研究課題
基盤研究(B)
ネットワークバックボーンに用いるハイエンドのルータ間で情報を交換しながら、DDoS(Distributed Denial of Services)攻撃を無効化する方式の提案と、それを実現するためのルータのアーキテクチャについて研究を行った。攻撃パケットの破棄はパケットフィルタリング技術を用いることで実現できるが、一般に、パケットフィルタリングを実施すると、ルータのパケット処理性能が大幅に低下する。本研究では、まず、攻撃元にできるだけ近い位置で攻撃パケットを破棄するべきであるとのこれまでの考え方に対して、前述のパケットフィルタリングによるパケット処理性能低下の観点から、ルータの負荷状況を考慮してネットワーク中の最適な位置で攻撃パケットを破棄する。ネットワーク中のあるノードがDoS攻撃を検出すると、そこを起点として複数のルータが協調して防衛ラインを張り、パケットフィルタリングと通常のパケット転送の負荷を考慮しながら、複数の攻撃元に対して防衛ラインを前進または後退させる。一方、パケットフィルタリングを実施することでパケット処理性能が低下するルータの構造的な問題についても検討を行い、また、パケットフィルタリングを高速化する方式も開発した。通信パケットがネットワーク中を転送される状況を監視して、フィルタリングルールの適用順序を動的に調整することにより、より少ない処理量でDoS攻撃パケットを破棄することが可能となった。ルータ内部の構成方式、パケットフィルタリングの処理方式、ルータ間での協調防衛方式、を総合してシミュレーションによる性能評価を行い、DoS攻撃が行われた場合に、DoS攻撃以外の通信に実質的な損害を与えることなく、効果的にDoS攻撃を無効化できることを確認した。
すべて 2006 2005 2004
すべて 雑誌論文 (6件)
2006PCカンファレンス論文集
ページ: 4
Proceedings of 2006 PC Conference, CIEC
ページ: 173-176
電子情報通信学会論文誌D-I Vol.J88-D-I, No.4
The IEICE Transactions on Information and Systems Vol.J88-D-I, No.4
ページ: 908-911
Systems and Computers in Japan, Wiley Vol.35, No.11
ページ: 11
ページ: 69-79