JP4878630B2 - Communication server and DoS attack prevention method - Google Patents
Communication server and DoS attack prevention method Download PDFInfo
- Publication number
- JP4878630B2 JP4878630B2 JP2009074010A JP2009074010A JP4878630B2 JP 4878630 B2 JP4878630 B2 JP 4878630B2 JP 2009074010 A JP2009074010 A JP 2009074010A JP 2009074010 A JP2009074010 A JP 2009074010A JP 4878630 B2 JP4878630 B2 JP 4878630B2
- Authority
- JP
- Japan
- Prior art keywords
- detection
- dos attack
- terminal
- restriction
- load factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 66
- 238000000034 method Methods 0.000 title claims description 57
- 230000002265 prevention Effects 0.000 title claims description 3
- 238000001514 detection method Methods 0.000 claims description 267
- 238000004364 calculation method Methods 0.000 claims description 28
- 238000012544 monitoring process Methods 0.000 claims description 19
- 230000001105 regulatory effect Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000007123 defense Effects 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 26
- 238000012545 processing Methods 0.000 description 25
- 238000012423 maintenance Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000012546 transfer Methods 0.000 description 3
- 101100516502 Caenorhabditis elegans ngn-1 gene Proteins 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 206010035148 Plague Diseases 0.000 description 1
- 241000607479 Yersinia pestis Species 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信サーバおよびDoS(Denial of Service attack)攻撃防御方法に関する。 The present invention relates to a communication server and a DoS (Denial of Service attack) attack protection method.
近年、インターネットを介して通信を行い、呼制御等のサービスを提供する通信システムが普及する一方で、このようなシステムの妨害を意図した不正なアクセスによる攻撃が増加している。 In recent years, communication systems that perform communications via the Internet and provide services such as call control have become widespread, while attacks by unauthorized access intended to interfere with such systems are increasing.
特に、システム内の通信サーバに対して大量の不正なアクセスを発生させ、通信サーバの負荷を上昇させてサービスの提供に不具合を生じさせたり、最悪の場合、通信サーバをダウンさせたりするDoS攻撃やDDoS(Distributed Denial of Service attack)攻撃は、正当なアクセスとの区別がつきにくく有効な対策をとることが困難であり、システム管理者を悩ませている。なお、以降、DoS攻撃とした場合、DDoS攻撃も含まれるものとする。 In particular, a DoS attack that generates a large amount of unauthorized access to a communication server in the system, increases the load on the communication server, causes a problem in service provision, or in the worst case, brings down the communication server. And DDoS (Distributed Denial of Service attack) attacks are difficult to distinguish from legitimate access, and it is difficult to take effective countermeasures, which plagues system administrators. Hereinafter, when a DoS attack is used, a DDoS attack is also included.
この様なDoS攻撃からシステムを防御する技術として、特許文献1には、DoS攻撃からの保護対象となるSIPサーバあるいはSIPクライアントとインターネットとの間に、異常なトラヒックを検知する異常トラヒック検知装置を設置し、DoS攻撃を検知する技術が記載されている。この、異常トラヒック検知装置は、SIPトランザクション処理の処理状態に関する情報をSIPパケットのヘッダーから取得するとともに、SIPトランザクション処理にて処理されるSIPパケットを監視し、監視したSIPパケットと取得したSIPトランザクション処理の処理状態に関する情報とに基づいて、不正アクセスによる異常なパケットのトラヒックを検知する。
As a technique for protecting the system from such a DoS attack,
また、DoS攻撃からシステムを防御する他の技術として、特許文献2には、ユーザ端末を収容するエッジ・ルータにおいて、単位時間あたりに各ユーザ端末から受信したパケット数をカウントし、単位時間当たりのパケット数が事前に設定されている閾値を超える場合、DoS攻撃と判断し、そのユーザ端末からのパケット送信を規制する技術が記載されている。
As another technique for protecting the system from a DoS attack,
これら特許文献1や特許文献2に記載されている技術では、通信サーバ等とインターネットとの間に、異常トラヒック検知装置やDoS攻撃を検知する機能を有するエッジ・ルータ等を設置することで、通信サーバ等に負担をかけることなくDoS攻撃を防御することができる。
In the technologies described in
また、DoS攻撃からシステムを防御するさらに他の技術として、特許文献3には、複数の端末を有するシステム内の通信サーバにおいて、各端末から第1の監視期間内に受信した信号数をカウントし、カウントした信号数が第1の閾値を越えた場合、その端末から第2の監視期間内に受信した信号の中から所定の処理内容の信号数をカウントし、カウントした所定の処理内容の信号数が第2の閾値を越えた場合にDoS攻撃と判断する技術が記載されている。この技術では、特定の処理内容の信号数をカウントするため、サービスの仕様に応じて、より高い精度でDoS攻撃を検知することができる。また、この技術では、特許文献1や特許文献2の技術のように異常トラヒック検知装置やエッジ・ルータ等の装置を準備する必要が無いため、DoS攻撃からシステムを防御するために掛かるコストを抑えることができる。
As still another technique for protecting the system from a DoS attack,
しかしながら、上述した特許文献1〜3に記載の技術には、以下に示すような課題がある。
However, the techniques described in
特許文献1に記載の技術では、保護対象となるSIPサーバやSIPクライアント毎に異常トラヒック検知装置を準備する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
In the technique described in
また、特許文献2に記載の技術では、事前に誰がDoS攻撃者となるかを特定することができないため、各ユーザ端末からのパケット数をカウントし、その結果に基づいてDoS攻撃か否かを判断する機能を全てのエッジ・ルータに追加する必要があり、DoS攻撃からシステムを防御するために掛かるコストが高くなるという問題がある。
In addition, in the technique described in
また、特許文献3に記載の技術では、上述したように通信サーバにDoS攻撃か否かを判断する機能を具備させるためコストを抑えることができる。しかし、この技術では、通信サーバにてDoS攻撃か否かの判断を行うため、その処理自体が通信サーバの負荷となり、通信サーバの負荷率が高い場合には、通信サーバ全体の処理に影響を及ぼす可能性がある。なお、負荷率とは、通信サーバの最大処理量に対する通信サーバが実際に行っている処理量の割合を示す値である。
In the technique described in
本発明の目的は、通信サーバにてDoS攻撃の検出処理を行うことでコストを抑えるとともに、通信サーバの負荷率が高い場合には検出処理による負荷を低減させることができる通信サーバおよびDoS攻撃防御方法を提供することにある。 An object of the present invention is to reduce the cost by performing a DoS attack detection process on a communication server and reduce the load caused by the detection process when the load ratio of the communication server is high, and DoS attack defense It is to provide a method.
