專利名稱:防御設備���、防御方法、防御程序以及網(wǎng)絡攻擊防御系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及防御設備��、防御方法��、防御程序�����、以及網(wǎng)絡攻擊防御系統(tǒng)��,用于將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器��,以控制所述惡意分組的通過����。
背景技術:
傳統(tǒng)上�����,已知如下網(wǎng)絡攻擊防御系統(tǒng)��,其包括對網(wǎng)絡上的遭受拒絕服務(DoS)攻擊或者分布式拒絕服務(DDoS)攻擊的服務器進行防護的防御設備���,以及多個對發(fā)送到服務器的分組進行中繼的路由器。例如��,在專利文獻1(美國專利申請公開第2002/0083175號的說明書)中公開的網(wǎng)絡攻擊防御系統(tǒng)中����,當檢測到對服務器的攻擊時,防御設備將用于使分組經(jīng)由自身裝置進行路由的路由信息通知給預定路由器�����,由此對經(jīng)由該自身裝置而路由的分組進行過濾�����,并且將經(jīng)過濾的分組轉發(fā)到服務器�。
具體地參照圖13說明該處理。圖13是根據(jù)傳統(tǒng)技術的網(wǎng)絡攻擊防御系統(tǒng)的說明圖�����。如圖13所示,例如�����,如果通信終端(攻擊者)94正在攻擊服務器92(受害者)���,那么,當攻擊檢測器95檢測到經(jīng)由路由器83接收分組的服務器92正在被攻擊時����,攻擊檢測器95通知防御設備90已經(jīng)檢測到攻擊(參見圖13的(1)和(2))。當接收到該通知���,防御設備90將用于使分組經(jīng)由自身裝置進行路由的路由信息通知給預定路由器93(參見圖13中的(3))�����。另一方面���,路由器93基于所接收的路由信息對路由表進行更新,并且根據(jù)更新后的路由表對分組進行中繼(參見圖13中的(4))�����。即,路由器93將尋址到服務器92的惡意分組轉發(fā)到防御設備90�。從而,防御設備90對從路由器93轉發(fā)來的惡意分組進行過濾���,并且將經(jīng)過濾的分組經(jīng)由路由器83轉發(fā)到服務器92���。
專利文獻1美國專利申請公開第2002/0083175號的說明書(第10到12頁)發(fā)明內(nèi)容本發(fā)明要解決的問題然而,在上述傳統(tǒng)技術中�,例如,如在圖13所示的示例中�,預先確定僅當檢測到對經(jīng)由路由器83接收分組的服務器92的攻擊時,防御設備90才將路由信息通知給路由器93�����。因此���,如果服務器92變成攻擊者��,則無法防止惡意分組��。換言之�,在根據(jù)傳統(tǒng)技術的網(wǎng)絡攻擊防御系統(tǒng)中,如果惡意分組的流入方向不固定���,則無法防止攻擊�。
在根據(jù)傳統(tǒng)技術的網(wǎng)絡攻擊防御系統(tǒng)中��,當經(jīng)防御設備90過濾的分組被轉發(fā)到路由器93時���,在防御設備90與路由器93之間產(chǎn)生分組環(huán)路(loop)。此外�,在傳統(tǒng)技術中,當網(wǎng)絡攻擊防御系統(tǒng)包括多個防御設備90時���,因為預先確定將路由信息通知給路由器93�,所以通過最接近惡意分組發(fā)送方的防御設備使惡意分組繞過�,無法控制惡意分組的通過。此外���,僅通過最接近惡意分組發(fā)送方的防御設備無法使惡意分組繞過����。
本發(fā)明是為解決上述問題而實現(xiàn)的。本發(fā)明的目的是提供一種防御設備��、防御方法����、防御程序、以及網(wǎng)絡攻擊防御系統(tǒng)��,其能夠在不受惡意分組的流入方向的影響的情況下�����,防止惡意分組�。
解決問題的手段根據(jù)權利要求1所述的防御設備基于關于對服務器或者域的攻擊的信息,通過將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器�����,對該惡意分組的通過進行控制����。所述防御設備包括中繼器選擇單元,其基于所述攻擊信息�,從與防御設備相鄰的多個中繼器中,選擇至少一個中繼器��,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地;路由信息通知單元���,其將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給通過所述中繼器選擇單元選定的中繼器����;以及分組控制單元��,其對從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制�。
在根據(jù)權利要求2所述的防御設備中,中繼器選擇單元從與防御設備相鄰的多個中繼器中�����,除去成為對于受該惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外��,選擇中繼器作為路由信息的通知目的地��。
根據(jù)權利要求3所述的防御設備進一步包括攻擊信息發(fā)送器����,其將攻擊信息發(fā)送給與所述防御設備相鄰的另一防御設備��。所述中繼器選擇單元在從另一防御設備接收到關于攻擊的信息時��,也基于該關于攻擊的信息選擇至少一個中繼器,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�。
根據(jù)權利要求4所述的防御設備進一步包括攻擊終止判定單元,其監(jiān)控從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組�����,并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止�。當攻擊終止判定單元判定惡意分組的發(fā)送已經(jīng)終止時,路由信息通知單元將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器���。
根據(jù)權利要求5所述的網(wǎng)絡攻擊防御系統(tǒng)包括多個中繼器�,其對發(fā)送到網(wǎng)絡上的服務器或者域的分組進行中繼�;和防御設備,其基于關于對服務器或者域的攻擊的信息��,通過將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器�����,對該惡意分組的通過進行控制���。所述防御設備包括中繼器選擇單元����,其基于關于攻擊的信息,從與防御設備相鄰的多個中繼器中選擇至少一個中繼器�,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地;路由信息通知單元���,其將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給通過中繼器選擇單元選擇的中繼器���;以及分組控制單元,其對從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制���。
根據(jù)權利要求6所述的防御方法����,使用了防御設備��,所述防御設備基于關于對服務器或者域的攻擊的信息��,通過將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器�����,對該惡意分組的通過進行控制��。所述防御方法包括基于關于攻擊的信息��,從與防御設備相鄰的多個中繼器中�����,選擇至少一個中繼器���,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地����;將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給選擇步驟中選擇的中繼器�;以及對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制。
