不特定多数のユーザが連なるネットワークを悪用したDoS攻撃は,電子社会の信頼
性における重大な問題といえる. DoS攻撃とは,標的サーバに無意味なパケットを大
量に送信し,そのサービスを妨害する攻撃である.近年,大量のパケットを複数の踏
み台ホストに分散させた攻撃が増えており,攻撃パケットと正規パケットの識別は難
しく,DoS攻撃の対策は非常に重要な課題となっている. DoS攻撃対策のアプローチ
を大別するとDoS攻撃による被害削減を目標とするフィルタリング方式と攻撃ホスト
を特定することで攻撃抑止を目標とするトレースバック方式がある.
フィルタリング方式の最も効果的とされる既存研究にプッシュバック技術がある.
これは攻撃パケットの特徴と送信制限の命令を,メッセージとして隣接ルータに伝播
させることで輻輳を緩和する手法である.プッシュバック方式は攻撃パケットを効率
的に破棄するが,正規パケットも少なからず破棄してしまうという問題がある.
トレースバック方式で最も効果的とされる既存研究に確率的パケットマーキングが
ある.これは各ルータが通過パケットに情報を確率的にマークすることで,攻撃ホス
トまでの経路を復元する方式である.確率的パケットマーキング方式では,経路復元
に必要なパケット数で方式を評価する.
本研究では,DoS攻撃対策の強化を目的として,プッシュバック方式と確率的パ
ケットマーキング方式における問題点の解決を行った.プッシュバック方式では,
ネットワークの攻撃経路をモデル化し,プッシュバックの挙動を定式化することによ
り,理論的に正規パケットの損失量を求めることを実現した.これにより,既存のシ
ミュレーション評価では不可能な多様な攻撃形態についての有効性の議論が可能に
なった.
ルータのマーク確率を固定確率から受信サーバまでの距離に依存した確率に改良す
ることで,経路復元に必要なパケット数の大幅な削減を実現した.これにより1経路
あたりの必要パケット数が削減され,DDoS攻撃での複数経路の復元可能性を高めるこ
とができる.
|