JP2004320461A - Method, device, and program for preventing attack on network, and recording medium having program recorded therein - Google Patents

Method, device, and program for preventing attack on network, and recording medium having program recorded therein Download PDF

Info

Publication number
JP2004320461A
JP2004320461A JP2003111741A JP2003111741A JP2004320461A JP 2004320461 A JP2004320461 A JP 2004320461A JP 2003111741 A JP2003111741 A JP 2003111741A JP 2003111741 A JP2003111741 A JP 2003111741A JP 2004320461 A JP2004320461 A JP 2004320461A
Authority
JP
Japan
Prior art keywords
packet
network attack
transmission source
priority
attack prevention
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003111741A
Other languages
Japanese (ja)
Other versions
JP3917546B2 (en
Inventor
Koichi Okada
浩一 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003111741A priority Critical patent/JP3917546B2/en
Publication of JP2004320461A publication Critical patent/JP2004320461A/en
Application granted granted Critical
Publication of JP3917546B2 publication Critical patent/JP3917546B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a technique for preventing attacks using wrong packets, on servers or the like present on a network. <P>SOLUTION: The inspection result of an inspection program for checking a wrong program used for attacks on the network, which is installed in a transmission source device is acquired, and the priority of a packet sent from the transmission source device is determined on the basis of the inspection result, and a priority identifier is given to the packet sent from the transmission source device in accordance with a determination result. The packet is forwarded to a transmission destination device in accordance with the priority according to the the given priority identifier. Priorities of packets transmitted from terminals which do not have attack programs are raised by this configuration, so that the communication is preferentially conducted to invalidate attacks even when a communication path is congested with packets which are used for attacks highly probably. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に存在するサーバなどに対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法及びその装置と、そのネットワーク攻撃防止方法の実現に用いられるネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体とに関する。
【0002】
最近、サーバに対してDoS攻撃を行うことで、他のユーザがそのサーバへアクセスすることを困難にすることが行われている。
【0003】
「DoS攻撃(Denial of Service 攻撃:サービス拒否攻撃)」とは、インターネット等で不特定多数のユーザからアクセス可能なサーバに対して、攻撃者が不正な通信パケットを送ることにより、サーバや通信経路上の装置のリソース(処理能力や転送可能帯域)を消費するなどの悪影響を与えて、他のユーザがそのサーバへアクセスすることを困難にする攻撃である。
【0004】
【従来の技術】
DoS攻撃を大きく分類すると以下の3つのものがある。
【0005】
(A)攻撃を実施する送信元装置から、異常な形式のパケットをサーバに送信することにより、送信先装置や通信経路上の装置の処理に異常を起こさせてサーバのサービス継続を困難にするもの(異常パケット形式送信型DoS攻撃)。
【0006】
(B)単体または少数の送信元装置から、それぞれ大量の正常な形式のパケットをサーバに送信することにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(大量パケット送信型DoS攻撃)。
【0007】
(C)それぞれ少量の正常な形式のパケットを多数の送信元装置からサーバに向けて送り、結果として大量の攻撃パケットがサーバに送られることにより、サーバのリソースや、経路上の回線帯域を消費し、正規利用者からのアクセスを困難にするもの(高度分散型DoS攻撃)。
【0008】
次に、(A)に関する対策の従来技術と、(B)に関する対策の従来技術とについて説明する。
【0009】
(A)に関する対策としては、サーバあるいは通信経路上の装置をシステムのバージョンアップや修正プログラムを実施することにより改良・修正し、異常な形式のパケットによって処理上の異常を起こさないようにする方法や、サーバ内あるいは、サーバと送信元装置との間の通信経路上の装置で、異常な形式のパケットを破棄する方法がある。後者の場合、パケットの形式が異常であることの判定は、主にパターンマッチングによって行なわれる。
【0010】
(B)に関する対策としては、パケットの送信元ごとに、送信してきたパケットの量を比較し、他のユーザにくらべて大量のパケットを送信する送信元からのパケットを遮断あるいは送信量の制限を行う方式がある。送信元の特定は、パケットヘッダ内の送信元IPアドレスによって行われる場合があるが、IPアドレスの偽装が行われているとIPアドレスだけでは送信元の特定を正しく行うことができなくなるため、経路上のパケット転送装置を特定するための情報をパケットヘッダに埋め込む方法や、標的となっているサーバに対するパケットの送信量を経路上の装置ごとに測定することにより、送信元に近い装置を特定するなどの方法がある。
【0011】
なお、DoS攻撃に対する対策として提供されている従来技術として、下記の非特許文献1に記載されるものがある。
【0012】
【非特許文献1】
FloodGuard〔平成15年4月4日検索〕、インターネット<URL:http://www.reactivenetwork.com/products/floodguard2point1.pdf >
【0013】
【発明が解決しようとする課題】
このように、(A)に関する対策や、(B)に関する対策については従来技術で提供されていた。
【0014】
しかしながら、(C)に関する対処としては、従来では充分な対処方法がなかった。
【0015】
その理由は、多数の送信元装置により攻撃が行われる際に、一つの送信元装置が送る攻撃パケットの量は正規利用者が送る量と変わらないことがあり、パケットの送信量による区別では攻撃元を特定することが困難であることと、正常な形式のパケットが攻撃に使用されるので、パターンマッチングによる攻撃パケットの特定もできないためである。
【0016】
このように、従来、高度分散型DoS攻撃への充分な対策がないというのが実情である。なお、高度分散型DoS攻撃の攻撃対象は通常の場合サーバであるが、特定のクライアント端末が攻撃対象となるということも考えられる。
【0017】
本発明はかかる事情に鑑みてなされたものであって、高度分散型DoS攻撃から公開サーバなどを防御できるようにする新たなネットワーク攻撃防止技術の提供を目的とする。
【0018】
【課題を解決するための手段】
この目的を達成するために、本発明のネットワーク攻撃防止装置は、ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するために、▲1▼パケットの送信元装置における不正プログラムについての検査結果を取得する取得手段と、▲2▼パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した検査結果に応じた優先識別子を付与する付与手段と、▲3▼パケットの配送経路上で、パケットに対して、そのパケットに付与される優先識別子に応じた優先転送制御を行う転送制御手段とを備えるように構成する。
【0019】
このように構成されるときにあって、付与手段は、検査の詳細度を考慮した形の優先識別子をパケットに付与することがある。
【0020】
また、取得手段は、パケット送信元装置から取得する検査結果が第三者により改竄されたり偽造されるのを防ぐために、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から検査結果を取得することがある。
【0021】
また、送信元装置から配送されるパケットが第三者により改竄されたり偽造されるのを防ぐために、この暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する受信手段を備えることがある。
【0022】
また、優先転送制御を行ったパケットをパケット送信先装置へ転送する際に、そのパケットを送ってきた送信元装置の優先度を隠匿するために、そのパケットに付与されている優先識別子を削除する削除手段を備えることがある。
【0023】
以上の各処理手段が動作することで実現される本発明のネットワーク攻撃防止方法はコンピュータプログラムで実現できるものであり、このコンピュータプログラムは、半導体メモリなどの記録媒体に記録して提供したり、ネットワークを介して提供することができる。
【0024】
このように構成される本発明のネットワーク攻撃防止装置では、送信元装置の中にインストールされたネットワーク攻撃に用いられる不正プログラムを検査するための検査プログラムの検査結果を取得して、それに基づいて、送信元装置から送られてきたパケットの優先度を決定し、この決定結果に応じて、その送信元装置から送られてきたパケットに優先識別子を付与する。
【0025】
具体的に説明するならば、攻撃に使用される可能性の高いプログラムが埋め込まれていると報告された送信元装置の優先度については低くなるように優先識別子を付与し、攻撃に使用される可能性の高いプログラムが埋め込まれていないと報告された送信元装置の優先度については高くなるように優先識別子を付与することになる。
【0026】
さらに、どこまで詳細な検査を行ったかに応じて、優先度(優先識別子)を変えるようにしてもよい。
【0027】
例えば、最新のウィルス情報を元に検査を行った場合には、古いウィルス情報を元に検査を行った場合よりも、高い優先識別子を付与するようにしてもよい。
【0028】
また、高性能の検査プログラムを使って検査を行った場合には、低性能の検査プログラムを使って検査を行った場合よりも、高い優先識別子を付与するようにしてもよい。
【0029】
また、不正プログラムの検査プログラムがインストールされていない送信元装置からは検査プログラムからの報告を受けることができないので、その送信元装置から送信されたパケットに対しては比較的低い優先識別子を付与することになる。
【0030】
このようにしてパケットに優先識別子が付与されると、優先転送制御を司る転送制御手段は、付与された優先識別子に応じた優先度に従ってパケットを送信先装置まで転送する。
【0031】
この構成に従って、本発明のネットワーク攻撃防止装置によれば、高度分散型DoS攻撃から公開サーバなどを防御することができるようになる。
【0032】
具体的に説明するならば、分散型DoS攻撃の攻撃者は、多数の攻撃ホストを確保するために、コンピュータウィルス等の形で多数のホストに攻撃プログラムを配布し、攻撃プログラムを埋め込むことが多い。
【0033】
この攻撃プログラムは、端末におけるウィルススキャン等の検査プログラムにより検出することができる場合が多い。逆に、端末におけるウィルススキャン等の検査プログラムによる検査の結果、攻撃プログラムが検出されないのであれば、その端末は攻撃に使用される可能性が低いといえる。したがって、その端末から送信されるパケットの優先度を上げることで、攻撃に使用されている可能性がより高いパケットにより通信経路が混雑している場合でも、優先的に通信を行なうことで攻撃は無効化されることになる。
【0034】
このようにして、本発明によれば、高度分散型DoS攻撃から公開サーバなどを防御することができるようになる。
【0035】
【発明の実施の形態】
以下、実施の形態に従って本発明を詳細に説明する。
【0036】
図1に、本発明を実現する主装置1の一実施形態例を図示する。
【0037】
この図に示すように、本発明を実現する主装置1は、パケットを転送する優先制御転送部10が中心に配置され、この優先制御転送部10と外部との間の接続境界部のすべてに、検査部11−1〜11−6 と優先識別子付与部12−1〜12−12 の両方、もしくは優先識別子付与部12−1〜12−12 のみを配置した構成をもつ。
【0038】
検査部11−iと優先識別子付与部12−iとの間は、最低一つのチャンネルによって接続されている。検査部11−iと優先識別子付与部12−iとの間のチャンネルのうち一つは未検査パケット(検査未実施の送信元装置3−iから送信されてきたパケット)を送信するためのものであり、「未検査パケット用チャンネル」と呼ぶ。未検査パケット用チャンネル以外のチャンネルについては、検査部11−iを経た送信元装置3−i毎に確立されることになる。