在根據(jù)權利要求7所述的防御方法中����,選擇步驟包括從與防御設備相鄰的中繼器中,除去成為關于受惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外���,選擇中繼器作為路由信息的通知目的地���。
根據(jù)權利要求8所述的防御方法進一步包括將關于攻擊的信息發(fā)送給與防御設備相鄰的另一防御設備。選擇步驟包括當從另一防御設備接收到關于攻擊的信息時�,也基于關于攻擊的信息,選擇至少一個中繼器����,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�����。
根據(jù)權利要求9所述的防御方法進一步包括對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組進行監(jiān)控�;并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止�����。當判定惡意分組的發(fā)送已經(jīng)終止時��,通知步驟包括將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器�。
根據(jù)權利要求10所述的防御程序用于實現(xiàn)使用防御設備的防御方法,所述防御設備基于關于對服務器或者域的攻擊的信息��,通過將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器��,對該惡意分組的通過進行控制��。所述防御程序使計算機作為防御設備執(zhí)行以下步驟基于關于攻擊的信息�,從與防御設備相鄰的多個中繼器中,選擇至少一個中繼器�,該中繼器成為使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地����;將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給選擇步驟中選擇的中繼器���;以及對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制。
在根據(jù)權利要求11所述的防御程序中�����,選擇步驟包括從與防御設備相鄰的中繼器中�,除去成為關于受惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外,選擇中繼器作為路由信息的通知目的地�。
根據(jù)權利要求12所述的防御程序進一步使得計算機執(zhí)行將關于攻擊的信息發(fā)送給與防御設備相鄰的另一防御設備。選擇步驟包括當從另一防御設備接收到關于攻擊的信息時����,也基于關于攻擊的信息選擇至少一個中繼器,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�����。
根據(jù)權利要求13所述的防御程序進一步使得計算機執(zhí)行對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組進行監(jiān)控����;并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止。當判定惡意分組的發(fā)送已經(jīng)終止時�����,通知步驟包括將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器。
發(fā)明效果根據(jù)權利要求1�����、5�����、6或者10所述的本發(fā)明��,通過考慮惡意分組的流入方向�����,選擇一中繼器����,該中繼器成為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息通知目的地,以對從選定中繼器路由到所述自身裝置的惡意分組的通過進行控制��。因此���,在不受惡意分組的流入方向影響的情況下����,可實現(xiàn)對惡意分組的防御�����。
根據(jù)權利要求2����、7或者11所述的本發(fā)明,將路由信息通知給除了作為相對于受攻擊服務器或者域的下一中繼目的地的中繼器之外的另一中繼器�,并且將從所述另一中繼器路由的分組中繼到作為相對于受攻擊服務器或者域的下一中繼目的地的所述中繼器。從而��,可以防止生成分組環(huán)路���。
根據(jù)權利要求3����、8或者12所述的本發(fā)明����,所述防御設備將攻擊信息發(fā)送到與自身裝置相鄰的另一防御設備。此外,即使當從所述另一防御設備接收到攻擊信息時�����,所述防御設備也基于該攻擊信息選擇一中繼器��,該中繼器成為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地���,來對從選定中繼器路由到所述自身裝置的惡意分組的通過進行控制�。從而���,通過接近攻擊源的防御設備可以實現(xiàn)對攻擊的防御��。
根據(jù)權利要求4��、9或者13所述的本發(fā)明�,當完成了從所述中繼器路由到所述自身裝置的惡意分組的發(fā)送時���,將用于使惡意分組不經(jīng)由所述自身裝置進行路由的路由信息再次通知給所述中繼器�。從而�����,可以有效地交替經(jīng)由防御設備的惡意分組的繞過。
圖1是根據(jù)第一實施例的網(wǎng)絡攻擊防御系統(tǒng)的配置圖�;圖2是根據(jù)第一實施例的防御設備的配置框圖;圖3是可疑簽名(signature)的示例��;圖4是正常條件信息的示例����;圖5是非法業(yè)務量檢測條件的示例��;圖6是接收攻擊信息時的處理過程的流程圖��;圖7是檢測非法分組時的處理過程的流程圖���;圖8是控制分組時的處理過程的流程圖��;圖9是根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)的配置圖�����;圖10是根據(jù)第二實施例的防御設備的配置框圖��;圖11是接收攻擊信息時的處理過程的流程圖��;圖12是判定攻擊終止的處理過程的流程圖��;以及圖13是根據(jù)傳統(tǒng)技術的網(wǎng)絡攻擊防御系統(tǒng)的說明圖��。
標號說明10�、60防御設備11網(wǎng)絡接口12分組控制器13、63攻擊信息處理器14中繼器選擇器15路由信息通知單元
16分組獲得單元17���、67攻擊檢測模塊20服務器30中繼器40通信終端50檢測器83路由器95攻擊檢測器100��、200網(wǎng)絡攻擊防御系統(tǒng)具體實施方式
下面參照附圖詳細說明根據(jù)本發(fā)明的防御設備�����、防御方法��、防御程序�����、以及網(wǎng)絡攻擊防御系統(tǒng)的實施例���。作為第一實施例,說明通過一個防御設備防止攻擊的網(wǎng)絡攻擊防御系統(tǒng)�����;隨后作為第二實施例,說明通過多個防御設備防止攻擊的網(wǎng)絡攻擊防御系統(tǒng)��。最后�����,作為第三實施例���,說明第一實施例和第二實施例的各種變形例���。
第一實施例根據(jù)第一實施例����,首先說明通過一個防御設備防止攻擊的網(wǎng)絡攻擊防御系統(tǒng)的概況和特性,隨后說明所述防御設備的配置和處理�,以及第一實施例的效果。
參照圖1說明根據(jù)第一實施例的網(wǎng)絡攻擊防御系統(tǒng)的概況和特性�。圖1是根據(jù)第一實施例的網(wǎng)絡攻擊防御系統(tǒng)的配置圖。
