JP2004164553A - サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 - Google Patents

サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 Download PDF

Info

Publication number
JP2004164553A
JP2004164553A JP2003071238A JP2003071238A JP2004164553A JP 2004164553 A JP2004164553 A JP 2004164553A JP 2003071238 A JP2003071238 A JP 2003071238A JP 2003071238 A JP2003071238 A JP 2003071238A JP 2004164553 A JP2004164553 A JP 2004164553A
Authority
JP
Japan
Prior art keywords
server
server computer
data
data request
load
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003071238A
Other languages
English (en)
Other versions
JP4503934B2 (ja
Inventor
Shinichi Sugano
伸一 菅野
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003071238A priority Critical patent/JP4503934B2/ja
Priority to US10/669,710 priority patent/US7404211B2/en
Publication of JP2004164553A publication Critical patent/JP2004164553A/ja
Priority to US12/213,281 priority patent/US20090222918A1/en
Application granted granted Critical
Publication of JP4503934B2 publication Critical patent/JP4503934B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】不特定のクライアントからのDoS攻撃からサーバとなる計算機を保護しながらも、正当なアクセスを行っているクライアントでありながらDoS攻撃を行っていると判断された計算機のアクセスも限定的に許容するサーバ計算機保護装置を提供することを目的とする。
【解決手段】サーバとなる計算機に対してデータ要求される数と、これに応答するサーバのデータ応答の数を用いてサーバ計算機の負荷状態を求め、この負荷状態に応じてサーバに転送するデータ要求の割合を変化させる手段を備えたサーバ計算機保護装置とする。
【選択図】 図2

