JP4878630B2 - Communication server and DoS attack prevention method - Google Patents

Communication server and DoS attack prevention method Download PDF

Info

Publication number
JP4878630B2
JP4878630B2 JP2009074010A JP2009074010A JP4878630B2 JP 4878630 B2 JP4878630 B2 JP 4878630B2 JP 2009074010 A JP2009074010 A JP 2009074010A JP 2009074010 A JP2009074010 A JP 2009074010A JP 4878630 B2 JP4878630 B2 JP 4878630B2
Authority
JP
Japan
Prior art keywords
detection
dos attack
terminal
restriction
load factor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009074010A
Other languages
Japanese (ja)
Other versions
JP2010226635A (en
Inventor
誠 伊勢
高 原田
興司 松島
健二 阿部
勇仁 横川
法仁 久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Nippon Telegraph and Telephone Corp
NEC Communication Systems Ltd
Original Assignee
NEC Corp
Nippon Telegraph and Telephone Corp
NEC Communication Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, Nippon Telegraph and Telephone Corp, NEC Communication Systems Ltd filed Critical NEC Corp
Priority to JP2009074010A priority Critical patent/JP4878630B2/en
Publication of JP2010226635A publication Critical patent/JP2010226635A/en
Application granted granted Critical
Publication of JP4878630B2 publication Critical patent/JP4878630B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信サーバおよびDoS(Denial of Service attack)攻撃防御方法に関する。   The present invention relates to a communication server and a DoS (Denial of Service attack) attack protection method.

近年、インターネットを介して通信を行い、呼制御等のサービスを提供する通信システムが普及する一方で、このようなシステムの妨害を意図した不正なアクセスによる攻撃が増加している。   In recent years, communication systems that perform communications via the Internet and provide services such as call control have become widespread, while attacks by unauthorized access intended to interfere with such systems are increasing.

特に、システム内の通信サーバに対して大量の不正なアクセスを発生させ、通信サーバの負荷を上昇させてサービスの提供に不具合を生じさせたり、最悪の場合、通信サーバをダウンさせたりするDoS攻撃やDDoS(Distributed Denial of Service attack)攻撃は、正当なアクセスとの区別がつきにくく有効な対策をとることが困難であり、システム管理者を悩ませている。なお、以降、DoS攻撃とした場合、DDoS攻撃も含まれるものとする。   In particular, a DoS attack that generates a large amount of unauthorized access to a communication server in the system, increases the load on the communication server, causes a problem in service provision, or in the worst case, brings down the communication server. And DDoS (Distributed Denial of Service attack) attacks are difficult to distinguish from legitimate access, and it is difficult to take effective countermeasures, which plagues system administrators. Hereinafter, when a DoS attack is used, a DDoS attack is also included.

この様なDoS攻撃からシステムを防御する技術として、特許文献1には、DoS攻撃からの保護対象となるSIPサーバあるいはSIPクライアントとインターネットとの間に、異常なトラヒックを検知する異常トラヒック検知装置を設置し、DoS攻撃を検知する技術が記載されている。この、異常トラヒック検知装置は、SIPトランザクション処理の処理状態に関する情報をSIPパケットのヘッダーから取得するとともに、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視したSIPパケットと取得したSIPトランザクション処理の処理状態に関する情報とに基づいて、不正アクセスによる異常なパケットのトラヒックを検知する。   As a technique for protecting the system from such a DoS attack, Patent Document 1 discloses an abnormal traffic detection device that detects abnormal traffic between a SIP server or SIP client to be protected from a DoS attack and the Internet. A technique for installing and detecting a DoS attack is described. The abnormal traffic detection device acquires information on the processing state of the SIP transaction processing from the header of the SIP packet, monitors the SIP packet processed in the SIP transaction processing, and acquires the monitored SIP packet and the acquired SIP transaction processing. And abnormal packet traffic due to unauthorized access based on the information regarding the processing state of the packet.

また、DoS攻撃からシステムを防御する他の技術として、特許文献2には、ユーザ端末を収容するエッジ・ルータにおいて、単位時間あたりに各ユーザ端末から受信したパケット数をカウントし、単位時間当たりのパケット数が事前に設定されている閾値を超える場合、DoS攻撃と判断し、そのユーザ端末からのパケット送信を規制する技術が記載されている。   As another technique for protecting the system from a DoS attack, Patent Literature 2 describes the number of packets received from each user terminal per unit time in an edge router that accommodates the user terminals. A technique is described in which when the number of packets exceeds a preset threshold value, a DoS attack is determined and packet transmission from the user terminal is restricted.

これら特許文献1や特許文献2に記載されている技術では、通信サーバ等とインターネットとの間に、異常トラヒック検知装置やDoS攻撃を検知する機能を有するエッジ・ルータ等を設置することで、通信サーバ等に負担をかけることなくDoS攻撃を防御することができる。   In the technologies described in Patent Document 1 and Patent Document 2, communication is performed by installing an abnormal traffic detection device or an edge router having a function of detecting a DoS attack between a communication server and the Internet. A DoS attack can be protected without imposing a burden on the server or the like.

また、DoS攻撃からシステムを防御するさらに他の技術として、特許文献3には、複数の端末を有するシステム内の通信サーバにおいて、各端末から第1の監視期間内に受信した信号数をカウントし、カウントした信号数が第1の閾値を越えた場合、その端末から第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントし、カウントした所定の処理内容の信号数が第2の閾値を越えた場合にDoS攻撃と判断する技術が記載されている。この技術では、特定の処理内容の信号数をカウントするため、サービスの仕様に応じて、より高い精度でDoS攻撃を検知することができる。また、この技術では、特許文献1や特許文献2の技術のように異常トラヒック検知装置やエッジ・ルータ等の装置を準備する必要が無いため、DoS攻撃からシステムを防御するために掛かるコストを抑えることができる。   As still another technique for protecting the system from a DoS attack, Patent Literature 3 describes the number of signals received from each terminal within the first monitoring period in a communication server in a system having a plurality of terminals. When the counted number of signals exceeds the first threshold, the number of signals having a predetermined processing content is counted from the signals received from the terminal within the second monitoring period, and the signal having the predetermined processing content is counted. A technique for determining a DoS attack when the number exceeds a second threshold is described. In this technique, since the number of signals of specific processing contents is counted, a DoS attack can be detected with higher accuracy according to the service specifications. In addition, with this technique, unlike the techniques of Patent Document 1 and Patent Document 2, it is not necessary to prepare a device such as an abnormal traffic detection device or an edge router, so that the cost required to protect the system from a DoS attack is suppressed. be able to.

特開2007−267151号公報JP 2007-267151 A 特開2006−100874号公報Japanese Patent Laid-Open No. 2006-100844 特開2006−237892号公報JP 2006-237892 A

しかしながら、上述した特許文献1〜3に記載の技術には、以下に示すような課題がある。   However, the techniques described in Patent Documents 1 to 3 described above have the following problems.

特許文献1に記載の技術では、保護対象となるSIPサーバやSIPクライアント毎に異常トラヒック検知装置を準備する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。   In the technique described in Patent Document 1, it is necessary to prepare an abnormal traffic detection device for each SIP server or SIP client to be protected, and there is a problem that the cost required to protect the system from a DoS attack increases.

また、特許文献2に記載の技術では、事前に誰がDoS攻撃者となるかを特定することができないため、各ユーザ端末からのパケット数をカウントし、その結果に基づいてDoS攻撃か否かを判断する機能を全てのエッジ・ルータに追加する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。   In addition, in the technique described in Patent Document 2, since it is impossible to specify in advance who is a DoS attacker, the number of packets from each user terminal is counted, and whether or not the DoS attack is based on the result is counted. It is necessary to add a function to be determined to all edge routers, and there is a problem that the cost required to protect the system from a DoS attack increases.

また、特許文献3に記載の技術では、上述したように通信サーバにDoS攻撃か否かを判断する機能を具備させるためコストを抑えることができる。しかし、この技術では、通信サーバにてDoS攻撃か否かの判断を行うため、その処理自体が通信サーバの負荷となり、通信サーバの負荷率が高い場合には、通信サーバ全体の処理に影響を及ぼす可能性がある。なお、負荷率とは、通信サーバの最大処理量に対する通信サーバが実際に行っている処理量の割合を示す値である。   In the technique described in Patent Document 3, as described above, the communication server is provided with a function for determining whether or not it is a DoS attack, so that the cost can be reduced. However, in this technology, since the communication server determines whether or not it is a DoS attack, the process itself becomes a load on the communication server, and if the load factor of the communication server is high, the process of the entire communication server is affected. There is a possibility of effect. The load factor is a value indicating the ratio of the processing amount actually performed by the communication server to the maximum processing amount of the communication server.