如圖1中所示����,網(wǎng)絡攻擊防御系統(tǒng)100在網(wǎng)絡上包括防御設備10,當檢測到對網(wǎng)絡上的服務器20的DoS攻擊或者DDoS攻擊時�����,其防護服務器20免受攻擊;和多個中繼器30��,其對發(fā)送到服務器20的分組進行中繼�����。服務器20和通信終端40連接到網(wǎng)絡�����,并且在網(wǎng)絡上提供有對服務器20遭到攻擊進行檢測的檢測器50��。
中繼器30可用作例如路由器或者網(wǎng)橋�����。將圖1中示出的各中繼器30彼此區(qū)分為中繼器30-1和中繼器30-2�����,并且將各服務器20彼此區(qū)分為服務器20-1和服務器20-2�。
在網(wǎng)絡攻擊防御系統(tǒng)100中,將列出分組地址的路由表登記在防御設備10和中繼器30中�。作為登記路由表的方法��,例如可以依照諸如開放最短路徑優(yōu)先(OSPF)���、路由信息協(xié)議(RIP)、或者邊界網(wǎng)關協(xié)議(BGP)等已知路由協(xié)議來登記��。
當通信終端40將分組正常發(fā)送到服務器20-1時�,所發(fā)送的分組根據(jù)中繼器30-1和30-2的各路由表,經(jīng)由中繼器30-2和30-1中繼到服務器20-1����,而不通過防御設備10進行中繼。
當通信終端40是攻擊者���,并且用于攻擊的惡意分組被發(fā)送到服務器20-1時�����,檢測器50檢測到對服務器20-1的攻擊且將表示檢測到攻擊的攻擊信息發(fā)送到防御設備10(參見圖1的(1)和(2))。受攻擊的服務器20-1的地址等包括在攻擊信息里����。檢測器50和防御設備10可以連接到用于控制檢測器50、防御設備10等的控制網(wǎng)絡�����,并且攻擊信息可經(jīng)由該控制網(wǎng)絡轉發(fā)。
另一方面�����,接收到從檢測器50發(fā)送來的攻擊信息的防御設備10基于所接收的攻擊信息��,選擇作為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地的中繼器30(參見圖1的(3))�。根據(jù)第一實施例的網(wǎng)絡攻擊防御系統(tǒng)100的主要特征在于通過考慮惡意分組的流入方向來選擇中繼器,這樣使得能夠在不受惡意分組的流入方向影響的情況下防御惡意分組����。
換言之,防御設備10根據(jù)攻擊信息指定受攻擊服務器20�����;根據(jù)路由表確定如下中繼器30���,該中繼器30成為對于包括受攻擊服務器20的地址在內(nèi)的分組的下一中繼目的地����;并且從與防御設備10相鄰的多個中繼器30中選擇除了作為下一中繼目的地的中繼器30之外的中繼器30作為通知目的地����。例如��,在圖1所示的示例中����,當根據(jù)攻擊信息指定受攻擊的服務器20-1時�����,防御設備10根據(jù)路由表確定中繼器30-1是對于所指定的服務器20-1的下一中繼目的地�,并且從與防御設備10相鄰的中繼器30-1和30-2中排除中繼器30-1,選擇中繼器30-2作為通知目的地�����。
在選擇中繼器30之后�,防御設備10將用于使惡意分組經(jīng)由自身裝置進行路由的路由信息通知給選定中繼器30-2(參見圖1中的(4))����,并且中繼器30-2基于所通知的路由信息更改路由表(參見圖1的(5))�。從而,中繼器30-2將尋址到服務器20-1的惡意分組中繼到防御設備10���。即����,將惡意分組經(jīng)由中繼器30-2��、防御設備10以及中繼器30-1中繼到服務器20-1�����。
防御設備10基于攻擊信息控制從中繼器30-2中繼的惡意分組的通過��,并且對尋址到服務器20-1的分組進行中繼�。如果受害者/對象不是服務器20,而是特定域��,則將尋址到該域的惡意分組中繼到防御設備10��。當通過監(jiān)控惡意分組����,判定了來自通信終端40的攻擊已經(jīng)結束時,防御設備10將用于使尋址到服務器20-1的分組不經(jīng)由自身裝置進行路由的路由信息通知給中繼器30-2�����,并且已經(jīng)接收到路由信息的中繼器30-2基于被通知的路由信息更改路由表。
接著說明圖1所示的防御設備10的配置��。圖2是根據(jù)第一實施例的防御設備10的配置框圖���。如圖2所示���,防御設備10包括網(wǎng)絡接口11、分組控制器12���、攻擊信息處理器13����、中繼器選擇器14��、路由信息通知單元15����、分組獲得單元16以及攻擊檢測模塊17。
防御設備10包括中央處理單元(CPU)�、存儲器、硬盤等���,并且分組控制器12�����、攻擊信息處理器13�����、中繼器選擇器14���、路由信息通知單元15、分組獲得單元16��、以及攻擊檢測模塊17可以是通過CPU處理的程序模塊��。該程序模塊可以通過一個CPU處理�����,或者可以分配給多個CPU進行處理���。
分組控制器12對應于權利要求中所述的“分組控制單元”�����;中繼器選擇器14對應于“中繼器選擇單元”�;并且路由信息通知單元15對應于“路由信息通知單元”。
在圖2中����,網(wǎng)絡接口11在連接到網(wǎng)絡的各種通信設備之間轉發(fā)分組、攻擊信息等����。具體地,網(wǎng)絡接口11由用于連接到諸如局域網(wǎng)(LAN)或者廣域網(wǎng)(WAN)等網(wǎng)絡的網(wǎng)絡連接卡等形成�����。
分組控制器12中記錄有關于分組的地址的路由表�����,并且根據(jù)所述路由表對接收的分組進行中繼�。分組控制器12還有具有執(zhí)行分組過濾的過濾單元(未示出),并且控制通過網(wǎng)絡接口11接收的分組的通過����,并將允許通過的分組輸出到網(wǎng)絡接口11。稍后將參照圖8詳細說明分組過濾�。
當檢測器50檢測到DoS攻擊或者DDoS攻擊時,攻擊信息處理器13接收到表示檢測到攻擊的攻擊信息����。除了受攻擊服務器20的地址之外�,用于控制分組通過的簽名等也可包括在攻擊信息中�。即����,攻擊信息處理器13可以接收用于限制關于攻擊的可疑分組的可疑簽名或者正常條件信息。
參照圖3說明可疑簽名���。圖3是可疑簽名的示例���。如圖3所示,可疑簽名由表示可疑分組的檢測條件的信息形成��。具體地���,例如�,圖3所示的可疑簽名No.1是由如下檢測屬性的組合形成的�,即“目的地IP地址”是“192.168.1.1/32”(dst=192.168.1.1/32),表示IP上層(TCP或者UDP)中的協(xié)議類型的“協(xié)議”是“TCP”(協(xié)議=TCP)��,以及表示與IP上層中的協(xié)議所屬的應用有關的信息的“目的地端口(目的地端口號)”是“80”(端口=80)���。
圖3所示的可疑簽名No.2是由如下檢測屬性的組合形成的���,即“目的地IP地址”是“192.168.1.2/32”(dst=192.168.1.2/32)���,和“協(xié)議”是“用戶數(shù)據(jù)報協(xié)議(UDP)”(協(xié)議=UDP)。同樣地��,可疑簽名No.3是由如下檢測屬性的組合形成的�,即“目的地IP地址”是“192.168.1.0/24”。由攻擊信息處理器13接收的可疑簽名記錄在分組控制器12中的過濾單元中���,并且用于對分組的通過進行控制��。
參照圖4說明由攻擊信息處理器13接收的正常條件信息�,即���,表示從合法用戶使用的終端發(fā)送來的分組的正常條件信息�。圖4是正常條件信息的示例�。如圖4所示,正常條件信息是由多個包括成對的IP分組中的屬性和屬性值在內(nèi)的記錄形成的���。使用編號來便于指定記錄(模式)����。
具體地,記錄No.1的檢測屬性指定IP的“源IP地址”是“172.16.10.0/24”(src=172.16.10.0/24)����,并且記錄No.2的檢測屬性指定“服務類型”(表示IP上的服務質量)是“01(十六進制)”(TOS=0x01)。對于正常條件���,例如,設置作為防御對象的服務器20等的源IP地址(諸如操作該服務器的公司的分公司或者附屬公司)�,以及識別容納有服務器20的LAN的擁有者是正常用戶的網(wǎng)絡的源IP地址。攻擊檢測模塊17參照正常條件�,針對正常條件的全部記錄中的每一個,與可疑簽名進行“與”計算�����,并且將結果指定為正常簽名�。
在圖2中,中繼器選擇器14基于通過攻擊信息處理器13接收的攻擊信息�,從網(wǎng)絡上的中繼器30中選擇至少一個中繼器30,該中繼器30成為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地����。具體地���,中繼器選擇器14根據(jù)攻擊信息指定受攻擊的服務器20,根據(jù)路由表確定中繼器30�����,該中繼器30成為對于包括受攻擊的服務器20的地址在內(nèi)的分組的下一中繼目的地�;并且從與防御設備10相鄰的中繼器中選擇除了作為下一中繼目的地的中繼器30以外的中繼器30作為通知目的地。
例如����,在圖1所示的示例中,當根據(jù)攻擊信息指定受攻擊的服務器20-1時�,中繼器選擇器14根據(jù)路由表確定中繼器30-1作為對于尋址到所指定的服務器20-1的分組的下一中繼目的地,并且從與防御設備10相鄰的中繼器30-1和30-2中選擇除了中繼器30-1的中繼器30-2作為通知目的地��。另一方面����,在圖1中,當指定了受服務器20-2攻擊的通信終端40時��,中繼器選擇器14根據(jù)路由表確定中繼器30-2作為相對于尋址到所指定的通信終端40的分組的下一中繼目的地��,并且從與防御設備10相鄰的中繼器30-1和30-2中選擇除了中繼器30-2的中繼器30-1作為通知目的地。
路由信息通知單元15將用于使待發(fā)送到受害者/對象的分組經(jīng)由防御設備10進行路由的路由信息通知給由中繼器選擇器14選擇的中繼器30��。具體地�,在上述示例中,當根據(jù)攻擊信息指定受攻擊的服務器20-1時����,路由信息通知單元15將用于使待發(fā)送到服務器20-1的分組經(jīng)由防御設備10進行路由的路由信息發(fā)送給中繼器30-2。路由信息包括受害者/對象的IP地址�、網(wǎng)絡地址等。例如����,路由信息通知單元15可以按照BGP將路由信息通知給選定中繼器30�。
分組獲得單元16獲得通過網(wǎng)絡接口11接收的分組,并且將涉及所獲分組的統(tǒng)計的統(tǒng)計信息提供給攻擊檢測模塊17等����。
攻擊檢測模塊17基于由分組獲得單元16提供的統(tǒng)計信息和通過攻擊信息處理器13接收的攻擊信息對攻擊進行檢測或者分析,并且生成正常簽名或者非法簽名���。
在此說明正常簽名的生成��。當攻擊信息處理器13接收到攻擊信息時(包括可疑簽名和正常條件信息)時�����,攻擊檢測模塊17參照圖4所示的正常條件��,針對正常條件的全部記錄中的每一個�,與可疑簽名進行“與”計算,并且將結果指定為正常簽名����。正常簽名用于根據(jù)可疑簽名對作為正常用戶的通信分組的正常分組進行授權。例如�,參照圖3和4中的示例,通過圖3中的記錄No.1的條件所檢測的分組的可疑簽名是[dst=192.168.1.1/32�����,協(xié)議=TCP�����,端口=80]�����,并且圖4的正常簽名是[src=172.16.10.24���,dst=192.168.1.1/32�����,協(xié)議=TCP�����,端口=80]以及[TOS=0x01�,dst=192.168.1.1/32,協(xié)議=TCP�����,端口=80]����。
攻擊檢測模塊17能夠檢測非法通信,在這種情況下����,攻擊檢測模塊17保留非法業(yè)務量檢測條件來檢測非法業(yè)務量��。參照圖5說明非法業(yè)務量檢測條件�����。圖5是非法業(yè)務量檢測條件的一個示例。如圖5所示��,非法業(yè)務量條件由已知DDos攻擊的多個業(yè)務量模式形成���。當可疑惡意分組的業(yè)務量與所述通信模式之一匹配時���,認為該業(yè)務量是非法業(yè)務量。使用號碼來便于指定記錄(模式)�。
具體地,No.1的非法業(yè)務量條件指示“將具有每秒T1千字節(jié)或者更大的傳輸帶寬的分組連續(xù)發(fā)送S1秒或者更長時間”的業(yè)務量模式��。No.2的非法業(yè)務量條件指示“將具有每秒T2千字節(jié)或者更大的傳輸帶寬的基于因特網(wǎng)控制消息協(xié)議(ICMP)的回顯應答(Echo Reply)消息分組連續(xù)發(fā)送S2秒或者更長時間”的業(yè)務量模式���。此外����,No.3的非法業(yè)務量條件指示“將具有每秒T3千字節(jié)或者更大的傳輸帶寬的分片分組(表示由于包括在分組中的數(shù)據(jù)過長����,而將數(shù)據(jù)分割成多個IP分組并且發(fā)送)連續(xù)發(fā)送S3秒或者更長時間”的業(yè)務量模式。
當攻擊檢測模塊17已經(jīng)檢測到與圖4所示的非法業(yè)務量條件中的任何一個模式相匹配的業(yè)務量時���,生成用于限制該非法業(yè)務量的非法簽名�����。具體地�����,攻擊檢測模塊17指定滿足所檢測到的非法通信條件的分組的源IP地址作為非法地址范圍�,并且生成在非法地址范圍內(nèi)的且與可疑簽名相匹配的條件作為非法簽名。
由攻擊檢測模塊17生成的正常簽名和非法簽名��,與由攻擊信息處理器13接收的可疑簽名相同��,登記在分組控制器12的過濾單元中�����,并且用于對分組的通過進行控制�����。
參照圖6說明通過防御設備10接收攻擊信息時的操作���。圖6是在接收到攻擊信息時的處理過程的流程圖����。
如圖6所示�����,當在防御設備10中的攻擊信息處理器13接收到從檢測器50發(fā)送的攻擊信息時(步驟S1)��,中繼器選擇器14基于所接收的攻擊信息����,選擇至少一個中繼器30作為用于使惡意分組路由通過自身裝置的路由信息的通知目的地(步驟S2)。
具體地����,在圖1所示的示例中,中繼器選擇器14基于攻擊信息指定受到攻擊的服務器20-1�����,根據(jù)路由表確定中繼器30-1作為關于尋址到所指定的服務器20-1的分組的下一中繼目的地��,并且從與防御設備10相鄰的中繼器30-1和30-2中選擇除了中繼器30-1之外的中繼器30-2作為通知目的地���。
此后��,防御設備10中的路由信息通知單元15將用于使待發(fā)送到受害者/對象的分組經(jīng)由防御設備10進行路由的路由信息通知給在步驟S2中通過中繼器選擇器14選擇的中繼器30(步驟S3)����。具體地,在此示例中����,路由信息通知單元15將用于使待發(fā)送到服務器20-1的分組經(jīng)由防御設備10進行路由的路由信息發(fā)送給中繼器30-2。
隨后�,攻擊檢測模塊17基于包括在攻擊信息中的可疑簽名和正常條件信息生成正常簽名(步驟S4),并且將包括在攻擊信息中的可疑簽名和在步驟S4中生成的正常簽名登記在分組控制器12中(過濾單元)(步驟S5)�����。
根據(jù)步驟S3的處理已經(jīng)接收到路由信息的中繼器30-2基于所通知的路由信息更改路由表��,由此將尋址到服務器20-1的惡意分組中繼到防御設備10����。防御設備10對尋址到服務器20-1的分組進行中繼,同時基于攻擊信息對從中繼器30-2中繼來的惡意分組的通過進行控制�。
參照圖7說明通過防御設備10檢測到非法分組時的操作。圖7是檢測到非法分組時的處理過程的流程圖��。
如圖7所示���,防御設備10中的攻擊檢測模塊17在基于圖5所示的非法業(yè)務量條件檢測到非法業(yè)務量時(步驟S11)��,生成非法簽名(步驟S12)�。攻擊檢測模塊17將所生成的非法簽名登記在分組控制器12中(過濾單元)(步驟S13)�。
參照圖8說明通過防御設備10控制分組時的操作。圖8是在控制分組時的處理過程的流程圖�����。
如圖8所示�,當將分組從網(wǎng)絡接口11輸入時(步驟S21,是)����,分組控制器12(過濾單元)判定分組是否與所登記的非法簽名相匹配(步驟S22)。當分組與非法簽名相匹配時(步驟S22��,是)�����,分組控制器12將分組輸入用于對非法分組進行處理的非法隊列中(步驟S23)���。
相反���,當分組與非法簽名不匹配時(步驟S22�,否)�����,分組控制器12判定輸入的分組是否與所登記的正常簽名相匹配(步驟S24)�����。當分組與正常簽名相匹配時(步驟S24����,是),分組控制器12將該分組輸入正常用戶的正常隊列(步驟S25)���。
如果分組與正常簽名也不匹配(步驟S24�,否)���,則分組控制器12判定所輸入的分組是否與所登記的可疑簽名相匹配(步驟S26)����。當該分組與可疑簽名相匹配時(步驟S26,是)���,分組控制器12將該分組輸入可疑用戶的可疑隊列(步驟S27)����。相反����,如果分組與可疑簽名不匹配(步驟S26��,否)��,則分組控制器12將該分組輸入正常隊列(步驟S28)����。
分組控制器12在不限制傳輸帶寬的情況下從網(wǎng)絡接口11輸出正常隊列中的分組,如果為可疑隊列或者非法隊列中的分組�,則根據(jù)各個簽名表示的傳輸帶寬限定值限制傳輸帶寬輸出?���?蓪⒍鄠€非法簽名、正常簽名以及可疑簽名中的各個簽名以多個號碼登記在分組控制器12(過濾單元)中��。當所登記的簽名的檢測屬性等滿足預定判斷標準時,分組控制器12釋放滿足預定判斷標準的簽名��,終止根據(jù)所釋放的簽名進行分組控制的處理�����。
根據(jù)第一實施例���,考慮惡意分組的流入方向選擇中繼器30�����,該中繼器30成為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地��,以控制從選定中繼器30路由到自身裝置的惡意分組的通過��。因此���,可以在不受惡意分組的流入方向影響的情況下,實現(xiàn)對惡意分組的防御�����。
根據(jù)第一實施例����,將路由信息通知給除了作為關于受攻擊服務器20-1(或者域)的下一中繼目的地的中繼器30-1之外的另一中繼器30-2����,并且將從中繼器30-2路由到自身裝置的分組中繼到中繼器30-2�。從而可以防止生成分組環(huán)路。
第二實施例在第二實施例中�,說明通過多個防御設備防止攻擊的網(wǎng)絡攻擊防御系統(tǒng)的概況和特性,隨后說明防御設備的配置�����、處理��,以及第二實施例的效果�。
參照圖9說明根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)的概況和特性���。圖9是根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)的配置圖��。
如圖9所示�����,網(wǎng)絡攻擊防御系統(tǒng)200在網(wǎng)絡上包括防御設備60�����,當檢測到對服務器20的DoS攻擊或者DDoS攻擊時���,所述防御設備60防御網(wǎng)絡上的服務器20免受攻擊����;和中繼器30�,其對待發(fā)送到服務器20的分組進行中繼。服務器20和通信終端40連接到網(wǎng)絡����,并且在網(wǎng)絡上提供有檢測服務器20處于攻擊下的檢測器50。
在組成根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)200的元件中�,相同的參考標號表示與根據(jù)第一實施例的網(wǎng)絡攻擊防御系統(tǒng)100的部件相同的部件,并且省略其說明�����。在下文的說明中�����,將各個中繼器30彼此區(qū)分為中繼器30-1和中繼器30-2�����,并且將各個服務器20彼此區(qū)分為服務器20-1和服務器20-2。將各個防御設備60彼此區(qū)分為防御設備60-1和防御設備60-2���,并且將各個通信終端40彼此區(qū)分為通信終端40-1和通信終端40-2��。
在網(wǎng)絡攻擊防御系統(tǒng)200中�����,指定分組地址的路由表登記在防御設備60和中繼器30中�。作為用于登記路由表的方法��,例如可按照諸如OSPF�、RIP或者BGP的已知路由協(xié)議進行登記���。
當通信終端40-1將分組正常發(fā)送到服務器20-1時�����,所發(fā)送的分組根據(jù)中繼器30-1����、30-2和30-3的各路由表,不通過防御設備60中繼而經(jīng)由中繼器30-3���、30-2以及30-1中繼到服務器20-1�����。
當通信終端40-1是攻擊者�,并且將用于攻擊的惡意分組發(fā)送到服務器20-1時����,檢測器50檢測到對服務器20-1的攻擊并且將表示檢測到攻擊的攻擊信息發(fā)送到防御設備60-1(參見圖9中的(1)和(2))。防御設備60可以連接到用于控制防御設備60等的控制網(wǎng)絡�����,并且攻擊信息可以經(jīng)由該控制網(wǎng)絡轉發(fā)��。
另一方面�,已經(jīng)接收到從檢測器50發(fā)送來的攻擊信息的防御設備60-1基于所接收的攻擊信息,選擇中繼器30��,該中繼器30成為用于將惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地(參見圖9中的(3))���。具體地���,與第一實施例相同��,在已經(jīng)根據(jù)攻擊信息指定受攻擊服務器20-1后�����,防御設備60-1根據(jù)路由表確定中繼器30-1�����,該中繼器30-1成為關于尋址到指定服務器20-1的分組的下一中繼目的地��;并且從與防御設備60-1相鄰的中繼器30-1和30-2中選擇除中繼器30-1之外的中繼器30-2作為通知目的地����。
選擇了中繼器30之后����,防御設備60-1將用于使惡意分組經(jīng)由自身裝置進行路由的路由信息通知給選定中繼器30-2(參見圖9的(4))�����,并且中繼器30-2基于所通知的路由信息更改路由表(參見圖9的(5))�����。從而,中繼器30-2將尋址到服務器20-1的惡意分組中繼到防御設備60-1��。即�,將惡意分組經(jīng)由中繼器30-3、中繼器30-2��、防御設備60-1以及中繼器30-1中繼到服務器20-1����。防御設備60-1對尋址到服務器20-1的分組進行中繼,同時基于攻擊信息對從中繼器30-2中繼來的惡意分組的通過進行控制�����。
通過這種方式更改中繼器30-2的路由表����,并且將惡意分組從中繼器30-2中繼到防御設備60-1并且進行處理。根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)200中的防御設備60的主要特征在于通過基于攻擊信息選擇預定中繼器30來更改路由表����,并且也將攻擊信息發(fā)送到另一相鄰防御設備60。
即�����,防御設備60-1將路由信息通知給中繼器30-2,并且隨后將攻擊信息發(fā)送到與防御設備60-1相鄰的防御設備60-2(參見圖9中的(6))����。從而,已經(jīng)接收到攻擊信息的防御設備60-2�,與防御設備60-1同樣,基于攻擊信息選擇中繼器30�����,該中繼器30成為用于使惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地(參見圖9中的(7))��。具體地�,防御設備60-2根據(jù)接收的攻擊信息指定受攻擊的服務器20-1,根據(jù)路由表確定中繼器30-2作為關于尋址到所指定的服務器20-1的分組的下一中繼目的地��,并且從與防御設備60-2相鄰的中繼器30-2和30-3中選擇除中繼器30-2之外的中繼器30-3�。
在選擇了中繼器30之后,防御設備60-2將用于使惡意分組經(jīng)由自身裝置進行路由的路由信息通知給選定中繼器30-3(參見圖9中的(8))�,并且中繼器30-3基于被通知的路由信息更改路由表(參見圖9中的(9))。從而�,中繼器30-3將尋址到服務器20-1的惡意分組中繼到防御設備60-2�。即�,將惡意分組經(jīng)由中繼器30-3��、防御設備60-2���、中繼器30-2����、防御設備60-1以及中繼器30-1中繼到服務器20-1�。防御設備60-2在對尋址到服務器20-1的分組進行中繼的同時,基于攻擊信息對所中繼的惡意分組的通過進行控制�。
如此,更改比中繼器30-1更為接近攻擊者的中繼器30-3的路由表�,并且將惡意分組從中繼器30-3中繼到防御設備60-2并進行處理。根據(jù)第二實施例的網(wǎng)絡攻擊防御系統(tǒng)200中的防御設備60的主要特征在于將攻擊信息發(fā)送到另一相鄰防御設備60���,并且還取消了通過中繼器30(已經(jīng)更改路由表)將分組中繼到自身裝置�。
即�,防御設備60-2將攻擊信息發(fā)送到另一相鄰防御設備60,并且判定是否已經(jīng)完成了將惡意分組發(fā)送到自身裝置(參見圖9中的(10))���。具體地����,在上述示例中,當由于通過防御設備60-2對惡意分組通過的控制�����,惡意分組在預定時間段內(nèi)未通過防御設備60-1時���,防御設備60-1判定來自通信終端40-1的攻擊已經(jīng)結束�。
隨后�����,防御設備60-1將用于不將尋址到服務器20-1的分組經(jīng)由自身裝置進行路由的路由信息通知給已經(jīng)更改路由表的中繼器30-2(參見圖9中的(11))����,并且中繼器30-2基于所通知的路由信息更改路由表(參見圖9中的(12))。從而�,中繼器30-2不將尋址到服務器20-1的惡意分組中繼到防御設備60-1,而是將其中繼到中繼器30-1����。即,將惡意分組經(jīng)由中繼器30-3��、防御設備60-2、中繼器30-2以及中繼器30-1中繼到服務器20-1�。
接下來參照圖10說明圖9所示的防御設備60的配置。圖10是根據(jù)第二實施例的防御設備60的配置框圖��。如圖10所示��,防御設備60包括網(wǎng)絡接口11�、分組控制器12�、攻擊信息處理器63、中繼器選擇器14����、路由信息通知單元15、分組獲得單元16以及攻擊檢測模塊67��。
分組控制器12對應于權利要求中的“分組控制單元”�,攻擊信息處理器63對應于“攻擊信息發(fā)送器”,中繼器選擇器14對應于“中繼器選擇單元”���,路由信息通知單元15對應于“路由信息通知單元”�,并且攻擊檢測模塊67對應于“攻擊終止判定單元”��。在這些組成根據(jù)第二實施例的防御設備60的組件中�����,相同的參考標記表示與根據(jù)第一實施例的防御設備10的部件相同的部件,并且省略其說明����。
在圖10中,當檢測器50檢測到DoS攻擊或者DDoS攻擊時�,攻擊信息處理器63接收表示檢測到攻擊的攻擊信息,并且將所接收到的攻擊信息發(fā)送到與自身防御設備60相鄰的防御設備����。然而,攻擊信息處理器63不將攻擊信息發(fā)送到已經(jīng)將攻擊信息發(fā)送到自身防御設備60的相鄰中繼裝置��。例如���,在圖9中所示的網(wǎng)絡攻擊防御系統(tǒng)200中�,如果防御設備60-1已經(jīng)將攻擊信息發(fā)送到防御設備60-2����,則防御設備60-2中的攻擊信息處理器63不將攻擊信息再次發(fā)送到防御設備60-1,即��,已經(jīng)發(fā)送攻擊信息的相鄰中繼裝置�。
攻擊檢測模塊67除了基于分組獲得單元16提供的統(tǒng)計信息和攻擊信息處理器18提供的攻擊信息��,執(zhí)行對攻擊的檢測和分析并且生成正常簽名和非法簽名之外����,還判定攻擊是否已經(jīng)結束�����。具體地���,在已經(jīng)將攻擊信息發(fā)送到另一相鄰防御設備60之后,攻擊檢測模塊67判定是否已經(jīng)結束了惡意分組到自身裝置的發(fā)送���。在圖9所示的示例中�,當由于防御設備60-2對惡意分組的通過的控制�����,惡意分組在預定時間段內(nèi)未通過防御設備60-1時�,防御設備60-1的攻擊檢測模塊67判定已經(jīng)結束了來自通信終端40-1的攻擊。
路由信息通知單元15將用于使待發(fā)送到受害者/對象的分組經(jīng)由自身防御設備進行路由的路由信息通知給通過中繼器選擇器14選擇的中繼器30�����。此外,當攻擊檢測模塊67判定攻擊已經(jīng)結束時�,路由信息通知單元15將用于使待發(fā)送到受害者/對象的分組不經(jīng)由自身防御設備進行路由的路由信息通知給通過中繼器選擇器14選擇的中繼器30。
參照圖11說明通過防御設備60接收到攻擊信息時的操作�����。圖11是接收到攻擊信息時處理過程的流程圖��。
如圖11所示�����,當在防御設備60中的攻擊信息處理器63接收到從檢測器50發(fā)送來的攻擊信息或者從另一相鄰防御設備60發(fā)送來的攻擊信息時(步驟S31)����,中繼器選擇器14基于所接收的攻擊信息,選擇至少一個中繼器30作為用于將惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地(步驟S32)�����。
具體地�����,在圖9所示的示例中�����,當防御設備60-1接收到來自檢測器50的攻擊信息時,中繼器選擇器14基于攻擊信息指定受攻擊的服務器20-1�,根據(jù)路由表確定中繼器30-1作為關于尋址到所指定的服務器20-1的分組的下一中繼目的地,并且從與防御設備60-1相鄰的中繼器30-1和中繼器30-2中選擇除中繼器30-1之外的中繼器30-2作為通知目的地�����。
另一方面����,當防御設備60-2從防御設備60-1接收到攻擊信息時�,中繼器選擇器14基于該攻擊信息指定受攻擊的服務器20-1,根據(jù)路由表確定中繼器30-2作為關于尋址到所指定的服務器20-1的分組的下一中繼目的地��,并且從與防御設備60-2相鄰的中繼器30-2和中繼器30-3中選擇除中繼器30-2之外的中繼器30-3作為通知目的地���。
此后��,防御設備60中的路由信息通知單元15將用于使待發(fā)送到受害者/對象的分組經(jīng)由防御設備進行路由的路由信息通知給在步驟S32中通過中繼器選擇器14選擇的中繼器30(步驟S33)�。具體地��,在此示例中�����,防御設備60-1將用于使待發(fā)送到服務器20-1的分組經(jīng)由防御設備60-1進行路由的路由信息發(fā)送到中繼器30-2,并且防御設備60-2將用于使待發(fā)送到服務器20-1的分組經(jīng)由防御設備60-2進行路由的路由信息發(fā)送到中繼器30-3��。
防御設備60中的攻擊檢測模塊67基于包括在攻擊信息中的可疑簽名和正常條件信息生成正常簽名(步驟S34)���,并且將包括在攻擊信息中的可疑簽名和在步驟S34中生成的正常簽名記錄在分組控制器12中(過濾單元)(步驟S35)����。
防御設備60中的攻擊信息處理器63判定與自身裝置相鄰的防御設備60是否存在(步驟S36)�。當存在相鄰防御設備60時(步驟S36,是)���,攻擊信息處理器63將在步驟S31中接收的攻擊信息發(fā)送到該相鄰防御設備(步驟S37)��。具體地����,在上述示例中��,因為存在相鄰防御設備60-2���,所以防御設備60-1將攻擊信息發(fā)送到該防御設備60-2�����。然而����,防御設備60-2由于沒有相鄰防御設備60,所以不發(fā)送攻擊信息�。
已經(jīng)根據(jù)步驟S33中的處理接收到路由信息的中繼器30-2和中繼器30-3基于所通知的路由信息更改路由表。從而�,中繼器30-2將尋址到服務器20-1的惡意分組中繼到防御設備60-1,并且中繼器30-3將尋址到服務器20-1的惡意分組中繼到防御設備60-2�。防御設備60-1和60-2在控制從中繼器30-2和30-3中繼來的惡意分組的通過的同時,基于攻擊信息對尋址到服務器20-1的分組進行中繼����。
參照圖12說明通過防御設備60執(zhí)行的攻擊終止的判定操作���。圖12是判定攻擊終止的處理過程的流程圖�����。
如圖12所示��,防御設備60中的攻擊檢測模塊67判定是否已經(jīng)結束了惡意分組到自身裝置的發(fā)送(步驟S41)����。具體地,在圖9所示的示例中�����,當由于防御設備60-2對惡意分組通過的控制�����,導致惡意分組在預定時間段內(nèi)未通過防御設備60-1時�,防御設備60-1中的攻擊檢測模塊67判定來自通信終端40-1的攻擊已經(jīng)結束。
防御設備60中的路由信息通知單元15將用于使發(fā)送到受害者/對象的分組經(jīng)由自身裝置進行路由的路由信息通知給圖11中的步驟S32中選擇的中繼器30(步驟S42)�。具體地,在圖9所示的示例中��,防御設備60-1將用于使尋址到服務器20-1的分組不經(jīng)由自身裝置進行路由的路由信息通知給之前已經(jīng)更改了路由表的中繼器30-2���。
分組控制器12(過濾單元)釋放所登記的可疑簽名���、正常簽名等,終止基于所釋放簽名進行分組通過控制的處理(步驟S43)�。即,分組控制器12刪除所登記的用于控制尋址到服務器20-1的惡意分組的可疑簽名、正常簽名等��。
根據(jù)步驟S42處的處理已經(jīng)接收到路由信息的中繼器30-2基于被通知的路由信息更改路由表�����。從而�,中繼器30-2不將尋址到服務器20-1的惡意分組中繼到防御設備60-1,而是中繼到中繼器30-1����。因此,將從通信終端40-1發(fā)送的惡意分組經(jīng)由中繼器30-3�����、防御設備60-2��、中繼器30-2以及中繼器30-1中繼到服務器20-1����。
期望在圖12所示的步驟S41中的操作開始于將用于使惡意分組經(jīng)由防御設備60進行路由的路由信息通知給中繼器30之后(例如在圖11所示的步驟S33之后)的任選時刻��。
根據(jù)第二實施例�,防御設備60將攻擊信息發(fā)送到與自身裝置(防御設備60)相鄰的另一防御設備60。此外,即使從另一防御設備60接收到攻擊信息時��,防御設備60也基于該攻擊信息選擇中繼器30����,使其成為用于將惡意分組經(jīng)由自身裝置進行路由的路由信息的通知目的地,來對從選定中繼器30路由到自身裝置的惡意分組的通過進行控制����。因此,可以通過接近攻擊源的防御設備來防止攻擊�����。
根據(jù)第二實施例����,當已經(jīng)結束了從中繼器30路由到自身裝置的惡意分組的發(fā)送時,再次將用于使惡意分組不經(jīng)由自身裝置進行路由的路由信息通知給中繼器30��。從而�,可有效地切換通過防御設備60的惡意分組的繞行。
第三實施例雖然已經(jīng)說明了本發(fā)明的實施例��,但本發(fā)明可以在除了上述實施例之外的各種不同實施例中執(zhí)行�����。說明各種不同實施例作為根據(jù)第三實施例的網(wǎng)絡攻擊防御系統(tǒng)。
例如����,在上述實施例中,雖然已經(jīng)說明了其中從與防御設備10(或者60)相鄰的多個中繼器30中選擇一個中繼器30的示例�����,但本發(fā)明不限于此�����。例如��,當多個中繼器30連接到成為關于受攻擊的服務器20的下一中繼目的地的中繼器30時�,可選擇所述多個中繼器30作為路由信息的通知目的地。
在實施例中圖示的設備的各組成部分(例如�����,圖2和10所示的防御設備10和60)是功能概念�,并且不必在物理上構成相同結構。換言之�����,防御設備10和60的分離和集成的特定模式不限于例示的一種��,根據(jù)各種負載和使用狀況���,防御設備10和60的全部或者部分可以在功能上或者物理上以任意單位進行分離或者集成����。防御設備10和60執(zhí)行的各種處理功能的全部或者任選部分可以通過CPU或者通過CPU解析和執(zhí)行的程序來實現(xiàn)����,或者可通過布線邏輯實現(xiàn)為硬件。
在實施例中說明的各處理中�,被說明為自動執(zhí)行處理的全部或者部分可手動執(zhí)行,或者被說明為手動執(zhí)行處理的全部或者部分可以利用已知方法自動執(zhí)行����。除非另外指定,否則可任意改變上述說明以及圖示中的包括處理過程�、控制過程、專用名以及各種數(shù)據(jù)和參數(shù)在內(nèi)的信息(例如����,圖3中示出的可疑簽名��、圖4中示出的正常條件信息����、圖5中示出的非法通信條件)�。
在上述實施例中,雖然已經(jīng)說明了通過利用被分為三類(即非法簽名���、正常簽名以及可疑簽名)的簽名使分組繞行的示例����,但本發(fā)明不限于此����。例如,通過使用單個簽名或者使用被分類為上述三類之外的其它類型的簽名也可使分組繞行���。此外��,可不使用簽名本身��,例如通過使用指示繞行的指令信息使分組繞行�����。
在上述實施例中����,雖然在功能方面說明了實現(xiàn)本發(fā)明的各個設備(例如防御設備10和60)��,但也可通過諸如個人計算機和工作站的計算機執(zhí)行程序���,來實現(xiàn)各個設備的各個功能���。即,可通過執(zhí)行事先在計算機上準備的程序來實現(xiàn)第一和第二實施例中說明的各處理過程����。這些程序可通過諸如因特網(wǎng)的網(wǎng)絡發(fā)布。這些程序可記錄在諸如硬盤�、軟盤(FD)、CD-ROM���、MO以及DVD等的計算機可讀記錄介質上�,并且通過計算機從記錄介質讀取程序來執(zhí)行����。作為示例�,可發(fā)布存儲諸如根據(jù)第一實施例的防御設備的防御設備用程序的CD-ROM�,使得各個計算機讀取存儲在CD-ROM中的程序來執(zhí)行。
工業(yè)應用性當將路由信息發(fā)送到對尋址到網(wǎng)絡上的服務器或者域的惡意分組進行中繼的中繼器以控制惡意分組的通過時�����,根據(jù)本發(fā)明的防御設備���、防御方法��、防御程序和網(wǎng)絡攻擊防御系統(tǒng)是有用的��,并且特別適于在不受惡意分組的流入方向影響的情況下防止惡意分組等����。
權利要求
1.一種防御設備�,其基于關于對網(wǎng)絡上服務器或者域的攻擊的信息,通過將路由信息發(fā)送到對尋址到該服務器或者域的惡意分組進行中繼的中繼器��,對該惡意分組的通過進行控制�,所述防御設備包括中繼器選擇單元,其基于關于攻擊的信息��,從與防御設備相鄰的多個中繼器中,選擇至少一個中繼器�����,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�����;路由信息通知單元��,其將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給通過中繼器選擇單元選定的中繼器�;以及分組控制單元�,其對從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制。