Description

【0001】
【発明の属する技術分野】本発明は、クライアントとなる計算機とサーバとなる計算機間のネットワークシステムに関し、特に、意図的にサーバ計算機の処理を妨害する不正なアクセスからサーバとなる計算機を保護するサーバ計算機保護装置に関する。
【0002】
【従来の技術】
近年、インターネット等を利用し、不特定あるいは特定のクライアントとなる計算機をネットワーク経由でサーバとなる計算機に接続し、クライアントからの要求に応じてサーバからデータを供給することを目的とするクライアント・サーバシステムが広く使われている。
【0003】
インターネット等のネットワークを流れるデータの形式として、宛先情報を付して伝送データを所定の大きさに再構成したパケットが一般に利用されている。パケットは、大まかに分けると、ヘッダとデータ本体とで構成されている。ヘッダには、このパケットの送り元である送信元の計算機を示すIP(Internet Protocol)アドレスと、このパケットの宛先となる計算機のIPアドレスといったアドレス情報をもっている。
【0004】
昨今、このようなネットワークに接続されたシステムに対し、システム的な障害を発生させることを目的としたネットワーク越しの攻撃が増加する傾向にある。たとえば、一つのクライアントから同時に大量のアクセス要求をサーバ計算機に対して行うことにより、攻撃対象となるサーバの稼動を妨げ実質的にサービスを不能にする攻撃方法(以下、DoS攻撃(Denial of Service attack)と表記)がある。
【0005】
この攻撃方法は、システム攻撃を意図しない正当なクライアントからのアクセスとの区別がつきにくいために、サーバ側で攻撃を回避することが極めて困難である。場合によっては複数のクライアントからこの攻撃を受けることもあり、これを特にDDoS攻撃(Distributed Denial of Service attack)と呼んでいる。
【0006】
サーバへの要求がサーバの処理能力を超えるほど大量に送りつけられると、その要求毎に通信処理用の資源、たとえばメモリ領域や回線の帯域などが次々と確保されるためついには不足を来たし、妨害を意図していない正当なクライアントからの要求に対しサーバが応答できなくなるか、あるいは大きく滞ってしまうという結果を招く。
【0007】
従来は、これらの攻撃を排除するためにサーバとネットワークの間にサーバ計算機保護装置を配置していた。このサーバ計算機保護装置は、複数回のアクセス要求が繰り返されたもののみを正当なアクセス要求として処理する、または既に正当なアクセスがあったクライアントからのアクセスを正当なアクセス要求として処理し、それ以外のアクセスについてはパケットを破棄するなどの処理を行っていた。
【0008】
しかし、このような方法では、攻撃を意図するクライアントが同じような大量のアクセス要求を行う場合、攻撃を排除できないという問題点があった。
【0009】
一方、上記問題を解決しても、たとえば特定のクライアントが大量のアクセス要求を行うとその通信行為がDoS攻撃であると判断されてしまうため、たとえそれが正当な要求であっても不正なアクセスとみなされる場合があった。DoS攻撃とみなされれば判断されたクライアントの接続は切断されてしまうため、そのクライアントで行っている業務に支障を来たす。
【0010】
【特許文献1】特開2002−16633公報
【0011】
【発明が解決しようとする課題】
本発明は、不特定のクライアントからのDoS攻撃からサーバとなる計算機を保護しながらも、正当なアクセスを行っているクライアントでありながらDoS攻撃を行っていると判断された計算機のアクセスも限定的に許容するサーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機を提供することを目的とする。
【0012】
【課題を解決するための手段】
本発明にかかるサーバ計算機保護装置とすれば、
不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
一定期間内に、すべてのクライアント計算機から届いたデータ要求の数を計測するデータ要求数計測手段と、
一定期間内に前記サーバ計算機から前記クライアント計算機へ応答した数を計測するデータ供給数計測手段と、
前記データ供給数計測手段及びデータ要求数計測手段の出力結果を用いて前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ要求受け付け手段が受け付けたデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
を備えたことを特徴とするサーバ計算機保護装置
が提供される。または、
不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
前記サーバ計算機から該サーバ計算機の処理状況に関する情報を受信する処理情報受信手段と
前記処理情報受信手段が受信した情報から、前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ要求受け付け手段が受け付けたデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
を備えたことを特徴とするサーバ計算機保護装置が提供される。
【0013】
また本発明にかかるサーバ計算機保護方法によれば、
不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護方法であって、
クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるステップと、
一定期間内に、すべてのクライアント計算機から届いたデータ要求の数を計測するステップと、
一定期間内に前記サーバ計算機から前記クライアント計算機へ応答した数を計測するステップと、
前記データ要求数及び応答数を用いて前記サーバ計算機の負荷状態を求めるステップと、
前記求めた負荷状態に応じて、一定期間内に受け付けた前記データ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送ステップと、
を有することを特徴とするサーバ計算機保護方法
が提供される。
【0014】
加えて、本発明にかかるサーバ計算機保護プログラムとすれば、
不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護プログラムであって、
所定のクライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるステップと、
一定期間内に、前記所定のクライアント計算機から届いたデータ要求の数を計測するステップと、
一定期間内に前記サーバ計算機が前記所定のクライアント計算機へ応答した数を計測するステップと、
前記データ要求数及び応答数を用いて、前記所定のクライアント計算機に対するサーバ計算機の負荷状態を求めるステップと、
前記求めた負荷状態に応じて、一定期間内に受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送ステップと、
を有することを特徴とするサーバ計算機保護プログラム
が提供される。
【0015】
さらに、本発明にかかるサーバ計算機保護装置を備えたサーバ計算機が提供される。
【0016】
【発明の実施の形態】
(第1の実施形態)
図1に第1の実施形態におけるサーバ計算機保護装置が適用されるネットワーク構成図の一例を示す。図1では、ユーザが利用するアプリケーションが稼動する計算機であるクライアント101−1、101−2、101−3と、ネットワーク102およびサーバ保護装置103が存在する。また、クライアント101で稼動するアプリケーションの実行に伴って必要となるデータの要求を、サーバ計算機保護装置103を介して受信し、さらにサーバ計算機保護装置103を介して送信する計算機であるサーバ104とからなる。クライアント101はサーバ104へ処理に必要なデータを要求し、サーバ104はこの要求に応じてデータを応答するサーバ・クライアント型のネットワークシステムである。クライアント101とサーバ104との通信は、すべてサーバ計算機保護装置103を介して行われる。
【0017】
図2に第1の実施形態におけるサーバ計算機保護装置103の構成図の一例を示す。サーバ計算機保護装置103は、データ要求受け付け部201、データ要求転送部202、データ要求計測部203、データ供給数計測部204および応答確率算出部205からなる。
【0018】
クライアント101はサーバ計算機保護装置103を介してサーバ104との接続を確立した後、処理に必要なデータをサーバ104に対して要求する。このときデータ要求受け付け部201によって、サーバ104に対する要求を受け付けるとともに、データ要求数計測部203によって受け付け中の要求の数を計測する。
【0019】
データ要求受け付け部201によって受け付けられた要求は、データ要求転送部202によってサーバ104へと転送される。サーバ104はこの転送された要求に対するデータを、サーバ計算機保護装置103を介して、この要求を行ったクライアント101に向けて送信する。このときサーバ計算機保護装置103が備えるデータ供給数計測部204は、サーバ104のこの送信によって、受け付け済みの要求の完了数を計測する。つまりクライアント101に対してすべての応答が完了したときには、データ要求数計測部203で計測した受け付け中の要求数と、データ供給数計測部204で計測した完了済み要求数が一致することになる。
【0020】
仮に、データ要求数計測部203で計測された受け付け中の要求数が、データ供給数計測部204で計測した完了済み要求数よりも多い場合を考える。受け付け中の要求数が完了済み要求数より多いということはすなわち受け付けた要求に対する処理について、サーバ104の処理が遅れている(処理が重い)ことを意味する。完了済み要求数よりも受け付け中の要求数が増加していけば行くほどサーバ104の応答は遅延し、ひいてはサーバ104が提供しているサービスがすべて停止してしまうことも考えられる。この状態はサーバ104がクライアント101からDoS攻撃を受けた状態と同じである。サーバ104の管理者はサーバ104の停止を回避するため、クライアント101からサーバ104へ送信される要求を速やかに停止させなければならない。
【0021】
しかしながらクライアント101はあくまで正当なデータ要求を行っているだけであるとすれば、この決定によってクライアント101で稼動するアプリケーションの処理が中断あるいは処理そのものができないことになる。
【0022】
上記したような不具合を緩和するために、応答確率算出部205は受け付け中の要求数と完了済み要求数の差を元に、応答確率を少なくとも指示を行う都度算出し、これをデータ要求転送部202に指示する。ここでいう応答確率とは、一定期間内に受け付けたクライアント101からのデータ要求の数に対して、サーバ104が一定期間内に応答したデータ応答数の比率をいう。データ要求転送部202は、この値が大きければ一定期間内に受け付けたデータ要求のうち一定期間内にサーバ104へ転送するデータ要求の数を増やし、逆に小さければ一定期間内にサーバ104へ転送するデータ要求の数を減らす。
【0023】
一定期間内に転送される要求数を減らしたために、データ要求転送部202によって転送されなかったデータ要求は、データ要求受け付け部201から破棄される。あるいは破棄することなくデータ要求受け付け部201に保留するようにしてもよい。ただし破棄をせずデータ要求を保留する場合には、保留したデータ要求を、新たなデータ要求とは非同期に転送するための構成を必要とするが、本実施形態では説明しない。
【0024】
応答確率算出部205は、受け付け中の要求数と完了済み要求数との差が少なくなるとサーバ104の負荷が軽いと判断して応答確率を高く算出し、また各要求数の差が大きくなるとサーバ104の負荷が高いと判断し応答確率を低く算出する。
【0025】
上記のように構成すると、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントの処理も停止させることのないサーバ計算機保護装置とすることができる。
【0026】
なお、データ要求数計測部203の受け付け中の要求数とデータ供給数計測部204が計測する完了済み要求数のそれぞれの数は、たとえば前者を加算、後者を減算するようにして差分値のみを保持するようにしてもよい。結果的に両者の比較が可能な手段で蓄積されていれば足りる。
【0027】
図3に第1の実施形態におけるサーバ計算機保護装置の動作フローの一例を示す。
【0028】
サーバ計算機保護装置103を介してクライアント101からサーバ104への接続が確立された後、クライアント101からサーバ104に向けてデータ要求がされるのを待つ(S1)。データの要求がされたならばデータ要求数計測部203によって、応答確率算出部205が保持する受け付け中の要求数を1増加させる(S2)。
【0029】
データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求は、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断される(S3)。ステップS3の判断に際しては、未完了の受け付け中の要求数が使用される。
一定期間内のデータ応答数が一定期間内に受け付けたデータ要求数に近いほど、つまり未完了の受け付け要求数が少ないほどサーバ104の負荷が軽いと判断できる。逆に、一定期間内に受け付けたデータ要求数よりも一定期間内のデータ応答数が少ないほど、つまり未完了の受け付け要求数が多いほどサーバ104がデータ要求に対する処理を所定の時間内に完了できていない、すなわち負荷が重いと判断できる。このときの負荷が極めて重い場合には、サーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0030】
上記したような理由からステップS3の判定に、未完了の受け付け要求数を、サーバ104の負荷状態として採用することができる。これはすなわち未完了の受け付け要求数が、サーバ104がDoS攻撃を受けていかどうかという判別にも使用できることを意味している。ステップS3では、この未完了の受け付け要求数に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかを判断する。未完了の受け付け要求数がより少なければサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆により多ければDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0031】
さらに以下に説明する基準も、応答確率算出部205が算出し、データ要求転送部202が転送するデータ要求の応答確率に反映することができる。
【0032】
通信データにはデータ量を示す情報が付加されているため、データ供給数計測部204でサーバ104がクライアント101からのデータ要求に対するデータ応答のデータ量を計測することができる。応答するデータ量が多いということはサーバ104が応答データを作成するのに多くのコストを費やしていることを意味している。加えてこの通信に費やす時間も多くなり、通信回線の占有時間が長くなる。サーバ104の処理負荷及び通信回線の占有もまた、サーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0033】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、このデータ応答のデータ量が考慮される。
【0034】
ステップS3では、このデータ応答のデータ量に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。データ量がより少なければサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆により多ければDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0035】
データ要求と、サーバ104が対応するデータ応答とはそれぞれ対応した順番号が付与されている。このためあるデータ応答がどのデータ要求のものかが特定することができる。
【0036】
このとき、クライアント101からのあるデータ要求に対しサーバ104が応答したとする。その後、クライアント101からこのデータ応答に対する確認応答が所定時間得られなかったとすると、サーバ104は先のデータ応答がクライアント101に到達しなかったと判断して再送を試みる。データ供給数計測部204は、上述したように、再送したデータ応答はどのデータ要求の応答であるかが特定することができる。
【0037】
この仕組みはサーバ104がクライアント101に対して確実に通信を行うための手段であるが、クライアント101が意図的に確認応答を返答しない場合も考えられる。するとサーバ104は際限なく再送を繰り返し、ひいては無用な処理負荷を伴い、同時に無用な再送により通信回線も占有してしまう。この場合もまたサーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0038】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、このデータ応答の再送回数が考慮される。
【0039】
ステップS3では、このデータ応答の再送回数に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。再送回数が多ければ多いほどDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0040】
データ要求受け付け部201は、サーバ104の代理としてクライアント101からのデータ要求を受け付ける。このとき、クライアント101が要求し、サーバ104と接続したコネクションが不当に切断されると、データ要求受け付け部201はこの不当な切断を検出することができる。不当な切断とは、例えば通信に使用するプロトコルに適合しない異常なコマンドの送出またはフローなどにより、正常な通信が維持できなくなったことを検出し切断されてしまうことをいう。またクライアント101からの一方的な強制切断要求などを受けることも含まれる。
【0041】
サーバ104は、異常なコマンドやフローまたは強制切断要求を受け取るとこれらは予期しないデータであることから通信資源のリカバリ処理を行わねばならなくなる。サーバ104内で稼動する更新アプリケーションがあった場合には、上記リカバリ処理の中でロールバックなどの更新取り消し処理が必要となることも考えられる。これらの処理はサーバ104に対し多大な負荷を与えることが多い。このような異常な通信が繰り返し行われるとサーバ104の負荷が上がり、サーバ104全体の処理効率が著しく低下する。この場合もまたサーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0042】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この異常な通信の回数が考慮される。
【0043】
ステップS3では、この異常な通信の回数に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。回数が多ければ多いほどDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0044】
上記のように、いくつかの判断基準を設けることにより効果的にDoS攻撃を防止することが可能となる。
【0045】
応答確率算出部205の応答確率の算出に際して、この応答確率算出部205の中に応答確率記憶部を持たせ、これが記憶する値を下記に示すように考慮するようにしても良い。
【0046】
データ要求数計測部203、データ供給数計測部204及びデータ要求受け付け部201から取得した情報を基に応答確率算出部205はサーバ104の負荷を判断する。このとき、算出した値をそのままサーバ104の負荷状況に換算して判断するのではなく、この算出した値を前出の応答確率記憶部が記憶する値から相殺するようにする。
【0047】
例えば、各計測部から得られた値を総合して0から10までの負荷レベルを示す値に変換していたものとする。各計測部から得られる値によっては0から10まで劇的に変化する可能性があり、算出すべき応答確率が大きく変動することが予想される。
【0048】
そこで、各計測部から得られた値を総合して±2の範囲に収まるような値に変換する。次に、総合して得られたこの値を応答確率記憶部に記憶された値に加算する。すると、値の変化は一回の計測で±2の範囲でしか変動しないため、応答確率記憶部が0から10までの値を保持するものだとすれば、先の例のように応答確率が大きく変動することを抑制することができる。
【0049】
仮に応答確率の変動があまりに急さに行われるとサーバ104にかかる負荷が一定せず、サーバ104が不安定になる場合がある。
【0050】
前出の応答確率記憶部が保持する値の範囲と各計測部から得られる値を総合した値の範囲を適切に決定することにより、クライアント101からサーバ104に到達するデータ要求数の変動を緩和し、サーバ104を保護することができる。
【0051】
このときサーバ104にクライアント101からの新たなデータ要求を転送すべきと判断したときは、このデータ要求をサーバ104に転送する(S4)。一方、転送しないと判断したときはこのデータ要求をデータ要求受け付け部201から破棄し、再びクライアント101からの新たなデータ要求を待つ(S1)。
【0052】
クライアント101からのデータ要求をサーバ104に転送したときには、次にこのデータ要求に対するサーバ104からの応答があるので、これをクライアント101に対して転送する(S5)。
【0053】
そしてこの応答からデータ供給数計測部204によって完了済みの要求を計測し、応答確率算出部205が保持する受け付け中の要求数を1減少させる(S6)。 クライアント101からサーバ104への接続が確立されたままならば再び同様の動作フローを繰り返し、クライアント101からサーバ104に向けて新たなデータ要求がされるのを待つ(S1)。
【0054】
このようなフローによるサーバ計算機保護方法によれば、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントの処理も停止させることのないサーバ計算機保護装置とすることができる。
【0055】
(第2の実施形態)
図1に第2の実施形態における、サーバ計算機保護装置が適用されるネットワーク構成図の一例を示す。図1では、ユーザが利用するアプリケーションが稼動する計算機であるクライアント101−1、101−2、101−3と、ネットワーク102およびサーバ保護装置103が存在する。また、クライアント101で稼動するアプリケーションの実行に伴って必要となるデータの要求を、サーバ計算機保護装置103を介して受信し、さらにサーバ計算機保護装置103を介して送信する計算機であるサーバ104とからなる。クライアント101はサーバ104へ処理に必要なデータを要求し、サーバ104はこの要求に応じてデータを応答するサーバ・クライアント型のネットワークシステムである。クライアント101とサーバ104との通信は、すべてサーバ計算機保護装置103を介して行われる。
【0056】
