JP2004140524A - DoS攻撃検知方法、DoS攻撃検知装置及びプログラム - Google Patents
DoS攻撃検知方法、DoS攻撃検知装置及びプログラム Download PDFInfo
- Publication number
- JP2004140524A JP2004140524A JP2002302083A JP2002302083A JP2004140524A JP 2004140524 A JP2004140524 A JP 2004140524A JP 2002302083 A JP2002302083 A JP 2002302083A JP 2002302083 A JP2002302083 A JP 2002302083A JP 2004140524 A JP2004140524 A JP 2004140524A
- Authority
- JP
- Japan
- Prior art keywords
- dos attack
- communication packet
- packets
- header information
- dos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
【課題】極めて簡便な方法でアドレス不定型のDoS攻撃であってもそれを検知可能なDoS攻撃検知方法、DoS攻撃検知装置及びプログラムを提供する。
【解決手段】DoS攻撃検知装置101は、送信元A1〜Aiから送られた通信パケットを受信し、送信元IPアドレス等を含むヘッダ部分を抽出する処理を行うパケット処理部102と、パケット処理部102にて抽出されたヘッダ部分を記憶するヘッダ情報記憶部103と、単位処理時間当たりのパケット数をカウントする判定値算出部104と、判定値算出部104により算出された判定値に基づきDoS攻撃か否かを判定するDoS攻撃判定手段である判定部105と、判定部105によりDoS攻撃を検知した場合に適切な処理行う検知時処理部106とを備える。
【選択図】 図1
【解決手段】DoS攻撃検知装置101は、送信元A1〜Aiから送られた通信パケットを受信し、送信元IPアドレス等を含むヘッダ部分を抽出する処理を行うパケット処理部102と、パケット処理部102にて抽出されたヘッダ部分を記憶するヘッダ情報記憶部103と、単位処理時間当たりのパケット数をカウントする判定値算出部104と、判定値算出部104により算出された判定値に基づきDoS攻撃か否かを判定するDoS攻撃判定手段である判定部105と、判定部105によりDoS攻撃を検知した場合に適切な処理行う検知時処理部106とを備える。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、ユビキタスネットワーク等において脅威となるDoS攻撃(Denialof Service攻撃:サービス拒否攻撃、サービス妨害攻撃、サービス不能攻撃)等の高負荷攻撃を検知するDoS攻撃検知方法、DoS攻撃検知装置及びDoS攻撃を検知する処理をコンピュータに実行させるためのプログラムに関する。
【0002】
【従来の技術】
DoS攻撃とは、インターネット等で不特定多数のユーザ等の送信元に公開されたサーバ等の送信先に対して、不正な通信パケットを送ることにより、送信先のリソースを消費する等の悪影響を与え、他の送信元から該送信先へのアクセスを困難にしたり、該送信先の機能を停止させたりするものである。また、このDoS攻撃の応用としてDDoS攻撃(Distributed DoS攻撃)というものもある。
【0003】
DoS攻撃に使用される不正なパケットの種類によって、DoS攻撃は、以下に分類することができる。即ち、
(1)異常形式型DoS攻撃:パケットの形式が正常ではないもの
(2)アドレス固定型DoS攻撃:パケットの形式は正常であるが、パケットの数が送信先に対するサービス妨害に十分な程多く、且つ、送信元IPアドレスがある程度の範囲内に限定されるもの
(3)アドレス不定型DoS攻撃:パケットの形式は正常であるが、パケットの数が送信先に対するサービス妨害に十分なほど多く、且つ送信元IPアドレスがある程度の範囲内に限定されないもの
の3つに分類することができる。
【0004】
従来、上記(1)に対する対策としては、送信先内、又は送信先と送信元との通信経路上に所定の装置を設け、この装置により、形式が異常なパケットを破棄する方法がある。パケットの形式が異常であるか否かの判定は、主にパターンマッチングによって行われる。
【0005】
しかしながら、このような対策は、上記(1)のような異常な形式のパケットが攻撃に使用される場合には有効であるが、上記(2)及び(3)のように、パケットの形式から不正であることを検出することができない攻撃に対しては、このような対策は有効ではない。
【0006】
次に、上記(2)に対する対策としては、特定又は特定範囲の送信元IPアドレスを有する通信パケット毎に、単位時間当たりの通信量を制限するトラヒックシェーピング装置を送信先内、又は送信先と送信元との通信経路上に設置する方法がある。この方法においては、所定の通信量を超えた場合、そのパケットはトラヒックシェーピング装置によって破棄されるため、特定範囲内の送信元IPアドレスを有するパケットを使用した攻撃を無効にすることができる。
【0007】
しかしながら、上記(3)のようにパケット毎に異なる送信元IPアドレスを偽装する等の手段を使用する攻撃や、DDoS攻撃のように、攻撃に使用されるパケットの送信元IPアドレス範囲を限定しない攻撃に関しては、このように、送信元IPアドレス毎に通信量制限を行うこの方法は有効ではない。
【0008】
上記(3)に対する対策としては、上記(3)の攻撃は、送信元IPアドレスを偽装することによって実現されることが多いため、送信元IPアドレスの偽装を防ぐために、ISP(Internet Service Provider)等によって行われるイングレスフィルタリングと呼ばれる方法がある。
【0009】
イングレスフィルタリングとは、物理的又は論理的な回線毎に、その先に接続される送信元(ユーザ)が使用するアドレス範囲が特定される場合に、その回線を通過して送信されるパケットの送信元IPアドレスを確認し、特定された範囲に含まれない送信元IPアドレスを有するパケットを破棄するものである。これによって、回線で許可された範囲から外れたアドレスを偽装したパケットは通過することができなくなる。
【0010】
イングレスフィルタリングは、回線で許可するアドレスの範囲が狭いほどアドレスの偽装防止として有効である。従って、イングレスフィルタリングはパケットがユーザ(送信元)側からISPのバックボーンネットワークに入る前等に行うことが望ましく、逆に送信先であるサーバ側への接続部分でイングレスフィルタリングを行っても、送信元IPアドレスの範囲を狭い範囲に限定することができないため有効にはならない。
【0011】
つまり、イングレスフィルタリングは、サーバを運営する者が防御としてとることのできる対策としては有効ではなく、ユーザを接続するISP側が、そのISPのユーザが不正を行わないようにするための対策として有効なものである。対策を採る側であるISPやユーザにとって、自らが不正を行わないようにするという理由だけでは直接的な利益は少ないため、この対策は普及していない。
【0012】
また、イングレスフィルタリングを利用する発展例として、網内へのアクセスをイングレスフィルタリングのみに限定する閉域網を構築する方法がある。この場合には、その中のサーバは、アドレス不定型DoS攻撃を防ぐことができるためサーバ運営者側のメリットは大きくなる。しかし、この場合はサーバを特定のメンバーにのみ公開することになってしまうため、公開サーバにおける対策としては導入されない。
【0013】
アドレス偽装に関するその他の対策として、IPレイヤ(ネットワーク層)において暗号化を行う技術であるIPsec(IP Security Protocol、IETF(Internet Engineering Task Force)標準のネットワーク層におけるセキュリティ・プロトコル)等を使ったVPN(Virtual Private Network)の導入がある。サーバと、そのサーバへアクセスを行うユーザとの間でVPNを構築することは閉域網を構築することに等しく、イングレスフィルタリングを行う場合と同じように、サーバを特定のメンバーにのみ公開することになってしまうため、公開サーバにおける対策としては不十分である。
【0014】
このように、従来、アドレス不定型DoS攻撃への十分な対策がなかった。更に、攻撃者が攻撃元を特定されにくくするために送信元IPアドレスの偽造を利用することが多いため、アドレス不特定型DoS攻撃は、十分な対策がない現在では、大きな脅威となっている。
【0015】
そこで、上記(1)乃至(3)に示すDoS攻撃を有効に防御するDoS攻撃防御方法が下記特許文献1に記載されている。この特許文献1に記載のDoS攻撃防御方法は、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上でその安全性識別子に応じた優先制御を行うものであり、送信元側において、イングレスフィルタリング等の安全性確認を行ったパケットに対して、安全性識別子を付加し、パケットにどれほどの安全性確認が行われているかを送信元から送信先へ配送される間の経路において識別し、より高い安全性確認が行われたパケットを優先的に送信先に送信し、その他のパケットは破棄することにより、DoS攻撃を防御するものである。
【0016】
アドレス不定型のDoS攻撃は、十分な安全性確認を行っていないパケットを使用して行われるが、安全性確認が高いもの程優先的に許可するため、攻撃に使用されるパケットの優先度を下げ、帯域で許可された容量を超えた場合に、攻撃に使用されるパケットを破棄することができ、アドレス不定型のDoS攻撃は無効となる。
【0017】
【特許文献1】
特開2002−158699号公報
【0018】
【発明が解決しようとする課題】
しかしながら、上述の特許文献1に記載の技術においては、送信先のDoS攻撃防御方法であるが、送信先としてサーバを想定したものであり、各通信パケット全てについて安全性確認を行って安全性識別子を付加する必要があると共に、安全性の高いものから優先的に送信先に接続させるために、安全性識別子から安全性を判断する必要があり、処理が複雑である。
【0019】
また、PtoP(Peer to Peer)通信では、通信のエンド端末でDoS攻撃の対策が必要となるため、サーバでなんらかの防御策を一元的に施すことは困難である。即ち、上述の特許文献1に記載の技術では、PtoP通信におけるDoS攻撃を防御することができない。
【0020】
更に、UVN(Ubiquitous Value Network)を構成する端末は、PC(Personal Computer)等のような万能な端末だけではなく、限定されたサービスのみ利用可能な端末やセンサー等の機能限定端末も含まれる。このような機能限定端末の場合、上述の特許文献1に記載の技術のようなDoS攻撃防御方法をとることは困難である。また、機能限定端末においては、利用可能なサービスも限定されるため、攻撃者が攻撃パケットを偽ることが容易であり、しかも、所謂ファイアウォールと呼ばれる機能ではDoS攻撃を防ぐことはできない。
【0021】
本発明は、このような従来の実情に鑑みて提案されたものであり、極めて簡便な方法でアドレス不定型のDoS攻撃であってもそれを検知可能なDoS攻撃検知方法、DoS攻撃検知装置及びプログラムを提供することを目的とする。
【0022】
【課題を解決するための手段】
上述した目的を達成するために、本発明に係るDoS攻撃検知方法は、単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃を検知する検知工程を有することを特徴とする。
【0023】
本発明においては、単位処理時間当たりに受信したパケット数及び/又はヘッダ情報により、DoS攻撃であるか否かを判定するため、例えば送信元アドレスを偽る等されたアドレス不定型のDoS攻撃であっても、送信先の端末側において、例えば処理不能な多数の通信パケットが受信されれば、それをDoS攻撃と判定し、適宜防御処理を行うことができる。
【0024】
また、上記検知工程は、上記通信パケットを受信する工程と、上記単位処理時間当たりに受信した上記通信パケットのパケット数をカウントする判定値算出工程と、上記判定値算出工程の算出結果に基づきDoS攻撃であるか否かを判定するDoS攻撃判定工程とを有することができる。
【0025】
更に、上記検知工程は、受信した上記通信パケットのヘッダ情報を記録手段に記録する工程を有し、上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間に抽出した該送信元アドレス数をカウントし、上記DoS攻撃判定工程では、上記送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定することができ、不特定多数のアドレスからのDoS攻撃に対応することができる。
【0026】
更にまた、上記判定値算出工程は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、該送信元アドレスの乱数性を評価する乱数評価工程を有し、上記DoS攻撃判定工程では、上記乱数評価結果に基づきDoS攻撃であるか否かを判定することができ、送信元アドレスを乱数によって生成するようなDoS攻撃に対応することができる。
【0027】
また、上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間当たりに受信した上記パケット数を上記送信元アドレスの信頼度に応じて重み付けした数値を算出し、上記DoS攻撃判定工程では、上記重み付けした数値に基づきDoS攻撃であるか否かを判定することができ、例えば送信先の使用者が指定したアドレス等は信頼度が高く、過去にDoS攻撃をしたと見なせるようなアドレスは信頼度を低くというように、送信元アドレスをその信頼度によって分類することにより、信頼度が低い通信パケットが多数送信された場合に、迅速にDoS攻撃と判定することができる。
【0028】
更に、DoS攻撃であると判定した場合、上記通信パケットの受信元の使用者に対してDoS攻撃の検知を通知する通知工程を有するか、パケット受信工程にて所定期間、通信パケットの受信が拒否されるようにすることにより、送信先のリソースを消費する等の悪影響を与えられる前に防御処理を行うことができる。
【0029】
また、本発明に係るプログラムは、上述したDoS攻撃検知処理をコンピュータに実行させるものである。
【0030】
【発明の実施の形態】
以下、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。この実施の形態は、PC等の通信のエンド端末において、受信した通信パケットの総数及び、その通信パケットの送信元アドレスからDoS攻撃であるか否かを判定することにより、アドレス不定型DoS攻撃であっても対応可能なDoS攻撃検知装置に適用したものである。
【0031】
図1は、本発明の実施の形態におけるDoS攻撃検知装置を示すブロック図である。図1に示すように、ネットワークを介して接続された複数の送信元A1〜Aiから送信先である例えばPC等の主装置に対して通信パケットが送信される。主装置は、受信した通信パケットのDoS攻撃を検知するDoS攻撃検知装置101を備える。このDoS攻撃検知装置101は、送信元A1〜Aiから送られた通信パケットを受信し、送信元IPアドレス等を含むヘッダ部分を抽出する処理を行うパケット処理部102と、パケット処理部102にて抽出されたヘッダ部分を記憶するヘッダ情報記憶部103と、単位処理時間T2当たりのパケット数をカウントする判定値算出部104と、判定値算出部104により算出された判定値に基づきDoS攻撃か否かを判定するDoS攻撃判定手段である判定部105と、判定部105によりDoS攻撃を検知した場合に適切な処理行う検知時処理部106とを有している。
【0032】
パケット処理部102は、送信元A1〜Aiから送られてくる例えばIP(Internet Protocol)パケット等の通信パケットを受信する受信手段(図示せず)を有している。そして、受信した通信パケットから、その送信元アドレスを抽出する。
【0033】
ヘッダ情報記憶部103は、パケット処理部102により送信元パケットから抽出された送信元アドレス等をヘッダ情報として記憶する。ここで、ヘッダ情報として、送信元パケットのどの情報を記録するかは、本DoS攻撃検知装置101を備える主装置がサポートするプロトコルに依存する。
【0034】
判定値算出部104は、単位期間T1毎に、ヘッダ情報記憶部103からヘッダ情報を取得し、単位処理期間T2の間に届いた通信パケットのパケット数をカウントする。この判定値算出部104の判定値算出処理は、図2に示すタイミングで実行される。即ち、図2に示すように、単位期間T1毎に、単位処理期間T2の間に届いた通信パケットのパケット数がカウントされる。このとき下記式(1)の関係が成立する。
【0035】
【数1】
【0036】
判定値算出処理として、送信元アドレスの個数をi、各送信元から単位処理期間T2間に送信されたパケット数をbiとしたとき、下記式(2)により、単位処理期間T2の間に送信されたパケットの総数Bをカウントする。
【0037】
【数2】
【0038】
そして、このパケットの総数Bを判定部105に送る。判定部105は、判定値算出部104からこのような判定値算出結果が送られ、その結果に基づき、DoS攻撃であるか否かを判定する。即ち、主装置のDoS攻撃検知装置101が単位処理時間T2の間に処理可能な範囲で予め設定されたパケット数(閾値)をpとしたとき、パケットの総数Bの値と上記パケット数pとを比較し、下記式(3)が成立した場合、即ち、受信したパケットの総数Bが上記パケット数pを超えた場合に、DoS攻撃であると判定する。
【0039】
【数3】
【0040】
ここで、上記式(3)が成立した場合にDoS攻撃である可能性が高いと判断するか、又は、受信したパケットの総数Bが処理可能範囲の上記パケット数pには達しないものの、ある程度大きい場合等に、DoS攻撃である可能性が高いと判断して、後述する第1乃至第3の判定方法を用いてDoS攻撃であるか否かを判定することも可能である。
【0041】
検知時処理部106は、例えば図示せぬ通知手段を備え、判定部105にて、DoS攻撃であると判定された場合に、上記通知手段により、主装置の使用者に対して、DoS攻撃を検知したことを知らせるようにするか、検知時処理部106からの制御信号等により、パケット処理部102の図示せぬパケット受信部に対して一定期間全てのパケットの受信を停止させる等の処理を行うようにするか、又は両者を組み合わせた処理等を行う。また、上述のDoS攻撃の可能性が高いと判断した場合においても、主装置の使用者に通知するようにしてもよい。
【0042】
図3は、本実施の形態におけるDoS攻撃検知方法を示すフローチャートである。図3に示すように、送信元からパケットが送信され、これを受信すると、単位時間当たりに受信した通信パケットのパケット数及び/又はヘッダ情報に基づきDoS攻撃であるか否かを検出する。即ち、先ずパケット処理部102にて、受信したパケットのヘッダ情報が抽出され、このヘッダ情報がパケット情報記憶部103に記憶される(ステップS1)。そして、判定値算出部104にて、パケットのヘッダ情報の単位処理期間T2当たりの取得数、即ち単位処理期間T2の間に受信したパケット数をカウントし(ステップS2)、単位処理期間T2の間に受信したパケット数の総和が所定の閾値以上であるか否かの判定が行われ(ステップS3)、パケット数が所定の閾値以上である場合、DoS攻撃であると判定し、検知時処理として所定の防衛処理を行う(ステップS4)。
【0043】
本実施の形態においては、単位処理期間T2の間に受信したパケット数の統計を求め、パケットの総数が予め設定した閾値を超えた場合にDoS攻撃であると判定するため、アドレス不定型のDoS攻撃であっても極めて容易に検知することができる。
【0044】
次に、本発明の第2の実施の形態について説明する。上述の第1の実施の形態においては、単位処理期間T2の間に受信されたパケット数が所定の閾値以上である場合、DoS攻撃であると判定するものであったが、本実施の形態においては、単位処理期間T2の間に所定の閾値以上のパケットを受信した場合、更に、DoS攻撃であるか否かを判定する処理を設けるものである。本第2の実施の形態におけるDoS攻撃検知装置も図1に示す第1の実施の形態と同様の構成とし、その詳細な説明は省略する。単位処理期間T2の間に所定の閾値以上のパケットを受信した場合に行われるDoS攻撃判定処理は、判定値算出部104及び判定部105にて行われる。
【0045】
即ち、判定値算出部104にて、先ず、ヘッダ情報記憶部103に記憶されている各通信パケットのヘッダ情報から送信元アドレスを抽出し、単位時間T1毎に単位処理期間T2の間に検出された送信元アドレス数をカウントする。そして、この送信元アドレス数を判定部105に送る。判定部105は、送信元アドレス数が所定の閾値以上であるか否かを判定し、所定の閾値以上である場合、DoS攻撃と判定し、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0046】
図4乃至図6は、夫々パケット処理部102、判定値算出部104、判定部105における処理方法を示すフローチャートである。図4に示すように、パケット処理部102におけるパケット処理工程では、先ず、受信したパケットのヘッダ部分(ヘッダ情報)を検索し(ステップS11)、検索したヘッダ情報を抽出し(ステップS12)、最後に抽出したヘッダ情報をヘッダ情報記録部103に記録する(ステップS13)。
【0047】
また、図5に示すように、判定値算出部104の判定値算出処理は、ヘッダ情報記録部103からヘッダ情報を取得し(ステップS21)、取得したヘッダ情報の処理期間T2の間に取得したパケット数をカウントする。ここで、パケット数が所定の閾値以上である場合、DoS攻撃であるかを検知する検知処理を開始する。即ち、取得したパケット情報から送信元アドレスを抽出し、単位処理期間T2の間に受信した通信パケットの送信元アドレス数をカウントし(ステップS22)、この送信元アドレス数を判定部105に送る(ステップS23)。
【0048】
また、図6に示すように、判定部105の判定工程では、判定値算出部104から送られてきた判定値算出結果、即ち、送信元アドレス数を受取り(ステップS31)、この判定値算出結果が予め登録された範囲内であるか否かの判定がされる(ステップS32)。ここで、判定値算出結果が範囲内である場合は、DoS攻撃ではないとの判定をする。一方、判定処理結果が範囲を超える場合はDoS攻撃であるか否かを検知する検知処理を行う(ステップS33)。
【0049】
以下、判定部105において、所定処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、判定値算出部104において行われるDoS攻撃を検知するための判定値算出について詳細に説明する。