本発明の目的は、通信サーバにてDoS攻撃の検出処理を行うことでコストを抑えるとともに、通信サーバの負荷率が高い場合には検出処理による負荷を低減させることができる通信サーバおよびDoS攻撃防御方法を提供することにある。   An object of the present invention is to reduce the cost by performing a DoS attack detection process on a communication server and reduce the load caused by the detection process when the load ratio of the communication server is high, and DoS attack defense It is to provide a method.

上記目的を達成するために本発明の通信サーバは、
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする。 In order to achieve the above object, the communication server of the present invention provides:
In a communication server that sends and receives signals to and from a terminal,
A storage unit that records a load factor of the communication server, a DoS attack detection condition, and a DoS attack regulation content in association with each other;
A load factor calculating unit for calculating a load factor of the communication server;
While monitoring the signal received from the terminal, the terminal performs a DoS attack based on the detection condition associated with the load factor calculated by the load factor calculation unit and the result of the monitoring. A detection unit for determining whether or not to go;
Transmission / reception to / from the terminal determined to be performing a DoS attack at the detection unit based on the regulation content associated with the load factor calculated at the load factor calculation unit at the storage unit And a restricting section for restricting a signal to be transmitted.

上記目的を達成するために本発明のDoS攻撃防御方法は、
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有する。 In order to achieve the above object, the DoS attack defense method of the present invention comprises:
A DoS attack prevention method performed by a communication server having a storage unit that records the DoS attack detection condition and the DoS attack restriction content,
A recording step of associating the load factor of the communication server with the detection condition of the DoS attack and the restriction content against the DoS attack in the storage unit;
A calculation step of calculating a load factor of the communication server;
Whether the terminal is performing a DoS attack based on the detection condition associated with the load factor calculated in the calculation step and the result of the monitoring while monitoring the signal received from the terminal A detection step for determining whether or not;
Based on the regulation content associated with the load factor calculated in the calculation step in the storage unit, the signal transmitted to and received from the terminal determined to be performing a DoS attack in the detection step And a regulation step for regulating.

上述したように本発明においては、通信サーバは、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。   As described above, in the present invention, the communication server calculates its own load factor, and detects and regulates the DoS attack while changing the DoS attack detection condition and the DoS attack regulation content according to the calculated load factor. Do.

この様に、通信サーバにてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、通信サーバの負荷率に応じてDoS攻撃の検出条件や規制内容を変更することで、負荷率が高い場合には通信サーバに負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。   In this way, since the DoS attack is detected and regulated by the communication server, the cost can be reduced, and the load can be reduced by changing the DoS attack detection condition and the regulation contents according to the load rate of the communication server. When the rate is high, the DoS attack can be detected and regulated so that the communication server is not loaded.

本発明の一実施形態の通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication system of one Embodiment of this invention. 図1に示した呼制御装置の構成の一例を示すブロック図である。It is a block diagram which shows an example of a structure of the call control apparatus shown in FIG. 図2に示した検知条件テーブルの構成の一例を示す図である。It is a figure which shows an example of a structure of the detection condition table shown in FIG. 図2に示した規制条件テーブルの構成の一例を示す図である。It is a figure which shows an example of a structure of the regulation condition table shown in FIG. 図2に示した負荷率対応テーブルの構成の一例を示す図である。It is a figure which shows an example of a structure of the load factor corresponding | compatible table shown in FIG. 図2に示した呼制御装置の負荷率が低い場合の、検知部および規制部の動作の一例を説明する概念図。The conceptual diagram explaining an example of operation | movement of a detection part and a control part when the load factor of the call control apparatus shown in FIG. 2 is low. 図2に示した呼制御装置の負荷率が高い場合の、検知部および規制部の動作の一例を説明する概念図。The conceptual diagram explaining an example of operation | movement of a detection part and a control part when the load factor of the call control apparatus shown in FIG. 2 is high. 図2に示した呼制御装置の負荷率が低い場合の動作の一例を説明するフローチャートである。3 is a flowchart illustrating an example of an operation when the load factor of the call control device illustrated in FIG. 2 is low. 図2に示した呼制御装置の負荷率が高い場合の動作の一例を説明するフローチャートである。3 is a flowchart for explaining an example of an operation when the load factor of the call control device shown in FIG. 2 is high. 図1に示した通信システムの動作の一例を説明するシーケンスチャートである。3 is a sequence chart for explaining an example of the operation of the communication system shown in FIG. 1.

以下に、本発明を実施するための最良の形態について図面を参照して説明する。   The best mode for carrying out the present invention will be described below with reference to the drawings.

図1は、本発明の一実施形態の通信システムの構成を示すブロック図である。   FIG. 1 is a block diagram showing a configuration of a communication system according to an embodiment of the present invention.

図1に示すように、本実施形態の通信システムは、NGN(次世代ネットワーク:Next Generation Network)1と、NGN1に接続された端末装置5a,5bとを有している。   As illustrated in FIG. 1, the communication system according to the present embodiment includes an NGN (Next Generation Network) 1 and terminal devices 5 a and 5 b connected to the NGN 1.

NGN1は、パケット転送層2とサービス制御層3とを有するネットワークである。   NGN 1 is a network having a packet transfer layer 2 and a service control layer 3.

パケット転送層2は、パケットを転送する機能の集合体である。   The packet transfer layer 2 is a collection of functions for transferring packets.

サービス制御層3は、構成装置として呼制御装置4を含み、端末装置5a,5bに提供する各種のサービスを制御する機能の集合体である。   The service control layer 3 includes a call control device 4 as a component device, and is a collection of functions for controlling various services provided to the terminal devices 5a and 5b.

呼制御装置4は、端末装置5a,5b間の呼制御を行う通信サーバであり、予め設定されている検知条件に基づいてDoS攻撃を検知し、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制する。また、呼制御装置4は、定期的に自身の負荷率を算出し、負荷率の算出結果に応じて、DoS攻撃の検知条件やDoS攻撃に対する規制内容を変更する。なお、呼制御装置4が行う呼制御には、自身が収容する端末装置5a,5bについて、発信元の端末装置5a,5bから発せられた呼を受け付け、また着信先の端末装置5a,5bに着信を伝える加入者系の呼制御と、不図示の他の呼制御装置4で受け付けられた呼を、不図示のさらに他の呼制御装置4に転送する中継系の呼制御とが存在する。また、図1中では呼制御装置4は1台しか存在しないが、複数台存在してもよい。   The call control device 4 is a communication server that performs call control between the terminal devices 5a and 5b, detects a DoS attack based on detection conditions set in advance, and from the terminal devices 5a and 5b that perform the DoS attack. And the incoming calls to the terminal devices 5a and 5b are restricted. Further, the call control device 4 periodically calculates its own load factor, and changes the DoS attack detection conditions and the DoS attack restriction content according to the load factor calculation result. In the call control performed by the call control device 4, the terminal device 5a, 5b accommodated by the call control device 4 accepts a call made from the terminal device 5a, 5b that is the call source, and sends it to the terminal device 5a, 5b that is the call destination. There are subscriber-type call control for transmitting an incoming call and relay-type call control for transferring a call accepted by another call control device 4 (not shown) to another call control device 4 (not shown). Further, although only one call control device 4 exists in FIG. 1, a plurality of call control devices 4 may exist.

端末装置5a,5bは、本実施形態の通信システムが提供する通信サービスの利用者が操作する端末装置である。図1中では端末装置は端末装置5a,5bのみしか存在しないが、1台でも良いし、2台よりも多い台数存在してもよい。   The terminal devices 5a and 5b are terminal devices operated by a user of a communication service provided by the communication system according to the present embodiment. In FIG. 1, only the terminal devices 5a and 5b are present as terminal devices, but there may be only one or more than two.

以下に、本発明の特徴となる呼制御装置4の構成について詳細に説明する。
(呼制御装置4の構成)
図2は、図1に示した呼制御装置4の構成の一例を示すブロック図である。なお、図2においては、呼制御装置4の機能のうち、本発明の特徴であるDoS攻撃を検知し、規制する機能に関係する構成要素のみを示している。上述した呼制御については、SIPベースの呼制御など公知の技術を用いて実現することができるため、ここでは説明を割愛する。 Hereinafter, the configuration of the call control device 4 which is a feature of the present invention will be described in detail.
(Configuration of call control device 4)
FIG. 2 is a block diagram showing an example of the configuration of the call control device 4 shown in FIG. In FIG. 2, only the components related to the function of detecting and regulating the DoS attack, which is a feature of the present invention, of the functions of the call control device 4 are shown. Since the above-described call control can be realized using a known technique such as SIP-based call control, the description thereof is omitted here.

図2に示すように、図1に示した呼制御装置4は、蓄積部41と、負荷率算出部42と、選択部43と、検知部44と、規制部45とを有している。   As illustrated in FIG. 2, the call control device 4 illustrated in FIG. 1 includes a storage unit 41, a load factor calculation unit 42, a selection unit 43, a detection unit 44, and a regulation unit 45.

また、蓄積部41は、検知条件テーブル411と、規制条件テーブル412と、負荷率対応テーブル413とを有している。   Further, the storage unit 41 includes a detection condition table 411, a restriction condition table 412, and a load factor correspondence table 413.

検知条件テーブル411は、本実施形態の通信システムの保守者により入力された、DoS攻撃を検知するための検知条件を識別子となる検知種別ごとに記録したテーブルである。   The detection condition table 411 is a table in which detection conditions for detecting a DoS attack, which are input by a maintenance person of the communication system of the present embodiment, are recorded for each detection type serving as an identifier.

規制条件テーブル412は、保守者により入力された、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制するための規制内容を識別子となる規制種別ごとに記録したテーブルである。   The restriction condition table 412 is a restriction type that is an identifier of restriction contents for restricting outgoing calls from the terminal devices 5a and 5b that are performing a DoS attack and incoming calls to the terminal devices 5a and 5b, which are input by the maintainer. It is a table recorded for each.

負荷率対応テーブル413は、検知条件テーブル411に記録されている検知種別と規制条件テーブル412に記録されている規制種別とを、呼制御装置4の負荷率に対応付けて記録したテーブルである。   The load factor correspondence table 413 is a table in which the detection type recorded in the detection condition table 411 and the restriction type recorded in the restriction condition table 412 are recorded in association with the load factor of the call control device 4.

負荷率算出部42は、保守者により設定された所定の期間におけるCPU(Central Processing Unit)使用率の変動に基づいて呼制御装置4の負荷率を算出し、選択部43に通知する。ここでは、例えば、保守者により所定の期間が30秒に設定された場合、負荷率算出部42は、CPU使用率が70%以上の状態が30秒間以上継続した場合に負荷率70%と算出するものとする。なお、呼制御装置4の負荷率の算出方法については、上述したCPU使用率に基づいた算出方法に限定されるものではなく、例えばメモリ使用率等の呼制御装置4の他のハードウェア資源の使用状況に応じて算出する方法を用いても良い。   The load factor calculation unit 42 calculates the load factor of the call control device 4 based on a change in the CPU (Central Processing Unit) usage rate during a predetermined period set by the maintenance person, and notifies the selection unit 43 of the load factor. Here, for example, when the predetermined period is set to 30 seconds by the maintenance person, the load factor calculating unit 42 calculates the load factor 70% when the state where the CPU usage rate is 70% or more continues for 30 seconds or more. It shall be. Note that the load factor calculation method of the call control device 4 is not limited to the above-described calculation method based on the CPU usage rate. For example, other hardware resources such as the memory usage rate of the call control device 4 You may use the method of calculating according to a use condition.

選択部43は、蓄積部41にアクセスし、負荷率算出部42から通知された負荷率に基づいて、その負荷率に対応した検知種別および規制種別を負荷率対応テーブル413から取得する。また、選択部43は、取得した検知種別の検知条件および規制種別の規制内容をそれぞれ検知条件テーブル411および規制条件テーブル412から取得し、検知部44および規制部45に通知する。   The selection unit 43 accesses the storage unit 41 and acquires a detection type and a regulation type corresponding to the load factor from the load factor correspondence table 413 based on the load factor notified from the load factor calculation unit 42. In addition, the selection unit 43 acquires the detection condition of the acquired detection type and the restriction content of the restriction type from the detection condition table 411 and the restriction condition table 412, respectively, and notifies the detection unit 44 and the restriction unit 45.

検知部44は、端末装置5a,5bからの発信および端末装置5a,5bへの着信を監視し、その監視結果と選択部43から通知された検知条件とに基づいて端末装置5a,5bがDoS攻撃を行っている否かを判断する。例えば、呼制御にSIPを用いる場合であれば、検知部44は、通知された検知条件に基づいて、呼制御装置4と端末装置5a,5bとの間で送受信されるSIPメッセージ信号の信号数をカウントし、カウントした信号数が検知条件を満たす場合、端末装置5a,5bがDoS攻撃を行っていると判定する。また、検知部44は、例えば、端末装置5aがDoS攻撃を行っていると判断した場合、端末装置5aからのDoS攻撃を検知した旨を規制部45に通知する。また、検知部44は、DoS攻撃検知後も、その攻撃が継続状態にあることを検知した場合、その旨を規制部45に通知する。なお、呼制御にSIPを用いる場合に、検知部44が、SIPメッセージ信号のうちSIPセッションを確立するために使用されるINVITEメッセージ信号のみをカウントするようにしても良い。   The detection unit 44 monitors outgoing calls from the terminal devices 5a and 5b and incoming calls to the terminal devices 5a and 5b. Based on the monitoring result and the detection condition notified from the selection unit 43, the terminal devices 5a and 5b Determine if you are attacking. For example, if SIP is used for call control, the detection unit 44 transmits the number of SIP message signals transmitted and received between the call control device 4 and the terminal devices 5a and 5b based on the notified detection conditions. When the number of counted signals satisfies the detection condition, it is determined that the terminal devices 5a and 5b are performing a DoS attack. For example, when the detection unit 44 determines that the terminal device 5a is performing a DoS attack, the detection unit 44 notifies the regulation unit 45 that the DoS attack from the terminal device 5a has been detected. Further, when the detection unit 44 detects that the attack is in a continuous state even after the DoS attack is detected, the detection unit 44 notifies the restriction unit 45 to that effect. When SIP is used for call control, the detection unit 44 may count only the INVITE message signal used for establishing the SIP session among the SIP message signals.

規制部45は、検知部44からの通知を受け、選択部43から通知された規制内容に基づいて、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に規制をかける。また、規制部45は、規制をかけていることを通知するアラームを保守者に対して送信する。なお、ここで端末装置5a,5bからの発信に規制をかけるとは、あて先がどこであるかに限らず端末装置5a,5bから受信した信号を破棄することを指す。また、端末装置5a,5bへの着信に規制をかけるとは、送信元がどこであるかに限らずあて先が端末装置5a,5bの信号を破棄することを指す。   The restriction unit 45 receives the notification from the detection unit 44, and based on the restriction content notified from the selection unit 43, the transmission from the terminal devices 5a and 5b performing the DoS attack and the transmission to the terminal devices 5a and 5b. Restrict incoming calls. The restricting unit 45 transmits an alarm notifying that the restriction is being applied to the maintenance person. Here, restricting the transmission from the terminal devices 5a and 5b refers to discarding the signals received from the terminal devices 5a and 5b regardless of where the destination is. Further, restricting incoming calls to the terminal devices 5a and 5b refers to discarding signals from the terminal devices 5a and 5b regardless of where the transmission source is.

以下に、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413の構成について説明する。
(検知条件テーブル411の構成)
図3−1は、図2に示した検知条件テーブル411の構成の一例を示す図である。 Below, the structure of the detection condition table 411, the regulation condition table 412, and the load factor correspondence table 413 is demonstrated.
(Configuration of detection condition table 411)
FIG. 3A is a diagram illustrating an example of the configuration of the detection condition table 411 illustrated in FIG. 2.

図3−1に示すように、図2に示した検知条件テーブル411には、検知種別ごとに、呼制御装置4にて同一IPアドレス、同一ポート番号から受信した信号数をカウントする期間を示す時間幅と、その時間幅の間にカウントした信号数に基づいてDoS攻撃か否かを判断する際に使用する閾値となる個数とがDoS攻撃の検知条件として記録されている。   As illustrated in FIG. 3A, the detection condition table 411 illustrated in FIG. 2 indicates a period for counting the number of signals received from the same IP address and the same port number in the call control device 4 for each detection type. The time width and the number serving as a threshold used when determining whether or not the DoS attack is based on the number of signals counted during the time width are recorded as DoS attack detection conditions.