図4に第2の実施形態におけるサーバ計算機保護装置103の構成図の一例を示す。サーバ計算機保護装置103は、データ要求受け付け部201、データ要求転送部202、データ要求計測部203、データ供給数計測部204および応答確率算出部205からなる。図2に示した第1の実施形態におけるサーバ計算機保護装置103との相違は、データ要求数計測部203及び応答確率算出部205を複数備えていることである。これら複数の各計測部は、複数あるクライアント101(たとえばクライアント101−1、101−2、101−3)のそれぞれから送信されるデータ要求の転送を、それぞれのクライアントごとに処理するために構成されている。クライアントごとの処理を行うためには、処理すべき要求がどのクライアントが発信したものであるかの判別が必要となる。この判別は、各クライアントから送信されるデータ要求に含まれるパケットのヘッダ情報の送信元を示すIPアドレスを参照することにより可能である。同様にサーバが行うサーバ応答の宛先のクライアントも、サーバ応答に含まれるパケットのヘッダ情報の宛先を示すIPアドレスを参照することにより判別可能である。
【0057】
各構成要素の動作は第1の実施形態のものと同じである。
【0058】
図5に第2の実施形態におけるサーバ計算機保護装置の動作フローの一例を示す。
【0059】
サーバ計算機保護装置103を介してクライアント101からサーバ104への接続が確立され、そのクライアント101にデータ要求数計測部203と応答確率算出部205の組が割り当てられた後、クライアント101からサーバ104に向けてデータ要求がされるのを待つ(S1)。データの要求がされたならばそのデータ要求を行ったクライアント101に割り当てられているデータ要求数計測部203によって、その組となっている応答確率算出部205が保持する受け付け中の要求数を1増加させる(S7)。
【0060】
データ要求受け付け部201によって受け付けられた所定のクライアント101からのデータ要求は、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断される(S3)。ステップS3の判断に際しては、未完了の受け付け中の要求数が使用される。
一定期間内のデータ応答数が一定期間内に受け付けたデータ要求数に近いほど、つまり未完了の受け付け要求数が少ないほど所定のクライアント101によるサーバ104の負荷が軽いと判断できる。逆に、一定期間内に受け付けたデータ要求数よりも一定期間内のデータ応答数が少ないほど、つまり未完了の受け付け要求数が多いほどサーバ104が所定のクライアント101によるデータ要求に対する処理を所定の時間内に完了できていない、すなわち負荷が重いと判断できる。このときの負荷が極めて重い場合には、サーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0061】
上記したような理由からステップS3の判定に、未完了の受け付け要求数を、サーバ104の負荷状態として採用することができる。これはすなわち未完了の受け付け要求数が、サーバ104がDoS攻撃を受けていかどうかという判別にも使用できることを意味している。ステップS3では、この未完了の受け付け要求数に応じて所定のクライアント101からの新たなデータ要求を転送しても良いかどうかを判断する。未完了の受け付け要求数がより少なければサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆により多ければDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0062】
さらに以下に説明する基準も、応答確率算出部205が算出し、データ要求転送部202が転送するデータ要求の応答確率に反映することができる。
【0063】
通信データにはデータ量を示す情報が付加されているため、データ供給数計測部204でサーバ104がクライアント101からのデータ要求に対するデータ応答のデータ量を計測することができる。応答するデータ量が多いということはサーバ104が応答データを作成するのに多くのコストを費やしていることを意味している。加えてこの通信に費やす時間も多くなり、通信回線の占有時間が長くなる。サーバ104の処理負荷及び通信回線の占有もまた、サーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0064】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、このデータ応答のデータ量が考慮される。
【0065】
ステップS3では、このデータ応答のデータ量に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。データ量がより少なければサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆により多ければDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0066】
データ要求と、サーバ104が対応するデータ応答とはそれぞれ対応した順番号が付与されている。このためあるデータ応答がどのデータ要求のものかが特定することができる。
【0067】
このとき、クライアント101からのあるデータ要求に対しサーバ104が応答したとする。その後、クライアント101からこのデータ応答に対する確認応答が所定時間得られなかったとすると、サーバ104は先のデータ応答がクライアント101に到達しなかったと判断して再送を試みる。データ供給数計測部204は、上述したように、再送したデータ応答はどのデータ要求の応答であるかが特定することができる。
【0068】
この仕組みはサーバ104がクライアント101に対して確実に通信を行うための手段であるが、クライアント101が意図的に確認応答を返答しない場合も考えられる。するとサーバ104は際限なく再送を繰り返し、ひいては無用な処理負荷を伴い、同時に無用な再送により通信回線も占有してしまう。この場合もまたサーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0069】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、このデータ応答の再送回数が考慮される。
【0070】
ステップS3では、このデータ応答の再送回数に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。再送回数が多ければ多いほどDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0071】
データ要求受け付け部201は、サーバ104の代理としてクライアント101からのデータ要求を受け付ける。このとき、クライアント101が要求し、サーバ104と接続したコネクションが不当に切断されると、データ要求受け付け部201はこの不当な切断を検出することができる。不当な切断とは、例えば通信に使用するプロトコルに適合しない異常なコマンドの送出またはフローなどにより、正常な通信が維持できなくなったことを検出し切断されてしまうことをいう。またクライアント101からの一方的な強制切断要求などを受けることも含まれる。
【0072】
サーバ104は、異常なコマンドやフローまたは強制切断要求を受け取るとこれらは予期しないデータであることから通信資源のリカバリ処理を行わねばならなくなる。サーバ104内で稼動する更新アプリケーションがあった場合には、上記リカバリ処理の中でロールバックなどの更新取り消し処理が必要となることも考えられる。これらの処理はサーバ104に対し多大な負荷を与えることが多い。このような異常な通信が繰り返し行われるとサーバ104の負荷が上がり、サーバ104全体の処理効率が著しく低下する。この場合もまたサーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0073】
図3に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この異常な通信の回数が考慮される。
【0074】
ステップS3では、この異常な通信の回数に応じてクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。回数が多ければ多いほどDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0075】
上記のように、いくつかの判断基準を設けることにより効果的にDoS攻撃を防止することが可能となる。
【0076】
応答確率算出部205の応答確率の算出に際して、この応答確率算出部205の中に応答確率記憶部を持たせ、これが記憶する値を下記に示すように考慮するようにしても良い。
【0077】
データ要求数計測部203、データ供給数計測部204及びデータ要求受け付け部201から取得した情報を基に応答確率算出部205は各クライアントが掛けているサーバ104の負荷を判断する。このとき、算出した値をそのままサーバ104の負荷状況に換算して判断するのではなく、この算出した値を前出の応答確率記憶部が記憶する値から相殺するようにする。
【0078】
例えば、各計測部から得られた値を総合して0から10までの負荷レベルを示す値に変換していたものとする。各計測部から得られる値によっては0から10まで劇的に変化する可能性があり、算出すべき応答確率が大きく変動することが予想される。
【0079】
そこで、各計測部から得られた値を総合して±2の範囲に収まるような値に変換する。次に、総合して得られたこの値を応答確率記憶部に記憶された値に加算する。すると、値の変化は一回の計測で±2の範囲でしか変動しないため、応答確率記憶部が0から10までの値を保持するものだとすれば、先の例のように応答確率が大きく変動することを抑制することができる。
【0080】
仮に応答確率の変動があまりに急さに行われるとサーバ104にかかる負荷が一定せず、サーバ104が不安定になる場合がある。
【0081】
前出の応答確率記憶部が保持する値の範囲と各計測部から得られる値を総合した値の範囲を適切に決定することにより、クライアント101からサーバ104に到達するデータ要求数の変動を緩和し、サーバ104を保護することができる。
【0082】
このときサーバ104に所定のクライアント101からの新たなデータ要求を転送すべきと判断したときは、このデータ要求をサーバ104に転送する(S8)。一方、転送しないと判断したときはこのデータ要求をデータ要求受け付け部201から破棄し、再び所定のクライアント101からの新たなデータ要求を待つ(S1)。
【0083】
所定のクライアント101からのデータ要求をサーバ104に転送したときには、次にこのデータ要求に対するサーバ104からの応答があるので、これを所定のクライアント101に対して転送する(S5)。
【0084】
そしてこの応答からデータ供給数計測部204によって完了済みの要求を計測し、所定のクライアント101に割り当てられた応答確率算出部205が保持する受け付け中の要求数を1減少させる(S9)。 所定のクライアント101からサーバ104への接続が確立されたままならば再び同様の動作フローを繰り返し、所定のクライアント101からサーバ104に向けて新たなデータ要求がされるのを待つ(S1)。
【0085】
このようなフローによるサーバ計算機保護方法によれば、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントを停止させることなく、またクライアントごとのきめ細かなサーバ計算機保護のための制御を可能としたサーバ計算機保護装置とすることができる。
【0086】
(第3の実施形態)
図1に第3の実施形態におけるサーバ計算機保護装置が適用されるネットワーク構成図の一例を示す。図1では、ユーザが利用するアプリケーションが稼動する計算機であるクライアント101−1、101−2、101−3と、ネットワーク102およびサーバ保護装置103が存在する。また、クライアント101で稼動するアプリケーションの実行に伴って必要となるデータの要求を、サーバ計算機保護装置103を介して受信し、さらにサーバ計算機保護装置103を介して送信する計算機であるサーバ104とからなる。クライアント101はサーバ104へ処理に必要なデータを要求し、サーバ104はこの要求に応じてデータを応答するサーバ・クライアント型のネットワークシステムである。クライアント101とサーバ104との通信は、すべてサーバ計算機保護装置103を介して行われる。
【0087】
図6に第3の実施形態におけるサーバ計算機保護装置103の構成図の一例を示す。サーバ計算機保護装置103は、データ要求受け付け部201、データ要求転送部202、応答確率算出部205および処理状況受信部206からなる。
【0088】
クライアント101はサーバ計算機保護装置103を介してサーバ104との接続を確立した後、処理に必要なデータをサーバ104に対して要求する。このときデータ要求受け付け部201によって、サーバ104に対する要求を受け付ける。
【0089】
データ要求受け付け部201によって受け付けられた要求は、データ要求転送部202によってサーバ104へと転送される。サーバ104はこの転送された要求に対するデータを、サーバ計算機保護装置103を介して、この要求を行ったクライアント101に向けて送信する。
【0090】
処理状況受信部206はサーバ104から、サーバ104自身の処理状況についての情報を受信する。具体的には、たとえばサーバ104の送信時の負荷状況などである。サーバ104が通知する情報にはデータ要求受け付け部201が受け付けたデータ要求と、サーバ104が処理している状況あるいは処理した結果とが結び付けられて格納されていても良い。この場合はたとえば、あるデータ要求と、このデータ要求を処理するために起動したアプリケーションがサーバ104に対して掛けた負荷とが関連することが分かるような情報である。
【0091】
所定の時間間隔あるいは任意のタイミングで所得した、サーバ104から得られた処理状況情報を分析すると、クライアント101が要求したデータ要求とサーバ104の負荷状況との関係が分かる。たとえば、クライアント101からあるデータ要求があった後にサーバ104の負荷が急激に変動するような特徴が発見できる。もしもサーバ104の負荷を急激に上げるようなデータ要求を立て続けに行うクライアント101があった場合には、サーバ104の処理能力を著しく消費する。ひいてはサーバ104が提供しているサービスがすべて停止してしまうことも考えられる。この状態はサーバ104がクライアント101からDoS攻撃を受けた状態と同じである。サーバ104の管理者はサーバ104の停止を回避するため、クライアント101からサーバ104へ送信される要求を速やかに停止させなければならない。
【0092】
しかしながらクライアント101はあくまで正当なデータ要求を行っているだけであるとすれば、この決定によってクライアント101で稼動するアプリケーションの処理が中断あるいは処理そのものができないことになる。
【0093】
上記したような不具合を緩和するために、応答確率算出部205は処理状況情報を元に、応答確率を少なくともサーバ104から情報を取得する都度算出し、これをデータ要求転送部202に指示する。ここでいう応答確率とは、一定期間内に受け付けたクライアント101からのデータ要求の数に対して、サーバ104が一定期間内に応答したデータ応答数の比率をいう。データ要求転送部202は、この値が大きければ一定期間内に受け付けたデータ要求のうち一定期間内にサーバ104へ転送するデータ要求の数を増やし、逆に小さければ一定期間内にサーバ104へ転送するデータ要求の数を減らす。
【0094】
一定期間内に転送される要求数を減らしたために、データ要求転送部202によって転送されなかったデータ要求は、データ要求受け付け部201から破棄される。あるいは破棄することなくデータ要求受け付け部201に保留するようにしてもよい。ただし破棄をせずデータ要求を保留する場合には、保留したデータ要求を、新たなデータ要求とは非同期に転送するための構成を必要とするが、本実施形態では説明しない。
【0095】
応答確率算出部205は、サーバ104から所得した処理状況情報からサーバ104の負荷が軽いと判断すると応答確率を高く算出し、またサーバ104の負荷が高いと判断すれば応答確率を低く算出する。
【0096】
上記のように構成すると、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントの処理も停止させることのないサーバ計算機保護装置とすることができる。
【0097】
図7に第3の実施形態におけるサーバ計算機保護装置の動作フローの一例を示す。
【0098】
図7(A)に示すフローは、サーバ104から処理状況情報を取得するためのものである。一方、図7(B)はクライアント101からデータ要求を受け付け、サーバ104に受け渡すフローを示している。これら二つのフローはそれぞれ非同期に処理される。
【0099】
まず図7(A)について説明する。処理状況受信部206は、サーバ104から、このサーバが行っている処理の状況についての情報を取得すべく、この情報が送信されるのを待つ(S10)。情報が正常に所得できたかどうかを判断し(S11)、正常に取得できた場合には処理状況受信部206はこのサーバ104についての処理負荷を確定する(S12)。この処理はサーバ104から処理状況情報を取得する都度実行し、サーバ104の処理負荷の状況をリアルタイムに確定する。
【0100】
ステップS11にて処理状況情報が取得できなかった場合は、再びこの情報が送信されるのを待つ(S10)。
【0101】
次に図7(B)について説明する。
【0102】
サーバ計算機保護装置103を介してクライアント101からサーバ104への接続が確立された後、クライアント101からサーバ104に向けてデータ要求がされるのを待つ(S1)。
【0103】
データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求は、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断される(S3)。ステップS3の判断に際しては、処理状況受信部206が確定したサーバ104についての処理負荷が使用される。
負荷が低ければサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆により高ければDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0104】
さらに以下に説明する基準も、応答確率算出部205が算出し、データ要求転送部202が転送するデータ要求の応答確率に反映することができる。
【0105】
サーバ104の処理状況情報を取りつづけていると、データ要求とサーバ104の負荷に特徴を見つけることができる場合がある。たとえば、データ要求受け付け部201が受け付け、データ要求転送部202がデータ要求を転送した後に、決まってサーバ104の処理が急激に上昇するような場合である。
このような処理負荷が急激に上がるような傾向が見つかると、サーバ104はDoS攻撃を受けている可能性が高いと判断できる。
【0106】
図7に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この処理負荷が急激に上がる傾向があるかどうかが考慮される。
【0107】
ステップS3では、負荷のかかり方の傾向を判断しクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。負荷が急激に上がる傾向があるならばDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0108】
逆に、クライアント101からのデータ要求が無くなったとたん、サーバ104の負荷が急激に低下する場合もある。このような処理負荷が急激に下がるような傾向が見つかると、サーバ104はDoS攻撃を受けていた可能性が高いと判断できる。
【0109】
図7に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この処理負荷が急激に下がる傾向があるかどうかも考慮される。
【0110】
ステップS3では、負荷のかかり方の傾向を判断しクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。負荷が急激に下がる傾向があるならばDoS攻撃を受けていた可能性があるので新たなデータ要求は安易に受け付けず破棄すべきと判断する。
【0111】
応答確率算出部205の応答確率の算出に際して、この応答確率算出部205の中に応答確率記憶部を持たせ、これが記憶する値を下記に示すように考慮するようにしても良い。
【0112】
処理状況受信部206が受信した、サーバ104の処理状況情報を基に応答確率算出部205はサーバ104の負荷を判断する。このとき、算出した値をそのままサーバ104の負荷状況に換算して判断するのではなく、この算出した値を前出の応答確率記憶部が記憶する値から相殺するようにする。
【0113】
例えば、各計測部から得られた値を総合して0から10までの負荷レベルを示す値に変換していたものとする。各計測部から得られる値によっては0から10まで劇的に変化する可能性があり、算出すべき応答確率が大きく変動することが予想される。
【0114】
そこで、各計測部から得られた値を総合して±2の範囲に収まるような値に変換する。次に、総合して得られたこの値を応答確率記憶部に記憶された値に加算する。すると、値の変化は一回の計測で±2の範囲でしか変動しないため、応答確率記憶部が0から10までの値を保持するものだとすれば、先の例のように応答確率が大きく変動することを抑制することができる。
【0115】
仮に応答確率の変動があまりに急さに行われるとサーバ104にかかる負荷が一定せず、サーバ104が不安定になる場合がある。
【0116】
前出の応答確率記憶部が保持する値の範囲と各計測部から得られる値を総合した値の範囲を適切に決定することにより、クライアント101からサーバ104に到達するデータ要求数の変動を緩和し、サーバ104を保護することができる。
【0117】
このときサーバ104にクライアント101からの新たなデータ要求を転送すべきと判断したときは、このデータ要求をサーバ104に転送する(S4)。一方、転送しないと判断したときはこのデータ要求をデータ要求受け付け部201から破棄し、再びクライアント101からの新たなデータ要求を待つ(S1)。
【0118】
クライアント101からのデータ要求をサーバ104に転送したときには、次にこのデータ要求に対するサーバ104からの応答があるので、これをクライアント101に対して転送する(S5)。
クライアント101からサーバ104への接続が確立されたままならば再び同様の動作フローを繰り返し、クライアント101からサーバ104に向けて新たなデータ要求がされるのを待つ(S1)。
【0119】
このようなフローによるサーバ計算機保護方法によれば、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントの処理も停止させることのないサーバ計算機保護装置とすることができる。
【0120】
(第4の実施形態)