上記目的を達成するために本発明の通信サーバは、
端末との間で信号の送受信を行う通信サーバにおいて、
前記通信サーバの負荷率と、DoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有することを特徴とする。
In order to achieve the above object, the communication server of the present invention provides:
In a communication server that sends and receives signals to and from a terminal,
A storage unit that records a load factor of the communication server, a DoS attack detection condition, and a DoS attack regulation content in association with each other;
A load factor calculating unit for calculating a load factor of the communication server;
While monitoring the signal received from the terminal, the terminal performs a DoS attack based on the detection condition associated with the load factor calculated by the load factor calculation unit and the result of the monitoring. A detection unit for determining whether or not to go;
Transmission / reception to / from the terminal determined to be performing a DoS attack at the detection unit based on the regulation content associated with the load factor calculated at the load factor calculation unit at the storage unit And a restricting section for restricting a signal to be transmitted.
上記目的を達成するために本発明のDoS攻撃防御方法は、
DoS攻撃の検知条件およびDoS攻撃に対する規制内容を記録した蓄積部を有し、端末と通信する通信サーバが行うDoS攻撃防御方法であって、
前記通信サーバの負荷率と、DoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有する。
In order to achieve the above object, the DoS attack defense method of the present invention comprises:
A DoS attack prevention method performed by a communication server having a storage unit that records the DoS attack detection condition and the DoS attack restriction content,
A recording step of associating the load factor of the communication server with the detection condition of the DoS attack and the restriction content against the DoS attack in the storage unit;
A calculation step of calculating a load factor of the communication server;
Whether the terminal is performing a DoS attack based on the detection condition associated with the load factor calculated in the calculation step and the result of the monitoring while monitoring the signal received from the terminal A detection step for determining whether or not;
Based on the regulation content associated with the load factor calculated in the calculation step in the storage unit, the signal transmitted to and received from the terminal determined to be performing a DoS attack in the detection step And a regulation step for regulating.
上述したように本発明においては、通信サーバは、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。 As described above, in the present invention, the communication server calculates its own load factor, and detects and regulates the DoS attack while changing the DoS attack detection condition and the DoS attack regulation content according to the calculated load factor. Do.
この様に、通信サーバにてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、通信サーバの負荷率に応じてDoS攻撃の検出条件や規制内容を変更することで、負荷率が高い場合には通信サーバに負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。 In this way, since the DoS attack is detected and regulated by the communication server, the cost can be reduced, and the load can be reduced by changing the DoS attack detection condition and the regulation contents according to the load rate of the communication server. When the rate is high, the DoS attack can be detected and regulated so that the communication server is not loaded.
以下に、本発明を実施するための最良の形態について図面を参照して説明する。 The best mode for carrying out the present invention will be described below with reference to the drawings.
図1は、本発明の一実施形態の通信システムの構成を示すブロック図である。 FIG. 1 is a block diagram showing a configuration of a communication system according to an embodiment of the present invention.
図1に示すように、本実施形態の通信システムは、NGN(次世代ネットワーク:Next Generation Network)1と、NGN1に接続された端末装置5a,5bとを有している。 As illustrated in FIG. 1, the communication system according to the present embodiment includes an NGN (Next Generation Network) 1 and terminal devices 5 a and 5 b connected to the NGN 1.
NGN1は、パケット転送層2とサービス制御層3とを有するネットワークである。
NGN 1 is a network having a
パケット転送層2は、パケットを転送する機能の集合体である。
The
サービス制御層3は、構成装置として呼制御装置4を含み、端末装置5a,5bに提供する各種のサービスを制御する機能の集合体である。
The
呼制御装置4は、端末装置5a,5b間の呼制御を行う通信サーバであり、予め設定されている検知条件に基づいてDoS攻撃を検知し、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制する。また、呼制御装置4は、定期的に自身の負荷率を算出し、負荷率の算出結果に応じて、DoS攻撃の検知条件やDoS攻撃に対する規制内容を変更する。なお、呼制御装置4が行う呼制御には、自身が収容する端末装置5a,5bについて、発信元の端末装置5a,5bから発せられた呼を受け付け、また着信先の端末装置5a,5bに着信を伝える加入者系の呼制御と、不図示の他の呼制御装置4で受け付けられた呼を、不図示のさらに他の呼制御装置4に転送する中継系の呼制御とが存在する。また、図1中では呼制御装置4は1台しか存在しないが、複数台存在してもよい。 The call control device 4 is a communication server that performs call control between the terminal devices 5a and 5b, detects a DoS attack based on detection conditions set in advance, and from the terminal devices 5a and 5b that perform the DoS attack. And the incoming calls to the terminal devices 5a and 5b are restricted. Further, the call control device 4 periodically calculates its own load factor, and changes the DoS attack detection conditions and the DoS attack restriction content according to the load factor calculation result. In the call control performed by the call control device 4, the terminal device 5a, 5b accommodated by the call control device 4 accepts a call made from the terminal device 5a, 5b that is the call source, and sends it to the terminal device 5a, 5b that is the call destination. There are subscriber-type call control for transmitting an incoming call and relay-type call control for transferring a call accepted by another call control device 4 (not shown) to another call control device 4 (not shown). Further, although only one call control device 4 exists in FIG. 1, a plurality of call control devices 4 may exist.
端末装置5a,5bは、本実施形態の通信システムが提供する通信サービスの利用者が操作する端末装置である。図1中では端末装置は端末装置5a,5bのみしか存在しないが、1台でも良いし、2台よりも多い台数存在してもよい。 The terminal devices 5a and 5b are terminal devices operated by a user of a communication service provided by the communication system according to the present embodiment. In FIG. 1, only the terminal devices 5a and 5b are present as terminal devices, but there may be only one or more than two.
以下に、本発明の特徴となる呼制御装置4の構成について詳細に説明する。
(呼制御装置4の構成)
図2は、図1に示した呼制御装置4の構成の一例を示すブロック図である。なお、図2においては、呼制御装置4の機能のうち、本発明の特徴であるDoS攻撃を検知し、規制する機能に関係する構成要素のみを示している。上述した呼制御については、SIPベースの呼制御など公知の技術を用いて実現することができるため、ここでは説明を割愛する。
Hereinafter, the configuration of the call control device 4 which is a feature of the present invention will be described in detail.
(Configuration of call control device 4)
FIG. 2 is a block diagram showing an example of the configuration of the call control device 4 shown in FIG. In FIG. 2, only the components related to the function of detecting and regulating the DoS attack, which is a feature of the present invention, of the functions of the call control device 4 are shown. Since the above-described call control can be realized using a known technique such as SIP-based call control, the description thereof is omitted here.
図2に示すように、図1に示した呼制御装置4は、蓄積部41と、負荷率算出部42と、選択部43と、検知部44と、規制部45とを有している。
As illustrated in FIG. 2, the call control device 4 illustrated in FIG. 1 includes a storage unit 41, a load
また、蓄積部41は、検知条件テーブル411と、規制条件テーブル412と、負荷率対応テーブル413とを有している。 Further, the storage unit 41 includes a detection condition table 411, a restriction condition table 412, and a load factor correspondence table 413.
