講演抄録/キーワード |
講演名 |
2007-03-08 10:30
集約したユーザポリシを用いた攻撃防御方法の提案 ○瀬林克啓・明石 修・丸山 充(NTT) IN2006-199 |
抄録 |
(和) |
ISPにおける攻撃防御方式として,ユーザとISPが協調し,ユーザが不要とするパケットをISP網で遮断又は抑制する攻撃防御方式を提案する.この方式は,ユーザのセキュリティポリシが反映されたユーザのブロードバンドルータ(BBR)やPCのFW/IDS設定をISPが取得し,取得したユーザポリシから集約ポリシを作成し,この集約ポリシを用いてISP網内においてユーザが不要とするパケットを遮断又は抑制する.現在,インターネットにおけるDDoS攻撃やウィルス伝播等の攻撃の増大に伴い,ユーザとISPの双方において対策が行われている. しかしながら,BBRのFW/IDS機能で不要なパケットを遮断するユーザの対策では,攻撃パケットの帯域圧迫による通信品質の低下を解決できない.一方,DDoS対策システムを用いたISPの対策では,攻撃を検出してもユーザの許可なしには攻撃パケットを遮断できない.本提案方式は,ユーザがセキュリティポリシをISPに提供することで,ユーザの対策では解決困難なアクセスラインの帯域圧迫の対処をISPから得ることが出来,ISPはユーザが不要とするパケットを転送しないことで網リソースの浪費を抑制することができる.本稿では,市販BBRのデフォルトのパケットフィルタリング設定を分析し,提案方式の基本モデルの妥当性を検証した. |
(英) |
A network defense scheme for an Internet Service Provider (ISP) network is presented. In this scheme, the ISP cooperates with users to filter attack packets or limits their rate. ISPs acquire configurations of filtering and intrusion detection functions which reflect user security policy obtained from user equipment such as Broad-band Routers (BBRs) and PCs. Next, aggregate rule is created from them. Finally, the ISP filters attack packets or limits their rate according to the aggregate rule. ISPs and users take countermeasures to deal with DDoS attacks and propagation of worms separately. The countermeasures of users that filter unnecessary packets by firewall function and IDS function in the BBR cannot mitigate bandwidth usage of these attack packets. On the other hand, countermeasures of ISPs that use the DDoS countermeasure system cannot mitigate the waste of network resources caused by these attack packets. ISPs cannot intercept attack packets without user permission even if the attack is detected by the system. This scheme makes it possible for users to mitigate bandwidth usage of these attack packets on their access lines by providing their security policies to their ISP. Then, The ISPs become able to control the waste of the network resources by not forwarding packets unnecessary to the users. We analyze default configurations of popular BBRs and verify the basic model of this scheme based on those configurations. |
キーワード |
(和) |
セキュリティ / セキュリティポリシ / パケットフィルタリング / DDoS攻撃 / / / / |
(英) |
Security / Security Policy / Packet Filtering / DDoS Attack / / / / |
文献情報 |
信学技報, vol. 106, no. 578, IN2006-199, pp. 113-118, 2007年3月. |
資料番号 |
IN2006-199 |
発行日 |
2007-03-01 (IN) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2006-199 |