【0050】
DoS攻撃であるか否かは、パケットの送信元アドレスに基づき行われ、本実施の形態においては、単位処理期間T2の間に検出された送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定するものである(以下第1の判定方法という。)。
【0051】
判定値算出部104は、ヘッダ情報記憶部103から読み出した送信元アドレスの個数iを判定部105に渡す。判定部105では、本DoS攻撃制御装置を備える主装置に対し単位処理時間T2に応じて予め設定された送信元アドレス数の閾値と、判定値算出部104から送られてきた送信元アドレスの個数iとを比較処理する。そして、単位処理時間T2の間に送られてきたパケットの送信元アドレスの個数iが、上記送信元アドレス数の閾値を超えた場合、DoS攻撃があったものと判定する。
【0052】
主装置にWebページの閲覧等、不特定多数のアドレスに対してリクエストを出す機能が搭載されていない場合、主装置には、無数の送信元アドレスが記録されることはないため、送信元アドレスの個数iがDoS攻撃検知の役割を果たす。
【0053】
逆に、主装置101にWebページの閲覧等、不特定多数のアドレスに対してリクエストを出す機能が搭載されている場合、主装置に無数の送信元アドレスが記録される可能性がある。しかしながら、CE(Consumer Electronics)製品を想定した場合、単位処理時間T2の間に記録される送信元アドレスの個数iは、単位処理時間T2が例えば24時間であったとしても通常、数十程度のオーダーであると予測される。従って、いずれの場合においても、送信元アドレスの個数iはDoS攻撃検知の役割を果たす。
【0054】
本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレス数の統計をとることにより、単位処理時間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、その通信パケットから抽出した送信元アドレス数が所定の閾値を超えた場合に、DoS攻撃であると判定するため、アドレス不定型のDoS攻撃であっても検知することができ、また、CE製品等においては、想定される送信元アドレス数がある程度予測でき、適宜送信元アドレス数の閾値等を設定して、容易にDoS攻撃等の高負荷攻撃を検知することができる。
【0055】
また、インターネット等のオープンなネットワークにおいて、情報送信者の身元特定が困難であることや、攻撃実行に必要なコストや心理的障壁が低いという理由等から、公開サーバに対するDoS攻撃が容易に行われ得るという問題点があり、通信品質が重視されるVoIP(Voice over Internet Protocol)や動画配信のようなアプリケーションが、オープンなネットワーク上では利用されにくかったが、端末側にて、通信パケットのパケット数及びパケットの送信元アドレスに基づきDoS攻撃検知を行うことができ、これによりDoS攻撃の対策が可能となり、インターネット等の安価なネットワークで、ある程度の通信品質を確保することができ、大きなビジネスに繋げることができる。
【0056】
更に、PtoP(Peer to Peer)通信では、サーバでなんらかの防御策を一元的に施すことは困難であり、通信のエンド端末でDoS攻撃の対策が必要であるが、本DoS攻撃検知装置により、通信のエンド端末でDoS攻撃の対策が可能となり、UVNを構成する安心・安全な端末を提供できる。
【0057】
更にまた、UVNを構成する端末は、PC等のような万能な端末だけではなく、限定されたサービスのみ利用可能な端末やセンサー等の機能限定端末も含まれるが、このような機能限定端末においても、攻撃者が攻撃パケットを偽るような攻撃パケットを容易に検知することができ、UVNを構成する安心・安全な端末を提供できる。
【0058】
次に、本発明の第3の実施の形態について説明する。単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、判定値算出部104において行われるDoS攻撃を検知するための判定値算出が、第2の実施の形態とは異なり、本第3の実施の形態においては、送信元アドレスを二進数表示した場合にこれが乱数であるか否かを評価し、この乱数検出結果に基づきDoS攻撃であるか否かを判定するものである(以下、第2の判定方法という。)。
【0059】
即ち、単位処理期間T2におけるパケットの総数Bが処理可能なパケット数pを超えた場合、ヘッダ情報記憶部に記憶されている各通信パケットのヘッダ情報から送信元アドレスを抽出し、送信元アドレスを二進数表示した場合に該二進数表示が乱数であるか否かを検出し、この二進数表示が乱数であるか否かの判定結果に基づきDoS攻撃であるか否かを判定する。DoS攻撃と判定した場合は、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0060】
以下、第2の判定方法について更に詳細に説明する。送信元アドレスを乱数によって生成するようなDoS攻撃に対応するため、送信元アドレスを二進数列とみなし、乱数性を検査する。
【0061】
乱数性検査の方法として、ここでは、Frequency Test within a Block法を用いた方法について説明する。Frequency Test within a Block法では、下記式(7)を満たすか否かを判定し、満たす(真である)とき乱数ではないとする。
【0062】
【数4】
【0063】
以下、具体的数値で示す。図7の右側に示すように、実際に乱数を発生させ、この乱数を二進数表記とし、これを左側に示すように、IPv4のアドレスとみなした場合について説明する。M=32、n=32×10とすると、上記式(4)に示すN=16となる。このとき、図7に示すアドレスと見なすための二進数表記とした乱数は、上記式(5)から下記式(9)のように計算される。従って、上記式(6)は、下記式(10)のように計算される。
【0064】
【数5】
【0065】
【数6】
【0066】
従って、上記式(7)により不完全ガンマ関数igamcを計算すると、下記式(11)のように計算され、この下記式(11)を上記式(8)に当てはめると下記式(12)となる。
【0067】
【数7】
【0068】
従って、上記式(12)は、上記式(8)を満たさないことから、この数列は、Frequency Test within a Block法では乱数であるとみなされる。乱数性検査の別の例としてはNIST Special Publication 800−22(http://csrc.nist.gov/publications/nistpubs/800−22/sp−800−22−051501.pdf)等が挙げられる。ここで示したFrequency Test within a Block法も上記文献に記載されているものである。
【0069】
判定値算出部104は、乱数であるか否かの結果を判定部105に渡す。判定部105では乱数か否かを判断の基準に用いる。例えば、所定の数以上、乱数であると判定される送信元アドレスが検出された場合、又は、乱数と判定された送信元アドレスから送信された通信パケットのパケット数の総数が所定の閾値を超えた場合等に、DoS攻撃と判定することができる。
【0070】
本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレスの乱数性の統計をとり、単位処理期間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、その通信パケットの送信元アドレスの乱数性を評価することにより、第2の実施の形態と同様の効果を奏すると共に、乱数から生成されたような偽装された送信元アドレスからDoS攻撃を受けた場合においても、DoS攻撃を検知することができ、適宜防御処理を行うことができる。
【0071】
次に、本発明の第4の実施の形態について説明する。本第4の実施の形態においては、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、DoS攻撃を検知するための判定値を算出する判定値算出処理が、上記第2及び第3の実施の形態とは異なる。即ち、判定値算出部では、単位処理期間の間に受信した通信パケット数を、該通信パケットの送信元アドレスの信頼度に応じて重み付けして加算した数値を算出し、この数値に基づきDoS攻撃であるか否かを判定するものである(以下、第3の判定方法という。)。そして、DoS攻撃と判定した場合は、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0072】
以下、第3の判定方法について更に詳細に説明する。先ず、送信元アドレスに対して、その信頼度に基づき優先順位をつける。図8は、優先順位の設定ルールの一例を示す図である。図8に示すように、送信元アドレスの分類(優先順位1〜4)に対して、加算する数値を割り当てる。即ち、例えば、DoS攻撃検知装置を備える本装置(情報処理端末)に予め設定されているアドレスである公開鍵認証機関アドレス及び情報処理端末製造元アドレス等は、信頼度が最も高い、信頼する送信元アドレスに分類し、この信頼する送信元アドレスから送信された通信パケットに掛け合わせる数値として例えば1等の小さな値を設定する。また、情報処理端末の使用者が信頼できるとして予め設定した送信元アドレス、及び情報処理端末に過去にDoS攻撃を仕掛けたことがある送信元アドレスを、夫々信頼できる送信元アドレス及び信頼しない送信元アドレスとして、夫々通信パケットに掛け合わせる数値として2及び8等のその信頼度に基づく数値を設定する。即ち、信頼度が低い送信元アドレスには、大きな値を割り当てる。そして、各送信元アドレスから受信した通信パケットのパケット数C1〜C4を例えば下記のように分類する。
【0073】
【表1】
【0074】
そして、この分類後のパケット数を、信頼度に応じて重み付けした数値を求める。図8に示す例では、上記重み付けした数値は、下記式(13)により算出することができる。この算出結果Cを判定部105に渡す。
【0075】
【数8】
【0076】
判定部105では、受け取った算出結果Cと、主装置において予め定めた閾値とで比較処理する。即ち、この算出結果Cが所定の閾値を超える場合は、DoS攻撃であると判定する。
【0077】
このように構成された本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレスの信頼度に基づくパケット数の統計をとり、単位処理期間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、通信パケットのパケット数を、送信元アドレスの信頼度に応じて重み付けした数値により、DoS攻撃であるか否かを判定するため、第2の実施の形態と同様の効果を奏すると共に、信頼度に基づく判定により、更に誤検出を低減することができる。
【0078】
なお、本発明は上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。例えば、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、第2の実施の形態乃至第4の実施の形態において説明した第1の判定方法乃至第3の判定方法を、DoS攻撃検知を行う端末の機能等に合わせて適宜組み合わせることも可能であることは勿論である。また、上述の従来の技術のようなDoS攻撃対策と組み合わせて使用してもよい。
【0079】
また、上述の第2乃至第4の実施の形態においては、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、夫々第1乃至第3の判定方法にて、DoS攻撃であるか否かを判定するものとしたが、パケット数をカウントする処理は省略し、直接第1乃至第3の判定方法又はこれを組み合わせた判定方法により、DoS攻撃であるか否かを判定するものとしてもよい。
【0080】
また、上述の実施の形態では、ハードウェアの構成として説明したが、これに限定されるものではなく、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。この場合、コンピュータプログラムは、記録媒体に記録して提供することも可能であり、また、インターネットその他の伝送媒体を介して伝送することにより提供することも可能である。
【0081】
【発明の効果】
以上詳細に説明したように本発明に係るDoS攻撃検知方法及び装置は、単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃であるか否かを検知するので、例えば送信元アドレス等を偽ったアドレス不定型のDoS攻撃を受けたとしても、送信先の端末側において処理不能な多数の通信パケットが受信されれば、それをDoS攻撃と判定し、適宜防御処理を行うことができる。
【0082】
また、本発明に係るプログラムは、上述したDoS攻撃検知処理をコンピュータに実行させるものであり、このようなプログラムによれば、上述したDoS攻撃検知処理をソフトウェアにより実現することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るDoS攻撃検知装置を示すブロック図である。
【図2】本発明の実施の形態に係るDoS攻撃検知装置における判定値算出部の処理タイミングを示す模式図である。
【図3】本発明の実施の形態に係るDoS攻撃検知方法を示すフローチャートである。
【図4】本発明の実施の形態に係るDoS攻撃検知方法におけるパケット処理部の処理工程を示すフローチャートである。
【図5】本発明の実施の形態に係るDoS攻撃検知方法における判定値算出部の処理工程を示すフローチャートである。
【図6】本発明の実施の形態に係るDoS攻撃検知方法における判定部の処理工程を示すフローチャートである。
【図7】右は、実際に発生させた乱数を二進数表記を示し、左は、右に示す二進数表記をIPv4のアドレスとみなしたものを示す図である。
【図8】本発明の実施の形態に係るDoS攻撃検知方法における優先順位の設定ルールの一例を示す図である。
【符号の説明】
101 DoS攻撃検知装置、102 パケット処理部、103 ヘッダ情報記憶部、104 判定値算出部、105 判定部、106 検知時処理部
【発明の属する技術分野】
本発明は、ユビキタスネットワーク等において脅威となるDoS攻撃(Denialof Service攻撃:サービス拒否攻撃、サービス妨害攻撃、サービス不能攻撃)等の高負荷攻撃を検知するDoS攻撃検知方法、DoS攻撃検知装置及びDoS攻撃を検知する処理をコンピュータに実行させるためのプログラムに関する。
【0002】
【従来の技術】
DoS攻撃とは、インターネット等で不特定多数のユーザ等の送信元に公開されたサーバ等の送信先に対して、不正な通信パケットを送ることにより、送信先のリソースを消費する等の悪影響を与え、他の送信元から該送信先へのアクセスを困難にしたり、該送信先の機能を停止させたりするものである。また、このDoS攻撃の応用としてDDoS攻撃(Distributed DoS攻撃)というものもある。
【0003】
DoS攻撃に使用される不正なパケットの種類によって、DoS攻撃は、以下に分類することができる。即ち、
(1)異常形式型DoS攻撃:パケットの形式が正常ではないもの
(2)アドレス固定型DoS攻撃:パケットの形式は正常であるが、パケットの数が送信先に対するサービス妨害に十分な程多く、且つ、送信元IPアドレスがある程度の範囲内に限定されるもの
(3)アドレス不定型DoS攻撃:パケットの形式は正常であるが、パケットの数が送信先に対するサービス妨害に十分なほど多く、且つ送信元IPアドレスがある程度の範囲内に限定されないもの
の3つに分類することができる。
【0004】
従来、上記(1)に対する対策としては、送信先内、又は送信先と送信元との通信経路上に所定の装置を設け、この装置により、形式が異常なパケットを破棄する方法がある。パケットの形式が異常であるか否かの判定は、主にパターンマッチングによって行われる。
【0005】
しかしながら、このような対策は、上記(1)のような異常な形式のパケットが攻撃に使用される場合には有効であるが、上記(2)及び(3)のように、パケットの形式から不正であることを検出することができない攻撃に対しては、このような対策は有効ではない。
【0006】
次に、上記(2)に対する対策としては、特定又は特定範囲の送信元IPアドレスを有する通信パケット毎に、単位時間当たりの通信量を制限するトラヒックシェーピング装置を送信先内、又は送信先と送信元との通信経路上に設置する方法がある。この方法においては、所定の通信量を超えた場合、そのパケットはトラヒックシェーピング装置によって破棄されるため、特定範囲内の送信元IPアドレスを有するパケットを使用した攻撃を無効にすることができる。
【0007】
しかしながら、上記(3)のようにパケット毎に異なる送信元IPアドレスを偽装する等の手段を使用する攻撃や、DDoS攻撃のように、攻撃に使用されるパケットの送信元IPアドレス範囲を限定しない攻撃に関しては、このように、送信元IPアドレス毎に通信量制限を行うこの方法は有効ではない。
【0008】
上記(3)に対する対策としては、上記(3)の攻撃は、送信元IPアドレスを偽装することによって実現されることが多いため、送信元IPアドレスの偽装を防ぐために、ISP(Internet Service Provider)等によって行われるイングレスフィルタリングと呼ばれる方法がある。
【0009】
イングレスフィルタリングとは、物理的又は論理的な回線毎に、その先に接続される送信元(ユーザ)が使用するアドレス範囲が特定される場合に、その回線を通過して送信されるパケットの送信元IPアドレスを確認し、特定された範囲に含まれない送信元IPアドレスを有するパケットを破棄するものである。これによって、回線で許可された範囲から外れたアドレスを偽装したパケットは通過することができなくなる。
【0010】
イングレスフィルタリングは、回線で許可するアドレスの範囲が狭いほどアドレスの偽装防止として有効である。従って、イングレスフィルタリングはパケットがユーザ(送信元)側からISPのバックボーンネットワークに入る前等に行うことが望ましく、逆に送信先であるサーバ側への接続部分でイングレスフィルタリングを行っても、送信元IPアドレスの範囲を狭い範囲に限定することができないため有効にはならない。
【0011】
つまり、イングレスフィルタリングは、サーバを運営する者が防御としてとることのできる対策としては有効ではなく、ユーザを接続するISP側が、そのISPのユーザが不正を行わないようにするための対策として有効なものである。対策を採る側であるISPやユーザにとって、自らが不正を行わないようにするという理由だけでは直接的な利益は少ないため、この対策は普及していない。
【0012】
また、イングレスフィルタリングを利用する発展例として、網内へのアクセスをイングレスフィルタリングのみに限定する閉域網を構築する方法がある。この場合には、その中のサーバは、アドレス不定型DoS攻撃を防ぐことができるためサーバ運営者側のメリットは大きくなる。しかし、この場合はサーバを特定のメンバーにのみ公開することになってしまうため、公開サーバにおける対策としては導入されない。
【0013】
アドレス偽装に関するその他の対策として、IPレイヤ(ネットワーク層)において暗号化を行う技術であるIPsec(IP Security Protocol、IETF(Internet Engineering Task Force)標準のネットワーク層におけるセキュリティ・プロトコル)等を使ったVPN(Virtual Private Network)の導入がある。サーバと、そのサーバへアクセスを行うユーザとの間でVPNを構築することは閉域網を構築することに等しく、イングレスフィルタリングを行う場合と同じように、サーバを特定のメンバーにのみ公開することになってしまうため、公開サーバにおける対策としては不十分である。
【0014】
このように、従来、アドレス不定型DoS攻撃への十分な対策がなかった。更に、攻撃者が攻撃元を特定されにくくするために送信元IPアドレスの偽造を利用することが多いため、アドレス不特定型DoS攻撃は、十分な対策がない現在では、大きな脅威となっている。
【0015】
そこで、上記(1)乃至(3)に示すDoS攻撃を有効に防御するDoS攻撃防御方法が下記特許文献1に記載されている。この特許文献1に記載のDoS攻撃防御方法は、通信パケットに対して施した安全性確認の度合いに応じて、通信パケットに異なる種類の安全性識別子を付加し、通信パケットの配送経路上でその安全性識別子に応じた優先制御を行うものであり、送信元側において、イングレスフィルタリング等の安全性確認を行ったパケットに対して、安全性識別子を付加し、パケットにどれほどの安全性確認が行われているかを送信元から送信先へ配送される間の経路において識別し、より高い安全性確認が行われたパケットを優先的に送信先に送信し、その他のパケットは破棄することにより、DoS攻撃を防御するものである。
【0016】
アドレス不定型のDoS攻撃は、十分な安全性確認を行っていないパケットを使用して行われるが、安全性確認が高いもの程優先的に許可するため、攻撃に使用されるパケットの優先度を下げ、帯域で許可された容量を超えた場合に、攻撃に使用されるパケットを破棄することができ、アドレス不定型のDoS攻撃は無効となる。
【0017】
【特許文献1】
特開2002−158699号公報
【0018】
【発明が解決しようとする課題】
しかしながら、上述の特許文献1に記載の技術においては、送信先のDoS攻撃防御方法であるが、送信先としてサーバを想定したものであり、各通信パケット全てについて安全性確認を行って安全性識別子を付加する必要があると共に、安全性の高いものから優先的に送信先に接続させるために、安全性識別子から安全性を判断する必要があり、処理が複雑である。
【0019】
また、PtoP(Peer to Peer)通信では、通信のエンド端末でDoS攻撃の対策が必要となるため、サーバでなんらかの防御策を一元的に施すことは困難である。即ち、上述の特許文献1に記載の技術では、PtoP通信におけるDoS攻撃を防御することができない。
【0020】
更に、UVN(Ubiquitous Value Network)を構成する端末は、PC(Personal Computer)等のような万能な端末だけではなく、限定されたサービスのみ利用可能な端末やセンサー等の機能限定端末も含まれる。このような機能限定端末の場合、上述の特許文献1に記載の技術のようなDoS攻撃防御方法をとることは困難である。また、機能限定端末においては、利用可能なサービスも限定されるため、攻撃者が攻撃パケットを偽ることが容易であり、しかも、所謂ファイアウォールと呼ばれる機能ではDoS攻撃を防ぐことはできない。
【0021】
本発明は、このような従来の実情に鑑みて提案されたものであり、極めて簡便な方法でアドレス不定型のDoS攻撃であってもそれを検知可能なDoS攻撃検知方法、DoS攻撃検知装置及びプログラムを提供することを目的とする。
【0022】
【課題を解決するための手段】
上述した目的を達成するために、本発明に係るDoS攻撃検知方法は、単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃を検知する検知工程を有することを特徴とする。
【0023】
本発明においては、単位処理時間当たりに受信したパケット数及び/又はヘッダ情報により、DoS攻撃であるか否かを判定するため、例えば送信元アドレスを偽る等されたアドレス不定型のDoS攻撃であっても、送信先の端末側において、例えば処理不能な多数の通信パケットが受信されれば、それをDoS攻撃と判定し、適宜防御処理を行うことができる。
【0024】
また、上記検知工程は、上記通信パケットを受信する工程と、上記単位処理時間当たりに受信した上記通信パケットのパケット数をカウントする判定値算出工程と、上記判定値算出工程の算出結果に基づきDoS攻撃であるか否かを判定するDoS攻撃判定工程とを有することができる。
【0025】
更に、上記検知工程は、受信した上記通信パケットのヘッダ情報を記録手段に記録する工程を有し、上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間に抽出した該送信元アドレス数をカウントし、上記DoS攻撃判定工程では、上記送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定することができ、不特定多数のアドレスからのDoS攻撃に対応することができる。
【0026】
更にまた、上記判定値算出工程は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、該送信元アドレスの乱数性を評価する乱数評価工程を有し、上記DoS攻撃判定工程では、上記乱数評価結果に基づきDoS攻撃であるか否かを判定することができ、送信元アドレスを乱数によって生成するようなDoS攻撃に対応することができる。
【0027】
また、上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間当たりに受信した上記パケット数を上記送信元アドレスの信頼度に応じて重み付けした数値を算出し、上記DoS攻撃判定工程では、上記重み付けした数値に基づきDoS攻撃であるか否かを判定することができ、例えば送信先の使用者が指定したアドレス等は信頼度が高く、過去にDoS攻撃をしたと見なせるようなアドレスは信頼度を低くというように、送信元アドレスをその信頼度によって分類することにより、信頼度が低い通信パケットが多数送信された場合に、迅速にDoS攻撃と判定することができる。
【0028】
更に、DoS攻撃であると判定した場合、上記通信パケットの受信元の使用者に対してDoS攻撃の検知を通知する通知工程を有するか、パケット受信工程にて所定期間、通信パケットの受信が拒否されるようにすることにより、送信先のリソースを消費する等の悪影響を与えられる前に防御処理を行うことができる。
【0029】
また、本発明に係るプログラムは、上述したDoS攻撃検知処理をコンピュータに実行させるものである。
【0030】
【発明の実施の形態】
以下、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。この実施の形態は、PC等の通信のエンド端末において、受信した通信パケットの総数及び、その通信パケットの送信元アドレスからDoS攻撃であるか否かを判定することにより、アドレス不定型DoS攻撃であっても対応可能なDoS攻撃検知装置に適用したものである。
【0031】
図1は、本発明の実施の形態におけるDoS攻撃検知装置を示すブロック図である。図1に示すように、ネットワークを介して接続された複数の送信元A1〜Aiから送信先である例えばPC等の主装置に対して通信パケットが送信される。主装置は、受信した通信パケットのDoS攻撃を検知するDoS攻撃検知装置101を備える。このDoS攻撃検知装置101は、送信元A1〜Aiから送られた通信パケットを受信し、送信元IPアドレス等を含むヘッダ部分を抽出する処理を行うパケット処理部102と、パケット処理部102にて抽出されたヘッダ部分を記憶するヘッダ情報記憶部103と、単位処理時間T2当たりのパケット数をカウントする判定値算出部104と、判定値算出部104により算出された判定値に基づきDoS攻撃か否かを判定するDoS攻撃判定手段である判定部105と、判定部105によりDoS攻撃を検知した場合に適切な処理行う検知時処理部106とを有している。
【0032】
パケット処理部102は、送信元A1〜Aiから送られてくる例えばIP(Internet Protocol)パケット等の通信パケットを受信する受信手段(図示せず)を有している。そして、受信した通信パケットから、その送信元アドレスを抽出する。
【0033】
ヘッダ情報記憶部103は、パケット処理部102により送信元パケットから抽出された送信元アドレス等をヘッダ情報として記憶する。ここで、ヘッダ情報として、送信元パケットのどの情報を記録するかは、本DoS攻撃検知装置101を備える主装置がサポートするプロトコルに依存する。
【0034】
判定値算出部104は、単位期間T1毎に、ヘッダ情報記憶部103からヘッダ情報を取得し、単位処理期間T2の間に届いた通信パケットのパケット数をカウントする。この判定値算出部104の判定値算出処理は、図2に示すタイミングで実行される。即ち、図2に示すように、単位期間T1毎に、単位処理期間T2の間に届いた通信パケットのパケット数がカウントされる。このとき下記式(1)の関係が成立する。
【0035】
【数1】
【0036】
判定値算出処理として、送信元アドレスの個数をi、各送信元から単位処理期間T2間に送信されたパケット数をbiとしたとき、下記式(2)により、単位処理期間T2の間に送信されたパケットの総数Bをカウントする。
【0037】
【数2】
【0038】
そして、このパケットの総数Bを判定部105に送る。判定部105は、判定値算出部104からこのような判定値算出結果が送られ、その結果に基づき、DoS攻撃であるか否かを判定する。即ち、主装置のDoS攻撃検知装置101が単位処理時間T2の間に処理可能な範囲で予め設定されたパケット数(閾値)をpとしたとき、パケットの総数Bの値と上記パケット数pとを比較し、下記式(3)が成立した場合、即ち、受信したパケットの総数Bが上記パケット数pを超えた場合に、DoS攻撃であると判定する。
【0039】
【数3】
【0040】
ここで、上記式(3)が成立した場合にDoS攻撃である可能性が高いと判断するか、又は、受信したパケットの総数Bが処理可能範囲の上記パケット数pには達しないものの、ある程度大きい場合等に、DoS攻撃である可能性が高いと判断して、後述する第1乃至第3の判定方法を用いてDoS攻撃であるか否かを判定することも可能である。
【0041】
検知時処理部106は、例えば図示せぬ通知手段を備え、判定部105にて、DoS攻撃であると判定された場合に、上記通知手段により、主装置の使用者に対して、DoS攻撃を検知したことを知らせるようにするか、検知時処理部106からの制御信号等により、パケット処理部102の図示せぬパケット受信部に対して一定期間全てのパケットの受信を停止させる等の処理を行うようにするか、又は両者を組み合わせた処理等を行う。また、上述のDoS攻撃の可能性が高いと判断した場合においても、主装置の使用者に通知するようにしてもよい。
【0042】
図3は、本実施の形態におけるDoS攻撃検知方法を示すフローチャートである。図3に示すように、送信元からパケットが送信され、これを受信すると、単位時間当たりに受信した通信パケットのパケット数及び/又はヘッダ情報に基づきDoS攻撃であるか否かを検出する。即ち、先ずパケット処理部102にて、受信したパケットのヘッダ情報が抽出され、このヘッダ情報がパケット情報記憶部103に記憶される(ステップS1)。そして、判定値算出部104にて、パケットのヘッダ情報の単位処理期間T2当たりの取得数、即ち単位処理期間T2の間に受信したパケット数をカウントし(ステップS2)、単位処理期間T2の間に受信したパケット数の総和が所定の閾値以上であるか否かの判定が行われ(ステップS3)、パケット数が所定の閾値以上である場合、DoS攻撃であると判定し、検知時処理として所定の防衛処理を行う(ステップS4)。
【0043】
本実施の形態においては、単位処理期間T2の間に受信したパケット数の統計を求め、パケットの総数が予め設定した閾値を超えた場合にDoS攻撃であると判定するため、アドレス不定型のDoS攻撃であっても極めて容易に検知することができる。
【0044】
次に、本発明の第2の実施の形態について説明する。上述の第1の実施の形態においては、単位処理期間T2の間に受信されたパケット数が所定の閾値以上である場合、DoS攻撃であると判定するものであったが、本実施の形態においては、単位処理期間T2の間に所定の閾値以上のパケットを受信した場合、更に、DoS攻撃であるか否かを判定する処理を設けるものである。本第2の実施の形態におけるDoS攻撃検知装置も図1に示す第1の実施の形態と同様の構成とし、その詳細な説明は省略する。単位処理期間T2の間に所定の閾値以上のパケットを受信した場合に行われるDoS攻撃判定処理は、判定値算出部104及び判定部105にて行われる。
【0045】
即ち、判定値算出部104にて、先ず、ヘッダ情報記憶部103に記憶されている各通信パケットのヘッダ情報から送信元アドレスを抽出し、単位時間T1毎に単位処理期間T2の間に検出された送信元アドレス数をカウントする。そして、この送信元アドレス数を判定部105に送る。判定部105は、送信元アドレス数が所定の閾値以上であるか否かを判定し、所定の閾値以上である場合、DoS攻撃と判定し、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0046】
図4乃至図6は、夫々パケット処理部102、判定値算出部104、判定部105における処理方法を示すフローチャートである。図4に示すように、パケット処理部102におけるパケット処理工程では、先ず、受信したパケットのヘッダ部分(ヘッダ情報)を検索し(ステップS11)、検索したヘッダ情報を抽出し(ステップS12)、最後に抽出したヘッダ情報をヘッダ情報記録部103に記録する(ステップS13)。
【0047】
また、図5に示すように、判定値算出部104の判定値算出処理は、ヘッダ情報記録部103からヘッダ情報を取得し(ステップS21)、取得したヘッダ情報の処理期間T2の間に取得したパケット数をカウントする。ここで、パケット数が所定の閾値以上である場合、DoS攻撃であるかを検知する検知処理を開始する。即ち、取得したパケット情報から送信元アドレスを抽出し、単位処理期間T2の間に受信した通信パケットの送信元アドレス数をカウントし(ステップS22)、この送信元アドレス数を判定部105に送る(ステップS23)。
【0048】
また、図6に示すように、判定部105の判定工程では、判定値算出部104から送られてきた判定値算出結果、即ち、送信元アドレス数を受取り(ステップS31)、この判定値算出結果が予め登録された範囲内であるか否かの判定がされる(ステップS32)。ここで、判定値算出結果が範囲内である場合は、DoS攻撃ではないとの判定をする。一方、判定処理結果が範囲を超える場合はDoS攻撃であるか否かを検知する検知処理を行う(ステップS33)。
【0049】
以下、判定部105において、所定処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、判定値算出部104において行われるDoS攻撃を検知するための判定値算出について詳細に説明する。
【0050】
DoS攻撃であるか否かは、パケットの送信元アドレスに基づき行われ、本実施の形態においては、単位処理期間T2の間に検出された送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定するものである(以下第1の判定方法という。)。
【0051】
判定値算出部104は、ヘッダ情報記憶部103から読み出した送信元アドレスの個数iを判定部105に渡す。判定部105では、本DoS攻撃制御装置を備える主装置に対し単位処理時間T2に応じて予め設定された送信元アドレス数の閾値と、判定値算出部104から送られてきた送信元アドレスの個数iとを比較処理する。そして、単位処理時間T2の間に送られてきたパケットの送信元アドレスの個数iが、上記送信元アドレス数の閾値を超えた場合、DoS攻撃があったものと判定する。
【0052】
主装置にWebページの閲覧等、不特定多数のアドレスに対してリクエストを出す機能が搭載されていない場合、主装置には、無数の送信元アドレスが記録されることはないため、送信元アドレスの個数iがDoS攻撃検知の役割を果たす。
【0053】
逆に、主装置101にWebページの閲覧等、不特定多数のアドレスに対してリクエストを出す機能が搭載されている場合、主装置に無数の送信元アドレスが記録される可能性がある。しかしながら、CE(Consumer Electronics)製品を想定した場合、単位処理時間T2の間に記録される送信元アドレスの個数iは、単位処理時間T2が例えば24時間であったとしても通常、数十程度のオーダーであると予測される。従って、いずれの場合においても、送信元アドレスの個数iはDoS攻撃検知の役割を果たす。
【0054】
本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレス数の統計をとることにより、単位処理時間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、その通信パケットから抽出した送信元アドレス数が所定の閾値を超えた場合に、DoS攻撃であると判定するため、アドレス不定型のDoS攻撃であっても検知することができ、また、CE製品等においては、想定される送信元アドレス数がある程度予測でき、適宜送信元アドレス数の閾値等を設定して、容易にDoS攻撃等の高負荷攻撃を検知することができる。
【0055】
また、インターネット等のオープンなネットワークにおいて、情報送信者の身元特定が困難であることや、攻撃実行に必要なコストや心理的障壁が低いという理由等から、公開サーバに対するDoS攻撃が容易に行われ得るという問題点があり、通信品質が重視されるVoIP(Voice over Internet Protocol)や動画配信のようなアプリケーションが、オープンなネットワーク上では利用されにくかったが、端末側にて、通信パケットのパケット数及びパケットの送信元アドレスに基づきDoS攻撃検知を行うことができ、これによりDoS攻撃の対策が可能となり、インターネット等の安価なネットワークで、ある程度の通信品質を確保することができ、大きなビジネスに繋げることができる。
【0056】
更に、PtoP(Peer to Peer)通信では、サーバでなんらかの防御策を一元的に施すことは困難であり、通信のエンド端末でDoS攻撃の対策が必要であるが、本DoS攻撃検知装置により、通信のエンド端末でDoS攻撃の対策が可能となり、UVNを構成する安心・安全な端末を提供できる。
【0057】
更にまた、UVNを構成する端末は、PC等のような万能な端末だけではなく、限定されたサービスのみ利用可能な端末やセンサー等の機能限定端末も含まれるが、このような機能限定端末においても、攻撃者が攻撃パケットを偽るような攻撃パケットを容易に検知することができ、UVNを構成する安心・安全な端末を提供できる。
【0058】
次に、本発明の第3の実施の形態について説明する。単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、判定値算出部104において行われるDoS攻撃を検知するための判定値算出が、第2の実施の形態とは異なり、本第3の実施の形態においては、送信元アドレスを二進数表示した場合にこれが乱数であるか否かを評価し、この乱数検出結果に基づきDoS攻撃であるか否かを判定するものである(以下、第2の判定方法という。)。
【0059】
即ち、単位処理期間T2におけるパケットの総数Bが処理可能なパケット数pを超えた場合、ヘッダ情報記憶部に記憶されている各通信パケットのヘッダ情報から送信元アドレスを抽出し、送信元アドレスを二進数表示した場合に該二進数表示が乱数であるか否かを検出し、この二進数表示が乱数であるか否かの判定結果に基づきDoS攻撃であるか否かを判定する。DoS攻撃と判定した場合は、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0060】
以下、第2の判定方法について更に詳細に説明する。送信元アドレスを乱数によって生成するようなDoS攻撃に対応するため、送信元アドレスを二進数列とみなし、乱数性を検査する。
【0061】
乱数性検査の方法として、ここでは、Frequency Test within a Block法を用いた方法について説明する。Frequency Test within a Block法では、下記式(7)を満たすか否かを判定し、満たす(真である)とき乱数ではないとする。
【0062】
【数4】
【0063】
以下、具体的数値で示す。図7の右側に示すように、実際に乱数を発生させ、この乱数を二進数表記とし、これを左側に示すように、IPv4のアドレスとみなした場合について説明する。M=32、n=32×10とすると、上記式(4)に示すN=16となる。このとき、図7に示すアドレスと見なすための二進数表記とした乱数は、上記式(5)から下記式(9)のように計算される。従って、上記式(6)は、下記式(10)のように計算される。
【0064】
【数5】
【0065】
【数6】
【0066】
従って、上記式(7)により不完全ガンマ関数igamcを計算すると、下記式(11)のように計算され、この下記式(11)を上記式(8)に当てはめると下記式(12)となる。
【0067】
【数7】
【0068】
従って、上記式(12)は、上記式(8)を満たさないことから、この数列は、Frequency Test within a Block法では乱数であるとみなされる。乱数性検査の別の例としてはNIST Special Publication 800−22(http://csrc.nist.gov/publications/nistpubs/800−22/sp−800−22−051501.pdf)等が挙げられる。ここで示したFrequency Test within a Block法も上記文献に記載されているものである。
【0069】
判定値算出部104は、乱数であるか否かの結果を判定部105に渡す。判定部105では乱数か否かを判断の基準に用いる。例えば、所定の数以上、乱数であると判定される送信元アドレスが検出された場合、又は、乱数と判定された送信元アドレスから送信された通信パケットのパケット数の総数が所定の閾値を超えた場合等に、DoS攻撃と判定することができる。
【0070】
本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレスの乱数性の統計をとり、単位処理期間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、その通信パケットの送信元アドレスの乱数性を評価することにより、第2の実施の形態と同様の効果を奏すると共に、乱数から生成されたような偽装された送信元アドレスからDoS攻撃を受けた場合においても、DoS攻撃を検知することができ、適宜防御処理を行うことができる。
【0071】
次に、本発明の第4の実施の形態について説明する。本第4の実施の形態においては、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、DoS攻撃を検知するための判定値を算出する判定値算出処理が、上記第2及び第3の実施の形態とは異なる。即ち、判定値算出部では、単位処理期間の間に受信した通信パケット数を、該通信パケットの送信元アドレスの信頼度に応じて重み付けして加算した数値を算出し、この数値に基づきDoS攻撃であるか否かを判定するものである(以下、第3の判定方法という。)。そして、DoS攻撃と判定した場合は、これを検知時処理部106に知らせることにより、第1の実施の形態と同様に、DoS攻撃が検知されたことを使用者に通知するか、又は、所定期間、パケットの受信を拒否するなどの処理を行う。
【0072】
以下、第3の判定方法について更に詳細に説明する。先ず、送信元アドレスに対して、その信頼度に基づき優先順位をつける。図8は、優先順位の設定ルールの一例を示す図である。図8に示すように、送信元アドレスの分類(優先順位1〜4)に対して、加算する数値を割り当てる。即ち、例えば、DoS攻撃検知装置を備える本装置(情報処理端末)に予め設定されているアドレスである公開鍵認証機関アドレス及び情報処理端末製造元アドレス等は、信頼度が最も高い、信頼する送信元アドレスに分類し、この信頼する送信元アドレスから送信された通信パケットに掛け合わせる数値として例えば1等の小さな値を設定する。また、情報処理端末の使用者が信頼できるとして予め設定した送信元アドレス、及び情報処理端末に過去にDoS攻撃を仕掛けたことがある送信元アドレスを、夫々信頼できる送信元アドレス及び信頼しない送信元アドレスとして、夫々通信パケットに掛け合わせる数値として2及び8等のその信頼度に基づく数値を設定する。即ち、信頼度が低い送信元アドレスには、大きな値を割り当てる。そして、各送信元アドレスから受信した通信パケットのパケット数C1〜C4を例えば下記のように分類する。
【0073】
【表1】
【0074】
そして、この分類後のパケット数を、信頼度に応じて重み付けした数値を求める。図8に示す例では、上記重み付けした数値は、下記式(13)により算出することができる。この算出結果Cを判定部105に渡す。
【0075】
【数8】
【0076】
判定部105では、受け取った算出結果Cと、主装置において予め定めた閾値とで比較処理する。即ち、この算出結果Cが所定の閾値を超える場合は、DoS攻撃であると判定する。
【0077】
このように構成された本実施の形態においては、単位処理時間T2の間に受信した通信パケット数及び送信元アドレスの信頼度に基づくパケット数の統計をとり、単位処理期間T2の間に受信した通信パケット数が所定の閾値を超え、且つ、通信パケットのパケット数を、送信元アドレスの信頼度に応じて重み付けした数値により、DoS攻撃であるか否かを判定するため、第2の実施の形態と同様の効果を奏すると共に、信頼度に基づく判定により、更に誤検出を低減することができる。
【0078】
なお、本発明は上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。例えば、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、第2の実施の形態乃至第4の実施の形態において説明した第1の判定方法乃至第3の判定方法を、DoS攻撃検知を行う端末の機能等に合わせて適宜組み合わせることも可能であることは勿論である。また、上述の従来の技術のようなDoS攻撃対策と組み合わせて使用してもよい。
【0079】
また、上述の第2乃至第4の実施の形態においては、単位処理時間T2の間に受信したパケットの総数Bが処理可能なパケット数pを超えた場合に、夫々第1乃至第3の判定方法にて、DoS攻撃であるか否かを判定するものとしたが、パケット数をカウントする処理は省略し、直接第1乃至第3の判定方法又はこれを組み合わせた判定方法により、DoS攻撃であるか否かを判定するものとしてもよい。
【0080】
また、上述の実施の形態では、ハードウェアの構成として説明したが、これに限定されるものではなく、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。この場合、コンピュータプログラムは、記録媒体に記録して提供することも可能であり、また、インターネットその他の伝送媒体を介して伝送することにより提供することも可能である。
【0081】
【発明の効果】
以上詳細に説明したように本発明に係るDoS攻撃検知方法及び装置は、単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃であるか否かを検知するので、例えば送信元アドレス等を偽ったアドレス不定型のDoS攻撃を受けたとしても、送信先の端末側において処理不能な多数の通信パケットが受信されれば、それをDoS攻撃と判定し、適宜防御処理を行うことができる。
【0082】
また、本発明に係るプログラムは、上述したDoS攻撃検知処理をコンピュータに実行させるものであり、このようなプログラムによれば、上述したDoS攻撃検知処理をソフトウェアにより実現することができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るDoS攻撃検知装置を示すブロック図である。
【図2】本発明の実施の形態に係るDoS攻撃検知装置における判定値算出部の処理タイミングを示す模式図である。
【図3】本発明の実施の形態に係るDoS攻撃検知方法を示すフローチャートである。
【図4】本発明の実施の形態に係るDoS攻撃検知方法におけるパケット処理部の処理工程を示すフローチャートである。
【図5】本発明の実施の形態に係るDoS攻撃検知方法における判定値算出部の処理工程を示すフローチャートである。
【図6】本発明の実施の形態に係るDoS攻撃検知方法における判定部の処理工程を示すフローチャートである。
【図7】右は、実際に発生させた乱数を二進数表記を示し、左は、右に示す二進数表記をIPv4のアドレスとみなしたものを示す図である。
【図8】本発明の実施の形態に係るDoS攻撃検知方法における優先順位の設定ルールの一例を示す図である。
【符号の説明】
101 DoS攻撃検知装置、102 パケット処理部、103 ヘッダ情報記憶部、104 判定値算出部、105 判定部、106 検知時処理部
Claims (19)
- 単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃を検知する検知工程を有する
ことを特徴とするDoS攻撃検知方法。 - 上記検知工程は、
上記通信パケットを受信する工程と、
上記単位処理時間当たりに受信した上記通信パケットのパケット数をカウントする判定値算出工程と、
上記判定値算出工程の算出結果に基づきDoS攻撃であるか否かを判定するDoS攻撃判定工程と
を有することを特徴とする請求項1記載のDoS攻撃検知方法。 - 上記検知工程は、受信した上記通信パケットのヘッダ情報を記録手段に記録する工程を有し、
上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスが抽出され、上記単位処理時間に抽出した該送信元アドレス数がカウントされ、
上記DoS攻撃判定工程では、上記送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定される
ことを特徴とする請求項2記載のDoS攻撃検知方法。 - 上記判定値算出工程は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、該送信元アドレスの乱数性を評価する乱数評価工程を有し、
上記DoS攻撃判定工程では、上記乱数評価の結果に基づきDoS攻撃であるか否かが判定される
ことを特徴とする請求項2記載のDoS攻撃検知方法。 - 上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスが抽出され、上記単位処理時間当たりに受信した上記パケット数を上記送信元アドレスの信頼度に応じて重み付けした数値が算出され、
上記DoS攻撃判定工程では、上記重み付けした数値に基づきDoS攻撃であるか否かが判定される
ことを特徴とする請求項2記載のDoS攻撃検知方法。 - DoS攻撃が検知された場合、上記通信パケットの受信元の使用者に対してDoS攻撃の検知を通知する通知工程を有する
ことを特徴とする請求項1記載のDoS攻撃検知方法。 - DoS攻撃が検知された場合、所定期間、通信パケットの受信が拒否される
ことを特徴とする請求項1記載のDoS攻撃検知方法。 - 単位時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットのヘッダ情報に基づきDoS攻撃であるか否かを検知する検知手段を有する
ことを特徴とするDoS攻撃検知装置。 - 上記検知手段は、
上記通信パケットを受信する受信手段と、
上記単位処理時間当たりに受信した上記通信パケットのパケット数をカウントする判定値算出手段と、
上記判定値算出手段の算出結果に基づきDoS攻撃であるか否かを判定するDoS攻撃判定手段と
を有することを特徴とする請求項8記載のDoS攻撃検知装置。 - 上記検知手段は、受信した上記通信パケットのヘッダ情報を記録する記録手段を有し、
上記判定値算出手段は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記記録手段に記録された上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間に抽出した該送信元アドレス数をカウントし、
上記DoS攻撃判定手段は、上記送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定する
ことを特徴とする請求項9記載のDoS攻撃検知装置。 - 上記判定値算出手段は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、該送信元アドレスの乱数性を評価する乱数評価手段を有し、
上記DoS攻撃判定手段は、上記乱数評価結果に基づきDoS攻撃であるか否かを判定する
ことを特徴とする請求項9記載のDoS攻撃検知装置。 - 上記判定値算出手段は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、上記単位処理時間当たりに受信した上記パケット数を該送信元アドレスの信頼度に応じて重み付けした数値を算出する算出手段を有し、
上記DoS攻撃判定手段は、上記重み付けした数値に基づきDoS攻撃であるか否かを判定する
ことを特徴とする請求項9記載のDoS攻撃検知装置。 - DoS攻撃を検知した場合に、上記通信パケットの受信元の使用者に対してDoS攻撃の検知を通知する通知手段を有する
ことを特徴とする請求項8記載のDoS攻撃検知方法。 - 上記通信パケットを受信する受信手段を有し、該受信手段は、DoS攻撃を検知した場合に、所定期間、通信パケットの受信を拒否する
ことを特徴とする請求項8記載のDoS攻撃検知装置。 - 所定の動作をコンピュータに実行させるためのプログラムであって、
単位処理時間当たりに受信した通信パケットのパケット数及び/又は該通信パケットから抽出したヘッダ情報に基づきDoS攻撃を検知する検知工程を有する
ことを特徴とするプログラム。 - 上記検知工程は、
上記通信パケットを受信する工程と、
上記単位処理時間当たりに受信した上記通信パケットのパケット数をカウントする判定値算出工程と、
上記判定値算出工程の算出結果に基づきDoS攻撃であるか否かを判定するDoS攻撃判定工程と
を有することを特徴とする請求項15記載のプログラム。 - 上記検知工程は、受信した上記通信パケットのヘッダ情報を記録手段に記録する工程を有し、
上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスが抽出され、上記単位処理時間に抽出した該送信元アドレス数がカウントされ、
上記DoS攻撃判定工程では、上記送信元アドレス数が所定の閾値以上である場合にDoS攻撃であると判定される
ことを特徴とする請求項16記載のプログラム。 - 上記判定値算出工程は、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスを抽出し、該送信元アドレスの乱数性を評価する乱数評価工程を有し、
上記DoS攻撃判定工程では、上記乱数評価結果に基づきDoS攻撃であるか否かが判定される
ことを特徴とする請求項16記載のプログラム。 - 上記判定値算出工程では、上記単位処理時間当たりに受信した上記通信パケットのパケット数が所定の閾値以上である場合に、上記通信パケットのヘッダ情報から送信元アドレスが抽出され、上記単位処理時間当たりに受信した上記パケット数を上記送信元アドレスの信頼度に応じて重み付けした数値が算出され、
上記DoS攻撃判定工程では、上記重み付けした数値に基づきDoS攻撃であるか否かが判定される
ことを特徴とする請求項16記載のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002302083A JP2004140524A (ja) | 2002-10-16 | 2002-10-16 | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002302083A JP2004140524A (ja) | 2002-10-16 | 2002-10-16 | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004140524A true JP2004140524A (ja) | 2004-05-13 |
Family
ID=32450266
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002302083A Withdrawn JP2004140524A (ja) | 2002-10-16 | 2002-10-16 | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004140524A (ja) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005074215A1 (ja) * | 2004-02-02 | 2005-08-11 | Cyber Solutions Inc. | 不正情報検知システム及び不正攻撃元探索システム |
JP2006013737A (ja) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | 異常トラヒック除去装置 |
JP2006054652A (ja) * | 2004-08-11 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークトラヒック分析装置、システム、および分析方法 |
JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
JP2006237892A (ja) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
JP2007060379A (ja) * | 2005-08-25 | 2007-03-08 | Nippon Telegr & Teleph Corp <Ntt> | Sipサーバにおける攻撃防御方法、システム及びプログラム |
JP2010520664A (ja) * | 2007-03-01 | 2010-06-10 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | データパケットをフィルタにかける方法および装置 |
JP2011035932A (ja) * | 2005-05-20 | 2011-02-17 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
JP2011205197A (ja) * | 2010-03-24 | 2011-10-13 | Hitachi Ltd | P2p端末検知装置、p2p端末検知方法、およびp2p端末検知システム |
KR101424490B1 (ko) | 2013-01-17 | 2014-08-01 | 주식회사 윈스 | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 |
JP2016052044A (ja) * | 2014-09-01 | 2016-04-11 | 日本電信電話株式会社 | 仮想マシンのリソース管理システム、方法及びプログラム |
CN107733849A (zh) * | 2017-08-21 | 2018-02-23 | 广州金山安全管理系统技术有限公司 | 数据检测处理方法和装置 |
JP2018182502A (ja) * | 2017-04-11 | 2018-11-15 | 株式会社Ihi | 通信システム、通信プログラム、およびコンピュータ読取可能な記録媒体 |
JP2019047327A (ja) * | 2017-09-01 | 2019-03-22 | 日本電信電話株式会社 | 異常検知装置および異常検知方法 |
JP2021507652A (ja) * | 2018-03-22 | 2021-02-22 | ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. | メッセージを処理するネットワークプローブ及び方法 |
-
2002
- 2002-10-16 JP JP2002302083A patent/JP2004140524A/ja not_active Withdrawn
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8020205B2 (en) | 2004-02-02 | 2011-09-13 | Cyber Solutions Inc. | Unauthorized information detection system and unauthorized attack source search system |
WO2005074215A1 (ja) * | 2004-02-02 | 2005-08-11 | Cyber Solutions Inc. | 不正情報検知システム及び不正攻撃元探索システム |
JP2006013737A (ja) * | 2004-06-24 | 2006-01-12 | Fujitsu Ltd | 異常トラヒック除去装置 |
JP2006054652A (ja) * | 2004-08-11 | 2006-02-23 | Nippon Telegr & Teleph Corp <Ntt> | 通信ネットワークトラヒック分析装置、システム、および分析方法 |
JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
JP2006237892A (ja) * | 2005-02-23 | 2006-09-07 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム |
JP2011035932A (ja) * | 2005-05-20 | 2011-02-17 | Alaxala Networks Corp | ネットワーク制御装置およびその制御方法 |
JP2007028643A (ja) * | 2005-07-20 | 2007-02-01 | Avaya Technology Corp | 電話内線攻撃の検出、記録および知的防止 |
US7653188B2 (en) | 2005-07-20 | 2010-01-26 | Avaya Inc. | Telephony extension attack detection, recording, and intelligent prevention |
JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
JP2007060379A (ja) * | 2005-08-25 | 2007-03-08 | Nippon Telegr & Teleph Corp <Ntt> | Sipサーバにおける攻撃防御方法、システム及びプログラム |
JP2010520664A (ja) * | 2007-03-01 | 2010-06-10 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | データパケットをフィルタにかける方法および装置 |
US8355324B2 (en) | 2007-03-01 | 2013-01-15 | Alcatel Lucent | Method and apparatus for filtering data packets |
JP2011205197A (ja) * | 2010-03-24 | 2011-10-13 | Hitachi Ltd | P2p端末検知装置、p2p端末検知方法、およびp2p端末検知システム |
KR101424490B1 (ko) | 2013-01-17 | 2014-08-01 | 주식회사 윈스 | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 |
JP2016052044A (ja) * | 2014-09-01 | 2016-04-11 | 日本電信電話株式会社 | 仮想マシンのリソース管理システム、方法及びプログラム |
JP2018182502A (ja) * | 2017-04-11 | 2018-11-15 | 株式会社Ihi | 通信システム、通信プログラム、およびコンピュータ読取可能な記録媒体 |
CN107733849A (zh) * | 2017-08-21 | 2018-02-23 | 广州金山安全管理系统技术有限公司 | 数据检测处理方法和装置 |
JP2019047327A (ja) * | 2017-09-01 | 2019-03-22 | 日本電信電話株式会社 | 異常検知装置および異常検知方法 |
JP2021507652A (ja) * | 2018-03-22 | 2021-02-22 | ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィMitsubishi Electric R&D Centre Europe B.V. | メッセージを処理するネットワークプローブ及び方法 |
JP7038849B2 (ja) | 2018-03-22 | 2022-03-18 | ミツビシ・エレクトリック・アールアンドディー・センター・ヨーロッパ・ビーヴィ | メッセージを処理するネットワークプローブ及び方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7478429B2 (en) | Network overload detection and mitigation system and method | |
EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
US7620986B1 (en) | Defenses against software attacks in distributed computing environments | |
EP2289221B1 (en) | Network intrusion protection | |
US7440406B2 (en) | Apparatus for displaying network status | |
KR101217647B1 (ko) | 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치 | |
US20050166049A1 (en) | Upper-level protocol authentication | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
JP2006512856A (ja) | DoS攻撃の検出及び追跡を行うシステム及び方法 | |
KR101219796B1 (ko) | 분산 서비스 거부 방어 장치 및 그 방법 | |
JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
Tritilanunt et al. | Entropy-based input-output traffic mode detection scheme for dos/ddos attacks | |
CN110099027A (zh) | 业务报文的传输方法和装置、存储介质、电子装置 | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
Xiao et al. | A novel approach to detecting DDoS attacks at an early stage | |
KR20100066170A (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
JP2006100874A (ja) | アプリケーション型サービス不能攻撃に対する防御方法およびエッジ・ルータ | |
KR100656348B1 (ko) | 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치 | |
KR20110027386A (ko) | 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법 | |
Mopari et al. | Detection of DDoS attack and defense against IP spoofing | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
Chapman et al. | Network traffic characteristics for detecting future botnets | |
Selvaraj | Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060110 |