検知条件テーブル411は、本実施形態の通信システムの保守者により入力された、DoS攻撃を検知するための検知条件を識別子となる検知種別ごとに記録したテーブルである。 The detection condition table 411 is a table in which detection conditions for detecting a DoS attack, which are input by a maintenance person of the communication system of the present embodiment, are recorded for each detection type serving as an identifier.
規制条件テーブル412は、保守者により入力された、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信を規制するための規制内容を識別子となる規制種別ごとに記録したテーブルである。 The restriction condition table 412 is a restriction type that is an identifier of restriction contents for restricting outgoing calls from the terminal devices 5a and 5b that are performing a DoS attack and incoming calls to the terminal devices 5a and 5b, which are input by the maintainer. It is a table recorded for each.
負荷率対応テーブル413は、検知条件テーブル411に記録されている検知種別と規制条件テーブル412に記録されている規制種別とを、呼制御装置4の負荷率に対応付けて記録したテーブルである。 The load factor correspondence table 413 is a table in which the detection type recorded in the detection condition table 411 and the restriction type recorded in the restriction condition table 412 are recorded in association with the load factor of the call control device 4.
負荷率算出部42は、保守者により設定された所定の期間におけるCPU(Central Processing Unit)使用率の変動に基づいて呼制御装置4の負荷率を算出し、選択部43に通知する。ここでは、例えば、保守者により所定の期間が30秒に設定された場合、負荷率算出部42は、CPU使用率が70%以上の状態が30秒間以上継続した場合に負荷率70%と算出するものとする。なお、呼制御装置4の負荷率の算出方法については、上述したCPU使用率に基づいた算出方法に限定されるものではなく、例えばメモリ使用率等の呼制御装置4の他のハードウェア資源の使用状況に応じて算出する方法を用いても良い。
The load
選択部43は、蓄積部41にアクセスし、負荷率算出部42から通知された負荷率に基づいて、その負荷率に対応した検知種別および規制種別を負荷率対応テーブル413から取得する。また、選択部43は、取得した検知種別の検知条件および規制種別の規制内容をそれぞれ検知条件テーブル411および規制条件テーブル412から取得し、検知部44および規制部45に通知する。
The
検知部44は、端末装置5a,5bからの発信および端末装置5a,5bへの着信を監視し、その監視結果と選択部43から通知された検知条件とに基づいて端末装置5a,5bがDoS攻撃を行っている否かを判断する。例えば、呼制御にSIPを用いる場合であれば、検知部44は、通知された検知条件に基づいて、呼制御装置4と端末装置5a,5bとの間で送受信されるSIPメッセージ信号の信号数をカウントし、カウントした信号数が検知条件を満たす場合、端末装置5a,5bがDoS攻撃を行っていると判定する。また、検知部44は、例えば、端末装置5aがDoS攻撃を行っていると判断した場合、端末装置5aからのDoS攻撃を検知した旨を規制部45に通知する。また、検知部44は、DoS攻撃検知後も、その攻撃が継続状態にあることを検知した場合、その旨を規制部45に通知する。なお、呼制御にSIPを用いる場合に、検知部44が、SIPメッセージ信号のうちSIPセッションを確立するために使用されるINVITEメッセージ信号のみをカウントするようにしても良い。
The
規制部45は、検知部44からの通知を受け、選択部43から通知された規制内容に基づいて、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に規制をかける。また、規制部45は、規制をかけていることを通知するアラームを保守者に対して送信する。なお、ここで端末装置5a,5bからの発信に規制をかけるとは、あて先がどこであるかに限らず端末装置5a,5bから受信した信号を破棄することを指す。また、端末装置5a,5bへの着信に規制をかけるとは、送信元がどこであるかに限らずあて先が端末装置5a,5bの信号を破棄することを指す。
The
以下に、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413の構成について説明する。
(検知条件テーブル411の構成)
図3−1は、図2に示した検知条件テーブル411の構成の一例を示す図である。
Below, the structure of the detection condition table 411, the regulation condition table 412, and the load factor correspondence table 413 is demonstrated.
(Configuration of detection condition table 411)
FIG. 3A is a diagram illustrating an example of the configuration of the detection condition table 411 illustrated in FIG. 2.
図3−1に示すように、図2に示した検知条件テーブル411には、検知種別ごとに、呼制御装置4にて同一IPアドレス、同一ポート番号から受信した信号数をカウントする期間を示す時間幅と、その時間幅の間にカウントした信号数に基づいてDoS攻撃か否かを判断する際に使用する閾値となる個数とがDoS攻撃の検知条件として記録されている。 As illustrated in FIG. 3A, the detection condition table 411 illustrated in FIG. 2 indicates a period for counting the number of signals received from the same IP address and the same port number in the call control device 4 for each detection type. The time width and the number serving as a threshold used when determining whether or not the DoS attack is based on the number of signals counted during the time width are recorded as DoS attack detection conditions.
例えば、図3−1に示した例では、検知部44は、検知種別Aの場合、時間幅Ndの間に、同一IPアドレス、同一ポート番号からMd個以上の信号を受信することを条件として、そのIPアドレスを有する端末装置5a,5bからDoS攻撃を受けていると判断する。同様に、検知部44は、検知種別Bの場合、時間幅Neの間に、同一IPアドレス、同一ポート番号からMe個以上の信号を受信することを条件にDoS攻撃と判断し、検知種別Cの場合、時間幅Nfの間に、同一IPアドレス、同一ポート番号からMf個以上の信号を受信することを条件にDoS攻撃と判断する。
For example, in the example illustrated in FIG. 3A, in the case of the detection type A, the
なお、時間幅はNd>Ne>Nfの関係にあり、閾値となる個数はMd<Me<Mfの関係にあるものとする。そのため、図3−1に示した例においては、検知種別A<検知種別B<検知種別Cの順で検知条件が厳しくなり、また、この順で検知条件に合致した端末装置5a,5bからDoS攻撃を受けている可能性が高くなる。
(規制条件テーブル412の構成)
図3−2は、図2に示した規制条件テーブル412の構成の一例を示す図である。
It is assumed that the time width has a relationship of Nd>Ne> Nf, and the number serving as a threshold has a relationship of Md <Me <Mf. Therefore, in the example shown in FIG. 3A, the detection conditions become stricter in the order of detection type A <detection type B <detection type C, and the terminal devices 5a and 5b that match the detection conditions in this order will receive DoS. The possibility of being attacked increases.
(Configuration of restriction condition table 412)
FIG. 3B is a diagram illustrating an example of the configuration of the restriction condition table 412 illustrated in FIG.
図3−2に示すように、図2に示した規制条件テーブル412には、規制種別ごとに、DoS攻撃を行っている端末装置5a,5bからの発信に対する規制内容と、その端末装置5a,5bへの着信に対する規制内容とが記録されている。なお、ここで、一部規制とは、保守者により設定された一定の割合、例えば3回に1回の割合で信号を破棄することを意味し、また、全面規制とは、全ての信号を破棄することを意味する。 As shown in FIG. 3-2, the restriction condition table 412 shown in FIG. 2 includes, for each restriction type, restriction contents for outgoing calls from the terminal devices 5 a and 5 b that are performing a DoS attack, and the terminal devices 5 a and 5 b. The contents of restrictions on incoming calls to 5b are recorded. Here, the partial restriction means that the signal is discarded at a certain rate set by the maintenance person, for example, once every three times, and the full restriction means that all signals are discarded. Means to discard.
例えば、図3−2に示した例では、規制部45は、規制種別1の場合、DoS攻撃を行っている端末装置5a,5bからの発信を一部規制し、その端末装置5a,5bへの着信については規制しない。同様に、規制部45は、規制種別2の場合、DoS攻撃を行っている端末装置5a,5bからの発信を全面規制し、その端末装置5a,5bへの着信については規制せず、規制種別3の場合、DoS攻撃を行っている端末装置5a,5bからの発信およびその端末装置5a,5bへの着信ともに全面規制する。
(負荷率対応テーブル413の構成)
図3−3は、図2に示した負荷率対応テーブル413の構成の一例を示す図である。
For example, in the example illustrated in FIG. 3B, in the case of the
(Configuration of load factor correspondence table 413)
FIG. 3-3 is a diagram illustrating an example of the configuration of the load factor correspondence table 413 illustrated in FIG. 2.
図3−3に示すように、図2に示した負荷率対応テーブル413には、呼制御装置4の負荷率と、検知条件および規制種別とが対応付けられて記録されている。ここでは、呼制御装置4の負荷率を、負荷率が高い状態と低い状態の2つに分け、それぞれに検知条件および規制種別を対応付けて記録している。なお、ここでは、負荷率が70%以上の場合を負荷率が高い状態として定義し、負荷率が70%よりも小さな場合を負荷率が低い状態として定義している。 As illustrated in FIG. 3C, the load factor correspondence table 413 illustrated in FIG. 2 records the load factor of the call control device 4, the detection condition, and the restriction type in association with each other. Here, the load factor of the call control device 4 is divided into two states, a high load factor and a low load factor, and the detection conditions and the restriction types are recorded in association with each other. Here, a case where the load factor is 70% or more is defined as a state where the load factor is high, and a case where the load factor is smaller than 70% is defined as a state where the load factor is low.
保守者は、呼制御装置4の負荷率と、検知条件および規制種別とを関連付けて負荷率対応テーブル413に記録することができ、図3−3に示した例では、負荷率が低い状態に対して、検知種別A〜Cをそれぞれ規制種別1〜3に対応付けて記録し、負荷率が高い状態に対しては、検知種別Aまたは検知種別Cを規制種別3と対応付けて記録している。
The maintenance person can record the load factor of the call control device 4 in association with the detection condition and the restriction type in the load factor correspondence table 413. In the example shown in FIG. On the other hand, the detection types A to C are recorded in association with the
以下に、図2に示した検知部44がDoS攻撃を検知する検知処理および規制部45が端末装置5a,5bからの発信及び端末装置5a,5bへの着信を規制する規制処理の動作について説明する。
(呼制御装置4の負荷率が低い場合の検知処理および規制処理)
図4−1は、図2に示した呼制御装置4の負荷率が低い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
The detection process shown in FIG. 2 for detecting the DoS attack and the operation of the restricting process for restricting the outgoing call from the terminal devices 5a and 5b and the restricting process of the restricting
(Detection processing and restriction processing when the load factor of the call control device 4 is low)
FIG. 4A is a conceptual diagram illustrating an example of operations of the detection process of the
図4−1に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%よりも小さな場合、つまり負荷率が低い場合は、まず、検知部44は、検知条件が一番ゆるい検知種別Aの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通視する。これを受け、規制部45は、検知種別1に対応する規制種別1の規制をかけ、その旨を示すアラームを保守者に送信する。
As shown in FIG. 4A, when the load factor calculated by the load
次に、検知部44は、検知種別Bの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Bに対応する規制種別2の規制をかけ、規制種別2の規制をかけた旨を示すアラーム2を保守者に送信する。
Next, the
次に、検知部44は、検知条件が一番厳しい検知種別Cの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Cに対応する規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。
Next, the
なお、検知部44は、DoS攻撃検知後、検知種別Aの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。また、検知部44は、検知種別Bの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Bから検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知条件Aに対応する規制種別1の規制に戻すか、あるいは規制を解除し通常の状態に戻す処理を行う。同様に、検知部44は、検知種別Cの検知条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化に向かいつつあると判断し、DoS攻撃の判断に使用する検知条件を検知条件Cから検知条件Bあるいは検知条件Aに変更し、その旨を規制部45に通知する。これを受け、規制部45は、検知種別Bに対応する規制種別2の規制、もしくは検知種別Aに対応する規制種別1の規制に戻すか、あるいは沈静化されたと判断し、規制を解除し通常の状態に戻す処理を行う。
(呼制御装置4の負荷率が高い場合の検知処理および規制処理)
図4−2は、図2に示した呼制御装置4の負荷率が高い場合の、検知部44の検知処理および規制部45の規制処理の動作の一例を説明する概念図である。
If the
(Detection processing and restriction processing when the load factor of the call control device 4 is high)
FIG. 4B is a conceptual diagram illustrating an example of operations of the detection process of the
図4−2に示すように、図2に示した負荷率算出部42にて算出された負荷率が70%以上の場合、つまり負荷率が高い場合は、まず、検知部44は、検知種別Aまたは検知種別Cのいずれかの検知条件に基づいて検知処理を行い、DoS攻撃を検知すると、その旨を規制部45に通知する。これを受けて、規制部45は、規制種別3の規制をかけ、その旨を示すアラーム3を保守者に送信する。なお、検知部44は、検知種別Aと検知種別Cの条件のうち、保守者により選択された方の条件を使用するものとする。
As shown in FIG. 4B, when the load factor calculated by the load
また、検知部44は、DoS攻撃検知後、検知種別Aもしくは検知種別Cの条件に基づいて検知処理を行った結果、検知条件に合致しなかった場合、DoS攻撃が沈静化されたと判断し、その旨を規制部45に通知する。これを受け、規制部45は、規制を解除し通常の状態に戻す処理を行う。
In addition, after detecting the DoS attack, the
上述したように、本実施形態の通信システムにおいては、呼制御装置4の負荷率が高い場合の処理は、負荷率が低い場合の処理と比較してステップ数が少なくなっている。この様に、呼制御装置4の負荷率に応じて、実施する検知処理や規制処理の処理内容を変更することで、負荷率が高い場合に検知処理および規制処理により呼制御装置4にかかる負荷を少なくすることができる。 As described above, in the communication system according to the present embodiment, the processing when the load factor of the call control device 4 is high has fewer steps than the processing when the load factor is low. In this way, the load applied to the call control device 4 by the detection processing and the restriction processing when the load factor is high by changing the processing contents of the detection processing and the restriction processing to be performed according to the load factor of the call control device 4. Can be reduced.
以下に、図2に示した呼制御装置4の動作について詳細に説明する。
(負荷率が低い場合の呼制御装置4の動作)
最初に、図2に示した呼制御装置4の負荷率が低い場合の動作について説明する。
The operation of the call control device 4 shown in FIG. 2 will be described in detail below.
(Operation of call control device 4 when load factor is low)
First, the operation when the load factor of the call control device 4 shown in FIG. 2 is low will be described.
図5は、図2に示した呼制御装置4の負荷率が低い場合の動作の一例を説明するフローチャートである。 FIG. 5 is a flowchart for explaining an example of the operation when the load factor of the call control device 4 shown in FIG. 2 is low.
図5に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップA1)。 As shown in FIG. 5, first, the storage unit 41 shown in FIG. 2 is configured by the maintenance person to associate the detection condition, the restriction content, the load factor of the call control device 4, the detection condition, and the restriction content, Is recorded in the detection condition table 411, the regulation condition table 412 and the load factor correspondence table 413, respectively (step A1).
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップA2)、選択部43に通知する。
Next, the load
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が低いため、検知種別A〜Cと、それらに対応する規制種別1〜3が取得される。
Next, the
次に、選択部43は、検知条件テーブル411から検知種別A〜Cの検知条件を取得するとともに、規制条件テーブル412から規制種別1〜3の規制内容を取得し(ステップA3)、それらを検知部44および規制部45に通知する。
Next, the
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップA5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別1の規制をかけ(ステップA6)、アラーム1を保守者に送信する(ステップA7)。
Next, the
また、検知部44は、検知種別Aの検知条件にてDoS攻撃を検知した場合、検知種別Bの検知条件に基づいて、時間幅Neの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA8)、端末装置5a,5bからMe個以上の信号を受信した場合(ステップA9)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別2の規制をかけ(ステップA10)、アラーム2を保守者に送信する(ステップA11)。
When the
さらに、検知部44は、検知種別Bの検知条件にてDoS攻撃が検知された場合、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップA12)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA13)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップA14)、アラーム3を保守者に送信する(ステップA15)。
Furthermore, when a DoS attack is detected under the detection condition of detection type B, the
アラーム3の送信後も、検知部44は、検知種別Cの検知条件に基づいて、時間幅Nfの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップA16)、端末装置5a,5bからMf個以上の信号を受信した場合(ステップA17)、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃が継続していると判断し、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
Even after the
なお、検知部44は、ステップA5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップA4に戻り、カウントを繰り返す。
In step A5, when the number of signals counted during the time width Nd is smaller than Md, the
また、検知部44は、ステップA9において、時間幅Neの間にカウントした信号数がMeよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップA18)。なお、検知部44は、カウント数がMd以上でMeよりも小さな場合、ステップA8に戻り、カウントを繰り返す。
Further, in step A9, when the number of signals counted during the time width Ne is smaller than Me, the
また、検知部44は、ステップA13において、時間幅Nfの間にカウントした信号数がMf以上の場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
In step A13, when the number of signals counted during the time width Nf is equal to or greater than Mf, the
また、検知部44は、ステップA13において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別2から規制種別1に変更する(ステップA19)。なお、検知部44は、カウント数がMe以上でMfよりも小さな場合、ステップA12に戻り、カウントを繰り返す。
In step A13, when the count number during the time span Nf is greater than or equal to Md and smaller than Me, the
また、検知部44は、ステップA17において、時間幅Nfの間にカウントした信号数がMfよりも小さな場合、カウント数がMdよりも小さければ、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップA4に戻りカウントを繰り返す。また、規制部45は、ステップA18に戻り、その通知に基づいて規制を解除する。
Further, in step A17, when the number of signals counted during the time width Nf is smaller than Mf, the
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMd以上でMeよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA8に戻りカウントを繰り返す。また、規制部45は、ステップ19に戻り、その通知に基づいて規制種別を規制種別3から規制種別1に変更する。
In step A17, if the count number during the time width Nf is greater than or equal to Md and smaller than Me, the
また、検知部44は、ステップA17において、時間幅Nfの間のカウント数がMe以上でMfよりも小さな場合、DoS攻撃が沈静化に向かっていると判断し、その旨を規制部45に通知するとともに、ステップA12に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制種別を規制種別3から規制種別2に変更する(ステップA20)。
(負荷率が高い場合の呼制御装置4の動作)
続いて、呼制御装置4の負荷率が高い場合の動作について説明する。
In step A17, when the count number during the time width Nf is greater than or equal to Me and smaller than Mf, the
(Operation of call control device 4 when load factor is high)
Next, the operation when the load factor of the call control device 4 is high will be described.
図6は、図2に示した呼制御装置4の負荷率が高い場合の動作の一例を説明するフローチャートである。なお、予め保守者により負荷率が高い場合に検知部44が使用する検知種別として検知種別Aが選択されているものとする。
FIG. 6 is a flowchart for explaining an example of the operation when the load factor of the call control device 4 shown in FIG. 2 is high. It is assumed that the detection type A is selected in advance as a detection type used by the
図6に示すように、まず、図2に示した蓄積部41は、保守者により、検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との関連付けと、が入力されると、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップB1)。 As shown in FIG. 6, first, the storage unit 41 shown in FIG. 2 determines whether the maintenance condition is associated with the detection condition, the restriction content, and the association of the load factor of the call control device 4 with the detection condition and the restriction content. When input, they are recorded in the detection condition table 411, the regulation condition table 412, and the load factor correspondence table 413, respectively (step B1).
次に、負荷率算出部42は、定期的に、呼制御装置4の負荷率を算出し(ステップB2)、選択部43に通知する。
Next, the load
次に、選択部43は、負荷率算出部42から通知された負荷率に基づいて負荷率対応テーブル413から検知種別と規制種別を取得する。なお、ここでは、呼制御装置4の負荷率が高いため、検知種別Aと規制種別3とが取得される。
Next, the
次に、選択部43は、それらに基づいて、検知条件テーブル411から検知種別Aの検知条件を取得するとともに、規制条件テーブル412から規制種別3の規制内容を取得し(ステップB3)、それらを検知部44および規制部45に通知する。
Next, the
次に、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数をカウントし(ステップB4)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB5)、その端末装置5a,5bがDoS攻撃を行っていると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対して規制種別3の規制をかけ(ステップB6)、アラーム3を保守者に送信する(ステップB7)。
Next, the
アラーム3の送信後も、検知部44は、検知種別Aの検知条件に基づいて、時間幅Ndの間に端末装置5a,5bの各々から受信した信号数のカウントを繰り返し(ステップB8)、端末装置5a,5bからMd個以上の信号を受信した場合(ステップB9)、DoS攻撃が継続していると判断し、その旨を規制部45に通知する。これを受け、規制部45は、DoS攻撃を行っていると判断された端末装置5a,5bからの発信およびその端末装置5a,5bへの着信に対する規制種別3による規制を継続する。
Even after the
なお、検知部44は、ステップB5において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、端末装置5a,5bのいずれからもDoS攻撃を受けていないと判断し、ステップB4に戻り、カウントを繰り返す。
In addition, when the number of signals counted during the time width Nd is smaller than Md in step B5, the
また、検知部44は、ステップB9において、時間幅Ndの間にカウントした信号数がMdよりも小さな場合、DoS攻撃が沈静化したと判断し、その旨を規制部45に通知するとともに、ステップB4に戻りカウントを繰り返す。また、規制部45は、その通知に基づいて規制を解除する(ステップB10)。
In addition, if the number of signals counted during the time width Nd is smaller than Md in step B9, the
以下に、本実施形態の通信システムの動作について説明する。
(通信システムの動作)
図7は、図1に示した通信システムの動作の一例を説明するシーケンスチャートである。なお、図7は、端末装置5aおよび呼制御装置4の間のシーケンスを示している。
Below, operation | movement of the communication system of this embodiment is demonstrated.
(Operation of communication system)
FIG. 7 is a sequence chart for explaining an example of the operation of the communication system shown in FIG. FIG. 7 shows a sequence between the terminal device 5a and the call control device 4.
ここでは、図1に示した呼制御装置4の負荷率が低い場合の通信システムの動作について説明する。 Here, the operation of the communication system when the load factor of the call control device 4 shown in FIG. 1 is low will be described.
図7に示すように、まず、図1に示した呼制御装置4において、図2に示した蓄積部41は、保守者により入力された検知条件と、規制内容と、呼制御装置4の負荷率と検知条件および規制内容との対応付けとを、それぞれ検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413に記録する(ステップC1)。 As shown in FIG. 7, first, in the call control device 4 shown in FIG. 1, the storage unit 41 shown in FIG. 2 includes the detection condition input by the maintenance person, the contents of regulation, and the load of the call control device 4. The association of the rate with the detection condition and the regulation content is recorded in the detection condition table 411, the regulation condition table 412 and the load factor correspondence table 413, respectively (step C1).
次に、呼制御装置4において、負荷率算出部42は、呼制御装置4の負荷率を算出し、算出結果を選択部44に通知する(ステップC2)。これを受けて、選択部44は、その算出結果に基づいて、検知条件テーブル411、規制条件テーブル412および負荷率対応テーブル413から、負荷率が低い場合のDoS攻撃の検知条件である検知種別A〜Cと、それらに対応する規制種別1〜3を取得し(ステップC3)、それらを検知部44および規制部45に通知する。
Next, in the call control device 4, the load
ここで、図7に示すように、図1に示した端末装置5aが、呼制御装置4に対して、DoS攻撃として例えばセッション確立要求の繰り返し送信を開始するものとする(ステップC4)。 Here, as shown in FIG. 7, it is assumed that the terminal device 5a shown in FIG. 1 starts to repeatedly transmit, for example, a session establishment request as a DoS attack to the call control device 4 (step C4).
次に、呼制御装置4において、検知部44は、検知種別1の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC5)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別1の規制をかける(ステップC6)。また、検知部44は、検知種別2の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC7)、合致した場合、規制部45は、端末装置5aに対して規制種別2の規制をかける(ステップC8)。更に、検知部44は、検知種別3の検知条件に基づいて端末装置5aから受信した信号数をカウントし(ステップC9)、検知条件と合致した場合、規制部45は、端末装置5aに対して規制種別3の規制をかける(ステップC10)。
Next, in the call control device 4, the
その後、呼制御装置4において、検知部44は、規制部45にて規制種別3による規制をかけた後も端末装置5aから受信した信号数のカウントを継続し(ステップC11)、端末装置5aによるDoS攻撃が沈静化したことを検知した場合、その旨を規制部45に通知する。これを受け、規制部45は、端末装置5aに対する規制を解除する(ステップC12)。
Thereafter, in the call control device 4, the
上述したように、本実施形態においては、呼制御装置4は、自身の負荷率を算出し、算出した負荷率に応じてDoS攻撃の検知条件やDoS攻撃に対する規制内容を変更しながらDoS攻撃の検知および規制を行う。 As described above, in the present embodiment, the call control device 4 calculates its own load factor, and changes the DoS attack detection conditions and the DoS attack restriction contents according to the calculated load factor. Perform detection and regulation.
この様に、呼制御装置4にてDoS攻撃の検知および規制を行うため、コストを抑えることができ、また、呼制御装置4の負荷率に応じて検出条件や規制内容を変更することで、負荷率が高い場合には呼制御装置4に負荷が掛からないようにDoS攻撃の検出および規制を行うことができる。 In this way, since the DoS attack is detected and regulated by the call control device 4, the cost can be suppressed, and the detection condition and regulation contents are changed according to the load factor of the call control device 4, When the load factor is high, the DoS attack can be detected and regulated so that the call control device 4 is not loaded.
また、DoS攻撃の検出および規制を行うことができるため、端末装置5a,5bの利用者であるエンドユーザにとっては、ネットワークの安全性が高まることからいつでも安心してネットワークを使えるようになり、通信事業者にとっては、安全なネットワークを提供することで、エンドユーザおよびサービス提供者の満足度を高められ、エンドユーザおよびサービス提供者の囲い込みができるようになる。 In addition, since the DoS attack can be detected and regulated, the end users who are users of the terminal devices 5a and 5b can use the network at any time because the security of the network is increased. For a person, by providing a secure network, satisfaction of end users and service providers can be improved, and the end users and service providers can be enclosed.
1 NGN(Next Generation Network)
2 パケット転送層
3 サービス制御層
4 呼制御装置
5a,5b 端末装置
41 蓄積部
42 負荷率算出部
43 選択部
44 検知部
45 規制部
411 検知条件テーブル
412 規制条件テーブル
413 負荷率対応テーブル
1 NGN (Next Generation Network)
2
Claims (12)
前記通信サーバの負荷率と、前記通信サーバの負荷率に応じて複数段階に設定されたDoS攻撃の検知条件およびDoS攻撃に対する規制内容とを対応付けて記録した蓄積部と、
前記通信サーバの負荷率を算出する負荷率算出部と、
前記端末から受信する信号を監視するとともに、前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知部と、
前記負荷率算出部にて算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知部にてDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制部とを有し、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知部にてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有し、
前記負荷率算出部にて算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択部をさらに有し、
前記検知部は、前記選択部にて取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制部は、前記選択部にて取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、通信サーバ。 In a communication server that sends and receives signals to and from a terminal,
A storage unit that records the load factor of the communication server, the DoS attack detection condition set in a plurality of stages according to the load factor of the communication server, and the restriction content for the DoS attack in association with each other;
A load factor calculating unit for calculating a load factor of the communication server;
While monitoring the signal received from the terminal, the terminal performs a DoS attack based on the detection condition associated with the load factor calculated by the load factor calculation unit and the result of the monitoring. A detection unit for determining whether or not to go;
Transmission / reception to / from the terminal determined to be performing a DoS attack at the detection unit based on the regulation content associated with the load factor calculated at the load factor calculation unit at the storage unit possess a regulating portion for applying the regulations with respect to the signal to be,
The storage unit
For each detection condition, a detection type that is an identifier of the detection condition, a time width indicating a period for counting the number of signals received from the terminal by the communication server, and the number of signals counted during the time width A detection condition table that records a threshold value used when determining whether or not the terminal is performing a DoS attack based on;
For each restriction content, the restriction type that is an identifier of the restriction content, the restriction content for the signal received from the terminal that is determined to be performing a DoS attack by the detection unit, and the signal that is transmitted to the terminal A regulation condition table recording the regulation contents;
A load factor correspondence table in which the load factor, the detection type, and the restriction type are recorded in association with each other;
The detection type and the restriction type corresponding to the load factor calculated by the load factor calculation unit are acquired from the load factor correspondence table, and the load factor is supported based on the acquired detection type and the restriction type. A selection unit that acquires the detection condition and the restriction content from the detection condition table and the restriction condition table;
The detection unit determines whether the terminal is performing a DoS attack based on the detection condition acquired by the selection unit,
The said control part is a communication server which places restrictions on the signal transmitted / received between the said terminals based on the said control content acquired in the said selection part .
前記検知部は、前記監視において前記選択部にて取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、通信サーバ。 The communication server according to claim 1 ,
The detection unit counts the number of signals received from the terminal during the time span included in the detection condition acquired by the selection unit in the monitoring, and when the number of signals is equal to or greater than the threshold, A communication server that determines that the terminal is performing a DoS attack.
前記検知部は、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制部は、前記検知部にてカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、通信サーバ。 The communication server according to claim 2 ,
The detection unit continuously counts the number of signals received from the terminal during the time span even after determining that the terminal is performing a DoS attack,
The restriction unit is a communication server that releases restriction on the terminal when the number of signals counted by the detection unit is smaller than the threshold value.
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しており、
前記検知部は、前記選択部にて複数の検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制部は、前記検知部にて前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、通信サーバ。 In the communication server according to claim 2 or claim 3 ,
The load factor correspondence table records the detection type and the restriction type in association with each other,
The detection unit, when a plurality of detection conditions are acquired by the selection unit, the detection condition used to determine whether or not the terminal is performing a DoS attack according to the number of signals counted in the monitoring Change
The said control part is a communication server which changes the said control content used for the said control to the said control content corresponding to the said changed detection condition, when the said detection conditions are changed in the said detection part.
当該通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知部は、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、通信サーバ。 In the communication server according to any one of claims 2 to 4 ,
The communication server transmits and receives a SIP message signal as the signal to and from the terminal, and performs call control of the terminal.
The detection unit is a communication server that counts the number of SIP message signals received from the terminal in the monitoring.
前記検知部は、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、通信サーバ。 The communication server according to claim 5 ,
The detection unit is a communication server that counts the number of INVITE message signals among SIP message signals received from the terminal in the monitoring.
前記通信サーバの負荷率と、前記通信サーバの負荷率に応じて複数段階に設定されたDoS攻撃の前記検知条件およびDoS攻撃に対する前記規制内容とを対応付けて前記蓄積部に記録する記録ステップと、
前記通信サーバの負荷率を算出する算出ステップと、
前記端末から受信した信号を監視するとともに、前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた検知条件と前記監視の結果とに基づいて前記端末がDoS攻撃を行っているか否かを判断する検知ステップと、
前記算出ステップで算出された負荷率に前記蓄積部にて対応付けられた規制内容に基づいて、前記検知ステップでDoS攻撃を行っていると判断された前記端末との間で送受信する信号に対して規制をかける規制ステップとを有し、
前記蓄積部は、
前記検知条件ごとに、該検知条件の識別子である検知種別と、前記通信サーバにて前記端末から受信した信号数をカウントする期間を示す時間幅と、該時間幅の間にカウントした信号数に基づいて前記端末がDoS攻撃を行っているか否かを判断する際に使用する閾値とを記録した検知条件テーブルと、
前記規制内容ごとに、該規制内容の識別子である規制種別と、前記検知ステップにてDoS攻撃を行っていると判断された前記端末から受信した信号に対する規制内容と、該端末に送信する信号に対する規制内容とを記録した規制条件テーブルと、
前記負荷率と、前記検知種別および前記規制種別とを対応付けて記録した負荷率対応テーブルとを有するものとし、
前記算出ステップで算出された負荷率に対応する前記検知種別および前記規制種別を前記負荷率対応テーブルから取得し、取得した前記検知種別および前記規制種別に基づいて、前記負荷率に対応する前記検知条件および前記規制内容を前記検知条件テーブルおよび前記規制条件テーブルから取得する選択ステップをさらに有し、
前記検知ステップでは、前記選択ステップで取得された前記検知条件に基づいて、前記端末がDoS攻撃を行っているか否かの判断を行い、
前記規制ステップでは、前記選択ステップで取得された前記規制内容に基づいて、前記端末との間で送受信する信号に対して規制をかける、DoS攻撃防御方法。 A DoS attack prevention method performed by a communication server having a storage unit that records the DoS attack detection condition and the DoS attack restriction content,
A recording step of associating the load factor of the communication server with the detection condition of the DoS attack set in a plurality of stages according to the load factor of the communication server and the restriction content with respect to the DoS attack in the storage unit in association with each other; ,
A calculation step of calculating a load factor of the communication server;
Whether the terminal is performing a DoS attack based on the detection condition associated with the load factor calculated in the calculation step and the result of the monitoring while monitoring the signal received from the terminal A detection step for determining whether or not;
Based on the regulation content associated with the load factor calculated in the calculation step in the storage unit, the signal transmitted to and received from the terminal determined to be performing a DoS attack in the detection step possess and regulatory step of applying the regulation Te,
The storage unit
For each detection condition, a detection type that is an identifier of the detection condition, a time width indicating a period for counting the number of signals received from the terminal by the communication server, and the number of signals counted during the time width A detection condition table that records a threshold value used when determining whether or not the terminal is performing a DoS attack based on;
For each regulation content, the regulation type that is the identifier of the regulation content, the regulation content for the signal received from the terminal determined to be performing a DoS attack in the detection step, and the signal transmitted to the terminal A regulation condition table recording the regulation contents;
The load factor, and a load factor correspondence table in which the detection type and the restriction type are recorded in association with each other,
The detection type and the restriction type corresponding to the load factor calculated in the calculation step are acquired from the load factor correspondence table, and the detection corresponding to the load factor is obtained based on the acquired detection type and the restriction type. A selection step of acquiring conditions and the contents of the regulation from the detection condition table and the regulation condition table;
In the detection step, based on the detection condition acquired in the selection step, it is determined whether the terminal is performing a DoS attack,
The DoS attack protection method , wherein in the restriction step, a restriction is applied to a signal transmitted to and received from the terminal based on the restriction content acquired in the selection step .
前記検知ステップでは、前記監視において前記選択ステップで取得された前記検知条件に含まれる前記時間幅の間に前記端末から受信した信号数をカウントし、該信号数が前記閾値以上の場合に、前記端末がDoS攻撃を行っていると判断する、DoS攻撃防御方法。 The DoS attack defense method according to claim 7 ,
In the detection step, the number of signals received from the terminal during the time span included in the detection condition acquired in the selection step in the monitoring is counted, and when the number of signals is equal to or greater than the threshold, A DoS attack defense method for determining that a terminal is performing a DoS attack.
前記検知ステップでは、前記端末がDoS攻撃を行っていると判断した後も、継続して前記時間幅の間に前記端末から受信した信号数をカウントし、
前記規制ステップでは、前記検知ステップでカウントされた信号数が前記閾値よりも小さな場合、前記端末に対する規制を解除する、DoS攻撃防御方法。 The DoS attack defense method according to claim 8 ,
In the detection step, even after it is determined that the terminal is performing a DoS attack, the number of signals received from the terminal continuously during the time span is counted,
The DoS attack protection method, wherein in the restriction step, the restriction on the terminal is released when the number of signals counted in the detection step is smaller than the threshold value.
前記負荷率対応テーブルは、前記検知種別と前記規制種別とを対応付けて記録しているものとし、
前記検知ステップでは、前記選択ステップで複数の前記検知条件が取得された場合、前記監視においてカウントした信号数に応じて、前記端末がDoS攻撃を行っているか否かの判断に使用する前記検知条件を変更し、
前記規制ステップでは、前記検知ステップで前記検知条件が変更された場合、前記規制に使用する前記規制内容を、変更された前記検知条件に対応する前記規制内容に変更する、DoS攻撃防御方法。 In the DoS attack defense method according to claim 8 or 9 ,
The load factor correspondence table records the detection type and the restriction type in association with each other,
In the detection step, when a plurality of the detection conditions are acquired in the selection step, the detection conditions used for determining whether or not the terminal is performing a DoS attack according to the number of signals counted in the monitoring. Change
In the restriction step, when the detection condition is changed in the detection step, the restriction content used for the restriction is changed to the restriction content corresponding to the changed detection condition.
前記通信サーバは、前記信号としてSIPメッセージ信号を前記端末との間で送受信し、該端末の呼制御を行うものとし、
前記検知ステップでは、前記監視において前記端末から受信したSIPメッセージ信号の信号数をカウントする、DoS攻撃防御方法。 The DoS attack defense method according to any one of claims 8 to 10 ,
The communication server transmits and receives a SIP message signal as the signal to and from the terminal, and performs call control of the terminal,
In the detection step, the DoS attack defense method of counting the number of SIP message signals received from the terminal in the monitoring.
前記検知ステップでは、前記監視において前記端末から受信したSIPのメッセージ信号のうちINVITEメッセージ信号の信号数をカウントする、DoS攻撃防御方法。 The DoS attack defense method according to claim 11 ,
In the detection step, a DoS attack protection method of counting the number of INVITE message signals among SIP message signals received from the terminal in the monitoring.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009074010A JP4878630B2 (en) | 2009-03-25 | 2009-03-25 | Communication server and DoS attack prevention method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009074010A JP4878630B2 (en) | 2009-03-25 | 2009-03-25 | Communication server and DoS attack prevention method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010226635A JP2010226635A (en) | 2010-10-07 |
JP4878630B2 true JP4878630B2 (en) | 2012-02-15 |
Family
ID=43043302
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009074010A Active JP4878630B2 (en) | 2009-03-25 | 2009-03-25 | Communication server and DoS attack prevention method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4878630B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012124207A1 (en) | 2011-03-17 | 2012-09-20 | 日本電気株式会社 | Communication system, base station, and method for coping with cyber attacks |
JP5613196B2 (en) * | 2012-04-13 | 2014-10-22 | 日本電信電話株式会社 | DoS attack detection device |
JP7035791B2 (en) * | 2018-05-17 | 2022-03-15 | オムロン株式会社 | Anomaly detection device and anomaly detection method to detect cyber attacks |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3928866B2 (en) * | 2003-04-18 | 2007-06-13 | 日本電信電話株式会社 | DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof |
JP2005165847A (en) * | 2003-12-04 | 2005-06-23 | Fujitsu Ltd | Policy rule scenario control device and control method |
JP4059887B2 (en) * | 2005-03-30 | 2008-03-12 | 日本電信電話株式会社 | Network control system and method |
JP4547342B2 (en) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | Network control apparatus, control system, and control method |
JP4654092B2 (en) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Attack protection method, system and program for SIP server |
JP2008098766A (en) * | 2006-10-06 | 2008-04-24 | Mitsubishi Electric Corp | Intrusion detector and intrusion detection program |
-
2009
- 2009-03-25 JP JP2009074010A patent/JP4878630B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2010226635A (en) | 2010-10-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7933985B2 (en) | System and method for detecting and preventing denial of service attacks in a communications system | |
US8806630B2 (en) | Methods and apparatus for intrusion protection in systems that monitor for improper network usage | |
US8370937B2 (en) | Handling of DDoS attacks from NAT or proxy devices | |
JP4654092B2 (en) | Attack protection method, system and program for SIP server | |
US20060075084A1 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
KR20130005301A (en) | Method for adapting security policies of an information system infrastructure | |
US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
JP3928866B2 (en) | DoS attack source detection method, DoS attack prevention method, session control device, router control device, program, and recording medium thereof | |
CN109005175A (en) | Network protection method, apparatus, server and storage medium | |
WO2002025402A2 (en) | Systems and methods that protect networks and devices against denial of service attacks | |
JP4602158B2 (en) | Server equipment protection system | |
JP2007267151A (en) | Apparatus, method and program for detecting abnormal traffic | |
JP4878630B2 (en) | Communication server and DoS attack prevention method | |
JP4278593B2 (en) | Protection method against application denial of service attack and edge router | |
JP4284248B2 (en) | Application service rejection attack prevention method, system, and program | |
US20070140121A1 (en) | Method of preventing denial of service attacks in a network | |
JP3643087B2 (en) | Communication network, router and distributed denial-of-service attack detection protection method | |
JP3966231B2 (en) | Network system, unauthorized access control method and program | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
JPWO2006035928A1 (en) | IP telephone terminal apparatus, call control server, vaccine server, maintenance apparatus, IP telephone system, control method and program thereof | |
WO2019035488A1 (en) | Control device, communication system, control method, and computer program | |
JP4322179B2 (en) | Denial of service attack prevention method and system | |
EP2169898A1 (en) | Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks | |
Onofrei et al. | Preventing distributed denial-of-service attacks on the IMS Emergency services support through adaptive firewall pinholing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110526 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110601 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110613 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110726 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111102 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111122 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111128 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4878630 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |