講演抄録/キーワード |
講演名 |
2005-07-15 11:40
広域ネットワーク網向け異常通信の探知機能の検討 ○磯部隆史(日立)・渡辺義則・樋口秀光・相本 毅(アラクサラネットワークス)・吉田健一(筑波大) |
抄録 |
(和) |
ワームやDDoS 攻撃などの異常フローは、構内ネットワークおよび広域ネットワークの双方で障害を引き起こすなど問題となりつつある。構内ネットワークにおいては、サーバの防御を目的として、防御対象のサーバが送受信する全フローを高精度に解析し、異常フローを排除する技術などが開発されてきた。一方、広域ネットワークでも、DDoS 攻撃などが帯域の不正占有を引き起こす事でネットワーク障害の原因となり得るため、構内ネットワーク同様に異常フローの探知と排除が必要とされている。この広域ネットワークでの防御は、DDoS 攻撃等に対する正常通信向け帯域の保護が目的であり、精度を要する完全な異常フローの排除は構内ネットワークにて実現するのが現実的な防御策の一つと考えられる。そこで、本研究では、全フローから異常と思われる被疑フローを粗い粒度で探知・排除し、迅速な異常探知及び帯域保護を実現する広域ネットワーク向け防御システムを考え、今回、システムの一部を構成すると想定される異常フロー探知機能の検討を行った。そして、特定の実験環境下において、検討した異常フロー探知機能について評価したところ、不特定多数(毎秒1000000以上)のノードを防御対象として異常フローを短時間(平均60 秒以内)で探知し、結果を6 種類の現象に分類する動作を確認した。 |
(英) |
Anomalous flows such as worm and DDoS attacks are becoming the cause of a trouble on both local area networks and wide area networks. On local area networks, there has been a technology developed to accurately analyze all
flow data transferred from and to servers that should be defended, detect anomalous flows and eliminate them for the purpose of defending the servers from anomalous flows. On the other hand, on wide area networks, the technology to detect anomalous flows and eliminate them in real time on a network is necessary, because there is a possibility that threats such as DDoS become the cause of a trouble on a network by occupying the bandwidth illegally. This technology on wide area networks has the purpose of protecting the bandwidth for normal flows from threats such as DDoS, and the entire elimination of anomalous flows, which needs accurate flow analysis, should be realized on local area networks. Therefore, in this paper, we proposed a system to roughly detect and eliminate anomalous flows from all flows and realize fast anomaly detection to protect the bandwidth for normal flow from threats. In this research, we developed the anomaly detection mechanism, which is thought to be a part of the system. In a specific experiment, we evaluated the anomaly detection mechanism of the system. As a result of the evaluation, it was observed that the system detects anomalies in a short time (within 60 second on average) and classifies them into six kinds, in order to defend many (1000000 user/sec) and unspecified users. |
キーワード |
(和) |
DDoS / P2P / ファイアウォール / IDS / セキュリティ / / / |
(英) |
DDoS / P2P / Firewall / IDS / Security / / / |
文献情報 |
信学技報, vol. 105, no. 178, IN2005-47, pp. 109-114, 2005年7月. |
資料番号 |
IN2005-47 |
発行日 |
2005-07-07 (IN) |
ISSN |
Print edition: ISSN 0913-5685 |
PDFダウンロード |
|
|