図1に第4の実施形態における、サーバ計算機保護装置が適用されるネットワーク構成図の一例を示す。図1では、ユーザが利用するアプリケーションが稼動する計算機であるクライアント101−1、101−2、101−3と、ネットワーク102およびサーバ保護装置103が存在する。また、クライアント101で稼動するアプリケーションの実行に伴って必要となるデータの要求を、サーバ計算機保護装置103を介して受信し、さらにサーバ計算機保護装置103を介して送信する計算機であるサーバ104とからなる。クライアント101はサーバ104へ処理に必要なデータを要求し、サーバ104はこの要求に応じてデータを応答するサーバ・クライアント型のネットワークシステムである。クライアント101とサーバ104との通信は、すべてサーバ計算機保護装置103を介して行われる。
【0121】
図8に第4の実施形態におけるサーバ計算機保護装置103の構成図の一例を示す。サーバ計算機保護装置103は、データ要求受け付け部201、データ要求転送部202、応答確率算出部205及び処理状況受信部206からなる。図6に示した第3の実施形態におけるサーバ計算機保護装置103との相違は、応答確率算出部205を複数備えていることである。これら複数の各計測部は、複数あるクライアント101(たとえばクライアント101−1、101−2、101−3)のそれぞれから送信されるデータ要求の転送を、それぞれのクライアントごとに処理するために構成されている。クライアントごとの処理を行うためには、処理すべき要求がどのクライアントが発信したものであるかの判別が必要となる。この判別は、各クライアントから送信されるデータ要求に含まれるパケットのヘッダ情報の送信元を示すIPアドレスを参照することにより可能である。同様にサーバが行うサーバ応答の宛先のクライアントも、サーバ応答に含まれるパケットのヘッダ情報の宛先を示すIPアドレスを参照することにより判別可能である。
【0122】
各構成要素の動作は第3の実施形態のものと同じである。
【0123】
図9に第4の実施形態におけるサーバ計算機保護装置の動作フローの一例を示す。
【0124】
図9(A)に示すフローは、サーバ104から処理状況情報を取得するためのものである。一方、図9(B)はクライアント101からデータ要求を受け付け、サーバ104に受け渡すフローを示している。これら二つのフローはそれぞれ非同期に処理される。
【0125】
まず図9(A)について説明する。処理状況受信部206は、サーバ104から、このサーバが行っている処理の状況についての情報を取得すべく、この情報が送信されるのを待つ(S10)。情報が正常に所得できたかどうかを判断し(S11)、正常に取得できた場合には処理状況受信部206はこのサーバ104に各クライアントが掛けている処理負荷をクライアントごとに確定する(S13)。この処理はサーバ104から処理状況情報を取得する都度実行し、各クライアントが掛けているサーバ104の処理負荷の状況をリアルタイムに確定する。
【0126】
ステップS11にて処理状況情報が取得できなかった場合は、再びこの情報が送信されるのを待つ(S10)。
【0127】
次に図7(B)について説明する。
【0128】
サーバ計算機保護装置103を介してクライアント101からサーバ104への接続が確立され、そのクライアント101に応答確率算出部205が割り当てられた後、クライアント101からサーバ104に向けてデータ要求がされるのを待つ(S1)。
【0129】
データ要求受け付け部201によって受け付けられた所定のクライアント101からのデータ要求は、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断される(S3)。ステップS3の判断に際しては、処理状況受信部206が確定したサーバ104についての処理負荷が使用される。
負荷が低ければ所定のクライアントについてサーバ104に余裕があるので新たなデータ要求を転送すべきと判断し、逆に高ければそのクライアントからDoS攻撃を受けている可能性があるので新たなデータ要求を破棄すべきと判断する。
【0130】
さらに以下に説明する基準も、応答確率算出部205が算出し、データ要求転送部202が転送するデータ要求の応答確率に反映することができる。
【0131】
サーバ104の処理状況情報を取りつづけていると、各クライアントからのデータ要求とサーバ104の負荷に特徴を見つけることができる場合がある。たとえば、データ要求受け付け部201が受け付け、データ要求転送部202がデータ要求を転送した後に、決まってサーバ104の処理が急激に上昇するような場合である。
所定のクライアントについて、このような処理負荷が急激に上がるような傾向が見つかると、サーバ104はこのクライアントからDoS攻撃を受けている可能性が高いと判断できる。
【0132】
図9に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この処理負荷が急激に上がる傾向があるかどうかが考慮される。
【0133】
ステップS3では、負荷のかかり方の傾向を判断しクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。所定のクライアントについて負荷が急激に上がる傾向があるならばそのクライアントからDoS攻撃を受けている可能性があるので、そのクライアントからの新たなデータ要求を破棄すべきと判断する。
【0134】
逆に、クライアント101からのデータ要求が無くなったとたん、サーバ104の負荷が急激に低下する場合もある。所定のクライアントについて、このような処理負荷が急激に下がるような傾向が見つかると、サーバ104はそのクライアントからDoS攻撃を受けていた可能性が高いと判断できる。
【0135】
図9に示した、データ要求受け付け部201によって受け付けられたクライアント101からのデータ要求が、データ要求転送部202によってサーバ104へ転送しても良いものかどうかが判断されるステップS3の判断に際しては、この処理負荷が急激に下がる傾向があるかどうかも考慮される。
【0136】
ステップS3では、負荷のかかり方の傾向を判断しクライアント101からの新たなデータ要求を転送しても良いかどうかも判断材料とする。負荷が急激に下がる傾向があるならばそのクライアントからDoS攻撃を受けていた可能性があるので、そのクライアントからの新たなデータ要求は安易に受け付けず破棄すべきと判断する。
【0137】
応答確率算出部205の応答確率の算出に際して、この応答確率算出部205の中に応答確率記憶部を持たせ、これが記憶する値を下記に示すように考慮するようにしても良い。
【0138】
処理状況受信部206が受信した、サーバ104の処理状況情報を基に応答確率算出部205は各クライアントが掛けているサーバ104の負荷を判断する。このとき、算出した値をそのままサーバ104の負荷状況に換算して判断するのではなく、この算出した値を前出の応答確率記憶部が記憶する値から相殺するようにする。
【0139】
例えば、各計測部から得られた値を総合して0から10までの負荷レベルを示す値に変換していたものとする。各計測部から得られる値によっては0から10まで劇的に変化する可能性があり、算出すべき応答確率が大きく変動することが予想される。
【0140】
そこで、各計測部から得られた値を総合して±2の範囲に収まるような値に変換する。次に、総合して得られたこの値を応答確率記憶部に記憶された値に加算する。すると、値の変化は一回の計測で±2の範囲でしか変動しないため、応答確率記憶部が0から10までの値を保持するものだとすれば、先の例のように応答確率が大きく変動することを抑制することができる。
【0141】
仮に応答確率の変動があまりに急さに行われるとサーバ104にかかる負荷が一定せず、サーバ104が不安定になる場合がある。
【0142】
前出の応答確率記憶部が保持する値の範囲と各計測部から得られる値を総合した値の範囲を適切に決定することにより、クライアント101からサーバ104に到達するデータ要求数の変動を緩和し、サーバ104を保護することができる。
【0143】
このときサーバ104に所定のクライアント101からの新たなデータ要求を転送すべきと判断したときは、このデータ要求をサーバ104に転送する(S8)。一方、転送しないと判断したときはこのデータ要求をデータ要求受け付け部201から破棄し、再び所定のクライアント101からの新たなデータ要求を待つ(S1)。
【0144】
所定のクライアント101からのデータ要求をサーバ104に転送したときには、次にこのデータ要求に対するサーバ104からの応答があるので、これを所定のクライアント101に対して転送する(S5)。
【0145】
所定のクライアント101からサーバ104への接続が確立されたままならば再び同様の動作フローを繰り返し、所定のクライアント101からサーバ104に向けて新たなデータ要求がされるのを待つ(S1)。
【0146】
このようなフローによるサーバ計算機保護方法によれば、サーバに負荷をかけて停止させるようなDoS攻撃の影響を緩和させるとともに、正当なデータ要求を行っているにもかかわらずDoS攻撃をしていると判定されたクライアントを停止させることなく、またクライアントごとのきめ細かなサーバ計算機保護のための制御を可能としたサーバ計算機保護装置とすることができる。
【0147】
(各実施形態における変形例)
各実施形態の変形例として、サーバ104に本実施形態にかかるサーバ計算機保護装置103の構成を組み込んだサーバ104とすることができる。このように構成するとクライアント101からのデータ要求を処理するサーバ104と、このサーバ104を不特定のクライアント101からのDoS攻撃から保護する目的で設けるサーバ計算機保護装置103とを分離して個別に構築する必要がない。よってサーバ計算機保護装置103とサーバ104との通信をネットワーク等を介して行う必要もなくなり、代理応答の通信に要していた時間を排除することができる。また複数の筐体により構成したサーバ計算機保護装置103によって保護されたサーバ104の場合と比較して、同様の機能を1つの筐体で提供できる可能性があり、この場合には設置に必要なスペースを削減することができる。
【0148】
【発明の効果】
不特定のクライアントからのDoS攻撃からサーバとなる計算機を保護しながらも、正当なアクセスを行っているクライアントでありながらDoS攻撃を行っていると判断された計算機のアクセスも限定的に許容するサーバ計算機保護装置とすることができる。
【図面の簡単な説明】
【図1】本発明の第1の実施形態にかかるサーバ計算機保護装置が適用されるネットワーク構成図の一例を示す図である。
【図2】本発明の第1の実施形態にかかるサーバ計算機保護装置の構成図の一例を示す図である。
【図3】本発明の第1の実施形態にかかるサーバ計算機保護装置の動作フローの一例を示す図である。
【図4】本発明の第2の実施形態にかかるサーバ計算機保護装置の構成図の一例を示す図である。
【図5】本発明の第2の実施形態にかかるサーバ計算機保護装置の動作フローの一例を示す図である。
【図6】本発明の第3の実施形態にかかるサーバ計算機保護装置の構成図の一例を示す図である。
【図7】本発明の第3の実施形態にかかるサーバ計算機保護装置の動作フローの一例を示す図である。
【図8】本発明の第4の実施形態にかかるサーバ計算機保護装置の構成図の一例を示す図である。
【図9】本発明の第4の実施形態にかかるサーバ計算機保護装置の動作フローの一例を示す図である。
【符号の説明】
101−1 ・・・ クライアント
101−2 ・・・ クライアント
101−3 ・・・ クライアント
102 ・・・ ネットワーク
103 ・・・ サーバ計算機保護装置
104 ・・・ サーバ
201 ・・・ データ要求受け付け部
202 ・・・ データ要求転送部
203 ・・・ データ要求数計測部
204 ・・・ データ供給数計測部
205 ・・・ 応答確率算出部
206 ・・・ 処理状況受信部

