講演名 2008-03-06
バックボーンネットワークにおけるフロー情報を用いた攻撃元特定方式の提案(異常検出とセキュリティ)
桑原 健, 近藤 毅, 八木 毅, 石橋 圭介, 村山 純一,
PDFダウンロードページ PDFダウンロードページへ
抄録(和) ISPのバックボーンネットワーク上で,フロー情報を用いてDDoS攻撃の攻撃元を特定する方式を提案する.提案方式では,まずバックボーンのエッジルータ(ER)において入力トラヒックのフロー情報を蓄積し,ER間の交流トラヒックを監視する. DDoS攻撃が発生し,特定出力ERへのトラヒック集中を検出した場合,対応する入力ERのフロー情報を分析し,攻撃フローを抽出することで,攻撃先および攻撃トラヒックの流入元が特定される.提案方式は,従来の経路上ルータをホップ・バイ・ホップにトレースする方式とは異なり,ERのフロー情報を蓄積分析することで実現可能であり,既存のネットワークへの影響が少なく適用可能である.また,上記はISP内のバックボーンへの適用を前提としているが,簡易な拡張により,ISP間を連携する攻撃元に対するトレースバックが可能となることを説明する.
抄録(英) In this paper, we propose a novel identification method of attacking source using traffic flow information in backbone networks. The proposed method is based on the condition that ingress traffic flows from the edge routers (ERs) of a backbone are collected and monitored by the monitoring device which enables to detect anomalies of special-traffic patterns among the ERs. In the case of DDoS attack, traffic congestion to an egress ER will be detected and then the traffic flows collected from the corresponding ingress ERs are processed to identify the attacking flows and directions of source hosts. The proposed intra-ISP method would be applicable with little influence on the current ISP backbones comparing to existing method of tracing the attacking flow sequentially along with routing paths. By extending the above method designed for intra-ISP, we also propose an IP traceback method for inter-ISPs.
キーワード(和) DDoS攻撃 / トラヒック監視 / 攻撃元特定 / フロー情報
キーワード(英) DDoS attack / traffic monitoring / attack source identification / traffic flow
資料番号 IN2007-169
発行日

研究会情報
研究会 IN
開催期間 2008/2/28(から1日開催)
開催地(和)
開催地(英)
テーマ(和)
テーマ(英)
委員長氏名(和)
委員長氏名(英)
副委員長氏名(和)
副委員長氏名(英)
幹事氏名(和)
幹事氏名(英)
幹事補佐氏名(和)
幹事補佐氏名(英)

講演論文情報詳細
申込み研究会 Information Networks (IN)
本文の言語 JPN
タイトル(和) バックボーンネットワークにおけるフロー情報を用いた攻撃元特定方式の提案(異常検出とセキュリティ)
サブタイトル(和)
タイトル(英) Identification Method of Attacking Source Using Traffic Flow in Backbone Networks
サブタイトル(和)
キーワード(1)(和/英) DDoS攻撃 / DDoS attack
キーワード(2)(和/英) トラヒック監視 / traffic monitoring
キーワード(3)(和/英) 攻撃元特定 / attack source identification
キーワード(4)(和/英) フロー情報 / traffic flow
第 1 著者 氏名(和/英) 桑原 健 / Takeshi KUWAHARA
第 1 著者 所属(和/英) 日本電信電話株式会社NTT情報流通プラットフォーム研究所
NTT Information Sharing Platform Laboratories, NTT Corporation
第 2 著者 氏名(和/英) 近藤 毅 / Tsuyoshi KONDOH
第 2 著者 所属(和/英) 日本電信電話株式会社NTT情報流通プラットフォーム研究所
NTT Information Sharing Platform Laboratories, NTT Corporation
第 3 著者 氏名(和/英) 八木 毅 / Takeshi YAGI
第 3 著者 所属(和/英) 日本電信電話株式会社NTT情報流通プラットフォーム研究所
NTT Information Sharing Platform Laboratories, NTT Corporation
第 4 著者 氏名(和/英) 石橋 圭介 / Keisuke ISHIBASHI
第 4 著者 所属(和/英) 日本電信電話株式会社NTT情報流通プラットフォーム研究所
NTT Information Sharing Platform Laboratories, NTT Corporation
第 5 著者 氏名(和/英) 村山 純一 / Junichi MURAYAMA
第 5 著者 所属(和/英) 日本電信電話株式会社NTT情報流通プラットフォーム研究所
NTT Information Sharing Platform Laboratories, NTT Corporation
発表年月日 2008-03-06
資料番号 IN2007-169
巻番号(vol) vol.107
号番号(no) 525
ページ範囲 pp.-
ページ数 6
発行日