【0039】
各チャンネルには優先度が割り当てられている。未検査パケット用チャンネルには、検査未実施の送信元装置3−iから送信されたパケットのための優先度が割り当てられている。
【0040】
検査部11−iと接続されていない優先識別子付与部12−iについては、未検査パケット用チャンネルのみで外部と接続される。
【0041】
以上の構成を持つ主装置1は、送信先装置2と送信元装置3−1〜3−7との間に設置され、送信先装置2を高度分散型DoS攻撃から防御する。
【0042】
送信元および送信先となりうる装置は、同一の検査部11−iもしくは同一の優先識別子付与部12−iに対して複数接続されていてもよい。また、送信元装置3−iが外部ネットワーク4−1〜4−3経由で主装置1にパケットを送りこむような接続も可能である。
【0043】
なお、本発明における主装置1については、必ずしも一つの装置として一体的に実現される必要はなく、分散配置される複数の装置要素によって実現されていてもよい。
【0044】
以下に、図1中の各々の構成要素がどのように機能するかについて、図2を参照し、パケットの流れをもとに説明する。
【0045】
ここで、図1では、送信元装置3−iの送信したパケットは、「送信元装置3−i→検査部11−i/優先識別子付与部12−i→優先制御転送部10→優先識別子付与部12−1→送信先装置2」というルートでもって送信先装置2に配送されることを想定している。
【0046】
まず、パケットは送信元装置3−iから送出される(ステップ201)。このパケットは本発明の主装置1を経由して送信先装置2へ配送されるが、その際に、主装置1の検査部11−iに送られる場合と、主装置1の優先識別子付与部12−iに直接送られる場合の2通りがある(ステップ202)。前者の場合、パケットには検査部11−iの処理が行われる(ステップ203)。
【0047】
検査部11−iでは、図3で示される処理が行われる。
【0048】
ここで、検査部11−iに送られるパケットには、その検査部11−iと送信元装置3−iとの間で安全な通信路を確立するためのものがある。この安全な通信路は、パケットがその送信元装置3−iから送られたものであることを保証するために確立されるものであり、送信元装置3−iは、検査部11−iとの間でパケットの偽造を防止するためにこの安全な通信路を使用する。この通信路の確立にはIPsec 等の暗号通信技術等を使う。ダイアルアップ接続で送信元装置3−iと主装置1とが接続される場合など、第三者によってパケットが偽造される可能性が低い場合には、暗号通信経路は必ずしも必要ではない。
【0049】
図3に従って検査部11−iの処理について説明するならば、検査部11−iは、パケットを受け取ることで処理を開始すると(ステップ301)、安全な通信路を確立するためのパケットを受け取ったのかどうかの判断を行ない(ステップ302)、この判断において、安全な通信路を確立するためのパケットを受け取ったことを判断する場合には、送信元装置3−iとの間で安全な通信路を確立する(ステップ303)。
【0050】
そして、その経路を確立した送信元装置3−iにおける不正プログラム検査の結果(不正プログラムの有無の検査結果)を受け取り(ステップ304)、その検査結果に応じて送信元装置3−iの優先度を決定する(ステップ305)。さらに、その経路ごとに個別のチャンネルを優先識別子付与部12−iとの間で確立し(ステップ306)、先に決定した優先度をこのチャンネルに割り当てる(ステップ307)。その後、検査部11−iの処理は終了する(ステップ313)。
【0051】
一方、ステップ302で、受け取ったパケットが安全な通信路を確立するためのものでないと判断する場合には、次に、すでに確立された安全な通信路を通してパケットを受け取ったのかどうかの判断を行う(ステップ308)。この判断において、すでに確立された安全な通信路を通してパケットを受け取ったことを判断する場合には、その経路のために用意したチャンネルを通して優先識別子付与部12−iへパケットを送る(ステップ309)。その後、検査部11−iの処理は終了する(ステップ313)。
【0052】
一方、ステップ308で、受け取ったパケットが安全な通信路を経由せずに送られてきたことを判断する場合には、次に、受け取ったパケットが優先識別子付与部12−iから送られたものであるかどうかの判断を行う(ステップ301)。この判断において、受け取ったパケットが優先識別子付与部12−iから送られたものでないことを判断する場合には、未検査パケット用チャンネルを通して、優先識別子付与部12−iにパケットを送る(ステップ312)。その後、検査部11−iの処理は終了する(ステップ314)。
【0053】
一方、ステップ310で、受け取ったパケットが優先識別子付与部12−iから送られたものであることを判断する場合には、送信先装置2へ向けた経路にパケットを送信する(ステップ311)。その後、検査部11−iの処理は終了する(ステップ314)。
【0054】
再び、図2の処理の説明に戻る。
【0055】
検査部11−iの処理が終了し(ステップ203)、パケットの宛先がこの検査部11−i宛のものであった場合には(ステップ204)、パケットは送信先に到着したものとして、そのパケットの流れに沿った処理は終了する(ステップ210)。
【0056】
一方、パケットの宛先がこの検査部11−i宛のものでない場合には、パケットは検査部11−iと優先識別子付与部12−iとの間に確立されたチャンネルを介して優先識別子付与部12−iに到着する(ステップ205)。また、送信元装置3−iが検査部11−iを経由せずに主装置1に接続されている場合にも(ステップ202)、パケットは外部と優先識別子付与部12−iを結ぶチャンネルを通して直接、優先識別子付与部12−iに到着する(ステップ205)。
【0057】
優先識別子付与部12−iでは、図4で示される処理が行われる。
【0058】
図4に従って優先識別子付与部12−iの処理について説明するならば、優先識別子付与部12−iは、パケットを受け取ることで処理を開始すると(ステップ401)、入力されたパケットが優先制御転送部10から送られてきたものであるかどうかの判断を行う(ステップ402)。
【0059】
この判断において、優先制御転送部10ではなくて、検査部11−iもしくは外部と接続されたチャンネルを経由してパケットを受け取ったことを判断する場合には、入力されたパケットに対して、そのパケットが通ったチャンネルを確立する際に伝えられた優先度を示す優先識別子を付与し(ステップ403)、優先制御転送部10にパケットを送る(ステップ404)。その後、優先識別子付与部10は処理を終了する(ステップ406)。
【0060】
一方、ステップ402で、入力されたパケットが優先制御転送部10から送られてきたものであることを判断する場合には、入力されたパケットに付与されている優先識別子を削除した後、送信先装置2に向けたチャンネルを通してパケットを送出する(ステップ405)。その後、優先識別子付与部10は処理を終了する(ステップ406)。
【0061】
再び、図2の処理の説明に戻る。
【0062】
優先識別子付与部12−iの処理(ステップ205)が終了すると、パケットは優先識別子付与部12−iから優先制御転送部10へ送られ、そこで、優先制御転送部10の処理が行われる(ステップ206)。
【0063】
優先制御転送部10は、パケットを受け取ると、図5に示すように、パケットに示された送信先装置2に接続されたチャンネルに向けて、自らの内部でパケットを転送していく。その際、パケットに付与された優先識別子に応じて、優先的に転送を行う。すなわち、優先度の高いパケットを優先的に転送していくという転送制御を行うのである。
【0064】
このようにして、優先制御転送部10の処理に従って、パケットが送信先装置2の最寄りの優先識別子付与部12−1(図1では、送信先装置2の最寄りの優先識別子付与部として優先識別子付与部12−1を想定している)に到着すると、この優先識別子付与部12−1による処理が行われる(ステップ207)。
【0065】
この処理では、送信先装置2が検査部11−iを経由せずに主装置1に接続されている場合には(ステップ208)、送信先装置2と接続するチャンネル経由でパケットを主装置1の外部に送出し、これを受けて、そのパケットは主装置1を出て送信先装置2に向けて配送され、送信先装置2に到着する(ステップ210)。
【0066】
一方、送信先装置2が検査部11−iを経由して主装置1に接続されている場合には(ステップ208)、検査部11−iの処理が行われ(ステップ209)、そのパケットの送信先装置2と接続された安全な通信路がある場合には、その安全な通信路経由でパケットを送信し、その安全な通信路がない場合には、送信先装置2と接続された経路にパケットを送信する(図3のステップ311)。その後、パケットは送信先装置2に到着する(ステップ210)。
【0067】
以下に、本発明の構成要素の具体化例について説明する。
【0068】
優先識別子としては、優先識別子のために新たなパケット形式を採用することに限らず、既存のパケット識別方法、すなわちIPヘッダ内のTOSフィールド(Type Of Serviceフィールド) 、DSフィールド(Differentiated Service フィールド) 、IEEE 802.1Qのラベル、MPLS(Multi Protocol Label Switching)のラベル等を利用可能である。
【0069】
優先制御転送部10としては、優先識別子の内容に応じて優先制御を行う装置を利用する。例えば、TOSフィールドの値に応じて、優先制御する装置を利用する。
【0070】
また、優先制御転送部10の優先制御の機能としては、優先識別子の値に応じて優先制御を行うだけでなく、通信コネクションの確立を行なうための最初のパケット(TCPのSYNパケット等)に対しても最大帯域を指定でき、その帯域の中で優先識別子に応じて優先制御を行なうものを導入することが望ましいが、パケットの種類を区別せずに単に優先識別子の内容に応じて優先制御を行なう装置を導入してもかまわない。
【0071】
また、優先制御転送部10は、優先制御装置を設置したIPネットワークのバックボーンを利用することが可能である。これは、一つのISPもしくはキャリアによって提供されても良いが、複数のISPもしくはキャリアによって提供されてもよく、それらの接続を直接もしくはVPN等によって行うことなどにより、第三者により優先識別子を偽造されることを防止する必要がある。
【0072】
図示実施形態例に従って本発明を説明したが、本発明はこれに限定されるものではない。例えば、実施形態例では、公開サーバに対して行われるDoS攻撃を防止することを具体例にして本発明を説明したが、本発明はその適用がこのような場合に限られるものではない。例えば、特定のユーザ端末に対して行われるDoS攻撃を防止する場合にも、本発明はそのまま適用できるのである。
【0073】
【発明の効果】
インターネットの利用者が爆発的に増大する中で、近年、インターネット上においてもオンライン証券取引サービスやオンラインバンキングサービス等、通信品質が重要視されるサービスを提供する動きが活発になっている。
【0074】
しかしインターネットでは、パケットの送信元を偽装することが容易であり、かつ、大量のパケットの送信を低コストで実施することが可能であるため、インターネット内で公開されたサーバに対して大量のパケットを送りつけるというDoS攻撃の脅威が存在する。したがって、このDoS攻撃をいかに防ぐかが課題となっている。
【0075】
DoS攻撃防止のための方法としては、前述のとおり様々な方法が提案されてきたが、少量の正常な形式のパケットを多数の送信元装置からサーバに向けて送り、結果として大量の攻撃パケットをサーバに送りつけるという高度分散型DoS攻撃に対しては十分な対策が提供されていなかった。
【0076】
本発明は、従来の方法では防ぐことが困難であったこのような高度分散型DoS攻撃への対策を提供する。
【0077】
本発明が対象とするのは特に、攻撃者が予め多数の装置に不正プログラムを埋め込むことにより、これらの不正プログラムを使って大量のパケットを標的となるサーバに送りつけるという特徴を持つ高度分散型DoS攻撃であり、多くの高度分散型DoS攻撃がこれに該当する。したがって、本発明により、高度分散型DoS攻撃への効果的な対策をとることが可能になる。
【0078】
本発明によれば、攻撃者が多数の不正プログラムを使って大量のパケットを標的となるサーバに送りつけた場合でも、不正プログラムがインストールされていないことが不正プログラム検出システムにより保証された装置からのパケットについては、本発明により優先的に配送されるため、攻撃の影響を受けることがない。
【0079】
また、大量パケット送信型DoS攻撃に対しても、攻撃元装置に埋め込んだ不正プログラムを利用したものについては、本発明による対策が有効である。
【0080】
本発明を具備する装置は、例えば、ISP(インターネットサービスプロバイダ)によって導入され、ISPはサーバ運営者およびそのサーバへアクセスするユーザに対して、高度分散型DoS攻撃を防止可能なインターネット接続サービスを提供することが可能である。
【0081】
本発明を具備する装置に接続されるサーバは、インターネット上に公開されつつも、本発明を具備する装置に接続されるユーザに対しては不正プログラムを利用した高度分散型DoS攻撃からの影響を排除できるようになる。
【図面の簡単な説明】
【図1】本発明を実現する主装置の一実施形態例を示す図である。
【図2】パケットに対しての処理の流れを示す図である。
【図3】検査部の処理を示す図である。
【図4】優先識別子付与部の処理を示す図である。
【図5】優先制御転送部の処理を示す図である。
【符号の説明】
1 主装置
2 送信先装置
3 送信元装置
4 外部ネットワーク
10 優先制御転送部
11 検査部
12 優先識別子付与部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a network attack prevention method and apparatus for preventing an attack using an unauthorized packet performed on a server or the like existing on a network, and a network attack prevention method used for realizing the network attack prevention method. The present invention relates to a program and a recording medium on which the program is recorded.
[0002]
Recently, a DoS attack on a server has made it difficult for other users to access the server.
[0003]
