にアクセス回線はバックボーンに比べて帯域が狭い。そのため、アクセス回線(監視対象のネットワーク)に近い領域でユーザ毎に緩和装置503に引き込む方式では、攻撃により回線が輻輳した時に対処がうまくいかないという問題があった。このような問題に対し、緩和システム500では、攻撃対象となっているネットワーク(図5の例では第一ネットワーク100)と緩和装置503とのネットワーク的な距離とは異なる基準で緩和装置503が選択される。そのため、よりバックボーンに近い領域で緩和装置503への引き込みが実現される。その結果、上記問題を解決することが可能となる。
【0044】
また、上述した実施形態では、主ネットワーク(バックボーンネットワーク)に緩和装置503が配置される。そのため、緩和装置503が監視対象のネットワーク(アクセス回線ネットワーク)に配置される場合に比べて、より帯域が広いネットワークで緩和装置503に攻撃の通信を引き込むことができる。このような観点からも、上記問題を解決することが可能となる。
【0045】
[変形例]制御装置501は、攻撃の種別に加えて更に、各緩和装置503に生じている処理の負荷状況にも基づいて緩和装置503を選択してもよい。例えば、ある種別の攻撃に対して効果的に防御可能な複数の緩和装置503が存在する場合、選択が行われる時点における負荷が軽いものから順に1又は複数の緩和装置503が選択されてもよい。
【0046】
図6は、判定基準テーブルの変形例を示す図である。図6に示される判定基準テーブルは、監視対象となるネットワークと攻撃種別との組み合わせに対応付けて中継対象緩和装置の情報を有する。例えば、図6の最上段のレコードには、第一ネットワーク100に対してHTTP Get floodの攻撃が行われている場合に緩和装置Aに対して攻撃の通信が中継されることが示されている。図6の二段目のレコードには、第二ネットワーク200に対してHTTP Get floodの攻撃が行われている場合に緩和装置Bに対して攻撃の通信が中継されることが示されている。このようなテーブルは、例えば第一ネットワーク100の管理者がHTTP Get floodへの防御機能として緩和装置Aを選択し、第二ネットワーク200の管理者がHTTP Get floodへの防御機能として緩和装置Bを選択した場合に構築される。例えば、緩和装置Aは高機能であるが利用料も高く、緩和装置Bは機能は緩和装置Aに劣るが利用料が安く設定されている場合に、各ネットワークの管理者が適宜緩和装置又は緩和サービス(緩和装置の名を秘匿したサービス名)を選択してもよい。
【0047】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0048】
100…第一ネットワーク, 110…第一中継装置, 120…第一検知装置, 121…通信部, 122…判定部, 123…通知部, 200…第二ネットワーク, 210…第二中継装置, 220…第二検知装置, 300…第三ネットワーク, 310…第三中継装置, 320…第一通信装置, 330…第二通信装置, 400…主ネットワーク, 500…緩和システム, 501…制御装置, 502…記憶装置, 503…緩和装置