2.根據(jù)權利要求1所述的防御設備���,其中中繼器選擇單元從與防御設備相鄰的多個中繼器中�,除去成為關于受該惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外���,選擇中繼器作為路由信息的通知目的地��。
3.根據(jù)權利要求1或2所述的防御設備����,進一步包括攻擊信息發(fā)送器,其將關于攻擊的信息發(fā)送給與防御設備相鄰的另一防御設備���,其中所述中繼器選擇單元在從另一防御設備接收到關于攻擊的信息時�,也基于該關于攻擊的信息選擇至少一個中繼器�����,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�����。
4.根據(jù)權利要求1所述的防御設備�,進一步包括攻擊終止判定單元,其監(jiān)控從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組��,并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止�,其中當攻擊終止判定單元判定惡意分組的發(fā)送已經(jīng)終止時,路由信息通知單元將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器�。
5.一種網(wǎng)絡攻擊防御系統(tǒng),包括多個中繼器��,其對發(fā)送到網(wǎng)絡上的服務器或者域的分組進行中繼��;和防御設備�,其基于關于對網(wǎng)絡上的服務器或者域的攻擊的信息,通過將路由信息發(fā)送到對尋址到服務器或者域的惡意分組進行中繼的中繼器,對該惡意分組的通過進行控制�����,其中所述防御設備包括中繼器選擇單元��,其基于關于攻擊的信息�����,從與防御設備相鄰的多個中繼器中選擇至少一個中繼器��,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地����;路由信息通知單元��,其將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給通過中繼器選擇單元選擇的中繼器��;以及分組控制單元�����,其對從通過路由信息通知單元被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制�。
6.一種使用防御設備的防御方法,所述防御設備基于關于對網(wǎng)絡上的服務器或者域的攻擊的信息,通過將路由信息發(fā)送到對尋址到服務器或者域的惡意分組進行中繼的中繼器�����,對該惡意分組的通過進行控制����,所述防御方法包括基于關于攻擊的信息,從與防御設備相鄰的多個中繼器中�,選擇至少一個中繼器,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�����;將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給選擇步驟中選擇的中繼器���;以及對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制���。
7.根據(jù)權利要求6所述的防御方法,其中選擇步驟包括從與防御設備相鄰的中繼器中���,除去成為關于受惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外�,選擇中繼器作為路由信息的通知目的地��。
8.根據(jù)權利要求6或7所述的防御方法,進一步包括將關于攻擊的信息發(fā)送給與防御設備相鄰的另一防御設備��,其中選擇步驟包括當從另一防御設備接收到關于攻擊的信息時����,也基于關于攻擊的信息,選擇至少一個中繼器��,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地�。
9.根據(jù)權利要求6所述的防御方法,進一步包括對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組進行監(jiān)控�;并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止,其由當判定惡意分組的發(fā)送已經(jīng)終止時�,通知步驟包括將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器。
10.一種防御程序���,用于實現(xiàn)使用防御設備的防御方法����,所述防御設備基于關于對網(wǎng)絡上的服務器或者域的攻擊的信息�����,通過將路由信息發(fā)送到對尋址到服務器或者域的惡意分組進行中繼的中繼器�����,對該惡意分組的通過進行控制�,所述防御程序使計算機作為防御設備執(zhí)行以下步驟基于關于攻擊的信息,從與防御設備相鄰的多個中繼器中�,選擇至少一個中繼器,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地����;將用于使惡意分組經(jīng)由防御設備進行路由的路由信息通知給選擇步驟中選擇的中繼器;以及對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組的通過進行控制��。
11.根據(jù)權利要求10所述的防御程序�����,其中選擇步驟包括從與防御設備相鄰的中繼器中�����,除去成為關于受惡意分組攻擊的服務器或者域的下一中繼目的地的中繼器之外����,選擇中繼器作為路由信息的通知目的地。
12.根據(jù)權利要求10或11所述的防御程序��,進一步使得計算機執(zhí)行將關于攻擊的信息發(fā)送給與防御設備相鄰的另一防御設備,其中選擇步驟包括當從另一防御設備接收到關于攻擊的信息時�,也基于關于攻擊的信息選擇至少一個中繼器,該中繼器成為用于使惡意分組經(jīng)由防御設備進行路由的路由信息的通知目的地��。
13.根據(jù)權利要求10所述的防御程序����,進一步使得計算機執(zhí)行對從在通知步驟中被通知了路由信息的中繼器路由到防御設備的惡意分組進行監(jiān)控;并且判定從中繼器路由到防御設備的惡意分組的發(fā)送是否已經(jīng)終止���,其中當判定惡意分組的發(fā)送已經(jīng)終止時��,通知步驟包括將用于使惡意分組不經(jīng)由防御設備進行路由的路由信息通知給中繼器��。
全文摘要
在從檢測器50接收到攻擊信息的情況下��,當根據(jù)攻擊信息指定受攻擊的服務器20-1時�,防御設備10根據(jù)路由表確定中繼器30-1作為關于所指定的服務器20-1的下一中繼目的地��,并且從與防御設備10相鄰的中繼器30-1和30-2中除去中繼器30-1�,選擇中繼器30-2作為通知目的地。防御設備10隨后將用于使惡意分組經(jīng)由自身裝置進行路由的路由信息通知給選定中繼器30-2���,以便對從基于所通知的路由信息更改了路由表的中繼器30-2路由到自身裝置的惡意分組的通過進行控制��。
文檔編號G06F13/00GK1898922SQ20058000126
公開日2007年1月17日 申請日期2005年9月8日 優(yōu)先權日2004年10月21日
發(fā)明者倉上弘, 瀨林克啟, 佐竹康宏 申請人:日本電信電話株式會社