Claims (23)

  1. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
    クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
    一定期間内に、すべてのクライアント計算機から届いたデータ要求の数を計測するデータ要求数計測手段と、
    一定期間内に前記サーバ計算機から前記クライアント計算機へ応答した数を計測するデータ供給数計測手段と、
    前記データ供給数計測手段及びデータ要求数計測手段の出力結果を用いて前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ要求受け付け手段が受け付けたデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
    を備えたことを特徴とするサーバ計算機保護装置。
  2. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
    所定のクライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
    一定期間内に、前記所定のクライアント計算機から届いたデータ要求の数を計測するデータ要求数計測手段と、
    一定期間内に前記サーバ計算機が前記所定のクライアント計算機へ応答した数を計測するデータ供給数計測手段と、
    前記データ要求数計測手段及びデータ供給数計測手段の出力結果を用いて、前記所定のクライアント計算機に対するサーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ受け付け手段が受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
    を備えたことを特徴とするサーバ計算機保護装置。
  3. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
    クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
    前記サーバ計算機から該サーバ計算機の処理状況に関する情報を受信する処理情報受信手段と
    前記処理情報受信手段が受信した情報から、前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ要求受け付け手段が受け付けたデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
    を備えたことを特徴とするサーバ計算機保護装置。
  4. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護装置において、
    所定のクライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるデータ要求受け付け手段と、
    前記サーバ計算機から、前記データ要求受け付け手段で受け付けた前記所定のクライアント計算機のデータ要求に対する、該サーバ計算機が実行している処理の状況に関する情報を受信する処理情報受信手段と
    前記処理情報受信手段が受信した情報から、前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ受け付け手段が受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送手段と、
    を備えたことを特徴とするサーバ計算機保護装置。
  5. 前記データ要求転送手段は、前記サーバ負荷算出手段が求めた前記サーバ計算機の負荷状態から、以前よりも負荷が高くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、以前よりも負荷が低くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項1または請求項2に記載のサーバ計算機保護装置。
  6. 前記サーバ計算機の負荷状態を値として記憶する負荷状態記憶手段をさらに備え、
    前記サーバ負荷算出手段は、求めた前記サーバ計算機の負荷状態に応じて前記負荷状態記憶手段に記憶した値を増減し、
    前記データ要求転送手段は、前記負荷状態記憶手段に記憶した値が高負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、低負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項1または請求項2に記載のサーバ計算機保護装置。
  7. 前記データ要求転送手段は、前記サーバ負荷算出手段が求めた前記サーバ計算機の負荷状態から、以前よりも負荷が高くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、以前よりも負荷が低くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項3または請求項4に記載のサーバ計算機保護装置。
  8. 前記サーバ計算機の負荷状態を値として記憶する負荷状態記憶手段をさらに備え、
    前記サーバ負荷算出手段は、求めた前記サーバ計算機の負荷状態に応じて前記負荷状態記憶手段に記憶した値を増減し、
    前記データ要求転送手段は、前記負荷状態記憶手段に記憶した値が高負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、低負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項3または請求項4に記載のサーバ計算機保護装置。
  9. 一定期間内に、前記サーバ計算機から前記クライアント計算機への応答に含まれるパケット量を計測する応答量計測手段をさらに備え、
    前記サーバ負荷検出手段は、前記応答量計測手段が計測したパケット量が多いほどより負荷が高いと算出することを特徴とする請求項5または請求項6に記載のサーバ計算機保護装置。
  10. 前記サーバ計算機から前記クライアント計算機への応答があってから、該応答が再送されたことを検出する再応答検出手段をさらに備え、
    前記サーバ負荷検出手段は、前記再応答検出手段が再送を検出すると、前記クライアント計算機のデータ要求による前記再送を行ったサーバ計算機の負荷がより高くなったと算出することを特徴とする請求項5または請求項6に記載のサーバ計算機保護装置。
  11. 前記クライアント計算機との接続が強制的に切断され、または通信状態に異常があることを検出する通信状態検出手段をさらに備え、
    前記サーバ負荷算出手段は、前記通信状態検出手段が通信異常を検出すると、前記クライアント計算機に対する前記サーバ計算機の負荷がより高くなったと算出することを特徴とする請求項5または請求項6に記載のサーバ計算機保護装置。
  12. 前記クライアント計算機から新たな接続があったことを検出する接続検出手段をさらに備え、
    前記サーバ負荷算出手段は、一定期間内に、前記接続検出手段が新たな接続を検出しない場合には、前記クライアント計算機に対する前記サーバ計算機の負荷がより低くなったと算出することを特徴とする請求項5または請求項6に記載のサーバ計算機保護装置。
  13. 前記サーバ負荷算出手段は、前記処理情報受信手段が直前に受信した情報と、前記データ要求受け付け手段が受け付けたデータ要求の処理を前記サーバ計算機が開始した後の、該処理の実行中に受信した情報から、該サーバ計算機の負荷の差が所定の値よりも大きく上昇したと判断したときは前記クライアント計算機に対する前記サーバ計算機の負荷が高くなったと算出することを特徴とする請求項7または請求項8に記載のサーバ計算機保護装置。
  14. 前記サーバ負荷算出手段は、前記処理情報受信手段が直前に受信した情報と、前記サーバ計算機が前記データ要求の処理を終了した直後に受信した情報から、前記直前に受信した情報と比べて、該サーバ計算機の負荷の差が所定の値よりも大きく低下したと判断したときは前記クライアント計算機に対する前記サーバ計算機の負荷が高いと算出することを特徴とする請求項7または請求項8に記載のサーバ計算機保護装置。
  15. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護方法であって、
    クライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるステップと、
    一定期間内に、すべてのクライアント計算機から届いたデータ要求の数を計測するステップと、
    一定期間内に前記サーバ計算機から前記クライアント計算機へ応答した数を計測するステップと、
    前記データ要求数及び応答数を用いて前記サーバ計算機の負荷状態を求めるステップと、
    前記求めた負荷状態に応じて、一定期間内に受け付けた前記データ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送ステップと、
    を有することを特徴とするサーバ計算機保護方法。
  16. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護方法であって、
    所定のクライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるステップと、
    一定期間内に、前記所定のクライアント計算機から届いたデータ要求の数を計測するステップと、
    一定期間内に前記サーバ計算機が前記所定のクライアント計算機へ応答した数を計測するステップと、
    前記データ要求数及び応答数を用いて、前記所定のクライアント計算機に対するサーバ計算機の負荷状態を求めるステップと、
    前記求めた負荷状態に応じて、一定期間内に受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送ステップと、
    を有することを特徴とするサーバ計算機保護方法。
  17. 前記データ要求転送ステップは、求めた前記サーバ計算機の負荷状態から、以前よりも負荷が高くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、以前よりも負荷が低くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項15または請求項16に記載のサーバ計算機保護方法。
  18. 前記データ要求転送ステップは、求めた前記サーバ計算機の前記クライアント計算機に対する負荷状態に応じて、予め記憶した値を増減し、
    前記記憶した値が高負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、低負荷を示すほど前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項15または請求項16に記載のサーバ計算機保護方法。
  19. 不特定のクライアント計算機によるDoS攻撃からサーバ計算機を保護するサーバ計算機保護プログラムであって、
    所定のクライアント計算機から送られてくるデータ要求をサーバ計算機の代わりに受け付けるステップと、
    一定期間内に、前記所定のクライアント計算機から届いたデータ要求の数を計測するステップと、
    一定期間内に前記サーバ計算機が前記所定のクライアント計算機へ応答した数を計測するステップと、
    前記データ要求数及び応答数を用いて、前記所定のクライアント計算機に対するサーバ計算機の負荷状態を求めるステップと、
    前記求めた負荷状態に応じて、一定期間内に受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記サーバ計算機へ転送するデータ要求の数の割合を変化させるデータ要求転送ステップと、
    を有することを特徴とするサーバ計算機保護プログラム。
  20. 前記データ要求転送ステップは、求めた前記サーバ計算機の負荷状態から、以前よりも負荷が高くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、以前よりも負荷が低くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とする請求項7に記載
    のサーバ計算機保護プログラム。
  21. クライアント計算機からの要求に応じたデータを供給するサーバ計算機であって、
    所定のデータ要求を処理して、該データ要求をしたクライアント計算機に供給するデータを作成するデータ処理手段と、
    所定のクライアント計算機から送られてくるデータ要求を受け付けるデータ要求受け付け手段と、
    一定期間内に、前記所定のクライアント計算機から届いたデータ要求の数を計測するデータ要求数計測手段と、
    一定期間内に、前記所定のクライアント計算機へ応答した数を計測するデータ供給数計測手段と、
    前記データ要求数計測手段及びデータ供給数計測手段の出力結果を用いて、前記所定のクライアント計算機に対する負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ受け付け手段が受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記データ処理手段へ転送するデータ要求の数の割合を変化させるデータ要求転送手段とを備え、
    不特定のクライアント計算機からのDoS攻撃を受けたときに、正当なデータ要求を行っていた所定のクライアント計算機からのデータ要求、および正当なデータ要求を行っているにもかかわらず、DoS攻撃を行っていると判断された所定のクライアント計算機からのデータ要求が継続して処理されること特徴とするサーバ計算機。
  22. クライアント計算機からの要求に応じたデータを供給するサーバ計算機であって、
    所定のデータ要求を処理して、該データ要求をしたクライアント計算機に供給するデータを作成するデータ処理手段と、
    所定のクライアント計算機から送られてくるデータ要求を受け付けるデータ要求受け付け手段と、
    前記サーバ計算機から、前記データ要求受け付け手段で受け付けた前記所定のクライアント計算機のデータ要求に対する、該サーバ計算機が実行している処理の状況に関する情報を受信する処理情報受信手段と
    前記処理情報受信手段が受信した情報から、前記サーバ計算機の負荷状態を求めるサーバ負荷算出手段と、
    前記サーバ負荷算出手段によって求めた負荷状態に応じて、一定期間内に前記データ受け付け手段が受け付けた前記所定のクライアント計算機から送られてくるデータ要求のうちの、該受け付けたデータ要求数に対する一定期間内に前記データ処理手段へ転送するデータ要求の数の割合を変化させるデータ要求転送手段とを備え、
    不特定のクライアント計算機からのDoS攻撃を受けたときに、正当なデータ要求を行っていた所定のクライアント計算機からのデータ要求、および正当なデータ要求を行っているにもかかわらず、DoS攻撃を行っていると判断された所定のクライアント計算機からのデータ要求が継続して処理されること特徴とするサーバ計算機。
  23. 前記データ要求転送手段は、前記サーバ負荷算出手段が求めた前記サーバ計算機の負荷状態から、以前よりも負荷が高くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより低く設定し、
    一方、以前よりも負荷が低くなったと判断した場合は前記サーバ計算機へ転送するデータ要求の数の割合をより高く設定することを特徴とするサーバ計算機保護装置を備えた請求項21または請求項22に記載のサーバ計算機。
JP2003071238A 2002-09-25 2003-03-17 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 Expired - Fee Related JP4503934B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2003071238A JP4503934B2 (ja) 2002-09-26 2003-03-17 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
US10/669,710 US7404211B2 (en) 2002-09-26 2003-09-25 Systems and methods for protecting a server computer
US12/213,281 US20090222918A1 (en) 2002-09-25 2008-06-17 Systems and methods for protecting a server computer