例えば、図3−1に示した例では、検知部44は、検知種別Aの場合、時間幅Ndの間に、同一IPアドレス、同一ポート番号からMd個以上の信号を受信することを条件として、そのIPアドレスを有する端末装置5a,5bからDoS攻撃を受けていると判断する。同様に、検知部44は、検知種別Bの場合、時間幅Neの間に、同一IPアドレス、同一ポート番号からMe個以上の信号を受信することを条件にDoS攻撃と判断し、検知種別Cの場合、時間幅Nfの間に、同一IPアドレス、同一ポート番号からMf個以上の信号を受信することを条件にDoS攻撃と判断する。   For example, in the example illustrated in FIG. 3A, in the case of the detection type A, the detection unit 44 is conditional on receiving Md or more signals from the same IP address and the same port number during the time width Nd. Then, it is determined that the DoS attack is received from the terminal devices 5a and 5b having the IP address. Similarly, in the case of the detection type B, the detection unit 44 determines a DoS attack on the condition that more than Me signals are received from the same IP address and the same port number during the time width Ne, and the detection type C In this case, the DoS attack is determined on condition that Mf or more signals are received from the same IP address and the same port number during the time width Nf.

なお、時間幅はNd>Ne>Nfの関係にあり、閾値となる個数はMd<Me<Mfの関係にあるものとする。そのため、図3−1に示した例においては、検知種別A<検知種別B<検知種別Cの順で検知条件が厳しくなり、また、この順で検知条件に合致した端末装置5a,5bからDoS攻撃を受けている可能性が高くなる。
(規制条件テーブル412の構成)
図3−2は、図2に示した規制条件テーブル412の構成の一例を示す図である。 It is assumed that the time width has a relationship of Nd>Ne> Nf, and the number serving as a threshold has a relationship of Md <Me <Mf. Therefore, in the example shown in FIG. 3A, the detection conditions become stricter in the order of detection type A <detection type B <detection type C, and the terminal devices 5a and 5b that match the detection conditions in this order will receive DoS. The possibility of being attacked increases.
(Configuration of restriction condition table 412)
FIG. 3B is a diagram illustrating an example of the configuration of the restriction condition table 412 illustrated in FIG.

図3−2に示すように、図2に示した規制条件テーブル412には、規制種別ごとに、DoS攻撃を行っている端末装置5a,5bからの発信に対する規制内容と、その端末装置5a,5bへの着信に対する規制内容とが記録されている。なお、ここで、一部規制とは、保守者により設定された一定の割合、例えば3回に1回の割合で信号を破棄することを意味し、また、全面規制とは、全ての信号を破棄することを意味する。   As shown in FIG. 3-2, the restriction condition table 412 shown in FIG. 2 includes, for each restriction type, restriction contents for outgoing calls from the terminal devices 5 a and 5 b that are performing a DoS attack, and the terminal devices 5 a and 5 b. The contents of restrictions on incoming calls to 5b are recorded. Here, the partial restriction means that the signal is discarded at a certain rate set by the maintenance person, for example, once every three times, and the full restriction means that all signals are discarded. Means to discard.

例えば、図3−2に示した例では、規制部45は、規制種別1の場合、DoS攻撃を行っている端末装置5a,5bからの発信を一部規制し、その端末装置5a,5bへの着信については規制しない。同様に、規制部45は、規制種別2の場合、DoS攻撃を行っている端末装置5a,5bからの発信を全面規制し、その端末装置5a,5bへの着信については規制せず、規制種別3の場合、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信ともに全面規制する。
(負荷率対応テーブル413の構成)
図3−3は、図2に示した負荷率対応テーブル413の構成の一例を示す図である。 For example, in the example illustrated in FIG. 3B, in the case of the restriction type 1, the restriction unit 45 partially restricts transmission from the terminal devices 5 a and 5 b performing the DoS attack, and then sends the restriction to the terminal devices 5 a and 5 b. No restrictions on incoming calls. Similarly, in the case of the restriction type 2, the restriction unit 45 completely restricts outgoing calls from the terminal devices 5a and 5b performing the DoS attack, does not restrict incoming calls to the terminal devices 5a and 5b, and does not restrict the incoming calls to the terminal devices 5a and 5b. In the case of 3, the transmission from the terminal devices 5a and 5b performing the DoS attack and the incoming call to the terminal devices 5a and 5b are completely restricted.
(Configuration of load factor correspondence table 413)
FIG. 3-3 is a diagram illustrating an example of the configuration of the load factor correspondence table 413 illustrated in FIG. 2.

図3−3に示すように、図2に示した負荷率対応テーブル413には、呼制御装置4の負荷率と、検知条件および規制種別とが対応付けられて記録されている。ここでは、呼制御装置4の負荷率を、負荷率が高い状態と低い状態の2つに分け、それぞれに検知条件および規制種別を対応付けて記録している。なお、ここでは、負荷率が70%以上の場合を負荷率が高い状態として定義し、負荷率が70%よりも小さな場合を負荷率が低い状態として定義している。   As illustrated in FIG. 3C, the load factor correspondence table 413 illustrated in FIG. 2 records the load factor of the call control device 4, the detection condition, and the restriction type in association with each other. Here, the load factor of the call control device 4 is divided into two states, a high load factor and a low load factor, and the detection conditions and the restriction types are recorded in association with each other. Here, a case where the load factor is 70% or more is defined as a state where the load factor is high, and a case where the load factor is smaller than 70% is defined as a state where the load factor is low.

保守者は、呼制御装置4の負荷率と、検知条件および規制種別とを関連付けて負荷率対応テーブル413に記録することができ、図3−3に示した例では、負荷率が低い状態に対して、検知種別A〜Cをそれぞれ規制種別1〜3に対応付けて記録し、負荷率が高い状態に対しては、検知種別Aまたは検知種別Cを規制種別3と対応付けて記録している。   The maintenance person can record the load factor of the call control device 4 in association with the detection condition and the restriction type in the load factor correspondence table 413. In the example shown in FIG. On the other hand, the detection types A to C are recorded in association with the restriction types 1 to 3, respectively, and the detection type A or the detection type C is recorded in association with the restriction type 3 for a high load rate. Yes.

以下に、図2に示した検知部44がDoS攻撃を検知する検知処理および規制部45が端末装置5a,5bからの発信及び端末装置5a,5bへの着信を規制する規制処理の動作について説明する。
(呼制御装置4の負荷率が低い場合の検知処理および規制処理)
図4−1は、図2に示した呼制御装置4の負荷率が低い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。 The detection process shown in FIG. 2 for detecting the DoS attack and the operation of the restricting process for restricting the outgoing call from the terminal devices 5a and 5b and the restricting process of the restricting unit 45 to the terminal devices 5a and 5b will be described below. To do.
(Detection processing and restriction processing when the load factor of the call control device 4 is low)
FIG. 4A is a conceptual diagram illustrating an example of operations of the detection process of the detection unit 44 and the restriction process of the restriction unit 45 when the load factor of the call control device 4 illustrated in FIG. 2 is low.

図4−1に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%よりも小さな場合、つまり負荷率が低い場合は、まず、検知部44は、検知条件が一番ゆるい検知種別Aの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通視する。これを受け、規制部45は、検知種別1に対応する規制種別1の規制をかけ、その旨を示すアラームを保守者に送信する。   As shown in FIG. 4A, when the load factor calculated by the load factor calculation unit 42 shown in FIG. 2 is smaller than 70%, that is, when the load factor is low, the detection unit 44 first detects the load factor. When the detection process is performed based on the detection condition of the detection type A with the loosest condition and a DoS attack is detected, the control unit 45 is informed of that fact. In response to this, the restriction unit 45 applies restriction of restriction type 1 corresponding to detection type 1, and transmits an alarm indicating the restriction to the maintenance person.

次に、検知部44は、検知種別Bの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Bに対応する規制種別2の規制をかけ、規制種別2の規制をかけた旨を示すアラーム2を保守者に送信する。   Next, the detection unit 44 performs detection processing based on the detection condition of the detection type B, and when detecting a DoS attack, notifies the regulation unit 45 to that effect. In response, the restriction unit 45 applies restriction type 2 corresponding to the detection condition B, and transmits an alarm 2 indicating that the restriction type 2 restriction has been applied to the maintenance person.

次に、検知部44は、検知条件が一番厳しい検知種別Cの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Cに対応する規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。   Next, the detection unit 44 performs detection processing based on the detection condition of the detection type C with the strictest detection condition, and when detecting a DoS attack, notifies the restriction unit 45 to that effect. In response to this, the restriction unit 45 applies restriction of restriction type 3 corresponding to the detection condition C, and transmits an alarm 3 indicating that to the maintenance person.

なお、検知部44は、DoS攻撃検知後、検知種別Aの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。また、検知部44は、検知種別Bの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Bから検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Aに対応する規制種別1の規制に戻すか、あるいは規制を解除し通常の状態に戻す処理を行う。同様に、検知部44は、検知種別Cの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Cから検知条件Bあるいは検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知種別Bに対応する規制種別2の規制、もしくは検知種別Aに対応する規制種別1の規制に戻すか、あるいは沈静化されたと判断し、規制を解除し通常の状態に戻す処理を行う。
(呼制御装置4の負荷率が高い場合の検知処理および規制処理)
図4−2は、図2に示した呼制御装置4の負荷率が高い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。 If the detection unit 44 does not match the detection condition as a result of performing the detection process based on the detection condition of the detection type A after detecting the DoS attack, the detection unit 44 determines that the DoS attack has been calmed down, and indicates that. The restriction unit 45 is notified. In response to this, the restricting unit 45 performs a process of releasing the restriction and returning to the normal state. In addition, when the detection unit 44 does not match the detection condition as a result of performing the detection process based on the detection condition of the detection type B, the detection unit 44 determines that the DoS attack is going to calm down, and determines the DoS attack. The detection condition to be used is changed from the detection condition B to the detection condition A, and a notification to that effect is sent to the regulation unit 45. In response to this, the restriction unit 45 performs a process of returning to the restriction of restriction type 1 corresponding to the detection condition A, or releasing the restriction and returning to the normal state. Similarly, if the detection unit 44 does not match the detection condition as a result of performing the detection process based on the detection condition of the detection type C, the detection unit 44 determines that the DoS attack is about to calm down, and determines the DoS attack. Is changed from the detection condition C to the detection condition B or the detection condition A, and a notification to that effect is sent to the regulation unit 45. In response to this, the regulation unit 45 determines that the regulation type 2 corresponding to the detection type B is regulated or the regulation type 1 regulation corresponding to the detection type A is returned to or is calmed down, and the regulation is released. Processing to return to the state of.
(Detection processing and restriction processing when the load factor of the call control device 4 is high)
FIG. 4B is a conceptual diagram illustrating an example of operations of the detection process of the detection unit 44 and the restriction process of the restriction unit 45 when the load factor of the call control device 4 illustrated in FIG. 2 is high.

図4−2に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%以上の場合、つまり負荷率が高い場合は、まず、検知部44は、検知種別Aまたは検知種別Cのいずれかの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受けて、規制部45は、規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。なお、検知部44は、検知種別Aと検知種別Cの条件のうち、保守者により選択された方の条件を使用するものとする。   As shown in FIG. 4B, when the load factor calculated by the load factor calculation unit 42 shown in FIG. 2 is 70% or more, that is, when the load factor is high, the detection unit 44 first detects the detection type. When the detection process is performed based on the detection condition of either A or detection type C and a DoS attack is detected, the restriction unit 45 is notified of this. In response to this, the restriction unit 45 places a restriction of restriction type 3 and transmits an alarm 3 indicating that to the maintenance person. It is assumed that the detection unit 44 uses the condition selected by the maintenance person among the detection type A and detection type C conditions.

また、検知部44は、DoS攻撃検知後、検知種別Aもしくは検知種別Cの条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。   In addition, after detecting the DoS attack, the detection unit 44 performs the detection process based on the detection type A or the detection type C, and determines that the DoS attack has been calmed down when the detection condition is not met. This is notified to the regulation unit 45. In response to this, the restricting unit 45 performs a process of releasing the restriction and returning to the normal state.

上述したように、本実施形態の通信システムにおいては、呼制御装置4の負荷率が高い場合の処理は、負荷率が低い場合の処理と比較してステップ数が少なくなっている。この様に、呼制御装置4の負荷率に応じて、実施する検知処理や規制処理の処理内容を変更することで、負荷率が高い場合に検知処理および規制処理により呼制御装置4にかかる負荷を少なくすることができる。   As described above, in the communication system according to the present embodiment, the processing when the load factor of the call control device 4 is high has fewer steps than the processing when the load factor is low. In this way, the load applied to the call control device 4 by the detection processing and the restriction processing when the load factor is high by changing the processing contents of the detection processing and the restriction processing to be performed according to the load factor of the call control device 4. Can be reduced.

以下に、図2に示した呼制御装置4の動作について詳細に説明する。
(負荷率が低い場合の呼制御装置4の動作)
最初に、図2に示した呼制御装置4の負荷率が低い場合の動作について説明する。 The operation of the call control device 4 shown in FIG. 2 will be described in detail below.
(Operation of call control device 4 when load factor is low)
First, the operation when the load factor of the call control device 4 shown in FIG. 2 is low will be described.

図5は、図2に示した呼制御装置4の負荷率が低い場合の動作の一例を説明するフローチャートである。   FIG. 5 is a flowchart for explaining an example of the operation when the load factor of the call control device 4 shown in FIG. 2 is low.

図5に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップA1)。   As shown in FIG. 5, first, the storage unit 41 shown in FIG. 2 is configured by the maintenance person to associate the detection condition, the restriction content, the load factor of the call control device 4, the detection condition, and the restriction content, Is recorded in the detection condition table 411, the regulation condition table 412 and the load factor correspondence table 413, respectively (step A1).

次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップA2)、選択部43に通知する。   Next, the load factor calculation unit 42 periodically calculates the load factor of the call control device 4 (step A2) and notifies the selection unit 43 of the load factor.

次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が低いため、検知種別A〜Cと、それらに対応する規制種別1〜3が取得される。   Next, the selection unit 43 acquires the detection type and the regulation type from the load factor correspondence table 413 based on the load factor notified from the load factor calculation unit 42. Here, since the load factor of the call control device 4 is low, the detection types A to C and the regulation types 1 to 3 corresponding to them are acquired.

次に、選択部43は、検知条件テーブル411から検知種別A〜Cの検知条件を取得するとともに、規制条件テーブル412から規制種別1〜3の規制内容を取得し(ステップA3)、それらを検知部44および規制部45に通知する。   Next, the selection unit 43 acquires the detection conditions of the detection types A to C from the detection condition table 411, acquires the restriction contents of the restriction types 1 to 3 from the restriction condition table 412 (step A3), and detects them. Notification to the unit 44 and the regulation unit 45.

次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップA5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別1の規制をかけ(ステップA6)、アラーム1を保守者に送信する(ステップA7)。   Next, the detection unit 44 counts the number of signals received from each of the terminal devices 5a and 5b during the time width Nd based on the detection condition of the detection type A (step A4), and from the terminal devices 5a and 5b. When Md or more signals are received (step A5), it is determined that the terminal devices 5a and 5b are performing a DoS attack, and this is notified to the regulation unit 45. In response to this, the restricting unit 45 applies restriction of restriction type 1 to outgoing calls from the terminal devices 5a and 5b and incoming calls to the terminal devices 5a and 5b that are determined to be performing a DoS attack (step A6). ), Alarm 1 is transmitted to the maintenance person (step A7).

また、検知部44は、検知種別Aの検知条件にてDoS攻撃を検知した場合、検知種別Bの検知条件に基づいて、時間幅Neの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA8)、端末装置5a,5bからMe個以上の信号を受信した場合(ステップA9)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別2の規制をかけ(ステップA10)、アラーム2を保守者に送信する(ステップA11)。   When the detection unit 44 detects a DoS attack under the detection type A detection condition, the number of signals received from each of the terminal devices 5a and 5b during the time width Ne based on the detection type B detection condition. Is counted (step A8), and when more than Me signals are received from the terminal devices 5a and 5b (step A9), it is determined that the terminal devices 5a and 5b are performing a DoS attack, and the control unit 45 is notified. In response to this, the restricting unit 45 applies restriction of restriction type 2 to outgoing calls from the terminal devices 5a and 5b determined to be performing a DoS attack and incoming calls to the terminal devices 5a and 5b (step A10). ), Alarm 2 is transmitted to the maintenance person (step A11).

さらに、検知部44は、検知種別Bの検知条件にてDoS攻撃が検知された場合、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA12)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA13)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップA14)、アラーム3を保守者に送信する(ステップA15)。   Furthermore, when a DoS attack is detected under the detection condition of detection type B, the detection unit 44 receives signals received from the terminal devices 5a and 5b during the time width Nf based on the detection condition of detection type C. When the number is counted (step A12) and Mf or more signals are received from the terminal devices 5a and 5b (step A13), it is determined that the terminal devices 5a and 5b are performing a DoS attack, and that is regulated. Notify the unit 45. In response to this, the restricting unit 45 applies restriction of restriction type 3 to outgoing calls from the terminal devices 5a and 5b and incoming calls to the terminal devices 5a and 5b that are determined to be performing a DoS attack (step A14). ), Alarm 3 is transmitted to the maintenance person (step A15).

アラーム3の送信後も、検知部44は、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップA16)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA17)、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃が継続していると判断し、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。   Even after the alarm 3 is transmitted, the detection unit 44 repeatedly counts the number of signals received from each of the terminal devices 5a and 5b during the time width Nf based on the detection condition of the detection type C (step A16). When Mf or more signals are received from the devices 5a and 5b (step A17), the control unit 45 is notified of this. In response to this, the restricting unit 45 determines that the DoS attack is continuing, and restricts outgoing calls from the terminal devices 5a and 5b and incoming calls to the terminal devices 5a and 5b that are determined to be performing the DoS attack. Continue regulation by Type 3.

なお、検知部44は、ステップA5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップA4に戻り、カウントを繰り返す。   In step A5, when the number of signals counted during the time width Nd is smaller than Md, the detection unit 44 determines that neither of the terminal devices 5a and 5b has been subjected to a DoS attack, and proceeds to step A4. Return and repeat counting.

また、検知部44は、ステップA9において、時間幅Neの間にカウントした信号数がMeよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップA18)。なお、検知部44は、カウント数がMd以上でMeよりも小さな場合、ステップA8に戻り、カウントを繰り返す。   Further, in step A9, when the number of signals counted during the time width Ne is smaller than Me, the detection unit 44 determines that the DoS attack has subsided if the count number is smaller than Md. In addition to notifying the restricting unit 45, the process returns to step A4 and repeats counting. Further, the restriction unit 45 releases the restriction based on the notification (step A18). In addition, the detection part 44 returns to step A8, and repeats a count, when count number is more than Md and smaller than Me.

また、検知部44は、ステップA13において、時間幅Nfの間にカウントした信号数がMf以上の場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。   In step A13, when the number of signals counted during the time width Nf is equal to or greater than Mf, the detection unit 44 determines that the DoS attack has subsided if the count number is smaller than Md, and regulates that. In addition to notifying the unit 45, the process returns to step A4 to repeat counting. The restricting unit 45 returns to Step A18 and cancels the restriction based on the notification.

また、検知部44は、ステップA13において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別2から規制種別1に変更する(ステップA19)。なお、検知部44は、カウント数がMe以上でMfよりも小さな場合、ステップA12に戻り、カウントを繰り返す。   In step A13, when the count number during the time span Nf is greater than or equal to Md and smaller than Me, the detection unit 44 determines that the DoS attack is about to calm down and notifies the regulation unit 45 to that effect. At the same time, the process returns to step A8 to repeat counting. Further, the restricting unit 45 changes the restriction type from the restriction type 2 to the restriction type 1 based on the notification (step A19). When the count number is equal to or greater than Me and smaller than Mf, the detection unit 44 returns to Step A12 and repeats the count.

また、検知部44は、ステップA17において、時間幅Nfの間にカウントした信号数がMfよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。   Further, in step A17, when the number of signals counted during the time width Nf is smaller than Mf, the detection unit 44 determines that the DoS attack has subsided if the count number is smaller than Md. In addition to notifying the restricting unit 45, the process returns to step A4 and repeats counting. The restricting unit 45 returns to Step A18 and cancels the restriction based on the notification.

また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、ステップ19に戻り、その通知に基づいて規制種別を規制種別3から規制種別1に変更する。   In step A17, if the count number during the time width Nf is greater than or equal to Md and smaller than Me, the detection unit 44 determines that the DoS attack is going to calm down, and notifies the regulation unit 45 to that effect. At the same time, the process returns to step A8 to repeat counting. Further, the restricting unit 45 returns to step 19 and changes the restriction type from the restriction type 3 to the restriction type 1 based on the notification.

また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMe以上でMfよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA12に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別3から規制種別2に変更する(ステップA20)。
(負荷率が高い場合の呼制御装置4の動作)
続いて、呼制御装置4の負荷率が高い場合の動作について説明する。 In step A17, when the count number during the time width Nf is greater than or equal to Me and smaller than Mf, the detection unit 44 determines that the DoS attack is about to calm down and notifies the regulation unit 45 to that effect. At the same time, the process returns to step A12 to repeat counting. Further, the restriction unit 45 changes the restriction type from the restriction type 3 to the restriction type 2 based on the notification (step A20).
(Operation of call control device 4 when load factor is high)
Next, the operation when the load factor of the call control device 4 is high will be described.

図6は、図2に示した呼制御装置4の負荷率が高い場合の動作の一例を説明するフローチャートである。なお、予め保守者により負荷率が高い場合に検知部44が使用する検知種別として検知種別Aが選択されているものとする。   FIG. 6 is a flowchart for explaining an example of the operation when the load factor of the call control device 4 shown in FIG. 2 is high. It is assumed that the detection type A is selected in advance as a detection type used by the detection unit 44 when the load factor is high by the maintenance person.

図6に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との関連付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップB1)。   As shown in FIG. 6, first, the storage unit 41 shown in FIG. 2 determines whether the maintenance condition is associated with the detection condition, the restriction content, and the association of the load factor of the call control device 4 with the detection condition and the restriction content. When input, they are recorded in the detection condition table 411, the regulation condition table 412, and the load factor correspondence table 413, respectively (step B1).

次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップB2)、選択部43に通知する。   Next, the load factor calculation unit 42 periodically calculates the load factor of the call control device 4 (step B2) and notifies the selection unit 43 of the load factor.

次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が高いため、検知種別Aと規制種別3とが取得される。   Next, the selection unit 43 acquires the detection type and the regulation type from the load factor correspondence table 413 based on the load factor notified from the load factor calculation unit 42. Here, since the load factor of the call control device 4 is high, the detection type A and the restriction type 3 are acquired.

次に、選択部43は、それらに基づいて、検知条件テーブル411から検知種別Aの検知条件を取得するとともに、規制条件テーブル412から規制種別3の規制内容を取得し(ステップB3)、それらを検知部44および規制部45に通知する。   Next, the selection unit 43 acquires the detection condition of the detection type A from the detection condition table 411 based on them, acquires the restriction content of the restriction type 3 from the restriction condition table 412 (step B3), The detection unit 44 and the regulation unit 45 are notified.

次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップB4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップB6)、アラーム3を保守者に送信する(ステップB7)。   Next, the detection unit 44 counts the number of signals received from each of the terminal devices 5a and 5b during the time width Nd based on the detection condition of the detection type A (step B4), and from the terminal devices 5a and 5b. When Md or more signals are received (step B5), it is determined that the terminal devices 5a and 5b are performing a DoS attack, and this is notified to the regulation unit 45. In response to this, the restricting unit 45 applies restriction of restriction type 3 to outgoing calls from the terminal devices 5a and 5b determined to be performing a DoS attack and incoming calls to the terminal devices 5a and 5b (step B6). ), Alarm 3 is transmitted to the maintenance person (step B7).

アラーム3の送信後も、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップB8)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB9)、DoS攻撃が継続していると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。   Even after the alarm 3 is transmitted, the detection unit 44 repeatedly counts the number of signals received from each of the terminal devices 5a and 5b during the time width Nd based on the detection condition of the detection type A (step B8). When Md or more signals are received from the devices 5a and 5b (step B9), it is determined that the DoS attack is continuing, and this is notified to the regulation unit 45. In response to this, the restriction unit 45 continues the restriction by restriction type 3 for the transmission from the terminal devices 5a and 5b determined to be performing the DoS attack and the incoming call to the terminal devices 5a and 5b.

なお、検知部44は、ステップB5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップB4に戻り、カウントを繰り返す。   In addition, when the number of signals counted during the time width Nd is smaller than Md in step B5, the detection unit 44 determines that neither of the terminal devices 5a and 5b has been subjected to a DoS attack, and proceeds to step B4. Return and repeat counting.

また、検知部44は、ステップB9において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップB4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップB10)。   In addition, if the number of signals counted during the time width Nd is smaller than Md in step B9, the detection unit 44 determines that the DoS attack has subsided, notifies the regulation unit 45 to that effect, and Return to B4 and repeat counting. Further, the restriction unit 45 releases the restriction based on the notification (step B10).

以下に、本実施形態の通信システムの動作について説明する。
(通信システムの動作)
図7は、図1に示した通信システムの動作の一例を説明するシーケンスチャートである。なお、図7は、端末装置5aおよび呼制御装置4の間のシーケンスを示している。 Below, operation | movement of the communication system of this embodiment is demonstrated.
(Operation of communication system)
FIG. 7 is a sequence chart for explaining an example of the operation of the communication system shown in FIG. FIG. 7 shows a sequence between the terminal device 5a and the call control device 4.

ここでは、図1に示した呼制御装置4の負荷率が低い場合の通信システムの動作について説明する。   Here, the operation of the communication system when the load factor of the call control device 4 shown in FIG. 1 is low will be described.

図7に示すように、まず、図1に示した呼制御装置4において、図2に示した蓄積部41は、保守者により入力された検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けとを、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップC1)。   As shown in FIG. 7, first, in the call control device 4 shown in FIG. 1, the storage unit 41 shown in FIG. 2 includes the detection condition input by the maintenance person, the contents of regulation, and the load of the call control device 4. The association of the rate with the detection condition and the regulation content is recorded in the detection condition table 411, the regulation condition table 412 and the load factor correspondence table 413, respectively (step C1).

次に、呼制御装置4において、負荷率算出部42は、呼制御装置4の負荷率を算出し、算出結果を選択部44に通知する(ステップC2)。これを受けて、選択部44は、その算出結果に基づいて、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413から、負荷率が低い場合のDoS攻撃の検知条件である検知種別A〜Cと、それらに対応する規制種別1〜3を取得し(ステップC3)、それらを検知部44および規制部45に通知する。   Next, in the call control device 4, the load factor calculation unit 42 calculates the load factor of the call control device 4, and notifies the selection unit 44 of the calculation result (step C2). In response to this, the selection unit 44 determines from the detection condition table 411, the restriction condition table 412, and the load factor correspondence table 413, based on the calculation result, the detection type A that is the detection condition of the DoS attack when the load factor is low. To C and the corresponding restriction types 1 to 3 are acquired (step C3), and they are notified to the detection unit 44 and the restriction unit 45.

ここで、図7に示すように、図1に示した端末装置5aが、呼制御装置4に対して、DoS攻撃として例えばセッション確立要求の繰り返し送信を開始するものとする(ステップC4)。   Here, as shown in FIG. 7, it is assumed that the terminal device 5a shown in FIG. 1 starts to repeatedly transmit, for example, a session establishment request as a DoS attack to the call control device 4 (step C4).

次に、呼制御装置4において、検知部44は、検知種別1の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC5)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別1の規制をかける(ステップC6)。また、検知部44は、検知種別2の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC7)、合致した場合、規制部45は、端末装置5aに対して規制種別2の規制をかける(ステップC8)。更に、検知部44は、検知種別3の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC9)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別3の規制をかける(ステップC10)。   Next, in the call control device 4, the detection unit 44 counts the number of signals received from the terminal device 5a based on the detection type 1 detection condition (step C5). Then, restriction of restriction type 1 is applied to the terminal device 5a (step C6). In addition, the detection unit 44 counts the number of signals received from the terminal device 5a based on the detection condition of the detection type 2 (step C7). (Step C8). Furthermore, the detection unit 44 counts the number of signals received from the terminal device 5a based on the detection type 3 detection condition (step C9). Restriction of restriction type 3 is applied (step C10).

その後、呼制御装置4において、検知部44は、規制部45にて規制種別3による規制をかけた後も端末装置5aから受信した信号数のカウントを継続し(ステップC11)、端末装置5aによるDoS攻撃が沈静化したことを検知した場合、その旨を規制部45に通知する。これを受け、規制部45は、端末装置5aに対する規制を解除する(ステップC12)。   Thereafter, in the call control device 4, the detection unit 44 continues counting the number of signals received from the terminal device 5 a even after the restriction type 45 is restricted by the restriction type 45 (step C <b> 11). When it is detected that the DoS attack has subsided, the restriction unit 45 is notified accordingly. In response, the restriction unit 45 releases the restriction on the terminal device 5a (step C12).

上述したように、本実施形態においては、呼制御装置4は、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。   As described above, in the present embodiment, the call control device 4 calculates its own load factor, and changes the DoS attack detection conditions and the DoS attack restriction contents according to the calculated load factor. Perform detection and regulation.

この様に、呼制御装置4にてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、呼制御装置4の負荷率に応じて検出条件や規制内容を変更することで、負荷率が高い場合には呼制御装置4に負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。   In this way, since the DoS attack is detected and regulated by the call control device 4, the cost can be suppressed, and the detection condition and regulation contents are changed according to the load factor of the call control device 4, When the load factor is high, the DoS attack can be detected and regulated so that the call control device 4 is not loaded.

また、DoS攻撃の検出および規制を行うことができるため、端末装置5a,5bの利用者であるエンドユーザにとっては、ネットワークの安全性が高まることからいつでも安心してネットワークを使えるようになり、通信事業者にとっては、安全なネットワークを提供することで、エンドユーザおよびサービス提供者の満足度を高められ、エンドユーザおよびサービス提供者の囲い込みができるようになる。   In addition, since the DoS attack can be detected and regulated, the end users who are users of the terminal devices 5a and 5b can use the network at any time because the security of the network is increased. For a person, by providing a secure network, satisfaction of end users and service providers can be improved, and the end users and service providers can be enclosed.

1 NGN(Next Generation Network)
2 パケット転送層
3 サービス制御層
4 呼制御装置
5a,5b 端末装置
41 蓄積部
42 負荷率算出部
43 選択部
44 検知部
45 規制部
411 検知条件テーブル
412 規制条件テーブル
413 負荷率対応テーブル 1 NGN (Next Generation Network)
2 packet transfer layer 3 service control layer 4 call control device 5a, 5b terminal device 41 storage unit 42 load factor calculation unit 43 selection unit 44 detection unit 45 regulation unit 411 detection condition table 412 regulation condition table 413 load factor correspondence table

Claims (12)

端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、前記通信サーバの負荷率に応じて複数段階に設定されたDoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有し、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有し、
前記負荷率算出部にて算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択部をさらに有し、
前記検知部は、前記選択部にて取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制部は、前記選択部にて取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、通信サーバ。 In a communication server that sends and receives signals to and from a terminal,
A storage unit that records the load factor of the communication server, the DoS attack detection condition set in a plurality of stages according to the load factor of the communication server, and the restriction content for the DoS attack in association with each other;
A load factor calculating unit for calculating a load factor of the communication server;
While monitoring the signal received from the terminal, the terminal performs a DoS attack based on the detection condition associated with the load factor calculated by the load factor calculation unit and the result of the monitoring. A detection unit for determining whether or not to go;
Transmission / reception to / from the terminal determined to be performing a DoS attack at the detection unit based on the regulation content associated with the load factor calculated at the load factor calculation unit at the storage unit possess a regulating portion for applying the regulations with respect to the signal to be,
The storage unit
For each detection condition, a detection type that is an identifier of the detection condition, a time width indicating a period for counting the number of signals received from the terminal by the communication server, and the number of signals counted during the time width A detection condition table that records a threshold value used when determining whether or not the terminal is performing a DoS attack based on;
For each restriction content, the restriction type that is an identifier of the restriction content, the restriction content for the signal received from the terminal that is determined to be performing a DoS attack by the detection unit, and the signal that is transmitted to the terminal A regulation condition table recording the regulation contents;
A load factor correspondence table in which the load factor, the detection type, and the restriction type are recorded in association with each other;
The detection type and the restriction type corresponding to the load factor calculated by the load factor calculation unit are acquired from the load factor correspondence table, and the load factor is supported based on the acquired detection type and the restriction type. A selection unit that acquires the detection condition and the restriction content from the detection condition table and the restriction condition table;
The detection unit determines whether the terminal is performing a DoS attack based on the detection condition acquired by the selection unit,
The said control part is a communication server which places restrictions on the signal transmitted / received between the said terminals based on the said control content acquired in the said selection part . 請求項に記載の通信サーバにおいて、
前記検知部は、前記監視において前記選択部にて取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、通信サーバ。 The communication server according to claim 1 ,
The detection unit counts the number of signals received from the terminal during the time span included in the detection condition acquired by the selection unit in the monitoring, and when the number of signals is equal to or greater than the threshold, A communication server that determines that the terminal is performing a DoS attack. 請求項に記載の通信サーバにおいて、
前記検知部は、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制部は、前記検知部にてカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、通信サーバ。 The communication server according to claim 2 ,
The detection unit continuously counts the number of signals received from the terminal during the time span even after determining that the terminal is performing a DoS attack,
The restriction unit is a communication server that releases restriction on the terminal when the number of signals counted by the detection unit is smaller than the threshold value. 請求項または請求項に記載の通信サーバにおいて、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しており、
前記検知部は、前記選択部にて複数の検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制部は、前記検知部にて前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、通信サーバ。 In the communication server according to claim 2 or claim 3 ,
The load factor correspondence table records the detection type and the restriction type in association with each other,
The detection unit, when a plurality of detection conditions are acquired by the selection unit, the detection condition used to determine whether or not the terminal is performing a DoS attack according to the number of signals counted in the monitoring Change
The said control part is a communication server which changes the said control content used for the said control to the said control content corresponding to the said changed detection condition, when the said detection conditions are changed in the said detection part. 請求項〜請求項のいずれか1項に記載の通信サーバにおいて、
当該通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知部は、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、通信サーバ。 In the communication server according to any one of claims 2 to 4 ,
The communication server transmits and receives a SIP message signal as the signal to and from the terminal, and performs call control of the terminal.
The detection unit is a communication server that counts the number of SIP message signals received from the terminal in the monitoring. 請求項に記載の通信サーバにおいて、
前記検知部は、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、通信サーバ。 The communication server according to claim 5 ,
The detection unit is a communication server that counts the number of INVITE message signals among SIP message signals received from the terminal in the monitoring. DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、前記通信サーバの負荷率に応じて複数段階に設定されたDoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有し、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知ステップにてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有するものとし、
前記算出ステップで算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択ステップをさらに有し、
前記検知ステップでは、前記選択ステップで取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制ステップでは、前記選択ステップで取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、DoS攻撃防御方法。 A DoS attack prevention method performed by a communication server having a storage unit that records the DoS attack detection condition and the DoS attack restriction content,
A recording step of associating the load factor of the communication server with the detection condition of the DoS attack set in a plurality of stages according to the load factor of the communication server and the restriction content with respect to the DoS attack in the storage unit in association with each other; ,
A calculation step of calculating a load factor of the communication server;
Whether the terminal is performing a DoS attack based on the detection condition associated with the load factor calculated in the calculation step and the result of the monitoring while monitoring the signal received from the terminal A detection step for determining whether or not;
Based on the regulation content associated with the load factor calculated in the calculation step in the storage unit, the signal transmitted to and received from the terminal determined to be performing a DoS attack in the detection step possess and regulatory step of applying the regulation Te,
The storage unit
For each detection condition, a detection type that is an identifier of the detection condition, a time width indicating a period for counting the number of signals received from the terminal by the communication server, and the number of signals counted during the time width A detection condition table that records a threshold value used when determining whether or not the terminal is performing a DoS attack based on;
For each regulation content, the regulation type that is the identifier of the regulation content, the regulation content for the signal received from the terminal determined to be performing a DoS attack in the detection step, and the signal transmitted to the terminal A regulation condition table recording the regulation contents;
The load factor, and a load factor correspondence table in which the detection type and the restriction type are recorded in association with each other,
The detection type and the restriction type corresponding to the load factor calculated in the calculation step are acquired from the load factor correspondence table, and the detection corresponding to the load factor is obtained based on the acquired detection type and the restriction type. A selection step of acquiring conditions and the contents of the regulation from the detection condition table and the regulation condition table;
In the detection step, based on the detection condition acquired in the selection step, it is determined whether the terminal is performing a DoS attack,
The DoS attack protection method , wherein in the restriction step, a restriction is applied to a signal transmitted to and received from the terminal based on the restriction content acquired in the selection step . 請求項に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記選択ステップで取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、DoS攻撃防御方法。 The DoS attack defense method according to claim 7 ,
In the detection step, the number of signals received from the terminal during the time span included in the detection condition acquired in the selection step in the monitoring is counted, and when the number of signals is equal to or greater than the threshold, A DoS attack defense method for determining that a terminal is performing a DoS attack. 請求項に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制ステップでは、前記検知ステップでカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、DoS攻撃防御方法。 The DoS attack defense method according to claim 8 ,
In the detection step, even after it is determined that the terminal is performing a DoS attack, the number of signals received from the terminal continuously during the time span is counted,
The DoS attack protection method, wherein in the restriction step, the restriction on the terminal is released when the number of signals counted in the detection step is smaller than the threshold value. 請求項または請求項に記載のDoS攻撃防御方法において、
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しているものとし、
前記検知ステップでは、前記選択ステップで複数の前記検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制ステップでは、前記検知ステップで前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、DoS攻撃防御方法。 In the DoS attack defense method according to claim 8 or 9 ,
The load factor correspondence table records the detection type and the restriction type in association with each other,
In the detection step, when a plurality of the detection conditions are acquired in the selection step, the detection conditions used for determining whether or not the terminal is performing a DoS attack according to the number of signals counted in the monitoring. Change
In the restriction step, when the detection condition is changed in the detection step, the restriction content used for the restriction is changed to the restriction content corresponding to the changed detection condition. 請求項〜請求項10のいずれか1項に記載のDoS攻撃防御方法において、
前記通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知ステップでは、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、DoS攻撃防御方法。 The DoS attack defense method according to any one of claims 8 to 10 ,
The communication server transmits and receives a SIP message signal as the signal to and from the terminal, and performs call control of the terminal,
In the detection step, the DoS attack defense method of counting the number of SIP message signals received from the terminal in the monitoring. 請求項11に記載のDoS攻撃防御方法において、
前記検知ステップでは、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、DoS攻撃防御方法。 The DoS attack defense method according to claim 11 ,
In the detection step, a DoS attack protection method of counting the number of INVITE message signals among SIP message signals received from the terminal in the monitoring.
JP2009074010A 2009-03-25 2009-03-25 Communication server and DoS attack prevention method Active JP4878630B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009074010A JP4878630B2 (en) 2009-03-25 2009-03-25 Communication server and DoS attack prevention method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009074010A JP4878630B2 (en) 2009-03-25 2009-03-25 Communication server and DoS attack prevention method

Publications (2)

Publication Number Publication Date
JP2010226635A JP2010226635A (en) 2010-10-07
JP4878630B2 true JP4878630B2 (en) 2012-02-15

Family

ID=43043302

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009074010A Active JP4878630B2 (en) 2009-03-25 2009-03-25 Communication server and DoS attack prevention method

Country Status (1)

Country Link
JP (1) JP4878630B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012124207A1 (en) 2011-03-17 2012-09-20 日本電気株式会社 Communication system, base station, and method for coping with cyber attacks
JP5613196B2 (en) * 2012-04-13 2014-10-22 日本電信電話株式会社 DoS attack detection device
JP7035791B2 (en) * 2018-05-17 2022-03-15 オムロン株式会社 Anomaly detection device and anomaly detection method to detect cyber attacks

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3928866B2 (en) * 2003-04-18 2007-06-13 日本電信電話株式会社 DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof
JP2005165847A (en) * 2003-12-04 2005-06-23 Fujitsu Ltd Policy rule scenario control device and control method
JP4059887B2 (en) * 2005-03-30 2008-03-12 日本電信電話株式会社 Network control system and method
JP4547342B2 (en) * 2005-04-06 2010-09-22 アラクサラネットワークス株式会社 Network control apparatus, control system, and control method
JP4654092B2 (en) * 2005-08-25 2011-03-16 日本電信電話株式会社 Attack protection method, system and program for SIP server
JP2008098766A (en) * 2006-10-06 2008-04-24 Mitsubishi Electric Corp Intrusion detector and intrusion detection program

Also Published As

Publication number Publication date
JP2010226635A (en) 2010-10-07

Similar Documents

Publication Publication Date Title
US7933985B2 (en) System and method for detecting and preventing denial of service attacks in a communications system
US8806630B2 (en) Methods and apparatus for intrusion protection in systems that monitor for improper network usage
US8370937B2 (en) Handling of DDoS attacks from NAT or proxy devices
JP4654092B2 (en) Attack protection method, system and program for SIP server
US20060075084A1 (en) Voice over internet protocol data overload detection and mitigation system and method
KR20130005301A (en) Method for adapting security policies of an information system infrastructure
US7680062B2 (en) Apparatus and method for controlling abnormal traffic
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
JP3928866B2 (en) DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof
CN109005175A (en) Network protection method, apparatus, server and storage medium
WO2002025402A2 (en) Systems and methods that protect networks and devices against denial of service attacks
JP4602158B2 (en) Server equipment protection system
JP2007267151A (en) Apparatus, method and program for detecting abnormal traffic
JP4878630B2 (en) Communication server and DoS attack prevention method
JP4278593B2 (en) Protection method against application denial of service attack and edge router
JP4284248B2 (en) Application service rejection attack prevention method, system, and program
US20070140121A1 (en) Method of preventing denial of service attacks in a network
JP3643087B2 (en) Communication network, router and distributed denial-of-service attack detection protection method
JP3966231B2 (en) Network system, unauthorized access control method and program
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
JPWO2006035928A1 (en) IP telephone terminal apparatus, call control server, vaccine server, maintenance apparatus, IP telephone system, control method and program thereof
WO2019035488A1 (en) Control device, communication system, control method, and computer program
JP4322179B2 (en) Denial of service attack prevention method and system
EP2169898A1 (en) Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks
Onofrei et al. Preventing distributed denial-of-service attacks on the IMS Emergency services support through adaptive firewall pinholing

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110601

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110613

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110726

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110914

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111102

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111122

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111128

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4878630

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141209

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250