"DoS attack (Denial of Service attack: Denial of service attack)" is a method in which an attacker sends an unauthorized communication packet to a server accessible from an unspecified number of users on the Internet or the like, thereby causing the server or communication path to fail. This attack has an adverse effect such as consuming resources (processing capacity and transferable bandwidth) of the above device, and makes it difficult for other users to access the server.
[0004]
[Prior art]
DoS attacks can be broadly classified into the following three types.
[0005]
(A) By transmitting a packet in an abnormal format from the transmission source device to the server, the process of the transmission destination device and the device on the communication path may be abnormally performed, making it difficult to continue the service of the server. One (abnormal packet format transmission type DoS attack).
[0006]
(B) By transmitting a large amount of packets in a normal format to a server from a single or a small number of transmission source devices, respectively, the resources of the server and the line bandwidth on the route are consumed, and it is difficult for an authorized user to access the server. (Mass packet transmission type DoS attack).
[0007]
(C) A small number of packets in a normal format are transmitted from a large number of source devices to a server, and as a result a large amount of attack packets are transmitted to the server, thereby consuming server resources and line bandwidth on a route. And makes it difficult for authorized users to access (highly distributed DoS attack).
[0008]
Next, the related art of the countermeasure regarding (A) and the related art of the countermeasure regarding (B) will be described.
[0009]
As a countermeasure for (A), a method of improving or correcting a server or a device on a communication path by performing a system version upgrade or a correction program so as to prevent processing errors from occurring due to abnormally formatted packets. There is a method of discarding an abnormally formatted packet in a server or in a device on a communication path between a server and a transmission source device. In the latter case, the determination that the packet format is abnormal is mainly performed by pattern matching.
[0010]
As a countermeasure against (B), the amount of transmitted packets is compared for each packet transmission source, and a packet from a transmission source that transmits a larger amount of packets than other users is blocked or the transmission amount is restricted. There is a method to do it. In some cases, the source is specified by the source IP address in the packet header. However, if the IP address is forged, the source cannot be correctly specified only by the IP address. A method of embedding information for identifying the above packet transfer device in the packet header, or measuring the amount of packet transmission to the target server for each device on the path, to identify a device close to the transmission source And so on.
[0011]
As a conventional technique provided as a countermeasure against a DoS attack, there is a technique described in Non-Patent Document 1 below.
[0012]
[Non-patent document 1]
FloodGuard [April 4, 2003 search], Internet <URL: http: // www. reactivenetwork. com / products / floorguard2point1. pdf>
[0013]
[Problems to be solved by the invention]
As described above, the countermeasure relating to (A) and the countermeasure relating to (B) have been provided in the related art.
[0014]
However, as a countermeasure for (C), there has been no sufficient countermeasure in the past.
[0015]
The reason is that when an attack is performed by a large number of source devices, the amount of attack packets sent by one source device may not be different from the amount sent by a legitimate user. This is because it is difficult to specify the source, and because packets in a normal format are used for an attack, it is not possible to specify an attacking packet by pattern matching.
[0016]
As described above, in reality, there is no sufficient countermeasure against a highly distributed DoS attack. The target of the highly distributed DoS attack is the server in the normal case, but it is also conceivable that a specific client terminal is the target of the attack.
[0017]
The present invention has been made in view of such circumstances, and an object of the present invention is to provide a new network attack prevention technology that can protect a public server or the like from a highly distributed DoS attack.
[0018]
[Means for Solving the Problems]
In order to achieve this object, the network attack prevention apparatus according to the present invention transmits (1) packet transmission in order to prevent an attack using an illegal packet performed on an attack target apparatus existing on the network. Acquiring means for acquiring an inspection result of a malicious program in the source device; and (2) assigning a priority identifier corresponding to the inspection result acquired from the packet transmission source device to a packet delivered from the packet transmission source device. On the delivery route of the packet, (3) a transfer control means for performing priority transfer control on the packet in accordance with a priority identifier assigned to the packet is provided.
[0019]
When configured in this way, the assigning means may assign a priority identifier to the packet in a form that takes into account the degree of detail of the inspection.
[0020]
Further, the obtaining means establishes an encrypted communication path with the packet transmission source device to prevent the inspection result obtained from the packet transmission source device from being falsified or forged by a third party, In some cases, an inspection result is obtained from a packet transmission source device using a route.
[0021]
Also, in order to prevent the packet delivered from the source device from being falsified or forged by a third party, the packet delivered to the packet destination device is transmitted from the packet source device using this encrypted communication path. There may be a receiving means for receiving.
[0022]
Also, when transferring a packet that has been subjected to priority transfer control to a packet destination device, the priority identifier assigned to the packet is deleted in order to conceal the priority of the source device that sent the packet. In some cases, a deletion unit is provided.
[0023]
The network attack prevention method of the present invention realized by the operation of each of the above processing means can be realized by a computer program. This computer program can be provided by being recorded on a recording medium such as a semiconductor memory or provided on a network. Can be provided via
[0024]
In the network attack prevention device of the present invention configured as described above, the inspection result of the inspection program for inspecting the malicious program used for the network attack installed in the transmission source device is obtained, and based on the acquired result, The priority of the packet transmitted from the transmission source device is determined, and a priority identifier is assigned to the packet transmitted from the transmission source device according to the determination result.
[0025]
More specifically, a priority identifier is assigned so that the priority of a transmission source device that is reported to have a program likely to be used in an attack embedded therein is set to be low, and is used for the attack. A priority identifier is assigned so as to increase the priority of the transmission source device which is reported that a program with a high possibility is not embedded.
[0026]
Further, the priority (priority identifier) may be changed depending on how much detailed inspection has been performed.
[0027]
For example, when a check is performed based on the latest virus information, a higher priority identifier may be assigned than when a check is performed based on old virus information.
[0028]
Further, when a test is performed using a high-performance test program, a higher priority identifier may be assigned than when a test is performed using a low-performance test program.
[0029]
In addition, since a report from the inspection program cannot be received from a transmission source device on which the inspection program for the malicious program is not installed, a relatively low priority identifier is assigned to a packet transmitted from the transmission source device. Will be.
[0030]
When the priority identifier is assigned to the packet in this way, the transfer control unit that manages the priority transfer control transfers the packet to the destination device according to the priority according to the assigned priority identifier.
[0031]
According to this configuration, according to the network attack prevention device of the present invention, it becomes possible to protect a public server or the like from a highly distributed DoS attack.
[0032]
Specifically, an attacker of a distributed DoS attack often distributes an attack program to a large number of hosts in the form of a computer virus and embeds the attack program in order to secure a large number of attack hosts. .
[0033]
This attack program can often be detected by an inspection program such as a virus scan in the terminal. Conversely, if an attack program is not detected as a result of an inspection program such as a virus scan in a terminal, it can be said that the terminal is unlikely to be used for an attack. Therefore, by increasing the priority of the packet sent from the terminal, even if the communication path is congested with packets that are more likely to be used in the attack, the priority of the communication will prevent the attack Will be invalidated.
[0034]
Thus, according to the present invention, it becomes possible to protect a public server or the like from a highly distributed DoS attack.
[0035]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, the present invention will be described in detail according to embodiments.
[0036]
FIG. 1 shows an embodiment of a main apparatus 1 for realizing the present invention.
[0037]
As shown in this figure, a main device 1 for realizing the present invention is provided with a priority control transfer unit 10 for transferring a packet at the center, and at a connection boundary between the priority control transfer unit 10 and the outside. , The inspection units 11-1 to 11-6 and the priority identifier assigning units 12-1 to 12-12, or only the priority identifier assigning units 12-1 to 12-12.
[0038]
The inspection unit 11-i and the priority identifier assignment unit 12-i are connected by at least one channel. One of the channels between the inspection unit 11-i and the priority identifier assigning unit 12-i is for transmitting an uninspected packet (a packet transmitted from the uninspected transmission source device 3-i). And is referred to as an “untested packet channel”. Channels other than the uninspected packet channel are established for each transmission source device 3-i that has passed the inspection unit 11-i.
[0039]
Each channel is assigned a priority. The priority for the packet transmitted from the transmission source device 3-i for which the inspection has not been performed is assigned to the channel for the uninspected packet.
[0040]
The priority identifier assigning unit 12-i that is not connected to the inspection unit 11-i is connected to the outside only by the channel for the uninspected packet.
[0041]
The main device 1 having the above configuration is installed between the transmission destination device 2 and the transmission source devices 3-1 to 3-7, and protects the transmission destination device 2 from a highly distributed DoS attack.
[0042]
A plurality of devices that can be a transmission source and a transmission destination may be connected to the same inspection unit 11-i or the same priority identifier assignment unit 12-i. Further, a connection in which the transmission source device 3-i sends a packet to the main device 1 via the external networks 4-1 to 4-3 is also possible.
[0043]
Note that the main device 1 in the present invention does not necessarily have to be integrally realized as one device, but may be realized by a plurality of device elements arranged in a distributed manner.
[0044]
Hereinafter, how each component in FIG. 1 functions will be described with reference to FIG. 2 based on the flow of a packet.
[0045]
Here, in FIG. 1, the packet transmitted by the transmission source device 3-i is described as “transmission source device 3-i → inspection unit 11-i / priority identifier assigning unit 12-i → priority control transfer unit 10 → priority identifier assignment. It is assumed that the data is delivered to the destination device 2 through a route of “part 12-1 → destination device 2”.
[0046]
First, a packet is transmitted from the transmission source device 3-i (step 201). This packet is delivered to the destination device 2 via the main device 1 of the present invention. At this time, the packet is sent to the inspection unit 11-i of the main device 1 and the priority identifier assigning unit of the main device 1. There are two cases where the message is sent directly to 12-i (step 202). In the former case, the packet is subjected to the processing of the inspection unit 11-i (step 203).
[0047]
In the inspection unit 11-i, the processing shown in FIG. 3 is performed.
[0048]
Here, some of the packets sent to the inspection unit 11-i are for establishing a secure communication path between the inspection unit 11-i and the transmission source device 3-i. This secure communication path is established in order to guarantee that the packet is transmitted from the transmission source device 3-i. The transmission source device 3-i is connected to the inspection unit 11-i. Use this secure channel to prevent forgery of packets between. The communication path is established by using an encryption communication technique such as IPsec. When there is a low possibility that a packet is forged by a third party, such as when the transmission source device 3-i and the main device 1 are connected by a dial-up connection, the encryption communication path is not always necessary.
[0049]
If the processing of the inspection unit 11-i is described with reference to FIG. 3, when the inspection unit 11-i starts processing by receiving a packet (step 301), it receives a packet for establishing a secure communication path. Is determined (step 302). If it is determined in this determination that a packet for establishing a secure communication path has been received, the secure communication path with the transmission source device 3-i is determined. Is established (step 303).
[0050]
Then, the result of the malicious program check (the check result of the presence or absence of the malicious program) in the source device 3-i that has established the route is received (step 304), and the priority of the source device 3-i is determined according to the check result. Is determined (step 305). Further, an individual channel is established with the priority identifier assigning unit 12-i for each route (step 306), and the previously determined priority is assigned to this channel (step 307). Thereafter, the processing of the inspection unit 11-i ends (Step 313).
[0051]
On the other hand, if it is determined in step 302 that the received packet is not for establishing a secure communication path, then it is determined whether the packet has been received through the already established secure communication path. (Step 308). In this determination, when it is determined that the packet has been received through the already established secure communication path, the packet is sent to the priority identifier assigning unit 12-i through the channel prepared for the path (step 309). Thereafter, the processing of the inspection unit 11-i ends (Step 313).
[0052]
On the other hand, if it is determined in step 308 that the received packet has been sent without passing through the secure communication channel, then the received packet is sent from the priority identifier assigning unit 12-i. Is determined (step 301). In this determination, when it is determined that the received packet is not the one transmitted from the priority identifier providing unit 12-i, the packet is transmitted to the priority identifier providing unit 12-i through the channel for the unchecked packet (step 312). ). Thereafter, the processing of the inspection unit 11-i ends (step 314).
[0053]
On the other hand, if it is determined in step 310 that the received packet has been sent from the priority identifier assigning unit 12-i, the packet is transmitted to the path toward the destination device 2 (step 311). Thereafter, the processing of the inspection unit 11-i ends (step 314).
[0054]
Returning to the description of the processing in FIG. 2 again.
[0055]
When the processing of the inspection unit 11-i is completed (step 203) and the destination of the packet is addressed to the inspection unit 11-i (step 204), the packet is determined to have arrived at the transmission destination. The processing along the flow of the packet ends (step 210).
[0056]
On the other hand, if the destination of the packet is not addressed to the checking unit 11-i, the packet is sent to the priority identifier assigning unit via the channel established between the checking unit 11-i and the priority identifier assigning unit 12-i. It arrives at 12-i (step 205). Also, when the transmission source device 3-i is connected to the main device 1 without passing through the inspection unit 11-i (step 202), the packet is transmitted through the channel connecting the outside and the priority identifier assignment unit 12-i. It directly arrives at the priority identifier assigning unit 12-i (step 205).
[0057]
In the priority identifier assigning unit 12-i, the processing shown in FIG. 4 is performed.
[0058]
Describing the process of the priority identifier assigning unit 12-i with reference to FIG. 4, when the priority identifier assigning unit 12-i starts processing by receiving a packet (step 401), the priority packet is transferred to the priority control transfer unit. It is determined whether or not the data has been sent from the server 10 (step 402).
[0059]
In this determination, when it is determined that a packet is received not via the priority control transfer unit 10 but via the inspection unit 11-i or a channel connected to the outside, the input packet is A priority identifier indicating the priority transmitted when establishing the channel through which the packet has passed is assigned (step 403), and the packet is sent to the priority control transfer unit 10 (step 404). Thereafter, the priority identifier assigning unit 10 ends the processing (Step 406).
[0060]
On the other hand, if it is determined in step 402 that the input packet has been sent from the priority control transfer unit 10, the priority identifier attached to the input packet is deleted, and then the destination The packet is transmitted through the channel directed to the device 2 (step 405). Thereafter, the priority identifier assigning unit 10 ends the processing (Step 406).
[0061]
Returning to the description of the processing in FIG. 2 again.
[0062]
When the processing (step 205) of the priority identifier assigning unit 12-i ends, the packet is sent from the priority identifier assigning unit 12-i to the priority control transfer unit 10, where the processing of the priority control transfer unit 10 is performed (step 205). 206).
[0063]
Upon receiving the packet, the priority control transfer unit 10 transfers the packet internally to the channel connected to the destination device 2 indicated in the packet, as shown in FIG. At that time, the transfer is preferentially performed according to the priority identifier assigned to the packet. That is, transfer control is performed such that packets with higher priority are transferred preferentially.
[0064]
In this way, according to the processing of the priority control transfer unit 10, the packet is sent to the nearest priority identifier assigning unit 12-1 (in FIG. 1, as the nearest priority identifier assigning unit of the destination device 2 in FIG. 1). (See section 2-1), processing by the priority identifier assigning section 12-1 is performed (step 207).
[0065]
In this process, if the destination device 2 is connected to the main device 1 without passing through the inspection unit 11-i (step 208), the packet is transmitted via the channel connected to the destination device 2 to the main device 1. , And in response to this, the packet leaves the main device 1 and is delivered to the destination device 2 and arrives at the destination device 2 (step 210).
[0066]
On the other hand, when the transmission destination device 2 is connected to the main device 1 via the inspection unit 11-i (step 208), the processing of the inspection unit 11-i is performed (step 209), and the If there is a secure communication path connected to the destination apparatus 2, the packet is transmitted via the secure communication path. If there is no secure communication path, the packet is connected to the destination apparatus 2. (Step 311 in FIG. 3). Thereafter, the packet arrives at the destination device 2 (step 210).
[0067]
Hereinafter, specific examples of the components of the present invention will be described.
[0068]
The priority identifier is not limited to adopting a new packet format for the priority identifier, but may be an existing packet identification method, that is, a TOS field (Type Of Service field) in an IP header, a DS field (Differentiated Service field), IEEE 802.1Q labels, MPLS (Multi Protocol Label Switching) labels, and the like can be used.
[0069]
As the priority control transfer unit 10, a device that performs priority control according to the content of the priority identifier is used. For example, a device that performs priority control according to the value of the TOS field is used.
[0070]
The priority control function of the priority control transfer unit 10 not only performs priority control according to the value of the priority identifier, but also performs the first packet (such as a TCP SYN packet) for establishing a communication connection. It is desirable to introduce a type that can specify the maximum bandwidth and perform priority control according to the priority identifier within that bandwidth, but it is preferable to introduce priority control according to the contents of the priority identifier without distinguishing the type of packet. It is permissible to introduce a device for performing this.
[0071]
The priority control transfer unit 10 can use the backbone of the IP network in which the priority control device is installed. This may be provided by one ISP or carrier, but may be provided by a plurality of ISPs or carriers. Forgery of the priority identifier by a third party, for example, by directly or through a VPN or the like. Need to be prevented.
[0072]
Although the present invention has been described according to the illustrated embodiment, the present invention is not limited to this. For example, in the embodiment, the present invention has been described with a specific example of preventing a DoS attack performed on a public server, but the present invention is not limited to such a case. For example, the present invention can be applied as it is even when preventing a DoS attack performed on a specific user terminal.
[0073]
【The invention's effect】
With the explosion of Internet users, in recent years, there has been an active movement to provide services on the Internet where communication quality is important, such as online securities trading services and online banking services.
[0074]
However, on the Internet, it is easy to disguise the source of a packet, and it is possible to transmit a large amount of packets at low cost. There is a threat of DoS attack that sends out. Therefore, how to prevent this DoS attack is an issue.
[0075]
As described above, various methods for preventing DoS attacks have been proposed, but a small number of packets in a normal format are sent from a large number of transmission apparatuses to a server, and as a result, a large number of attack packets are transmitted. Sufficient countermeasures have not been provided for highly distributed DoS attacks that send to servers.
[0076]
The present invention provides a countermeasure against such a highly distributed DoS attack that was difficult to prevent by the conventional method.
[0077]
In particular, the present invention is directed to a highly distributed type in which an attacker embeds a malicious program in a large number of devices in advance and sends a large amount of packets to a target server using the malicious program. This is a DoS attack, and many highly distributed DoS attacks correspond to this. Therefore, according to the present invention, it is possible to take effective measures against a highly distributed DoS attack.
[0078]
According to the present invention, even when an attacker sends a large number of packets to a target server using a large number of malicious programs, it is necessary to use a device that is guaranteed by the malicious program detection system to have no malicious program installed. Packet is preferentially delivered by the present invention, so that it is not affected by an attack.
[0079]
The measures according to the present invention are also effective against a large packet transmission type DoS attack using an unauthorized program embedded in an attack source device.
[0080]
The device equipped with the present invention is introduced by, for example, an ISP (Internet Service Provider), and the ISP provides a server operator and a user accessing the server with an Internet connection service capable of preventing a highly distributed DoS attack. It is possible to do.
[0081]
The server connected to the device equipped with the present invention, while being open to the public on the Internet, protects the user connected to the device equipped with the present invention from the effects of the highly distributed DoS attack using the malicious program. Can be eliminated.
[Brief description of the drawings]
FIG. 1 is a diagram showing an embodiment of a main device for realizing the present invention.
FIG. 2 is a diagram showing a flow of processing on a packet.
FIG. 3 is a diagram showing processing of an inspection unit.
FIG. 4 is a diagram illustrating processing of a priority identifier assigning unit.
FIG. 5 is a diagram illustrating processing of a priority control transfer unit.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Main apparatus 2 Destination apparatus 3 Source apparatus 4 External network 10 Priority control transfer part 11 Inspection part 12 Priority identifier provision part

Claims (12)

ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止方法であって、
パケットの送信元装置における不正プログラムについての検査結果を取得する過程と、
パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した上記検査結果に応じた優先識別子を付与する過程と、
パケットの配送経路上で、パケットに対して、そのパケットに付与される上記優先識別子に応じた優先転送制御を行う過程とを備えることを、
特徴とするネットワーク攻撃防止方法。What is claimed is: 1. A network attack prevention method for preventing an attack using an illegal packet performed on an attack target device existing on a network,
Obtaining a check result for a malicious program in a packet transmission source device;
Assigning a priority identifier corresponding to the inspection result obtained from the packet transmission source device to a packet delivered from the packet transmission source device;
Performing, on a packet delivery route, priority transfer control for the packet in accordance with the priority identifier given to the packet,
Characteristic network attack prevention method. 請求項1に記載のネットワーク攻撃防止方法において、
上記付与する過程では、検査の詳細度を考慮した形の優先識別子をパケットに付与することを、
特徴とするネットワーク攻撃防止方法。The method for preventing a network attack according to claim 1,
In the assigning step, assigning a priority identifier to the packet taking into account the degree of detail of the inspection,
Characteristic network attack prevention method. 請求項1又は2に記載のネットワーク攻撃防止方法において、
上記取得する過程では、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から上記検査結果を取得することを、
特徴とするネットワーク攻撃防止方法。The method for preventing a network attack according to claim 1 or 2,
In the obtaining step, establishing an encrypted communication path with the packet transmission source apparatus, and using the encrypted communication path to obtain the inspection result from the packet transmission source apparatus,
Characteristic network attack prevention method. 請求項3に記載のネットワーク攻撃防止方法において、
上記暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する過程を備えることを、
特徴とするネットワーク攻撃防止方法。The network attack prevention method according to claim 3,
Using the encrypted communication path, receiving a packet delivered to the packet destination device from the packet source device,
Characteristic network attack prevention method. 請求項1ないし4のいずれか1項に記載のネットワーク攻撃防止方法において、
パケット送信先装置へと配送される上記優先転送制御を行ったパケットに付与されている優先識別子を削除する過程を備えることを、
特徴とするネットワーク攻撃防止方法。The method for preventing a network attack according to any one of claims 1 to 4,
Comprising a step of deleting a priority identifier assigned to the packet subjected to the priority transfer control delivered to the packet destination device,
Characteristic network attack prevention method. ネットワーク上に存在する攻撃対象の装置に対して行われる不正なパケットを使った攻撃を防止するためのネットワーク攻撃防止装置であって、
パケットの送信元装置における不正プログラムについての検査結果を取得する手段と、
パケット送信元装置から配送されるパケットに対して、そのパケット送信元装置から取得した上記検査結果に応じた優先識別子を付与する手段と、
パケットの配送経路上で、パケットに対して、そのパケットに付与される上記優先識別子に応じた優先転送制御を行う手段とを備えることを、
特徴とするネットワーク攻撃防止装置。A network attack prevention device for preventing an attack using an unauthorized packet performed on an attack target device existing on a network,
Means for obtaining an inspection result for a malicious program in a packet transmission source device;
Means for assigning a priority identifier corresponding to the inspection result obtained from the packet transmission source device to a packet delivered from the packet transmission source device,
Means for performing priority transfer control on the packet delivery route in accordance with the priority identifier given to the packet,
Characteristic network attack prevention device. 請求項6に記載のネットワーク攻撃防止装置において、
上記付与する手段は、検査の詳細度を考慮した形の優先識別子をパケットに付与することを、
特徴とするネットワーク攻撃防止装置。The network attack prevention device according to claim 6,
The assigning means assigns a priority identifier to the packet in a form considering the degree of detail of the inspection,
Characteristic network attack prevention device. 請求項6又は7に記載のネットワーク攻撃防止装置において、
上記取得する手段は、パケット送信元装置との間で暗号通信経路を確立して、その暗号通信経路を使って、パケット送信元装置から上記検査結果を取得することを、
特徴とするネットワーク攻撃防止装置。The network attack prevention device according to claim 6 or 7,
The acquiring means establishes an encrypted communication path with the packet transmission source apparatus, and acquires the inspection result from the packet transmission source apparatus using the encrypted communication path.
Characteristic network attack prevention device. 請求項8に記載のネットワーク攻撃防止装置において、
上記暗号通信経路を使って、パケット送信先装置へと配送されるパケットをパケット送信元装置から受信する手段を備えることを、
特徴とするネットワーク攻撃防止装置。The network attack prevention device according to claim 8,
Means for receiving, from the packet transmission source device, a packet delivered to the packet transmission destination device using the encrypted communication path,
Characteristic network attack prevention device. 請求項6ないし9のいずれか1項に記載のネットワーク攻撃防止装置において、
パケット送信先装置へと配送される上記優先転送制御を行ったパケットに付与されている優先識別子を削除する手段を備えることを、
特徴とするネットワーク攻撃防止装置。The network attack prevention device according to any one of claims 6 to 9,
Comprising a means for deleting a priority identifier assigned to a packet subjected to the priority transfer control delivered to a packet destination device,
Characteristic network attack prevention device. 請求項1ないし5のいずれか1項に記載のネットワーク攻撃防止方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラム。A network attack prevention program for causing a computer to execute a process used to implement the network attack prevention method according to any one of claims 1 to 5. 請求項1ないし5のいずれか1項に記載のネットワーク攻撃防止方法の実現に用いられる処理をコンピュータに実行させるためのネットワーク攻撃防止プログラムを記録した記録媒体。A recording medium recording a network attack prevention program for causing a computer to execute a process used for implementing the network attack prevention method according to claim 1.
JP2003111741A 2003-04-16 2003-04-16 Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program Expired - Fee Related JP3917546B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003111741A JP3917546B2 (en) 2003-04-16 2003-04-16 Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003111741A JP3917546B2 (en) 2003-04-16 2003-04-16 Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program

Publications (2)

Publication Number Publication Date
JP2004320461A true JP2004320461A (en) 2004-11-11
JP3917546B2 JP3917546B2 (en) 2007-05-23

Family

ID=33472204

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003111741A Expired - Fee Related JP3917546B2 (en) 2003-04-16 2003-04-16 Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program

Country Status (1)

Country Link
JP (1) JP3917546B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100454895C (en) * 2005-06-30 2009-01-21 华为技术有限公司 Method for raising network security via message processing

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100454895C (en) * 2005-06-30 2009-01-21 华为技术有限公司 Method for raising network security via message processing

Also Published As

Publication number Publication date
JP3917546B2 (en) 2007-05-23

Similar Documents

Publication Publication Date Title
US11399010B1 (en) Private network request forwarding
US10033696B1 (en) Identifying applications for intrusion detection systems
US7308715B2 (en) Protocol-parsing state machine and method of using same
US7076803B2 (en) Integrated intrusion detection services
US7222366B2 (en) Intrusion event filtering
US7478429B2 (en) Network overload detection and mitigation system and method
US8347383B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
US8015402B2 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US20050166049A1 (en) Upper-level protocol authentication
US20090055930A1 (en) Content Security by Network Switch
JP6159018B2 (en) Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program
JP2008066945A (en) Attack detection system and attack detection method
JP2022554101A (en) PACKET PROCESSING METHOD AND APPARATUS, DEVICE, AND COMPUTER-READABLE STORAGE MEDIUM
US7725587B1 (en) Deep packet scan hacker identification
KR101045331B1 (en) Method for analyzing behavior of irc and http botnet based on network
JP3917546B2 (en) Network attack prevention method, network attack prevention device, network attack prevention program, and recording medium recording the program
JP3917557B2 (en) Network attack prevention device, network attack prevention method, network attack prevention program, and recording medium recording the program
US8185642B1 (en) Communication policy enforcement in a data network
Cabaj et al. Fine-tuning of distributed network covert channels parameters and their impact on undetectability
JP3784799B2 (en) Attack packet protection system
JP2004363915A (en) DoS ATTACH COUNTERMEASURE SYSTEM, METHOD, AND PROGRAM
JP2006186845A (en) Device, method, and program for address designation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070208

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

LAPS Cancellation because of no payment of annual fees