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2002280289 2002-09-26
JP2003071238A JP4503934B2 (ja) 2002-09-26 2003-03-17 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機

Publications (2)

Publication Number Publication Date
JP2004164553A true JP2004164553A (ja) 2004-06-10
JP4503934B2 JP4503934B2 (ja) 2010-07-14

Family

ID=32032901

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003071238A Expired - Fee Related JP4503934B2 (ja) 2002-09-25 2003-03-17 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機

Country Status (2)

Country Link
US (2) US7404211B2 (ja)
JP (1) JP4503934B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046345A1 (ja) * 2004-10-28 2006-05-04 Nippon Telegraph And Telephone Corporation サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
JP2007006490A (ja) * 2005-06-21 2007-01-11 Avaya Technology Llc 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
CN101175013B (zh) * 2006-11-03 2012-07-04 飞塔公司 一种拒绝服务攻击防护方法、网络系统和代理服务器
US8302179B2 (en) 2006-12-13 2012-10-30 Avaya Inc. Embedded firewall at a telecommunications endpoint
JP2020017806A (ja) * 2018-07-23 2020-01-30 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7665135B1 (en) * 2005-06-03 2010-02-16 Sprint Communications Company L.P. Detecting and addressing network attacks
US7694338B1 (en) 2005-06-03 2010-04-06 Sprint Communications Company L.P. Shared tap DOS-attack protection
US7872975B2 (en) * 2007-03-26 2011-01-18 Microsoft Corporation File server pipelining with denial of service mitigation
US8750116B2 (en) * 2008-04-15 2014-06-10 Qualcomm Incorporated Methods and apparatus for communicating and/or using load information in support of decentralized traffic scheduling decisions
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
CN102281298A (zh) * 2011-08-10 2011-12-14 深信服网络科技(深圳)有限公司 检测和防御cc攻击的方法及装置
US9356793B1 (en) * 2012-02-09 2016-05-31 Google Inc. System and method for managing load on a downstream server in a distributed storage system
US9229778B2 (en) * 2012-04-26 2016-01-05 Alcatel Lucent Method and system for dynamic scaling in a cloud environment
US8869275B2 (en) * 2012-11-28 2014-10-21 Verisign, Inc. Systems and methods to detect and respond to distributed denial of service (DDoS) attacks
FR3011416A1 (fr) 2013-09-30 2015-04-03 Orange Procede de detection d'anomalies dans un trafic reseau
US9392018B2 (en) 2013-09-30 2016-07-12 Juniper Networks, Inc Limiting the efficacy of a denial of service attack by increasing client resource demands
CN103685293B (zh) * 2013-12-20 2017-05-03 北京奇安信科技有限公司 拒绝服务攻击的防护方法和装置
US20160261502A1 (en) * 2015-03-02 2016-09-08 Lookingglass Cyber Solutions, Inc. Detection and mitigation of network component distress
CN110650173B (zh) * 2018-06-27 2022-02-18 北京国双科技有限公司 一种请求处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001318899A (ja) * 2000-05-12 2001-11-16 Toyo Commun Equip Co Ltd サーバ装置
JP2002016633A (ja) * 2000-06-30 2002-01-18 Ntt Communications Kk 通信状態制御方法および通信状態制御システム
JP2002158660A (ja) * 2000-11-22 2002-05-31 Nec Corp 不正アクセス防御システム
JP2002259234A (ja) * 2001-03-06 2002-09-13 Matsushita Electric Ind Co Ltd アクセス制御装置及びアクセス制御プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6212640B1 (en) * 1999-03-25 2001-04-03 Sun Microsystems, Inc. Resources sharing on the internet via the HTTP
JP2001109638A (ja) * 1999-10-06 2001-04-20 Nec Corp 推定伸長率に基づくトランザクション負荷分散方法及び方式並びにコンピュータ可読記録媒体
US6751668B1 (en) * 2000-03-14 2004-06-15 Watchguard Technologies, Inc. Denial-of-service attack blocking with selective passing and flexible monitoring
US20020138643A1 (en) * 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US8402129B2 (en) * 2001-03-21 2013-03-19 Alcatel Lucent Method and apparatus for efficient reactive monitoring
US7107619B2 (en) * 2001-08-31 2006-09-12 International Business Machines Corporation System and method for the detection of and reaction to denial of service attacks
JP4434551B2 (ja) * 2001-09-27 2010-03-17 株式会社東芝 サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
JP3566699B2 (ja) * 2002-01-30 2004-09-15 株式会社東芝 サーバ計算機保護装置および同装置のデータ転送制御方法
US7124438B2 (en) * 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US8201252B2 (en) * 2002-09-03 2012-06-12 Alcatel Lucent Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001318899A (ja) * 2000-05-12 2001-11-16 Toyo Commun Equip Co Ltd サーバ装置
JP2002016633A (ja) * 2000-06-30 2002-01-18 Ntt Communications Kk 通信状態制御方法および通信状態制御システム
JP2002158660A (ja) * 2000-11-22 2002-05-31 Nec Corp 不正アクセス防御システム
JP2002259234A (ja) * 2001-03-06 2002-09-13 Matsushita Electric Ind Co Ltd アクセス制御装置及びアクセス制御プログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046345A1 (ja) * 2004-10-28 2006-05-04 Nippon Telegraph And Telephone Corporation サービス不能攻撃検知システムおよびサービス不能攻撃検知方法
KR100777752B1 (ko) * 2004-10-28 2007-11-19 니폰덴신뎅와 가부시키가이샤 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
US7636942B2 (en) 2004-10-28 2009-12-22 Nippon Telegraph And Telephone Corporation Method and system for detecting denial-of-service attack
JP2007006490A (ja) * 2005-06-21 2007-01-11 Avaya Technology Llc 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
JP4638839B2 (ja) * 2005-06-21 2011-02-23 アバイア テクノロジー エルエルシー 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
CN101175013B (zh) * 2006-11-03 2012-07-04 飞塔公司 一种拒绝服务攻击防护方法、网络系统和代理服务器
US8302179B2 (en) 2006-12-13 2012-10-30 Avaya Inc. Embedded firewall at a telecommunications endpoint
JP2020017806A (ja) * 2018-07-23 2020-01-30 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
WO2020022209A1 (ja) * 2018-07-23 2020-01-30 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
JP7078850B2 (ja) 2018-07-23 2022-06-01 日本電信電話株式会社 ネットワーク制御装置及びネットワーク制御方法
US11451481B2 (en) 2018-07-23 2022-09-20 Nippon Telegraph And Telephone Corporation Network control apparatus and network control method

Also Published As

Publication number Publication date
US20090222918A1 (en) 2009-09-03
US7404211B2 (en) 2008-07-22
US20040064738A1 (en) 2004-04-01
JP4503934B2 (ja) 2010-07-14

Similar Documents

Publication Publication Date Title
JP4503934B2 (ja) サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
EP1298883B1 (en) Server computer protection apparatus, method, program product, and server computer apparatus
US7532577B2 (en) Managing transmission control protocol (TCP) connections
EP1335560B1 (en) Server computer protection apparatus and method for controlling data transfer by the same
US7540028B2 (en) Dynamic network security apparatus and methods or network processors
US7711790B1 (en) Securing an accessible computer system
US20020143965A1 (en) Server application initiated affinity within networks performing workload balancing
US20090245265A1 (en) Communication gateway device and relay method of the same
JP2008305394A (ja) ロードバランス型ネットワーク環境におけるインテリジェントフェイルオーバー
US20080141358A1 (en) Identification and administration system applied to peer-to-peer gateway and method for the same
US8429742B2 (en) Detection of a denial of service attack on an internet server
JP2008059040A (ja) 負荷制御システムおよび方法
JP2019152912A (ja) 不正通信対処システム及び方法
EP1575236B1 (en) Connectivity confirmation method for network storage device and host computer
CN112698927A (zh) 双向通信方法、装置、电子设备及机器可读存储介质
JP6870386B2 (ja) マルウェア不正通信対処システム及び方法
JP2009284433A (ja) P2p端末検知及び制御システム、並びにその方法
JP4538055B2 (ja) サーバー計算機保護装置、サーバー計算機保護方法、サーバー計算機保護プログラム及びサーバー計算機
JP7363503B2 (ja) 情報処理装置、情報処理方法、および情報処理システム
CN113206795B (zh) 传输策略调整方法、装置、设备及可读存储介质
JP4005047B2 (ja) サーバ計算機保護装置
JP4950437B2 (ja) ネットワーク監視システム
JP5579127B2 (ja) パケット応答方法及び装置
CN117560211A (zh) 泛洪攻击防御方法、装置、设备及计算机可读存储介质
JP2006004247A (ja) 通信制御装置及びそれを用いたネットワークシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040609

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050415

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050606

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080229

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090612

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090731

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100129

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100330

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100422

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140430

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees